公开(公告)号：CN101895434B

公开(公告)日：2012-04-25

申请号：CN200910084264.9

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  孙海波

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/06 ,  H04L1/16

Abstract: 本发明公开了一种自动识别内网中互联网服务提供设备的方法和装置；所述方法包括：根据一时间段内监测到的网络报文，筛选出所述时间段中具备完整TCP连接建立过程的TCP连接；对筛选出的各所述TCP连接分别进行判断，如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网，而应答所述第一个网络报文的网络报文由内网发起且终止于外网，则提取该TCP连接的目标设备信息；对提取的所述目标设备信息进行统计，将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。本发明克服了传统的手工配置内网中互联网服务提供设备信息的繁琐和易出错等缺点。

公开(公告)号：CN101901221A

公开(公告)日：2010-12-01

申请号：CN200910085034.4

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李博 ,  叶润国

IPC: G06F17/30 ,  G06F21/00

Abstract: 本发明提出一种跨站脚本攻击的检测装置，包括指数计算单元、提取单元、编码还原单元、语义还原单元、匹配程度计算单元和判断单元，各单元彼此协作，采用综合HTML标签分析分析的方法(包括标签的EJSRF分析、JavaScript编码变形分析、JavaScript语义变性分析、XSS攻击特征模式匹配这4种方法)对Web页面中夹带的恶意跨站脚本进行识别、提取。这种以HTML标签分析为核心的跨站脚本识别与提取技术能够高效准确地区分Web页面中正常的JavaScript与恶意的跨站脚本，使得网络安全检测设备和网络终端能够精确识别、过滤含有恶意跨站脚本的Web页面，同时又能够保证合法的(没有夹杂恶意跨站脚本)的Web页面正常通过。

公开(公告)号：CN101267357B

公开(公告)日：2010-11-17

申请号：CN200710145398.8

申请日：2007-09-17

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  骆拥政 ,  李博 ,  朱钱杭 ,  鲁文忠 ,  王洋 ,  周涛

IPC: H04L12/26 ,  H04L9/32 ,  H04L29/08 ,  G06F17/30

Abstract: 一种SQL注入攻击检测方法及系统。包括SQL注入攻击检测知识库构建阶段和实时SQL注入攻击检测阶段，所述的SQL注入攻击检测知识库构建包括各种场景下SQL注入攻击样本的收集、SQL注入手法分类、以及针对各类SQL注入手法的SQL注入攻击检测语法规则的建立；实时SQL注入攻击检测阶段包括HTTP请求消息中用户输入数据的提取、解码和与SQL注入攻击检测语法规则的匹配等步骤。本发明使用SQL语法定义SQL注入攻击检测规则，而不是基于传统攻击特征签名来定义SQL注入攻击检测规则，有效克服SQL注入攻击事件的攻击特征签名不易提取和易被欺骗等缺点，大大降低入侵检测系统检测SQL注入攻击时的误报率和漏报率。

公开(公告)号：CN101035111B

公开(公告)日：2010-10-13

申请号：CN200710065443.9

申请日：2007-04-13

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 孙海波 ,  骆拥政 ,  龚晟 ,  叶润国

IPC: H04L29/02 ,  H04L29/06 ,  H04L12/26 ,  H04L12/24 ,  H04L12/56

Abstract: 本发明一种智能协议解析方法及装置涉及可用于入侵检测防御(IDS/IPS)及审计产品中的一种智能协议分析方法及装置。本发明的目的是提供一种使用不单纯依赖于协议端口和静态协议特征字段匹配的智能协议分析技术，并在软件的不同版本使用时能够自动调整解析格式给出准确的协议分析结果，提高了协议分析的准确性。本发明包括三个主要步骤：建立协议特征模型；协议识别；协议智能分析修正。本发明解决了传统IDS/IPS产品中对于非标准端口或不具备静态数据包特征字段的网络协议的识别问题，同时对于某些应用软件或协议不同的版本等原因产生的解析结果错误可以提供自动化的修正工作。

公开(公告)号：CN101729389A

公开(公告)日：2010-06-09

申请号：CN200810224570.3

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  李博 ,  邓炜

IPC: H04L12/56 ,  H04L29/06

Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法；装置包括转发引擎和流量分析单元；所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量，从各目标主机发出的网络数据包中收集可信网络地址；当检测到攻击流量时，采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元，以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制；所述流量分析单元用于根据所接收的网络数据包样本，以各TCP/IP协议包头字段值为项，提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。

公开(公告)号：CN101677318A

公开(公告)日：2010-03-24

申请号：CN200810222506.1

申请日：2008-09-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国

IPC: H04L29/06 ,  G06F17/30

Abstract: 本发明涉及匹配规则包含次数指示符的并行多模式匹配的系统和方法，系统包括：生成模块，用于读取规则集，将规则集中包含次数指示符的匹配规则从次数指示符处分割成子规则，该子规则为确定规则，次数指示符规定的次数为其前面相连的子规则对应的规定连续重复次数，规则集中确定规则作为其自身的子规则，该子规则对应的规定连续重复次数为1，将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，按AC算法进行搜索，判断搜索对象是否按子规则在匹配规则中的顺序和子规则对应的规定连续重复次数匹配所有子规则，如果是，则搜索对象匹配该匹配规则。从而，应用AC算法来处理指定子规则连续重复次数的并行多模式匹配。

公开(公告)号：CN101631026A

公开(公告)日：2010-01-20

申请号：CN200810116857.4

申请日：2008-07-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 华东明 ,  叶润国 ,  鲁文忠 ,  邓炜

IPC: H04L9/36 ,  G06F21/00

Abstract: 本发明公开了一种在TCP/IP网络中防御拒绝服务攻击的方法，所述方法包括：对TCP、UDP和ICMP流量进行随机抽样，统计并计算出每个流量的速率大小，然后进行流量比例特征和流量分布特征检测，并验证相应源主机身份的可信性，根据检测结果和源主机身份认证结果自学习黑白名单以及DoS攻击特征表，最后利用黑白名单和DoS攻击特征表对流量进行过滤，对正常流量进行放行，对拒绝服务攻击进行阻断。利用本发明，可以检测和阻断拒绝服务攻击，这样可以保证网络的可用性，并可以预防网络拒绝服务攻击的发生，为网络用户提供一个安全的网络环境。

公开(公告)号：CN101577703A

公开(公告)日：2009-11-11

申请号：CN200810106019.9

申请日：2008-05-07

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 许金鹏 ,  邓炜 ,  赵东宾 ,  王虹 ,  叶润国

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/58

Abstract: 一种无需解码的对base64编码数据的模式匹配方法，该方法可以广泛的用于对数据进行监测的如入侵检测系统、审计系统等安全系统中。该方法包含如下步骤：1.把读取的模式数据转换为几种可能的base64编码表达式；2.采用逻辑表达式方法完成转换后的该模式数据的表达；3.根据逻辑表达式生成用于并行模式匹配的匹配状态树；4.对读取的数据，调用并行模式匹配程序完成模式数据的模式匹配；5.上报匹配结果。本发明具有的优点：能够快速完成base64编码数据(如邮件)的模式匹配。该方法无需进行base64编码的解码操作，就可以完成基于base64编码数据的模式匹配。

公开(公告)号：CN101552722A

公开(公告)日：2009-10-07

申请号：CN200810103358.1

申请日：2008-04-03

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 华东明 ,  王洋 ,  叶润国 ,  邓炜 ,  胡振宇

IPC: H04L12/56 ,  H04L29/06

Abstract: 一种管理网络流量带宽的方法及装置，包括：根据IP的源和目的地址、源和目的端口、应用层协议类型，将流量分为源和目的IP流量、源和目的端口流量和协议流量。根据IP的不同优先级，将流量分为白流量、灰流量和黑流量。基于速率对流量进行检测，根据对流量的不同检测结果，实施预先设置的控制动作，丢弃超过流量速率限制的数据包，使数据包以低于限制的速率发送出去。利用本发明，可以对网络流量的带宽进行管理，对网络流量带宽进行分类、检测和控制。这样可以高效地对网络流量带宽进行管理，有效地利用网络带宽，避免网络流量的拥塞，以及可以预防一些异常网络流量攻击的发生，为网络用户提供一个高服务质量和安全的网络环境。

公开(公告)号：CN101527649A

公开(公告)日：2009-09-09

申请号：CN200810101526.3

申请日：2008-03-07

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  叶润国 ,  骆拥政 ,  李博 ,  朱钱杭

IPC: H04L12/24

Abstract: 本发明涉及一种基于安全依赖关系的风险评估方法和系统，是一种应用于计算机网络安全的方法和系统。本发明方法使用的硬件包括：互联网，所述的方法的步骤为：根据访问或服务类型各要素，确定依赖节点之间连接事件的风险概率；建立以被评估节点为根的一棵安全依赖树；计算被评估节点的风险概率；将计算被评估节点的风险概率与被评估节点的重要程度相乘得到被评估节点的风险本发明通过建立被评估节点为根的安全依赖树建立被评估节点与其他节点之间的安全依赖关系，将风险传播机制引入到风险评估中。不仅考虑了直接风险，而且考虑了由于依赖关系而导致的间接风险，从而可以使风险评估更为准确、客观。