公开(公告)号：CN102546576B

公开(公告)日：2015-11-18

申请号：CN201010621408.2

申请日：2010-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 肖小剑 ,  叶润国

IPC: H04L29/06 ,  H04L12/26

Abstract: 一种网页挂马检测和防护方法、系统及相应代码提取方法，系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；客户端运行脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，和该Web页面本身的URL发送到系统；系统可以将待检测的URL与相应基线中安全的URL进行匹配，如匹配失败，还可以对待检测的URL进行异常检测，确定其安全级别。本发明对环境的依赖性小，还可以减少漏报，并有效地提取标签代码。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。

公开(公告)号：CN104580120A

公开(公告)日：2015-04-29

申请号：CN201310516271.8

申请日：2013-10-28

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/10

Abstract: 本发明公开了一种可按需服务的虚拟化网络入侵检测方法和装置，涉及信息安全技术领域。本发明公开的虚拟化网络入侵检测装置，包括：弹性服务调度模块，评估本地检测资源池中的剩余资源是否能够提供本地检测服务，如果能提供，则下发本地检测资源调整的命令给本地检测资源池管理模块，如果不能提供，则将需要检测的流量导出到外部硬件网络入侵检测产品中；本地检测资源池管理模块，在接收到本地检测资源调整的命令时，从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。本发明还公开了一种按需服务的虚拟化网络入侵检测方法。本申请技术方案有效解决了虚拟化网络环境中，对服务器虚拟化应用场景的安全防护问题。

公开(公告)号：CN102385677B

公开(公告)日：2015-04-29

申请号：CN201010270457.6

申请日：2010-09-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  胡振宇 ,  叶润国 ,  袁智辉

IPC: H04L29/06 ,  G06F11/00

CPC classification number: G06F11/00

Abstract: 本发明提供了一种统一威胁管理系统及其数据处理方法；系统包括：数据存储模块，包括多个数据池，各所述数据池分别用于存储一种类型的数据；服务处理模块，包括一个或多个计算池，各计算池分别用于进行实现一种服务功能的处理操作，从用于存储本计算池所需类型的数据的所述数据池读取数据，将处理后的数据输出给用于存储该类型数据的数据池；管理中心，用于保存各数据池和数据的类型之间的第一对应关系，及各计算池与服务功能之间的第二对应关系。本发明可以避免直接耦合的一体化安全网关存在的动态扩展性和容错性方面的不足。

公开(公告)号：CN102571846B

公开(公告)日：2014-11-19

申请号：CN201010603366.X

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/08 ,  H04L29/06

Abstract: 一种转发HTTP请求的方法及装置；方法包括：判断Web客户端的HTTP请求的URL是否为Web表单请求URL或Web表单数据提交URL；当所述HTTP请求的URL为Web表单请求URL时，如果该HTTP请求的URL参数中携带了有效的令牌，则转发该HTTP请求；如果未携带令牌则随机生成一个唯一的令牌，将所述HTTP请求的URL和生成的令牌拼接成新的URL，丢弃所述HTTP请求并向所述Web客户端发送一个请求重定向到所述新的URL的HTTP响应消息；当所述HTTP请求的URL为Web表单数据提交URL时，如果该HTTP请求存在Referer值，并且从Referer中可以提取出有效的令牌，则转发该HTTP请求。本发明能够实现对CSRF攻击的有效防御，大大减轻Web安全网关的计算开销。

公开(公告)号：CN101895516B

公开(公告)日：2014-08-06

申请号：CN200910084265.3

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种跨站脚本攻击源的定位方法及装置；方法包括：A、获取完整的超文本传输协议HTTP请求消息，检查该HTTP请求中是否包含跨站脚本攻击，如果有则执行B，否则结束；B、当发现该HTTP请求的链接源为空，或者所述链接源与该HTTP请求的URL同属于一个Web域时，判定该HTTP请求的发送者为本次跨站脚本攻击源并结束，否则继续执行C；C、获取该HTTP请求链接源所对应的Web网页，并检索该Web网页，如果包含一个发起本次跨站脚本攻击的页面链接地址，则判定该HTTP请求链接源为本次跨站脚本攻击源，否则判定该HTTP请求发送者为本次跨站脚本攻击源。本发明可以准确定位XSS攻击的攻击源。

公开(公告)号：CN103354530A

公开(公告)日：2013-10-16

申请号：CN201310303538.5

申请日：2013-07-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L12/891 ,  H04L12/46 ,  H04L29/06

Abstract: 本发明公开了一种虚拟化网络边界数据流汇聚方法及装置，涉及信息安全技术领域。本发明公开的装置中：安全策略模块，维护管理不同租户的网络边界安全策略；虚拟化网络数据流捕获模块，监听虚拟交换机上的网络数据流，捕获安全策略指定网络接口的数据包；网络边界数据流过滤网模块，根据各租户的网络边界安全策略，为各租户分别建立基于网络数据流过滤的过滤网，以及将捕获的网络数据包通过此数据包对应的租户的过滤网进行过滤，将过滤后得到的属于该租户的安全域边界的网络数据流进行封装，并发送给该租户对应的网络安全产品。本发明还公开了一种虚拟化网络边界数据流汇聚方法。本申请技术方案有效解决了多租户环境下虚拟化网络安全域边界网络数据流的汇聚问题。

公开(公告)号：CN103020543A

公开(公告)日：2013-04-03

申请号：CN201210593481.2

申请日：2012-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 汪宏 ,  叶润国 ,  胡振宇

IPC: G06F21/62 ,  G06F21/80 ,  G06F3/06 ,  H04L29/08 ,  H04L29/06 ,  H04L9/32

Abstract: 本发明公开了一种虚拟磁盘映像加密管理系统及方法，涉及信息安全技术领域。本发明公开的系统至少包括：虚拟机加密磁盘映像管理代理，向所述对称密钥管理中心请求获取密钥信息，根据所获取的密钥信息，生成虚拟机加密磁盘映像，并根据用户操作管理虚拟机加密磁盘映像；对称密钥管理中心，收到所述虚拟机加密磁盘映像管理代理的请求时，将虚拟机加密磁盘映像的密钥信息发送给所述虚拟机加密磁盘映像管理代理。本发明还公开了一种虚拟磁盘映像加密管理方法。本申请技术方案保护整个虚拟机磁盘映像的安全，从而保护云或虚拟化环境下用户的数据安全。并且，方便了云或虚拟化管理中心对加密虚拟机磁盘映像的管理。

公开(公告)号：CN101677318B

公开(公告)日：2012-05-23

申请号：CN200810222506.1

申请日：2008-09-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国

IPC: H04L29/06 ,  G06F17/30

Abstract: 本发明涉及匹配规则包含次数指示符的并行多模式匹配的系统和方法，系统包括：生成模块，用于读取规则集，将规则集中包含次数指示符的匹配规则从次数指示符处分割成子规则，该子规则为确定规则，次数指示符规定的次数为其前面相连的子规则对应的规定连续重复次数，规则集中确定规则作为其自身的子规则，该子规则对应的规定连续重复次数为1，将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，按AC算法进行搜索，判断搜索对象是否按子规则在匹配规则中的顺序和子规则对应的规定连续重复次数匹配所有子规则，如果是，则搜索对象匹配该匹配规则。从而，应用AC算法来处理指定子规则连续重复次数的并行多模式匹配。

公开(公告)号：CN101895434B

公开(公告)日：2012-04-25

申请号：CN200910084264.9

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  孙海波

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/06 ,  H04L1/16

Abstract: 本发明公开了一种自动识别内网中互联网服务提供设备的方法和装置；所述方法包括：根据一时间段内监测到的网络报文，筛选出所述时间段中具备完整TCP连接建立过程的TCP连接；对筛选出的各所述TCP连接分别进行判断，如果一TCP连接建立过程的发起端和终止端不属于同一子网、并且建立过程中第一个网络报文由外网发起且终止于内网，而应答所述第一个网络报文的网络报文由内网发起且终止于外网，则提取该TCP连接的目标设备信息；对提取的所述目标设备信息进行统计，将最频繁出现的若干个目标设备识别为所述内网中的互联网服务提供设备。本发明克服了传统的手工配置内网中互联网服务提供设备信息的繁琐和易出错等缺点。