公开(公告)号：CN116578804A

公开(公告)日：2023-08-11

申请号：CN202310631403.5

申请日：2023-05-30

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 刘洋 ,  卞超轶 ,  赵旺 ,  金柯 ,  陈亘

IPC: G06F16/958 ,  G06F16/955 ,  G06F18/214 ,  G06N3/048 ,  G06N3/08

Abstract: 本申请提供了一种网站安全检测方法、装置和存储介质。该方法包括：采用统一资源定位符URL数据的预训练模型对待分类的网站的URL数据进行语义表示信息的提取；其中，所述URL数据的预训练模型是基于所述目标网站的URL数据预训练生成的；采用全连接层与softmax层基于所述语义表示信息确定所述待分类的网站是恶意网站的分类概率。上述方案可以检测网站的安全性，降低用户登录仿冒正常网站的恶意网站的概率。

公开(公告)号：CN117914589A

公开(公告)日：2024-04-19

申请号：CN202410073449.4

申请日：2024-01-18

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 范敏 ,  程杨 ,  袁复强 ,  陈亘

IPC: H04L9/40 ,  H04L69/22 ,  G06F18/23

Abstract: 本申请提供一种报文识别方法，包含如下步骤：S1：报文预处理步骤，在接收的报文中舍弃非目标报文，并从保留的每条报文中提取规定的数据，构成目标报文组；S2：特征向量构建步骤，设置长度为n1个字节的第一滑窗，将所述第一滑窗按规定的步长从所述目标报文组的上游侧的首字节滑动至下游侧的末字节，获取第一特征向量；S3：聚类创建步骤，至少基于所述第一特征向量，对所述目标报文组进行聚类以形成多个簇；S4：分析步骤，基于所述多个簇，分析筛选出危险数据。据此，能够准确高效地进行报文识别。

公开(公告)号：CN115085992B

公开(公告)日：2023-08-15

申请号：CN202210649186.8

申请日：2022-06-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉 ,  黄质 ,  徐飞 ,  罗元沙 ,  赵宇 ,  余乐临 ,  刘洋

IPC: H04L9/40 ,  H04L67/02

Abstract: 本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法，包括流量模块、HTTPS模块和安全检测模块；所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块，根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性，能够对恶意HTTPS隐秘通道进行及时报警。

公开(公告)号：CN115051845A

公开(公告)日：2022-09-13

申请号：CN202210639313.6

申请日：2022-06-08

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉

IPC: H04L9/40

Abstract: 本发明所提供的可疑流量识别方法，可以基于历史访问数据构建预设时间段的网络访问白名单，然后从当前访问数据中筛选出局域网络访问外部网络的访问流量。获取访问流量中的超文本传输协议流量，并将从超文本传输协议流量中提取出的超文本传输请求的HOST字段和目的IP地址，与域名白名单和超文本传输协议白名单分别进行碰撞，得到不符合域名白名单和超文本传输协议白名单的可疑流量。并将从超文本安全传输协议流量中提取出的超文本安全传输请求的服务器名称和目的IP地址，与域名白名单和所述超文本安全传输协议白名单分别进行碰撞，得到不符合域名白名单和超文本安全传输协议白名单的可疑流量。该流量过滤方法提高了对恶意流量过滤的精准度。

公开(公告)号：CN116595522A

公开(公告)日：2023-08-15

申请号：CN202310304672.0

申请日：2023-03-27

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 焦晨霈 ,  陈曦 ,  刘邦 ,  陈亘

IPC: G06F21/56 ,  G06F21/53

Abstract: 本申请公开了一种操作系统的时间加速方法及装置，涉及网络安全技术领域，该方法包括：获取操作系统的版本特征以及代码特征；根据版本特征以及代码特征匹配操作系统的内核中的内核时间更新函数；根据目标时间倍数修改内核时间更新函数的函数逻辑；当操作系统的时钟中断时，通过修改后的内核时间更新函数以目标时间倍数加速操作系统的系统时间的时间计数，时间计数的加速用于辅助沙箱检测恶意代码。从而实现了提高沙箱对带有延时功能的恶意代码的检测率。

公开(公告)号：CN116208413A

公开(公告)日：2023-06-02

申请号：CN202310192296.0

申请日：2023-03-02

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 范敏 ,  陈亘

IPC: H04L9/40

Abstract: 本申请提供了一种基于在线学习算法的HTTP白流量过滤方法及过滤系统，过滤方法包括：对实时的HTTP流量文本数据流进行预处理，得到HTTP报文；提取HTTP报文中需要的字段，得到文本型数据，并转换为数值型向量，形成特征数据流；利用在线学习算法对特征数据流进行白流量过滤，其过程为：利用特征数据流中的1～n个样本创建二叉树模型；判断特征数据流中第n个样本之后的样本是否已填满最近窗口，如果是，则利用填满最近窗口的样本对当前的t棵二叉树模型进行更新，否则，计算二叉树模型的异常分数；根据最终的异常分数判断对应的特征数据流是否为白流量。本申请能够实际应用到硬件WAF中，缓解数据漂移问题，极大地降低人力成本。

公开(公告)号：CN119544362A

公开(公告)日：2025-02-28

申请号：CN202411786303.0

申请日：2024-12-05

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 方太辉 ,  范敏 ,  陈亘 ,  余乐临

IPC: H04L9/40

Abstract: 一种检测物联网僵尸网络的方法、装置和存储介质，所述方法包括：确定物联网中发起DDoS攻击的设备，得到待检测设备；获取每个待检测设备在发起DDoS攻击之前发送和接收的TCP数据包，得到采样数据；获取采样数据的至少两组特征向量；每组特征向量的源地址、目的地址、源端口和目的端口均不同，每组特征向量按照时间顺序记录各自在采样数据中对应的TCP数据包的有效载荷的长度值；计算每组特征向量与预设的基准特征向量之间的匹配度；选择匹配度指示为非正常流量的特征向量，得到第一筛选向量；对每个待确认设备执行僵尸网络的检测操作，其中待确认设备接入物联网使用的IP地址为第一筛选向量对应的源地址，能够对未知的或加密的物联网僵尸网络进行检测。

公开(公告)号：CN115085992A

公开(公告)日：2022-09-20

申请号：CN202210649186.8

申请日：2022-06-09

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈亘 ,  刘敦辉 ,  黄质 ,  徐飞 ,  罗元沙 ,  赵宇 ,  余乐临 ,  刘洋

IPC: H04L9/40 ,  H04L67/02

Abstract: 本申请提供一种恶意HTTPS隐秘通道的检测系统及其检测方法，包括流量模块、HTTPS模块和安全检测模块；所述流量模块存储有流量信息，所述流量信息包括会话信息和历史流量信息；所述HTTPS模块能够根据获得的流量信息得到HTTPS隐蔽通道信息；所述HTTPS隐蔽通道信息包括HTTPS元数据、SSL元数据和SNI元数据；所述安全检测模块包括心跳检测模块、证书检测模块、指纹检测模块和SNI检测模块，根据安全检测模块获得的心跳异常五元组、证书异常五元组、指纹异常五元组和SNI异常五元组的信息，综合判断是否为恶意HTTPS隐秘通道。本申请提高了网络安全性，能够对恶意HTTPS隐秘通道进行及时报警。

公开(公告)号：CN118246006A

公开(公告)日：2024-06-25

申请号：CN202410433615.7

申请日：2024-04-11

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司

Inventor： 陈曦 ,  焦晨霈 ,  陈亘

IPC: G06F21/53 ,  G06F21/55 ,  G06F8/41

Abstract: 本申请提供的一种文档文件的行为检测方法、装置、设备及存储介质，在一种文档文件的行为检测方法中，获取待检测文档文件；解析所述待检测文档文件，确定所述待检测文档文件的预设检测环境以及经过编译的宏代码；在所述预设检测环境中检测所述待检测文档文件，包括：绕过版本号验证，执行对所述经过编译的宏代码，得到宏代码执行结果；根据宏代码执行结果确定所述文档文件的行为检测结果。通过上述方法，可以在沙箱系统中，在预设检测环境下进行解析执行待检测文档文件，并且在检测过程中会绕过版本号验证，避免重新编译原始宏代码导致覆盖经过编译的宏代码,提高文档文件的行为检测的检测效率和准确性。

公开(公告)号：CN116192444A

公开(公告)日：2023-05-30

申请号：CN202211623082.6

申请日：2022-12-16

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司 ,  北京网御星云信息技术有限公司

Inventor： 范敏 ,  陈亘

IPC: H04L9/40 ,  H04L61/4511

Abstract: 本申请提供了一种基于局部敏感哈希算法的伴随域名检测方法，其包括以下步骤：利用局部敏感哈希算法计算时空伴随对，筛选出交集时空伴随对；计算交集时空伴随对中的真实C‑Rank得分并进行排序；通过对目标域名进行归组，将相似度大于相似度阈值的目标域名的伴随对作为最终的时间伴随对。本申请在工业级的海量数据场景下，基于域名请求伴随关系，能够利用局部敏感哈希算法在线性时间复杂度下快速计算出域名伴随对。