公开(公告)号：CN101562603B

公开(公告)日：2012-06-20

申请号：CN200810104320.6

申请日：2008-04-17

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 姚熙 ,  焦玉峰 ,  刘晖 ,  孙海波

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种通过回显解析telnet协议的方法及系统，是一种用于入侵检测和入侵防御IDS/IPS以及审计产品中重要的协议解析方法及系统。包括：特殊关键字符处理模式库、特殊字符分析器、telnet数据包过滤器、回显敏感数据解析器，其运行特征包括步骤：特殊关键字符处理模式的建立子步骤；telnet数据过滤与提取子步骤；回显敏感数据的深度解析子步骤。本发明解决了传统IDS/IPS产品中仅仅依赖对所有telnet请求数据包的载荷部分进行解析的完整性问题，提高了telnet协议解析的准确性和性能。本发明具有telnet协议解析完整性好和准确率高优点，可广泛应用于IDS/IPS、审计等网络安全产品中。

公开(公告)号：CN101902338A

公开(公告)日：2010-12-01

申请号：CN200910085041.4

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 焦玉峰 ,  鲁文忠 ,  牛妍萍

IPC: H04L9/36 ,  H04L29/06 ,  H04L12/56

Abstract: 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

公开(公告)号：CN101398820B

公开(公告)日：2010-11-17

申请号：CN200710122231.X

申请日：2007-09-24

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  周涛 ,  华东明 ,  孙海波 ,  骆拥政 ,  焦玉峰

IPC: G06F17/30

Abstract: 一种大规模关键词匹配方法。包括预处理阶段和模式匹配阶段。预处理阶段包括关键词特征串裁剪、基于关键词特征串集合的多个简单布隆过滤器(Bloom Filter)的构造，基于关键词特征串集合的哈希表构造；模式匹配阶段包括：利用先前构造的简单布隆过滤器序列实现当前窗口中文本串不与任何关键词特征串匹配的快速判定；在判定失败情况下执行与候选关键词的精确匹配；文本扫描过程中，可以利用递归算法快速计算出当前文本相对于各简单布隆过滤器的当前散列值。本发明充分利用了待匹配文本与关键词匹配成功概率异常低的特点，利用了递归散列算法高效的特点，可实现大规模关键词场景下的高速匹配，非常适合病毒检测等在线病毒扫描应用。

公开(公告)号：CN101902338B

公开(公告)日：2013-01-23

申请号：CN200910085041.4

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 焦玉峰 ,  鲁文忠 ,  牛妍萍

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明为一种采用统一检测框架的入侵检测方法和系统，该方法包括：在选择的报文处理单元植入挂载点，为各检测单元配置挂载点，所需的报文特征信息在各自挂载点之前的报文处理过程中得到，将所有启用的检测单元注册到各自要挂载到的挂载点，当报文经过挂载有检测单元的挂载点时，由该挂载点上的检测单元对该报文进行入侵检测，检测完成后，对非最末一级的挂载点，报文再进入该挂载点后的报文处理单元或挂载点继续处理；该系统包括各协议层上的多个报文处理单元、多个检测单元、配置单元、初始化单元以及检测控制单元。本发明不需改变软件架构就可以迅速实现检测单元的增删，节约了时间和系统资源。

公开(公告)号：CN101562603A

公开(公告)日：2009-10-21

申请号：CN200810104320.6

申请日：2008-04-17

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 姚熙 ,  焦玉峰 ,  刘晖 ,  孙海波

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种通过回显解析telnet协议的方法及系统，是一种用于入侵检测和入侵防御IDS/IPS以及审计产品中重要的协议解析方法及系统。包括：特殊关键字符处理模式库、特殊字符分析器、telnet数据包过滤器、回显敏感数据解析器，其运行特征包括步骤：特殊关键字符处理模式的建立子步骤；telnet数据过滤与提取子步骤；回显敏感数据的深度解析子步骤。本发明解决了传统IDS/IPS产品中仅仅依赖对所有telnet请求数据包的载荷部分进行解析的完整性问题，提高了telnet协议解析的准确性和性能。本发明具有telnet协议解析完整性好和准确率高优点，可广泛应用于IDS/IPS、审计等网络安全产品中。

公开(公告)号：CN100586123C

公开(公告)日：2010-01-27

申请号：CN200610114101.7

申请日：2006-10-27

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  牟宪波 ,  焦玉峰 ,  杨立纯 ,  周涛

IPC: H04L29/06 ,  H04L9/32

Abstract: 本发明涉及一种作为重要的网络安全产品之一的网络安全审计系统(NSAS：Network Security Audit System)的核心关键技术——基于角色管理的安全审计方法及系统。特征是在监控网络数据的基础上，依据基于角色的审计策略对主体的访问行为进行审计，对客体进行保护，并根据管理员设定的规则记录TCP会话内容，以便事后取证分析。该系统可以定义信任用户、信任子网、认证用户三类用户，可以指定需要保护的主机和主机上需要保护的服务，可以根据应用层协议制定细粒度的访问规则，可以根据对保护资源访问控制的需要制定角色，将已定义的访问规则封装到角色中，将角色指派给已定义的用户，对受保护的资源实现基于角色的安全审计。