公开(公告)号：CN102129528B

公开(公告)日：2013-05-15

申请号：CN201010034272.5

申请日：2010-01-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  孙海波 ,  周涛 ,  叶润国 ,  黄宇鸿

IPC: G06F21/60 ,  G06F17/30

Abstract: 本发明公开了一种WEB网页篡改识别方法及系统，以实现对WEB页面的篡改识别，其中该系统包括：网页获取模块，用于获取WEB页面；模式提取模块，与网页获取模块相连，用于对WEB页面进行模式提取，生成WEB页面的页面模式；基线数据库，用于保存WEB页面比较基线；篡改识别模块，与模式提取模块及基线数据库相连，用于根据WEB页面比较基线对作为识别目标的目标WEB页面的页面模式进行篡改识别，获得识别结果。与现有技术相比，本发明技术方案在网页服务器的外部进行WEB网页篡改检测，提高了检测效率，实现了WEB页面的篡改识别。

公开(公告)号：CN102316081A

公开(公告)日：2012-01-11

申请号：CN201010222214.5

申请日：2010-06-30

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  黄宇鸿

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种相似网页的识别方法及装置；所述识别装置包括：接收模块，用于分别接收两个网页的文档对象模型DOM树；比较模块，用于对所接收的两个DOM树进行比较，得到该两个DOM树的相似度；判断模块，用于将所述相似度与一预设的阈值比较，如果大于或等于该阈值，判断所述两个网页相似。本发明可以在服务器外部进行相似网页的对比，通过该对比结果可进一步对一个疑似的钓鱼网站进行判断，不会对服务器和钓鱼网站产生任何影响。

公开(公告)号：CN102129528A

公开(公告)日：2011-07-20

申请号：CN201010034272.5

申请日：2010-01-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  孙海波 ,  周涛 ,  叶润国 ,  黄宇鸿

IPC: G06F21/00 ,  G06F17/30

Abstract: 本发明公开了一种WEB网页篡改识别方法及系统，以实现对WEB页面的篡改识别，其中该系统包括：网页获取模块，用于获取WEB页面；模式提取模块，与网页获取模块相连，用于对WEB页面进行模式提取，生成WEB页面的页面模式；基线数据库，用于保存WEB页面比较基线；篡改识别模块，与模式提取模块及基线数据库相连，用于根据WEB页面比较基线对作为识别目标的目标WEB页面的页面模式进行篡改识别，获得识别结果。与现有技术相比，本发明技术方案在网页服务器的外部进行WEB网页篡改检测，提高了检测效率，实现了WEB页面的篡改识别。

公开(公告)号：CN101902337B

公开(公告)日：2013-03-06

申请号：CN200910085038.2

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 田进山 ,  黄宇鸿 ,  周涛 ,  张峰

IPC: H04L9/36 ,  H04L29/06

Abstract: 一种网络入侵事件的管理方法，应用于网络入侵检测系统，包括：网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配，如果是，再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致，如果不一致，则将所述比较规则的响应策略下发至检测引擎；检测引擎根据所述下发的响应策略向管理控制中心上报事件；所述响应策略包括：取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。通过本发明所述方法，网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。

公开(公告)号：CN101902337A

公开(公告)日：2010-12-01

申请号：CN200910085038.2

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 田进山 ,  黄宇鸿 ,  周涛 ,  张峰

IPC: H04L9/36 ,  H04L29/06

Abstract: 一种网络入侵事件的管理方法，应用于网络入侵检测系统，包括：网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配，如果是，再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致，如果不一致，则将所述比较规则的响应策略下发至检测引擎；检测引擎根据所述下发的响应策略向管理控制中心上报事件。通过本发明所述方法，网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。

公开(公告)号：CN106991322A

公开(公告)日：2017-07-28

申请号：CN201610042113.7

申请日：2016-01-21

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 黄宇鸿 ,  姜天宇 ,  许金鹏

IPC: G06F21/56 ,  G06F9/455

CPC classification number: G06F21/566 ,  G06F9/45504 ,  G06F2221/034

Abstract: 本发明公开了一种结构化查询语言SQL注入攻击的检测方法和装置，包括：插件关联模块、解析模块、自学习模块和检测模块，基于Java虚拟机环境的网页应用系统服务器，通过对客户端的业务请求信息中的URL及参数信息和所触发的SQL语句进行关联，并对所述SQL语句进行语法分析构建SQL语法树，通过自学习所述URL识别出有效参数信息，在自学习后建立的URL及有效参数信息所属的业务请求信息和所关联的SQL语句的SQL语法树的关系模型，将该关系模型作为检查基准，对后续的业务请求信息和所关联的SQL语句的SQL语法树的关系与该基准进行检查，如果检查结果不一致，可以确认检测到SQL注入攻击，则拒绝业务访问，从而能够精确检测SQL注入的威胁，从而保证了网络应用的业务访问安全。