公开(公告)号：CN103885813B

公开(公告)日：2017-03-22

申请号：CN201310741619.3

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明提供一种虚拟机环境下的抓包方法，其特征在于，包括：第一进程在物理主机上启动并生成一个与所述第一进程对应的第一虚拟机；所述第一进程扫描所述物理主机的所有物理网卡,并为所述所有物理网卡设置一对一的虚拟网卡；所述第一进程获取当前物理网卡在所述物理主机上对应的队列的第一地址，所述对应的队列用于存放所述当前物理网卡的数据包；所述第一虚拟机为与所述当前物理网卡对应的虚拟网卡创建一个第二地址；所述第一虚拟机向所述第一进程发送读取所述当前物理网卡的数据包的指令；所述第一进程从所述第一地址读取所述当前物理网卡的数据包并传送至所述第二地址；所述第一虚拟机发送读取给所述第二地址,以完成数据抓包读取过程。

公开(公告)号：CN103795709A

公开(公告)日：2014-05-14

申请号：CN201310742812.9

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: H04L29/06

Abstract: 本发明提供了一种网络安全检测方法和系统，解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测。

公开(公告)号：CN103778185A

公开(公告)日：2014-05-07

申请号：CN201310742814.8

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F17/30

CPC classification number: G06F17/30389

Abstract: 本发明提供了一种用于数据审计系统的SQL语句解析方法和系统。所述方法包括：接收输入的SQL语句；识别SQL语句中的词、符号和序列表示中的至少一者；将识别出的词、符号和序列表示中的至少一者与预定的语法规则进行比较，当识别出的词、符号和序列表示中的至少一者与预定的语法规则中的一个语法规则匹配时，则根据所述预定的语法规则中的一个语法规则确定所述SQL语句的操作类型、操作字段和表名中的至少一者；当识别出的词、符号和/或序列表示与预定的语法规则不匹配时，不对SQL语句进行语义解析。利用该方法和系统，能够准确识别SQL语句操作类型、操作的数据库表名、列名等对象信息，并且与正则匹配方式相比，不需要编写匹配规则，识别效率更高。

公开(公告)号：CN101894162B

公开(公告)日：2012-05-09

申请号：CN201010233682.2

申请日：2010-07-22

Applicant: 北京天融信科技有限公司

Inventor： 张凤羽 ,  刘勇

IPC: G06F17/30

Abstract: 本发明公开了一种动态网络事件关联和联动的实现方法和装置，初始化关联场景运行环境，将用户通过关联语言编写关联场景脚本编译生成关联场景，将编译后生成的关联场景加载到关联场景运行环境中，当网络事件产生时，逐个执行关联场景中描述的操作，实现事件关联和关联结果联动。本发明基于脚本技术，为用户提供事件关联语言，用户通过关联语言编写不同的关联场景脚本，用户可以通过记事本打开查看、编辑关联场景脚本文件，关联场景脚本更接近于自然语言。本发明克服现有技术基于状态机的方法描述能力差且无法保障应用连续性的缺陷。

公开(公告)号：CN101887463A

公开(公告)日：2010-11-17

申请号：CN201010233710.0

申请日：2010-07-22

Applicant: 北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F17/30

Abstract: 本发明提供一种基于虚拟域的HTTP还原展示方法，包括：审计系统预先在HTTP服务器上建立还原用虚拟域服务器，当用户通过浏览器打开要还原的文件时，由审计系统将请求重定向到所述虚拟域；虚拟域服务器根据所述请求中包含的预定的唯一标识，在系统中查找还原文件，并将所述还原文件返回给浏览器显示；当浏览器再次向所述虚拟域服务器请求还原内容的其它片段时，所述虚拟域服务器通过所述唯一标记判断出此次请求对应的还原文件，并将所述此次请求对应的还原文件返回给浏览器。本发明能够解决在网页内容审计还原过程中，网页的完整展示问题。

公开(公告)号：CN103795708A

公开(公告)日：2014-05-14

申请号：CN201310741892.6

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: H04L29/06 ,  H04L12/46

Abstract: 本发明提出了一种终端准入方法和系统，所述方法包括：a)获取交换机各个端口的接线状态，该接线状态包括连接状态和未连接状态；b)识别所述接线状态，当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时，使该端口连接的终端获得访问访客VLAN的权限；c)对访问所述访客VLAN的终端进行身份认证，如果所述终端通过所述身份认证，则使所述终端获得访问指定VLAN的权限，如果所述终端未通过所述身份认证，则使所述终端仅获得访问所述访客VLAN的权限。利用本发明提供的终端准入方法和系统，可以较好地实现终端准入控制，实时简单，成本低。

公开(公告)号：CN101887463B

公开(公告)日：2012-05-09

申请号：CN201010233710.0

申请日：2010-07-22

Applicant: 北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F17/30

Abstract: 本发明提供一种基于虚拟域的HTTP还原展示方法，包括：审计系统预先在HTTP服务器上建立还原用虚拟域服务器，当用户通过浏览器打开要还原的文件时，由审计系统将请求重定向到所述虚拟域；虚拟域服务器根据所述请求中包含的预定的唯一标识，在系统中查找还原文件，并将所述还原文件返回给浏览器显示；当浏览器再次向所述虚拟域服务器请求还原内容的其它片段时，所述虚拟域服务器通过所述唯一标记判断出此次请求对应的还原文件，并将所述此次请求对应的还原文件返回给浏览器。本发明能够解决在网页内容审计还原过程中，网页的完整展示问题。

公开(公告)号：CN108809748A

公开(公告)日：2018-11-13

申请号：CN201810251152.7

申请日：2018-03-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘勇 ,  张凤羽

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/12 ,  H04L43/18 ,  H04L63/30

Abstract: 本发明公开了一种网络审计数据采集方法及相应装置、设备和存储介质，所述装置包括：数据抓取单元，用于启动数据转发进程，通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口；数据采集单元，用于启动多个网络审计进程，通过每个网络审计进程从对应的虚拟网络接口获取相应的原始数据报文。本发明有效提高了网络流量的审计性能，增加了网络审计系统的容错性，减少了网络审计时间漏审的几率。

公开(公告)号：CN103793468A

公开(公告)日：2014-05-14

申请号：CN201310741482.1

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 刘勇 ,  张凤羽

IPC: G06F17/30

CPC classification number: G06F17/30091 ,  G06F3/0643

Abstract: 本发明提出了一种数据存储方法和装置以及一种数据读取方法和装置。其中所述数据存储方法包括：a）为将要存储的数据指派标识；b）在数据存储文件的第一区域中的第一位置存储所述将要存储的数据，以及在所述数据存储文件的第二区域中的第二位置存储所述标识和与所述将要存储的数据有关的附加信息。由此，本发明解决了现有技术中存在的存取速度问题、存储格式限制问题和占用系统资源问题，实现了良好的技术效果。

公开(公告)号：CN101924656B

公开(公告)日：2013-11-06

申请号：CN201010263333.5

申请日：2010-08-26

Applicant: 北京天融信科技有限公司

Inventor： 张凤羽

IPC: H04L12/24 ,  H04L12/26 ,  G06F9/445 ,  G06F17/30

Abstract: 本发明公开了一种基于动态配置的网络设备CLI实现方法和装置，在CLI主程序启动时，向内存中加载配置文件，将配置文件递归解析成命令集树，在命令集树中对用户输入的命令进行匹配，执行匹配成功的命令。CLI主程序启动后，通过对配置文件的解析生成命令集树，开发过程中开发人员只需要对CLI命令最终调用的程序进行调试即可、不需要对CLI程序的加载、解析、匹配等过程进行编译，大大节省了开发时间与开发工作量。当要对CLI的命令结构进行更改和新增命令行时，只需更改对应的配置文件即可，不需要编译，即改即生效。本发明克服了现有技术中zebra命令行方法开发与调试难度大且开发结果不能动态修改的缺陷。