公开(公告)号：CN101572633A

公开(公告)日：2009-11-04

申请号：CN200910083457.2

申请日：2009-05-05

Applicant: 北京系统工程研究所

Inventor： 赵刚 ,  邹涛 ,  况晓辉 ,  唐洪 ,  黄敏桓

IPC: H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种网络取证方法及系统，其中，所述方法包括：从被监控网络中捕获流经网络的数据流；从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录；存储所述纯文本选段以及所述纯文本选段对应的网络连接记录；确定进行取证分析时，根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。所述方法及系统在与现有技术所述网络取证系统相同的存储空间下，能够存储更长时间范围内的网络取证基础数据，进而能够实现对更长时间范围内事件的取证。

公开(公告)号：CN101576872B

公开(公告)日：2014-05-28

申请号：CN200910086633.8

申请日：2009-06-16

Applicant: 北京系统工程研究所

Inventor： 邹涛 ,  许博义 ,  黄敏桓 ,  刘丽 ,  赵刚

IPC: G06F17/21 ,  G06F17/30

Abstract: 本发明公开了一种中文文本处理方法及装置，该方法包括：获取待分割中文文本，使用中文分词方法对待分割中文文本进行分割，得到N0个初始文本片段；对所述N0个初始文本片段进行M级聚合处理，得到NM个第M级文本片段；其中，N0、NM、M分别为不小于1的整数。该方法及装置能够降低检索结果的误报概率。

公开(公告)号：CN102480420A

公开(公告)日：2012-05-30

申请号：CN201010564195.4

申请日：2010-11-29

Applicant: 北京系统工程研究所

Inventor： 黄敏桓 ,  温研 ,  郭勇 ,  况晓辉 ,  赵金晶 ,  许飞 ,  李津 ,  唐洪 ,  常海峰 ,  崔益民 ,  金旗

IPC: H04L12/56 ,  H04L12/46

Abstract: 本发明公开了一种报文发送方法及装置，还公开了一种报文接收方法及装置，所述报文发送方法包括：源虚拟机的虚拟网卡接收源虚拟机所需发送的报文，将接收到的报文通过网桥发送给虚拟机所在物理计算机的物理网卡；所述物理网卡将所述报文发送给虚拟机对应的物理网关，以便所述物理网关根据报文的目的地址将报文转发给报文的目的虚拟机。所述方法及装置能够进行真实网络中物理网关报文转发的场景模拟，降低研究结果的误差。

公开(公告)号：CN101572633B

公开(公告)日：2012-01-11

申请号：CN200910083457.2

申请日：2009-05-05

Applicant: 北京系统工程研究所

Inventor： 赵刚 ,  邹涛 ,  况晓辉 ,  唐洪 ,  黄敏桓

IPC: H04L12/26 ,  H04L12/24

Abstract: 本发明公开了一种网络取证方法及系统，其中，所述方法包括：从被监控网络中捕获流经网络的数据流；从所述数据流中提取纯文本选段以及所述纯文本选段对应的网络连接记录；存储所述纯文本选段以及所述纯文本选段对应的网络连接记录；确定进行取证分析时，根据存储的所述纯文本选段以及所述纯文本选段对应的网络连接记录进行取证分析。所述方法及系统在与现有技术所述网络取证系统相同的存储空间下，能够存储更长时间范围内的网络取证基础数据，进而能够实现对更长时间范围内事件的取证。

公开(公告)号：CN101576872A

公开(公告)日：2009-11-11

申请号：CN200910086633.8

申请日：2009-06-16

Applicant: 北京系统工程研究所

Inventor： 邹涛 ,  许博义 ,  黄敏桓 ,  刘丽 ,  赵刚

IPC: G06F17/21 ,  G06F17/30

Abstract: 本发明公开了一种中文文本处理方法及装置，该方法包括：获取待分割中文文本，使用中文分词方法对待分割中文文本进行分割，得到N0个初始文本片段；对所述N0个初始文本片段进行M级聚合处理，得到NM个第M级文本片段；其中，N0、NM、M分别为不小于1的整数。该方法及装置能够降低检索结果的误报概率。

公开(公告)号：CN101958897B

公开(公告)日：2013-10-09

申请号：CN201010292868.5

申请日：2010-09-27

Applicant: 北京系统工程研究所

Inventor： 王东霞 ,  马国庆 ,  李津 ,  冯学伟 ,  王春雷 ,  方兰 ,  李远玲 ,  黄敏桓 ,  况晓辉 ,  明亮 ,  陈杰 ,  崔益民 ,  唐剑

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种安全事件关联分析方法及系统，采用状态机实时记录安全事件的发展。当新到达的安全事件能够和状态机相匹配时，根据状态机的迁移条件判断是否进行状态迁移操作；当无法找到状态机与之匹配时，根据预先定义的安全事件序列树建立新的状态机与之匹配。当状态机迁移至终态或发生超时时，结束状态机运行并生成系统安全日志。状态机实时记录从开始到终态之间的安全事件的信息，进而可以有效提高关联分析结果的可靠性。

公开(公告)号：CN101958897A

公开(公告)日：2011-01-26

申请号：CN201010292868.5

申请日：2010-09-27

Applicant: 北京系统工程研究所

Inventor： 王东霞 ,  马国庆 ,  李津 ,  冯学伟 ,  王春雷 ,  方兰 ,  李远玲 ,  黄敏桓 ,  况晓辉 ,  明亮 ,  陈杰 ,  崔益民 ,  唐剑

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种安全事件关联分析方法及系统，采用状态机实时记录安全事件的发展。当新到达的安全事件能够和状态机相匹配时，根据状态机的迁移条件判断是否进行状态迁移操作；当无法找到状态机与之匹配时，根据预先定义的安全事件序列树建立新的状态机与之匹配。当状态机迁移至终态或发生超时时，结束状态机运行并生成系统安全日志。状态机实时记录从开始到终态之间的安全事件的信息，进而可以有效提高关联分析结果的可靠性。