公开(公告)号：CN103067356A

公开(公告)日：2013-04-24

申请号：CN201210535414.5

申请日：2012-12-12

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  刘新刚

IPC: H04L29/06 ,  H04L12/26 ,  G06F9/455

Abstract: 本发明提供了一种保障业务虚拟机安全的系统及方法，该系统包括安全管理中心和位于物理服务器上的一一对应的业务虚拟机和安全虚拟机，其中：所述安全管理中心，用于获得当前业务虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息，将当前业务虚拟机对应的安全虚拟机同步迁移到目标物理服务器上，并通过虚拟化平台中的虚拟化管理服务器向所述当前业务虚拟机对应的安全虚拟机发送安全策略；所述安全虚拟机，用于接收来自所述安全管理中心的所述安全策略，根据所述安全策略对对应的业务虚拟机进行实时安全监控。本发明通过在所关注的业务虚拟机发生迁移时，将对应的安全虚拟机同步迁移到目标物理服务器上，实现了对业务虚拟机的不间断监控。

公开(公告)号：CN103065086A

公开(公告)日：2013-04-24

申请号：CN201210566928.7

申请日：2012-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  刘新刚

IPC: G06F21/55 ,  G06F9/455 ,  H04L29/06

Abstract: 本发明提供了一种应用于动态虚拟化环境的分布式入侵检测系统及方法，该系统包括检测管理中心和位于物理服务器上的入侵检测引擎，其中：所述检测管理中心，用于获得当前虚拟机迁移前后所属的源物理服务器信息和目标物理服务器信息，通过虚拟化平台中的虚拟化管理服务器对源物理服务器上的入侵检测引擎进行停止入侵检测配置和对目标物理服务器上的入侵检测引擎进行开始入侵检测配置；所述入侵检测引擎，用于在配置了开始入侵检测安全策略后对对应的物理服务器上的特定虚拟机进行入侵检测，在配置了停止入侵检测安全策略后，停止对对应物理服务器上的特定虚拟机进行入侵检测。本发明可实现对虚拟机的连续监控。

公开(公告)号：CN101902456B

公开(公告)日：2013-04-03

申请号：CN201010110771.8

申请日：2010-02-09

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  胡振宇 ,  孙海波

IPC: H04L29/06 ,  H04L29/12

Abstract: 一种Web网站安全防御系统，包括流量牵引器及Web安全检测器；所述流量牵引器与DNS服务器相连，用于从DNS服务器接收客户端的DNS域名解析请求，将该域名解析为所述Web安全检测器的IP地址，返回给所述客户端；所述Web安全检测器用于接收HTTP请求消息，对该HTTP请求消息进行入侵检测，如果未发现异常，则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本发明部署位置不受串行部署的限制，支持分布式部署，无需修改Web客户端和Web服务器配置，节省安全方面的成本，并且兼容性好，可伸缩性强。

公开(公告)号：CN101901221B

公开(公告)日：2012-08-29

申请号：CN200910085034.4

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李博 ,  叶润国

IPC: G06F17/30 ,  G06F21/00

Abstract: 本发明提出一种跨站脚本攻击的检测装置，包括指数计算单元、提取单元、编码还原单元、语义还原单元、匹配程度计算单元和判断单元，各单元彼此协作，采用综合HTML标签分析分析的方法(包括标签的EJSRF分析、JavaScript编码变形分析、JavaScript语义变性分析、XSS攻击特征模式匹配这4种方法)对Web页面中夹带的恶意跨站脚本进行识别、提取。这种以HTML标签分析为核心的跨站脚本识别与提取技术能够高效准确地区分Web页面中正常的JavaScript与恶意的跨站脚本，使得网络安全检测设备和网络终端能够精确识别、过滤含有恶意跨站脚本的Web页面，同时又能够保证合法的(没有夹杂恶意跨站脚本)的Web页面正常通过。

公开(公告)号：CN102571846A

公开(公告)日：2012-07-11

申请号：CN201010603366.X

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/08 ,  H04L29/06

Abstract: 一种转发HTTP请求的方法及装置；方法包括：判断Web客户端的HTTP请求的URL是否为Web表单请求URL或Web表单数据提交URL；当所述HTTP请求的URL为Web表单请求URL时，如果该HTTP请求的URL参数中携带了有效的令牌，则转发该HTTP请求；如果未携带令牌则随机生成一个唯一的令牌，将所述HTTP请求的URL和生成的令牌拼接成新的URL，丢弃所述HTTP请求并向所述Web客户端发送一个请求重定向到所述新的URL的HTTP响应消息；当所述HTTP请求的URL为Web表单数据提交URL时，如果该HTTP请求存在Referer值，并且从Referer中可以提取出有效的令牌，则转发该HTTP请求。本发明能够实现对CSRF攻击的有效防御，大大减轻Web安全网关的计算开销。

公开(公告)号：CN102385677A

公开(公告)日：2012-03-21

申请号：CN201010270457.6

申请日：2010-09-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  胡振宇 ,  叶润国 ,  袁智辉

IPC: G06F21/24

CPC classification number: G06F11/00

Abstract: 本发明提供了一种统一威胁管理系统及其数据处理方法；系统包括：数据存储模块，包括多个数据池，各所述数据池分别用于存储一种类型的数据；服务处理模块，包括一个或多个计算池，各计算池分别用于进行实现一种服务功能的处理操作，从用于存储本计算池所需类型的数据的所述数据池读取数据，将处理后的数据输出给用于存储该类型数据的数据池；管理中心，用于保存各数据池和数据的类型之间的第一对应关系，及各计算池与服务功能之间的第二对应关系。本发明可以避免直接耦合的一体化安全网关存在的动态扩展性和容错性方面的不足。

公开(公告)号：CN102316081A

公开(公告)日：2012-01-11

申请号：CN201010222214.5

申请日：2010-06-30

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  黄宇鸿

IPC: H04L29/06 ,  H04L12/26

Abstract: 本发明提供了一种相似网页的识别方法及装置；所述识别装置包括：接收模块，用于分别接收两个网页的文档对象模型DOM树；比较模块，用于对所接收的两个DOM树进行比较，得到该两个DOM树的相似度；判断模块，用于将所述相似度与一预设的阈值比较，如果大于或等于该阈值，判断所述两个网页相似。本发明可以在服务器外部进行相似网页的对比，通过该对比结果可进一步对一个疑似的钓鱼网站进行判断，不会对服务器和钓鱼网站产生任何影响。

公开(公告)号：CN101459548B

公开(公告)日：2011-10-12

申请号：CN200710179538.3

申请日：2007-12-14

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  胡振宇 ,  骆拥政 ,  朱钱航 ,  邓伟 ,  李博

IPC: H04L12/26 ,  H04L29/08

Abstract: 一种脚本注入攻击检测方法和系统，属于计算网络技术领域。包括HTTP请求获取、从HTTP请求中提取用户输入数据、对用户输入数据进行脚本注入攻击检测和脚本注入攻击事件报警等步骤，所述的对用户输入数据进行脚本注入攻击检测步骤包括用户输入数据解码、文档对象模型结构分析、文档对象模型脚本提取和脚本语法检测等步骤。所述的脚本注入攻击检测系统包括HTTP请求获取模块、用户输入数据提取模块、脚本注入攻击检测模块和脚本注入攻击报警模块，所述的脚本注入攻击检测模块包括用户输入数据解码模块、文档对象模型结构分析模块、注入脚本提取模块和脚本语法检测模块。脚本注入攻击检测方法和系统适合应用于Web服务安全保障产品。

公开(公告)号：CN101184094B

公开(公告)日：2011-07-27

申请号：CN200710178851.5

申请日：2007-12-06

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  华东明 ,  骆拥政

IPC: H04L29/06 ,  H04L12/24 ,  H04L12/26

Abstract: 本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统，是一种适于高速局域网环境的网络节点扫描检测的方法和系统。本发明包括网络终端、局域网，所述方法的步骤：数据获取步骤；DNS解析监控步骤；可疑网络访问过滤步骤；可疑网络访问统计步骤；网络扫描检测步骤。本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联，最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求。采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标，适于局域网环境的网络节点扫描检测系统对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。

公开(公告)号：CN101399658B

公开(公告)日：2011-05-11

申请号：CN200710122232.4

申请日：2007-09-24

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 周涛 ,  叶润国 ,  骆拥政 ,  王征

IPC: H04L9/00 ,  H04L29/06

Abstract: 本发明公开了一种安全日志分析方法及系统，实现了从海量日志中过滤无效日志和误报日志，发现大规模网络安全事件，以及经常出现的攻击序列。所述方法包括：利用面向属性归纳算法，对海量日志进行聚类分析，生成聚类后每类日志的类描述；管理员根据聚类后的类描述设置过滤规则，从当前日志库中去除不相关日志和误报的日志，对海量日志进行精简；提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征；对精简后的日志进行序列模式挖掘，找出攻击者常用的攻击行为序列描述，并最终提交给管理员。所述系统包括聚类分析模块、过滤模块和序列模式挖掘模块。本发明适用于对安全产品的海量日志信息处理。