公开(公告)号：CN105635046B

公开(公告)日：2019-05-17

申请号：CN201410588938.X

申请日：2014-10-28

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡文广 ,  夏浩延

IPC: H04L29/06 ,  G06F16/215

Abstract: 本发明提出一种数据库命令行过滤、阻断审计方法和装置。该方法和装置包括：审计引擎将数据库操作事件送入专用的结构化查询语言SQL语句解析模块；对数据库事件的SQL语句操作进行实时捕获、识别、分类；并将SQL语句的关键信息数据包发送至检测模块；检测模块将SQL语句的关键信息数据包与审计策略生成模块中预定义的阻断策略相比较；检出SQL语句的关键信息数据包中的非法关键信息和合法关键信息；将非法关键信息发送至数据包修改模块进行修改，将合法关键信息发送至数据包转发模块进行转发；非法关键信息修改为合法关键信息后被发送至数据包转发模块进行转发。通过本发明能够保证对于特定的SQL语句的阻断，而不会断开整个链接。

公开(公告)号：CN105991623B

公开(公告)日：2019-04-26

申请号：CN201510098835.X

申请日：2015-03-05

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 张延佳

IPC: H04L29/06

Abstract: 本发明一种业务互联关系审计方法和系统包括：通过流量镜像采集虚拟交换和实体交换机中的原始流量数据。根据原始流量数据构建业务流信息数据协议AppFlow。对业务流信息数据协议AppFlow持续计算以构建业务互联通讯对列表list；当业务互联通讯对的数量超过第一阈值时，对业务互联通讯对list进行压缩。根据压缩后的业务互联通讯对list构建特征值基线，基于特征值基线判断增加的新的业务互联通讯对是否为异常互联；如果是异常互联，则进行异常互联报警；如果是正常互联，则更新特征值基线。基于异常互联告警的次数和严重等级获得业务互联指数，作为业务互联的整体审计指标。通过本发明的方案，能够在复杂多变的云环境下，提供全面、可靠的信息安全防护。

公开(公告)号：CN105024969B

公开(公告)日：2018-04-03

申请号：CN201410155997.8

申请日：2014-04-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  曲武 ,  周涛

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

公开(公告)号：CN104111932B

公开(公告)日：2018-02-13

申请号：CN201310134135.2

申请日：2013-04-17

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 许金鹏 ,  王洋 ,  李健安 ,  薛萍

IPC: G06F17/30

Abstract: 本发明公开了一种身份证号码的识别方法及装置，克服目前还没有较为成熟的从网络数据中识别身份证号码的缺陷，该方法包括：从字符流中识别出可能为身份证号码的字符串；采用身份证号码编码规则对所述可能为身份证号码的字符串进行验证；将通过验证的所述可能为身份证号码的字符串作为可能有效的身份证号码。本申请的实施例可以在网路安全领域对大流量的网页内容进行过滤识别，准确性高、速度快、硬件设备上占用内存空间小。

公开(公告)号：CN106302371A

公开(公告)日：2017-01-04

申请号：CN201510323975.2

申请日：2015-06-12

Applicant: 北京网御星云信息技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 高鹏

IPC: H04L29/06

CPC classification number: H04L63/0227 ,  H04L63/0263

Abstract: 本发明公开一种基于用户业务系统的防火墙控制方法和系统，包括：接收客户端发送的包含业务系统标识和业务系统网络信息的网络请求信息。将业务系统标识与预置的业务安全访问控制策略中的业务系统标识相匹配。当在第一业务安全访问控制策略中找到匹配的业务系统标识时，检测第一业务安全访问控制策略中已经建立的网络连接中是否存在与业务系统网络信息相匹配的网络连接；根据检测结果以及第一业务安全访问控制策略中的相应操作指令，建立完成该操作指令的业务安全访问控制子策略。基于业务安全访问控制子策略处理业务系统向防火墙传输的报文。通过本发明的方案，能够实现基于用户业务系统的防火墙级别的安全访问控制，增强了用户安全管理的易用性。

公开(公告)号：CN103077071B

公开(公告)日：2016-08-03

申请号：CN201210593535.5

申请日：2012-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  叶润国 ,  胡振宇

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明公开了一种KVM虚拟机进程信息的获取方法及系统，涉及信息安全技术领域。本发明公开的系统包括：系统调用截获模块，截获Qemu?kvm发起的IOCTL系统调用，并将该调用的参数发送给内省API驱动模块；内省API驱动模块，替代Qemu?kvm向KVM发起IOCTL系统调用，记录KVM响应调用的vcpu并返回给Qemu?kvm，获取正在运行中的虚拟机中的进程和寄存器的相关信息，并对所获取的相关信息进行结构化处理后通过进程扫描接口暴露给外部程序，以及接收由外部程序发起的扫描命令，通过vcpu向KVM发起该请求。本发明还公开了一种KVM虚拟机进程信息的获取方法。本申请技术方案可以在不修改Qemu?kvm和KVM代码的前提下，透明的实现对其上运行的虚拟机中的进程信息的内省。

公开(公告)号：CN105681250A

公开(公告)日：2016-06-15

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN103023704B

公开(公告)日：2016-04-06

申请号：CN201210566912.6

申请日：2012-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  李陟

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/08 ,  H04L12/931

Abstract: 本发明提供了一种虚拟网络服务设备接入方法及系统，其中，该虚拟网络服务设备接入方包括：获得当前虚拟机在虚拟交换机上的端口号；获得接入到虚拟交换机上的网络服务设备所在的端口号；以及，查找所述虚拟交换机上所述当前虚拟机的数据转发规则，如果查找到所述当前虚拟机的数据转发规则，则根据所述网络服务设备所在的端口号修改所述数据转发规则并写入新的数据转发规则，如果没有查找到所述当前虚拟机的数据转发规则，则为所述当前虚拟机生成并写入新的数据转发规则。本发明通过对虚拟交换机上的数据转发规则的处理，使虚拟机的网络流量被导引到网络服务设备上，经由网络服务设备处理后再转发给目标设备，从而为虚拟机的网络流量监控提供服务。

公开(公告)号：CN105337789A

公开(公告)日：2016-02-17

申请号：CN201410394892.8

申请日：2014-08-12

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 李陟 ,  曲武

IPC: H04L12/26

Abstract: 本发明公开了一种监控虚拟网络流量的方法和装置，应用于KVM虚拟化环境中基于Linux Bridge实现的虚拟网络，预先在虚拟网络的宿主系统上设置监控代理，并将宿主系统中的Linux Bridge的工作模式设置为混杂模式；其中，监控代理用于捕获连接多台虚拟机的Linux Bridge的二层数据包；该方法包括：监控代理捕获所有通过Linux Bridge的二层数据包；监控代理判断出需要对捕获的数据包进行安全监控，将捕获的数据包发送给安全虚拟机。本发明通过监控代理在捕获到通过Linux Bridge的二层数据包后，将需要进行安全监控的数据包发送给安全虚拟机进行安全检测，从而实现对虚拟网络流量进行监控。

公开(公告)号：CN105095318A

公开(公告)日：2015-11-25

申请号：CN201410220033.7

申请日：2014-05-22

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡海雷 ,  陈东

IPC: G06F17/30

Abstract: 本发明公开了一种热点分析的方法和装置，包括：在统计周期内，根据至少一个事件的属性对事件集合进行统计分类，得到由不同事件类组成的统计结果；根据至少一个事件类的属性，将得到的统计结果中的事件类逐一映射到不同事件块的相应事件子块中；根据得到的映射结果，计算各事件块中每个事件子块的聚合度偏差；根据计算出的事件子块的聚合度偏差以及预先设置的热点判断策略，确定每个事件块中的热点。通过本发明提供的技术方案，基于所定义的事件类的聚合度，有效改进了热点分析的计算复杂度，从而很好地满足了对大量的、多种类型的、快速出现的数据进行热点分析的需求。