公开(公告)号：CN105681250B

公开(公告)日：2019-04-02

申请号：CN201410655378.5

申请日：2014-11-17

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 胡卫华 ,  班晓芳 ,  曲武 ,  张利 ,  孟祥杰 ,  刘锡峰 ,  梁杰

IPC: H04L29/06

Abstract: 本发明公开了一种僵尸网络分布式实时检测方法和系统，包括：数据生成组件生成网络流量元数据Netflow信息，并发送给数据检测组件；数据检测组件的检测模型训练单元从经过标注的训练数据中提取多个训练检测特征，建立作为实时检测单元的检测标准的检测模型；数据检测组件的实时检测单元接收实时发送的Netflow信息，并提取多个检测特征，与上述检测模型进行比较，当比较结果匹配时，得出包括检测对象标识符的告警信息，将所述告警信息与主机黑白名单比较，得出确认受控僵尸主机和可疑受控僵尸主机。本发明的方案既可以应用在千兆流量的企业网，又可以应用到ISPs网络中；提高了僵尸网络检测的总体检测性能。

公开(公告)号：CN104978521B

公开(公告)日：2018-05-08

申请号：CN201410142940.4

申请日：2014-04-10

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  毕学尧 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明公开了一种实现恶意代码标注的方法及装置，包括：将恶意代码的可移植的执行体（PE）文件进行处理，获取恶意代码的信息摘要签名和基准标注和纹理特征；根据基准标注及信息摘要签名，将属于同一恶意代码家族的纹理特征生成相应的纹理特征集合；根据纹理特征集合生成第一聚类簇，将第一聚类簇进行合并以生成第二聚类簇，结合信息摘要签名及恶意代码家族深度命名对第二聚类簇进行深度标注。本发明通过对恶意代码进行基准标注和深度标度，采用信息摘要签名及恶意代码家族深度命名，规范了各恶意代码家族的标注方法，提高了对恶意代码标注的准确性和通用性。

公开(公告)号：CN103678613B

公开(公告)日：2017-01-25

申请号：CN201310693308.4

申请日：2013-12-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 王君鹤 ,  曲武 ,  周涛 ,  叶润国

IPC: G06F17/30

Abstract: 本发明公开了一种计算影响力数据的方法及装置；所述方法适用于社交网络，包括：以指定信息的标识作为输入，从预定的社交网络的服务器中爬取所述指定信息的用户操作数据；根据所爬取的所述用户操作数据计算每天的用户参与次数；分别计算每天的参与次数增长率；比较各相邻天的所述参与次数增长率，选出当天的所述参与次数增长率与前N天的参与次数增长率之差均大于第一预定阈值的日期、以及前M天的参与增长率均为负值，当天的所述参与次数增长率为正值且当天的用户参与次数大于第二预定阈值的日期。本发明能够提高社交网络的影响力数据的正确性和可靠性，更加符合实际情况。

公开(公告)号：CN105024969A

公开(公告)日：2015-11-04

申请号：CN201410155997.8

申请日：2014-04-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 侯伟 ,  曲武 ,  周涛

IPC: H04L29/06 ,  H04L29/12

Abstract: 本发明公开了一种实现恶意域名识别的方法及装置，包括：提取域名系统（DNS）域名的动态特征集合，通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断；根据动态特征集合的恶意域名高可信判断结果，确定DNS域名是否为恶意域名，并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中；动态特征集合至少包含：与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定；通过静态特征高可信判断和动态特征高可信判断，提高了恶意域名的识别效率。

公开(公告)号：CN104978522A

公开(公告)日：2015-10-14

申请号：CN201410142983.2

申请日：2014-04-10

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  毕学尧 ,  郭春梅

IPC: G06F21/56

Abstract: 本发明公开了一种检测恶意代码的方法和装置，预先建立恶意代码样本数据库，所述恶意代码样本数据库包括已知恶意代码的可移植的执行体PE文件的信息摘要；预先建立布隆过滤器Bloom-Filter索引结构；该方法包括：获取待测代码的PE文件的信息摘要；当判断出获得的信息摘要和恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要不匹配时，获取所述待测代码的PE文件的纹理指纹；根据预先建立的Bloom-Filter索引结构对获得的纹理指纹进行检测，并返回第一检测报告，所述第一检测报告至少包括所述待测代码是否为恶意代码的检测结果。本发明能够弥补静态检测方法无法检测未知的恶意代码及其变种的问题。

公开(公告)号：CN104301321B

公开(公告)日：2018-04-27

申请号：CN201410568541.4

申请日：2014-10-22

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  曲武

IPC: H04L29/06

Abstract: 本申请公开了一种分布式网络安全防护的方法及系统，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明通过对不是来自或发往物理防火墙的数据流量进行判断后，业务虚拟机对需要进行过滤的数据流量，发往旁挂虚拟防火墙进行过滤，无需过滤的数据流量直接转发；对网络拓扑改变很小，保证了进入虚拟机系统数据流量全部被过滤，减少了虚拟防火墙对资源的消耗。

公开(公告)号：CN104751055B

公开(公告)日：2017-11-03

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom‑Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。

公开(公告)号：CN104301321A

公开(公告)日：2015-01-21

申请号：CN201410568541.4

申请日：2014-10-22

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  曲武

IPC: H04L29/06

CPC classification number: H04L63/0218 ,  G06F9/45504

Abstract: 本申请公开了一种分布式网络安全防护的方法及系统，包括：将虚拟防火墙旁挂在虚拟交换机上；对不是来自或发往物理防火墙的数据流量，业务虚拟机判断是否已经过虚拟防火墙过滤，如果是，转发数据流量，否则，将该数据流量发往虚拟防火墙；虚拟防火墙对接收的数据流量进行过滤，确定为安全的数据流量后，把数据流量转发回业务虚拟机；否则，丢弃数据流量。本发明通过对不是来自或发往物理防火墙的数据流量进行判断后，业务虚拟机对需要进行过滤的数据流量，发往旁挂虚拟防火墙进行过滤，无需过滤的数据流量直接转发；对网络拓扑改变很小，保证了进入虚拟机系统数据流量全部被过滤，减少了虚拟防火墙对资源的消耗。

公开(公告)号：CN102915347B

公开(公告)日：2016-10-12

申请号：CN201210365295.3

申请日：2012-09-26

Applicant: 中国信息安全测评中心 ,  北京启明星辰信息安全技术有限公司

Inventor： 吴世忠 ,  曲武 ,  李世贤 ,  王君鹤 ,  偰赓 ,  陈巍

IPC: G06F17/30

CPC classification number: H04L9/3236

Abstract: 本发明公开了一种分布式数据流聚类方法及系统，克服目前大多数的数据流聚类算法不能在分布式云环境下运行并不能轻易地进行扩展，运行时间效率较差的不足，该方法包括：对数据流进行概要处理，获得数据流的多个特征向量；利用位置敏感哈希算法获得各自包含有至少一个特征向量的多个聚类簇，并从中选取至少一个聚类簇作为候选聚类簇；周期地使用所述候选聚类簇对新到的数据流的特征向量进行聚类处理。本申请的实施例基于位置敏感哈希的聚类算法保证了比现有技术具有更好的实时性能。