-
公开(公告)号:CN101902441B
公开(公告)日:2013-05-15
申请号:CN200910085069.8
申请日:2009-05-31
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种可实现序列攻击事件检测的入侵检测方法,包括:根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测,提高检测效率。
-
公开(公告)号:CN101562604B
公开(公告)日:2012-08-08
申请号:CN200810104321.0
申请日:2008-04-17
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明涉及一种基于报文流数据的无缓存模式匹配方法,该方法在处理多报文数据时,无需进行报文缓存,即可完成跨报文的模式匹配工作。该方法包含如下步骤:读取匹配模式;把匹配模式转换为匹配状态树;初始化匹配起始状态;读取待匹配的数据;按照当前的匹配状态,调用匹配程序进行模式匹配;记录当前的匹配状态;如果匹配成功,上报匹配结果;否则转读取待匹配的数据步骤继续。本发明具有的优点:能够在不缓存报文数据的情况下,完成网络数据的完整数据模式匹配,从而大大节省由于数据缓存而引起的时间、空间消耗,提高整体性能。
-
公开(公告)号:CN101547126B
公开(公告)日:2011-10-12
申请号:CN200810102849.4
申请日:2008-03-27
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明公开了在TCP/IP网络中的一种基于网络数据流的网络病毒检测方法及装置,对网络病毒根据宿主文件类型进行分类,根据不同描述方式对网络病毒特征进行分片,对特定个数的网络数据包重组成网络数据流,使分类和分片后的网络病毒特征和网络数据流进行匹配,检测网络数据流中隐含的网络病毒,并在匹配过程中扫描网页文件格式特征,以检测嵌入网络病毒。利用本发明,可以对网络数据流和网络病毒特征进行两次匹配,并能检测嵌入网络病毒;这样可以高效和准确地检测在TCP/IP网络中传播的网络病毒,使网络用户免受通过网络传播的网络病毒攻击,为网络用户提供一个安全的网络环境。
-
公开(公告)号:CN101425936B
公开(公告)日:2011-08-31
申请号:CN200710176511.9
申请日:2007-10-30
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种基于异常度量的宏观网络安全状态评估方法,包括:定义建模参数与评分标准;采集样本数据,提取用于描述网络安全状态的指标变量;根据从样本数据中提取的指标变量,提取能反映网络运行状态的规律性因素,过滤偶然性因素,建立网络正常运行状态模型;采集指标变量检测数据,计算指标变量检测数据与正常模型间的异常程度;根据已定义的评分标准,按照所述指标变量的异常程度计算该指标的标准化评分,按照指标变量的重要程度给出网络整体状态的标准化评分。本发明方法能根据不同网络环境下各指标变量关注度不同,调整各指标变量的建模参数与评分标准,描述当前网络中重要指标变量的当前状态以及网络的整体综合状态,具有实时、准确、定量、可配置等优点。
-
公开(公告)号:CN101527648A
公开(公告)日:2009-09-09
申请号:CN200810101524.4
申请日:2008-03-07
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种能够完成整数匹配的状态树匹配方法,在完成通用的并行模式匹配同时,完成整数的数值匹配,是一种用于计算机或网络的入侵监测、审计等多种基于数据监测的方法。本发明所述方法的步骤:读取整数定义模式的步骤,生成状态树的步骤,读取数据的步骤,模式匹配的步骤,上报结果的步骤。本发明可以在字符串匹配的同时,完成整数的匹配,从而提高匹配的速度。加快了在数据检测、审计的速度,减少了硬件开销,提高了数据检测和审计的效率。
-
Patent Agency Ranking
公开(公告)号:CN101547127B
公开(公告)日:2013-02-13
申请号:CN200810102850.7
申请日:2008-03-27
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种内、外网络报文的识别方法,是一种广泛用于对网络报文进行监测的安全系统、网络审计安全系统防止网络入侵的方法。本发明包括:互联网、局域网、电脑终端,服务器、工作站,路由器,其所述的方法的步骤是:读取网络报文的步骤;获得TTL数值的步骤;分析的步骤;记录的步骤。本发明提出一种根据网络报文的特征,识别内网、外网报文。即根据TTL数值减量的多少确定内外网报文,又根据TTL数值和内外网络标识字的关系而确定是内网还是外网报文,以及非正常报文。本方法无需特殊的配置,处理性方法十分简单,资源使用自然也十分有限,所以可以到达很高的速度。区分内外网报文的作用是可以确定攻击事件发出的区域。
-
公开(公告)号:CN101729389A
公开(公告)日:2010-06-09
申请号:CN200810224570.3
申请日:2008-10-21
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法;装置包括转发引擎和流量分析单元;所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量,从各目标主机发出的网络数据包中收集可信网络地址;当检测到攻击流量时,采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制;所述流量分析单元用于根据所接收的网络数据包样本,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。
-
公开(公告)号:CN101631026A
公开(公告)日:2010-01-20
申请号:CN200810116857.4
申请日:2008-07-18
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明公开了一种在TCP/IP网络中防御拒绝服务攻击的方法,所述方法包括:对TCP、UDP和ICMP流量进行随机抽样,统计并计算出每个流量的速率大小,然后进行流量比例特征和流量分布特征检测,并验证相应源主机身份的可信性,根据检测结果和源主机身份认证结果自学习黑白名单以及DoS攻击特征表,最后利用黑白名单和DoS攻击特征表对流量进行过滤,对正常流量进行放行,对拒绝服务攻击进行阻断。利用本发明,可以检测和阻断拒绝服务攻击,这样可以保证网络的可用性,并可以预防网络拒绝服务攻击的发生,为网络用户提供一个安全的网络环境。
-
公开(公告)号:CN101577703A
公开(公告)日:2009-11-11
申请号:CN200810106019.9
申请日:2008-05-07
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种无需解码的对base64编码数据的模式匹配方法,该方法可以广泛的用于对数据进行监测的如入侵检测系统、审计系统等安全系统中。该方法包含如下步骤:1.把读取的模式数据转换为几种可能的base64编码表达式;2.采用逻辑表达式方法完成转换后的该模式数据的表达;3.根据逻辑表达式生成用于并行模式匹配的匹配状态树;4.对读取的数据,调用并行模式匹配程序完成模式数据的模式匹配;5.上报匹配结果。本发明具有的优点:能够快速完成base64编码数据(如邮件)的模式匹配。该方法无需进行base64编码的解码操作,就可以完成基于base64编码数据的模式匹配。
-
公开(公告)号:CN101552722A
公开(公告)日:2009-10-07
申请号:CN200810103358.1
申请日:2008-04-03
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种管理网络流量带宽的方法及装置,包括:根据IP的源和目的地址、源和目的端口、应用层协议类型,将流量分为源和目的IP流量、源和目的端口流量和协议流量。根据IP的不同优先级,将流量分为白流量、灰流量和黑流量。基于速率对流量进行检测,根据对流量的不同检测结果,实施预先设置的控制动作,丢弃超过流量速率限制的数据包,使数据包以低于限制的速率发送出去。利用本发明,可以对网络流量的带宽进行管理,对网络流量带宽进行分类、检测和控制。这样可以高效地对网络流量带宽进行管理,有效地利用网络带宽,避免网络流量的拥塞,以及可以预防一些异常网络流量攻击的发生,为网络用户提供一个高服务质量和安全的网络环境。
-
-
-
-
-
-
-
-
-
Search Results
25
records
(took 0.036 seconds)
