-
公开(公告)号:CN101465760A
公开(公告)日:2009-06-24
申请号:CN200710179694.X
申请日:2007-12-17
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种检测拒绝服务攻击的方法和系统,本发明以布隆计数过滤器为基础,充分利用宏观网络中攻击发生时IP地址和/或端口呈现重尾分布的特点,能够检测宏观网络中的拒绝服务攻击行为。本发明包括:数据采集与解析模块、信息存储模块、信息统计模块、检测模块、告警模块。本发明采用了布隆计数过滤器和压缩数据还原技术,克服了维护和遍历IP地址空间而导致计算资源开销大的问题,达到了提高检索速度、检测性能的优点。本发明运用在网络入侵检测系统或者网络入侵防御系统中,能够完成宏观网络中大流量下的拒绝服务攻击检测。
-
公开(公告)号:CN101286988B
公开(公告)日:2011-05-04
申请号:CN200810104416.2
申请日:2008-04-18
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种并行多模式匹配的方法和系统,所述系统包括:生成模块,用于读取包含匹配规则的规则集,将所述规则集中包含通配符的匹配规则从通配符处分割成所述匹配规则的子规则,所述子规则中不包含通配符,所述规则集中不包含通配符的匹配规则作为其自身的子规则,并将所有子规则按照AC算法生成AC自动机,并输出所述AC自动机;匹配模块,用于读取搜索对象和所述AC自动机,按AC算法应用所述AC自动机进行搜索,判断所述搜索对象是否按子规则在所述匹配规则中的顺序匹配所述匹配规则的所有子规则,如果是,则所述搜索对象匹配所述匹配规则,并输出匹配结果。从而既保留AC算法的高效性,又可以匹配含有通配符的非确定性规则。
-
公开(公告)号:CN100574324C
公开(公告)日:2009-12-23
申请号:CN200610113366.5
申请日:2006-09-25
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种IP地址快速定位的方法和系统。该方法包含如下步骤:1.读取工P地址范围的配置信息;2.在IP地址和地址属性之间建立索引;3.获取数据包,解析得到IP地址;4.根据步骤2中建立的索引,快速(1个命令行)得到对应的地址属性代码。本方法通过用户自定义的方式,能够灵活的对任何地址范围进行定义和定位,从而增强了定位功能的灵活性。
-
公开(公告)号:CN101582788A
公开(公告)日:2009-11-18
申请号:CN200810106329.0
申请日:2008-05-12
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L12/24
Abstract: 一种对安全事件的分级处理方法及系统,该方法包括步骤:先实时获取安全系统生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;根据各个安全事件的危害级别,按照该级别对应的方式进行处理。相应的分级处理系统包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置。本发明能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。
-
公开(公告)号:CN101547127A
公开(公告)日:2009-09-30
申请号:CN200810102850.7
申请日:2008-03-27
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种内、外网络报文的识别方法,是一种广泛用于对网络报文进行监测的安全系统、网络审计安全系统防止网络入侵的方法。本发明包括:互联网、局域网、电脑终端,服务器、工作站,路由器,其所述的方法的步骤是:读取网络报文的步骤;获得TTL数值的步骤;分析的步骤;记录的步骤。本发明提出一种根据网络报文的特征,识别内网、外网报文。即根据TTL数值减量的多少确定内外网报文,又根据TTL数值和内外网络标识字的关系而确定是内网还是外网报文,以及非正常报文。本方法无需特殊的配置,处理性方法十分简单,资源使用自然也十分有限,所以可以到达很高的速度。区分内外网报文的作用是可以确定攻击事件发出的区域。
-
Patent Agency Ranking
公开(公告)号:CN101286988A
公开(公告)日:2008-10-15
申请号:CN200810104416.2
申请日:2008-04-18
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种并行多模式匹配的方法和系统,所述系统包括:生成模块,用于读取包含匹配规则的规则集,将所述规则集中包含通配符的匹配规则从通配符处分割成所述匹配规则的子规则,所述子规则中不包含通配符,所述规则集中不包含通配符的匹配规则作为其自身的子规则,并将所有子规则按照AC算法生成AC自动机,并输出所述AC自动机;匹配模块,用于读取搜索对象和所述AC自动机,按AC算法应用所述AC自动机进行搜索,判断所述搜索对象是否按子规则在所述匹配规则中的顺序匹配所述匹配规则的所有子规则,如果是,则所述搜索对象匹配所述匹配规则,并输出匹配结果。从而既保留AC算法的高效性,又可以匹配含有通配符的非确定性规则。
-
公开(公告)号:CN101547127B
公开(公告)日:2013-02-13
申请号:CN200810102850.7
申请日:2008-03-27
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种内、外网络报文的识别方法,是一种广泛用于对网络报文进行监测的安全系统、网络审计安全系统防止网络入侵的方法。本发明包括:互联网、局域网、电脑终端,服务器、工作站,路由器,其所述的方法的步骤是:读取网络报文的步骤;获得TTL数值的步骤;分析的步骤;记录的步骤。本发明提出一种根据网络报文的特征,识别内网、外网报文。即根据TTL数值减量的多少确定内外网报文,又根据TTL数值和内外网络标识字的关系而确定是内网还是外网报文,以及非正常报文。本方法无需特殊的配置,处理性方法十分简单,资源使用自然也十分有限,所以可以到达很高的速度。区分内外网报文的作用是可以确定攻击事件发出的区域。
-
公开(公告)号:CN101577703A
公开(公告)日:2009-11-11
申请号:CN200810106019.9
申请日:2008-05-07
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种无需解码的对base64编码数据的模式匹配方法,该方法可以广泛的用于对数据进行监测的如入侵检测系统、审计系统等安全系统中。该方法包含如下步骤:1.把读取的模式数据转换为几种可能的base64编码表达式;2.采用逻辑表达式方法完成转换后的该模式数据的表达;3.根据逻辑表达式生成用于并行模式匹配的匹配状态树;4.对读取的数据,调用并行模式匹配程序完成模式数据的模式匹配;5.上报匹配结果。本发明具有的优点:能够快速完成base64编码数据(如邮件)的模式匹配。该方法无需进行base64编码的解码操作,就可以完成基于base64编码数据的模式匹配。
-
公开(公告)号:CN101562604B
公开(公告)日:2012-08-08
申请号:CN200810104321.0
申请日:2008-04-17
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明涉及一种基于报文流数据的无缓存模式匹配方法,该方法在处理多报文数据时,无需进行报文缓存,即可完成跨报文的模式匹配工作。该方法包含如下步骤:读取匹配模式;把匹配模式转换为匹配状态树;初始化匹配起始状态;读取待匹配的数据;按照当前的匹配状态,调用匹配程序进行模式匹配;记录当前的匹配状态;如果匹配成功,上报匹配结果;否则转读取待匹配的数据步骤继续。本发明具有的优点:能够在不缓存报文数据的情况下,完成网络数据的完整数据模式匹配,从而大大节省由于数据缓存而引起的时间、空间消耗,提高整体性能。
-
公开(公告)号:CN101425936B
公开(公告)日:2011-08-31
申请号:CN200710176511.9
申请日:2007-10-30
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种基于异常度量的宏观网络安全状态评估方法,包括:定义建模参数与评分标准;采集样本数据,提取用于描述网络安全状态的指标变量;根据从样本数据中提取的指标变量,提取能反映网络运行状态的规律性因素,过滤偶然性因素,建立网络正常运行状态模型;采集指标变量检测数据,计算指标变量检测数据与正常模型间的异常程度;根据已定义的评分标准,按照所述指标变量的异常程度计算该指标的标准化评分,按照指标变量的重要程度给出网络整体状态的标准化评分。本发明方法能根据不同网络环境下各指标变量关注度不同,调整各指标变量的建模参数与评分标准,描述当前网络中重要指标变量的当前状态以及网络的整体综合状态,具有实时、准确、定量、可配置等优点。
-
-
-
-
-
-
-
-
-
Search Results
22
records
(took 0.045 seconds)
