公开(公告)号：CN101895517A

公开(公告)日：2010-11-24

申请号：CN200910084266.8

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  周涛 ,  孙海波

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/00

Abstract: 一种脚本语义提取方法和提取装置；方法包括：S1、读取用户注入的脚本；S2、依次读取所述脚本中的脚本词汇，如果读取到的脚本词汇为运算符则解析出该运算符所在的脚本表达式，否则继续读取；对解析出的脚本表达式表示的语义进行识别并保存，在识别该脚本表达式的语义后继续读取所述脚本中的脚本词汇，并进行步骤S3；对脚本表达式的语义进行识别时，如果脚本表达式中包含变量或子表达式，并且保存有该变量/子表达式的语义，则用该变量/子表达式的语义替换表达式中的该变量/子表达式后进行识别；S3，将所述步骤S2中识别出的脚本表达式的语义输出。本发明可以提高攻击检测的正确性和可靠性。

公开(公告)号：CN101895516A

公开(公告)日：2010-11-24

申请号：CN200910084265.3

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种跨站脚本攻击源的定位方法及装置；方法包括：A、获取完整的超文本传输协议HTTP请求消息，检查该HTTP请求中是否包含跨站脚本攻击，如果有则执行B，否则结束；B、当发现该HTTP请求的链接源为空，或者所述链接源与该HTTP请求的URL同属于一个Web域时，判定该HTTP请求的发送者为本次跨站脚本攻击源并结束，否则继续执行C；C、获取该HTTP请求链接源所对应的Web网页，并检索该Web网页，如果包含一个发起本次跨站脚本攻击的页面链接地址，则判定该HTTP请求链接源为本次跨站脚本攻击源，否则判定该HTTP请求发送者为本次跨站脚本攻击源。本发明可以准确定位XSS攻击的攻击源。

公开(公告)号：CN101888369A

公开(公告)日：2010-11-17

申请号：CN200910084467.8

申请日：2009-05-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇 ,  周涛

IPC: H04L29/06 ,  H04L12/56

Abstract: 本发明公开了一种进行网络报文规则匹配的方法和装置；方法包括：根据网络报文规则集合构建网络报文分类树；所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性，内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值，该值为一数值或任意值；每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则；每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。

公开(公告)号：CN101377816B

公开(公告)日：2010-10-13

申请号：CN200810117945.6

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  李博

IPC: G06K9/62

Abstract: 本发明涉及匹配规则包含位移指示符的并行多模式匹配的系统及方法，系统包括：生成模块，用于读取包含匹配规则的规则集，将规则集中包含位移指示符的匹配规则从位移指示符处分割成子规则，该子规则为确定规则，连接于位移指示符后的子规则对应的位移量为该位移指示符规定的位移量，为确定规则的匹配规则为其自身的子规则，将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，进行搜索，判断搜索对象是否按顺序匹配所有子规则，并且对于连接于位移指示符后的子规则按该子规则对应的位移量匹配，如果是，则搜索对象匹配该匹配规则，并输出匹配结果。从而，能够应用AC算法对包含有位移指示符的匹配规则进行并行多模式匹配。

公开(公告)号：CN101620653A

公开(公告)日：2010-01-06

申请号：CN200810116184.2

申请日：2008-07-04

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  骆拥政

IPC: G06F21/00 ,  H04L29/06

Abstract: 本发明公开了一种基于资产弱点分析的安全风险评估系统及方法。包括弱点风险计算器和系统风险计算器两个子系统。其方法是：对计算机安全系统资产按功能组成进行层次分割；并依据所分割的层次模型，计算各组件的弱点风险因子；根据各组件的弱点风险因子计算出整个安全系统的总风险。本发明以资产层次结构为基础，利用资产层次结构的组件弱点风险评估计算系统风险，克服了现有风险评估算法的不足，有效地实现了信息系统安全风险的合理评估。

公开(公告)号：CN101388768A

公开(公告)日：2009-03-18

申请号：CN200810224571.8

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  李博 ,  胡振宇 ,  孙海波

IPC: H04L9/00 ,  H04L12/26

Abstract: 本发明提供了一种检测恶意HTTP请求的方法和装置，该装置包括Web访问关系网络构建单元和恶意HTTP请求检测单元，其中：所述Web访问关系网络构建单元用于为待检测Web网站构造Web访问关系网络，该Web访问关系网络体现了该Web网站固有的Web页面访问顺序；所述恶意HTTP请求检测单元用于根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序，如不符合则判定该HTTP请求为恶意的HTTP请求。本发明方法和装置利用Web网站所固有的Web页面访问顺序可以对恶意HTTP请求进行有效检测。

公开(公告)号：CN104751055B

公开(公告)日：2017-11-03

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom‑Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。

公开(公告)号：CN103354530B

公开(公告)日：2016-08-10

申请号：CN201310303538.5

申请日：2013-07-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L12/891 ,  H04L12/46 ,  H04L29/06

Abstract: 本发明公开了一种虚拟化网络边界数据流汇聚方法及装置，涉及信息安全技术领域。本发明公开的装置中：安全策略模块，维护管理不同租户的网络边界安全策略；虚拟化网络数据流捕获模块，监听虚拟交换机上的网络数据流，捕获安全策略指定网络接口的数据包；网络边界数据流过滤网模块，根据各租户的网络边界安全策略，为各租户分别建立基于网络数据流过滤的过滤网，以及将捕获的网络数据包通过此数据包对应的租户的过滤网进行过滤，将过滤后得到的属于该租户的安全域边界的网络数据流进行封装，并发送给该租户对应的网络安全产品。本发明还公开了一种虚拟化网络边界数据流汇聚方法。本申请技术方案有效解决了多租户环境下虚拟化网络安全域边界网络数据流的汇聚问题。

公开(公告)号：CN102546576B

公开(公告)日：2015-11-18

申请号：CN201010621408.2

申请日：2010-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 肖小剑 ,  叶润国

IPC: H04L29/06 ,  H04L12/26

Abstract: 一种网页挂马检测和防护方法、系统及相应代码提取方法，系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；客户端运行脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，和该Web页面本身的URL发送到系统；系统可以将待检测的URL与相应基线中安全的URL进行匹配，如匹配失败，还可以对待检测的URL进行异常检测，确定其安全级别。本发明对环境的依赖性小，还可以减少漏报，并有效地提取标签代码。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。