公开(公告)号：CN101377816A

公开(公告)日：2009-03-04

申请号：CN200810117945.6

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  李博

IPC: G06K9/62

Abstract: 本发明涉及匹配规则包含位移指示符的并行多模式匹配的系统及方法，系统包括：生成模块，用于读取包含匹配规则的规则集，将规则集中包含位移指示符的匹配规则从位移指示符处分割成子规则，该子规则为确定规则，连接于位移指示符后的子规则对应的位移量为该位移指示符规定的位移量，为确定规则的匹配规则为其自身的子规则，将所有子规则按照AC算法生成AC自动机；匹配模块，用于读取搜索对象，进行搜索，判断搜索对象是否按顺序匹配所有子规则，并且对于连接于位移指示符后的子规则按该子规则对应的位移量匹配，如果是，则搜索对象匹配该匹配规则，并输出匹配结果。从而，能够应用AC算法对包含有位移指示符的匹配规则进行并行多模式匹配。

公开(公告)号：CN101350745A

公开(公告)日：2009-01-21

申请号：CN200810117941.8

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  李博 ,  叶润国 ,  周涛

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L41/0677

Abstract: 一种入侵检测方法及装置，该方法对要检测的每种类型的网络攻击事件，分配一个或多个检测单元，并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库，入侵检测时，实时获取网络数据包，获取网络数据包中包含的待检测对象；然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测，产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测，并要考虑整个入侵检测装置的执行效率。

公开(公告)号：CN104751055B

公开(公告)日：2017-11-03

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom‑Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。

公开(公告)号：CN103354530B

公开(公告)日：2016-08-10

申请号：CN201310303538.5

申请日：2013-07-18

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L12/891 ,  H04L12/46 ,  H04L29/06

Abstract: 本发明公开了一种虚拟化网络边界数据流汇聚方法及装置，涉及信息安全技术领域。本发明公开的装置中：安全策略模块，维护管理不同租户的网络边界安全策略；虚拟化网络数据流捕获模块，监听虚拟交换机上的网络数据流，捕获安全策略指定网络接口的数据包；网络边界数据流过滤网模块，根据各租户的网络边界安全策略，为各租户分别建立基于网络数据流过滤的过滤网，以及将捕获的网络数据包通过此数据包对应的租户的过滤网进行过滤，将过滤后得到的属于该租户的安全域边界的网络数据流进行封装，并发送给该租户对应的网络安全产品。本发明还公开了一种虚拟化网络边界数据流汇聚方法。本申请技术方案有效解决了多租户环境下虚拟化网络安全域边界网络数据流的汇聚问题。

公开(公告)号：CN102546576B

公开(公告)日：2015-11-18

申请号：CN201010621408.2

申请日：2010-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 肖小剑 ,  叶润国

IPC: H04L29/06 ,  H04L12/26

Abstract: 一种网页挂马检测和防护方法、系统及相应代码提取方法，系统将一段用于自动提取标签的脚本代码注入拦截到的Web页面，然后将该Web页面发送到客户端；客户端运行脚本代码，从该Web页面中提取出与网页挂马相关的标签的代码，和该Web页面本身的URL发送到系统；系统可以将待检测的URL与相应基线中安全的URL进行匹配，如匹配失败，还可以对待检测的URL进行异常检测，确定其安全级别。本发明对环境的依赖性小，还可以减少漏报，并有效地提取标签代码。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。

公开(公告)号：CN104580120A

公开(公告)日：2015-04-29

申请号：CN201310516271.8

申请日：2013-10-28

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国 ,  汪宏

IPC: H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L67/10

Abstract: 本发明公开了一种可按需服务的虚拟化网络入侵检测方法和装置，涉及信息安全技术领域。本发明公开的虚拟化网络入侵检测装置，包括：弹性服务调度模块，评估本地检测资源池中的剩余资源是否能够提供本地检测服务，如果能提供，则下发本地检测资源调整的命令给本地检测资源池管理模块，如果不能提供，则将需要检测的流量导出到外部硬件网络入侵检测产品中；本地检测资源池管理模块，在接收到本地检测资源调整的命令时，从本地检测资源池中的剩余资源分配相应的资源为本地检测资源。本发明还公开了一种按需服务的虚拟化网络入侵检测方法。本申请技术方案有效解决了虚拟化网络环境中，对服务器虚拟化应用场景的安全防护问题。

公开(公告)号：CN102385677B

公开(公告)日：2015-04-29

申请号：CN201010270457.6

申请日：2010-09-01

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  胡振宇 ,  叶润国 ,  袁智辉

IPC: H04L29/06 ,  G06F11/00

CPC classification number: G06F11/00

Abstract: 本发明提供了一种统一威胁管理系统及其数据处理方法；系统包括：数据存储模块，包括多个数据池，各所述数据池分别用于存储一种类型的数据；服务处理模块，包括一个或多个计算池，各计算池分别用于进行实现一种服务功能的处理操作，从用于存储本计算池所需类型的数据的所述数据池读取数据，将处理后的数据输出给用于存储该类型数据的数据池；管理中心，用于保存各数据池和数据的类型之间的第一对应关系，及各计算池与服务功能之间的第二对应关系。本发明可以避免直接耦合的一体化安全网关存在的动态扩展性和容错性方面的不足。

公开(公告)号：CN102571846B

公开(公告)日：2014-11-19

申请号：CN201010603366.X

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/08 ,  H04L29/06

Abstract: 一种转发HTTP请求的方法及装置；方法包括：判断Web客户端的HTTP请求的URL是否为Web表单请求URL或Web表单数据提交URL；当所述HTTP请求的URL为Web表单请求URL时，如果该HTTP请求的URL参数中携带了有效的令牌，则转发该HTTP请求；如果未携带令牌则随机生成一个唯一的令牌，将所述HTTP请求的URL和生成的令牌拼接成新的URL，丢弃所述HTTP请求并向所述Web客户端发送一个请求重定向到所述新的URL的HTTP响应消息；当所述HTTP请求的URL为Web表单数据提交URL时，如果该HTTP请求存在Referer值，并且从Referer中可以提取出有效的令牌，则转发该HTTP请求。本发明能够实现对CSRF攻击的有效防御，大大减轻Web安全网关的计算开销。

公开(公告)号：CN101895516B

公开(公告)日：2014-08-06

申请号：CN200910084265.3

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇

IPC: H04L29/06 ,  H04L29/08 ,  H04L12/26 ,  G06F17/30

Abstract: 一种跨站脚本攻击源的定位方法及装置；方法包括：A、获取完整的超文本传输协议HTTP请求消息，检查该HTTP请求中是否包含跨站脚本攻击，如果有则执行B，否则结束；B、当发现该HTTP请求的链接源为空，或者所述链接源与该HTTP请求的URL同属于一个Web域时，判定该HTTP请求的发送者为本次跨站脚本攻击源并结束，否则继续执行C；C、获取该HTTP请求链接源所对应的Web网页，并检索该Web网页，如果包含一个发起本次跨站脚本攻击的页面链接地址，则判定该HTTP请求链接源为本次跨站脚本攻击源，否则判定该HTTP请求发送者为本次跨站脚本攻击源。本发明可以准确定位XSS攻击的攻击源。