-
公开(公告)号:CN103312679B
公开(公告)日:2016-07-27
申请号:CN201210068888.3
申请日:2012-03-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提供一种高级持续威胁的检测方法和系统。所述方法,包括:获取高级持续威胁的各攻击场景所包括的攻击步骤以及用于判断每个攻击步骤前后攻击步骤是否存在的关联规则,其中每个攻击步骤对应多个不同的能够实现该攻击步骤的事件;获取网络入侵的检测结果,记录网络中发生的报警事件;如果报警事件为某一攻击场景中攻击步骤所对应的事件,则触发高级持续威胁的检测流程,对得到的攻击序列进行处理,将得到的处理结果作为高级持续威胁信息进行输出。
-
公开(公告)号:CN105791039A
公开(公告)日:2016-07-20
申请号:CN201410811870.7
申请日:2014-12-22
Applicant: 北京启明星辰信息安全技术有限公司 , 国家计算机网络与信息安全管理中心 , 北京启明星辰信息技术股份有限公司
Abstract: 本发明公开了一种基于特征片段自发现的可疑隧道检测方法和系统,包括基于特征片段锁定算法锁定特征片段集合并找出最邻近片段集合;在可疑隧道检测过程中,实时提取元数据片段,基于片段间最小距离搜索算法分别计算元数据片段与特征片段集合和最邻近片段之间的最小距离,计算可疑元数据片段的判定参数,当判定参数的结果小于零时,判定元数据片段为可疑片段并报警;当大于或等于零时,为非可疑片段。通过本发明的方案,能够同时具备误用检测技术的自解释能力和异常检测技术的发现未知可疑隧道的优点,避免了网络安全专家的大量精力投入,回避了统计特征被平均化的问题。
-
公开(公告)号:CN105024969A
公开(公告)日:2015-11-04
申请号:CN201410155997.8
申请日:2014-04-17
Applicant: 北京启明星辰信息安全技术有限公司 , 北京启明星辰信息技术股份有限公司
Abstract: 本发明公开了一种实现恶意域名识别的方法及装置,包括:提取域名系统(DNS)域名的动态特征集合,通过动态特征的恶意域名可信判断模型对动态特征集合进行动态特征的恶意域名高可信判断;根据动态特征集合的恶意域名高可信判断结果,确定DNS域名是否为恶意域名,并将是否为恶意域名确定的结果存到相应的黑名单、或白名单中;动态特征集合至少包含:与IP相关的特征、和/或权威DNS服务器主域名一致率。本申请的技术方案实现了根据动态特征集合进行恶意域名确定;通过静态特征高可信判断和动态特征高可信判断,提高了恶意域名的识别效率。
-
公开(公告)号:CN104978522A
公开(公告)日:2015-10-14
申请号:CN201410142983.2
申请日:2014-04-10
Applicant: 北京启明星辰信息安全技术有限公司 , 北京启明星辰信息技术股份有限公司
IPC: G06F21/56
Abstract: 本发明公开了一种检测恶意代码的方法和装置,预先建立恶意代码样本数据库,所述恶意代码样本数据库包括已知恶意代码的可移植的执行体PE文件的信息摘要;预先建立布隆过滤器Bloom-Filter索引结构;该方法包括:获取待测代码的PE文件的信息摘要;当判断出获得的信息摘要和恶意代码样本数据库中的已知恶意代码的PE文件的信息摘要不匹配时,获取所述待测代码的PE文件的纹理指纹;根据预先建立的Bloom-Filter索引结构对获得的纹理指纹进行检测,并返回第一检测报告,所述第一检测报告至少包括所述待测代码是否为恶意代码的检测结果。本发明能够弥补静态检测方法无法检测未知的恶意代码及其变种的问题。
-
公开(公告)号:CN103152227A
公开(公告)日:2013-06-12
申请号:CN201310100350.0
申请日:2013-03-26
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明公开了一种应对网络威胁与攻击的一体化实时检测系统及方法,通过分流设备接收来自网络交换机的镜像流量,并将所述镜像流量部分或全部转发至检测子系统;检测子系统对分流设备转发的流量进行接入检测,将检测出的事件发送至控制中心;控制中心接收检测子系统上报的事件,根据事件结果进行综合处理后,向网络系统下发管理配置。应用本发明可实现对网络威胁与攻击的多功能检测,并且可通过控制中心综合呈现关联后的整体检测结果,便于管理人员定位问题,具有效率高、稳定性好、直观高效的特点。
-
Patent Agency Ranking
公开(公告)号:CN101888369B
公开(公告)日:2013-04-03
申请号:CN200910084467.8
申请日:2009-05-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
IPC: H04L12/753 , H04L29/06
Abstract: 本发明公开了一种进行网络报文规则匹配的方法和装置;方法包括:根据网络报文规则集合构建网络报文分类树;所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性,内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值,该值为一数值或任意值;每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则;每次捕获到网络报文后,根据该网络报文中包含的报文字段属性的值,在所构建的网络报文分类树中进行查找,如果能查找到完全匹配的分支,则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。
-
公开(公告)号:CN101902337B
公开(公告)日:2013-03-06
申请号:CN200910085038.2
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种网络入侵事件的管理方法,应用于网络入侵检测系统,包括:网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配,如果是,再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致,如果不一致,则将所述比较规则的响应策略下发至检测引擎;检测引擎根据所述下发的响应策略向管理控制中心上报事件;所述响应策略包括:取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。通过本发明所述方法,网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。
-
公开(公告)号:CN102571547A
公开(公告)日:2012-07-11
申请号:CN201010611982.X
申请日:2010-12-29
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明公开了一种HTTP流量的控制方法及装置;方法包括:根据Web客户端发往Web服务器的HTTP流量,判定所述Web客户端为自动工具或人工浏览;仅允许判定为人工浏览的Web客户端所产生的HTTP流量进入所述Web服务器。本发明能够对异常HTTP流量进行限流,同时允许正常Web业务访问HTTP流量正常通过,从而最大限度保障正常用户的Web访问服务质量。
-
公开(公告)号:CN101729389B
公开(公告)日:2012-05-23
申请号:CN200810224570.3
申请日:2008-10-21
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法;装置包括转发引擎和流量分析单元;所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量,从各目标主机发出的网络数据包中收集可信网络地址;当检测到攻击流量时,采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制;所述流量分析单元用于根据所接收的网络数据包样本,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。
-
公开(公告)号:CN101883017B
公开(公告)日:2012-02-01
申请号:CN200910083385.1
申请日:2009-05-04
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司 , 上海市计算机病毒防范服务中心
Abstract: 本发明公开了一种网络安全状态评估系统及方法,用于入侵检测设备评估网络安全状态。其中该方法包括:根据入侵检测设备当前观测周期之前的历史日志,提取网络安全状态指标,建立网络安全状态指标的正态分布模型;所述评估时,根据所述入侵检测设备当前观测周期的实时日志,获得所述实时日志的网络安全状态指标值,根据所述实时日志的网络安全状态指标值及正态分布模型,获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。本发明提出的网络安全状态评估系统及方法,能够根据入侵检测设备产生的日志,自动评估当前网络安全状态。
-
-
-
-
-
-
-
-
-
Search Results
64
records
(took 0.074 seconds)
