公开(公告)号：CN101888369A

公开(公告)日：2010-11-17

申请号：CN200910084467.8

申请日：2009-05-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇 ,  周涛

IPC: H04L29/06 ,  H04L12/56

Abstract: 本发明公开了一种进行网络报文规则匹配的方法和装置；方法包括：根据网络报文规则集合构建网络报文分类树；所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性，内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值，该值为一数值或任意值；每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则；每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。

公开(公告)号：CN101741633A

公开(公告)日：2010-06-16

申请号：CN200810225913.8

申请日：2008-11-06

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司 ,  上海市计算机病毒防范服务中心

Inventor： 周涛 ,  吴恩平 ,  郝春光 ,  力立 ,  林宝晶

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种海量日志关联分析方法和系统，实现了根据入侵检测设备产生的海量日志，评估当前网络安全状况，并描述当前最应关注的攻击情况。所述方法包括：获取入侵检测设备的日志，通过计算入侵检测设备日志源地址和目的地址的分布状况，判断是否存在大规模网络安全事件；根据源地址、目的地址、事件类型三个参数上对入侵检测设备日志进行归并，检测出并报告异常地址、热点事件；统计并通过图形展示热点事件在指定时间段内的传播过程；对上述输出结果进行关联，给出当前网络安全状况的综合评价。所述系统包括熵模块单元、三元组模块单元、热点事件传播展示模块单元、综合关联分析模块单元。

公开(公告)号：CN105791236A

公开(公告)日：2016-07-20

申请号：CN201410816251.7

申请日：2014-12-23

Applicant: 北京网御星云信息技术有限公司

Inventor： 周涛 ,  彭涛 ,  李高超

IPC: H04L29/06

Abstract: 本发明公开了一种木马通信通道检测方法及系统，包括：获取待检测数据流，设置检测分值为0。检查待检测数据流中是否存在可疑加密行为，若存在则增加检测分值；并检查是否存在可疑心跳行为，若存在则增加检测分值，并将存在可疑心跳行为的数据包从待检测数据流中删除，记为清洗后的待检测数据流。检查清洗后待检测数据中是否存在异常数据传输模式，若存在则增加检测分值；并检测是否存在异常上下行流量比，若存在则增加检测分值。根据检测分值的最终结果，判断网络连接是否为可疑木马通信通道。通过本发明的方案，能够从心跳行为、异常数据传输驱动模式、可疑加密行为、异常上下行流量比等特征上检测未知木马，降低漏报、误报等情况的发生。

公开(公告)号：CN105791236B

公开(公告)日：2019-03-12

申请号：CN201410816251.7

申请日：2014-12-23

Applicant: 北京网御星云信息技术有限公司

Inventor： 周涛 ,  彭涛 ,  李高超

IPC: H04L29/06

Abstract: 本发明公开了一种木马通信通道检测方法及系统，包括：获取待检测数据流，设置检测分值为0。检查待检测数据流中是否存在可疑加密行为，若存在则增加检测分值；并检查是否存在可疑心跳行为，若存在则增加检测分值，并将存在可疑心跳行为的数据包从待检测数据流中删除，记为清洗后的待检测数据流。检查清洗后待检测数据中是否存在异常数据传输模式，若存在则增加检测分值；并检测是否存在异常上下行流量比，若存在则增加检测分值。根据检测分值的最终结果，判断网络连接是否为可疑木马通信通道。通过本发明的方案，能够从心跳行为、异常数据传输驱动模式、可疑加密行为、异常上下行流量比等特征上检测未知木马，降低漏报、误报等情况的发生。