公开(公告)号：CN100531073C

公开(公告)日：2009-08-19

申请号：CN200710120722.0

申请日：2007-08-24

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 孙海波 ,  王磊 ,  叶润国 ,  王洋 ,  李博

IPC: H04L12/26 ,  H04L29/06 ,  H04L12/56

Abstract: 一种基于状态检测的协议异常检测方法及系统。协议正常运行状态模型的建立包括协议形式化描述语法的检查和相关协议状态机的生成；协议运行状态定位阶段实现对于具体网络通信数据报文在当前会话中所使用协议状态的准确定位；协议运行状态迁移阶段实现了对定位后的协议状态进行下一步可能进行的状态迁移的预测并生成正常状态迁移集合；异常检测阶段通过获取的后续报文及预测状态迁移集合判断当前协议运行是否符合协议标准模型并返回检测结果。能够在网络协议通信过程中根据实际抓获的报文当中使用的具体协议进行相关的协议异常检测，并能够根据实际需要方便的进行协议正常运行模型的扩展。

公开(公告)号：CN101262373A

公开(公告)日：2008-09-10

申请号：CN200810104417.7

申请日：2008-04-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 胡振宇 ,  叶润国 ,  牛妍萍

IPC: H04L12/24 ,  H04L29/06

Abstract: 本发明涉及一种计算机网络入侵定位系统和方法。该方法包括：获取现有的网络节点的安全依赖关系网络，该网络节点的安全依赖关系网络包含各节点发生入侵的先验概率以及相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率；获取监控节点信息；依据网络节点的安全依赖关系建立以监控节点为根节点的安全依赖树，并确定安全依赖树的叶节点；依据安全依赖树中相邻节点间安全依赖关系可被黑客利用成功进行攻击的概率以及叶节点发生入侵的先验概率计算安全依赖树中叶节点的入侵因子，从而确定入侵起始节点的信息。本发明可以快速地定位入侵地点。

公开(公告)号：CN103077071B

公开(公告)日：2016-08-03

申请号：CN201210593535.5

申请日：2012-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  叶润国 ,  胡振宇

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明公开了一种KVM虚拟机进程信息的获取方法及系统，涉及信息安全技术领域。本发明公开的系统包括：系统调用截获模块，截获Qemu?kvm发起的IOCTL系统调用，并将该调用的参数发送给内省API驱动模块；内省API驱动模块，替代Qemu?kvm向KVM发起IOCTL系统调用，记录KVM响应调用的vcpu并返回给Qemu?kvm，获取正在运行中的虚拟机中的进程和寄存器的相关信息，并对所获取的相关信息进行结构化处理后通过进程扫描接口暴露给外部程序，以及接收由外部程序发起的扫描命令，通过vcpu向KVM发起该请求。本发明还公开了一种KVM虚拟机进程信息的获取方法。本申请技术方案可以在不修改Qemu?kvm和KVM代码的前提下，透明的实现对其上运行的虚拟机中的进程信息的内省。

公开(公告)号：CN103685608A

公开(公告)日：2014-03-26

申请号：CN201310723045.7

申请日：2013-12-24

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  刘新刚 ,  叶润国

IPC: H04L29/12 ,  H04L29/06

Abstract: 本发明涉及一种自动配置安全虚拟机IP地址的方法及装置。用于虚拟安全管理中心对安全虚拟机的管理和配置过程，该方法或装置包括：对安全虚拟机模板进行修改包括：添加或选出第一虚拟网卡设备，将所述第一虚拟网卡设备设置为不启用；在所述第一虚拟网卡设备的配置项中增加介质访问控制MAC地址，将该MAC地址的一部分设置为协议识别信息，另一部分设置为需要配置的管理端口的IP地址；安全虚拟机启动后，根据所述协议识别信息识别出所述第一虚拟网卡设备，从所述第一虚拟网卡设备的MAC地址中读取所述IP地址，将该IP地址配置到管理端口所用的目标虚拟网卡上。通过该方案可以简化虚拟化安全产品的部署过程和虚拟化平台的管理权限分配。

公开(公告)号：CN103678613A

公开(公告)日：2014-03-26

申请号：CN201310693308.4

申请日：2013-12-17

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 王君鹤 ,  曲武 ,  周涛 ,  叶润国

IPC: G06F17/30

CPC classification number: G06F17/30702 ,  G06Q50/01

Abstract: 本发明公开了一种计算影响力数据的方法与装置；所述方法适用于社交网络，包括：以指定信息的标识作为输入，从预定的社交网络的服务器中爬取所述指定信息的用户操作数据；根据所爬取的所述用户操作数据计算每天的用户参与次数；分别计算每天的参与次数增长率；比较各相邻天的所述参与次数增长率，选出当天的所述参与次数增长率与前N天的参与次数增长率之差均大于第一预定阈值的日期、以及前M天的参与增长率均为负值，当天的所述参与次数增长率为正值且当天的用户参与次数大于第二预定阈值的日期。本发明能够提高社交网络的影响力数据的正确性和可靠性，更加符合实际情况。

公开(公告)号：CN101902366B

公开(公告)日：2014-03-12

申请号：CN200910085032.5

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  叶润国 ,  刘晖 ,  姚熙

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明提供了一种业务行为异常检测方法，包括：根据安全审计设备当前检测点之前的历史审计记录，建立用户访问业务系统的正常行为模型；对安全审计设备的实时审计记录进行分析，与所述正常行为模型进行比较，判断用户访问业务系统的行为是否异常。本发明还提供了一种业务行为异常检测系统。本发明提出的业务行为异常检测系统及方法，能够根据安全审计设备的审计记录，检测在业务流程上并不违规、实际上仍然给业务系统带来破坏的攻击行为。

公开(公告)号：CN101895517B

公开(公告)日：2013-05-15

申请号：CN200910084266.8

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  周涛 ,  孙海波

IPC: H04L29/06 ,  H04L29/08

Abstract: 一种脚本语义提取方法和提取装置；方法包括：S1、读取用户注入的脚本；S2、依次读取所述脚本中的脚本词汇，如果读取到的脚本词汇为运算符则解析出该运算符所在的脚本表达式，否则继续读取；对解析出的脚本表达式表示的语义进行识别并保存，在识别该脚本表达式的语义后继续读取所述脚本中的脚本词汇，并进行步骤S3；对脚本表达式的语义进行识别时，如果脚本表达式中包含变量或子表达式，并且保存有该变量/子表达式的语义，则用该变量/子表达式的语义替换表达式中的该变量/子表达式后进行识别；S3，将所述步骤S2中识别出的脚本表达式的语义输出。本发明可以提高攻击检测的正确性和可靠性。

公开(公告)号：CN103077071A

公开(公告)日：2013-05-01

申请号：CN201210593535.5

申请日：2012-12-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 李陟 ,  叶润国 ,  胡振宇

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明公开了一种KVM虚拟机进程信息的获取方法及系统，涉及信息安全技术领域。本发明公开的系统包括：系统调用截获模块，截获Qemu-kvm发起的IOCTL系统调用，并将该调用的参数发送给内省API驱动模块；内省API驱动模块，替代Qemu-kvm向KVM发起IOCTL系统调用，记录KVM响应调用的vcpu并返回给Qemu-kvm，获取正在运行中的虚拟机中的进程和寄存器的相关信息，并对所获取的相关信息进行结构化处理后通过进程扫描接口暴露给外部程序，以及接收由外部程序发起的扫描命令，通过vcpu向KVM发起该请求。本发明还公开了一种KVM虚拟机进程信息的获取方法。本申请技术方案可以在不修改Qemu-kvm和KVM代码的前提下，透明的实现对其上运行的虚拟机中的进程信息的内省。

公开(公告)号：CN103067380A

公开(公告)日：2013-04-24

申请号：CN201210576755.7

申请日：2012-12-26

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 刘新刚 ,  叶润国 ,  李陟 ,  汪宏

IPC: H04L29/06

Abstract: 本发明公开了一种虚拟安全设备的部署配置方法及系统，克服目前虚拟化技术对安全的支持较为有限以及安全设备的集中管理能力有待提高的不足，该系统中的安全管理配置中心从虚拟化管理中心获取虚拟计算环境的拓扑信息，从虚拟安全产品器件库获取可参与部署的虚拟安全设备的设备信息，将拓扑信息及设备信息展示给用户；接收用户选择需要部署的虚拟安全设备；根据需要部署的虚拟安全设备的类型引导用户输入部署参数并生成配置文件；调用虚拟化管理中心对需要部署的虚拟安全设备进行部署，并根据配置文件对需要部署的虚拟安全设备进行配置。本发明的实施例可与现有的虚拟机管理平台紧密结合，实现虚拟安全产品的自动部署、集中管理和便捷配置。

公开(公告)号：CN101640594B

公开(公告)日：2013-01-23

申请号：CN200810117499.9

申请日：2008-07-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  孙海波 ,  郑曙光 ,  邓炜

IPC: H04L29/06

Abstract: 本发明公开了一种在网络设备上提取流量攻击报文特征的方法和单元；方法包括：选定需要提取报文特征的、作为攻击流量类型的网络报文类型；以选定类型报文的报头字段为项，在接收到的选定类型的网络报文中，找到所有满足最小支持度的频繁项目集；对所找到的所有频繁项目集先按照元数降序排序，再对元数相同的频繁项目集按照支持度降序排序；从排序后的频繁项目集里，依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为选定类型报文的攻击报文特征。本发明克服了流量特征提取方法的片面性，并且能够精确过滤，避免误杀，保障合法网络流量的正常通过。