公开(公告)号：CN101902456A

公开(公告)日：2010-12-01

申请号：CN201010110771.8

申请日：2010-02-09

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  周涛 ,  胡振宇 ,  孙海波

IPC: H04L29/06 ,  H04L29/12

Abstract: 一种Web网站安全防御系统，包括流量牵引器及Web安全检测器；所述流量牵引器与DNS服务器相连，用于从DNS服务器接收客户端的DNS域名解析请求，将该域名解析为所述Web安全检测器的IP地址，返回给所述客户端；所述Web安全检测器用于接收HTTP请求消息，对该HTTP请求消息进行入侵检测，如果未发现异常，则将该HTTP请求消息转发给该HTTP请求消息所指向的Web网站。本发明部署位置不受串行部署的限制，支持分布式部署，无需修改Web客户端和Web服务器配置，节省安全方面的成本，并且兼容性好，可伸缩性强。

公开(公告)号：CN101895517A

公开(公告)日：2010-11-24

申请号：CN200910084266.8

申请日：2009-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 胡振宇 ,  叶润国 ,  周涛 ,  孙海波

IPC: H04L29/06 ,  H04L12/24 ,  G06F21/00

Abstract: 一种脚本语义提取方法和提取装置；方法包括：S1、读取用户注入的脚本；S2、依次读取所述脚本中的脚本词汇，如果读取到的脚本词汇为运算符则解析出该运算符所在的脚本表达式，否则继续读取；对解析出的脚本表达式表示的语义进行识别并保存，在识别该脚本表达式的语义后继续读取所述脚本中的脚本词汇，并进行步骤S3；对脚本表达式的语义进行识别时，如果脚本表达式中包含变量或子表达式，并且保存有该变量/子表达式的语义，则用该变量/子表达式的语义替换表达式中的该变量/子表达式后进行识别；S3，将所述步骤S2中识别出的脚本表达式的语义输出。本发明可以提高攻击检测的正确性和可靠性。

公开(公告)号：CN101888369A

公开(公告)日：2010-11-17

申请号：CN200910084467.8

申请日：2009-05-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇 ,  周涛

IPC: H04L29/06 ,  H04L12/56

Abstract: 本发明公开了一种进行网络报文规则匹配的方法和装置；方法包括：根据网络报文规则集合构建网络报文分类树；所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性，内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值，该值为一数值或任意值；每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则；每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。

公开(公告)号：CN101398820B

公开(公告)日：2010-11-17

申请号：CN200710122231.X

申请日：2007-09-24

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  周涛 ,  华东明 ,  孙海波 ,  骆拥政 ,  焦玉峰

IPC: G06F17/30

Abstract: 一种大规模关键词匹配方法。包括预处理阶段和模式匹配阶段。预处理阶段包括关键词特征串裁剪、基于关键词特征串集合的多个简单布隆过滤器(Bloom Filter)的构造，基于关键词特征串集合的哈希表构造；模式匹配阶段包括：利用先前构造的简单布隆过滤器序列实现当前窗口中文本串不与任何关键词特征串匹配的快速判定；在判定失败情况下执行与候选关键词的精确匹配；文本扫描过程中，可以利用递归算法快速计算出当前文本相对于各简单布隆过滤器的当前散列值。本发明充分利用了待匹配文本与关键词匹配成功概率异常低的特点，利用了递归散列算法高效的特点，可实现大规模关键词场景下的高速匹配，非常适合病毒检测等在线病毒扫描应用。

公开(公告)号：CN101741633A

公开(公告)日：2010-06-16

申请号：CN200810225913.8

申请日：2008-11-06

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司 ,  上海市计算机病毒防范服务中心

Inventor： 周涛 ,  吴恩平 ,  郝春光 ,  力立 ,  林宝晶

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种海量日志关联分析方法和系统，实现了根据入侵检测设备产生的海量日志，评估当前网络安全状况，并描述当前最应关注的攻击情况。所述方法包括：获取入侵检测设备的日志，通过计算入侵检测设备日志源地址和目的地址的分布状况，判断是否存在大规模网络安全事件；根据源地址、目的地址、事件类型三个参数上对入侵检测设备日志进行归并，检测出并报告异常地址、热点事件；统计并通过图形展示热点事件在指定时间段内的传播过程；对上述输出结果进行关联，给出当前网络安全状况的综合评价。所述系统包括熵模块单元、三元组模块单元、热点事件传播展示模块单元、综合关联分析模块单元。