-
公开(公告)号:CN101577703A
公开(公告)日:2009-11-11
申请号:CN200810106019.9
申请日:2008-05-07
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 一种无需解码的对base64编码数据的模式匹配方法,该方法可以广泛的用于对数据进行监测的如入侵检测系统、审计系统等安全系统中。该方法包含如下步骤:1.把读取的模式数据转换为几种可能的base64编码表达式;2.采用逻辑表达式方法完成转换后的该模式数据的表达;3.根据逻辑表达式生成用于并行模式匹配的匹配状态树;4.对读取的数据,调用并行模式匹配程序完成模式数据的模式匹配;5.上报匹配结果。本发明具有的优点:能够快速完成base64编码数据(如邮件)的模式匹配。该方法无需进行base64编码的解码操作,就可以完成基于base64编码数据的模式匹配。
-
公开(公告)号:CN101582788B
公开(公告)日:2011-08-31
申请号:CN200810106329.0
申请日:2008-05-12
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L12/24
Abstract: 一种对安全事件的分级处理方法及系统,该方法包括步骤:先实时获取安全系统生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;根据各个安全事件的危害级别,按照该级别对应的方式进行处理。相应的分级处理系统包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置。本发明能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。
-
公开(公告)号:CN102148691A
公开(公告)日:2011-08-10
申请号:CN201010109195.5
申请日:2010-02-08
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法,以提高分布式入侵检测系统中检测引擎的安全性。其中,该方法主要包括:管理控制中心启动监听口;检测引擎探测管理控制中心;检测引擎向管理控制中心发送身份认证请求以进行身份认证;管理控制中心通过身份认证后,检测引擎与管理控制中心建立通讯连接。与现有技术相比,本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度,提高了检测引擎的安全性,并且减少了系统管理员的工作量。
-
公开(公告)号:CN101902441A
公开(公告)日:2010-12-01
申请号:CN200910085069.8
申请日:2009-05-31
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种可实现序列攻击事件检测的入侵检测方法,包括:根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测,提高检测效率。
-
公开(公告)号:CN101562604A
公开(公告)日:2009-10-21
申请号:CN200810104321.0
申请日:2008-04-17
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L29/06
Abstract: 本发明涉及一种基于报文流数据的无缓存模式匹配方法,该方法在处理多报文数据时,无需进行报文缓存,即可完成跨报文的模式匹配工作。该方法包含如下步骤:读取匹配模式;把匹配模式转换为匹配状态树;初始化匹配起始状态;读取待匹配的数据;按照当前的匹配状态,调用匹配程序进行模式匹配;记录当前的匹配状态;如果匹配成功,上报匹配结果;否则转读取待匹配的数据步骤继续。本发明具有的优点:能够在不缓存报文数据的情况下,完成网络数据的完整数据模式匹配,从而大大节省由于数据缓存而引起的时间、空间消耗,提高整体性能。
-
Patent Agency Ranking
公开(公告)号:CN102148691B
公开(公告)日:2015-04-29
申请号:CN201010109195.5
申请日:2010-02-08
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法,以提高分布式入侵检测系统中检测引擎的安全性。其中,该方法主要包括:管理控制中心启动监听口;检测引擎探测管理控制中心;检测引擎向管理控制中心发送身份认证请求以进行身份认证;管理控制中心通过身份认证后,检测引擎与管理控制中心建立通讯连接。与现有技术相比,本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度,提高了检测引擎的安全性,并且减少了系统管理员的工作量。
-
公开(公告)号:CN101902334B
公开(公告)日:2012-08-29
申请号:CN200910084704.0
申请日:2009-05-25
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Inventor: 赵东宾
Abstract: 本发明公开了一种安全事件实时确认方法及系统,以实时高效地进行安全事件的确认。其中该方法包括:对接收网络报文进行攻击行为检测,将检测出攻击行为的所述网络报文描述为攻击报文;提取所述攻击报文的响应报文;使用一安全事件确认规则,对所述响应报文进行匹配,得到所述攻击报文的攻击确认结果,所述安全事件确认规则用于判定所述攻击是否成功。本发明通过对响应报文进行精确匹配,实时地完成安全事件攻击行为的确认。
-
公开(公告)号:CN101465760A
公开(公告)日:2009-06-24
申请号:CN200710179694.X
申请日:2007-12-17
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种检测拒绝服务攻击的方法和系统,本发明以布隆计数过滤器为基础,充分利用宏观网络中攻击发生时IP地址和/或端口呈现重尾分布的特点,能够检测宏观网络中的拒绝服务攻击行为。本发明包括:数据采集与解析模块、信息存储模块、信息统计模块、检测模块、告警模块。本发明采用了布隆计数过滤器和压缩数据还原技术,克服了维护和遍历IP地址空间而导致计算资源开销大的问题,达到了提高检索速度、检测性能的优点。本发明运用在网络入侵检测系统或者网络入侵防御系统中,能够完成宏观网络中大流量下的拒绝服务攻击检测。
-
公开(公告)号:CN100574324C
公开(公告)日:2009-12-23
申请号:CN200610113366.5
申请日:2006-09-25
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种IP地址快速定位的方法和系统。该方法包含如下步骤:1.读取工P地址范围的配置信息;2.在IP地址和地址属性之间建立索引;3.获取数据包,解析得到IP地址;4.根据步骤2中建立的索引,快速(1个命令行)得到对应的地址属性代码。本方法通过用户自定义的方式,能够灵活的对任何地址范围进行定义和定位,从而增强了定位功能的灵活性。
-
公开(公告)号:CN101582788A
公开(公告)日:2009-11-18
申请号:CN200810106329.0
申请日:2008-05-12
Applicant: 北京启明星辰信息技术股份有限公司
IPC: H04L12/24
Abstract: 一种对安全事件的分级处理方法及系统,该方法包括步骤:先实时获取安全系统生成的安全事件,解析后进行保存,安全事件中包含了源地址和目的地址信息;在设定的处理时间到时,根据每一安全事件的安全级别、发生次数和地址分布参数及配置的运算参数,计算危害程度的评估值,并根据得到的评估值确定其危害级别;根据各个安全事件的危害级别,按照该级别对应的方式进行处理。相应的分级处理系统包括依次相连的安全事件获取装置、安全事件计数装置、安全事件评估装置和安全事件处理装置,以及存储装置。本发明能够按照多个客观因素对大量安全事件的危害程度进行分级和及时处理。
-
-
-
-
-
-
-
-
-
Search Results
16
records
(took 0.039 seconds)
