公开(公告)号：CN101902337A

公开(公告)日：2010-12-01

申请号：CN200910085038.2

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 田进山 ,  黄宇鸿 ,  周涛 ,  张峰

IPC: H04L9/36 ,  H04L29/06

Abstract: 一种网络入侵事件的管理方法，应用于网络入侵检测系统，包括：网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配，如果是，再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致，如果不一致，则将所述比较规则的响应策略下发至检测引擎；检测引擎根据所述下发的响应策略向管理控制中心上报事件。通过本发明所述方法，网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。

公开(公告)号：CN101902441B

公开(公告)日：2013-05-15

申请号：CN200910085069.8

申请日：2009-05-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张在峰 ,  邓炜 ,  张峰 ,  赵东宾 ,  王雷章 ,  黄长权

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种可实现序列攻击事件检测的入侵检测方法，包括：根据需检测的每一序列攻击事件，将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则，将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则，将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序；对某数据报文进行入侵检测时，如该数据报文匹配到一个或多个基础规则，则优先使用匹配到的基础规则的关联规则，按关联顺序与该数据报文的后续数据报文逐一匹配，如果某个基础规则的一组关联规则均匹配成功，则检测到对应的序列攻击事件，按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测，提高检测效率。

公开(公告)号：CN102148691A

公开(公告)日：2011-08-10

申请号：CN201010109195.5

申请日：2010-02-08

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张峰 ,  邓炜 ,  赵东宾 ,  叶润国

IPC: H04L12/24 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法，以提高分布式入侵检测系统中检测引擎的安全性。其中，该方法主要包括：管理控制中心启动监听口；检测引擎探测管理控制中心；检测引擎向管理控制中心发送身份认证请求以进行身份认证；管理控制中心通过身份认证后，检测引擎与管理控制中心建立通讯连接。与现有技术相比，本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度，提高了检测引擎的安全性，并且减少了系统管理员的工作量。

公开(公告)号：CN101902441A

公开(公告)日：2010-12-01

申请号：CN200910085069.8

申请日：2009-05-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张在峰 ,  邓炜 ,  张峰 ,  赵东宾 ,  王雷章 ,  黄长权

IPC: H04L29/06 ,  H04L12/24

Abstract: 一种可实现序列攻击事件检测的入侵检测方法，包括：根据需检测的每一序列攻击事件，将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则，将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则，将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序；对某数据报文进行入侵检测时，如该数据报文匹配到一个或多个基础规则，则优先使用匹配到的基础规则的关联规则，按关联顺序与该数据报文的后续数据报文逐一匹配，如果某个基础规则的一组关联规则均匹配成功，则检测到对应的序列攻击事件，按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测，提高检测效率。

公开(公告)号：CN102148691B

公开(公告)日：2015-04-29

申请号：CN201010109195.5

申请日：2010-02-08

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 张峰 ,  邓炜 ,  赵东宾 ,  叶润国

IPC: H04L12/24 ,  H04L29/06 ,  H04L12/26

Abstract: 本发明公开了一种分布式入侵检测系统及该系统中集中化管理的连接方法，以提高分布式入侵检测系统中检测引擎的安全性。其中，该方法主要包括：管理控制中心启动监听口；检测引擎探测管理控制中心；检测引擎向管理控制中心发送身份认证请求以进行身份认证；管理控制中心通过身份认证后，检测引擎与管理控制中心建立通讯连接。与现有技术相比，本发明技术方案大大降低了分布式入侵检测系统通讯管理的复杂度，提高了检测引擎的安全性，并且减少了系统管理员的工作量。

公开(公告)号：CN101902337B

公开(公告)日：2013-03-06

申请号：CN200910085038.2

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 田进山 ,  黄宇鸿 ,  周涛 ,  张峰

IPC: H04L9/36 ,  H04L29/06

Abstract: 一种网络入侵事件的管理方法，应用于网络入侵检测系统，包括：网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配，如果是，再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致，如果不一致，则将所述比较规则的响应策略下发至检测引擎；检测引擎根据所述下发的响应策略向管理控制中心上报事件；所述响应策略包括：取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。通过本发明所述方法，网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。