-
公开(公告)号:CN101901221A
公开(公告)日:2010-12-01
申请号:CN200910085034.4
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提出一种跨站脚本攻击的检测装置,包括指数计算单元、提取单元、编码还原单元、语义还原单元、匹配程度计算单元和判断单元,各单元彼此协作,采用综合HTML标签分析分析的方法(包括标签的EJSRF分析、JavaScript编码变形分析、JavaScript语义变性分析、XSS攻击特征模式匹配这4种方法)对Web页面中夹带的恶意跨站脚本进行识别、提取。这种以HTML标签分析为核心的跨站脚本识别与提取技术能够高效准确地区分Web页面中正常的JavaScript与恶意的跨站脚本,使得网络安全检测设备和网络终端能够精确识别、过滤含有恶意跨站脚本的Web页面,同时又能够保证合法的(没有夹杂恶意跨站脚本)的Web页面正常通过。
-
公开(公告)号:CN101729389A
公开(公告)日:2010-06-09
申请号:CN200810224570.3
申请日:2008-10-21
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法;装置包括转发引擎和流量分析单元;所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量,从各目标主机发出的网络数据包中收集可信网络地址;当检测到攻击流量时,采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制;所述流量分析单元用于根据所接收的网络数据包样本,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。
-
公开(公告)号:CN101377816B
公开(公告)日:2010-10-13
申请号:CN200810117945.6
申请日:2008-08-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
IPC: G06K9/62
Abstract: 本发明涉及匹配规则包含位移指示符的并行多模式匹配的系统及方法,系统包括:生成模块,用于读取包含匹配规则的规则集,将规则集中包含位移指示符的匹配规则从位移指示符处分割成子规则,该子规则为确定规则,连接于位移指示符后的子规则对应的位移量为该位移指示符规定的位移量,为确定规则的匹配规则为其自身的子规则,将所有子规则按照AC算法生成AC自动机;匹配模块,用于读取搜索对象,进行搜索,判断搜索对象是否按顺序匹配所有子规则,并且对于连接于位移指示符后的子规则按该子规则对应的位移量匹配,如果是,则搜索对象匹配该匹配规则,并输出匹配结果。从而,能够应用AC算法对包含有位移指示符的匹配规则进行并行多模式匹配。
-
公开(公告)号:CN101388768A
公开(公告)日:2009-03-18
申请号:CN200810224571.8
申请日:2008-10-21
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提供了一种检测恶意HTTP请求的方法和装置,该装置包括Web访问关系网络构建单元和恶意HTTP请求检测单元,其中:所述Web访问关系网络构建单元用于为待检测Web网站构造Web访问关系网络,该Web访问关系网络体现了该Web网站固有的Web页面访问顺序;所述恶意HTTP请求检测单元用于根据所述Web访问关系网络判定发往所述Web网站的HTTP请求是否符合该Web网站固有的Web页面访问顺序,如不符合则判定该HTTP请求为恶意的HTTP请求。本发明方法和装置利用Web网站所固有的Web页面访问顺序可以对恶意HTTP请求进行有效检测。
-
公开(公告)号:CN101902349B
公开(公告)日:2012-10-31
申请号:CN200910085033.X
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。
-
Patent Agency Ranking
公开(公告)号:CN101377816A
公开(公告)日:2009-03-04
申请号:CN200810117945.6
申请日:2008-08-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
IPC: G06K9/62
Abstract: 本发明涉及匹配规则包含位移指示符的并行多模式匹配的系统及方法,系统包括:生成模块,用于读取包含匹配规则的规则集,将规则集中包含位移指示符的匹配规则从位移指示符处分割成子规则,该子规则为确定规则,连接于位移指示符后的子规则对应的位移量为该位移指示符规定的位移量,为确定规则的匹配规则为其自身的子规则,将所有子规则按照AC算法生成AC自动机;匹配模块,用于读取搜索对象,进行搜索,判断搜索对象是否按顺序匹配所有子规则,并且对于连接于位移指示符后的子规则按该子规则对应的位移量匹配,如果是,则搜索对象匹配该匹配规则,并输出匹配结果。从而,能够应用AC算法对包含有位移指示符的匹配规则进行并行多模式匹配。
-
公开(公告)号:CN101350745A
公开(公告)日:2009-01-21
申请号:CN200810117941.8
申请日:2008-08-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
CPC classification number: H04L63/1416 , H04L41/0677
Abstract: 一种入侵检测方法及装置,该方法对要检测的每种类型的网络攻击事件,分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库,入侵检测时,实时获取网络数据包,获取网络数据包中包含的待检测对象;然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测,并要考虑整个入侵检测装置的执行效率。
-
公开(公告)号:CN101729389B
公开(公告)日:2012-05-23
申请号:CN200810224570.3
申请日:2008-10-21
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法;装置包括转发引擎和流量分析单元;所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量,从各目标主机发出的网络数据包中收集可信网络地址;当检测到攻击流量时,采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元,以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制;所述流量分析单元用于根据所接收的网络数据包样本,以各TCP/IP协议包头字段值为项,提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。
-
公开(公告)号:CN101350745B
公开(公告)日:2011-08-03
申请号:CN200810117941.8
申请日:2008-08-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
CPC classification number: H04L63/1416 , H04L41/0677
Abstract: 一种入侵检测方法及装置,该方法对要检测的每种类型的网络攻击事件,分配一个或多个检测单元,并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库,入侵检测时,实时获取网络数据包,获取网络数据包中包含的待检测对象;然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测,产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测,并要考虑整个入侵检测装置的执行效率。
-
公开(公告)号:CN101902349A
公开(公告)日:2010-12-01
申请号:CN200910085033.X
申请日:2009-05-27
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 本发明提出一种检测端口扫描行为的方法和系统,包括:将受保护的各客户端的IP地址与其开放的端口号的对应关系写入配置文件中;监测受保护的各客户端被访问情况,维护各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表;根据各访问客户端对受保护的客户端的开放端口访问列表和未开放端口访问列表,分别计算各受保护客户端的开放端口以及未开放端口被各访问客户端平均访问过的个数;按照预置的快扫描判断准则和慢扫描判断准则同时进行快扫描判断和慢扫描判断,从而实现既能对端口快扫描行为进行检测,又能够很好地发现慢扫描行为。
-
-
-
-
-
-
-
-
-
Search Results
32
records
(took 0.093 seconds)
