公开(公告)号：CN102571469B

公开(公告)日：2014-11-19

申请号：CN201010603695.4

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司 ,  中国电信上海公司互联网安全操作中心

Inventor： 周涛 ,  廖江 ,  李靖 ,  段文国 ,  诸葛凌霄

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种攻击检测方法和装置。涉及信息管理领域；解决了关联分析方式不适用于复杂情景的问题。该方法包括：提取符合预置的关联规则中场景的安全事件；对所述安全事件进行关联分析；在所述关联分析的结果符合所述关联规则时，确定检测到攻击。本发明提供的技术方案适用于信息安全，实现了对关联的多事件攻击的检测。

公开(公告)号：CN102571469A

公开(公告)日：2012-07-11

申请号：CN201010603695.4

申请日：2010-12-23

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司 ,  中国电信上海公司互联网安全操作中心

Inventor： 周涛 ,  廖江 ,  李靖 ,  段文国 ,  诸葛凌霄

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种攻击检测方法和装置。涉及信息管理领域；解决了关联分析方式不适用于复杂情景的问题。该方法包括：提取符合预置的关联规则中场景的安全事件；对所述安全事件进行关联分析；在所述关联分析的结果符合所述关联规则时，确定检测到攻击。本发明提供的技术方案适用于信息安全，实现了对关联的多事件攻击的检测。

公开(公告)号：CN104751055B

公开(公告)日：2017-11-03

申请号：CN201310753120.4

申请日：2013-12-31

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  王君鹤 ,  周涛 ,  叶润国

IPC: G06F21/56

Abstract: 一种基于纹理的分布式恶意代码检测装置及方法；装置包括：纹理指纹提取单元，用于根据恶意代码PE文件生成恶意代码纹理指纹向量集合，提取待检测样本的纹理指纹向量；布隆过滤器索引结构建立单元，用于将恶意代码纹理指纹向量集合映射到Bloom‑Filter索引结构中；分布式LSH索引结构建立单元，用于建立分布式LSH索引结构；分布式变种检测单元用于当精确检测单元未命中时，建立目标查询集，计算其位置敏感哈希值、机器标识和哈希桶标识，根据计算结果在分布式LSH索引结构中找到相应的恶意代码纹理指纹向量，进行比较，得到检测结果。本发明能够检测未知恶意代码及其类型。

公开(公告)号：CN102594625B

公开(公告)日：2016-04-20

申请号：CN201210058696.4

申请日：2012-03-07

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 万淼 ,  周涛

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种APT智能检测分析平台中的白数据过滤方法及系统；方法包括：对存储的历史流量数据中的各抓包库Pcap数据包分别进行协议解析，得到各Pcap数据包的控制信息及数据；按照预定的白数据过滤条件生成过滤规则；将解析出的各Pcap数据包的控制信息与所述过滤规则进行匹配，如果一Pcap数据包的控制信息满足所述过滤规则，则删除该Pcap数据包的控制信息及数据；删除后将其余的数据及控制信息重新打包封装为Pcap数据包后发送给APT检索引擎。本发明能够合理降解过滤存储的历史数据。

公开(公告)号：CN102684944B

公开(公告)日：2015-06-24

申请号：CN201210119384.X

申请日：2012-04-20

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  潘宇东 ,  许立广

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种入侵检测方法和装置。涉及信息管理领域；解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。该方法包括：加载特征库，所述特征库中包含多个入侵行为特征；获取待分析数据流；根据所述特征库分析所述待分析数据流，从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。本发明提供的技术方案适用于IDS检测过程，实现了全面可靠的入侵检测。

公开(公告)号：CN104715194A

公开(公告)日：2015-06-17

申请号：CN201310684940.2

申请日：2013-12-13

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京启明星辰信息技术股份有限公司

Inventor： 曲武 ,  周涛 ,  叶润国 ,  王君鹤

IPC: G06F21/56

Abstract: 本发明提供了一种恶意软件检测方法和装置。涉及计算机系统安全领域；解决了动态检测方法可扩展性不足及检测结果欠准确的问题。该方法包括：计算待检测恶意软件的唯一数字签名；计算所述待检测恶意软件的内容指纹向量；构造所述内容指纹向量的最近邻集合，生成目标内容指纹向量查询集；根据所述目标内容指纹向量查询集，访问预置的位置敏感哈希表数据结构，获取候选结果集；从所述候选结果集中选择所述待检测恶意软件的变种软件。本发明提供的技术方案适用于恶意软件变种防护，实现了基于位置敏感哈希表的恶意软件检测。

公开(公告)号：CN103647665A

公开(公告)日：2014-03-19

申请号：CN201310684985.X

申请日：2013-12-13

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 侯伟 ,  周涛

IPC: H04L12/24 ,  H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种网络流量曲线分析方法和装置。涉及信息安全领域；解决了对网络流量变化规律分析的问题。该方法包括：根据待评估流量曲线，从历史数据中选取建模样本；以所述建模样本作为训练样本，构造模型；根据所述模型，评估所述待评估流量曲线的偏离度。本发明提供的技术方案适用于网络态势分析，实现了对高随机性的网络流量的分析。

公开(公告)号：CN102684944A

公开(公告)日：2012-09-19

申请号：CN201210119384.X

申请日：2012-04-20

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  潘宇东 ,  许立广

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明提供了一种入侵检测方法和装置，涉及信息管理领域；解决了误用检测型IDS无法检测未知类型的攻击行为和无法追溯漏报攻击行为的问题。该方法包括：加载特征库，所述特征库中包含多个入侵行为特征；获取待分析数据流；根据所述特征库分析所述待分析数据流，从所述待分析数据流中匹配符合所述特征库中入侵行为特征的入侵行为。本发明提供的技术方案适用于IDS检测过程，实现了全面可靠的入侵检测。

公开(公告)号：CN102594625A

公开(公告)日：2012-07-18

申请号：CN201210058696.4

申请日：2012-03-07

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 万淼 ,  周涛

IPC: H04L12/26 ,  H04L29/06

Abstract: 本发明公开了一种APT智能检测分析平台中的白数据过滤方法及系统；方法包括：对存储的历史流量数据中的各抓包库Pcap数据包分别进行协议解析，得到各Pcap数据包的控制信息及数据；按照预定的白数据过滤条件生成过滤规则；将解析出的各Pcap数据包的控制信息与所述过滤规则进行匹配，如果一Pcap数据包的控制信息满足所述过滤规则，则删除该Pcap数据包的控制信息及数据；删除后将其余的数据及控制信息重新打包封装为Pcap数据包后发送给APT检索引擎。本发明能够合理降解过滤存储的历史数据。

公开(公告)号：CN102253948A

公开(公告)日：2011-11-23

申请号：CN201010181851.2

申请日：2010-05-19

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周涛 ,  安占江 ,  陈卓

IPC: G06F17/30

Abstract: 本发明提供一种多源信息系统中搜索信息的方法，涉及信息管理领域；解决现有技术中无法对同一事物的多个描述信息关联搜索的问题。所述方法，包括：获取用户为同一事物的多个描述信息设置的搜索顺序和搜索内容；按照所述用户设置的搜索顺序，在存储有该描述信息的数据库中采用对应的搜索内容进行搜索。本发明提供的技术方案可应用于搜索信息。