公开(公告)号：CN103795590B

公开(公告)日：2017-07-04

申请号：CN201310743888.3

申请日：2013-12-30

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  国家计算机网络与信息安全管理中心

Inventor： 刘勇 ,  张凤羽 ,  李轶夫 ,  鲁骁 ,  姚珊 ,  姜栋 ,  张建松 ,  司成祥 ,  杜雄杰 ,  张伟 ,  刘成 ,  李应博 ,  房婧 ,  孙波 ,  盖伟麟

IPC: H04L12/26

Abstract: 本发明公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

公开(公告)号：CN103795708A

公开(公告)日：2014-05-14

申请号：CN201310741892.6

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: H04L29/06 ,  H04L12/46

Abstract: 本发明提出了一种终端准入方法和系统，所述方法包括：a)获取交换机各个端口的接线状态，该接线状态包括连接状态和未连接状态；b)识别所述接线状态，当识别到所述交换机的一个端口的接线状态由未连接状态变成连接状态时，使该端口连接的终端获得访问访客VLAN的权限；c)对访问所述访客VLAN的终端进行身份认证，如果所述终端通过所述身份认证，则使所述终端获得访问指定VLAN的权限，如果所述终端未通过所述身份认证，则使所述终端仅获得访问所述访客VLAN的权限。利用本发明提供的终端准入方法和系统，可以较好地实现终端准入控制，实时简单，成本低。

公开(公告)号：CN103885813B

公开(公告)日：2017-03-22

申请号：CN201310741619.3

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明提供一种虚拟机环境下的抓包方法，其特征在于，包括：第一进程在物理主机上启动并生成一个与所述第一进程对应的第一虚拟机；所述第一进程扫描所述物理主机的所有物理网卡,并为所述所有物理网卡设置一对一的虚拟网卡；所述第一进程获取当前物理网卡在所述物理主机上对应的队列的第一地址，所述对应的队列用于存放所述当前物理网卡的数据包；所述第一虚拟机为与所述当前物理网卡对应的虚拟网卡创建一个第二地址；所述第一虚拟机向所述第一进程发送读取所述当前物理网卡的数据包的指令；所述第一进程从所述第一地址读取所述当前物理网卡的数据包并传送至所述第二地址；所述第一虚拟机发送读取给所述第二地址,以完成数据抓包读取过程。

公开(公告)号：CN103795709A

公开(公告)日：2014-05-14

申请号：CN201310742812.9

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: H04L29/06

Abstract: 本发明提供了一种网络安全检测方法和系统，解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测。

公开(公告)号：CN103778185A

公开(公告)日：2014-05-07

申请号：CN201310742814.8

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F17/30

CPC classification number: G06F17/30389

Abstract: 本发明提供了一种用于数据审计系统的SQL语句解析方法和系统。所述方法包括：接收输入的SQL语句；识别SQL语句中的词、符号和序列表示中的至少一者；将识别出的词、符号和序列表示中的至少一者与预定的语法规则进行比较，当识别出的词、符号和序列表示中的至少一者与预定的语法规则中的一个语法规则匹配时，则根据所述预定的语法规则中的一个语法规则确定所述SQL语句的操作类型、操作字段和表名中的至少一者；当识别出的词、符号和/或序列表示与预定的语法规则不匹配时，不对SQL语句进行语义解析。利用该方法和系统，能够准确识别SQL语句操作类型、操作的数据库表名、列名等对象信息，并且与正则匹配方式相比，不需要编写匹配规则，识别效率更高。

公开(公告)号：CN108809748A

公开(公告)日：2018-11-13

申请号：CN201810251152.7

申请日：2018-03-26

Applicant: 北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司 ,  北京天融信软件有限公司

Inventor： 刘勇 ,  张凤羽

IPC: H04L12/26 ,  H04L29/06

CPC classification number: H04L43/12 ,  H04L43/18 ,  H04L63/30

Abstract: 本发明公开了一种网络审计数据采集方法及相应装置、设备和存储介质，所述装置包括：数据抓取单元，用于启动数据转发进程，通过所述数据转发进程创建多个虚拟网络接口、从物理网卡抓取原始数据报文以及将所述原始数据报文发送给各个虚拟网络接口；数据采集单元，用于启动多个网络审计进程，通过每个网络审计进程从对应的虚拟网络接口获取相应的原始数据报文。本发明有效提高了网络流量的审计性能，增加了网络审计系统的容错性，减少了网络审计时间漏审的几率。

公开(公告)号：CN103793468A

公开(公告)日：2014-05-14

申请号：CN201310741482.1

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 刘勇 ,  张凤羽

IPC: G06F17/30

CPC classification number: G06F17/30091 ,  G06F3/0643

Abstract: 本发明提出了一种数据存储方法和装置以及一种数据读取方法和装置。其中所述数据存储方法包括：a）为将要存储的数据指派标识；b）在数据存储文件的第一区域中的第一位置存储所述将要存储的数据，以及在所述数据存储文件的第二区域中的第二位置存储所述标识和与所述将要存储的数据有关的附加信息。由此，本发明解决了现有技术中存在的存取速度问题、存储格式限制问题和占用系统资源问题，实现了良好的技术效果。

公开(公告)号：CN103885813A

公开(公告)日：2014-06-25

申请号：CN201310741619.3

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 张凤羽

IPC: G06F9/455 ,  G06F9/445

Abstract: 本发明提供一种虚拟机环境下的抓包方法，其特征在于，包括：第一进程在物理主机上启动并生成一个与所述第一进程对应的第一虚拟机；所述第一进程扫描所述物理主机的所有物理网卡,并为所述所有物理网卡设置一对一的虚拟网卡；所述第一进程获取当前物理网卡在所述物理主机上对应的队列的第一地址，所述对应的队列用于存放所述当前物理网卡的数据包；所述第一虚拟机为与所述当前物理网卡对应的虚拟网卡创建一个第二地址；所述第一虚拟机向所述第一进程发送读取所述当前物理网卡的数据包的指令；所述第一进程从所述第一地址读取所述当前物理网卡的数据包并传送至所述第二地址；所述第一虚拟机发送读取给所述第二地址,以完成数据抓包读取过程。

公开(公告)号：CN103795590A

公开(公告)日：2014-05-14

申请号：CN201310743888.3

申请日：2013-12-30

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技有限公司

Inventor： 刘勇 ,  张凤羽

IPC: H04L12/26

Abstract: 本发明公开了一种网络流量检测阈值的计算方法，属于网络流量检测领域。本发明一种网络流量检测阈值的计算方法包括步骤：获取网络访问中的目的地址被访问的次数；根据所述目的地址被访问的次数计算网络流量检测的告警阈值。本发明提供的一种网络流量检测阈值的计算方法运用于DDOS检测和流量监测设备，为网络管理员进行DDOS检测和网络流量监测的告警阈值设置提供了参考依据，避免了由于没有实际的参考依据而出现的DDOS监测和网络流量监测的不准确性。

公开(公告)号：CN103795709B

公开(公告)日：2017-01-18

申请号：CN201310742812.9

申请日：2013-12-27

Applicant: 北京天融信软件有限公司 ,  北京天融信网络安全技术有限公司 ,  北京天融信科技股份有限公司 ,  国网青海省电力公司信息通信公司

Inventor： 张凤羽

IPC: H04L29/06

Abstract: 本发明提供了一种网络安全检测方法和系统，解析所抓取的数据包的前四层协议获得五元组信息；利用入侵检测规则给数据包进行入侵检测；根据所述五元组信息给所抓取的数据包添加标识；根据流对象的五元组信息和数据包的内容确定流对象所采用的应用协议类型，根据携带有标识的数据包统计采用相同应用协议类型的流对象的流量数据并进行流量分析；根据流对象的应用协议类型调用解析插件对所属流对象的数据包应用层协议进行解析获得数据信息，根据数据信息进行用户网络行为记录；对解析获得的数据信息进行病毒库匹配检测，将入侵检测、网络行为检测、异常流量分析检测以及病毒检测集成在一个系统中，只需要一个接口即可实现对网络访问的多种检测。