公开(公告)号：CN114465774B

公开(公告)日：2024-04-19

申请号：CN202111656011.1

申请日：2021-12-30

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 冯顾

IPC: H04L9/40

Abstract: 本发明提供的网络入侵防御方法及装置，包括:通过内核态入侵防御模块在目标容器集所属的网络命名空间，获取访问服务器节点的业务消息的网络数据包；通过用户态入侵防御程序将网络命名空间的ID发送到内核态入侵防御模块；将网络数据包及对应的网络命名空间的ID发送到用户态入侵防御程序；通过用户态入侵防御程序根据网络命名空间的ID，获取对应的防护规则集，将网络数据包与防护规则集进行匹配，将基于匹配结果确定的裁决结果发送到内核态入侵防御模块；通过内核态入侵防御模块基于裁决结果对网络数据包进行处理。该方法可以降低主机资源占用及消耗。

公开(公告)号：CN114615174A

公开(公告)日：2022-06-10

申请号：CN202210233281.X

申请日：2022-03-10

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 陶明威 ,  蒋凯 ,  冯顾

IPC: H04L43/0894 ,  H04L43/12

Abstract: 本发明实施例提供一种流量监控方法及装置，包括：在云平台内的每台物理机中设置流量监控模块；对于每台物理机，将通过物理机的流量全部镜像到所述物理机内的流量监控模块中，通过所述流量监控模块计算至少一个目标网卡的进出口流速。实现了可以实时的获取流量信息，减少响应时间，适用于不同的云平台，减少了对接云平台流速统计的接口的时间，增加效率。

公开(公告)号：CN114553798B

公开(公告)日：2024-08-02

申请号：CN202210043204.8

申请日：2022-01-14

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 刘浩 ,  蒋凯 ,  冯顾

IPC: H04L49/20 ,  H04L49/00 ,  H04L41/08 ,  H04L41/0894 ,  H04L41/0895 ,  H04L9/40

Abstract: 本发明提供一种流量镜像方法、装置、电子设备、介质及产品，其中，流量镜像方法包括：获取虚拟化操作系统中的所有虚拟交换机各自所对应的虚拟交换机信息；根据虚拟交换机信息，为虚拟化操作系统中的各个虚拟交换机分别创建处于混杂模式的镜像端口组；根据虚拟交换机信息，为虚拟化操作系统中预先部署的IDS虚拟机设置虚拟网卡，并将所设置的虚拟网卡与虚拟化操作系统中的各个虚拟交换机的镜像端口组分别连接；IDS虚拟机通过与虚拟网卡连接的镜像端口组获取虚拟化操作系统中所有业务虚拟机的流量。本发明能够在IDS虚拟机网卡设置过程就能完成流量镜像配置，不需要对每个网卡进行手动配置，减少了大量繁琐的手动配置工作。

公开(公告)号：CN116975847A

公开(公告)日：2023-10-31

申请号：CN202310769111.8

申请日：2023-06-27

Applicant: 奇安信科技集团股份有限公司

Inventor： 刘浩 ,  冯顾 ,  朱鹏飞

IPC: G06F21/53 ,  G06F9/455 ,  G06F9/54

Abstract: 本申请公开了一种探针部署方法及装置，涉及网络安全技术领域，主要目的在于降低探针部署对容器镜像的侵入性；主要技术方案包括：响应于检测到容器镜像启动预设容器进程，拦截所述预设容器进程；在拦截的预设容器进程对应的进程参数中添加待部署探针的位置信息；释放拦截的预设容器进程，以使所述预设容器进程在启动过程中基于所述位置信息在所述容器镜像所属的容器内部署所述待部署探针。

公开(公告)号：CN116707866A

公开(公告)日：2023-09-05

申请号：CN202310520391.9

申请日：2023-05-09

Applicant: 奇安信科技集团股份有限公司

Inventor： 戈龙颜 ,  冯顾

IPC: H04L9/40

Abstract: 本发明提供一种恶意进程检测方法及装置。该方法包括：获取待检测进程的多个行为事件对应的事件信息；获取预设的用于确定恶意进程事件的判定规则；其中，所述判定规则包含分别对应恶意进程的每个行为事件的判定信息；将所述多个行为事件对应的事件信息分别与所述判定规则中定义的判定信息进行关联匹配，获得多个行为事件的检测结果；根据所述多个行为事件的检测结果，判定所述待检测进程是否为恶意进程。本发明提供的恶意进程检测方法，通过对进程多个行为事件的关联检测，能够大大降低漏防和误报，有效提高了检测恶意进程的准确度。

公开(公告)号：CN114615022A

公开(公告)日：2022-06-10

申请号：CN202210146983.4

申请日：2022-02-17

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 陶明威 ,  蒋凯 ,  冯顾

IPC: H04L9/40 ,  H04L12/46

Abstract: 本发明实施例提供一种云内流量牵引方法及装置。其中，在云平台的每一台物理机中部署安全虚拟机，所述流量牵引方法应用于所述安全虚拟机，包括：获取镜像到所述安全虚拟机的镜像端口的所述云平台中虚拟机的流量；基于转发过滤策略中虚拟机网卡的mac信息对所获取的流量进行过滤，得到待转发的目标流量；基于隧道协议向所述云平台外部的分析设备转发所得到的目标流量。本发明实施例可以实现以虚拟机网卡为粒度对流量的选择性过滤和转发，可以避免云平台向外部分析设备转发的流量过大，占用过多的带宽，减少网络资源的消耗，可以大大减少转发的流量中的无价值流量，可以提高外部分析设备的资源利用率。

公开(公告)号：CN114598510A

公开(公告)日：2022-06-07

申请号：CN202210167925.X

申请日：2022-02-23

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 刘浩 ,  胡宇 ,  冯顾

IPC: H04L9/40 ,  H04L67/563

Abstract: 本发明提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品，系统包括客户端、数据包重定向引擎以及蜜罐主机；客户端接收网络数据包，确定待重定向的目标网络数据包，进行封装处理后发送至数据包重定向引擎，接收返回的响应数据包，解封处理后转发给发起方；数据包重定向引擎用于接收目标网络数据包，对数据包的地址和/或端口信息进行修改后发送至目标蜜罐主机，接收返回的响应数据包，对响应数据包的地址和/或端口信息修改后封装，发送客户端；蜜罐主机位于蜜场内，对接收到的目标网络数据包进行处理，返回响应数据包。本发明提供的系统，操作简单，能够保留目标网络数据包的原始IP，不会丢失数据信息，提高数据包处理的准确性。

公开(公告)号：CN109547439B

公开(公告)日：2021-04-27

申请号：CN201811418141.X

申请日：2018-11-26

Applicant: 奇安信科技集团股份有限公司

Inventor： 王玉常 ,  冯顾 ,  刘浩

IPC: H04L29/06 ,  H04L29/08

Abstract: 本发明实施例提供一种服务节点接入网络的处理方法及装置，所述方法包括：若检测到服务节点的上线消息，根据所述服务节点的节点类型和预设关系，获取与所述节点类型对应的目标服务链；其中，所述预设关系包括预设节点类型和预设服务链之间的对应关系；所述预设服务链为允许配置预设逻辑服务节点的服务链；若判断获知在所述目标服务链中与所述服务节点对应的目标服务节点的配置类型为逻辑服务节点，则激活所述目标服务节点，以使激活后的目标服务节点通过所述目标服务链接入网络。所述装置执行上述方法。本发明实施例提供的服务节点接入网络的处理方法及装置，能够基于服务链自动将服务节点接入网络，从而提高服务节点接入网络的处理效率。

公开(公告)号：CN114598510B

公开(公告)日：2024-08-09

申请号：CN202210167925.X

申请日：2022-02-23

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 刘浩 ,  胡宇 ,  冯顾

IPC: H04L9/40 ,  H04L67/563

Abstract: 本发明提供一种蜜场网络流量重定向系统、方法、电子设备、介质及产品，系统包括客户端、数据包重定向引擎以及蜜罐主机；客户端接收网络数据包，确定待重定向的目标网络数据包，进行封装处理后发送至数据包重定向引擎，接收返回的响应数据包，解封处理后转发给发起方；数据包重定向引擎用于接收目标网络数据包，对数据包的地址和/或端口信息进行修改后发送至目标蜜罐主机，接收返回的响应数据包，对响应数据包的地址和/或端口信息修改后封装，发送客户端；蜜罐主机位于蜜场内，对接收到的目标网络数据包进行处理，返回响应数据包。本发明提供的系统，操作简单，能够保留目标网络数据包的原始IP，不会丢失数据信息，提高数据包处理的准确性。

公开(公告)号：CN114615309B

公开(公告)日：2024-03-15

申请号：CN202210056377.3

申请日：2022-01-18

Applicant: 奇安信科技集团股份有限公司 ,  奇安信网神信息技术(北京)股份有限公司

Inventor： 蒋凯 ,  冯顾

IPC: H04L67/141 ,  H04L9/40 ,  H04L67/01

Abstract: 本发明提供一种客户端接入控制方法、装置、系统、电子设备及存储介质，接收第一客户端发起的SSL连接请求信息；其中，所述SSL连接请求信息是基于预先设置的第一客户端的SSL证书和CA证书生成的；根据预存的证书验证信息，对所述SSL连接请求信息中的证书信息进行验证，在验证通过的情况下，生成第一客户端SSL证书状态获取请求信息；将所述第一客户端证书状态获取请求信息发送至CA服务模块；接收所述CA服务模块对所述第一客户端证书状态获取请求信息的状态分析结果，并根据所述状态分析结果控制所述第一客户端的接入，通过将客户端接入控制需求的实现从系统的应用层下移到SSL连接层，更加安全和高效，也减少了应用层软件的实现复杂度。