公开(公告)号：CN101309179B

公开(公告)日：2011-03-16

申请号：CN200710099395.5

申请日：2007-05-18

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 叶润国 ,  赵东宾 ,  许金鹏 ,  华东明 ,  骆拥政

IPC: H04L12/26 ,  H04L12/56 ,  H04L29/08 ,  H04L12/24

Abstract: 本发明涉及一种基于主机活跃性和通信模式分析实时异常流量检测方法，本发明能够在高速网络环境下实时确定异常流量事件发生的时间，识别出异常流量事件的类型，并能对该异常流量事件进行物理定位。本发明利用提供各种网络服务的广域网以及与广域网连接的区域网和局域网、和安装在集中检测设备上的抽样单元、提取计算单元、比较单元、知识库单元来实现。本发明基于先验知识建立各种类型异常流量事件的通信模式，而在异常检测时，通过提取网络中的活跃主机通信模式，并与各异常流量事件通信模式相比较，就可能识别出发生在活跃主机上的异常流量事件，支持的异常流量检测事件包括α流、各种Flood事件、Flash-Crowd、端口扫描、网络扫描、设备故障和蠕虫扫描事件。

公开(公告)号：CN101527648A

公开(公告)日：2009-09-09

申请号：CN200810101524.4

申请日：2008-03-07

Applicant: 北京启明星辰信息技术股份有限公司

Inventor： 许金鹏 ,  邓炜 ,  赵东宾 ,  王虹

IPC: H04L12/24 ,  H04L29/06 ,  G06F21/00

Abstract: 本发明涉及一种能够完成整数匹配的状态树匹配方法，在完成通用的并行模式匹配同时，完成整数的数值匹配，是一种用于计算机或网络的入侵监测、审计等多种基于数据监测的方法。本发明所述方法的步骤：读取整数定义模式的步骤，生成状态树的步骤，读取数据的步骤，模式匹配的步骤，上报结果的步骤。本发明可以在字符串匹配的同时，完成整数的匹配，从而提高匹配的速度。加快了在数据检测、审计的速度，减少了硬件开销，提高了数据检测和审计的效率。