公开(公告)号：CN101888369B

公开(公告)日：2013-04-03

申请号：CN200910084467.8

申请日：2009-05-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇 ,  周涛

IPC: H04L12/753 ,  H04L29/06

Abstract: 本发明公开了一种进行网络报文规则匹配的方法和装置；方法包括：根据网络报文规则集合构建网络报文分类树；所构建的网络报文分类树中每个内部节点被标记为一个报文字段属性，内部节点的每个输出弧都被标记为该内部节点所标记的报文字段属性的值，该值为一数值或任意值；每个叶节点被标记为所述网络报文规则集合中的一个网络报文规则；每次捕获到网络报文后，根据该网络报文中包含的报文字段属性的值，在所构建的网络报文分类树中进行查找，如果能查找到完全匹配的分支，则该网络报文与该分支上的叶节点所标记的网络报文规则匹配。本发明大大提高了网络报文规则的匹配速度。

公开(公告)号：CN101902337B

公开(公告)日：2013-03-06

申请号：CN200910085038.2

申请日：2009-05-27

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 田进山 ,  黄宇鸿 ,  周涛 ,  张峰

IPC: H04L9/36 ,  H04L29/06

Abstract: 一种网络入侵事件的管理方法，应用于网络入侵检测系统，包括：网络入侵检测系统的管理控制中心判断检测引擎上报的事件是否与管理控制中心中预先配置的比较规则相匹配，如果是，再判断所述比较规则的对应响应策略与检测引擎当前所应用的响应策略是否一致，如果不一致，则将所述比较规则的响应策略下发至检测引擎；检测引擎根据所述下发的响应策略向管理控制中心上报事件；所述响应策略包括：取消事件上报、将事件合并后上报、或者将事件合并上报并提高其事件级别。通过本发明所述方法，网络入侵检测系统能够根据本地网络情况自动调整网络入侵事件的响应策略。

公开(公告)号：CN102571547A

公开(公告)日：2012-07-11

申请号：CN201010611982.X

申请日：2010-12-29

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛

IPC: H04L12/56 ,  H04L29/08

Abstract: 本发明公开了一种HTTP流量的控制方法及装置；方法包括：根据Web客户端发往Web服务器的HTTP流量，判定所述Web客户端为自动工具或人工浏览；仅允许判定为人工浏览的Web客户端所产生的HTTP流量进入所述Web服务器。本发明能够对异常HTTP流量进行限流，同时允许正常Web业务访问HTTP流量正常通过，从而最大限度保障正常用户的Web访问服务质量。

公开(公告)号：CN101729389B

公开(公告)日：2012-05-23

申请号：CN200810224570.3

申请日：2008-10-21

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  李博 ,  邓炜

IPC: H04L12/56 ,  H04L29/06

Abstract: 一种基于流量预测和可信网络地址自学习的流量控制装置和方法；装置包括转发引擎和流量分析单元；所述转发引擎用于转发网络数据包、统计进出各目标主机的网络流量，从各目标主机发出的网络数据包中收集可信网络地址；当检测到攻击流量时，采样送入具有攻击流量的目标主机的网络数据包并将样本发给流量分析单元，以及根据所收集的可信网络地址、和流量分析单元返回的攻击流量过滤规则对发往该目标主机的网络数据包进行流量控制；所述流量分析单元用于根据所接收的网络数据包样本，以各TCP/IP协议包头字段值为项，提取满足预设最小支持度的频繁项目集作为应用于所述网络数据包样本对应的目标主机的攻击流量过滤规则。

公开(公告)号：CN101883017B

公开(公告)日：2012-02-01

申请号：CN200910083385.1

申请日：2009-05-04

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司 ,  上海市计算机病毒防范服务中心

Inventor： 周涛 ,  石坚 ,  吴恩平 ,  杨立纯 ,  力立

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06

Abstract: 本发明公开了一种网络安全状态评估系统及方法，用于入侵检测设备评估网络安全状态。其中该方法包括：根据入侵检测设备当前观测周期之前的历史日志，提取网络安全状态指标，建立网络安全状态指标的正态分布模型；所述评估时，根据所述入侵检测设备当前观测周期的实时日志，获得所述实时日志的网络安全状态指标值，根据所述实时日志的网络安全状态指标值及正态分布模型，获得所述入侵检测设备在所述当前观测周期的网络安全状态评估结果。本发明提出的网络安全状态评估系统及方法，能够根据入侵检测设备产生的日志，自动评估当前网络安全状态。

公开(公告)号：CN101350745B

公开(公告)日：2011-08-03

申请号：CN200810117941.8

申请日：2008-08-15

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 周力丹 ,  李博 ,  叶润国 ,  周涛

IPC: H04L12/26 ,  H04L12/24 ,  H04L29/06 ,  H04L29/08

CPC classification number: H04L63/1416 ,  H04L41/0677

Abstract: 一种入侵检测方法及装置，该方法对要检测的每种类型的网络攻击事件，分配一个或多个检测单元，并配置该类型网络攻击事件的待检测对象的类型以及检测算子和检测知识库，入侵检测时，实时获取网络数据包，获取网络数据包中包含的待检测对象；然后由相应的检测单元根据配置的检测算子和检测知识库进行入侵检测，产生网络攻击报警事件。该入侵检测装置包括依次连接的数据预处理单元、数据分发单元、包括一个或多个检测单元的检测网格以及上述单元连接的配置管理单元。本发明支持对各种复杂网络攻击事件的精确检测，并要考虑整个入侵检测装置的执行效率。

公开(公告)号：CN101902438A

公开(公告)日：2010-12-01

申请号：CN200910084701.7

申请日：2009-05-25

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  胡振宇 ,  周涛

IPC: H04L29/06 ,  H04L12/24

Abstract: 本发明公开了一种自动识别网页爬虫的方法和装置；装置包括：获取单元，用于获取一段时间内远程主机到Web服务器的网页请求；判断单元，用于判断各相邻网页请求的时间间隔是否大于或等于一预定的相邻网页请求时间间隔阈值δ；识别单元，用于根据各判断结果是否满足预设条件，来判断所述远程主机的操作是否为网络爬虫。本发明可以快速检测出各种类型的网页爬虫，从而为后续的安全响应提供了宝贵的响应时间。

公开(公告)号：CN101640594A

公开(公告)日：2010-02-03

申请号：CN200810117499.9

申请日：2008-07-31

Applicant: 北京启明星辰信息技术股份有限公司 ,  北京启明星辰信息安全技术有限公司

Inventor： 叶润国 ,  周涛 ,  孙海波 ,  郑曙光 ,  邓炜

IPC: H04L9/36 ,  H04L12/56

Abstract: 本发明公开了一种在网络设备上提取流量攻击报文特征的方法和单元；方法包括：选定需要提取报文特征的、作为攻击流量类型的网络报文类型；以选定类型报文的报头字段为项，在接收到的选定类型的网络报文中，找到所有满足最小支持度的频繁项目集；对所找到的所有频繁项目集先按照元数降序排序，再对元数相同的频繁项目集按照支持度降序排序；从排序后的频繁项目集里，依次选取一组满足报文过滤比例阈值的频繁项目集的最小集合为选定类型报文的攻击报文特征。本发明克服了流量特征提取方法的片面性，并且能够精确过滤，避免误杀，保障合法网络流量的正常通过。

公开(公告)号：CN106713303A

公开(公告)日：2017-05-24

申请号：CN201611178704.3

申请日：2016-12-19

Applicant: 北京启明星辰信息安全技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 卞超轶 ,  周涛

IPC: H04L29/06 ,  H04L29/12

CPC classification number: H04L63/1416 ,  H04L61/1511

Abstract: 本发明公开了一种恶意域名检测的方法及系统，解析待检测域名的时空特征，并将待检测域名的时空特征输入到预设机器学习模型组中，得到预设的机器学习模型组输出的所述待检测域名的初步检测结果；其中，机器学习模型组中包括至少一个机器学习模型，所述机器学习模型已基于解析日志中域名的时空特征进行了训练；并基于预设的规则和所述初步检测结果，得到域名的最终检测结果。因此一方面通过域名的时空特征对机器学习模型进行训练得到的机器学习模型对待检测的域名的时空特征进行识别，提高了对恶意域名识别的准确性；另一方面可以根据需要选择更合适的机器学习模型对域名进行识别，对域名的识别更具有针对性，进而也提高了识别恶意域名的准确度。

公开(公告)号：CN118051594A

公开(公告)日：2024-05-17

申请号：CN202410215357.5

申请日：2024-02-27

Applicant: 北京启明星辰信息安全技术有限公司 ,  北京网御星云信息技术有限公司 ,  启明星辰信息技术集团股份有限公司

Inventor： 赵旺 ,  卞超轶 ,  周涛 ,  刘洋

IPC: G06F16/332 ,  G06F16/33 ,  G06F40/205

Abstract: 一种SQL语句处理模型构造、SQL语句生成方法及装置，包括：获取多条样本问答语句，并对每条样本问答语句，都利用预先建立的提示问答语句集合构造其对应的训练样本；其中，提示问答语句集合包括：多种难度类型的提示问答语句，每条样本问答语句、每条提示问答语句均包括：基于自然语言形式的问题语句以及SQL语句形式的答案语句，每条所述样本问答语句、每条所述提示问答语句均包括：基于自然语言形式的问题语句以及SQL语句形式的答案语句；利用构造的训练样本训练语言大模型，得到SQL语句处理模型。本申请实施例利用不同难度的提示问答语句丰富了提示信息，因此提升了据此构造的模型的学习效果，提高了模型SQL语句生成的准确率。