-
公开(公告)号:CN101562605A
公开(公告)日:2009-10-21
申请号:CN200810104322.5
申请日:2008-04-17
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种文件传输中实时监测的方法及系统。本发明包括文件传输识别器、文件信息提取器、文件状态储存器、文件重组器、检测规则库及检测引擎。运行包括以下步骤:文件传输行为识别步骤、当前传输文件信息提取步骤、文件状态更新步骤、文件重组步骤及深入检测步骤。本发明解决了传统产品中对于IM类软件进行多文件传输过程当中无法准确区分各分片所属文件造成的重组还原问题,实现了在多文件传输过程当中准确进行各文件重组并实时进行检测功能,具有速度快和准确率高等优点。
-
公开(公告)号:CN101902441B
公开(公告)日:2013-05-15
申请号:CN200910085069.8
申请日:2009-05-31
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种可实现序列攻击事件检测的入侵检测方法,包括:根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测,提高检测效率。
-
公开(公告)号:CN101582791B
公开(公告)日:2011-08-10
申请号:CN200810111790.5
申请日:2008-05-16
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明公开一种实时传讯会话的监控方法及系统,所述方法包括:(1)对实时捕获的数据报文进行协议解析,如识别当前报文负载是与会话发起及终止相关的IM应用的会话报文,确定该报文的IM应用类型并提取会话相关信息;(2)依据会话状态和提取的会话相关信息,对保存的相应会话的信息进行更新,并统计各类IM应用的当前会话数量,对于新发起的会话则保存该会话相关信息,并相应增加该会话所属IM应用的当前会话数量;对于即将终止的会话且该会话相关信息已存储,则删除该会话信息,并相应减少该会话所属IM应用的当前会话数量;对于会话相关信息未保存的即将终止的会话无需处理。本发明用以实现对IM应用中会话的宏观监控,提高监控范围。
-
公开(公告)号:CN101465738B
公开(公告)日:2011-05-11
申请号:CN200710179693.5
申请日:2007-12-17
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种用于文件传输中实时监测的方法及系统。本发明包括文件传输识别器、文件重组器、会话信息记录器、检测规则库、检测引擎及报警报文构造器。运行包括以下步骤:文件传输行为识别步骤、文件重组步骤、会话信息记录步骤、深入检测步骤及报警报文构造步骤。本发明解决了传统产品中对于需要等待文件传输结束再进行全文件检测及报警缺乏实时性的问题,实现了在文件传输过程当中实时进行检测及报警功能,具有速度快和准确率高等优点。
-
公开(公告)号:CN101902441A
公开(公告)日:2010-12-01
申请号:CN200910085069.8
申请日:2009-05-31
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Abstract: 一种可实现序列攻击事件检测的入侵检测方法,包括:根据需检测的每一序列攻击事件,将规则库中用于检测该序列攻击事件中前导事件的规则配置为基础规则,将用于检测该序列攻击事件中后续事件的规则配置为该基础规则的一组关联规则,将所述后续事件发生的先后顺序记录为所述关联规则的关联顺序;对某数据报文进行入侵检测时,如该数据报文匹配到一个或多个基础规则,则优先使用匹配到的基础规则的关联规则,按关联顺序与该数据报文的后续数据报文逐一匹配,如果某个基础规则的一组关联规则均匹配成功,则检测到对应的序列攻击事件,按该序列攻击事件的告警级别进行告警。本发明能够实现对序列攻击事件的检测,提高检测效率。
-
公开(公告)号:CN101582791A
公开(公告)日:2009-11-18
申请号:CN200810111790.5
申请日:2008-05-16
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明公开一种实时传讯会话的监控方法及系统,所述方法包括:(1)对实时捕获的数据报文进行协议解析,如识别当前报文负载是与会话发起及终止相关的IM应用的会话报文,确定该报文的IM应用类型并提取会话相关信息;(2)依据会话状态和提取的会话相关信息,对保存的相应会话的信息进行更新,并统计各类IM应用的当前会话数量,对于新发起的会话则保存该会话相关信息,并相应增加该会话所属IM应用的当前会话数量;对于即将终止的会话且该会话相关信息已存储,则删除该会话信息,并相应减少该会话所属IM应用的当前会话数量;对于会话相关信息未保存的即将终止的会话无需处理。本发明用以实现对IM应用中会话的宏观监控,提高监控范围。
-
公开(公告)号:CN101465738A
公开(公告)日:2009-06-24
申请号:CN200710179693.5
申请日:2007-12-17
Applicant: 北京启明星辰信息技术股份有限公司
Abstract: 本发明涉及一种用于文件传输中实时监测的方法及系统。本发明包括文件传输识别器、文件重组器、会话信息记录器、检测规则库、检测引擎及报警报文构造器。运行包括以下步骤:文件传输行为识别步骤、文件重组步骤、会话信息记录步骤、深入检测步骤及报警报文构造步骤。本发明解决了传统产品中对于需要等待文件传输结束再进行全文件检测及报警缺乏实时性的问题,实现了在文件传输过程当中实时进行检测及报警功能,具有速度快和准确率高等优点。
-
公开(公告)号:CN101888312A
公开(公告)日:2010-11-17
申请号:CN200910084466.3
申请日:2009-05-15
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
Inventor: 王雷章
Abstract: 本发明公开了一种WEB网页攻击检测和响应方法及装置,以对WEB页面进行过滤,保护客户端免受恶意内容的攻击。其中该方法包括:截获WEB服务器返回给客户端的响应报文,获取响应报文中的响应头及响应体;对响应体进行扫描检测;检测到响应体含有恶意内容,将响应体替换为提示信息,并将提示信息与响应头进行合并,送给客户端。与现有技术相比,本发明实现了对含有木马、病毒等的恶意内容的WEB网页进行精确过滤,保护了客户端免受恶意内容的攻击,避免了对正常网页内容的误杀。
-
公开(公告)号:CN101441664A
公开(公告)日:2009-05-27
申请号:CN200810239201.1
申请日:2008-12-03
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
IPC: G06F17/30
Abstract: 本发明涉及一种匹配规则包含可选字符的并行多模式匹配的系统和方法,系统包括:匹配自动机生成模块,用于读取原始匹配规则集,将所述原始匹配规则集中包含可选字符的原始匹配规则对应所述可选字符的每一种可选方式生成一个新匹配规则,将不包含可选字符的确定的原始匹配规则作为其对应的新匹配规则,并将所有新匹配规则按照AC算法生成AC自动机;匹配执行模块,用于读取搜索对象,按AC算法应用所述AC自动机进行匹配搜索,判断所述搜索对象是否匹配一个所述新匹配规则,如果是,则匹配成功,输出被匹配的新匹配规则对应的原始匹配规则。本发明能够应用AC算法对包含有可选字符的匹配规则进行匹配。
-
公开(公告)号:CN101388044A
公开(公告)日:2009-03-18
申请号:CN200810225563.5
申请日:2008-11-05
Applicant: 北京启明星辰信息技术股份有限公司 , 北京启明星辰信息安全技术有限公司
IPC: G06F17/30
Abstract: 本发明公开了一种匹配规则包含或运算符的并行多模式匹配的系统及方法,系统包括:生成模块,用于读取包含匹配规则的规则集,将所述规则集中包含或运算符的匹配规则从或运算符处分割成所述匹配规则的子规则,所述子规则为确定规则,所述规则集中为确定规则的匹配规则作为其自身的子规则,并将所有子规则按照AC算法生成AC自动机;匹配模块,用于读取搜索对象,按AC算法应用所述AC自动机进行搜索,判断所述搜索对象是否匹配所述匹配规则的至少一个子规则,如果是,则所述搜索对象匹配所述匹配规则,并输出匹配结果。本发明能够应用AC算法对包含有或运算符的匹配规则进行匹配。
-
-
-
-
-
-
-
-
-