摘要：本发明涉及一种适于局域网环境的网络节点扫描检测方法和系统，是一种适于高速局域网环境的网络节点扫描检测的方法和系统。本发明包括网络终端、局域网，所述方法的步骤：数据获取步骤；DNS解析监控步骤；可疑网络访问过滤步骤；可疑网络访问统计步骤；网络扫描检测步骤。本发明通过将各主机节点发出的所有网络访问请求与本局域网中最近DNS解析过的IP地址列表进行关联，最大限度的过滤掉那些与正常网络访问流量相关的网络访问请求。采用可疑网络访问请求连接响应率和可疑网络访问请求的目标IP地址发散度为网络扫描检测指标，适于局域网环境的网络节点扫描检测系统对局域网络中各主机节点的扫描行为进行监控的网络安全产品中。

摘要：一种数据库操作响应时间测算方法及系统，包括具体数据库操作请求提取器；服务端返回信息定位器；具体操作响应时间计算器；其特征在于包含以下步骤：具体数据库操作请求提取步骤；服务端返回信息定位步骤；具体操作响应时间计算步骤。本发明解决了传统审计产品中缺乏对数据库操作响应时间测算可能造成的数据库使用的影响。可以终止某些无响应或响应时间过长的操作以提高数据库的使用效率，有效的反映各种数据库操作对系统资源的占用情况，对数据库系统的运行性能进行有效的调整和保障。此外在系统实现的过程充分考虑了灵活性和扩展性问题，对于新型的数据库只需添加该数据库识别特征而无需对系统进行大的改动，可广泛应用于网络业务审计产品中。

摘要：一种适于高速局域网环境的SQL注入攻击检测系统。包括数据获取模块、数据预处理模块、待检测对象过滤模块、SQL注入攻击检测模块和SQL注入报警模块，数据获取模块从被保护网络中获取与HTTP服务相关的网络数据包，数据预处理模块基于TCP流重组和HTTP协议解析操作创建待检测对象并传送给待检测对象过滤模块，待检测对象过滤模块依据事先创建的过滤规则序列对每个待检测对象的URL进行匹配，并执行匹配的过滤规则中指定的处理动作。通过将各HTTP请求的Web对象类型分为静态Web类型和动态Web类型，并在实时SQL注入攻击检测过程中过滤掉大量的针对静态Web类型的HTTP请求，大大减轻SQL注入攻击检测模块的处理压力，降低了误报率。

摘要：本发明涉及一种基于回显的审计方法及系统，是一种用于网络业务审计产品中利用回显信息确定审计范围并进行精确网络业务行为审计的方法及系统。本发明包括网络业务操作内容提取器、回显信息识别器、审计装置。其特征在于包含以下步骤：网络业务操作内容提取步骤；回显信息识别步骤；审计的步骤。本发明解决了传统审计产品中仅仅依赖于协议解析技术对网络业务行为进行审计造成的审计范围不准确无法对某些隐私信息进行保护的安全性问题，实现了进行精确网络业务行为审计的同时有效保护用户秘密信息的功能，具有非常高的效率和准确性，可广泛应用于网络业务审计产品中。

摘要：一种基于异常度量的宏观网络安全状态评估方法，包括：定义建模参数与评分标准；采集样本数据，提取用于描述网络安全状态的指标变量；根据从样本数据中提取的指标变量，提取能反映网络运行状态的规律性因素，过滤偶然性因素，建立网络正常运行状态模型；采集指标变量检测数据，计算指标变量检测数据与正常模型间的异常程度；根据已定义的评分标准，按照所述指标变量的异常程度计算该指标的标准化评分，按照指标变量的重要程度给出网络整体状态的标准化评分。本发明方法能根据不同网络环境下各指标变量关注度不同，调整各指标变量的建模参数与评分标准，描述当前网络中重要指标变量的当前状态以及网络的整体综合状态，具有实时、准确、定量、可配置等优点。

摘要：一种通用协议解析方法及系统。包括引擎、通用协议解析控制台、通用协议解析控制模块、捕报器、存储器、协议解析器，运行包含以下步骤：协议及字段的注册步骤；捕报步骤；协议解析步骤；数据交互步骤；数据处理的步骤。解决了传统网络安全产品中针对协议解析仅仅依赖端口的问题，增加了智能启发式协议解析功能，同时拥有良好设计结构，具有强大的解析能力，采用插件技术实现协议解析器，拥有协议解析速度快、准确率高和扩展性好等优点。

摘要：本发明提供一种自适应抽样的流量检测方法，包含：查找抽样周期表，得到对应的抽样周期；在抽样周期内随机进行样本报文的抽样；根据抽样得到的样本报文的特征生成抽样周期内的报文总特征；判断是否达到自适应的控制条件，若达到自适应的控制条件，再次查找抽样周期表，重复抽样过程。本发明的优点在于：可以在不影响或轻微影响入侵检测性能的前提下，实现一定精度的流量检测。

摘要：实时垃圾邮件过滤方法和系统。首先提取邮件正文和邮件描述信息，采用高效的特征模式生成算法将邮件正文转化为若干指纹的集合，代表原始邮件。如果内存中没有邮件与当前邮件的内容相似，则在内存中新建一个邮件类，并保存当前邮件的指纹及描述等信息；仅更新邮件类中的描述信息，如果邮件类中包含的邮件数目超过预定义的垃圾阈值，则该邮件类被标注为垃圾邮件类，再次分入此类的邮件被过滤系统判定为垃圾邮件。本发明以较少数目的指纹有效识别垃圾邮件，维护开销小，不侵犯用户隐私；在执行效率和内存开销等方面具有较好的性能，用于大流量环境下过滤垃圾邮件，缓解垃圾邮件占用网络带宽问题，从而提高网络资源利用率，同时减轻用户端的过滤压力。

摘要：本发明涉及一种协议格式异常检测方法及系统。本发明包括检测关键字段库、实际检测规则库、语法分析器、协议解析器、协议格式异常检测器，运行包括以下步骤：检测关键字段库的建立步骤；实际检测规则库的建立步骤；数据提取的步骤；深入检测的步骤。本发明解决了现有技术中仅仅依赖误用检测对于所有数据包的载荷部分进行模式匹配的性能问题。本发明采用了功能强大的语法分析器使得本系统扩展非常方便，可自动生成实际检测规则及相应的处理函数关联，并具有协议格式异常检测速度快和准确率高等优点，应用前景广阔。

摘要：一种大规模关键词匹配方法。包括预处理阶段和模式匹配阶段。预处理阶段包括关键词特征串裁剪、基于关键词特征串集合的多个简单布隆过滤器(BloomFilter)的构造，基于关键词特征串集合的哈希表构造；模式匹配阶段包括：利用先前构造的简单布隆过滤器序列实现当前窗口中文本串不与任何关键词特征串匹配的快速判定；在判定失败情况下执行与候选关键词的精确匹配；文本扫描过程中，可以利用递归算法快速计算出当前文本相对于各简单布隆过滤器的当前散列值。本发明充分利用了待匹配文本与关键词匹配成功概率异常低的特点，利用了递归散列算法高效的特点，可实现大规模关键词场景下的高速匹配，非常适合病毒检测等在线病毒扫描应用。

摘要：本发明公开了一种安全日志分析方法及系统，实现了从海量日志中过滤无效日志和误报日志，发现大规模网络安全事件，以及经常出现的攻击序列。所述方法包括：利用面向属性归纳算法，对海量日志进行聚类分析，生成聚类后每类日志的类描述；管理员根据聚类后的类描述设置过滤规则，从当前日志库中去除不相关日志和误报的日志，对海量日志进行精简；提取Internet蠕虫、分布式拒绝服务攻击等大规模网络安全事件特征；对精简后的日志进行序列模式挖掘，找出攻击者常用的攻击行为序列描述，并最终提交给管理员。所述系统包括聚类分析模块、过滤模块和序列模式挖掘模块。本发明适用于对安全产品的海量日志信息处理。

摘要：一种SQL注入攻击检测方法及系统。包括SQL注入攻击检测知识库构建阶段和实时SQL注入攻击检测阶段，所述的SQL注入攻击检测知识库构建包括各种场景下SQL注入攻击样本的收集、SQL注入手法分类、以及针对各类SQL注入手法的SQL注入攻击检测语法规则的建立；实时SQL注入攻击检测阶段包括HTTP请求消息中用户输入数据的提取、解码和与SQL注入攻击检测语法规则的匹配等步骤。本发明使用SQL语法定义SQL注入攻击检测规则，而不是基于传统攻击特征签名来定义SQL注入攻击检测规则，有效克服SQL注入攻击事件的攻击特征签名不易提取和易被欺骗等缺点，大大降低入侵检测系统检测SQL注入攻击时的误报率和漏报率。

摘要：本发明公开了一种Web服务器前后台关联审计方法和系统，实现了后台与前台具体的http访问事件的关联。所述方法包括：通过安全审计设备分别获取前台和后台的访问事件，对前后台的访问事件进行序列划分；对划分后的事件序列进行序列模式挖掘，找出他们之间的时序关系；利用得到的关联关系，确定触发该后台访问的http访问。所述系统包括：序列划分模块、自学习模块、实时监测模块。本发明适用于对Web服务器的业务审计。

摘要：一种Oracle数据库审计方法及系统，包括客户端驱动类型定位器、jdbc驱动环境协议解析器、行为特征关键字库、odbc驱动环境行为特征匹配及审计信息定位器、审计装置，有客户端驱动类型定位步骤；行为特征关键字库的建立步骤；odbc驱动环境行为特征匹配及审计信息定位的步骤；jdbc驱动环境协议解析的步骤；审计的步骤。解决传统审计产品中对于Oracle数据库操作行为的审计仅仅依赖协议解析带来的不准确性或仅仅依赖特征匹配带来的系统性能问题。对于Oracle数据库版本有灵活的可扩展性，扩大审计的范围，具有有针对不同版本的审计高效率和准确性，应用于网络业务审计产品。

摘要：一种支持多种数据库类型的SQL注入攻击检测系统。包括数据获取模块、数据预处理模块、SQL注入攻击检测模块、SQL注入报警模块和分类转发模块。可包含多个SQL注入攻击检测模块，各SQL注入攻击检测模块分别基于其相关数据库类型的扩展SQL语法创建SQL注入攻击检测语法规则，各SQL注入攻击检测模块与某一Web应用服务器目的地址绑定，实现对所有具有相同目的地址的待检测对象的SQL注入攻击检测。本发明充分考虑了各类型数据库的SQL语法差异性，按Web应用服务器目的地址将待检测对象进行分类，并由支持特定数据库类型SQL语法扩展的SQL注入攻击检测模块进行检测，大大降低了SQL注入攻击检测中的漏报问题。

摘要：本发明公开了一种信息系统风险评估方法及系统，风险评估方法包括：计算信息系统内每个资产的风险值；根据每个资产的风险值，计算信息系统的风险值；此处对资产风险值的计算和信息系统风险值的计算是基于概率模型的。风险评估系统安装在互联网的用户终端上，包含脆弱性扫描单元，资产价值定义单元，资产保护措施定义单元，以及基于概率模型的信息系统风险评估单元。本发明能够将资产的风险值和信息系统的风险值量化在一个指定的固定区间内，量化结果从概率上体现了资产或信息系统脆弱性的大小。本发明适用于网络安全风险评估。

摘要：一种基于状态检测的协议异常检测方法及系统。协议正常运行状态模型的建立包括协议形式化描述语法的检查和相关协议状态机的生成；协议运行状态定位阶段实现对于具体网络通信数据报文在当前会话中所使用协议状态的准确定位；协议运行状态迁移阶段实现了对定位后的协议状态进行下一步可能进行的状态迁移的预测并生成正常状态迁移集合；异常检测阶段通过获取的后续报文及预测状态迁移集合判断当前协议运行是否符合协议标准模型并返回检测结果。能够在网络协议通信过程中根据实际抓获的报文当中使用的具体协议进行相关的协议异常检测，并能够根据实际需要方便的进行协议正常运行模型的扩展。

摘要：本发明公开了一种快速内容分析的多关键词匹配方法。所述发明方法包括预处理阶段和模式匹配阶段。其中，所述的预处理阶段包括关键词特征串裁剪和关键词特征分片集合的构建、基于关键词特征分片集合的BloomFilte(布隆过滤器)构造，以及原始关键词集合线性表构造，所述关键词匹配阶段包括：依据BloomFilter实现当前窗口中文本串不与任何关键词特征分片匹配的快速判定；只在判定失败情况下通过字符串比较操作实现与候选关键词的精确匹配；将文本匹配窗口连续多字节快速跳跃。本发明充分利用了待匹配文本与关键词匹配成功概率异常低的特点，可实现大数量关键词场景下的高速匹配，非常适合病毒检测等在线病毒扫描应用。

摘要：本发明涉及可用于入侵检测防御(IDS/IPS)及审计产品中的一种基于行为特征的P2P协议精确识别方法。能够在网络协议通信过程中根据实际抓获的报文当中携带的信息进行行为特征提取并以此实现对P2P协议的精确识别，并能够根据实际需要方便的进行协议行为特征模型的扩展。本方法包括协议行为特征模型库、协议状态定位多模式匹配模块、协议状态迁移模块、入侵检测/审计模块四个阶段。其中，所述的协议行为特征模型库的建立制定协议特定状态的匹配特征；协议状态定位模块以多模式匹配的方式实现对具体数据报文所属报文及协议状态的定位；协议状态迁移模块实现对于协议运行状态的迁移跟踪；入侵检测/审计模块根据前期阶段输出的结果调用相应的检测或审计功能。

摘要：一种用于以太网数据安全传输的网卡连接结构，数据的传输不形成回路，两台主机的4块网卡交叉互联，把两个不同网络连接在一起，但每对网卡之间只有一个连接线，不形成回路。本实用新型的有益效果是，本系统的联接方式是通过数据传输往返路径分离，使单个网卡上只有单向的数据传输，从而使任何应用层网络协议都无法有效运行，达到2个网络的安全隔离。再通过其上运行的专用软件和专用网络协议，同时处理2个网卡上接收和发送的数据，完成数据的有效传输。数据传输的协议栈是专用协议栈，这样就使基于传统TCP/IP协议栈和传统传输模式的网络入侵和攻击行为成为不可能，从而使被保护网络免受病毒、木马、间谍软件等各类有害事件的灾害之苦。