CN1656731B - 基于多方法网关的网络安全系统和方法 - Google Patents
基于多方法网关的网络安全系统和方法 Download PDFInfo
- Publication number
- CN1656731B CN1656731B CN038079119A CN03807911A CN1656731B CN 1656731 B CN1656731 B CN 1656731B CN 038079119 A CN038079119 A CN 038079119A CN 03807911 A CN03807911 A CN 03807911A CN 1656731 B CN1656731 B CN 1656731B
- Authority
- CN
- China
- Prior art keywords
- stream
- network
- tcp
- software module
- product
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
本发明公开了检测和防止网络安全违例的系统和方法(23)。所述系统和方法提供了一种基于网关的分组转发网络安全解决方案,不仅用于检测安全违例,而且通过直接丢弃可疑的分组和连接而防止了安全违例。所述系统和方法采用多种技术来检测和防止网络安全违例(30),包括状态特征检测、业务特征检测和协议异常检测(35)。
Description
发明领域
本发明一般地涉及用于检查和防止网络上安全违例的网络安全系统和方法。更具体地说,本发明提供了基于网关的分组转发网络安全系统和方法,以便不仅检查网络上的安全违例,而且通过直接丢弃可疑的分组和连接而防止它们发生。这些系统和方法采用多种技术来检测和防止入侵,包括状态特征(signature)检测、业务特征检测和协议异常检测。
背景
因特网的迅猛发展使信息传播和共享方式发生了巨大的变化。全球范围数百万人随时使用因特网以电子方式交换大量信息,而且人们还通过因特网参与许多活动,包括通信、商业交易和娱乐。
因特网突破了传统的地理屏障,使得在源网络主机与目的网络主机之间传递信息不需要专用的端对端连接。取而代之的方式是,因特网业务被分成称为“分组”的信息单元,这些分组在任一给定时刻根据来源端与目的地之间最有效的路线,通过网络进行动态路由选择。每个分组包括“首部”,首部指示信息的来源和要发送到的目的地以及通过网络对分组进行路由所需的其它信息。源端与目的地通过与每个网络主机相关联的32位数字的“IP地址”确定。
分组首部符合所有因特网传输中使用的共享“协议”组。那些协议是确定信息交换方式的规范集,所述信息交换指常常在不同制造商提供的且运行不同操作系统的计算机之间进行。因特网协议规定网络如何移动数据,处理错误及允许发送、接收和理解信息。最基本的协议称为“因特网协议”即IP,IP负责格式化分组并通过网络传送分组。诸如UDP、TCP和RTP等传输协议在IP顶部使用,以确保正确接收分组中的数据,并且TCP协议还保证可靠地接收分组。其它特征和功能由与IP和传输协议一起使用的专用协议提供。
虽然因特网协议结构为用户提供了无以伦比的好处,但它也因提供了大量廉价的可能匿名的破坏任一因特网主机(包括包含那些主机的专用网络)的安全的方式,而有利于违法活动。尽管潜在的网络安全漏洞很多,但当前的网络安全技术却不能充分和有效地检测和防止日益复杂的、众多的网络安全违例。现有网络安全技术的示例范围从操作系统控制、密码保护工具和防病毒软件到诸如虚拟专用网、防火墙和入侵检测系统等更复杂的技术。
虚拟专用网(“VPN”)是在诸如因特网等任一共享网络上建立的专用网。VPN试图通过使用安全程序来保护隐私,安全程序涉及在诸如远程办公室中的路由器、膝上型计算机、服务器应用程序等任意两个VPN终端点之间进行认证和加密。此外,VPN经常利用安全遂道协议,如正在开发的标准因特网协议安全(“IPSec”),该协议由用于IP层的一组因特网安全业务组成,包括认证、分组完整性和保密及加密密钥管理。VPN一般集成到防火墙软件中以提高网络安全性。
防火墙是位于专用网关中的一组软件程序,其试图过滤在专用网与诸如因特网等共享网之间流动的信息。防火墙试图保护专用网资源不被外来者使用,并控制专用网用户对外部资源的访问。目前使用的防火墙类型有四种:分组过滤器、电路级网关、应用网关和状态检查。还可能存在组合了所有四种防火墙类型中任意两种或两种以上类型的混合型防火墙。
分组过滤防火墙将专用网上输入和输出IP分组中的首部信息与网络管理员设置的规则表或过滤条件表相比较,以验证分组是否符合表中的要求。如果分组不符合那些规则,则防火墙将拒绝该分组,因而该分组将不被转发到其目的地。除其它信息,由分组过滤防火墙检查的首部信息一般还包括源端与目的地地址、协议类型、输入分组的网络接口、业务方向、路由及连接状态。例如,分组过滤防火墙可指定不允许来自范围从232.181.20.10到232.181.20.255的IP地址的任何UDP分组进入专用网。
通过在防火墙内使用网络地址转换(“NAT),可提高具有分组过滤防火墙的专用网安全性。NAT功能类似电话系统中的专用分组交换机。输出IP分组的所有源地址会被重新写入分配给防火墙的IP地址,以产生分组源于防火墙而非防火墙保护的专用网内部主机的效果。返回的应答分组会被转换并转发到适当的主机。利用NAT,内部主机可连接到防火墙外的主机,但外部主机因只知道防火墙的IP地址而无法直接连接到内部主机。
分组过滤防火墙成本相对较低,并且不影响网络性能,但它们一般无法单独提供充分的安全性。分组过滤规则在复杂的环境中无法管理,不提供用户认证机制并且易于受到诸如IP欺骗(IP spoofing)等形式的攻击。例如,如果黑客可以推测出某个可信IP地址,则黑客可伪照有害分组的IP首部。由于无法区分有效分组和假分组,因此,分组过滤防火墙将不会拒绝有害的分组。
分组过滤防火墙的示例包括用于基于UNIX操作系统的免费发布的软件包IPFilter、按照GNU通用公共许可证免费发布的用于Linux操作系统的SINUS TCP/IP分组过滤器,以及由位于美国加利福尼亚弗里蒙特(CA,Fremont)的Sygate Technologies公司销售的基于协议的个人防火墙PROTM。
另一种类型的防火墙称为电路级防火墙,它在打开连接前在网络会话层上运行,以验证TCP/IP会话。电路级防火墙只在发生分组信号交换后才允许TCP分组通过。分组信号交换从源端向目的地发送同步(“SYN”)分组开始,并以目的地将SYN分组和确认(“ACK”)分组发回源端结束。电路级防火墙维护有效的连接表(该表包括会话状态和SYN与ACK分组的序号信息),并在网络分组信息与表中的某个条目匹配时允许分组通过。在允许进行信号交换后传送所有分组,直到会话结束为止。
电路级防火墙为每个会话维护两个连接,一个连接在源端与防火墙之间,另一连接在防火墙与目的地之间。因此,所有输出分组似乎源于防火墙(类似于带有NAT的分组过滤防火墙),即阻止了源端与目的地之间的直接联系。
一旦初始连接建立并提供高度灵活性后,电路级防火墙便具有好的性能。然而,它们无法检查在任一给定连接中传送的分组应用级内容。一旦连接建立后,任何恶意应用或分组便可在连接上运行。
大多数电路级防火墙使用可公开获得的“SOCKS”网络协议来实现,该协议允许SOCKS服务器一侧的主机访问SOCKS服务器另一侧的主机,而无需直接IP可达性。当应用客户机经SOCKS服务器开始与应用程序器的会话时,客户机首先向SOCKS服务器发送它支持的认证方法列表。随后,SOCKS防火墙将这些方法与网络管理员定义的安全策略相比较,选择一种认证方法,向客户机发送消息以告知采用的认证方法,最后对客户机进行认证。在客户机通过认证后,SOCKS服务器在客户机与服务器之间建立虚电路,在电路未关闭之前通过该虚电路传送所有分组。使用SOCKS的电路级防火墙的示例包括由加拿大多伦多的Hummingbird有限公司提供的Hummingbird SOCKS。
为解决电路级防火墙固有的安全风险,开发了在网络应用层运行的应用级防火墙。此类防火墙针对每个允许的应用运行作为专用网与共享网之间中介的应用代理服务器,如FTP代理、HTTP代理、用于电子邮件的SMTP代理等。
通常认为应用代理比分组过滤或电路级防火墙更安全。类似于电路级防火墙,应用代理不允许直接连接并强制就适用性对所有分组进行筛选。然而,应用代理一般比分组过滤或电路级防火墙更慢,因为要在应用层评估所有分组,即通过应用代理的每个分组在到达其最终目的地前必须进行去封装/重新封装。另外,代理服务器可能没有分组转发功能。每个新的业务需要新的代理服务器,并且由于代理高度依赖其它许多系统组件如操作系统、TCP/IP栈和运行时库等才能正确操作,因此,它们易受应用级安全性缺陷和故障的影响。
应用代理一般与内置分组过滤或状态检查功能一起实现。示例包括加利福尼亚州库珀蒂诺的Symantec公司销售的VelociRaptor防火墙、加利福尼亚州圣克拉拉的Network Associates公司销售的Gauntlet防火墙及加利福尼亚圣何塞的Secure Computing公司销售的SidewinderTM防火墙。
分组过滤防火墙、电路级防火墙和应用代理的性能可利用状态检查加以改善。状态检查防火墙实际上是分组过滤防火墙,它不仅检查分组首部,而且检查网络所有通信层中有关分组的信息,如TCP分组首部,以分析经过它的网络业务。
此类防火墙监视任一给定网络连接的状态,并在状态表中汇集有关连接的信息。源于防火墙的每个分组请求记录在状态表中,以便针对状态表中对应的请求分组验证输入响应分组。因此,有关是否拒绝分组的决定不仅基于分组过滤规则表,而且基于已通过防火墙的在先分组建立的上下文。会让请求分组的真的响应分组通过,而拒绝所有其它分组。如果响应分组未在指定的期限内到达,则连接会超时。
具有状态检查功能的分组过滤防火墙还能够检查分组,以允许应用内某些类型的命令而不允许其它类型的命令。例如,状态检查防火墙可允许FTP“get”命令,但不允许“put”命令。另外,状态检查防火墙结合了动态过滤技术,以将暴露的网络端口数减到最少。利用动态过滤,根据分组首部信息,网络端口只在分组流需要时保持打开,从而减少对空闲开放端口的攻击。
状态检查防火墙的示例包括美国专利No.5606668中描述的防火墙和由加利福尼亚州雷德伍德城的Check Point Software Technologies公司销售的名为FireWall-1的防火墙产品。FireWall-1防火墙使网络管理员能够定义和实施一种集中管理的安全策略。该安全策略在中央管理服务器通过图形用户接口客户定义,并下载到整个网络的多个实施点。安全策略是依据安全规则与网络对象如网关、路由器和主机等来定义的。在所有七个网络层检查分组首部数据,并且在所有通信级维护分组的状态信息以验证IP地址、端口号和确定分组安全策略是否允许分组所需的所有其它信息。
状态信息存储在连接或状态表中,连接或状态表根据分组对应的网络连接组织分组,而网络连接在表中用源IP地址、源端口、目的IP地址、目的端口、IP协议类型及包括Kbuf、类型、标志和超时等其它参数表示。防火墙收到分组时,将分组与连接表进行核对以确定是否存在该分组所属的现有连接。如果存在这样的连接,则将分组转发到其网络目的地。如果状态表中不存在该特定分组的匹配连接,则防火墙将其与安全策略作比较以确定是否存在允许分组通过的匹配项。如果存在,则将该连接添加到连接表中,并将属于该会话的所有后续分组立即向前转发,而无需核对策略。因此,连接最初可利用良性分组来建立,随后可能用于传送防火墙会接受的恶意分组。状态检查防火墙产品的另一示例是加利福尼亚州圣何塞的Cisco Systems公司销售的PIX防火墙。
当前可用防火墙的唯一作用是执行组织的网络接入策略。此类接入策略指定哪些主机和协议代表良好的业务(即网络中可允许的业务)以及哪些主机和协议不代表良好的业务。换言之,防火墙只是根据接入策略中体现的预先确定的静态配置来区分好的和坏的业务。防火墙不能够检测和阻止网络攻击。例如,一旦防火墙允许HTTP连接,则它将不能检测通过该连接对web服务器进行的攻击。此外,防火墙不能检测或防止从防火墙内或似乎从防火墙内进行的攻击,例如网络内存在的可将机密信息泄露到外部的特洛伊木马程序。
为尝试弥补防火墙产品在网络安全方面留下的漏洞,开发了“入侵检测系统”并使其与防火墙配合使用。入侵检测系统(“IDS”)收集来自多个系统和网络资源的信息,以分析入侵迹象(即源于网络外部的攻击)和滥用迹象(即源于网络内的攻击)。入侵检测系统可设置在防火墙内部或外部,大多数网络管理员选择将IDS设置在防火墙内部,作为额外的保护以防止防火墙未检测到的滥用和入侵。
有三种类型的入侵检测系统:基于桌面的IDS、基于主机的IDS和基于网络的IDS。基于桌面的IDS检查各系统上的活动,寻找对文件或注册表条目的可能攻击,从而提供文件级保护。基于桌面的IDS对于直接连接到因特网但不是任一扩展网络组成部分的单个用户可能很有用。一款流行的基于桌面的IDS是由加利福尼亚州亚特兰大的Internet Security Systems公司销售的BlackICE Defender。
基于主机的IDS在网络主机如web或应用主机上运行,跟踪并分析主机系统应用和操作系统日志中的条目,以检测攻击和被禁止的活动。基于主机的IDS部署起来简单,成本低,并且不需要任何其它硬件。因为它们监视主机本地的事件,所以它们可以检测网络不一定检测的攻击和被禁止的活动。然而,由于它们消耗大量资源,而可能对主机性能产生不利的影响。另外,网络上获得高级别权限的成功入侵可以禁用基于主机的IDS,并完全消除其操作痕迹。基于主机的IDS示例包括加利福尼亚州库珀蒂诺Symantec公司销售的Intruder Alert IDS和俄勒冈州波特兰Tripwire公司销售的TripwireIDS。
基于网络的IDS(“NIDS”)设计为通过检查流经网段的所有分组来同时保护多个网络主机。NIDS通常由设置在网络中不同点上的一组单用途传感器或主机组成。这些单元监视网络业务,对该业务执行本地分析,并向中央管理单元报告攻击。不同于通常只检查涉及IP地址、端口和协议类型的分组首部信息的防火墙,NIDS可设计为检查网络分组首部中可能存在的所有不同标志和选项以及分组数据或净荷,从而检测恶意创建的旨在使防火墙忽视的分组。
最常见的网络入侵检测系统是基于特征的系统以及协议异常系统(也称为协议分析系统)。基于特征的系统寻找网络业务中已知的攻击模式或特征。特征可以是匹配部分网络分组的简单字符串,或者可以是复杂的状态机。通常言,特征可能涉及某个过程,例如特定命令的执行,或者可能涉及某种结果,例如根壳的获得(acqusition ofthe root shell)。当基于特征的NIDS在分组中发现匹配特征时,它接着作出响应:执行用户定义的操作,发送警告或另外还记录信息。
市场上大多数基于特征的NIDS使用分组特征检测,这意味着它们为找出攻击模式的匹配项要检查业务流中每个分组的原始字节。因此,这些系统具有几个缺点。首先,由于需要搜索整个业务流,因此,网络性能大大降低。其次,由于要搜索较多的数据,特征更可能匹配不相关的数据并导致错假告警。第三,由于分组特征NIDS只能发现写有特征的分组中的攻击,因此无法检测到新的、经常很复杂的攻击。最后,当网络业务量太大时,分组特征NIDS可能无法检查分组。
基于特征的NIDS示例包括美国专利No.6279113中描述的系统、加利福尼亚州圣何塞的Cisco Systems公司销售的SecureIDS系统、佐治亚州亚特兰大的Internet Security Systems公司销售的RealSecure系统及加利福尼亚州库珀蒂诺的Symantec公司销售的NetProwler系统。
与基于特征的NIDS检查网络业务是否存在一些预先定义的入侵相反,“协议异常”检测NIDS检查网络业务在普遍认可的因特通信网规则方面是否出现异常。这些规则由用于网络设备之间通信的开放协议、公布的标准和销售商定义的规范来限定。一旦识别出异常,则可将其用于作出网络安全判决。
协议异常检测NIDS与基于特征的NIDS相比具有几个优点,例如能够检测未知的攻击,包括特征匹配无法检测的攻击以及稍加修改以避免可由基于特征的NIDS检测到的已知攻击。例如,协议异常检测NIDS可检测“FTP反弹(FTP bounce)”攻击和“溢出(overflow)”攻击;“FTP反弹”攻击在攻击者告诉FTP服务器打开到不同于用户地址的IP地址的连接时发生,“溢出”攻击利用常见的溢出编程错误。
尽管如此,仍存在符合协议规范因而协议异常检测系统无法检测到的攻击。此类攻击需要采用特征检测方法或其它检测方法。
协议异常检测NIDS的示例包括佐治亚州亚特兰大的InternetSecurity Systems公司销售的BlackICE Guard和加利福尼亚州雷德伍德城的Recourse Technologies的公司销售的ManHunt。佐治亚州亚特兰大的Lancope的公司销售的StealthWatch提出了检测因协议异常引起的异常网络行为的替代方法。StealthWatch建议采用“基于流”的体系结构,以刻划与单一业务相关联的两个主机之间的分组流,如使用web浏览器访问单个web服务器,或者使用电子邮件程序访问电子邮件服务器。
虽然上述NIDS可提高网络安全性,但它们有几个缺点。首先,基于特征的NIDS不评估网络业务上下文中的特征,因而经常产生错假告警。例如,基于特征的NIDS可能扫描所有电子邮件消息以查找“I love you”字符串,用于检测具有该名称的臭名昭著的因特网蠕虫病毒,这对于一些个人电子邮件会产生错假告警。其次,上述大多数NIDS使用单一检测方法,不足以全面检测入侵。因此,在NIDS未检测到正在发生的攻击时会产生误否定(false negative)。例如,黑客通过使用协议异常NIDS无法检测到的复杂分组和协议篡改方法,欺骗NIDS使其以为网络业务源自目标主机,这样业务便可通过NIDS而最终感染目标主机,因此,协议异常NIDS会生成误否认。
另外,一些NIDS不能检测攻击者用于确定可利用的潜在安全和系统缺陷的“端口扫描”和“网络扫描”。在攻击者试图识别网络上允许哪些业务并识别哪些网络端口是好的攻击入口时,通常会进行端口扫描和网络扫描。攻击者可尝试单个网络上的每个端口(端口扫描)或全部网络上的某个端口(网络扫描)。也就是说,端口扫描和网络扫描不是攻击,而是即将来临的攻击的指示器。无论是基于特征的NIDS还是异常检测NIDS,它们都不能识别端口扫描和网络扫描,这是因为扫描符合用于传送分组的特定网络协议,并且扫描模式未出现在特定网络会话内。
上述大多数NIDS的其它缺点是它们需要分别进行管理,所有传感器信息驻留在传感器本身上。也就是说,网络安全管理员需要访问每个单独的传感器以激活或检测特征,执行系统管理备份等。随着传感器数量的增加,传感器管理也变得更加困难,尤其是考虑到生成的日志经常不完整。如果任一传感器发生故障,则要重新配置替换传感器并对其进行调节,以匹配原传感器。
另外,NIDS无法直接防止攻击。NDIS作为被动入侵检测机制发挥作用,不能防止攻击发生。网络上发生攻击时,这些系统可在攻击已经发生后通知网络管理员采取措施,但自身无法防止攻击。NIDS不直接位于业务路径上,因而无法主动作出反应以暂停被攻击的网络连接,或者甚至将入侵分组重定向到更安全或更可靠的系统。
美国专利No.6119236中介绍了解决此问题的一种解决方案,该专利建议在检测到攻击时由NIDS指示防火墙采取措施,以防攻击扩散。也就是说,NIDS不直接防止攻击,而只是简单地中断它,使攻击不会造成更大的破坏。在这种情况下,NIDS可能不小心中断有效的网络业务。例如,如果黑客在使用主要因特网服务提供商的IP地址攻击网络,并且NIDS系统通知防火墙阻止源于此IP地址的分组,则无论是否有恶意,因特网服务提供商的所有用户均将被拒绝访问网络。
解决当前NIDS的一些缺陷的另一建议是使用TCP重置分组(reset packet)来防TCP攻击。在NIDS装置检测到TCP攻击时,它向源网络主机与目的网络主机二者发送TCP重置分组,以重置TCP连接并防止攻击发生。也就是说,此NIDS也不直接防止攻击,而只是简单地中断攻击,使攻击不会造成更大的破坏。然而,这种方法存在几个问题。首先,NIDS需要一段时间才可确定发生了入侵尝试,应该发送重置分组。在此期间,入侵分组及很可能还有其后的一些分组可以传送到目标网络并到达目的主机。因此,在检测到入侵后发送任何TCP重置分组可能太迟了。其次,TCP重置分组只可用于TCP协议,并因此无法用于防止使用UDP或其它无连接协议进行的攻击。最后,由于TCP重置分组必须携带小接收窗口内的有效序号,因此,经验丰富的攻击者可发送其入侵分组,以使服务器的接收窗口迅速变化,使得NIDS难以确定在TCP重置分组中放置哪一个序号,从而无法防止攻击。
无论单独使用或组合使用防火墙或NIDS产品,都不能检查允许进入网络的分组,也不能通过直接丢弃那些被禁止的分组或关闭连接,对被禁止的分组或活动作出反应。另外,没有一种混合NIDS集成了特征检测、协议异常检测和其它高级方法如业务特征检测,以实现更高的入侵检测精度并因此降低误肯定与误否定率。也没有一种NIDS提供集中的基于策略的管理解决方案,用以控制所有NIDS传感器。因此,使用当今可用的技术和产品来确保网络安全即使可行,也不实用。
发明概述
鉴于以上论述,本发明目的是提供能够精确、全面地检测并防止网络安全违例,同时假告警率低的网络安全系统和方法。
本发明的又一目的是提供可以检查允许进入网络的分组并通过直接丢弃那些被禁止的分组或关闭连接,对所述被禁止的分组或活动作出反应的网络系统和方法。
本发明的又一目的是提供集成了状态特征检测、业务特征检测、协议异常检测以及其它检测和防止网络安全违例的方法的网络系统和方法。
本发明的再一目的是提供允许网络安全管理员集中管理网络中设置的所有网络入侵检测传感器的网络安全系统和方法。
通过提供根据状态特征检测、业务特征检测和协议异常检测来检测和防止网络安全违例,且假告警率低的多方法网络安全系统和方法,实现了本发明的这些和其它目的。多方法网络安全系统在随后称为“MMIDP系统”,它由直接设置在网络业务路径中的相应软件和硬件部件组成,以在任何输入或输出的可疑分组到达网络主机或外部网络之前丢弃这些分组。MMIDP系统可单独使用,或者与防火墙结合使用。
结合了本发明的系统和方法的MMIDP最佳实例具有下列四个组成部分:(1)网络入侵检测和防止传感器;(2)网络入侵检测和防止中央管理服务器;(3)网络入侵检测和防止中央数据库;以及(4)网络入侵检测和防止图形用户接口。
网络入侵检测和防止传感器由可设置在网络业务路径中多个网关点上的硬件设备组成。给定的传感器可在网关模式下运行,以在任何输入或输出的可疑分组到达网络主机或外部网络之前将其丢弃。或者,传感器可在被动模式下运行,以检测攻击并在网络攻击发生时,向网络安全管理员发送告警。
传感器利用下列六个软件模块来检测并防止攻击:(1)IP段合并模块;(2)流管理软件模块;(3)TCP重装软件模块;(4)协议异常检测模块;(5)状态特征检测模块;以及(6)业务特征检测模块。
IP段合并软件模块重建在到达传感器前被分段的分组,即此模块将分组分段组合成分组。在重建分组后,流管理软件模块将这些分组组合成“分组流”,并这些分组流与单个通信会话相关联。也就是说,组织分组的依据是:分组是从网络客户机流到中央管理服务器还是以相反方向流动,以及分组是否为TELNET会话、FTP会话、HTTP会话等的组成部分。另外,流管理软件模块能够将控制与同一会话内的辅助流相关联。例如,将FTP控制流及其相关FTP数据流全部组合到同一FTP会话中。所有会话中的TCP分组由TCP重装软件模块组织,此模块将无序到达的TCP分组排序并消除分组重叠(packet overlap)以及删除被不必要地重传的重复分组。
IP段合并、流管理器和TCP重装软件模块使网络入侵检测和防止传感器可以比其它当前可用网络入侵检测系统更快、更精确的速度搜索攻击。
协议异常检测、状态特征检测和业务特征检测软件模块检测并防止入侵分组扩散到专用网络或外部网络。入侵分组是含有与网络安全违例相关联的网络攻击标识符的那些分组。除其它之外,此类网络攻击标识符可以是协议异常、攻击特征、业务特征或这些项中一项或多项的组合。协议异常检测模块查看由流管理软件模块排列的分组流,以确定分组中网络协议规范方面的异常。状态特征检测模块将已知的攻击特征与TCP分组情况下的TCP数据流相比较,以及与用其它网络协议传送的分组首部和数据相比较。业务特征模块将业务特征与网络业务相匹配,以检测诸如端口扫描和网络扫描等攻击。传感器会在判定为恶意输入分组的分组到达任一网络主机之前将其丢弃,同样,传感器会在判定为恶意输出分组的分组到达外部网络之前将其丢弃。如果给定会话的一个或多个分组被视为恶意分组,传感器可能还会丢弃会话中的所有分组。
传感器还配有IP路由软件模块和IP转发软件模块,以将输入和输出分组路由到网络中的相应点(IP路由软件模块),并使用路由信息将分组转发到其目的地(IP转发软件模块)。IP转发软件模块可全权控制允许哪些分组通过传感器,并且不会让其它任何软件模块视为恶意的分组通过。
网络入侵检测和防止中央管理服务器使用网络安全管理员指定的单个网络安全策略来控制网络上设置的所有多个传感器。安全策略定义要检查的业务和传感器应寻找的攻击。除其它功能以外,服务器可验证安全策略,将安全策略加载到所有传感器,维护策略变更历史,以及从传感器收集日志和告警以便存储、显示和通知。服务器还让中央数据库存储网络安全策略,包括安全策略、攻击特征、日志和告警及其它报告信息的更旧的和经过更新的版本。
网络安全管理员可通过网络检测和防止图形用户接口查看日志和告警。可从任一连接到网络的客户机访问用户接口,用户接口允许访问所有管理服务器和传感器功能。用户接口使网络安全管理员能够查看来自传感器和服务器的信息,以确定网络上发生的事件。传感器和服务器提供的信息用报告来组织,通过这些报告可以访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员使用用户接口来定义网络安全策略,并命令中央管理服务器将安全策略分发到一些或所有传感器。用户接口、服务器与传感器之间的所有通信受加密和认证机制保护。
概括地说,在一方面,本发明提供实施并利用防止FTP连接期间安全违例的技术的方法和设备。网络入侵和检测传感器重建分组分段,将分组分段组织成FTP分组流,并将多个TCP分段重装成TCP流。软件模块通过确定FTP分组流是否为FTP端口命令的一部分,检查TCP流是否存在协议异常。如果软件模块确定FTP分组流是FTP端口命令的一部分,则传感器将用户IP地址与TCP流中任何地方发现的任一端口命令IP地址相比较。如果传感器确定用户IP地址与端口命令的关联IP地址不匹配,则传感器会丢弃FTP分组流并关闭FTP连接。
概括地说,在另一方面,本发明实施并利用防止SMTP连接期间安全违例的技术的方法和设备。网络入侵和检测传感器重建用户发送的分组分段,将分组分段组织成SMTP分组流,并将多个TCP分段重装成TCP流。软件模块确定TCP流中是否存在SMTP命令,并在存在SMTP命令时,传感器搜索SMTP命令中的攻击特征。如果传感器在SMTP命令中检测到攻击特征,则传感器会丢弃该SMTP分组流并关闭SMTP连接。
特定的实施方案可包括如下的一个或多个特征。
攻击特征可以是wiz命令。
有利的是,本发明的系统和方法可准确及时地检测和防止网络安全违例。所述那些系统和方法能够以低假告警率检测当前网络安全产品检测不到的许多攻击。另外,本发明的系统和方法允许对组织的网络安全进行方便、有用且具成本效益的集中管理。
附图简述
通过结合附图阅读下面的详细说明,可明白本发明的上述和其它目的,附图中类似的标号表示类似的部件,在附图中:
图1是受防火墙和网络入侵检测系统保护的现有技术网络环境示意图;
图2是MMIDP系统公开实例中采用的软件和硬件组件的示意图;
图3是优选MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图4是替代MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图5是另一替代MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图6是在网络入侵检测和防止传感器中使用的示例性软件模块的示意图;
图7是由流管理软件模块构建的示例性流表(flow table);
图8是表示新分组到达网络入侵检测和防止传感器时流管理软件模块所执行的示例性步骤的流程图;
图9是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,协议异常检测软件模块所执行的示例性步骤的流程图;
图10是专用网所支持的协议的示例性表;
图11是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,状态特征检测软件模块所执行的示例性步骤的流程图;
图12是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,业务特征检测软件模块所执行的示例性步骤的流程图;
图13是表示确定输入或输出分组有效性时,网络入侵检测和防止传感器执行的示例性步骤的流程图;
图14是网络入侵检测和防止图形用户接口所执行的示例性功能的示意图;
图15是网络入侵检测和防止中央管理服务器所执行的示例性功能的示意图;
图16是表示网络上即将发生FTP反弹攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图;以及
图17是表示网络上即将发生SMTP“wiz”攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。
本发明的详细说明
参照图1,它表示受防火墙和网络入侵检测系统保护的现有技术网络环境的示意图。因特网19与专用网17之间的连接由防火墙保护,其中专用网由服务器16a、16c和计算机16b、16d组成。防火墙18检查从因特网19流到专用网17的所有分组,并控制专用网17中用户对外部资源的访问。不符合网络接入策略预先确定的静态试探法(static heuristics)的所有分组将被防火墙18拒绝,不允许进入专用网17。
网络入侵检测系统(NIDS)20设置在防火墙18之后,用于检查防火墙18允许进入网络17的分组。NIDS 20是被动装置,只能够向专用网17的网络安全管理员发送告警以警告专用网17正在受到攻击,或者在某些情况下,只能够在检测到攻击时命令防火墙18采取措施。
现在参照图2,图中显示了MMIDP系统公开实例中使用的软件和硬件组件的示意图。MMIDP系统23安装在专用网上,用于检测和防止网络上的安全违例。MMIDP系统23由MMIDP传感器25a-d、MMIDP中央管理服务器30、MMIDP数据库35及MMIDP图形用户接口(“GUI”)40a-d组成。
MMIDP传感器25a-d是设置在专用网中多个网关点上,也即设置在充当到其它网络如因特网的入口的任意网络点上的硬件设备。MMIDP传感器25a-d全部由MMIDP服务器30集中管理。网络管理员使用MMIDP GUI 40a-d定义网络安全策略,并命令MMIDP中央管理服务器30将安全策略分发到所有MMIDP传感器25a-d。网络安全策略定义要检查的业务和MMIDP传感器25a-d应寻找的攻击。
在一个优选实施例中,MMIDP 25a-d在网关模式下运行,通过在所有可疑分组到达其在专用网内部或外部的预期接收方之前将其丢弃而防止攻击,或者通过中断或关闭发生攻击的网关节点来防止攻击。在网关模式下运行的MMIDP传感器25a-d不但检查网络攻击,而且防止攻击发生。或者,MMIDP传感器25a-d可在被动模式下运行,以检测攻击并在发生网络攻击时向网络安全管理员发送可于MMIDP GUI 40a-d中显示的告警。网络安全管理员随后可决定采取适当的措施来控制网络攻击。
MMIDP传感器25a-d配备了下列八个对网络分组进行操作以检测和防止网络安全违例的软件模块:(1)IP段合并软件模块;(2)流管理软件模块;(3)TCP重装软件模块;(4)协议异常检测软件模块;(5)状态特征检测软件模块;(6)业务特征检测软件模块;(7)IP路由软件模块;以及(8)IP转发软件模块。
MMIDP传感器25a-d全部由MMIDP服务器30集中管理。MMIDP服务器30利用MMIDP GUI 40a-d来验证网络安全管理员定义的网络安全策略(MMIDP GUI 40a-d将安全策略传送给服务器30),将安全策略加载到一些或所有MMIDP传感器25a-d,维护策略变更历史,以及从MMIDP传感器25a-d收集日志和告警以便存储、显示和通知。另外,MMIDP服务器30还让MMIDP数据库35存储网络安全策略,包括策略、攻击特征、日志和告警及其它报告信息的更旧的和经过更新的版本。
网络安全管理员使用MMIDP GUI 40a-d分析MMIDP传感器25a-d如何处理输入和输出网络分组。可从连接到网络的任一客户机访问MMIDP GUI 40a-d,MMIDP GUI 40a-d允许访问MMIDP传感器25a-d和MMIDP服务器30的所有功能。MMIDP GUI 40a-d使网络安全管理员能够查看源于MMIDP传感器25a-d和MMIDP服务器30的信息,以确定网络上发生的事件,并在必要时采取任何后续措施。MMIDP传感器25a-d和MMIDP服务器30提供的信息用报告来组织,通过这些报告可以访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员可以指定将MMIDP数据库35中存储的特征组中的哪些特征用于检测和防止攻击以及创建新特征。MMIDP传感器25a-d、MMIDP服务器30与MMIDP GUI 40a-d之间的所有通信受加密和认证机制保护。
图3是优选MMIDP系统及本发明系统和方法的网络运行环境的示意图。MMIDP传感器45a-c设置在专用网的网关点处,专用网由远程办公局域网50、非军事区(“DMZ”)55以及由有线网65与无线网70形成的局域网60组成。
有线网65是连接MMIDP GUI 110a、个人计算机用户67b和笔记本用户67c的局域网60内的局域网。无线网70是通过基站72连接PDA用户73a与无线电话用户73b的局域网60内的无线局域网。DMZ 55是专用网中的中性区,专用网由邮件服务器75与web服务器80组成,以处理来自网络内部用户及网络外部用户的所有邮件和web访问请求。DMZ 55用作又一安全层,以防外来用户访问专用网中除邮件服务器75与web服务器80以外的其它服务器。本领域的技术人员应理解,远程办公局域网50、局域网60和DMZ 55可包括任何能够经有线或无线网络连接到因特网或其它使用常见协议运行的网络的电子装置,如个人计算机、笔记本计算机、个人数字助理、无线电话系统和视频游戏系统等。
MMIDP传感器45a-c位于防火墙85a-b内专用网的多个网关点处,以检查输入专用网的防火墙85a-b认为安全的所有输入分组以及防火墙85a-b未检查的所有输出分组。将MMIDP传感器45a-c置于防火墙85a-b内减少了MMIDP传感器45a-c需要分析的业务,这是因为只需要检查防火墙85a-b接受的分组流和连接。另外,将MMIDP传感器45a-c置于防火墙85a-b内,允许网络安全管理员评估防火墙85a-b的性能。防火墙85a-b可以是分组过滤防火墙、电路级防火墙、应用级防火墙或状态检查防火墙。防火墙85a-b最好是作为因特网90入口点的状态检查防火墙,其中防火墙85b连接到路由器95,路由器95用于将输入的网络分组路由到DMZ 55或局域网60。
局域网60中的MMIDP服务器100能够对MMIDP传感器45a-c进行集中管理。MMIDP服务器100还维护MMIDP数据库105以存储网络安全策略、攻击特征、日志和告警及其它报告信息。
网络安全管理员使用MMIDP GUI 110a-c来定义网络安全策略,并指示MMIDP中央管理服务器100将安全策略分发到一些或所有MMIDP传感器45a-c。网络安全策略定义了要检查的业务和MMIDP传感器45a-c应寻找的攻击。MMIDP GUI 110a-c使网络安全管理员能够查看来自MMIDP传感器45a-c和MMIDP服务器100的信息,以确定由远程办公局域网50、DMZ 55和局域网60形成的网络中发生的事件。由MMIDP传感器45a-c和MMIDP服务器100提供的信息用报告来组织,通过这些报告可访问所有检测到的攻击和入侵的列表以及其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员可以指定将MMIDP数据库105中存储的特征集中的哪些特征用于检测和防止攻击以及创建新特征。本领域技术人员应理解,MMIDP GUI 110a-c是联网客户机,它们可设置在通过因特网90接入MMIDP服务器100的任一网络上。
现在参照图4,图4是替代MMIDP系统及本发明系统和方法的网络运行环境的示意图。在此替代实施例中,MMIDP传感器45a-b设置在防火墙85a-c外,这样,MMIDP传感器45a-b为因特网90的入口点。另外,MMIDP传感器45b能够支持不止一个网络接口,如网络连接47a和网络连接47b。在网络安全管理员最担心外部攻击的情况下,可使用此替代实施例。将MMIDP传感器45a-b设置在防火墙85a-c外使网络安全管理员可观察通常被防火墙阻塞,不会被内部系统检测到的所有业务。
现在参照图5,图5是另一替代MMIDP系统及本发明系统和方法的网络运行环境的示意图。在此替代实施例中,MMIDP传感器45a-b完全负责由远程办公局域网50、DMZ 55和局域网60形成的专用网的安全。没有使用防火墙来保护专用网。MMIDP传感器45a-b对专用网中的所有输入和输出分组进行分析。在网络安全管理员确信MMIDP传感器45a-b能够处理输入和输出网络的业务,或网络安全管理员没有投入必需的时间和资金购买必须与网络中的其它系统集成并完全兼容的附加防火墙系统的情况下,可使用此替代实施例。
现在参照图6,图6是在网络入侵检测和防止传感器中使用的示例性软件模块的示意图。MMIDP传感器25a-d使用以下八个软件模块来检测并防止网络安全攻击:(1)IP段合并软件模块115;(2)流管理软件模块120;(3)TCP重装软件模块125;(4)协议异常检测软件模块130;(5)状态特征检测软件模块135;(6)业务特征检测软件模块140;(7)IP路由软件模块145;以及(8)IP转发软件模块150。
IP段合并软件模块115重建在到达MMIDP传感器25a-d前分段的分组。当分组大于网络中允许的最大分组大小时,在网络网关对其进行分段处理。分组根据因特网工程任务组RFC 815标准中指定的算法重装。该算法可通过使缓冲区长度等于正在重装的分组的长度,重装带有任何可能分段重叠和重复模式,以任意顺序到达的任意数量的分组分段。分组长度在分组首部中指定。IP段合并软件模块115还对分组分段执行安全验证检查,抛弃并报告其参数(如分组长度或分组偏移)已知为恶意并具有潜在危险的分段。
在IP段合并软件模块5重建分组后,流管理软件模块120将分组组织成“分组流”(也称为流),并将其与单个通信会话相关联。分组流是从源端流到目的地的分组序列。也就是说,依据下列条件来组织分组:它们是源于专用网并流向外部网络还是正好相反,以及它们是否是TELNET会话、FTP会话、HTTP会话等的组成部分。控制和数据流组合到同一会话中。流管理软件模块120将输入和输出专用网的所有分组流组织成流表,流表用散列表实现,以便软件模块130、135和140访问。
现在参照图7,它显示了流管理软件模块构建的示例性流表。流表15实现为散列表,它将进入MMIDP传感器25a-d的分组组织成分组流和会话。散列表可具有“n”个单元或散列表元,如针对流表155显示的8个散列表元。表中的每个散列表元包括按散列值寻址的指向分组流描述符链接表的指针。散列值由理想散列函数计算,该函数将由<源IP地址、源端口、目的IP地址、目的端口、协议>组成的5元组值混编成1到“n”之间的一个独特整数。例如,流表155包含散列表表元153a-h,其中每个散列表元通过介于1到8之间的整数散列值寻址。此外,每个分组流描述符通过5元组键寻址,该5元组键专用于该流并由该流的5元组<源IP地址、源端口、目的IP地址、目的端口、协议>组成。
通过每个键寻址的分组流描述符由有关每个特定分组流的信息组成,包括上述的5元组和属于下述分组流的分组列表。例如,散列表元153a指向分组流描述符156a和156b,而散列表元153c指向分组流描述符157。另外,此列表中的每个分组流与某个会话相关联,如TELNET会话161、FTP会话162和HTTP会话163。关联由双向指针(由图7中的箭头表示)实现,这样每个分组流描述符指向一个会话,并且该会话又回指每个分组流描述符。双向指针使协议异常检测软件模块130、状态特征检测软件模块135及业务特征检测软件模块140能够迅速、精确地检索有关输入分组流及其相关会话的信息。例如,分组流描述符156a包含有关从源端A到目的地B的TELNET流以及属于该分组流的分组列表的信息。由同一散列键寻址(和属于同一散列表元)的分组流描述符可指向不同的会话,并且属于同一会话的分组流描述符可通过不同的散列键寻址。例如,分组流描述符156a-b均属于散列表元153a,但分组流描述符156a与TELNET会话161相关联,而分组流描述符156b与FTP会话162相关联,FTP会话162还与分组流描述符157、158和159b相关联,而这些描述符均属于不同的散列表元。
图8是表示新分组到达网络入侵检测和防止传感器时流管理软件模块所执行的示例性步骤的流程图。新的分组流到达MMIDP传感器25a-d时,流管理软件模块120在步骤170中识别用于分组的来源、目的地、源端口、目的端口及协议,以便计算理想的散列函数,在步骤175中利用该散列函数将5元组标识符映射到不同的整数键。在步骤180中,流管理软件模块120判断该键是否指向散列表中已经存在的分组流描述符。如果该键与现有分组流描述符不对应,则在步骤185中将新的分组流描述符插入表中。
在步骤190中,系统提取输入分组的分组流描述符指针。最后,在步骤200中,流管理软件模块120将步骤190中提取的指向分组流描述符及其对应会话的指针传递给检测模块130、135和140。这使协议异常检测软件模块130、状态特征检测模块135和业务特征检测软件模块140能够迅速、精确地从输入分组流描述符指针中检索出有关输入分组流描述符及其相关会话的信息。
再参照图6,流表上所有分组流中的TCP分组由TCP重装软件模块125重装。TCP重装软件模块125按正确的顺序排列作为分组流组成部分的TCP分组,同时删除重复的分组和分组重叠。每个TCP分组在其首部中含有序号,这使软件模块125能够在TCP分组失序到达时,或者在TCP分组因在网络中被延迟的时间超过网络容许的时限而被不必要地重传时,按其正确顺序重新排列TCP分组。
IP段合并软件模块115、流管理软件模块120和TCP重装软件模块125使MMIDP传感器25a-d能够比其它当前可用的入侵检测系统更快、更精确地检测和防止安全攻击。协议异常检测软件模块130、状态特征检测软件模块135和业务特征检测软件模块140检测入侵分组并防止它们扩散到专用网或外部网络。
现在参照图9,图9是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,协议异常检测软件模块所执行的示例性步骤的流程图。协议异常检测软件模块130检查流管理软件模块125在流表155中排列的分组流,以确定非TCP分组和TCP数据流中网络协议规范方面的异常。在步骤215中,协议异常检测软件模块130根据由流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤220中,协议异常检测软件模块130检查分组流和会话,以确定需要检查哪些协议以发现异常。在步骤225中,协议异常检测软件模块130通过查询协议数据库来执行高速协议验证,所述协议数据库包含了MMIDP系统23支持的协议列表和每个协议允许的操作。协议异常检测软件模块130查询该协议数据库以确定输入分组是否符合用于传送它们的协议,以及非TCP分组或TCP数据流中包含的操作或命令是否得到授权或为该协议所允许。步骤220和225使协议异常检测软件模块130能够比其它一般的异常检测系统更迅速、精确地检查协议异常。如果协议数据库中的协议规范与分组中的协议规范不匹配(步骤230),则在步骤235中丢弃分组。
现在参照图10,图10是专用网所支持的协议的示例性表。协议表245列出了MMIDP系统23支持的协议及其对应的RFC标准规范中的一些规范。本领域的技术人员应理解,专用网也可支持诸如ICMP等协议表245中未列出的其它协议。
再参照图6,状态特征检测软件模块135根据用于传送分组的网络协议将已知的攻击特征与分组首部和数据相作比较。每次进行特征更新时,软件模块135从MMIDP服务器30运行的MMIDP数据库35下载已知的攻击特征。每当网络安全管理员或MMIDP系统23销售商了解到新的特征攻击模式时便会进行特征更新。最好在因特网或其它公共论坛中描述了新特征特征的一周内更新新特征。
特征只与数据流或数据分组相关部分作比较。这是利用两种机制来完成的。第一种机制确保特征只与相关分组流的业务作比较。例如,不会将SMTP特征与FTP数据作比较。第二种机制对业务进行分析以了解分组和数据流通信状态。此分析使MMIDP例如可区分SMTP命令与SMTP数据行或者区分FTP用户名与FTP文件名。也就是说,状态特征检测软件模块135将与数据协议相关的特征与数据的相关部分作比较。例如,寻找某一SMTP命令的特征不但只与SMTP业务作比较,而且比较局限于SMTP业务中被分析为SMTP命令的内容。也就是说,通过检测分组流会话项的属性,如流表155中的会话151-163,特征检测软件模块135能够确定哪些特征需要与分组流作比较。由于只需要分析对分组流有意义的特征,因此,这显著提高了特征检测软件模块135的性能。
现在参照图11,图11是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,状态特征检测软件模块所执行的示例性步骤的流程图。在步骤210中,状态特征检测软件模块135根据由流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤260中,软件模块135查询MMIDP数据库35以发现与输入数据流或分组相关的特征。相关特征是在从流表检索出的分组流和会话上下文中只会被视为攻击的那些特征。相关特征在存储到数据库35中时转换成正则表达式。正则表达式是描述字符串部分的模式。例如,正则表达式“[0123456789]”匹配基于UNIX的操作系统中的任一单个数字。将特征转换成正则表达式使软件模块能够有效地将特征与分组相比较。
在步骤265中,软件模块135检测输入分组是否属于TCP流。如果不属于TCP流,则在步骤275中使用例如确定性有限状态机(“DFA”)将特征与输入分组作比较。DFA特征匹配构建对应每个正则表达式的状态机器,以迅速判断输入分组中是否存在正则表达式。如果输入分组是TCP流,则将特征与整个TCP数据流比较(步骤270)。
如果发现任何匹配特征(步骤280),则在步骤290中由软件模块135丢弃对应的分组及其所属流。否则,没有匹配特征的输入分组会传递给业务特征检测软件模块140。本领域的技术人员会理解,可将除DFA匹配外的其它模式匹配算法用于匹配攻击特征。
再参照图6,业务特征软件模块140将业务特征与网络业务作比较,以检测例如端口扫描和网络扫描。业务特征从MMIDP服务器30维护的MMIDP数据库35下载到软件模块140。
现在参照图12,图12是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,业务特征检测软件模块所执行的示例性步骤的流程图。业务特征检测软件模块140采取的步骤类似于状态特征检测软件模块135为检测攻击特征所采取的那些步骤。在步骤310中,业务特征检测软件模块140根据流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤315中,业务特征检测软件模块140查询MMIDP数据库35以发现与输入分组流相关的特征。相关特征是通过检查输入分组所属分组流的协议而被发现的。例如,如果输入分组是ICMP分组流的组成部分,则软件模块140仅会考虑基于ICMP地业务特征。
在步骤320中,将业务特征与输入数据流或分组匹配。如果发现任何匹配特征,则在步骤325中,软件模块140会在步骤325中按业务特征指定的那样更新特征特定的计数。例如,特征计数可统计在给定时期从同一IP地址联系了多少不同的主机等。如果特征计数高于预定阈值(步骤330),则软件模块140在步骤335中生成要在MMIDP GUI 40a-d上显示的告警。
再参照图6,MMIDP传感器25a-d还配有IP路由软件模块145和IP转发软件模块150,以将输入和输出分组路由到网络中的适当点(IP路由软件模块145),并使用路由信息将分组转发到其目的地(IP转发软件模块150)。IP转发软件模块全权控制被允许通过MMIDP传感器25a-d的分组,并且不会让其它软件模块视为恶意分组的任何分组通过。
现在参照图13,图13是表示确定输入或输出分组有效性时,网络入侵检测和防止传感器执行的示例性步骤的流程图。在步骤350中,到达MMIDP传感器25a-d的分组分段由IP段合并软件模块115重建成分组。在步骤335中,MMIDP传感器25a-d中的流管理软件模块120如上所述将输入分组组织成流表中的分组流和会话。在步骤360中,MMIDP传感器25a-d检查输入分组中是否存在任何TCP分组。如果存在,则在步骤365中记录TCP分组。在步骤370中,协议异常检测软件模块130检查分组中是否存在任何协议异常。在步骤380中,将任何呈现协议异常的分组丢弃。
符合表245(图10)中所列协议的网络协议规范的分组随后将在步骤375中继续进入状态特征检测软件模块135,以便与从MMIDP数据库35下载到MMIDP传感器25a-d的攻击特征作比较。如上所述,只检查相关的特征,因而与以前已知的基于特征的系统相比,大大加快了特征匹配过程的速度。如果在给定非TCP分组或TCP数据流中存在任何特征匹配信息,则在步骤380中丢弃分组或流。
不包含匹配特征的分组会在步骤385中传递给业务特征检测软件模块140,以确定是否存在任何与正在被分析的分组的关联分组流相匹配的业务特征。如果存在任何匹配的业务特征,并且这些业务特征的任何内部计数器超过了预定阈值(步骤390,400),则MMIDP传感器25a-d在步骤405中生成要在MMIDP GUI40a-d上显示的告警,以指示网络上的网络扫描或端口扫描。
最后,在步骤410中,由IP路由软件模块145和IP转发软件模块150将不存在协议异常且不匹配攻击与业务特征的所有分组路由并转发到其相应的网络目的地。本领域的技术人员应理解,上面结合图13描述的所有步骤是在每个新分组到达MMIDP传感器25a-d时执行的。本领域的技术人员还应理解,步骤370、375和385可以不同的顺序执行。
现在参照图14,图14是网络入侵检测和防止图形用户接口所执行的示例性功能的示意图。可从连接到网络的任一客户机访问MMIDP GUI 40a-d,通过MMIDP GUI 40a-d可访问MMIDP服务器30和MMIDP传感器25a-d的所有功能。配置接口420允许网络安全管理员安装MMIDP传感器25a-d,并执行与其维护相关的其它配置功能。安全策略编辑器425使网络安全管理员能够指定网络安全策略,以定义要检查的业务和MMIDP传感器25a-d应寻找的攻击。日志和告警查看器430使网络安全管理员能够查看来自MMIDP传感器25a-d和MMIDP服务器30的信息,以确定网络中发生的事件。日志描述通过MMIDP传感器25a-d传来的分组活动,当存在网络攻击尝试时,由MMIDP传感器25a-d生成告警。告警分为新告警、真告警、假告警或结束告警,结束告警指因尝试攻击的分组被丢弃而无效的告警。网络安全管理员可根据MMIDP传感器25a-d生成日志的顺序及诸如日志日期、源IP地址、目的IP地址等其它规定的标准来查看日志。可实时查看日志,且可以不同的详细程度查看。所有日志可备份并存储在MMIDP数据库35中。
MMIDP传感器25a-d和MMIDP服务器30提供的信息用报告来组织,通过这些报告可访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警。报告在报告查看器435内显示。另外,网络安全管理员可指定将MMIDP数据库35中存储的特征集中的哪些特征用于检测和防止攻击以及创建新特征。
最后,状态查看器440使网络安全管理员能够监控MMIDP传感器25a-d、MMIDP服务器30和其它网络资源的状态。本领域的技术人员将理解,MMIDP GUI 40a-d可执行以上结合图14所述功能以外的其它功能。
现在参照图15,图15是网络入侵检测和防止中央管理服务器所执行的示例性功能的示意图。除其它功能以外,MMIDP服务器30收集来自MMIDP传感器25a-d的日志和告警以便存储、显示和通知,以及收集有关MMIDP传感器25a-d的信息(450)。另外,MMIDP服务器30也使MMIDP数据库35存储网络安全策略(455)、攻击特征、日志和告警及其它报告信息。只要MMIDP传感器25a-d将攻击和业务特征与输入和输出分组作比较,MMIDP服务器30就将MMIDP数据库35中存储的网络安全策略或策略更新分发到各传感器(460)。每当网络安全管理员使用MMIDP GUI 40a-d指定了新特征时,MMIDP服务器30还要负责更新MMIDP数据库35(465)。本领域的技术人员明白,MMIDP服务器30可执行如上面结合图15所述功能以外的其它功能。
现在参照图16,图16是表示网络上即将发生FTP反弹攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。在步骤475中,用户连接到网络中的FTP服务器以下载或上载文件。在此操作发生时,FTP用户的软件在步骤480中为FTP服务器提供文件应发送到或取自该处的IP地址和端口号。这通过FTP“端口”命令完成。实际上,IP地址是用户IP地址,但端口命令不会将IP地址局限于用户地址。因此,攻击者可告诉FTP服务器打开到不同于用户地址的IP地址的连接,并将文件从FTP服务器传送到该地址。要检测这种攻击,MMIDP传感器需要将该请求与携带用户IP地址的端口命令作比较,并在IP地址不匹配时向用户发送告警或者关闭FTP连接。
在步骤485中,用户向FTP服务器发送不同于用户IP地址的IP地址。在包含用户IP地址的分组到达FTP服务器前,MMIDP传感器在步骤490中重建任何分组分段,并在步骤495中将这些分组组织成输入FTP分组流。在步骤500中,MMID传感器将TCP分组分段重装成客户机到服务器和服务器到客户机的数据流。在步骤505中,MMIDP传感器中的议异常检测软件模块130检查分组是否为FTP端口命令的一部分。如果是,则MMIDP传感器将用户IP地址与端口命令指定的一个IP地址作比较。在步骤510中,MMIDP检查是否不存在端口命令或存在IP地址匹配。如果任一条件为真,则MMIDP传感器跳到步骤520。如果存在端口命令,并且IP地址不匹配,则在步骤515中,MMIDP传感器丢弃对应的FTP分组,发送告警到MMIDP服务器30并关闭FTP连接。最后,在步骤520中,MMIDP服务器30从MMIDP传感器收集日志和分组信息,并将其发送到MMIDP GUI 40a-d以便显示。
现在参照图17,图17是表示网络上即将发生SMTP“wiz”攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。当攻击者在与某些易受攻击的SMTP服务器的SMTP会话中使用“wiz”命令,以非法获得网络主机上的根访问权时,发生“wiz”攻击。攻击成功时,攻击者可完全控制网络主机,使用它作为发起进一步攻击的平台,窃取电子邮件和其它数据,并最终访问网络资源。由于“wiz”字符串可能经常出现在电子邮件正文、收件人列表等信息中,因此,如果未在“命令模式”下于客户机到服务器的SMTP流的上下文中完成特征匹配,则生成假告警的可能性很高。
在步骤535中,用户连接到网络中的SMTP服务器以建立SMTP会话。在步骤540中,SMTP服务器通过交换SYN和ACK分组,经三次握手与用户建立TCP连接。当建立了TCP连接时,在步骤545中,当发送邮件会话在命令模式下时,用户向SMTP邮件服务器发送“wiz”命令。在步骤550中,MMIDP传感器重建用户发送的任何分组分段。重建的分组在步骤555中组织成SMTP分组流。在步骤560中,MMIDP传感器将TCP分组分段重装成客户机到服务器和服务器到客户机数据流。
如果在客户机到服务器数据流中存在SMTP命令(步骤565),则在步骤570中,MMIDP传感器在SMTP命令中搜索“wiz”特征。一旦发现特征匹配,则在步骤575中,MMIDP传感器将该SMTP分组丢弃,向MMIDP服务器30发送告警,并关闭SMTP连接。最后,在步骤580中,MMIDP服务器30从MMIDP传感器收集日志和分组信息,并将其发送到MMIDP GUI 40a-d以便显示。
虽然上面详细地描述了本发明的特定实施例,但应理解,本说明书仅用于解释。本发明的特定功能出现在一些图形中,但没有出现在其它图形中,这只是为了方便起见,而且任何特征可与根据本发明的其它特征相结合。所述过程步骤可重新加以排序或组合,并且可包括其它步骤。根据本公开,进一步的变化对本领域技术人员而言将是显而易见的,并且所附权利要求书范围旨在涵盖这类变化。
Claims (55)
1.一种用于检测并防止网络中安全违例的方法,所述方法包括:
将网络业务中的多个TCP分组重装成TCP流;
检查所述TCP流以检测表示安全违例的信息;
将所述多个TCP分组组合成分组流和会话;
在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;
如果所述TCP流包含表示安全违例的信息,则从所述TCP流丢弃TCP分组;
如果所述TCP流不包含表示安全违例的信息,则将所述TCP流的TCP分组转发到网络目的地,
其中,检查所述TCP流以检测表示安全违例的信息包括:
在协议数据库中存储所述网络支持的多个协议规范;
查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;以及
根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
2.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括检查所述TCP流是否存在协议异常。
3.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括搜索所述TCP流以发现攻击特征。
4.如权利要求3所述的方法,其特征在于:搜索所述TCP流以发现攻击特征的步骤包括使用状态特征检测。
5.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括使用多个网络入侵检测方法。
6.如权利要求5所述的方法,其特征在于:所述多个网络入侵检测方法至少包括协议异常检测方法。
7.如权利要求5所述的方法,其特征在于:所述多个网络入侵检测方法至少包括特征检测方法。
8.如权利要求1所述的方法,其特征在于还包括:搜索所述分组流描述符以发现业务特征。
9.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括协议异常。
10.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括攻击特征。
11.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括多个网络攻击标识符。
12.如权利要求11所述的方法,其特征在于:所述多个网络攻击标识符至少包括协议异常。
13.如权利要求11所述的方法,其特征在于:所述多个网络攻击标识符至少包括攻击特征。
14.如权利要求10所述的方法,其特征在于:所述攻击特征和业务特征存储在特征数据库中。
15.如权利要求3所述的方法,其特征在于:搜索所述TCP流以发现攻击特征的步骤包括查询特征数据库以确定所述TCP流中是否存在匹配特征。
16.如权利要求15所述的方法,其特征在于:确定所述TCP流中是否存在匹配特征的步骤包括将DFA用于模式匹配。
17.如权利要求1所述的方法,其特征在于还包括:从多个分组分段重建所述多个TCP分组。
18.一种方法,包括:
将多个TCP分组重装成TCP流;
检查所述TCP流以检测表示安全违例的信息;
如果所述TCP流包含表示安全违例的信息,则从所述TCP流丢弃TCP分组;
如果所述TCP流不包含表示安全违例的信息,则将所述TCP流的TCP分组转发到网络目的地;以及
将所述多个TCP分组组合成分组流和会话,其中,将所述多个TCP分组组合成分组流和会话的步骤包括在散列表中存储所述分组流和会话,其中,在所述散列表中存储所述分组流和会话包括:在分组流描述符中存储所述分组流,其中,在所述散列表中存储所述分组流和会话包括:
从5元组计算散列值,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型,以及
其中,检查所述TCP流以检测表示安全违例的信息包括:
根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
19.一种用于检测并防止网络中安全违例的产品,所述产品包括:
将网络业务中的多个TCP分组重装成TCP流的TCP重装软件模块;
用于检查所述TCP流以检测表示安全违例的信息的软件模块;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块;
其中,用于检查所述TCP流的软件模块至少包括协议异常检测 软件模块,所述协议异常检测软件模块包括:
用于在协议数据库中存储所述网络支持的多个协议规范的例程单元,以及
用于查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符的例程单元;
其中,所述流管理软件模块要:
将所述多个TCP分组组合成分组流和会话;以及
在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;
其中,所述用于检查所述TCP流的软件模块还根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
20.如权利要求19所述的产品,其特征在于还包括:用于将多个分组分段重建成所述多个TCP分组的IP段合并软件模块。
21.如权利要求19所述的产品,其特征在于:用于检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
22.如权利要求19所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
23.如权利要求22所述的产品,其特征在于:所述多个软件模块至少包括状态特征检测软件模块。
24.如权利要求19所述的产品,其特征在于:所述协议规范包括下列的一个或多个协议的规范:TCP协议、HTTP协议、SMTP协议、FTP协议、NETBIOS协议、IMAP协议、POP3协议、TELNET协议、IRC协议、RSH协议、REXEC协议及RCMD协议。
25.如权利要求23所述的产品,其特征在于:所述状态特征检测软件模块包括用于查询特征数据库以确定所述TCP流中是否存在匹配攻击特征的例程单元。
26.如权利要求25所述的产品,其特征在于:用于查询特征数据库以确定所述TCP流中是否存在匹配攻击特征的例程单元将DFA用于模式匹配。
27.如权利要求19所述的产品,其特征在于还包括:
用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息;
用于存储网络安全策略的例程单元,所述网络安全策略识别要检查的所述网络业务和要检测并防止的多个网络攻击;
用于将所述网络安全策略分发到所述网络中的一个或多个网关点的例程单元;以及
用于更新所述协议数据库和特征数据库的例程单元。
28.如权利要求19所述的产品,其特征在于还包括:图形用户接口,所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;以及
用于指定网络安全策略的例程单元。
29.一种产品,包括:
将网络业务中的多个TCP分组重装成TCP流的TCP重装软件模块;
用于检查所述TCP流以检测表示安全违例的信息的软件模块;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块,用于将所述多个TCP分组组合成分组流和会 话,其中所述流管理软件模块包括:用于将所述分组流和会话存储到散列表中的例程单元,其中将所述分组流和会话存储到散列表中包括:在分组流描述符中存储所述分组流;
其中,用于检查所述TCP流的软件模块包括根据与所述TCP流相关联的所述分组流描述符和会话搜索所述TCP流以发现网络攻击标识符的例程单元;
其中,用于将所述分组流和会话存储到散列表中的例程单元包括:用于从5元组计算散列值的例程单元,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型。
30.如权利要求29所述的产品,其特征在于还包括:用于搜索所述分组流描述符以发现业务特征的业务特征检测软件模块。
31.一种用于检测并防止网络中安全违例的产品,所述产品包括:
用于将多个TCP分组重装成TCP流的例程单元;
用于检查所述TCP流以检测表示安全违例的信息的软件模块,其中检查所述TCP流以检测表示安全违例的信息包括:在协议数据库中存储所述网络支持的多个协议规范,查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;以及
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块和业务特征检测模块;
其中,所述流管理软件模块要:将所述多个TCP分组组合成分组流和会话;以及在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;
其中,用于检查所述TCP流的软件模块还要:根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符;
所述业务特征检测模块还要:搜索所述分组流描述符以发现业务特征。
32.如权利要求31所述的产品,其特征在于:所述产品位于防火墙内。
33.如权利要求31所述的产品,其特征在于:所述产品位于防火墙外。
34.如权利要求31所述的产品,其特征在于:所述产品还包括IP段合并软件模块,用于将多个分组分段重建成所述多个TCP分组。
35.如权利要求31所述的产品,其特征在于:所述产品还包括IP路由软件模块,用于在所述TCP流不包含表示所述网络中的网络安全违例的信息时,对所述TCP流的TCP分组进行路由。
36.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括协议异常检测软件模块。
37.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
38.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
39.如权利要求38所述的产品,其特征在于:所述多个软件模块至少包括协议异常检测软件模块。
40.如权利要求38所述的产品,其特征在于:所述多个软件模块至少包括状态特征检测软件模块。
41.如权利要求31所述的产品,其特征在于:所述产品通过中 央管理服务器控制,所述中央管理服务器包括:
用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息;
用于存储网络安全策略的例程单元,所述网络安全策略识别要检查的网络业务和要检测并防止的多个网络攻击;以及
用于将所述网络安全策略分发到所述产品的例程单元。
42.如权利要求31所述的产品,其特征在于:所述产品通过图形用户接口配置,所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;
用于显示有关所述产品的状态信息的例程单元;以及
用于指定网络安全策略的例程单元。
43.一种用于在网关上检测并防止网络安全违例的产品,所述产品包括:
用于将多个分组组合成分组流和会话的流管理软件模块;
用于将所述多个分组的多个TCP分组重装成TCP流的TCP重装软件模块;
用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的软件模块,其中检查所述TCP流以检测表示安全违例的信息包括:在协议数据库中存储所述网络支持的多个协议规范;以及查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;
用于在所述TCP流包含表示安全违例的信息时丢弃所述多个分组中的分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述多个分组中的分组转发到网络目的地的软件模块;
其中,流管理软件模块包括用于将所述多个TCP分组组合成分组流和会话并且在分组流描述符中存储所述分组流的软件模块,所述 分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;以及
其中,用于检查所述TCP流的软件模块包括用于根据与所述TCP流相关联的所述分组流描述符和会话搜索所述TCP流以发现网络攻击标识符的软件模块。
44.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,所述产品还包括:IP段合并软件模块,用于将多个分组分段重建成所述多个TCP分组。
45.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其中所述产品还包括:IP路由软件模块,用于在所述TCP流不包含表示所述安全违例的信息时,对所述TCP流的TCP分组进行路由。
46.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其中所述产品由网络安全策略控制,所述策略指定要检查的网络业务和要检测并防止的多个网络攻击。
47.如权利要求46所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述网络安全策略由网络安全管理员使用图形用户接口定义。
48.如权利要求47所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;
用于显示有关所述产品的状态信息的例程单元;以及
用于指定所述网络安全策略的例程单元。
49.如权利要求46所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述安全策略由中央管理服务器存储并分发到所述产品。
50.如权利要求49所述的用于在网关上检测并防止网络安全违 例的产品,其中所述中央管理服务器包括一个用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息。
51.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括协议异常检测软件模块。
52.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
53.如权利要求44所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
54.如权利要求53所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述多个软件模块至少包括协议异常检测软件模块。
55.如权利要求53所述的用于在网关上检测并防止网络安全违例的产品,其中所述多个软件模块至少包括状态特征检测软件模块。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/072,683 | 2002-02-08 | ||
US10/072,683 US8370936B2 (en) | 2002-02-08 | 2002-02-08 | Multi-method gateway-based network security systems and methods |
PCT/US2003/003652 WO2003067810A1 (en) | 2002-02-08 | 2003-02-07 | Multi-method gateway-based network security systems and methods |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1656731A CN1656731A (zh) | 2005-08-17 |
CN1656731B true CN1656731B (zh) | 2011-05-25 |
Family
ID=27659532
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038079119A Expired - Fee Related CN1656731B (zh) | 2002-02-08 | 2003-02-07 | 基于多方法网关的网络安全系统和方法 |
Country Status (6)
Country | Link |
---|---|
US (3) | US8370936B2 (zh) |
EP (2) | EP1481508B1 (zh) |
JP (1) | JP2005517349A (zh) |
CN (1) | CN1656731B (zh) |
AU (1) | AU2003215085A1 (zh) |
WO (1) | WO2003067810A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567684A (zh) * | 2011-12-21 | 2012-07-11 | 成都三零瑞通移动通信有限公司 | 一种针对x卧底窃听类软件的防安装方法 |
Families Citing this family (384)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
US20060212572A1 (en) * | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
US7356027B1 (en) * | 2001-09-18 | 2008-04-08 | Ipolicy Networks Inc. | Application decoding engine for computer networks |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US8209756B1 (en) * | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7693947B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for graphically displaying messaging traffic |
US7903549B2 (en) | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
US7694128B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for secure communication delivery |
US7870203B2 (en) | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
US8561167B2 (en) | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
US7124438B2 (en) | 2002-03-08 | 2006-10-17 | Ciphertrust, Inc. | Systems and methods for anomaly detection in patterns of monitored communications |
US6941467B2 (en) * | 2002-03-08 | 2005-09-06 | Ciphertrust, Inc. | Systems and methods for adaptive message interrogation through multiple queues |
US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
US7359962B2 (en) * | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
US7558873B1 (en) | 2002-05-08 | 2009-07-07 | Nvidia Corporation | Method for compressed large send |
US20030212735A1 (en) * | 2002-05-13 | 2003-11-13 | Nvidia Corporation | Method and apparatus for providing an integrated network of processors |
US7532895B2 (en) * | 2002-05-20 | 2009-05-12 | Air Defense, Inc. | Systems and methods for adaptive location tracking |
US7657616B1 (en) | 2002-06-10 | 2010-02-02 | Quest Software, Inc. | Automatic discovery of users associated with screen names |
US20030225655A1 (en) * | 2002-06-05 | 2003-12-04 | Hughes John T. | Market participant interest dissemination process and method |
US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
US7774832B2 (en) * | 2002-06-10 | 2010-08-10 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
US20040111623A1 (en) * | 2002-06-10 | 2004-06-10 | Akonix Systems, Inc. | Systems and methods for detecting user presence |
US7818565B2 (en) * | 2002-06-10 | 2010-10-19 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
US7707401B2 (en) | 2002-06-10 | 2010-04-27 | Quest Software, Inc. | Systems and methods for a protocol gateway |
US7441262B2 (en) * | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
US7437548B1 (en) | 2002-07-11 | 2008-10-14 | Nvidia Corporation | Network level protocol negotiation and operation |
US7519990B1 (en) * | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
US8117639B2 (en) | 2002-10-10 | 2012-02-14 | Rocksteady Technologies, Llc | System and method for providing access control |
EP1559222B1 (en) * | 2002-10-18 | 2010-03-24 | Broadcom Corporation | System and method for receive queue provisioning |
US20050033989A1 (en) * | 2002-11-04 | 2005-02-10 | Poletto Massimiliano Antonio | Detection of scanning attacks |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7353538B2 (en) | 2002-11-08 | 2008-04-01 | Federal Network Systems Llc | Server resource management, analysis, and intrusion negation |
US7376732B2 (en) * | 2002-11-08 | 2008-05-20 | Federal Network Systems, Llc | Systems and methods for preventing intrusion at a web host |
US7397797B2 (en) * | 2002-12-13 | 2008-07-08 | Nvidia Corporation | Method and apparatus for performing network processing functions |
US7418730B2 (en) * | 2002-12-17 | 2008-08-26 | International Business Machines Corporation | Automatic client responses to worm or hacker attacks |
MY141160A (en) * | 2003-01-13 | 2010-03-31 | Multimedia Glory Sdn Bhd | System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network |
US20040242328A1 (en) * | 2003-03-05 | 2004-12-02 | Blackburn Christopher W. | Boot service in a service-oriented gaming network environment |
US8308567B2 (en) * | 2003-03-05 | 2012-11-13 | Wms Gaming Inc. | Discovery service in a service-oriented gaming network environment |
US8296452B2 (en) * | 2003-03-06 | 2012-10-23 | Cisco Technology, Inc. | Apparatus and method for detecting tiny fragment attacks |
US20040243848A1 (en) * | 2003-03-06 | 2004-12-02 | Blackburn Christopher W. | Authentication service in a service-oriented gaming network environment |
US7529754B2 (en) | 2003-03-14 | 2009-05-05 | Websense, Inc. | System and method of monitoring and controlling application files |
US7185015B2 (en) * | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US20040242331A1 (en) * | 2003-03-17 | 2004-12-02 | Blackburn Christopher W. | Time service in a service-oriented gaming network environment |
US7991751B2 (en) * | 2003-04-02 | 2011-08-02 | Portauthority Technologies Inc. | Method and a system for information identification |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7356585B1 (en) | 2003-04-04 | 2008-04-08 | Raytheon Company | Vertically extensible intrusion detection system and method |
US7895649B1 (en) * | 2003-04-04 | 2011-02-22 | Raytheon Company | Dynamic rule generation for an enterprise intrusion detection system |
US7293238B1 (en) | 2003-04-04 | 2007-11-06 | Raytheon Company | Graphical user interface for an enterprise intrusion detection system |
GB0308037D0 (en) * | 2003-04-08 | 2003-05-14 | Ibm | Attentiveness monitoring in multicast systems |
US20040259633A1 (en) * | 2003-04-16 | 2004-12-23 | Gentles Thomas A. | Remote authentication of gaming software in a gaming system environment |
US20040266533A1 (en) * | 2003-04-16 | 2004-12-30 | Gentles Thomas A | Gaming software distribution network in a gaming system environment |
CA2464430A1 (en) * | 2003-04-16 | 2004-10-16 | Wms Gaming Inc. | Layered security methods and apparatus in a gaming system environment |
US20040266523A1 (en) * | 2003-04-16 | 2004-12-30 | Gentles Thomas A | Secured networks in a gaming system environment |
US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
US7308716B2 (en) * | 2003-05-20 | 2007-12-11 | International Business Machines Corporation | Applying blocking measures progressively to malicious network traffic |
US20050227768A1 (en) * | 2003-05-27 | 2005-10-13 | Blackburn Christopher W | Gaming network environment having a language translation service |
US7318097B2 (en) * | 2003-06-17 | 2008-01-08 | International Business Machines Corporation | Security checking program for communication between networks |
US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7359380B1 (en) | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Network protocol processing for routing and bridging |
US7913294B1 (en) | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
US8984644B2 (en) * | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US8296847B2 (en) * | 2003-07-25 | 2012-10-23 | Hewlett-Packard Development Company, L.P. | Method of managing utilization of network intrusion detection systems in a dynamic data center |
US7565690B2 (en) * | 2003-08-04 | 2009-07-21 | At&T Intellectual Property I, L.P. | Intrusion detection |
US7266754B2 (en) * | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
US7624438B2 (en) * | 2003-08-20 | 2009-11-24 | Eric White | System and method for providing a secure connection between networked computers |
JP3999188B2 (ja) | 2003-10-28 | 2007-10-31 | 富士通株式会社 | 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム |
US7639714B2 (en) | 2003-11-12 | 2009-12-29 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data |
US7574603B2 (en) * | 2003-11-14 | 2009-08-11 | Microsoft Corporation | Method of negotiating security parameters and authenticating users interconnected to a network |
US7743420B2 (en) * | 2003-12-02 | 2010-06-22 | Imperva, Inc. | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
WO2005062233A2 (en) * | 2003-12-16 | 2005-07-07 | Applied Identity | Computer security system |
WO2005069578A1 (en) * | 2004-01-05 | 2005-07-28 | Corrent Corporation | Method and apparatus for network intrusion detection system |
US7203961B1 (en) * | 2004-01-09 | 2007-04-10 | Cisco Technology, Inc. | Preventing network reset denial of service attacks |
US7472416B2 (en) * | 2004-01-09 | 2008-12-30 | Cisco Technology, Inc. | Preventing network reset denial of service attacks using embedded authentication information |
US7257840B2 (en) * | 2004-01-16 | 2007-08-14 | Cisco Technology, Inc. | Preventing network data injection attacks using duplicate-ACK and reassembly gap approaches |
US7114181B2 (en) * | 2004-01-16 | 2006-09-26 | Cisco Technology, Inc. | Preventing network data injection attacks |
US20050157662A1 (en) * | 2004-01-20 | 2005-07-21 | Justin Bingham | Systems and methods for detecting a compromised network |
US20050204022A1 (en) * | 2004-03-10 | 2005-09-15 | Keith Johnston | System and method for network management XML architectural abstraction |
US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
US8543710B2 (en) | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
US7509625B2 (en) * | 2004-03-10 | 2009-03-24 | Eric White | System and method for comprehensive code generation for system management |
FR2868230B1 (fr) * | 2004-03-25 | 2012-06-08 | Netasq | Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique |
DE102004016582A1 (de) * | 2004-03-31 | 2005-10-27 | Nec Europe Ltd. | Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz |
JP2005301551A (ja) * | 2004-04-09 | 2005-10-27 | Hitachi Ltd | セキュリティ対策システム及び統合セキュリティシステム |
US7730294B2 (en) * | 2004-06-04 | 2010-06-01 | Nokia Corporation | System for geographically distributed virtual routing |
CN100435526C (zh) * | 2004-07-21 | 2008-11-19 | 威达电股份有限公司 | 网络安全动态侦测系统及方法 |
US20060026679A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
US7562389B1 (en) * | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
US8176126B2 (en) | 2004-08-26 | 2012-05-08 | International Business Machines Corporation | System, method and program to limit rate of transferring messages from suspected spammers |
WO2006031496A2 (en) * | 2004-09-10 | 2006-03-23 | The Regents Of The University Of California | Method and apparatus for deep packet inspection |
US8234705B1 (en) * | 2004-09-27 | 2012-07-31 | Radix Holdings, Llc | Contagion isolation and inoculation |
US7451486B2 (en) | 2004-09-30 | 2008-11-11 | Avaya Inc. | Stateful and cross-protocol intrusion detection for voice over IP |
TWI250751B (en) * | 2004-10-01 | 2006-03-01 | Realtek Semiconductor Corp | Apparatus and method for IP allocation |
US7565694B2 (en) * | 2004-10-05 | 2009-07-21 | Cisco Technology, Inc. | Method and apparatus for preventing network reset attacks |
US7600257B2 (en) * | 2004-10-13 | 2009-10-06 | Sonicwall, Inc. | Method and an apparatus to perform multiple packet payloads analysis |
US7835361B1 (en) | 2004-10-13 | 2010-11-16 | Sonicwall, Inc. | Method and apparatus for identifying data patterns in a file |
KR100611741B1 (ko) * | 2004-10-19 | 2006-08-11 | 한국전자통신연구원 | 네트워크 침입 탐지 및 방지 시스템 및 그 방법 |
US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
US7478424B2 (en) * | 2004-11-30 | 2009-01-13 | Cymtec Systems, Inc. | Propagation protection within a network |
US7694334B2 (en) * | 2004-12-03 | 2010-04-06 | Nokia Corporation | Apparatus and method for traversing gateway device using a plurality of batons |
US8306023B2 (en) * | 2004-12-20 | 2012-11-06 | Hewlett-Packard Development Company, L.P. | Smuggling and recovery of non-packet information |
US7917955B1 (en) | 2005-01-14 | 2011-03-29 | Mcafee, Inc. | System, method and computer program product for context-driven behavioral heuristics |
US7725938B2 (en) * | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
US7624446B1 (en) * | 2005-01-25 | 2009-11-24 | Symantec Corporation | Efficient signature packing for an intrusion detection system |
US7937755B1 (en) | 2005-01-27 | 2011-05-03 | Juniper Networks, Inc. | Identification of network policy violations |
US7769851B1 (en) | 2005-01-27 | 2010-08-03 | Juniper Networks, Inc. | Application-layer monitoring and profiling network traffic |
US7809826B1 (en) | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Remote aggregation of network traffic profiling data |
US7810151B1 (en) | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Automated change detection within a network environment |
KR100666947B1 (ko) * | 2005-02-01 | 2007-01-10 | 삼성전자주식회사 | 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템 |
US7797411B1 (en) | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
KR100608136B1 (ko) * | 2005-02-18 | 2006-08-08 | 재단법인서울대학교산학협력재단 | 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법 |
US8095983B2 (en) * | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
US8095982B1 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Analyzing the security of communication protocols and channels for a pass-through device |
US7508771B2 (en) * | 2005-04-01 | 2009-03-24 | International Business Machines Corporation | Method for reducing latency in a host ethernet adapter (HEA) |
US20060221953A1 (en) * | 2005-04-01 | 2006-10-05 | Claude Basso | Method and apparatus for blind checksum and correction for network transmissions |
US7881332B2 (en) * | 2005-04-01 | 2011-02-01 | International Business Machines Corporation | Configurable ports for a host ethernet adapter |
US7492771B2 (en) * | 2005-04-01 | 2009-02-17 | International Business Machines Corporation | Method for performing a packet header lookup |
US7706409B2 (en) * | 2005-04-01 | 2010-04-27 | International Business Machines Corporation | System and method for parsing, filtering, and computing the checksum in a host Ethernet adapter (HEA) |
US7577151B2 (en) * | 2005-04-01 | 2009-08-18 | International Business Machines Corporation | Method and apparatus for providing a network connection table |
US7903687B2 (en) * | 2005-04-01 | 2011-03-08 | International Business Machines Corporation | Method for scheduling, writing, and reading data inside the partitioned buffer of a switch, router or packet processing device |
US7697536B2 (en) * | 2005-04-01 | 2010-04-13 | International Business Machines Corporation | Network communications for operating system partitions |
US7586936B2 (en) * | 2005-04-01 | 2009-09-08 | International Business Machines Corporation | Host Ethernet adapter for networking offload in server environment |
US7937480B2 (en) | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
US20070016767A1 (en) * | 2005-07-05 | 2007-01-18 | Netdevices, Inc. | Switching Devices Avoiding Degradation of Forwarding Throughput Performance When Downloading Signature Data Related to Security Applications |
US20070011448A1 (en) * | 2005-07-06 | 2007-01-11 | Microsoft Corporation | Using non 5-tuple information with IPSec |
US8572733B1 (en) | 2005-07-06 | 2013-10-29 | Raytheon Company | System and method for active data collection in a network security system |
US7873998B1 (en) * | 2005-07-19 | 2011-01-18 | Trustwave Holdings, Inc. | Rapidly propagating threat detection |
FI120072B (fi) * | 2005-07-19 | 2009-06-15 | Ssh Comm Security Corp | Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US7950058B1 (en) | 2005-09-01 | 2011-05-24 | Raytheon Company | System and method for collaborative information security correlation in low bandwidth environments |
US8224761B1 (en) | 2005-09-01 | 2012-07-17 | Raytheon Company | System and method for interactive correlation rule design in a network security system |
US7352280B1 (en) | 2005-09-01 | 2008-04-01 | Raytheon Company | System and method for intruder tracking using advanced correlation in a network security system |
US8898452B2 (en) * | 2005-09-08 | 2014-11-25 | Netapp, Inc. | Protocol translation |
US7908357B2 (en) | 2005-09-21 | 2011-03-15 | Battelle Memorial Institute | Methods and systems for detecting abnormal digital traffic |
US7603344B2 (en) | 2005-10-19 | 2009-10-13 | Advanced Digital Forensic Solutions, Inc. | Methods for searching forensic data |
US20070139231A1 (en) * | 2005-10-19 | 2007-06-21 | Advanced Digital Forensic Solutions, Inc. | Systems and methods for enterprise-wide data identification, sharing and management in a commercial context |
WO2007056691A2 (en) * | 2005-11-03 | 2007-05-18 | Akonix Systems, Inc. | Systems and methods for remote rogue protocol enforcement |
US8468589B2 (en) | 2006-01-13 | 2013-06-18 | Fortinet, Inc. | Computerized system and method for advanced network content processing |
WO2007070711A2 (en) * | 2005-12-15 | 2007-06-21 | Malloy Patrick J | Interactive network monitoring and analysis |
US8453243B2 (en) | 2005-12-28 | 2013-05-28 | Websense, Inc. | Real time lockdown |
CA2532699A1 (en) * | 2005-12-28 | 2007-06-28 | Ibm Canada Limited - Ibm Canada Limitee | Distributed network protection |
US7761915B2 (en) * | 2005-12-28 | 2010-07-20 | Zyxel Communications Corp. | Terminal and related computer-implemented method for detecting malicious data for computer network |
US7849185B1 (en) | 2006-01-10 | 2010-12-07 | Raytheon Company | System and method for attacker attribution in a network security system |
US7613826B2 (en) * | 2006-02-09 | 2009-11-03 | Cisco Technology, Inc. | Methods and apparatus for providing multiple policies for a virtual private network |
WO2007096890A2 (en) * | 2006-02-27 | 2007-08-30 | Sentrigo Inc. | Device, system and method of database security |
US9392009B2 (en) * | 2006-03-02 | 2016-07-12 | International Business Machines Corporation | Operating a network monitoring entity |
US7970899B2 (en) * | 2006-03-03 | 2011-06-28 | Barracuda Networks Inc | Integrated data flow packet admission and traffic management apparatus |
US8201243B2 (en) * | 2006-04-20 | 2012-06-12 | Webroot Inc. | Backwards researching activity indicative of pestware |
US8793390B2 (en) * | 2006-05-23 | 2014-07-29 | Blue Coat Systems, Inc. | Systems and methods for protocol detection in a proxy |
US20080022386A1 (en) * | 2006-06-08 | 2008-01-24 | Shevchenko Oleksiy Yu | Security mechanism for server protection |
US8045457B1 (en) * | 2006-06-29 | 2011-10-25 | Symantec Corporation | Dropping packets to prevent unauthorized data transfer through multimedia tunnels |
US8190868B2 (en) | 2006-08-07 | 2012-05-29 | Webroot Inc. | Malware management through kernel detection |
US8281392B2 (en) | 2006-08-11 | 2012-10-02 | Airdefense, Inc. | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection |
US8239943B2 (en) * | 2006-08-18 | 2012-08-07 | Microsoft Corporation | Network security page |
US7954161B1 (en) | 2007-06-08 | 2011-05-31 | Mu Dynamics, Inc. | Mechanism for characterizing soft failures in systems under attack |
US9172611B2 (en) | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
US8316447B2 (en) * | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
WO2008036086A1 (en) * | 2006-09-20 | 2008-03-27 | Ist International Inc. | Handoff and optimization of a network protocol stack |
US8811156B1 (en) | 2006-11-14 | 2014-08-19 | Raytheon Company | Compressing n-dimensional data |
EP1933519A1 (en) * | 2006-12-12 | 2008-06-18 | Koninklijke KPN N.V. | Streaming media service for mobile telephones |
US8370894B2 (en) * | 2006-12-29 | 2013-02-05 | Telecom Italia S.P.A. | Method and system for enforcing security polices in MANETs |
US7949716B2 (en) | 2007-01-24 | 2011-05-24 | Mcafee, Inc. | Correlation and analysis of entity attributes |
US8179798B2 (en) | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
US7779156B2 (en) | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
US20080196104A1 (en) * | 2007-02-09 | 2008-08-14 | George Tuvell | Off-line mms malware scanning system and method |
US8108924B1 (en) * | 2007-05-24 | 2012-01-31 | Sprint Communications Company L.P. | Providing a firewall's connection data in a comprehendible format |
US8819271B2 (en) * | 2007-05-24 | 2014-08-26 | At&T Intellectual Property I, L.P. | System and method to access and use layer 2 and layer 3 information used in communications |
US8863286B1 (en) | 2007-06-05 | 2014-10-14 | Sonicwall, Inc. | Notification for reassembly-free file scanning |
US7991723B1 (en) | 2007-07-16 | 2011-08-02 | Sonicwall, Inc. | Data pattern analysis using optimized deterministic finite automaton |
US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
DE602007011676D1 (de) * | 2007-08-20 | 2011-02-10 | Ericsson Telefon Ab L M | Lokalen breakout in einem mobilnetz |
US7774637B1 (en) | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
US8871096B2 (en) * | 2007-09-10 | 2014-10-28 | Res Usa, Llc | Magnetic separation combined with dynamic settling for fischer-tropsch processes |
US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
US8045458B2 (en) | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
CN101459660A (zh) * | 2007-12-13 | 2009-06-17 | 国际商业机器公司 | 用于集成多个威胁安全服务的方法及其设备 |
US9338176B2 (en) * | 2008-01-07 | 2016-05-10 | Global Dataguard, Inc. | Systems and methods of identity and access management |
US9237167B1 (en) * | 2008-01-18 | 2016-01-12 | Jpmorgan Chase Bank, N.A. | Systems and methods for performing network counter measures |
US8160975B2 (en) | 2008-01-25 | 2012-04-17 | Mcafee, Inc. | Granular support vector machine with random granularity |
JP4905395B2 (ja) * | 2008-03-21 | 2012-03-28 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
US9225778B2 (en) | 2008-05-07 | 2015-12-29 | Telefonaktiebolaget L M Ericsson (Publ) | System for delivery of content to be played autonomously |
US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
JP5473406B2 (ja) * | 2008-07-18 | 2014-04-16 | キヤノン株式会社 | ネットワーク処理装置及びその処理方法 |
US8069469B1 (en) * | 2008-07-25 | 2011-11-29 | Sprint Communications Company L.P. | Addressing security in asymmetrical networks |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
EP2359573B1 (en) * | 2008-12-18 | 2015-02-18 | Telefonaktiebolaget L M Ericsson (publ) | Method for content delivery involving a policy database |
US8375435B2 (en) * | 2008-12-19 | 2013-02-12 | International Business Machines Corporation | Host trust report based filtering mechanism in a reverse firewall |
US8281398B2 (en) * | 2009-01-06 | 2012-10-02 | Microsoft Corporation | Reordering document content to avoid exploits |
US8402541B2 (en) * | 2009-03-12 | 2013-03-19 | Microsoft Corporation | Proactive exploit detection |
US9398043B1 (en) | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
US11489857B2 (en) | 2009-04-21 | 2022-11-01 | Webroot Inc. | System and method for developing a risk profile for an internet resource |
KR101034389B1 (ko) * | 2009-04-22 | 2011-05-16 | (주) 시스메이트 | 패킷 내 시그니처 위치에 따른 시그니처 검색 방법 |
JP5246034B2 (ja) * | 2009-05-22 | 2013-07-24 | 富士通株式会社 | パケット送受信システム、パケット送受信装置、および、パケット送受信方法 |
US9769149B1 (en) | 2009-07-02 | 2017-09-19 | Sonicwall Inc. | Proxy-less secure sockets layer (SSL) data inspection |
US9531716B1 (en) * | 2009-08-07 | 2016-12-27 | Cisco Technology, Inc. | Service enabled network |
US9148358B2 (en) * | 2009-10-05 | 2015-09-29 | Vss Monitoring, Inc. | Method, apparatus and system for filtering captured network traffic |
US20110107410A1 (en) * | 2009-11-02 | 2011-05-05 | At&T Intellectual Property I,L.P. | Methods, systems, and computer program products for controlling server access using an authentication server |
US8590031B2 (en) * | 2009-12-17 | 2013-11-19 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server |
US20110154469A1 (en) * | 2009-12-17 | 2011-06-23 | At&T Intellectual Property Llp | Methods, systems, and computer program products for access control services using source port filtering |
US8346935B2 (en) * | 2010-01-15 | 2013-01-01 | Joyent, Inc. | Managing hardware resources by sending messages amongst servers in a data center |
US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
CN102754394B (zh) * | 2010-08-19 | 2015-07-22 | 华为技术有限公司 | 一种哈希表存储、查找方法以及装置 |
US8509071B1 (en) | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
CN102111402B (zh) * | 2010-12-17 | 2015-06-10 | 曙光信息产业(北京)有限公司 | 一种对正则式dfa分组的方法 |
US9119109B1 (en) * | 2010-12-30 | 2015-08-25 | Dell Software Inc. | Method and an apparatus to perform multi-connection traffic analysis and management |
US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
US8555276B2 (en) | 2011-03-11 | 2013-10-08 | Joyent, Inc. | Systems and methods for transparently optimizing workloads |
US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
US8566900B1 (en) * | 2011-05-23 | 2013-10-22 | Palo Alto Networks, Inc. | Using geographical information in policy enforcement |
US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
CN102195887B (zh) * | 2011-05-31 | 2014-03-12 | 北京星网锐捷网络技术有限公司 | 报文处理方法、装置和网络安全设备 |
NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
US9881151B2 (en) * | 2011-08-31 | 2018-01-30 | Lenovo (Singapore) Pte. Ltd. | Providing selective system privileges on an information handling device |
US8775393B2 (en) * | 2011-10-03 | 2014-07-08 | Polytechniq Institute of New York University | Updating a perfect hash data structure, such as a multi-dimensional perfect hash data structure, used for high-speed string matching |
US8782224B2 (en) | 2011-12-29 | 2014-07-15 | Joyent, Inc. | Systems and methods for time-based dynamic allocation of resource management |
US9137258B2 (en) | 2012-02-01 | 2015-09-15 | Brightpoint Security, Inc. | Techniques for sharing network security event information |
US8914406B1 (en) | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
US9710644B2 (en) | 2012-02-01 | 2017-07-18 | Servicenow, Inc. | Techniques for sharing network security event information |
RU2510982C2 (ru) * | 2012-04-06 | 2014-04-10 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ оценки пользователей для фильтрации сообщений |
US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
US9166732B2 (en) * | 2012-04-19 | 2015-10-20 | At&T Mobility Ii Llc | Facilitation of security employing a femto cell access point |
US9075953B2 (en) * | 2012-07-31 | 2015-07-07 | At&T Intellectual Property I, L.P. | Method and apparatus for providing notification of detected error conditions in a network |
US8938805B1 (en) * | 2012-09-24 | 2015-01-20 | Emc Corporation | Detection of tampering with software installed on a processing device |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US8954495B2 (en) * | 2013-01-04 | 2015-02-10 | Netfilx, Inc. | Proxy application with dynamic filter updating |
US9009165B2 (en) * | 2013-01-10 | 2015-04-14 | Telefonaktiebolaget L M Ericsson (Publ) | High performance hash-based lookup for packet processing in a communication network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
GB201302402D0 (en) * | 2013-02-11 | 2013-03-27 | Telecom Ltd Q | Communication apparatus |
US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US8826279B1 (en) | 2013-03-14 | 2014-09-02 | Joyent, Inc. | Instruction set architecture for compute-based object stores |
US8677359B1 (en) | 2013-03-14 | 2014-03-18 | Joyent, Inc. | Compute-centric object stores and methods of use |
US9104456B2 (en) | 2013-03-14 | 2015-08-11 | Joyent, Inc. | Zone management of compute-centric object stores |
US8943284B2 (en) | 2013-03-14 | 2015-01-27 | Joyent, Inc. | Systems and methods for integrating compute resources in a storage area network |
US8881279B2 (en) * | 2013-03-14 | 2014-11-04 | Joyent, Inc. | Systems and methods for zone-based intrusion detection |
US8793688B1 (en) | 2013-03-15 | 2014-07-29 | Joyent, Inc. | Systems and methods for double hulled virtualization operations |
US9092238B2 (en) | 2013-03-15 | 2015-07-28 | Joyent, Inc. | Versioning schemes for compute-centric object stores |
US9231976B2 (en) | 2013-03-15 | 2016-01-05 | Mcafee, Inc. | Creating and managing a network security tag |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US8775485B1 (en) | 2013-03-15 | 2014-07-08 | Joyent, Inc. | Object store management operations within compute-centric object stores |
US9038130B2 (en) * | 2013-05-14 | 2015-05-19 | Dell Products, L.P. | Sensor aware security policies with embedded controller hardened enforcement |
CN104184649A (zh) * | 2013-05-23 | 2014-12-03 | 上海斐讯数据通信技术有限公司 | 调制解调器系统的log日志的获取方法 |
US20150025790A1 (en) | 2013-07-17 | 2015-01-22 | Vivint, Inc. | Geo-location services |
CN103441987A (zh) * | 2013-07-30 | 2013-12-11 | 曙光信息产业(北京)有限公司 | 双机防火墙系统的管理方法和装置 |
CN103457931B (zh) * | 2013-08-15 | 2016-08-10 | 华中科技大学 | 一种网络诱骗与反攻击的主动防御方法 |
WO2015036860A2 (en) * | 2013-09-10 | 2015-03-19 | Haproxy S.A.R.L. | Line-rate packet filtering technique for general purpose operating systems |
US10977063B2 (en) | 2013-12-20 | 2021-04-13 | Vmware, Inc. | Elastic compute fabric using virtual machine templates |
US9323565B2 (en) | 2013-12-20 | 2016-04-26 | Vmware, Inc. | Provisioning customized virtual machines without rebooting |
JP6229504B2 (ja) * | 2014-01-09 | 2017-11-15 | 富士通株式会社 | ネットワーク監視装置、監視方法及びプログラム |
US9973515B1 (en) * | 2014-02-05 | 2018-05-15 | Rockwell Collins, Inc. | Network security for avionics with ethernet connections system and related method |
US9619268B2 (en) | 2014-08-23 | 2017-04-11 | Vmware, Inc. | Rapid suspend/resume for virtual machines via resource sharing |
US9088544B1 (en) * | 2014-09-11 | 2015-07-21 | Fortinet, Inc. | Interface groups for rule-based network security |
US9729439B2 (en) | 2014-09-26 | 2017-08-08 | 128 Technology, Inc. | Network packet flow controller |
US9948661B2 (en) | 2014-10-29 | 2018-04-17 | At&T Intellectual Property I, L.P. | Method and apparatus for detecting port scans in a network |
US9866473B2 (en) | 2014-11-14 | 2018-01-09 | Nicira, Inc. | Stateful services on stateless clustered edge |
US11533255B2 (en) | 2014-11-14 | 2022-12-20 | Nicira, Inc. | Stateful services on stateless clustered edge |
US9876714B2 (en) | 2014-11-14 | 2018-01-23 | Nicira, Inc. | Stateful services on stateless clustered edge |
US10044617B2 (en) * | 2014-11-14 | 2018-08-07 | Nicira, Inc. | Stateful services on stateless clustered edge |
US10110561B2 (en) * | 2014-11-26 | 2018-10-23 | Rockwell Automation Technologies, Inc. | Firewall with application packet classifer |
CN104660584B (zh) * | 2014-12-30 | 2018-12-18 | 赖洪昌 | 基于网络会话的木马病毒分析技术 |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
CN105991623B (zh) * | 2015-03-05 | 2019-04-26 | 北京启明星辰信息安全技术有限公司 | 一种业务互联关系审计方法和系统 |
US9736184B2 (en) | 2015-03-17 | 2017-08-15 | 128 Technology, Inc. | Apparatus and method for using certificate data to route data |
AU2015387270B2 (en) * | 2015-03-18 | 2020-01-02 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
US11024136B2 (en) * | 2015-04-02 | 2021-06-01 | Techcam, Llc | Method and apparatus for remote surveillance |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
US9729682B2 (en) | 2015-05-18 | 2017-08-08 | 128 Technology, Inc. | Network device and method for processing a session using a packet signature |
US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
US10049078B1 (en) * | 2015-06-25 | 2018-08-14 | Amazon Technologies, Inc. | Accessing a memory location using a two-stage hash scheme |
US9825911B1 (en) * | 2015-11-18 | 2017-11-21 | Amazon Technologies, Inc. | Security policy check based on communication establishment handshake packet |
CA3007844C (en) | 2015-12-11 | 2021-06-22 | Servicenow, Inc. | Computer network threat assessment |
US10536549B2 (en) * | 2015-12-15 | 2020-01-14 | Nxp Usa, Inc. | Method and apparatus to accelerate session creation using historical session cache |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10491611B2 (en) | 2016-01-08 | 2019-11-26 | Belden, Inc. | Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols |
US10084752B2 (en) * | 2016-02-26 | 2018-09-25 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
US10594731B2 (en) * | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
WO2017178888A1 (en) * | 2016-04-12 | 2017-10-19 | Guardknox Cyber Technologies Ltd. | Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof |
US9871810B1 (en) * | 2016-04-25 | 2018-01-16 | Symantec Corporation | Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties |
US10686792B1 (en) * | 2016-05-13 | 2020-06-16 | Nuvolex, Inc. | Apparatus and method for administering user identities across on premise and third-party computation resources |
US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10009282B2 (en) * | 2016-06-06 | 2018-06-26 | 128 Technology, Inc. | Self-protecting computer network router with queue resource manager |
US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
US10536468B2 (en) * | 2016-07-21 | 2020-01-14 | Level 3 Communications, Llc | System and method for voice security in a telecommunications network |
US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
FR3060931A1 (fr) * | 2016-12-16 | 2018-06-22 | Orange | Procede et dispositif de surveillance mis en oeuvre par un point d'acces a un reseau de telecommunications |
JP6870386B2 (ja) * | 2017-02-28 | 2021-05-12 | 沖電気工業株式会社 | マルウェア不正通信対処システム及び方法 |
US20180262467A1 (en) * | 2017-03-08 | 2018-09-13 | At&T Intellectual Property I, L.P. | Cloud-based ddos mitigation |
US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
US10503545B2 (en) | 2017-04-12 | 2019-12-10 | At&T Intellectual Property I, L.P. | Universal security agent |
US10454965B1 (en) * | 2017-04-17 | 2019-10-22 | Symantec Corporation | Detecting network packet injection |
US10778699B1 (en) * | 2017-04-17 | 2020-09-15 | Verizon Digital Media Services Inc. | Network attack mitigation based on distributed packet analysis |
US11003542B1 (en) | 2017-04-28 | 2021-05-11 | EMC IP Holding Company LLC | Online consistent system checkpoint |
US10402283B1 (en) * | 2017-04-28 | 2019-09-03 | EMC IP Holding Company LLC | Online system checkpoint recovery orchestration |
US10333960B2 (en) | 2017-05-03 | 2019-06-25 | Servicenow, Inc. | Aggregating network security data for export |
US20180324207A1 (en) | 2017-05-05 | 2018-11-08 | Servicenow, Inc. | Network security threat intelligence sharing |
US10897472B1 (en) * | 2017-06-02 | 2021-01-19 | Enigma Networkz, LLC | IT computer network threat analysis, detection and containment |
CN107332839B (zh) * | 2017-06-28 | 2020-03-06 | 杭州迪普科技股份有限公司 | 一种报文传输方法及装置 |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10951584B2 (en) | 2017-07-31 | 2021-03-16 | Nicira, Inc. | Methods for active-active stateful network service cluster |
US11296984B2 (en) | 2017-07-31 | 2022-04-05 | Nicira, Inc. | Use of hypervisor for active-active stateful network service cluster |
US11570092B2 (en) | 2017-07-31 | 2023-01-31 | Nicira, Inc. | Methods for active-active stateful network service cluster |
CN107231647B (zh) * | 2017-08-03 | 2019-01-11 | Oppo广东移动通信有限公司 | 网络检测方法、网络检测装置及智能终端 |
US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
DE102017220371A1 (de) * | 2017-11-15 | 2019-05-16 | Siemens Mobility GmbH | System und Verfahren zum Senden und zum Empfangen von Daten |
US10841330B2 (en) | 2017-11-30 | 2020-11-17 | Bank Of America Corporation | System for generating a communication pathway for third party vulnerability management |
US10616261B2 (en) | 2017-11-30 | 2020-04-07 | Bank Of America Corporation | System for information security threat assessment based on data history |
US10824734B2 (en) | 2017-11-30 | 2020-11-03 | Bank Of America Corporation | System for recurring information security threat assessment |
US10652264B2 (en) | 2017-11-30 | 2020-05-12 | Bank Of America Corporation | Information security vulnerability assessment system |
US10826929B2 (en) | 2017-12-01 | 2020-11-03 | Bank Of America Corporation | Exterior data deployment system using hash generation and confirmation triggering |
PL3729729T3 (pl) * | 2017-12-21 | 2022-04-19 | Telefonaktiebolaget Lm Ericsson (Publ) | Sposób i zarządzanie węzłem dla zarządzania wymianą deskryptorów przepływu pakietów |
CN108156165A (zh) * | 2017-12-28 | 2018-06-12 | 北京奇虎科技有限公司 | 一种误报检测的方法以及系统 |
US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
US11153122B2 (en) | 2018-02-19 | 2021-10-19 | Nicira, Inc. | Providing stateful services deployed in redundant gateways connected to asymmetric network |
US10498633B2 (en) * | 2018-03-01 | 2019-12-03 | Schweitzer Engineering Laboratories, Inc. | Traffic activity-based signaling to adjust forwarding behavior of packets |
CN112534779A (zh) * | 2018-06-08 | 2021-03-19 | 瑞典爱立信有限公司 | 更新用于应用的pfd规则和相关网络节点的方法 |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11405392B2 (en) | 2018-09-11 | 2022-08-02 | Aveva Software, Llc | Server and system for secure configuration push for DMZ proxy clients |
CN109446022B (zh) * | 2018-10-12 | 2022-08-12 | 厦门市美亚柏科信息股份有限公司 | 一种数据库溢出页异常的检测方法、装置及存储介质 |
CN109740305B (zh) * | 2018-12-26 | 2022-03-18 | 深圳市优博讯科技股份有限公司 | 一种应用程序安装包签名方法、安装方法及电子设备 |
US11159944B2 (en) * | 2019-02-21 | 2021-10-26 | T-Mobile Usa, Inc. | Wireless-network attack detection |
US11012442B2 (en) | 2019-04-11 | 2021-05-18 | Schweitzer Engineering Laboratories, Inc. | Address resolution protocol response handling |
CN110266678B (zh) * | 2019-06-13 | 2022-03-25 | 深圳市腾讯计算机系统有限公司 | 安全攻击检测方法、装置、计算机设备及存储介质 |
CN110417578B (zh) * | 2019-06-20 | 2022-03-11 | 国网辽宁省电力有限公司信息通信分公司 | 一种异常ftp连接告警处理方法 |
US11405363B2 (en) | 2019-06-26 | 2022-08-02 | Microsoft Technology Licensing, Llc | File upload control for client-side applications in proxy solutions |
US11122054B2 (en) | 2019-08-27 | 2021-09-14 | Bank Of America Corporation | Security tool |
CN112787974B (zh) * | 2019-11-05 | 2024-01-02 | 杭州海康威视数字技术股份有限公司 | 一种网关、数据传输方法及电子设备 |
US11477214B2 (en) * | 2019-12-10 | 2022-10-18 | Fortinet, Inc. | Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning |
TWI783195B (zh) * | 2019-12-18 | 2022-11-11 | 中華資安國際股份有限公司 | 網路資安系統、其方法及電腦可讀儲存媒介 |
US11363041B2 (en) * | 2020-05-15 | 2022-06-14 | International Business Machines Corporation | Protecting computer assets from malicious attacks |
US20220116406A1 (en) * | 2020-10-12 | 2022-04-14 | Microsoft Technology Licensing, Llc | Malware detection and mitigation via a forward proxy server |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
CN114338143A (zh) * | 2021-12-27 | 2022-04-12 | 国网浙江省电力有限公司温州供电公司 | 一种信息安全攻防平台的数据层系统 |
US11799761B2 (en) | 2022-01-07 | 2023-10-24 | Vmware, Inc. | Scaling edge services with minimal disruption |
EP4235470A1 (en) | 2022-03-25 | 2023-08-30 | ZOE Life Technologies AG | Method and network component for protecting networked infrastructures |
US20240028494A1 (en) * | 2022-07-20 | 2024-01-25 | Zscaler, Inc. | Dynamic Applicative Session Grouping |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
Family Cites Families (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5598410A (en) | 1994-12-29 | 1997-01-28 | Storage Technology Corporation | Method and apparatus for accelerated packet processing |
US5781550A (en) | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5842040A (en) | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
JPH10107795A (ja) | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
US6119236A (en) | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6591303B1 (en) | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US6088356A (en) | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
US6049528A (en) | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
US5909686A (en) | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
US6775692B1 (en) | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US6006264A (en) | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
US6141749A (en) | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6154775A (en) | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6170012B1 (en) | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6205551B1 (en) | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6466985B1 (en) | 1998-04-10 | 2002-10-15 | At&T Corp. | Method and apparatus for providing quality of service using the internet protocol |
US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
US6633543B1 (en) | 1998-08-27 | 2003-10-14 | Intel Corporation | Multicast flow control |
US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6477651B1 (en) * | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
US6725377B1 (en) * | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
US7643481B2 (en) | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
US7145869B1 (en) | 1999-03-17 | 2006-12-05 | Broadcom Corporation | Method for avoiding out-of-ordering of frames in a network switch |
US6704278B1 (en) | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
US6549516B1 (en) | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
US6735169B1 (en) | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
US7051066B1 (en) | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
US6970913B1 (en) | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US6633560B1 (en) | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
US6742045B1 (en) | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
US6650641B1 (en) | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
US6606315B1 (en) | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
JP2001313640A (ja) | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
US6981158B1 (en) * | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
US20020032797A1 (en) | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for service addressing |
AU2001293080A1 (en) * | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
AU3054102A (en) * | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
US7017185B1 (en) * | 2000-12-21 | 2006-03-21 | Cisco Technology, Inc. | Method and system for maintaining network activity data for intrusion detection |
US7099350B2 (en) | 2001-04-24 | 2006-08-29 | Atitania, Ltd. | Method and apparatus for converting data between two dissimilar systems |
US7239636B2 (en) | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
US20030033463A1 (en) | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
US7522627B2 (en) | 2001-09-14 | 2009-04-21 | Nokia Corporation | System and method for packet forwarding |
US20030084321A1 (en) * | 2001-10-31 | 2003-05-01 | Tarquini Richard Paul | Node and mobile device for a mobile telecommunications network providing intrusion detection |
US7133914B1 (en) * | 2001-10-31 | 2006-11-07 | Cisco Technology, Inc. | Statistics-preserving ACL flattening system and method |
US20030105881A1 (en) * | 2001-12-03 | 2003-06-05 | Symons Julie Anna | Method for detecting and preventing intrusion in a virtually-wired switching fabric |
US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US6856991B1 (en) | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
US7895431B2 (en) | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
US7535907B2 (en) | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2002
- 2002-02-08 US US10/072,683 patent/US8370936B2/en active Active
-
2003
- 2003-02-07 CN CN038079119A patent/CN1656731B/zh not_active Expired - Fee Related
- 2003-02-07 AU AU2003215085A patent/AU2003215085A1/en not_active Abandoned
- 2003-02-07 JP JP2003567028A patent/JP2005517349A/ja active Pending
- 2003-02-07 EP EP03710901.4A patent/EP1481508B1/en not_active Expired - Lifetime
- 2003-02-07 EP EP12190651.5A patent/EP2555486B1/en not_active Expired - Lifetime
- 2003-02-07 WO PCT/US2003/003652 patent/WO2003067810A1/en active Application Filing
-
2012
- 2012-09-14 US US13/616,046 patent/US8635695B2/en not_active Expired - Lifetime
-
2013
- 2013-12-30 US US14/143,794 patent/US9094372B2/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102567684A (zh) * | 2011-12-21 | 2012-07-11 | 成都三零瑞通移动通信有限公司 | 一种针对x卧底窃听类软件的防安装方法 |
Also Published As
Publication number | Publication date |
---|---|
US8370936B2 (en) | 2013-02-05 |
US9094372B2 (en) | 2015-07-28 |
US20130067560A1 (en) | 2013-03-14 |
EP2555486B1 (en) | 2018-11-21 |
EP2555486A2 (en) | 2013-02-06 |
US20030154399A1 (en) | 2003-08-14 |
EP1481508A4 (en) | 2010-07-07 |
CN1656731A (zh) | 2005-08-17 |
US8635695B2 (en) | 2014-01-21 |
EP2555486A3 (en) | 2013-10-30 |
EP1481508B1 (en) | 2017-08-30 |
US20140115688A1 (en) | 2014-04-24 |
EP1481508A1 (en) | 2004-12-01 |
WO2003067810A1 (en) | 2003-08-14 |
AU2003215085A1 (en) | 2003-09-02 |
JP2005517349A (ja) | 2005-06-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
US10505900B2 (en) | Data leak protection in upper layer protocols | |
US7076803B2 (en) | Integrated intrusion detection services | |
US7463590B2 (en) | System and method for threat detection and response | |
US7222366B2 (en) | Intrusion event filtering | |
KR100800370B1 (ko) | 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치 | |
CN111010409B (zh) | 加密攻击网络流量检测方法 | |
US20030101353A1 (en) | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto | |
US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
KR100947211B1 (ko) | 능동형 보안 감사 시스템 | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
RU2703329C1 (ru) | Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак | |
JP3760919B2 (ja) | 不正アクセス防止方法、装置、プログラム | |
Prabhu et al. | Network intrusion detection system | |
KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
Kaskar et al. | A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set | |
Mohammed | Automatic Port Scanner | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
Hunter | A framework for Malicious Host Fingerprinting Using Distributed Network Sensors | |
Nakato | Networks security: attacks and defense mechanism by designing an intelligent firewall agent | |
Krishnamurthy et al. | Stateful intrusion detection system (sids) | |
Hameed et al. | An integrated web/mobile remote surveillance system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee | ||
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Peribit Networks Inc. Address before: American California Patentee before: Juniper Networks Inc. |
|
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110525 Termination date: 20180207 |