CN1656731B - 基于多方法网关的网络安全系统和方法 - Google Patents

基于多方法网关的网络安全系统和方法 Download PDF

Info

Publication number
CN1656731B
CN1656731B CN038079119A CN03807911A CN1656731B CN 1656731 B CN1656731 B CN 1656731B CN 038079119 A CN038079119 A CN 038079119A CN 03807911 A CN03807911 A CN 03807911A CN 1656731 B CN1656731 B CN 1656731B
Authority
CN
China
Prior art keywords
stream
network
tcp
software module
product
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
CN038079119A
Other languages
English (en)
Other versions
CN1656731A (zh
Inventor
K·古鲁斯瓦米
N·祖克
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Peribit Networks Inc
Original Assignee
Juniper Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Juniper Networks Inc filed Critical Juniper Networks Inc
Publication of CN1656731A publication Critical patent/CN1656731A/zh
Application granted granted Critical
Publication of CN1656731B publication Critical patent/CN1656731B/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Abstract

本发明公开了检测和防止网络安全违例的系统和方法(23)。所述系统和方法提供了一种基于网关的分组转发网络安全解决方案,不仅用于检测安全违例,而且通过直接丢弃可疑的分组和连接而防止了安全违例。所述系统和方法采用多种技术来检测和防止网络安全违例(30),包括状态特征检测、业务特征检测和协议异常检测(35)。

Description

基于多方法网关的网络安全系统和方法
发明领域
本发明一般地涉及用于检查和防止网络上安全违例的网络安全系统和方法。更具体地说,本发明提供了基于网关的分组转发网络安全系统和方法,以便不仅检查网络上的安全违例,而且通过直接丢弃可疑的分组和连接而防止它们发生。这些系统和方法采用多种技术来检测和防止入侵,包括状态特征(signature)检测、业务特征检测和协议异常检测。
背景
因特网的迅猛发展使信息传播和共享方式发生了巨大的变化。全球范围数百万人随时使用因特网以电子方式交换大量信息,而且人们还通过因特网参与许多活动,包括通信、商业交易和娱乐。
因特网突破了传统的地理屏障,使得在源网络主机与目的网络主机之间传递信息不需要专用的端对端连接。取而代之的方式是,因特网业务被分成称为“分组”的信息单元,这些分组在任一给定时刻根据来源端与目的地之间最有效的路线,通过网络进行动态路由选择。每个分组包括“首部”,首部指示信息的来源和要发送到的目的地以及通过网络对分组进行路由所需的其它信息。源端与目的地通过与每个网络主机相关联的32位数字的“IP地址”确定。
分组首部符合所有因特网传输中使用的共享“协议”组。那些协议是确定信息交换方式的规范集,所述信息交换指常常在不同制造商提供的且运行不同操作系统的计算机之间进行。因特网协议规定网络如何移动数据,处理错误及允许发送、接收和理解信息。最基本的协议称为“因特网协议”即IP,IP负责格式化分组并通过网络传送分组。诸如UDP、TCP和RTP等传输协议在IP顶部使用,以确保正确接收分组中的数据,并且TCP协议还保证可靠地接收分组。其它特征和功能由与IP和传输协议一起使用的专用协议提供。
虽然因特网协议结构为用户提供了无以伦比的好处,但它也因提供了大量廉价的可能匿名的破坏任一因特网主机(包括包含那些主机的专用网络)的安全的方式,而有利于违法活动。尽管潜在的网络安全漏洞很多,但当前的网络安全技术却不能充分和有效地检测和防止日益复杂的、众多的网络安全违例。现有网络安全技术的示例范围从操作系统控制、密码保护工具和防病毒软件到诸如虚拟专用网、防火墙和入侵检测系统等更复杂的技术。
虚拟专用网(“VPN”)是在诸如因特网等任一共享网络上建立的专用网。VPN试图通过使用安全程序来保护隐私,安全程序涉及在诸如远程办公室中的路由器、膝上型计算机、服务器应用程序等任意两个VPN终端点之间进行认证和加密。此外,VPN经常利用安全遂道协议,如正在开发的标准因特网协议安全(“IPSec”),该协议由用于IP层的一组因特网安全业务组成,包括认证、分组完整性和保密及加密密钥管理。VPN一般集成到防火墙软件中以提高网络安全性。
防火墙是位于专用网关中的一组软件程序,其试图过滤在专用网与诸如因特网等共享网之间流动的信息。防火墙试图保护专用网资源不被外来者使用,并控制专用网用户对外部资源的访问。目前使用的防火墙类型有四种:分组过滤器、电路级网关、应用网关和状态检查。还可能存在组合了所有四种防火墙类型中任意两种或两种以上类型的混合型防火墙。
分组过滤防火墙将专用网上输入和输出IP分组中的首部信息与网络管理员设置的规则表或过滤条件表相比较,以验证分组是否符合表中的要求。如果分组不符合那些规则,则防火墙将拒绝该分组,因而该分组将不被转发到其目的地。除其它信息,由分组过滤防火墙检查的首部信息一般还包括源端与目的地地址、协议类型、输入分组的网络接口、业务方向、路由及连接状态。例如,分组过滤防火墙可指定不允许来自范围从232.181.20.10到232.181.20.255的IP地址的任何UDP分组进入专用网。
通过在防火墙内使用网络地址转换(“NAT),可提高具有分组过滤防火墙的专用网安全性。NAT功能类似电话系统中的专用分组交换机。输出IP分组的所有源地址会被重新写入分配给防火墙的IP地址,以产生分组源于防火墙而非防火墙保护的专用网内部主机的效果。返回的应答分组会被转换并转发到适当的主机。利用NAT,内部主机可连接到防火墙外的主机,但外部主机因只知道防火墙的IP地址而无法直接连接到内部主机。
分组过滤防火墙成本相对较低,并且不影响网络性能,但它们一般无法单独提供充分的安全性。分组过滤规则在复杂的环境中无法管理,不提供用户认证机制并且易于受到诸如IP欺骗(IP spoofing)等形式的攻击。例如,如果黑客可以推测出某个可信IP地址,则黑客可伪照有害分组的IP首部。由于无法区分有效分组和假分组,因此,分组过滤防火墙将不会拒绝有害的分组。
分组过滤防火墙的示例包括用于基于UNIX操作系统的免费发布的软件包IPFilter、按照GNU通用公共许可证免费发布的用于Linux操作系统的SINUS TCP/IP分组过滤器,以及由位于美国加利福尼亚弗里蒙特(CA,Fremont)的Sygate Technologies公司销售的基于协议的个人防火墙PROTM
另一种类型的防火墙称为电路级防火墙,它在打开连接前在网络会话层上运行,以验证TCP/IP会话。电路级防火墙只在发生分组信号交换后才允许TCP分组通过。分组信号交换从源端向目的地发送同步(“SYN”)分组开始,并以目的地将SYN分组和确认(“ACK”)分组发回源端结束。电路级防火墙维护有效的连接表(该表包括会话状态和SYN与ACK分组的序号信息),并在网络分组信息与表中的某个条目匹配时允许分组通过。在允许进行信号交换后传送所有分组,直到会话结束为止。
电路级防火墙为每个会话维护两个连接,一个连接在源端与防火墙之间,另一连接在防火墙与目的地之间。因此,所有输出分组似乎源于防火墙(类似于带有NAT的分组过滤防火墙),即阻止了源端与目的地之间的直接联系。
一旦初始连接建立并提供高度灵活性后,电路级防火墙便具有好的性能。然而,它们无法检查在任一给定连接中传送的分组应用级内容。一旦连接建立后,任何恶意应用或分组便可在连接上运行。
大多数电路级防火墙使用可公开获得的“SOCKS”网络协议来实现,该协议允许SOCKS服务器一侧的主机访问SOCKS服务器另一侧的主机,而无需直接IP可达性。当应用客户机经SOCKS服务器开始与应用程序器的会话时,客户机首先向SOCKS服务器发送它支持的认证方法列表。随后,SOCKS防火墙将这些方法与网络管理员定义的安全策略相比较,选择一种认证方法,向客户机发送消息以告知采用的认证方法,最后对客户机进行认证。在客户机通过认证后,SOCKS服务器在客户机与服务器之间建立虚电路,在电路未关闭之前通过该虚电路传送所有分组。使用SOCKS的电路级防火墙的示例包括由加拿大多伦多的Hummingbird有限公司提供的Hummingbird SOCKS。
为解决电路级防火墙固有的安全风险,开发了在网络应用层运行的应用级防火墙。此类防火墙针对每个允许的应用运行作为专用网与共享网之间中介的应用代理服务器,如FTP代理、HTTP代理、用于电子邮件的SMTP代理等。
通常认为应用代理比分组过滤或电路级防火墙更安全。类似于电路级防火墙,应用代理不允许直接连接并强制就适用性对所有分组进行筛选。然而,应用代理一般比分组过滤或电路级防火墙更慢,因为要在应用层评估所有分组,即通过应用代理的每个分组在到达其最终目的地前必须进行去封装/重新封装。另外,代理服务器可能没有分组转发功能。每个新的业务需要新的代理服务器,并且由于代理高度依赖其它许多系统组件如操作系统、TCP/IP栈和运行时库等才能正确操作,因此,它们易受应用级安全性缺陷和故障的影响。
应用代理一般与内置分组过滤或状态检查功能一起实现。示例包括加利福尼亚州库珀蒂诺的Symantec公司销售的VelociRaptor防火墙、加利福尼亚州圣克拉拉的Network Associates公司销售的Gauntlet防火墙及加利福尼亚圣何塞的Secure Computing公司销售的SidewinderTM防火墙。
分组过滤防火墙、电路级防火墙和应用代理的性能可利用状态检查加以改善。状态检查防火墙实际上是分组过滤防火墙,它不仅检查分组首部,而且检查网络所有通信层中有关分组的信息,如TCP分组首部,以分析经过它的网络业务。
此类防火墙监视任一给定网络连接的状态,并在状态表中汇集有关连接的信息。源于防火墙的每个分组请求记录在状态表中,以便针对状态表中对应的请求分组验证输入响应分组。因此,有关是否拒绝分组的决定不仅基于分组过滤规则表,而且基于已通过防火墙的在先分组建立的上下文。会让请求分组的真的响应分组通过,而拒绝所有其它分组。如果响应分组未在指定的期限内到达,则连接会超时。
具有状态检查功能的分组过滤防火墙还能够检查分组,以允许应用内某些类型的命令而不允许其它类型的命令。例如,状态检查防火墙可允许FTP“get”命令,但不允许“put”命令。另外,状态检查防火墙结合了动态过滤技术,以将暴露的网络端口数减到最少。利用动态过滤,根据分组首部信息,网络端口只在分组流需要时保持打开,从而减少对空闲开放端口的攻击。
状态检查防火墙的示例包括美国专利No.5606668中描述的防火墙和由加利福尼亚州雷德伍德城的Check Point Software Technologies公司销售的名为FireWall-1的防火墙产品。FireWall-1防火墙使网络管理员能够定义和实施一种集中管理的安全策略。该安全策略在中央管理服务器通过图形用户接口客户定义,并下载到整个网络的多个实施点。安全策略是依据安全规则与网络对象如网关、路由器和主机等来定义的。在所有七个网络层检查分组首部数据,并且在所有通信级维护分组的状态信息以验证IP地址、端口号和确定分组安全策略是否允许分组所需的所有其它信息。
状态信息存储在连接或状态表中,连接或状态表根据分组对应的网络连接组织分组,而网络连接在表中用源IP地址、源端口、目的IP地址、目的端口、IP协议类型及包括Kbuf、类型、标志和超时等其它参数表示。防火墙收到分组时,将分组与连接表进行核对以确定是否存在该分组所属的现有连接。如果存在这样的连接,则将分组转发到其网络目的地。如果状态表中不存在该特定分组的匹配连接,则防火墙将其与安全策略作比较以确定是否存在允许分组通过的匹配项。如果存在,则将该连接添加到连接表中,并将属于该会话的所有后续分组立即向前转发,而无需核对策略。因此,连接最初可利用良性分组来建立,随后可能用于传送防火墙会接受的恶意分组。状态检查防火墙产品的另一示例是加利福尼亚州圣何塞的Cisco Systems公司销售的PIX防火墙。
当前可用防火墙的唯一作用是执行组织的网络接入策略。此类接入策略指定哪些主机和协议代表良好的业务(即网络中可允许的业务)以及哪些主机和协议不代表良好的业务。换言之,防火墙只是根据接入策略中体现的预先确定的静态配置来区分好的和坏的业务。防火墙不能够检测和阻止网络攻击。例如,一旦防火墙允许HTTP连接,则它将不能检测通过该连接对web服务器进行的攻击。此外,防火墙不能检测或防止从防火墙内或似乎从防火墙内进行的攻击,例如网络内存在的可将机密信息泄露到外部的特洛伊木马程序。
为尝试弥补防火墙产品在网络安全方面留下的漏洞,开发了“入侵检测系统”并使其与防火墙配合使用。入侵检测系统(“IDS”)收集来自多个系统和网络资源的信息,以分析入侵迹象(即源于网络外部的攻击)和滥用迹象(即源于网络内的攻击)。入侵检测系统可设置在防火墙内部或外部,大多数网络管理员选择将IDS设置在防火墙内部,作为额外的保护以防止防火墙未检测到的滥用和入侵。
有三种类型的入侵检测系统:基于桌面的IDS、基于主机的IDS和基于网络的IDS。基于桌面的IDS检查各系统上的活动,寻找对文件或注册表条目的可能攻击,从而提供文件级保护。基于桌面的IDS对于直接连接到因特网但不是任一扩展网络组成部分的单个用户可能很有用。一款流行的基于桌面的IDS是由加利福尼亚州亚特兰大的Internet Security Systems公司销售的BlackICE Defender。
基于主机的IDS在网络主机如web或应用主机上运行,跟踪并分析主机系统应用和操作系统日志中的条目,以检测攻击和被禁止的活动。基于主机的IDS部署起来简单,成本低,并且不需要任何其它硬件。因为它们监视主机本地的事件,所以它们可以检测网络不一定检测的攻击和被禁止的活动。然而,由于它们消耗大量资源,而可能对主机性能产生不利的影响。另外,网络上获得高级别权限的成功入侵可以禁用基于主机的IDS,并完全消除其操作痕迹。基于主机的IDS示例包括加利福尼亚州库珀蒂诺Symantec公司销售的Intruder Alert IDS和俄勒冈州波特兰Tripwire公司销售的TripwireIDS。
基于网络的IDS(“NIDS”)设计为通过检查流经网段的所有分组来同时保护多个网络主机。NIDS通常由设置在网络中不同点上的一组单用途传感器或主机组成。这些单元监视网络业务,对该业务执行本地分析,并向中央管理单元报告攻击。不同于通常只检查涉及IP地址、端口和协议类型的分组首部信息的防火墙,NIDS可设计为检查网络分组首部中可能存在的所有不同标志和选项以及分组数据或净荷,从而检测恶意创建的旨在使防火墙忽视的分组。
最常见的网络入侵检测系统是基于特征的系统以及协议异常系统(也称为协议分析系统)。基于特征的系统寻找网络业务中已知的攻击模式或特征。特征可以是匹配部分网络分组的简单字符串,或者可以是复杂的状态机。通常言,特征可能涉及某个过程,例如特定命令的执行,或者可能涉及某种结果,例如根壳的获得(acqusition ofthe root shell)。当基于特征的NIDS在分组中发现匹配特征时,它接着作出响应:执行用户定义的操作,发送警告或另外还记录信息。
市场上大多数基于特征的NIDS使用分组特征检测,这意味着它们为找出攻击模式的匹配项要检查业务流中每个分组的原始字节。因此,这些系统具有几个缺点。首先,由于需要搜索整个业务流,因此,网络性能大大降低。其次,由于要搜索较多的数据,特征更可能匹配不相关的数据并导致错假告警。第三,由于分组特征NIDS只能发现写有特征的分组中的攻击,因此无法检测到新的、经常很复杂的攻击。最后,当网络业务量太大时,分组特征NIDS可能无法检查分组。
基于特征的NIDS示例包括美国专利No.6279113中描述的系统、加利福尼亚州圣何塞的Cisco Systems公司销售的SecureIDS系统、佐治亚州亚特兰大的Internet Security Systems公司销售的RealSecure系统及加利福尼亚州库珀蒂诺的Symantec公司销售的NetProwler系统。
与基于特征的NIDS检查网络业务是否存在一些预先定义的入侵相反,“协议异常”检测NIDS检查网络业务在普遍认可的因特通信网规则方面是否出现异常。这些规则由用于网络设备之间通信的开放协议、公布的标准和销售商定义的规范来限定。一旦识别出异常,则可将其用于作出网络安全判决。
协议异常检测NIDS与基于特征的NIDS相比具有几个优点,例如能够检测未知的攻击,包括特征匹配无法检测的攻击以及稍加修改以避免可由基于特征的NIDS检测到的已知攻击。例如,协议异常检测NIDS可检测“FTP反弹(FTP bounce)”攻击和“溢出(overflow)”攻击;“FTP反弹”攻击在攻击者告诉FTP服务器打开到不同于用户地址的IP地址的连接时发生,“溢出”攻击利用常见的溢出编程错误。
尽管如此,仍存在符合协议规范因而协议异常检测系统无法检测到的攻击。此类攻击需要采用特征检测方法或其它检测方法。
协议异常检测NIDS的示例包括佐治亚州亚特兰大的InternetSecurity Systems公司销售的BlackICE Guard和加利福尼亚州雷德伍德城的Recourse Technologies的公司销售的ManHunt。佐治亚州亚特兰大的Lancope的公司销售的StealthWatch提出了检测因协议异常引起的异常网络行为的替代方法。StealthWatch建议采用“基于流”的体系结构,以刻划与单一业务相关联的两个主机之间的分组流,如使用web浏览器访问单个web服务器,或者使用电子邮件程序访问电子邮件服务器。
虽然上述NIDS可提高网络安全性,但它们有几个缺点。首先,基于特征的NIDS不评估网络业务上下文中的特征,因而经常产生错假告警。例如,基于特征的NIDS可能扫描所有电子邮件消息以查找“I love you”字符串,用于检测具有该名称的臭名昭著的因特网蠕虫病毒,这对于一些个人电子邮件会产生错假告警。其次,上述大多数NIDS使用单一检测方法,不足以全面检测入侵。因此,在NIDS未检测到正在发生的攻击时会产生误否定(false negative)。例如,黑客通过使用协议异常NIDS无法检测到的复杂分组和协议篡改方法,欺骗NIDS使其以为网络业务源自目标主机,这样业务便可通过NIDS而最终感染目标主机,因此,协议异常NIDS会生成误否认。
另外,一些NIDS不能检测攻击者用于确定可利用的潜在安全和系统缺陷的“端口扫描”和“网络扫描”。在攻击者试图识别网络上允许哪些业务并识别哪些网络端口是好的攻击入口时,通常会进行端口扫描和网络扫描。攻击者可尝试单个网络上的每个端口(端口扫描)或全部网络上的某个端口(网络扫描)。也就是说,端口扫描和网络扫描不是攻击,而是即将来临的攻击的指示器。无论是基于特征的NIDS还是异常检测NIDS,它们都不能识别端口扫描和网络扫描,这是因为扫描符合用于传送分组的特定网络协议,并且扫描模式未出现在特定网络会话内。
上述大多数NIDS的其它缺点是它们需要分别进行管理,所有传感器信息驻留在传感器本身上。也就是说,网络安全管理员需要访问每个单独的传感器以激活或检测特征,执行系统管理备份等。随着传感器数量的增加,传感器管理也变得更加困难,尤其是考虑到生成的日志经常不完整。如果任一传感器发生故障,则要重新配置替换传感器并对其进行调节,以匹配原传感器。
另外,NIDS无法直接防止攻击。NDIS作为被动入侵检测机制发挥作用,不能防止攻击发生。网络上发生攻击时,这些系统可在攻击已经发生后通知网络管理员采取措施,但自身无法防止攻击。NIDS不直接位于业务路径上,因而无法主动作出反应以暂停被攻击的网络连接,或者甚至将入侵分组重定向到更安全或更可靠的系统。
美国专利No.6119236中介绍了解决此问题的一种解决方案,该专利建议在检测到攻击时由NIDS指示防火墙采取措施,以防攻击扩散。也就是说,NIDS不直接防止攻击,而只是简单地中断它,使攻击不会造成更大的破坏。在这种情况下,NIDS可能不小心中断有效的网络业务。例如,如果黑客在使用主要因特网服务提供商的IP地址攻击网络,并且NIDS系统通知防火墙阻止源于此IP地址的分组,则无论是否有恶意,因特网服务提供商的所有用户均将被拒绝访问网络。
解决当前NIDS的一些缺陷的另一建议是使用TCP重置分组(reset packet)来防TCP攻击。在NIDS装置检测到TCP攻击时,它向源网络主机与目的网络主机二者发送TCP重置分组,以重置TCP连接并防止攻击发生。也就是说,此NIDS也不直接防止攻击,而只是简单地中断攻击,使攻击不会造成更大的破坏。然而,这种方法存在几个问题。首先,NIDS需要一段时间才可确定发生了入侵尝试,应该发送重置分组。在此期间,入侵分组及很可能还有其后的一些分组可以传送到目标网络并到达目的主机。因此,在检测到入侵后发送任何TCP重置分组可能太迟了。其次,TCP重置分组只可用于TCP协议,并因此无法用于防止使用UDP或其它无连接协议进行的攻击。最后,由于TCP重置分组必须携带小接收窗口内的有效序号,因此,经验丰富的攻击者可发送其入侵分组,以使服务器的接收窗口迅速变化,使得NIDS难以确定在TCP重置分组中放置哪一个序号,从而无法防止攻击。
无论单独使用或组合使用防火墙或NIDS产品,都不能检查允许进入网络的分组,也不能通过直接丢弃那些被禁止的分组或关闭连接,对被禁止的分组或活动作出反应。另外,没有一种混合NIDS集成了特征检测、协议异常检测和其它高级方法如业务特征检测,以实现更高的入侵检测精度并因此降低误肯定与误否定率。也没有一种NIDS提供集中的基于策略的管理解决方案,用以控制所有NIDS传感器。因此,使用当今可用的技术和产品来确保网络安全即使可行,也不实用。
发明概述
鉴于以上论述,本发明目的是提供能够精确、全面地检测并防止网络安全违例,同时假告警率低的网络安全系统和方法。
本发明的又一目的是提供可以检查允许进入网络的分组并通过直接丢弃那些被禁止的分组或关闭连接,对所述被禁止的分组或活动作出反应的网络系统和方法。
本发明的又一目的是提供集成了状态特征检测、业务特征检测、协议异常检测以及其它检测和防止网络安全违例的方法的网络系统和方法。
本发明的再一目的是提供允许网络安全管理员集中管理网络中设置的所有网络入侵检测传感器的网络安全系统和方法。
通过提供根据状态特征检测、业务特征检测和协议异常检测来检测和防止网络安全违例,且假告警率低的多方法网络安全系统和方法,实现了本发明的这些和其它目的。多方法网络安全系统在随后称为“MMIDP系统”,它由直接设置在网络业务路径中的相应软件和硬件部件组成,以在任何输入或输出的可疑分组到达网络主机或外部网络之前丢弃这些分组。MMIDP系统可单独使用,或者与防火墙结合使用。
结合了本发明的系统和方法的MMIDP最佳实例具有下列四个组成部分:(1)网络入侵检测和防止传感器;(2)网络入侵检测和防止中央管理服务器;(3)网络入侵检测和防止中央数据库;以及(4)网络入侵检测和防止图形用户接口。
网络入侵检测和防止传感器由可设置在网络业务路径中多个网关点上的硬件设备组成。给定的传感器可在网关模式下运行,以在任何输入或输出的可疑分组到达网络主机或外部网络之前将其丢弃。或者,传感器可在被动模式下运行,以检测攻击并在网络攻击发生时,向网络安全管理员发送告警。
传感器利用下列六个软件模块来检测并防止攻击:(1)IP段合并模块;(2)流管理软件模块;(3)TCP重装软件模块;(4)协议异常检测模块;(5)状态特征检测模块;以及(6)业务特征检测模块。
IP段合并软件模块重建在到达传感器前被分段的分组,即此模块将分组分段组合成分组。在重建分组后,流管理软件模块将这些分组组合成“分组流”,并这些分组流与单个通信会话相关联。也就是说,组织分组的依据是:分组是从网络客户机流到中央管理服务器还是以相反方向流动,以及分组是否为TELNET会话、FTP会话、HTTP会话等的组成部分。另外,流管理软件模块能够将控制与同一会话内的辅助流相关联。例如,将FTP控制流及其相关FTP数据流全部组合到同一FTP会话中。所有会话中的TCP分组由TCP重装软件模块组织,此模块将无序到达的TCP分组排序并消除分组重叠(packet overlap)以及删除被不必要地重传的重复分组。
IP段合并、流管理器和TCP重装软件模块使网络入侵检测和防止传感器可以比其它当前可用网络入侵检测系统更快、更精确的速度搜索攻击。
协议异常检测、状态特征检测和业务特征检测软件模块检测并防止入侵分组扩散到专用网络或外部网络。入侵分组是含有与网络安全违例相关联的网络攻击标识符的那些分组。除其它之外,此类网络攻击标识符可以是协议异常、攻击特征、业务特征或这些项中一项或多项的组合。协议异常检测模块查看由流管理软件模块排列的分组流,以确定分组中网络协议规范方面的异常。状态特征检测模块将已知的攻击特征与TCP分组情况下的TCP数据流相比较,以及与用其它网络协议传送的分组首部和数据相比较。业务特征模块将业务特征与网络业务相匹配,以检测诸如端口扫描和网络扫描等攻击。传感器会在判定为恶意输入分组的分组到达任一网络主机之前将其丢弃,同样,传感器会在判定为恶意输出分组的分组到达外部网络之前将其丢弃。如果给定会话的一个或多个分组被视为恶意分组,传感器可能还会丢弃会话中的所有分组。
传感器还配有IP路由软件模块和IP转发软件模块,以将输入和输出分组路由到网络中的相应点(IP路由软件模块),并使用路由信息将分组转发到其目的地(IP转发软件模块)。IP转发软件模块可全权控制允许哪些分组通过传感器,并且不会让其它任何软件模块视为恶意的分组通过。
网络入侵检测和防止中央管理服务器使用网络安全管理员指定的单个网络安全策略来控制网络上设置的所有多个传感器。安全策略定义要检查的业务和传感器应寻找的攻击。除其它功能以外,服务器可验证安全策略,将安全策略加载到所有传感器,维护策略变更历史,以及从传感器收集日志和告警以便存储、显示和通知。服务器还让中央数据库存储网络安全策略,包括安全策略、攻击特征、日志和告警及其它报告信息的更旧的和经过更新的版本。
网络安全管理员可通过网络检测和防止图形用户接口查看日志和告警。可从任一连接到网络的客户机访问用户接口,用户接口允许访问所有管理服务器和传感器功能。用户接口使网络安全管理员能够查看来自传感器和服务器的信息,以确定网络上发生的事件。传感器和服务器提供的信息用报告来组织,通过这些报告可以访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员使用用户接口来定义网络安全策略,并命令中央管理服务器将安全策略分发到一些或所有传感器。用户接口、服务器与传感器之间的所有通信受加密和认证机制保护。
概括地说,在一方面,本发明提供实施并利用防止FTP连接期间安全违例的技术的方法和设备。网络入侵和检测传感器重建分组分段,将分组分段组织成FTP分组流,并将多个TCP分段重装成TCP流。软件模块通过确定FTP分组流是否为FTP端口命令的一部分,检查TCP流是否存在协议异常。如果软件模块确定FTP分组流是FTP端口命令的一部分,则传感器将用户IP地址与TCP流中任何地方发现的任一端口命令IP地址相比较。如果传感器确定用户IP地址与端口命令的关联IP地址不匹配,则传感器会丢弃FTP分组流并关闭FTP连接。
概括地说,在另一方面,本发明实施并利用防止SMTP连接期间安全违例的技术的方法和设备。网络入侵和检测传感器重建用户发送的分组分段,将分组分段组织成SMTP分组流,并将多个TCP分段重装成TCP流。软件模块确定TCP流中是否存在SMTP命令,并在存在SMTP命令时,传感器搜索SMTP命令中的攻击特征。如果传感器在SMTP命令中检测到攻击特征,则传感器会丢弃该SMTP分组流并关闭SMTP连接。
特定的实施方案可包括如下的一个或多个特征。
攻击特征可以是wiz命令。
有利的是,本发明的系统和方法可准确及时地检测和防止网络安全违例。所述那些系统和方法能够以低假告警率检测当前网络安全产品检测不到的许多攻击。另外,本发明的系统和方法允许对组织的网络安全进行方便、有用且具成本效益的集中管理。
附图简述
通过结合附图阅读下面的详细说明,可明白本发明的上述和其它目的,附图中类似的标号表示类似的部件,在附图中:
图1是受防火墙和网络入侵检测系统保护的现有技术网络环境示意图;
图2是MMIDP系统公开实例中采用的软件和硬件组件的示意图;
图3是优选MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图4是替代MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图5是另一替代MMIDP系统及本发明系统和方法的网络运行环境的示意图;
图6是在网络入侵检测和防止传感器中使用的示例性软件模块的示意图;
图7是由流管理软件模块构建的示例性流表(flow table);
图8是表示新分组到达网络入侵检测和防止传感器时流管理软件模块所执行的示例性步骤的流程图;
图9是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,协议异常检测软件模块所执行的示例性步骤的流程图;
图10是专用网所支持的协议的示例性表;
图11是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,状态特征检测软件模块所执行的示例性步骤的流程图;
图12是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,业务特征检测软件模块所执行的示例性步骤的流程图;
图13是表示确定输入或输出分组有效性时,网络入侵检测和防止传感器执行的示例性步骤的流程图;
图14是网络入侵检测和防止图形用户接口所执行的示例性功能的示意图;
图15是网络入侵检测和防止中央管理服务器所执行的示例性功能的示意图;
图16是表示网络上即将发生FTP反弹攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图;以及
图17是表示网络上即将发生SMTP“wiz”攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。
本发明的详细说明
参照图1,它表示受防火墙和网络入侵检测系统保护的现有技术网络环境的示意图。因特网19与专用网17之间的连接由防火墙保护,其中专用网由服务器16a、16c和计算机16b、16d组成。防火墙18检查从因特网19流到专用网17的所有分组,并控制专用网17中用户对外部资源的访问。不符合网络接入策略预先确定的静态试探法(static heuristics)的所有分组将被防火墙18拒绝,不允许进入专用网17。
网络入侵检测系统(NIDS)20设置在防火墙18之后,用于检查防火墙18允许进入网络17的分组。NIDS 20是被动装置,只能够向专用网17的网络安全管理员发送告警以警告专用网17正在受到攻击,或者在某些情况下,只能够在检测到攻击时命令防火墙18采取措施。
现在参照图2,图中显示了MMIDP系统公开实例中使用的软件和硬件组件的示意图。MMIDP系统23安装在专用网上,用于检测和防止网络上的安全违例。MMIDP系统23由MMIDP传感器25a-d、MMIDP中央管理服务器30、MMIDP数据库35及MMIDP图形用户接口(“GUI”)40a-d组成。
MMIDP传感器25a-d是设置在专用网中多个网关点上,也即设置在充当到其它网络如因特网的入口的任意网络点上的硬件设备。MMIDP传感器25a-d全部由MMIDP服务器30集中管理。网络管理员使用MMIDP GUI 40a-d定义网络安全策略,并命令MMIDP中央管理服务器30将安全策略分发到所有MMIDP传感器25a-d。网络安全策略定义要检查的业务和MMIDP传感器25a-d应寻找的攻击。
在一个优选实施例中,MMIDP 25a-d在网关模式下运行,通过在所有可疑分组到达其在专用网内部或外部的预期接收方之前将其丢弃而防止攻击,或者通过中断或关闭发生攻击的网关节点来防止攻击。在网关模式下运行的MMIDP传感器25a-d不但检查网络攻击,而且防止攻击发生。或者,MMIDP传感器25a-d可在被动模式下运行,以检测攻击并在发生网络攻击时向网络安全管理员发送可于MMIDP GUI 40a-d中显示的告警。网络安全管理员随后可决定采取适当的措施来控制网络攻击。
MMIDP传感器25a-d配备了下列八个对网络分组进行操作以检测和防止网络安全违例的软件模块:(1)IP段合并软件模块;(2)流管理软件模块;(3)TCP重装软件模块;(4)协议异常检测软件模块;(5)状态特征检测软件模块;(6)业务特征检测软件模块;(7)IP路由软件模块;以及(8)IP转发软件模块。
MMIDP传感器25a-d全部由MMIDP服务器30集中管理。MMIDP服务器30利用MMIDP GUI 40a-d来验证网络安全管理员定义的网络安全策略(MMIDP GUI 40a-d将安全策略传送给服务器30),将安全策略加载到一些或所有MMIDP传感器25a-d,维护策略变更历史,以及从MMIDP传感器25a-d收集日志和告警以便存储、显示和通知。另外,MMIDP服务器30还让MMIDP数据库35存储网络安全策略,包括策略、攻击特征、日志和告警及其它报告信息的更旧的和经过更新的版本。
网络安全管理员使用MMIDP GUI 40a-d分析MMIDP传感器25a-d如何处理输入和输出网络分组。可从连接到网络的任一客户机访问MMIDP GUI 40a-d,MMIDP GUI 40a-d允许访问MMIDP传感器25a-d和MMIDP服务器30的所有功能。MMIDP GUI 40a-d使网络安全管理员能够查看源于MMIDP传感器25a-d和MMIDP服务器30的信息,以确定网络上发生的事件,并在必要时采取任何后续措施。MMIDP传感器25a-d和MMIDP服务器30提供的信息用报告来组织,通过这些报告可以访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员可以指定将MMIDP数据库35中存储的特征组中的哪些特征用于检测和防止攻击以及创建新特征。MMIDP传感器25a-d、MMIDP服务器30与MMIDP GUI 40a-d之间的所有通信受加密和认证机制保护。
图3是优选MMIDP系统及本发明系统和方法的网络运行环境的示意图。MMIDP传感器45a-c设置在专用网的网关点处,专用网由远程办公局域网50、非军事区(“DMZ”)55以及由有线网65与无线网70形成的局域网60组成。
有线网65是连接MMIDP GUI 110a、个人计算机用户67b和笔记本用户67c的局域网60内的局域网。无线网70是通过基站72连接PDA用户73a与无线电话用户73b的局域网60内的无线局域网。DMZ 55是专用网中的中性区,专用网由邮件服务器75与web服务器80组成,以处理来自网络内部用户及网络外部用户的所有邮件和web访问请求。DMZ 55用作又一安全层,以防外来用户访问专用网中除邮件服务器75与web服务器80以外的其它服务器。本领域的技术人员应理解,远程办公局域网50、局域网60和DMZ 55可包括任何能够经有线或无线网络连接到因特网或其它使用常见协议运行的网络的电子装置,如个人计算机、笔记本计算机、个人数字助理、无线电话系统和视频游戏系统等。
MMIDP传感器45a-c位于防火墙85a-b内专用网的多个网关点处,以检查输入专用网的防火墙85a-b认为安全的所有输入分组以及防火墙85a-b未检查的所有输出分组。将MMIDP传感器45a-c置于防火墙85a-b内减少了MMIDP传感器45a-c需要分析的业务,这是因为只需要检查防火墙85a-b接受的分组流和连接。另外,将MMIDP传感器45a-c置于防火墙85a-b内,允许网络安全管理员评估防火墙85a-b的性能。防火墙85a-b可以是分组过滤防火墙、电路级防火墙、应用级防火墙或状态检查防火墙。防火墙85a-b最好是作为因特网90入口点的状态检查防火墙,其中防火墙85b连接到路由器95,路由器95用于将输入的网络分组路由到DMZ 55或局域网60。
局域网60中的MMIDP服务器100能够对MMIDP传感器45a-c进行集中管理。MMIDP服务器100还维护MMIDP数据库105以存储网络安全策略、攻击特征、日志和告警及其它报告信息。
网络安全管理员使用MMIDP GUI 110a-c来定义网络安全策略,并指示MMIDP中央管理服务器100将安全策略分发到一些或所有MMIDP传感器45a-c。网络安全策略定义了要检查的业务和MMIDP传感器45a-c应寻找的攻击。MMIDP GUI 110a-c使网络安全管理员能够查看来自MMIDP传感器45a-c和MMIDP服务器100的信息,以确定由远程办公局域网50、DMZ 55和局域网60形成的网络中发生的事件。由MMIDP传感器45a-c和MMIDP服务器100提供的信息用报告来组织,通过这些报告可访问所有检测到的攻击和入侵的列表以及其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警等统计信息。另外,网络安全管理员可以指定将MMIDP数据库105中存储的特征集中的哪些特征用于检测和防止攻击以及创建新特征。本领域技术人员应理解,MMIDP GUI 110a-c是联网客户机,它们可设置在通过因特网90接入MMIDP服务器100的任一网络上。
现在参照图4,图4是替代MMIDP系统及本发明系统和方法的网络运行环境的示意图。在此替代实施例中,MMIDP传感器45a-b设置在防火墙85a-c外,这样,MMIDP传感器45a-b为因特网90的入口点。另外,MMIDP传感器45b能够支持不止一个网络接口,如网络连接47a和网络连接47b。在网络安全管理员最担心外部攻击的情况下,可使用此替代实施例。将MMIDP传感器45a-b设置在防火墙85a-c外使网络安全管理员可观察通常被防火墙阻塞,不会被内部系统检测到的所有业务。
现在参照图5,图5是另一替代MMIDP系统及本发明系统和方法的网络运行环境的示意图。在此替代实施例中,MMIDP传感器45a-b完全负责由远程办公局域网50、DMZ 55和局域网60形成的专用网的安全。没有使用防火墙来保护专用网。MMIDP传感器45a-b对专用网中的所有输入和输出分组进行分析。在网络安全管理员确信MMIDP传感器45a-b能够处理输入和输出网络的业务,或网络安全管理员没有投入必需的时间和资金购买必须与网络中的其它系统集成并完全兼容的附加防火墙系统的情况下,可使用此替代实施例。
现在参照图6,图6是在网络入侵检测和防止传感器中使用的示例性软件模块的示意图。MMIDP传感器25a-d使用以下八个软件模块来检测并防止网络安全攻击:(1)IP段合并软件模块115;(2)流管理软件模块120;(3)TCP重装软件模块125;(4)协议异常检测软件模块130;(5)状态特征检测软件模块135;(6)业务特征检测软件模块140;(7)IP路由软件模块145;以及(8)IP转发软件模块150。
IP段合并软件模块115重建在到达MMIDP传感器25a-d前分段的分组。当分组大于网络中允许的最大分组大小时,在网络网关对其进行分段处理。分组根据因特网工程任务组RFC 815标准中指定的算法重装。该算法可通过使缓冲区长度等于正在重装的分组的长度,重装带有任何可能分段重叠和重复模式,以任意顺序到达的任意数量的分组分段。分组长度在分组首部中指定。IP段合并软件模块115还对分组分段执行安全验证检查,抛弃并报告其参数(如分组长度或分组偏移)已知为恶意并具有潜在危险的分段。
在IP段合并软件模块5重建分组后,流管理软件模块120将分组组织成“分组流”(也称为流),并将其与单个通信会话相关联。分组流是从源端流到目的地的分组序列。也就是说,依据下列条件来组织分组:它们是源于专用网并流向外部网络还是正好相反,以及它们是否是TELNET会话、FTP会话、HTTP会话等的组成部分。控制和数据流组合到同一会话中。流管理软件模块120将输入和输出专用网的所有分组流组织成流表,流表用散列表实现,以便软件模块130、135和140访问。
现在参照图7,它显示了流管理软件模块构建的示例性流表。流表15实现为散列表,它将进入MMIDP传感器25a-d的分组组织成分组流和会话。散列表可具有“n”个单元或散列表元,如针对流表155显示的8个散列表元。表中的每个散列表元包括按散列值寻址的指向分组流描述符链接表的指针。散列值由理想散列函数计算,该函数将由<源IP地址、源端口、目的IP地址、目的端口、协议>组成的5元组值混编成1到“n”之间的一个独特整数。例如,流表155包含散列表表元153a-h,其中每个散列表元通过介于1到8之间的整数散列值寻址。此外,每个分组流描述符通过5元组键寻址,该5元组键专用于该流并由该流的5元组<源IP地址、源端口、目的IP地址、目的端口、协议>组成。
通过每个键寻址的分组流描述符由有关每个特定分组流的信息组成,包括上述的5元组和属于下述分组流的分组列表。例如,散列表元153a指向分组流描述符156a和156b,而散列表元153c指向分组流描述符157。另外,此列表中的每个分组流与某个会话相关联,如TELNET会话161、FTP会话162和HTTP会话163。关联由双向指针(由图7中的箭头表示)实现,这样每个分组流描述符指向一个会话,并且该会话又回指每个分组流描述符。双向指针使协议异常检测软件模块130、状态特征检测软件模块135及业务特征检测软件模块140能够迅速、精确地检索有关输入分组流及其相关会话的信息。例如,分组流描述符156a包含有关从源端A到目的地B的TELNET流以及属于该分组流的分组列表的信息。由同一散列键寻址(和属于同一散列表元)的分组流描述符可指向不同的会话,并且属于同一会话的分组流描述符可通过不同的散列键寻址。例如,分组流描述符156a-b均属于散列表元153a,但分组流描述符156a与TELNET会话161相关联,而分组流描述符156b与FTP会话162相关联,FTP会话162还与分组流描述符157、158和159b相关联,而这些描述符均属于不同的散列表元。
图8是表示新分组到达网络入侵检测和防止传感器时流管理软件模块所执行的示例性步骤的流程图。新的分组流到达MMIDP传感器25a-d时,流管理软件模块120在步骤170中识别用于分组的来源、目的地、源端口、目的端口及协议,以便计算理想的散列函数,在步骤175中利用该散列函数将5元组标识符映射到不同的整数键。在步骤180中,流管理软件模块120判断该键是否指向散列表中已经存在的分组流描述符。如果该键与现有分组流描述符不对应,则在步骤185中将新的分组流描述符插入表中。
在步骤190中,系统提取输入分组的分组流描述符指针。最后,在步骤200中,流管理软件模块120将步骤190中提取的指向分组流描述符及其对应会话的指针传递给检测模块130、135和140。这使协议异常检测软件模块130、状态特征检测模块135和业务特征检测软件模块140能够迅速、精确地从输入分组流描述符指针中检索出有关输入分组流描述符及其相关会话的信息。
再参照图6,流表上所有分组流中的TCP分组由TCP重装软件模块125重装。TCP重装软件模块125按正确的顺序排列作为分组流组成部分的TCP分组,同时删除重复的分组和分组重叠。每个TCP分组在其首部中含有序号,这使软件模块125能够在TCP分组失序到达时,或者在TCP分组因在网络中被延迟的时间超过网络容许的时限而被不必要地重传时,按其正确顺序重新排列TCP分组。
IP段合并软件模块115、流管理软件模块120和TCP重装软件模块125使MMIDP传感器25a-d能够比其它当前可用的入侵检测系统更快、更精确地检测和防止安全攻击。协议异常检测软件模块130、状态特征检测软件模块135和业务特征检测软件模块140检测入侵分组并防止它们扩散到专用网或外部网络。
现在参照图9,图9是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,协议异常检测软件模块所执行的示例性步骤的流程图。协议异常检测软件模块130检查流管理软件模块125在流表155中排列的分组流,以确定非TCP分组和TCP数据流中网络协议规范方面的异常。在步骤215中,协议异常检测软件模块130根据由流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤220中,协议异常检测软件模块130检查分组流和会话,以确定需要检查哪些协议以发现异常。在步骤225中,协议异常检测软件模块130通过查询协议数据库来执行高速协议验证,所述协议数据库包含了MMIDP系统23支持的协议列表和每个协议允许的操作。协议异常检测软件模块130查询该协议数据库以确定输入分组是否符合用于传送它们的协议,以及非TCP分组或TCP数据流中包含的操作或命令是否得到授权或为该协议所允许。步骤220和225使协议异常检测软件模块130能够比其它一般的异常检测系统更迅速、精确地检查协议异常。如果协议数据库中的协议规范与分组中的协议规范不匹配(步骤230),则在步骤235中丢弃分组。
现在参照图10,图10是专用网所支持的协议的示例性表。协议表245列出了MMIDP系统23支持的协议及其对应的RFC标准规范中的一些规范。本领域的技术人员应理解,专用网也可支持诸如ICMP等协议表245中未列出的其它协议。
再参照图6,状态特征检测软件模块135根据用于传送分组的网络协议将已知的攻击特征与分组首部和数据相作比较。每次进行特征更新时,软件模块135从MMIDP服务器30运行的MMIDP数据库35下载已知的攻击特征。每当网络安全管理员或MMIDP系统23销售商了解到新的特征攻击模式时便会进行特征更新。最好在因特网或其它公共论坛中描述了新特征特征的一周内更新新特征。
特征只与数据流或数据分组相关部分作比较。这是利用两种机制来完成的。第一种机制确保特征只与相关分组流的业务作比较。例如,不会将SMTP特征与FTP数据作比较。第二种机制对业务进行分析以了解分组和数据流通信状态。此分析使MMIDP例如可区分SMTP命令与SMTP数据行或者区分FTP用户名与FTP文件名。也就是说,状态特征检测软件模块135将与数据协议相关的特征与数据的相关部分作比较。例如,寻找某一SMTP命令的特征不但只与SMTP业务作比较,而且比较局限于SMTP业务中被分析为SMTP命令的内容。也就是说,通过检测分组流会话项的属性,如流表155中的会话151-163,特征检测软件模块135能够确定哪些特征需要与分组流作比较。由于只需要分析对分组流有意义的特征,因此,这显著提高了特征检测软件模块135的性能。
现在参照图11,图11是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,状态特征检测软件模块所执行的示例性步骤的流程图。在步骤210中,状态特征检测软件模块135根据由流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤260中,软件模块135查询MMIDP数据库35以发现与输入数据流或分组相关的特征。相关特征是在从流表检索出的分组流和会话上下文中只会被视为攻击的那些特征。相关特征在存储到数据库35中时转换成正则表达式。正则表达式是描述字符串部分的模式。例如,正则表达式“[0123456789]”匹配基于UNIX的操作系统中的任一单个数字。将特征转换成正则表达式使软件模块能够有效地将特征与分组相比较。
在步骤265中,软件模块135检测输入分组是否属于TCP流。如果不属于TCP流,则在步骤275中使用例如确定性有限状态机(“DFA”)将特征与输入分组作比较。DFA特征匹配构建对应每个正则表达式的状态机器,以迅速判断输入分组中是否存在正则表达式。如果输入分组是TCP流,则将特征与整个TCP数据流比较(步骤270)。
如果发现任何匹配特征(步骤280),则在步骤290中由软件模块135丢弃对应的分组及其所属流。否则,没有匹配特征的输入分组会传递给业务特征检测软件模块140。本领域的技术人员会理解,可将除DFA匹配外的其它模式匹配算法用于匹配攻击特征。
再参照图6,业务特征软件模块140将业务特征与网络业务作比较,以检测例如端口扫描和网络扫描。业务特征从MMIDP服务器30维护的MMIDP数据库35下载到软件模块140。
现在参照图12,图12是表示分组到达在网关模式下运行的网络入侵检测和防止传感器时,业务特征检测软件模块所执行的示例性步骤的流程图。业务特征检测软件模块140采取的步骤类似于状态特征检测软件模块135为检测攻击特征所采取的那些步骤。在步骤310中,业务特征检测软件模块140根据流管理软件模块120传来的指向分组流描述符和会话的指针访问与到达MMIDP传感器25a-d的分组对应的分组流描述符和会话。
在步骤315中,业务特征检测软件模块140查询MMIDP数据库35以发现与输入分组流相关的特征。相关特征是通过检查输入分组所属分组流的协议而被发现的。例如,如果输入分组是ICMP分组流的组成部分,则软件模块140仅会考虑基于ICMP地业务特征。
在步骤320中,将业务特征与输入数据流或分组匹配。如果发现任何匹配特征,则在步骤325中,软件模块140会在步骤325中按业务特征指定的那样更新特征特定的计数。例如,特征计数可统计在给定时期从同一IP地址联系了多少不同的主机等。如果特征计数高于预定阈值(步骤330),则软件模块140在步骤335中生成要在MMIDP GUI 40a-d上显示的告警。
再参照图6,MMIDP传感器25a-d还配有IP路由软件模块145和IP转发软件模块150,以将输入和输出分组路由到网络中的适当点(IP路由软件模块145),并使用路由信息将分组转发到其目的地(IP转发软件模块150)。IP转发软件模块全权控制被允许通过MMIDP传感器25a-d的分组,并且不会让其它软件模块视为恶意分组的任何分组通过。
现在参照图13,图13是表示确定输入或输出分组有效性时,网络入侵检测和防止传感器执行的示例性步骤的流程图。在步骤350中,到达MMIDP传感器25a-d的分组分段由IP段合并软件模块115重建成分组。在步骤335中,MMIDP传感器25a-d中的流管理软件模块120如上所述将输入分组组织成流表中的分组流和会话。在步骤360中,MMIDP传感器25a-d检查输入分组中是否存在任何TCP分组。如果存在,则在步骤365中记录TCP分组。在步骤370中,协议异常检测软件模块130检查分组中是否存在任何协议异常。在步骤380中,将任何呈现协议异常的分组丢弃。
符合表245(图10)中所列协议的网络协议规范的分组随后将在步骤375中继续进入状态特征检测软件模块135,以便与从MMIDP数据库35下载到MMIDP传感器25a-d的攻击特征作比较。如上所述,只检查相关的特征,因而与以前已知的基于特征的系统相比,大大加快了特征匹配过程的速度。如果在给定非TCP分组或TCP数据流中存在任何特征匹配信息,则在步骤380中丢弃分组或流。
不包含匹配特征的分组会在步骤385中传递给业务特征检测软件模块140,以确定是否存在任何与正在被分析的分组的关联分组流相匹配的业务特征。如果存在任何匹配的业务特征,并且这些业务特征的任何内部计数器超过了预定阈值(步骤390,400),则MMIDP传感器25a-d在步骤405中生成要在MMIDP GUI40a-d上显示的告警,以指示网络上的网络扫描或端口扫描。
最后,在步骤410中,由IP路由软件模块145和IP转发软件模块150将不存在协议异常且不匹配攻击与业务特征的所有分组路由并转发到其相应的网络目的地。本领域的技术人员应理解,上面结合图13描述的所有步骤是在每个新分组到达MMIDP传感器25a-d时执行的。本领域的技术人员还应理解,步骤370、375和385可以不同的顺序执行。
现在参照图14,图14是网络入侵检测和防止图形用户接口所执行的示例性功能的示意图。可从连接到网络的任一客户机访问MMIDP GUI 40a-d,通过MMIDP GUI 40a-d可访问MMIDP服务器30和MMIDP传感器25a-d的所有功能。配置接口420允许网络安全管理员安装MMIDP传感器25a-d,并执行与其维护相关的其它配置功能。安全策略编辑器425使网络安全管理员能够指定网络安全策略,以定义要检查的业务和MMIDP传感器25a-d应寻找的攻击。日志和告警查看器430使网络安全管理员能够查看来自MMIDP传感器25a-d和MMIDP服务器30的信息,以确定网络中发生的事件。日志描述通过MMIDP传感器25a-d传来的分组活动,当存在网络攻击尝试时,由MMIDP传感器25a-d生成告警。告警分为新告警、真告警、假告警或结束告警,结束告警指因尝试攻击的分组被丢弃而无效的告警。网络安全管理员可根据MMIDP传感器25a-d生成日志的顺序及诸如日志日期、源IP地址、目的IP地址等其它规定的标准来查看日志。可实时查看日志,且可以不同的详细程度查看。所有日志可备份并存储在MMIDP数据库35中。
MMIDP传感器25a-d和MMIDP服务器30提供的信息用报告来组织,通过这些报告可访问以其它方式难以收集的网络统计信息,如攻击中最常用的IP地址、最常见的攻击、生成的告警和事件数量以及告警是真告警或假告警。报告在报告查看器435内显示。另外,网络安全管理员可指定将MMIDP数据库35中存储的特征集中的哪些特征用于检测和防止攻击以及创建新特征。
最后,状态查看器440使网络安全管理员能够监控MMIDP传感器25a-d、MMIDP服务器30和其它网络资源的状态。本领域的技术人员将理解,MMIDP GUI 40a-d可执行以上结合图14所述功能以外的其它功能。
现在参照图15,图15是网络入侵检测和防止中央管理服务器所执行的示例性功能的示意图。除其它功能以外,MMIDP服务器30收集来自MMIDP传感器25a-d的日志和告警以便存储、显示和通知,以及收集有关MMIDP传感器25a-d的信息(450)。另外,MMIDP服务器30也使MMIDP数据库35存储网络安全策略(455)、攻击特征、日志和告警及其它报告信息。只要MMIDP传感器25a-d将攻击和业务特征与输入和输出分组作比较,MMIDP服务器30就将MMIDP数据库35中存储的网络安全策略或策略更新分发到各传感器(460)。每当网络安全管理员使用MMIDP GUI 40a-d指定了新特征时,MMIDP服务器30还要负责更新MMIDP数据库35(465)。本领域的技术人员明白,MMIDP服务器30可执行如上面结合图15所述功能以外的其它功能。
现在参照图16,图16是表示网络上即将发生FTP反弹攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。在步骤475中,用户连接到网络中的FTP服务器以下载或上载文件。在此操作发生时,FTP用户的软件在步骤480中为FTP服务器提供文件应发送到或取自该处的IP地址和端口号。这通过FTP“端口”命令完成。实际上,IP地址是用户IP地址,但端口命令不会将IP地址局限于用户地址。因此,攻击者可告诉FTP服务器打开到不同于用户地址的IP地址的连接,并将文件从FTP服务器传送到该地址。要检测这种攻击,MMIDP传感器需要将该请求与携带用户IP地址的端口命令作比较,并在IP地址不匹配时向用户发送告警或者关闭FTP连接。
在步骤485中,用户向FTP服务器发送不同于用户IP地址的IP地址。在包含用户IP地址的分组到达FTP服务器前,MMIDP传感器在步骤490中重建任何分组分段,并在步骤495中将这些分组组织成输入FTP分组流。在步骤500中,MMID传感器将TCP分组分段重装成客户机到服务器和服务器到客户机的数据流。在步骤505中,MMIDP传感器中的议异常检测软件模块130检查分组是否为FTP端口命令的一部分。如果是,则MMIDP传感器将用户IP地址与端口命令指定的一个IP地址作比较。在步骤510中,MMIDP检查是否不存在端口命令或存在IP地址匹配。如果任一条件为真,则MMIDP传感器跳到步骤520。如果存在端口命令,并且IP地址不匹配,则在步骤515中,MMIDP传感器丢弃对应的FTP分组,发送告警到MMIDP服务器30并关闭FTP连接。最后,在步骤520中,MMIDP服务器30从MMIDP传感器收集日志和分组信息,并将其发送到MMIDP GUI 40a-d以便显示。
现在参照图17,图17是表示网络上即将发生SMTP“wiz”攻击时,网络入侵检测和防止传感器、服务器和图形用户接口所执行的示例性步骤的流程图。当攻击者在与某些易受攻击的SMTP服务器的SMTP会话中使用“wiz”命令,以非法获得网络主机上的根访问权时,发生“wiz”攻击。攻击成功时,攻击者可完全控制网络主机,使用它作为发起进一步攻击的平台,窃取电子邮件和其它数据,并最终访问网络资源。由于“wiz”字符串可能经常出现在电子邮件正文、收件人列表等信息中,因此,如果未在“命令模式”下于客户机到服务器的SMTP流的上下文中完成特征匹配,则生成假告警的可能性很高。
在步骤535中,用户连接到网络中的SMTP服务器以建立SMTP会话。在步骤540中,SMTP服务器通过交换SYN和ACK分组,经三次握手与用户建立TCP连接。当建立了TCP连接时,在步骤545中,当发送邮件会话在命令模式下时,用户向SMTP邮件服务器发送“wiz”命令。在步骤550中,MMIDP传感器重建用户发送的任何分组分段。重建的分组在步骤555中组织成SMTP分组流。在步骤560中,MMIDP传感器将TCP分组分段重装成客户机到服务器和服务器到客户机数据流。
如果在客户机到服务器数据流中存在SMTP命令(步骤565),则在步骤570中,MMIDP传感器在SMTP命令中搜索“wiz”特征。一旦发现特征匹配,则在步骤575中,MMIDP传感器将该SMTP分组丢弃,向MMIDP服务器30发送告警,并关闭SMTP连接。最后,在步骤580中,MMIDP服务器30从MMIDP传感器收集日志和分组信息,并将其发送到MMIDP GUI 40a-d以便显示。
虽然上面详细地描述了本发明的特定实施例,但应理解,本说明书仅用于解释。本发明的特定功能出现在一些图形中,但没有出现在其它图形中,这只是为了方便起见,而且任何特征可与根据本发明的其它特征相结合。所述过程步骤可重新加以排序或组合,并且可包括其它步骤。根据本公开,进一步的变化对本领域技术人员而言将是显而易见的,并且所附权利要求书范围旨在涵盖这类变化。

Claims (55)

1.一种用于检测并防止网络中安全违例的方法,所述方法包括:
将网络业务中的多个TCP分组重装成TCP流;
检查所述TCP流以检测表示安全违例的信息;
将所述多个TCP分组组合成分组流和会话;
在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;
如果所述TCP流包含表示安全违例的信息,则从所述TCP流丢弃TCP分组;
如果所述TCP流不包含表示安全违例的信息,则将所述TCP流的TCP分组转发到网络目的地,
其中,检查所述TCP流以检测表示安全违例的信息包括:
在协议数据库中存储所述网络支持的多个协议规范;
查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;以及
根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
2.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括检查所述TCP流是否存在协议异常。
3.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括搜索所述TCP流以发现攻击特征。
4.如权利要求3所述的方法,其特征在于:搜索所述TCP流以发现攻击特征的步骤包括使用状态特征检测。 
5.如权利要求1所述的方法,其特征在于:检查所述TCP流以检测表示安全违例的信息的步骤包括使用多个网络入侵检测方法。
6.如权利要求5所述的方法,其特征在于:所述多个网络入侵检测方法至少包括协议异常检测方法。
7.如权利要求5所述的方法,其特征在于:所述多个网络入侵检测方法至少包括特征检测方法。
8.如权利要求1所述的方法,其特征在于还包括:搜索所述分组流描述符以发现业务特征。
9.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括协议异常。
10.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括攻击特征。
11.如权利要求1所述的方法,其特征在于:所述网络攻击标识符包括多个网络攻击标识符。
12.如权利要求11所述的方法,其特征在于:所述多个网络攻击标识符至少包括协议异常。
13.如权利要求11所述的方法,其特征在于:所述多个网络攻击标识符至少包括攻击特征。
14.如权利要求10所述的方法,其特征在于:所述攻击特征和业务特征存储在特征数据库中。
15.如权利要求3所述的方法,其特征在于:搜索所述TCP流以发现攻击特征的步骤包括查询特征数据库以确定所述TCP流中是否存在匹配特征。
16.如权利要求15所述的方法,其特征在于:确定所述TCP流中是否存在匹配特征的步骤包括将DFA用于模式匹配。
17.如权利要求1所述的方法,其特征在于还包括:从多个分组分段重建所述多个TCP分组。 
18.一种方法,包括:
将多个TCP分组重装成TCP流;
检查所述TCP流以检测表示安全违例的信息;
如果所述TCP流包含表示安全违例的信息,则从所述TCP流丢弃TCP分组;
如果所述TCP流不包含表示安全违例的信息,则将所述TCP流的TCP分组转发到网络目的地;以及
将所述多个TCP分组组合成分组流和会话,其中,将所述多个TCP分组组合成分组流和会话的步骤包括在散列表中存储所述分组流和会话,其中,在所述散列表中存储所述分组流和会话包括:在分组流描述符中存储所述分组流,其中,在所述散列表中存储所述分组流和会话包括:
从5元组计算散列值,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型,以及
其中,检查所述TCP流以检测表示安全违例的信息包括:
根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
19.一种用于检测并防止网络中安全违例的产品,所述产品包括:
将网络业务中的多个TCP分组重装成TCP流的TCP重装软件模块;
用于检查所述TCP流以检测表示安全违例的信息的软件模块;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块;
其中,用于检查所述TCP流的软件模块至少包括协议异常检测 软件模块,所述协议异常检测软件模块包括:
用于在协议数据库中存储所述网络支持的多个协议规范的例程单元,以及
用于查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符的例程单元;
其中,所述流管理软件模块要:
将所述多个TCP分组组合成分组流和会话;以及
在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;
其中,所述用于检查所述TCP流的软件模块还根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符。
20.如权利要求19所述的产品,其特征在于还包括:用于将多个分组分段重建成所述多个TCP分组的IP段合并软件模块。
21.如权利要求19所述的产品,其特征在于:用于检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
22.如权利要求19所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
23.如权利要求22所述的产品,其特征在于:所述多个软件模块至少包括状态特征检测软件模块。
24.如权利要求19所述的产品,其特征在于:所述协议规范包括下列的一个或多个协议的规范:TCP协议、HTTP协议、SMTP协议、FTP协议、NETBIOS协议、IMAP协议、POP3协议、TELNET协议、IRC协议、RSH协议、REXEC协议及RCMD协议。 
25.如权利要求23所述的产品,其特征在于:所述状态特征检测软件模块包括用于查询特征数据库以确定所述TCP流中是否存在匹配攻击特征的例程单元。
26.如权利要求25所述的产品,其特征在于:用于查询特征数据库以确定所述TCP流中是否存在匹配攻击特征的例程单元将DFA用于模式匹配。
27.如权利要求19所述的产品,其特征在于还包括:
用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息;
用于存储网络安全策略的例程单元,所述网络安全策略识别要检查的所述网络业务和要检测并防止的多个网络攻击;
用于将所述网络安全策略分发到所述网络中的一个或多个网关点的例程单元;以及
用于更新所述协议数据库和特征数据库的例程单元。
28.如权利要求19所述的产品,其特征在于还包括:图形用户接口,所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;以及
用于指定网络安全策略的例程单元。
29.一种产品,包括:
将网络业务中的多个TCP分组重装成TCP流的TCP重装软件模块;
用于检查所述TCP流以检测表示安全违例的信息的软件模块;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块,用于将所述多个TCP分组组合成分组流和会 话,其中所述流管理软件模块包括:用于将所述分组流和会话存储到散列表中的例程单元,其中将所述分组流和会话存储到散列表中包括:在分组流描述符中存储所述分组流;
其中,用于检查所述TCP流的软件模块包括根据与所述TCP流相关联的所述分组流描述符和会话搜索所述TCP流以发现网络攻击标识符的例程单元;
其中,用于将所述分组流和会话存储到散列表中的例程单元包括:用于从5元组计算散列值的例程单元,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型。
30.如权利要求29所述的产品,其特征在于还包括:用于搜索所述分组流描述符以发现业务特征的业务特征检测软件模块。
31.一种用于检测并防止网络中安全违例的产品,所述产品包括:
用于将多个TCP分组重装成TCP流的例程单元;
用于检查所述TCP流以检测表示安全违例的信息的软件模块,其中检查所述TCP流以检测表示安全违例的信息包括:在协议数据库中存储所述网络支持的多个协议规范,查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;
用于在所述TCP流包含表示安全违例的信息时从所述TCP流丢弃TCP分组的软件模块;以及
用于在所述TCP流不包含表示安全违例的信息时将所述TCP流的TCP分组转发到网络目的地的软件模块;
流管理软件模块和业务特征检测模块;
其中,所述流管理软件模块要:将所述多个TCP分组组合成分组流和会话;以及在分组流描述符中存储所述分组流,所述分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型; 
其中,用于检查所述TCP流的软件模块还要:根据与所述TCP流相关联的所述分组流描述符和会话,搜索所述TCP流以发现网络攻击标识符;
所述业务特征检测模块还要:搜索所述分组流描述符以发现业务特征。
32.如权利要求31所述的产品,其特征在于:所述产品位于防火墙内。
33.如权利要求31所述的产品,其特征在于:所述产品位于防火墙外。
34.如权利要求31所述的产品,其特征在于:所述产品还包括IP段合并软件模块,用于将多个分组分段重建成所述多个TCP分组。
35.如权利要求31所述的产品,其特征在于:所述产品还包括IP路由软件模块,用于在所述TCP流不包含表示所述网络中的网络安全违例的信息时,对所述TCP流的TCP分组进行路由。
36.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括协议异常检测软件模块。
37.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
38.如权利要求31所述的产品,其特征在于:检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
39.如权利要求38所述的产品,其特征在于:所述多个软件模块至少包括协议异常检测软件模块。
40.如权利要求38所述的产品,其特征在于:所述多个软件模块至少包括状态特征检测软件模块。
41.如权利要求31所述的产品,其特征在于:所述产品通过中 央管理服务器控制,所述中央管理服务器包括:
用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息;
用于存储网络安全策略的例程单元,所述网络安全策略识别要检查的网络业务和要检测并防止的多个网络攻击;以及
用于将所述网络安全策略分发到所述产品的例程单元。
42.如权利要求31所述的产品,其特征在于:所述产品通过图形用户接口配置,所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;
用于显示有关所述产品的状态信息的例程单元;以及
用于指定网络安全策略的例程单元。
43.一种用于在网关上检测并防止网络安全违例的产品,所述产品包括:
用于将多个分组组合成分组流和会话的流管理软件模块;
用于将所述多个分组的多个TCP分组重装成TCP流的TCP重装软件模块;
用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的软件模块,其中检查所述TCP流以检测表示安全违例的信息包括:在协议数据库中存储所述网络支持的多个协议规范;以及查询所述协议数据库以确定所述多个TCP分组是否与所述协议数据库中所述多个协议规范中的一个或多个相符;
用于在所述TCP流包含表示安全违例的信息时丢弃所述多个分组中的分组的软件模块;
用于在所述TCP流不包含表示安全违例的信息时将所述多个分组中的分组转发到网络目的地的软件模块;
其中,流管理软件模块包括用于将所述多个TCP分组组合成分组流和会话并且在分组流描述符中存储所述分组流的软件模块,所述 分组流描述符通过从5元组计算的散列值被定址,所述5元组包括源IP地址、目的IP地址、源端口、目的端口和协议类型;以及
其中,用于检查所述TCP流的软件模块包括用于根据与所述TCP流相关联的所述分组流描述符和会话搜索所述TCP流以发现网络攻击标识符的软件模块。
44.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,所述产品还包括:IP段合并软件模块,用于将多个分组分段重建成所述多个TCP分组。
45.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其中所述产品还包括:IP路由软件模块,用于在所述TCP流不包含表示所述安全违例的信息时,对所述TCP流的TCP分组进行路由。
46.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其中所述产品由网络安全策略控制,所述策略指定要检查的网络业务和要检测并防止的多个网络攻击。
47.如权利要求46所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述网络安全策略由网络安全管理员使用图形用户接口定义。
48.如权利要求47所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述图形用户接口包括:
用于向网络安全管理员显示网络安全信息的例程单元;
用于显示有关所述产品的状态信息的例程单元;以及
用于指定所述网络安全策略的例程单元。
49.如权利要求46所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述安全策略由中央管理服务器存储并分发到所述产品。
50.如权利要求49所述的用于在网关上检测并防止网络安全违 例的产品,其中所述中央管理服务器包括一个用于收集多个安全日志和告警的例程单元,这些安全日志和告警记录了有关在所述TCP流中发现的安全违例的信息。
51.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括协议异常检测软件模块。
52.如权利要求43所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括状态特征检测软件模块。
53.如权利要求44所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:用于根据所述分组流和会话检查所述TCP流以检测表示安全违例的信息的所述软件模块包括多个软件模块。
54.如权利要求53所述的用于在网关上检测并防止网络安全违例的产品,其特征在于:所述多个软件模块至少包括协议异常检测软件模块。
55.如权利要求53所述的用于在网关上检测并防止网络安全违例的产品,其中所述多个软件模块至少包括状态特征检测软件模块。 
CN038079119A 2002-02-08 2003-02-07 基于多方法网关的网络安全系统和方法 Expired - Fee Related CN1656731B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/072,683 2002-02-08
US10/072,683 US8370936B2 (en) 2002-02-08 2002-02-08 Multi-method gateway-based network security systems and methods
PCT/US2003/003652 WO2003067810A1 (en) 2002-02-08 2003-02-07 Multi-method gateway-based network security systems and methods

Publications (2)

Publication Number Publication Date
CN1656731A CN1656731A (zh) 2005-08-17
CN1656731B true CN1656731B (zh) 2011-05-25

Family

ID=27659532

Family Applications (1)

Application Number Title Priority Date Filing Date
CN038079119A Expired - Fee Related CN1656731B (zh) 2002-02-08 2003-02-07 基于多方法网关的网络安全系统和方法

Country Status (6)

Country Link
US (3) US8370936B2 (zh)
EP (2) EP1481508B1 (zh)
JP (1) JP2005517349A (zh)
CN (1) CN1656731B (zh)
AU (1) AU2003215085A1 (zh)
WO (1) WO2003067810A1 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102567684A (zh) * 2011-12-21 2012-07-11 成都三零瑞通移动通信有限公司 一种针对x卧底窃听类软件的防安装方法

Families Citing this family (384)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US20060212572A1 (en) * 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7356027B1 (en) * 2001-09-18 2008-04-08 Ipolicy Networks Inc. Application decoding engine for computer networks
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US20030212735A1 (en) * 2002-05-13 2003-11-13 Nvidia Corporation Method and apparatus for providing an integrated network of processors
US7532895B2 (en) * 2002-05-20 2009-05-12 Air Defense, Inc. Systems and methods for adaptive location tracking
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US20030225655A1 (en) * 2002-06-05 2003-12-04 Hughes John T. Market participant interest dissemination process and method
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US20040111623A1 (en) * 2002-06-10 2004-06-10 Akonix Systems, Inc. Systems and methods for detecting user presence
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7707401B2 (en) 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7441262B2 (en) * 2002-07-11 2008-10-21 Seaway Networks Inc. Integrated VPN/firewall system
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7519990B1 (en) * 2002-07-19 2009-04-14 Fortinet, Inc. Managing network traffic flow
US8117639B2 (en) 2002-10-10 2012-02-14 Rocksteady Technologies, Llc System and method for providing access control
EP1559222B1 (en) * 2002-10-18 2010-03-24 Broadcom Corporation System and method for receive queue provisioning
US20050033989A1 (en) * 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7353538B2 (en) 2002-11-08 2008-04-01 Federal Network Systems Llc Server resource management, analysis, and intrusion negation
US7376732B2 (en) * 2002-11-08 2008-05-20 Federal Network Systems, Llc Systems and methods for preventing intrusion at a web host
US7397797B2 (en) * 2002-12-13 2008-07-08 Nvidia Corporation Method and apparatus for performing network processing functions
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US20040242328A1 (en) * 2003-03-05 2004-12-02 Blackburn Christopher W. Boot service in a service-oriented gaming network environment
US8308567B2 (en) * 2003-03-05 2012-11-13 Wms Gaming Inc. Discovery service in a service-oriented gaming network environment
US8296452B2 (en) * 2003-03-06 2012-10-23 Cisco Technology, Inc. Apparatus and method for detecting tiny fragment attacks
US20040243848A1 (en) * 2003-03-06 2004-12-02 Blackburn Christopher W. Authentication service in a service-oriented gaming network environment
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US7185015B2 (en) * 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US20040242331A1 (en) * 2003-03-17 2004-12-02 Blackburn Christopher W. Time service in a service-oriented gaming network environment
US7991751B2 (en) * 2003-04-02 2011-08-02 Portauthority Technologies Inc. Method and a system for information identification
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7356585B1 (en) 2003-04-04 2008-04-08 Raytheon Company Vertically extensible intrusion detection system and method
US7895649B1 (en) * 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US7293238B1 (en) 2003-04-04 2007-11-06 Raytheon Company Graphical user interface for an enterprise intrusion detection system
GB0308037D0 (en) * 2003-04-08 2003-05-14 Ibm Attentiveness monitoring in multicast systems
US20040259633A1 (en) * 2003-04-16 2004-12-23 Gentles Thomas A. Remote authentication of gaming software in a gaming system environment
US20040266533A1 (en) * 2003-04-16 2004-12-30 Gentles Thomas A Gaming software distribution network in a gaming system environment
CA2464430A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. Layered security methods and apparatus in a gaming system environment
US20040266523A1 (en) * 2003-04-16 2004-12-30 Gentles Thomas A Secured networks in a gaming system environment
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7308716B2 (en) * 2003-05-20 2007-12-11 International Business Machines Corporation Applying blocking measures progressively to malicious network traffic
US20050227768A1 (en) * 2003-05-27 2005-10-13 Blackburn Christopher W Gaming network environment having a language translation service
US7318097B2 (en) * 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7359380B1 (en) 2003-06-24 2008-04-15 Nvidia Corporation Network protocol processing for routing and bridging
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US8984644B2 (en) * 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8296847B2 (en) * 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center
US7565690B2 (en) * 2003-08-04 2009-07-21 At&T Intellectual Property I, L.P. Intrusion detection
US7266754B2 (en) * 2003-08-14 2007-09-04 Cisco Technology, Inc. Detecting network denial of service attacks
US7624438B2 (en) * 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
JP3999188B2 (ja) 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US7639714B2 (en) 2003-11-12 2009-12-29 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US7743420B2 (en) * 2003-12-02 2010-06-22 Imperva, Inc. Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications
WO2005062233A2 (en) * 2003-12-16 2005-07-07 Applied Identity Computer security system
WO2005069578A1 (en) * 2004-01-05 2005-07-28 Corrent Corporation Method and apparatus for network intrusion detection system
US7203961B1 (en) * 2004-01-09 2007-04-10 Cisco Technology, Inc. Preventing network reset denial of service attacks
US7472416B2 (en) * 2004-01-09 2008-12-30 Cisco Technology, Inc. Preventing network reset denial of service attacks using embedded authentication information
US7257840B2 (en) * 2004-01-16 2007-08-14 Cisco Technology, Inc. Preventing network data injection attacks using duplicate-ACK and reassembly gap approaches
US7114181B2 (en) * 2004-01-16 2006-09-26 Cisco Technology, Inc. Preventing network data injection attacks
US20050157662A1 (en) * 2004-01-20 2005-07-21 Justin Bingham Systems and methods for detecting a compromised network
US20050204022A1 (en) * 2004-03-10 2005-09-15 Keith Johnston System and method for network management XML architectural abstraction
US7590728B2 (en) * 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7665130B2 (en) 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US7509625B2 (en) * 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
FR2868230B1 (fr) * 2004-03-25 2012-06-08 Netasq Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
JP2005301551A (ja) * 2004-04-09 2005-10-27 Hitachi Ltd セキュリティ対策システム及び統合セキュリティシステム
US7730294B2 (en) * 2004-06-04 2010-06-01 Nokia Corporation System for geographically distributed virtual routing
CN100435526C (zh) * 2004-07-21 2008-11-19 威达电股份有限公司 网络安全动态侦测系统及方法
US20060026679A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
US7562389B1 (en) * 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US8176126B2 (en) 2004-08-26 2012-05-08 International Business Machines Corporation System, method and program to limit rate of transferring messages from suspected spammers
WO2006031496A2 (en) * 2004-09-10 2006-03-23 The Regents Of The University Of California Method and apparatus for deep packet inspection
US8234705B1 (en) * 2004-09-27 2012-07-31 Radix Holdings, Llc Contagion isolation and inoculation
US7451486B2 (en) 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
TWI250751B (en) * 2004-10-01 2006-03-01 Realtek Semiconductor Corp Apparatus and method for IP allocation
US7565694B2 (en) * 2004-10-05 2009-07-21 Cisco Technology, Inc. Method and apparatus for preventing network reset attacks
US7600257B2 (en) * 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
US7835361B1 (en) 2004-10-13 2010-11-16 Sonicwall, Inc. Method and apparatus for identifying data patterns in a file
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7478424B2 (en) * 2004-11-30 2009-01-13 Cymtec Systems, Inc. Propagation protection within a network
US7694334B2 (en) * 2004-12-03 2010-04-06 Nokia Corporation Apparatus and method for traversing gateway device using a plurality of batons
US8306023B2 (en) * 2004-12-20 2012-11-06 Hewlett-Packard Development Company, L.P. Smuggling and recovery of non-packet information
US7917955B1 (en) 2005-01-14 2011-03-29 Mcafee, Inc. System, method and computer program product for context-driven behavioral heuristics
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7624446B1 (en) * 2005-01-25 2009-11-24 Symantec Corporation Efficient signature packing for an intrusion detection system
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7769851B1 (en) 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7810151B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
KR100666947B1 (ko) * 2005-02-01 2007-01-10 삼성전자주식회사 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
KR100608136B1 (ko) * 2005-02-18 2006-08-08 재단법인서울대학교산학협력재단 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법
US8095983B2 (en) * 2005-03-15 2012-01-10 Mu Dynamics, Inc. Platform for analyzing the security of communication protocols and channels
US8095982B1 (en) 2005-03-15 2012-01-10 Mu Dynamics, Inc. Analyzing the security of communication protocols and channels for a pass-through device
US7508771B2 (en) * 2005-04-01 2009-03-24 International Business Machines Corporation Method for reducing latency in a host ethernet adapter (HEA)
US20060221953A1 (en) * 2005-04-01 2006-10-05 Claude Basso Method and apparatus for blind checksum and correction for network transmissions
US7881332B2 (en) * 2005-04-01 2011-02-01 International Business Machines Corporation Configurable ports for a host ethernet adapter
US7492771B2 (en) * 2005-04-01 2009-02-17 International Business Machines Corporation Method for performing a packet header lookup
US7706409B2 (en) * 2005-04-01 2010-04-27 International Business Machines Corporation System and method for parsing, filtering, and computing the checksum in a host Ethernet adapter (HEA)
US7577151B2 (en) * 2005-04-01 2009-08-18 International Business Machines Corporation Method and apparatus for providing a network connection table
US7903687B2 (en) * 2005-04-01 2011-03-08 International Business Machines Corporation Method for scheduling, writing, and reading data inside the partitioned buffer of a switch, router or packet processing device
US7697536B2 (en) * 2005-04-01 2010-04-13 International Business Machines Corporation Network communications for operating system partitions
US7586936B2 (en) * 2005-04-01 2009-09-08 International Business Machines Corporation Host Ethernet adapter for networking offload in server environment
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US20070016767A1 (en) * 2005-07-05 2007-01-18 Netdevices, Inc. Switching Devices Avoiding Degradation of Forwarding Throughput Performance When Downloading Signature Data Related to Security Applications
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8572733B1 (en) 2005-07-06 2013-10-29 Raytheon Company System and method for active data collection in a network security system
US7873998B1 (en) * 2005-07-19 2011-01-18 Trustwave Holdings, Inc. Rapidly propagating threat detection
FI120072B (fi) * 2005-07-19 2009-06-15 Ssh Comm Security Corp Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US7950058B1 (en) 2005-09-01 2011-05-24 Raytheon Company System and method for collaborative information security correlation in low bandwidth environments
US8224761B1 (en) 2005-09-01 2012-07-17 Raytheon Company System and method for interactive correlation rule design in a network security system
US7352280B1 (en) 2005-09-01 2008-04-01 Raytheon Company System and method for intruder tracking using advanced correlation in a network security system
US8898452B2 (en) * 2005-09-08 2014-11-25 Netapp, Inc. Protocol translation
US7908357B2 (en) 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
US7603344B2 (en) 2005-10-19 2009-10-13 Advanced Digital Forensic Solutions, Inc. Methods for searching forensic data
US20070139231A1 (en) * 2005-10-19 2007-06-21 Advanced Digital Forensic Solutions, Inc. Systems and methods for enterprise-wide data identification, sharing and management in a commercial context
WO2007056691A2 (en) * 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
WO2007070711A2 (en) * 2005-12-15 2007-06-21 Malloy Patrick J Interactive network monitoring and analysis
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
CA2532699A1 (en) * 2005-12-28 2007-06-28 Ibm Canada Limited - Ibm Canada Limitee Distributed network protection
US7761915B2 (en) * 2005-12-28 2010-07-20 Zyxel Communications Corp. Terminal and related computer-implemented method for detecting malicious data for computer network
US7849185B1 (en) 2006-01-10 2010-12-07 Raytheon Company System and method for attacker attribution in a network security system
US7613826B2 (en) * 2006-02-09 2009-11-03 Cisco Technology, Inc. Methods and apparatus for providing multiple policies for a virtual private network
WO2007096890A2 (en) * 2006-02-27 2007-08-30 Sentrigo Inc. Device, system and method of database security
US9392009B2 (en) * 2006-03-02 2016-07-12 International Business Machines Corporation Operating a network monitoring entity
US7970899B2 (en) * 2006-03-03 2011-06-28 Barracuda Networks Inc Integrated data flow packet admission and traffic management apparatus
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8793390B2 (en) * 2006-05-23 2014-07-29 Blue Coat Systems, Inc. Systems and methods for protocol detection in a proxy
US20080022386A1 (en) * 2006-06-08 2008-01-24 Shevchenko Oleksiy Yu Security mechanism for server protection
US8045457B1 (en) * 2006-06-29 2011-10-25 Symantec Corporation Dropping packets to prevent unauthorized data transfer through multimedia tunnels
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US8239943B2 (en) * 2006-08-18 2012-08-07 Microsoft Corporation Network security page
US7954161B1 (en) 2007-06-08 2011-05-31 Mu Dynamics, Inc. Mechanism for characterizing soft failures in systems under attack
US9172611B2 (en) 2006-09-01 2015-10-27 Spirent Communications, Inc. System and method for discovering assets and functional relationships in a network
US8316447B2 (en) * 2006-09-01 2012-11-20 Mu Dynamics, Inc. Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems
US7958230B2 (en) 2008-09-19 2011-06-07 Mu Dynamics, Inc. Test driven deployment and monitoring of heterogeneous network systems
WO2008036086A1 (en) * 2006-09-20 2008-03-27 Ist International Inc. Handoff and optimization of a network protocol stack
US8811156B1 (en) 2006-11-14 2014-08-19 Raytheon Company Compressing n-dimensional data
EP1933519A1 (en) * 2006-12-12 2008-06-18 Koninklijke KPN N.V. Streaming media service for mobile telephones
US8370894B2 (en) * 2006-12-29 2013-02-05 Telecom Italia S.P.A. Method and system for enforcing security polices in MANETs
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
US8108924B1 (en) * 2007-05-24 2012-01-31 Sprint Communications Company L.P. Providing a firewall's connection data in a comprehendible format
US8819271B2 (en) * 2007-05-24 2014-08-26 At&T Intellectual Property I, L.P. System and method to access and use layer 2 and layer 3 information used in communications
US8863286B1 (en) 2007-06-05 2014-10-14 Sonicwall, Inc. Notification for reassembly-free file scanning
US7991723B1 (en) 2007-07-16 2011-08-02 Sonicwall, Inc. Data pattern analysis using optimized deterministic finite automaton
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
DE602007011676D1 (de) * 2007-08-20 2011-02-10 Ericsson Telefon Ab L M Lokalen breakout in einem mobilnetz
US7774637B1 (en) 2007-09-05 2010-08-10 Mu Dynamics, Inc. Meta-instrumentation for security analysis
US8871096B2 (en) * 2007-09-10 2014-10-28 Res Usa, Llc Magnetic separation combined with dynamic settling for fischer-tropsch processes
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
CN101459660A (zh) * 2007-12-13 2009-06-17 国际商业机器公司 用于集成多个威胁安全服务的方法及其设备
US9338176B2 (en) * 2008-01-07 2016-05-10 Global Dataguard, Inc. Systems and methods of identity and access management
US9237167B1 (en) * 2008-01-18 2016-01-12 Jpmorgan Chase Bank, N.A. Systems and methods for performing network counter measures
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US9225778B2 (en) 2008-05-07 2015-12-29 Telefonaktiebolaget L M Ericsson (Publ) System for delivery of content to be played autonomously
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
JP5473406B2 (ja) * 2008-07-18 2014-04-16 キヤノン株式会社 ネットワーク処理装置及びその処理方法
US8069469B1 (en) * 2008-07-25 2011-11-29 Sprint Communications Company L.P. Addressing security in asymmetrical networks
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
EP2359573B1 (en) * 2008-12-18 2015-02-18 Telefonaktiebolaget L M Ericsson (publ) Method for content delivery involving a policy database
US8375435B2 (en) * 2008-12-19 2013-02-12 International Business Machines Corporation Host trust report based filtering mechanism in a reverse firewall
US8281398B2 (en) * 2009-01-06 2012-10-02 Microsoft Corporation Reordering document content to avoid exploits
US8402541B2 (en) * 2009-03-12 2013-03-19 Microsoft Corporation Proactive exploit detection
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
KR101034389B1 (ko) * 2009-04-22 2011-05-16 (주) 시스메이트 패킷 내 시그니처 위치에 따른 시그니처 검색 방법
JP5246034B2 (ja) * 2009-05-22 2013-07-24 富士通株式会社 パケット送受信システム、パケット送受信装置、および、パケット送受信方法
US9769149B1 (en) 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
US9531716B1 (en) * 2009-08-07 2016-12-27 Cisco Technology, Inc. Service enabled network
US9148358B2 (en) * 2009-10-05 2015-09-29 Vss Monitoring, Inc. Method, apparatus and system for filtering captured network traffic
US20110107410A1 (en) * 2009-11-02 2011-05-05 At&T Intellectual Property I,L.P. Methods, systems, and computer program products for controlling server access using an authentication server
US8590031B2 (en) * 2009-12-17 2013-11-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US8346935B2 (en) * 2010-01-15 2013-01-01 Joyent, Inc. Managing hardware resources by sending messages amongst servers in a data center
US8463860B1 (en) 2010-05-05 2013-06-11 Spirent Communications, Inc. Scenario based scale testing
US8547974B1 (en) 2010-05-05 2013-10-01 Mu Dynamics Generating communication protocol test cases based on network traffic
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
CN102754394B (zh) * 2010-08-19 2015-07-22 华为技术有限公司 一种哈希表存储、查找方法以及装置
US8509071B1 (en) 2010-10-06 2013-08-13 Juniper Networks, Inc. Multi-dimensional traffic management
CN102111402B (zh) * 2010-12-17 2015-06-10 曙光信息产业(北京)有限公司 一种对正则式dfa分组的方法
US9119109B1 (en) * 2010-12-30 2015-08-25 Dell Software Inc. Method and an apparatus to perform multi-connection traffic analysis and management
US9106514B1 (en) 2010-12-30 2015-08-11 Spirent Communications, Inc. Hybrid network software provision
US8555276B2 (en) 2011-03-11 2013-10-08 Joyent, Inc. Systems and methods for transparently optimizing workloads
US8464219B1 (en) 2011-04-27 2013-06-11 Spirent Communications, Inc. Scalable control system for test execution and monitoring utilizing multiple processors
US8566900B1 (en) * 2011-05-23 2013-10-22 Palo Alto Networks, Inc. Using geographical information in policy enforcement
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
CN102195887B (zh) * 2011-05-31 2014-03-12 北京星网锐捷网络技术有限公司 报文处理方法、装置和网络安全设备
NL2007180C2 (en) * 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
US9881151B2 (en) * 2011-08-31 2018-01-30 Lenovo (Singapore) Pte. Ltd. Providing selective system privileges on an information handling device
US8775393B2 (en) * 2011-10-03 2014-07-08 Polytechniq Institute of New York University Updating a perfect hash data structure, such as a multi-dimensional perfect hash data structure, used for high-speed string matching
US8782224B2 (en) 2011-12-29 2014-07-15 Joyent, Inc. Systems and methods for time-based dynamic allocation of resource management
US9137258B2 (en) 2012-02-01 2015-09-15 Brightpoint Security, Inc. Techniques for sharing network security event information
US8914406B1 (en) 2012-02-01 2014-12-16 Vorstack, Inc. Scalable network security with fast response protocol
US9710644B2 (en) 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
RU2510982C2 (ru) * 2012-04-06 2014-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ оценки пользователей для фильтрации сообщений
US8972543B1 (en) 2012-04-11 2015-03-03 Spirent Communications, Inc. Managing clients utilizing reverse transactions
US9166732B2 (en) * 2012-04-19 2015-10-20 At&T Mobility Ii Llc Facilitation of security employing a femto cell access point
US9075953B2 (en) * 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
US8938805B1 (en) * 2012-09-24 2015-01-20 Emc Corporation Detection of tampering with software installed on a processing device
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US8954495B2 (en) * 2013-01-04 2015-02-10 Netfilx, Inc. Proxy application with dynamic filter updating
US9009165B2 (en) * 2013-01-10 2015-04-14 Telefonaktiebolaget L M Ericsson (Publ) High performance hash-based lookup for packet processing in a communication network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
GB201302402D0 (en) * 2013-02-11 2013-03-27 Telecom Ltd Q Communication apparatus
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US8826279B1 (en) 2013-03-14 2014-09-02 Joyent, Inc. Instruction set architecture for compute-based object stores
US8677359B1 (en) 2013-03-14 2014-03-18 Joyent, Inc. Compute-centric object stores and methods of use
US9104456B2 (en) 2013-03-14 2015-08-11 Joyent, Inc. Zone management of compute-centric object stores
US8943284B2 (en) 2013-03-14 2015-01-27 Joyent, Inc. Systems and methods for integrating compute resources in a storage area network
US8881279B2 (en) * 2013-03-14 2014-11-04 Joyent, Inc. Systems and methods for zone-based intrusion detection
US8793688B1 (en) 2013-03-15 2014-07-29 Joyent, Inc. Systems and methods for double hulled virtualization operations
US9092238B2 (en) 2013-03-15 2015-07-28 Joyent, Inc. Versioning schemes for compute-centric object stores
US9231976B2 (en) 2013-03-15 2016-01-05 Mcafee, Inc. Creating and managing a network security tag
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US8775485B1 (en) 2013-03-15 2014-07-08 Joyent, Inc. Object store management operations within compute-centric object stores
US9038130B2 (en) * 2013-05-14 2015-05-19 Dell Products, L.P. Sensor aware security policies with embedded controller hardened enforcement
CN104184649A (zh) * 2013-05-23 2014-12-03 上海斐讯数据通信技术有限公司 调制解调器系统的log日志的获取方法
US20150025790A1 (en) 2013-07-17 2015-01-22 Vivint, Inc. Geo-location services
CN103441987A (zh) * 2013-07-30 2013-12-11 曙光信息产业(北京)有限公司 双机防火墙系统的管理方法和装置
CN103457931B (zh) * 2013-08-15 2016-08-10 华中科技大学 一种网络诱骗与反攻击的主动防御方法
WO2015036860A2 (en) * 2013-09-10 2015-03-19 Haproxy S.A.R.L. Line-rate packet filtering technique for general purpose operating systems
US10977063B2 (en) 2013-12-20 2021-04-13 Vmware, Inc. Elastic compute fabric using virtual machine templates
US9323565B2 (en) 2013-12-20 2016-04-26 Vmware, Inc. Provisioning customized virtual machines without rebooting
JP6229504B2 (ja) * 2014-01-09 2017-11-15 富士通株式会社 ネットワーク監視装置、監視方法及びプログラム
US9973515B1 (en) * 2014-02-05 2018-05-15 Rockwell Collins, Inc. Network security for avionics with ethernet connections system and related method
US9619268B2 (en) 2014-08-23 2017-04-11 Vmware, Inc. Rapid suspend/resume for virtual machines via resource sharing
US9088544B1 (en) * 2014-09-11 2015-07-21 Fortinet, Inc. Interface groups for rule-based network security
US9729439B2 (en) 2014-09-26 2017-08-08 128 Technology, Inc. Network packet flow controller
US9948661B2 (en) 2014-10-29 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for detecting port scans in a network
US9866473B2 (en) 2014-11-14 2018-01-09 Nicira, Inc. Stateful services on stateless clustered edge
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
US9876714B2 (en) 2014-11-14 2018-01-23 Nicira, Inc. Stateful services on stateless clustered edge
US10044617B2 (en) * 2014-11-14 2018-08-07 Nicira, Inc. Stateful services on stateless clustered edge
US10110561B2 (en) * 2014-11-26 2018-10-23 Rockwell Automation Technologies, Inc. Firewall with application packet classifer
CN104660584B (zh) * 2014-12-30 2018-12-18 赖洪昌 基于网络会话的木马病毒分析技术
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
CN105991623B (zh) * 2015-03-05 2019-04-26 北京启明星辰信息安全技术有限公司 一种业务互联关系审计方法和系统
US9736184B2 (en) 2015-03-17 2017-08-15 128 Technology, Inc. Apparatus and method for using certificate data to route data
AU2015387270B2 (en) * 2015-03-18 2020-01-02 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
US11024136B2 (en) * 2015-04-02 2021-06-01 Techcam, Llc Method and apparatus for remote surveillance
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9729682B2 (en) 2015-05-18 2017-08-08 128 Technology, Inc. Network device and method for processing a session using a packet signature
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US10033766B2 (en) * 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10049078B1 (en) * 2015-06-25 2018-08-14 Amazon Technologies, Inc. Accessing a memory location using a two-stage hash scheme
US9825911B1 (en) * 2015-11-18 2017-11-21 Amazon Technologies, Inc. Security policy check based on communication establishment handshake packet
CA3007844C (en) 2015-12-11 2021-06-22 Servicenow, Inc. Computer network threat assessment
US10536549B2 (en) * 2015-12-15 2020-01-14 Nxp Usa, Inc. Method and apparatus to accelerate session creation using historical session cache
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10491611B2 (en) 2016-01-08 2019-11-26 Belden, Inc. Method and protection apparatus to prevent malicious information communication in IP networks by exploiting benign networking protocols
US10084752B2 (en) * 2016-02-26 2018-09-25 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
WO2017178888A1 (en) * 2016-04-12 2017-10-19 Guardknox Cyber Technologies Ltd. Specially programmed computing systems with associated devices configured to implement secure lockdowns and methods of use thereof
US9871810B1 (en) * 2016-04-25 2018-01-16 Symantec Corporation Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties
US10686792B1 (en) * 2016-05-13 2020-06-16 Nuvolex, Inc. Apparatus and method for administering user identities across on premise and third-party computation resources
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10009282B2 (en) * 2016-06-06 2018-06-26 128 Technology, Inc. Self-protecting computer network router with queue resource manager
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10536468B2 (en) * 2016-07-21 2020-01-14 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
FR3060931A1 (fr) * 2016-12-16 2018-06-22 Orange Procede et dispositif de surveillance mis en oeuvre par un point d'acces a un reseau de telecommunications
JP6870386B2 (ja) * 2017-02-28 2021-05-12 沖電気工業株式会社 マルウェア不正通信対処システム及び方法
US20180262467A1 (en) * 2017-03-08 2018-09-13 At&T Intellectual Property I, L.P. Cloud-based ddos mitigation
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10503545B2 (en) 2017-04-12 2019-12-10 At&T Intellectual Property I, L.P. Universal security agent
US10454965B1 (en) * 2017-04-17 2019-10-22 Symantec Corporation Detecting network packet injection
US10778699B1 (en) * 2017-04-17 2020-09-15 Verizon Digital Media Services Inc. Network attack mitigation based on distributed packet analysis
US11003542B1 (en) 2017-04-28 2021-05-11 EMC IP Holding Company LLC Online consistent system checkpoint
US10402283B1 (en) * 2017-04-28 2019-09-03 EMC IP Holding Company LLC Online system checkpoint recovery orchestration
US10333960B2 (en) 2017-05-03 2019-06-25 Servicenow, Inc. Aggregating network security data for export
US20180324207A1 (en) 2017-05-05 2018-11-08 Servicenow, Inc. Network security threat intelligence sharing
US10897472B1 (en) * 2017-06-02 2021-01-19 Enigma Networkz, LLC IT computer network threat analysis, detection and containment
CN107332839B (zh) * 2017-06-28 2020-03-06 杭州迪普科技股份有限公司 一种报文传输方法及装置
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
US11570092B2 (en) 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
CN107231647B (zh) * 2017-08-03 2019-01-11 Oppo广东移动通信有限公司 网络检测方法、网络检测装置及智能终端
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
DE102017220371A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum Senden und zum Empfangen von Daten
US10841330B2 (en) 2017-11-30 2020-11-17 Bank Of America Corporation System for generating a communication pathway for third party vulnerability management
US10616261B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment based on data history
US10824734B2 (en) 2017-11-30 2020-11-03 Bank Of America Corporation System for recurring information security threat assessment
US10652264B2 (en) 2017-11-30 2020-05-12 Bank Of America Corporation Information security vulnerability assessment system
US10826929B2 (en) 2017-12-01 2020-11-03 Bank Of America Corporation Exterior data deployment system using hash generation and confirmation triggering
PL3729729T3 (pl) * 2017-12-21 2022-04-19 Telefonaktiebolaget Lm Ericsson (Publ) Sposób i zarządzanie węzłem dla zarządzania wymianą deskryptorów przepływu pakietów
CN108156165A (zh) * 2017-12-28 2018-06-12 北京奇虎科技有限公司 一种误报检测的方法以及系统
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US10498633B2 (en) * 2018-03-01 2019-12-03 Schweitzer Engineering Laboratories, Inc. Traffic activity-based signaling to adjust forwarding behavior of packets
CN112534779A (zh) * 2018-06-08 2021-03-19 瑞典爱立信有限公司 更新用于应用的pfd规则和相关网络节点的方法
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US11405392B2 (en) 2018-09-11 2022-08-02 Aveva Software, Llc Server and system for secure configuration push for DMZ proxy clients
CN109446022B (zh) * 2018-10-12 2022-08-12 厦门市美亚柏科信息股份有限公司 一种数据库溢出页异常的检测方法、装置及存储介质
CN109740305B (zh) * 2018-12-26 2022-03-18 深圳市优博讯科技股份有限公司 一种应用程序安装包签名方法、安装方法及电子设备
US11159944B2 (en) * 2019-02-21 2021-10-26 T-Mobile Usa, Inc. Wireless-network attack detection
US11012442B2 (en) 2019-04-11 2021-05-18 Schweitzer Engineering Laboratories, Inc. Address resolution protocol response handling
CN110266678B (zh) * 2019-06-13 2022-03-25 深圳市腾讯计算机系统有限公司 安全攻击检测方法、装置、计算机设备及存储介质
CN110417578B (zh) * 2019-06-20 2022-03-11 国网辽宁省电力有限公司信息通信分公司 一种异常ftp连接告警处理方法
US11405363B2 (en) 2019-06-26 2022-08-02 Microsoft Technology Licensing, Llc File upload control for client-side applications in proxy solutions
US11122054B2 (en) 2019-08-27 2021-09-14 Bank Of America Corporation Security tool
CN112787974B (zh) * 2019-11-05 2024-01-02 杭州海康威视数字技术股份有限公司 一种网关、数据传输方法及电子设备
US11477214B2 (en) * 2019-12-10 2022-10-18 Fortinet, Inc. Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介
US11363041B2 (en) * 2020-05-15 2022-06-14 International Business Machines Corporation Protecting computer assets from malicious attacks
US20220116406A1 (en) * 2020-10-12 2022-04-14 Microsoft Technology Licensing, Llc Malware detection and mitigation via a forward proxy server
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
CN114338143A (zh) * 2021-12-27 2022-04-12 国网浙江省电力有限公司温州供电公司 一种信息安全攻防平台的数据层系统
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
EP4235470A1 (en) 2022-03-25 2023-08-30 ZOE Life Technologies AG Method and network component for protecting networked infrastructures
US20240028494A1 (en) * 2022-07-20 2024-01-25 Zscaler, Inc. Dynamic Applicative Session Grouping

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance

Family Cites Families (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5598410A (en) 1994-12-29 1997-01-28 Storage Technology Corporation Method and apparatus for accelerated packet processing
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
JPH10107795A (ja) 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
US6119236A (en) 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6591303B1 (en) 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6088356A (en) 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6049528A (en) 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US5909686A (en) 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6775692B1 (en) 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6006264A (en) 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US6141749A (en) 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6154775A (en) 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6205551B1 (en) 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6466985B1 (en) 1998-04-10 2002-10-15 At&T Corp. Method and apparatus for providing quality of service using the internet protocol
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6633543B1 (en) 1998-08-27 2003-10-14 Intel Corporation Multicast flow control
US6311278B1 (en) 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6477651B1 (en) * 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US7643481B2 (en) 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US7145869B1 (en) 1999-03-17 2006-12-05 Broadcom Corporation Method for avoiding out-of-ordering of frames in a network switch
US6704278B1 (en) 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6549516B1 (en) 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6735169B1 (en) 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US7051066B1 (en) 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6970913B1 (en) 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6633560B1 (en) 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
US6742045B1 (en) 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6650641B1 (en) 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6606315B1 (en) 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
JP2001313640A (ja) 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US6981158B1 (en) * 2000-06-19 2005-12-27 Bbnt Solutions Llc Method and apparatus for tracing packets
US20020032797A1 (en) 2000-09-08 2002-03-14 Wei Xu Systems and methods for service addressing
AU2001293080A1 (en) * 2000-09-28 2002-04-15 Symantec Corporation System and method for analyzing protocol streams for a security-related event
AU3054102A (en) * 2000-11-30 2002-06-11 Lancope Inc Flow-based detection of network intrusions
US7017185B1 (en) * 2000-12-21 2006-03-21 Cisco Technology, Inc. Method and system for maintaining network activity data for intrusion detection
US7099350B2 (en) 2001-04-24 2006-08-29 Atitania, Ltd. Method and apparatus for converting data between two dissimilar systems
US7239636B2 (en) 2001-07-23 2007-07-03 Broadcom Corporation Multiple virtual channels for use in network devices
US20030033463A1 (en) 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
US7331061B1 (en) * 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US7522627B2 (en) 2001-09-14 2009-04-21 Nokia Corporation System and method for packet forwarding
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
US7133914B1 (en) * 2001-10-31 2006-11-07 Cisco Technology, Inc. Statistics-preserving ACL flattening system and method
US20030105881A1 (en) * 2001-12-03 2003-06-05 Symons Julie Anna Method for detecting and preventing intrusion in a virtually-wired switching fabric
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US20030149887A1 (en) * 2002-02-01 2003-08-07 Satyendra Yadav Application-specific network intrusion detection
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US6856991B1 (en) 2002-03-19 2005-02-15 Cisco Technology, Inc. Method and apparatus for routing data to a load balanced server using MPLS packet labels
US7895431B2 (en) 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102567684A (zh) * 2011-12-21 2012-07-11 成都三零瑞通移动通信有限公司 一种针对x卧底窃听类软件的防安装方法

Also Published As

Publication number Publication date
US8370936B2 (en) 2013-02-05
US9094372B2 (en) 2015-07-28
US20130067560A1 (en) 2013-03-14
EP2555486B1 (en) 2018-11-21
EP2555486A2 (en) 2013-02-06
US20030154399A1 (en) 2003-08-14
EP1481508A4 (en) 2010-07-07
CN1656731A (zh) 2005-08-17
US8635695B2 (en) 2014-01-21
EP2555486A3 (en) 2013-10-30
EP1481508B1 (en) 2017-08-30
US20140115688A1 (en) 2014-04-24
EP1481508A1 (en) 2004-12-01
WO2003067810A1 (en) 2003-08-14
AU2003215085A1 (en) 2003-09-02
JP2005517349A (ja) 2005-06-09

Similar Documents

Publication Publication Date Title
CN1656731B (zh) 基于多方法网关的网络安全系统和方法
US10505900B2 (en) Data leak protection in upper layer protocols
US7076803B2 (en) Integrated intrusion detection services
US7463590B2 (en) System and method for threat detection and response
US7222366B2 (en) Intrusion event filtering
KR100800370B1 (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
CN111010409B (zh) 加密攻击网络流量检测方法
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
KR100947211B1 (ko) 능동형 보안 감사 시스템
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
Manna et al. Review of syn-flooding attack detection mechanism
RU2703329C1 (ru) Способ обнаружения несанкционированного использования сетевых устройств ограниченной функциональности из локальной сети и предотвращения исходящих от них распределенных сетевых атак
JP3760919B2 (ja) 不正アクセス防止方法、装置、プログラム
Prabhu et al. Network intrusion detection system
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
Kaskar et al. A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set
Mohammed Automatic Port Scanner
Gheorghe et al. Attack evaluation and mitigation framework
Hunter A framework for Malicious Host Fingerprinting Using Distributed Network Sensors
Nakato Networks security: attacks and defense mechanism by designing an intelligent firewall agent
Krishnamurthy et al. Stateful intrusion detection system (sids)
Hameed et al. An integrated web/mobile remote surveillance system

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
C56 Change in the name or address of the patentee
CP01 Change in the name or title of a patent holder

Address after: American California

Patentee after: Peribit Networks Inc.

Address before: American California

Patentee before: Juniper Networks Inc.

CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20110525

Termination date: 20180207