CN101036369B - 分组的脱机分析 - Google Patents
分组的脱机分析 Download PDFInfo
- Publication number
- CN101036369B CN101036369B CN2005800339787A CN200580033978A CN101036369B CN 101036369 B CN101036369 B CN 101036369B CN 2005800339787 A CN2005800339787 A CN 2005800339787A CN 200580033978 A CN200580033978 A CN 200580033978A CN 101036369 B CN101036369 B CN 101036369B
- Authority
- CN
- China
- Prior art keywords
- grouping
- symptom
- rule
- module
- receive
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Investigating Or Analysing Biological Materials (AREA)
- Electronic Switches (AREA)
Abstract
一种方法、设备、***和信号承载介质,在实施例中,基于规则过滤从网络接收的分组。所述过滤基于规则丢弃各分组的一个子集,并且保留该各分组剩余子集。该剩余子集被复制到目的地。通过检测剩余子集的采样中是否存在征状,在较低优先级的进程中与所述过滤和所述复制脱机地创建规则。在一个实施例中,基于采样中征状存在的频率,改变检测征状的顺序。在各个实施例中,所述征状可以包括在一段时间内接收阈值数量的查验分组,在一段时间内接收阈值数量的广播分组,接收具有无效源地址的分组,接收具有无效报头标志的分组,以及在一段时间内接收阈值数量的、包含序列标志的分组。通过这种方式,增加了防火墙的吞吐性能。
Description
技术领域
本发明的实施例总的来说涉及计算机。具体地说,本发明的实施例总的涉及用于网络安全的分组的脱机(offline)分析。
背景技术
1948年EDVAC计算机***的开发常常被引用作为计算机时代的开始。从那时起,计算机***演进成为非常复杂的设备,并且可以找到许多不同设置的计算机***。计算机***典型地包括硬件组件(如半导体、集成电路、可编程逻辑器件、可编程门阵列、电源、电子插片卡、金属片、线缆和连接器)和软件(又称为计算机程序)的组合。
多年前,各计算机是彼此不相互通信的隔离的设备。但当今的计算机常常以网络(如因特网或万维网)连接,并且在一个计算机(常被称为客户机)上的用户可能希望通过网络访问多个其他计算机(常被称为服务器)上的信息。尽管这种连接性对于授权的用户可以大有裨益,但它也给未授权者(常被称作为入侵者、攻击者或黑客)提供了访问、侵入或滥用可能在几千英里以外的计算机的机会。这种未授权的访问可能采用各种各样的形式,但这里将笼统地称为拒绝服务(DoS)攻击。
在拒绝服务攻击中,入侵者尝试阻止合法用户或组织访问他们本来在正常情况下预期拥有的信息、资源或服务。典型地,服务的损失是特定网络服务(如电子邮件)的不可用,或者所有网络连接和服务的暂时损失。在最坏的情况下,例如,数百万人访问的网站有时候可能被迫暂时停止工作。拒绝服务攻击还可以毁坏计算机***中的程序设计(programming)和文件,可以导致***减速或崩溃,或者可以中断到重要在线帐户(例如,银行帐户)的访问。虽然通常是故意和恶意的,但拒绝服务攻击有时候可能是偶然发生的,尽管破坏效果可能仍然是一样的。拒绝服务攻击并不是一定导致信息被窃取或其他安全损失。然而,这些攻击仍可能使目标用户或组织花费大量的时间和金钱。
尽管拒绝服务攻击可以采用许多形式,但其中最常用和明显的一种类型发生在攻击者用信息使网络“泛滥”或过载时,这有时被称为“广播风暴”。为了理解这种类型的攻击,考虑当用户在浏览器中键入特定网站的URL(通用资源***)时采取的动作。这导致浏览器向该网站的计算机服务器发送浏览所标识的页面的请求。但是,服务器一次只能处理一定数量的请求,所以如果攻击者用请求使服务器过载,则服务器就不能够处理来自合法用户的请求。
另一种类型的拒绝服务攻击发生在攻击者使用垃圾(spam)电子邮件消息来发起对目标用户的电子邮件帐户的攻击时。不管用户具有他们雇主提供的电子邮件帐户、还是可通过诸如Yahoo或Hotmail之类的免费服务得到的电子邮件帐户,每个用户都被分配了特定的限额,限制在任何给定时间该帐户中允许该用户拥有的数据量。通过向该帐户发送许多或大的电子邮件消息,攻击者可以消耗该用户的限额,从而妨碍合法消息的接收。
另一种类型的拒绝服务攻击常常被称为“缓冲区溢出攻击”,其中攻击者向网络地址发送比设计其数据缓冲区的程序员预期某人可能发送的要多的流量。攻击者可以知道目标***具有可以利用的缺陷,或者攻击者可以简单地尝试多种类型的攻击,直到找到有效的一个为止。基于程序或***的缓冲特性的若干众所周知的攻击包括:发送具有长文件名的附件的电子邮件消息、发送过大的因特网控制消息协议(ICMP)分组(这又被称为无休止(death)的分组因特网或网络间探索(查验(ping))),或者发送具有长的“发件人”地址的电子邮件。
另一种类型的拒绝服务攻击常常被称为“SYN攻击”。当在网络中的传输控制程序(TCP)客户机与服务器之间发起会话时,存在很小的缓冲空间来处理建立会话的消息的、通常快速的“握手”交换。会话建立分组包括SYN字段,它标识消息交换的顺序。攻击者可以非常快速地发送多个连接请求,然后不响应应答。这在缓冲区中留下第一个分组,从而减少了服务器可以用来容纳其他合法连接请求的缓冲空间。尽管服务器在没有应答的情况下经过一定时间段后丢弃缓冲区中的该分组,但许多这样的假连接请求的效果将降低服务器可以建立合法会话请求的速度。
另一种类型的拒绝服务攻击常常被称为“泪珠(teardrop)攻击”,它利用这样的方式,即,当分组过大以至于下一路由器无法处理时,因特网协议(IP)要求分组被分成片段。片段分组标识相对于第一个分组的开头的偏移,能够使整个分组被接收***重组起来。在泪珠攻击中,攻击者的IP在第二个或后面的片段中放入令人混淆的偏移值。如果接收操作***没有应对这种情况的措施,则它可能导致***崩溃。
在另一种类型的拒绝服务攻击中,攻击者发送报头中具有无效标志的TCP(传输控制协议)分组。目标服务器的TCP软件将检测到错误,并且丢弃该分组,但检查(interrogate)分组并确定它无效的动作仍消耗宝贵的资源和处理带宽,尤其是当服务器被许多无效分组淹没时。
另一种类型的拒绝服务攻击常常被称为“欺骗(smurf)攻击”,其中攻击者向目标服务器发送IP查验(ping)(或者“将我的消息回应给我”)请求。查验分组指令接收服务器向接收服务器的局域网内的若干主机广播该查验分组。该分组还指示该请求是来自另一站点-要接收拒绝服务的目标站点。(发送其中具有别人的返回地址的分组被称为欺骗返回地址。)结果是许多查验应答被泛滥回到无辜的被骗主机。如果足够泛滥,被骗的主机将不再能够接收或区分真正的业务流量。
计算机病毒、特洛伊木马、蠕虫或其他潜在的破坏性代码在网络上以多种方式复制,也可以被看作拒绝服务攻击,其中受害者通常并不是特定目标,而仅仅是运气不够好、感染病毒的主机。取决于具体的病毒,拒绝服务的范围可以从几乎一直没有察觉到彻底的灾难。
拒绝服务攻击也可以是分布式的,其中攻击者可以使用不令人生疑的用户的计算机来攻击另一计算机。通过利用安全脆弱性或弱点,攻击者可以控制属于多个不令人生疑的用户的计算机。攻击者然后迫使这些计算机向网站发送大量数据或者向特定电子邮件地址发送垃圾邮件。该攻击是“分布式”的,因为攻击者使用多个计算机来发出拒绝服务攻击。
计算机防御这些拒绝服务攻击的一种方式是通过常称为防火墙的设备。防火墙的名字取自于阻止火从一个位置向另一位置扩散的物理建筑结构。类似地,计算机术语中的防火墙是阻止攻击进入所述计算机的硬件和/或软件。防火墙典型地检查来自网络的进入数据分组,并且过滤恶意分组。
当前的防火墙使用反应式方法(reactive approach),其中同一进程处理恶意分组的检测、恶意分组的过滤和无辜分组的路由。此外,过滤和路由的反应紧跟在检测之后进行。简单的反应式防火墙的问题在于,它们通过分析进入流来识别攻击所花的时间直接取自执行已有防火墙规则所需的时间。因此,检测进程越复杂,防火墙执行将无辜网络分组路由到目标服务器内的它们的目的地的正常操作所需要的时间就越长。
一些当前的防火墙还有其他问题,它们可能由于不完整和不准确的攻击检测机制而产生假攻击警报。许多假警报的起因在于分组分析不充分。另外,在现有的防火墙中,分组检测进程常常与网络堆栈处理和分组过滤耦合过于紧密。例如,如果检测进程具有与过滤进程相同的执行优先级,则这给攻击检测的复杂度施加了资源(例如,CPU、存储器)限制。一种尝试解决攻击检测和分析的问题的技术是,使用快速的硬件实现。不幸的是,基于硬件的解决方案通常制造起来很昂贵。
没有更好的方法来检测和对付拒绝服务攻击,用户将继续忍受降低的攻击检测效率或下降的吞吐量以及假警报。
发明内容
提供了一种方法、设备、***和信号承载介质,在实施例中,其基于规则过滤从网络接收的分组。所述过滤基于规则丢弃各分组的一个子集,并且保留各分组剩余子集。该剩余子集被复制到目的地。通过检测剩余子集的采样中是否存在征状,在较低优先级的进程中与所述过滤和所述复制脱机地创建规则。在一个实施例中,基于采样中征状存在的频率,改变检测征状的顺序。在各种实施例中,所述征状可以包括在一段时间内接收阈值数量的查验分组,在一段时间内接收阈值数量的广播分组,接收具有无效源地址的分组,接收具有无效报头标志的分组,以及在一段时间内接收阈值数量的、包含序列标志的分组。通过这种方式,增加了防火墙的吞吐性能。
根据本发明的一个方面,提供一种用于分组的脱机分析的方法,包括:过滤步骤,基于至少一条规则过滤分组,其中,所述过滤步骤基于该规则丢弃各分组的第一子集,并保留所述各分组的剩余子集;创建步骤,创建所述剩余子集的采样;检测步骤,检测该采样中是否存在多个征状中的每个征状;和确定步骤,基于检测步骤来确定所述至少一条规则,其中所述检测步骤和所述确定步骤在与所述过滤步骤和所述创建步骤不同的进程中执行。
根据本发明的另一方面,提供一种用于分组的脱机分析的设备,包括:基于至少一条规则过滤分组的装置,其中所述用于过滤的装置基于该规则丢弃各分组的第一子集,并保留所述各分组的剩余子集;用于创建所述剩余子集的采样的装置;用于检测该采样中是否存在多个征状中的每个征状的多个装置;和用于基于所述多个用于检测的装置来确定所述至少一条规则的装置,其中所述多个用于检测的装置和所述用于确定的装置,在与所述用于过滤的装置和所述用于创建的装置不同的进程中执行。
根据本发明的另一方面,提供一种防火墙装置,包括:多个分析器模块,其中所述多个分析器模块检测分组中的多个相应征状,并且基于所述多个征状创建多个相应规则;和过滤器模块,用于基于所述多个相应规则过滤分组,其中所述多个分析器模块与过滤器模块脱机地执行,其中,所述多个分析器模块按照顺序执行,并且其中所述多个分析器模块之一基于所述多个征状之一的存在与否,按优先级重新排列执行顺序。
根据一个实施例,本发明提供编码有指令的信号承载介质,其中当执行时所述指令包括:基于至少一条规则过滤分组,其中所述过滤基于该规则丢弃各分组的第一子集,并保留该各分组的剩余子集;创建所述剩余子集的采样;检测该采样中是否存在多个征状中的每一个;基于该采样中所述多个征状中的每个的频率,改变所述检测所述多个征状中的每一个是否存在的执行顺序;以及基于所述检测来确定所述至少一条规则,其中所述检测和所述确定在与所述过滤和所述创建不同的进程中执行。
该信号承载介质还可以包括:将剩余的子集复制到目的地。
根据另一实施例,该复制指令还包括:在与所述过滤和所述创建相同的进程中将剩余子集复制到目的地。
根据另一实施例,所述征状包括:在一段时间内接收阈值数量的查验分组或者在一段时间内接收阈值数量的广播分组。
所述征状还可以包括:接收到具有无效源地址的分组之一。所述征状还可以包括:接收到具有无效报头标志的分组之一。所述征状还可以包括:在一段时间内接收阈值数量的、包含序列标志的分组。根据另一实施例,所述不同的进程具有比所述过滤和所述创建低的优先级。
根据本发明另一实施例,提供一种计算机***,包括:处理器;和网络接口,该网络接口包括:多个分析器模块,其中所述多个分析器模块检测分组中的多个相应征状,并且基于所述多个征状创建多个相应规则;过滤器模块,用于基于所述多个规则过滤分组,其中所述多个分析器模块与过滤器模块脱机地执行;以及采样模块,用于向处理器上执行的应用发送经过滤的分组,并且向所述多个分析器模块发送经过滤的分组的采样。根据另一实施例,所述多个分析器模块按照顺序执行,并且其中所述多个分析器模块之一基于所述多个征状的存在与否,按优先级重新排列顺序。在另一实施例中,如果存在所述一个征状,则增加所述一个分析器模块的优先级,并且其中该顺序基于该优先级。根据另一个实施例,如果不存在所述一个征状,则减少所述一个分析器模块的优先级,并且其中该顺序基于该优先级。在另一实施例中,所述多个分析器模块之一周期性地从过滤器模块中移除相应规则。根据另一实施例,所述多个分析器模块之一基于时间阈值,周期性地从过滤器模块中移除相应规则。
根据另一实施例,所述多个分析器模块之一基于满足相应规则并被丢弃的分组数量,周期性地从过滤器模块中移除相应规则。根据另一实施例,所述采样模块创建经过滤的分组的子集,并且其中所述分析器模块分析该子集。
根据另一实施例,本发明提供一种配置计算机的方法,包括:配置计算机基于规则过滤分组;配置计算机为征状分析经过滤的分组;以及配置计算机基于该征状创建规则,其中与所述分组的所述过滤脱机地分析经过滤的分组和创建规则。
附图说明
现在将参照附图仅仅通过示例描述本发明,其中:
图1绘出了实现本发明实施例的示例***的框图;
图2绘出了根据本发明实施例的示例***的选择组件的框图;
图3绘出了根据本发明实施例的示例***中的分组流动的框图;
图4绘出了根据本发明实施例的用于过滤器模块的示例处理的框图;
图5绘出了根据本发明实施例的采样模块的示例处理的流程图;
图6绘出了根据本发明实施例的分析器模块的示例处理的流程图;以及
图7绘出了根据本发明实施例的分析器模块的另一示例处理的流程图。
具体实施方式
参照附图,其中在几个图中相同的附图标记代表相同的部件,图1绘出了根据本发明实施例的、连接到网络130的计算机***100的高层框图表示。计算机***100的主要组件包括一个或多个处理器101、主存储器102、终端接口111、存储接口112、I/O(输入/输出)设备接口113、以及通信/网络接口114(在实施例中是防火墙),它们全部通过存储器总线103、I/O总线104和I/O总线接口单元105耦合来进行组件间通信。
计算机***100包含一个或多个通用可编程中央处理单元(CPU)101A、101B、101C和101D,这里统称为处理器101。在一个实施例中,计算机***100包含多个处理器(通常是相对大的***中);然而在另一实施例中,计算机***100也可以是单CPU***。每个处理器101执行存储在主存储器102中的指令,并且可以包括一级或多级板上高速缓冲存储器。
每个处理器101可以实现为单线程处理器或者多线程处理器。在很大程度上说,驻留在计算机100中的软件像独立的处理器那样对待多线程处理器中的每个硬件线程。在这点上,为了本公开的目的,将考虑包括单个硬件线程(即,单个独立的执行单元)的单线程处理器。然而应当理解,可以结合单线程和多线程处理器使用基于软件的多线程或多任务,以便进一步支持计算机100中的多任务的并行执行。
主存储器102是用于存储数据和程序的随机存取半导体存储器。主存储器102在概念上是单个的一体式实体,但在其他实施例中,主存储器102是更复杂的配置,如高速缓冲存储器和其他存储器件的体系。例如,存储器可以存在于多级高速缓冲存储器中,并且这些高速缓冲存储器可以进一步按照功能划分,从而一个高速缓冲存储器保存指令,而另一个保存供所述(各)处理器使用的非指令数据。存储器还可以是分布式的,并且与不同的CPU或CPU集相关联,这就是在各种所谓的非均匀存储器存取(NUMA)计算机架构中的任一个。
主存储器102包括操作***150,后者是控制计算机***100的硬件资源(如处理器101的处理时间、存储器102、盘空间和***设备)在各种应用、进程或线程之间的分配和使用的软件。操作***150典型地是建立应用的基础。在各个实施例中,操作***150可以由OS/400、UNIX、AIX或任何其他适合的操作***实现。操作***150包括能够在处理器101上执行的指令,或者能够被处理器101上执行的指令解释的语句。计算机***100可以使用虚拟地址机制,允许计算机***100的程序操作看起来好像它们只存取大的、单个存储实体,而不是存取多个小的存储实体。因此,尽管操作***150显示为包含在计算机100的存储器102中,但操作***150的各部分不一定都完全同时包含在同一存储设备中。
主存储器102还包括一个应用或多个应用152。应用是从网络130接收的数据的分组的目的地或接收者。尽管应用152在图1中显示为与操作***150分开,但在另一实施例中,它们被封装在一起或者是同一个。
存储器总线103提供用于在处理器101、主存储器102和I/O总线接口单元105之间传输数据的数据通信路径。I/O总线接口单元105进一步被耦合到***I/O总线104,后者用于将数据向/从各个I/O单元传输。I/O总线接口单元105通过***I/O总线104与多个I/O接口单元111、112、113和114(又称为I/O处理器(IOP)或I/O适配器(IOA))通信。***I/O总线104可以是例如,产业标准PCI(***组件互连)总线,或者任何其他适合的总线技术。I/O接口单元支持与多种存储和I/O设备的通信。例如,终端接口单元111支持一个或多个终端121、122、123和124的附接。
存储接口单元112支持一个或多个直接存取存储设备(DASD)125、126和127的附接(它们典型地是旋转磁盘驱动存储设备,尽管它们也可以是其他设备,包括被配置成对主机看来是单个大存储设备的盘驱动阵列)。DASD125、126和127的内容按照需要可以被加载并存储到存储器102。存储接口单元112也可以支持其他类型的设备,如磁带设备131、光学设备或任何其他类型的存储设备。
I/O和其他设备接口113提供对任何各种其他输入/输出设备或其他类型设备的接口。在图1的示例性实施例中示出两个这样的设备一打印机128和传真机129,但在其他实施例中,可以存在许多其他这样的、可以是不同类型的设备。
网络接口114提供从计算机***100到其他数字设备和计算机***的一条或多条通信路径;这样的路径可以包括例如,一个或多个网络130。在各个实施例中,网络接口114可以通过防火墙、路由器、调制解调器、LAN(局域网)卡、虚拟LAN卡、因特网服务提供商(ISP)、个人计算机或者任何其他适合的网络接口或网络接口组合来实现。下面参照图2进一步描述网络接口114的所选组件。
尽管存储器总线103在图1中显示为提供处理器101、主存储器102和I/O总线接口105之间的直接通信路径的、相对简单的单总线结构,但实际上,存储器总线103可以包括多个不同的总线或通信路径,它们可以以多种形式中的任一种排列,如分层的点到点链路、星或网状配置、多层总线、平行和冗余路径等。此外,尽管I/O总线接口105和I/O总线104显示为单个各自单元,但计算机***100实际上可以包括多个I/O总线接口单元105和/或多个I/O总线104。尽管多个I/O接口单元显示为将***I/O总线104与前进到各个I/O设备的各个通信路径分开,但在其他实施例中,一些或全部I/O设备直接连接到一个或多个***I/O总线。
图1中绘出的计算机***100具有多个附接的终端121、122、123和124,可能就像典型的多用户“大型机”计算机***那样。典型地,在这种情况下实际附接的设备数量比图1所示的要大,尽管本发明不限于任何具体大小的***。计算机***100也可以是单用户***,典型地包括仅单个用户显示器和键盘输入,或者可以是具有很少或没有直接用户接口、而是接收来自其他计算机***(客户机)的请求的服务器或类似设备。在其他实施例中,计算机***100可以实现为防火墙、路由器、因特网服务提供商(ISP)、个人计算机、便携式计算机、膝上或笔记本计算机、PDA(个人数字助理)、平板计算机、袖珍计算机、电话、寻呼机、汽车、电话会议***、家电或任何其他适合类型的电子设备。
网络130可以是任何适合的网络或网络组合,并且可以支持任何适合向/从计算机***100的数字和/或代码通信的适当协议。在实施例中,网络130可以表示直接或间接连接到计算机***100的存储设备或存储设备的组合。在一个实施例中,网络130可以支持Infiniband(无限带宽)。在另一实施例中,网络130可以支持无线通信。在另一实施例中,网络130可以支持硬连线的通信,如电话线、线缆或总线。在另一实施例中,网络130可以支持以太网IEEE(电气和电子工程师协会)802.3x规范。
在另一实施例中,网络130可以是因特网并且可以支持IP(因特网协议)。在另一实施例中,网络130可以是局域网(LAN)或广域网(WAN)。在另一实施例中,网络130可以是热点服务提供商网络。在另一实施例中,网络130可以是内联网。在另一实施例中,网络130可以是GPRS(通用分组无线服务)网络。在另一实施例中,网络130可以是FRS(家庭无线服务)网络。在另一实施例中,网络130可以是任何适合的蜂窝数据网络或者基于小区的无线网络技术。在另一实施例中,网络130可以是802.11B无线网络。在再一个实施例中,网络130可以是任何适合的网络或网络组合。尽管示出了一个网络130,但在其他实施例中,可以存在任何数量(相同或不同类型)的网络。
应当理解,图1意图在高层上绘出计算机***100和网络130的代表性主要组件,各个组件可以具有比图1所示更高的复杂度,可以存在图1所示的以外的组件或者比其更少或更多的组件,并且这些组件的数量、类型和配置可以改变。这里披露了这种额外复杂度或额外变型的若干具体示例;应当理解,这些仅仅是通过示例的方式,而并不一定是仅有的这些变型。实际上,可以使用其他替代硬件和/或软件环境,而不背离本发明的范围。
图2绘出了根据本发明实施例的示例***的所选组件的框图。该示例***包括计算机***100(用作服务器)、防火墙114和网络130,所有这些在上面已参照图1被描述过。
防火墙114的主要组件包括处理器201和主存储器202,它们通过存储器总线203、I/O总线204和I/O总线接口单元205连接来进行组件间通信。处理器201执行存储在主存储器102中的指令,可以包括一级或多级板上高速缓冲存储器,并且与之前在上面参照图1所述的处理器101类似。
在一个实施例中,主存储器202是随机存取半导体存储器,用于存储数据和程序,并且与之前在上面描述的图1中主存储器102类似。主存储器202可以是只读、读-写、易失或非易失的。主存储器202包括采样模块250、过滤器模块252和分析器模块254。尽管采样模块250、过滤器模块252和分析器模块254显示为被包含在防火墙114的存储器202内,但在其他实施例中,它们中的一些或全部可以在不同的电子设备上,并且可以被远程地存取。此外,尽管采样模块250、过滤器模块252和分析器模块254全都显示为被包含在防火墙114的存储器202内,但这些组件并不一定都是同时完全包含在同一存储设备中。在各种实施例中,采样模块250、过滤器模块252和分析器模块254中的一些或全部可以被烧入存储器202中、从服务器100中加载、经由网络130接收、或者从未示出的辅助存储设备中加载。下面参照图3进一步描述采样模块250、过滤器模块252和分析器模块254的功能,以及采样模块250、过滤器模块252和分析器模块254之间的分组流动。
存储器总线203提供用于在处理器201、主存储器202和I/O总线接口单元205之间传输数据的数据通信路径。I/O总线接口单元205进一步耦合到***I/O总线204,后者用于将数据向/从各个I/O单元传输。I/O总线接口单元205通过***I/O总线204与服务器100和网络130通信。***I/O总线204可以是例如,产业标准PCI(***组件互连)总线,或者任何其他适合的总线技术。
应当理解,图2意图在高层上绘出防火墙114的代表性主要组件以及它与服务器100和网络130的关系,各个组件可以具有比图2所示更高的复杂度,可以存在图2所示的以外的组件或者比其更少或更多的组件,并且这些组件的数量、类型和配置可以改变。这里披露了这种额外复杂度或额外变型的若干具体示例;应当理解,这些仅仅是通过示例的方式,而并不一定是仅有这些变型。
图2所示的各种软件组件和本发明实施的各种实施例可以以多种方式实现,包括使用各种计算机软件应用、例程、组件、程序、对象、模块、数据结构等,下面称为“计算机程序”或简称为“程序”。计算机程序典型地包括在各个时刻驻留在防火墙114的各个存储器和存储设备中的一个或多个指令,当它们被防火墙114中的一个或多个处理器201读取并执行时,使得防火墙114执行必要的步骤,来运行实现本发明实施例的各个方面的步骤或要素。
此外,尽管在完全功能性的防火墙的上下文中已经和下面即将描述本发明实施例,但本发明的各个实施例能够以多种方式分发为程序产品,并且不管用来实际进行分发的信号承载介质的具体类型如何,本发明都同等适用。定义该实施例的功能的程序可以通过多种信号承载介质递送给防火墙114,包括但不限于:
(1)永久存储在不可重写的存储介质上的信息,例如,附接到计算机***或计算机***内的只读存储设备,如CD-ROM、DVD-R或DVD+R;
(2)存储在可重写的存储介质上的可改写信息,例如,硬盘驱动器、CD-RW、DVD-RW、DVD+RW、DVD-RAM或软盘;或者
(3)通过通信介质传送到防火墙114的信息,如通过计算机或电话网络,例如包括无线通信的网络130。
这些信号承载介质在承载指示本发明功能的机器可读指令时,代表本发明的实施例。
此外,下面描述的各种程序可以基于在本发明特定实施例中实现的应用来标识。但是,下面任何具体的程序命名仅仅是用于方便的目的,因此本发明的实施例不应当限于仅在由该命名标识和/或暗示的任何特定应用中使用。
图2所示的示例性环境并非意图限制本发明。实际上,可以使用其他替代硬件和/或软件环境,而不背离本发明的范围。
图3绘出了示出根据本发明实施例的、连接到服务器100和网络130的防火墙114的示例***的分组流动的框图。过滤器模块252接收来自网络130的分组数据流,并且基于从分析器模块254接收的规则,过滤接收的分组数据流。如果接收的分组满足规则之一,即,接收的分组显示代表入侵者攻击的征状,则过滤器模块252就丢弃该分组。在各个实施例中,过滤器模块252可以通过将分组移动到虚拟回收站或日志来丢弃它,如果期望的话可以在以后询问它,或者过滤器模块252可以简单地删除该分组或用其他数据(如后面接收的另一分组)重写该分组。如果接收的分组不满足规则,则过滤器模块252将接收的分组转发到采样模块250。因此,过滤器模块252基于至少一条规则过滤各分组,基于所述规则丢弃分组的子集,并且转发剩余的分组子集。下面将参照图4进一步描述过滤器模块252的功能。
采样模块250从过滤器模块252接收剩余的分组子集,然后将所述剩余的子集复制到目的地,如服务器100中的应用152。采样模块250还将接收分组的该剩余子集的采样复制到分析器模块254。可以使用任何适合的采样率。因此,采样模块250发送到分析器模块254的采样分组是采样模块250从过滤器模块252接收的分组的另一子集。下面参照图5进一步描述采样模块250的功能。
分析器模块254从采样模块250接收预定采样率的采样分组,并且对采样分组分析入侵者攻击的征状。分析器模块254与采样模块250和过滤器模块252脱机地运行,意味着分析器模块254在不同的线程、进程和作业中运行。在一个实施例中,分析器模块254在比过滤器模块252和采样模块250低的优先级上运行,以便减少对过滤器模块252和采样模块250功能的任何性能影响。下面将参照图6和7进一步描述分析器模块254的功能。
图4绘出了根据本发明实施例的、过滤器模块252的示例处理的流程图。控制在方框400开始。控制然后继续到方框405,在此过滤器模块252接收来自网络130的分组。控制然后继续到方框410,在此过滤器模块252判断接收的分组是否满足过滤器模块252之前从分析器模块254(将在下面参照图7进一步描述)接收的(一条或多条)规则。如果方框410处的判断为真,则接收的分组满足所述规则,从而控制继续到方框415,在此过滤器模块252拒绝并丢弃该分组,并且更新用于跟踪满足规则并被丢弃的分组的统计计数器。使用的统计计数器将在下面参照图7进一步描述。控制然后返回到方框405来处理下一分组,如之前上面所述的那样。
如果在方框410处的判断为假,则接收的分组不满足规则,从而控制继续到方框420,在此过滤器模块252向采样模块250发送接收的分组。控制然后返回之前上面所述的方框405。
图5绘出了根据本发明实施例的采样模块250的示例处理的流程图。控制在方框500开始。控制然后继续到方框505,在此采样模块250接收来自过滤器模块252的分组。控制然后继续到方框510,在此采样模块250将该分组复制到服务器100上的目的地,如应用152。控制然后继续到方框515,在此采样模块250可以根据采样率将该分组存储在与分析器模块254相关联的存储设备中。在另一实施例中,采样模块250可以向分析模块254发送采样分组。控制然后返回之前上面所述的方框505。
图6绘出了根据本发明实施例的、对每个采样分组执行一次的分析器模块254的示例处理的流程图。控制在方框600处开始。控制然后继续到方框610,在此最高优先级的分析器模块A254判断是否需要对征状A进行动作,并且如果需要的话管理对征状A的规则A,这将在下面参照图7进一步描述。
控制然后继续到方框620,在此第二高优先级的分析器模块B 254判断是否需要对征状B进行动作,并且如果需要的话管理对征状B的相应规则B,这将在下面参照图7进一步描述。
控制然后继续到方框630,在此第三高优先级的分析器模块C 254判断是否需要对征状C进行动作,并且如果需要的话管理对征状C的相应规则C,这将在下面参照图7进一步描述。
控制然后继续到方框640,在此最低优先级的分析器模块N 254判断是否需要对征状N进行动作,并且如果需要的话管理对征状N的相应规则N,这将在下面参照图7进一步描述。控制然后继续到方框645,在此与分析器模块254相关联的控制逻辑基于计算的分析器模块254的新优先级(下面参照图7进一步描述),重新按优先级排列分析器模块A、B和N 254执行的顺序。例如,执行图6的下一时间逻辑,最高优先级到最低优先级的分析器模块可以是不同的。以这种方式,基于采样分组中的每个征状的频率,改变对是否存在每个征状的检测的执行顺序,这将在下面参照图7描述。因此,首先检查最频繁发生的征状,而最后检查最不频繁发生的征状,等等。控制然后继续到方框699,在此返回图6的逻辑。
尽管对于相应征状A、B、C和N及相应规则A、B、C和N分别显示分析器模块A、B、C和N 254,但在其他实施例中,可以存在任意数量的分析器模块、征状和规则。此外,尽管分别显示不同的模块A、B、C和N 254检测不同的征状A、B、C和N,但可以通过同一分析器模块254检测一些或全部不同的征状A、B、C和N。征状A、B、C和N及相应规则A、B、C和N将在下面参照图7进一步描述。
尽管在图6中分析器模块A被描绘为最高优先级的分析器模块,分析器模块B是第二高优先级,分析器模块C是第三高优先级,而分析器模块N是最低优先级,但分析器模块254的优先级可以改变,这将在下面参照图7进一步描述。响应于优先级的改变,图6中各个分析器模块A、B、C和N 254的执行顺序改变。
图7绘出了根据本发明实施例的分析器模块A、B、C和N 254(之前上面参照图6描述的)中的任何和全部的示例处理的流程图。笼统地,图7将任何分析器模块A、B、C或N称为“分析器X”254,其中“X”是指A、B、C或N,取决于图7的逻辑调用图6中的哪个方框。
控制在方框700处开始。控制然后继续到方框705,在此分析器模块X 254判断相关征状X是否之前已被检测过(通过方框720处图7的逻辑的先前调用),以及相关规则X当前是否在实施(通过滤波器模块252,如之前上面参照图4所述)。如果方框705处的判断为真,则规则X已经被滤波器模块252实施,从而控制继续到方框710,在此分析器模块X 254通过估计引起征状X的攻击是否终止或失效,判断是否到了该移除所实施的规则X的时候。在一个实施例中,分析器模块X 254通过将从规则X被实施起所经过的时间与阈值进行比较来做出判断,并且所有的规则X可以具有相同或不同的阈值。在另一实施例中,分析器模块X 254通过分析滤波器模块252之前保存的统计信息(之前上面参照图4中的方框415所述),在方框710处做出判断。因此,分析器模块254基于阈值或者基于满足规则并被丢弃的分组数量,估计规则X所检测的征状X是否不再发生。
如果方框710处的判断为真,则是移除所实施的规则的时候了,从而控制继续到方框715,在此分析器模块X 254将规则X从过滤器模块252当前执行的规则集中移除。控制然后继续到方框799,在此图7的逻辑返回。
如果方框710处的判断为假,则没到移除所实施的规则的时候,从而控制继续到方框799,在此图7的逻辑返回。
如果方框705处的判断为假,则相关规则X当前未被滤波器模块252实施,从而控制继续到方框720,在此分析器模块X 254判断当前采样分组中是否存在征状X。
如果方框720处的判断为真,则当前采样分组中存在征状X,从而控制继续到方框722,在此分析器模块X 254递增或以其他方式增加分析器模块X254的优先级。分析器模块的优先级用来排列检测征状的执行顺序,如之前参照图6所述那样。控制然后继续到方框725,在此分析模块X 254向过滤器模块252发送所确定的规则X。
控制然后继续到方框799,在此图7的逻辑返回。
如果方框720处的判断为假,则当前采样中不存在征状X,从而控制继续到方框735,在此分析器模块X 254递减或以其他方式减少分析器模块X254的相关联的优先级。控制然后继续到之前上面所述的方框799。
在各个实施例中,征状X(之前上面参照图6所述的征状A、B、C和N)及其各自的规则X(之前上面参照图6所述的规则A、B、C和N)可以包括下面中的任一个、一些或全部:
查验泛滥(ping flood):如果分析器模块254检测到超过阈值的、送往特定目标(例如应用152)的多个ICMP回应请求的征状,则分析器模块254创建一条规则,命令过滤器模块252在一段时间内丢弃指向该目标的所有回应或查验请求。尽管在该示例中描述了ICMP协议,但在其他实施例中,可以使用任何查验请求格式。
广播风暴(broadcast storm):广播分组请求目标向多个目的地发送相同分组。在活跃的网络中一定数量的广播分组是正常的。但是当发送过量时,网络可能被淹没于(overwhelm)转发和处理这些分组。如果分析器模块254检测到在一段时间内接收到阈值数量的广播分组的征状,则分析器模块创建一条规则,命令过滤器模块252在一段时间内丢弃所有广播分组。
欺骗(Bogon):如果分析器模块254检测到接收到具有无效源地址的分组的征状,则分析器模块254创建一条规则,命令过滤器模块252丢弃源自该无效源地址的所有分组。
无效TCP标志:如果分析器模块254检测到接收到分组报头中具有无效标志的分组的征状,则分析器模块254创建一条规则,命令过滤器模块252丢弃具有该无效标志的所有分组。尽管描述了TCP标志,但在其他实施例中可以使用任何适合的协议的标志。
SYN(序列)泛滥:SYN泛滥攻击以比目标目的地(例如,应用152)所能处理的要快的速度发送TCP连接请求。攻击者为每个分组创建随机源地址。每个分组中设置的SYN标志是开放从该被欺骗的IP地址到服务器的新连接的请求。受害目的地对被欺骗的IP地址应答,然后等待永远也不会到达的确认。受害者的连接表填满了对应答的等待。在表被填满之后,所有新的连接就被忽略掉。合法用户也被忽略掉,从而无法访问该服务器。一旦攻击者停止泛滥该服务器,则该服务器通常回到正常状态,因此SYN泛滥很少使服务器崩溃。SYN泛滥攻击可以作为其他攻击的一部分,例如在TCP拦截中使连接的一方失去能力,或者阻止服务器之间的鉴别或登陆。如果分析器模块254检测到在一段时间内接收到阈值数量的、包含SYN标志的分组的征状,则分析器模块254创建一条规则,命令过滤器模块252在一段时间内丢弃所有具有该SYN标志集的分组。
在前面对本发明示例性实施例的详细描述中,对构成本发明一部分的附图做了标记(其中相同的标号代表相同的元件),在附图中通过说明方式示出本发明可以实践的特定示例性实施例。对这些实施例进行了足够详细的描述,以便使本领域技术人员能够实践本发明,但也可以利用其他实施例,并且可以做出逻辑、机械、电子和其他改变,而不背离本发明的范围。本说明书中使用的词“实施例”的不同实例并不一定(当然它们可以)指的是同一实施例。前面的详细描述因此不应当以限制性的含义来理解,并且本发明的范围仅仅由权利要求书来限定。
在描述中,阐述了许多特定细节来提供对本发明的详尽理解。但是,可以在没有这些特定细节的情况下实践本发明。在其他实例中,为了不混淆本发明,没有详细示出公知的电路、结构和技术。
Claims (21)
1.一种用于分组的脱机分析的方法,包括:
过滤步骤,基于至少一条规则过滤分组,其中,所述过滤步骤基于该规则丢弃各分组的第一子集,并保留所述各分组的剩余子集;
创建步骤,创建所述剩余子集的采样;
检测步骤,检测该采样中是否存在多个征状中的每个征状;和
确定步骤,基于检测步骤来确定所述至少一条规则,其中所述检测步骤和所述确定步骤在与所述过滤步骤和所述创建步骤不同的进程中执行。
2.如权利要求1所述的方法,其中
所述不同的进程具有比所述过滤步骤和所述创建步骤低的优先级。
3.如权利要求1或2所述的方法,其中,所述征状包括:
在一段时间内接收到阈值数量的查验分组。
4.如权利要求1或2所述的方法,其中,所述征状包括:
在一段时间内接收到阈值数量的广播分组。
5.如权利要求1或2所述的方法,其中,所述征状包括:
接收到具有无效源地址的分组之一。
6.如权利要求1或2所述的方法,其中,所述征状包括:
接收到具有无效报头标志的分组之一。
7.如权利要求1或2所述的方法,其中,所述征状包括:
在一段时间内接收到阈值数量的、包含序列标志的分组。
8.一种用于分组的脱机分析的设备,包括:
基于至少一条规则过滤分组的装置,其中所述用于过滤的装置基于该规则丢弃各分组的第一子集,并保留所述各分组的剩余子集;
用于创建所述剩余子集的采样的装置;
用于检测该采样中是否存在多个征状中的每个征状的多个装置;和
用于基于所述多个用于检测的装置来确定所述至少一条规则的装置,其中所述多个用于检测的装置和所述用于确定的装置,在与所述用于过滤的装置和所述用于创建的装置不同的进程中执行。
9.如权利要求8所述的设备,还包括:
用于将所述剩余子集复制到目的地的装置。
10.如权利要求8所述的设备,还包括:
用于基于该采样中所述多个征状的频率、改变所述多个用于检测的装置的执行顺序的装置。
11.如权利要求8、9或10所述的设备,其中,所述征状包括:
在一段时间内接收到阈值数量的查验分组。
12.如权利要求8、9或10所述的设备,其中,所述征状包括:
在一段时间内接收到阈值数量的广播分组。
13.如权利要求8、9或10所述的设备,其中,所述征状包括:
接收到具有无效源地址的分组之一。
14.如权利要求8、9或10所述的设备,其中,所述征状包括:
接收到具有无效报头标志的分组之一。
15.如权利要求8、9或10所述的设备,其中,所述征状包括:
在一段时间内接收到阈值数量的、包含序列标志的分组。
16.如权利要求8、9或10所述的设备,其中,所述不同的进程具有比所述用于过滤的装置和所述用于创建的装置低的优先级。
17.一种防火墙装置,包括:
多个分析器模块,其中所述多个分析器模块检测分组中的多个相应征状,并且基于所述多个征状创建多个相应规则;和
过滤器模块,用于基于所述多个相应规则过滤分组,其中所述多个分析器模块与过滤器模块脱机地执行,
其中,所述多个分析器模块按照顺序执行,并且其中所述多个分析器模块之一基于所述多个征状之一的存在与否,按优先级重新排列执行顺序。
18.如权利要求17所述的防火墙装置,其中,如果存在所述一个征状,则增加所述一个分析器模块的优先级,并且其中该执行顺序基于该优先级。
19.如权利要求17所述的防火墙装置,其中,如果不存在所述一个征状,则减少所述一个分析器模块的优先级,并且其中该执行顺序基于该优先级。
20.如权利要求17所述的防火墙装置,其中,所述多个分析器模块之一周期性地从过滤器模块中移除相应规则。
21.如权利要求17所述的防火墙装置,还包括:
采样模块,用于采样经过滤的分组,其中所述采样创建经过滤的分组的子集,并且其中所述分析器模块分析该子集。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/961,736 US7490235B2 (en) | 2004-10-08 | 2004-10-08 | Offline analysis of packets |
US10/961,736 | 2004-10-08 | ||
PCT/EP2005/055096 WO2006037809A1 (en) | 2004-10-08 | 2005-10-07 | Offline analysis of packets |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101036369A CN101036369A (zh) | 2007-09-12 |
CN101036369B true CN101036369B (zh) | 2011-02-23 |
Family
ID=35510913
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2005800339787A Active CN101036369B (zh) | 2004-10-08 | 2005-10-07 | 分组的脱机分析 |
Country Status (6)
Country | Link |
---|---|
US (2) | US7490235B2 (zh) |
EP (1) | EP1805963B1 (zh) |
CN (1) | CN101036369B (zh) |
AT (1) | ATE461578T1 (zh) |
DE (1) | DE602005020045D1 (zh) |
WO (1) | WO2006037809A1 (zh) |
Families Citing this family (105)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2002084499A1 (en) * | 2001-04-11 | 2002-10-24 | Chelsio Communications, Inc. | Multi-purpose switching network interface controller |
US7831745B1 (en) | 2004-05-25 | 2010-11-09 | Chelsio Communications, Inc. | Scalable direct memory access using validation of host and scatter gather engine (SGE) generation indications |
US20060184792A1 (en) * | 2005-02-17 | 2006-08-17 | Scalable Software | Protecting computer systems from unwanted software |
US8095983B2 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
US7958560B1 (en) | 2005-03-15 | 2011-06-07 | Mu Dynamics, Inc. | Portable program for generating attacks on communication protocols and channels |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US8028160B1 (en) * | 2005-05-27 | 2011-09-27 | Marvell International Ltd. | Data link layer switch with protection against internet protocol spoofing attacks |
US7793333B2 (en) * | 2005-06-13 | 2010-09-07 | International Business Machines Corporation | Mobile authorization using policy based access control |
US7826447B1 (en) * | 2005-06-22 | 2010-11-02 | Marvell International Ltd. | Preventing denial-of-service attacks employing broadcast packets |
JP2007006054A (ja) * | 2005-06-23 | 2007-01-11 | Hitachi Ltd | パケット中継装置及びパケット中継システム |
US7616563B1 (en) | 2005-08-31 | 2009-11-10 | Chelsio Communications, Inc. | Method to implement an L4-L7 switch using split connections and an offloading NIC |
US7660306B1 (en) | 2006-01-12 | 2010-02-09 | Chelsio Communications, Inc. | Virtualizing the operation of intelligent network interface circuitry |
US7660264B1 (en) | 2005-12-19 | 2010-02-09 | Chelsio Communications, Inc. | Method for traffic schedulign in intelligent network interface circuitry |
US7715436B1 (en) | 2005-11-18 | 2010-05-11 | Chelsio Communications, Inc. | Method for UDP transmit protocol offload processing with traffic management |
US7724658B1 (en) | 2005-08-31 | 2010-05-25 | Chelsio Communications, Inc. | Protocol offload transmit traffic management |
GB0518578D0 (en) * | 2005-09-13 | 2005-10-19 | Qinetiq Ltd | Communications systems firewall |
US7760733B1 (en) * | 2005-10-13 | 2010-07-20 | Chelsio Communications, Inc. | Filtering ingress packets in network interface circuitry |
US7743260B2 (en) * | 2006-05-17 | 2010-06-22 | Richard Fetik | Firewall+storage apparatus, method and system |
US20080022386A1 (en) * | 2006-06-08 | 2008-01-24 | Shevchenko Oleksiy Yu | Security mechanism for server protection |
EP1892886A1 (de) * | 2006-08-23 | 2008-02-27 | Nokia Siemens Networks Gmbh & Co. Kg | Verfahren zur Steuerung einer Lastanpassung in einem Funk-Kommunikationssystem |
US8316447B2 (en) | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
US9455953B2 (en) * | 2006-10-11 | 2016-09-27 | Lantiq Beteiligungs-GmbH & Co. KG | Router chip and method of selectively blocking network traffic in a router chip |
US7804774B2 (en) | 2006-12-01 | 2010-09-28 | Sonus Networks, Inc. | Scalable filtering and policing mechanism for protecting user traffic in a network |
JP2011503912A (ja) * | 2006-12-01 | 2011-01-27 | ソーナス ネットワークス, インコーポレイテッド | ネットワークのサービス妨害攻撃に対する防御のための情報選別及び監視制限 |
US7672336B2 (en) | 2006-12-01 | 2010-03-02 | Sonus Networks, Inc. | Filtering and policing for defending against denial of service attacks on a network |
US7940657B2 (en) | 2006-12-01 | 2011-05-10 | Sonus Networks, Inc. | Identifying attackers on a network |
US8935406B1 (en) | 2007-04-16 | 2015-01-13 | Chelsio Communications, Inc. | Network adaptor configured for connection establishment offload |
US8060644B1 (en) | 2007-05-11 | 2011-11-15 | Chelsio Communications, Inc. | Intelligent network adaptor with end-to-end flow control |
US7826350B1 (en) | 2007-05-11 | 2010-11-02 | Chelsio Communications, Inc. | Intelligent network adaptor with adaptive direct data placement scheme |
US8589587B1 (en) | 2007-05-11 | 2013-11-19 | Chelsio Communications, Inc. | Protocol offload in intelligent network adaptor, including application level signalling |
US7831720B1 (en) | 2007-05-17 | 2010-11-09 | Chelsio Communications, Inc. | Full offload of stateful connections, with partial connection offload |
US7774637B1 (en) * | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
JP4946902B2 (ja) * | 2008-02-08 | 2012-06-06 | 富士通株式会社 | 通信制御装置、通信制御方法、通信制御プログラム |
US20100162379A1 (en) * | 2008-12-23 | 2010-06-24 | Interdigital Patent Holdings, Inc. | Unsolicited communication mitigation |
JP4798278B2 (ja) * | 2009-09-17 | 2011-10-19 | コニカミノルタビジネステクノロジーズ株式会社 | ジョブ処理システムおよび画像処理装置、プログラム、画像処理装置の制御方法 |
CN102045251B (zh) * | 2009-10-20 | 2012-08-22 | 国基电子(上海)有限公司 | 路由器及tcp端口防御方法 |
TWI397286B (zh) * | 2009-10-28 | 2013-05-21 | Hon Hai Prec Ind Co Ltd | 路由器及tcp埠防禦方法 |
TWI492090B (zh) * | 2010-01-15 | 2015-07-11 | Chunghwa Telecom Co Ltd | 分散式阻斷攻擊防護系統及其方法 |
US8621627B1 (en) | 2010-02-12 | 2013-12-31 | Chelsio Communications, Inc. | Intrusion detection and prevention processing within network interface circuitry |
US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
JP2013070325A (ja) * | 2011-09-26 | 2013-04-18 | Nec Corp | 通信システム、通信装置、サーバ、通信方法 |
US9215184B2 (en) * | 2011-10-17 | 2015-12-15 | Hewlett-Packard Development Company, L.P. | Methods of and apparatus for managing non-congestion-controlled message traffic in a datacenter |
US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
US8938804B2 (en) * | 2012-07-12 | 2015-01-20 | Telcordia Technologies, Inc. | System and method for creating BGP route-based network traffic profiles to detect spoofed traffic |
US9628499B1 (en) | 2012-08-08 | 2017-04-18 | Google Inc. | Statistics-based anomaly detection |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9614742B1 (en) | 2013-03-14 | 2017-04-04 | Google Inc. | Anomaly detection in time series data |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
EP3054631B1 (en) * | 2013-09-30 | 2019-02-13 | Mitsubishi Electric Corporation | Reception apparatus and communication apparatus |
US9692674B1 (en) * | 2013-12-30 | 2017-06-27 | Google Inc. | Non-parametric change point detection |
US9619157B2 (en) * | 2014-04-03 | 2017-04-11 | Analysis Solution Llc | High-speed data storage |
US9450916B2 (en) * | 2014-08-22 | 2016-09-20 | Honeywell International Inc. | Hardware assist for redundant ethernet network |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
US10033766B2 (en) | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
CN106804045B (zh) * | 2016-12-30 | 2020-03-03 | Oppo广东移动通信有限公司 | 一种广播消息的转发控制方法及接入设备 |
US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10554678B2 (en) | 2017-07-26 | 2020-02-04 | Cisco Technology, Inc. | Malicious content detection with retrospective reporting |
US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
WO2019211653A1 (en) * | 2018-05-04 | 2019-11-07 | Pratik Sharma | Session based packet sniffer |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1440172A (zh) * | 2002-02-22 | 2003-09-03 | 联想(北京)有限公司 | 防火墙包过滤动态开关h.323协议通信通道的方法 |
CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机***工程研究所 | 一种改进防火墙性能的方法 |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100437169B1 (ko) | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
AUPS204402A0 (en) | 2002-04-30 | 2002-06-06 | Intelliguard I.T. Pty Ltd | A firewall system |
-
2004
- 2004-10-08 US US10/961,736 patent/US7490235B2/en active Active
-
2005
- 2005-10-07 AT AT05801396T patent/ATE461578T1/de not_active IP Right Cessation
- 2005-10-07 WO PCT/EP2005/055096 patent/WO2006037809A1/en active Application Filing
- 2005-10-07 DE DE602005020045T patent/DE602005020045D1/de active Active
- 2005-10-07 CN CN2005800339787A patent/CN101036369B/zh active Active
- 2005-10-07 EP EP05801396A patent/EP1805963B1/en active Active
-
2009
- 2009-01-06 US US12/319,404 patent/US7805604B2/en not_active Expired - Fee Related
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1439985A (zh) * | 2002-02-20 | 2003-09-03 | 华北计算机***工程研究所 | 一种改进防火墙性能的方法 |
CN1440172A (zh) * | 2002-02-22 | 2003-09-03 | 联想(北京)有限公司 | 防火墙包过滤动态开关h.323协议通信通道的方法 |
Also Published As
Publication number | Publication date |
---|---|
ATE461578T1 (de) | 2010-04-15 |
US7490235B2 (en) | 2009-02-10 |
US20090125714A1 (en) | 2009-05-14 |
CN101036369A (zh) | 2007-09-12 |
EP1805963A1 (en) | 2007-07-11 |
US20060080733A1 (en) | 2006-04-13 |
US7805604B2 (en) | 2010-09-28 |
EP1805963B1 (en) | 2010-03-17 |
WO2006037809A1 (en) | 2006-04-13 |
DE602005020045D1 (de) | 2010-04-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101036369B (zh) | 分组的脱机分析 | |
CN1612532B (zh) | 基于主机的网络入侵检测*** | |
EP1618725B1 (en) | Attack database structure | |
CN101291323B (zh) | 使用部分确定性有限自动模式匹配来进行网络攻击检测 | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
US7779470B2 (en) | Server denial of service shield | |
CN100558089C (zh) | 一种基于网络过滤器的内容过滤网关实现方法 | |
CN100531213C (zh) | 一种抵御拒绝服务攻击事件的网络安全保护方法 | |
CN101460983A (zh) | 恶意攻击检测***和相关的使用方法 | |
CN101213812A (zh) | 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 | |
US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
US11838319B2 (en) | Hardware acceleration device for denial-of-service attack identification and mitigation | |
CN101213813A (zh) | 借助目标受害者的自识别和控制,防御ip网络中服务拒绝攻击的方法 | |
Walfish et al. | Distributed Quota Enforcement for Spam Control. | |
US7761915B2 (en) | Terminal and related computer-implemented method for detecting malicious data for computer network | |
US9143524B2 (en) | Propagation of malicious code through an information technology network | |
CN1503952A (zh) | 限制外来访问的方法和*** | |
CN114024731B (zh) | 报文处理方法及装置 | |
US20090063684A1 (en) | Wpar halted attack introspection stack execution detection | |
CN100561492C (zh) | 网络攻击检测的方法和装置 | |
US7568231B1 (en) | Integrated firewall/virus scanner system, method, and computer program product | |
Bellaïche et al. | SYN flooding attack detection by TCP handshake anomalies | |
US20110173675A9 (en) | Propagation of malicious code through an information technology network | |
KR101290036B1 (ko) | 동적 공격에 대한 네트워크 보안 장치 및 방법 | |
CN117254931A (zh) | 一种端口扫描方法、装置及扫描引擎 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |