CN101883020A - 检测恶意网络软件代理 - Google Patents
检测恶意网络软件代理 Download PDFInfo
- Publication number
- CN101883020A CN101883020A CN2010101709229A CN201010170922A CN101883020A CN 101883020 A CN101883020 A CN 101883020A CN 2010101709229 A CN2010101709229 A CN 2010101709229A CN 201010170922 A CN201010170922 A CN 201010170922A CN 101883020 A CN101883020 A CN 101883020A
- Authority
- CN
- China
- Prior art keywords
- bluedrama
- index
- mark
- data
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 94
- 230000004044 response Effects 0.000 claims abstract description 37
- 230000000977 initiatory effect Effects 0.000 claims abstract description 21
- 238000000034 method Methods 0.000 claims description 30
- 230000006798 recombination Effects 0.000 claims description 14
- 238000005215 recombination Methods 0.000 claims description 14
- 235000014510 cooky Nutrition 0.000 claims description 12
- 230000008569 process Effects 0.000 claims description 11
- 230000005540 biological transmission Effects 0.000 claims description 9
- 230000000903 blocking effect Effects 0.000 claims description 6
- 230000008859 change Effects 0.000 claims description 4
- 230000008521 reorganization Effects 0.000 claims description 4
- 238000005516 engineering process Methods 0.000 abstract description 28
- 241001269238 Data Species 0.000 abstract description 2
- 230000006399 behavior Effects 0.000 description 36
- 238000004891 communication Methods 0.000 description 31
- 239000003795 chemical substances by application Substances 0.000 description 25
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 11
- 238000003860 storage Methods 0.000 description 11
- 239000000872 buffer Substances 0.000 description 10
- 230000004048 modification Effects 0.000 description 10
- 238000012986 modification Methods 0.000 description 10
- 230000000694 effects Effects 0.000 description 8
- 238000005538 encapsulation Methods 0.000 description 8
- 241000239290 Araneae Species 0.000 description 7
- 150000001875 compounds Chemical class 0.000 description 7
- 238000005206 flow analysis Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 230000009471 action Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 3
- 238000004364 calculation method Methods 0.000 description 3
- 238000011897 real-time detection Methods 0.000 description 3
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 3
- 230000000295 complement effect Effects 0.000 description 2
- 230000014759 maintenance of location Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000005096 rolling process Methods 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 238000006424 Flood reaction Methods 0.000 description 1
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 1
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 1
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 1
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000005856 abnormality Effects 0.000 description 1
- 230000016571 aggressive behavior Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 229910002056 binary alloy Inorganic materials 0.000 description 1
- 238000004422 calculation algorithm Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 230000009193 crawling Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 239000007943 implant Substances 0.000 description 1
- 208000015181 infectious disease Diseases 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000007639 printing Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开描述了用于确定网络会话是否由自动软件代理发起的检测恶意网络软件代理的技术。在一个实例中,一种诸如路由器的网络设备包括:网络接口,用于接收网络会话的数据包;机器人检测模块,用于基于多个指标计算网络会话数据的多个分数,以根据多个分数的合计生成总分,并在总分超过阈值时确定网络会话由自动软件代理发起,其中,指标中的每一个对应于自动软件代理发起的网络会话的特征;以及攻击检测模块,用于在确定网络会话由自动软件代理发起时,执行程序化响应。每个分数均表示网络会话由自动软件代理发起的可能性。
Description
技术领域
本发明涉及计算机网络,更具体地,涉及计算机网络中攻击的检测。
背景技术
计算机网络通常包括交换数据和共享资源的互连计算设备的集合。这些设备可以包括例如网络服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机及其他设备。各种设备可以执行大量不同的服务和通信协议。不同的服务和通信协议中的每一种都使网络暴露于不同的安全漏洞。
用于检测网络攻击的传统技术使用了模式匹配。具体地,入侵检测***(“IDS(intrusion detection system)”)应用正则表达式或子串匹配来检测数据流中的规定模式。可以使用多个模式来尝试提高攻击检测的精度。为了提高检测攻击的可能性,IDS可以尝试识别与数据流相关的应用软件和协议的类型。基于识别,IDS选择合适的模式来应用,从而检测网络攻击,本文中使用的“网络攻击”包括病毒或其它恶意活动。
恶意用户在开放式***互连(OSI)参考模型的各层上实施网络攻击。例如,历史上,服务拒绝(DoS)攻击已在OSI模型的第三层(网络层)或第四层(传输层)上实施,如攻击者利用同步(SYN)数据包连续攻击网络服务器的SYN泛洪攻击(SYN flood attacks),这可能导致服务器的开放连接数的溢出。类似的攻击包括ACK泛洪和复位(RST)攻击。
近来,恶意用户已经开发出了在OSI模型的第七层(应用层)上的网络攻击。例如,应用层上的DoS攻击可以连续地发布请求,以消耗大量的Web服务器资源。例如,第七层DoS攻击包括向服务器重复发布数据库查询。应用层上的其他恶意网络会话包括“点击欺诈(click fraud)”,在这种情况下自动设备或脚本反复选择网页的特定的基于广告的链接。显示基于广告的链接的网页的所有者获得每次选择链接的情形时的收益,因此链接的自动选择可能是欺骗性的。另一种应用层上的恶意网络会话涉及向尽可能多的收件人发送垃圾电子邮件的电子邮件发送脚本。
为了实施这些攻击,一些恶意用户编写用于在一个或多个其他用户的计算机上执行的程序(即,恶意软件代理)。恶意用户可以编写病毒、木马、蠕虫或者其他实施这些各种攻击并且将其传播到许多不同的计算机的恶意程序。恶意程序可以充当执行脚本或其他自动程序以在应用层上执行网络攻击或执行其他恶意行为的“机器人(bot)”。被相同的恶意程序感染的一组计算机设备被称为“机器人网络(bot net)”,可能相互配合在应用层上发起对共同目标的网络攻击或者恶意行为。传统的IDS设备不能对实施这些应用层攻击的软件代理进行检测或反应。
发明内容
总的来说,本发明公开描述了用于检测执行恶意攻击或者其他行为的自动软件代理的技术。该技术总地包括:分析网络会话中采用的协议(例如,第三层至第七层协议),以计算特定网络会话的指标(metrics),并确定该会话表示正常的用户行为还是恶意的自动软件代理。例如,入侵检测***(IDS)或入侵检测和防御(IDP)设备检查特定的网络会话的业务,并计算多个不同的指标的分数。例如,该指标可以涉及通常指示为恶意的网络会话的特征。使用这些特征的各种组合来确定网络是由恶意网络软件代理发起的可能性。从而,IDP设备可以计算指标的总分,并在总分超过阈值时确定网络会话是恶意的。
在一个实例中,路由器或者其他网络设备包括执行本发明公开中所描述的技术的服务平面组件(例如,移动卡)。服务平面卡可以***到多机箱网络设备以装配多机箱网络设备来执行这些技术。例如,路由器可以包括可容纳服务平面入侵检测和防御(IDP)卡的插槽,来执行本发明公开的技术。
在一个实例中,一种方法包括:用网络设备接收网络会话的数据包;组合来自数据包的网络会话的网络会话数据,网络会话数据包括网络会话的数据包流数据和应用层数据;基于应用到网络会话数据的多个指标计算网络会话的多个分数,其中,指标中的每一个均对应于由自动软件代理发起的网络会话的特征,以及,分数中的每一个均表示网络会话由自动软件代理发起的可能性;合计多个分数,以生成总分;当总分超过阈值时,确定网络会话由自动软件代理发起;以及当确定网络会话由自动软件代理发起时,执行程序化响应。
在另一实例中,网络设备包括:网络接口,接收网络会话的数据包;控制单元,具有一个或多个处理器;重组模块,在控制单元中执行,以重组网络会话的应用层数据;流表,存储网络会话的数据包流信息;机器人检测模块,在控制单元中执行,以基于多个指标计算网络会话的多个分数,多个指标的每一个均被应用到重组的应用层数据和数据包流信息中的至少一个,其中,指标中的每一个均对应于由自动软件代理发起的网络会话的特征,其中,机器人检测模块被配置为根据多个分数的合计(aggregate)产生总分,并且当总分超过阈值时确定网络会话由自动软件代理发起,其中,分数中的每一个均表示网络会话由自动软件代理发起的可能性;以及攻击检测模块,在控制单元中执行,当确定网络会话由自动软件代理发起时,执行程序化的响应。
在另一实例中,计算机可读介质(例如计算机可读存储介质)包括例如编码的指令,该指令使可编程处理器:接收网络会话的数据包;组合来自数据包的网络会话的网络会话数据,网络会话数据包括网络会话的数据包流数据和应用层数据;基于应用到网络会话数据的多个指标计算网络会话的多个分数,其中,指标中的每一个均对应于由自动软件代理发起的网络会话的特征,以及,分数中的每一个均表示网络会话由自动软件代理发起的可能性;合计多个分数,以生成总分;当总分超过阈值时,确定网络会话由自动软件代理发起;以及当确定网络会话由自动软件代理发起时,执行程序化响应。
本发明公开的技术可以提供多个优点。例如,该技术能够通过实时检测业务和确定网络会话的特征来实现自动软件代理(“机器人”)的实时检测,而不是只是检测机器人的离线和既成事实的活动。例如,本发明公开的技术可以根据各层(包括应用层)的网络会话的各种特征来确定网络会话是由恶意的自动软件代理发起的。因此,本技术可以用于降低或者防止受到恶意或者不希望的网络活动(例如实时的服务拒绝(DoS)攻击、点击欺诈、垃圾电子邮件机器人、网络爬行(web crawling)或者其他不希望的网络会话)的影响。
附图和以下的描述中示出了一个或多个实例的细节。根据描述和图示以及根据权利要求,其他的特征、目标和优点是明显的。
附图说明
图1是示出了根据本发明公开中所描述的技术的一个示例性的企业计算机网络的框图,其中,入侵检测和防御(IDP)可以尝试检测例如机器人的恶意网络会话。
图2是示出了IDP设备的组件的一个实例布局的框图。
图3是更详细地示出了参照图2所描述的状态检测引擎的一个实例的框图。
图4是更详细地示出了参照图3所描述的一个实例机器人检测模块的框图。
图5是示出了用于配置多个指标计算器的一个实例用户界面的截屏。
图6是示出了用于通过检测网络业务来检测机器人的一个实例方法的流程。
图7是示出了包含执行本发明公开的技术的服务平面卡的路由器的一个实例的框图。
具体实施方式
图1是示出了根据本发明公开中所描述的技术的一个示例性的企业计算机网络4的框图,其中入侵检测和防御(IDP)设备10可以尝试检测由恶意的自动软件代理(例如机器人)发起的恶意网络会话。本发明的公开中提到的“机器人(bot)”通常应该被理解为指的是自动软件代理,其可以执行恶意或者其他不希望的行为。尽管本发明公开主要涉及一种IDP设备,不过入侵检测***(IDS)或者入侵防御***(IPS)也可以采用类似的技术。在图1的实例中,IDP 10是单个网络设备。例如,防火墙9、交换机19、安全管理设备18、IDP 14或节点8A~8N中的单个节点中的任意一个、或者诸如路由器、虚拟专用网络(VPN)设备或网关的其他设备,可以实现关于IDP 10所描述的功能。
网络4包括耦合到诸如因特网的公共网络6的私人企业计算网络5。公共网络6可以包括例如一个或多个客户计算设备。防火墙9保护私人企业网络5,具体地,保护内部计算节点8A~8N(计算节点8)。计算节点8代表企业网络5中的任意私人计算设备,例如工作站、笔记本电脑、文件服务器、打印服务器、数据库服务器、网络服务器、电子邮件服务器、数据库、打印机、个人数码助理(PDA)、智能电话和其他设备。安全管理设备18可以管理企业网络5的一个或多个网络安全设备,例如IDP 10、防火墙9、IDP 14或者一个或多个计算节点8。在一个实例中,安全管理设备18可以实施简单的网络管理协议(SNMP)以修改网络安全设备的设置。交换机19向和从企业网络5中的目的地(例如,计算节点8中的一个、安全管理设备18、IDP 14和IDP 10)引导网络业务。
在图1的实例中,企业网络5包括IDP 10,用于监测在防火墙9和内部计算节点8之间流动的业务。具体地,IDP 10监测数据包流的数据包,其中,除封装常规数据包外,数据包还封装已封装的数据包流的子数据包。IDP 10尝试确定特定的网络通信是否表示网络攻击。网络通信可以包括标准数据包或者封装的子数据包。IDP 10可以首先尝试识别与网络通信相关联的应用程序。IDP 10还可以确定网络通信是否表示多层应用程序。应用程序(例如多层应用程序)识别的进一步的细节可以参见Yang等人于2007年11月8日提交的美国专利申请第11/937,163号“Multi-layered ApplicationClassification and Decoding”以及Burns等人于2007年8月8日提交的美国专利申请第11/835,923号“Identifying Applications forIntrusion Detection Systems”,其中每一个申请的全部内容均结合于此作为参考。
IDP 10还可以将模式匹配与专用于应用程序和协议的异常检测进行集成,以识别复杂的攻击行为。在一个实例中,IDP 10允许***管理员指定攻击定义。***管理员可以指定复合攻击的定义。关于攻击的定义(例如复合攻击的定义)的进一步的细节可以参见Guruswamy等人于2005年1月27日提交的美国专利申请第11/045,572号“Compound Attack Detection in a Computer Network”,其全部内容结合于此作为参考。
攻击的定义可以指定例如文本和非文本(例如二进制)模式的任意组合以及协议异常,以定义复杂的攻击签名。并且,IDP 10可以将特定的签名与某些应用的协议相关联。对于IDP 10截获的给定的通信会话,IDP尝试识别会话的数据包流的应用类型和底层协议,以选择一个或多个攻击签名应用到数据包流。
IDP 10识别在被监测的业务中流动的数据包流,并且透明地重组来自数据包流的应用层通信。IDP 10中的一组专用于协议的解码器分析应用层通信并且识别应用层事务。通常,“事务(transaction)”指的是对等设备之间的有界系列的相关应用层通信。本发明公开还可以将事务称作网络会话。例如,单个TCP连接可以用于发送(接收)多个超文本传输协议(HTTP)请求(响应)。例如,使用单个TCP连接可以获取包括多个图像和到HTML页面的链接的单个网页。HTTP解码器识别TCP连接中的每个请求/响应作为不同的事务。这对防止某些攻击定义被跨事务边界应用是有用的。在一个实例中,可以根据源和目的IP地址、协议以及源和目的端口号来识别事务。其他的实例可以以其他的方式(例如,通过使用介质访问控制(MAC)地址)来识别事务。
IDP 10将攻击定义应用到元(element)和协议解码器识别的专用于协议的异常,以检测并防止网络攻击。例如,***管理员可以指定复合网络攻击,包括反复FTP登录失败的协议异常和匹配“根(root)”的登陆用户名的模式。通过这种方式,***管理员可以将模式分析与协议异常相结合以定义复杂的攻击定义。在网络攻击的事件中,IDP 10可以采取一个或多个编程措施,诸如自动放弃与其中检测到网络攻击的应用层通信相关联的数据包流。
根据本发明公开的技术,IDP 10还可以使用该分析来计算特定的网络会话的指标(metrics),用于确定该会话表示正常的用户行为还是恶意的自动软件代理。通过计算一个或多个网络流的各个指标的总分,IDP 10可以检测一个或多个“机器人”的存在。指标可以对应于各种类型的网络活动。如本发明公开中使用的机器人一般包括在一个或多个网络计算设备上执行的程序以实现恶意网络会话。机器人可以执行脚本,以使机器人实现恶意网络会话的一系列的一个或多个行为。机器人可以与其他机器人共同行动,以形成“机器人网络”。机器人网络可以包括成千上万甚至更多的一起行动的计算设备。在典型的机器人网络中,一组机器人在中央位置的计算设备的指挥下一起行动,在中央位置的计算设备可以包括编写机器人的恶意用户的计算设备或者被攻击或被感染的计算机终端。位于中央位置的计算设备可以通知机器人网络的机器人有关目标身份(诸如目标的网络地址),并指示机器人攻击目标。
恶意软件代理可以利用网络会话进行恶意行为,诸如例如服务拒绝(DoS)攻击、点击欺诈、垃圾邮件输出或者其他恶意网络活动。机器人和机器人网络还可以进行不一定是恶意的而是不希望的网络会话。例如,管理员可以确定网络蜘蛛或网络蠕虫在特定网站(例如企业网络5呈献的公共网站)上是不希望的。通常,网络蜘蛛包括记录网页副本或关键字以及遍历所有或大多数的网页的超文本链接的机器人,其通常遍历并检索整个网站。当网络管理员确定网络蜘蛛是不希望的,并配置IDP 10识别并阻止网络蜘蛛时,IDP10识别并阻止网络蜘蛛。
为了检测机器人以及恶意的或其他不希望的网络会话,IDP 10监测每个网络会话的网络业务并且分析任意数量的不同的网络层(例如第三层至第七层)上的业务。IDP 10计算网络会话的网络业务的多个指标并合计这些指标,以产生表示关于网络会话是否有可能由恶意软件代理发起的总指示器的总分。即,IDP 10通常使用指标作为网络会话的概要(profile)以区分正常的用户行为和类似机器人的行为。IDP 10可以计算每个指标的分数,以使指标的较低的分数对应于正常的用户行为而指标的较高的分数对应于类似机器人的行为。通过合计指标的分数,IDP 10生成综合分数并且当综合分数超过最小阈值时确定网络会话是恶意的。通过这种方式,IDP 10可以防止标记仅以一个指标与正常用户不同的网络会话。
IDP 10还对指标的每个分数的输出进行加权,以调节特定的指标对于总分的影响。管理员可以个性化设置权数以加强或弱化特定的攻击或机器人活动类型。例如,DoS攻击的签名对应于指标的特定子集。因此,管理员可以例如通过对与DoS攻击的签名对应的子集的指标中的每一个比其他指标更重要地进行加权,加强对DoS攻击的阻断以超过点击欺诈。
IDP 10计算特定网络会话的各个指标的分数。例如,用于检测基于超文本传输协议(HTTP)的攻击的指标可以包括在每单个HTTP连接中的多个事务、由单个客户端设备在相同时间打开的多个HTTP连接、来自设备的HTTP请求的时间分布、每个请求之间的时间延迟、被请求的URL的多样性、先前浏览过的URL的请求的百分比、连接建立的速率、数据包速率、服务器响应时间分布、图像百分比、脚本、网页风格、内置页框、或其他请求的网页的特定的数据目标、之后的链接行为、用户代理分布、客户端是否正确处理网络cookie、客户端操作***分布、或者其他指标。
又例如,为了检测SPAM机器人,IDP 10可以确定会话是否涉及邮件交换的协议(例如SMTP、POP3、IMAP协议)以及可以计算与每个会话每个连接的邮件事务的数量、同时打开的连接的数量、电子邮件事务请求的延迟、邮件事务请求的时间分布以及多个邮件传输协议是否被单个设备同时利用相关的指标。
采用本文中所描述的技术的IDP 10可以提供多个优点。例如,IDP 10可以通过检测网络会话的业务(包括业务的应用层数据)来确定网络会话是恶意的。此外,IDP 10可以通过实时检测业务来实时检测机器人。因此,IDP 10可以防止恶意或者其他不希望的网络活动,例如服务拒绝(DoS)攻击、点击欺诈、电子邮件接收、网页爬行或者由自动软件代理实时发起的其他不希望的恶意网络会话。
图2是示出了IDP 20的一个实例配置的框图。在示出的实例中,IDP 20包括转发平面22,用于透明监测入站网络业务24并转发网络业务作为出站网络业务26。在图2所示的实例中,转发平面22包括流分析模块25、状态检测引擎28、多个协议解码器30、转发组件31和安全管理模块44。图2的IDP 20的实例示出了作为单个网络设备的IDP 20,诸如图1的IDP 10或14。其他的实例可以在多个网络设备或者诸如图1的安全管理设备18、交换机19或防火墙9的其他类型的设备中实现IDP 20的功能。
安全管理模块44给出了一种用户界面,管理员42通过该用户界面配置IDP 20。例如,管理员42可以配置IDP 20用来监测企业网络的特定的子网。此外,安全管理模块44给出了一种用户界面,管理员42可以通过该用户界面来指定攻击定义33,以使安全管理模块44中继到状态检测引擎28。在一个实例中,攻击定义33包括复合攻击定义。此外,安全管理模块44可以给出一种用户界面,管理员42通过该用户界面可以修改诸如监测的最高优先级数据包流、应用的端口绑定或者确定与数据包流相关联的应用类型和协议的其他特点的关于数据包流特性的假设。在一个实例中,安全管理设备18(图1)实现安全管理模块44的功能,以使管理员42能够远程编程IDP 20。根据从管理员42接收的配置,安全管理设备18可以经由例如简单网络管理协议(SNMP)配置IDP 20。
流分析模块25接收入站业务24并且识别业务中的网络流。在一个实例中,流分析模块25包括网络接口(未示出),例如网络接口卡(NIC)。每个网络流表示在网络业务中的一个方向的数据包的流并由至少一个源地址、目的地址和通信协议所识别。流分析模块25可以利用附加信息指定网络流,包括源介质访问控制(MAC)地址、目的MAC地址、源端口和目的端口。其他的实例可以使用其他的信息来识别网络流,例如IP地址。
流分析模块25维护流表35中的数据,该流表描述了网络业务中出现的每个活动(active)的数据包流。流表35指定与每个活动的数据包流相关联的网元(network element),即诸如源和目的设备以及与数据包流相关联的端口的低等级信息。此外,流表35识别共同形成客户端和服务器之间的单个通信会话的数据包流对或者数据包流组。例如,流表35可以指定通信会话作为共享至少一些常见的网络地址、端口和协议的流的相反方向的数据包流对。
根据以下进一步详细的描述,状态检测引擎28检测数据包流,以识别数据包流中的攻击。根据本发明公开的技术,状态检测引擎28检测数据包流,以检测数据包流在应用层工作的机器人或者类似机器人的活动。当状态检测引擎28检测到机器人时,状态检测引擎28执行程序化响应,例如发送警报40到安全管理模块44、或者指示转发组件31丢弃数据包流的数据包或结束对应于该数据包流的网络会话。状态检测引擎28还可以限制数据包流的速率,即将对应于检测出的机器人的网络会话节流到某个比特率,例如10Mbits/秒。攻击检测模块52还可以记录参加流表35中的网络会话的至少一个网络设备的标识符,并且阻断从已记录的标识符发起的将来的连接请求。即,流分析模块25可以接收连接请求,确定连接请求从流表35记录的标识符发起,并阻断该连接请求。以这种方式,IDP 20可以阻断来自参加作为程序化响应的网络会话的网络设备的进一步的连接请求。转发组件31还可以建立一条消息并发送到其他的网络设备(例如其他的路由器或者IDP、IDS或IPS设备),以阻断或者响应来自状态检测引擎28为其检测出机器人的源网络设备的数据包流。警报40可以包括如下细节,例如数据包流的源地址、对应于数据包流的应用程序的识别、计算的网络会话的指标的分数(该分数使状态检测引擎28得出具体的网络会话是恶意的结论)、或者关于网络会话的其他信息。
除签名之外,IDP 20可以使用重组的TCP段的最小数据尺寸,以识别对应于数据包流或者封装的数据包流的应用程序。某些应用程序需要最小量的数据,因此IDP 20可以通过确定数据包流是否包含识别协议的足够的数据来区分恶意的数据包流。此外,IDP 20不一定识别出每个应用程序。在一个实例中,当应用程序未知时,IDP20可以简单地转发数据包流。而其他的实例可对未识别的应用程序采取其他的措施,例如丢弃面向未知应用程序的所有数据包或者将默认签名应用到与未知的应用程序类型相关联的所有数据包流。其他的实例还将本发明公开的技术应用到其他的协议,例如用户数据报协议(UDP)。从而,IDP 20需要UDP段的最小数据尺寸,以识别与UDP段相关联的应用程序。
在一个实例中,状态检测引擎28包括用于执行应用程序识别的协处理器。协处理器可以连续地接收数据包流的形式的输入并可以不断地对数据包流执行应用程序识别。对于数据包流的每个组块,协处理器可以返回协处理器识别的应用程序的一个或多个身份认证。
通常,协议解码器30包括一个或多个专用于协议的软件模块集,用于处理应用层通信32并输出识别应用层事务的事务数据34。具体地,事务数据34表示两个对等设备之间的一系列相关的应用层通信开始和结束的时间。在一个实例中,一个或多个协议解码器30可以是通用协议解码器,以便通用协议解码器尝试识别对应于应用层通信32的有效载荷的应用程序。通用协议解码器的一个实例是将一组预定义的应用指纹/签名匹配到被解码的数据并且根据具体的指纹匹配来识别应用程序的算法。例如,通用协议解码器可以尝试识别对应于HTTP通信的有效载荷的应用程序。
很多协议解码器30对应于不同的通信协议或者设备。可以被协议解码器30支持的通信协议的实例包括超文本传输协议(HTTP)、文件传输协议(FTP)、网络新闻传输协议(NNTP)、简单邮件传输协议(SMTP)、远程登录、域名***(DNS)、菜单查询***(Gopher)、指针(Finger)、邮局协议(POP)、安全套接层(SSL,Secure Socket Layer)协议、轻量目录访问协议(LDAP)、安全外壳(SSH)、服务器消息块(SMB)和其他协议。在一个实例中,协议解码器30中的每一个经由通用软件接口(即,以独立于底层传输机制的方式处理应用数据的软件接口)接收数据。在这种方式下,协议解码器可以在应用于给定的数据包流时被互换、复用和堆叠(分层)。
协议解码器30应用到给定的数据包流或者单个的数据包之后,协议解码器将事务数据34、应用层元36和协议异常数据38返回到状态检测引擎28。状态检测引擎28将攻击定义33应用到专用于协议的应用层元36和异常数据38,以检测并防止网络攻击和其他安全风险。
在检测到安全风险的事件时,状态检测引擎28输出警报40到安全管理模块44,用于记录和进一步分析。此外,状态检测引擎28可以根据策略定义采取更多的措施,例如丢弃与通信会话相关联的数据包、自动关闭通信会话或其他措施。如果没有检测到给定的通信会话的安全风险,则转发组件31继续在对等设备之间转发数据包流。转发组件31可以例如根据转发数据包流中使用的企业网络的拓扑结构维护用于存储路由的路由表。当状态检测引擎28确定只有多个封装子数据包中的一个或者不完整的子集对应于恶意网络会话时,转发组件31可以转发只包括那些不对应于恶意的网络会话的子数据包的重组数据包。
图3是示出了IDP 20的状态检测引擎28的一个实例的框图。在该实例中,状态检测引擎28包括重组模块50、攻击检测模块52、模式表54、数据缓冲区55、异常表56、攻击定义33、策略行动模块68和策略70。
通过移除任意的底层传输信息(例如,第四层(L4)信息及第四层以下的信息),重组模块50接收入站网络业务24并重组数据包流的应用层通信32。重组模块50将重组的应用层通信32转发到合适的协议解码器用于处理。
状态检测引擎28存储从安全管理模块44接收的攻击定义33。攻击定义33可以被存储到例如计算机可读介质(例如,随即存取存储器(RAM))。攻击定义33中的每一个均指定模式表54中指定的一个或多个模式以及异常表56中指定的一个或多个专用于协议的异常的组合。
当状态检测引擎28接收数据包作为数据包流的一部分时,重组模块50缓冲数据缓冲器55中的数据包。在一个实例中,数据缓冲器55作为滑动窗口存储数据。即,在数据缓冲器55存储数据,直到变满或者达到用于识别所指定需要的最大数据量。当数据缓冲器55满时,其丢弃一些数据以腾出存储新的数据的空间。在一个实例中,数据缓冲器55根据先入先出(FIFO)协议存储和丢弃数据,其中,当数据缓冲器55变满时,第一个存储的数据便是第一个被丢弃的数据。在另一实例中,数据缓冲器55根据最近最少使用协议丢弃数据,其中,当数据缓冲器55变满时,最近最少使用的数据包流将被丢弃以为将存储的新的数据腾出空间。
在一个实例中,重组模块50根据5元组{源IP地址、目的IP地址、协议、源端口、目的端口}关联网络会话的数据包流中的数据包。其他的实例采用其他的方法关联数据包与具体的数据包流或者封装的数据包流。在一个实例中,IDP 20包括利用虚拟局域网(VLAN)的网络的部分。因此,重组模块50可以根据VLAN标识符、源地址和目的地址关联数据包流中的数据包。
攻击检测模块52将复合攻击定义33应用到应用层元36和从协议解码器30接收到的协议异常数据38。应用层元36可以包括未封装的数据包流或者封装的数据包流的元。即,攻击检测模块52可以检测正常的未封装的网络业务中或者封装的数据包流中的网络攻击。对于复合攻击定义33中的每一个,攻击检测模块52选择复合攻击定义指定的模式表52中的一个或多个模式,并确定应用层元36中的任意一个是否匹配所定义的模式。模式中的每一个可以被定义为相应的“正则表达式”,“正则表达式”一般指的是用于匹配数据中的模式的公式。
除了确定定义的模式是否存在之外,攻击检测模块52可以确定协议解码器30检测的任意协议异常是否与攻击定义33指定的协议异常相匹配。当在给定的通信会话中检测到由攻击定义指定的模式和协议异常两者时,攻击检测模块52确定相应的数据包流与攻击定义33中的一个相匹配。进一步地,基于每个事务或在通信会话的存在期中,攻击定义33中的每一个可以指定是否必须满足模式匹配和协议异常。
攻击检测模块52与机器人检测模块58相互作用,以确定具体的网络会话是否对应于正常的用户或者对应于机器人。如参照图4更加详细描述的,机器人检测模块58计算具体的网络会话的多个指标的分数、累计分数、将总分与阈值比较并且在总分超过阈值时确定网络会话对应于机器人。攻击检测模块52将各种信息传递给机器人检测模块58以执行这些计算。例如,攻击检测模块52可以将事务数据34和应用层元36传递给机器人检测模块58。攻击检测模块52还可以从流表35中检索数据并将数据从流表35传递到机器人检测模块58,例如多个打开的连接、每个打开的连接的多个请求、每个请求的时间戳和/或对每个请求的回复的时间戳。攻击检测模块52还可以在IDS 20接收到数据包时将全部数据包传递给机器人检测模块58,或者将数据包的TCP头传递给机器人检测模块58,以使机器人检测模块58可以检测TCP头以确定正在被通信会话的一方使用的工作***。
在检测到安全风险时,状态检测引擎28输出警报40到安全管理模块44(图2),用于记录和进一步分析。状态检测引擎28还可以指导转发组件31执行对安全风险的程序化响应。程序化响应可以包括自动丢弃与在其中检测到网络攻击的应用层通信相关联的数据包流的数据包。状态检测引擎28还可以使转发组件31将关闭会话信息作为程序化响应发送到恶意网络会话中的一个或多个参与方。
图4是示出了实例机器人检测模块58的框图。在图4的实例中,机器人检测模块58包括指标计算器60A~60N(指标计算器60)、加权模块62A~62N(加权模块62)、平均器64、阈值存储器66和比较器68。指标计算器60中的每一个基于接收的网络会话的业务的数据计算关于网络会话的对应指标的分数。该数据可以包括应用层数据,例如事务数据34和应用层元36。数据还可以包括来自流表35的数据,例如每个服务器和客户端之间的打开的通信会话、数据包流、连接、每个连接的事务、每个事务请求的次数和每个事务请求的回复的次数。指标计算器60向加权模块62中的相应的一个提供分数。指标计算器60中的每一个输出指示网络会话是更“类似正常用户”还是更“类似机器人”的可扩展分数。例如,指标计算器60中的每一个可以输出0和100之间的分数,其中分数“0”表示对于具体指标的网络会话表现出更类似正常用户的属性,而分数“100”表示对于具体指标的网络会话表现出更类似机器人的属性。
加权模块62通过扩大分数或缩小分数一定的量来加权相应的分数。例如,加权模块62中的一个(例如加权模块62A)可以通过具体的加权因子缩放相应的分数,在这种情况下该分数由指标计算器60A计算。加权模块62A可以通过因子“1.0”缩放指标计算器60A的输出来完全不改变分数。加权模块62A可以通过大于一的因子(例如1.5)缩放指标计算器60A的输出,以增大计算的分数的值,使来自指标计算器60A的分数对总分影响更大。加权模块62A还可以通过小于一的因子(例如0.5)缩放指标计算器60A的输出,以减小计算的分数的值,使来自指标计算器60A的分数对总分影响更小。加权模块62中的每一个可以将不同的加权因子应用到指标计算器60的相应的一个的输出。加权模块62将相应的加权分数发送到平均器64。
平均器64计算从加权模块62输出的加权分数的平均分数。在实例中不包括加权模块62,平均器64计算指标计算器60计算的分数的平均分数。在一个实例中,平均器64计算作为加权分数的平均的总分,例如,根据公式:
其中,函数weightedMetricScore(i)对应于加权模块62中的第i个的输出。虽然实例公式表示串行计算加权模块62输出上的分数,然而应当理解,在一些实例中加权模块62中的每一个例如利用专用硬件或者多个不同组的可编程硬件并行计算加权分数。
阈值存储器66主要存储阈值,用于确定平均器64计算的总分数是否表示正常的用户行为或者类似机器人行为。比较器68比较平均器64计算的总分数与阈值存储器66的阈值,当总分数超过阈值时,比较器68确定被分析的网络会话正在被机器人或者类似机器人的***或程序执行。
每个指标计算器60计算通常将类似机器人行为与正常用户行为相区别的各种不同的指标。此外,计算的具体指标可以基于应用程序的类型和对应于网络会话的协议而不同。例如,对于采用HTTP的网络会话,指标计算器60可以计算指标,该指标包含同时打开的多个连接、每个连接的多个事务、请求的时间分布、请求之间的时间延迟、所请求的URL的多样性、请求之前浏览过的URL的百分比、连接建立的速率、数据包速率、服务器响应时间分布、图像的百分比、脚本、网页风格、内置页框(iframe)或其他请求的网页的特定数据目标、之后的链接行为、用户代理分布、cookie处理/支持、客户端OS分布或者其他指标。HTTP的这些指标可以对应于指标计算器60计算的指标的第一子集。指标计算器60计算的指标的第二子集可以对应于电子邮件协议,例如简单邮件传输协议(SMTP)、邮局协议(POP)或者因特网邮件访问协议(IMAP)。
攻击检测模块33(图3)可以基于识别的具体的网络会话的协议或者应用程序来动态调节加权模块62应用的加权。在以上的实例中,攻击检测模块33可以确定网络会话正在采用HTTP,因而对应于指标的第一子集(即,为HTTP计算的指标)提高由加权模块62应用的加权。又例如,攻击检测模块33可以减小应用到由指标计算器60中不对应于HTTP的具体的一些算得的分数的加权。对于不同的网络会话(例如对应于电子邮件协议)攻击检测模块33可以动态调节加权,以提高指标的第二子集的加权和/或降低指标计算器60计算得到的其他指标的加权。
通过实例的方式,指标计算器60中的一个可以计算表示为具体的网络目的地打开(open)的多个连接的分数。经验数据已经显示三至五个同时存在的连接对正常用户是常见的。因此,在一个实例中,指标计算器60中的这一个可以确定为具体的会话打开的连接的数量是否介于三和五之间。当打开的连接的数量小于三或者大于五时,指标计算器60中的一个输出表示对于该指标网络会话更类似于“机器人”的分数。当打开的连接的数量在三和五之间时,指标计算器60中的一个输出表示对于该指标网络会话综合而言更类似于正常人的分数。例如,指标计算器60中的这一个可以根据为网络目的地打开的连接的数量与关于网络目的地为正常用户同时打开的连接的数量之差,输出分数。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的一个可以根据以下伪码计算表示为具体的网络目的地打开的连接数量:
if(number_of_open_connections<3)
score=10;
else if(number_of_open_connections<5)
score=0;
else if(number_of_open_connections<10)
score=50;
else//number_of_open_connections>10
score=100;
在另一实例中,指标计算器60中的一个可以计算表示每个连接的多个事务的分数。经验数据已经显示每个连接的五至二十个事务对于普通用户是正常的,而每个连接的事务超过该数量的是类似机器人的行为。因此,在一个实例中,指标计算器60中的这一个确定每个连接的事务数量是否介于五至二十之间。当每个连接的事务数量小于五或者大于二十时,指标计算器60中的这一个输出表示对于该指标网络会话更类似于“机器人”的分数。当打开的连接的数量介于五和二十之间时,指标计算器60中的一个输出表示对于该指标网络会话更类似于正常用户的分数。例如,指标计算器60中的一个可以根据网络会话的每个连接的事务数量与正常的用户的网络会话的每个连接的事务数量之间的平均距离,输出分数。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的一个可以根据以下伪码计算分数:
if(avg_number_of_transactions_per_connection<5)
score=25;
else if(avg_number_of_transactions_per_connection<20)
score=0;
else if(avg_number_of_transactions__per_connection<30)
score=50;
else//avg_number_of_transactions_per_connection>30
score=100;
又例如,指标计算器60中的一个可以计算表示请求之间的时间分布(即,请求之间的延迟的分布)的分数。经验数据已经显示,对于正常用户,对应于用户访问新的网页的时间将会突然出现大量的请求,然后对应于用户查看网页的数据(例如,文本、图像、电影、音频等等)期间的时间会有暂停。另一方面,对于机器人,经验数据已经显示,请求之间的任意延迟几乎没有。认识到这一点,指标计算器60中的这一个可以计算表示请求之间的平均延迟的分数,以便当请求之间有较长的延迟时该分数较低,而当请求之间的延迟较短或者实际上没有延迟时该分数较高。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(avg_delay_between_requests<.1)//.1秒
score=100;
else if(avg_delay_between_requests<1)//1秒
score=50;
else if(avg_delay_between_requests<3)//3秒
score=25;
else//avg_delay_between_requests>3秒
score=0;
又例如,指标计算器60中的一个可以计算表示对请求的平均服务器响应时间的分数。机器人可以被编程用来识别如较长的服务器响应时间所示的消耗服务器的大量资源的请求,然后重复发送昂贵的请求,即,消耗最多的服务器资源的请求。另一方面,正常的用户不会有意搜索昂贵的请求,并且甚至可以为了获得更快的结果而避免这些请求。认识到这一点,指标计算器60中的一个可以计算表示对请求的平均服务器响应时间的分数,以便当存在较短的服务器响应时间时该分数较高,而当存在较长的服务器响应时间时该分数较低。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(avg_server_response_time<.5)//.5秒
score=0;
else if(avg_server_response_time<1)//1秒
score=30;
else if(avg_server_response_time<3)//3秒
score=60;
else//avg_server_response_time>3秒
score=100;
又例如,指标计算器60中的一个可以计算表示具体网页的请求的数据对象的百分比的分数。数据对象包括例如文本、图像、视频、超链接、诸如Javascript的脚本、内部框架、样式表(stylesheet)或者其他数据对象。正常的用户通常使用配置为请求网页的所有的数据对象网络浏览器,以便用户可以查看所有的数据对象。另一方面,机器人不使用这些对象中的很多对象,而实际上,从机器人的角度,检索这样的对象浪费带宽。因此,机器人可以被编程为只请求具体的网页的可用数据对象的小子集。认识到这一点,指标计算器60中的这一个可以计算表示请求的数据对象的百分比的分数,以便当请求较多的数据对象时分数较低,而当请求较少的数据对象时分数较高。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(object_request_percentage<10)//请求的数据对象小于10%
score=100;
else if(object_request_percentage<30)//请求的数据对象小于30%
score=50;
else if(object_request_percentage<50)//请求的数据对象小于50%
score=25;
else//对象请求百分比>=50%
score=0;
又例如,指标计算器60中的一个可以计算表示链接跟随(linkfollowing)行为的分数。正常的用户通常从一个网页链接到另一个网页来浏览因特网。正常用户还通常再次访问页面以找到不同的链接。机器人可以被编程为无节制地跳过页面,极少从一个页面的链接跟随到达所链接的页面。一些管理员确定为不希望的网络蜘蛛可以恰好一次跟随网页的每个链接。认识到这一点,指标计算器60中的这一个可以计算表示平均链接跟随行为的分数,以便当链接被一次或多次跟随并且当页面被再次访问时该分数较高,而当页面没有被再次访问或者链接从未被跟随时或者当每个链接被恰好跟随一次时该分数较低。例如,指标计算器60中的这一个可以计算具体用户访问的之前未被指定的统一资源***(URL)的百分比。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算表示链接跟随行为的分数:
if(unspecified_url_percentage<5%)
score=0;
else if(unspecified_url_percentage<25%)
score=50;
else//unspecified_url__percentage>=25%
score=100;
又例如,指标计算器60中的一个可以计算在网络会话期间被访问的具体页面上的链接的百分比。当页面上跟随大量链接时,例如由于访问这些链接的代理表现出网络蜘蛛行为,因此指标计算器60中的这一个可以确定链接跟随行为的分数应该更高。在一些实例中,指标计算器60中的这一个可以为只有当页面上有大量链接(例如,大于20个链接)时跟随的链接的百分比赋分数。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算表示链接跟随行为的分数:
if(available_links>20){
if(percent_links_followed>50)//跟随的链接>50%
score=100;
else if(percent_links_followed>25)//跟随的链接>25%
score=50;
else//<=跟随的链接的25%
score=0;
}
else //20个或更少的可用链接,故没有分数
score=0;
又例如,指标计算器60中的一个可以计算表示具体的用户代理(例如,诸如Microsoft Internet Explorer、Mozilla Firefox、NetscapeNavigator、Opera Browser、Apple Safari、Google Chrome的web浏览器或其他网络浏览器)和/或在网络会话期间用户代理是否改变的分数。HTTP数据包包括用于识别用户代理的字段。正常的用户往往在整个网络会话过程中使用相同的用户代理并且往往使用常见的用户代理。机器人可能被编程为在不同的用户代理之间循环或者使其表示为不常见的用户代理。认识到这一点,指标计算器60中的这一个可以计算表示使用的用户代理以及用户代理是否改变的分数,以便当用户代理是常见的用户代理以及当用户代理在整个网络会话中保持相同时该分数较低,而当用户代理在整个会话中改变时和/或当用户代理不常见时该分数较高。指标计算器60中的这一个可以对一贯使用的不常见的用户代理输出分数,作为比对应于改变用户代理的输出低的分数。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(isKnownSecurityRisk(request_2.agent))
score=100;
else if(request_2.agent!=request_1.agent)
score=70;
else if(isUncommonAgent(request_2.agent))
score=40;
else
score=0;
指标计算器60中的一个还可以记录有关具体代理的使用的统计数据。例如,指标计算器60中的这一个可以记录采用每个可识别的代理的所有网络会话的百分比。然后,指标计算器60中的这一个可以在这些统计数据中检测大的转变。即,当不常见的用户代理突然转变为在大量网络会话中使用时,指标计算器60中的这一个可以确定使用该代理的网络会话由自动软件代理发起,并阻塞使用该代理的所有网络会话。例如,如果具体的浏览器通常被所有网络会话的百分之一使用,然后突然该浏览器被所有网络会话的百分之九十使用,则指标计算器60中的这一个可以向使用该浏览器的所有网络会话赋以高分数,用于用户代理的分数。
又例如,指标计算器60中的一个可以计算表示客户应用程序是否在正常的用户能够处理cookie的方式下显示为适于处理cookie的分数。用户通常启用cookie,而机器人往往忽略从网络接收的cookie。即,来自机器人的响应往往不包含之前由服务器发送到机器人感染的设备的cookie。认识到这一点,指标计算器60中的这一个可以计算表示cookie使用行为的分数,以便当cookie被使用并且包含于随后的响应时该分数较低,而当cookie未被使用时该分数较高。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(session.cookiesDisabled)
score=100;
else
score=0;
又例如,指标计算器60中的一个可以计算表示在网络会话过程中使用的操作***的分数。正常的用户往往使用多种常见的操作***,而机器人可能被编程为利用个别操作***的安全漏洞。更具体地,用于植入机器人的病毒可以利用个别操作***的安全漏洞。认识到这一点,指标计算器60中的这一个可以计算表示网络会话过程中使用的操作***的分数,以便当操作***是常用的操作***时该分数较低,而当操作***不常用时该分数较高。指标计算器60中的这一个还可以被配置为当已经被病毒利用的操作***出现已知的安全漏洞时对该具体的操作***输出较高的分数。当修补该安全漏洞时,指标计算器60中的这一个可以配置为降低该操作***的分数。当操作***发送TCP数据包时,指标计算器60中的这一个可以根据通过该操作***设置的TCP数据包参数组检测网络会话的操作***。在一些实施例中,通过类似于以上讨论的不常见的用户代理的使用的突然增加的方式,指标计算器60中的这一个可以检测个别操作***的使用的突然增加并且向使用该操作***的网络会话赋以高分数。以下的伪码中出现的分数仅仅是实例,并可以根据用户的特定要求而被管理员或者其他用户修改。在一个实例中,指标计算器60中的这一个可以根据以下伪码计算分数:
if(isKnownSecurityRisk(session.OS))
score=100;
else if(isUncommonOS(session.OS))
score=60;
else
score=0;
图5是示出了用于配置多个指标计算器(例如图4中的指标计算机60)的实例用户界面80的截屏。管理员42还可以使用用户界面80来配置加权模块62(图4)。在一个实例中,安全管理模块44(图2)向管理员42显示用户界面80,以便管理员42可以设置或者调节IDP 20的配置。在图5的实例中,用户界面80包括指标范围82A~82E(指标范围82)、加权文本框84A~84E(加权文本框84)、滑动条86A~86E(滑动条86)、调节箭头88A~88E(调节箭头88)、向上滚动箭头90、向下滚动箭头92、滚动滑动条94、保存按钮96、取消按钮98。
指标范围82、加权文本框84、滑动条86和调节箭头88中的对应的一些的每一组(set)均对应于指标计算器60(图4)中的一个,用于调节具体指标的参数。在图5的实例中,这些组对应于打开的多个连接、每个连接的多个事务、请求之间的延迟分布、对具体请求的服务器响应时间以及请求的数据对象的百分比。虽然在图5的实例中只示出了五组,但是可以使用相似的机制来调节其他指标的其他的参数,例如参照图4讨论的指标中的任意或者全部。用户还可以通过选择向上滚动箭头90或者向下滚动箭头92或者通过拖动滚动滑动条94来使用户界面80显示其他的调节参数。
通常,滑动条86对应于“正常的”用户行为,而没有被滑动条86覆盖的相应的指标范围82的部分被认为更类似机器人行为。在一些实例中,指标计算器60基于计算的指标与滑动条86中的相应的一个之间的绝对距离输出分数。即,当计算的指标发生在滑动条86中的相应的一个中时,指标计算器60中的相应的一个可以输出0分或者非常低的分数,而当计算得到的指标远远发生在滑动条86中的相应的一个之外时,指标计算器60中的相应的一个可以输出高分数。
输入加权文本框84的值对某些比其他指标更重要或者更不重要的指标加权。默认情况下,加权文本框84的值是100%。然而,诸如管理员42的用户可以通过改变加权文本框84的值来增强或者减弱某些指标。加入加权文本框84中的一个的百分比通过输入的值来改变指标计算器60中的相应的一个输出的指标的值。这样,当输入值“50%”时,指标分数降为其初始值的50%,而当输入值“150%”时,指标分数提高“50%”。通过这种方式,管理员42可以加权某些更重要或者更不重要的指标,例如特别强调某些网络攻击的检测以超过其他的。
例如,指标范围82A、加权文本框84A、滑动条86A和调节箭头88A中每一个均允许诸如管理员42的用户调节涉及计算多个打开的连接的加权指标的参数。指标范围82A允许管理员42在介于0到10个打开连接之间的任意位置设置滑动条86A。管理员42可以使用调节箭头88A调节滑动条86A的宽度。在图5的实例中,管理员42已经设置滑动条86A以覆盖介于3到5个打开连接之间的指标范围82A的区域。滑动条86A表示介于3到5个(包含)之间的打开连接是正常的用户行为。而小于3或者大于5的打开连接表示更类似机器人的行为。从而,对于给定的通信会话,当介于3到5之间的连接打开时,指标计算器60中的相应的一个(例如指标计算器60A)输出低分数,而当小于3或大于5的连接打开时,指标计算器60A输出高分数,随着分数增加,打开连接的数量进一步偏离3到5之间。管理员42还将加权文本框84A的值设置为100%。
又例如,指标范围82B、加权文本框84B、滑动条86B和调节箭头88B中每一个均允许管理员42调节涉及计算每个打开连接的事务的平均数量的加权指标的参数。指标范围82B允许管理员42在介于0到30个打开连接之间的任意位置设置滑动条86B。管理员42可以使用调节箭头88B调节滑动条86B的宽度。在图5的实例中,管理员42已经设置滑动条86B以覆盖每个连接介于5到20个打开连接之间的指标范围82B的区域。滑动条86B表示每个打开连接介于5到20个之间的事务是正常的用户行为。而每个打开连接小于5或者大于20的事务表示更类似机器人的行为。从而,当网络会话的连接平均出现介于5和20个之间的事务时,指标计算器60中的相应的一个(例如指标计算器60B)输出低分数,而当网络会话的每个连接出现小于5或大于20个的事务时,指标计算器60B输出高分数,随着分数增加,每个连接的事务的平均数量进一步偏离5到20之间。管理员42还将加权文本框84B的值设置为100%。
又例如,指标范围82C、加权文本框84C、滑动条86C和调节箭头88C中每一个均允许管理员42调节涉及计算请求之间的延迟的加权指标的参数。指标范围82C允许管理员42在网络会话过程中发布的请求之间的0到10分钟之间的平均延迟的任意位置设置滑动条86C。管理员42可以使用调节箭头88C调节滑动条86C的宽度。在图5的实例中,管理员42已经设置滑动条86C以覆盖介于平均1到10分钟延迟之间的指标范围82C的区域。滑动条86C表示网络会话的请求之间的介于平均1到10分钟的延迟是正常的用户行为。而小于平均1分钟的延迟表示更类似机器人的行为。对于该实例,任何大于平均10分钟的延迟被认为是正常的用户行为,因为滑动条86C被设置为指标范围82C的最大可允许范围。从而当网络会话在请求之间具有平均小于一分钟的延迟时,指标计算器60中的相应的一个(例如指标计算器60C)输出高分数,随着分数增加,平均延迟更加偏离一分钟,而当网络会话在请求之间具有平均大于一分钟的延迟时,指标计算器60C输出低分数。管理员42还将加权文本框84C的值设置为70%。
又例如,指标范围82D、加权文本框84D、滑动条86D和调节箭头88D中每一个均允许诸如管理员42的用户调节涉及对每个请求的平均服务器响应时间的参数。指标范围82D允许管理员42在介于0到10分钟之间的任意位置设置滑动条86D。管理员42可以使用调节箭头88D调节滑动条86D的宽度。在图5的实例中,管理员42已经设置滑动条86D以覆盖每平均响应时间介于0到0.1分钟之间的指标范围82D的区域。滑动条86D表示介于0到0.1分钟之间的平均响应时间是正常的用户行为。而大于0.1分钟表示更类似机器人行为。从而当服务器的每次请求的平均响应小于0.1分钟时,指标计算器60中的相应的一个(例如指标计算器60D)输出低分数,而当平均服务器请求时间大于0.1分钟时,指标计算器60D输出高分数,随着分数增加,平均服务器响应时间更加远离0.1分钟。管理员42还将加权文本框84D的值设置为150%。
又例如,指标范围82E、加权文本框84E、滑动条86E和调节箭头88E中每一个均允许诸如管理员42的用户调节涉及计算被请求的网页的多个数据对象的加权指标的参数。指标范围82E允许管理员42在数据对象的0到100%之间的任意位置设置滑动条86E。管理员42可以使用调节箭头88E调节滑动条86E的宽度。在图5的实例中,管理员42已经设置滑动条86E以覆盖介于80%到100%被请求的数据对象之间的指标范围82E的区域。滑动条86E表示介于80%到100%之间的被请求的数据对象是正常的用户行为。而小于80%表示更类似机器人行为。从而,对于给定的网络会话,当具体网页的大于80%的数据对象被请求时,指标计算器60中的相应的一个(例如指标计算器60E)输出低分数,而当小于80%的数据对象被请求时,指标计算器60E输出高分数,随着分数增加,被请求的数据对象的百分比更加远离80%。管理员42还将加权文本框84E的值设置为120%。
当管理员42已经在相应的指标范围82上将滑动条86设置在希望的位置之后,管理员42可以通过选择保存按钮96保存配置。选择保存按钮96之后,安全管理模块44存储包含滑动条86的表示和输入到加权文本框84中的加权的配置。管理员42还可以选择取消按钮98拒绝修改IDP 20的配置。
图6是示出了用于通过检测应用层业务来检测机器人的一种实例方法的流程图。虽然图6的方法通常会参照IDP 20来讨论,但是应理解,任何IDS、IDP、IPS或者其他安全设备都可以实现参照图6讨论的方法。
首先,IDP 20的重组模块50接收数据包流的数据包,即入站业务24(110)。重组模块50通过在数据缓冲器55中缓冲数据包流的数据包来重组数据包流的应用层数据(112)。在一些实例中,例如通过分析应用层数据或者数据包流的其他数据(例如传输层或网络层数据),协议解码器30确定与数据包流相关联的一个或多个协议。攻击检测模块52可以尝试使用其他攻击检测技术检测攻击的某些类型,例如根据技术领域中已知的技术的较低层的攻击。
然后,机器人检测模块58计算数据包流的数据的多个加权指标分数。即,机器人检测模块58基于类似机器人业务的第一特征计算数据的第一指标分数(112)。例如,指标计算器60A可以基于对应于数据包流的网络会话打开的多个连接来计算第一指标分数,指标计算器60B可以基于具体连接的请求的平均数量来计算第二指标分数。然后,机器人检测模块58将加权应用到第一指标分数(114)。具体地,对应于计算指标分数的指标计算器60中的一个的加权模块62中的一个将权数应用到计算得到的指标分数。例如,加权模块62A计算由指标计算器60A算得的指标分数的加权形式。
机器人检测模块58为可用的每对指标计算器60和加权模块62计算加权指标分数。在图6的实例方法中,机器人检测模块58通过检查是否仍有要计算的指标来连续计算这些分数(118),而如果是,则计算剩余指标的加权指标分数。但是,应理解,在一些实例中,加权指标分数可以被并行计算,例如使用专用硬件或者每个同时工作的多个可编程硬件设备。
在计算加权指标分数中的每一个之后,机器人检测模块58的平均器64基于算得的加权指标分数计算平均加权指标分数(120)。例如,平均器64可以将加权指标分数相加并且除以指标计算器的数量,以产生平均加权指标分数。
然后,比较器68将平均器64算得的平均加权指标分数与阈值66进行比较,以确定平均加权指标分数是否超过阈值(122)。当平均加权指标分数超过阈值时(122的“是”分支),IDP 20执行程序化响应(124)。程序化响应可以包括例如发送警报、发送消息到其他的网络设备以阻断或检测来自对应于数据包流的网络会话的服务器或客户端或两者的业务、阻断数据包流的后来的数据包、丢弃数据包流、发送数据包流的关闭会话消息到网络会话的客户端、发送数据包流的关闭会话消息到网络会话的服务器、防止客户端和/或服务器发起新网络会话、防止来自客户端和/或服务器的某些请求(例如阻断数据库查询请求)、节流(例如限制速率)来自客户端或服务器或两者的通信或者其他响应。而当平均加权指标分数没有超过阈值时(122的“否”分支),IDP 20转发数据包流的数据包(126)。
根据权利要求6所述的方法大体包括:用网络设备接收网络会话的数据包;组合来自数据包的网络会话的网络会话数据,网络会话数据包括网络会话的数据包流数据和应用层数据;基于被应用于网络会话数据的多个指标计算网络会话数据的多个分数,其中,指标中的每一个对应于自动软件代理发起的恶意网络会话的特征,以及其中,分数中的每一个表示网络会话由自动软件代理发起的可能性;集合多个分数,以生成总分;当总分超过阈值时,确定网络会话由自动软件代理发起;以及当确定网络会话为恶意时,执行程序化响应。在一些实例中,该方法还可以包括分析通过多个网络会话的代理行为。例如,IDP 20可以将图6的方法应用到多个网络会话,以确定多个网络会话中的任意一个是否由自动软件代理发起,并识别由自动软件代理发起的那些网络会话。
图7是示出了一种实例路由器150的框图。在图7的实例中,路由器150包括不同的“平面(plane)”,为路由器150执行不同的任务。通常,路由器150包括:转发平面190,用于接收和/或发送数据包;路由平面170,用于路由功能(例如计算通过网络的路由);以及服务平面160,包括多个服务卡164,每个均为路由器150执行各种繁杂工作。通常,服务卡164可以扩展路由器150的功能以为路由器150执行附加的功能。服务卡164可以被移除或者用实现其他功能的其他卡替代。
在图7的实例中,服务平面卡164包括IDP卡162,其通常实现关于IDP 20(图2和3)描述的功能。即,IDP卡162可以包括:网络接口,接收网络会话的数据包;控制单元,具有一个或多个处理器;重组模块,在控制单元中执行,以组合网络会话的应用层数据;机器人检测模块,在控制单元中执行,以基于多个指标计算应用层数据的多个分数,其中,指标中的每一个对应于由自动软件代理发起的网络会话的特征,以根据多个分数的合计产生总分,并在总分超过阈值时确定网络会话由自动软件代理发起;以及攻击检测模块,在控制单元中执行,以在确定网络会话由自动软件代理发起时,执行程序化的响应。服务卡164还可以包括:例如防火墙卡、安全管理卡、用户界面卡、附加的网络接口或其他卡。
服务卡164还向流控制单元192发送消息166。在一个实例中,IDP卡162发送包含具体的数据包流的指令的消息166。即,IDP卡162可以指示流控制单元192丢弃数据包流的数据包,向数据包流的客户端或服务器发送关闭会话消息,或者在确定该数据包流不是恶意的之后停止向IDP卡162发送数据包流的数据包。其他的服务卡164还可以向流控制单元192发送类似的消息166。
路由器150还包括路由平面170,其中,路由器150执行各种路由任务。例如,路由平面170的路由引擎172根据一个或多个协议178计算路由器150连接的网络的路由。路由器150还经由服务通信模块(SCM)176从其他路由器接收通知的路由(advertisedroutes)。路由引擎172将通告的和计算的路由存储在路由信息库(RIB)180中。路由引擎172还根据通告的和计算的路由向转发组件194发送更新,以便转发组件194可以沿着路由引擎172计算的路由恰当地转发接收的数据包。
在图7的实例中,路由引擎172还包括用户界面(UI)174。UI 174使管理员(admin)152能够与路由器150互动,例如增加或更新协议178。在一些实例中,管理员152使用UI 174配置服务平面卡164,例如IDP卡162。例如,UI 174可以展示图5的实例用户界面以允许管理员152配置IDP卡162,例如其指标和权数。UI174还通过服务通信模块176将接收到的权数和指标传送给IDP卡162。
通常,转发平面190为路由器接收并转发数据包。流控制单元192接收各种数据包流或者其他网络会话的数据包154。当流控制单元192接收用于路由引擎172的消息时,流控制单元192通过例如服务卡164中的一个将消息送往路由引擎172。流控制单元192通过一个或多个服务卡164指示某些数据包。流控制单元192还可以向转发组件194直接发送接收到的数据包。当IDP卡162已经将消息166发送到流控制单元192以阻断具体的数据包流的数据包时,流控制单元192丢弃其数据包流的接收到的数据包154。
转发组件194将网络会话的数据包转发给另一网络设备。转发组件194还根据从路由引擎172接收到的消息维护转发信息库(FIB)196。当路由引擎172通知路由时,转发组件194将通告的路由转发给与路由器150通信的一个或多个其他的路由器。
本发明公开中所描述的技术可以在硬件、软件、固件或其任意组合中被实现或者至少部分被实现。例如,所描述的技术的各个方面可以在一个或多个处理器中实现,处理器包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA),或任意其他同等集成或独立的逻辑电路,以及这些组件的任意组合。术语“处理器”或者“处理电路”一般指的是上述逻辑电路中的任意一种、独立的或者与其它逻辑电路组合、或者任意其他同等电路。包含硬件的控制单元还可以执行本发明公开的一个或多个技术。
这样的硬件、软件和固件可以在同一设备或独立的设备中实现,以支持本发明的公开中所描述的操作和功能。此外,所描述的单元、模块或组件中的任意一种可以作为分立但相互操作的逻辑器件一起或者单独实现。模块或单元的不同特征的描写旨在突出不同功能的方面,不一定意味着这样的模块或单元必须由独立的硬件或软件组件实现。相反,与一个或多个模块或单元相关联的功能可以通过独立的硬件或软件组件、或者集成在通用或独立的硬件或软件组件中来实现。
在一个实例中,服务平面卡可以包括执行本发明公开中描述的技术的硬件控制单元,以便服务平面卡可以被***到多机箱网络设备。以这种方式,通过将实现这些技术的服务平面机箱连接到可扩展的多机箱网络设备,多机箱网络设备可以将本发明公开的技术与连接到多机箱网络设备的其他机箱的功能相结合。例如,路由器可以被配置为通过将执行这些技术的服务平面机箱连接到路由器来实现本发明公开的技术。
本发明公开中描述的技术还可以在包含指令的计算机可读介质(例如,可读存储介质)中被实现或者编码。例如当指令被执行时,在计算机可读介质中嵌入或者编码的指令可以使可编程处理器或者其他处理器执行该方法。计算机可读存储介质可以包括:随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电子可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁介质、光介质、或其他计算机可读介质。
已经描述了各种实例。这些或其他实例在以下的权利要求的范围内。
Claims (13)
1.一种方法,包括:
用网络设备接收网络会话的数据包;
组合来自所述数据包的所述网络会话的网络会话数据,所述网络会话数据包括所述网络会话的数据包流数据和应用层数据;
基于被应用于所述网络会话数据的多个指标计算所述网络会话的多个分数,其中,所述指标中的每一个均对应于由自动软件代理发起的网络会话的特征,以及,所述分数中的每一个均表示所述网络会话由自动软件代理发起的可能性;
合计所述多个分数,以生成总分;
当所述总分超过阈值时,确定所述网络会话由自动软件代理发起;以及
当确定所述网络会话由自动软件代理发起时,执行程序化响应。
2.根据权利要求1所述的方法,还包括:将多个加权值中的每一个应用到所述多个分数中相应的一个上,其中,合计所述多个分数包括合计应用了相应的所述加权值的多个分数。
3.根据权利要求2所述的方法,还包括:经由用户界面接收所述多个加权值。
4.根据权利要求1所述的方法,还包括:经由用户界面接收所述指标中的至少一个的定义。
5.根据权利要求1所述的方法,其中,所述指标中的第一个对应于所述网络会话的打开的连接的数目,所述指标中的第二个对应于每个打开的连接的事务平均数量,所述指标中的第三个对应于所述网络会话过程中请求之间的时间分布,所述指标中的第四个对应于对所述请求的平均服务器响应时间,所述指标中的第五个对应于所述网络会话所请求的网页的数据对象的百分比,所述指标中的第六个对应于所述网络会话过程中的链接跟随行为,所述指标中的第七个对应于所述网络会话过程中用户代理的改变,所述指标中的第八个对应于网页cookie处理行为,以及所述指标中的第九个对应于由所述网络会话的客户端设备使用的操作***。
6.根据权利要求1所述的方法,其中,执行程序化响应包括以下中的至少一个:发送警报;丢弃所述网络会话的所述数据包;向所述网络会话的客户端发送关闭会话消息;阻断来自所述网络会话的网络设备的连接请求;向所述网络会话的服务器发送关闭会话消息;限制所述网络会话的速率;随阻断所述客户端的其他网络会话的指令向网络设备发送所述客户端的标识符;以及随阻断所述服务器的网络会话的指令向网络设备发送所述服务器的标识符。
7.一种网络设备,包括:
网络接口,接收网络会话的数据包;
控制单元,具有一个或多个处理器;
重组模块,在所述控制单元中执行,以重组所述网络会话的应用层数据;
流表,存储所述网络会话的数据包流信息;
机器人检测模块,在所述控制单元中执行,以基于多个指标计算所述网络会话的多个分数,所述多个指标的每一个均被应用到经重组的应用层数据和数据包流信息中的至少一个,其中,所述指标中的每一个均对应于由自动软件代理发起的网络会话的特征,其中,所述机器人检测模块被配置为由所述多个分数的合计来生成总分,并且当所述总分超过阈值时确定所述网络会话由自动软件代理发起,其中,所述分数中的每一个均表示所述网络会话由自动软件代理发起的可能性;以及
攻击检测模块,在所述控制单元中执行,当确定所述网络会话由自动软件代理发起时,执行程序化响应。
8.根据权利要求7所述的设备,其中,所述机器人检测模块将多个加权值中的每一个应用到所述多个分数中相应的一个上,并在已将所述加权值应用到用于所述多个分数的聚集的所述多个分数之后,产生所述总分。
9.根据权利要求8所述的设备,还包括:用户界面,用于接收所述多个加权值。
10.根据权利要求7所述的设备,还包括:用户界面,用于接收所述指标中的至少一个的定义。
11.根据权利要求7所述的设备,其中,所述指标中的第一个对应于所述网络会话的打开的连接的数目,所述指标中的第二个对应于每个打开的连接的事务平均数量,所述指标中的第三个对应于所述网络会话过程中请求之间的时间分布,所述指标中的第四个对应于对所述请求的平均服务器响应时间,所述指标中的第五个对应于所述网络会话所请求的网页的数据对象的百分比,所述指标中的第六个对应于所述网络会话过程中的链接跟随行为,所述指标中的第七个对应于所述网络会话过程中用户代理的改变,所述指标中的第八个对应于网页cookie处理行为,以及所述指标中的第九个对应于由所述网络会话的客户端设备使用的操作***。
12.根据权利要求7所述的设备,其中,由所述攻击检测模块执行的所述程序化响应包括以下至少一个:发送警报;丢弃所述网络会话的所述数据包;向所述网络会话的客户端发送关闭会话消息;向所述网络会话的服务器发送关闭会话消息;阻断来自所述网络会话的网络设备的连接请求;限制所述网络会话的速率;随阻断所述客户端的其他网络会话的指令向网络设备发送所述客户端的标识符;以及随阻断所述服务器的网络会话的指令向网络设备发送所述服务器的标识符。
13.根据权利要求7所述的设备,还包括路由器,其中,所述路由器的服务平面包括:指令检测和预防卡,其包括所述重组模块、所述机器人检测模块以及所述攻击检测模块。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/432,325 | 2009-04-29 | ||
| US12/432,325 US8914878B2 (en) | 2009-04-29 | 2009-04-29 | Detecting malicious network software agents |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101883020A true CN101883020A (zh) | 2010-11-10 |
| CN101883020B CN101883020B (zh) | 2015-11-25 |
Family
ID=42358265
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010170922.9A Active CN101883020B (zh) | 2009-04-29 | 2010-04-29 | 检测恶意网络软件代理的方法和网络设备 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8914878B2 (zh) |
| EP (1) | EP2247064B1 (zh) |
| CN (1) | CN101883020B (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624677A (zh) * | 2011-01-27 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN103634366A (zh) * | 2012-08-27 | 2014-03-12 | 北京千橡网景科技发展有限公司 | 用于识别网络机器人的方法和设备 |
| CN107086955A (zh) * | 2014-01-10 | 2017-08-22 | 腾讯科技(深圳)有限公司 | 信息分享控制方法及装置 |
| CN109104335A (zh) * | 2018-08-27 | 2018-12-28 | 广东电网有限责任公司 | 一种工控设备网络攻击测试方法与*** |
| CN110046200A (zh) * | 2018-11-07 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 文本可信模型分析方法、设备和装置 |
| CN111431915A (zh) * | 2014-09-18 | 2020-07-17 | 微软技术许可有限责任公司 | 横向移动检测 |
| CN114978900A (zh) * | 2018-04-27 | 2022-08-30 | 慧与发展有限责任合伙企业 | 用于监测网络的方法、设备和*** |
Families Citing this family (248)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007050244A2 (en) | 2005-10-27 | 2007-05-03 | Georgia Tech Research Corporation | Method and system for detecting and responding to attacking networks |
| US8467527B2 (en) | 2008-12-03 | 2013-06-18 | Intel Corporation | Efficient key derivation for end-to-end network security with traffic visibility |
| US10027688B2 (en) | 2008-08-11 | 2018-07-17 | Damballa, Inc. | Method and system for detecting malicious and/or botnet-related domain names |
| US8468601B1 (en) * | 2008-10-22 | 2013-06-18 | Kaspersky Lab, Zao | Method and system for statistical analysis of botnets |
| US8914878B2 (en) | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| KR100942456B1 (ko) * | 2009-07-23 | 2010-02-12 | 주식회사 안철수연구소 | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 |
| US20110213716A1 (en) | 2009-09-30 | 2011-09-01 | Matthew Ocko | Apparatuses, Methods and Systems for a Customer Service Request Evaluator |
| FI20096394A0 (fi) * | 2009-12-23 | 2009-12-23 | Valtion Teknillinen | Tunkeutumisen havaitseminen viestintäverkoissa |
| US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
| US8826438B2 (en) | 2010-01-19 | 2014-09-02 | Damballa, Inc. | Method and system for network-based detecting of malware from behavioral clustering |
| US8438270B2 (en) * | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
| US8302198B2 (en) | 2010-01-28 | 2012-10-30 | Tenable Network Security, Inc. | System and method for enabling remote registry service security audits |
| US8707440B2 (en) * | 2010-03-22 | 2014-04-22 | Tenable Network Security, Inc. | System and method for passively identifying encrypted and interactive network sessions |
| US8266243B1 (en) * | 2010-03-30 | 2012-09-11 | Amazon Technologies, Inc. | Feedback mechanisms providing contextual information |
| US8438638B2 (en) * | 2010-04-08 | 2013-05-07 | At&T Intellectual Property I, L.P. | Bot-network detection based on simple mail transfer protocol (SMTP) characteristics of e-mail senders within IP address aggregates |
| US9584630B2 (en) * | 2010-04-30 | 2017-02-28 | Interdigital Patent Holdings, Inc. | Light weight protocol and agent in a network communication |
| US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
| US8365287B2 (en) | 2010-06-18 | 2013-01-29 | Samsung Sds Co., Ltd. | Anti-malware system and operating method thereof |
| US8260914B1 (en) * | 2010-06-22 | 2012-09-04 | Narus, Inc. | Detecting DNS fast-flux anomalies |
| KR101279213B1 (ko) | 2010-07-21 | 2013-06-26 | 삼성에스디에스 주식회사 | 시스템 온 칩 기반의 안티-멀웨어 서비스를 제공할 수 있는 디바이스 및 그 방법과 인터페이스 방법 |
| US9516058B2 (en) | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
| US20190158535A1 (en) * | 2017-11-21 | 2019-05-23 | Biocatch Ltd. | Device, System, and Method of Detecting Vishing Attacks |
| US10395018B2 (en) | 2010-11-29 | 2019-08-27 | Biocatch Ltd. | System, method, and device of detecting identity of a user and authenticating a user |
| US10897482B2 (en) | 2010-11-29 | 2021-01-19 | Biocatch Ltd. | Method, device, and system of back-coloring, forward-coloring, and fraud detection |
| US10747305B2 (en) | 2010-11-29 | 2020-08-18 | Biocatch Ltd. | Method, system, and device of authenticating identity of a user of an electronic device |
| US11210674B2 (en) * | 2010-11-29 | 2021-12-28 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
| US10298614B2 (en) * | 2010-11-29 | 2019-05-21 | Biocatch Ltd. | System, device, and method of generating and managing behavioral biometric cookies |
| US10476873B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | Device, system, and method of password-less user authentication and password-less detection of user identity |
| US10055560B2 (en) | 2010-11-29 | 2018-08-21 | Biocatch Ltd. | Device, method, and system of detecting multiple users accessing the same account |
| US10037421B2 (en) | 2010-11-29 | 2018-07-31 | Biocatch Ltd. | Device, system, and method of three-dimensional spatial user authentication |
| US10262324B2 (en) | 2010-11-29 | 2019-04-16 | Biocatch Ltd. | System, device, and method of differentiating among users based on user-specific page navigation sequence |
| US10083439B2 (en) | 2010-11-29 | 2018-09-25 | Biocatch Ltd. | Device, system, and method of differentiating over multiple accounts between legitimate user and cyber-attacker |
| US10069852B2 (en) | 2010-11-29 | 2018-09-04 | Biocatch Ltd. | Detection of computerized bots and automated cyber-attack modules |
| US9483292B2 (en) | 2010-11-29 | 2016-11-01 | Biocatch Ltd. | Method, device, and system of differentiating between virtual machine and non-virtualized device |
| US10474815B2 (en) | 2010-11-29 | 2019-11-12 | Biocatch Ltd. | System, device, and method of detecting malicious automatic script and code injection |
| US11223619B2 (en) | 2010-11-29 | 2022-01-11 | Biocatch Ltd. | Device, system, and method of user authentication based on user-specific characteristics of task performance |
| US10970394B2 (en) | 2017-11-21 | 2021-04-06 | Biocatch Ltd. | System, device, and method of detecting vishing attacks |
| US10728761B2 (en) | 2010-11-29 | 2020-07-28 | Biocatch Ltd. | Method, device, and system of detecting a lie of a user who inputs data |
| US10949514B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | Device, system, and method of differentiating among users based on detection of hardware components |
| US10834590B2 (en) | 2010-11-29 | 2020-11-10 | Biocatch Ltd. | Method, device, and system of differentiating between a cyber-attacker and a legitimate user |
| US10404729B2 (en) | 2010-11-29 | 2019-09-03 | Biocatch Ltd. | Device, method, and system of generating fraud-alerts for cyber-attacks |
| US10621585B2 (en) | 2010-11-29 | 2020-04-14 | Biocatch Ltd. | Contextual mapping of web-pages, and generation of fraud-relatedness score-values |
| US10069837B2 (en) * | 2015-07-09 | 2018-09-04 | Biocatch Ltd. | Detection of proxy server |
| US10164985B2 (en) | 2010-11-29 | 2018-12-25 | Biocatch Ltd. | Device, system, and method of recovery and resetting of user authentication factor |
| US9747436B2 (en) * | 2010-11-29 | 2017-08-29 | Biocatch Ltd. | Method, system, and device of differentiating among users based on responses to interferences |
| US10776476B2 (en) | 2010-11-29 | 2020-09-15 | Biocatch Ltd. | System, device, and method of visual login |
| US10949757B2 (en) | 2010-11-29 | 2021-03-16 | Biocatch Ltd. | System, device, and method of detecting user identity based on motor-control loop model |
| US10685355B2 (en) * | 2016-12-04 | 2020-06-16 | Biocatch Ltd. | Method, device, and system of detecting mule accounts and accounts used for money laundering |
| US10917431B2 (en) * | 2010-11-29 | 2021-02-09 | Biocatch Ltd. | System, method, and device of authenticating a user based on selfie image or selfie video |
| US20240080339A1 (en) * | 2010-11-29 | 2024-03-07 | Biocatch Ltd. | Device, System, and Method of Detecting Vishing Attacks |
| US10586036B2 (en) | 2010-11-29 | 2020-03-10 | Biocatch Ltd. | System, device, and method of recovery and resetting of user authentication factor |
| US9531701B2 (en) * | 2010-11-29 | 2016-12-27 | Biocatch Ltd. | Method, device, and system of differentiating among users based on responses to interferences |
| US10032010B2 (en) | 2010-11-29 | 2018-07-24 | Biocatch Ltd. | System, device, and method of visual login and stochastic cryptography |
| US11269977B2 (en) | 2010-11-29 | 2022-03-08 | Biocatch Ltd. | System, apparatus, and method of collecting and processing data in electronic devices |
| US8631489B2 (en) | 2011-02-01 | 2014-01-14 | Damballa, Inc. | Method and system for detecting malicious domain names at an upper DNS hierarchy |
| HUE032369T2 (en) * | 2011-02-02 | 2017-09-28 | Nagravision Sa | Media decoder and decoding method to enable media decoder tracking |
| US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
| US8789186B2 (en) * | 2011-03-03 | 2014-07-22 | Jpmorgan Chase Bank, N.A. | System and method for packet profiling |
| EP2500838A1 (en) | 2011-03-16 | 2012-09-19 | Samsung SDS Co. Ltd. | SOC-based device for packet filtering and packet filtering method thereof |
| WO2012135221A1 (en) * | 2011-03-28 | 2012-10-04 | Citrix Systems, Inc. | Systems and methods for tracking application layer flow via a multi-connection intermediary device |
| CN102737019B (zh) * | 2011-03-31 | 2016-08-24 | 阿里巴巴集团控股有限公司 | 机器行为确定方法、网页浏览器及网页服务器 |
| US9521154B2 (en) | 2011-08-03 | 2016-12-13 | Hewlett Packard Enterprise Development Lp | Detecting suspicious network activity using flow sampling |
| CN102281298A (zh) * | 2011-08-10 | 2011-12-14 | 深信服网络科技(深圳)有限公司 | 检测和防御cc攻击的方法及装置 |
| US8181247B1 (en) * | 2011-08-29 | 2012-05-15 | Kaspersky Lab Zao | System and method for protecting a computer system from the activity of malicious objects |
| US8677487B2 (en) * | 2011-10-18 | 2014-03-18 | Mcafee, Inc. | System and method for detecting a malicious command and control channel |
| EP2792178B1 (en) | 2011-12-12 | 2018-08-29 | Telefonaktiebolaget LM Ericsson (publ) | Method for detection of persistent malware on a network node |
| EP2661027A4 (en) * | 2012-01-21 | 2014-09-24 | Huawei Tech Co Ltd | METHOD AND DEVICE FOR ROUTING MESSAGES |
| US9367707B2 (en) | 2012-02-23 | 2016-06-14 | Tenable Network Security, Inc. | System and method for using file hashes to track data leakage and document propagation in a network |
| US8948001B2 (en) * | 2012-06-26 | 2015-02-03 | Juniper Networks, Inc. | Service plane triggered fast reroute protection |
| US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
| US10097481B2 (en) | 2012-06-29 | 2018-10-09 | Juniper Networks, Inc. | Methods and apparatus for providing services in distributed switch |
| US10129182B2 (en) * | 2012-06-29 | 2018-11-13 | Juniper Networks, Inc. | Methods and apparatus for providing services in distributed switch |
| US9088606B2 (en) | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
| US10547674B2 (en) | 2012-08-27 | 2020-01-28 | Help/Systems, Llc | Methods and systems for network flow analysis |
| US9166994B2 (en) * | 2012-08-31 | 2015-10-20 | Damballa, Inc. | Automation discovery to identify malicious activity |
| US9894088B2 (en) | 2012-08-31 | 2018-02-13 | Damballa, Inc. | Data mining to identify malicious activity |
| US10084806B2 (en) | 2012-08-31 | 2018-09-25 | Damballa, Inc. | Traffic simulation to identify malicious activity |
| US9680861B2 (en) | 2012-08-31 | 2017-06-13 | Damballa, Inc. | Historical analysis to identify malicious activity |
| US8875287B2 (en) * | 2012-10-04 | 2014-10-28 | Akamai Technologies, Inc. | Server with mechanism for reducing internal resources associated with a selected client connection |
| US20140101761A1 (en) * | 2012-10-09 | 2014-04-10 | James Harlacher | Systems and methods for capturing, replaying, or analyzing time-series data |
| US9176838B2 (en) * | 2012-10-19 | 2015-11-03 | Intel Corporation | Encrypted data inspection in a network environment |
| US9436620B2 (en) * | 2013-03-05 | 2016-09-06 | Google Inc. | Methodology for detecting problematic connections with peripheral devices |
| US9225737B2 (en) * | 2013-03-15 | 2015-12-29 | Shape Security, Inc. | Detecting the introduction of alien content |
| US9166896B2 (en) | 2013-03-15 | 2015-10-20 | International Business Machines Corporation | Session-based server transaction storm controls |
| US9467464B2 (en) | 2013-03-15 | 2016-10-11 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
| US9996850B1 (en) * | 2013-03-21 | 2018-06-12 | Rocket Fuel Inc. | Safe pixel |
| US20140325479A1 (en) * | 2013-04-24 | 2014-10-30 | Hewlett-Packard Development Company, L.P. | Synchronization of an automation script |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| US9398044B2 (en) * | 2013-06-05 | 2016-07-19 | Beijing Blue I.T. Technologies Co., Ltd. | Method and apparatus for detecting attack on server |
| US9178888B2 (en) | 2013-06-14 | 2015-11-03 | Go Daddy Operating Company, LLC | Method for domain control validation |
| US9521138B2 (en) | 2013-06-14 | 2016-12-13 | Go Daddy Operating Company, LLC | System for domain control validation |
| US9571511B2 (en) | 2013-06-14 | 2017-02-14 | Damballa, Inc. | Systems and methods for traffic classification |
| US9141789B1 (en) | 2013-07-16 | 2015-09-22 | Go Daddy Operating Company, LLC | Mitigating denial of service attacks |
| US9027140B1 (en) * | 2013-08-22 | 2015-05-05 | Appthority, Inc. | Application malware filtering for advertising networks |
| US9626344B1 (en) * | 2013-09-19 | 2017-04-18 | Amazon Technologies, Inc. | Conditional promotion through packet reordering |
| EP2854341B1 (en) * | 2013-09-26 | 2020-02-26 | Viavi Solutions Inc. | Techniques for providing visualization and analysis of performance data |
| US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US9319421B2 (en) * | 2013-10-14 | 2016-04-19 | Ut-Battelle, Llc | Real-time detection and classification of anomalous events in streaming data |
| US9571390B2 (en) * | 2013-11-25 | 2017-02-14 | Cisco Technology, Inc. | Path optimization for adaptive streaming |
| US9294502B1 (en) | 2013-12-06 | 2016-03-22 | Radware, Ltd. | Method and system for detection of malicious bots |
| US9361463B2 (en) | 2013-12-11 | 2016-06-07 | Ut-Batelle, Llc | Detection of anomalous events |
| US9692789B2 (en) | 2013-12-13 | 2017-06-27 | Oracle International Corporation | Techniques for cloud security monitoring and threat intelligence |
| US10063654B2 (en) | 2013-12-13 | 2018-08-28 | Oracle International Corporation | Systems and methods for contextual and cross application threat detection and prediction in cloud applications |
| US10438225B1 (en) * | 2013-12-18 | 2019-10-08 | Amazon Technologies, Inc. | Game-based automated agent detection |
| US9985943B1 (en) | 2013-12-18 | 2018-05-29 | Amazon Technologies, Inc. | Automated agent detection using multiple factors |
| US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| EP3111613B1 (en) | 2014-02-28 | 2018-04-11 | British Telecommunications public limited company | Malicious encrypted traffic inhibitor |
| WO2015138508A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting bot behavior |
| US9241010B1 (en) * | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US9361446B1 (en) * | 2014-03-28 | 2016-06-07 | Amazon Technologies, Inc. | Token based automated agent detection |
| US9424414B1 (en) | 2014-03-28 | 2016-08-23 | Amazon Technologies, Inc. | Inactive non-blocking automated agent detection |
| US10097583B1 (en) | 2014-03-28 | 2018-10-09 | Amazon Technologies, Inc. | Non-blocking automated agent detection |
| JP6421436B2 (ja) * | 2014-04-11 | 2018-11-14 | 富士ゼロックス株式会社 | 不正通信検知装置及びプログラム |
| WO2015160331A1 (en) * | 2014-04-15 | 2015-10-22 | Hewlett-Packard Development Company, L.P. | Configurable network security |
| US9654361B2 (en) * | 2014-05-13 | 2017-05-16 | Cisco Technology, Inc. | Dynamic collection of network metrics for predictive analytics |
| US20150379266A1 (en) * | 2014-06-26 | 2015-12-31 | DoubleVerify, Inc. | System And Method For Identification Of Non-Human Users Accessing Content |
| US20160036894A1 (en) * | 2014-07-31 | 2016-02-04 | Michael David Collins | Server based communication between sandboxed applications |
| US10027689B1 (en) * | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US9838421B2 (en) * | 2014-10-01 | 2017-12-05 | Ciena Corporation | Systems and methods utilizing peer measurements to detect and defend against distributed denial of service attacks |
| US9754106B2 (en) * | 2014-10-14 | 2017-09-05 | Symantec Corporation | Systems and methods for classifying security events as targeted attacks |
| US9825928B2 (en) | 2014-10-22 | 2017-11-21 | Radware, Ltd. | Techniques for optimizing authentication challenges for detection of malicious attacks |
| US9712555B2 (en) | 2014-12-03 | 2017-07-18 | Phantom Cyber Corporation | Automated responses to security threats |
| US10455021B2 (en) | 2014-12-08 | 2019-10-22 | Ebay Inc. | Systems, apparatus, and methods for configuring device data streams |
| WO2016115735A1 (en) * | 2015-01-23 | 2016-07-28 | Murthy Sharad R | Processing high volume network data |
| KR102082355B1 (ko) | 2015-01-23 | 2020-02-27 | 이베이 인크. | 대용량 네트워크 데이터의 처리 기법 |
| US9942214B1 (en) * | 2015-03-02 | 2018-04-10 | Amazon Technologies, Inc. | Automated agent detection utilizing non-CAPTCHA methods |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| MY184710A (en) * | 2015-03-18 | 2021-04-19 | Ensign Infosecurity Cybersecurity Pte Ltd | System and method for information security threat disruption via a border gateway |
| US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US9930065B2 (en) | 2015-03-25 | 2018-03-27 | University Of Georgia Research Foundation, Inc. | Measuring, categorizing, and/or mitigating malware distribution paths |
| US9426139B1 (en) * | 2015-03-30 | 2016-08-23 | Amazon Technologies, Inc. | Triggering a request for an authentication |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US10091219B2 (en) * | 2015-05-14 | 2018-10-02 | SunStone Information Defense, Inc. | Methods and apparatus for detecting remote control of a client device |
| US11418520B2 (en) * | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| GB2539705B (en) | 2015-06-25 | 2017-10-25 | Aimbrain Solutions Ltd | Conditional behavioural biometrics |
| US10326789B1 (en) * | 2015-09-25 | 2019-06-18 | Amazon Technologies, Inc. | Web Bot detection and human differentiation |
| US11757920B2 (en) | 2015-10-28 | 2023-09-12 | Qomplx, Inc. | User and entity behavioral analysis with network topology enhancements |
| US11055451B2 (en) | 2015-10-28 | 2021-07-06 | Qomplx, Inc. | System and methods for multi-language abstract model creation for digital environment simulations |
| US12041091B2 (en) | 2015-10-28 | 2024-07-16 | Qomplx Llc | System and methods for automated internet- scale web application vulnerability scanning and enhanced security profiling |
| US12058178B2 (en) | 2015-10-28 | 2024-08-06 | Qomplx Llc | Privilege assurance of enterprise computer network environments using logon session tracking and logging |
| US11635994B2 (en) | 2015-10-28 | 2023-04-25 | Qomplx, Inc. | System and method for optimizing and load balancing of applications using distributed computer clusters |
| US11089045B2 (en) | 2015-10-28 | 2021-08-10 | Qomplx, Inc. | User and entity behavioral analysis with network topology enhancements |
| US11968239B2 (en) | 2015-10-28 | 2024-04-23 | Qomplx Llc | System and method for detection and mitigation of data source compromises in adversarial information environments |
| US11297109B2 (en) | 2015-10-28 | 2022-04-05 | Qomplx, Inc. | System and method for cybersecurity reconnaissance, analysis, and score generation using distributed systems |
| US12003544B2 (en) | 2015-10-28 | 2024-06-04 | Qomplx Llc | System and methods for automatically assessing and improving a cybersecurity risk score |
| US12058177B2 (en) * | 2015-10-28 | 2024-08-06 | Qomplx Llc | Cybersecurity risk analysis and anomaly detection using active and passive external reconnaissance |
| US10681074B2 (en) | 2015-10-28 | 2020-06-09 | Qomplx, Inc. | System and method for comprehensive data loss prevention and compliance management |
| US11055601B2 (en) | 2015-10-28 | 2021-07-06 | Qomplx, Inc. | System and methods for creation of learning agents in simulated environments |
| US11184401B2 (en) | 2015-10-28 | 2021-11-23 | Qomplx, Inc. | AI-driven defensive cybersecurity strategy analysis and recommendation system |
| US11025674B2 (en) * | 2015-10-28 | 2021-06-01 | Qomplx, Inc. | Cybersecurity profiling and rating using active and passive external reconnaissance |
| US11757849B2 (en) | 2015-10-28 | 2023-09-12 | Qomplx, Inc. | Detecting and mitigating forged authentication object attacks in multi-cloud environments |
| US11637866B2 (en) | 2015-10-28 | 2023-04-25 | Qomplx, Inc. | System and method for the secure evaluation of cyber detection products |
| US11968235B2 (en) | 2015-10-28 | 2024-04-23 | Qomplx Llc | System and method for cybersecurity analysis and protection using distributed systems |
| US10560483B2 (en) * | 2015-10-28 | 2020-02-11 | Qomplx, Inc. | Rating organization cybersecurity using active and passive external reconnaissance |
| US20200389495A1 (en) | 2015-10-28 | 2020-12-10 | Qomplx, Inc. | Secure policy-controlled processing and auditing on regulated data sets |
| US11055630B2 (en) | 2015-10-28 | 2021-07-06 | Qomplx, Inc. | Multitemporal data analysis |
| US11070592B2 (en) | 2015-10-28 | 2021-07-20 | Qomplx, Inc. | System and method for self-adjusting cybersecurity analysis and score generation |
| US11323484B2 (en) | 2015-10-28 | 2022-05-03 | Qomplx, Inc. | Privilege assurance of enterprise computer network environments |
| US11032323B2 (en) | 2015-10-28 | 2021-06-08 | Qomplx, Inc. | Parametric analysis of integrated operational technology systems and information technology systems |
| US11218510B2 (en) | 2015-10-28 | 2022-01-04 | Qomplx, Inc. | Advanced cybersecurity threat mitigation using software supply chain analysis |
| US11388198B2 (en) | 2015-10-28 | 2022-07-12 | Qomplx, Inc. | Collaborative database and reputation management in adversarial information environments |
| US11477245B2 (en) | 2015-10-28 | 2022-10-18 | Qomplx, Inc. | Advanced detection of identity-based attacks to assure identity fidelity in information technology environments |
| CN106817340B (zh) | 2015-11-27 | 2020-05-08 | 阿里巴巴集团控股有限公司 | 预警决策的方法、节点及子*** |
| US10158658B1 (en) * | 2015-12-04 | 2018-12-18 | Amazon Technologies, Inc. | System for determining network anomalies |
| US10243983B2 (en) * | 2015-12-08 | 2019-03-26 | Sudhir Pendse | System and method for using simulators in network security and useful in IoT security |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US10891377B2 (en) | 2015-12-24 | 2021-01-12 | British Telecommunications Public Limited Company | Malicious software identification |
| US11201876B2 (en) | 2015-12-24 | 2021-12-14 | British Telecommunications Public Limited Company | Malicious software identification |
| WO2017109135A1 (en) | 2015-12-24 | 2017-06-29 | British Telecommunications Public Limited Company | Malicious network traffic identification |
| US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
| US9680852B1 (en) * | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
| US10333968B2 (en) | 2016-02-10 | 2019-06-25 | Verisign, Inc. | Techniques for detecting attacks in a publish-subscribe network |
| US10218733B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10237287B1 (en) * | 2016-02-11 | 2019-03-19 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10218717B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10536478B2 (en) * | 2016-02-26 | 2020-01-14 | Oracle International Corporation | Techniques for discovering and managing security of applications |
| US10855696B2 (en) * | 2016-03-02 | 2020-12-01 | Shape Security, Inc. | Variable runtime transpilation |
| US10104100B1 (en) * | 2016-03-03 | 2018-10-16 | Symantec Corporation | Systems and methods for detecting anomalies that are potentially indicative of malicious attacks |
| US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| US10992694B2 (en) * | 2016-04-19 | 2021-04-27 | Nagravision S.A. | Method and system to detect abnormal message transactions on a network |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| GB2552032B (en) | 2016-07-08 | 2019-05-22 | Aimbrain Solutions Ltd | Step-up authentication |
| CN107707509B (zh) * | 2016-08-08 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 识别及辅助识别虚假流量的方法、装置及*** |
| US10216933B1 (en) * | 2016-09-16 | 2019-02-26 | Symantec Corporation | Systems and methods for determining whether malicious files are targeted |
| US10198122B2 (en) | 2016-09-30 | 2019-02-05 | Biocatch Ltd. | System, device, and method of estimating force applied to a touch surface |
| US10579784B2 (en) | 2016-11-02 | 2020-03-03 | Biocatch Ltd. | System, device, and method of secure utilization of fingerprints for user authentication |
| US9756061B1 (en) * | 2016-11-18 | 2017-09-05 | Extrahop Networks, Inc. | Detecting attacks using passive network monitoring |
| US10791136B2 (en) * | 2017-03-20 | 2020-09-29 | Fair Isaac Corporation | System and method for empirical organizational cybersecurity risk assessment using externally-visible data |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| WO2018178028A1 (en) | 2017-03-28 | 2018-10-04 | British Telecommunications Public Limited Company | Initialisation vector identification for encrypted malware traffic detection |
| US10735469B1 (en) * | 2017-07-01 | 2020-08-04 | Juniper Networks, Inc | Apparatus, system, and method for predictively enforcing security policies on unknown flows |
| US10397262B2 (en) | 2017-07-20 | 2019-08-27 | Biocatch Ltd. | Device, system, and method of detecting overlay malware |
| RU2693325C2 (ru) * | 2017-07-26 | 2019-07-02 | Общество С Ограниченной Ответственностью "Яндекс" | Способ и система для обнаружения действий, потенциально связанных с рассылкой спама, при регистрации учетной записи |
| US11165800B2 (en) | 2017-08-28 | 2021-11-02 | Oracle International Corporation | Cloud based security monitoring using unsupervised pattern recognition and deep learning |
| GB201715801D0 (en) * | 2017-09-29 | 2017-11-15 | Intechnica Ltd | Method of processing web requests directed to a website |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11368483B1 (en) * | 2018-02-13 | 2022-06-21 | Akamai Technologies, Inc. | Low touch integration of a bot detection service in association with a content delivery network |
| US10756956B2 (en) * | 2018-03-05 | 2020-08-25 | Schweitzer Engineering Laboratories, Inc. | Trigger alarm actions and alarm-triggered network flows in software-defined networks |
| US10749890B1 (en) | 2018-06-19 | 2020-08-18 | Architecture Technology Corporation | Systems and methods for improving the ranking and prioritization of attack-related events |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| US10931659B2 (en) * | 2018-08-24 | 2021-02-23 | Bank Of America Corporation | Federated authentication for information sharing artificial intelligence systems |
| US10778689B2 (en) * | 2018-09-06 | 2020-09-15 | International Business Machines Corporation | Suspicious activity detection in computer networks |
| EP3623980B1 (en) | 2018-09-12 | 2021-04-28 | British Telecommunications public limited company | Ransomware encryption algorithm determination |
| EP3850514B1 (en) | 2018-09-12 | 2023-09-20 | British Telecommunications public limited company | Encryption key seed determination |
| EP3623982B1 (en) | 2018-09-12 | 2021-05-19 | British Telecommunications public limited company | Ransomware remediation |
| US11218506B2 (en) * | 2018-12-17 | 2022-01-04 | Microsoft Technology Licensing, Llc | Session maturity model with trusted sources |
| US11429713B1 (en) | 2019-01-24 | 2022-08-30 | Architecture Technology Corporation | Artificial intelligence modeling for cyber-attack simulation protocols |
| US11128654B1 (en) | 2019-02-04 | 2021-09-21 | Architecture Technology Corporation | Systems and methods for unified hierarchical cybersecurity |
| US11646955B2 (en) | 2019-05-15 | 2023-05-09 | AVAST Software s.r.o. | System and method for providing consistent values in a faulty network environment |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| EP3964988B1 (en) * | 2019-06-04 | 2023-11-08 | Nippon Telegraph And Telephone Corporation | Sensing device, sensing method, and sensing program |
| US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| CN110944007B (zh) * | 2019-12-10 | 2020-11-10 | 北京北龙云海网络数据科技有限责任公司 | 一种网络访问管理方法、***、装置及存储介质 |
| US11477164B2 (en) * | 2019-12-12 | 2022-10-18 | Visa International Service Association | Method, system, and computer program product for preventing transmission of malicious data |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| WO2021154460A1 (en) * | 2020-01-30 | 2021-08-05 | Qomplx, Inc. | Cybersecurity profiling and rating using active and passive external reconnaissance |
| US11303672B2 (en) * | 2020-04-02 | 2022-04-12 | International Business Machines Corporation | Detecting replay attacks using action windows |
| US11144862B1 (en) | 2020-09-02 | 2021-10-12 | Bank Of America Corporation | Application mapping and alerting based on data dependencies |
| EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US12050693B2 (en) | 2021-01-29 | 2024-07-30 | Varmour Networks, Inc. | System and method for attributing user behavior from multiple technical telemetry sources |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| US11588835B2 (en) | 2021-05-18 | 2023-02-21 | Bank Of America Corporation | Dynamic network security monitoring system |
| US11799879B2 (en) | 2021-05-18 | 2023-10-24 | Bank Of America Corporation | Real-time anomaly detection for network security |
| US11792213B2 (en) | 2021-05-18 | 2023-10-17 | Bank Of America Corporation | Temporal-based anomaly detection for network security |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
| US11606353B2 (en) | 2021-07-22 | 2023-03-14 | Biocatch Ltd. | System, device, and method of generating and utilizing one-time passwords |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649346A (zh) * | 2005-03-23 | 2005-08-03 | 李冬岩 | 网络应用层攻击的检测、过滤、阻断和记录的方法 |
| CN101382979A (zh) * | 2007-09-05 | 2009-03-11 | 鸿璟科技股份有限公司 | 用于防止网页攻击的方法与装置 |
Family Cites Families (57)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE3330877C1 (de) | 1983-08-26 | 1984-10-11 | J. Strobel & Söhne - GmbH & Co, 8000 München | Pelznaehmaschine |
| US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US7203740B1 (en) * | 1999-12-22 | 2007-04-10 | Intel Corporation | Method and apparatus for allowing proprietary forwarding elements to interoperate with standard control elements in an open architecture for network devices |
| US7711790B1 (en) * | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
| US7278159B2 (en) | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
| US7836498B2 (en) | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US6970943B1 (en) * | 2000-10-11 | 2005-11-29 | Nortel Networks Limited | Routing architecture including a compute plane configured for high-speed processing of packets to provide application layer support |
| US6975628B2 (en) | 2000-12-22 | 2005-12-13 | Intel Corporation | Method for representing and controlling packet data flow through packet forwarding hardware |
| US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| WO2002071227A1 (en) * | 2001-03-01 | 2002-09-12 | Cyber Operations, Llc | System and method for anti-network terrorism |
| WO2003019404A1 (en) | 2001-08-30 | 2003-03-06 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
| US20030097557A1 (en) | 2001-10-31 | 2003-05-22 | Tarquini Richard Paul | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system |
| NZ516346A (en) | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
| US8346951B2 (en) | 2002-03-05 | 2013-01-01 | Blackridge Technology Holdings, Inc. | Method for first packet authentication |
| US7162740B2 (en) | 2002-07-22 | 2007-01-09 | General Instrument Corporation | Denial of service defense by proxy |
| CA2496779C (en) * | 2002-08-26 | 2011-02-15 | Guardednet, Inc. | Determining threat level associated with network activity |
| US20040054925A1 (en) | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US7386889B2 (en) | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
| US7584352B2 (en) | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
| JP2004272141A (ja) * | 2003-03-12 | 2004-09-30 | Canon Inc | 画像形成装置 |
| US7349400B2 (en) | 2003-04-29 | 2008-03-25 | Narus, Inc. | Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network |
| US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7266754B2 (en) | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
| US7362763B2 (en) * | 2003-09-04 | 2008-04-22 | Samsung Electronics Co., Ltd. | Apparatus and method for classifying traffic in a distributed architecture router |
| US7496955B2 (en) * | 2003-11-24 | 2009-02-24 | Cisco Technology, Inc. | Dual mode firewall |
| US20050144441A1 (en) | 2003-12-31 | 2005-06-30 | Priya Govindarajan | Presence validation to assist in protecting against Denial of Service (DOS) attacks |
| US8561177B1 (en) * | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
| US8161538B2 (en) * | 2004-09-13 | 2012-04-17 | Cisco Technology, Inc. | Stateful application firewall |
| US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US8321269B2 (en) * | 2004-10-26 | 2012-11-27 | Validclick, Inc | Method for performing real-time click fraud detection, prevention and reporting for online advertising |
| US9160755B2 (en) * | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US20060185008A1 (en) | 2005-02-11 | 2006-08-17 | Nokia Corporation | Method, apparatus and computer program product enabling negotiation of firewall features by endpoints |
| JP4545647B2 (ja) | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| WO2007036786A2 (en) * | 2005-09-29 | 2007-04-05 | Nortel Networks Limited, | Application layer metrics monitoring |
| US7716729B2 (en) * | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
| US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| WO2008002590A2 (en) | 2006-06-29 | 2008-01-03 | Sipera Systems, Inc. | System, method and apparatus for protecting a network or device against high volume attacks |
| US8533819B2 (en) * | 2006-09-29 | 2013-09-10 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting compromised host computers |
| US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
| US7685275B2 (en) * | 2006-12-15 | 2010-03-23 | Anchor Intelligence, Inc. | Network interaction analysis |
| US8955122B2 (en) * | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US20080270154A1 (en) * | 2007-04-25 | 2008-10-30 | Boris Klots | System for scoring click traffic |
| US20080307526A1 (en) * | 2007-06-07 | 2008-12-11 | Mi5 Networks | Method to perform botnet detection |
| US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| KR100950900B1 (ko) | 2007-11-12 | 2010-04-06 | 주식회사 안철수연구소 | 분산서비스거부 공격 방어방법 및 방어시스템 |
| US20090180391A1 (en) * | 2008-01-16 | 2009-07-16 | Broadcom Corporation | Network activity anomaly detection |
| US8745731B2 (en) * | 2008-04-03 | 2014-06-03 | Microsoft Corporation | Clustering botnet behavior using parameterized models |
| US8244752B2 (en) * | 2008-04-21 | 2012-08-14 | Microsoft Corporation | Classifying search query traffic |
| US20100082400A1 (en) * | 2008-09-29 | 2010-04-01 | Yahoo! Inc.. | Scoring clicks for click fraud prevention |
| US8311876B2 (en) * | 2009-04-09 | 2012-11-13 | Sas Institute Inc. | Computer-implemented systems and methods for behavioral identification of non-human web sessions |
| US8914878B2 (en) | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US8789173B2 (en) | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
-
2009
- 2009-04-29 US US12/432,325 patent/US8914878B2/en active Active
-
2010
- 2010-03-10 EP EP10156048.0A patent/EP2247064B1/en active Active
- 2010-04-29 CN CN201010170922.9A patent/CN101883020B/zh active Active
-
2014
- 2014-12-15 US US14/571,133 patent/US9344445B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1649346A (zh) * | 2005-03-23 | 2005-08-03 | 李冬岩 | 网络应用层攻击的检测、过滤、阻断和记录的方法 |
| CN101382979A (zh) * | 2007-09-05 | 2009-03-11 | 鸿璟科技股份有限公司 | 用于防止网页攻击的方法与装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102624677A (zh) * | 2011-01-27 | 2012-08-01 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN102624677B (zh) * | 2011-01-27 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种网络用户行为监控方法及服务器 |
| CN103634366A (zh) * | 2012-08-27 | 2014-03-12 | 北京千橡网景科技发展有限公司 | 用于识别网络机器人的方法和设备 |
| CN107086955A (zh) * | 2014-01-10 | 2017-08-22 | 腾讯科技(深圳)有限公司 | 信息分享控制方法及装置 |
| CN111431915A (zh) * | 2014-09-18 | 2020-07-17 | 微软技术许可有限责任公司 | 横向移动检测 |
| CN114978900A (zh) * | 2018-04-27 | 2022-08-30 | 慧与发展有限责任合伙企业 | 用于监测网络的方法、设备和*** |
| CN114978900B (zh) * | 2018-04-27 | 2024-03-26 | 慧与发展有限责任合伙企业 | 用于监测网络的方法、设备和*** |
| CN109104335A (zh) * | 2018-08-27 | 2018-12-28 | 广东电网有限责任公司 | 一种工控设备网络攻击测试方法与*** |
| CN110046200A (zh) * | 2018-11-07 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 文本可信模型分析方法、设备和装置 |
| CN110046200B (zh) * | 2018-11-07 | 2023-05-05 | 创新先进技术有限公司 | 文本可信模型分析方法、设备和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2247064A2 (en) | 2010-11-03 |
| US9344445B2 (en) | 2016-05-17 |
| US20100281539A1 (en) | 2010-11-04 |
| US20150106935A1 (en) | 2015-04-16 |
| EP2247064B1 (en) | 2018-11-14 |
| US8914878B2 (en) | 2014-12-16 |
| EP2247064A3 (en) | 2014-07-09 |
| CN101883020B (zh) | 2015-11-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101883020B (zh) | 检测恶意网络软件代理的方法和网络设备 | |
| Lima Filho et al. | Smart detection: an online approach for DoS/DDoS attack detection using machine learning | |
| US20210352090A1 (en) | Network security monitoring method, network security monitoring device, and system | |
| US11374955B2 (en) | Apparatus having engine using artificial intelligence for detecting anomalies in a computer network | |
| US9350750B1 (en) | Distribution of security rules among sensor computers | |
| Cao et al. | Detecting and mitigating DDoS attacks in SDN using spatial-temporal graph convolutional network | |
| US9444835B2 (en) | Method for tracking machines on a network using multivariable fingerprinting of passively available information | |
| US10841228B2 (en) | Abnormal flow detection device and abnormal flow detection method thereof | |
| US9923920B1 (en) | Detecting computer security threats in electronic documents based on structure | |
| KR20110089179A (ko) | 네트워크 침입 방지 | |
| CN102014116A (zh) | 防御分布式网络泛洪攻击 | |
| Varalakshmi et al. | Thwarting DDoS attacks in grid using information divergence | |
| US11677777B1 (en) | Situational awareness and perimeter protection orchestration | |
| KR102244036B1 (ko) | 네트워크 플로우 데이터를 이용한 네트워크 자산 분류 방법 및 상기 방법에 의해 분류된 네트워크 자산에 대한 위협 탐지 방법 | |
| EP4046331B1 (en) | Endpoint network sensor and related cybersecurity infrastructure | |
| US11438357B2 (en) | Endpoint network sensor and related cybersecurity infrastructure | |
| Boteanu et al. | A comprehensive study of queue management as a DoS counter-measure | |
| KR101017015B1 (ko) | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 | |
| Muraleedharan et al. | Flow-based machine learning approach for slow HTTP distributed denial of service attack classification | |
| Allman et al. | Principles for Developing Comprehensive Network Visibility. | |
| Promyslov et al. | Modeling Denial-of-Service Attacks Protection Controller Using Network Calculus | |
| Odoni | Design and Implementation of a Distributed Denial-of-Service Data Simulator | |
| Pazos-Revilla | Fpga based fuzzy intrusion detection system for network security | |
| de Lima Filho et al. | Research Article Smart Detection: An Online Approach for DoS/DDoS Attack Detection Using Machine Learning | |
| Nolan | Transport traffic analysis for abusive infrastructure characterization |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |
|
| CP01 | Change in the name or title of a patent holder |