CN102761539A - 用于在检测网络攻击期间减少误报的***及方法 - Google Patents
用于在检测网络攻击期间减少误报的***及方法 Download PDFInfo
- Publication number
- CN102761539A CN102761539A CN2012101612701A CN201210161270A CN102761539A CN 102761539 A CN102761539 A CN 102761539A CN 2012101612701 A CN2012101612701 A CN 2012101612701A CN 201210161270 A CN201210161270 A CN 201210161270A CN 102761539 A CN102761539 A CN 102761539A
- Authority
- CN
- China
- Prior art keywords
- traffic
- statistical information
- network
- computer
- protected computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种用于在检测对受保护计算机的网络攻击期间减少误报的***、方法及计算机程序产品。在一个示例中,该***包括:代理设备,被配置为对指向受保护计算机的通信量进行重定向和镜像;通信量传感器,被配置为收集关于被镜像的通信量的统计信息;数据收集器,被配置为汇总由通信量传感器收集的信息并基于所汇总的统计信息生成通信量过滤规则;过滤中心,被配置为与收集统计信息并行地,基于由数据收集器提供的通信量过滤规则来过滤被重定向的通信量;和控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正过滤中心所使用的通信量过滤规则,以便在检测对受保护计算机的网络攻击期间减少误报。
Description
技术领域
本发明总体上涉及网络安全领域,且更具体而言,涉及用于在检测对受保护计算机的网络攻击期间减少误报(false positive)的***、方法及计算机程序产品。
背景技术
对连接至互联网的计算机现存有大量威胁。这类威胁的一个示例是拒绝服务(DoS)攻击。DoS攻击是计算机***上意图令其崩溃的攻击,即,创造条件以使合法的(正当的)***用户无法获得对该***所提供的资源(服务器)的访问或者使该访问困难。这些攻击的动机可以是多样化的——其可以是以下因素:竞争性斗争、欺骗或报复手段、表示不满、展示能力或者试图引起注意,其最常被解释为网络***。在大量的计算机上同时实施的攻击称为分布式拒绝服务(DDoS)攻击。有两种DDoS攻击:带宽攻击和应用程序攻击。
带宽攻击的特点在于,用大量数据包进行网络通信信道泛洪(flood)。由于网络路由器、服务器和防火墙的处理资源有限,所以其会在DDoS带宽攻击期间变得不可访问以处理合法的业务或者由于超载而崩溃,在DDoS带宽攻击时大量TCP、UDP或ICMP数据包被发送至特定网络设备或者服务。
应用程序攻击的特点在于,利用TCP、HTTP和其他协议的特点以及服务和应用程序的行为,来占据该攻击的目标正在上面工作的计算机的计算资源,从而阻碍后者处理合法的业务和请求。应用程序攻击的示例是对半开HTTP连接的攻击以及利用错误HTTP连接的攻击。
用于检测和防止DDoS攻击的一种流行的技术是识别做出攻击的计算机并阻塞来自这些计算机的所有通信量(traffic)。该技术的一个缺点是对这类计算机的不正确识别(即,误报)可能会导致阻塞来自合法计算机的通信量。例如,误报可通过阻止常规访问者下订单而中断在线商铺的运营。据此,需要一种能够在检测对受保护计算机***的DoS攻击及其他攻击期间减少误报的网络安全***。
发明内容
本申请中所公开的是用于在检测对受保护计算机的网络攻击期间减少误报的***、方法及计算机程序产品。在一个示例性实施例中,该***包括:代理设备(proxy device),被配置为对指向所述受保护计算机的通信量进行重定向和镜像;通信量传感器,被配置为收集关于所述被镜像的通信量的统计信息;数据收集器,被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则;过滤中心,被配置为与收集统计信息并行地,基于由所述数据收集器提供的所述通信量过滤规则来过滤被重定向的通信量;和控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正通信量过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
在另一个示例性实施例中,提供一种用于在检测对受保护计算机的网络攻击期间减少误报的由计算机实施的方法,所述方法包括:将以所述受保护计算机为目的地的网络通信量重定向至过滤中心,并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器;由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量;与通信量过滤并行地,由所述通信量传感器分析所述被镜像的网络通信量,并且收集关于所述被镜像的网络通信量的统计信息;基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则;以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
在另一个示例性实施例中,提供一种内嵌于非暂时性计算机可读存储介质中的计算机程序产品,所述计算机可读存储介质包括用于在检测对受保护计算机的网络攻击期间减少误报的计算机可执行指令,该介质包括指令用于:将以所述受保护计算机为目的地的网络通信量重定向至过滤中心,并且将所述网络通信量镜像至与所述过滤中心并行操作的通信量传感器;由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量;与通信量过滤并行地,由所述通信量传感器分析所述被镜像的网络通信量,并且收集关于所述被镜像的网络通信量的统计信息;基于由所述通信量传感器所收集的所述统计信息来更新通信量过滤规则;以及基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
以上对本发明示例性实施例的简要概括用于提供对这类实施例的基本理解。此概括并不是本发明设想的所有方面的宽泛概述,并且既不意图确定所有实施例的关键或决定性要素也不意图限制任何或所有实施例的范围。其唯一目的在于简要地提出一个或多个方面的一些构思,作为下面更为详细的描述的前序。为了实现前述的以及相关的目的,一个或多个实施例包括将在下面充分描述且在权利要求书中特别指出的特征。下面的描述和附图详细地阐述了一个或多个实施例的某些示例性特征。不过,这些特征仅通过可以采用各方面原理的各种方式中的一些来加以说明,但此描述意图包括所有这样的方面及其等同物。
附图说明
附图包含于说明书中并构成说明书的一部分,示出了本发明的一个或多个示例性实施例,与详细描述一起用于解释本发明实施例的原理和实施方式。
附图中:
图1示出了对计算机***的DDoS攻击的示意图;
图2示出了根据一个示例性实施例的网络安全***的简化示意图;
图3示出了根据一个示例性实施例的网络安全***的详细示意图;
图4示出了根据一个示例性实施例的用于过滤网络通信量的算法;
图5示出了根据一个示例性实施例的网络安全***的操作的算法;
图6示出了根据一个示例性实施例的由网络安全***执行的各种级别的数据汇总的示意图;以及
图7示出了根据一个示例性实施例的用于实施网络安全***的计算机***的示意图。
具体实施方式
在本申请中,围绕用于在检测对受保护计算机的诸如DDoS攻击这类网络攻击期间减少误报的***、方法及计算机程序产品,来描述本发明的示例性实施例。本领域普通技术人员应认识到,下面的描述仅仅是示例性的而并非意图以任何方式进行限定。受益于此公开内容的本领域技术人员将容易获得其他实施例的启示。现在,将更为详细地描述如图所示的本发明示例性实施例的实施方式。贯穿全部附图以及下列描述,相同的附图标记将尽可能用于表示相同或相似的对象。
DDoS攻击一般是使用被称为僵尸网络(botnet)的僵尸计算机网络。僵尸网络是受到能够远程控制受感染计算机而不为其用户所知晓的恶意软件感染的计算机网络。能够执行这些动作的程序称为僵尸程序(bot)。图1是典型DDoS攻击的示例图。僵尸网络所有者从计算机100发送信号至受僵尸网络控制的计算机110,其中计算机110中的每一个均追踪其上安装有僵尸程序的大量计算机120。对僵尸网络所控制的计算机110的利用,使得更加难以识别僵尸网络所有者的计算机100,并且使僵尸程序的潜在规模增至数以百万的机器。然后,计算机120上的僵尸程序启动对服务(service)130的DDoS攻击,服务130可以是任何基于网络的服务,例如在线商店或文件服务器。在DDoS攻击期间,服务130被来自计算机120的请求所泛洪,因此,不能处理来自合法的客户的真实请求,甚至会超载并且崩溃。
图2绘出了用于保护服务130免于DDoS攻击和其他攻击的网络安全***的示例性实施例的简化图。***200包括用于保护被托管(host)于服务器上的服务130的一个或多个通信量过滤中心210。这些中心过滤通信量——既有来自已安装有僵尸程序的计算机120的也有来自正尝试访问服务130的普通用户的通信量。为了防御带宽攻击,***200通过过滤中心210将网络通信量重定向至服务130,过滤中心210可以尽可能近地连接至宽带主干网。这样,通过过滤中心210来分析和过滤到服务130的通信量并避免服务130可以连接到的窄带本地接入网络(LAN)超载。一般而言,为了保护服务130免于应用程序攻击,安全***200可生成到服务130的平均统计通信量的模型,然后,在攻击期间,根据一个示例性实施例而基于该模型来阻塞寄生通信量(parasite traffic)。下文中,寄生通信量是指由计算机120上的僵尸程序所产生的通信量。合法的通信量是来自普通用户220的数据流。
图3绘出了根据本发明一个示例性实施例的网络安全***的详细图。该***包括控制模块320、数据收集器310、过滤中心210和通信量传感器330。该***以如下方式操作:到服务130的通信量A来自其上已安装有僵尸程序的计算机120以及来自普通用户220。该通信量由代理服务器或路由器(未示出)重定向至过滤中心210,并且至少部分通信量(例如,特定端口或类似物上的通信量)通过例如数据包复制而被镜像至通信量传感器330。以这种方式,通信量传感器330收集关于服务130的业务/查询的统计信息。这允许相同的网络通信量由过滤中心210和通信量传感器330所并行处理。然后传感器330将关于所收集的通信量的统计信息发送至收集器310用于进一步处理。如上所述,被重定向的通信量流转至过滤中心210。在一个示例性实施例中,数据过滤中心210包括两个设备——代理服务器210a和过滤路由器210b。代理服务器210a的任务是将过滤后的通信量B发送至服务130。使用过滤路由器210b来做出运送来自特定计算机(其或是带有僵尸程序的计算机120或是普通用户220)的通信量的决定。从收集器310将过滤规则发送至过滤路由器210b。接下来将更加详细地讨论网络安全***的组件。
控制模块320通过跟踪所有其他模块(主要是收集器310)的使用来监视这些模块的操作性能。控制模块320可以跟踪网络使用统计数据(例如,每天、每周、每月)并且收集关于互联网上的恶意活动的信息,这能够绘制当前攻击的布局并且存储及收集关于已知攻击的统计数据(例如,攻击的数量、攻击的持续期间、攻击期间的网络负载峰值和平均值)。该信息可以用于生成每个攻击的描述性特点,例如:所涉及的僵尸网络的数量、自从攻击启动以来的时间、攻击的布局。模块320基于该信息来调整存储在过滤配置文件(profile)中的供过滤中心210使用的过滤规则。为了实现这一点,控制模块320计算传输至服务130的数据通信量的可允许容量、作为所采用协议的函数的数据包的可允许数量以及其他网络参数。以下在表1中示出了各种类型的网络参数的示例。
在一个示例性实施例中,控制模块320也存储黑地址列表和白地址列表(或者简称为黑名单和白名单),以识别,其通信量是源自于已知的僵尸程序120而被自动阻塞还是源自已知的合法用户220而被自动转发至服务130的网络设备。白名单和黑名单可以由***管理员手动生成,或者基于由控制模块320收集的统计和行为标准而自动生成。例如,在共同所有的第7,640,589号美国专利中讨论了这些列表的生成和修订的示例,该美国专利通过援引加入的方式全部并入本申请中。行为标准可能包括例如对来自一个IP地址的查询和会话的数量、来自一个IP地址的未经确认的查询的数量、来自一个IP地址的对同类型数据的查询的数量和无需继续交换信息的连接的数量的分析以及其他标准。
图4示出了在用于使用黑名单和白名单对到服务130的网络通信量进行过滤的过滤中心210中实施的算法的一个示例性实施例。在步骤410,过滤中心210接收来自源计算机120或220的数据通信量。在步骤420,过滤中心210检查源计算机的地址是否出现在由控制模块320提供的黑名单中。如果该源地址被列入黑名单,则在步骤430自动阻塞来自该地址的数据通信量。如果该源地址没有被列入黑名单,则在步骤440,过滤中心210检查该源地址是否出现在白名单中。如果该地址被列入白名单,则在步骤450,过滤中心210将来自该地址的数据通信量自动转发(无需任何附加的过滤)至服务130。然而,如果源地址既没有在黑名单中也没有在白名单中,则在步骤460,过滤中心210应用过滤规则来确定受保护的服务130是否遭到攻击。
在一个示例性实施例中,网络安全***进一步包括其位置与服务130直接相邻的通信量传感器330。通信量传感器330接收被镜像的通信量(在图3中以箭头A的形式示出)并且对接收的数据执行统计处理,以便汇总(aggregate)通信量信息并将其传送至收集器310。收集器310可以对与指向服务130的通信量有关的汇总信息执行附加的统计处理。除此之外,在一个示例性实施例中,收集器310还将合法通信量的统计数据(既来自过滤中心210也来自传感器330)归纳概括成一个或多个可以被组织到过滤配置文件中的过滤规则,如果发生攻击,则过滤中心210基于所述配置文件决定过滤寄生通信量。更具体而言,收集器330可以生成指向服务130的平均统计通信量的模型,并使用该模型来为过滤中心210创建各种过滤规则。
在一个示例性实施例中,可以针对来自服务130所提供的资源或服务的特定用户或者用户组的通信量来构建过滤规则。过滤规则评估该通信量的参数与正常参数的一致性,例如表1中所列出的。应予以注意的是,表1中相同的数据集(dataset)可按不同方式来加以诠释,以构建不同的过滤规则。例如,过滤规则可以将各种参数的值与指定的阈值相比较(在不同的变形例中,从简单的“如果参数X超过预置值,则阻塞通信量”到更加复杂的不等)。参数的示例包括但不限于:
-从同一个IP地址建立的请求/会话的数量;
-来自同一个IP地址的未经确认的请求“200 OK”的数量;
-来自同一个IP地址的对同类型数据的请求的数量;
-无需继续交换信息的连接的数量,等等。
在一个示例性实施例中,过滤中心210是尽可能近距离地连接至例如广域网(WAN)等的宽带主干网的单独的服务器。在一个示例性实施例中,过滤中心210包括代理服务器210a和过滤路由器210b。此功能划分使过滤中心210达到较高效率。代理服务器210a将通信量重定向至服务130。过滤路由器210b基于来自收集器310的数据确定是否允许特定的通信量(即,除去由僵尸程序所产生的寄生通信量)。这样,中心210过滤通信量A,在被重定向的通信量B中只留下来自普通用户220的合法查询。
图5示出了用于操作本发明的网络安全***的算法的一个示例性实施例。在任何攻击之前,该***都将通信量从服务130重定向至过滤被重定向的通信量并将其传送至服务130的通信量过滤器210。在步骤510,与过滤处理并行地,该***将网络通信量镜像至从被重定向的通信量采集统计信息并跟踪网络异常的通信量传感器330。在步骤520,使用所收集的统计信息来创建/更新过滤中心210所使用的一个或多个过滤规则(或配置文件)。如果在步骤530检测到通信量明显偏离配置文件,***则基于当前的过滤配置文件在步骤540-550确定已经检测到对服务130的例如DDoS攻击的网络攻击并且开始过滤通信量。在步骤560,***确定当前的过滤配置文件是否仍然准确(例如,寄生通信量是否被成功过滤掉而没有误报)。如果当前的过滤配置文件不再准确,则在步骤570,基于由通信量传感器330提供的新的统计信息、由控制模块320提供的关于已知安全攻击的信息、以及由控制模块320基于关于已知的安全威胁和新的安全威胁的信息而更新的黑名单和白名单,对其进行更新。当在步骤580安全攻击已经结束时,算法返回到步骤510。
在一个示例性实施例中,不同的过滤规则可具有不同的数据汇总级别,以能够以不同的粒度级别来分析/过滤输入的网络通信量。图6示出了不同汇总级别(在本示例中,汇总级别为3至5)的使用,使得能够跟踪来自所选客户端的以及到特定服务的通信量。例如,一个汇总级别不仅可以跟踪关于客户端1的统计数据,而且还可以跟踪关于其HTTP服务之一例如Web站点1的统计数据。
表1
在另一个示例性实施例中,可以使用异常检测配置文件来检测表现为明显偏离预定义的过滤配置文件的异常。可以针对指向服务130的通信量来构建该异常配置文件。该异常配置文件评估与指向受保护的服务130的通信量有关的统计信息(例如,表1中的参数)与所建立的阈值的一致性。异常检测配置文件可以表现为关于特定值S的一组阈值,该特定值S描述一个汇总级别(例如,客户端或服务)的正常通信量。可以为一天中的每个小时以及一周中的特定日分配阈值,以消除可能出现的误报。S可以是任何固定值,例如,输入的数据包的总数或者唯一用户IP地址的数量。例如,如果过滤规则指示下午2点到下午4点之间受保护***接收大约200,000个来自位于北美的计算机的业务请求,并且请求的数量突然翻倍,则异常检测配置文件将会检测出该异常并启用适当的过滤规则以阻塞到服务130的过量的和/或反常的通信量。
图7绘出了适于实施本发明的网络安全***的诸如网络服务器的计算机***5以及可以利用该安全***的服务的其他计算设备的一个示例性实施例,包括但不限于运行安全应用程序的个人计算机和服务器、移动通信设备、网络服务器和其他设备。如图7所示,计算机***5可以包括通过***总线10连接的一个或多个处理器15、存储器20、一个或多个硬盘驱动器30、光盘驱动器35、串行端口40、图形卡45、声卡50和网卡55。***总线10可以是若干种总线结构中的任何一种,包括使用各种已知总线架构中的任何一种的内存总线或内存控制器、外设总线和本地总线。处理器15可包括一个或多个
Core 2 Quad 2.33GHz处理器或其他类型的微处理器。
***内存20可包括只读存储器(ROM)21和随机存取存储器(RAM)23。存储器20可被实现为DRAM(动态RAM)、EPROM、EEPROM、闪存或其他类型的存储器架构。ROM21存储基本输入/输出***22(BIOS),包含帮助在计算机***5的组件之间传递信息的基本例程,例如启动过程。RAM23存储有操作***24(OS),例如
或者其他类型的OS,其负责计算机***5中进程的管理和协调以及硬件资源的分配和共享。***存储器20还存储当前运行于计算机5上的应用程序和程序25,例如安全应用程序。***存储器20还存储程序25所使用的各种运行时间数据26。
计算机***5可进一步包括硬盘驱动器30,例如,1TG SATA硬磁盘驱动器(HDD),以及用于对可移除光盘进行读写的光盘驱动器35,例如,CD-ROM、DVD-ROM或其他光学介质。驱动器30和35及其关联的计算机可读介质为实现本文所公开的算法和方法的计算机可读指令、数据结构、应用程序和程序模块/子例程提供非易失性存储。虽然示例性计算机***5使用磁盘和光盘,但本领域技术人员应予以了解,在计算机***的替代实施例中,还可以使用能够对可由计算机***5存取的数据加以存储的其他类型的计算机可读介质,例如磁带、闪存卡、数字视频光盘、RAM、ROM、EPROM以及其他类型的存储器。
计算机***5进一步包括多个串行端口40,例如通用串行总线(USB),用于连接诸如键盘、鼠标、触摸板等数据输入设备75。串行端口40还可用于连接诸如打印机、扫描仪等数据输出设备80以及例如外部数据存储设备等其他***设备85。计算机***5还可包括图形卡45,例如
GT 240M或其他视频卡,用于与监视器60或其他视频再现设备接口。计算机***5还可包括声卡50,用于经由内部或外部扬声器65再现声音。此外,计算机***5可包括网卡55,例如以太网、WiFi、GSM、蓝牙或用于将计算机***5连接到如因特网的网络70的其他有线、无线或蜂窝网络接口。
在各种实施例中,这里所描述的算法和方法可以实现于硬件、软件、固件或其任一组合中。如果实施于软件中,则功能可以作为非暂时性计算机可读介质上的一个或多个指令或代码来进行存储。计算机可读介质既包括计算机存储介质也包括通信介质,所述通信介质便于将计算机程序从第一个地方传送到另一个地方。存储介质可以是可由计算机存取的任何可获得的介质。作为示例而非限制,这类计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储器、磁盘存储器或其他磁性存储设备、或者可用于承载或存储所需程序代码的任一其他介质,这些程序代码为指令或数据结构的形式且可由计算机存取。此外,可以将任何连接定义为计算机可读介质。例如,如果利用同轴电缆、光纤电缆、双绞线、数字用户线(DSL)或诸如红外、射频和微波这类无线技术从网站、服务器或其他远程信源(source)发送软件,则其都被涵盖在介质的定义内。
为了清楚起见,这里所描述的实施方式的常规特征并未全部示出和描述。应予以认识的是,在任何这类实际的实施方式的开发中,为了达到开发者的特定目标,必须做出大量特定的实施方式决策,以及这些特定目标将根据不同的实施方式和不同的开发者而改变。而且,应予认识到的是,这类开发工作可能是复杂和耗时的,但不论如何,对于受益于本申请的本领域一般技术人员而言,都将是常规的工程任务。
此外,要理解的是,这里所使用的措辞或术语仅为了说明而非限制,这样,本说明书的术语或措辞将由本领域技术人员鉴于这里所给出的教导并结合相关领域的技术人员的知识予以解释。而且,除非如此明确地予以阐述,否则说明书或权利要求书中的任何术语都并非意图表示不常见的或特殊的意思。这里所披露的各种实施例囊括了本申请中用于说明而涉及的已知构成要素的现在和将来的已知等同物。此外,虽然已经示出和描述了这些实施例及应用,但对于受益于本申请的本领域技术人员而言显而易见的是,在不脱离本申请中所披露的发明构思的情况下,比上面提及的更多的修改例都是可能的。
Claims (15)
1.一种用于在检测对受保护计算机的网络攻击期间减少误报的***,所述***包括:
代理设备,被配置为对指向所述受保护计算机的通信量进行重定向和镜像;
通信量传感器,被配置为收集关于所述被镜像的通信量的统计信息;
数据收集器,被配置为汇总由所述通信量传感器所收集的信息并基于所汇总的统计信息生成通信量过滤规则;
过滤中心,被配置为与所述通信量传感器从所述被镜像的通信量收集所述统计信息并行地,基于由所述数据收集器提供的所述通信量过滤规则来过滤所述被重定向的通信量;和
控制模块,被配置为收集并存储关于已知网络攻击的统计信息,并且修正所述过滤中心所使用的通信量过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
2.根据权利要求1所述的***,其中,所述数据收集器基于所汇总的信息生成指向所述受保护计算机的平均统计通信量的模型,并且基于所生成的统计模型生成通信量过滤规则。
3.根据权利要求1所述的***,其中,所述关于已知网络攻击的统计信息包括:
攻击期间的平均网络负载和峰值网络负载的统计信息;
关于互联网中僵尸网络的恶意活动的信息;
参与网络攻击的僵尸网络的数量;
网络攻击启动的时间;
网络攻击的持续时间;和
网络攻击的布局。
4.根据权利要求1所述的***,其中,所述控制模块使用IP地址的白名单和黑名单来更新通信量过滤规则。
5.根据权利要求4所述的***,其中,所述IP地址的白名单和黑名单是基于行为标准而创建的,包括:
来自一个IP地址的查询和会话的数量;
来自一个IP地址的未经确认的查询的数量;
来自一个IP地址的对同类型数据的查询的数量;以及
无需继续交换信息的连接的数量。
6.根据权利要求1所述的***,其中,所述数据收集器被配置为以不同的粒度级别来汇总关于网络通信量的统计信息,并且生成不同的过滤规则,用于以不同的粒度级别来过滤网络通信量。
7.根据权利要求1所述的***,其中,过滤中心位于与所述受保护计算机相关联的宽带主干网附近,并且通信量传感器位于所述受保护计算机附近。
8.一种用于在检测对受保护计算机的网络攻击期间减少误报的由计算机实施的方法,所述方法包括:
将以所述受保护计算机为目的地的网络通信量重定向至过滤中心,并且将所述网络通信量镜像至通信量传感器;
由所述过滤中心使用预定义的过滤规则来过滤所述被重定向的通信量;
与通信量过滤并行地,由所述通信量传感器分析所述被镜像的网络通信量,并且收集关于所述被镜像的网络通信量的统计信息;
基于由所述通信量传感器所收集的所述统计信息来更新所述过滤中心中的通信量过滤规则;以及
由控制模块基于关于已知网络攻击的统计信息来修正所述被更新的过滤规则,以便在检测对所述受保护计算机的网络攻击期间减少误报。
9.根据权利要求8所述的方法,其中,收集关于所述被镜像的网络通信量的统计信息进一步包括:
基于所收集的统计信息而生成指向所述受保护计算机的平均统计通信量的模型;以及
基于所生成的统计模型而生成通信量过滤规则。
10.根据权利要求8所述的方法,其中,所述关于已知网络攻击的统计信息包括:
攻击期间的平均网络负载和峰值网络负载的统计信息;
关于互联网中僵尸网络的恶意活动的信息;
参与网络攻击的僵尸网络的数量;
网络攻击启动的时间;
网络攻击的持续时间;和
网络攻击的布局。
11.根据权利要求8所述的方法,其中,所述由控制模块修正过滤规则进一步包括:使用IP地址的白名单和黑名单来修正通信量过滤规则。
12.根据权利要求11所述的方法,进一步包括基于行为标准生成IP地址的白名单和黑名单,包括:
来自一个IP地址的查询和会话的数量;
来自一个IP地址的未经确认的查询的数量;
来自一个IP地址的对同类型数据的查询的数量;以及
无需继续交换信息的连接的数量。
13.根据权利要求8所述的方法,其中,收集统计信息进一步包括:
以不同的粒度级别来收集关于通信量的统计信息;以及
生成不同的过滤规则,用于以不同的粒度级别来过滤通信量。
14.根据权利要求8所述的方法,进一步包括将过滤中心安置在与所述受保护计算机相关联的宽带主干网附近。
15.根据权利要求8所述的方法,进一步包括将通信量传感器安置在所述受保护计算机附近。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/113,223 | 2011-05-23 | ||
| US13/113,223 US8151341B1 (en) | 2011-05-23 | 2011-05-23 | System and method for reducing false positives during detection of network attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102761539A true CN102761539A (zh) | 2012-10-31 |
| CN102761539B CN102761539B (zh) | 2015-12-02 |
Family
ID=45557862
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201210161270.1A Active CN102761539B (zh) | 2011-05-23 | 2012-05-22 | 用于在检测网络攻击期间减少误报的***及方法 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8151341B1 (zh) |
| EP (1) | EP2528005B1 (zh) |
| CN (1) | CN102761539B (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645478A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 网络攻击防御***、方法及装置 |
| CN111131192A (zh) * | 2019-12-10 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种旁路防护方法及装置 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的***和方法 |
Families Citing this family (56)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8533821B2 (en) * | 2007-05-25 | 2013-09-10 | International Business Machines Corporation | Detecting and defending against man-in-the-middle attacks |
| US8800040B1 (en) * | 2008-12-31 | 2014-08-05 | Symantec Corporation | Methods and systems for prioritizing the monitoring of malicious uniform resource locators for new malware variants |
| US20100269162A1 (en) | 2009-04-15 | 2010-10-21 | Jose Bravo | Website authentication |
| US20110023088A1 (en) * | 2009-07-23 | 2011-01-27 | Electronics And Telecommunications Research Institute | Flow-based dynamic access control system and method |
| US8683609B2 (en) | 2009-12-04 | 2014-03-25 | International Business Machines Corporation | Mobile phone and IP address correlation service |
| US8838988B2 (en) | 2011-04-12 | 2014-09-16 | International Business Machines Corporation | Verification of transactional integrity |
| US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
| US8917826B2 (en) | 2012-07-31 | 2014-12-23 | International Business Machines Corporation | Detecting man-in-the-middle attacks in electronic transactions using prompts |
| KR101391781B1 (ko) * | 2012-08-07 | 2014-05-07 | 한국전자통신연구원 | 웹 트랜잭션 밀집도 기반 에이치티티피 봇넷 탐지 장치 및 방법 |
| US9565213B2 (en) * | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US8954495B2 (en) * | 2013-01-04 | 2015-02-10 | Netfilx, Inc. | Proxy application with dynamic filter updating |
| US9813447B2 (en) | 2013-03-15 | 2017-11-07 | Extreme Networks, Inc. | Device and related method for establishing network policy based on applications |
| US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
| US9584393B2 (en) | 2013-03-15 | 2017-02-28 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring policy |
| US9148440B2 (en) | 2013-11-25 | 2015-09-29 | Imperva, Inc. | Coordinated detection and differentiation of denial of service attacks |
| CN105474602B (zh) * | 2014-06-17 | 2019-02-05 | 华为技术有限公司 | 软件定义网络中识别攻击流的方法、装置以及设备 |
| US9686312B2 (en) | 2014-07-23 | 2017-06-20 | Cisco Technology, Inc. | Verifying network attack detector effectiveness |
| US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
| US10931692B1 (en) * | 2015-01-22 | 2021-02-23 | Cisco Technology, Inc. | Filtering mechanism to reduce false positives of ML-based anomaly detectors and classifiers |
| EP3244335B1 (en) * | 2015-02-20 | 2019-05-01 | Nippon Telegraph and Telephone Corporation | Blacklist generation device, blacklist generation system, blacklist generation method, and blacklist generation program |
| US9923910B2 (en) | 2015-10-05 | 2018-03-20 | Cisco Technology, Inc. | Dynamic installation of behavioral white labels |
| US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| US10382461B1 (en) * | 2016-05-26 | 2019-08-13 | Amazon Technologies, Inc. | System for determining anomalies associated with a request |
| RU2634211C1 (ru) | 2016-07-06 | 2017-10-24 | Общество с ограниченной ответственностью "Траст" | Способ и система анализа протоколов взаимодействия вредоносных программ с центрами управления и выявления компьютерных атак |
| RU2649793C2 (ru) | 2016-08-03 | 2018-04-04 | ООО "Группа АйБи" | Способ и система выявления удаленного подключения при работе на страницах веб-ресурса |
| CN107770805B (zh) * | 2016-08-22 | 2021-07-27 | 腾讯科技(深圳)有限公司 | 终端的标识信息的判定方法及装置 |
| US20180077227A1 (en) * | 2016-08-24 | 2018-03-15 | Oleg Yeshaya RYABOY | High Volume Traffic Handling for Ordering High Demand Products |
| RU2634209C1 (ru) * | 2016-09-19 | 2017-10-24 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью |
| JP6793524B2 (ja) * | 2016-11-01 | 2020-12-02 | 株式会社日立製作所 | ログ解析システムおよびその方法 |
| RU2637477C1 (ru) | 2016-12-29 | 2017-12-04 | Общество с ограниченной ответственностью "Траст" | Система и способ обнаружения фишинговых веб-страниц |
| RU2671991C2 (ru) | 2016-12-29 | 2018-11-08 | Общество с ограниченной ответственностью "Траст" | Система и способ сбора информации для обнаружения фишинга |
| RU2689816C2 (ru) | 2017-11-21 | 2019-05-29 | ООО "Группа АйБи" | Способ для классифицирования последовательности действий пользователя (варианты) |
| KR101859988B1 (ko) * | 2017-12-22 | 2018-05-23 | 주식회사 아론네트웍 | 네트워크 패킷을 선택적으로 수집하는 장치 및 방법 |
| RU2668710C1 (ru) | 2018-01-17 | 2018-10-02 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Вычислительное устройство и способ для обнаружения вредоносных доменных имен в сетевом трафике |
| RU2677361C1 (ru) | 2018-01-17 | 2019-01-16 | Общество с ограниченной ответственностью "Траст" | Способ и система децентрализованной идентификации вредоносных программ |
| RU2680736C1 (ru) | 2018-01-17 | 2019-02-26 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Сервер и способ для определения вредоносных файлов в сетевом трафике |
| RU2676247C1 (ru) | 2018-01-17 | 2018-12-26 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и компьютерное устройство для кластеризации веб-ресурсов |
| RU2677368C1 (ru) | 2018-01-17 | 2019-01-16 | Общество С Ограниченной Ответственностью "Группа Айби" | Способ и система для автоматического определения нечетких дубликатов видеоконтента |
| RU2681699C1 (ru) | 2018-02-13 | 2019-03-12 | Общество с ограниченной ответственностью "Траст" | Способ и сервер для поиска связанных сетевых ресурсов |
| US11201855B1 (en) * | 2018-06-22 | 2021-12-14 | Vmware, Inc. | Distributed firewall that learns from traffic patterns to prevent attacks |
| WO2019246573A1 (en) | 2018-06-22 | 2019-12-26 | Avi Networks | A statistical approach for augmenting signature detection in web application firewall |
| RU2708508C1 (ru) | 2018-12-17 | 2019-12-09 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для выявления подозрительных пользователей в системах обмена сообщениями |
| RU2701040C1 (ru) | 2018-12-28 | 2019-09-24 | Общество с ограниченной ответственностью "Траст" | Способ и вычислительное устройство для информирования о вредоносных веб-ресурсах |
| SG11202101624WA (en) | 2019-02-27 | 2021-03-30 | Group Ib Ltd | Method and system for user identification by keystroke dynamics |
| US11509673B2 (en) * | 2019-06-11 | 2022-11-22 | Zscaler, Inc. | Automated estimation of network security policy risk |
| CN110891047A (zh) * | 2019-10-08 | 2020-03-17 | 中国信息通信研究院 | 智能音箱数据流处理方法及*** |
| RU2728497C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его машинному коду |
| RU2728498C1 (ru) | 2019-12-05 | 2020-07-29 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система определения принадлежности программного обеспечения по его исходному коду |
| RU2743974C1 (ru) | 2019-12-19 | 2021-03-01 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Система и способ сканирования защищенности элементов сетевой архитектуры |
| SG10202001963TA (en) | 2020-03-04 | 2021-10-28 | Group Ib Global Private Ltd | System and method for brand protection based on the search results |
| US11475090B2 (en) | 2020-07-15 | 2022-10-18 | Group-Ib Global Private Limited | Method and system for identifying clusters of affiliated web resources |
| RU2743619C1 (ru) | 2020-08-06 | 2021-02-20 | Общество с ограниченной ответственностью "Группа АйБи ТДС" | Способ и система генерации списка индикаторов компрометации |
| US11947572B2 (en) | 2021-03-29 | 2024-04-02 | Group IB TDS, Ltd | Method and system for clustering executable files |
| NL2030861B1 (en) | 2021-06-01 | 2023-03-14 | Trust Ltd | System and method for external monitoring a cyberattack surface |
| CN113676473B (zh) * | 2021-08-19 | 2023-05-02 | 中国电信股份有限公司 | 网络业务安全防护装置、方法以及存储介质 |
| CN113726779B (zh) * | 2021-08-31 | 2023-07-07 | 北京天融信网络安全技术有限公司 | 规则误报测试方法、装置、电子设备及计算机存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护***与方法 |
| US20060095968A1 (en) * | 2004-10-28 | 2006-05-04 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、***、网络实体及方法 |
Family Cites Families (74)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5790554A (en) * | 1995-10-04 | 1998-08-04 | Bay Networks, Inc. | Method and apparatus for processing data packets in a network |
| US5793954A (en) * | 1995-12-20 | 1998-08-11 | Nb Networks | System and method for general purpose network analysis |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6611875B1 (en) * | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
| US6510509B1 (en) * | 1999-03-29 | 2003-01-21 | Pmc-Sierra Us, Inc. | Method and apparatus for high-speed network rule processing |
| US7032031B2 (en) * | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
| DE60110792T2 (de) | 2000-06-30 | 2006-02-23 | British Telecommunications P.L.C. | Paketkommunikationssystem |
| US7058015B1 (en) | 2000-08-04 | 2006-06-06 | Arbor Networks, Inc. | Distributed solution for regulating network traffic |
| US20020032793A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic |
| US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US9800608B2 (en) * | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US20110231564A1 (en) * | 2000-09-25 | 2011-09-22 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| CA2452285A1 (en) | 2001-06-27 | 2003-01-09 | Arbor Networks | Method and system for monitoring control signal traffic over a computer network |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| AU2002214897A1 (en) * | 2001-11-16 | 2003-06-10 | Cetacea Networks Corporation | Method and system for detecting and disabling sources of network packet flooding |
| US7752665B1 (en) * | 2002-07-12 | 2010-07-06 | TCS Commercial, Inc. | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory |
| US7251215B1 (en) * | 2002-08-26 | 2007-07-31 | Juniper Networks, Inc. | Adaptive network router |
| JP4503934B2 (ja) | 2002-09-26 | 2010-07-14 | 株式会社東芝 | サーバ計算機保護装置、サーバ計算機保護方法、サーバ計算機保護プログラム及びサーバ計算機 |
| US7468979B2 (en) * | 2002-12-20 | 2008-12-23 | Force10 Networks, Inc. | Layer-1 packet filtering |
| US7627891B2 (en) * | 2003-02-14 | 2009-12-01 | Preventsys, Inc. | Network audit and policy assurance system |
| US7426634B2 (en) | 2003-04-22 | 2008-09-16 | Intruguard Devices, Inc. | Method and apparatus for rate based denial of service attack detection and prevention |
| US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7525921B1 (en) * | 2003-06-04 | 2009-04-28 | Juniper Networks, Inc. | Discard interface for diffusing network attacks |
| US7272854B2 (en) | 2003-06-30 | 2007-09-18 | Architecture Technology Corporation | Aliasing to prevent attacks on messaging services |
| ES2282739T3 (es) * | 2003-10-30 | 2007-10-16 | Telecom Italia S.P.A. | Procedimiento y sistema para la prevencion y el rechazo de intrusiones. |
| US7664048B1 (en) * | 2003-11-24 | 2010-02-16 | Packeteer, Inc. | Heuristic behavior pattern matching of data flows in enhanced network traffic classification |
| KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
| FR2867584B1 (fr) | 2004-03-10 | 2006-06-09 | Weborama | Procede de determination d'un profil d'un utilisateur d'un reseau de communication |
| WO2005091901A2 (en) * | 2004-03-10 | 2005-10-06 | Enterasys Networks, Inc. | Dynamic network detection system and method |
| US8146160B2 (en) * | 2004-03-24 | 2012-03-27 | Arbor Networks, Inc. | Method and system for authentication event security policy generation |
| US8584239B2 (en) * | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US8171553B2 (en) * | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US7784097B1 (en) * | 2004-11-24 | 2010-08-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for correlating and distributing intrusion alert information among collaborating computer systems |
| US7626940B2 (en) | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
| US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US8086724B2 (en) * | 2005-01-12 | 2011-12-27 | Telefonaktiebolaget L M Ericsson (Publ) | Configuration of network's nodes in a telecommunication system |
| KR100628328B1 (ko) | 2005-03-10 | 2006-09-27 | 한국전자통신연구원 | 적응적 침해 방지 장치 및 방법 |
| US20080098476A1 (en) * | 2005-04-04 | 2008-04-24 | Bae Systems Information And Electronic Systems Integration Inc. | Method and Apparatus for Defending Against Zero-Day Worm-Based Attacks |
| US7979368B2 (en) * | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US7882554B2 (en) * | 2005-08-19 | 2011-02-01 | Cpacket Networks, Inc. | Apparatus and method for selective mirroring |
| US7890991B2 (en) * | 2005-08-19 | 2011-02-15 | Cpacket Networks, Inc. | Apparatus and method for providing security and monitoring in a networking architecture |
| US8024799B2 (en) * | 2005-08-19 | 2011-09-20 | Cpacket Networks, Inc. | Apparatus and method for facilitating network security with granular traffic modifications |
| US7624447B1 (en) * | 2005-09-08 | 2009-11-24 | Cisco Technology, Inc. | Using threshold lists for worm detection |
| US7733891B2 (en) * | 2005-09-12 | 2010-06-08 | Zeugma Systems Inc. | Methods and apparatus to support dynamic allocation of traffic management resources in a network element |
| US20070136809A1 (en) | 2005-12-08 | 2007-06-14 | Kim Hwan K | Apparatus and method for blocking attack against Web application |
| WO2007070889A2 (en) * | 2005-12-16 | 2007-06-21 | Glt Corporation | System and method for detection of data traffic on a network |
| KR20070077517A (ko) | 2006-01-24 | 2007-07-27 | 박재철 | 프로파일 기반 웹 애플리케이션 침입탐지시스템 및 그 방법 |
| US8443442B2 (en) | 2006-01-31 | 2013-05-14 | The Penn State Research Foundation | Signature-free buffer overflow attack blocker |
| US20070218874A1 (en) * | 2006-03-17 | 2007-09-20 | Airdefense, Inc. | Systems and Methods For Wireless Network Forensics |
| WO2007116605A1 (ja) * | 2006-03-30 | 2007-10-18 | Nec Corporation | 通信端末装置、ルール配布装置およびプログラム |
| US7849507B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
| US7751397B2 (en) | 2006-05-05 | 2010-07-06 | Broadcom Corporation | Switching network employing a user challenge mechanism to counter denial of service attacks |
| US7715719B2 (en) * | 2006-06-02 | 2010-05-11 | Fujitsu Limited | System and method for transmitting traffic in a plurality of passive optical networks |
| US7844663B2 (en) | 2006-07-10 | 2010-11-30 | International Business Machines Corporation | Methods, systems, and computer program products for gathering information and statistics from a community of nodes in a network |
| US20080034424A1 (en) * | 2006-07-20 | 2008-02-07 | Kevin Overcash | System and method of preventing web applications threats |
| US20080031447A1 (en) * | 2006-08-04 | 2008-02-07 | Frank Geshwind | Systems and methods for aggregation of access to network products and services |
| US7624084B2 (en) * | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
| WO2008052291A2 (en) * | 2006-11-03 | 2008-05-08 | Intelliguard I.T. Pty Ltd | System and process for detecting anomalous network traffic |
| US8910275B2 (en) * | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
| US8448234B2 (en) * | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
| US9148437B1 (en) * | 2007-03-27 | 2015-09-29 | Amazon Technologies, Inc. | Detecting adverse network conditions for a third-party network site |
| US10069924B2 (en) | 2007-07-25 | 2018-09-04 | Oath Inc. | Application programming interfaces for communication systems |
| US20090089293A1 (en) | 2007-09-28 | 2009-04-02 | Bccg Ventures, Llc | Selfish data browsing |
| EP2109279B1 (en) | 2008-04-11 | 2010-05-12 | Deutsche Telekom AG | Method and system for mitigation of distributed denial of service attacks using geographical source and time information |
| ES2341144T3 (es) | 2008-04-11 | 2010-06-15 | Deutsche Telekom Ag | Metodo y sistema para mitigar ataques de la denegacion de servicio distribuida, basado en la estimacion de densidad de vecindad de ip. |
| US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
| US7640589B1 (en) * | 2009-06-19 | 2009-12-29 | Kaspersky Lab, Zao | Detection and minimization of false positives in anti-malware processing |
| US8458798B2 (en) * | 2010-03-19 | 2013-06-04 | Aspect Security Inc. | Detection of vulnerabilities in computer systems |
-
2011
- 2011-05-23 US US13/113,223 patent/US8151341B1/en active Active
-
2012
- 2012-01-16 EP EP12151223.0A patent/EP2528005B1/en active Active
- 2012-03-02 US US13/410,660 patent/US8302180B1/en active Active
- 2012-05-22 CN CN201210161270.1A patent/CN102761539B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1720459A (zh) * | 2002-11-07 | 2006-01-11 | 尖端技术公司 | 主动网络防护***与方法 |
| US20060095968A1 (en) * | 2004-10-28 | 2006-05-04 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| CN101064878A (zh) * | 2006-04-24 | 2007-10-31 | 华为技术有限公司 | 一种实现内容过滤的移动终端、***、网络实体及方法 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107645478A (zh) * | 2016-07-22 | 2018-01-30 | 阿里巴巴集团控股有限公司 | 网络攻击防御***、方法及装置 |
| CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御***、方法及装置 |
| TWI727060B (zh) * | 2016-07-22 | 2021-05-11 | 香港商阿里巴巴集團服務有限公司 | 網路攻擊防禦系統、方法及裝置 |
| CN111131192A (zh) * | 2019-12-10 | 2020-05-08 | 杭州迪普科技股份有限公司 | 一种旁路防护方法及装置 |
| CN113824678A (zh) * | 2020-06-19 | 2021-12-21 | 卡巴斯基实验室股份制公司 | 处理信息安全事件以检测网络攻击的***和方法 |
| CN113824678B (zh) * | 2020-06-19 | 2023-07-11 | 卡巴斯基实验室股份制公司 | 处理信息安全事件的***、方法和非暂时性计算机可读介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2528005A1 (en) | 2012-11-28 |
| CN102761539B (zh) | 2015-12-02 |
| EP2528005B1 (en) | 2015-06-17 |
| US8302180B1 (en) | 2012-10-30 |
| US8151341B1 (en) | 2012-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102761539B (zh) | 用于在检测网络攻击期间减少误报的***及方法 | |
| CN107750362B (zh) | 自动预防和修复网络滥用 | |
| US8370947B2 (en) | System and method for selecting computer security policy based on security ratings of computer users | |
| US9582335B2 (en) | System and method for distributing processing of computer security tasks | |
| TW201445962A (zh) | 網際網路協定威脅防止 | |
| CN101496025A (zh) | 用于向移动设备提供网络安全的***和方法 | |
| CA2914048C (en) | Controlling network access based on application detection | |
| AU2013388938A1 (en) | Emergent network defense system | |
| RU101231U1 (ru) | Система управления безопасностью мобильного вычислительного устройства | |
| CN109474623A (zh) | 网络安全防护及其参数确定方法、装置及设备、介质 | |
| CN112383513B (zh) | 基于代理ip地址池的爬虫行为检测方法、装置及存储介质 | |
| CA2914046C (en) | Controlling network access based on application detection | |
| KR101923054B1 (ko) | 시그니쳐 기반으로 악성행위를 자체 탐지하는 유무선 게이트웨이 및 그 탐지 방법 | |
| RU2752241C2 (ru) | Способ и система для выявления вредоносной активности предопределенного типа в локальной сети | |
| EP3644583B1 (en) | Controlling network access based on application detection | |
| EP3871381B1 (fr) | Technique de collecte d'informations relatives à un flux acheminé dans un réseau | |
| WO2019064580A1 (ja) | 情報処理装置、情報処理システム、セキュリティアセスメント方法およびセキュリティアセスメントプログラム | |
| KR101914044B1 (ko) | 내부네트워크 보안강화방법 및 이를 구현하는 보안시스템 | |
| CN114285660A (zh) | 蜜网部署方法、装置、设备及介质 | |
| CN117768199A (zh) | 一种数据泄露风险指数分析方法、装置、设备及介质 | |
| Aguilar | Defending Against DDoS Attacks ing Open our. oftware |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |