CN1778087A - 攻击数据库结构 - Google Patents
攻击数据库结构 Download PDFInfo
- Publication number
- CN1778087A CN1778087A CNA2004800086276A CN200480008627A CN1778087A CN 1778087 A CN1778087 A CN 1778087A CN A2004800086276 A CNA2004800086276 A CN A2004800086276A CN 200480008627 A CN200480008627 A CN 200480008627A CN 1778087 A CN1778087 A CN 1778087A
- Authority
- CN
- China
- Prior art keywords
- hash
- data
- data list
- subclauses
- list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012545 processing Methods 0.000 claims abstract description 49
- 238000000034 method Methods 0.000 claims abstract description 46
- 238000004590 computer program Methods 0.000 claims abstract description 41
- 230000008878 coupling Effects 0.000 claims description 44
- 238000010168 coupling process Methods 0.000 claims description 44
- 238000005859 coupling reaction Methods 0.000 claims description 44
- 238000001514 detection method Methods 0.000 claims description 15
- 230000008569 process Effects 0.000 claims description 10
- 238000003780 insertion Methods 0.000 claims 1
- 230000037431 insertion Effects 0.000 claims 1
- 230000002265 prevention Effects 0.000 claims 1
- 238000011156 evaluation Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 8
- 238000012854 evaluation process Methods 0.000 description 6
- 230000009545 invasion Effects 0.000 description 6
- 230000008901 benefit Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000003860 storage Methods 0.000 description 5
- 238000012360 testing method Methods 0.000 description 5
- 208000018208 Hyperimmunoglobulinemia D with periodic fever Diseases 0.000 description 4
- 206010072219 Mevalonic aciduria Diseases 0.000 description 4
- DTXLBRAVKYTGFE-UHFFFAOYSA-J tetrasodium;2-(1,2-dicarboxylatoethylamino)-3-hydroxybutanedioate Chemical compound [Na+].[Na+].[Na+].[Na+].[O-]C(=O)C(O)C(C([O-])=O)NC(C([O-])=O)CC([O-])=O DTXLBRAVKYTGFE-UHFFFAOYSA-J 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 3
- 230000001066 destructive effect Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 239000000284 extract Substances 0.000 description 2
- 230000002045 lasting effect Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 238000009825 accumulation Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000012958 reprocessing Methods 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10—TECHNICAL SUBJECTS COVERED BY FORMER USPC
- Y10S—TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y10S707/00—Data processing: database and file management or data structures
- Y10S707/99941—Database schema or data structure
- Y10S707/99943—Generating database or data structure, e.g. via user interface
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Storage Device Security (AREA)
- Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
- Medicines Containing Material From Animals Or Micro-Organisms (AREA)
Abstract
提供用于检查计算机网络中的安全记录日志的计算机程序产品和方法。该方法包括:检索日志记录;处理该日志记录,包括导出表的关键字;根据该日志记录中的信息确定数据值,并且如果该数据值是唯一的,则将该数据值添加到与该关键字关联的数据值列表中。根据预定标准评估该表的一个或多个条目,以检测尝试的安全缺口。
Description
技术领域
本发明涉及用于控制计算机网络安全的方法。
背景技术
防火墙和入侵检测***是用来保护计算机网络免于非授权或破坏性用户访问的设备。可以使用防火墙来保护局域网不受该局域网外部的用户访问。防火墙检查、路由并且常常标记发送到局域网外部的用户或局域网外部的用户发送的所有信息。可以使用入侵检测***(IDS)来识别通信***中的可疑行为模式。入侵检测***的例子包括网络入侵检测***(NIDS)和主机入侵检测***(HIDS)。可以使用NIDS来检测在网络内传送的信息以识别可疑行为模式。可以使用HIDS来检测通过网络内的特定主机传送的信息以识别可疑行为模式。可以使用入侵检测***(IDS)获得的信息来阻止非授权或破坏性的用户访问该网络。
防火墙或入侵检测***可以创建日志记录,后者记录进入或离开网络的输入和输出事件。日志记录包括诸如违反安全性、带宽使用率、电子邮件使用率以及雇员对因特网的访问之类的事件。通常,网络安全管理员检查这些日志记录以检测尝试的安全缺口或查明通信量模式内的趋势。由于日志记录的数目通常很大,所以经常使用查询语言来分析日志记录以检测尝试的安全入侵。也可以使用查询语言来分析日志记录,并为网络管理员生成对这些日志记录进行概括总结的报告。网络管理员可以利用这些报告来响应所识别的网络安全入侵。也可以使用在日志记录上运行的查询语言指令来为网络管理员生成警告。由于日志记录的数目可能很大,所以利用查询语言指令来分析日志记录的网络安全解决方案可能较慢。如果每次收到新的查询时均要分析所有日志记录,则基于查询语言的解决方案可能较慢。
发明内容
本发明提供用于检测尝试的网络安全缺口的方法、装置以及计算机程序产品。根据一个方面,本发明提供用于检测计算机网络中的安全记录日志的方法,该方法包括:检索日志记录;处理该日志记录,包括导出表的关键字;根据该日志记录中的信息确定数据值;以及如果该数据值是唯一的,则将该数据值添加到与该关键字关联的数据值列表中。该方法包括根据预定标准评估该表的一个或多个条目,以检测尝试的安全缺口。
本发明的方面包括以下特征中的一个或多个特征。表可以是哈希表。可以用链表实现数据值列表。可以用哈希表实现数据值列表。可以用树实现数据值列表。评估表的一个或多个条目包括评估表的所有条目。
根据另一方面,本发明提供用于检查计算机网络中的安全记录日志的方法,该方法包括:检索日志记录;对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;以及利用该哈希关键字评估哈希表。如果没有匹配的哈希表条目,则该方法包括向该哈希表中添加新条目。如果有匹配的哈希表条目,则该方法包括:检索与该哈希表条目关联的数据列表;使用该日志记录的一个或多个字段来计算要***到该数据列表中的数据值;评估该数据列表以确定该数据值的唯一性;以及如果该数据值是唯一的,则将该数据值***到该数据列表中。
根据另一方面,本发明提供用于检测端口扫描的方法,该方法包括:检索包含源地址和目的地址的日志记录;对源地址和目的地址进行哈希处理以生成哈希关键字;以及通过使用该哈希关键字评估哈希表。如果有匹配的哈希表条目,则该方法包括:检索数据列表以确定是否有匹配条目;如果没有匹配,则将目的端口和这些条目***到数据列表中;以及如果该数据列表中的项目数超过预定数目,则确定检测到端口扫描。
根据另一方面,本发明包括使计算机执行指令以使数据处理装置执行以下处理的计算机程序产品:检索日志记录;处理日志记录,包括导出表的关键字;根据该日志记录中的信息确定数据值;以及如果该数据值是唯一的,则将该数据值添加到与该关键字关联的数据值列表中。根据预定标准评估该表的一个或多个条目,以检测尝试的安全缺口。
本发明的上述方面包括以下优点中的一个或多个优点。表可以是哈希表。可以用链表实现数据值列表。可以用哈希表实现数据值列表。可以用树实现数据值列表。评估表的一个或多个条目的指令包括评估表的所有条目的指令。
根据另一方面,本发明包括使计算机执行指令以使数据处理装置执行以下处理的计算机程序产品:检索日志记录;对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;以及利用该哈希关键字评估哈希表。如果没有匹配的哈希表条目,则本发明允许向该哈希表中添加新条目。如果有匹配的哈希表条目,则本发明允许检索与该哈希表条目关联的数据列表,使用该日志记录的一个或多个字段来计算数据值,比较该数据值与该数据列表中的条目以确定是否有匹配条目,如果没有匹配条目,则将该数据值***到该数据列表中,以及根据预定标准评估该数据列表以检测尝试的安全缺口。
本发明的上述方面包括以下优点中的一个或多个优点。本发明可以包括以下指令:向该哈希表中添加新条目以使该数据处理装置生成与添加到该哈希表中的新条目关联的空数据列表的指令;向该数据列表中添加新条目以使该数据处理装置触发该数据列表的评估的指令;发起检查表操作以使该数据处理装置触发该数据列表的评估的指令;根据预定标准评估该数据列表以使该数据处理装置阻止与该日志记录关联的数据分组的指令;根据预定标准评估该数据列表,以使该数据处理装置阻止和与指定日志记录关联的数据分组有相同源地址的所有的未来数据分组的指令;以及根据预定标准评估该数据列表以使该数据处理装置报告尝试的安全缺口的指令。
该数据列表可以是链表。该数据列表可以是哈希表。该数据列表可以是树。本发明包括用于评估该数据列表以便在向该数据列表中添加多个日志记录后使该数据处理装置评估该数据列表的指令。本发明包括用于评估该数据列表以便在向该数据列表中添加各日志记录后使该数据处理装置评估该数据列表的指令。本发明包括通过使用该哈希关键字评估该哈希表使该数据处理装置处理第二哈希表的指令。本发明包括用于处理第二哈希表以使该数据处理装置使用匹配的哈希表条目来检索第二哈希表并使用该哈希关键字来评估第二哈希表的指令。如果没有匹配的第二哈希表条目,则本发明允许向第二哈希表中添加新条目。如果有匹配的第二哈希表条目,则本发明允许检索与第二哈希表条目关联的第二数据列表,比较该数据值与第二数据列表中的条目以确定是否有匹配条目,如果没有匹配条目,则将该数据值***到第二数据列表中,以及根据预定标准评估第二数据列表以检测尝试的安全缺口。
根据另一方面,包含在信息载体中的用于检查计算机网络中的安全记录日志的本发明包括计算机程序产品,该产品使计算机执行指令以使该数据处理装置执行以下处理:检索日志记录;对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;以及利用该哈希关键字评估哈希表。如果没有匹配的哈希表条目,则本发明允许向该哈希表中添加新条目。如果有匹配的哈希表条目,则本发明允许检索与该哈希表条目关联的数据列表,使用该日志记录的一个或多个字段来计算要***到该数据列表中的数据值,评估该数据列表以确定该数据值的唯一性,并且如果该数据值是唯一的,则将该数据值***到该数据列表中。
根据另一方面,包含在信息载体中的用于检查端口扫描的本发明包括计算机程序产品,该产品使计算机执行指令以使该数据处理装置执行以下处理:检索包含源地址和目的地址的日志记录;对源地址和目的地址进行哈希处理以生成哈希关键字;以及通过使用该哈希关键字评估哈希表。如果有匹配的哈希表条目,则本发明允许检索与该哈希表条目关联的数据列表;比较目的端口与该数据列表中的条目以确定是否有匹配条目;如果没有匹配条目,则将该目的端口***到该数据列表中;以及如果该数据列表中的项目数超过预定数目,则确定检测到端口扫描。
本发明的优点包括以下特征中的一个或多个特征。只需在首次收到每个日志记录时处理一次。因为使用哈希表来存储、检索日志记录,所以日志记录的分析可以很快。由于存储经过处理的日志记录而非日志记录本身,所以需要更少存储容量。
附图说明
图1A表示包含以内嵌方式运行的NIDS的网络拓扑;
图1B表示包含以非内嵌方式运行的NIDS的网络拓扑;
图2是一个流程图,描述记录处理装置的操作;
图3是用静态方式构造表的流程图;
图4是用动态方式构造表的流程图;
图5描述表数据结构;
图6是用于创建表数据结构的流程图;
图7是用于评估表数据结构的流程图;
图8说明多个哈希表的使用;
图9说明层叠哈希表的使用;以及
图10表示用于检测端口扫描攻击的方法。
在不同附图中,相同参考号数和指示表示相同组成部分。
具体实施方式
图1A表示包含局域网(LAN)100的网络拓扑,LAN100包括服务器102、若干工作站(W/S)104、防火墙106以及NIDS108。NIDS108以内嵌方式运行,并且分析在该网络内传送的信息。LAN100通过防火墙106与诸如因特网114之类的外部网络相连。并且LAN100与第二个LAN116(通过路由器118)和卫星120相连。第二个LAN116包括web服务器110、电子邮件服务器102、若干工作站104、防火墙106以及NIDS108。通过使用诸如电线、光纤和无线电波之类的多种数据传输介质,互连LAN内的计算机、服务器和其它设备。各个LAN使用入侵检测***来分析正在该网络内传送的信息并识别可疑行为模式。每个LAN100和116均包括与防火墙106和NIDS108相连的记录处理单元122。记录处理单元(RPU)122接收来自防火墙106和NIDS108之一的日志记录,并分析这些日志记录以检测尝试的网络安全入侵。作为选择,可以把该NIDS配置在传输路径的外部,采取被动(非内嵌)方式。在非内嵌方式中,NIDS设备监控并检查该网络接收的通信量,但是仅仅报告(即,不丢弃数据分组)所确定的匹配指定攻击签名的分组。图1B表示包含以非内嵌方式运行的NIDS124的网络拓扑。NIDS124接收在该网络内传送的信息,确定攻击并且可以报告或被动起作用以阻止来自非授权或破坏性用户的未来的所有通信。
图2是RPU122的框图。RPU122包括与该网络上的一个或多个安全设备(如,防火墙,入侵检测***)通信的接口202。利用接口202来接收安全日志。RPU122使用处理引擎204处理从该网络上的安全设备那里接收的安全日志。经过处理的日志记录存储在数据库208中。评估引擎206使用数据库208中存储的经过处理的日志记录来检测尝试的网络安全缺口。通过使用接口202向各自的安全设备传送利用RPU122检测的所有尝试的网络安全缺口。
RPU122至少能够以两种不同方式运行。在第一种方式中,接收并处理众多日志记录。第一种方式称为脱机方式。在第二种方式中,在生成日志记录时RPU接收并处理每条日志记录。第二种方式称为联机方式。
图3是描述脱机操作方式的流程图。在脱机方式中,向RPU122传送记录日志。日志是由该网络上的安全设备根据输入或输出通信信息生成的。RPU122接收日志记录(步骤300)并检索各条记录(步骤302)以便进行处理。使用日志记录来构造和更新表数据结构(步骤304)。如果有需要处理的附加日志记录(步骤306),则控制转到步骤302,此时,该过程重复以处理下一条日志记录。在一种实现中,在处理所有日志条目后评估表数据结构(步骤308),并且如果检测到任何尝试的安全入侵,则RPU122进行响应(步骤310)。响应尝试的安全入侵,RPU122可以向该网络上的安全设备(如,防火墙,IDS)或其它设备传送尝试的安全入侵。在一种实现中,RPU122可以阻止来自造成尝试入侵的源地址的所有未来分组(例如,通过向防火墙传送规则阻止来自负有责任的源地址的所有分组)。RPU122也可以向管理员报告尝试的安全入侵以采取适当响应。
图4是描述联机操作方式的流程图。在联机方式中,RPU122接收各条日志记录以便处理(步骤400)。在该联机方式中,RPU122在接收各条日志记录时进行处理。使用经过处理的日志记录来更新表数据结构(402),在处理每个日志记录后评估最后得到的表数据结构(404)。此后,在RPU122开始处理下一条日志记录前,RPU122响应所有尝试的入侵(406)。
图5描述RPU122使用的表数据结构的一个例子。现在参照图2和图5,表地址生成器508通过使用处理引擎204根据日志记录的多个字段生成的哈希关键字512,生成哈希表500内的某个条目的地址。使用表地址生成器508生成的地址查找哈希表500内的选定条目。每个哈希表条目可以是一个数据值502,一个数据值列表504,数据值或数据列表的一个指针506。由一个数据值或一组数据值(502或506)组成的条目可以直接存储在数据库208中的哈希表500内。对于数据列表,哈希表条目可以是指向数据库208中的数据列表506的指针。数据列表510包含数据值列表,并且可以用链表或任何适合的数据结构实现。
可以标记哈希表500和数据列表510内的数据条目,以便在预定持续时间后终止。处理引擎可以使用定时器509来测量该哈希表或数据列表中存储的指定数据条目的具体持续时间。在持续时间终止时,可以删除该数据条目。一个简单的定时器实现包括利用时戳标记每个条目。在评估时,可以比较当前时间和带有时戳的时间。可以在评估前删除时间太久的条目。
图6是用于描述创建表数据结构的流程图。RPU122(图1A)接收来自该网络上的一个或多个安全设备的一个或多个日志(步骤600)。检索各条日志记录(步骤602),并且利用日志记录的多个字段来生成哈希关键字(步骤604)。利用生成的哈希关键字来评估哈希表(步骤606)。如果在该哈希表中找到匹配条目(步骤608),则检索与选定哈希表条目关联的数据列表(步骤610)。把通过使用该日志记录的一个或多个字段生成的数据值(步骤624)和该数据列表中的数据值进行比较(步骤612)。只有唯一的数据值才***到该数据列表中。如果在该数据列表中找到匹配条目(步骤614),则不把根据该日志记录导出的数据值***到该数据列表中(步骤616)。如果在该数据列表中找不到匹配条目,则将该数据值***到该数据列表中(步骤618),并且控制转到步骤602,此时,该过程重复以处理下一条日志记录。在步骤608中,如果在该哈希表中找不到匹配条目,则创建新的哈希表条目和新的数据列表(步骤620)。把新的数据列表和所生成的哈希关键字指示的哈希表条目关联起来(步骤622),并且把利用该日志记录的多个字段生成的数据值(步骤624)***到该数据列表中(步骤618)。在完成步骤618之后,控制转到步骤602,此时,该过程重复处理每个接收的日志记录。
图7是一个流程图,描述为检测尝试的安全缺口而评估哈希表的过程。每当向哈希表中或者向作为表数据结构之一部分的数据列表中添加新条目时,总要评估表数据结构。另外,用户发起的“检查表”操作也可以触发表数据结构的评估。在一种实现中,通过检索每个哈希表条目评估表数据结构(步骤700)。如果该条目是指向数据列表的指针(步骤702),则检索该数据列表(步骤704)。如果表条目包含一个数据值或一组数据值,则检索这些数据值(步骤706)。对照预定标准比较在步骤704或步骤706中检索的数据值,以确定是否有尝试的安全缺口(步骤708)。如果检测到尝试的入侵,则RPU122可以根据尝试的缺口的性质采取多种措施中的一种措施(步骤710)。RPU122可以与NIDS或防火墙通信,以丢弃与该日志记录关联的分组。RPU122也可以响应尝试的安全缺口,以阻止相同源地址发起的所有未来分组。另外,RPU122可以向管理员报告所有尝试的安全缺口以采取适当响应。对哈希表内的所有条目重复该过程。
在哈希表评估过程的选择性实现中,在评估过程中仅仅考虑在上次表评估之后修改过的表条目。通过在哈希表条目中包含标记字段来指示由于在该表数据结构中***新的数据值而引起修改的所有条目,可以完成上述处理。使用标记字段来定位表评估过程中修改的数据值。在使用经过修改的数据评估表之后,复位标记字段。在哈希表评估过程的另一种实现中,在表数据结构中***新的数据值之后(亦即,在图6中的步骤618之后),立即评估哈希表。
RPU122可以使用不止一个哈希表。图8说明使用不止一个哈希表检测尝试的安全入侵的例子。在本例中,在联机或脱机操作方式期间,RPU122获取日志记录(步骤800)。通过使用日志记录,根据该日志记录生成的哈希关键字,抑或该日志记录和根据该日志记录生成的哈希关键字的组合,确定评估策略(步骤805)。使用评估策略来确定应该对指定记录执行的测试次数和测试类型。评估策略可以基于许多标准,包括已知的攻击签名和从相同源地址发起的先前的日志记录。对于必须执行的不同类型的测试,基于评估策略生成许多哈希关键字(步骤815)。使用生成的哈希关键字来更新与要执行的测试关联的哈希表(步骤820)。评估与该测试关联的哈希表以确定是否有尝试的安全入侵(步骤825)。在本例中,所有的哈希关键字和所有的哈希表未必是不同的。可以使用相同的哈希关键字来更新和评估两个不同的哈希表。也可以使用两个不同的哈希关键字来更新作为两次不同测试之一部分的同一哈希表。
图9说明使用层叠哈希表来检测尝试的安全入侵的一个例子。在本例中,作为表评估过程的一部分,从第一个哈希表中检索第一个哈希表条目。通过对照预定标准比较第一个哈希表条目检查第一个哈希表条目(步骤900)。用于检测特定安全入侵的评估过程可能需要评估第二哈希表。通过使用第一个哈希关键字,利用第一个哈希关键字选择的第一个哈希表条目,抑或第一个哈希关键字和利用第一个哈希关键字选择的第一个哈希表条目的组合,生成第二哈希表的第二哈希关键字(步骤905)。使用第二哈希关键字更新第二哈希表(步骤910),评估第二哈希表以确定是否有尝试的安全入侵(步骤915)。每个哈希表的评估与参照图6说明的一样。
图10说明用于检测端口扫描攻击的典型方法。作为攻击计算机安全的常用方法的端口扫描使黑客知道从哪里寻找弱点。端口扫描包括正在努力探测计算机的黑客为获悉该计算机提供哪些与“公知”端口号关联的计算机网络服务而发送的一系列消息。本质上,端口扫描包括向每个端口发送消息,例如,一次一个端口。所接收的响应种类表示该端口是否已使用,是否可访问,因此可以探测弱点。在本例中,评估包含端口查询的记录日志。该日志可以是路由器、防火墙或其它安全设备生成的。RPU122从接收的日志记录中抽取源和目的IP地址(步骤1000)。利用该日志记录报告的源和目的IP地址生成哈希关键字(步骤1005)。表地址生成器使用生成的哈希关键字来评估第一个哈希表1015。RPU122把该应用程序访问的所有唯一端口号添加到按照所生成的哈希关键字选择的哈希表条目1020指示的数据列表1025中。在典型端口扫描攻击期间,由于黑客试图在较短时间间隔内访问大量端口号,所以数据列表1025会累积很多条目。可以标记添加到数据列表1025中的每个端口号,例如,通过使用定时器509(图5),以便在预定持续时间后终止。一旦数据列表1025累积了预定数目的条目,就认为检测到端口扫描。可以使用该哈希关键字中包含的源和目的IP地址来确定扫描的源地址以及被扫描的计算机。
在另一个例子中,可以利用所公开的技术来检测邮件服务器攻击。典型邮件服务器攻击分三个阶段进行。在第一阶段的攻击中,黑客试图连接在公知端口号上运行的邮件服务器(例如,大部分SMTP邮件服务器在端口25上运行)。可以在与第一阶段的攻击关联的数据库(如哈希表)中存储第一个条目。更准确地说,可以使用从与潜在黑客关联的源地址中导出的哈希关键字指向该哈希表中的记录。在第一次攻击时,利用表示来自所识别的源地址的潜在黑客已连接邮件服务器的第一个条目来填充该记录。在第二阶段的攻击中,NIDS或HIDS检测探测尝试,如缓冲溢出。探测尝试与特定源地址有关,因此,可以检查该哈希表以查找与该源地址关联的记录。更准确地说,利用该源地址生成关键字,然后使用该关键字来扫描该哈希表以查找匹配条目。如果该数据库中有匹配条目,则可以向所定位的记录中添加第二个元素,以表示该源地址试图对该***进行探测。在第三阶段的攻击中,由于黑客已经控制该邮件服务器并且成功使用该邮件服务器向黑客发送受保护的信息(如密码文件),所以邮件服务器开始连接网络。如果检测到试图获取邮件服务器的控制,则再次更新哈希表。更准确地说,根据已经检测出的试图接管邮件服务器的黑客的地址导出关键字。使用该关键字来定位与该黑客关联的哈希表中的适当记录。第三阶段导致在与该黑客关联的记录中填充第三个元素,以表示试图接管邮件服务器。在评估时,可以把该攻击事件序列(端口扫描,探测和邮件服务器接管)识别为邮件服务器攻击,并生成适当响应。
可以用数字电子电路,或用计算机硬件、固件、软件或其组合的方式,实现本发明。可以用计算机程序产品的方式实现本发明,计算机程序产品如计算机载体中包含的计算机程序,计算机载体如机器可读存储设备或传播信号,程序产品由数据处理装置执行或用来控制数据处理装置的操作,数据处理装置如可编程处理器、计算机或多台计算机。可以用任何形式的程序设计语言,包括编译或解释语言,来编写计算机程序,并且可以用任何方式进行部署,包括以单机程序的方式,或者以模块、组件、子程序、或适合在计算环境中使用的其它单元的方式进行部署。计算机程序可以部署为在一个站点的一台或多台计算机上运行,或者分发到利用通信网络互连的多个站点上。
可以利用执行计算机程序的一个或多个可编程处理器执行本发明的方法步骤,可编程处理器通过处理输入数据并生成输出执行本发明的功能。同样,可以利用专用逻辑电路,如FPGA(现场可编程门阵列)或ASIC(专用集成电路),来执行上述方法步骤或实现本发明的装置。
举例来说,适合执行计算机程序的处理器包括通用和专用微处理器,以及各种类型的数字计算机的任何一个或多个处理器。通常,处理器接收来自只读存储器或随机存取存储器或二者的指令和数据。计算机的主要元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储设备。通常,计算机还包括或连接有用于存储数据的一个或多个海量存储设备,以便接收数据、传送数据或者接收并传送数据,海量存储设备如磁盘、磁光盘或光盘。适合于包含计算机程序指令和数据的信息载体包括各种形式的非易失存储器,举例来说,非易失存储器包括半导体存储设备,如EPROM、EEPROM和闪存设备;磁盘,如内部硬盘或可抽取磁盘;磁光盘;以及CD-ROM和DVD-ROM盘片。可以用专用逻辑电路补充或合并处理器和存储器。
可以在计算***中实现本发明,计算***包括诸如数据服务器之类的后端组件,诸如应用服务器之类的中间件组件,诸如客户计算机之类的前端组件,或此类后端、中间件或前端组件之任意组合,其中客户计算机具有图形用户界面或web浏览器,用户通过该图形用户界面或web浏览器与本发明的实现进行交互。可以利用诸如通信网络之类的任何形式或介质的数字数据通信互连该***的各种组件。通信网络的例子包括局域网(LAN)和诸如因特网之类的广域网(WAN)。
计算机***可以包括客户机和服务器。客户机和服务器通常彼此相距很远,并且通常通过通信网络进行交互。客户机和服务器的相互关系是由在各自计算机上运行的彼此具有客户机服务器关系的计算机程序引起的。
尽管本发明是用特定实施方式描述的。然而,应该理解,可以进行各种修改而并不背离本发明的实质和范围。例如,可以以不同顺序执行本发明的步骤而仍能获得所需结果。可以使用其它的等效数据结构来代替哈希表。可以使用SQL数据库存储哈希表。因此,其它实施方式也在下述权利要求书的范围内。
Claims (44)
1.一种用于检测计算机网络中的安全记录日志的方法,包括以下步骤:
检索日志记录;
处理该日志记录,包括导出表的关键字;
根据该日志记录中的信息确定数据值,并且如果该数据值是唯一的,则将该数据值添加到与该关键字相关联的数据值列表中;以及
根据预定标准评估该表的一个或多个条目,以检测尝试的安全缺口。
2.权利要求1的方法,其中该表是哈希表。
3.权利要求1的方法,其中该数据值列表是用链表实现的。
4.权利要求1的方法,其中该数据值列表是用哈希表实现的。
5.权利要求1的方法,其中该数据值列表是用树实现的。
6.权利要求1的方法,其中评估该表的一个或多个条目包括评估该表的所有条目。
7.一种用于检查计算机网络中的安全记录日志的方法,包括以下步骤:
检索日志记录;
对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;
利用该哈希关键字评估哈希表;
如果没有匹配的哈希表条目,则向该哈希表中添加新条目;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
使用该日志记录的一个或多个字段计算数据值;
比较该数据值与该数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该数据值***到该数据列表中;以及
根据预定标准评估该数据列表以确定尝试的安全缺口。
8.权利要求7的方法,其中向该哈希表中添加新条目包括生成与添加到该哈希表中的新条目关联的空数据列表。
9.权利要求7的方法,其中在该数据列表中***新条目包括触发该数据列表的评估。
10.权利要求7的方法,包括接收检查表操作以触发该数据列表的评估。
11.权利要求7的方法,其中基于预定标准评估该数据列表包括阻止与该日志记录关联的分组。
12.权利要求7的方法,其中基于预定标准评估该数据列表包括阻止和与指定日志记录关联的分组有相同源地址的所有未来分组。
13.权利要求7的方法,其中基于预定标准评估该数据列表包括报告尝试的安全缺口。
14.利要求7的方法,其中该数据列表是链表。
15.利要求7的方法,其中该数据列表是哈希表。
16.利要求7的方法,其中该数据列表是树。
17.利要求7的方法,包括在向该数据列表中添加多个日志记录后评估该数据列表。
18.利要求7的方法,包括在向该数据列表中添加各日志记录后评估该数据列表。
19.利要求7的方法,其中使用该哈希关键字评估该哈希表包括处理第二哈希表。
20.利要求19的方法,其中处理第二哈希表包括:
使用匹配的哈希表条目检索第二哈希表;
使用该哈希关键字评估第二哈希表;
如果没有匹配的第二哈希表条目,则向第二哈希表中添加新条目;
如果有匹配的第二哈希表条目,则检索与第二哈希表条目关联的第二数据列表;
比较该数据值与第二数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该数据值***到第二数据列表中;以及
基于预定标准评估第二数据列表以检测尝试的安全缺口。
21.一种用于检查计算机网络中的安全记录日志的方法,包括以下步骤:
检索日志记录;
对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;
利用该哈希关键字评估哈希表;
如果没有匹配的哈希表条目,则向该哈希表中添加新条目;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
使用该日志记录的一个或多个字段计算要***到该数据列表中的数据值;
评估该数据列表以确定该数据值的唯一性;以及
如果该数据值是唯一的,则将该数据值***到该数据列表中。
22.一种用于检测端口扫描的方法,包括:
检索包含源地址和目的地址的日志记录;
对源地址和目的地址进行哈希处理以生成哈希关键字;
使用该哈希关键字评估哈希表;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
比较该目的端口与该数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该目的端口***到该数据列表中;以及
如果该数据列表中的项目数超过预定数目,则确定检测到端口扫描。
23.一种实质包含在信息载体中的计算机程序产品,该计算机程序产品包括可以使数据处理装置执行以下处理的指令:
检索日志记录;
处理日志记录,包括导出表的关键字;
根据该日志记录中的信息确定数据值,并且如果该数据值是唯一的,则将该数据值添加到与该关键字关联的数据值列表中;以及
根据预定标准评估该表的一个或多个条目,以检测尝试的安全缺口。
24.权利要求23的计算机程序产品,其中该表是哈希表。
25.权利要求23的计算机程序产品,其中该数据值列表是用链表实现的。
26.权利要求23的计算机程序产品,其中该数据值列表是用哈希表实现的。
27.权利要求23的计算机程序产品,其中该数据值列表是用树实现的。
28.权利要求23的计算机程序产品,其中评估该表的一个或多个条目的指令包括评估该表的所有条目的指令
29.一种实质包含在信息载体中的计算机程序产品,该计算机程序产品包括可以使数据处理装置执行以下处理的指令:
检索日志记录;
对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;
使用该哈希关键字评估哈希表;
如果没有匹配的哈希表条目,则向该哈希表中添加新条目;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
使用该日志记录的一个或多个字段计算数据值;
比较该数据值与该数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该数据值***到该数据列表中;以及
根据预定标准评估该数据列表以检测尝试的安全缺口。
30.权利要求29的计算机程序产品,其中用于向该哈希表中添加新条目的指令使该数据处理装置生成与添加到该哈希表中的新条目关联的空数据列表。
31.权利要求29的计算机程序产品,其中用于在该数据列表中***新条目的指令使该数据处理装置触发该数据列表的评估。
32.权利要求29的计算机程序产品,其中用于发起检查表操作的指令使该数据处理装置触发该数据列表的评估。
33.权利要求29的计算机程序产品,其中用于根据预定标准评估该数据列表的指令使该数据处理装置阻止与该日志记录关联的分组。
34.权利要求29的计算机程序产品,其中用于根据预定标准评估该数据列表的指令使该数据处理装置阻止和与指定日志记录关联的分组有相同源地址的所有未来分组。
35.权利要求29的计算机程序产品,其中用于根据预定标准评估该数据列表的指令使该数据处理装置报告尝试的安全缺口。
36.权利要求29的计算机程序产品,其中该数据列表是链表。
37.权利要求29的计算机程序产品,其中该数据列表是哈希表。
38.权利要求29的计算机程序产品,其中该数据列表是树。
39.权利要求29的计算机程序产品,其中在向该数据列表中添加多个日志记录之后,用于评估该数据列表的指令使该数据处理装置评估该数据列表。
40.权利要求29的计算机程序产品,其中在向该数据列表中添加各日志记录之后,用于评估该数据列表的指令使该数据处理装置评估该数据列表。
41.权利要求29的计算机程序产品,其中通过使用该哈希关键字评估该哈希表的指令使该数据处理装置处理第二哈希表。
42.权利要求41的计算机程序产品,其中用于处理第二哈希表的指令使该数据处理装置执行以下处理:
使用匹配的哈希表条目检索第二哈希表;
使用该哈希关键字评估第二哈希表;
如果没有匹配的第二哈希表条目,则向第二哈希表中添加新条目;
如果有匹配的第二哈希表条目,则检索与第二哈希表条目关联的第二数据列表;
比较该数据值与第二数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该数据值***到第二数据列表中;以及
根据预定标准评估第二数据列表以检测尝试的安全缺口。
43.一种实质包含在信息载体中的用于检查计算机网络中的安全记录日志的计算机程序产品,该计算机程序产品包括可以使数据处理装置执行以下处理的指令:
检索日志记录;
对该日志记录的一个或多个字段进行哈希处理以生成哈希关键字;
利用该哈希关键字评估哈希表;
如果没有匹配的哈希表条目,则向该哈希表中添加新条目;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
使用该日志记录的一个或多个字段计算要***到该数据列表中的数据值;
评估该数据列表以确定该数据值的唯一性;以及
如果该数据值是唯一的,则将该数据值***到该数据列表中。
44.一种实质包含在信息载体中的用于检查端口扫描的计算机程序产品,该计算机程序产品包括可以使数据处理装置执行以下处理的指令:
检索包含源地址和目的地址的日志记录;
对源地址和目的地址进行哈希处理以生成哈希关键字;
使用该哈希关键字评估哈希表;
如果有匹配的哈希表条目,则检索与该哈希表条目关联的数据列表;
比较目的端口与该数据列表中的条目以确定是否有任何匹配条目;
如果没有匹配条目,则将该目的端口***到该数据列表中;以及
如果该数据列表中的项目数超过预定数目,则确定检测到端口扫描。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/407,823 US7325002B2 (en) | 2003-04-04 | 2003-04-04 | Detection of network security breaches based on analysis of network record logs |
US10/407,823 | 2003-04-04 | ||
PCT/US2004/010389 WO2004091171A1 (en) | 2003-04-04 | 2004-04-02 | Attack database structure |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1778087A true CN1778087A (zh) | 2006-05-24 |
CN1778087B CN1778087B (zh) | 2010-04-28 |
Family
ID=33097634
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800086276A Expired - Lifetime CN1778087B (zh) | 2003-04-04 | 2004-04-02 | 攻击数据库结构 |
Country Status (7)
Country | Link |
---|---|
US (4) | US7325002B2 (zh) |
EP (1) | EP1618725B1 (zh) |
JP (1) | JP4364901B2 (zh) |
CN (1) | CN1778087B (zh) |
AT (1) | ATE497303T1 (zh) |
DE (1) | DE602004031206D1 (zh) |
WO (1) | WO2004091171A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103678583A (zh) * | 2013-12-11 | 2014-03-26 | 北京华胜天成科技股份有限公司 | 结构化数据比较的方法及*** |
CN111983962A (zh) * | 2019-05-22 | 2020-11-24 | 华晨宝马汽车有限公司 | 一种用于生成业务流的映射关系的***及方法 |
Families Citing this family (68)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP3951464B2 (ja) * | 1998-07-28 | 2007-08-01 | 株式会社日立製作所 | ディジタル信号処理装置 |
US7325002B2 (en) | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US9946779B2 (en) * | 2003-05-28 | 2018-04-17 | Oracle International Corporation | Pipleline merge operations using source data and multiple destination data structures |
US7222123B2 (en) * | 2003-05-28 | 2007-05-22 | Oracle International Corporation | Technique for using a current lookup for performing multiple merge operations using source data that is modified in between the merge operations |
US7899784B2 (en) * | 2003-05-28 | 2011-03-01 | Oracle International Corporation | Method and apparatus for performing multi-table merge operations in a database environment |
US7206784B2 (en) * | 2003-05-28 | 2007-04-17 | Oracle International Corporation | Method and apparatus for performing multiple merge operations using source data that is modified in between the merge operations |
US7406714B1 (en) | 2003-07-01 | 2008-07-29 | Symantec Corporation | Computer code intrusion detection system based on acceptable retrievals |
US7568229B1 (en) | 2003-07-01 | 2009-07-28 | Symantec Corporation | Real-time training for a computer code intrusion detection system |
JP4355188B2 (ja) * | 2003-10-03 | 2009-10-28 | 株式会社日立製作所 | パケット転送装置 |
US20050132031A1 (en) * | 2003-12-12 | 2005-06-16 | Reiner Sailer | Method and system for measuring status and state of remotely executing programs |
US7634655B2 (en) * | 2004-02-13 | 2009-12-15 | Microsoft Corporation | Efficient hash table protection for data transport protocols |
US7263520B2 (en) * | 2004-02-27 | 2007-08-28 | Sap Ag | Fast aggregation of compressed data using full table scans |
US8266177B1 (en) | 2004-03-16 | 2012-09-11 | Symantec Corporation | Empirical database access adjustment |
US7669240B2 (en) * | 2004-07-22 | 2010-02-23 | International Business Machines Corporation | Apparatus, method and program to detect and control deleterious code (virus) in computer network |
JP4561980B2 (ja) * | 2004-11-08 | 2010-10-13 | 日本電気株式会社 | セッション中継装置およびセッション中継方法 |
FR2881312A1 (fr) * | 2005-01-26 | 2006-07-28 | France Telecom | Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil |
US20060259950A1 (en) | 2005-02-18 | 2006-11-16 | Ulf Mattsson | Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior |
US7444331B1 (en) | 2005-03-02 | 2008-10-28 | Symantec Corporation | Detecting code injection attacks against databases |
CN100361454C (zh) * | 2005-04-27 | 2008-01-09 | 华为技术有限公司 | 一种网络管理服务器从网元设备获取日志信息的方法 |
US8046374B1 (en) | 2005-05-06 | 2011-10-25 | Symantec Corporation | Automatic training of a database intrusion detection system |
US7558796B1 (en) | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
US7774361B1 (en) * | 2005-07-08 | 2010-08-10 | Symantec Corporation | Effective aggregation and presentation of database intrusion incidents |
US7690037B1 (en) | 2005-07-13 | 2010-03-30 | Symantec Corporation | Filtering training data for machine learning |
CN100355245C (zh) * | 2005-11-08 | 2007-12-12 | 东南大学 | 入侵检测***用增强多哈希的源串还原方法 |
US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
US8516573B1 (en) * | 2005-12-22 | 2013-08-20 | At&T Intellectual Property Ii, L.P. | Method and apparatus for port scan detection in a network |
JP4687978B2 (ja) * | 2006-02-15 | 2011-05-25 | 横河電機株式会社 | パケット解析システム |
US7540766B2 (en) * | 2006-06-14 | 2009-06-02 | Itron, Inc. | Printed circuit board connector for utility meters |
US8185559B2 (en) * | 2006-10-27 | 2012-05-22 | Telecom Italia S.P.A | Method and system for operating a telecommunication device using a hash table in particular for protecting such device from attacks |
JP4963426B2 (ja) * | 2007-02-27 | 2012-06-27 | 楽天株式会社 | 連続メール対策システム |
JP2009027400A (ja) * | 2007-07-19 | 2009-02-05 | Alaxala Networks Corp | 過大フロー検出装置、過大フロー検出回路、端末装置及びネットワークノード |
US7991794B2 (en) * | 2007-12-18 | 2011-08-02 | Oracle International Corporation | Pipelining operations involving DML and query |
US8495384B1 (en) * | 2009-03-10 | 2013-07-23 | James DeLuccia | Data comparison system |
CN101854340B (zh) | 2009-04-03 | 2015-04-01 | 瞻博网络公司 | 基于访问控制信息进行的基于行为的通信剖析 |
US8565239B2 (en) * | 2009-07-14 | 2013-10-22 | Broadcom Corporation | Node based path selection randomization |
US8503456B2 (en) * | 2009-07-14 | 2013-08-06 | Broadcom Corporation | Flow based path selection randomization |
US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
US8302198B2 (en) | 2010-01-28 | 2012-10-30 | Tenable Network Security, Inc. | System and method for enabling remote registry service security audits |
US8707440B2 (en) * | 2010-03-22 | 2014-04-22 | Tenable Network Security, Inc. | System and method for passively identifying encrypted and interactive network sessions |
US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
US9521154B2 (en) * | 2011-08-03 | 2016-12-13 | Hewlett Packard Enterprise Development Lp | Detecting suspicious network activity using flow sampling |
US20130094515A1 (en) * | 2011-08-31 | 2013-04-18 | Nils Gura | Systems, apparatus, and methods for removing duplicate data packets from a traffic flow of captured data packets transmitted via a communication network |
US8880871B2 (en) * | 2012-01-03 | 2014-11-04 | Broadcom Corporation | Hash table organization |
US9367707B2 (en) | 2012-02-23 | 2016-06-14 | Tenable Network Security, Inc. | System and method for using file hashes to track data leakage and document propagation in a network |
US9043920B2 (en) | 2012-06-27 | 2015-05-26 | Tenable Network Security, Inc. | System and method for identifying exploitable weak points in a network |
US9088606B2 (en) | 2012-07-05 | 2015-07-21 | Tenable Network Security, Inc. | System and method for strategic anti-malware monitoring |
SG11201505534SA (en) * | 2013-01-15 | 2015-09-29 | Beyondtrust Software Inc | Systems and methods for identifying and reporting application and file vulnerabilities |
US9467465B2 (en) | 2013-02-25 | 2016-10-11 | Beyondtrust Software, Inc. | Systems and methods of risk based rules for application control |
US9467464B2 (en) | 2013-03-15 | 2016-10-11 | Tenable Network Security, Inc. | System and method for correlating log data to discover network vulnerabilities and assets |
WO2016014021A1 (en) * | 2014-07-21 | 2016-01-28 | Hewlett-Packard Development Company, L.P. | Security indicator linkage determination |
US11151611B2 (en) | 2015-01-23 | 2021-10-19 | Bluezoo, Inc. | Mobile device detection and tracking |
US20190028849A1 (en) * | 2017-07-22 | 2019-01-24 | Bluefox, Inc. | Mobile device detection and tracking |
US11727443B2 (en) | 2015-01-23 | 2023-08-15 | Bluezoo, Inc. | Mobile device detection and tracking |
JP6547577B2 (ja) * | 2015-10-15 | 2019-07-24 | 富士通株式会社 | 検査装置、検査プログラムおよび検査方法 |
EP3414695B1 (en) * | 2016-02-12 | 2021-08-11 | Shape Security, Inc. | Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer |
US10164990B2 (en) * | 2016-03-11 | 2018-12-25 | Bank Of America Corporation | Security test tool |
US10237295B2 (en) * | 2016-03-22 | 2019-03-19 | Nec Corporation | Automated event ID field analysis on heterogeneous logs |
US10462170B1 (en) * | 2016-11-21 | 2019-10-29 | Alert Logic, Inc. | Systems and methods for log and snort synchronized threat detection |
US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
US10594725B2 (en) * | 2017-07-27 | 2020-03-17 | Cypress Semiconductor Corporation | Generating and analyzing network profile data |
US10992707B2 (en) * | 2017-12-07 | 2021-04-27 | Ridgeback Network Defense, Inc. | Tagging network data |
WO2020190296A1 (en) * | 2019-03-21 | 2020-09-24 | Xinova, LLC | Modified security logs for security personnel training |
WO2020190294A1 (en) * | 2019-03-21 | 2020-09-24 | Xinova, LLC | Security personnel training using automatic log creation resulting from white hacking |
US11245711B2 (en) * | 2019-04-05 | 2022-02-08 | Anomali Inc. | Network data timeline |
US11528149B2 (en) | 2019-04-26 | 2022-12-13 | Beyondtrust Software, Inc. | Root-level application selective configuration |
CN110457898B (zh) * | 2019-07-29 | 2020-10-30 | 创新先进技术有限公司 | 基于可信执行环境的操作记录存储方法、装置及设备 |
US10783054B2 (en) | 2019-07-29 | 2020-09-22 | Alibaba Group Holding Limited | Method, apparatus, and device for storing operation record based on trusted execution environment |
CN112800006B (zh) * | 2021-01-27 | 2023-05-26 | 杭州迪普科技股份有限公司 | 用于网络设备的日志存储方法及装置 |
Family Cites Families (74)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5430871A (en) * | 1992-10-27 | 1995-07-04 | Bmc Software, Inc. | Method of dynamically adding and removing DB2 active logs |
US5418947A (en) * | 1992-12-23 | 1995-05-23 | At&T Corp. | Locating information in an unsorted database utilizing a B-tree |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5842196A (en) * | 1996-04-03 | 1998-11-24 | Sybase, Inc. | Database system with improved methods for updating records |
US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
US5892903A (en) * | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US5805801A (en) * | 1997-01-09 | 1998-09-08 | International Business Machines Corporation | System and method for detecting and preventing security |
US6233686B1 (en) * | 1997-01-17 | 2001-05-15 | At & T Corp. | System and method for providing peer level access control on a network |
US6591303B1 (en) * | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
US5907848A (en) * | 1997-03-14 | 1999-05-25 | Lakeview Technology, Inc. | Method and system for defining transactions from a database log |
US5909686A (en) * | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
US6049528A (en) * | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
US6088356A (en) * | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
US6775692B1 (en) * | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6061692A (en) * | 1997-11-04 | 2000-05-09 | Microsoft Corporation | System and method for administering a meta database as an integral component of an information server |
US6651243B1 (en) * | 1997-12-12 | 2003-11-18 | International Business Machines Corporation | Method and system for periodic trace sampling for real-time generation of segments of call stack trees |
US6341130B1 (en) * | 1998-02-09 | 2002-01-22 | Lucent Technologies, Inc. | Packet classification method and apparatus employing two fields |
US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
US6449623B1 (en) * | 1998-09-04 | 2002-09-10 | Lucent Technologies Inc, | Method and apparatus for detecting and recovering from data corruption of a database via read logging |
US7643481B2 (en) * | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
US7197044B1 (en) * | 1999-03-17 | 2007-03-27 | Broadcom Corporation | Method for managing congestion in a network switch |
US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
US7051066B1 (en) * | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
US6633560B1 (en) * | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
US6650641B1 (en) * | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
US6549516B1 (en) * | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
US6606315B1 (en) * | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
US6742045B1 (en) * | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
US6970913B1 (en) * | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US6735169B1 (en) * | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
FR2802666B1 (fr) * | 1999-12-17 | 2002-04-05 | Activcard | Systeme informatique pour application a acces par accreditation |
US6546388B1 (en) * | 2000-01-14 | 2003-04-08 | International Business Machines Corporation | Metadata search results ranking system |
US6775831B1 (en) * | 2000-02-11 | 2004-08-10 | Overture Services, Inc. | System and method for rapid completion of data processing tasks distributed on a network |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US7436830B2 (en) * | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
US6769074B2 (en) * | 2000-05-25 | 2004-07-27 | Lumigent Technologies, Inc. | System and method for transaction-selective rollback reconstruction of database objects |
JP3851493B2 (ja) * | 2000-06-12 | 2006-11-29 | 株式会社日立製作所 | データベース検索方法及びデータベース検索システム並びにデータベース検索プログラムを記録したコンピュータ読み取り可能な記録媒体 |
US7328349B2 (en) * | 2001-12-14 | 2008-02-05 | Bbn Technologies Corp. | Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses |
EP1297133A2 (en) * | 2000-06-22 | 2003-04-02 | Biogen, Inc. | Gp354 nucleic acids and polypeptides |
WO2002027443A2 (en) | 2000-09-25 | 2002-04-04 | Itt Manufacturing Enterprises, Inc. | Global computer network intrusion detection system |
JP2002124996A (ja) | 2000-10-13 | 2002-04-26 | Yoshimi Baba | 高速パケット取得エンジン・セキュリティ |
CA2327211A1 (en) * | 2000-12-01 | 2002-06-01 | Nortel Networks Limited | Management of log archival and reporting for data network security systems |
US6744462B2 (en) * | 2000-12-12 | 2004-06-01 | Koninklijke Philips Electronics N.V. | Apparatus and methods for resolution of entry/exit conflicts for security monitoring systems |
US7296070B2 (en) * | 2000-12-22 | 2007-11-13 | Tier-3 Pty. Ltd. | Integrated monitoring system |
US20020165902A1 (en) * | 2001-05-03 | 2002-11-07 | Robb Mary Thomas | Independent log manager |
US6816455B2 (en) | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
US7684317B2 (en) * | 2001-06-14 | 2010-03-23 | Nortel Networks Limited | Protecting a network from unauthorized access |
US7107464B2 (en) * | 2001-07-10 | 2006-09-12 | Telecom Italia S.P.A. | Virtual private network mechanism incorporating security association processor |
US7366910B2 (en) * | 2001-07-17 | 2008-04-29 | The Boeing Company | System and method for string filtering |
US7212534B2 (en) * | 2001-07-23 | 2007-05-01 | Broadcom Corporation | Flow based congestion control |
US20030033463A1 (en) * | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
US20030041125A1 (en) * | 2001-08-16 | 2003-02-27 | Salomon Kirk C. | Internet-deployed wireless system |
US7222361B2 (en) * | 2001-11-15 | 2007-05-22 | Hewlett-Packard Development Company, L.P. | Computer security with local and remote authentication |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7073074B2 (en) * | 2002-02-13 | 2006-07-04 | Microsoft Corporation | System and method for storing events to enhance intrusion detection |
WO2003081433A1 (en) * | 2002-03-26 | 2003-10-02 | Nokia Corporation | Method and apparatus for compressing log record information |
US20030206100A1 (en) * | 2002-05-04 | 2003-11-06 | Lawrence Richman | Method and protocol for real time security system |
US7512810B1 (en) * | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
US7143288B2 (en) * | 2002-10-16 | 2006-11-28 | Vormetric, Inc. | Secure file system server architecture and methods |
US7774839B2 (en) * | 2002-11-04 | 2010-08-10 | Riverbed Technology, Inc. | Feedback mechanism to minimize false assertions of a network intrusion |
US7234166B2 (en) * | 2002-11-07 | 2007-06-19 | Stonesoft Corporation | Event sequence detection |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
US7779021B1 (en) * | 2004-03-09 | 2010-08-17 | Versata Development Group, Inc. | Session-based processing method and system |
US7895431B2 (en) * | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
US7933927B2 (en) * | 2004-11-17 | 2011-04-26 | Bmc Software, Inc. | Method and apparatus for building index of source data |
US7535907B2 (en) * | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2003
- 2003-04-04 US US10/407,823 patent/US7325002B2/en active Active
-
2004
- 2004-04-02 EP EP04758864A patent/EP1618725B1/en not_active Expired - Lifetime
- 2004-04-02 AT AT04758864T patent/ATE497303T1/de not_active IP Right Cessation
- 2004-04-02 JP JP2006509691A patent/JP4364901B2/ja not_active Expired - Lifetime
- 2004-04-02 DE DE602004031206T patent/DE602004031206D1/de not_active Expired - Lifetime
- 2004-04-02 WO PCT/US2004/010389 patent/WO2004091171A1/en active Application Filing
- 2004-04-02 CN CN2004800086276A patent/CN1778087B/zh not_active Expired - Lifetime
-
2007
- 2007-12-06 US US11/951,518 patent/US7904479B2/en active Active
-
2011
- 2011-01-26 US US13/014,339 patent/US8326881B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/615,903 patent/US9413777B2/en not_active Expired - Lifetime
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103678583A (zh) * | 2013-12-11 | 2014-03-26 | 北京华胜天成科技股份有限公司 | 结构化数据比较的方法及*** |
CN103678583B (zh) * | 2013-12-11 | 2017-07-21 | 北京华胜天成科技股份有限公司 | 结构化数据比较的方法及*** |
CN111983962A (zh) * | 2019-05-22 | 2020-11-24 | 华晨宝马汽车有限公司 | 一种用于生成业务流的映射关系的***及方法 |
CN111983962B (zh) * | 2019-05-22 | 2024-05-07 | 华晨宝马汽车有限公司 | 一种用于生成业务流的映射关系的***及方法 |
Also Published As
Publication number | Publication date |
---|---|
CN1778087B (zh) | 2010-04-28 |
US8326881B2 (en) | 2012-12-04 |
US20040199535A1 (en) | 2004-10-07 |
WO2004091171A1 (en) | 2004-10-21 |
EP1618725B1 (en) | 2011-01-26 |
US20110185426A1 (en) | 2011-07-28 |
US7325002B2 (en) | 2008-01-29 |
JP4364901B2 (ja) | 2009-11-18 |
US7904479B2 (en) | 2011-03-08 |
DE602004031206D1 (de) | 2011-03-10 |
ATE497303T1 (de) | 2011-02-15 |
JP2006523427A (ja) | 2006-10-12 |
US9413777B2 (en) | 2016-08-09 |
US20080155697A1 (en) | 2008-06-26 |
EP1618725A1 (en) | 2006-01-25 |
US20130067575A1 (en) | 2013-03-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1778087B (zh) | 攻击数据库结构 | |
EP3588898B1 (en) | Defense against apt attack | |
CN107066883B (zh) | 用于阻断脚本执行的***和方法 | |
CN110719291A (zh) | 一种基于威胁情报的网络威胁识别方法及识别*** | |
CN100448203C (zh) | 用于识别和防止恶意入侵的***和方法 | |
CN101512522B (zh) | 分析网络内容的***和方法 | |
US8978140B2 (en) | System and method of analyzing web content | |
CN104901975A (zh) | 网站日志安全分析方法、装置及网关 | |
CN105491053A (zh) | 一种Web恶意代码检测方法及*** | |
CN104954188A (zh) | 基于云的网站日志安全分析方法、装置和*** | |
US10528731B1 (en) | Detecting malicious program code using similarity of hashed parsed trees | |
CN106250761B (zh) | 一种识别web自动化工具的设备、装置及方法 | |
CN104935601A (zh) | 基于云的网站日志安全分析方法、装置及*** | |
US20180083990A1 (en) | Network Security Device and Application | |
CN105187439A (zh) | 钓鱼网站检测方法及装置 | |
CN104579819A (zh) | 网络安全检测方法以及装置 | |
CN112632528A (zh) | 威胁情报生成方法、设备、存储介质及装置 | |
CN115001724B (zh) | 网络威胁情报管理方法、装置、计算设备及计算机可读存储介质 | |
CN116155519A (zh) | 威胁告警信息处理方法、装置、计算机设备和存储介质 | |
CN110855612B (zh) | web后门路径探测方法 | |
Criscione et al. | Masibty: an anomaly based intrusion prevention system for web applications | |
CN118138371B (zh) | 基于搜索引擎的快速蜜罐构建方法、装置及设备 | |
Swathi et al. | Detection of Phishing Websites Using Machine Learning | |
CN114297636A (zh) | 一种知识图谱的失陷指标生产方法及相关装置 | |
CA2871355A1 (en) | Network security device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Juniper Networks, Inc. Address before: American California Patentee before: Jungle network |
|
CX01 | Expiry of patent term | ||
CX01 | Expiry of patent term |
Granted publication date: 20100428 |