TW201406106A - 網路訊務處理系統 - Google Patents
網路訊務處理系統 Download PDFInfo
- Publication number
- TW201406106A TW201406106A TW102122177A TW102122177A TW201406106A TW 201406106 A TW201406106 A TW 201406106A TW 102122177 A TW102122177 A TW 102122177A TW 102122177 A TW102122177 A TW 102122177A TW 201406106 A TW201406106 A TW 201406106A
- Authority
- TW
- Taiwan
- Prior art keywords
- connection
- hardware accelerated
- software verification
- processing
- unit
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一種用以處理網路訊務之系統包括一個用以處理硬體加速式檢驗模態中之網路訊務的硬體加速式檢驗單元和一個用以處理軟體檢驗模態中之網路訊務的軟體檢驗單元。該軟體檢驗單元會在至少就某一連續性預定數目之位元組的連線之軟體檢驗模態中處理該連線。若該連線被決定為沒有錯誤,該連線可能會被變遷至該硬體加速式檢驗模態。
Description
本發明係有關於網路訊務處理系統。
網際網路訊務迄至2015年已建議係期望達至四倍。此外,一些報告已顯示全球平均連線年同期增加率已為43%,以及全球平均高峰年同期增加率己為67%。協同地,一些形式上為所有類型之病毒、蠕蟲、和惡意程式的內在和外在網路攻擊之複雜性已戲劇性地增加。
網路管理人員繼續承擔了提供網路安全之任務,以及彼等經常係取決於各種有關網路安全之系統。舉例而言,一些入侵檢測系統(IDS)會檢測網路攻擊,但其中有某些會運作為一些並未提供超過事後攻擊通知之被動性系統。相形之下,一些入侵預防系統(IPS)業已發展至補助一些傳統式安全產品,諸如藉由掃瞄進出訊務而先行分析網路訊務流之防火牆。然而,IPS所為之深層封包檢驗典型地會利用到大量之資源,以及可變為一個網路瓶頸,倘若彼等之性能無法跟上逐漸增加之連線率和傳輸量頻寬。
依據本發明之一實施例,係特地提出一種用以處
理網路訊務之系統,其包含:一個用以在硬體加速式檢驗模態中處理網路訊務之硬體加速式檢驗單元;和一個用以在軟體檢驗模態中處理網路訊務之軟體檢驗單元,其中,該軟體檢驗單元會在該軟體檢驗模態中處理該網路訊務中的一個連線以檢測一個簽章匹配,以及倘若該連線就至少該連線之某一預定數目的連續性位元組而言被該軟體檢驗單元決定為沒有錯誤,該連線會變遷至該硬體加速式檢驗模態以便被該硬體加速式檢驗單元處理。
100‧‧‧系統
101‧‧‧介面
102‧‧‧通訊埠
110‧‧‧硬體加速式檢驗單元
111‧‧‧處理電路
112‧‧‧資料儲存器
120‧‧‧軟體檢驗單元
121a-n‧‧‧處理器
122a-n‧‧‧資料儲存器
130‧‧‧匯流排
200‧‧‧入侵預防系統(IPS)
200a‧‧‧入侵預防系統(IPS)'1'
200b‧‧‧入侵預防系統(IPS)'2'
200c‧‧‧入侵預防系統(IPS)'3'
202‧‧‧使用者1
204‧‧‧使用者2
206‧‧‧交換器
210‧‧‧內部子網路'A'
212‧‧‧客戶個人電腦'1'
213‧‧‧網際網路
216‧‧‧交換器'1'
220‧‧‧內部子網路'B'
222‧‧‧伺服器'1'
224‧‧‧伺服器'n'
226‧‧‧交換器'2'
230‧‧‧路由器
234‧‧‧外部網路
2i4‧‧‧客戶個人電腦'n'
401-409‧‧‧步驟
該等實施例係參照以下諸圖中所顯示之範例詳細加以說明:圖1例示一個網路訊務處理系統;圖2A-B例示不同網路環境中之網路訊務處理系統;而圖3和4例示一個處理網路訊務。
為單純及例示計,該等實施例之原理主要係參照彼等之範例加以描述。在下文之說明中,眾多特定之細節在列舉上係為提供該等實施例之通盤理解。顯而易見的是,該等實施例在實現上可能並非受限於所有之特定細節。而且,該等實施例可能共同被使用在各種之組合中。
依據一個實施例,一個用以處理網路訊務之系統會檢驗網路訊務來識別一些潛在可能之簽章匹配。上述被
視為具有潛在可能之簽章匹配的網路訊務會進一步被檢驗,以決定其是否具有一個簽章匹配。若有一個簽章匹配被檢測到,該網路訊務可能會被阻隔、報告、速率限制,或者其他補救性行動可能會被採取。
該系統包括一個硬體加速式檢驗單元,諸如現場可編程邏輯閘陣列(FPGA)、一個特殊應用積體電路(ASIC)、或其他類型之可用戶化積體電路或處理器,以執行封包之硬體加速式檢驗,以及該系統包括一個包含一些被一個處理器執行之機器可讀取式指令的軟體檢驗單元或某些類型用以執行封包之軟體檢驗的處理電路。該硬體加速式檢驗單元在執行其檢驗時會比該軟體檢驗單元更快,以及該系統會善用該硬體加速式檢驗單元以提昇該檢驗處理速率。舉例而言,在一個連線開始下,該封包檢驗係由該軟體檢驗單元加以執行。一個連線包括一些具有相同屬性之封包。該等屬性之範例可能包括一些來源網際網路通訊協定(IP)位址、目的地IP位址、來源IP通訊埠、目的地IP通訊埠、IP通訊協定、等等。在一個範例中,一個連線係一個傳輸控制通訊協定(TCP)流程。在另一個範例中,一個連線係包括一些具有相同屬性之封包的偽流程。舉例而言,一個連線可能為一個在使用者資料包通訊協定(UDP)或另一個並不需要先期通訊來建置一個傳輸通道或資料路徑中之偽流程。若有一個攻擊末及時被檢測到,該連線便會達至某一臨界位元數目(舉例而言,8仟位元組(KB)),該軟體檢驗單元會下達指令給該硬體加速式檢驗單元,而將
該流程置於該硬體加速式檢驗模態中以提昇性能。
在該硬體加速式檢驗模態中,該連線會在一個比起該軟體檢驗單元可能更快之速率下以該硬體加速檢驗單元來檢驗。該硬體加速式檢驗單元所執行之處理,可能會比該軟體檢驗單元所執行之處理更快二或三倍。在該硬體加速式檢驗模態中,若該連線沒有錯誤,諸如決定不具有一個潛在可能之簽章匹配,就該連線而言之封包便會被傳輸,而不需要針對該等封包執行軟體檢驗。在該硬體加速式檢驗模態中就一個連線而言之封包會被該硬體加速式檢驗單元處理,而不會被該軟體檢驗單元處理以極小化處理時間。然而,若該硬體加速式檢驗單元在一個連線中檢測到一個潛在可能之簽章匹配,該連線會被轉移至該軟體檢驗模態,以利該軟體檢驗單元進一步處理,而決定其中是否具有一個簽章匹配。在該軟體檢驗模態中,該連線會被該軟體檢驗單元處理,以及亦會被該硬體加速式檢驗單元處理。藉由在該等硬體加速式檢驗模態與軟體檢驗模態間變遷該連線之檢驗,該傳輸量會在維持安全之際被增加。
該軟體檢驗單元會執行封包檢驗,其可能包括一個比起在該硬體檢驗模態中執行較詳細之封包檢驗和過濾。因此,該硬體加速式檢驗單元所執行之封包處理,可能會不同於該軟體檢驗單元所執行之封包檢驗。舉例而言,該軟體檢驗單元所執行之封包處理係包括深層封包檢驗。該深層封包檢驗包括檢驗一個連線中之負載量加上封包標頭。該深層封包檢驗可能包含檢驗所有七個開放式通
信系統互聯(OSI)層來自該連線之資料。該硬體加速式檢驗單元所執行之封包處理可能不會包括來自所有七個OSI層之資料。舉例而言,該封包檢驗可能會被限制至一些標頭。
一個具有一個潛在可能之簽章匹配的連線,係一個被決定為具有一些特定之預先界定式屬性的連線。舉例而言,一個連線可能包括具有一個安全威脅之屬性代表的一個封包或多重封包。舉例而言,一個連線中之封包會被該硬體加速式檢驗單元檢驗,以決定彼等是否亂序或成片斷狀或者彼等在彼等之負載量中是否具有一個特定之位元組樣式。
一個連線亦可能具有一個潛在可能之簽章匹配,倘若其包括基於一個策略或規則來決定有興趣之資料。舉例而言,一個規則會指明監控一些特定應用有關之封包。倘若一個連線包括一些來自任何應用之封包,其會被視為一個基於該規則之簽章匹配。舉例而言,一些來自一個即時簡訊應用之封包會被監控,以及可能會被該系統阻隔以免離開一個區域網路(LAN)。
與一個潛在可能之簽章匹配相類似,一個連線可能會被決定為具有一個簽章匹配,倘若其係具有一些預定之屬性,然而該等屬性會被該軟體檢驗單元而非硬體加速式檢驗單元識別出。該簽章匹配有關之屬性,可能會不同於該潛在可能之簽章匹配有關的屬性。該簽章匹配有關之屬性可能會被深層封包檢驗識別出。一個簽章匹配可能包括正則表達式匹配和/或其他過濾和封包簽章檢測技術所
決定的一個匹配,以檢測有關該封包和其可能指出其為懷惡意或不然感興趣之資料的附加資訊。一些懷惡意之屬性可能代表網釣詐騙銀行帳號(phishing))攻擊、嘗試性間諜程式(Spyware)安裝、可消耗網路頻寬或伺服器資源而造成一些合法封包丟失之封包氾濫(flooding)、等等。
上述用以處理網路訊務之系統可能包含一個連接至一個網路之IPS。該IPS會檢驗該連線,以及該連線若被檢測具有一個簽章匹配,其可能會被加旗標、阻隔、及/或捨棄。有一些日誌會被保持,以及可能會有一些警報或其他通告產生,以及可能會因一個簽章匹配所致而傳送給一個系統管理員。若該連線沒有錯誤,則該IPS便會輸出要傳送給其目的地之連線。
圖1例示一個用以處理網路訊務之系統100。該系統100可能包含一個用以阻隔被決定為具有一個簽章匹配之網路訊務的IPS。該系統100包括一個包括一些通訊埠102之介面101。該介面101係一個用以使該系統100連接至一個網路之網路介面。該等封包會在該介面101之通訊埠102上面被傳送及接收。
該系統100包括一個硬體加速式檢驗單元110和一個軟體檢驗單元120。該系統100之組件可能經由一個匯流排130相連接。該軟體檢驗單元120可能包含一或多個處理器121a-n,彼等包括一些由一個在運作上可儲存一些機器可讀取式指令和資料之電腦可讀取式儲存媒體所組成的資料儲存器122a-n。該等機器可讀取式指令可能包括用以
執行本說明書所說明之連線處理功能的程式碼。該硬體加速式單元110包括一個處理電路111,諸如FPGA、一個ASIC、或另一類型之可用戶化積體電路或硬體,其在與該軟體檢驗單元120相較時,亦會在一個加速之速率下執行連線處理。該硬體加速式單元110可能亦包括一個資料儲存器112。
該等硬體加速式檢驗單元110和軟體檢驗單元120,會處理一個接收自該網路之連線,以決定該連線是否具有一些潛在可能之簽章匹配。此係稱為檢驗作用。倘若該連線被決定為具有一個簽章匹配,該連線可能會被阻隔使免於傳送至其之目的地。該連線可能會被加旗標及被該系統100捨棄。一個被決定沒有錯誤之連線會經由該介面101傳送至其之目的地。一個沒有錯誤之連線係一個不具有一個潛在可能之簽章匹配和/或一個簽章匹配的連線。
該等硬體加速式檢驗單元110和軟體檢驗單元120可能會就線內處理加以配置。舉例而言,該介面101所接收之連線首先會被該硬體加速式檢驗單元110處理,以及接著可能會被該軟體檢驗單元120處理。若該連線被決定沒有錯誤,其會經由該介面101傳送至其之目的地。
該系統100可能會在一個硬體加速式檢驗模態與一個軟體檢驗模態之間變遷,在該硬體加速式檢驗模態下,一個連線會被該硬體加速式檢驗單元檢驗,但不會被該軟體檢驗單元120處理,在該軟體檢驗模態下,該連線會被該軟體檢驗單元處理,以及亦可能會被該硬體加速式檢
驗單元處理,諸如在該線內配置中,該連線在其中首先會被該硬體加速式檢驗單元110處理,以及接著可能會被該軟體檢驗單元120處理。
該系統100可能為一個單機式網路設備,其大體上可能會連接至一個路由器或一個防火牆或一個網路,以接收及檢驗封包以及傳送出沒有錯誤之封包。該系統100可能會合併進一個已存在之網路設備,諸如一個路由器、防火牆、或另一類型之交換器。該系統100可能會在一個多功能收歛式安全設備,諸如成單一裝置的一個IPS和一個防火牆。該系統100可能會在一個刀鋒機箱或另一類型之設備中。
圖2A-B顯示0該系統100,其可能為一個連接在不同之網路環境中的IPS 200。圖2A顯示上述連接成”線纜中的凸塊”(BITW;“bump-in-the-wire”)組態之IPS 200。使用者`1`202至使用者`n`204係連接至一個交換器206,其係連接至該IPS 200,後者復連接至該網際網路213或一個網路主幹線路。該IPS 200一般係實現在一個交換器與一個網路之間,以阻止接收來自或傳輸至該網際網路213或一個網路主幹線路之安全威脅。
圖2B顯示一些實現在另一網路環境中之IPS 200a-c。在此圖中,一個內部子網路`A`210係由一些連接至該交換器`1`216之客戶個人電腦(PC)`1`212至客戶個人電腦PC`n`214組成,該交換器`1`216復係連接至該IPS`1`200a。該內部子網路`B`220係包含連接至該交換器`2`226
之伺服器`1`222至伺服器`n`224,該交換器`2`226復係連接至該IPS`2`200b。該等內部子網路`A`210和內部子網路`B`220係連接至一個路由器230,其係連接至一個IPS`3`200c,後者復係連接至一個外部網路234。該IPS`3`200c通常在實現上係為避免安全威脅自該外部網路234入侵進該等內部子網路`A`210和內部子網路`B`220內。
該IPS`1`200a會藉由避免一些源自該內部子網路`A`210之安全威脅的入侵而提供額外之入侵保護。同理,該IPS`2`200b會藉由避免一些源自該內部子網路`B`220之安全威脅的入侵而提供額外之入侵保護。誠如本技藝之專業人士可明瞭的是,該IPS`1`200a之實現會隔離對上述由一或多個客戶PC 212至214和對應之交換器`1`216所組成的內部子網路210之入侵議題。同理,該IPS`2`200b之實現會隔離對上述由一或多個伺服器222至224和對應之交換器`1`226所組成的內部子網路220之入侵議題。
圖3顯示一個在一段時間內在該等硬體加速式檢驗模態與軟體檢驗模態間變遷之連線處理的範例。在該連線之初,該連線會在該軟體檢驗模態中由圖1中所顯示之軟體檢驗單元120加以處理。該連線會在該軟體檢驗模態中處理至少某一預定數目之位元組直至點B為止。在該軟體檢驗模態中處理該連線會繼續傳遞該臨界值(舉例而言,8KB),倘若該連線被決定為具有一個潛在可能之簽章匹配。該範例係顯示8KB但該臨界值可能會更大或更小。
倘若該連線截至點B為止沒有錯誤,該連線自點
B至C之處理會自該軟體檢驗模態變遷至該硬體加速式檢驗模態,以及會在該硬體加速式檢驗模態中保持不變,其中,該等封包會在一個比起該軟體檢驗模態快甚多之速率下被處理,直至該連線被該硬體加速式檢驗單元110決定為具有一個潛在可能之簽章匹配為止,諸如在點D處。接著,該連線自點D至E之處理會變遷至該軟體檢驗模態,其中可能包括深層封包檢驗,以及會在該軟體檢驗模態中保持不變,直至該連線被決定屬沒有錯誤為止。倘若該連線為沒有錯誤,則自點F至G之處理可能會再次變遷至該硬體加速式檢驗模態以利最大之性能。該連線處理變遷在該連線之生命期間可能會繼續發生。該等連線會被分開處理,以致依據是否及當有潛在可能之簽章匹配或簽章匹配在該連線中被檢測時,不同之連線可能具有不同之連線處理變遷。
圖4顯示一個用以處理網路訊務之方法400的範例。該方法400係參照該系統100加以說明而作為範例及非有限制意。該方法係可能在其他系統中加以實現。
在401處,該系統會接收一個新連線。該新連線可能會被一些用以界定該連線之屬性識別,以及可能會在圖1中所顯示之硬體加速式檢驗單元110和/或軟體檢驗單元120處所儲存之連線表中建立一個登錄項,其包括該連線有關的一個連線ID和一些連線屬性和當前模態之標誌。該當前模態或為該硬體加速式模態或為該軟體檢驗模態。當在該軟體檢驗模態中被處理時,會有一個新連線開始。
在402處,該連線會在該軟體檢驗模態中就至少
某一預定數目之位元組加以處理。舉例而言,該連線會被該硬體加速式檢驗單元110處理,以及該連線會自該硬體加速式檢驗單元110傳送至該軟體檢驗單元120以利進一步處理,至少直至某一臨界數目之位元組達至為止。該硬體加速式檢驗單元110可能會在其連線表中指出該連線為在該軟體檢驗模態中。
在403處,正當該連線在該軟體檢驗模態中就至少該預定之位元組被處理時,該軟體檢驗單元120會做出有關該連線是否具有一個潛在可能之簽章匹配之決定。若然,該連線有關之封包處理便會在404處在該軟體檢驗模態中繼續。該連線處理會在該軟體檢驗模態中繼續,直至該連線在405處被決定沒有錯誤為止。若該連線為沒有錯誤,則該連線處理會在407處變遷至該硬體加速式檢驗模態。若該連線處理非為沒有錯誤,則該連線處理會在404處在該軟體檢驗模態中繼續。舉例而言,若有一個簽章匹配被檢測到,該軟體檢驗模態中之連線處理便會在404處繼續。舉例而言,若一些懷惡意之封包透過一個簽章匹配被檢測到以及該連線受到阻隔,該軟體檢驗模態中之連線處理便會繼續。該連線處理會變遷至該硬體加速式模態直至該連線為沒有錯誤為止。若該連線為沒有錯誤,以及其在406處就該預定數目之位元組而言為沒有錯誤,該連線處理便會在407處被變遷至該硬體加速式檢驗模態。舉例而言,該軟體檢驗單元120會下達指令給該硬體加速式檢驗單元110以將該連線置於該硬體加速式檢驗模態中。舉例而言,該硬體加
速式檢驗單元110會更新其連線表,以指出該連線如今係在該硬體加速式檢驗模態中。
在408處,該連線在該硬體加速式檢驗模態中舉
例而言會被該硬體加速式檢驗單元110處理,直至該連線被結束或該連線該硬體加速式檢驗單元110決定為具有一個潛在可能之簽章匹配為止。若該連線被決定為具有一個潛在可能之簽章匹配,則該處理會在409處變遷至該軟體檢驗模態,以及該連線會在409處在該軟體檢驗模態中被處理,以及該處理可能會在404處繼續..。該硬體加速式檢驗單元110接著可能會更新其之連線表,以指出該連線為在該軟體檢驗模態中,以致若在該介面101上面就該連線有任何封包被接收到,該硬體加速式檢驗單元110便會知道在處理後將該等封包傳送給該軟體檢驗單元110。
若該硬體加速式檢驗單元110中之連線表指出,一個連線為在該硬體加速式檢驗模態中,則該硬體加速式檢驗單元知道不要傳送該等封包給該軟體檢驗單元120,倘若該硬體加速式檢驗單元110決定該連線為沒有錯誤。該連線可能會被決定為沒有錯誤,倘若其基於一些策略規則被決定為不感興趣。與其該等封包經由該介面110使傳送出。而且,若有資訊被該硬體加速式檢驗單元110識別,有一個封包係屬可疑,諸如該封包是否亂序、是否具有一個可疑之位元組樣式或某些其他指出其係屬懷有惡意或感興趣之屬性,該資訊可能會被傳送給該軟體檢驗單元120以協助該軟體檢驗單元120所執行之封包檢驗。其他資訊可能會在該
等軟體檢驗單元120與硬體加速式檢驗單元110之間傳達,諸如該處理模態的一個標誌或一個變遷至一個不同之模態的指令。
而且,若有一個封包被該軟體檢驗單元120決定為為懷有惡意或感興趣,該系統100可能會阻隔該連線,以及不會傳送該可疑之封包或該連線有關之任何其他封包。該系統100可能會捨棄該等封包,倘若該軟體檢驗單元120決定該連線有關的一個封包或一組封包為懷有惡意或感興趣。而且,一個有關所事件之日誌檔案會被更新,以及會有一些有關該事件之通告會被傳送。
本說明書所說明之步驟和功能可能會被體現為一或多個會被一個處理器或另一類型在運作上可執行機器可讀取式指令之處理電路執行的機器可讀取式指令。該等機器可讀取式指令可能會被儲存在一個可能包括圖1中所顯示的一或多個儲存裝置之非暫時性儲存媒體中。
雖然該等實施例業已參照一些範例加以說明,針對該等說明之實施例係可能完成各種修飾體而而不違離該等主張之實施例的界定範圍。
100‧‧‧系統
101‧‧‧介面
102‧‧‧通訊埠
110‧‧‧硬體加速式檢驗單元
111‧‧‧處理電路
112‧‧‧資料儲存器
120‧‧‧軟體檢驗單元
121a-n‧‧‧處理器
122a-n‧‧‧資料儲存器
130‧‧‧匯流排
Claims (15)
- 一種用以處理網路訊務之系統,其包含:一個用以在硬體加速式檢驗模態中處理網路訊務之硬體加速式檢驗單元;和一個用以在軟體檢驗模態中處理網路訊務之軟體檢驗單元,其中,該軟體檢驗單元會在該軟體檢驗模態中處理該網路訊務中的一個連線以檢測一個簽章匹配,以及倘若該連線就至少該連線之某一預定數目的連續性位元組而言被該軟體檢驗單元決定為沒有錯誤,該連線會變遷至該硬體加速式檢驗模態以便被該硬體加速式檢驗單元處理。
- 如請求項1之系統,其中,若該硬體加速式檢驗單元檢測到一個潛在可能之簽章匹配,該連線會變遷回至該軟體檢驗單元以針對該連線執行深層封包檢驗。
- 如請求項2之系統,其中,若該軟體檢驗單元決定該連線具有一個簽章匹配,便會基於該簽章匹配採取一個行動。
- 如請求項1之系統,其中,該硬體加速式檢驗單元會在一個比起該軟體檢驗單元更快之速率下處理該連線。
- 如請求項1之系統,其中,在該軟體檢驗模態中,該連線會被該等硬體加速式檢驗單元和軟體檢驗單元處理。
- 如請求項1之系統,其中,在該硬體加速式檢驗模態中,該連線僅會被該硬體加速式檢驗單元處理。
- 如請求項1之系統,其中,該系統接收到的所有網路訊務至少會被該硬體加速式檢驗單元處理。
- 如請求項1之系統,其中,該系統係在一個單機式網路設備中。
- 如請求項1之系統,其中,該系統係使合併進一個網路交換器網路交換機、一個防火牆網路設備、一個收歛式安全設備、或一個刀鋒機箱中。
- 一種入侵預防系統(IPS),其包含:一個介面,其會接收網路訊務以及會輸出該網路訊務使朝向其之目的地,倘若其被該IPS決定為沒有錯誤;一個硬體加速式檢驗單元,其會在硬體加速式檢驗模態中處理該網路訊務中的一個連線,以決定該連線是否具有一個潛在可能之簽章匹配;和一個軟體檢驗單元,其會在該軟體檢驗模態中處理該連線,以決定該連線是否具有一個簽章匹配;其中,該軟體檢驗單元會在該軟體檢驗模態中處理該連線,以及倘若該連線被決定該連線就至少某一預定數目之連續性位元組為沒有錯誤,該連線會被變遷至至該硬體加速式檢驗模態,以利該硬體加速式檢驗單元處理。
- 如請求項10之IPS,其中,倘若該硬體加速式檢驗單元決定該連線具有一個潛在可能之簽章匹配,該連線會被變遷回至至該軟體檢驗單元,以針對該連線執行附加之檢驗。
- 如請求項11之IPS,其中,倘若該軟體檢驗單元決定該連線具有一個簽章匹配,該連線會被阻隔使免於自該介面傳送出。
- 如請求項10之IPS,其中,該硬體加速式檢驗單元會在一個比起該軟體檢驗單元更快速之速率下處理該連線。
- 一種用以處理網路訊務之方法,其包含:接收一個網路處理系統之介面上的一個連線;在一個軟體檢驗模態中就該連線之預定數目的位元組處理該連線,以決定該連線是否具有一個簽章匹配;以及倘若該連線就該預定數目之位元組被決定為沒有錯誤,將該連線處理變遷至一個硬體加速式檢驗模態,其中,該硬體加速式檢驗模態中之連線處理係比在該軟體檢驗模態中更快速。
- 如請求項14之方法,其包含:倘若該硬體加速式檢驗模態中之處理決定該連線具有一個潛在可能之簽章匹配,該連線處理會變遷回至該軟體檢驗模態。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/049036 WO2014021863A1 (en) | 2012-07-31 | 2012-07-31 | Network traffic processing system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| TW201406106A true TW201406106A (zh) | 2014-02-01 |
| TWI528761B TWI528761B (zh) | 2016-04-01 |
Family
ID=50028377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| TW102122177A TWI528761B (zh) | 2012-07-31 | 2013-06-21 | 網路訊務處理系統 |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9544273B2 (zh) |
| EP (1) | EP2880819A4 (zh) |
| JP (1) | JP2015528263A (zh) |
| KR (1) | KR20150037940A (zh) |
| CN (1) | CN104488229A (zh) |
| BR (1) | BR112015002323A2 (zh) |
| TW (1) | TWI528761B (zh) |
| WO (1) | WO2014021863A1 (zh) |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893113B1 (en) | 2010-06-14 | 2014-11-18 | Open Invention Network, Llc | Simultaneous operation of a networked device using multiptle disparate networks |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US8943587B2 (en) * | 2012-09-13 | 2015-01-27 | Symantec Corporation | Systems and methods for performing selective deep packet inspection |
| US9444827B2 (en) * | 2014-02-15 | 2016-09-13 | Micron Technology, Inc. | Multi-function, modular system for network security, secure communication, and malware protection |
| US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
| US10608992B2 (en) | 2016-02-26 | 2020-03-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
| US10084752B2 (en) | 2016-02-26 | 2018-09-25 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
| CN107196776A (zh) * | 2016-03-14 | 2017-09-22 | 中兴通讯股份有限公司 | 一种报文转发的方法和装置 |
| US11349852B2 (en) * | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| WO2018097422A1 (ko) * | 2016-11-24 | 2018-05-31 | 성균관대학교 산학협력단 | 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치 |
| US10841337B2 (en) * | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
| US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
| CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制***的探测方法及装置 |
| US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
| US10594713B2 (en) | 2017-11-10 | 2020-03-17 | Secureworks Corp. | Systems and methods for secure propagation of statistical models within threat intelligence communities |
| CN108377223B (zh) * | 2018-01-05 | 2019-12-06 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
| KR102011806B1 (ko) | 2018-04-12 | 2019-08-19 | 주식회사 넷커스터마이즈 | Udt 기반 트래픽 가속 방법 |
| US10785238B2 (en) | 2018-06-12 | 2020-09-22 | Secureworks Corp. | Systems and methods for threat discovery across distinct organizations |
| US11003718B2 (en) | 2018-06-12 | 2021-05-11 | Secureworks Corp. | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity |
| EP3654606B1 (en) * | 2018-11-15 | 2022-01-05 | Ovh | Method and data packet cleaning system for screening data packets received at a service infrastructure |
| US11310268B2 (en) | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
| US11418524B2 (en) | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
| US11652789B2 (en) * | 2019-06-27 | 2023-05-16 | Cisco Technology, Inc. | Contextual engagement and disengagement of file inspection |
| US11381589B2 (en) | 2019-10-11 | 2022-07-05 | Secureworks Corp. | Systems and methods for distributed extended common vulnerabilities and exposures data management |
| US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
| WO2021171093A1 (en) * | 2020-02-28 | 2021-09-02 | Darktrace, Inc. | Cyber security for a software-as-a-service factoring risk |
| US11588834B2 (en) | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
| US11671437B2 (en) * | 2020-10-13 | 2023-06-06 | Cujo LLC | Network traffic analysis |
| US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
| US12015623B2 (en) | 2022-06-24 | 2024-06-18 | Secureworks Corp. | Systems and methods for consensus driven threat intelligence |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6904519B2 (en) * | 1998-06-12 | 2005-06-07 | Microsoft Corporation | Method and computer program product for offloading processing tasks from software to hardware |
| JP3914757B2 (ja) * | 2001-11-30 | 2007-05-16 | デュアキシズ株式会社 | ウィルス検査のための装置と方法とシステム |
| US7134143B2 (en) | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
| US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| GB2407730A (en) | 2003-10-30 | 2005-05-04 | Agilent Technologies Inc | Programmable network monitoring element |
| KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
| US20060288096A1 (en) * | 2005-06-17 | 2006-12-21 | Wai Yim | Integrated monitoring for network and local internet protocol traffic |
| US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
| KR101268104B1 (ko) * | 2006-06-15 | 2013-05-29 | 주식회사 엘지씨엔에스 | 침입방지시스템 및 그 제어방법 |
| US7773516B2 (en) | 2006-11-16 | 2010-08-10 | Breakingpoint Systems, Inc. | Focused function network processor |
| US8756337B1 (en) * | 2007-08-03 | 2014-06-17 | Hewlett-Packard Development Company, L.P. | Network packet inspection flow management |
| TW201010354A (en) | 2008-08-27 | 2010-03-01 | Inventec Corp | A network interface card of packet filtering and method thereof |
| CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
| KR101017015B1 (ko) * | 2008-11-17 | 2011-02-23 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
| JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| CN103875214B (zh) * | 2011-08-10 | 2017-05-03 | 马维尔国际贸易有限公司 | 用于以太网网络的具有安全检测的智能phy |
| US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
-
2012
- 2012-07-31 EP EP12882301.0A patent/EP2880819A4/en not_active Withdrawn
- 2012-07-31 WO PCT/US2012/049036 patent/WO2014021863A1/en active Application Filing
- 2012-07-31 US US14/418,881 patent/US9544273B2/en active Active
- 2012-07-31 BR BR112015002323A patent/BR112015002323A2/pt not_active IP Right Cessation
- 2012-07-31 KR KR1020157002540A patent/KR20150037940A/ko not_active Application Discontinuation
- 2012-07-31 CN CN201280075018.7A patent/CN104488229A/zh active Pending
- 2012-07-31 JP JP2015524236A patent/JP2015528263A/ja active Pending
-
2013
- 2013-06-21 TW TW102122177A patent/TWI528761B/zh active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2015528263A (ja) | 2015-09-24 |
| WO2014021863A1 (en) | 2014-02-06 |
| KR20150037940A (ko) | 2015-04-08 |
| BR112015002323A2 (pt) | 2017-07-04 |
| CN104488229A (zh) | 2015-04-01 |
| EP2880819A4 (en) | 2016-03-09 |
| US9544273B2 (en) | 2017-01-10 |
| TWI528761B (zh) | 2016-04-01 |
| EP2880819A1 (en) | 2015-06-10 |
| US20150215285A1 (en) | 2015-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| TWI528761B (zh) | 網路訊務處理系統 | |
| US9769200B2 (en) | Method and system for detection of malware that connect to network destinations through cloud scanning and web reputation | |
| US10686814B2 (en) | Network anomaly detection | |
| US7853689B2 (en) | Multi-stage deep packet inspection for lightweight devices | |
| US10095866B2 (en) | System and method for threat risk scoring of security threats | |
| Izhikevich et al. | {LZR}: Identifying unexpected internet services | |
| EP3111614B1 (en) | Malicious encrypted network traffic identification | |
| US8707440B2 (en) | System and method for passively identifying encrypted and interactive network sessions | |
| US9124626B2 (en) | Firewall based botnet detection | |
| US10313372B2 (en) | Identifying malware-infected network devices through traffic monitoring | |
| US10257213B2 (en) | Extraction criterion determination method, communication monitoring system, extraction criterion determination apparatus and extraction criterion determination program | |
| KR20050086441A (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| Dorfinger et al. | Entropy-based traffic filtering to support real-time Skype detection | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
| WO2016014178A1 (en) | Identifying malware-infected network devices through traffic monitoring | |
| US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
| CN113328976A (zh) | 一种安全威胁事件识别方法、装置及设备 | |
| US11451584B2 (en) | Detecting a remote exploitation attack | |
| WO2024099078A1 (zh) | 检测攻击流量的方法及相关设备 | |
| Kang et al. | FPGA based intrusion detection system against unknown and known attacks | |
| Umamageswari et al. | Analysis of an Integrated Security System using Real time Network Packets Scrutiny | |
| Li et al. | An accurate distributed scheme for detection of prefix interception | |
| Stafford et al. | On the performance of SWORD in detecting zero-day-worm-infected hosts | |
| Zaw | Intrusion Alert Elimination on Network Attack Alerting System |