CN100451984C - 用于降低网络入侵检测系统的虚假警报率的方法和系统 - Google Patents
用于降低网络入侵检测系统的虚假警报率的方法和系统 Download PDFInfo
- Publication number
- CN100451984C CN100451984C CNB2004800293168A CN200480029316A CN100451984C CN 100451984 C CN100451984 C CN 100451984C CN B2004800293168 A CNB2004800293168 A CN B2004800293168A CN 200480029316 A CN200480029316 A CN 200480029316A CN 100451984 C CN100451984 C CN 100451984C
- Authority
- CN
- China
- Prior art keywords
- operation system
- destination host
- fingerprint
- memory location
- alarm
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Burglar Alarm Systems (AREA)
Abstract
根据本发明一个实施例,用于降低网络入侵检测系统的虚假警报率的计算机化方法包括:从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组,以及从所述数据分组中识别警报的特性。所述特性至少包括攻击类型和目标主机的操作系统指纹。该方法还包括从操作系统指纹中识别操作系统类型;将攻击类型与操作系统类型相比较;以及基于比较指示目标主机是否易受所述攻击影响。
Description
技术领域
本发明一般地涉及入侵检测,更具体而言,本发明涉及用于利用离线被动分析来降低网络入侵检测系统的虚假警报率的方法和系统。
背景技术
网络入侵检测系统(“NIDS”)通常被设计用于实时监控网络活动,以发现可疑的或已知恶意的活动并且将这些发现报告给适当的人。通过监视所有行为,NIDS可以相对快速地警告计算机入侵,并使管理员有时间防卫或抑制入侵,或使NIDS能够自动地对攻击作出反应并使攻击停止。在安全性工业中,NIDS可以是流量的被动观测者,或者是反应来实时阻挡攻击的主动网络组件。
NIDS中的虚假警报可以通过使用被称为被动操作系统(OS)分析的技术来降低。典型的实现方式实时地观察网络流量,以通过查看原始网络分组并将它们与已知列表匹配来辨别主机的操作系统类型。该方法要求NIDS直接访问网络流量以便工作,并具有足够处理能力来处理额外的工作量。
发明内容
根据本发明一个实施例,用于降低网络入侵检测系统的虚假警报率的计算机化方法包括:从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组,以及从所述数据分组中识别警报的特性。所述特性至少包括攻击类型和所述目标主机的操作系统指纹,所述方法还包括从所述操作系统指纹中识别操作系统类型;将所述攻击类型与所述操作系统类型相比较;以及基于所述比较指示所述目标主机是否易受所述攻击影响。
本发明的某些实施例提供了多个技术优点。其他实施例可以实现这些优点中的某些或全部,或不实现任何优点。例如,根据一个实施例,网络入侵检测系统(“NIDS”)的虚假警报率被大大降低或消除,从而降低了使人员监控NIDS以对各种警报作出响应的需求。这可以利用无需访问网络流来确定目标主机的操作系统类型的系统来辅助实现。该系统可以位于企业中的任何地方,并且可以与不同类型的NIDS,甚至不支持被动OS指纹识别的遗留NIDS,一起使用。这样的系统可以使NIDS解脱开来,从而使NIDS可以更有效地以更快速度运行。另外,根据一个实施例的离线被动分析系统辅助对位于强大而不可穿透的防火墙后面的目标主机进行分析。
从附图、描述和权利要求中,本领域技术人员可以容易地获知其他优点。
附图说明
为了更全面地理解本发明及其优点,现在结合附图参考以下描述,在附图中的相似标号代表相似部件,并且在附图中:
图1是示出根据本发明一个实施例的用于通过利用离线被动分析来降低网络入侵检测系统的虚假警报率的系统的示意图;
图2是示出根据本发明一个实施例的被动分析工具的各种功能组件的框图;
图3是示出根据本发明一个实施例的用于降低网络入侵检测系统的虚假警报率的方法的流程图;以及
图4是示出根据本发明一个实施例,可与图3的方法结合使用的方法的流程图。
具体实施方式
通过参考图1到图4,可以最好地理解本发明的实施例,其中各个附图中相似的标号被用于指示相似和相应的部分。
图1是示出根据本发明一个实施例的用于通过利用离线被动分析工具110来降低网络入侵检测系统(“NIDS”)108的虚假警报率的系统100的示意图。在所示实施例中,系统100包括耦合到链路106的NIDS108,其中链路106通信地将不受保护的网络102与受保护网络104相耦合;将NIDS 108与被动分析工具110相耦合的网络120;耦合到被动分析工具110的动态主机配置协议(“DHCP”)服务器122;以及利用被动分析工具110的网络管理员112,以下将详细描述。
不受保护的网络102可以是受保护网络104外部的任意合适的网络。不受保护的网络102的示例是因特网。受保护网络104可以是任意合适的网络,例如局域网、广域网、虚拟专用网或希望没有遭受不受保护的网络102的危害的任意其他合适的网络。链路106将不受保护的网络102耦合到受保护网络104,并且可以是任何合适的通信链路或信道。在一个实施例中,通信链路106可用于在不受保护的网络102和受保护网络104之间以“分组”形式传送数据;但是,通信链路106可以用于以其他合适的形式传送数据。
NIDS 108可以是任何合适的基于网络的入侵检测系统,该系统可用于分析通过通信链路106传送的数据分组,以便检测对受保护网络104的任意可能的攻击。NIDS 108可以是任何合适的硬件、固件和/或软件的组合。一般而言,网络入侵检测系统包括一个或多个传感器,这些传感器能够监控具有任意合适数据链路协议的任意合适类型的网络。另外,某些网络入侵检测系统是网络流量的被动观测者,并且不具有其自己的网络地址。
在本发明的特定实施例中,与NIDS 108相关联的传感器可用于利用任意合适的协议来检查IP(“因特网协议”)网络上的数据分组,其中所述协议例如是TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“因特网控制的消息协议”)。在检测到对受保护网络104的可能攻击之后,NIDS 108可用于生成指示可能发生对受保护网络104的攻击的警报。然后,警报触发分组和一个或多个与警报相关联的其他数据分组经由网络120被一道发送到被动分析工具110以用于分析,下面将更详细描述。
根据本发明一个实施例的教导,被动分析工具110是后端应用,该应用经由网络120接收来自NIDS 108的一个或多个数据分组,并使用与数据分组相关联的信息来判断攻击是真实的,还是仅仅是虚假警报。这些数据分组可以是信息流中任意合适的部分,其中包括诸如目标主机的操作系统(“OS”)指纹和攻击类型之类的警报特性,从而使被动分析工具110无需防问链路106上的网络流就能够分析可能的攻击。
以这种方式,被动分析工具110大大降低了网络环境中的网络入侵检测系统(例如NIDS 108)的虚假警报率,并且降低了使人员(例如网络管理员112)监控这些系统以对各种警报作出响应的需求。另外,被动分析工具110可以位于企业中的任何地方,并且可以与不同类型的NIDS,甚至不支持被动OS指纹识别的遗留NIDS,一起使用。在某些实施例中,被动分析工具110还可以辅助分析位于强大而不可穿透的防火墙后面的目标主机。
被动分析工具110的细节将在下面结合图2到图4来更详细地描述。如图1所示,被动分析工具经由网络120耦合到NIDS 108,该网络120可以是任意合适的网络或网络的组合,例如局域网、广域网、全球网、虚拟专用网或任意其他合适的网络。
网络管理员112可以是利用被动分析工具110在适当地监控对受保护网络104的可能攻击,并对此作出响应的任意合适的人员。在一个实施例中,网络管理员112具有位于他或她的计算机上的被动分析工具110,以便接收来自被动分析工具的经过滤的警报,如标号114所指出的。
图2是示出根据本发明一个实施例的被动分析工具110的各种功能组件的框图。本发明考虑了比图2所示组件更多、更少或不同的组件。在所示实施例中,被动分析工具110包括警报输入层202、警报解释层204、目标缓存查找206、被动离线指纹识别机制208和警报输出层210。现在先描述这些组件中的每一个的一般功能,然后再结合图3和图4对被动分析工具110的功能进行更详细的描述。
警报输入层202一般负责接收来自NIDS 108的数据分组,并判断警报格式是否是有效的。如果警报格式无效,则不考虑该警报。如果警报格式有效,则将该警报发送到警报解释层204。警报输入层202优选地被设计成与NIDS供应商无关,以使其能够在无需修改的情况下并发接受来自多个NIDS源的警报。在一个实施例中,警报输入层202也可以接受来自不支持被动OS指纹识别的遗留NIDS的警报。
一般而言,警报解释层204接收来自警报输入层202的数据分组并对警报执行分析。在一个实施例中,警报解释层204判断警报是否来自所支持的NIDS供应商。如果警报并非来自所支持的NIDS供应商,则生成警告并且不考虑该警报。如果该警报是来自所支持的NIDS供应商,警报解释层204则负责识别攻击类型、正被攻击的相关操作系统类型(例如Microsoft Windows、Sun Solaris、Linux、UNIX等等)、源地址、目标网络地址、警报严重性、警报描述和与警报相关联的任何其他合适的参数。某些这种信息被被动分析工具110用于测试该警报是真实的还是虚假的,下面将结合图3和图4来更详细描述。
目标缓存查找206指示由被动分析工具110执行查找,以便判断是否已针对警报指示的特定攻击检查了目标主机。该查找可以在任意合适的存储位置中执行,例如在本地状态表或数据库中执行。
被动离线指纹识别机制208通过从接收到的数据分组中识别目标主机的包括操作系统类型的操作系统指纹,并将操作系统类型与攻击类型相比较,来执行对目标主机的被动分析。这种OS指纹识别的优点在于它不需要访问网络流。被动离线指纹识别机制208可以将该信息存储在合适的存储位置中,以用于随后的检索和使用。
警报输出层210负责从被动分析工具110获取经分析的数据,并且逐步升级或逐步降级该警报。换言之,警报输出层210用于报告有效警报,即表明特定目标主机易受攻击的警报。有效警报可以以任何合适的方式被报告,例如经由图形用户界而、日志文件、存储在数据库中、或任意其他合适的输出。在一个实施例中,有效警报经由任意合适的方法被自动报告给网络管理员112。
下面将参考图3和图4来描述根据本发明一个实施例的被动分析工具110的功能的细节。
图3是示出根据本发明一个实施例的用于降低网络入侵检测系统的虚假警报率的示例方法的流程图。该示例方法开始于步骤300,在步骤300中,被动分析工具110从NIDS 108接收与警报相关联的一个或多个数据分组。如上所述,这些数据分组可以是信息流的任意合适的部分,并且可以经由网络120或其他合适的通信装置被传输到被动分析工具110。从数据分组中,被动分析工具110识别攻击类型(如步骤302所指示),以及目标主机的操作系统指纹(如步骤304所指示)。目标主机的操作系统类型可以由被动分析工具110从OS指纹中识别出,如步骤306所指示的。
在步骤308中,被动分析工具110将攻击类型与目标主机的操作系统类型相比较。在判断步骤310中,判断目标主机的操作系统类型是否与攻击类型匹配。如果存在匹配,则通过步骤12报告经确认的警报。在一个实施例中,经确认的警报以任意合适的方式被报告给网络管理员112。如果不存在匹配,则指示虚假警报,如步骤314所指示的。例如,如果攻击类型是针对Windows系统而操作系统指纹示出Windows主机,则确认警报。但是,如果攻击类型是针对Windows系统而操作系统指纹示出UNIX主机,则指示虚假警报。这使图3概括的示例方法结束。
虽然图3概括的方法是参考将操作系统类型与攻击类型相比较的被动分析工具110来描述的,但是可以将操作系统的其他合适的特性与攻击的相关特性相比较,以便判断警报是真实的,还是虚假的。这依赖于从NIDS 108经由数据分组传递的信息的类型。
因此,被动分析工具110是一种智能过滤技术,该技术在无需访问受保护网络104的同时筛选出可能的虚假警报。警报输入被从部署的NIDS(例如NIDS 108)接收到,并被分析以判断攻击是真实的,还是虚假警报。
图4是示出根据本发明一个实施例的可与图3概括的示例方法结合使用的示例方法的流程图。图4中的示例方法开始于步骤400,在步骤400中,被动分析工具110对DHCP服务器122(图1)进行监控。本发明考虑了由被动分析工具110监控任意合适的动态配置协议服务器。在步骤402处,被动分析工具110检测到租约行为。在判断步骤404处,判断是检测到租约发布,还是检测到租约期满。
如果被动分析工具110检测到租约期满,则访问系统缓存,如步骤406是指示。在判断步骤408处,判断在系统缓存中是否找到与租约期满相关联的目标地址。如果在系统缓存中找到目标地址,则在步骤410处从系统缓存清除该条目。然后被动分析工具110继续监控DHCP服务器。如果在系统缓存中未找到目标地址,则不考虑该租约期满,如步骤412所示。被动分析工具110继续监控DHCP服务器。
返回参考判断步骤404,如果检测到租约发布,则访问系统缓存,如步骤414所示。在判断步骤416处,判断在系统缓存中是否找到与该租约发布相关联的目标地址。如果找到目标地址,则在步骤418中清除该条目。如果在系统缓存中未找到目标地址,被动分析工具110则继续监控DHCP服务器。
图4概括的方法解决受保护网络104中主机的动态添加、减少或修改,使得不需要受保护网络104的现有知识。这大大节省了时间和金钱,并且比需要网络的现有知识的现有系统更精确。被动分析工具110可以更精确地跟踪受保护网络104中的目标主机的变化。
虽然结合若干实施例描述了本发明,但是可以建议本领域技术人员执行各种改变、变化、替换、变形和修改,并且本发明希望覆盖这样的改变、变化、替换、变形和修改,只要它们落入所附权利要求书的范围即可。
Claims (21)
1.一种用于降低网络入侵检测系统的虚假警报率的计算机化方法,包括:
从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组;
从所述数据分组中识别所述警报的特性,该特性至少包括攻击类型和所述目标主机的操作系统指纹;
从所述操作系统指纹中识别操作系统类型;
将所述攻击类型与所述操作系统类型相比较;以及
基于所述比较指示所述目标主机是否易受所述攻击影响。
2.如权利要求1所述的计算机化方法,还包括将所述目标主机的操作系统指纹在存储位置中存储一段时间。
3.如权利要求1所述的计算机化方法,还包括:
监控动态配置协议服务器;
检测到已发生针对新目标主机的租约发布;
访问存储位置;
判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中;以及
如果所述新目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述新目标主机的操作系统指纹。
4.如权利要求1所述的计算机化方法,还包括:
监控动态配置协议服务器;
检测到已发生针对现有目标主机的租约期满;
访问存储位置;
判断所述现有目标主机的操作系统指纹是否已存在于所述存储位置中;以及
如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满;并且
如果所述现有目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹。
5.如权利要求1所述的计算机化方法,还包括:
在接收到所述数据分组之后,判断所述警报的格式是否有效;以及
如果所述格式无效,则不考虑所述警报;否则
如果所述格式有效,则继续所述计算机化方法的所述识别特性的步骤。
6.如权利要求1所述的计算机化方法,还包括如果所述目标主机易受所述攻击的影响,则自动警告网络管理员。
7.一种用于降低网络入侵检测系统的虚假警报率的系统,包括:
网络入侵检测系统,该系统可用于发送与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组;
包含在计算机可读介质中的软件程序,该软件程序在被处理器执行时可用于:
接收所述一个或多个数据分组;
从所述数据分组中识别所述警报的特性,该特性至少包括攻击类型和所述目标主机的操作系统指纹;
从所述操作系统指纹中识别操作系统类型;
将所述攻击类型与所述操作系统类型相比较;以及
基于所述比较指示所述目标主机是否易受所述攻击的影响。
8.如权利要求7所述的系统,还包括可用于将所述目标主机的操作系统指纹存储一段时间的存储位置。
9.如权利要求7所述的系统,其中所述软件程序还可用于:
监控动态配置协议服务器;
检测到已发生针对新目标主机的租约发布;
访问存储位置;
判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中;以及
如果所述新目标主机的操作系统指纹确实存在,则所述软件程序还可用于从所述存储位置中清除存在的所述新目标主机的操作系统指纹。
10.如权利要求7所述的系统,其中所述软件程序还可用于:
监控动态配置协议服务器;
检测到已发生针对现有目标主机的租约期满;
访问存储位置;
判断所述现有目标主机的操作系统指纹是否已存在于所述存储位置中;以及
如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满;并且
如果所述现有目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹。
11.如权利要求7所述的系统,其中所述软件程序还可用于如果所述目标主机易受所述攻击的影响,则自动警告网络管理员。
12.如权利要求7所述的系统,其中所述软件程序不具有受保护网络体系结构的知识。
13.如权利要求7所述的系统,其中所述软件程序不访问所述受保护网络。
14.如权利要求7所述的系统,其中所述网络入侵检测系统与供应商无关。
15.如权利要求7所述的系统,其中所述网络入侵检测系统不支持被动操作系统指纹识别。
16.一种用于降低网络入侵检测系统的虚假警报率的系统,包括:
用于从网络入侵检测传感器接收与指示对目标主机的可能攻击的警报相关联的一个或多个数据分组的装置;
用于从所述数据分组中识别所述警报的特性的装置,该特性至少包括攻击类型和所述目标主机的操作系统指纹;
用于从所述操作系统指纹中识别操作系统类型的装置;
用于将所述攻击类型与所述操作系统类型相比较的装置;以及
用于基于所述比较指示所述目标主机是否易受所述攻击影响的装置。
17.如权利要求16所述的系统,还包括用于将所述目标主机的操作系统指纹存储一段时间的装置。
18.如权利要求16所述的系统,还包括:
用于监控动态配置协议服务器的装置;
用于检测已发生针对新目标主机的租约发布的装置;
用于访问存储位置的装置;
用于判断所述新目标主机的操作系统指纹是否已存在于所述存储位置中的装置;以及
用于如果所述新目标主机的操作系统指纹确实存在,则从所述存储位置中清除存在的所述新目标主机的操作系统指纹的装置。
19.如权利要求16所述的系统,还包括:
用于监控动态配置协议服务器的装置;
用于检测已发生针对现有目标主机的租约期满的装置;
用于访问存储位置的装置;
用于判断针对所述现有目标主机的操作系统指纹是否已存在于所述存储位置中的装置;以及
用于如果所述现有目标主机的操作系统指纹不存在,则不考虑所述租约期满的装置;以及
用于如果所述现有目标主机的操作系统指纹存在,则从所述存储位置中清除存在的所述现有目标主机的操作系统指纹的装置。
20.如权利要求16所述的系统,还包括:
用于在接收到所述数据分组之后,判断所述警报的格式是否有效的装置;以及
用于如果所述格式无效,则不考虑所述警报的装置。
21.如权利要求16所述的系统,还包括用于如果所述目标主机易受所述攻击的影响,则自动警告网络管理员的装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/685,726 US7805762B2 (en) | 2003-10-15 | 2003-10-15 | Method and system for reducing the false alarm rate of network intrusion detection systems |
US10/685,726 | 2003-10-15 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1864182A CN1864182A (zh) | 2006-11-15 |
CN100451984C true CN100451984C (zh) | 2009-01-14 |
Family
ID=34520660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004800293168A Active CN100451984C (zh) | 2003-10-15 | 2004-10-06 | 用于降低网络入侵检测系统的虚假警报率的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7805762B2 (zh) |
EP (1) | EP1673749A2 (zh) |
CN (1) | CN100451984C (zh) |
AU (1) | AU2004284766A1 (zh) |
CA (1) | CA2541926A1 (zh) |
WO (1) | WO2005041141A2 (zh) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7506374B2 (en) * | 2001-10-31 | 2009-03-17 | Computer Associates Think, Inc. | Memory scanning system and method |
US7801980B1 (en) | 2003-05-12 | 2010-09-21 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US7526806B2 (en) * | 2003-11-05 | 2009-04-28 | Cisco Technology, Inc. | Method and system for addressing intrusion attacks on a computer system |
US7904960B2 (en) * | 2004-04-27 | 2011-03-08 | Cisco Technology, Inc. | Source/destination operating system type-based IDS virtualization |
EP1751957A1 (fr) * | 2004-05-10 | 2007-02-14 | France Télécom | Suppression de fausses alertes parmi les alertes issues de sondes de detection d'intrusions d'un systeme d'informations surveille |
US7733803B2 (en) | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
US8676963B1 (en) | 2006-07-31 | 2014-03-18 | Insecure.Com LLC | Determining an attribute of a target computer |
US8458308B1 (en) * | 2006-08-23 | 2013-06-04 | Infoblox Inc. | Operating system fingerprinting |
US8474043B2 (en) | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
US7895659B1 (en) * | 2008-04-18 | 2011-02-22 | The United States Of America As Represented By The Director, National Security Agency | Method of assessing security of an information access system |
WO2010045089A1 (en) | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
EP2559217B1 (en) | 2010-04-16 | 2019-08-14 | Cisco Technology, Inc. | System and method for near-real time network attack detection, and system and method for unified detection via detection routing |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) * | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
CN102281163A (zh) * | 2011-09-19 | 2011-12-14 | 南京大学 | 一种网络入侵检测报警的方法 |
CN103441982A (zh) * | 2013-06-24 | 2013-12-11 | 杭州师范大学 | 一种基于相对熵的入侵报警分析方法 |
CN104301330B (zh) * | 2014-10-29 | 2017-09-15 | 云南大学 | 基于异常行为监测和成员亲密度测量的陷阱网络检测方法 |
CN104519068A (zh) * | 2014-12-26 | 2015-04-15 | 赵卫伟 | 一种基于操作系统指纹跳变的移动目标防护方法 |
WO2016206751A1 (en) * | 2015-06-26 | 2016-12-29 | Telefonaktiebolaget Lm Ericsson (Publ) | Method and apparatus for managing traffic received from a client device in a communication network |
US10243983B2 (en) * | 2015-12-08 | 2019-03-26 | Sudhir Pendse | System and method for using simulators in network security and useful in IoT security |
JP6599819B2 (ja) * | 2016-06-02 | 2019-10-30 | アラクサラネットワークス株式会社 | パケット中継装置 |
CN105959321A (zh) * | 2016-07-13 | 2016-09-21 | 中国人民解放军理工大学 | 网络远程主机操作系统被动识别方法及装置 |
CN110868409A (zh) * | 2019-11-08 | 2020-03-06 | 中国科学院信息工程研究所 | 一种基于tcp/ip协议栈指纹的操作系统被动识别方法及系统 |
CN111565203B (zh) * | 2020-07-16 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 业务请求的防护方法、装置、系统和计算机设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001084270A2 (en) * | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for intrusion detection in a computer network |
CN1350228A (zh) * | 2001-12-04 | 2002-05-22 | 上海复旦光华信息科技股份有限公司 | Windows nt进程自动保护系统 |
WO2003084181A1 (en) * | 2002-03-29 | 2003-10-09 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
Family Cites Families (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69528251T2 (de) | 1995-05-08 | 2003-08-07 | Koninkl Kpn Nv | Anordnung und Methode für Protokollumsetzung |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5919257A (en) | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US5961644A (en) | 1997-09-19 | 1999-10-05 | International Business Machines Corporation | Method and apparatus for testing the integrity of computer security alarm systems |
US6148407A (en) | 1997-09-30 | 2000-11-14 | Intel Corporation | Method and apparatus for producing computer platform fingerprints |
US6070244A (en) | 1997-11-10 | 2000-05-30 | The Chase Manhattan Bank | Computer network security management system |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6408391B1 (en) | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
US6182223B1 (en) | 1998-06-10 | 2001-01-30 | International Business Machines Corporation | Method and apparatus for preventing unauthorized access to computer-stored information |
US6282546B1 (en) | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
US6134664A (en) | 1998-07-06 | 2000-10-17 | Prc Inc. | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources |
DE69817176T2 (de) | 1998-09-09 | 2004-06-24 | International Business Machines Corp. | Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen |
US6460141B1 (en) | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
US6564216B2 (en) | 1998-10-29 | 2003-05-13 | Nortel Networks Limited | Server manager |
US6415321B1 (en) | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
US6301668B1 (en) | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6839850B1 (en) | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US6725377B1 (en) | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
US6405318B1 (en) | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
WO2000070464A1 (en) | 1999-05-14 | 2000-11-23 | L-3 Communications Corporation | Object oriented security analysis tool |
US7073198B1 (en) * | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US6647400B1 (en) | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6957348B1 (en) | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US7159237B2 (en) | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
WO2002019077A2 (en) | 2000-09-01 | 2002-03-07 | Sri International, Inc. | Probabilistic alert correlation |
US6950845B2 (en) | 2000-10-23 | 2005-09-27 | Amdocs (Israel) Ltd. | Data collection system and method for reducing latency |
DE60230601D1 (zh) | 2001-01-10 | 2009-02-12 | Cisco Tech Inc | |
US20030056116A1 (en) | 2001-05-18 | 2003-03-20 | Bunker Nelson Waldo | Reporter |
US7237264B1 (en) | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US7231665B1 (en) * | 2001-07-05 | 2007-06-12 | Mcafee, Inc. | Prevention of operating system identification through fingerprinting techniques |
US7197762B2 (en) | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
US7444679B2 (en) | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
US6714513B1 (en) | 2001-12-21 | 2004-03-30 | Networks Associates Technology, Inc. | Enterprise network analyzer agent system and method |
US7152105B2 (en) * | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US6941467B2 (en) | 2002-03-08 | 2005-09-06 | Ciphertrust, Inc. | Systems and methods for adaptive message interrogation through multiple queues |
US20030196123A1 (en) * | 2002-03-29 | 2003-10-16 | Rowland Craig H. | Method and system for analyzing and addressing alarms from network intrusion detection systems |
KR100456635B1 (ko) | 2002-11-14 | 2004-11-10 | 한국전자통신연구원 | 분산 서비스 거부 공격 대응 시스템 및 방법 |
US7412723B2 (en) * | 2002-12-31 | 2008-08-12 | International Business Machines Corporation | Method and system for morphing honeypot with computer security incident correlation |
US20050005152A1 (en) * | 2003-07-01 | 2005-01-06 | Navjot Singh | Security vulnerability monitor |
US7228564B2 (en) * | 2003-07-24 | 2007-06-05 | Hewlett-Packard Development Company, L.P. | Method for configuring a network intrusion detection system |
US7904960B2 (en) | 2004-04-27 | 2011-03-08 | Cisco Technology, Inc. | Source/destination operating system type-based IDS virtualization |
NO20050564D0 (no) | 2005-02-02 | 2005-02-02 | Tore Lysemose Hansen | Programmonitor for a identifisere uautorisert inntrenging i datasystemer |
WO2007122495A2 (en) | 2006-04-21 | 2007-11-01 | Axalto Sa | A framework for protecting resource-constrained network devices from denial-of-service attacks |
-
2003
- 2003-10-15 US US10/685,726 patent/US7805762B2/en active Active
-
2004
- 2004-10-06 CN CNB2004800293168A patent/CN100451984C/zh active Active
- 2004-10-06 EP EP04794354A patent/EP1673749A2/en not_active Withdrawn
- 2004-10-06 CA CA002541926A patent/CA2541926A1/en not_active Abandoned
- 2004-10-06 AU AU2004284766A patent/AU2004284766A1/en not_active Abandoned
- 2004-10-06 WO PCT/US2004/032976 patent/WO2005041141A2/en active Application Filing
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001084270A2 (en) * | 2000-04-28 | 2001-11-08 | Internet Security Systems, Inc. | Method and system for intrusion detection in a computer network |
CN1350228A (zh) * | 2001-12-04 | 2002-05-22 | 上海复旦光华信息科技股份有限公司 | Windows nt进程自动保护系统 |
WO2003084181A1 (en) * | 2002-03-29 | 2003-10-09 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
Also Published As
Publication number | Publication date |
---|---|
WO2005041141A2 (en) | 2005-05-06 |
US20050086522A1 (en) | 2005-04-21 |
CN1864182A (zh) | 2006-11-15 |
AU2004284766A1 (en) | 2005-05-06 |
CA2541926A1 (en) | 2005-05-06 |
WO2005041141A3 (en) | 2006-02-09 |
EP1673749A2 (en) | 2006-06-28 |
US7805762B2 (en) | 2010-09-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100451984C (zh) | 用于降低网络入侵检测系统的虚假警报率的方法和系统 | |
CN1643876B (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
CN106101130B (zh) | 一种网络恶意数据检测方法、装置及系统 | |
WO2001084270A2 (en) | Method and system for intrusion detection in a computer network | |
US20060190993A1 (en) | Intrusion detection in networks | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN111726357A (zh) | 攻击行为检测方法、装置、计算机设备及存储介质 | |
CN1946077A (zh) | 基于及早通知检测异常业务的系统和方法 | |
CN113691566B (zh) | 基于空间测绘和网络流量统计的邮件服务器窃密检测方法 | |
US20150172302A1 (en) | Interface for analysis of malicious activity on a network | |
CN109787964B (zh) | 进程行为溯源装置和方法 | |
CN111786986A (zh) | 一种数控系统网络入侵防范系统及方法 | |
CN110955890B (zh) | 恶意批量访问行为的检测方法、装置和计算机存储介质 | |
Yu et al. | TRINETR: an intrusion detection alert management systems | |
CN112650180B (zh) | 安全告警方法、装置、终端设备及存储介质 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN111859386A (zh) | 基于行为分析的木马检测方法及系统 | |
CN100424609C (zh) | 分析和处理来自网络入侵检测系统的警报的方法和系统 | |
CN113965394A (zh) | 网络攻击信息获取方法、装置、计算机设备和介质 | |
KR20060026293A (ko) | 네트워크 취약성 정보를 이용하여 오탐을 방지하는침입탐지 장치, 시스템 및 그 방법 | |
CN117155696A (zh) | 网络连接威胁检测方法、装置、设备及存储介质 | |
CN117938453A (zh) | 面向工业物联网的入侵追踪检测和拦截清除方法和系统 | |
CN117411676A (zh) | 告警关联确定方法、设备以及计算机可读存储介质 | |
Husna et al. | Detecting Network’s Attack using SNORT with Raspberry Pi | |
KR20070070566A (ko) | 이기종간 침입탐지 정보관리를 위한 저장 및 관리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |