CN100463409C - 网络安全系统和方法 - Google Patents
网络安全系统和方法 Download PDFInfo
- Publication number
- CN100463409C CN100463409C CNB2005100047653A CN200510004765A CN100463409C CN 100463409 C CN100463409 C CN 100463409C CN B2005100047653 A CNB2005100047653 A CN B2005100047653A CN 200510004765 A CN200510004765 A CN 200510004765A CN 100463409 C CN100463409 C CN 100463409C
- Authority
- CN
- China
- Prior art keywords
- information
- packets
- network
- processor
- result
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一个网络安全系统和方法披露于此。本网络安全系统包含专用于信息包的处理器用来对网络流量受到的静态攻击执行第一道的硬件过滤,以及一个配有软件过滤器的主机系统用来对网络流量受到的动态攻击执行第二道的软件过滤。本网络安全方法中,针对静态网络流量攻击实施硬件过滤,根据对硬件过滤的结果和预定时间内进入的信息包产生的包流的分析来针对动态网络流量攻击实施软件过滤,并且根据软件过滤结果的累积与分析来将侵扰防止的信息提供到管理者。
Description
技术领域
本发明一般涉及网络安全系统与方法,特别地涉及采用基于专门用途的集成电路的、专用于信息包的处理器,来探测和阻塞网络流量攻击的网络安全系统和方法,从而可以高速地、无损失地处理网络流量,所以该系统和方法可以对网络流量攻击执行硬件过滤并在预定时间内分析流量,还可以对诸如拒绝服务攻击之类的动态攻击执行硬件过滤并根据累积的流量统计信息提供攻击防止的信息。
背景技术
一般为防止网络流量攻击,在单独的主机情况可安装防火墙,而在网络的情况下则是预先在网关一级安装基于软件或硬件的防止攻击的系统。
在安装了七层应用开关来防止网络流量攻击的情况,是这样来防止特定的攻击的:采用内容过滤功能来分析攻击并且揭露它的模式。
在网关一级基于软件和硬件的常规的阻塞系统的结构的一部分为安装在通用的网卡上,可分为内网和外网两个单元,采用软件方式处理网络信息包来阻塞网络流量攻击并将相关信息传给管理者,其结构的另一部分为通用的计算机系统其内置的硬件里安装了分离的操作系统(OS),这两部分彼此通过外设组件互连(PCI)接口来联系,内置的硬件阻塞或通过高速流量往来,除了内置的硬件的主要功能外,通用系统还执行一些功能,诸如对管理者发送一个报警的功能。
在单独主机上安装的防火墙对于传到主机来的网络信息包,根据访问控制政策,执行通过或阻塞网络信息包的功能。防火墙目标在于防止未经授权的用户来访问此网络以利用或干扰此计算机的资源,或将重要信息泄露出去。
基于软件的阻塞系统采用软件引擎根据安全规则进行探测和阻塞来执行通过或者阻塞从网卡输入的信息包的功能。基于硬件的阻塞系统在它的具有分离的OS、存储器和中央处理单元(CPU)的内置系统里有一个引擎来进行探测和阻塞。该基于硬件的阻塞系统在执行上述安全功能时将相关信息与一个通用计算机通信使通用计算机处理这些信息。
在网络来的信息包通过此七层应用开关时,七层应用开关对信息包的数据部分执行模式匹配,阻塞那些被确定为攻击包的信息包,从而能防卫本系统免遭外来的攻击。
基于主机的防火墙存在的问题是,跟网络规模相比,让一个管理者来管理防火墙要困难得多。这种仅基于软件的阻塞系统存在的问题是,在发生来自流量的攻击时对攻击的阻塞率会下降,因为增加了的往来流量使得加在系统上的负载也正比增大从而使得系统对流量的处理率下降。
这种七层应用开关存在的缺陷在于当过滤信息包的内容时上述性能的下降以及可能发生的设备的故障。
在基于硬件的阻塞系统,除了用上述它的内置系统来执行其主要的阻塞功能外,其余的功能是采用基于Windows OS操作系统的通用计算机来执行的。对于必须将多个阻塞系统从整体上加以管理的大规模网络的环境上述基于硬件的阻塞系统显然是不够的。此外,上述的将内置的系统直接耦合到通用计算机系统的办法也引起通用计算机在除了阻塞操作之外的别的操作的稳定性问题,于是也直接影响到内置系统的阻塞功能。
可将网络流量攻击分为二类:可以从检查单个信息包而探测出其攻击特性的那些攻击,和必须分析连续的信息包流才能探测到的那些攻击。因为上述的常规的网络安全系统对于信息包流和单个信息包同时执行检查,就引起信息包传输的延迟。上述的含有CPU、ROM、RAM等主要组件的内置系统对于实时地/全流量地处理有局限性,因为需要用软件操作来确定是否发生了侵扰。
此外,常规的安全技术采用专用的板根据对单个信息包的检查来评估攻击,可是这种专用的板是有问题的,因为它没有配备基于分离的CPU/ROM/RAM的软件操作来进行实时地/全流量地处理。
发明内容
因此,本发明就是为了针对现有技术的上述问题的,本发明的目标在于提供一种网络安全系统和方法,采用安装在高容量网络环境的网络(诸如G位网络gigabit network和线内方式in-line mode)上的整合了的软件和硬件的过滤技术处理实时地进行对网络上的多级攻击的探测和阻塞,来执行反常流量的分析与阻塞,并且实时地将有关信息传给管理者。
为了达到上述目标,本发明提供了一个网络安全系统,它包含一个专用于信息包的处理器对网络流量的静态攻击执行第一道的硬件过滤,以及一个配备了软件过滤器的主机系统对网络流量的动态攻击执行第二道的软件过滤。
在此情况,硬件过滤过程根据已定的安全规则对输入的信息包执行模式匹配,软件过滤过程将专用于信息包的处理器的处理结果有选择地传给软件过滤器以对预定时间内产生的信息包流作分析。专用于信息包的处理器的处理结果包括关于输入专用于信息包的处理器的信息包的阻塞结果的信息、被专用于信息包的处理器第一道过滤掉的信息包的信息、输入专用于信息包的处理器的所有信息包的信息及所有信息包的报头信息。
此网络安全系统还包含一个遥控管理系统,来制定应用到专用于信息包的处理器和软件过滤器的安全规则,并且在线传送安全规则;以及一个网络流量分析系统,来从专用于信息包的处理器和软件过滤器接收网络流量信息,积累和分析网络流量信息,并且将侵扰防止的信息提供给管理者。
按照本发明的另一个实施方案的网络安全系统包含一个以透明方式连接到网络的网关的阻塞系统,来阻塞对网络的流量攻击;及一个遥控管理系统,来制定应用到专用于信息包的处理器和软件过滤器的安全规则,并且在线传送安全规则;以及一个网络流量分析系统,来从专用于信息包的处理器和软件过滤器接收网络流量信息,积累和分析网络流量信息,并且将侵扰防止的信息提供给管理者。
在此情况中,该阻塞系统包含一个专用于信息包的处理器对网络流量的静态攻击执行第一道的硬件过滤,以及一个配备了软件过滤器的主机系统对网络流量的动态攻击执行第二道的软件过滤。
按照本发明的网络安全方法包含对静态网络流量攻击执行硬件过滤的步骤;根据预定时间内输入信息包产生的信息包流和硬件过滤器的分析结果对动态网络流量攻击执行软件过滤的步骤;根据软件过滤器结果的累积分析将侵扰防止信息提供到管理者的步骤。
此方法还包含传送建立静态安全规则和动态安全规则、阻塞日志数据管理和别的在线安全管理的信息的步骤。
执行硬件过滤的步骤包含以下步骤:从网络和网关接收信息包;根据已定安全规则实时地分析信息包的报头和内容信息;不论信息包的形状和体积、实时地搜寻和阻塞违反安全规则的信息包。
执行软件过滤的步骤包含以下步骤:接收硬件过滤的结果和信息包的信息;利用硬件过滤的结果发送警报到管理者并且利用信息包的信息执行动态攻击过滤;将动态攻击过滤结果传送到遥控管理系统。
动态攻击过滤的过程包含:积累信息包信息,根据预定的动态攻击安全规则和排定的阻塞规则分析预定时间内流量的变化,如果确定了流量为反常流量并且超过了阈值就将阻塞规则传到反措施管理模块并且传到专用于信息包的处理器。
附图说明
结合所附各图及后面的详述,可以更清楚地理解本发明的上述的和别的对象、特征和优点:
图1显示一个装配了本发明的网络安全系统的网络的结构的方框图;
图2显示图1的阻塞系统的结构的方框图;
图3显示图2的主机系统里所配备的软件过滤器的内部模块之间的功能流的方框图;
图4显示图1的遥控管理系统的结构的方框图;
图5显示图1的网络流量分析系统的结构的方框图。
具体实施方式
在不同附图中,采用同一图标表示相同或相似的组件。
图1显示一个装配了本发明的网络安全系统的网络结构的方框图。
参照图1,客户机11和服务器12连接到因特网,即外部网络,反常流量分析/阻塞系统(此后简称为“阻塞系统”)14连接到内部网络的网关13来阻塞来自外部网络的网络流量攻击从而保护内部网络目前的网络环境以免发生透明模式会带来的问题。
阻塞系统14对于内部网络上的所有主机和连接到因特网的所有主机之间的全部通信流量执行实时攻击探测与阻塞,并把结果传送到管理控制台,即遥控管理系统50。
阻塞系统14包含一个安装在PCI类型的插卡上的专用于信息包的处理器以及一个配备了这个专用于信息包的处理器的主机系统。阻塞系统14通过所述专用于信息包的处理器和该主机系统来对网络流量受到的攻击连续地执行硬件过滤和软件过滤。
遥控管理系统50可以创立阻塞系统14适用的规则,并可对阻塞系统14在线传送和执行安全规则。
阻塞系统14配备了分开的网络接口卡来跟遥控管理系统50通信,从而遥控管理系统50可同时整体地管理阻塞系统14的多个方面。
本发明的网络安全系统的结构和运作详述如下。
阻塞系统14包含一个专用于信息包的处理器,它安装在一个具有网络接口、静态RAM(SRAM)、和装载有静态规则(即对抗攻击的信息)的PCI接口的插卡上,从而使得阻塞系统14可以通过专用于信息包的处理器对静态的网络流量攻击作第一道的过滤。
处理结果,包括:关于对进入的信息包的阻塞结果的信息、关于信息包被专用于信息包的处理器作第一道过滤的信息、关于进入专用于信息包的处理器的所有信息包的信息、以及关于按照特定条件的信息包的部分信息,被有选择地传送到阻塞系统的主机系统中安装的软件过滤器里,利用所述处理结果来分析预定时间里所产生的信息包流,并且对“拒绝服务(DoS)”攻击之类的动态攻击执行第二道过滤。
亦即,在阻塞系统14里,执行对网络流量受到的攻击的探测和阻塞任务的专用于信息包的处理器是采用“专用集成电路(ASIC)”来实施的。阻塞系统14通过接收网络信息包并根据一定的规则(静态安全规则)对网络信息包做模式匹配,从而执行第一道的硬件过滤。阻塞系统14通过将上述处理结果,即:关于对进入的信息包的阻塞结果的信息、关于信息包被专用于信息包的处理器作第一道过滤的信息、关于进入专用于信息包的处理器的所有信息包的信息、以及关于按照特定条件(例如,所有的信息包的报头信息)的信息包的部分信息,有选择地传送给软件过滤器并且利用上述处理结果来分析在预定时间里产生的信息包流,从而执行第二道的软件过滤。
在此情况,静态攻击是指可以只用收集到的单个信息包探测其攻击特征的那些攻击,例如基于签名的攻击,而动态攻击是指必须对预定时间内收集到的信息包流作分析才能探测出来的攻击,例如DoS攻击或者一种反常的攻击。
通过阻塞系统14得到的网络流量信息被传送到一个分开的网络流量分析系统60,此网络流量分析系统60积累并分析这些信息然后向管理者提供侵扰防止的信息。
在此情况,网络流量分析系统60是这样一个系统,它既可安装在遥控管理系统50内,也可独立运作。
管理阻塞日志数据、建立静态安全规则和动态安全规则、建立专用于信息包的处理器和软件过滤器的环境的管理功能以及别的安全管理功能的实施结构采用了在传输控制协议/因特网协议(TCP/IP)环境的插口连接到遥控管理系统50,从而可以构建成大规模集成的环境。
阻塞系统14接受阻塞日志信息、将它储存到其数据库(DB)内并通过email或短信息服务(SMS)将阻塞日志信息传送到管理者来执行第二报警功能。
图2显示图1的阻塞系统的结构的方框图。
参照图2,该阻塞系统包含专用于信息包的处理器20用于对网络流量受到的静态攻击作第一道的硬件过滤,以及一个主机系统27用于对网络流量受到的动态攻击(例如,DoS攻击)作第二道的软件过滤。
专用于信息包的处理器20配备了ASIC构成的大型、专用于处理网络流量的模式搜寻引擎(PSE)24,它能实时地处理往来流量双向2G位/秒(Gbps)的信息,而不论G位环境的线内方式的信息包的体积大小。
基于这种信息包的处理能力,不论信息包的形状和体积,专用于信息包的处理器20都能实时地分析信息包的报头信息和内容并且根据既定的安全规则将违反安全规则的信息包探测出来加以阻塞,从而稳定而透明地处理信息包。
专用于信息包的处理器20中的以太网控制器(此后简称“PHY”)21使得G位线接口输入信息包,使得线内控制器(ILC)22处理进来的信息包,并执行第二层功能。下一步,以太网控制器21执行将处理过的信息包再次输出到网络线上的功能,这些信息包都曾被输入到专用于信息包的处理器20内并且在专用于信息包的处理器20里被处理过。
ILC 22分析PHY 21输入的信息包,然后将报头信息和内容,即模式,分别传送到报头搜寻引擎(HSE)23和模式搜寻引擎(PSE)24,然后利用这两个引擎,即HSE 23和PSE 24,分析得出的结果来转送信息包(到主机系统)。
被诸如PSE 24和HSE 23等内部块建立的信息,从遥控的管理系统50经过主机系统27和PCI控制器26传回来,又被传到相应的块(PSE24和HSE 23)内,而含有信息包处理结果的信息被通过PCI控制器26传送到主机系统27。
上述情况中,负责在专用于信息包的处理器20与主机系统27之间的通信的PCI控制器26是一个数据传到主机系统27并从它传出来的传输途径。PCI控制器26通过主机系统27从遥控的管理系统50接受一方面信息来建立搜寻条件以用于PSE 24和HSE 23,和另方面信息以用于SRAM(动作信息数据库DB)25。此外,PCI控制器26用做传输途径通过主机系统27向遥控的管理系统50传送信息包处理结果的数据以便处理结果和状况。
用ASIC构成的PSE 24从遥控管理系统50接收搜寻条件(即用来判别输入信息包是否正常的比较信息)并加以储存,而SRAM 25则接收关于针对网络流量攻击的反措施的信息(即用来确定是否要阻塞被过滤的信息包或者放其通过)并加以储存。
PSE 24由ASIC构成,是信息包分析的主要单元,具有针对网络流量攻击的阻塞逻辑,使得通过ILC 22从遥控的管理系统50传来的搜寻条件得以装在其中,并且根据这些搜寻条件搜寻信息包的内容和把搜寻结果传给ILC 22。
HSE 23根据ILC 22设定的值搜寻信息包的报头并将搜寻结果传给ILC22。
专用于信息包的处理器20中的SRAM 25是具有对应于信息包搜寻结果的处理方法的数据库DB。SRAM 25让通过ILC 22从遥控管理系统50传来的反措施信息储存在内,并将对应于信息包搜寻结果的处理方法传给ILC 22。
图3显示图2的主机系统里所配备的软件过滤器的内部模块之间的功能流的方框图。
在此情况,该软件过滤器在图2的主机系统的CPU 28内对动态网络流量攻击执行软件过滤,并执行动态攻击的探测和别的安全功能。
下面描述动态攻击的过滤功能,它是软件过滤器的主要功能。
信息包处理模块33通过直接储存访问(DMA)存储区从专用于信息包的处理器20有选择地接受处理结果,包括:关于输入的信息包的阻塞结果、在专用于信息包的处理器里受到第一道过滤的信息包、及进入到专用于信息包的处理器的所有的信息包的信息以及基于设定条件的信息包的部分信息,然后把阻塞结果的信息传给反措施管理模块37以便在那里执行管理者报警功能,并将信息包的信息传给动态攻击过滤器35和排定阻塞的过滤器36以便在那里执行动态攻击的过滤。
在该情况,信息包处理模块33可按照用户的设置从专用于信息包的处理器20有选择地接受处理结果,包括:关于输入的信息包的阻塞结果、在专用于信息包的处理器里受到第一道过滤的信息包、及进入到专用于信息包的处理器的所有的信息包的信息以及基于设定条件的信息包的部分信息。
信息包处理模块33将流量信息传给流量处理模块34,让统计信息可传给网络流量分析系统60。
动态攻击过滤器35和排定的阻塞过滤器36根据预定义的动态攻击安全规则和排定的阻塞规则、利用输入的信息包信息来分析特定时间的网络流量情况。如果这样确定了网络流量不正常且超过了阈值,就将阻塞规则传给反措施管理模块37并且传给专用于信息包的处理器20,以便专用于信息包的处理器20能阻塞反常流量。就是说,阻塞规则是制定来加到专用于信息包的处理器20内的。
反措施管理模块37将来自专用于信息包的处理器20的阻塞结果的信息传给一个数据传输/接收模块40以便通知管理者阻塞结果的信息。该数据传输/接收模块40通过TCP/IP插口将阻塞结果的信息传到遥控的管理系统50。
数据传输/接收模块40接受遥控管理系统50定义的安全规则和架构管理信息后,除了执行将阻塞结果的信息通知管理者的功能外,还将安全规则和架构管理信息传到架构管理模块38和政策管理模块39。架构管理模块38和政策管理模块39执行的功能为促使专用于信息包的处理器20和软件过滤器30应用传过来的安全规则和架构管理信息。
数据传输/接收模块40的另一功能为在遥控管理系统50与装有专用于信息包的处理器和主机系统的阻塞系统14之间执行相互通信鉴真。
架构管理模块38执行的功能涉及专用于信息包的处理器20的状态初始化和驱动方式。政策管理模块39通过图2的PCI接口26来下载静态安全规则作为在专用于信息包的处理器20中执行探测/阻塞时的判据,并且在线、实时地执行政策改变功能。
图4显示图1的遥控管理系统的结构的方框图。
图4显示了遥控管理系统50的各组件的管理功能,即将阻塞系统14产生的阻塞信息、以及包含运作阻塞系统14的安全政策在内的所有架构管理信息都通知管理者。
遥控管理系统50的主要功能是通过数据传输/接收模块56将阻塞系统14产生的阻塞日志通知管理者,并且使得来自多个阻塞系统14的所有的阻塞日志得到整体地管理。此外,遥控管理系统50的功能还有将架构管理信息和阻塞系统的关于阻塞的安全规则传给阻塞系统,并且使得这些信息和规则能应用于阻塞系统。
参照图4,数据传输/接收模块56将通过侵扰阻塞日志管理模块54接收到的日志信息储存在DB系统15内,并且执行一种功能,以便将架构管理模块所定义的、阻塞系统14的架构管理信息和政策管理模块53所定义的关于阻塞的安全规则施加到阻塞系统14。
数据传输/接收模块56具有这种功能,在遥控管理系统50跟阻塞系统14之间执行相互通信鉴真。
政策管理模块53执行一种功能,为过滤掉阻塞系统14的专用于信息包的处理器20受到的静态攻击定义规则,并且执行另一种功能,为过滤掉CPU 28(图2)的软件过滤器30受到的动态攻击定义规则,以及执行排定的过滤规则。
用户鉴真管理模块51管理遥控管理系统和阻塞系统14的用户鉴别信息,并且执行用户鉴真功能使得只有遥控管理系统50的授权用户才得访问。
报告管理模块55利用DB系统中累积的阻塞信息对统计信息和阻塞日志提供规格化的报告给管理者。
图5显示图1的网络流量分析系统的结构的方框图。
网络流量分析系统60从阻塞系统14接收流量信息并对往来流量的变化作分析,图5显示其各组件。
参照图5,数据传输/接收模块66从阻塞系统14接收流量信息,将该流量信息储存在DB系统15,并将该流量信息传给流量负载变化分析模块61,从而把实时的变化信息提供给管理者。
下一步,基于服务的流量分析模块62和基于信息包体积的分析模块63利用累积的流量信息将流量分布信息提供给管理者。
网络流量分析系统60具有一个政策管理模块64来分析可能由未知攻击产生的反常流量。网络流量分析系统60建立将反常流量跟正常流量加以区分的规则,分析反常流量并将反常流量分析信息提供给管理者,从而防止攻击。
报告管理模块65利用DB系统15中累积的流量信息对统计信息和反常流量相关信息提供规格化的报告给管理者。
在此情况,网络流量分析系统60是这样的一个系统,它既可以安装在遥控管理系统50上,也可独立运作。
按照本发明的网络安全系统可以采用PCI类型插卡来实施以便通过模式匹配来执行攻击探测和阻塞的功能。该插卡所安装于其中的主机负责跟遥控管理系统通信,将探测和阻塞结果传给遥控管理系统,也把别的流量信息传给网络流量分析系统,从而实时地将流量信息提供给管理者。
按照本发明的网络安全系统和方法的优越性在于可以有效防止攻击,因为采用了G位流量环境中的基于硬件的、专用于信息包的处理器,从而可以不损失也不延迟信息包,来实时地探测信息包和阻塞攻击,另方面内部网络也能得到安全保护免遭反常流量影响,因为除了上述静态攻击之外的动态攻击可被通用计算机上安装的软件过滤器过滤掉。
本发明更好的优点在于成本可能降到最低,因为此网络安全系统可以安装在现有的网络中而并不改变其结构,而且此网络安全系统在大规模网络环境中易于管理,因为它可以同时地、整体地管理多个阻塞系统。
虽然为了说明的目的已在此处披露了本发明的较佳实施方案,熟悉本领域技术的人员能够对其作各种修改、补充和替换,而并不会背离在后面的权利要求书所披露的本发明的范围和精神。
Claims (21)
1.一个网络安全系统,提供阻塞系统,所述阻塞系统包含:
专用于信息包的处理器,用来对网络流量受到的静态攻击执行第一道的硬件过滤,包含:
一个以太网控制器PHY将信息包输入到/输出自网络和网关;
一个线内控制器ILC分析从PHY输入的信息包,然后将报头信息传送到报头搜寻引擎HSE并将内容传送到模式搜寻引擎PSE,然后根据这两个引擎,即HSE和PSE,分析得出的结果来探测和阻塞违反安全规则的信息包;
该PSE根据ILC设定值来执行内容搜寻并将搜寻结果传给ILC;
该HSE根据ILC设定值来执行信息包报头搜寻并将搜寻结果传给ILC;
静态RAM,即SRAM,储存对应于搜寻结果的处理方法,并且将跟来自ILC的搜寻结果对应的处理方法传给ILC;以及
一个外设组件互连PCI控制器从主机系统接受:用来建立将用于PSE和HSE的搜寻条件的信息,和用在SRAM的信息;并且通过将信息包处理结果和统计信息数据传送到主机系统以报告:处理结果和状态;以及
一个配有软件过滤器的主机系统,用来对网络流量受到的动态攻击执行第二道的软件过滤;
其中,所述硬件过滤为根据已定的安全规则对输入的信息包执行模式匹配,所述软件过滤为将专用于信息包的处理器的处理结果有选择地传给软件过滤器并且对预定时间内产生的信息包流作分析。
2.如权利要求1所述网络安全系统,其中专用于信息包的处理器的处理结果包含关于输入专用于信息包的处理器的信息包的阻塞结果的信息、被专用于信息包的处理器第一道过滤掉的信息包的信息、输入专用于信息包的处理器的所有信息包的报头信息。
3.如权利要求1所述网络安全系统,还包含一个遥控管理系统,来制定应用到专用于信息包的处理器和软件过滤器的安全规则,并且在线传送安全规则。
4.如权利要求1所述网络安全系统,还包含一个网络流量分析系统,来从专用于信息包的处理器和软件过滤器接收网络流量信息,积累和分析网络流量信息,并且将侵扰防止的信息提供给管理者。
5.如权利要求1所述网络安全系统,其中PSE由专用集成电路ASIC构成,用来储存搜寻输入信息包的搜寻条件。
6.如权利要求5所述网络安全系统,其中搜寻条件为确定输入信息包是否为正常信息包的比较信息。
7.如权利要求1所述网络安全系统,其中SRAM储存关于针对网络流量攻击的反措施的信息。
8.如权利要求7所述网络安全系统,其中反措施的信息包含确定是否通过或者阻塞在专用于信息包的处理器中过滤的信息包的信息。
9.如权利要求1所述网络安全系统,其中主机系统上配备的软件过滤器包含:
一个信息包处理模块,通过直接储存访问DMA存储区从专用于信息包的处理器接受阻塞结果的信息和信息包的信息,及一个反措施管理模块,从信息包处理模块接受阻塞结果信息并且发送报警到管理者;
一个动态攻击过滤器,从信息包处理模块接受信息包信息并且执行动态攻击过滤;
一个排定的阻塞过滤器,根据排定的阻塞规则,利用输入的信息包信息来分析特定时间的网络流量情况;
一个流量处理模块,从信息包处理模块接受信息来分析流量攻击,然后把信息传到网络流量分析系统;
一个反措施管理模块,将阻塞结果的信息传给一个数据传输/接收模块以便通知管理者阻塞结果的信息;
该数据传输/接收模块,通过TCP/IP插口将结果传到遥控管理系统;
一个架构管理模块,确定专用于信息包的处理器的状态初始化和驱动方式;及
一个政策管理模块,用来下载静态安全规则作为在专用于信息包的处理器中执行探测和阻塞时的判据,并且实时地执行在线政策改变功能。
10.如权利要求9所述网络安全系统,其中数据传输/接收模块接受遥控管理系统定义的安全规则和架构管理信息,并且将安全规则和架构管理信息传到架构管理模块和政策管理模块。
11.如权利要求9所述网络安全系统,其中信息包处理模块能按照用户的设置有选择地接受关于输入专用于信息包的处理器的信息包的阻塞结果的信息、在专用于信息包的处理器里被第一道过滤掉的信息包的信息、及进入到专用于信息包的处理器的所有的信息包的信息以及来自专用于信息包的处理器的所有信息包的报头信息。
12.如权利要求9所述网络安全系统,其中动态攻击过滤器和排定的阻塞过滤器根据预先定义的动态攻击安全规则和排定的阻塞规则积累输入信息包信息并分析网络流量的变化,如果这样确定了网络流量为反常流量且超过了阈值,就将阻塞规则传给反措施管理模块并且传给专用于信息包的处理器。
13.如权利要求3所述网络安全系统,其中遥控管理系统包含:
一个数据传输/接收模块,从一个阻塞系统接收日志信息;
一个侵扰阻塞日志管理模块,将接收到的日志信息传输到一个数据库系统并且储存在其中;
一个架构管理模块,为所述阻塞系统定义架构管理信息;
一个政策管理模块,为所述阻塞系统定义关于阻塞的安全规则;及
一个报告管理模块,利用数据库系统中累积的阻塞信息对统计信息和阻塞日志提供规格化的报告给管理者。
14.如权利要求13所述网络安全系统,其中的政策管理模块定义静态网络流量攻击的过滤规则和动态网络流量攻击的过滤规则。
15.如权利要求13所述网络安全系统,其中的遥控管理系统还包含用户鉴真管理模块来管理遥控管理系统和所述阻塞系统的用户鉴别信息,并且执行用户鉴真功能使得只有遥控管理系统的授权用户才得访问内部网络。
16.如权利要求4所述网络安全系统,其中的网络流量分析系统包含:
一个数据传输/接收模块从阻塞系统接收流量信息,并将该流量信息储存在一个数据库系统;
一个基于服务的流量分析模块和基于信息包体积的分析模块利用累积的流量信息将流量分布信息提供给管理者;
一个政策管理模块来分析可能由未知攻击产生的反常流量;及
一个报告管理模块利用数据库系统中累积的流量信息对统计信息和反常流量相关信息提供规格化的报告给管理者。
17.如权利要求16所述网络安全系统,其中的政策管理模块建立将反常流量跟正常流量加以区分的规则,分析信息包并将反常流量相关信息通知管理者。
18.如权利要求16所述网络安全系统,还包含一个流量负载变化分析模块将从阻塞系统传来的流量信息的实时的变化提供给管理者。
19.一种网络安全的方法,包含以下步骤:
对静态网络流量攻击执行第一道的硬件过滤的步骤;
根据针对预定时间内输入信息包产生的信息包流以及硬件过滤的结果的分析,对动态网络流量攻击执行软件过滤的步骤;及
根据软件过滤的结果的分析和累积将侵扰防止信息提供到管理者的步骤;
其中,所述执行第一道的硬件过滤的步骤由专用于信息包的处理器来执行,并包含以下步骤:
以太网控制器PHY将信息包输入到/输出自网络和网关;
线内控制器ILC分析从PHY输入的信息包,然后将报头信息传送到报头搜寻引擎HSE并将内容传送到模式搜寻引擎PSE,然后根据这两个引擎,即HSE和PSE,分析得出的结果来探测和阻塞违反安全规则的信息包;
该PSE根据ILC设定值来执行内容搜寻并将搜寻结果传给ILC;
该HSE根据ILC设定值来执行信息包报头搜寻并将搜寻结果传给ILC;
静态RAM,即SRAM,储存对应于搜寻结果的处理方法,并且将跟来自ILC的搜寻结果对应的处理方法传给ILC;以及
外设组件互连PCI控制器从主机系统接受:用来建立将用于PSE和HSE的搜寻条件的信息,和用在SRAM的信息;并且通过将信息包处理结果和统计信息数据传送到主机系统以报告:处理结果和状态;
其中,所述执行软件过滤的步骤由一个主机系统来执行,并包含以下步骤:
接收硬件过滤的结果和输入专用于信息包的处理器的信息包的信息或被专用于信息包的处理器第一道过滤掉的信息包的信息;
利用硬件过滤的结果发送警报到管理者并且利用输入专用于信息包的处理器的信息包的信息或被专用于信息包的处理器第一道过滤掉的信息包的信息执行动态攻击过滤;及
将动态攻击过滤结果传送到遥控管理系统;
其中,动态攻击过滤的执行包含:积累信息包信息,根据预定的动态攻击安全规则和排定的阻塞规则分析预定时间内流量的变化,如果确定了流量为反常流量并且超过了阈值就将阻塞规则传到反措施管理模块并且传到专用于信息包的处理器。
20.如权利要求19所述的方法,还包含传送建立静态安全规则和动态安全规则、阻塞日志数据管理和别的在线安全管理的信息的步骤。
21.如权利要求19所述的方法,其中执行硬件过滤的步骤还包含以下步骤:
从连接到内部网络的网关接收信息包;
根据已定安全规则实时地分析信息包的报头和内容信息;
不论信息包的形状和体积、实时地搜寻和阻塞违反安全规则的信息包。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR10-2004-0009684 | 2004-02-13 | ||
| KR1020040009684 | 2004-02-13 | ||
| KR1020040009684A KR100609170B1 (ko) | 2004-02-13 | 2004-02-13 | 네트워크 보안 시스템 및 그 동작 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1655518A CN1655518A (zh) | 2005-08-17 |
| CN100463409C true CN100463409C (zh) | 2009-02-18 |
Family
ID=34836742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2005100047653A Active CN100463409C (zh) | 2004-02-13 | 2005-01-21 | 网络安全系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20050182950A1 (zh) |
| JP (1) | JP3968724B2 (zh) |
| KR (1) | KR100609170B1 (zh) |
| CN (1) | CN100463409C (zh) |
Families Citing this family (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8590011B1 (en) * | 2005-02-24 | 2013-11-19 | Versata Development Group, Inc. | Variable domain resource data security for data processing systems |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| KR101252812B1 (ko) * | 2006-04-25 | 2013-04-12 | 주식회사 엘지씨엔에스 | 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법 |
| US8009566B2 (en) * | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| KR100796814B1 (ko) * | 2006-08-10 | 2008-01-31 | 모젠소프트 (주) | 피씨아이형 보안 인터페이스 카드 및 보안관리 시스템 |
| KR101206542B1 (ko) * | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
| US8220049B2 (en) * | 2006-12-28 | 2012-07-10 | Intel Corporation | Hardware-based detection and containment of an infected host computing device |
| US8505092B2 (en) | 2007-01-05 | 2013-08-06 | Trend Micro Incorporated | Dynamic provisioning of protection software in a host intrusion prevention system |
| US7930747B2 (en) * | 2007-01-08 | 2011-04-19 | Trend Micro Incorporated | Host intrusion prevention server |
| KR101367652B1 (ko) * | 2007-03-12 | 2014-02-27 | 주식회사 엘지씨엔에스 | 정적 정책정보를 이용한 침입방지 장치 및 방법 |
| KR100864889B1 (ko) * | 2007-03-13 | 2008-10-22 | 삼성전자주식회사 | Tcp 상태 기반 패킷 필터 장치 및 그 방법 |
| US7853998B2 (en) * | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US8042171B1 (en) | 2007-03-27 | 2011-10-18 | Amazon Technologies, Inc. | Providing continuing service for a third-party network site during adverse network conditions |
| US20080239988A1 (en) * | 2007-03-29 | 2008-10-02 | Henry Ptasinski | Method and System For Network Infrastructure Offload Traffic Filtering |
| US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| US7996896B2 (en) | 2007-10-19 | 2011-08-09 | Trend Micro Incorporated | System for regulating host security configuration |
| KR100849888B1 (ko) * | 2007-11-22 | 2008-08-04 | 한국정보보호진흥원 | 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법 |
| CN101981891B (zh) * | 2008-03-31 | 2014-09-03 | 法国电信公司 | 能够通过各种通信服务进行通信的装置的防卫通信模式 |
| KR100860607B1 (ko) * | 2008-04-21 | 2008-09-29 | 주식회사 모보 | 네트워크 통합보안 스위치장치 및 방법 |
| KR101033510B1 (ko) * | 2008-11-17 | 2011-05-09 | (주)소만사 | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 |
| KR101017015B1 (ko) * | 2008-11-17 | 2011-02-23 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
| JP5309924B2 (ja) * | 2008-11-27 | 2013-10-09 | 富士通株式会社 | パケット処理装置、ネットワーク機器、及びパケット処理方法 |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| KR101196366B1 (ko) * | 2009-01-20 | 2012-11-01 | 주식회사 엔피코어 | 서버보안을 위한 랜카드 시스템 |
| TW201029396A (en) * | 2009-01-21 | 2010-08-01 | Univ Nat Taiwan | Packet processing device and method |
| US8018943B1 (en) * | 2009-07-31 | 2011-09-13 | Anue Systems, Inc. | Automatic filter overlap processing and related systems and methods |
| US8098677B1 (en) * | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
| US8934495B1 (en) | 2009-07-31 | 2015-01-13 | Anue Systems, Inc. | Filtering path view graphical user interfaces and related systems and methods |
| US8554141B2 (en) * | 2010-06-24 | 2013-10-08 | Broadcom Corporation | Method and system for multi-stage device filtering in a bluetooth low energy device |
| CA2712542C (en) * | 2010-08-25 | 2012-09-11 | Ibm Canada Limited - Ibm Canada Limitee | Two-tier deep analysis of html traffic |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| KR20130018607A (ko) * | 2011-08-08 | 2013-02-25 | 삼성에스디에스 주식회사 | 안티멀웨어 엔진을 구비한 단말장치 및 이를 이용한 안티멀웨어 스캔닝 방법 |
| US10620241B2 (en) * | 2012-02-17 | 2020-04-14 | Perspecta Labs Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| JP6277137B2 (ja) | 2012-02-17 | 2018-02-07 | ヴェンコア ラブズ、インク.Vencore Labs, Inc. | フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム |
| BR112015002323A2 (pt) * | 2012-07-31 | 2017-07-04 | Hewlett Packard Development Co | sistema de processamento de tráfego de rede |
| US8943587B2 (en) * | 2012-09-13 | 2015-01-27 | Symantec Corporation | Systems and methods for performing selective deep packet inspection |
| US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
| US9124552B2 (en) * | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| TW201505411A (zh) | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
| TWI515600B (zh) * | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
| US9467385B2 (en) | 2014-05-29 | 2016-10-11 | Anue Systems, Inc. | Cloud-based network tool optimizers for server cloud networks |
| US9781044B2 (en) | 2014-07-16 | 2017-10-03 | Anue Systems, Inc. | Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| US10050847B2 (en) | 2014-09-30 | 2018-08-14 | Keysight Technologies Singapore (Holdings) Pte Ltd | Selective scanning of network packet traffic using cloud-based virtual machine tool platforms |
| US11363035B2 (en) | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
| US9992134B2 (en) | 2015-05-27 | 2018-06-05 | Keysight Technologies Singapore (Holdings) Pte Ltd | Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10652112B2 (en) | 2015-10-02 | 2020-05-12 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Network traffic pre-classification within VM platforms in virtual processing environments |
| US10116528B2 (en) | 2015-10-02 | 2018-10-30 | Keysight Technologies Singapore (Holdings) Ptd Ltd | Direct network traffic monitoring within VM platforms in virtual processing environments |
| US10142212B2 (en) | 2015-10-26 | 2018-11-27 | Keysight Technologies Singapore (Holdings) Pte Ltd | On demand packet traffic monitoring for network packet communications within virtual processing environments |
| US11777963B2 (en) * | 2017-02-24 | 2023-10-03 | LogRhythm Inc. | Analytics for processing information system data |
| DE102017214624A1 (de) | 2017-08-22 | 2019-02-28 | Audi Ag | Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug |
| US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
| US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| KR102174462B1 (ko) * | 2018-05-15 | 2020-11-05 | 엑사비스 주식회사 | 네트워크 보안 방법 및 이를 수행하는 시스템 |
| US10897480B2 (en) * | 2018-07-27 | 2021-01-19 | The Boeing Company | Machine learning data filtering in a cross-domain environment |
| DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| KR102260822B1 (ko) * | 2020-10-22 | 2021-06-07 | (주)테이텀 | 클라우드 보안규정 준수여부 진단 및 관리 장치 |
| US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6990591B1 (en) * | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US7278162B2 (en) * | 2003-04-01 | 2007-10-02 | International Business Machines Corporation | Use of a programmable network processor to observe a flow of packets |
-
2004
- 2004-02-13 KR KR1020040009684A patent/KR100609170B1/ko active IP Right Grant
- 2004-10-13 US US10/962,560 patent/US20050182950A1/en not_active Abandoned
- 2004-11-08 JP JP2004323784A patent/JP3968724B2/ja active Active
-
2005
- 2005-01-21 CN CNB2005100047653A patent/CN100463409C/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| CN1411209A (zh) * | 2002-03-29 | 2003-04-16 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN1384639A (zh) * | 2002-06-11 | 2002-12-11 | 华中科技大学 | 分布式网络动态安全保护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005229573A (ja) | 2005-08-25 |
| KR100609170B1 (ko) | 2006-08-02 |
| CN1655518A (zh) | 2005-08-17 |
| JP3968724B2 (ja) | 2007-08-29 |
| US20050182950A1 (en) | 2005-08-18 |
| KR20050081439A (ko) | 2005-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100463409C (zh) | 网络安全系统和方法 | |
| US10476749B2 (en) | Graph-based fusing of heterogeneous alerts | |
| CN107683597B (zh) | 用于异常检测的网络行为数据收集和分析 | |
| EP2080317B1 (en) | Apparatus and a security node for use in determining security attacks | |
| CN101087196B (zh) | 多层次蜜网数据传输方法及系统 | |
| US8019865B2 (en) | Method and apparatus for visualizing network security state | |
| CN109962891A (zh) | 监测云安全的方法、装置、设备和计算机存储介质 | |
| CN109766695A (zh) | 一种基于融合决策的网络安全态势感知方法和系统 | |
| CN101001242B (zh) | 网络设备入侵检测的方法 | |
| US10476752B2 (en) | Blue print graphs for fusing of heterogeneous alerts | |
| CN110300100A (zh) | 日志审计的关联分析方法与系统 | |
| CN104144063A (zh) | 基于日志分析和防火墙安全矩阵的网站安全监控报警系统 | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| CN107770174A (zh) | 一种面向sdn网络的入侵防御系统和方法 | |
| CN1725709A (zh) | 网络设备与入侵检测系统联动的方法 | |
| CN103152227A (zh) | 一种应对网络威胁与攻击的一体化实时检测系统及方法 | |
| CN112769833A (zh) | 命令注入攻击的检测方法、装置、计算机设备和存储介质 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN115086064A (zh) | 基于协同入侵检测的大规模网络安全防御系统 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| WO2017176676A1 (en) | Graph-based fusing of heterogeneous alerts | |
| Wasniowski | Multi-sensor agent-based intrusion detection system | |
| CN116074075A (zh) | 基于关联规则的安全事件关联行为分析方法、系统及设备 | |
| CN115208690A (zh) | 一种基于数据分类分级的筛查处理系统 | |
| KR20100103126A (ko) | 클러스터링 기법을 이용한 통합보안관리시스템 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: LG CNS CO., LTD. Free format text: FORMER OWNER: LG N-SYS CO., LTD. Effective date: 20080627 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20080627 Address after: Seoul, South Kerean Applicant after: L G CNS Corporation Address before: Seoul Applicant before: L G N-SYS Corporation |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |