CN101116068B - 数据中心环境中的入侵检测 - Google Patents
数据中心环境中的入侵检测 Download PDFInfo
- Publication number
- CN101116068B CN101116068B CN2005800310647A CN200580031064A CN101116068B CN 101116068 B CN101116068 B CN 101116068B CN 2005800310647 A CN2005800310647 A CN 2005800310647A CN 200580031064 A CN200580031064 A CN 200580031064A CN 101116068 B CN101116068 B CN 101116068B
- Authority
- CN
- China
- Prior art keywords
- flow
- intruding detection
- switch
- traffic
- traffic sources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4604—LAN interconnection over a backbone network, e.g. Internet, Frame Relay
- H04L12/462—LAN interconnection over a bridge based backbone
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1097—Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
Abstract
本发明提供了一种入侵检测系统(1)(IDS),其能够识别流量源,过滤流量(28)以将其分类为安全的或可疑的,然后基于流量类型来单独地或组合地应用复杂的检测技术,例如状态模式识别、协议解析、启发式检测和异常性检测。在网络环境中,每个流量源(12)具有至少一个IDS传感器(22-24),该IDS传感器专用于监视特定类型的流量,例如RPC、HTTP、SMTP、DNS等等。来自每个流量源(12)的流量被过滤以去除已知的安全流量,从而通过使每个IDS传感器(22-24)集中针对一种特定流量类型来提高效率和增大精确性。
Description
相关申请的交叉引用
本申请要求2004年10月28日由Mauricio Arregoces和MaurizioPortolani递交的题为“Data Center Network Design And InfrastructureArchitecture”的申请号为60/623,810的临时专利申请的优先权,这里通过引用将该申请的整体公开结合于此。
背景技术
成功的因特网存在(presence)要求公司具有可用于处理来自顾客和雇员两者的大量命中(hit)的网站和计算机资源。现在一般认可电子商务作为执行交易的有效方式,并且电子商务越来越多地虑及世界范围内商业的绝大部分。同时,成功的因特网存在意味着该公司必须对顾客记录(例如信用卡号以及他自己的私人信息)提供足够的安全性。但是,一旦建立了因特网存在,计算机资源就暴露给一个一般被称为黑客(hacker)的群组,黑客的唯一目的是获得对公司的计算机资源的未经授权的访问。黑客可能尝试获得金融值的信息或者可能为了智力或政治挑战而尝试潜入公司的计算机资源。其他黑客的简单目的就是要制造麻烦。
无论黑客的动机是什么,都有责任识别和防止对敏感机构的计算机资源进行未经授权的访问。但是在实践中,这不是一个简单任务,因为必须对公司的雇员和顾客提供对完全相同的资源的访问,并且不是所有雇员和顾客都能被立即识别出的。识别入侵这一任务依然是维护在线存在的基本部分。
为了检测入侵,具有一个数据中心的多个商业机构共同包括一个入侵检测系统或IDS。IDS通过分析网络分组并寻找其他恶意或可疑异常物的迹象来监视数据中心网络,所述恶意或可疑异常物的迹象是由可能指示黑客正在尝试入侵的不适当的、不正确的或异常的行为来指示的。
IDS可以是基于网络的IDS或者基于主机的入侵防范系统实现方式。基于网络的IDS监视流过交换机或路由器的网络流量。基于主机的IDS监视系统级事件以检测该主机上的恶意行为。IDS等同于向IDS管理系统报告可疑行为的监督工具。举例来说,一个IDS(例如由Cisco Systems公司投入市场的Cisco IDS-4250)采用复杂的检测技术,所述检测技术包括状态模式识别、协议解析、启发式检测和异常性检测。这些检测技术全面地防范各种已知和未知的威胁。
在网络环境中,IDS被部署得遍布网络各处,但是,将IDS放置在最可能面临攻击的网段是尤其重要的。基于网络的IDS保护在设备所在网段上可访问的所有设备并识别恶意行为。在具有多个子网的数据中心环境中,希望IDS传感器监视每个子网。因此,如果数据中心有三个子网,则第一子网上的流量应该由第一IDS监视,第二子网上的流量应该由第二IDS监视。不幸的是,在某些网络中,由于流量捕获技术而对IDS传感器可以监视的会话数目存在实际限制。因此,没有能力利用第三IDS来监视第三子网。在此情况下,两个或更多个子网可能被结合在一起并由单个IDS监视。在其他情况下,希望有选择地监视子网上的流量,例如HTTP客户端-服务器流量应该由一个IDS传感器监视,SMTP客户端-服务器流量应该由另一传感器监视,DNS流量由再另一传感器监视,同时过滤在同一子网上发起和终止的所有其它流量。
发明内容
根据本发明的第一方面,提供了一种在具有多个流量源的网络环境中用于监视所述多个流量源中的至少一部分上的流量的系统,包括:多个入侵检测系统;以及交换机,交换机被配置为:拷贝来自所述多个流量源中的每个流量源的流量;以及将所拷贝的流量重定向到一个虚拟局域网VLAN以用于入侵检测监视目的,所述VLAN包括所述交换机或第二交换机,其中任一个交换机被配置为:确定与所述流量相关联的多种流量类型,所述多种流量类型与多种协议类型相关联;利用重定向判决来过滤并重定向所述流量,其中可操作来过滤的逻辑阻止所述流量的第一部分被发送到入侵检测系统,其中可操作来重定向的逻辑被配置为:针对与被配置为监视第一流量源的流量的两个或更多个入侵检测系统中的第一组相关联的流量的第二部分确定所述第一流量源,并且针对与被配置为监视第二流量源的流量的一个或多个入侵检测系统中的第二组相关联的流量的第三部分确定所述第二流量源;对于所述第一流量源,基于所确定的被发送的流量的第二部分的流量类型来确定两个或更多个入侵检测系统的第一组中的第一入侵检测系统IDS,其中所述两个或更多个入侵检测系统与对不同流量类型的处理相关联;对于所述第二流量源,基于所确定的被发送的流量的第三部分的流量类型来确定一个或多个入侵检测系统的第二组中的第二入侵检测系统IDS;将流量的所述第二部分重定向到所确定的第一入侵检测系统,并将流量的所述第三部分重定向到所述第二入侵检测系统。
根据本发明的另一方面,提供了一种在具有至少三个子网的网络中用于有选择地监视每个所述子网上的流量的系统,包括:多个入侵检测系统;适合于识别要被拷贝的流量并拷贝流量的交换机;适合于接收经拷贝的流量的VLAN;以及与所述VLAN相关联的交换机,其适合于对流量源和流量类型执行分级判决,并且适合于基于所述流量源和流量类型将所述经拷贝的流量有选择地发送到所述多个入侵检测系统中的一个所选入侵检测系统。
根据本发明的另一方面,提供了一种在具有至少三个子网的网络中用于有选择地监视每个所述子网上的流量的方法,包括:配置用于拷贝来自每个所述子网的流量的第一交换机;将经拷贝的流量发送到虚拟局域网;确定所述经拷贝的流量的源和目的地;针对第4层协议和第4层端口确定流量类型;基于以上两个确定步骤,过滤所述经拷贝的流量以去除安全流量;以及将经过滤的流量重定向到入侵检测系统。
根据本发明,提供了用于利用相应的多个IDS来监视多个子网和协议的系统和方法。有利的是,本发明减少了网络攻击的错误肯定(falsepositive),消除了子网中的流量噪声,并通过选择监视流量而在监视每个子网上的网络流量方面提供了更大粒度,从而优化了性能。
从以下结合附图的详细描述中,本发明的前述和附加特征和优点将变得清楚。
附图说明
图1是示出根据本发明一个实施例具有与每个流量源相关联的入侵检测系统的网段的简化框图。
图2是示出根据图1所示的实施例,用于在网段上操作入侵检测系统的方法的框图。
图3是示出根据本发明另一实施例具有与每个流量源相关联的入侵检测系统的网段的另一简化框图。
图4是示出图3所示本发明的实施例的操作的框图。
图5是示出根据图3和4所示的实施例,用于在网段上操作入侵检测系统的方法的框图。
具体实施方式
在这里对本发明实施例的描述中,提供了大量具体细节(例如组件和/或方法的示例),以对本发明的实施例提供全面理解。但是,本领域技术人员将意识到,无需一个或多个所述具体细节或者利用其他装置、系统、装配、方法、组件、部件等等也可以实现本发明的实施例。在其他实例中,公知的结构、材料或操作没有具体示出或详细描述,以免模糊本发明的实施例的各个方面。
现在利用标号更具体的参考附图,图1中示出网络环境的网段10。网段10是网络环境中通常用于数据中心或大机构或企业网络的部分的示例。网络环境10包括将网络环境划分成逻辑分段的路由器或交换机11以及子网12、13和14。虽然图1中只示出三个子网,但是将会意识到,在一个网段中可能存在任意数目的这样的子网。此外,IDS在这里被任意描述为分离的系统,但是将会意识到,IDS可以用软件实现,并且由与交换机11相关联的处理器来执行。可替换地,IDS可以是与一个或多个其他网络设备(例如交换机、路由器、防火墙、网桥、集中器、扫描仪、负载平衡器或内容引擎)共享同一机架的刀片插件(blade)。
在该网络环境中,交换机11充当到每个子网的网关。每个子网12-14包括节点17,该节点17定义多个服务器(例如web服务器)或其他受保护的网络可访问资源。网段10可由客户端15通过核心网络(例如因特网16)访问。应该意识到,客户端可以从各种不同网络连接到该网段,并且所示出的因特网仅仅用于举例说明外部核心网络。在该实施例中,每个子网被入侵检测系统或IDS监视。具体而言,IDS 22-24监视子网上的流量。
基于网络的传感器是连接到网段并检查流量以检测入侵和可疑行为的系统。这些传感器可以软件方式实现在路由器和防火墙上,或者实现为独立设备或硬件模块。基于网络的传感器通常使用两个网络接口,一个连接到正被监视的网络,另一个连接到提供对管理系统的访问的安全分段。监视接口不具有MAC地址,因此无法发送流量。连接有IDS的交换机端口查看所有通过交换机被镜像的流量。管理接口优选地具有MAC地址和IP地址,以与被监视的网络设备通信。基于网络的传感器应该被部署在更可能面临攻击的网段上(即因特网边缘处)以及设置有关键业务(mission-critical)服务器的网段上。
图2示出监视过程。对每个子网的监视开始于在交换机11处接收目的地为节点17之一的流量。如步骤27所示,对流量进行拷贝。拷贝的流量随后被过滤以除去不感兴趣的流量,如步骤28所示。经拷贝和过滤的流量被重定向到专用IDS,如步骤29所示。该经拷贝和过滤的流量被专用IDS通过应用各种检测技术进行分析,以防止连接到节点17的设备受到可感知的威胁,如步骤30所示。
检测技术可以包括状态模式识别、协议解析、启发式检测、异常性(anomaly)检测或其它技术。为了对子网或协议执行更具体的监视,优选地,选择一个特定的签名集合,其紧密匹配每个子网的流量监视的意图,但是也包含基于异常性的系统。基于异常性的系统定义网络流量和系统资源占用方面的正常行为,从而使得在任意时刻相对统计值存在重大偏离时生成警报,之后任意相对定义的基准线的偏离都被看作攻击。
基于签名的系统明确定义哪种行为被看作恶意的。特定签名标识该恶意行为,并且IDS将流量和资源利用与该签名相比较。如果比较结果匹配,则指示存在恶意事件。在比较过程中,每个分组且所有分组都被与签名比较。应该注意,签名模式可被分散在多个分组中,因此基于网络的系统必须重组会话并最终执行协议分析。
签名是根据它们尝试匹配的攻击的类型来分组的。例如,IDS可以包括嵌入式签名或连接签名,嵌入式签名是与IDS一起出现的特定已知攻击签名,而连接签名是特定于协议的签名。例如,协议定义(TCP/UDP)可以包括端口号。IDS还可以包括字符串匹配签名或ACL签名,字符串匹配签名是基于分组中的有效载荷部分的攻击签名,而ACL签名是由网络设备记录的策略违背(policy-violation)签名。
针对每个子网中的各种服务器类型指定的用于检测攻击的签名的示例包括HTTP签名:3455-Java Web Server Cmd Exec;5087-WWW SunJava Server Access;5312-.jsp/.jhtml Java Execution;5375-Apachemod_dav Over.ow;5103-WWW SuSE Apache CGI Source Access;以及5160-Apache?indexing.le disclosure bug。基于RPC的应用签名包括:6101-RPC Port Unregistration;6102-RPC Dump;6103-Proxied RPCRequest;6104-RPC Set Spoof;6105-RPC Unset Spoof;6110-RPCRSTATD Sweep;6111-RPC RUSERSD Sweep;6112-RPC NFSSweep;6113-RPC MOUNTD Sweep;以及6114-RPC YPPASSWDDSweep。Windows/NetBIOS签名包括:3300-NetBIOS OOB Data;3301-NETBIOS Stat;3302-NETBIOS Session Setup Failure;3303-WindowsGuest Login;3304-Windows Null Account Name;3305-WindowsPassword File Access;3306-Windows Registry Access;以及3327-Windows RPC DCOM Over.ow。
在网络环境中使用的签名属于签名组(例如HTTP组),因为黑客使用HTTP来获得对大多数应用的访问。其他签名组包括对于服务器-服务器通信广泛使用的RPC组和特定于某些操作系统(例如Windows/NetBIOS)的组。
如果IDS被部署在因特网边缘处,则用于保护服务器和应用的公共签名包括以下这些签名:DNS签名示例包括:6050-DNS HINFO Request;6051-DNS Zone Transfer;6052-DNS Zone Transfer from High Port;6053-DNS Request for All Records;6054-DNS Version Request;6055-DNSInverse Query Buffer Overflow以及6056-DNS NXT Buffer Overflow。HTTP签名示例包括:5188-HTTP Tunneling;5055-HTTP BasicAuthentication Overflow;3200-WWW Phf Attack;3202-WWW.url FileRequested;3203-WWW.Ink File Requested;3204-WWW.bat FileRequested;3212-WWW NPH-TEST-CGI Attack;以及3213-WWWTEST-CGI Attack。FTP签名示例包括:3150-FTP Remote CommandExecution;3151-FTP SYST Command Attempt;3152-FTP CWD-root;3153-FTP Improper Address Specified;3154-FTP Improper PortSpecified;3155-FTP RETR Pipe Filename Command Execution;3156-FTP STOR Pipe Filename Command Execution;3157-FTP PASV PortSpoof;3158-FTP SITE EXEC Format String;3159-FTP PASS SuspiciousLength;以及3160-Cesar FTP Buffer Overflow。E-mail签名示例包括:3100-Smail Attack;3101-Sendmail Invalid Recipient;3102-SendmailInvalid Sender;3103-Sendmail Reconnaissance;3104-Archaic SendmailAttacks;3105-Sendmail Decode Alias;3106-Mail Spam;以及3107-Majordomo Execute Attack。
识别过程可能需要通过监视警报并在检测到威胁时确定什么是正常的什么是异常的来调节(tune)签名,但是,优选地,IDS被配置为具体针对保护子网的任意防火墙所允许的协议发出警告。当检测到威胁时,生成可疑流量警报,并且优选地,威胁被IDS阻挡,如步骤31所示。
IDS能够利用特定机制对识别出的安全性事件作出响应。例如,与检测出的入侵相对应的完整IP会话可被记入日志。日志通常被用于法庭(forensic)分析,以确定事件的细节并识别安全性缝隙在何处以及如何纠正它。该信息还可以在需要法律实施的情况下被用作证据。可替换地,IDS可被配置用于代表受害系统执行TCP重置。在该配置中,IDS发送利用受害方的源IP地址生成的TCP重置和一个随机MAC地址,以避免与第2层交换机和受害方的MAC地址发生冲突。IDS还可以指导网络设备(例如路由器、交换机或防火墙)动态应用ACL来阻挡来自攻击者的流量。该响应是最具攻击性的响应,在其意外地阻挡了有效流量时,可能导致自己引发的DoS问题。在此情况下,IDS可以利用各种协议(例如Telnet和Secure Shell(SSH))与该避开的设备通信。
在操作中,交换机11基于不同的接收到的分组的源MAC地址建立第2层转发表。该转发表或访问控制列表被交换机11用于将以某个MAC地址为目的地的分组直接转发到相应的VLAN。该特征通常被称为单播转发,因为分组仅被从源发送到目的地。在支持单播转发的交换机中,针对被监视的VLAN指定的流量被交换机11拷贝,并通过配置VACL特征(远程或RSPAN VLAN)被发送到VLAN。VACL配置定义了要被监视的流量类型。具体而言,如图3所示,针对VLAN 12指定的流量被交换机11拷贝,并且该拷贝被发送到VLAN 35。RSPAN特征的使用不同于其预期使用,但提供了基于所选参数重定向流量的能力。VLAN 35优选地是本地VLAN并且甚至可以是交换机11的一部分,如虚线36所示。如果VLAN 12-14被配置用于捕获,则来自每个这样的VLAN的指定流量被拷贝到VLAN 35。为了使每个专用IDS都能查看所有流量,操作软件或硬件将来自VLAN 35的流量重定向到适当的专用IDS。因此,VLAN 12上的流量被交换机11拷贝并被发送到VLAN 35,在VLAN 35,流量可被重定向到IDS 37。类似地,VLAN 13和14上的流量被拷贝到VLAN 35,然后可被分别重定向到IDS 38和39。在替换实施例中,流量可基于协议被重定向。在另一实施例中,流量基于源和协议被重定向。一般而言,重定向可按特定应用所需的粒度来执行。
图3的实施例的监视过程在图4中示出。流量的重定向发生在交换机11处,其被配置为指定哪些VLAN的流量将被拷贝,如步骤42所示。如果交换机11是Cisco交换机,则重定向是通过配置交换机以使每个VLAN或链路SPAN(跨越)到另一其中的流量将被拷贝的VLAN来实现的。SPAN将流量拷贝到一个VLAN,该VLAN还可被运载到不同于交换机11的交换机。
拷贝的流量随后被发送到VLAN 35,如步骤43所示。一旦拷贝的流量在VLAN 35处被接收,流量类型和源VLAN就被确定,如步骤44所示。流量类型可以通过检查分组头部来确定。基于流量类型和源,VLAN35过滤流量并重定向流量到特定IDS,如步骤45所示。该操作优选地是通过在VLAN 35上应用VACL REDIRECT判决来执行的。VACLREDIRECT由操作系统执行并应用于路由入或路由出VLAN 35的所有分组。VACL REDIRECT严格地用于分组过滤和基于配置重定向流量到特定物理交换机端口。
更具体而言,VACL REDURECT被用来基于信息(例如子网、协议和第4层端口)判断流量将在哪个端口上流出。因此,如果接收到某种流量模式,则VLAN 35识别出该流量的源、目的地、协议和第4层端口并将流量重定向到若干指定IDS之一。
IDS使用签名或模板(template)来检测网络上被认为是安全性违背的异常行为,所述检测是通过将模板与流量模式或特定流量会话相比较以寻找匹配来执行的。匹配暗示已经检测到异常性并且需要某种动作。该动作可以是仅仅发送警报,或者是发送警报并应用被设计用于停止该异常性的措施。
图5示出用于拷贝流量,然后重定向流量到指定IDS的方法。具体而言,在交换机11处的进入流量利用SPAN命令被有选择地拷贝,所述SPAN命令由在交换机11上活动的操作系统执行。因此,多个进入流中的一个或多个在离开交换机11之前被拷贝到VLAN 35。VLAN 35利用由活动的操作系统执行的VACL REDIRECT命令来监视进入流。VACLREDIRECT用于确定流量类型(例如MAC、RPC或HTTP),然后将其路由到特定IDS。例如,对于从VLAN 12拷贝的流量,VACLREDIRECT命令识别出源是VLAN 12,该VLAN 12选择第一组IDS传感器47。然后,基于流量的类型,VACL REDIRECT将具有特定类型的流量重定向到相应的IDS。例如,如果VLAN 12上的流量包括RPC和HTTP流量,则RPC流量被发送到IDS传感器48,而HTTP流量被发送到IDS传感器49。进行类似的两级分级判断以路由流量到指定的IDS。VLAN 13上的流量如果是RPC流量则被路由到IDS传感器50,如果是HTTP流量则被路由到IDS传感器51。IDS传感器50和51处于第二组IDS 52中。类似地,VLAN 14上的流量如果是RPC或HTTP流量,则被路由到IDS组53。与所述多个流量源中的每一个相关联的入侵检测传感器可以包括单个虚拟的IDS传感器。
一般而言,如果识别出不同的流量协议、模式或源,则定向到不同的专用IDS。利用该配置,可以定义很多不同的IDS传感器,其中每个IDS传感器监视不同的流量协议或模式。传感器可以具有协议号所允许的粒度。VACL对流量是否将被拷贝或重定向进行所有分析。访问控制列表被配置用于定义用于特定流量源的子网。实际上,对于交换机11中的第4层协议和第4层端口,关于每个IDS将接收哪种类型的流量可能是非常特定的。此外,通过使来自子网的不感兴趣的流量对IDS而言不可见,可以过滤掉无关警报。该过滤功能意味着已知安全流量不经过IDS,并且只有可疑或高危险性的流量需要被IDS查看。
本发明通过提供多于一个或两个IDS监视来自多个子网的流量,从而实现了重要里程碑。此外,本发明通过限制提供给每个IDS的流量的类型而使得IDS能够更有效地工作,从而减少了将报告的错误肯定的数目。通过识别和过滤安全流量,实现了效率的进一步提高。该过滤步骤提高了等待时间并减少了错误警报的的发生。因此,利用本发明,只有流量的一个子集被每个IDS所监视,同时同一子集中的安全流量无需被监视。虽然在这里描述的实施例中可以使用IP工业熟悉的机制,但是将会理解,任意能够执行访问控制列表功能和重定向功能的设备都可被用于实现本发明。利用本发明,用于防止由恶意黑客导致的网络问题的成本立即被大大降低。
因此,本发明提供了一种新型入侵检测系统,该系统能够识别流量源,过滤流量以分类其是安全的还是可疑的,然后应用复杂的检测技术,例如状态模式识别、协议解析、启发式检测和异常性检测。这些技术可以单独应用也可以与IDS传感器组合应用,所述IDS传感器专用于监视来自特定流量源的特定类型的流量。由于流量被过滤以除去不感兴趣的流量并且不同传感器监视流量的不同部分,因此由于较少流量被路由到用于监视的IDS而使效率大大提高。因此,每个IDS传感器采用的检测技术可被具体限定和细化,以确保全面地防范多种已知和未知的威胁,同时减少等待时间。
虽然已经参考特定实施例描述了本发明,但是这些实施例仅仅是示例性的而非限制性的。例如,网络可以包括不同的路由器、交换机、服务器以及在这样的网路中常见的其他组件或设备。此外,这些组件可以包括以不同于这里所述的方式实现网络设备和其他设备之间的连接功能的软件算法。
这里描述的可执行代码可以以任意合适的编程语言来实现以实现本发明的例程,包括C、C++、Java、汇编语言等等。可以采用不同的编程技术,例如程序性的或面向对象的。例程可以在操作系统环境中工作,或者作为占用系统处理的全部或绝大部分的独立例程工作。
在这里的描述中,提供了具体细节(例如组件和/或方法的示例),以对本发明的实施例提供全面理解。但是,本领域技术人员将意识到,没有这些具体细节中的一个或多个或者利用其他装置、系统、装备、方法、组件、材料、部件等等也可以实现本发明的实施例。在其他情况下,没有具体示出或描述公知的结构、材料或操作,以免模糊本发明的实施例的各个方面。
这里使用的各种数据库、应用软件或网络工具可能位于一个或多个服务器计算机中,更具体而言,位于这种服务器计算机的存储器中。出于本发明实施例的目的,这里使用的“存储器”可以是任意包含、存储、传输、传播或运送程序以用于指令执行系统、装置、系统或设备或与指令执行系统、装置、系统或设备结合使用的介质。存储器例如(但不局限于)可以是电子的、磁的、光的、电磁的、红外的或半导体系统、装置、系统、设备、传播介质或计算机存储器。
贯穿整个说明书,提到的“一个实施例”、“实施例”或“特定实施例”意味着结合该实施例所述的特定特征、结构或特性被包括在本发明的至少一个实施例中并且不一定包括在所有实施例中。因此,在说明书中各个位置上分别出现的短语“在一个实施例中”、“在实施例中”或“在特定实施例中”不一定指的是同一实施例。此外,本发明的任意特定实施例的特定特征、结构或特性可以按任意合适的方式被与一个或多个其他实施例组合在一起。将会理解,对这里描述和示出的本发明的实施例的其他变化和修改根据这里的教导是可能的,并且将被认为是本发明的精神和范围的一部分。
本发明的实施例可以通过使用经编程的通用数字计算机、专用集成电路、可编程逻辑器件、现场可编程门阵列来实现,可以使用光的、化学的、生物的、量子的或纳米工程(nanoengineered)系统、组件和机构。一般而言,本发明的功能可以利用本领域已知的任何装置来实现。分布式的或联网的系统、组件和电路可被使用。数据的通信或传输可以是有线的、无线的或利用任何其他装置。
还将意识到,附图中示出的一个或多个元件也可以用更加分离或集成的方式来实现,或者在某些情况下甚至被去除或使之不工作以用于特定应用。实现可被存储在机器可读介质中以允许计算机执行任意上述方法的程序或代码也包括在本发明的精神和范围中。
另外,附图中的任意信号箭头应被视为示例性的而非限制性的,除非另外特别注明。此外,除非另外指明,否则这里使用的术语“或”一般希望指的是“和/或”。组件或步骤的组合也将被视为显著的,其中术语被预见为能够对不清楚之处进行分离或组合。
在这里的描述和所附权利要求中使用的“一个”和“这个”包括复数情况,除非上下文另外明确指示。而且,这里的描述和所附权利要求中使用的“在...中”的意思包括“在...中”和“在...上”,除非上下文另外明确指示。
前面对本发明所示实施例的描述(包括摘要的描述)不希望被视为穷尽的或将本发明限制在这里公开的精确形式。虽然这里描述的本发明的特定实施例和示例出于举例说明的目的,但是本领域技术人员将会意识到,在本发明的精神和范围内可以进行各种等同修改。如上所述,根据前面对本发明所示实施例的描述,可以对本发明进行各种修改,并且这些修改将被包括在本发明的精神和范围内。
因此,虽然已经参考本发明的特定实施例描述了本发明,但是在前述公开中将想到各种修改、变化和替换,并且将意识到,在某些情况下,无需相应地使用其它特征,本发明的实施例的某些特征就将被采用,并且不会脱离本发明的精神和范围。因此,可以执行很多修改,以使得特定情况或材料适应于本发明的本质范围和精神。希望本发明不局限于所附权利要求书中的使用的特定术语和/或作为为了实现本发明而设想的最佳实施方式而公开的特定实施例,而是希望本发明包括落在所附权利要求书的范围中的所有修改和等同物。
Claims (18)
1.一种在具有多个流量源的网络环境中用于监视所述多个流量源中的至少一部分上的流量的系统,包括:
多个入侵检测系统;以及
交换机,被配置为:
拷贝来自所述多个流量源中的每个流量源的流量;以及
将所拷贝的流量重定向到一个虚拟局域网VLAN以用于入侵检测监视目的;
所述VLAN包括所述交换机或第二交换机,其中任一个交换机被配置为:
确定与所述流量相关联的多种流量类型,所述多种流量类型与多种协议类型相关联;
利用重定向判决来过滤并重定向所述流量,其中可操作来过滤的逻辑阻止所述流量的第一部分被发送到入侵检测系统,其中可操作来重定向的逻辑被配置为:
针对与被配置为监视第一流量源的流量的所述多个入侵检测系统中的第一组相关联的流量的第二部分确定所述第一流量源,并且针对与被配置为监视第二流量源的流量的所述多个入侵检测系统中的第二组相关联的流量的第三部分确定所述第二流量源;
对于所述第一流量源,基于所确定的被发送的流量的第二部分的流量类型来确定所述多个入侵检测系统的第一组中的第一入侵检测系统IDS,其中所述第一组与对不同流量类型的处理相关联;
对于所述第二流量源,基于所确定的被发送的流量的第三部分的流量类型来确定所述多个入侵检测系统的第二组中的第二入侵检测系统IDS;
将流量的所述第二部分重定向到所确定的第一入侵检测系统,并将流量的所述第三部分重定向到所述第二入侵检测系统。
2.如权利要求1所述的系统,其中所述交换机或第二交换机包括访问控制列表,该访问控制列表将所拷贝的流量转发到相关联的入侵检测系 统。
3.如权利要求2所述的系统,其中所述访问控制列表被用于区分流量类型。
4.如权利要求3所述的系统,其中所述交换机或第二交换机包括用于基于流量类型将流量发送到所述多个入侵检测系统之一的装置。
5.如权利要求1所述的系统,其中所述流量源包括大于两个的多个VLAN和大于两个的多个协议,并且所述多个入侵检测系统包括用于所述多个VLAN和协议中的每一个的至少一个入侵检测系统。
6.如权利要求1所述的系统,其中所述多个入侵检测系统还包括用于向所选类型的流量应用各种检测技术的装置。
7.如权利要求6所述的系统,其中与流量源相关联的所述多个入侵检测系统包括用于监视至少两种类型流量的多个入侵检测传感器。
8.如权利要求7所述的系统,其中所述多个入侵检测传感器中的每一个适合于监视具有以下流量类型之一的流量:RPC、HTTP、DNS、MAC或SMTP。
9.如权利要求8所述的系统,其中与所述多个流量源中的每个流量源相关联的所述入侵检测传感器包括单个虚拟的IDS传感器。
10.一种在具有至少三个子网的网络中用于有选择地监视每个所述子网上的流量的系统,包括:
多个入侵检测系统;
适合于识别要被拷贝的流量并拷贝流量的交换机;
适合于接收经拷贝的流量的VLAN;以及
与所述VLAN相关联的交换机,其适合于对流量源和流量类型执行分级判决,并且适合于基于所述流量源和流量类型将所述经拷贝的流量有选择地发送到所述多个入侵检测系统中的一个所选入侵检测系统。
11.如权利要求10所述的系统,还包括用于从所述经拷贝的流量中过滤出安全流量的装置。
12.如权利要求11所述的系统,其中所述过滤装置包括被配置用于对所述经拷贝的流量执行VACL REDIRECT命令的网络交换机。
13.如权利要求12所述的系统,其中所述过滤装置包括访问控制列表,该访问控制列表将所述经拷贝的流量重定向到相关联的入侵检测系统。
14.一种在具有至少三个子网的网络中用于有选择地监视每个所述子网上的流量的方法,包括:
配置用于拷贝来自每个所述子网的流量的第一交换机;
将经拷贝的流量发送到虚拟局域网;
确定所述经拷贝的流量的源和目的地;
针对第4层协议和第4层端口确定流量类型;
基于以上两个确定步骤,过滤所述经拷贝的流量以去除安全流量;以及
将经过滤的流量重定向到入侵检测系统。
15.如权利要求14所述的方法,其中该方法还包括在重定向步骤之前将每个流量源与至少一个入侵检测系统相关联的步骤。
16.如权利要求15所述的方法,其中该关联步骤包括针对对于所选流量源监视的每种类型的流量关联至少一个入侵检测系统的步骤。
17.如权利要求14所述的方法,其中所述配置步骤包括针对要被监视的每个流量源利用VACL命令配置第二交换机。
18.如权利要求14所述的方法,其中该两个确定步骤和所述过滤步骤包括利用VACL REDIRECT命令配置第二交换机。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US62381004P | 2004-10-28 | 2004-10-28 | |
US60/623,810 | 2004-10-28 | ||
US11/090,083 US7610375B2 (en) | 2004-10-28 | 2005-03-25 | Intrusion detection in a data center environment |
US11/090,083 | 2005-03-25 | ||
PCT/US2005/036480 WO2006049814A2 (en) | 2004-10-28 | 2005-10-11 | Intrusion detection in a data center environment |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101116068A CN101116068A (zh) | 2008-01-30 |
CN101116068B true CN101116068B (zh) | 2011-05-18 |
Family
ID=39023479
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2005800310647A Active CN101116068B (zh) | 2004-10-28 | 2005-10-11 | 数据中心环境中的入侵检测 |
Country Status (2)
Country | Link |
---|---|
US (1) | US7643468B1 (zh) |
CN (1) | CN101116068B (zh) |
Families Citing this family (92)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100806487B1 (ko) * | 2006-10-11 | 2008-02-21 | 삼성에스디에스 주식회사 | 대외채널통합 환경에서의 통신장애 처리시스템 및 그 방법 |
KR101421145B1 (ko) * | 2008-01-09 | 2014-07-18 | 삼성전자주식회사 | 무선 메쉬 네트워크에서 게이트웨이 선택 방법 |
US9130968B2 (en) * | 2008-01-16 | 2015-09-08 | Netapp, Inc. | Clustered cache appliance system and methodology |
US7890637B1 (en) * | 2008-02-25 | 2011-02-15 | Juniper Networks, Inc. | Secure communications in a system having multi-homed devices |
US8327017B1 (en) * | 2008-03-12 | 2012-12-04 | United Services Automobile Association (Usaa) | Systems and methods for an autonomous intranet |
US7872990B2 (en) * | 2008-04-30 | 2011-01-18 | Microsoft Corporation | Multi-level interconnection network |
US8355344B1 (en) * | 2008-07-23 | 2013-01-15 | Sprint Communications Company L.P. | Storage area network edge-core interswitch link optimization |
CN102246156A (zh) * | 2008-10-14 | 2011-11-16 | 惠普开发有限公司 | 在网络系统中管理事件流量 |
US8065433B2 (en) | 2009-01-09 | 2011-11-22 | Microsoft Corporation | Hybrid butterfly cube architecture for modular data centers |
US8184648B2 (en) * | 2009-06-18 | 2012-05-22 | Rockstar Bidco, LP | Method and apparatus for implementing control of multiple physically dual homed devices |
CN101902456B (zh) * | 2010-02-09 | 2013-04-03 | 北京启明星辰信息技术股份有限公司 | 一种Web网站安全防御系统 |
US20110202682A1 (en) * | 2010-02-12 | 2011-08-18 | Microsoft Corporation | Network structure for data center unit interconnection |
US8594080B2 (en) | 2010-10-29 | 2013-11-26 | International Business Machines Corporation | Multiple functionality in a virtual storage area network device |
US8958337B1 (en) | 2010-12-23 | 2015-02-17 | Juniper Networks, Inc. | Scalable method to support multi-device link aggregation |
CN102118319B (zh) * | 2011-04-06 | 2013-09-18 | 杭州华三通信技术有限公司 | 流量负载均衡方法和装置 |
US8743885B2 (en) | 2011-05-03 | 2014-06-03 | Cisco Technology, Inc. | Mobile service routing in a network environment |
US9246994B2 (en) * | 2011-06-23 | 2016-01-26 | Telefonaktiebolaget L M Ericsson (Publ) | Method and system for distributing a network application among a plurality of network sites on a shared network |
US9088584B2 (en) | 2011-12-16 | 2015-07-21 | Cisco Technology, Inc. | System and method for non-disruptive management of servers in a network environment |
CN102438023B (zh) * | 2011-12-29 | 2014-08-20 | 华为数字技术(成都)有限公司 | 恶意远程过程调用行为的检测方法和装置 |
US9009319B2 (en) * | 2012-01-18 | 2015-04-14 | Rackspace Us, Inc. | Optimizing allocation of on-demand resources using performance |
WO2013119173A2 (en) * | 2012-02-07 | 2013-08-15 | Oricane Ab | Classification engine for data packet classification |
US8949830B2 (en) | 2012-03-29 | 2015-02-03 | International Business Machines Corporation | Emulating a data center network on a single physical host with support for virtual machine mobility |
US9025434B2 (en) * | 2012-09-14 | 2015-05-05 | Microsoft Technology Licensing, Llc | Automated datacenter network failure mitigation |
US9692824B1 (en) * | 2012-09-27 | 2017-06-27 | EMC IP Holding Company LLC | Methods and apparatus for providing isolation zones in a cloud computing environment |
US8947888B2 (en) | 2012-12-17 | 2015-02-03 | Microsoft Corporation | Substantially rigid interconnection structure for devices |
US9201837B2 (en) | 2013-03-13 | 2015-12-01 | Futurewei Technologies, Inc. | Disaggregated server architecture for data centers |
US9794379B2 (en) | 2013-04-26 | 2017-10-17 | Cisco Technology, Inc. | High-efficiency service chaining with agentless service nodes |
US9258243B2 (en) | 2013-05-10 | 2016-02-09 | Cisco Technology, Inc. | Symmetric service chain binding |
US9246799B2 (en) | 2013-05-10 | 2016-01-26 | Cisco Technology, Inc. | Data plane learning of bi-directional service chains |
US9826025B2 (en) | 2013-05-21 | 2017-11-21 | Cisco Technology, Inc. | Chaining service zones by way of route re-origination |
US9178812B2 (en) | 2013-06-05 | 2015-11-03 | Cisco Technology, Inc. | Stacking metadata contexts for service chains |
US9444675B2 (en) | 2013-06-07 | 2016-09-13 | Cisco Technology, Inc. | Determining the operations performed along a service path/service chain |
US9509614B2 (en) | 2013-06-20 | 2016-11-29 | Cisco Technology, Inc. | Hierarchical load balancing in a network environment |
US9755959B2 (en) | 2013-07-17 | 2017-09-05 | Cisco Technology, Inc. | Dynamic service path creation |
US9813499B2 (en) * | 2013-07-23 | 2017-11-07 | Virtual Strongbox, Inc. | Virtual storage system and method of sharing access to the virtual storage system for adding electronic documents |
US9385950B2 (en) | 2013-10-14 | 2016-07-05 | Cisco Technology, Inc. | Configurable service proxy local identifier mapping |
US9374297B2 (en) * | 2013-12-17 | 2016-06-21 | Cisco Technology, Inc. | Method for implicit session routing |
US9614739B2 (en) | 2014-01-30 | 2017-04-04 | Cisco Technology, Inc. | Defining service chains in terms of service functions |
US9467382B2 (en) | 2014-02-03 | 2016-10-11 | Cisco Technology, Inc. | Elastic service chains |
US9503422B2 (en) * | 2014-05-09 | 2016-11-22 | Saudi Arabian Oil Company | Apparatus, systems, platforms, and methods for securing communication data exchanges between multiple networks for industrial and non-industrial applications |
US9479443B2 (en) | 2014-05-16 | 2016-10-25 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
US9379931B2 (en) | 2014-05-16 | 2016-06-28 | Cisco Technology, Inc. | System and method for transporting information to services in a network environment |
US9537752B2 (en) | 2014-07-14 | 2017-01-03 | Cisco Technology, Inc. | Encoding inter-domain shared service paths |
US10455019B2 (en) * | 2014-09-10 | 2019-10-22 | Oracle International Corporation | Highly performant reliable message storage using in-memory replication technology |
US9548919B2 (en) | 2014-10-24 | 2017-01-17 | Cisco Technology, Inc. | Transparent network service header path proxies |
US10417025B2 (en) | 2014-11-18 | 2019-09-17 | Cisco Technology, Inc. | System and method to chain distributed applications in a network environment |
US9660909B2 (en) | 2014-12-11 | 2017-05-23 | Cisco Technology, Inc. | Network service header metadata for load balancing |
USRE48131E1 (en) | 2014-12-11 | 2020-07-28 | Cisco Technology, Inc. | Metadata augmentation in a service function chain |
US9768870B2 (en) | 2015-02-25 | 2017-09-19 | Ciena Corporation | Automatic configuration of network devices in a cluster based on physical deployment |
CN106209745B (zh) * | 2015-05-07 | 2019-09-03 | 阿里巴巴集团控股有限公司 | 一种流量的分流方法和设备 |
US9762402B2 (en) | 2015-05-20 | 2017-09-12 | Cisco Technology, Inc. | System and method to facilitate the assignment of service functions for service chains in a network environment |
US10318475B2 (en) | 2015-06-24 | 2019-06-11 | Oracle International Corporation | System and method for persistence of application data using replication over remote direct memory access |
US9756407B2 (en) | 2015-10-01 | 2017-09-05 | Alcatel-Lucent Usa Inc. | Network employing multi-endpoint optical transceivers |
US9762452B2 (en) | 2015-10-01 | 2017-09-12 | Alcatel-Lucent Usa Inc. | Network switch employing one or more multi-endpoint optical transceivers |
US11044203B2 (en) | 2016-01-19 | 2021-06-22 | Cisco Technology, Inc. | System and method for hosting mobile packet core and value-added services using a software defined network and service chains |
US10187306B2 (en) | 2016-03-24 | 2019-01-22 | Cisco Technology, Inc. | System and method for improved service chaining |
US10931793B2 (en) | 2016-04-26 | 2021-02-23 | Cisco Technology, Inc. | System and method for automated rendering of service chaining |
US10469526B2 (en) | 2016-06-06 | 2019-11-05 | Paypal, Inc. | Cyberattack prevention system |
US10419550B2 (en) | 2016-07-06 | 2019-09-17 | Cisco Technology, Inc. | Automatic service function validation in a virtual network environment |
US10320664B2 (en) | 2016-07-21 | 2019-06-11 | Cisco Technology, Inc. | Cloud overlay for operations administration and management |
US10218616B2 (en) | 2016-07-21 | 2019-02-26 | Cisco Technology, Inc. | Link selection for communication with a service function cluster |
US10225270B2 (en) | 2016-08-02 | 2019-03-05 | Cisco Technology, Inc. | Steering of cloned traffic in a service function chain |
CN106102074A (zh) * | 2016-08-11 | 2016-11-09 | 山东奥联信息科技有限公司 | 高速公路全程无线wifi覆盖系统 |
US10218593B2 (en) | 2016-08-23 | 2019-02-26 | Cisco Technology, Inc. | Identifying sources of packet drops in a service function chain environment |
US10361969B2 (en) | 2016-08-30 | 2019-07-23 | Cisco Technology, Inc. | System and method for managing chained services in a network environment |
US10108560B1 (en) * | 2016-09-14 | 2018-10-23 | Evol1-Ip, Llc | Ethernet-leveraged hyper-converged infrastructure |
US10191818B2 (en) * | 2016-11-14 | 2019-01-29 | Sap Se | Filtered replication of data in distributed system of data centers |
US10348800B2 (en) * | 2017-02-08 | 2019-07-09 | Microsoft Technology Licensing, Llc | Invocation context caching |
US10225187B2 (en) | 2017-03-22 | 2019-03-05 | Cisco Technology, Inc. | System and method for providing a bit indexed service chain |
US10257033B2 (en) | 2017-04-12 | 2019-04-09 | Cisco Technology, Inc. | Virtualized network functions and service chaining in serverless computing infrastructure |
US10884807B2 (en) | 2017-04-12 | 2021-01-05 | Cisco Technology, Inc. | Serverless computing and task scheduling |
US10178646B2 (en) | 2017-04-12 | 2019-01-08 | Cisco Technology, Inc. | System and method to facilitate slice management in a network environment |
US10333855B2 (en) | 2017-04-19 | 2019-06-25 | Cisco Technology, Inc. | Latency reduction in service function paths |
US10554689B2 (en) | 2017-04-28 | 2020-02-04 | Cisco Technology, Inc. | Secure communication session resumption in a service function chain |
US10673891B2 (en) | 2017-05-30 | 2020-06-02 | Akamai Technologies, Inc. | Systems and methods for automatically selecting an access control entity to mitigate attack traffic |
US10735275B2 (en) | 2017-06-16 | 2020-08-04 | Cisco Technology, Inc. | Releasing and retaining resources for use in a NFV environment |
US10798187B2 (en) | 2017-06-19 | 2020-10-06 | Cisco Technology, Inc. | Secure service chaining |
US10397271B2 (en) | 2017-07-11 | 2019-08-27 | Cisco Technology, Inc. | Distributed denial of service mitigation for web conferencing |
US10673698B2 (en) | 2017-07-21 | 2020-06-02 | Cisco Technology, Inc. | Service function chain optimization using live testing |
US11063856B2 (en) | 2017-08-24 | 2021-07-13 | Cisco Technology, Inc. | Virtual network function monitoring in a network function virtualization deployment |
US10791065B2 (en) | 2017-09-19 | 2020-09-29 | Cisco Technology, Inc. | Systems and methods for providing container attributes as part of OAM techniques |
US11018981B2 (en) | 2017-10-13 | 2021-05-25 | Cisco Technology, Inc. | System and method for replication container performance and policy validation using real time network traffic |
US10541893B2 (en) | 2017-10-25 | 2020-01-21 | Cisco Technology, Inc. | System and method for obtaining micro-service telemetry data |
CN107659582B (zh) * | 2017-10-27 | 2023-08-08 | 李刚 | 一种有效应对apt攻击的纵深防御系统 |
US11950304B2 (en) | 2018-04-18 | 2024-04-02 | Rochester Institute Of Technology | Direct server-to-server wireless data center network and method thereof |
CN108401033B (zh) * | 2018-04-23 | 2023-12-08 | 衡阳泰豪通信车辆有限公司 | 一种动中通信息资源调度系统 |
US10666612B2 (en) | 2018-06-06 | 2020-05-26 | Cisco Technology, Inc. | Service chains for inter-cloud traffic |
CN112787836B (zh) * | 2019-11-07 | 2022-04-15 | 比亚迪股份有限公司 | 用于轨道交通的信息安全网络拓扑系统和用于实现轨道交通的信息安全的方法 |
KR102382889B1 (ko) * | 2019-11-28 | 2022-04-05 | 네이버클라우드 주식회사 | 프로세스 정보를 사용하여 웹쉘을 탐지하는 방법 및 시스템 |
CN113268696B (zh) * | 2021-06-16 | 2022-09-23 | 广州数智网络科技有限公司 | 一种四方支付网站识别及用户分析方法 |
CN113596008A (zh) * | 2021-07-23 | 2021-11-02 | 国网安徽省电力有限公司铜陵供电公司 | 一种基于微传感器技术的网络安全常态监控系统 |
CN115618842B (zh) * | 2022-12-15 | 2023-04-11 | 浙江蓝鸽科技有限公司 | 一体化智慧校园数据中台系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1394041A (zh) * | 2001-06-26 | 2003-01-29 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
CN1516033A (zh) * | 2003-08-29 | 2004-07-28 | 迈普(四川)通信技术有限公司 | 防范计算机网络攻击的方法 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6614781B1 (en) | 1998-11-20 | 2003-09-02 | Level 3 Communications, Inc. | Voice over data telecommunications network architecture |
US6857059B2 (en) | 2001-01-11 | 2005-02-15 | Yottayotta, Inc. | Storage virtualization system and methods |
US7096269B2 (en) * | 2001-03-30 | 2006-08-22 | Hitachi, Ltd. | Path selection methods for storage based remote copy |
US20050281470A1 (en) * | 2001-12-26 | 2005-12-22 | Adams Michael A | System and method for streaming media |
US7843923B2 (en) * | 2002-01-08 | 2010-11-30 | Verizon Services Corp. | Methods and apparatus for determining the port and/or physical location of an IP device and for using that information |
US7899885B2 (en) * | 2003-06-27 | 2011-03-01 | At&T Intellectual Property I, Lp | Business enterprise backup and recovery system and method |
CA2452251C (en) * | 2003-12-04 | 2010-02-09 | Timothy R. Jewell | Data backup system and method |
-
2005
- 2005-09-14 US US11/227,377 patent/US7643468B1/en active Active
- 2005-10-11 CN CN2005800310647A patent/CN101116068B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1394041A (zh) * | 2001-06-26 | 2003-01-29 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
CN1516033A (zh) * | 2003-08-29 | 2004-07-28 | 迈普(四川)通信技术有限公司 | 防范计算机网络攻击的方法 |
Non-Patent Citations (4)
Title |
---|
Simon Edwards.Vulnerabilities of Network Intrusion Detection Systems:Realizingand Overcoming the Risks.whitepapers,Top Layer Networks.2002,正文第10,14,16页、图10. |
Simon Edwards.Vulnerabilities of Network Intrusion Detection Systems:Realizingand Overcoming the Risks.whitepapers,Top Layer Networks.2002,正文第10,14,16页、图10. * |
US 2003/0009699 A1,说明书第[0136],[0140],[0162]段. |
全文. |
Also Published As
Publication number | Publication date |
---|---|
US7643468B1 (en) | 2010-01-05 |
CN101116068A (zh) | 2008-01-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101116068B (zh) | 数据中心环境中的入侵检测 | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
Vishwakarma et al. | A survey of DDoS attacking techniques and defence mechanisms in the IoT network | |
CN100530208C (zh) | 适于病毒防护的网络隔离技术 | |
CN1612532B (zh) | 基于主机的网络入侵检测系统 | |
US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
US8356349B2 (en) | Method and system for intrusion prevention and deflection | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US20060037077A1 (en) | Network intrusion detection system having application inspection and anomaly detection characteristics | |
US20040250133A1 (en) | Computer security event management system | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
US20130311676A1 (en) | Logical / physical address state lifecycle management | |
US20030084328A1 (en) | Method and computer-readable medium for integrating a decode engine with an intrusion detection system | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
Pradhan et al. | Intrusion detection system (IDS) and their types | |
Atighetchi et al. | Adaptive cyberdefense for survival and intrusion tolerance | |
JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
US7469418B1 (en) | Deterring network incursion | |
GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
Shah et al. | Signature-based network intrusion detection system using SNORT and WINPCAP | |
KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
KR101006372B1 (ko) | 유해 트래픽 격리 시스템 및 방법 | |
US8819285B1 (en) | System and method for managing network communications | |
JP2000354034A (ja) | 事業:ハッカー監視室 | |
KR20140078329A (ko) | 내부망 타겟 공격 대응 장치 및 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant |