CN101146066B - 网络接口设备、计算系统及传递数据的方法 - Google Patents
网络接口设备、计算系统及传递数据的方法 Download PDFInfo
- Publication number
- CN101146066B CN101146066B CN2007101482266A CN200710148226A CN101146066B CN 101146066 B CN101146066 B CN 101146066B CN 2007101482266 A CN2007101482266 A CN 2007101482266A CN 200710148226 A CN200710148226 A CN 200710148226A CN 101146066 B CN101146066 B CN 101146066B
- Authority
- CN
- China
- Prior art keywords
- network
- data
- interface unit
- sample
- network interface
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明涉及一种网络接口设备、计算系统及传递数据的方法。其中网络接口设备包括安全数据库和安全服务引擎。该安全数据库用于存储与事先确定的恶意软件相对应的样本。该安全服务引擎用于将即将通过网络传递的数据与存储在安全数据库中的样本进行比较,该安全数据库还可从网络接收更新样本。
Description
技术领域
本发明涉及计算系统和网络之间的通信,更具体地说,涉及一种智能网络接口控制器。
背景技术
联网计算机系统通常包括在网络中连接一起的多个客户端计算机,通过网络可交换大量数据。在中心位置连接到网络中的一组计算机可称为局域网(LAN),一组位置分布很广的计算机或局域网可在广域网(WAN)中连接到一起,例如英特网。
将数据分组打包为数据包,并通过网络交换给其它客户机,可实现客户机之间的相互通信。数据包通常包括有效载荷和报头,有效载荷中包括将要通过网络传递的数据,报头用于描述该数据包发送目的地的位置信息。在网络中每一个客户机都分配有一个唯一的地址,该地址用于唯一标识网络中的客户机和其它设备。该唯一地址可以是,例如英特网协议(IP)地址或媒体访问控制(MAC)地址。当数据包通过网络从源客户机传递到目的客户机时,该数据包可通过网络中的许多节点(例如:集线器、路由器、交换机和网络服务器),这些网络节点接收数据包并将该数据包转发到目的地或通往目的地沿途的其它节点。
尽管联网计算机系统由于实现了多个客户机之间的互连而得到许多益处,然而也可能会使网络中的互连客户机受到攻击和损害。例如,在理想的网络中,数据可以安全地从源客户机传递到目的客户机。然而未授权的客户可能会在网络节点或节点之间的连接点入侵网络,并复制和/或感染通过网络传递的数据,导致机密数据失窃或在网络中传播受感染的数据。另外,源客户机上的恶意数据(例如,病毒和蠕虫)可轻易地通过网络从该客户机传递到一个或多个目的客户机,而这些恶意数据可能会对目的客户机造成损害。
为了防范通过网络传递的机密数据遭到非授权访问和窃取,源客户机在传递数据前可先对数据进行加密,并在收到数据后由目的客户机进行解密。然而在这种方案中网络本质上对数据内容是盲目无知的,因此当传播的数据中包含其不能识别的恶意数据(例如病毒)时,容易受到攻击。对网络流量的有效分析(例如用于检测和防范恶意数据)一般只能在清晰(clear)、未加密的数据上进行,或者在网络节点或目的地已经对网络流量解密之后进行,然而在从源客户机到目的客户机的路途中解密该网络流量将极大地破坏在源端和目的端使用加密数据进行通信的目的。
为了防范恶意数据的传播,可以对通过网络传播的数据进行扫描,查看是否为病毒、蠕虫或其它恶意数据。可在将数据从客户机传递到网络之前或在刚刚从网络接收到数据时,通过驻存在客户机上的反病毒或反恶意软件程序对其进行扫描。遗憾的是,恶意软件装载到计算机系统上之后的第一动作常常是破坏这种反病毒和反恶意软件程序,使其无法运行,导致恶意软件和数据无法被客户机检测到且可能传播给与网络相连的其它客户机。也可通过驻存在网络节点中的反病毒和反恶意软件程序对网络中传递的数据进行扫描,然而这种程序的操作通常依赖于访问清晰、未加密的数据,因此这种程序一般无法检测到加密的恶意数据。此外,当网络连接有多个客户机时,要求网络对其传递的数据包进行扫描,查看是否为恶意数据,将加重网络的运行负担。
发明内容
在一方面,网络接口设备包括安全数据库和安全服务引擎。安全数据库用于存储与事先确定的恶意软件相对应的样本。安全服务引擎用于将即将通过网络传递的数据与存储在安全数据库中的样本进行比较,安全数据库还能够从网络接收更新样本。
具体实施时可包括如下的一个或多个特征。例如,可对该网络接口设备进行设置,使其通过加密信道从网络中接收更新的样本。该安全服务引擎可包括以下中的至少一种:入侵检测服务、入侵防范服务或反病毒扫描服务。该网络接口设备可进一步包括基于硬件的辨认标识(identification token),用以识别在该网络中的网络接口设备。该网络接口设备还可包括主机总线,用于从系统的中央处理单元接收即将通过所述网络传递的数据;和/或加密引擎,用于对与所述样本比较后的数据进行加密。安全服务引擎对数据进行的扫描独立于从系统中央处理单元接收到的指令。可对安全数据库进行设置,使系统的中央处理单元无法对其进行访问。样本可包括恶意软件代码的特征码(signature)或正则表达式(regular expression)。
在另一方面,计算系统包括中央处理单元(CPU)、CPU可访问的随机访问存储器(用于存储可由CPU执行的指令)、用于在中央处理器和网络之间路由数据的网络接口设备。网络接口设备包括安全数据库和安全服务引擎。安全数据库用于存储与事先确定的恶意软件相对应的样本。安全服务引擎用于将所述网络和系统之间所交换的数据与存储在安全数据库中的样本进行比较,该安全数据库能够从网络接收更新样本。
具体实施时可包括以下一个或多个特征。该计算系统可进一步包括基于硬件的辨认标识,用以识别该网络中的网络接口设备。该计算系统可进一步包括主机总线,用于在网络接口设备和系统的中央处理单元之间交换数据。该网络接口设备可进一步包括加密引擎,用于对与所述样本比较后的数据进行加密。该安全服务引擎可将数据与样本进行比较,且独立于从中央处理单元接收到的指令。可对安全数据库进行设置,使系统的中央处理单元无法对其进行访问。样本可包括恶意软件代码的特征码或常规表达。该网络接口设备可进一步包括隔离引擎,用于当数据与样本比较结果出现匹配时,将计算系统与网络隔离开。网络接口设备还可以依据从网络接口设备传递到网络管理站的基于硬件的辨认标识来建立通往网络管理站的安全信道,该安全信道可用于将更新样本从网络传递到安全数据库。该网络接口设备可进一步包括加密引擎,用于在与样本比较后对数据进行加密。
在另一方面,一种方法可包括从计算系统的中央处理单元向网络接口设备传递数据,以便从所述网络接口设备向网络传递所述数据;并将所述数据与事先确定的恶意软件相对应的样本进行比较,其中所述样本存储在所述网络接口设备的安全数据库中,所述中央处理单元不能访问所述安全数据库。
根据本发明的一方面,提供一种网络接口设备,包括:
安全数据库,用于存储与事先确定的恶意软件相对应的样本;
安全服务引擎,用于将即将通过网络传递的数据与存储在安全数据库中的样本进行比较;
其中,所述安全数据库能够从网络接收更新样本。
在本发明所述的网络接口设备中,所述网络接口设备是通过加密信道从网络接收更新样本。
在本发明所述的网络接口设备中,所述安全服务引擎包括入侵检测服务、入侵防范服务或反病毒扫描服务中的至少一种。
在本发明所述的网络接口设备中,还包括基于硬件的辨认标识,用于在所述网络中识别所述网络接口设备。
在本发明所述的网络接口设备中,包括主机总线,用于从系统的中央处理单元接收即将通过所述网络传递的数据。
在本发明所述的网络接口设备中,还包括加密引擎,用于对与所述样本比较后的数据进行加密。
在本发明所述的网络接口设备中,所述安全服务引擎对数据的扫描独立于从系统中央处理单元接收的指令。
在本发明所述的网络接口设备中,所述系统中央处理单元不能访问安全数据库。
在本发明所述的网络接口设备中,所述样本包括恶意软件代码的特征码或正则表达式。
根据本发明的一个方面,提供一种计算系统,包括:
中央处理单元(CPU);
随机访问存储器,其能够由所述CPU访问,用于存储所述CPU能够执行的指令;
网络接口设备,用于在所述中央处理单元和网络之间路由数据,其中所述网络接口设备包括:
安全数据库,用于存储与事先确定的恶意软件相对应的样本;
安全服务引擎,用于将所述网络和系统之间所交换的数据与存储在安全数据库中的样本进行比较;
其中,所述安全数据库能够从网络接收更新样本。
在本发明所述的计算系统中,所述网络设备还包括基于硬件的辨认标识,用于在所述网络中识别所述网络接口设备。
在本发明所述的计算系统中,还包括主机总线,用于在所述网络接口设备和所述系统的中央处理单元之间交换数据。
在本发明所述的计算系统中,所述网络接口设备还包括加密引擎,用于对与所述样本比较后的数据进行加密。
在本发明所述的计算系统中,所述安全服务引擎对数据的扫描独立于从系统中央处理单元接收的指令。
在本发明所述的计算系统中,所述系统中央处理单元不能访问安全数据库。
在本发明所述的计算系统中,所述样本包括恶意软件代码的特征码或正则表达式。
在本发明所述的计算系统中,所述网络接口设备还包括隔离引擎,用于当比较结果显示数据与样本匹配时将所述计算系统与网络隔离。
在本发明所述的计算系统中,根据从网络接口设备向网络管理站传递的基于硬件的辨认标识,所述网络接口设备可建立到网络管理站的安全信道,其中所述安全信道用于从网络向安全数据库路由更新信息。
根据本发明的一方面,提供一种在计算系统和网络之间传递数据的方法,包括
从计算系统的中央处理单元向网络接口设备传递数据,以便从所述网络接口设备向网络传递所述数据;
将所述数据与事先确定的恶意软件相对应的样本进行比较,其中所述样本存储在所述网络接口设备的安全数据库中,所述中央处理单元不能访问所述安全数据库。
附图说明
下面将结合附图及实施例对本发明作进一步说明,附图中:
图1是本发明第一实施例的与网络进行通信的计算系统的结构方框图;
图2是恶意软件的方框图;
图3是本发明第二实施例的与网络进行通信的计算系统的结构方框图;
图4是用于处理网络入侵防范的流程图。
具体实施方式
图1是本发明第一实施例的与网络10进行通信的计算系统100的结构方框图。该计算系统100可以是,例如个人计算机、服务器、个人数字助手(PDA)、移动电话、智能电话或者是可以通过网络与其它计算设备相连的计算设备。计算系统100可包括处理器(例如中央处理单元(CPU))102、固定存储设备(例如硬盘、非易失(例如闪存)存储器或可移动的记录媒体(例如,CD))103、和随机访问存储器(RAM)104,它们可连接在一起,并通过总线106(例如,外围设备互联(PCI)总线或其它类型计算机扩展总线)交换信息。存储器设备103可以是非易失存储器设备,其能够存储计算机可读指令(例如软件),该指令可传递到RAM 104,由CPU 102执行。例如,存储设备103可存储操作系统和/或一个或多个可被计算系统100的CPU 102执行的应用程序。例如网络10可以是局域网、广域网、英特网或企业内部互联网。网络10可连接到系统100,例如,通过物理媒介(例如铜线)传播电信号、通过光缆(例如玻璃纤维)传播光信号、通过无线通信信道传播电磁信号、或通过不同通信信道的组合传播信号。
计算系统100还包括网络接口设备(NID)110,其将计算系统100连接到网络(例如分组交换网络)10。该NID 110包括协议处理模块以使系统100能够与计算机网络10交换数据。为实现支持这些应用程序所需的数据包的传递,采用传输控制协议(TCP)或其它相关技术对数据包进行适当的格式化处理。对于连接到计算系统100的远端设备,这种格式化处理有助于其通过网络10接收数据包。例如,TCP英特网协议(TCP/IP)适用于计算机网络,例如英特网,对需要传递的数据包进行格式化。这些协议通常在计算系统100内由称为网络协议栈(例如主机TCP栈)的软件模块处理,并在传递数据前添加到数据包中。
NID110可通过主机总线适配器116、主机总线112和桥接器114连接到CPU 102和存储器104。NID110可是一个独立部件,例如一块可插入计算系统100内部扩充槽中的卡,或者NID 110可以集成在计算系统100的其它部件中。例如NID110可以集成到计算系统的主板上。
NID110可包括一个或多个处理器120和一个或多个存储器设备122,其可以是NID内的专用集成电路(ASIC)的一部分。处理器120可在NID内执行数据处理操作,例如,这些操作涉及到准备需要传递到网络的数据包、从网络中接收数据包以及保证网络10和系统100的安全,更详细的将在下面介绍。一个或多个存储器设备122可包括只读存储器(ROM)和随机存储器(RAM),用于存储可由一个或多个处理器120执行、引用或用于其它用处的指令。
NID110可包括有关媒体访问控制(MAC)层电路124和物理层接口(PHY)电路126,当从NID110传递数据包到网络10或当NID接收来自网络的数据包时,通过这些电路。MAC层124是位于OSI网络模型数据链路层的逻辑层,用于控制对NID110的PHY层电路126的访问。
连接到网络的客户机要进行通信,这些客户机必须能互相识别。因此,在一实施例中,连接到网络中的每一个NID110都具有一个唯一的序列号(例如48比特数字),有时称为MAC地址,用于在网络10中以及连接到网络中的其它客户端中唯一地标识NID110。因此,在该实施例中,当系统100将信息传递到连接在网络中的另一目的客户机时,该信息可被路由到目的客户机的MAC地址,确保信息正确送达。NID110的MAC地址存储在ROM中,ROM可位于例如NID110中的存储器122上,可以分配唯一的MAC地址给NID(例如通过标准体系,如IEEE),这样两个不同的NID决不会拥有相同的MAC地址。在另一实施例中(有时称为混杂模式通信),NID对每个传递的数据包都接收、读取和处理,无论这些数据包的目的地址是否是该NID。在非混杂模式中,当该NID110收到数据包后,将检查其中的MAC地址以验证该数据包是否是分配给该NID110的,如果不是,则丢弃该数据包。当在混杂模式中操作时,即使该数据包的地址与该NID的MAC地址不一致,NID也不会丢弃数据包,因此使得NID读取从网络中接收到的所有数据包。
PHY层126定义NID110的电气和物理性能(例如引脚布置、电压和电缆性能)。在操作中,PHY层电路126建立和终止系统100和网络10之间的连接。MAC层电路124确定和控制在特定时刻允许连接在网络10中的哪些客户机与NID110的PHY层126通信。MAC层电路124还将数据包转换成网络帧。
NID110包括加密/解密模块128,用于加密即将从系统100传递到网络10的数据流量,或解密系统从网络接收到的数据流量。因此,该NID110可通过主机总线112接收来自CPU102的非加密数据,然后在将该数据从系统向网络传送之前在加密/解密模块128中对该数据进行加密。当系统100作为目的客户机时,可从网络10接收加密数据,并在加密/解密模块中进行解密,然后将清晰(clear)数据发送给CPU102。通过协商采用相同的加密算法在系统100和其它客户机之间进行数据通信,加密/解密模块128可在系统和其它网络客户机之间建立安全连接(例如安全套接层(SSL)连接或IP安全(IPSEC)连接)。这样的密码算法可以基于,例如公钥密码、对称密码和单向哈希(hash)函数。一旦安全连接被建立,数据可被打包并在系统100和其它客户机之间进行交换。
在一实施例中,NID110可包括安全数据库130和安全服务组件132,可一起用于对进来或出去的数据包进行扫描,查看是否是病毒、蠕虫或其它类型的恶意软件,还可用于检测和防范对网络10或系统100的非授权入侵。安全数据库130可存储在存储器122中,用于存储与样本134相对应的数据,样本134具有特定恶意软件200的特征。如图2所示的恶意软件200可包括目的在于潜入和破坏计算机系统100或网络10的软件、脚本、可执行代码和数据(例如,计算机病毒、蠕虫、特洛依木马、间谍程序或广告软件)。例如,恶意软件200的目的是在系统100或网络10中引发一个或多个事件,从而对系统或网络带来有害操作或安全问题。而且,恶意软件200可发现系统100或网络10的漏洞,从而干扰系统或网络安全策略,为系统或网络用户带来不利的结果。当特定的恶意软件被发现后,包含恶意软件中的代码块或比特串210的样本可作为识别恶意软件200的指纹。
如图1所示,安全服务组件132可包括反病毒扫描(AVS)引擎140、入侵防范服务(IPS)引擎142和入侵检测服务(IDS)引擎144,其可对系统100和网络10之间交换的或将要交换的数据流量进行各种安全服务。各种引擎140、142和144可基于存储在存储器设备122中代码由处理器120执行,并需要依赖存储在数据库130中的信息来执行这些服务。
在一例子中,AVS引擎140可利用存储在安全数据库130中样本134的目录来检测、隔离和杀除已知的恶意软件,例如病毒、蠕虫、特洛依木马、间谍程序或广告程序。当AVS 140检测到正在通过NID110的数据流量(例如,构成向网络传送或接收来自网络的部分文件的数据流量)时,该AVS将该数据流量与已知病毒(经AVS的作者确定)的样本134进行比较。如果数据流量中的码片与数据库130中的样本134匹配,AVS尝试在将文件通过主机总线112传送到系统100的CPU 102之前杀除病毒以修复数据流量构成的文件。作为另一选择,AVS 140可调用隔离引擎150,在将文件传送到系统CPU 102之前将该文件加上表示已感染的标签。然后,基于隔离标签,CPU 102可立即将该文件发送到存储设备103或RAM 104的隔离区,以使装载在RAM 104上的其它程序无法访问受感染文件,且使CPU 102无法执行受感染文件。从而可终止或防止病毒传播给连接在网络中的其它客户机。可选择地,当AVS引擎140确认通过NID110的数据流量中的码片与存储在安全数据库130中的样本134相匹配时,AVS引擎可简单地删除包含这种码片的文件,使该文件不能传送至系统100的CPU。
在安全数据库130中的样本134可包括用于识别已知或疑似恶意软件的特征码(signatures)136和正则表达式(regular expressions)138。特征码134可包括带有恶意软件或恶意软件族特征的区别字节样本(byte-patterns),且当恶意软件通过NID110时能被AVS引擎140识别。当数据流量中的这种字节样本通过NID110被AVS引擎140识别出时,AVS引擎能够采取行动以保护系统100和网络。有些病毒采用的技术可以阻挠精确匹配检测方式(即通过查找与病毒特征码精确匹配的字节样本来检测病毒)。例如,病毒可包括与存储在数据库130中的特征码136相似但不相同的字节样本,或病毒可自动修改部分代码因而不总是有相同的特征码。在这种情况下,可采用存储在数据库130中的正则表达式138来宽松地描述病毒,使该病毒仍然能够区别于其它网络流量。因此,与唯一地识别特定字节样本这种方式不同,正则表达式138能够描述一组表征恶意软件的相似或相关的字节样本,该恶意软件可由AVS 140检测到,但是该组字节样本中的所有成分不必全部列在数据库130中。
正则表达式可以采用形式语言理论(formal language theory)来表达,可包括分别用于描述字符串集合和对字符串集合进行操作的常量和操作符。因此,例如该集合包括三个字符串Schaefer、和Schafer,可用样本“Sch()fer,”描述,其中操作符“|”表示该操作符之前和之后出现的字符“”和“a”均为有效;操作符“?”表示出现在该操作符之前的字符可以存在也可省略;圆括号表示常量,操作符对常量进行操作。
因此,正则表达式138通常比特征码136描述了更多的潜在数据集合,但是正则表达式比特征码可导致更多的误确认(false positive)匹配。所以,相比使用精确的特征码来说,通过使用正则表达式138定义较为宽松的恶意软件能够识别更多的恶意软件,特别是当已知恶意软件存在许多不同的变异或变形,或当该恶意软件能够自动改变自身(例如尽管与特征码匹配仍可逃脱检测)的情况下。
另外除了可采用将数据流量与存储在数据库中的特征码和正则表达式进行比较来检测恶意软件外,还可通过其它技术和方法检测恶意软件。例如,安全服务132可在IDS引擎144、IPS引擎142和AVS引擎140中的任意个或全部中设置常规检测程序,用于监视和分析网络行为,检测流量样本中暗示存在恶意软件的异常现象。在通过NID110的网络流量中检测到异常意味着计算系统100中有恶意软件存在。例如,在一实施例中,可以对数据流量通过NID110的流量率进行监测,如果在一足够长的时间段内出现反常的高数据流量率,则表示系统100正在遭受拒绝服务(DOS)攻击。在另一实施例中,连接在网络中的单个或一组主机之间的交互可用于监视异常。因此,当某一个通常安静的主机突然增加了很大的活动量(例如每秒连接到几百台其它主机),则表示该通常安静的主机正在向其它主机传播蠕虫。
可在数据库130中存储网络流量的样本,用于与实时网络流量进行比较,以确定实时网络流量是否异常,从而检测到恶意软件。存储的样本可分别表示正常流量、非异常流量或异常流量。通过在一段时间内对通过NID110的流量进行监测可以生成流量样本,将其预定为非异常,可采用不同的算法来确定流量是否为异常。例如,这些算法将考虑到在正常运行过程中对通过NID110的数据流量大小产生影响的因素,诸如系统100何时启动、系统100上有多少应用程序在运行、有多少用户在使用系统100、一天中的时段、系统100连接有多少其它外部系统。通过NID110的非异常流量样本可依赖于这些因素和其它因素,因此由这些因素引发的变异不会触发有关恶意软件的误确认报警(false positive alarms)。
在一些实施例中,可对安全数据库130进行设定,使得系统100的CPU 102不能对其进行访问。也就是说,主机接口116可禁止将通过主机总线112接收的指令、地址和/或数据写入NID110的安全数据库中。因此,如果当系统100的存储设备103、RAM 104或CPU 102中有病毒或其它恶意软件时,这些病毒或恶意软件无法通过访问安全数据库130来破坏或修改数据库中的样本134,从而折衷了(compromise)安全服务套件132中引擎的功能。另外,对NID110从网络接收的数据流量进行扫描的操作可以独立于系统100的CPU 102的指令,并由安全服务套件132中的引擎执行,这样可以进一步保护BIOS、存储在RAM 104和/或存储设备130中的操作系统和应用程序不受感染且可正常启用。
可对IDS引擎144进行设定,使其能够检测出计算系统100遭受的非期望或非授权的修改(例如,拒绝服务攻击(denial of service attacks)、可以对系统安全产生危害的脚本)。IDS引擎144可监测通过NID110的数据流量、并将其与已知的恶意数据流量样本或应用数据进行比较。这些恶意数据流量样本和应用数据的特征码136和正则表达式138可存储在安全数据库130中,用来比较进入或流出网络的流量。因此,当NID110中的一个或多个数据包中的数据与安全数据库130中的样本134匹配时,IDS引擎144可确定有恶意软件200存在或恶意软件试图访问计算系统。
可对IPS引擎142进行设定,使其能够控制从网络10到计算系统100的访问,以防止系统接收到的来自网络的非授权非期望的代码对系统的开发利用。IPS引擎142可与IDS引擎144通信,因此当IDS引擎检测到入侵企图时,IPS引擎可收到警报。一旦收到已检测出可能出现入侵事件的报警通知(例如检测出通过NID110的数据流量与安全数据库130中的样本134相匹配),IPS引擎144可阻止网络10和计算系统100之间的相互通信。例如,IPS引擎可拒绝来自与恶意软件(由IDS引擎144检测到的)数据包报头中的IP或MAC地址相同或相关的IP地址或MAC地址的其余数据包。
另一方面,如果恶意软件通过主机总线112从CPU 102装载到NID110,并欲传递到网络,那么在传递之前AVS引擎140或IDS引擎144会检测到恶意软件。一旦检测到恶意软件,IPS引擎142就能够立即发送信息给网络10,向网络报警系统已受到感染或遭遇入侵企图,并需要采取纠正(corrective)行动。接着,IPS引擎可阻止系统100进一步向外传播数据包的任何尝试,从而防止系统给网络带来危害。在采取纠正行动排除或压制了恶意软件之后,NID110可重新复位(reset),重新允许从系统100向网络传递数据。因此NID110的IPS引擎142可通过将计算系统100与网络隔离,来防止恶意软件从系统100传播到网络10和其它网络客户机。
NID110能通过各种通信信道与网络10通信,例如安全信道160、加密信道162和非加密信道164。该安全信道160可包括在计算系统100和网络10的一个或多个特定节点之间路由数据包的安全连接,且可设定为防止除计算系统100或网络10的特殊节点中的一个之外的任何其它实体的访问。例如,安全信道160可以在系统100和网络10的节点上的网络管理站(NMS)105之间建立,其中该NMS与系统100进行通信以支持运行在NID110上的安全服务132。
安全信道160可以通过系统100和NMS 150之间的密钥交换来建立。系统的根密钥(root key)被存储在例如ROM 152中,ROM 152中包含一个用于唯一地识别NID110的唯一辨认标识。在NID的制造过程中该辨认标识可以烧制(burned into)在NID的半导体材料中,这种基于硬件的密钥比基于软件的密钥安全得多。
一旦系统100和NMS 150之间建立起安全连接160,NID110可直接从NMS处接收对其安全数据库130的更新。因此,无需经过系统的CPU 102或RAM 104,就可以得到安全数据库中用于识别恶意软件的特征码136和正则表达式138的更新信息。NID110还可从NMS 150处接收更新算法,用以确定网络流量是否异常。
除了系统100和NMS 150之间的安全信道之外,在系统和连接到网络10的其它客户机之间还可建立加密信道162。例如,加密信道162可以是如上描述的SSL或IPSEC连接。非加密信道164可设定为用于在计算系统100和网络10之间路由清晰(clear)、非加密的信息数据包。
因此,如图3所示,系统100和网络10联网系统的一部分300由网络上的一个或多个NMS 150控制,但是通常系统的CPU 102不能访问这部分300。例如,安全数据库132中的特征码和正则表达式可直接由网络10的部件对其进行更新,更新信息不必经过系统CPU。因此,对于可通过与CPU 102接触而感染系统的恶意软件攻击,安全数据库具有很强免疫力。另外,通过将扫描数据流量检测恶意软件的任务分配到网络客户机例如系统100,网络节点不再会因为必须扫描大量的数据而成为数据传输的瓶颈。这样获得一种可升级的解决方案。而且,NID110可使用一个或多个安全服务引擎140、142和144对通过主机总线112接收到的来自系统100的CPU 102的清晰、未加密的数据进行扫描,然后在向网络10传递这些数据之前对数据进行加密。因此,在系统100和其它网络客户机之间可建立起一条端对端加密信道,但可以使用对入侵和破坏有很强免疫力的安全数据库,在清晰的、未加密的数据上对恶意软件进行扫描。
图4是防止网络入侵的示范性处理流程400的流程图。在网络客户机和网络节点之间建立安全连接(步骤410),其中该客户机包括网络接口设备。这种安全连接可在系统启动时或网络接口设备建立与网络的连接时自动地建立。一旦建立起安全连接,可从网络节点接收一个或多个更新信息并装载到安全数据库(步骤420)中,以便对存储在网络接口设备中且客户机CPU无法访问的安全数据库进行更新。该更新信息可包括与已知或疑似恶意软件的样本相对应的一个或多个特征码和/或正则表达式。
网络接口设备接收来自系统CPU的数据流量(步骤430),然后通过将该数据流量与存储在安全数据库中的至少一个样本相比,网络接口设备对数据流量进行扫描检测其是否包含恶意软件(步骤440)。如果检测到恶意软件(决策步骤450),则将系统与网络隔离(步骤460);如果没有检测到恶意软件,可将该数据流量从系统传递到网络。
本文中描述的各种技术方案可以采用数字电路实施,或者采用计算机硬件、固件、软件及其组合来实施。也可通过计算机程序产品来实施。这些计算机程序嵌入在信息载体中(例如机器可读存储设备或者传播的信号),其可由数据处理装置执行或者用于控制数据处理装置的运行,所述数据处理装置是例如可编程处理器、计算机、或者多个计算机。计算机程序,如上所述的计算机程序,可以用任何形式的编程语言编写,包括汇编或解释语言,且可以以任何形式使用,包括例如独立程序,或者模块、组件、子程序或适于在计算环境中使用的其它单元。计算机程序可被用于在一个计算机或者多个计算机上运行,所述多个计算机可以位于同一地点或者分布在多个地点并通过通信网络互连。
方法步骤可以由一个或多个可编程处理器执行,该可编程处理器运行计算机程序,对输入数据进行操作并生成输出数据,以执行其功能。方法步骤也可以由专用逻辑电路来执行,装置也可由专用逻辑电路实施,例如FPGA(现场可编程门阵列)或者ASIC(专用集成电路)。
适于执行计算机程序的处理器包括,例如通用和专用微处理器,以及任何种类的数字计算机的任何一个或多个处理器。通常,处理器可从只读存储器或随机存取存储器或两者中接收指令和数据。计算机部件包括用于执行指令的至少一个处理器以及用于存储指令和数据的一个或多个存储设备。通常,计算机也可包括一个或多个用于存储数据的大容量存储设备,或者可操作地连接到一个或多个用于存储数据的大容量存储设备,以从中接收数据或向其发射数据,所述大容量存储设备是例如,磁盘、磁光盘、或者光盘。适于包含计算机程序指令和数据的信息载体包括所有形式的非易失存储器,包括例如EPROM、EEPROM和闪存之类的半导体存储装置、磁盘例如内置硬盘或可移动磁盘、磁光盘、以及CD-ROM和DVD-ROM光盘。处理器和存储器可以由专用逻辑电路来实施,或者结合到专用逻辑电路中。
本发明还可以通过计算机系统来实施,这种计算机系统包括后端部件例如作为数据服务器、或包括中间部件例如作为应用服务器、或包括前端部件例如具有图形用户界面或Web浏览器的客户端计算机(通过该界面或浏览器用户可以互动参与实施本发明),或包括上述后端部件、中间部件或前端部件的任意组合。所述部件可通过数字数据通信的任意形式或媒介(例如通信网络)互联。通信网络的例子包括局域网(LAN)和广域网(WAN),例如英特网。
虽然在此已经描述了所述实施例的某些特征,但本技术领域的人员也可以做出很多修改、替换、更改和等同。因此,可以理解,权利要求用于覆盖落入本发明的实施例的实质范围内的所有这些修改和更改。
Claims (10)
1.一种计算系统的网络接口设备,其特征在于,包括:
安全数据库,用于存储与事先确定的恶意软件相对应的样本及存储网络流量样本;所述网络流量样本包括正常流量和异常流量;
安全服务引擎,用于将即将通过网络传递的数据与存储在安全数据库中的样本进行比较及用于将通过网络传递的数据产生的实时网络流量与安全数据库中的网络流量样本比较;
其中,所述安全数据库能够从网络接收更新样本,所述样本包括恶意软件代码的特征码和正则表达式;所述网络接口设备能够从网络中接收更新算法,用以确定网络流量是否异常;所述计算系统的中央处理单元不能访问所述安全数据库。
2.根据权利要求1所述的网络接口设备,其特征在于,所述网络接口设备是通过加密信道从网络接收更新样本。
3.根据权利要求1所述的网络接口设备,其特征在于,所述安全服务引擎包括入侵检测服务引擎、入侵防范服务引擎、反病毒扫描服务引擎中的至少一种。
4.根据权利要求1所述的网络接口设备,其特征在于,还包括基于硬件的辨认标识,用于在所述网络中识别所述网络接口设备。
5.根据权利要求1所述的网络接口设备,其特征在于,包括主机总线,用于从计算系统的中央处理单元接收即将通过所述网络传递的数据。
6.根据权利要求1所述的网络接口设备,其特征在于,还包括加密引擎,用于对与所述样本比较后的数据进行加密。
7.一种计算系统,其特征在于,包括:
中央处理单元CPU;
随机访问存储器,其能够由所述CPU访问,用于存储所述CPU能够执行的指令;
网络接口设备,用于在所述中央处理单元和网络之间路由数据,其中所述网络接口设备包括:
安全数据库,用于存储与事先确定的恶意软件相对应的样本及存储网络流量样本;所述网络流量样本包括正常流量和异常流量;
安全服务引擎,用于将所述网络和系统之间所交换的数据与存储在安全数据库中的样本进行比较及用于将所述网络和系统之间所交换的数据产生的实时网络流量与安全数据库中的网络流量样本比较;
其中,所述安全数据库能够从网络接收更新样本,所述样本包括恶意软件代码的特征码和正则表达式;所述网络接口设备能够从网络中接收更新算法,用以确定网络流量是否异常;所述计算系统的中央处理单元不能访问所述安全数据库。
8.根据权利要求7所述的计算系统,其特征在于,所述网络设备还包括基于硬件的辨认标识,用于在所述网络中识别所述网络接口设备。
9.根据权利要求7所述的计算系统,其特征在于,还包括主机总线,用于在所述网络接口设备和所述系统的中央处理单元之间交换数据。
10.一种在计算系统和网络之间传递数据的方法,其特征在于,包括
从计算系统的中央处理单元向网络接口设备传递数据,以便从所述网络接口设备向网络传递所述数据;
将所述数据与事先确定的恶意软件相对应的样本进行比较,其中所述样本存储在所述网络接口设备的安全数据库中,所述中央处理单元不能访问所述安全数据库,所述样本包括恶意软件代码的特征码和正则表达式;所述安全数据库能够从网络接收更新样本;
将所述数据向网络传递时产生的实时网络流量与事先确定的网络流量样本进行比较,其中所述网络流量样本存储在所述网络接口设备的安全数据库中,所述网络流量样本包括正常流量和异常流量,所述网络接口设备能够从网络中接收更新算法,用以确定网络流量是否异常。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/513,873 US8136162B2 (en) | 2006-08-31 | 2006-08-31 | Intelligent network interface controller |
US11/513,873 | 2006-08-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101146066A CN101146066A (zh) | 2008-03-19 |
CN101146066B true CN101146066B (zh) | 2012-07-04 |
Family
ID=38787553
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2007101482266A Expired - Fee Related CN101146066B (zh) | 2006-08-31 | 2007-08-24 | 网络接口设备、计算系统及传递数据的方法 |
Country Status (6)
Country | Link |
---|---|
US (2) | US8136162B2 (zh) |
EP (1) | EP1895738B1 (zh) |
KR (1) | KR100952350B1 (zh) |
CN (1) | CN101146066B (zh) |
HK (1) | HK1119505A1 (zh) |
TW (1) | TWI458308B (zh) |
Families Citing this family (62)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
US8453234B2 (en) * | 2006-09-20 | 2013-05-28 | Clearwire Ip Holdings Llc | Centralized security management system |
US8112801B2 (en) * | 2007-01-23 | 2012-02-07 | Alcatel Lucent | Method and apparatus for detecting malware |
US8539570B2 (en) | 2007-06-22 | 2013-09-17 | Red Hat, Inc. | Method for managing a virtual machine |
US8127290B2 (en) * | 2007-06-22 | 2012-02-28 | Red Hat, Inc. | Method and system for direct insertion of a virtual machine driver |
US8429748B2 (en) * | 2007-06-22 | 2013-04-23 | Red Hat, Inc. | Network traffic analysis using a dynamically updating ontological network description |
US9569330B2 (en) | 2007-06-22 | 2017-02-14 | Red Hat, Inc. | Performing dependency analysis on nodes of a business application service group |
US8984504B2 (en) * | 2007-06-22 | 2015-03-17 | Red Hat, Inc. | Method and system for determining a host machine by a virtual machine |
US9678803B2 (en) | 2007-06-22 | 2017-06-13 | Red Hat, Inc. | Migration of network entities to a cloud infrastructure |
US8191141B2 (en) | 2007-06-22 | 2012-05-29 | Red Hat, Inc. | Method and system for cloaked observation and remediation of software attacks |
US9477572B2 (en) | 2007-06-22 | 2016-10-25 | Red Hat, Inc. | Performing predictive modeling of virtual machine relationships |
US8336108B2 (en) * | 2007-06-22 | 2012-12-18 | Red Hat, Inc. | Method and system for collaboration involving enterprise nodes |
US9727440B2 (en) | 2007-06-22 | 2017-08-08 | Red Hat, Inc. | Automatic simulation of virtual machine performance |
US9354960B2 (en) | 2010-12-27 | 2016-05-31 | Red Hat, Inc. | Assigning virtual machines to business application service groups based on ranking of the virtual machines |
US8949827B2 (en) * | 2007-06-22 | 2015-02-03 | Red Hat, Inc. | Tracking a virtual machine |
CN100579004C (zh) * | 2007-08-08 | 2010-01-06 | 华为技术有限公司 | 防范无效报文攻击的方法和网络设备 |
US8850569B1 (en) * | 2008-04-15 | 2014-09-30 | Trend Micro, Inc. | Instant messaging malware protection |
WO2009132047A2 (en) * | 2008-04-21 | 2009-10-29 | Zytron Corp. | Collaborative and proactive defense of networks and information systems |
CN101552779B (zh) * | 2009-05-04 | 2012-05-23 | 电子科技大学 | 网络木马的综合检测方法和综合检测装置 |
CA2796331A1 (en) * | 2010-04-12 | 2011-10-20 | Interdigital Patent Holdings, Inc. | Staged control release in boot process |
CN102959557A (zh) * | 2010-07-26 | 2013-03-06 | 金基容 | 黑客病毒安全综合管理设备 |
US8479291B1 (en) * | 2010-10-28 | 2013-07-02 | Symantec Corporation | Systems and methods for identifying polymorphic malware |
US8595822B2 (en) | 2011-12-29 | 2013-11-26 | Mcafee, Inc. | System and method for cloud based scanning for computer vulnerabilities in a network environment |
US8898795B2 (en) | 2012-02-09 | 2014-11-25 | Harris Corporation | Bridge for communicating with a dynamic computer network |
US8819818B2 (en) | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
US8935780B2 (en) | 2012-02-09 | 2015-01-13 | Harris Corporation | Mission management for dynamic computer networks |
WO2013140403A1 (en) * | 2012-03-21 | 2013-09-26 | Green Sql Ltd. | Database antivirus system and method |
EP3825886A1 (en) | 2012-03-29 | 2021-05-26 | Arilou Information Security Technologies Ltd. | Protecting a vehicle electronic system |
CN104067558B (zh) * | 2012-04-30 | 2017-09-12 | 慧与发展有限责任合伙企业 | 网络访问装置和用于处理网络中的分组的方法 |
US8966626B2 (en) | 2012-05-01 | 2015-02-24 | Harris Corporation | Router for communicating data in a dynamic computer network |
US9130907B2 (en) | 2012-05-01 | 2015-09-08 | Harris Corporation | Switch for communicating data in a dynamic computer network |
US8959573B2 (en) | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
US9154458B2 (en) * | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
US8935786B2 (en) | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
US8898782B2 (en) | 2012-05-01 | 2014-11-25 | Harris Corporation | Systems and methods for spontaneously configuring a computer network |
US9075992B2 (en) | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
WO2014026220A1 (en) * | 2012-08-13 | 2014-02-20 | Mts Consulting Pty Limited | Analysis of time series data |
US9419985B1 (en) * | 2012-09-25 | 2016-08-16 | Morta Security Inc | Interrogating malware |
US9125046B1 (en) * | 2013-01-29 | 2015-09-01 | Netscout Systems, Inc. | Subscriber activity map |
US9798899B1 (en) | 2013-03-29 | 2017-10-24 | Secturion Systems, Inc. | Replaceable or removable physical interface input/output module |
US9355279B1 (en) | 2013-03-29 | 2016-05-31 | Secturion Systems, Inc. | Multi-tenancy architecture |
US9317718B1 (en) | 2013-03-29 | 2016-04-19 | Secturion Systems, Inc. | Security device with programmable systolic-matrix cryptographic module and programmable input/output interface |
US9374344B1 (en) | 2013-03-29 | 2016-06-21 | Secturion Systems, Inc. | Secure end-to-end communication system |
US9524399B1 (en) * | 2013-04-01 | 2016-12-20 | Secturion Systems, Inc. | Multi-level independent security architecture |
KR101366771B1 (ko) * | 2013-05-16 | 2014-02-27 | 한국전자통신연구원 | 네트워크 보안 장치 및 그 방법 |
US9503324B2 (en) | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
US9338183B2 (en) | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
US10122708B2 (en) | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
US10469510B2 (en) * | 2014-01-31 | 2019-11-05 | Juniper Networks, Inc. | Intermediate responses for non-html downloads |
US9661007B2 (en) * | 2015-03-18 | 2017-05-23 | Intel Corporation | Network interface devices with remote storage control |
US10803437B2 (en) * | 2015-08-28 | 2020-10-13 | Ncr Corporation | Self-service terminal technical state monitoring and alerting |
US9794064B2 (en) | 2015-09-17 | 2017-10-17 | Secturion Systems, Inc. | Client(s) to cloud or remote server secure data or file object encryption gateway |
US11283774B2 (en) | 2015-09-17 | 2022-03-22 | Secturion Systems, Inc. | Cloud storage using encryption gateway with certificate authority identification |
US10708236B2 (en) | 2015-10-26 | 2020-07-07 | Secturion Systems, Inc. | Multi-independent level secure (MILS) storage encryption |
US10581819B1 (en) * | 2015-12-17 | 2020-03-03 | Ca, Inc. | Network traffic scanning of encrypted data |
US10355916B2 (en) * | 2016-09-27 | 2019-07-16 | Mcafee, Llc | Survivable networks that use opportunistic devices to offload services |
CN106656853B (zh) * | 2016-12-27 | 2019-08-16 | 盛科网络(苏州)有限公司 | 以太网芯片低延时模式下提取数据流信息的方法及装置 |
EP3476101B1 (en) | 2017-08-24 | 2023-10-25 | Pensando Systems Inc. | Method, device and system for network security |
US11947444B2 (en) * | 2020-11-06 | 2024-04-02 | International Business Machines Corporation | Sharing insights between pre and post deployment to enhance cloud workload security |
US11641366B2 (en) | 2021-01-11 | 2023-05-02 | Bank Of America Corporation | Centralized tool for identifying and blocking malicious communications transmitted within a network |
US11386197B1 (en) | 2021-01-11 | 2022-07-12 | Bank Of America Corporation | System and method for securing a network against malicious communications through peer-based cooperation |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1350230A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 病毒库主动分发系统 |
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
CN1965306A (zh) * | 2003-09-10 | 2007-05-16 | 菲德利斯安全系统公司 | 高性能网络内容分析平台 |
Family Cites Families (31)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB2303947A (en) * | 1995-07-31 | 1997-03-05 | Ibm | Boot sector virus protection in computer systems |
US6006329A (en) * | 1997-08-11 | 1999-12-21 | Symantec Corporation | Detection of computer viruses spanning multiple data streams |
US6931552B2 (en) * | 2001-05-02 | 2005-08-16 | James B. Pritchard | Apparatus and method for protecting a computer system against computer viruses and unauthorized access |
US7228565B2 (en) * | 2001-05-15 | 2007-06-05 | Mcafee, Inc. | Event reporting between a reporting computer and a receiving computer |
US7023861B2 (en) * | 2001-07-26 | 2006-04-04 | Mcafee, Inc. | Malware scanning using a network bridge |
US7197550B2 (en) * | 2001-08-23 | 2007-03-27 | The Directv Group, Inc. | Automated configuration of a virtual private network |
US20030110395A1 (en) * | 2001-12-10 | 2003-06-12 | Presotto David Leo | Controlled network partitioning using firedoors |
US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
US7418732B2 (en) * | 2002-06-26 | 2008-08-26 | Microsoft Corporation | Network switches for detection and prevention of virus attacks |
WO2004075056A1 (ja) * | 2003-02-21 | 2004-09-02 | National Institute Of Advanced Industrial Science And Technology | ウイルスチェック装置及びシステム |
US20050114700A1 (en) * | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
US7287278B2 (en) * | 2003-08-29 | 2007-10-23 | Trend Micro, Inc. | Innoculation of computing devices against a selected computer virus |
KR100500589B1 (ko) * | 2003-09-03 | 2005-07-12 | 엘지엔시스(주) | 하드웨어기반의 패턴매칭을 이용한 웜 차단 방법 및 장치 |
TWI259730B (en) * | 2003-09-29 | 2006-08-01 | Realm Systems Inc | Mobility device server |
KR100558658B1 (ko) * | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
US7814543B2 (en) * | 2004-02-13 | 2010-10-12 | Microsoft Corporation | System and method for securing a computer system connected to a network from attacks |
US7490350B1 (en) * | 2004-03-12 | 2009-02-10 | Sca Technica, Inc. | Achieving high assurance connectivity on computing devices and defeating blended hacking attacks |
US20050216759A1 (en) * | 2004-03-29 | 2005-09-29 | Rothman Michael A | Virus scanning of input/output traffic of a computer system |
US7904960B2 (en) * | 2004-04-27 | 2011-03-08 | Cisco Technology, Inc. | Source/destination operating system type-based IDS virtualization |
US7761919B2 (en) * | 2004-05-20 | 2010-07-20 | Computer Associates Think, Inc. | Intrusion detection with automatic signature generation |
US8154987B2 (en) * | 2004-06-09 | 2012-04-10 | Intel Corporation | Self-isolating and self-healing networked devices |
US7484247B2 (en) * | 2004-08-07 | 2009-01-27 | Allen F Rozman | System and method for protecting a computer system from malicious software |
US7685640B2 (en) * | 2004-09-21 | 2010-03-23 | Agere Systems Inc. | Methods and apparatus for interface adapter integrated virus protection |
WO2006063052A1 (en) * | 2004-12-07 | 2006-06-15 | Nortel Networks Limited | Method and apparatus for network immunization |
TWI252976B (en) * | 2004-12-27 | 2006-04-11 | Ind Tech Res Inst | Detecting method and architecture thereof for malicious codes |
US7546471B2 (en) * | 2005-01-14 | 2009-06-09 | Microsoft Corporation | Method and system for virus detection using pattern matching techniques |
US8516583B2 (en) * | 2005-03-31 | 2013-08-20 | Microsoft Corporation | Aggregating the knowledge base of computer systems to proactively protect a computer from malware |
US8667106B2 (en) * | 2005-05-20 | 2014-03-04 | At&T Intellectual Property Ii, L.P. | Apparatus for blocking malware originating inside and outside an operating system |
US7406711B2 (en) * | 2005-09-02 | 2008-07-29 | Motorola, Inc. | Method and apparatus for enforcing independence of processors on a single IC |
US8615800B2 (en) * | 2006-07-10 | 2013-12-24 | Websense, Inc. | System and method for analyzing web content |
US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
-
2006
- 2006-08-31 US US11/513,873 patent/US8136162B2/en not_active Expired - Fee Related
-
2007
- 2007-03-27 EP EP07006306.0A patent/EP1895738B1/en active Active
- 2007-08-24 CN CN2007101482266A patent/CN101146066B/zh not_active Expired - Fee Related
- 2007-08-31 TW TW096132588A patent/TWI458308B/zh active
- 2007-08-31 KR KR1020070088515A patent/KR100952350B1/ko not_active IP Right Cessation
-
2008
- 2008-07-29 HK HK08108376.9A patent/HK1119505A1/xx not_active IP Right Cessation
-
2012
- 2012-01-26 US US13/359,274 patent/US8418252B2/en active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1375775A (zh) * | 2001-03-16 | 2002-10-23 | 联想(北京)有限公司 | 网关级计算机网络病毒防范的方法及其装置 |
CN1350230A (zh) * | 2001-12-03 | 2002-05-22 | 复旦大学 | 病毒库主动分发系统 |
CN1965306A (zh) * | 2003-09-10 | 2007-05-16 | 菲德利斯安全系统公司 | 高性能网络内容分析平台 |
Also Published As
Publication number | Publication date |
---|---|
HK1119505A1 (en) | 2009-03-06 |
TWI458308B (zh) | 2014-10-21 |
EP1895738A2 (en) | 2008-03-05 |
EP1895738A3 (en) | 2013-07-10 |
TW200828919A (en) | 2008-07-01 |
US8136162B2 (en) | 2012-03-13 |
CN101146066A (zh) | 2008-03-19 |
EP1895738B1 (en) | 2023-06-07 |
KR100952350B1 (ko) | 2010-04-12 |
US20080056487A1 (en) | 2008-03-06 |
US8418252B2 (en) | 2013-04-09 |
US20120124093A1 (en) | 2012-05-17 |
KR20080020584A (ko) | 2008-03-05 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101146066B (zh) | 网络接口设备、计算系统及传递数据的方法 | |
US11516181B2 (en) | Device, system and method for defending a computer network | |
JP6188785B2 (ja) | デコイ暗号鍵を使用したネットワーク侵入検知 | |
US10873465B2 (en) | Control mechanisms for data processing devices | |
US10243928B2 (en) | Detection of stale encryption policy by group members | |
US7797436B2 (en) | Network intrusion prevention by disabling a network interface | |
US6865672B1 (en) | System and method for securing a computer communication network | |
US20070294759A1 (en) | Wireless network control and protection system | |
JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
Bulbul et al. | Wireless network security: comparison of wep (wired equivalent privacy) mechanism, wpa (wi-fi protected access) and rsn (robust security network) security protocols | |
Islam et al. | An analysis of cybersecurity attacks against internet of things and security solutions | |
US11403428B2 (en) | Protecting integrity of log data | |
CN111988289B (zh) | Epa工业控制网络安全测试系统及方法 | |
US20080244716A1 (en) | Telecommunication system, telecommunication method, terminal thereof, and remote access server thereof | |
KR100500589B1 (ko) | 하드웨어기반의 패턴매칭을 이용한 웜 차단 방법 및 장치 | |
US10812506B2 (en) | Method of enciphered traffic inspection with trapdoors provided | |
Gromov et al. | Tackling Multiple Security Threats in an IoT Environment | |
Maynard et al. | Towards understanding man-on-the-side attacks (MotS) in SCADA networks | |
JP4866150B2 (ja) | Ftp通信システム、ftp通信プログラム、ftpクライアント装置及びftpサーバ装置 | |
CN111131330B (zh) | 一种基于光纤环网通信的输电线路网络安全与方法 | |
KR20110087972A (ko) | 세션 테이블을 이용한 비정상 트래픽의 차단 방법 | |
JP2005157421A (ja) | ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム | |
KR20020096194A (ko) | 통합보안 네트워크 카드에 의한 네트워크 보안 방법 및시스템 | |
Kamel et al. | A proposed intrusion detection system for encrypted computer networks | |
Prasad et al. | A New Local Area Network Attack through IP Address Spoofing |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1119505 Country of ref document: HK |
|
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
REG | Reference to a national code |
Ref country code: HK Ref legal event code: GR Ref document number: 1119505 Country of ref document: HK |
|
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120704 Termination date: 20140824 |
|
EXPY | Termination of patent right or utility model |