CN101164050B - 通过数据流安全标志的分布式流量扫描 - Google Patents
通过数据流安全标志的分布式流量扫描 Download PDFInfo
- Publication number
- CN101164050B CN101164050B CN2006800080264A CN200680008026A CN101164050B CN 101164050 B CN101164050 B CN 101164050B CN 2006800080264 A CN2006800080264 A CN 2006800080264A CN 200680008026 A CN200680008026 A CN 200680008026A CN 101164050 B CN101164050 B CN 101164050B
- Authority
- CN
- China
- Prior art keywords
- network
- equipment
- safety
- security
- traffics
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/126—Applying verification of the received information the source of the received data
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
用来在网络中提供数据安全扫描的方法和系统。网络设备基于网络的安全策略(210),探知应当或必须被应用到网络流量的安全技术(220)。基于还没有被应用的安全技术对网络设备是可用的确定(230),网络设备应用还没有被应用的安全技术。接着,网络设备用表示还没有被应用的安全技术的安全标志对网络流量做标记以反映被应用到网络流量的安全技术(235)。
Description
本发明要求2005年1月12日申请的美国专利申请No.11/034,161的优先权。
技术领域
本发明涉及计算机网路安全领域。更具体地,本发明涉及用于在具有多个安全设备和技术的网络中配合数据安全扫描的方法和系统。
背景技术
随着互联网的日益发展普及,特别是随着互联网的万维网(“WEB”)部分的发展,越来越多的计算机被连接到包括局域网(“LAN”)和广域网(“WAN”)在内的网络。互联网的爆炸式增长对人们如何通信和参与商务活动产生了戏剧性的影响。越来越多的人们需要接入互联网来便利于搜索、竞争性分析、在子公司之间通信、向一些知道名字的人发送电子邮件。
结果,例如公司信息技术(“IT”)部门现在面临着空前的挑战。特别是,这种必须在明确限定和友好环境中大量处理数据的部门,即私人安全计算机网络,现在面临着更复杂和敌对的情况。由于现在越来越多的计算机要么直接(例如,通过互联网提供商或“ISP”进行拨号连接)要么通过在LAN和互联网之间的网关连接到了互联网,因此LAN管理员和单个的用户所面临的新的一整套挑战都是类似地:这些以前封闭的计算环境现在对计算机系统的全球网络都开放了。具体地,实际上系统现在很容易受到任何能接入到互联网的罪犯或黑客的攻击。
在很长的时间内,防火墙单独担负着用于流过或流入网络的数据的安全网关。例如,防火墙是在连接到WAN的网关截取数据通信,并尽量检测用于可疑或不必要行为交换的数据包(即,互联网协议包或“IP包”)的应用程序。此外,防火墙可以在连接到LAN的计算机截取数据通信。最初,防火墙主要用来通过过滤数据包而阻止LAN的入侵者。逐渐地,防火墙发展到肩负了更多的安全功能,诸如为协议有效性和内容扫描网络流量。作为网络网关的现代防火墙,实现了各种宽广的安全技术,诸如反病毒(“AV”)、反垃圾邮件、协议的不规则检测、内容过滤和入侵检测系统(“IDSD”)等,以确保许多不同的网络应用程序的安全。网络应用程序的实例包括网络浏览器、电子邮件(“e-mail”)、即时通信器(“IM”)和数据库访问。
现代网络可能具有多种网络设备,这包括安全设备(例如,IDS扫描器、AV扫描器和e-mail扫描器)和配置的技术,并在服务器和桌面终端上安装的基于主机的安全软件。依靠网络流量的特定流向的通道,流量可以由特定的安全技术扫描一次或多次。实际上,桌面和膝上型电脑通过诸如防火墙、AV程序、垃圾邮件扫描器和IDS软件等的基于主机的安全设备肩负着安全网络数据流的大部分负荷。这种网络流量的冗余扫描将不必要的负载加在了负重的安全设备和网络主机上,并增加了网络瓶颈或设备故障的可能性。
使用网络中的多个安全设备来保护特定的数据流,确保网络有效地确保其数据流成为可能(issue)。当前,每个设备扫描所有的数据流到它最佳的能力,从而在网络内流经多个网关、设备和桌面的数据流可被多次扫描以确保网络流量完全扫描。例如,如果流量是从未知其是否进行了病毒扫描的特定安全网关而来,则网络管理员可以配置AV扫描器来为病毒而扫描网络流量。但,AV扫描器并不能看到网关后面,因此,可能网关后面的另一个设备已经对流量进行了病毒扫描。而且,由于网络变得更加复杂并包括了更多的安全设备,因此有效配置单个设备以创造安全而有效网络的任务变得异乎寻常地困难。因此,十有八九地,每个安全设备都被配置来扫描所有的流量到其最佳的能力。虽然这种设置确保了网络流量安全,但这样的设置对网络资源来说是很低效的。
因此,需要一种系统和方法,其在包括了多种安全设备和技术的网络中配合数据安全扫描。所需要的是,这种系统和方法确保了经过并进入到网络的所有网络流量都被保护到网络管理员设置的水平,同时共享能提供这种安全性的多种设备的安全网络流量的负载。
发明内容
按照本发明的一方面,一种在网络中进行数据安全扫描的方法,包括:
为从网络外传输网络流量到目的网络设备获取网络的安全策略,安全策略指明需要将强制安全技术应用到网络流量;
基于所述安全策略,探知强制安全技术;
基于与所述网络流量关联的安全标志,确定还没有被应用到所述网络流量的强制安全技术;
基于安全设备可用的至少一个强制技术的确定,由在网络上的安全设备提供至少一个还没有被应用的强制安全技术;和
用在网络流量中的安全标志指明应用到所述网络流量的至少一个强制安全技术。
按照本发明的另一方面,一种在网络中进行数据安全扫描的系统,包括:
装置,用于从网络外传输网络流量到目的网络设备而获取网络的安全策略,安全策略指明需要将强制安全技术应用到网络流量;
装置,基于所述安全策略,探知强制安全技术;
装置,基于与所述网络流量关联的安全标志,确定还没有被应用到所述网络流量的强制安全技术;
装置,基于安全设备可用的至少一个强制技术的确定,由在网络上的安全设备提供至少一个还没有被应用的强制安全技术;和
装置,使用在网络流量中的安全标志指明应用到所述网络流量的至少一个强制安全技术。
按照本发明的另一方面,提供了计算机可读介质来包含用于执行在网络中进行数据安全扫描的方法的指令。该方法包括为从网络外部传输到目的网络设备的网络流量获得网络安全策略;基于安全策略,探知应当或必须应用到网络流量的安全技术;并基于与网络流量关联的安全标志确定还没有被应用到网络流量的安全技术。
附图说明
以上总的描述和以下详细的描述仅是示例性的和说明性的。它们并不限制所要求保护的本发明。而且,合并并构成本说明书一部分的附图显示了本发明的一个(或几个)实施例,并与说明书一起用来解释本发明的原理,在附图中:
图1是符合本发明原理的在具有多种安全设备和技术的网络中用来配合数据安全扫描的系统的示例性的结构图;
图2和3是在包括了多种安全设备和技术的网络中用来避免冗余的数据安全扫描的流程图。
图4和5是在包括多种安全设备和技术的网络中用来分配网络流量扫描的流程图。
具体实施方式
符合本发明的方法和系统提供了用来在网络中进行数据安全扫描的机制。在网络上的设备为从网络外部传输到目的网络设备的网络流量获得网络安全策略。网络设备基于安全策略,探知应当或必须应用到网络流量的安全技术。网络设备基于与网络流量关联的安全标志确定还没有被应用到网络流量的强制安全技术中的一个或多个。接着,基于如下确定:还未应用的安全技术是可用于网络设备的,那么,网络设备应用还未应用的安全技术。接着,网络设备用安全标志标记网络流量,安全标志指明所应用的还为被应用的安全技术反映了应用到该网络流量的安全技术。
符合本发明的方法和系统还可以提供另一种用来在网络中的数据安全扫描的机制。在网络上的安全设备为从网络外部来的网络流量而从目的网络设备接收请求。安全设备或目的网络设备为从网络外部传输到目的网络设备的网络流量获得网络安全策略。接着,基于该安全策略,安全设备或目的网络设备探知应当或必须应用到网络流量的安全技术。安全设备向位于到目的网络设备的网络流量的计划路径上的网络设备发送查询,其为在提供安全技术中的援助而从一个或多个网络设备恳求支援。基于从至少一个网络设备已经志愿来提供安全技术的提供援助的确定,安全设备沿网络流量的计划路径向目标设备传送网络流量而不应安全技术。
现将参考在附图中所示的实例详细描述本发明的实施例。尽可能地,在整个附图中相同的参考数字标志相同的部分。
网络设备配置
图1是用来在网络中提供数字安全扫描的符合本发明的原理的网络设备的示例性结构图。网络设备101和180-195可以包括中央处理器(CPU)105、盘驱动器110、存储器115和网络接入设备120。CPU150可以是任意适当的处理器或执行程序指令的处理器。存储器15可以是RAM或包括了ROM和闪存等的其他永久、半永久或暂时性的存储设备。盘驱动器110可以是硬盘驱动器、光盘驱动器或其他类型的数据存储设备。
网络接入设备120可以是调制解调器、有线调制解调器、以太网卡、T1线连接器或其他用来将网络设备101和180-195连接到网络160来通信的接入设备。网络160可以是互联网,网络设备101和180-195可以使用传输控制协议(TCP)连接来连接到网络160。
网络设备101和180-195的每个还可以连接诸如输入设备140的一个或多个输入设备,输入设备可以包括键盘、鼠标或其他类型的用来给网络设备输入数据的装置。网络设备101和180-195的每个还可以连接到诸如显示设备150的一个或多个显示设备,其可以是监视器或其他视频和/或音视频输出设备。
网络160可以连接到网络外的多个设备,在本例的情况下是示例性的设备170-175。设备170-175可以是发送出网络流量的计算机,诸如服务器、数据处理系统、电子邮件服务器或个人计算机。网络160还可以包含多种设备,在本例的情况下是示例性的网络设备101和180-195。网络设备101和180-195可以是路由器、交换机、网关、诸如防火墙或AV扫描仪等的网络安全设备,或诸如服务器的数据处理系统、个人计算机或它们的组合,并可以通过通信端口(未示出)接收和传送数据。网络设备101和180-195可以通过网络160接收数据并且其每个都可以包括网络接入设备等(未示出)。使用诸如TCP/IP的网络连接,网络160可以在网络设备101和通过一个或多个网络设备180-195的网络外的一个或多个网络设备170-172之间传输数据。本领域的技术人员知道,网络设备180可以位于网络160的边界上并连接到网络外的设备,其作用就像网络160和在网络160内连接的网络设备的边界安全设备。
根据CPU105的指示从例如盘驱动器110加载到存储器115的软件可以用来实现数据安全扫描仪以扫描通过并进入网络设备101的网络流量。本领域的技术人员可以明白,数据安全扫描仪还可以在防火墙、路由器、网关和其他网络结构中实现。数据安全扫描仪可以包含一个或一组扫描流量进出网络的程序。
IP地址识别进入数据或对网络设备101的进入连接的来源。IP地址是在网络中计算机地址的数字化表示。除了作为特定网络设备的唯一标识符外,非常类似于街道地址,一个地址就能确定相应于特定IP地址的物理位置。
有几种方式来确定相应于已知的IP地址的位置。一种方式是维持在盘驱动器110中所存储的数据库。例如,数据库可以列出IP地址连同它们相应的物理或逻辑地址。此外,数据可以包括相应于构建特定网络的IP地址范围的项。在数据库中列出的位置可以包括全球区域信息,诸如国家或城市名或两者都有。网络设备101可以访问在盘驱动器101中本地驻留的数据库,以查询最初将数据传输给设备101的计算机的IP地址。如果数据库包括了IP地址,或单独或作为地址范围的一部分,则网络设备101可以确定与其接触的计算机的位置。
网络设备101确定IP地址的位置的另一种方式是通过使用网络160经由受信互联网地址访问数据库。网络数据库频繁地更新以记录新的IP地址,并且本地数据库可能请求用户周期性地下载以更新数据库。为了这样做,网络设备101通过网络160与一个或多个诸如网络设备170-175的其他网络设备通信,以访问数据库。如本领域的技术人员所理解的,也可以使用其他的方式。
避免冗余扫描的系统操作
图2和3是符合本发明的用来在包括了多种安全设备和技术的网络中避免冗余数据安全扫描的处理的流程图。如在图2中所示,在处理的开始,在210阶段,在网络(例如图1的单元160)中用来提供安全扫描(例如,图1的单元180)的网络设备获得网络安全策略。这可以发生在特定的时间或事件,诸如当网络从在网络外的设备接收网络流量时。网络设备可以通过检索在网络设备存储器中存储的副本或通过从在网络上的其他网络设备请求安全策略的副本而获得安全策略。为了确保安全策略是正确并值得信任的,且网络流并未恶化,网络设备或在网络上的其他网络设备可以通过例如使用诸如PKI等的公共密钥方案以核查与安全策略和网络流量关联的签名或来源来验证安全策略的认证和网络流量的完整性。
接着,在220阶段,网络设备从安全策略确定要被应用到该网络流量的安全技术。安全技术的实例包括AV、反垃圾邮件、异常协议检测、内容过滤和IDS。例如,安全策略可以包括必须或应当应用到进入网络的任何网络流量的安全技术列表。在220阶段建立了应用到网络流量的安全技术后,在225阶段,网络设备确定已经被应用到网络流量的安全技术。作为实例,网络设备可以读取与网络流量关联的安全标志以确定什么安全技术已经被应用到了该网络流量。在一个实施例中,安全标志可以被放置在网络流量中数据包的头部中。安全标志可以包括安全技术列表和表示网络设备可以信任的安全标志的信息的特定包(诸如混列码、公共密钥、数字签名或证书)。安全标志可以包含已经被应用到该网络流量的安全技术列表。替换地,安全标志可以包含没有被应用到该网络流量的安全技术的列表。为了确保在安全标志中表示的信息是正确并值得信任的且网络流没有恶化,该网络设备可以通过例如使用诸如PKI等的公共密钥方案以核查与安全标志和网络流量关联的数字签名或来源来验证安全标志的认证和网络流量的完整性。如果没有验证安全标志,诸如当用于安全标志的数字签名是无效的或没有被发现时,那么,网络设备可以忽略该安全标志并根据网络安全策略重新扫描流量。
基于从220-225阶段所得的结果,其中网络设备确定什么安全技术必须或应当被应用到进入网络的网络流量以及什么安全技术已经被应用到了网络流量,在230阶段,网络设备对网络应用该网络设备可以得到的特定流量安全技术。如上所述,如果网络设备不能验证表示已经被应用到网络流量或没有被应用到网络流量的安全技术的安全标志(诸如当用于安全标志的数字签名是非法的或没有被发现时),则该网络设备可以忽略该安全标志并根据网络安全策略重新扫描该流量。
在235阶段,网络设备对该网络流量加标签以表示安全技术已经在230阶段被应用到了网络流量。如果没有安全标志与该网络流量关联,则网络设备通过添加安全标志来对网络流量加标签,而如果存在与网络流量关联的安全标志,则网络设备通过修改与网络流量关联的安全标志来对网络流量加标签。安全标志可以放置在网络流量中数据包的头部,安全标志可以包括安全技术列表和表示网络设备可以信任的安全标志的信息的特定包(诸如混列码、公共密钥、数字签名或证书)。安全标志可以包含已经被应用到该网络流量的安全技术列表。替换地,安全标志可以包含没有被应用到该网络流量的安全技术的列表。为了确保在安全标志中表示的信息是正确并值得信任的且网络流没有恶化,网络设备可以通过例如使用诸如PKI等的公共密钥方案来数字化签名安全标志和网络流量。
在240阶段,网络设备将网络流量传输给网络中的下一个网络设备。接着,在245阶段,确定网络流量是否已经到达了目的网络设备。如果网络设备没有到达目的网络设备,则处理返回到210阶段。替换地,如果网络设备到达目的网络设备,则处理连续进行到图3中的310阶段。
现参考图3,在310阶段,目的网络设备从安全策略确定将什么安全技术应用到网络流量。在310阶段建立将什么安全技术应用到网络流量后,在315阶段,目的网络设备确定什么安全技术已经被应用到网络流量。例如,目的网络设备可以读取与网络流量关联的安全标志以确定什么安全技术已经被应用到网络流量。作为确保在安全标志中表示的信息是正确和值得信任的且网络流没有恶化的方式,目的网络设备可以验证安全标志的认证和网络流量的完整性。如果安全标志没有被验证通过,诸如当用于安全标志的数字签名是非法的或没有被发现时,则网络设备可以忽略安全标志并根据网络安全策略重新扫描该流量。
基于从310-315阶段所得的结果,其中,网络设备确定什么安全技术必须或应当被应用到进入网络的网络流量以及什么安全技术已经被应用到了网络流量,在320阶段,目的网络设备做出决定是否它需要应用任何还没有应用的安全技术。如果在320阶段基于所做出的决定,目的网络设备无需应用任何安全技术,则目的网络设备接受网络流量。否则,如果在320阶段基于所做出的决定,目的网络设备必须应用还没有被应用的安全技术,则处理继续进行到330阶段。在330阶段,目的网络设备确定是否它能应用还没有被应用的安全技术。如果网络设备能够应用还没有被应用的安全技术,则处理进行到335阶段,并且目的网络设备使用还没有被应用的安全技术扫描网络流量。另一方面,如果在330阶段确定了网络设备不能应用还没有被应用的安全技术,则处理进行到340阶段并且目的网络设备拒绝网络流量或将该网络流量重新路由到特定的安全设备。
用于分布式流量扫描的系统操作
图4和5是符合本发明的用来在包括多种安全设备和技术的网络中分配数据安全扫描的处理的流程图。如在图4中所示的处理的开始,410阶段,在网络(例如,图1的元件160)内的目的网络设备(例如,图1的元件101)给在网络中的网络设备发送用于网络流量的请求,安全设备可以通过例如使用诸如PKI等的公共密钥方案以检查请求的签名或来源或比较目的网络设备的IP地址来验证用于网络流量的请求的认证。例如,在420阶段,一旦发生特定事件,例如当目的网络设备从网络外请求网络流量时,安全设备或目的网络设备可以获取网络的安全策略。安全设备或目的网络设备可以通过检索在网络设备存储器中存储的副本或通过从在网络上的其他网络设备请求安全策略的副本而获得安全策略。为了确保安全策略是正确并值得信任的且网络流并未恶化,该网络设备或在网络上的其他网络设备可以通过例如使用诸如PKI等的公共密钥方案以核查与安全策略和网络流量关联的签名或来源来验证与安全策略的认证和网络流量的完整性。
接着,在425阶段,安全设备从安全策略确定什么安全技术被应用到网络流量。安全技术的实例包括AV、反垃圾邮件、异常协议检测、内容过滤和IDS。安全策略可以包括,例如,必须或应当应用到进入网络的任何网络流量的安全技术列表。在425阶段建立要被应用到网络流量的安全技术后,在430阶段,安全设备响应在410阶段中发送的目的网络设备的请求而沿计划网络路径给目的网络设备发送查询。在一个实施例中,安全设备在发送查询前确定由目的网络设备所请求的网络流量的性质和大小。为了使发送和传输查询的费用最小化,安全设备可以尝试节省何时及何频率发送查询。例如,安全设备可以连续处理简单的超文本传输协议请求和响应,即便当安全设备处于重负载的情况下。但是,当安全设备意识到所请求的网络流量包含大量可执行文件时,安全设备可以通过送出查询而请求应用安全技术的帮助。
安全设备在相同的计划网络路径上发送查询来作为要被扫描的网络流量,其确保了查询的路径与网络流量的路径相同,而不考虑可能在计划网络路径上的任何交换机或网络地址翻译设备。
在一个实施例中,安全设备发送查询来从一个或多个网络设备恳请帮助,以帮助应用指定在]安全策略的安全技术。在435阶段,在网络流量的计划路径上的网络设备的任意一个都可以截取该查询并加入自己的响应,这很可能自愿来应用一个或多个指定在安全策略的安全技术。为了确保该安全技术是正确并值得信任的且该安全技术不会恶化,自愿应用一个或多个安全技术的网络设备例如通过使用诸如PKI等的公共密钥方案来数字化签名该安全技术。在435阶段之后,在440阶段做出决定而不论该查询是否已经到达了目的网络设备或在计划网络路径上的一个或多个网络设备是否自愿应用指定在安全策略中的所有安全技术。基于在440阶段做出的否定决定,在445阶段,网络设备的任意一个将该查询传输给在计划网络路径上的下一个网络设备,并且处理返回到435阶段。替换地,基于在440阶段中做出的肯定决定,查询到达了目的网络设备或在计划网络路径上的一个或多个网络设备自愿应用指定在安全策略中的所有安全技术,在450阶段,响应发送回安全设备。
为了确保响应是正确且值得信任的并且响应没有恶化,将响应发送到安全设备的网络设备通过例如使用诸如PKI的公共密钥方案数字化签名该安全技术。如果没有验证该响应的认证和完整性,诸如当用于该响应的数字签名是非法的或不能被发现,则安全设备必须忽略该响应并根据网络安全策略扫描流量。
在成功的完成450阶段后,处理继续到图5的505阶段。在505阶段,安全设备确定在计划网络路径上的一个或多个网络设备是否已经自愿应用指定在安全策略中的所有安全技术。如果在计划网络路径上的一个或多个网络设备已经自愿应用指定在安全策略中的所有安全技术,则安全设备沿计划网络路径传输网络流量而不需应用在510阶段中的安全技术。替换地,如果在计划网络路径上没有网络设备自愿应用指定在安全策略中的所有安全技术,则处理进行到515阶段。在515阶段,确定是否目的网络设备被配置来拒绝不安全的网络流量。如果515阶段的确定是肯定的,则处理进行到510阶段,其中,安全设备沿计划网络路径传输网络流量而不需应用安全技术。但是,如果515阶段的决定是否定的,则处理进行到520阶段,其中,在将网络流量传输给目的网络设备之前,安全设备应用由安全策略指定的安全技术。
本发明上述描述仅代表示例和说明性的。它们并不是穷举且并不将本发明限定到所公开的精确形式。可以根据上述的教导或从本发明的实践做出修改和变化。例如,所描述的实施方式包括软件,但本发明可以由硬件和元件的组合或由硬件单独实现。此外,虽然本发明的各个方面所描述的是存储在存储器中,但本领域技术人员可以明白,也能存储在其他类型的计算机可读介质中,诸如次级存储设备,类似于硬盘、软盘、或CD-ROM;从互联网或其他传播介质来的载波;或其他形式的RAM或ROM。把那发明的范围由权利要求及其等同限定。
从这里公开的本发明的说明和实施的考量中本领域的技术人员可以明白本发明的其他实施例。说明书和实施例应当仅认为是示例性的,本发明的范围和精神由以下的权利要求限定。
Claims (34)
1.一种在网络中进行数据安全扫描的方法,包括:
为从网络外传输网络流量到目的网络设备获取网络的安全策略,安全策略指明需要将强制安全技术应用到网络流量;
基于所述安全策略,探知强制安全技术;
基于与所述网络流量关联的安全标志,确定还没有被应用到所述网络流量的强制安全技术;
基于安全设备可用的至少一个强制技术的确定,由在网络上的安全设备提供至少一个还没有被应用的强制安全技术;和
用在网络流量中的安全标志指明应用到所述网络流量的至少一个强制安全技术。
2.根据权利要求1所述的方法,其中获取包括由在网络边界上的边界安全设备获取网络的安全策略。
3.根据权利要求1所述的方法,其中探知还包括:
验证所述安全策略的完整性。
4.根据权利要求1所述的方法,其中探知还包括:
验证所述安全策略的认证。
5.根据权利要求1所述的方法,其中确定包括接收数字化签名的安全标志。
6.根据权利要求5所述的方法,其中确定包括:
验证所述安全标志的完整性。
7.根据权利要求6所述的方法,其中确定包括:
验证与所述安全标志关联的数字签名的认证。
8.一种在网络中进行数据安全扫描的系统,包括:
装置,用于从网络外传输网络流量到目的网络设备而获取网络的安全策略,安全策略指明需要将强制安全技术应用到网络流量;
装置,基于所述安全策略,探知强制安全技术;
装置,基于与所述网络流量关联的安全标志,确定还没有被应用到所述网络流量的强制安全技术;
装置,基于安全设备可用的至少一个强制技术的确定,由在网络上的安全设备提供至少一个还没有被应用的强制安全技术;和
装置,使用在网络流量中的安全标志指明应用到所述网络流量的至少一个强制安全技术。
9.根据权利要求8所述的系统,其中,用于获取的装置还包括由在网络边界上的边界安全设备获取网络的安全策略的装置。
10.根据权利要求8所述的系统,其中用来探知的装置还包括:
用来验证所述安全策略的完整性的装置。
11.根据权利要求8所述的系统,其中用来探知的装置还包括:
用来验证所述安全策略的认证的装置。
12.根据权利要求8所述的系统,其中用于确定的装置包括接收数字化签名的安全标志的装置。
13.根据权利要求12所述的系统,其中用来确定的装置包括:
用来验证所述安全标志的完整性的装置。
14.根据权利要求13所述的系统,其中用来确定的装置包括:
用来验证与所述安全标志关联的数字签名的认证的装置。
15.一种在网络中进行数据安全扫描的方法,包括:
为从网络外来的网络流量从目的网络设备接收请求;
从网络外传输网络流量到目的网络设备而获取网络的安全策略;
基于所述安全策略,探知需要应用到所述网络流量的强制安全技术;
向至少一个网络设备发送查询,所述网络设备位于网络流量的计划路径到目的网络设备,所述查询从至少一个网络设备恳求帮助,以便帮助应用强制安全技术。
16.根据权利要求15的方法,还包括:
基于从至少一个网络设备自愿应用所述强制安全技术的帮助的确定,沿所述网络流量的计划路径将所述网络流量传输给所述目的设备而不应用安全技术。
17.根据权利要求15所述的方法,还包括:
基于所述目的网络设备被配置来拒绝不安全的网络流量的确定,沿所述网络流量的计划路径将所述网络流量传输给所述目的设备而不应用安全技术,其中,所述不安全的网络流量是没有用强制安全技术扫描的网络流量。
18.根据权利要求15所述的方法,其中发送包括基于所述网络流量的大小的确定发送所述查询。
19.根据权利要求15所述的方法,其中接收包括由在所述网络边界上的边界安全设备接收。
20.根据权利要求15所述的方法,其中探知还包括:
验证所述安全策略的完整性。
21.根据权利要求15所述的方法,其中探知还包括:
验证所述安全策略的认证。
22.根据权利要求21所述的方法,其中所述至少一个网络设备数字化签名帮助的安全技术。
23.根据权利要求16所述的方法,其中传输还包括:
验证所述帮助的安全技术的完整性。
24.根据权利要求23所述的方法,其中传输还包括:
验证与所述帮助的安全技术关联的一个或多个数字签名的认证。
25.一种在网络中进行数据安全扫描的系统,包括:
装置,为从网络外来的网络流量从目的网络设备接收请求;
装置,用于从网络外传输网络流量到目的网络设备而获取网络的安全策略;
装置,基于所述安全策略,探知需要应用到所述网络流量的强制安全技术;
装置,向至少一个网络设备发送查询,所述网络设备位于网络流量的计划路径到目的网络设备,所述查询从至少一个网络设备恳求帮助,以帮助应用强制安全技术。
26.根据权利要求25所述的系统,还包括:
装置,基于从至少一个网络设备自愿应用所述强制安全技术的帮助的确定,沿所述网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技术。
27.根据权利要求25所述的系统,还包括:
装置,基于所述目的网络设备被配置来拒绝不安全的网络流量的确定,沿所述网络的计划路径将所述网络流量传输给所述目的设备而不应用安全技术,其中,所述不安全的网络流量是没有用强制安全技术扫描的网络流量。
28.根据权利要求25所述的系统,其中用来发送的装置包括基于所述网络流量的大小的确定发送所述查询的装置。
29.根据权利要求25所述的系统,其中用来接收的装置包括由在所述网络边界上的边界安全设备接收的装置。
30.根据权利要求25所述的系统,其中用于探知的装置还包括:
用于验证所述安全策略的完整性的装置。
31.根据权利要求25所述的系统,其中用于探知的装置还包括:
用于验证所述安全策略的认证的装置。
32.根据权利要求26所述的系统,其中所述至少一个网络设备数字化签名帮助的安全技术。
33.根据权利要求32所述的系统,其中用于传输的装置还包括:
用于验证所述帮助的安全技术的完整性的装置。
34.根据权利要求33所述的系统,其中用于传输的装置还包括:
用于验证与所述帮助的安全技术关联的一个或多个数字签名的认证的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/034,161 US7620974B2 (en) | 2005-01-12 | 2005-01-12 | Distributed traffic scanning through data stream security tagging |
| US11/034,161 | 2005-01-12 | ||
| PCT/US2006/000317 WO2006076201A2 (en) | 2005-01-12 | 2006-01-06 | Distributed traffic scanning through data stream security tagging |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101164050A CN101164050A (zh) | 2008-04-16 |
| CN101164050B true CN101164050B (zh) | 2011-06-08 |
Family
ID=36654883
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2006800080264A Expired - Fee Related CN101164050B (zh) | 2005-01-12 | 2006-01-06 | 通过数据流安全标志的分布式流量扫描 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US7620974B2 (zh) |
| EP (1) | EP1844399B1 (zh) |
| JP (1) | JP4685881B2 (zh) |
| CN (1) | CN101164050B (zh) |
| WO (1) | WO2006076201A2 (zh) |
Families Citing this family (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8561154B2 (en) * | 2003-12-22 | 2013-10-15 | International Business Machines Corporation | Method for providing network perimeter security assessment |
| US8572733B1 (en) * | 2005-07-06 | 2013-10-29 | Raytheon Company | System and method for active data collection in a network security system |
| US8495743B2 (en) * | 2005-12-16 | 2013-07-23 | Cisco Technology, Inc. | Methods and apparatus providing automatic signature generation and enforcement |
| US8561189B2 (en) * | 2006-06-23 | 2013-10-15 | Battelle Memorial Institute | Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks |
| US8069315B2 (en) * | 2007-08-30 | 2011-11-29 | Nokia Corporation | System and method for parallel scanning |
| US9137138B2 (en) * | 2008-11-28 | 2015-09-15 | Stephen W. NEVILLE | Method and system of controlling spam |
| US20100150006A1 (en) * | 2008-12-17 | 2010-06-17 | Telefonaktiebolaget L M Ericsson (Publ) | Detection of particular traffic in communication networks |
| WO2010100825A1 (ja) * | 2009-03-05 | 2010-09-10 | 日本電気株式会社 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
| US9356941B1 (en) * | 2010-08-16 | 2016-05-31 | Symantec Corporation | Systems and methods for detecting suspicious web pages |
| WO2013041016A1 (zh) * | 2011-09-19 | 2013-03-28 | 北京奇虎科技有限公司 | 处理计算机病毒的方法和装置 |
| US9392015B2 (en) * | 2014-04-28 | 2016-07-12 | Sophos Limited | Advanced persistent threat detection |
| US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
| US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
| GB201915196D0 (en) | 2014-12-18 | 2019-12-04 | Sophos Ltd | A method and system for network access control based on traffic monitoring and vulnerability detection using process related information |
| US10652024B2 (en) * | 2017-04-05 | 2020-05-12 | Ciena Corporation | Digital signature systems and methods for network path trace |
| US10966091B1 (en) * | 2017-05-24 | 2021-03-30 | Jonathan Grier | Agile node isolation using packet level non-repudiation for mobile networks |
| US11695799B1 (en) | 2021-06-24 | 2023-07-04 | Airgap Networks Inc. | System and method for secure user access and agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11757934B1 (en) | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | Extended browser monitoring inbound connection requests for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11722519B1 (en) | 2021-06-24 | 2023-08-08 | Airgap Networks Inc. | System and method for dynamically avoiding double encryption of already encrypted traffic over point-to-point virtual private networks for lateral movement protection from ransomware |
| US11916957B1 (en) | 2021-06-24 | 2024-02-27 | Airgap Networks Inc. | System and method for utilizing DHCP relay to police DHCP address assignment in ransomware protected network |
| US11736520B1 (en) | 2021-06-24 | 2023-08-22 | Airgap Networks Inc. | Rapid incidence agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11711396B1 (en) | 2021-06-24 | 2023-07-25 | Airgap Networks Inc. | Extended enterprise browser blocking spread of ransomware from alternate browsers in a system providing agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US11757933B1 (en) * | 2021-06-24 | 2023-09-12 | Airgap Networks Inc. | System and method for agentless lateral movement protection from ransomware for endpoints deployed under a default gateway with point to point links |
| US12074906B1 (en) | 2021-06-24 | 2024-08-27 | Airgap Networks Inc. | System and method for ransomware early detection using a security appliance as default gateway with point-to-point links between endpoints |
| US12057969B1 (en) | 2021-06-24 | 2024-08-06 | Airgap Networks, Inc. | System and method for load balancing endpoint traffic to multiple security appliances acting as default gateways with point-to-point links between endpoints |
| US12058171B1 (en) | 2021-06-24 | 2024-08-06 | Airgap Networks, Inc. | System and method to create disposable jump boxes to securely access private applications |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1281189A (zh) * | 2000-08-23 | 2001-01-24 | 深圳市宏网实业有限公司 | 一种网络安全服务器及其智能防护方法 |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5968176A (en) | 1997-05-29 | 1999-10-19 | 3Com Corporation | Multilayer firewall system |
| US6202157B1 (en) * | 1997-12-08 | 2001-03-13 | Entrust Technologies Limited | Computer network security system and method having unilateral enforceable security policy provision |
| JP2000029799A (ja) * | 1998-07-15 | 2000-01-28 | Hitachi Ltd | 電子メールシステムの送信制御方法、受信制御方法及び電子メールシステム |
| US7136645B2 (en) | 1998-10-09 | 2006-11-14 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
| US6158010A (en) * | 1998-10-28 | 2000-12-05 | Crosslogix, Inc. | System and method for maintaining security in a distributed computer network |
| US6542993B1 (en) * | 1999-03-12 | 2003-04-01 | Lucent Technologies Inc. | Security management system and method |
| JP4084914B2 (ja) * | 1999-09-29 | 2008-04-30 | 株式会社日立製作所 | セキュリティ評価方法および装置、セキュリティ施策の作成支援方法および装置 |
| US6611925B1 (en) | 2000-06-13 | 2003-08-26 | Networks Associates Technology, Inc. | Single point of entry/origination item scanning within an enterprise or workgroup |
| US7096260B1 (en) * | 2000-09-29 | 2006-08-22 | Cisco Technology, Inc. | Marking network data packets with differentiated services codepoints based on network load |
| GB0027280D0 (en) * | 2000-11-08 | 2000-12-27 | Malcolm Peter | An information management system |
| US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
| US6981280B2 (en) * | 2001-06-29 | 2005-12-27 | Mcafee, Inc. | Intelligent network scanning system and method |
| US7103914B2 (en) * | 2002-06-17 | 2006-09-05 | Bae Systems Information Technology Llc | Trusted computer system |
| US7308711B2 (en) * | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7424610B2 (en) * | 2003-12-23 | 2008-09-09 | Intel Corporation | Remote provisioning of secure systems for mandatory control |
| GB0420548D0 (en) * | 2004-09-15 | 2004-10-20 | Streamshield Networks Ltd | Network-based security platform |
| US7721323B2 (en) * | 2004-11-23 | 2010-05-18 | Cisco Technology, Inc. | Method and system for including network security information in a frame |
-
2005
- 2005-01-12 US US11/034,161 patent/US7620974B2/en active Active
-
2006
- 2006-01-06 WO PCT/US2006/000317 patent/WO2006076201A2/en active Application Filing
- 2006-01-06 JP JP2007551292A patent/JP4685881B2/ja not_active Expired - Fee Related
- 2006-01-06 CN CN2006800080264A patent/CN101164050B/zh not_active Expired - Fee Related
- 2006-01-06 EP EP06733623.0A patent/EP1844399B1/en active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1281189A (zh) * | 2000-08-23 | 2001-01-24 | 深圳市宏网实业有限公司 | 一种网络安全服务器及其智能防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7620974B2 (en) | 2009-11-17 |
| EP1844399A2 (en) | 2007-10-17 |
| EP1844399A4 (en) | 2014-07-09 |
| JP4685881B2 (ja) | 2011-05-18 |
| US20060156401A1 (en) | 2006-07-13 |
| JP2008527921A (ja) | 2008-07-24 |
| WO2006076201A8 (en) | 2007-01-11 |
| WO2006076201A2 (en) | 2006-07-20 |
| EP1844399B1 (en) | 2019-06-26 |
| CN101164050A (zh) | 2008-04-16 |
| WO2006076201A3 (en) | 2007-06-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101164050B (zh) | 通过数据流安全标志的分布式流量扫描 | |
| TWI310649B (en) | Peer-to-peer name resolution protocol (pnrp) security infrastructure and method | |
| US10212188B2 (en) | Trusted communication network | |
| CN102106114B (zh) | 分布式安全服务开通方法及其系统 | |
| US7464407B2 (en) | Attack defending system and attack defending method | |
| EP2147390B1 (en) | Detection of adversaries through collection and correlation of assessments | |
| US8103875B1 (en) | Detecting email fraud through fingerprinting | |
| US20070244974A1 (en) | Bounce Management in a Trusted Communication Network | |
| RU2412480C2 (ru) | Система и способ установления того, что сервер и корреспондент имеют согласованную защищенную почту | |
| US20110047610A1 (en) | Modular Framework for Virtualization of Identity and Authentication Processing for Multi-Factor Authentication | |
| Venkatesan et al. | Advanced mobile agent security models for code integrity and malicious availability check | |
| JP4693174B2 (ja) | 中間ノード | |
| AU2020102146A4 (en) | Defence method to avoid automated attacks in iot networks using physical unclonable function (puf) based mutual authentication protocol | |
| EP1949240A2 (en) | Trusted communication network | |
| US20120137362A1 (en) | Collaborative security system for residential users | |
| Mirkovic et al. | Building accountability into the future Internet | |
| CN116260656B (zh) | 基于区块链的零信任网络中主体可信认证方法和系统 | |
| Florencio et al. | Stopping a phishing attack, even when the victims ignore warnings | |
| Haqani et al. | A decentralised blockchain-based secure authentication scheme for IoT devices | |
| Ramamohanarao et al. | The curse of ease of access to the internet | |
| Ashokkumar et al. | IOT-ENABLED INFRASTRUCTURE PRIVACY PRESERVATION IN BIG DATA. | |
| Naqash et al. | Protecting DNS from cache poisoning attack by using secure proxy | |
| US20240291857A1 (en) | Discriminating Defense Against DDoS Attacks | |
| Gandhi | Network security problems and security attacks | |
| Parameswaran et al. | Incentive mechanisms for internet security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: California, USA Patentee after: Norton identity protection Address before: California, USA Patentee before: Symantec Corp. |
|
| CP03 | Change of name, title or address | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20110608 Termination date: 20220106 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |