CN101518021A - 安全处理合法拦截的网络流量的系统和方法 - Google Patents
安全处理合法拦截的网络流量的系统和方法 Download PDFInfo
- Publication number
- CN101518021A CN101518021A CNA2007800345113A CN200780034511A CN101518021A CN 101518021 A CN101518021 A CN 101518021A CN A2007800345113 A CNA2007800345113 A CN A2007800345113A CN 200780034511 A CN200780034511 A CN 200780034511A CN 101518021 A CN101518021 A CN 101518021A
- Authority
- CN
- China
- Prior art keywords
- traffic
- benign
- mark
- malicious
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种提供支持执法机构端设备存储和分析拦截的网络流量的系统和方法。所述系统和方法通过以其原始形式将良性和恶意的所有拦截流量都存储在档案存储库中,提供符合合法拦截要求的存储在档案存储库中的拦截的网络流量的完整性。所述系统和方法还通过分离恶意包与良性包,以及仅仅转发良性包到执法机构端设备的分析应用,提供对档案存储库的任何恶意数据包的防范。
Description
技术领域
本发明涉及对执法机构(LEA)拦截的网络流量的存储和分析的支持,更具体地,涉及提供使LEA免受来自存储的拦截流量中和通过存储的拦截流量的恶意攻击,同时提供遵循法庭证据的存储方式的拦截流量。
背景技术
在调查过程中,执法机构可以要求网络服务供应商辅助拦截通过服务供应商网络的期望的信息。有助于LEA调查的期望的信息通常涉及被调查对象的当事人或者团体。所述信息通常包含在期望的网络IP流量中,其反映出调查中的可疑人、个人、或者组织(以下称为可疑方)的通信行为或者形式部分。流量的内容可以采取多种形式,包括但不限于语音IP、电子邮件、文字消息、信息流或者下载形式视频、文档或者数据通信交换。要拦截这些期望的网络流量,LEA向网络服务供应商要求符合某些标准、被认为包含期望的信息的网络流量的复制或者镜像。符合这些标准并且根据其已经被拦截的网络流量以下称为拦截流量。期望的网络流量的标准可以包括从特定地点、从特殊个人、组织或者装置、在特定时间、或者从特定应用发出的流量。这些标准可以包括发送到特定目的地或者提交给特殊个人、组织或者装置的流量。
即使当根据一系列标准拦截的网络流量时,很多所述拦截的流量可能不构成调查相关的内容,因此可能无助于进一步的调查,也不能支持所述调查导致的讼案的法庭出示。拦截流量通常需要在LEA端进行分析,以收集期望的信息,这些期望的信息在法庭上可能有助于进行进一步调查或者可以证明是有用的。在LEA端的分析通常在包括经常耦合到内部网的计算机系统的设备上完成。
LEA在收集和分析用于调查或者支持法庭讼案的网络流量时面临两个特殊难题。首先,法律或者有关规定要求任何拦截的流量必须完全保留,也就是其完整性不能受到危害。不能符合法律的完整性要求可能使用于法院调查的拦截的期望的网络流量无效,以及可能导致其不被司法法庭承认。这些完整性要求也可以称为合法拦截要求(LIR)。其次,拦截流量可以包括可能威胁包括其网络、数据库和其它资源的LEA端设备的恶意流量。源于恶意流量的目标是LEA的攻击称为“非直接的”,因为它们仅当在LEA端拦截流量被存取或者重放时发生,通常这种存取或者重放比流量实际从发起攻击者发送的时间晚。执法机构特别存在风险,因为恶意流量可以由被监控的可疑方特意产生,以便攻击LEA端设备作为对LEA监视的对抗。这样的攻击者可能试图影响拦截流量的分析效率,或者可能故意加入恶意流量,其稍后将影响LEA端网络的后端功能,以及可能毁坏LEA系统或者导致服务中断。这样的攻击可以包括应用级溢出、伪会话、软件脆弱性使用、或者木马病毒等。如果LEA以攻击者的网络为目标并且从攻击者的网络收集数据,例如当攻击者是有组织犯罪团伙的一部分时,则服务中断攻击对LEA特别有威胁。
执法机构不得不处理所有的拦截流量,并且还要保护其自己的资源免受流量处理产生的影响。为了能有效和节省成本地进行其主要工作,应该同时执行数据处理和提供理想的安全性。在大多数情况中,LEA对构成攻击的流量不感兴趣,因为攻击流量通常不带有LEA有授权和感兴趣的信息。这在多数情况下是正确的,除了当攻击本身是计算机犯罪调查的目标时。
根据图1所示的当前的应用,LEA和网络服务供应商采用了尽力服务方式。在此示例中,网络流量30是LEA感兴趣和将拦截的期望的网络流量,其在可疑端设备10发出,并且通过互联网服务供应商(ISP)网络100到达互联网60。网络服务供应商应LEA的要求以拦截流量40的形式复制和转发所有符合LEA要求的标准的、通过ISP网络100的网络流量到执法机构端设备150。管理拦截流量40要求相对大的计算和存储容量,理想地,其应是有效的和操作在安全方式下。当前的ETSI(欧洲电信标准协会)和3GPP(第三代合作伙伴计划)标准仅仅描述了网络服务供应商和客户(LEA设备)之间的切换接口,而不解决任何分析和存储拦截流量必需的LEA自身网络和后端功能的威胁模型或者安全措施。大多数LEA考虑的任何存储的拦截流量40的最重要的“安全”事务是确保存储的拦截流量40免受未授权存取,无论以未授权复制还是未授权修改方式。所述提供给数据档案存储库的安全性的公知类型与关注于保护LEA端设备的数据档案存储库的安全性类型,即本发明以下描述的解决的安全性的类型不同。
在对拦截流量的透彻分析和常规处理过程期间,LEA将需要传送、记录和可能重放由可疑端设备10接收或者发送的拦截流量的每个单独的包。LEA不能实施围绕其端设备的防火墙来保护其自身,因为那将不允许完全拷贝的拦截流量进入用于存储的LEA端。一般地,对于用作有效的安全机制的防火墙,其必须在保持防火墙一侧(在此例中是LEA端设备150)免受从另一侧(在此例中是ISP网络100)发出的恶意流量方面是强大的和谨慎的。构成已知攻击的任何包,例如应用级溢出、伪会话、软件脆弱性使用、木马病毒和其它的,由防火墙过滤,从而它们都不能进入安全地带,即,LEA端设备150。防火墙还通常具有智能启发,用于过滤任何可疑的、或者可能构成未知攻击的包。在存储之前过滤拦截流量中的已知和可能的攻击会导致拦截流量的档案存储库不完全。为了获得拦截流量的完全拷贝,拦截流量不能由防火墙过滤,而且必须在拦截时存储。不能采用防火墙过滤正进入LEA端设备200的拦截流量的结果是其将LEA端设备200暴露给来自被调查的可疑方的攻击。在大多数其它不要求数据完整性的系统中,用于阻止或者毁灭数据的防火墙可以用作有效的安全措施。需要允许表面上互斥的要求-防范攻击和保存数据完整性是执法机构的数据监视领域特有的。
深度包检测(DPI)可以作为LEA端的定制分析应用的一部分使用,但是由于资源超负荷,所述解决方案可能导致较长的处理时间。此外,所述解决方案增加了想得到信息丢失的可能性,以及可能需要对不相关数据费力的手动拒绝。
目前没有能充分解决对立目标:数据完整性和LEA监视和分析与可疑方有关的网络流量的情形中的安全性的已有系统或者方法。
发明内容
根据一个方面,本发明提供用于处理合法拦截监视的网络流量的系统,所述系统包括:用于存储穿过通信网络的拦截的网络流量的档案存储库(archive),所述拦截的网络流量包括良性流量和恶意流量,所述拦截流量在所述档案存储库上从服务供应商接收;用于将所述档案存储库的所述良性流量与所述档案存储库的所述恶意流量分离的流量分离器;从所述良性流量产生干净流量(clean traffic);以及用于接收所述干净流量和分析所述干净流量的分析应用。
本发明的一些实施例提供攻击检测模块,其耦合到所述通信网络,用于接收所述拦截的网络流量,用于将所述良性流量识别为良性,和用于将所述恶意流量识别为恶意;以及标记模块,其耦合到所述攻击检测模块的输出,用于从所述攻击检测模块接收良性流量和恶意流量,和用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,所述标记模块用于发送所述良性流量和所述各个标记的恶意包到所述档案存储库进行存储;其中所述流量分离器通过使用与每个恶意包相关的所述指示符,执行所述良性流量与所述恶意流量的分离。
本发明的一些实施例提供用于存取所述档案存储库中存储的所述良性流量和所述恶意流量,其中所述流量分离器耦合到所述重放引擎的输出。
在本发明的一些实施例中,所述标记是VLAN标记、UDP标记、和定制封装中的一种。
在本发明的一些实施例中,所述攻击检测模块和所述标记模块是所述通信网络的服务供应商端设备的部分,所述档案存储库、所述重放引擎、所述流量分离器、和所述分析应用是执法机构端设备的部分。
在本发明的一些实施例中,所述标记模块用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,和发送作为所述良性流量的部分的各个标记的良性包到所述档案存储库进行存储,并且其中所述流量分离器通过使用与每个良性包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
本发明的一些实施例提供攻击检测模块,其耦合到所述档案存储库,用于从所述档案存储库接收所述良性流量和所述恶意流量,以及用于将所述良性流量识别为良性,和用于将所述恶意流量识别为恶意。
在本发明的一些实施例中,流量分离器耦合到所述攻击检测模块的输出,并且是过滤器、防火墙、阻隔器、和交换机中的一种。
在本发明的一些实施例中,所述档案、所述流量分离器、所述分析应用、所述重放引擎、和所述攻击检测模块是执法机构端设备的部分。
本发明的一些实施例提供标记模块,其耦合到所述攻击检测模块的输出,用于从所述攻击检测模块接收良性流量和恶意流量,和用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,其中所述流量分离器通过使用与每个恶意包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
在本发明的一些实施例中,标记模块用于发送所述良性流量和所述各个标记的恶意包到所述档案存储库进行存储。
在本发明的一些实施例中,所述标记模块用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,和发送作为所述良性流量的部分的各个标记的良性包到所述档案存储库进行存储,并且其中所述流量分离器通过使用与每个良性包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
根据本发明的另一方面,提供用于处理合法拦截监视的网络流量的方法,所述方法包括:拦截穿过通信网络的期望的网络流量,产生拦截的网络流量,所述拦截的网络流量包括良性流量和恶意流量;存储所述良性流量和所述恶意流量到档案存储库中;将所述档案存储库的所述良性流量与所述档案存储库的所述恶意流量分离,从所述良性流量产生干净流量;以及发送所述干净流量到分析应用,以分析所述干净流量。
本发明的一些实施例在存储步骤之前提供:将所述良性流量识别为良性,和将所述恶意流量识别为恶意;以及在被识别之后,用相关指示符,标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,其中用每个恶意包相关的所述指示符执行所述分离。
本发明的一些实施例在存储步骤之前提供:存取所述档案存储库的所述良性流量和所述档案存储库的所述恶意流量;以及将所述良性流量和各个标记的恶意包传送到交换机,其中由所述交换机执行所述分离。
本发明的一些实施例提供在已经被识别之后,用相关指示符,标记所述良性流量的每个良性包以指示良性包是良性的,而产生各个标记的良性包,其中用每个良性包相关的所述指示符执行所述分离,并且其中将所述良性流量传送到所述交换机包括传送各个标记的良性包到所述交换机。
在本发明的一些实施例中,所述标记在所述通信网络由所述服务供应商端设备执行,所述存储、存取、传送、分离、和发送由执法机构端设备执行。
本发明的一些实施例在分离步骤之前提供:从所述档案存储库存取所述良性流量和所述恶意流量;以及将存取后的所述良性流量识别为良性,和将存取后的所述恶意流量识别为恶意。
在本发明的一些实施例中,分离还包括删除、过滤、阻隔和重新路由所述恶意流量中的一种。
在本发明的一些实施例中,在所述通信网络中执行的所述拦截由服务供应商端设备执行,所述存储、分离、和发送由执法机构端设备执行。
本发明的一些实施例在分离步骤之前提供:在已经被识别之后,用相关指示符标记所述恶意流量的每个恶意包以指示恶意包是恶意的,而产生各个标记的恶意包,其中用与每个恶意包相关的所述指示符执行所述分离。
本发明的一些实施例在分离步骤之前提供:存储所述良性流量和各个标记的恶意包到所述档案存储库中。
本发明的一些实施例提供:在已经被识别后,用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,其中通过使用与每个良性包相关的所述指示符,执行所述分离,并且其中对所述良性流量的所述存储包括存储各个标记的良性包。
附图说明
本发明的特征和优点将从以下参考附图对优选实施例的详细描述而变得更明显,其中:
图1为图示已知的存储和分析合法拦截的网络流量的示意图;
图2为根据本发明的优选实施例对合法拦截监视的网络流量进行处理的系统的示意性方框图;
图3为根据本发明的示例性实施例对合法拦截监视的网络流量进行处理的系统的示意性方框图;
图4为根据本发明的可选实施例对合法拦截监视的网络流量进行处理的系统的示意性方框图;
图5为图示了根据本发明的优选实施例对合法拦截监视的网络流量进行处理的方法中的步骤的操作方框图;
图6为图示了根据本发明的示例性实施例对合法拦截监视的网络流量进行处理的方法中的步骤的操作方框图;
图7为图示了根据本发明的可选实施例对合法拦截监视的网络流量进行处理的方法中的步骤的操作方框图。
注意在附图中,相同的特征具有相似的标记。
具体实施方式
现在参考图2的结构描述根据本发明的优选实施例的提供数据完整性和安全性的网络流量拦截的系统。
在图2的系统中,可疑端设备10通过通信网络(在此例中是ISO网络100)耦合到互联网60。ISP网络100耦合到LEA端设备200,其包括存储从ISP网络100进入的流量的档案存储库210。耦合到档案存储库210的输出的是重放引擎220。耦合到重放引擎220的输出的是IPS(入侵防护系统)模块230,其包括IDS(入侵检测系统)模块232,以及流量分离器,其在此例中是串联的PDU(分组数据单元)过滤器/阻隔器234。耦合到IPS模块230的输出的是分析应用240。
图2的系统将根据功能描述。包括包含LEA想得到信息的期望的网络流量的网络流量30在可疑端设备10和互联网60之间通过ISP网络100传送。网络流量30包括嵌入其中的恶意攻击20,其从可疑端设备10发出、以LEA端设备200为目标。网络流量30的期望的网络流量作为拦截流量40从ISP网络100被复制和转发到LEA端设备200。LEA端设备200接收和将所述拦截流量40存储在其档案存储库210中。档案存储库210存储所有的拦截流量40,包括由可疑端设备10产生的恶意攻击20。收集的流量必须在某处完整存档,以确保拦截和存储的数据符合合法拦截要求。
无论何时存取来自档案存储库210的拦截流量40用于分析,所述流量由重放引擎220取得,并且通过IPS模块230。在IPS模块230中,IDS模块232用于识别构成拦截流量40的恶意攻击20的恶意流量。良性流量244和恶意流量242均从IDS模块232转发到PDU过滤器/阻隔器234。图2所示的良性流量244和恶意流量242的分离信息流仅仅是一起构成单个拦截流量40数据流的两种不同类型流量的逻辑表示。PDU过滤器/阻隔器234过滤、阻隔、删除或者重新路由识别的恶意流量242,其在图2中用“X”243表示,同时将良性流量244作为干净流量248转发到分析应用240。分析应用240然后分析干净流量248,用于LEA可能认为有用的期望的信息。
在图2所示的实施例中,所有存档、恶意数据过滤、和分析在LEA端设备内进行。网络攻击、恶意请求和溢出、带有攻击签名的包、以及软件推销等的多数由入侵防护系统(IPS)模块230过滤/筛除,得到干净的或者安全的资料用于LEA进一步分析。拦截流量40保持其原来的完整形式存储在档案存储库210中,用于进一步的法庭出示,和符合合法程序。
现在将参考图3描述根据示例性实施例,提供数据完整性和安全性的用于网络流量拦截的系统。
在图3中,可疑端设备10通过ISP网络100耦合到互联网60。ISP网络100包括ISP设备,包括网络流量标记器110,其包括IDS模块112,它的输出耦合到VLAN标记模块114。VLAN标记模块114的输出耦合到LEA端设备200,其包括存储从ISP网络100进入的流量的档案存储库210。耦合到档案存储库210的输出的是重放引擎220。耦合到重放引擎220的输出的是VLAN交换机250。VLAN交换机的输出耦合到分析应用240。
图3的系统将根据功能描述。包括期望的网络流量的网络流量30在可疑端设备10和互联网60之间通过ISP网络100传送,其中所述期望的网络流量包含LEA想得到信息。网络流量30包括嵌入其中的恶意攻击20,其从可疑端设备10发出、以LEA端设备200为目标。网络流量30的期望的网络流量在ISP网络100中被复制和通过网络流量标记器110而成为标记流量340。
在网络流量标记器110中,IDS模块112用于识别构成期望的网络流量的恶意攻击20的任何恶意流量。良性流量144和恶意流量142均从IDS模块112转发到VLAN标记模块114。图3所示的良性流量144和恶意流量142的分离仅仅是从前标记的一起构成标记流量340数据流的两种不同类型流量的逻辑表示。VLAN标记模块114用指示恶意包是恶意的有关指示符(在此例中是VLAN标记)标记恶意流量142的恶意包,生成标记的恶意包342。VLAN标记模块114还用指示良性包是良性的有关指示符(在此例中是VLAN标记)标记良性流量142的良性包,生成标记的良性包344。标记模块114将作为标记流量340的两种类型的包转发到LEA端设备200。
LEA端设备200接收和将所述标记流量340存储在其档案存储库210中。档案存储库210存储所有拦截的标记流量340,包括由可疑端设备10产生的恶意攻击20。收集的流量必须在某处完整存档,以确保拦截和存储的数据符合有关完全性和完整性的合法拦截要求。在档案存储库210存储恶意和良性包用于满足这些要求。
无论何时要存取来自档案存储库210的拦截的标记流量340,恶意和良性流量均由重放引擎220取得,并且通过VLAN交换机250。VLAN交换机250用于通过基于有关标识符去除识别的标记恶意包342而将良性流量与恶意流量分离,有关的标识符在此例中是在每个标记包340上的VLAN标记。所述去除在图3中由“X”343表示。VLAN交换机250将基于每个良性包的VLAN标记的良性包作为干净流量348转发到分析应用240。分析应用240然后分析干净流量348用于LEA可能认为有用的期望的信息。
应该理解虽然网络流量标记器110被描述为ISP网络100的一部分,然而在其它实施例中,网络流量标记器110是LEA端设备200的一部分,在所述例中,如图2所示的实施例,ISP网络以其原来的拦截形式将拦截的网络流量转发到执行识别、标记和存储恶意和良性包的LEA端设备200。
应该理解虽然VLAN标记已经用于标记每个包是恶意还是良性的,然而可以使用其它形式的标记或者具有另外封装的标记。例如,仅仅由ISP网络生成和维持的任何IP报头可以用于标记机制,因为其不影响拦截包的原始数据。还可以使用分离或者另外的封装,例如UDP,其具有指示包是良性的还是恶意的定制的标记,因为没有任何拦截包的原始数据受到影响。代替VLAN交换机250是可能以软件实现的任何类型的交换机机或者过滤器,其使用相关的IP报头、UDP封装和有关标记、或者一些其它定制的封装,这是经常有的情形,以把要转发到分析应用的良性包与不转发的恶意包分离。
还应该理解,可选地,可以执行VLAN仅仅将恶意流量142标记为标记的恶意包342。在此例中,标记的流量包括标记的恶意包342和良性流量144,它们均存储在档案存储库210中。重放引擎220将重放标记的恶意包342和良性流量144,通过VLAN交换机250则基于它们的VLAN标记去除343标记的恶意包342。
现在参照图4的构造描述根据本发明的可选实施例的提供数据完整性和安全性的用于网络流量拦截的系统。
在图4的系统中,可疑端设备10通过ISP网络100耦合到互联网60。ISP网络100耦合到LEA端设备200,其包括存储从ISP网络100进入的流量的档案存储库210。耦合到档案存储库210的输出的是档案存储库维护重放引擎405,其输出耦合到档案存储库包标记器410,其具有串联耦合到标记模块434的IDS(入侵检测系统)模块432。标记模块434可以是以上讨论的VLAN标记模块、UDP或者其它报头/封装标记模块。标记模块434的输出耦合到档案存储库210。为了存取档案存储库210的标记的包,重放引擎420有权存取所有标记的包,并且具有耦合到流量分离器450的输出,所述流量分离器450在此例中是分组交换机或者过滤器。耦合到流量分离器450的输出的是分析应用240。
图4的系统将根据功能描述。包括期望的网络流量的网络流量30在可疑端设备10和互联网60之间通过ISP网络100传送,所述期望的网络流量包含LEA想得到信息。网络流量30包括从可疑端设备10发出、以LEA端设备200为目标的嵌入其中的恶意攻击20。网络流量30的期望的网络流量作为拦截流量40从ISP网络100被复制和转发到LEA端设备200。LEA端设备200接收和将所述拦截流量40存储在其档案存储库210中。档案存储库210存储所有的拦截流量40,包括由可疑端设备10产生的恶意攻击20。收集的流量必须在某处完整存档,以确保拦截和存储的数据符合合法拦截要求。
在事件驱动方式中,存储在档案存储库210中的流量40,经过转发流量40的良性和恶意部分的档案存储库维护重放引擎405,被IDS模块432存取。IDS模块432识别流量为良性或者恶意,并且按照类型转发它们到标记模块434。如以上结合图2和图3所完成的,两种类型的流量,良性和恶意的由两个流量信息流逻辑表示,一个用于恶意流量242,一个用于良性流量244。标记模块434通过用作识别每个包的相关指示符,标记恶意流量242的恶意包和良性流量244的良性包,成为标记的恶意包342或者标记的良性包344之一。所述标记可以定期对存储在档案存储库210中的包进行,从而最终可以标记档案存储库210中所有包。可选地,仅仅特定包可以通过IDS模块432和标记模块434在特定时间处理,例如,在特定实施例中,档案存储库包标记器410仅仅识别和标记重放引擎420要求的包。随着一段时间内数据被存取,则它成为分类的数据。如在图3所示的实施例中,无论何时要存取档案存储库210的拦截的标记流量,恶意的和良性的流量均由重放引擎220取得,并且通过流量分离器450。流量分离器450基于每个恶意包342的相关指示符去除标记的恶意包342。所述去除由“X”443表示。流量分离器450基于它们关联的指示符将良性包转发到分析应用240。分析应用240然后分析LEA可能认为有用的期望的信息的良性包。
应该理解虽然仅仅示出单个档案存储库210,但是档案存储库包标记器410的输出可以耦合到仅仅包含标记的包的第二档案存储库。所述第二档案存储库可以基于需要而更新,并且可以用作当相同数据被重放引擎420存取多于一次时的减少处理。
还应该理解,可选地,可以执行仅仅将恶意流量242标记为标记的恶意包342。在此例中,标记的恶意包342和良性流量244仅仅从档案标记模块434输出用于存储在档案存储库210中。重放引擎420通过流量分离器450重放标记的恶意包342和良性流量244,通过流量分离器450则基于它们相关指示符或者标记去除443标记的恶意包342。
在图4所示的实施例中,如图2的实施例的情况,所有的存档、标记、流量分离、和分析在LEA终端设备200内进行。
应该理解术语IDS所指的仅仅是攻击检测模块的特定示例,所述攻击检测模块用作检测和识别任何类型的恶意攻击,用于随后的标记构成恶意攻击的特定包或者将它们与良性流量分离。具有检测攻击的一般功能的其它攻击检测模块可以在描述的各个实施例中实现。还应该理解本文中过滤器/阻隔器和交换机仅仅指用作将识别的恶意包与良性流量分离的流量分离器的特定示例。其它具有将识别的恶意包与良性流量分离的一般功能的流量分离器可以在描述的各个实施例中实现。
现在参考图5讨论根据本发明的优选实施例的处理用于合法拦截监视的网络流量的方法。
在步骤500,穿过通信网络的期望的网络流量根据结合图2-4描述的实施例讨论的标准被拦截。所述网络流量包括恶意和良性流量,并且在步骤510中完整地存储在档案存储库中。在步骤520,当档案存储库中的数据被分析应用要求时,它可能用IDS或者IPS模块存取和分离为恶意包和良性包。在步骤530,良性包被转发到分析应用。图5所示的方法由根据图2-4所示的本发明的所有系统采取的共同步骤构成。重要地,恶意和良性流量存储在档案存储库中,在发送干净流量到分析应用之前,良性流量与恶意流量分离。
现在参考图6讨论根据本发明的示例性实施例的处理用于合法拦截监视的网络流量的方法。
在步骤600,穿过通信网络的期望的网络流量根据以上讨论的标准被拦截。所述网络流量包括恶意和良性流量。在步骤610,恶意流量的恶意包和良性流量的良性包可能用IDS或者IPS模块和标记模块识别和标记为恶意包和相反的良性包的指示符。在步骤620,恶意和良性的两种类型的标记的包存储在档案存储库中。在步骤630,当将要从档案存储库存取数据时,网络流量通过使用指示符被重放和分离为良性包和恶意包。最后,在步骤640,良性包转发到分析应用的同时,扔掉恶意包。
现在参考图7讨论根据本发明的可选实施例的处理用于合法拦截监视的网络流量的方法。
在步骤700,穿过通信网络的期望的网络流量根据以上讨论的标准被拦截。所述网络流量包括恶意和良性流量,并且在步骤710中完整地存储在档案存储库中。在步骤720,当分析应用定期和个别要求档案存储库中的数据时,所述流量可能用IDS或者IPS模块被存取和分离为恶意包和良性包,并且用指示符标记。在步骤730,恶意和良性的两种类型的标记的包存储在档案存储库中。在其它实施例中,标记的包可以存储在另外的档案存储库中。在步骤740,当将要从档案存储库存取数据时,网络流量通过使用指示符重放和分离为良性包和恶意包。最后,在步骤750,良性包转发到分析应用的同时,扔掉恶意包。
介绍的实施例仅仅是示例性的,并且本领域技术人员可以理解对上述实施例进行的改变不背离本发明的宗旨。本发明的范围完全由所附的权利要求确定。
Claims (26)
1.一种用于处理合法拦截监视的网络流量的系统,所述系统包括:
档案存储库,用于存储穿过通信网络的拦截的网络流量,所述拦截的网络流量包括良性流量和恶意流量,所述拦截的流量在所述档案存储库上从服务供应商接收;
流量分离器,用于将所述档案存储库的所述良性流量与所述档案存储库的所述恶意流量分离,从所述良性流量产生干净流量;以及
分析应用,用于接收所述干净流量和分析所述干净流量。
2.如权利要求1所述的用于处理网络流量的系统,还包括:
攻击检测模块,其耦合到所述通信网络,用于接收所述拦截的网络流量,用于将所述良性流量识别为良性,和用于将所述恶意流量识别为恶意;以及
标记模块,其耦合到所述攻击检测模块的输出,用于从所述攻击检测模块接收良性流量和恶意流量,和用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,所述标记模块用于发送所述良性流量和所述各个标记的恶意包到所述档案存储库进行存储;
其中所述流量分离器通过使用与每个恶意包相关的所述指示符,执行所述良性流量与所述恶意流量的分离。
3.如权利要求2所述的用于处理网络流量的系统,还包括:
重放引擎,用于存取所述档案存储库中存储的所述良性流量和所述恶意流量;
其中所述流量分离器耦合到所述重放引擎的输出。
4.如权利要求3所述的用于处理网络流量的系统,其中所述标记是VLAN标记、UDP标记、和定制封装中的一种。
5.如权利要求4所述的用于处理网络流量的系统,其中所述攻击检测模块和所述标记模块是所述通信网络的服务供应商端设备的部分,所述档案存储库、所述重放引擎、所述流量分离器、和所述分析应用是执法机构端设备的部分。
6.如权利要求5所述的系统,其中所述标记模块用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,和发送作为所述良性流量的部分的所述各个标记的良性包到所述档案存储库进行存储,并且其中所述流量分离器通过使用与每个良性包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
7.如权利要求1所述的用于处理网络流量的系统,还包括:
攻击检测模块,其耦合到所述档案存储库,用于从所述档案存储库接收所述良性流量和所述恶意流量,以及用于将所述良性流量识别为良性,和用于将所述恶意流量识别为恶意。
8.如权利要求7所述的用于处理网络流量的系统,其中所述流量分离器耦合到所述攻击检测模块的输出,并且是过滤器、防火墙、阻隔器、和交换机中的一种。
9.如权利要求7所述的用于处理网络流量的系统,其中所述档案存储库、所述流量分离器、所述分析应用、所述重放引擎、和所述攻击检测模块是执法机构端设备的部分。
10.如权利要求7所述的用于处理网络流量的系统,还包括:
标记模块,其耦合到所述攻击检测模块的输出,用于从所述攻击检测模块接收良性流量和恶意流量,和用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,
其中所述流量分离器通过使用与每个恶意包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
11.如权利要求10所述的用于处理网络流量的系统,其中所述标记模块用于发送所述良性流量和各个标记的恶意包到所述档案存储库进行存储。
12.如权利要求11所述的用于处理网络流量的系统,其中所述标记是VLAN标记、UDP标记、和定制封装中的一种。
13.如权利要求12所述的系统,其中所述标记模块用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,和发送作为所述良性流量的部分的各个标记的良性包到所述档案存储库进行存储,并且其中所述流量分离器通过使用与每个良性包相关的所述指示符,执行所述良性流量与所述恶意流量的所述分离。
14.一种用于处理合法拦截监视的网络流量的方法,所述方法包括:
拦截穿过通信网络的期望的网络流量,产生拦截的网络流量,所述拦截的网络流量包括良性流量和恶意流量;
在档案存储库中存储所述良性流量和所述恶意流量;
将所述档案存储库的所述良性流量与所述档案存储库的所述恶意流量分离,从所述良性流量产生干净流量;以及
发送所述干净流量到分析应用,以分析所述干净流量。
15.如权利要求14所述的用于处理网络流量的方法,在存储步骤之前还包括:
将所述良性流量识别为良性,和将所述恶意流量识别为恶意;以及
在已经被识别之后,用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,
其中用与每个恶意包相关的所述指示符执行所述分离。
16.如权利要求15所述的用于处理网络流量的方法,在存储步骤之后还包括:
存取所述档案存储库的所述良性流量和所述档案存储库的所述恶意流量;以及
将所述良性流量和各个标记的恶意包传送到交换机,
其中由所述交换机执行所述分离。
17.如权利要求16所述的方法,其中所述标记是VLAN标记、UDP标记、和定制封装中的一种。
18.如权利要求17所述的方法,还包括在已经被识别之后,用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,其中用与每个良性包相关的所述指示符执行所述分离,并且其中将所述良性流量传送到所述交换机包括传送各个标记的良性包到所述交换机。
19.如权利要求17所述的方法,所述标记在所述通信网络由所述服务供应商端设备执行,所述存储、存取、传送、分离、和发送由执法机构端设备执行。
20.如权利要求14所述的用于处理网络流量的方法,在分离步骤前还包括:
从所述档案存储库存取所述良性流量和所述恶意流量;以及
将存取后的所述良性流量识别为良性,和将存取后的所述恶意流量识别为恶意。
21.如权利要求14所述的用于处理网络流量的方法,其中分离还包括删除、过滤、阻隔和重新路由所述恶意流量中的一种。
22.如权利要求14所述的用于处理网络流量的方法,在所述通信网络中执行的所述拦截由服务供应商端设备执行,所述存储、分离、和发送由执法机构端设备执行。
23.如权利要求20所述的用于处理网络流量的方法,在分离步骤前还包括:
在已经被识别之后,用相关指示符标记所述恶意流量的每个恶意包以指示所述恶意包是恶意的,而产生各个标记的恶意包,
其中用与每个恶意包相关的所述指示符执行所述分离。
24.如权利要求23所述的用于处理网络流量的方法,在分离步骤前还包括:
在所述档案存储库中存储所述良性流量和各个标记的恶意包。
25.如权利要求24所述的用于处理网络流量的方法,其中所述标记是VLAN标记、UDP标记、和定制封装中的一种。
26.如权利要求25所述的用于处理网络流量的方法,还包括在被识别后,用相关指示符标记所述良性流量的每个良性包以指示所述良性包是良性的,而产生各个标记的良性包,其中通过使用与每个良性包相关的所述指示符,执行所述分离,并且其中对所述良性流量的所述存储包括存储各个标记的良性包。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/522,462 US8856920B2 (en) | 2006-09-18 | 2006-09-18 | System and method of securely processing lawfully intercepted network traffic |
| US11/522,462 | 2006-09-18 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101518021A true CN101518021A (zh) | 2009-08-26 |
Family
ID=39200946
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800345113A Pending CN101518021A (zh) | 2006-09-18 | 2007-09-13 | 安全处理合法拦截的网络流量的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8856920B2 (zh) |
| EP (1) | EP2070295A2 (zh) |
| CN (1) | CN101518021A (zh) |
| WO (1) | WO2008035318A2 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195843A (zh) * | 2010-03-02 | 2011-09-21 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN104639527A (zh) * | 2013-11-11 | 2015-05-20 | 通用汽车环球科技运作有限责任公司 | 实施嵌入式网络通信的安全标记的设备和方法 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090041011A1 (en) * | 2007-04-03 | 2009-02-12 | Scott Sheppard | Lawful Interception of Broadband Data Traffic |
| EP1986391A1 (en) * | 2007-04-23 | 2008-10-29 | Mitsubishi Electric Corporation | Detecting anomalies in signalling flows |
| US9088605B2 (en) * | 2007-09-19 | 2015-07-21 | Intel Corporation | Proactive network attack demand management |
| US8156541B1 (en) * | 2007-10-17 | 2012-04-10 | Mcafee, Inc. | System, method, and computer program product for identifying unwanted activity utilizing a honeypot device accessible via VLAN trunking |
| US8200809B2 (en) * | 2008-04-03 | 2012-06-12 | At&T Intellectual Property I, L.P. | Traffic analysis for a lawful interception system |
| US7975046B2 (en) * | 2008-04-03 | 2011-07-05 | AT&T Intellectual Property I, LLP | Verifying a lawful interception system |
| FR2940569B1 (fr) * | 2008-12-18 | 2011-08-26 | Alcatel Lucent | Systeme d'adaptation pour interception legale dans differents reseaux de telecommunications. |
| US20150128262A1 (en) * | 2011-10-28 | 2015-05-07 | Andrew F. Glew | Taint vector locations and granularity |
| US9558034B2 (en) | 2011-07-19 | 2017-01-31 | Elwha Llc | Entitlement vector for managing resource allocation |
| US9471373B2 (en) | 2011-09-24 | 2016-10-18 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US9798873B2 (en) | 2011-08-04 | 2017-10-24 | Elwha Llc | Processor operable to ensure code integrity |
| US9465657B2 (en) | 2011-07-19 | 2016-10-11 | Elwha Llc | Entitlement vector for library usage in managing resource allocation and scheduling based on usage and priority |
| US9460290B2 (en) | 2011-07-19 | 2016-10-04 | Elwha Llc | Conditional security response using taint vector monitoring |
| US9575903B2 (en) | 2011-08-04 | 2017-02-21 | Elwha Llc | Security perimeter |
| US9443085B2 (en) | 2011-07-19 | 2016-09-13 | Elwha Llc | Intrusion detection using taint accumulation |
| US9117084B2 (en) * | 2012-05-15 | 2015-08-25 | Ixia | Methods, systems, and computer readable media for measuring detection accuracy of a security device using benign traffic |
| US9401924B2 (en) * | 2012-12-20 | 2016-07-26 | At&T Intellectual Property I, L.P. | Monitoring operational activities in networks and detecting potential network intrusions and misuses |
| US9813447B2 (en) | 2013-03-15 | 2017-11-07 | Extreme Networks, Inc. | Device and related method for establishing network policy based on applications |
| US9256636B2 (en) | 2013-03-15 | 2016-02-09 | Extreme Networks, Inc. | Device and related method for application identification |
| US9584393B2 (en) | 2013-03-15 | 2017-02-28 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring policy |
| US9230213B2 (en) | 2013-03-15 | 2016-01-05 | Extreme Networks, Inc. | Device and related method for scoring applications running on a network |
| US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
| US9130826B2 (en) | 2013-03-15 | 2015-09-08 | Enterasys Networks, Inc. | System and related method for network monitoring and control based on applications |
| US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
| US10735453B2 (en) | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
| US10223530B2 (en) | 2013-11-13 | 2019-03-05 | Proofpoint, Inc. | System and method of protecting client computers |
| US9654445B2 (en) | 2013-11-13 | 2017-05-16 | ProtectWise, Inc. | Network traffic filtering and routing for threat analysis |
| US9560062B2 (en) * | 2013-12-03 | 2017-01-31 | Secureworks Corp. | System and method for tamper resistant reliable logging of network traffic |
| US9800547B2 (en) * | 2015-04-16 | 2017-10-24 | International Business Machines Corporation | Preventing network attacks on baseboard management controllers |
| US10142355B2 (en) * | 2015-09-18 | 2018-11-27 | Telus Communications Inc. | Protection of telecommunications networks |
| US20170085577A1 (en) * | 2015-09-22 | 2017-03-23 | Lorraine Wise | Computer method for maintaining a hack trap |
| CN105847242A (zh) * | 2016-03-17 | 2016-08-10 | 北京佰才邦技术有限公司 | 基于本地卸载的数据侦听方法和装置 |
| US20210344723A1 (en) * | 2017-02-10 | 2021-11-04 | Zscaler, Inc. | Distributed network application security policy generation and enforcement for microsegmentation |
| US11943248B1 (en) | 2018-04-06 | 2024-03-26 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for network security testing using at least one emulated server |
| US10708163B1 (en) | 2018-07-13 | 2020-07-07 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for automatic configuration and control of remote inline network monitoring probe |
| WO2020041390A1 (en) * | 2018-08-21 | 2020-02-27 | John Rankin | System and method for scattering network traffic across a number of disparate hosts |
| US11165804B2 (en) | 2019-05-30 | 2021-11-02 | Microsoft Technology Licensing, Llc | Distinguishing bot traffic from human traffic |
| US11288398B2 (en) * | 2019-06-03 | 2022-03-29 | Jpmorgan Chase Bank, N.A. | Systems, methods, and devices for obfuscation of browser fingerprint data on the world wide web |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5809334A (en) * | 1996-09-24 | 1998-09-15 | Allen-Bradley Company, Llc | Receive packet pre-parsing by a DMA controller |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US6724721B1 (en) * | 1999-05-07 | 2004-04-20 | Cisco Technology, Inc. | Approximated per-flow rate limiting |
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US7707305B2 (en) * | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
| US7307999B1 (en) * | 2001-02-16 | 2007-12-11 | Bbn Technologies Corp. | Systems and methods that identify normal traffic during network attacks |
| US7080408B1 (en) * | 2001-11-30 | 2006-07-18 | Mcafee, Inc. | Delayed-delivery quarantining of network communications having suspicious contents |
| US6665269B1 (en) * | 2002-01-30 | 2003-12-16 | Networks Associates Technology, Inc. | Method and apparatus for filtering network traffic based on the correct channel in an IEEE 802.11(b) wireless lan |
| GB2383444B (en) | 2002-05-08 | 2003-12-03 | Gfi Software Ltd | System and method for detecting a potentially malicious executable file |
| US7752324B2 (en) * | 2002-07-12 | 2010-07-06 | Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US6904507B2 (en) * | 2002-09-30 | 2005-06-07 | Agilent Technologies, Inc. | Buffer management architecture and method for an infiniband subnetwork |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| EP1782293A2 (en) * | 2004-08-20 | 2007-05-09 | Enterasys Networks, Inc. | System, method and apparatus for traffic mirror setup, service and security in communication networks |
| US7933208B2 (en) * | 2004-09-27 | 2011-04-26 | Polytechnic Institute Of New York University | Facilitating storage and querying of payload attribution information |
| US7610375B2 (en) * | 2004-10-28 | 2009-10-27 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| WO2006060581A2 (en) * | 2004-11-30 | 2006-06-08 | Sensory Networks Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
| US8346960B2 (en) * | 2005-02-15 | 2013-01-01 | At&T Intellectual Property Ii, L.P. | Systems, methods, and devices for defending a network |
| JP4545619B2 (ja) * | 2005-03-15 | 2010-09-15 | 富士通株式会社 | ネットワークシステム、レイヤ3通信装置、レイヤ2通信装置および経路選択方法 |
| US9747439B2 (en) * | 2006-02-06 | 2017-08-29 | Trend Micro Incorporated | Dynamic network tuner for the automated correlation of networking device functionality and network-related performance |
| WO2007133788A2 (en) * | 2006-05-12 | 2007-11-22 | Telsima Corporation | Dynamic vlans in wireless networks |
-
2006
- 2006-09-18 US US11/522,462 patent/US8856920B2/en not_active Expired - Fee Related
-
2007
- 2007-09-13 CN CNA2007800345113A patent/CN101518021A/zh active Pending
- 2007-09-13 EP EP07826856A patent/EP2070295A2/en not_active Withdrawn
- 2007-09-13 WO PCT/IB2007/054333 patent/WO2008035318A2/en active Application Filing
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102195843A (zh) * | 2010-03-02 | 2011-09-21 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN102195843B (zh) * | 2010-03-02 | 2014-06-11 | 中国移动通信集团公司 | 一种流量控制系统和方法 |
| CN104639527A (zh) * | 2013-11-11 | 2015-05-20 | 通用汽车环球科技运作有限责任公司 | 实施嵌入式网络通信的安全标记的设备和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8856920B2 (en) | 2014-10-07 |
| EP2070295A2 (en) | 2009-06-17 |
| WO2008035318A3 (en) | 2008-08-28 |
| WO2008035318A2 (en) | 2008-03-27 |
| US20080127335A1 (en) | 2008-05-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101518021A (zh) | 安全处理合法拦截的网络流量的系统和方法 | |
| CN104115463B (zh) | 用于处理网络元数据的流式传输方法和系统 | |
| US8245297B2 (en) | Computer security event management system | |
| US8209759B2 (en) | Security incident manager | |
| KR100942456B1 (ko) | 클라우드 컴퓨팅을 이용한 DDoS 공격 탐지 및 차단 방법 및 서버 | |
| KR100351306B1 (ko) | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 | |
| KR100609170B1 (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| Pilli et al. | Network forensic frameworks: Survey and research challenges | |
| EP1873992B1 (en) | Packet classification in a network security device | |
| Ganame et al. | A global security architecture for intrusion detection on computer networks | |
| CN109347794A (zh) | 一种Web服务器安全防御方法 | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| US7610624B1 (en) | System and method for detecting and preventing attacks to a target computer system | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| CN106850285A (zh) | 视频安全监控设备、审计系统及其部署结构以及方法 | |
| CN102790778A (zh) | 一种基于网络陷阱的DDoS攻击防御系统 | |
| KR20000057209A (ko) | 자동화된 광역 네트워크 감시 및 보안 침해 개입 방법 및 장치 | |
| CN111970300A (zh) | 一种基于行为检查的网络入侵防御系统 | |
| Debar et al. | Intrusion detection: Introduction to intrusion detection and security information management | |
| CN206433002U (zh) | 视频安全监控设备和视频安全审计系统及其部署结构 | |
| CN114189361B (zh) | 防御威胁的态势感知方法、装置及系统 | |
| CN113794590B (zh) | 处理网络安全态势感知信息的方法、装置及系统 | |
| Jaafar et al. | Demystifying the cyber attribution: An exploratory study | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| CN100521625C (zh) | 计算机网络应急响应之安全策略生成系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090826 |