CN101529862A - 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 - Google Patents
利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 Download PDFInfo
- Publication number
- CN101529862A CN101529862A CNA2007800401683A CN200780040168A CN101529862A CN 101529862 A CN101529862 A CN 101529862A CN A2007800401683 A CNA2007800401683 A CN A2007800401683A CN 200780040168 A CN200780040168 A CN 200780040168A CN 101529862 A CN101529862 A CN 101529862A
- Authority
- CN
- China
- Prior art keywords
- string
- rule base
- expressions
- target victim
- complementary
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了利用字符串分析来检测一个或更多分组网络中的有害业务量的方法和装置。通过下列步骤来检测目标受害者接收到的如恶意攻击之类的有害业务量:维护标识一个或更多字符串表达式的规则库;分析日志文件中的一个或更多错误条目,所述日志文件包括目标受害者接收到的一个或更多请求;确定所述一个或更多请求是否包括与规则库中的一个或更多字符串表达式相匹配的字符串;以及如果所述一个或更多请求包括与规则库中的一个或更多字符串表达式相匹配的字符串,则向中央过滤器发送通告消息。所述字符串表达式可以包括例如字符串或正则表达式,所述字符串表达式可以表示攻击者可能尝试访问的一个或更多资源。
Description
相关申请的交叉引用
本发明涉及均于2005年8月5日提交的美国专利申请序列号No.11/197,842,名称为“Method and Apparatus for Defending Against Denialof Service Attacks in IP Networks by Target Victim Self-Identificationand Control”,以及美国专利申请序列号No.11/197,841,名称为“Method and Apparatus for Defending Against Denial of Service Attacksin IP Networks Based on Specified Source/Destination IP Address Pairs”,上述申请已转让给本发明的受让人并且以引用的方式并入本文中。
技术领域
本发明涉及针对基于分组的通信网络的计算机安全技术,更具体的,涉及用于在这种基于分组的网络中检测并且通告如拒绝服务攻击和其它恶意攻击之类的有害业务量。
背景技术
如拒绝服务(DoS)攻击之类的恶意攻击尝试使计算机资源对其预期用户不可用。例如,对web服务器的DoS攻击常常导致所容纳的网页不可用。当需要将有限的资源分配给攻击者而不是合法用户时,DoS攻击可以导致显著的服务中断。攻击机器通常通过因特网向攻击的目标受害者发送大量的因特网协议(IP)分组以造成损害。例如,DoS攻击可以包括尝试“洪泛(flood)”网络以阻止合法的网络业务量,或通过发送比服务器所能处理请求的更多的请求以中断服务器,从而阻止对一个或更多服务的访问。
已经提出或建议了多种用于抵御这种恶意攻击的技术。例如,美国专利申请序列号No.11/197,842,名称为“Method and Apparatus forDefending Against Denial of Service Attacks in IP Networks by TargetVictim Self-Identification and Control”,以及美国专利申请序列号No.11/197,841,名称为“Method and Apparatus for Defending Against Denialof Service Attacks in IP Networks Based on Specified Source/DestinationIP Address Pairs”,公开了用于检测和通告DoS攻击的技术。
抵御这种恶意攻击的系统通常使用与用户网络相关联的检测器以及服务提供商的网络中的中央过滤器来保护用户网络免遭恶意攻击。通常,检测器会检测对用户网络的恶意攻击,并且发送一个或更多通告或通知消息给中央过滤器。通常,通过检查目标受害者处接收到的分组中是否有一个或更多预定义字符串来检测恶意攻击。然而,预定义字符串常常可以与对目标受害者的合法访问尝试相匹配。因此,检测器可能必须检测许多访问和响应,同时保存关于进行访问的源端点的信息。另外,这种分组检测技术并不适用于加密链路,并通常被通过向要访问的路径添加额外元件所欺骗。
因此,需要改进的方法和装置,利用字符串分析来检测一个或更多分组网路中的有害业务量。
发明内容
一般而言,本发明提供了利用字符串分析来检测一个或更多分组网络中的有害业务量的方法和装置。根据本发明的一个方面,通过下列步骤来检测目标受害者接收到的有害业务量(如恶意攻击):维护标识一个或更多字符串表达式的规则库;分析日志文件中的一个或更多错误条目,所述日志文件包括目标受害者接收到的一个或更多请求;确定所述一个或更多请求是否包括与规则库中的一个或更多字符串表达式相匹配的字符串;以及如果所述一个或更多请求包括与规则库中的一个或更多字符串表达式相匹配的字符串,则向中央过滤器发送通告消息。
所述字符串表达式可以包括例如字符串或正则表达式。所述字符串表达式可以表示攻击者可能尝试访问的一个或更多资源。错误条目通常与攻击者对由目标受害者维护的一个或更多资源的存储位置进行的探测尝试相对应。规则库可选地标识针对每个字符串表达式的对应动作。
对本发明更完整的理解以及本发明的其他特征和优点将通过参考以下详细描述以及附图来获得。
附图说明
图1示出了本发明可以在其中操作的网络环境;
图2是图1中的中央过滤器系统的示意框图;
图3是图1中的检测器的示意框图;
图4和5是描述采用本发明特征的拒绝服务过程的示例实现的流程图;
图6是描述采用本发明特征的检测器规则库的示例实现的样本表格;以及
图7是描述采用本发明特征的字符串匹配检测过程的示例实现的流程图。
具体实施方式
本发明提供了利用字符串分析来检测一个或更多分组网络中的有害业务量的改进方法和装置。根据本发明的一个方面,通过分析一个或更多日志文件(如web服务器日志文件)来检测在目标受害者处接收到的有害业务量(拒绝服务或其他恶意攻击)。攻击者通常尝试利用目标系统中的弱点来危害系统。例如,通过访问目标系统上的文件可以利用一个或更多弱点。典型地,攻击者并不知道目标文件存储在或来源于目标系统中的准确位置,因此通常需要进行多次尝试以访问目标文件,通常称之为“探测”。
因此,本发明的示例实施例分析一个或更多日志文件以确定每个对目标系统的尝试访问是否成功。如果访问成功(例如,对文件在其正确位置上的访问尝试),则假定这是合法访问,并允许该端点的其它访问(然而,本发明的实施例允许对成功的访问进行记录以供进一步分析,并且可能在晚些时候将其阻止。)。对不成功的访问进行进一步分析以确定所尝试的路径是否匹配与目标系统希望保护的文件相关联的一个或更多预定义字符串。与一个或更多预定义字符串相匹配的不成功尝试被视为恶意攻击,并将通告消息发送至中央过滤器。因此,本发明将检测到第一个不成功的探测并阻止发送者发送其他探测。
图1示出了本发明可以在其中操作的网络环境100。如图1所示,企业网络150使用检测器300保护自身以抵御有害业务量(如垃圾邮件或恶意攻击),下文中将结合图3进行进一步讨论。企业网络150允许企业用户通过服务提供商网络120访问因特网或其他网络。服务提供商网络120向企业网络150的用户提供服务,通过入口端口115接收来自各种源的分组,并将其传送至企业网络150中的指定目的地。
在一个示例实施例中,如以下将结合图2进一步讨论的,检测器300与中央过滤器200协作,以保护其自身免遭恶意攻击。一般而言,如下面将进一步讨论的,检测器300将检测到对企业网络150的恶意攻击(如拒绝服务攻击),并通知由服务提供商维护的中央过滤器200。
中央过滤器200用于限制通过服务提供商网络120到达企业网络150的业务量。检测器300通常位于企业网络150中的防火墙后方,检测器300通常向ISP的中央过滤器200发送通告消息。可以基于下列文献的教导来实现检测器300和中央过滤器200:美国专利申请序列号No.11/197,842,名称为“Method and Apparatus for Defending Against Denialof Service Attacks in IP Networks by Target Victim Self-Identificationand Control”,以及美国专利申请序列号No.11/197,841,名称为“Method and Apparatus for Defending Against Denial of Service Attacksin IP Networks Based on Specified Source/Destination IP Address Pairs”,在这里对上述方案进行修改以结合本发明的特征和功能。
一旦确定拒绝服务攻击正在对企业网络150进行侵害,检测器300向中央过滤器200发送一个或更多源/目的IP地址对,使服务提供商网络120限制(例如,阻止或速率限制)源IP地址和目的IP地址与所发送的源/目的IP地址对中的任一地址对相匹配的IP分组的传送,从而限制(或消除)从一个或更多源设备110对企业网络150内的攻击受害者的拒绝服务攻击。可选地,检测器300使用冗余连接135或主连接130来传送源/目的IP地址对。根据本发明的一个方面,提供了通告协议(Denunciation Protocol)用于检测器300和中央过滤器200之间的通信。
因此,拒绝服务攻击的受害者可以通过向其服务提供商通告攻击者来进行“回推(push back)”,作为响应,服务提供商对要阻止的源/目的IP地址对表进行更新。更具体地,一旦识别出攻击正在进行,受害者(企业网络150)将标识出被视为是攻击的一部分的分组中指定的一个或更多源和目的IP地址,并且将这些IP地址对传送给服务提供商,以由中央过滤器200将其阻止。
如图1所示,对以用户(企业网络150)为目的地的分组进行分类,总体上对应于“好”和“坏”的业务量。例如,传送(允许)来自类别A的好的业务量105-A,而对来自类别B的105-B以及类别N的105-N的坏业务量分别进行速率限制或丢弃。发送业务量至与企业网络150相关联的目的地址的源计算设备110被归类为N种示例分类中的一种。通告对好与坏业务量之间的界线进行改变。
注意,根据特定示意性实施例,不需要将攻击者(即所标识的源IP地址)彻底从网络中切断,而是仅仅禁止其向受害者(即所标识的目的IP地址)发送分组。尤其是在所标识的源IP地址表示被接管来对受害者进行给定攻击的合法用户(例如僵尸(zombie))的情况下,这可能是有利的。因此被接管的机器的所有者可以继续将系统用于合法用途,而有利地挫败了对受害者进行的攻击(可能该合法用户不知道该攻击)。此外,注意,根据这样的示意性实施例的技术还有利地提供保护以防止给定受害者对攻击者过度积极的标识。根据本发明的原理,由于将对攻击的标识留给明显受害者来进行判断,因此明显的好处在于,只有至给定受害者的业务量将被切断或限制。
本发明提供了一种字符串匹配检测过程700,下文中将结合图7进行进一步讨论,该过程通过分析一个或更多日志文件来检测如恶意攻击之类的有害业务量。受害者还可以通过在本发明范围之外的一个或更多其他算法(其简单或复杂程度不同)来识别恶意攻击,但是其中很多算法对于本领域技术人员来说都是显而易见的。例如,根据本发明的一个示意性实施例,可以检验应用日志,并可以仅基于来自单个标识的源或多个标识的源的非常高的业务量水平(例如高分组速率)的存在来标识攻击。注意,这是标识拒绝服务攻击存在的一种传统方法,并且对于本领域技术人员来说是熟知的。
然而,在其它实现中,可以对分组内容执行基于应用的分析,以标识具有可疑特性的分组或分组序列,例如:识别对不存在的数据库元素的频繁数据库搜索;识别明显是来自人类、却以高出人类能够发起的速率发起的多个请求;标识语法无效的请求;以及标识在正常进行的活动操作中的尤为敏感的时刻出现的可疑业务量数量。例如,如果股票交易网站注意到在即将来临的股票交易期间的敏感时刻出现尤为破坏性的业务量,则可以标识后一类型可疑分组的示例。在其他变化中,在更复杂的分析中,可以有利地将可能的攻击的多个不同标记进行组合,以标识攻击的存在,其中所述标记可以包括例如一种或更多上述情况。
示例性检测系统可以在两种模式之一下操作。当区域处于“默认丢弃”模式下,默认行为是:除了明确列在默认丢弃上的业务量之外,过滤全部以该区域为目的地的业务量。一般而言,在默认丢弃模式下,除非明确授权(例如,与预定义的允许过滤器相匹配),否则过滤器将自动丢弃所有业务量。另一方面,当该区域处于默认允许模式下,除了明确与预定义丢弃过滤器相匹配的业务量以外,所有至用户的业务量都通过过滤器。
图2示出了图1中的中央过滤器系统200的示意框图,该系统可以实现了本发明的过程。如图2所示,存储器230将处理器220配置为实现这里公开的拒绝服务过滤方法、步骤以及功能。存储器230可以是分布式的或本地的,处理器220可以是分布式的或单一的。存储器230可以被实现为电、磁或光存储器,或这些或其它类型存储设备的任意组合。应该注意,组成处理器220的每个分布式处理器通常包含其自己可寻址的存储器空间。还应该注意,计算机系统200的一些或全部可以被并入专用或通用集成电路中。
如图2所示,示例性存储器230包括拒绝服务过滤器规则库260以及一个或更多拒绝服务过滤过程400,下文中将结合图4进行进一步讨论。一般而言,示例性拒绝服务过滤器规则库260是一种传统过滤器规则库,包括与中央过滤器200应限制或允许的业务量相关联的源/目的地址对。拒绝服务过滤过程400是根据本发明的用于抵御拒绝服务或其它攻击的示例性方法。
中央过滤器200可以被实现为服务提供商网络120中包括的独立箱,或可选地,被实现为并入已经存在于网络120中的其它传统网络单元中的线路卡。此外,根据特定示意性实施例,运营商可以有利地将中央过滤器200部署在网络120中相对靠近攻击起源的位置,或可以将其放置为有利地保护高级用户免遭攻击。
图3示出了图1中的检测器300的示意框图,检测器300可以实现本发明的过程。如图3所示,存储器330将处理器320配置为实现这里公开的拒绝服务过滤方法、步骤以及功能。存储器330可以是分布式的或本地的,处理器320可以是分布式的或单一的。存储器330可以被实现为电、磁或光存储器,或这些或其它类型存储设备的任意组合。应该注意,组成处理器320的每个分布式处理器通常包含其自己可寻址的存储器空间。还应该注意,计算机系统300的一些或全部可以被并入专用或通用集成电路中。
如图3所示,示例存储器330包括一个或更多拒绝服务检测过程500、检测器规则库600以及字符串匹配检测过程700,下文中将结合图5至7来对上述每一项分别进行进一步讨论。拒绝服务检测过程500是根据本发明的用于检测和抵御拒绝服务或其它攻击的示例方法。检测器规则库600记录与目标系统希望保护的文件相关联的字符串。字符串匹配检测过程700分析一个或更多日志文件,以标识与来自检测器规则库600的一个或更多预定义字符串相匹配的对目标系统的一个或更多文件的不成功的访问尝试。
图4是描述采用本发明特征的拒绝服务过滤过程400的示例实现的流程图。注意,示例性拒绝服务过滤过程400被实现为“默认允许”模式。针对“默认丢弃”模式的实现对本领域普通技术人员而言是显而易见的。一般而言,拒绝服务过滤过程400是根据本发明的用于抵御拒绝服务或其它攻击的示例性方法。在中央过滤器200中执行示意性拒绝服务过滤过程400,该过程从步骤410开始,在步骤410期间,接收来自检测器300的指示,该指示表明拒绝服务或另一种恶意攻击正在对企业网络150中的给定目标受害者进行侵害。
此后,在步骤420期间,为了挫败拒绝服务攻击,网络运营商接收来自检测器300的一个或更多源/目的IP地址对,这些源/目的IP地址对表示应当要阻止的IP分组。示意性地,源IP地址是攻击(例如“僵尸”)计算设备110的IP地址,目的IP地址是与目标受害者自身相关联的IP地址。如下文将讨论的,根据通告协议DP来传送来自检测器300的消息。
然后,在步骤430期间,网络运营商监控IP分组业务量,以标识源和目的IP地址与接收到的一个或更多源/目的IP地址对相匹配的IP分组。在步骤440期间,执行测试以确定一个或更多分组是否与拒绝服务过滤器规则库260中的地址对相匹配。
如果在步骤440期间确定一个或更多分组与拒绝服务过滤器规则数据库260中的地址对相匹配,则在步骤460期间,应当将该分组丢弃或对其进行限制。
如果在步骤440期间确定一个或更多分组与拒绝服务过滤器规则数据库260中的地址对不相匹配,则在步骤470期间,应当允许该分组应该传送至企业网络150。
图5是描述采用本发明特征的拒绝服务检测过程500的示例实现的流程图。一般而言,拒绝服务检测过程500是根据本发明的用于抵御拒绝服务或其它攻击的示例性方法。示意性拒绝服务检测过程500由目标受害者处的检测器300执行,过程500从步骤510开始,在步骤510期间,基于对接收到的IP分组和/或服务器日志的分析来确定拒绝服务攻击或其他恶意攻击是否正在对其进行侵害。如下文中将结合图7进行进一步讨论的,本发明提供了示例性字符串匹配检测过程700,该过程通过对服务器日志文件执行字符串匹配操作来检测攻击。
在步骤520期间,为了挫败拒绝服务攻击,将一个或更多源/目的IP地址对标识为表示应当要阻止的IP分组。(示意性地,源IP地址是攻击(僵尸)计算设备110的IP地址,目的IP地址是与目标受害者自身相关联的IP地址。)最后,在步骤530期间,将所标识的源/目的IP地址对传送至受害者的运营商网络的中央过滤器200,以使得运营商网络能阻止具有匹配的源和目的IP地址的分组的传送。
图6是描述采用本发明特征的检测器规则库600的示例实现的样本表格。一般而言,检测器规则库600记录与目标系统希望保护的文件相关联的字符串。如图6所示,示例检测器规则库600记录了多个不同的字符串以及当检测到该字符串时要执行的对应动作(例如,丢弃或限制)。例如,一种已知的恶意攻击针对“command.exe”进行探测,以获取对远程计算机上的命令解释程序的访问。因此,示例性检测器规则库600包括查找字符串“command.exe”的规则。
图7是描述采用本发明特征的字符串匹配检测过程700的示例实现的流程图。如图7所示,示例性字符串匹配检测过程700从步骤710开始,在步骤710期间读取应用日志,所述应用日志包含针对每次尝试访问目标系统的条目,以及针对目标系统做出的每个响应的条目。
在步骤720期间,对应用日志中每个条目中的请求进行解析。在步骤730期间执行测试以确定正在处理的当前条目是否是错误条目。如上所述,成功访问(例如,对文件在其正确位置上的访问尝试)被假定为合法访问,并允许该端点的其它访问。
如果在步骤730期间确定正在处理的当前条目不是错误条目,则程序控制返回步骤720以解析应用日志中的下一个条目。如下面将进一步讨论的,在一个示例实现中,如果当前条目不是错误条目,则在步骤770期间可以可选地保存该记录以供进一步分析(可以在晚些时候将其阻止)。然而,如果在步骤730期间确定正在处理的当前条目是错误条目,则在步骤740期间执行另一测试,以确定该请求是否包括与规则库600相匹配的字符串。
如果在步骤740期间确定该请求包括与规则库600相匹配的字符串,则在步骤750期间将通告消息发送至中央过滤器200。然而,如果在步骤740期间确定该请求不包括与规则库600相匹配的字符串,则在步骤760期间执行另一测试,以确定该请求是否包括与正则表达式相匹配的字符串。
如果在步骤760期间确定该请求包括与正则表达式相匹配的字符串,则在步骤750期间将通告消息发送至中央过滤器200。然而,如果在步骤760期间确定该请求不包括与正则表达式相匹配的字符串,则在步骤770期间可选地保存该记录以供进一步分析。
本发明可以与一个或更多辅助工具结合工作。例如,这种工具可以包括用于识别所施加的拒绝服务攻击的因特网服务器插件、对各种IDS系统(侵入检测系统)的链接、用于网络诊断的数据库(如上所述)、以及用于对在给定运营商的基础结构放置Zapper(清除器)功能提供指导的方法。在这里所公开内容的教导下,提供各种上述辅助工具的本发明的示意性实施例对于本领域技术人员来说是显而易见的。
系统和制造品的细节
如在本领域所知的,本文讨论的方法和装置可以作为制造品来分发,其本身包括其上实现有计算机可读代码装置的计算机可读介质。与计算机系统相结合,计算机可读程序代码装置可操作为执行全部或一些步骤来执行这里讨论的方法或创建这里讨论的装置。计算机可读介质可以是可记录介质(例如,软盘,硬盘驱动器,光盘,存储卡,半导体器件,芯片,专用集成电路(ASIC))或可以是传送介质(例如网络,包括:光纤、万维网、线缆、使用时分多址接入、码分多址接入或其它射频信道的无线信道)。可以使用适合与计算机系统一起使用的、能够存储信息的已知或已开发的任何介质。计算机可读代码装置是允许计算机读取指令和数据任何机制,如磁介质上的磁变化或光盘表面上的高度变化。
本文所述的计算机系统和服务器均包括存储器,该存储器将相关联的处理器配置为实现本文所公开的方法、步骤以及功能。存储器可以是分布式的或本地的,处理器可以是分布式的或单一的。存储器可以被实现为电、磁或光存储器,或这些或其它类型存储设备的任意组合。此外,术语“存储器”应当被宽泛地解释为包括任何信息,只要可以从中读取或向其写入由相关联的处理器访问的可寻址空间中的地址。使用这个定义,网络上的信息依然在存储器的范围内,这是因为相关联的处理器可以从网络中检索信息。
应当理解,本文所示和所述的实施例和变化仅仅用于说明本发明的原理,在不背离本发明的范围和精神的情况下,本领域技术人员可以实现各种修改。
Claims (10)
1、一种用于检测由目标受害者接收到的有害业务量的方法,所述目标受害者具有一个或更多目的地址,所述方法包括以下步骤:
维护标识一个或更多字符串表达式的规则库;
分析日志文件中的一个或更多错误条目,所述日志文件包括所述目标受害者接收到的一个或更多请求;
确定所述一个或更多请求是否包括与所述规则库中的一个或更多字符串表达式相匹配的字符串;以及
如果所述一个或更多请求包括与所述规则库中的所述一个或更多字符串表达式相匹配的字符串,则向中央过滤器发送通告消息。
2、根据权利要求1所述的方法,其中,所述有害业务量包括恶意攻击。
3、根据权利要求1所述的方法,其中,所述一个或更多字符串表达式包括一个或更多的字符串和正则表达式。
4、根据权利要求1所述的方法,其中,所述一个或更多字符串表达式表示攻击者可能尝试访问的一个或更多资源。
5、根据权利要求1所述的方法,其中,所述一个或更多错误条目与攻击者对由所述目标受害者维护的一个或更多资源的存储位置进行的探测尝试相对应。
6、根据权利要求1所述的方法,其中,所述规则库标识针对每个所述字符串表达式的对应动作。
7、根据权利要求1所述的方法,还包括以下步骤:记录来自所述日志文件的一个或更多成功访问以用于进一步分析。
8、一种用于检测由目标受害者接收到的有害业务量的装置,所述装置包括:
存储器;以及
至少一个处理器,与存储器耦合,所述处理器操作为:
维护标识一个或更多字符串表达式的规则库;
分析日志文件中的一个或更多错误条目,所述日志文件包括所述目标受害者接收到的一个或更多请求;
确定所述一个或更多请求是否包括与所述规则库中的一个或更多字符串表达式相匹配的字符串;以及
如果所述一个或更多请求包括与所述规则库中的所述一个或更多字符串表达式相匹配的字符串,则向中央过滤器发送通告消息。
9、根据权利要求8所述的装置,其中,所述一个或更多字符串表达式包括一个或更多的字符串和正则表达式。
10、根据权利要求8所述的装置,其中,所述一个或更多错误条目与攻击者对由所述目标受害者维护的一个或更多资源的存储位置进行的探测尝试相对应。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/592,739 US8776217B2 (en) | 2006-11-03 | 2006-11-03 | Methods and apparatus for detecting unwanted traffic in one or more packet networks utilizing string analysis |
| US11/592,739 | 2006-11-03 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101529862A true CN101529862A (zh) | 2009-09-09 |
Family
ID=39361205
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2007800401683A Pending CN101529862A (zh) | 2006-11-03 | 2007-10-23 | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US8776217B2 (zh) |
| EP (1) | EP2095604B1 (zh) |
| JP (1) | JP2010508598A (zh) |
| KR (1) | KR101038387B1 (zh) |
| CN (1) | CN101529862A (zh) |
| WO (1) | WO2008063343A2 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| CN102882869A (zh) * | 2012-09-25 | 2013-01-16 | 深圳中兴网信科技有限公司 | 网络业务控制系统和网络业务控制方法 |
| WO2013026312A1 (zh) * | 2011-08-23 | 2013-02-28 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及系统 |
| CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| CN107230116A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN111258796A (zh) * | 2018-11-30 | 2020-06-09 | Ovh公司 | 服务基础设施以及在其处预测和检测潜在异常的方法 |
Families Citing this family (14)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101145771B1 (ko) * | 2010-06-21 | 2012-05-16 | 한국전자통신연구원 | Ip 기반 필터링 장치 및 방법, 그리고 합법 사용자 선별 장치 및 방법 |
| CN102457475A (zh) * | 2010-10-15 | 2012-05-16 | 中国人民解放军国防科学技术大学 | 网络安全数据集成与转换系统 |
| CN102073530B (zh) * | 2010-12-17 | 2015-04-29 | 国家计算机网络与信息安全管理中心 | 一种多条正则表达式的增量分组方法 |
| US10382509B2 (en) * | 2011-01-28 | 2019-08-13 | Amazon Technologies, Inc. | Audio-based application architecture |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| JP6053948B2 (ja) * | 2013-10-24 | 2016-12-27 | 三菱電機株式会社 | 情報処理装置及び情報処理方法及びプログラム |
| US9112898B2 (en) * | 2013-11-21 | 2015-08-18 | Verizon Patent And Licensing Inc. | Security architecture for malicious input |
| US9665716B2 (en) * | 2014-12-23 | 2017-05-30 | Mcafee, Inc. | Discovery of malicious strings |
| US9674053B2 (en) * | 2015-01-30 | 2017-06-06 | Gigamon Inc. | Automatic target selection |
| US10193899B1 (en) * | 2015-06-24 | 2019-01-29 | Symantec Corporation | Electronic communication impersonation detection |
| CN108563629B (zh) * | 2018-03-13 | 2022-04-19 | 北京仁和诚信科技有限公司 | 一种日志解析规则自动生成方法和装置 |
| CN109271783A (zh) * | 2018-09-20 | 2019-01-25 | 珠海市君天电子科技有限公司 | 一种病毒拦截方法、装置及电子设备 |
| US11563765B2 (en) * | 2020-04-10 | 2023-01-24 | AttackIQ, Inc. | Method for emulating a known attack on a target computer network |
| JP7436758B1 (ja) | 2023-03-03 | 2024-02-22 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | 情報処理システム、情報処理方法および情報処理プログラム |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6487666B1 (en) * | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US20030037141A1 (en) * | 2001-08-16 | 2003-02-20 | Gary Milo | Heuristic profiler software features |
| JP2003067268A (ja) | 2001-08-24 | 2003-03-07 | Toyo Commun Equip Co Ltd | 中間エージェントウェブサーバシステム。 |
| JP4088082B2 (ja) | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
| US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| JP2005157650A (ja) * | 2003-11-25 | 2005-06-16 | Matsushita Electric Ind Co Ltd | 不正アクセス検知システム |
| US7596809B2 (en) | 2004-06-14 | 2009-09-29 | Lionic Corporation | System security approaches using multiple processing units |
| US7783688B2 (en) * | 2004-11-10 | 2010-08-24 | Cisco Technology, Inc. | Method and apparatus to scale and unroll an incremental hash function |
| EP1817648B1 (en) | 2004-11-26 | 2020-09-16 | Telecom Italia S.p.A. | Instrusion detection method and system, related network and computer program product therefor |
| CN100357900C (zh) | 2005-01-20 | 2007-12-26 | 上海复旦光华信息科技股份有限公司 | 基于模板的异构日志信息自动提取与分析方法 |
| US20060248588A1 (en) * | 2005-04-28 | 2006-11-02 | Netdevices, Inc. | Defending Denial of Service Attacks in an Inter-networked Environment |
-
2006
- 2006-11-03 US US11/592,739 patent/US8776217B2/en not_active Expired - Fee Related
-
2007
- 2007-10-23 KR KR1020097008985A patent/KR101038387B1/ko not_active IP Right Cessation
- 2007-10-23 CN CNA2007800401683A patent/CN101529862A/zh active Pending
- 2007-10-23 JP JP2009535273A patent/JP2010508598A/ja active Pending
- 2007-10-23 EP EP07870806.2A patent/EP2095604B1/en not_active Not-in-force
- 2007-10-23 WO PCT/US2007/022445 patent/WO2008063343A2/en active Application Filing
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102082810A (zh) * | 2009-11-30 | 2011-06-01 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| CN102082810B (zh) * | 2009-11-30 | 2014-05-07 | 中国移动通信集团广西有限公司 | 一种用户终端访问互联网的方法、系统及装置 |
| WO2013026312A1 (zh) * | 2011-08-23 | 2013-02-28 | 中兴通讯股份有限公司 | 基于日志检测的告警方法及系统 |
| CN102882869A (zh) * | 2012-09-25 | 2013-01-16 | 深圳中兴网信科技有限公司 | 网络业务控制系统和网络业务控制方法 |
| CN102882869B (zh) * | 2012-09-25 | 2015-04-15 | 深圳中兴网信科技有限公司 | 网络业务控制系统和网络业务控制方法 |
| CN103701816A (zh) * | 2013-12-27 | 2014-04-02 | 北京奇虎科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| CN103701816B (zh) * | 2013-12-27 | 2017-07-11 | 北京奇安信科技有限公司 | 执行拒绝服务攻击的服务器的扫描方法和扫描装置 |
| CN107230116A (zh) * | 2016-03-23 | 2017-10-03 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN107230116B (zh) * | 2016-03-23 | 2021-02-02 | 阿里巴巴集团控股有限公司 | 交易请求处理方法、装置以及分布式系统 |
| CN111258796A (zh) * | 2018-11-30 | 2020-06-09 | Ovh公司 | 服务基础设施以及在其处预测和检测潜在异常的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2095604B1 (en) | 2017-10-04 |
| WO2008063343A3 (en) | 2009-01-15 |
| US20080109905A1 (en) | 2008-05-08 |
| KR20090087437A (ko) | 2009-08-17 |
| KR101038387B1 (ko) | 2011-06-01 |
| US8776217B2 (en) | 2014-07-08 |
| WO2008063343A2 (en) | 2008-05-29 |
| JP2010508598A (ja) | 2010-03-18 |
| EP2095604A2 (en) | 2009-09-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101529862A (zh) | 利用字符串分析来检测一个或更多分组网路中的有害业务量的方法和装置 | |
| CN101009607B (zh) | 用于检测并防止网络环境中的洪流攻击的系统和方法 | |
| CN110445770B (zh) | 网络攻击源定位及防护方法、电子设备及计算机存储介质 | |
| CN100361452C (zh) | 响应拒绝服务攻击的方法和设备 | |
| US7278019B2 (en) | Method of hindering the propagation of a computer virus | |
| JP4768021B2 (ja) | IPネットワークにおいて標的被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
| US20060198313A1 (en) | Method and device for detecting and blocking unauthorized access | |
| JP3618245B2 (ja) | ネットワーク監視システム | |
| US20050027854A1 (en) | Method, program and system for automatically detecting malicious computer network reconnaissance | |
| US20120124661A1 (en) | Method for detecting a web application attack | |
| JP2004304752A (ja) | 攻撃防御システムおよび攻撃防御方法 | |
| US20190230097A1 (en) | Bot Characteristic Detection Method and Apparatus | |
| CN111786966A (zh) | 浏览网页的方法和装置 | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| TWI474668B (zh) | 網點之判斷與阻擋之方法 | |
| JP2002007234A (ja) | 不正メッセージ検出装置、不正メッセージ対策システム、不正メッセージ検出方法、不正メッセージ対策方法、及びコンピュータ読み取り可能な記録媒体 | |
| CN106663176A (zh) | 检测装置、检测方法以及检测程序 | |
| JP2022000987A (ja) | 通信装置 | |
| CN101536456A (zh) | 用于超驰一个或多个分组网络中不期望业务量的通告废除的方法和设备 | |
| KR100639996B1 (ko) | 패킷 재조합을 이용한 패턴 매칭 방법 및 그 장치 | |
| JP3495030B2 (ja) | 不正侵入データ対策処理装置、不正侵入データ対策処理方法及び不正侵入データ対策処理システム | |
| US20080022397A1 (en) | Systems and methods for managing network vulnerability | |
| KR100977827B1 (ko) | 악성 웹 서버 시스템의 접속탐지 장치 및 방법 | |
| KR101446280B1 (ko) | 인터미디어트 드라이버를 이용한 변종 악성코드 탐지 및 차단 시스템 및 그 방법 | |
| JP2009081736A (ja) | パケット転送装置及びパケット転送プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| ASS | Succession or assignment of patent right |
Owner name: ALCATEL-LUCENT Free format text: FORMER OWNER: ALCATEL-LUCENT AMERICA CO., LTD. Effective date: 20120130 |
|
| C41 | Transfer of patent application or patent right or utility model | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: New jersey, USA Applicant after: ALCATEL-LUCENT USA Inc. Address before: New jersey, USA Applicant before: Lucent Technologies Inc. |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: LUCENT TECHNOLOGIES INC. TO: ALCATEL-LUCENT AMERICA CO., LTD. |
|
| TA01 | Transfer of patent application right |
Effective date of registration: 20120130 Address after: Paris France Applicant after: ALCATEL LUCENT Address before: New jersey, USA Applicant before: ALCATEL-LUCENT USA Inc. |
|
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20090909 |