CN101616041A - 网络安全设备中的动态策略供应 - Google Patents
网络安全设备中的动态策略供应 Download PDFInfo
- Publication number
- CN101616041A CN101616041A CN200910151518A CN200910151518A CN101616041A CN 101616041 A CN101616041 A CN 101616041A CN 200910151518 A CN200910151518 A CN 200910151518A CN 200910151518 A CN200910151518 A CN 200910151518A CN 101616041 A CN101616041 A CN 101616041A
- Authority
- CN
- China
- Prior art keywords
- strategy
- network
- packet
- group
- security device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明致力于动态策略供应的技术。网络安全设备可包括:存储器,存储与第一组网络攻击相对应的第一组模式的第一策略和第二策略;以及控制单元,将第一策略应用于网络信息流通量以检测第一组网络攻击。在应用第一策略的同时,控制单元监视与一个或多个资源相对应的参数,并且基于参数动态地确定是否将第二策略应用于网络信息流通量。基于动态确定,控制单元将第二策略应用于网络信息流通量以检测第二组网络攻击,并且基于第二策略的应用传送网络信息流通量。以这种方式,网络安全设备可以实现动态策略供应技术。
Description
技术领域
本发明涉及一种计算机网络,更具体地,涉及计算机网络的供应网络设备。
背景技术
计算机网络通常包括交换数据和共享资源的互连计算机设备的集合。例如,设备可包括网络服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机和其他设备。各种设备可以执行许多不同的服务、操作系统(或操作系统版本)和通信协议。不同服务、操作系统和通信协议中的每一个都可以将网络暴露给不同的安全弱点。恶意用户或“黑客”会利用这些安全弱点来获得未被授权的访问,从而破坏或普遍攻击网络。
通常,用于检测这些网络攻击的技术使用模式匹配。具体地,入侵侦测防护设备(“IDP”)可驻留在网络边缘并进行静态地配置或供应,来应用规则的表达式或子串匹配,从而在进入网络的数据流内检测定义的攻击模式。一些网络可以展示需要IDP设备被静态供应的多多少少的安全弱点,以识别和/或防止多多少少的攻击。可选地,IDP设备可以被静态配置或供应,从而不仅检测有害的攻击,而且还检测很少或不对网络引起安全威胁的攻击,因为这些无害攻击会向网络管理员提供通常具有关于恶意行动的信息,并增加网络安全性。
然而,部分地由于供应多数IDP设备的静态方式,该附加信息在没有成本的情况下不会出现。为了提供关于有害和无害攻击的信息,IDP设备可以被静态配置成检测攻击模式的所有组或范围,这消耗了大量的设备资源(例如,处理器循环、存储器等)。在高网络拥塞期间,IDP设备会不能够处理所有的数据,如果不防止,则通过拒绝未分析数据的进入延迟传送数据以保护网络安全性。因此,通过提供IDP设备来检测和/或防止攻击模式的所有组或范围,IDP设备会在高网络拥塞期间损害网络连接性。
发明内容
一般来说,本发明的目的在于用于动态地供应由网络安全设备(诸如IDP设备)所提供的服务的技术。动态供应可以根据响应于网络条件而发生的IDP设备内的资源利用和消耗的变化而自动发生或者不需要用户或管理员的干涉。换句话说,IDP设备可以自动选择不同的策略来适应或补偿具体的内部资源利用,其中,不同策略供应将由IDP设备应用的具体安全服务。例如,不同的安全策略可以定义从没有或轻量的到完整、丰富的安全服务组的阶梯式安全服务。可选地,或除此之外,可将特定策略用于将这些安全服务的应用限制到通过IDP设备的当前数据包流的范围,例如,所有的数据包流、仅现存的数据包流、仅与特定标准匹配的数据包流等。以这种方式,IDP设备可以基于设备内的内部资源消耗和利用通过动态选择不同的策略来自动说明和适应网络条件的改变,并且这些策略可以映射成由管理员指定的资源利用阈值,从而说明改变网络条件。以此方式,管理员可以平衡网络安全和安全性与网络连接性,而不会大大增加网络成本,导致无效或,要求IDP设备频繁的静态重构。
例如,IDP设备可接收网络信息流通量并对网络信息流通量应用第一策略来检测第一组网络攻击。第一策略可识别与第一组网络攻击相对应的第一组攻击模式。在应用由该第一策略指定的攻击定义的同时,IDP设备可以周期性地监视与IDP设备内部的一个或多个资源相对应的参数。例如,IDP设备可以监视诸如队列深度、存储资源(例如可用空间)、队列阈值、处理器或中央处理单元利用、会话数量、优先方案、服务质量、时戳、时刻等参数,或者与资源(诸如队列(或通常的存储器)、处理器、CPU、时钟等)有关的任何其他参数。
在一些情况下,基于参数,IDP设备可以计算表示IDP设备运行的网络条件和IDP设备能力的全面指示符,以基于IDP设备内部资源的利用充分地为该网络服务。该指示符被特制成对特定参数给出优先级(例如,加权平均值)。因此,指示符可以被配置为反映网络管理员和/或IDP设备运行的具体环境的优先级。
基于所监视的参数,IDP设备然后可以动态地切换到由第二策略识别的攻击定义的应用,并且可以基于参数将这些攻击定义应用于网络信息流通量的至少一部分。在上述IDP设备计算指示符的情况下,通过将指示符与一个或多个定义的阈值(例如,根据刻度定义阈值的标准化刻度)进行比较,然后基于相对于所定义阈值的指示符选择适当策略,IDP设备可以确定何时动态地应用第二策略。在一些情况下,管理员或其他用户可以与用户界面一起定义应用于所监视参数的阈值以及加权平均值。此外,可使用历史平均值和/或自适应学习技术或算法,通过IDP设备动态地配置和/或调整阈值。
以这种方式,IDP设备可以响应于改变网络条件实施动态策略供应技术以平衡安全性和网络连接性关系而不需要管理员干涉,这是由于阈值可触发IDP设备以响应于网络的所监视条件自动地选择和应用不同策略。作为一个实例,管理员可配置IDP设备,从而对网络信息流通量应用由第一策略指定的一组攻击定义以检测一整组已知的网络攻击,以及对网络信息流通量应用第二策略以仅检测已知网络攻击的所有组的一个子组(即,小于所有组)。管理员还可以配置阈值触发IDP设备以在由考虑到网络特性的指示符表示的相对正常或较低网络拥塞时期应用第一策略,以及在也由指示符表示的相对较高网络拥塞时期应用第二策略。
在一个实施例中,一种方法包括:利用网络的网络安全设备接收网络信息流通量,利用网络安全设备对网络信息流通量应用第一策略以检测第一组网络攻击,其中,第一策略识别与第一组网络攻击相对应的第一组攻击模式,并利用网络安全设备监视与网络安全设备的一个或多个内部资源的利用相对应的参数。该方法还包括:以用于网络安全设备的一个或多个内部资源的利用为基础的所监视参数,利用网络安全设备动态地确定何时对网络信息流通量的至少一部分应用第二策略,并且基于动态确定利用网络安全设备对信息流通量的至少一部分应用第二策略以检测第二组网络攻击。第二策略识别与第二组网络攻击相对应的第二组攻击模式,并且第一组攻击模式和第二组攻击模式识别至少一个不同的攻击模式。该方法还包括:利用网络安全设备,基于第二策略的应用来传送网络信息流通量的至少一部分。
在另一个实施例,接收网络信息流通量的网络的网络安全设备包括存储第一策略和第二策略的存储器,其中,第一策略识别与第一组网络攻击相对应的第一组攻击模式,第二策略识别与第二组网络攻击相对应的第二组攻击模式,以及第一组攻击模式和第二组攻击模式识别至少一个不同的攻击模式。网络安全识别还包括控制单元,其对网络信息流通量应用第一策略以检测第一组网络攻击,监视与网络安全设备的一个或多个内部资源的利用相对应的参数,以用于网络安全设备的一个或多个内部资源的利用的所监视参数为基础动态地确定何时将第二策略应用于网络信息流通量的至少一部分,基于动态确定对网络的信息流通量的至少一部分应用第二策略以检测第二组网络攻击,以及基于第二策略的应用来传送网络信息流通量的至少一部分。
在另一个实施例中,网络系统包括:网络的多个计算节点,传输和接收网络信息流通量;网络的多个网络安全设备,处理网络信息流通量;以及网络安全管理(NSM)设备,向多个网络安全设备的每一个分配多个策略。多个网络安全设备的每一个都包括:存储器,存储多个策略的第一个和多个策略的第二个,其中,多个策略的第一个识别与第一组网络攻击相对应的第一组攻击模式,多个策略的第二个识别与第二组网络攻击相对应的第二组攻击模式,以及第一组攻击模式第二组攻击模式识别至少一个不同的攻击模式。多个网络安全设备的每一个还都包括:控制单元,对网络信息流通量应用多个策略的第一个以检测第一组网络攻击,监视与网络安全设备的一个或多个内部资源的利用相对应的参数,以用于网络安全设备的一个或多个内部资源的利用的所监视参数为基础动态地确定何时将多个策略的第二个应用于网络信息流通量的至少一部分,基于动态确定对网络的信息流通量的至少一部分应用多个策略的第二个以检测第二组网络攻击,以及基于多个策略的第二个的应用来传送网络信息流通量的至少一部分。
在另一个实施例中,计算机可读介质包含使可编程处理器进行以下处理的指令:利用网络的网络安全设备接收网络信息流通量,利用网络安全设备对网络信息流通量应用第一策略以检测第一组网络攻击,其中,第一策略识别与第一组网络攻击相对应的第一组攻击模式,并利用网络安全设备监视与网络安全设备的一个或多个内部资源的利用相对应的参数。该指令还使可编程处理器以用于网络安全设备的一个或多个内部资源的利用的所监视参数为基础,利用网络安全设备动态地确定何时对网络信息流通量的至少一部分应用第二策略,基于动态确定利用网络安全设备对信息流通量的至少一部分应用第二策略以检测第二组网络攻击,其中,第二策略识别与第二组网络攻击相对应的第二组攻击模式,并且其中第一组攻击模式和第二组攻击模式识别至少一个不同的攻击模式,以及利用网络安全设备,基于第二策略的应用来传送网络信息流通量的至少一部分。
在另一个实施例中,一种方法包括:利用网络的网络安全设备接收网络信息流通量,其中,网络安全设备内部包括用于处理新数据包流的初始数据包的第一路径和用于处理用于现有数据包流的数据包的快速路径;利用网络安全设备对网络信息流通量应用第一策略以检测第一组网络攻击,其中,第一策略识别与第一组网络攻击相对应的第一组攻击模式;以及利用网络安全设备监视与网络安全设备的一个或多个内部资源的利用相对应的参数。该方法还包括:以用于网络安全设备的一个或多个内部资源的利用的所监视参数为基础,利用网络安全设备动态地确定何时对网络信息流通量的至少一部分应用第二策略;基于动态确定利用网络安全设备应用第二策略,其中,第二策略指定在动态确定之前第一组攻击模式被应用于现有数据包流配置的快读路径的所有数据包以及在动态确定之后不应用于通过第一路径的新流的所有数据包;以及基于第二策略的应用,利于网络安全设备传送网络信息流通量的至少一部分。
在附图和以下描述中阐述本发明的一个或多个实施例的细节。根据说明书和附图以及权利要求,本发明的其他特征、目的和优点将变得更加显而易见。
附图说明
图1是示出根据本发明原理的入侵侦测防护设备执行动态策略供应技术的示例性网络系统的框图。
图2是更加详细示出IDP设备的框图。
图3A和图3B是分别更加详细示出图2的IDP设备的实施例的框图。
图4是示出执行本文所述动态策略供应技术的IDP设备的示例性操作的流程图。
图5A和图5B是分别示出执行本文所述动态策略供应技术的各个方面的IDP设备的示例性操作的流程图。
图6是示出多个IDP设备被配置为执行本文所述动态策略供应技术的示例性系统的框图。
具体实施方式
图1是示出根据本发明原理的入侵侦测防护设备4执行动态策略供应技术的示例性网络系统2的框图。入侵侦测防护设备4(“IDP设备4”)表示网络安全设备的一个实例,并且尽管以下参照IDP设备4进行描述,但动态策略供应技术可以被任何网络安全设备实施以响应于网络(例如,专用网络6)内的改变条件自动地平衡安全和网络安全性。
如图1所示,网络系统2包括公用网络8和专用网络6,其中,专用网络6连接至公用网络8。公用网络8可包括任何可公用访问的计算机网络,如互联网。公用网络8可包括种类繁多的互连计算设备或节点,例如网络服务器、打印服务器、应用服务器、数据服务器、工作站、台式计算机、膝上型计算机、蜂窝电话或其他移动设备、个人数字助理(PDA)和任何其他能够经由无线和/或有限连接而连接至计算机网络的设备。典型地,这些设备经由基于数据包的协议(例如,网际协议(IP)/传输控制协议(TCP))彼此进行通信。结果,公用网络8可表示或被称为“基于数据包”计算机网络。
专用网络6可表示通常由专用条目(例如企业或行业)拥有、操作和维护,且通常公众不能访问的网络。专用网络6包括防火墙10、切换器12、多个计算节点14A~14N(“计算节点14”)和IDP设备4。防火墙10可表示保护专用网络6(具体地,计算节点14)的网络安全设备。防火墙10通常通过执行看门人服务(例如,访问控制或网络地址翻译(NAT))来保护这些节点14。通常,这些看门人服务单独地依赖于从每个数据包的报头中解析的网络层信息(例如,IP地址和端口)。
换句话说,通过检查IP地址和端口来确保信息流通量进入专用网络6仅响应于先前从一个或多个计算节点14发送的信息流通量而开始,防火墙10可用作专用网络6的看门人(gatekeeper)。有效地,这有助于减少对专用网络6的未授权访问(非常像看门人),从而可以防止公众访问专用网络6。通过执行NAT,防火墙10还可以模糊专用网络6的内部结构来防止恶意条目或“黑客”利用内部结构的已知弱点。
切换器12表示能够执行各种终端点(诸如计算节点14)中的信息流通量的路由的网络设备。因此,切换器12可以切换信息流通量流以将具体数据包传送至相应的一个计算节点14。虽然示出了单个切换器12,但与切换器12协作或作为切换器12的可选,专用网络6可以采用网络集线器、路由器或能够执行切换和/或路由到/来自节点14的数据的其他网络设备。此外,虽然为了易于说明的目的而示出包括单个防火墙10和单个切换器12,但专用网络6可以包括与防火墙10类似的多个防火墙和类似于切换器12的多个切换器。因此,技术不限于图1所示的示例性实施例的技术。
IDP设备4可以包括能够检测和能够防止网络攻击的网络安全设备。典型地,IDP设备4应用一个或多个策略来检测一组或多组网络攻击。每个策略都可以定义一组攻击模式或与网络攻击组相对应的模式,当IDP设备4应用于输入和输出网络信息流通量时可使IDP设备4检测每组对应的网络攻击。这里使用的“输入网络信息流通量”可包括信息流通量离开和进入专用网络6,因此其是指相对于IPD设备4的信息流通量输入。类似地,“输出信息流通量”不是指任何具体的方向,而是仅仅指来自各个IPD设备4且离开IPD设备4的信息流通量。因此,输入和输出可以指来自各个IPD设备4的信息流通量的方向,并且不表示分别在专用网络6和公用网络8之间的信息流通量的任何具体方向或流。
IPD设备4可以通过应用由这些策略识别的模式来将这些策略应用于在两个方向上流动的信息流通量(从公用网络8接收的进入信息流通量以及指向公用网络的输出信息流通量),以提高检测网络攻击的精度。例如,IPD设备4可以将这些模式应用于公用网络8和计算节点14之间的客户机-服务器和服务器-客户机通信。IPD设备4还可以分析网络信息流通量,以针对在网络信息流通量内检测的每个通信会话使一个方向上的信息流通量与相对方向上的信息流通量相关。对于每个客户机-服务器会话,IDP设备4可以识别一个方向上的数据包流(例如,用于客户机上的具体软件应用程序的客户机-服务器通信流)和相对方向上的相应数据包流(例如,用于相同的软件应用程序的从服务器到客户机流动的相应通信)。
IPD设备4可以识别被监视信息流通量中的数据包流,并透明地从数据包流中重新集合应用层通信。IPD设备4可包括一组协议特有解码器,以分析应用层通信并识别应用层事务(transaction)。通常,“事务”是指对等设备之间的相关应用层通信的有限系列。例如,单个TCP连接可被用于发送(接收)多个HyperText传送协议(HTTP)请求(响应)。作为一个实例,可使用单个TCP连接取得包括多个图像以及与HTML页面的链接的单个网页。HTTP解码器可以被IDP设备4所调用来识别TCP连接内的每个请求/响应作为不同的事务。这对于防止将特定的攻击定义或模式跨越事务界限进行应用是非常有用的。在一个实施例中,可根据资源和定义IP地址、协议以及资源和定义端号来识别事务。其他实施例可以例如通过使用媒体访问控制(“MAC”)地址以其他方式来识别事务。
对于每个事务,相应的解码器可分析应用层通信并提取协议专用元素。作为实例,对于FTP注册事务,FTP解码器可提取对应于用户名、目标设备的名称、客户机设备的名称和其他信息相对应的数据。此外,解码器可分析与每个事务相关联的应用层通信,以确定通信是否包含任何协议专用“异常”。通常,协议异常是指应用层通信内的任意所检测的、不符合通常所接受的用于具体协议的通信规则的不规则。例如,规则可以通过公用标准以及厂商定义的说明来定义。其他异常是指技术上符合协议规则但是会保证提高的安全等级的协议事件(即,动作)。
这种协议事件的一个实例被重复失败于文件传送协议(FTP)注册请求。HTTP协议的示例性异常包括失去HTTP版本信息、残缺的统一资源标识符(“URI”)、目录遍历、报头溢出、认证溢出和小段信息溢出。简单邮件传送协议(SMTP)的实例异常包括太多的受体、中继尝试和超出定义长度的域名。邮局协议版本3(POP3)的示例性异常包括用户溢出和注册失败。用于FTP的附加异常包括失去自变量、超出定义长度的用户名或路径名以及注册失败。其他异常包括反常且超出规范的数据传输以及指示设备打开与除发布命令的客户机设备之外的设备的网络连接的命令。
IDP设备4可以对由协议解码器提取的协议元素应用模式以检测并防止网络攻击。当应用于接受的信息流通量时,这些模式可由此基于应用层数据和其他声明的协议信息来识别一个或多个攻击签名、协议异常和其他恶意行为。此外,IDP设备4可以将具体模式与对应于具体应用的协议相关联。对于由IDP设备4截取的给定通信会话,IDP设备4会试图识别用于会话数据包流的应用类型和基础协议,以选择一个或多个模式来应用于数据包流。在IDP设备4检测网络攻击的情况下,IDP设备4可以采取一个或多个编程动作,例如自动结束与检测到网络攻击的应用层通信相关联的数据包流,或者重置连接以防止攻击,从而保护了网络安全。
根据本文所述的动态策略供应技术,IDP设备4可以响应于改变网络条件动态地供应策略的应用。换句话说,IDP设备4可以自动地适应策略的应用以适合或补偿具体的网络条件。为此,IDP设备4可以监视专用网络6以确定网络6的条件,例如,高、正常或低网络拥塞等级。响应于每个观察到的条件,IDP设备4可以应用由相应的策略所识别的不同模式组,其中,这些不同模式组中的每一组都包括与其他模式组的所有其他模式不同的至少一个模式。由此,IDP设备4可以例如使模式应用适应处理改变网络拥塞,从而可以平衡安全性和网络连接性关系,同时还可以减小成本并提高设备效率或资源利用率。
例如,专用网络6的IDP设备4可以接收网络信息流通量,并对网络信息流通量应用第一策略以检测第一组网络攻击。第一策略可以识别与第一组网络攻击相对应的第一志愿模式。在应用该第一策略的同时,IDP设备4可以监视与IDP设备4的一个或多个内部资源的利用相对应的参数。例如,IDP设备4可以监视诸如队列深度、存储资源(例如,可用空间)、队列阈值、处理器或中央处理单元利用、会话数量、时戳、时刻等参数,或者与内部资源(诸如队列(或通常为存储器)、处理器、CPU、时钟等)利用有关的任何其他参数。参数可以被称为“必要”参数,是因为它们监视对IDP设备4的操作来说必不可少的IDP设备4的系统资源。
在一些情况下,IDP设备4可基于这些参数计算表示专用网络6条件的指示符。在一些情况下,IDP设备4可监视多个上述列出的参数,将每个观察到的参数与相关的权重相乘以确定多个加权参数,并且对这些加权参数求平均以计算或确定指示符作为参数的加权平均值。该加权平均值可以不仅表示专用网络6的条件,而且还可以通过调整与给定参数相乘的相应权重而配合给出特定参数的优先级。因此,指示符可以被配置为反映网络管理员或其他用户的优先级和/或IDP设备4进行操作的网络6的具体环境。
然后,IDP设备4可以以用于网络安全设备的一个或多个内部资源利用的监视参数为基础来动态地确定是否将第二策略应用于网络信息流通量的至少一部分。第二策略会识别与第二组网络攻击相对应的第二组攻击模式。此外,第一组攻击模式和第二组攻击模式可以识别至少一个不同的攻击模式。换句话说,第一和第二组攻击模式可以包括至少一个不同的攻击模式。
在IDP设备4计算指示符的上述情况下,IDP设备4可以通过将指示符与一个或多个阈值进行比较来确定何时动态地应用第二策略。这些阈值可通过IDP设备4使用历史平均值和/自适应学习技术或算法或者通过管理员或其他用户来动态地被配置。阈值还可以与各自策略相关联。如果指示符等于或超过一个阈值,则IDP设备4可以将第二或相应策略应用于网络信息流通量的至少一部分,如果不是,则IDP设备4可继续应用第一策略。因此,IDP设备4可基于动态确定来应用第二策略来代替第一策略。假设IDP设备4动态地应用第二策略,IDP设备4基于第二策略的应用来传送网络信息流通量的至少一部分。
以这种方式,IDP设备4可以实施动态策略供应技术来平衡安全性和网络连接性关系,而不要求管理员干涉来静态地重新配置传统网络安全设备,因为阈值可以触发IDP设备4来响应于网络6的监视条件自动地应用不同策略。作为一个实例,管理员可以配置IDP设备4来应用识别与已知网络攻击的所有组相对应的模式的所有组的第一策略和识别与已知网络攻击的所有组的子组相对应的模式的所有组的子组的第二策略。
例如,第二策略可以识别与在过去几个月或一些其他可配置时间量宣布的已知网络攻击的所有组的子组相对应的模式的所有组的子组。该第二策略典型地要求充分小的处理能力。管理员还可以配置触发IDP设备4的阈值,以在由考虑到网络6的特性的指示符表示的相对正常或较低网络拥塞时期应用第一策略,以及在也由指示符表示的相对较高网络拥塞时期应用第二策略。
因此,动态供应技术可以包括两个部分:系统资源监视部分和优先服务策略部分。第一系统资源监视部分监视一个或多个参数以确定什么可以被称为系统警报等级或指示符值。第二优先服务策略部分可以使策略的应用优先以处理给定的系统警报等级。通过组合这两个部分,可以动态地供应多个策略以适应网络6的当前条件。在策略之间的动态改变中,系统资源利用会由于分别应用多多少少的模式而增加或减少。基于动态监视的参数适应策略能够使IDP设备适应入侵侦测防护以适合于具体条件。
例如,IDP设备4可以初始被供应来对提供广泛安全范围的一般策略进行操作,例如,应用模式的所有组。IDP设备4的系统资源监视器可以周期性地执行来评估网络6的当前条件并发送多个系统警报等级之一。对于每个系统警报等级或指示符值,IDP设备4可应用相应策略,使得当服务警报等级或指示符的值发生改变时,服务的应用(即,模式)改变为用于那个等级或值的相应策略。结果,当与传统静态配置的IDP设备相比时,IDP设备4可以动态地适应以基于周期性改变条件,并且在一些情况下,改变恒定反馈来以更加细微的方式调整其服务等级。
图2是更加详细示出IDP设备4的框图。IDP设备4包括控制单元16,其可以包括硬件(例如,一个或多个可编程处理器、场可编程门阵列(FPGA)、专用标准产品(ASSP)、专用集成电路(ASIC)、集成电路等)以及计算机可读存储介质或存储器(例如,静态存储器(硬盘驱动器、光学驱动器、磁盘驱动器、闪存等)和/或动态存储器(随机存取存储器或RAM、动态RAM或DRAM等))。在一些情况下,计算机可读存储介质可以包括诸如用于定义软件或硬件程序的那些指令,其使上述列出的可编程存储器执行本文所述的动态策略供应技术。
控制单元16包括用户界面模块18、动态安全管理模块20(“动态安全管理器20”)、系统资源监视模块22(“系统资源监视器22”)、表格管理模块24、分类模块26和服务引擎模块28(“服务引擎28”)。这些模块18~28中的每一个都可以包括硬件、软件或它们的任意组合,以执行分配给它们的下述功能。在一些实施例中,控制单元16可以包括一个或多个可编程处理器,每一个都作为软件程序(例如,指令)实现一个或多个模块18~28。在其他实施例中,控制单元16可以包括实现一个或多个模块18~28的一个或多个集成电路。因此,技术不应该限于本文所述动态策略供应技术的任一个实施。
用户界面模块18表示用于与用户(例如管理员30(“管理员30”))或其他计算设备交互的模块。用户界面模块18可以呈现一个或多个图像用户和/或基于文本的用户界面,通过其管理员30或其他计算设备可以配置IDP设备4。在一些实施例中,用户界面模块18能够通过基于文本的用户界面(例如,命令行界面(CLI))进行基于脚本的配置。
动态安全管理器20表示基于专用网络6的监视条件,或者更具体地基于上面列出的参数动态地供应IDP设备4来应用不同策略(例如,策略32A~32N(“策略32”))的模块。在一些实施例中,动态安全管理器20可以包括阈值,通过该阈值动态确定是否将一个或多个策略32(优先于另一个或多个策略32)应用于输入网络信息流通量36(“输入信息流通量36”),以检测一个或多个对应的网络攻击组。在其他实施例中,动态安全管理器20可以执行支配算法,通过该算法来动态确定是否应用一个或多个策略32(其他一个或多个策略32)。下面分别参照图3A和图3B提供关于每个实施例的细节。
系统资源监视器22表示周期性地监视与一个或多个系统相对应的上述参数和IDP设备4的其他资源的模块。表格管理模块24表示可以周期性地更新流表格(例如,流表格34)来反映策略32的应用变化,使存储至流表格34的一个或多个流联系在一起作为会话并且另外保持或管理存储至流表格34的流的模块。
分类模块26表示可以基于从每个数据包中提取的信息对每个数据包进行分类的模块。分类模块26可以对数据包进行分类的一种方式是将每个数据包分类为属于特定流。即,分类模块26可以通过从每个数据包提取被称为“五元组”的信息来确定输入网络信息流通量36的数据包的特定数据包对应于哪个流。如上所述,每个流都表示网络内一个方向上的数据包流。五元组包括资源网际协议(IP)地址、目的地IP地址、资源端口、目的地端口和协议。典型地,在每个数据包的报头中发现五元组,并且分类模块26会解析或者另外从每个数据包的报头中提取五元组,以识别每个数据包对应于哪个流。分类模块26还可以提取并利用附加信息来识别诸如资源媒体访问控制(“MAC”)地址和目的地MAC地址的流。
基于该五元组,分类模块26可以访问流表格34来确定哪个策略32应用于输入信息流通量36的每个数据包。流表格34由此可以维持流作为条目(entry),其可以被称为“流条目”。每个流条目都可以存储识别五元组和针对一个策略32的基准。分类模块26可以访问该表格34来确定每个数据包对应的流以及相关联的一个策略32。然后,分类模块26可以标记或者另外标注每个数据包以指示相关联的一个策略32来应用于每个被标记的数据包。分类模块26可以通过在队列(诸如一个队列38)中的每个数据包中存储元数据或其他信息来对每个数据包进行标记。队列38可以包括在相关联的一个策略32的处理或应用之前以先入先出(FIFO)方式存储数据包的预处理队列。
作为对输入数据包进行分类的另一种方式,分类模块26还可以提取应用层信息,诸如会话初始协议(SIP)报头和有效负荷数据以及实时传输协议(RTP)报头和有效负荷数据。分类模块26还可以包括上述协议解码器(图2中未示出)来提取该应用层信息或数据,从而对每个数据包进行分类。分类模块26可以将每个应用与不同的策略32相关联。即,基于通过一个或多个上述解码器提取的信息,例如,分类模块26可以确定第一数据包属于HTTP应用,而另一数据包属于FTP应用。基于这些各个分类,分类模块26可以将第一个策略32与流表格34中被分类属于HTTP应用的第一数据包相关联,以及将第二个策略32与流表格34中被分类属于FTP应用的第二数据包相关联。以这种方式,IDP设备4可以使策略32的应用适用于不同的应用(由此使模式39适用于不同的应用),这能够使IDP设备4更加精确地应用模式39来仅检测目标在于具体协议的那些网络攻击,而不检测对各个所识别协议的每一个无害的网络攻击,从而限制了系统资源的消耗。
服务引擎28表示服务或另外处理输入信息流通量36的数据包的模块。服务引擎28可以通过将一个策略32应用于每个数据包来服务或处理每个数据包。每个策略32可以识别不同的模式组从而进行应用,其中,每个策略识别出与所有其他策略32不同的至少一个模式。服务引擎28可以保持识别网络攻击的所有组的模式39的所有组。每个策略32可以通过表示是应用模式39的所有组还是应用模式39的所有组的子组来识别模式组。在处理输入信息流通量36的每个数据包之后,服务引擎28可基于相应策略32的应用来传送这些数据包作为输出信息流通量,诸如图3A的安全输出信息流通量44A和图3B的安全输出信息流通量46。
最初,管理员30可以与由用户界面模块18呈现的用户界面进行交互,以定义、创建或另外指定每个策略32。在一些实施例中,IDP设备4可以通过一个或多个策略32来进行预配置,使得管理员30不需要手动地定义每个策略32。
在以这种方式配置IDP设备4之后,分类模块26可接收输入信息流通量36,并通过从每个数据包中提取上述五元组来对信息流通量36的每个数据包进行分类,以及基于所提取的五元组执行流表格34中的上述查找。如果对应于所提取五元组的流没有被存储至流表格34,则分类模块26可以将对应于五元组的流添加至表格并将策略与流表格34中的新流相关联。
分类模块26可以确定适当的策略以与来自动态安全管理器20的每个新流相关联,或者可以保持策略32与每个数据包被识别属于的应用之间的可配置相关性。即,分类模块26可以保持将策略32A与例如HTTP应用相关联、将策略32B与FTP应用相关联以及将策略32N与SIP应用相关联的表格。管理员26可以经由用户界面模块18所呈现的用户界面来配置该表格。如果查找返回流(例如,被预先创建并存储至流表格34的流),则分类模块26从存储至流表格34的相应流条目中确定相关联的一个策略32。无论如何确定一个策略32,分类模块26随后都可以在一个队列38中存储具有识别相关的一个策略32的相应标记的数据包。
服务引擎28可以检索存储至队列38的这些数据包并应用由对应标记所识别的相关联的一个策略32。例如,服务引擎40可以将第一策略32A应用于例如从队列38中检索到的数据包。策略32A可以指示或识别已知模式39的所有组或简单的模式39被应用于相关联的数据包以识别已知网络攻击的相应所有组。根据策略32A,服务引擎40可以将每个模式39应用于相关联的数据包。基于策略32A的应用,例如,是否通过模式46的应用识别任何网络攻击,服务引擎28可以传送相关联的数据包作为输出信息流通量40。
与上述操作并行或同时,系统资源监视器22可监视与一个或多个资源相对应的一个或多个上述列出的参数。在一些情况下,系统资源监视器22可以周期性地监视一个或多个上述列出的参数。系统资源监视器22可以每毫秒、每10毫秒、或这种两个间隔之间的某一间隔来执行这种监视。典型地,系统资源监视器22以较短的周期间隔进行这种监视,以提供对超载条件的有效且及时的响应。
作为监视参数的实例,系统资源监视器22可监视队列38来确定队列深度。队列深度是指当前被消耗或用于存储分配给该队列的存储空间总量中数据包的存储空间的量。系统资源监视器22可在通过监视每个队列38并对每个队列38的深度求平均的情况下确定平均队列深度。可选地,系统资源监视器22可监视每个队列38的深度并且使队列深度以每个队列38的最大队列深度为基础。系统资源监视器22还可以监视队列38的阈值。
作为另一个实例,系统资源监视器22可以监视其他存储资源。例如,被消耗或利用的总存储量、消耗的总随机存取存储量、消耗的总高速缓冲存储量等。作为又一实例,系统资源监视器22可以监视处理器(诸如执行分类模块26和服务引起28中的一个或两个的处理器)的利用。作为再一实例,系统资源监视器22可以通过访问流表格34并确定流表格34中的条目数来监视当前在网络6中有效会话和/或流的数量。
作为其他实例,系统资源监视器22可以监视时戳,更具体地,监视标记由IDP设备接收数据包的时戳与标记通过IDP设备4传送相同数据包的时间的时戳之间的差。该差值可指示处理数据包所需的时间。系统资源监视器22还可以确定时刻。所有上述参数可以指示或反映网络6的条件。例如,可基于时刻改变信息流通量的等级,由此改变拥塞。处理数据包的时间还可以指示由于典型地随着处理数据包的时间的增加,网络拥塞等级也增加而增加的拥塞。系统资源监视器22可将这些参数传送给动态安全管理器20用于进一步的处理。
一旦接收到一个或多个上述参数,动态安全管理器20就可以基于参数动态地确定是否应用第二个策略32。这些参数可表示网络6的条件,因此,动态安全管理器20可以动态地确定是否应用第二个策略32,例如,基于由参数表示的网络条件进行可称作“策略变化”的操作。如果动态安全管理器20确定应该应用一个新的策略32(例如,与先前策略不同的策略),则动态安全管理器20会向表格管理模块24和分类模块26通知新策略32。
表格管理模块24可周期性地更新流表格34以反映策略32的应用的变化。表格管理模块24不会响应于每次变化立刻更新流表格34使得不会消耗系统资源,因为如果不是几十万,流表格34也会包括数千以上的流条目。因此,表格管理模块24可更新流表格34中的每个条目以反映从老的或第一个策略32到新的或第二个策略32的变化。如上所述,当将新流条目添加到流表格34时,分类模块26可以使用对策略32应用的这种变化。一旦接收到策略32应用的这种变化,分类模块26可以将添加至流表格34的所有新流与这个新的策略相关联。
假设动态安全管理器20动态地确定对输入信息流通量36应用新的或第二个策略32,则表格管理模块24可更新流表格34以反映策略的这种变化。通过访问与从输入数据包提取的五元组相对应的流表格34的流条目,分类模块26可以确定输入信息流通量36的至少一些数据包与新的或第二个策略32相关联。然后,分类模块26可以在队列38中使这些数据包的每一个与识别该第二个策略32的标签、元数据或其他识别符相关联。一旦从队列38检索出这些数据包和相关联的标签,则服务引擎28就可以对这些数据包应用第二个策略32并传送这些数据包,由第二个策略32识别的模式39没有检测网络攻击。以这种方式,IDP设备4可以一般地实施本文所述的动态策略供应技术。
图3A和图3B是分别更加详细示出图2的IDP设备4的实施例的框图。图3A是示出执行本文所述的动态策略供应技术的一个方面的IDP设备4A的框图。IDP设备4A基本上与图1和图2的IDP设备4相同,在于IDP设备4A可包括类似的单元、模块、队列等。
如图3A所示,动态安全管理器20包括指示符41和阈值42。动态安全管理器20可基于上述参数计算指示符41,使得指示符41反映网络6的条件。动态安全管理器20可通过计算一个或多个参数的加权平均来计算指示符41。如上所述,经由用户界面模块18呈现的用户界面,管理员30可定义每个参数的权重。动态安全管理器20可进一步标准化指示符41,以能够与阈值42进行比较。
阈值42可表示管理员30可配置的可配置数据对象。管理员30可以以类似于上述通过与由用户界面模块18呈现的相同或不同用户界面进行交互的方式来配置阈值42,从而配置、指定或另外定义阈值42。此外,在一些实施例中,IDP设备4A可以利用至少一个标准阈值42进行预配置,使得管理员30不需要输入用于阈值42的值。基于这种比较,动态安全管理器20可以确定将哪个策略32应用于输入网络信息流通量36。例如,如果指示符41小于阈值42,则动态安全管理器20可以动态地确定策略32A应该被应用于所有流。然而,如果指示符41等于或大于阈值42,则动态安全管理器20可确定策略32N应该代替策略32A被应用于所有流。
在图3A的实例中,一旦指示符41等于或大于阈值42,动态安全管理器20就可以指示分类模块26仅将新的或第二个策略32应用于输入信息流通量36的一部分。在一些情况下,动态安全管理器20可以指示分类模块26仅将新的或第二个策略32应用于现有流。在一些情况下,第二个策略32可能与第一个策略32相同。在这个方面,动态安全管理器20可不以动态地供应哪个模式39被应用,而是改变应用相同组的模式39的数据包的类型或分类。换句话说,动态安全管理器20可以通过指定相同策略32不应用于现有和新的流而是只应用于现有流来动态地供应策略32的应用,以减少系统资源的消耗以及通过牺牲安全性来提高网络连接性。
这些现有或当前有效的流以及与这些现有或有效流相关联的数据包可以在本文被分别称为“快速路径”流和“快速路径”数据包。新流以及与这些新流相关联的数据包在本文被分别称为“第一路径”流和“第一路径”数据包。当与快速路径数据包相比时,分类模块26可以对第一路径数据包执行附加分析,例如访问控制操作、NAT操作等。此外,分类模块26通常用流表格34的新流条目以及提取应用层数据来更新流表格34,以对流进行分类并执行一旦新流被分类就不需要的其他操作。因此,与新流相关联的数据包要求任意数量的第一次操作,因此命名为“第一路径”。相反,现有或当前有效流和相应数据包要求比第一路径数据包少得多的处理,从而导致更快速的处理,因此名称为“快速路径”。
因此,IDP设备4A的分类模块26仅将新的策略32应用于快速数据包,同时传送第一路径数据包而不将新策略32应用于这些第一路径数据包。当访问流表格34时,分类模块26可以通过使用上述五元组作为密钥执行查找来确定输入信息流通量36的数据包是第一路径数据包还是快速路径数据包。如果在流表格34中存在流条目,则分类模块26可以确定数据包是快速路径数据包,并且将具有识别与相应流条目中的流相关联的一个策略32的标签的数据包存储至一个队列38。然而,如果在流表格34中不存在流条目,则分类模块26可以确定数据包是第一路径数据包,并且传送数据包而不将新的策略32应用于该第一路径数据包。在图3A中通过表示为“不安全的输出信息流通量44B”的虚线箭头示出了传送第一数据包而不应用新策略32。
以这种方式,IDP设备4A可动态地供应策略32的应用来说明安全性和网络连接性关系,这是由于服务引擎28可以在由指示符41指示的、相对正常或较低网络拥塞时期将第一策略32应用于第一路径和快速路径数据包。第一个策略32可包括识别模式39的所有组并由此可以提供全面等级的安全性而不会过度降低网络连接性的策略(由于网络拥塞较低)。然而,在相对较高网络拥塞期间,如由指示符41所指示,服务引擎28可以仅将新的策略32应用于快速路径数据包,同时传送第一路径数据包而不应用新策略,从而保持网络连接性。
新策略32可以仅识别与危险的网络攻击(换句话说,是对网络6的行为具有主要影响的攻击)相对应的那些模式39,可在本文被称为“ 主要行为模式”。应用这些主要行为模式可以被称为应用特定类型的服务或安全服务。其他模式可对应于其他类似的网络攻击,例如次要行为模式、无害或信息攻击等。例如,这些模式可分别被称为“次要行为模式”和“监视模式”,并且每个都提供相应的安全服务。
在相对较高网络拥塞期间,IDP设备4A可以在损害安全性的情况下保持网络连接性。然而,不同于静态配置的IDP设备,IDP设备4A不要求管理员干涉来在攻击等级返回到正常时返回到最佳安全检测。代替地,IDP设备4A可以自动地供应策略32的应用,从而应用旧的或第一策略32以再次开始检测模式30的所有组。
尽管上面相对于快速路径和第一路径数据包和流进行了描述,但可以以基于其他特性(诸如服务质量、应用的优先级、应用等)区分流的这种方式来实施该技术。例如,管理员30可以以类似于上述的方式来配置IDP设备4A的动态安全管理器20,以根据网络连接性支持优先于FTP应用的HTTP应用,这可以使分类模块26传送而不进一步处理(应用一个策略32)与HTTP应用相关联的数据包,同时对与FTP应用相关联的数据包应用进一步的处理。即,当确定策略32的应用时,动态安全管理器20可以考虑到分配给每个应用(例如HTTP应用)的优先级。
作为另一个实例,管理员36可以以类似于上述的方式配置IDP设备4A,以传送而不进一步处理具有在每个数据包中定义的服务的特定质量、类型或等级的那些数据包,同时进一步处理具有服务的不同质量、类型或等级的那些数据包。因此,技术不应该被严格限于仅基于第一和快速路径分类选择性地应用策略32,而是可以包括一般在通过网络安全设备进行处理之前用于分类数据包的任何其他类型分类。
在图3B的实例中,动态策略供应技术被扩展至包括比对于图3A的IDP设备4A描述的更加细微的阶梯等级。对于IDP设备4A,动态安全管理器20被描述为将指示符41与阈值42相比并基于比较来应用一个策略32。如果指示符41等于或大于阈值42,动态安全管理器指示分类模块26来传送第一路径数据包而不将任何一个策略32应用于这些第一路径数据包,从而可以在高网络拥塞期间自动地保持网络连接性。
然而,如图3B的IDP设备4B所示,动态安全管理器20包括管理算法45来代替阈值42,确定哪一个策略32应用于给定有监视参数的值或作为指示符41的这些值的表示的数据包。管理算法45可以通过管理员30配置,使得对于指示符41的每个范围,动态安全管理器20都动态地供应服务引擎28以应用不同的策略32。例如,假设指示符41不能够超出0~100的范围而改变(例如,已被标准化),管理员30可以配置管理算法45以当指示符41等于或大于0且小于10时应用策略32A,当指示符41等于或大于10且小于25时应用策略32B,当指示符41等于或大于25且小于77时应用策略32C,以及当指示符41等于或大于77且小于或等于100时应用策略32N。
考虑到上述情况,IDP设备4B可以由此基于管理算法45动态地确定是否应用不同于第一和第二策略的第三策略,并基于是否应用第三策略的动态确定来将第三策略应用于网络信息流通量。然后,IDP设备4B可以基于该第三策略的应用来传送网络信息流通量,从而允许可以应用多于两个策略的另一阶梯等级。
在一些情况下,再次假设指示符41已被标准化使其不能超出0~100的范围变化,管理员30可以配置管理算法45,使得两个或多个策略32被定义用于或与每个范围相关联,其中,用于第一范围的两个以上的策略32的第一个应用于第一应用(例如,HTTP应用),以及用于第一范围的两个以上的策略32的第二个应用于第二应用(例如,FTP应用)。以这种方式,通过向分类模块26通知基于每个应用的策略变化,动态安全管理器20可以自动更新或动态供应分类模块26的应用和策略之间的相关性的上述可配置表格,由此分类模块26可以更新其表格以反映策略32的应用的这些变化。
类似于上面参照图3A所述,IDP设备4B的动态安全管理器20还可以向表格管理模块24通知策略32的应用变化。通过更新对于流表格34中每个流条目的相关策略标识符,表格管理模块24可以利用策略32的应用变化更新流表格34。服务引擎28可检索存储至队列38的数据包,并应用由队列38中的每个数据包存储的标签识别的相关联的一个策略32。即,服务引擎28可访问由相应标签识别的一个策略32,并应用由被访问的一个策略32所识别的一个或多个模式39。基于一个策略32的应用,服务引擎28可丢弃数据包或传送数据包作为安全输出信息流通量46。
与传送数据包而不应用一个策略32相比,图3B的IDP设备4B可以逐渐按比例缩小(scale back)模式39的应用以更加细微地平衡安全性和网络连接性关系。当传送数据包而不将任意模式39应用于这些第一路径数据包时,图3A的IDP设备4A偏向网络连接性但牺牲安全性。例如,图3B的IDP设备4B能够使管理员30定义和应用逐渐按比例缩小模式39的应用的策略32。对于由管理算法45定义的一个范围,IDP设备4B还可以结合上面相对于IDP设备4A描述的技术。
即,对于从0~40的指示符41的范围,管理员30可以定义策略32A以应用模式39的所有组并配置管理算法45以将策略32A应用于输入信息流通量36的每个数据包。然后,对于从40~65的指示符41的范围,管理员30可定义策略32B以识别模式39的所有组的子组并配置管理算法45以将策略32B应用于输入信息流通量36的每个数据包。接着,对于从65~90的指示符41的范围,管理员30可定义策略32C以识别由策略32C识别的模式39的子组并配置管理算法45以将策略32C应用于输入信息流通量36的每个数据包。另外,对于从90~100的指示符41的范围,管理员30可以定义策略32N以识别策略32C的模式的相同组,但是配置管理算法45以将策略32N仅应用于输入信息流通量36的快速路径数据包,并且指示分类模块26传送而不将任意一个策略32应用于这些第一路径数据包。以这种方式,IDP设备4B能够在策略32的应用上进行更加精细的控制,从而能够使管理员30不仅更加细微地平衡安全性和网络连接性关系,而且还适应策略32的应用以适合于诸如网络6的专用网络。
此外,与IDP设备4A非常类似,当选择应用哪一个策略32时,IDP设备4B可以被配置为考虑到服务等级、应用优先级(“或优先级方案”)等。即,例如,可以配置管理算法45,使其基于应用的优先级确定应用哪个策略32,从而基于优先级方案逐渐按比例缩小策略32的应用。因此,对于与给定有高传送优先级的应用相对应的那些数据包(诸如用于网络语音协议(VoIP)连接的SIP数据包),动态安全管理器20可根据管理算法45确定应该在中等网络拥塞期间应用第二个策略32检测网络攻击的所有组的子组。但是对于与分配有较低传送优先级的应用相对应的其他数据包,再次根据管理算法45,动态安全管理器20可以确定应用第一策略以在相同中等网络拥塞期间检测网络攻击的所有组。这使得能够对不同的应用细微地适应策略的应用,使得分配有更高优先级的那些应用可以接收加速处理。
图3A和图3B的IDP设备4A、4B的每一个都可以进一步实施启发式处理以避免系统颠簸。在指示符41的值接近阈值42或相对于管理算法45的上述一个范围的环境下会发生系统颠簸。系统颠簸是指作为在第一计算之后指示符41等于或大于阈值42或一个范围但是在第二计算之后不等于或大于阈值42或相同的一个范围的结果而重复改变策略32的应用。因此,系统颠簸会引起系统资源不需要的消耗,这是动态安全管理器20可以例如向表格管理模块24通知在第一计算之后应用一个策略32但是在第二计算之后应用第二策略32,仅退回到依赖于指示表格管理模块24应用第一个策略32等。
结果,动态安全管理器20可以根据启发式处理计算指示符41,根据启发式处理将指示符41与阈值42或管理算法45进行比较,或者两者的组合以避免系统颠簸。例如,动态安全管理器28可以通过随着时间对指示符41的值求平均从而减小改变率或波动率,或者通过动态地调整用于以例如时期等为基础计算指示符41的权重来启发式地计算指示符41。作为另一个实例,动态安全管理器20可以通过管理员30进行配置,以在可配置时间段中能够发生一个策略变化(例如,每五分钟一个策略变化),从而启发式地限制指示符41与阈值42或管理算法45的比较。通过启发式地限制系统颠簸,图3A和图3B的IDP设备4A、4B可以减小系统资源不必要的消耗,并提高吞吐量和效率。
图4是示出执行本文所述动态策略供应技术的IDP设备(诸如图2的一般IDP设备4)的示例性操作的流程图。尽管参照图3A的IDP设备4进行了描述,但可以通过任意网络安全设备来实施该技术。此外,尽管在图3A中未示出,但诸如管理员30的管理员可以如上所述初始地配置IDP设备4,以校准或另外定义本文所述动态策略供应技术的操作。
在这样配置之后,IDP设备4可以接收输入网络信息流通量作为多个数据包,并将这些数据包传送至分类模块26(47)。以上述方式,分类模块26对这些数据包的每一个进行分类,确定与这些数据包的每一个相对应的第一策略32,并将这些数据包与用于识别该第一策略32的相应标记一起排入一个队列38。服务引擎38可以从队列38检索这些数据包并将由标记识别的第一策略32应用于每个所检索的数据包(48)。然后,IDP设备4可基于第一策略32的应用来传送输入网络信息流通量(49)。
虽然应用了第一策略32,但系统资源监视器22可周期性地监视上面列出的参数(50)。如上所述,基于这些参数,动态安全管理器20可以(例如通过将指示符41与阈值42进行比较或者根据管理算法45)动态地确定是否将第二策略32应用于输入信息流通量36的至少一部分。即,动态安全管理器20可以动态地确定是否更新策略32的应用,以将第二策略32应用于新接收的输入信息流通量36的至少一部分(51)。如果动态安全管理器基于必要参数确定不应用第二策略32(52中的“否”),则IDP设备4可以继续接收信息流通量36,应用第一策略32,以及基于该第一策略32的应用来传送该信息流通量36,同时监视参数并动态地确定是否应用第二或新的策略32(47~51)。然而,如果动态安全管理器20动态地确定应用第二策略32(52中的“是”),则动态安全管理器20可以至少通知表格管理模块24来更新策略32的应用(53)。
一旦接收到该信息,表格管理模块24可以更新流表格44,或者更具体地更新流表格44的流条目,以反映策略的这种变化,从而使分类模块26利用用于识别第二策略32的相应标记将至少一些数据包或网络信息流通量36的一部分排入队列38。一旦从队列38检索出这些数据包,服务引起28可根据相应标记来确定第二策略32将被应用于这些数据包,并将第二策略32应用于这些数据包(48)。基于第二策略32的应用,服务引擎28可传送输入网络信息流通量36的至少一些部分作为输出网络信息流通量40(49)。在这个方面,在应用这种策略之后,第二或新的策略32会代表第一或旧的策略32,并且IDP设备4可以继续监视参数并动态地确定是否应用第二或新的策略32,换句话说,执行本文所述的动态策略供应技术(47~53)。
图5A和图5B是分别示出执行本文所述动态策略供应技术的各个方面的IDP设备(例如,图3A和图3B的IDP设备4A、4B)的示例性操作的流程图。图5A是示出图3A的IDP设备4A的示例性操作的流程图,其中,响应于网络6的条件,IDP设备4确定传送第一路径数据包而不应用诸如一个策略32的任意策略。尽管参照图3A的IDP设备4A进行了描述,但可通过任意网络安全设备来实施该技术。
此外,尽管在图3A中未示出,但诸如管理员30的管理员可以如上所述初始地配置图3A的IDP设备4A,以校准或另外定义本文所述动态策略供应技术的操作。在这样配置之后,IDP设备4A可以接收输入网络信息流通量36作为多个数据包,并将这些数据包传送至分类模块26(54)。分类模块26可以以上述方式对这些数据包进行分类(56)。
同时,与这种分类同步,系统资源监视器22可以监视上面列出的一个或多个参数,并将对应于这些监视参数的值传送至动态安全管理器20(58)。动态安全管理器20可以基于与一个或多个监视参数相对应的这些值以上述方式计算指示符41,并将指示符41与阈值42进行比较(60,62)。如果指示符41大于或等于阈值42(62中的“是”),动态安全管理器20可以指示分类模块26仅将一个策略32应用于现有或快速路径流,同时传送与新的第一路径流相对应的这些数据包。因此,如果指示符41大于或等于阈值42,则分类模块26可以上述方式确定数据包是否对应于新流(64)。
如果一个数据包属于新流(64中的“是”),分类模块26可传送该数据包作为不安全的输出信息流通量44B而不进行进一步的处理,例如,排列并随后出列以及对数据包应用一个策略32(66)。然而,如果数据包对应于快速路径流(例如,流表格34中的现有流),或者指示符41小于阈值42(62中的“否”,64中的“否”),分类模块26可以确定与流相关联的一个策略32(68)。如上所述,如果指示符41小于阈值42,则分类模块26可以例如根据动态安全管理器20或根据具有应用和策略32之间的配置相关性的表格来确定将哪一个策略32应用于新的或第一路径流。分类模块26可以使用从每个快速路径数据包提取的五元组作为密钥访问识别相关联策略的流表格34的流条目来确定哪个流应用快速路径数据包。
无论如何确定相关联的一个策略32,分类模块26都可以将数据包与识别相关联的一个策略32的标记一起进行排列(70)。稍后,如上所述,根据通过相应标记识别的一个策略32,服务引擎28可以对该数据包进行出列并处理该数据包(72)。服务引擎28可以通过应用由相关联的一个策略32识别的一组模式39来应用一个策略32,以确定模式39组中的一个是否与通过数据包和随后的事务、流和会话状态所呈现的数据相匹配(74)。如上所述,基于特定会话信息、协议反常、字符串或模式比较、应用特有信息或其他恶意行为的任意其他指示符,会发生模式匹配。
如果发生这种匹配(74中的“是”),则服务引擎28会隔离和/或丢弃数据包(76)。服务引擎28可以通过将数据包放置在仅被服务引擎28访问的存储器部分中来隔离数据包,从而防止这种恶意模式的进一步分布。如果没有(74中的“否”),则服务引擎28会传送信息流通量作为安全输出信息流通量44A(78)。在通过传送而不进一步处理(66)、隔离和/或丢弃每个数据包(68)或处理之后传送(78)来处理每个数据包之后,IDP设备4A可以根据上述动态策略供应技术继续接收并处理输入网络信息流通量36(54~78)。
此外,尽管上面描述应用相关联的一个策略32,但代替旧的或第一策略以及新的或第二策略32,如上所述,参照图5A描述的技术可以被实施,使得旧的和新的策略32是相同的一个策略32。在这个方面,动态安全管理器20可以通过仅将第一策略应用于快速路径数据包来应用第二策略,以适合于将策略32应用于具体类型或种类的数据包(例如,仅为快速路径数据包),来代替例如通过仅应用模式39的子组而不是模式39的所有组来动态地改变应用模式39的范围。下面的图5B提供了示出了策略32的后者动态应用的流程图。
图5B是示出图3B的IDP设备4B的示例性操作的流程图,其中,响应于网络6的条件,IDP设备4B确定是否应用一个或多个策略32。尽管IDP设备4B进行了描述,但可通过任意网络安全设备来实施该技术。
此外,尽管在图5B中未示出,但诸如管理员30的管理员可以如上所述初始地配置IDP设备4B,以校准或另外定义本文所述动态策略供应技术的操作。在这样配置之后,IDP设备4B可以接收输入网络信息流通量36作为多个数据包,并将这些数据包传送至分类模块26(80)。分类模块26可以上述方式对这些数据包进行分类(82)。
同时,与这种分类同步,系统资源监视器22可以监视上面列出的一个或多个参数,并将对应于这些监视参数的值传送至动态安全管理器20(84)。动态安全管理器20可以基于与一个或多个监视参数相对应的这些值以上述方式计算指示符41(86)。然后,动态安全管理器20可以使用这些指示符41作为对管理算法45的输入,其可以输出一个策略32。即,如上所述,管理算法45可被看作是一组范围,每个范围都与一个或多个策略32相关联。管理算法45可确定指示符41驻留在哪个范围组并输出相关联的一个策略32。可选地,这些范围组可被构造为类似于阈值42的多个阈值,每个阈值识别下一范围的开始。在这个方面,IDP设备4B可进行类似于如3A所示的IDP设备4A的操作,但对策略32的应用提供更加细微的控制。
虽然上面参照范围组或多个阈值进行了描述,但管理算法45可以包括考虑到指示符41过去的或历史值和/或一个或多个上面列出的参数的其他多个复数算法。因此,管理算法45可以学习或适应该历史数据,以进一步改进策略32的应用。因此,尽管本文参照范围组进行了描述,但管理算法45不应限于此,而是可以包括能够基于诸如由指示符41之一的变化条件确定应用多个策略32(或规则、对象等)的哪一个的任意算法。
在使用管理算法45动态地确定一个或多个策略32之后,动态安全管理器20可以确定是否所确定的一个或多个策略32表示与先前应用的那些不同的策略32。即,动态安全管理器20可以确定在确定当前的一个或多个策略32之前应用的一个或多个策略32是否不同。因此,动态安全管理器20确定是否发生策略变化(90)。
如果发生策略变化,例如,先前的一个或多个策略90与当前的一个或多个策略32不同(90中的“是”),则动态安全管理器20可以向分类模块26和表格管理模块24通知、命令或指示这种变化,使得分类模块26可以适当地将策略与新的第一路径流相关联,并且表格管理模块24可以适当地更新流表格34中的流条目(92)。在这两个方面,分类模块26和表格管理模块24可以使用更新的、新的或第二策略的指示来更新流表格34(94)。
与上述策略改变确定并行地,分类模块26可以确定与流相关联的一个策略32(96)。例如,如上所述,根据动态安全管理器20或根据具有应用和策略32之间的可配置相关性的表格,分类模块26可以确定将哪一个策略32应用于新的或第一路径流。分类模块26可以使用从每个快速路径数据包提取的五元组作为密钥访问用于识别相关联策略的流表格34中的流条目来确定哪个流应用快速路径数据包。
无论如何确定相关联的一个策略32,分类模块26都可以将数据包与用于识别相关联的一个策略32的标记一起进行排列(98)。稍后,如上所述,根据通过相应标记识别的一个策略32,服务引擎28可以对该数据包进行出列并处理该数据包(100)。服务引擎28可以通过应用由相关联的一个策略32识别的一组模式39来应用一个策略32,以确定模式39组中的一个是否与通过数据包和随后的事务、流和会话状态所呈现的数据相匹配(102)。如上所述,基于特定会话信息、协议反常、字符串或模式比较、应用特有信息或其他恶意行为的任意其他指示符,会发生模式匹配。
如果发生这种匹配(102中的“是”),则服务引擎28会隔离和/或丢弃数据包(104)。服务引擎28可以通过将数据包放置在仅被服务引擎28访问的存储器部分中来隔离数据包,从而防止这种恶意模式的进一步分布。如果没有(102中的“否”),则服务引擎28会传送信息流通量作为安全输出信息流通量44A(106)。在通过隔离和/或丢弃每个数据包(104)或处理之后传送(106)来处理每个数据包之后,IDP设备4可以根据上述动态策略供应技术继续接收并处理输入网络信息流通量36(80~106)。
以这种方式,IDP设备4B可以基于参数动态地将第二策略应用于所有输入网络信息流通量36,而不是仅将第二策略应用于输入网络信息流通量36的至少一部分或一些。因此,IDP设备4B可以仅传送安全输出网络信息流通量46,而不是分别传送安全和不安全网络信息流通量44A、44B。IDP设备4B能够通过可配置策略32的应用,通过按比例缩小模式39的应用来仅输出安全网络信息流通量46。在这个方面,通过可配置管理算法45,IDP设备4B可以利用可通过管理器30更加细微地平衡安全性和网络连接性关系的可能结果来提供更加细微的控制。
图6是示出多个IDP设备110A~110N被配置为执行本文所述动态策略供应技术的示例性系统108的框图。多个IDP设备110A~110N(“IDP设备110”)的每一个都基本类似于图1的IDP设备4。每个IDP设备110都可以进一步包括与图3A或图3B的IDP设备4A或4B类似的模块、控制单元和其他元件。
如图6所示,系统108包括类似于专用网络6的专用网络112和类似于公用网络8的公用网络114。专用网络112包括:IDP设备110,其每一个都连接至公用网络114;以及网络安全管理器(NSM)116,其管理专用网络112的安全性。类似于专用网络6,专用网络112还包括切换器118和多个计算节点120A~120N(“计算节点120”)。虽然为了易于说明的目的在图6中未示出,但可以包括一个或多个防火墙以及类似于切换器12的附加切换器、类似于NSM设备116的NSM设备以及上面列出的任意其他网络设备。
NSM设备116包括用户界面模块122、多个策略124A~124N(“策略124”)和策略分配模块126。用户界面模块122和策略124可以基本上与图3A、图3B的用户界面模块18和策略32类似。在这种情况下,用户界面模块22通过经由切换器12向计算节点20A传送用户界面来与管理员128进行交互,通过其管理员128与计算节点120交互,并且用户界面可以指定、配置、更新、改变或另外编辑、创建或删除策略124。虽然示出为基于网络的用户界面模块122,但管理员128可以如图3A、图3B所示直接与用户界面模块122交互。管理员128还可以与用户界面模块122交互,从而以上述方式远程地配置每个IDP设备110。
策略分配模块126可以将策略124分配给每个IDP设备110用于对输入网络信息流通量应用。如上所述,输入网络信息流通量可以包括信息流通量离开专用网络112和进入专用网络112,就是指相对于IDP设备110输入的信息流通量。输出信息流通量可能不指任意特定方向,而仅仅是从各个IDP设备110离开IDP设备110的信息流通量。因此,该技术不应该限于任意方向和特定流。
在IDP设备110的请求时,诸如通过IDP设备110进行的新策略124的周期轮流检测,或者一旦接收到新的或改变的一个策略124(由用户界面模块122定义、改变或删除),策略分配模块126可以将这些策略124分配给IDP设备110。在策略分配模块126响应于用户界面模块122进行的改变更新IDP设备的后一种情况下,策略分配模块126可以将这些改变用于IDP设备110。存储至IDP设备110的策略在图4中被示出为策略130A~130N(“策略130”)。虽然使用相同的标识符“130”,但这些策略130应该不被构造为每个都包括相同组的策略124。即,策略130A可以定义第一组策略124,而策略130N定义第二组策略124。因此,管理员128可以利用特定组的策略124唯一地配置一个或多个IDP设备110,并且不是所有策略130都可以包括相同组的策略124。换句话说,策略124可以包括策略130的扩展组。
使用NSM设备116,管理员128可以通过不必须访问每个IDP设备110更加有效地管理多个IDP设备110,并且对每个IDP设备110单独地配置每个策略130。管理员128可以代替访问NSM设备116并与由用户界面模块122传送的网络图形用户界面交互,以利用策略130和上述任意其他可配置参数来远程地配置IDP设备110。
虽然本文相对于特征和限制的特定组合,更具体地,相对于设备、元件、模块、部件和单元进行了描述,但该技术可以应用于限制或特征(再次更具体地,设备、元件、模块、部件和单元)的任意组合。因此,该技术不应该限于上述特征的特定组合,而是可以包括任意这样的组合。虽然已经描述了本发明的各种实施例,但是这些和其他实施例均在所附权利要求的范围内。
Claims (33)
1.一种方法,包括:
利用网络的网络安全设备接收网络信息流通量;
利用所述网络安全设备将第一策略应用于所述网络信息流通量,以检测第一组网络攻击,其中,所述第一策略识别与所述第一组网络攻击相对应的第一组攻击模式;
利用所述网络安全设备监视与所述网络安全设备的一个或多个内部资源的利用相对应的参数;
利用所述网络安全设备,以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础动态地确定何时将第二策略应用于所述网络信息流通量的至少一部分;
利用所述网络安全设备,基于动态确定将所述第二策略应用于所述网络信息流通量的至少一部分,以检测第二组网络攻击,其中,所述第二策略识别与所述第二组网络攻击相对应的第二组攻击模式,以及其中,所述第一组攻击模式和所述第二组攻击模式识别至少一个不同的攻击模式;以及
利用所述网络安全设备,基于所述第二策略的应用来传送所述网络信息流通量的至少一部分。
2.根据权利要求1所述的方法,
其中,所述网络安全设备内部包括用于处理新数据包流的初始数据包的第一路径和用于处理现有数据包流的数据包的快速路径,
其中,所述第二策略指定将所述第二组网络模式应用于所述快速路径的所述初始数据包而不应用于所述第一路径的数据包。
3.根据权利要求1所述的方法,还包括:
配置阈值,通过所述阈值来确定何时动态地应用所述第二策略,
其中,动态地确定是否应用所述第二策略包括:
基于所述参数计算以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础表示所述网络的条件的指示符;
将所述指示符与所述阈值进行比较;以及
当所述指示符等于或大于所述阈值时,动态地选择所述第二策略。
4.根据权利要求3所述的方法,
其中,所述第一组模式包括攻击模式的所有组,
其中,所述第一组网络攻击包括已知网络攻击的所有组,
其中,所述第二组网络攻击包括已知网络攻击的所有组的子组,以及
其中,所述第二策略识别与网络攻击的所有组的子组相对应的攻击模式的所有组的子组。
5.根据权利要求1所述的方法,其中,所述第一组攻击模式包括与所述第二组网络攻击和网络攻击的附加组相对应的所述第二组攻击模式和攻击模式的附加组。
6.根据权利要求1所述的方法,
其中,动态地确定是否应用所述第二策略包括:
基于所述参数计算表示所述网络的条件的指示符;以及
基于所述指示符执行确定是否应用所述第二策略的管理算法,以及
其中,应用所述第二策略包括:基于所述管理算法的执行将所述第二策略应用于所有的网络信息流通量。
7.根据权利要求1所述的方法,还包括:
利用所述网络安全设备,基于所述参数动态地确定是否应用第三策略,所述第三策略与所述第一策略和所述第二策略的不同之处在于,所述第三策略识别与所述第一组攻击模式和所述第二组攻击模式不同的至少一个攻击模式;
利用所述网络安全设备,基于是否应用所述第三策略的动态确定,将所述第三策略应用于所述网络信息流通量;以及
利用所述网络安全设备,基于所述第三策略的应用来传送所述网络信息流通量。
8.根据权利要求1所述的方法,其中,将所述第一策略应用于所述网络信息流通量包括:
通过(i)从所述数据包中提取五元组,(ii)从存储多个流条目的流表格中检索与所提取的五元组相对应的所述多个流条目中的一个,以及(iii)确定所述第一策略与所述多个流条目中所检索的一个流条目中的数据包相关联,来对所述网络信息流通量的数据包进行分类;
将所述数据包与用于识别所述第一策略的标签一起存储至所述网络安全设备的队列;
从所述队列中检索所述数据包和相应的标签;以及
通过将由所述标签指示的所述第一策略应用于所述数据包来处理所述数据包。
9.根据权利要求8所述的方法,还包括:利用所述网络安全设备,响应于动态地确定应用所述第二策略来更新所述流表格,使得所述多个流条目中的一个或多个被更新,从而使一个或多个相应流÷与所述第二策略相关联,
其中,应用所述第二策略包括:
通过(i)从另一数据包中提取另一五元组,(ii)检索与所述另一五元组相对应的多个更新流条目中的一个,以及(iii)确定所述第二策略与所述多个更新流条目中所检索的一个流条目中的数据包相关联,来对所述网络信息流通量的另一数据包进行分类;
将所述另一数据包与识别所述第二策略的另一标签一起存储至所述网络安全设备的队列;
从所述队列中检索所述另一数据包和相应的另一标签;以及
通过将由所述另一标签指示的所述第二策略应用于数据包来处理所述另一数据包。
10.根据权利要求1所述的方法,其中,所述网络安全设备包括入侵防护设备、入侵侦测设备以及入侵侦测防护(IDP)设备中的一个。
11.根据权利要求1所述的方法,还包括:经由所述网络安全设备与管理员的直接交互或者从网络安全管理(NSM)设备远程地接收所述第一策略和所述第二策略。
12.根据权利要求1所述的方法,其中,所述参数包括队列深度、存储资源、队列阈值、处理器利用、会话数量、时戳和时期。
13.根据权利要求1所述的方法,还包括:
对输入网络信息流通量进行分类以确定所述网络信息流通量的第一数据包和所述网络信息流通量的第二数据包,其中,所述第一数据包具有第一特性,而所述第二数据包具有与所述第一特性不同的第二特性,
其中,应用所述第二策略包括:基于所述动态确定,通过仅将所述第一策略应用于所述第一数据包来应用所述第二策略,以及
其中,传送所述网络信息流通量的一部分包括:
传送所述第二数据包而不将所述第一策略或所述第二策略应用于所述第二数据包;以及
基于所述第一策略对所述第一数据包的应用来传送所述第一数据包。
14.一种网络的网络安全设备,用于接收网络信息流通量,所述网络安全设备包括:
存储器,存储第一策略和第二策略,其中,所述第一策略识别与第一组网络攻击相对应的第一组攻击模式,所述第二策略识别与第二组网络攻击相对应的第二组攻击模式,以及所述第一组攻击模式和所述第二组攻击模式识别至少一个不同的攻击模式;以及
控制单元,将所述第一策略应用于所述网络信息流通量,以检测所述第一组网络攻击,监视与所述网络安全设备的一个或多个内部资源的利用相对应的参数,以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础动态地确定何时将第二策略应用于所述网络信息流通量的至少一部分,基于动态确定将所述第二策略应用于所述网络信息流通量的至少一部分以检测第二组网络攻击,以及基于所述第二策略的应用来传送所述网络信息流通量的至少一部分。
15.根据权利要求14所述的网络安全设备,
其中,所述控制单元包括用于处理新数据包流的初始数据包的第一路径和用于处理现有数据包流的数据包的快速路径,
其中,所述第二策略指定将所述第二组网络模式应用于所述快速路径的所述初始数据包而不应用于所述第一路径的数据包。
16.根据权利要求14所述的网络安全设备,其中,所述控制单元包括动态安全管理模块,通过以下处理动态地确定何时将所述第二策略应用于所述网络信息流通量的至少一部分:
配置阈值,通过所述阈值来确定何时动态地应用所述第二策略,
基于所述参数计算以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础表示所述网络的条件的指示符,以及
将所述指示符与所述阈值进行比较;以及
当所述指示符等于或大于所述阈值时,动态地选择所述第二策略。
17.根据权利要求16所述的网络安全设备,
其中,所述第一组模式包括攻击模式的所有组,
其中,所述第一组网络攻击包括已知网络攻击的所有组,
其中,所述第二组网络攻击包括已知网络攻击的所有组的子组,以及
其中,所述第二策略识别与网络攻击的所有组的子组相对应的攻击模式的所有组的子组。
18.根据权利要求14所述的网络安全设备,其中,所述第一组攻击模式包括与所述第二组网络攻击和网络攻击的附加组相对应的所述第二组攻击模式和攻击模式的附加组。
19.根据权利要求14所述的网络安全设备,其中,所述控制单元包括动态安全管理模块,通过以下处理动态地确定是否应用所述第二策略:
基于所述参数计算表示所述网络的条件的指示符;以及
基于所述指示符执行确定是否应用所述第二策略的管理算法。
20.根据权利要求14所述的网络安全设备,其中,所述控制单元还(i)基于所述参数动态地确定是否应用第三策略,所述第三策略与所述第一策略和所述第二策略的不同之处在于,所述第三策略识别与所述第一组攻击模式和所述第二组攻击模式不同的至少一个攻击模式,(ii)基于是否应用所述第三策略的动态确定,将所述第三策略应用于所述网络信息流通量,以及(iii)基于所述第三策略的应用来传送所述网络信息流通量。
21.根据权利要求14所述的网络安全设备,
其中,所述存储器还包括存储多个流条目流表格,以及
其中,为了将所述第一策略应用于所述网络信息流通量,所述控制单元包括:
分类模块,通过(i)从所述数据包中提取五元组,(ii)从所述流表格中检索与所提取的五元组相对应的所述多个流条目中的一个,以及(iii)确定所述第一策略与所述多个流条目中所检索的一个流条目中的数据包相关联,来对所述网络信息流通量的数据包进行分类,以及将所述数据包与识别所述第一策略的标签一起存储至所述网络安全设备的队列;以及
服务引擎,从所述队列检索所述数据包和相应的标签,以及通过将由所述标签指示的所述第一策略应用于所述数据包来处理所述数据包。
22.根据权利要求21所述的网络安全设备,其中,所述控制单元还包括:
动态安全管理模块,基于所述参数动态地确定是否应用所述第二策略;以及
表格管理模块,响应于所述动态安全管理模块动态地确定应用所述第二策略,更新所述流表格,使得所述多个流条目中的一个或多个被更新,从而使一个或多个相应流与所述第二策略相关联,
其中,为了应用所述第二策略,所述分类模块通过(i)从另一数据包中提取另一五元组,(ii)检索与所述另一五元组相对应的多个更新流条目中的一个,以及(iii)确定所述第二策略与所述多个更新流条目中所检索的一个流条目中的数据包相关联,来对所述网络信息流通量的另一数据包进行分类,并且将所述另一数据包与识别所述第二策略的另一标签一起存储至所述网络安全设备的队列,
其中,为了进一步应用所述第二策略,所述服务引擎从所述队列中检索所述另一数据包和相应的另一标签,并且通过将由所述另一标签指示的所述第二策略应用于数据包来处理所述另一数据包。
23.根据权利要求14所述的网络安全设备,其中,所述网络安全设备包括入侵防护设备、入侵侦测设备以及入侵侦测防护(IDP)设备中的一个。
24.根据权利要求14所述的网络安全设备,其中,所述控制单元还包括用户界面模块,经由与管理员的直接交互或者从网络安全管理(NSM)设备远程地接收所述第一策略和所述第二策略。
25.根据权利要求14所述的网络安全设备,其中,所述参数包括队列深度、存储资源、队列阈值、处理器利用、会话数量、时戳和时期。
26.根据权利要求14所述的网络安全设备,
其中,所述控制单元进一步对输入网络信息流通量进行分类以确定所述网络信息流通量的第一数据包和所述网络信息流通量的第二数据包,其中,所述第一数据包具有第一特性,而所述第二数据包具有与所述第一特性不同的第二特性,
其中,所述控制单元包括服务引擎,基于所述动态确定,通过仅将所述第一策略应用于所述第一数据包来应用所述第二策略,
其中,所述控制单元包括分类模块,通过传送所述第二数据包而不将所述第一策略或所述第二策略应用于所述第二数据包,来传送所述网络信息流通量的一部分,
其中,所述服务引擎基于所述第一策略对所述第一数据包的应用来传送所述第一数据包。
27.一种网络系统,包括:
网络的多个计算节点,传输和接收网络信息流通量;
网络的多个网络安全设备,处理所述网络信息流通量;以及
网络安全管理器(NSM)设备,将多个策略分配给所述多个网络安全设备的每一个,
其中,所述多个网络安全设备的每一个都包括:
存储器,存储所述多个策略的第一策略和所述多个策略的第二策略,其中,所述多个策略的所述第一策略识别与第一组网络攻击相对应的第一组攻击模式,所述多个策略的所述第二策略识别与第二组网络攻击相对应的第二组攻击模式,以及所述第一组攻击模式和所述第二组攻击模式识别至少一个不同的攻击模式;以及
控制单元,将所述多个策略的所述第一策略应用于所述网络信息流通量,以检测所述第一组网络攻击,监视与所述网络安全设备的一个或多个内部资源的利用相对应的参数,以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础动态地确定何时将所述多个策略的所述第二策略应用于所述网络信息流通量的至少一部分,基于动态确定将所述多个策略的所述第二策略应用于所述网络信息流通量的至少一部分以检测第二组网络攻击,以及基于所述多个策略的所述第二策略的应用来传送所述网络信息流通量的至少一部分。
28.根据权利要求27所述的网络系统,
其中,所述网络安全设备内部包括用于处理新数据包流的初始数据包的第一路径和用于处理现有数据包流的数据包的快速路径,
其中,所述多个策略的所述第二策略指定将所述第二组网络模式应用于所述快速路径的所述初始数据包而不应用于所述第一路径的数据包。
29.根据权利要求27所述的网络系统,所述多个网络安全设备的每一个的所述控制单元都包括动态安全管理模块,通过以下处理动态地确定何时将所述多个策略的所述第二策略应用于所述网络信息流通量的至少一部分:
配置阈值,通过所述阈值来确定何时动态地应用所述第二策略,
以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础计算表示所述网络的条件的指示符,以及
将所述指示符与所述阈值进行比较;以及
当所述指示符等于或大于所述阈值时,动态地选择所述第二策略。
30.根据权利要求29所述的网络系统,
其中,所述第一组模式包括攻击模式的所有组,
其中,所述第一组网络攻击包括已知网络攻击的所有组,
其中,所述第二组网络攻击包括已知网络攻击的所有组的子组,以及
其中,所述第二策略识别与网络攻击的所有组的子组相对应的攻击模式的所有组的子组。
31.根据权利要求27所述的网络系统,其中,NSM设备分配所述多个网络安全设备的第一网络安全设备的第一策略和第二策略,所述第一策略和所述第二策略与所述多个网络安全设备的第二网络安全设备的多个策略的第一策略和第二策略不同。
32.根据权利要求27所述的网络系统,其中,所述多个网络安全设备的每一个的所述控制单元都包括动态安全管理模块,通过以下处理动态地确定是否应用所述第二策略:
基于所述参数计算表示所述网络的条件的指示符;以及
基于所述指示符执行确定是否应用所述第二策略的管理算法。
33.一种方法,包括:
利用网络的网络安全设备接收网络信息流通量,其中,所述网络安全设备内部包括用于处理新数据包流的初始数据包的第一路径和用于处理现有数据包流的数据包的快速路径;
利用所述网络安全设备将第一策略应用于所述网络信息流通量,以检测第一组网络攻击,其中,所述第一策略识别与所述第一组网络攻击相对应的第一组攻击模式;
利用所述网络安全设备监视与所述网络安全设备的一个或多个内部资源的利用相对应的参数;
利用所述网络安全设备,以用于所述网络安全设备的一个或多个内部资源的利用的监视参数为基础动态地确定何时将第二策略应用于所述网络信息流通量的至少一部分;
利用所述网络安全设备,基于动态确定应用所述第二策略,其中,所述第二策略指定在所述动态确定之前所述第一组攻击模式被应用于所述现有数据包流配置的所述快速路径的所有数据包,并且在所述动态确定之后不应用于通过所述第一路径的新流的所有数据包;以及
利用所述网络安全设备,基于所述第二策略的应用来传送所述网络信息流通量的至少一部分。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US7644808P | 2008-06-27 | 2008-06-27 | |
| US61/076,448 | 2008-06-27 | ||
| US12/468,905 | 2009-05-20 | ||
| US12/468,905 US8856926B2 (en) | 2008-06-27 | 2009-05-20 | Dynamic policy provisioning within network security devices |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101616041A true CN101616041A (zh) | 2009-12-30 |
| CN101616041B CN101616041B (zh) | 2012-05-30 |
Family
ID=41110464
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2009101515184A Expired - Fee Related CN101616041B (zh) | 2008-06-27 | 2009-06-29 | 网络安全设备中的动态策略供应 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8856926B2 (zh) |
| EP (1) | EP2139199B1 (zh) |
| CN (1) | CN101616041B (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516602A (zh) * | 2012-06-27 | 2014-01-15 | 丛林网络公司 | 服务工程路径的反馈回路 |
| CN104517055A (zh) * | 2013-10-01 | 2015-04-15 | 佳能株式会社 | 能够应用安全策略的图像处理装置及其控制方法 |
| CN104901974A (zh) * | 2015-06-26 | 2015-09-09 | 中国科学院大学 | 安全超文本传输方法 |
| CN109845223A (zh) * | 2016-10-07 | 2019-06-04 | 微软技术许可有限责任公司 | 使用预分类来实施网络安全策略 |
| CN112269974A (zh) * | 2020-11-09 | 2021-01-26 | 北京嘀嘀无限科技发展有限公司 | 一种数据管控的方法及系统 |
Families Citing this family (140)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| US20100064353A1 (en) * | 2008-09-09 | 2010-03-11 | Facetime Communications, Inc. | User Mapping Mechanisms |
| US8484338B2 (en) * | 2008-10-02 | 2013-07-09 | Actiance, Inc. | Application detection architecture and techniques |
| KR101404108B1 (ko) * | 2008-12-10 | 2014-06-10 | 한국전자통신연구원 | 윈도우 실행파일 추출방법, 및 장치 |
| US20100251370A1 (en) * | 2009-03-26 | 2010-09-30 | Inventec Corporation | Network intrusion detection system |
| US8752142B2 (en) * | 2009-07-17 | 2014-06-10 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback |
| US8407789B1 (en) * | 2009-11-16 | 2013-03-26 | Symantec Corporation | Method and system for dynamically optimizing multiple filter/stage security systems |
| US9756076B2 (en) * | 2009-12-17 | 2017-09-05 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transactions |
| US8621636B2 (en) | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
| US8650129B2 (en) | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
| US8681648B2 (en) | 2010-03-24 | 2014-03-25 | Telcordia Technologies, Inc. | Mobility policy updates for mobile devices |
| US7917954B1 (en) * | 2010-09-28 | 2011-03-29 | Kaspersky Lab Zao | Systems and methods for policy-based program configuration |
| US8850539B2 (en) | 2010-06-22 | 2014-09-30 | American Express Travel Related Services Company, Inc. | Adaptive policies and protections for securing financial transaction data at rest |
| US8924296B2 (en) | 2010-06-22 | 2014-12-30 | American Express Travel Related Services Company, Inc. | Dynamic pairing system for securing a trusted communication channel |
| US10360625B2 (en) | 2010-06-22 | 2019-07-23 | American Express Travel Related Services Company, Inc. | Dynamically adaptive policy management for securing mobile financial transactions |
| US10015286B1 (en) | 2010-06-23 | 2018-07-03 | F5 Networks, Inc. | System and method for proxying HTTP single sign on across network domains |
| US8804747B2 (en) * | 2010-09-23 | 2014-08-12 | Cisco Technology, Inc. | Network interface controller for virtual and distributed services |
| US8959571B2 (en) | 2010-10-29 | 2015-02-17 | F5 Networks, Inc. | Automated policy builder |
| US9246764B2 (en) * | 2010-12-14 | 2016-01-26 | Verizon Patent And Licensing Inc. | Network service admission control using dynamic network topology and capacity updates |
| KR20120070771A (ko) * | 2010-12-22 | 2012-07-02 | 한국전자통신연구원 | 정량적 보안 정책 평가 장치 및 방법 |
| US8499348B1 (en) * | 2010-12-28 | 2013-07-30 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
| US8862675B1 (en) * | 2011-03-10 | 2014-10-14 | Symantec Corporation | Method and system for asynchronous analysis of URLs in messages in a live message processing environment |
| WO2013072773A2 (en) * | 2011-11-18 | 2013-05-23 | Marvell World Trade Ltd. | Data path acceleration using hw virtualization |
| US9178801B1 (en) | 2012-06-27 | 2015-11-03 | Juniper Networks, Inc. | Automated service discovery in computer networks |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9935841B2 (en) * | 2013-01-28 | 2018-04-03 | Intel Corporation | Traffic forwarding for processing in network environment |
| US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) * | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US20140297817A1 (en) * | 2013-03-26 | 2014-10-02 | Cisco Technology, Inc. | Managing Software Operations Based Upon User Status In A Unified Communications Environment |
| US8997232B2 (en) * | 2013-04-22 | 2015-03-31 | Imperva, Inc. | Iterative automatic generation of attribute values for rules of a web application layer attack detector |
| US8739286B1 (en) * | 2013-05-30 | 2014-05-27 | Phantom Technologies, Inc. | Controlling network access based on application detection |
| US8819829B1 (en) * | 2013-05-30 | 2014-08-26 | Iboss, Inc. | Controlling network access based on application detection |
| US8726390B1 (en) * | 2013-05-30 | 2014-05-13 | Phantom Technologies, Inc. | Controlling network access based on application detection |
| US9461967B2 (en) | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| WO2015116973A2 (en) * | 2014-01-31 | 2015-08-06 | Corero Networks Security, Inc. | Systems and methods for dynamic adaptive machine |
| US9854001B1 (en) * | 2014-03-25 | 2017-12-26 | Amazon Technologies, Inc. | Transparent policies |
| US9680872B1 (en) | 2014-03-25 | 2017-06-13 | Amazon Technologies, Inc. | Trusted-code generated requests |
| JP6598432B2 (ja) * | 2014-06-24 | 2019-10-30 | キヤノン株式会社 | 画像処理装置、その制御方法およびプログラム |
| US9148408B1 (en) | 2014-10-06 | 2015-09-29 | Cryptzone North America, Inc. | Systems and methods for protecting network devices |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US10341364B2 (en) | 2015-02-27 | 2019-07-02 | Corero Networks Security, Inc. | Systems and methods for monitoring and mitigating network attacks |
| US9720760B2 (en) | 2015-03-10 | 2017-08-01 | Aruba Networks, Inc. | Mitigating wireless networking problems of a wireless network |
| US10219174B2 (en) | 2015-03-10 | 2019-02-26 | Hewlett Packard Enterprise Development Lp | Capacity estimation of a wireless link |
| US10123229B2 (en) * | 2015-03-10 | 2018-11-06 | Hewlett Packard Enterprise Development Lp | Sensing conditions of a wireless network |
| US9894536B2 (en) | 2015-03-10 | 2018-02-13 | Aruba Networks, Inc. | Motion-controlled device for supporting planning, deployment or operation of a wireless network |
| DE102015205670A1 (de) | 2015-03-30 | 2016-06-09 | Volkswagen Aktiengesellschaft | Angriffserkennungsverfahren, Angriffserkennungsvorrichtung und Bussystem für ein Kraftfahrzeug |
| US10516578B2 (en) * | 2015-03-31 | 2019-12-24 | Micro Focus Llc | Inferring a network topology |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9641540B2 (en) | 2015-05-19 | 2017-05-02 | Cisco Technology, Inc. | User interface driven translation, comparison, unification, and deployment of device neutral network security policies |
| US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
| US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
| US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| EP3281363A4 (en) * | 2015-06-12 | 2018-02-21 | Hewlett-Packard Enterprise Development LP | Application identification cache |
| US10853350B1 (en) * | 2015-08-27 | 2020-12-01 | Amazon Technologies, Inc. | System for associating data policies with data objects |
| WO2017086928A1 (en) * | 2015-11-17 | 2017-05-26 | Hewlett Packard Enterprise Development Lp | Handling network threats |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US9628444B1 (en) | 2016-02-08 | 2017-04-18 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US10412048B2 (en) | 2016-02-08 | 2019-09-10 | Cryptzone North America, Inc. | Protecting network devices by a firewall |
| US9560015B1 (en) * | 2016-04-12 | 2017-01-31 | Cryptzone North America, Inc. | Systems and methods for protecting network devices by a firewall |
| US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| CN108322428B (zh) * | 2017-01-18 | 2021-11-05 | 阿里巴巴集团控股有限公司 | 一种异常访问检测方法及设备 |
| US10819721B1 (en) * | 2017-02-21 | 2020-10-27 | National Technology & Engineering Solutions Of Sandia, Llc | Systems and methods for monitoring traffic on industrial control and building automation system networks |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US12095725B2 (en) * | 2017-03-22 | 2024-09-17 | Amazon Technologies, Inc. | Device credentials management |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10868836B1 (en) * | 2017-06-07 | 2020-12-15 | Amazon Technologies, Inc. | Dynamic security policy management |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US9967272B1 (en) * | 2017-12-05 | 2018-05-08 | Redberry Systems, Inc. | Real-time regular expression search engine |
| US11169845B2 (en) * | 2017-12-21 | 2021-11-09 | Ciena Corporation | Flow and application based processor scheduling for network functions virtualization applications using flow identification based on logical calculations on frame based fields |
| EP3732844A1 (en) * | 2017-12-29 | 2020-11-04 | Nokia Solutions and Networks Oy | Intelligent defense and filtration platform for network traffic |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US10943022B2 (en) * | 2018-03-05 | 2021-03-09 | Microsoft Technology Licensing, Llc | System for automatic classification and protection unified to both cloud and on-premise environments |
| US11044271B1 (en) * | 2018-03-15 | 2021-06-22 | NortonLifeLock Inc. | Automatic adaptive policy based security |
| US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11108798B2 (en) | 2018-06-06 | 2021-08-31 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| CN109309687A (zh) * | 2018-11-27 | 2019-02-05 | 杭州迪普科技股份有限公司 | 网络安全防御方法、装置及网络设备 |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| CN112333130B (zh) * | 2019-08-05 | 2023-04-07 | 阿里巴巴集团控股有限公司 | 数据处理方法、设备及存储介质 |
| US10839060B1 (en) * | 2019-08-27 | 2020-11-17 | Capital One Services, Llc | Techniques for multi-voice speech recognition commands |
| CN110572379B (zh) * | 2019-08-29 | 2020-09-18 | 深圳市网域科技技术有限公司 | 面向网络安全的可视化大数据态势感知分析系统关键技术 |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11212229B2 (en) * | 2019-10-11 | 2021-12-28 | Juniper Networks, Inc. | Employing machine learning to predict and dynamically tune static configuration parameters |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| US11477241B2 (en) * | 2019-12-30 | 2022-10-18 | Fortinet, Inc. | Selectively disabling anti-replay protection by a network security device |
| US11457021B2 (en) * | 2020-05-13 | 2022-09-27 | Fastly, Inc. | Selective rate limiting via a hybrid local and remote architecture |
| US11316823B2 (en) | 2020-08-27 | 2022-04-26 | Centripetal Networks, Inc. | Methods and systems for efficient virtualization of inline transparent computer networking devices |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11743270B2 (en) * | 2021-04-16 | 2023-08-29 | Visa International Service Association | Method, system, and computer program product for protocol parsing for network security |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Family Cites Families (61)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US679202A (en) | 1900-08-06 | 1901-07-23 | Chemischer Praeparate Von Dr Richard Sthamer Fab | Process of producing pure saponin solutions. |
| US20020004812A1 (en) | 1997-06-26 | 2002-01-10 | Tetsuro Motoyama | Method and system for diagnosis and control of machines using connectionless modes having delivery monitoring and an alternate communication mode |
| US5787253A (en) | 1996-05-28 | 1998-07-28 | The Ag Group | Apparatus and method of analyzing internet activity |
| WO1999027684A1 (en) | 1997-11-25 | 1999-06-03 | Packeteer, Inc. | Method for automatically classifying traffic in a packet communications network |
| US6591299B2 (en) | 1997-11-25 | 2003-07-08 | Packeteer, Inc. | Method for automatically classifying traffic with enhanced hierarchy in a packet communications network |
| US6219786B1 (en) | 1998-09-09 | 2001-04-17 | Surfcontrol, Inc. | Method and system for monitoring and controlling network access |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6301668B1 (en) | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US7240368B1 (en) | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
| US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US6751728B1 (en) | 1999-06-16 | 2004-06-15 | Microsoft Corporation | System and method of transmitting encrypted packets through a network access point |
| US6789116B1 (en) | 1999-06-30 | 2004-09-07 | Hi/Fn, Inc. | State processor for pattern matching in a network monitor device |
| WO2001001272A2 (en) | 1999-06-30 | 2001-01-04 | Apptitude, Inc. | Method and apparatus for monitoring traffic in a network |
| US7065657B1 (en) | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
| US6918034B1 (en) | 1999-09-29 | 2005-07-12 | Nokia, Corporation | Method and apparatus to provide encryption and authentication of a mini-packet in a multiplexed RTP payload |
| US7007301B2 (en) | 2000-06-12 | 2006-02-28 | Hewlett-Packard Development Company, L.P. | Computer architecture for an intrusion detection system |
| AU2001293080A1 (en) | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
| EP1338130B1 (en) | 2000-11-30 | 2006-11-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| US7296291B2 (en) | 2000-12-18 | 2007-11-13 | Sun Microsystems, Inc. | Controlled information flow between communities via a firewall |
| US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| US7533409B2 (en) | 2001-03-22 | 2009-05-12 | Corente, Inc. | Methods and systems for firewalling virtual private networks |
| KR100437169B1 (ko) | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| US20040015579A1 (en) | 2001-06-14 | 2004-01-22 | Geoffrey Cooper | Method and apparatus for enterprise management |
| US6947983B2 (en) | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
| US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| DE10147889A1 (de) | 2001-09-28 | 2003-04-30 | Siemens Ag | Proxy-Einheit, Verfahren zum rechnergestützten Schützen eines Applikations-Server-Programms und Anordnung mit einer Proxy-Einheit und einer Einheit zum Ausführen eines Applikations-Server-Programms |
| US7283904B2 (en) * | 2001-10-17 | 2007-10-16 | Airbiquity, Inc. | Multi-sensor fusion |
| US6801940B1 (en) * | 2002-01-10 | 2004-10-05 | Networks Associates Technology, Inc. | Application performance monitoring expert |
| US7100201B2 (en) | 2002-01-24 | 2006-08-29 | Arxceo Corporation | Undetectable firewall |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7076803B2 (en) | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US20030149887A1 (en) | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US6772345B1 (en) | 2002-02-08 | 2004-08-03 | Networks Associates Technology, Inc. | Protocol-level malware scanner |
| US7030737B2 (en) * | 2002-03-01 | 2006-04-18 | Hewlett-Packard Development Company, L.P. | Apparatus, system, and method for indicating a level of network activity |
| ATE374493T1 (de) | 2002-03-29 | 2007-10-15 | Global Dataguard Inc | Adaptive verhaltensbezogene eindringdetektion |
| US7359962B2 (en) | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
| US7778606B2 (en) | 2002-05-17 | 2010-08-17 | Network Security Technologies, Inc. | Method and system for wireless intrusion detection |
| US7277404B2 (en) | 2002-05-20 | 2007-10-02 | Airdefense, Inc. | System and method for sensing wireless LAN activity |
| US7086089B2 (en) | 2002-05-20 | 2006-08-01 | Airdefense, Inc. | Systems and methods for network security |
| US7383577B2 (en) | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
| US7322044B2 (en) | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| US7017186B2 (en) | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| AU2003261445A1 (en) | 2002-08-09 | 2004-02-25 | Netscout Systems Inc. | Intrusion detection system and network flow director method |
| US7324447B1 (en) | 2002-09-30 | 2008-01-29 | Packeteer, Inc. | Methods, apparatuses and systems facilitating concurrent classification and control of tunneled and non-tunneled network traffic |
| US7134143B2 (en) | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
| US7441267B1 (en) | 2003-03-19 | 2008-10-21 | Bbn Technologies Corp. | Method and apparatus for controlling the flow of data across a network interface |
| US7324804B2 (en) | 2003-04-21 | 2008-01-29 | Airdefense, Inc. | Systems and methods for dynamic sensor discovery and selection |
| US20040255167A1 (en) | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
| US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
| US7328451B2 (en) | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| US7526541B2 (en) | 2003-07-29 | 2009-04-28 | Enterasys Networks, Inc. | System and method for dynamic network policy management |
| US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
| US7926108B2 (en) * | 2005-11-23 | 2011-04-12 | Trend Micro Incorporated | SMTP network security processing in a transparent relay in a computer network |
| US8138923B2 (en) * | 2006-10-31 | 2012-03-20 | Neocatena Networks Inc. | RFID security system and method, including security stamp |
| KR101206542B1 (ko) * | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
| US8059533B2 (en) * | 2007-10-24 | 2011-11-15 | Cisco Technology, Inc. | Packet flow optimization (PFO) policy management in a communications network by rule name |
-
2009
- 2009-05-20 US US12/468,905 patent/US8856926B2/en not_active Expired - Fee Related
- 2009-06-17 EP EP09163021.0A patent/EP2139199B1/en not_active Not-in-force
- 2009-06-29 CN CN2009101515184A patent/CN101616041B/zh not_active Expired - Fee Related
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516602A (zh) * | 2012-06-27 | 2014-01-15 | 丛林网络公司 | 服务工程路径的反馈回路 |
| CN103516602B (zh) * | 2012-06-27 | 2018-02-02 | 丛林网络公司 | 用于传输数据的方法、网络设备以及网络系统 |
| CN104517055A (zh) * | 2013-10-01 | 2015-04-15 | 佳能株式会社 | 能够应用安全策略的图像处理装置及其控制方法 |
| CN104517055B (zh) * | 2013-10-01 | 2019-01-22 | 佳能株式会社 | 能够应用安全策略的图像处理装置及其控制方法 |
| CN104901974A (zh) * | 2015-06-26 | 2015-09-09 | 中国科学院大学 | 安全超文本传输方法 |
| CN104901974B (zh) * | 2015-06-26 | 2018-01-02 | 中国科学院大学 | 安全超文本传输方法 |
| CN109845223A (zh) * | 2016-10-07 | 2019-06-04 | 微软技术许可有限责任公司 | 使用预分类来实施网络安全策略 |
| CN109845223B (zh) * | 2016-10-07 | 2021-06-18 | 微软技术许可有限责任公司 | 使用预分类来实施网络安全策略 |
| CN112269974A (zh) * | 2020-11-09 | 2021-01-26 | 北京嘀嘀无限科技发展有限公司 | 一种数据管控的方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2139199B1 (en) | 2018-05-09 |
| EP2139199A2 (en) | 2009-12-30 |
| US8856926B2 (en) | 2014-10-07 |
| CN101616041B (zh) | 2012-05-30 |
| US20090328219A1 (en) | 2009-12-31 |
| EP2139199A3 (en) | 2014-07-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101616041B (zh) | 网络安全设备中的动态策略供应 | |
| Lima Filho et al. | Smart detection: an online approach for DoS/DDoS attack detection using machine learning | |
| CN105493450B (zh) | 动态检测网络中的业务异常的方法和系统 | |
| Dao et al. | Securing heterogeneous IoT with intelligent DDoS attack behavior learning | |
| EP2767056B1 (en) | A method and a system to detect malicious software | |
| US6816973B1 (en) | Method and system for adaptive network security using intelligent packet analysis | |
| US6301668B1 (en) | Method and system for adaptive network security using network vulnerability assessment | |
| US7315903B1 (en) | Self-configuring server and server network | |
| Abdollahi et al. | An intrusion detection system on ping of death attacks in IoT networks | |
| JP4634456B2 (ja) | ネットワーク・トラフィックのセキュリティのための方法およびシステム | |
| US20170279685A1 (en) | Adjusting anomaly detection operations based on network resources | |
| US7808897B1 (en) | Fast network security utilizing intrusion prevention systems | |
| US7594009B2 (en) | Monitoring network activity | |
| US8209759B2 (en) | Security incident manager | |
| CN101438255A (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| CN113067804B (zh) | 网络攻击的检测方法、装置、电子设备及存储介质 | |
| KR20120046891A (ko) | 네트워크 도메인간 보안정보 공유 장치 및 방법 | |
| Ramprasath et al. | Improved network monitoring using software-defined networking for DDoS detection and mitigation evaluation | |
| EP4272115A1 (en) | Device classification using machine learning models | |
| CN105051696A (zh) | 用于处理网络元数据的改进的流式处理方法及系统 | |
| US20230289631A1 (en) | Multiple granularity classification | |
| EP3292665A1 (en) | Reducing traffic overload in software defined network | |
| Neu et al. | Lightweight IPS for port scan in OpenFlow SDN networks | |
| Cherian et al. | Secure SDN–IoT framework for DDoS attack detection using deep learning and counter based approach | |
| KR101191251B1 (ko) | 3단계 동적 분류를 통한 10기가급 대용량 플로우 생성 및 제어방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |
|
| CP01 | Change in the name or title of a patent holder | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20120530 Termination date: 20190629 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |