CN101854340B - 基于访问控制信息进行的基于行为的通信剖析 - Google Patents
基于访问控制信息进行的基于行为的通信剖析 Download PDFInfo
- Publication number
- CN101854340B CN101854340B CN200910130365.5A CN200910130365A CN101854340B CN 101854340 B CN101854340 B CN 101854340B CN 200910130365 A CN200910130365 A CN 200910130365A CN 101854340 B CN101854340 B CN 101854340B
- Authority
- CN
- China
- Prior art keywords
- communication
- user
- information
- behavior pattern
- equipment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/12—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
- H04L67/125—Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks involving control of end-device applications over a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/2866—Architectures; Arrangements
- H04L67/30—Profiles
- H04L67/306—User profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/535—Tracking the activity of the user
Abstract
一种基于访问控制信息进行的基于行为的通信剖析的方法包括:接收与用户对网络进行访问相关联的用户信息、角色信息、或授权信息中的一个或多个;选择要监控的与用户信息、角色信息、或授权信息中的一个或多个相关联的通信流;监控通信流;基于与用户信息、角色信息、或授权信息中的一个或多个相关联的通信行为模式来确定关于通信流是否存在异常;以及当确定存在异常时,执行安全响应。
Description
背景技术
诸如入侵检测与防御(IDP)设备的安全设备已成为服务提供和企业网络两者中的关键部件。通过网络中部署的安全解决方案的策略常常有所减缓。安全策略通过当通信匹配的时候限定表示应被允许或应被拒绝的通信的一系列特性,来指定什么通信是威胁、恶意的、和/或攻击以及什么通信不是威胁、恶意的、和/或攻击。
发明内容
根据一个实现方式,由设备执行的方法可以包括:由设备接收与用户对网络进行访问相关联的用户信息、角色信息、或授权信息中的一个或多个;由该设备选择与用户信息、角色信息、或授权信息中的一个或多个相关联的用于监控的通信流(traffic flow);由设备监控通信流;由设备基于与用户信息、角色信息、或授权信息中的一个或多个相关联的通信行为模式(traffic behavior pattern)来确定关于通信流是否存在通信行为的异常;以及当确定存在异常时,由设备执行安全响应。
根据另一实现方式,一种网络设备可以被配置为:接收与用户的网络访问相关联的用户信息、角色信息、或授权信息中的一个或多个;选择与用户信息、角色信息、或授权信息中的一个或多个相关联的用于监控的通信流;基于用户的一个或多个之前的网络访问,来存储与用户信息、角色信息、或授权信息中的一个或多个相对应的通信行为模式;对与通信流相关联的通信流信息和与通信行为模式相关联的信息进行比较;当通信流不同于与通信行为模式相关联的信息时,确定存在通信行为的异常;以及当确定存在通信行为的异常时,执行安全响应。
根据又一实现方式,一种计算机可读介质可以具有其上存储的指令,这些指令由至少一个处理器执行。该计算机可读介质可以包括:用于接收与用户的网络访问相关联的用户信息、角色信息、或授权信息中的一个或多个的一个或多个指令;用于选择用来监控的通信流的一个或多个指令,其中,通信流与网络访问相关联;用于对网络流量进行监控的一个或多个指令;用于通过将通信流和与用户信息、角色信息、或授权信息中的一个或多个相关联的通信行为模式进行比较来确定是否存在相对于通信流的通信行为异常的一个或多个指令;以及用于当确定存在异常时执行安全响应的一个或多个指令。
附加地,或替换地,通信行为模式可以基于与用户信息、角色信息、或授权信息中的一个或多个相关联的之前监控的一个或多个通信流。
附加地,或替换地,计算机可读介质可以进一步包括用于当确定不存在异常时基于与通信流相关联的信息来更新通信行为模式历史的一个或多个指令。
根据又一个实现方式,网络设备可以包括:用于接收与对用户的许可的网络访问相关联的用户信息、角色信息、或授权信息中的一个或多个的装置;用于选择从许可的网络访问得到的通信流的装置;用于对所选择的通信流进行监控的装置;用于接收与用户信息、角色信息、或授权信息中的一个或多个相关联的通信行为模式的装置;用于将与所选择的通信流相关联的信息和通信行为模式进行比较的装置;用于基于比较来确定是否存在通信行为异常的装置;以及用于当确定存在通信行为的异常时提供安全响应的装置。
根据又一个实现方式,一种设备可以被配置为接收通信流信息;构造与和许可的网络访问相关的用户信息、角色信息、或授权信息中的一个或多个相关联的通信(traffic)剖析;基于通信剖析来对与用户信息、角色信息、或授权信息中的一个或多个相关联的通信行为模式进行更新,其中,通信行为模式包括表示非偏差的通信行为的值或值的范围;以及将更新后的通信行为模式提供给另一个设备。
附图说明
结合于此并构成说明书一部分的附图示出了本文描述的一个或多个实施例,并连同说明书一起对这些实施例加以阐述。在附图中:
图1A是示出本文描述的示例性实施例的概述的示图;
图1B是示出可以实现本文描述的方法、设备、及系统的示例性环境的示图;
图2是示出图1A和1B中描述的安全设备的示例性部件的示图;
图3是示出图1A和1B中描述的安全设备的示例性功能部件的示图;
图4A是示出图1A和1B中描述的数据库的示例性功能部件的示图;
图4B是示例性通信剖析表的示图;
图5A是示出用于基于用户信息、角色信息、和/或授权信息来检测通信行为的异常的示例性过程的流程图;
图5B是示出用于创建和/或更新通信行为模式的示例性过程的流程图;以及
图6和7是示出可以应用本文描述的实施例的示例性场景的示图。
具体实施方式
以下详细描述参照了附图。不同附图中的相同参考标号可以标识相同或类似的元件。同样,以下描述不对本发明构成限制。相反,本发明的范围由所附权利要求及其等价物来限定。
本文使用的术语“用户信息”旨在广义地解释为包括(例如)用户的名称、包括用户名称的一部分的字符串、用户标识符(例如,字符串)等。本文使用的术语“字符串”旨在广义地解释为包括(一个或多个)字母、数字、符号、或字母、数字、和/或符号的某种组合。
本文使用的术语“角色信息”旨在广义地解释为包括(例如)用户的身份、用户的角色、职位、访问等级等。用户可以具有多于一个的角色。
本文使用的术语“授权信息”旨在广义地解释为包括(例如)唯一标识一个用户的信息和/或由用户提供的用来访问网络的信息。尽管用户信息和/或角色信息可以对应于授权信息,但是授权信息可以包括除了用户信息和/或角色信息之外的信息。例如,授权信息可以包括口令信息、登录信息、授权代码、认证信息等。
本文描述的实施例提供了可以利用用户信息、角色信息、和/或授权信息来选择并监控通信流以及基于与用户信息、角色信息、和/或授权信息相关联的通信行为模式来检测偏差或异常的方法、设备、及系统。可以理解的是,典型地,不在通信流中传达或通过(例如)路由器或交换机提供用户信息、角色信息、和/或授权信息。因此,对通信流进行监控的安全设备不具有此类型的信息。因此,对通信流进行监控以及对偏差和异常进行检测的一些技术是基于源地址、目的地址、传输层协议、源端口、目的端口、及通信的内容的。在基于因特网协议的网络中,该信息对应于源(IP)地址(SIP)、目的IP地址(DIP)、传输层协议(PROT)、源端口(SPORT)、及目的端口(DPORT)(有时被称为5元组(SIP、DIP、PRO、SPORT、DPORT))。此外,在其他技术中,对通信流进行监控并对偏差和异常进行检测的安全设备基于该5元组信息以及其他信息(诸如进入接口(ingression interface)、服务类型(TOS)、服务质量(QOS)、时间戳、及通信流的字节/包数目)。
在一个实现方式中,安全设备可以接收与用户请求的网络访问和网络访问许可相关联的用户信息、角色信息、和/或授权信息。该安全设备可以对从许可的网络访问得到的与用户信息、角色信息和/或授权信息相关联的通信流进行检测和监控。下文中,该安全设备可以通过将与所监控的通信流相关联的信息与现有的通信行为模式相比较来辨认通信行为的偏差或异常。在一个实现方式中,现有的通信行为模式可以对应于与用户信息、角色信息、和/或授权信息相关联的通信行为的历史。在其他实现方式中,现有的通信行为模式可以对应于网络管理员创建的信息并且被认为是正常的或非偏差。当该比较显示存在偏差或异常时,然后安全设备可以对辨认出的偏差或异常提供安全响应(例如,关闭会话、丢弃包等)。安全响应可以是用户配置的。
图1A是示出本文描述的示例性实施例的概述的示图。通过实例的方式,用户105可以利用用户设备110对网络进行访问。用户105可以将用户信息、角色信息和/或授权信息115提供给设备120。用户105被授权并被许可访问网络。设备120可以与安全设备125共享用户信息、角色信息、和/或授权信息130。设备120还可以向安全设备125提供(例如)源网络地址信息。在其他实现方式中,除了源网络地址信息之外,或者替代源网络地址信息,设备120可以向安全设备125提供其他信息(例如,源端口、目的网络地址等)。
用户105可以对资源140进行访问。安全设备125可以利用与用户信息、角色信息、和/或授权信息130相关联的源网络地址信息来选择通信135作为给监控器145的通信流。
数据库150可以存储对应于用户信息、角色信息、和/或授权信息的通信行为模式。安全设备125可以将监控的通信流信息发送155至数据库150。数据库150可以利用接收到的通信流对通信行为模式进行更新160并将更新后的通信行为模式发送165至安全设备125。安全设备125可以对与通信135相关联的通信行为和更新后的通信行为模式进行比较170,通信行为和更新后的通信行为模式均对应于用户信息、角色信息、和/或权限信息130。基于该比较,安全设备125可以确定是否存在异常。然后,安全设备125可以在其确定存在与通信行为模式的异常或偏差时采取适当措施(例如,安全响应)。另一方面,如果安全设备确定不存在异常或偏差,则安全设备125可以继续对通信135进行监控。
作为实例,假设具有管理员角色的用户105正常使用文件传输协议(FTP)。然而,在该会话(即,通信135)中,处于管理员角色的用户105开始上网。在这样的实例中,安全设备125可以通过将通信行为模式和与通信135相关联的通信行为进行比较来辨认其作为异常。然后,安全设备125可以采取适当的安全措施。
虽然已广义地描述了这些实施例,但还是存在变化的。因此,以下提供这些实施例的详细描述。
示例性环境
图1B是示出了其中可以实现本文描述的方法、设备、及系统的示例性环境100的示图。如图1B所示,环境100可以包括用户105和可通信地连接至网络115的用户设备110。网络115可以包括访问设备120、安全设备125、资源140-1和140-2(通称为“资源140”)、及数据库150。图1B中描述的用户105、用户设备110、访问设备120、安全设备125、资源140、及数据库150可以分别对应于之前参照图1A描述和示出的用户105、用户设备110、设备120、安全设备125、资源140、及数据库150。
环境100中的设备数目和配置是示例性的且为了简化而提供。实际上,相比于图1中所示的那些设备,环境100可以包括更多、更少、不同的、和/或不同布置的设备。此外,被描述为由一个特定设备执行的一些功能可以由一个不同的设备或多个设备的组合来执行。例如,在其他实施例中,与数据库150相关联的功能可以结合到安全设备125中。环境100可以包括多个设备中的有线连接和/或无线连接。
用户设备110可以包括具有与其他设备、系统、网络等进行通信的能力的设备。例如,用户设备110可以对应于计算机(例如,膝上型计算机、桌上型计算机、手持计算机)、个人数字助理、无线电话、网络浏览设备、和其他类型的通信设备。
网络115可以包括任意类型的一个或多个网络。例如,网络115可以包括私有网络、公共网络、局域网络(LAN)、城域网(MAN)、广域网(WAN)、因特网、企业内部互联网、电话网络(例如,公共交换电话网络(PSTN)或蜂窝网络)、卫星网络、计算机网络、和/或多个网络的组合。
访问设备120可以包括具有与其他设备、系统、网络等进行通信的能力的设备。例如,访问设备120可以包括:应用程序授权服务器、策略服务器、执行点、和/或某种其他类型的访问控制设备或可以处理和/或转发网络通信的设备(例如,交换机、网关、桥接器)。访问设备120可以被实现在第2层、第3层、和/或更高层处。访问设备120可以管理对网络115的访问,包括内部人员威胁、宾客用户访问、遵守规章制度、离岸(off-shorting)和/或外包。访问设备120可以获得用户信息、角色信息、和/或授权信息、以及其他类型的信息(诸如,例如用户设备安全状态信息和/或定位数据)。访问设备120可以限定网络115内分布的动态访问控制策略。在一些实现方式中,访问设备120可以提供预授权评估、角色映射、及资源控制。访问设备120可以支持多种标准,诸如,电子和电气工程师协会(IEEE 802.1X)、远程认证拨号用户服务(RADIUS)、互联网协议安全(IPsec)等等。
安全设备125可以包括具有与其他设备、系统、网络等进行通信的能力的设备。例如,安全设备125可以包括安全设备(例如,IDP设备)。安全设备125还可以起着处理和/或转发网络通信的某些其他类型的设备(例如,路由器、交换机等)的作用。安全设备125可以在联机模式下和/或被动模式下工作。安全设备125可以监控和/或收集与网络115中其他设备(例如,用户设备110、访问设备120、资源140)有关的网络和应用程序数据。
安全设备125可以提供各种安全措施,诸如,例如状态特征检测(即,基于特征的检测)、协议异常检测(例如,违反公开的请求注解(RFC)的协议使用)、通信异常检测(例如,启发式规则可以检测暗示了侦查或攻击的通信方式)、对拒绝服务(DOS)攻击的响应、因特网协议(IP)欺骗检测、和/或第2层攻击检测。安全设备125可以支持对检测到的攻击或威胁的各种主动响应,诸如,例如丢弃包、关闭连接、关闭客户机、关闭服务器、关闭客户机和服务器两者等,以及支持被动响应,诸如,例如登录信息和传输控制协议(TCP)重置。
安全设备125可以提供其他类型的服务,诸如,例如基于角色的管理和/或基于域的管理(例如,允许装置、策略、报告等的逻辑分离)。安全设备125还可以提供登录(例如,收集网络通信信息、通信方式信息等)、以及报告/通知(例如,提供实时报告)。在一个实施例中,安全设备125可以包括剖析器。该剖析器可以捕捉与通信流相关联的精确和精细的细节。以下将更详细地描述示例性的剖析器。
资源140可以包括提供服务、数据、和/或某种其他类型资源(asset)的设备。例如,资源140可以对应于网络服务器、邮件服务器、数据仓库等。
数据库150可以存储和管理通信剖析信息和通信行为模式信息。数据库150可以基于从安全设备125接收到的通信流信息分析并创建通信剖析。数据库150还可以利用通信剖析信息对通信行为模式信息进行更新。
尽管安全设备125可以被实现为不同类型的设备,但在以下段落中,将就IDP设备而言来描述安全设备125。
示例性设备架构
图2是示出安全设备125的示例性部件的示图。如所示,安全设备115可以包括(例如)总线210、处理器220、存储器230、存储设备240、输入/输出250、及通信接口260。
总线210可以允许安全设备125的多个其他部件之间的通信。例如,总线210可以包括系统总线、地址总线、数据总线、和/或控制总线。总线210还可以包括总线驱动器、总线判优器、总线接口、和/或时钟。
处理器220可以解释和/或执行指令和/或数据。例如,处理器220可以包括处理器、微处理器、数据处理器、协处理器、网络处理器、专用集成电路(ASIC)、控制器、可编程逻辑设备、现场可编程门阵列(FPGA)、或者可以解释和/或执行指令的某种其他处理逻辑。
存储器230可以存储数据和/或指令。例如,存储器230可以包括随机存取存储器(RAM)、动态随机存取存储器(DRAM)、静态随机存取存储器(SRAM)、同步动态随机存取存储器(SDRAM)、只读存储器(ROM)、可编程只读存储器(PROM)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、其他类型的动态或静态存储器、高速缓存器、和/或闪存。
存储设备240可以存储数据、指令、和/或应用程序。例如,存储设备240可以包括连同相应驱动器的硬盘(例如,磁盘、光盘、磁光盘等)、压缩盘(CD)、数字通用光盘(DVD)、软盘、盒式磁盘、磁带、闪存驱动器、或其他类型的计算机可读介质。术语“计算机可读介质”旨在广义地解释为包括(例如)存储器、存储设备等。计算机可读介质可以以集中方式或分布方式实现在多个设备或单一的设备中。
输入/输出250可以允许向安全设备115输入或从安全设备输出。例如,输入/输出250可以包括键盘、键区、鼠标、按钮、开关、麦克风、语音识别逻辑、笔、显示器、端口等用来允许输入。附加地,或替换地,输入/输出250可以包括显示器、扬声器、一个或多个发光二极管(LED)、端口等以允许输出。
通信接口260可以使得安全设备125能够与其他设备、网络、其他系统等进行通信。例如,通信接口260可以包括无线接口和/或有线接口,诸如,以太网接口、光学接口等。通信接口260可以包括收发机。
安全设备125可以基于用户信息、角色信息、和/或授权信息来执行与限定并分析通信行为模式有关的操作和/或处理,并且可以执行与检测和这些通信行为模式相关联的偏差和异常有关的操作和/或处理。根据一个示例性实现方式,安全设备125可以响应于处理器220执行包括在计算机可读介质中的指令序列来执行这些操作和/或处理。例如,可以将软件指令从另一计算机可读介质(诸如存储设备240)、或经由通信接口260从另一设备读取到存储器230中。包含在存储器230中的软件指令可以使处理器220执行稍后将描述的处理。替换地,可以使用硬线电路来替代软件指令或与软件指令结合,以实现本文描述的处理。因此,本文描述的实现方式不局限于硬件电路和软件的任何特定的组合。
尽管图2示出了安全设备125的示例性部件,但是在其他实现方式中,相比于本文描述的和图2示出的那些部件,安全设备125可以包括附加的、更少的、不同的、或不同布置的部件。附加地,或替换地,描述为由安全设备125的一个特定部件执行的一个或多个操作可以(除了该特定部件之外,或替代特定该特定部件)由一个或多个其他部件来执行。附加地,可以理解的是,环境100中的其他设备(例如,用户设备110、访问设备120、资源140、和/或数据库150)可以包括图2中示出的这些示例性部件。
图3是安全设备125的示例性功能部件的示图。如图3所示,安全设备125可以包括检测引擎305、数据库310、及剖析器315。图3所示的功能部件可以由硬件(例如,处理器220)或硬件和软件的组合来实现。尽管图3中示出了部件的特定数目和安排,但是在其他实现方式中,相比于图3所示的那些部件,安全设备125可以包括更少的、附加的、不同的、或不同布置的部件。此外,可以理解的是,可以在环境100中的其他设备(例如,用户设备110、访问设备120、资源140、和/或数据库150)中实现这些功能部件。
检测引擎305可以接收包形式的网络通信。尽管本文的描述中使用了包,但是本文描述的实现方式可应用于包、非包、单元、数据报、位、字节等任意形式的数据单元。检测引擎305可以执行各种检测方法,诸如,例如识别攻击、威胁、和/或恶意通信所需的方式匹配、特征匹配、状态方式匹配、和/或基于异常的检测(例如,协议、通信)。
数据库310可以存储与安全设备125的操作有关的各种类型的信息。例如,数据库310可以存储用于识别异常、威胁、攻击、和/或恶意通信的特征和/或启发式算法。数据库310可以存储协议解码信息和策略。
剖析器315(或检测引擎305)可以检测、监控、和分析通信方式。例如,剖析器315可以检测并监控经过网络115的通信。剖析器315(或检测引擎305)还可以对通信行为模式和通信流信息进行比较以确定是否存在通信行为的异常。如本文所述,在一个实现方式中,剖析器315可以检索并接收来自数据库150的通信行为模式。当确定存在异常时,安全设备125可以采取适当的安全措施。
图4A是示出图1A和1B描述的数据库的示例性功能部件的示图。图4A所示的功能部件可以由硬件(例如,处理器220)或硬件和软件的组合来实现。尽管图4A中示出了部件的特定数目和布置,但是在其他实现方式中,相比于图4A中示出的那些部件,数据库150可以包括更少的、附加的、不同的、或不同布置的部件。此外,可以理解的是,可以在环境100中的其他设备(例如,用户设备110、访问设备120、安全设备125、和/或资源140)中实现这些功能部件。
网络通信分析器405可以基于监控的与特定的用户信息、角色信息、和/或授权信息相关联的通信创建通信剖析。在一个实现方式中,安全设备125可以提供具有监控的通信流信息的数据库150(例如,网络通信分析器405)。在其他实现方式中,网络通信分析器405可以从安全设备125检索通信流信息。图4B是示例性通信剖析表的示图。
如图4B所示,通信剖析表415可以包括用户信息字段420、角色信息字段425、授权信息字段430、及通信行为模式信息字段435。通信剖析表415的信息字段可以根据个体要素(individual basis)、组要素(group basis)、域要素(domain basis)等来布置。
用户信息字段420可以包括用户信息。通过实例的方式,用户信息字段420可以包括用户的名称(例如,Kevin Smith)、标识用户的字符串(例如,TWT12598)、或某种其他类型的信息(用户名称=Visitor)。
角色信息字段425可以包括角色信息。通过实例的方式,角色信息字段425可以包括用户身份(例如,职工)、职位(例如,管理员)、或访问等级(例如,宾客)。
授权信息字段430可以包括授权信息。通过实例的方式,授权信息字段430可以包括口令信息、登录信息、授权代码、认证信息等。
通信行为模式信息字段435可以包括典型地在通信流中传达的源地址、目的地址、源端口、目的端口、及传输协议信息(例如,5元组信息(SIP、DIP、PRO、SPORT、DPORT))和内容信息,以及其他信息(诸如,例如进入接口、TOS、QOS、时间戳、及通信流的字节/包数目)。该类型的信息可以用于创建可以与用户信息、角色信息、和/或授权信息相关联的通信行为模式。例如,通信流的字节/包数目可以用于确定(formulate)每个会话使用的通信的量或在一段时间上使用的通信的量。在另一实例中,该类型的服务信息可以用于确定(formulate)由用户信息、角色信息、及关联的授权信息正常使用或访问的服务历史。在又一实例中,源地址和/或目的地址可以用于确定(formulate)与用户信息、角色信息、和/或对应的授权信息正常用来访问网络的用户设备相关的历史,或与用户信息、角色信息、和/或对应的授权信息用来正常访问或使用的目的设备相关的历史。因此,总之,安全设备125(例如,剖析器315)捕捉的通信信息可以用于构造通信行为模式并使该通信行为模式与用户信息、角色信息、和/或授权信息相关联。
尽管图4B示出了示例性通信剖析表415,但是在其他实现方式中,相比于本文描述的和图4A所示的,通信剖析器415可以包括附加的、不同的、或更少的信息字段。
还参照图4A,网络通信分析器405可以基于与特定用户信息、角色信息、和/或授权信息相关联的通信剖析信息来创建通信行为模式。网络通信分析器405可以将创建的通信行为模式存储在数据库410中。网络通信分析器405可以利用各种技术来创建通信行为模式,各种技术诸如(例如)与通信流信息(诸如,例如内容信息、源地址、源端口、目的地址、目的端口、传输协议(例如,5元组信息)、进入接口、TOS、QOS、时间戳、以及与通信流相关联的字节/包数目)有关的统计分析、平均等。需要建立和/或创建通信行为模式的会话数目可以是用户配置的。通信行为模式表可以对应于通信剖析表415,然而,通信行为模式表可以包括与通信行为模式信息435(代表正常通信方式行为)相关联的值或值的范围。
在替换的实现方式中,通信行为模式可以由(例如)管理员或某个其他网络人员来创建。例如,管理员可以确定被认为是正常通信行为或被认为是代表非偏差通信行为的值或值的范围,并创建通信行为模式表。管理员可以使通信行为模式与一个特定用户、用户组、角色(多个角色)、和/或授权信息相关联。在任一实现方式中,通信行为模式可以等于可用于检测异常的通信行为的正常通信行为。可以理解的是,本文使用的术语“通信行为模式”可以对应于由数据库150(例如,网络通信分析器405)所创建的通信行为模式、由(例如)网络管理员所创建的通信行为模式、和/或两者的组合。
一旦创建了通信行为模式,网络通信分析器405可以利用随后的与特定用户信息、角色信息、和/或授权信息相关联的会话(例如,监控的通信流)来更新通信行为模式。例如,网络通信分析器405可以基于监控的通信流来创建通信剖析。然后,网络通信分析器405可以基于通信剖析来更新通信行为模式。
示例性过程
如本文描述的,安全设备125可以使用用户信息、角色信息、和/或授权信息来选择并监控通信流,并基于与用户信息、角色信息、和/或授权信息相关联的通信行为模式来检测偏差或异常。可以认识到,尽管本说明书提供了用户信息、角色信息、和/或授权信息可以由一个设备(例如,设备120或访问设备120)获得并被转发到安全设备125,但是在其他实现方式中,该功能性可以在单一的设备中实现。即,安全设备125可以获得用户信息、角色信息、和/或授权信息。
图5A是示出了用于选择和监控通信流以及基于与用户信息、角色信息、和/或授权信息相关联的通信行为模式来检测偏差或异常的示例性过程500的流程图。过程500可以由安全设备125中的硬件(例如,处理器220和/或某种其他类型的逻辑)、或硬件和软件的组合来执行。在另一实现方式中,与过程500相关联的一个或多个操作可以由另一设备结合安全设备125一起执行。将结合其他附图一起描述过程500。为了进行讨论,将假设数据库150中存在通信行为模式。这形成了对比:其中,数据库150的初始状态要求通信行为模式被创建而不是(versus)被更新。
过程500可以从接收用户信息、角色信息、和/或授权信息开始(框505)。例如,如图1B所示,用户105可能打算访问网络115。可以在访问被许可之前要求用户105将信息提供给访问设备120。该信息可以包括用户信息、角色信息、和/或授权信息。访问设备120还可以基于与用户设备110的通信来获得其他类型的信息,诸如,例如源网络地址、源端口、目的网络地址、目的端口、协议(例如,传输等级),以及其他信息,诸如,例如进入接口、服务类型(TOS)、服务质量(QOS)、时间戳、通信流的字节/包数目。为了进行讨论,假设访问设备120许可用户105访问网络115。
返回到图5A,用户信息、角色信息、和/或授权信息可以被转发给安全设备(框510)。访问设备120可以将接收到的用户信息、角色信息、和/或授权信息转发给安全设备125。安全设备125可以将用户信息、角色信息、和/或授权信息存储在数据库310的通信行为表400中。访问设备120可以将其他信息(例如,源网络地址、源端口等)转发给安全设备125。安全设备125还可以将该信息存储在通信行为表400中。
可以监控基于用户信息、角色信息、和/或授权信息的网络通信(框515)。安全设备125(例如,剖析器315)可以基于用户信息、角色信息、和/或授权信息来检测、选择、和/或监控来自用户105的通信。例如,如图1A所示,安全设备125可以监控与用户105和用户设备110相关联的通信135。在一个实现方式中,安全设备125可以基于由访问设备120提供的用户信息、角色信息、和/或授权信息、和/或源网络地址、源端口等识别哪个通信属于用户105。附加地,或替换地,安全设备125可以利用包含在通信135中的信息来使用户信息、角色信息、和/或授权信息与通信135相关联。
可以提供监控的网络通信流来对通信行为模式进行更新(框520)。安全设备125可以将监控的通信流提供给数据库150。监控的通信流可以包括通信流信息以及用户信息、角色信息、和/或授权信息。在一个实现方式中,安全设备125可以将监控的通信流传送到数据库150。在其他实现方式中,数据库150可以检索监控的通信流。
可以获得更新后的通信行为模式(框525)。安全设备125可以从数据库150获得更新后的通信行为模式。更新后的通信行为模式可以包括代表与用户信息、角色信息、和/或授权信息相关联的正常通信行为的信息。在一个实现方式中,安全设备125可以从数据库150检索更新后的通信行为模式。在其他实现方式中,数据库150可以将更新后的通信行为模式传送到安全设备125。
可以确定通信行为模式和通信行为(即,对应于当前会话)之间存在的异常。例如,剖析器315可以对通信行为模式和对应于当前会话的通信行为进行比较以确定是否存在通信行为异常。
在一些实现方式中,剖析器315可以在进行通信行为模式和对应于当前会话的通信行为的比较之前,基于对应于当前会话的通信行为,来创建通信行为剖析。在其他实现方式中,剖析器315可以在不对监控的通信流进行进一步处理的情况下执行比较。
剖析器315可以基于该比较检测异常。即,该比较可以揭示与监控的通信流相关联的通信行为偏离了该特定用户信息、角色信息、和/或授权信息的通信行为模式所代表的“正常”行为。通过实例的方式,异常可以对应于用户105从不同的源地址访问网络115、用户105使用不同的服务、用户105超过了上传和/或下载的字节数目等。
如图5A所示,如果确定存在异常(框530-是),则安全设备125可以执行一个或多个适当的安全措施(框535)。该安全措施(多个安全措施)可以是用户配置的。例如,安全设备125可以查阅数据库310以识别适当的安全措施。如之前提到的,安全响应可以包括关闭该会话、丢弃包、登录信息、关闭客户机、关闭服务器、关闭客户机和服务器两者等。在一个实现方式中,可以基于用户信息、角色信息、和/或授权信息来映射一个或多个安全措施。即,网络115的安全策略可以被映射到用户信息、角色信息、和/或授权信息。附加地,或替换地,网络115的安全策略可以映射到与监控的通信流相关联的源地址、源端口等。
另一方面,如果确定不存在异常(框530-否),则安全设备125可以继续监控网络通信流(框540)。即,安全设备125可以继续监控与当前会话相关联的网络通信流。
尽管图5A示出了示例性的过程500,但是在其他实现方式中,可以执行更少的、附加的、或不同的操作。
图5B是示出用于创建和/或更新通信行为模式的示例性过程550的流程图。过程550可以由硬件(例如,处理器220和/或某种其他类型逻辑)、或数据库150中的软件和硬件的组合来执行。在另一实现方式中,与过程550相关联的一个或多个操作可以由另一设备(例如,安全设备125)结合数据库150一起执行。以下结合其他附图一起来描述过程550。
过程550可以从获得网络通信流信息开始(框555)。数据库150可以获得监控的通信流信息。监控的通信流信息可以包括与通信135相关联的信息、以及用户信息、角色信息、和/或授权信息。在一个实现方式中,数据库150可以从安全设备125检索监控的通信流信息。在其他实现方式中,安全设备125可以将监控的通信流信息传送到数据库150。
可以创建通信流剖析(框560)。数据库150(例如,网络通信分析器405)可以基于监控的通信流信息来创建通信剖析(例如,通信剖析表)。例如,网络通信分析器405可以对监控的通信流信息进行分析以创建通信剖析。
可以确定是否存在通信行为模式(框565)。例如,网络通信分析器405可以查阅数据库410以确定是否存在与用户、角色、和/或授权相关的通信行为模式。实际上,可以在用户配置的时间段(例如,一天、一周、一月等)内创建通信行为模式。然而,网络通信分析器405认为足以创建通信行为模式的会话数目或该网络通信分析器认为存在通信行为模式的会话数目可以是用户配置的参数。可以理解的是,如之前描述的,通信行为模式可以由(例如)网络管理员来创建。在该实例中,可以省略框565。
如果确定不存在通信行为模式(框565-否),则网络通信分析器405可以基于通信剖析来创建通信行为模式(框570)。通信行为模式可以与用户信息、角色信息、和/或授权信息相关联。依赖于会话数目并对应于通信行为,网络通信分析器405可以利用各种技术来创建通信行为模式,诸如,例如统计分析、平均等。通信行为模式可以包括与代表或表示正常通信行为的通信流相关的值、值的范围、参数等。
如果确定存在通信行为模式(框565-是),则网络通信分析器405可以基于通信剖析来更新通信行为模式(框575)。例如,网络通信分析器405可以利用与通信剖析相关联的信息来更新与通信流相关的值、值的范围、参数等。
可以提供更新后的通信行为模式(框580)。数据库150(例如,网络通信分析器405)可以将更新后的通信行为模式传送给安全设备125。在其他实现方式中,安全设备125可从数据库410检索更新后的通信行为模式(例如,更新后的通信行为模式表)。
尽管图5B示出了示例性过程550,但是在其他实现方式中,可以执行更少的、附加的、或不同的操作。
实例
图6和7是示出了检测、选择、和监控通信流并基于与用户信息、角色信息、和/或授权信息相关联的通信行为模式检测偏差或异常的实例的示图。基于检测到的偏差或异常,安全设备125可以提供安全保护的高精细度(finer granularity)。
例如,如图6所示,用户105-1可以具有管理员的角色,用户105-2可以具有开发商的角色,以及用户105-3可以具有职员的角色。假设多个用户105在不同时间访问资源140-1或140-2。此外,假设用户设备110每次使用(或被分配有)同样的源地址(例如,同样的IP地址)。如所示,每个用户105可以将用户信息、角色信息、和/或授权信息提供给访问设备120。访问设备120可以将接收到的用户信息、角色信息、和/或授权信息转发给安全设备125。访问设备120还可以将同样的源地址转发给安全设备125。如之前描述的,安全设备125可以检测、选择、和监控通信并确定是否存在异常。不同于可以将通信看作来自于同一源(即,源地址)并可以要求更深等级的通信检查(例如,5元组等级)的现有技术,由于使用了用户信息、角色信息、和/或授权信息,安全设备125可以提供与通信有关的安全的高精细度。因此,安全设备125可以响应于检测到的可以存在于这种场景中的通信行为的异常或偏差来提供适当的安全措施。
在另一实例中,如图7所示,单一的用户105可以在不同时间在不同的用户设备110(即,用户设备110-1、110-2、及110-3)上利用不同的角色信息(例如,管理员、开发商、及职员)对资源140-1或140-2进行访问。即,用户105可以具有三个不同的角色。用户设备110-1、110-2、及110-3可以使用(或被分配有)不同的源地址(例如,IP地址1、IP地址2、及IP地址3)。访问设备120可将接收到的用户信息、角色信息、和/或授权信息转发给安全设备125。访问设备120还可以转发不同的源地址。如之前描述的,安全设备125可以检测、选择、和监控通信并确定是否存在异常。不同于现有技术(由于多个源地址不同,可以将单独的通信看作来自于不同的源,并可以相应地应用不同的安全策略),由于使用了用户信息、角色信息、和/或授权信息,安全设备125可以提供与通信有关的安全的高精细度。因此,安全设备125可以响应于检测到的可以存在于这种场景中的通信行为的异常或偏差来提供适当的安全措施。
结论
前述的实现方式描述提供了示例性的说明,但不旨在穷尽或将这些实现方式限制为所公开的精确形式。鉴于上述教导各种改变和变化是可能的,或可以通过实践这些教导而获得各种改变和变化。例如,安全设备125和数据库150可以实现在单一的设备上。附加地,或替换地,安全设备125可以将通信行为模式存储在数据库310中。附加地,或替换地,一旦创建了通信行为模式,则可以不基于通信剖析来进行更新。例如,安全设备125可以对监控的通信流与数据库310中存储的通信行为模式进行比较,而不更新通信行为模式。附加地,或替换地,除了通信剖析信息之外,或替代通信剖析信息,对通信行为模式的更新可以由(例如)网络管理员来执行。附加地、或替换地,可以只是在安全设备125确定与监控的通信流相关联的通信行为表示正常或非异常的通信行为之后,利用监控的通信流来更新通信行为模式。在该实现方式中,在作出该确定之前,数据库150可以不利用监控的通信流来更新通信行为模式。
附加地,尽管已描述了关于图5A和图5B中示出的过程的一系列框,但是在其他实现方式中框的顺序可以改变。此外,可以并行地执行非依赖性的多个框。
此外,已经描述了作为执行一个或多个功能的“逻辑”或“部件”实现的特定方面。该逻辑或部件可以包括硬件(诸如,处理器、微处理器、ASIC、或FPGA)或硬件和软件的组合(诸如,执行存储在计算机可读介质中的指令的处理器/微处理器)。
显而易见的是,本文描述的多个方面可以按照附图中示出的实现方式中的软件、固件、及硬件的许多不同形式来实现。用来实现这些方面的实际的软件代码或专用控制硬件不对这些实施例构成限制。因此,没有参照特定的软件代码来描述这些方面的操作和行为——其被理解为软件和控制硬件可以被设计为实现基于本文描述的这些方面。
本申请通篇使用了术语“可以”,该术语旨在被解释为(例如)“具有可能性”、“配置为”、或者“能够”,而不是强制的意思(例如,“必须”)。术语“一个(a)”、“一个(an)”、“该(the)”旨在被解释为包括一项或多项。例如,处理器302可以包括一个或多个处理器。当旨在仅表示一项时,使用术语“一个(one)”或类似语言。此外,除非以其他方式明确表述,否则短语“基于(based on)”旨在被解释为“至少部分基于”。术语“和/或”旨在被解释为包括所列出关联的表项中的一项或多项中的任意或全部的组合。
尽管在权利要求中陈述了和/或在说明书中公开了多个特征的特定组合,但是这些组合不旨在对本发明的公开范围构成限制。实际上,可以按照并非特别在权利要求中陈述的和/或说明书中公开的多种方式来组合这些特征中的多个特征。
除非明确描述,本申请中使用的元件、框、或指令均不应当被解释为对于本文描述的实现方式来说是关键的或本质的。
Claims (14)
1.一种由基于访问控制信息进行基于行为的通信剖析的设备执行的方法,所述方法包括:
由所述设备确定多个通信行为模式,所述多个通信行为模式与关联于用户的相应的多个用户角色相关联,
由所述设备监控网络上的通信流;
所述通信流的所述监控包括:
确定所述多个用户角色中与所述通信流相关联的用户角色,
基于所确定的用户角色来识别所述多个通信行为模式中的一个通信行为模式,以及
识别与所述通信流相关联的通信行为;
由所述设备对与所述通信流相关联的所述通信行为和所述通信行为模式进行比较以形成比较结果;
由所述设备基于所述比较结果来确定是否存在与所述通信流相关联的所述通信行为的异常;
由所述设备在确定存在所述异常时,执行安全响应;以及
当不存在所述异常时,基于检测所述通信流来更新所述通信行为模式,当存在所述异常时,不基于检测所述通信流来更新所述通信行为模式。
2.根据权利要求1所述的方法,其中确定所述多个通信行为模式包括:
由所述设备接收来自不同于所述设备的另一个设备的所述多个通信行为模式中的一个或多个通信行为模式。
3.根据权利要求1所述的方法,其中确定所述多个通信行为模式包括:
识别与所述用户相关联的信息;以及
基于与所述用户相关联的所述信息确定所述多个通信行为模式。
4.根据权利要求3所述的方法,其中所接收的与所述用户相关联的信息包括与以下各项中的至少一个相关联的数据:
与所述用户相关联的标识符;
与所述用户相关联的身份,
与所述用户相关联的职位,
与所述用户相关联的用户访问等级,
与所述用户相关联的口令,
与所述用户相关联的登录数据,
与所述用户相关联的授权代码,或者
与所述用户相关联的认证信息。
5.根据权利要求3所述的方法,其中识别所述信息包括:
由所述设备接收来自以下设备中的至少一个设备的所述信息:
被所述用户利用来访问所述网络的用户设备,或者
管理所述用户对所述网络的访问的另一个设备。
6.根据权利要求1所述的方法,进一步包括:
存储安全策略;以及
其中所述安全响应的所述执行进一步包括:
基于所述异常选择多个安全策略中的一个安全策略;以及
基于所述多个安全策略中的所选择的一个安全策略来执行安全响应。
7.根据权利要求1所述的方法,其中识别所述通信行为模式进一步包括:
监控与所述用户相关联的一个或多个其他通信流;以及
进一步基于所述一个或多个其他通信流的监控来识别所述通信行为模式。
8.一种基于访问控制信息进行基于行为的通信剖析的网络设备,所述网络设备包括:
用于确定多个通信行为模式的装置,所述多个通信行为模式与关联于用户的相应的多个用户角色相关联;
用于从所述多个用户角色中确定与通信流相关联的用户角色的装置;
用于基于所确定的用户角色来识别所述多个通信行为模式中的与所述通信流相关联的一个通信行为模式的装置;
用于将与所述通信流相关联的通信流信息和所识别的通信行为模式进行比较的装置;
用于基于比较所述通信流信息和所识别的通信行为模式来检测是否存在与所述通信流相关联的通信行为的异常的装置;
用于在检测到存在所述异常时执行安全响应的装置;以及
用于在检测到不存在所述异常时基于检测所述通信流来更新所述通信行为模式的装置,
其中所述网络设备在检测到存在所述异常时不会基于检测所述通信流来更新所述通信行为模式。
9.根据权利要求8所述的网络设备,其中所述网络设备进一步包括:
用于接收来自另一个设备的所述多个通信行为模式的装置。
10.根据权利要求8所述的网络设备,其中所述网络设备包括入侵、检测、和防御设备。
11.根据权利要求8所述的网络设备,其中所述通信流信息包括与以下各项中的一个或多个相关联的数据:
与所述通信流相关联的源地址,
与所述通信流相关联的源端口,
与所述通信流相关联的目的地址,
与所述通信流相关联的目的端口,
与所述通信流相关联的服务类型,
与所述通信流相关联的服务质量,
与所述通信流相关联的时间戳信息,或者
与所述通信流相关联的字节或包的数目。
12.根据权利要求8所述的网络设备,其中所述网络设备进一步包括:
用于监控所述通信流的装置;以及
用于基于监控所述通信流来获得所述通信流信息的装置。
13.根据权利要求8所述的网络设备,其中所述网络设备进一步包括:
用于接收与所述用户的网络访问相关联的源地址或源端口的装置,以及,
用于基于所述源地址或所述源端口来从多个通信流中选择所述通信流的装置。
14.根据权利要求8所述的网络设备,其中所述网络设备进一步包括:
用于监控与所述用户相关联的一个或多个其他通信流的装置,所述一个或多个其他通信流不同于所述通信流;以及
进一步基于所述一个或多个其他通信流的监控来确定所述通信行为模式的装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910130365.5A CN101854340B (zh) | 2009-04-03 | 2009-04-03 | 基于访问控制信息进行的基于行为的通信剖析 |
| US12/476,567 US8621615B2 (en) | 2009-04-03 | 2009-06-02 | Behavior-based traffic profiling based on access control information |
| US14/019,101 US8955119B2 (en) | 2009-04-03 | 2013-09-05 | Behavior-based traffic profiling based on access control information |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN200910130365.5A CN101854340B (zh) | 2009-04-03 | 2009-04-03 | 基于访问控制信息进行的基于行为的通信剖析 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101854340A CN101854340A (zh) | 2010-10-06 |
| CN101854340B true CN101854340B (zh) | 2015-04-01 |
Family
ID=42805612
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910130365.5A Active CN101854340B (zh) | 2009-04-03 | 2009-04-03 | 基于访问控制信息进行的基于行为的通信剖析 |
Country Status (2)
| Country | Link |
|---|---|
| US (2) | US8621615B2 (zh) |
| CN (1) | CN101854340B (zh) |
Families Citing this family (155)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU2003209194A1 (en) | 2002-01-08 | 2003-07-24 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US8468126B2 (en) | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
| US7917468B2 (en) | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US7769395B2 (en) | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| EP2134057B1 (en) * | 2008-06-12 | 2013-05-01 | Alcatel Lucent | Method for protecting a packet-based network from attacks, as well as security border node |
| US8787947B2 (en) | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
| US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
| US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
| US8165019B2 (en) * | 2009-07-14 | 2012-04-24 | At&T Intellectual Property I, L.P. | Indirect measurement methodology to infer routing changes using statistics of flow arrival processes |
| US20110016206A1 (en) * | 2009-07-15 | 2011-01-20 | Muralidharan Sampath Kodialam | Systems and methods for creating user interest profiles |
| CN102236565A (zh) * | 2010-04-30 | 2011-11-09 | 国际商业机器公司 | 用于计算机应用的协作安装的方法和系统 |
| EP3651028A1 (en) | 2010-07-26 | 2020-05-13 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| US8903954B2 (en) | 2010-11-22 | 2014-12-02 | Seven Networks, Inc. | Optimization of resource polling intervals to satisfy mobile device requests |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| CA2798523C (en) | 2010-11-22 | 2015-02-24 | Seven Networks, Inc. | Aligning data transfer to optimize connections established for transmission over a wireless network |
| CN108156265B (zh) | 2010-11-22 | 2019-03-26 | 杭州硕文软件有限公司 | 一种应用程序控制方法及移动设备 |
| GB2501416B (en) | 2011-01-07 | 2018-03-21 | Seven Networks Llc | System and method for reduction of mobile network traffic used for domain name system (DNS) queries |
| US9026644B2 (en) * | 2011-03-10 | 2015-05-05 | Verizon Patent And Licensing Inc. | Anomaly detection and identification using traffic steering and real-time analytics |
| US8316098B2 (en) | 2011-04-19 | 2012-11-20 | Seven Networks Inc. | Social caching for device resource sharing and management |
| EP2702500B1 (en) | 2011-04-27 | 2017-07-19 | Seven Networks, LLC | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
| EP2621144B1 (en) | 2011-04-27 | 2014-06-25 | Seven Networks, Inc. | System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief |
| US8578493B1 (en) * | 2011-05-10 | 2013-11-05 | Narus, Inc. | Botnet beacon detection |
| WO2013015995A1 (en) * | 2011-07-27 | 2013-01-31 | Seven Networks, Inc. | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
| CN102932316A (zh) * | 2011-08-08 | 2013-02-13 | 上海粱江通信技术有限公司 | 信令防火墙系统及实现方法 |
| US20140032733A1 (en) | 2011-10-11 | 2014-01-30 | Citrix Systems, Inc. | Policy-Based Application Management |
| US20140053234A1 (en) | 2011-10-11 | 2014-02-20 | Citrix Systems, Inc. | Policy-Based Application Management |
| US9137262B2 (en) | 2011-10-11 | 2015-09-15 | Citrix Systems, Inc. | Providing secure mobile device access to enterprise resources using application tunnels |
| US9215225B2 (en) | 2013-03-29 | 2015-12-15 | Citrix Systems, Inc. | Mobile device locking with context |
| US9280377B2 (en) | 2013-03-29 | 2016-03-08 | Citrix Systems, Inc. | Application with multiple operation modes |
| US20130111586A1 (en) * | 2011-10-27 | 2013-05-02 | Warren Jackson | Computing security mechanism |
| US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
| US8868753B2 (en) | 2011-12-06 | 2014-10-21 | Seven Networks, Inc. | System of redundantly clustered machines to provide failover mechanisms for mobile traffic management and network resource conservation |
| US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
| WO2013086455A1 (en) | 2011-12-07 | 2013-06-13 | Seven Networks, Inc. | Flexible and dynamic integration schemas of a traffic management system with various network operators for network traffic alleviation |
| EP2792188B1 (en) | 2011-12-14 | 2019-03-20 | Seven Networks, LLC | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
| WO2013103988A1 (en) | 2012-01-05 | 2013-07-11 | Seven Networks, Inc. | Detection and management of user interactions with foreground applications on a mobile device in distributed caching |
| CN102546638B (zh) * | 2012-01-12 | 2014-07-09 | 冶金自动化研究设计院 | 一种基于场景的混合入侵检测方法及系统 |
| WO2013116856A1 (en) | 2012-02-02 | 2013-08-08 | Seven Networks, Inc. | Dynamic categorization of applications for network access in a mobile network |
| WO2013116852A1 (en) | 2012-02-03 | 2013-08-08 | Seven Networks, Inc. | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
| US9185095B1 (en) * | 2012-03-20 | 2015-11-10 | United Services Automobile Association (Usaa) | Behavioral profiling method and system to authenticate a user |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| WO2013155208A1 (en) | 2012-04-10 | 2013-10-17 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
| US9235840B2 (en) * | 2012-05-14 | 2016-01-12 | Apple Inc. | Electronic transaction notification system and method |
| EP2856332A4 (en) * | 2012-05-30 | 2016-02-24 | Hewlett Packard Development Co | ADJUSTING PARAMETERS FOR DISCOVERING PATTERNS |
| GB2503241A (en) * | 2012-06-20 | 2013-12-25 | Safeecom As | Monitoring access from mobile communications devices to confidential data |
| US9112895B1 (en) * | 2012-06-25 | 2015-08-18 | Emc Corporation | Anomaly detection system for enterprise network security |
| WO2014011216A1 (en) | 2012-07-13 | 2014-01-16 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
| CN103581355A (zh) * | 2012-08-02 | 2014-02-12 | 北京千橡网景科技发展有限公司 | 用户行为异常处理方法和设备 |
| US9535917B1 (en) * | 2012-09-28 | 2017-01-03 | Emc Corporation | Detection of anomalous utility usage |
| US20140108558A1 (en) | 2012-10-12 | 2014-04-17 | Citrix Systems, Inc. | Application Management Framework for Secure Data Sharing in an Orchestration Framework for Connected Devices |
| US9516022B2 (en) | 2012-10-14 | 2016-12-06 | Getgo, Inc. | Automated meeting room |
| US8910239B2 (en) | 2012-10-15 | 2014-12-09 | Citrix Systems, Inc. | Providing virtualized private network tunnels |
| US20140109176A1 (en) | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Configuring and providing profiles that manage execution of mobile applications |
| US9170800B2 (en) | 2012-10-16 | 2015-10-27 | Citrix Systems, Inc. | Application wrapping for application management framework |
| US20140108793A1 (en) | 2012-10-16 | 2014-04-17 | Citrix Systems, Inc. | Controlling mobile device access to secure data |
| US9185093B2 (en) * | 2012-10-16 | 2015-11-10 | Mcafee, Inc. | System and method for correlating network information with subscriber information in a mobile network environment |
| US9606774B2 (en) | 2012-10-16 | 2017-03-28 | Citrix Systems, Inc. | Wrapping an application with field-programmable business logic |
| US9971585B2 (en) | 2012-10-16 | 2018-05-15 | Citrix Systems, Inc. | Wrapping unmanaged applications on a mobile device |
| US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
| JP5883770B2 (ja) * | 2012-11-15 | 2016-03-15 | 株式会社日立製作所 | ネットワーク異常検知システム、および、分析装置 |
| US9307493B2 (en) | 2012-12-20 | 2016-04-05 | Seven Networks, Llc | Systems and methods for application management of mobile device radio state promotion and demotion |
| US9241314B2 (en) | 2013-01-23 | 2016-01-19 | Seven Networks, Llc | Mobile device with application or context aware fast dormancy |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US9326185B2 (en) | 2013-03-11 | 2016-04-26 | Seven Networks, Llc | Mobile network congestion recognition for optimization of mobile traffic |
| US8849979B1 (en) | 2013-03-29 | 2014-09-30 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9355223B2 (en) | 2013-03-29 | 2016-05-31 | Citrix Systems, Inc. | Providing a managed browser |
| US10284627B2 (en) | 2013-03-29 | 2019-05-07 | Citrix Systems, Inc. | Data management for an application with multiple operation modes |
| US9369449B2 (en) | 2013-03-29 | 2016-06-14 | Citrix Systems, Inc. | Providing an enterprise application store |
| US9985850B2 (en) | 2013-03-29 | 2018-05-29 | Citrix Systems, Inc. | Providing mobile device management functionalities |
| US9088541B2 (en) | 2013-05-31 | 2015-07-21 | Catbird Networks, Inc. | Systems and methods for dynamic network security control and configuration |
| US11196636B2 (en) | 2013-06-14 | 2021-12-07 | Catbird Networks, Inc. | Systems and methods for network data flow aggregation |
| US9912549B2 (en) | 2013-06-14 | 2018-03-06 | Catbird Networks, Inc. | Systems and methods for network analysis and reporting |
| US20140379911A1 (en) * | 2013-06-21 | 2014-12-25 | Gfi Software Ip S.A.R.L. | Network Activity Association System and Method |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| US9246935B2 (en) | 2013-10-14 | 2016-01-26 | Intuit Inc. | Method and system for dynamic and comprehensive vulnerability management |
| CN103595722B (zh) * | 2013-11-18 | 2017-02-22 | 北京锐安科技有限公司 | 网络安全中的数据回传的方法及装置 |
| US9332025B1 (en) * | 2013-12-23 | 2016-05-03 | Symantec Corporation | Systems and methods for detecting suspicious files |
| US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US9325726B2 (en) | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
| US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| US11405410B2 (en) | 2014-02-24 | 2022-08-02 | Cyphort Inc. | System and method for detecting lateral movement and data exfiltration |
| US9276945B2 (en) | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
| US20150256431A1 (en) * | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
| US20150254248A1 (en) | 2014-03-07 | 2015-09-10 | Printeron Inc. | System for suggesting network resource for use by a network terminal based on network resource ranking |
| US9245117B2 (en) | 2014-03-31 | 2016-01-26 | Intuit Inc. | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9900322B2 (en) | 2014-04-30 | 2018-02-20 | Intuit Inc. | Method and system for providing permissions management |
| US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
| US9906452B1 (en) * | 2014-05-29 | 2018-02-27 | F5 Networks, Inc. | Assisting application classification using predicted subscriber behavior |
| US9825913B2 (en) * | 2014-06-04 | 2017-11-21 | Nicira, Inc. | Use of stateless marking to speed up stateful firewall rule processing |
| US20150381641A1 (en) * | 2014-06-30 | 2015-12-31 | Intuit Inc. | Method and system for efficient management of security threats in a distributed computing environment |
| US9473481B2 (en) | 2014-07-31 | 2016-10-18 | Intuit Inc. | Method and system for providing a virtual asset perimeter |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| WO2016036752A2 (en) | 2014-09-05 | 2016-03-10 | Catbird Networks, Inc. | Systems and methods for creating and modifying access control lists |
| US10482404B2 (en) | 2014-09-25 | 2019-11-19 | Oracle International Corporation | Delegated privileged access grants |
| US10530790B2 (en) * | 2014-09-25 | 2020-01-07 | Oracle International Corporation | Privileged session analytics |
| US9659564B2 (en) * | 2014-10-24 | 2017-05-23 | Sestek Ses Ve Iletisim Bilgisayar Teknolojileri Sanayi Ticaret Anonim Sirketi | Speaker verification based on acoustic behavioral characteristics of the speaker |
| JP5862811B1 (ja) * | 2015-02-02 | 2016-02-16 | 日本電信電話株式会社 | 評価装置、評価方法、及びプログラム |
| CN107835982B (zh) * | 2015-05-04 | 2022-01-25 | 赛义德·卡姆兰·哈桑 | 用于在计算机网络中管理安全性的方法和设备 |
| WO2016196806A1 (en) * | 2015-06-02 | 2016-12-08 | Liveperson, Inc. | Dynamic communication routing based on consistency weighting and routing rules |
| AU2016204072B2 (en) * | 2015-06-17 | 2017-08-03 | Accenture Global Services Limited | Event anomaly analysis and prediction |
| US20170078309A1 (en) * | 2015-09-11 | 2017-03-16 | Beyondtrust Software, Inc. | Systems and methods for detecting vulnerabilities and privileged access using cluster movement |
| EP3374871B1 (en) * | 2015-11-09 | 2020-10-14 | Cyphort, Inc. | System and method for detecting lateral movement and data exfiltration |
| KR101905771B1 (ko) * | 2016-01-29 | 2018-10-11 | 주식회사 엔오디비즈웨어 | 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 서버와 이의 작동 방법 |
| WO2017218636A1 (en) * | 2016-06-14 | 2017-12-21 | Sdn Systems, Llc | System and method for automated network monitoring and detection of network anomalies |
| CN106452955B (zh) * | 2016-09-29 | 2019-03-26 | 北京赛博兴安科技有限公司 | 一种异常网络连接的检测方法及系统 |
| US10505894B2 (en) | 2016-10-13 | 2019-12-10 | Microsoft Technology Licensing, Llc | Active and passive method to perform IP to name resolution in organizational environments |
| US10212182B2 (en) * | 2016-10-14 | 2019-02-19 | Cisco Technology, Inc. | Device profiling for isolation networks |
| US10205736B2 (en) * | 2017-02-27 | 2019-02-12 | Catbird Networks, Inc. | Behavioral baselining of network systems |
| CA3054609A1 (en) * | 2017-02-27 | 2018-08-30 | Ivanti, Inc. | Systems and methods for role-based computer security configurations |
| US10447718B2 (en) | 2017-05-15 | 2019-10-15 | Forcepoint Llc | User profile definition and management |
| US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
| US10862927B2 (en) | 2017-05-15 | 2020-12-08 | Forcepoint, LLC | Dividing events into sessions during adaptive trust profile operations |
| US10623431B2 (en) | 2017-05-15 | 2020-04-14 | Forcepoint Llc | Discerning psychological state from correlated user behavior and contextual information |
| US10917423B2 (en) | 2017-05-15 | 2021-02-09 | Forcepoint, LLC | Intelligently differentiating between different types of states and attributes when using an adaptive trust profile |
| US10999297B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Using expected behavior of an entity when prepopulating an adaptive trust profile |
| US10129269B1 (en) | 2017-05-15 | 2018-11-13 | Forcepoint, LLC | Managing blockchain access to user profile information |
| US9882918B1 (en) | 2017-05-15 | 2018-01-30 | Forcepoint, LLC | User behavior profile in a blockchain |
| US10943019B2 (en) | 2017-05-15 | 2021-03-09 | Forcepoint, LLC | Adaptive trust profile endpoint |
| US10977361B2 (en) | 2017-05-16 | 2021-04-13 | Beyondtrust Software, Inc. | Systems and methods for controlling privileged operations |
| CN107402957B (zh) * | 2017-06-09 | 2023-02-07 | 全球能源互联网研究院 | 用户行为模式库的构建及用户行为异常检测方法、系统 |
| US11070589B2 (en) | 2017-06-29 | 2021-07-20 | Juniper Networks, Inc. | Dynamic implementation of a security rule |
| US11095678B2 (en) * | 2017-07-12 | 2021-08-17 | The Boeing Company | Mobile security countermeasures |
| US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
| US10652260B1 (en) * | 2017-11-08 | 2020-05-12 | Cisco Technology, Inc. | Detecting botnet domains |
| US11075820B2 (en) * | 2017-12-20 | 2021-07-27 | Cisco Technology, Inc. | Automatically detecting authorized remote administration sessions in a network monitoring system |
| US10771489B1 (en) * | 2018-06-12 | 2020-09-08 | Akitra, Inc. | Artificial intelligence method and system for detecting anomalies in a computer network |
| US11095728B2 (en) * | 2018-06-21 | 2021-08-17 | Disney Enterprises, Inc. | Techniques for automatically interpreting metric values to evaluate the health of a computer-based service |
| US10263996B1 (en) | 2018-08-13 | 2019-04-16 | Capital One Services, Llc | Detecting fraudulent user access to online web services via user flow |
| US11201881B2 (en) | 2018-10-31 | 2021-12-14 | Hewlett Packard Enterprise Development Lp | Behavioral profiling of service access using intent to access in discovery protocols |
| US10326676B1 (en) * | 2019-01-08 | 2019-06-18 | Extrahop Networks, Inc. | Automated risk assessment based on machine generated investigation |
| US11233804B2 (en) * | 2019-01-28 | 2022-01-25 | Microsoft Technology Licensing, Llc | Methods and systems for scalable privacy-preserving compromise detection in the cloud |
| US11677785B2 (en) * | 2019-02-12 | 2023-06-13 | Sap Portals Israel Ltd. | Security policy as a service |
| US10997295B2 (en) | 2019-04-26 | 2021-05-04 | Forcepoint, LLC | Adaptive trust profile reference architecture |
| US11528149B2 (en) | 2019-04-26 | 2022-12-13 | Beyondtrust Software, Inc. | Root-level application selective configuration |
| US20210234878A1 (en) * | 2020-01-26 | 2021-07-29 | Check Point Software Technologies Ltd. | Method and system to determine device vulnerabilities by scanner analysis |
| CN113742664B (zh) * | 2020-05-29 | 2024-03-29 | 钉钉控股(开曼)有限公司 | 监控、审计方法、设备及系统 |
| US11829793B2 (en) | 2020-09-28 | 2023-11-28 | Vmware, Inc. | Unified management of virtual machines and bare metal computers |
| WO2023279027A1 (en) * | 2021-06-29 | 2023-01-05 | Juniper Networks, Inc. | Network access anomaly detection and mitigation |
| CN114338163A (zh) * | 2021-12-28 | 2022-04-12 | 中国电信股份有限公司 | 互联网的安全处理方法及装置 |
| US20230388313A1 (en) * | 2022-05-31 | 2023-11-30 | Acronis International Gmbh | Automatic User Group Manager |
| US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
| US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1604540A (zh) * | 2004-10-29 | 2005-04-06 | 江苏南大苏富特软件股份有限公司 | 基于通用协议分析引擎的内核级透明代理方法 |
| CN1760914A (zh) * | 2005-11-01 | 2006-04-19 | 中国地质调查局发展研究中心 | 国家地质空间数据网格服务系统 |
| CN1950778A (zh) * | 2004-03-09 | 2007-04-18 | Ip锁有限公司 | 数据库用户行为监控系统及方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6678827B1 (en) * | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
| US7007301B2 (en) * | 2000-06-12 | 2006-02-28 | Hewlett-Packard Development Company, L.P. | Computer architecture for an intrusion detection system |
| US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
| US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| AU2001293080A1 (en) * | 2000-09-28 | 2002-04-15 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
| US7296070B2 (en) * | 2000-12-22 | 2007-11-13 | Tier-3 Pty. Ltd. | Integrated monitoring system |
| KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
| US7234168B2 (en) * | 2001-06-13 | 2007-06-19 | Mcafee, Inc. | Hierarchy-based method and apparatus for detecting attacks on a computer system |
| US20040015579A1 (en) * | 2001-06-14 | 2004-01-22 | Geoffrey Cooper | Method and apparatus for enterprise management |
| US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
| WO2003083660A1 (en) * | 2002-03-29 | 2003-10-09 | Global Dataguard, Inc. | Adaptive behavioral intrusion detection systems and methods |
| US7322044B2 (en) * | 2002-06-03 | 2008-01-22 | Airdefense, Inc. | Systems and methods for automated network policy exception detection and correction |
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| US7325002B2 (en) * | 2003-04-04 | 2008-01-29 | Juniper Networks, Inc. | Detection of network security breaches based on analysis of network record logs |
| US7324804B2 (en) * | 2003-04-21 | 2008-01-29 | Airdefense, Inc. | Systems and methods for dynamic sensor discovery and selection |
| US7971237B2 (en) * | 2003-05-15 | 2011-06-28 | Verizon Business Global Llc | Method and system for providing fraud detection for remote access services |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| US8166554B2 (en) * | 2004-02-26 | 2012-04-24 | Vmware, Inc. | Secure enterprise network |
| US7690034B1 (en) * | 2004-09-10 | 2010-03-30 | Symantec Corporation | Using behavior blocking mobility tokens to facilitate distributed worm detection |
| US8832048B2 (en) * | 2005-12-29 | 2014-09-09 | Nextlabs, Inc. | Techniques and system to monitor and log access of information based on system and user context using policies |
| US20080034424A1 (en) * | 2006-07-20 | 2008-02-07 | Kevin Overcash | System and method of preventing web applications threats |
| US7853687B2 (en) * | 2007-03-05 | 2010-12-14 | Alcatel Lucent | Access control list generation and validation tool |
-
2009
- 2009-04-03 CN CN200910130365.5A patent/CN101854340B/zh active Active
- 2009-06-02 US US12/476,567 patent/US8621615B2/en active Active
-
2013
- 2013-09-05 US US14/019,101 patent/US8955119B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1950778A (zh) * | 2004-03-09 | 2007-04-18 | Ip锁有限公司 | 数据库用户行为监控系统及方法 |
| CN1604540A (zh) * | 2004-10-29 | 2005-04-06 | 江苏南大苏富特软件股份有限公司 | 基于通用协议分析引擎的内核级透明代理方法 |
| CN1760914A (zh) * | 2005-11-01 | 2006-04-19 | 中国地质调查局发展研究中心 | 国家地质空间数据网格服务系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8955119B2 (en) | 2015-02-10 |
| US20100257580A1 (en) | 2010-10-07 |
| US20140007202A1 (en) | 2014-01-02 |
| US8621615B2 (en) | 2013-12-31 |
| CN101854340A (zh) | 2010-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101854340B (zh) | 基于访问控制信息进行的基于行为的通信剖析 | |
| CN108353079B (zh) | 对针对基于云的应用的网络威胁的检测 | |
| EP2156290B1 (en) | Real-time awareness for a computer network | |
| CN107809433B (zh) | 资产管理方法及装置 | |
| US20050198099A1 (en) | Methods, systems and computer program products for monitoring protocol responses for a server application | |
| US20050188222A1 (en) | Methods, systems and computer program products for monitoring user login activity for a server application | |
| US20050188080A1 (en) | Methods, systems and computer program products for monitoring user access for a server application | |
| US20050188079A1 (en) | Methods, systems and computer program products for monitoring usage of a server application | |
| US20050188221A1 (en) | Methods, systems and computer program products for monitoring a server application | |
| US20220200991A1 (en) | Method & device for determining network device status | |
| US20050187934A1 (en) | Methods, systems and computer program products for geography and time monitoring of a server application user | |
| US20060026682A1 (en) | System and method of characterizing and managing electronic traffic | |
| US20050188423A1 (en) | Methods, systems and computer program products for monitoring user behavior for a server application | |
| CN112714093B (zh) | 一种账号异常检测方法、装置、系统及存储介质 | |
| US20060179472A1 (en) | System and method for effectuating computer network usage | |
| CN109688105A (zh) | 一种威胁报警信息生成方法及系统 | |
| CN113206852B (zh) | 一种安全防护方法、装置、设备及存储介质 | |
| Cisco | Introduction | |
| US11855989B1 (en) | System and method for graduated deny list | |
| US11601435B1 (en) | System and method for graduated deny lists | |
| US11722459B1 (en) | Cumulative sum model for IP deny lists | |
| US20230319116A1 (en) | Signature quality evaluation | |
| Safarpour Kanafi | Cyber-security of Cyber-Physical Systems (CPS) | |
| Rehan | Cybersecurity with AWS IoT | |
| CN116232613A (zh) | 一种轨道交通网络零信任的保护方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C53 | Correction of patent of invention or patent application | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Juniper Networks, Inc. Address before: California, USA Applicant before: Jungle network |
|
| COR | Change of bibliographic data |
Free format text: CORRECT: APPLICANT; FROM: NETSCREEN TECHNOLOGIES INC. TO: JUNIPER NETWORKS INC. |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |