CN102014116B - 防御分布式网络泛洪攻击 - Google Patents
防御分布式网络泛洪攻击 Download PDFInfo
- Publication number
- CN102014116B CN102014116B CN201010235869.6A CN201010235869A CN102014116B CN 102014116 B CN102014116 B CN 102014116B CN 201010235869 A CN201010235869 A CN 201010235869A CN 102014116 B CN102014116 B CN 102014116B
- Authority
- CN
- China
- Prior art keywords
- network
- threshold
- transaction types
- client
- transaction
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
本发明公开了一种防御分布式网络泛洪攻击的网络安全设备,该网络安全设备执行业务的三阶段分析以识别恶意客户端。在一个实例中,一种设备包括攻击检测模块,在第一阶段期间,监测到受保护的网络设备的网络连接;在第二阶段期间,当该连接的参数超过连接阈值时,监测多个网络会话的多个事务类型;以及,在第三阶段期间,当与至少一个与事务类型相关联的参数超过事务类型阈值时,监测与发起至少一个事务类型的事务的网络地址相关联的通信。当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过客户端-事务阈值时,该设备对于网络地址中的至少一个执行程序化操作。
Description
相关申请的交叉参考
本申请要求于2009年9月3日提交的美国临时申请第61/239,690号和2009年10月28日提交的美国专利申请第12/607,107号的权益,其全部内容通过引用结合于此。
技术领域
本发明公开涉及计算机网络,更具体地,涉及防御计算机网络中的攻击。
背景技术
计算机网络通常包括交换数据和共享资源的互联计算设备的集合。这些设备可以包括例如web服务器、数据库服务器、文件服务器、路由器、打印机、终端用户计算机以及其他设备。各种设备可以执行大量不同的服务和通信协议。不同的服务和通信协议中的每一种都使网络暴露于不同的安全漏洞。
用于检测网络攻击的传统技术使用了模式匹配。具体地,入侵检测系统(“IDS(intrusion detection system)”)应用正则表达式或者子串匹配来检测数据流中的规定模式。可以使用多个模式来尝试提高攻击检测的精度。为了提高检测攻击的可能性,IDS可以尝试识别与数据流关联的软件应用和协议的类型。基于该识别,IDS选择合适的模式来应用,从而检测网络攻击,本文中使用的术语“网络攻击”包括病毒或者其他恶意行为。
恶意用户在开放式系统互联(OSI)参考模型的各层上实施网络攻击。例如,历史上,服务拒绝(DoS)攻击已在OSI模型的第三层(网络层)或者第四层(传输层)上实施。如攻击者利用同步(SYN)数据包连续攻击网络服务器的SYN泛洪攻击(SYN floodattacks),其可能导致服务器的开放连接数的溢出。类似的攻击包括ACK泛洪和重置(RST)攻击。这些攻击发生在第七层(也被称为应用层)以下。用于阻断这些攻击的传统技术包括检测来自同一发端设备的两个以上连续的SYN数据包。以这种方式,传统技术防止在OSI参考模型的更低层上的攻击。
近来,恶意用户已经开发出了在OSI模型的第七层(应用层)上实施的网络攻击。例如,在应用层上实施的DoS攻击(也被称为应用层上的泛洪攻击)可能涉及诸如自动软件代理(例如,机器人)的一个或多个恶意实体,其连续发布请求,以消耗大量web服务器资源。这种近来的网络攻击更基于连接,因为恶意软件代理通常在发起网络会话(例如通过完成TCP三次握手)之后才开始这种泛洪攻击。因此,用于防止发生在更低层上的攻击(诸如SYN泛洪)的传统的方法对于防止这些新的恶意用户或者软件代理使用泛洪服务器或者其他设备的更复杂的方法是无效的。网络攻击还可以是协议兼容的,并因此可能难以使用查找协议异常的机制进行检测。
诸如用户或者软件代理的恶意实体可以单独或者与一个或多个软件代理相结合使用消耗大量资源的服务请求来泛洪服务器。用于保护这种服务器的传统方法通常禁用该服务或者节流接入该服务以防止服务器崩溃。然而,这可能导致合法用户不能使用该服务。在一些情况中,这种方法可能导致收入受损失或者客户不满。
发明内容
总的来说,本发明公开描述了用于防御分布式网络泛洪攻击的技术。具体地,该技术防御分布式网络泛洪攻击,而无需禁用或者节流对目标服务的所有接入。本发明公开的技术特别适用于发生在应用层(第七层)上的泛洪攻击。总的来说,本发明公开描述了提供通信会话的三阶段分析的入侵检测和防御(IDP)设备,以识别和防御发生在通信会话中的网络泛洪攻击。可以配置任何网络安全设备实现本发明公开的技术。
在第一阶段期间,IDP设备监测网络设备之间正在进行的通信会话(也被称为连接或者数据包流)的数目、入站连接请求的数目、和/或入站连接请求的速率。该IDP设备确定与所监测的通信会话相关联的参数,其(在各个实例中)对应于连接的数目、连接请求的数目、和/或入站连接请求速率中的一个或多个。当IDP确定诸如连接数目、连接请求数目、或者接收连接请求的速率中的一个或多个的参数超过阈值时,IDP开始分析的第二阶段。
在第二阶段期间,IDP确定与给定事务(或资源)类型的请求的数目相关联的参数。例如,事务的类型可以通过唯一的函数名、统一资源定位符(URL)或统一资源标识符(URI)、一个或多个协议字段或一个或多个协议字段的条目、或者其他标志符来识别。IDP确定该参数(例如,在一段时间内(称作“时间周期(time tick)”)对特定事务类型的请求的数目)是否超过相应的阈值。在一些实例中,IDP预先配置有每种事务类型的阈值,而在其他实例中,IDP执行学习阶段来计算每种事务类型的阈值。当参数(例如,事务类型中的至少一种的请求数目)超过阈值时,IDP进入分析的第三阶段。在一些实例中,IDP确定事务请求的绝对数目是否超过阈值,而在其他实例中,IDP确定事务请求的接收速率是否超过阈值。
在第三阶段期间,IDP确定来自发布在第二阶段中确定的高于阈值的事务类型的请求的每个客户端的请求数目。即,对于事务类型X(诸如,协议字段或者协议字段的条目),IDP已确定对其的请求超过了事务类型X的阈值,IDP就确定哪些客户端正在请求事务类型X以及每个客户端发布了多少关于事务类型X的请求。当特定客户端发布的关于事务类型X的请求的数目超过相应的阈值时,IDP对该客户端执行程序化操作。例如,IDP可以被配置为执行以下操作中的一个或多个:阻断客户端的进一步通信、对客户端的通信进行速率限制、向其他设备广播客户端的因特网协议(IP)地址、将该客户端的IP地址添加到访问控制列表(ACL)、向管理员发送包含该客户端IP地址的警报、结束该客户端的通信会话、向该客户端发送结束会话消息、或者其他操作。
在一些实例中,IDP进一步维持对应于第二和第三阶段的定时器(timer)。当第二阶段的定时器届满(expire)时,假定第二阶段的参数不再高于阈值,则IDP转换回第一阶段,而当第三阶段的定时器届满时,再次假定特定客户端对事务类型X的请求数目不再超过相应的阈值,则IDP转换回第二阶段。在一些实例中,当定时器届满时和/或当参数不再高于阈值时,即,基于正在进行的通信业务,IDP从第二阶段转换回到第一阶段。在一些实例中,每当对特定的客户端执行程序化操作时,IDP重置第三阶段的定时器。同样地,当IDP从第三阶段转换回第二阶段时,IDP重置第二阶段的定时器。可选地,在一些实例中,一旦定时器届满,IDP则从第三阶段转换回第一阶段。在一些实例中,当IDP在第三阶段中时,并且当特定客户端的事务类型X的请求数目落后于相应的阈值时,IDP转换到第二阶段。同样地,在一些实例中,当到受保护的服务器的通信会话的数目落后于相应的阈值时,IDP从第二阶段转换到第一阶段。在一些实例中,滞后用于避免阈值附近的阶段转换的抖动。
在一些实例中,IDP执行来自多个客户端设备的入站业务的分析。在一些实例中,IDP接收来自IDP设备外部的一个或多个设备的数据,诸如边缘设备(例如,位于相应的服务提供商网络的边缘的路由器)或者维护和/或分析网络业务的网络内采样设备。这些设备(当使用这些设备时)将数据发送到IDP,从而IDP能够识别恶意客户端或者相应的恶意网络会话。
在一个实例中,一种方法包括:使用第一网络设备监测到由第一网络设备保护的第二网络设备的网络连接,当确定与所监测的网络连接相关联的参数超过连接阈值时,监测与网络连接相关联的多个事务类型中的每一个,当确定与多个事务类型中的至少一个相关联的参数超过相应的事务类型阈值,监测与发起多个事务类型中的至少一个的事务的网络地址相关联的通信,以及当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过相应的客户端事务阈值时,对于该至少一个网络地址执行程序化操作。
在另一实例中,一种网络设备包括:网络接口,接收受保护的网络设备的多个网络会话的数据包;计算机可读介质,存储连接阈值、事务类型阈值、和客户端-事务阈值;控制单元,具有一个或多个处理器;重组模块,在控制单元内执行,重组多个网络会话的应用层数据;以及攻击检测模块,在控制单元内执行,监测到受保护的网络设备的多个网络会话的网络连接、当与所监测的网络连接相关联的参数超过连接阈值时监测与多个网络会话相关联的多个事务类型中的每一个、当与多个事务类型中的至少一个相关联的参数超过事务类型阈值时监测与发起多个事务类型中的至少一个的事务的网络地址相关联的通信、以及当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过客户端-事务阈值时对于该至少一个网络地址执行程序化操作。
在另一实例中,一种系统包括:多个客户端设备,其中,多个客户端设备中的每一个参与与受保护的网络设备的多个网络会话中的一个;以及网络安全设备,位于受保护的网络设备与多个客户端设备之间,其中,网络安全设备包括:网络接口,接收多个网络会话的数据包;计算机可读介质,存储连接阈值、事务类型阈值、和客户端-事务阈值;控制单元,具有一个或多个处理器;重组模块,在控制单元内执行,重组多个网络会话的应用层数据;以及攻击检测模块,在控制单元内执行,监测到受保护的网络设备的多个网络会话的网络连接、当与所监测的网络连接相关联的参数超过连接阈值时监测与多个网络会话相关联的多个事务类型中的每一个、当与多个事务类型中的至少一个相关联的参数超过事务类型阈值时监测与发起多个事务类型中的至少一个的事务的网络地址相关联的通信、以及当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过客户端-事务阈值时对于网络地址中的至少一个执行程序化操作。
在另一实例中,诸如计算机可读存储介质的计算机可读介质包括(例如,使用其编码)使可编程处理器监测到保护的网络设备的网络连接的指令,在确定与连接相关联的参数超过连接阈值时,监测与该网络连接相关联的多个事务类型中的每一个;当确定与多个事务类型中的至少一个相关联的参数超过相应的事务类型阈值时,监测与发起多个事务类型中的至少一个的事务的网络地址相关联的通信;当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过相应的客户端-事务阈值时,对于网络地址中的至少一个执行程序化操作。
本发明公开的技术可呈现一个或多个优点。例如,本发明公开的技术通常是可扩展的、适应的、和灵活的。本技术考虑到从粗粒度到细粒度监测的不同级别的监测。本技术扩展性良好,因为尽管在每一阶段分析的深度可能会增加,但是受检查的业务流量降低。实施这些技术的IDP还是普遍适用的,因为IDP能够自动识别需要被监测的有关数据。虽然在一些实例中,用户手动配置阈值的预期命中率,但是在其他实例中,IDP动态设置这些值。此外,本发明公开的技术可用于任何网络协议,只要有协议解码器即可。即使当攻击是适应协议的,例如甚至在攻击者已经成功完成了三次握手并且建立了连接的情况下,本技术仍可提供防御泛洪攻击。
本发明公开的技术能够导致阻断单独的恶意实体、客户端设备或者软件代理接入服务,而不会阻断其他无恶意实体的一般接入服务。即,本发明公开的技术可以阻断恶意实体、客户端设备或者软件代理接入到特定服务,而不会禁用无恶意实体的服务。这可以允许更加良好的安全性,而不会降低提供给合法实体的服务质量。
在附图和以下的描述中阐述一个或多个实例的细节。根据描述和图示以及权利要求,其他的特征、目标、和优点是明显的。
附图说明
图1是示出了一个示例性的企业计算机网络的框图,其中,入侵检测和防御(IDP)设备尝试防止恶意实体(诸如恶意自动软件代理)的泛洪攻击。
图2是示出了IDP的实例布置的框图。
图3是示出了图2中所示的IDP的状态检测引擎的一个实例的框图。
图4是示出了网络设备的实例布置的框图,其中IDP监测来自多个客户端设备的业务以防止网络攻击。
图5是示出了用于实现学习阶段以动态确定连接阈值、事务类型阈值、和客户端-事务阈值的实例方法的流程图。
图6是示出了用于防止网络泛洪攻击的实例方法的流程图。
图7是示出了用于防止网络泛洪攻击的方法的可选的视图的状态转换图。
图8是示出了包含可互换服务卡(包含IDP卡)的实例路由器的框图。
具体实施方式
图1是示出了根据本发明公开中的技术的一个示例性的企业计算机网络4的框图,其中入侵检测和防御(IDP)设备10可以尝试防止由恶意实体(诸如恶意自动软件代理)发起的泛洪攻击。虽然主要对IDP设备10进行描述,然而应当理解,本发明公开的技术可以由任何各种不同的网络设备来实现。例如,包括用于耦合一般安全服务卡(包括这些技术的实现)或者具体实现这些技术的服务卡的服务平面的网络设备可以实现本发明公开的技术。网关设备、路由器、集线器、防火墙和服务器是可包含这些服务平面的网络设备的实例。同样,任何网络安全设备可以实现本发明公开的技术。本文中使用的术语“机器人(bot)”指的是自动软件代理,其通常执行恶意或者其他不希望的行为。尽管本发明公开中主要涉及一种IDP设备,不过入侵检测系统(IDS)或者入侵防护系统(IPS)可以通过类似技术进行配置。在图1的实例中,IDP 10是单个网络设备。在其他实例中,防火墙9、交换机19、安全管理设备18、IDP 14或者节点8A~8N中的单个节点中的任意一个、或者诸如路由器、虚拟专用网络(VPN)装置或网关的其他设备,可以实现关于IDP 10所述的功能。
网络4包括连接到诸如因特网的公共网络6的私人企业计算网络5。公共网络6可以包括例如一个或多个客户端计算设备。防火墙9保护私人企业网络5,具体地,保护内部计算节点8A~8N(计算节点8)。计算节点8代表企业网络5内的任意私人计算设备,例如工作站、膝上型电脑、文件服务器、打印服务器、数据库服务器、web服务器、电子邮件服务器、数据库、打印机、个人数字助理(PDA)、智能电话、和其他设备。安全管理设备18管理企业网络5的一个或多个网络安全设备,例如IDP 10、防火墙9、IDP 14、或者一个或多个计算节点8。在一个实例中,安全管理设备18实施简单网络管理协议(SNMP),以修改网络安全设备的设置。在另一实例中,安全管理设备18实施设备管理接口(DMI)。交换机19向和从企业网络5中的目的地(例如,计算节点8中的一个、安全管理设备18、IDP 14、和IDP 10)引导网络业务。
在图1的实例中,企业网络5包括IDP 10,用于监测在防火墙9和内部计算节点8之间流动的业务。具体地,根据本发明公开的技术,IDP 10在开放式系统互联(OSI)网络模型的应用层(第七层)检测泛洪攻击。即,除了检测并防止诸如SYN泛洪攻击的低层泛洪攻击以外,IDP 10还能够检测并防止应用层上的泛洪攻击。IDP 10尝试确定来自一个或多个设备的网络通信是否表示网络攻击。IDP 10通常在三个阶段中监测各个业务统计。示例的业务统计包括活动连接的数目、接收连接请求的速率、接收活动连接的事务请求的速率、以及基于每个客户端的各自事务请求。IDP 10还可以执行代理处理,因为IDP 10执行提供有关客户端的实际IP地址的信息的协议分析。因此,客户端分析可以在客户端的实际IP地址上而不是在代理IP地址上执行。
在第一阶段期间,IDP 10监测活动的通信会话的数目、接收连接请求的速率、和连接请求数目中的一个或多个。第一阶段在本发明公开中还被称为服务监测阶段。IDP 10计算与所监测的网络连接相关联的参数,该参数包括活动的通信会话的数目、接收连接请求的速率和连接请求的数目中的一个或多个。当IDP 10确定诸如通信会话的数目、连接请求的数目、和/或接收连接请求的速率的参数超过相应的连接阈值时,IDP 10进入第二阶段。在第二阶段期间,IDP10监测特定时间段上每个通信会话期间发生的各个事务类型。IDP10计算与这些事务类型相关联的参数,该参数包括特定时间段上的各个事务类型的事务数目或者特定时间段期间接收各个事务类型的事务的速率。IDP 10将各个事务类型的数目与该事务类型的相应的阈值(例如平均值)相比较。对于该事务类型中的至少一个,当IDP 10确定事务数目超过该类型的平均值时,IDP 10进入第三阶段。在第三阶段期间,IDP 10监测在特定的时间段上执行使IDP 10进入第三阶段的事务类型的每个客户端。具体地,IDP 10计算每个客户端在特定时间段上执行该事务类型的次数并且将每个客户端的该次数与客户端-事务阈值相比较。以这种方式,本发明公开的技术可以结合基于速率的技术和基于签名的技术的方面以检测并防止应用层攻击。
当IDP 10确定特定的客户端正在执行使IDP 10进入第三阶段的事务类型时,IDP 10执行关于该客户端的程序化响应。程序化响应可以包括以下响应中的一个或多个:阻断客户端(永久或者诸如几分钟的时间段)、关闭与客户端相关联的通信会话(例如,通过向参与通信会话的客户端和/或服务器发送关闭会话消息)、丢弃通信会话的数据包、记录与客户端相关联的因特网协议(IP)地址、阻断来自客户端的将来的连接尝试、对来自客户端的将来的会话的速率限制、以及向一个或多个其他网络设备(在图1中未示出)广播或者通告该客户端的IP地址以使那些网络设备阻断该客户端。
在一些实例中,IDP 10还可以将模式匹配与专用于应用程序和协议的异常检测进行集成,以识别复杂的攻击行为。在一个实例中,IDP 10允许系统管理员指定攻击定义。在一些实例中,系统管理员指定复合的攻击定义。有关攻击定义(诸如复合攻击定义)的应用的进一步的细节可参见Guruswamy等人于2005年1月27日提交的美国专利申请第11/045,572号“Compound Attack Detection in aComputer Network”的美国专利申请,其全部内容结合于此作为参考。
IDP 10识别所监测的业务中的数据包流,并透明地重组来自数据包流的应用层通信。IDP 10内的一组专用于协议的解码器分析应用层通信并且识别应用层事务。通常,“事务(transaction)”指的是对等设备之间的一个或多个有关的应用层通信的有界序列。事务通常可识别为根据特定协议的数据包单元或者其他网络通信单元的元素。协议通常定义包含某数据的数据包内的字段。以这种方式,IDP 10通过检查在通信会话期间交换的数据包的特定协议字段来识别事务。例如,TCP连接可以用于发送(接收)多个超文本传输协议(HTTP)请求(响应)。可以使用单个TCP连接读取包含多个图像和HTML页面的链接的单个web页面。HTTP解码器将TCP连接内的每个请求/响应识别为不同的事务。这对于防止某些攻击定义应用于整个事务边界可能是有用的。在一个实例中,根据源和目标IP地址、协议、以及源和目标端口号来识别通信会话。其他的实例以其他的方式识别通信会话,例如通过使用媒体访问控制(MAC)地址。
IDP 10将攻击定义应用到元和协议解码器识别的专用于协议的异常,以检测并防止网络攻击。例如,系统管理员可以指定复合网络攻击,包括反复FTP登录失败的协议异常和匹配“根”的登录用户名的模式。通过这种方式,系统管理员可以将模式分析与协议异常相结合,以定义复杂的攻击定义。如果发生网络攻击,则IDP 10采取一个或多个编程措施,诸如自动丢弃与其中检测到网络攻击的应用层通信相关联的数据包流。
作为本发明公开中使用的术语,机器人一般包括在一个或多个网络计算设备上运行以执行恶意网络会话的程序。机器人可以执行脚本,以使机器人执行恶意网络会话的一系列的一个或多个操作。机器人通常与其他的机器人共同行动,以形成“机器人网络”。机器人网络可以包括成千上万甚至更多的一起行动的计算设备。在典型的机器人网络中,一组机器人在位于中央位置的计算设备的指挥下一起行动,在中央位置的计算设备可以包括编写机器人的恶意用户的计算设备或者被攻击或被感染的计算机终端。位于中心的计算设备可以通知机器人网络的机器人有关目标的身份(诸如目标的网络地址),并且指示机器人攻击该目标。以这种方式,机器人网络可以用于执行分布式网络泛洪攻击。
恶意软件代理利用网络会话执行恶意操作,诸如例如拒绝服务(DoS)攻击、点击欺诈、垃圾邮件输出、或其他恶意网络活动。机器人可以被编程以识别服务器的特定事务类型(诸如节点8中的一个),其使服务器利用相对大量的计算能力。一旦机器人发现这样事务类型(诸如特定协议字段或者协议字段中的特定条目),机器人可以反复发布该事务类型的大量请求,用于尝试关闭服务器。此外,单个机器人可以发现昂贵事务类型,通知中央计算机终端,计算机终端可以指示机器人网络的所有机器人连接服务器并且执行该昂贵事务类型。
一旦认识到这种类型的机器人及机器人网络的活动,根据本公开的技术,IDP 10首先监测多个连接,然后监测各个事务类型的请求,最后监测执行超过相应阈值的特定事务类型的客户端。阈值可以对应于“正常”客户端的行为。当IDP 10确定执行该事务类型的一个或多个客户端正在执行超过阈值的该事务类型时,IDP 10阻断客户端,确定该客户端是恶意的。以这种方式,IDP 10能够阻断恶意客户端并保持服务器活动,而没有防止正常客户端接入昂贵事务类型。
图2是示出了IDP 20的一个实例配置的框图。在示出的实例中,IDP 20包括转发平面22,用于透明监测入站网络业务24并转发网络业务作为出站网络业务26。在图2所示的实例中,转发平面22包括流分析模块25、状态检测引擎28、多个协议解码器30、转发组件31和安全管理模块44。图2的IDP 20的实例示出了作为单个网络设备的IDP 20,诸如图1的IDP 10或者IDP 14。其他的实例在多个网络设备或者诸如图1的安全管理设备18、交换机19或者防火墙9的其他类型的设备中实现IDP 20的功能。IDP 20还被称为安全设备或者网络安全设备,并且IDP 20保护的设备(诸如图1的节点8)被称为受保护的网络设备或者受保护的服务器。
安全管理模块44给出了一种用户界面,管理员42通过该用户界面配置IDP 20。例如,管理员42可以配置IDP 20用来监测企业网络的特定子网。此外,安全管理模块44给出了一种用户界面,管理员42可以通过该用户界面来指定攻击定义33,以使安全管理模块44中继到状态检测引擎28。在一些实例中,管理员42经由安全管理模块44的用户界面指定连接阈值、事务类型阈值、和客户端-事务阈值。
在一些实例中,安全管理模块44允许管理员42为某些事务类型和公知的协议字段值配置异常。例如,管理员42可以定义“www.google.com”的http请求的异常,因为即使在没有发生恶意活动时,“www.google.com”的连接数目通常都将超过连接阈值。同样,当管理员42确定已知某些协议字段的某些值不是恶意的时候,为了避免误确认,安全管理模块44允许管理员42排除这些值。
在一个实例中,攻击定义33包括复合攻击定义。复合攻击定义通常以在本发明公开的通常范围之外的方式,根据一个或多个协议层上的多个元素定义攻击。然而,应当理解,本发明公开的技术可以并入利用除本发明公开的技术以外的复合攻击定义的设备中,以检测并处理网络攻击。此外,安全管理模块44可以提供用户界面,管理员42可以通过该用户界面可以修改诸如监测的最高优先级数据包流、应用程序的端口绑定、或者确定与数据包流与相关联的一种类型的应用程序和协议的其他特点的关于数据包流特征的假设。在一个实例中,安全管理设备18(图1)实现安全管理模块44的功能,以使管理员42能够远程对IDP 20进行编程。根据从管理员42接收的配置,安全管理设备18可以经由例如简单网络管理协议(SNMP)配置IDP 20。
流分析模块25接收入站业务24并且识别业务中的网络流。流分析模块25包括或者连接到网络接口卡(NIC)23。每个网络流表示在网络业务中一个方向上的数据包流并由至少一个源地址、目的地址和通信协议所识别。流分析模块25可以利用附加信息指定网络流,包括源介质访问控制(MAC)地址、目的MAC地址、第4层源端口、和第4层目的端口。其他的实例可以使用诸如IP地址的其他信息来识别网络流。
流分析模块25维护流表35内的数据,该流表描述了网络业务内出现在的每个活动的数据包流。流表35指定与每个活动的数据包流相关联的网元(network element),即,诸如源和目的设备以及与数据包流相关联的端口的低级别信息。此外,流表35识别共同形成客户端和服务器之间的单个通信会话的数据包流对或者数据包流组。例如,流表35可以在指定通信会话作为共享至少一些公共网络地址、端口和协议的流的相反的方向的数据包流对。
根据以下进一步详细的所述,状态检测引擎28检测数据包流,以识别数据包流中的攻击。根据本发明公开的技术,状态检测引擎28使用三阶段分析检测数据包流,以检测机器人在应用层上操作的网络泛洪攻击。当状态检测引擎28检测到泛洪攻击时,状态检测引擎28执行程序化响应,诸如向安全管理模块44发送警报40、或者指示转发组件31丢弃数据包流的数据包、或者结束对应于数据包流的网络会话。状态检测引擎28还可以限制数据包流的速率,即将对应于检测出的机器人的网络会话节流到某个比特率(诸如10兆比特/秒)。
攻击检测模块52还可以将参与泛洪攻击的网络设备中的至少一个的标识符记录在流表35中,并阻断从已记录的标识符的网络设备发起的将来的连接请求。即,流分析模块25可以接收连接请求,确定连接请求从在流表35中记录的标识符发起,以及阻断连接请求。以这种方式,IDP 20可以阻断来自参与作为程序化响应的网络会话的网络设备的将来的连接请求。转发组件31还可以构造发送到其他网络设备(诸如其他路由器或者IDP、IPS、或防火墙(FW)设备)的消息,以阻断或者响应于来自状态检测引擎28为其检测出机器人的源网络设备的数据包流。警报40可以包括诸如数据包流的源地址、对应于数据包流的应用程序的标识、或者有关网络会话的其他信息的细节。
在一个实例中,状态检测引擎28包括用于执行应用程序识别的协处理器(未示出)。协处理器可以连续地接收数据包流形式的输入,并可以不断地对数据包流执行应用程序识别。对于数据包流的每个程序块,协处理器可以返回协处理器识别的应用程序的一个或多个身份认证。
通常,协议解码器30包括一组一个或多个专用于协议的软件模块,用于处理应用层通信32并输出识别应用层事务的事务数据34。具体地,事务数据34指示两个对等设备之间的一系列有关的应用层通信开始和结束的时间。在一个实例中,一个或多个协议解码器30可以是通用协议解码器,以便通用协议解码器尝试识别对应于应用层通信32的有效载荷的应用程序。通过协议解码器的一个实例是将一组预定义的应用程序指纹/签名与被解码的数据相匹配并且基于具体的指纹匹配来识别应用程序的算法。例如,通用协议解码器可以尝试识别对应于HTTP通信的有效载荷的应用程序。
许多协议解码器30对应于不同的通信协议或服务。可以由协议解码器30支持的通信协议的实例包括:超文本传输协议(HTTP)、文件传输协议(FTP)、网络新闻传输协议(NNTP)、简单邮件传输协议(SMTP)、远程登录、域名系统(DNS)、菜单查询系统(Gopher)、查找器(Finger)、邮局协议(POP)、安全套接字协议层(SSL)协议、轻量级目录访问协议(LDAP)、安全Shell(SSH)、服务器消息块(SMB)和其他协议。在一个实例中,协议解码器30中的每个经由通用软件接口(即,以独立于基础传输机制的方式处理应用程序数据的软件接口)接收数据。以这种方式,协议解码器可以在应用于给定的数据包流时被交换、重用和堆叠(分层)。
在协议解码器30应用到给定的数据包流或者单个数据包之后,协议解码器将事务数据34、应用层元36、和协议异常数据38返回到状态检测引擎28。在一些实例中,状态检测引擎28将攻击定义33的复合攻击定义应用到专用于协议的应用层元36和异常数据38,以检测并防止网络攻击和其他安全风险,在本发明公开的技术之外或者作为本发明公开的技术的可选项。
如果检测到安全风险,那么状态检测引擎28可以将警报40输出到安全管理模块44,用于记录和进一步分析。此外,状态检测引擎28可以根据策略定义采取附加的操作,诸如丢弃与通信会话相关联的数据包、自动结束通信会话或其他操作。如果没有检测到给定的通信会话的安全风险,转发组件31继续在对等设备之间转发数据包流。例如,转发组件31可以根据用于转发数据包流中的企业网络的拓扑结构维护存储路径的路由表。
图3是更详细地示出了IDP 20的状态检测引擎28的实例的框图。在该实例中,状态检测引擎28包括重组模块50、攻击检测模块52、数据缓冲器55、攻击定义33、和阈值学习模块59。通过移除任意的底层传输信息(例如,第四层(L4)信息及第四层以下的信息),重组模块50接收入站网络业务24以及重组数据包流的应用层通信32。重组模块50将重组的应用层通信32转发到合适的协议解码器用于处理。
状态检测引擎28存储从安全管理模块44接收的攻击定义33。攻击定义33可以被存储在例如计算机可读介质(例如,随机存取存储器(RAM))中。在图3的实例中,攻击定义33包括连接阈值54、平均事务表56、和平均客户端事务表58。连接阈值54限定一个或多个活动连接的并发数目和/或服务器接收连接请求的速率。平均事务表56限定每个事务类型的阈值,平均客户端事务表58限定关于每个事务类型的客户端的阈值。以这种方式,平均事务表56限定事务类型阈值,平均客户端事务表58限定客户端-事务阈值。攻击定义33通常将攻击定义为在特定事务类型的事务的速率超过事务类型阈值时并且在连接超过连接阈值时一个或多个客户端超过该事务类型的客户端-事务阈值的情况。攻击定义33还可以包括定义除用于本发明公开的目的的攻击定义之外的其他类型攻击的复合攻击定义。以这种方式,本发明公开的技术可以结合到现有的IDP或者用于检测和/或防止网络攻击的其他设备中。
当状态检测引擎28接收数据包作为数据包流的一部分时,重组模块50缓冲数据缓冲器55中的数据包。在一个实例中,数据缓冲器55作为滑动窗口存储数据。即,在数据缓冲器55存储数据,直到变满或者达到用于识别所指定需要的最小数据量。当数据缓冲器55满时,数据缓冲器55丢弃某些数据以为存储新的数据腾出空间。在一个实例中,数据缓冲器55根据先进先出(FIFO)协议存储和丢弃数据,其中,当数据缓冲器55变满时,存储的第一数据便是丢弃的第一数据。在另一实例中,数据缓冲器55根据最近最少使用协议丢弃数据,其中,当数据缓冲器55变满时,最近最少使用的数据包流将被丢弃以为将要存储的新的数据腾出空间。
在一个实例中,重组模块50根据5元组{源IP地址、目的IP地址、协议、源端口、目的端口}关联网络会话的数据包流中的数据包。其他的实例使用其他的方法关联数据包与具体的数据包流或者封装的数据包流。在一个实例中,IDP 20包括利用虚拟局域网(VLAN)的网络的部分。因此,重组模块50可以根据VLAN标识符、源地址、和目的地址关联数据包流中的数据包。
攻击检测模块52将攻击定义33应用到应用层元素36和从协议解码器30接收到的协议异常数据38。除了确定定义的攻击模式是否存在之外,攻击检测模块52可以确定由协议解码器30检测到的任意协议异常是否与攻击定义33指定的协议异常相匹配。当在给定的通信会话中检测到攻击定义指定的模式和协议异常时,攻击检测模块52确定相应的数据包流与攻击定义33中的一个匹配。此外,基于每个事务或在通信会话的存在期中满足,攻击定义33中的每一个可以指定是否必须满足模式匹配和协议异常。即,在单个协议字段内或者在会话的整个数据流上,攻击定义33中的每个可以指定特定的模式或者协议异常是否可以得到满足。
根据本发明公开的技术,攻击检测模块52还执行网络业务的三阶段分析,即,网络业务的应用层元36和事务数据34方面的分析。在第一阶段期间,也被称为服务监测阶段,攻击检测模块52通常监测到节点8(图1)中的一个的连接。这可以包括监测多个活动连接的数目和/或接收连接请求的速率,即,在定义的时间段上接收的连接请求的数目。以这种方式,在第一阶段期间,攻击检测模块52通常监测IDP 20保护的一个或多个服务器上的负载。
为了确定多个活动连接,攻击检测模块52检索来自流表35(图2)的数据,以确定对于特定服务器(诸如计算节点8中的一个)活动的连接的数目。在一些实例中,攻击检测模块52还分析应用层元36和事务数据34,以确定接收连接请求的速率。在这些实例中,攻击检测模块52计算在给定的时间间隔(也被称为“时间周期”)内接收到的连接请求的数目。
在一些实例中,攻击检测模块52确定当前连接的数目和接收连接请求的速率。当当前连接和/或接收连接请求的速率中的一个或两者超过连接阈值54时,攻击检测模块52进入分析的第二阶段。在一些实例中,攻击定义33定义两个连接阈值:对应于当前连接的数目的第一连接阈值和对应于接收连接请求的速率的第二连接阈值。
在一个实例中,为了确定到受保护的服务器的当前连接的数目,攻击检测模块52查询流表35,以确定流表35中的条目数。流表35中的条目数通常对应于当前活动的连接或者通信会话的数目。为了确定连接请求的速率,攻击检测模块52分析事务数据34,以确定网络通信是否表示发起网络会话的请求。在一个实例中,发起网络会话的请求包括TCP/IP同步(SYN)数据包。因此,攻击检测模块52确定在数据包的TCP报头中是否设置有接收到的数据包的SYN标记。因此,当攻击检测模块52在一段时间内接收超过连接阈值54的多个SYN数据包时,攻击检测模块52可以确定开始分析的第二阶段。虽然为了示例的目的主要描述了关于TCP,然而应理解,本发明公开的技术通常可用于任意因特网协议。例如,本技术还可用于用户数据报协议(UDP)或者除TCP以外的其他无状态协议(stateless protocol)。
为了确定在一段时间内接收到的SYN数据包的数目,在一个实例中,攻击检测模块52维护具有对应于在一段时间内接收到的多个SYN数据包的长度的诸如序列、阵列或链表的数据结构(未示出)。攻击检测模块52向数据结构的每个元素分配对应于接收对应于该元素的SYN数据包的时间的时间戳。当当前时间与该时间段之间的差产生超过最早的元素的时间戳的时间时,攻击检测模块52从数据结构中移除最早的元素。以这种方式,当数据结构的长度超过连接阈值54时,攻击检测模块52开始分析的第二阶段。因此,一旦确定连接超过连接阈值54,则攻击检测模块52执行分析的第二阶段。
在分析的第二阶段期间(也被称为协议分析阶段),攻击检测模块52通常监测活动连接的多个事务类型。具体地,在分析的第二阶段,攻击检测模块52可以执行内容检测并可使用协议解码器30对应用层协议进行解码。例如,根据相应的通信会话的协议,事务类型在一个或多个特定位置的数据包内被识别。协议解码器30被配置为根据相应的协议识别正在被请求的事务的类型。攻击检测模块52可以维护关于协议事务的业务统计,并基于数据分析检测恶意事件。例如,攻击检测模块52基于协议解码器30提供的数据(诸如事务数据34和应用层元36)监测各事务类型的数目和/或速率。因此,攻击检测模块52在第二阶段期间监测一个或多个协议字段,以识别各事务类型的数目和/或速率。
在一个实例中,事务类型与服务器的特定统一资源标识符(URI)相关联。例如,经由“example.com”可访问的服务器可以包括与“example.com/home”、“example.com/get_shipping_cost”、“example.com/place_order”、“example.com/display_catalog”、“example.com/search_for_item”、“example.com/view_cart”、和“example.com/order_status”相关联的事务类型。这对应于域名系统(DNS)的实例,以及DNS的事务的类型通常被称为“DNS请求”事务。其他的实例可以使用与URI不相关的其他的事务类型。作为一个实例,攻击检测模块52可以监测SMTP确认请求,以检测电子邮件服务器泛洪攻击。
在一个实例中,攻击检测模块52维护跟踪每个事务类型(诸如协议字段条目)的请求数目的表。攻击检测模块52将每个事务类型的值与设置每个事务类型的事务-类型阈值的平均事务表56(在本发明公开中也被称为“Top-N表”)相比较。平均事务表56通常指示平均事务表56中列出的各事务类型的阈值。这允许攻击检测模块52将各事务类型的监测值与平均事务表56中定义的相应阈值相比较。平均事务表56包括为事务类型的期望数目和/或速率配置的阈值。例如,攻击检测模块52可以监测作为事务类型的特定协议字段的值。当攻击检测模块52确定监测的协议字段的值超过相关的阈值时,攻击检测模块52转换到分析的第三阶段。在一些实例中,平均事务表56使用各事务类型的阈值预先配置,例如每个协议字段或者每个协议字段的条目类型,而在其他实例中,阈值学习模块59生成平均事务表56,将在以下更加详细地描述。
在一些实例中,攻击可以以随机事务为目标。在这些情况下,攻击检测模块52被配置为将事务的总数与平均事务表56中的阈值总事务值相比较。在这些实例中,当在第二阶段期间确定的总事务的总数超过平均事务表56的阈值总事务值时,攻击检测模块52也转换到分析的第三阶段。
在分析的第三阶段期间,攻击检测模块52通常监测发起触发攻击检测模块52进入第三阶段的事务类型中的一个的事务的网络地址。即,对于攻击检测模块52监测到的多个事务类型,攻击检测模块52确定超过平均事务表定义的阈值的至少一个事务类型,并进入第三阶段,然后监测正在执行超过平均事务表56的相应阈值的事务类型的客户端。超过相应阈值的事务类型可以被称为“攻击”事务。第三阶段还被称为客户端分析阶段,由于攻击检测模块52基于每个客户端IP地址监测在第二阶段中识别的攻击事务的使用。
平均客户端事务表58通常定义每个事务类型的正常客户端行为的阈值。平均客户端事务表58包括各事务类型的条目。每个条目基于每个客户端而不是基于每个事务类型或每个协议字段(如平均事务表56)定义数目和/或速率。对于在第二阶段执行超过阈值的事务类型的每个客户端,攻击检测模块52确定客户端执行该攻击事务类型的数目和/或速率。即,每次请求攻击事务类型,攻击检测模块52都识别执行该事务的客户端的IP地址,并为该客户端增加相应的计数。为此,攻击检测模块52识别来自协议解码器30的事务数据36中客户端的IP地址。攻击检测模块52建立包括对应于执行攻击事务的每个客户端中的计数的客户端事务表(未示出)。
攻击检测模块52监测客户端事务表中的条目,以确定任何客户端已请求该攻击事务的次数是否超过平均客户端事务表58中定义的阈值。攻击检测模块52将具有超过相应阈值的请求数目的每个客户端标记为恶意客户端,并使IDP 20对于这样的恶意客户端执行程序化响应。在一些实例中,程序化响应包括以下操作中的一个或多个:阻断恶意客户端的网络连接、丢弃与恶意客户端相关联的网络连接的数据包、阻断由恶意客户端发起的连接尝试、向另一网络设备通告恶意客户端的IP地址以使另一网络设备阻断该恶意客户端的网络连接、向恶意客户端发送结束会话消息、对来自该客户端的将来的会话进行速率限制、以及向与恶意客户端通信的服务器发送结束会话消息。为了向恶意客户端发送诸如结束会话消息的消息,攻击检测模块52指示转发组件31汇编并转发消息。在一些实例中,结束会话消息包括TCP/IP结束会话消息。
在一些实例中,当检测到安全风险时(诸如客户端超过攻击事务类型的相应的阈值),状态检测引擎28向安全管理模块44输出警报40(图2)用于记录和进一步分析。状态检测引擎28还可以指示转发组件31执行安全风险的程序化响应。如以上所讨论的,程序化响应可以包括自动丢弃与在其中检测到网络攻击的应用层通信相关联的数据包流的数据包。由于数据包被丢弃,所以数据包将不能到达他们预期的目的。这防止了恶意客户端在其目的上执行其预期的攻击,例如消耗过多的目标的资源。状态检测引擎28还可以使转发组件31向恶意网络会话中的一个或多个参与者发送结束会话消息作为程序化响应。
关于“example.com”的以上实例,假定攻击检测模块52确定在第二阶段期间事务“example.com/get_shipping_cost”超过平均事务表56中的相应阈值。即,“example.com/get_shipping_cost”是攻击事务类型。因此,在第三阶段期间,攻击检测模块52将确定每个客户端执行“example.com/get_shipping_cost”的次数,并且将这些值与平均客户端事务表58中定义的阈值相比较。当单个客户端执行超过平均客户端事务表58中定义的阈值的“example.com/get_shipping_cost”时,攻击检测模块52将该客户端标记为恶意的,并使IDP20对于该客户端执行程序化响应。
以这种方式,攻击检测模块52能够只将那些执行超过相应的客户端-事务阈值的特定事务类型的客户端标记为恶意的和阻断的,而不阻断未超过客户端-事务阈值的无恶意实体的接入服务(即,事务类型)。
在图3的实例中,IDP 20包括阈值学习模块59。阈值学习模块59在IDP 20的学习阶段期间动态地生成连接阈值54、平均事务表56、和平均客户端事务表58。当IDP 20进入学习阶段时,阈值学习模块59从协议解码器30接收事务数据34和应用层数据36。在学习阶段期间,阈值学习模块59从流表35(图2)中检索数据。阈值学习模块59在学习阶段期间监测该数据以例如基于学习的平均值定义攻击定义33的阈值,从而攻击检测模块52能够确定后续监测的数据是否超过学习阶段期间确定的阈值。在一些实例中,阈值学习模块59在一天的不同时间和/或一周的不同时间执行不同学习阶段,以说明关于不同天和一天的不同时间的自然变化的原因。
在一些实例中,阈值学习模块59将通过流表35确定的学习阶段期间连接的平均数定义为连接阈值54。在学习阶段期间,阈值学习模块59还生成平均事务表56和平均客户端事务表58。阈值学习模块59为协议解码器30解码的特定协议识别每个事务类型、每个事务类型的请求的平均数和/或请求的速率(记录在平均事务表56中)、以及每个单个客户端执行每个事务类型的平均次数和/或速率(记录在平均客户端事务表58中)。
在一些实例中,阈值学习模块59根据统计上的重大改变(诸如偏离计算的平均值的多个标准差)设置阈值,而不是定义阈值为计算的平均值。在一个实例中,阈值学习模块59将连接阈值设置为偏离连接的确定的平均数的两个标准差、将特定事务类型的事务类型阈值设置为偏离该事务类型的请求的确定的平均数的两个标准差、以及将客户端-事务阈值设置为偏离该事务类型的客户端请求的确定的平均数的两个标准差。在另一实例中,阈值学习模块59以高出学习的平均阈值一定的百分比值设置连接阈值,诸如高出学习的平均阈值百分之十五。管理员可以配置或者改变该百分比值。
虽然作为独立的模块描述,然而在一些实例中,攻击检测模块52和阈值学习模块59被结合到单个模块。在一些实例中,攻击检测模块52实现关于阈值学习模块59描述的功能。此外,攻击检测模块52和/或阈值学习模块59可以以软件、固件和/或硬件的任意组合来实现。在一些实例中,诸如ASIC或者FPGA的专用硬件单元实现攻击检测模块52和/或阈值学习模块59中的一个或者两者的功能。因此,本文中使用的术语“模块”可以包括在计算机可读介质中编码的可执行指令以及专用硬件单元。
图4是示出了具有网络设备的实例布置的系统的框图,其中IDP 20监测来自多个客户端设备66A~66H(客户端设备66)的业务,以防止对企业设备60的网络攻击。在图4的实例中,IDP 20保护可以对应于节点8中的任意一个(图1)的企业设备60。客户端设备66经由边缘设备62A~62D(边缘设备62)中的相应的一个与企业设备60进行通信。例如,客户端设备66A到企业设备60的网络通信被边缘设备62A转发。边缘设备62可以包括例如路由器、交换机、网关、或其他中间网络设备。
在图4的实例中,边缘设备62还收集IDP 20的数据以辅助IDP20执行本发明公开中所述的三阶段分析。边缘设备62还可以收集IDP 20在执行学习阶段中使用的数据。通常,边缘设备62确定相应的客户端设备66到企业设备60的连接数目和/或连接请求的速率、每个事务类型的请求的总数以及边缘设备62中的一个连接到其上的客户端设备66。边缘设备62将该数据转发到IDP 20,以及IDP 20聚集(aggregate)来自每个边缘设备66的数据,以确定是否阻断客户端设备66中的特定的一个,例如,当客户端设备66中的一个超过请求攻击事务类型的阈值时。
在图4的实例中,边缘设备62B和62C被连接到采样设备64。采样设备64可以附加地或者可选地被配置为为IDP 20收集数据,以辅助IDP 20执行的三阶段分析。以这种方式,IDP 20可以根据远程监控包含恶意网络设备的多个网络设备来阻断恶意网络设备。
尽管图4中示出了四个边缘设备62和八个客户端设备66,不过公共网络6可以包括任意数量的边缘设备62和客户端设备66,并且以任意方式布置。此外,在一些实例中,IDP 20通过一个或多个中间设备(诸如路由器、交换机、网关、或集线器)通信连接到边缘设备62。
图5是示出了用于执行学习阶段以动态确定连接阈值、事务类型阈值和客户端-事务阈值的实例方法的流程图。尽管图5的方法主要相对于阈值学习模块59(图3)来描述,不过可以配置其他的模块和/或设备来执行图5的方法。尽管图5中示为步骤序列,不过图5的每个步骤还可以并行执行。在一个实例中,攻击检测模块52(图3)执行图5的方法。通常,阈值学习模块59在学习阶段期间执行图5的方法以确定连接阈值54、平均事务表56和平均客户端事务表58。
在学习阶段期间,阈值学习模块59接收来自流表35(图2)的连接数据以及来自协议解码器30(图3)的事务数据34和应用层元36。在图5的实例中,根据该连接数据,阈值学习模块59确定连接的平均数(80)、连接请求的平均数(82)、以及接收连接请求的平均速率(84)。作为一个实例,阈值学习模块59从TCP SYN数据包中识别连接请求,为此,在TCP报头中设置SYN标记,器指向节点8中的一个(图1)。阈值学习模块59将连接的平均数确定为学习阶段期间正在进行的连接的平均数。
在一个实例中,阈值学习模块59将学习阶段分割为多个时间间隔(也被称为“时间周期”)。阈值学习模块59确定每个时间间隔中的活动连接数目,以及计算该时间间隔期间连接的平均数。阈值学习模块59可以将计算的连接的平均数设置为连接阈值54。在一个实例中,每个时间周期包括三十秒。在一个实例中,阈值学习模块59确定在每个时间间隔期间接收到的连接请求数目,以及计算该时间间隔期间的连接请求的平均数作为连接阈值54的连接请求的平均速率。在一个实例中,连接阈值54包括存储活动事务的平均数和连接请求的平均速率的表。
阈值学习模块59还确定每个事务类型的事务的平均数(86)。阈值学习模块59将平均事务表56构造为识别每个事务类型和在学习阶段期间请求每个事务类型的次数的表。在一些实例中,阈值学习模块59确定在每个时间间隔期间执行每个事务类型的次数,并对于这些时间间隔由该数目计算每个事务类型的平均值。在一些实例中,阈值学习模块59构造平均事务表56作为类似于下表1的表:
表1
| 事务类型 | 请求数目 |
| example.com/home | 1,000 |
| example.com/get_shipping_cost | 250 |
| example.com/place_order | 100 |
| example.com/display_catalog | 800 |
| example.com/search_for_item | 700 |
| example.com/view_cart | 175 |
| example.com/order_status | 80 |
阈值学习模块59还确定每个事务类型(诸如特定协议字段的每个条目类型)被单个客户端执行或者请求的平均次数(86)。即,对于每个事务类型,阈值学习模块59确定:(i)该事务类型的实例被执行,以及(ii)执行该事务类型的实例的客户端设备的标识符(例如,IP地址)。阈值学习模块59将该数据存储为平均客户端事务表58。在一些实例中,阈值学习模块59将平均客户端事务表58构造为类似于以下表2的表:
表2
| 事务类型 | 每个客户端请求的平均数 |
| example.com/home | 3 |
| example.com/get_shipping_cost | 2 |
| example.com/place_order | 1 |
| example.com/display_catalog | 8 |
| example.com/search_for_item | 10 |
| example.com/view_cart | 4 |
| example.com/order_status | 2 |
图6是示出了用于防止网络泛洪攻击的实例方法的流程图。通常,图6的方法包括:监测至受保护的网络设备的连接,以及一旦确定该连接超过连接阈值,则监测每个连接的多个事务类型。该方法还包括:一旦确定多个事务类型中的至少一个超过相应的事务类型阈值,则监测从其发起多个事务类型中的至少一个的事务的网络地址,以及当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过相应的客户端-事务阈值时,对于该至少一个网络地址执行程序化响应。尽管描述了关于IDP 20(图2和图3),不过其他设备也能够执行图6的方法。
首先,IDP 20在第一阶段开始,并监测到节点8中的每个的连接(100),节点8中的每个是由IDP 20保护的网络设备。攻击检测模块52将节点8中的每个的活动连接和/或连接请求与连接阈值54相比较(102),以确定节点8中的特定的一个(诸如节点8A)的连接数目和/或接收连接请求速率是否超过连接阈值54定义的限制。当连接数目和/或接收连接请求的速率保持在阈值以下(102的“否”分支)时,攻击检测模块52继续监测连接并且保持在分析的第一阶段。然而,当连接数目和/或接收连接请求的速率中的一个或两个超过节点8中的一个(诸如节点8A)的连接阈值54时(102的“是”分支),攻击检测模块52转换到分析的第二阶段。通常,攻击检测模块52确定节点8中的每个的连接超过连接阈值54时,攻击检测模块52对于节点8中的每个转换到第二阶段。即,在一些实例中,IDP 20为节点8中的每个维护分析的不同阶段。因此,攻击定义33可以为节点8中的每个定义不同的阈值。例如,不同的节点8可以基于节点8的特性具有不同的相关阈值。
在第二阶段期间,攻击检测模块52监测其连接数目超过连接阈值54的每个事务类型(104),诸如本实例中的节点8A。在一些实例中,攻击检测模块52还开启第二阶段的定时器,从而如果定时器届满而没有进入第三阶段,则攻击检测模块52转换回分析的第一阶段。攻击检测模块52计算对应于每个事务类型执行的多个事务的每个事务类型的数目。在一些实例中,攻击检测模块52额外地或者可选地确定请求每个事务类型的速率。攻击检测模块52将每个事务类型的值与平均事务表56中定义的相应的事务类型阈值相比较(106)。在一些实例中,在以上描述的定时器实例之外或者作为定时器实例的可选项,当连接的数目和/或接收连接请求的速率不再超过连接阈值54时,攻击检测模块52转换回第一阶段。即,在一些实例中,当连接的数目和/或接收连接请求的速率不再超过连接阈值54时,攻击检测模块52不使用定时器而是转换回第一阶段。在另外一些实例中,当第二阶段定时器届满时或者当连接的数目和/或接收连接请求的速率不再超过连接阈值54时,攻击检测模块52转换回第一阶段。在这样的实例中,攻击检测模块52使用滞后来避免第一阶段和第二阶段之间的抖动。
当每个事务类型保持在相应的事务类型阈值之下时(106的“否”分支),则攻击检测模块52保持在分析的第二阶段,如果定时器届满,或者连接的数目和/或接收节点8中的特定一个的连接请求的速率不再超过连接阈值54定义的限制,则可以最终转换回第一阶段。然而,当攻击检测模块52确定各事务类型中的至少一个超过相应的事务类型阈值时(106的“是”分支),则攻击检测模块52对于该事务类型转换到分析的第三阶段。超过相应阈值的每个事务类型被称为攻击事务类型。此外,对于给定的节点,攻击检测模块因此可以对于事务类型的第一子集在第三阶段操作,而对于事务类型的其他子集继续在第二阶段或者第一阶段操作。
在第三阶段期间,攻击检测模块52监测正在执行攻击事务类型的客户端(108)。即,攻击检测模块52识别执行攻击事务类型的每个客户端的IP地址,并记录客户端中的每个执行每个攻击事务类型的次数。攻击检测模块52将每个客户端的数目与平均事务表58中定义的相应阈值相比较(110)。当特定的客户端超过攻击事务类型的客户端-事务阈值时(110的“是”分支),IDP 20阻断客户端(114)或者对于该客户端执行程序化响应。当客户端没有超过攻击事务类型的客户端-事务阈值时(110的“否”分支),IDP 20允许客户端的通信继续进行(112)。以这种方式,攻击检测模块52能够只将执行超过相应的客户端-事务阈值的特定事务类型的那些客户端标记为恶意的和阻断的,而不会阻止未超过客户端-事务阈值的无恶意实体接入服务(即,该事务类型)。在一些实例中,当第三阶段的定时器届满和/或当每个事务类型不再超过相应的事务类型阈值时,攻击检测模块52为第三阶段设置定时器并且转换回第二阶段。在一些实例中,当客户端设备被阻断时,攻击检测模块52重置定时器。在一些实例中,在以上描述的定时器实例之外或者作为定时器实例的可选项,当每个事务类型不再超过相应的事务类型阈值时,攻击检测模块52转换回第二阶段。即,在一些实例中,当每个事务类型不再超过相应的事务类型阈值时,攻击检测模块52不使用定时器而是转换回第二阶段。在另外一些实例中,当第三阶段定时器届满时以及当连接的数目和/或每个事务类型不再超过相应的事务类型阈值时,攻击检测模块52转换回第二阶段。在这样的实例中,攻击检测模块52使用滞后来避免第二阶段和第三阶段之间的抖动。
图7是示出了用于防止网络泛洪攻击的方法的可选视图的状态转换图。图7通常描述了当IDP 20监测到至节点8的业务时IDP 20的不同状态。首先,IDP 20开始于学习阶段,在该阶段中IDP 20确定连接阈值、事务类型阈值、和客户端-事务阈值(120)。当学习阶段结束时,例如在预定的学习阶段时间段之后,IDP 20转换回对应于上述第一阶段的连接监测状态(122)。在连接监测状态期间,IDP 20监测活动连接和连接请求的数目和/或速率,以及将其与相应的连接阈值相比较。
当给定资源(例如,图1的节点8中的一个)超过连接阈值时,IDP 20进入对于该节点对应于第二阶段的事务类型监测状态(124)。在一些实例中,无论一个或多个连接中的哪一个触发了该事务,IDP 20可以对于所有连接转换到事务类型监测状态。一旦进入事务类型监测状态,IDP 20则设置该状态的定时器,并且当定时器届满时,IDP 20转换回连接监测状态。在事务类型监测状态期间,IDP 20监测节点的每个事务类型,诸如每个事务类型的请求数目。IDP 20还将与节点相关联的每个事务类型的请求与相应的事务类型阈值相比较。
当IDP 20确定事务类型超过相应的阈值时(并因此是攻击事务类型),IDP 20转换到至少该事务类型的特定客户端监测状态(126)。在一些实例中,无论一个或多个事务类型中的哪一个触发了该事务,IDP 20可以对于所有事务类型转换到特定客户端监测状态。当定时器届满时,IDP 20设置该状态的定时器,并且转换到事务类型监测状态。IDP 20通常确定在该状态中每个客户端执行攻击事务类型的次数,并将其与攻击事务类型的客户端-事务阈值相比较。
在图7的实例中,当IDP 20确定客户端已经在执行超过客户端-事务阈值的攻击事务类型时,IDP 20阻断该客户端。在其他实例中,IDP 20执行上述一个或多个其他的程序化响应,诸如丢弃相应的通信会话的数据包、阻断来自该客户端的将来的连接请求、向客户端和/或服务器发送结束会话消息、对该客户端的将来的会话进行速率限制、以及通告客户端的IP地址以使另一网络设备阻断该客户端。当该客户端被阻断之后,IDP 20返回到客户端监测状态,在一些实例中,IDP 20在阻断该客户端之后重置该状态的定时器。
在操作模式的实例中,假定连接阈值被定义为2000个连接,“example.com/get_shipping_cost”的事务类型阈值被定义为250,以及“example.com/get_shipping_cost”的客户端-事务阈值为2。在确定这些实例阈值之后,IDP 20可以进入在其中IDP 20监测连接的第一阶段。当IDP 20确定与“example.com”相关联的节点的连接数目超过2000时,IDP 20对于与“example.com”相关联的节点转换到第二阶段,在此期间,IDP 20监测与“example.com”相关联的节点发生的每个事务类型。在这段时间中,IDP 20可以对除与“example.com”相关联的节点之外的正在被监测的其他节点继续在第一阶段中操作。在除对该节点执行第二阶段监测之外,IDP 20还对与“example.com”相关联的节点继续执行第二阶段监测。
当IDP 20在第二阶段期间确定已经有超过250个对事务“example.com/get_shipping_cost”的请求时,IDP 20对于该事务类型转换到分析的第三阶段,在此期间,IDP 20监测执行“example.com/get_shipping_cost”的每个客户端。在这段时间中,IDP 20可以对与“example.com”相关联的其他事务类型继续在第二阶段中操作,还对与“example.com”相关联的节点执行第一阶段监测,以及可以对除与“example.com”相关联的节点之外的正在被监测的其他节点继续在第一阶段中操作。
当IDP 20在第三阶段中确定诸如具有IP地址“1.1.1.1”的客户端的特定客户端在每时间段执行“example.com/get_shipping_cost”超过两次时,IDP 20将与IP地址“1.1.1.1”相关联的客户端识别为恶意的,并且阻断从IP地址“1.1.1.1”发起的一些或者所有通信。IDP 20还可以对IP地址“1.1.1.1”执行本发明公开中所述的其他程序化响应,诸如向IP地址“1.1.1.1”发送结束会话消息、向其他设备通告IP地址“1.1.1.1”以使其他设备阻断来自IP地址“1.1.1.1”的通信、对将“1.1.1.1”作为参与者的将来的网络会话进行速率限制、或者阻断来自IP地址“1.1.1.1”的将来的连接尝试。即使当阻断或执行关于IP地址“1.1.1.1”的其他响应时,IDP 20可以继续接受并处理不超过客户端-事务阈值的其他IP地址发起的通信。以这种方式,IDP 20可以以有效方式提供可扩展的、目标性的安全监测,而不会损害正常的、无恶意的客户端访问资源。
作为另一实例,假定要被保护的服务是DNS服务器10.10.10.1,标准负载是500个请求/秒。该系统为10.10.10.1的服务器保持每秒DNS请求的业务统计。当该速率超过每秒500个请求时,该系统转换进入第二阶段。在第二阶段期间,对于DNS,识别DNS查询中的域名的协议字段被配置为在该阶段中进行监测。DNS协议解码器生成名称查询资源记录的协议字段,在本实例中,阈值被定义为每时间周期250次点击,其中“时间周期(tick)”被定义为30秒。在第二阶段中,以上协议字段的前n个值对每一个以一速率一起维护。如果该速率超过配置的阈值(在本实例中,每30秒时间间隔250次点击)时,该系统将转换到第三阶段。在本实例中,我们说xyz.com是超过每30秒250次点击的记录的值。在第三阶段期间,监测记录的异常值“xyz.com”,以识别正在滥用服务的源IP地址。签名是xyz.com(在记录中)。假定客户端IP阈值被定义为每分钟5次点击(即,在本实例中,每2个时间周期5次点击,其中,“时间周期”还是30秒时间间隔)。作为响应,IP操作被定义为阻断源IP 5分钟。因此,在本实例中,在一分钟内对xyz.com超过5个DNS请求的任何客户端被标记,并且从网络阻断5分钟。
图8是示出了一种实例路由器150的框图。在图8的实例中,路由器150包括为路由器150执行不同任务的不同的“平面(plane)”。通常,路由器150包括:转发平面190,用于接收和/或发送数据包;路由平面170,专用于路由功能(例如,计算通过网络的路由);以及服务平面160,包括多个服务卡164,每个均为路由器150执行各种繁杂任务。通常,服务卡164可以扩展路由器150的功能以为路由器150执行附加功能。服务卡164可以被移除或者用实现其他功能的其他卡替代。具体地,服务卡164包括执行本发明公开的技术(即,防止网络泛洪攻击)的IDP卡162。
在图8的实例中,服务平面卡164包括IDP卡162,其通常实现关于IDP 20(图2和3)描述的功能。即,IDP卡162可以包括:控制单元;计算机可读介质,存储连接阈值、事务类型阈值、和客户端-事务阈值;重组模块,在控制单元内执行以重组多个网络会话的应用层数据;以及攻击检测模块,在控制单元中执行以监测至受保护的网络设备的多个网络会话的连接、当该连接超过连接阈值时监测多个网络会话的多个事务类型、当多个事务类型中的至少一个超过事务类型阈值时监测发起多个事务类型中的至少一个的网络地址、以及当从至少一个网络地址发起的多个事务类型中的至少一个的事务超过客户端-事务阈值时对于网络地址中的至少一个执行程序化响应。以这种方式,在图8的实例中,本发明公开的技术在网络设备中而不是在专用IDP(即,路由器)中实施。服务卡164还可以包括:例如,防火墙卡、安全管理卡、用户界面卡、附加的网络接口、或其他类型的服务卡。服务卡164还可以包括运行诸如防火墙、虚拟专用网络、以及入侵检测和防御的多个安全服务(包括本发明公开的技术)的专用、通用服务卡。
服务卡164还向流控制单元192发送消息166。在一个实例中,IDP卡162发送包含具体的数据包流的指令的消息166。即,IDP卡162可以指示流控制单元192丢弃数据包流的数据包、向数据包流的客户端站或服务器发送结束会话消息、或者在确定数据包流不是恶意的之后停止向IDP卡162发送数据包流的数据包。其他的服务卡164还可以向流控制单元192发送类似的消息166。流控制单元192可以基于从IDP卡162和服务卡164接收到的消息更新过滤器。
路由器150还包括路由平面170,其中,路由器150执行各种路由任务。例如,路由平面170的路由引擎172根据一个或多个协议178计算路由器150连接到的网络的路由。路由器150还经由服务通信模块(SCM)176从其他路由器接收通告的路由(advertisedroute)。路由引擎172将通告的和计算的路由存储在路由信息库(RIB)180中。路由引擎172还根据通告的和计算的路由向转发组件194发送更新,以便转发组件194可以沿着路由引擎172计算的路由恰当地转发接收到的数据包。
在图8的实例中,路由引擎172还包括用户界面(UI)174。UI 174使管理员(admin)152能够与路由器150交互,例如向协议178增加新协议或更新协议178中现有的一些。例如,管理员152可以为路由引擎172添加新的路由协议。在一些实例中,管理员152使用UI 174配置诸如IDP卡162的服务平面卡164。例如,UI 174可以呈现图5的实例用户界面以允许管理员152配置IDP卡162,例如其指标和权数。UI 174还通过服务通信模块176将接收的权数和指标传送至IDP卡162。
通常,转发平面190为路由器接收并转发数据包。流控制单元192接收各种数据包流或者其他网络会话的数据包154。当流控制单元192接收用于路由引擎172的消息时,流控制单元192通过例如服务卡164中的一个将消息送往路由引擎172。流控制单元192通过一个或多个服务卡164指示某些数据包。流控制单元192还可以向转发组件194直接发送接收到的数据包。当IDP卡162已经将消息166发送到流控制单元192以阻断具体的数据包流的数据包时,流控制单元192丢弃其数据包流的接收到的数据包154。
转发组件194还根据从路由引擎172接收到的消息维护转发信息库(FIB)196。转发组件194还根据FIB 196将网络会话的数据包转发给另一网络设备。当路由引擎172通告路径时,转发组件194将通告的路径转发给与路由器150通信的一个或多个其他的路由器。
本发明公开中所描述的技术可以以硬件、软件、固件或其任意组合实现或者至少部分实现。例如,所述的技术的各个方面可以在一个或多个处理器中实现,该处理器包括一个或多个微处理器、数字信号处理器(DSP)、专用集成电路(ASIC)、现场可编程门阵列(FPGA)或任意其他等同的集成电路或独立逻辑电路,以及这些组件的任意组合。术语“处理器”或者“处理电路”一般指的是前述逻辑电路中的任意一种、独立的或者与其它逻辑电路组合、或者任意其他等同电路。包含硬件的控制单元还可以执行本发明公开的一个或多个技术。
这样硬件、软件和固件可以在同一设备或独立的设备内实现,以支持本发明公开中所描述的各种操作和功能。此外,所描述单元、模块或组件中的任意一种可以作为分立但相互操作的逻辑器件一起或者单独实现。模块或单元的不同特征的描述旨在强调不同功能的方面,但并不一定意味着这样的模块或单元必须由独立的硬件或软件组件实现。相反,与一个或多个模块或单元相关联的功能可以通过独立的硬件或软件组件、或集成在通用或独立的硬件或软件组件中来实现。
本发明公开中描述的技术还可以在包含指令的计算机可读介质(例如,计算机可读存储介质)中被实现或者编码。例如,当执行指令时,在计算机可读介质中嵌入或者编码的指令可以是使可编程处理器或者其他处理器执行该方法的程序指令。计算机可读存储介质可以包括:随机存取存储器(RAM)、只读存储器(ROM)、可编程只读存储器(PROM,)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM)、闪存、硬盘、CD-ROM、软盘、磁带、磁介质、光介质、或其他计算机可读介质。
已经描述了各种实例。这些或其他实例在以下的权利要求的范围内。
Claims (20)
1.一种防御分布式网络泛洪攻击的方法,包括:
使用第一网络设备监测到被所述第一网络设备保护的第二网络设备的网络连接;
当确定与所监测的网络连接相关联的参数超过连接阈值时,监测与所述网络连接相关联的多个事务类型中的每一个;
当确定与所述多个事务类型中的至少一个相关联的参数超过相应的事务类型阈值时,监测与发起所述多个事务类型中的所述至少一个的事务的网络地址相关联的通信;以及
当从所述网络地址中的至少一个发起的所述多个事务类型中的所述至少一个的事务超过相应的客户端-事务阈值时,针对所述网络地址中的所述至少一个执行程序化操作,其中,执行所述程序化操作包括执行以下操作中的一个或多个:阻断所述网络地址中的所述至少一个的网络连接、丢弃与所述网络地址中的所述至少一个相关联的网络连接的数据包、阻断从所述网络地址中的所述至少一个发起的连接尝试、向第三网络设备通告所述网络地址中的所述至少一个以使所述第三网络设备阻断所述网络地址中的该至少一个的网络连接、向所述网络地址中的所述至少一个发送结束会话消息、对来自所述网络地址中的所述至少一个的将来的网络会话进行速率限制、以及向与所述网络地址中的所述至少一个相关联的所述第二网络设备发送结束会话消息。
2.根据权利要求1所述的方法,
其中,监测所述网络连接包括:确定到所述第二网络设备的网络连接的数目,作为所述与所监测的网络连接相关联的参数,以及
其中,确定与所监测的网络连接相关联的参数超过所述连接阈值包括:确定到所述第二网络设备的网络连接的数目超过所述连接阈值,其中,所述连接阈值限定了同时连接的阈值数目。
3.根据权利要求1所述的方法,
其中,监测所述连接包括:确定对所述第二网络设备的连接请求的接收速率,作为所述与所监测的网络连接相关联的参数,以及
其中,确定与所监测的网络连接相关联的参数超过所述连接阈值包括:确定对所述第二网络设备的连接请求的接收速率超过所述连接阈值,其中,所述连接阈值限定了连接请求被接收的阈值速率。
4.根据权利要求1所述的方法,其中,监测与所述网络连接相关联的所述多个事务类型中的每一个包括:监测所述事务的一个或多个协议字段的值。
5.根据权利要求1所述的方法,
其中,监测所述多个事务类型中的每一个包括:确定在一段时间内所述多个事务类型中的每一个的事务数目,作为与所述多个事务类型中的所述至少一个相关联的参数,以及
其中,确定与所述多个事务类型中的所述至少一个相关联的参数超过事务阈值包括:确定所述多个事务类型中的所述至少一个的所述事务数目超过所述事务类型阈值,其中,所述事务类型阈值限定了所述多个事务类型中的所述至少一个的事务的阈值数。
6.根据权利要求1所述的方法,
其中,监测所述多个事务类型中的每一个包括:确定所述多个事务类型中的每一个的接收速率,作为所述与所述多个事务类型中的所述至少一个相关联的参数,以及
其中,确定与所述多个事务类型中的所述至少一个相关联的参数超过事务阈值包括:确定所述多个事务类型中的所述至少一个的事务的接收速率超过所述事务类型阈值,其中,所述事务类型阈值限定了接收所述多个事务类型中的所述至少一个的事务的阈值速率。
7.根据权利要求1所述的方法,
其中,监测与所述网络地址相关联的所述通信包括:为所述网络地址中的每一个确定在一段时间内从所述网络地址发起的所述多个事务类型中的所述至少一个的事务数目,以及
其中,执行所述程序化操作包括:当为所述网络地址中的所述至少一个所确定的事务数目超过所述客户端-事务阈值时,对所述网络地址中的所述至少一个执行所述程序化操作,其中,所述客户端-事务阈值限定了单个客户端的所述多个事务类型中的所述至少一个的事务的阈值数。
8.根据权利要求1所述的方法,进一步包括:
在发生在监测到所述第二网络设备的所述连接之前的学习阶段期间确定所述连接阈值;
在所述学习阶段期间确定所述事务类型阈值;以及
在所述学习阶段期间确定所述客户端-事务阈值。
9.根据权利要求8所述的方法,其中,确定所述连接阈值包括计算以下中的至少一个:在所述学习阶段期间的并发连接的平均数、在一个或多个时间段上的所述学习阶段期间接收到的连接请求的数目、以及在所述学习阶段期间接收所述连接请求的速率。
10.根据权利要求8所述的方法,其中,确定所述事务类型阈值包括:计算在一个或多个时间段上的所述学习阶段期间的所述多个事务类型中的每一个的事务的平均数,以及基于所述事务的平均数设置所述事务类型阈值。
11.根据权利要求8所述的方法,其中,确定所述客户端-事务阈值包括:计算在所述学习阶段期间来自各个客户端的所述多个事务类型中的每一个的事务的平均数,以及基于事务的所述平均数设置所述客户端-事务阈值。
12.根据权利要求1所述的方法,其中,监测与所述连接相关联的所述多个事务类型中的每一个包括:
对所述多个事务类型中的每一个的数据包进行解码,以从所述数据包中提取应用层数据;以及
执行来自所述数据包的所述应用层数据的内容检测。
13.一种网络设备,包括:
网络接口,接收受保护的网络设备的多个网络会话的数据包;
计算机可读介质,存储连接阈值、事务类型阈值、和客户端-事务阈值;
控制单元,具有一个或多个处理器;
重组模块,在所述控制单元内执行,重组所述多个网络会话的应用层数据;以及
攻击检测模块,在所述控制单元内执行,监测到所述受保护的网络设备的所述多个网络会话的网络连接、当与所监测的网络连接相关联的参数超过所述连接阈值时监测与所述多个网络会话相关联的多个事务类型中的每一个、当与所述多个事务类型中的至少一个相关联的参数超过所述事务类型阈值时监测与发起所述多个事务类型中的所述至少一个的事务的网络地址相关联的通信、以及当从所述网络地址中的至少一个发起的所述多个事务类型中的所述至少一个的事务超过所述客户端-事务阈值时对于所述网络地址中的所述至少一个执行程序化操作,其中,所述程序化操作包括以下操作中的一个或多个:阻断所述网络地址中的所述至少一个的网络连接、丢弃与所述网络地址中的所述至少一个相关联的网络连接的数据包、阻断从所述网络地址中的所述至少一个发起的连接尝试、向第三网络设备通告所述网络地址中的所述至少一个以使所述第三网络设备阻断所述网络地址中的该至少一个的网络连接、向所述网络地址中的所述至少一个发送结束会话消息、对所述网络地址中的所述至少一个的将来的网络会话进行速率限制、以及向与所述网络地址中的所述至少一个相关联的所述受保护的网络设备发送结束会话消息。
14.根据权利要求13所述的网络设备,其中,为了监测所述连接,所述攻击检测模块计算到所述受保护的网络设备的连接数目,作为与所述所监测的网络连接相关联的参数,以及确定到所述受保护的网络设备的所述连接数目是否超过所述连接阈值。
15.根据权利要求13所述的网络设备,其中,为了监测所述连接,所述攻击检测模块计算到所述受保护的网络设备的连接请求的接收速率,作为与所述所监测的网络连接相关联的参数,以及确定所述速率是否超过所述连接阈值。
16.根据权利要求13所述的网络设备,其中,为了监测所述多个事务类型,所述攻击检测模块计算在一段时间内针对所述多个事务类型中的每一个的请求数目,作为与所述多个事务类型中的所述至少一个相关联的参数,以及确定所述数目是否超过所述事务类型阈值。
17.根据权利要求13所述的网络设备,其中,为了监测所述网络地址,所述攻击检测模块计算在一段时间内从所述网络地址中的每一个接收针对所述多个事务类型中的所述至少一个的请求的次数的数目,以及确定所述数目是否超过所述客户端-事务阈值。
18.根据权利要求13所述的网络设备,进一步包括阈值学习模块,用于在发生在监测到所述受保护的网络设备的所述网络连接之前的学习阶段期间确定所述连接阈值、在所述学习阶段期间确定所述事务类型阈值、在所述学习阶段期间确定所述客户端-事务阈值,以及在所述计算机可读介质中记录所述连接阈值、所述事务类型阈值和所述客户端-事务阈值。
19.根据权利要求18所述的网络设备,其中,所述阈值学习模块根据在所述学习阶段期间的并发连接的平均数、在所述学习阶段期间接收到的连接请求的数目、以及在所述学习阶段期间接收所述连接请求的速率中的至少一个计算所述连接阈值,其中,所述阈值学习模块计算在所述学习阶段期间所述多个事务类型中的每一个的事务的平均数作为所述事务类型阈值,以及其中,所述阈值学习模块计算在所述学习阶段期间来自各个客户端的所述多个事务类型中的每一个的事务的平均数作为所述客户端-事务阈值。
20.一种防御分布式网络泛洪攻击的系统,包括:
受保护的网络设备;
多个客户端设备,其中,所述多个客户端设备中的每一个参与与所述受保护的网络设备的多个网络会话中的一个;以及
网络安全设备,位于所述受保护的网络设备与所述多个客户端设备之间,其中,所述网络安全设备包括:
网络接口,接收所述多个网络会话的数据包;
计算机可读介质,存储连接阈值、事务类型阈值和客户端-事务阈值;
控制单元,具有一个或多个处理器;
重组模块,在所述控制单元内执行,重组所述多个网络会话的应用层数据;以及
攻击检测模块,在所述控制单元内执行,监测到所述受保护的网络设备的所述多个网络会话的网络连接、当与所监测的网络连接相关联的参数超过所述连接阈值时监测与所述多个网络会话相关联的多个事务类型中的每一个、当与所述多个事务类型中的所述至少一个相关联的参数超过所述事务类型阈值时监测与发起所述多个事务类型中的至少一个的事务的网络地址相关联的通信、以及当从所述网络地址中的至少一个发起的所述多个事务类型中的所述至少一个的事务超过所述客户端-事务阈值时对于所述网络地址中的至少一个执行程序化操作,其中,执行所述程序化操作包括执行以下操作中的一个或多个:阻断所述网络地址中的所述至少一个的网络连接、丢弃与所述网络地址中的所述至少一个相关联的网络连接的数据包、阻断从所述网络地址中的所述至少一个发起的连接尝试、向第三网络设备通告所述网络地址中的所述至少一个以使所述第三网络设备阻断所述网络地址中的该至少一个的网络连接、向所述网络地址中的所述至少一个发送结束会话消息、对来自所述网络地址中的所述至少一个的将来的网络会话进行速率限制、以及向与所述网络地址中的所述至少一个相关联的所述第二网络设备发送结束会话消息。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US23969009P | 2009-09-03 | 2009-09-03 | |
| US61/239,690 | 2009-09-03 | ||
| US12/607,107 US8789173B2 (en) | 2009-09-03 | 2009-10-28 | Protecting against distributed network flood attacks |
| US12/607,107 | 2009-10-28 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102014116A CN102014116A (zh) | 2011-04-13 |
| CN102014116B true CN102014116B (zh) | 2015-01-21 |
Family
ID=43218444
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201010235869.6A Active CN102014116B (zh) | 2009-09-03 | 2010-07-22 | 防御分布式网络泛洪攻击 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US8789173B2 (zh) |
| EP (1) | EP2293513B1 (zh) |
| CN (1) | CN102014116B (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381082A (zh) * | 2019-08-07 | 2019-10-25 | 北京邮电大学 | 基于Mininet的电力通信网络的攻击检测方法和装置 |
Families Citing this family (343)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8028090B2 (en) | 2008-11-17 | 2011-09-27 | Amazon Technologies, Inc. | Request routing utilizing client location information |
| US7991910B2 (en) | 2008-11-17 | 2011-08-02 | Amazon Technologies, Inc. | Updating routing information based on client location |
| US20090076965A1 (en) * | 2007-09-17 | 2009-03-19 | Microsoft Corporation | Counteracting random guess attacks against human interactive proofs with token buckets |
| US8121117B1 (en) | 2007-10-01 | 2012-02-21 | F5 Networks, Inc. | Application layer network traffic prioritization |
| US7970820B1 (en) | 2008-03-31 | 2011-06-28 | Amazon Technologies, Inc. | Locality based content distribution |
| US8601090B1 (en) | 2008-03-31 | 2013-12-03 | Amazon Technologies, Inc. | Network resource identification |
| US8533293B1 (en) | 2008-03-31 | 2013-09-10 | Amazon Technologies, Inc. | Client side cache management |
| US7962597B2 (en) | 2008-03-31 | 2011-06-14 | Amazon Technologies, Inc. | Request routing based on class |
| US8606996B2 (en) | 2008-03-31 | 2013-12-10 | Amazon Technologies, Inc. | Cache optimization |
| US8447831B1 (en) | 2008-03-31 | 2013-05-21 | Amazon Technologies, Inc. | Incentive driven content delivery |
| US8156243B2 (en) | 2008-03-31 | 2012-04-10 | Amazon Technologies, Inc. | Request routing |
| US8321568B2 (en) | 2008-03-31 | 2012-11-27 | Amazon Technologies, Inc. | Content management |
| US9456054B2 (en) | 2008-05-16 | 2016-09-27 | Palo Alto Research Center Incorporated | Controlling the spread of interests and content in a content centric network |
| US9407681B1 (en) | 2010-09-28 | 2016-08-02 | Amazon Technologies, Inc. | Latency measurement in resource requests |
| US7925782B2 (en) | 2008-06-30 | 2011-04-12 | Amazon Technologies, Inc. | Request routing using network computing components |
| US9912740B2 (en) | 2008-06-30 | 2018-03-06 | Amazon Technologies, Inc. | Latency measurement in resource requests |
| US8521880B1 (en) | 2008-11-17 | 2013-08-27 | Amazon Technologies, Inc. | Managing content delivery network service providers |
| US8732309B1 (en) | 2008-11-17 | 2014-05-20 | Amazon Technologies, Inc. | Request routing utilizing cost information |
| US8065417B1 (en) | 2008-11-17 | 2011-11-22 | Amazon Technologies, Inc. | Service provider registration by a content broker |
| US8060616B1 (en) | 2008-11-17 | 2011-11-15 | Amazon Technologies, Inc. | Managing CDN registration by a storage provider |
| US8122098B1 (en) | 2008-11-17 | 2012-02-21 | Amazon Technologies, Inc. | Managing content delivery network service providers by a content broker |
| US8073940B1 (en) | 2008-11-17 | 2011-12-06 | Amazon Technologies, Inc. | Managing content delivery network service providers |
| US8688837B1 (en) | 2009-03-27 | 2014-04-01 | Amazon Technologies, Inc. | Dynamically translating resource identifiers for request routing using popularity information |
| US8756341B1 (en) | 2009-03-27 | 2014-06-17 | Amazon Technologies, Inc. | Request routing utilizing popularity information |
| US8521851B1 (en) | 2009-03-27 | 2013-08-27 | Amazon Technologies, Inc. | DNS query processing using resource identifiers specifying an application broker |
| US8412823B1 (en) | 2009-03-27 | 2013-04-02 | Amazon Technologies, Inc. | Managing tracking information entries in resource cache components |
| US8914878B2 (en) | 2009-04-29 | 2014-12-16 | Juniper Networks, Inc. | Detecting malicious network software agents |
| US8782236B1 (en) | 2009-06-16 | 2014-07-15 | Amazon Technologies, Inc. | Managing resources using resource expiration data |
| US8397073B1 (en) | 2009-09-04 | 2013-03-12 | Amazon Technologies, Inc. | Managing secure content in a content delivery network |
| DE102010012693A1 (de) * | 2009-09-04 | 2011-03-17 | Hirschmann Automation And Control Gmbh | Anordnung und Verfahren zur automatisierten Erfassung und nachfolgenden Verfügbarkeitsberechnung einer Netzwerkstruktur mit aktiven Vermittlungsknoten für industrielle Anwendungen |
| US8433771B1 (en) | 2009-10-02 | 2013-04-30 | Amazon Technologies, Inc. | Distribution network with forward resource propagation |
| US8923293B2 (en) | 2009-10-21 | 2014-12-30 | Palo Alto Research Center Incorporated | Adaptive multi-interface use for content networking |
| US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
| US8806056B1 (en) | 2009-11-20 | 2014-08-12 | F5 Networks, Inc. | Method for optimizing remote file saves in a failsafe way |
| US9495338B1 (en) | 2010-01-28 | 2016-11-15 | Amazon Technologies, Inc. | Content distribution network |
| US20110219443A1 (en) * | 2010-03-05 | 2011-09-08 | Alcatel-Lucent Usa, Inc. | Secure connection initiation with hosts behind firewalls |
| US9503375B1 (en) | 2010-06-30 | 2016-11-22 | F5 Networks, Inc. | Methods for managing traffic in a multi-service environment and devices thereof |
| US9420049B1 (en) * | 2010-06-30 | 2016-08-16 | F5 Networks, Inc. | Client side human user indicator |
| US8347100B1 (en) | 2010-07-14 | 2013-01-01 | F5 Networks, Inc. | Methods for DNSSEC proxying and deployment amelioration and systems thereof |
| US8468247B1 (en) | 2010-09-28 | 2013-06-18 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8819283B2 (en) | 2010-09-28 | 2014-08-26 | Amazon Technologies, Inc. | Request routing in a networked environment |
| US9712484B1 (en) | 2010-09-28 | 2017-07-18 | Amazon Technologies, Inc. | Managing request routing information utilizing client identifiers |
| US9003035B1 (en) | 2010-09-28 | 2015-04-07 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US10097398B1 (en) | 2010-09-28 | 2018-10-09 | Amazon Technologies, Inc. | Point of presence management in request routing |
| US8577992B1 (en) | 2010-09-28 | 2013-11-05 | Amazon Technologies, Inc. | Request routing management based on network components |
| US10958501B1 (en) | 2010-09-28 | 2021-03-23 | Amazon Technologies, Inc. | Request routing information based on client IP groupings |
| US9313224B1 (en) * | 2010-09-30 | 2016-04-12 | Google Inc. | Connectivity protector |
| US8452874B2 (en) | 2010-11-22 | 2013-05-28 | Amazon Technologies, Inc. | Request routing processing |
| US9391949B1 (en) | 2010-12-03 | 2016-07-12 | Amazon Technologies, Inc. | Request routing processing |
| US8499348B1 (en) * | 2010-12-28 | 2013-07-30 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
| KR101036750B1 (ko) * | 2011-01-04 | 2011-05-23 | 주식회사 엔피코어 | 좀비행위 차단 시스템 및 방법 |
| EP2692092B1 (en) * | 2011-03-28 | 2014-12-17 | Citrix Systems Inc. | Systems and methods for tracking application layer flow via a multi-connection intermediary device |
| CN102158492B (zh) * | 2011-04-14 | 2014-03-12 | 福建星网锐捷网络有限公司 | Web认证方法、装置及网络设备 |
| US10467042B1 (en) | 2011-04-27 | 2019-11-05 | Amazon Technologies, Inc. | Optimized deployment based upon customer locality |
| US8879431B2 (en) | 2011-05-16 | 2014-11-04 | F5 Networks, Inc. | Method for load balancing of requests' processing of diameter servers |
| KR101715080B1 (ko) * | 2011-06-09 | 2017-03-13 | 삼성전자주식회사 | 네임 기반의 네트워크 시스템에서 펜딩 테이블의 오버플로우를 방지하는 노드 장치 및 방법 |
| US8997234B2 (en) * | 2011-07-27 | 2015-03-31 | Mcafee, Inc. | System and method for network-based asset operational dependence scoring |
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| CN102333010B (zh) * | 2011-10-10 | 2018-03-27 | 中兴通讯股份有限公司 | 单向链路检测保护的方法及系统 |
| US8677487B2 (en) * | 2011-10-18 | 2014-03-18 | Mcafee, Inc. | System and method for detecting a malicious command and control channel |
| CN103139246B (zh) * | 2011-11-25 | 2016-06-15 | 百度在线网络技术(北京)有限公司 | 负载均衡设备和负载均衡及防御方法 |
| US20130163417A1 (en) * | 2011-12-27 | 2013-06-27 | Mitel Networks Corporation | Application level admission overload control |
| WO2013107056A1 (zh) * | 2012-01-21 | 2013-07-25 | 华为技术有限公司 | 报文转发的方法及装置 |
| US8904009B1 (en) | 2012-02-10 | 2014-12-02 | Amazon Technologies, Inc. | Dynamic content delivery |
| US9843554B2 (en) | 2012-02-15 | 2017-12-12 | F5 Networks, Inc. | Methods for dynamic DNS implementation and systems thereof |
| US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
| US9020912B1 (en) | 2012-02-20 | 2015-04-28 | F5 Networks, Inc. | Methods for accessing data in a compressed file system and devices thereof |
| US9244843B1 (en) | 2012-02-20 | 2016-01-26 | F5 Networks, Inc. | Methods for improving flow cache bandwidth utilization and devices thereof |
| US9609017B1 (en) | 2012-02-20 | 2017-03-28 | F5 Networks, Inc. | Methods for preventing a distributed denial service attack and devices thereof |
| US10021179B1 (en) | 2012-02-21 | 2018-07-10 | Amazon Technologies, Inc. | Local resource delivery network |
| US9742732B2 (en) * | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
| US10623408B1 (en) | 2012-04-02 | 2020-04-14 | Amazon Technologies, Inc. | Context sensitive object management |
| WO2013163648A2 (en) | 2012-04-27 | 2013-10-31 | F5 Networks, Inc. | Methods for optimizing service of content requests and devices thereof |
| CN103428189B (zh) * | 2012-05-25 | 2016-06-29 | 阿里巴巴集团控股有限公司 | 一种识别恶意网络设备的方法、装置和系统 |
| US9154551B1 (en) | 2012-06-11 | 2015-10-06 | Amazon Technologies, Inc. | Processing DNS queries to identify pre-processing information |
| US8948001B2 (en) * | 2012-06-26 | 2015-02-03 | Juniper Networks, Inc. | Service plane triggered fast reroute protection |
| US9525659B1 (en) | 2012-09-04 | 2016-12-20 | Amazon Technologies, Inc. | Request routing utilizing point of presence load information |
| US9323577B2 (en) | 2012-09-20 | 2016-04-26 | Amazon Technologies, Inc. | Automated profiling of resource usage |
| US9282116B1 (en) * | 2012-09-27 | 2016-03-08 | F5 Networks, Inc. | System and method for preventing DOS attacks utilizing invalid transaction statistics |
| US10033837B1 (en) | 2012-09-29 | 2018-07-24 | F5 Networks, Inc. | System and method for utilizing a data reducing module for dictionary compression of encoded data |
| US9063974B2 (en) * | 2012-10-02 | 2015-06-23 | Oracle International Corporation | Hardware for table scan acceleration |
| PT106586A (pt) * | 2012-10-17 | 2014-04-17 | Inov Inesc Inovaç O Inst De Novas Tecnologias | Método e sistema de deteção de intrusões em redes e sistemas com base na especificação de processos de negócio |
| US9280546B2 (en) | 2012-10-31 | 2016-03-08 | Palo Alto Research Center Incorporated | System and method for accessing digital content using a location-independent name |
| US9578090B1 (en) | 2012-11-07 | 2017-02-21 | F5 Networks, Inc. | Methods for provisioning application delivery service and devices thereof |
| US9400800B2 (en) | 2012-11-19 | 2016-07-26 | Palo Alto Research Center Incorporated | Data transport by named content synchronization |
| US10430839B2 (en) | 2012-12-12 | 2019-10-01 | Cisco Technology, Inc. | Distributed advertisement insertion in content-centric networks |
| US9906438B2 (en) | 2012-12-19 | 2018-02-27 | Nec Corporation | Communication node, control apparatus, communication system, packet processing method, communication node controlling method and program |
| US10205698B1 (en) | 2012-12-19 | 2019-02-12 | Amazon Technologies, Inc. | Source-dependent address resolution |
| CN103051633B (zh) * | 2012-12-25 | 2016-09-07 | 华为技术有限公司 | 一种防御攻击的方法和设备 |
| CN103036905A (zh) * | 2012-12-27 | 2013-04-10 | 北京神州绿盟信息安全科技股份有限公司 | 企业网络安全分析方法和装置 |
| US10375155B1 (en) | 2013-02-19 | 2019-08-06 | F5 Networks, Inc. | System and method for achieving hardware acceleration for asymmetric flow connections |
| US9497614B1 (en) | 2013-02-28 | 2016-11-15 | F5 Networks, Inc. | National traffic steering device for a better control of a specific wireless/LTE network |
| US9071576B1 (en) * | 2013-03-12 | 2015-06-30 | Sprint Communications Comapny L.P. | Application rate limiting without overhead |
| US9978025B2 (en) | 2013-03-20 | 2018-05-22 | Cisco Technology, Inc. | Ordered-element naming for name-based packet forwarding |
| US9935791B2 (en) | 2013-05-20 | 2018-04-03 | Cisco Technology, Inc. | Method and system for name resolution across heterogeneous architectures |
| JP2014232923A (ja) * | 2013-05-28 | 2014-12-11 | 日本電気株式会社 | 通信装置、サイバー攻撃検出方法、及びプログラム |
| US9294391B1 (en) | 2013-06-04 | 2016-03-22 | Amazon Technologies, Inc. | Managing network computing components utilizing request routing |
| US9444722B2 (en) | 2013-08-01 | 2016-09-13 | Palo Alto Research Center Incorporated | Method and apparatus for configuring routing paths in a custodian-based routing architecture |
| US9246935B2 (en) | 2013-10-14 | 2016-01-26 | Intuit Inc. | Method and system for dynamic and comprehensive vulnerability management |
| CN104580107B (zh) * | 2013-10-24 | 2018-02-06 | 华为技术有限公司 | 恶意攻击检测方法及控制器 |
| US9407549B2 (en) | 2013-10-29 | 2016-08-02 | Palo Alto Research Center Incorporated | System and method for hash-based forwarding of packets with hierarchically structured variable-length identifiers |
| US9282050B2 (en) * | 2013-10-30 | 2016-03-08 | Palo Alto Research Center Incorporated | System and method for minimum path MTU discovery in content centric networks |
| US9276840B2 (en) | 2013-10-30 | 2016-03-01 | Palo Alto Research Center Incorporated | Interest messages with a payload for a named data network |
| US9401864B2 (en) | 2013-10-31 | 2016-07-26 | Palo Alto Research Center Incorporated | Express header for packets with hierarchically structured variable-length identifiers |
| US9313281B1 (en) | 2013-11-13 | 2016-04-12 | Intuit Inc. | Method and system for creating and dynamically deploying resource specific discovery agents for determining the state of a cloud computing environment |
| US10129365B2 (en) | 2013-11-13 | 2018-11-13 | Cisco Technology, Inc. | Method and apparatus for pre-fetching remote content based on static and dynamic recommendations |
| US9311377B2 (en) | 2013-11-13 | 2016-04-12 | Palo Alto Research Center Incorporated | Method and apparatus for performing server handoff in a name-based content distribution system |
| US10101801B2 (en) | 2013-11-13 | 2018-10-16 | Cisco Technology, Inc. | Method and apparatus for prefetching content in a data stream |
| US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
| CN104660565B (zh) * | 2013-11-22 | 2018-07-20 | 华为技术有限公司 | 恶意攻击的检测方法和装置 |
| US10089655B2 (en) | 2013-11-27 | 2018-10-02 | Cisco Technology, Inc. | Method and apparatus for scalable data broadcasting |
| US9503358B2 (en) | 2013-12-05 | 2016-11-22 | Palo Alto Research Center Incorporated | Distance-based routing in an information-centric network |
| US9300679B1 (en) | 2013-12-16 | 2016-03-29 | 8X8, Inc. | System and method for monitoring computing servers for possible unauthorized access |
| US9501345B1 (en) | 2013-12-23 | 2016-11-22 | Intuit Inc. | Method and system for creating enriched log data |
| US9323926B2 (en) * | 2013-12-30 | 2016-04-26 | Intuit Inc. | Method and system for intrusion and extrusion detection |
| US9379979B2 (en) | 2014-01-14 | 2016-06-28 | Palo Alto Research Center Incorporated | Method and apparatus for establishing a virtual interface for a set of mutual-listener devices |
| US10432658B2 (en) * | 2014-01-17 | 2019-10-01 | Watchguard Technologies, Inc. | Systems and methods for identifying and performing an action in response to identified malicious network traffic |
| US10172068B2 (en) | 2014-01-22 | 2019-01-01 | Cisco Technology, Inc. | Service-oriented routing in software-defined MANETs |
| US10098051B2 (en) | 2014-01-22 | 2018-10-09 | Cisco Technology, Inc. | Gateways and routing in software-defined manets |
| US9374304B2 (en) | 2014-01-24 | 2016-06-21 | Palo Alto Research Center Incorporated | End-to end route tracing over a named-data network |
| US9325726B2 (en) | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US9954678B2 (en) | 2014-02-06 | 2018-04-24 | Cisco Technology, Inc. | Content-based transport security |
| US10757133B2 (en) | 2014-02-21 | 2020-08-25 | Intuit Inc. | Method and system for creating and deploying virtual assets |
| US9866581B2 (en) | 2014-06-30 | 2018-01-09 | Intuit Inc. | Method and system for secure delivery of information to computing environments |
| US9276945B2 (en) * | 2014-04-07 | 2016-03-01 | Intuit Inc. | Method and system for providing security aware applications |
| US9678998B2 (en) | 2014-02-28 | 2017-06-13 | Cisco Technology, Inc. | Content name resolution for information centric networking |
| US10089651B2 (en) | 2014-03-03 | 2018-10-02 | Cisco Technology, Inc. | Method and apparatus for streaming advertisements in a scalable data broadcasting system |
| US9836540B2 (en) | 2014-03-04 | 2017-12-05 | Cisco Technology, Inc. | System and method for direct storage access in a content-centric network |
| US9391896B2 (en) | 2014-03-10 | 2016-07-12 | Palo Alto Research Center Incorporated | System and method for packet forwarding using a conjunctive normal form strategy in a content-centric network |
| US9473405B2 (en) | 2014-03-10 | 2016-10-18 | Palo Alto Research Center Incorporated | Concurrent hashes and sub-hashes on data streams |
| US9626413B2 (en) | 2014-03-10 | 2017-04-18 | Cisco Systems, Inc. | System and method for ranking content popularity in a content-centric network |
| US9602533B2 (en) | 2014-03-11 | 2017-03-21 | Vectra Networks, Inc. | Detecting network reconnaissance by tracking intranet dark-net communications |
| US9407432B2 (en) | 2014-03-19 | 2016-08-02 | Palo Alto Research Center Incorporated | System and method for efficient and secure distribution of digital content |
| US9916601B2 (en) | 2014-03-21 | 2018-03-13 | Cisco Technology, Inc. | Marketplace for presenting advertisements in a scalable data broadcasting system |
| US9363179B2 (en) | 2014-03-26 | 2016-06-07 | Palo Alto Research Center Incorporated | Multi-publisher routing protocol for named data networks |
| US9245117B2 (en) | 2014-03-31 | 2016-01-26 | Intuit Inc. | Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems |
| US9363086B2 (en) | 2014-03-31 | 2016-06-07 | Palo Alto Research Center Incorporated | Aggregate signing of data in content centric networking |
| US9716622B2 (en) | 2014-04-01 | 2017-07-25 | Cisco Technology, Inc. | System and method for dynamic name configuration in content-centric networks |
| US9390289B2 (en) | 2014-04-07 | 2016-07-12 | Palo Alto Research Center Incorporated | Secure collection synchronization using matched network names |
| US10075521B2 (en) | 2014-04-07 | 2018-09-11 | Cisco Technology, Inc. | Collection synchronization using equality matched network names |
| US9451032B2 (en) | 2014-04-10 | 2016-09-20 | Palo Alto Research Center Incorporated | System and method for simple service discovery in content-centric networks |
| US9088508B1 (en) * | 2014-04-11 | 2015-07-21 | Level 3 Communications, Llc | Incremental application of resources to network traffic flows based on heuristics and business policies |
| WO2015160331A1 (en) * | 2014-04-15 | 2015-10-22 | Hewlett-Packard Development Company, L.P. | Configurable network security |
| US11294700B2 (en) | 2014-04-18 | 2022-04-05 | Intuit Inc. | Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets |
| US9374389B2 (en) | 2014-04-25 | 2016-06-21 | Intuit Inc. | Method and system for ensuring an application conforms with security and regulatory controls prior to deployment |
| US9900322B2 (en) | 2014-04-30 | 2018-02-20 | Intuit Inc. | Method and system for providing permissions management |
| US9319415B2 (en) | 2014-04-30 | 2016-04-19 | Intuit Inc. | Method and system for providing reference architecture pattern-based permissions management |
| US9992281B2 (en) | 2014-05-01 | 2018-06-05 | Cisco Technology, Inc. | Accountable content stores for information centric networks |
| US9609014B2 (en) | 2014-05-22 | 2017-03-28 | Cisco Systems, Inc. | Method and apparatus for preventing insertion of malicious content at a named data network router |
| US9455835B2 (en) | 2014-05-23 | 2016-09-27 | Palo Alto Research Center Incorporated | System and method for circular link resolution with hash-based names in content-centric networks |
| US9330263B2 (en) | 2014-05-27 | 2016-05-03 | Intuit Inc. | Method and apparatus for automating the building of threat models for the public cloud |
| US9276751B2 (en) | 2014-05-28 | 2016-03-01 | Palo Alto Research Center Incorporated | System and method for circular link resolution with computable hash-based names in content-centric networks |
| US9537719B2 (en) | 2014-06-19 | 2017-01-03 | Palo Alto Research Center Incorporated | Method and apparatus for deploying a minimal-cost CCN topology |
| US9516144B2 (en) | 2014-06-19 | 2016-12-06 | Palo Alto Research Center Incorporated | Cut-through forwarding of CCNx message fragments with IP encapsulation |
| US9426113B2 (en) | 2014-06-30 | 2016-08-23 | Palo Alto Research Center Incorporated | System and method for managing devices over a content centric network |
| US9882927B1 (en) * | 2014-06-30 | 2018-01-30 | EMC IP Holding Company LLC | Periodicity detection |
| US9699198B2 (en) | 2014-07-07 | 2017-07-04 | Cisco Technology, Inc. | System and method for parallel secure content bootstrapping in content-centric networks |
| US11838851B1 (en) | 2014-07-15 | 2023-12-05 | F5, Inc. | Methods for managing L7 traffic classification and devices thereof |
| US9959156B2 (en) | 2014-07-17 | 2018-05-01 | Cisco Technology, Inc. | Interest return control message |
| US9621354B2 (en) | 2014-07-17 | 2017-04-11 | Cisco Systems, Inc. | Reconstructable content objects |
| US9590887B2 (en) | 2014-07-18 | 2017-03-07 | Cisco Systems, Inc. | Method and system for keeping interest alive in a content centric network |
| US9729616B2 (en) | 2014-07-18 | 2017-08-08 | Cisco Technology, Inc. | Reputation-based strategy for forwarding and responding to interests over a content centric network |
| US9535968B2 (en) | 2014-07-21 | 2017-01-03 | Palo Alto Research Center Incorporated | System for distributing nameless objects using self-certifying names |
| US10102082B2 (en) | 2014-07-31 | 2018-10-16 | Intuit Inc. | Method and system for providing automated self-healing virtual assets |
| US9473481B2 (en) | 2014-07-31 | 2016-10-18 | Intuit Inc. | Method and system for providing a virtual asset perimeter |
| US9882964B2 (en) | 2014-08-08 | 2018-01-30 | Cisco Technology, Inc. | Explicit strategy feedback in name-based forwarding |
| US9729662B2 (en) | 2014-08-11 | 2017-08-08 | Cisco Technology, Inc. | Probabilistic lazy-forwarding technique without validation in a content centric network |
| US9503365B2 (en) | 2014-08-11 | 2016-11-22 | Palo Alto Research Center Incorporated | Reputation-based instruction processing over an information centric network |
| US9391777B2 (en) | 2014-08-15 | 2016-07-12 | Palo Alto Research Center Incorporated | System and method for performing key resolution over a content centric network |
| US9800637B2 (en) | 2014-08-19 | 2017-10-24 | Cisco Technology, Inc. | System and method for all-in-one content stream in content-centric networks |
| US9467492B2 (en) | 2014-08-19 | 2016-10-11 | Palo Alto Research Center Incorporated | System and method for reconstructable all-in-one content stream |
| US9497282B2 (en) | 2014-08-27 | 2016-11-15 | Palo Alto Research Center Incorporated | Network coding for content-centric network |
| US10204013B2 (en) | 2014-09-03 | 2019-02-12 | Cisco Technology, Inc. | System and method for maintaining a distributed and fault-tolerant state over an information centric network |
| US10063439B2 (en) | 2014-09-09 | 2018-08-28 | Belkin International Inc. | Coordinated and device-distributed detection of abnormal network device operation |
| US9553812B2 (en) | 2014-09-09 | 2017-01-24 | Palo Alto Research Center Incorporated | Interest keep alives at intermediate routers in a CCN |
| US9026840B1 (en) * | 2014-09-09 | 2015-05-05 | Belkin International, Inc. | Coordinated and device-distributed detection of abnormal network device operation |
| US10069933B2 (en) | 2014-10-23 | 2018-09-04 | Cisco Technology, Inc. | System and method for creating virtual interfaces based on network characteristics |
| US9621579B2 (en) * | 2014-11-21 | 2017-04-11 | Symantec Corporation | Systems and methods for protecting against unauthorized network intrusions |
| US10182013B1 (en) | 2014-12-01 | 2019-01-15 | F5 Networks, Inc. | Methods for managing progressive image delivery and devices thereof |
| CN105934743B (zh) | 2014-12-13 | 2019-06-04 | 上海兆芯集成电路有限公司 | 一种微处理器及在其中检测arb的模式的方法 |
| US10324842B2 (en) * | 2014-12-13 | 2019-06-18 | Via Alliance Semiconductor Co., Ltd | Distributed hang recovery logic |
| JP6192858B2 (ja) * | 2014-12-13 | 2017-09-06 | ヴィア アライアンス セミコンダクター カンパニー リミテッド | ハングを検出するためのロジック・アナライザ |
| US9946651B2 (en) * | 2014-12-13 | 2018-04-17 | Via Alliance Semiconductor Co., Ltd | Pattern detector for detecting hangs |
| US9590948B2 (en) | 2014-12-15 | 2017-03-07 | Cisco Systems, Inc. | CCN routing using hardware-assisted hash tables |
| US9536059B2 (en) | 2014-12-15 | 2017-01-03 | Palo Alto Research Center Incorporated | Method and system for verifying renamed content using manifests in a content centric network |
| US10237189B2 (en) | 2014-12-16 | 2019-03-19 | Cisco Technology, Inc. | System and method for distance-based interest forwarding |
| US10097448B1 (en) | 2014-12-18 | 2018-10-09 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10033627B1 (en) | 2014-12-18 | 2018-07-24 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US10091096B1 (en) | 2014-12-18 | 2018-10-02 | Amazon Technologies, Inc. | Routing mode and point-of-presence selection service |
| US9846881B2 (en) | 2014-12-19 | 2017-12-19 | Palo Alto Research Center Incorporated | Frugal user engagement help systems |
| US9473475B2 (en) | 2014-12-22 | 2016-10-18 | Palo Alto Research Center Incorporated | Low-cost authenticated signing delegation in content centric networking |
| US10003520B2 (en) | 2014-12-22 | 2018-06-19 | Cisco Technology, Inc. | System and method for efficient name-based content routing using link-state information in information-centric networks |
| US9660825B2 (en) | 2014-12-24 | 2017-05-23 | Cisco Technology, Inc. | System and method for multi-source multicasting in content-centric networks |
| US9832291B2 (en) | 2015-01-12 | 2017-11-28 | Cisco Technology, Inc. | Auto-configurable transport stack |
| US9946743B2 (en) | 2015-01-12 | 2018-04-17 | Cisco Technology, Inc. | Order encoded manifests in a content centric network |
| US9916457B2 (en) | 2015-01-12 | 2018-03-13 | Cisco Technology, Inc. | Decoupled name security binding for CCN objects |
| US9954795B2 (en) | 2015-01-12 | 2018-04-24 | Cisco Technology, Inc. | Resource allocation using CCN manifests |
| US9602596B2 (en) | 2015-01-12 | 2017-03-21 | Cisco Systems, Inc. | Peer-to-peer sharing in a content centric network |
| US9614853B2 (en) | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
| US9462006B2 (en) | 2015-01-21 | 2016-10-04 | Palo Alto Research Center Incorporated | Network-layer application-specific trust model |
| US11895138B1 (en) | 2015-02-02 | 2024-02-06 | F5, Inc. | Methods for improving web scanner accuracy and devices thereof |
| US9552493B2 (en) | 2015-02-03 | 2017-01-24 | Palo Alto Research Center Incorporated | Access control framework for information centric networking |
| US10333840B2 (en) | 2015-02-06 | 2019-06-25 | Cisco Technology, Inc. | System and method for on-demand content exchange with adaptive naming in information-centric networks |
| US10693724B1 (en) * | 2015-02-25 | 2020-06-23 | Amazon Technologies, Inc. | Context-sensitive techniques for optimizing network connectivity |
| WO2016145405A1 (en) * | 2015-03-11 | 2016-09-15 | Protocol Insight, Llc | Intelligent packet analyzer circuits, systems, and methods |
| US10075401B2 (en) | 2015-03-18 | 2018-09-11 | Cisco Technology, Inc. | Pending interest table behavior |
| US10225326B1 (en) | 2015-03-23 | 2019-03-05 | Amazon Technologies, Inc. | Point of presence based data uploading |
| US10977363B2 (en) * | 2015-03-25 | 2021-04-13 | Equifax Inc. | Detecting synthetic online entities |
| US9819567B1 (en) | 2015-03-30 | 2017-11-14 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US9887931B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US9887932B1 (en) | 2015-03-30 | 2018-02-06 | Amazon Technologies, Inc. | Traffic surge management for points of presence |
| US10834065B1 (en) | 2015-03-31 | 2020-11-10 | F5 Networks, Inc. | Methods for SSL protected NTLM re-authentication and devices thereof |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US10505818B1 (en) | 2015-05-05 | 2019-12-10 | F5 Networks. Inc. | Methods for analyzing and load balancing based on server health and devices thereof |
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| US9832141B1 (en) | 2015-05-13 | 2017-11-28 | Amazon Technologies, Inc. | Routing based request correlation |
| CN106302347B (zh) * | 2015-05-28 | 2019-11-05 | 阿里巴巴集团控股有限公司 | 一种网络攻击处理方法和装置 |
| US11347896B1 (en) * | 2015-06-12 | 2022-05-31 | Amazon Technologies, Inc. | Horizontal scan detection |
| US10116605B2 (en) | 2015-06-22 | 2018-10-30 | Cisco Technology, Inc. | Transport stack name scheme and identity management |
| US10075402B2 (en) | 2015-06-24 | 2018-09-11 | Cisco Technology, Inc. | Flexible command and control in content centric networks |
| US9912678B2 (en) * | 2015-06-24 | 2018-03-06 | Verisign, Inc. | Techniques for automatically mitigating denial of service attacks via attack pattern matching |
| US10616179B1 (en) | 2015-06-25 | 2020-04-07 | Amazon Technologies, Inc. | Selective routing of domain name system (DNS) requests |
| US10701038B2 (en) | 2015-07-27 | 2020-06-30 | Cisco Technology, Inc. | Content negotiation in a content centric network |
| US10097566B1 (en) | 2015-07-31 | 2018-10-09 | Amazon Technologies, Inc. | Identifying targets of network attacks |
| US9986034B2 (en) | 2015-08-03 | 2018-05-29 | Cisco Technology, Inc. | Transferring state in content centric network stacks |
| US10069673B2 (en) * | 2015-08-17 | 2018-09-04 | Oracle International Corporation | Methods, systems, and computer readable media for conducting adaptive event rate monitoring |
| US10610144B2 (en) | 2015-08-19 | 2020-04-07 | Palo Alto Research Center Incorporated | Interactive remote patient monitoring and condition management intervention system |
| US9614861B2 (en) * | 2015-08-26 | 2017-04-04 | Microsoft Technology Licensing, Llc | Monitoring the life cycle of a computer network connection |
| US9699205B2 (en) * | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US9832123B2 (en) | 2015-09-11 | 2017-11-28 | Cisco Technology, Inc. | Network named fragments in a content centric network |
| US10355999B2 (en) | 2015-09-23 | 2019-07-16 | Cisco Technology, Inc. | Flow control with network named fragments |
| US9794281B1 (en) | 2015-09-24 | 2017-10-17 | Amazon Technologies, Inc. | Identifying sources of network attacks |
| US9977809B2 (en) | 2015-09-24 | 2018-05-22 | Cisco Technology, Inc. | Information and data framework in a content centric network |
| US9774619B1 (en) | 2015-09-24 | 2017-09-26 | Amazon Technologies, Inc. | Mitigating network attacks |
| US10313227B2 (en) | 2015-09-24 | 2019-06-04 | Cisco Technology, Inc. | System and method for eliminating undetected interest looping in information-centric networks |
| US9742795B1 (en) | 2015-09-24 | 2017-08-22 | Amazon Technologies, Inc. | Mitigating network attacks |
| US10454820B2 (en) | 2015-09-29 | 2019-10-22 | Cisco Technology, Inc. | System and method for stateless information-centric networking |
| US10263965B2 (en) | 2015-10-16 | 2019-04-16 | Cisco Technology, Inc. | Encrypted CCNx |
| US9794238B2 (en) | 2015-10-29 | 2017-10-17 | Cisco Technology, Inc. | System for key exchange in a content centric network |
| US9807205B2 (en) | 2015-11-02 | 2017-10-31 | Cisco Technology, Inc. | Header compression for CCN messages using dictionary |
| US10009446B2 (en) | 2015-11-02 | 2018-06-26 | Cisco Technology, Inc. | Header compression for CCN messages using dictionary learning |
| US10021222B2 (en) | 2015-11-04 | 2018-07-10 | Cisco Technology, Inc. | Bit-aligned header compression for CCN messages using dictionary |
| US10270878B1 (en) | 2015-11-10 | 2019-04-23 | Amazon Technologies, Inc. | Routing for origin-facing points of presence |
| US10097521B2 (en) | 2015-11-20 | 2018-10-09 | Cisco Technology, Inc. | Transparent encryption in a content centric network |
| US9912776B2 (en) | 2015-12-02 | 2018-03-06 | Cisco Technology, Inc. | Explicit content deletion commands in a content centric network |
| US10243983B2 (en) * | 2015-12-08 | 2019-03-26 | Sudhir Pendse | System and method for using simulators in network security and useful in IoT security |
| US10097346B2 (en) | 2015-12-09 | 2018-10-09 | Cisco Technology, Inc. | Key catalogs in a content centric network |
| US10257307B1 (en) | 2015-12-11 | 2019-04-09 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
| US10049051B1 (en) | 2015-12-11 | 2018-08-14 | Amazon Technologies, Inc. | Reserved cache space in content delivery networks |
| US10078062B2 (en) | 2015-12-15 | 2018-09-18 | Palo Alto Research Center Incorporated | Device health estimation by combining contextual information with sensor data |
| US10348639B2 (en) | 2015-12-18 | 2019-07-09 | Amazon Technologies, Inc. | Use of virtual endpoints to improve data transmission rates |
| US20170180467A1 (en) * | 2015-12-21 | 2017-06-22 | Le Holdings (Beijing) Co., Ltd. | Method, Device and System for Data Processing based on P2P Network |
| US11757946B1 (en) | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US20170187602A1 (en) * | 2015-12-29 | 2017-06-29 | Vivek Pathela | System and method of troubleshooting network source inefficiency |
| US10257271B2 (en) | 2016-01-11 | 2019-04-09 | Cisco Technology, Inc. | Chandra-Toueg consensus in a content centric network |
| US10404698B1 (en) | 2016-01-15 | 2019-09-03 | F5 Networks, Inc. | Methods for adaptive organization of web application access points in webtops and devices thereof |
| US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
| US10797888B1 (en) | 2016-01-20 | 2020-10-06 | F5 Networks, Inc. | Methods for secured SCEP enrollment for client devices and devices thereof |
| US9949301B2 (en) | 2016-01-20 | 2018-04-17 | Palo Alto Research Center Incorporated | Methods for fast, secure and privacy-friendly internet connection discovery in wireless networks |
| US10305864B2 (en) | 2016-01-25 | 2019-05-28 | Cisco Technology, Inc. | Method and system for interest encryption in a content centric network |
| US10237287B1 (en) * | 2016-02-11 | 2019-03-19 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10218733B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10218717B1 (en) * | 2016-02-11 | 2019-02-26 | Awake Security, Inc. | System and method for detecting a malicious activity in a computing environment |
| US10021131B2 (en) * | 2016-02-15 | 2018-07-10 | Verizon Digital Media Services Inc. | Origin controlled attack protections in a distributed platform |
| US10043016B2 (en) | 2016-02-29 | 2018-08-07 | Cisco Technology, Inc. | Method and system for name encryption agreement in a content centric network |
| US10003507B2 (en) | 2016-03-04 | 2018-06-19 | Cisco Technology, Inc. | Transport session state protocol |
| US10051071B2 (en) | 2016-03-04 | 2018-08-14 | Cisco Technology, Inc. | Method and system for collecting historical network information in a content centric network |
| US10038633B2 (en) | 2016-03-04 | 2018-07-31 | Cisco Technology, Inc. | Protocol to query for historical network information in a content centric network |
| US10742596B2 (en) | 2016-03-04 | 2020-08-11 | Cisco Technology, Inc. | Method and system for reducing a collision probability of hash-based names using a publisher identifier |
| US9832116B2 (en) | 2016-03-14 | 2017-11-28 | Cisco Technology, Inc. | Adjusting entries in a forwarding information base in a content centric network |
| US10212196B2 (en) | 2016-03-16 | 2019-02-19 | Cisco Technology, Inc. | Interface discovery and authentication in a name-based network |
| US10067948B2 (en) | 2016-03-18 | 2018-09-04 | Cisco Technology, Inc. | Data deduping in content centric networking manifests |
| US11436656B2 (en) | 2016-03-18 | 2022-09-06 | Palo Alto Research Center Incorporated | System and method for a real-time egocentric collaborative filter on large datasets |
| US10091330B2 (en) | 2016-03-23 | 2018-10-02 | Cisco Technology, Inc. | Interest scheduling by an information and data framework in a content centric network |
| US10033639B2 (en) | 2016-03-25 | 2018-07-24 | Cisco Technology, Inc. | System and method for routing packets in a content centric network using anonymous datagrams |
| US10432650B2 (en) | 2016-03-31 | 2019-10-01 | Stuart Staniford | System and method to protect a webserver against application exploits and attacks |
| US10320760B2 (en) | 2016-04-01 | 2019-06-11 | Cisco Technology, Inc. | Method and system for mutating and caching content in a content centric network |
| US9930146B2 (en) | 2016-04-04 | 2018-03-27 | Cisco Technology, Inc. | System and method for compressing content centric networking messages |
| US10425503B2 (en) | 2016-04-07 | 2019-09-24 | Cisco Technology, Inc. | Shared pending interest table in a content centric network |
| US10027578B2 (en) | 2016-04-11 | 2018-07-17 | Cisco Technology, Inc. | Method and system for routable prefix queries in a content centric network |
| US10404450B2 (en) | 2016-05-02 | 2019-09-03 | Cisco Technology, Inc. | Schematized access control in a content centric network |
| US10320675B2 (en) | 2016-05-04 | 2019-06-11 | Cisco Technology, Inc. | System and method for routing packets in a stateless content centric network |
| US10547589B2 (en) | 2016-05-09 | 2020-01-28 | Cisco Technology, Inc. | System for implementing a small computer systems interface protocol over a content centric network |
| US10063414B2 (en) | 2016-05-13 | 2018-08-28 | Cisco Technology, Inc. | Updating a transport stack in a content centric network |
| US10084764B2 (en) | 2016-05-13 | 2018-09-25 | Cisco Technology, Inc. | System for a secure encryption proxy in a content centric network |
| US10075551B1 (en) | 2016-06-06 | 2018-09-11 | Amazon Technologies, Inc. | Request management for hierarchical cache |
| US10103989B2 (en) | 2016-06-13 | 2018-10-16 | Cisco Technology, Inc. | Content object return messages in a content centric network |
| US10305865B2 (en) | 2016-06-21 | 2019-05-28 | Cisco Technology, Inc. | Permutation-based content encryption with manifests in a content centric network |
| US10148572B2 (en) | 2016-06-27 | 2018-12-04 | Cisco Technology, Inc. | Method and system for interest groups in a content centric network |
| US10110694B1 (en) | 2016-06-29 | 2018-10-23 | Amazon Technologies, Inc. | Adaptive transfer rate for retrieving content from a server |
| CN105959313A (zh) * | 2016-06-29 | 2016-09-21 | 杭州迪普科技有限公司 | 一种防范http代理攻击的方法及装置 |
| US10009266B2 (en) | 2016-07-05 | 2018-06-26 | Cisco Technology, Inc. | Method and system for reference counted pending interest tables in a content centric network |
| US9992097B2 (en) | 2016-07-11 | 2018-06-05 | Cisco Technology, Inc. | System and method for piggybacking routing information in interests in a content centric network |
| CN107645478B (zh) | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
| US10122624B2 (en) | 2016-07-25 | 2018-11-06 | Cisco Technology, Inc. | System and method for ephemeral entries in a forwarding information base in a content centric network |
| US10069729B2 (en) | 2016-08-08 | 2018-09-04 | Cisco Technology, Inc. | System and method for throttling traffic based on a forwarding information base in a content centric network |
| CN107707509B (zh) * | 2016-08-08 | 2020-09-29 | 阿里巴巴集团控股有限公司 | 识别及辅助识别虚假流量的方法、装置及系统 |
| US10956412B2 (en) | 2016-08-09 | 2021-03-23 | Cisco Technology, Inc. | Method and system for conjunctive normal form attribute matching in a content centric network |
| US9992086B1 (en) | 2016-08-23 | 2018-06-05 | Amazon Technologies, Inc. | External health checking of virtual private cloud network environments |
| US10033691B1 (en) | 2016-08-24 | 2018-07-24 | Amazon Technologies, Inc. | Adaptive resolution of domain name requests in virtual private cloud network environments |
| US10033642B2 (en) | 2016-09-19 | 2018-07-24 | Cisco Technology, Inc. | System and method for making optimal routing decisions based on device-specific parameters in a content centric network |
| US10574700B1 (en) * | 2016-09-30 | 2020-02-25 | Symantec Corporation | Systems and methods for managing computer security of client computing machines |
| US10212248B2 (en) | 2016-10-03 | 2019-02-19 | Cisco Technology, Inc. | Cache management on high availability routers in a content centric network |
| US10469513B2 (en) | 2016-10-05 | 2019-11-05 | Amazon Technologies, Inc. | Encrypted network addresses |
| US10447805B2 (en) | 2016-10-10 | 2019-10-15 | Cisco Technology, Inc. | Distributed consensus in a content centric network |
| US10412198B1 (en) | 2016-10-27 | 2019-09-10 | F5 Networks, Inc. | Methods for improved transmission control protocol (TCP) performance visibility and devices thereof |
| US10135948B2 (en) | 2016-10-31 | 2018-11-20 | Cisco Technology, Inc. | System and method for process migration in a content centric network |
| US11063758B1 (en) | 2016-11-01 | 2021-07-13 | F5 Networks, Inc. | Methods for facilitating cipher selection and devices thereof |
| US10505792B1 (en) | 2016-11-02 | 2019-12-10 | F5 Networks, Inc. | Methods for facilitating network traffic analytics and devices thereof |
| US10243851B2 (en) | 2016-11-21 | 2019-03-26 | Cisco Technology, Inc. | System and method for forwarder connection information in a content centric network |
| US10372499B1 (en) | 2016-12-27 | 2019-08-06 | Amazon Technologies, Inc. | Efficient region selection system for executing request-driven code |
| US10831549B1 (en) | 2016-12-27 | 2020-11-10 | Amazon Technologies, Inc. | Multi-region request-driven code execution system |
| US10205735B2 (en) | 2017-01-30 | 2019-02-12 | Splunk Inc. | Graph-based network security threat detection across time and entities |
| US10938884B1 (en) | 2017-01-30 | 2021-03-02 | Amazon Technologies, Inc. | Origin server cloaking using virtual private cloud network environments |
| US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
| US10503613B1 (en) | 2017-04-21 | 2019-12-10 | Amazon Technologies, Inc. | Efficient serving of resources during server unavailability |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
| US11075987B1 (en) | 2017-06-12 | 2021-07-27 | Amazon Technologies, Inc. | Load estimating content delivery network |
| US10447648B2 (en) | 2017-06-19 | 2019-10-15 | Amazon Technologies, Inc. | Assignment of a POP to a DNS resolver based on volume of communications over a link between client devices and the POP |
| US10742593B1 (en) | 2017-09-25 | 2020-08-11 | Amazon Technologies, Inc. | Hybrid content request routing system |
| CN107634971B (zh) * | 2017-10-26 | 2020-07-07 | 杭州迪普科技股份有限公司 | 一种检测洪水攻击的方法及装置 |
| US10419449B1 (en) * | 2017-11-03 | 2019-09-17 | EMC IP Holding Company LLC | Aggregating network sessions into meta-sessions for ranking and classification |
| US11102239B1 (en) * | 2017-11-13 | 2021-08-24 | Twitter, Inc. | Client device identification on a network |
| US11223689B1 (en) | 2018-01-05 | 2022-01-11 | F5 Networks, Inc. | Methods for multipath transmission control protocol (MPTCP) based session migration and devices thereof |
| EP3761578A1 (en) * | 2018-03-02 | 2021-01-06 | NEC Corporation | Control device, communication control method, and program |
| US10592578B1 (en) | 2018-03-07 | 2020-03-17 | Amazon Technologies, Inc. | Predictive content push-enabled content delivery network |
| CN108833410B (zh) * | 2018-06-19 | 2020-11-06 | 网宿科技股份有限公司 | 一种针对HTTP Flood攻击的防护方法及系统 |
| US20190392333A1 (en) * | 2018-06-22 | 2019-12-26 | International Business Machines Corporation | Adaptive multi-agent cooperative computation and inference |
| CN110392034B (zh) * | 2018-09-28 | 2020-10-13 | 新华三信息安全技术有限公司 | 一种报文处理方法及装置 |
| US10862852B1 (en) | 2018-11-16 | 2020-12-08 | Amazon Technologies, Inc. | Resolution of domain name requests in heterogeneous network environments |
| US11025747B1 (en) | 2018-12-12 | 2021-06-01 | Amazon Technologies, Inc. | Content request pattern-based routing system |
| CN111669359A (zh) * | 2019-03-09 | 2020-09-15 | 深圳市锐速云计算有限公司 | 一种新型网络攻击处理方法及装置 |
| US11522874B2 (en) * | 2019-05-31 | 2022-12-06 | Charter Communications Operating, Llc | Network traffic detection with mitigation of anomalous traffic and/or classification of traffic |
| US20220224705A1 (en) * | 2019-06-04 | 2022-07-14 | Nippon Telegraph And Telephone Corporation | Detection device, detection method, and detection program |
| US11621970B2 (en) * | 2019-09-13 | 2023-04-04 | Is5 Communications, Inc. | Machine learning based intrusion detection system for mission critical systems |
| CN111314283B (zh) * | 2019-12-13 | 2023-01-24 | 网易(杭州)网络有限公司 | 防御攻击的方法和装置 |
| US11632385B2 (en) * | 2020-02-03 | 2023-04-18 | University Of South Florida | Computer networking with security features |
| US11381594B2 (en) * | 2020-03-26 | 2022-07-05 | At&T Intellectual Property I, L.P. | Denial of service detection and mitigation in a multi-access edge computing environment |
| CN112532620A (zh) * | 2020-11-26 | 2021-03-19 | 杭州迪普信息技术有限公司 | 一种会话表控制方法及装置 |
| CN112765925B (zh) * | 2021-04-09 | 2021-07-13 | 北京燧原智能科技有限公司 | 互联电路系统、验证系统及方法 |
| CN113726799B (zh) * | 2021-09-01 | 2022-09-27 | 百度在线网络技术(北京)有限公司 | 针对应用层攻击的处理方法、装置、系统和设备 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
Family Cites Families (41)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6219706B1 (en) | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
| US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
| US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US7203740B1 (en) | 1999-12-22 | 2007-04-10 | Intel Corporation | Method and apparatus for allowing proprietary forwarding elements to interoperate with standard control elements in an open architecture for network devices |
| US7711790B1 (en) * | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
| US7278159B2 (en) | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
| US7836498B2 (en) | 2000-09-07 | 2010-11-16 | Riverbed Technology, Inc. | Device to protect victim sites during denial of service attacks |
| US6970943B1 (en) | 2000-10-11 | 2005-11-29 | Nortel Networks Limited | Routing architecture including a compute plane configured for high-speed processing of packets to provide application layer support |
| US6975628B2 (en) | 2000-12-22 | 2005-12-13 | Intel Corporation | Method for representing and controlling packet data flow through packet forwarding hardware |
| US7301899B2 (en) | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| US20020166063A1 (en) * | 2001-03-01 | 2002-11-07 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US7171683B2 (en) | 2001-08-30 | 2007-01-30 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
| US20030097557A1 (en) | 2001-10-31 | 2003-05-22 | Tarquini Richard Paul | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system |
| NZ516346A (en) | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US8346951B2 (en) | 2002-03-05 | 2013-01-01 | Blackridge Technology Holdings, Inc. | Method for first packet authentication |
| US7162740B2 (en) | 2002-07-22 | 2007-01-09 | General Instrument Corporation | Denial of service defense by proxy |
| CA2496779C (en) * | 2002-08-26 | 2011-02-15 | Guardednet, Inc. | Determining threat level associated with network activity |
| US20040054925A1 (en) | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US7386889B2 (en) | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
| US7584352B2 (en) | 2002-12-04 | 2009-09-01 | International Business Machines Corporation | Protection against denial of service attacks |
| US7349400B2 (en) | 2003-04-29 | 2008-03-25 | Narus, Inc. | Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network |
| US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
| US7266754B2 (en) | 2003-08-14 | 2007-09-04 | Cisco Technology, Inc. | Detecting network denial of service attacks |
| US7362763B2 (en) | 2003-09-04 | 2008-04-22 | Samsung Electronics Co., Ltd. | Apparatus and method for classifying traffic in a distributed architecture router |
| US7496955B2 (en) | 2003-11-24 | 2009-02-24 | Cisco Technology, Inc. | Dual mode firewall |
| US20050144441A1 (en) | 2003-12-31 | 2005-06-30 | Priya Govindarajan | Presence validation to assist in protecting against Denial of Service (DOS) attacks |
| US8161538B2 (en) | 2004-09-13 | 2012-04-17 | Cisco Technology, Inc. | Stateful application firewall |
| US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US9160755B2 (en) | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| US20060185008A1 (en) | 2005-02-11 | 2006-08-17 | Nokia Corporation | Method, apparatus and computer program product enabling negotiation of firewall features by endpoints |
| JP4545647B2 (ja) | 2005-06-17 | 2010-09-15 | 富士通株式会社 | 攻撃検知・防御システム |
| US8102879B2 (en) | 2005-09-29 | 2012-01-24 | Avaya Inc. | Application layer metrics monitoring |
| US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
| WO2008002590A2 (en) | 2006-06-29 | 2008-01-03 | Sipera Systems, Inc. | System, method and apparatus for protecting a network or device against high volume attacks |
| US8533819B2 (en) | 2006-09-29 | 2013-09-10 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting compromised host computers |
| US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
| US7685275B2 (en) | 2006-12-15 | 2010-03-23 | Anchor Intelligence, Inc. | Network interaction analysis |
| US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US20080270154A1 (en) | 2007-04-25 | 2008-10-30 | Boris Klots | System for scoring click traffic |
| US20080307526A1 (en) | 2007-06-07 | 2008-12-11 | Mi5 Networks | Method to perform botnet detection |
| US20090064337A1 (en) | 2007-09-05 | 2009-03-05 | Shih-Wei Chien | Method and apparatus for preventing web page attacks |
-
2009
- 2009-10-28 US US12/607,107 patent/US8789173B2/en active Active
-
2010
- 2010-03-31 EP EP10158645.1A patent/EP2293513B1/en active Active
- 2010-07-22 CN CN201010235869.6A patent/CN102014116B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009064114A2 (en) * | 2007-11-12 | 2009-05-22 | Ahnlab., Inc. | Protection method and system for distributed denial of service attack |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110381082A (zh) * | 2019-08-07 | 2019-10-25 | 北京邮电大学 | 基于Mininet的电力通信网络的攻击检测方法和装置 |
| CN110381082B (zh) * | 2019-08-07 | 2021-01-26 | 北京邮电大学 | 基于Mininet的电力通信网络的攻击检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20110055921A1 (en) | 2011-03-03 |
| EP2293513B1 (en) | 2014-09-03 |
| US8789173B2 (en) | 2014-07-22 |
| CN102014116A (zh) | 2011-04-13 |
| EP2293513A1 (en) | 2011-03-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102014116B (zh) | 防御分布式网络泛洪攻击 | |
| US9344445B2 (en) | Detecting malicious network software agents | |
| Shi et al. | Detecting prefix hijackings in the internet with argus | |
| Prasad et al. | An efficient detection of flooding attacks to Internet Threat Monitors (ITM) using entropy variations under low traffic | |
| Belenky et al. | On IP traceback | |
| US7895326B2 (en) | Network service zone locking | |
| RU2480937C2 (ru) | Система и способ уменьшения ложных срабатываний при определении сетевой атаки | |
| Gupta et al. | Defending against distributed denial of service attacks: issues and challenges | |
| US9398043B1 (en) | Applying fine-grain policy action to encapsulated network attacks | |
| Mihai-Gabriel et al. | Achieving DDoS resiliency in a software defined network by intelligent risk assessment based on neural networks and danger theory | |
| US20060191003A1 (en) | Method of improving security performance in stateful inspection of TCP connections | |
| Arafat et al. | A practical approach and mitigation techniques on application layer DDoS attack in web server | |
| Priyadharshini et al. | Prevention of DDOS attacks using new cracking algorithm | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| Chen et al. | Policy management for network-based intrusion detection and prevention | |
| Bogdanoski et al. | A novel approach for mitigating the effects of the TCP SYN flood DDoS attacks | |
| Stanciu | Technologies, methodologies and challenges in network intrusion detection and prevention systems. | |
| Kumar et al. | An integrated approach for defending against distributed denial-of-service (DDoS) attacks | |
| Matoušek et al. | Security monitoring of iot communication using flows | |
| Allman et al. | Principles for Developing Comprehensive Network Visibility. | |
| Arjmandpanah‐Kalat et al. | Design and performance analysis of an efficient single flow IP traceback technique in the AS level | |
| Champagne et al. | Scope of DDoS countermeasures: taxonomy of proposed solutions and design goals for real-world deployment | |
| EP4080822B1 (en) | Methods and systems for efficient threat context-aware packet filtering for network protection | |
| Alsaleh et al. | Revisiting network scanning detection using sequential hypothesis testing | |
| Liao et al. | Using selective, short‐term memory to improve resilience against DDoS exhaustion attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |
|
| CP01 | Change in the name or title of a patent holder |