CN104067558B - 网络访问装置和用于处理网络中的分组的方法 - Google Patents
网络访问装置和用于处理网络中的分组的方法 Download PDFInfo
- Publication number
- CN104067558B CN104067558B CN201280068654.7A CN201280068654A CN104067558B CN 104067558 B CN104067558 B CN 104067558B CN 201280068654 A CN201280068654 A CN 201280068654A CN 104067558 B CN104067558 B CN 104067558B
- Authority
- CN
- China
- Prior art keywords
- packet
- network access
- network
- multiple packet
- client device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 37
- 238000004891 communication Methods 0.000 claims abstract description 42
- 230000004044 response Effects 0.000 claims abstract description 24
- 230000009471 action Effects 0.000 claims abstract description 16
- 230000008859 change Effects 0.000 claims description 7
- 230000004048 modification Effects 0.000 claims description 6
- 238000012986 modification Methods 0.000 claims description 6
- 230000007246 mechanism Effects 0.000 claims description 4
- 208000015181 infectious disease Diseases 0.000 claims description 2
- 230000035611 feeding Effects 0.000 claims 8
- 238000004458 analytical method Methods 0.000 abstract description 9
- 230000006870 function Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 8
- 238000001514 detection method Methods 0.000 description 6
- 238000013500 data storage Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 238000000429 assembly Methods 0.000 description 4
- 230000000712 assembly Effects 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000003466 anti-cipated effect Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005538 encapsulation Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000000802 evaporation-induced self-assembly Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000000465 moulding Methods 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
- H04L41/0816—Configuration setting characterised by the conditions triggering a change of settings the condition being an adaptation, e.g. in response to network events
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/144—Detection or countermeasures against botnets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一种网络访问装置包括处理器和用以接收发源自客户端设备的多个分组的接口。该装置还包括网络访问模块,其用以对多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通信、以及用以响应于多个分组被确定为包括预定类型的通信而指令控制模块分析所述多个分组。该装置还包括控制模块,其用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征匹配于该配置而对多个分组执行预定义的动作。
Description
背景技术
诸如僵尸网络、恶意软件、和间谍软件之类的网络威胁的目标是取得受害者的机器的所有权,例如,以获得对敏感信息的访问或者以发动二次攻击。在任一情况下,被感染的机器时常例如通过因特网连接到它的“所有者”来传输所窃取的信息和/或接收新命令。通常当被感染的机器尝试该连接时,威胁的所有者易受到检测。
附图说明
本公开的特征通过示例的方式来说明并且不限于以下(一个或多个)图,其中相似的附图标记指示相似的元件,其中:
图1示出了根据本公开的示例的可以在其中实现网络访问装置的网络环境的功能性框图;
图2示出了根据本公开的示例的图1中所描绘的网络访问装置的简化框图;
图3和图4分别描绘了根据本公开的两个示例的用于处理网络中的分组的方法的流程图;以及
图5图示了根据本公开的示例的可以被用来执行图1和图2中所描绘的网络访问装置的各种功能的计算设备的示意性表示。
具体实施方式
为了简明和说明性的目的,本公开通过主要参照其示例来描述。在以下描述中,阐述了许多特定细节以便提供对于本公开的透彻理解。然而,将容易明显的是,可以在不限于这些特定细节的情况下实施本公开。在其他实例中,未详细描述一些方法和结构,以免不必要地使本公开晦涩难懂。如本文所使用的,术语“包括”意味着包括但不限于,术语“包括有”意味着包括有但不限于。术语“基于”意味着至少部分地基于。另外,术语“一”和“一个”意在表示特定元素的至少一个。
本文公开的是用于处理分组的网络访问装置和方法。网络访问装置包括用以执行网络访问功能(诸如,转发功能、交换功能等等)的网络访问模块和用以执行检查(inspection)和控制功能的控制模块。特别地,网络访问模块用以通过网络来路由可以包括生成树(STP)、链路聚合控制协议(LACP)、网际协议(IP)等类型的分组中的至少一种的以太网分组,遍及本公开其也被称为“分组”。通过示例的方式,网络访问模块用以从客户端设备接收包含用于访问目的地地址的请求的分组,并且用以将该分组发送至该目的地地址。网络访问模块的附加功能是用以确定所接收的分组是否包括预定类型的通信。在所接收的分组被确定为包括预定类型的通信或请求的情况下,网络访问模块要指令控制模块对分组进一步检查和动作。
控制模块用以确定从网络访问模块接收的多个分组的特征、用以确定该特征是否匹配于多个预定配置中的配置、以及用以响应于该特征匹配于该配置而对多个分组执行预定义的动作。根据示例,特征和预定配置包括应用的签名、设备的签名、web(网络)地址、IP地址等等。因而,通过特定示例的方式,网络访问装置可以直接在网络内执行对客户端设备尝试通过网络来访问的IP地址的信誉(reputation)过滤。
配置可以包含在要例如基于规则被更新的配置结构上,以使得配置保持与当前数据云图(landscape)相关。通过示例的方式,配置包括安全威胁,并且控制模块可以确定从客户端设备接收的分组是否可能是安全威胁。在其他示例中,配置包括其他类型的签名,并且控制模块可以确定从客户端设备接收的分组的特征是否匹配于这些类型的签名中的任何一个。
另外,响应于分组的特征匹配于配置的确定,控制模块要对多个分组执行预定义的动作。预定义的动作例如可以包括如下中的至少一个:修改、重新路由、丢弃、基于设定策略对分组强制执行特定动作等等。
一般而言,网络访问装置可以实现应用检测、设备检测、和/或安全威胁检测。特别地,网络访问装置可以结合安全威胁检测实现应用采指纹和设备采指纹。因此,在一个方面,本文公开的网络访问装置可以检测被感染的计算设备,并且可以确定关于被感染的计算设备的附加信息。例如,网络访问装置可以确定关于例如在计算设备变成被感染时该计算设备正在运行的应用的类型的信息,以及计算设备的简档。该信息可以有用于标识对被感染的计算设备的解决方案。
根据示例,多个网络访问装置可以实现于网络的边缘处,以在将分组引入到网络中之前对分组进行拦截和动作。另外,网络访问装置被制成觉知网络访问装置接收到的分组,并且对分组执行不仅是交换的操作。就此而言,本文公开的网络访问装置可以被视为内容觉知的,其中内容觉知的可以被定义为应用觉知的、设备觉知的、僵尸网络觉知的等等。
参考图1,示出有根据示例的网络环境100的功能性框图,在其中可以实现用于管理由客户端设备110a-110c对诸如内联网、因特网等等的网络(未示出)的访问的网络访问装置102a。应当容易明显的是,图1中所描绘的图表表示一般化图示,并且在不背离网络环境100的范围的情况下,可以添加其他组件或者可以移除、修改或重新布置现有的组件。例如,网络环境100可以包括附加的网络访问装置和任何数量的客户端设备。
网络环境100被描绘为包括在局域网(LAN)、广域网(WAN)、城域网(MAN)等之一中彼此联网的多个网络访问装置102a-102c。尽管未示出,网络环境100包括通过网络访问装置102a-102b或者通过网络环境100中的另一设备(未示出)的到因特网的连接,其中各种设备形成网络。一般而言,网络访问装置102a-102c包括起作用以允许或拒绝由客户端设备110a-110c对诸如因特网、内联网等等网络的访问的装置。就此而言,网络访问装置102a-102c可以包括交换机、路由器、无线接入点、无线控制器、集线器、桥接器、服务器等等。
根据示例,网络访问装置102a-102c位于网络的边缘处,即,客户端设备110a-110c连接到网络的地方。在该示例中,网络访问装置102a-102c用以在入口点处处理分组,分组通过所述入口点被接收到网络中。这样,网络访问装置102a-102c可以在分组被进一步引入到网络中之前拦截某些类型的分组,这可以减少通过网络传播某些类型的分组所需的带宽量。在其他示例中,网络访问装置102a-102c可以位于网络环境100中的各种其他位置处。
客户端设备110a-110c包括个人计算机、服务器、膝上型计算机、平板计算机、蜂窝电话、或者可以被用来访问网络环境100的任何其他电子设备。另外,客户端设备110a-110c可以通过任何合适的有线或无线通信链路与网络访问装置102a-102c通信。合适的有线通信链路的示例包括通过以太网链路而建立的连接或其他物理连接。合适的无线通信链路的示例包括通过802.11链路、BluetoothTM链路、红外通信等等而建立的连接。就此而言,网络访问装置102a-102c包括能够实现与客户端设备110a-110c的有线和无线通信中的任一者或这二者的装备。
网络访问装置102a和102b还被描绘为每个包括网络访问模块104和控制模块106。网络访问模块104用以从客户端设备110a-110c接收分组,并且可以对接收到的分组执行转发功能。转发功能可以包括例如标识分组的目的地地址并将该分组转发至所标识的目的地地址。另外,网络访问模块104用以处理分组以确定分组是否包括预定类型的通信。预定类型的通信可以包括任何可检测的协议和/或模式。通过示例的方式,预定类型的通信至少可以包括如下中的至少一个:域名服务(DNS)请求、新的IP流、预定类型的应用、从预定类型的设备接收的分组等等。因此,例如,网络访问模块104可以处理分组以标识应用模式、设备行为模式等等。
响应于分组包括不同于预定类型的通信的某一类型的通信,网络访问模块104通过将分组转发至它们各自的目的地或者网络环境100中的其他网络访问装置来对分组执行转发功能。然而,响应于分组包括预定类型的通信,控制模块106要检查分组来确定分组的特征是否匹配于多个预定配置中的配置。
特征和配置可以包括例如客户端设备110a-110c标识符(诸如,MAC地址、IP地址等等)、运行在客户端设备110a-110c上的应用的标识符(诸如,TCP端口号等等)、已知和/或被怀疑为与威胁相关联的网站的IP地址等等。威胁可以包括例如僵尸网络、恶意软件、间谍软件、特洛伊木马、蠕虫病毒、拒绝服务攻击、垃圾邮件生成等等。在任何方面并且根据示例,每个控制模块106包括包含多个预定配置的配置结构。另外,控制模块106例如通过因特网与智能馈送服务120通信,以接收对预定配置的更新,以使得预定配置保持最新并且因而相关。更特别地,智能馈送服务120收集配置(诸如,安全威胁的域名、IP地址等等)并将所收集的配置传送到控制模块106。在一个示例中,智能馈送服务120以设定时间间隔(诸如,每几个小时)传送新标识的预定配置的更新。合适的智能馈送服务120的示例是HewlettPackard Company TM(惠普公司)的DVLabsTM。
如果控制模块106确定所确定的分组的特征匹配于多个配置中的配置,那么控制模块106要对多个分组执行预定义的动作。预定义的动作包括如下中的至少一个:修改分组以改变分组的内容、重新路由分组、丢弃分组、重新配置网络访问模块104等等。修改分组可以包括例如改变将分组发出网络访问装置102a的次序、向分组附接附加数据等等。另外或者可替代地,修改分组可以包括根据预定的策略修改分组的实际内容。例如,分组可以被压缩例如转换为符号,并且可以在网络中被进一步完全地解压缩。
根据特定示例,控制模块106可以确定一组IP分组发源自的客户端设备110a可能被病毒感染。在该示例中,控制模块106要采取动作来基本上减轻由病毒所导致的危害,诸如,包含在客户端设备110a中的信息的通信、病毒散布到网络环境100中的其他设备等等。例如,控制模块106要进行如下中的至少一个:重新配置网络访问模块104来阻止由受感染的客户端设备110a的网络访问、隔离受感染的客户端设备110a、阻止受感染的客户端设备对特定服务器的访问、阻止受感染的客户端设备对因特网的访问等等。另外,控制模块106要向网络管理站130发送警告以报告客户端设备110a感染了病毒。网络管理站130可以包括服务器或者服务器或其他网络装置上的一组机器可读指令,用以追踪客户端设备110a-110c的安全状态。根据示例,网络管理站130通知网络访问装置102a-102c要阻止来自受感染的客户端设备的分组。
如图1中所示,网络访问装置之一102c被描绘为包括网络访问模块104,但不包括控制模块106。另外,该网络访问装置102c的网络访问模块104被描绘为与包括控制模块106的另一网络访问装置102b中的网络访问模块104进行通信。这样,网络访问装置102c中的网络访问模块104可以将发源自客户端设备110c的分组传送至用以确定分组是否包括预定类型的通信并将那些类型的分组转发至控制模块106的网络访问模块104。另外或可替代地,网络访问装置102c中的网络访问模块104包括一组指令以确定所接收的分组是否包括预定类型的通信并将分组转发至另一网络访问装置102b中的控制模块106。就此而言,(一个或多个)控制模块106可以接收并处理来自多个网络访问装置的网络访问模块104的分组。
根据示例,作为处理所有接收到的分组来确定分组是否包括预定类型的通信的代替,网络访问模块104仅要处理多个分组的经采样的子集。通过仅处理所接收的多个分组的经采样的子集,网络访问装置102a-102c可以在不经历显著的性能损失或开销的情况下执行分组处理操作。
现在转到图2,示出有根据示例的图1中所描绘的网络访问装置102a的简化框图。图2中所描绘的框图更特别地描绘了网络访问装置102a的组件。应当容易明显的是,图2中所描绘的图表表示一般化的图示,并且在不背离网络访问装置102a的范围的情况下,可以添加其他组件或者可以移除、修改或重新布置现有的组件。
网络访问装置102a被描绘为包括网络访问模块104、处理器202、(一个或多个)输入/输出接口204、数据储存206。网络访问模块104还被描绘为包括分组处理模块208和控制模块指令模块210。可以包括微处理器、微控制器、专用集成电路(ASIC)等等的处理器202用以在网络访问网络访问装置102a中执行各种处理功能。如下文更详细地讨论的,处理功能之一包括调用或实现网络访问模块104的模块208-210。
控制模块106被描绘为包括配置结构220和检查代理222。根据示例,处理器202用以控制检查代理222的操作。然而,在另一示例中,检查代理222包括可以包括以上关于处理器202所讨论的任何类型的处理器的单独的处理器(未示出)。
根据示例,网络访问模块104包括硬件设备,诸如布置在板上的电路或多个电路。在该示例中,模块208-210包括电路组件或单独的电路。根据另一示例,网络访问模块104包括易失性或非易失性存储器,诸如动态随机存取存储器(DRAM)、电可擦除可编程只读存储器(EEPROM)、磁阻随机存取存储器(MRAM)、忆阻器、闪存、软盘、光盘只读存储器(CD-ROM)、数字视频盘只读存储器(DVD-ROM)、或者其他光或磁介质等等。在该示例中,模块208-210包括存储于网络访问模块104中的软件模块。根据另一示例,模块208-210包括硬件和软件模块的组合。
根据示例,控制模块106包括硬件设备,诸如布置在板上的电路或多个电路。在该示例中,检查代理222包括电路组件。在该示例中,检查代理222可以被集成在与模块208-210共同的电路板上或者与模块208-210分离的电路板上。根据另一示例,检查代理222包括易失性或非易失性存储器,诸如动态随机存取存储器(DRAM)、电可擦除可编程只读存储器(EEPROM)、磁阻随机存取存储器(MRAM)、忆阻器、闪存、软盘、光盘只读存储器(CD-ROM)、数字视频盘只读存储器(DVD-ROM)、或者其他光或磁介质等等。在该示例中,检查代理222包括可以存储在与模块208-210共同的存储器中的软件模块。根据另一示例,模块检查代理222包括硬件和软件模块的组合。
(一个或多个)输入/输出接口204可以包括硬件和/或软件接口。就此而言,(一个或多个)输入/输出接口204可以包括使得能够接收和发送IP分组的硬件和软件组件中的任一者或这二者。因此,例如,(一个或多个)输入/输出接口204包括要将电缆物理地插入到其中的物理端口,例如,以太网端口、光纤端口等等。在另一示例中,(一个或多个)输入/输出接口204包括使得能够实现IP分组的无线通信的装备,诸如,使得能够实现Wi-FiTM、BluetoothTM等等的装备。
在任何方面,网络访问模块104用以通过(一个或多个)输入/输出接口204从客户端设备110a-110c接收分组。处理器120还可以将所接收的分组存储在数据储存206中并且可以将数据用于实现模块208-210(以及在某些示例中,检查代理222)中。数据储存206包括易失性和/或非易失性存储器,诸如DRAM、EEPROM、MRAM、相变RAM(PCRAM)、忆阻器、闪存等等。另外或者可替代地,数据储存206包括要从可移除介质(诸如软盘、CD-ROM、DVD-ROM、或其他光或磁介质)读以及写到可移除介质的设备。
如本文进一步讨论的,配置结构220已经在其上存储了或者以其他方式包含针对其比较分组的特征的多个预定配置。配置结构220包括如下中的至少一个:数据库、一组过滤器、一组签名、馈送等等。就此而言,配置结构220可以被直接加载到存储器阵列上、到数据库中等等。另外,配置结构220用以例如从智能馈送服务120(图1)接收智能馈送230。智能馈送230可以包括关于包含在配置结构220中的预定配置的信息,例如对预定配置的更新。另外,配置结构220可以基本上基于周期性而接收该信息,以使包含在配置结构220中的预定配置保持与例如改变数据云图相关。
关于分别在图3和图4中描绘的方法300和400而详细地讨论了可以实现网络访问模块104和控制模块106的各种方式。更特别地,图3和图4描绘了根据两个示例的用于处理网络中的分组的方法300和400的各自的流程图。对本领域技术人员而言应当明显的是,方法300和400表示一般化的图示,并且在不背离方法300和400的范围的情况下,可以添加其他步骤或者可以移除、修改或重新布置现有的步骤。尽管特别参照了在图1和2中被描绘为包括可以执行方法300和400中所描述的操作的装置和/或一组机器可读指令的网络访问装置102a-102c,但应当理解,经不同配置的装置和/或机器可读指令可以在不背离方法300和400的范围的情况下执行方法300和400。
一般而言,方法300和400可以被实现成处理网络环境100中的分组以执行应用和设备的采指纹,结合威胁检测。另外,方法300和400可以实现在位于网络的边缘处的多个网络访问装置102a-102c中,以因而在分组被客户端设备110a-110c引入到网络中时拦截分组,并且基本上防止某些类型的分组通过网络的传播。
首先参考图3中的方法300,在块302处,在网络访问模块102a中例如通过(一个或多个)输入/输出接口204从客户端设备110a接收多个分组。网络访问模块102a可以直接从客户端设备110a或者从另一网络访问模块接收分组。在任何方面,分组可以包括由客户端设备110a针对到特定网站的访问或者到网络中的其他类型的访问的请求。
在块304处,例如由分组处理模块208做出关于分组是否包括预定类型的通信的确定。如上文更详细地讨论的,预定类型的通信可以包括任何可检测的协议和/或模式。根据示例,分组处理模块208可以通过对包含在分组中的信息的分析来在块304处做出确定。例如,分组处理模块208许多分析包含在分组的报头中的信息,以确定分组的可检测协议和/或模式。
在块306处,响应于分组包括预定类型的通信,例如由控制模块指令模块210指令控制模块106分析分组。更特别地,控制模块指令模块210指令控制模块106的检查代理222分析分组。在其中控制模块106与网络访问模块104集成的实例中,控制模块指令模块210可以简单地指令检查代理222分析存储于数据储存206中的分组。可替代地,并且在其中控制模块106包括与网络访问模块104分离的组件的实例中,控制模块指令模块210可以封装分组并将封装后的分组转发至控制模块106。在该示例中,检查代理222可以将分组存储在控制模块106的存储器(未示出)中。
在块308处,在控制模块106中,例如由检查代理222做出关于分组的特征是否匹配于多个预定配置中的配置的确定。更特别地,检查代理222通过确定分组的特征是否匹配于包含在配置结构220中的多个预定配置中的配置来做出该确定。在其中预定配置被存储在配置结构220中的实例中,检查代理222可以通过将分组的特征与所存储的预定配置进行比较来做出该确定。在其中配置结构220包括与预定配置对应的一组过滤器的实例中,检查代理222可以通过执行关于包含在配置结构220中的滤波器的对分组特征的过滤操作来做出该确定。
在块310处,在控制模块106中,例如由检查代理222对分组执行预定义的动作。特别地,预定义的动作包括如下中的至少一个:指令网络访问模块104输出分组、修改多个分组以改变多个分组的内容、重新路由多个分组、丢弃多个分组、重新配置网络访问模块104等等。关于执行预定义动作中的哪个的确定可以基于在块308处做出的关于分组的特征是否匹配于多个预定配置中的配置的确定。
现在转到图4中的方法400,示出有图3中描绘的用于处理分组的方法300的更详细流程图。
在块402处,如以上关于图3中的块302所讨论的,在网络访问模块102a中从客户端设备110a接收多个分组。在块404处,如以上关于块304所讨论的那样做出关于分组是否包括预定类型的通信的确定。响应于分组不包括预定类型的通信的确定,网络访问模块104对分组执行转发功能,例如,如块406处所指示的,确定针对分组的目的地地址并且输出分组。例如,网络访问模块104使得客户端设备110a能够访问由客户端设备110a所请求的网站。
根据示例,在块404处,作为处理所有接收到的分组以确定分组是否包括预定类型的通信的代替,分组处理模块208只处理多个分组的经采样的子集。经采样的子集可以包括网络访问模块104接收的所有分组的任何相当合适的子集,诸如所有分组的预定的百分比、以预定义的时间间隔接收到的分组等等。
响应于分组包括预定类型的通信的确定,在块408处,例如,如以上关于块306所讨论的,控制模块106被指令成分析分组。另外,在块410处,检查代理222确定分组的特征,其可以包括例如应用的签名、设备的签名、在分组中标识的网站的IP地址等等。
在块412处,例如,如以上关于块308所讨论的,做出关于特征是否匹配于多个预定配置中的配置的确定。根据示例,检查代理222通过将在块410处确定的特征与包含在配置结构220中的多个预定配置进行比较来做出该确定。如以上所讨论的,要基本上周期性地更新配置结构220,并且因此可以对相对最新的一组预定配置执行分组的特征的分析。如果分组的特征不匹配于包含在配置结构220中的多个预定配置中的任何配置,那么在块414处,检查代理222指令网络访问模块104输出分组。另外,在块406处,网络访问模块104输出分组,以例如建立客户端设备110a与所请求的网站之间的连接。
如果分组的特征匹配于包含在配置结构220中的多个预定配置中的配置,那么在块416处,如以上关于块310所讨论的,例如由检查代理222对分组执行预定义的动作。根据示例,检查代理222向网络管理系统130发送警告以通知网络管理系统130对分组执行的动作。通过特定示例的方式,网络管理站130可以向网络访问装置102b-102c传送客户端设备110a已经被感染的指示,来使得那些网络访问装置102b-102c也能够阻止由受感染的客户端设备110a的网络访问。
方法300和400中阐述的一些或所有操作可以在任何期望的计算机可访问介质中被包含为实用程序、程序、或子程序。另外,方法300和400可以由可以以活动和不活动这二者的各种形式而存在的机器可读指令来体现。例如,它们可以作为源代码、目标代码、可执行代码或其他形式而存在。以上的任何一个可以在非临时计算机可读存储介质上体现。非临时计算机可读存储介质的示例包括常规的计算机系统RAM、ROM、EPROM、EEPROM、以及磁或光盘或带。因此,要理解,能够执行以上所描述的功能的任何电子设备可以执行以上列举的那些功能。
现在转到图5,示出有根据示例的可以被用来执行图1和图2中描绘的网络访问装置102a的各种功能的计算设备500的示意性表示。计算设备500包括处理器502(诸如,处理器202);显示器504(诸如但不限于监视器);网络接口508(诸如但不限于局域网LAN、无线802.11x LAN、3G/4G移动WAN或WiMax WAN);以及计算机可读介质510。这些组件中的每个操作地耦合至总线512。例如,总线512可以是EISA、PCI、USB、火线、网络用户总线、或者PDS。
计算机可读介质510包括参与向处理器502提供指令以供执行的任何合适的介质。例如,计算机可读介质510可以是非易失性介质。操作系统514还可以执行基本任务,诸如但不限于:识别分组的接收、将分组发送至它们的目的地地址、以及管理总线512上的业务。网络应用516包括用于建立和维护网络连接的各种组件,诸如但不限于用于实现包括TCP/IP、HTTP、以太网、USB和火线的通信协议的机器可读指令。
如以上关于图3和4中的方法300和400所讨论的,分组处理应用518提供用于处理分组的各种组件。分组处理应用518因此可以包括分组处理模块208和控制模块指令模块210。在某些示例中,分组处理应用518还包括检查代理222。就此而言,分组处理应用518可以包括模块,所述模块接收发源自客户端设备110a的多个分组、确定分组是否包括预定类型的通信、响应于分组包括预定类型的通信而指令控制模块106分析分组、并且在控制模块106中确定所接收的分组的特征、确定特征是否匹配于多个预定配置中的配置、以及响应于分组的特征匹配于配置的确定而对分组执行预定义的动作。
在某些示例中,由应用518执行的一些或所有的过程可以被集成到操作系统514中。在某些示例中,也如以上所讨论的,过程可以至少部分地实现在数字电子电路中,或者实现在计算机硬件、机器可读指令(包括固件和软件)中、或者其任何组合中。
本文所描述和说明的是本公开的示例以及一些变形。本文使用的术语、描述和图仅通过说明的方式来阐述而并不意味为限制。许多变形在本公开的范围内是可能的,所述范围意在由跟着的权利要求及其等价物来限定,其中除非另有指示,否则所有的术语都意味着在其最广泛的合理的意义中。
Claims (15)
1.一种网络访问装置,包括:
接口,用以接收发源自客户端设备的多个分组;
控制模块;
网络访问模块,用以对所述多个分组执行转发功能、用以确定所接收的多个分组是否包括预定类型的通信、以及用以响应于所述多个分组被确定为包括所述预定类型的通信而指示所述控制模块分析所述多个分组,并且其中所述控制模块用以确定从所述网络访问模块接收的所述多个分组的特征、用以确定所述特征是否匹配于多个预定配置中的配置、以及用以响应于所述特征匹配于所述配置而对所述多个分组执行预定义的动作;以及
处理器,用以实现所述控制模块和所述网络访问模块;
其中所述网络访问装置用于在所述客户端设备的正常操作期间允许所述客户端设备访问网络,并且
其中所述控制模块用于响应于所述特征匹配所述配置而确定所述客户端设备被网络威胁感染,用于重新配置所述网络访问模块以阻止所述客户端设备对所述网络的访问,以及用于运作来使得多个其他网络访问装置阻止来自所述客户端设备的分组。
2.如权利要求1所述的网络访问装置,其中所述控制模块还包括:
检查代理;以及
配置结构,包含所述多个预定配置,其中所述检查代理用以将所述多个分组的特征与包含在所述配置结构中的配置进行比较以确定所述特征是否匹配于所述配置,并且其中所述配置结构用以从智能馈送服务接收关于所述多个预定配置的更新。
3.如权利要求2所述的网络访问装置,其中所述配置结构包括如下中的至少一个:数据库、一组过滤器、一组签名、以及多个馈送。
4.如权利要求1所述的网络访问装置,其中所述网络访问模块包括装备,所述装备用以控制由所述客户端设备对网络的访问和发源自所述客户端设备去往预期的目的地地址的分组的通信,并且其中所述网络访问模块还用以响应于所述多个分组不包括所述预定类型的通信而将所述多个分组输出到所述多个分组中标识的目的地地址。
5.如权利要求1所述的网络访问装置,其中所述网络访问模块还用以仅处理通过所述接口接收到的所述多个分组的经采样的子集,以及用以确定所述多个分组的经采样的子集中的多个分组是否包括所述预定类型的通信。
6.如权利要求1所述的网络访问装置,其中所述预定义的动作包括如下中的至少一个:修改所述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述分组、以及重新配置所述网络访问模块。
7.如权利要求1所述的网络访问装置,其中所述控制模块用以从包含在第二网络访问装置中的第二网络访问模块接收第二多个分组,并且其中所述控制模块还用以分析所述第二多个分组以确定是否要对从所述第二网络访问模块接收的所述第二多个分组采取预定的动作。
8.一种用于处理网络中的分组的方法,所述方法包括:
接收发源自客户端设备的多个分组;
确定所述多个分组是否包括预定类型的通信;
响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能;
响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置;以及
响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作;
其中对所述多个分组执行转发功能包括在正常操作期间允许所述客户端设备对所述网络的访问,以及
其中响应于确定所述多个分组的特征匹配所述配置,所述方法包括确定所述客户端设备被网络威胁感染,重新配置网络访问模块以阻止所述客户端设备对所述网络的访问,以及通知多个其他网络访问装置阻止来自所述客户端设备的分组。
9.如权利要求8所述的方法,还包括:
从智能馈送服务接收包含对所述多个预定配置的更新的馈送;以及
基于所接收的馈送来更新所述多个预定配置。
10.如权利要求8所述的方法,还包括:
对所述多个分组的子集进行采样;并且
其中确定所述分组是否包括预定类型的通信还包括确定所述多个分组的经采样的子集是否包括所述预定类型的通信。
11.如权利要求8所述的方法,其中确定所述多个分组的特征是否匹配于所述多个预定配置中的配置由第一网络访问装置中的控制模块来实现,所述方法还包括:
在所述第一网络访问装置中的控制模块中,
确定从第二网络装置接收的第二多个分组的特征是否匹配于所述多个预定配置中的配置,并且响应于所述多个分组的特征匹配于所述配置的确定而对所述第二多个分组执行预定义的动作。
12.如权利要求8所述的方法,其中对所述多个分组执行预定义的动作还包括如下中的至少一个:修改所述多个分组以改变所述多个分组的内容、重新路由所述多个分组、丢弃所述多个分组、以及重新配置网络访问模块。
13.一种用于处理网络中的分组的方法,所述方法包括:
接收发源自客户端设备的多个分组;
确定所述多个分组是否包括预定类型的通信;
响应于所述多个分组不包括所述预定类型的通信而对所述多个分组执行转发功能;
响应于所述多个分组包括所述预定类型的通信而确定所述多个分组的特征是否匹配于多个预定配置中的配置;以及
响应于所述多个分组的特征匹配于所述配置的确定而对所述多个分组执行预定义的动作;
所述方法还包括:
通过在正常操作期间允许所述客户端设备对所述网络的访问来对所述多个分组执行转发功能,以及
响应于确定所述多个分组的特征匹配所述配置,确定所述客户端设备被网络威胁感染,重新配置网络访问模块以阻止所述客户端设备对所述网络的访问,以及动作来通知多个其他网络访问装置以阻止来自所述客户端设备的分组。
14.如权利要求13所述的方法,所述方法还包括:
从智能馈送服务接收包含对所述多个预定配置的更新的馈送;以及
基于所接收的馈送来更新所述多个预定配置。
15.如权利要求13所述的方法,所述方法还包括:
对所述多个分组的子集进行采样;以及
确定所述多个分组的经采样的子集是否包括所述预定类型的通信。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/035883 WO2013165368A1 (en) | 2012-04-30 | 2012-04-30 | Network access apparatus having a control module and a network access module |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN104067558A CN104067558A (zh) | 2014-09-24 |
| CN104067558B true CN104067558B (zh) | 2017-09-12 |
Family
ID=49514635
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201280068654.7A Expired - Fee Related CN104067558B (zh) | 2012-04-30 | 2012-04-30 | 网络访问装置和用于处理网络中的分组的方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20150058985A1 (zh) |
| EP (1) | EP2845349B1 (zh) |
| CN (1) | CN104067558B (zh) |
| WO (1) | WO2013165368A1 (zh) |
Families Citing this family (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US10447733B2 (en) | 2014-06-11 | 2019-10-15 | Accenture Global Services Limited | Deception network system |
| US20190044816A1 (en) * | 2017-08-04 | 2019-02-07 | Hewlett Packard Enterprise Development Lp | Filtering responses to discovery requests |
| WO2019212518A1 (en) * | 2018-04-30 | 2019-11-07 | Hewlett-Packard Development Company, L.P. | Countermeasure implementation for processing stage devices |
| CN109246121B (zh) * | 2018-09-29 | 2021-07-16 | 青岛海尔科技有限公司 | 攻击防御方法、装置、物联网设备及计算机可读存储介质 |
| US11579592B2 (en) | 2019-08-12 | 2023-02-14 | Battelle Energy Alliance, Llc | Systems and methods for control system security |
| US12028214B1 (en) * | 2022-05-26 | 2024-07-02 | Qintel, LLC | Discovering computing entities communicating with a network communication protocol |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN1957308A (zh) * | 2004-05-21 | 2007-05-02 | 英特尔公司 | 利用签名在网络接口控制器进行病毒检测的方法和装置 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
| US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US7054335B2 (en) * | 2001-05-04 | 2006-05-30 | Hewlett-Packard Development Company, L.P. | Method and system for midstream transcoding of secure scalable packets in response to downstream requirements |
| US20120023572A1 (en) * | 2010-07-23 | 2012-01-26 | Q-Track Corporation | Malicious Attack Response System and Associated Method |
| US7472418B1 (en) * | 2003-08-18 | 2008-12-30 | Symantec Corporation | Detection and blocking of malicious code |
| US7757283B2 (en) * | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
| US8307065B2 (en) * | 2006-08-22 | 2012-11-06 | Centurylink Intellectual Property Llc | System and method for remotely controlling network operators |
| US8136162B2 (en) * | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US7706267B2 (en) * | 2007-03-06 | 2010-04-27 | Hewlett-Packard Development Company, L.P. | Network service monitoring |
| US7849503B2 (en) * | 2007-06-01 | 2010-12-07 | Hewlett-Packard Development Company, L.P. | Packet processing using distribution algorithms |
| US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| US8838774B2 (en) * | 2007-08-21 | 2014-09-16 | Inmon Corporation | Method, system, and computer program product for identifying common factors associated with network activity with reduced resource utilization |
| US8112800B1 (en) * | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
| US7965636B2 (en) * | 2008-12-05 | 2011-06-21 | Hewlett-Packard Development Company, L.P. | Loadbalancing network traffic across multiple remote inspection devices |
| KR101292873B1 (ko) * | 2009-12-21 | 2013-08-02 | 한국전자통신연구원 | 네트워크 인터페이스 카드장치 및 상기 네트워크 인터페이스 카드장치를 이용한 트래픽 처리 방법 |
-
2012
- 2012-04-30 EP EP12875912.3A patent/EP2845349B1/en not_active Not-in-force
- 2012-04-30 WO PCT/US2012/035883 patent/WO2013165368A1/en active Application Filing
- 2012-04-30 CN CN201280068654.7A patent/CN104067558B/zh not_active Expired - Fee Related
- 2012-04-30 US US14/372,575 patent/US20150058985A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1514625A (zh) * | 2002-12-18 | 2004-07-21 | 英特尔公司 | 检测网络攻击 |
| CN1555170A (zh) * | 2003-12-23 | 2004-12-15 | 沈阳东软软件股份有限公司 | 流过滤防火墙 |
| CN1957308A (zh) * | 2004-05-21 | 2007-05-02 | 英特尔公司 | 利用签名在网络接口控制器进行病毒检测的方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2845349A1 (en) | 2015-03-11 |
| EP2845349A4 (en) | 2015-12-23 |
| CN104067558A (zh) | 2014-09-24 |
| US20150058985A1 (en) | 2015-02-26 |
| EP2845349B1 (en) | 2017-08-16 |
| WO2013165368A1 (en) | 2013-11-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104067558B (zh) | 网络访问装置和用于处理网络中的分组的方法 | |
| Karie et al. | IoT threat detection advances, challenges and future directions | |
| Pascoal et al. | Slow TCAM exhaustion DDoS attack | |
| EP1774716B1 (en) | Inline intrusion detection using a single physical port | |
| US7646728B2 (en) | Network monitoring and intellectual property protection device, system and method | |
| US8782787B2 (en) | Distributed packet flow inspection and processing | |
| CN106790193B (zh) | 基于主机网络行为的异常检测方法和装置 | |
| US20170093891A1 (en) | Mobile device-based intrusion prevention system | |
| JP6074776B2 (ja) | イーサネット(登録商標)ネットワーク用のセキュリティ検出を備えたインテリジェントphy | |
| US10944765B2 (en) | Security system for machine to machine cyber attack detection and prevention | |
| US11546379B2 (en) | Providing security for internet of things (IoT) devices | |
| TWI616771B (zh) | 殭屍網路偵測系統及其方法 | |
| US20140153435A1 (en) | Tiered deep packet inspection in network devices | |
| CN107612890B (zh) | 一种网络监测方法及系统 | |
| CA2887428C (en) | A computer implemented system and method for secure path selection using network rating | |
| CN101820396A (zh) | 一种报文安全性验证的方法和设备 | |
| CN109474485A (zh) | 基于网络流量信息检测僵尸网络的方法、系统及存储介质 | |
| JP4620070B2 (ja) | トラヒック制御システムおよびトラヒック制御方法 | |
| CN110351275A (zh) | 一种主机端口流量监控方法、系统、装置和存储设备 | |
| CA2738690A1 (en) | Distributed packet flow inspection and processing | |
| US20220038476A1 (en) | Systems and methods for secure communication in cloud computing environments | |
| CN115603939A (zh) | 基于长短期记忆和注意力模型的分布式拒绝服务攻击检测方法 | |
| CN112152854B (zh) | 一种信息处理方法及装置 | |
| CN106657087B (zh) | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 | |
| Yu et al. | SDNDefender: a comprehensive DDoS defense mechanism using hybrid approaches over software defined networking |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20170105 Address after: Texas, USA Applicant after: HEWLETT PACKARD ENTERPRISE DEVELOPMENT L.P. Address before: Texas, USA Applicant before: HEWLETT-PACKARD DEVELOPMENT Co.,L.P. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20170912 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |