CN104488229A - 网络业务处理系统 - Google Patents
网络业务处理系统 Download PDFInfo
- Publication number
- CN104488229A CN104488229A CN201280075018.7A CN201280075018A CN104488229A CN 104488229 A CN104488229 A CN 104488229A CN 201280075018 A CN201280075018 A CN 201280075018A CN 104488229 A CN104488229 A CN 104488229A
- Authority
- CN
- China
- Prior art keywords
- connection
- inspection unit
- hardware
- accelerated
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
一种用于处理网络业务的系统,包括用以在硬件加速检查模式下处理网络业务的硬件加速检查单元,以及用以在软件检查模式下处理网络业务的软件检查单元。该软件检查单元在软件检查模式下处理连接至少达到连接的连续预定字节数。如果连接被确定为是干净的,则连接可过渡至硬件加速检查模式。
Description
背景技术
已经提出因特网业务到2015年预期成为四倍。此外,报告已经显示全球平均连接率已逐年增加43%且全球平均峰值率已逐年增加67%。因此,以一切种类的病毒、蠕虫和恶意软件形式的内部和外部网络攻击的复杂化已显著增加。
网络管理员继续承担提供网络安全的任务且其常常依赖于用于网络安全的各种系统。例如,入侵检测系统(IDS)检测网络攻击,但是某些作为不提供远远超过事后攻击通知的被动式系统进行操作。相反地,已经开发了入侵预防系统(IPS)以通过主动地通过扫描输入和输出业务来分析网络业务流而补充诸如防火墙之类的传统安全产品。然而,由IPS进行的深度分组检查通常利用大量的资源且如果其性能跟不上增加的连接率和吞吐量带宽,则可能变成网络瓶颈。
附图说明
参考在以下各图中所示的示例来详细地描述实施例:
图1图示出网络业务处理系统;
图2A-B图示出不同网络环境中的网络业务处理系统;以及
图3和4图示出处理网络业务。
具体实施方式
出于简化和说明性目的,通过主要参考其示例来描述实施例的原理。在以下描述中,阐述了许多特定细节以便提供实施例的透彻理解。显而易见的是,可在不限于所有特定细节的情况下实施该实施例。并且,可以各种组合一起使用实施例。
根据实施例,一种用于处理网络业务的系统检查网络业务以识别潜在签名匹配。进一步检查被认为具有潜在签名匹配的网络业务以确定其是否具有签名匹配。如果检测到签名匹配,则可对网络业务进行阻止、报告、速率限制或者可采取其他补救措施。
该系统包括硬件加速检查单元(诸如现场可编程门阵列(FPGA),专用集成电路(ASIC)或另一类型的可自定义集成电路或处理器),其执行分组的硬件加速检查,并且该系统包括软件检查单元,其包括由处理器或某个类型的处理电路执行以执行分组的软件检查的机器可读指令。硬件加速检查单元在执行其检查时比软件检查单元更快,并且该系统利用硬件加速检查单元以改善检查处理速度。例如,在连接开始时,由软件检查单元来执行分组检查。连接包括具有相同属性的分组。属性的示例可包括源因特网协议(IP)地址、目的地IP地址、源IP端口、目的地IP端口、IP协议等。在一个示例中,连接是传输控制协议(TCP)流。在另一示例中,连接是包括具有相同属性的分组的伪流。例如,连接可以是用户数据报协议(UDP)或者不要求在先通信以建立传输信道或数据路径的另一协议中的伪流。如果到连接到达阈值位数(例如8千字节(KB))的时间未检测到攻击,则软件检查单元命令硬件加速检查单元将流置于硬件加速检查模式以改善性能。
在硬件加速检查模式下,由硬件加速检查单元以比用软件检查单元可能的更快的速率来检查连接。由硬件加速检查单元执行的处理的速度可以是由软件检查单元执行的处理的两倍或三倍。在硬件加速检查模式下,如果连接是干净的,诸如被确定为不具有潜在签名匹配,则在不对分组执行软件检查的情况下发射用于连接的分组。在硬件加速检查模式下,由硬件加速检查单元来处理用于连接的分组,但是不被软件检查单元处理以使处理时间最小化。然而,如果硬件加速检查单元在连接中检测到潜在签名匹配,则将连接传输至软件检查模式以便由软件检查单元进一步处理以确定是否存在签名匹配。在软件检查模式下,连接被软件检查单元处理,并且还被硬件加速检查单元处理。通过使连接的检查在硬件加速检查模式与软件检查模式之间过渡,在保持安全的同时增加吞吐量。
软件检查单元执行分组检查,其可包括比在硬件检查模式下执行的更详细的分组检查和过滤。因此,由硬件减速检查单元执行的分组处理可不同于由软件检查单元执行的分组检查。例如,由软件检查单元执行的分组处理包括深度分组检查。深度分组检查包括检查连接中的分组的有效负荷以及报头。深度分组检查可包括在所有的七个开放系统互连(OSI)层中检查来自连接的数据。由硬件加速检查单元执行的分组处理可不包括来自全部七个OSI层的数据。例如,分组检查可局限于报头。
具有潜在签名匹配的连接是被确定为具有特定预定义属性的连接。例如,连接可包括具有表示安全威胁的属性的分组或多个分组。例如,由硬件加速检查单元来检查连接中的分组以确定其是否不按顺序或者被分段或者其在其有效负荷中是否具有某个字节式样。
连接还可具有潜在签名匹配,如果其包括基于策略或规则而被确定为令人感兴趣的数据。例如,规则指定监视用于特定应用程序的分组。如果连接包括来自那些应用程序中的任何一个的分组,则基于该规则而将其视为签名匹配。例如,监视来自即时通讯应用程序的分组且可由系统阻止其离开局域网(LAN)。
类似于潜在签名匹配,可将连接确定为具有签名匹配,如果其具有预定属性,然而,该属性被软件检查单元而不是硬件加速检查单元识别。用于签名匹配的属性可不同于用于潜在签名匹配的属性。可由深度分组检查来识别用于签名匹配的属性。签名匹配可包括由正则表达式匹配和/或其他过滤和分组签名检测技术确定的匹配以检测关于分组及其数据的附加信息,该附加信息可指示其是恶意的还是以其他方式令人感兴趣的。恶意属性可表示钓鱼式攻击、尝试的间谍软件安装、可能消耗网络带宽或服务器资源从而促使合法分组被丢弃的分组泛洪等。
用于处理网络业务的系统可包括连接到网络的IPS。IPS检查连接且如果发现其具有签名匹配,则可对连接进行标志、阻止和/或丢弃。保持日志并生成警报或其他通知,并且可由于签名匹配而将其发送给系统管理员。如果连接是干净的,则IPS输出要发射到其目的地的连接。
图1图示出用于处理网络业务的系统100。系统100可包括阻止被确定为具有签名匹配的网络业务的IPS。系统100包括包含端口102的接口101。接口101是将系统100连接到网络的网络接口。在接口101的端口102上发送和接收分组。
系统100包括硬件加速检查单元110和软件检查单元120。可经由总线130来连接系统100的部件。软件检查单元120可包括一个或多个处理器121a-n,其包括数据储存器122a-n,该数据储存器122a-n包括可操作用于存储机器可读指令和数据的计算机可读存储介质。机器可读指令可包括用以执行本文所述的连接处理功能的代码。硬件加速单元110包括处理电路111,诸如FPGA、ASIC或另一类型的可自定义的集成电路或硬件,其也执行连接处理但是在与软件检查单元120相比时以加速的速率。硬件加速单元110还可包括数据储存器112。
硬件加速检查单元110和软件检查单元120处理从网络接收到的连接以确定连接是否具有潜在签名匹配。这称为检查。如果连接被确定为具有签名匹配,则可阻止该连接被发送到其目的地。可由系统100对该连接进行标志和丢弃。被确定为干净的连接经由接口101而被发射到其目的地。干净的连接是不具有潜在签名匹配和/或签名匹配的连接。
可针对在线处理来配置硬件加速检查单元110和软件检查单元120。例如,由接口101接收到的连接首先被硬件加速检查单元110处理且然后可被软件检查单元120处理。如果连接被确定为是干净的,则经由接口101将其发送到其目的地。
系统内100可在其中由硬件加速检查单元来检查连接但未由软件检查单元120处理的硬件加速检查模式与其中由软件检查单元来处理连接且还可由硬件加速检查单元来处理(诸如以其中首先由硬件加速检查单元110来处理连接且然后可由软件检查单元120来处理的在线配置)的软件检查模式之间进行切换。
系统100可以是独立网络设备,其可连接到路由器或防火墙或一般地网络以接收和检查分组并发送出干净的分组。可将系统100结合在现有网络设备中,诸如路由器、防火墙或另一类型的交换机。系统100可在多功能会聚安全设备中,诸如单个设备中的IPS和防火墙。系统100可在刀片机架中或另一类型的设备中。
图2A-B示出了连接在不同网络环境中的系统100,其可以是IPS 200。图2A示出了以“导线中凸块”配置连接的IPS 200。用户‘1’202至用户‘n’204被连接到被连接到IPS 200的交换机206,该IPS 200又被连接到因特网213或网络骨干。IPS 200一般地在交换机与网络之间实现以防止从因特网213或网络骨干接收到或向其发射安全威胁。
图2B示出了在另一网络环境中实现的IPS 200a-c。在此图中,内部子网络‘A’210包括客户端个人计算机(PC)‘1’212至客户端PC‘n’214,其被连接到又被连接到IPS ‘1’200a的交换机‘1’216。内部子网络‘B’220包括服务器‘1’222至服务器‘n’224,其被连接到又被连接到IPS‘2’200b的交换机‘2’226。内部子网络‘A’210和内部子网络‘B’220被连接到路由器230,其被连接到又被连接到外部网络234的IPS‘3’200c。一般地实现IPS‘3’200c以防止安全威胁从外部网络234到内部子网络‘A’210和内部子网络‘B’220的入侵。
IPS‘1’200a通过防止源自于内部子网络‘A’210的安全威胁的入侵来提供附加入侵保护。同样地,IPS‘2’200b通过防止源自于内部子网络‘B’220的安全威胁的入侵来提供附加入侵保护。如对于本领域的技术人员而言将显而易见的,IPS‘1’200a的实现隔离了到内部子网络210的入侵问题,包括一个或多个客户端PC 212至214和相应交换机‘1’216。同样地,IPS‘2’200b的实现隔离了到内部子网络220的入侵问题,包括一个或多个服务器222至224和相应交换机‘1’226。
图3示出了随时间推移的硬件加速检查模式与软件检查模式之间的连接处理切换的示例。在连接开始时,由图1中所示的软件检查单元120在软件检查模式下处理该连接。在软件检查模式下处理连接达到至少预定字节数直至点B为止。如果连接被确定为具有潜在签名匹配,则继续在软件检查模式下处理连接超过阈值(例如,8KB)。本示例示出了8KB,但阈值可更大或更小。
如果连接是“干净的”直至点B,则连接的处理从点B至C从软件检查模式过渡至硬件加速检查模式并保持在硬件加速检查模式,其中以比软件检查模式快得多的速率处理分组直至连接被硬件加速检查单元110确定为具有潜在签名匹配为止,诸如在点D处。然后,连接的处理过渡至软件检查模式以用于附加检查,其可包括从点D至E的深度分组检查并保持在软件检查模式直至连接被确定为“干净”为止。如果连接是“干净的”,则处理可再次从点F到G过渡至硬件加速检查模式以用于最大性能。连接处理过渡可在连接的寿命内继续发生。连接被单独地处理,因此不同的连接可根据是否和何时在连接中检测到潜在签名匹配或签名匹配而具有不同的连接处理过渡。
图4示出了用于处理网络业务的方法400的示例。以示例而非限制的方式相对于系统100来描述方法400。可在其他系统中实施该方法。
在401处,系统接收新的连接。可用定义连接的属性来识别新的连接,并且可在存储于图1中所示的硬件加速检查单元110和/或软件检查单元120处的连接表中创建条目,其包括连接ID和连接属性及用于连接的当前模式的指示。当前模式是硬件加速模式或软件检查模式。新的连接作为在软件检查模式下被处理而开始。
在402处,在软件检查模式下处理连接达到至少预定字节数。例如,由硬件加速检查单元110来处理连接并从硬件加速检查单元110将连接发送到软件检查单元120以用于进一步处理至少直至达到阈值字节数为止。硬件加速检查单元110可在其连接表中指示该连接处于软件检查模式。
在403处,在正在软件检查模式下处理连接达到至少预定字节的同时,由软件检查单元120进行关于该连接是否具有潜在签名匹配的确定。如果是,则在404处用于连接的分组处理在软件检查模式下继续。在405处连接处理在软件检查模式下继续直至连接被确定为干净为止。如果连接是干净的,则在407处连接处理过渡至硬件加速检查模式。如果连接处理不是干净的,则在404处继续软件检查模式下的连接处理。例如,如果检测到签名匹配,则在404处继续软件检查模式下的连接处理。例如,如果通过签名匹配检测到恶意分组且连接被阻止,则继续软件检查模式下的连接处理。连接处理过渡至软件加速模式直至连接是干净的为止。如果在406处连接是干净的且其干净达到预定的字节数,则在407处连接处理过渡至硬件加速检查模式。例如,软件检查单元120命令硬件加速检查单元110将连接置于硬件加速检查模式。例如,硬件加速检查单元110更新其连接表以指示连接现在处于硬件加速检查模式。
在408处,例如由硬件加速检查模式110在硬件加速检查模式下处理连接,直至连接终止为止或者直至连接被硬件加速检查单元110确定为具有潜在签名匹配为止。如果连接被确定为具有潜在签名匹配,则处理过渡至软件检查模式且在409处在软件检查模式下处理连接,并且在404处理可继续。硬件加速检查单元110然后可更新其连接表以指示连接处于软件检查模式,因此如果在接口101上接收到任何分组以用于连接,则硬件加速检查单元110知道将处理之后的分组发送到软件检查单元110。
如果硬件加速检查单元110中的连接表指示连接处于硬件加速检查模式,则硬件加速检查单元知道不将分组发送到软件检查单元120,如果硬件加速检查单元110确定连接是干净的。如果基于策略规则将连接确定为是无兴趣的,则可将其确定为是干净的。替代地,经由接口110而发送出分组。并且,如果由硬件加速检查单元110识别分组可疑的信息,诸如分组是否不按顺序,具有可疑字节式样或指示其为恶意或令人感兴趣的某个其他属性,则可将该信息发送到软件检查单元120以帮助由软件检查单元120执行的分组检查。可在软件检查单元120与硬件加速检查单元110之间传送其他信息,诸如处理模式的指示或过渡至不同模式的指令。
并且,如果分组被软件检查单元120确定为是恶意的或令人感兴趣的,则系统100可阻止连接并不发送用于该连接的可疑分组或任何其他分组。如果软件检查单元120确定用于连接的分组或分组集合是恶意的或令人感兴趣的,则系统100可丢弃分组。并且,可更新关于事件和关于事件发送的通知的日志文件。
可将本文所述的步骤和功能中的一个或多个体现为可由处理器或可操作用于执行机器可读指令的另一类型的处理电路执行的机器可读指令。可将该机器可读指令存储在非临时存储介质中,其可包括图1中所示的存储器件中的一个或多个。
虽然已参考示例描述了实施例,但在不脱离要求保护的实施例的范围的情况下可对所述实施例进行各种修改。
Claims (15)
1.一种用于处理网络业务的系统,包括:
硬件加速检查单元,用以在硬件加速检查模式下处理网络业务;以及
软件检查单元,用以在软件检查模式下处理网络业务,其中,软件检查单元在软件检查模式下处理网络业务中的连接以检测签名匹配,并且如果连接被软件检查单元确定为是干净的达到至少连接的连续预定字节数,则连接过渡至硬件加速检查模式以便由硬件加速检查进行处理。
2.权利要求1的系统,其中,如果硬件加速检查单元检测到潜在签名匹配,则连接过渡回到软件检查单元以对连接执行深度分组检查。
3.权利要求2的系统,其中,如果软件检查单元确定该连接具有签名匹配,则基于签名匹配而采取动作。
4.权利要求1的系统,其中,所述硬件加速检查单元以比软件检查单元更快的速率来处理连接。
5.权利要求1的系统,其中,在软件检查模式下,由硬件加速检查单元和软件检查单元来处理该连接。
6.权利要求1的系统,其中,在硬件加速检查模式下,仅仅由硬件加速检查单元来处理连接。
7.权利要求1的系统,其中,由系统接收到的所有网络业务至少由硬件加速检查单元处理。
8.权利要求1的系统,其中,所述系统在独立网络设备中。
9.权利要求1的系统,其中,所述系统被结合到网络交换机、防火墙网络设备、会聚安全设备或刀片机架中。
10.一种入侵预防系统(IPS),包括:
接口,用以接收网络业务并朝着其目的地输出网络业务,如果其被IPS确定为是干净的;
硬件加速检查单元,用以在硬件加速检查模式下处理网络业务中的连接以确定该连接是否具有潜在签名匹配;以及
软件检查单元,用以在软件检查模式下处理连接以确定该连接是否具有签名匹配;
其中,所述软件检查单元在软件检查模式下处理连接,并且如果连接被确定为是干净的达到连接的连续预定字节数,则连接过渡至硬件加速检查模式以供硬件加速检查单元处理。
11.权利要求10的IPS,其中,如果所述硬件加速检查单元确定该连接具有潜在签名匹配,则连接过渡回到软件检查单元以对连接执行附加检查。
12.权利要求11的IPS,其中,如果所述软件检查单元确定连接具有签名匹配,则阻止连接被从接口发送出。
13.权利要求10的IPS,其中,所述硬件加速检查单元以比软件检查单元更快的速率来处理连接。
14.一种处理网络业务的方法,包括:
在网络处理系统的接口上接收连接;
在软件检查模式下处理连接达到连接的预定字节数以确定该连接是否具有签名匹配;以及
如果该连接被确定为是干净的达到预定字节数,则使连接的处理过渡至硬件加速检查模式,其中,硬件加速检查模式下的连接处理比在软件检查模式下更快。
15.权利要求14的方法,包括:
如果硬件加速检查模式下的处理确定连接具有潜在签名匹配,则连接处理过渡回到软件检查模式。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/US2012/049036 WO2014021863A1 (en) | 2012-07-31 | 2012-07-31 | Network traffic processing system |
Publications (1)
Publication Number | Publication Date |
---|---|
CN104488229A true CN104488229A (zh) | 2015-04-01 |
Family
ID=50028377
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201280075018.7A Pending CN104488229A (zh) | 2012-07-31 | 2012-07-31 | 网络业务处理系统 |
Country Status (8)
Country | Link |
---|---|
US (1) | US9544273B2 (zh) |
EP (1) | EP2880819A4 (zh) |
JP (1) | JP2015528263A (zh) |
KR (1) | KR20150037940A (zh) |
CN (1) | CN104488229A (zh) |
BR (1) | BR112015002323A2 (zh) |
TW (1) | TWI528761B (zh) |
WO (1) | WO2014021863A1 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017156908A1 (zh) * | 2016-03-14 | 2017-09-21 | 中兴通讯股份有限公司 | 一种报文转发的方法和装置 |
Families Citing this family (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8893113B1 (en) | 2010-06-14 | 2014-11-18 | Open Invention Network, Llc | Simultaneous operation of a networked device using multiptle disparate networks |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US8943587B2 (en) * | 2012-09-13 | 2015-01-27 | Symantec Corporation | Systems and methods for performing selective deep packet inspection |
US9444827B2 (en) * | 2014-02-15 | 2016-09-13 | Micron Technology, Inc. | Multi-function, modular system for network security, secure communication, and malware protection |
US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
US10084752B2 (en) | 2016-02-26 | 2018-09-25 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
US10608992B2 (en) | 2016-02-26 | 2020-03-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
US11349852B2 (en) * | 2016-08-31 | 2022-05-31 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
WO2018097422A1 (ko) * | 2016-11-24 | 2018-05-31 | 성균관대학교 산학협력단 | 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치 |
US10841337B2 (en) * | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制系统的探测方法及装置 |
US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
US10594713B2 (en) | 2017-11-10 | 2020-03-17 | Secureworks Corp. | Systems and methods for secure propagation of statistical models within threat intelligence communities |
CN108377223B (zh) * | 2018-01-05 | 2019-12-06 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
KR102011806B1 (ko) | 2018-04-12 | 2019-08-19 | 주식회사 넷커스터마이즈 | Udt 기반 트래픽 가속 방법 |
US10785238B2 (en) | 2018-06-12 | 2020-09-22 | Secureworks Corp. | Systems and methods for threat discovery across distinct organizations |
US11003718B2 (en) | 2018-06-12 | 2021-05-11 | Secureworks Corp. | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity |
DK3654606T3 (da) * | 2018-11-15 | 2022-02-14 | Ovh | Fremgangsmåde og datapakkerensningssystem til screening af datapakker modtaget ved en serviceinfrastruktur |
US11310268B2 (en) | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
US11418524B2 (en) | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
US11652789B2 (en) * | 2019-06-27 | 2023-05-16 | Cisco Technology, Inc. | Contextual engagement and disengagement of file inspection |
US11381589B2 (en) | 2019-10-11 | 2022-07-05 | Secureworks Corp. | Systems and methods for distributed extended common vulnerabilities and exposures data management |
US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
US11588834B2 (en) | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
US11671437B2 (en) * | 2020-10-13 | 2023-06-06 | Cujo LLC | Network traffic analysis |
US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1655518A (zh) * | 2004-02-13 | 2005-08-17 | Lgn-Sys株式会社 | 网络安全系统和方法 |
US20060288096A1 (en) * | 2005-06-17 | 2006-12-21 | Wai Yim | Integrated monitoring for network and local internet protocol traffic |
KR20070119382A (ko) * | 2006-06-15 | 2007-12-20 | 엘지엔시스(주) | 침입방지시스템 및 그 제어방법 |
CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
Family Cites Families (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6904519B2 (en) * | 1998-06-12 | 2005-06-07 | Microsoft Corporation | Method and computer program product for offloading processing tasks from software to hardware |
JP3914757B2 (ja) * | 2001-11-30 | 2007-05-16 | デュアキシズ株式会社 | ウィルス検査のための装置と方法とシステム |
US7134143B2 (en) | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
GB2407730A (en) | 2003-10-30 | 2005-05-04 | Agilent Technologies Inc | Programmable network monitoring element |
US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
US7773516B2 (en) | 2006-11-16 | 2010-08-10 | Breakingpoint Systems, Inc. | Focused function network processor |
US8756337B1 (en) * | 2007-08-03 | 2014-06-17 | Hewlett-Packard Development Company, L.P. | Network packet inspection flow management |
TW201010354A (en) | 2008-08-27 | 2010-03-01 | Inventec Corp | A network interface card of packet filtering and method thereof |
KR101017015B1 (ko) * | 2008-11-17 | 2011-02-23 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
JP6074776B2 (ja) * | 2011-08-10 | 2017-02-08 | マーベル ワールド トレード リミテッド | イーサネット(登録商標)ネットワーク用のセキュリティ検出を備えたインテリジェントphy |
US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
-
2012
- 2012-07-31 KR KR1020157002540A patent/KR20150037940A/ko not_active Application Discontinuation
- 2012-07-31 WO PCT/US2012/049036 patent/WO2014021863A1/en active Application Filing
- 2012-07-31 CN CN201280075018.7A patent/CN104488229A/zh active Pending
- 2012-07-31 EP EP12882301.0A patent/EP2880819A4/en not_active Withdrawn
- 2012-07-31 US US14/418,881 patent/US9544273B2/en active Active
- 2012-07-31 BR BR112015002323A patent/BR112015002323A2/pt not_active IP Right Cessation
- 2012-07-31 JP JP2015524236A patent/JP2015528263A/ja active Pending
-
2013
- 2013-06-21 TW TW102122177A patent/TWI528761B/zh active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1655518A (zh) * | 2004-02-13 | 2005-08-17 | Lgn-Sys株式会社 | 网络安全系统和方法 |
US20050182950A1 (en) * | 2004-02-13 | 2005-08-18 | Lg N-Sys Inc. | Network security system and method |
US20060288096A1 (en) * | 2005-06-17 | 2006-12-21 | Wai Yim | Integrated monitoring for network and local internet protocol traffic |
KR20070119382A (ko) * | 2006-06-15 | 2007-12-20 | 엘지엔시스(주) | 침입방지시스템 및 그 제어방법 |
CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
Non-Patent Citations (1)
Title |
---|
JOSE M CONZALEZ: "shunting:a hardware/software architecture for flexible,high-performance network instruction prevention", 《ACM CONFERENCE ON COMPUTER AND COMMUNICATION SECURITY-CCS》 * |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2017156908A1 (zh) * | 2016-03-14 | 2017-09-21 | 中兴通讯股份有限公司 | 一种报文转发的方法和装置 |
Also Published As
Publication number | Publication date |
---|---|
TW201406106A (zh) | 2014-02-01 |
EP2880819A4 (en) | 2016-03-09 |
US9544273B2 (en) | 2017-01-10 |
BR112015002323A2 (pt) | 2017-07-04 |
EP2880819A1 (en) | 2015-06-10 |
KR20150037940A (ko) | 2015-04-08 |
JP2015528263A (ja) | 2015-09-24 |
US20150215285A1 (en) | 2015-07-30 |
WO2014021863A1 (en) | 2014-02-06 |
TWI528761B (zh) | 2016-04-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104488229A (zh) | 网络业务处理系统 | |
US10326778B2 (en) | System and method for detecting lateral movement and data exfiltration | |
US11902303B2 (en) | System and method for detecting lateral movement and data exfiltration | |
CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
US10701076B2 (en) | Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources | |
WO2018108052A1 (zh) | 一种DDoS攻击的防御方法、系统及相关设备 | |
US11777971B2 (en) | Bind shell attack detection | |
KR102088299B1 (ko) | 분산 반사 서비스 거부 공격 탐지 장치 및 방법 | |
US7849503B2 (en) | Packet processing using distribution algorithms | |
Bulajoul et al. | Network intrusion detection systems in high-speed traffic in computer networks | |
US20220263823A1 (en) | Packet Processing Method and Apparatus, Device, and Computer-Readable Storage Medium | |
CN109194680A (zh) | 一种网络攻击识别方法、装置及设备 | |
EP3374871B1 (en) | System and method for detecting lateral movement and data exfiltration | |
CN108616488B (zh) | 一种攻击的防御方法及防御设备 | |
CN108737344B (zh) | 一种网络攻击防护方法和装置 | |
Jadhav et al. | A novel approach for the design of network intrusion detection system (NIDS) | |
JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
CN113328976B (zh) | 一种安全威胁事件识别方法、装置及设备 | |
CA3159619C (en) | Packet processing method and apparatus, device, and computer-readable storage medium | |
Kang et al. | FPGA based intrusion detection system against unknown and known attacks | |
Krishnamurthy et al. | Stateful intrusion detection system (sids) | |
US9628510B2 (en) | System and method for providing data storage redundancy for a protected network | |
Chow et al. | A Linux-based IDPS using Snort | |
Jingsong | Immunity-based security architecture for active switch | |
Halvorsen | Stateless Detection of Malicious Traffic: Emphasis on User Privacy |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
WD01 | Invention patent application deemed withdrawn after publication | ||
WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20150401 |