CN105103496A - 用于提取和保存用于分析网络通信的元数据的系统和方法 - Google Patents
用于提取和保存用于分析网络通信的元数据的系统和方法 Download PDFInfo
- Publication number
- CN105103496A CN105103496A CN201480015454.4A CN201480015454A CN105103496A CN 105103496 A CN105103496 A CN 105103496A CN 201480015454 A CN201480015454 A CN 201480015454A CN 105103496 A CN105103496 A CN 105103496A
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- decoding
- metadata
- processor
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 49
- 238000004891 communication Methods 0.000 title description 5
- 238000005070 sampling Methods 0.000 claims description 8
- 238000000605 extraction Methods 0.000 claims description 5
- 238000004590 computer program Methods 0.000 claims 5
- 230000002085 persistent effect Effects 0.000 abstract 3
- 230000008569 process Effects 0.000 description 14
- 238000003860 storage Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 5
- 238000007906 compression Methods 0.000 description 5
- 230000006835 compression Effects 0.000 description 5
- 238000013075 data extraction Methods 0.000 description 5
- 238000005516 engineering process Methods 0.000 description 4
- 239000000284 extract Substances 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 238000011160 research Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 208000015181 infectious disease Diseases 0.000 description 3
- 238000012546 transfer Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000006798 recombination Effects 0.000 description 2
- 238000005215 recombination Methods 0.000 description 2
- 102100026278 Cysteine sulfinic acid decarboxylase Human genes 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000013144 data compression Methods 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000008030 elimination Effects 0.000 description 1
- 238000003379 elimination reaction Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005457 optimization Methods 0.000 description 1
- 238000006116 polymerization reaction Methods 0.000 description 1
- 108010064775 protein C activator peptide Proteins 0.000 description 1
- 230000035484 reaction time Effects 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000003868 tissue accumulation Effects 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/026—Capturing of monitoring data using flow identification
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/18—Protocol analysers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供检测网络上的高级持续性威胁的系统和方法。该方法包括从网络获取数据包并对所获取的数据包执行分层会话解码。从解码的数据包提取元数据并存储以便进行分析。元数据的分析用于检测网络上的高级持续性威胁。该系统包括网络和耦联到网络的处理器。该处理器配置成从网络获取数据包并对所获取的数据包执行分层会话解码。元数据由处理器提取并存储在耦联到所述处理器的存储器内。元数据可随后被分析以检测网络上的高级持续性威胁。
Description
相关申请的交叉引用
本申请要求享有于2013年3月14日提交的共同待审的美国临时专利申请61/784,931的权益,该美国临时专利申请以其整体通过援引加入本文中。
技术领域
该技术领域总体上涉及网络通信,并且更具体地涉及保存网络通信以便网络安全和取证的目的。
背景技术
组织内的网络通信和组织之间的网络通信传送各种数据和重要信息。然而,网络通讯也是攻击者进入网络安全边界内的主要方式之一。现代网络安全技术运用许多方法来防止攻击者对组织和个人造成伤害。但是上述方法都不是完美的,尤其是处于高级持续性威胁(APT,AdvancedPersistentThreat)时代中的当今时期。现代的APT可针对非常具体的目标来开发并部署,并且通常情况下这样的APT可能非常难以检测和消除。记录网络流量是高级网络防御中常见的方法之一。记录网络流量类似于安全摄像机,虽然其未针对威胁检测进行最优化,但是其在消除阶段中非常有用,允许以确定根本原因和被感染的网络节点为目的仔细检查与威胁相关的流量的子集。
网络流量不断增加,并且其对于传统的网络记录方法而言形成了一项挑战。由于APT有时花费数月的时间来充分渗透到组织内,通常要求存储至少6个月的网络数据。对于大型企业而言,收集和储存所产生的数据量通常是不可能或不切实际的。即使发生APT感染,与企业被迫存储的用于研究该攻击的数据量相比,由此攻击所导致的流量是微乎其微的。
本发明提供一种方法,其允许显著减少需要被存储的数据量,同时保持所有必要的信息完整无缺。此外,从随后的详细描述和所附的权利要求、结合附图和前述的技术领域和背景技术,本发明的其它期望的特征和特性将变得明显。
发明内容
提供用于检测网络上的高级持续性威胁的一种方法。该方法包括从网络获取数据包并对所获取的数据包进行分层会话解码。
从解码的数据包提取元数据并存储元数据用于分析。对元数据的分析用于检测网络上的高级持续性威胁。
提供用于检测网络上的高级持续性威胁的一种系统。该系统包括网络和耦联到网络的处理器。该处理器配置成从网络获取数据包并对所获取的数据包进行分层会话解码。元数据由处理器提取并存储在耦联到处理器的存储器中。随后可对元数据进行分析以检测网络上的高级持续性威胁。
附图说明
在下文将结合以下附图对本发明进行描述,其中相同的附图标记指示相同的元件;以及
图1是根据示例性实施例用于保存网络通信的系统的简化框图;
图2示出根据示例性实施例的获取过程;
图3示出根据示例性实施例的数据包处理;
图4示出根据示例性实施例的会话重组;
图5示出根据示例性实施例的分层会话解码;以及
图6示出根据示例性实施例的元数据的提取和存储。
具体实施方式
下面的详细描述在本质上仅仅是示例性的,而并不意旨限制本公开的主题或其用途。此外,并不意旨受到在前面的技术领域、背景技术、发明内容或下面的详细描述中所呈现的任何明示或暗示理论的约束。
在本文中,诸如“第一”和“第二”等的关系术语可仅用于将一个实体或动作与另一实体或动作进行区分,而并不一定要求或暗示在这种实体或动作之间的任何实际的这种关系或顺序。序数词,诸如“第一”,“第二”,“第三”等仅表示多个中的不同单个,而并不暗含任何顺序或序列,除非由权利要求的语言明确限定。
此外,以下的描述涉及被“连接”或“耦联”到一起的元件或特征。如本文所用,“连接”可以指一个元件/特征被直接连接到另一元件/特征(或与其直接通信),但不一定是机械地连接。类似地,“耦联”可以指一个元件/特征被直接或间接地连接到另一元件/特征(或与其直接或间接通信),但不一定是机械地连接。然而,应当理解的是,虽然在下文在一个实施例中两个元件可被描述成“连接”,但在替代性的实施例中类似的元件可被“耦联”,反之亦然。因此,尽管本文示出的示意图描绘了元件的示例性布置,但是在实际的实施例中可存在附加的中间元件、设备、特征或组件。
在上文中,描述了一些实施例和实施方式的功能性和/或逻辑块组件和各种处理步骤。然而,应当理解,这样的块组件可由配置成执行指定功能的任何数目的硬件、软件和/或固件组件来实现。例如,系统或组件的实施例可采用各种集成电路组件,例如,存储器元件、数字信号处理元件、逻辑元件、查找表等,其在一个或多个微处理器或其它控制设备的控制下可执行各种功能。此外,本领域的技术人员应当理解的是本文描述的实施例仅仅是示例性的实施方式。
最后,为了简便起见,有关系统(以及系统的各个操作组件)的信息安全和其它功能方面的常规技术和组件在本文中可不进行详细描述。此外,在本文所包括的各幅附图中所示的连接线意旨表示各个元件之间的示例性功能关系和/或物理耦联。应当指出的是,在本发明的实施例中可以存在许多替代性的或附加的功能关系或物理连接。还应当理解的是,图1至图6仅仅是示例性的,并且可以不按比例绘制。
在过去的几年中,组织累积了大量的自动化网络设备来试图保护自己的网络。同时,成功的APT攻击的量不断在增加。在此并没有矛盾,因为尽可能多的网络安全供应商正试图创建用于检测APT的自动化方法,但这些方法基本上只能应付已经暴露和经研究的攻击途径和方法。另一方面,在APT攻击背后的个人具有先行者的所有战术优势。
在攻击成功之后,迟早其都会通过其直接动作或通过副作用而暴露出来。防御者的目标是尽量减少反应时间,即做出下述所需的时间:
a)减轻感染;
b)想出对策以便让感染不会重复;以及
c)恢复损坏的部分。
a)和b)这两个步骤通常都需要由训练有素的专家付出大量的努力。实践表明,现有流量的记录可显著缩短研究APT行为所需的时间。正如前面提到的那样,来自现有自动化系统的通常不完整的记录是不够的,APT感染网络的原因是因为现有设备最开始并没有对其进行检测。
上述情况意味着,为了快速和高效地研究网络感染,自从APT在网络上变得活跃而在网络上发生的所有流量都是初始评估所需要的。假设APT的初始“潜伏”阶段可能需要数月甚至数年,这一要求对于大多数组织而言形成显著的负担,只在调查和缓解处理时雇佣人类专家,但完整网络记录能力应当始终存在和运作。
在蛮力方法中需要被记录和索引的数据量是巨大的。除了纯粹的技术挑战之外,其会形成自身中的或与其有关的额外的安全和隐私问题。如果所有的流量便捷地存储在大型磁盘阵列内,则其给攻击者提供了目标以侵入到该存储内并从其窃取数据。
换言之,专家们在当前的网络安全趋势中所看到的是,存在从不存储足够的证据到存储任何内容(即,反应过度和存储过多的数据)的转变。
本文所公开的方法存储足够量的网络元数据以便显著提高事件取证/响应的效率,同时保持存储可管理。为了实现最高的性能,重要的是在存储器内完成所有必要的处理、数据压缩和元数据提取,即无需使用硬盘作为中间数据存储。为索引数据库形式的磁盘也应当只用于经索引的网络元数据的最终存储。
本发明的一个实施例提供一种可配置的方法,其存储刚好足够的网络元数据以便尽可能高效地做出感染后的研究,而不会花费大量的金钱以及无需部署大量的存储资源,并且不会引入附加的安全和隐私风险。
该方法可重组出完整的客户机-服务器对话流,应用解码器和/或解压缩器,和/或使用一个或多个内容扫描器分析所得到的数据流。该方法还可选择性地执行处理单个的网络数据包的深度数据包检测。该方法可进一步提供可“剥离”的一层或多层的内容解码,例如,常见的压缩、聚合、文件格式和/或编码方案,并且可以适于处理和元数据收集的形式提取实际内容。此外,解码器可发现隐藏的传输机制,诸如IPv6隧道或电子邮件附件。该方法可对实时网络流量(例如,包括10Gbps的网络)执行,并且例如可允许将多个网络元数据流收集到一个最终的数据库以便进行交叉引用研究。该方法也可部署成紧接着完整数据包获取方案和部分的完整数据包获取方案,以便用于对原始流量的特定元素提供经索引的访问。
该方法例如可安装到现成的Linux操作系统(“OS”)和基于Intel的硬件上,并且可允许该设备充当独立的网络设备。该方法还可使用一个或多个网络接口卡(“NIC”),以便获取数据包。该方法也可连接到其它信息源,例如电子邮件和HTTP代理服务器。该方法的多个实例也可在该设备上运行。
机器可读介质(例如CD)可以编程有本方法,以例如安装于在具有64位IntelCPU的PC硬件上运行的任何Linux上。
图1示出根据本发明的系统的一个实施例。如可看到的那样,系统100包括多个模块。根据本发明的基本实施例,从网络获取(102)数据包。确定(104)数据包类型以及在框106中解码数据包。该系统可适于各种应用,例如访问网络流量的所有层,包括TCP/IP和UDP数据交换的内容。将数据包类型信息和解码的数据包发送到框108,用于会话重组。接下来,在框110中进行分层会话解码。框110也可接受从SMTP邮件中心或Web代理服务器所获取(112)的数据。在框114中,根据利用分层会话解码信息和分层数据包解码信息根据配置文件提取元数据(116)。通过耦联到用于存储元数据的数据库120的元数据接收器118收集该元数据。接着可通过图形用户界面122分析所存储的元数据。操作者可手动或借助于各种自动化处理124来分析元数据以便检测网络上的高级持续性威胁。
本系统100深入到每一网络交换中并解码应用协议以及文件格式,其中这些信息可以是正在进行中的或来自离线源。按常规,当解码完成时,数据本身的内容通常被丢弃。所有这一切都在存储器中完成,而在整个元数据提取阶段中不涉及磁盘I/O操作。系统100通常存储(120)关于每一网络交换的元数据信息。除了如IP地址和端口的常见会话属性之外,该系统能够提取所有的所用应用协议、IP隧道(如果使用的话)、用户名、文件名、HTTP引用地址和请求的URL、服务器返回代码等,如在用户配置中指定的那样。基于各个数据包对不基于会话的协议(如DNS)进行解码,以及所述元数据被发送以便以类似于基于会话的协议的方式进行存储。
因为典型的网络流量由长的会话和文件传输构成,不具有真正内容的每个会话的元数据存储构成相对于原始网络流量的至少1/100的压缩比,并且除了减少与完整数据存储相关联的合规要求之外,还显著降低安全和隐私风险。在另一方面,存储大量有关会话本身的信息给训练有素的网络取证专家提供在过程的各阶段中研究网络攻击所需的一切内容。
处理步骤为:
1)获取原始网络流量;
2)可选地选择性地解码数据包(IPv6隧道,DNS等);
3)可选地对来自TCP和UDP协议的会话进行重组;
4)执行分层会话解码;以及
5)根据配置提取会话的元数据。
图2示出根据示例性实施例的获取过程。该步骤的目的是为了实现用于活动数据源和离线数据源的各种接口,其目的是提供系统内的统一数据表示。
可根据网络流量源来实施不同的获取模块。最常见的源是来自网络交换机SPAN端口200或网络分流器202的原始网络流量;通过ICAP连接来自HTTP代理设备204的HTTP流量;以及通过SMTP邮件中心206实施的SMTP流量。
可在同一存储器内处理系统中使用一种以上的获取方法。在未来也可以针对特定的网络交换协议和离线存储格式实施附加获取模块。
可选的选择性的数据包解码
图3示出根据示例性实施例的数据包处理。在尝试将某些非常重要的传输组合成对取证研究有意义的会话之前需要对它们进行数据包级别的分析。例如,ATP经常使用IPv6来混淆网络传输。一些网络交换是无会话的因此应当按照无会话进行处理。其典型的示例是DNS协议。某些分类的APT和恶意软件依赖于DNS,以便在初次感染之后下载附加软件。相应地,框300确定是否需要特殊处理。如果不需要,数据包就被直接发送到会话重组108。但是,如果是需要特殊处理,则使用分层数据包解码操作106,以及框302确定如果使用了IP隧道为会话元数据提取器114添加隧道信息,则随后将数据包路由到会话重组108。
该系统通过从DNS请求直接提取重要数据并检测和解码IPv6隧道来适应这些要求。显然,这种类型的处理不能用于面向会话的数据交换,如HTTP或SMTP。
可选地对来自TCP和UDP协议的会话进行重组
图4示出根据示例性实施例的会话重组108。不管系统是直接从网络获取还是从离线存储获取原始网络数据包400时,系统将单个数据包的流汇编成具有共同特性的逻辑会话,以最小化需要被存储的类似信息的量。例如,如果网络会话由100个1.5KB的数据包构成,其中每个数据包布置成通过FTP进行的TCP/IP文件传输,所得到的提取出的信息可包括:源和目的地IP地址和端口、会话的总长度、所使用的用户名/密码、文件名、类型和长度、时间和日期。这些特性对于在会话中所涉及的所有数据包而言是共同的,与用数据包的有效负荷(payload)记录所有原始数据包相比,这导致信息的显著压缩。
该系统采用TCP/UDP重组模块,其保持跟踪所有当前的网络流并将来自网络的单个的数据包和它们的有效载荷一起添加到相对应的流内以便进一步对内容进行解码和元数据提取。所有这种处理可在存储器中进行,以便能够以活跃的网络速度执行。模块一个接一个地处理来自一个或多个输入队列的数据包,其中每个队列代表例如混杂模式的网络接口或具有所存储的数据包流的PCAP文件,模块在存储器中找到由描述符和数据区表示的适当网络流,从数据包提取数据,并将其放入到存储器数据402中,偏移并相应地更新流描述符。会话流被存储在存储器404中。例如基于处理专门格式化的网络数据包,或基于总体上的流状态(例如超时),该模块也可确定特定的网络流已被关闭。在这种情况下,TCP/UDP重组模块确保流及其数据被完全解码,并将其从存储器擦除。该数据可在会话描述符之前被擦除,需特别注意,失序数据包以及例如迟到和乱序的TCP重传已根据TCPRFC状态被正确地识别。在存储器中的流数据由类似于典型磁盘文件系统的固定大小的一个或多个相连的存储器“块”构成。根据传送的进展分配适于数据流的新的块。
分层会话解码
图5示出根据示例性实施例的分层会话解码106。虽然从数据包信息(IP地址、TCP和UDP端口以及类似)可立即获得非常原始的初始元数据,但是当从所有被传输的数据提取了元数据时提供了优势。具体地,在前一模块(会话重组108或者会话获取模块112,如图1中示出)决定发送用于特定会话的引用以便进行分析时,主解码器循环处理器将会话描述符和数据流相关联,并在循环中部署一系列的解码器。解码循环进行,直到没有解码器可以再识别出数据为止。该事件触发解码循环结束。在应用协议解码器500和格式解码器502之间存在逻辑分离,主要是因为内部数据表示的不同造成的。协议解码器500可同时地分析客户机和服务器流以便适当地处理通信。格式解码器502通常处理通过协议解码器500从客户机与服务器的通信中提取的单个缓冲器。这种循环结构保证所有的数据将被正确解码,即使例如所述数据被双重压缩。
每个解码周期产生特定于协议或特定于格式的元数据,该元数据被添加到会话描述。所有的处理可在存储器中完成来促进最佳性能。
根据配置提取会话元数据
图6示出根据示例性实施例的元数据提取和存储。如图所示可使用多个传感器600进行元数据提取。在前一步骤中收集的元数据与用户提供的配置相匹配。用户感兴趣的条目(例如格式名、文件名和用户名,但不是完整的HTTP标头)被转换成键-值对,并发送到数据库以便进行存储。
数据库120可以是本地的或远程的。在远程数据库的情况下,采用在专用协议上的SSL加密以便安全可靠地将数据传输到目的地。
一个以上的元数据收集系统602可部署在网络上,将处理结果存储在同一个数据库120内。由于有效的100:1(或更高)的压缩,系统可以按多对一的配置成功地部署在高速网络上,即多个收集器将所述网络元数据发送到同一数据库以便进行集中存储和相关联。
尽管已经在前面的详细描述中展示了至少一个示例性实施例,但是应当理解的是存在大量的变化。还应当理解的是,一个示例性实施例或多个示例性实施例仅仅是示例,并不意旨以任何方式限制本公开的范围、适用性,或配置。相反,前面的详细描述将给本领域内的技术人员提供用于实施一个示例性实施例或多个示例性实施例的方便路线图。应当理解的是,在不脱离如本文所限定的本公开范围的情况下可在元件的功能和布置方面进行各种修改。
Claims (20)
1.一种方法,其包括:
通过处理器从网络获取数据包以便提供所获取的数据包;
对所获取的数据包执行分层会话解码以便提供解码的数据包;
从解码的数据包提取元数据;
存储所述元数据;以及
分析所述元数据以便检测网络上的高级持续性威胁。
2.根据权利要求1所述的方法,其特征在于,还包括处理器确定所获取的数据包的数据包类型。
3.根据权利要求1所述的方法,其特征在于,还包括处理器从解码的数据包重组会话。
4.根据权利要求1所述的方法,其特征在于,还包括处理器从网络代理服务器获取数据。
5.根据权利要求1所述的方法,其特征在于,还包括处理器从SMTP中心获取数据。
6.根据权利要求1所述的方法,其特征在于,还包括处理器根据配置提取元数据。
7.根据权利要求1所述的方法,其特征在于,还包括当执行分层会话解码时处理器使用应用协议解码器。
8.根据权利要求1所述的方法,其特征在于,还包括当执行分层会话解码时处理器使用格式解码器。
9.一种系统,其包括:
网络;
处理器,其耦联到网络并配置成;
从网络获取数据包以便提供所获取的数据包;
对所获取的数据包执行分层会话解码以便提供解码的数据包;以及
从解码的数据包提取元数据;
存储器,其耦联到所述处理器以便存储所述元数据;以及
其中,分析元数据以便检测网络上的高级持续性威胁。
10.根据权利要求9所述的系统,其特征在于,所述处理器进一步配置成确定所获取的数据包的数据包类型。
11.根据权利要求9所述的系统,其特征在于,所述处理器进一步配置成从解码的数据包重组会话。
12.根据权利要求9所述的系统,其特征在于,所述处理器进一步配置成从网络的网络代理服务器获取数据。
13.根据权利要求9所述的系统,其特征在于,所述处理器进一步配置成从网络的SMTP中心获取数据。
14.根据权利要求9所述的系统,其特征在于,还包括所述处理器根据配置提取元数据。
15.根据权利要求9所述的系统,其特征在于,还包括用于执行分层会话解码的应用协议解码器。
16.根据权利要求9所述的系统,其特征在于,还包括用于执行分层会话解码的格式解码器。
17.一种包含计算机程序产品的非暂时性计算机可读介质,所述计算机程序产品包括:
高级持续性威胁检测程序,其配置成:
通过处理器从网络获取数据包以便提供所获取的数据包;
对所获取的数据包执行分层会话解码以便提供解码的数据包;
从解码的数据包提取元数据;以及
分析元数据以便检测网络上的高级持续性威胁。
18.根据权利要求17所述的包含计算机程序产品的非暂时性计算机可读介质,其特征在于,高级持续性威胁检测程序进一步配置成确定所获取的数据包的数据包类型。
19.根据权利要求17所述的包含计算机程序产品的非暂时性计算机可读介质,其特征在于,高级持续性威胁检测程序进一步配置成从解码的数据包重组会话。
20.根据权利要求17所述的包含计算机程序产品的非暂时性计算机可读介质,其特征在于,高级持续性威胁检测程序进一步配置成根据配置提取元数据。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361784931P | 2013-03-14 | 2013-03-14 | |
| US61/784,931 | 2013-03-14 | ||
| PCT/US2014/029426 WO2014153176A1 (en) | 2013-03-14 | 2014-03-14 | System and method for extracting and preserving metadata for analyzing network communications |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN105103496A true CN105103496A (zh) | 2015-11-25 |
Family
ID=51581439
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480015454.4A Pending CN105103496A (zh) | 2013-03-14 | 2014-03-14 | 用于提取和保存用于分析网络通信的元数据的系统和方法 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US9961095B2 (zh) |
| EP (1) | EP2974144B1 (zh) |
| JP (1) | JP2016513944A (zh) |
| KR (1) | KR20160019397A (zh) |
| CN (1) | CN105103496A (zh) |
| AU (1) | AU2014236179A1 (zh) |
| CA (1) | CA2903262A1 (zh) |
| HK (1) | HK1219006A1 (zh) |
| IL (1) | IL241457B (zh) |
| MX (1) | MX2015010770A (zh) |
| SG (1) | SG11201506938PA (zh) |
| WO (1) | WO2014153176A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110679129A (zh) * | 2017-05-23 | 2020-01-10 | 西门子股份公司 | 用于保护尤其是在工业制造和/或自动化的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法和设备 |
| CN112703497A (zh) * | 2018-10-17 | 2021-04-23 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序 |
Families Citing this family (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10334085B2 (en) | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
| US10425447B2 (en) * | 2015-08-28 | 2019-09-24 | International Business Machines Corporation | Incident response bus for data security incidents |
| FI127335B (en) * | 2016-05-27 | 2018-04-13 | Cysec Ice Wall Oy | Logging of telecommunications on a computer network |
| CN108632224B (zh) * | 2017-03-23 | 2022-03-15 | 中兴通讯股份有限公司 | 一种apt攻击检测方法和装置 |
| US10397186B2 (en) | 2017-10-06 | 2019-08-27 | Stealthpath, Inc. | Methods for internet communication security |
| US10630642B2 (en) | 2017-10-06 | 2020-04-21 | Stealthpath, Inc. | Methods for internet communication security |
| US10375019B2 (en) | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
| US10367811B2 (en) | 2017-10-06 | 2019-07-30 | Stealthpath, Inc. | Methods for internet communication security |
| US10361859B2 (en) | 2017-10-06 | 2019-07-23 | Stealthpath, Inc. | Methods for internet communication security |
| US10374803B2 (en) | 2017-10-06 | 2019-08-06 | Stealthpath, Inc. | Methods for internet communication security |
| KR101996044B1 (ko) * | 2017-11-27 | 2019-07-03 | (주) 시스메이트 | 암호화 트래픽의 네트워크 포렌식 서비스 제공을 위한 icap 프로토콜 확장 방법과 이를 지원하는 네트워크 포렌식 장치 및 웹 프락시 |
| CN108965349A (zh) * | 2018-10-19 | 2018-12-07 | 周红梅 | 一种监测高级持续性网络攻击的方法和系统 |
| KR102080478B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 패턴 기반 색인 처리 시스템 및 이를 이용한 패턴 기반 색인 처리 방법 |
| WO2020256210A1 (ko) * | 2019-06-20 | 2020-12-24 | 주식회사 쿼드마이너 | 네트워크 포렌식 시스템 및 이를 이용한 네트워크 포렌식 방법 |
| KR102080477B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 고성능 패킷 스트림 저장 시스템 및 이를 이용한 고성능 패킷 스트림 저장 방법 |
| KR102080479B1 (ko) * | 2019-06-20 | 2020-02-24 | 주식회사 쿼드마이너 | 시나리오 중심 실시간 공격 감지 시스템 및 이를 이용한 시나리오 중심 실시간 공격 감지 방법 |
| US11558423B2 (en) | 2019-09-27 | 2023-01-17 | Stealthpath, Inc. | Methods for zero trust security with high quality of service |
| KR102484886B1 (ko) * | 2021-06-11 | 2023-01-06 | 주식회사 시큐다임 | 정보 유출 모니터링 서버 및 방법 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050018618A1 (en) * | 2003-07-25 | 2005-01-27 | Mualem Hezi I. | System and method for threat detection and response |
| US20050055399A1 (en) * | 2003-09-10 | 2005-03-10 | Gene Savchuk | High-performance network content analysis platform |
| US20090290492A1 (en) * | 2008-05-23 | 2009-11-26 | Matthew Scott Wood | Method and apparatus to index network traffic meta-data |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7315891B2 (en) | 2000-01-12 | 2008-01-01 | Vericept Corporation | Employee internet management device |
| US9525696B2 (en) * | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
| US7783765B2 (en) | 2001-12-12 | 2010-08-24 | Hildebrand Hal S | System and method for providing distributed access control to secured documents |
| US7260555B2 (en) | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
| JP2003242267A (ja) | 2002-02-15 | 2003-08-29 | Fujitsu Ltd | プロフィール情報公開方法及びプロフィール情報公開プログラム |
| AU2003276869A1 (en) | 2002-09-09 | 2004-03-29 | Netrake Corporation | System for allowing network traffic through firewalls |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| JPWO2005006191A1 (ja) | 2003-07-10 | 2006-08-24 | 富士通株式会社 | 複数種類の情報を登録する装置および方法 |
| US7515717B2 (en) | 2003-07-31 | 2009-04-07 | International Business Machines Corporation | Security containers for document components |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| US8838819B2 (en) * | 2009-04-17 | 2014-09-16 | Empirix Inc. | Method for embedding meta-commands in normal network packets |
| US9256735B2 (en) * | 2011-10-10 | 2016-02-09 | Masergy Communications, Inc. | Detecting emergent behavior in communications networks |
| US9628507B2 (en) * | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
-
2014
- 2014-03-14 US US14/214,088 patent/US9961095B2/en active Active
- 2014-03-14 EP EP14768424.5A patent/EP2974144B1/en active Active
- 2014-03-14 KR KR1020157025164A patent/KR20160019397A/ko not_active Application Discontinuation
- 2014-03-14 JP JP2016503091A patent/JP2016513944A/ja active Pending
- 2014-03-14 WO PCT/US2014/029426 patent/WO2014153176A1/en active Application Filing
- 2014-03-14 AU AU2014236179A patent/AU2014236179A1/en not_active Abandoned
- 2014-03-14 CA CA2903262A patent/CA2903262A1/en not_active Abandoned
- 2014-03-14 SG SG11201506938PA patent/SG11201506938PA/en unknown
- 2014-03-14 CN CN201480015454.4A patent/CN105103496A/zh active Pending
- 2014-03-14 MX MX2015010770A patent/MX2015010770A/es unknown
-
2015
- 2015-09-10 IL IL241457A patent/IL241457B/en active IP Right Grant
-
2016
- 2016-06-17 HK HK16106981.0A patent/HK1219006A1/zh unknown
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
| US20050018618A1 (en) * | 2003-07-25 | 2005-01-27 | Mualem Hezi I. | System and method for threat detection and response |
| US20050055399A1 (en) * | 2003-09-10 | 2005-03-10 | Gene Savchuk | High-performance network content analysis platform |
| US20090290492A1 (en) * | 2008-05-23 | 2009-11-26 | Matthew Scott Wood | Method and apparatus to index network traffic meta-data |
| CN101599963A (zh) * | 2009-06-10 | 2009-12-09 | 电子科技大学 | 网络疑似威胁信息筛选器及筛选处理方法 |
| CN102594625A (zh) * | 2012-03-07 | 2012-07-18 | 北京启明星辰信息技术股份有限公司 | 一种apt智能检测分析平台中的白数据过滤方法及系统 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110679129A (zh) * | 2017-05-23 | 2020-01-10 | 西门子股份公司 | 用于保护尤其是在工业制造和/或自动化的通信网络之内的至少一个第一通信装置与至少一个第二通信装置之间的通信的方法和设备 |
| US11336657B2 (en) | 2017-05-23 | 2022-05-17 | Siemens Aktiengesellschaft | Securing communication within a communication network using multiple security functions |
| CN112703497A (zh) * | 2018-10-17 | 2021-04-23 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序 |
| CN112703497B (zh) * | 2018-10-17 | 2024-05-24 | 松下电器(美国)知识产权公司 | 威胁分析装置、威胁分析方法、以及程序记录介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2903262A1 (en) | 2014-09-25 |
| SG11201506938PA (en) | 2015-09-29 |
| KR20160019397A (ko) | 2016-02-19 |
| US20150264072A1 (en) | 2015-09-17 |
| EP2974144A1 (en) | 2016-01-20 |
| IL241457A0 (en) | 2015-11-30 |
| MX2015010770A (es) | 2016-06-17 |
| HK1219006A1 (zh) | 2017-03-17 |
| WO2014153176A1 (en) | 2014-09-25 |
| AU2014236179A1 (en) | 2015-09-03 |
| EP2974144A4 (en) | 2016-09-14 |
| US9961095B2 (en) | 2018-05-01 |
| JP2016513944A (ja) | 2016-05-16 |
| IL241457B (en) | 2018-11-29 |
| EP2974144B1 (en) | 2018-09-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105103496A (zh) | 用于提取和保存用于分析网络通信的元数据的系统和方法 | |
| Lima Filho et al. | Smart detection: an online approach for DoS/DDoS attack detection using machine learning | |
| CN101924757B (zh) | 追溯僵尸网络的方法和系统 | |
| CN112039904A (zh) | 一种网络流量分析与文件提取系统及方法 | |
| CN105138709B (zh) | 一种基于物理内存分析的远程取证系统 | |
| US20110125748A1 (en) | Method and Apparatus for Real Time Identification and Recording of Artifacts | |
| CN109922073A (zh) | 网络安全监控装置、方法和系统 | |
| US10440035B2 (en) | Identifying malicious communication channels in network traffic by generating data based on adaptive sampling | |
| Kumari et al. | An insight into digital forensics branches and tools | |
| Joshi et al. | Fundamentals of Network Forensics | |
| CN107645480B (zh) | 数据监控方法及系统、装置 | |
| CN104639391A (zh) | 一种生成网络流量记录的方法及相应的流量检测设备 | |
| CN107666486A (zh) | 一种基于报文协议特征的网络数据流恢复方法及系统 | |
| KR20080102505A (ko) | 파일 탐색 시스템 및 방법 | |
| CN103124226A (zh) | 一种家庭宽带上网监控系统及方法 | |
| CN110581780B (zh) | 针对web服务器资产的自动识别方法 | |
| CN111884883A (zh) | 一种用于业务接口的快速审计处理方法 | |
| CN103236940A (zh) | 内容处理方法和装置及网络设备 | |
| CN101572633A (zh) | 网络取证方法及系统 | |
| CN104283703A (zh) | 一种用户登录提醒方法及系统 | |
| JP3648520B2 (ja) | ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体 | |
| CN113438503A (zh) | 视频文件还原方法、装置、计算机设备和存储介质 | |
| CN103947158A (zh) | 信息包数据提取装置、信息包数据提取装置的控制方法、控制程序、计算机可读取的记录介质 | |
| Jayakrishnan et al. | Empirical survey on advances of network forensics in the emerging networks | |
| CN114157467B (zh) | 分布式可切换工控蜜网诱捕方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20151125 |
|
| WD01 | Invention patent application deemed withdrawn after publication |