CN105210042B - 互联网协议威胁防护 - Google Patents
互联网协议威胁防护 Download PDFInfo
- Publication number
- CN105210042B CN105210042B CN201480027018.9A CN201480027018A CN105210042B CN 105210042 B CN105210042 B CN 105210042B CN 201480027018 A CN201480027018 A CN 201480027018A CN 105210042 B CN105210042 B CN 105210042B
- Authority
- CN
- China
- Prior art keywords
- risk
- address
- value
- characteristic
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 claims description 45
- 238000003860 storage Methods 0.000 claims description 32
- RUTXIHLAWFEWGM-UHFFFAOYSA-H iron(3+) sulfate Chemical compound [Fe+3].[Fe+3].[O-]S([O-])(=O)=O.[O-]S([O-])(=O)=O.[O-]S([O-])(=O)=O RUTXIHLAWFEWGM-UHFFFAOYSA-H 0.000 claims description 19
- 229910000360 iron(III) sulfate Inorganic materials 0.000 claims description 19
- 230000015654 memory Effects 0.000 claims description 15
- 238000004891 communication Methods 0.000 claims description 10
- 230000009471 action Effects 0.000 claims description 8
- 230000006870 function Effects 0.000 claims description 4
- 238000012545 processing Methods 0.000 description 5
- XLYOFNOQVPJJNP-UHFFFAOYSA-N water Substances O XLYOFNOQVPJJNP-UHFFFAOYSA-N 0.000 description 5
- 230000000875 corresponding effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000009466 transformation Effects 0.000 description 4
- 238000013459 approach Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000001914 filtration Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013507 mapping Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000006116 polymerization reaction Methods 0.000 description 2
- 230000002265 prevention Effects 0.000 description 2
- 238000012502 risk assessment Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000013479 data entry Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002431 foraging effect Effects 0.000 description 1
- 125000000524 functional group Chemical group 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000006386 neutralization reaction Methods 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2111—Location-sensitive, e.g. geographical location, GPS
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2119—Authenticating web pages, e.g. with suspicious links
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
实时阻止高风险IP连接,同时允许定制可接受风险配置文件以匹配网络资源的安全要求。通过获取关于IP地址的IP威胁信息(包括风险置信水平),分配对应于所述IP地址的各种特性的加权因子值,以及使用所述加权因子值来数学变换所述风险置信水平,阻止来自构成不可接受的风险水平的IP地址的通信量。此外,将风险置信水平数学变换成用户定义的可接受风险水平允许来自具有可接受风险水平的IP地址的允许通信量。
Description
背景技术
连接到互联网的计算设备面临持续的安全风险。连接到互联网的计算机服务,尤其是面向公众的服务,面临被设计成剥夺对资源的访问(即,拒绝服务)、破坏对资源的访问(例如,做政治声明)或提供对资源的非法访问(例如,因为金钱的原因)的攻击。在受保护网络的防火墙内的互联网连接的设备在与防火墙外的资源进行通信时有风险。在防火墙内的这些设备可能感染恶意软件,其试图使这些设备积极参与僵尸网络或试图将个人和/或财务信息发送到互联网上的未经授权的实体。
曾经,将访问规则添加到防火墙中以限制入站或出站互联网连接解决了这个问题。然而,今天的黑客和网络犯罪分子更复杂,并能够通过已积极参与由攻击者控制的僵尸网络的代理、匿名工具和计算机进行连接来隐藏他们的身份。仅仅阻止互联网协议(IP)地址不足以防止攻击,因为由攻击者使用的IP地址可以每天,每小时,且有时甚至更频繁地改变。此外,只有两个选项(即,阻止或不阻止)不能提供足够的灵活性来评估威胁。而且,创建例外是手动密集的。
互联网风险情报提供者(IRIP)是监视互联网网络节点进行恶意活动的迹象,并提供对其调查结果的访问的实体。在检测到可能的恶意活动后,IRIP将与活动相关联的IP地址添加到可下载的列表或实时反馈。除IP地址以外,IRIP还包括潜在风险的风险类别和置信度评分,其指示检测到的IP地址实际上是风险的概率。典型的IRIP能够监视数百万的IP地址,且因此IP地址的典型列表可以数以百万计。不幸的是,通常用于阻止高风险的IP地址连接进入或离开网络的常规的防火墙和路由器只能够阻止一小部分的IP地址。(例如,10,000到100,000个IP地址)。除了上述的缺点之外,防火墙和路由器还需要确定哪些IP地址将被阻止(即,风险阻止)以随着威胁环境改变不断地实时更新的访问规则。需要一种实用方法来实时阻止高风险IP连接,同时允许用户定制其可接受风险配置文件以匹配其网络资源的安全要求。
发明内容
简单地说,本发明的方面允许实时阻止高风险IP连接,同时允许用户定制其可接受风险配置文件以匹配其网络资源的安全要求。经由馈送(例如,基于可扩展标记语言(XML)或JavaScript对象表示法(JSON))从一个或多个提供者获取IP威胁信息。信息包括例如IP地址、命名的风险类别以及所列出的IP地址实际上是命名的类别内的威胁的置信水平。有利地,来自每个提供者的类别名称被映射到一组常用的类别名称中来解决潜在的命名冲突。基于个别风险评分的聚合风险评分考虑由IRIP分配的置信水平、在预定义的时间间隔内IP地址已被列为高风险的次数以及自从上次IP地址被列出之后的时间间隔。另外,对来自IRIP数据的评分加权提高了威胁评估。
在一个方面,评估与风险类别的IP地址相关联的风险的计算机实施的方法包括将多个威胁信息存储在存储器设备中。威胁信息包括IP地址、与IP地址相关联的风险类别以及与IP地址相关联的风险置信水平。另外,该方法包括将风险类别接受水平存储在存储器设备中,以及确定与IP地址相关联的风险类别值。根据该方法,根据以下项来确定风险类别值:风险置信水平;在第一时间间隔期间风险置信水平已超过风险类别接受水平的实例数;以及第二时间间隔,其表示自从风险置信水平先前超过风险类别接受水平之后的经过时间。该方法还包括将风险类别值存储在存储器设备中,以及根据风险类别值和风险类别接受水平来作出关于与风险类别的IP地址相关联的威胁的决定。
在另一方面,确定多个IP地址的聚合风险评分的处理器实施的方法包括经由计算机通信网络从一个或多个IRIP接收特定类别的多个IP地址。另外,该方法包括确定所接收的IP地址中的每个的源特性且将加权因子分配给源特性,以及数学变换加权的源特性以调整所接收的IP地址中的每个的风险置信水平。该方法还包括基于IP地址的调整后的置信水平确定IP地址的聚合风险评分,以及允许来自具有低于可接受风险水平的聚合风险评分的IP地址中的每个的通信量。
在又一方面,用于确定从多个源实时接收的多个IP地址的风险的系统包括:存储器,其用于存储多个IP地址和日期和时间、分配的风险类别以及每个IP地址的置信水平。图形用户界面显示与每个IP地址相关联的多个类别并且从用户接受包括多个类别中的每个的可接受风险水平的输入。该系统还包括用于执行计算机可执行指令的计算机处理器,所述指令用于从一个或多个IRIP接收特定类别的多个IP地址、确定一个或多个所接收的IP地址是否与多于一个的类别相关联、确定类别的所接收的IP地址中的每个的源特性、将加权因子分配给每个类别的源特性中的每个、通过基于每个类别的加权因子使用数学变换来调整所接收的IP地址中的每个的置信水平、基于调整后的置信水平确定所有IP地址的聚合风险评分、从用户接收每个类别的可接受风险水平、比较聚合风险评分与从用户接收的可接受风险水平以及允许具有低于可接受风险水平的聚合风险评分的任何IP地址通过网络的防火墙。
在又一方面,计算机网络防火墙系统包括:至少一个有形非暂时性计算机可读介质,其存储处理器可执行指令。威胁评估处理器被编程为执行指令。而且,当被处理器执行时,指令将多个威胁信息存储在计算机可读介质上。威胁信息包括IP地址、与IP地址相关联的风险类别以及与IP地址相关联的风险置信水平。另外,已执行的指令存储风险接受水平,并且根据以下项来确定与IP地址相关联的风险值:风险置信水平;在第一时间间隔期间风险置信水平已超过阈值水平的实例数;以及第二时间间隔,其表示自从风险置信水平先前超过阈值水平之后的经过时间。已执行的指令还比较风险值与风险接受水平,并且在风险值大于或等于风险接受水平时,阻止和与IP地址相关联的计算设备进行计算机网络通信。
其他目的和特征将部分是明显的,并且部分在下文中被指出。
附图说明
图1是根据本发明的实施方案的示例性威胁评估过程的图解。
图2还图示图1的多个IRIP特性的示例性加权过程。
图3还图示图1的源和/或目的地特性的示例性加权过程。
图4还图示图1的来源国特性的示例性加权过程。
图5还图示图1的来源ISP特性的示例性加权过程。
图6还图示图1的时间特性的示例性加权过程。
图7还图示图1的多个类别特性的示例性加权过程。
图8A至图8B是根据本发明的实施方案的示例性聚合过程的图解。
图9至图12是根据本发明的实施方案的示例性用户界面的屏幕截图。
在整个附图中,对应的参考字符指示对应的部分。
具体实施方式
本发明的方面允许基于IP威胁信息实时阻止高风险IP连接,同时允许用户定制其可接受风险配置文件以匹配其网络资源的安全要求。IP威胁信息提供有关潜在高风险IP地址的细节。这个信息至少部分地包括IP地址、命名的风险类别,以及对应于相关联的IP地址实际上是命名的类别内的威胁的置信水平的风险评分。可以预期的是,可以包括有关IP地址的额外的信息。在实施方案中,经由基于编码格式(诸如XML或JSON)的实时反馈,在通信网络上从一个或多个提供者(例如,IRIP)获取IP威胁信息。在另一实施方案中,从计算机可读存储介质获取IP威胁信息。
图1图示体现本发明的方面的用于评估威胁的过程。根据本发明的方面,过程将权重分配给与IP地址相关联的各种特性,并且通过使用数学变换来调整IP地址的风险评分。
在本发明的实施方案中,将风险类别名称映射到一组常用的类别名称中。如图1中所示,从多个IRIP 102获取IP威胁信息,并且在104将由每个IRIP提供的命名的风险类别映射到常用的类别名称中。例如,攻击者通常通过使用匿名代理(即,匿名工具)在互联网上隐藏其身份,这使得互联网活动无法追踪。根据个人命名约定,不同的IRIP可以用不同的方式标记与命名的风险类别相关联的IP地址。例如,不同的IRIP可以将来自匿名工具的IP地址标记为“Tor节点”、“Tor出口节点”或“Tor匿名节点”。为了创建通用分类法,将IRIP类别名称的每个映射到常用的类别名称,例如,“Tor节点”。作为另一示例,IRIP可以使用类别名称,诸如“匿名工具节点”、“代理节点”和可以被映射到“代理节点”的“中继节点”。将来自不同IRIP的不同的类别名称映射到一个常用的类别中避免在给定类别内命名约定或拼写问题的问题。示例性类别可以包括(但不限于)“命令和控制服务器”、“已知的被感染的僵尸”、“已知的垃圾邮件来源”、“Tor节点”、“已知的盗用的或敌对主机”、“代理主机”、“主机执行扫描”、“SSH或其他暴力破解工具”、“假AV和AS产品”、“分布式命令和控制节点”、“可疑的exe或dropper服务”、“移动CnC”和“移动间谍软件Cnc”。
优选地,将在104映射的IP威胁信息存储在本地数据库中。在实施方案中,将获取IP威胁信息的时间戳(例如,日期和时间)存储在具有IP威胁信息的本地数据库中。日期和时间可以用于老化条目。随着时间的推移没有关于特定IP地址的额外的信息,该特定IP地址是高风险的确定性减小。例如,IRIP可以始终在预定的时段内列出特定IP地址为高风险。这种特定高风险IP地址可能会保证比未一直被评为高风险的其他高风险IP地址分配更高的加权值。
还参看图1,风险评估缓解处理器(RAMP)引擎106为与IP地址相关联的各种特性分配权重。权重被分配的示例性特性包括(但不限于)多个IRIP特性108、源和/或目的地特性110、来源国特性112、来源ISP特性114、时间特性116、自治系统号(ASN)特性118和多个类别特性120。如下文更详细地解释,在将各种加权因子分配给IP地址之后,加权的值然后通过数学变换122(例如,线性变换、指数变换或对数变换)用来将调整施加到风险评分。基于加权的风险类别值中的一个或多个,本发明的方面作出决定或以其他方式确定行动。示例性行动包括用于允许通信量、重新路由通信量、允许通信量但作记录等的决定。
图2还图示多个IRIP特性108的加权过程。在实施方案中,从多个IRIP获取的每个IP地址被分配加权因子值,其具有比分配给与单个IRIP相关联的IP地址的加权因子值更大的加权因子值。
图3还图示源和/或目的地特性110的加权过程。在这个实施方案中,施加加权因子以考虑与源自(即,入站或源)或去往(即,出站或目的地)某些地区的IP地址的连接相关联的风险。地区的示例包括(但不限于)地理区域,诸如国家、企业部门、政区等。另外,来自受管辖行业(诸如金融或关键基础设施)的IP地址可能比来自例如娱乐或房地产行业的IP地址不太可能构成风险。此外,来自大力支持色情或其他不利的主题的政治团体的连接将比来自支持宗教自由或其他有利的主题的政治团体的IP地址更可能成为网络活跃分子攻击的目标,并且更可能被感染。
图3的加权过程结合源和/或目的地的权重与由每个IRIP提供者提供的风险评分,以导出考虑连接源自(入站)或终止于(出站)哪里的加权的风险评分。在出站(即,目的地)的情况下,例如,恶意软件可能驻留在计算机上并且在后台不被注意的运行。当恶意软件将信息发送到IP地址时,比较目的地IP地址的风险评分与已建立的可接受水平,并且如果评分超过最大可接受风险水平,则连接被断开。
此外,在实施方案中,代替或除了国家过滤,源和/或目的地加权因子也考虑地理上的接近。地理上的接近涉及IP地址与被列为高风险的其他IP地址多么接近。这种方法与国家过滤不一样,虽然可能在这两种方法之间有一些重叠。这种技术使用数学公式来确定潜在高风险IP地址与高风险IP地址的最近的群集的接近度。结合到群集的距离与群集的加权的威胁评分以确定不与群集相关联的IP地址的风险。IP地址越接近于群集,分配给IP地址的风险评分越高。有利的是,当群集和IP地址在接近度上接近,但在不同的国家(诸如在边境附近)时,这种地理上的接近方法提供更好的结果。例如,位于距离布莱恩、华盛顿10英里的IP地址可以与位于周边城市(诸如美国的西雅图、华盛顿或加拿大的温哥华、不列颠哥伦比亚)的群集相关联。如果群集位于西雅图并且IP地址位于加拿大的怀特罗克、不列颠哥伦比亚,则在国家过滤器(例如,美国)被利用时IP地址不会被列为威胁。然而,通过使用地理上的接近,在群集与IP地址之间的美国-加拿大边境的存在是不相关的,并且IP地址由于其接近位于西雅图的群集将是更高的威胁风险。
图4图示根据本发明的实施方案的来源国特性112的加权过程。例如,在将权重分配给源自特定国家的IP地址时,相比于来自更低风险的国家(诸如加拿大)的IP地址,RAMP引擎106将更大的加权的值分配给源自更高风险的国家的IP地址。
在图5中,体现本发明的方面的来源ISP特性114的加权过程考虑ISP的威胁体验。例如,RAMP 106可以考虑与源自特定ISP的连接相关联的风险,所述特定ISP具有不断出现在IP威胁馈送上的大量的IP地址,这指示ISP不强制执行适当的限制,防止其IP地址空间被用于恶意目的。因此,根据例如可靠性来加权ISP以评估特定IP地址作为威胁。
图6还图示时间特性116的加权过程。在实施方案中,RAMP引擎106确定在预定义的时间间隔内考虑中的IP地址被列为高风险的频率,并且比较这个数与预定义的阈值。当在时间间隔内IP地址被列为高风险的次数超过阈值时,将频繁加权值w1、w2、……、wn分配给风险评分,其中wi>0并且wi<2,从而产生±100%。当在时间间隔内IP地址被列为高风险的次数不超过阈值时,将“不频繁”加权值分配给风险评分。在另一实施方案中,RAMP引擎106确定自从IP地址先前被列为高风险之后的时间间隔。将时间间隔的加权值分配给与确定的时间间隔成比例的风险评分。
现在参看图7,多个IRIP可以列出在多于一个的命名的风险类别中的某一IP地址。多个类别特性120的示例性加权过程考虑这种情况。例如,一个IRIP可以列出特定IP地址作为垃圾邮件,而另一IRIP可以列出相同的IP地址作为垃圾邮件和Tor出口节点。在实施方案中,RAMP引擎106确定IP地址是否被列在多于一个的命名的风险类别中,并且在IP地址被列在多于一个的类别中时分配“多个”加权值,并且在IP地址不被列在多于一个的类别中时分配“不是多个”加权值。此外,RAMP引擎可以分配与IP地址被列在其中的命名的风险类别的数量成比例的多类别加权值。
再次参看图1中所示的实施方案,在将各种加权因子分配给IP地址之后,加权的值然后通过数学变换122(例如,线性变换、指数变换或对数变换)用来将调整施加到风险评分。
图8A和图8B中所示的示例性流程图示出在数学变换后,命名的风险类别中的所有IP地址被聚合以确定聚合风险评分。可接受风险水平被接收并且用于确定类别的聚合风险评分是否小于类别的可接受风险水平。基于聚合风险评分,本发明的方面作出决定或以其他方式确定行动。示例性行动包括用于允许通信量、重新路由通信量、允许通信量但作记录等的决定。在一个实施方案中,当聚合风险评分小于可接受风险水平时,允许来自包括在聚合风险评分中的IP地址的通信通过网络防火墙。当聚合风险评分大于或等于可接受风险水平时,不允许来自包括在聚合风险评分中的IP地址的通信通过网络防火墙。应理解,可以聚合加权的风险评分的任何组合。
图9图示根据本发明的实施方案的示例性图形用户界面(GUI)。图9的用户界面允许用户输入和编辑有关IP威胁信息提供者(诸如IRIP)的信息。信息的输入和编辑允许将IP威胁信息提供者添加到从中获取IP威胁信息的提供者的列表。可以被输入和/或编辑的示例性信息包括IP威胁信息提供者的名称、提供者ID、提供者统一资源定位符或IP地址、密钥、安全证书和/或IP威胁信息获取偏好。
图10图示根据本发明的实施方案的示例性GUI。图10的用户界面显示用户已输入信息的IP威胁信息提供者。显示允许用户快速确定哪些IP威胁信息提供者目前正在被使用和与那些提供者相关联的信息。可以被显示的示例性信息包括提供者活动状态、提供者名称、提供者ID和IP威胁信息获取细节。显示还允许用户输入执行某些行动的命令。示例性行动包括激活从某一提供者获取的威胁信息、编辑提供者信息、删除提供者以及从提供者重新获取IP威胁信息。
图11和图12各自图示根据本发明的实施方案的示例性GUI。在每个中,GUI向用户显示多个命名的风险类别、提供一系列“滑块”输入控件等,并且提供对应于每个命名的风险类别的一系列加权的值。在实施方案中,用户可以选择特定风险类别,并且将对应于该类别的滑块控件移动到特定权重值(例如,从0变化到100),其成为该类别的可接受风险水平。优选地,用户还被提供默认权重值,其可以被用作参考以基于由IRIP提供的当前风险评估确定选定的类别的权重值是否应增加或减少。可以预期的是,可以使用其他控制手段来输入和分配权重值,包括“下拉列表”、“计量表”、文本输入字段和类似的输入方法。
每个IRIP可以使用不同的数值来将置信度分配给每个IP地址。数值在被映射到滑块位置之前被归一化。所分配的权重被用于从所有IRIP数据计算综合评分,然后将其存储在RAMP引擎106中。
在实施方案中,第二组滑块控件用于设置所需的置信水平来阻止连接。例如,每个定义的风险类别有一个滑块。用户可以设置每个类别的默认可接受风险评分,并且用户也可以设置他们的网络中的每个受保护资源的唯一水平。如果将IP地址存储在RAMP引擎中,并且存储的置信水平大于通过使用滑块来设置的值,则阻止去往/来自网络资源的连接。
还参看RAMP引擎106,针对所分配的风险数据库处理每个IP分组(例如,IPv4或IPv6IP地址)利用了高性能查找引擎,诸如RAMP引擎106。体现本发明的方面的RAMP引擎106能够用IP地址的馈送实时更新。
为了在每个资源具有不同的风险配置文件的情况下保护多个网络资源,RAMP引擎106必须能够编辑存储在存储器中的IP地址的“列表”,而无需重新编译。存储每个风险类别的风险置信度评分(例如,聚合风险评分)允许RAMP引擎106用于保护多个网络资源,其中每个受保护资源具有用户可接受的不同的可接受风险配置文件。
用于对多个IP地址进行排序的方法在本领域中是已知的。一种已知的方法是使用布隆过滤器来快速确定IP地址是否没有存储在数据存储(例如,存储器或数据库)中。布隆过滤器可以用于提高查找速度,但是如果从数据存储去除了数据条目(例如,被阻止的IP地址),则布隆过滤器必须被重写。例如,当使用布隆过滤器时,在没有重新编译整个IP地址列表减去要删除的条目的情况下,没有机制用来从数据存储删除条目(例如,IP地址)。RAMP引擎106使用布隆过滤器,例如,以利用更快的访问时间,并且包括分配给每个IP地址的一组置信度评分。通常,存储每个IP地址的两个置信度评分将需要32位的存储来访问8位的数据(数据对齐要求),这通常需要加倍的存储要求,并且还使高速缓存缺失的机会加倍。
本发明的方面通过使用每个IP地址的索引并且使用相同的索引访问置信度评分来加快访问时间。例如,通过映射置信度评分与IP地址,所公开的威胁评估过程能够分别存储数据项,从而允许更好的内存利用率和更高的高速缓存命中率。因此,基于存储在数据库中的置信度评分,通过过滤决策可有效地去除IP地址,而无需重建任何数据存储或重新编译。以这种方式,RAMP引擎106可以存储置信率、使用索引来映射IP地址,并且在实施方案中使用布隆过滤器,而无需重新编译整个IP地址列表。当新的IP地址经由实时馈送到达时,新的IP地址被存储在二级存储中,并且可以通过RAMP引擎用二级存储代替旧的数据存储,且然后丢弃二级存储,由RAMP引擎进行处理。
如下文更详细地描述,本发明的实施方案可以包括专用或通用计算机,其包括多种计算机硬件。
在本发明的范围内的实施方案还包括用于携带或具有存储在上面的计算机可执行指令或数据结构的计算机可读介质。这些计算机可读介质可以是可以由通用或专用计算机访问的任何可用介质。通过示例,而不是限制的方式,这些计算机可读介质可以包括RAM、ROM、EEPROM、CD-ROM或其他光盘存储装置、磁盘存储装置或其他磁存储设备,或可以用于携带或存储以计算机可执行指令或数据结构形式的所需的程序代码装置并且可以由通用或专用计算机访问的任何其他介质。当信息经由网络或另一通信连接(硬连线、无线或硬连线或无线的组合)传输或提供给计算机时,计算机适当地将连接视为计算机可读介质。因此,任何这样的连接被适当地称为计算机可读介质。上述的组合也应包括在计算机可读介质的范围内。计算机可执行指令包括例如使通用计算机、专用计算机或专用处理设备执行某一功能或功能组的指令和数据。
以下讨论旨在提供可以实施本发明的方面的合适的计算环境的简要的一般描述。尽管不是必需的,但是本发明的方面将在由网络环境中的计算机执行的计算机可执行指令(诸如程序模块)的一般上下文中被描述。一般来说,程序模块包括执行特定任务或实施特定抽象数据类型的例行程序、程序、对象、组件、数据结构等。计算机可执行指令、相关数据结构和程序模块代表用于执行本文所公开的方法的步骤的程序代码装置的示例。这些可执行指令或相关数据结构的特定顺序代表用于实施这些步骤中描述的功能的相应动作的示例。
本领域那些技术人员将了解,本发明的方面可以在具有许多类型的计算机系统配置(包括个人计算机、手持设备、多处理器系统、基于微处理器或可编程消费性电子产品、网络PC、小型计算机、大型计算机等)的网络计算环境中被实践。本发明的方面还可以在任务由本地和远程处理设备执行的分布式计算环境中被实践,所述本地和远程处理设备通过通信网络(由硬连线链路、无线链路或由硬连线或无线链路的组合)进行链接。在分布式计算环境中,程序模块可以位于本地和远程存储设备中,包括存储设备。
用于实施本发明的方面的示例性系统包括以常规计算机形式的通用计算设备,包括处理单元、系统存储器,以及将包括系统存储器的各种系统组件耦合到处理单元的系统总线。系统总线可以是几种类型的总线结构中的任一种,包括使用多种总线架构中的任一种的存储器总线或存储器控制器、外围总线和本地总线。系统存储器包括只读存储器(ROM)和随机存取存储器(RAM)。包含帮助在计算机内的元件之间传送信息(诸如在启动过程中)的基本例行程序的基本输入/输出系统(BIOS)可以存储在ROM中。此外,计算机可以包括能够从互联网无线接收IP地址或将IP地址无线传输到互联网的任何设备(例如,计算机、膝上型计算机、平板计算机、PDA、手机、移动电话、智能电视等)。
计算机还可以包括用于从硬磁盘读取并写入到硬磁盘的硬磁盘驱动器、用于从可移动磁盘读取或写入到可移动磁盘的磁盘驱动器,以及用于从可移动光盘(诸如CD-ROM或其他光学介质)读取或写入到可移动光盘的光盘驱动器。硬磁盘驱动器、磁盘驱动器和光盘驱动器分别通过硬盘驱动器接口、磁盘驱动器接口和光盘驱动器接口连接到系统总线。驱动器和其相关计算机可读介质提供计算机可执行指令、数据结构、程序模块和计算机的其他数据的非易失性存储。尽管本文描述的示例性环境使用硬磁盘、可移动磁盘和可移动光盘,但是可以使用用于存储数据的其他类型的计算机可读介质,包括磁带盒、闪存卡、数字视频光盘、伯努利盒式磁带、RAM、ROM、固态驱动器(SSD)等。
计算机通常包括多种计算机可读介质。计算机可读介质可以是可以由计算机访问并且包括易失性和非易失性介质、可移动和不可移动介质的任何可用介质。通过示例,而不是限制的方式,计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储信息(诸如计算机可读指令、数据结构、程序模块或其他数据)的任何方法或技术来实施的易失性和非易失性、可移动和不可移动介质。计算机存储介质是非暂时性的,并且包括(但不限于)RAM、ROM、EEPROM、闪速存储器或其他存储器技术、CD-ROM、数字通用光盘(DVD)或其他光盘存储装置、SSD、磁带盒、磁带、磁盘存储装置或其他磁存储设备,或可以用于存储的所需的非暂时性信息、可以由计算机访问的任何其他介质。或者,通信介质通常体现在经调制的数据信号(诸如载波或其他传输机制)中的计算机可读指令、数据结构、程序模块或其他数据,并且包括任何信息递送介质。
包括一个或多个程序模块的程序代码装置可以存储在包括操作系统、一个或多个应用程序、其他程序模块和程序数据的硬盘、磁盘、光盘、ROM和/或RAM上。用户可以通过键盘、定点设备或其他输入设备(未图示)(诸如麦克风、操纵杆、游戏垫、碟式卫星天线、扫描器等)将命令和信息输入到计算机中。这些和其他输入设备经常通过耦合到系统总线的串行端口接口连接到处理单元。或者,输入设备可以由其他接口(诸如并行端口、游戏端口或通用串行总线(USB))来连接。监视器或另一显示设备也经由接口(诸如视频适配器)连接到系统总线。除监视器之外,个人计算机通常包括其他外围输出设备(未图示),诸如扬声器和打印机。
本发明的一个或多个方面可以体现在存储在系统存储器或非易失性存储器中作为应用程序、程序模块和/或程序数据的数据和/或计算机可执行或处理器可执行指令(即,软件)、例行程序或功能中。软件可以替代地远程存储在诸如具有远程应用程序的远程计算机上。一般来说,程序模块包括在由计算机或其他设备中的处理器执行时执行特定任务或实施特定抽象数据类型的例行程序、程序、对象、组件、数据结构等。计算机可执行指令可以存储在一个或多个有形非暂时性计算机可读存储介质(例如,硬盘、光盘、可移动存储介质、固态存储器、RAM等)上并且由一个或多个处理器或其他设备执行。如本领域技术人员将了解,在各种实施方案中,程序模块的功能性可以根据需要被组合或分布。另外,功能性可以全部或部分体现在固件或硬件等效物中,诸如集成电路、专用集成电路、现场可编程门阵列(FPGA)等。
计算机可以使用到一个或多个远程计算机的逻辑连接在联网的环境中操作。远程计算机可以各自为另一个人计算机、平板计算机、PDA、服务器、路由器、网络PC、对等设备或其他常见网络节点,并且通常包括与计算机相关的上述许多或所有元件。逻辑连接包括本文通过示例而不是限制的方式提出的局域网(LAN)和广域网(WAN)。这些联网环境常见于办公室范围或企业范围的计算机网络、内联网和互联网中。
当在LAN联网环境中被使用时,计算机通过网络接口或适配器连接到本地网络。当在WAN网络环境中被使用时,计算机可以包括调制解调器、无线链路,或用于经由广域网(诸如互联网)建立通信的其他装置。可以是内部或外部的调制解调器经由串行端口接口连接到系统总线。在联网的环境中,相对于计算机所描述的程序模块或其部分可以存储在远程存储设备中。将了解,所示网络连接是示例性的并且可以使用经由广域网建立通信的其他装置。
优选地,计算机可执行指令存储在存储器(诸如硬盘驱动器)中并且由计算机执行。有利地,计算机处理器具有实时执行所有操作(例如,执行计算机可执行指令)的能力。
在操作中,体现本发明的方面的系统确定多个IP地址的聚合风险评分。在这种情况下,系统从一个或多个互联网风险情报提供者(IRIP)接收特定类别的多个IP地址、确定一个或多个所接收的IP地址是否与多于一个的类别相关联、以及确定类别的所接收的IP地址中的每个的源特性。此外,系统将加权因子分配给每个类别的源特性中的每个、通过基于每个类别的加权因子使用数学变换来调整所接收的IP地址中的每个的置信水平,以及基于调整后的置信水平确定所有IP地址的聚合风险评分。根据用户可接受的每个类别的风险水平,系统比较聚合风险评分与从用户接收的可接受风险水平,并且允许具有可接受风险水平的IP地址通过网络的防火墙。
除非另有说明,否则本文所示和所述的本发明的实施方案中的操作的执行或实施的顺序不是必需的。即,除非另有说明,否则可以用任何顺序执行操作,并且本发明的实施方案可以包括比本文所公开的更多或更少的操作。例如,可以预期的是,在另一操作之前、与另一操作同时或在另一操作之后执行或实施特定操作在本发明的方面的范围内。
本发明的实施方案可以用计算机可执行指令来实施。计算机可执行指令可以组织成一个或多个计算机可执行组件或模块。本发明的方面可以用这些组件或模块的任何数量和组织来实施。例如,本发明的方面不限于图中所示和本文中所述的特定计算机可执行指令或特定组件或模块。本发明的其他实施方案可以包括具有比本文所示和所述更多或更少的功能性的不同的计算机可执行指令或组件。
当引入本发明或其实施方案的方面的元件时,冠词“一(a/an)”和“所述(the/said)”旨在意味着存在一个或多个元件。术语“包含”、“包括”和“具有”旨在是包括性的,并且意味着可能有除所列元件之外的额外的元件。
已详细地描述本发明的方面,明显的是,在不脱离由所附权利要求书中限定的本发明的方面的范围的情况下,修改和变化是可能的。由于在不脱离本发明的方面的范围的情况下,可以在上述结构、产品和方法上作出各种变化,所以意图是包含在以上说明书中和示出在附图中的所有内容应解释为说明性的而不是限制性的意义。
Claims (13)
1.一种评估与风险类别的互联网协议(IP)地址相关联的风险的计算机实施的方法,所述方法包括:
将多个威胁信息存储在存储器设备中,所述威胁信息包括所述IP地址、与所述IP地址相关联的风险类别以及与所述IP地址相关联的风险置信水平;
将风险类别接受水平存储在所述存储器设备中;
根据以下项来确定与所述风险类别的所述IP地址相关联的风险类别值:
所述风险置信水平,以及
定时信息,所述定时信息包括:
在第一时间间隔期间所述风险置信水平已超过所述风险类别接受水平的实例数,以及
第二时间间隔,其表示自从所述风险置信水平先前超过所述风险类别接受水平之后的经过时间;
将所述风险类别值存储在所述存储器设备中;以及
当所述风险类别值等于或大于所述风险类别接受水平时,确定与所述风险类别的所述IP地址相关联的行动。
2.根据权利要求1所述的方法,其还包括经由图形用户界面从用户接收所述风险类别接受水平,以及比较所述风险类别值与所述风险类别接受水平,其中所述确定的行动包括在所述风险类别值小于所述风险类别接受水平时,允许和与所述IP地址相关联的计算设备通信。
3.根据权利要求1所述的方法,其还包括:
经由计算机通信网络从一个或多个互联网风险情报提供者(IRIP)获取所述多个威胁信息;以及
将对应于获取所述多个威胁信息的时间戳存储在所述存储器设备中,其中基于所述时间戳确定所述定时信息。
4.根据权利要求3所述的方法,其还包括:
将所述多个威胁信息存储在所述存储器设备中,所述威胁信息还包括是否从多于一个的IRIP获取所述IP地址的确定;
在从多于一个的IRIP获取所述IP地址时,还根据多IRIP加权因子来确定与所述IP地址相关联的风险值,其中所述多IRIP加权因子增加所述风险值。
5.根据权利要求1所述的方法,其还包括:
将所述多个威胁信息存储在所述存储器设备中,所述威胁信息还包括所述IP地址是否与多于一个的风险类别相关联的确定;
在所述IP地址与多于一个的风险类别相关联时,还根据多类别加权因子来确定与所述IP地址相关联的风险值,其中所述多类别加权因子增加所述风险值。
6.根据权利要求1所述的方法,其还包括:
将所述多个威胁信息存储在所述存储器设备中,所述威胁信息还包括与所述IP地址相关联的源特性和目的地特性的确定;
还根据对应于所述源特性和所述目的地特性的源/目的地加权因子来确定与所述IP地址相关联的风险值,其中所述源/目的地加权因子增加所述风险值。
7.根据权利要求1所述的方法,其还包括:
将所述多个威胁信息存储在所述存储器设备中,所述威胁信息还包括与所述IP地址相关联的互联网服务提供者(ISP)特性的确定;
还根据对应于所述ISP特性的ISP加权因子来确定与所述IP地址相关联的风险值,其中所述ISP加权因子增加所述风险值。
8.根据权利要求1所述的方法,其还包括:
将所述多个威胁信息存储在所述存储器设备中,所述威胁信息还包括与所述IP地址相关联的地理接近特性相对于具有超过阈值水平的风险置信水平的一个或多个其他IP地址相关联的地理接近特性的确定;
还根据对应于与所述IP地址相关联的所述地理接近特性的地理加权因子来确定与所述IP地址相关联的风险值,其中所述地理加权因子增加所述风险值。
9.根据权利要求1所述的方法,其中至少一个有形非暂时性计算机可读介质存储用于执行所述方法的处理器可执行指令。
10.一种用于确定从多个源实时接收的多个互联网协议(IP)地址的风险的系统,所述系统包括:
存储器,其用于存储所述多个IP地址、与所述多个IP地址中的每个相关联的时间戳、与所述多个IP地址中的每个相关联的风险类别以及与所述多个IP地址中的每个相关联的风险置信水平;
图形用户界面(GUI),其用于在显示器上显示与所述多个IP地址相关联的多个风险类别,并且用于从用户接收输入,所述输入包括所述多个风险类别中的每个的风险接受水平;
计算机可读存储介质,其具有存储在上面的计算机处理器可执行指令;
计算机处理器,其用于执行所述计算机可执行指令,所述指令包括:
从一个或多个互联网风险情报提供者(IRIP)接收与特定风险类别相关联的多个IP地址;
确定所述一个或多个所接收的IP地址是否与多于一个的风险类别相关联;
确定类别的所述所接收的IP地址中的每个的源特性;
将加权因子分配给每个类别的所述源特性中的每个;
通过基于每个类别的所述加权因子使用数学变换来调整所述所接收的IP地址中的每个的置信水平;
基于所述调整后的置信水平确定所有所述IP地址的聚合风险评分;
通过GUI,接收来自用户的包括每个类别的风险接受水平的输入;
比较所述聚合风险评分与从所述用户接收的所述风险接受水平;以及
允许具有可接受风险水平的任何IP地址通过网络的防火墙。
11.根据权利要求10所述的系统,其中所述源特性中的至少一个包括与所述多个所接收的IP地址中的每个相关联的源/目的地特性,并且其中所述计算机可执行指令包括根据对应于所述源/目的地特性的源/目的地加权因子来确定与所述所接收的IP地址中的每个相关联的风险值,其中所述源/目的地加权因子增加所述风险值。
12.根据权利要求10所述的系统,其中所述源特性中的至少一个包括与所述多个所接收的IP地址中的每个相关联的互联网服务提供者(ISP)特性,并且其中所述计算机可执行指令包括根据对应于所述ISP特性的ISP加权因子来确定与所述所接收的IP地址中的每个相关联的风险值,其中所述ISP加权因子增加所述风险值。
13.根据权利要求10所述的系统,其中所述聚合风险评分为基于与时间间隔相关联的所述时间戳在所述时间间隔期间所述所接收的IP地址中的每个的所述风险置信水平已超过所述接受风险水平的实例数的函数。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US201361782669P | 2013-03-14 | 2013-03-14 | |
| US61/782,669 | 2013-03-14 | ||
| PCT/US2014/025741 WO2014160062A1 (en) | 2013-03-14 | 2014-03-13 | Internet protocol threat prevention |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105210042A CN105210042A (zh) | 2015-12-30 |
| CN105210042B true CN105210042B (zh) | 2019-07-12 |
Family
ID=51535131
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480027018.9A Active CN105210042B (zh) | 2013-03-14 | 2014-03-13 | 互联网协议威胁防护 |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US9342691B2 (zh) |
| EP (1) | EP2972867A4 (zh) |
| CN (1) | CN105210042B (zh) |
| AU (1) | AU2014244137B2 (zh) |
| BR (1) | BR112015023341A2 (zh) |
| CA (1) | CA2909161A1 (zh) |
| TW (1) | TW201445962A (zh) |
| WO (1) | WO2014160062A1 (zh) |
Families Citing this family (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10356106B2 (en) | 2011-07-26 | 2019-07-16 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting anomaly action within a computer network |
| EP2946332B1 (en) | 2013-01-16 | 2018-06-13 | Palo Alto Networks (Israel Analytics) Ltd | Automated forensics of computer systems using behavioral intelligence |
| US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9736019B2 (en) * | 2015-05-14 | 2017-08-15 | Eero Inc. | Methods for dynamic router configuration in a mesh network |
| US10075461B2 (en) | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
| US9923914B2 (en) | 2015-06-30 | 2018-03-20 | Norse Networks, Inc. | Systems and platforms for intelligently monitoring risky network activities |
| WO2017048250A1 (en) * | 2015-09-16 | 2017-03-23 | Hewlett Packard Enterprise Development Lp | Confidence levels in reputable entities |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US10715544B2 (en) * | 2016-02-05 | 2020-07-14 | Sony Corporation | Method, apparatus and system for calculating a risk score of a user request by a user on a web application |
| US10320750B1 (en) | 2016-03-30 | 2019-06-11 | Amazon Technologies, Inc. | Source specific network scanning in a distributed environment |
| US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
| US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
| US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
| US10142290B1 (en) * | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
| US10079842B1 (en) | 2016-03-30 | 2018-09-18 | Amazon Technologies, Inc. | Transparent volume based intrusion detection |
| US20180063170A1 (en) * | 2016-04-05 | 2018-03-01 | Staffan Truvé | Network security scoring |
| US10366229B2 (en) | 2016-06-20 | 2019-07-30 | Jask Labs Inc. | Method for detecting a cyber attack |
| US10425436B2 (en) | 2016-09-04 | 2019-09-24 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying bulletproof autonomous systems |
| US10574681B2 (en) | 2016-09-04 | 2020-02-25 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of known and unknown malicious domains |
| US10686829B2 (en) | 2016-09-05 | 2020-06-16 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying changes in use of user credentials |
| US10484429B1 (en) * | 2016-10-26 | 2019-11-19 | Amazon Technologies, Inc. | Automated sensitive information and data storage compliance verification |
| TWI617939B (zh) | 2016-12-01 | 2018-03-11 | 財團法人資訊工業策進會 | 攻擊節點偵測裝置、方法及其電腦程式產品 |
| TWI610196B (zh) | 2016-12-05 | 2018-01-01 | 財團法人資訊工業策進會 | 網路攻擊模式之判斷裝置、判斷方法及其電腦程式產品 |
| US10467632B1 (en) | 2016-12-13 | 2019-11-05 | Massachusetts Mutual Life Insurance Company | Systems and methods for a multi-tiered fraud alert review |
| KR101781450B1 (ko) * | 2017-01-03 | 2017-09-25 | 한국인터넷진흥원 | 사이버 공격에 대한 위험도 산출 방법 및 장치 |
| US10595215B2 (en) * | 2017-05-08 | 2020-03-17 | Fortinet, Inc. | Reducing redundant operations performed by members of a cooperative security fabric |
| CN108881123A (zh) * | 2017-05-12 | 2018-11-23 | 上海赛特斯信息科技股份有限公司 | 恶意流量识别系统及方法 |
| US10778645B2 (en) * | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
| CN107528859B (zh) * | 2017-09-29 | 2020-07-10 | 北京神州绿盟信息安全科技股份有限公司 | 一种DDoS攻击的防御方法及设备 |
| US10536427B2 (en) * | 2017-12-22 | 2020-01-14 | 6Sense Insights, Inc. | De-anonymizing an anonymous IP address by aggregating events into mappings where each of the mappings associates an IP address shared by the events with an account |
| JP6977625B2 (ja) * | 2018-03-07 | 2021-12-08 | 富士通株式会社 | 評価プログラム、評価方法および評価装置 |
| US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
| US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
| US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
| US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
| US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
| US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
| CN110011977B (zh) * | 2019-03-07 | 2021-07-27 | 北京华安普特网络科技有限公司 | 一种网站安全防御方法 |
| KR20200129776A (ko) * | 2019-05-10 | 2020-11-18 | 삼성전자주식회사 | 재전송 공격에 대한 방어책을 포함하는 메모리 시스템의 구동 방법 및 이를 수행하는 메모리 시스템 |
| US11356472B1 (en) * | 2019-12-16 | 2022-06-07 | Wells Fargo Bank, N.A. | Systems and methods for using machine learning for geographic analysis of access attempts |
| US11012492B1 (en) | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
| US11606385B2 (en) | 2020-02-13 | 2023-03-14 | Palo Alto Networks (Israel Analytics) Ltd. | Behavioral DNS tunneling identification |
| US11811820B2 (en) | 2020-02-24 | 2023-11-07 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious C and C channel to fixed IP detection |
| US11425162B2 (en) | 2020-07-01 | 2022-08-23 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of malicious C2 channels abusing social media sites |
| US11316823B2 (en) | 2020-08-27 | 2022-04-26 | Centripetal Networks, Inc. | Methods and systems for efficient virtualization of inline transparent computer networking devices |
| US11368473B2 (en) | 2020-09-21 | 2022-06-21 | Microsoft Technology Licensing, Llc | Interface threat assessment in multi-cluster system |
| US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US20220159029A1 (en) * | 2020-11-13 | 2022-05-19 | Cyberark Software Ltd. | Detection of security risks based on secretless connection data |
| US11394686B1 (en) * | 2021-02-25 | 2022-07-19 | Nvidia Corporation | Dynamic network address translation using prediction |
| US11831688B2 (en) | 2021-06-18 | 2023-11-28 | Capital One Services, Llc | Systems and methods for network security |
| WO2023079319A1 (en) * | 2021-11-05 | 2023-05-11 | Citrix Systems, Inc. | System and method for deriving network address spaces affected by security threats to apply mitigations |
| US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
| US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
| US11880496B2 (en) * | 2022-04-06 | 2024-01-23 | Whitestar Communications, Inc. | Mitigating against a persistent consistent threat in a network device based on reducing temporal surface area |
| US11968222B2 (en) | 2022-07-05 | 2024-04-23 | Palo Alto Networks (Israel Analytics) Ltd. | Supply chain attack detection |
| US11750643B1 (en) * | 2022-10-11 | 2023-09-05 | Second Sight Data Discovery, Inc. | Apparatus and method for determining a recommended cyber-attack risk remediation action |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1423782A (zh) * | 2000-02-14 | 2003-06-11 | 奥弗图尔服务公司 | 确定网络上交互有效性的系统和方法 |
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
| CN102281163A (zh) * | 2011-09-19 | 2011-12-14 | 南京大学 | 一种网络入侵检测报警的方法 |
| KR20120090104A (ko) * | 2010-12-23 | 2012-08-17 | 한국인터넷진흥원 | 악성코드 경유-유포지 평가 장치 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20020099691A1 (en) | 1998-06-24 | 2002-07-25 | Michael Dean Lore | Method and apparatus for aggregation of data in a database management system |
| US6754662B1 (en) | 2000-08-01 | 2004-06-22 | Nortel Networks Limited | Method and apparatus for fast and consistent packet classification via efficient hash-caching |
| US7168093B2 (en) * | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
| US7134012B2 (en) * | 2001-08-15 | 2006-11-07 | International Business Machines Corporation | Methods, systems and computer program products for detecting a spoofed source address in IP datagrams |
| US20030163445A1 (en) | 2002-02-26 | 2003-08-28 | Oza Alpesh B. | Method and apparatus for high-speed address learning in sorted address tables |
| US6996562B2 (en) | 2002-07-29 | 2006-02-07 | Microsoft Corporation | Method and data structure for performing regular expression searches in a fixed length word language |
| US20040128355A1 (en) | 2002-12-25 | 2004-07-01 | Kuo-Jen Chao | Community-based message classification and self-amending system for a messaging system |
| US7325059B2 (en) | 2003-05-15 | 2008-01-29 | Cisco Technology, Inc. | Bounded index extensible hash-based IPv6 address lookup method |
| US7602785B2 (en) | 2004-02-09 | 2009-10-13 | Washington University | Method and system for performing longest prefix matching for network address lookup using bloom filters |
| US7369557B1 (en) | 2004-06-03 | 2008-05-06 | Cisco Technology, Inc. | Distribution of flows in a flow-based multi-processor system |
| US20080010678A1 (en) * | 2004-09-17 | 2008-01-10 | Jeff Burdette | Authentication Proxy |
| US7657756B2 (en) * | 2004-10-08 | 2010-02-02 | International Business Machines Corporaiton | Secure memory caching structures for data, integrity and version values |
| US7590733B2 (en) | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
| US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
| US7996348B2 (en) | 2006-12-08 | 2011-08-09 | Pandya Ashish A | 100GBPS security and search architecture using programmable intelligent search memory (PRISM) that comprises one or more bit interval counters |
| GB2458094A (en) | 2007-01-09 | 2009-09-09 | Surfcontrol On Demand Ltd | URL interception and categorization in firewalls |
| US7904642B1 (en) | 2007-02-08 | 2011-03-08 | Netlogic Microsystems, Inc. | Method for combining and storing access control lists |
| US8272044B2 (en) | 2007-05-25 | 2012-09-18 | New Jersey Institute Of Technology | Method and system to mitigate low rate denial of service (DoS) attacks |
| US7779143B2 (en) | 2007-06-28 | 2010-08-17 | Alcatel-Lucent Usa Inc. | Scalable methods for detecting significant traffic patterns in a data network |
| US7849146B2 (en) | 2008-02-21 | 2010-12-07 | Yahoo! Inc. | Identifying IP addresses for spammers |
| US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
| US8018940B2 (en) | 2008-08-13 | 2011-09-13 | Alcatel Lucent | Network address lookup based on bloom filters |
| WO2010022767A1 (en) | 2008-08-26 | 2010-03-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Packet forwarding in a network |
| US8438386B2 (en) * | 2009-04-21 | 2013-05-07 | Webroot Inc. | System and method for developing a risk profile for an internet service |
| US8516595B2 (en) * | 2010-12-28 | 2013-08-20 | Caixa d'Estalvis I Pensions de Barcelona “La Caixa” | Method and system for estimating the reliability of blacklists of botnet-infected computers |
| US8726376B2 (en) * | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US8782157B1 (en) * | 2013-01-11 | 2014-07-15 | Robert Hansen | Distributed comment moderation |
-
2014
- 2014-03-13 AU AU2014244137A patent/AU2014244137B2/en active Active
- 2014-03-13 US US14/208,998 patent/US9342691B2/en active Active
- 2014-03-13 EP EP14775712.4A patent/EP2972867A4/en not_active Withdrawn
- 2014-03-13 CN CN201480027018.9A patent/CN105210042B/zh active Active
- 2014-03-13 WO PCT/US2014/025741 patent/WO2014160062A1/en active Application Filing
- 2014-03-13 BR BR112015023341A patent/BR112015023341A2/pt not_active Application Discontinuation
- 2014-03-13 CA CA2909161A patent/CA2909161A1/en not_active Abandoned
- 2014-03-14 TW TW103109605A patent/TW201445962A/zh unknown
-
2016
- 2016-05-16 US US15/155,853 patent/US20160337315A1/en not_active Abandoned
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1423782A (zh) * | 2000-02-14 | 2003-06-11 | 奥弗图尔服务公司 | 确定网络上交互有效性的系统和方法 |
| CN1761208A (zh) * | 2005-11-17 | 2006-04-19 | 郭世泽 | 网络信息系统的安全性及生存性评估的系统和方法 |
| CN101005510A (zh) * | 2007-01-19 | 2007-07-25 | 南京大学 | 一种综合漏洞的网络实时风险评估方法 |
| KR20120090104A (ko) * | 2010-12-23 | 2012-08-17 | 한국인터넷진흥원 | 악성코드 경유-유포지 평가 장치 |
| CN102281163A (zh) * | 2011-09-19 | 2011-12-14 | 南京大学 | 一种网络入侵检测报警的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160337315A1 (en) | 2016-11-17 |
| CA2909161A1 (en) | 2014-10-02 |
| US9342691B2 (en) | 2016-05-17 |
| AU2014244137A1 (en) | 2015-11-05 |
| CN105210042A (zh) | 2015-12-30 |
| US20140283085A1 (en) | 2014-09-18 |
| EP2972867A1 (en) | 2016-01-20 |
| WO2014160062A1 (en) | 2014-10-02 |
| EP2972867A4 (en) | 2017-03-01 |
| TW201445962A (zh) | 2014-12-01 |
| BR112015023341A2 (pt) | 2017-07-18 |
| AU2014244137B2 (en) | 2018-12-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105210042B (zh) | 互联网协议威胁防护 | |
| US11637867B2 (en) | Cyber security sharing and identification system | |
| US11068605B2 (en) | Systems and methods for controlling data exposure using artificial-intelligence-based periodic modeling | |
| Bossetta | The weaponization of social media: Spear phishing and cyberattacks on democracy | |
| Kremling et al. | Cyberspace, cybersecurity, and cybercrime | |
| Sommer et al. | Reducing systemic cybersecurity risk | |
| Tonge et al. | Cyber security: challenges for society-literature review | |
| Kim et al. | Cyber-attack scoring model based on the offensive cybersecurity framework | |
| Ussath et al. | Identifying suspicious user behavior with neural networks | |
| Alshaibi et al. | The comparison of cybersecurity datasets | |
| Stytz et al. | Toward attaining cyber dominance | |
| Pogrebna et al. | Navigating New Cyber Risks | |
| Gómez Hernández et al. | Crypto-Ransomware: A Revision of the State of the Art, Advances and Challenges | |
| Kotak et al. | Information Security Threats and Working from Home Culture: Taxonomy, Risk Assessment and Solutions | |
| Mohamed | State-of-the-Art in Chinese APT Attack and Using Threat Intelligence for Detection. A Survey | |
| Kim et al. | Secure model against APT in m-connected SCADA network | |
| Van Haaster et al. | Cyber guerilla | |
| Zamir | Cybersecurity and social media | |
| Vaseashta et al. | Cyber security and resiliency policy framework | |
| Kshetri | The Global Rise of Online Devices, Cyber Crime and Cyber Defense: Enhancing Ethical Actions, Counter Measures, Cyber Strategy, and Approaches | |
| Alghenaim et al. | Phishing attack types and mitigation: A survey | |
| Blau et al. | Cybersecurity: The Insights You Need from Harvard Business Review | |
| Atta Ul Haq | Cyber crime and their restriction through laws and techniques for protecting security issues and privacy threats | |
| Ferrag et al. | Hybrid Threats, Cyberterrorism and Cyberwarfare | |
| Lee et al. | Cyber warfare: weapon of mass disruption |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Maryland, USA Patentee after: smart block Co.,Ltd. Address before: Maryland, USA Patentee before: bandura network Co.,Ltd. Address after: Maryland, USA Patentee after: bandura network Co.,Ltd. Address before: Maryland, USA Patentee before: bandura systems Ltd. Address after: Maryland, USA Patentee after: bandura systems Ltd. Address before: Maryland, USA Patentee before: Bandura, LLC |
|
| CP01 | Change in the name or title of a patent holder | ||
| CP03 | Change of name, title or address |
Address after: Virginia Patentee after: SRT Co.,Ltd. Address before: Maryland, USA Patentee before: smart block Co.,Ltd. |
|
| CP03 | Change of name, title or address |