CN105359157A - 网络安全系统 - Google Patents
网络安全系统 Download PDFInfo
- Publication number
- CN105359157A CN105359157A CN201480038304.5A CN201480038304A CN105359157A CN 105359157 A CN105359157 A CN 105359157A CN 201480038304 A CN201480038304 A CN 201480038304A CN 105359157 A CN105359157 A CN 105359157A
- Authority
- CN
- China
- Prior art keywords
- proxy server
- output
- type
- assembly
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0281—Proxies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/56—Provisioning of proxy services
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Information Transfer Between Computers (AREA)
Abstract
一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:分配器组件拦截来自客户机设备的对资源的请求;创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;比较器组件接收来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;响应于判定差异而生成警报。
Description
技术领域
本发明涉及网络安全领域,具体地说,本发明涉及用于检测数据处理网络中的安全漏洞的系统、方法和计算机程序。
背景技术
Web代理服务器是充当请求媒介的服务器,这些请求来自从网络中的服务器请求资源的客户机设备。客户机设备通常通过网络发送资源请求,并且通过连接到Web代理服务器而开始。Web代理服务器评估请求,执行多个功能,并且取回被请求资源并将其发回发出请求的客户机。Web代理服务器可以执行多个功能,例如,能够使代理服务器的下游客户机设备保持匿名,使用诸如缓存之类的技术加快对资源的访问以便防止多次下载相同内容,审计对因特网资源的访问,在传送到发出请求的客户机之前扫描所传输的内容以便防止恶意软件,并且扫描出站内容以便实现数据丢失防护以及其它访问和管理任务。
代理服务器(具体地说Web代理服务器)易受攻击。通常攻击者在执行已经提及的某些功能的组件的设计和源代码中寻找漏洞。漏洞可以被利用以便改变软件组件的行为,并且可能威胁代理服务器本身或代理服务器作为其一部分的较大网络系统中的数据的机密性、完整性和/或可用性。
通常通过使用一个或多个专业组件保护Web代理服务器,减少这种类型的漏洞利用攻击。这些组件能够包括防火墙、入侵检测系统、Web应用防火墙和病毒扫描器。Web代理服务器中的典型漏洞允许攻击者将精心制作的消息发送到组件,这可以导致攻击者能够控制Web代理服务器,并且使用Web代理服务器作为“跳板”以便攻击网络系统的“下游”组件。此类攻击的影响可以是降低整体系统中的信息的机密性、完整性或可用性。
Web代理软件的供应商竭尽全力以便避免将漏洞引入其产品中,并且通常通过发布软件“补丁”而迅速行动以便补救所标识的任何问题,这些软件补丁取代或补充有缺陷的代码。但是,已发现这种方法并不令人满意,数个原因如下:
●漏洞的被利用通常快于制造商可以创建和分发补丁;
●用于利用已知漏洞的手段经常被发布(在因特网上),并且因此本身具有很少技能或知识的攻击者可以实施广泛传播的攻击;以及
●在打补丁的Web代理副本被测试期间,应用补丁的过程经常被延迟。这使该过程增加额外成本和复杂性,并且许多大规模商业系统在相当长的时间内保持“未打补丁”。据负责信息保障的英国政府机构(CESG)估算,如果所有组件都被正确打补丁,则可以避免对公共部门中的IT系统的大多数(70%到80%)成功攻击。
尽管多年来在此类专业组件的设计方面取得了技术进步,但对Web代理服务器的成功攻击仍然继续,并且是大型商业信息处理系统中的主要风险源之一。
发明内容
从第一方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:分配器组件,其包括:拦截器组件,其用于拦截来自客户机设备的对资源的请求;以及复制器组件,其用于创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;比较器组件,其包括:拦截器组件,其用于拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;判定组件,其响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
优选地,本发明提供一种系统,所述系统进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
优选地,本发明提供一种系统,所述系统进一步包括判定器组件和路由组件,所述判定器组件判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,所述路由组件用于将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到用于取回被请求资源的服务器。
优选地,本发明提供一种系统,所述系统进一步包括判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述服务器中导致处理错误。
优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
从第二方面看,本发明提供用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:分配器组件,其包括:拦截器组件,其用于拦截来自服务器的被请求资源;以及复制器组件,其用于创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;比较器组件,其包括:拦截器组件,其用于拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;判定组件,其用于响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
优选地,本发明提供一种系统,所述系统进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
优选地,本发明提供一种系统,所述系统进一步包括判定器组件,其判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,并且将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到所述客户机设备。
优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述客户机设备中导致处理错误。
优选地,本发明提供一种系统,所述系统进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
从第三方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述方法包括:拦截来自客户机设备的对资源的请求;创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及响应于判定所述输出中的差异而生成警报。
从第四方面看,本发明提供一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述系统包括:拦截来自服务器的被请求资源;以及创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及响应于判定所述输出中的差异而生成警报。
从第五方面看,本发明提供一种包括计算机程序代码的计算机程序,当所述计算机程序代码被加载到计算机系统中并被执行时,所述计算机程序执行如上所述的方法的所有步骤。
附图说明
现在仅通过实例的方式参考附图描述本发明的优选实施例,这些附图是:
图1是示出根据本发明的优选实施例的其中可以实现本发明的网络安全系统的框图;
图2是示出本领域公知的代理服务器的组件的框图;
图3是示出根据本发明的优选实施例的从多个客户机设备到分配器组件和比较器组件的资源请求的处理流程的框图;
图4是示出根据本发明的优选实施例的由服务器满足并且传送到分配器组件和比较器组件的图4的资源请求的处理流程的框图;
图5a和5b是示出图3和4的比较器和分配器组件的子组件的框图;
图6是示出根据本发明的优选实施例的通过分配器组件和比较器组件的HTTP请求的处理流程的流程图;以及
图7是示出根据本发明的优选实施例的通过分配器组件和比较器组件的被取回请求的处理流程的流程图。
具体实施方式
下面参考根据本发明实施例的方法、系统和计算机程序产品的流程图和/或框图描述本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机程序指令实现。这些计算机程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。
也可以把这些计算机程序指令存储在计算机可读介质中,这些指令使得计算机、其它可编程数据处理装置、或其它设备以特定方式工作,从而,存储在计算机可读介质中的指令就产生出包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的指令的制造品(articleofmanufacture)。
也可以把计算机程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机或其它可编程装置上执行的指令提供实现流程图和/或框图中的一个或多个方框中规定的功能/动作的过程。
参考图1,示出其中可以实现本发明的优选实施例的已知网络安全系统100的简化实例。图1的网络安全系统包括客户机设备105、服务器115、网络120和Web代理服务器110。
客户机设备105的实例包括但不限于个人计算机系统、瘦客户机、手持或膝上型设备、移动设备、机顶盒、可编程消费电子产品、网络PC、小型计算机系统等。
客户机设备105使用Web浏览器或适合于跨网络120发送和接收资源请求的其它类型软件,跨网络120发送资源请求。
网络120的一个实例是因特网,但其中第一设备将资源请求/通信发送到第二设备的任何其它类型的网络120都可以是适合的。
客户机设备105通常将超文本传输协议(HTTP)请求消息提交到服务器。HTTP请求消息通常包括资源请求。资源被定义为可以通过URL标识的信息或数据块。常见类型的资源是文件,但资源还可以是动态生成的查询结果、CGI脚本的输出、文档、图像或音乐文件等。
服务器115接收HTTP请求消息,并且将被请求资源发回客户机设备105或者将请求继续发送到能够满足该客户机请求的另一个服务器115。被请求资源以响应消息的形式发回,响应消息包含诸如状态信息、消息长度之类的其它信息。服务器115可以是能够存储和满足来自客户机设备105的请求的任何类型的服务器115。
Web代理服务器110拦截从客户机105到服务器115的资源请求,并且当服务器115取回资源以便发回客户机设备105时,拦截从服务器115到客户机105的资源请求(反向代理模式)。通常,客户机设备105将请求发送到服务器115,从而从一个或多个服务器115请求诸如文件、连接、网页之类的资源或其它类型的资源。请求被Web代理服务器110拦截,并且Web代理服务器110在从一个或多个服务器115取回被请求资源之前评估所接收的请求。
Web代理服务器110能够执行许多不同类型的功能。由Web代理服务器110执行的某些主要任务包括:
●提供安全功能,例如保持客户机的IP地址匿名
●缓存资源
●扫描出站和入站资源以便防止病毒
但是,所属技术领域的技术人员将认识到,具有Web代理服务器可以执行的许多其它类型的功能,并且上面提及的功能仅出于示例目的而并非旨在限制保护范围。
下面给出从客户机105到Web代理服务器110到服务器115的处理流程的一个简化实例:
●员工A在客户机设备105上启动Web浏览器并且键入URLwww.IBM.com
●资源被路由到Web代理服务器110,并且Web代理服务器110对照管理员定义的访问控制来检查请求的IP地址。
●如果确定IP地址未被禁止,则Web代理服务器110通过将请求消息发送到存储资源的服务器115而执行请求。
●Web代理服务器110接收被请求资源并且将资源的副本存储在其高速缓存中。
●代理服务器将被请求资源传输到发出请求的客户机设备105。
Web代理服务器110的典型组件在图2中示出,并且包括管理员控制台200a、200b、负载平衡器210a、210b、缓存代理205a、205b、分派器组件215a、215b和内容路由组件220a、220b。所属技术领域的技术人员将认识到,其它子组件能够被集成在Web代理服务器110中或与Web代理服务器110对接而不偏离保护范围。
管理员控制台200a、200b为管理员提供接口以便配置、维护和控制Web代理服务器110a、110b及其子组件。
部署缓存代理205a、205b以便防止多次下载相同内容。部署被动缓存或主动缓存。缓存代理205a、205b通过为一个或多个后端内容服务器115提供存在点(point-of-presence)节点,减少带宽使用并且提高网站速度和可靠性。缓存代理205a、205b能够缓存和提供静态内容以及例如由IBM的WebSphereApplicationServer动态生成的内容。
缓存代理205a、205b可以被配置为充当反向代理服务器110或正向代理服务器110的角色,从而提供外部网络(例如因特网120)的存在点或内部网络(未示出)。
缓存代理205a、205b拦截来自客户机105的数据请求,从服务器(多个)115检索被请求信息,并且将该内容提供回客户机105。最常见的是,请求用于存储在服务器上并且使用超文本传输协议(HTTP)传送的文档。但是,所属技术领域的技术人员将认识到,代理服务器能够被配置为处理其它协议,例如文件传输协议(FTP)和Gopher。
缓存代理205a、205b在将可缓存内容传送给请求客户机105之前,将可缓存内容存储在本地高速缓存中。可缓存内容的实例可以包括静态网页和JavaServer页面文件,它们可以包括动态生成但很少变化的信息。Java以及所有基于Java的商标及标识都是Oracle公司和/或其关联公司的商标或注册商标。缓存使代理服务器110能够通过直接从本地高速缓存传送相同内容,满足针对相同内容的后续请求,这比再次从内容主机检索相同内容快得多。
负载平衡器210a、210b创建引导网络业务流的网络边缘系统,从而减少拥塞并且平衡各种其它服务和系统上的负载。负载平衡器210a、210b提供站点选择、工作负载管理、会话亲和性和透明故障转移。
负载平衡器210a、210b拦截来自客户机105的数据请求,并且将每个请求转发到当前能够完成请求的服务器115。换言之,它在服务于相同类型请求的一组定义的服务器115之间平衡入站请求的负载。
基于内容的路由组件220a、220b与缓存代理服务器205a、205b一起允许基于URL或管理员确定的其它特征分发HTTP和HTTPS请求,从而消除在所有服务器115上存储相同内容的需要。
每个Web代理服务器110可以包括上述组件的组合。但是,每个上述组件可以以不同方式操作。这类似于汽车—其中汽车包括车体、车轮、发动机、转向盘和变速杆等。不同汽车制造商全部使用上述规格生产汽车,但每个部件以独有方式设计和制造,该独有方式能够使汽车制造商彼此区分其汽车,例如基于底盘的空气动力学等,汽车A比汽车B更节省燃料。因此,如果Web代理服务器110由不同供应商设计/制造(“类型A”Web代理服务器和“类型B”Web代理服务器),则响应于给定类型的安全攻击,通常“类型A”和“类型B”Web代理服务器可以表现不同。例如,“类型A”Web代理服务器的供应商可能已发布“安全补丁”以便修复“类型A”的安全漏洞。但是,“类型B”Web代理服务器的供应商可能未发布“安全补丁”,并且因此“类型B”Web代理服务器中仍然存在漏洞。生成安全补丁可能花费许多天,并且使Web代理服务器110和整个网络100易受安全攻击。
为了保护Web代理服务器110并使打补丁过程更容易和更可靠,并且参考图3、4和5,根据本发明的优选实施例,将分配器组件300和比较器组件305纳入网络安全系统100中。分配器组件300拦截来自客户机105的资源请求,或者当这些请求在到Web代理服务器110的途中时,拦截来自服务器115的被请求资源。在一个优选实施例中,部署至少两个不同Web代理服务器110a、110b。术语“不同”在本说明书中使用以指不同类型的Web代理服务器,即“不相同”或不“相同”。这可以指来自不同制造商、不同供应商的Web代理服务器110,或者位于服务器115上的不同版本的软件。
分配器300将所拦截的请求路由到至少两个不同Web代理服务器110a、110b,并且Web代理服务器110a、110b继续以正常方式处理所接收的请求。
比较器组件305分析来自两个不同Web代理服务器110a、110b的输出。比较器组件305和分配器组件300与客户机105、服务器115和Web代理服务器110交互和通信,以便增强网络安全性并且防止有害的安全攻击。
在一个优选实施例中,对于入站消息,即从客户机105发送到Web代理服务器110a、110b的消息,将分配器组件300引入到网络安全系统100中的Web代理服务器110a、110b的“上游”。“上游”指分配器组件300位于网络100中,在一个或多个发出请求的客户机105与至少两个不同Web代理服务器110a、110b之间。
在一个优选实施例中,对于入站消息,即从客户机105发送到Web代理服务器110a、110b的消息,将比较器组件305引入到网络安全系统100中的Web代理服务器110a、110b的“下游”。“下游”指比较器组件305位于网络100中,在两个或更多Web代理服务器110a、110b与满足资源请求的一个或多个服务器115之间。
在一个优选实施例中,对于出站消息,即从服务器115发送到至少两个Web代理服务器110a、110b的消息,为了持续分配到发出请求的客户机105,将分配器组件300引入网络安全架构100中的Web代理服务器110a、110b的“上游”。“上游”指分配器组件300从服务器115接收请求以便发送到两个或更多Web代理服务器110a、110b。
在一个优选实施例中,对于出站消息,即从服务器115发送到至少两个Web代理服务器110a、110b的消息,将比较器组件305引入网络安全架构中的Web代理服务器110a、110b的“下游”。“下游”指比较器组件305位于网络120中,在两个或更多Web代理服务器110a、110b与一个或多个发出请求的客户机设备105之间。
比较器305和分配器300可以是位于同一服务器上的单独组件,或者备选地,单独组件可以位于单独服务器上,在同一或地理上分散的区域中。备选地,比较器305和分配器300可以被实现为一个软件组件并且位于同一服务器上,即分配器300拦截来自客户机105和服务器115的请求,并且比较器305拦截来自不同Web代理服务器110a、110b的输出。所属技术领域的技术人员将认识到,在不偏离本发明的范围的情况下其它类型的布置是可能的。
参考图5a和图6,分配器组件300包括多个子组件,它们彼此对接和交互以便处理来自发出请求的客户机设备105的HTTP请求。所述子组件包括拦截器组件505,其用于拦截和接收来自发出请求的客户机设备105的请求;复制器组件510,其用于创建所接收的请求的副本;跟踪器组件515,其用于将唯一标识符分配给所接收的请求的副本;以及发送器组件520,其用于将所接收的请求的每个副本转发到不同Web代理服务器“类型A”110a和“类型B”110b。
所述过程开始于拦截器组件505接收来自发出请求的客户机设备105的HTTP请求(步骤600)。下面示出所接收的HTTP请求的一个简化实例:
HTTP请求
GET/index.htmlHTTP/1.1
Host:www.IBM.com
典型的攻击是使用标准HTTPGet或Post命令发出URL请求,但包括足够的数据以便导致目标程序以这样一种方式将数据存储在存储器中:其覆盖现有存储值,这些值可以是可执行指令。这样,攻击者能够修改Web服务器的行为,并且可能导致Web服务器无法执行或者强迫Web服务器执行由攻击者提供的指令。
这被称为缓冲区溢出条件,并且当程序尝试将多于缓冲区可以保存的数据放入缓冲区中时,或者当程序尝试将数据放入指定地址空间以外的存储区域中时,存在缓冲区溢出条件。在这种情况下,缓冲区是连续存储部分,其被分配以包含从字符串到整数数组的任何事物。在所分配的存储器的块的边界外写入能够损坏数据,使程序崩溃,或者导致恶意代码的执行。
漏洞的基础是不正确的数据大小检查。数据在URL请求中通过字符串来表示。当宽或多字节字符串被误认为标准字符串时,通常发生不正确的字符串长度检查。
以下实例示出C程序设计语言源代码,其经常用于分配缓冲区空间以便保存数据。使用C例程“malloc”动态分配缓冲区。
如果使用任何注释的错误malloc调用,则以下实例将是可利用的:
实例代码
#include<stdio.h>
#include<strings.h>
#include<wchar.h>
intmain(){
wchar_twideString[]=L"Thespazzyorangetigerjumped"\
"overthetawnyjaguar.";
wchar_t*newString;
printf("Strlen()output:%d\nWcslen()output:%d\n",
strlen(wideString),wcslen(wideString));
/*Thefollowingisincorrectbecauseitisnotappropriatetofindthelengthofastringwhichhasbeendefinedasa"widestring//
newString=(wchar_t*)malloc(strlen(wideString));
*/
/*Thefollowingstringisincorrectbecausewidecharactersaren't1bytelong//
newString=(wchar_t*)malloc(wcslen(wideString));
*/
/*correct!*/
newString=(wchar_t*)malloc(wcslen(wideString)*
sizeof(wchar_t));
/*...*/
}
来自printf()语句的输出将是:
Strlen()output:0
Wcslen()output:53
Source:
https://www.owasp.org/index.php/Improper_string_length_checking,其在创作共用许可证之下提供。
分配器组件300的复制器组件510创建所接收的HTTP请求的副本(步骤605)。
跟踪器组件515将唯一标识符附加到所接收的请求和所接收的请求的副本。唯一标识符用于在安全网络中跟踪请求(原始请求和复制的请求),以使得比较器305能够正确地识别所接收的请求和复制的请求。
发送器组件520将所接收的请求发送到“类型A”Web代理服务器110a,并且将复制的请求发送到第二Web代理服务器,即“类型B”Web代理服务器110b(步骤610)。所属技术领域的技术人员将认识到,将所接收的请求或复制的请求发送到哪个Web代理服务器110a、110b无关紧要,只要选定的两个Web代理服务器110a、110b不同即可,即具有不同类型即可。
两个Web代理服务器110a、110b接收针对资源的HTTP请求并且继续处理该请求。因为两个Web代理服务器110a、110b不同并且以不同方式操作,所以可能发生以下情景。
“类型A”Web代理110a继续处理所接收的请求。在该实例中,“类型A”Web代理服务器110a并未正确地测量被包含在所接收的请求中的数据的大小或类型,并且使用上述代码段实例中的一种无效方法分配存储空间。“类型A”Web代理服务器110a因此发生缓冲区溢出,这允许代码指令被用户数据覆盖。结果将取决于由攻击者提供的指令,但通常不将数据转发到网络系统100的其余部分,并且反而将“类型A”Web代理服务器110a的控制返回到用户,即用户已作为系统管理员有效地“登录”到“类型A”Web代理服务器110a。
“类型B”Web代理服务器110b接收复制的请求并且继续处理该请求。在此实例中,“类型B”Web代理验证所接收的URL请求中的数据的大小并且正确地分配存储器。
因此“类型B”Web代理服务器110b通过以下方式处理所接收的请求:
●将错误消息返回到用户,并且不将任何数据转发到系统的其余部分,或者
●截断用户提供的数据直至它具有有效长度,并且仅将剩余数据转发到网络系统100的其余部分,或者
●为所接收的请求中的数据分配足够的存储器,并且避免使用数据覆盖代码指令。
参考图5b和图6,比较器组件305包括拦截器组件525,其用于拦截来自Web代理服务器110a、110b的输出(步骤615)。拦截器组件525接收来自“类型A”Web代理服务器110a的输出(缓冲区溢出—数据被覆盖)和来自“类型B”Web代理服务器110b的输出(正确的输出)。
比较组件530解析和比较每个所接收的输出。比较组件530与判定器组件540对接。判定器组件540与规则数据库545结合判定两个输出之间是否具有“差异”(步骤620)。如果判定没有差异,则路由组件550将HTTP请求(所接收的请求或所接收的请求的副本)转发到适当的服务器115以便满足该请求。如果判定器组件540在“类型A”的输出与“类型B”的输出之间检测到差异,则由警报生成器组件535生成警报(步骤625),以便阻止执行来自Web代理服务器110a、110b两者的输出(步骤630)。
在另一个实施例中,判定器组件540和数据库545包括附加逻辑,所述逻辑使判定器组件540能够检测来自特定类型的Web代理服务器110a、110b的“预期”输出。因此使判定器组件540能够检测可以将来自Web代理服务器110a、110b的哪个输出转发到服务器115,并且应该阻止来自Web代理服务器110a、110b的哪个输出。
比较器305和分配器组件300还沿着相反方向操作(图4和图7)。在服务器115已满足资源请求之后,通过网络120将包括被请求资源的回复消息发回分配器组件300及其子组件505至515(步骤700)。分配器组件300继续创建回复消息的副本(步骤705),并且将唯一标识符附加到回复消息和回复消息的副本。将所接收的回复消息和回复消息的副本发送到不同Web代理服务器110a、110b以便处理。
将不同Web代理服务器110a、110b的输出发送到比较器组件305以便处理(步骤710)。比较器组件305及其子组件525至560接收来自“类型A”Web代理服务器和“类型B”Web代理服务器的输出(步骤715)。比较组件530将两个输出彼此相比较。比较组件530与判定器组件540(与规则数据库545结合)对接,并且判定两个输出之间是否具有“差异”(步骤730)。如果判定没有差异,则判定器组件540将包括被请求资源的回复消息发送到路由器组件550,以便传送到发出请求的客户机105。如果判定器组件540在两个输出之间检测到差异,则生成警报(步骤725),以便阻止执行来自两个Web代理服务器110a、110b的输出(步骤730)。
比较器组件305的警报生成器组件535生成警报。警报不仅通知输出阻止器组件555阻止Web代理服务器(多个)110a、110b的输出之一或两者(因为已检测到恶意攻击),而且分类引擎560还与警报生成器组件535交互以便对攻击类型分类以使得可以生成报告,该报告详述Web代理服务器110a、110b要执行的操作以及为什么判定这是恶意攻击。攻击类型例如可以是SQL注入攻击、安全错误配置或缓冲区溢出攻击。
所属技术领域的技术人员将认识到,尽管根据使用两个不同Web代理服务器并且比较输出描述了本发明的优选实施例,但可以使用两个以上的不同Web代理服务器而不偏离本发明的范围。
所属技术领域的技术人员知道,本发明的各个方面可以实现为系统、方法或计算机程序产品。因此,本发明的各个方面可以具体实现为以下形式,即:完全的硬件实施方式、完全的软件实施方式(包括固件、驻留软件、微代码等),或硬件和软件方面结合的实施方式,这里可以统称为“电路”、“模块”或“系统”。此外,本发明的各个方面还可以实现为在一个或多个计算机可读介质中的计算机程序产品的形式,该计算机可读介质中包含计算机可读的程序代码。
可以采用一个或多个计算机可读介质的任意组合。计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质。计算机可读存储介质例如可以是—但不限于—电、磁、光、电磁、红外线、或半导体的系统、装置或器件,或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:具有一个或多个导线的电连接、便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本文件中,计算机可读存储介质可以是任何包含或存储程序的有形介质,该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。
计算机可读的信号介质可以包括例如在基带中或者作为载波一部分传播的数据信号,其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式,包括—但不限于—电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质可以是计算机可读存储介质以外的任何计算机可读介质,该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。
计算机可读介质上包含的程序代码可以用任何适当的介质传输,包括—但不限于—无线、有线、光缆、RF等等,或者上述的任意合适的组合。
可以以一种或多种程序设计语言的任意组合来编写用于执行本发明的各个方面的操作的计算机程序代码,所述程序设计语言包括面向对象的程序设计语言—诸如Java、Smalltalk、C++等,还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中,远程计算机可以通过任意种类的网络—包括局域网(LAN)或广域网(WAN)—连接到用户计算机,或者,可以连接到外部计算机(例如利用因特网服务提供商来通过因特网连接)。
Claims (15)
1.一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:
分配器组件,其包括:
拦截器组件,其用于拦截来自客户机设备的对资源的请求;以及
复制器组件,其用于创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;
比较器组件,其包括:
拦截器组件,其用于接收来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;
比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;
判定组件,其响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及
警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
2.如权利要求1所述的系统,进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
3.如上述任一权利要求所述的系统,进一步包括判定器组件和路由组件,所述判定器组件判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,所述路由组件用于将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到用于取回被请求资源的服务器。
4.如权利要求1所述的系统,进一步包括判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
5.如权利要求4所述的系统,进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述服务器中导致处理错误。
6.如权利要求5所述的系统,进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
7.一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的网络安全系统,所述系统包括:
分配器组件,其包括:
拦截器组件,其用于拦截来自服务器的被请求资源;以及
复制器组件,其用于创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;
比较器组件,其包括:
拦截器组件,其用于接收来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;
比较组件,其用于将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;
判定组件,其用于响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及
警报生成器组件,其用于响应于判定所述输出中的差异而生成警报。
8.如权利要求7所述的系统,进一步包括所述比较器组件的输出阻止器,其检测已生成警报并且阻止来自所述第一类型的代理服务器和所述第二类型的代理服务器之一或两者的输出。
9.如上述任一权利要求所述的系统,进一步包括判定器组件,其判定来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出并非不同,并且将来自所述第一类型的代理服务器或所述第二类型的代理服务器之一的输出路由到所述客户机设备。
10.如权利要求7所述的系统,进一步包括所述判定器组件,其检测要在每个所述输出中执行的操作,并且进一步判定要执行的操作之一或两者是不同操作。
11.如权利要求10所述的系统,进一步包括所述判定器组件,其判定要执行的操作之一将在所述第一类型和第二类型的Web代理服务器之一或两者或所述客户机设备中导致处理错误。
12.如权利要求11所述的系统,进一步包括所述判定器组件,其判定所述处理错误是安全漏洞。
13.一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述方法包括:
拦截来自客户机设备的对资源的请求;
创建所拦截的请求的副本并将所拦截的请求转发到第一类型的代理服务器,并且将所拦截的请求的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器类型;
拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;
将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;
响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及
响应于判定所述输出中的差异而生成警报。
14.一种用于响应于在数据处理网络内的代理服务器中检测到安全漏洞而生成警报的方法,所述系统包括:
拦截来自服务器的被请求资源;以及
创建所拦截的被请求资源的副本并将所拦截的被请求资源转发到第一类型的代理服务器,并且将所拦截的被请求资源的副本转发到第二类型的代理服务器,其中所述第一类型的代理服务器和所述第二类型的代理服务器是不同代理服务器;
拦截来自所述第一类型的代理服务器和所述第二类型的代理服务器的输出;
将所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出相比较;
响应于比较所述输出,判定所述第一类型的代理服务器的输出与所述第二类型的代理服务器的输出是否不同;以及
响应于判定所述输出中的差异而生成警报。
15.一种包括计算机程序代码的计算机程序,当所述计算机程序代码被加载到计算机系统中并被执行时,所述计算机程序执行如权利要求13和14中的任一项所述的方法的所有步骤。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB1312298.1A GB2516050A (en) | 2013-07-09 | 2013-07-09 | A Network Security System |
| GB1312298.1 | 2013-07-09 | ||
| PCT/IB2014/060428 WO2015004543A1 (en) | 2013-07-09 | 2014-04-04 | A network security system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105359157A true CN105359157A (zh) | 2016-02-24 |
| CN105359157B CN105359157B (zh) | 2017-12-29 |
Family
ID=49033548
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480038304.5A Active CN105359157B (zh) | 2013-07-09 | 2014-04-04 | 用于检测到安全漏洞而生成警报的网络安全系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (4) | US9887963B2 (zh) |
| JP (1) | JP6271002B2 (zh) |
| CN (1) | CN105359157B (zh) |
| DE (1) | DE112014002789T5 (zh) |
| GB (2) | GB2516050A (zh) |
| WO (1) | WO2015004543A1 (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109508548A (zh) * | 2018-11-19 | 2019-03-22 | 四川长虹电器股份有限公司 | 一种基于仿真器技术的威胁行为搜集系统及方法 |
| CN110875899A (zh) * | 2018-08-30 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 数据处理方法、系统以及网络系统 |
| CN110995640A (zh) * | 2019-09-19 | 2020-04-10 | 中国银联股份有限公司 | 识别网络攻击的方法及蜜罐防护系统 |
| WO2021152423A1 (en) * | 2020-01-28 | 2021-08-05 | International Business Machines Corporation | Combinatorial test design for optimizing parameter list testing |
| CN114079634A (zh) * | 2020-08-21 | 2022-02-22 | 深圳市中兴微电子技术有限公司 | 一种报文转发方法、装置及计算机可读存储介质 |
| WO2022067835A1 (en) * | 2020-10-01 | 2022-04-07 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus and computer program |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2516050A (en) | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
| US10187283B2 (en) * | 2013-11-19 | 2019-01-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Testing the performance of a layer 3 proxy device using traffic amplification |
| US9571465B1 (en) | 2014-09-18 | 2017-02-14 | Amazon Technologies, Inc. | Security verification by message interception and modification |
| EP3347845B1 (en) * | 2015-09-11 | 2023-08-02 | Curtail, Inc. | Implementation comparison-based security system |
| US10462256B2 (en) | 2016-02-10 | 2019-10-29 | Curtail, Inc. | Comparison of behavioral populations for security and compliance monitoring |
| US11818116B2 (en) * | 2016-02-23 | 2023-11-14 | Tokenex, Inc. | Network gateway messaging systems and methods |
| US10200407B1 (en) * | 2016-02-23 | 2019-02-05 | TokenEx, LLC | Network gateway messaging systems and methods |
| CN111624869B (zh) * | 2020-04-25 | 2023-03-28 | 中国人民解放军战略支援部队信息工程大学 | 自动感知攻击行为方法、系统及以太网交换机 |
| WO2022180690A1 (ja) * | 2021-02-24 | 2022-09-01 | 日本電信電話株式会社 | 通信システム、通信装置、データ配信方法、及びプログラム |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067269A (ja) * | 2001-08-30 | 2003-03-07 | Mitsubishi Electric Corp | 不正アクセス検知装置及び不正アクセス検知方法 |
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| EP1853021A1 (en) * | 2006-05-05 | 2007-11-07 | Broadcom Corporation | Switching network supporting media rights management |
| CN101571813A (zh) * | 2009-01-04 | 2009-11-04 | 四川川大智胜软件股份有限公司 | 一种多机集群中主从调度方法 |
| CN101655895A (zh) * | 2008-08-22 | 2010-02-24 | 株式会社日立制作所 | 内容控制系统 |
| CN101877725A (zh) * | 2010-06-25 | 2010-11-03 | 中兴通讯股份有限公司 | 分布式存储系统中的副本管理方法及装置 |
| CN103346904A (zh) * | 2013-06-21 | 2013-10-09 | 西安交通大学 | 一种容错的OpenFlow 多控制器系统及其控制方法 |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| ATE414943T1 (de) | 2000-03-03 | 2008-12-15 | Ibm | System zur bestimmung von schwächen von web- anwendungen |
| US7472421B2 (en) | 2002-09-30 | 2008-12-30 | Electronic Data Systems Corporation | Computer model of security risks |
| US7203959B2 (en) * | 2003-03-14 | 2007-04-10 | Symantec Corporation | Stream scanning through network proxy servers |
| US8533254B1 (en) * | 2003-06-17 | 2013-09-10 | F5 Networks, Inc. | Method and system for replicating content over a network |
| US7757287B2 (en) | 2004-04-19 | 2010-07-13 | Computer Associates Think, Inc. | Systems and methods for computer security |
| US7640245B1 (en) * | 2004-06-08 | 2009-12-29 | Microsoft Corporation | System and method for auditing a network server configuration |
| US7657737B2 (en) * | 2005-02-28 | 2010-02-02 | International Business Machines Corporation | Method for mapping an encrypted https network packet to a specific url name and other data without decryption outside of a secure web server |
| US8156536B2 (en) * | 2006-12-01 | 2012-04-10 | Cisco Technology, Inc. | Establishing secure communication sessions in a communication network |
| US20080282338A1 (en) | 2007-05-09 | 2008-11-13 | Beer Kevin J | System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network |
| GB0804346D0 (en) * | 2008-03-07 | 2008-04-16 | Internet Business Group Ltd | System and method of tracking internet use |
| US8286239B1 (en) | 2008-07-24 | 2012-10-09 | Zscaler, Inc. | Identifying and managing web risks |
| CN101888311B (zh) * | 2009-05-11 | 2013-02-06 | 北京神州绿盟信息安全科技股份有限公司 | 一种防止网络内容被篡改的设备、方法和系统 |
| US9009330B2 (en) | 2010-04-01 | 2015-04-14 | Cloudflare, Inc. | Internet-based proxy service to limit internet visitor connection speed |
| US9356951B2 (en) * | 2010-07-09 | 2016-05-31 | Hewlett Packard Enterprise Development Lp | Responses to server challenges included in a hypertext transfer protocol header |
| WO2012166113A1 (en) * | 2011-05-31 | 2012-12-06 | Hewlett-Packard Development Company, L.P. | Automated security testing |
| US20130019314A1 (en) | 2011-07-14 | 2013-01-17 | International Business Machines Corporation | Interactive virtual patching using a web application server firewall |
| US8832264B2 (en) * | 2012-03-01 | 2014-09-09 | Justin Pauley | Network appliance for monitoring network requests for multimedia content |
| US9203931B1 (en) * | 2013-04-01 | 2015-12-01 | Amazon Technologies, Inc. | Proxy server testing |
| WO2014200399A1 (en) * | 2013-06-13 | 2014-12-18 | Telefonaktiebolaget L M Ericsson (Publ) | Traffic optimization in a communications network |
| GB2516050A (en) | 2013-07-09 | 2015-01-14 | Ibm | A Network Security System |
-
2013
- 2013-07-09 GB GB1312298.1A patent/GB2516050A/en not_active Withdrawn
-
2014
- 2014-04-04 CN CN201480038304.5A patent/CN105359157B/zh active Active
- 2014-04-04 US US14/903,089 patent/US9887963B2/en active Active
- 2014-04-04 DE DE112014002789.8T patent/DE112014002789T5/de active Pending
- 2014-04-04 JP JP2016524905A patent/JP6271002B2/ja active Active
- 2014-04-04 GB GB1602072.9A patent/GB2531677B/en active Active
- 2014-04-04 WO PCT/IB2014/060428 patent/WO2015004543A1/en active Application Filing
-
2017
- 2017-12-05 US US15/831,476 patent/US10110565B2/en active Active
-
2018
- 2018-07-30 US US16/048,470 patent/US10587581B2/en not_active Expired - Fee Related
-
2020
- 2020-01-09 US US16/738,381 patent/US11082405B2/en active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2003067269A (ja) * | 2001-08-30 | 2003-03-07 | Mitsubishi Electric Corp | 不正アクセス検知装置及び不正アクセス検知方法 |
| EP1853021A1 (en) * | 2006-05-05 | 2007-11-07 | Broadcom Corporation | Switching network supporting media rights management |
| CN101017525A (zh) * | 2007-03-05 | 2007-08-15 | 北京邮电大学 | 基于证书和透明加密的usb存储设备数据防泄密系统和方法 |
| CN101655895A (zh) * | 2008-08-22 | 2010-02-24 | 株式会社日立制作所 | 内容控制系统 |
| CN101571813A (zh) * | 2009-01-04 | 2009-11-04 | 四川川大智胜软件股份有限公司 | 一种多机集群中主从调度方法 |
| CN101877725A (zh) * | 2010-06-25 | 2010-11-03 | 中兴通讯股份有限公司 | 分布式存储系统中的副本管理方法及装置 |
| CN103346904A (zh) * | 2013-06-21 | 2013-10-09 | 西安交通大学 | 一种容错的OpenFlow 多控制器系统及其控制方法 |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110875899A (zh) * | 2018-08-30 | 2020-03-10 | 阿里巴巴集团控股有限公司 | 数据处理方法、系统以及网络系统 |
| CN110875899B (zh) * | 2018-08-30 | 2022-06-28 | 阿里巴巴集团控股有限公司 | 数据处理方法、系统以及网络系统 |
| CN109508548A (zh) * | 2018-11-19 | 2019-03-22 | 四川长虹电器股份有限公司 | 一种基于仿真器技术的威胁行为搜集系统及方法 |
| CN109508548B (zh) * | 2018-11-19 | 2022-06-03 | 四川长虹电器股份有限公司 | 一种基于仿真器技术的威胁行为搜集系统及方法 |
| CN110995640A (zh) * | 2019-09-19 | 2020-04-10 | 中国银联股份有限公司 | 识别网络攻击的方法及蜜罐防护系统 |
| CN110995640B (zh) * | 2019-09-19 | 2022-04-05 | 中国银联股份有限公司 | 识别网络攻击的方法及蜜罐防护系统 |
| WO2021152423A1 (en) * | 2020-01-28 | 2021-08-05 | International Business Machines Corporation | Combinatorial test design for optimizing parameter list testing |
| US11336679B2 (en) | 2020-01-28 | 2022-05-17 | International Business Machines Corporation | Combinatorial test design for optimizing parameter list testing |
| CN114079634A (zh) * | 2020-08-21 | 2022-02-22 | 深圳市中兴微电子技术有限公司 | 一种报文转发方法、装置及计算机可读存储介质 |
| CN114079634B (zh) * | 2020-08-21 | 2024-03-12 | 深圳市中兴微电子技术有限公司 | 一种报文转发方法、装置及计算机可读存储介质 |
| WO2022067835A1 (en) * | 2020-10-01 | 2022-04-07 | Nokia Shanghai Bell Co., Ltd. | Method, apparatus and computer program |
Also Published As
| Publication number | Publication date |
|---|---|
| JP6271002B2 (ja) | 2018-01-31 |
| WO2015004543A1 (en) | 2015-01-15 |
| US11082405B2 (en) | 2021-08-03 |
| GB201602072D0 (en) | 2016-03-23 |
| US20200153799A1 (en) | 2020-05-14 |
| US20180103012A1 (en) | 2018-04-12 |
| GB201312298D0 (en) | 2013-08-21 |
| US20180337890A1 (en) | 2018-11-22 |
| GB2531677B (en) | 2020-07-22 |
| CN105359157B (zh) | 2017-12-29 |
| US9887963B2 (en) | 2018-02-06 |
| GB2531677A (en) | 2016-04-27 |
| US20160164840A1 (en) | 2016-06-09 |
| DE112014002789T5 (de) | 2016-03-17 |
| US10110565B2 (en) | 2018-10-23 |
| GB2516050A (en) | 2015-01-14 |
| JP2016524261A (ja) | 2016-08-12 |
| US10587581B2 (en) | 2020-03-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105359157A (zh) | 网络安全系统 | |
| US10708287B2 (en) | Analyzing client application behavior to detect anomalies and prevent access | |
| US11831420B2 (en) | Network application firewall | |
| US8918866B2 (en) | Adaptive rule loading and session control for securing network delivered services | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US8161538B2 (en) | Stateful application firewall | |
| EP2755157B1 (en) | Detecting undesirable content | |
| US10715554B2 (en) | Translating existing security policies enforced in upper layers into new security policies enforced in lower layers | |
| US11252194B2 (en) | Method and apparatus of automatic generation of a content security policy for a network resource | |
| US10270739B2 (en) | System and method for protecting service-level entities | |
| US20190026460A1 (en) | Dynamic creation of isolated scrubbing environments | |
| US11861018B2 (en) | Method and system for dynamic testing with diagnostic assessment of software security vulnerability | |
| Noh et al. | Vulnerabilities of network OS and mitigation with state‐based permission system | |
| Ray | Countering cross-site scripting in web-based applications | |
| US20230216830A1 (en) | Client-side firewall | |
| KR102574384B1 (ko) | 블록체인 기술을 이용한 분산 구조의 엔드포인트 보안 방법 및 그 장치 | |
| US20240073244A1 (en) | Inline package name based supply chain attack detection and prevention | |
| JP3988731B2 (ja) | ファイアウォール制御システム、ファイアウォール制御方法、および、ファイアウォール制御プログラム | |
| CN118200008A (zh) | 基于防火墙的安全通信方法、装置、设备、介质和产品 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |