CN108886515B - 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 - Google Patents
通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 Download PDFInfo
- Publication number
- CN108886515B CN108886515B CN201780005884.1A CN201780005884A CN108886515B CN 108886515 B CN108886515 B CN 108886515B CN 201780005884 A CN201780005884 A CN 201780005884A CN 108886515 B CN108886515 B CN 108886515B
- Authority
- CN
- China
- Prior art keywords
- packet
- network
- payload
- processor
- protocol
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J3/00—Time-division multiplex systems
- H04J3/02—Details
- H04J3/06—Synchronising arrangements
- H04J3/0635—Clock or time synchronisation in a network
- H04J3/0638—Clock or time synchronisation among nodes; Internode synchronisation
- H04J3/0658—Clock or time synchronisation among packet nodes
- H04J3/0661—Clock or time synchronisation among packet nodes using timestamps
- H04J3/0667—Bidirectional timestamps, e.g. NTP or PTP for compensation of clock drift and for compensation of propagation delays
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1475—Passive attacks, e.g. eavesdropping or listening without modification of the traffic monitored
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开的系统和方法能够实现入侵辐射保护(IRP),以防止安全网络中的恶意IP流量。IRP系统能够接收IP分组、确定IP分组的协议与多个预定策略中的预定策略匹配、基于该预定策略和IP分组的尺寸对IP分组进行分类、响应于分类而检查IP分组的有效载荷以确定IP分组的特征、基于分类确定IP分组的特征中的一个不正确,并且基于该确定将IP分组标记为可疑。IRP系统能够记录和/或丢弃标记的IP分组。IRP系统能够附加地用第二有效载荷替换IP分组的有效载荷,并且将具有第二有效载荷的IP分组发送到其目的地。
Description
相关申请
本申请要求于2016年1月8日提交的标题为“入侵辐射保护系统和方法(Systemsand Methods for Intrusion Radiation Protection)”的美国临时专利申请No.62/276,716的优先权和权益,其全部内容通过引用结合于此。
技术领域
本公开大体上涉及用于保护受保护(secured)网络的系统和方法。特别地,本公开涉及用于识别和控制受保护网络的所有点处的入口和出口流量的入侵辐射保护。
背景技术
访问和使用诸如域名系统(DNS)、互联网控制消息协议(ICMP)、网络时间协议(NTP)和简单网络时间协议(SNTP)之类的协议对于适当的网络操作是必需的。传统上这种流量被认为对于恶意互联网活动是“安全”的,并且因此被允许自由流入和流出受保护网络。但是,最近不良行动者(actor)已经采用这些协议通过安全网络防火墙来隧穿(tunnel)信息。因此,防止恶意数据漏出(Exfiltration)需要监视这些协议中的流量,特别是在外出流量中。
发明内容
本公开提供了用于检测和防止数据漏出同时仍允许访问重要的协议和服务的多个系统和方法。在本公开的第一方面,系统可以使用深度分组检查来分析DNS、ICMP、NTP和SNTP消息背后的任何隧穿尝试。例如,DNS请求可以携带附加数据。系统可以检查DNS请求,以确定它是否来自正确的源、去往正确的目的地,并且被正确格式化。此外,系统可以向已知且可信的DNS服务器发送并行查询并核实结果。在另一示例中,ICMP错误消息也可以携带附加数据。但是,只有报头的前20个字节是重要的,因此系统可以阻止、移除或替换附加数据。在系统替换有效载荷的情况下,系统可以检查接收方是否正确地响应。在所有情况下,系统可以建立统计模型来估计特定消息是否可能是恶意的,并相应地对其进行过滤。系统可以过滤请求和响应两者。系统可以包括以下部件:(1)分组分类器单元,用于分类属于不同数据服务和数据流的分组,(2)上下文构建器单元,构建流和服务上下文以处理上下文范例内分类的流量,以及(3)分组处理机单元,可以对由分类器分类并且在分组内容的上下文内的分组执行预定义的动作。这些动作可以包括允许分组、忽略或丢弃分组、记录或保存分组,以及选择性地修改分组。
在本公开的第二方面,系统可以分析IP分组,以确定IP有效载荷的有效性并且用或者用户定义或者算法确定的数据替换全部或部分有效载荷。系统可以采用可伸缩框架,以包括和构建基于封装在IP分组内的较高层协议的算法树。系统还可以验证对修改的分组的响应。
附图说明
通过参考结合附图进行的详细描述,本公开的各种目的、方面、特征和优点将变得更加清楚和更好理解,其中相同的附图标记始终识别对应的元件。在附图中,相同的附图标记一般指示相同的、功能上相似的和/或结构上相似的元件。
图1是根据一个实现的入侵辐射保护的图示;
图2是用于入侵辐射保护的设备的示例实现的框图;
图3是根据一个实现的入侵辐射保护方法的流程图;
图4A是根据一个实现的入侵辐射保护方法的流程图;
图4B是根据一个实现的入侵辐射保护方法的流程图;
图5A是描绘包括与一个或多个设备或站通信的一个或多个设备的网络环境的实施例的框图;以及
图5B和5C是描绘结合本文描述的方法和系统有用的计算设备的实施例的框图。
在附图和下面的描述中阐述了方法和系统的各种实施例的细节。
具体实施方式
为了阅读以下各个实施例的描述,下面对说明书各部分及其相应内容的描述可以是有帮助的:
-部分A描述了用于入侵辐射保护的系统和方法的实施例;以及
-部分B描述了可以对于实践本文描述的实施例有用的网络环境和计算环境。
A.入侵辐射保护
在任何网络部署中,安全性风险不限于来自外部网络的攻击;相反,还需要考虑来自网络内部的风险。传统上,网络安全性已经被设计为防止来自网络部署之外的攻击。这种攻击常常被称为网络入侵。
如果内部网络中的任何元件或主机受损,那么它可以威胁到整个网络。攻击者可以控制网络、对其进行不同程度的破坏,甚至将专有/敏感信息传达给外部实体(称为漏出)。受损的信息可以在受保护/可信网络外传达。在命令和控制模型下,攻击者还可以使用受损的元素将讯息隧穿到网络中和网络外。这种攻击常常被称为信息辐射。防止此类攻击需要检查并分析通过网络部署的所有流量。
入侵辐射保护(IRP)是用于防止网络源起的网络入侵以及来自受损网络的信息辐射的综合框架。网络入侵和信息辐射两者可以用多种方式完成。攻击可以通过在网络运行必不可少的众所周知或常用协议上隧穿或驮运(piggy back)数据来绕过现有的保护机制。这可以通过基于某些测量分析流量来防止。例如:如果用于分组数据单元(PDU)的分组长度大于预期长度,或者如果某些PDU的分组频率高于平常,如果分组的有效载荷部分不符合其底层协议,或者如果流量的目的地IP是未知或未授权的位置,那么此类行为可以被视为异常且可能是恶意的。
通过引入IRP,网络管理员可以监视在其网络中发生的事件并分析它们是否存在违规或流量异常。系统可以基于预置的(provisioned)逻辑和启发法来检测、防止和记录安全性事件。IRP可以在其实现中包括深度分组检查(DPI)。IRP可以监视入口和出口流量并对其强制执行策略。从历史上看,这种保护限于入口流量。IRP增加了针对无效或未经授权的出口流量的识别和保护的概念。
对于与被传达的信息没有直接关系的那些协议,通过隧穿或封装信息作为PDU的有效载荷,可以传达信息(入侵/投毒或辐射)。标准安全性器具(appliance)通常把作为已知协议(诸如网络时间协议(NTP)、域名系统(DNS)和互联网命令消息协议(ICMP))的有效负载的数据视为良性(benign)数据而忽略。安全隧穿(经由HTTPS或VPN加密隧道)也可以是信息辐射的机制。以下段落描述用于针对网络中的信息辐射进行保护的一些常用技术。
ICMP隧穿通过将任意数据注入被发送到远程计算机的ICMP回声请求/应答分组来工作。信息可以经由这种数据进行辐射;例如,在请求/应答中插入专有信息/命令控制消息。在命令和控制模型中,应答分组可以包含要由受损元件或主机执行的命令。
DNS是IP网络中广泛使用的协议,并且是互联网骨干网的主要组成部分(staple)。DNS允许应用(诸如Web浏览器)基于域名而不是数字IP地址运行。DNS消息可以具有多个可变长度的文本部分,可以利用这些部分来隧穿文本信息和完整的数据报两者。攻击者可以恶意使用DNS隧道以用于来自可信网络的信息辐射。DNS的广泛使用增加了没有检查和保护DNS流量的机制的网络的风险。
网络时间协议(NTP)和简单网络时间协议(SNTP)由连接到网络的不同机器使用,这些机器通过IP同步它们的时钟。这些协议易于发生反射/放大攻击,其中外部主机/机器使用伪造的源IP地址或无效的有效载荷来应答SNTP请求分组。另外,SNTP的内置命令中的一个允许对短请求发送长应答。这可以被攻击者用于DDoS攻击或CC通信。这些攻击通常使用由服务器用于监视目的的NTP服务器的“monlist”命令来实现。作为IRP的一部分,可以防止带有“monlist”命令的SNTP分组通过系统。此外,系统还可以检查SNTP PDU的不同字段(诸如层次(stratum)值和根延迟值),以防止异常信息交换。
实现IRP的路由器可以支持以下安全性特征:
1.有状态的防火墙和网络地址翻译。
通过将安全性级别分配给逻辑/物理接口来创建和管理安全性区。
维护访问控制列表(ACL),以控制允许哪些流量从较低的安全性区移动到较高的安全性区。这些规则可以应用于INBOUND/OUTBOUND流量。
使用对象组(网络/服务/ICMP/协议)来管理相关的网络设备和服务。
2.通过IPsec的VPN
实现IRP的路由器可以支持附加的安全性特征(诸如区)。安全性区是完善的(well-established)网络安全性概念(例如,ISA-62443)。区可以将网络表示为软件中的可配置对象。
为了提供完整安全性框架的容易配置和管理,实现IRP的路由器可以给出统一安全性配置接口(USCI)。USCI可以使管理员能够创建完整的安全性简档,以覆写在节点上配置的所有区之间被路由的所有流量的分类、动作和报告。
在抽象级别上,管理员可以启用设备上的安全性,设备安全性可以基于默认的安全性简档运作。如果管理员想要修改默认简档,那么可以允许他在每个级别对其进行修改。管理员还可以允许创建新的安全性简档并在区之间附连相同的新安全性简档。
USCI可以向管理员示出具有可用端口的设备。通过点击端口,管理员可以在端口上配置逻辑接口并将该接口分配到区中。
当管理员选择特定区时,他可以为那些区的入口和出口定义安全性。管理员可以添加或删除关于入口和出口的默认被允许的协议。管理员可以修改区的安全性级别。
当管理员选择协议时,他可以被带到配置层次结构的下一个详细级别,以配置和修改规则和对应的操作。管理员还可以从用于安全区的全局规则中定义例外。
例如,如果管理员点击ICMP,那么他可以配置特定于ICMP的规则;他可以创建规则,或者选择现有的规则并修改值并针对它定义动作。
管理员可以从对流量的以下可用动作中进行选择:丢弃、允许。对于每个动作,系统可以记录并警告事件。
区间流量流可以通过选择两个区进行配置。这种类型的配置允许管理员定义两个安全区之间的流量行为。针对特定器具的更具体的配置和规则创建可以在这个级别完成。管理员可以定义例外规则或更通用的规则。
例如:假设在两个区之间创建DNS规则。管理员可以为DNS设置通用规则,其规定从区1出去的主机名尺寸大于52的所有流量应当被丢弃。管理员还可以设置例外规则,即,那个区中针对特定IP/IP范围或子网的主机名尺寸最大为62的DNS查询应当被允许。第二条规则可以取代第一条规则,并且如果DNS分组属于例外,那么可以执行根据那个例外的动作,并且可以忽略通用规则。
IRP还可以被增强,以实现:
1.通过基于IP分组参数(诸如有效载荷长度和频率(每单位时间的分组的数量)、目的地或源)而对IPv4流量进行分类来检测一般流量异常。然后,系统可以对这些分组执行配置的动作(允许、丢弃、修改并允许、转发到另一器具以用于深度分组检查,等等)。除了这些动作之外,系统还可以记录动作和分组变量,和/或基于系统配置触发附加事件。分组的源是要考虑的分类中的一个,因为可以识别网络内的某个部件不应当在网络之外进行通信。
2.针对具体协议(如SNTP、DNS、ICMP,等等)检测更深和持久的威胁,并对这些分组执行所需要的配置的动作(记录/丢弃等等)。例如,IRP框架可以允许对DNS流量进行分类;如果来自区的DNS分组超过配置的阈值,那么将采取配置的动作。
防火墙可以被用于基于ACL控制/限制流量。这些规则可以基于用于所有或指定协议的源网络和目的地网络。现有的防火墙ACL可以充当IRP的基本过滤器。例如,区级允许/丢弃限制可以被翻译成防火墙规则。
黑名单和白名单可以被用于创建通用规则的例外列表。管理员可以使用黑名单阻止来自被允许的区间流的具体IP。例如,来自10.1.1.0/24的ICMP流量被区配置允许。监视IRP日志的管理员可以发现特定的主机(如10.1.1.10)正在发送大量主动提供的(unsolicited)ICMP回声应答消息。管理员可以将那个特定IP添加到黑名单,并且来自那个特定主机的所有流量应当根据配置的动作被阻止或监视。
类似地,管理员可以允许到特定主机/来自特定主机/特定主机之间的流量,这些特定主机的一般流量是被阻止的。管理员可以将那个主机IP地址添加到白名单。例如,来自20.1.1.0/24的流量被区配置阻止;但是,特定主机(例如,20.1.1.5)可能需要访问其它网络。然后,管理员可以将这个特定主机添加到白名单。
流量异常检测和防止
第一级流量异常检测可以对基本分组参数(诸如协议号、有效负载长度、频率或带宽)工作。下一级检测应当作为包括分组解码器、分析器和威胁响应机制的特定于协议的安全性器具来实现。
ICMP隧穿的防止
防止隧穿的强力方法是完全阻止ICMP流量,但对于某些依赖ICMP流量的环境来说,这是不现实的。另一种减轻此类攻击的方法是只允许固定尺寸的ICMP分组通过防火墙,这可以阻碍或消除这种类型的行为,但同样地不切合实际。
IRP系统可以对数个消息和有效载荷参数工作,并使用DPI对ICMP流上下文保持跟踪,以分析流量中的威胁,包括主动提供的响应。
例如:
1.基于ICMP代码和ICMP类型的分类和动作;
2.基于消息的长度的分类和动作;
3.防止主动提供的响应;以及
4.基于接收到的ICMP消息的比率的分类和动作。
为了防止利用消息的可变数据片段的信息辐射,系统可以实现记录、然后用零覆写数据片段的部分或全部的设施,由此使辐射攻击无效。要注意的是,必须拦截ICMP应答分组,然后将有效负载恢复到原始发起方预期的水平。
DNS隧穿的防止
IRP系统可以分析DNS分组的有效载荷,并基于以下各项来实现不同的防止机制:
1.DNS请求和响应分组的尺寸;
2.主机名的熵;
3.统计分析:查看最长有意义子串的长度的百分比;
4.具体签名:已知好和已知坏签名的过滤列表;
5.每个IP地址的DNS流量的量;
6.每个域的DNS流量的量;
7.不存在的域响应的量;
8.跟踪DNS流并过滤主动提供的DNS响应;以及
9.分组有效载荷的正确协议格式化。
防止基于SNTP的攻击,诸如反射攻击
IRP系统可以分析SNTP消息的某些消息类型和命令(诸如“monlist”命令)。如果这些命令是网络正常运行所需要的,那么系统可以基于用户配置的阈值来修改某些消息。流量的分类可以使用SNTP分组的不同字段(诸如层次值和根延迟值)来执行。此外,可以执行DPI以验证符合SNTP协议的SNTP分组的有效载荷。
图1是图示入侵辐射保护的实现的泳道图。入侵辐射保护可以由设备110执行,设备110可以是两个或更多个网络或网络区(诸如区A 115和区B 125)之间的边缘设备。区A115和区B 125可以是安全网络的不同区。可替代地,区A 115可以是安全网络,区B 125可以是不受保护的网络(诸如互联网)。设备110可以是交换机、路由器、服务器、器具、虚拟器具(例如,由一个或多个物理机器执行的虚拟机)、设备集群、云设备或任何其它联网的计算设备。设备110可以将一个或多个主机120与一个或多个器具130连接。设备110可以实现本文描述的入侵辐射保护的方法。虽然在所示示例中被称为主机120和器具130,但每个主机120和器具130可以是任何类型和形式的计算设备,包括但不限于器具、移动设备、台式计算机、膝上型计算机、智能电话、平板电脑、工作站、服务器、由物理计算设备执行的虚拟机或任何其它类型和形式的设备。类似地,器具130可以“托管”通信、服务器或会话,并且主机120可以是客户端设备。因而,取决于拓扑和会话,设备110、120和130一般可以被认为是“计算设备”并且可以履行主机、客户端、服务器或中介的各种角色。
设备110可以在主机120和器具130之间来回路由数据分组。在这样做时,设备110可以应用策略并对IP流量执行检查,以检测和/或阻止恶意活动。图100图示了设备110可以如何实现入侵辐射保护的若干示例。在第一示例中,主机120可以经由设备110向器具130发送携带有效负载145的IP分组140。设备110可以根据预定策略接收并分类IP分组140。依赖于IP分组140的分类,设备110可以检查IP分组140和有效载荷145;例如,IP分组140和有效载荷145的源、目的地和格式。如果设备110确定IP分组140和有效载荷145的相关特性是正确的,那么它可以将它们发送到器具130。
在第二示例中,设备110可以从主机120接收IP分组150和有效载荷155。设备可以根据预定策略接收并分类IP分组150。然后,设备110可以响应于分类而检查IP分组150和有效载荷155。如果设备110确定IP分组150或有效载荷155的特性不正确,那么它可以标记IP分组155。标记可以将IP分组150标识为可疑并且可能指示恶意网络活动。然后,设备110可以在将IP分组150发送到其目的地之前记录IP分组150。
在第三示例中,设备110可以从主机120接收IP分组160和有效载荷165。设备可以根据预定策略来接收和分类IP分组160。然后,设备110可以响应于分类而检查IP分组160和有效载荷165。如果设备110确定IP分组160或有效载荷165的特性不正确,那么它可以标记IP分组160。标记可以将IP分组160标识为可疑并且可能指示恶意网络活动。然后,设备110可以阻止或丢弃IP分组150而不是将其发送到其目的地。
在第四示例中,设备110可以从主机120接收IP分组170和有效载荷175。设备可以根据预定策略来接收和分类IP分组170。然后,设备110可以响应于分类而检查IP分组170和有效载荷175。如果设备110确定IP分组170或有效载荷175的特性不正确,那么它可以标记IP分组170。标记可以将IP分组170标识为可疑并且可能指示恶意网络活动。在这个示例中,设备110可以确定有效载荷175在某种程度上是不正确的;例如,设备110可以确定有效载荷175包含对于IP分组170的协议或目的不正确的数据。设备110可以响应于确定有效载荷175不正确而用新的有效载荷180替换有效载荷175。新的有效载荷180可以是空有效载荷(例如,具有全零的字段)、算法确定的有效载荷、随机或伪随机有效载荷或预定有效载荷。在一些实现中,新的有效载荷180可以是有效载荷175的一部分,诸如截短的有效载荷(例如,有效载荷175的前16位,或者任何其它这样的量)。通过将有效载荷截短到预期长度,这种实现在溢出攻击(例如,具有被包括在查询字符串中的附加不正确数据的长DNS查询)的情况下可以是有用的。设备110可以用关于有效载荷替换的数据来记录IP分组170。设备110可以将携带新的有效负载180的IP分组170发送到器具130。当设备110以IP分组185的形式从器具130接收到对IP分组170的响应时,设备110可以用原始有效载荷175替换IP分组185的有效载荷180。设备110可以再次记录响应IP分组185,并将IP分组185发送到主机。
图2是根据一个实现的用于入侵辐射保护的设备210的实现的框图。设备210可以类似于图1中描述的设备110,并且可以包括交换机、路由器、服务器、器具或任何其它联网的计算设备。设备210可以经由网络205与主机220和器具230通信。虽然示为与主机220和器具230分开部署,但是在一些实现中,设备210可以被部署为主机220和器具230之间的中介(例如,在网络205以及一个或多个器具230之间,诸如当被部署为用于服务器云的网关或负载平衡器时)。设备可以包括处理器235、接口240、分组分类器245、上下文建立器250、分组处理机255和存储器260。虽然在图2中被示为单独的功能模块,但是在一些实现中,模块中的两个或更多个的功能性可以组合成一个或多个更大更全面的模块。
处理器235可以是适于执行本文描述的操作的任何单核或多核单元。处理器235可以是关于图5B或5C中的CPU 521描述的类型。处理器235可以与分组分类器245、上下文建立器250、分组处理机255和存储器260通信。处理器235可以与接口240通信,以经由网络205向系统中的主机220和器具230发送数据以及从其接收数据。
接口240可以将处理器235与网络205连接,并且向网络205发送数据以及从网络205接收数据。接口240可以向主机220和器具230传输数据以及传输来自主机220和器具230的数据。虽然设备210在这里被示为通过单个网络205与主机220和器具230通信,但是设备210可以是在网络的两个不同区之间或在两个不同网络(诸如受保护网络和不受保护网络)之间发送流量的边缘设备。因此,在一些实现中,接口240可以连接到两个或更多个网络或网络区。在一些实现中,接口240可以包括通过单个网络或多个网络进行通信的多个网络适配器。
分组分类器245可以对如在设备210处接收到的、属于从不同网络发送并路由到不同网络的不同数据服务和数据流的IP分组进行分类。分组分类器245可以根据预定策略基于协议(例如,域名系统(DNS)、互联网控制消息协议(ICMP)、网络时间协议(NTP)和简单网络时间协议(SNTP))以及IP分组的尺寸来分类IP分组。如果IP分组属于某种协议并且对于给定协议大于某个尺寸,那么分组分类器245可以将IP分组分类为保证(warrant)深度分组检查。小的DNS分组可能是正常网络流量的一部分,而异常大的DNS分组可以是数据的恶意漏入或漏出的载体(vector)。例如,IP分组分类器245可以将具有128字节尺寸的DNS分组分类为不保证检查,同时将具有1千字节或更大的尺寸的DNS分组分类为保证检查。分组分类器245可以针对每个感兴趣的协议对分组尺寸应用具有预定阈值的策略。分组分类器245可以应用基于观察到的网络流量模式来调整阈值分组尺寸的自适应策略。对于每个网络协议,阈值分组尺寸可以不同。
上下文建立器250可以建立流和服务上下文,以处理上下文范例内的分类流量。上下文建立器250可以使用深度分组检查来识别IP分组中的上下文。可识别的上下文包括分组属性,诸如源IP、目的地IP和格式。上下文建立器250可以识别IP分组的源IP并确定它是否正确。例如,数据库服务器可以不可能发出DNS请求。类似地,网络区之外的计算机可以不可能向网络区内的服务器发出NTP请求。上下文建立器250可以识别IP分组的目的地IP并确定它是否正确。例如,上下文建立器250可以识别何时向不执行DNS解析的服务器发送DNS请求。上下文建立器250可以识别IP分组的格式并确定它是否正确。例如,上下文建立器250可以验证SNTP分组的有效载荷符合SNTP协议。
上下文建立器250可以识别特定于每个协议的附加属性。例如,对于ICMP分组,上下文建立器250可以分析ICMP代码、ICMP类型和消息长度。对于DNS分组,上下文建立器250可以分析请求或响应的尺寸,它是否符合已知好或已知坏签名的列表,以及分组有效载荷的格式。对于NTP和SNTP分组,上下文建立器250可以分析分组的消息类型、命令和字段,诸如层次值和根延迟值。
上下文建立器250可以识别随时间变化的趋势和相关性。例如,上下文建立器250可以识别ICMP响应是被请求的还是主动提供的,以及接收到的ICMP消息的比率是否指示可疑活动。对于DNS分组,上下文建立器250可以监视主机名的熵、每个IP地址的DNS流量的量、每个域的DNS流量的量以及不存在的域响应的量。对于NTP和SNTP分组,上下文建立器250可以分析分组的字段(诸如层次值和根延迟值),并且从各个主机220或器具230确定它们是否随时间变化,这可以指示可疑活动。
分组处理机255可以对由分类器分类并且在分组内容的上下文内的分组执行预定义的动作。这种动作可以包括允许分组、忽略或丢弃分组、记录分组、保存分组的拷贝以及选择性地修改分组。分组处理机255可以以若干方式选择性地修改分组。例如,分组处理机255可以截短有效载荷;用空数据、预定数据或算法确定的数据替换有效载荷;或者移除有效载荷。分组处理机255可以对相关分组执行相关操作。例如,分组处理机255可以移除或替换从主机220行进到器具230的请求分组的有效载荷,然后恢复从器具230行进到主机220的后续响应分组的原始有效载荷。
存储器260可以包括任何非瞬态、易失性或非易失性存储器元件或设备。存储器260可以包括图5B和5C中描述的存储器元件中的任何一个或全部,诸如主存储器522、存储装置528和高速缓存540。存储器260可以存储处理器可执行的指令,用于执行本文描述的操作。存储器260可以存储用于执行这些操作的附加数据,诸如分组签名,以及用于分类和修改分组的阈值、参数以及规则和策略。存储器260可以存储与标记的分组、阻止的分组和修改的分组相关的日志信息。存储器260还可以存储相关分组的状态信息,诸如请求/响应对。
尽管在上面作为物理设备示出并进行讨论,但是在许多实现中,设备210可以是由物理机器的管理程序执行的虚拟设备或虚拟机。在其它实现中,设备210可以在多个设备(例如,器具集群)之间划分,并且因此可以将所示部件中的一个或多个包括在多个物理设备中。
图3是根据一个实现的入侵辐射保护方法300的流程图。用户定义的策略可以被配置到分类层次结构(诸如决策树)中;即,层次结构的顶层的较通用的策略和层次结构的叶子处的较具体的策略。分类逻辑可以基于分组属性(诸如源IP、目的地IP、协议类型、分组长度,等等)。方法300可以由诸如图1中描述的设备110或图2中描述的设备210之类的设备实现。方法300可以包括三个级别的分类层次结构:白名单和黑名单处理305、全局和默认安全性策略310以及器具处理315。在层次结构的每个级别内,存在适合于那个分类级别的各个策略。
白名单和黑名单处理305是层次结构分类的第一级。白名单和黑名单处理305可以应用分组流量的特定于区的分类和控制。设备可以接收IP分组(步骤320)。设备可以识别安全策略一般是否允许来自IP分组源起的区(即,出现在白名单中的区)的流量(步骤330)。白名单可以包括用于存储一个或多个IP地址或地址范围的列表、表、数组、平面文件、数据库或任何其它类型和形式的数据结构,并且可以存储在设备的存储器中。在一些实现中,白名单可以由系统的管理员填充。在许多实现中,白名单可以包括用于地址的一部分的通配符。设备可以将来自出现在白名单中的区的任何IP分组转发到其目的地(步骤335)。设备可以识别安全策略一般是否阻止来自IP分组源起的区(即,出现在黑名单中的区)的流量(步骤340)。黑名单可以类似地包括用于存储一个或多个IP地址或地址范围的列表、表、数组、平面文件、数据库或任何其它类型和形式的数据结构,并且可以存储在设备的存储器中。在一些实现中,黑名单可以由系统的管理员填充,而在其它实现中,黑名单可以由设备自动填充,诸如响应于检测到匹配检测策略的分组(例如,不正确的查询或包括可疑或恶意有效载荷)。在许多实现中,黑名单可以包括用于地址的一部分的通配符。白名单和黑名单处理305可以在粒度、主机级别应用白名单和黑名单。例如,来自区的流量一般可以被允许,而黑名单可以指示来自区内的一个或多个特定主机的流量应当被阻止。类似地,来自区的流量一般可以被阻止,而白名单可以指示来自区内的一个或多个特定主机的流量应当被允许。设备可以记录、阻止和/或丢弃来自黑名单中出现的区的任何IP分组(步骤345)。设备可以将来自在白名单或黑名单中都不出现的区的任何IP分组进行转发,直到下一级别的分类。
全局和默认安全性策略310是层次结构分类的第二级。全局和默认安全性策略310可以基于白名单和黑名单来处理来自一般不被允许或阻止的区的IP分组。全局默认安全性策略310可以根据分类层次结构按以下顺序处理IP分组:全局规则(步骤350)、用户定义的访问控制列表(ACL)(步骤355)、安全性区策略(步骤360)和默认防火墙(FW)策略(步骤365)。在其它实现中,规则和策略可以按其它顺序应用。如果设备确定IP分组与分类层次结构中的任何分类逻辑匹配,那么可以采取配置的动作,并停止对那个分类层次结构中的分组的进一步处理。如果设备确定IP分组被标识为丢弃,那么设备将在出口中丢弃它(步骤345)。如果用于分组的动作是在那个分类层次结构中允许它,那么设备可以转发该分组。在一些实现中,分组可以不匹配安全性策略分类层次结构310内的允许或丢弃规则,和/或可以匹配需要进一步检查或处理分组的规则(诸如深度分组检查、解密或由一个或多个器具执行的其它特征)。策略规则可以识别分组应当被转发到的器具(其可以是单个设备内的虚拟器具或模块)以便在层次结构级别315处进一步处理。
器具处理315是层次结构系统的第三级。在器具处理315中,设备可以基于一个或多个转发、处理或检查规则将IP分组发送到适当的器具以用于进一步处理。一旦处理完毕,器具就可以转发或丢弃分组,如上面所讨论的。
通过适当的入侵辐射保护,可以不断地监视网络流量。因此可以防止入侵者通过支持的网络协议驮运或隧穿数据。通过在系统中激活入侵辐射保护:
·管理员可以对网络流量强制执行明确定义的安全性简档,以便对流量的转发提供较好的控制;
·基于所应用的配置,系统可以生成日志和警告,以通知管理员异常情况;
·管理员可以借助于由系统维护的性能监视统计信息来识别探测器、攻击、漏洞(exploit)和其它弱点;以及
·管理员可以使用由系统维护的日志来分析离线入侵尝试。
图4A是根据一个实现的入侵辐射保护的方法400的流程图。方法400可以检测安全网络中的恶意IP流量。方法400可以包括在第一网络区的设备处接收IP分组(步骤402)。方法400可以包括由设备的处理器确定IP分组的协议与多个预定策略中的预定策略匹配(步骤404)。方法400可以包括,如果IP分组不匹配多个预定策略中的一个,那么将该IP分组发送到其最终目的地(步骤406)。方法400可以包括由处理器响应于确定IP分组与预定策略匹配而对IP分组进行分类(步骤408)。方法400可以包括将IP分组分类为预定策略中的一个;例如策略A(步骤410)、策略B(步骤418)或策略C(步骤424)。方法400可以包括由处理器响应于分类并根据预定策略而检查IP分组的有效载荷(步骤412、420和426)。方法400可以包括由处理器基于分类和预定策略来确定源、目的地或格式中的一个不正确(步骤414、422和428)。方法400可以包括由处理器基于该确定将IP分组标记为可疑(步骤416)。
方法400可以包括在第一网络区的设备处接收IP分组(步骤402)。方法400可以由诸如图1中描述的设备110或图2中描述的设备210之类的设备来实现。设备可以是两个网络区(诸如区A 115或区B 125)之间的边缘设备,如图1中描述的。设备可以是安全网络和不受保护的网络之间的边缘设备。设备可以从主机(诸如主机120或220)接收IP分组,并且IP分组可以以器具(诸如器具130或230)为目的地,如图1和2中描述的。
方法400可以包括由设备的处理器确定IP分组的协议与多个预定策略中的预定策略匹配(步骤404)。例如,设备的安全性设置可以适当地具有针对DNS、ICMP、NTP、SNTP等等协议的分组的预定策略。方法400可以确定在步骤402中接收到的IP分组与这些预定策略中的一个匹配。
方法400可以包括由处理器对IP分组进行分类(步骤408)。方法400可以包括将IP分组分类到预定策略中的一个;例如,策略A(步骤410)、策略B(步骤418)或策略C(步骤424)。如果IP分组大于由匹配该IP分组的预定策略规定的尺寸阈值,那么方法400可以将IP分组分类为保证深度分组检查。低于尺寸阈值的IP分组可以被假设为几乎没有恶意数据漏入或漏出的风险。大于尺寸阈值的IP分组可以被进一步检查,以查找恶意活动的证据。例如,策略A可以适用于DNS分组并且可以具有256字节的尺寸阈值,策略B可以适用于ICMP分组并且具有128字节的尺寸阈值。策略C可以适用于NTP和SNTP分组并且具有64字节的尺寸阈值。根据网络条件和预期的分组尺寸,可以将每个尺寸阈值设置为较高或较低。如果IP分组的尺寸没有超过用于预定策略的尺寸阈值,那么设备可以将IP分组传递到其最终目的地。如果IP分组的尺寸超过用于预定策略的尺寸阈值,那么设备可以执行包括深度分组检查的IP分组的附加检查。
方法400可以包括由处理器响应于分类而检查IP分组的有效载荷(步骤412、420和426)。方法400可以包括由处理器基于分类来确定源、目的地或格式中的一个不正确(步骤414、422和428)。方法400可以使用深度分组检查来确定IP分组的源、目的地和格式。方法400可以根据用于那个IP分组的预定策略来验证源、目的地和格式中的每一个。
例如,如果IP分组是属于策略A的域名系统(DNS)分组,那么方法400可以检查分组(步骤412)并确定DNS分组的源、目的地和格式符合DNS协议(步骤414)。方法400可以确定源(即,作为DNS分组的源的主机)是正确地发出DNS请求或响应的源(诸如客户端计算设备或DNS服务器)。不正确的源字段(诸如不存在的地址或预期发出DNS请求的地址)可以指示恶意活动。类似地,方法400可以确定DNS分组目的地是正确接收DNS请求或响应的目的地。也可以对照日志检查目的地字段,以核实DNS响应分组与有效的请求对应。最后,可以检查DNS分组的格式,以确保所有字段与DNS协议正确对应。此外,可以检查DNS分组,以确保有效载荷不包括长于预定长度阈值的域名。长于某个长度的被查询的域名或回答域名可以指示为了漏出的目的而尝试将数据嵌入到DNS分组中。违反用于那个协议的给定策略的一个或多个参数的分组可以被标记为可疑(步骤416)。
如果IP分组是属于策略B的互联网控制消息协议(ICMP)分组,那么方法400可以检查分组(步骤420)并确定ICMP分组的源、目的地和格式符合ICMP协议(步骤422)。方法400可以确定作为ICMP分组的源的主机是正确发出ICMP消息或响应的主机。还可以对照日志来检查目的地字段,以核实ICMP响应分组与有效的请求对应。类似地,方法400可以确定ICMP分组目的地是正确接收ICMP消息或响应的目的地。可以检查ICMP分组的格式,以确保所有字段与ICMP协议正确对应。此外,可以检查ICMP分组,以确保有效载荷不包括具有长于预定长度阈值的长度的消息。长于某个长度的消息可以指示为了漏出的目的而尝试将数据嵌入ICMP分组中。违反用于那个协议的给定策略的一个或多个参数的分组可以被标记为可疑(步骤416)。
如果IP分组是属于策略C的网络时间协议(NTP)或简单网络时间协议(SNTP)分组中的一个,那么方法400可以检查分组(步骤420)并确定IP分组的所有字段符合NTP或SNTP协议(步骤428)。此外,方法400可以检查IP分组的字段中的一个或多个,诸如层次值或根延迟值。使用这些值检测可能的恶意活动可以要求关于发送分组的主机的较多信息。例如,在没有网络重新配置的情况下检测到的、一个或多个字段从先前值或预期值的改变可以指示恶意行为。
方法400可以包括由处理器基于确定IP分组的特征不正确来将IP分组标记为可疑(步骤416)。如果方法400在步骤414、422或428中的一个中确定IP分组的特征不正确,那么它可以将IP分组标记为可疑,并使其经受附加操作。例如,方法400可以记录或保存IP分组、丢弃或阻止IP分组,或两者兼有。方法400可以附加地对照现有日志来检查标记的IP分组,以确定它是否是例如没有对应请求的DNS响应或没有对应消息的ICMP回声。主动提供的响应和回声可以指示IP分组具有伪造的源或目的地,或具有有问题的来源。
图4B是根据一个实现的入侵辐射保护的方法400的流程图。图4B的方法401类似于图4A的方法400。方法401可以检测安全网络中的恶意IP流量。方法401可以包括在第一网络区的设备处接收IP分组(步骤440)。方法401可以包括由设备的处理器确定IP分组的协议与多个预定策略中的预定策略匹配(步骤442)。方法401可以包括,如果IP分组不匹配多个预定策略中的一个,那么将该IP分组发送到其最终目的地(步骤444)。方法401可以包括由处理器响应于确定IP分组与预定策略匹配而对IP分组进行分类(步骤446)。方法401可以包括将IP分组分类为预定策略中的一个;例如,策略A(步骤448)、策略B(步骤458)或策略C(步骤464)。方法401可以包括由处理器响应于分类而检查IP分组的有效载荷(步骤450、460和466)。方法401可以包括由处理器基于分类而确定源、目的地或格式中的一个不正确(步骤452、462和468)。方法401可以包括由处理器用第二有效载荷替换IP分组的有效载荷(步骤454)。方法401可以包括由处理器将IP分组发送到其目的地(步骤456)。步骤440至468类似于图4A中对应的步骤401至428。
方法401可以包括由处理器用第二有效载荷替换IP分组的有效载荷(步骤454)。如果方法401在步骤452、462或468中的一个中确定IP分组具有在可应用的预定策略下被认为不正确的特征,那么方法401可以在将IP分组传递到其目的地之前对IP分组执行附加操作。例如,方法401可以用或者用户定义的数据或者算法确定的数据替换有效载荷的全部或部分。新的有效载荷可以是空有效载荷(例如,具有全零的字段)、算法确定的有效载荷或预定的有效载荷。例如,如果IP分组是互联网控制消息协议(ICMP)分组,那么方法401可以用零覆写有效载荷的数据分段。设备可以记录IP分组以及关于有效载荷替换的信息。
方法401可以包括由处理器将IP分组发送到其目的地(步骤456)。在设备替换有效负载并记录IP分组的情况下,设备可以监视未来的响应,以检查接收方是否正确地响应。当设备接收到响应时,设备可以用原始有效负载替换响应IP分组的有效负载。设备可以将响应记录为与原始请求或消息对应,并将响应IP分组传递到其目的地。
因而,本文讨论的系统和方法提供防止入侵和数据辐射或漏出的各种实现。在第一方面,本公开针对用于防止来自安全网络的恶意数据漏出的方法。该方法可以包括在第一网络区的设备处接收第一IP分组。该方法可以包括由设备的处理器确定第一IP分组的第一协议和第一尺寸与多个预定策略中的预定策略匹配。该方法可以包括由处理器基于预定策略来检查第一IP分组的第一有效载荷,以识别第一IP分组的第一源、第一目的地和第一格式。该方法可以包括由处理器基于预定策略来确定第一源、第一目的地或第一格式中的一个是不正确的。该方法可以包括由处理器基于该确定将第一IP分组标记为可疑。该方法可以包括在设备处接收第二IP分组。该方法可以包括由处理器确定第二IP分组的第二协议和第二尺寸与预定策略匹配。该方法可以包括由处理器基于预定策略来检查第二IP分组的第二有效载荷,以识别第二IP分组的第二源、第二目的地和第二格式。该方法可以包括由处理器基于预定策略确定第二源、第二目的地和第二格式中的每一个是正确的。该方法可以包括由处理器基于该确定来发送第二IP分组。
在该方法的一些实现中,第一网络区可以位于安全网络中,并且设备是安全网络的边缘设备。在该方法的一些实现中,第一IP分组可以是域名系统(DNS)分组,并且确定第一目的地不正确可以包括确定DNS分组是主动提供的DNS响应。在该方法的一些实现中,第一IP分组可以是域名系统(DNS)分组,并且确定第一格式不正确可以包括确定第一有效载荷包括长于预定名称长度阈值的域名。
在该方法的一些实现中,第一IP分组可以是互联网控制消息协议(ICMP)分组,并且确定第一目的地不正确可以包括确定ICMP分组是主动提供的ICMP响应。在该方法的一些实现中,第一IP分组可以是互联网控制消息协议(ICMP)分组,并且确定第一格式不正确可以包括确定第一有效载荷包括比预定消息长度长的消息。
在该方法的一些实现中,第一IP分组可以是网络时间协议(NTP)或简单网络时间协议(SNTP)分组中的一个,并且该方法还可以包括检查第一IP分组的层次值和根延迟值。在该方法的一些实现中,第一IP分组是网络时间协议(NTP)或简单网络时间协议(SNTP)分组中的一个,并且确定第一格式不正确可以包括确定第一格式不符合NTP或SNTP协议。
在该方法的一些实现中,该方法可以包括响应于第一IP分组被标记为可疑而记录或丢弃第一IP分组。该方法还可以包括响应于将第一IP分组标记为可疑而修改第一IP分组的有效载荷。
在第二方面,本公开针对用于防止来自安全网络的恶意数据漏出的方法。该方法可以包括在第一网络区的设备处接收第一IP分组。该方法可以包括由设备的处理器确定第一IP分组的第一协议和第一尺寸与多个预定策略中的预定策略匹配。该方法可以包括由处理器基于预定策略来检查第一IP分组的第一有效载荷以识别第一IP分组的第一源、第一目的地和第一格式。该方法可以包括由处理器基于预定策略来确定第一源、第一目的地或第一格式中的一个是不正确的。该方法可以包括由处理器响应于该确定而用第二有效载荷替换第一有效载荷。该方法可以包括由设备将第一IP分组发送到第一目的地。该方法可以包括在设备处接收第二IP分组。该方法可以包括由处理器确定第二IP分组的第二协议和第二尺寸与预定策略匹配。该方法可以包括由处理器基于预定策略来检查第二IP分组的第三有效载荷以识别第二IP分组的第二源、第二目的地和第二格式。该方法可以包括由处理器基于预定策略来确定第二源、第二目的地和第二格式中的每一个是正确的。该方法可以包括由处理器基于该确定来发送第二IP分组。
在一些实现中,处理器可以通过识别第一IP分组内的协议层并应用算法来生成第二有效载荷。
在一些实现中,该方法可以包括由处理器确定ICMP分组是ICMP请求。该方法可以包括在设备处接收对ICMP请求的ICMP响应。该方法可以包括由处理器用第一有效载荷替换ICMP响应的有效载荷。该方法可以包括由设备将ICMP响应递送到第一源。
B.计算和网络环境
在讨论了本解决方案的具体实施例之后,描述操作环境的方面以及与本文描述的方法和系统相关的关联系统组件(例如,硬件元件)可能是有帮助的。
图5A是描绘包括与一个或多个设备或站通信的一个或多个设备的网络环境的实施例的框图。简而言之,网络环境包括无线通信系统,该无线通信系统包括一个或多个接入点506、一个或多个无线通信设备502和网络硬件部件592。无线通信设备502可以例如包括膝上型计算机502、平板电脑502、个人计算机502和/或蜂窝电话设备502。参考图5B和图5C更详细地描述每个无线通信设备和/或接入点的实施例的细节。网络环境可以是自组织网络环境、基础设施无线网络环境、子网环境等等。
接入点(AP)506可以经由局域网连接可操作地耦合到网络硬件592。可以包括路由器、网关、交换机、桥接器(bridge)、调制解调器、系统控制器、器具等的网络硬件592可以为通信系统提供局域网连接。接入点506中的每一个可以具有相关联的天线或天线阵列以便与其区域中的无线通信设备502通信。无线通信设备502可以向特定接入点506注册以从通信系统接收服务(例如,经由SU-MIMO或MU-MIMO配置)。对于直接连接(例如,点对点通信),一些无线通信设备502可以经由分配的信道和通信协议直接通信。无线通信设备502中的一些可以相对于接入点506是移动的或相对静态的。
在一些实施例中,接入点506包括允许无线通信设备502使用Wi-Fi或其它标准连接到有线网络的设备或模块(包括硬件和软件的组合)。接入点506有时可以被称为无线接入点(WAP)。接入点506可以被配置、设计和/或构建为用于在无线局域网(WLAN)中操作。在一些实施例中,接入点506可以作为独立设备(例如,经由有线网络)连接到路由器。在其它实施例中,接入点可以是路由器的部件。接入点506可以向多个设备502提供对网络的接入。接入点506可以例如连接到有线以太网连接并且使用射频链路为其它设备502提供无线连接以利用该有线连接。接入点506可以被构建和/或配置为支持用于使用一个或多个射频发送和接收数据的标准。这些标准及其使用的频率可以由IEEE(例如,IEEE 802.11标准)定义。接入点可以被配置为和/或被使用以支持公共互联网热点,和/或在内部网络上以扩展网络的Wi-Fi信号范围。
在一些实施例中,接入点506可以用于(例如,家庭内或建筑物内)无线网络(例如,IEEE 802.11、蓝牙、ZigBee、任何其它类型的基于射频的网络协议和/或其变体)。无线通信设备502中的每一个可以包括内置无线电装置和/或耦合到无线电装置。这样的无线通信设备502和/或接入点506可以根据如本文所呈现的本公开的各个方面来操作,以增强性能、降低成本和/或尺寸、和/或增强宽带应用。每个无线通信设备502可以具有用作寻求经由一个或多个接入点506访问资源(例如,数据以及到诸如服务器的联网节点的连接)的客户端节点的能力。
网络连接可以包括任何类型和/或形式的网络,并且可以包括以下中的任何一种:点对点网络、广播网络、电信网络、数据通信网络、计算机网络。网络的拓扑结构可以是总线、星形或环形网络拓扑结构。网络可以具有如本领域普通技术人员已知的能够支持本文描述的操作的任何这样的网络拓扑结构。在一些实施例中,不同类型的数据可以经由不同的协议发送。在其它实施例中,相同类型的数据可以经由不同的协议发送。
图5B和5C是描绘结合本文描述的方法和系统有用的计算设备的实施例的框图。(一个或多个)通信设备502和(一个或多个)接入点506可以被部署为任何类型和形式的计算设备和/或在任何类型和形式的计算设备上执行,诸如能够在任何类型和形式的网络上通信并执行本文描述的操作的计算机、网络设备或器具。图5B和图5C描绘了对实践无线通信设备502或接入点506的实施例有用的计算设备500的框图。如图5B和图5C所示,每个计算设备500包括中央处理单元521和主存储器单元522。如图5B所示,计算设备500可以包括存储设备528、安装设备516、网络接口518、I/O控制器523、显示设备524a-524n、键盘526和定位设备527,诸如鼠标。存储设备528可以包括但不限于操作系统和/或软件。如图5C所示,每个计算设备500还可以包括附加的可选元件,诸如存储器端口503、桥接器(bridge)570、一个或多个输入/输出设备530a-530n(通常使用附图标记530表示)以及与中央处理单元521通信的高速缓存存储器540。
中央处理单元521是响应并处理从主存储器单元522获取的指令的任何逻辑电路系统。在许多实施例中,中央处理单元521由微处理器单元提供,诸如:由加利福尼亚州Mountain View的英特尔公司制造的那些微处理器单元;由纽约White Plains的国际商用机器公司制造的那些微处理器单元;或由加利福尼亚州Sunnyvale的Advanced MicroDevices公司制造的那些微处理器单元。计算设备500可以基于这些处理器中的任何一种,或者能够如本文所述进行操作的任何其它处理器。
主存储器单元522可以是能够存储数据并允许微处理器521直接访问任何存储位置的一个或多个存储器芯片,诸如任何类型或变体的静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、铁电式RAM(FRAM)、NAND闪存、NOR闪存和固态驱动器(SSD)。主存储器522可以基于任何上述存储器芯片或能够如本文所述操作的任何其它可用存储器芯片。在图5B所示的实施例中,处理器521经由系统总线550与主存储器522通信(在下面更详细地描述)。图5C描绘其中处理器经由存储器端口503与主存储器522直接通信的计算设备500的实施例。例如,在图5C中,主存储器522可以是DRDRAM。
图5C描绘了其中主处理器521经由二级总线(有时称为背部(backside)总线)与高速缓存存储器540直接通信的实施例。在其它实施例中,主处理器521使用系统总线550与高速缓存存储器540通信。高速缓存存储器540通常具有比主存储器522快的响应时间并且由例如SRAM、BSRAM或EDRAM提供。在图5C所示的实施例中,处理器521经由本地系统总线550与各种I/O设备530通信。可以使用各种总线将中央处理单元521连接到任何I/O设备530,例如,VESA VL总线、ISA总线、EISA总线、微通道体系架构(MCA)总线、PCI总线、PCI-X总线、PCI快速(PCI-Express)总线或NuBus。对于其中I/O设备是视频显示器524的实施例,处理器521可以使用高级图形端口(AGP)来与显示器524通信。图5C描绘了其中主处理器521可以例如经由HYPERTRANSPORT、RAPIDIO或INFINIBAND通信技术与I/O设备530b直接通信的计算机500的实施例。图5C还描绘了其中混合本地总线和直接通信的实施例:处理器521使用本地互连总线与I/O设备530a通信,而与I/O设备530b直接通信。
各种I/O设备530a-530n可以存在于计算设备500中。输入设备包括键盘、鼠标、轨迹板、轨迹球、麦克风、拨号盘、触摸板、触摸屏和绘图板。输出设备包括视频显示器、扬声器、喷墨打印机、激光打印机、投影仪和热升华(dye-sublimation)打印机。如图5B所示,I/O设备可以由I/O控制器523控制。I/O控制器可以控制一个或多个I/O设备,诸如键盘526和定位设备527,例如,鼠标或光学笔。此外,I/O设备还可以为计算设备500提供存储和/或安装介质516。在还有的其它实施例中,计算设备500可以提供USB连接(未示出)以容纳手持式USB存储设备,诸如由加利福尼亚州Los Alamitos的Twintech工业公司制造的USB闪存驱动器系列设备。
再次参考图5B,计算设备500可以支持任何合适的安装设备516,诸如盘驱动器、CD-ROM驱动器、CD-R/RW驱动器、DVD-ROM驱动器、闪存存储器驱动器、各种格式的带驱动器、USB设备、硬盘驱动器、网络接口或适用于安装软件和程序的任何其它设备。计算设备500还可以包括存储设备,诸如一个或多个硬盘驱动器或独立盘的冗余阵列,用于存储操作系统和其它相关软件,以及用于存储应用软件程序,诸如用于实现(例如,配置和/或设计用于)本文描述的系统和方法的任何程序或软件520。可选地,任何安装设备516也可以用作存储设备。此外,操作系统和软件可以从可引导介质运行。
此外,计算设备500可以包括网络接口518,以通过各种连接与网络504接口,各种连接包括但不限于标准电话线、LAN或WAN链路(例如,802.11、T1、T3、56kb、X.25、SNA、DECNET)、宽带连接(例如,ISDN、帧中继、ATM、千兆以太网、SONET上的以太网)、无线连接或以上的任何一种或全部的一些组合。可以使用各种通信协议(例如,TCP/IP、IPX、SPX、NetBIOS、以太网、ARCNET、SONET、SDH、光纤分布式数据接口(FDDI)、RS232、IEEE 802.11、IEEE 802.11a、IEEE 802.11b、IEEE 802.11g、IEEE 802.11n、IEEE 802.11ac、IEEE802.11ad、CDMA、GSM、WiMax和直接异步连接)来建立连接。在一个实施例中,计算设备500经由任何类型和/或形式的网关或隧道协议(诸如安全套接字层(SSL)或传输层安全性(TLS))与其它计算设备500'通信。网络接口518可以包括内置网络适配器、网络接口卡、PCMCIA网卡、卡总线网络适配器、无线网络适配器、USB网络适配器、调制解调器或适用于将计算设备500与能够通信和执行本文所述的操作的任何类型的网络接口的任何其它设备。
在一些实施例中,计算设备500可以包括或被连接到一个或多个显示设备524a-524n。由此,I/O设备530a-530n和/或I/O控制器523中的任何一个可以包括任何类型和/或形式的合适的硬件、软件或硬件和软件的组合,以支持、启用或提供由计算设备500连接和使用(一个或多个)显示设备524a-524n。例如,计算设备500可以包括任何类型和/或形式的视频适配器、视频卡、驱动器和/或库,以与(一个或多个)显示设备524a-524n接口、通信、连接或以其它方式使用它们。在一个实施例中,视频适配器可以包括多个连接器,以与(一个或多个)显示设备524a-524n接口。在其它实施例中,计算设备500可以包括多个视频适配器,其中每个视频适配器连接到(一个或多个)显示设备524a-524n。在一些实施例中,计算设备500的操作系统的任何部分可以被配置为使用多个显示器524a-524n。本领域普通技术人员将认识到和领会计算设备500可以被配置为具有一个或多个显示设备524a-524n的各种方式和实施例。
在还有的实施例中,I/O设备530可以是系统总线550和外部通信总线之间的桥接器,外部总线诸如USB总线、Apple桌面总线、RS-232串行连接、SCSI总线、火线(FireWire)总线、火线800(FireWire 800)总线、以太网总线、AppleTalk总线、千兆以太网总线、异步传输模式总线、光纤信道(FibreChannel)总线、串行附连小型计算机系统接口总线、USB连接或HDMI总线。
图5B和图5C中描绘的那种计算设备500可以在操作系统的控制下操作,操作系统控制任务的调度和对系统资源的访问。计算设备500可以运行任何操作系统,诸如MICROSOFT WINDOWS操作系统的任何版本、Unix和Linux操作系统的不同版本、用于Macintosh计算机的MAC OS的任何版本、任何嵌入式操作系统、任何实时操作系统、任何开源操作系统、任何专有操作系统、用于移动计算设备的任何操作系统、或者能够在计算设备上运行并且执行本文描述的操作的任何其它操作系统。典型的操作系统包括但不限于:谷歌公司生产的Android;由华盛顿州Redmond的微软公司生产的WINDOWS 7和8;由加利福尼亚州Cupertino的苹果计算机公司生产的MAC OS;由Research In Motion(RIM)生产的WebOS;由纽约Armonk的国际商业机器公司生产的OS/2;以及由犹他州盐湖城Caldera公司分销的免费操作系统Linux、或任何类型和/或形式的Unix操作系统等等。
计算机系统500可以是任何工作站、电话、台式计算机、膝上型或笔记本计算机、服务器、手持式计算机、移动电话或其它便携式电信设备、媒体播放设备、游戏系统、移动计算设备或任何其它类型和/或形式的能够通信的计算、电信或媒体设备。计算机系统500具有足够的处理器能力和存储器容量来执行本文所述的操作。
在一些实施例中,计算设备500可以具有不同的处理器、操作系统和与设备一致的输入设备。例如,在一个实施例中,计算设备500是智能电话、移动设备、平板电脑或个人数字助理。在还有的其它实施例中,计算设备500是基于Android的移动设备、由加利福尼亚州Cupertino的苹果计算机公司制造的iPhone智能电话、或Blackberry或基于WebOS的手持式设备或智能电话,诸如由Research In Motion有限公司制造的设备。此外,计算设备500可以是任何工作站、台式计算机、膝上型或笔记本计算机、服务器、手持式计算机、移动电话、任何其它计算机、或能够通信并且具有足够处理器能力和存储器容量来执行本文所述的操作的其它形式的计算或电信设备。
虽然本公开可以引用一个或多个“用户”,但是这样的“用户”可以指例如与多用户多输入和多输出(MU-MIMO)环境的上下文中通常使用的术语“用户”和“多用户”一致的用户相关联的设备或站(STA)。
虽然以上描述的通信系统的示例可以包括根据802.11标准操作的设备和AP,但是应当理解的是,所描述的系统和方法的实施例可以根据其它标准来操作并且使用除被配置为设备和AP的设备之外的其它无线通信设备。例如,与蜂窝网络、卫星通信、车辆通信网络以及其它非802.11无线网络相关联的多单元通信接口可以利用本文描述的系统和方法来实现改进的总体容量和/或链路质量,而不脱离本文描述的系统和方法的范围。
应当注意的是,为了彼此或与其它进行识别或区分的目的,本公开的某些段落可能引用了与设备、操作的模式、传输链、天线等相关的术语,诸如“第一”和“第二”。这些术语并非旨在仅仅将实体(例如,第一设备和第二设备)在时间上或根据序列相关,但是在一些情况下,这些实体可以包括这样的关系。这些术语也不限制可以在系统或环境内操作的可能实体(例如,设备)的数量。
应当理解的是,上述系统可以提供这些部件中的任何一个部件或每个部件的多个,并且这些部件可以在独立机器上或者在一些实施例中在分布式系统中的多个机器上提供。此外,上述系统和方法可以被提供为体现在一个或多个制造品上或其中的一个或多个计算机可读程序或可执行指令。制造品可以是软盘、硬盘、CD-ROM、闪存存储卡、PROM、RAM、ROM或磁带。通常,计算机可读程序可以用任何编程语言(诸如LISP、PERL、C、C++、C#、PROLOG)或用任何字节代码语言(诸如JAVA)来实现。软件程序或可执行指令可以作为目标代码存储在一个或多个制造品上或其中。
虽然前述对方法和系统的书面描述使得普通技术人员能够制作和使用目前被认为是其最佳模式的内容,但是普通技术人员将理解和意识到存在本文的具体实施例、方法和示例的变型、组合和等同物。因此,本发明的方法和系统不应该由上述实施例、方法和示例限制,而是由本公开的范围和精神内的所有实施例和方法限制。
Claims (13)
1.一种防止来自安全网络的恶意数据漏出的方法,包括:
在第一网络区的设备处接收第一互联网协议IP分组;
由第一网络区的设备的处理器确定第一IP分组的在网络层之上的第一协议和第一尺寸与多个预定策略中的预定策略匹配;
由处理器基于预定策略检查第一IP分组的第一有效载荷,以识别第一IP分组的第一源、第一目的地和第一格式;
由处理器基于预定策略来确定第一源、第一目的地或第一格式中的一个不正确;
由处理器响应于所述确定而用第二有效载荷替换第一有效载荷;
由设备将第一IP分组发送到第一目的地;
在设备处接收第二IP分组;
由处理器确定在所述设备处接收的第二IP分组的在网络层之上的第二协议和第二尺寸与预定策略匹配;
由处理器基于预定策略检查第二IP分组的第三有效载荷,以识别第二IP分组的第二源、第二目的地和第二格式;
由处理器基于预定策略确定第二源、第二目的地和第二格式中的每一个是正确的;
由处理器基于所述确定来发送第二IP分组。
2.如权利要求1所述的方法,其中第一网络区位于安全网络中,并且设备是该安全网络的边缘设备。
3.如权利要求1所述的方法,其中处理器通过识别第一IP分组内的不同层处的协议并应用算法来生成第二有效载荷。
4.如权利要求1所述的方法,其中第一IP分组是域名系统DNS分组,并且其中确定第一目的地不正确包括确定DNS分组是主动提供的DNS响应。
5.如权利要求1所述的方法,其中第一IP分组是域名系统DNS分组,并且其中确定第一格式不正确包括确定第一有效载荷包括长于预定名称长度阈值的域名。
6.如权利要求1所述的方法,其中第一IP分组是互联网控制消息协议ICMP分组,并且其中确定第一目的地不正确包括确定ICMP分组是主动提供的ICMP响应。
7.如权利要求1所述的方法,其中第一IP分组是互联网控制消息协议ICMP分组,并且其中确定第一格式不正确包括确定第一有效载荷包括长于预定消息长度的消息。
8.如权利要求7所述的方法,还包括:
由处理器确定ICMP分组是ICMP请求;
在设备处接收对ICMP请求的ICMP响应;
由处理器用第一有效载荷替换ICMP响应的有效载荷;以及
由设备将ICMP响应递送到第一源。
9.如权利要求1所述的方法,其中第一IP分组是网络时间协议NTP或简单网络时间协议SNTP分组中的一个,该方法还包括检查第一IP分组的层次值和根延迟值。
10.如权利要求1所述的方法,其中第一IP分组是网络时间协议NTP或简单网络时间协议SNTP分组中的一个,并且其中确定第一格式不正确包括确定第一格式不符合NTP或SNTP协议。
11.一种防止来自安全网络的恶意数据漏出的装置,包括用于执行根据权利要求1-10中任一项所述的方法的步骤的部件。
12.至少一种非瞬态计算机可读存储介质,其中存储有指令,在被一个或多个处理器执行时,所述指令使得所述一个或多个处理器执行根据权利要求1-10中任一项所述的方法。
13.一种计算设备,包括:
处理器;以及
存储器,其耦合到所述处理器并且其上存储有计算机可读指令,在被所述处理器执行时,所述计算机可读指令使得所述处理器执行根据权利要求1-10中任一项所述的方法。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201662276716P | 2016-01-08 | 2016-01-08 | |
US62/276,716 | 2016-01-08 | ||
PCT/US2017/012593 WO2017120512A1 (en) | 2016-01-08 | 2017-01-06 | Method and protection apparatus to prevent malicious information communication in ip networks by exploiting benign networking protocols |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108886515A CN108886515A (zh) | 2018-11-23 |
CN108886515B true CN108886515B (zh) | 2021-06-15 |
Family
ID=57882186
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201780005884.1A Active CN108886515B (zh) | 2016-01-08 | 2017-01-06 | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 |
Country Status (4)
Country | Link |
---|---|
US (2) | US10491611B2 (zh) |
EP (1) | EP3400694B1 (zh) |
CN (1) | CN108886515B (zh) |
WO (1) | WO2017120512A1 (zh) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10075458B2 (en) * | 2016-04-29 | 2018-09-11 | International Business Machines Corporation | Cognitive and contextual detection of malicious DNS |
US10574678B2 (en) | 2016-12-13 | 2020-02-25 | Forescout Technologies, Inc. | Name translation monitoring |
CN108429653B (zh) * | 2017-02-15 | 2022-05-10 | 西门子公司 | 一种测试方法、设备和系统 |
CN109804610B (zh) * | 2017-03-23 | 2022-05-13 | 柏思科技有限公司 | 限制具有网络功能的设备的数据流量传输的方法和系统 |
US10686833B2 (en) * | 2017-03-31 | 2020-06-16 | Samsung Electronics Co., Ltd. | System and method of detecting and countering denial-of-service (DoS) attacks on an NVMe-of-based computer storage array |
US10805352B2 (en) * | 2017-04-21 | 2020-10-13 | Netskope, Inc. | Reducing latency in security enforcement by a network security system (NSS) |
MX2019012686A (es) * | 2017-04-28 | 2019-12-11 | Opanga Networks Inc | Sistema y procedimiento de seguimiento de nombres de dominio con fines de administracion de red. |
US10673871B2 (en) | 2017-10-04 | 2020-06-02 | New Context Services, Inc. | Autonomous edge device for monitoring and threat detection |
US10693892B2 (en) * | 2017-12-11 | 2020-06-23 | International Business Machines Corporation | Network attack tainting and tracking |
US10693909B2 (en) * | 2018-01-19 | 2020-06-23 | International Business Machines Corporation | Securing an endpoint in a computer network |
GB2578268B (en) | 2018-01-29 | 2021-12-29 | Ge Aviat Systems Ltd | Configurable network switch for industrial control systems including deterministic networks |
US10868828B2 (en) * | 2018-03-19 | 2020-12-15 | Fortinet, Inc. | Mitigation of NTP amplification and reflection based DDoS attacks |
CN113348645B (zh) * | 2018-11-27 | 2024-02-27 | 萨瑟尔公司 | 数据流分类的系统和方法 |
GB2583112B (en) * | 2019-04-16 | 2023-02-01 | Cisco Tech Inc | Efficient protection for an IKEv2 device |
CN110620773B (zh) * | 2019-09-20 | 2023-02-10 | 深圳市信锐网科技术有限公司 | 一种tcp流量隔离方法、装置及相关组件 |
EP3799386A1 (en) * | 2019-09-26 | 2021-03-31 | SECURING SAM Ltd. | System and method for detecting and blocking malicious attacks on a network |
CN112995108B (zh) * | 2019-12-17 | 2023-03-10 | 恒为科技(上海)股份有限公司 | 一种网络数据还原系统 |
US11856022B2 (en) | 2020-01-27 | 2023-12-26 | Netskope, Inc. | Metadata-based detection and prevention of phishing attacks |
US11019022B1 (en) * | 2020-01-28 | 2021-05-25 | F5 Networks, Inc. | Processing packets with returnable values |
US11627111B2 (en) * | 2020-03-02 | 2023-04-11 | Cisco Technology, Inc. | Systems and methods for implementing universal targets in network traffic classification |
CN112511506A (zh) * | 2020-11-16 | 2021-03-16 | 北京天融信网络安全技术有限公司 | 控制消息的传输方法、装置和设备 |
US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
US11374838B1 (en) * | 2021-03-29 | 2022-06-28 | Mellanox Technologies, Ltd. | Using a data processing unit (DPU) as a pre-processor for graphics processing unit (GPU) based machine learning |
US11831605B2 (en) | 2021-03-29 | 2023-11-28 | Nokia Solutions And Networks Oy | Router firewall |
US20220321564A1 (en) * | 2021-04-02 | 2022-10-06 | Hewlett-Packard Development Company, L.P. | Resource payload communications |
US20240015139A1 (en) * | 2022-07-07 | 2024-01-11 | Fortinet, Inc. | Systems and methods for preventing data leaks over rtp or sip |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
CN101495993A (zh) * | 2006-08-08 | 2009-07-29 | 瑞科网信科技有限公司 | 用于分布式多重处理安全网关的系统和方法 |
CN101834864A (zh) * | 2010-04-30 | 2010-09-15 | 中兴通讯股份有限公司 | 一种三层虚拟专用网中攻击防范的方法及装置 |
CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
Family Cites Families (25)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20110214157A1 (en) | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US20030065943A1 (en) * | 2001-09-28 | 2003-04-03 | Christoph Geis | Method and apparatus for recognizing and reacting to denial of service attacks on a computerized network |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US20030196081A1 (en) * | 2002-04-11 | 2003-10-16 | Raymond Savarda | Methods, systems, and computer program products for processing a packet-object using multiple pipelined processing modules |
US7523501B2 (en) * | 2003-07-21 | 2009-04-21 | Trend Micro, Inc. | Adaptive computer worm filter and methods of use thereof |
US7467202B2 (en) * | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
JP5038887B2 (ja) * | 2004-04-15 | 2012-10-03 | クリアパス・ネットワークス・インコーポレーテッド | ネットワークを管理するシステムおよび方法 |
US7818795B1 (en) * | 2005-04-07 | 2010-10-19 | Marvell Israel (M.I.S.L) Ltd. | Per-port protection against denial-of-service and distributed denial-of-service attacks |
CN101399749B (zh) * | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
US8369233B2 (en) * | 2008-10-02 | 2013-02-05 | Endace Technology Limited | Lane synchronisation |
US20110247068A1 (en) * | 2010-03-31 | 2011-10-06 | Alcatel-Lucent Usa Inc. | Method And Apparatus For Enhanced Security In A Data Communications Network |
US9516058B2 (en) * | 2010-08-10 | 2016-12-06 | Damballa, Inc. | Method and system for determining whether domain names are legitimate or malicious |
US8875276B2 (en) * | 2011-09-02 | 2014-10-28 | Iota Computing, Inc. | Ultra-low power single-chip firewall security device, system and method |
CN102043917B (zh) * | 2010-12-07 | 2012-10-17 | 成都市华为赛门铁克科技有限公司 | 云系统分布式拒绝服务攻击防护方法以及装置和系统 |
US20120198541A1 (en) * | 2011-02-02 | 2012-08-02 | Reeves Randall E | Methods and apparatus for preventing network intrusion |
US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
KR20130014226A (ko) * | 2011-07-29 | 2013-02-07 | 한국전자통신연구원 | 공격 트래픽 형태별 특성에 따른 dns 플러딩 공격 탐지 방법 |
US20140157405A1 (en) | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
US9578141B2 (en) * | 2013-11-03 | 2017-02-21 | Ixia | Packet flow modification |
US20150124824A1 (en) * | 2013-11-05 | 2015-05-07 | Cisco Technology, Inc. | Incast drop cause telemetry |
US20150263966A1 (en) * | 2014-03-11 | 2015-09-17 | Anthony Blake | Methods and apparatus for cycle accurate time stamping at line rate throughput |
US9621689B2 (en) * | 2014-08-06 | 2017-04-11 | The United States Of America, As Represented By The Secretary Of The Navy | System and method for authenticating a network time protocol (NTP) |
US9813306B1 (en) * | 2014-12-16 | 2017-11-07 | Amazon Technologies, Inc. | Response rate limiting device |
US9894036B2 (en) * | 2015-11-17 | 2018-02-13 | Cyber Adapt, Inc. | Cyber threat attenuation using multi-source threat data analysis |
US9692784B1 (en) * | 2016-10-25 | 2017-06-27 | Fortress Cyber Security, LLC | Security appliance |
-
2017
- 2017-01-06 US US15/400,743 patent/US10491611B2/en active Active
- 2017-01-06 EP EP17701399.2A patent/EP3400694B1/en active Active
- 2017-01-06 CN CN201780005884.1A patent/CN108886515B/zh active Active
- 2017-01-06 WO PCT/US2017/012593 patent/WO2017120512A1/en unknown
-
2019
- 2019-11-25 US US16/694,039 patent/US11888865B2/en active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101495993A (zh) * | 2006-08-08 | 2009-07-29 | 瑞科网信科技有限公司 | 用于分布式多重处理安全网关的系统和方法 |
CN101286896A (zh) * | 2008-06-05 | 2008-10-15 | 上海交通大学 | 基于流的IPSec VPN协议深度检测方法 |
CN101834864A (zh) * | 2010-04-30 | 2010-09-15 | 中兴通讯股份有限公司 | 一种三层虚拟专用网中攻击防范的方法及装置 |
CN103840983A (zh) * | 2014-01-09 | 2014-06-04 | 中国科学技术大学苏州研究院 | 基于协议行为分析的web隧道检测方法 |
Also Published As
Publication number | Publication date |
---|---|
EP3400694A1 (en) | 2018-11-14 |
US20170201537A1 (en) | 2017-07-13 |
CN108886515A (zh) | 2018-11-23 |
US20200092312A1 (en) | 2020-03-19 |
WO2017120512A1 (en) | 2017-07-13 |
US11888865B2 (en) | 2024-01-30 |
US10491611B2 (en) | 2019-11-26 |
EP3400694B1 (en) | 2023-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108886515B (zh) | 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置 | |
US11057349B2 (en) | Cloud-based multi-function firewall and zero trust private virtual network | |
US10003608B2 (en) | Automated insider threat prevention | |
US11616761B2 (en) | Outbound/inbound lateral traffic punting based on process risk | |
US10542020B2 (en) | Home network intrusion detection and prevention system and method | |
US10855656B2 (en) | Fine-grained firewall policy enforcement using session app ID and endpoint process ID correlation | |
US9509628B2 (en) | Managing devices in a heterogeneouus network | |
US11063909B1 (en) | Methods and systems for efficient cyber protections of mobile devices | |
US11457025B2 (en) | Method and system for detecting and preventing data exfiltration attacks | |
US20220092087A1 (en) | Classification including correlation | |
US11799832B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
US20230289631A1 (en) | Multiple granularity classification | |
Steadman et al. | DNSxP: Enhancing data exfiltration protection through data plane programmability | |
Patel et al. | A Snort-based secure edge router for smart home | |
US20230283621A1 (en) | Systems, Methods, and Media for Distributed Network Monitoring Using Local Monitoring Devices | |
Wahid et al. | The Implementation of Wireshark and IPtables Firewall Collaboration to Improve Traffic Security on Network Systems | |
Kumar et al. | Recent advances in intrusion detection systems: An analytical evaluation and comparative study | |
US20230412630A1 (en) | Methods and systems for asset risk determination and utilization for threat mitigation | |
Rania et al. | SDWAN with IDPS Efficient Network Solution | |
US20230319075A1 (en) | Network access control from anywhere | |
SOON et al. | NEXT GENERATION SD-WAN WITH IDPS |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |