CN109479013B - 计算机网络中的业务的日志记录 - Google Patents
计算机网络中的业务的日志记录 Download PDFInfo
- Publication number
- CN109479013B CN109479013B CN201780032866.2A CN201780032866A CN109479013B CN 109479013 B CN109479013 B CN 109479013B CN 201780032866 A CN201780032866 A CN 201780032866A CN 109479013 B CN109479013 B CN 109479013B
- Authority
- CN
- China
- Prior art keywords
- memory
- communication
- network
- isolated
- transitory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 230000015654 memory Effects 0.000 claims abstract description 242
- 238000004891 communication Methods 0.000 claims abstract description 179
- 238000000034 method Methods 0.000 claims abstract description 44
- 238000004590 computer program Methods 0.000 claims abstract description 30
- 238000001914 filtration Methods 0.000 claims description 7
- 230000011218 segmentation Effects 0.000 claims description 5
- 238000012795 verification Methods 0.000 claims description 4
- 230000008569 process Effects 0.000 description 15
- 238000004458 analytical method Methods 0.000 description 9
- 238000010586 diagram Methods 0.000 description 6
- 238000012544 monitoring process Methods 0.000 description 6
- 101100388291 Arabidopsis thaliana DTX49 gene Proteins 0.000 description 5
- 101100388299 Arabidopsis thaliana DTX54 gene Proteins 0.000 description 5
- 101100294133 Arabidopsis thaliana NIC2 gene Proteins 0.000 description 5
- 101100268840 Danio rerio chrna1 gene Proteins 0.000 description 5
- 101150065731 NIC1 gene Proteins 0.000 description 5
- PWHVEHULNLETOV-UHFFFAOYSA-N Nic-1 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC2=C3)C1C2=CC=C3C(C)C1OC(O)C2(C)OC2(C)C1 PWHVEHULNLETOV-UHFFFAOYSA-N 0.000 description 5
- GWWNCLHJCFNTJA-UHFFFAOYSA-N nicandrenone-2 Natural products C12OC2C2(O)CC=CC(=O)C2(C)C(CCC23C)C1C3CCC2(O)C(C)C1OC(O)C2(C)OC2(C)C1 GWWNCLHJCFNTJA-UHFFFAOYSA-N 0.000 description 5
- 230000003287 optical effect Effects 0.000 description 5
- 238000012545 processing Methods 0.000 description 5
- 238000013475 authorization Methods 0.000 description 4
- 238000007726 management method Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- AGJBKFAPBKOEGA-UHFFFAOYSA-M 2-methoxyethylmercury(1+);acetate Chemical compound COCC[Hg]OC(C)=O AGJBKFAPBKOEGA-UHFFFAOYSA-M 0.000 description 2
- 101100190537 Homo sapiens PNN gene Proteins 0.000 description 2
- 102100038374 Pinin Human genes 0.000 description 2
- 230000009286 beneficial effect Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 230000005540 biological transmission Effects 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000000605 extraction Methods 0.000 description 2
- 238000004374 forensic analysis Methods 0.000 description 2
- 238000002955 isolation Methods 0.000 description 2
- 230000004044 response Effects 0.000 description 2
- 238000011064 split stream procedure Methods 0.000 description 2
- WYDFSSCXUGNICP-UHFFFAOYSA-N 24-methylenecholesta-5,7-dien-3beta-ol Natural products C1C2(C)OC2(C)C(O)OC1C(C)C1C2(C)CCC3C4(C)C(=O)C=CCC4(O)C4OC4C3C2CC1 WYDFSSCXUGNICP-UHFFFAOYSA-N 0.000 description 1
- 101100388300 Arabidopsis thaliana DTX55 gene Proteins 0.000 description 1
- 101100294134 Arabidopsis thaliana NIC3 gene Proteins 0.000 description 1
- WYDFSSCXUGNICP-CDLQDMDJSA-N C[C@@H]([C@H]1CC[C@H]2[C@@H]3[C@@H]4O[C@@H]4[C@@]4(O)CC=CC(=O)[C@]4(C)[C@H]3CC[C@]12C)[C@H]1C[C@]2(C)O[C@]2(C)C(O)O1 Chemical compound C[C@@H]([C@H]1CC[C@H]2[C@@H]3[C@@H]4O[C@@H]4[C@@]4(O)CC=CC(=O)[C@]4(C)[C@H]3CC[C@]12C)[C@H]1C[C@]2(C)O[C@]2(C)C(O)O1 WYDFSSCXUGNICP-CDLQDMDJSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 230000003139 buffering effect Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001186 cumulative effect Effects 0.000 description 1
- 230000001934 delay Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 230000005684 electric field Effects 0.000 description 1
- 230000005670 electromagnetic radiation Effects 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 238000000638 solvent extraction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/14—Arrangements for monitoring or testing data switching networks using software, i.e. software packages
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/90—Buffering arrangements
- H04L49/9063—Intermediate storage in different physical parts of a node or terminal
- H04L49/9078—Intermediate storage in different physical parts of a node or terminal using an external memory or storage device
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/30—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
- H04L63/306—Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W24/00—Supervisory, monitoring or testing arrangements
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Technology Law (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明涉及一种用于在通信网络中对来自通信信号的通信分组进行日志记录的方法、系统和计算机程序产品。通信网络包括一个或多个周界。由所述通信信号形成分割信号,该通信信号包括信息,并且分割信号在信息内容上与通信信号相同。使用网络接口控制器将分割信号的通信分组捕获到暂时性存储器中。网络接口控制器在真实的混杂模式中操作。虚拟网络接口控制器可以从隔离的用户空间容器操作,隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器。可以将通信分组捕获到隔离的存储器范围中,并且可以将通信分组的数据从隔离的存储器范围写入到非暂时性存储器。
Description
背景技术
计算机网络安全变得越来越重要。随着个人计算机和其他计算硬件的计算能力的进步以及连接到互联网的网络的广泛使用,网络安全漏洞(breach)变得相当普遍。然而,情况常常是网络所有者可能甚至没有检测到入侵,并且因此不能采取必要的动作。此外,如果检测到入侵,则可能不清楚计算机网络安全被危害到什么程度以及计算机网络的什么数据和部分受到影响。由于这些和其他原因,甚至(例如欧盟中的)立法者也要求公司提高其检测和跟踪计算机网络入侵的能力。
因此,需要用于对计算机网络中的业务(traffic)进行日志记录(log)的解决方案。
发明内容
现在已经发明了一种改进的方法和实现该方法的技术装备,通过其以上问题被减轻。本发明所要求保护的各种方面包括方法、装置、服务器、客户端、包括存储在其中的计算机程序的计算机可读介质以及本发明的各种实施例。
本发明涉及用于在通信网络中对来自通信信号的通信分组进行日志记录的方法、系统和计算机程序产品。通信网络可以包括一个或多个周界,其可以被例如至少部分地布置成使得较大的周界包含一个或多个较小的周界。分割信号可以由通信信号形成,通信信号包括信息,并且分割信号在信息内容上与通信信号相同。可以在所述通信网络的周界位置处或者另一位置(例如网络业务集中的这样的位置)处形成分割信号。可以使用网络接口控制器将分割信号的通信分组捕获到暂时性存储器中。网络接口控制器可以在真实的混杂模式中操作。可以从隔离的用户空间容器操作虚拟网络接口控制器,隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器。可以将通信分组捕获到隔离的存储器范围中,并且可以将通信分组的数据从隔离的存储器范围写入到非暂时性存储器。
在该方法中可以利用隔离的用户空间容器。可以从隔离的用户空间容器操作虚拟网络接口控制器,所述隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器。然后,可以将通信分组捕获到隔离的用户空间容器的隔离的存储器范围中,并且可以将通信分组的数据从所述隔离的存储器范围写入到所述非暂时性存储器。隔离的用户空间可以包括所述非暂时性存储器的隔离的非暂时性存储器范围,并且所述通信分组的数据可以从所述隔离的存储器范围写入到所述非暂时性存储器的所述隔离的非暂时性存储器范围。隔离的用户空间容器可以属于隔离的命名空间,并且可以提供对所述隔离的命名空间和所述隔离的非暂时性存储器范围的外部访问,其中所述外部访问被以只读模式提供。通信分组可以由所述网络接口解码而不过滤或合并分组,并且输出数据流可以在信息内容上与所述通信分组相比相同地输出到所述暂时性存储器中。所述网络接口控制器的设备驱动器可用于将所述通信分组写入到所述暂时性存储器中的循环缓冲区,并且所述非暂时性存储器的设备驱动器可用于在直接存储器访问操作中访问所述循环缓冲区,并且用于将所述通信分组写入到所述非暂时性存储器。非暂时性存储器可以包括多个存储器单元,所述存储器单元形成非暂时性存储器系统,诸如宽条带存储器系统,所述写入到所述非暂时性存储器被向非暂时性存储器系统执行。通信网络可以包括一个或多个周界,并且可以在所述通信网络的周界位置处形成所述分割信号,并且对通信分组的所述捕获可以包括捕获入站分组和出站分组二者、在周界位置处的内部分组和从外部到达周界位置的外部分组,并且所述通信分组基本上包括在一个时间跨度内流过所述周界位置和在所述周界位置处的所有网络业务。也可以至少部分地解码不完整的、不正确的和损坏的分组。可以在本地网和广域网之间的网络中的位置处形成分割信号,通过该位置,从广域网到本地网的网络业务在网络运营商路由点处传递到本地网。可以通过形成输入通信信号的第二波前部分来形成分割信号,所述第二波部分与原始波前基本上同时。
附图说明
在下文中,将参考附图更详细地描述本发明的各种实施例,在附图中
图1a和1b示出了关于创建和访问日志的用于计算机网络业务的日志记录的流程图;
图2示出了用于计算机网络业务的日志记录的系统和设备;
图3示出了用于创建网络业务的日志的装置的框图;
图4a示出了用于在命名空间的帮助下创建和访问计算机网络业务的日志的布置;
图4b示出了用于授权对经日志记录的网络业务的访问的布置;
图5示出了对计算机网络业务进行日志记录和分析的流程图;以及
图6示出了用于对计算机网络业务进行日志记录的计算机程序产品的用户界面。
具体实施方式
在下文中,将在示例计算机硬件布置和示例计算机硬件元件的背景下描述本发明的若干实施例。然而,要注意,本发明不限于任何特定硬件或软件。实际上,不同的实施例在需要计算机网络业务的日志记录的任何环境中都具有应用,并且它们可以用不同的硬件和软件布置来实现。例如,本说明书中给出的示例可以组合成用于对计算机网络业务进行日志记录和分析的任何工作组合。
在分组数据网络中,以包含包络(envelope)和净荷的有限长度分组来传输数据。在分组中提供比如发送者和接收者之类的标识符,以及通常描述净荷的一些信息。在分层网络模型中,数据被封装到若干层上的分组中。例如,在第2层分组内部,存在第3层分组。两个层的分组包含发送者和接收者信息:在第2层上,给出MAC地址,并且在第3层上,例如给出TCP/IP地址。分组通常伴随着从接收者到发送者的确认分组。在本说明书中,可以如稍后描述的那样捕获所有这样的信息,即,分组地址、发送者和接收者信息、分组是否是确认等。
在攻击或入侵网络时,可能发生多种事情。例如,分组和确认对可能被混合,分组在格式和内容上可能是不完整的或错误的,比所允许的长,等等。接收者网络或系统可能响应于不正确的网络业务(例如通过允许对应该无法访问的数据或存储器的访问)而不正确地操作。攻击者可能使用这样的漏洞来获得对系统的控制。在此之后,或在攻击期间,入侵者可能会试图掩盖漏洞。例如,系统可能被大量数据业务(所谓的拒绝服务(DoS)攻击)淹没,以掩盖同时发生的入侵。入侵者可能会更改系统日志或改变系统时间。这些攻击以通信分组的形式发生。在所谓的组件攻击中,攻击也可能随着时间的过去被分成多个部分,其中单个部分可能难以检测并且可能不会引起任何有害的操作,但是与稍后的部分组合然后可能引起攻击。如这里所描述的,也可以检测到这样的攻击。
为了检测入侵,可以针对不是正常业务的一部分并且可能是入侵尝试的一部分的这样的分组而监视传入和传出的通信分组。然而,当检测到入侵时,没有找出入侵最初在何时发生以及系统的哪些部分受到影响的简单方法。如果例如通过将网络通信分组的发送者、接收者和时间信息存储到文件来保存网络通信分组,则可以从这样的文件中检测到异常模式。然而,入侵者可能会设法修改文件以掩盖入侵的方式以及受影响的系统部分。
在该背景下,日志记录可以被理解为计算机存储器中的以数字数据记录的形式的日志的创建,其中数据记录包含已经行进通过一个或多个日志记录点(这里称作分割点)的或在指定的时间间隔期间在这样的点的任一侧上行进的网络业务元素的数据(例如分组)。数字数据记录可以包括网络业务分组的数据和报头信息。数字数据记录还可以包括元数据信息,诸如日志记录时间、数据分组的大小和类型、以及数据分组的发送者和接收者信息。可以从一个或多个日志记录点收集日志。
这里在本发明中已经注意到,对在一个点处或通过一个点的完整计算机网络业务进行日志记录可以允许以改进的方式分析漏洞。(如稍后描述的)分割信号可以由该点处的网络业务形成,并且因此这样的点可以被认为是分割点。当每个分组和对它的确认被存储在日志中时,可以及时回溯与漏洞相关的所有事件。例如,在其中入侵者试图遮盖系统中的攻击痕迹的攻击中,或者在其中攻击在多个部分中发生(组件攻击)的情况下,这可能是有益的。
为此目的,日志记录可以发生在隔离的用户空间容器中。隔离的用户空间容器不允许对控制器内部的数据的不受控制的访问。例如,为了维持证据的真实性,容器可以阻止不同于日志记录器进程的其他进程向日志写入。这样,日志不能被修改,并且事件不能被掩盖或移除。
图1a和1b示出了关于创建和访问日志的用于计算机网络业务的日志记录的流程图。在图1a中,示出了通信网络中的来自通信信号的通信分组的日志记录过程。通信网络可以包括一个或多个周界,即,将网段的内部与网段的外部分开的虚拟边界或区域。这样的周界可以被布置成使得内周界在外周界内部。周界也可以完全地或部分地物理重叠。可以在周界中建立日志记录点。在阶段110中,形成通信信号的分割信号。分割信号可以在通信网络的周界位置处形成,即入站分组、出站分组和/或在周界任一侧上的日志记录点处行进的分组可以是分割信号的来源。信号被分割的点可以被称作如稍后描述的分割点,例如在图2的背景下的分割点。通信信号包括如本领域中已知的信息。可以产生分割信号使得其在信息内容上与通信信号相同。还可以在除了周界点之外的另一点处,例如在无线网络连接可用的点处或者在可获得大部分网络业务的任何点处,形成分割信号。换言之,可以在任何有益点(诸如任何会聚点)处形成分割信号,很大一部分网络业务流过所述会聚点和/或很大一部分网络业务在所述会聚点处可用。网络中可能存在许多这样的会聚点。
可以以多种方式在分割点处形成分割信号。例如,诸如路由器、交换机、防火墙、威胁管理元件、威胁防护元件、入侵或威胁检测元件、电子证据收集器、应用交付控制器、基站、无线或固定网络节点、合法拦截网关、生产控制室中的远程控制单元、传输控制单元或运载工具通信节点之类的网络元件可以被配置成将其看到的网络业务复制到监视端口(镜像端口)。可以通过网络元件的管理接口来建立这样的监视端口。可能存在用于管理网络元件的专用管理网络,并且管理网络可以是通过承载正常通信分组的网络不可访问的。也可能存在负载均衡网络。网络可以是分开的。而且,可以使用特殊的信号分割器,例如,对于光通信,可以例如借助于光信号分割器从在光纤中行进的光信号中检测(分接)信号。分割点(例如网络元件)可以避免以任何方式对分割信号进行操作,并且它可以仅将该信号转发到NIC。这保留了信号的真实性,并且其还可以避免对网络元件造成处理负载(load)。
在阶段120中,可以使用网络接口控制器捕获分割信号的通信分组并且将其临时保存到暂时性存储器中,所述暂时性存储器例如是计算机的通过总线连接到其他组件(比如处理器和网络接口控制器)的公知随机存取存储器(RAM)。网络接口控制器可以在真实的混杂模式中操作,即,在其中它捕获它在它的网络接口处检测到的每个分组而不管分组打算行进到哪里或谁是接收者的模式中操作。网络接口控制器可以被配置成操作使得它不向网络传输任何网络通信,例如,它可以被通过软件或物理上禁止传输,或者可以在NIC和网络之间的网络电缆中或者以某种其他方式省略从NIC向网络的连接。网络接口控制器可以被配置成使得它不具有网络地址或仅具有低级网络地址(MAC地址)。因此,网络接口控制器可以与在正常模式中的网络接口控制器不同地操作,因为在正常模式中,网络接口控制器对它看到的通信分组作出响应。因为这里的网络接口控制器可以向网络沉默,所以可以提高日志记录的可靠性,因为通信未被更改。此外,如果NIC没有向网络传输通信分组,则不会干扰网络业务并且不会增加网络负载。这里已经注意到,在将数据写入到暂时性存储器时,需要解决网络接口控制器和存储器之间的传送速度的技术问题,以及从暂时性存储器读取数据的技术问题。此外,与网络通信数据量相比,暂时性存储器的大小通常相当有限。
在阶段130中,可以将通信分组的数据写入到非暂时性存储器,使得它们可以被存储更长时间,并且稍后被取回以用于分析,如果需要分析入侵的话。非暂时性存储器可以是例如传统的硬盘贮存器、固态驱动贮存器(闪存)或另一类型的存储器(诸如光学存储器)。这里已经注意到,在将数据写入到非暂时性存储器时,需要克服写入速度的技术问题。即,暂时性存储器在读取和写入速度上通常明显快于非暂时性存储器。
在上文中,写入和传送速度的问题可能导致系统不可靠,即丢失通信分组,除非采取特殊的技术措施。稍后描述这样的布置。
通信分组的日志记录可以包括从隔离的用户空间容器操作虚拟网络接口控制器。隔离的用户空间容器是用于运行进程和应用程序的环境。该环境可以与其他环境共存,并且它们可以共享相同的操作系统内核空间,即,存在操作系统的一个实例和操作系统之上的用户空间容器的多个实例。不同的用户空间容器彼此隔离,使得不可能从一用户空间容器内访问另一用户空间容器。用户空间容器可以具有其专用的暂时性存储器空间、非暂时性存储器空间和进程树以实现该隔离。因此,隔离的用户空间容器能够访问作为隔离的存储器范围的暂时性存储器。可以将通信分组捕获到隔离的用户空间容器的隔离的存储器范围中。以该方式,通信分组可以由操作系统内核的授权进程访问。此外,可以将通信分组的数据从隔离的存储器范围写入到非暂时性存储器。隔离的用户空间可以包括非暂时性存储器的隔离的非暂时性存储器范围。可以将通信分组的数据从暂时性存储器写入到该隔离的存储器范围。
可以定义名称、定义、地址等,使得它们引用隔离的用户空间容器而不引用其他用户空间容器,即,它们为用户空间容器定义命名空间。即,隔离的用户空间容器可以属于隔离的命名空间。命名空间是其中在计算机系统上运行的任何程序或进程能够访问系统的资源或寻址(请求)系统外部的资源的上下文。操作系统内核管理命名空间,即,它分配程序可用来访问特定资源的句柄(handle)。操作系统还可以允许(通过通信连接)对操作系统外部的访问以访问另一系统中的资源。此外,操作系统可以允许从外部对系统的资源的访问。
在图1b中,示出了对经日志记录的通信分组的访问。在阶段150中,可以提供对隔离的命名空间和隔离的非暂时性存储器范围的访问。在阶段160中,或者当在阶段150中提供访问时,可以将外部访问限制成只读,即,可以防止将数据写入到非暂时性存储器。在阶段170中,可以从非暂时性存储器取回通信分组和关于分组的信息。可以在阶段180中将该信息提供给分析程序,以提供入侵的类型、来源、时间、目标或其他特性的分析结果。
图2示出了用于计算机网络业务的日志记录的系统和设备。例如,可以进行监视,使得在网络拓扑中的周界位置(周界)处建立一个或多个分割点分割点1、分割点2,以使得行进通过该点或这些点的网络业务是从本地网LAN进出的所有网络业务中的必要部分,或者可以在任何会聚点处建立分割点。“本地网”可以被定义为例如设施或组织,例如公司的内部网络,或者它可以被理解为公司内部网络的分段,诸如部门的网络,或者甚至是单个计算机COMP1、COMP2、COMP3。周界位置可以包括本地网LAN和广域网(因特网)之间的网络中的位置分割点1,通过其,从广域网到本地网LAN的网络业务在网络运营商路由点(路由器)处传递到本地网LAN。换言之,本地网的周界位置可以物理上驻留在与本地网的物理位置和范围分开的网络运营商的房屋中。换言之,周界位置可以在设施的物理周界处,或者它可以在网段的网络周界处,其中网络周界可以物理上位于与本地网相同的位置中或位于(经由通信连接而连接的)远程位置处。这提供了网络运营商对去往和来自本地网的网络业务进行监视和日志记录的可能性。
通信分组的日志记录包括捕获入站分组和出站分组二者、在周界位置处的内部分组以及从外部到达周界位置的外部分组,并且所述通信分组基本上包括在一时间间隔中流过所述周界位置和在所述周界位置处的所有网络业务。相应地,在任何会聚点处,捕获在会聚点处可见的所有分组,而不管它们的起源或目的地。
在分割点分割点1、分割点2处,网络业务被分成两个或更多个相同且共存的业务流。分割可以例如电或光学地发生,并且形成的分割网络流在信息内容上是相同的。这些流在计算机网络和系统的不同路径中存在并且基本上同时地传播(例如具有小于一毫秒的时间差)。换言之,如果信号路径例如由于半导体组件的上升时间等引起延迟,则信号的不同波前可具有不同的定时。如果延迟累积,则定时中的差异可以具有毫秒或数十毫秒的量级,或者甚至采用秒的量级。这样,通过形成输入通信信号的第二波前部分而形成分割信号,第二波部分基本上与原始波前同时。对信号进行分割的其他方式可以包括例如基于量子计算的状态分割器,和/或分割由磁场、电场、电磁辐射(比如光、红外、射频波)携带的通信信号。
然后,网络接口控制器NIC1、NIC2可以以这样的方式操作,其中它捕获所有业务分组而不管它们的报头或内容,并将该信息向前发送到正常目的地以及计算机系统(日志记录器)的日志记录路径(混杂模式)。当包括通信分组的通信信号到达分割点时,该信号由信号分割器或由网络接口控制器NIC1、NIC2分割以形成分割信号。然后可以使用可以在真实的混杂模式中操作的网络接口控制器NIC1、NIC2将分割信号的通信分组捕获到暂时性计算机存储器MEM中。因此,网络接口控制器可以从通信网络接收数据流并将数据流存储到存储器MEM。网络接口控制器可以向网络沉默,即,网络接口控制器可以由软件或硬件配置成省略向网络的传输或响应。随后将通信分组的数据写入到非暂时性存储器STOR。与网络接口控制器输入分组流(真实的混杂模式)相比,网络接口控制器可以转发要输出的相同分组流,以写入到非暂时性存储器STOR。网络接口控制器可以解码通信分组。控制器可以避免过滤或合并分组以维持原始通信信号分组流尽可能地接近原始分组流。然后存储(日志记录)与原始分组流相同或在很大程度上相同的这样的分组流。
用于记录网络业务的方法可以用在服务器计算机(日志记录器)中的一个或多个处理器核CORE1、CORE2上运行的存储器MEM中的软件代码PROGR来实现。服务器计算机可以包括或者其可以连接到网络接口控制器,用于分割网络业务。服务器可以包括或者其可以连接到数据贮存器(非暂时性存储器系统),例如在条带化模式或所谓的宽条带模式中操作的RAID驱动器。
图3示出了用于创建网络业务的日志的装置或系统的框图。网络业务的记录在分割器处开始,其中网络业务通信分组流被分割以形成分割流。分割流由网络接口卡NIC1、NIC2捕获并被写入到网络接口控制器计算机的暂时性存储器MEM1、MEM2(通常为MEM)。由网络接口控制器控制的循环缓冲区CIRCBUF直接存储器操作可用于将分割的网络业务流分组写入到暂时性存储器MEM1、MEM2。该循环缓冲区由一个或多个处理器核CORE1、CORE2执行的进程读取,并被传送到非暂时性存储器STOR的缓冲存储器STORBUF,例如硬盘驱动器贮存器,诸如宽条带存储系统、光学存储介质、固态盘或任何其他系统,其中数据保持被写入,即使没有到非暂时性介质的外部电力供应。从缓冲存储器STORBUF将数据写入到由控制器STORCTRL控制的非暂时性存储器D1、D2、D3、D4。这样的布置允许足够的速度,使得可以在没有分组丢失的情况下将全网络业务流的图像捕获到永久性贮存器,并且因此,所存储的流可以用作可靠的取证证据来源。可以在多个段中将经日志记录的流写入到非暂时性存储器,使得可以将一个段有效地写入到非暂时性存储器,例如写入到一个存储单元。而且,所述段可以形成可以通过散列码或数字签名盖时间戳和验证的独立数据单元。以该方式,当需要更高的速度或容量时,可以将存储单元添加到非暂时性存储器,并且这使得能够将更多数据单元同时写入到非暂时性存储器。
网络接口控制器的设备驱动器可以将通信分组写入到暂时性存储器MEM中的循环缓冲区。非暂时性存储器的设备驱动器可以在直接存储器访问操作中访问循环缓冲区CIRCBUF,并将通信分组写入到非暂时性存储器或其缓冲存储器。非暂时性存储器可以包括多个存储器单元,所述存储器单元形成非暂时性存储器系统,诸如RAID或宽条带系统。
循环缓冲区可以被理解为其中数据被写入到存储器范围并且当达到存储器范围的末尾时写入从存储器范围的开始继续的布置。存储器范围可以是连续的或不连续的。在写入中,可能存在两个不断地使用的地址:写地址(写)和读出地址(读)。随着更多数据被写入到循环缓冲区,写地址相应地前进,并在达到存储器范围的末尾时跳回到存储器范围的开始。随着从循环缓冲区中读出数据,读出地址相应地前进,并在达到存储器范围的末尾时跳回到存储器范围的开始。如果读出地址到达写地址,则停止读取,直到有更多数据可用。如果写地址到达读出地址,则这是一个错误条件,因为循环缓冲区已满并且在从缓冲区读出数据之前不再可以写入数据。为了使循环缓冲区避免溢出,读出速度应足够高,并且至少高于平均数据流速。此外,循环缓冲区可以在大小上足够大,使得它可以包含一个或多个写突发。
在该上下文中,需要理解的是,除了循环缓冲和写入延迟之外,向永久性贮存器的网络流的存储可以基本上没有延迟地发生。而且,可以以任何方式存储分组而不过滤、合并和/或更改分组。即,网络接口控制器在一模式中操作,其中网络接口控制器解码来自传入的通信信号的通信分组而不进行过滤(例如不通过MAC地址或协议丢弃分组)并且不合并分组。NIC也可以至少部分地或在可能的程度上解码不完整的、不正确的和损坏的分组。以该方式,捕获真实的分组流。这在证据意义上提供了无懈可击的记录。解码所有分组,无论发送者和接收者或协议如何。
替代地或另外地,在存储过程期间,例如可以采用另一处理器核CORE1、CORE2来形成分割的网络流的综合报头日志。在报头日志中,存储分组报头(包括地址),但不存储分组的净荷。该报头日志也可以以文本格式形成,使得它是人类可读的。可以提供这样的报头日志作为输出,以作为用于分析网络业务的基础,并且如果需要更详细地分析分组(例如净荷),则可以访问网络业务流的全图像。
这里已经注意到,图3的方法可以提供对通信网络业务进行日志记录的可靠且可扩展的方式。例如,与通过作为通信网络的一部分的诸如路由器或交换机之类的网络元件对网络业务进行日志记录相比,形成网络通信分组的分割并且通过单独的硬件对分割信号进行日志记录和存储可以是更好的。入侵者可能能够通过用业务使元件过载来攻击这样的网络元件,并且在这样的情况下,网络元件可能没有足够的处理能力来处置日志记录。因此,可能未检测到入侵。图3的方法的另一优点可以是在网络中形成分割点并用专用硬件处置日志记录允许在配置日志记录方面的灵活性,并且还可以节省成本和功耗,因为在网络元件本身中不需要这样的附加功能性。换言之,这样的布置可以比基于现有网络元件中的功能性的布置更加可扩展。取决于分割点的数量和要监视的网络业务的量,可以使用不同类型的专用硬件用于进行日志记录。例如,可以使用花费低于100欧元的微型计算机来监视例如小型办公室或家庭的网络业务。强大的服务器可以使得能实现对公司的显著较大的网络的监视,并且可以利用服务器农场来使多个计算机监视大型计算机网络和大量网络业务。
专用硬件可以是例如当代PC硬件架构的个人计算机或对应的服务器计算机,即通用计算机而不是比如路由器或网络交换机之类的网络元件。在当代架构中,比如PCIe总线之类的扩展总线EXTBUS承载在处理器和(多个)网络接口控制器之间的数据和命令,并且它具有足够的通信速度来处置分割点处的所有网络业务的日志记录。通信总线可以在计算节点(处理器)处附连到处理器总线PROCBUS,比如QPI总线,并且所述节点可以被附连到暂时性存储器MEM1、MEM2(随机存取存储器RAM),例如使得每个节点具有2个存储体(memorybank)。如上述,暂时性存储器(RAM)可以具有被定义为供网络接口控制器驱动器写入到的地址空间的循环缓冲区。数据记录器进程可以定义用于循环缓冲区的地址范围。该种类的布置可以提供去向非暂时性存储器的200MB/s的速度。为了接收这样的高速数据流,可以存在例如(例如通过采用4096字节块与到各个存储单元的旋转存储)具有足够高的写入速度的RAID宽条带存储系统。
诸如守护进程之类的程序可以以上述方式控制从网络接口控制器到非暂时性存储器的网络业务的日志记录。网络接口控制器可以保持对穿过网络接口控制器的数据量和分组数量的计数,并且该数据也可以被存储到非暂时性存储器。在日志记录过程中丢失一些分组可能对入侵的检测和调查无害,但重要的是稍后不能向非暂时性存储器添加任何东西并且不能存在从非暂时性贮存器删除分组的存取。还可以存储分组和业务的时间戳和定时信息,因为网络时间的改变可以使得能实现攻击,并且通过存储时间戳和/或定时信息,也可以捕获这样的攻击。
图4a示出了用于在命名空间和隔离的用户空间容器的帮助下创建和访问计算机网络业务的日志的布置。
命名空间(如图4中的命名空间A)可以被理解为用于在计算机环境中为对象命名的数据结构和系统。例如,计算机中的设备的网络地址和逻辑名称是程序可以用来引用对应元件的标识符。命名空间的使用设法确保命名空间中没有名称冲突,并且同时禁用对命名空间外的项的引用。
用户空间容器(如图4中的用户空间容器A和用户空间容器B)可以被理解为虚拟化环境,其中操作系统的服务被提供作为通用服务,使得在用户空间容器中运行的程序不能直接访问操作系统而是代之以通过接口LIBINT上的这些服务来访问操作系统。如公知的,操作系统和与操作系统相关联的设备驱动程序提供计算机硬件的服务作为通用服务,使得程序可能不需要或不被允许直接访问硬件。在单个操作系统之上可能存在若干用户空间容器,并且用户空间容器彼此隔离,使得一个容器中的程序不能访问另一容器的资源。容器内部可访问的名称和对象可能不可从其他容器访问。而且,操作系统和容器管理器(容器管理器)可以限制从容器对由操作系统提供的资源的访问。例如,操作系统可以防止从出于分析目的而存在的用户空间对非暂时性存储器(盘贮存器)的写访问。这对于在提供执行日志记录的可扩展方式的系统中提供网络通信的可靠且安全的日志记录可能是有用的。
可以通过使用控制组和命名空间来实现上述过程隔离和其他访问限制。例如,可以通过使用挂载(mount)命名空间仅向容器提供对非暂时性存储器的某些权限(例如对某些范围或挂载点的只读权限)。容器可以通过使用特定命名空间而具有其唯一主机名,并且可以通过另一命名空间而能够访问进程间通信对象(例如共享存储器)。可以在进程id命名空间的帮助下对不同容器中的进程独立编号,并且网络命名空间可以为容器的网络功能性提供系统资源。以这样的方式,命名空间可以被理解为提供对容器可见的某些资源。控制组可用于提供对某些系统资源(例如处理时间、存储器量或范围、以及网络带宽)的访问。例如,如果没有给容器任何处理时间,即,容器不具有其将能够使用处理时间的属性,则进程不会在这样的容器中运行,但是容器仍然可以提供通过指针对数据贮存器的访问。如果没有给容器对非暂时性存储器范围的写访问,则容器仅可以提供对数据的读访问。在启动容器时形成这样的能力。这提供了反对未授权访问的安全性,因为重新启动容器可能在配置中不被允许,并且可能从容器内部进行是不可能的。而且,操作系统内核可能在某种配置中运行,并且改变该配置可能只有通过重新启动内核或者甚至通过重新编译并重新启动内核才是可能的。这样的操作需要通常不易可获得的强大权限。
在本说明书中,网络接口控制器可以将网络通信数据提供到为操作系统内核保留的存储器范围,并且因此内核进程可以访问所述数据。可以以这样的方式保留存储器MEM的某一范围。系统可以被配置成操作以使得从暂时性存储器到非暂时性存储器的数据传送通过直接存储器传送而发生,并且处理器负载可以被最小化。
另一已知类型的虚拟化是硬件虚拟化,其中在计算机硬件上运行的主机操作系统之上创建虚拟计算机,使得计算机硬件服务被作为服务提供给虚拟计算机。即,被安装在虚拟计算机中的客户操作系统使用虚拟硬件,就像它是真实硬件一样。可能有若干虚拟计算机任何硬件和主机操作系统之上运行。
虚拟计算机和用户空间容器可以嵌套,使得一个或多个用户空间容器在虚拟计算机的操作系统上运行。在图4a中,示出了一组计算机硬件,以及具有其内核空间(内核空间)(操作系统内核的命名空间)的一个操作系统环境。在操作系统之上,可以为多个用户空间容器用户空间容器A、用户空间容器B提供它们相应的命名空间。
虚拟网络接口控制器VNIC1、VNIC2、VNIC3、VNICN可以提供到真实网络接口控制器NIC1、NIC2、NIC3、NICN的接口,其充当来自分割点的网络通信分组的接收者。可以从隔离的用户空间容器内通过其驱动器DRVA、DRVB(例如通过用于控制网络分组日志记录的控制程序(日志记录器程序))来操作这样的虚拟网络接口控制器。隔离的用户空间容器可以能够访问作为隔离的存储器范围MEMA、MEMB由操作系统(或容器管理器)提供给它的的暂时性存储器。即,容器内部的程序可以读取并写入到暂时性存储器范围,但是不可从另一容器访问该存储器范围。例如通过控制网络接口控制器的循环缓冲区直接存储器访问操作,可以将通信分组捕获到隔离的用户空间容器的隔离的存储器范围MEMA、MEMB中。从暂时性存储器,可以将通信分组写入到非暂时性存储器。非暂时性存储器也可以由操作系统提供给容器,作为隔离的非暂时性存储器范围STORA、STORB。在隔离的用户空间包括隔离的非暂时性存储器范围的情况下,通信分组可以从隔离的暂时性存储器范围写入到非暂时性存储器的隔离的非暂时性存储器范围。用于用户空间容器A的存储器范围也在设备STOR和MEM上示出为角落“A”。
如图4a中所示,隔离的用户空间容器属于隔离的命名空间,并且可以提供对命名空间和隔离的非暂时性存储器范围的外部访问,其中外部访问被以只读模式提供。换言之,可以提供一种挂载隔离的非暂时性存储器范围以对用于分析被日志记录在非暂时性存储器上的过去的网络业务的分析程序ANPROG可见的方法。而且,可以通过监视程序(监视器)来以只读模式监视日志记录的状态。
计算机程序产品可以被布置成在命名空间中运行,其中贮存器、操作系统、虚拟化硬件和网络连接形成用于访问所存储的流的足够领域。虽然对于记录,命名空间可用于写入,但是也可以以只读访问模式提供命名空间,例如用于取证分析目的。以这样的方式,可以访问总的所记录的网络业务流以用于读取,但访问(只读)不会损害取证值。这提供了对网络通信进行日志记录的可靠方式以及访问经日志记录的数据的可靠方式。
图3、4a和4b的上述操作可以被实现——与如所解释的适当的计算机硬件一起实现——为体现在非暂时性计算机可读介质上的计算机程序产品,所述非暂时性计算机可读介质包括计算机程序代码,所述计算机程序代码被配置成当在至少一个处理器上执行时使得装置或系统:形成通信信号的分割信号,通信信号包括信息,分割信号在信息内容上与通信信号相同,并且分割信号在通信网络的周界或会聚位置处形成;使用网络接口控制器将分割信号的通信分组捕获到暂时性存储器中,网络接口控制器在真实的混杂模式中操作;并将通信分组的数据写入到非暂时性存储器。
计算机程序产品可以包括用来进行如下操作的计算机程序代码:从隔离的用户空间容器操作虚拟网络接口控制器,该隔离的用户空间容器能够访问作为隔离的存储器范围的暂时性存储器,将通信分组捕获到隔离的用户空间容器的隔离的存储器范围中,并将通信分组的数据从隔离的存储器范围写入到非暂时性存储器。
下面提供了用于形成和提供用于分析的经日志记录的网络分组的一些实际细节。为了记录,在记录命名空间中形成容器,其包括对应于真实网络接口控制器的虚拟网络接口控制器、暂时性和非暂时性存储器范围、以及用于日志记录的控制程序。在读取经日志记录的数据时,读取器控制程序ANPROG可以被附连到在只读模式中操作的容器,所述真实网络接口控制器包括分析工具或为分析工具提供对数据的访问。存储容器可以包括在日志记录期间已经被写入到它的标识符,例如得自从其已经日志记录了通信业务的网络接口控制器的标识符的标识符。贮存器可以包括散列或CRC或示出贮存器尚未被篡改的另一验证码(对应的代码可以被在记录时间存储到安全位置)。
这样的容器可用于构建域以允许一个物理机器用于多个网络日志记录操作。例如,如果网络运营商提供对多个网络进行日志记录的服务,则在一个物理机器上可能存在针对每个网络的日志记录容器。这提供了可靠性,因为物理机器可以被构建成具有高性能,并且同时提供成本节省,因为可以使网络元件更简单。因此,在在多个分割点处对一个或多个网络进行日志记录的环境中,这样的容器和命名空间布置可以简化日志记录的实现。换言之,这样的布置可以比功能性内置于网络元件本身中的布置更加可扩展。
在图4b中,示出了用于授权对经日志记录的网络业务的访问的布置。可能存在被布置为彼此通信的多个用户空间容器(用前缀CONT命名的元素)。用于对网络业务进行日志记录的用户空间容器CONT_LOGGER执行与将网络业务分组接收到暂时性存储器中并将该数据NETDATA写入到非暂时性存储器STOR相关的功能性。日志记录器CONT_LOGGER与用于收集统计资料的用户空间容器CONT_STATISTICS通信,所述用户空间容器CONT_STATISTICS继而将统计资料STAT提供给监视容器CONT_MONITOR以用于监视日志记录的进展。不可允许其他容器向非暂时性贮存器写入。非暂时性贮存器中的经日志记录的网络业务的数据被存储为数据段,每个数据段具有标识符(名称),通过所述标识符它们可以被访问。授权容器CONT_AUTH被允许将这些名称读取为数据LST,并允许用户选择要分析的段。授权容器向提取容器CONT_EXTRACT提供该选择SEL和授权,使得可以取回所选段的数据SELDATA以可用。提取容器CONT_EXTRACT将数据SELDATA提供给取证分析容器CONT_FORENSIC,所述取证分析容器CONT_FORENSIC继而向授权容器报告分析的进展。
作为示例,经日志记录的数据可以被通过读取该数据并找到与已知入侵方法匹配的模式来分析。作为另一示例,可以通过被布置成检测网络入侵的在线网络业务分析器来回放经日志记录的网络业务。这样,当更新网络业务分析器以检测新的入侵方法时,之后较旧的业务可以通过在更新的分析器中播放来进行分析。
图5示出了对计算机网络业务进行日志记录和分析的流程图。在该图中,可以如先前解释的那样执行各个阶段,或者可以修改或省略它们。可以执行采用不同顺序的阶段的不同组合。例如,该方法可以在不使用隔离的用户空间容器的情况下执行,或者其可以在虚拟计算机的帮助下执行。在阶段510中,形成隔离的用户空间容器。用户空间容器可以包括隔离的暂时性存储器范围和/或隔离的非暂时性存储器范围。在阶段520中,可以将暂时性存储器范围建立成具有网络接口控制器可以将通信分组写入到的循环缓冲区。在阶段530中,可以建立非暂时性存储器以用于存储网络通信,并且非暂时性存储器可以包括包括多个存储器单元的存储器系统。在阶段540中,可以在网络周界或会聚位置处根据通信信号形成分割通信信号。在阶段550中,可以将分割信号捕获到暂时性存储器并且捕获到循环缓冲区中,并且捕获可以包括解码通信分组,例如完整的通信分组和不完整或错误的分组。在阶段560中,可以将通信分组的数据从暂时性存储器写入到非暂时性存储器。在阶段570中,例如通过以只读模式启动容器,可以提供对容器的只读外部访问。在阶段580中,可以在分析程序的帮助下来分析经日志记录的通信。
图6示出了用于对计算机网络业务进行日志记录的计算机程序产品的用户界面600。出于示出日志记录的状态的目的,在包括隔离的用户空间的容器中可能存在这样的监视器应用程序。监视器应用程序可以例如连接到网络接口控制器、控制日志记录的控制程序和/或连接到非暂时性存储器。如图6中所示,监视器应用程序可以示出具有指示是否正在执行日志记录的第一指示符610,可以用第二指示符620指示数据的量并且用第三指示符630指示经日志记录的分组的数量,和/或比较由网络接口控制器和非暂时性存储器接收的分组的数量以确定分组是否在日志记录中丢失,并用第四指示符640指示丢失的分组的量。还可以存在用于在日志记录的内部状态中指示其他东西的指示符,例如循环缓冲区的状态(指示符650)、非暂时性贮存器的充满度(指示符660)等。如这里描述的日志记录的这样的状态也可以被存储,并且稍后在分析阶段中用类似的用户界面600显示。
上述方法和相关联的设备可以提供优点。例如,当发现新的安全漏洞时,不知道这些漏洞(在找到它们的时刻之前)被用于安全攻击多长时间。利用存储全网络业务流图像的该方法,可以分析过去的网络业务以找到发生了什么并检测漏洞被首次使用的时刻。例如,要在恢复网络和附连的计算机时使用的备份记录也可能受到污染。可以在不打开净荷的情况下执行存储和分析,这可以使该方法符合大多数国家中的法律。例如,可以执行网络业务报头的自动分析。以上述方式,新产品提供了一种对某一位置处的所有传入和传出网络业务进行监视和日志记录的方法。
可以在计算机程序代码的帮助下实现本发明的各种实施例,所述计算机程序代码驻留在存储器中并使相关装置执行本发明。例如,设备可以包括用于处置、接收和传输数据的电路和电子器件,存储器中的计算机程序代码,以及当运行计算机程序代码时使设备执行实施例的特征的处理器。此外,比如服务器之类的网络设备可以包括用于处置、接收和传输数据的电路和电子器件,存储器中的计算机程序代码,以及当运行计算机程序代码时使网络设备执行实施例的特征的处理器。
显然,本发明不被仅限于上文呈现的实施例,而是其可以在所附权利要求书的范围内进行修改。
Claims (33)
1.一种计算机系统,其包括至少一个处理器、包括计算机程序代码的存储器,所述存储器和所述计算机程序代码被配置成与所述至少一个处理器一起使得所述系统:
- 在分割点处形成(110、540)通信信号的分割信号,所述通信信号包括信息,所述分割信号在信息内容上与所述通信信号相同,
- 通过网络接口控制器从所述分割点接收所述分割信号;
- 在直接存储器访问操作中使用所述网络接口控制器将所述分割信号的通信分组捕获(120、550)到暂时性存储器中,而不通过所述网络接口控制器过滤或合并所述通信分组,所述网络接口控制器在真实的混杂模式中操作,
- 在直接存储器访问操作中从暂时性存储器读取(130、560)所述通信分组的数据;以及
- 在直接存储器访问操作中将所述通信分组的数据写入(130、560)到非暂时性存储器,使得所述通信分组的数据在信息内容上与所述通信信号相同;
- 基于所述通信分组形成验证码,所述验证码被配置成用于示出非暂时性存储器没有被篡改;以及
- 将验证码存储到安全位置。
2.根据权利要求1所述的计算机系统,进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 从隔离的用户空间容器操作虚拟网络接口控制器,所述隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器,
- 将所述通信分组捕获到所述隔离的用户空间容器的所述隔离的存储器范围中,以及
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器。
3.根据权利要求2所述的计算机系统,其中所述隔离的用户空间容器包括所述非暂时性存储器的隔离的非暂时性存储器范围,所述系统进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器的所述隔离的非暂时性存储器范围。
4.根据权利要求3所述的计算机系统,其中所述隔离的用户空间容器属于隔离的命名空间,所述系统进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 提供对所述隔离的命名空间和所述隔离的非暂时性存储器范围的外部访问,其中所述外部访问被以只读模式提供。
5.根据权利要求1至4中任一项所述的计算机系统,进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 由所述网络接口控制器解码所述通信分组,
- 从所述网络接口控制器向所述暂时性存储器中输出与所述通信分组相比在信息内容上相同的输出数据流。
6.根据权利要求1至4中任一项所述的计算机系统,进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 使用所述网络接口控制器的设备驱动器将所述通信分组写入到所述暂时性存储器中的循环缓冲区,以及
- 使用所述非暂时性存储器的设备驱动器在直接存储器访问操作中访问所述循环缓冲区并将所述通信分组写入到所述非暂时性存储器。
7.根据权利要求1至4中任一项所述的计算机系统,其中
- 所述非暂时性存储器包括多个存储器单元,所述存储器单元形成宽条带存储器系统,所述写入到所述非暂时性存储器被布置成向宽条带存储器系统执行。
8.根据权利要求1至4中任一项所述的计算机系统,其中通信网络包括一个或多个周界,并且在所述通信网络的周界位置处形成所述分割信号,并且通信分组的所述捕获包括捕获入站分组和出站分组二者、在周界位置处的内部分组以及从外部到达周界位置的外部分组,并且所述通信分组包括在一个时间跨度内流过所述周界位置和在所述周界位置处的所有网络业务。
9.根据权利要求1至4中任一项所述的计算机系统,进一步包括用来使所述系统进行如下操作的计算机程序代码:
- 至少部分地解码不完整的、不正确的和损坏的分组。
10.根据权利要求1至4中任一项所述的计算机系统,其中所述分割信号被布置成在本地网和广域网之间的网络中的位置处形成,通过该位置,从广域网到本地网的网络业务在网络运营商路由点处传递到本地网。
11.根据权利要求1至4中任一项所述的计算机系统,其中所述分割信号被布置成通过形成输入通信信号的第二波前部分来形成,所述第二波前部分与原始波前同时。
12.一种在通信网络中对来自通信信号的通信分组进行日志记录的方法,所述方法包括:
- 在分割点处形成(110、540)所述通信信号的分割信号,所述通信信号包括信息,所述分割信号在信息内容上与所述通信信号相同,
- 通过网络接口控制器从所述分割点接收所述分割信号;
- 在直接存储器访问操作中使用所述网络接口控制器将所述分割信号的通信分组捕获(120、550)到暂时性存储器中,而不通过所述网络接口控制器过滤或合并所述通信分组,所述网络接口控制器在真实的混杂模式中操作,
- 在直接存储器访问操作中从暂时性存储器读取(130、560)所述通信分组的数据;
- 在直接存储器访问操作中将所述通信分组的数据写入(130、560)到非暂时性存储器,使得所述通信分组的数据在信息内容上与所述通信信号相同;
- 基于所述通信分组形成要用于示出非暂时性存储器没有被篡改的验证码;以及
- 将验证码存储到安全位置。
13.根据权利要求12所述的方法,包括:
- 从隔离的用户空间容器操作虚拟网络接口控制器,所述隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器,
- 将所述通信分组捕获到所述隔离的用户空间容器的所述隔离的存储器范围中,以及
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器。
14.根据权利要求13所述的方法,其中所述隔离的用户空间容器包括所述非暂时性存储器的隔离的非暂时性存储器范围,所述方法包括:
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器的所述隔离的非暂时性存储器范围。
15.根据权利要求14所述的方法,其中所述隔离的用户空间容器属于隔离的命名空间,并且所述方法包括:
- 提供对所述隔离的命名空间和所述隔离的非暂时性存储器范围的外部访问,其中所述外部访问被以只读模式提供。
16.根据权利要求12至15中任一项所述的方法,包括:
- 由所述网络接口控制器解码所述通信分组,
- 从所述网络接口控制器向所述暂时性存储器中输出与所述通信分组相比在信息内容上相同的输出数据流。
17.根据权利要求12至15中任一项所述的方法,包括:
- 使用所述网络接口控制器的设备驱动器将所述通信分组写入到所述暂时性存储器中的循环缓冲区,以及
- 使用所述非暂时性存储器的设备驱动器在直接存储器访问操作中访问所述循环缓冲区并将所述通信分组写入到所述非暂时性存储器。
18.根据权利要求12至15中任一项所述的方法,其中
- 所述非暂时性存储器包括多个存储器单元,所述存储器单元形成宽条带存储器系统,所述写入到所述非暂时性存储器被向宽条带存储器系统执行。
19.根据权利要求12至15中任一项所述的方法,其中所述通信网络包括一个或多个周界,并且在所述通信网络的周界位置处形成所述分割信号,并且通信分组的所述捕获包括捕获入站分组和出站分组二者、在周界位置处的内部分组以及从外部到达周界位置的外部分组,并且所述通信分组包括在一个时间跨度内流过所述周界位置和在所述周界位置处的所有网络业务。
20.根据权利要求12至15中任一项所述的方法,包括:
- 至少部分地解码不完整的、不正确的和损坏的分组。
21.根据权利要求12至15中任一项所述的方法,其中所述分割信号在本地网和广域网之间的网络中的位置处形成,通过该位置,从广域网到本地网的网络业务在网络运营商路由点处传递到本地网。
22.根据权利要求12至15中任一项所述的方法,其中通过形成输入通信信号的第二波前部分来形成所述分割信号,所述第二波前部分与原始波前同时。
23.一种非暂时性计算机可读介质,所述非暂时性计算机可读介质包括计算机程序代码,所述计算机程序代码被配置成当在至少一个处理器上执行时使得装置或系统:
- 通过网络接口控制器从分割点接收分割信号,通过所述分割点由通信信号形成所述分割信号,所述通信信号包括信息,所述分割信号在信息内容上与所述通信信号相同,
- 在直接存储器访问操作中使用网络接口控制器将所述分割信号的通信分组捕获(120、550)到暂时性存储器中,而不通过所述网络接口控制器过滤或合并所述通信分组,所述网络接口控制器在真实的混杂模式中操作,
- 在直接存储器访问操作中从暂时性存储器读取(130、560)所述通信分组的数据;以及
- 在直接存储器访问操作中将所述通信分组的数据写入(130、560)到非暂时性存储器,使得所述通信分组的数据在信息内容上与所述通信信号相同;
- 基于所述通信分组形成验证码,所述验证码被配置成用于示出非暂时性存储器没有被篡改;以及
- 将验证码存储到安全位置。
24.根据权利要求23所述的非暂时性计算机可读介质,包括用来进行如下操作的计算机程序代码:
- 从隔离的用户空间容器操作虚拟网络接口控制器,所述隔离的用户空间容器能够访问作为隔离的存储器范围的所述暂时性存储器,
- 将所述通信分组捕获到所述隔离的用户空间容器的所述隔离的存储器范围中,以及
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器。
25.根据权利要求24所述的非暂时性计算机可读介质,其中所述隔离的用户空间容器包括所述非暂时性存储器的隔离的非暂时性存储器范围,所述非暂时性计算机可读介质进一步包括用来进行如下操作的计算机程序代码:
- 将所述通信分组的所述数据从所述隔离的存储器范围写入到所述非暂时性存储器的所述隔离的非暂时性存储器范围。
26.根据权利要求25所述的非暂时性计算机可读介质,其中所述隔离的用户空间容器属于隔离的命名空间,所述非暂时性计算机可读介质进一步包括用来进行如下操作的计算机程序代码:
- 提供对所述隔离的命名空间和所述隔离的非暂时性存储器范围的外部访问,其中所述外部访问被以只读模式提供。
27.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,包括用来进行如下操作的计算机程序代码:
- 由所述网络接口控制器解码所述通信分组,
- 从所述网络接口控制器向所述暂时性存储器中输出与所述通信分组相比在信息内容上相同的输出数据流。
28.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,包括用来进行如下操作的计算机程序代码:
- 使用所述网络接口控制器的设备驱动器将所述通信分组写入到所述暂时性存储器中的循环缓冲区,以及
- 使用所述非暂时性存储器的设备驱动器在直接存储器访问操作中访问所述循环缓冲区并将所述通信分组写入到所述非暂时性存储器。
29.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,其中
- 所述非暂时性存储器包括多个存储器单元,所述存储器单元形成宽条带存储器系统,所述写入到所述非暂时性存储器被布置成向宽条带存储器系统执行。
30.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,其中通信网络包括一个或多个周界,并且在所述通信网络的周界位置处形成所述分割信号,并且通信分组的所述捕获包括捕获入站分组和出站分组二者、在周界位置处的内部分组以及从外部到达周界位置的外部分组,并且所述通信分组包括在一个时间跨度内流过所述周界位置和在所述周界位置处的所有网络业务。
31.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,包括用来进行如下操作的计算机程序代码:
- 至少部分地解码不完整的、不正确的和损坏的分组。
32.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,其中所述分割信号被布置成在本地网和广域网之间的网络中的位置处形成,通过该位置,从广域网到本地网的网络业务在网络运营商路由点处传递到本地网。
33.根据权利要求23至26中任一项所述的非暂时性计算机可读介质,其中所述分割信号被布置成通过形成输入通信信号的第二波前部分来形成,所述第二波前部分与原始波前同时。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FI20165443 | 2016-05-27 | ||
| FI20165443A FI127335B (en) | 2016-05-27 | 2016-05-27 | Logging of telecommunications on a computer network |
| PCT/FI2017/050394 WO2017203105A1 (en) | 2016-05-27 | 2017-05-24 | Logging of traffic in a computer network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN109479013A CN109479013A (zh) | 2019-03-15 |
| CN109479013B true CN109479013B (zh) | 2022-04-26 |
Family
ID=60411685
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201780032866.2A Expired - Fee Related CN109479013B (zh) | 2016-05-27 | 2017-05-24 | 计算机网络中的业务的日志记录 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US10805187B2 (zh) |
| EP (1) | EP3465987B1 (zh) |
| JP (1) | JP6819978B2 (zh) |
| KR (1) | KR102340468B1 (zh) |
| CN (1) | CN109479013B (zh) |
| CA (1) | CA3022503A1 (zh) |
| DK (1) | DK3465987T3 (zh) |
| ES (1) | ES2878280T3 (zh) |
| FI (1) | FI127335B (zh) |
| IL (1) | IL263111B (zh) |
| PL (1) | PL3465987T3 (zh) |
| WO (1) | WO2017203105A1 (zh) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11277598B2 (en) * | 2009-07-14 | 2022-03-15 | Cable Television Laboratories, Inc. | Systems and methods for network-based media processing |
| KR102510846B1 (ko) | 2018-10-04 | 2023-03-16 | 삼성전자주식회사 | 전자 장치 및 그의 제어방법 |
| EP3873034A1 (de) * | 2020-02-28 | 2021-09-01 | Siemens Aktiengesellschaft | Verfahren und system zur erfassung von datenverkehr in einem kommunikationsnetz |
| US20200374310A1 (en) * | 2020-08-11 | 2020-11-26 | Intel Corporation | Protection from network initiated attacks |
| US11900140B2 (en) * | 2021-03-03 | 2024-02-13 | EMC IP Holding Company LLC | SmartNIC based virtual splitter ensuring microsecond latencies |
| ES2922405A1 (es) * | 2021-03-03 | 2022-09-14 | Hinojosa Manuel Borrego | captura de tramas de red firmadas (sPCAP) |
| CN113542066B (zh) * | 2021-07-13 | 2022-06-07 | 杭州安恒信息技术股份有限公司 | 一种设备性能测试方法、装置及相关设备 |
| KR102446674B1 (ko) * | 2021-12-09 | 2022-09-26 | 주식회사 피앤피시큐어 | 정보 사용자 추적을 위한 네트워크 패킷 기반의 보안 방법 |
| CN115859291B (zh) * | 2023-02-03 | 2023-05-16 | 北京小佑网络科技有限公司 | 安全监测方法、装置、设备及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1317745A (zh) * | 2000-04-07 | 2001-10-17 | 数字保安株式会社 | 在通信网络中存储日志数据的方法和装置 |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
| JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
Family Cites Families (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040085906A1 (en) | 2001-04-27 | 2004-05-06 | Hisamichi Ohtani | Packet tracing system |
| US7609388B2 (en) * | 2002-01-24 | 2009-10-27 | Icos Vision Systems Nv | Spatial wavefront analysis and 3D measurement |
| US7483374B2 (en) * | 2003-08-05 | 2009-01-27 | Scalent Systems, Inc. | Method and apparatus for achieving dynamic capacity and high availability in multi-stage data networks using adaptive flow-based routing |
| JP2008520030A (ja) * | 2004-11-12 | 2008-06-12 | ディスクレティックス・テクノロジーズ・リミテッド | データを安全に記憶する方法、デバイス、及びシステム |
| WO2006071560A2 (en) | 2004-12-23 | 2006-07-06 | Solera Networks, Inc. | Network packet capture distributed storage system |
| US20070094643A1 (en) | 2005-10-25 | 2007-04-26 | Anderson Eric A | System and method for writing captured data from kernel-level to a file |
| US9619616B2 (en) * | 2007-07-03 | 2017-04-11 | Eingot Llc | Records access and management |
| US7924763B2 (en) * | 2007-12-11 | 2011-04-12 | Motorola Mobility, Inc. | Method and appratus for rate matching within a communication system |
| US8010494B2 (en) | 2008-02-01 | 2011-08-30 | Oracle International Corporation | Methods to defend against tampering of audit records |
| CN102217234A (zh) | 2009-05-08 | 2011-10-12 | 圣斯马来西亚大学 | 实时分布式网络监控和安全监控平台 |
| FR2951290B1 (fr) * | 2009-10-08 | 2011-12-09 | Commissariat Energie Atomique | Controleur d'acces direct en memoire a sources multiples, procede et programme d'ordinateur correspondants |
| US8402215B2 (en) | 2009-10-15 | 2013-03-19 | Hitachi, Ltd. | Storage system, storage apparatus, and optimization method of storage areas of storage system having page migration |
| US8705362B2 (en) * | 2009-12-16 | 2014-04-22 | Vss Monitoring, Inc. | Systems, methods, and apparatus for detecting a pattern within a data packet |
| US9047178B2 (en) | 2010-12-13 | 2015-06-02 | SanDisk Technologies, Inc. | Auto-commit memory synchronization |
| US8849991B2 (en) | 2010-12-15 | 2014-09-30 | Blue Coat Systems, Inc. | System and method for hypertext transfer protocol layered reconstruction |
| US8509072B2 (en) * | 2011-03-07 | 2013-08-13 | Comcast Cable Communications, Llc | Network congestion analysis |
| US9923826B2 (en) | 2011-10-14 | 2018-03-20 | Citrix Systems, Inc. | Systems and methods for dynamic adaptation of network accelerators |
| US9239607B2 (en) * | 2011-12-22 | 2016-01-19 | Intel Corporation | Storing data using a direct data path architecture to reduce energy consumption and improve performance |
| US9276819B2 (en) * | 2012-05-29 | 2016-03-01 | Hewlett Packard Enterprise Development Lp | Network traffic monitoring |
| US8891528B2 (en) | 2012-06-21 | 2014-11-18 | Breakingpoint Systems, Inc. | Managing the capture of packets in a computing system |
| US20130347103A1 (en) * | 2012-06-21 | 2013-12-26 | Mark Veteikis | Packet capture for error tracking |
| US9443584B2 (en) * | 2012-12-17 | 2016-09-13 | Adesto Technologies Corporation | Network interface with logging |
| JP5913155B2 (ja) | 2013-03-06 | 2016-04-27 | 株式会社日立製作所 | パケットリプレイ装置およびパケットリプレイ方法 |
| JP2016513944A (ja) * | 2013-03-14 | 2016-05-16 | フィデリス サイバーセキュリティー インコーポレイテッド | ネットワーク通信分析のためにメタデータを抽出及び保持するシステム及び方法 |
| US10735453B2 (en) * | 2013-11-13 | 2020-08-04 | Verizon Patent And Licensing Inc. | Network traffic filtering and routing for threat analysis |
| US9672120B2 (en) * | 2014-06-28 | 2017-06-06 | Vmware, Inc. | Maintaining consistency using reverse replication during live migration |
| US20160050182A1 (en) | 2014-08-14 | 2016-02-18 | Cisco Technology Inc. | Diverting Traffic for Forensics |
| US9825905B2 (en) | 2014-10-13 | 2017-11-21 | Vmware Inc. | Central namespace controller for multi-tenant cloud environments |
| US10079740B2 (en) | 2014-11-04 | 2018-09-18 | Fermi Research Alliance, Llc | Packet capture engine for commodity network interface cards in high-speed networks |
| US9912454B2 (en) * | 2015-02-16 | 2018-03-06 | Dell Products L.P. | Systems and methods for efficient file transfer in a boot mode of a basic input/output system |
| US10178002B2 (en) * | 2016-01-28 | 2019-01-08 | Honeywell International Inc. | System and method for capturing and displaying packets and other messages in local control network (LCN) |
-
2016
- 2016-05-27 FI FI20165443A patent/FI127335B/en active IP Right Grant
-
2017
- 2017-05-24 ES ES17802262T patent/ES2878280T3/es active Active
- 2017-05-24 US US16/304,479 patent/US10805187B2/en active Active
- 2017-05-24 DK DK17802262.0T patent/DK3465987T3/da active
- 2017-05-24 CN CN201780032866.2A patent/CN109479013B/zh not_active Expired - Fee Related
- 2017-05-24 CA CA3022503A patent/CA3022503A1/en active Pending
- 2017-05-24 JP JP2019514863A patent/JP6819978B2/ja active Active
- 2017-05-24 KR KR1020187037560A patent/KR102340468B1/ko active IP Right Grant
- 2017-05-24 WO PCT/FI2017/050394 patent/WO2017203105A1/en active Search and Examination
- 2017-05-24 PL PL17802262T patent/PL3465987T3/pl unknown
- 2017-05-24 EP EP17802262.0A patent/EP3465987B1/en active Active
-
2018
- 2018-11-19 IL IL263111A patent/IL263111B/en active IP Right Grant
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1317745A (zh) * | 2000-04-07 | 2001-10-17 | 数字保安株式会社 | 在通信网络中存储日志数据的方法和装置 |
| CN101309180A (zh) * | 2008-06-21 | 2008-11-19 | 华中科技大学 | 一种适用于虚拟机环境的安全网络入侵检测系统 |
| CN101582817A (zh) * | 2009-06-29 | 2009-11-18 | 华中科技大学 | 网络交互行为模式提取及相似性分析方法 |
| JP5640166B1 (ja) * | 2014-03-31 | 2014-12-10 | 株式会社ラック | ログ分析システム |
Also Published As
| Publication number | Publication date |
|---|---|
| IL263111A (en) | 2018-12-31 |
| PL3465987T4 (pl) | 2021-09-06 |
| WO2017203105A1 (en) | 2017-11-30 |
| PL3465987T3 (pl) | 2021-09-06 |
| ES2878280T3 (es) | 2021-11-18 |
| JP2019517704A (ja) | 2019-06-24 |
| FI127335B (en) | 2018-04-13 |
| JP6819978B2 (ja) | 2021-01-27 |
| EP3465987A4 (en) | 2019-12-25 |
| IL263111B (en) | 2021-02-28 |
| DK3465987T3 (da) | 2021-05-25 |
| EP3465987A1 (en) | 2019-04-10 |
| KR20190006022A (ko) | 2019-01-16 |
| FI20165443A (fi) | 2017-11-28 |
| CA3022503A1 (en) | 2017-11-30 |
| US10805187B2 (en) | 2020-10-13 |
| KR102340468B1 (ko) | 2021-12-21 |
| EP3465987B1 (en) | 2021-02-17 |
| US20190296990A1 (en) | 2019-09-26 |
| CN109479013A (zh) | 2019-03-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN109479013B (zh) | 计算机网络中的业务的日志记录 | |
| CN107181738B (zh) | 一种软件化入侵检测系统及方法 | |
| CN109558366B (zh) | 一种基于多处理器架构的防火墙 | |
| KR101737726B1 (ko) | 네트워크 트래픽에서의 불일치들을 검출하기 위한 하드웨어 자원들의 사용에 의한 루트킷 검출 | |
| Krishnan et al. | SDN/NFV security framework for fog‐to‐things computing infrastructure | |
| Deri et al. | Combining System Visibility and Security Using eBPF. | |
| CN103746956A (zh) | 虚拟蜜罐 | |
| JP2022531878A (ja) | Dnsメッセージを使用してコンピュータ・フォレンジック・データを選択的に収集するためのシステムおよび方法 | |
| US20170208083A1 (en) | Network management device at network edge | |
| JP2016508353A (ja) | ネットワークメタデータを処理する改良されたストリーミング方法およびシステム | |
| Wang et al. | Behavior‐based botnet detection in parallel | |
| Ma et al. | A design of firewall based on feedback of intrusion detection system in cloud environment | |
| CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
| KR102295348B1 (ko) | 운영 기술 데이터의 보안 위협 분석 및 탐지 방법 | |
| CN111683063B (zh) | 消息处理方法、系统、装置、存储介质及处理器 | |
| KR20190134287A (ko) | 보안 문제의 근본적인 원인 제공을 위한 보안 출처 제공 시스템 및 그 방법 | |
| KR100976602B1 (ko) | 파일 전송 보안 방법 및 장치 | |
| CN117395082B (zh) | 业务处理方法、电子设备及存储介质 | |
| US11356471B2 (en) | System and method for defending a network against cyber-threats | |
| EP2975818A1 (en) | Method and system for enhancing the security of mobile devices | |
| CN115622808A (zh) | 安全隔离的方法、电子设备、计算机可读介质 | |
| CN116781303A (zh) | 一种DDoS攻击防护方法和相关装置 | |
| KR20230156262A (ko) | 기계 학습 기반 멀웨어 검출을 위한 시스템 및 방법 | |
| CN115733684A (zh) | 一种工业通信信息安全网关系统 | |
| CN115150108A (zh) | 面向DDoS防护系统的流量监控方法、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20220426 |