CN111226426A - 多层网络拓扑中的攻击流的标识 - Google Patents

多层网络拓扑中的攻击流的标识 Download PDF

Info

Publication number
CN111226426A
CN111226426A CN201880067465.5A CN201880067465A CN111226426A CN 111226426 A CN111226426 A CN 111226426A CN 201880067465 A CN201880067465 A CN 201880067465A CN 111226426 A CN111226426 A CN 111226426A
Authority
CN
China
Prior art keywords
delay
connection
analysis unit
network
connections
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201880067465.5A
Other languages
English (en)
Other versions
CN111226426B (zh
Inventor
林俊硕
李承达
李殷
邹志鸿
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN111226426A publication Critical patent/CN111226426A/zh
Application granted granted Critical
Publication of CN111226426B publication Critical patent/CN111226426B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

实施例可以提供一种在包括处理器和存储器的数据处理系统中的计算机实现的方法,所述存储器包括指令,所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统,所述方法包括由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;如果所述传入连接延迟大于所述触发延迟,则由所述分析单元将所述传入连接报告为可疑连接;由所述分析单元确定攻击当前是否在进行中;以及如果攻击在进行中,则由分析单元用伪延迟注入传入连接的一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。

Description

多层网络拓扑中的攻击流的标识
技术领域
本申请一般涉及可用于标识涉及多个连接的攻击流的系统和方法,尤其涉及多层网络拓扑。
背景技术
在多层网络拓扑中,对于安全管理员来说,标识其中涉及多个连接的攻击流是一个两难的选择。对攻击的典型响应(其可以包括丢弃分组或重置连接)不能帮助管理员将攻击追溯回穿透源,而是只能在其最后阶段阻止攻击。安全信息和事件管理(SIEM)产品可以帮助基于连接的时间戳来使连接相关,但是这需要管理员记录环境内的所有业务,然后过滤大量的后台业务以找到连接之间的关系,这是一种最终不可持续的消耗资源的过程。
图1示出了经典的不能标识东-西攻击的整个情况。如图所示,黑客可以经由TLS协议向网站发送具有SQL注入的恶意有效载荷。由于业务被加密,因此攻击将不能被找到并被阻止,直到应用服务器(APP Server)试图查询数据库服务器(DB Server)。现有技术的安全系统会提示事件,并错误地标识从内部应用服务器到另一数据库服务器产生的攻击。然而,系统管理员将不知道攻击源自何处,并且将不能够追溯到穿透的源。
现有解决方案或者在L3/L4报头中添加特殊签名或者完全依赖于应用框架。一旦路径上的任何节点建立了到下一个实体的新连接,这些方法在现实世界中是不实际的。由于网络攻击的复杂性,攻击指示符(IOA)的传播必须独立于应用层,否则信息将可能在中间被剥离,并且源的识别将是不可能的。
发明内容
实施例可以提供一种在包括处理器和存储器的数据处理系统中的计算机实现的方法,所述存储器包括指令,所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统,所述方法包括由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;如果所述传入连接延迟大于所述触发延迟,则由所述分析单元将所述传入连接报告为可疑连接;由所述分析单元确定攻击当前是否在进行中;以及如果攻击在进行中,则由分析单元用伪延迟注入传入连接的一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。
根据一个方面,提供了一种用于提供网络保护的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其体现的程序指令,所述程序指令可由处理器执行以使所述处理器:由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;如果所述传入连接延迟大于所述触发延迟,则由所述分析单元将所述传入连接报告为可疑连接;由所述分析单元确定攻击当前是否在进行中;以及如果攻击在进行中,则由分析单元用伪延迟注入传入连接的一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。
根据另一方面,提供了一种用于提供网络保护的系统,包括:网络分析处理器,被配置为:确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;如果所述传入连接延迟大于所述触发延迟,则将所述传入连接报告为可疑连接;确定攻击当前是否在进行中;以及如果攻击在进行中,则用伪延迟注入传入连接的一个或多个分组或传出连接的一个或多个分组中的至少一个分组。
实施例可以进一步提供一种方法,该方法进一步包括:由分析单元计算到网络中的每个IP地址的一个或多个连接的延迟分布;以及由分析单元指定触发延迟。
实施例可以进一步提供一种方法,该方法进一步包括由该分析单元列出(“profiling”)最大延迟;由所述分析单元基于一个或多个报告的可疑连接来更新所述最大延迟;以及由分析单元将触发延迟指定为大于最大延迟。
实施例可以进一步提供一种方法,该方法进一步包括由分析单元用大于最大延迟的伪延迟注入传入连接的一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。
实施例可以进一步提供一种方法,该方法进一步包括:由保护单元检测具有异常延迟的外部连接遭遇;以及由保护单元执行以下项中的至少一项:隔离外部连接、重置异常连接、将异常连接重定向到蜜罐、或向事件收集器提供进一步的信息。
实施例还可以提供一种方法,该方法还包括:由DDOS保护模块确定是否将所述一个或多个连接中的每个连接传播到所述网络中;由所述DDOS保护模块确定所述系统是否能够传播所述一个或多个连接中的每个连接,包括:由所述DDOS保护模块确定先前连接被传播的最后时间;由所述DDOS保护模块将所述先前连接被传播的最后时间与预定延时时间进行比较;如果先前连接被传播的最后时间超过预定延时时间,则DDOS保护模块允许该连接传播到网络中。
实施例还可以提供一种方法,该方法还包括由DDOS保护模块基于预定延时时间来调整伪延迟。
在另一说明性实施例中,提供了一种计算机程序产品,其包括具有计算机可读程序的计算机可用或可读介质。当在处理器上执行所述计算机可读程序时,所述计算机可读程序使得所述处理器执行上面关于方法说明性实施例概述的操作中的各种操作和操作的组合。
在又一说明性实施例中,提供了一种系统。该系统可以包括网络分析处理器、网络保护处理器和DDOS保护处理器中的一个或多个,其被配置成执行以上关于方法说明性实施例概述的操作中的各种操作和其组合。
从以下参考附图进行的对说明性实施例的详细描述中,本公开的附加特征和优点将变得显而易见。
附图说明
现在将仅通过示例的方式并参考以下附图来描述本发明的优选实施例:
图1示出了现有技术的网络攻击的标识;
图2示出了根据本文所述实施例的流程图,其描述了使用本网络保护系统来检测攻击;
图3示出了根据本文所述实施例的在DDOS攻击期间网络保护系统的功能性;
图4示出了根据本文所述实施例的描述网络保护系统的功能的流程图;
图5示出了根据本文所述的实施例的当与网络集成时的网络保护系统的组件的框图;以及
图6是其中可以实现说明性实施例的各方面的示例数据处理系统的框图。
具体实施方式
与仅仅丢弃分组或重置连接的现有技术相反,本发明优选地可以通过多个参与攻击的实体传播攻击指示符(IOA)。定时是唯一的属性,其可以通过多个节点,而不管应用逻辑和网络协议。因此,本发明可以优选地创建一种新机制,以便在标识IOA时在连接中添加特殊的延迟。
通过在特定连接中向分组添加延迟,本发明可以优选地传播攻击指示符并识别相关连接,这可以大大降低SIEM产品分析所有东-西业务中的攻击流的复杂度,其中东-西业务包括数据中心内的数据业务,而不是客户端-服务器业务。在分析可疑候选者之后,在网络边缘处的网络保护产品可以标识患者零(即,攻击的源)并且重置由攻击者建立的连接。本发明然后可以优选地隔离入侵者的源IP地址。标识链路亲和性在SIEM产品中以及在整个网络安全区域中是一个难题。本发明可以优选地降低利用大多数类型的应用架构来标识攻击流的复杂度,而不需要修改应用本身或从应用本身获知。
图2示出了根据本文所述实施例的流程图,其描述了使用本网络保护系统来检测攻击。通常,攻击者200将恶意有效载荷201插入到网络中,其中正常的进入点是负载均衡器203。特定恶意有效载荷201可以攻击可以在应用服务器204中运行的特定应用205。通过应用205的感染,应用可以与包含一个或多个数据库207的数据库服务器206以及包含一个或多个文件209的一个或多个文件服务器208交互。传统上,仅在应用205与被访问的特定数据库207的交互之间,先前错误地检测检测到的攻击流210。然而,由通过伪延迟注入机制将伪延迟Δt202注入到攻击连接中,可以提供攻击的指示符,其允许对应的SIEM产品跟踪恶意有效载荷201回到原始攻击者200及其起源点,从而允许更迅速且更有效地终止攻击。可以使用该方法以便防止在应用中不存在IOA响应逻辑的情况下干扰应用逻辑。在应用具有能够响应IOA的逻辑的情况下,应用可以通过连接的应用层传播IOA信息。
为了避免分布式拒绝服务(DDoS)攻击,由于作为DDoS攻击的一部分而发生的大量攻击,每次检测到攻击时都不能触发伪延迟注入机制。网络保护系统还可以提供避免DDOS攻击的过程,因此可以在可配置的时间窗口中单独地触发一次或多次伪延迟注入。
图3示出了根据本文所述实施例的DDOS攻击期间网络保护系统的功能性。在接收到传入分组301时,系统可以检查该分组以确定该分组的特性,并且确定该分组是否是恶意有效载荷或DDOS攻击302的一部分。基于对分组302的检查,系统可以决定是否将连接传播到网络303中。如果系统选择不将连接传播到网络中,则系统可以拒绝分组进入网络。
如果系统选择将连接传播到网络中,则系统然后可以确定系统是否能够传播连接304。系统可以针对预定延时时间308通过确定连接被传播307的最后时间来做出该确定。如果最后传播时间307小于预定延时时间308,则该连接不能被传播,并且系统可以采取一个或多个原始动作306,其可以包括重置连接、修改有效载荷(或分组)、或者允许或拒绝分组进入网络。如果最后传播时间307大于预定延时时间308,则一旦系统已经通过使用伪延迟注入机制305将伪延迟延时和/或签名注入分组中,则可以传播连接,这可以包括延时分组传播到网络中(即,注入伪延迟)。然后,修改后的分组可以具有对其动作的一个或多个原始动作306,包括允许通过网络对修改后的分组进行允许。
在采取任何原始动作306(例如重置连接、修改有效载荷或允许分组)之前,系统可能在需要的时候注入伪延迟。在不必完全依赖于所检测到的攻击/事件的情况下,网络保护系统还可以考虑最后的传播时间和时间窗口。利用这种机制,网络保护系统可以避免DDOS攻击。在一个实施例中,由于管理员可以容易地过滤正常业务,因此可以根据环境和预定延时时间来自适应地计算注入的伪延迟ΔT,这不会引起显著的服务影响。
图4示出了根据本文所述实施例的描述网络保护系统的功能的流程图。网络保护系统的实现可以包括两部分,第一部分是每个有效载荷上的保护单元401,第二部分是分析单元400,其可以位于中央服务器上,例如SIEM产品。在一个实施例中,分析单元400可以使用列出机制和流数据来计算到每个IP地址的总体连接的伪延迟分布,并且可以列出最大延迟Δu402。分析单元400然后可以指定触发延迟,该触发延迟可以大于最大允许延迟Δu。在一个实施例中,触发延迟可以大于给定定时窗口中的最大延迟Δu。分析单元400然后可以确定任何传入连接是否具有大于触发延迟的伪延迟403。如果是,则分析单元400可以经由流数据报告可疑连接407。若否,分析单元400可经由流量数据更新最大延迟Δu 404。分析单元400然后可以检测攻击当前是否在进行中405。如果不是,分析单元400可以重新列出最大延迟Δu402,并重复之前的处理。
在攻击的情况下,分析单元400可以用伪延迟Δt注入恶意有效载荷408。注入伪延迟可以涉及用伪延迟将分组延时Δt。在一个实施例中,Δt可以大于Δu。在一个实施例中,在连接上注入伪延迟Δt可以在采取诸如重置/关闭连接的其他动作之前发生。伪延迟的添加创建了异常连接,这可能导致网络云中的其他组件的异常延迟,这可能容易地传播具有异常延迟尖峰的错误,并且允许更详细的跟踪。
当边缘上的保护单元401遇到具有由分析单元400检测到的异常延迟的任何外部连接遭遇时,它可以隔离连接409、重置连接410、将连接重定向到用于源的蜜罐411,或者可以向事件收集器(例如SIEM产品)提供412进一步的信息以用于进一步分析。
图5图示了根据本文所述的实施例的当与网络集成时的网络保护系统的组件的框图。在调解中央服务器500与客户端501之间的经典交互时,网络保护系统可以包括容纳在中央服务器500上的伪延迟计算模块502以及容纳在中央服务器500上的服务器DDOS防止模块503。基于流数据、API或请求简档和/或任何安全事件响应,客户端501可以将伪延迟注入504插入到特定网络流中,该伪延迟注入可以由伪延迟计算模块502使用以确定攻击的路径和源,如上所述。另外,客户端DDOS防止模块505可被嵌入在客户端501内以在客户端侧DDOS攻击的情况下提供附加的DDOS保护。伪延迟计算模块502和服务器DDOS防止模块503可以将延迟值和诸如预定时间延时的反DDOS材料从中央服务器500传递到客户端501,以便使网络具有攻击调解能力。
图6是示例数据处理系统600的框图,其中可以实现说明性实施例的各方面,例如用户代理、认证器和/或认证服务器。数据处理系统600是诸如服务器或客户机的计算机的示例,实现本发明的说明性实施例的过程的计算机可用代码或指令位于其中。在一个实施例中,图6表示实现本文所描述的网络保护系统的服务器计算设备,诸如服务器。
在所描述的示例中,数据处理系统600可以采用集线器体系结构,其包括北桥和存储器控制器集线器(NB/MCH)601以及南桥和输入/输出(I/O)控制器集线器(SB/ICH)602。处理单元603、主存储器604和图形处理器605可以连接到NB/MCH601。图形处理器605可以通过加速图形端口(AGP)连接到NB/MCH。
在所描述的示例中,网络适配器606连接到SB/ICH602。音频适配器607、键盘和鼠标适配器608、调制解调器609、只读存储器(ROM)610、硬盘驱动器(HDD)611、光盘驱动器(CD或DVD)612、通用串行总线(USB)端口和其它通信端口613以及PCI/PCIe设备614可以通过总线系统616连接到SB/ICH602。PCI/PCIe设备614可以包括以太网适配器、附加卡和用于笔记本计算机的PC卡。ROM610可以是例如闪速基本输入/输出系统(BIOS)。HDD611和光驱612可以使用集成驱动电子设备(IDE)或串行高级技术附件(SATA)接口。超级I/O(SIO)设备615可以连接到SB/ICH。
操作系统可以在处理单元603上运行。操作系统可以协调并提供对数据处理系统600内的各种组件的控制。作为客户端,操作系统可以是市场上可买到的操作系统。面向对象的编程系统,例如JavaTM编程系统,可以与操作系统一起运行,并且从在数据处理系统600上执行的面向对象的程序或应用提供对操作系统的调用。作为服务器,数据处理系统600可以是运行高级交互执行操作系统或Linux操作系统的
Figure BDA0002453298790000081
eServerTM System
Figure BDA0002453298790000082
系统。数据处理系统600可以是对称多处理器(SMP)系统,其可以包括处理单元603中的多个处理器。或者,可以采用单处理器系统。
用于操作系统、面向对象的编程系统以及应用或程序的指令位于诸如HDD611的存储设备上,并且被加载到主存储器604中以由处理单元603执行。网络保护系统的实施例的过程可以由处理单元603使用计算机可用程序代码来执行,该计算机可用程序代码可以位于诸如例如,主存储器604、ROM610之类的存储器中,或者位于一个或多个外围设备中。
总线系统616可以包括一个或多个总线。总线系统616可以使用任何类型的通信结构或体系结构来实现,所述通信结构或体系结构可以提供在附接到该结构或体系结构的不同组件或设备之间的数据的传递。诸如调制解调器609或网络适配器606之类的通信单元可以包括一个或多个可以用于传输和接收数据的设备。
本领域的普通技术人员将理解,图6中描述的硬件可以根据实现而变化。除了所描述的硬件之外,或者代替所描述的硬件,可以使用其它内部硬件或外围设备,例如闪存、等效的非易失性存储器或光盘驱动器。此外,数据处理系统600可以采取多种不同数据处理系统中的任何一种的形式,包括但不限于客户端计算设备、服务器计算设备、平板计算机、膝上型计算机、电话或其他通信设备、个人数字助理等。本质上,数据处理系统600可以是任何已知的或以后开发的数据处理系统,而没有架构限制。
本说明书和权利要求书可以关于说明性实施例的特定特征和元素使用术语"一"、"至少一个"和"一个或多个"。应当理解,这些术语和短语旨在表明在特定的说明性实施例中存在至少一个特定特征或元素,但是也可以存在多于一个。也就是说,这些术语/短语不旨在将说明书或权利要求限制为存在单个特征/元素或要求存在多个这样的特征/元素。相反,这些术语/短语仅要求至少单个特征/元素,其中多个这样的特征/元件的可能性在说明书和权利要求的范围内。
此外,应当理解,以下描述使用说明性实施例的各种元件的多个各种示例来进一步说明说明性实施例的示例实现,并且帮助理解说明性实施例的机制。这些示例旨在是非限制性的,并且不是用于实现说明性实施例的机制的各种可能性的穷举。鉴于本说明书,对于本领域的普通技术人员来说,显然,在不脱离本发明的精神和范围的情况下,除了本文提供的示例之外,或者作为其替代,还存在针对可以被利用的这些各种元素的许多其它替代实现。
本发明可以是系统、方法和/或计算机程序产品。计算机程序产品可以包括其上具有计算机可读程序指令的计算机可读存储介质(或多个介质),所述计算机可读程序指令用于使处理器执行本发明的各方面。
计算机可读存储介质可以是可以保持和存储由指令执行设备使用的指令的有形设备。计算机可读存储介质例如可以是――但不限于――电存储设备、磁存储设备、光存储设备、电磁存储设备、半导体存储设备或者上述的任意合适的组合。计算机可读存储介质的更具体的例子(非穷举的列表)包括:便携式计算机盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、静态随机存取存储器(SRAM)、便携式压缩盘只读存储器(CD-ROM)、数字多功能盘(DVD)、记忆棒、软盘、机械编码设备、例如其上存储有指令的打孔卡或凹槽内凸起结构、以及上述的任意合适的组合。这里所使用的计算机可读存储介质不被解释为瞬时信号本身,诸如无线电波或者其他自由传播的电磁波、通过波导或其他传输媒介传播的电磁波(例如,通过光纤电缆的光脉冲)、或者通过电线传输的电信号。
这里所描述的计算机可读程序指令可以从计算机可读存储介质下载到各个计算/处理设备,或者通过网络、例如因特网、局域网(LAN)、广域网(WAN)和/或无线网下载到外部计算机或外部存储设备。网络可以包括铜传输电缆、光纤传输、无线传输、路由器、防火墙、交换机、网关计算机和/或边缘服务器。每个计算/处理设备中的网络适配卡或者网络接口从网络接收计算机可读程序指令,并转发该计算机可读程序指令,以供存储在各个计算/处理设备中的计算机可读存储介质中。
用于执行本发明的操作的计算机可读程序指令可以是汇编指令、指令集架构(ISA)指令、机器指令、机器相关指令、微代码、固件指令、状态设置数据,或者以一种或多种编程语言的任意组合编写的源代码或目标代码,所述编程语言包括面向对象的编程语言,例如Java、Smalltalk、C++等,以及常规的过程式编程语言,例如"C"编程语言或类似的编程语言。计算机可读程序指令可以完全在用户的计算机上执行,部分在用户的计算机上执行,作为独立的软件包执行,部分在用户的计算机上并且部分在远程计算机上执行,或者完全在远程计算机或服务器上执行。在后一种情况下,远程计算机可以通过任何类型的网络,包括LAN或WAN,连接到用户的计算机,或者可以连接到外部计算机(例如,使用因特网服务提供商通过因特网)。在一些实施例中,为了执行本发明的各方面,包括例如可编程逻辑电路、现场可编程门阵列(FPGA)或可编程逻辑阵列(PLA)的电子电路可以通过利用计算机可读程序指令的状态信息来执行计算机可读程序指令以使电子电路个性化。
里参照根据本发明实施例的方法、装置(系统)和计算机程序产品的流程图和/或框图描述了本发明的各个方面。应当理解,流程图和/或框图的每个方框以及流程图和/或框图中各方框的组合,都可以由计算机可读程序指令实现。
这些计算机可读程序指令可以提供给通用计算机、专用计算机或其它可编程数据处理装置的处理器,从而生产出一种机器,使得这些指令在通过计算机或其它可编程数据处理装置的处理器执行时,产生了实现流程图和/或框图中的一个或多个方框中规定的功能/动作的装置。也可以把这些计算机可读程序指令存储在计算机可读存储介质中,这些指令使得计算机、可编程数据处理装置和/或其他设备以特定方式工作,从而,存储有指令的计算机可读介质则包括一个制造品,其包括实现流程图和/或框图中的一个或多个方框中规定的功能/动作的各个方面的指令。
也可以把计算机可读程序指令加载到计算机、其它可编程数据处理装置、或其它设备上,使得在计算机、其它可编程数据处理装置或其它设备上执行一系列操作步骤,以产生计算机实现的过程,从而使得在计算机、其它可编程数据处理装置、或其它设备上执行的指令实现流程图和/或框图中的一个或多个方框中规定的功能/动作。
附图中的流程图和框图显示了根据本发明的多个实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上,流程图或框图中的每个方框可以代表一个模块、程序段或指令的一部分,所述模块、程序段或指令的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。在有些作为替换的实现中,方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如,两个连续的方框实际上可以基本并行地执行,它们有时也可以按相反的顺序执行,这依所涉及的功能而定。也要注意的是,框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合,可以用执行规定的功能或动作的专用的基于硬件的系统来实现,或者可以用专用硬件与计算机指令的组合来实现。
附图中的系统和过程不是排他性的。根据这里描述的实施例的原理,可以导出其它系统、过程和菜单,以实现相同的目的。应当理解,本文示出和描述的实施例和变型仅用于说明的目的。在不脱离实施例的范围的情况下,本领域技术人员可以实现对当前设计的修改。如本文所述,可以使用硬件组件、软件组件和/或其组合来实现各种系统、子系统、代理、管理器和过程。除非使用短语"装置"明确地叙述了本文的权利要求要素,否则不应在35美国专利第112条第六段的规定下解释该要素。
尽管已经参考示例性实施例描述了本发明,但是本发明不限于此。本领域技术人员将理解,可以对本发明的优选实施例进行许多改变和修改,并且可以在不偏离本发明的真实精神的情况下进行这样的改变和修改。因此,所附权利要求书旨在被解释为覆盖落入本发明的真实精神和范围内的所有这些等同变化。

Claims (21)

1.一种在包括处理器和存储器的数据处理系统中的计算机实现的方法,所述存储器包括指令,所述指令由所述处理器执行以使所述处理器实现用于网络保护的系统,所述方法包括:
由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;
如果传入连接延迟大于所述触发延迟,则由所述分析单元将所述传入连接报告为可疑连接;
由所述分析单元确定攻击当前是否在进行中;以及
如果所述攻击在进行中,则由分析单元用伪延迟注入所述传入连接的所述一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。
2.根据权利要求1所述的方法,还包括:
由分析单元计算到网络中的每个IP地址的一个或多个连接的延迟分布;以及
由所述分析单元基于所述延迟分布来指定所述触发延迟。
3.根据权利要求2所述的方法,还包括:
由所述分析单元列出最大延迟;
由所述分析单元基于一个或多个报告的可疑连接来更新所述最大延迟;以及
由所述分析单元将所述触发延迟指定为大于所述最大延迟。
4.根据权利要求3所述的方法,还包括:
由所述分析单元用大于所述最大延迟的伪延迟注入所述传入连接的所述一个或多个分组或传出连接的所述一个或多个分组中的所述至少一个分组。
5.根据权利要求1所述的方法,还包括:
由保护单元检测具有异常延迟的外部连接遭遇;以及
由所述保护单元执行以下项中的至少一项:隔离外部连接、重置异常连接、将所述异常连接重定向到蜜罐或将进一步的信息提供到事件收集器。
6.根据权利要求1所述的方法,还包括:
由DDOS保护模块确定是否将一个或多个连接中的每个连接传播到所述网络中;
由所述DDOS保护模块确定所述系统是否能够传播所述一个或多个连接中的每个连接,包括:
由所述DDOS保护模块确定先前连接传播的最后时间;
由所述DDOS保护模块将所述先前连接被传播的最后时间与预定延迟时间进行比较;
如果所述先前连接被传播的最后时间超过所述预定延迟时间,则所述DDOS保护模块允许所述连接传播到所述网络中。
7.根据权利要求6所述的方法,还包括:
由所述DDOS保护模块基于所述预定延迟时间来调整所述伪延迟。
8.一种用于提供网络保护的计算机程序产品,所述计算机程序产品包括计算机可读存储介质,所述计算机可读存储介质具有随其体现的程序指令,所述程序指令由处理器可执行以使所述处理器:
由所述分析单元确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;
如果所述传入连接延迟大于所述触发延迟,则由所述分析单元将所述传入连接报告为可疑连接;
由所述分析单元确定攻击当前是否在进行中;以及
如果攻击在进行中,则由分析单元用伪延迟注入所述传入连接的所述一个或多个分组或者传出连接的一个或多个分组中的至少一个分组。
9.根据权利要求8所述的计算机程序产品,所述处理器还被配置为:
由分析单元计算到网络中的每个IP地址的一个或多个连接的延迟分布;以及
由所述分析单元指定所述触发延迟。
10.根据权利要求9所述的计算机程序产品,所述处理器还被配置为:
由所述分析单元列出最大延迟;
由所述分析单元基于一个或多个报告的可疑连接来更新所述最大延迟;以及
由所述分析单元将所述触发延迟指定为大于所述最大延迟。
11.根据权利要求10所述的计算机程序产品,所述处理器还被配置为:
由所述分析单元用大于所述最大延迟的伪延迟注入所述传入连接的所述一个或多个分组或传出连接的所述一个或多个分组中的所述至少一个分组。
12.根据权利要求8所述的计算机程序产品,所述处理器还被配置为:
检测具有异常延迟的外部连接遭遇;以及
执行以下项中的至少一项:隔离外部连接、重置所述异常连接、将所述异常连接重定向到蜜罐或将进一步的信息提供到事件收集器。
13.根据权利要求8所述的计算机程序产品,所述处理器还被配置为:
由DDOS保护模块确定是否将一个或多个连接中的每个连接传播到所述网络中;
由所述DDOS保护模块确定所述系统是否能够传播所述一个或多个连接中的每个连接,包括:
由所述DDOS保护模块确定先前连接被传播的最后时间;
由所述DDOS保护模块将所述先前连接被传播的所述最后时间与预定延迟时间进行比较;
如果所述先前连接被传播的所述最后时间超过所述预定延迟时间,则所述DDOS保护模块允许所述连接传播到所述网络中。
14.根据权利要求13所述的计算机程序产品,所述处理器还被配置为:
基于所述预定延迟时间来调整所述伪延迟。
15.一种用于提供网络保护的系统,包括:
网络分析处理器,被配置为:
确定包括一个或多个分组的传入连接是否具有大于触发延迟的伪延迟;
如果传入连接延迟大于所述触发延迟,则将所述传入连接报告为可疑连接;
确定攻击当前是否在进行中;以及
如果所述攻击在进行中,则用伪延迟注入所述传入连接的所述一个或多个分组或传出连接的一个或多个分组中的至少一个分组。
16.根据权利要求15所述的系统,所述网络分析处理器还被配置为:
计算到网络中的每个IP地址的一个或多个连接的延迟分布;以及
指定所述触发延迟。
17.根据权利要求16所述的系统,所述网络分析处理器还被配置为:
列出最大延迟;
基于一个或多个报告的可疑连接来更新所述最大延迟;以及
将所述触发延迟指定为大于所述最大延迟。
18.根据权利要求17所述的系统,所述网络分析处理器还被配置为:
用大于所述最大延迟的伪延迟来注入所述传入连接的所述一个或多个分组或传出连接的所述一个或多个分组中的所述至少一个分组。
19.根据权利要求15所述的系统,还包括:
网络保护处理器,被配置为:
检测具有异常延迟的外部连接遭遇;以及
执行以下项中的至少一项:隔离外部连接、重置异常连接、将所述异常连接重定向到蜜罐或将进一步的信息提供到事件收集器。
20.根据权利要求15所述的系统,还包括:
DDOS保护处理器,被配置为:
确定是否将一个或多个连接中的每个连接传播到所述网络中;
确定所述系统是否能够传播所述一个或多个连接中的每个连接,包括:
确定先前连接被传播的最后时间;
将所述先前连接被传播的所述最后时间与预定延迟时间进行比较;
如果所述先前连接被传播的所述最后时间超过所述预定延迟时间,则允许所述连接传播到所述网络中。
21.根据权利要求20所述的系统,其中所述DDOS保护处理器被配置为:
基于所述预定延迟时间来调整所述伪延迟。
CN201880067465.5A 2017-10-18 2018-10-11 多层网络拓扑中的攻击流的标识 Active CN111226426B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/787,505 2017-10-18
US15/787,505 US10609068B2 (en) 2017-10-18 2017-10-18 Identification of attack flows in a multi-tier network topology
PCT/IB2018/057875 WO2019077444A1 (en) 2017-10-18 2018-10-11 IDENTIFICATION OF ATTACK FLOW IN MULTI-LEVEL NETWORK TOPOLOGY

Publications (2)

Publication Number Publication Date
CN111226426A true CN111226426A (zh) 2020-06-02
CN111226426B CN111226426B (zh) 2022-09-13

Family

ID=66097133

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201880067465.5A Active CN111226426B (zh) 2017-10-18 2018-10-11 多层网络拓扑中的攻击流的标识

Country Status (6)

Country Link
US (2) US10609068B2 (zh)
JP (1) JP7002647B2 (zh)
CN (1) CN111226426B (zh)
DE (1) DE112018004408B4 (zh)
GB (1) GB2579758B (zh)
WO (1) WO2019077444A1 (zh)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2413699B1 (en) 2009-04-01 2019-11-20 Tearscience, Inc. Ocular surface interferometry (osi) apparatus for imaging an ocular tear film
CN108670190A (zh) 2013-05-03 2018-10-19 眼泪科学公司 用于对睑板腺进行成像以供睑板腺分析的眼睑照明系统和方法
EP3712721A1 (de) * 2019-03-19 2020-09-23 Siemens Aktiengesellschaft Sicherheitsrelevante diagnosemeldungen
JP7111249B2 (ja) * 2019-03-28 2022-08-02 日本電気株式会社 分析システム、方法およびプログラム
CN111885034B (zh) * 2020-07-15 2022-09-13 杭州安恒信息技术股份有限公司 物联网攻击事件追踪方法、装置和计算机设备

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101099320A (zh) * 2005-02-15 2008-01-02 思科技术公司 基于时钟的重发保护
CN102882884A (zh) * 2012-10-13 2013-01-16 山东电力集团公司电力科学研究院 信息化生产环境下基于蜜网的风险预警系统及方法
CN103918222A (zh) * 2011-10-21 2014-07-09 迈克菲公司 用于检测拒绝服务攻击的系统和方法
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
US20160234230A1 (en) * 2012-09-27 2016-08-11 F5 Networks, Inc. System and method for preventing dos attacks utilizing invalid transaction statistics
CN105940655A (zh) * 2013-11-29 2016-09-14 荷兰应用科学研究会(Tno) 用于防范DDos攻击的系统
US20160359592A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. Techniques for determining network anomalies in data center networks
EP3116190A1 (en) * 2015-07-07 2017-01-11 Accenture Global Services Limited Threat assessment level determination and remediation for a cloud-based multi-layer security architecture
WO2017147116A1 (en) * 2016-02-23 2017-08-31 Google Inc. Clock period randomization for defense against cryptographic attacks
US9762610B1 (en) * 2015-10-30 2017-09-12 Palo Alto Networks, Inc. Latency-based policy activation

Family Cites Families (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653706B2 (en) * 2000-07-19 2010-01-26 Akamai Technologies, Inc. Dynamic image delivery system
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7895431B2 (en) 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
JP4602158B2 (ja) 2005-05-25 2010-12-22 三菱電機株式会社 サーバ装置保護システム
US20090030870A1 (en) 2007-07-27 2009-01-29 Microsoft Corporation Error propagation in object-relational mapping platform
US20110085443A1 (en) 2008-06-03 2011-04-14 Hitachi. Ltd. Packet Analysis Apparatus
WO2011109420A1 (en) * 2010-03-01 2011-09-09 Silver Tail Systems System and method for network security including detection of attacks through partner websites
US9483292B2 (en) * 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US8826437B2 (en) 2010-12-14 2014-09-02 General Electric Company Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
US8789158B2 (en) * 2011-02-17 2014-07-22 Ebay Inc. Using clock drift, clock slew, and network latency to enhance machine identification
US8683592B1 (en) 2011-12-30 2014-03-25 Emc Corporation Associating network and storage activities for forensic analysis
US10348767B1 (en) * 2013-02-26 2019-07-09 Zentera Systems, Inc. Cloud over IP session layer network
US9178899B2 (en) 2013-08-28 2015-11-03 Bank Of America Corporation Detecting automated site scans
US9208335B2 (en) 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
EP3066569B1 (en) 2013-11-04 2021-05-26 Amazon Technologies, Inc. Centralized networking configuration in distributed systems
US10091238B2 (en) * 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9660895B1 (en) * 2014-03-04 2017-05-23 Amazon Technologies, Inc. Geolocation routing and simulation of network conditions
CN103916387B (zh) 2014-03-18 2017-06-06 汉柏科技有限公司 一种防护ddos攻击的方法及系统
US9497215B2 (en) * 2014-07-23 2016-11-15 Cisco Technology, Inc. Stealth mitigation for simulating the success of an attack
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9887933B2 (en) 2014-10-31 2018-02-06 The Nielsen Company (Us), Llc Method and apparatus to throttle media access by web crawlers
US9912681B1 (en) * 2015-03-31 2018-03-06 Fireeye, Inc. Injection of content processing delay in an endpoint
US10095878B2 (en) * 2015-06-02 2018-10-09 ALTR Solutions, Inc. Internal controls engine and reporting of events generated by a network or associated applications
US10084642B2 (en) * 2015-06-02 2018-09-25 ALTR Solutions, Inc. Automated sensing of network conditions for dynamically provisioning efficient VPN tunnels
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9912678B2 (en) * 2015-06-24 2018-03-06 Verisign, Inc. Techniques for automatically mitigating denial of service attacks via attack pattern matching
JP6028839B1 (ja) 2015-07-16 2016-11-24 日本電気株式会社 通信装置、通信処理方法、プログラム
US10181986B2 (en) * 2015-11-02 2019-01-15 International Business Machines Corporation Action records in virtual space
CN105490882B (zh) 2015-12-11 2018-10-23 上海大学 可抵御膨胀攻击的网络物理带宽测量方法
US10129125B2 (en) * 2015-12-18 2018-11-13 Mcafee, Llc Identifying a source device in a software-defined network
US9917775B2 (en) * 2015-12-22 2018-03-13 Mcafee, Llc Intelligent devices in a software-defined network
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
CN105743880A (zh) 2016-01-12 2016-07-06 西安科技大学 一种数据分析系统
US10701076B2 (en) * 2016-01-14 2020-06-30 Arbor Networks, Inc. Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
US9942253B2 (en) * 2016-01-15 2018-04-10 Kentlik Technologies, Inc. Network monitoring, detection, and analysis system
US10296748B2 (en) * 2016-02-25 2019-05-21 Sas Institute Inc. Simulated attack generator for testing a cybersecurity system
US20170295200A1 (en) * 2016-04-11 2017-10-12 Taric Mirza Distributed Denial Of Service Attack Protection
US10305807B2 (en) * 2016-05-03 2019-05-28 Citrix Systems, Inc. Systems and methods to choose an optimal path from multiple high latency links
US20170364794A1 (en) * 2016-06-20 2017-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Method for classifying the payload of encrypted traffic flows
US10397247B2 (en) * 2016-08-16 2019-08-27 International Business Machines Corporation Smart intrusion prevention policy
EP3293937A1 (en) * 2016-09-12 2018-03-14 Vectra Networks, Inc. Method and system for detecting malicious payloads
US9692784B1 (en) * 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US9756061B1 (en) * 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US20180159894A1 (en) * 2016-12-01 2018-06-07 Cisco Technology, Inc. Automatic threshold limit configuration for internet of things devices
US11122129B2 (en) * 2016-12-31 2021-09-14 Intel Corporation Virtual network function migration
US10757161B2 (en) * 2017-01-09 2020-08-25 Citrix Systems, Inc. Learning technique for QoS based classification and prioritization of SAAS applications
US10609054B2 (en) * 2017-04-07 2020-03-31 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring, adjusting, and utilizing latency associated with accessing distributed computing resources
US10904288B2 (en) * 2017-04-18 2021-01-26 Perspecta Labs Inc. Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
US10762201B2 (en) * 2017-04-20 2020-09-01 Level Effect LLC Apparatus and method for conducting endpoint-network-monitoring
US10484418B2 (en) * 2017-05-26 2019-11-19 ShieldX Networks, Inc. Systems and methods for updating security policies for network traffic
US10862921B2 (en) * 2017-07-31 2020-12-08 Cisco Technology, Inc. Application-aware intrusion detection system
US10116671B1 (en) * 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101099320A (zh) * 2005-02-15 2008-01-02 思科技术公司 基于时钟的重发保护
CN103918222A (zh) * 2011-10-21 2014-07-09 迈克菲公司 用于检测拒绝服务攻击的系统和方法
US20160234230A1 (en) * 2012-09-27 2016-08-11 F5 Networks, Inc. System and method for preventing dos attacks utilizing invalid transaction statistics
CN102882884A (zh) * 2012-10-13 2013-01-16 山东电力集团公司电力科学研究院 信息化生产环境下基于蜜网的风险预警系统及方法
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
CN105940655A (zh) * 2013-11-29 2016-09-14 荷兰应用科学研究会(Tno) 用于防范DDos攻击的系统
US20160359592A1 (en) * 2015-06-05 2016-12-08 Cisco Technology, Inc. Techniques for determining network anomalies in data center networks
EP3116190A1 (en) * 2015-07-07 2017-01-11 Accenture Global Services Limited Threat assessment level determination and remediation for a cloud-based multi-layer security architecture
US9762610B1 (en) * 2015-10-30 2017-09-12 Palo Alto Networks, Inc. Latency-based policy activation
WO2017147116A1 (en) * 2016-02-23 2017-08-31 Google Inc. Clock period randomization for defense against cryptographic attacks

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
DONG WANG: ""Security-guaranteed filtering for discrete-time stochastic delayed systems with randomly occurring sensor saturations and deception attacks"", 《 HTTPS://DOI.ORG/10.1002/RNC.3623》 *

Also Published As

Publication number Publication date
GB2579758B (en) 2021-02-24
DE112018004408T5 (de) 2020-05-20
US11122077B2 (en) 2021-09-14
US20200153857A1 (en) 2020-05-14
GB202006906D0 (en) 2020-06-24
US20190116203A1 (en) 2019-04-18
GB2579758A (en) 2020-07-01
WO2019077444A1 (en) 2019-04-25
US10609068B2 (en) 2020-03-31
DE112018004408B4 (de) 2023-02-09
JP2021500640A (ja) 2021-01-07
JP7002647B2 (ja) 2022-01-20
CN111226426B (zh) 2022-09-13

Similar Documents

Publication Publication Date Title
CN111226426B (zh) 多层网络拓扑中的攻击流的标识
US10609079B2 (en) Application of advanced cybersecurity threat mitigation to rogue devices, privilege escalation, and risk-based vulnerability and patch management
US12003534B2 (en) Detecting and mitigating forged authentication attacks within a domain
US10594714B2 (en) User and entity behavioral analysis using an advanced cyber decision platform
US10432660B2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US11005824B2 (en) Detecting and mitigating forged authentication object attacks using an advanced cyber decision platform
US11757920B2 (en) User and entity behavioral analysis with network topology enhancements
US11757849B2 (en) Detecting and mitigating forged authentication object attacks in multi-cloud environments
US11552968B2 (en) System and methods for detecting and mitigating golden SAML attacks against federated services
US10666680B2 (en) Service overload attack protection based on selective packet transmission
US20230388278A1 (en) Detecting and mitigating forged authentication object attacks in multi - cloud environments with attestation
Bhuiyan et al. API vulnerabilities: Current status and dependencies
US20190116103A1 (en) System and method for botnet identification
US12039037B2 (en) Online command injection attacks identification
EP3679506A2 (en) Advanced cybersecurity threat mitigation for inter-bank financial transactions
US20240214399A1 (en) System and method for filtering events for transmission to remote devices
EP4395259A1 (en) System and method for filtering events for transmission to remote devices
US11451584B2 (en) Detecting a remote exploitation attack

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant