CN112602301B - 用于高效网络保护的方法和系统 - Google Patents
用于高效网络保护的方法和系统 Download PDFInfo
- Publication number
- CN112602301B CN112602301B CN201980055472.8A CN201980055472A CN112602301B CN 112602301 B CN112602301 B CN 112602301B CN 201980055472 A CN201980055472 A CN 201980055472A CN 112602301 B CN112602301 B CN 112602301B
- Authority
- CN
- China
- Prior art keywords
- threat
- packet
- network
- packets
- gateway
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 88
- 238000004891 communication Methods 0.000 claims abstract description 214
- 238000003012 network analysis Methods 0.000 claims abstract description 116
- 230000009471 action Effects 0.000 claims abstract description 25
- 238000004458 analytical method Methods 0.000 claims description 93
- 238000001914 filtration Methods 0.000 claims description 62
- 230000008569 process Effects 0.000 claims description 37
- 238000012545 processing Methods 0.000 claims description 35
- 238000001514 detection method Methods 0.000 claims description 18
- 244000035744 Hura crepitans Species 0.000 claims description 4
- 238000012806 monitoring device Methods 0.000 claims 1
- 238000007726 management method Methods 0.000 description 32
- 230000001012 protector Effects 0.000 description 22
- 206010072968 Neuroendocrine cell hyperplasia of infancy Diseases 0.000 description 18
- 102100025825 Methylated-DNA-protein-cysteine methyltransferase Human genes 0.000 description 10
- 230000000903 blocking effect Effects 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 10
- 108040008770 methylated-DNA-[protein]-cysteine S-methyltransferase activity proteins Proteins 0.000 description 10
- 238000011282 treatment Methods 0.000 description 10
- 238000012953 risk communication Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 8
- 230000006399 behavior Effects 0.000 description 7
- 230000006872 improvement Effects 0.000 description 5
- 230000000246 remedial effect Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 2
- 230000001934 delay Effects 0.000 description 2
- 238000013461 design Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000000644 propagated effect Effects 0.000 description 2
- 230000001681 protective effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- RJKFOVLPORLFTN-LEKSSAKUSA-N Progesterone Chemical compound C1CC2=CC(=O)CC[C@]2(C)[C@@H]2[C@@H]1[C@@H]1CC[C@H](C(=O)C)[C@@]1(C)CC2 RJKFOVLPORLFTN-LEKSSAKUSA-N 0.000 description 1
- 101100219553 Saccharomyces cerevisiae (strain ATCC 204508 / S288c) SRV2 gene Proteins 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000004374 forensic analysis Methods 0.000 description 1
- 238000010921 in-depth analysis Methods 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000008054 signal transmission Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/16—Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
公开了用于将网络威胁情报(CTI)、威胁元数据和威胁情报网关与分析系统集成在一起以形成用于主动、前摄性以及被动网络保护的有效且高效的系统的方法和系统。网络网关可以由多级构成。第一级可以包括威胁情报网关(TIG)。第二级可以包括一个或多个网络分析系统,这些系统摄取经TIG过滤的通信和相关联的威胁元数据信号。第三级可以包括确定哪些保护动作的网络保护逻辑。网关可以提供和配置有规则,这些规则指定要实施的网络保护策略。网关可以摄取受保护的网络和不受保护的网络之间流动的所有通信。
Description
相关申请的交叉引用
本申请要求于2018年7月9日提交的美国非临时专利申请第16/030,374号的优先权,其内容通过引用明确地整体并入本文。
技术领域
本文描述的方面总体上涉及计算机硬件和软件以及网络安全性。具体地,本公开的一个或多个方面总体上涉及用于对网络通信的高效、高保真、低延迟网络分析的计算机硬件和软件,其可以用于保护TCP/IP网络免受互联网传播的威胁和攻击。
背景技术
随着信息时代的不断发展,网络安全正变得越来越重要。网络威胁/攻击可能采取多种形式,包括未经授权的请求或数据传输、病毒、恶意软件、旨在淹没资源的大量流量等。已经开发了各种自动化网络分析系统来保护网络免受此类网络威胁。实际上,网络分析系统通常以非常低效的方式运行。
常规的网络保护解决方案,诸如网络防火墙和网络入侵检测系统,效率通常过于低下且速度慢,无法主动和前摄性地保护网络免受现代互联网传播的网络威胁和攻击。因此,这些解决方案无法有效地保护企业网络。这些系统通过使用基于签名的方法、基于异常的方法、基于行为的方法、基于情报的方法、恶意软件分析方法等来分析网络通信,从而检测网络威胁。通常,这些网络分析系统用于对网络进行被动防御,例如,在发生威胁/攻击后对其进行检测和缓解。
在TCP/IP网络中,通信是两个端点之间的分组流(通常是双向的),并且可以通过源IP地址和目的IP地址的L3/L4“5元组”、源端口和目的端口以及L4协议类型(例如,TCP、UDP等)来表征。常规解决方案可能会记录跨企业网络周界的所有分组通信,这些通信通常可能位于受保护网络和互联网之间的边界处。还可以捕获、复制和/或存储分组,以用于后续的网络分析。可以在所存储的日志中搜索成为潜在威胁/攻击的通信。所存储的分组可以被输入到自动化网络分析系统中,该自动化网络分析系统搜索指示潜在威胁的签名和行为。自动化网络分析系统通常不部署为内联系统,因为随着流量负荷的增加,它们可能会将网络性能降低到无法接受的水平。
任何潜在的威胁都可以报告给人类网络分析师,他们可以:(a)判定通信可能是威胁,并识别可以减轻该威胁的任何补救措施;或者(b)判定通信可能不是威胁;或者(c)不做出判定,因为例如可能没有足够的信息来做出判定,或者例如由于其工作队列中潜在威胁的数量过多,他们没有调查威胁。
由于已确认的威胁/攻击通常只占企业与互联网通信量的不到1%,因此常规的解决方案方法可能效率极低、速度缓慢且不准确。大量的可用时间和资源可能会浪费在搜索和分析合法(非威胁的,良性)通信上。此外,由于威胁的多样性和复杂性使得难以生成能够检测所有威胁的搜索标准以及分析规则和算法,因此许多实际威胁并未被发现。搜索标准和分析规则可能会将相对大量的合法通信识别为潜在威胁,这可能会进一步加剧效率低下和内联处理时滞(例如,发生威胁通信的时刻和检测到、确认并修复该威胁通信的时间之间的时间间隔)。另外,搜索标准和分析规则的量和复杂性的增加可能会导致延迟的显著增加。因此,尽管在常规网络保护解决方案上可能有大量的资本和运营支出,但许多实际威胁仍从未被发现过,或者在发生任何资产损坏、损失和窃取之后很长时间才被发现。
因此,需要有效且高性能地操作网络分析系统,这将显著提高网络保护系统的有效性。特别是,需要能够主动检测和减轻威胁和相关攻击的高效且准确的网络保护系统。
发明内容
以下给出了简要概述,以便提供对本公开的一些方面的基本理解。其既不旨在确认本公开的关键或重要要素,也不旨在勾画本公开的范围。以下概述仅以简化形式给出本公开的一些构思,作为以下描述的序言。
本公开的方面涉及有效且高性能地操作网络分析系统以用于保护网络免受网络威胁。这些系统还可用于:(a)主动保护网络,例如,通过在可能正在发生相关联的网络通信时检测,然后阻止威胁/攻击来主动保护网络;(b)前摄性地保护网络,例如,通过防止威胁/攻击通信的发生(例如,通过防止威胁/攻击在任一方向上攻破网络周界)来前摄性地保护网络;以及(c)被动地保护网络,例如,通过在恶意软件已经被下载和/或引爆时检测事后解决方案来反应性地保护网络。
可以将网络保护系统(NPS)建模为与受保护的网络(例如,私有企业网络)和不受保护的网络(例如,互联网)交接的网关。NPS网关可以由三级构成。第一级可以包括威胁情报网关(TIG)。第二级可以包括一个或多个网络分析系统,这些系统摄取经TIG过滤的通信和相关联的威胁元数据信号。第三级可以包括网络保护逻辑,该网络保护逻辑基于第一级和第二级信号发出的威胁元数据来确定要采取哪些保护措施。在操作上,可以为NPS网关提供和配置规则,这些规则指定要实施的网络保护策略。NPS网关可以摄取受保护的网络和不受保护的网络之间流动的所有通信。
NPS网关可以过滤通过第一级TIG的所有通信,这可以将通信分类为例如零威胁风险通信、非零威胁风险通信以及100%威胁风险通信。第一级TIG可以针对每个威胁和/或通信或其一部分生成威胁元数据。第一级TIG可以将零威胁风险通信转发到其目的地,可以阻止100%风险通信,并且可以将非零威胁风险通信及其相关联的威胁元数据信号转发到第二级。基于威胁元数据,第一级TIG或NPS的另一个要素可以选择可以使用哪些(第二级)网络分析系统来处理每个非零威胁风险通信。
第一级威胁情报网关(TIG)可以作为用于TCP/IP分组通信的内联过滤器提供。与网络威胁情报(CTI)匹配的通信(其可能是采用IP地址、域名、URL等形式的网络地址)可能会被过滤,以供其他级进一步处理。TIG进行操作以根据通信的潜在威胁风险对其进行分类,以确定哪些通信可能需要附加处理,而哪些通信可能不需要进一步处理。TIG还可以为每个通信生成威胁元数据。元数据信号可以用于发信号通知第二级和/或第三级,或者可以在由第二级和/或第三级执行的进一步处理中使用,诸如生成附加元数据。
第二级网络分析系统可以处理通信,以将通信进一步分类为实际的威胁/攻击通信和良性/合法通信,可以更新与通信相关联的威胁元数据,并且可以将良性/合法通信转发到其预期目的地。
第二级可以包括一个或多个网络分析系统,该系统摄取经TIG过滤的通信和相联的威胁元数据信号,对通信进行复杂的分析,确定通信是实际的威胁/攻击还是非威胁/良性的合法通信,并且更新威胁元数据信号。多个第二级网络分析系统可以通过分析方法类型(例如,基于签名、基于行为、基于统计等的分析方法)和网络分析系统所分析的威胁和攻击的类型的一些组合来进行区分。
第一级TIG和第二级网络分析系统都可以配置有指定它们执行的网络保护策略的规则。可以为TIG提供由多个外部/第三方CTI提供方以及包括NPS网关本身在内的内部来源所提供的CTI和CTI元数据生成的规则。可以为第二级网络分析系统提供类似地由多个外部/第三方提供方以及包括NPS网关本身在内的内部来源提供的CTI和CTI元数据以及其他威胁检测数据生成的规则。也可以为第二级网络分析系统提供入侵检测系统(IDS)签名规则,该规则定义要检测的模式。
对于可能是威胁/攻击的通信,取决于第一级和第二级处理的结果和相关联的威胁元数据以及可配置的网络保护策略,NPS网关在第三级将采取附加措施。第三级可以包括网络保护逻辑或从一个或多个网络分析系统摄取通信的一个或多个设备。第三级也可以从第一级摄取元数据或其他信息。第三级可以基于由第一级和第二级发信号通知的威胁元数据来确定要采取哪些保护措施,包括将信号发送到管理设备或将分组发送到其预期目的地。
NPS网关可以主动地保护网络,例如,通过在可能正在发生威胁/攻击时阻止威胁/攻击通信(例如,丢弃通信分组)来主动地保护网络。NPS网关可以前摄性地保护网络,例如,通过从威胁/攻击通信中提取CTI,然后配置第一级TIG来针对CTI过滤将来的通信来前摄性地保护网络。这种前摄的威胁过滤可以通过在威胁/攻击渗透到网络周界之前,在任一方向上阻止通信来防止威胁/攻击的发生。NPS网关还可以被动地保护网络,例如,通过识别并报告已下载恶意软件和/或可能已被恶意软件感染的主机,从而使得例如授权机构或其他系统可以从受感染的主机中删除恶意软件。
与传常规方法相比,NPS网关可以实现高效率并实现性能提高、保真度增加且网络保护改善。为了提高系统效率和性能,第一级TIG可以只将具有非零威胁风险(如由TIG所计算的)的通信转发给第二级网络分析系统。实际上,只有一小部分网络通信具有非零威胁风险。因此,第二级网络分析系统仅处理一小部分的网络通信,而内联网络分析系统在常规网络保护解决方案中将以其他方式进行处理。通过使用第一级威胁元数据来选择应当将哪种网络分析系统(例如,哪种分析方法和类型)应用于传递给第二级的每个(非零或中等威胁风险)通信,可以进一步提高效率。通过显著减少分析方法和类型的负载和/或减小分析方法和类型的范围,可以显著提高第二级网络分析系统的性能,并且在许多情况下,应该足以实现主动保护。
NPS网关可以通过利用分析响应提高CTI保真度。在与CTI匹配的通信不一定是实际的威胁或攻击,而相反有可能是非恶意/良性的合法通信的意义上,TIG所应用的CTI可能无法正确识别目标威胁或攻击。第二级网络分析系统可以通过确定哪些CTI匹配的通信可能是实际的威胁/攻击以及哪些可能是非恶意/良性的合法通信,来提高第一级TIG的通信输出的保真度。
NPS网关可以通过几种方式来改善网络保护,这将通过下面的详细描述变得显而易见。NPS网关可以阻止某些恶意通信,这些恶意通信可能不会被单独作用的(第一级)TIG或单独作用的(第二级)网络分析系统阻止。当网络管理员/运营方宁愿允许恶意通信也不要阻止合法通信时,TIG可以被配置为允许与低保真度CTI匹配的通信的一些部分。相反,一些网络分析系统诸如网络入侵检测系统(NIDS)可能无法内联运行(因此无法阻止恶意通信),因为内联网络分析会增加不可接受的延迟,并可能导致通信丢包。即,跨许多不同的分析方法和类型来分析基本上所有网络流量的处理负荷将减慢所有流量的传递,其中许多分析方法和类型可能与正在分析的当前通信无关。
然而,NPS网关可以将经过TIG过滤的低保真度CTI匹配的通信以及相关联的威胁元数据转发到第二级网络分析系统。例如,网络入侵检测系统可以被配置为基于威胁元数据中信号通知的威胁/攻击类型,仅对网络流量的一部分进行签名分析。通过降低流量并缩小多个检测系统中的每一个的分析方法和类型的范围,可以内联地运行NIDS,而不会给通信引入不可接受的延迟和/或造成不必要地丢包。因此,如果NIDS确定通信可能是恶意的,则这些系统可以主动阻止此类通信。
附图说明
在所附权利要求中特别指出了本公开。通过在整体上回顾本公开,包括随其一起提供的附图,本公开的特征将变得更加明显。在附图的各图中,通过示例而非限制的方式示出了本文中的一些特征,其中类似的附图标记指代相似的元件。
图1描绘了根据本公开的一个或多个方面的NPS网关的例示性环境,该NPS网关保护一个网络(例如,企业网络)免受第二网络(例如,互联网)传播的威胁和攻击。
图2描绘了NPS网关的功能和系统组件。
图3描绘了NPS网关的操作的流程图。
图4、5、6、7、8、9和10描绘了示例性事件序列,这些示例性事件序列例示说明了根据本文所述的一个或多个例示性方面的用于通过NPS网关实现的高效、高保真度网络分析和相关联的网络保护的方法。
图4示出了其中NPS网关转发零风险的良性/合法流量而无需在网络分析上不必要地消耗资源的过程。
图5示出了其中NPS网关阻止高风险威胁通信而无需在网络分析上不必要地消耗资源的过程。
图6示出了其中NPS网关通过多级处理与CTI匹配的良性/合法通信的过程。
图7示出了其中NPS网关通过多级处理与CTI匹配的威胁通信的过程。
图8示出了其中NPS网关通过多级处理通信的过程。
图9示出了其中NPS网关通过多级处理与通信匹配的良性/合法通信CTI的副本的过程。
图10示出了其中NPS网关通过多级处理与通信匹配的威胁通信CTI的副本的过程。
图11描绘了可以根据本文所述的一个或多个例示性方面使用的例示性计算机系统架构。
图12描绘了可以根据本文所述的一个或多个例示性方面使用的例示性远程访问系统架构。
具体实施方式
在各种例示性实施例的以下描述中,参考了附图,这些附图形成了本说明书的一部分,并且在附图中通过例示说明的方式示出了可以实践本公开各方面的各种实施例。应当理解,在不脱离本公开的范围的情况下,可以利用其他实施例,并且可以进行结构和功能上的修改。此外,参考了其中可以实践本公开各方面的特定应用程序、协议和实施例。应当理解,在不脱离本公开的范围的情况下,可以利用其他应用程序、协议和实施例,并且可以进行结构和功能上的修改。
在以下描述中讨论了元件之间的各种连接。这些连接是一般性的,并且除非另外指明,其可以是直接或间接的、有线或无线的、物理或逻辑(虚拟/软件定义)的。就这一点而言,本说明书并非旨在进行限制。
根据本公开的实施例,并且参考图1,其示出了代表性环境100,网络保护系统(NPS)200可以用作与受保护网络102(诸如私有企业网络)和不受保护网络104(诸如互联网)交接的网关。网络102和104可以通过链路106连接。NPS网关200可以是物理的或虚拟的,并且网络的内连和互连106可以是有线的、无线的和/或软件定义的。
NPS网关200可以通过过滤和分析连接到网络102的已经分配有与网络102相关联的网络地址的主机(例如,110、112和114)和连接到网络104的已经分配有与网络104相关联的网络地址的主机(例如,140、142和144)之间的所有通信来保护网络102。在主机110、112和114上执行的端点应用程序,例如网络浏览器(HTTP客户端)可以与在主机140、142和144上执行的端点应用程序进行通信,包括网络服务器(HTTP服务器)。这些通信可以在连接网络102和网络104的链路106上传输。NPS网关200可以与链路106内联地设置,以便检查并且潜在地作用于任何通信。
如在别处更详细地描述的,NPS网关200包括一个或多个威胁情报网关(TIG)220,如图2所示,作为功能组件。TIG可以从许多供应商处商购购得。TIG 220可以是将分组过滤规则应用于分组流量的内联TCP/IP分组过滤器,其中分组过滤规则已经从网络威胁情报(CTI)和CTI元数据导出。CTI可以包括威胁参与者控制/操作的资源的互联网网络地址,其采用IP地址、IP地址范围、L3/L4端口和协议、域名、URL等形式。CTI元数据可以是例如威胁类型、威胁名称、威胁风险评分、威胁参与者等。如果规则的CTI值与分组匹配,则TIG将规则的处置应用于该分组。规则的处置可以是应用于匹配分组的一个或多个动作,诸如阻止/丢弃、允许/转发、记录、捕获、重新定向、镜像(复制,然后转发和重新定向)等。可以对处置进行组合,例如,可以同时允许、记录、捕获和重新定向分组。TIG 220应用于分组流量的规则的集合可以称为网络保护策略,并且可以由网络管理员或运营方设置。
可以由一个或多个CTI提供方服务来提供用于导出TIG分组过滤规则的CTI。在图1中,这些CTI提供方服务可以托管一个或多个CTI服务器120、122和124。那些CTI服务器可以向TIG 220提供或由TIG 220访问,以下载和更新本地CTI数据库。CTI提供方服务还可以提供与CTI相关联的元数据,例如,威胁/攻击的名称和类型、威胁参与者、威胁风险值/声誉评分以及与CTI的每个单元相关联的其他数据。TIG 220可以基于CTI和CTI元数据确定分组过滤规则,并且可以将规则应用于网络分组流量。可以由多个不同的CTI提供方提供单位的CTI(有时称为情报指标(IoC)),在这种情况下,多个不同CTI提供方的名称可以包含在相关联规则的威胁元数据中。也就是说,可以从一个或多个不同的CTI提供方提供基于相同威胁数据的网络威胁情报。当通信匹配一个或多个规则时,可以使用匹配规则的威胁元数据来发信号通知NPS网关的其他逻辑组件,例如,以做出有关(威胁)通信的操纵、处理和/或报告的决定。
类似地,NPS网关200可以包括一个或多个网络分析系统(在图2中显示为230-234)作为功能组件。可以在NPS网关200中提供各种各样的此类系统,例如网络入侵检测系统(NIDS)和网络入侵保护系统(NIPS)、恶意软件分析系统以及其他网络分析系统。这些网络分析系统还可以配置有规则,这些规则可以由各种提供方和服务托管的规则服务器130、132和134提供。NPS网关200网络分析系统230-234可以访问这些服务器、下载分析规则和与规则相关联的元数据,并将分析规则应用于网络通信。
NPS网关200的输出包括报告通信信息和与保护网络有关的NPS网关动作和威胁元数据的日志文件。这些日志文件可以由安全信息和事件监视(SIEM)设备(诸如连接到网络102的SIEM设备150)处理。SIEM设备150可以包括可以由可能负责保护网络102的网络102的管理员操作的应用程序。可以使用SIEM应用程序检查和分析日志文件,以允许管理用户更改对某些类型威胁的处理。
图2示出了NPS网关200的系统组件图。网络接口210和212连接到互联链路106,互联链路连接受保护的网络102和不受保护的网络104。尽管并非必需的,但实际上网络接口210和212可以是透明的,因为它们没有L3网络地址或L2网络地址,因此并非可直接寻址的。网络接口210和212连接到数据总线260。数据总线260在NPS网关200的所有系统组件之间提供通信信道。数据总线260在组件之间传输内容(通信分组流)和信号(威胁元数据)。需注意,数据总线260不仅可以是印刷电路板(PCB)的集成/嵌入式数据总线,而且还可以是例如任何组合的L2/L3交换网络、L3路由网络、连接逻辑组件的L2/L3网络链路等。数据总线可以是任何组合的有线、无线、物理、逻辑、虚拟、软件定义的数据总线,等等。
类似地,系统组件可以是在同一主机上执行的(共驻主存的)进程或应用程序、在不同主机上执行的进程、在虚拟基础架构(诸如系统管理程序)上执行的进程或组件和软件的其他安排的任何组合。管理接口280可以连接到诸如网络102之类的本地网络,并且具有L3地址。因此,管理接口280可以实现NPS网关200的组件和连接到网络102和104的L3可寻址主机之间的通信。例如,当TIG 220可以下载由CTI服务器120提供的CTI数据和相关联的元数据时,CTI服务器120可以将L3分组发送到管理接口280的L3 IP地址,管理接口可以通过数据总线260将它们发送到TIG 220。连接到数据总线260的其他组件可以包括:威胁情报网关220;一个或多个网络分析系统230、232和234;代理240,其可以决定哪些网络分析系统可以应用于通信;网络保护器242,其可以决定对通信应用哪些保护动作。
图3示出了NPS网关200的代表性操作框图/流程图,其可以用于保护网络(例如,网络102)免受不受保护的网络(例如,外部网络104)所传播的威胁/攻击。参考图3,在步骤3-1中,威胁情报网关(TIG)220可以配置有从网络威胁情报(CTI)和CTI元数据生成的分组过滤规则,该网络威胁情报(CTI)和CTI元数据可以通过由一个或多个CTI提供方组织托管的CTI服务器120、122和124(经由管理接口280)提供。CTI可以包括威胁参与者可以操作/控制的资源的网络寻址数据(IP地址、端口、协议、域名、URI等),如CTI提供方组织所确定的。CTI提供方可以使用威胁元数据来丰富其CTI,诸如威胁的类型、威胁的名称、与威胁相关联的参与者的身份、威胁的发现日期、威胁的风险评分、针对威胁的补救动作、CTI提供方名称和其他出处信息等。当将这种威胁元数据下载到TIG 220时,可以将其包含在CTI中。TIG 220可以确定并可以从CTI生成分组过滤规则。威胁元数据可以与规则关联,以便可以将其包含在NPS网关组件之间的任何信号消息中,并包含在记录(威胁)通信事件和NPS网关相关联的动作的任何日志文件中。TIG也可以使用CTI威胁元数据来确定规则的结构,例如,与单位CTI相关联的CTI提供方的威胁风险评分可以用于选择相关联规则的处置(例如,阻止、允许、重新定向等)。
第一级TIG 220第二威胁类别(“非零威胁风险”)中的通信量通常比第一威胁类别(“零威胁风险”)中的通信量小得多。这样,网络保护系统通过仅分析(在第二级中)第二类别中的通信来实现显著的效率提高。通过减少第二级分析系统上的流量负载,并通过基于第一级信号发出的威胁元数据选择性地应用第二级分析系统,一些第二级分析系统可以内联运行,而不会将网络性能降低到不可接受的水平。
在步骤3-2中,类似于步骤3-1,NPS网关200中包括的网络分析系统230、232和234可以配置有由网络分析规则提供方组织托管的规则服务器130、132、134所提供的分析规则(签名分析规则、异常行为分析规则等)。与CTI提供方相似,网络分析规则提供方可以使用威胁分析元数据(诸如威胁的类型、威胁的名称、与威胁相关联的参与者的身份、威胁/攻击的严重程度评分、出处信息等)来丰富其规则。当网络分析系统230、232和234报告针对通信的分析结果时,与该通信相关联的威胁元数据可以被更新或与由相关联的网络分析系统生成的威胁分析元数据相关联。威胁分析元数据可以包含在针对通信的任何日志文件中。
即使在大的流量负载下,第一级TIG也可以按预期内联运行。因此,可以期望分类过程TIG是时间有效的和资源有效的,并且相对于操作环境是高效的。在步骤3-3中,在NPS网关200的第一级中,TIG 220应用CTI生成的过滤规则来将例如端点主机110、112、114与端点服务器140、142、144之间的所有通信分类为三个类别。
与CTI不匹配的第一威胁类别的通信可被认为具有低威胁风险、无威胁风险或零威胁风险,包括合法或良性通信。TIG 220可以加速对被认为具有低威胁风险、无威胁风险或零威胁风险的通信的处理,并确保以最小的延迟将那些通信转发到其预期目的地。可能与CTI匹配的第二威胁类别的通信的可被认为具有中等或非零威胁风险。中等或非零威胁风险可以包括未被评估为无风险分组或高风险分组的所有分组。如果评估的风险经测量介于0(无风险、合法或良性通信)和1(确认的威胁/攻击)之间,则这种第二类别的中等或非零威胁风险可以涵盖从非常低的风险(接近0)至非常高的风险(接近1)的风险谱。具有中等或非零威胁风险的通信可能潜在地(但不一定)(例如,由于低保真度CTI)是实际的威胁/攻击通信。第三威胁类别通信的可以匹配与阻止处置相关联的CTI规则。此类通信可被视为高威胁风险通信或100%威胁风险通信。这些通信与已知或实际的威胁/攻击相关联或极有可能与已知或实际的威胁/攻击相关联。TIG 220可以丢弃或阻止被确定为具有高风险或100%风险的这种第三类别的一部分的通信,从而前摄性地保护网络。
第二级改进了第一级中使用的CTI的保真度,从而使网络保护系统的输出包括最小的错误肯定。因此,NPS网关结果的使用者(例如,网络授权机构)不会浪费任何资源来调查不是威胁/攻击的通信,也不设计和实施不需要/不会改善网络安全状况的保护策略。第二级的保真度改进进一步改善了网络保护。操作(第一级)TIG 220的网络安全管理员通常可能不会阻止与低保真度CTI匹配的通信,因为可能会阻止合法通信,而这可能损害其业务。然而,这意味着某些威胁/攻击也可能不会被阻止。通过路由与低保真CTI匹配的此类通信通过被配置为阻止真实肯定(实际威胁/攻击)并允许错误肯定(合法/良性通信)的(第二级)网络分析系统230-234,不会被仅被TIG 220保护的网络阻止的恶意通信可以被由NPS网关200保护的网络阻止。可以从第二级网络分析系统检测到的真实肯定/恶意通信中提取高保真度CTI。然后可以使用这一高保真度CTI来配置TIG 220以阻止与高保真度CTI匹配的通信。例如,(第一级)TIG 220可能将通信与低保真度IP地址范围进行匹配,但是由于CTI的保真度较低,TIG 220可以被配置为允许通信但将其报告并对其复制/捕获,以便通过第二级进行更深入的分析。第二级网络分析可以确定该通信包含恶意软件文件的URL。可以将(高保真度)URL映射到用于配置TIG 220过滤规则中,以阻止包含该URL的通信。
在步骤3-4中,第一威胁类别(具有“零威胁风险”值)中的通信经由网络接口210和212离开NPS网关200,并且继续向它们的目的地前进。
在步骤3-5中,对于第二威胁类别(具有“非零威胁风险”值)中的每个通信,TIG220可以生成并将(初始)威胁元数据与通信相关联。威胁元数据可以包括与通信匹配的CTI规则相关联的威胁元数据,诸如威胁的类型和名称(例如,由CTI提供方所标记的)、威胁参与者的身份(如果已知的话)、CTI提供方的身份、出处信息、CTI提供方为规则CTI指定的风险评分以及从外部来源提供的其他威胁元数据。威胁元数据还可以包括由TIG 220计算的其他威胁元数据,诸如每个规则的处置、TIG 220计算的威胁风险评分(其可以部分地从威胁风险评分和由匹配的CTI的CTI提供方提供的元数据中得出)、威胁事件ID和其他NPS网关200确定的数据。然后,TIG 220可以将通信和相关联的威胁元数据信号转发到NPS网关200的第二级,该级可以由代理240管理。TIG 220可以生成或更新用于通信事件的(流)日志。威胁元数据可以包含在通信事件的(流)日志中,该日志使用诸如系统记录(syslog)之类的标准格式,以便可以通过例如安全信息和事件管理(SIEM)平台轻松处理该日志。日志数据还可以经由管理接口280发送到外部设备和应用程序,诸如连接到网络102的SIEM设备150。
网络保护系统的第二级可以进一步解析第一级的任何低保真度CTI。即,第二级网络分析系统230、232和234可以将通信分类为错误肯定(良性或合法通信)和真实肯定(与确认的威胁或攻击相关联的通信)。如以上在步骤3-1描述中所指出的,CTI提供方可以以网络地址的形式提供CTI,该网络地址可以是IP地址范围(通常以CIDR注释表示)、单独的IP地址、“5元组”(L3/L4源IP地址和目的IP地址、源端口和目的端口以及协议类型的一些组合)、完全合格域名(FQDN)、URI等。CTI保真度可以是衡量单个单位CTI(网络地址)映射到单个恶意资源的可能性的量度。例如,绝对URL通常映射到单个资源,因此,URL可被视为高保真度CTI。这样,可以将与CTI指定的URL匹配的通信视为极有可能是实际的威胁/攻击。
相反,单个IP地址可能映射到许多资源,其中只有少数是恶意的。通常,给定CTI保真度测量函数Fidelity(),CTI保真度比较/排序层次可以是:保真度(IP地址范围)<保真度(IP地址)<保真度(5元组)<保真度(FQDN)<保真度(URL)。例如,可以由网站托管服务操作的单个物理网络服务器可以托管多个虚拟域(例如,多个网站)。网站的每个域名都解析到互联网域名服务器(DNS)中的相同IP地址,即网络服务器的IP地址。域名可能会随着服务运营商添加或删除客户端、添加或删除域和域名、在虚拟化环境中修改域部署以及对系统进行其他更改而改变。在其许多合法客户端中,托管服务提供方可能会在不知不觉中向威胁参与者运营的域/站点提供托管服务。因此,网络服务器通信的一些(较小)部分可能是恶意的,但其余的通信是合法/良性的。但是,所有恶意和合法的网络服务器通信都可能与网络服务器的IP地址相关联。因此,IP地址并不具有高CTI保真度,因为IP地址可能映射到多个资源,而只有一部分资源是恶意的。为了确定与IP地址相关联的通信是恶意的还是合法的/良性的,可能需要进一步的分析。NPS网关200的第二级执行这样的分析。
第二级可以由一个或多个自动化网络分析系统230、232和234的集合构成,这些系统通过威胁分析方法来区分。网络分析系统可以应用不同类型的分析,诸如签名分析、异常行为分析、恶意软件执行分析等,网络分析系统将其应用于通信,并且网络分析系统通过威胁/攻击的类型进行分析。随着网络威胁/攻击的不断演进,由网络分析系统实施的规则也需要类似地演进,以使网络分析系统成为有效的检测器。这样的动态规则可以由专门开发威胁/攻击检测规则和相关联元数据的(外部)提供方提供,如上述步骤3-2中所示。例如,网络入侵检测系统(NIDS)将签名(模式匹配)规则应用于通信以检测威胁/攻击。NIDS还可以将其他类型的规则和攻击检测方法应用于通信,诸如基于统计异常的检测、状态性网络协议分析检测等。
第二级NIDS分析系统可以内联运行(有时称为网络入侵防御系统或NIPS)。单个NIDS连续应用所有类型的规则以及分析和检测方法,这可能会导致延迟大到无法接受,从而对网络性能产生不利影响。为了减少延迟,可以同时执行多个NIDS系统。多个NIDS中的一个或多个可以基于不同的规则集合以及分析和检测方法来执行操作。例如,NPS网关200中的第一NIDS230可以配置有用于检测域名系统(DNS)上的威胁/攻击的规则,而另一个NIDS232可以配置有用于检测SNMP(简单网络管理协议)上的威胁/攻击的规则;并且其他NIDS也可以配置有其他规则/分析方法。第二级还可以包括未被设计成内联运行的网络分析系统。例如,恶意软件分析沙盒会“引爆”可疑的可执行文件,然后观察行为以确认恶意(或非恶意),并收集有关可疑恶意软件的网络威胁情报信息。这种情报例如可以是恶意软件尝试联系的僵尸网络命令和控制服务器的URL。可以将收集的网络威胁情报数据反馈给TIG 220作为前摄性防御动作,如步骤3-8中所示。
在步骤3-6中,第二级的前端处的代理240从第一级接收通信和相关联的威胁元数据。基于相关联的威胁元数据和其他标准,例如应用程序级别协议(例如,DNS、HTTP、HTTPS、SNMP、NTP、RTP等),代理240决定可以将一个或多个网络分析系统230、232和234中的哪一个应用于每个通信。代理240还可以发信号并配置网络分析系统以应用特定的分析方法和规则集,然后将每个通信转发到选定的网络分析系统集。第二级网络分析系统可以确定通信是真实肯定(实际威胁/攻击)还是错误肯定(没有威胁),并且可以更新与通信相关联的日志以包括分析结果。网络分析系统还可以利用威胁分析元数据来更新威胁元数据,诸如威胁/攻击严重性评分、威胁/攻击类型、名称、参与者身份、规则提供方名称等。每个通信的日志还可以包括威胁事件ID,该威胁事件ID的值可以与第一级TIG 220生成的威胁事件ID相同。与第一级类似,日志应使用标准格式(诸如syslog),以便可以通过例如SIEM 150轻松处理日志。日志与通信相关联,并可通过管理接口280发送到外部设备或应用程序,诸如连接到网络102的SIEM 150。
第二级将通信分类为真实肯定类别(实际威胁/攻击)和错误肯定类别(合法/良性通信)。如果应用于通信的第二级分析系统正在内联运行,例如,如果系统正用作NIPS,则在步骤3-7中,可以将是错误肯定的通信(例如,良性/合法通信)安全地转发到NPS网关200所交接的网络102和104中它们的目的地。对于是真实肯定的通信(例如,实际的攻击/威胁),在步骤3-8中,NPS网关保护系统242采取动作来保护网络。
保护可以是主动的、前摄性的和/或被动的。主动保护可以是,例如,阻止通信、将通信重新定向到沉洞(sinkhole)、转发但监视通信等。前摄性保护可以是例如从通信中提取CTI(例如,URL、域名、端口等)、基于CTI生成新规则,以及用新规则重新配置TIG 220。前摄性保护也可以是例如更改现有规则的处置。被动保护可以是,例如,识别感染了恶意软件的主机,并将这些感染了恶意软件的主机报告给网络授权机构。保护系统242或外部网络授权机构可以对主机进行恶意软件扫描,和/或隔离感染了恶意软件的主机。TIG 220可以配置有阻止与标识为被恶意软件感染的主机的主机的源或目的IP地址进行的任何网络通信的规则。保护系统242可以更新威胁元数据和日志,并且可以通过管理接口280将日志转发到外部应用程序。
在步骤3-9中,SIEM应用程序或设备将威胁通信和NPS网关200的动作报告给网络授权机构、网络分析人员、合规官员和/或其他网络管理员以供检查。在步骤3-10中,网络授权机构等可以决定采取动作,例如通过更新网络保护策略来进一步增加网络保护或进一步缓解威胁。
图4、5、6、7、8、9和10描绘了根据本公开的一个或多个方面的用于有效保护网络的NPS网关200的例示性事件序列。所描绘的步骤仅是例示性的,并且可以按照与所描绘的顺序不同的顺序省略、组合或执行。步骤的编号仅仅是为了便于参考,并不意味着任何特定的顺序可能是必需的或优选的。为了简化描述,将通信显示为单向流,但是在大多数情况下,通信实际上是双向流。另外,通信由TCP/IP分组序列构成,但是在图中,多个分组被聚合并表示为单个通信。
威胁情报网关(TIG)220和网络分析系统230、232、234已经配置有规则,如上面图1的详细描述以及图2的步骤3-1和步骤3-2中所述,其包络NPS网关网络保护策略。规则可以定义要应用的过滤决策或策略。规则可以定义其中某些保护动作(诸如记录或阻止分组)将应用于所接收到的通信的条件。
图4示出了其中NPS网关200转发零风险的良性/合法流量而无需在网络分析上不必要地消耗资源的过程。在步骤4-1,在网络102中的主机HOST1 110上执行的网络浏览器发起与在网络104中的主机SRV1 140上执行的网络服务器的会话。会话分组进入NPS网关200,并且被TIG 220接收,TIG通过所有CTI规则过滤该分组。当TIG 220未找到与CTI规则匹配的任何分组时,TIG 220确定可能存在零威胁风险,因此无需进一步分析。因此,在步骤4-2,TIG 220将会话分组转发到它们的目的地(经由网络接口210和212)。
图5示出了其中NPS网关200阻止高风险威胁通信而无需在网络分析上不必要地消耗资源的过程。在步骤5-1,在网络102中的主机HOST2 112上执行的网络浏览器可以发起与在网络104中的主机SRV2 142上执行的网络服务器的会话。会话分组进入并由TIG 220接收,TIG可以通过所有CTI规则过滤该分组。TIG 220可将包含URL的分组与阻止处置的(高保真度)URL规则进行匹配。TIG 220丢弃该分组,从而防止其到达其目的主机142。在步骤5-2,TIG 220可以向主机112发送TCP RST分组,以便拆除相关联的TCP连接,从而使得网络浏览器在等待TCP连接超时的情况下不会“挂起”。在步骤5-3,TIG 220可以将包括威胁元数据的事件日志发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM应用程序或设备(用于查看和报告)。
图6示出了其中NPS网关200的第一级TIG 220将与中等保真度CTI规则匹配的通信重新定向到第二级的过程,其中进一步的针对性网络分析确定该通信是良性/合法的并将该通信转发到其目的地。在步骤6-1,在网络102中的主机HOSTN 114上执行的网络浏览器可以发起与在网络104中的主机SRVN 144上执行的网络服务器的会话。会话分组进入TIG220,TIG通过所有CTI规则过滤该分组。TIG 220可以将包含网络服务器完全合格域名(FQDN)的分组与(中等保真度)FQDN规则进行匹配,对于该规则,处置将被重新定向(到代理BROKER 240以进一步分析)。在步骤6-2,TIG 220可以将包括威胁元数据和重新定向处置的事件日志发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看和报告)。在步骤6-3,TIG 220可以将会话通信数据和相关联的威胁元数据重新定向到代理240。基于会话协议(诸如HTTP)和威胁元数据,代理240可以在步骤6-4选择网络分析系统CA-SYS1 230。例如,会话通信数据和相关联的威胁元数据可以指示潜在威胁类型是证书收集。这样,代理240可以选择已经配置有用于检测网络证书收集钓鱼的签名规则的网络分析系统,可以对会话执行进一步的分析,并且可以将会话和元数据发送到网络分析系统230。网络分析系统230可以将用于检测证书收集的规则应用于会话,并且可以确定会话不是威胁/攻击。因此,在步骤6-5,系统230可以将会话分组转发到它们的目的地(经由网络接口210和212)。在步骤6-6,网络分析系统230可以将包括威胁元数据和分析结果的事件日志发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看和报告)。
图7示出了其中NPS网关200的第一级TIG 220将与中等保真度CTI规则匹配的通信重新定向到第二级的过程,其中进一步的针对性网络分析确定该通信是实际威胁,然后NPS网关采取保护网络的动作。(需注意:图7中的步骤7-1至7-4与图6中的步骤6-1至6-4相同。)在步骤7-1,在网络102中的主机HOSTN 114上执行的网络浏览器发起与在网络104中的主机SRVN 144上执行的网络服务器的会话。会话分组进入TIG 220,TIG通过所有CTI规则过滤该分组。TIG 220将包含网络服务器完全合格域名(FQDN)的分组与(中等保真度)FQDN规则进行匹配,对于该规则,处置将被重新定向(到代理BROKER 240以进一步分析)。在步骤7-2,TIG 220可以将可能包括威胁元数据和重新定向处置的事件日志发送到经由管理接口MGMTI/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看和报告)。在步骤7-3,TIG 220可以将会话通信数据和相关联的威胁元数据重新定向到代理240。例如,基于会话协议(HTTP)和可能表示潜在威胁类型为证书收集的威胁元数据,代理240可以在步骤7-4选择已经配置有用于检测网络证书收集钓鱼的签名规则的网络分析系统CA-SYS1 230,以对会话执行进一步的分析,并将会话通信数据和元数据发送到网络分析系统230。
诸如系统230之类的网络分析系统可以将用于检测证书收集的规则应用于会话,并且可以确定该会话是威胁/攻击。在步骤7-5,系统230随后可以将会话分组和元数据转发到网络保护器242。保护器242可以检查元数据,并且可以决定通过阻止会话(通过丢弃分组)来防止会话分组(其可能包含被窃取的证书)到达其目的主机144,从而主动保护网络102。在步骤7-6中,保护器242可以通过从会话中提取CTI(例如,源主机114的IP地址、目的域名、目的URL)并将CTI和处置发送到TIG 220来前摄性地保护网络102,TIG可以生成新规则并将其添加到其网络保护策略中。在步骤7-7中,保护器242可以通过在威胁元数据中报告源主机114的IP地址和攻击类型来被动地保护网络102,并且随后可以将日志发送到经由管理接口MGMT I/F280连接到网络102的日志存储单元和SIEM设备或应用程序(用于查看和报告)。然后,网络授权机构或管理设备可以采取保护动作。例如,网络授权机构或管理设备可以就(受挫的)证书收集攻击与源主机114或源主机114的运营方联系,并且可以指导运营方如何在将来防止类似的攻击。
图8示出了其中NPS网关200的第一级TIG 220处理与低保真度CTI规则匹配的通信的过程。TIG 220可以记录、捕获和镜像(例如,复制、转发和重新定向)与低保真度CTI规则匹配的通信。TIG 220可以将原始通信或第一副本转发到其预期目的地(因为通过策略和规则将其视为低风险),并且可以将通信的第二副本发送到第二级。在第二级网络分析系统中,范围广泛或有针对性的网络分析可能会确定该通信是实际威胁。由于通信数据已经被转发,因此确定该通信为成功的攻击。随后,NPS网关200可以采取保护网络的动作,包括通知授权机构,授权机构可以通过对所捕获的通信执行取证来评估损害,并采取补救动作。
在步骤8-1,在网络102中的主机HOST1 110上执行的网络浏览器发起与在网络104中的主机SRV1 140上执行的网络服务器的会话。会话分组进入TIG 220,TIG可以通过所有CTI规则过滤该分组。TIG 220可以将包含网络服务器IP地址的分组与(低保真度)IP地址规则进行匹配。为了确保及实地处理分组,TIG 220可以被配置为转发仅与低保真度规则匹配的通信。TIG 220还可以记录通信数据和相关联的元数据、捕获数据(例如,存储所有通信分组的副本,未在图8中示出),并镜像通信数据(例如,将原始通信转发到其目的地,并将副本发送给第二级代理240以进一步分析)。在步骤8-2,TIG 220将事件的日志(包括威胁元数据以及捕获和镜像处置)发送到经由管理接口MGMT I/F 280连接到网络102的日志存储装置和SIEM设备或应用程序(用于查看和报告)。TIG 220通过在步骤8-3将会话通信数据转发到其预期目的地来镜像通信。在步骤8-4,TIG 220还将会话通信数据和相关联的威胁元数据的副本发送到代理240。基于会话协议(HTTP)和(有限的)威胁元数据,代理240在步骤8-5可以选择网络分析系统CA-SYS2 232,该网络分析系统已配置有一大套范围广泛的用于检测Web/HTTP威胁的签名规则,由于CTI的低保真度并且由于CTI提供方未提供特定的威胁类型信息,因此该(有限的)威胁元数据可能没有任何威胁类型信息。代理240可以对会话通信数据执行进一步的分析,并且可以将会话通信数据和元数据发送到网络分析系统232。
网络分析系统232可以将用于检测HTTP中介的威胁的规则应用于会话,并确定会话是威胁/攻击。因此,在步骤8-6,系统232将会话分组和元数据转发到网络保护器242。保护器242可以检查元数据,并且可以确定其不能通过阻止会话通信数据来主动保护网络102,因为TIG 220已经将会话/通信转发到其目的地主机140。保护器242可以确定它可以前摄性地保护网络102。为此,在步骤8-7中,保护器242可以从会话通信数据或元数据中提取CTI(例如,源主机110的IP地址、会话目标域名和目标URL),并且可以将CTI和处置发送到TIG 220。TIG 220可以基于CTI生成新规则,并且可以将这些生成的规则添加到TIG网络保护策略。保护器242还可确定对网络102进行被动保护。在步骤8-8中,保护器242在威胁元数据中报告源主机110的IP地址、攻击类型以及凭证收集攻击已成功的警报。该数据可以与日志一起发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看和报告)。可以警告网络管理设备和授权机构攻击成功,可以获取会话/攻击的捕获信息,进行取证分析以了解和评估损害,并确定适当的补救动作,可以包括与源主机110的运营方联系,并要求运营方更改其凭证以使它们不再对攻击者有用。
图9示出了其中NPS网关200的第一级TIG 220可以记录、捕获和镜像(例如,复制、转发和重新定向)与低保度真CTI规则匹配的通信数据的过程。TIG 220可以将原始通信转发到其预期目的地(因为TIG策略将其视为低风险),并且可以将该通信的副本发送到第二级,在第二级,范围广泛的网络分析可以确定该通信是不是威胁。在该确定之后,NPS网关200的第二级网络分析设备可以将错误肯定和其他通信元数据报告给管理设备和其他授权机构,管理设备和其他授权机构可以实施改变以前摄性地改进TIG策略。
步骤9-1至9-5与图8中的步骤8-1至8-5基本相似,因此这里将不再重复详细描述。如上所述,在步骤8-5(以及类似地在步骤9-5)中,代理240选择可以配置有用于检测Web/HTTP威胁的大范围广泛的签名规则集的网络分析系统CA-SYS2232,以对会话通信数据执行进一步分析,并将会话通信数据和元数据发送到网络分析系统232。
网络分析系统232将用于检测HTTP中介的威胁的规则应用于会话,并确定该会话是合法/良性通信(而不是威胁/攻击),然后相应地更新元数据。在步骤9-6,系统232将会话通信分组和元数据转发到网络保护器242。保护器242可以检查元数据,并确定不需要主动或被动的保护动作。然而,由于网络管理设备或网络授权机构可能想要采取与改进TIG策略有关的一些前摄性措施,因此保护器242可以使用CTI相应地更新元数据,并且在步骤9-7中可以将日志数据发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看和报告)。网络管理设备或授权机构可以查看事件日志,可以决定通过例如添加具有作为(高保真度)CTI值的事件URL和具有允许处置的规则来改进TIG策略。如果将来出现利用相同URL的通信,这是一种前摄性措施,不会浪费NPS网关资源,尤其是网络分析系统资源。
图10示出了以下过程:NPS网关200的第一级TIG 220可以记录、捕获和镜像(例如,复制、转发和重新定向)与针对恶意软件下载的低保真度CTI规则匹配的通信并且可以将原始通信转发到其目的地(因为TIG策略将其视为低风险)。TIG 220可以将通信的副本发送到第二级,在第二级,恶意软件分析系统确定通信包含高严重性的可执行恶意软件。然后,NPS网关可以将攻击和其他通信元数据(例如,网络通信寻址和行为)的报告传输给网络管理设备授权机构,该网络管理设备授权机构采取动作来前摄性地和被动地保护网络102。
在步骤10-1,在网络102中的主机HOST1 110上执行的网络浏览器发起与在网络104中的主机SRV1 140上执行的网络服务器的会话。会话分组进入TIG 220,TIG通过所有CTI规则过滤该分组。TIG 220将包含网络服务器IP地址的分组与(低保真度)IP地址规则进行匹配,对此,由于TIG策略创建者认为此CTI是低风险的,因此针对会话通信分组的TIG220规则处置应为记录、捕获(例如,存储所有通信分组的副本,图10中未示出)和镜像(例如,将原始通信转发到其目的地,并将副本发送给第二级代理240进行进一步分析)。在步骤10-2,TIG 220可以将事件日志(包括表明CTI可能与恶意软件下载相关联的威胁元数据以及捕获和镜像处置)发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM应用程序(用于查看和报告)。TIG 220可以通过在步骤10-3将会话通信数据转发到其预期目的地来镜像通信。TIG 220可以在步骤10-4将会话的副本和相关联的威胁元数据重新定向到代理240。基于会话协议(HTTP)和表明通信可能是恶意软件下载的其他威胁元数据,在步骤10-5,代理240可以选择网络分析系统CA-SYSN 234。
选定的网络分析系统可以是恶意软件分析系统234,其通过引爆沙盒中的恶意软件(用于通过虚拟化等分离运行程序的安全机制),然后记录恶意软件的行为来工作。特别地,选定的网络分析系统监视并记录可疑恶意软件的网络通信行为,包括例如恶意软件可能发出的DNS请求,并且可以将会话通信数据和元数据发送到恶意软件分析系统234。恶意软件分析系统234随后可以确定可执行文件是恶意软件。
在确定可执行文件是恶意软件之后,系统234在步骤10-6将会话通信分组和相关联的元数据转发到网络保护器242。保护器242可以检查元数据,并且可以确定其不能通过阻止会话来主动保护网络102,因为TIG 220已经将会话/通信(包括恶意软件可执行文件)转发到了预期的目的主机140。但是,保护器242可以前摄性地保护网络102。这样,在步骤10-7中,保护器242可以从会话中提取CTI(例如,源主机110的IP地址、会话目标域名和目标URL),并且还可以从恶意软件执行中提取CTI。保护器242可以将提取的CTI和处置发送到TIG 220。TIG 220可以生成新规则,并且可以将所生成的规则添加到网络保护策略。
保护器242还可以被动地保护网络102。因此,在步骤10-8中,保护器242可以在威胁元数据中报告源主机110的IP地址、攻击类型、恶意软件可执行文件名以及恶意软件已被成功下载(到主机110上)的警报。然后,保护器242可以将日志发送到经由管理接口MGMT I/F 280连接到网络102的日志存储设备和SIEM设备或应用程序(用于查看、报告和警告)。被警告攻击成功的网络管理设备和授权机构可以例如,优选地在主机110执行恶意软件之前确定分离或隔离主机110;从主机110删除恶意软件可执行文件;检查主机110的日志以查看是否执行了恶意软件,如果是,则减轻或以其他方式补救由恶意软件引起的损害;和/或采取其他动作来删除或隔离恶意软件,或从受保护的网络中删除或隔离主机。
本文描述的功能和步骤可以体现在由一个或多个计算机或用来执行本文所述一个或多个功能的其他设备执行的计算机可用数据或计算机可执行指令中,诸如在一个或多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,它们在由计算机或其他数据处理设备中的一个或多个处理器执行时执行特定任务或实现特定抽象数据类型。计算机可执行指令可以存储在诸如硬盘、光盘、可移动存储介质、固态存储器、RAM等的计算机可读介质上。应当理解,可以根据需要组合和分配程序模块的功能。另外,功能可以全部或部分地体现在固件或硬件等效物中,诸如集成电路、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等。特定的数据结构可以被用于更有效地实现本公开的一个或多个方面,并且此类数据结构被认为在本文描述的计算机可执行指令和计算机可用数据的范围内。
尽管不是必需的,但是本领域的普通技术人员将理解,本文描述的各个方面可以体现为一种方法、系统、装置或体现为一种或多种存储计算机可执行指令的计算机可读介质。因此,各方面可以采取完全硬件实施例、完全软件实施例、完全固件实施例,或以任何组合结合软件、硬件和固件方面的实施例的形式。
如本文所述,各种方法和动作可以在一个或多个计算设备和网络上操作。功能可以以任何方式分布,或者可以位于单个计算设备(例如,服务器、客户端计算机等)中。
可以在各种不同的系统环境中利用计算机软件、硬件和网络,包括独立的、联网的、远程访问的(也称为远程桌面)、虚拟的和/或基于云的环境,以及其他环境。图11示出了可用于在独立和/或联网环境中实现本文所述的一个或多个例示性方面的系统架构和数据处理设备的一个示例。各种网络节点1103、1105、1107和1109可以经由诸如互联网的广域网(WAN)1101互连。也可以或另选地使用其他网络,包括专用内联网、公司网络、局域网(LAN)、城域网(MAN)、无线网络、个人网络(PAN)等。网络1101是出于例示说明目的,并且可以用更少或附加的计算机网络来替代。局域网1133可以具有任何已知LAN拓扑中的一个或多个,并且可以使用各种不同协议中的一个或多个,诸如以太网。设备1103、1105、1107和1109以及其他设备(未示出)可以经由双绞线、同轴电缆、光纤、无线电波或其他通信介质连接到一个或多个网络。
如本文所使用和附图中所描绘的术语“网络”不仅指其中远程存储设备经由一个或多个通信路径耦合在一起的系统,而且还指可能不时耦合到具有存储能力的此类系统的独立设备。因此,术语“网络”不仅包括“物理网络”,还包括“内容网络”,其由驻留在所有物理网络中的数据(可归于单个实体)构成。
这些组件可以包括数据服务器1103、网络服务器1105和客户端计算机1107、1109。数据服务器1103提供对用于执行本文所述的一个或多个例示性方面的数据库和控制软件的整体访问、控制和管理。数据服务器1103可以连接到网络服务器1105,用户通过网络服务器进行交互并获得所请求的数据。另选地,数据服务器1103本身可以充当网络服务器并且直接连接到互联网。数据服务器1103可以通过局域网1133、广域网1101(例如,互联网)经由直接或间接连接或经由一些其他网络连接到网络服务器1105。用户可以使用远程计算机1107、1109,例如使用Web浏览器通过由网络服务器1105托管的一个或多个外部公开的网站连接到数据服务器1103,以与数据服务器1103进行交互。客户端计算机1107、1109可以与数据服务器1103配合使用以访问存储在其中的数据,或者可以用于其他目的。例如,如本领域中已知的,通过客户端设备1107,用户可以使用互联网浏览器或通过执行通过计算机网络(例如,互联网)与网络服务器1105和/或数据服务器1103进行通信的软件应用程序来访问网络服务器1105。
服务器和应用程序可以组合在相同的物理机器上并保留单独的虚拟或逻辑地址,或者可以驻留在单独的物理机器上。图11仅示出了可以使用的网络架构的一个示例,并且本领域技术人员将理解,所使用的特定网络架构和数据处理设备可以变化,并且相对于它们所提供的功能是次要的,如本文所进一步描述的。例如,可以在单个服务器上组合由网络服务器1105和数据服务器1103提供的服务。
每个组件1103、1105、1107、1109可以是任何类型的已知计算机、服务器或数据处理设备。数据服务器1103例如可以包括控制数据服务器1103的整体操作的处理器1111。数据服务器1103可以进一步包括随机存取存储器(RAM)1113、只读存储器(ROM)1115、网络接口1117、输入/输出接口1119(例如,键盘、鼠标、显示器、打印机等)以及存储器1121。输入/输出(I/O)1119可以包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和驱动器。存储器1121可以进一步存储用于控制数据处理设备1103的整体操作的操作系统软件1123、用于指示数据服务器1103执行本文所述方面的控制逻辑1125,以及提供可以结合或可以不结合本文所述方面使用的辅助、支持和/或其他功能的其他应用软件1127。控制逻辑在本文中也可以称为数据服务器软件1125。数据服务器软件的功能可以是指基于编码到控制逻辑中的规则自动做出的操作或决策、通过用户向系统提供输入而手动做出的操作或决策,和/或基于用户输入(例如,查询、数据更新等)的自动处理的组合。
存储器1121还可存储用于执行本文所述一个或多个方面的数据,包括第一数据库1129和第二数据库1131。在一些实施例中,第一数据库可以包括第二数据库(例如,作为单独的表、报告等)。也就是说,取决于系统设计,信息可以存储在单个数据库中,或者可以分为不同的逻辑、虚拟或物理数据库。设备1105、1107和1109可以具有与关于设备1103所述的相似或不同的架构。本领域技术人员将理解,如本文所述的数据处理设备1103(或设备1105、1107或1109)的功能可以分布在多个数据处理设备上,例如,为了将处理负载分布在多个计算机上,为了基于地理位置、用户访问级别、服务质量(QoS)等隔离业务等。
一个或多个方面可以体现在由本文所述的一个或多个计算机或其他设备执行的计算机可用或可读数据和/或计算机可执行指令中,诸如在一个或多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,它们在由计算机或其他设备中的处理器执行时执行特定任务或实现特定抽象数据类型。可以用源代码编程语言编写模块,随后将其编译以供执行,或者可以用脚本语言编写模块,诸如(但不限于)超文本标记语言(HTML)或可扩展标记语言(XML)。可以将计算机可执行指令存储在诸如非易失性存储设备之类的计算机可读介质上。可以利用任何合适的计算机可读存储介质,包括硬盘、CD-ROM、光学存储设备、磁性存储设备和/或其任何组合。另外,表示本文所述的数据或事件的各种传输(非存储)介质可以以电磁波的形式通过诸如金属线、光纤和/或无线传输介质(例如,空气和/或空间)之类的信号传导介质在源和目的地之间传输。本文所述的各个方面可以体现为方法、数据处理系统或计算机程序产品。因此,各种功能可以全部或部分地体现在软件、固件和/或硬件,或硬件等效物中,诸如集成电路、现场可编程门阵列(FPGA)等。特定的数据结构可以用于更有效地实现本文所述的一个或多个方面,并且此类数据结构被认为在本文所述的计算机可执行指令和计算机可用数据的范围内。
进一步参考图12,可以在远程访问环境中实现本文所述的一个或多个方面。图12描绘了示例性系统架构,其包括可根据本文所述的一个或多个例示性方面使用的例示性计算环境1200中的计算设备1201。计算设备1201可以用作被配置为向客户端访问设备提供虚拟机的单服务器或多服务器桌面虚拟化系统(例如,远程访问或云系统)中的服务器1206a。计算设备1201可以具有处理器1203,以用于控制服务器和相关联组件的整体操作,该相关联组件包括RAM 1205、ROM 1207、输入/输出(I/O)模块1209和存储器1215。
I/O模块1209可以包括鼠标、小键盘、触摸屏、扫描仪、光学阅读器和/或手写笔(或其他输入设备),计算设备201的用户可以通过它们提供输入,并且还可以包括用于提供音频输出的一个或多个扬声器以及用于提供文本、视听和/或图形输出的一个或多个视频显示设备。可以将软件存储在存储器1215和/或其他存储装置内,以向处理器1203提供指令,用于将计算设备1201配置为专用计算设备,以便执行本文所述的各种功能。例如,存储器1215可以存储由计算设备1201使用的软件,诸如操作系统1217、应用程序1219和相关联的数据库1221。
计算设备1201可以在支持到诸如终端1240(也称为客户端设备)的一个或多个远程计算机的连接的联网环境中操作。终端1240可以是个人计算机、移动设备、膝上型计算机、平板电脑或服务器,其包括以上关于计算设备1103或1201所述的许多或所有元件。图12中描绘的网络连接包括局域网(LAN)1225和广域网(WAN)1229,但是也可以包括其他网络。当在LAN联网环境中使用时,计算设备1201可通过网络接口或适配器1223连接到LAN 1225。当在WAN联网环境中使用时,计算设备1201可以包括调制解调器1227或其他广域网接口,以用于通过诸如计算机网络1230(例如,互联网)之类的WAN 1229建立通信。应当理解,所示的网络连接是例示性的,并且可以使用在计算机之间建立通信链路的其他方式。计算设备1201和/或终端1240还可以是包括各种其他组件例如,电池、扬声器和天线(未示出)的移动终端(例如,移动电话、智能电话、个人数字助理(PDA)、笔记本等)。
本文所述的各方面也可以与许多其他通用或专用计算系统环境或配置一起操作。可能适用于本文所述方面的其他计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人计算机(PC)、小型计算机、大型计算机,包括上述任何系统或设备的分布式计算环境等。
如图12所示,一个或多个客户端设备1240可以与一个或多个服务器1206a-1206n(在本文中通常称为“服务器1206”)通信。在一个实施例中,计算环境1200可以包括安装在服务器1206和客户端机器1240之间的网络设备。网络设备可以管理客户端/服务器连接,并且在一些情况下可以在多个后端服务器1206之间负载平衡客户端连接。
在一些实施例中,客户端机器1240可以被称为单个客户端机器1240或单个客户端机器组1240,而服务器1206可以被称为单个服务器1206或单个服务器组1206。在一个实施例中,单个客户端机器1240与不止一个服务器1206通信,而在另一实施例中,单个服务器1206与不止一个客户端机器1240通信。在又另一个实施例中,单个客户端机器1240与单个服务器1206通信。
在一些实施例中,客户端机器1240可以通过以下非穷举性术语中的任何一个来引用:客户端机器;客户端;客户端计算机;客户端设备;客户端计算设备;本地机器;远程机器;客户端节点;端点;或端点节点。在一些实施例中,服务器1206可以通过以下非穷举性术语中的任何一个来引用:服务器;本地机器;远程机器;服务器群或主机计算设备。
在一个实施例中,客户端机器1240可以是虚拟机。虚拟机可以是任何虚拟机,而在一些实施例中,虚拟机可以是由类型1或类型2管理程序(例如,由Citrix、IBM、VMware开发的管理程序或任何其他管理程序)管理的任何虚拟机。在一些方面,虚拟机可以由管理程序管理,而在其他方面,虚拟机可以由在服务器1206上执行的管理程序或在客户端1240上执行的管理程序管理。
一些实施例包括客户端设备1240,其显示由在服务器1206或其他远程定位的机器上远程执行的应用程序生成的应用程序输出。在这些实施例中,客户端设备1240可以执行虚拟机接收器程序或应用程序以在应用程序窗口、浏览器或其他输出窗口中显示输出。在一个示例中,应用程序是桌面,而在其他示例中,应用程序是生成或呈现桌面的应用程序。桌面可以包括图形外壳,该图形外壳为可以在其中集成有本地和/或远程应用程序的操作系统实例提供用户界面。如本文所使用的,应用程序是在已经加载了操作系统(以及任选地,还有桌面)的实例之后执行的程序。
在一些实施例中,服务器1206使用远程呈现协议或其他程序将数据发送到在客户端上执行的瘦客户端或远程显示应用程序,以呈现由在服务器1206上执行的应用程序生成的显示输出。瘦客户端或远程显示协议可以是诸如由佛罗里达州劳德代尔堡的思杰系统公司开发的独立计算架构(ICA)协议;或由华盛顿州雷德蒙德的微软公司制造的远程桌面协议(RDP)。
远程计算环境可以包括不止一个服务器1206a-1206n,从而使得例如在云计算环境中将服务器1206a-1206n一起逻辑分组为服务器群1206。服务器群1206可以包括在地理上分散的同时在逻辑上分组在一起的服务器1206,或者在逻辑上分组在一起的同时彼此邻近定位的服务器1206。在一些实施例中,服务器群1206内的地理上分散的服务器1206a-1206n可以使用WAN(广域)、MAN(城域)或LAN(局域)进行通信,其中不同的地理区域可以被表征为:不同的大陆;大陆的不同地区;不同国家;不同的州;不同的城市;不同的园区;不同的房间;或上述地理位置的任何组合。在一些实施例中,服务器群1206可以作为单个实体进行管理,而在其他实施例中,服务器群1206可以包括多个服务器群。
在一些实施例中,服务器群可以包括执行基本相似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN等)的服务器1206。在其他实施例中,服务器群1206可以包括执行第一类操作系统平台的第一组一个或多个服务器,以及执行第二类操作系统平台的第二组一个或多个服务器。
服务器1206可以根据需要配置为任何类型的服务器,例如,文件服务器、应用程序服务器、网络服务器、代理服务器、设备、网络设备、网关、应用程序网关、网关服务器、虚拟化服务器、部署服务器、安全套接字层(SSL)VPN服务器、防火墙、网络服务器、应用程序服务器,或配置为主应用程序服务器、执行活动目录的服务器或执行应用程序加速程序的服务器,其提供防火墙功能、应用程序功能或负载均衡功能。也可以使用其他服务器类型。
一些实施例包括第一服务器1206a,其从客户端机器1240接收请求,将请求转发到第二服务器1206b(未示出),并利用来自第二服务器1206b(未示出)的响应来对由客户端机器1240生成的请求作出响应。第一服务器1206a可以获取可用于客户端机器1240的应用程序的枚举,以及与托管在应用程序的枚举中标识的应用程序的应用服务器1206相关联的地址信息。然后,第一服务器1206a可以使用网页界面呈现对客户端请求的响应,并直接与客户端1240通信,以使客户端1240可以访问所标识的应用程序。一个或多个客户端1240和/或一个或多个服务器1206可通过网络1230(例如,网络1101)传输数据。
本公开的各方面已经根据其例示性实施例进行了描述。通过阅读本公开,本领域普通技术人员可以想到所附权利要求的范围和精神内的许多其他实施例、修改和变化。例如,本领域的普通技术人员将理解,例示性附图中示出的步骤可以以不同于所列举的顺序来执行,并且示出的一个或多个步骤可以是任选的。所附权利要求中的任何和所有特征可以以任何可能的方式组合或重新布置。
本申请还涉及以下方面:
1).一种方法,其包括:
接收与由网关保护的网络相关联的多个分组,所述网关配置有多个分组过滤规则;
通过配置有所述多个分组过滤规则的所述网关,对所述多个分组中的每个分组进行过滤;
通过配置有所述多个分组过滤规则的所述网关,生成与所述多个分组的至少第一部分相关联的威胁元数据;
通过至少一个威胁分析设备,接收所述多个分组的所述第一部分以及与所述多个分组的所述第一部分相关联的所述威胁元数据;
通过所述至少一个威胁分析设备,基于分组数据并且基于与所述分组数据相关联的所述威胁元数据,确定针对所述多个分组的至少第二部分的至少一个保护动作;以及
基于所确定的至少一个保护动作,处理所述多个分组的所述第二部分。
2).根据1)所述的方法,通过配置有所述多个分组过滤规则的所述网关对所述多个分组中的每个分组进行过滤包括:针对所述多个分组中的每个分组,基于所述多个分组过滤规则将分组数据与威胁情报数据进行比较。
3).根据1)所述的方法,其进一步包括:通过配置有所述多个分组过滤规则的所述网关将所述多个分组的第三部分转发到它们的预期目的地,其中所述多个分组的所述第三部分与所述多个分组过滤规则中的任何一个都不匹配。
4).根据1)所述的方法,其中通过配置有所述多个分组过滤规则的所述网关对所述多个分组中的每个分组进行过滤包括:
基于所述多个分组过滤规则中的至少一个,确定分组威胁等级;和
基于所确定的低分组威胁等级,向其预期目的地发送低威胁分组;
基于所确定的中等分组威胁等级,向所述至少一个威胁分析设备发送中等威胁分组;以及
基于所确定的高分组威胁等级,防止高威胁分组向其预期目的地前进。
5).根据4)所述的方法,其中基于所确定的中等分组威胁等级向所述至少一个威胁分析设备发送所述中等威胁分组包括:
基于所确定的中等分组威胁等级,将所述中等威胁分组的第一副本发送至所述中等威胁分组的预期目的地;
基于所确定的中等分组威胁等级,将所述中等威胁分组的第二副本发送至所述至少一个威胁分析设备;
通过所述至少一个威胁分析设备确定所述中等分组威胁等级与确认的威胁相关联;以及
基于所述至少一个威胁分析设备的处理,更新与所述中等威胁分组相关联的至少一个分组过滤规则,以防止与所述中等威胁分组相关联的分组向其预期目的地发送。
6).根据4)所述的方法,其中基于所确定的中等分组威胁等级向所述至少一个威胁分析设备发送所述中等威胁分组包括:
基于所确定的中等分组威胁等级,将所述中等威胁分组的第一副本发送至所述中等威胁分组的所述预期目的地;
基于所确定的中等分组威胁等级,将所述中等威胁分组的第二副本发送至所述至少一个威胁分析设备;
通过所述至少一个威胁分析设备确定所述中等分组威胁等级不与威胁相关联;以及
基于所述至少一个威胁分析设备的处理,更新与所述中等威胁分组相关联的至少一个分组过滤规则,以允许与所述中等威胁分组相关联的分组向其预期目的地发送。
7).根据4)所述的方法,其中基于所述多个分组过滤规则中的所述至少一个确定所述分组威胁等级包括:
确定分组过滤威胁情报数据的保真度;
为与低保真度分组过滤威胁情报数据相关联的分组分配中等分组威胁等级;以及
为与高保真度分组过滤威胁情报数据相关联的分组分配高分组威胁等级。
8).根据4)所述的方法,其进一步包括:基于与所确定的高分组威胁等级相关联的威胁元数据,配置高保真度分组过滤规则。
9).根据1)所述的方法,其进一步包括:通过代理并且基于与所述多个分组的至少第一部分相关联的威胁元数据,确定多个威胁分析设备中的一个来处理所述多个分组的所述第一部分。
10).根据1)所述的方法,其进一步包括:
生成所述多个分组的所述第一部分以及与所述多个分组的所述第一部分相关联的所述威胁元数据的日志;和
将所述日志发送给系统管理员。
11).根据1)所述的方法,其进一步包括:
基于由所述至少一个威胁分析设备生成的威胁元数据更新日志,其中经更新的日志包括由所述网关生成的威胁元数据和由所述至少一个威胁分析设备生成的所述威胁元数据。
12).根据1)所述的方法,其中通过所述至少一个威胁分析设备,基于所述分组数据并且基于与所述分组数据相关联的所述威胁元数据,确定针对所述多个分组的至少所述第二部分的至少一个保护动作包括:
基于由所述网关生成的所述威胁元数据并且基于由所述至少一个威胁分析设备生成的所述威胁元数据,确定针对所述多个分组的至少第二部分的至少一个保护动作。
13).根据1)所述的方法,其中基于所确定的至少一个保护动作,处理所述多个分组的所述第二部分包括:
基于由所述网关生成的威胁元数据并且基于由所述至少一个威胁分析设备生成的威胁元数据,针对至少一个确定的威胁分组,确定主动保护处理、前摄性保护处理以及被动保护处理中的至少一种;
其中主动保护处理包括重新配置所述网关以阻止与所述至少一个确定的威胁分组相同的分组流所相关联的分组,
其中前摄性保护处理包括从所述至少一个确定的威胁分组中提取威胁情报数据,并基于从所述至少一个确定的威胁分组中提取的所述威胁情报数据来重新配置所述网关,并且
其中所述被动保护处理包括将与所述至少一个确定的威胁分组相关联的元数据发送至管理设备。
14).根据1)所述的方法,其进一步包括:
向系统管理员发送日志文件,所述日志文件包括与至少一种威胁有关的元数据;
从所述系统管理员接收经更新的规则信息;以及
基于从所述系统管理员接收的经更新的规则信息,更新所述网关的所述多个分组过滤规则中的至少一个。
15).根据1)所述的方法,其进一步包括:基于与所述多个分组的至少第一部分相关联的威胁元数据,确定多个威胁分析设备中的一个将用于进一步处理所述多个分组的所述第一部分。
16).根据1)所述的方法,其中所述至少一个威胁分析设备包括网络入侵检测设备、网络入侵保护设备、网络签名检测设备、监视设备、沙盒分析设备和恶意软件分析设备中的至少两个。
17).根据1)所述的方法,其中基于所确定的至少一个保护动作,处理所述多个分组的所述第二部分包括以下中的至少一项:
阻止与所述多个分组的所述第二部分相关联的进一步通信;
从所述多个分组的所述第二部分中提取威胁情报数据,并基于所述提取的威胁情报数据生成规则;
隔离与所述多个分组的所述第二部分相关联的受感染主机设备;以及
将与所述多个分组的所述第二部分相关联的日志转发到管理设备。
18).一种网络安全系统,其包括:
网关,所述网关被配置为过滤由所述网络安全系统接收的多个分组,其中所述网关被配置为基于多个分组过滤规则对所述多个分组进行过滤,其中所述过滤包括将所述多个分组的第一部分转发到它们的预期目的地,其中所述网关被进一步配置为基于所述多个分组过滤规则来生成与所述多个分组的至少第二部分相关联的威胁元数据;
多个威胁分析设备,所述多个威胁设备被配置为接收所述多个分组的所述第二部分以及由所述网关生成的相关联的威胁元数据,其中所述多个威胁分析设备执行至少两种不同类型的威胁分析过程,并且所述多个分组的所述第二部分中的每个分组被分配给所述多个威胁分析设备中的一个;以及
处理设备,所述处理设备被配置为基于由所述网关生成的威胁元数据和由所述多个威胁分析设备中的至少一个生成的威胁元数据,处理从所述多个威胁分析设备接收的所述多个分组的第三部分。
19).根据18)所述的网络安全系统,其进一步包括:
代理,所述代理被可通信地耦合以从所述网关接收与所述多个分组的至少第二部分相关联的元数据,并且被配置为确定多个威胁分析设备中的一个。
20).根据18)所述的网络安全系统,其进一步包括:
安全管理接口,所述安全管理接口被配置为向系统管理员发送包括与至少一种威胁有关的元数据的日志文件,被配置为从所述系统管理员接收经更新的规则信息,并且被配置为基于从所述系统管理员接收的经更新的规则信息,将所述经更新的规则信息发送至所述网关。
Claims (22)
1.一种用于网络保护的方法,其包括:
使至少一个网络分析系统配置具有一个或多个分析规则,其中所述一个或多个分析规则中的每一个与分析方法相关联;
通过配置有多个分组过滤规则的网关,接收与受保护的网络相关联的多个分组;
通过配置有所述多个分组过滤规则的所述网关,对所述多个分组中的每个分组进行过滤以确定所述多个分组中的与所述多个分组过滤规则中的至少一个分组过滤规则相匹配的第一部分;
通过配置有所述多个分组过滤规则的所述网关,生成与所述多个分组的所述第一部分相关联的威胁元数据;
通过所述至少一个网络分析系统并且基于所生成的与所述多个分组中的至少所述第一部分相关联的所述威胁元数据来接收配置信号,所述配置信号配置所述至少一个网络分析系统以执行特定的分析方法;
通过所述至少一个网络分析系统,接收所述多个分组的所述第一部分以及与所述多个分组的所述第一部分相关联的所述威胁元数据;
通过所述至少一个网络分析系统,使用所述特定的分析方法来分析所述多个分组的所述第一部分以确定所述多个分组的第二部分,其中所述多个分组的所述第二部分包括被识别为潜在威胁的网络流量;
基于与所述多个分组的所述第二部分相关联的数据并且基于接收到的所述威胁元数据,确定针对所述多个分组的所述第二部分的至少一个保护动作;以及
基于确定的所述至少一个保护动作,处理所述多个分组的所述第二部分。
2.根据权利要求1所述的方法,其中通过配置有所述多个分组过滤规则的所述网关,对所述多个分组中的每个分组进行过滤包括:针对所述多个分组中的每个分组,基于所述多个分组过滤规则,将与所述多个分组中的每个分组相关联的数据与威胁情报数据进行比较。
3.根据权利要求1所述的方法,其进一步包括:通过配置有所述多个分组过滤规则的所述网关,将所述多个分组的第三部分转发到它们的预期目的地,其中所述多个分组的所述第三部分与所述多个分组过滤规则中的任何一个都不匹配。
4.根据权利要求1所述的方法,其中通过配置有所述多个分组过滤规则的所述网关,对所述多个分组中的每个分组进行过滤包括:
基于所述多个分组过滤规则中的至少一个,确定分组威胁等级;
基于确定的低分组威胁等级,向其预期目的地发送低威胁分组;
基于确定的中等分组威胁等级,向所述至少一个网络分析系统发送中等威胁分组;以及
基于确定的高分组威胁等级,防止高威胁分组向其预期目的地前进。
5.根据权利要求4所述的方法,其中基于所确定的中等分组威胁等级,向所述至少一个网络分析系统发送所述中等威胁分组包括:
基于所确定的中等分组威胁等级,将所述中等威胁分组的第一副本发送至所述中等威胁分组的预期目的地;以及
基于所确定的中等分组威胁等级,将所述中等威胁分组的第二副本发送至所述至少一个网络分析系统;
其中所述方法还包括:
通过所述至少一个网络分析系统,确定所述中等分组威胁等级与确认的威胁相关联;以及
基于所述至少一个网络分析系统的处理,更新与所述中等威胁分组相关联的至少一个分组过滤规则,以防止与所述中等威胁分组相关联的分组向其预期目的地发送。
6.根据权利要求4所述的方法,其中基于所确定的中等分组威胁等级,向所述至少一个网络分析系统发送所述中等威胁分组包括:
基于所确定的中等分组威胁等级,将所述中等威胁分组的第一副本发送至所述中等威胁分组的所述预期目的地;以及
基于所确定的中等分组威胁等级,将所述中等威胁分组的第二副本发送至所述至少一个网络分析系统;
其中所述方法进一步包括:通过所述至少一个网络分析系统,确定所述中等分组威胁等级不与威胁相关联;以及
基于所述至少一个网络分析系统的处理,更新与所述中等威胁分组相关联的至少一个分组过滤规则,以允许与所述中等威胁分组相关联的分组向其预期目的地发送。
7.根据权利要求4所述的方法,其中基于所述多个分组过滤规则中的所述至少一个确定所述分组威胁等级包括:
确定分组过滤威胁情报数据的保真度;
为与低保真度分组过滤威胁情报数据相关联的分组分配中等分组威胁等级;以及
为与高保真度分组过滤威胁情报数据相关联的分组分配高分组威胁等级。
8.根据权利要求4所述的方法,其进一步包括:基于与所确定的高分组威胁等级相关联的威胁元数据,将所述网关配置有基于与所确定的高分组威胁等级相关联的所述威胁元数据生成的高保真度分组过滤规则。
9.根据权利要求1所述的方法,其进一步包括:通过代理并且基于接收到的所述多个分组的所述第一部分以及基于所生成的与所述多个分组的所述第一部分相关联的所述威胁元数据,选择所述至少一个网络分析系统来处理所述多个分组的所述第一部分。
10.根据权利要求1所述的方法,其进一步包括:
生成所述多个分组的所述第一部分以及与所述多个分组的所述第一部分相关联的所述威胁元数据的日志;和
将所述日志发送给系统管理员。
11.根据权利要求1所述的方法,其进一步包括:
基于由所述至少一个网络分析系统生成的第二威胁元数据,更新日志,其中经更新的日志包括由所述网关生成的威胁元数据和由所述至少一个网络分析系统生成的所述第二威胁元数据。
12.根据权利要求1所述的方法,其中确定针对所述多个分组的所述第二部分的所述至少一个保护动作基于由所述网关生成的所述威胁元数据并且基于由所述至少一个网络分析系统生成的威胁元数据。
13.根据权利要求1所述的方法,其中处理所述多个分组的所述第二部分包括:
基于由所述网关生成的所述威胁元数据并且基于由所述至少一个网络分析系统生成的威胁元数据,针对至少一个确定的威胁分组,确定主动保护处理、前摄性保护处理以及被动保护处理中的至少一种;
其中主动保护处理包括重新配置所述网关以阻止与所述至少一个确定的威胁分组相同的分组流所相关联的分组,
其中前摄性保护处理包括从所述至少一个确定的威胁分组中提取威胁情报数据,并基于从所述至少一个确定的威胁分组中所提取的威胁情报数据来重新配置所述网关,并且
其中被动保护处理包括将与所述至少一个确定的威胁分组相关联的元数据发送至管理设备。
14.根据权利要求1所述的方法,其进一步包括:
向系统管理员发送日志文件,所述日志文件包括与至少一种威胁有关的元数据;
从所述系统管理员接收经更新的规则信息;以及
基于从所述系统管理员接收的经更新的规则信息,更新所述网关的所述多个分组过滤规则中的至少一个。
15.根据权利要求1所述的方法,其进一步包括:基于与所述多个分组的所述第一部分相关联的所述威胁元数据,确定所述至少一个网络分析系统以用于所述多个分组的所述第一部分的进一步处理。
16.根据权利要求1所述的方法,其中所述至少一个网络分析系统包括网络入侵检测设备、网络入侵保护设备、网络签名检测设备、监视设备、沙盒分析设备和恶意软件分析设备中的至少两个。
17.根据权利要求1所述的方法,其中基于所确定的至少一个保护动作,处理所述多个分组的所述第二部分包括以下中的至少一项:
阻止与所述多个分组的所述第二部分相关联的进一步通信;
从所述多个分组的所述第二部分中提取威胁情报数据,并基于所提取的威胁情报数据生成规则;
隔离与所述多个分组的所述第二部分相关联的受感染主机设备;以及
将与所述多个分组的所述第二部分相关联的日志转发到管理设备。
18.根据权利要求1所述的方法,其中所述生成的威胁元数据基于所述多个分组过滤规则中的与所述多个分组的所述第一部分相匹配的第一分组过滤规则。
19.根据权利要求1所述的方法,其中所述生成的威胁元数据包括以下中的至少一个:
威胁的类型;
所述威胁的名称;
威胁参与者的身份;
情报提供方的身份;
由情报提供方生成的威胁元数据;
出处信息;
由情报提供方为所述威胁指定的一个或多个风险评分;
由所述网关确定的一个或多个风险评分;或
威胁事件标识符。
20.一种网络安全系统,其包括:
网关,所述网关包括至少一个处理器和存储器,所述网关被配置为:
过滤由所述网络安全系统接收的多个分组,其中所述网关被配置为基于多个分组过滤规则对所述多个分组进行过滤,其中所述过滤包括将所述多个分组的第一部分转发到它们的预期目的地;并且
基于所述多个分组过滤规则,来生成与所述多个分组的至少第二部分相关联的威胁元数据;
多个网络分析系统,每个网络分析系统包括至少一个处理器和存储器,所述多个网络分析系统被配置为:
接收第一配置信号,所述第一配置信号使所述多个网络分析系统配置具有一个或多个分析规则,其中所述一个或多个分析规则中的每一个与分析方法相关联;
接收所述多个分组的所述第二部分和由所述网关生成的相关联的威胁元数据;以及
接收第二配置信号,所述第二配置信号基于与所述多个分组的至少所述第二部分相关联的所述威胁元数据来配置每个网络分析系统以执行特定的分析方法,其中所述多个网络分析系统基于所接收的配置信号执行至少两种不同类型的威胁分析过程,并且所述多个分组的所述第二部分中的每个分组被分配给所述多个网络分析系统中的一个;以及
处理设备,所述处理设备包括至少一个处理器和存储器,所述处理设备被配置为:
基于由所述网关生成的威胁元数据和由所述多个网络分析系统中的至少一个生成的威胁元数据,处理从所述多个网络分析系统接收的所述多个分组的第三部分。
21.根据权利要求20所述的网络安全系统,其进一步包括:
代理,所述代理包括至少一个处理器和存储器,所述代理被可通信地耦合以从所述网关接收与所述多个分组的至少第二部分相关联的威胁元数据,并且被配置为确定所述多个网络分析系统中的一个。
22.根据权利要求20所述的网络安全系统,其进一步包括:
安全管理接口,所述安全管理接口被配置为:
向系统管理员发送包括与至少一种威胁有关的元数据的日志文件;
从所述系统管理员接收经更新的规则信息;并且
基于从所述系统管理员接收的经更新的规则信息,将所述经更新的规则信息发送至所述网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202410185097.1A CN118018282A (zh) | 2018-07-09 | 2019-07-08 | 用于高效网络保护的方法和系统 |
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/030,374 | 2018-07-09 | ||
| US16/030,374 US10333898B1 (en) | 2018-07-09 | 2018-07-09 | Methods and systems for efficient network protection |
| PCT/US2019/040830 WO2020014134A1 (en) | 2018-07-09 | 2019-07-08 | Methods and systems for efficient network protection |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410185097.1A Division CN118018282A (zh) | 2018-07-09 | 2019-07-08 | 用于高效网络保护的方法和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112602301A CN112602301A (zh) | 2021-04-02 |
| CN112602301B true CN112602301B (zh) | 2024-03-08 |
Family
ID=66996488
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980055472.8A Active CN112602301B (zh) | 2018-07-09 | 2019-07-08 | 用于高效网络保护的方法和系统 |
| CN202410185097.1A Pending CN118018282A (zh) | 2018-07-09 | 2019-07-08 | 用于高效网络保护的方法和系统 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202410185097.1A Pending CN118018282A (zh) | 2018-07-09 | 2019-07-08 | 用于高效网络保护的方法和系统 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US10333898B1 (zh) |
| EP (2) | EP4443839A2 (zh) |
| CN (2) | CN112602301B (zh) |
| WO (1) | WO2020014134A1 (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20190362075A1 (en) * | 2018-05-22 | 2019-11-28 | Fortinet, Inc. | Preventing users from accessing infected files by using multiple file storage repositories and a secure data transfer agent logically interposed therebetween |
| US10764211B2 (en) * | 2018-10-19 | 2020-09-01 | Avago Technologies International Sales Pte. Limited | Flexible switch logic |
| US11399038B2 (en) * | 2018-11-06 | 2022-07-26 | Schlumberger Technology Corporation | Cybersecurity with edge computing |
| US11606369B2 (en) * | 2020-03-20 | 2023-03-14 | Cisco Technology, Inc. | Intelligent quarantine on switch fabric for physical and virtualized infrastructure |
| CN111800439B (zh) * | 2020-09-08 | 2020-12-22 | 江苏苏宁银行股份有限公司 | 一种威胁情报在银行中的应用方法及其系统 |
| US20220094703A1 (en) * | 2020-09-23 | 2022-03-24 | Open Text Holdings, Inc. | Endpoint security systems and methods with telemetry filters for event log monitoring |
| CN114390556B (zh) * | 2020-10-21 | 2023-07-07 | 中国联合网络通信集团有限公司 | 一种整改方案的确定方法和装置 |
| US20220159029A1 (en) * | 2020-11-13 | 2022-05-19 | Cyberark Software Ltd. | Detection of security risks based on secretless connection data |
| CA3199700A1 (en) * | 2020-11-23 | 2022-05-27 | Reliaquest Holdings, Llc | Threat mitigation system and method |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459660A (zh) * | 2007-12-13 | 2009-06-17 | 国际商业机器公司 | 用于集成多个威胁安全服务的方法及其设备 |
| CN101651692A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 网络安全保护方法、安全服务器和转发设备 |
| US8510821B1 (en) * | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
Family Cites Families (248)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
| US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
| US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
| US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
| US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
| US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
| US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
| US20010039624A1 (en) | 1998-11-24 | 2001-11-08 | Kellum Charles W. | Processes systems and networks for secured information exchange using computer hardware |
| CA2287689C (en) | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
| US6226372B1 (en) | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
| US6611875B1 (en) | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
| ATE360937T1 (de) | 1999-06-10 | 2007-05-15 | Alcatel Internetworking Inc | System und verfahren zur selektiven ldap- datenbank synchronisierung |
| US7051365B1 (en) | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
| US6971028B1 (en) | 1999-08-30 | 2005-11-29 | Symantec Corporation | System and method for tracking the source of a computer attack |
| EP1107140A3 (en) | 1999-11-30 | 2004-01-28 | Hitachi, Ltd. | Security system design supporting method |
| US7215637B1 (en) | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
| US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
| US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
| US6907470B2 (en) | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
| US20020164962A1 (en) | 2000-07-18 | 2002-11-07 | Mankins Matt W. D. | Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units |
| US7152240B1 (en) * | 2000-07-25 | 2006-12-19 | Green Stuart D | Method for communication security and apparatus therefor |
| US6834342B2 (en) | 2000-08-16 | 2004-12-21 | Eecad, Inc. | Method and system for secure communication over unstable public connections |
| US6662235B1 (en) | 2000-08-24 | 2003-12-09 | International Business Machines Corporation | Methods systems and computer program products for processing complex policy rules based on rule form type |
| US20020038339A1 (en) | 2000-09-08 | 2002-03-28 | Wei Xu | Systems and methods for packet distribution |
| US7129825B2 (en) | 2000-09-26 | 2006-10-31 | Caterpillar Inc. | Action recommendation system for a mobile vehicle |
| US20060212572A1 (en) | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
| US7046680B1 (en) | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
| US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
| EP1338130B1 (en) | 2000-11-30 | 2006-11-02 | Lancope, Inc. | Flow-based detection of network intrusions |
| US7095741B1 (en) | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
| US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| US7061874B2 (en) | 2001-01-26 | 2006-06-13 | Broadcom Corporation | Method, system and computer program product for classifying packet flows with a bit mask |
| FI20010256A0 (fi) | 2001-02-12 | 2001-02-12 | Stonesoft Oy | Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä |
| US20040151155A1 (en) | 2001-03-14 | 2004-08-05 | Jarkko Jouppi | Method for activating a connection in a communications system, mobile station, network element and packet filter |
| US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
| US20020186683A1 (en) | 2001-04-02 | 2002-12-12 | Alan Buck | Firewall gateway for voice over internet telephony communications |
| AUPR435501A0 (en) | 2001-04-11 | 2001-05-17 | Firebridge Systems Pty Ltd | Network security system |
| KR100398281B1 (ko) | 2001-04-17 | 2003-09-19 | 시큐아이닷컴 주식회사 | 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법 |
| US7227842B1 (en) | 2001-04-24 | 2007-06-05 | Tensilica, Inc. | Fast IP packet classification with configurable processor |
| WO2002101968A2 (en) | 2001-06-11 | 2002-12-19 | Bluefire Security Technology | Packet filtering system and methods |
| US6947983B2 (en) | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
| US7315892B2 (en) | 2001-06-27 | 2008-01-01 | International Business Machines Corporation | In-kernel content-aware service differentiation |
| KR20010079361A (ko) | 2001-07-09 | 2001-08-22 | 김상욱 | 네트워크 상태 기반의 방화벽 장치 및 그 방법 |
| US7207062B2 (en) | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
| US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| US7386525B2 (en) | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
| US7159109B2 (en) | 2001-11-07 | 2007-01-02 | Intel Corporation | Method and apparatus to manage address translation for secure connections |
| US7325248B2 (en) | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
| FI20012338A0 (fi) | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
| US20030123456A1 (en) | 2001-12-28 | 2003-07-03 | Denz Peter R. | Methods and system for data packet filtering using tree-like hierarchy |
| US7222366B2 (en) | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
| US7161942B2 (en) | 2002-01-31 | 2007-01-09 | Telcordia Technologies, Inc. | Method for distributing and conditioning traffic for mobile networks based on differentiated services |
| JP3797937B2 (ja) * | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7249194B2 (en) | 2002-02-08 | 2007-07-24 | Matsushita Electric Industrial Co., Ltd. | Gateway apparatus and its controlling method |
| US7107613B1 (en) | 2002-03-27 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for reducing the number of tunnels used to implement a security policy on a network |
| US7185365B2 (en) | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| WO2003090019A2 (en) | 2002-04-15 | 2003-10-30 | Core Sdi, Incorporated | Secure auditing of information systems |
| GB2387681A (en) | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
| AUPS214802A0 (en) | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
| US20030212900A1 (en) | 2002-05-13 | 2003-11-13 | Hsin-Yuo Liu | Packet classifying network services |
| WO2003105009A1 (en) | 2002-06-07 | 2003-12-18 | Bellsouth Intellectual Property Corporation | Sytems and methods for establishing electronic conferencing over a distributed network |
| TWI244297B (en) | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
| US7441262B2 (en) | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
| US20040015719A1 (en) * | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
| US7684400B2 (en) | 2002-08-08 | 2010-03-23 | Intel Corporation | Logarithmic time range-based multifield-correlation packet classification |
| US7263099B1 (en) | 2002-08-14 | 2007-08-28 | Juniper Networks, Inc. | Multicast packet replication |
| JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
| FR2844415B1 (fr) | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
| US20060104202A1 (en) | 2002-10-02 | 2006-05-18 | Richard Reiner | Rule creation for computer application screening; application error testing |
| US7313141B2 (en) | 2002-10-09 | 2007-12-25 | Alcatel Lucent | Packet sequence number network monitoring system |
| US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US7296288B1 (en) | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
| US20040098511A1 (en) | 2002-11-16 | 2004-05-20 | Lin David H. | Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule |
| US7366174B2 (en) | 2002-12-17 | 2008-04-29 | Lucent Technologies Inc. | Adaptive classification of network traffic |
| US7050394B2 (en) | 2002-12-18 | 2006-05-23 | Intel Corporation | Framer |
| US20050125697A1 (en) | 2002-12-27 | 2005-06-09 | Fujitsu Limited | Device for checking firewall policy |
| US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
| US20040193943A1 (en) | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
| US20040177139A1 (en) | 2003-03-03 | 2004-09-09 | Schuba Christoph L. | Method and apparatus for computing priorities between conflicting rules for network services |
| US7539186B2 (en) | 2003-03-31 | 2009-05-26 | Motorola, Inc. | Packet filtering for emergency service access in a packet data network communication system |
| US7441036B2 (en) | 2003-04-01 | 2008-10-21 | International Business Machines Corporation | Method and system for a debugging utility based on a TCP tunnel |
| US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
| US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
| US7509673B2 (en) | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
| US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
| US7710885B2 (en) | 2003-08-29 | 2010-05-04 | Agilent Technologies, Inc. | Routing monitoring |
| KR100502068B1 (ko) | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
| US20050108557A1 (en) | 2003-10-11 | 2005-05-19 | Kayo David G. | Systems and methods for detecting and preventing unauthorized access to networked devices |
| US7237267B2 (en) | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| US7672318B2 (en) | 2003-11-06 | 2010-03-02 | Telefonaktiebolaget L M Ericsson (Publ) | Adaptable network bridge |
| US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
| US20050183140A1 (en) | 2003-11-20 | 2005-08-18 | Goddard Stephen M. | Hierarchical firewall load balancing and L4/L7 dispatching |
| US7389532B2 (en) | 2003-11-26 | 2008-06-17 | Microsoft Corporation | Method for indexing a plurality of policy filters |
| US7756008B2 (en) | 2003-12-19 | 2010-07-13 | At&T Intellectual Property Ii, L.P. | Routing protocols with predicted outrage notification |
| US7523314B2 (en) | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
| US20050141537A1 (en) | 2003-12-29 | 2005-06-30 | Intel Corporation A Delaware Corporation | Auto-learning of MAC addresses and lexicographic lookup of hardware database |
| US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
| US7814546B1 (en) | 2004-03-19 | 2010-10-12 | Verizon Corporate Services Group, Inc. | Method and system for integrated computer networking attack attribution |
| US20050229246A1 (en) | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
| US8923292B2 (en) | 2004-04-06 | 2014-12-30 | Rockstar Consortium Us Lp | Differential forwarding in address-based carrier networks |
| US20050249214A1 (en) | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
| JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
| US8027330B2 (en) | 2004-06-23 | 2011-09-27 | Qualcomm Incorporated | Efficient classification of network packets |
| US20060031928A1 (en) | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
| US20060048142A1 (en) | 2004-09-02 | 2006-03-02 | Roese John J | System and method for rapid response network policy implementation |
| US8331234B1 (en) | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
| US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US7490235B2 (en) | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
| US7509493B2 (en) | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
| JP4369351B2 (ja) | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
| JP2006174350A (ja) | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
| US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
| US7602731B2 (en) | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
| CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
| US7551567B2 (en) | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
| GB2422505A (en) | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
| US7792775B2 (en) | 2005-02-24 | 2010-09-07 | Nec Corporation | Filtering rule analysis method and system |
| WO2006105093A2 (en) | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
| US7499412B2 (en) | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
| US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
| US8296846B2 (en) | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
| US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
| US20070083924A1 (en) | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
| US7716729B2 (en) | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
| US7661136B1 (en) | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
| US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US8116312B2 (en) | 2006-02-08 | 2012-02-14 | Solarflare Communications, Inc. | Method and apparatus for multicast packet reception |
| WO2007096884A2 (en) | 2006-02-22 | 2007-08-30 | Elad Barkan | Wireless internet system and method |
| US7898963B2 (en) | 2006-03-07 | 2011-03-01 | Cisco Technology, Inc. | Graphical representation of the flow of a packet through a network device |
| CN103413231B (zh) | 2006-03-16 | 2017-10-27 | 比凯特有限责任公司 | 在移动物体上显示高度相关广告而获得收益的系统和方法 |
| US20070240208A1 (en) | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
| US7849502B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| GB2437791A (en) | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US7966655B2 (en) | 2006-06-30 | 2011-06-21 | At&T Intellectual Property Ii, L.P. | Method and apparatus for optimizing a firewall |
| US8639837B2 (en) | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
| US8446874B2 (en) | 2006-08-21 | 2013-05-21 | Samsung Electronics Co., Ltd | Apparatus and method for filtering packet in a network system using mobile IP |
| US8234702B2 (en) | 2006-08-29 | 2012-07-31 | Oracle International Corporation | Cross network layer correlation-based firewalls |
| US8385331B2 (en) | 2006-09-29 | 2013-02-26 | Verizon Patent And Licensing Inc. | Secure and reliable policy enforcement |
| US7624084B2 (en) | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
| US7768921B2 (en) | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
| US8004994B1 (en) | 2006-11-01 | 2011-08-23 | Azimuth Systems, Inc. | System and method for intelligently analyzing performance of a device under test |
| US7954143B2 (en) | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
| US8176561B1 (en) | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
| US7835348B2 (en) * | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
| EP2116005A1 (en) | 2007-01-31 | 2009-11-11 | Tufin Software Technologies Ltd. | System and method for auditing a security policy |
| US7873710B2 (en) | 2007-02-06 | 2011-01-18 | 5O9, Inc. | Contextual data communication platform |
| IL189530A0 (en) * | 2007-02-15 | 2009-02-11 | Marvell Software Solutions Isr | Method and apparatus for deep packet inspection for network intrusion detection |
| US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
| US7853689B2 (en) * | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
| US20080320116A1 (en) | 2007-06-21 | 2008-12-25 | Christopher Briggs | Identification of endpoint devices operably coupled to a network through a network address translation router |
| US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
| US8307029B2 (en) | 2007-12-10 | 2012-11-06 | Yahoo! Inc. | System and method for conditional delivery of messages |
| US8418240B2 (en) | 2007-12-26 | 2013-04-09 | Algorithmic Security (Israel) Ltd. | Reordering a firewall rule base according to usage statistics |
| US8561129B2 (en) | 2008-02-28 | 2013-10-15 | Mcafee, Inc | Unified network threat management with rule classification |
| US9298747B2 (en) | 2008-03-20 | 2016-03-29 | Microsoft Technology Licensing, Llc | Deployable, consistent, and extensible computing environment platform |
| CN101552803B (zh) | 2008-04-03 | 2011-10-05 | 华为技术有限公司 | 网络地址转换地址映射表维护方法、媒体网关及其控制器 |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
| US8490171B2 (en) | 2008-07-14 | 2013-07-16 | Tufin Software Technologies Ltd. | Method of configuring a security gateway and system thereof |
| US8161155B2 (en) | 2008-09-29 | 2012-04-17 | At&T Intellectual Property I, L.P. | Filtering unwanted data traffic via a per-customer blacklist |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US20100107240A1 (en) | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8272029B2 (en) | 2008-11-25 | 2012-09-18 | At&T Intellectual Property I, L.P. | Independent role based authorization in boundary interface elements |
| US20100199346A1 (en) | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
| US8321938B2 (en) * | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
| US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
| US8588422B2 (en) | 2009-05-28 | 2013-11-19 | Novell, Inc. | Key management to protect encrypted data of an endpoint computing device |
| US8098677B1 (en) | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
| US8495725B2 (en) | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
| US7890627B1 (en) | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
| US9413616B2 (en) | 2009-10-14 | 2016-08-09 | Hewlett Packard Enterprise Development Lp | Detection of network address spoofing and false positive avoidance |
| EP2478720A1 (en) | 2009-10-30 | 2012-07-25 | Panasonic Corporation | Communication system and apparatus for status dependent mobile services |
| US8271645B2 (en) | 2009-11-25 | 2012-09-18 | Citrix Systems, Inc. | Systems and methods for trace filters by association of client to vserver to services |
| US8219675B2 (en) | 2009-12-11 | 2012-07-10 | Tektronix, Inc. | System and method for correlating IP flows across network address translation firewalls |
| US8254257B2 (en) | 2009-12-11 | 2012-08-28 | At&T Intellectual Property I, Lp | System and method for location, time-of-day, and quality-of-service based prioritized access control |
| US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
| JP5408332B2 (ja) | 2010-03-10 | 2014-02-05 | 富士通株式会社 | 中継装置および通信プログラム |
| US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
| EP2385676B1 (en) | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Method for adapting security policies of an information system infrastructure |
| EP2712144A1 (en) | 2010-09-24 | 2014-03-26 | VeriSign, Inc. | IP address confidence scoring system and method |
| EP2437442B1 (en) | 2010-09-30 | 2013-02-13 | Alcatel Lucent | Device and method for switching data traffic in a digital transmission network |
| US8806638B1 (en) | 2010-12-10 | 2014-08-12 | Symantec Corporation | Systems and methods for protecting networks from infected computing devices |
| US9052898B2 (en) | 2011-03-11 | 2015-06-09 | Qualcomm Incorporated | Remote access and administration of device content, with device power optimization, using HTTP protocol |
| US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US8261295B1 (en) | 2011-03-16 | 2012-09-04 | Google Inc. | High-level language for specifying configurations of cloud-based deployments |
| EP2702740B1 (en) | 2011-04-28 | 2020-07-22 | VoIPFuture GmbH | Correlation of media plane and signaling plane of media services in a packet-switched network |
| EP2715991A4 (en) | 2011-05-23 | 2014-11-26 | Nec Corp | COMMUNICATION SYSTEM, CONTROL DEVICE, COMMUNICATION PROCESS AND PROGRAM |
| US8621556B1 (en) | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
| US9118702B2 (en) | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
| US8995360B2 (en) | 2011-06-09 | 2015-03-31 | Time Warner Cable Enterprises Llc | Techniques for prefix subnetting |
| US8683573B2 (en) | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
| US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
| US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
| WO2013055807A1 (en) | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
| US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
| US8856922B2 (en) | 2011-11-30 | 2014-10-07 | Facebook, Inc. | Imposter account report management in a social networking system |
| US8930690B2 (en) | 2012-03-21 | 2015-01-06 | Microsoft Corporation | Offloading packet processing for networking device virtualization |
| US20130291100A1 (en) | 2012-04-30 | 2013-10-31 | Sundaram S. Ganapathy | Detection And Prevention Of Machine-To-Machine Hijacking Attacks |
| US9548962B2 (en) | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
| US9124628B2 (en) | 2012-09-20 | 2015-09-01 | Cisco Technology, Inc. | Seamless engagement and disengagement of transport layer security proxy services |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9860278B2 (en) | 2013-01-30 | 2018-01-02 | Nippon Telegraph And Telephone Corporation | Log analyzing device, information processing method, and program |
| US9077702B2 (en) | 2013-01-30 | 2015-07-07 | Palo Alto Networks, Inc. | Flow ownership assignment in a distributed processor system |
| US9154502B2 (en) | 2013-01-31 | 2015-10-06 | Google Inc. | Accessing objects in hosted storage |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9430646B1 (en) * | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
| US9407519B2 (en) | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US9338134B2 (en) | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
| US8739243B1 (en) | 2013-04-18 | 2014-05-27 | Phantom Technologies, Inc. | Selectively performing man in the middle decryption |
| US9021575B2 (en) | 2013-05-08 | 2015-04-28 | Iboss, Inc. | Selectively performing man in the middle decryption |
| US9419942B1 (en) | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
| US20150033336A1 (en) | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
| US9634911B2 (en) | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
| DE102013216847B4 (de) | 2013-08-23 | 2023-06-01 | Siemens Mobility GmbH | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
| JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
| WO2015066604A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
| US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
| US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
| US9886581B2 (en) | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
| US20150256431A1 (en) | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
| US9462008B2 (en) | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
| US20150350229A1 (en) | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
| US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
| US20160191558A1 (en) * | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
| US9306818B2 (en) | 2014-07-17 | 2016-04-05 | Cellos Software Ltd | Method for calculating statistic data of traffic flows in data network and probe thereof |
| US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
| US9531672B1 (en) | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
| US9306965B1 (en) | 2014-10-21 | 2016-04-05 | IronNet Cybersecurity, Inc. | Cybersecurity system |
| US20160119365A1 (en) | 2014-10-28 | 2016-04-28 | Comsec Consulting Ltd. | System and method for a cyber intelligence hub |
| US20160127417A1 (en) | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
| US10484405B2 (en) | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
| US10764162B2 (en) | 2015-03-25 | 2020-09-01 | Gigamon Inc. | In-fabric traffic analysis |
| US9667656B2 (en) | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
| US10230745B2 (en) * | 2016-01-29 | 2019-03-12 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
-
2018
- 2018-07-09 US US16/030,374 patent/US10333898B1/en active Active
-
2019
- 2019-05-08 US US16/406,311 patent/US11290424B2/en active Active
- 2019-07-08 EP EP24178476.8A patent/EP4443839A2/en active Pending
- 2019-07-08 CN CN201980055472.8A patent/CN112602301B/zh active Active
- 2019-07-08 EP EP19745478.8A patent/EP3821580B1/en active Active
- 2019-07-08 WO PCT/US2019/040830 patent/WO2020014134A1/en unknown
- 2019-07-08 CN CN202410185097.1A patent/CN118018282A/zh active Pending
-
2022
- 2022-03-14 US US17/693,550 patent/US20220210125A1/en active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101459660A (zh) * | 2007-12-13 | 2009-06-17 | 国际商业机器公司 | 用于集成多个威胁安全服务的方法及其设备 |
| CN101651692A (zh) * | 2009-09-15 | 2010-02-17 | 成都市华为赛门铁克科技有限公司 | 网络安全保护方法、安全服务器和转发设备 |
| US8510821B1 (en) * | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
Also Published As
| Publication number | Publication date |
|---|---|
| EP3821580B1 (en) | 2024-05-29 |
| US10333898B1 (en) | 2019-06-25 |
| EP4443839A2 (en) | 2024-10-09 |
| CN112602301A (zh) | 2021-04-02 |
| US11290424B2 (en) | 2022-03-29 |
| CN118018282A (zh) | 2024-05-10 |
| US20220210125A1 (en) | 2022-06-30 |
| EP3821580A1 (en) | 2021-05-19 |
| WO2020014134A1 (en) | 2020-01-16 |
| US20200106742A1 (en) | 2020-04-02 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN112602301B (zh) | 用于高效网络保护的方法和系统 | |
| US11916933B2 (en) | Malware detector | |
| US12015590B2 (en) | Methods and systems for efficient cyber protections of mobile devices | |
| CN113228585B (zh) | 具有基于反馈回路的增强流量分析的网络安全系统 | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| Caswell et al. | Snort intrusion detection and prevention toolkit | |
| US11799832B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
| Dutta et al. | Intrusion detection systems fundamentals | |
| Bezborodov | Intrusion Detection Systems and Intrusion Prevention System with Snort provided by Security Onion. | |
| WO2023154122A1 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
| SITE | Visit us at |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: New Hampshire Applicant after: Xiangxin Network Co.,Ltd. Address before: New Hampshire Applicant before: Centripetal network Co. |
|
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20230410 Address after: Ireland Galway Applicant after: Xiangxin Co.,Ltd. Address before: New Hampshire Applicant before: Xiangxin Network Co.,Ltd. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant |