CN113228591B - 用于动态补救安全系统实体的方法、系统和计算机可读介质 - Google Patents
用于动态补救安全系统实体的方法、系统和计算机可读介质 Download PDFInfo
- Publication number
- CN113228591B CN113228591B CN202080007287.4A CN202080007287A CN113228591B CN 113228591 B CN113228591 B CN 113228591B CN 202080007287 A CN202080007287 A CN 202080007287A CN 113228591 B CN113228591 B CN 113228591B
- Authority
- CN
- China
- Prior art keywords
- sse
- security
- security score
- network traffic
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Abstract
一种用于动态补救安全系统实体的方法,包括:基于支持可信网络的安全系统实体(SSE)的安全配置,建立针对SSE的基准安全分数。该方法还包括由SSE接收指向可信网络的传入网络业务流以及基于SSE的安全配置和允许经由SSE进入可信网络的传入网络业务流,确定针对SSE的更新后的安全分数。该方法还包括如果更新后的安全分数与基准安全分数相差预定量,则补救SSE的安全配置。
Description
优先权声明
本申请要求2019年2月26日提交的美国专利申请序列号16/286,508的优先权,其公开通过引用整体并入本文。
技术领域
这里描述的主题涉及动态评估网络业务流以补救与企业网络相关联的安全系统。更具体地,这里描述的主题涉及用于动态补救安全系统实体的方法、系统和计算机可读介质。
背景技术
目前,企业组网应用安全系统在很大程度上依赖于安全策略,安全策略被定义为在任务为保护可信网络(诸如,企业网络环境)的网络功能或应用服务器上实施。值得注意的是,以这种方式使用安全系统涉及配置管理以及日志和事件分析的利用。然而,这些技术通常不能区分安全系统设备是被故意、意外还是恶意地重新配置的情况。此外,即使安全系统的配置中的改变是有意的,也不总是清楚这样的改变是否会产生更安全的系统。
因此,需要用于动态补救安全系统实体的方法、系统和计算机可读介质。
发明内容
这里描述的主题包括用于动态补救安全系统实体的方法、系统和计算机可读介质。一种方法包括基于支持可信网络的安全系统实体(SSE)的安全配置,建立针对所述SSE的基准安全分数。该方法还包括由所述SSE接收指向所述可信网络的传入网络业务流以及基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流,确定针对所述SSE的更新后的安全分数。该方法还包括如果所述更新后的安全分数与所述基准安全分数相差预定量,则补救所述SSE的安全配置。
一种用于动态补救安全系统实体的系统包括:安全系统实体(SSE),包括至少一个处理器和存储器。该系统还包括安全评估引擎(SAE),其被存储在所述存储器中并且当由所述至少一个处理器执行时,被配置为:基于支持可信网络的SSE的安全配置,建立针对所述SSE的基准安全分数,处理经由所述SSE指向所述可信网络的传入网络业务流,基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流的一部分确定针对所述SSE的更新后的安全分数,以及如果所述更新后的安全分数与所述基准安全分数相差预定量,则补救所述SSE的安全配置。如这里所使用的,网络业务流(例如,分组流或网络流)包括从源计算机传送到目的地的分组(或帧)的序列,目的地可以是另一主机、多播组或广播域。在一些实施例中,网络业务流的特征可以在于包含相似的源网际协议(IP)地址和端口号以及相似的目的地IP地址和端口号。
这里描述的主题可以用硬件、软件、固件或其任意组合来实现。因此,这里使用的术语“功能”、“节点”或“引擎”指的是用于实现所描述的特征的硬件,其还可以包括软件和/或固件组件。在一个示例性实现中,这里描述的主题可以使用其上存储有计算机可执行指令的非瞬态计算机可读介质来实现,计算机可执行指令当由计算机的处理器执行时,控制计算机执行步骤。适于实现这里描述的主题的示例性计算机可读介质包括非瞬态计算机可读介质,诸如盘存储设备、芯片存储设备、可编程逻辑设备和专用集成电路。此外,实现这里描述的主题的计算机可读介质可以位于单个设备或计算平台上,或者可以分布在多个设备或计算平台上。
附图说明
图1是示出根据这里描述的主题的实施例的用于动态补救安全系统实体的示例性网络的框图;
图2是示出根据这里描述的主题的实施例的示例性安全系统实体的框图;以及
图3A和3B是示出根据这里描述的主题的实施例的用于动态补救安全系统实体的示例性过程的流程图。
具体实施方式
公开了用于动态补救安全系统实体(SSE)的方法、系统和计算机可读介质。在一些实施例中,所公开的主题包括通过使用对系统的安全配置和处理后的网络业务流的动态分析来生成安全系统设备(例如,SSE)的安全分数,以便检测SSE的安全分数何时改变。所公开的主题不是关注于系统监控来评估SSE的完整性或安全级别,而是关注于进入和随后离开SSE的处理后的网络通信流。具体地,所公开的SSE采用包括统计机制的安全评估引擎(SAE)来确定哪些安全配置和/或底层安全策略将产生被允许穿越和离开监控SSE的观察到的网络业务。此外,所公开的SAE被配置为计算总体安全系统分数,该分数指示SSE在确保期望的网络配置和允许特定网络业务流方面的安全性。值得注意的是,所公开的SSE和SAE正在利用网络业务流来自动检测安全系统配置中的改变和/或安全策略中的改变,以响应由SSE所采用的先前建立的基准安全配置和安全策略所遗漏的新业务流输入。
这里描述的安全评分系统利用多个关键数据特性。值得注意的是,这里描述的以下术语用于定义与SSE处理的网络业务流相关联的几个关键特性。例如,这里在“用户”中使用的是发送或消费业务数据的经过身份验证的身份。在不涉及身份验证的情况下,用户被视为匿名的。类似地,这里描述的“用户设备”是由用户用来在网络上发送或接收网络业务流的系统。在一些实施例中,用户设备可以包括由移动订户最终用户直接用来接收或发送数据的任何设备,诸如手持智能电话、GSM移动站、配备有移动宽带适配器的膝上型计算机或任何其他类似设备。“网络”可以包括用户驻留以进行通信的任何网络系统,并且通常由网际协议(IP)地址、协议、端口和虚拟局域网(VLAN)来标识。“应用”通常指的是用户用于通信的软件应用和/或工具。如这里所使用的,“位置”指定网络业务流起源的地方。位置与网络信息相关,但关注于从网络信息、应用数据、用户身份验证和其他数据内容导出的地理位置。数据是指在网络业务分组(例如,网络业务流)中携带的真实数据内容。
图1是示出示例性网络通信环境100的框图,该网络通信环境100被配置为有助于其网络节点之间的网络业务流(例如,分组和/或帧业务)的通信。如图1所示,网络通信环境100的顶部包括可以表征为不可信域的多个外部网络104。相反,网络通信环境100的底部包括可信域102,可信域102可以包括可信网络及其服务应用108。如这里所使用的,可信网络是由SSE 106支持和保护的网络,使得源自可信网络和/或可信域的通信在很大程度上被认为是可靠的和/或不受损害的。值得注意的是,可信域102和可信网络在逻辑上由安全系统实体(SSE)106实现的安全边界110与外部网络104分开。
如图1所示,SSE 106位于可与安全边界110重合的网络边缘,并向托管可信域102的多个可信网络服务应用108(例如,企业网络应用)提供安全支持。在一些实施例中,SSE106可以包括物理安全网关设备(例如,安全互联网网关)、防火墙设备等。类似地,SSE 106可以实施为被配置为执行网络业务安全网关功能、防火墙功能或安全互联网网关功能的软件功能。
如图1所示,网络通信环境100包括通信地连接到SSE 106的系统配置管理器112。在一些实施例中,系统配置管理器112可以由系统管理员用作访问和/或管理SSE 106的操作的用户界面手段。系统配置管理器112还可以适于接收针对可信网络的安全策略,并且随后生成可由SSE 106使用的相应安全配置。例如,定义针对企业系统(例如,可信域102)的安全措施的安全策略最初可以被提供给系统配置管理器112。系统配置管理器112可以适于生成安全配置,该安全配置进而作为输入被提供给SSE 106。在一些实施例中,安全配置可以包括指定特定访问级别并且可以针对特定用户、特定用户设备、特定网络或位置、特定应用和/或SSE 106允许用户访问服务应用108的特定时间段进行调整的各种系统配置参数或项目。安全配置输入还可以指定与内容控制有关的方面或参数。具体地,内容控制配置参数可以指定可以遍历(例如,进入和退出)所配置的SSE 106的特定网络地址(例如,相关联的协议/服务)和应用数据。最后,安全配置输入可以通过指定带宽管理和服务质量(QoS)来规定服务可用性的特定级别,从而向通过SSE 106传送分组的用户保证服务可用性。
图2是示出根据这里描述的主题的实施例的示例性安全系统实体的框图。如图2所示,SSE 106可以包括一个或多个处理器202,诸如中央处理单元(例如,单核或多个处理核)、微处理器、微控制器、网络处理器、专用集成电路(ASIC)等。SSE 106还可以包括存储器204。存储器204可以包括随机存取存储器(RAM)、闪存、磁盘存储驱动器等。在一些实施例中,存储器204可以被配置为存储安全评估引擎(SAE)206和已知威胁智能数据库210。值得注意的是,当由一个或多个处理器202执行时,存储在存储器204中的SAE 206可以针对SSE106执行各种监控、管理和/或补救功能。
在一些实施例中,SAE 206包括可用于检查由SSE 106接收的行为数据信号的大量阵列的数据分析技术。SAE 206还可以访问包含攻击工具、攻击技术、攻击过程和攻击签名的记录的已知威胁智能数据库210。威胁智能数据库210还可以提供有主机IP地址或其他网络位置声誉。在一些实施例中,SAE 206结合网络业务特性利用威胁智能数据库210中维护的数据来评估穿越SSE 106的网络业务流的安全状态。
在SSE 106被配置并在网络通信环境100中操作之后,SSE 106可以实时处理各种类型的网络分组业务。例如,由SSE 106接收的实时网络业务流随后被用于生成关于被允许或阻止的网络业务的类型的真实数据知识和/或智能。此外,SSE 106可以适于生成关于带宽消耗、所提供的应用服务的服务质量(QoS)等的真实数据。使用机器学习智能,SSM 208和/或SAE 206将利用真是业务处理结果生成总体动态安全分数。
在一些实施例中,SAE 206被配置为确定针对SSE 106的“总体安全分数”,其包括静态安全分数和动态安全分数两者。例如,SAE 206可以适于通过分析SSE 106的安全配置(和/或底层安全策略)来初始确定静态安全分数。在一些实施例中,SAE 206包括基于SSE106上提供的安全配置并且可用于对穿越网络业务流执行安全配置策略分析(例如,确定允许由SSE 106接收到的哪些网络业务流离开SSE 106)的功能(例如,“F(X)”)。例如,由SAE206执行的安全配置策略分析可以确定SSE 106从不可信域(即,NETin)接收的网络业务流与被允许经由SSE 106进入可信域102的处理后的网络业务流(例如,F(NETin))之间的关系。类似地,SAE 206可以计算由SSE 106从可信域102接收的网络业务流(例如,NETout)与被允许以相同方式离开SSE 106的处理后的网络业务流(例如,F(NETout))之间的关系。例如,SAE 206可以确定分别存在于i)NETin和F(NETin)以及ii)NETout和F(NETout)之间的差异或“扩散”及其对与SSE 106相关联的静态安全分数的影响。值得注意的是,SSE 106接收并允许的网络业务流之间存在的扩散越大(例如,F(X)<x),SAE 206定义的静态安全分数就越大。在一些实施例中,SAE 206可以如下确定静态分数:静态分数=100-[(F(NETin)/NETin)*100]。
在一些实施例中,SAE 206可以被配置为调查SSE 106的系统内核和网络层状态,以便评估任何安全漏洞。SAE 206还适于检查配置的密码或任何暴露的表面接口。在执行这些检查之后,SAE 206利用安全分数管理器(SSM)208来为SSE 106的当前配置和系统设置生成静态安全分数。在一些实施例中,SSM 208是SAE 206的组件,其可以被配置为计算SSE106的总体安全分数、静态安全分数和/或动态安全分数。
例如,SAE 206被配置为接收安全系统配置(从系统配置管理器112作为输入提供给SSE 106),并随后评估各种配置参数以确定针对SSE 106的关联静态安全分数。例如,SAE206可以被配置为调查SSE 106的系统配置参数,包括但不限于,i)系统内核安全状态,ii)网络设置,iii)暴露的服务接口的安全参数,iv)系统资源控制,以及v)安全密码和算法。SAE 206还可以适于基于威胁/业务模式智能以及允许的网络业务流量和持续时间来监控网络业务流(即,被允许穿约SSE 106的业务)。值得注意的是,SAE 206可以被配置为处理这些参数,以便为SSE 106生成静态安全分数。在一些实施例中,静态安全分数可以由SAE 206如下确定:静态安全分数=规一化(SSE软件分析分数+SSE配置分析分数)。
在一些实施例中,SAE 206制定静态安全分数,该静态安全分数既用作对SSE 106的配置安全的指示,也用作动态监控对SSE 106的安全配置改变的手段。SAE 206可以被配置为利用安全工具和协议分析以及安全策略过滤器功能分析以便导出静态安全分数。例如,如果SSE 106利用未配置有HTTPS的web界面,则SAE 206可以被配置为减少或降低静态安全分数,并指示推荐针对SSE 106使用HTTPS。类似地,如果在SSE 106上配置了HTTPS,则如果SSE 106正在利用弱TLS协议(例如,TLS1.0或TLS1.1),则SAE 206还可以降低静态安全分数。在这种情况下,SAE 206可以通过发布针对TLS1.2协议的推荐来尝试补救该缺陷。此外,如果对SSE 106的安全系统配置做出新的配置改变,则SAE 206可以重新计算静态安全分数,并且向系统操作员发出关于SSE 106已经变得更安全(或者,备选地,变得不那么安全)的警报。SAE 206可以适于提供针对检测到的系统安全级别改变的具体原因以及相关建议。在一些实施例中,SAE 206(和/或SSM 208)被配置为基于其静态安全配置分析来生成范围在“0”和“100”之间的静态安全分数。
如上所述,SAE 206可以执行安全策略过滤功能分析,作为计算SSE 106的静态安全分数的至少一部分的手段。值得注意的是,在SSE 106上配置的每个安全策略可以被表征为限制性功能。例如,这些安全策略可以被设计为拒绝由SSE 106接收和标识的某些网络业务流的通过。SSE 106允许剩余的业务流进入可信域。例如,如果“U”表示由SSE 106接收的所有网络业务,并且如果“A”表示由所提供的安全配置允许通过SSE 106的网络业务,则SAE206可以被配置为确定等于[(安全工具和协议分数+(100-100*A/U)]/2的总体静态安全分数。值得注意的是,‘安全工具和协议分数’是从如上所述的安全工具和协议分析计算出的安全分数的一部分。
如上所述,总体安全分数还包括动态安全分数的计算。在一些实施例中,SAE 206被配置为产生基于由SSE 106接收的真实动态业务的两个单独的动态安全分数。值得注意的是,SAE 206可以基于由不可信源(例如,在外部网络104中)生成并由SSE 106接收的不可信传入分组业务流来生成第一动态安全分数。此外,SSM 208可以生成基于SSE 106从可信域102内的可信源(例如,所支持的可信企业网络)接收到的可信传入分组业务流的第二动态安全分数。在使用SSM 208来计算第一和第二动态安全分数之后,SAE 206(和/或SSM208)可以将这两个动态安全分数组合在一起,以便计算和报告针对SSE 106的单个总体动态安全分数。
在一些实施例中,SAE 206可以被配置为使用SSM 208来通过调查传入业务流分组(例如,包含在接收到的网络业务流分组中的参数)来确定第一动态安全分数,传入业务流分组包括但不限于,i)具有攻击签名的分组,ii)具有攻击工具的分组,iii)表现出恶意软件模式的分组,iv)侦察扫描分组,v)重复无效分组,vi)渗透攻击分组,vii)重放分组,viii)认证失败分组和ix)欺骗分组。值得注意的是,SAE 206可以被配置为处理来自不可信源的传入网络业务流(例如,来自不可信域的传入分组业务),并执行SSM 208以确定第一动态安全分数。在一些实施例中,SAE 206被配置为通过检查接收到的传入网络业务流的每个抽象层以导出业务分集指数(如下所述)来确定第一动态安全分数。
除了使用SSM 208来针对从不可信源发起的业务确定该第一动态安全分数之外,SAE 206还可以被配置为通过类似地调查源自可信域中的源的网络业务分组中包含的分组和/或参数来确定第二动态安全分数。例如,如果网络业务流源自可信域,则该业务流可以被指定为不太可能是可疑和/或恶意的。然而,源自可信域的网络业务不完全保证业务流是安全的。例如,可疑网络业务可以从恶意内部人员(即,在可信域102内操作的用户)发送。备选地,可信域102中的企业网络可能被危害并用作攻击点或用作僵尸网络。在其他实施例中,SAE 206可以被配置为针对可信域中发起的业务提供附加安全性。例如,SAE 206可以适于检查敏感数据以进行数据保护或数据防丢失(DLP)。
在一些实施例中,SAE 206可以被配置为通过调查传出网络业务流分组(即,经由SSE从可信域流向不可信域的业务)中包含的分组和/或参数来确定第二动态安全分数,传输网络业务流分组包括但不限于,i)攻击签名,ii)攻击工具,iii)攻击僵尸网络,iv)敏感数据,v)可疑DNS分组,vi)来自无效网络的分组,vii)可疑未经请求分组以及vii)弱保护分组。值得注意的是,SAE 206可以被配置为处理来自可信源的传出网络业务流(例如,从可信域经由SSE到非可信域的分组业务)以确定第二动态安全分数。在一些实施例中,SAE 206可以为这些参数中的每一个分配相等的权重以用于其第二动态安全分数的确定。在一些实施例中,SAE 206被配置为通过检查接收到的传入网络业务流的每个抽象层以导出业务分集指数(如下所述)来确定第二动态安全分数。
在一些实施例中,SAE 206(和/或SSM 208)可以随后组合由SSM 208确定的第一和第二动态安全分数,以便确定针对SSE 106的单个总体动态安全分数。由于SSE 106接收到的动态分组业务的性质,SAE 206可以被配置为根据预定义的时间间隔周期性地更新动态安全分数。值得注意的是,这些预定义的时间间隔可以由系统管理员建立,使SAE 206能够基于网络分组业务调查的可管理和频繁的时间周期来确定总体动态安全分数。例如,SAE206可以被配置为建立包括多个重复的预定义时间间隔的指定时间长度的监控会话(例如,包括重复五(5)分钟预定义时间间隔的十(10)小时的会话)。
在建立基准动态安全分数之后,SAE 206可以被配置为利用周期性计算的动态安全分数进行频繁比较,以便增强SSE 106的系统安全性。例如,SAE 206可以实时分析由SSE106接收到的网络业务流。在预定时间间隔期满之后,SAE 206被配置为使用SSM 208来计算通过SSE 106的网络业务类型的分集指数(DI)。基于计算出的动态安全分数及其与基准动态安全分数的比较,SAE 206能够评估和补救(如果必要)SSE 106的安全配置。例如,SAE206检测到分集指数突然增加将导致动态安全分数降低,从而指示SSE 106较不安全。因此,SAE 206可以通过延迟或丢弃导致测量到的分集指数增加的可疑网络业务(例如,较不为人所知的网络业务)来实现更具限制性的规则以降低分集指数。值得注意的是,由SAE 206执行的该补救动作可以防止当前网络环境中的许多分布式拒绝服务(DDOS)攻击。
在一些实施例中,SAE 206和/或SSM 208可以被配置为计算SSE 106的业务分集指数(DI),作为计算动态安全分数的初始步骤。如这里所使用的,分集指数是通过观察由SSE106在外部网络接口(例如,不可信域侧)和内部网络接口(例如,可信域侧)上接收到的网络业务流来测量的动态安全分数的一部分。值得注意的是,SAE 206的这种监控和计算以系统管理员预定义的特定时间间隔连续地执行。例如,基于SSE 106的可用计算和存储资源,预定义时间间隔可以尽可能小。在一些实施例中,SAE 206通过将业务映射到例如由开放系统互连(OSI)模型栈定义的各种网络抽象层来对接收到的网络业务流进行分类。在一些实施例中,SAE 206可以被配置为评估与穿越SSE 106的网络业务流相关的媒体访问控制(MAC)地址、IP地址、端口/协议、会话和/或应用。在一些实施例中,SAE 206还可以将网络业务流映射到用户、时间和发起位置(如果已确定)。
作为说明性示例,SAE 206可以利用时间间隔或时间周期(例如,由系统管理员预定义),该时间间隔或时间周期可以用于计算存在于穿越SSE 106的网络业务流的每个网络抽象层的各种网络业务流参数(在网络业务流内)的特定计数值。例如,SAE 206可以评估不同源MAC地址的数量(例如,由SSE 106接收到的网络业务流输入中指示的MAC地址)和不同目的地MAC地址的数量(例如,从SSE 106发送的网络业务流输出中指示的MAC地址)。SAE206确定在预定时间间隔期间在穿越SSE 106的网络业务流中检测到的所有这些源和目的地MAC地址的总和。
在该相同的预定义时间间隔期间(即,当确定可MAC地址总计数时),SAE 206还继续确定不同源IP地址的数量和包括在穿越SSE 106的网络业务流中的目的地IP地址的数量。值得注意的是,SAE 206确定预定义时间间隔期间这些IP地址的总和。
同样,在传输层(例如,端口/协议层),SAE 206被配置为确定SSE 106在相同的前述预定义时间间隔期间用来传送网络业务的不同协议和不同端口(例如,源端口和目的地端口)的数量。
在会话层,SAE 206确定在预定义时间周期期间由SSE 106处理的实况会话的总数。例如,SAE 206将计算在预定义时间间隔期间从可信域发起的实况会话的数量和从非可信域发起的实况会话的数量。
在应用层,SAE 206确定在预定义时间间隔期间由穿越SSE 106的网络业务流使用的和/或对应于该网络业务流的不同应用类型的数量的总和。
如果可以建立应用到用户的关联,则SAE 206确定在预定义时间间隔期间与穿越SSE 106的网络业务流相关联的不同用户的总数。
如果可以建立网络数据到位置的映射,则SAE 206确定SSE 106在预定时间间隔期间从其接收网络业务流的发起位置的总数。
在SAE 206如上所述针对特定预定义时间周期在每个抽象层处确定了总和之后,SAE 206可以被配置为启动新的预定义时间间隔。例如,SAE 206被配置为同步SSE 106处的网络时间以供参考,并用于确定多个重复的预定义时间间隔中的每一个。值得注意的是,SAE 206适于在穿越SSE 106的外部网络接口和内部网络接口两者的网络业务数据的每个预定义时间间隔处连续拍摄快照。如上所述,SAE 206被配置为使用SSE 106的外部和内部网络接口处的网络业务数据的快照来计算分集指数。具体地,由SSM 208和/或SAE 206计算针对每个网络层的单独的分集分数“D”。在一些实施例中,针对每个抽象层的分集指数可以计算为:
值得注意的是,取决于正在被评估的网络层,“n”变量和“N”变量中的每一个代表不同数量的实体。例如,对于MAC层,“n”可以表示SSE观察到的MAC地址总数,而“N”表示可能的MAC地址总数。相反,对于传输层,“n”可以表示在SSE处观察到的IP地址总数,而“N”表示可能的IP地址总数。对于剩余层处存在的数据点的n和N值的确定也是如此。
在计算了针对每一层的分集指数“D”之后,SAE 206通过将归一化的各个分集指数相加并除以相应层的总数来计算累积分集指数(CDI)。在一些实施例中,SAE 206可以使用以下公式来计算累积分集指数。
CDI=[归一化(D1)+归一化(D2)+…+归一化(DM)]/M
值得注意的是,变量“M”指的是由SAE 206计算的归一化分集指数的数量。此外,分集指数与动态安全分数成反比,动态安全分数可以计算如下:
动态安全分数=100-累积DI
在一些实施例中,SAE 206被配置为生成最终安全分数。即,对于配置有安全配置的已部署/运行的SSE 106,由SAE 206产生一对安全分数。具体地,SAE 206生成静态安全分数和总体动态安全分数(其包括上述第一和第二动态安全分数)。在一些实施例中,静态安全分数和总体动态安全分数中的每一个将被量化在“0”和“100”之间,其中,“0”分数表示没有保护,而“100”分数表示完美/完全保护。在SAE 206检测到对SSE 106的安全配置作出的改变的情况下,SAE 206适于生成指示SSE 106正变得更安全或更不安全的报告。
如果SAE 206检测到静态安全分数低于特定阈值,则SAE 206确定SSE 106是以不安全的方式静态配置的。备选地,如果SAE 206确定总体动态安全分数落入特定阈值之下并且因此导致总体安全分数的不足,则SAE 206确定SSE 106容易受到攻击。在总体安全分数落入预定阈值之下的情况下,SAE 206确定需要更安全的配置来维持SSE 106的适当安全状态。
在一些实施例中,SAE 206可以被配置为在启用安全自我保护模式的情况下执行自动安全配置适配过程。例如,SAE 206可以被配置为执行适当的自动配置改变,以便撤销检测到的SSE的安全分数的降级。值得注意的是,如果SAE 206检测到安全分数由于某些检测到的网络业务模式而下降,则SAE 206可以尝试通过自动改变安全配置策略使得新的数据业务模式被阻止,来将安全分数增加回到正常。
SAE 206还可以被配置为执行安全记录和审计功能,包括记录导致安全分数下降的网络数据业务模式。这些网络数据业务模式可以存储在SSE 106的数据库210中。SAE 206还可以记录其维护或增强SSE 106的安全性所采取的任何动态配置改变动作。这些网络业务模式可以成为监督学习系统的一部分,在该系统中,人工输入帮助这些业务模式是恶意的还是善意的标识。
在一些实施例中,SAE 206被配置为确定动态安全分数。值得注意的是,SAE 206被配置为通过评估在不同抽象层展现的业务特性来确定业务分集指数值。例如,根据OSI模型,网际协议通信由七层组成:物理层、数据链路层、网络层、传输层、会话层、展示层和应用层。物理层除外,除了与SSE 106监控的网络业务相关联的业务特性之外,SAE 206还利用从其他六层中的每一层获得的信息。特别地,分集指数值越大,被允许穿越SSE 106的网络业务的类型就越广。此外,分集指数值越大,SSE 106就越不安全。值得注意的是,业务分集指数与动态安全分数反相关(例如,动态安全分数=100-分集指数值)。此外,SAE 206可以被配置为监控分集指数的突然增加或减少,以评估系统的安全性。例如,分集指数的突然增加可能是SSE受到攻击或受到漏洞侦察扫描的可靠指示。分集指数分数的这种增加将导致动态安全分数的下降,从而警告SSE和/或用户采取适当的补救动作。在一些实施例中,SAE206可以启动将SSE恢复到先前批准的安全配置状态的补救动作。在其他实施例中,SAE 206可以被配置为执行i)SSE软件的自动打补丁,ii)禁用SSE到外部网络的连接,iii)启动网络业务记录以用于随后的取证分析,iv)自动阻止某些类型的网络业务流等。例如,许多系统(例如,位于可信域中的系统)可能受到危害,并被用作僵尸网络的一部分,用于DDOS攻击(例如,僵尸网络DNS DDOS攻击)。在这种情况下,引擎将检测到针对DNS请求的分集指数(DI)突然增加,并导致动态安全分数下降。由SAE 206执行的自动补救动作被配置为阻止这些DNS请求。此外,位于可信域中的数据库可能受到危害,使得大量用户信息可能被发送出可信域。在这种情况下,引擎将检测到(网络业务流处理的)这一层的DI突然增加。在检测到突然增加(例如,DI的值超过预定阈值)之后,SAE 206可以随后执行阻止网络业务流的分组离开可信网络的自动补救动作(例如,数据防丢失)。
图3A和3B是示出根据这里描述的主题的实施例的用于动态补救安全系统实体的示例性过程或方法300的流程图。在一些实施例中,图3A和3B中描述的方法300是存储在存储器中的算法,该算法当由硬件处理器执行时,执行框302-320中的一个或多个。
在框302中,接收安全系统配置。在一些实施例中,SSE通信地连接到系统配置管理器并从系统配置管理器接收安全系统配置。例如,系统管理员可以输入多个安全策略,该多个安全策略由系统配置管理器转换成安全系统配置。所产生的安全系统配置随后被递送给SSE。
在框304中,根据接收到的安全系统配置来配置SSE。在一些实施例中,SSE接收安全系统配置作为输入,并根据安全系统配置中指定的安全配置参数来配置其底层硬件和软件组件。
在框306中,SAE确定针对SSE的基准静态安全分数。在一些实施例中,SAE可以被配置为调查系统内核、任何配置的密码以及由所实现的安全系统配置产生的SSE的暴露的服务接口(例如,外部网络接口和内部网络接口)。SAE还可以利用业务模式智能来检查在SSE处允许或阻止哪些网络业务流。在处理了所产生的配置之后,SAE生成基准静态安全分数。
在框308中,SSE被部署并开始接收网络业务流。在一些实施例中,SSE使用SAE来开始监控静态配置,并分析经由外部网络和内部网络接口穿越SSE的网络业务流。在已经部署了SSE一段时间(例如,如系统管理员所定义的)之后,可以通过监控离开SSE的接口(例如,允许从SSE流入可信网络的内部网络接口和允许从SSE流入可信网络的外部网络接口)的网络业务流来确定基准动态安全分数。在一些实施例中,仅使用源自不可信网络,经由SSE到可信网络的网络业务流来确定基准安全分数。在其他实施例中,基准动态安全分数基于经由SSE从可信网络传送到不可信网络的网络业务流(即,从可信网络接收并被允许穿越SSE的网络业务流)。
在框310中,SAE检查允许穿越SSE的网络业务流的每个抽象层。在预定时间段之后,SAE可以被配置为确定基准动态安全分数。在一些实施例中,SAE检查经由SSE(例如,在内部网络接口处)进入可信域的网络业务流、经由SSE(例如,在外部网络接口处)离开可信域进入非可信域的网络业务流,或者两者。特别地,SAE检查由MAC层、IP层、网络层、会话层、应用层和用户层中的每一个处的安全配置所规定的配置项的网络业务流。SAE还被配置为在位置层处检查网络业务流,以确定网络业务流的起源位置,以及检查当前时间的网络业务流。
在框312中,SAE基于允许的网络业务流计算累积业务分集指数。在一些实施例中,SAE通过为每个网络层确定单独的分集分数来计算分集指数。在确定了多个分集指数之后,SAE和/或其SSC对多个单独分集指数中的每一个进行归一化,并随后计算累积分集指数(如上所述)。
在框314中,SAE和/或SSC计算更新后的动态安全分数。在一些实施例中,SAE和/或SSC可以被配置为使用计算出的累积分集指数来计算更新后的动态安全分数。值得注意的是,分集指数与动态安全分数成反比,该动态安全分数可以由SAE和/或SSC计算为“100”和累积分集指数之间的差(例如,动态安全分数=100-CDI)。在一些实施例中,仅使用经由SSE从不可信网络到可信网络的网络业务流来确定更新后的动态安全分数。在其他实施例中,更新后的动态安全分数还基于经由SSE从可信网络传送到不可信网络的网络业务流(即,从可信网络接收并被允许穿越SSE的网络业务流)。
在框316中,SAE被配置为将先前计算的基准安全分数(即,SSE的基准整体安全分数)与更新后的安全分数(即,SSE的更新后的整体安全分数)进行比较。如果SAE确定更新后的安全分数更安全或处于与基准安全分数相同的安全级别,则方法300前进到框318,在框318中SSE继续正常运行(例如,框320)。否则,该消息继续到框322。在其他实施例中,更新后的安全分数还基于经由SSE从可信网络传送到不可信网络的网络业务流(即,从可信网络接收并被允许穿越SSE的网络业务流)。
在一些实施例中,SAE可以在更细粒度的级别上运行,并且被配置为将先前计算的基准静态安全分数与在框314中确定的更新后的静态安全分数(如在框314中确定的)进行比较。此外,SAE还被配置为将先前计算的基准动态安全分数与更新后的动态安全分数进行比较。如果SAE确定i)更新后的静态安全分数更安全或者处于与基准静态安全分数相同的安全级别,或者ii)更新后的动态安全分数更安全或者处于与基准动态安全分数相同的安全级别,则继续正常运行。否则,方法300继续到框322。
在框322中,如果更新后的安全分数与相应的基准安全分数相差预定阈值量,则SAE确定更新后的安全分数(例如,整体的更新后的安全分数、更新后的静态安全分数和/或更新后的动态安全分数)较不安全,并且随后采取措施来补救SSE的安全配置。例如,如果仅是更新后的安全分数小于基准安全分数,或者两个安全分数之间的差值超过预定义的阈值或范围,则SAE做出此判断。在一些实施例中,SAE可以警告系统管理员和/或采取另一补救动作。
这里描述的主题的优点包括通过关注于系统的输入和输出来动态补救SSE。所公开的SAE不是尝试基于事件管理来实施安全策略,而是使用网络业务流来迅速检测安全系统配置中的改变或缺陷。值得注意的是,所描述的补救技术提高了可以检测对安全系统配置和策略的任何改变的速率。此外,这样的措施确保SSE处的适当安全策略始终有效。这可能会对保护网络和应用的成本以及安全破坏造成的损害产生巨大影响。因此,被配置为以这种方式动态地自我补救的SSE能够响应于标识出的可疑消息和/或防止的欺诈性攻击,如这里描述的,从而通过以更有效的方式降低对计算机网络的欺诈和其他类型的信令攻击的可能性来改进计算机网络安全的技术领域。
应当理解,在不脱离当前公开的主题的范围的情况下,可以改变当前公开的主题的各种细节。此外,前述描述仅用于说明目的,而不用于限制目的。
Claims (18)
1.一种用于动态补救安全系统实体的方法,所述方法包括:
基于支持可信网络的安全系统实体(SSE)的安全配置,建立针对所述SSE的基准安全分数;
由所述SSE接收指向所述可信网络的传入网络业务流;
基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流,确定针对所述SSE的更新后的安全分数;以及
如果所述更新后的安全分数与所述基准安全分数相差预定量,则经由自动补救所述SSE的安全配置来动态补救所述SSE;
其中所述基准安全分数和所述更新后的安全分数中的每一个包括基于多个业务分集指数的动态安全分数,所述多个业务分集指数对应于存在于所接收的传入网络业务流的相应多个不同网络抽象层处的网络业务流参数的评估。
2.如权利要求1所述的方法,其中,所述基准安全分数和所述更新后的安全分数中的每一个还包括静态安全分数。
3.如权利要求2所述的方法,其中,针对所述SSE的更新后的安全分数基于从所述可信网络接收并被允许穿越所述SSE的网络业务流。
4.如权利要求1至3中的任一项所述的方法,其中,所述SSE包括系统配置管理器,所述系统配置管理器包括用于向所述SSE提供所述安全配置的接口。
5.如权利要求1至3中的任一项所述的方法,其中,补救所述SSE的安全配置包括恢复到先前批准的安全配置状态。
6.如权利要求1至3中的任一项所述的方法,其中,所述SSE包括安全互联网网关、防火墙或网络业务安全网关功能。
7.一种用于动态补救安全系统实体的系统,所述系统包括:
安全系统实体(SSE),包括至少一个处理器和存储器;以及
安全评估引擎(SAE),其被存储在所述存储器中并且当由所述至少一个处理器执行时,被配置为:基于支持可信网络的SSE的安全配置,建立针对所述SSE的基准安全分数,处理经由所述SSE指向所述可信网络的传入网络业务流,基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流的一部分确定针对所述SSE的更新后的安全分数,以及如果所述更新后的安全分数与所述基准安全分数相差预定量,则经由自动补救所述SSE的安全配置来动态补救所述SSE;
其中所述基准安全分数和所述更新后的安全分数中的每一个包括基于多个业务分集指数的动态安全分数,所述多个业务分集指数对应于存在于所接收的传入网络业务流的相应多个不同网络抽象层处的网络业务流参数的评估。
8.如权利要求7所述的系统,其中,所述基准安全分数和所述更新后的安全分数中的每一个还包括静态安全分数。
9.如权利要求8所述的系统,其中,针对所述SSE的更新后的安全分数基于从所述可信网络接收并被允许穿越所述SSE的网络业务流。
10.如权利要求7至9中任一项所述的系统,其中,所述SSE包括系统配置管理器,所述系统配置管理器包括用于向所述SSE提供所述安全配置的接口。
11.如权利要求7至9中任一项所述的系统,其中,补救所述SSE的安全配置包括恢复到先前批准的安全配置状态。
12.如权利要求7至9中任一项所述的系统,其中,所述SSE包括安全互联网网关、防火墙或网络业务安全网关功能。
13.一种其上存储有可执行指令的非瞬态计算机可读介质,所述可执行指令在由计算机的处理器执行时,控制所述计算机执行步骤,所述步骤包括:
基于支持可信网络的安全系统实体(SSE)的安全配置,建立针对所述SSE的基准安全分数;
由所述SSE接收指向所述可信网络的传入网络业务流;
基于所述SSE的安全配置和允许经由所述SSE进入所述可信网络的传入网络业务流,确定针对所述SSE的更新后的安全分数;以及
如果所述更新后的安全分数与所述基准安全分数相差预定量,则经由自动补救所述SSE的安全配置来动态补救所述SSE;
其中所述基准安全分数和所述更新后的安全分数中的每一个包括基于多个业务分集指数的动态安全分数,所述多个业务分集指数对应于存在于所接收的传入网络业务流的相应多个不同网络抽象层处的网络业务流参数的评估。
14.如权利要求13所述的非瞬态计算机可读介质,其中,所述基准安全分数和所述更新后的安全分数中的每一个还包括静态安全分数。
15.如权利要求14所述的非瞬态计算机可读介质,其中,针对所述SSE的更新后的安全分数基于从所述可信网络接收并被允许穿越所述SSE的网络业务流。
16.如权利要求13至15中任一项所述的非瞬态计算机可读介质,其中,所述SSE包括系统配置管理器,所述系统配置管理器包括用于向所述SSE提供所述安全配置的接口。
17.如权利要求13至15中任一项所述的非瞬态计算机可读介质,其中,补救所述SSE的安全配置包括恢复到先前批准的安全配置状态。
18.一种用于动态补救安全系统实体的装置,所述装置包括用于实现如权利要求1至6中任一项所述的方法的部件。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/286,508 US11128670B2 (en) | 2019-02-26 | 2019-02-26 | Methods, systems, and computer readable media for dynamically remediating a security system entity |
| US16/286,508 | 2019-02-26 | ||
| PCT/US2020/014017 WO2020176174A1 (en) | 2019-02-26 | 2020-01-17 | Methods, systems, and computer readable media for dynamically remediating a security system entity |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113228591A CN113228591A (zh) | 2021-08-06 |
| CN113228591B true CN113228591B (zh) | 2023-06-02 |
Family
ID=69650724
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202080007287.4A Active CN113228591B (zh) | 2019-02-26 | 2020-01-17 | 用于动态补救安全系统实体的方法、系统和计算机可读介质 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US11128670B2 (zh) |
| EP (1) | EP3932033A1 (zh) |
| JP (1) | JP2022521669A (zh) |
| CN (1) | CN113228591B (zh) |
| WO (1) | WO2020176174A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11290491B2 (en) | 2019-03-14 | 2022-03-29 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element |
| US11470071B2 (en) * | 2020-04-20 | 2022-10-11 | Vmware, Inc. | Authentication for logical overlay network traffic |
| US11716352B2 (en) * | 2020-06-16 | 2023-08-01 | Cisco Technology, Inc. | Application protectability schemes for enterprise applications |
| US20220029882A1 (en) * | 2020-07-24 | 2022-01-27 | Mcafee, Llc | Systems, methods, and media for monitoring cloud configuration settings |
| US11870813B2 (en) * | 2021-04-30 | 2024-01-09 | Docusign, Inc. | Security operation selection using machine-learned model in document management system |
| CN114125032B (zh) * | 2021-11-22 | 2023-06-16 | 杭州佳和电气股份有限公司 | 一种边缘协议数据处理方法和系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
Family Cites Families (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5991879A (en) * | 1997-10-23 | 1999-11-23 | Bull Hn Information Systems Inc. | Method for gradual deployment of user-access security within a data processing system |
| GB9810376D0 (en) * | 1998-05-15 | 1998-07-15 | 3Com Technologies Ltd | Computation of traffic flow by scaling sample packet data |
| US6760775B1 (en) * | 1999-03-05 | 2004-07-06 | At&T Corp. | System, method and apparatus for network service load and reliability management |
| US6781990B1 (en) * | 2002-02-11 | 2004-08-24 | Extreme Networks | Method and system for managing traffic in a packet network environment |
| US20040025173A1 (en) * | 2002-04-24 | 2004-02-05 | Gil Levonai | Interaction abstraction system and method |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US20070113272A2 (en) * | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| US9100431B2 (en) * | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
| US8645276B2 (en) * | 2003-07-11 | 2014-02-04 | Ca, Inc. | Modeling of applications and business process services through auto discovery analysis |
| US7165216B2 (en) * | 2004-01-14 | 2007-01-16 | Xerox Corporation | Systems and methods for converting legacy and proprietary documents into extended mark-up language format |
| US20050198099A1 (en) * | 2004-02-24 | 2005-09-08 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring protocol responses for a server application |
| US8447880B2 (en) * | 2006-12-20 | 2013-05-21 | Oracle America, Inc. | Network stack instance architecture with selection of transport layers |
| US20090024663A1 (en) * | 2007-07-19 | 2009-01-22 | Mcgovern Mark D | Techniques for Information Security Assessment |
| US8494072B2 (en) * | 2007-11-06 | 2013-07-23 | Qualcomm Incorporated | Frequency diverse control mapping of channel elements to resource elements |
| US8065714B2 (en) * | 2008-09-12 | 2011-11-22 | Hytrust, Inc. | Methods and systems for securely managing virtualization platform |
| US8307418B2 (en) | 2010-03-16 | 2012-11-06 | Genband Inc. | Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
| TWI452886B (zh) * | 2011-08-07 | 2014-09-11 | Mediatek Inc | 映射統一參數的方法 |
| US9705849B2 (en) * | 2014-09-30 | 2017-07-11 | Intel Corporation | Technologies for distributed detection of security anomalies |
| US10404748B2 (en) * | 2015-03-31 | 2019-09-03 | Guidewire Software, Inc. | Cyber risk analysis and remediation using network monitored sensors and methods of use |
| US20210141351A1 (en) * | 2017-03-31 | 2021-05-13 | Intel Corporation | Declarative intentional programming in machine-to-machine systems |
| US10855694B2 (en) * | 2017-05-30 | 2020-12-01 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted packet flows within a virtual network environment |
| US20190035027A1 (en) * | 2017-07-26 | 2019-01-31 | Guidewire Software, Inc. | Synthetic Diversity Analysis with Actionable Feedback Methodologies |
| US11290491B2 (en) | 2019-03-14 | 2022-03-29 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element |
-
2019
- 2019-02-26 US US16/286,508 patent/US11128670B2/en active Active
-
2020
- 2020-01-17 WO PCT/US2020/014017 patent/WO2020176174A1/en unknown
- 2020-01-17 JP JP2021544658A patent/JP2022521669A/ja active Pending
- 2020-01-17 EP EP20706894.1A patent/EP3932033A1/en active Pending
- 2020-01-17 CN CN202080007287.4A patent/CN113228591B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108702367A (zh) * | 2016-02-26 | 2018-10-23 | 甲骨文国际公司 | 用于发现和管理应用的安全性的技术 |
| CN106603551A (zh) * | 2016-12-28 | 2017-04-26 | 北京安天电子设备有限公司 | 一种基于安全基线的工控机安全防护系统及方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2020176174A1 (en) | 2020-09-03 |
| US11128670B2 (en) | 2021-09-21 |
| JP2022521669A (ja) | 2022-04-12 |
| EP3932033A1 (en) | 2022-01-05 |
| CN113228591A (zh) | 2021-08-06 |
| US20200274902A1 (en) | 2020-08-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113228591B (zh) | 用于动态补救安全系统实体的方法、系统和计算机可读介质 | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| KR100796996B1 (ko) | 분산 네트워크의 노드상의 과부하 조건으로부터 보호하기위한 방법 및 장치 | |
| US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
| US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
| KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| US9699143B2 (en) | Method and apparatus for providing security in an intranet network | |
| AU2015255980B2 (en) | System and methods for reducing impact of malicious activity on operations of a wide area network | |
| US7607170B2 (en) | Stateful attack protection | |
| US7624447B1 (en) | Using threshold lists for worm detection | |
| US8392991B2 (en) | Proactive test-based differentiation method and system to mitigate low rate DoS attacks | |
| US20150256431A1 (en) | Selective flow inspection based on endpoint behavior and random sampling | |
| US20030188189A1 (en) | Multi-level and multi-platform intrusion detection and response system | |
| US20090254970A1 (en) | Multi-tier security event correlation and mitigation | |
| KR20050081439A (ko) | 네트워크 보안 시스템 및 그 동작 방법 | |
| KR101042291B1 (ko) | 디도스 공격에 대한 디도스 탐지/차단 시스템 및 그 방법 | |
| CN113228590B (zh) | 利用安全服务引擎来评估安全网关元件上的安全漏洞的方法、系统和计算机可读介质 | |
| CA2469885C (en) | Protecting against malicious traffic | |
| Devi et al. | Cloud-based DDoS attack detection and defence system using statistical approach | |
| CN113411296A (zh) | 态势感知虚拟链路防御方法、装置及系统 | |
| Peng | Defending against distributed denial of service attacks | |
| US20230328085A1 (en) | Mitigating malicious network traffic | |
| US9628510B2 (en) | System and method for providing data storage redundancy for a protected network | |
| Alshehhi et al. | New Distributed SDN Framework for Mitigating DDoS Attacks | |
| Chou | DDoS Defense Systems and Techniques |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |