CN1643876A - 用于降低网络入侵检测系统的误报率的方法和系统 - Google Patents
用于降低网络入侵检测系统的误报率的方法和系统 Download PDFInfo
- Publication number
- CN1643876A CN1643876A CNA038073196A CN03807319A CN1643876A CN 1643876 A CN1643876 A CN 1643876A CN A038073196 A CNA038073196 A CN A038073196A CN 03807319 A CN03807319 A CN 03807319A CN 1643876 A CN1643876 A CN 1643876A
- Authority
- CN
- China
- Prior art keywords
- operation system
- system fingerprint
- destination host
- main frame
- memory location
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 34
- 238000001514 detection method Methods 0.000 title claims abstract description 27
- 230000015654 memory Effects 0.000 claims description 50
- NOQGZXFMHARMLW-UHFFFAOYSA-N Daminozide Chemical compound CN(C)NC(=O)CCC(O)=O NOQGZXFMHARMLW-UHFFFAOYSA-N 0.000 abstract 1
- 230000007246 mechanism Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 5
- 230000000694 effects Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000004891 communication Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000008859 change Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 241001124144 Dermaptera Species 0.000 description 1
- 206010020400 Hostility Diseases 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000002596 correlated effect Effects 0.000 description 1
- 230000000875 corresponding effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Computer And Data Communications (AREA)
- Maintenance And Management Of Digital Transmission (AREA)
Abstract
根据本发明的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括:接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。
Description
技术领域
本发明一般地涉及入侵检测,更具体地说,涉及用于降低网络入侵检测系统的误报率的方法和系统。
背景技术
网络入侵检测系统(“NIDS”)一般被设计用来实时监视网络活动以发现可疑的或已知的恶意活动,并将这些发现报告给适当的人员。通过密切监视所有的活动,NIDS能够比较迅速地发出计算机入侵警报,并且给管理员时间以防卫或遏制入侵,或者让NIDS自动对攻击作出反应并阻止攻击。在安全工业中,NIDS可以是被动型的流量观察器,也可以是实时作出反应以阻止攻击的主动型的网络部件。
因为NIDS是被动型的网络流量观察器,所以它们经常缺乏关于攻击主机和防护主机的某些知识,这使得它不能确定攻击是否成功。与正在偷听两个陌生人之间对话的偷听者非常相似,NIDS常常缺乏关于攻击的上下文的知识,因此会对可能是非敌意的或无关的网络活动“发出警报”。
一些系统试图通过对它们所监视的网络建立静态映象来解决这个问题。这种知识的建立通常要通过扫描网络上的所有系统,并且将结果保存在数据库中以用于以后的检索。这种系统对于大多数的网络来说是不够用的,因为网络设备的拓扑、类型和位置是不断变化的,而且这种系统需要管理员维护静态的数据库。此外,持续扫描和保持网络数据库的更新的压力很大,可能经常会导致网络服务变慢或停止工作。
发明内容
根据本发明的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括:接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。
本发明的一些实施例提供许多技术优点。其它的实施例可能实现一些或全部这些优点,也可能一个也实现不了。例如,根据一个实施例,网络入侵检测系统(“NIDS”)的误报率被极大地降低或消除,而这降低了对监视NIDS以对每个警报作出反应的人员的需求。即使不需要关于整个有防护网络的知识,也可获得较低的误报率。因为不再需要网络的知识,因此可以动态地向网络增加主机。根据另一个实施例,对网络的严重的攻击被升级,而且损失很大的入侵被补救。
本领域的技术人员可以很容易地通过下面的附图、具体实施方式和权利要求书来发现其它的优点。
附图说明
现在将参考下面的与附图相结合的说明,以获得对本发明及其优点的更加全面的理解,在附图中,相似的标号代表相似的部分,并且:
图1的示意图根据本发明的一个实施例,示出了使用被动分析工具来降低网络入侵检测系统的误报率的系统;
图2的方框图根据本发明的一个实施例,示出了图1中的被动分析工具的各种功能部件;
图3的流程图根据本发明的一个实施例,示出了用于降低网络入侵检测系统的误报率的方法;并且
图4的流程图根据本发明的一个实施例,示出了可以与图3的方法结合起来使用的方法。
具体实施方式
参考所附图1到图4可以最好地理解本发明的实施例,相似的标号被用于各图中相似的和相应的部分。
图1的示意图根据本发明的一个实施例,示出了使用被动分析工具110来降低网络入侵检测系统(“NIDS”)108的误报率的系统100。在所示实施例中,NIDS 108耦合到链路106,链路106可通信地耦合了无防护网络102和有防护网络104。系统100还包括使用被动分析工具110的网络管理员112,如下面所详细描述的那样。
无防护网络102可以是有防护网络104外部的任何合适的网络。无防护网络102的一个例子是因特网。有防护网络104可以是任何合适的网络,例如局域网、广域网、虚拟专用网络或任何其它的希望其安全性不受无防护网络102影响的网络。链路106将无防护网络102耦合到有防护网络104,并且其可以是任何合适的通信链路或信道。在一个实施例中,链路106能够在无防护网络102和有防护网络104之间以“包”传输数据;但是,通信链路106也可以以其它合适的形式来传输数据。
在一个实施例中,NIDS 108是任何合适的基于网络的入侵检测系统,其能够分析在通信链路106上传输的数据包,以检测对有防护网络104的任何潜在攻击。NIDS 108可以是硬件、固件和/或软件的任何合适的组合。一般地,NIDS 108包括一个或更多个传感器,它们能够监视具有任何合适的数据链路协议的任何合适类型的网络。在具体的实施例中,与NIDS 108相关联的传感器能够检查使用任何合适协议(例如TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“网间控制报文协议”))的IP(“因特网协议”)网络上的数据包。在检测到对有防护网络104的可能的攻击后,NIDS 108能够产生表明可能发生了对有防护网络104的攻击的警报,并可以立刻阻止该攻击。然后,该警报被传输到被动分析工具110以进行如下所述的分析。
根据本发明的一个实施例的教导,被动分析工具110接收来自NIDS108的警报,使用与该警报关联的信息,确定是真的发生了攻击还是收到了错误的警报。被动分析工具110显著地降低了网络环境中的网络入侵检测系统(如NIDS 108)的误报率,并且减少了对监视这些系统以对每个警报作出反应的人员(例如网络管理员112)的需求。被动分析工具110的细节将在下面结合图2到4而被更详细地说明。虽然被动分析工具110在图1中被示为与NIDS 108相分离,但是它也可以与NIDS 108集成在一起,这样就不需要分立的硬件了。在任何情况下,NIDS 108和被动分析工具110都协同工作,以根据检测到的攻击的严重性和精确性来分析、降低或升级警报。本发明的一个技术优点是可以消除目标为错误的操作系统、供应商、应用或网络硬件的警报。
网络管理员112可以是使用被动分析工具110来监视对有防护网络104的潜在攻击,并在适当情况下对其进行反应的任何合适的人员。网络管理员112一般具有驻留在他的或她的计算机上的被动分析工具110,以接收来自被动分析工具的被过滤了的警报,如标号114所指。
图2的方框图根据本发明的一个实施例,示出了被动分析工具110的各种功能部件。本发明考虑到了部件的数量比图2所示更多、更少,或与图2所示部件不同的情况。在图示的实施例中,被动分析工具110包括警报输入层202、警报解释层204、目标缓存查找206、操作系统(“OS”)取指纹(fingerprinting)机制208、端口取指纹机制210和警报输出层212。在结合图3到4对被动分析工具110的功能进行更详细的描述之前,现在描述这些部件中每个部件的一般功能。
警报输入层202一般负责接受来自NIDS 108的警报,并将其传递到其它系统部件进行分析。在一个实施例中,警报输入层202接受来自NIDS 108的警报,并确定该警报格式是否有效。如果该警报格式无效,那么该警报被忽略。如果该警报格式有效,那么该警报被发送到警报解释层204。警报输入层202被优选地设计为不依赖于NIDS供应商,这样它就可以不作修改地同时接受来自多个NIDS源的警报。
一般地,警报解释层204从警报输入层202接收警报并对该警报执行分析。在一个实施例中,警报解释层204确定该警报是否来自于被支持的NIDS供应商。如果该警报不是来自于被支持的NIDS供应商,那么一个警告被产生,并且该警报被忽略。如果该警报是来自于被支持的NIDS供应商,那么警报解释层204负责确定该NIDS供应商的警报类型、被攻击的相关操作系统类型(例如Microsoft Windows、Sun Solaris、Linux、UNIX等)、源地址、目标网络地址、警报严重性、警报描述以及任何其它合适的与该警报相关联的参数。被动分析工具110使用该信息中的一些信息来测试该警报的真假,下面会结合图3和4进行更详细的描述。
目标缓存查找206表明查找由被动分析工具110执行,以确定是否针对于该警报所表明的特定攻击而检查过目标主机。可以在任何合适的存储位置(例如在本地状态表或数据库中)执行查找。
OS取指纹机制208对目标主机执行被动分析,以确定该目标主机的操作系统。简单地说,在一个实施例中,被动分析工具110向目标主机发送其头部具有协议标志、选项以及其它合适的信息的特定组合的因特网协议(“IP”)包,以确认操作系统供应商和版本号。操作系统取指纹在工业上是公知的,因此这里不再详述。这种类型的OS取指纹的一个优点是,它不需要除远程网络连接之外的对目标主机的内部访问。OS取指纹机制208可以在几秒钟的执行时间内建立操作系统类型,并将此信息存储在合适的存储位置,以用于以后的检索和使用。
端口取指纹机制210的功能是在主机被动态增加和删除时,识别存储在合适的存储位置的目标端口地址。端口取指纹机制210与OS取指纹机制208协同工作,以确定例如目标主机上的被攻击端口是否是活动的。这使得被动分析工具110可以迅速地确定攻击能否成功。例如,通过检查目标主机,看其端口80是否本来处于活动状态,可以证明对目标主机的TCP端口80的攻击是否已经失败。
警报输出层212负责从被动分析工具110取得分析数据并将警报升级或降级。换句话说,警报输出层212的作用是报告有效的警报,即,特定目标主机可能受到攻击。有效警报可以以任何合适的方式被报告,所述方式例如是图形用户界面、日志文件、数据库中的存储或任何其它合适的输出。
根据本发明的一个实施例,下面结合图3和图4进一步描述被动分析工具110的功能细节。
图3的流程图根据本发明的一个实施例,示出了用于降低网络入侵检测系统的误报率的示例性方法。该示例性方法从步骤300开始,在此处被动分析工具110从NIDS 108接收到警报。在步骤302,被动分析工具110从该警报识别目标地址。然后,在步骤304,被动分析工具110访问系统缓存,以确定是否已经对目标主机进行过关于该特定攻击类型的检查。
相应地,在判断步骤306,确定是否已经在系统缓存中找到目标地址。如果目标地址被找到了,那么在判断步骤308,确定缓存条目的时间是否仍然有效。换句话说,如果特定的目标主机在最近一段时间内由于特定类型的攻击而被检查过,那么该信息就被暂时存储在系统缓存中。尽管可以使用任何合适的时间段来存储该信息,但是在一个实施例中,该信息的存储时间不多于1小时。如果缓存条目时间仍然有效,那么继续执行所述方法到步骤310,在此处被动分析工具110接收目标主机的OS指纹。
回到判断步骤306和308,如果在系统缓存中没有找到该目标地址,或在系统缓存中找到的特定目标地址的缓存条目时间是无效的,那么被动分析工具110使用任何合适的OS取指纹技术来获得目标主机的操作系统指纹,如步骤312所示。然后,在步骤314,操作系统指纹被存储在系统缓存中。然后继续执行所述方法到步骤310,在此处被动分析工具110接收目标主机的OS指纹。
在步骤316,被动分析工具110比较攻击类型和目标主机的操作系统类型。在判断步骤318,确定目标主机的操作系统类型和攻击类型是否匹配。如果匹配,那么在步骤320,报告被确认的警报。如果不匹配,那么表明是错误警报,如步骤322所示。例如,如果攻击类型是针对Windows系统的而操作系统指纹显示为Windows主机,那么该警报被确认。但是,如果攻击类型是针对Windows系统的而操作系统指纹显示为UNIX主机,那么这就表明是错误警报。然后,图3所示的示例性方法结束。
虽然图3所示的方法是参考将操作系统类型与攻击类型进行比较的被动分析工具110来进行说明的,但是也可以将操作系统的其它合适的特征与攻击类型的相关特征进行比较,以确定警报的真假。
因此,被动分析工具110是智能过滤技术,其过滤掉潜在的错误警报而不需要关于整个有防护网络104的知识。从所部署的NIDS(例如NIDS108)接收警报输入,并进行分析以确定该攻击是真的还是收到了假警报。即使不要求在有防护网络104的每个计算设备上都安装代理,也能够实现上述功能。
图4的流程图根据本发明的一个实施例,示出了可以与图3的示例性方法相结合使用的示例性方法。图4中的示例性方法从步骤400开始,在此处被动分析工具110监视动态主机配置协议(“DHCP”)服务器。本发明考虑到了由被动分析工具110监视的任何合适的动态配置协议服务器。在步骤402,被动分析工具110检测到租用行为。在判断步骤404,确定检测到的是租用发生事件(lease issue)还是租用到期事件(leaseexpire)。
如果被动分析工具110检测到租用到期事件,那么系统缓存就被访问,如步骤406所示。在判断步骤408,确定与租用到期事件相关联的目标地址是否在系统缓存中被找到。如果在系统缓存中找到了目标地址,那么在步骤410,该条目从系统缓存中被删除。然后被动分析工具110继续监视该DHCP服务器。如果在系统缓存中没有找到目标地址,那么该租用到期事件就被忽略,如步骤412所示。被动分析工具110继续监视DHCP服务器。
回到判断步骤404,如果检测到了租用发生事件,那么系统缓存就被访问,如步骤414所示。在判断步骤416,确定与该租用发生事件相关联的目标地址是否在系统缓存中被找到。如果找到了目标地址,那么在步骤418,该条目被删除。如果在系统缓存中没有找到该目标地址,那么继续执行该方法到步骤420,如下所述。
在步骤420,目标主机的操作系统指纹在步骤420被获得。操作系统指纹在一特定期间被存储在系统缓存中,如步骤422所示。然后被动分析工具110继续监视DHCP服务器。
图4所示的方法针对的是动态地向有防护网络104增加主机的过程,以使得关于网络的先验知识变得不再必要。这节省了大量时间和金钱,并且比需要网络先验知识的现有系统更精确。被动分析工具110可以将条目存储用户定义长度的时间,于是减少了需要获得操作系统指纹的次数,从而提高了网络入侵检测系统的效率。另一个技术上的优点是节省了资源,而且对有防护网络的影响很低,因为仅在需要时才建立目标系统的轮廓,从而有效率地进行“刚好及时”的易受攻击性分析。
虽然本发明是结合若干示例性实施例进行描述的,但是,本领域的技术人员可以想到各种改变和修改。本发明希望包括这些落在本发明的权利要求范围之内的改变和修改。
Claims (22)
1.一种用于降低网络入侵检测系统的误报率的方法,包括:
接收表明可能发生了网络入侵的警报;
识别所述警报的特征,至少包括攻击类型和目标地址;
询问与所述目标地址相关联的目标主机以获得操作系统指纹;
从所述目标主机接收包括操作系统类型的所述操作系统指纹;
将所述攻击类型与所述操作系统类型进行比较;以及
基于所述比较,表明所述目标主机是否可能受到所述攻击。
2.如权利要求1所述的方法,还包括在一段时期内,在存储位置中存储所述目标主机的所述操作系统指纹。
3.如权利要求1所述的方法,还包括:
在询问所述目标主机前,访问存储位置;
确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹;以及
如果所述目标主机的所述操作系统指纹不存在,那么继续所述方法的所述询问步骤;并且
如果所述目标主机的所述操作系统指纹存在,那么:
确定所述目标地址的缓存条目时间是否有效;并且
如果所述缓存条目时间有效,那么继续所述方法的所述比较步骤;否则
如果所述缓存条目时间无效,那么继续所述方法的所述询问步骤。
4.如权利要求1所述的方法,还包括:
监视动态配置协议服务器;
检测出现了新目标主机的租用发生事件;
访问存储位置;
确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;以及
如果所述新目标主机的所述操作系统指纹不存在,那么:
询问所述新目标主机以获得所述操作系统指纹;
从所述新目标主机接收所述操作系统指纹;并且
在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹;并且
如果所述新目标主机的所述操作系统指纹存在,那么:
从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;
询问所述新目标主机以获得新操作系统指纹;
从所述新目标主机接收所述新操作系统指纹;并且
在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
5.如权利要求1所述的方法,还包括:
监视动态配置协议服务器;
检测出现了现有目标主机的租用到期事件;
访问存储位置;
确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;以及
如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且
如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹。
6.如权利要求1所述的方法,还包括:
在接收到所述警报后,确定所述警报的格式是否有效;并且
如果所述格式无效,那么忽略所述警报;否则
如果所述格式有效,那么继续所述方法的所述识别步骤。
7.一种用于降低网络入侵检测系统的误报率的方法,包括:
接收表明可能发生了网络入侵的警报;
识别所述警报的特征,至少包括攻击类型、源地址、目标地址、警报严重性和警报描述;
访问存储位置;
确定在所述存储位置是否已经存在与所述目标地址相关联的目标主机的操作系统指纹;
如果所述目标主机的操作系统指纹不存在,那么:
询问所述目标主机以获得所述操作系统指纹;
从所述目标主机接收包括操作系统类型的所述操作系统指纹;
将所述攻击类型与所述操作系统类型进行比较;并且
基于所述比较,表明所述目标主机是否易于受到所述攻击;
如果所述目标主机的所述操作系统指纹存在,那么:
确定所述目标地址的缓存条目时间是否有效;并且
如果所述缓存条目时间无效,那么:
询问所述目标主机以获得所述操作系统指纹;
从所述目标主机接收包括操作系统类型的所述操作系统指纹;
将所述攻击类型与所述操作系统类型进行比较;并且
基于所述比较,表明所述目标主机是否可能受到所述攻击;
如果所述缓存条目时间有效,那么:
将所述攻击类型与所述操作系统类型进行比较;并且
基于所述比较,表明所述目标主机是否可能受到所述攻击。
8.如权利要求7所述的方法,还包括在一段时期内,在所述存储位置存储所述目标主机的所述操作系统指纹。
9.如权利要求7所述的方法,还包括:
监视动态配置协议服务器;
检测出现了新目标主机的租用发生事件;
访问所述存储位置;
确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;以及
如果所述新目标主机的所述操作系统指纹不存在,那么:
询问所述新目标主机以获得所述操作系统指纹;
从所述新目标主机接收所述操作系统指纹;并且
在一段时期内,在所述存储位置存储所述新目标主机的所述操作系统指纹;并且
如果所述新目标主机的所述操作系统指纹存在,那么:
从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;
询问所述新目标主机以获得新操作系统指纹;
从所述新目标主机接收所述新操作系统指纹;并且
在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
10.如权利要求7所述的方法,还包括:
监视动态配置协议服务器;
检测出现了现有目标主机的租用到期事件;
访问所述存储位置;
确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;以及
如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且
如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹。
11.一种用于降低网络入侵检测系统的误报率的系统,包括:
能够发送表明可能发生了对网络的攻击的警报的网络入侵检测系统;
包含在计算机可读介质中的软件程序,当所述软件程序被处理器执行时,能够:
接收所述警报;
识别所述警报的特征,至少包括攻击类型和目标地址;
询问与所述目标地址相关联的目标主机以获得操作系统指纹;
从所述目标主机接收包括操作系统类型的所述操作系统指纹;
将所述攻击类型与所述操作系统类型进行比较;并且
基于所述比较,表明所述目标主机是否可能受到所述攻击。
12.如权利要求11所述的系统,还包括能够在一段时期内存储所述目标主机的所述操作系统指纹的存储位置。
13.如权利要求11所述的系统,其中所述软件程序还能够:
在询问所述目标主机前,访问存储位置;
确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹;并且
如果所述目标主机的所述操作系统指纹不存在,那么继续所述询问步骤;否则
如果所述目标主机的所述操作系统指纹存在,那么所述软件程序还能够:
确定所述目标地址的缓存条目时间是否有效;并且
如果所述缓存条目时间有效,那么继续所述比较步骤;否则
如果所述缓存条目时间无效,那么继续所述询问步骤。
14.如权利要求11所述的系统,其中所述软件程序还能够:
监视动态配置协议服务器;
检测出现了新目标主机的租用发生事件;
访问存储位置;
确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;并且
如果所述新目标主机的所述操作系统指纹不存在,那么所述软件程序还能够:
询问所述新目标主机以获得所述操作系统指纹;
从所述新目标主机接收所述操作系统指纹;并且
在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹;并且
如果所述新目标主机的所述操作系统指纹存在,那么所述软件程序还能够:
从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;
询问所述新目标主机以获得新操作系统指纹;
从所述新目标主机接收所述新操作系统指纹;并且
在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
15.如权利要求11所述的系统,其中所述软件程序还能够:
监视动态配置协议服务器;
检测出现了现有目标主机的租用到期事件;
访问存储位置;
确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;并且
如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且
如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述所述现有目标主机的所述已经存在的操作系统指纹。
16.如权利要求11所述的系统,其中所述软件程序不具有关于所述有防护网络体系结构的知识。
17.如权利要求11所述的系统,其中所述网络入侵检测系统独立于供应商。
18.一种用于降低网络入侵检测系统的误报率的系统,包括:
用于接收表明可能发生了网络入侵的警报的装置;
用于识别至少包括攻击类型和目标地址的所述警报的特征的装置;
用于询问与所述目标地址相关联的目标主机以获得操作系统指纹的装置;
用于从所述目标主机接收包括操作系统类型的所述操作系统指纹的装置;
用于将所述攻击类型与所述操作系统类型进行比较的装置;以及
用于基于所述比较,表明所述目标主机是否可能受到所述攻击的装置。
19.如权利要求18所述的系统,还包括用于在一段时期内,在存储位置中存储所述目标主机的所述操作系统指纹的装置。
20.如权利要求18所述的系统,还包括:
用于访问存储位置的装置;
用于确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹的装置;以及
当所述目标主机的所述操作系统指纹存在时,用于确定所述目的地址的缓存条目时间是否有效的装置。
21.如权利要求18所述的系统,还包括:
用于监视动态配置协议服务器的装置;
用于检测出现了新目标主机的租用发生事件的装置;
用于访问存储位置的装置;
用于确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹的装置;并且
如果所述新目标主机的所述操作系统指纹不存在,那么还包括:
用于询问所述新目标主机以获得所述操作系统指纹的装置;
用于从所述新目标主机接收所述操作系统指纹的装置;以及
用于在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹的装置;并且
如果所述新目标主机的所述操作系统指纹存在,那么还包括:
用于从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹的装置;
用于询问所述新目标主机以获得新操作系统指纹的装置;
用于从所述新目标主机接收所述新操作系统指纹的装置;以及
用于在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹的装置。
22.如权利要求18所述的系统,还包括:
用于监视动态配置协议服务器的装置;
用于检测出现了现有目标主机的租用到期事件的装置;
用于访问存储位置的装置;
用于确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹的装置;并且
如果所述现有目标主机的所述操作系统指纹不存在,那么还包括用于忽略所述租用到期事件的装置;并且
如果所述现有目标主机的所述操作系统指纹存在,那么还包括用于从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹的装置。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US31915902P | 2002-03-29 | 2002-03-29 | |
US60/319,159 | 2002-03-29 | ||
PCT/US2003/009665 WO2003084181A1 (en) | 2002-03-29 | 2003-03-28 | Method and system for reducing the false alarm rate of network intrusion detection systems |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1643876A true CN1643876A (zh) | 2005-07-20 |
CN1643876B CN1643876B (zh) | 2010-09-29 |
Family
ID=28675210
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN038073196A Expired - Lifetime CN1643876B (zh) | 2002-03-29 | 2003-03-28 | 用于降低网络入侵检测系统的误报率的方法和系统 |
Country Status (8)
Country | Link |
---|---|
US (1) | US7886357B2 (zh) |
EP (1) | EP1491019B1 (zh) |
CN (1) | CN1643876B (zh) |
AT (1) | ATE483310T1 (zh) |
AU (2) | AU2003220582A1 (zh) |
CA (1) | CA2479504C (zh) |
DE (1) | DE60334368D1 (zh) |
WO (1) | WO2003084181A1 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100386993C (zh) * | 2005-09-05 | 2008-05-07 | 北京启明星辰信息技术有限公司 | 网络入侵事件风险评估方法及系统 |
CN111565203A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 业务请求的防护方法、装置、系统和计算机设备 |
Families Citing this family (41)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7073198B1 (en) * | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US6957348B1 (en) | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US7181769B1 (en) | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
US7506374B2 (en) * | 2001-10-31 | 2009-03-17 | Computer Associates Think, Inc. | Memory scanning system and method |
US7886357B2 (en) | 2002-03-29 | 2011-02-08 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
WO2003098413A1 (en) * | 2002-05-14 | 2003-11-27 | Cisco Technology, Inc. | Method and system for analyzing and addressing alarms from network intrusion detection systems |
US7496662B1 (en) | 2003-05-12 | 2009-02-24 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network and assessing confidence |
AU2003279517A1 (en) * | 2003-08-11 | 2005-02-25 | Telecom Italia S.P.A. | Method and system for detecting unauthorised use of a communication network |
US7805762B2 (en) * | 2003-10-15 | 2010-09-28 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
EP2372954B1 (en) * | 2003-11-28 | 2014-01-08 | Insightix Ltd | Method and system for collecting information relating to a communication network |
US20070297349A1 (en) * | 2003-11-28 | 2007-12-27 | Ofir Arkin | Method and System for Collecting Information Relating to a Communication Network |
US7895448B1 (en) * | 2004-02-18 | 2011-02-22 | Symantec Corporation | Risk profiling |
US20050229250A1 (en) * | 2004-02-26 | 2005-10-13 | Ring Sandra E | Methodology, system, computer readable medium, and product providing a security software suite for handling operating system exploitations |
FR2868227B1 (fr) * | 2004-03-26 | 2006-05-26 | Radiotelephone Sfr | Procede de supervision de la securite d'un reseau |
US7904960B2 (en) * | 2004-04-27 | 2011-03-08 | Cisco Technology, Inc. | Source/destination operating system type-based IDS virtualization |
US7539681B2 (en) | 2004-07-26 | 2009-05-26 | Sourcefire, Inc. | Methods and systems for multi-pattern searching |
CN100435513C (zh) * | 2005-06-30 | 2008-11-19 | 杭州华三通信技术有限公司 | 网络设备与入侵检测系统联动的方法 |
US7733803B2 (en) | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
US8046833B2 (en) * | 2005-11-14 | 2011-10-25 | Sourcefire, Inc. | Intrusion event correlation with network discovery information |
US7948988B2 (en) | 2006-07-27 | 2011-05-24 | Sourcefire, Inc. | Device, system and method for analysis of fragments in a fragment train |
US7701945B2 (en) * | 2006-08-10 | 2010-04-20 | Sourcefire, Inc. | Device, system and method for analysis of segments in a transmission control protocol (TCP) session |
US8458308B1 (en) * | 2006-08-23 | 2013-06-04 | Infoblox Inc. | Operating system fingerprinting |
US8069352B2 (en) * | 2007-02-28 | 2011-11-29 | Sourcefire, Inc. | Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session |
WO2008134057A1 (en) | 2007-04-30 | 2008-11-06 | Sourcefire, Inc. | Real-time awareness for a computer network |
US8850568B2 (en) | 2008-03-07 | 2014-09-30 | Qualcomm Incorporated | Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access |
US8839460B2 (en) * | 2008-03-07 | 2014-09-16 | Qualcomm Incorporated | Method for securely communicating information about the location of a compromised computing device |
US8474043B2 (en) | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
WO2010045089A1 (en) | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
JP5809238B2 (ja) | 2010-04-16 | 2015-11-10 | シスコ テクノロジー,インコーポレイテッド | 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法 |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
EP2589198B1 (en) * | 2010-07-01 | 2019-07-24 | Onapsis S.R.L. | Automated security assessment of business-critical systems and applications |
US8499173B2 (en) * | 2010-11-23 | 2013-07-30 | Lockheed Martin Corporation | Apparatus and method for protection of circuit boards from tampering |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
US9055090B2 (en) * | 2012-06-12 | 2015-06-09 | Verizon Patent And Licensing Inc. | Network based device security and controls |
CN104038372B (zh) * | 2014-05-30 | 2016-03-09 | 国家电网公司 | 电力广域网流量监控方法 |
US9680855B2 (en) * | 2014-06-30 | 2017-06-13 | Neo Prime, LLC | Probabilistic model for cyber risk forecasting |
US9710364B2 (en) | 2015-09-04 | 2017-07-18 | Micron Technology Licensing, Llc | Method of detecting false test alarms using test step failure analysis |
US10999307B2 (en) * | 2016-05-19 | 2021-05-04 | Infinite Group, Inc. | Network assessment systems and methods thereof |
CN107506443A (zh) * | 2017-08-25 | 2017-12-22 | 国网辽宁省电力有限公司 | 一种跨平台的智能数据传输方法 |
CN112019538B (zh) * | 2020-08-26 | 2023-05-26 | 国网山东省电力公司滨州供电公司 | 一种安全设备远程智能告警系统、方法及存储介质 |
Family Cites Families (48)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP0742662B1 (en) * | 1995-05-08 | 2002-09-18 | Koninklijke KPN N.V. | Protocol conversion arrangement and method |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5919257A (en) | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US5961644A (en) | 1997-09-19 | 1999-10-05 | International Business Machines Corporation | Method and apparatus for testing the integrity of computer security alarm systems |
US6148407A (en) * | 1997-09-30 | 2000-11-14 | Intel Corporation | Method and apparatus for producing computer platform fingerprints |
US6070244A (en) | 1997-11-10 | 2000-05-30 | The Chase Manhattan Bank | Computer network security management system |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6408391B1 (en) | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
US6182223B1 (en) | 1998-06-10 | 2001-01-30 | International Business Machines Corporation | Method and apparatus for preventing unauthorized access to computer-stored information |
US6282546B1 (en) | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
US6134664A (en) * | 1998-07-06 | 2000-10-17 | Prc Inc. | Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources |
DE69817176T2 (de) * | 1998-09-09 | 2004-06-24 | International Business Machines Corp. | Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen |
US6460141B1 (en) | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
US6564216B2 (en) | 1998-10-29 | 2003-05-13 | Nortel Networks Limited | Server manager |
US6415321B1 (en) | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
US6301668B1 (en) | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6839850B1 (en) | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US6405318B1 (en) | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
US6725377B1 (en) | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
AU4833400A (en) | 1999-05-14 | 2000-12-05 | L-3 Communications Corporation | Object oriented security analysis tool |
US7073198B1 (en) | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US6647400B1 (en) | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6957348B1 (en) * | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
CN1310393A (zh) * | 2000-02-24 | 2001-08-29 | 英业达股份有限公司 | 防止计算机病毒传染的方法 |
US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
US7162649B1 (en) | 2000-06-30 | 2007-01-09 | Internet Security Systems, Inc. | Method and apparatus for network assessment and authentication |
AU2001295016A1 (en) | 2000-09-01 | 2002-03-13 | Sri International, Inc. | Probabilistic alert correlation |
US6950845B2 (en) | 2000-10-23 | 2005-09-27 | Amdocs (Israel) Ltd. | Data collection system and method for reducing latency |
WO2002056152A2 (en) | 2001-01-10 | 2002-07-18 | Psionic Software Inc | Computer security and management system |
US20030056116A1 (en) | 2001-05-18 | 2003-03-20 | Bunker Nelson Waldo | Reporter |
US7237264B1 (en) * | 2001-06-04 | 2007-06-26 | Internet Security Systems, Inc. | System and method for preventing network misuse |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US7197762B2 (en) | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
US7444679B2 (en) | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
US6714513B1 (en) | 2001-12-21 | 2004-03-30 | Networks Associates Technology, Inc. | Enterprise network analyzer agent system and method |
US7152105B2 (en) | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US6941467B2 (en) | 2002-03-08 | 2005-09-06 | Ciphertrust, Inc. | Systems and methods for adaptive message interrogation through multiple queues |
US7886357B2 (en) | 2002-03-29 | 2011-02-08 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
US20030196123A1 (en) | 2002-03-29 | 2003-10-16 | Rowland Craig H. | Method and system for analyzing and addressing alarms from network intrusion detection systems |
WO2003098413A1 (en) | 2002-05-14 | 2003-11-27 | Cisco Technology, Inc. | Method and system for analyzing and addressing alarms from network intrusion detection systems |
KR100456635B1 (ko) | 2002-11-14 | 2004-11-10 | 한국전자통신연구원 | 분산 서비스 거부 공격 대응 시스템 및 방법 |
US7904960B2 (en) | 2004-04-27 | 2011-03-08 | Cisco Technology, Inc. | Source/destination operating system type-based IDS virtualization |
NO20050564D0 (no) | 2005-02-02 | 2005-02-02 | Tore Lysemose Hansen | Programmonitor for a identifisere uautorisert inntrenging i datasystemer |
WO2007122495A2 (en) | 2006-04-21 | 2007-11-01 | Axalto Sa | A framework for protecting resource-constrained network devices from denial-of-service attacks |
-
2003
- 2003-03-28 US US10/402,649 patent/US7886357B2/en active Active
- 2003-03-28 CA CA2479504A patent/CA2479504C/en not_active Expired - Fee Related
- 2003-03-28 WO PCT/US2003/009665 patent/WO2003084181A1/en not_active Application Discontinuation
- 2003-03-28 AT AT03716896T patent/ATE483310T1/de not_active IP Right Cessation
- 2003-03-28 AU AU2003220582A patent/AU2003220582A1/en not_active Abandoned
- 2003-03-28 CN CN038073196A patent/CN1643876B/zh not_active Expired - Lifetime
- 2003-03-28 EP EP03716896A patent/EP1491019B1/en not_active Expired - Lifetime
- 2003-03-28 DE DE60334368T patent/DE60334368D1/de not_active Expired - Lifetime
-
2008
- 2008-10-09 AU AU2008229835A patent/AU2008229835B2/en not_active Ceased
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN100386993C (zh) * | 2005-09-05 | 2008-05-07 | 北京启明星辰信息技术有限公司 | 网络入侵事件风险评估方法及系统 |
CN111565203A (zh) * | 2020-07-16 | 2020-08-21 | 腾讯科技(深圳)有限公司 | 业务请求的防护方法、装置、系统和计算机设备 |
CN111565203B (zh) * | 2020-07-16 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 业务请求的防护方法、装置、系统和计算机设备 |
Also Published As
Publication number | Publication date |
---|---|
US7886357B2 (en) | 2011-02-08 |
WO2003084181A1 (en) | 2003-10-09 |
EP1491019B1 (en) | 2010-09-29 |
CN1643876B (zh) | 2010-09-29 |
EP1491019A1 (en) | 2004-12-29 |
CA2479504A1 (en) | 2003-10-09 |
DE60334368D1 (de) | 2010-11-11 |
AU2008229835B2 (en) | 2010-12-09 |
AU2008229835A1 (en) | 2008-11-06 |
ATE483310T1 (de) | 2010-10-15 |
AU2003220582A1 (en) | 2003-10-13 |
CA2479504C (en) | 2010-07-13 |
US20030212910A1 (en) | 2003-11-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1643876B (zh) | 用于降低网络入侵检测系统的误报率的方法和系统 | |
CN100451984C (zh) | 用于降低网络入侵检测系统的虚假警报率的方法和系统 | |
US7752665B1 (en) | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory | |
US7845007B1 (en) | Method and system for intrusion detection in a computer network | |
US20030196123A1 (en) | Method and system for analyzing and addressing alarms from network intrusion detection systems | |
US8161554B2 (en) | System and method for detection and mitigation of network worms | |
US20060190993A1 (en) | Intrusion detection in networks | |
CN114006723B (zh) | 基于威胁情报的网络安全预测方法、装置及系统 | |
CN1946077A (zh) | 基于及早通知检测异常业务的系统和方法 | |
CN1282081C (zh) | 一种入侵检测方法 | |
CN109787964B (zh) | 进程行为溯源装置和方法 | |
CN113660115A (zh) | 基于告警的网络安全数据处理方法、装置及系统 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN100424609C (zh) | 分析和处理来自网络入侵检测系统的警报的方法和系统 | |
JP2004086241A (ja) | コンピュータウィルス感染元検知システム | |
CN114006719B (zh) | 基于态势感知的ai验证方法、装置及系统 | |
CN113904920A (zh) | 基于失陷设备的网络安全防御方法、装置及系统 | |
KR20060026293A (ko) | 네트워크 취약성 정보를 이용하여 오탐을 방지하는침입탐지 장치, 시스템 및 그 방법 | |
CN1320800C (zh) | 响应入侵的方法和系统 | |
KR20030051929A (ko) | 라돈-씨큐리티 게이트웨이 시스템의 정책 전달 및 경보용데이터베이스 관리방법 | |
KR20070070566A (ko) | 이기종간 침입탐지 정보관리를 위한 저장 및 관리 방법 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CX01 | Expiry of patent term |
Granted publication date: 20100929 |
|
CX01 | Expiry of patent term |