CN1705924A - 用于检测网络环境中感染因素的系统和方法 - Google Patents
用于检测网络环境中感染因素的系统和方法 Download PDFInfo
- Publication number
- CN1705924A CN1705924A CN03807889.9A CN03807889A CN1705924A CN 1705924 A CN1705924 A CN 1705924A CN 03807889 A CN03807889 A CN 03807889A CN 1705924 A CN1705924 A CN 1705924A
- Authority
- CN
- China
- Prior art keywords
- computing machine
- infective agent
- signal
- network
- address
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000001524 infective effect Effects 0.000 title claims abstract description 144
- 238000000034 method Methods 0.000 title claims abstract description 40
- 230000004044 response Effects 0.000 claims abstract description 12
- 238000004891 communication Methods 0.000 claims description 187
- 241000700605 Viruses Species 0.000 claims description 31
- 238000001514 detection method Methods 0.000 claims description 25
- GOLXNESZZPUPJE-UHFFFAOYSA-N spiromesifen Chemical compound CC1=CC(C)=CC(C)=C1C(C(O1)=O)=C(OC(=O)CC(C)(C)C)C11CCCC1 GOLXNESZZPUPJE-UHFFFAOYSA-N 0.000 claims description 16
- 230000001066 destructive effect Effects 0.000 claims description 7
- 230000005540 biological transmission Effects 0.000 claims description 5
- 230000002401 inhibitory effect Effects 0.000 claims 1
- 239000003795 chemical substances by application Substances 0.000 description 76
- 238000007726 management method Methods 0.000 description 66
- 241000282693 Cercopithecidae Species 0.000 description 29
- 238000010586 diagram Methods 0.000 description 9
- 230000006870 function Effects 0.000 description 9
- 230000011664 signaling Effects 0.000 description 8
- 101000937647 Drosophila melanogaster Probable malonyl-CoA-acyl carrier protein transacylase, mitochondrial Proteins 0.000 description 7
- 230000009471 action Effects 0.000 description 7
- 230000008859 change Effects 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 6
- 230000002411 adverse Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 5
- 230000000246 remedial effect Effects 0.000 description 5
- 244000035744 Hura crepitans Species 0.000 description 4
- 238000002955 isolation Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006378 damage Effects 0.000 description 3
- 230000006855 networking Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 210000004027 cell Anatomy 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000003612 virological effect Effects 0.000 description 2
- UPLPHRJJTCUQAY-WIRWPRASSA-N 2,3-thioepoxy madol Chemical compound C([C@@H]1CC2)[C@@H]3S[C@@H]3C[C@]1(C)[C@@H]1[C@@H]2[C@@H]2CC[C@](C)(O)[C@@]2(C)CC1 UPLPHRJJTCUQAY-WIRWPRASSA-N 0.000 description 1
- 241001269238 Data Species 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000004913 activation Effects 0.000 description 1
- 230000008485 antagonism Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000002939 deleterious effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 230000001747 exhibiting effect Effects 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000008676 import Effects 0.000 description 1
- 230000008595 infiltration Effects 0.000 description 1
- 238000001764 infiltration Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 210000000352 storage cell Anatomy 0.000 description 1
- 238000012360 testing method Methods 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
提供了一种用于检测网络环境中感染因素的方法,所述方法包括由第一计算机检测第二计算机内的感染因素。生成并传送将第二计算机标识为与感染因素相关联的信号。该信号包括与第二计算机相关联的地址。该信号被接收,并且响应于该信号,禁止第二计算机的通信能力。
Description
技术领域
本发明一般地涉及入侵检测,更具体地,涉及用于检测网络环境中感染因素的系统和方法。
背景技术
网络和信息安全是在通信环境中变得日益重要的两个领域。例如病毒、蠕虫、木马以及其他破坏性因素的外部主体的威胁给计算机系统体系结构和终端用户等带来了重大的风险。如果不能适当地抑止,这些破坏性因素可能通过干扰通信流、侵犯隐私、损害系统内部的信息完整性或者破坏驻留在网络体系结构上的数据而给网络系统带来严重破坏。
已经采用了一些策略来抗击这些有害外部主体的消极作用;但是,这些策略中的一些被限制于它们只能针对某些类型的攻击,这些攻击必须是从特定位置产生的。另外,这些策略中的许多策略苦于只能提供网络系统内部有限区域的最小保护。而且,这些策略中的许多策略在识别及抑止可能已经进入网络的有害因素时是缓慢的。这些策略中的许多策略通常还是低效率的,因为如何实现它们相应的安全策略和协议是可预知的。这些方法的可预知的特性使得黑客可以轻易地定位相关系统内部的弱点区域,并且攻击这些区域,使得破坏性因素可以渗透进入未被现有安全单元检查到的网络。
发明内容
根据本发明的一个实施例,提供了一种用于检测网络环境中的感染因素的方法,所述方法包括由第一计算机检测第二计算机内的感染因素。生成并传送将所述第二计算机标识为与所述感染因素相关联的信号。所述信号包括与所述第二计算机相关联的地址。接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
根据本发明的另一个实施例,提供了一种用于检测网络环境中的感染因素的方法,所述方法包括基于第一计算机和第二计算机之间的通信,由所述第一计算机检测在所述第二计算机处的感染因素。生成并传送将所述第二计算机标识为与所述感染因素相关联的信号。所述信号包括与所述第二计算机相关联的地址。接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
本发明的某些实施例提供了许多技术优点。例如,根据本发明的一个实施例,提供了网络管理控制器,所述网络管理控制器运行以通过去除包含有感染因素的坏蛋(或被感染计算机)的相应的地址,立即禁止其通信能力。这禁止了坏蛋向下一计算机或另一目标通信,这种通信可能感染网络中另外的单元。网络管理控制器使得恶意流量在其在网络体系结构内被发现后能立即被隔离。这是重要的,因为一旦感染因素进入相应的安全系统,时间是限制这些感染因素时中的关键因素。
本发明一个实施例的另一技术优点是通信协议垫层带来的结果,所述通信协议垫层允许通信系统内的所有网络部件之间的合作通信。一旦发现感染因素,所述通信协议垫层可以生成许多信号,所述信号使得其他网络部件认识到感染因素已经进入了系统。例如,所述通信协议垫层可以向网络管理控制器发送这样的信号:网络内的某一部件已经接收到了病毒、蠕虫、木马或某些其他破坏性因素。网络管理控制器然后可以通过向所有网络部件广播如下的报警信号来响应该信号:来自被感染设备的通信应该被避免或拒绝。或者,网络管理控制器可以直接通过去除被感染设备的地址,简单地禁止所述被感染设备的通信能力,如上所述。通信协议垫层还可以生成到侦察单元的消息,该侦察单元可以依次向网络内所有有关部件广播如下的报警信号:通信系统内的一个单元已经被感染。这种使用通信协议垫层和网络管理控制器的合作信令使得即使在网络体系结构内的计算机不符合现有安全协议的情况下,也能快速识别感染因素。即使在对安全参数提供了严格检查的系统中,许多设备也可能是不符合的,并从而易于接收(和潜在地散布)感染因素。合作信令通过允许网络部件监视其对等体以及在发现感染因素被引入系统后立即报告感染因素的引入,提供了迅速隔离坏蛋(可能处在或没有处在正确的安全符合)的方法。
本发明一个实施例的另一优点是含有感染因素的计算机可以被引导到补救站点,以符合网络安全增强协议。补救站点然后可以帮助从被怀疑包含破坏性信息的部件中去除感染因素。被怀疑的部件可以持续与补救站点通信,直至其去除了感染因素,或者直至其以其他方式被治愈,或被认为正确地符合现有安全协议,此时,该部件可以被允许恢复与其他网络部件的通信。
本发明的实施例可以不享有这些优点,或享有其中的一部分或全部。从下面的附图、说明和权利要求中,本领域的技术人员能容易地看出其他技术优点。
附图说明
结合附图参考下面的描述,附图中:
图1是根据本发明的一个实施例,用于检测网络环境中感染因素的通信系统的简化框图。
图2A是根据本发明的一个实施例,被包含在图1的通信系统中的网络管理控制器的示例实施方式的框图。
图2B是根据本发明的一个实施例,被包含在图1的通信系统中的网络管理控制器的另一示例实施方式的框图。
图2C是根据本发明的一个实施例,被包含在图1的通信系统中的网络管理控制器的另一示例实施方式的框图。
图3是示出了根据本发明的一个实施例,与用于检测网络环境中感染因素的方法相关联的一系列步骤的流程图。
具体实施方式
通过参考附图的图1至图3,可以最好地理解本发明的示例实施例,在附图中类似的标号表示类似的部分。
图1是根据本发明的一个实施例的用于检测网络环境中感染因素12的通信系统10的框图。通信系统10包括网络管理控制器14、多个计算机16a~16d、被感染计算机18、外部网络22和内部网络24。另外,通信系统10包括外部站点28、补救(remediator)站点30、验证服务器34和策略节点38。
根据本发明的教导,通信系统10提供用于在感染因素12被引入到通信系统10的体系结构中后识别该感染因素的体系结构。通信系统10还提供定位或者以其他方式识别被感染计算机18内部的感染因素12的位置的能力。在实现通信协议时,计算机16a、16b和16c提供对等监视特征,该特征在例如感染因素12的破坏性因素进入通信系统10的时候检测这些破坏性因素。因此,为计算机16a、16b和16c提供了合作的信令方法,由此,被感染的计算机18被标定为坏蛋(rogue),即包含了某些恶意文件、不可靠的数据段、或者不符合的操作,它们可能给通信系统10内的部件带来损害。
此外,可以由计算机16a、16b和16c中的任一个生成并发送信号到网络管理控制器14,使得与感染因素12相关联的源被识别。该信号可以包括与已经收到感染因素12的被感染计算机18相关联的地址。基于该信号,网络管理控制器14然后可以禁止被感染计算机18的通信能力,从而感染因素12不会被传送给下一目标。网络管理控制器14还可以基于在通信系统10内部实现的协议实现其他合适的动作,来对被感染计算机18应用沙盒(sandbox)、包围(siderail)、隔离或其他方式的禁止,以防止其进一步通信。
这种团体监视方法允许在网络体系结构内发现恶意流量后立即将其隔离。这在网络安全系统中是尤其关键的,在这样的网络安全系统中,一旦在通信系统10内部出现安全缺口,在限制例如感染因素12的破坏性信息中,时间是极重要的。另外,通信系统10提供了对等监视的益处,由此只有网络团体内部的选定数量的对等体需要被适当地配置,以识别系统体系结构内的坏蛋。网络管理控制器14可以响应于感染因素12的识别而做出许多适当的补救(如下面所更详细描述的),以禁止感染因素12渗透正遭受威胁的系统。
感染因素12是破坏性的对象或者一段信息,它可以通过任何网络部件被引入通信系统10。感染因素12可以是木马、蠕虫、病毒或者任何其他破坏性因素,它们运行以破坏数据、损害信息的完整性、擦除或修改数据,或者广泛地干扰通信系统10内的正常功能单元。感染因素12还可以对应于根据过时协议的被感染计算机18的不符合的软件或操作。
木马是执行一些未被预料的或者一些未经授权的(通常是恶意的)动作的程序,这些动作例如显示消息、擦除文件或破坏磁盘格式化。木马还可以向其他目标发送数据,象某些主控主体的代理那样运行。木马通常还能感染其他主机文件。木马通常被嵌入到一个或多个目标机器(例如计算机16a~16d中的任一个或者被感染计算机18)上,并处于潜伏状态直至其被指示以发起某些动作,例如传播、发送或者(最常见地)执行不正常的拒绝服务(DoS)功能。
使用DoS攻击策略是为了占用用于运行站点或企业应用程序的关键任务(mission-critical)资源。在某些情况中,Unix或Windows操作系统中的安全缺口和失灵或其他的弱点被利用来有意摧毁相应的系统。在其他情况下,大量表面上合法的流量被定向到单个站点,直至该站点变得超载并崩溃。DoS攻击的形式包括:红色代码(Code Red)、尼姆达(nimda)、乒乓(ping-pong)、SYN洪水、UDP洪水和Smurf攻击。某些DoS策略会简单地阻塞网络对等点。DoS攻击还可以在黑客已经获得了到易受攻击的网络系统的一些部分的访问的情况下被使用。入侵软件可以被安装在例如被感染计算机18的受害机器上,因此它可以被远程激活以启动相应的攻击。为了启动DoS攻击,黑客通常只需要单个有权访问相应系统的端口。黑客可以使用许多设备来获得初始访问,例如:网络扫描器或监测器、口令破解和猜测工具、会话拦截(session hiiacking)以及因特网协议(IP)欺骗。
蠕虫是能够向其他计算机传播其自身或其片段的功能拷贝的自包含程序或程序集。这种拷贝的传播可以通过网络连接或电子邮件附件发生。蠕虫可以自己传播,并且实际上依附(piggy-back)在可能的任何网络服务上,例如超文本传输协议(HTTP)格式。
病毒是恶意程序,它可以以电子邮件附件、文件负载、程序或任何其他合适的进入形式被引入网络体系结构。根据文件格式和感染途径,病毒可以被分为各种类型。这样的病毒的例子包括:宏病毒、引导区病毒、脚本病毒、文件感染病毒、ActiveX恶意代码病毒和破坏性病毒。
试图进入通信系统10的病毒实施方式的一个例子是附有Word文档的Zip文件。终端用户为了查看该文档可能打开Zip文件;终端用户的相关机器可能间接或直接地保存该Word文档。由于系统内的该文档,病毒执行其指定的功能。该病毒利用Word程序中的缓冲区溢出(通常拥有必需的知识来这么做),使得它通过溢出获得访问,并开始以其被编程要进行的方式损害系统,例如删除文件、破坏数据、改变或修改信息等。病毒可以通过合适的通知被检测到,例如通过由病毒检测协议自动生成的窗口所公布的那些通知。例如防毒软件的安全协议可以生成这种类型的窗口。例如,该窗口可以说明John X正在试图与你的机器通信,并进一步询问终端用户对这么做的许可。
感染因素12可以以多种方式被引入被感染计算机18。例如,被感染计算机18的终端用户可以使用被感染计算机18,用网络浏览器浏览因特网上的网页。这样,感染因素12可能在因特网内某处漫游,在这里它可以被直接下载、被不经意地传递、或者以其他方式被间接地发送到被感染计算机18。例如,被感染计算机18可能希望与外部站点28通信,以获取某文件或某段数据。在将该数据或文件传送回被感染计算机18时,外部站点28可能有意或无意地通过外部网络22、内部网络24等,将例如感染因素12的有害因素传递到被感染计算机18。这可以在任何合适的联网情景中发生:例如,在从在线零售店订购物品或浏览站点上的网页或信息的情况下。
恶意或破坏性因素进入系统的潜在的有害传送可能是内部网络24和被感染计算机18想要删除、回避或以其他方式避免接收感染因素12时的多种失败的结果。例如,只在一天中某些确定时刻运行的安全软件,如果感染因素12在并没有执行安全功能的某个非安全时刻或间隙被下载或传递,则其提供的保护中可能有潜在的弱点。另外,当终端用户由于性能原因,即为了增加被安全特征减缓的相关设备的速度,而选择有意禁止桌面安全功能(例如防毒软件协议)时,安全软件可能没有作用。
感染因素12还可以由被感染计算机18从来自内部站点或网络的通信流量中接收,该通信流量一般被称为IN-IN通信流。例如,内部网络24可以提供包括关于职工津贴信息的工资单站点。当计算机16a的终端用户访问该工资单站点时,如果该工资单站点在其相应的安全性中曾经经历过破坏,则计算机16a可能不经意地接收破坏性因素。这一问题是可能存在的,因为在某些环境中,内部流量没有被充分地监视或以其他方式被评价,以限制潜在破坏性因素的引入。这表现出一个严重的破坏性问题,其中,病毒、木马或蠕虫可以在例如被感染计算机18的单个计算机处进入安全系统,然后感染所有连接到公司、企业或其他实体的内部系统上的内部部件。或许更加危险的是由于感染因素12可能被传送到内部结构所识别的联系者或客户,这种内部安全缺口可能进一步感染外部实体。在这种情景下,实体可能不经意地将感染因素12传送到多个客户,或者与最初被感染实体相交互或相关联的其他人。
网络管理控制器14是可操作以从通信系统10内的多个设备接收数据的通信接口。网络控制器14还可以从外部网络22接收信息,并将该信息传递到任一耦合到内部网络24的单元,例如计算机16a~16d和被感染计算机18。网络管理控制器14还可以接收信号中的被感染计算机18的地址。网络管理控制器14与通信系统10的信令协议相合作,以快速识别出现在网络体系结构内的内部带菌者或坏蛋。网络管理控制器14可以包括任何可操作以提供网络通信接口以及接收标识了通信系统10内的破坏性因素进入的信号的硬件、软件、对象或单元。
网络管理控制器14通过实现多个可能的补救来响应于收到该信号,以处理被感染计算机18内部的感染因素12的出现。例如,网络管理控制器14可以通过对相关的被感染设备或单元使用沙盒或包围技术来响应该信号。另外,网络管理控制器14可以通过去除或重分配其相关联的地址来适当地禁止被感染的设备或单元或者将被感染的设备或单元放置在安全岛(island)上。该地址可以是任何合适的识别因素或工具,它们运行以将被感染计算机18从通信系统10内的其他部件区别开。
根据本发明的一个具体实施例,网络管理控制器14可以去除或重分配被感染计算机18的IP地址,从而禁止被感染计算机18的通信能力。网络管理控制器14可以实现这种和其他适当的补救措施,以禁止被感染计算机18将感染因素12传送到下一目标。网络管理控制器14还可以将被感染计算机18引导到补救站点30。然后被感染计算机可以与补救站点30通信,直至感染因素12被去除,或者直至被感染计算机18以其他方式变为符合合适的网络安全协议。另外,网络管理控制器14可以生成报警信号,以向任何可能与被感染计算机18交互的单元广播。该报警信号包括例如这样的信息:被感染计算机18的地址(或IP地址)、网络中存在的破坏性因素的类型或用于处理与被感染计算机18相遇的补救措施。
在本发明的一个具体实施例中,网络管理控制器14可以作用或以其他方式控制动态主机配置协议(DHCP)服务,以禁止被感染计算机18。DHCP协议代表让网络操作者集中管理(以及在适当的地方自动操作)通信系统10内的IP地址配置分配的平台。没有DHCP配置时,必须在希望在网络环境中通信的每一个实体或系统处手动输入IP地址。DHCP还使得网络管理控制器14能够从中央点管理和分配IP地址。
例如使用计算机16a~16b的那些终端用户可以拥有一个从地址池中静态或动态分配的被分配的IP地址。终端用户然后可以注册网络内提供的选定服务。这些服务可以被存储在策略节点38中。这些服务可以包括因特网服务、内联网服务或其他各种服务,例如提供给终端用户的优先级服务或推(push)服务。当终端用户登录到内部网络24时,网络管理控制器14可以获得对分配给该终端用户的IP地址的控制。因为非法IP地址有效地禁止了通信系统10内的相关设备的通信能力,所以对IP地址的控制为网络管理控制器14提供了执行权。
网络管理控制器14可以被耦合到通信系统10内的多个联网设备或单元,或者可以结合这些设备或单元而实现。图2A~图2C示出了若干示例实施方式,其中网络管理控制器14可以与现有网络装置一起作用。例如,如图2A所示,网络管理控制器14可以耦合到路由器44。或者,网络管理控制器14可以包括路由器44或在适当的地方间接耦合到路由器44。路由器44是一个设备或一段程序,它确定通信系统10中信息分组被引导到的下一网络点。路由器44可以耦合到通信系统10内的任何其他网络部件,或者在适当的地方耦合到其他路由器。另外,路由器44可以被放置在网关或通信接口处,以将从一个点来的信息分组引导到下一个点。路由器44可以从计算机16a~16d以及被感染计算机18接收数据分组,并将这些分组传送到外部网络22。另外,路由器44可以从外部网络22接收数据分组,例如通过外部站点28,并将这些信息分组传送回一个或多个计算机16a~16d和被感染计算机18。
图2B是图示了网络管理控制器14的另一个示例实施方式的框图,其中交换机46被耦合到网络管理控制器14。网络管理控制器14可以直接或间接耦合到交换机46,或者可替换地,交换机46可以被放置在网络管理控制器14内。交换机46运行以从通信设备接收一个或多个数据分组,并将这些数据分组传送到通信系统10内的选定位置。另外,交换机46可以从外部网络22、策略节点38、或在通信系统10内部或外部的任何其他合适单元或设备接收一个或多个数据分组,以将信息传送到通信系统10内的一个或多个单元。
图2C是图示了网络管理控制器14的另一个示例实施方式的框图。防火墙48可以被耦合到网络管理控制器14,并可以运行以丢弃、删除或以其他方式避免寻求与通信系统10内的任何单元或设备通信的破坏性数据段。另外,防火墙48可以包括网络管理控制器14,或者在合适的地方间接耦合到网络管理控制器14。防火墙48是在两个节点之间实施访问控制策略的系统体系结构,这两个节点例如虚拟私有网络(VPN)和例如因特网的公共节点。VPN是利用公共网络基础设施的私有数据网络。VPN网络通过使用加密技术以保证只有被授权的用户才可以浏览或者“隧道(tunnel)”进入公司的私有联网文件,可以提供对公共数据源的安全共享。
防火墙48可以判断哪一个内部服务或单元能够被从外部源访问,以及哪一个外部服务和单元能够被内部源访问。实质上,防火墙48可以被看作是阻止和允许通信流量的一对工具。防火墙48还可以在安全功能或审查(例如基于存储在策略节点38中的策略的审查)可能被欺骗的地方,提供单个阻塞点。防火墙48还可以利用数据提供网络管理员功能,这些数据与已经通过了防火墙的流量的类型和数量以及试图突破防火墙体系结构的所作出的尝试的多少相关联。防火墙48还可以隐藏关于它所耦合的网络的信息,并且使得看起来所有的输出流量都起源于防火墙48,而不是来自内部网络24。
返回参考图1,计算机16a~16d和被感染计算机18每一个都代表以数字数据格式接收信息并且为了某个结果而基于程序或指令序列处理这些信息的设备。在本发明的一个具体实施例中,计算机16a~16d每一个都代表可以在通信系统10内接收及传送数据的桌面中央处理单元。或者,计算机16a~16d和被感染计算机18可以是用于数据通信的任何其他合适的设备。例如,16a~16d和被感染计算机18可以是蜂窝或无线电话、个人数字助理(PDA)、膝上型计算机或电子笔记本,或任何其他可以在通信系统10内部发起语音或数据交换的设备、部件或对象。计算机16a~16d和感染计算机18另外可以提供对人类使用者的接口,例如通过麦克风、显示器、键盘或其他终端设备,例如在计算机16a~16d和被感染计算机18被用作调制解调器的情况下的到个人计算机或传真机的接口。计算机16a~16d和被感染计算机18还可以是能够帮助两个节点之间的数据交换的数据库或程序。这里所说的数据是指任何类型的数字、语音、视频或脚本数据,或者任何其他可以从一个点传送到另一个点的适当格式的合适信息。
在图1中,计算机16a和16d被图示为被包括在为公司或实体内部的工程单元或工程部门所特有的计算机的子集。另外,计算机16c被图示为与实体内的计费单元或部门相关联。计算机16a~16d的每一个以及被感染计算机18被耦合到内部网络24,从而使得他们可以在网络环境中交换数据或以其他方式交互。
在一个实施例中,计算机16a~16c每一个包括病毒检测单元40和通信协议垫层(shim)42。但是,计算机16d不包括任何类型的病毒检测单元或通信协议单元。计算机16d提供了通信系统10内不遵从任何安全协议的通信单元的示例说明。
病毒检测单元40是可以在破坏性因素进入通信系统10后能够检测该破坏性因素的单元或对象。病毒检测单元40可以是执行模式匹配,搜索特定的或系统的流量行为的例程或程序的集合。数据分组模式可以提供一种媒介,由于它,系统体系结构内的破坏性因素可以被识别。病毒检测单元40可以包括可操作以检测在通信系统10中出现的例如感染因素12的破坏性因素的任何硬件、软件或单元。病毒检测单元40还可以是桌面防火墙产品,例如由Symantec公司、Network Associates或ComputerAssociates生产的产品,它们在确保相应的单元没有潜在的有害因素时执行某种(可能是日常程序)安全扫描。病毒检测单元40还可以能够识别破坏性因素的具体类型,例如木马、蠕虫或病毒。病毒检测单元40可以将与被引入通信系统10的破坏性因素的类型相关联的信息发送到通信协议垫层42、网络管理控制器14或者任何其他合适的位置。计算机16a~16c的每一个还可以包括任何可操作以帮助或以其他方式执行对被感染计算机18通信能力的禁止的合适单元。
通过在通信系统10内提供若干病毒检测单元40,若干计算机16a~16c就具备了监视它们的对等体的智能。这是重要的,因为由于即使没有处在正确的安全符合中的对等体也可以通过其他使用合作信令技术的计算机被监视和保护,所以它们也能从本发明的教导中获益。因此,即使装备了通信协议垫层42的单个计算机也可以减轻相应的网络内过时的或不符合的部件的消极影响。
通信协议垫层42是帮助了通信系统10内的团体监视的通信协议单元。通信协议垫层42可以包括可操作以向通信系统10提供信令协议的硬件、软件或任何其他对象或单元。通信协议垫层42还可以包括防火墙保护单元,该防火墙保护单元确保已经执行了完整性检查。可以配置通信协议垫层42,从而使得一旦感染因素12被识别,则生成一个信号并将该信号发送到网络管理控制器14。通信协议垫层42通过监视网络部件提供对等体之间的合作信令,从而使得感染因素12可以被快速识别。通信协议垫层42可以如下面所讨论的多种方式发出感染因素12在被感染计算机18中出现的信号。
运行中,一旦检测到破坏性因素,通信协议垫层42可以向被感染计算机18直接发出信号,表明感染因素12在其内部结构中。被感染计算机18然后可以通过与补救站点30通信,或者可替代地,通过对其内部结构执行某种清除或安全检查,来响应该信号。
通信协议垫层42还可以通过向网络管理控制器14发送信号,将被感染计算机18标识为包含感染因素12,来响应检测到感染因素12。该信号可以包括被感染计算机18的地址,该地址将被感染计算机18从通信系统10内的其他部件唯一地识别或以其他方式区别出来。通信协议垫层42所生成并传送的信号可以包括被感染计算机18的IP地址。
在本发明的另一个实施例中,通信协议垫层42通过向通信系统10内的所有网络部件广播(或在合适的地方向通信系统10内的特定单元单播)通用信号,来响应检测到感染因素12,从而使得每一个部件都注意到感染因素12。耦合到网络管理控制器14的合适的广播单元也可以向通信系统10提供这种操作。例如,该实施例可以使得计算机16c能够识别并进一步避免从被感染计算机18发送的通信。广播信号可以包括唯一地标识了被感染计算机18的地址或某些其他信息。另外,广播信号可以包括出现在通信系统10中的破坏性因素的类型,并进一步提供随后遇到该破坏性因素时将采取的补救措施。
如上所述,通信协议垫层42可以生成包括与感染因素12的出现相关的多条信息的信号。例如,该信号可以包括感染因素12的位置,该位置由感染因素12所在地方的相应地址(可能是IP地址)给出。另外,通信协议垫层42所生成和传送的信号可以包括与已经进入系统的破坏性因素的类型相关的信息。该信号还可以包括关于用于应付或抗击破坏性因素的补救措施的信息。例如,某些破坏性因素可以通过简单的删除指令从系统中消除,而其他破坏性因素可能需要更复杂的指令来指导怎样抗击它们的出现。或者,通信协议垫层42所生成的信号可以包括任何其他合适的信息,该信息在处理感染因素12的出现或者有害影响时提供某种指导。
外部网络22代表一系列点或节点,它们具有互连的通信路径,用于接收和发送通过通信系统10传播的信息分组。外部网络22可以提供例如外部站点28的节点和任何连接到内部网络24的单元之间的通信接口。外部网络22可以是任何局域网(LAN)、城域网(MAN)、广域网(WAN)或任何其他在网状(无线)网络或其他合适网络环境中帮助通信的适当体系结构或系统。在本发明的具体实施例中,外部网络22实现传输控制协议/因特网协议(TCP/IP)通信语言协议;但是,外部网络22或者可以实现任何其他合适的用于在通信系统10内发送和接收数据分组的通信协议。
内部网络24代表向通信系统10内部的一个或多个网络部件提供通信接口的内部体系结构。内部网络24使得计算机16a~16d、被感染计算机18、网络管理控制器14和补救站点30能够在网络环境中彼此交互。另外,内部网络24可以为通信系统10内部或外部的任何其他单元或部件提供通信接口。在本发明的一个具体实施例中,内部网络24是VPN;但是,内部网络24或者可以是任何LAN、MAN、WAN或任何其他在网络环境中帮助通信的体系结构系统。在本发明的一个具体实施例中,内部网络24实现TCP/IP通信语言协议;但是,内部网络24或者可以实现任何其他合适的用于在通信系统10内发送和接收数据分组的通信协议。
外部站点28是驻留在具体网络位置中的网络文件或数据的集合。外部站点28可以是任何公司、组织、个人或提供要在网络环境中被传送的信息的实体。外部站点28被耦合到外部网络22,其可以被计算机16a~16d中的任何一个访问。在上面提供的例子中,外部站点28通过外部网络22和内部网络24向被感染计算机18传送感染因素12。
根据本发明的一个实施例,补救站点30是一个安全单元,它被设计为帮助从被感染计算机18中去除感染因素12。补救站点30被耦合到内部网络24和被感染计算机18,并且在被感染计算机18已经被标识为坏蛋(即包含破坏性因素)后,补救站点30可以从被感染计算机18接收通信。被感染计算机18可以被分路或以其他方式引导到补救站点30,直至下载了适当的软件或配置,或者直至感染因素12从被感染计算机18去除。补救站点30可以包括对抗或帮助去除感染因素12的硬件、软件或任何其他对象或单元。或者,在被感染计算机18已经被错误地引导到补救站点30的情况下,补救站点30可以评估被感染计算机18,并判断它处在正确的安全符合中,因此允许被感染计算机18进一步在通信系统10内通信。
验证服务器34是处理访问计算机体系结构资源的请求的服务器程序。验证服务器34可以向内部网络24和外部网络22提供验证、授权和计费服务(以及总体管理)。授权通常是指赋予终端用户做某事或访问某物的许可的过程。在多用户计算机系统中,系统管理员可以为系统定义哪个终端用户被允许访问系统中特定的位置,并进一步定义给终端用户提供什么特权。一旦终端用户已经登录进入例如内部网络24的子网络,则该子网络可能希望识别在通信会话期间哪些资源被赋予了该终端用户。这样,通信系统10内的授权既可以被看作系统管理员对许可的预先建立,也可以被看作当计算机16a~16d中的任一个的终端用户试图进行访问时,对已经建立的许可值的实际校验或认证。
验证通常是指判断终端用户事实上是否是他所宣称的用户的过程。在私有或公众网中,验证一般可以例如通过使用唯一的数字证书或登录用户密码对或任何其他区别标识要素进行。用户知道密码则提供了这样一种假定:该终端用户是验证了的。计费服务和总体管理通常是指监视和记录计算机16a~16d的连网动作的能力。该用户或会话信息可以以特定部件或特定终端用户的配置文件(profile)形式被存储在通信系统10内。
验证服务器34还可以验证计算机16a~16d中的任一个,从而可以正确地忽略假信号,该假信号意思是将假的破坏性因素标识为在通信系统10内出现。在网络管理控制器14开始禁止被感染计算机18的通信能力之前,验证服务器34可以从网络管理控制器14接收请求执行验证功能的信号。验证服务器34可以通过适当地验证选定的计算机来响应该查询,所述计算机生成并传送将被感染计算机18标识为包含感染因素12的信号。
在本发明的一个具体实施例中,网络管理控制器14可以另外实现“拜占庭协约(Byzantine Agreement)”协议,其中多个计算机16a~16d必须在网络管理控制器14启动动作前生成并传送将被感染计算机18标识为包含感染因素12的信号。该“拜占庭协约”协议使得网络管理控制器14可以忽略假信号或非法信号,从而使得禁止被感染计算机18的通信能力的动作仅是在网络管理控制器14接收到至少两个标识感染因素12的信号(或某种合适的可配置号码)之后才被执行。
策略节点38是数据存储单元,其包括指定通信系统10内的单元可以访问和运行什么的协议。策略节点38可以被耦合到网络管理控制器14,并可以向其传送信息,它使得网络管理控制器14能够基于计算机16a~16d的具体限制或能力实现策略。策略节点38中所包含的策略可以例如是如下的条目:服务质量、访问/授权特权、高可用性、优先级或任何其他合适的网络增强或通信特征。
在本发明的一个具体实施例中,网络管理控制器14可以访问策略节点38,以获取关于提供给计算机16a~16d中的每个以及被感染计算机18的服务的信息。在发现被感染计算机18带有感染因素12的情况下,网络管理控制器14可以访问策略节点38,以禁止正在提供给被感染计算机18的这些策略或服务中的一个或多个,直至其适当地符合必需的安全参数。一旦在通信系统10内发现感染因素12,这就使得网络管理控制器14可以用另一种方式来处理被感染计算机18。这样,策略节点38提供直接影响与被感染计算机18相关的策略的能力,被感染计算机18因为破坏性因素的出现而被寻求受到限制。
图3是示出了根据本发明的一个实施例的与用于检测通信系统10内感染因素12的方法相关联的一系列步骤的流程图。该方法开始于步骤100,其中例如计算机16a的第一计算机通过对从被感染计算机18发送或以其他方式与被感染计算机18相关联的流量的检查,检测第二计算机(用于这一示例的被感染计算机18)内的感染因素12。感染因素12可以由病毒检测单元40检测,或通过监视由计算机18发送的网络流量被检测。
在步骤102,通信协议垫层42生成一个信号,该信号将被感染计算机18标识为与感染因素12相关联。该信号可以包括被感染计算机18的IP地址、感染因素12的破坏性因素类型、当遇到感染因素12时应该采取的补救措施,或者任何其他合适的与感染因素12的出现相关的信息。该信号可以被直接传送到被感染计算机18、传送到被耦合到内部网络24的若干部件中的任一个,或者传送到网络管理控制器14,如步骤104所示。
从步骤104,可以以不同的方式响应该信号,如步骤106和步骤108所示。在步骤106,信号被接收,并且被感染计算机18的通信能力可以被禁止。所述禁止可以包括去除或重分配与被感染计算机18相关联的地址。或者,在步骤108,被感染计算机18可以通过使用如上所述的沙盒、限制、隔离或包围技术被禁止。另外,被预先警告了由被感染计算机18传送的潜在有害因素、条目或主体的网络部件可以避免通信。网络管理控制器14还可以执行许多其他动作,以禁止被感染计算机18进一步通信。例如,网络管理控制器14可以访问策略节点38,以限制被提供给被感染计算机18的某些服务,或调用策略节点38去除被感染计算机18的IP地址。另外,网络管理控制器14可以向通信系统10内的部件广播报警信号,以注意来自被感染计算机18的通信。
虽然已经详细图示和描述了几个实施例,但是应当理解,可以在其中做出各种的替代和更改,而不脱离本发明的教导。例如,虽然已经参考网络应用描述了本发明的对等监视方法,但是通信系统10可以在任何寻求实现安全协议的环境中被实现,例如在无线网络、数据库体系结构或蜂窝电话应用中。这可以包括任何易于通过某种数字通信接收有害因素的设备或单元。
此外,虽然例如网络管理控制器14或通信协议垫层42的多种部件已经被图示为在通信系统10的指定位置,但是这些单元可以被放置在使得实现本发明合作信令方法的任何合适的位置或任何适当的结构内。本领域的技术人员可以想到多种其他的改变、替代、变化、更改和修改,本发明包括了所有这些改变、替代、变化、更改和修改,它们都落在所附权利要求的精神和范围之内。
Claims (55)
1.一种用于检测网络环境中的感染因素的装置,所述装置包括:
第一计算机,所述第一计算机包括:
病毒检测单元,所述病毒检测单元可操作以检测第二计算机内的感染因素;和
通信协议垫层,所述通信协议垫层可操作以生成并传送将所述第二计算机标识为与所述感染因素相关联的信号,其中,所述信号包括与所述第二计算机相关联的地址;和
网络管理控制器,所述网络管理控制器被耦合到所述第一计算机,并可操作以接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
2.根据权利要求1所述的装置,还包括路由器,所述路由器耦合到所述网络管理控制器,并且可操作以从所述第一和第二计算机的每一个接收一个或多个数据分组,其中所述路由器可操作以引导所述分组到下一目标,以及可操作以禁止所述第二计算机的所述通信能力。
3.根据权利要求1所述的装置,还包括防火墙,所述防火墙耦合到所述网络管理控制器,并且可操作以监视从外部网络向所述第一和第二计算机中被选定的一个传播的数据,其中所述防火墙还可操作以限制破坏性数据段被传送到所述第一和第二计算机,以及可操作以禁止所述第二计算机的所述通信能力。
4.根据权利要求1所述的装置,还包括交换机,所述交换机耦合到所述网络管理控制器,并且可操作以接收和向下一目标引导从所述第一和第二计算机收到的一个或多个数据分组,所述交换机还可操作以禁止所述第二计算机的所述通信能力。
5.根据权利要求1所述的装置,其中,所述网络管理控制器通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,禁止所述第二计算机的所述通信能力,使得所述第二计算机不能将所述感染因素传送到下一目标。
6.根据权利要求1所述的装置,还包括补救站点,其中所述网络管理控制器通过将所述第二计算机引导到所述补救站点,禁止所述第二计算机的所述通信能力,直至所述感染因素从所述第二计算中被去除,所述补救站点可操作以帮助从所述第二计算机中去除所述感染因素。
7.根据权利要求1所述的装置,其中,所述信号包括从由下列内容组成的组中选取的表征所述感染因素的信息:
a)木马;
b)蠕虫;和
c)病毒。
8.根据权利要求1所述的装置,其中,所述通信协议垫层将所述信号传送给第三计算机,所述第三计算机可操作以接收所述信号,以及可操作以识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被所述第三计算机认出并拒绝,直至所述感染因素被去除。
9.根据权利要求1所述的装置,其中,所述通信协议垫层将所述信号传送到所述第二计算机。
10.根据权利要求1所述的装置,其中,所述网络管理控制器通过传送报警信号到一个或多个网络部件来响应接收到所述信号,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
11.根据权利要求1所述的装置,还包括验证服务器,所述验证服务器耦合到所述网络管理控制器,并且可操作以在禁止所述第二计算机的所述通信能力之前验证所述第一计算机。
12.根据权利要求1所述的装置,还包括广播单元,所述广播单元耦合到所述网络管理控制器,并且可操作以基于由所述网络管理控制器传送的与所述感染因素相关联的信息,生成并向一个或多个网络部件发送报警信号,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
13.根据权利要求1所述的装置,还包括策略节点,所述策略节点耦合到所述网络管理控制器,并且可操作以向所述第一和第二计算机中的每个提供一个或多个网络服务,所述策略节点通过限制被提供给所述第一和第二计算机的所述网络服务中的一个或多个来响应来自所述网络管理控制器的指示。
14.根据权利要求1所述的装置,还包括第三计算机,所述第三计算机包括:
病毒检测单元,所述病毒检测单元可操作以检测所述第二计算机内的所述感染因素;和
通信协议垫层,所述通信协议垫层可操作以生成和传送将所述第二计算机标识为与所述感染因素相关联的另外的信号,其中所述网络管理控制器在所述两个信号都被接收到后,禁止所述第二计算机的所述通信能力。
15.一种用于检测网络环境中的感染因素的方法,所述方法包括:
由第一计算机检测第二计算机内的感染因素;
生成并传送将所述第二计算机标识为与所述感染因素相关联的信号,其中所述信号包括与所述第二计算机相关联的地址;以及
接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
16.根据权利要求15所述的方法,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
17.根据权利要求15所述的方法,其中,通过将所述第二计算机引导到补救站点,所述第二计算机的所述通信能力被禁止,直至所述感染因素从所述第二计算机中被去除,所述补救站点可操作以帮助从所述第二计算机中去除所述感染因素。
18.根据权利要求15所述的方法,还包括传送所述信号到第三计算机,所述第三计算机可操作以接收所述信号,并且可操作以识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被所述第三计算机认出并拒绝,直至所述感染因素被去除。
19.根据权利要求15所述的方法,还包括传送所述信号到所述第二计算机。
20.根据权利要求15所述的方法,还包括通过传送报警信号到一个或多个网络部件来响应接收到所述信号,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
21.根据权利要求15所述的方法,还包括在禁止所述第二计算机的所述通信能力之前验证所述第一计算机。
22.根据权利要求15所述的方法,还包括:
向所述第一和第二计算机中的每个提供一个或多个网络服务;以及
基于所述感染因素的位置,限制被提供给所述第一和第二计算机的所述网络服务中的一个或多个。
23.根据权利要求15所述的方法,还包括:
由第三计算机生成和传送将所述第二计算机标识为与所述感染因素相关联的另外的信号;以及
在所述两个信号都被接收到后,禁止所述第二计算机的所述通信能力。
24.一种用于检测网络环境中的感染因素的方法,所述方法包括:
基于第一计算机和第二计算机之间的通信,由所述第一计算机检测所述第二计算机处的感染因素;
生成并传送将所述第二计算机标识为与所述感染因素相关联的信号,其中所述信号包括与所述第二计算机相关联的地址;以及
接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
25.根据权利要求24所述的方法,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
26.根据权利要求24所述的方法,其中,通过将所述第二计算机引导到补救站点,所述第二计算机的所述通信能力被禁止,直至所述感染因素从所述第二计算机中被去除,所述补救站点可操作以帮助从所述第二计算机中去除所述感染因素。
27.根据权利要求24所述的方法,还包括:
由第三计算机接收所述信号:
识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被认出;以及
由所述第三计算机拒绝来自所述第二计算机的所述通信,直至所述感染因素从所述第二计算机中被去除。
28.根据权利要求24所述的方法,还包括通过传送报警信号到一个或多个网络部件来响应接收到所述信号,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
29.根据权利要求24所述的方法,还包括:
向所述第一和第二计算机中的每个提供一个或多个网络服务;以及
基于所述感染因素的位置,限制被提供给所述第一和第二计算机的所述网络服务中的一个或多个。
30.根据权利要求24所述的方法,还包括:
由第三计算机检测所述第二计算机内的所述感染因素;
生成和传送将所述第二计算机标识为与所述感染因素相关联的另外的信号;以及
在所述两个信号都被接收到后,禁止所述第二计算机的所述通信能力。
31.一种用于检测网络环境中的感染因素的系统,所述系统包括:
用于由第一计算机检测第二计算机内的感染因素的装置;
用于生成并传送将所述第二计算机标识为与所述感染因素相关联的信号的装置,其中所述信号包括与所述第二计算机相关联的地址;和
用于接收所述信号以及响应于所述信号而禁止所述第二计算机的通信能力的装置。
32.根据权利要求31所述的系统,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
33.根据权利要求31所述的系统,其中,通过将所述第二计算机引导到用于从所述第二计算机中去除所述感染因素的装置,所述第二计算机的所述通信能力被禁止。
34.根据权利要求31所述的系统,还包括用于将所述信号传送到第三计算机的装置,所述第三计算机可操作以接收所述信号,并且可操作以识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被所述第三计算机认出并拒绝,直至所述感染因素被去除。
35.根据权利要求31所述的系统,还包括用于将所述信号传送到所述第二计算机的装置。
36.根据权利要求31所述的系统,还包括用于通过传送报警信号到一个或多个网络部件来响应接收到所述信号的装置,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
37.根据权利要求31所述的系统,还包括用于在禁止所述第二计算机的所述通信能力之前验证所述第一计算机的装置。
38.根据权利要求31所述的系统,还包括:
用于由第三计算机生成和传送将所述第二计算机标识为与所述感染因素相关联的另外的信号的装置;和
用于在所述两个信号都被接收到后禁止所述第二计算机的所述通信能力的装置。
39.一种用于检测网络环境中的感染因素的系统,所述系统包括:
用于基于第一计算机和第二计算机之间的通信,由所述第一计算机检测所述第二计算机处的感染因素的装置;
用于生成并传送将所述第二计算机标识为与所述感染因素相关联的信号的装置,其中所述信号包括与所述第二计算机相关联的地址;和
用于接收所述信号以及响应于所述信号禁止所述第二计算机的通信能力的装置。
40.根据权利要求39所述的系统,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
41.根据权利要求39所述的系统,其中,通过将所述第二计算机引导到用于从所述第二计算机中去除所述感染因素的装置,所述第二计算机的所述通信能力被禁止。
42.根据权利要求39所述的系统,还包括:
用于由第三计算机接收所述信号的装置:
用于识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被认出的装置;和
用于由所述第三计算机拒绝来自所述第二计算机的所述通信,直至所述感染因素从所述第二计算机中被去除的装置。
43.根据权利要求39所述的系统,还包括用于通过传送报警信号到一个或多个网络部件来响应接收到所述信号的装置,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
44.一种用于检测网络环境中的感染因素的软件,所述软件被包含在计算机可读介质中,并且可操作以:
由第一计算机检测第二计算机内的感染因素;
生成并传送将所述第二计算机标识为与所述感染因素相关联的信号,其中所述信号包括与所述第二计算机相关联的地址;以及
接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
45.根据权利要求44所述的软件,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
46.根据权利要求44所述的软件,其中,通过将所述第二计算机引导到用于从所述第二计算机中去除所述感染因素的软件,所述第二计算机的所述通信能力被禁止。
47.根据权利要求44所述的软件,还可操作以传送所述信号到第三计算机,所述第三计算机可操作以接收所述信号,并且可操作以识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被所述第三计算机认出并拒绝,直至所述感染因素被去除。
48.根据权利要求44所述的软件,还可操作以传送所述信号到所述第二计算机。
49.根据权利要求44所述的软件,还可操作以通过传送报警信号到一个或多个网络部件来响应接收到所述信号,所述报警信号包括与所述感染因素相关联的所述第二计算机的所述地址。
50.根据权利要求44所述的软件,还可操作以在禁止所述第二计算机的所述通信能力之前验证所述第一计算机。
51.根据权利要求44所述的软件,还可操作以:
由第三计算机生成和传送将所述第二计算机标识为与所述感染因素相关联的另外的信号;以及
在所述两个信号都被接收到后,禁止所述第二计算机的所述通信能力。
52.一种用于检测网络环境中的感染因素的软件,所述软件被包含在计算机可读介质中,并且可操作以:
基于第一计算机和第二计算机之间的通信,由所述第一计算机检测所述第二计算机处的感染因素;
生成并传送将所述第二计算机标识为与所述感染因素相关联的信号,其中所述信号包括与所述第二计算机相关联的地址;以及
接收所述信号,以及响应于所述信号,禁止所述第二计算机的通信能力。
53.根据权利要求52所述的软件,其中,通过执行对与所述第二计算机相关联的地址的去除和重分配中的选定的一种,所述第二计算机的所述通信能力被禁止,使得所述第二计算机不能将所述感染因素传送到下一目标。
54.根据权利要求52所述的软件,其中,通过将所述第二计算机引导到补救站点,所述第二计算机的所述通信能力被禁止,直至所述感染因素从所述第二计算机中被去除,所述补救站点可操作以帮助从所述第二计算机中去除所述感染因素。
55.根据权利要求52所述的软件,还可操作以:
由第三计算机接收所述信号;
识别所述第二计算机的所述地址,使得来自所述第二计算机的通信被认出;以及
由所述第三计算机拒绝来自所述第二计算机的所述通信,直至所述感染因素从所述第二计算机中被去除。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/119,934 US7137145B2 (en) | 2002-04-09 | 2002-04-09 | System and method for detecting an infective element in a network environment |
| US10/119,934 | 2002-04-09 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1705924A true CN1705924A (zh) | 2005-12-07 |
| CN100337172C CN100337172C (zh) | 2007-09-12 |
Family
ID=28674619
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB038078899A Expired - Fee Related CN100337172C (zh) | 2002-04-09 | 2003-04-02 | 用于检测网络环境中感染因素的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US7137145B2 (zh) |
| EP (1) | EP1532503A2 (zh) |
| CN (1) | CN100337172C (zh) |
| AU (1) | AU2003222180B2 (zh) |
| CA (1) | CA2480455C (zh) |
| WO (1) | WO2003088017A2 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262363B (zh) * | 2006-12-29 | 2012-01-11 | 英特尔公司 | 平台脆弱性评估用的嵌入式机制 |
Families Citing this family (84)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7089591B1 (en) | 1999-07-30 | 2006-08-08 | Symantec Corporation | Generic detection and elimination of marco viruses |
| US20040162066A1 (en) * | 2001-11-02 | 2004-08-19 | Ravi Kuchibhotla | Isolation and remediation of a communication device |
| US7155742B1 (en) | 2002-05-16 | 2006-12-26 | Symantec Corporation | Countering infections to communications modules |
| US7367056B1 (en) | 2002-06-04 | 2008-04-29 | Symantec Corporation | Countering malicious code infections to computer files that have been infected more than once |
| US7418729B2 (en) | 2002-07-19 | 2008-08-26 | Symantec Corporation | Heuristic detection of malicious computer code by page tracking |
| US7380277B2 (en) | 2002-07-22 | 2008-05-27 | Symantec Corporation | Preventing e-mail propagation of malicious computer code |
| US7478431B1 (en) | 2002-08-02 | 2009-01-13 | Symantec Corporation | Heuristic detection of computer viruses |
| US7467408B1 (en) * | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
| US7159149B2 (en) * | 2002-10-24 | 2007-01-02 | Symantec Corporation | Heuristic detection and termination of fast spreading network worm attacks |
| US20040093514A1 (en) * | 2002-11-08 | 2004-05-13 | International Business Machines Corporation | Method for automatically isolating worm and hacker attacks within a local area network |
| US7249187B2 (en) | 2002-11-27 | 2007-07-24 | Symantec Corporation | Enforcement of compliance with network security policies |
| US20040111531A1 (en) * | 2002-12-06 | 2004-06-10 | Stuart Staniford | Method and system for reducing the rate of infection of a communications network by a software worm |
| US8122498B1 (en) | 2002-12-12 | 2012-02-21 | Mcafee, Inc. | Combined multiple-application alert system and method |
| US8312535B1 (en) * | 2002-12-12 | 2012-11-13 | Mcafee, Inc. | System, method, and computer program product for interfacing a plurality of related applications |
| US8239941B1 (en) | 2002-12-13 | 2012-08-07 | Mcafee, Inc. | Push alert system, method, and computer program product |
| US8990723B1 (en) | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
| US7631353B2 (en) * | 2002-12-17 | 2009-12-08 | Symantec Corporation | Blocking replication of e-mail worms |
| US7356601B1 (en) * | 2002-12-18 | 2008-04-08 | Cisco Technology, Inc. | Method and apparatus for authorizing network device operations that are requested by applications |
| US7296293B2 (en) | 2002-12-31 | 2007-11-13 | Symantec Corporation | Using a benevolent worm to assess and correct computer security vulnerabilities |
| US7203959B2 (en) | 2003-03-14 | 2007-04-10 | Symantec Corporation | Stream scanning through network proxy servers |
| GB0307913D0 (en) * | 2003-04-05 | 2003-05-14 | Hewlett Packard Development Co | Management of peer-to-peer network using reputation services |
| GB2400200A (en) * | 2003-04-05 | 2004-10-06 | Hewlett Packard Development Co | Use of nodes to monitor or manage peer to peer network |
| US8271774B1 (en) | 2003-08-11 | 2012-09-18 | Symantec Corporation | Circumstantial blocking of incoming network traffic containing code |
| WO2005032042A1 (en) | 2003-09-24 | 2005-04-07 | Infoexpress, Inc. | Systems and methods of controlling network access |
| US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| JP4152866B2 (ja) * | 2003-11-19 | 2008-09-17 | 株式会社日立製作所 | 記憶装置、記憶装置システム、および、通信制御方法 |
| US7533407B2 (en) * | 2003-12-16 | 2009-05-12 | Microsoft Corporation | System and methods for providing network quarantine |
| US7607021B2 (en) * | 2004-03-09 | 2009-10-20 | Cisco Technology, Inc. | Isolation approach for network users associated with elevated risk |
| US8543710B2 (en) * | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
| US7337327B1 (en) | 2004-03-30 | 2008-02-26 | Symantec Corporation | Using mobility tokens to observe malicious mobile code |
| US20050267954A1 (en) * | 2004-04-27 | 2005-12-01 | Microsoft Corporation | System and methods for providing network quarantine |
| US7370233B1 (en) | 2004-05-21 | 2008-05-06 | Symantec Corporation | Verification of desired end-state using a virtual machine environment |
| US20050273853A1 (en) * | 2004-05-24 | 2005-12-08 | Toshiba America Research, Inc. | Quarantine networking |
| US7624445B2 (en) * | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
| KR100599451B1 (ko) * | 2004-07-23 | 2006-07-12 | 한국전자통신연구원 | 이동형 저장장치를 이용한 인터넷 웜 치료 및 시스템 패치장치 및 그 방법 |
| US7765594B1 (en) * | 2004-08-18 | 2010-07-27 | Symantec Corporation | Dynamic security deputization |
| US7441042B1 (en) | 2004-08-25 | 2008-10-21 | Symanetc Corporation | System and method for correlating network traffic and corresponding file input/output traffic |
| US7690034B1 (en) | 2004-09-10 | 2010-03-30 | Symantec Corporation | Using behavior blocking mobility tokens to facilitate distributed worm detection |
| US9398037B1 (en) * | 2004-09-27 | 2016-07-19 | Radix Holdings, Llc | Detecting and processing suspicious network communications |
| US20060085850A1 (en) * | 2004-10-14 | 2006-04-20 | Microsoft Corporation | System and methods for providing network quarantine using IPsec |
| US7313878B2 (en) * | 2004-11-05 | 2008-01-01 | Tim Clegg | Rotary pop-up envelope |
| US8104086B1 (en) | 2005-03-03 | 2012-01-24 | Symantec Corporation | Heuristically detecting spyware/adware registry activity |
| CN1330131C (zh) * | 2005-06-10 | 2007-08-01 | 广东省电信有限公司研究院 | 一种交互式的网络蠕虫检测系统和方法 |
| US20070056039A1 (en) * | 2005-09-07 | 2007-03-08 | Hormuzd Khosravi | Memory filters to aid system remediation |
| US7590733B2 (en) * | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
| US7496608B2 (en) * | 2005-10-07 | 2009-02-24 | International Business Machines Corporation | Online system and method for restoring electronic media on electronic storage devices |
| CN100464548C (zh) * | 2005-10-10 | 2009-02-25 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
| US7526677B2 (en) * | 2005-10-31 | 2009-04-28 | Microsoft Corporation | Fragility handling |
| US7827545B2 (en) * | 2005-12-15 | 2010-11-02 | Microsoft Corporation | Dynamic remediation of a client computer seeking access to a network with a quarantine enforcement policy |
| US20070198525A1 (en) * | 2006-02-13 | 2007-08-23 | Microsoft Corporation | Computer system with update-based quarantine |
| US20070192858A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
| US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
| JP2007265023A (ja) * | 2006-03-28 | 2007-10-11 | Fujitsu Ltd | 情報処理装置及びその管理方法並びに管理プログラム |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
| US8091134B2 (en) * | 2006-11-29 | 2012-01-03 | Lenovo (Singapore) Pte. Ltd. | System and method for autonomic peer-to-peer virus inoculation |
| US8176561B1 (en) * | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
| US8898276B1 (en) | 2007-01-11 | 2014-11-25 | Crimson Corporation | Systems and methods for monitoring network ports to redirect computing devices to a protected network |
| US8910289B1 (en) | 2007-01-31 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Automatic hardening of an uncompromised computer node |
| US7870609B2 (en) * | 2007-06-29 | 2011-01-11 | Microsoft Corporation | Detection and removal of undesirable items in a data processing environment |
| US9225684B2 (en) | 2007-10-29 | 2015-12-29 | Microsoft Technology Licensing, Llc | Controlling network access |
| US8789159B2 (en) * | 2008-02-11 | 2014-07-22 | Microsoft Corporation | System for running potentially malicious code |
| US8874706B2 (en) * | 2010-03-02 | 2014-10-28 | Bank Of America Corporation | Quarantine tool |
| US9053032B2 (en) | 2010-05-05 | 2015-06-09 | Microsoft Technology Licensing, Llc | Fast and low-RAM-footprint indexing for data deduplication |
| US8935487B2 (en) | 2010-05-05 | 2015-01-13 | Microsoft Corporation | Fast and low-RAM-footprint indexing for data deduplication |
| US9251494B2 (en) * | 2010-11-05 | 2016-02-02 | Atc Logistics & Electronics, Inc. | System and method for tracking customer personal information in a warehouse management system |
| US9208472B2 (en) | 2010-12-11 | 2015-12-08 | Microsoft Technology Licensing, Llc | Addition of plan-generation models and expertise by crowd contributors |
| US9110936B2 (en) | 2010-12-28 | 2015-08-18 | Microsoft Technology Licensing, Llc | Using index partitioning and reconciliation for data deduplication |
| JP5739182B2 (ja) | 2011-02-04 | 2015-06-24 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 制御システム、方法およびプログラム |
| JP5731223B2 (ja) | 2011-02-14 | 2015-06-10 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知装置、監視制御システム、異常検知方法、プログラムおよび記録媒体 |
| JP5689333B2 (ja) * | 2011-02-15 | 2015-03-25 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 異常検知システム、異常検知装置、異常検知方法、プログラムおよび記録媒体 |
| US8881258B2 (en) * | 2011-08-24 | 2014-11-04 | Mcafee, Inc. | System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy |
| US8935750B2 (en) * | 2011-10-03 | 2015-01-13 | Kaspersky Lab Zao | System and method for restricting pathways to harmful hosts in computer networks |
| US9853995B2 (en) | 2012-11-08 | 2017-12-26 | AO Kaspersky Lab | System and method for restricting pathways to harmful hosts in computer networks |
| US9398035B2 (en) | 2013-12-31 | 2016-07-19 | Cisco Technology, Inc. | Attack mitigation using learning machines |
| US9294488B2 (en) | 2013-12-31 | 2016-03-22 | Cisco Technology, Inc. | Control loop control using broadcast channel to communicate with a node under attack |
| US9286473B2 (en) | 2013-12-31 | 2016-03-15 | Cisco Technology, Inc. | Quarantine-based mitigation of effects of a local DoS attack |
| US20150200964A1 (en) * | 2014-01-13 | 2015-07-16 | Safe Frontier Llc | Method and apparatus for advanced security of an embedded system and receptacle media |
| CA3036007A1 (en) * | 2016-06-16 | 2017-12-21 | Beestripe Llc | Method for identifying and removing malicious software |
| US10795998B2 (en) | 2018-03-02 | 2020-10-06 | Cisco Technology, Inc. | Dynamic routing of files to a malware analysis system |
| US20230007913A1 (en) * | 2020-01-07 | 2023-01-12 | Hewlett-Packard Development Company, L.P. | Rendering of unsafe webpages |
| CN111865974A (zh) * | 2020-07-17 | 2020-10-30 | 上海国际技贸联合有限公司 | 一种网络安全防御系统及方法 |
| US11386197B1 (en) | 2021-01-11 | 2022-07-12 | Bank Of America Corporation | System and method for securing a network against malicious communications through peer-based cooperation |
| US11641366B2 (en) | 2021-01-11 | 2023-05-02 | Bank Of America Corporation | Centralized tool for identifying and blocking malicious communications transmitted within a network |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
| US5889943A (en) * | 1995-09-26 | 1999-03-30 | Trend Micro Incorporated | Apparatus and method for electronic mail virus detection and elimination |
| US6120539A (en) * | 1997-05-01 | 2000-09-19 | C. R. Bard Inc. | Prosthetic repair fabric |
| JP3437065B2 (ja) * | 1997-09-05 | 2003-08-18 | 富士通株式会社 | ウイルス駆除方法,情報処理装置並びにウイルス駆除プログラムが記録されたコンピュータ読取可能な記録媒体 |
| US6321336B1 (en) * | 1998-03-13 | 2001-11-20 | Secure Computing Corporation | System and method for redirecting network traffic to provide secure communication |
| US20040078295A1 (en) * | 2000-12-29 | 2004-04-22 | Kuang-Shin Lin | Method for purchases through a network |
| US20030023857A1 (en) * | 2001-07-26 | 2003-01-30 | Hinchliffe Alexander James | Malware infection suppression |
| US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
-
2002
- 2002-04-09 US US10/119,934 patent/US7137145B2/en not_active Expired - Fee Related
-
2003
- 2003-04-02 AU AU2003222180A patent/AU2003222180B2/en not_active Ceased
- 2003-04-02 WO PCT/US2003/010164 patent/WO2003088017A2/en active IP Right Grant
- 2003-04-02 CN CNB038078899A patent/CN100337172C/zh not_active Expired - Fee Related
- 2003-04-02 CA CA2480455A patent/CA2480455C/en not_active Expired - Fee Related
- 2003-04-02 EP EP03718174A patent/EP1532503A2/en not_active Withdrawn
-
2006
- 2006-09-01 US US11/469,492 patent/US7653941B2/en not_active Expired - Fee Related
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101262363B (zh) * | 2006-12-29 | 2012-01-11 | 英特尔公司 | 平台脆弱性评估用的嵌入式机制 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7137145B2 (en) | 2006-11-14 |
| WO2003088017A3 (en) | 2005-03-24 |
| CA2480455C (en) | 2010-07-13 |
| US20070106786A1 (en) | 2007-05-10 |
| US20030191966A1 (en) | 2003-10-09 |
| CA2480455A1 (en) | 2003-10-23 |
| AU2003222180A1 (en) | 2003-10-27 |
| WO2003088017A2 (en) | 2003-10-23 |
| AU2003222180B2 (en) | 2007-05-24 |
| CN100337172C (zh) | 2007-09-12 |
| EP1532503A2 (en) | 2005-05-25 |
| US7653941B2 (en) | 2010-01-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100337172C (zh) | 用于检测网络环境中感染因素的系统和方法 | |
| US6745333B1 (en) | Method for detecting unauthorized network access by having a NIC monitor for packets purporting to be from itself | |
| US8230505B1 (en) | Method for cooperative intrusion prevention through collaborative inference | |
| Srivastava et al. | A recent survey on DDoS attacks and defense mechanisms | |
| Wheeler et al. | Techniques for cyber attack attribution | |
| US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| US20070294759A1 (en) | Wireless network control and protection system | |
| US20060282893A1 (en) | Network information security zone joint defense system | |
| EP1319296B1 (en) | System and process for defending against denial of service attacks on networks nodes | |
| US20040103314A1 (en) | System and method for network intrusion prevention | |
| US20070150934A1 (en) | Dynamic Network Identity and Policy management | |
| US20080134300A1 (en) | Method for Improving Security of Computer Networks | |
| WO2006049814A2 (en) | Intrusion detection in a data center environment | |
| JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
| JP2004302538A (ja) | ネットワークセキュリティシステム及びネットワークセキュリティ管理方法 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| CN106790134B (zh) | 一种视频监控系统的访问控制方法及安全策略服务器 | |
| WO2005065023A2 (en) | Internal network security | |
| Chau | Network security–defense against DoS/DDoS attacks | |
| JP2011030223A (ja) | フロー別の動的接近制御システム及び方法 | |
| Holik | Protecting IoT Devices with Software-Defined Networks | |
| Selvaraj et al. | Enhancing intrusion detection system performance using firecol protection services based honeypot system | |
| KR101143368B1 (ko) | 분산형 DDos 방어 시스템 및 이를 이용한 방어 방법 | |
| KR100644008B1 (ko) | 불허 인터넷 사이트 접근 봉쇄 방법 | |
| Alaa et al. | A proposed firewall security method against different types of attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20070912 Termination date: 20180402 |