CN1768516A - 智能集成网络安全设备 - Google Patents
智能集成网络安全设备 Download PDFInfo
- Publication number
- CN1768516A CN1768516A CN200480008628.0A CN200480008628A CN1768516A CN 1768516 A CN1768516 A CN 1768516A CN 200480008628 A CN200480008628 A CN 200480008628A CN 1768516 A CN1768516 A CN 1768516A
- Authority
- CN
- China
- Prior art keywords
- discharge record
- information
- equipment
- packet
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 41
- 238000004590 computer program Methods 0.000 claims abstract description 36
- 239000000284 extract Substances 0.000 claims abstract description 14
- 230000008569 process Effects 0.000 claims abstract description 14
- 230000008878 coupling Effects 0.000 claims description 15
- 238000010168 coupling process Methods 0.000 claims description 15
- 238000005859 coupling reaction Methods 0.000 claims description 15
- 238000012545 processing Methods 0.000 claims description 14
- 238000003860 storage Methods 0.000 claims description 9
- 230000002265 prevention Effects 0.000 claims description 7
- 238000001514 detection method Methods 0.000 claims description 5
- 238000007689 inspection Methods 0.000 claims description 4
- 230000004048 modification Effects 0.000 claims description 4
- 238000012986 modification Methods 0.000 claims description 4
- 230000007704 transition Effects 0.000 claims description 3
- 230000010365 information processing Effects 0.000 claims 2
- 238000004891 communication Methods 0.000 description 6
- 230000009545 invasion Effects 0.000 description 5
- 230000008521 reorganization Effects 0.000 description 4
- 230000000712 assembly Effects 0.000 description 3
- 238000000429 assembly Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 3
- 238000000605 extraction Methods 0.000 description 3
- 230000008901 benefit Effects 0.000 description 2
- 230000002950 deficient Effects 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000003287 optical effect Effects 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 101000911390 Homo sapiens Coagulation factor VIII Proteins 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000005111 flow chemistry technique Methods 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 102000057593 human F8 Human genes 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000203 mixture Substances 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 229940047431 recombinate Drugs 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
- H04L63/0218—Distributed architectures, e.g. distributed firewalls
Abstract
描述了用于处理数据分组的方法、计算机程序产品和装置。该方法包括以下步骤:接收该数据分组;检查该数据分组;确定与该分组关联的单一流量记录;以及从该单一流量记录中抽取两台或多台设备的流量指令。
Description
技术领域
本发明涉及用于控制计算机网络安全的方法。
背景技术
防火墙和入侵检测系统是用来保护计算机网络免于非授权或破坏性用户访问的设备。可以使用防火墙来保护局域网不受该局域网外部的用户访问。防火墙检查、路由并且常常标记发送到局域网外部的用户或局域网外部的用户发送的所有信息。可以使用入侵检测系统(IDS)来检查正在网络内传送的信息以识别可疑行为模式。可以使用IDS获得的信息来阻止非授权或破坏性用户访问网络。入侵预防系统(IPS)是IDS的内嵌方式。可以使用IPS来检查正在网络内传送的信息以识别可疑行为模式。
基于流量的路由器(FBR)允许不同网络管理员依照某个网络管理员定义的网络策略实现分组转发和路由。FBR允许不同网络管理员实现通过网络中的特定路径选择性地路由分组的策略。也可以使用FBR来确保在路由分组时某些类型的分组接收有差别的优先服务。常规路由器能够根据可用路由信息向其目的地址转发分组。FBR可以使网络管理员实现以下路由策略,即,根据包括应用、协议、分组大小和终端系统之身份在内的多种其它标准允许或拒绝分组,而不是仅仅根据目的地址进行路由。
分组过滤器能够对网络层上的数据起作用,以保护可信任的网络免于不可信任的网络的攻击。分组过滤器可以在网络层上运行以检查TCP/IP报头的各个字段,包括协议类型、源和目的IP地址以及源和目的端口号。分组过滤器的缺点是速度慢,并且大型网络中的安全策略管理非常复杂。由于分组过滤器不知道指定通信信息的上下文,所以分组过滤器本身不能提供强壮的保护。另外,分组过滤器不检查应用层的数据,所以分组过滤器很容易受到使用应用层的尝试安全入侵的攻击。
代理服务器可以对应用层传送的数值起作用,以隔离可信任的网络和不可信任的网络。在应用代理服务器中,建立两个TCP连接:一个在分组信源和代理服务器之间,另一个在代理服务器和分组目的地之间。应用代理服务器可以代表目的服务器接收到达的分组。代理服务器可以组合并检查这些应用数据,可以打开代理服务器和目的服务器之间的第二TCP连接以便向目的服务器转发允许的分组。由于在应用层检查分组需要额外的协议栈开销,所以代理服务器可能较慢。此外,由于每个应用都需要唯一代理,所以代理服务器的实现可能很复杂并且很难进行修改以支持新的应用。另外,由于代理服务器仅仅检查应用分组,所以代理服务器未必能够检测TCP层或网络层上的尝试网络安全入侵。
发明内容
本发明提供用于处理数据分组和用于实现计算机网络安全的方法和装置,包括计算机程序产品。
本发明的优点包括以下特征中的一个或多个特征。可以使用所公开的技术来检测尝试的网络安全入侵并且可能阻止与该安全入侵有关的当前分组。所公开的技术可以提供强壮、有效的网络安全并且包括多种安全设备,但只有一个流量表。网络安全信息是从其它网络安全设备中获取的并且存储在该流量表中的单一流量记录内。通过使用单一流量记录来确定是否允许分组能够导致更快的响应时间。
附图和下面的详细说明书阐述本发明之一个或多个实现的细节。通过阅读详细说明书、附图和权利要求书,本发明的其它特征和优点将更加明显。
附图说明
图1表示包含会话模块的网络拓扑;
图2说明会话模块的框图;
图3表示流量表的结构;
图4是一个流程图,描述会话模块的操作;
图5是一个流程图,描述会话分类;
图6表示由会话模块生成的准重组信息;
图7表示防火墙中包含会话模块的网络拓扑;
图8表示会话模块与防火墙、IPS和路由器串联运行的网络拓扑;以及
图9表示单一安全设备中包含会话模块、防火墙、IPS和路由器的网络拓扑。
在不同附图中,相同参考号数和指示表示相同组成部分。
具体实施方式
图1表示包含局域网(LAN)(100)的网络拓扑,LAN 100包括服务器(102)、若干工作站(W/S)(104)和安全系统124。安全系统124包括会话模块122和多种其它安全设备。在所示实现中,安全系统124包括两个安全设备,第一安全设备106和第二安全设备108。LAN 100通过安全系统124与诸如因特网(114)之类的外部网络相连。并且LAN 100与第二个LAN(116)(通过路由器(118))和卫星120相连。第二个LAN 116包括web服务器(110)、电子邮件服务器(112)、服务器102、若干工作站104以及安全系统124。通过使用诸如电线、光纤和无线电波之类的多种数据传输介质,互连LAN内的计算机、服务器和其它设备。会话模块122监控正在该网络内传送的分组。在一种实现中,第一安全设备106是防火墙,而第二安全设备108是IPS。会话模块122可以与第一安全设备106和第二安全设备108一道起作用,以帮助阻止与尝试的网络安全入侵有关的分组。
图2表示会话模块122的框图。会话模块122包括用于接收分组的输入分组接口205。流量处理引擎(FPE)202分析所接收的分组以确定尝试的网络安全入侵是否正在进行。会话模块122还包括流量表215。流量表215用于存储与所接收的分组有关的流量方面的信息。会话模块122还包括该网络上的其它安全设备的接口。在一种实现中,会话模块122包括防火墙接口220、IPS接口225和流量路由器接口230。会话模块使用安全设备接口220获取有关所接收的分组的信息,与该分组关联的流量方面的信息,以便确定是否允许或修改所接收的分组。除此之外,会话模块122使用安全设备接口218传送安全设备所需的流量信息以方便分组的处理。
图3说明流量表300的结构。流量表300包括与当前的TCP/IP流量关联的流量记录302。TCP/IP流量包括在一个方向上在源和目的地之间传送信息的数据分组序列。利用索引关键字305给流量记录编排索引。利用索引关键字305来存储和检索与所接收的分组关联的适合流量记录。在一种实现中,索引关键字305可以是哈希关键字,而流量表300可以用哈希表实现。会话模块122(图2)在同一流量记录中存储用于该网络上的两个或多个安全设备的指令。在会话模块122的一种实现中,在流量记录302中存储三个安全设备(即,设备310、315和320)的指令。流量记录302可以存储策略信息(应用于该流量的防火墙策略、IP策略等)以及该安全设备使用的其它信息,如加密参数、地址转换参数、薄记信息和统计信息。流量记录302也可以包括会话模块122所需的流量信息,以便确定是否允许该分组。此类信息包括实现网络策略所需的信息,网络策略如连接超时、时间记帐以及带宽使用率。指定序号为10/070,683,题目为“Multi-MethodGateway-Based Network Security Systems and Methods(多种方法的基于网关的网络安全系统和方法)”的共同未决共同拥有专利申请详细描述流量、会话和流量表,本文明确引用其内容作为参考。
图4是一个流程图,描述FPE 202(图2)的操作。现在参照图2和图4,会话模块接收输入分组(步骤400)。重组IP分组(步骤402)并且验证每个IP分组的IP报头(步骤403)。在验证步骤中,抽取于指定分组关联的IP报头并且检查抽取的IP报头以查找基础缺陷。此后,FPE 202确定是否允许该会话(步骤415)。
如果该分组是TCP报头(步骤404),则验证该TCP报头(步骤405)并且重组该TCP分组(步骤410)。验证处理包括抽取TCP报头数据并评估该报头以查找基础缺陷。会话模块122可以向其它安全设备传送在步骤410中产生的准重组信息,以帮助其它安全设备处理该分组。在“Multi-Method Gateway-Based Network SecuritySystems and Methods”和下文中详细描述重组。
在步骤415中,FPE 202通过使用与指定的所接收的分组关联的TCP/IP报头数据执行会话分类。会话模块122可以根据所获得的与所接收的分组关联的TCP/IP流量方面的信息和从流量表420中检索的信息确定是否允许该分组。另外,会话模块122可以使用诸如防火墙425、IPS 430或基于流量的路由器435之类的其它安全设备中的某个设备返回的信息。此外,会话模块122也可以方便安全设备的处理,其方法是当处理指定分组的设备需要流量信息时,向各设备传送该信息。最后,如果允许该分组,则FPE 202转发该分组(步骤440)。否则,在步骤445中用不同方式处理该分组。其它处理包括记录有关该分组的特定信息的日志,保存该分组,修改和/或丢弃该分组。由此完成FPE 202的操作的描述。
图5是一个流程图,表示会话分类(步骤415)中包含的步骤。会话分类步骤接收分组(步骤500)并且抽取用于确定是否允许该分组时所需的信息。抽取的信息包括源和目的IP地址、源和目的端口号以及协议(步骤505)。可以使用抽取的信息来搜索流量表(步骤510)以便确定该分组是否与已知的会话流量相关联。对于已知的会话流量,步骤510将在该流量表中生成匹配的流量记录(步骤515)。如果找到匹配的流量记录,则FPE 202(图2)可以从匹配的流量记录中抽取所接收的分组的TCP/IP会话信息(步骤520)。FPE 202通过使用在步骤520中获得的TCP/IP会话信息确定是否允许所接收的分组。更准确地说,FPE 202从匹配的流量记录中抽取信息,并向安全设备传送该信息(例如,传送流量记录中的会话ID,TCP/IP会话信息以及其它安全设备特有的信息)(步骤525)。根据来自安全设备的返回结果,FPE 202可以转发、丢弃、记录日志、存储、修改或按不同方式处理指定分组(步骤530)。
在步骤515中,如果在该流量表中找不到匹配的流量记录,则可以把所接收的分组和新的TCP/IP会话联系起来(步骤532)。对于新的TCP/IP会话,FPE 202可以为新建会话指派一个会话ID,并且FPE202可以与其它安全设备(例如,防火墙、IPS、流量路由器)通信,以确定与新建会话关联的分组的安全策略。例如,FPE 202可以从防火墙540中获取信息以便确定是否允许所接收的与新建会话关联的分组。FPE 202可以与IPS 545通信以便确定是否阻止所接收的分组,因为它与尝试的网络安全入侵的已知攻击签名匹配。FPE 202可以从流量路由器550中获取与新建会话关联的所有网络策略。FPE 202可以充当不同安全设备之间的仲裁器,并且使用或者从各个安全设备中或者从安全设备之组合中获取的信息确定是否允许与新的TCP/IP会话关联的分组。FPE 202可以使用从这些安全设备中获取的信息来创建新的流量记录并在流量表中存储新的流量记录(步骤555)。新的流量记录包括与所接收的分组关联的新建会话的TCP/IP会话信息以及所有其它特定安全设备信息。此后,正如连同图4描述的那样,FPE202可以方便与指定TCP/IP会话关联的所接收的分组的处理,包括从相应的流量记录中向安全设备传送会话ID、TCP/IP会话信息以及安全设备特有的信息。
正如连同图4描述的那样,除通过使用各种各样的安全设备确定所接收的分组是否与尝试的网络安全入侵相关联之外,会话模块还可以对所接收的TCP/IP分组执行准重组处理。图6表示该会话模块生成的准重组信息。准重组信息包括存储器中的指定分组的位置的指针600,以及包含流量中的分组的相对位置的信息的指针605。在一种实现中,IPS可以执行被动TCP/IP重组,并且可以使用该分组的位置的指针来确定该分组在该IPS内的位置。在另一种实现中,可以使用包含该流量中的该分组的相对位置的信息的指针来获得与该分组关联的TCP/IP报头中包含的TCP/IP序号。需要时可以向与会话模块122(图2)相连的安全设备传送准重组信息。安全设备可以使用准重组信息处理所接收的分组。
可以在许多不同网络拓扑中使用会话模块。图7表示将会话模块710集成到防火墙705中的网络拓扑。防火墙705包括与路由器720和IPS 715的接口。防火墙705接收来自外部网络接口700的分组。防火墙705与IPS 715通信,目的是根据已知的攻击签名确定是否阻止所接收的分组。如果防火墙705和IPS 715确定允许该分组通过,则防火墙705向路由器720发送所接收的分组。路由器720根据该路由器中存储的网络策略,通过使用内部网络接口725向其预定目的地转发输出分组。
图8表示通过使用会话模块实现计算机网络安全的选择配置。在本配置中,会话模块820与防火墙805、IPS 810和路由器815串联运行。利用防火墙805过滤通过使用外部网络接口800接收的分组,然后传送给路由器815。防火墙805还向IPS 810发送有关接收的分组的信息。IPS 810检查接收的分组,并且如果根据已知的攻击签名应该阻止所接收的分组,则通知会话模块820。路由器815向会话模块820发送该分组以便进一步处理。如果会话模块820确定应该允许所接收的分组,则它通过使用内部网络接口825向其预定目的地转发所接收的分组。
可以用数字电子电路,或用计算机硬件、固件、软件或其组合的方式,实现本发明。可以用计算机程序产品的方式实现本发明,计算机程序产品如计算机载体中包含的计算机程序,计算机载体如机器可读存储设备或传播信号,程序产品由数据处理装置执行或用来控制数据处理装置的操作,数据处理装置如可编程处理器、计算机或多台计算机。可以用任何形式的程序设计语言,包括编译或解释语言,来编写计算机程序,并且可以用任何方式进行部署,包括以单机程序的方式,或者以模块、组件、子程序、或适合在计算环境中使用的其它单元的方式进行部署。计算机程序可以部署为在一个站点的一台或多台计算机上运行,或者分发到利用通信网络互连的多个站点上。
可以利用执行计算机程序的一个或多个可编程处理器执行本发明的方法步骤,可编程处理器通过处理输入数据并生成输出执行本发明的功能。同样,可以利用专用逻辑电路,如FPGA(现场可编程门阵列)或ASIC(专用集成电路),来执行上述方法步骤或实现本发明的装置。
举例来说,适合执行计算机程序的处理器包括通用和专用微处理器,以及各种类型的数字计算机的任何一个或多个处理器。通常,处理器接收来自只读存储器或随机存取存储器或二者的指令和数据。计算机的主要元件是用于执行指令的处理器以及用于存储指令和数据的一个或多个存储设备。通常,计算机还包括或连接有用于存储数据的一个或多个海量存储设备,以便接收数据、传送数据或者接收并传送数据,海量存储设备如磁盘、磁光盘或光盘。适合于包含计算机程序指令和数据的信息载体包括各种形式的非易失存储器,举例来说,非易失存储器包括半导体存储设备,如EPROM、EEPROM和闪存设备;磁盘,如内部硬盘或可抽取磁盘;磁光盘;以及CD-ROM和DVD-ROM盘片。可以用专用逻辑电路补充或合并处理器和存储器。
可以在计算系统中实现本发明,计算系统包括诸如数据服务器之类的后端组件,诸如应用服务器之类的中间件组件,诸如客户计算机之类的前端组件,或此类后端、中间件或前端组件之任意组合,其中客户计算机具有图形用户界面或web浏览器,用户通过该图形用户界面或web浏览器与本发明的实现进行交互。可以利用诸如通信网络之类的任何形式或介质的数字数据通信互连该系统的各种组件。通信网络的例子包括局域网(LAN)和诸如因特网之类的广域网(WAN)。
计算机系统可以包括客户机和服务器。客户机和服务器通常彼此相距很远,并且通常通过通信网络进行交互。客户机和服务器的相互关系是由在各自计算机上运行的彼此具有客户机服务器关系的计算机程序引起的。
尽管本发明是用特定实施方式描述的。然而,应该理解,可以进行各种修改而并不背离本发明的实质和范围。例如,可以以不同顺序执行本发明的步骤而仍能获得所需结果。另外,可以将会话模块、IPS、防火墙和路由器集成到诸如图9所示配置之类的单一设备中。与一台或多台安全设备封装在一起的会话模块的其它配置也是可行的。因此,其它实施方式也在下述权利要求书的范围内。
Claims (50)
1.一种用于检查与计算机网络中的流量相关联的数据分组的方法,该计算机网络具有用于处理该分组的一台或多台设备,每个数据分组具有关联的报头数据,该方法包括以下步骤:
接收该数据分组;
检查该数据分组;
确定与该分组相关联的单一流量记录;以及
从该单一流量记录中抽取两台或多台设备的流量指令并将该指令转发给各自设备以方便该分组的处理。
2.权利要求1的方法,其中该设备为安全设备。
3.权利要求2的方法,其中该设备是从入侵检测系统、入侵预防系统、防火墙和基于流量的路由器中选择的。
4.权利要求1的方法,其中检查该数据分组包括检查有关报头数据以确定是否允许该数据分组。
5.权利要求1的方法,其中确定与该数据分组相关联的单一流量记录包括通过使用有关报头数据确定流量记录的位置。
6.权利要求1的方法,其中从该单一流量记录中抽取两台或多台设备的流量指令包括获取用于对存储器中的该数据分组进行定位的信息,以及用于提供该流量中的该数据分组的相对位置的信息。
7.权利要求1的方法,其中确定与该数据分组相关联的流量记录包括:
通过使用至少有关报头数据确定分组标识符;
通过使用该分组标识符评估流量表;
如果有匹配的流量表条目,则检索匹配的流量记录;
如果没有匹配的流量表条目,则创建新的流量记录;以及
将新的流量记录存储到该流量表中。
8.权利要求7的方法,其中从匹配的流量记录中抽取流量指令包括:
从匹配的流量记录中抽取会话ID和流量信息;以及
向该设备传送该会话ID和流量信息。
9.权利要求7的方法,其中创建新的流量记录包括:
创建新的会话ID;
从至少两台设备中抽取与该数据分组关联的设备特有的流量信息;以及
把新的会话ID与设备特有的流量信息和新的流量记录联系起来。
10.权利要求9的方法进一步包括,使用设备特有的流量信息创建每台设备的指令以处理该分组。
11.权利要求9的方法,其中一台或多台设备为安全设备,该方法进一步包括在该单一流量记录中存储每台安全设备的安全设备特有的流量信息以及新的会话ID。
12.权利要求1的方法进一步包括,使用抽取的流量信息处理两台或多台设备的每台设备中的数据分组。
13.权利要求1的方法,其中至少两台设备为安全设备,该方法进一步包括:
接收来自该安全设备的评估信息,该评估信息是处理该分组时在各自设备中生成的;以及
处理该分组包括使用该评估信息。
14.权利要求13的方法,其中处理该分组的步骤包括转发、丢弃、修改、记录日志或存储该分组中的一项或多项处理。
15.权利要求13的方法,其中该处理步骤包括确定是否转发该分组。
16.权利要求2的方法,其中该单一流量记录包括用于一台或多台安全设备的策略信息。
17.权利要求2的方法,其中该单一流量记录包括防火墙策略以及入侵预防系统策略。
18.权利要求1的方法,其中该单一流量记录包括供一台设备使用的加密参数。
19.权利要求1的方法,其中该单一流量记录包括地址转换参数。
20.权利要求1的方法,其中该单一流量记录包括薄记和统计信息。
21.权利要求1的方法,其中该单一流量记录包括用于描述应用于一台或多台设备使用的指定流量的策略的信息。
22.权利要求1的方法,其中该设备为安全设备并且该单一流量记录包括用于处理该分组的两台或多台设备使用的策略信息。
23.一种信息载体中包含的用于检查与计算机网络中的流量相关联的数据分组的计算机程序产品,该计算机网络具有用于处理数据分组的一台或多台设备,每个数据分组具有关联的报头数据,该计算机程序产品包括可以使数据处理设备执行以下处理的指令:
接收该数据分组;
检查该数据分组;
确定与该分组相关联的单一流量记录;以及
从该单一流量记录中抽取两台或多台设备的流量指令并将该指令转发给各自设备以方便该分组的处理。
24.权利要求23的计算机程序产品,其中该设备为安全设备。
25.权利要求24的计算机程序产品,其中该设备是从入侵检测系统、入侵预防系统、防火墙和基于流量的路由器中选择的。
26.权利要求23的计算机程序产品,其中检查该数据分组的指令包括检查有关报头数据以确定是否允许该数据分组的指令。
27.权利要求23的计算机程序产品,其中确定与该数据分组相关联的单一流量记录的指令包括通过使用有关报头数据确定流量记录的位置的指令。
28.权利要求23的计算机程序产品,其中从该单一流量记录中抽取两台或多台设备的流量指令的指令包括,获取用于对存储器中的该数据分组进行定位的信息以及用于提供该流量中的该数据分组的相对位置的信息的指令。
29.权利要求23的计算机程序产品,其中确定与该数据分组关联的流量记录的指令包括执行以下处理的指令:
通过使用至少有关报头数据确定分组标识符;
通过使用该分组标识符评估流量表;
如果有匹配的流量表条目,则检索匹配的流量记录;
如果没有匹配的流量表条目,则创建新的流量记录;以及
将新的流量记录存储到该流量表中。
30.权利要求29的计算机程序产品,其中从匹配的流量记录中抽取流量指令的指令包括执行以下处理的指令:
从匹配的流量记录中抽取会话ID和流量信息;以及
向该设备传送该会话ID和流量信息。
31.权利要求29的计算机程序产品,其中创建新的流量记录的指令包括执行以下处理的指令:
创建新的会话ID;
从至少两台设备中抽取与该数据分组关联的设备特有的流量信息;以及
把新的会话ID与设备特有的流量信息和新的流量记录联系起来。
32.权利要求31的计算机程序产品进一步包括执行以下处理的指令,使用设备特有的流量信息创建每台设备的指令以处理该分组。
33.权利要求31的计算机程序产品,其中一台或多台设备为安全设备,该计算机程序产品进一步包括执行以下处理的指令,在该单一流量记录中存储每台安全设备的安全设备特有的流量信息以及新的会话ID。
34.权利要求23的计算机程序产品进一步包括执行以下处理的指令,使用抽取的流量信息处理两台或多台设备的每台设备中的数据分组。
35.权利要求23的计算机程序产品,其中至少两台设备为安全设备,该计算机程序产品进一步包括执行以下处理的指令:
接收来自该安全设备的评估信息,该评估信息是处理该分组时在各自设备中生成的;以及
处理该分组包括使用该评估信息。
36.权利要求35的计算机程序产品,其中处理该分组的指令包括转发、丢弃、修改、记录日志或存储该分组中的一条或多条指令。
37.权利要求35的计算机程序产品,其中处理指令包括确定是否转发该分组的指令。
38.权利要求24的计算机程序产品,其中该单一流量记录包括用于一台或多台安全设备的策略信息。
39.权利要求24的计算机程序产品,其中该单一流量记录包括防火墙策略以及入侵预防系统策略。
40.权利要求23的计算机程序产品,其中该单一流量记录包括供一台设备使用的加密参数。
41.权利要求23的计算机程序产品,其中该单一流量记录包括地址转换参数。
42.权利要求23的计算机程序产品,其中该单一流量记录包括薄记和统计信息。
43.权利要求23的计算机程序产品,其中该单一流量记录包括用于描述应用于一台或多台设备使用的指定流量的策略的信息。
44.权利要求23的计算机程序产品,其中该设备为安全设备并且该单一流量记录包括用于处理该分组的两台或多台设备使用的策略信息。
45.一种用于处理数据分组的装置,包括:
能够确定每个接收的数据分组的流量信息的模块;
包括该模块检测的每个流量的流量记录的流量表,每个流量记录包括用于多台处理设备的流量信息;以及
用于向与该装置相连的多台处理设备的每台设备传送设备特有的流量信息的接口。
46.权利要求45的装置进一步包括会话模块,该会话模块可以评估用于标识与指定分组关联的特定流量的信息,确定与所标识的流量关联的流量表中的流量记录的位置,向每台处理设备传送设备特有的流量信息,接收一台或多台处理设备的评估信息,以及根据该评估信息处理该分组。
47.权利要求46的装置,其中该会话模块对该分组的处理包括丢弃、记录日志、存储或转发该分组之一。
48.权利要求45的装置,其中该流量表包括索引关键字以及与该装置相连的多台安全设备的设备特有的流量信息。
49.权利要求45的装置,该处理设备是从防火墙、基于流量的路由器、入侵检测系统以及入侵预防系统中选择的。
50.权利要求45的装置,其中该流量表包括一条或多条流量记录,该流量记录包括处理该分组的一台或多台安全设备使用的策略信息。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/402,920 US7650634B2 (en) | 2002-02-08 | 2003-03-28 | Intelligent integrated network security device |
US10/402,920 | 2003-03-28 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1768516A true CN1768516A (zh) | 2006-05-03 |
CN100556031C CN100556031C (zh) | 2009-10-28 |
Family
ID=33130453
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200480008628.0A Expired - Lifetime CN100556031C (zh) | 2003-03-28 | 2004-03-29 | 智能集成网络安全设备 |
Country Status (7)
Country | Link |
---|---|
US (4) | US7650634B2 (zh) |
EP (1) | EP1618724B1 (zh) |
JP (1) | JP4906504B2 (zh) |
CN (1) | CN100556031C (zh) |
AT (1) | ATE369691T1 (zh) |
DE (1) | DE602004008055T2 (zh) |
WO (1) | WO2004088952A2 (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104704779A (zh) * | 2012-10-08 | 2015-06-10 | 瑞典爱立信有限公司 | 用于加速软件定义网络中的转发的方法和设备 |
Families Citing this family (72)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7558873B1 (en) | 2002-05-08 | 2009-07-07 | Nvidia Corporation | Method for compressed large send |
US20030212735A1 (en) * | 2002-05-13 | 2003-11-13 | Nvidia Corporation | Method and apparatus for providing an integrated network of processors |
US7437548B1 (en) | 2002-07-11 | 2008-10-14 | Nvidia Corporation | Network level protocol negotiation and operation |
US7397797B2 (en) * | 2002-12-13 | 2008-07-08 | Nvidia Corporation | Method and apparatus for performing network processing functions |
US8321584B2 (en) * | 2003-04-04 | 2012-11-27 | Ellacoya Networks, Inc. | Method and apparatus for offering preferred transport within a broadband subscriber network |
US7710867B1 (en) * | 2003-05-23 | 2010-05-04 | F5 Networks, Inc. | System and method for managing traffic to a probe |
US7359380B1 (en) | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Network protocol processing for routing and bridging |
US7359983B1 (en) * | 2003-06-24 | 2008-04-15 | Nvidia Corporation | Fragment processing utilizing cross-linked tables |
US7913294B1 (en) | 2003-06-24 | 2011-03-22 | Nvidia Corporation | Network protocol processing for filtering packets |
US7620070B1 (en) | 2003-06-24 | 2009-11-17 | Nvidia Corporation | Packet processing with re-insertion into network interface circuitry |
US7487541B2 (en) * | 2003-12-10 | 2009-02-03 | Alcatel Lucent | Flow-based method for tracking back single packets |
US7339914B2 (en) * | 2004-02-11 | 2008-03-04 | Airtight Networks, Inc. | Automated sniffer apparatus and method for monitoring computer systems for unauthorized access |
US7929534B2 (en) * | 2004-06-28 | 2011-04-19 | Riverbed Technology, Inc. | Flow logging for connection-based anomaly detection |
US7562389B1 (en) * | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
US7725938B2 (en) * | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
US7808897B1 (en) * | 2005-03-01 | 2010-10-05 | International Business Machines Corporation | Fast network security utilizing intrusion prevention systems |
US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
GB0517304D0 (en) | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | A system and method for processing and forwarding transmitted information |
US8769663B2 (en) | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
US7966659B1 (en) | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
EP1871038B1 (en) * | 2006-06-23 | 2010-06-02 | Nippon Office Automation Co., Ltd. | Network protocol and session analyser |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8397299B2 (en) * | 2006-09-14 | 2013-03-12 | Interdigital Technology Corporation | Method and system for enhancing flow of behavior metrics and evaluation of security of a node |
US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
US8601113B2 (en) * | 2007-11-30 | 2013-12-03 | Solarwinds Worldwide, Llc | Method for summarizing flow information from network devices |
US8179799B2 (en) * | 2007-11-30 | 2012-05-15 | Solarwinds Worldwide, Llc | Method for partitioning network flows based on their time information |
US9331919B2 (en) * | 2007-11-30 | 2016-05-03 | Solarwinds Worldwide, Llc | Method for summarizing flow information of network devices |
JP4717106B2 (ja) * | 2008-09-11 | 2011-07-06 | 株式会社日立製作所 | フロー情報処理装置及びネットワークシステム |
US20100162399A1 (en) * | 2008-12-18 | 2010-06-24 | At&T Intellectual Property I, L.P. | Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity |
US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
US8769664B1 (en) * | 2009-01-30 | 2014-07-01 | Palo Alto Networks, Inc. | Security processing in active security devices |
JP5482783B2 (ja) * | 2009-03-05 | 2014-05-07 | 日本電気株式会社 | セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム |
US8752142B2 (en) * | 2009-07-17 | 2014-06-10 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback |
US8621636B2 (en) | 2009-12-17 | 2013-12-31 | American Express Travel Related Services Company, Inc. | Systems, methods, and computer program products for collecting and reporting sensor data in a communication network |
US9756076B2 (en) * | 2009-12-17 | 2017-09-05 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transactions |
US8650129B2 (en) * | 2010-01-20 | 2014-02-11 | American Express Travel Related Services Company, Inc. | Dynamically reacting policies and protections for securing mobile financial transaction data in transit |
US8924296B2 (en) | 2010-06-22 | 2014-12-30 | American Express Travel Related Services Company, Inc. | Dynamic pairing system for securing a trusted communication channel |
US10360625B2 (en) | 2010-06-22 | 2019-07-23 | American Express Travel Related Services Company, Inc. | Dynamically adaptive policy management for securing mobile financial transactions |
US8850539B2 (en) | 2010-06-22 | 2014-09-30 | American Express Travel Related Services Company, Inc. | Adaptive policies and protections for securing financial transaction data at rest |
IL210900A (en) | 2011-01-27 | 2015-08-31 | Verint Systems Ltd | System and method for efficient classification and processing of network traffic |
US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9742732B2 (en) * | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
TW201351171A (zh) * | 2012-06-08 | 2013-12-16 | Cobrasonic Software Inc | 網路封包暨資料庫封包稽核系統及關聯性稽核裝置與方法 |
US9215208B2 (en) * | 2012-08-17 | 2015-12-15 | The Keyw Corporation | Network attack offensive appliance |
US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
US11086897B2 (en) | 2014-04-15 | 2021-08-10 | Splunk Inc. | Linking event streams across applications of a data intake and query system |
US10360196B2 (en) | 2014-04-15 | 2019-07-23 | Splunk Inc. | Grouping and managing event streams generated from captured network data |
US10523521B2 (en) | 2014-04-15 | 2019-12-31 | Splunk Inc. | Managing ephemeral event streams generated from captured network data |
US9838512B2 (en) | 2014-10-30 | 2017-12-05 | Splunk Inc. | Protocol-based capture of network data using remote capture agents |
US9923767B2 (en) | 2014-04-15 | 2018-03-20 | Splunk Inc. | Dynamic configuration of remote capture agents for network data capture |
US9762443B2 (en) | 2014-04-15 | 2017-09-12 | Splunk Inc. | Transformation of network data at remote capture agents |
US10127273B2 (en) | 2014-04-15 | 2018-11-13 | Splunk Inc. | Distributed processing of network data using remote capture agents |
US10366101B2 (en) | 2014-04-15 | 2019-07-30 | Splunk Inc. | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams |
US10462004B2 (en) | 2014-04-15 | 2019-10-29 | Splunk Inc. | Visualizations of statistics associated with captured network data |
US11281643B2 (en) | 2014-04-15 | 2022-03-22 | Splunk Inc. | Generating event streams including aggregated values from monitored network data |
US10700950B2 (en) | 2014-04-15 | 2020-06-30 | Splunk Inc. | Adjusting network data storage based on event stream statistics |
US10693742B2 (en) | 2014-04-15 | 2020-06-23 | Splunk Inc. | Inline visualizations of metrics related to captured network data |
US9531672B1 (en) * | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
US9596253B2 (en) | 2014-10-30 | 2017-03-14 | Splunk Inc. | Capture triggers for capturing network data |
US10334085B2 (en) | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US20170012923A1 (en) * | 2015-07-08 | 2017-01-12 | International Business Machines Corporation | Preventing a user from missing unread documents |
US10075416B2 (en) * | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
US10972461B2 (en) | 2018-08-28 | 2021-04-06 | International Business Machines Corporation | Device aware network communication management |
US11451514B2 (en) * | 2019-01-03 | 2022-09-20 | Illumio, Inc. | Optimizing rules for configuring a firewall in a segmented computer network |
US11019044B2 (en) * | 2019-03-08 | 2021-05-25 | Gigamon Inc. | Correlating network flows through a proxy device |
US11929987B1 (en) * | 2020-02-25 | 2024-03-12 | Juniper Networks, Inc. | Preserving packet flow information across bump-in-the-wire firewalls |
Family Cites Families (93)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5835726A (en) * | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5598410A (en) * | 1994-12-29 | 1997-01-28 | Storage Technology Corporation | Method and apparatus for accelerated packet processing |
US5781550A (en) * | 1996-02-02 | 1998-07-14 | Digital Equipment Corporation | Transparent and secure network gateway |
US5898830A (en) * | 1996-10-17 | 1999-04-27 | Network Engineering Software | Firewall providing enhanced network security and user transparency |
US6243667B1 (en) * | 1996-05-28 | 2001-06-05 | Cisco Systems, Inc. | Network flow switching and flow data export |
US6308148B1 (en) * | 1996-05-28 | 2001-10-23 | Cisco Technology, Inc. | Network flow data export |
US5842040A (en) * | 1996-06-18 | 1998-11-24 | Storage Technology Corporation | Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units |
JPH10107795A (ja) | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6591303B1 (en) * | 1997-03-07 | 2003-07-08 | Sun Microsystems, Inc. | Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth |
US6049528A (en) * | 1997-06-30 | 2000-04-11 | Sun Microsystems, Inc. | Trunking ethernet-compatible networks |
US5909686A (en) * | 1997-06-30 | 1999-06-01 | Sun Microsystems, Inc. | Hardware-assisted central processing unit access to a forwarding database |
US6088356A (en) * | 1997-06-30 | 2000-07-11 | Sun Microsystems, Inc. | System and method for a multi-layer network element |
US6775692B1 (en) * | 1997-07-31 | 2004-08-10 | Cisco Technology, Inc. | Proxying and unproxying a connection using a forwarding agent |
US6006264A (en) * | 1997-08-01 | 1999-12-21 | Arrowpoint Communications, Inc. | Method and system for directing a flow between a client and a server |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6098172A (en) * | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US6141749A (en) * | 1997-09-12 | 2000-10-31 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with stateful packet filtering |
US6154775A (en) * | 1997-09-12 | 2000-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules |
US6170012B1 (en) * | 1997-09-12 | 2001-01-02 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with cache query processing |
US6370603B1 (en) * | 1997-12-31 | 2002-04-09 | Kawasaki Microelectronics, Inc. | Configurable universal serial bus (USB) controller implemented on a single integrated circuit (IC) chip with media access control (MAC) |
US6205551B1 (en) * | 1998-01-29 | 2001-03-20 | Lucent Technologies Inc. | Computer security using virus probing |
US6279113B1 (en) * | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6466985B1 (en) * | 1998-04-10 | 2002-10-15 | At&T Corp. | Method and apparatus for providing quality of service using the internet protocol |
US6275942B1 (en) * | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
US6157955A (en) * | 1998-06-15 | 2000-12-05 | Intel Corporation | Packet processing system including a policy engine having a classification unit |
US6253321B1 (en) * | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US7073196B1 (en) * | 1998-08-07 | 2006-07-04 | The United States Of America As Represented By The National Security Agency | Firewall for processing a connectionless network packet |
US6633543B1 (en) * | 1998-08-27 | 2003-10-14 | Intel Corporation | Multicast flow control |
JP2000092118A (ja) * | 1998-09-08 | 2000-03-31 | Hitachi Ltd | プログラマブルネットワーク |
US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
KR100333250B1 (ko) * | 1998-10-05 | 2002-05-17 | 가나이 쓰토무 | 패킷 중계 장치 |
JP3721880B2 (ja) | 1998-10-05 | 2005-11-30 | 株式会社日立製作所 | パケット中継装置 |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
US7643481B2 (en) * | 1999-03-17 | 2010-01-05 | Broadcom Corporation | Network switch having a programmable counter |
US6952401B1 (en) * | 1999-03-17 | 2005-10-04 | Broadcom Corporation | Method for load balancing in a network switch |
US6600744B1 (en) * | 1999-03-23 | 2003-07-29 | Alcatel Canada Inc. | Method and apparatus for packet classification in a data communication system |
EP1143662B1 (en) | 1999-06-10 | 2006-05-17 | Alcatel Internetworking, Inc. | Virtual private network having automatic updating of client reachability information |
US6970913B1 (en) * | 1999-07-02 | 2005-11-29 | Cisco Technology, Inc. | Load balancing using distributed forwarding agents with application based feedback for different virtual machines |
US6549516B1 (en) * | 1999-07-02 | 2003-04-15 | Cisco Technology, Inc. | Sending instructions from a service manager to forwarding agents on a need to know basis |
US6704278B1 (en) * | 1999-07-02 | 2004-03-09 | Cisco Technology, Inc. | Stateful failover of service managers |
US6742045B1 (en) * | 1999-07-02 | 2004-05-25 | Cisco Technology, Inc. | Handling packet fragments in a distributed network service environment |
US6735169B1 (en) * | 1999-07-02 | 2004-05-11 | Cisco Technology, Inc. | Cascading multiple services on a forwarding agent |
US6606315B1 (en) * | 1999-07-02 | 2003-08-12 | Cisco Technology, Inc. | Synchronizing service instructions among forwarding agents using a service manager |
US7051066B1 (en) * | 1999-07-02 | 2006-05-23 | Cisco Technology, Inc. | Integrating service managers into a routing infrastructure using forwarding agents |
US6650641B1 (en) * | 1999-07-02 | 2003-11-18 | Cisco Technology, Inc. | Network address translation using a forwarding agent |
US6633560B1 (en) * | 1999-07-02 | 2003-10-14 | Cisco Technology, Inc. | Distribution of network services among multiple service managers without client involvement |
JP2001077857A (ja) * | 1999-09-08 | 2001-03-23 | Pfu Ltd | フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体 |
US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
US6795918B1 (en) * | 2000-03-07 | 2004-09-21 | Steven T. Trolan | Service level computer security |
JP2001313640A (ja) | 2000-05-02 | 2001-11-09 | Ntt Data Corp | 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体 |
US6654373B1 (en) * | 2000-06-12 | 2003-11-25 | Netrake Corporation | Content aware network apparatus |
US6981158B1 (en) * | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
US20020032797A1 (en) * | 2000-09-08 | 2002-03-14 | Wei Xu | Systems and methods for service addressing |
WO2002030052A1 (en) * | 2000-09-28 | 2002-04-11 | Symantec Corporation | System and method for analyzing protocol streams for a security-related event |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US7970886B1 (en) * | 2000-11-02 | 2011-06-28 | Arbor Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
CA2428261A1 (en) * | 2000-11-07 | 2002-05-16 | Fast-Chip, Inc. | Switch-based network processor |
US6781992B1 (en) * | 2000-11-30 | 2004-08-24 | Netrake Corporation | Queue engine for reassembling and reordering data packets in a network |
ATE344573T1 (de) * | 2000-11-30 | 2006-11-15 | Lancope Inc | Flussbasierte erfassung eines eindringens in ein netzwerk |
US6975628B2 (en) * | 2000-12-22 | 2005-12-13 | Intel Corporation | Method for representing and controlling packet data flow through packet forwarding hardware |
WO2002060098A2 (en) * | 2001-01-25 | 2002-08-01 | Crescent Networks, Inc. | Dual use rate policer and re-marking logic |
US7099350B2 (en) * | 2001-04-24 | 2006-08-29 | Atitania, Ltd. | Method and apparatus for converting data between two dissimilar systems |
US7543066B2 (en) * | 2001-04-30 | 2009-06-02 | International Business Machines Corporation | Method and apparatus for maintaining session affinity across multiple server groups |
US6901052B2 (en) * | 2001-05-04 | 2005-05-31 | Slt Logic Llc | System and method for policing multiple data flows and multi-protocol data flows |
US20020165956A1 (en) * | 2001-05-07 | 2002-11-07 | Peter Phaal | Traffic driven scheduling of active tests |
US20050141503A1 (en) * | 2001-05-17 | 2005-06-30 | Welfeld Feliks J. | Distriuted packet processing system with internal load distributed |
CN1145318C (zh) * | 2001-06-26 | 2004-04-07 | 华为技术有限公司 | 一种因特网服务提供者安全防护的实现方法 |
US7239636B2 (en) * | 2001-07-23 | 2007-07-03 | Broadcom Corporation | Multiple virtual channels for use in network devices |
US20030033463A1 (en) * | 2001-08-10 | 2003-02-13 | Garnett Paul J. | Computer system storage |
JP2003078549A (ja) * | 2001-08-31 | 2003-03-14 | Hitachi Ltd | パケット転送方法およびその装置 |
US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
EP1433066B1 (en) | 2001-09-14 | 2010-08-11 | Nokia Inc. | Device and method for packet forwarding |
US6976154B1 (en) * | 2001-11-07 | 2005-12-13 | Juniper Networks, Inc. | Pipelined processor for examining packet header information |
US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
DE10201655C1 (de) | 2002-01-17 | 2003-07-31 | Amcornet Gmbh | Multifunktions-Server,insbesondere Twin-Firewall-Server |
US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US7222366B2 (en) * | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) * | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US6856991B1 (en) * | 2002-03-19 | 2005-02-15 | Cisco Technology, Inc. | Method and apparatus for routing data to a load balanced server using MPLS packet labels |
JP3788803B2 (ja) * | 2002-10-30 | 2006-06-21 | 富士通株式会社 | L2スイッチ |
US20050102497A1 (en) | 2002-12-05 | 2005-05-12 | Buer Mark L. | Security processor mirroring |
US7895431B2 (en) * | 2004-09-10 | 2011-02-22 | Cavium Networks, Inc. | Packet queuing, scheduling and ordering |
US7535907B2 (en) * | 2005-04-08 | 2009-05-19 | Oavium Networks, Inc. | TCP engine |
-
2003
- 2003-03-28 US US10/402,920 patent/US7650634B2/en not_active Expired - Lifetime
-
2004
- 2004-03-29 CN CN200480008628.0A patent/CN100556031C/zh not_active Expired - Lifetime
- 2004-03-29 DE DE602004008055T patent/DE602004008055T2/de not_active Expired - Lifetime
- 2004-03-29 EP EP04758554A patent/EP1618724B1/en not_active Expired - Lifetime
- 2004-03-29 WO PCT/US2004/009607 patent/WO2004088952A2/en active IP Right Grant
- 2004-03-29 AT AT04758554T patent/ATE369691T1/de not_active IP Right Cessation
- 2004-03-29 JP JP2006509443A patent/JP4906504B2/ja not_active Expired - Fee Related
-
2009
- 2009-10-08 US US12/575,997 patent/US8332948B2/en not_active Expired - Lifetime
-
2012
- 2012-09-14 US US13/616,067 patent/US8726016B2/en not_active Expired - Fee Related
-
2014
- 2014-03-31 US US14/230,180 patent/US9100364B2/en not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104704779A (zh) * | 2012-10-08 | 2015-06-10 | 瑞典爱立信有限公司 | 用于加速软件定义网络中的转发的方法和设备 |
CN104704779B (zh) * | 2012-10-08 | 2018-11-09 | 瑞典爱立信有限公司 | 用于加速软件定义网络中的转发的方法和设备 |
Also Published As
Publication number | Publication date |
---|---|
US20140259146A1 (en) | 2014-09-11 |
CN100556031C (zh) | 2009-10-28 |
EP1618724B1 (en) | 2007-08-08 |
EP1618724A2 (en) | 2006-01-25 |
JP2006521776A (ja) | 2006-09-21 |
JP4906504B2 (ja) | 2012-03-28 |
US8332948B2 (en) | 2012-12-11 |
US8726016B2 (en) | 2014-05-13 |
US20100132030A1 (en) | 2010-05-27 |
ATE369691T1 (de) | 2007-08-15 |
WO2004088952A2 (en) | 2004-10-14 |
US9100364B2 (en) | 2015-08-04 |
US7650634B2 (en) | 2010-01-19 |
US20130067561A1 (en) | 2013-03-14 |
DE602004008055T2 (de) | 2007-11-22 |
DE602004008055D1 (de) | 2007-09-20 |
US20040030927A1 (en) | 2004-02-12 |
WO2004088952A3 (en) | 2004-12-16 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN100556031C (zh) | 智能集成网络安全设备 | |
JP3448254B2 (ja) | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 | |
CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
EP1618725B1 (en) | Attack database structure | |
US8751787B2 (en) | Method and device for integrating multiple threat security services | |
Bagui et al. | Using machine learning techniques to identify rare cyber‐attacks on the UNSW‐NB15 dataset | |
JP4020912B2 (ja) | 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法 | |
US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
CN103312689A (zh) | 一种计算机的网络隐身方法及基于该方法的网络隐身系统 | |
CN102067532A (zh) | 分组片段的处理 | |
GB2382283A (en) | a three-layered intrusion prevention system for detecting network exploits | |
Hegazy et al. | A multi-agent based system for intrusion detection | |
CN100379201C (zh) | 可控计算机网络的分布式黑客追踪的方法 | |
Rajaboevich et al. | Methods and intelligent mechanisms for constructing cyberattack detection components on distance-learning systems | |
CN1612534A (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
Kotenko et al. | Detection of stego-insiders in corporate networks based on a hybrid NoSQL database model | |
CN107835153B (zh) | 一种脆弱性态势数据融合方法 | |
CN1649346A (zh) | 网络应用层攻击的检测、过滤、阻断和记录的方法 | |
RU2267154C1 (ru) | Способ контроля информационных потоков в цифровых сетях связи | |
VARSHOUEI et al. | Ontological classification of network denial of service attacks: basis for a unified detection framework | |
RU2264649C1 (ru) | Способ обнаружения удаленных атак на автоматизированные системы управления | |
CN115865517A (zh) | 面向大数据应用的攻击检测方法及系统 | |
Daniels | A functional reference model of passive systems for tracing network traffic | |
CN116318777A (zh) | 密码应用监测方法、系统、设备及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
C56 | Change in the name or address of the patentee |
Owner name: JUNIPER NETWORKS INC. Free format text: FORMER NAME: NETSCREEN TECHNOLOGIES INC. |
|
CP01 | Change in the name or title of a patent holder |
Address after: American California Patentee after: Juniper Networks, Inc. Address before: American California Patentee before: Jungle network |
|
CX01 | Expiry of patent term |
Granted publication date: 20091028 |