CN1771709B - 用于产生网络攻击特征标记的方法和装置 - Google Patents
用于产生网络攻击特征标记的方法和装置 Download PDFInfo
- Publication number
- CN1771709B CN1771709B CN200380110301XA CN200380110301A CN1771709B CN 1771709 B CN1771709 B CN 1771709B CN 200380110301X A CN200380110301X A CN 200380110301XA CN 200380110301 A CN200380110301 A CN 200380110301A CN 1771709 B CN1771709 B CN 1771709B
- Authority
- CN
- China
- Prior art keywords
- data
- attack
- communication service
- address
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/14—Charging, metering or billing arrangements for data wireline or wireless communications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Software Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明提供了一种用于从来自第一数据网络的请求中产生攻击特征标记,以便在具有被分配给数据处理系统的多个地址的第二数据网络中使用的方法,该方法包括:接收来自第一数据网络以第三数据网络中若干未被分配的地址为地址的数据通信业务;检查接收到的数据通信业务的若干出现事件以便发现公共数据模式,在发现所述数据模式之后,从相应的数据通信业务中确定攻击特征标记,以便用于为第二数据网络检测攻击。本发明还提供了一种装置,用于从第一数据网络上的请求中产生攻击特征标记,以便在具有被分配给数据处理系统的多个地址的第二数据网络中使用。本发明还延伸至一种包括计算机程序代码手段的计算机程序元素,当被装入数据处理系统的处理器时,配置所述处理器执行此处前面所述的用于检测数据网络上的攻击的方法。本发明还延伸至一种在处理检测到的攻击时给予实体支持的方法。
Description
技术领域
本发明一般地涉及用于检测网络攻击的攻击特征标记的产生,并且更具体地涉及用于产生数据网络上的攻击特征标记的方法、装置和计算机程序元素。
背景技术
因特网是由多个互连的数据网络形成的广域数据网。在操作中,因特网使得一系列位于远程的数据处理系统之间的数据通信易于进行。每个这种数据处理系统通常包括中央处理单元(CPU)、存储器子系统和输入/输出(I/O)子系统,以及存储在存储器子系统内以便由CPU执行的计算机程序代码。典型地,被连接到因特网的终端用户数据处理系统被称为客户机数据处理系统或简称为客户机。类似地,提供Web站点和服务以便由客户机通过因特网访问的数据处理系统被称为服务器数据处理系统或简称为服务器。通过因特网在终端用户数据处理系统和主机数据处理系统之间建立了客户机-服务器关系。
因特网已经成为推动客户机和服务器之间电子地实现的商务交互的重要的通信网络。通常通过因特网服务提供者(ISP)为这些实体提供对因特网的访问。每个ISP通常运行一个网络,客户机或服务器订购该网络的服务。为每个客户机提供一个所述网络上的地址。类似地,为该网络上的每个服务器提供一个地址。由ISP操作的网络通过通常被称为路由器的专用数据处理系统连接到因特网。在操作中,路由器将进入的通信业务从因特网定向到特定的地址,诸如所述网络上的IP地址,蜂窝电话地址(电话号码)。类似地,路由器将外出的通信业务从该网络定向到因特网上特定地址的方向。
许多数据网络的用户面对的问题是对他们运行的网络的频次日益增多的电子攻击。这种攻击包括计算机病毒攻击,“蠕虫”攻击和拒绝服务攻击(DOS攻击)。蠕虫和DOS攻击通常带来网络中明显的性能下降。连接到所述网络的受感染的系统通常试图在网络中传播感染。许多用户不知道他们的系统被感染了。对于被感染的系统,为了增加网络性能可以执行入侵检测,随后执行后续的杀毒。为了检测入侵,入侵检测系统可以使用所谓的攻击特征标记,攻击特征标记得自于对已知攻击的分析,并且体现出这些攻击的特征。某些入侵检测系统使用包含若干攻击特征标记的数据库,并且将数据通信业务与这种攻击特征标记进行比较,以便确定数据通信业务是否可能与攻击有关。
US2002/0143963A1描述了一种用于增强Web服务器针对HTTP请求形式的入侵攻击的安全性的装置。这是通过对进入请求与预先定义的攻击特征标记列表进行比较实现的,所述列表至少包括文件、文件种类和已知黑客的地址。然后,采取行动以便拒绝被确定了肯定比较的请求。此外,将根据潜在的危害的严重性和来自给定请求者的被拒绝的请求的频次提供的与对潜在的未来行动的被拒绝的请求有关的相关数据通知给Web服务器。
产生攻击特征标记的一种广泛使用的解决方案是监视黑客邮件列表,并且根据希望检测的攻击手工制作攻击特征标记。Wenke Lee和SalvatoreJ.Stolfo在“A Framework for Constructing Features and Models forIntrusion Detection Systems”in ACM Transactions on Information andSystem Security(TISSEC),3(4):227-162,2000中描述了一种从攻击例子中学习攻击特征标记的方法。然而,该研究通常假设存在攻击例子,从而可以学习它们的特征。一般地,情况不是这样,并且仍然希望获得适合的攻击例子。
发明内容
根据本发明,现在提供一种用于从第一数据网络上的请求中产生攻击特征标记以便用于第二数据网络的方法,该方法包括接收步骤,用于接收来自第一数据网络以第三数据网络中若干未被分配的地址为地址的数据通信业务;检查步骤,用于检查前面的步骤中接收到的数据通信业务的若干出现事件(incident)以便发现公共数据模式,并且在发现所述数据模式之后,确定步骤,用于从相应的数据通信业务中确定攻击特征标记,以便用于在第二数据网络中检测攻击。这种攻击特征标记产生方法采用这样的观念,即,被定向到未被分配的地址的网络通信业务是优先可疑的,并且提供了是实际攻击的较高的可能性。利用这种较高的可能性,以便产生被认为将导致更准确的攻击检测的一个或多个攻击特征标记。
此处的术语“未被分配”的含义是占据这样一个地址,其没有被分配给除了用于检测入侵或产生攻击特征标记的装置之外的物理设备。被设计为执行根据本发明的方法的装置是这样的设备,那些“未被分配”的地址被实际地分配给它们以便使用本发明。这些地址在未被分配的范围内,因为它们没有被分配给具有除了特征标记产生或入侵检测之外的其它功能的任意设备。从而以这种未被分配的地址为地址的数据通信业务将被所述装置接收,并且经受所提出的方法的处理。
在本发明的优选实施例中,该方法包括回答步骤,用于对发送被包含在所述接收到的数据通信业务内的请求的源进行欺骗回答。从而可以从该请求的源获得更多的信息。
使用取决于接收到的数据通信业务所使用的协议类型的选择标准,上面的回答步骤可以被选择性地执行。在某些协议中,接收到的请求已经包含了足够的信息,从而能够执行对公共数据模式的检查。在这种情况下,不需要向源发送欺骗回答。
如果仅从答复所述欺骗回答的源以及那些没有经受所述回答步骤的源中选择数据通信业务的所述出现事件,可以实现用于产生攻击特征标记的数据的缩减。这种缩减是有用的,因为其被认为是将数据集中于具有是真实攻击的较高可能性的那些出现事件,而不是第一眼看上去像攻击(也被称为假肯定)的数据通信业务的无害的出现事件。该选择是减少特征标记产生方法中假肯定数量的一种方法。
在本发明的优选实施例中,所述检查步骤包括根据连接属性对所述出现事件分类,所述连接属性可以是数据通信业务的源地址、源端口、协议类型和目的地端口中的一个。这种根据连接属性值划分群组是将数据通信业务识别为攻击的一种方法,因为有越多的出现事件属于一个群组,该数据通信业务越可能是实际的攻击。
在本发明的优选实施例中,所述确定步骤包括对具有公共数据子串的出现事件数进行计数,并且将其数目超过了预先确定的数目的那些数据子串定义为攻击特征标记。因此,表示最频繁出现的数据子串的最大群组被用于产生攻击特征标记。此处,数据子串的频次被用作攻击是真实攻击而不是假肯定的可能性的另一种指示器。同时,最大的群组的确代表着所述的攻击,因为它们的频次对系统用户来说的确代表着较高的风险。
在本发明的优选实施例中,将攻击特征标记发送到被分配到第二数据网络的入侵检测系统,此处也被称为入侵检测器。然后这种入侵检测器可以将攻击特征标记集成到它的特征标记库中,并且使用所述特征标记,将所述特征标记与数据通信业务进行比较以便进行攻击识别和处理。
在本发明的优选实施例,第一数据网络和第二数据网络被选择为彼此连接,从而用于产生攻击特征标记的数据通信业务是到第二数据网络的数据通信业务的至少一部分。在本发明的优选实施例中,这两个网络可以是一整体构造,或甚至是同一个。同样,第三数据网络可以被连接到第二数据网络,或它可以与第二数据网络是同一个。第一数据网络被以这样的方式连接到第三数据网络,其中通信业务可以被从第一数据网络定向到第三数据网络上的地址。任何上述的数据网络都可以是其它网络的上层网络或子网络。
在本发明的优选实施例中,该方法被与攻击识别程序结合在一起,并且还包括接收第二数据网络上的并且以未被分配的地址为地址的数据通信业务;检查接收到的数据通信业务以便获得指示攻击的数据;并且在检测到指示攻击的数据后,产生报警信号。从而产生的攻击特征标记被用于识别攻击,其中被定向到未被分配的地址的数据通信业务优先被看成是可疑的,并且经受与所产生的攻击特征标记的匹配测试。因此出于攻击识别的最终目的,利用被定向到未被分配的地址的数据通信业务的过程可以被使用两次。
在本发明的优选实施例中,在产生所述的报警信号后,从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的数据通信业务被路由到所述网络上的一个杀毒地址。因此,所述攻击的源被标记为一类攻击的源,并且从该源到达的通信业务被重新路由到所述杀毒服务器。被该通信业务最初定为目标的系统被与该通信业务分离开,并且从而受到保护。
在本发明的优选实施例中,在产生所述报警信号后,向所述杀毒地址发送一个报警信号,并且所述报警信号优选地包括检测到的指示攻击的数据。该报警信号是有利的,因为可以包含用于所述杀毒服务器的其它信息,诸如攻击的类型,如何处理这种类型的攻击的指示。该报警信号还可以包括用于处理所述攻击,或对作为所述攻击的源的系统进行杀毒的计算机程序代码。
从另一个方面看本发明,现在提供一种装置,其用于从来自第一数据网络的请求中产生攻击特征标记,以便在具有多个被分配给数据处理系统的地址的第二数据网络中使用。所述装置包括特征标记产生器,用于接收来自第一数据网络、以第三数据网络中若干未被分配的地址为地址、并且在一个输入接口到达的数据通信业务,检查接收到的数据通信业务的若干出现事件以便发现公共数据模式,并且在发现这种数据模式之后,从相应的数据通信业务中确定攻击特征标记,以便用于为第二数据网络检测攻击。
在本发明的优选实施例中,所述装置包括存储器,其被用于至少暂时地在其内存储攻击特征标记。该装置优选地被设计为对发送被包含在接收到的数据通信业务内的请求的源进行欺骗答复。所述答复可以被通过第一输出接口发送到第一数据网络。所述第一输出接口优选地可以与被连接到所述网络的输入接口组合在一起。
在优选的方法中,所述装置仅从答复所述欺骗回答的那些源和没有经受所述欺骗回答的那些源中选择数据通信业务的出现事件。在本发明的优选实施例中,该装置被设计为根据连接属性诸如数据通信业务的源地址、源端口、协议类型和目的地端口对所述出现事件分类。在本发明的更优选的实施例中,可以由该装置确定所述攻击特征标记,该装置包括对具有公共数据子串的出现事件数进行计数的计数器,并且将其数目超过预先确定的数目的那些数据子串定义为攻击特征标记。该装置优选地可以具有第二输出接口,用于将所述攻击特征标记发送到被分配到第二数据网络的入侵检测系统。
在本发明的优选实施例中,该装置还包括入侵检测传感器,也被称为入侵检测器,用于接收来自第一数据网络的以第三数据网络上未被分配的地址为地址的数据通信业务,检查接收到的数据通信业务以便获得指示攻击的数据,并且在检测到指示攻击的数据后,产生报警信号。
在本发明的优选实施例中,该装置还包括被连接到所述入侵检测器的路由器,用于将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的数据通信业务重新路由到所述数据网络中的一个数据网络上的杀毒地址。
在本发明的优选实施例中,该装置还包括被分配到所述杀毒地址的杀毒服务器。该杀毒服务器被设计为在接收到所述报警信号后,向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
本发明还延伸至一种包括计算机程序代码手段的计算机程序元素,当被装入数据处理系统的处理器后,配置所述处理器执行如本文上面所述的用于检测数据网络上的攻击的方法。
本发明还延伸至一种方法,该方法通过提供用于辅助执行杀毒程序代码的指令或执行杀毒程序代码,在对检测到的攻击进行处理时给予实体支持。因为网络所有者可能不具有专门知识和能力,以便为他们自己提供保护他们连接到第二通信网络的资源不受攻击的服务,该方法使得这种实体可以从外部(优选地,通过网络连接远程地)接收需要的功能。因此该支持步骤可以通过这种连接被执行,并且在优选实施例中由攻击识别装置或包括这种功能的特征标记产生装置执行。
本发明还延伸至一种方法,该方法用于向实体提供报告,所述报告包括与报警、杀毒、重新路由、记录、丢弃检测到的攻击的上下文中的数据通信业务中的一个有关的信息。同样,在优选实施例中,这种报告可以通过网络连接由入侵检测器或特征标记产生装置发出和传输。
本发明还延伸至一种方法,该方法将攻击特征标记的产生与按照产生的攻击特征标记为实体记账组合在一起。在优选实施例中,使用输入技术参数,诸如被检查的数据通信业务量、用于特征标记产生的群组的大小、被监视的地址数目或指示攻击特征标记产生的复杂性的其它参数,电子地计算记账的数额。
本发明还延伸至一种方法,该方法将攻击特征标记的产生和/或攻击识别与针对攻击特征标记产生或处理中的至少一个步骤的执行为实体记账组合在一起,优选地根据网络大小、所监视的未被分配的地址的数目、所监视的已分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数量、产生的报警的数量、识别出的攻击的特征标记、被重新路由的数据通信业务量、实现的网络安全程度、或实体的营业额(turnover)中的一个确定记账的数额。
为若干实体提供特征标记产生,特征标记的转发,以及攻击识别,并且使用从为所述实体中的一个实体对该方法的执行中得出的技术数据,为所述实体中的其它实体执行同一方法是特别有利的。如果不仅为特定实体(诸如第二网络的所有者)的使用产生所述特征标记,而是为多个实体,尤其是如果这些实体的网络被连接到第一,第二或第三数据网络中的同一个或大体上相同的部分,可以期望显著的资源节省。在优选实施例中,特征标记产生方法可以包括选择步骤,其根据一种选择标准选择实体,优选地从使用产生的特征标记的类似程度得出所述的选择标准。若干实体的基础设施的易受攻击性越类似,这些实体越易于遭受同一类型的攻击,并且越类似需要接收同一类型的攻击特征标记。
本发明还延伸至一种用于给实体部署特征标记产生应用的方法,包括将特征标记产生器连接到第三数据网络,以便从来自连接到其上的第一数据网络的请求中产生攻击特征标记,以便在由该实体使用的并且具有被分配给数据处理系统的多个地址的第二网络中使用的步骤,设置所述特征标记产生器以便使用所说明的特征标记产生方法产生攻击特征标记的步骤,和设置所述特征标记产生器以便将产生的攻击特征标记发送到连接到所述第二数据网络的攻击识别设备的步骤。
在给定的网络中可以有大量未被分配的地址。在本发明的特别优选的实施例中,特征标记产生器在网络上监听被定向到未被分配的地址的通信业务。应当没有这种通信业务存在,因为这些地址是未被告知或未被公布的。在检测到被发送到未被分配的地址中的一个地址的请求的情况下,特征标记产生器可以对该请求进行欺骗回答,除非该请求使用了已经传递了检查所必需的信息的预先确定的协议类型。未被分配的地址没有被具有除了特征标记产生或入侵检测之外的其它功能的设备使用。因此,试图连接(例如)位于这种地址处的服务器是优先可疑的。然后特征标记产生器监听对所述欺骗回答的答复,并且将该答复用于特征标记产生处理。
附图说明
现在将参考附图,仅以示例的方式说明本发明的优选实施例,其中:
图1是数据处理系统的方框图;
图2是数据处理网络的方框图;
图3是入侵检测器的方框图;
图4是与所述入侵检测器相关的流程图;
图5是特征标记产生器的方框图;
图6是与所述特征标记产生器相关的流程图;和
图7是为入侵检测器工作的特征标记产生器的方框图。
具体实施方式
首先参考图1,数据处理系统包括CPU10,I/O子系统20和存储器子系统40,它们全部由总线子系统30互连在一起。存储器子系统40可以包括随机访问存储器(RAM),只读存储器(ROM)和一个或多个存储设备诸如硬盘驱动器,光盘驱动器等等。I/O子系统20可以包括:显示器,键盘;指点设备诸如鼠标,轨迹球等;以及允许通过数据网络在数据处理系统和一个或多个类似系统和/或外部设备之间进行通信的一个或多个网络连接。由这种网络互连的这种系统和设备的组合本身可以构成分布式数据处理系统。这种分布式系统本身可以由另外的数据网络互连。
在存储器子系统40中的是被存储的数据60和可由CPU10执行的计算机程序代码50。程序代码50包括操作系统软件90和应用软件80。当被CPU10执行时操作系统软件90提供了一个平台,应用软件80可以在其上执行。
现在参考图2,在本发明的优选实施例中,提供了数据网络100,也被称为第三数据网络100,其具有用于分配给该网络中的数据处理系统的多个地址110。第三数据网络100具有多个可分配的网际(IP)地址110。第三数据网络100被通过路由器130连接到因特网120,也被称为第一数据网络120。可以本文前面参考图1说明的数据处理系统的形式实现路由器130,其被适当地编程为专用于基于数据包中指出的地址数据在因特网120和第三数据网络100之间对数据包形式的通信业务进行路由的任务。第三数据网络100上的地址110的第一组140被分配给属于因特网服务的用户的系统150。每个系统150可以是此处前面参考图1说明的数据处理系统。第三数据网络100上的地址110的第二组160是空闲的,即未被分配的。更具体地,地址110的第二组160没有被分配给用户系统150,诸如服务器或客户机。入侵检测系统(IDS)170也被连接到第三数据网络100。IDS170还被连接到路由器130。下面将进一步提供IDS170的细节。路由器130被连接到杀毒服务器180。可以由此处前面参考图1说明的数据处理系统实现杀毒服务器180。特征标记产生器190被布置为与路由器130和因特网120相连接,它还被连接到入侵检测器170。
参考图3,在本发明的特别优选实施例中,IDS170包括此处前面参考图1说明的数据处理系统。IDS170的应用软件80包括入侵检测代码200。存储在IDS170的存储器子系统40中的数据60包括攻击识别数据210和杀毒数据220。数据60还包括第三数据网络100上哪些地址未被分配并且属于第二组160,以及第三数据网络100上哪些地址110被分配给数据处理系统150并且属于第一组140的记录。每次另一个地址被分配或已有地址分配被删除时,对该记录进行更新。攻击识别数据210包含指示标识已知攻击的特征标记的数据。杀毒数据220包含指示以下内容的数据:每个攻击的属性;如何对受每个攻击感染的系统杀毒;和如何恢复正常的网络连接。攻击识别数据210和杀毒数据220是交叉引用的。当被CPU10执行时,入侵检测代码200配置IDS170,以便根据图4所示的流程图操作。
现在参考图4中给出的示例实施例,在操作中,IDS170接收第三数据网络100上从已分配的地址140发起并且以未被分配的地址160为地址的数据通信业务。IDS170检查接收到的数据通信业务以便获得指示攻击的数据。当检测到指示攻击的数据后,IDS170产生报警信号。在本发明的优选实施例中,当所述报警信号产生之后,从被分配给产生该指示攻击的数据的数据处理系统150的地址140发起的数据通信业务被重新路由到第三数据网络100上的杀毒地址。在本发明的特别优选实施例中,IDS170在第三数据网络100上监听,并且接收被定向到未被分配的地址160的通信业务。具体地,在方框300,IDS170检查从第三数据网络100上的地址140发送的请求,以便在方框310确定该请求是否指出未被分配的地址160中的一个地址作为目的地地址。如果该请求没有指出未被分配的地址160中的一个地址,则在方框320,IDS170等待检查下一个请求。然而,如果该请求指出了至少一个未被分配的地址160,则在方框330,IDS170对该请求进行欺骗回答。
还可以通过将未被分配的地址分配给IDS170,从而任意被定向到未被分配的地址的通信业务自动地到达IDS170来实现所述识别。
所述回答被发送到第三数据网络100上的所述源地址。除了检查攻击之外未被分配的地址160没有被使用。因此,试图连接(例如)这种地址处的系统是优先可疑的。在方框340,IDS170监听对所述欺骗回答的答复。如果在预先确定的时间段内没有接收到答复,IDS170可以超时,在该情况下,在方框320,IDS170等待检查下一个请求。然而如果在方框350接收到答复,IDS170对怀疑的请求和答复与被存储在存储器子系统40中的攻击识别数据210进行比较。如果在方框350,比较没有识别出攻击,则在方框320,IDS170等待检查下一个请求。然而,如果比较在方框350检测到所述答复中可诊断的攻击,则IDS170确定源系统150被感染了。因此,在方框360,IDS170产生报警信号。该报警信号被发送到路由器130。该报警信号指示路由器130使得来自受感染系统150的所有通信业务转向到所述杀毒地址。这是重新路由步骤,用于将从被分配给产生该指示攻击的数据的数据处理系统的地址发起的数据通信业务重新路由到第三数据网络100上的杀毒地址。
参考前面的图1,在本发明的特别优选实施例中,杀毒服务器180位于所述杀毒地址处。在本发明的优选实施例中,在产生所述报警信号之后,IDS170向所述杀毒地址发送一个报警信号。优选地,该报警信号包括检测到的指示攻击的数据。因此,在产生所述报警信号之后,执行报警步骤,以便将该报警信号发送到所述杀毒地址,所述报警信号优选地包括检测到的指示攻击的数据。
因此,在本发明的特别优选实施例中,IDS170从存储器子系统40中检索相应于检测到的攻击的杀毒数据220。在方框370,IDS170将包含检索到的杀毒数据的报警信号发送到所述杀毒地址,杀毒服务器180位于该杀毒地址处。然后在方框320,IDS170等待检查下一个请求。每个请求、回答和答复可以包含在第三数据网络100上的数据通信业务的一个或多个包中。因此,每个攻击的特征标记可以跨过多于一个的包。
在本发明的优选实施例中,发送到杀毒服务器180的杀毒数据220包含指示以下内容的数据:检测到的攻击的属性;如何对受该攻击感染的系统150杀毒;和如何恢复正常的网络连接。在从IDS170接收到杀毒数据220后,杀毒服务器180开始治疗受感染的系统150,并且恢复第三数据网络100。在本发明的另一个优选实施例中,杀毒数据220仅包含指示所述攻击的属性的数据。然后杀毒服务器基于所述攻击的属性选择多个预先存储的技术中的一个,以便对受感染的系统150进行杀毒和/或恢复第三数据网络100,并且执行所选择的技术。攻击可以是许多不同的形式。因此,用于杀毒和网络恢复的相应技术可以从一种攻击到另一种攻击很大地改变。
在本发明的优选实施例中,在接收到杀毒数据之后,杀毒服务器180向受感染的系统150发送警告消息。该警告消息通知受感染的系统150的用户他们的系统150被感染了。该警告消息可以指示用户运行预先存储在受感染的系统150内的杀毒软件,以便消除或隔离该感染。可替换地,警告消息可以包含用于从受感染的系统150中消除该攻击的杀毒程序代码,以及帮助用户在受感染的系统150上执行所述杀毒代码的指令。在另一个可供选择的方案中,警告消息可以将用户定向到另一个Web站点,在该站点处提供了适当的杀毒程序代码。在本发明的另一个优选实施例中,该警告消息包含杀毒程序代码,当被装入受感染的系统时,其自动地执行,从而以对用户透明的方式消除或隔离感染。其它的杀毒方案也是可行的。
在此处前面所述的本发明的实施例中,杀毒服务器180被实现在如此处前面参考图1说明的单个数据处理系统内。然而,在本发明的其它实施例中,杀毒服务器180可以由多个互连的数据处理系统实现。这种数据处理可以是分布式的或可以一起位于一个“场地”内。杀毒服务器内的每个数据处理系统可以专用于处理不同的攻击。IDS170还可以由多个集成的数据处理系统实现。可替换地,IDS170和杀毒服务器180可以被集成在单个数据处理系统内。
从受感染的系统150发送的并且被路由器130转向到杀毒服务器180的第三数据网络100上的通信业务可以被杀毒服务器180记录和/或丢弃。在此处前面说明的本发明的实施例中,IDS170将杀毒数据发送到杀毒服务器220。然而,在本发明的其它实施例中,一旦检测到了感染,IDS170可以简单地指示路由器130将来自受感染的系统150的数据通信业务转向到杀毒服务器180,而不用IDS170附加地为杀毒服务器180提供杀毒数据220。然后杀毒服务器180可以仅起从受感染的系统150发起的通信业务的库的作用,记录和/或丢弃它从受感染的系统150接收的通信业务。可以由杀毒服务器180向第三数据网络100的管理员报告所述的记录和丢弃。这种报告可以被周期地或实时地传递。所述报告可以通过,例如,管理控制台被执行。然而,其它报告技术,诸如例如打印的输出也是可行的。在收到这种报告后,管理员可以采取适当的行动消除或遏制第三数据网络100的感染。
参考图5,特征标记产生器190具有在某个程度上类似于IDS170的结构。特征标记产生器190包括如此前参考图1所述的数据处理系统。特征标记产生器190的应用软件80包括特征标记产生代码230。
被存储在特征标记产生器190的存储器子系统40内的数据60包括:
-请求数据,IDS捕捉到的请求数据,即,随请求到达的数据
-答复数据,即,指出对于哪种类型的请求可以进行哪种类型的欺骗答复
-响应数据,即,响应所述欺骗答复而到达的数据
数据60还包括第三数据网络100上的哪些地址未被分配并且属于第二组160,以及第三数据网络100上的哪些地址110被分配给数据处理系统150并且属于第一组140的记录。每次另一个地址被分配或现有的地址分配被删除时,对所述记录进行更新。
当被CPU10执行时,特征标记产生代码230配置特征标记产生器190,以便根据图6中所示的流程图操作。
现在参考图6,在操作中,特征标记产生器190识别从第一网络120发起的以第三网络100的未被分配的地址160为地址的数据通信业务。具体地,在方框400,特征标记产生器190检查从因特网120接收的请求,以便在方框410确定该请求是否指出了一个或多个未被分配的地址160作为目的地地址。如果该请求没有指出至少一个未被分配的地址,则在方框420,特征标记产生器190等待检查下一个请求。该请求经过特征标记产生器190到达路由器130。上述步骤序列在图6中被以400.1标注为路径。换言之,执行接收和识别步骤,其接收并且识别第一网络120上的以第三数据网络100内若干未被分配的地址为地址的数据通信业务。
作为方框410中上述的接收和识别步骤的一种可供选择的方案,如果特征标记产生器190被按照默认分配到所述未被分配的地址160,则特征标记产生器190可以跳过该步骤。在这种情况下,到达特征标记产生器190的数据通信业务按照定义被定向到一个未被分配的地址160,并且处理直接从方框400跳到方框430,在图6中被以400.2标注为路径。这是用于接收来自第一数据网络120以第三数据网络100内若干未被分配的地址为地址的数据通信业务的接收步骤。
如果该请求指出了一个或多个未被分配的地址160,则在方框430,特征标记产生器190对该请求进行欺骗回答。该回答被发送到因特网120上的所述源地址。因此,执行回答步骤以便对发送被包含在接收到的数据通信业务内的请求的源进行欺骗回答。未被分配的地址160没有被除了特征标记产生器190之外的设备使用。因此,试图连接(例如)位于这种地址处的系统是优先可疑的。在方框440,特征标记产生器190监听对所述欺骗回答的答复。如果在预先确定的时间段内没有收到答复,特征标记产生器190可以超时,在该情况下,在方框420,特征标记产生器190等待检查下一个请求。然而,如果接收到了答复,则在方框450特征标记产生器190执行特征标记产生算法。
根据请求使用的协议,可能不需要进行欺骗回答。在这种情况下,特征标记产生器190可以跳过方框430中的欺骗回答步骤和方框440中的监听答复步骤。对于这些请求,初始响应被用作替代对所述欺骗回答的答复。因此在该情况下,基于一种选择标准选择性地执行所述回答步骤,所述标准取决于接收到的数据通信业务的协议类型。除了协议类型外,选择步骤可以包括附加的标准,例如重复标准,即,接收到的数据通信业务是否被识别为与以前接收到的数据通信业务相同。
特征标记产生算法包括检查步骤,其中检查以第三数据网络内若干未被分配的地址为地址的数据通信业务的若干出现事件以便发现公共数据模式的出现。
在优选实施例中,仅从答复所述欺骗回答的源以及没有经受所述回答步骤的源的数据通信业务中选择数据通信业务的出现事件。换言之,来自非答复源的请求不被用于特征标记产生。这减少了用于检查步骤的数据。
检查步骤可以包括根据连接属性,诸如数据通信业务的源地址、源端口、协议类型和目的地端口中的一个,对所述出现事件分类。
此后是确定步骤,用于在发现这种公共数据模式之后,从相应的数据通信业务中确定攻击特征标记以便用于为第二数据网络检测攻击。在优选实施例中,确定步骤包括对所述数据通信业务具有公共数据子串的出现事件数进行计数,并且将其数目超过一个预先确定的数目的那些数据子串定义为攻击特征标记。因此,以包含相应数据子串的出现事件的数目为群组大小建立子串群组。一旦群组大小超过了所述预先确定的数目,该群组的子串就被定义为攻击特征标记。
在下面的段落中,解释了优选实施例的这种特征标记产生算法。
接收到的答复被定义为输入,其中多元组的集合S={I<srci,dsti,dpti,requesti>iεI},并且其中srci为源地址,dsti为目的地地址,dpti为目的地端口,其通常与一个特定的服务相关联,并且requesti是所述源发送到一个未被分配的地址但是最终到达了特征标记产生器190的请求。目的地端口也被称为服务类型dpti。在特征标记产生器190中执行具有如下两个功能的方法:
1按服务寻找特征标记
1.1将S中的多元组按照目的地端口分组,并且将每个目的地端口P与被发向这个端口P的请求的集合R(p)={request j|<*,*,p,request j>in S}相关联。
1.2对于每个端口P,在R(p)中寻找所有经常出现的具有预先确定的最小长度的子串。这些频繁出现的子串是针对运行在端口P的服务的按服务确定的特征标记。
按服务寻找特征标记算法监视出现并被定向到特定端口的请求,并且分析它们中具有预先确定的最小长度的频繁出现的公共子串。所述子串是所述请求的一部分,是该请求是攻击的特征。具有公共子串的请求被认为代表着同一类型的攻击。特定于端口的处理利用这样的事实,即,通常被定向到不同端口的攻击很难被以同一特征标记捕捉。因此出现在被定向到不同端口的请求中的公共子串很可能是巧合,并且因此具有不是攻击的一部分的较高的可能性。因此特定于端口的处理导致了减少了假肯定的可能性的特征标记,即,错误的识别和将请求处理为攻击,而该请求实际上是无害的。
在优选实施例中,上面的用于按服务寻找特征标记的算法可以被第二算法补充:
2寻找攻击-工具特征标记
2.1将S中的多元组按源分组,并且将每个源与其做出的请求的集合R’(s)={request j |<s,*,*,request j>in S}相关联。
2.2对于每个R’(s),以它们与之匹配的按服务确定的特征标记(见1)替换R’(s)中的所有请求。得到的按服务确定的特征标记的集合R*(s)是攻击-工具特征标记。
该算法的寻找攻击-工具特征标记部分使用按源分组,并且分析从所述源而来的请求,而不论它们被定向到什么端口。这种方法利用这样的事实,即,某些攻击表现出改变的端口模式以便比入侵检测器更为聪明。在这种情况下,攻击特征标记将以它的源与某个子串一起提供对该攻击的识别。
在优选实施例中,可以修改该算法,采用根据所接触的不同目的地地址的数目动态地给所述源加权。
例如,可以调整数据子串的所述预先确定的数目,当超过该数目时将那些数据子串定义为攻击特征标记。对于将数据通信业务定向到多于一个目的地地址的源,该数目可以选得较低。具体地,该数目可以被根据目的地地址的数目相反地选择。这考虑了这样的事实,即,数据通信业务被定向到越多的地址,该源越可疑,并且该数据通信业务越可能是实际的攻击。
再有,根据源的有关已知属性动态地给特征标记的准确性加权是可行的。具体地,如果基于其它以前已知的特征标记,已知给定的源被是攻击者,则来自同一源的相符的但是未知的活动可能也是攻击。
此外,可以包括定时信息。通常以打包的黑客工具执行攻击。这种工具一般不会随机化攻击顺序,从而时间顺序分析不仅可以确定攻击,而且还可以确定运行攻击的工具。
特征标记产生算法的输出是攻击特征标记,其可以被入侵检测器170使用,以便将请求识别为攻击。因此,使用接收到的对定向到未被分配的地址160的请求的欺骗答复的响应,特征标记产生器190得出了这样的模式,这些模式被转换为攻击特征标记。在方框460中,这些攻击特征标记被转发到入侵检测器170,在入侵检测器170,该攻击特征标记被集成到攻击识别数据210内。因此,通过将攻击特征标记发送到分配到第二数据网络的入侵检测器170,特征标记产生器190对由IDS170使用的攻击识别数据210进行更新。上述方法不仅可用于改进第三数据网络100内的攻击识别,而且可以被更一般地应用于第二网络。这意味着虽然通过监听来自第一数据网络并且被定向到第三数据网络内的未被分配的地址的请求产生所述攻击特征标记,同样的攻击特征标记可以被发送到第二数据网络,以便在其中的入侵检测方法中使用。尽管所有三个网络可以是不同的,所述的方法可以工作于它们的任意组合,诸如是被无缝地连接到一个或多个其它网络、被集成在一个或多个其它网络、连接到一个或多个其它网络、是一个或多个其它网络的一部分、是一个或多个其它网络的子网、是一个或多个其它网络的高层网络、与一个或多个其它网络部分地相同的、与一个或多个其它网络整体构造的、部分地连接到一个或多个其它网络的、或部分地集成到一个或多个其它网络的网络中的任意一个。在图2示出的实施例中,第二网络和第三网络100是一致的。
以一种优选的方式,基于多个接收到的请求和/或对欺骗回答的答复在方框450中执行特征标记产生。对于不需要一系列欺骗回答和监听答复的请求,在方框400为多个请求执行对这些请求的接收,在图6中以循环401标注。对于要经受一系列欺骗回答(方框430)和监听答复(方框440)的请求,为多个请求执行一系列方框400,430,440,在图6中以循环441标注。
另一个优选实施例包括在方框450执行特征标记产生算法,并且其后使用所检查的请求和/或答复的附加的输入再次执行该算法。从而随时间更新特征标记产生算法的输出。
在特征标记产生器的优选部署中,它被放置在到因特网的直接链路上。以这种方式,它经受最大量的敌人的攻击活动,并且上述算法可以得出较大数量的攻击特征标记。一旦得出,攻击特征标记可以被部署到IDS。这种IDS也可以存在于不同的网络配置中,诸如在防火墙之后。
在本发明的优选实施例中,还提供了一种数据网络,包括:用于将多个数据处理系统连接到因特网的路由器;被连接到该路由器并且被连接到特征标记产生器的入侵检测系统(IDS);以及也被连接到该路由器的杀毒服务器。响应IDS使用由特征标记产生器产生的攻击特征标记检测出所述数据处理系统中的一个数据处理系统受攻击感染了,IDS指示路由器将来自该攻击的所有网络通信业务转向到杀毒服务器。另外IDS给杀毒服务器提供杀毒数据。所述杀毒数据是对感染的性质,如何对感染系统杀毒,以及如何恢复正常的网络连接的指示。
在图7中,示出了三种网络布置。第一数据网络120被连接到第三数据网络100,并且通过路由器130被连接到第二数据网络70。第三数据网络包括已分配的地址140,和被分配到未被分配的地址的特征标记产生器190,特征标记产生器190被连接到入侵检测器170。路由器130被连接到入侵检测器170和杀毒服务器180。入侵检测器170分配有第二数据网络70的未被分配的地址,第二数据网络70还具有已分配地址71。任意上述的连接可以被直接地或间接地实现,例如,通过可使用的任何网络连接。
在该实施例中,第三数据网络内被定向到未被分配的地址160的数据通信业务自动地到达特征标记产生器190,特征标记产生器190使用其特征标记产生算法产生攻击特征标记。到达特征标记产生器190的数据通信业务可以发起自第一网络120,但是还可以来从第三数据网络100内。
产生的攻击特征标记被特征标记产生器190发送到IDS170,IDS170可以使用该攻击特征标记将到达的数据通信业务的出现事件识别为攻击。同样,由于特征标记产生器170被分配有第二网络70中的未被分配的地址,被定向到第二网络70内的未被分配的地址的数据通信业务自动地经受由IDS170使用接收到的攻击特征标记进行的攻击识别处理。同样此处到达IDS170的数据通信业务可以发起自第一网络120,但是也可以来自第二数据网络100内。
一旦这样识别出了攻击,入侵检测器170向路由器130报警攻击的存在。然后路由器130可以将从识别出的该攻击的源到达的数据通信业务重定向到杀毒服务器180。如果攻击源存在于第三数据网络170内,可以对其进行杀毒处理。
还可以将特征标记产生应用部署到实体,包括如下步骤:将特征标记产生器连接到第一数据网络以便从来自其上的请求中产生攻击特征标记,以便在由所述实体使用并且具有多个被分配给数据处理系统的地址的第二数据网络中使用,设置特征标记产生器使用上述的方法产生攻击特征标记,并且设置特征标记产生器将产生的攻击特征标记发送到被连接到第二数据网络的入侵检测器。
在优选实施例中特征标记产生器是“没有服务的服务器”。更准确地,它以两个属性为特征:首先它是安全严格(security-hardened)的主机,虽然没有提供真正的服务,它监听所有与安全有关的端口,并且记录所有进入的请求。第二它没有被以任何方式告知,即,没有DNS项,Web链接或到它的其它指针。因为它没有被告知,联系特征标记产生器的机器几乎毫无疑问是寻找利用目标的黑客或蠕虫。由于特征标记产生器记录所有进入的请求,它会抓住所述黑客或蠕虫正在使用的攻击。因此,特征标记产生器是实际攻击的有利的来源,然后从所述实际攻击自动地得出攻击特征标记。
在优选实施例中,针对特征标记产生器190所说明的功能还可以被集成到IDS170内,从而IDS170从对它的欺骗回答的答复中得出攻击特征标记,这些攻击特征标记被添加到它的攻击识别数据210。在此处上面所述的本发明的实施例中,由以适当的程序代码编程的数据处理系统实现IDS170、路由器130和杀毒服务器180。然而,应当理解,在本发明的其它实施例中,此处说明的以软件实现的一个或多个功能可以至少部分地以硬件逻辑电路实现。
还应当理解,此处说明的攻击检测方法可以被由负责第三数据网络100的服务提供者实施,或至少部分地由第三方以提供给该服务提供者的服务的形式实施。这种服务可以区别由所述服务提供者提供的服务和由其竞争者提供的服务。这种有区别的服务可被可选择地提供给所述网络服务的终端用户以便换取附加的费用。
通过给实体提供报告可以实现所述的方法,其中所述报告包括与报警、杀毒、重新路由、记录、丢弃检测到的攻击的上下文中的数据通信业务中的一个有关的信息。
在优选实施例中,为由实体而不是所述服务提供者使用的网络产生攻击特征标记的服务包括为提供的服务记账。其中可以根据若干因素中的一个或多个确定记账的费用,所述因素通常是对复杂性或服务提供者经受的工作负载的指示。指示提供的服务的数量和时间消耗的这种因素可以包括第三数据网络的大小、其中未被分配的地址的数目、其中已分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数目、使用所述攻击特征标记产生的警报的数目、被重新路由的数据通信业务量。识别增加的复杂性的程度的因素可以是识别出的攻击的特征标记、实现的网络安全的等级。还可以使用诸如实体的营业额、实体的业务领域等因素识别提供给被服务的实体的服务的价值。因此一般地该方法可以包括为给实体执行的至少一个步骤给该实体记账,优选地根据网络的大小、被监视的未被分配的地址的数目、被监视的已被分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数目、产生的报警的数目、识别出的攻击的特征标记、被重新路由的数据通信业务量、实现的网络安全等级、实体的营业额来确定记账的费用。
当然,上述因素的任意组合也是可行的,特别是被不同地加权以便确定最终的费用。通过将所述费用与警告消息或攻击检测处理中发送的任何其它信息一起发送,可以实现自动记账。这有利地将出于攻击处理目的而发送消息的运用与其出于记账目的的运用组合在一起。警告消息或其它信息消息的双重运用提供了减少攻击检测和记账处理中产生的通信业务流的技术优势。同时,该方法可以用于保证仅对确实被提供的服务给被服务的实体记账。
另一种用于记账的优选的解决方案是给实体提供攻击特征标记产生和/或攻击检测服务的订购服务,其允许被服务的实体从预先确定的时间、通信业务量、系统数量等的处理中受益。
服务提供者可以将他所拥有的杀毒服务器提供为与被服务的实体所使用的网络被结合在一起使用的主机单元,但是所述杀毒服务器由被服务的实体持有、维护、托管或租用也是可行的。
该方法还被用于通过提供用于辅助执行以及用于执行杀毒程序代码的指令中的一个,在对检测到的攻击进行处理时给予实体支持。
在另一个优选实施例中,通过给若干实体提供攻击特征标记产生和/或攻击检测服务,并且在所述若干服务之间共享资源,诸如特征标记产生器190、路由器130、入侵检测器170或杀毒服务器180,服务提供者可以利用协同增效的效果。从而不仅可以获得对所使用的资源的更有效的使用,而且与攻击有关的信息可以在不同网络之间被共享,并且可以用于提高被服务的网络上的检测质量。例如,在一个网络上对一种攻击的检测可以导致在另一个网络上的更快的检测,因为确定攻击特征标记的处理可以被缩短或甚至被消除。同样可以在被服务的实体之间共享杀毒机制,从而减少他们与更新和维护杀毒机制有关的努力和花费。共享从对一个实体的网络的攻击处理中得出的技术数据,以便改进其它被服务的实体的攻击处理的技术优点将鼓励实体加入由同一入侵检测服务提供者服务的若干实体的池。在优选实施例中可以调整所述记账模型,以便激励实体加入共享特征标记产生或攻击检测资源的实体组,并且雇用相同的服务提供者。因此提供一种用于若干实体的方法,并且将从为所述实体中的一个实体的攻击处理中得出的技术数据用于所述实体中的其它实体的攻击处理是有益的。
上述的方法可以被编码为包括计算机程序代码手段的计算机程序元素的形式,当被装入数据处理系统的处理器内时,配置所述处理器执行用于产生攻击特征标记的方法。
此外,本发明可以被实现在硬件、软件或硬件和软件的组合中。根据本发明的方法可以被以集中的方式实现在一个计算机系统内,或以分布式的方式实现,其中不同的元件被散布在若干个互连的计算机系统上。任何类型的计算机系统或适用于执行此处说明的方法的其它装置都是适合的。硬件和软件的典型的组合是具有计算机程序的通用计算机系统,当所述计算机程序被装入并被执行时,控制该计算机系统从而它执行此处说明的方法。本发明还可以被嵌入计算机程序产品,所述计算机程序产品包括能够实现此处说明的方法的所有特征,并且当被装入计算机系统时,能够执行这些方法。
本上下文中的计算机程序或计算机程序手段是指采用任意语言、代码或符号的一组指令的任意表示,旨在使得具有信息处理能力的设备或是直接地、或是在a)转换到另一种语言、代码或符号;b)以不同的材料形式复制中的一个或两者之后执行特定的功能。
Claims (23)
1.一种用于从来自第一数据网络的请求中产生攻击特征标记的方法,所述攻击特征标记可以用于第二数据网络,该方法包括:
-接收步骤,用于接收来自所述第一数据网络以第三数据网络中若干未被分配的地址为目的地址的数据通信业务;
-检查步骤,用于检查所述接收到的数据通信业务的若干出现事件,以便发现公共数据子串;
-确定步骤,用于在发现了所述公共数据子串之后,从相应的数据通信业务中确定所述攻击特征标记,以便用于在所述第二数据网络中检测攻击,其中所述确定步骤包括对具有公共数据子串的出现事件的数目进行计数,所述公共数据子串具有预先确定的最小长度,并且将其数目超过了一个预先确定的数目的那些公共数据子串定义为所述攻击特征标记。
2.如权利要求1的方法,其中所述检查步骤之前是回答步骤,用于对发送被包含在所述接收到的数据通信业务中的请求的所述源进行欺骗回答。
3.如权利要求2的方法,其中基于一个选择标准选择性地执行所述回答步骤,所述选择标准取决于所述接收到的数据通信业务的协议类型。
4.如权利要求2的方法,其中对于所述的检查步骤,仅从答复了所述欺骗回答的源和没有经受所述回答步骤的源处选择数据通信业务的所述出现事件。
5.如权利要求1的方法,其中所述检查步骤包括根据连接属性对所述出现事件分类。所述连接属性包括数据通信业务的源地址、源端口、协议类型和目的地端口中的一个。
6.如权利要求1的方法,还包括将所述攻击特征标记发送到被分配到所述第二数据网络的入侵检测器。
7.如权利要求1的方法,其中所述第一数据网络、第二数据网络和第三数据网络中的两个或全部被选择为是相同的、部分相同的、彼此连接的或被整体构造的。
8.如权利要求1的方法,还包括接收步骤,用于接收所述第二数据网络上以其上未被分配的地址为地址的数据通信业务;使用所述的攻击特征标记检查接收到的数据通信业务中指示攻击的数据;和当检测到指示攻击的数据后,产生报警信号。
9.如权利要求8的方法,包括重新路由步骤,用于在产生报警信号后,将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的数据通信业务重新路由到杀毒地址。
10.如权利要求8方法,包括报警步骤,用于在产生报警信号后,将报警信号发送到所述杀毒地址,所述报警信号优选地包括指示检测到的攻击的数据。
11.如权利要求8的方法,还包括通过提供用于辅助执行杀毒程序代码的指令以及执行杀毒程序代码中的一个,在对检测到的攻击进行处理时给予实体支持。
12.如权利要求8的方法,还包括给所述实体提供报告,所述报告包括与报警、杀毒、重新路由、记录、丢弃检测到的攻击的上下文中的数据通信业务中的一个有关的信息。
13.如权利要求1的方法,还包括为所述步骤中的至少一个步骤的执行给所述实体记账,优选地根据网络大小、所监视的未被分配的地址的数目、所监视的已分配的地址的数目、被检查的数据通信业务量、识别出的攻击的数量、产生的报警的数量、识别出的攻击的特征标记、被重新路由的数据通信业务量、实现的网络安全程度、所述实体的营业额中的一个确定记账的数额。
14.如权利要求1的方法,还包括为若干实体提供所述方法,并且将从所述实体中的一个实体的攻击处理中得出的技术数据用于所述实体中的其它实体的攻击处理。
15.一种用于给实体部署特征标记产生应用的方法,包括:
-将特征标记产生器连接到第一数据网络,用于从其上的请求中产生攻击特征标记,以便在所述实体使用的并且具有被分配给数据处理系统的多个地址的第二数据网络中使用,
-设置所述特征标记产生器,以便使用如权利要求1到13中任意一个的方法产生攻击特征标记,
-设置所述特征标记产生器,以便将产生的攻击特征标记发送到被连接到所述第二数据网络的入侵检测器。
16.一种用于从第一数据网络上的请求中产生攻击特征标记的装置,所述攻击特征标记可以用于第二数据网络,该装置包括:
-特征标记产生器,用于接收所述第一数据网络上的以第三数据网络中若干未被分配的地址为目的地址的数据通信业务,检查所述接收到的数据通信业务的若干出现事件以便发现公共数据子串,在发现了所述数据子串之后,从相应的数据通信业务中确定所述攻击特征标记,以便用于在所述第二数据网络中检测攻击,其中所述特征标记产生器被设计为通过对具有公共数据子串的出现事件的数目进行计数,所述公共数据子串具有预先确定的最小长度,并且将其数目超过了一个预先确定的数目的那些公共数据子串定义为所述攻击特征标记,来确定所述攻击特征标记。
17.如权利要求16的装置,其中所述特征标记产生器被设计为通过对发送被包含在所述接收到的数据通信业务中的所述请求的所述源进行欺骗回答,检查接收到的数据通信业务。
18.如权利要求17的装置,其中所述特征标记产生器被设计为仅从答复了所述欺骗回答的那些源和没有经受所述欺骗回答的那些源选择数据通信业务的所述出现事件。
19.如权利要求16的装置,其中所述特征标记产生器被设计为根据连接属性对所述出现事件分类,所述连接属性包括数据通信业务的源地址、源端口、协议类型和目的地端口中的一个。
20.如权利要求16的装置,其中所述特征标记产生器被设计为将所述攻击特征标记发送到被分配到所述第二数据网络的入侵检测器。
21.如权利要求16的装置,还包括入侵检测器,用于接收所述第一数据网络上以所述第二数据网络内若干未被分配的地址为地址的数据通信业务,使用所述的攻击特征标记检查接收到的数据通信业务中指示攻击的数据,和当检测到指示攻击的数据后,产生报警信号。
22.如权利要求16的装置,还包括被连接到所述入侵检测器的路由器,用于将从被分配给产生所述指示攻击的数据的数据处理系统的地址发起的数据通信业务重新路由到所述第三数据网络上的杀毒地址。
23.如权利要求22的装置,还包括被分配到所述杀毒地址的杀毒服务器,所述杀毒服务器被配备为在接收到所述报警信号后,向被分配给产生所述指示攻击的数据的数据处理系统的地址发送警告消息。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP03405393 | 2003-05-30 | ||
| EP03405393.4 | 2003-05-30 | ||
| PCT/IB2003/005453 WO2004107707A1 (en) | 2003-05-30 | 2003-11-24 | Network attack signature generation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1771709A CN1771709A (zh) | 2006-05-10 |
| CN1771709B true CN1771709B (zh) | 2010-04-07 |
Family
ID=33484075
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2003801103005A Pending CN1771708A (zh) | 2003-05-30 | 2003-11-20 | 检测网络攻击 |
| CN200380110301XA Expired - Fee Related CN1771709B (zh) | 2003-05-30 | 2003-11-24 | 用于产生网络攻击特征标记的方法和装置 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2003801103005A Pending CN1771708A (zh) | 2003-05-30 | 2003-11-20 | 检测网络攻击 |
Country Status (7)
| Country | Link |
|---|---|
| US (4) | US20070094722A1 (zh) |
| EP (2) | EP1629651A1 (zh) |
| KR (2) | KR100877664B1 (zh) |
| CN (2) | CN1771708A (zh) |
| AU (2) | AU2003280126A1 (zh) |
| TW (1) | TWI333613B (zh) |
| WO (2) | WO2004107706A1 (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI707565B (zh) * | 2019-04-19 | 2020-10-11 | 國立中央大學 | 網路攻擊者辨識方法及網路系統 |
Families Citing this family (72)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2004107706A1 (en) * | 2003-05-30 | 2004-12-09 | International Business Machines Corporation | Detecting network attacks |
| US7568229B1 (en) | 2003-07-01 | 2009-07-28 | Symantec Corporation | Real-time training for a computer code intrusion detection system |
| US7406714B1 (en) | 2003-07-01 | 2008-07-29 | Symantec Corporation | Computer code intrusion detection system based on acceptable retrievals |
| US8266177B1 (en) | 2004-03-16 | 2012-09-11 | Symantec Corporation | Empirical database access adjustment |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US8010685B2 (en) * | 2004-11-09 | 2011-08-30 | Cisco Technology, Inc. | Method and apparatus for content classification |
| US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
| KR100622670B1 (ko) * | 2004-12-07 | 2006-09-19 | 한국전자통신연구원 | 알려지지 않은 네트워크 공격에 대한 실시간 공격 패턴 검출 시스템 및 그 방법 |
| US7765596B2 (en) | 2005-02-09 | 2010-07-27 | Intrinsic Security, Inc. | Intrusion handling system and method for a packet network with dynamic network address utilization |
| US7444331B1 (en) | 2005-03-02 | 2008-10-28 | Symantec Corporation | Detecting code injection attacks against databases |
| US8095982B1 (en) | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Analyzing the security of communication protocols and channels for a pass-through device |
| US8095983B2 (en) * | 2005-03-15 | 2012-01-10 | Mu Dynamics, Inc. | Platform for analyzing the security of communication protocols and channels |
| CN100561492C (zh) * | 2005-03-24 | 2009-11-18 | 国际商业机器公司 | 网络攻击检测的方法和装置 |
| US8046374B1 (en) | 2005-05-06 | 2011-10-25 | Symantec Corporation | Automatic training of a database intrusion detection system |
| US7558796B1 (en) | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
| US7774361B1 (en) * | 2005-07-08 | 2010-08-10 | Symantec Corporation | Effective aggregation and presentation of database intrusion incidents |
| US7690037B1 (en) | 2005-07-13 | 2010-03-30 | Symantec Corporation | Filtering training data for machine learning |
| US8161548B1 (en) | 2005-08-15 | 2012-04-17 | Trend Micro, Inc. | Malware detection using pattern classification |
| US8769663B2 (en) | 2005-08-24 | 2014-07-01 | Fortinet, Inc. | Systems and methods for detecting undesirable network traffic content |
| US7840958B1 (en) * | 2006-02-17 | 2010-11-23 | Trend Micro, Inc. | Preventing spyware installation |
| JP4829982B2 (ja) | 2006-02-28 | 2011-12-07 | インターナショナル・ビジネス・マシーンズ・コーポレーション | ピアツーピア通信の検出及び制御 |
| US7540766B2 (en) * | 2006-06-14 | 2009-06-02 | Itron, Inc. | Printed circuit board connector for utility meters |
| US7881209B2 (en) * | 2006-07-27 | 2011-02-01 | Cisco Technology, Inc. | Method and system for protecting communication networks from physically compromised communications |
| KR100809416B1 (ko) * | 2006-07-28 | 2008-03-05 | 한국전자통신연구원 | 보안 시스템을 위한 최적 시그니처 자동 생성 장치 및 방법 |
| US7958230B2 (en) | 2008-09-19 | 2011-06-07 | Mu Dynamics, Inc. | Test driven deployment and monitoring of heterogeneous network systems |
| US7954161B1 (en) | 2007-06-08 | 2011-05-31 | Mu Dynamics, Inc. | Mechanism for characterizing soft failures in systems under attack |
| US8316447B2 (en) * | 2006-09-01 | 2012-11-20 | Mu Dynamics, Inc. | Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems |
| US9172611B2 (en) * | 2006-09-01 | 2015-10-27 | Spirent Communications, Inc. | System and method for discovering assets and functional relationships in a network |
| US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
| US8065729B2 (en) | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
| US8006078B2 (en) | 2007-04-13 | 2011-08-23 | Samsung Electronics Co., Ltd. | Central processing unit having branch instruction verification unit for secure program execution |
| US20080274725A1 (en) * | 2007-05-02 | 2008-11-06 | Ury George Tkachenko | Wireless multifunction network device |
| CN101384079A (zh) | 2007-09-03 | 2009-03-11 | 华为技术有限公司 | 一种终端移动时防止降质攻击的方法、系统及装置 |
| US7774637B1 (en) | 2007-09-05 | 2010-08-10 | Mu Dynamics, Inc. | Meta-instrumentation for security analysis |
| US8250658B2 (en) * | 2007-09-20 | 2012-08-21 | Mu Dynamics, Inc. | Syntax-based security analysis using dynamically generated test cases |
| CN101222513B (zh) * | 2008-01-28 | 2012-06-20 | 杭州华三通信技术有限公司 | 一种防止重复地址检测攻击的方法及网络设备 |
| US8732296B1 (en) * | 2009-05-06 | 2014-05-20 | Mcafee, Inc. | System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware |
| US8547974B1 (en) | 2010-05-05 | 2013-10-01 | Mu Dynamics | Generating communication protocol test cases based on network traffic |
| US8463860B1 (en) | 2010-05-05 | 2013-06-11 | Spirent Communications, Inc. | Scenario based scale testing |
| US9106514B1 (en) | 2010-12-30 | 2015-08-11 | Spirent Communications, Inc. | Hybrid network software provision |
| US8464219B1 (en) | 2011-04-27 | 2013-06-11 | Spirent Communications, Inc. | Scalable control system for test execution and monitoring utilizing multiple processors |
| US8621278B2 (en) | 2011-06-28 | 2013-12-31 | Kaspersky Lab, Zao | System and method for automated solution of functionality problems in computer systems |
| NL2007180C2 (en) * | 2011-07-26 | 2013-01-29 | Security Matters B V | Method and system for classifying a protocol message in a data communication network. |
| US8776241B2 (en) | 2011-08-29 | 2014-07-08 | Kaspersky Lab Zao | Automatic analysis of security related incidents in computer networks |
| US8972543B1 (en) | 2012-04-11 | 2015-03-03 | Spirent Communications, Inc. | Managing clients utilizing reverse transactions |
| EP2785009A1 (en) | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| EP2785008A1 (en) * | 2013-03-29 | 2014-10-01 | British Telecommunications public limited company | Method and apparatus for detecting a multi-stage event |
| US9641542B2 (en) | 2014-07-21 | 2017-05-02 | Cisco Technology, Inc. | Dynamic tuning of attack detector performance |
| US10356109B2 (en) * | 2014-07-21 | 2019-07-16 | Entit Software Llc | Security indicator linkage determination |
| US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
| US9407646B2 (en) | 2014-07-23 | 2016-08-02 | Cisco Technology, Inc. | Applying a mitigation specific attack detector using machine learning |
| US20160164886A1 (en) | 2014-10-17 | 2016-06-09 | Computer Sciences Corporation | Systems and methods for threat analysis of computer data |
| KR101631242B1 (ko) * | 2015-01-27 | 2016-06-16 | 한국전자통신연구원 | 잠재 디리클레 할당을 이용한 악성 트래픽의 시그니처의 자동화된 식별 방법 및 장치 |
| US9531750B2 (en) * | 2015-05-19 | 2016-12-27 | Ford Global Technologies, Llc | Spoofing detection |
| US10609053B2 (en) | 2015-11-24 | 2020-03-31 | Intel Corporation | Suspicious network traffic identification method and apparatus |
| KR20170060280A (ko) * | 2015-11-24 | 2017-06-01 | 한국전자통신연구원 | 탐지 규칙 자동 생성 장치 및 방법 |
| GB201603118D0 (en) | 2016-02-23 | 2016-04-06 | Eitc Holdings Ltd | Reactive and pre-emptive security system based on choice theory |
| US10432652B1 (en) | 2016-09-20 | 2019-10-01 | F5 Networks, Inc. | Methods for detecting and mitigating malicious network behavior and devices thereof |
| EP3563548B1 (en) * | 2016-12-30 | 2021-11-03 | British Telecommunications Public Limited Company | Historic data breach detection |
| EP3563543B1 (en) | 2016-12-30 | 2022-04-06 | British Telecommunications public limited company | Data breach detection |
| WO2018122051A1 (en) * | 2016-12-30 | 2018-07-05 | British Telecommunications Public Limited Company | Attack signature generation |
| CN108076038A (zh) * | 2017-06-16 | 2018-05-25 | 哈尔滨安天科技股份有限公司 | 一种基于服务器端口的c&c服务器判断方法及系统 |
| US11178174B2 (en) * | 2017-08-02 | 2021-11-16 | CipherTooth, Inc | Detecting man in the middle attacks on a local area network |
| US20190098051A1 (en) * | 2017-09-27 | 2019-03-28 | Cox Communications, Inc. | Systems and Methods of Virtual Honeypots |
| US10812509B2 (en) * | 2017-10-30 | 2020-10-20 | Micro Focus Llc | Detecting anomolous network activity based on scheduled dark network addresses |
| US10855701B2 (en) * | 2017-11-03 | 2020-12-01 | F5 Networks, Inc. | Methods and devices for automatically detecting attack signatures and generating attack signature identifications |
| CN110557355B (zh) * | 2018-05-31 | 2021-07-27 | 上海连尚网络科技有限公司 | 一种用于通过用户设备检测中间人攻击的方法与设备 |
| US11005868B2 (en) | 2018-09-21 | 2021-05-11 | Mcafee, Llc | Methods, systems, and media for detecting anomalous network activity |
| US11444961B2 (en) * | 2019-12-20 | 2022-09-13 | Intel Corporation | Active attack detection in autonomous vehicle networks |
| US11483318B2 (en) | 2020-01-07 | 2022-10-25 | International Business Machines Corporation | Providing network security through autonomous simulated environments |
| CN111507262B (zh) * | 2020-04-17 | 2023-12-08 | 北京百度网讯科技有限公司 | 用于检测活体的方法和装置 |
| US11876834B1 (en) * | 2021-08-11 | 2024-01-16 | Rapid7, Inc. | Secure verification of detection rules on test sensors |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE69131527T2 (de) * | 1990-04-23 | 2000-04-27 | Matsushita Electric Industrial Co., Ltd. | Datenübertragungssystem und -Verfahren |
| US5440723A (en) * | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
| US6275470B1 (en) * | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
| KR100331219B1 (ko) * | 2000-02-10 | 2002-04-06 | 이상원 | 인터넷 과금방법 및 시스템 |
| GB2362076B (en) * | 2000-05-03 | 2002-08-14 | 3Com Corp | Detection of an attack such as a pre-attack on a computer network |
| CA2410522C (en) * | 2000-06-30 | 2010-01-26 | Andrea Soppera | Packet data communications |
| US20020162017A1 (en) * | 2000-07-14 | 2002-10-31 | Stephen Sorkin | System and method for analyzing logfiles |
| WO2002013486A2 (en) * | 2000-08-07 | 2002-02-14 | Xacct Technologies Limited | System and method for processing network accounting information |
| US6381242B1 (en) * | 2000-08-29 | 2002-04-30 | Netrake Corporation | Content processor |
| GB0022485D0 (en) * | 2000-09-13 | 2000-11-01 | Apl Financial Services Oversea | Monitoring network activity |
| WO2003050644A2 (en) * | 2001-08-14 | 2003-06-19 | Riverhead Networks Inc. | Protecting against malicious traffic |
| JP3461816B2 (ja) * | 2000-11-15 | 2003-10-27 | 株式会社ソニー・コンピュータエンタテインメント | 情報分岐制御方法、通知信号生成方法、プログラム実行装置、処理プログラムが記録された記録媒体、及び処理プログラム |
| KR100351306B1 (ko) * | 2001-01-19 | 2002-09-05 | 주식회사 정보보호기술 | 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법 |
| WO2002061510A2 (en) * | 2001-01-31 | 2002-08-08 | Lancope, Inc. | Network port profiling |
| US7290283B2 (en) * | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| US20020116639A1 (en) * | 2001-02-21 | 2002-08-22 | International Business Machines Corporation | Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses |
| WO2002071227A1 (en) * | 2001-03-01 | 2002-09-12 | Cyber Operations, Llc | System and method for anti-network terrorism |
| US20020143963A1 (en) * | 2001-03-15 | 2002-10-03 | International Business Machines Corporation | Web server intrusion detection method and apparatus |
| US6970920B2 (en) * | 2001-04-11 | 2005-11-29 | International Business Machines Corporation | Methods, systems and computer program products for communicating with unconfigured network devices on remote networks |
| US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US7210168B2 (en) * | 2001-10-15 | 2007-04-24 | Mcafee, Inc. | Updating malware definition data for mobile data processing devices |
| US7743415B2 (en) * | 2002-01-31 | 2010-06-22 | Riverbed Technology, Inc. | Denial of service attacks characterization |
| US20040148521A1 (en) * | 2002-05-13 | 2004-07-29 | Sandia National Laboratories | Method and apparatus for invisible network responder |
| US20040162994A1 (en) * | 2002-05-13 | 2004-08-19 | Sandia National Laboratories | Method and apparatus for configurable communication network defenses |
| KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
| US7017186B2 (en) * | 2002-07-30 | 2006-03-21 | Steelcloud, Inc. | Intrusion detection system using self-organizing clusters |
| WO2004107706A1 (en) * | 2003-05-30 | 2004-12-09 | International Business Machines Corporation | Detecting network attacks |
-
2003
- 2003-11-20 WO PCT/IB2003/005328 patent/WO2004107706A1/en active Application Filing
- 2003-11-20 AU AU2003280126A patent/AU2003280126A1/en not_active Abandoned
- 2003-11-20 CN CNA2003801103005A patent/CN1771708A/zh active Pending
- 2003-11-20 US US10/558,848 patent/US20070094722A1/en not_active Abandoned
- 2003-11-20 KR KR1020057018428A patent/KR100877664B1/ko not_active IP Right Cessation
- 2003-11-20 EP EP03772503A patent/EP1629651A1/en not_active Withdrawn
- 2003-11-24 AU AU2003280190A patent/AU2003280190A1/en not_active Abandoned
- 2003-11-24 US US10/558,853 patent/US20070094728A1/en not_active Abandoned
- 2003-11-24 CN CN200380110301XA patent/CN1771709B/zh not_active Expired - Fee Related
- 2003-11-24 KR KR1020057018304A patent/KR100800370B1/ko not_active IP Right Cessation
- 2003-11-24 WO PCT/IB2003/005453 patent/WO2004107707A1/en active Application Filing
- 2003-11-24 EP EP03772560A patent/EP1629652A1/en not_active Withdrawn
-
2004
- 2004-05-03 TW TW093112419A patent/TWI333613B/zh not_active IP Right Cessation
-
2008
- 2008-05-29 US US12/128,834 patent/US8261346B2/en not_active Expired - Fee Related
- 2008-06-02 US US12/131,327 patent/US20080235799A1/en not_active Abandoned
Non-Patent Citations (2)
| Title |
|---|
| Lance Spitzner.Honeypots: Sticking It to Hackers.Network Magazine.2003,48-51. * |
| Nathalie Weiler.Honeypots for Distributed Denial of Service Attacks.IEEE.2002,109-114. * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI707565B (zh) * | 2019-04-19 | 2020-10-11 | 國立中央大學 | 網路攻擊者辨識方法及網路系統 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20090070870A1 (en) | 2009-03-12 |
| US20070094722A1 (en) | 2007-04-26 |
| WO2004107707A1 (en) | 2004-12-09 |
| EP1629652A1 (en) | 2006-03-01 |
| CN1771709A (zh) | 2006-05-10 |
| KR100800370B1 (ko) | 2008-02-04 |
| TWI333613B (en) | 2010-11-21 |
| AU2003280190A1 (en) | 2005-01-21 |
| AU2003280126A1 (en) | 2005-01-21 |
| EP1629651A1 (en) | 2006-03-01 |
| US20080235799A1 (en) | 2008-09-25 |
| KR20060013491A (ko) | 2006-02-10 |
| KR20060023952A (ko) | 2006-03-15 |
| US20070094728A1 (en) | 2007-04-26 |
| CN1771708A (zh) | 2006-05-10 |
| WO2004107706A1 (en) | 2004-12-09 |
| TW200428203A (en) | 2004-12-16 |
| US8261346B2 (en) | 2012-09-04 |
| KR100877664B1 (ko) | 2009-01-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1771709B (zh) | 用于产生网络攻击特征标记的方法和装置 | |
| CN109951500B (zh) | 网络攻击检测方法及装置 | |
| CN109314698B (zh) | 保护计算机网络与系统的抢占式响应安全系统 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
| CN107465648B (zh) | 异常设备的识别方法及装置 | |
| KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
| TW201703465A (zh) | 網路異常偵測技術 | |
| CN104509034A (zh) | 模式合并以识别恶意行为 | |
| JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
| CN102594825A (zh) | 一种内网木马的检测方法和装置 | |
| CN108270722B (zh) | 一种攻击行为检测方法和装置 | |
| CN109600362B (zh) | 基于识别模型的僵尸主机识别方法、识别设备及介质 | |
| CN111726342B (zh) | 一种提升蜜罐系统告警输出精准性的方法及系统 | |
| CN110061998B (zh) | 一种攻击防御方法及装置 | |
| KR20080026122A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
| JP7102780B2 (ja) | 不正通信対処システム及び方法 | |
| JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
| CN100561492C (zh) | 网络攻击检测的方法和装置 | |
| KR101041997B1 (ko) | 웹 방화벽의 능동적 탐지ㆍ차단을 위한 대응 시스템 및 그 방법 | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| Priya et al. | Network Attack Detection using Machine Learning | |
| CN111125489A (zh) | 一种数据抓取方法、装置、设备及存储介质 | |
| CN114070575A (zh) | 设备探测处理方法、装置、电子设备、存储介质和程序 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100407 Termination date: 20151124 |