CN1777874A - 在检测安全漏洞的基础上保护网络服务质量的系统和方法 - Google Patents

在检测安全漏洞的基础上保护网络服务质量的系统和方法 Download PDF

Info

Publication number
CN1777874A
CN1777874A CN200480010785.5A CN200480010785A CN1777874A CN 1777874 A CN1777874 A CN 1777874A CN 200480010785 A CN200480010785 A CN 200480010785A CN 1777874 A CN1777874 A CN 1777874A
Authority
CN
China
Prior art keywords
packet
take
attack
quality
iat
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200480010785.5A
Other languages
English (en)
Inventor
潘卡·帕雷克
山迪·古波塔
威杰·曼塔尼
沙拉伯·沙波
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
iPolicy Networks Inc
Original Assignee
iPolicy Networks Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by iPolicy Networks Inc filed Critical iPolicy Networks Inc
Publication of CN1777874A publication Critical patent/CN1777874A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/10Active monitoring, e.g. heartbeat, ping or trace-route
    • H04L43/106Active monitoring, e.g. heartbeat, ping or trace-route using time related information in packets, e.g. by adding timestamps
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/24Traffic characterised by specific attributes, e.g. priority or QoS
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/25Flow control; Congestion control with rate being modified by the source upon detecting a change of network conditions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/28Flow control; Congestion control in relation to timing considerations
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L47/00Traffic control in data switching networks
    • H04L47/10Flow control; Congestion control
    • H04L47/32Flow control; Congestion control by discarding or delaying data units, e.g. packets or frames
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Cardiology (AREA)
  • General Health & Medical Sciences (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本发明提供用于确保受保护计算机网络在面临安全漏洞时所提供的服务质量的系统、方法和计算机程序产品。通过对网络上的数据包采取安全服务质量(secure Quality of Service,sQoS)操作来确保服务质量。sQoS操作取决于数据包是否对应于它们所指向的计算机(称为目标计算机)上的攻击。如果数据包对应于攻击,那么操作还取决于攻击的类型。如果没有攻击,那么操作取决于来自同一源计算机并且指向同一目标计算机的数据包所发起的攻击历史。支持操作包括HardenFW(206)、ControlBW(208)和ConnectionLimit(210)。

Description

在检测安全漏洞的基础上保护网络服务质量的系统和方法
技术领域
本发明涉及保护计算机网络免于安全漏洞,例如入侵攻击的技术。更具体地,本发明涉及一种通过对计算机网络上的入侵攻击作出响应来保护计算机网络的服务质量的机构。
背景技术
入侵攻击是对计算机网络的几种最常见的攻击。这些攻击可以分成几种类别,例如特殊应用程序攻击(application specific attack)、后门攻击、拒绝服务(DoS)攻击和分布式拒绝服务(DDoS)攻击。特殊应用程序攻击利用应用程序运行的弱点来获得对原本拒绝攻击者访问的信息或数据的访问权。后门尝试一旦破坏网络或主机的安全防护就会留下特洛伊木马,攻击者可以使用这些特洛伊木马来随意地获得未经授权的访问权。DoS攻击试图使网络上的计算机所提供的服务瘫痪或无法使用,从而拒绝授权用户访问此服务。在通常的DoS攻击中,网络上的特殊计算机试图使服务瘫痪。一种更危险的DoS攻击是DDoS攻击。在此类攻击中,实施攻击的计算机通常控制着网络上的大量计算机,并且通过这些计算机来攻击主计算机。因此,合法用户仿佛是攻击者,而真正的攻击者却难以检测到。
近年来,互联网上的流量巨大地增加。同时,互联网上的黑客行为也随之增加。由此增加了计算机网络上的入侵攻击威胁。
计算机网络上日益增加的入侵攻击威胁导致了对保护计算机网络免受这些攻击的机构的强烈需求。通过这些机构,互联网服务提供商(ISP)可以向用户提供更加安全的互联网访问,而不会中断网络的操作。ISP需要一种能够检测、防止并对任一部分网络中的未授权行为作出反应的入侵保护方案。如果没有这类有效的入侵攻击保护机构,ISP就无法使用户相信他们可以提供安全的网络基础架构。
由于企业网络、政府网络和军用网络上日益增加的入侵攻击和网络恐怖主义威胁,所以他们有着同样强烈(如果不是更强烈)的需求。因此,越来越迫切地需要这些网络的安全管理员适当地实施有效的机构来保护他们的网络免受这些攻击。然而,目前的网络架构经证明不足以完全保护这些网络免受这类攻击。
在过去,已经针对互联网等网络开发了多种入侵检测系统。到目前为止,已经开发了两种主要的入侵检测装置。它们是基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统通常在它们所保护的主机系统上运行。代理软件安装在将要监控的主机服务器上。这个代理软件追踪主机服务器上的未授权访问尝试或其它未授权行为。
基于网络的入侵检测系统通常在网络本身上运行。通常,代理程序安装在局域网(LAN)网段上或防火墙后,以便监控并分析网络流量。这些基于网络的入侵检测系统通常是在网络上以混杂模式运行时进行入侵检测。这些系统观测网络流量,并且将它与之前所识别的入侵攻击签名进行比较。
然而,仅仅依靠检测入侵攻击还不能防止这些攻击。而需要能够对这些攻击作出响应以便保护网络免受这些攻击的机构。同样地,对DDoS攻击作出有效响应存在一定的挑战。
因此,需要能够对这些攻击作出有效且适当的响应以便保护ISP、企业和其它网络的机构。另外,需要能够对包括DDoS攻击在内的各种入侵攻击作出有效响应以便保护网络免受这些入侵攻击的机构。此外,需要即使在面临入侵攻击时也能保持所保护的计算机网络的服务质量等级的机构。
发明内容
本发明涉及用于对数据包采取安全服务质量(secure Quality of Service,sQoS)操作的系统、方法和计算机程序产品,所述数据包传输至受保护的计算机网络,采取这些操作后即使在面临入侵攻击时也能确保服务质量。
根据一个方面,本发明提供通过对入侵攻击作出sQoS响应而对试图降低计算机网路的服务质量的尝试作出反攻击的系统、方法和计算机程序产品。
根据另一个方面,本发明提供用于保护计算机网络上的计算机免受入侵攻击的系统、方法和计算机程序产品,其中通过利用计算机上的入侵攻击历史来提供所述保护。
根据另一个方面,本发明提供用于存储关于计算机网络中的计算机上的入侵攻击的历史信息的系统、方法和计算机程序产品。
根据另一个方面,本发明提供用于控制来自源计算机网络和/或流向目标计算机网络的被怀疑可能发起入侵攻击的数据包的流动的系统、方法和计算机程序产品,其中在检测入侵攻击的基础上控制流动,并且根据可疑数据包的长度来控制流动。
根据另外一个方面,本发明提供用于控制来自源计算机网络和/或流向目标计算机网络的被怀疑可能发起入侵攻击的数据包的流动的系统、方法和计算机程序产品,其中在检测入侵攻击的基础上控制流动,并且根据新的提供服务的请求的到达速率来控制流动。
根据再一个方面,本发明提供用于控制来自源计算机网络和/或流向目标计算机网络的被怀疑可能发起入侵攻击的数据包的流动的系统、方法和计算机程序产品,其中在检测入侵攻击的基础上控制流动,并且通过针对来自源计算机网络的流量加固网络上的防火墙来控制流动。
附图说明
下文将结合附图描述本发明的较佳实施例,提供附图是为了说明而非限制本发明,其中类似的标号表示类似的元件,且其中:
图1示出一个示范性的策略代理程序的功能模块;
图2示出根据本发明的一个较佳实施例的入侵攻击者表(IAT)中的每个记录的属性;
图3示出根据本发明的一个较佳实施例的入侵计数器表(COT)中的每个记录的属性;
图4A、图4B和图4C示出在怀疑一个数据包是可能发起攻击的数据包之一的情况下对这个数据包采取的sQoS操作;
图5A、图5B和图5C示出对一个数据包采取的sQoS操作,而不论是否怀疑这个数据包可能发起攻击;
图6A和图6B示出对一个数据包采取ControlBW sQoS操作的步骤;
图7A和图7B示出对一个数据包采取ConnectionLimit sQoS操作的步骤;并且
图8示出更新入侵计数器表(COT)或入侵攻击者表(IAT)的步骤。
具体实施方式
本文所用的术语“数据包”广义地指在任何包交换网络或其它网络上传送的数据单元,包括传输控制协议/网际协议(TCP/IP)包、用户数据报协议(UDP)包(又称为数据报)或任何其它这类数据单元。
下文中,将发出数据包的计算机称为源计算机。同时,将数据包所指向的计算机称为目标计算机。源计算机和目标计算机可以是计算机网络上的多台计算机中的任两台计算机。
本发明提供用于对计算机网络上的一或多个数据包采取安全服务质量(sQoS)操作的系统、方法和计算机程序产品。采取所述操作后可以对网络上的一或多台计算机上的安全漏洞(例如,入侵攻击)作出响应。
根据各种检测机制,可以将入侵攻击分为基于包的攻击、基于序列的攻击和基于计数器的攻击。基于包的攻击是在任何包与一个规定的入侵特性相匹配时检测到的。基于序列的攻击是在一系列的包与一个规定的入侵特性相匹配时检测到的。基于计数器的攻击是在规定时间间隔内到达的包的数量与一个规定的入侵特性相匹配时检测到的。
基于计数器的攻击又可以是以下两种攻击中的一种,DoS攻击和DDoS攻击。在基于计数器的DoS攻击中,一台源计算机攻击网络上的一或多台目标计算机。在这种情况下,存在一个入侵攻击源,可以通过对这台源计算机采取sQoS操作而对攻击作出响应。
在基于计数器的DDoS攻击中,多台源计算机攻击网络上的一或多台目标计算机。在这种情况下,对来自所有实施攻击的源计算机的数据包采取操作并不可行。例如,阻断来自大量源计算机的数据包的通道可能并不可行。这个问题还伴随有这样一个事实,那就是实施攻击的源计算机实际上可能受网络上的另一台计算机的控制。因此,为了对基于计数器的DDoS攻击作出响应,要对指向受攻击目标计算机的被怀疑可能发起攻击的数据包采取操作。
根据攻击类型的不同,可以采取多种操作。例如,在一种类型的操作中,可以限制或者甚至阻断来自一台特殊源计算机的数据包的通道。为了对基于包的攻击、基于序列的攻击和基于计数器的DoS攻击作出响应而采取的操作包括(但不限于)加固防火墙(“HardenFW”)、控制带宽(“ControlBW”)和限制连接数(“ConnectionLimit”)。HardenFW操作包括加固防火墙以便阻断来自实施攻击的源计算机的数据包的通道。ControlBW操作包括根据数据包的长度限制来自实施攻击的源计算机的数据包的通道。ConnectionLimit操作包括限制实施攻击的源计算机与被攻击的目标计算机之间的连接数。为了对基于计数器的DDoS攻击作出响应而采取的操作包括(但不限于)ControlBW和ConnectionLimit。所有这些操作都将在稍后详细论述。
设想本发明可在下文称为策略代理程序(Policy Agent)的集成的策略实施系统内运行。策略代理程序可以体现为产品,例如由iPolicy Networks Inc.of Fremont,CA提供的ipEnforcer 5000。这个产品用于对网络实施管理策略,其放在包进入网络的位置。另外,策略代理程序可以用诸如C、汇编等编程语言编码。
策略代理程序在数据包经过时扫描数据包,并且对这些包实施网络策略。虽然策略代理程序可以采用不同的方式提供,但是在2002年1月17日申请的题为“Architecture for an Integrated Policy Enforcement System”的美国专利申请第10/052,745号中,可以找到对一种此类策略代理程序的描述,这篇美国专利申请的全部内容以引用的方式并入本文中。但是,注意,所属技术领域的技术人员可以使本发明适于在其它策略代理程序中运行。
主要参照图1,下文将详细描述一个示范性的策略代理程序的各个功能模块。策略代理程序包括总扩展名生成器102、会话高速缓存模块104、应用程序编码模块106、规则引擎模块108和策略实体110。策略代理程序还由策略管理器112支持。进入策略代理程序的包经过这些功能模块。每个功能模块都将它的输出附加到包中的扩展名,然后供策略代理程序的后续模块使用。
总扩展名生成器102处理与开放系统互连(OSI)的第2层和第3层相关的信息的包头(packet header)。
会话高速缓存模块104处理与OSI的第4层及其以上层相关的信息的包头。
应用程序编码模块106识别产生包的应用程序,并且当包从一个应用程序状态转变为另一个应用程序状态时追踪包。
规则引擎模块108根据从前面几个模块收集到的信息做出策略决定。它识别与包匹配的规则,并且将此信息传给策略实体110。
策略实体110包含多个策略处理模块,它们又称为服务应用模块(SAM)。这些模块根据要求进一步分析包,并且实施策略。SAM包括(但不限于)防火墙模块、入侵检测系统(IDS)模块、虚拟专用网络(VPN)模块和提供sQoS操作的模块(下文称为sQoS模块)。
策略管理器112包括多种策略规则,它们由策略代理程序执行。
IDS模块对在网络上流动的每个数据包应用一组入侵检测策略,以便确定数据包是否对应于攻击。如果其中一个IDS模块检测到攻击,那么它还确定攻击的类型,攻击可以是基于计数器的攻击,也可以是基于包的攻击或基于序列的攻击。然后,IDS模块将此信息传给复数个sQoS模块中的一个sQoS模块。然后,这个sQoS模块根据本发明的一个实施例对此数据包采取操作。
虽然IDS模块可以采用不同的方式提供,但是在2002年1月17日申请的题为“System and Method for Detection of Intrusion Attacks on PacketsTransmitted on a Network”的美国专利申请第10/052,328号中,可以找到对一个此类IDS模块的描述,这篇美国专利申请的全部内容以引用的方式并入本文中。然而,注意,所属技术领域的技术人员也可以使本发明适于结合其它IDS模块运行。还应注意,虽然已经描述了关于IDS模块的安全服务质量操作的触发,但是其它SAM模块(例如,防火墙或杀毒软件)也可触发安全服务质量操作。
由IDS模块传送的这个信息起到触发sQoS模块采取相关操作的作用。如上所述,根据是否存在攻击以及攻击的类型,sQoS模块对数据包采取适当的操作。
在攻击是基于包的攻击、或基于序列的攻击、或基于计数器的DoS攻击的情况下,使用入侵攻击者表(Intrusion Attacker Table,IAT)有助于采取适当的操作。这个表中存储了决定操作类型和范围的各种属性。IAT中还存储了关于过往攻击的历史信息。例如,此信息可以包含之前为了对来自特殊源计算机的攻击作出响应而采取的操作。此信息也可包括之前那些操作生效的时间周期。此信息用于对来自已经实施攻击的源计算机的数据包采取适当的操作。
IAT的每个记录中所存储的属性包括(但不限于)已经实施攻击的源计算机的IP地址、对发起攻击的数据包采取的操作和此项操作生效的时间周期。每个记录还可包括任何被视为是对后续数据包采取操作所必需的其它属性。
使用IAT还有助于即使在没有攻击的时候对数据包采取适当的操作。在这种情形下,根据IAT处理数据包。根据IAT处理数据包的过程包括搜索IAT中与源计算机的IP地址对应的记录。如果存在这样的记录,并且此类记录中所存储的操作的时间周期尚未期满,那么对数据包采取这项操作。更多关于根据IAT处理数据包的步骤的细节稍后将论述。
现在主要参照图2,下文将详细描述根据本发明的一个较佳实施例的IAT中的每个记录的属性。IAT中的记录200包含下列属性:
OutIP 202-OutIP 202表示发起入侵的源计算机的IP地址。
IAT操作204-IAT操作204表示在存在攻击的情况下对数据包采取的操作。此项操作包括(但不限于)HardenFW、ControlBW和ConnectionLimit。
FW加固时间周期206-FW加固时间周期206表示对OutIP施加的HardenFW操作的有效时间间隔。
BW控制时间周期208-BW控制时间周期208表示对OutIP施加的ControlBW操作的有效时间间隔。
Conn限制时间周期210-Conn限制时间周期210表示对OutIP施加的ConnectionLimit操作的有效时间间隔。
FW加固开始时间212-FW加固开始时间212表示对OutIP施加HardenFW操作的初始时间戳。
BW控制开始时间214-BW控制开始时间214表示对OutIP施加ControlBW操作的初始时间戳。
Conn限制开始时间216-Conn限制开始时间216表示对OutIP施加ConnectionLimit操作的初始时间戳。
BW当前令牌218-BW当前令牌218表示在采取ControlBW操作的情况下为了控制带宽而可以在数据包中传送的数据的字节数。
Conn当前令牌220-Conn当前令牌220表示在采取ConnectionLimit操作的情况下为了控制速率而可以允许的连接数。
BW令牌时间戳222-BW令牌时间戳222表示最后一次更新BW当前令牌值时的时间戳。
Conn令牌时间戳224-Conn令牌时间戳224表示最后一次更新Conn当前令牌值时的时间戳。
Max BW 226-Max BW 226表示OutIP的BW当前令牌值的上限。
最大连接率228-最大连接率228表示OutIP的Conn当前令牌值的上限。
在攻击是基于计数器的DDoS攻击的情况下,使用入侵计数器表(Intrusion Counter Table,COT)有助于采取操作。COT根据被攻击的计算机的IP地址存储信息。同时,在COT中没有与HardenFW操作相关的属性。
现在主要参照图3,下文将详细描述根据本发明的一个较佳实施例的COT中的每个记录的属性。COT中的记录300包含下列属性:
InIP 302-InIP 302表示受攻击的目标计算机的IP地址。
BW/Conn当前令牌304-在采取ConrolBW操作的情况下,BW/Conn当前令牌304表示为了控制带宽而可以在数据包中传送的数据的字节数;在采取ConnectionLimit操作的情况下,BW/Conn当前令牌304表示为了控制速率而可以允许的连接数。
BW/Conn令牌时间戳306-BW/Conn令牌时间戳306表示最后一次更新BW/Conn当前令牌值时的时间戳。
Max BW/连接率308-Max BW/连接率308表示InIP的BW/Conn当前令牌值的上限。
下文将描述支配sQoS模块在接收来自IDS模块的触发信息时作出的响应的各种策略。
现在主要参照图4A、图4B和图4C,下文将详细描述当IDS所传送的信息对应于攻击时的sQoS操作。在步骤402,sQoS模块取得为对攻击作出响应而将采取的操作。随后在步骤404进行检查,以便确定IDS所传送的信息是否对应于基于计数器的DDoS攻击。如果这个信息不是对应于基于计数器的DDoS攻击,那么在步骤406进行检查,以便确定操作是否是HardenFW。如果操作是HardenFW,那么在步骤408更新IAT,并且在步骤410对数据包采取操作。HardenFW操作包括将包标记为将要丢弃。随后,如图所示,借助于连接器412,传送包以用于根据IAT进行处理。
不管攻击的类型如何,在步骤414进行检查,以便确定操作是否是ControlBW。如果操作是ControlBW,那么在步骤416更新COT或IAT。根据攻击类型选择将要更新的表。如果攻击是基于计数器的DDoS攻击,那么更新COT,而如果攻击是基于包的攻击、或基于序列的攻击、或基于计数器的DoS攻击,那么更新IAT。随后在步骤420,对数据包采取操作。然后,如图所示,借助于连接器412,传送包以用于根据IAT进行处理。更多关于ControlBW操作的细节稍后将论述。
现在回到步骤414,如果操作不是ControlBW,那么在步骤422进行检查,以便确定操作是否是ConnectionLimit。如果操作是ConnectionLimit,那么在步骤424,更新COT或IAT。如果攻击是基于计数器的DDoS攻击,那么更新COT,而如果攻击是基于包的攻击、或基于序列的攻击、或基于计数器的DoS攻击,那么更新IAT。随后在步骤428,对数据包采取操作。然后,如图所示,借助于连接器412,传送包以用于根据IAT进行处理。更多关于ConnectionLimit操作的细节稍后将论述。
回到步骤422,如果操作不是ConnectionLimit,那么在步骤430进行检查,以便确定操作是否是丢弃(Drop)。如果操作是丢弃,那么在步骤432,将数据包标记为将要丢弃。随后传送包,以用于在步骤434根据IAT进行处理。
回到步骤430,如果操作不是丢弃,那么在步骤436进行检查,以便确定操作是否是报警(Alert)。如果操作是报警,那么在步骤438产生一个警报消息。随后传送包,以用于在步骤434根据IAT进行处理。
回到步骤436,如果操作不是报警,那么在步骤440进行检查,以便确定操作是否是记录(Log)。如果操作是记录,那么在步骤442,用关于入侵的信息更新记录表。随后传送包,以用于在步骤434根据IAT进行处理。
回到步骤440,如果操作不是记录,那么不采取任何操作即传送数据包,以用于在步骤434根据IAT进行处理。
现在主要参照图5A、图5B和图5C,下文将详细描述传送数据包以便根据IAT进行处理时的sQoS操作。在步骤502,sQoS模块检查数据包是否是IP包。如果数据包不是IP包,那么如图所示,借助于连接器504,释放包。但是,如果数据包是IP包,那么sQoS模块查找与源计算机的IP地址(下文称为OutIP)对应的记录。如果在步骤506没有发现这样的记录,那么如图所示,借助于连接器504,释放包。但是,如果在IAT中存在与OutIP对应的记录,那么在步骤508,sQoS模块从IAT中的记录获取相应操作。
在步骤510进行检查,以便确定操作是否是ControlBW。参照步骤510,如果操作是ControlBW,那么在步骤512,sQoS模块利用IAT记录的属性BW控制开始时间和BW控制时间周期来检查操作的生效周期是否已经期满。如果这个周期尚未期满,那么在步骤514,对数据包采取ControlBW操作。随后,不管步骤512的结果如何,如图所示,借助于连接器504,释放包。关于ControlBW操作的细节稍后将揭示。
回到步骤510,如果操作不是ControlBW,那么在步骤516进行检查,以便确定操作是否是ConnectionLimit。如果操作是ConnectionLimit,那么在步骤518,sQoS模块利用IAT记录的属性Conn限制开始时间和Conn限制时间周期来检查操作的生效周期是否已经期满。如果这个周期已经期满,那么不对包采取任何操作。但是,如果这个周期尚未期满,那么在步骤520,对数据包采取ConnectionLimit操作。随后,不管步骤518的结果如何,如图所示,借助于连接器504,释放包。关于ConnectionLimit操作的细节稍后将揭示。
回到步骤516,如果操作不是ConnectionLimit,那么在步骤522进行检查,以便确定操作是否是HardenFW。如果操作是HardenFW,那么在步骤524,sQoS模块利用IAT记录的属性FW加固开始时间和FW加固时间周期来检查操作的生效周期是否已经期满。如果这个周期已经期满,那么不对包采取任何操作。但是,如果这个周期尚未期满,那么在步骤526,将包标记为将要丢弃。随后,不管步骤524的结果如何,在步骤528释放包。
如上所述,可以对数据包采取的操作之一是ControlBW。这项操作包括根据数据包的长度来控制网络上的数据包的通道。现在主要参照图6A和图6B,下文将详细描述ControlBW操作。在步骤602进行检查,以便确定攻击是否是基于计数器的DDoS攻击。如果攻击是基于计数器的DDoS攻击,那么在步骤604,从COT检索与InIP对应的记录。如果攻击不是基于计数器的DDoS攻击,那么在步骤606,从IAT查找与OutIP对应的记录。在从合适的表中检索记录后,在步骤608,获得当前时间戳值。
在步骤610,将BW令牌时间戳值与当前时间戳值进行比较。如果当前时间戳值比BW令牌时间戳值大至少预定的值t1,那么在步骤612,在记录中增加BW当前令牌值。
随后在步骤614,用当前时间戳值更新BW令牌时间戳值。然后,不管步骤610的结果如何,在步骤616,将BW当前令牌值与考虑中的数据包的长度进行比较。如果数据包的长度大于BW当前令牌值,那么在步骤618,将数据包标记为将要丢弃。否则在步骤620,将BW当前令牌值减去一个等于数据包长度的量。
在本发明的一个较佳实施例中,将t1的值设为1秒。同时,当满足所需条件时,BW当前令牌值增大为Max BW。
在本发明的一个替代实施例中,BW当前令牌值的增大与当前时间戳值与BW令牌时间戳值之间的差值成比例。
可以对数据包采取的另一项操作是Connection Limit。这项操作包括根据新连接请求数据包的到达速率来控制数据包的通道。现在主要参照图7A和图7B,下文将详细描述Connection Limit操作。在步骤702进行检查,以便确定数据包是否是一个新的连接请求数据包。如果数据包不是新的连接请求数据包,那么不对数据包采取任何操作。否则在步骤704进行检查,以便确定攻击是否是基于计数器的DDoS攻击。如果攻击是基于计数器的DDoS攻击,那么在步骤706,从COT检索与InIP对应的记录。如果攻击不是基于计数器的DDoS攻击,那么在步骤708,从IAT查找与OutIP对应的记录。在从合适的表检索记录后,在步骤710,获得当前时间戳值。
在步骤712,将Conn令牌时间戳值与当前时间戳值进行比较。如果当前时间戳值比Conn令牌时间戳值大至少预定的值t2,那么在步骤714,在记录中增加Conn当前令牌值。
随后在步骤716,用当前时间戳值更新Conn令牌时间戳值。然后,不管步骤712的结果如何,在步骤718,将Conn当前令牌值与考虑中的数据包的长度进行比较。如果数据包的长度大于Conn当前令牌值,那么在步骤720,将数据包标记为将要丢弃。否则在步骤722,将Conn当前令牌值减1。
在本发明的一个较佳实施例中,将t2值设为1秒。同时,当满足所需条件时,Conn当前令牌值增大为最大连接率。
在本发明的一个替代实施例中,Conn当前令牌值的增大与当前时间戳与Conn令牌时间戳之间的差值成比例。
如上所述,如果存在攻击,那么sQoS模块所采取的操作可以包括更新IAT或COT。更新方法如本文所述。现在主要参照图8,下文将详细描述更新IAT或COT的步骤。
在步骤802进行检查,以便确定攻击是否是基于计数器的DDoS攻击。如果攻击是基于计数器的DDoS攻击,那么在步骤804进行检查,以便确定在COT中是否存在与InIP对应的记录。如果在COT中没有与InIP对应的记录,那么在步骤806,在COT中创建一个新记录。
回到步骤802,如果攻击不是基于计数器的DDoS攻击,那么在步骤808进行检查,以便确定在IAT中是否存在与OutIP对应的记录。如果在IAT中没有与OutIP对应的记录,那么在步骤810,在IAT中创建一个新记录。但是,如果存在与OutIP对应的记录,那么在步骤812,检索这个记录。随后,在步骤814,更新这个记录的两个或两个以上属性。例如,如果操作是HardenFW,那么相应地更新IAT操作,同时更新FW开始时间。但是,FW加固周期可以更新也可以不更新。如果操作是ControlBW,那么相应地更新IAT操作,同时更新BW开始时间。但是,BW控制周期可以更新也可以不更新。如果操作是ConnectionLimit,那么相应地更新IAT操作,同时更新Conn开始时间。但是,Conn限制周期可以更新也可以不更新。
在本发明的一个较佳实施例中,结合多个哈希表来构建COT和IAT。当其中一个哈希表含有COT中的记录的密钥时,其它哈希表含有IAT中的记录的密钥。当在COT或IAT中增加一个新记录时,同时更新对应的哈希表。
本发明的一个优点是,它对网络上的计算机上的入侵攻击作出响应,同时使服务质量保持在一定的安全等级。本发明的另一个优点是,除了传统的DoS攻击外,它还通过采取适当的操作而对DDoS攻击作出响应。本发明的又一个优点是,它通过利用入侵攻击历史来保护网络上的计算机,使它们免受入侵攻击。
如上所述,本发明是结合策略代理程序的IDS及其它模块实现此目标的。
本发明所述的系统或其任一组件可以体现为处理机的形式。处理机的典型实例包括通用计算机、程序化微处理器、微控制器、外围集成电路元件和其它能够实施构成本发明的方法的步骤的装置或装置配置。
处理机通过执行存储在一或多个存储元件中的一组指令来处理输入数据。根据需要,存储元件也可保存数据或其它信息。存储元件可以是存在于处理机中的数据库或物理存储元件的形式。
这组指令可以包括各种指示处理机执行特殊任务(例如,构成本发明的方法的步骤)的指令。这组指令可以是程序或软件的形式。软件可以是各种形式,例如系统软件或应用软件。另外,软件也可能是单独程序的集合、具有较大程序的程序模块或程序模块的一部分的形式。软件也可能包括面向对象编程形式的模块编程。通过处理机处理输入数据可以对用户命令作出响应,或对之前的处理结果作出响应,或对另一处理机的请求作出响应。
所属技术领域的技术人员应了解,各种处理机和/或存储元件并不需要在物理上位于同一地理位置。处理机和/或存储元件可以在地理上位于不同位置,并且相互连接,以便能够进行通信。可以使用各种通信技术在处理机和/或存储元件之间实现通信。这些技术包括网络形式的处理机和/或存储元件之间的会话。网络可以是内联网、外联网、互联网或任何允许通信的客户端服务器模型。这些通信技术可以使用各种协议,例如TCP/IP、UDP、ATM或OSI。
尽管上文说明并描述了本发明的较佳实施例,但是很明显,本发明不只限于这些实施例。在不脱离权利要求书中所描述的本发明的精神和范围的前提下,所属技术领域的技术人员可以明白各种修改、改变、变化、替换和等价形式。

Claims (14)

1.一种确保受保护的计算机网络在面临安全漏洞时所提供的服务质量的方法,所述服务质量是通过对一或多个数据包采取安全服务质量操作来确保的,所述数据包从一或多台源计算机指向一台目标计算机,所述源计算机和所述目标计算机是计算机网络的一部分,采取所述安全服务质量操作后可以对从外部系统接收到的触发信息作出响应,所述外部系统确定所述数据包中的一或多个数据包是否会对所述目标计算机发起攻击,所述外部系统还确定攻击类型,并且所述外部系统传送关于攻击类型的信息作为所述触发信息,所述方法包括下列步骤:
a.对所述数据包中的每个数据包采取所述安全服务质量操作,所述操作取决于接收到的所述触发信息;并且
b.在采取完所述操作后释放所述数据包。
2.如权利要求1所述的方法,其中所述采取所述安全服务质量操作的步骤包括在所述数据包中附加数据的步骤,所述附加数据指明处理器将要采取的操作,所述数据包在释放后转向所述处理器。
3.一种确保受保护的计算机网络在面临安全漏洞时所提供的服务质量的方法,所述服务质量是通过对一或多个数据包采取安全服务质量操作来确保的,所述数据包从一或多台源计算机指向一台目标计算机,所述源计算机和所述目标计算机是计算机网络的一部分,采取所述安全服务质量操作后可以对从外部系统接收到的触发信息作出响应,所述外部系统确定所述数据包中的一或多个数据包是否会对所述目标计算机发起攻击,所述外部系统还确定攻击类型,并且所述外部系统传送关于攻击类型的信息作为所述触发信息,所述方法包括下列步骤:
a.对所述数据包中的每个数据包采取所述安全服务质量操作,所述操作取决于接收到的所述触发信息,所述对所述数据包中的每个数据包采取所述安全服务质量操作的步骤进一步包括下列步骤:
i.确定所述触发信息是否对应于一攻击,
ii.如果所述触发信息对应于一攻击,那么检查所述攻击是否是基于计数器的DDoS攻击,
iii.如果所述攻击是基于计数器的DDoS攻击,那么采取下列步骤:
(1)采取对应于基于计数器的DDoS攻击的操作,并且
(2)根据IAT处理所述包,所述IAT含有多个记录,这些记录存储对应于一或多台源计算机所发起的基于包的攻击和基于序列的攻击的信息,
iv.如果所述触发信息对应于一攻击,并且如果所述攻击不是基于计数器的DDoS攻击,那么采取下列步骤:
(1)采取对应于基于包的攻击、基于序列的攻击或基于计数器的DoS攻击的操作,并且
(2)根据所述IAT处理所述包,并且
v.如果所述触发信息不对应于一攻击,那么根据所述IAT处理所述包;并且
b.在采取完所述操作后释放所述数据包。
4.如权利要求3所述的方法,其中所述采取所述安全服务质量操作的步骤进一步包括在所述数据包中附加数据的步骤,所述附加数据指明处理器将要采取的操作,所述数据包在释放后转向所述处理器。
5.如权利要求3所述的方法,其中所述采取对应于基于计数器的DDoS攻击的操作的步骤包括下列步骤:
a.确定将要采取的操作是否是ControlBW;
b.如果将要采取的操作是ControlBW,那么采取下列步骤:
i.更新COT,并且
ii.限制所述数据包向所述目标计算机的流动,所述流动是根据所述数据包的长度来进行限制的;
c.如果将要采取的操作不是ControlBW,那么确定将要采取的操作是否是ConnectionLimit;
d.如果将要采取的操作是ConnectionLimit,那么采取下列步骤:
i.更新所述COT,并且
ii.控制到所述目标计算机的连接数;
e.如果将要采取的操作不是ConnectionLimit,那么确定将要采取的操作是否是丢弃;
f.如果将要采取的操作是丢弃,那么将所述包标记为将要丢弃;
g.如果将要采取的操作不是丢弃,那么检查将要采取的操作是否是报警;
h.如果将要采取的操作是报警,那么指示一警报消息;
i.如果将要采取的操作不是报警,那么检查将要采取的操作是否是记录;
j.如果将要采取的操作是记录,那么用关于入侵的信息更新一个日志文件;并且
k.传送所述包以用于根据所述IAT进行处理。
6.如权利要求3所述的方法,其中所述采取对应于基于包的攻击、基于序列的攻击或基于计数器的DoS攻击的操作的步骤包括下列步骤:
a.确定将要采取的操作是否是HardenFW;
b.如果将要采取的操作是HardenFW,那么采取下列步骤:
i.更新IAT,所述IAT含有多个记录,这些记录存储对应于一或多台源计算机所发起的基于包的攻击和基于序列的攻击的信息,
ii.加固防火墙,所述防火墙经过加固后可以阻断所述数据包的流动;并且
c.如果将要采取的操作不是HardenFW,那么确定将要采取的操作是否是ControlBW;
d.如果将要采取的操作是ControlBW,那么采取下列步骤:
i.更新所述IAT,并且
ii.限制来自所述源计算机的所述数据包的流动,所述流动是根据所述数据包的长度来进行限制的;
e.如果将要采取的操作不是ControlBW,那么确定将要采取的操作是否是ConnectionLimit;
f.如果将要采取的操作是ConnectionLimit,那么采取下列步骤:
i.更新所述IAT,并且
ii.控制来自所述源计算机的连接数;
g.如果将要采取的操作不是ConnectionLimit,那么确定将要采取的操作是否是丢弃;
h.如果将要采取的操作不是丢弃,那么检查将要采取的操作是否是报警;
i.如果将要采取的操作是报警,那么指示警报消息;
j.如果将要采取的操作不是报警,那么检查将要采取的操作是否是记录;
k.如果将要采取的操作是记录,那么用关于所述攻击的信息更新一个日志文件;并且
l.传送所述包以用于根据所述IAT进行处理。
7.如权利要求3所述的方法,其中所述根据所述IAT处理所述包的步骤包括下列步骤:
a.检查所述数据包是否是一个IP包;
b.如果所述数据包是一个IP包,那么检查在所述IAT中是否存在一个与所述源计算机的IP地址对应的记录;
c.如果在所述IAT中存在一个与所述源计算机的所述IP地址对应的记录,那么检索这个记录;
d.检索将要采取的操作,所述检索是从所述记录进行;
e.检查将要采取的操作是否是ControlBW;
f.如果将要采取的操作是ControlBW,那么检查BW控制周期是否已经期满;
g.如果所述BW控制周期尚未期满,那么限制所述数据包的流动,所述流动是根据所述数据包的长度来进行限制的;
h.如果将要采取的操作不是ControlBW,那么检查将要采取的操作是否是ConnectionLimit;
i.如果将要采取的操作是ConnectionLimit,那么检查Conn限制周期是否已经期满;
j.如果所述Conn限制周期尚未期满,那么控制连接数;
k.如果将要采取的操作不是ConnectionLimit,那么检查将要采取的操作是否是HardenFW;
l.如果将要采取的操作是HardenFW,那么检查FW加固周期是否已经期满;并且
m.如果所述FW加固周期尚未期满,那么加固防火墙,所述防火墙经过加固后可以阻断所述数据包的流动。
8.如权利要求7所述的方法,其中所述检查所述BW控制周期是否已经期满的步骤进一步包括从BW开始时间和BW控制时间周期计算所述BW控制周期的步骤,所述BW开始时间和所述BW控制时间周期存储在所述记录中。
9.如权利要求7所述的方法,其中所述检查所述Conn限制周期是否已经期满的步骤进一步包括从Conn限制开始时间和Conn限制时间周期计算所述Conn限制周期的步骤,所述Conn限制开始时间和所述Conn限制时间周期存储在所述记录中。
10.如权利要求7所述的方法,其中所述检查所述FW加固周期是否已经期满的步骤进一步包括从FW加固开始时间和FW加固时间周期计算所述FW加固周期的步骤,所述FW加固开始时间和所述FW加固时间周期存储在所述记录中。
11.如权利要求5、6及7中任一权利要求所述的方法,其中所述限制所述数据包的流动的步骤进一步包括下列步骤:
a.如果所述攻击是基于计数器的DDoS攻击,那么从所述COT检索记录,所述检索是根据所述目标计算机的IP地址来进行的;
b.如果所述攻击不是基于计数器的DDoS攻击,那么从所述IAT检索记录,所述检索是根据所述源计算机的IP地址来进行的;
c.从所述记录检索一个BW令牌时间戳值,所述BW令牌时间戳值是在更新BW当前令牌值时的时间戳;
d.如果当前时间比所述BW令牌时间戳值大预定间隔,那么在所述记录中增加所述BW当前令牌值;
e.如果所述数据包的长度小于所述BW当前令牌值,那么将所述BW当前令牌值减去数据包长度,并且将所得值指派为BW当前令牌值;并且
f.如果所述数据包的长度大于所述BW当前令牌值,那么将所述数据包标记为将要丢弃。
12.如权利要求5、6及7中任一权利要求所述的方法,其中所述控制连接数的步骤进一步包括下列步骤:
a.如果所述攻击是基于计数器的DDoS攻击,那么从所述COT检索记录,所述检索是根据所述目标计算机的IP地址来进行的;
b.如果所述攻击不是基于计数器的DDoS攻击,那么从所述IAT检索记录,所述检索是根据所述源计算机的IP地址来进行的;
c.从所述记录检索一个Conn令牌时间戳值,所述Conn令牌时间戳值是在更新Conn当前令牌值时的时间戳;
d.如果当前时间比所述Conn令牌时间戳值大预定间隔,那么在所述记录中增加所述Conn当前令牌值;
e.如果所述Conn当前令牌值大于零,那么将所述Conn当前令牌值减1,并且将所得值指派为Conn当前令牌值;并且
f.如果所述Conn当前令牌值不大于零,那么将所述数据包标记为将要丢弃。
13.一种用于确保受保护的计算机网络在面临安全漏洞时所提供的服务质量的系统,所述服务质量是通过对一或多个数据包采取安全服务质量操作来确保的,所述数据包从一或多台源计算机指向一台目标计算机,所述源计算机和所述目标计算机是计算机网络的一部分,采取所述安全服务质量操作后可以对从外部系统接收到的触发信息作出响应,所述外部系统确定所述数据包中的一或多个数据包是否会对所述目标计算机发起攻击,所述外部系统还确定攻击类型,并且所述外部系统传送关于攻击类型的信息作为所述触发信息,所述系统包括:
a.用于对所述数据包中的每个数据包采取所述安全服务质量操作的构件,所述操作取决于接收到的所述触发信息,所述用于对所述数据包中的每个数据包采取所述安全服务质量操作的构件进一步包括:
i.用于确定所述触发信息是否对应于一攻击的构件,
ii.用于检查所述攻击是否是基于计数器的DDoS攻击的构件,
iii.用于采取对应于基于计数器的DDoS攻击的操作的构件,
iv.用于根据IAT处理所述数据包中的每个数据包的构件,和
v.用于在所述数据包中附加数据的构件;以及
b.用于在采取所述操作后释放所述数据包的构件。
14.一种用于确保受保护的计算机网络在面临安全漏洞时所提供的服务质量的计算机程序产品,所述服务质量是通过对一或多个数据包采取安全服务质量操作来确保的,所述数据包从一或多台源计算机指向一台目标计算机,所述源计算机和所述目标计算机是计算机网络的一部分,采取所述安全服务质量操作后可以对从外部系统接收到的触发信息作出响应,所述外部系统确定所述数据包中的一或多个数据包是否会对所述目标计算机发起攻击,所述外部系统还确定攻击类型,并且所述外部系统传送关于攻击类型的信息作为所述触发信息,所述计算机程序产品包括:
计算机可读媒体,其包括:
a.用于对所述数据包中的每个数据包采取所述安全服务质量操作的第一指令构件,所述操作取决于接收到的所述触发信息,所述用于对所述数据包中的每个数据包采取所述安全服务质量操作的第一指令构件进一步包括:
i.用于确定所述触发信息是否对应于一攻击的指令构件,
ii.用于检查所述攻击是否是基于计数器的DDoS攻击的指令构件,
iii.用于采取对应于基于计数器的DDoS攻击的操作的指令构件,
iv.用于采取对应于基于包的攻击、或基于序列的攻击、或基于计数器的DoS攻击的操作的指令构件,
v.用于根据所述IAT处理所述数据包中的每个数据包的指令构件,和
vi.用于在所述数据包中附加数据的指令构件;以及
b.用于在采取所述操作后释放所述数据包的第二指令构件。
CN200480010785.5A 2003-04-21 2004-04-19 在检测安全漏洞的基础上保护网络服务质量的系统和方法 Pending CN1777874A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/419,548 2003-04-21
US10/419,548 US7039950B2 (en) 2003-04-21 2003-04-21 System and method for network quality of service protection on security breach detection

Publications (1)

Publication Number Publication Date
CN1777874A true CN1777874A (zh) 2006-05-24

Family

ID=33309551

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200480010785.5A Pending CN1777874A (zh) 2003-04-21 2004-04-19 在检测安全漏洞的基础上保护网络服务质量的系统和方法

Country Status (5)

Country Link
US (1) US7039950B2 (zh)
EP (1) EP1616258A2 (zh)
JP (1) JP2007521718A (zh)
CN (1) CN1777874A (zh)
WO (1) WO2004095281A2 (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102934122A (zh) * 2010-05-07 2013-02-13 阿尔卡特朗讯公司 用于适配信息系统基础设施的安全策略的方法
CN111241543A (zh) * 2020-01-07 2020-06-05 中国搜索信息科技股份有限公司 一种应用层智能抵御DDoS攻击的方法及系统
CN112783903A (zh) * 2019-11-07 2021-05-11 北京沃东天骏信息技术有限公司 生成更新日志的方法和装置

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8244370B2 (en) 2001-04-13 2012-08-14 Greatbatch Ltd. Band stop filter employing a capacitor and an inductor tank circuit to enhance MRI compatibility of active medical devices
US8219208B2 (en) 2001-04-13 2012-07-10 Greatbatch Ltd. Frequency selective passive component networks for active implantable medical devices utilizing an energy dissipating surface
CN100370757C (zh) * 2004-07-09 2008-02-20 国际商业机器公司 识别网络内分布式拒绝服务攻击和防御攻击的方法和系统
JP5288797B2 (ja) 2004-07-27 2013-09-11 エムアールアイ・インターヴェンションズ,インコーポレイテッド 協働するmriアンテナプローブを伴うmri適合汎用供給カニューレを有するmriシステム及び関連するシステム
US20060026287A1 (en) * 2004-07-30 2006-02-02 Lockheed Martin Corporation Embedded processes as a network service
US8509876B2 (en) 2004-08-09 2013-08-13 The Johns Hopkins University Implantable MRI compatible stimulation leads and antennas and related systems and methods
US7784096B2 (en) * 2004-11-15 2010-08-24 Microsoft Corporation Outgoing connection attempt limiting to slow down spreading of viruses
US7624446B1 (en) * 2005-01-25 2009-11-24 Symantec Corporation Efficient signature packing for an intrusion detection system
US7561906B2 (en) 2005-05-04 2009-07-14 Boston Scientific Neuromodulation Corporation Electrical lead for an electronic device such as an implantable device
WO2007030506A2 (en) * 2005-09-07 2007-03-15 International Business Machines Corporation Automated deployment of protection agents to devices connected to a distributed computer network
US7624447B1 (en) * 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US8055351B2 (en) 2005-10-21 2011-11-08 Boston Scientific Neuromodulation Corporation MRI-safe high impedance lead systems
US7861003B2 (en) * 2006-01-31 2010-12-28 Genband Us Llc Adaptive feedback for session over internet protocol
US7865612B2 (en) * 2006-01-31 2011-01-04 Genband Us Llc Method and apparatus for partitioning resources within a session-over-internet-protocol (SoIP) session controller
US8204043B2 (en) * 2006-02-28 2012-06-19 Genband Us Llc Quality of service prioritization of internet protocol packets using session-aware components
US8259706B2 (en) * 2006-02-28 2012-09-04 Genband Us Llc Multistage prioritization of packets within a session over internet protocol (SOIP) network
US8509218B2 (en) * 2006-02-28 2013-08-13 Genband Us Llc Prioritization within a session over internet protocol (SOIP) network
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US8112801B2 (en) * 2007-01-23 2012-02-07 Alcatel Lucent Method and apparatus for detecting malware
US8250645B2 (en) * 2008-06-25 2012-08-21 Alcatel Lucent Malware detection methods and systems for multiple users sharing common access switch
EP2134413B1 (en) 2007-03-19 2016-09-21 Boston Scientific Neuromodulation Corporation Methods and apparatus for fabricating leads with conductors and related flexible lead configurations
EP2705874B1 (en) 2007-03-19 2016-09-28 Boston Scientific Neuromodulation Corporation MRI and RF compatible leads
US8677479B2 (en) * 2007-04-16 2014-03-18 Microsoft Corporation Detection of adversaries through collection and correlation of assessments
US7912062B2 (en) * 2007-09-28 2011-03-22 Genband Us Llc Methods and apparatus for managing addresses related to virtual partitions of a session exchange device
US20100138917A1 (en) * 2008-12-01 2010-06-03 Xia Zhanhong Refresh mechanism for rate-based statistics
US20100205014A1 (en) * 2009-02-06 2010-08-12 Cary Sholer Method and system for providing response services
US20110289548A1 (en) * 2010-05-18 2011-11-24 Georg Heidenreich Guard Computer and a System for Connecting an External Device to a Physical Computer Network
US9647985B2 (en) * 2013-05-23 2017-05-09 Check Point Software Technologies Ltd Location-aware rate-limiting method for mitigation of denial-of-service attacks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5473769A (en) * 1992-03-30 1995-12-05 Cozza; Paul D. Method and apparatus for increasing the speed of the detecting of computer viruses
US5485575A (en) * 1994-11-21 1996-01-16 International Business Machines Corporation Automatic analysis of a computer virus structure and means of attachment to its hosts
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5956481A (en) * 1997-02-06 1999-09-21 Microsoft Corporation Method and apparatus for protecting data files on a computer from virus infection
US5978917A (en) * 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6353385B1 (en) * 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102934122A (zh) * 2010-05-07 2013-02-13 阿尔卡特朗讯公司 用于适配信息系统基础设施的安全策略的方法
CN102934122B (zh) * 2010-05-07 2015-08-19 阿尔卡特朗讯公司 用于适配信息系统基础设施的安全策略的方法
CN112783903A (zh) * 2019-11-07 2021-05-11 北京沃东天骏信息技术有限公司 生成更新日志的方法和装置
CN112783903B (zh) * 2019-11-07 2024-04-05 北京沃东天骏信息技术有限公司 生成更新日志的方法和装置
CN111241543A (zh) * 2020-01-07 2020-06-05 中国搜索信息科技股份有限公司 一种应用层智能抵御DDoS攻击的方法及系统

Also Published As

Publication number Publication date
WO2004095281A3 (en) 2004-12-16
US20040250114A1 (en) 2004-12-09
US7039950B2 (en) 2006-05-02
WO2004095281A2 (en) 2004-11-04
EP1616258A2 (en) 2006-01-18
JP2007521718A (ja) 2007-08-02

Similar Documents

Publication Publication Date Title
CN1777874A (zh) 在检测安全漏洞的基础上保护网络服务质量的系统和方法
CN1291568C (zh) 用于保护服务器场免受入侵的方法以及服务器场
US11562068B2 (en) Performing threat detection by synergistically combining results of static file analysis and behavior analysis
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
CN101087196B (zh) 多层次蜜网数据传输方法及系统
TWI362196B (en) Network isolation techniques suitable for virus protection
US20160080414A1 (en) System and a Method for Identifying Malware Network Activity Using a Decoy Environment
US7950059B2 (en) Universal worm catcher
US20170070514A1 (en) Systems and Methods for Inhibiting Attacks on Applications
CN100531213C (zh) 一种抵御拒绝服务攻击事件的网络安全保护方法
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
CN1612532A (zh) 基于主机的网络入侵检测系统
CN1771709A (zh) 网络攻击特征标记的产生
CN101185063A (zh) 用于使用“蜜罐”检测和阻止攻击的系统和方法
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
CN112738071B (zh) 一种攻击链拓扑的构建方法及装置
CN1725709A (zh) 网络设备与入侵检测系统联动的方法
US20160294848A1 (en) Method for protection of automotive components in intravehicle communication system
JP2004302538A (ja) ネットワークセキュリティシステム及びネットワークセキュリティ管理方法
JP2007325293A (ja) 攻撃検知システムおよび攻撃検知方法
Ojugo et al. Forging A Smart Dependable Data Integrity And Protection System Through Hybrid-Integration Honeypot In Web and Database Server
US20050086512A1 (en) Worm blocking system and method using hardware-based pattern matching
CN110719271A (zh) 一种旁路流量检测设备与终端防护设备联合防御方法
US8286244B2 (en) Method and system for protecting a computer network against packet floods
KR100543664B1 (ko) 네트워크 보호 장치 및 이의 운영 방법

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C02 Deemed withdrawal of patent application after publication (patent law 2001)
WD01 Invention patent application deemed withdrawn after publication