CN1879372A - 中继器设备、中继方法、中继程序以及网络攻击保护系统 - Google Patents
中继器设备、中继方法、中继程序以及网络攻击保护系统 Download PDFInfo
- Publication number
- CN1879372A CN1879372A CNA2005800006581A CN200580000658A CN1879372A CN 1879372 A CN1879372 A CN 1879372A CN A2005800006581 A CNA2005800006581 A CN A2005800006581A CN 200580000658 A CN200580000658 A CN 200580000658A CN 1879372 A CN1879372 A CN 1879372A
- Authority
- CN
- China
- Prior art keywords
- signature
- priority
- memory cell
- suspicious
- grouping
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/56—Routing software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
在签名列表的注册签名(可疑签名、合法签名、非法签名)中,中继器设备10从使设置签名的优先级高于自动生成的签名的立场出发来决定要被注册的这些签名的优先级。在控制分组传递的过程中,中继器设备10按高优先级(优先权)的顺序从已注册到签名列表中的多个签名中选择签名,判断该分组是否与所选签名相对应,并基于相应的签名来控制该分组。
Description
技术领域
本发明涉及中继器设备、中继方法、中继程序以及网络攻击保护系统,它们基于用于控制分组传递的签名来控制分组沿网络的传递。
背景技术
先前已经知道一种用来保护接收DoS(拒绝服务)攻击或DDoS(分布式拒绝服务)攻击的计算机的网络攻击保护系统,在与要被保护的计算机相连的网络中排列着该系统所具有的多个中继器设备。例如,使用专利文档1(以日本公开的未经审查的专利号为2003-283554的专利申请)中所揭示网络攻击保护系统时,在中继器设备处,要检查通信量是否与用于检测可疑攻击性分组的预定条件相匹配。当检测到相匹配的通信量时,中继器设备产生用于标识被检测出的可疑攻击性分组的可疑签名,将该可疑签名发送到位于上行数据流一方的中继器设备,之后执行对可疑签名所标识的可疑攻击性分组的传输频带进行限制的处理。
上游中继器设备或下游中继器设备是与目标中继器设备的上行数据流一方或下行数据流一方相邻的中继器设备(在下文中,被称为“相邻的中继器设备”)。所谓上游或下游是与可疑的攻击性分组流动的方向相关的。在上述排列中,接收可疑签名的中继器设备将从下游的中继器设备中接收到的可疑签名发送给上游的中继器设备,并执行对可疑签名所标识的可疑攻击性分组的传输频带进行限制的处理。
此外,常规的中继器设备将合法条件发送给上游的中继器设备,该合法条件指定从合法用户所使用的通信终端中发送过来的通信分组(并未被认为是攻击性分组的合法分组的条件);并基于合法条件和可疑签名来产生用于标识合法分组的合法签名;之后,对合法签名所标识的合法分组执行取消传输频带限制的处理。此外,已接收到合法条件的中继器设备将所接收到的合法条件发送给上游的中继器设备,基于合法条件和可疑签名来产生合法签名,之后对合法签名所标识的合法分组执行取消传输频带限制的处理。
常规的中继器设备由此执行限制可疑的攻击性分组的传输频带的处理以及取消合法分组的传输频带限制的处理,并且这些处理都是由滤波单元来实现的。即,中继器设备的滤波单元将在基于合法签名的条件判断处理过程中被发现与某一合法签名相匹配的那个分组放入预定的尾接指令中,并在之后对被发现并不与任何合法签名相匹配的分组执行基于可疑签名的条件判断处理过程。
专利文档1:以日本公开的未经审查的专利号为2003-283554的专利申请
发明内容
本发明要解决的问题
使用现有技术时,因为在中继器设备中基于合法签名的条件判断处理过程和基于可疑签名的条件判断处理过程都是以固定的预定的顺序来执行的,所以无法以网络攻击保护系统中所期望的处理顺序来处理分组。
本发明的实现是为了解决上述现有技术的问题,其目的在于提供一种中继器设备、中继方法、中继程序以及网络攻击保护系统,它们能够在当有多个签名时根据想要的顺序来处理分组。
用于解决问题的方法
为解决上述问题并实现上述目的,提供一种中继器设备,该中继器设备排列在网络中并包括签名存储单元,该签名存储单元存储用于控制分组传递的多个签名,该中继器设备还基于存储在签名存储单元中的签名来控制分组的传递。这种中继器设备包括:优先级确定和提供单元,该单元确定要被存储在签名存储单元中的多个签名的优先级;以及分组控制单元,该单元按优先级确定单元所确定的以高优先权的顺序从签名存储单元中选择签名,并基于所选签名来控制分组的传递。
根据权利要求2中所述的本发明,在上述发明中,签名存储单元存储自动生成的签名,这些自动生成的签名是根据预定的条件判断结果和网络管理员所设置的设置签名而自动产生的,并且优先级确定单元将优先级提供给这些要被存储到签名存储单元中的自动生成的签名和设置签名,使得设置签名的优先级高于自动生成的签名的优先级。
根据权利要求3所述的本发明,在上述发明中,签名存储单元存储用于将分组传递限制在预定的范围内的多个签名,并且优先级确定单元将优先级提供给要被存储在签名存储单元中的那些签名,使得限制范围更为严格的那些签名的优先级更高。
根据权利要求4所述的本发明,在上述发明中,中继器设备还包括可疑签名产生单元,该单元基于预定的可疑攻击检测条件来检测可疑的攻击性分组并产生用于限制该可疑的攻击性分组的可疑签名,其中,当可疑签名产生单元产生可疑签名时,优先级确定单元刚把优先级提供给该可疑签名后就将该可疑签名存储在签名存储单元中。
根据权利要求5所述的本发明,在上述发明中,中继器设备还包括合法签名产生单元,该单元基于预定的合法条件来产生用于激活有效分组的合法签名;并且其中,当合法签名产生单元产生合法签名时,一旦将优先级提供给该合法签名后,优先级确定单元就将该合法签名存储在签名存储单元中。
根据权利要求6所述的本发明,在上述发明中,中继器设备还包括非法签名产生单元,该单元基于预定的非法通信量检测条件来检测非法分组并产生用于限制该非法分组的非法签名;并且其中,当非法签名产生单元产生非法签名时,一旦将优先级提供给该非法签名后,优先级确定单元就将该非法签名存储到签名存储单元中。
根据权利要求7所述的本发明,在上述发明中,中继器设备还包括签名接收单元,该单元从其它中继器设备中接收用于限制可疑的攻击性分组的可疑签名;并且其中,当可疑签名被签名产生单元接收时,一旦将优先级提供给该可疑签名后,优先级确定单元就将该可疑签名存储到签名存储单元中。
根据权利要求8所述的本发明,在上述发明中,中继器设备还包括合法签名产生单元,该单元基于从其它中继器设备中接收到的预定的合法条件来产生用于激活有效分组的合法签名;并且其中,当合法签名产生单元产生合法签名时,一旦将优先级提供给该合法签名后,优先权确定单元就将该合法签名存储在签名存储单元中。
根据权利要求9所述的本发明,在上述发明中,中继器设备还包括签名输入单元,该单元接收并输入来自于网络管理员的签名;并且其中,当通过签名输入单元输入一个签名时,一旦将优先级提供给该签名后,优先权确定单元就将该签名存储到签名存储单元中。
根据权利要求10所述的本发明,一种网络攻击保护系统包括签名存储单元,该签名存储单元存储用于控制分组传递的多个签名,并基于存储在签名存储单元中的这些签名来控制分组的传递。这种网络攻击保护系统包括:优先级确定和提供单元,该单元确定要被存储到签名存储单元中的那些签名的优先级;以及分组控制单元,该单元按优先级确定单元所确定的以高优先级的顺序来从签名存储单元中选择签名,并基于所选签名来控制分组的传递。
根据权利要求11所述的本发明,在网络中排列着并包括签名存储单元的一种设备上,实现了一种中继方法,其中该签名存储单元存储用于控制分组传递的多个签名并基于存储在签名存储单元中的签名来控制分组的传递。这种中继方法包括:优先级确定和提供单元步骤,该步骤确定要被存储到签名存储单元中的那些签名的优先级;以及分组控制步骤,该步骤按优先级确定单元所确定的以高优先级的顺序从签名存储单元中选择签名并基于所选签名来控制分组的传递。
根据权利要求12所述的本发明,在上述发明中,签名存储单元存储自动生成的签名,这些自动生成的签名是根据预定的条件判断结果和网络管理员所设置的设置签名而自动产生的,并且优先级确定步骤包括将优先级提供给要被存储到签名存储单元中的自动生成的签名和设置签名,使得该设置签名的优先级高于该自动生成的签名。
根据权利要求13所述的本发明,在上述发明中,签名存储单元存储用于将分组传递限制在预定范围内的多个签名,并且优先级确定步骤包括将优先级提供给要被存储到签名存储单元中的那些签名,使得限制范围更为严格的那些签名的优先级更高。
根据权利要求14所述的本发明,中继程序使签名存储单元存储用于控制分组传递的签名,并且该中继程序基于存储在签名存储单元中的签名来控制分组的传递。这种中继程序包括:优先级确定和提供单元过程,该过程确定要被存储到签名存储单元中的那些签名的优先级;以及分组控制过程,该过程按优先级确定单元所确定的以高优先级的顺序从签名存储单元中选择签名,并基于所选签名来控制分组的传递。
根据权利要求15所述的本发明,在上述发明中,签名存储单元存储自动生成的签名,这些自动生成的签名是根据预定的条件判断结果和网络管理员所设置的设置签名而产生的,并且优先级确定步骤包括将优先级提供给要被存储到签名存储单元中的自动生成签名和设置签名,使得该设置签名的优先级高于该自动生成的签名的优先级。
根据权利要求16所述的本发明,在上述发明中,签名存储单元存储用于将分组传递限制在预定范围内的多个签名,并且优先级确定步骤包括将优先级提供给要被存储到签名存储单元中的那些签名,使得限制范围更为严格的签名的优先级更高。
本发明的效果
在权利要求1、10、11或14所对应的发明情况下,因为存储在签名存储单元中的那些签名的优先级是确定的,所以按高优先级的顺序来选择签名,并且基于所选签名来控制分组的传递,并且当有多个签名时可以根据想要的顺序来处理分组。
在权利要求2、12或15所对应的发明情况下,因为设置签名的优先级高于自动生成的签名的优先级,所以在分组的控制过程中由网络管理员设置的设置签名在使用时带有优先权,由此使网络管理员能够用优先权来执行想要的控制。
在权利要求3、13或16所对应的发明情况下,在用于将分组传递限制在预定范围内的诸多签名中,限制范围更为严格的签名的优先级更高,在控制分组过程中含更为严格的频带限制信息的签名在使用时所带有的优先级更高,由此使分组能够更为安全地被处理而同时不会在控制分组的过程中引起矛盾。
在权利要求4所对应的发明情况下,因为当可疑的攻击性分组被检测时,产生可疑签名并确定该可疑签名的优先级,所以可以在没有延迟的情况下向当检测可疑的攻击性分组时所产生的可疑签名提供优先级。
在权利要求5所对应的发明情况下,因为当可疑的攻击性分组被检测时,产生合法签名并确定合法签名的优先级,所以可以在没有延迟的情况下将优先级提供给当可疑的攻击性分组被检测时所产生的合法签名。
在权利要求6所对应的发明情况下,因为当非法通信量被检测时,产生非法签名并确定该非法签名的优先级,所以可以在没有延迟的情况下将优先级提供给当非法通信量被检测时所产生的非法签名。
在权利要求7所对应的发明情况下,因为当从另一个中继器设备中接收可疑签名时,确定了该可疑签名的优先级,所以可以在没有延迟的情况下将优先级提供给从其它中继器设备中接收到的可疑签名。
在权利要求8所对应的发明情况下,因为当从另一个中继器设备中接收到合法条件时,产生了合法签名并确定了该合法签名的优先级,所以可以在没有延迟的情况下将优先级提供给当接收该合法条件时所产生的合法签名。
在权利要求9所对应的发明情况下,因为当从网络管理员那里接收签名时,确定了该签名的优先级,所以可以在没有延迟的情况下将优先级提供给由网络管理员设置的签名。
附图说明
图1是解释了根据本发明一实施例的网络攻击保护系统的示意图;
图2是图1所示的中继器设备的详细方框图;
图3是解释了可疑的攻击检测条件表格的内容的示意图;
图4是解释了非法通信量检测条件表格的内容的示意图;
图5是解释了合法条件表格的内容的示意图;
图6是解释了签名列表的内容的示意图;
图7是用于检测可疑的攻击性分组的处理步骤的流程图;
图8是用于接收签名的处理步骤的流程图;以及
图9是用于检测非法分组的处理步骤的流程图。
字母或数字的解释
10中继器设备
11网络接口
12分组检测单元
13攻击检测单元
14签名通信单元
15优先级确定单元
16滤波单元
17输入单元
20服务器
30通信终端
100网络攻击保护系统
具体实施方式
现在参照附图将详细描述根据本发明的中继器设备、中继方法、中继程序以及网络攻击保护系统的示例性实施例。在下文中,将按顺序来描述用在本实施例的描述中的主要术语、网络攻击保护系统的概要和特征、中继器设备的排列和处理过程以及本实施例的效果,最后将描述本实施例的各种修改示例。
实施例
〔术语的描述〕
首先,将描述在本实施例的描述中所用的主要术语。用在本实施例中的“可疑签名”是这样一种签名,它限制被怀疑是攻击分组的分组(可疑的攻击性分组),并且它通过定义各种属性(比如,目的地IP地址、协议、目的地端口号等)而被明确地安排,这些属性表示该可疑的攻击性分组的特征和限制细节(比如,当特定分组流入时用于限制频带的限制信息),其中该可疑的攻击性分组的传递是要受到限制的。
用在本实施例中的“合法签名”是这样一种签名,它在与可疑签名相对应的诸多分组中使合法分组(合法分组即为合法用户的通信分组)能够被传递,其中合法分组被认为不是攻击分组,并且它通过定义各种属性(比如,源IP地址、服务类型、目的地IP地址、协议、目的地端口号等)而被明确地安排,这些属性表示该合法分组的特征,其中要使该合法分组能够被传递。
用在本实施例中的“非法签名”是这样一种签名,它用于限制被包括在非法通信量中的非法分组(一种满足非法通信量条件的分组),并且它通过定义该非法分组的源IP地址等而被明确地安排。
〔本系统的概要和特征〕
现在在使用图1的同时将描述本实施例中的网络攻击保护系统的概要和特征。图1是用于解释本实施例的网络攻击保护系统的示意图。
网络攻击保护系统100包括排列在网络中的多个中继器设备10。服务器20是遭受DoS攻击和DDoS攻击的计算机,通信终端30是可以实现DoS攻击和DDoS攻击的计算机,它们都连接到网络上。在下面的描述中,当需要分别区分多个中继器设备10时,中继器设备10将指代中继器设备10-1到中继器设备10-7;当需要分别区分多个服务器20时,服务器20将指代服务器20-1和服务器20-2;并且当需要分别区分多个通信终端时,通信终端30将指代通信终端30-1到通信终端30-5。
在网络攻击保护系统100中,当检测到通信终端30中的至少一个通信终端30正在对网络上的服务器20进行DoS攻击或DDoS攻击时,中继器设备10产生用于限制分组传递的签名(可疑签名和非法签名)以及用于使分组能够被传递的合法签名。然后,中继器设备10将其自身已产生的各种签名(可疑签名、非法签名和合法签名)注册到签名列表中。
中继器设备10也将所产生的可疑签名(和用来产生合法签名的合法条件)发送到相邻的中继器设备。同时,一旦接收来自于相邻中继器设备的可疑签名等之后,中继器设备10就基于合法条件来产生合法签名,并所接收的可疑签名和所产生的合法签名注册到签名列表中。为引用相邻的中继器设备的示例,在图1中,中继器设备10-3的相邻中继器设备是中继器设备10-1、中继器设备10-2、中继器设备10-4以及中继器设备10-7,并且中继器设备10-5与中继器设备10-6相对于中继器设备10-3而言并不是相邻关系。相邻关系并不意味着物理上的相邻。
此外,中继器设备10从网络管理员那里接收用于设置签名(可疑签名、非法签名以及合法签名)的指令并将与设置指令相关的签名注册到签名列表中,并且从网络管理员那里接收与已经注册到签名列表中的签名有关的修改指令,并将修改后的签名注册到签名列表中。在使用本发明的情况下,已根据来自于网络管理员的设置指令或修改指令而被注册到签名列表中的签名被定义为“设置签名”,并且中继器设备10自己产生并已注册到签名列表中的签名或已从相邻的中继器设备中接收到并已被注册到签名列表中的签名被定义为“自动生成的签名”。
由此,中继器设备10将可疑签名、非法签名以及合法签名注册到签名列表中。然后,中继器设备10基于该签名列表来控制分组的传递。即,与非法签名或可疑签名相对应的分组在传输频带受限的同时被传递,或被丢弃,并且使与合法签名相对应的分组或不与任何签名相对应的分组能够在传输频带并不受限的同时获得传递。
本发明的中继器设备10的主要特征在于,为签名列表中所注册的签名提供了优先级,更具体地讲,在控制分组传递的控制中,中继器设备10执行这样一种过程,即判断该分组是否对应于签名列表中所注册的这些签名中的任意一个,并且在本发明中,按照高优先级(优先权)的顺序从签名列表中所注册的这些签名中选择签名,判断该分组是否与所选签名相对应,并且基于该相对应的签名来控制该分组。由此,即便有多个签名,也可以根据想要的顺序来处理这些分组。
中继器设备10是在起保护作用避免攻击的同时还可中继分组的一种设备,并且还可以起路由器或桥接器的作用。中继器设备10可以连接到用于管理中继器设备10等的管理网络,并且可以通过该管理网络来发送和接收签名。
〔中继器设备的排列〕
现在将使用图2来描述图1所示的中继器设备10的排列。图2是中继器设备10的详细方框图。中继器设备10包括:网络接口单元11,分组获取单元12,攻击检测单元13(以及可疑攻击检测条件表格13a、非法通信量检测条件表格13b和合法条件表格13c),签名通信单元14,优先级确定单元15,滤波单元16(和签名列表16a),以及输入单元17。
中继器设备10可以具有:CPU(中央处理单元),存储器,硬盘等,以及分组获取单元12,攻击检测单元13,签名通信单元14,优先级确定单元15,以及滤波单元16,该滤波单元16可以是由CPU来处理的程序模块。这些程序模块可由单个CPU来处理,或可以由多个CPU分散地处理。Linux或其它通用的OS都可以安装在中继器设备10上,并且可以使在通用OS上提供的分组滤波器起滤波单元16的作用。
攻击检测单元13对应于权项中所述的“可疑签名产生单元”、“合法签名产生单元”以及“非法签名产生单元”,签名通信单元14对应于“签名接收单元”,优先级确定单元15对应于“优先级确定单元”,滤波单元16对应于“分组控制单元”,签名列表16a对应于“签名存储单元”,并且输入单元17对应于“签名输入单元”。
在图2中,网络接口单元11是将分组发送到与网络相连的通信设备并接收来自于该通信设备的分组的这样一种单元,并且特定从与网络相连的网络连接卡等中排列该网络接口单元11,该网络可以是LAN(局域网)、WAN(广域网)等。
输入单元17是接收来自于网络管理员的各种信息与指令的输入的一种单元,并且由键盘、鼠标、麦克风等排列而成。输入单元17接收并输入:设置指令,这在下文中要描述,该设置指令用于要被新注册到签名列表16a中的签名;修改指令与删除指令,用于已经注册的签名,等等。尽管没有在图2中示出,中继器设备10也可以与监控器(或显示器或触摸屏)、扬声器、以及其它用来输出各种信息的输出单元。
分组获取单元12是这样一种处理单元,它获取由网络接口单元11接收到的分组并将与所获取的分组相关的统计信息呈现给攻击检测单元13。
攻击检测单元13是这样一种处理单元,它基于分组获取单元12所提供的统计信息来执行攻击检测和攻击分析并连接到图2所示的可疑攻击检测条件表格13a、非法通信量检测条件表格13b以及合法条件表格13c。现在将描述存储在13a到13c各个表格中的信息,并且之后将详细描述由攻击检测单元13执行的处理。
图3是存储在可疑攻击检测条件表格13a中的信息的示例图,更为详细地讲,图3是用来检测可疑的攻击性分组的“可疑的攻击检测条件”,这些可疑的攻击性分组是接收到的分组,它们具有是攻击分组的可能性。如图所示,可疑攻击检测条件是以多组(本示例中是三组)检测属性、检测阈值和检测间隔组合的记录来排列的,并且当通信量与各可疑攻击检测条件记录中的任一记录条件相匹配时,该通信量的通信分组就被视为可疑的攻击性分组。“No.”被用来方便地指代一条记录。
含在IP分组中的IP标题部分的属性或含在IP分组的净荷部分中的UDP标题部分可以被指定成可疑攻击检测条件的“检测属性”。在图3中更为具体地讲,第一条记录的检测属性是由多个属性值的组合来指定的,其中“目的地IP地址”是“192.168.1.1/32”(dst=192.168.1.1/32),用来表示该IP的上层(TCP或UDP)协议类型的“协议”是“TCP”(协议=TCP),用来表示该IP的上层协议是何种应用程序的信息的“目的地端口”是“80”(端口=80)。
第二条记录的检测属性是由多个属性值的组合来指定的,在这些属性值中,“目的地IP地址”为“192.168.1.2/32”(dst=192.168.1.2/32),“协议”为“UDP”(用户数据报协议)(协议=UDP)。同样,第三条记录的检测属性是由属性“目的地IP地址=192.168.1.0/24”来指定的。
可疑攻击检测条件中的“检测阈值”表示最小传输频带,它用于与同一记录所指定的检测属性一起将接收到的分组的通信量检测成攻击可疑通信量,并且可疑攻击检测条件中的“检测间隔”表示最小持续时间。尽管图3中没有示出,但是无条件的“目的地IP地址”(“任意的”)以及类型为“ICMP(互联网控制消息协议)”的用来表示该IP的上层协议类型的“协议”都可以被指定为检测属性。
图4是存储在非法通信量检测条件表格13b中的信息的示例图,更为详细地讲,图4是“非法通信量条件”,用于检测可疑的攻击性分组的通信量中的非法通信量。如图所示,非法通信量条件是由DDoS攻击的多个已知通信模式排列而成,并且当可疑的攻击性分组的通信量与上述通信量模式中的任何相匹配时,该通信量就被视为非法通信量。“No.”用来方便地指定一条记录(模式)。
具体地讲,第一条非法通信量条件表示这样一种通信量模式,其中“传输频带不小于T1 Kbps的分组正在被连续发送,持续时间不小于S1秒。”第二条非法通信量条件表示这样一种通信量模式,其中“传输频带不小于T2 Kbps的ICMP(互联网控制消息协议)回波回复消息分组正在被连续发送,持续时间不小于S2秒。”第三条非法通信量条件表示这样一种通信量模式,其中“传输频带不小于T3 Kbps的片段分组正在被连续发送,持续时间不小于S3秒,其中片段分组表示被包括在分组中的数据,这些分组在当因数据太长而在多个IP分组中被分割时就被发送。”
图5是在合法条件表格13c中存储的信息的示例图,更为详细地讲,图5是“合法条件”,用于表示由合法用户使用的通信终端发送过来的分组。如图所示,合法条件是由多条记录排列而成的,各条记录都是由IP分组和属性值的多个属性组合而成。“No.”用来方便地指定一条记录(模式)。
具体地讲,第一条记录的检测属性指定该IP的“源IP地址”是“172.16.10.0/24”(src=172.16.10.0/24),并且第二条记录的检测属性指定用来表示该IP的服务质量的“服务的类型”是“01(十六进制的符号)”(TOS=0x01)。因为这样的合法条件,便设定了服务器所有者的公司和要被保护的相关公司的多个分支的服务器20的源IP地址,以及包括服务器20的LAN的所有者将其视为合法用户的网络源IP地址。
现在返回图2,当基于分组获取单元12所提供的统计信息来检测攻击时,攻击检测单元13产生用于限制攻击可疑通信量的通信分组(可疑的攻击性分组)的可疑签名。具体地讲,根据图3所示的可疑攻击检测条件,攻击检测单元13检查持续时间比检测间隔所指定的时间要长的通信量,使用不小于检测阈值所指定的值的传输频带,并且匹配该检测属性,并且当发现某一通信量与这些记录中的任何相匹配时该通信量就被检测为攻击可疑通信量,并且从与所检测到的攻击可疑通信量相匹配的可疑攻击检测条件记录的检测属性中产生出可疑签名。
此外,当攻击被检测时,攻击检测单元13产生与可疑签名一起的合法签名。具体地讲,图5所示的合法条件是作参考的,并且通过使各合法条件记录与该可疑签名进行AND运算从而产生合法签名。这些合法签名在可疑签名的限制中被用来释放合法分组,这些合法分组是合法用户的通信分组,并且使用图3和5中的示例时,由图3中的第一条记录条件所检测到的分组的可疑签名是“dst=192.168.1.1/32,协议=TCP,端口=80”,在图5中,合法签名是“src=172.16.10.24,dst=192.168.1.1/32,协议=TCP,端口=80”和“TOS=0x01,dst=192.168.1.1/32,协议=TCP,端口=80”。
此外,当与图4所示的非法通信量条件中的多个模式中的任何相匹配的通信量被检测时,攻击检测单元13产生用于限制非法通信量的非法签名。具体地讲,与所检测到的非法通信条件相符的分组的源IP地址被指定为非法地址范围,并且以非法签名的形式来产生在非法地址范围内并与可疑签名相匹配的条件。
通过随后要描述的优先级确定单元15的处理,由攻击检测单元13所产生的可疑签名、合法签名和非法签名都被注册到签名列表16a中。除了攻击检测单元13所产生的多个签名之外,注册到签名列表16a中的多个签名(可疑签名、合法签名和非法签名)包括通过随后要描述的签名通信单元14从相邻的中继器设备中接收到的签名以及通过输入单元17从网络管理员那里输入的签名(新设置的签名和经修改的签名)。
在图2中,签名通信单元14是这样一种处理单元,它将攻击检测单元13等所产生的签名发送到相邻的中继器设备,并接收从相邻的中继器设备处发送过来的签名。
优先级确定单元15是这样一种处理单元,它确定被注册到下文将要描述的签名列表16a中的签名的优先级(签名通信单元14所接收的签名、攻击检测单元13所产生的签名、以及通过输入单元17由网络管理员所设置的签名)。即,准备用来表达确定优先级的结果的签名列表16a,并且所准备的签名列表16a被注册到滤波单元16。这些签名包含当特定分组流入时用于执行频带限制的限制信息。
现在使用图6来描述签名列表16a。图6是存储在签名列表16a中的信息的示例图。如图所示,就类型而言,这些签名可以归类到由网络管理员设置的设置签名以及由中继器设备10自动生成的自动生成签名(由签名通信单元14所接收的签名以及由攻击检测单元13所产生的签名)中,各签名也可以被归类成用于限制非法分组的非法签名、用于允许有效分组的合法签名以及用于限制可疑的攻击性分组的可疑签名。
此外,如图所示,在本发明中,优先级确定单元15确定被注册到签名列表16a中的签名的优先级,所以“设置签名”的优先级将高于自动生成的“自动生成签名”。此外,如图所示,优先级确定单元15确定注册到签名列表16a中的签名的优先级,使得“非法签名”的优先级将高于“合法签名”和“可疑签名”,并使得“合法签名”的优先级将高于“可疑签名”。具体地讲,使用图6所示的示例时,与签名相关联的优先级的值越小,该签名的优先级越高,并且优先级按如下顺序下降:设置签名(签名A和签名B),非法签名(签名C),合法签名(签名D),可疑签名(签名E和签名F)。
当有多个相同类型的签名时,如图6所示的签名E和签名F,优先级确定单元15根据含在各签名中的限制信息的内容来确定优先级。为给出一特定示例,使某一签名的优先级高于该签名的较低的限制频带(即允许分组在该限制频带内传递的限制频带)。
此外,对于相同类型的多个签名(例如,并不包含限制信息的合法签名),可以使优先级确定单元15根据输入到签名列表16a中的顺序来增大优先权。当相同类型的签名具有相同的限制频带时,也可以根据输入到签名列表16a中的顺序来增大优先权。
因此,基于签名的类型、限制频带等,优先级确定单元15确定由签名通信单元14所接收的签名、攻击检测单元13所产生的签名以及通过输入单元17由网络管理员所设置的签名的优先级。然后,优先级确定单元15将已提供了优先级的签名注册到签名列表16a中。
在图2中,滤波单元16是这样一种处理单元,它接收由网络接口单元11所接收的分组,并基于网络列表16a来控制分组的传递(来自于网络接口单元11的分组输出)。具体地讲,滤波单元16执行这样一种过程,即判断输入分组是否对应于(或者并不对应于)已注册到签名列表16a中的“非法签名”、“合法签名”以及“可疑签名”中的任何,更为具体地讲,按高优先级(优先权)的顺序从注册到签名列表16a中的签名中选择签名,并判断输入分组是否对应于所选签名。使用如图6所示的示例,按从签名A到签名F的顺序来选择签名。
如果输入分组符合根据优先权选择的签名的条件,则通过将分组输入到预定的尾接指令(下文会描述)中或通过抛弃该分组,滤波单元16基于所选签名的内容来控制该分组的传递,在这种控制之后,对于其优先权比在控制中所用的签名的优先权要低的签名,并不执行这些处理。即,例如,如果输入分组并不符合签名A的条件也不符合签名B的条件但符合签名C的条件,则滤波单元16将分组输入到预定的尾接指令中,或基于签名C来执行像抛弃这样的用于非法签名的处理,并且对于由此受控的分组而言,并不使用其优先级低于签名C的签名D到签名F来执行这些处理。
为描述尾接指令,滤波单元16将与非法签名相对应的分组输入到用于处理非法分组的非法尾接指令中,将与可疑签名相对应的分组输入到用于可疑用户的可疑尾接指令中,并将与合法签名相对应的分组或并不与这些签名中的任何相对应的分组输入到用于合法用户的合法尾接指令中。然后,滤波单元16从网络接口单元11处输出曾被输入到合法尾接指令中的分组而不对传输频带进行限制,并且根据各签名(作为条件相符的那些签名而被选择的签名)所示的传输频带限制值来限制性地输出曾被输入到可疑尾接指令中和非法尾接指令中的分组。
当注册到签名列表16a中的签名的检测属性等符合预定的取消标准时,滤波单元取消符合预定的取消标准的签名并停止基于所取消的签名来控制分组的传递的过程。
〔当可疑的攻击性分组被检测时所执行的过程〕
现在参照图7将描述当中继器设备10检测可疑的攻击性分组时所执行的操作过程。图7是当可疑的攻击性分组被检测时所执行的处理步骤的流程。
如图所示,当中继器设备10的攻击检测单元13基于图3所示的可疑攻击检测条件表格13a来检测攻击可疑通信量时(步骤S1),攻击检测单元13产生可疑签名和合法签名(步骤S2)。然后,优先级确定单元15接收曾由攻击检测单元13所产生的可疑签名和合法签名,并确定这些签名的优先级(步骤S3) 。
具体来讲,优先级确定单元15确定合法签名的优先级高于可疑签名的优先级,并且如果有多个可疑签名类型的签名,则确定某一签名的优先级高于在该签名中所包含的限制信息的较低频带。此外,确定由攻击检测单元13所产生的可疑签名和合法签名的优先级,使得已注册到签名列表16a中的设置签名的优先级将较高。
之后,优先级确定单元15准备用来表达确定优先级的结果的签名列表16a,并将所准备的签名列表16a注册到滤波单元16(步骤S4)。然后,签名通信单元14将攻击检测单元13所产生的签名等(在本实施例中,可疑签名和合法条件)发送到相邻的中继器设备(步骤S5)。优先级确定单元15确定优先级的做法不仅发生在当攻击可疑通信量被检测的时候,还以相同的方式发生在当签名通信单元14接收来自于另一个中继器设备10的签名的时候以及当由网络管理员输入某一签名的时候。
〔当签名被接收时所执行的处理〕
现在参照图8将描述当签名被中继器设备10接收时所执行的操作过程。图8是当接收签名时所执行的处理步骤的流程。
如图所示,当中继器设备10的签名通信单元14接收从相邻的中继器设备处发送过来的签名等(在本实施例中,可疑签名和合法签名)时(步骤S11),攻击检测单元13基于签名通信单元14所接收的合法条件来产生合法签名(步骤S12)。
然后,优先级确定单元15接收由签名通信单元14所接收的可疑签名以及由攻击检测单元13所产生的合法签名,并确定这些签名的优先级(步骤S13)。此处所使用的优先级确定方法与当可疑的攻击性分组被检测时所使用的方法相同。即,合法签名的优先级被确定为高于可疑签名的优先级,并且如果有多个可疑签名类型的签名,则某一签名的优先级要被确定为高于在该签名中所含的限制信息的较低频带。此外,确定从相邻的中继器设备中接收到的可疑签名的优先级以及由攻击检测单元13所产生的合法签名的优先级,使得已经在签名列表16a中注册过的设置签名的优先权将更高些。
之后,优先级确定单元15准备用来表达确定优先级的结果的签名列表16a并将所准备的签名列表16a注册到滤波单元16中(步骤S14)。然后,签名通信单元14将从相邻的中继器设备中接收到的签名等(在本实施例中,接收到的可疑签名和合法条件)发送到相邻的中继器设备(步骤S15)。
〔当非法分组被检测时所执行的处理〕
现在参照图9将描述当非法分组被中继器设备10检测时所执行的操作过程。图9是当非法分组被检测时所执行的处理步骤的流程。
如图所示,当中继器设备10的攻击检测单元13基于图14所示的非法通信量检测条件表格13b来检测非法通信量时(步骤S21),攻击检测单元13产生非法签名(步骤S22)。然后,优先级确定单元15接收由攻击检测单元13所产生的非法签名,并确定该签名的优先级(步骤S23)。
具体来讲,优先级确定单元15确定由攻击检测单元13所产生的非法签名的优先级,使得已经注册到签名列表16a中的设置签名的优先级将更高些,并且使得非法签名的优先级将高于已经注册到签名列表16a中的可疑签名和合法签名。如果有多个非法签名类型的签名,则某一签名的优先级被确定为高于在该签名中所包含的限制信息的较低频带。
之后,优先级确定单元15准备用来表达确定优先级的结果的签名列表16a,并将所准备的签名列表16a注册到滤波单元16中(步骤S24)。优先级确定单元15根据上述优先级确定方法来确定由网络管理员设置的签名的优先权,这一步骤不仅发生在当攻击可疑通信量被检测的时候、当接收来自于另一个中继器设备10的签名的时候、以及当非法分组被检测的时候,还发生在当网络管理员通过输入单元17输入某一签名的时候。
〔本实施例的效果〕
使用本实施例时,既然为已注册到签名列表16a中的签名确定了优先级,那么就按高优先级的顺序来选择签名,并基于所选签名来控制分组的传递,当有多个签名时可以根据想要的顺序来处理分组。
此外,使用本实施例时,既然为设置签名提供了比自动生成的签名要高的优先级并且在控制分组的过程中使用带有优先权的由网络管理员设置的设置签名,那么便可以用优先权来实现网络管理员想要的控制。
此外,使用本发明时,既然在预定的范围内有多个用于限制分组传递的签名,那么将更高的优先级提供给限制范围更严格的签名,并且在签名中包含的限制信息更为严格的签名用在控制分组的过程中带有优先权,可以安全地处理分组而不会在控制分组的过程中引起矛盾。
〔其它实施例〕
尽管在上文中描述了本发明的一个实施例,但除了该实施例以外本发明还可以以各种不同的模式来实现。
例如,尽管使用上述实施例,优先级被确定成“合法签名”的优先级将高于“可疑签名”,但是本发明并不限于此,优先级可以被确定成“可疑签名”将高于“合法签名”。即,使用上述实施例时所描述的优先级确定方法仅仅是一个示例,本发明并不限于此,并且本发明可以以相同的方式应用于使用其它优先级确定方法的情况中。
尽管在本实施例中,总是在当攻击被检测时产生“可疑签名”,当“可疑签名”被产生时或当从另一个中继器设备中接收到“可疑签名”时产生“合法签名”,但本发明并不限于此,并且可以在不产生“可疑签名”的情况下产生“合法签名”,或可以在不接收“可疑签名”的情况下产生“合法签名”。
本实施例中所示的各设备(例如,图1所示的中继器设备10)的各组件是概念上的功能单元,并不是必须像所示的那样实际排列着。即,各中继器设备10的分散或统一的具体形状并非受限于所示的那样,并且根据各种负载、使用环境等,各中继器设备10的整体或部分可以按功能性地或实际分散或统一的方式排列在任意的单元中。在中继器设备10中实现的各种处理功能中所有的或任意的部分可以是由CPU和程序来实现的,这些程序是由该CPU或有线逻辑硬件来分析和执行的。
在使用本实施例时所描述的各种处理中,作为自动实现而描述的处理过程中所有的或部分处理过程可以用人工来实现,或作为人工实现而描述的处理过程中所有的或部分处理过程可以用已知的方法来自动实现。另外,在上文及附图中描述过的处理步骤、控制步骤、特定的名称以及包括各种数据和参数的信息都可以按需变化,除非另外具体说明。
尽管在使用本实施例时,从多个功能方面描述了用于实现本发明的各种设备(例如,中继器设备10),但是各设备的各种功能也可以通过用个人计算机、工作站或其它计算机执行程序来得以实现。即,在第一实施例中所描述的各种处理步骤可以通过执行在计算机上预先准备的程序来实现。这些程序可以通过互联网或其它网络来发布。这些程序也可以被记录在计算机可读存储介质中,比如硬盘、软盘(FD)、CD-ROM、MO或DVD,并在由计算机从存储介质中读取这些程序时执行这些程序。为引用一个示例,可以发布存储有本实施例所示的中继器设备程序的CD-ROM,并且可以使计算机读取并执行存储在该CD-ROM中的程序。
工业应用
如上所述,本发明的中继器设备、中继方法、中继程序以及网络攻击保护系统可有益于基于用于控制分组传递的签名来控制分组沿网络的传递过程,并且特别适合于即便当有多个签名时也可以根据想要的顺序来处理分组。
Claims (16)
1.一种中继器设备,它排列在网络中并且包括签名存储单元,所述签名存储单元存储着用于控制分组传递的签名,并且所述中继器设备基于存储在所述签名存储单元中的签名来控制所述分组的传递,所述中继器设备包括:
优先级确定和提供单元,用于确定要被存储到所述签名存储单元中的所述签名的优先级;以及
分组控制单元,用于按所述优先级确定单元所确定的那样以高优先级的顺序从所述签名存储单元中选择签名并且基于所选签名来控制所述分组的传递。
2.如权利要求1所述的中继器设备,其特征在于,
所述签名存储单元存储着自动生成的签名,所述自动生成的签名是根据预定的条件判断过程和所述网络的管理员所设置的设置签名而自动生成的,并且
所述优先级确定单元将优先级提供给要被存储到所述签名存储单元中的所述自动生成签名和所述设置签名,使得提供给所述设置签名的优先级高于所述自动生成签名。
3.如权利要求1或2所述的中继器设备,其特征在于,
所述签名存储单元存储着用于将所述分组的传递限制在预定范围内的多个签名,并且
所述优先级确定单元将优先级提供给要被存储到所述签名存储中的签名,使得限制范围更为严格的签名的优先级更高。
4.如权利要求1所述的中继器设备,还包括:
可疑签名产生单元,它基于预定的可疑攻击检测条件来检测可疑的攻击性分组并且产生用于限制所述可疑的攻击性分组的可疑签名;并且
其中,当所述可疑签名产生单元产生可疑签名时,一旦将优先级提供给所述可疑签名,所述优先级确定单元就将所述可疑签名存储到所述签名存储单元中。
5.如权利要求1所述的中继器设备,还包括:
合法签名产生单元,它基于预定的合法条件来产生用于激活有效分组的合法签名;以及
其中,当所述合法签名产生单元产生合法签名时,一旦将优先级提供给所述合法签名,所述优先级确定单元就将所述合法签名存储到所述签名存储单元中。
6.如权利要求1所述的中继器设备,还包括:
非法签名产生单元,它基于预定的非法通信量检测条件来检测非法分组并且产生用于限制所述非法分组的非法签名;以及
其中,当所述非法签名产生单元产生非法签名时,一旦将优先级提供给所述非法签名,所述优先级确定单元就将所述非法签名存储到所述签名存储单元中。
7.如权利要求1所述的中继器设备,还包括:
签名接收单元,它从其它中继器设备中接收用于限制可疑的攻击性分组的可疑签名;以及
其中,当所述签名产生单元接收到可疑签名时,一旦将优先级提供给所述可疑签名,所述优先级确定单元就将所述可疑签名存储到所述签名存储单元中。
8.如权利要求1所述的中继器设备,还包括:
合法签名产生单元,它基于从所述其它中继器设备中接收到的预定的合法条件来产生用于激活有效分组的合法签名;以及
其中,当所述合法签名产生单元产生合法签名时,一旦将优先级提供给所述合法签名,所述优先级确定单元就将所述合法签名存储到所述签名存储单元中。
9.如权利要求1所述的中继器设备,还包括:
签名输入单元,用于接收和输入来自于网络管理员的签名;以及
其中,当所述签名输入单元输入签名时,一旦将优先级提供给所述签名,所述优先级确定单元就将所述签名存储到所述签名存储单元中。
10.一种网络攻击保护系统,它包括签名存储单元,所述签名存储单元存储着用于控制分组传递的签名,并且所述网络攻击保护系统基于存储在所述签名存储单元中的签名来控制所述分组的传递,所述网络攻击保护系统包括:
优先级确定和提供单元,用于确定要被存储到所述签名存储单元中的签名的优先级;以及
分组控制单元,用于按所述优先级确定单元所确定的那样以高优先级的顺序从所述签名存储单元中选择签名并且基于所选签名来控制所述分组的传递。
11.一种在某一设备上实现的中继方法,所述设备排列在某一网络中并且包括签名存储单元,所述签名存储单元存储着用于控制分组传递的签名,所述设备基于存储在所述签名单元存储中的所述签名来控制所述分组的传递,所述中继方法包括:
优先级确定和提供单元步骤,用于确定要被存储到所述签名存储单元中的所述签名的优先级;以及
分组控制步骤,用于按所述优先级确定单元所确定的那样以高优先级的顺序从所述签名存储单元中选择签名。
12.如权利要求11所述的中继方法,其特征在于,
所述签名存储单元存储着自动生成的签名,所述自动生成的签名是根据预定的条件判断过程和所述的网络管理员所设置的设置签名而自动产生的,并且
所述优先级确定步骤包括将优先级提供给要被存储到所述签名存储单元中的所述自动生成签名和所述设置签名,使得提供给所述设置签名的优先级高于所述自动生成的签名。
13.如权利要求11或12所述的中继方法,其特征在于,
所述签名存储单元存储着用于将所述分组传递限制在预定范围内的多个分组,以及
所述优先级确定步骤包括将优先级提供给要被存储到所述签名存储单元中的所述签名,使得限制范围更严格的签名的优先级更高。
14.一种中继程序,所述中继程序使签名存储单元存储用于控制分组传递的签名,并基于存储在所述签名存储单元中的所述签名来控制所述分组的传递,所述中继程序包括:
优先级确定和提供单元处理,用于确定要被存储到所述签名存储单元中的所述签名的优先级;以及
分组控制处理,用于按所述优先级确定单元所确定的那样以高优先级的顺序从所述签名存储单元中选择签名并且基于所选签名来控制所述分组的传递。
15.如权利要求14所述的中继程序,其特征在于,
所述签名存储单元存储着自动生成的签名,所述自动生成的签名是根据预定的条件判断过程和所述网络的管理员所设置的设置签名而自动生成的,并且
所述优先级确定步骤包括将优先级提供给要被存储到所述签名存储单元中的所述自动生成签名和所述设置签名,使得所述设置签名的优先级高于所述自动生成的签名。
16.如权利要求14或15所述的中继程序,其特征在于,
所述签名存储单元存储着用于将所述分组的传递限制在预定范围内的多个签名,并且
所述优先级确定步骤包括将优先级提供给要被存储到所述签名存储单元中的所述签名,使得限制范围更为严格的签名的优先级更高。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004298246 | 2004-10-12 | ||
| JP298246/2004 | 2004-10-12 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1879372A true CN1879372A (zh) | 2006-12-13 |
Family
ID=36148197
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2005800006581A Pending CN1879372A (zh) | 2004-10-12 | 2005-09-09 | 中继器设备、中继方法、中继程序以及网络攻击保护系统 |
Country Status (5)
| Country | Link |
|---|---|
| EP (1) | EP1802057A1 (zh) |
| JP (1) | JPWO2006040895A1 (zh) |
| KR (1) | KR20060060671A (zh) |
| CN (1) | CN1879372A (zh) |
| WO (1) | WO2006040895A1 (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100937217B1 (ko) * | 2007-12-07 | 2010-01-20 | 한국전자통신연구원 | 시그니처 최적화 시스템 및 방법 |
| KR101444908B1 (ko) * | 2013-01-08 | 2014-09-26 | 주식회사 시큐아이 | 시그니처를 저장하는 보안 장치 및 그것의 동작 방법 |
| KR101580417B1 (ko) * | 2014-12-30 | 2016-01-04 | 고려대학교 산학협력단 | 시그니쳐 리스트 정렬 방법 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3699941B2 (ja) * | 2002-03-22 | 2005-09-28 | 日本電信電話株式会社 | 分散型サービス不能攻撃防止方法及びゲート装置、通信装置、分散型サービス不能攻撃防止プログラム及び記録媒体 |
-
2005
- 2005-09-09 CN CNA2005800006581A patent/CN1879372A/zh active Pending
- 2005-09-09 WO PCT/JP2005/016666 patent/WO2006040895A1/ja not_active Application Discontinuation
- 2005-09-09 EP EP05782015A patent/EP1802057A1/en not_active Withdrawn
- 2005-09-09 JP JP2006540853A patent/JPWO2006040895A1/ja active Pending
- 2005-09-09 KR KR1020067002305A patent/KR20060060671A/ko active IP Right Grant
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2006040895A1 (ja) | 2008-05-15 |
| WO2006040895A1 (ja) | 2006-04-20 |
| EP1802057A1 (en) | 2007-06-27 |
| KR20060060671A (ko) | 2006-06-05 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11310262B1 (en) | Real-time vulnerability monitoring | |
| US10893066B1 (en) | Computer program product and apparatus for multi-path remediation | |
| US10701035B2 (en) | Distributed traffic management system and techniques | |
| EP2447877B1 (en) | System and method for detection of malware and management of malware-related information | |
| US9641550B2 (en) | Network protection system and method | |
| US9667647B2 (en) | Detecting malicious resources in a network based upon active client reputation monitoring | |
| EP2562976B1 (en) | Systems and Methods for Enhancing Electronic Communication Security | |
| JP2019106216A (ja) | マルウェアに対処するための方法及び装置 | |
| US11706258B2 (en) | Core services detection for a segmented network environment | |
| CN1194309C (zh) | 服务器计算机保护的装置、方法和服务器计算机装置 | |
| US20150271142A1 (en) | Anti-vulnerability system, method, and computer program product | |
| EP2750072A1 (en) | System and method for protecting cloud services from unauthorized access and malware attacks | |
| CN1860451A (zh) | 基于策略的网络安全管理 | |
| US20150040233A1 (en) | Sdk-equipped anti-vulnerability system, method, and computer program product | |
| CN1773937A (zh) | 设备管理装置、设备以及设备管理方法 | |
| CN1741475A (zh) | 客户机装置、服务器装置以及权限控制方法 | |
| CN1898922A (zh) | 防御设备、防御方法、防御程序以及网络攻击防御系统 | |
| US11991212B2 (en) | Creation and optimization of security applications for cyber threats detection, investigation and mitigation | |
| CN1960246A (zh) | 过滤网络中终端与目的主机间传输的危害性数据的方法 | |
| US9118710B2 (en) | System, method, and computer program product for reporting an occurrence in different manners | |
| US11792228B2 (en) | Systems and methods for network security | |
| CN102752275B (zh) | 签名库的匹配路径生成方法及相关装置 | |
| CN1879372A (zh) | 中继器设备、中继方法、中继程序以及网络攻击保护系统 | |
| CN101060492A (zh) | 会话检测方法及会话检测系统 | |
| US20150033349A1 (en) | Anti-vulnerability system, method, and computer program product |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |