CN1960376A - 自动化的网络阻隔方法和系统 - Google Patents
自动化的网络阻隔方法和系统 Download PDFInfo
- Publication number
- CN1960376A CN1960376A CNA2006101427298A CN200610142729A CN1960376A CN 1960376 A CN1960376 A CN 1960376A CN A2006101427298 A CNA2006101427298 A CN A2006101427298A CN 200610142729 A CN200610142729 A CN 200610142729A CN 1960376 A CN1960376 A CN 1960376A
- Authority
- CN
- China
- Prior art keywords
- network
- physical address
- equipment
- layer
- indication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种用于从网络逻辑地断开主机以及以相同的方式将其重新连接的方法和系统,从而不需要物理的重新接线。该方法和系统通过快速地隔离被感染的主机从而提供了病毒攻击期间的安全,因此阻止了攻击的传播。利用网络过滤器对逻辑上的连接进行管理从而中止来自给定网络主机的所有业务量。可将该网络过滤作为网络协议或者作为网络服务器的管理工具来执行。
Description
技术领域
本发明一般地涉及计算机网络安全系统,具体地涉及控制网络连通性。
背景技术
为了防止他人的攻击,当今计算机安全和网络安全是非常重要的,尤其当计算机和网络连接到因特网或者其它不可靠的网络时。这些攻击的形式可以是计算机病毒、蠕虫、拒绝服务、不正当的数据访问,或者其它性质的恶意软件,一般统称为病毒。通常通信网络安全,尤其计算机网络安全,常常是未经授权的包括黑客的入侵者进行高度复杂的攻击的对象。这些网络的入侵者愈加精于利用网络的弱点来获得接入和未经授权的特权,使得检测和跟踪这类攻击变得困难。此外,来自例如病毒和蠕虫的恶意软件的安全威胁无需人类的监控就可以传播并且能够复制并且进入到其它的网络系统。这类的入侵能够破坏计算机系统并且不利地影响到与受攻击的网络相关的实体的重大利益。
具体地,恶意软件在网络内的传播可使得破坏在短时间内呈指数增长。计算机网络上病毒攻击的不利影响能够造成客户计算机、网络基础设施以及网络服务器的瘫痪。这会造成关键业务运行的关闭以及由于停工期和丧失生产能力而引发的巨大经济损失。由网络攻击造成的商业的破坏包括遏制恶意软件所需的投入以及修理和恢复所需的大量的人力资源。因此,防止攻击和遏制破坏是网络安全重要的方面。
传统上,网络安全关注于建立一个周界以便将未被授权的人排斥在外。现代的商业性信息安全需要致力于使得商业能够进行并且创建一个能够给与雇员、顾客、供应商以及被授权方以接入的周界。一旦周界网络安全被破坏,进一步的安全措施包括在网络客户端上和其它例如web服务器的接入点的各种病毒防护系统。进一步的安全措施可涉及网络拓扑,例如防火墙的建立。不幸的是,病毒防护在一定程度上保持着固有的易错性。因此,阻止破坏的主动方法包括标识已经被感染的主机以及那些未受保护和易受攻击的主机。一旦怀疑有攻击,补救灾难性爆发的第一步是将那些已受感染的主机从网络中隔离出来。网络主机的隔离是必需的从而阻止攻击、恶意软件的进一步扩散,恶意软件通常被设计成对网络主机进行控制并使用它们来做进一步的攻击。隔离网络主机就如同断开网线一样简单,从而消除与其它主机进行进一步通信的可能,这样反过来也就断开了攻击的传播链。这种解决方案,尽管简单,但是需要管理员对主机进行定位并物理地断开它,接着在进行补救后再将其重新连接。对于具有成千上万的客户机的大规模网络来说,物理的断开是不切实际和慢的,从而代表了一种在病毒攻击期间隔离网络主机的无效的方法。
上述的结果是需要提供一种迅速、自动的方法以便对连接到网络的主机的连通性进行管理。
发明内容
本发明通过提供一种逻辑地将主机与网络断开并且以相同的方式将其重新连接的方法和系统来解决上述的需求。术语逻辑上的断开是指指示网络的转发部分不允许由主机进行传输的概念。通过这种方式,主机可保持其与网络的物理连接,但其不再有能力传播病毒攻击,因为任何感染其他主机所需的通信将被中止。可响应由管理员手动发起的命令或者自动触发的命令来执行逻辑上的断开,该自动触发的命令响应于主机所显示的可疑行为。一旦重新建立了网络安全并且主机系统已被补救,则可执行逻辑上的重新连接。逻辑上的重新连接是指指示网络的转发部分允许由主机所进行的传输的概念。本发明的优点是自动化的能力,因此仅需要最小的投入并且提供对病毒攻击的及时响应,即,在大范围的破坏已发生之前。即使需要中止到大量的主机的网络业务量并且在稍后对其进行恢复,本发明仍是可行的解决方案。本发明的一个实施方式可作为向每个网络接口发送命令的网络协议来实施。本发明的另一个实施方式可作为在网络服务器上被执行的管理工具来实施。
本发明的一个目的是提供一种装置,该装置用于通过将主机从网络逻辑地断开从而中止来自属于网络主机的给定的物理地址的网络业务。
本发明的另一个目的是提供一种装置,该装置用于通过将主机与网络逻辑地重新连接从而恢复来自属于网络主机的给定的物理地址的网络业务。
本发明进一步的目的是提供一种装置,该装置通过指示网络设备阻隔给定物理地址的数据包来过滤来自给定物理地址的网络业务。
本发明的另一个目的是提供一种用于将网络主机从网络逻辑地断开的手动或自动的机制。
本发明完全或部分地满足至少一个上述的目的。上文已经相当概括地论述了本发明的特征和技术优势,从而可以更好地理解下文中本发明的详细描述。对本发明附加的特征和优势将在下文中进行描述,它们形成了本发明的权利要求书的主题。
附图说明
为了更全面地理解本发明及其优点,将参考下面结合附图的描述,其中:
图1说明了工业标准网络互连参考模型的层;
图2说明了本发明的一个实施方式的流程图;
图3A和图3B说明了本发明的一个实施方式中的单个功能的流程图;
图4说明了本发明的一个实施方式中的通常的网络配置;
图5说明了本发明的一个实施方式中网络主机的通常系统硬件配置。
具体实施方式
在以下的描述中,例如特定的字或者字节长度等许多细节被阐述,以便提供对本发明的全面的理解。然而,对于本领域的技术人员来说,本发明可以在没有这些特定细节的情况下实现是显而易见的。在其他的实例中,以方框图的形式示出众所周知的电路,从而不会在非必要的细节中淡化本发明。对于大部分而言,有关时序的考虑及其类似的细节已被省去,因为对于获得本发明的完全理解来说这样的细节不是必需的,且其位于相关领域的普通技术人员的技能之内。
现在参考附图,其中所描述的元件不需要按比例示出并且在整个的几幅图中相似或类似的元件由相同的参考标号指定。
为了对连接到给定网络的主机进行定位,物理地址表示从网络可访问到的唯一的、基于硬件的地址或标识。物理地址通常不会改变,除非连接到网络主机的硬件组件被更换。相反,网络地址是由网络协议或者管理员所分配的地址或者标识。网络地址通常可被撤销或以它被分配的相同的方式重新分配给另一个网络主机。网络地址还可包含有关网络的拓扑及组织的信息。
本发明依赖于由国际标准化组织(ISO)标准化的开放式系统互联(OSI)参考模型的某些特征来描述运行在网络感知(network-aware)设备上的应用程序相互如何进行通信。图1中示出的模型,通常被称为OSI7层模型或者ISO7层模型。在图1中,第一层220是物理层,或者层1,该层定义了在网络介质和网络设备之间进行对接的物理设备的光的、电的及机械的特征。层1设备的一个例子是利用铜线网络介质连接到网络接口控制器(NIC)的连接器之后的网络接口。图1中的第二层112是数据链路层,或者层2,该层定义了用于操作共享物理介质的通信链路和接入策略的过程。数据链路或者媒体访问事件在层2中处理,以便对数据包进行成帧处理并对传输错误进行管理。以以太网为例,掌控访问的物理地址是六个字节的媒体访问控制(MAC)地址,该地址对于每个NIC是唯一的。依赖于层2的其它设备有桥接器和交换机,它们能够自适应地知道哪个MAC地址附着到单个的端口,并且存储将网络地址影射到物理地址的表。网络地址的一个例子,也就是已知的数据链路控制(DLC)地址,是一个四个字节的因特网地址,或IP地址。用于层2设备获知网络的拓扑映射的一个示例性的协议就是地址解析协议(ARP)。图1中的第三层114是网络层,或者层3,它确定数据如何在网络设备之间传输并且提供建立、维持和终止网络连接的装置。层3设备的一个例子是路由器。层3中的协议的一个例子是因特网协议,该协议根据唯一的网络设备地址对数据包进行路由并且提供流和拥塞控制以便确保网络业务量平稳地流动。图1中更高等级的层116、118、120和112分别对应于传送层、会话层、表示层及应用层并且分别称为层4到层7。图1中的层通常集体地称为网络栈,在设备A上运行的层7应用能够在网络上通过该栈与在设备B上运行的应用进行通信。从A至B进行交换的每个数据包首先必须从设备A上的层7开始向下通过该栈的每一层,在层1上从设备A物理地传送到设备B,然后在设备B上向上通过该栈到达层7。这样的网络分层架构在现有技术中是众所周知的。
参照图2,该图示出依赖于网络栈的层3和层2内的设备功能的本发明的一个实施方式。处理202包含逻辑地断开和重新连接给定的主机的功能。注意,处理202的实施方式可以工作在任意类型的向层2和层3设备提供主机系统的物理和网络寻址的网络上运行。网络的类型可以是利用电流连接器、光连接器、无线收发器或者它们的任意组合的有线网络。
出于响应于恶意代码攻击而阻隔具体的网络设备或隔离给定的网络设备或者组件的目的,本发明也可在具有无线通信网络的其它实施方式中实施。在无线网络的情况中,物理地址和网络地址根据需要可由用于标识唯一的网络设备和其逻辑上的网络地址的其他标识信息所代替。在一个例子中,在用于移动话音通信的蜂窝无线网络中,例如与蜂窝电话设备相关的设备号码或者用于激活蜂窝电话设备的SIM卡的序列号的唯一硬件标识符可作为物理地址使用,而蜂窝电话号码可作为网络地址使用。这样的设置能够允许阻隔具体的蜂窝移动电话或具体的SIM卡。可能需要一种阻隔独立于具体的SIM卡的蜂窝电话的能力,以便保护网络免受可能驻留于移动电话的本地存储器内的恶意代码的攻击。在一个情形中,可使用本发明保护网络设备免受那些可以穿越网络系统和它们的终端设备的混合病毒的攻击。在无线通信网络中的本发明的一个实施方式中,例如设备号或者MAC地址的与无线网络接口相关的唯一硬件标识符可作为物理地址使用,而无线网络接口的IP地址可作为网络地址使用。在一个例子中,同时具有GSM和IEEE 802.11性能的无线设备利用本发明的方法检测到病毒攻击时可从其中一个网络中断开。
在开始201后,图2中的处理202的初始步骤210包含标识网络主机的物理地址以便逻辑地断开连接。在一个例子中,物理地址可以是用以标识主机的主机NIC的MAC地址。在另一种情况中,例如IP地址的网络地址可用于解析网络主机的物理地址。
在图3A中,处理210的例子在处理302中示出。在开始301后,第一步骤304用于标识主机的网络地址。在第二步骤306中,网络地址被用于解析主机的物理地址。在步骤201中标识的步骤304可包括响应激励而将地址信息输入到用户接口中。从例如IP地址或者其它网络标识符的辅助信息中解析物理地址306可响应于用户的输入而自动地执行来或者手动地执行。自动解析可涉及询问保留地址解析表的网络设备以便从设备获得物理地址。手动的解析可涉及利用网络协议发送命令来获得物理地址。处理302在步骤311终止。
图2中,处理202的下一步骤212涉及标识与网络主机连接的网段212。在本发明的一个实施方式中,用于与网段中所有设备进行交互的全局地址被使用。在另一个情况中,包括网络核心和网络主机之间通信路径的有效的网络拓扑被解析。
在图3B中,将执行用于标识网段的处理212的一个实施方式作为单独的处理322示出。该处理322包括搜寻网络主机所连接到的每个层2和层3设备。在开始321之后,第一步324涉及标识核心网络地址。这需要网络主机的网络地址被标识,这可通过处理302发生或通过从210中标识的物理地址解析出主机网络地址而发生。一旦网络地址是已知的,就可以确定主机的通信路径。这涉及从网络的核心开始的搜索。从这种意义来说术语核心是指独立管理的、自治的网络的中心。在一个例子中,这样的网络包含由作为所述核心使用的域服务器管理的网域。在步骤326中,利用路由功能对网络中的层3设备进行确定。在一个例子中,ICMP跟踪路由功能被用于确定网络中的每个层3设备。接着在步骤328中,网络主机所连接到的第一个层3设备被标识。这个层3设备作为将被断开连接的网络主机的网络路由器使用,阻隔通往该层3路由器或者网关的通路,用以有效地将该主机与任何另外的网络连接断开。通过确定每一个层2设备连接到步骤328中标识的第一个层3设备,标识网段的处理322进一步前进到步骤330中。步骤330以确定网络主机物理地址与第一个层3设备上的哪个物理接口相关开始。从这里,通过询问下一个直接相连的网络设备来确定第一个层3设备和网络主机之间的每个连续的层2设备。通信路径中的每一步,也就是通常所说的跳,可接着被解析。在一个实施方案中,例如思科发现协议(CDP)的协议可以用于确定通信路径中的下一跳。在一个例子中,一旦通信路径和设备地址已被解析,则可以利用远程登录协议来执行与网络设备的交互。在步骤332中,连接到网络主机的第一个层2设备被确定。由于之前的步骤已经有效地解析了网络的拓扑,所以在步骤334中该信息被记录以便进一步的参考。在一个例子中,在步骤334中该网络拓扑被记录到本地数据库中。处理322在步骤351终止。
图2中的处理202的下一步骤214是对逻辑地断开的网络主机进行确定。该确定214可响应于手动或者自动发出的断开命令而做出。手动的断开命令可以是由网络管理员操作用户接口元件所执行的判断的结果。自动断开命令可响应于预定义的标准而发出,这样的标准例如是网络业务量的具体行为或模式,网络上软件版本的安装图,或其他用于确定是否具体的主机应该逻辑地与网络断开的标准。自动的断开命令可伴随着通知管理员根据详细的网络地址和行动的时间戳来采取行动。直到做出确定214从而逻辑地断开给定网络主机的时间前,处理202可处于空闲或者为将要发出的断开命令进行轮询。响应断开命令,处理202激活阻隔过滤器216来逻辑地断开网络主机。这里可存在阻隔过滤器的不同实现方式。在应用过滤器的一个示例方法中,网络设备被指示通过远程登录来应用MAC过滤器以便阻隔来自被逻辑地断开的网络主机的业务量。在阻隔过滤器的一个实施方式中,本发明在网络主机所连接到的第一个层2设备上应用阻隔过滤器。在阻隔过滤器的一个实施方式中,本发明在网络主机和通往网络核心路径上的第一个层3设备之间的每一个层2设备上应用阻隔过滤器,这就有效地防止了网络主机与网络物理地重新连接。在阻隔过滤器的一个实施方式中,本发明依靠网络协议来利用指令充斥整个网络来促使设备忽略基于主机的物理地址而对于给定主机的传输。在一个示例的实施方式中,类似于简单网络管理协议(SNMP)中使用的那些消息的消息传遍网络从而激活所有网络设备上的MAC地址过滤器。在阻隔过滤器已被激活的216之后,网络主机被认为从网络逻辑地断开。
图2中的处理202的下一步是确定218,用于确定网络主机是否应该与网络逻辑地重新连接。确定218可响应于手动或者自动发出的重新连接命令而做出。手动的重新连接命令可以是由网络管理员操作用户接口元件所执行的判断的结果。自动重新连接命令可响应于预定义的标准而发出,这样的标准例如是主机已经被修复、网络业务量的具体行为或模式,网络上软件版本的安装图,或其他用于确定是否具体的主机应该逻辑地重新连接到网络的标准。自动的重新连接命令可伴随着通知管理员根据详细的网络地址和行动的时间戳来采取行动。直到做出确定218从而逻辑地重新连接给定网络主机的时间前,处理202可处于空闲或者为将要发出的重新连接命令进行轮询。为了响应重新连接命令,处理202去活阻隔过滤器220以便逻辑地重新连接网络主机。可存在不同的阻隔过滤器的实施方案,因此也就存在不同的移去阻隔过滤器的实施方案。在移去过滤器的一个示例方法中,网络设备被指示通过远程登陆来移去MAC过滤器从而允许来自逻辑地重新连接的主机的业务量。在阻隔过滤器的一个实施方式中,本发明移去网络主机所连接到的第一个层2设备上的阻隔过滤器。在阻隔过滤器的一个实施方式中,本发明从网络主机和在通往网络核心的第一个层3设备之间的每一个层2设备上移去阻隔过滤器。在阻隔过滤器的一个实施方式中,本发明依赖网络协议来利用指令充斥网络以便促使设备基于主机物理地址确认和转发对于给定主机的传输。在一个示例性的实施方式中,类似于简单网络管理协议(SNMP)中使用的那些消息的消息传遍网络从而去活所有网络设备上的MAC地址过滤器。在阻隔过滤器已被去活的218之后,网络主机被认为是逻辑地重新连接到网络,因此就获得了在步骤216中逻辑地断开之前的初始状态。处理202在步骤250终止。
注意到为了多个需要与网络逻辑的断开并随后重新连接的网络主机,处理202可从开始201到结束250或者其一部分重复地进行。在一个例子中,多个网络主机可从网络参与中依次地被中止,并在得到对每个网络主机分别修复的确认后恢复。在另一个例子中,多个网络主机是以可重入、同时或者并行模式被中止和恢复。
本发明可采用完全硬件的实施方式的形式,完全软件的实施方式或者包含硬件和软件元素的实施方式。在一个实施方式中,本发明以软件实施,它包含但不限于固件、内嵌软件或微码等。进一步,本发明可采取计算机程序产品的形式,该计算机程序产品可由提供程序代码的计算机可用或者计算机可读介质进行存取,从而由或连同计算机或者任何指令执行系统进行使用。为了描述起见,计算机可用或者计算机可读介质可以是任何能够包含、存储、通信、传播、或者传输程序以便由或连同指令执行系统、设备或装置使用的装置。这种介质可以是电的、磁的、光的、电磁的、红外的、或者半导体系统(或装置或器件)或者传播介质。计算机可读介质的例子包括半导体或者固态存储器、磁带、或者可移动的计算机磁盘、随机接入存储器(RAM),只读存储器(ROM),硬性磁盘和光盘。光盘的当前的例子包括压缩盘-只读存储器(CD-ROM)、压缩盘-读/写(CD-R/W)和DVD。
一种适合于存储和/或执行程序代码的数据处理系统将包括至少一个通过系统总线与存储器单元直接或间接相连的处理器。存储器元件可包括在程序代码实际执行期间使用的本地存储器、大容量存储器,以及缓冲存储器,该缓冲存储器提供对至少一些程序代码的暂时存储,以便减少在执行期间从大容量存储器必须获取数据的次数。输入/输出或I/O设备(包含但不限于键盘、显示器、定点设备等)可直接或者通过中介I/O控制器连接到系统。网络适配器也可以与系统连接以便使得数据处理系统通过中介私有网络或者公有网络连接到其他的数据处理系统或远程打印机或存储设备。调制解调器、线缆调制解调器以及以太网卡恰恰是当前可用的几种类型的网络适配器。
图4中示意性表示了可用于实现本发明的一个实施方式的一种网络配置401。网络核心由服务器系统402表示,它可作为由401表示的网域的主服务器使用。服务器可配备成具有高性能网络接口403,以便与多个例如路由器404和406的层3设备进行连接。路由器406可通过网络接口407与桥接器408相连,接着又将外部网段(未详细示出)连接到当前域401。在一个例子中,外部网段415代表互联网。路由器404可通过网络连线405的系统连接到例如交换机410和412的多个层2设备。其它例如无线接入点420的层2设备可以通过交换机410和412连接到路由器404或者直接地连接到路由器404。在其它的例子中,一个结合有集线器和转发器(未图示)的交换机410、412的分级网络可用于将网络接入扩展到大量的客户端设备。所示的交换机410具有通过网络连接409连接到客户端计算机系统422、424、426的示例性配置。在一个例子中,例如系统426的单个网络主机是本发明逻辑的断开/重新连接的目标。图4中所示的图是用于示例性的目的并且不是在网络配置的任何给定实施方式的范围或复杂度上限制本发明的应用或实施。具有大量层1、层2和层3设备的网络配置代表了用于实现本发明的典型环境。
由无线接入点420提供的无线网络430可以对通信设备440或客户端计算机系统442进行服务。在一种情况中,本发明可利用无线网络430来逻辑地断开/重新连接网络主机442或者网络主机440。无线通信设备440可以配备有例如蜂窝网络接口的附加无线接口。在一个例子中,无线接入点420可表示向大量的例如移动电话的蜂窝设备提供无线通信服务的蜂窝。在另一个情况中,无线接入点420可以在广域上提供宽带无线接入。在现有技术中已知的是,例如,遵守无线通信的移动通信全球系统(GSM)标准的网络可利用OSI-7层参考模型进行建模。本发明可通过任意这类遵守OSI-7层参考模型或者由OSI-7层参考模型所表示的无线网络来实施。
图5中示出一个典型网络主机系统的系统配置(例如图4中的项422、424、426),其示出具有例如常规微处理器的中央处理单元(CPU)510和多个通过总线系统512互连的其它单元的数据处理系统501的示例性硬件配置。数据处理系统501可以包含随机接入存储器(RAM)514、只读存储器(ROM)516以及用于连接外围设备的输入/输出(I/O)适配器518。适配器518的外围设备可以是盘单元520、磁带驱动器540、光驱动器542,它们通过外围总线519连接到总线512。数据处理系统501还可包括用于将键盘524、鼠标526和/或例如触摸屏设备(未示出)的其他用户接口设备与总线512进行连接的用户接口适配器522。系统501中进一步包括将数据处理系统513连接到数据处理网络544的通信适配器534,以及用于将总线512连接到显示设备538的显示器适配器536。数据处理网络544可以是具有星型或、环形及其他拓扑的无线的、流电有线的、或者光介质的网络。在一个例子中,如系统501所示,通信适配器534的MAC地址代表网络主机的物理地址。系统501中进一步可包括将总线512连接到麦克风552和扩音系统554的多媒体适配器550,以及可以通过模拟或者数字接口利用适配器550来使用的例如耳机及立体声扬声器(未示出)的其他类型的多媒体输入和输入设备。CPU510可包括这里未示出的其它电路,这些电路将包括在微型处理器内通常可发现的例如执行单元、总线接口单元、算术逻辑单元等电路。
尽管对本发明及其优点已经进行了详细的描述,但是可以理解的是这里可做出各种改变、替代及改造,而不会脱离如所附权利要求书中定义的本发明的精神和范围。
Claims (13)
1.一种通过控制网络主机的逻辑上的网络连接来中止所述网络主机的网络业务量的方法,包括以下的步骤:
标识所述网络主机的唯一的物理地址;
标识网段以便应用阻隔过滤器来阻隔与所述物理地址相关的网络业务量;
响应断开命令,指示与所述网段相连的网络设备为所述物理地址激活所述述阻隔过滤器;以及
响应重新连接命令,指示与所述网段相连的网络设备为所述物理地址去活所述阻隔过滤器。
2.如权利要求1中所述的方法,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的步骤进一步包括指示网络上的每一个设备为所述物理地址阻隔所有的网络业务量的步骤;并且其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的步骤进一步包括指示网络上的每一个设备为所述物理地址传输所有网络业务量的步骤。
3.如权利要求1所述的方法,其中所述网络主机包括无线通信设备并且其中所述物理地址唯一地标识无线通信适配器。
4.如权利要求1所述的方法,其中标识网段以便应用阻隔过滤器来阻隔与所述物理地址相关的网络业务量的步骤进一步包括确定到所述物理地址的网络通信路径,其进一步包括步骤:
标识网络核心的网络地址;
确定所述网络核心和所述物理地址之间的每一个层3设备的网络地址;
标识物理地连接到所述物理地址的第一个层3设备;
确定连接到所述第一个层3设备和所述物理地址之间的每一个层2设备的网络地址;
标识物理地连接到所述物理地址的第一个层2设备;以及
连同网络连接拓扑一起记录每一个层3和层2设备的网络地址。
5.如权利要求4所述的方法,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的步骤进一步包括指示物理地连接到所述物理地址的第一个层2设备为所述物理地址阻隔所有网络业务量的步骤;并且其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的步骤进一步包括指示物理地连接到所述物理地址的第一个层2设备为所述物理地址传输所有的网络业务量的步骤。
6.如权利要求4所述的方法,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的步骤进一步包括指示所述第一个层3设备与所述物理地址之间的每一个层2设备为所述物理地址阻隔所有网络业务量的步骤;并且其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的步骤进一步包括指示位于所述第一个层3设备与所述物理地址之间的每一个层2设备为所述物理地址传输所有的网络业务量的步骤。
7.一种用于通过控制所述网络主机的逻辑上的网络连接从而中止网络主机的网络业务量的计算机程序产品,包括权利要求1到权利要求6任意一项所述的方法步骤。
8.一种系统,包括:
处理器;
存储器单元,该存储器单元用于存储通过控制所述网络主机的逻辑上的网络连接从而中止网络主机的网络业务量的计算机程序;
通信适配器;
将所述处理器连接到所述存储器和所述通信适配器的总线系统,其中所述计算机程序用于执行下面的编程步骤:
标识所述网络主机的唯一物理地址;
标识网段以便应用阻隔过滤器来阻隔与所述物理地址相关的网络业务量;
响应于断开命令,指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器;以及
响应于重新连接命令,指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器。
9.如权利要求8所述的系统,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的编程步骤进一步包括指示网络上的每一个设备为所述物理地址阻隔所有的网络业务量的编程步骤;并且其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的编程步骤进一步包括指示网络上的每一个设备为所述物理地址传输所有的网络业务量的编程步骤。
10.如权利要求8所述的系统,其中所述网络主机包括无线通信设备并且其中所述物理地址唯一地标识了无线通信适配器。
11.如权利要求8所述的系统,其中标识网段以便应用阻隔过滤器来阻隔与所述物理地址相关的网络业务量的编程步骤进一步包括确定到所述物理地址的网络通信路径,其进一步包括以下编程步骤:
标识所述网络核心的网络地址;
确定所述网络核心与所述物理地址之间的每一个层3设备的网络地址;
标识物理地连接到所述物理地址的第一个层3设备;
确定连接在所述第一个层3设备与所述物理地址之间的每一个层2设备的网络地址;
标识物理地连接到所述物理地址的第一个层2设备;以及
连同网络连接拓扑一起记录每一个层3设备和层2设备的网络地址。
12.如权利要求8所述的系统,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的编程步骤进一步包括指示物理地连接到所述物理地址的第一个层2设备为所述物理地址阻隔所有的网络业务量的编程步骤;并且其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的编程步骤进一步包括指示物理地连接到所述物理地址的第一个层2设备为所述物理地址传输所有网络业务量的编程步骤。
13.如权利要求8所述的系统,其中指示连接到所述网段的网络设备为所述物理地址激活所述阻隔过滤器的编程步骤进一步包括指示位于所述第一个层3设备与所述物理地址之间的每一个层2设备为所述物理地址阻隔所有网络业务量的编程步骤;以及其中指示连接到所述网段的网络设备为所述物理地址去活所述阻隔过滤器的编程步骤进一步包括指示位于所述第一个层3设备与所述物理地址之间的每一个层2设备为所述物理地址传输所有的网络业务量的编程步骤。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/263,039 | 2005-10-31 | ||
| US11/263,039 US20070101422A1 (en) | 2005-10-31 | 2005-10-31 | Automated network blocking method and system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1960376A true CN1960376A (zh) | 2007-05-09 |
Family
ID=37998186
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNA2006101427298A Pending CN1960376A (zh) | 2005-10-31 | 2006-10-30 | 自动化的网络阻隔方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20070101422A1 (zh) |
| JP (1) | JP2007129707A (zh) |
| CN (1) | CN1960376A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857395A (zh) * | 2011-06-29 | 2013-01-02 | 上海地面通信息网络有限公司 | 采用统一网络安全防护设备的网络接入系统 |
| CN104579780A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 模拟网络断网的方法和装置 |
| CN115004637A (zh) * | 2020-01-22 | 2022-09-02 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8863285B2 (en) * | 2006-04-27 | 2014-10-14 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
| US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
| US7917956B2 (en) * | 2006-04-27 | 2011-03-29 | The Invention Science Fund I, Llc | Multi-network virus immunization |
| US8191145B2 (en) * | 2006-04-27 | 2012-05-29 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
| US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
| US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
| US8151353B2 (en) | 2006-04-27 | 2012-04-03 | The Invention Science Fund I, Llc | Multi-network virus immunization with trust aspects |
| US8787899B2 (en) * | 2006-06-30 | 2014-07-22 | Nokia Corporation | Restricting and preventing pairing attempts from virus attack and malicious software |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| JP4947069B2 (ja) | 2009-02-19 | 2012-06-06 | 日本電気株式会社 | ネットワークセキュリティシステムおよびリモートマシン隔離方法 |
| US9729467B2 (en) * | 2009-05-12 | 2017-08-08 | Qualcomm Incorporated | Method and apparatus for managing congestion in a wireless system |
| DE112010005484T5 (de) * | 2010-04-14 | 2013-01-24 | Mitsubishi Electric Corporation | Sicherheitsverfahren für Engineering-Tools und Industrieprodukte und Sicherheitssystem |
| FR2977432B1 (fr) * | 2011-06-29 | 2013-07-19 | Netasq | Procede de detection et de prevention d'intrusions dans un reseau informatique, et systeme correspondant |
| US8973140B2 (en) | 2013-03-14 | 2015-03-03 | Bank Of America Corporation | Handling information security incidents |
| US10148519B2 (en) * | 2016-06-09 | 2018-12-04 | Honeywell International Inc. | Automation network topology determination for C and I systems |
| CN109795277B (zh) * | 2018-10-17 | 2021-11-05 | 南京林业大学 | 一种针对主动悬架系统受到DoS攻击的可靠性控制方法 |
| US11095610B2 (en) * | 2019-09-19 | 2021-08-17 | Blue Ridge Networks, Inc. | Methods and apparatus for autonomous network segmentation |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6052751A (en) * | 1997-02-14 | 2000-04-18 | Advanced Micro Devices, I Nc. | Method and apparatus for changing the number of access slots into a memory |
| US6754622B1 (en) * | 1999-05-24 | 2004-06-22 | 3Com Corporation | Method for network address table maintenance in a data-over-cable system using destination reachibility |
| US6718462B1 (en) * | 2000-04-20 | 2004-04-06 | International Business Machines Corporation | Sending a CD boot block to a client computer to gather client information and send it to a server in order to create an instance for client computer |
| US7200865B1 (en) * | 2000-12-01 | 2007-04-03 | Sprint Communications Company L.P. | Method and system for communication control in a computing environment |
| US20020104017A1 (en) * | 2001-01-30 | 2002-08-01 | Rares Stefan | Firewall system for protecting network elements connected to a public network |
| TW561740B (en) * | 2002-06-06 | 2003-11-11 | Via Tech Inc | Network connecting device and data packet transferring method |
| US20050050334A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Network traffic management by a virus/worm monitor in a distributed network |
| JP2005252717A (ja) * | 2004-03-04 | 2005-09-15 | Hitachi Ltd | ネットワーク管理方法及びネットワーク管理サーバ |
| US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
-
2005
- 2005-10-31 US US11/263,039 patent/US20070101422A1/en not_active Abandoned
-
2006
- 2006-10-26 JP JP2006291363A patent/JP2007129707A/ja active Pending
- 2006-10-30 CN CNA2006101427298A patent/CN1960376A/zh active Pending
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102857395A (zh) * | 2011-06-29 | 2013-01-02 | 上海地面通信息网络有限公司 | 采用统一网络安全防护设备的网络接入系统 |
| CN104579780A (zh) * | 2015-01-09 | 2015-04-29 | 北京京东尚科信息技术有限公司 | 模拟网络断网的方法和装置 |
| CN115004637A (zh) * | 2020-01-22 | 2022-09-02 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
| CN115004637B (zh) * | 2020-01-22 | 2024-03-08 | 西门子工业公司 | 实时且独立的网络攻击监控和自动网络攻击响应系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20070101422A1 (en) | 2007-05-03 |
| JP2007129707A (ja) | 2007-05-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1960376A (zh) | 自动化的网络阻隔方法和系统 | |
| EP1723745B1 (en) | Isolation approach for network users associated with elevated risk | |
| CN101589595B (zh) | 用于潜在被污染端系统的牵制机制 | |
| US5905859A (en) | Managed network device security method and apparatus | |
| Chang et al. | Deciduous: Decentralized source identification for network-based intrusions | |
| US5805801A (en) | System and method for detecting and preventing security | |
| CN100435513C (zh) | 网络设备与入侵检测系统联动的方法 | |
| US20060256729A1 (en) | Method and apparatus for identifying and disabling worms in communication networks | |
| CN105262738A (zh) | 一种路由器及其防arp攻击的方法 | |
| CN105743878A (zh) | 使用蜜罐的动态服务处理 | |
| JP5134141B2 (ja) | 不正アクセス遮断制御方法 | |
| JP2007006054A (ja) | パケット中継装置及びパケット中継システム | |
| EP1833227B1 (en) | Intrusion detection in an IP connected security system | |
| KR100523483B1 (ko) | 네트워크에서의 유해 트래픽 탐지 및 대응 시스템 및 방법 | |
| US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
| Tang et al. | A simple framework for distributed forensics | |
| Mahmood et al. | Network security issues of data link layer: An overview | |
| JP4398316B2 (ja) | ネットワーク管理装置、ネットワーク管理方法、およびプログラム | |
| CN100544304C (zh) | 在pdu交换环境中提供增强安全特性的方法及装置 | |
| CN100393047C (zh) | 一种入侵检测系统与网络设备联动的系统及方法 | |
| JP2006099590A (ja) | アクセス制御装置、アクセス制御方法およびアクセス制御プログラム | |
| TWI728901B (zh) | 雙模式切換之阻斷網路連線的方法 | |
| CN101312465B (zh) | 一种异常报文接入点的发现方法和装置 | |
| CN102333010A (zh) | 单向链路检测保护的方法及系统 | |
| Prabhu et al. | Network intrusion detection system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Open date: 20070509 |