DE102005037968A1 - Schutzsystem für eine Netzwerkinformationssicherheitszone - Google Patents

Schutzsystem für eine Netzwerkinformationssicherheitszone Download PDF

Info

Publication number
DE102005037968A1
DE102005037968A1 DE102005037968A DE102005037968A DE102005037968A1 DE 102005037968 A1 DE102005037968 A1 DE 102005037968A1 DE 102005037968 A DE102005037968 A DE 102005037968A DE 102005037968 A DE102005037968 A DE 102005037968A DE 102005037968 A1 DE102005037968 A1 DE 102005037968A1
Authority
DE
Germany
Prior art keywords
network
computer
service
user
protection device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE102005037968A
Other languages
English (en)
Other versions
DE102005037968B4 (de
Inventor
Wei-Ming Wu
Chun-Yu Yeh
Tse-En Shao
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
D Link Corp
Original Assignee
D Link Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by D Link Corp filed Critical D Link Corp
Publication of DE102005037968A1 publication Critical patent/DE102005037968A1/de
Application granted granted Critical
Publication of DE102005037968B4 publication Critical patent/DE102005037968B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/02Standardisation; Integration
    • H04L41/0213Standardised network management protocols, e.g. simple network management protocol [SNMP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/55Prevention, detection or correction of errors
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Geschaffen wird ein kombiniertes Schutzsystem für eine Netzwerkinformationssicherheitszone, das mit Hilfe einer Netzwerkschutzeinrichtung einen Netzwerkverbindungsstatus überwacht. Sobald die Netzwerkschutzeinrichtung einen Benutzer-Computer in einem Netzwerksystem entdeckt, der die Bedingungen eines kombinierten Netzwerrkzonenschutzes auslöst, schließt die Netzwerkschutzeinrichtung unverzüglich und automatisch an einen festgelegten Netzwerkschalter an, so dass der Netzwerkschalter den für den Benutzer-Computer bereitgestellten Netzwerkzugangsdienst unterbricht, um damit auf wirksame Weise die weitere Ausbreitung von Viren oder Hackern im selben oder in anderen Teilnetzen des Netzwerks zu verhindern und des Weiteren den Virus daran zu hindern, eine DDoS-Attacke zu starten oder den Netzwerkserver zu paralysieren, wodurch die Schäden und Verluste am Netzwerksystem in hohem Maße reduziert werden.

Description

  • GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung betrifft einen Netzwerkinformations-Sicherheitsmechanismus, und insbesondere ein kombiniertes Schutzsystem für eine Netzwerkinformationssicherheitszone mit einer Netzwerkschutzeinrichtung zur Überwachung des Netzwerkverbindungsstatus mit Benutzercomputern in einem Netzwerk und zum Trennen des Netzwerkdienstes eines Benutzercomputers, wenn die Netzwerkschutzeinrichtung feststellt, dass der Benutzercomputer ein abnormales Verhalten zeigt und Regeln des Netzwerkzugangsdienstes verletzt, um dadurch einen das abnormale Verhalten auslösenden Virus wirksam daran zu hindern, sich kontinuierlich im selben oder in anderen Teilnetzen des Netzwerks zu verbreiten.
  • HINTERGRUND DER ERFINDUNG
  • Angesichts der raschen Entwicklung des Internets und des e-Commerce sind die Menschen heute sehr optimistisch in Bezug auf die von Netzwerken eröffneten geschäftlichen Möglichkeiten. Allerdings müssen Personen oder Unternehmen unterschiedlicher potenzieller Bedrohungen der Netzwerksicherheit gewahr sein, wie beispielsweise der Verbreitung von Viren und Hacker-Invasionen, wenn sie sich in hohem Maße auf die Netzwerkkommunikation verlassen. Vor dem Hintergrund der Merkmale des offenen Systems und der praktischen Übertragungsmöglichkeiten des Internets haben die Angriffe einiger Hacker beispielsweise nicht den Zweck, in die Computersysteme von Unternehmen einzudringen, um Websitedaten zu stehlen oder zu ändern, sondern vielmehr die Lancierung einer sogenannten "Distributed Denial of Service"-Attacke (DDoS-Attacke; verteilter Angriff auf Serverdienste), mit der eine große Menge von Packets mit manipulierten IP-Adressen über mehrere an unterschiedlichen Stellen verteilten Computern versendet werden. Auf diese Art wird der Netzwerkserver des Opfers so paralysiert, dass er aufgrund einer unter 1% gefallenen normalen Logon-Rate nicht mehr in der Lage ist, normale Dienste zu erbringen.
  • Um eine oder mehrere Zielwebsites zu paralysieren, versenden DDoS-Attacken eine massive Menge an Daten, die weit über der Netzwerkbelastbarkeit oder der Belastbarkeit des attackierten Computers liegen, anstatt das Systemprogramm des attackierten Netzwerkservers zu beenden. Das heißt, DDoS-Attacken bringen einen gleichzeitigen Start der Denial-of-Service-Attacken (DoS) auf mehrere Computergruppen im Netzwerk über eine Technik mit netzverteilten Quellen mit sich, so dass der angegriffene Netzwerkserver Feinden von mehreren Hunderten von Computern übers Netz gegenübersteht. Deshalb benötigt die DDoS-Attacke eine bestimmte Anzahl von Computern, die als Daemon (Platten- und Ausführungs-Kontrollprogramme) fungieren. Die Daemons nehmen gleichzeitig ein Ziel ins Visier, um eine paralytische Attacke zu starten, vorausgesetzt ein Hacker versendet einen Angriffsbefehl. Vor dem geheimen Start einer DDoS-Attacke müssen die Hacker durch Stehlen oder Beobachten illegal an Passwörter spezifischer Computer kommen und dann die Kontrolle der Computer übernehmen und sie zu Masters machen. In der Zwischenzeit legen die Hacker ein invadiertes Backdoor-Programm in den Masters ab und versuchen dann, über das auf den Masters installierte Backdoor-Programm mehrere Netzwerkcomputer zu invadieren, um eine ausreichende Zahl von Computern als Daemons zu gewinnen. Schließlich legen die Hacker ein Attack-Masterprogramm in die Masters, das den Daemons den Befehl erteilt, die DDoS-Attacken gleichzeitig zu starten, und auch ein Attack-Programm in die Daemons, um den paralytischen Angriff durchzuführen.
  • Im Allgemeinen nützt die Methode der DDoS-Attacke zur Durchführung des Angriffs hauptsächlich die Sicherheitslücke des Request- und Response-Modus des TCP/IP-Kommunikationsprotokolls. In einem typischen Netzwerksystem senden beide kommunizierenden Teilnehmer normalerweise ein Anforderungspaket (Request) an den anderen Teilnehmer, um eine funktionierende Verbindung für die Kommunikation sicherzustellen, und warten auf ein korrektes Antwortpaket (Response) vom anderen Teilnehmer. Eine korrekte Verbindung ist sichergestellt, wenn der antwortende Teilnehmer ein korrektes Response-Packet zurück sendet. Wenn beispielsweise Teilnehmer A in Kommunikationsverbindung mit Teilnehmer B im TCP/IP-Kommunikationsprotokoll steht, sendet Teilnehmer A ein SYN-Packet an den Teilnehmer B. Teilnehmer B antwortet mit einem SYN-ACK-Packet an den Teilnehmer A, unter der Bedingung, dass der Teilnehmer B das Anforderungspaket empfängt. Gleichermaßen sendet Teilnehmer A ein ACK-Packet an den Teilnehmer B zur Bestätigung. Nachdem diese Prozedur abgeschlossen ist, wird die Verbindung zwischen den Teilnehmern A und B für die Datenübertragung sichergestellt. Unter dem beschriebenen Kommunikationsmodus kann ein Hacker versuchen, eine Menge von SYN-Packets an einen bestimmten Computer im Netzwerk zu produzieren, ohne das ACK-Packet an diesen Computer zurück zu senden, so dass der angegriffene Zielcomputer oder das Netzwerk dazu gebracht wird, langsamer zu werden oder abzustürzen, weil die vom Hacker produzierte oder gefälschte Menge an Junk-Packets nicht mehr bewältigbar ist.
  • Um eine DDoS-Attacke wirksam zu verhindern, müssen Systemadministratoren den Netzwerkcomputer finden, auf dem ein permanent residierendes Attack-Programm installiert ist, bevor sie die Bedrohung der DDoS-Attacken lösen können. Zur Zeit stehen zahlreiche Werkzeuge zur Entdeckung der permanent residierenden Attack-Programme zur Verfügung. Beispielsweise in einem Windows-Betriebssystem können der Internet Scanner 6.01 und das Programm RealSure 3.2.1 von IIS zum Scannen benützt werden, wobei das Erstere beispielsweise das permanent residierende Attack-Programm des TribeFlood Networks scannen kann und dazu beiträgt, die Sicherheitslücke der Website zu finden, um zu verhindern, dass die Website zu einem Einfallstor für Hacker wird, um die DDoS-Attacke durchzuführen, und Letzteres kann die Kommunikation zwischen dem Master und dem Daemon des DDoS erfassen und so den Hacker daran hindern, die DDoS-Attacke zu starten. Außerdem hat die britische NIPC ebenfalls ein Programm zur Entdeckung einer DDoS-Attacke entwickelt, welches den Systemadministratoren erlaubt, ihre Systeme zu testen und zu prüfen, ob ein Programm ähnlich dem DDoS-Attackenprogramm installiert ist. Schließlich können die Systemadministratoren ihre Computer oder Router kontrollieren und alle abnormalen Packets mit IP-Adressen aus manipulierter Quelle eliminieren, wie beispielsweise 10.0.0.0./8, 172.16.0.0/12 und 192.168.0.0/16 oder alle Service Ports schließen, die vom Netzwerkcomputer nicht benötigt werden. Inzwischen kann der Systemadministrator auch eine Logon-Liste auf dem Netzwerkcomputer oder dem Router erstellen, um Invasionen zu verhindern. Allerdings sind die meisten Systemadministratoren unfähig, ihre Systeme zu schützen, weil die Attacken intern lanciert werden. Das Einzige, was der Systemadministrator tun kann, ist Gegenmaßnahmen im Anschluss an die Attacke zu ergreifen. Dann ist es allerdings bereits zu spät. Eigentlich wird ein Netzwerk-Sicherheitsmechanismus zur automatischen Entdeckung und Unterbindung abnormaler Netzwerkoperationen durch einen automatischen Mechanismus eingerichtet, um alle bösartigen Angriffe oder ernsthaften Schäden, die das Netzwerk paralysieren könnten, wirksam und zeitgerecht zu verhindern. Beispielsweise kann der Systemadministrator eine Blacklist für den Netzwerkzugriff und den Service einrichten. Gegenwärtig gibt es zahlreiche Netzwerkvorrichtungen wie Schalter und Netzwerksicherheitsmittel einschließlich Firewalls und Ähnlichen, die einen Mechanismus zur Überwachung des Netzwerk-Flows und zur Kontrolle des Netzwerkzugriffs bereitstellen. Allerdings fehlt diesen Kontrollinstrumenten ein interaktiver Mechanismus, und sie können nicht rechtzeitig an das Netzwerk anschließen, weshalb sie auch nicht in der Lage sind, bösartige Angriffe auf das Netzwerk wirksam zu verhindern.
  • Heutzutage zielt die Technologie der Kontrolle und Verwaltung von Netzwerkverbindungen auf das abnormale Packet oder die Verbindung, welche die Netzwerkprinzipien verletzt, um den Service zu verweigern, wenn das Packet durch die Netzwerk-Sicherheitseinrichtungen geht, sie kann aber nicht den Datenfluss erfassen, der nicht durch die Netzwerksicherheitseinrichtung geht und die Netzwerkverbindung des Benutzer-Computers nicht wirksam verweigern. Wenn kontinuierliche oder Mengen-Netzwerk-Attacken oder abnormale Netzwerkzugriffe zutage treten, fährt der Netzwerk-Administrator damit fort, die verweigerten Netzwerkzugriffe und Services zu bearbeiten und wird damit stark belastet. Überdies achtet der Netzwerkadministrator möglicherweise zu wenig auf die wirksame und zeitgerechte Bekämpfung der bösartigen Angriffe aufs Netzwerk. Eine Methode besteht deshalb darin, einen Netzwerkschalter durch einen Netzwerk-Management-Computer anzuschließen und die Einstellungen des Schalters manuell zu ändern, um das Netzwerk des Benutzer-Computers zu trennen. Eine solche Anordnung kann keine wirksame und zeitgerechte aktive Schutzfunktion bieten und endet in der Regel mit einem schweren Schaden. Wir nehmen beispielsweise Bezug auf 1 und stellen fest, dass ein traditionelles Internet einen Netzwerk-Management-Computer 11, eine Netzwerk-Schutzeinrichtung 20, eine Mehrzahl von Netzwerkschaltern 30, 31, 40, 41 für unterschiedliche Netzwerkabschnitte A, B, C, eine Mehrzahl von an die Netzwerk-Schutzeinrichtung 20 angeschlossenen Servern 50 und eine Mehrzahl von an den Netzwerkschalter 31 angeschlossenen Benutzer-Computern 10, 12 umfasst. Die voranstehende Beschreibung zusammenfassend, wendet das Netzwerksystem folgende Maßnahmen und Methoden an, wenn es auf einen Virusangriff trifft:
    • (1) Ein Benutzer-Computer 10 (mit einer IP-Adresse 192.168.1.2) wird von einem Wurmvirus infiziert (WORM_MSBLAST.A) und versendet die Menge von TCP SYN (DST Port: 135) Packets und scannt alle Computer im Netzwerk, die mit einem Windows Betriebssystem ausgerüstet sind, und verteilt dann den Virus auf diese Computer durch die Sicherheitslücke des RPC DCOM Overflow im Windows Betriebssystem.
    • (2) Wenn die TCP SYN (DST Port: 135) Packets durch eine Netzwerkschutzeinrichtung 20 gehen und der Netzwerkadministrator den Sicherheits-Setup auf der Netzwerkschutzeinrichtung 20 durchgeführt hat, werden die TCP SYN (DST: Port 135) Packets erfolgreich blockiert, und die Packets werden nicht in den Teilnetzen B und C des Netzwerks verteilt. Wenn der Netzwerkadministrator für die Netzwerkschutzeinrichtung 20 ein adäquates Warn- und Protokollierungs-Setup gestartet hat, muss er die Netzwerkschutzeinrichtung 20 erneut einloggen, um den Log-Eintrag zur Analyse der Computer zu prüfen, ob irgendein abnormales Verhalten des Benutzer-Computers stattfindet, wie beispielsweise das Versenden einer großen Menge von TCP SYN (DST Port: 135) Packets.
    • (3) Da die Netzwerkschalter 30, 31, wie in 1 dargestellt, zum selben Teilnetz A des Netzwerks gehören, kann die Netzwerkschutzeinrichtung 20 die TCP SYN (DST Port: 135) Packets vom Computer im selben Teilnetz des Netzwerks nicht ausgeben, um die Blockierung zu erreichen, weshalb das Teilnetz A des Netzwerks mit den Netzwerkschaltern 30, 31 verbunden ist und die selbe Sicherheitslücke gegenüber anderen Benutzer-Computern 12 hat, die vom Virus und der DDoS-Attacke betroffen sein werden.
    • (4) Deshalb muss der Netzwerkadministrator einen Netzwerk-Management-Computer 11 benützen, um die Warnanalyse und das Prozessprotokoll wie in Schritt (2) beschrieben auszuführen, um sicherzustellen, dass der angegriffene Computer 10 mit dem Netzwerk durch den Netzwerkschalter 31 verbunden ist, und dann wird der Netzwerk-Management-Computer 11 mit dem Netzwerkschalter 31 verbunden, um das Denial-to- Service-Netzwerk für den Computer 10 einzurichten. Es nimmt allerdings viel Zeit in Anspruch, den gesamten Denial-to-Service-Setup durchzuführen, und der Virus kann sich bereits auf andere Computer in den Teilnetzen A, B und C des Netzwerks verbreitet haben.
  • Mit Blick auf die vorangehende Beschreibung fehlt den herkömmlichen Netzwerkschutzeinrichtungen ein interaktiver Mechanismus, weshalb sie keine zeitgerechten Verbindungen untereinander herstellen können, um einen bösartigen Angriff auf das Netzwerk wirksam zu verhindern. Es ist ein wichtiges Thema für Netzwerkfirmen, eine Möglichkeit zur Integration der Netzwerkschutzeinrichtungen zu finden, so dass wenn ein Benutzer-Computer ein abnormales Netzwerk entdeckt, der Benutzer-Computer die Quelle zeitgerecht trennen und den Netzwerkverbindungsdienst des Benutzer-Computers unterbrechen kann, um weitere Beeinträchtigungen des Virus im selben Teilnetz oder in anderen Teilnetzen des Netzwerks sowie einen Start der DDoS-Attacke, die den Netzwerkserver paralysiert, zu verhindern.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Angesichts der Tatsache, dass nach dem Stand der Technik die Kontrolltechnologie für Netzwerkverbindungen nur auf das abnormale Packet oder den die Netzwerkprinzipien verletzenden Denial-to-Service-Setup für den Netzwerk-Flow abzielt, aber nicht fähig ist, das abnormale Netzwerk in Entsprechung zur Quelle automatisch und zeitgerecht zu trennen, hat der Erfinder der vorliegenden Erfindung auf der Grundlage jahrelanger Erfahrung in der Entwicklung von Netzwerkeinrichtungen und Systemen zur Durchführung extensiver Forschungsarbeiten und Experimente in Entsprechung zu den Merkmalen und Methoden einer Virusverbreitung und Website-Paralyse ein kombiniertes Schutzsystem für eine Netzwerkinformationssicherheitszone gemäß der vorliegenden Erfindung entwickelt.
    •
  • Ein Ziel der Erfindung ist demnach die Erfassung eines Netzwerkverbindungsstatus durch eine Netzwerkschutzeinrichtung. Sobald die Netzwerkschutzeinrichtung einen Benutzer-Computer im Netzwerk entdeckt, der ein abnormales Verhalten an den Tag legt, das die Regeln des Netzwerkzugriffservice verletzt, verhindert die Netzwerkschutzeinrichtung sofort die abnormale Verbindung durch den automatischen Anschluss an den Netzwerkschalter, der die Netzwerkverbindungen für die Benutzer-Computer bereitstellt, und den Befehl an den Netzwerkschalter, die Netzwerkverbindung des Benutzer-Computers zu trennen und rasch die Services an den Benutzer-Computer zu verweigern, der bösartige Packets sendet oder die Prinzipien (Policy) des Netzwerkzugriffs verletzt, um einen Virus bzw. Hacker wirksam daran zu hindern, mit der Verbreitung des Virus im selben oder in anderen Teilnetzen des Netzwerks fortzufahren, und des weiteren den Virus daran zu hindern, eine DDoS-Attacke zu starten oder den Netzwerkserver zu paralysieren; auf diese Weise werden die Schäden und Verluste am Netzwerksystem beträchtlich reduziert.
  • Ein weiteres Ziel der vorliegenden Erfindung ist die Bereitstellung einer Netzwerkschutzeinrichtung, die einen Unterbrechungsbefehl gemäß mindestens einer kritischen Bedingung versendet, wobei der Netzwerkadministrator keine Zeit damit verschwenden muss, den infizierten Computer zu finden. Nach Lokalisierung des infizierten Computers muss der Netzwerkadministrator nicht manuell einen Denial-to-Service-Befehl geben, um die Netzwerkverbindung des infizierten Computers zu trennen, wodurch sich der Arbeits- und Zeitaufwand für das Netzwerk-Management bedeutend reduziert.
  • Ein weiteres Ziel der vorliegenden Erfindung ist die Verwendung des Simple Network Management Protocol (SNMP), um eine neue Funktion zur Netzwerkschutzeinrichtung hinzuzufügen und die Bedingungen zum Starten des kombinierten Netzwerkzonenschutzes durch den Netzwerkadministrator zu definieren. Wenn ein Benutzer-Computer Packets eines Flows abgibt, der solche Bedingungen auslöst, verwendet die Netzwerkschutzeinrichtung das SNMP zum Versenden eines Denial-to-Service-Befehls zum Netzwerkschalter, so dass nach dem Eintreffen des Denial-to-Service-Befehls beim Netzwerkschalter das Setup für den Netzwerk-Denial-to-Service-Befehl sofort ausgeführt wird, um den Netzwerk-Zugangs-Dienst des Benutzer-Computers zu unterbrechen und ein Antwortpaket an die Netzwerkschutzeinrichtung zurück zu senden, um die erfolgreiche Unterbrechung des vom Netzwerkschalter des Benutzer-Computers bereitgestellten Netzwerk-Zugangs-Dienstes zu bestätigen.
  • Die oben genannten und andere Ziele, Merkmale und Vorteile der vorliegenden Erfindung gehen aus der folgenden detaillierten Beschreibung unter Bezugnahme auf die begleitenden Zeichnungen hervor.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • 1 ist eine schematische Ansicht der Verbindungen eines Netzwerksystems nach dem Stand der Technik;
  • 2 ist ein Fließdiagramm einer Netzwerkschutzeinrichtung gemäß einem bevorzugten Ausführungsbeispiel der Erfindung; und
  • 3 ist eine schematische Ansicht von den Verbindungen eines Netzwerksystems gemäß einem bevorzugten Ausführungsbeispiel der Erfindung.
    •
  • DETAILLIERTE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSBEISPIELE
  • Die vorliegende Erfindung betrifft ein kombiniertes Schutzsystem für Netzwerkinformationssicherheit, das sich eines einfachen Netzwerkverwaltungsprotokolls (Network Management Protocols – SNMP) bedient, um einen Netzwerkverbindungsstatus einer Netzwerkschutzeinrichtung zu kontrollieren, etwa einer Firewall, eines Bandbreitenmanagers, eines Intrusion Defense Systems (Einbruchabwehrsystem – IDS) oder eines Flow Analyzers, um eine Funktion hinzuzufügen und die Bedingungen für den Start eines kombinierten Zonenschutzes zu definieren, wie er vom Netzwerkadministrator für das Netzwerk benötigt wird. Nachdem mindestens eine der Bedingungen ausgelöst wurde, beispielsweise durch die Menge der von einem Benutzer-Computer gesendeten Packets, schließt die Netzwerkschutzeinrichtung unverzüglich und automatisch an einen oder mehrere Netzwerkschalter an, und das SNMP wird dazu verwendet, einen Denial-to-Service-Befehl an den Netzwerkschalter zu senden, um den Unterbrechungs-Setup für den Netzwerk-Zugangsdienst des Benutzer-Computers sofort auszuführen, nachdem der Netzwerkschalter den Denial-to-Service-Befehl erhalten hat, den Netzwerk-Zugangsdienst des Benutzer-Computers sofort zu unterbrechen und den Virus wirksam daran zu hindern, sich in anderen Teilnetzen des Netzwerks auszubreiten. Eine solche Anordnung hindert den Virus im weiteren daran, die DDoS-Attacke zu starten oder den Netzwerkserver zu paralysieren, um die Schäden und Verluste des Netzwerksystems zu minimieren. Inzwischen sendet der Netzwerkschalter ein Antwortpaket an die Netzwerkschutzeinrichtung zur Bestätigung einer erfolgreichen Unterbrechung des vom Netzwerkschalter des Benutzer-Computers bereitgestellten Netzwerk-Zugangsdienstes zu bestätigen.
  • Es wird festgehalten, dass die Verwendung des SNMP in der Definition der Regeln und Erzeugung der Unterbrechungsbefehle in der vorliegenden Erfindung vorteilhaft und bevorzugt ist, da SNMP zu einer Art von Übertragungssteuerungsprotokoll/Internetprotokoll (TCP/IP) gehört und heute in den unterschiedlichen Netzwerkvorrichtungen oder Systemen reichlich zum Einsatz kommt, etwa für Firewalls, Bandbreitenmanager, IDS-Einbruchabwehrsysteme und Flow Analyzer, usw. Mit dem SNMP wird das kombinierte Zonenschutzsystem der vorliegenden Erfindung einfach und ohne Modifizierung der Hardware oder Rücksichtnahme auf die Kompatibilität an den bestehenden Netzwerkvorrichtungen und Systemen angewendet. Das Dienstprogramm SNMP ist allerdings keine Beschränkung der vorliegenden Erfindung. Zahlreiche Modifikationen und Variationen könnten von Fachpersonen daran vorgenommen werden, ohne vom Geltungsbereich und den Prinzipien der in den Ansprüchen definierten Erfindung abzuweichen.
  • Ferner ist zu sagen, dass die Gründe für das abnormale Verhalten der erwähnten Benutzer-Computer allgemein mit den unterschiedlichen abnormalen Verhaltensweisen in Verbindung stehen, die von Benutzern nicht wahrnehmbar sind, die von den Benutzern nicht erlaubt werden können, die den normalen Betrieb der Netzwerkkommunikation des Benutzer-Computers bedrohen oder paralysieren oder die von verschiedenen Hackern oder Viren verursacht werden, doch das Prinzip der Erfindung ist nicht auf diese beschränkt. Zusätzlich kann der Angriff und die Bedrohung verschiedene Formen annehmen, wie etwa Pufferüberlauf-Angriffe, Port-Scan-Angriffe, Trojanische Pferde, IP-Fragmentierungsangriffe, Wurmangriffe oder Angriffe auf Sicherheitslücken in Systemen und Anwendungen. Folglich sind die abnormalen Verhaltensweisen nicht auf die oben genannten DDoS-Attacken beschränkt.
  • Wenn das System der vorliegenden Erfindung implementiert wird, ermöglicht eine zusätzliche Funktion in der Netzwerkschutzeinrichtung des Netzwerksystems einem Netzwerkadministrator die Definition der Bedingungen zum Starten des kombinierten Netzwerkzonenschutzes. Somit führt – wie in 2 dargestellt – die Netzwerkschutzeinrichtung folgende Prozeduren zur Feststellung einer Verletzung der Netzwerkzugangsdienstregeln oder der Auslösung der Bedingungen des kombinierten Netzwerkzonenschutzes durch einen oder mehrere Benutzer-Computer und die Unterbrechung der Netzwerkzugangsdienste aus. Der Prozess umfasst folgende Schritte:
  • Schritt (50): Erfassen der Packet-Daten, die durch die Netzwerkschutzeinrichtung gehen;
  • Schritt (51): Analysieren der erfassten Packet-Daten, um festzustellen, ob einer der Benutzer-Computer die Bedingungen des kombinierten Netzwerkzonenschutzes auslöst, wie das Erreichen eines bestimmten kritischen Zustands, einschließlich – aber nicht beschränkt auf – einer Packet-Quantität oder eine bandbreite; wenn ja, Weitergehen zum nächsten Schritt oder sonst Rückkehr zu Schritt (50);
  • Schritt (52): Ablesen der IP-Adresse des Benutzer-Computers, der den kombinierten Netzwerkzonenschutz auslöst oder die Netzwerkzugangsdienstregel verletzt;
  • Schritt (53): Verwendung des SNMP zum Versenden eines Denial-to-Service-Befehls an einen oder mehrere Netzwerkschalter; nachdem der Netzwerkschalter den Denial-to-Service-Befehl erhalten hat, unterbricht der Netzwerkschalter den Netzwerkzugangsdienst des Benutzer-Computers und blockiert den Netzwerkzugangsdienst für den Benutzer-Computer, um den Virus wirksam daran zu hindern, sich auf andere Teilnetze des Netzwerks zu verbreiten.
  • Zur Beschreibung des Designkonzepts und der Leistungsfähigkeit der vorliegenden Erfindung wird ein bevorzugtes Ausführungsbeispiel, wie in 3 dargestellt, zur Illustration verwendet. Wenn das Netzwerksystem einmal von einem Virus infiziert wurde, führt das kombinierte Schutzsystem für eine Netzwerkinformationssicherheitszone der vorliegenden Erfindung folgende Prozedur aus:
    • (1) In einem Netzwerksystem wird ein Benutzer-Computer 60 mit der IP Adresse 192.168.1.2 von einem Wurmvirus infiziert (WORM_MSBLAST.A) und beginnt mit dem Versenden großer Mengen TCP SYN (DST Port: 135) Packets. Nachdem die anderen Computer, in denen das Windows Betriebssystem installiert ist und die an das Netzwerk angeschlossen sind, gescannt wurden, verbreitet sich der Virus und startet die DDoS-Attacke durch die Sicherheitslücke des RPC DCOM Overflow im Windows Betriebssystem.
    • (2) Wenn die TCP SYN (DST Port: 135) Packets durch eine Netzwerkschutzeinrichtung 70 gehen, in denen die Bedingungen einer Auslösung des kombinierten Netzwerkzonenschutzes eingestellt oder vordefiniert sind, etwa zur Verhinderung von IDS-Angriffen, http/Ftp-Adressen oder Flow Limit, Höchstwert für Benutzer-Netzwerkanschlüsse usw., fährt die Netzwerkschutzeinrichtung 70 mit der Überwachung des Durchgangs von Netzwerk-Packets fort und analysiert des weiteren, ob der Benutzer-Computer abnormale Übertragungen von TCP SYN (DST Port: 135) Packets in großer Menge ausführt oder nicht.
    • (3) Wenn die Netzwerkschutzeinrichtung 70 ein abnormales Verhalten eines Benutzer-Computers 60 feststellt, wie das Versenden einer großen Menge TCP SYN (DST Port: 135) Packets, liest er die IP-Adresse des Benutzer-Computers 60 ab, der die Netzwerkzugangsdienstregel verletzt, und schließt gemäß der IP-Adresse des Benutzer-Computers 60 automatisch an den Netzwerkschalter 80 oder andere vorher definierte bzw. zugewiesene Netzwerkschalter an, um einen Denial-to-Service-Befehl zu versenden (wie etwa "deny (192.168.1.2 any TCP 137)").
    • (4) Der Netzwerkschalter 80 legt eine Unterbrechung mit Bezug auf den Netzwerk-Denial-to-Service-Befehl fest und unterbricht dann sofort den Netzwerkzugangsdienst für den Benutzer-Computer 60, so dass der Benutzer-Computer 60 mit einer IP-Adresse 192.168.1.2 in kürzest möglicher Zeit blockiert wird, um die Netzwerk-Packets daran zuhindern, in das gesamte Netz einzudringen. Dementsprechend wird der Virus wirksam daran gehindert, sich über alle anderen (nicht dargestellten) Benutzer-Computer im gleichen Teilnetz des Netzwerks, auf andere Benutzer-Computer in der Vermittlungseinheit des gleichen Teilnetzes oder andere (nicht dargestellte) Benutzer-Computer anderer Teilnetze des Netzwerks zu verbreiten.
  • In dem oben genannten bevorzugten Ausführungsbeispiel kann die IP-Adresse der Netzwerkschutzeinrichtung 70 zu 192.168.1.1 zugeordnet werden, und die IP-Adresse des Netzwerkschalters 80 ist 192.168.1.250. Wenn die Netzwerkschutzeinrichtung 70 festgestellt hat, dass der Benutzer-Computer 60 eine große Menge abnormaler ACP SYN (DST Port: 135) Packets versendet, kann sie über SNMP gemäß der IP-Adresse des Benutzer-Computers eine Anforderung folgenden Inhalts versenden, um die Netzwerkschalter 80 zu instruieren, den Zugangsdienst des Netzwerks für den Benutzer-Computer 60 mit der IP-Adresse 192.168.1.2 zu unterbrechen:
    IP: Quelladresse = [192.168.1.1]
    IP: Zieladresse = [192.168.1.250]
    SNMP: Befehl = Set request (Anforderung stellen)
    SNMP: Objekt = {1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}
    SNMP: Wert = [192.168.1.2]
    wobei der Netzwerkschalter 80 ein von der D-Link Company (D-Link ist eine Handelsmarke der D-Link Corporation) hergestellter Schalter und sein MIB Objekt 171.12.9.2.2.1.4.2.1 eine von der Einrichtung annehmbare Zugangskontrollliste (ACL) ist (MIB-Parameter variiert je nach Modell und Schaltermarke) und die Systemnummer 9.2.2.1.4.2.1 ist. Die Netzwerkschutzeinrichtung 70 versendet einen Befehl zum Unterbrechen des Netzwerkzugangsdienstes des Benutzer-Computers 60 mit einer IP-Adresse 192.168.1.2 an die MIB-Adresse im D-Link-Schalter durch das SNMP.
  • Nachdem der Netzwerkschalter 80 den Netzwerk-Denial-to-Service-Befehl erhalten hat und der Setup abgeschlossen ist, sendet der Netzwerkschalter 80 ein Antwortpaket (Get response) mit folgendem Inhalt an die Netzwerkschutzeinrichtung 70 zurück, um die Netzwerkschutzeinrichtung 70 darüber zu informieren, dass der Netzwerkzugangsdienst des Benutzer-Computers 60 mit einer IP-Adresse 192.168.1.2 im Netzwerkschalter 80 erfolgreich blockiert wurde:
    IP: Quelladresse = [192.168.1.250]
    IP: Zieladresse = [192.168.1.1]
    SNMP: Befehl = Get response (Antwort senden)
    SNMP: Objekt = {1.3.6.1.4.1.171.12.9.2.2.1.4.2.1}
    SNMP: Wert = [192.168.1.2]
  • Angesichts der Beschreibung oben betreibt die vorliegende Erfindung eine Netzwerkschutzeinrichtung im Netzwerksystem zur automatischen Feststellung der durchgehenden Netzwerk-Packets.
  • Wenn die Menge oder der Durchfluss von Packets eines Benutzer-Computers einen kombinierten Netzwerkzonenschutz auslöst, wird automatisch ein Netzwerk-Denial-to-Service-Befehl an einen festgelegten Netzwerkschalter und/oder andere Schalter gesendet, um die Netzwerkverbindung des Benutzer-Computers sofort zu unterbrechen und die normale Netzwerkverbindung rasch zu blockieren und damit Schäden und Verluste am Netzwerksystem durch abnormales Verhalten drastisch zu reduzieren, um damit die Netzwerkleistung wirksam zu steigern.
  • Der Netzwerkadministrator muss deshalb keine Zeit damit verschwenden, den infizierten Computer zu suchen. Außerdem muss der Netzwerkadministrator an den infizierten Computer keinen manuellen Netzwerk-Denial-to-Service-Befehl ausgeben.
  • Dem entsprechend wird der Netzwerkdienst am Rand des Netzwerks (wo sich auch die dem infizierten Computer nächstliegende Quelle befindet) unterbrochen und sehr viel Arbeitskraft und Zeitaufwand für das Netzwerkmanagement eingespart.
  • Zwar wurde die hier offenbarte Erfindung anhand spezifischer Ausführungsbeispiele beschrieben, doch können daran von Fachpersonen zahlreiche Modifikationen und Variationen vorgenommen werden, ohne vom Geltungsbereich und Prinzip der in den Ansprüchen definierten Erfindung abzuweichen.

Claims (15)

  1. Kombiniertes Schutzsystem für eine Netzwerkinformationssicherheitszpne, das den Verbindungsstatus eines Netzwerksystems durch eine Netzwerkschutzeinrichtung überwacht, wobei wenn die Netzwerkschutzeinrichtung in dem Netzwerksystem einen Benutzer-Computer feststellt, der die Bedingung eines kombinierten Netzwerkzonenschutzes auslöst, die Netzwerkschutzeinrichtung unverzüglich und automatisch an einen festgelegten Netzwerkschalter anschließt, so dass der festgelegte Netzwerkschalter einen für den Benutzer-Computer bereitgestellten Netzwerkzugangsdienst unterbricht.
  2. System nach Anspruch 1, wobei die Netzwerkschutzeinrichtung eine Firewall, ein Bandbreitenmanager, ein IDS Einbruchabwehrsystem oder ein Flow Analyzer ist.
  3. System nach Anspruch 2, wobei die Netzwerkschutzeinrichtung einen Mechanismus zur Definition der Regeln des von einem Netzwerkadministrator erlaubten Netzwerkzugangsdienstes und der Bedingungen zur Auslösung des kombinierten Netzwerkzonenschutzes umfasst.
  4. System nach Anspruch 1, wobei wenn die Netzwerkschutzeinrichtung ein abnormales Verhalten des Benutzer-Computers im Netzwerksystem entdeckt, das eine Netzwerkzugangsdienstregel verletzt, das System unverzüglich und automatisch die Netzwerkschutzeinrichtung an den festgelegten Netzwerkschalter anschließt und den festgelegten Netzwerkschalter befähigt, den für den Benutzer-Computer bereitgestellten Netzwerkzugangsdienst zu unterbrechen.
  5. System nach Anspruch 1, wobei die Netzwerkschutzeinrichtung ein einfaches Netzverwaltungsprotokoll (SNMP) benützt, um einen Denial-to-Service-Befehl an den festgelegten Netzwerkschalter zu senden, um den für den Benutzer-Computer bereitgestellten Netzwerkzugangsdienst zu unterbrechen.
  6. System nach Anspruch 5, wobei nachdem der festgelegte Netzwerkschalter den Netzwerk-Denial-to-Service-Befehl empfangen hat, der festgelegte Netzwerkschalter eine Unterbrechung festlegt und dann den vom Netzwerkschalter bereitgestellten Netzwerkzugangsdienst gemäß der Unterbrechung blockiert.
  7. Methode zur Kontrolle eines Netzwerkdienstes, folgende Schritte umfassend: Erfassen von Packet-Daten, die von einem Benutzer-Computer kommen; Bestimmen, ob die Packet-Daten mindestens einer der Netzwerkdienstregeln entsprechen; und Versenden eines Unterbrechungsbefehls an eine festgelegte Schalteinrichtung zur Ausführung des Unterbrechungsbefehls, um die Übertragung der Packet-Daten des Benutzer-Computers anzuhalten, unter der Bedingung, dass die Packet-Daten des Benutzer-Computers zumindest einer der Netzwerkdienstregeln entsprechen.
  8. Methode zur Kontrolle eines Netzwerkdienstes nach Anspruch 7, wobei der Versendeschritt des weiteren die Verwendung eines einfachen Netzverwaltungsprotokolls (SNMP) zum Versenden des Unterbrechungsbefehls umfasst.
  9. Methode zur Kontrolle eines Netzwerkdienstes nach Anspruch 7, die des weiteren die Voreinstellung der Netzwerkdienstregeln umfasst.
  10. Methode zur Kontrolle eines Netzwerkdienstes nach Anspruch 9, wobei der Bestimmungsschritt des weiteren den Vergleich einer Packet-Quantität der Packet-Daten des Benutzer-Computers mit der Netzwerkdienstregel umfasst.
  11. Methode zur Kontrolle eines Netzwerkdienstes nach Anspruch 7, die des weiteren die Voreinstellung der festgelegten Schalteinrichtung umfasst.
  12. Netzwerksicherheitsschutzeinrichtung, umfassend: Setup-Mittel zur Festlegung mindestens einer der Netzwerkdienstregeln und mindestens einer der festgelegten Schalteinrichtungen. Schutzmittel zum Erfassen von Packet-Daten eines Benutzer-Computers; Analysemittel zum Vergleichen der Netzwerkdienstregel mit den Packet-Daten des Benutzer-Computers; und Sicherheitsmittel zum Versenden eines von einem Vergleichsergebnis gesteuerten Unterbrechungsbefehls, wobei der Unterbrechungsbefehl von der festgelegten Schalteinrichtung zum Blockieren der Übertragung der Packet-Daten des Benutzer-Computers ausgeführt wird.
  13. Netzwerksicherheitsschutzeinrichtung nach Anspruch 12, wobei das Sicherheitsmittel zum Versenden des Unterbrechungsbefehls ein einfaches Netzwerkverwaltungsprotokoll (SNMP) benützt.
  14. Netzwerksicherheitsschutzeinrichtung nach Anspruch 12, wobei das Schutzmittel eine Firewall, ein Bandbreitenmanager, ein IDS Einbruchabwehrsystem oder ein Flow Analyzer ist.
  15. Netzwerksicherheitsschutzeinrichtung nach Anspruch 12, wobei das Analysemittel einen Mechanismus zum Festlegen der Regeln des vom Netzwerkadministrator erlaubten Netzwerkzugangsdienstes und der Bedingungen zur Auslösung des kombinierten Netzwerkzonenschutzes umfasst.
DE102005037968.0A 2005-06-10 2005-08-11 Schutzsystem für eine Netzwerkinformationssicherheitszone Active DE102005037968B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
TW094119203A TW200644495A (en) 2005-06-10 2005-06-10 Regional joint detecting and guarding system for security of network information
TW094119203 2005-06-10

Publications (2)

Publication Number Publication Date
DE102005037968A1 true DE102005037968A1 (de) 2006-12-14
DE102005037968B4 DE102005037968B4 (de) 2014-09-11

Family

ID=34983918

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005037968.0A Active DE102005037968B4 (de) 2005-06-10 2005-08-11 Schutzsystem für eine Netzwerkinformationssicherheitszone

Country Status (6)

Country Link
US (1) US20060282893A1 (de)
DE (1) DE102005037968B4 (de)
FR (1) FR2887053B1 (de)
GB (1) GB2427108B (de)
IT (1) ITMI20052288A1 (de)
TW (1) TW200644495A (de)

Families Citing this family (46)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4557815B2 (ja) * 2005-06-13 2010-10-06 富士通株式会社 中継装置および中継システム
JP2007251866A (ja) * 2006-03-20 2007-09-27 Kyocera Mita Corp 電子機器装置
KR100789722B1 (ko) * 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
US9231911B2 (en) * 2006-10-16 2016-01-05 Aruba Networks, Inc. Per-user firewall
CN101022459B (zh) * 2007-03-05 2010-05-26 华为技术有限公司 预防病毒入侵网络的系统和方法
US20090220088A1 (en) * 2008-02-28 2009-09-03 Lu Charisse Y Autonomic defense for protecting data when data tampering is detected
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
TWI387259B (zh) * 2008-08-01 2013-02-21 Kathy T Lin 監控網站應用程式使用情境安全性之系統、方法、監控程式產品及電腦可讀取記錄媒體
CN102111394B (zh) * 2009-12-28 2015-03-11 华为数字技术(成都)有限公司 网络攻击防护方法、设备及系统
CN101984629B (zh) * 2010-10-22 2013-08-07 北京工业大学 协作式识别基于Web服务中泄露用户隐私信息站点的方法
CN102685737B (zh) * 2011-03-07 2016-08-03 中兴通讯股份有限公司 合法监听的方法和系统
US20140165207A1 (en) * 2011-07-26 2014-06-12 Light Cyber Ltd. Method for detecting anomaly action within a computer network
WO2013154532A1 (en) * 2012-04-10 2013-10-17 Intel Corporation Techniques to monitor connection paths on networked devices
CN102801739A (zh) * 2012-08-25 2012-11-28 乐山师范学院 基于云计算环境的网络风险测定取证方法
KR20140044970A (ko) * 2012-09-13 2014-04-16 한국전자통신연구원 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치
EP2946332B1 (de) 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automatisierte forensik von rechnersystemen mit hilfe von verhaltensbezogener intelligenz
US9094450B2 (en) 2013-11-01 2015-07-28 Xerox Corporation Method and apparatus for a centrally managed network virus detection and outbreak protection
CN104539625B (zh) * 2015-01-09 2017-11-14 江苏理工学院 一种基于软件定义的网络安全防御系统及其工作方法
AT517155B1 (de) * 2015-03-05 2018-08-15 Siemens Ag Oesterreich Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System
WO2016148641A1 (en) * 2015-03-18 2016-09-22 Certis Cisco Security Pte Ltd System and method for information security threat disruption via a border gateway
US10075461B2 (en) 2015-05-31 2018-09-11 Palo Alto Networks (Israel Analytics) Ltd. Detection of anomalous administrative actions
CN105491057B (zh) * 2015-12-28 2019-01-01 北京像素软件科技股份有限公司 防止分布式拒绝服务DDoS攻击的数据传输方法和装置
US11368372B2 (en) 2016-06-03 2022-06-21 Nutanix, Inc. Detection of outlier nodes in a cluster
US10686829B2 (en) 2016-09-05 2020-06-16 Palo Alto Networks (Israel Analytics) Ltd. Identifying changes in use of user credentials
CN106790023B (zh) * 2016-12-14 2019-03-01 平安科技(深圳)有限公司 网络安全联合防御方法和装置
US20180183799A1 (en) * 2016-12-28 2018-06-28 Nanning Fugui Precision Industrial Co., Ltd. Method and system for defending against malicious website
CN106888224B (zh) * 2017-04-27 2020-05-19 中国人民解放军信息工程大学 网络安全防护架构、方法及系统
US10116686B1 (en) * 2017-10-16 2018-10-30 Gideon Eden Systems and methods for selectively insulating a processor
US10733072B2 (en) * 2017-11-03 2020-08-04 Nutanix, Inc. Computing system monitoring
TWI677213B (zh) 2017-11-23 2019-11-11 財團法人資訊工業策進會 監控裝置、方法及其電腦程式產品
CN107864149A (zh) * 2017-11-28 2018-03-30 苏州市东皓计算机系统工程有限公司 一种计算机网络身份验证系统
TWI663523B (zh) * 2018-02-06 2019-06-21 可立可資安股份有限公司 資安攻防規劃之管理系統
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
CN110177100B (zh) * 2019-05-28 2022-05-20 哈尔滨工程大学 一种协同网络防御的安全设备数据通信协议
CN111314282A (zh) * 2019-12-06 2020-06-19 李刚 零信任网络安全系统
US11012492B1 (en) 2019-12-26 2021-05-18 Palo Alto Networks (Israel Analytics) Ltd. Human activity detection in computing device transmissions
US11108800B1 (en) 2020-02-18 2021-08-31 Klickklack Information Security Co., Ltd. Penetration test monitoring server and system
TWI772832B (zh) * 2020-07-07 2022-08-01 財金資訊股份有限公司 網路正常行為之資安盲點偵測系統及其方法
TWI802804B (zh) * 2020-07-09 2023-05-21 台眾電腦股份有限公司 多資安軟體之資訊安全管理系統
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5878224A (en) * 1996-05-24 1999-03-02 Bell Communications Research, Inc. System for preventing server overload by adaptively modifying gap interval that is used by source to limit number of transactions transmitted by source to server
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
WO2002003653A2 (en) * 2000-06-30 2002-01-10 British Telecommunications Public Limited Company Packet data communications
US7301899B2 (en) * 2001-01-31 2007-11-27 Comverse Ltd. Prevention of bandwidth congestion in a denial of service or other internet-based attack
US20020166063A1 (en) * 2001-03-01 2002-11-07 Cyber Operations, Llc System and method for anti-network terrorism
US20040001433A1 (en) * 2001-07-18 2004-01-01 Gram Charles Andrew Interactive control of network devices
US7181765B2 (en) * 2001-10-12 2007-02-20 Motorola, Inc. Method and apparatus for providing node security in a router of a packet network
NZ516346A (en) * 2001-12-21 2004-09-24 Esphion Ltd A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack
US20040111632A1 (en) * 2002-05-06 2004-06-10 Avner Halperin System and method of virus containment in computer networks
WO2004008700A2 (en) * 2002-07-12 2004-01-22 The Penn State Research Foundation Real-time packet traceback and associated packet marking strategies
US20040047356A1 (en) * 2002-09-06 2004-03-11 Bauer Blaine D. Network traffic monitoring
DE10241974B4 (de) * 2002-09-11 2006-01-05 Kämper, Peter Überwachung von Datenübertragungen
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US7516487B1 (en) * 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
WO2005112390A1 (en) * 2004-05-12 2005-11-24 Alcatel Automated containment of network intruder

Also Published As

Publication number Publication date
FR2887053B1 (fr) 2013-11-01
TWI294726B (de) 2008-03-11
FR2887053A1 (fr) 2006-12-15
GB2427108B (en) 2010-05-19
TW200644495A (en) 2006-12-16
ITMI20052288A1 (it) 2006-12-11
GB2427108A (en) 2006-12-13
DE102005037968B4 (de) 2014-09-11
US20060282893A1 (en) 2006-12-14
GB0515850D0 (en) 2005-09-07

Similar Documents

Publication Publication Date Title
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
Kuwatly et al. A dynamic honeypot design for intrusion detection
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
EP1560398B1 (de) Messung eines Stroms von Datenpaketen zum Begrenzen der Wirkungen von Denial-of-service Angriffen
DE60307581T2 (de) Verbessertes geheimes Hashen der TCP SYN/FIN-Korrespondenz
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
KR100908404B1 (ko) 분산서비스거부공격의 방어방법 및 방어시스템
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
EP1417820B1 (de) Verfahren und computersystem zur sicherung der kommunikation in netzwerken
US20060059558A1 (en) Proactive containment of network security attacks
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
CN117614717A (zh) 一种基于网络安全告警事件全流程处置系统及方法
EP1464150B1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
DE10346923A1 (de) Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren
Fu et al. An autoblocking mechanism for firewall service
DE102004016582A1 (de) Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
EP3170295A1 (de) Verfahren zum freischalten externer computersysteme in einer computernetz-infrastruktur, verteiltes rechnernetz mit einer solchen computernetz-infrastruktur sowie computerprogramm-produkt
US20030037260A1 (en) Heuristic profiler for packet screening
Karthik et al. Analyzing interaction between denial of service (dos) attacks and threats
CN1889458A (zh) 网络信息安全区域联合侦防系统
Winter Firewall Best Practices

Legal Events

Date Code Title Description
8110 Request for examination paragraph 44
8128 New person/name/address of the agent

Representative=s name: HAFT - KARAKATSANIS PATENTANWALTSKANZLEI, 80802 MU

R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R082 Change of representative

Representative=s name: KARAKATSANIS, GEORGIOS, DR., DE