DE202014011424U1 - Filtern von Netzwerkdatenübertragungen - Google Patents
Filtern von Netzwerkdatenübertragungen Download PDFInfo
- Publication number
- DE202014011424U1 DE202014011424U1 DE202014011424.2U DE202014011424U DE202014011424U1 DE 202014011424 U1 DE202014011424 U1 DE 202014011424U1 DE 202014011424 U DE202014011424 U DE 202014011424U DE 202014011424 U1 DE202014011424 U1 DE 202014011424U1
- Authority
- DE
- Germany
- Prior art keywords
- packets
- packet
- network
- filtering rule
- packet filtering
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000012546 transfer Methods 0.000 title claims description 12
- 238000000034 method Methods 0.000 claims abstract description 60
- 238000001914 filtration Methods 0.000 claims abstract description 48
- 230000006870 function Effects 0.000 claims abstract description 20
- 238000004891 communication Methods 0.000 claims abstract description 14
- 230000009466 transformation Effects 0.000 claims abstract description 12
- 230000005540 biological transmission Effects 0.000 claims abstract description 11
- 230000004044 response Effects 0.000 claims abstract description 11
- 230000008520 organization Effects 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000007123 defense Effects 0.000 description 5
- 230000001404 mediated effect Effects 0.000 description 3
- 101001094649 Homo sapiens Popeye domain-containing protein 3 Proteins 0.000 description 2
- 101000608234 Homo sapiens Pyrin domain-containing protein 5 Proteins 0.000 description 2
- 101000578693 Homo sapiens Target of rapamycin complex subunit LST8 Proteins 0.000 description 2
- 102100027802 Target of rapamycin complex subunit LST8 Human genes 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Empfangen mehrerer Pakete über die Kommunikationsschnittstelle und aus einem ersten Netzwerk;
Bestimmen eines ersten Teils von Paketen der mehreren Pakete, die Paket-Header-Feldwerte entsprechend einer ersten Paketfilterungsregel haben, auf der Basis von Ziel-IP-(Internet Protocol)-Adressen von jedem aus dem ersten Teil von Paketen, die anzeigen, dass der erste Teil von Paketen für ein zweites Netzwerk bestimmt ist, wobei die erste Paketfilterungsregel zu einem Satz von Paketfilterungsregeln gehört und konfiguriert ist, bestimmte Datenübertragungstypen aus dem ersten Netzwerk zum zweiten Netzwerk zu verhindern;
in Reaktion auf die Bestimmung des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben:
Feststellen, dass wenigstens ein Paket des ersten Teils von Paketen Anwendungs-Header-Feldwerte entsprechend der ersten Paketfilterungsregel und assoziiert mit den bestimmten Datenübertragungstypen hat;
Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen ersten Pakettransformationsfunktion, um ein Fortfahren jedes Pakets des wenigstens einen Pakets des ersten Teils von Paketen zum zweiten Netzwerk zu blockieren; und
Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen zweiten Pakettransformationsfunktion, um ein Fortfahren von wenigstens einem anderen Paket des ersten Teils von Paketen zum zweiten Netzwerk zu erlauben.
Description
- In Übereinstimmung mit den Bestimmungen des Gebrauchsmustergesetzes sind nur Vorrichtungen, wie sie in den anliegenden Ansprüchen definiert sind, geschützt und vom Gebrauchsmuster abgedeckt, nicht jedoch Verfahren. Soweit in der nachstehenden Beschreibung gegebenenfalls auf Verfahren Bezug genommen wird, dienen diese Hinweise nur zur exemplarischen Erläuterung der mit den anliegenden Schutzansprüchen geschützten Vorrichtung(en). Insbesondere können diese Verfahren in engem Zusammenhang mit den geschützten Vorrichtung stehen, zum Beispiel dergestalt, dass die geschützten Vorrichtungen derart ausgelegt sind, dass sie die Verfahren durchführen.
- QUERVERWEIS AUF VERWANDTE ANMELDUNG
- Dieses Gebrauchsmuster beansprucht die Priorität der US-Patentanmeldung mit der Seriennummer 13/795,822, eingereicht am 12. März 2013 unter dem Titel „FILTERING NETWORK DATA TRANSFERS“ (Filtern von Netzwerkdatenübertragungen), deren Offenbarung hier in ihrer Gesamtheit durch Bezugnahme eingeschlossen und Bestandteil davon ist.
- HINTERGRUND
- Die TCP/IP-Netzwerkprotokolle (z.B. das Transmission Control Protocol (TCP) und das Internet Protocol (IP)) wurden zum Aufbauen großer, belastbarer, zuverlässiger und robuster Netzwerke konzipiert. Solche Protokolle wurden jedoch ursprünglich nicht im Hinblick auf Sicherheit konzipiert. Spätere Entwicklungen haben solche Protokolle erweitert, um sichere Kommunikation zwischen Peers (z.B. Internet Protocol Security (IPsec)) bereitzustellen, aber die Netzwerke selbst bleiben anfällig für Angriffe (z.B. DDoS-(Distributed Denial-of-Service)-Angriffe, Phishing-Angriffe und dergleichen).
- Eine als Exfiltration bekannte Cyberangriffskategorie (z.B. Stehlen empfindlicher Daten oder Zugangsdaten über das Internet) hat sich als für herkömmliche Cyberabwehrsysteme besonders schwer zu verhindern erwiesen. Eine erste Ursache ist, dass viele Exfiltrationen durch die Nutzung gängiger Netzwerkdatenübertragungsprotokolle wie das vom World Wide Web benutzte Hypertext Transfer Protocol (HTTP) erleichtert werden, die für einen Beobachter (z.B. einem herkömmlichen Cyberabwehrsystem) oft wie normales Netzwerkverhalten aussehen. Eine zweite Ursache ist, dass typische Netzwerk-Trust-Modelle, wie die von Netzwerk-Firewalls benutzten, Exfiltrationen als vertrauenswürdige Operationen interpretieren. Eine dritte Ursache ist, dass sich menschliche Benutzer häufig wissentlich oder unwissentlich an Netzwerkaktivitäten beteiligen, die für Angriffe anfällig sind. Eine vierte Ursache ist die allgemeine Unfähigkeit herkömmlicher Cyberabwehrsysteme, sich ausreichend zu skalieren, um einer Cyberbedrohung zu begegnen; zum Beispiel in Bezug auf Verkehrsvolumen, Netzwerkverbindungsgeschwindigkeiten, Netzwerkleistung (z.B. Latenz- und Paketverlustanforderungen), Durchsetzung von Netzwerknutzungsrichtlinien usw. Demgemäß nutzen viele Cyberangriffe (z.B. DDoS-Angriffe und Exfiltrationen) die Eigenschaften des Internets, um ihre Ziele zu erreichen. Darüber hinaus gibt es, über die hier aufgezählten hinaus, noch andere Ursachen für das Versagen herkömmlicher Cyberabwehrsysteme des Standes der Technik, Cyberangriffe wie Exfiltrationen zu verhindern.
- KURZFASSUNG
- Es folgt eine vereinfachte Zusammenfassung, um ein Grundverständnis für einige Aspekte der Offenbarung bereitzustellen. Es ist weder beabsichtigt, wesentliche oder kritische Elemente der Offenbarung zu identifizieren, noch den Umfang der Offenbarung zu begrenzen. Die nachfolgende Zusammenfassung präsentiert lediglich einige Konzepte in einer vereinfachten Form als eine Einleitung zu der nachfolgenden ausführlichen Beschreibung.
- Aspekte dieser Offenbarung beziehen sich auf ein Filtern von Netzwerkdatenübertragungen. In einigen Variationen können mehrere Pakete empfangen werden. Es kann festgestellt werden, dass ein Teil der Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel haben. In Reaktion auf eine solche Feststellung kann ein durch die Paketfilterungsregel vorgegebener Operator auf den Teil von Paketen angewendet werden, deren Paket-Header-Feldwerte der Paketfilterungsregel entsprechen. Es kann ferner festgestellt werden, dass eines oder mehrere aus dem Teil der Pakete einen oder mehrere Anwendungs-Header-Feldwerte haben, die einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. In Reaktion auf eine solche Feststellung kann wenigstens eine durch den Operator vorgegebene Pakettransformationsfunktion auf das eine oder die mehreren aus dem Teil der Pakete angewendet werden.
- In einigen Ausführungsformen kann sich ein Netzwerkpaketfilter an einer Grenze zwischen einem gesicherten Netzwerk und einem ungesicherten Netzwerk (z.B. dem Internet) befinden. Das Filter kann Pakete beobachten, die die Netzwerkverbindung zwischen dem gesicherten Netzwerk und dem ungesicherten Netzwerk überqueren. Das Filter kann möglicherweise bestimmte Paket-Header-Informationen (z.B. Quell- und Ziel-IP-Adresse(n), Quell- und Zielport(s) und Protokolltyp(en)) mit einer oder mehreren Paketfilterungsregeln vergleichen, die eine Netzwerknutzungsrichtlinie oder eine Netzwerksicherheitsrichtlinie definieren können. Eine oder mehrere der Regeln können mit einem Operator assoziiert sein, der auf ein Paket angewendet werden kann, das ein oder mehrere durch die Regel vorgegebene Kriterien erfüllt.
- Solche Paketfilter können wenigstens zwei Operatoren implementieren: einen Identitätsoperator, der es dem Paket erlauben kann, in Richtung seines Ziels fortzufahren, und einen Nulloperator, der verhindern oder blockieren kann, dass das Paket in Richtung seines Ziels fortfährt. In einigen Ausführungsformen kann das Netzwerkpaketfilter einen oder mehrere zusätzliche Operatoren mit der Fähigkeit implementieren festzustellen, ob ein Paket einen Header auf Anwendungsebene enthält, der ein bestimmtes mit einem Datenübertragungsprotokoll assoziiertes Verfahren vorgibt; und falls ja, ob ein Identitätsoperator oder ein Nulloperator auf das Paket angewendet werden soll. Zum Unterscheiden eines Netzwerkpaketfilters, das die genannten zusätzlichen Operatoren implementiert, von Netzwerkpaketfiltern, die es nicht tun, wird ein Netzwerkpaketfilter, das solche zusätzlichen Operatoren implementiert, nachfolgend als Packet Security Gateway (PSG) bezeichnet.
- Zum Beispiel kann ein solcher Operator in der Lage sein, eine oder mehrere der folgenden Funktionen auszuführen: (1) Feststellen, ob ein eine Grenze überquerendes IP-Paket ein HTTP-Paket enthält (z.B. ein HTTP-Paket auf Anwendungsebene), das ein oder mehrere spezifische HTTP-Verfahren (z.B. GET, PUT, POST usw.) vorgibt, und (2) Erlauben bzw. Zulassen des Pakets (z.B. falls ein GET-Verfahren vorgegeben wird) oder Blockieren des Pakets (z.B. falls ein PUT- oder POST-Verfahren vorgegeben wird). Ein oder mehrere Administratoren des gesicherten Netzwerks können einen solchen Operator mit einer oder mehreren Regeln in einer Netzwerksicherheitsrichtlinie assoziieren, um über das PSG eine Webnutzungsrichtlinie durchzusetzen, die es beispielsweise Benutzern erlauben kann, auf einer oder mehreren an das Internet angeschlossenen Websites zu surfen (z.B. GET), die aber verhindern können, dass ein oder mehrere solche Benutzer auf einer oder mehreren Websites Datendateien schreiben (z.B. PUT) und/oder Formulare posten (z.B. POST). Zum Beispiel können ein oder mehrere Administratoren solche Funktionalität nutzen, um eine oder mehrere Exfiltrationen (z.B. Dateiübertragungen, die empfindliche Informationen enthalten, Posten von Anmeldedaten (Benutzernamen und Passwörter) usw.) zu Netzwerkknoten (z.B. Websites) zu verhindern, denen sie möglicherweise nicht vertrauen.
- Weitere Einzelheiten und Merkmale werden in den nachfolgenden Abschnitten beschrieben.
- Figurenliste
- Die vorliegende Offenbarung wird insbesondere in den beiliegenden Schutzansprüchen dargelegt. Merkmale der Offenbarung werden nach einem Studium der vorliegenden Offenbarung in ihrer Gesamtheit, einschließlich der beiliegenden Zeichnungsfiguren, offenkundiger.
- Einige Merkmale hier werden beispielhaft und nicht zur Begrenzung in den Figuren der Begleitzeichnungen illustriert, in denen sich gleiche Bezugsziffern auf ähnliche Elemente beziehen.
-
1 veranschaulicht eine beispielhafte Netzwerkumgebung, in der ein oder mehrere Aspekte der Offenbarung implementiert werden können. -
2 veranschaulicht ein beispielhaftes Paket-Sicherheits-Gateway. -
3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie mit Operatoren, die Datenübertragungsprotokoll- oder Anwendungsschichtprotokoll-Header-Informationen filtern. -
4 veranschaulicht ein beispielhaftes Verfahren zum Schützen eines gesicherten Netzwerks durch Durchsetzen von einer oder mehreren Netzwerknutzungsrichtlinien oder Netzwerksicherheitsrichtlinien. - AUSFÜHRLICHE BESCHREIBUNG
- In der nachfolgenden Beschreibung von verschiedenen veranschaulichenden Ausführungsformen wird auf die Begleitzeichnungen Bezug genommen, die Bestandteil davon bilden und in denen durch Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung praktiziert werden können. Es versteht sich, dass auch andere Ausführungsformen benutzt und strukturelle und funktionelle Modifikationen vorgenommen werden können, ohne vom Umfang der vorliegenden Offenbarung abzuweichen.
- Verschiedene Verbindungen zwischen Elementen werden in der nachfolgenden Beschreibung erörtert. Diese Verbindungen sind allgemein und können, falls nichts anderes angegeben ist, direkt oder indirekt, drahtgebunden oder drahtlos, physisch oder logisch sein. In dieser Hinsicht soll die Spezifikation nicht einschränkend sein.
-
1 veranschaulicht eine beispielhafte Netzwerkumgebung100 , in der ein oder mehrere Aspekte der Offenbarung implementiert werden können. Mit Bezug auf1 kann Netzwerk102 als Verbindung zwischen Netzwerken104 ,106 und108 fungieren. Zum Beispiel kann Netzwerk102 das öffentliche Internet oder ein anderes großes TCP/IP-Netzwerk sein, das als Verbindung zwischen einem oder mehreren lokalen Netzwerken (LANs) oder Weitbereichsnetzen (WANs) fungiert (z.B. das Non-classified Internet Protocol (IP) Router Network (NIPRNet), betrieben von der United States Defense Information Systems Agency (DISA)). Netzwerke104 ,106 und108 können LANs oder WANs sein, die von verschiedenen Organisationen (z.B. einem oder mehreren Wirtschaftsunternehmen, Firmen, Universitäten, Militärdienststellen, Regierungsbehörden oder cyberkriminellen Organisationen) betrieben werden oder anderweitig damit assoziiert sein können. - Zum Beispiel kann ein geografisch verteiltes Wirtschaftsunternehmen X Besitzer und Betreiber der Netzwerke
104 und106 sein und Netzwerk102 (z.B. das Internet) zum Verbinden von Netzwerken104 und106 und zum Zugreifen auf andere an das Netzwerk102 angeschlossene Netzwerke (z.B. andere Netzwerke, deren Besitzer oder Betreiber nicht das Unternehmen X ist) benutzen. Ein oder mehrere Computervorrichtungen (z.B. Workstations, Server usw.) von Unternehmen X können an Netzwerk104 oder106 angeschlossen werden. Netzwerk108 kann einer cyberkriminellen Organisation Z gehören und von ihr betrieben werden, die versuchen kann, Informationen (z.B. empfindliche Daten) von Unternehmen X beispielsweise über das Netzwerk102 zu stehlen. Mitglieder von Organisation Z können ein oder mehrere Computervorrichtungen (z.B. Workstations oder Server) an das Netzwerk108 anschließen und können diese Workstation(s) oder Server zum Angreifen auf oder Sammeln von Daten von einem oder mehreren an Unternehmen X angegliederten Netzwerken (z.B. Netzwerk104 oder106 ) benutzen. - Wie hier verwendet, kann ein Packet Security Gateway (PSG) ein oder mehrere Computervorrichtungen umfassen, die zum Empfangen von Paketen und zum Anwenden von einem oder mehreren Filtern oder Operatoren, einschließlich eines Identitäts- (z.B. Erlauben bzw. Zulassen) oder Null-(z.B. Blockieren) Operators, auf die Pakete konfiguriert sind. In einigen Ausführungsformen kann ein Packet Security Gateway zum Anwenden von einem oder mehreren zusätzlichen Operatoren, wie hier beschrieben, konfiguriert sein. Wie hier verwendet kann ein Sicherheitsrichtlinien-Managementserver ein oder mehrere Computervorrichtungen umfassen, die zum Übermitteln einer dynamischen Sicherheitsrichtlinie an ein Packet Security Gateway konfiguriert sind. In einigen Ausführungsformen kann ein Sicherheitsrichtlinien-Managementserver zum Durchführen von einer oder mehreren zusätzlichen Funktionen wie hier beschrieben konfiguriert sein. Wie hier verwendet, kann eine dynamische Sicherheitsrichtlinie eine oder mehrere Regeln, Nachrichten, Befehle, Dateien, Datenstrukturen oder dergleichen umfassen, die Kriterien vorgeben, die einem oder mehreren Paketen entsprechen, und kann einen oder mehrere Operatoren zur Anwendung auf Pakete entsprechend den vorgegebenen Kriterien identifizieren. In einigen Ausführungsformen kann eine dynamische Sicherheitsrichtlinie einen oder mehrere zusätzliche Parameter wie hier beschrieben vorgeben.
- Netzwerkumgebung
100 kann ein oder mehrere Packet Security Gateways sowie einen oder mehrere Sicherheitsrichtlinien-Managementserver umfassen. Zum Beispiel kann die Netzwerkumgebung100 Packet Security Gateways110 und112 sowie einen Sicherheitsrichtlinien-Managementserver114 umfassen. Ein oder mehrere Sicherheitsrichtlinien-Managementserver können mit einem geschützten Netzwerk assoziiert sein. Zum Beispiel können Netzwerke104 und106 jeweils separate LANs sein, die mit einem gemeinsamen Unternehmen X assoziiert sind, und können jeweils Bestandteil eines geschützten oder gesicherten Netzwerks bilden, das mit dem Sicherheitsrichtlinien-Managementserver114 assoziiert ist. Unternehmen X möchte möglicherweise Cyberangriffe (z.B. Exfiltrationen) aus einem oder mehreren seiner Netzwerke (z.B. Netzwerk104 oder106 ) verhüten. Demgemäß kann es ein oder mehrere Packet Security Gateways an jeder Grenze zwischen seinen Netzwerken und einem oder mehreren öffentlichen Verbindungsnetzwerken (z.B. Netzwerk102 ) positionieren, die von einem Cyberkriminellen wie Organisation Z benutzt werden können, um zu versuchen, aus der Ferne auf seine Netzwerke (z.B. Netzwerk104 oder106 ) zuzugreifen, und die zum Beispiel potentiell benutzt werden können, um eine Übertragung von Daten von einem oder mehreren seiner Netzwerke (z.B. Netzwerk104 oder106 ) auf ein oder mehrere an die Organisation Z angegliederte Netzwerke (z.B. Netzwerk108 ) zu versuchen. Zum Beispiel kann das Packet Security Gateway110 Netzwerk104 vor einem oder mehreren Cyberangriffen (z.B. Exfiltrationen) schützen, die vom Netzwerk102 (z.B. dem Internet) vermittelt werden, und Packet Security Gateway112 kann das Netzwerk106 vor einem oder mehreren von Netzwerk102 vermittelten Cyberangriffen (z.B. Exfiltrationen) schützen. - Wie nachfolgend ausführlicher beschrieben wird, kann jedes von, mit einem Sicherheitsrichtlinien-Managementserver assoziierten, ein oder mehreren Packet Security Gateways konfiguriert sein zum Empfangen einer dynamischen Sicherheitsrichtlinie aus einem Sicherheitsrichtlinien-Managementserver, zum Empfangen von Paketen, die mit einem vom Packet Security Gateway geschützten Netzwerk assoziiert sind, und zum Durchführen von einer oder mehreren durch die dynamische Sicherheitsrichtlinie vorgegebenen Operationen an den Paketen. Zum Beispiel kann jedes der Packet Security Gateways
110 und112 zum Empfangen einer dynamischen Sicherheitsrichtlinie aus Sicherheitsrichtlinien-Managementserver114 konfiguriert sein. Jedes der Packet Security Gateways110 und112 kann auch zum Empfangen von mit Netzwerken104 ,106 oder108 assoziierten Paketen konfiguriert sein. Jedes der Packet Security Gateways110 und112 kann ferner konfiguriert sein zum Anwenden einer oder mehrerer Regeln oder Operatoren, die von der aus Sicherheitsrichtlinien-Managementserver114 empfangenen dynamischen Sicherheitsrichtlinie vorgegeben werden, auf mit den Netzwerken104 ,106 oder108 assoziierte Pakete. -
2 veranschaulicht ein beispielhaftes Packet Security Gateway gemäß einem oder mehreren Aspekten der Offenbarung. Mit Bezug auf2 kann, wie oben angedeutet, sich ein Packet Security Gateway110 an einer Netzwerkgrenze202 zwischen Netzwerken104 und102 befinden. Das Packet Security Gateway110 kann einen oder mehrere Prozessoren204 , Speicher206 , Netzwerkschnittstellen208 und210 , Paketfilter212 und eine Managementschnittstelle214 beinhalten. Der eine oder die mehreren Prozessoren204 , der Speicher206 , die Netzwerkschnittstellen208 und210 , das Paketfilter212 und die Managementschnittstelle214 können über Datenbus216 miteinander verbunden werden. Netzwerkschnittstelle208 kann das Packet Security Gateway110 mit dem Netzwerk104 verbinden. Ebenso kann die Netzwerkschnittstelle210 das Packet Security Gateway110 mit dem Netzwerk102 verbinden. Der Speicher206 kann ein oder mehrere Programmmodule beinhalten, die bei Ausführung durch die ein oder mehreren Prozessoren204 das Packet Security Gateway110 zum Durchführen von einer oder mehreren von verschiedenen hier beschriebenen Funktionen konfigurieren können. - Das Packet Security Gateway
110 kann zum Empfangen einer dynamischen Sicherheitsrichtlinie aus dem Sicherheitsrichtlinien-Managementserver114 konfiguriert sein. Zum Beispiel kann das Packet Security Gateway110 eine dynamische Sicherheitsrichtlinie218 aus dem Sicherheitsrichtlinien-Managementserver114 über die Managementschnittstelle214 (z.B. über bandexterne Signalisierung) oder über die Netzwerkschnittstelle208 (z.B. über bandinterne Signalisierung) empfangen. Das Packet Security Gateway110 kann ein oder mehrere Paketfilter oder Paketdiskriminatoren oder Logik zum Implementieren von einem oder mehreren Paketfiltern oder Paketdiskriminatoren umfassen. Zum Beispiel kann Packet Security Gateway110 das Paketfilter212 umfassen, das zum Untersuchen von Informationen, die mit vom Packet Security Gateway110 empfangenen Paketen assoziiert sind, und zum Weiterleiten solcher Pakete zu einem oder mehreren der Operatoren220 ,222 oder224 auf der Basis der untersuchten Informationen konfiguriert sein kann. Zum Beispiel kann das Paketfilter212 Informationen untersuchen, die mit vom Packet Security Gateway110 empfangenen Paketen assoziiert sind (z.B. Pakete, die aus Netzwerk104 über die Netzwerkschnittstelle208 empfangen werden), und die Pakete zu einem oder mehreren Operatoren220 ,222 oder224 auf der Basis der untersuchten Informationen weiterleiten. - Wie nachfolgend ausführlicher beschrieben wird, kann die dynamische Sicherheitsrichtlinie
218 eine oder mehrere Regeln umfassen und die Konfiguration des Paketfilters212 kann auf einer oder mehreren der in der dynamischen Sicherheitsrichtlinie218 enthaltenen Regeln basieren. Zum Beispiel kann die dynamische Sicherheitsrichtlinie218 eine oder mehrere Regeln umfassen, die vorgeben, dass Pakete mit vorgegebenen Informationen zum Operator220 weitergeleitet werden sollen, dass Pakete mit anderen vorgegebenen Informationen zum Operator222 weitergeleitet werden sollen und dass alle anderen Pakete zum Operator224 weitergeleitet werden sollen. Operatoren220 ,222 und224 können zum Durchführen einer oder mehreren Funktionen an Paketen konfiguriert sein, die sie vom Paketfilter212 erhalten. Zum Beispiel können ein oder mehrere der Operatoren220 ,222 und224 zum Weiterleiten von vom Paketfilter212 empfangenen Paketen in das Netzwerk102 , zum Weiterleiten von vom Paketfilter212 empfangenen Paketen zu einem IPsec-Stapel (nicht veranschaulicht) mit einer IPsec-Sicherheitsassoziation entsprechend den Paketen oder zum Fallenlassen von vom Paketfilter212 empfangenen Paketen konfiguriert sein. In einigen Ausführungsformen können ein oder mehrere Operatoren220 ,222 oder224 zum Fallenlassen von Paketen durch Senden der Pakete zu einer lokalen „unendlichen Senke“ (infinite sink) (z.B. der /dev/null-Gerätedatei in einem UNIX/LINUX-System) konfiguriert sein. -
3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie gemäß einer oder mehreren Ausführungsformen. Mit Bezug auf3 kann die dynamische Sicherheitsrichtlinie218 Regeln 1302 , 2304 , 3306 , 4308 , 5310 , 6312 und 7314 umfassen. Jede dieser Regeln kann Kriterien und einen oder mehrere Operatoren vorgeben, die auf Pakete angewendet werden können, die mit den vorgegebenen Kriterien assoziiert sind (z.B. damit übereinstimmen). Die vorgegebenen Kriterien können die Form eines Fünf-Tupels haben, das beispielsweise einen oder mehrere Werte umfassen kann, die aus Paket-Header-Informationen ausgewählt sind, unter Vorgabe eines Protokolltyps des Datenteils eines IP-Pakets (z.B. TCP, User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) oder einem oder mehreren anderen Protokollen), einer oder mehreren Quell-IP-Adressen, einem oder mehreren Quell-Port-Werten, einer oder mehreren Ziel-IP-Adressen und einem oder mehreren Zielports. - Zum Beispiel kann Regel 1
302 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port22 (z.B. mit dem Secure Shell (SSH) Protocol assoziiert), ein ALLOW-Operator (z.B. ein Identitätsoperator) angewendet werden soll. Ebenso kann Regel 2304 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port25 (z.B. mit dem Simple Mail Transfer Protocol (SMTP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 3 306 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port
110 (z.B. mit Post Office Protocol Version3 (POP3) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 4 308 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port
143 (z.B. mit dem Internet Message Access Protocol (IMAP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 5 310 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port
443 (z.B. mit dem Port für das Hypertext Transfer Protocol Secure (HTTPS) Protokoll assoziiert), ein vorgegebener TLS-(Transport Layer Security)-Protokoll (z.B. REQUIRE-TLS 1.1-1.2) Operator (wie nachfolgend ausführlicher beschrieben) angewendet werden soll. - Regel 7 314 kann eine „Platzhalter“-Regel sein und kann einen BLOCK-Operator (z.B. einen Nulloperator, der Pakete „fallenlässt“, auf die er angewendet wird) auf Pakete anwenden, die nicht die Kriterien von beliebigen der Regeln 1
302 , 2304 , 3306 , 4308 , 5310 oder 6312 erfüllen (z.B. wenn Regeln 1302 , 2304 , 3306 , 4308 , 5310 , 6312 und 7 314 auf lineare Weise auf Pakete angewendet werden). - Wie oben mit Bezug auf
1 beschrieben, können die Netzwerke104 und106 dem Unternehmen X gehören oder von ihm betrieben werden. Das Unternehmen X kann IPv4-Adressen 140.210.0.0/16 dem Netzwerk104 und IPv4-Adressen 140.212.0.0/16 dem Netzwerk106 zugeordnet haben. Das Unternehmen X hat möglicherweise die dynamische Sicherheitsrichtlinie218 auf das PSG110 geladen und kann das PSG110 zum Durchsetzen von einer oder mehreren Netzwerksicherheitsrichtlinien nutzen, die in einer oder mehreren Regeln der dynamischen Sicherheitsrichtlinie218 ausgestaltet sind, um Netzwerkkommunikationen zwischen Netzwerken104 und106 zu beschränken (z.B. zum Sichern von System-Logins, E-Mail, verschlüsselten Websitzungen und dergleichen). Zum Beispiel kann Regel 1 302 auf der Basis der Standardnutzung von Ports erlauben, dass beliebige an das Netzwerk104 angeschlossene Hosts SSH-(Secure Shell)-Sitzungen (z.B. System-Logins) mit beliebigen an das Netzwerk106 angeschlossenen Hosts durchführen; Regel 2 304 kann es erlauben, dass beliebige an das Netzwerk104 angeschlossene E-Mail-Server SMTP-Sitzungen (z.B. E-Mail-Übertragungssitzungen) mit beliebigen an das Netzwerk106 angeschlossenen E-Mail-Servern durchführen; Regel 3 306 und Regel 4 308 können es jeweils erlauben, dass an das Netzwerk104 angeschlossene E-Mail-Clients POP3- und IMAP-Sitzungen (z.B. E-Mail-Download-Sitzungen auf eine Webmail-Browser-Anwendung) mit beliebigen an das Netzwerk106 angeschlossenen E-Mail-Servern durchführen; und Regel 5 310 kann es erlauben, dass an das Netzwerk104 angeschlossene Web-Browser HTTPS-Sitzungen (z.B. sichere Websitzungen) mit beliebigen an das Netzwerk106 angeschlossenen Webservern durchführen, aber, wie unten näher beschrieben wird, den REQUIRE-TLS-1.1-1.2 Operator benutzen können, um zu gewährleisten, dass nur HTTPS-sichere Websitzungen mit Version1.1 oder1.2 des TLS-(Transport Layer Security)-Protokolls zum Sichern solcher HTTPS-Sitzungen zugelassen werden (z.B. weil das gängige TLS Version1.0 Protokoll eine bekannte Sicherheitsverwundbarkeit hat, die Angreifer zum Entschlüsseln von HTTPS-Sitzungen nutzen können). - Regel 6 312 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 200.214 beginnt, und bestimmt für Port
80 (z.B. assoziiert mit dem HTTP-Protokoll), ein HTTP-EXFIL-Operator angewendet werden soll. Wie nachfolgend ausführlicher beschrieben wird, kann ein HTTP-EXFIL-Operator HTTP-Pakete erlauben, die ein GET-Verfahren enthalten, aber HTTP-Pakete blockieren, die andere HTTP-Verfahren enthalten (z.B. PUT, POST, CONNECT usw.). Ein solcher Operator kann es somit erlauben, dass ein Web-Browser „auf dem Web surft“ (z.B. von Web-Servern gehostete Webseiten herunterlädt), aber kann verhindern, dass der Web-Browser Dateien auf einen Web-Server schreibt (z.B. mit dem PUT-Verfahren), Formulare (z.B. Formulare, die Anmeldedaten wie Benutzernamen oder Passwörter enthalten können) auf einen Web-Server postet (z.B. mit dem POST-Verfahren) oder auf andere Weise mit einem Web-Server kommuniziert (z.B. mit einem HTTP-Verfahren ausgenommen GET). Da Angreifer häufig HTTP-, PUT- oder POST-Verfahren zum Exfiltrieren empfindlicher Daten benutzen, können Operatoren wie HTTP-EXFIL zum Stoppen solcher Exfiltrationen benutzt werden. - Zurück zum oben beschriebenen Beispiel, Organisation Z kann Besitzer oder Betreiber des Netzwerks
108 sein und kann dem Netzwerk108 Netzwerk-IP-Adressen 214.0.0.0/8 zugeordnet haben. Das Unternehmen X hat möglicherweise keine Geschäftsbeziehung zu Organisation Z und hält daher evtl. das Netzwerk108 nicht für vertrauenswürdig. Während Unternehmen X einfach alle Kommunikationen zu Netzwerken blockieren könnte, deren Besitzer und Betreiber Organisationen sind, denen es nicht völlig vertraut, hätte dies wahrscheinlich zur Folge, dass Unternehmen X den Zugang zum größten Teil des Internets blockiert. Mitarbeiter von Unternehmen X könnten daher nicht frei auf dem Web surfen, was die Fähigkeit der Mitarbeiter beschränken kann, Geschäfte für Unternehmen X zu tätigen. Durch Durchsetzen von Regelsätzen ähnlich Regel 6 312, die Operatoren wie oder ähnlich HTTP-EXFIL anwenden können, kann Unternehmen X seine Mitarbeiter befähigen, frei auf dem Web zu surfen und Firmengeschäfte zu tätigen, kann aber einen oder mehrere Cyberangriffe (z.B. HTTP-vermittelte Exfiltrationen) verhüten. - Eine Funktion von Operatoren wie HTTP-EXFIL und REQUIRE-TLS-1.1-1.2 kann darin bestehen, Felder in den Headern von in IP-Paketen enthaltenen Anwendungspaketen zu prüfen, Feldwerte zu bestimmen und je nach den Feldwerten zu beschließen, zu erlauben, zu blockieren oder auf andere Weise (z.B. Verkapseln des Pakets in einen Tunnel, Verändern von einem oder mehreren Header-Feldwerten usw.) eine Pakettransformationsfunktion auf die Pakete anzuwenden. Die Logik für diese Funktion kann von einem oder mehreren der Operatoren
220 ,222 und224 ausgeführt werden. Die Logik kann in einer High-Level-Programmiersprache wie C entwickelt werden. Ein Beispiel für eine solche programmatische Logik, in Pseudocode geschrieben, für den HTTP-EXFIL-Operator lautet wie folgt: - Operator HTTP-EXFIL(ip-packet):
Inspect app-pkt(ip-packet) match GET return ALLOW; Inspect app-pkt(ip-packet) match POST return BLOCK; Inspect app-pkt(ip-packet) match PUT return BLOCK; Inspect app-pkt(ip-packet) match DELETE return BLOCK; Inspect app-pkt(ip-packet) match CONNECT return BLOCK; Return BLOCK; End Operator HTTP-EXFIL;
Inspect app-pkt(ip-packet) match 1.0 return BLOCK; Inspect app-pkt(ip-packet) match 1.1 return ALLOW; Inspect app-pkt(ip-packet) match 1.2 return ALLOW; Return BLOCK; End Operator REQUIRE-TLS-1.1-1.2
Claims (28)
- Computervorrichtung, die wenigstens einen Prozessor, einen Speicher und eine Kommunikationsschnittstelle umfasst und implementiert ist, folgendes computerimplementiertes Verfahren durchzuführen: Empfangen mehrerer Pakete über die Kommunikationsschnittstelle und aus einem ersten Netzwerk; Bestimmen eines ersten Teils von Paketen der mehreren Pakete, die Paket-Header-Feldwerte entsprechend einer ersten Paketfilterungsregel haben, auf der Basis von Ziel-IP-(Internet Protocol)-Adressen von jedem aus dem ersten Teil von Paketen, die anzeigen, dass der erste Teil von Paketen für ein zweites Netzwerk bestimmt ist, wobei die erste Paketfilterungsregel zu einem Satz von Paketfilterungsregeln gehört und konfiguriert ist, bestimmte Datenübertragungstypen aus dem ersten Netzwerk zum zweiten Netzwerk zu verhindern; in Reaktion auf die Bestimmung des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben: Feststellen, dass wenigstens ein Paket des ersten Teils von Paketen Anwendungs-Header-Feldwerte entsprechend der ersten Paketfilterungsregel und assoziiert mit den bestimmten Datenübertragungstypen hat; Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen ersten Pakettransformationsfunktion, um ein Fortfahren jedes Pakets des wenigstens einen Pakets des ersten Teils von Paketen zum zweiten Netzwerk zu blockieren; und Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen zweiten Pakettransformationsfunktion, um ein Fortfahren von wenigstens einem anderen Paket des ersten Teils von Paketen zum zweiten Netzwerk zu erlauben.
- Computervorrichtung nach
Anspruch 1 , wobei das computerimplementierte Verfahren ferner umfasst: Bestimmen eines zweiten Teils von Paketen der mehreren Pakete, die keine Paket-Header-Feldwerte entsprechend dem Satz von Paketfilterungsregeln haben, auf der Basis von Ziel-IP-Adressen von jedem aus dem zweiten Teil von Paketen, die anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist; und Anwenden, in Reaktion auf die Bestimmung des zweiten Teils von Paketen, wenigstens einer dritten Pakettransformationsfunktion, um ein Fortfahren jedes Pakets des zweiten Teils von Paketen zum dritten Netzwerk zu blockieren. - Computervorrichtung nach
Anspruch 1 oderAnspruch 2 , wobei der erste Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst und wobei die erste Paketfilterungsregel einem oder mehreren TLS-(Transport Layer Security)-Versionswerten entspricht. - Computervorrichtung nach
Anspruch 3 , wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll. - Computervorrichtung nach
Anspruch 3 , wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll. - Computervorrichtung nach
Anspruch 1 oderAnspruch 2 , wobei der erste Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die erste Paketfilterungsregel einem oder mehreren HTTP-Verfahrenswerten entspricht. - Computervorrichtung nach
Anspruch 6 , wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll. - Computervorrichtung nach
Anspruch 7 , wobei die ein oder mehreren HTTP-Verfahrenswerte, die ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll, wenigstens einen GET-Verfahrenswert umfassen. - Computervorrichtung nach
Anspruch 6 , wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll. - Computervorrichtung nach
Anspruch 9 , wobei die ein oder mehreren HTTP-Verfahrenswerte, die ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll, wenigstens einen von PUT-, POST-, oder CONNECT-Verfahrenswerten umfassen. - Computervorrichtung nach einem der
Ansprüche 1 bis10 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Protokollen von Datensektionen von jedem aus dem ersten Teil von Paketen basiert. - Computervorrichtung nach einem der
Ansprüche 1 bis11 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Quell-IP-Adressen von jedem des ersten Teils von Paketen basiert. - Computervorrichtung nach einem der
Ansprüche 1 bis12 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Quellports von jedem aus dem ersten Teil von Paketen basiert. - Computervorrichtung nach einem der
Ansprüche 1 bis13 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Zielports von jedem aus dem ersten Teil von Paketen basiert. - Ein oder mehrere nichtflüchtige computerlesbare Medien, die Befehle speichern, die bei Ausführung bewirken, dass eine Computervorrichtung folgendes computerimplementiertes Verfahren durchführt: Empfangen mehrerer Pakete über eine Kommunikationsschnittstelle und aus einem ersten Netzwerk; Bestimmen eines ersten Teils von Paketen der mehreren Pakete, die Paket-Header-Feldwerte entsprechend einer ersten Paketfilterungsregel haben, auf der Basis von Ziel-IP-(Internet Protocol)-Adressen von jedem aus dem ersten Teil von Paketen, die anzeigen, dass der erste Teil von Paketen für ein zweites Netzwerk bestimmt ist, wobei die erste Paketfilterungsregel zu einem Satz von Paketfilterungsregeln gehört und konfiguriert ist, bestimmte Datenübertragungstypen aus dem ersten Netzwerk zum zweiten Netzwerk zu verhindern; in Reaktion auf die Bestimmung des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben: Feststellen, dass wenigstens ein Paket des ersten Teils von Paketen Anwendungs-Header-Feldwerte entsprechend der ersten Paketfilterungsregel und assoziiert mit den bestimmten Datenübertragungstypen hat; Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen ersten Pakettransformationsfunktion, um ein Fortfahren jedes Pakets des wenigstens einen Pakets des ersten Teils von Paketen zum zweiten Netzwerk zu blockieren; und Anwenden wenigstens einer durch die erste Paketfilterungsregel vorgegebenen zweiten Pakettransformationsfunktion, um ein Fortfahren von wenigstens einem anderen Paket des ersten Teils von Paketen zum zweiten Netzwerk zu erlauben.
- Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 15 , wobei das computerimplementierte Verfahren ferner umfasst: Bestimmen eines zweiten Teils von Paketen der mehreren Pakete, die keine Paket-Header-Feldwerte entsprechend dem Satz von Paketfilterungsregeln haben, auf der Basis von Ziel-IP-Adressen von jedem aus dem zweiten Teil von Paketen, die anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist; und Anwenden, in Reaktion auf die Bestimmung des zweiten Teils von Paketen, wenigstens einer dritten Pakettransformationsfunktion, um ein Fortfahren jedes Pakets des zweiten Teils von Paketen zum dritten Netzwerk zu blockieren. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 15 oderAnspruch 16 , wobei der erste Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst und wobei die erste Paketfilterungsregel einem oder mehreren TLS-(Transport Layer Security)-Versionswerten entspricht. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 17 , wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 17 , wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 15 oderAnspruch 16 , wobei der erste Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die erste Paketfilterungsregel einem oder mehreren HTTP-Verfahrenswerten entspricht. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 20 , wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 21 , wobei die ein oder mehreren HTTP-Verfahrenswerte, die ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen erlaubt werden soll, wenigstens einen GET-Verfahrenswert umfassen. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 20 , wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach
Anspruch 23 , wobei die ein oder mehreren HTTP-Verfahrenswerte, die ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen zu ihren jeweiligen Zielen blockiert werden soll, wenigstens einen von PUT-, POST-, oder CONNECT-Verfahrenswerten umfassen. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach einem der
Ansprüche 15 bis24 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Protokollen von Datensektionen von jedem aus dem ersten Teil von Paketen basiert. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach einem der
Ansprüche 15 bis25 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Quell-IP-Adressen von jedem des ersten Teils von Paketen basiert. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach einem der
Ansprüche 15 bis26 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Quellports von jedem aus dem ersten Teil von Paketen basiert. - Ein oder mehrere nichtflüchtige computerlesbare Medien nach einem der
Ansprüche 15 bis27 , wobei das Bestimmen des ersten Teils von Paketen, die Paket-Header-Feldwerte entsprechend der ersten Paketfilterungsregel haben, ferner auf Zielports von jedem aus dem ersten Teil von Paketen basiert.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/795,822 | 2013-03-12 | ||
US13/795,822 US9124552B2 (en) | 2013-03-12 | 2013-03-12 | Filtering network data transfers |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202014011424U1 true DE202014011424U1 (de) | 2020-05-29 |
Family
ID=50549418
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202014011510.9U Expired - Lifetime DE202014011510U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
DE202014011424.2U Expired - Lifetime DE202014011424U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202014011510.9U Expired - Lifetime DE202014011510U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
Country Status (6)
Country | Link |
---|---|
US (9) | US9124552B2 (de) |
EP (2) | EP2974212B1 (de) |
AU (1) | AU2014249055B2 (de) |
CA (1) | CA2902158C (de) |
DE (2) | DE202014011510U1 (de) |
WO (1) | WO2014164713A1 (de) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9191209B2 (en) | 2013-06-25 | 2015-11-17 | Google Inc. | Efficient communication for devices of a home network |
US9531704B2 (en) | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
CN104579939B (zh) * | 2014-12-29 | 2021-02-12 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10630717B2 (en) * | 2015-05-15 | 2020-04-21 | Avaya, Inc. | Mitigation of WebRTC attacks using a network edge system |
US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
US10523536B2 (en) * | 2015-10-26 | 2019-12-31 | Telefonaktiebolaget Lm Ericsson (Publ) | Length control for packet header sampling |
US9917856B2 (en) * | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10291584B2 (en) | 2016-03-28 | 2019-05-14 | Juniper Networks, Inc. | Dynamic prioritization of network traffic based on reputation |
US10630654B2 (en) | 2017-03-22 | 2020-04-21 | Microsoft Technology Licensing, Llc | Hardware-accelerated secure communication management |
US10868832B2 (en) * | 2017-03-22 | 2020-12-15 | Ca, Inc. | Systems and methods for enforcing dynamic network security policies |
IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
AU2019380750A1 (en) * | 2018-11-13 | 2021-07-01 | Wenspire | Method and device for monitoring data output by a server |
US11627152B2 (en) | 2020-01-08 | 2023-04-11 | Bank Of America Corporation | Real-time classification of content in a data transmission |
US11297085B2 (en) | 2020-01-08 | 2022-04-05 | Bank Of America Corporation | Real-time validation of data transmissions based on security profiles |
US11184381B2 (en) * | 2020-01-08 | 2021-11-23 | Bank Of America Corporation | Real-time validation of application data |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11379390B1 (en) * | 2020-12-14 | 2022-07-05 | International Business Machines Corporation | In-line data packet transformations |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
US11790093B2 (en) | 2021-04-29 | 2023-10-17 | Bank Of America Corporation | Cognitive tokens for authorizing restricted access for cyber forensics |
US11882448B2 (en) * | 2021-06-07 | 2024-01-23 | Sr Technologies, Inc. | System and method for packet detail detection and precision blocking |
Family Cites Families (295)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3004994A (en) | 1957-09-16 | 1961-10-17 | Merck & Co Inc | 6alpha, 16alpha-dimethyl-pregnenes |
US3042167A (en) | 1959-02-23 | 1962-07-03 | Rolls Royce | Friction clutches |
US3219675A (en) | 1961-11-02 | 1965-11-23 | Columbian Carbon | Preparation of alpha,omega-alkandioic acids and omega-formylalkanoic acids |
US3271645A (en) | 1962-09-06 | 1966-09-06 | Telsta Corp | A. c. generator-fed variable frequency motor control mechanism for an aerial lift |
US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
US20010039624A1 (en) | 1998-11-24 | 2001-11-08 | Kellum Charles W. | Processes systems and networks for secured information exchange using computer hardware |
CA2287689C (en) | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
US6226372B1 (en) | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US6611875B1 (en) | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
JP2000332817A (ja) | 1999-05-18 | 2000-11-30 | Fujitsu Ltd | パケット処理装置 |
WO2000078004A2 (en) | 1999-06-10 | 2000-12-21 | Alcatel Internetworking, Inc. | Policy based network architecture |
US7051365B1 (en) | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
US6971028B1 (en) | 1999-08-30 | 2005-11-29 | Symantec Corporation | System and method for tracking the source of a computer attack |
EP1107140A3 (de) | 1999-11-30 | 2004-01-28 | Hitachi, Ltd. | Verfahren zur Unterstützung des Entwurfs von Sicherheitssystemen |
US7215637B1 (en) | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
US7032031B2 (en) | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
US6907470B2 (en) | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US20020164962A1 (en) | 2000-07-18 | 2002-11-07 | Mankins Matt W. D. | Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units |
US7152240B1 (en) | 2000-07-25 | 2006-12-19 | Green Stuart D | Method for communication security and apparatus therefor |
US6834342B2 (en) * | 2000-08-16 | 2004-12-21 | Eecad, Inc. | Method and system for secure communication over unstable public connections |
US7586899B1 (en) | 2000-08-18 | 2009-09-08 | Juniper Networks, Inc. | Methods and apparatus providing an overlay network for voice over internet protocol applications |
US6662235B1 (en) | 2000-08-24 | 2003-12-09 | International Business Machines Corporation | Methods systems and computer program products for processing complex policy rules based on rule form type |
US20020038339A1 (en) | 2000-09-08 | 2002-03-28 | Wei Xu | Systems and methods for packet distribution |
US20110214157A1 (en) | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US7129825B2 (en) | 2000-09-26 | 2006-10-31 | Caterpillar Inc. | Action recommendation system for a mobile vehicle |
US20060212572A1 (en) | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
US7657628B1 (en) * | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
US7185368B2 (en) | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
US7095741B1 (en) | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7061874B2 (en) | 2001-01-26 | 2006-06-13 | Broadcom Corporation | Method, system and computer program product for classifying packet flows with a bit mask |
FI20010256A0 (fi) | 2001-02-12 | 2001-02-12 | Stonesoft Oy | Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä |
EP1371242A1 (de) * | 2001-03-14 | 2003-12-17 | Nokia Corporation | Verfahren zur aktivierung einer verbindung in einem kommunikationssystem, mobilstation, netzwerkelement und paketfilter |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US20020186683A1 (en) * | 2001-04-02 | 2002-12-12 | Alan Buck | Firewall gateway for voice over internet telephony communications |
AUPR435501A0 (en) | 2001-04-11 | 2001-05-17 | Firebridge Systems Pty Ltd | Network security system |
KR100398281B1 (ko) | 2001-04-17 | 2003-09-19 | 시큐아이닷컴 주식회사 | 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법 |
US7227842B1 (en) | 2001-04-24 | 2007-06-05 | Tensilica, Inc. | Fast IP packet classification with configurable processor |
WO2002101968A2 (en) | 2001-06-11 | 2002-12-19 | Bluefire Security Technology | Packet filtering system and methods |
US6947983B2 (en) | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
US7900042B2 (en) | 2001-06-26 | 2011-03-01 | Ncipher Corporation Limited | Encrypted packet inspection |
US7315892B2 (en) * | 2001-06-27 | 2008-01-01 | International Business Machines Corporation | In-kernel content-aware service differentiation |
US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
KR20010079361A (ko) | 2001-07-09 | 2001-08-22 | 김상욱 | 네트워크 상태 기반의 방화벽 장치 및 그 방법 |
US7207062B2 (en) | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
US7386525B2 (en) | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
US7159109B2 (en) | 2001-11-07 | 2007-01-02 | Intel Corporation | Method and apparatus to manage address translation for secure connections |
US7325248B2 (en) | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
FI20012338A0 (fi) * | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
US20030123456A1 (en) | 2001-12-28 | 2003-07-03 | Denz Peter R. | Methods and system for data packet filtering using tree-like hierarchy |
US7222366B2 (en) | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US7161942B2 (en) | 2002-01-31 | 2007-01-09 | Telcordia Technologies, Inc. | Method for distributing and conditioning traffic for mobile networks based on differentiated services |
JP3797937B2 (ja) | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
US7249194B2 (en) | 2002-02-08 | 2007-07-24 | Matsushita Electric Industrial Co., Ltd. | Gateway apparatus and its controlling method |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
US7107613B1 (en) | 2002-03-27 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for reducing the number of tunnels used to implement a security policy on a network |
AU2003228541A1 (en) | 2002-04-15 | 2003-11-03 | Core Sdi, Incorporated | Secure auditing of information systems |
GB2387681A (en) | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
AUPS214802A0 (en) | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US20030212900A1 (en) * | 2002-05-13 | 2003-11-13 | Hsin-Yuo Liu | Packet classifying network services |
WO2003105009A1 (en) | 2002-06-07 | 2003-12-18 | Bellsouth Intellectual Property Corporation | Sytems and methods for establishing electronic conferencing over a distributed network |
TWI244297B (en) | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
US7441262B2 (en) | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
US20040015719A1 (en) | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
US7684400B2 (en) * | 2002-08-08 | 2010-03-23 | Intel Corporation | Logarithmic time range-based multifield-correlation packet classification |
US7263099B1 (en) | 2002-08-14 | 2007-08-28 | Juniper Networks, Inc. | Multicast packet replication |
JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
FR2844415B1 (fr) | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
WO2004032445A2 (en) | 2002-10-02 | 2004-04-15 | Richard Reiner | Rule creation for computer application screening; |
US7313141B2 (en) | 2002-10-09 | 2007-12-25 | Alcatel Lucent | Packet sequence number network monitoring system |
US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7296288B1 (en) | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
US20040098511A1 (en) * | 2002-11-16 | 2004-05-20 | Lin David H. | Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule |
US7366174B2 (en) | 2002-12-17 | 2008-04-29 | Lucent Technologies Inc. | Adaptive classification of network traffic |
US7050394B2 (en) | 2002-12-18 | 2006-05-23 | Intel Corporation | Framer |
US20050125697A1 (en) | 2002-12-27 | 2005-06-09 | Fujitsu Limited | Device for checking firewall policy |
US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US20040148520A1 (en) | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
US20040193943A1 (en) | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US20040177139A1 (en) | 2003-03-03 | 2004-09-09 | Schuba Christoph L. | Method and apparatus for computing priorities between conflicting rules for network services |
US7539186B2 (en) | 2003-03-31 | 2009-05-26 | Motorola, Inc. | Packet filtering for emergency service access in a packet data network communication system |
US7441036B2 (en) | 2003-04-01 | 2008-10-21 | International Business Machines Corporation | Method and system for a debugging utility based on a TCP tunnel |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US7509673B2 (en) | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7710885B2 (en) | 2003-08-29 | 2010-05-04 | Agilent Technologies, Inc. | Routing monitoring |
KR100502068B1 (ko) | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
KR100558658B1 (ko) | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
US20050108557A1 (en) | 2003-10-11 | 2005-05-19 | Kayo David G. | Systems and methods for detecting and preventing unauthorized access to networked devices |
US7237267B2 (en) | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
US7408932B2 (en) * | 2003-10-20 | 2008-08-05 | Intel Corporation | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
US7672318B2 (en) | 2003-11-06 | 2010-03-02 | Telefonaktiebolaget L M Ericsson (Publ) | Adaptable network bridge |
US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US20050183140A1 (en) | 2003-11-20 | 2005-08-18 | Goddard Stephen M. | Hierarchical firewall load balancing and L4/L7 dispatching |
US7389532B2 (en) | 2003-11-26 | 2008-06-17 | Microsoft Corporation | Method for indexing a plurality of policy filters |
US7370100B1 (en) | 2003-12-10 | 2008-05-06 | Foundry Networks, Inc. | Method and apparatus for load balancing based on packet header content |
US7756008B2 (en) * | 2003-12-19 | 2010-07-13 | At&T Intellectual Property Ii, L.P. | Routing protocols with predicted outrage notification |
US7523314B2 (en) | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
US20050141537A1 (en) | 2003-12-29 | 2005-06-30 | Intel Corporation A Delaware Corporation | Auto-learning of MAC addresses and lexicographic lookup of hardware database |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7814546B1 (en) | 2004-03-19 | 2010-10-12 | Verizon Corporate Services Group, Inc. | Method and system for integrated computer networking attack attribution |
US8031616B2 (en) | 2004-03-23 | 2011-10-04 | Level 3 Communications, Llc | Systems and methods for accessing IP transmissions |
US20050229246A1 (en) | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
US8923292B2 (en) | 2004-04-06 | 2014-12-30 | Rockstar Consortium Us Lp | Differential forwarding in address-based carrier networks |
US7525958B2 (en) * | 2004-04-08 | 2009-04-28 | Intel Corporation | Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing |
US20050249214A1 (en) | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
WO2006002215A1 (en) | 2004-06-23 | 2006-01-05 | Qualcomm Incorporated | Efficient classification of network packets |
US20060031928A1 (en) | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
US20060048142A1 (en) | 2004-09-02 | 2006-03-02 | Roese John J | System and method for rapid response network policy implementation |
US8331234B1 (en) | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US7490235B2 (en) | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
US7509493B2 (en) | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
JP4369351B2 (ja) | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
US7694334B2 (en) * | 2004-12-03 | 2010-04-06 | Nokia Corporation | Apparatus and method for traversing gateway device using a plurality of batons |
JP2006174350A (ja) | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US7602731B2 (en) | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US8037517B2 (en) | 2004-12-22 | 2011-10-11 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7551567B2 (en) | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
GB2422505A (en) | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
WO2006090781A1 (ja) | 2005-02-24 | 2006-08-31 | Nec Corporation | フィルタリングルール分析方法及びシステム |
US8042167B2 (en) | 2005-03-28 | 2011-10-18 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
US7499412B2 (en) | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
US8296846B2 (en) | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
US20070056038A1 (en) | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
US20070083924A1 (en) | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
WO2007109541A2 (en) | 2006-03-16 | 2007-09-27 | Brubaker Curtis M | System and method for obtaining revenue through the display of hyper-relevant advertising on moving objects |
US8027251B2 (en) | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
US7716729B2 (en) | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
US7832009B2 (en) | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US8116312B2 (en) * | 2006-02-08 | 2012-02-14 | Solarflare Communications, Inc. | Method and apparatus for multicast packet reception |
WO2007096884A2 (en) | 2006-02-22 | 2007-08-30 | Elad Barkan | Wireless internet system and method |
US7898963B2 (en) | 2006-03-07 | 2011-03-01 | Cisco Technology, Inc. | Graphical representation of the flow of a packet through a network device |
US20070240208A1 (en) | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
GB2437791A (en) * | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US7966655B2 (en) | 2006-06-30 | 2011-06-21 | At&T Intellectual Property Ii, L.P. | Method and apparatus for optimizing a firewall |
US8639837B2 (en) | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
WO2008021496A2 (en) | 2006-08-17 | 2008-02-21 | Philip Chidel | Interactive television framework utilizing program-synchronous trigers and standard messaging and presence-detection protocols |
KR100909552B1 (ko) | 2006-08-21 | 2009-07-27 | 삼성전자주식회사 | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 |
US8234702B2 (en) | 2006-08-29 | 2012-07-31 | Oracle International Corporation | Cross network layer correlation-based firewalls |
US8385331B2 (en) | 2006-09-29 | 2013-02-26 | Verizon Patent And Licensing Inc. | Secure and reliable policy enforcement |
US7624084B2 (en) * | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
US7768921B2 (en) | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
US8004994B1 (en) | 2006-11-01 | 2011-08-23 | Azimuth Systems, Inc. | System and method for intelligently analyzing performance of a device under test |
US7954143B2 (en) | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
US8176561B1 (en) | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
US7835348B2 (en) | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
EP2116005A1 (de) | 2007-01-31 | 2009-11-11 | Tufin Software Technologies Ltd. | System und verfahren zur prüfung eines sicherheitsverfahrens |
US7873710B2 (en) | 2007-02-06 | 2011-01-18 | 5O9, Inc. | Contextual data communication platform |
US8448234B2 (en) | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
US20120084866A1 (en) * | 2007-06-12 | 2012-04-05 | Stolfo Salvatore J | Methods, systems, and media for measuring computer security |
US7853689B2 (en) | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
US20080320116A1 (en) | 2007-06-21 | 2008-12-25 | Christopher Briggs | Identification of endpoint devices operably coupled to a network through a network address translation router |
US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
US8730946B2 (en) | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
KR100949808B1 (ko) | 2007-12-07 | 2010-03-30 | 한국전자통신연구원 | P2p 트래픽 관리 장치 및 그 방법 |
US8307029B2 (en) | 2007-12-10 | 2012-11-06 | Yahoo! Inc. | System and method for conditional delivery of messages |
US8418240B2 (en) | 2007-12-26 | 2013-04-09 | Algorithmic Security (Israel) Ltd. | Reordering a firewall rule base according to usage statistics |
KR100958250B1 (ko) | 2008-01-09 | 2010-05-17 | 한남대학교 산학협력단 | 웹 서버 보안 방법 및 이를 위한 웹 방화벽 |
US8751663B2 (en) * | 2008-02-08 | 2014-06-10 | Front Porch, Inc. | Method and apparatus for modifying HTTP at a remote data center via tunneling |
US8561129B2 (en) * | 2008-02-28 | 2013-10-15 | Mcafee, Inc | Unified network threat management with rule classification |
US9298747B2 (en) * | 2008-03-20 | 2016-03-29 | Microsoft Technology Licensing, Llc | Deployable, consistent, and extensible computing environment platform |
JP5207803B2 (ja) * | 2008-04-02 | 2013-06-12 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
CN101552803B (zh) | 2008-04-03 | 2011-10-05 | 华为技术有限公司 | 网络地址转换地址映射表维护方法、媒体网关及其控制器 |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US8490171B2 (en) | 2008-07-14 | 2013-07-16 | Tufin Software Technologies Ltd. | Method of configuring a security gateway and system thereof |
US8161155B2 (en) | 2008-09-29 | 2012-04-17 | At&T Intellectual Property I, L.P. | Filtering unwanted data traffic via a per-customer blacklist |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US20100107240A1 (en) * | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8272029B2 (en) | 2008-11-25 | 2012-09-18 | At&T Intellectual Property I, L.P. | Independent role based authorization in boundary interface elements |
US20100199346A1 (en) | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
US8321938B2 (en) | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
US8588422B2 (en) | 2009-05-28 | 2013-11-19 | Novell, Inc. | Key management to protect encrypted data of an endpoint computing device |
US7931251B2 (en) * | 2009-07-08 | 2011-04-26 | Perdix Engineering Llc | Expanding gate valve |
US8098677B1 (en) | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
US8495725B2 (en) | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
US7890627B1 (en) | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
US9413616B2 (en) | 2009-10-14 | 2016-08-09 | Hewlett Packard Enterprise Development Lp | Detection of network address spoofing and false positive avoidance |
US9204415B2 (en) * | 2009-10-30 | 2015-12-01 | Panasonic Intellectual Property Corporation Of America | Communication system and apparatus for status dependent mobile services |
US8271645B2 (en) | 2009-11-25 | 2012-09-18 | Citrix Systems, Inc. | Systems and methods for trace filters by association of client to vserver to services |
US8254257B2 (en) | 2009-12-11 | 2012-08-28 | At&T Intellectual Property I, Lp | System and method for location, time-of-day, and quality-of-service based prioritized access control |
US8219675B2 (en) | 2009-12-11 | 2012-07-10 | Tektronix, Inc. | System and method for correlating IP flows across network address translation firewalls |
US9154462B2 (en) | 2009-12-22 | 2015-10-06 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for managing firewall change requests in a communication network |
US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
WO2011111105A1 (ja) * | 2010-03-10 | 2011-09-15 | 富士通株式会社 | 中継装置および通信プログラム |
WO2011131829A1 (en) * | 2010-04-22 | 2011-10-27 | Nokia Corporation | Method and apparatus for providing a messaging interface |
US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
EP2385676B1 (de) | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Verfahren zur Anpassung von Sicherheitsrichtlinien einer Informationssysteminfrastruktur |
US8510821B1 (en) | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
US8406233B2 (en) * | 2010-09-07 | 2013-03-26 | Check Point Software Technologies Ltd. | Predictive synchronization for clustered devices |
US8935785B2 (en) | 2010-09-24 | 2015-01-13 | Verisign, Inc | IP prioritization and scoring system for DDoS detection and mitigation |
EP2437442B1 (de) | 2010-09-30 | 2013-02-13 | Alcatel Lucent | Vorrichtung und Verfahren zum Umschalten von Datenverkehr in einem digitalen Übertragungsnetzwerk |
US8627448B2 (en) | 2010-11-02 | 2014-01-07 | Jose Renato Santos | Selective invalidation of packet filtering results |
US8806638B1 (en) | 2010-12-10 | 2014-08-12 | Symantec Corporation | Systems and methods for protecting networks from infected computing devices |
US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US9052898B2 (en) * | 2011-03-11 | 2015-06-09 | Qualcomm Incorporated | Remote access and administration of device content, with device power optimization, using HTTP protocol |
US8261295B1 (en) | 2011-03-16 | 2012-09-04 | Google Inc. | High-level language for specifying configurations of cloud-based deployments |
US9503529B2 (en) | 2011-04-04 | 2016-11-22 | Avaya Inc. | System and method to transport HTTP over XMPP |
EP2702740B1 (de) | 2011-04-28 | 2020-07-22 | VoIPFuture GmbH | Korrelation der medienebene und der signalisierungsebene von mediendiensten in einem paketvermittelten netzwerk |
US9215237B2 (en) | 2011-05-23 | 2015-12-15 | Nec Corporation | Communication system, control device, communication method, and program |
US8621556B1 (en) | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
US9118702B2 (en) | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US8995360B2 (en) | 2011-06-09 | 2015-03-31 | Time Warner Cable Enterprises Llc | Techniques for prefix subnetting |
US8683573B2 (en) | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
US8949413B2 (en) | 2011-06-30 | 2015-02-03 | Juniper Networks, Inc. | Filter selection and resuse |
US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
US9256735B2 (en) | 2011-10-10 | 2016-02-09 | Masergy Communications, Inc. | Detecting emergent behavior in communications networks |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US8856922B2 (en) | 2011-11-30 | 2014-10-07 | Facebook, Inc. | Imposter account report management in a social networking system |
GB2497940B (en) | 2011-12-21 | 2016-02-17 | Eckoh Uk Ltd | Method and apparatus for mediating communications |
US8930690B2 (en) | 2012-03-21 | 2015-01-06 | Microsoft Corporation | Offloading packet processing for networking device virtualization |
WO2013187963A2 (en) | 2012-03-30 | 2013-12-19 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
US20130291100A1 (en) | 2012-04-30 | 2013-10-31 | Sundaram S. Ganapathy | Detection And Prevention Of Machine-To-Machine Hijacking Attacks |
US9548962B2 (en) * | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
US8789135B1 (en) | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9124628B2 (en) | 2012-09-20 | 2015-09-01 | Cisco Technology, Inc. | Seamless engagement and disengagement of transport layer security proxy services |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
JP2014112768A (ja) | 2012-12-05 | 2014-06-19 | Hitachi Ltd | 自動障害対応キャッシュシステム及びキャッシュサーバの障害対応処理方法並びにキャッシュマネージャ |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9077702B2 (en) | 2013-01-30 | 2015-07-07 | Palo Alto Networks, Inc. | Flow ownership assignment in a distributed processor system |
EP2953298B1 (de) | 2013-01-30 | 2018-03-21 | Nippon Telegraph and Telephone Corporation | Protokollanalysevorrichtung, informationsverarbeitungsverfahren und programm |
US9154502B2 (en) | 2013-01-31 | 2015-10-06 | Google Inc. | Accessing objects in hosted storage |
US9130901B2 (en) | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9407519B2 (en) | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
US9338134B2 (en) | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
US8739243B1 (en) | 2013-04-18 | 2014-05-27 | Phantom Technologies, Inc. | Selectively performing man in the middle decryption |
KR101394424B1 (ko) | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
US9021575B2 (en) | 2013-05-08 | 2015-04-28 | Iboss, Inc. | Selectively performing man in the middle decryption |
US9419942B1 (en) | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
US20150033336A1 (en) | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
US9634911B2 (en) | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
DE102013216847B4 (de) | 2013-08-23 | 2023-06-01 | Siemens Mobility GmbH | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
WO2015066604A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US9886581B2 (en) | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
US20150256431A1 (en) | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
US9462008B2 (en) | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
US20150350229A1 (en) | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
US20160191558A1 (en) | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
US9306818B2 (en) | 2014-07-17 | 2016-04-05 | Cellos Software Ltd | Method for calculating statistic data of traffic flows in data network and probe thereof |
US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
US9531672B1 (en) | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
CN106170772B (zh) | 2014-10-21 | 2018-04-17 | 铁网网络安全股份有限公司 | 网络安全系统 |
US20160119365A1 (en) | 2014-10-28 | 2016-04-28 | Comsec Consulting Ltd. | System and method for a cyber intelligence hub |
US20160127417A1 (en) | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
US10484405B2 (en) | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
US10764162B2 (en) | 2015-03-25 | 2020-09-01 | Gigamon Inc. | In-fabric traffic analysis |
US9667656B2 (en) | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US20170223034A1 (en) | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Classifying an email as malicious |
US11044270B2 (en) | 2016-03-15 | 2021-06-22 | Carbon Black, Inc. | Using private threat intelligence in public cloud |
-
2013
- 2013-03-12 US US13/795,822 patent/US9124552B2/en not_active Expired - Fee Related
-
2014
- 2014-03-11 DE DE202014011510.9U patent/DE202014011510U1/de not_active Expired - Lifetime
- 2014-03-11 AU AU2014249055A patent/AU2014249055B2/en active Active
- 2014-03-11 EP EP14719415.3A patent/EP2974212B1/de active Active
- 2014-03-11 CA CA2902158A patent/CA2902158C/en active Active
- 2014-03-11 EP EP20195362.7A patent/EP3767921A1/de active Pending
- 2014-03-11 WO PCT/US2014/023286 patent/WO2014164713A1/en active Application Filing
- 2014-03-11 DE DE202014011424.2U patent/DE202014011424U1/de not_active Expired - Lifetime
-
2015
- 2015-02-18 US US14/625,486 patent/US9686193B2/en active Active
- 2015-05-03 US US14/702,755 patent/US9160713B2/en active Active
-
2017
- 2017-06-06 US US15/614,956 patent/US10567343B2/en active Active
-
2019
- 2019-06-21 US US16/448,997 patent/US10505898B2/en active Active
-
2020
- 2020-02-14 US US16/791,044 patent/US10735380B2/en active Active
- 2020-08-03 US US16/945,981 patent/US11012415B2/en active Active
-
2021
- 2021-05-03 US US17/246,854 patent/US11418487B2/en active Active
-
2022
- 2022-07-01 US US17/856,038 patent/US20220353243A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
EP2974212B1 (de) | 2020-09-23 |
US10505898B2 (en) | 2019-12-10 |
US20190312845A1 (en) | 2019-10-10 |
US11012415B2 (en) | 2021-05-18 |
DE202014011510U1 (de) | 2021-07-20 |
EP2974212A1 (de) | 2016-01-20 |
US9686193B2 (en) | 2017-06-20 |
AU2014249055A1 (en) | 2015-09-03 |
US11418487B2 (en) | 2022-08-16 |
US20160072709A1 (en) | 2016-03-10 |
AU2014249055B2 (en) | 2016-10-27 |
CA2902158C (en) | 2019-04-09 |
US20150237012A1 (en) | 2015-08-20 |
US20220353243A1 (en) | 2022-11-03 |
US10567343B2 (en) | 2020-02-18 |
US9160713B2 (en) | 2015-10-13 |
US20200186498A1 (en) | 2020-06-11 |
US20200366647A1 (en) | 2020-11-19 |
EP3767921A1 (de) | 2021-01-20 |
US20180123955A1 (en) | 2018-05-03 |
US20210258285A1 (en) | 2021-08-19 |
CA2902158A1 (en) | 2014-10-09 |
US10735380B2 (en) | 2020-08-04 |
US20140283004A1 (en) | 2014-09-18 |
WO2014164713A1 (en) | 2014-10-09 |
US9124552B2 (en) | 2015-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE202014011424U1 (de) | Filtern von Netzwerkdatenübertragungen | |
DE202016008885U1 (de) | Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen | |
DE10249888B4 (de) | Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium | |
DE60111089T2 (de) | Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls | |
DE60312235T2 (de) | Verfahren und system zur eindringverhinderung und ablenkung | |
DE102016124383B4 (de) | Computersystem-Architektur sowie Computernetz-Infrastruktur, umfassend eine Mehrzahl von solchen Computersystem-Architekturen | |
Gautam et al. | Experimental security analysis of SDN network by using packet sniffing and spoofing technique on POX and Ryu controller | |
EP1464150B1 (de) | Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern | |
WO2007039357A1 (de) | Netzwerkzugangsknotenrechner zu einem kommunikationsnetzwerk, kommunikationssystem und verfahren zum betreiben eines kommunikationssystems | |
DE102016100692A1 (de) | Netzwerkschutzentität und Verfahren zum Schutz eines Kommunikationsnetzwerks gegen betrügerische Nachrichten | |
DE202023100576U1 (de) | Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk | |
DE102014109906A1 (de) | Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
DE102015016832B4 (de) | Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem | |
DE102015016715A1 (de) | Vorrichtung und Verfahren zum Weiterleiten von Datenpaketen | |
DE202022107267U1 (de) | Ein anpassungsfähiges Netzstabilisierungssystem auf der Grundlage der von der Natur inspirierten Cybersicherheit | |
Hoherz et al. | Intrusion Detection Systeme in Firewalls | |
Kadhim et al. | Design and Implementation of a Proposal Network Firewall |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R207 | Utility model specification | ||
R082 | Change of representative |
Representative=s name: PIOTROWICZ, PAWEL JAN ANDRZEJ, DR., GB Representative=s name: MFG PATENTANWAELTE MEYER-WILDHAGEN MEGGLE-FREU, DE |
|
R082 | Change of representative |
Representative=s name: MFG PATENTANWAELTE MEYER-WILDHAGEN MEGGLE-FREU, DE |
|
R082 | Change of representative |
Representative=s name: MFG PATENTANWAELTE MEYER-WILDHAGEN MEGGLE-FREU, DE |
|
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0029060000 Ipc: H04L0065000000 |
|
R152 | Utility model maintained after payment of third maintenance fee after eight years | ||
R081 | Change of applicant/patentee |
Owner name: CENTRIPETAL LTD., IE Free format text: FORMER OWNER: CENTRIPETAL NETWORKS, INC., LEESBURG, VA, US |
|
R071 | Expiry of right |