DE202014011510U1 - Filtern von Netzwerkdatenübertragungen - Google Patents

Filtern von Netzwerkdatenübertragungen Download PDF

Info

Publication number
DE202014011510U1
DE202014011510U1 DE202014011510.9U DE202014011510U DE202014011510U1 DE 202014011510 U1 DE202014011510 U1 DE 202014011510U1 DE 202014011510 U DE202014011510 U DE 202014011510U DE 202014011510 U1 DE202014011510 U1 DE 202014011510U1
Authority
DE
Germany
Prior art keywords
packets
network
packet
data
data transmission
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE202014011510.9U
Other languages
English (en)
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Centripetal Ltd Ie
Original Assignee
Centripetal Networks LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=50549418&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE202014011510(U1) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Centripetal Networks LLC filed Critical Centripetal Networks LLC
Publication of DE202014011510U1 publication Critical patent/DE202014011510U1/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/74Address processing for routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

System, das umfasst:
wenigstens einen Prozessor; und
einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen:
Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen;
in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist:
Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und
Fallenlassen jedes Paket im ersten Teil von Paketen; und
in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist:
Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder der mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und
Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.

Description

  • In Übereinstimmung mit den Bestimmungen des Gebrauchsmustergesetzes sind nur Vorrichtungen, wie sie in den anliegenden Schutzansprüchen definiert sind, geschützt und vom Gebrauchsmuster abgedeckt, nicht jedoch Verfahren. Soweit in der nachstehenden Beschreibung gegebenenfalls auf Verfahren Bezug genommen wird, dienen diese Hinweise nur zur exemplarischen Erläuterung der mit den anliegenden Schutzansprüchen geschützten Vorrichtung(en). Insbesondere können diese Verfahren in engem Zusammenhang mit den geschützten Vorrichtungen (z.B. Systemen oder computerlesbare Medien) stehen, zum Beispiel dergestalt, dass die geschützten Vorrichtungen derart ausgelegt sind, dass sie die Verfahren durchführen oder Befehle auf ihnen gespeichert sind, die, wenn sie von einem Computersystem ausgeführt werden, das Computersystem veranlassen, das Verfahren durchzuführen.
  • QUERVERWEIS AUF VERWANDTE ANMELDUNG
  • Dieses Gebrauchsmuster beansprucht die Priorität der US-Patentanmeldung mit der Seriennummer 13/795,822 , eingereicht am 12. März 2013 unter dem Titel „FILTERING NETWORK DATA TRANSFERS“ (Filtern von Netzwerkdatenübertragungen), deren Offenbarung hier in ihrer Gesamtheit durch Bezugnahme eingeschlossen und Bestandteil davon ist.
  • HINTERGRUND
  • Die TCP/IP-Netzwerkprotokolle (z.B. das Transmission Control Protocol (TCP) und das Internet Protocol (IP)) wurden zum Aufbauen großer, belastbarer, zuverlässiger und robuster Netzwerke konzipiert. Solche Protokolle wurden jedoch ursprünglich nicht im Hinblick auf Sicherheit konzipiert. Spätere Entwicklungen haben solche Protokolle erweitert, um sichere Kommunikation zwischen Peers (z.B. Internet Protocol Security (IPsec)) bereitzustellen, aber die Netzwerke selbst bleiben anfällig für Angriffe (z.B. DDoS-(Distributed Denial-of-Service)-Angriffe, Phishing-Angriffe und dergleichen).
  • Eine als Exfiltration bekannte Cyberangriffskategorie (z.B. Stehlen empfindlicher Daten oder Zugangsdaten über das Internet) hat sich als für herkömmliche Cyberabwehrsysteme besonders schwer zu verhindern erwiesen. Eine erste Ursache ist, dass viele Exfiltrationen durch die Nutzung gängiger Netzwerkdatenübertragungsprotokolle wie das vom World Wide Web benutzte Hypertext Transfer Protocol (HTTP) erleichtert werden, die für einen Beobachter (z.B. einem herkömmlichen Cyberabwehrsystem) oft wie normales Netzwerkverhalten aussehen. Eine zweite Ursache ist, dass typische Netzwerk-Trust-Modelle, wie die von Netzwerk-Firewalls benutzten, Exfiltrationen als vertrauenswürdige Operationen interpretieren. Eine dritte Ursache ist, dass sich menschliche Benutzer häufig wissentlich oder unwissentlich an Netzwerkaktivitäten beteiligen, die für Angriffe anfällig sind. Eine vierte Ursache ist die allgemeine Unfähigkeit herkömmlicher Cyberabwehrsysteme, sich ausreichend zu skalieren, um einer Cyberbedrohung zu begegnen; zum Beispiel in Bezug auf Verkehrsvolumen, Netzwerkverbindungsgeschwindigkeiten, Netzwerkleistung (z.B. Latenz- und Paketverlustanforderungen), Durchsetzung von Netzwerknutzungsrichtlinien usw. Demgemäß nutzen viele Cyberangriffe (z.B. DDoS-Angriffe und Exfiltrationen) die Eigenschaften des Internets, um ihre Ziele zu erreichen. Darüber hinaus gibt es, über die hier aufgezählten hinaus, noch andere Ursachen für das Versagen herkömmlicher Cyberabwehrsysteme des Standes der Technik, Cyberangriffe wie Exfiltrationen zu verhindern.
  • KURZFASSUNG
  • Es folgt eine vereinfachte Zusammenfassung, um ein Grundverständnis für einige Aspekte der Offenbarung bereitzustellen. Es ist weder beabsichtigt, wesentliche oder entscheidende Elemente der Offenbarung zu identifizieren, noch den Umfang der Offenbarung zu begrenzen. Die nachfolgende Zusammenfassung präsentiert lediglich einige Konzepte in einer vereinfachten Form als eine Einleitung zu der nachfolgenden ausführlichen Beschreibung.
  • Aspekte dieser Offenbarung beziehen sich auf ein Filtern von Netzwerkdatenübertragungen. In einigen Variationen können mehrere Pakete empfangen werden. Es kann festgestellt werden, dass ein Teil der Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel haben. In Reaktion auf eine solche Feststellung kann ein durch die Paketfilterungsregel vorgegebener Operator auf den Teil von Paketen angewendet werden, deren Paket-Header-Feldwerte der Paketfilterungsregel entsprechen. Es kann ferner festgestellt werden, dass eines oder mehrere aus dem Teil der Pakete einen oder mehrere Anwendungs-Header-Feldwerte haben, die einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. In Reaktion auf eine solche Feststellung kann wenigstens eine durch den Operator vorgegebene Pakettransformationsfunktion auf das eine oder die mehreren aus dem Teil der Pakete angewendet werden.
  • In einigen Ausführungsformen kann sich ein Netzwerkpaketfilter an einer Grenze zwischen einem gesicherten Netzwerk und einem ungesicherten Netzwerk (z.B. dem Internet) befinden. Das Filter kann Pakete beobachten, die die Netzwerkverbindung zwischen dem gesicherten Netzwerk und dem ungesicherten Netzwerk überqueren. Das Filter kann möglicherweise bestimmte Paket-Header-Informationen (z.B. Quell- und Ziel-IP-Adresse(n), Quell- und Zielport(s) und Protokolltyp(en)) mit einer oder mehreren Paketfilterungsregeln vergleichen, die eine Netzwerknutzungsrichtlinie oder eine Netzwerksicherheitsrichtlinie definieren können. Eine oder mehrere der Regeln können mit einem Operator assoziiert sein, der auf ein Paket angewendet werden kann, das ein oder mehrere durch die Regel vorgegebene Kriterien erfüllt.
  • Solche Paketfilter können wenigstens zwei Operatoren implementieren: einen Identitätsoperator, der es dem Paket erlauben kann, in Richtung seines Ziels fortzufahren, und einen Nulloperator, der verhindern oder blockieren kann, dass das Paket in Richtung seines Ziels fortfährt. In einigen Ausführungsformen kann das Netzwerkpaketfilter einen oder mehrere zusätzliche Operatoren mit der Fähigkeit implementieren festzustellen, ob ein Paket einen Header auf Anwendungsebene enthält, der ein bestimmtes mit einem Datenübertragungsprotokoll assoziiertes Verfahren vorgibt; und falls ja, ob ein Identitätsoperator oder ein Nulloperator auf das Paket angewendet werden soll. Zum Unterscheiden eines Netzwerkpaketfilters, das die genannten zusätzlichen Operatoren implementiert, von Netzwerkpaketfiltern, die es nicht tun, wird ein Netzwerkpaketfilter, das solche zusätzlichen Operatoren implementiert, nachfolgend als Packet Security Gateway (PSG) bezeichnet.
  • Zum Beispiel kann ein solcher Operator in der Lage sein, eine oder mehrere der folgenden Funktionen auszuführen: (1) Feststellen, ob ein eine Grenze überquerendes IP-Paket ein HTTP-Paket enthält (z.B. ein HTTP-Paket auf Anwendungsebene), das ein oder mehrere spezifische HTTP-Verfahren (z.B. GET, PUT, POST usw.) vorgibt, und (2) Erlauben bzw. Zulassen des Pakets (z.B. falls ein GET-Verfahren vorgegeben wird) oder Blockieren des Pakets (z.B. falls ein PUT- oder POST-Verfahren vorgegeben wird). Ein oder mehrere Administratoren des gesicherten Netzwerks können einen solchen Operator mit einer oder mehreren Regeln in einer Netzwerksicherheitsrichtlinie assoziieren, um über das PSG eine Webnutzungsrichtlinie durchzusetzen, die es beispielsweise Benutzern erlauben kann, auf einer oder mehreren an das Internet angeschlossenen Websites zu surfen (z.B. GET), die aber verhindern können, dass ein oder mehrere solche Benutzer auf einer oder mehreren Websites Datendateien schreiben (z.B. PUT) und/oder Formulare posten (z.B. POST). Zum Beispiel können ein oder mehrere Administratoren solche Funktionalität nutzen, um eine oder mehrere Exfiltrationen (z.B. Dateiübertragungen, die empfindliche Informationen enthalten, Posten von Anmeldedaten (Benutzernamen und Passwörter) usw.) zu Netzwerkknoten (z.B. Websites) zu verhindern, denen sie möglicherweise nicht vertrauen.
  • Weitere Einzelheiten und Merkmale werden in den nachfolgenden Abschnitten beschrieben.
  • Figurenliste
  • Die vorliegende Offenbarung wird insbesondere in den beiliegenden Schutzansprüchen dargelegt. Merkmale der Offenbarung werden nach einem Studium der vorliegenden Offenbarung in ihrer Gesamtheit, einschließlich der beiliegenden Zeichnungsfiguren, offenkundiger.
  • Einige Merkmale hier werden beispielhaft und nicht zur Begrenzung in den Figuren der Begleitzeichnungen illustriert, in denen sich gleiche Bezugsziffern auf ähnliche Elemente beziehen.
    • 1 veranschaulicht eine beispielhafte Netzwerkumgebung, in der ein oder mehrere Aspekte der Offenbarung implementiert werden können.
    • 2 veranschaulicht ein beispielhaftes PaketSicherheits-Gateway.
    • 3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie mit Operatoren, die Datenübertragungsprotokoll- oder Anwendungsschichtprotokoll-Header-Informationen filtern.
    • 4 veranschaulicht ein beispielhaftes Verfahren zum Schützen eines gesicherten Netzwerks durch Durchsetzen von einer oder mehreren Netzwerknutzungsrichtlinien oder Netzwerksicherheitsrichtlinien.
  • AUSFÜHRLICHE BESCHREIBUNG
  • In der nachfolgenden Beschreibung von verschiedenen veranschaulichenden Ausführungsformen wird auf die Begleitzeichnungen Bezug genommen, die Bestandteil davon bilden und in denen durch Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung praktiziert werden können. Es versteht sich, dass auch andere Ausführungsformen benutzt und strukturelle und funktionelle Modifikationen vorgenommen werden können, ohne vom Umfang der vorliegenden Offenbarung abzuweichen.
  • Verschiedene Verbindungen zwischen Elementen werden in der nachfolgenden Beschreibung erörtert. Diese Verbindungen sind allgemein und können, falls nichts anderes angegeben ist, direkt oder indirekt, drahtgebunden oder drahtlos, physisch oder logisch sein. In dieser Hinsicht soll die Spezifikation nicht einschränkend sein.
  • 1 veranschaulicht eine beispielhafte Netzwerkumgebung 100, in der ein oder mehrere Aspekte der Offenbarung implementiert werden können. Mit Bezug auf 1 kann Netzwerk 102 als Verbindung zwischen Netzwerken 104, 106 und 108 fungieren. Zum Beispiel kann Netzwerk 102 das öffentliche Internet oder ein anderes großes TCP/IP-Netzwerk sein, das als Verbindung zwischen einem oder mehreren lokalen Netzwerken (LANs) oder Weitbereichsnetzen (WANs) fungiert (z.B. das Non-classified Internet Protocol (IP) Router Network (NIPRNet), betrieben von der United States Defense Information Systems Agency (DISA)). Netzwerke 104, 106 und 108 können LANs oder WANs sein, die von verschiedenen Organisationen (z.B. einem oder mehreren Wirtschaftsunternehmen, Firmen, Universitäten, Militärdienststellen, Regierungsbehörden oder cyberkriminellen Organisationen) betrieben werden oder anderweitig damit assoziiert sein können.
  • Zum Beispiel kann ein geografisch verteiltes Wirtschaftsunternehmen X Besitzer und Betreiber der Netzwerke 104 und 106 sein und Netzwerk 102 (z.B. das Internet) zum Verbinden von Netzwerken 104 und 106 und zum Zugreifen auf andere an das Netzwerk 102 angeschlossene Netzwerke (z.B. andere Netzwerke, deren Besitzer oder Betreiber nicht das Unternehmen X ist) benutzen. Ein oder mehrere Computervorrichtungen (z.B. Workstations, Server usw.) von Unternehmen X können an Netzwerk 104 oder 106 angeschlossen werden. Netzwerk 108 kann einer cyberkriminellen Organisation Z gehören und von ihr betrieben werden, die versuchen kann, Informationen (z.B. empfindliche Daten) von Unternehmen X beispielsweise über das Netzwerk 102 zu stehlen. Mitglieder von Organisation Z können ein oder mehrere Computervorrichtungen (z.B. Workstations oder Server) an das Netzwerk 108 anschließen und können diese Workstation(s) oder Server zum Angreifen auf oder Sammeln von Daten von einem oder mehreren an Unternehmen X angegliederten Netzwerken (z.B. Netzwerk 104 oder 106) benutzen.
  • Wie hier verwendet, kann ein Packet Security Gateway (PSG) ein oder mehrere Computervorrichtungen umfassen, die zum Empfangen von Paketen und zum Anwenden von einem oder mehreren Filtern oder Operatoren, einschließlich eines Identitäts- (z.B. Erlauben bzw. Zulassen) oder Null-(z.B. Blockieren) Operators, auf die Pakete konfiguriert sind. In einigen Ausführungsformen kann ein Packet Security Gateway zum Anwenden von einem oder mehreren zusätzlichen Operatoren, wie hier beschrieben, konfiguriert sein. Wie hier verwendet, kann ein Sicherheitsrichtlinien-Managementserver ein oder mehrere Computervorrichtungen umfassen, die zum Übermitteln einer dynamischen Sicherheitsrichtlinie an ein Packet Security Gateway konfiguriert sind. In einigen Ausführungsformen kann ein Sicherheitsrichtlinien-Managementserver zum Durchführen von einer oder mehreren zusätzlichen Funktionen wie hier beschrieben konfiguriert sein. Wie hier verwendet, kann eine dynamische Sicherheitsrichtlinie eine oder mehrere Regeln, Nachrichten, Befehle, Dateien, Datenstrukturen oder dergleichen umfassen, die Kriterien vorgeben, die einem oder mehreren Paketen entsprechen, und kann einen oder mehrere Operatoren zur Anwendung auf Pakete entsprechend den vorgegebenen Kriterien identifizieren. In einigen Ausführungsformen kann eine dynamische Sicherheitsrichtlinie einen oder mehrere zusätzliche Parameter wie hier beschrieben vorgeben.
  • Netzwerkumgebung 100 kann ein oder mehrere Packet Security Gateways sowie einen oder mehrere Sicherheitsrichtlinien-Managementserver umfassen. Zum Beispiel kann die Netzwerkumgebung 100 Packet Security Gateways 110 und 112 sowie einen Sicherheitsrichtlinien-Managementserver 114 umfassen. Ein oder mehrere Sicherheitsrichtlinien-Managementserver können mit einem geschützten Netzwerk assoziiert sein. Zum Beispiel können Netzwerke 104 und 106 jeweils separate LANs sein, die mit einem gemeinsamen Unternehmen X assoziiert sind, und können jeweils Bestandteil eines geschützten oder gesicherten Netzwerks bilden, das mit dem Sicherheitsrichtlinien-Managementserver 114 assoziiert ist. Unternehmen X möchte möglicherweise Cyberangriffe (z.B. Exfiltrationen) aus einem oder mehreren seiner Netzwerke (z.B. Netzwerk 104 oder 106) verhüten. Demgemäß kann es ein oder mehrere Packet Security Gateways an jeder Grenze zwischen seinen Netzwerken und einem oder mehreren öffentlichen Verbindungsnetzwerken (z.B. Netzwerk 102) positionieren, die von einem Cyberkriminellen wie Organisation Z benutzt werden können, um zu versuchen, aus der Ferne auf seine Netzwerke (z.B. Netzwerk 104 oder 106) zuzugreifen, und die zum Beispiel potentiell benutzt werden können, um eine Übertragung von Daten von einem oder mehreren seiner Netzwerke (z.B. Netzwerk 104 oder 106) auf ein oder mehrere an die Organisation Z angegliederte Netzwerke (z.B. Netzwerk 108) zu versuchen. Zum Beispiel kann das Packet Security Gateway 110 Netzwerk 104 vor einem oder mehreren Cyberangriffen (z.B. Exfiltrationen) schützen, die vom Netzwerk 102 (z.B. dem Internet) vermittelt werden, und Packet Security Gateway 112 kann das Netzwerk 106 vor einem oder mehreren von Netzwerk 102 vermittelten Cyberangriffen (z.B. Exfiltrationen) schützen.
  • Wie nachfolgend ausführlicher beschrieben wird, kann jedes von, mit einem Sicherheitsrichtlinien-Managementserver assoziierten, ein oder mehreren Packet Security Gateways konfiguriert sein zum Empfangen einer dynamischen Sicherheitsrichtlinie aus einem Sicherheitsrichtlinien-Managementserver, zum Empfangen von Paketen, die mit einem vom Packet Security Gateway geschützten Netzwerk assoziiert sind, und zum Durchführen von einer oder mehreren durch die dynamische Sicherheitsrichtlinie vorgegebenen Operationen an den Paketen. Zum Beispiel kann jedes der Packet Security Gateways 110 und 112 zum Empfangen einer dynamischen Sicherheitsrichtlinie aus Sicherheitsrichtlinien-Managementserver 114 konfiguriert sein. Jedes der Packet Security Gateways 110 und 112 kann auch zum Empfangen von mit Netzwerken 104, 106 oder 108 assoziierten Paketen konfiguriert sein. Jedes der Packet Security Gateways 110 und 112 kann ferner konfiguriert sein zum Anwenden einer oder mehrerer Regeln oder Operatoren, die von der aus Sicherheitsrichtlinien-Managementserver 114 empfangenen dynamischen Sicherheitsrichtlinie vorgegeben werden, auf mit den Netzwerken 104, 106 oder 108 assoziierte Pakete.
  • 2 veranschaulicht ein beispielhaftes Packet Security Gateway gemäß einem oder mehreren Aspekten der Offenbarung. Mit Bezug auf 2 kann, wie oben angedeutet, sich ein Packet Security Gateway 110 an einer Netzwerkgrenze 202 zwischen Netzwerken 104 und 102 befinden. Das Packet Security Gateway 110 kann einen oder mehrere Prozessoren 204, Speicher 206, Netzwerkschnittstellen 208 und 210, Paketfilter 212 und eine Managementschnittstelle 214 beinhalten. Der eine oder die mehreren Prozessoren 204, der Speicher 206, die Netzwerkschnittstellen 208 und 210, das Paketfilter 212 und die Managementschnittstelle 214 können über Datenbus 216 miteinander verbunden werden. Netzwerkschnittstelle 208 kann das Packet Security Gateway 110 mit dem Netzwerk 104 verbinden. Ebenso kann die Netzwerkschnittstelle 210 das Packet Security Gateway 110 mit dem Netzwerk 102 verbinden. Der Speicher 206 kann ein oder mehrere Programmmodule beinhalten, die bei Ausführung durch die ein oder mehreren Prozessoren 204 das Packet Security Gateway 110 zum Durchführen von einer oder mehreren von verschiedenen hier beschriebenen Funktionen konfigurieren können.
  • Das Packet Security Gateway 110 kann zum Empfangen einer dynamischen Sicherheitsrichtlinie aus dem Sicherheitsrichtlinien-Managementserver 114 konfiguriert sein. Zum Beispiel kann das Packet Security Gateway 110 eine dynamische Sicherheitsrichtlinie 218 aus dem Sicherheitsrichtlinien-Managementserver 114 über die Managementschnittstelle 214 (z.B. über bandexterne Signalisierung) oder über die Netzwerkschnittstelle 208 (z.B. über bandinterne Signalisierung) empfangen. Das Packet Security Gateway 110 kann ein oder mehrere Paketfilter oder Paketdiskriminatoren oder Logik zum Implementieren von einem oder mehreren Paketfiltern oder Paketdiskriminatoren umfassen. Zum Beispiel kann Packet Security Gateway 110 das Paketfilter 212 umfassen, das zum Untersuchen von Informationen, die mit vom Packet Security Gateway 110 empfangenen Paketen assoziiert sind, und zum Weiterleiten solcher Pakete zu einem oder mehreren der Operatoren 220, 222 oder 224 auf der Basis der untersuchten Informationen konfiguriert sein kann. Zum Beispiel kann das Paketfilter 212 Informationen untersuchen, die mit vom Packet Security Gateway 110 empfangenen Paketen assoziiert sind (z.B. Pakete, die aus Netzwerk 104 über die Netzwerkschnittstelle 208 empfangen werden), und die Pakete zu einem oder mehreren Operatoren 220, 222 oder 224 auf der Basis der untersuchten Informationen weiterleiten.
  • Wie nachfolgend ausführlicher beschrieben wird, kann die dynamische Sicherheitsrichtlinie 218 eine oder mehrere Regeln umfassen und die Konfiguration des Paketfilters 212 kann auf einer oder mehreren der in der dynamischen Sicherheitsrichtlinie 218 enthaltenen Regeln basieren. Zum Beispiel kann die dynamische Sicherheitsrichtlinie 218 eine oder mehrere Regeln umfassen, die vorgeben, dass Pakete mit vorgegebenen Informationen zum Operator 220 weitergeleitet werden sollen, dass Pakete mit anderen vorgegebenen Informationen zum Operator 222 weitergeleitet werden sollen und dass alle anderen Pakete zum Operator 224 weitergeleitet werden sollen. Operatoren 220, 222 und 224 können zum Durchführen einer oder mehreren Funktionen an Paketen konfiguriert sein, die sie vom Paketfilter 212 erhalten. Zum Beispiel können ein oder mehrere der Operatoren 220, 222 und 224 zum Weiterleiten von vom Paketfilter 212 empfangenen Paketen in das Netzwerk 102, zum Weiterleiten von vom Paketfilter 212 empfangenen Paketen zu einem IPsec-Stapel (nicht veranschaulicht) mit einer IPsec-Sicherheitsassoziation entsprechend den Paketen oder zum Fallenlassen von vom Paketfilter 212 empfangenen Paketen konfiguriert sein. In einigen Ausführungsformen können ein oder mehrere Operatoren 220, 222 oder 224 zum Fallenlassen von Paketen durch Senden der Pakete zu einer lokalen „unendlichen Senke“ (infinite sink) (z.B. der /dev/null-Gerätedatei in einem UNIX/LINUX-System) konfiguriert sein.
  • 3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie gemäß einer oder mehreren Ausführungsformen. Mit Bezug auf 3 kann die dynamische Sicherheitsrichtlinie 218 Regeln 1 302, 2 304, 3 306, 4 308, 5 310, 6 312 und 7 314 umfassen. Jede dieser Regeln kann Kriterien und einen oder mehrere Operatoren vorgeben, die auf Pakete angewendet werden können, die mit den vorgegebenen Kriterien assoziiert sind (z.B. damit übereinstimmen). Die vorgegebenen Kriterien können die Form eines Fünf-Tupels haben, das beispielsweise einen oder mehrere Werte umfassen kann, die aus Paket-Header-Informationen ausgewählt sind, unter Vorgabe eines Protokolltyps des Datenteils eines IP-Pakets (z.B. TCP, User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) oder einem oder mehreren anderen Protokollen), einer oder mehreren Quell-IP-Adressen, einem oder mehreren Quell-Port-Werten, einer oder mehreren Ziel-IP-Adressen und einem oder mehreren Zielports.
  • Zum Beispiel kann Regel 1 302 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port 22 (z.B. mit dem Secure Shell (SSH) Protocol assoziiert), ein ALLOW-Operator (z.B. ein Identitätsoperator) angewendet werden soll. Ebenso kann Regel 2 304 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port 25 (z.B. mit dem Simple Mail Transfer Protocol (SMTP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll.
  • Regel 3 306 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port 110 (z.B. mit Post Office Protocol Version 3 (POP3) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll.
  • Regel 4 308 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port 143 (z.B. mit dem Internet Message Access Protocol (IMAP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll.
  • Regel 5 310 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port 443 (z.B. mit dem Port für das Hypertext Transfer Protocol Secure (HTTPS) Protokoll assoziiert), ein vorgegebener TLS-(Transport Layer Security)-Protokoll (z.B. REQUIRE-TLS 1.1-1.2) Operator (wie nachfolgend ausführlicher beschrieben) angewendet werden soll.
  • Regel 7 314 kann eine „Platzhalter“-Regel sein und kann einen BLOCK-Operator (z.B. einen Nulloperator, der Pakete „fallenlässt“, auf die er angewendet wird) auf Pakete anwenden, die nicht die Kriterien von beliebigen der Regeln 1 302, 2 304, 3 306, 4 308, 5 310 oder 6 312 erfüllen (z.B. wenn Regeln 1 302, 2 304, 3 306, 4 308, 5 310, 6 312 und 7 314 auf lineare Weise auf Pakete angewendet werden).
  • Wie oben mit Bezug auf 1 beschrieben, können die Netzwerke 104 und 106 dem Unternehmen X gehören oder von ihm betrieben werden. Das Unternehmen X kann IPv4-Adressen 140.210.0.0/16 dem Netzwerk 104 und IPv4-Adressen 140.212.0.0/16 dem Netzwerk 106 zugeordnet haben. Das Unternehmen X hat möglicherweise die dynamische Sicherheitsrichtlinie 218 auf das PSG 110 geladen und kann das PSG 110 zum Durchsetzen von einer oder mehreren Netzwerksicherheitsrichtlinien nutzen, die in einer oder mehreren Regeln der dynamischen Sicherheitsrichtlinie 218 ausgestaltet sind, um Netzwerkkommunikationen zwischen Netzwerken 104 und 106 zu beschränken (z.B. zum Sichern von System-Logins, E-Mail, verschlüsselten Websitzungen und dergleichen). Zum Beispiel kann Regel 1 302 auf der Basis der Standardnutzung von Ports erlauben, dass beliebige an das Netzwerk 104 angeschlossene Hosts SSH-(Secure Shell)-Sitzungen (z.B. System-Logins) mit beliebigen an das Netzwerk 106 angeschlossenen Hosts durchführen; Regel 2 304 kann es erlauben, dass beliebige an das Netzwerk 104 angeschlossene E-Mail-Server SMTP-Sitzungen (z.B. E-Mail-Übertragungssitzungen) mit beliebigen an das Netzwerk 106 angeschlossenen E-Mail-Servern durchführen; Regel 3 306 und Regel 4 308 können es jeweils erlauben, dass an das Netzwerk 104 angeschlossene E-Mail-Clients POP3- und IMAP-Sitzungen (z.B. E-Mail-Download-Sitzungen auf eine Webmail-Browser-Anwendung) mit beliebigen an das Netzwerk 106 angeschlossenen E-Mail-Servern durchführen; und Regel 5 310 kann es erlauben, dass an das Netzwerk 104 angeschlossene Web-Browser HTTPS-Sitzungen (z.B. sichere Websitzungen) mit beliebigen an das Netzwerk 106 angeschlossenen Webservern durchführen, aber, wie unten näher beschrieben wird, den REQUIRE-TLS-1.1-1.2 Operator benutzen können, um zu gewährleisten, dass nur HTTPS-sichere Websitzungen mit Version 1.1 oder 1.2 des TLS-(Transport Layer Security)-Protokolls zum Sichern solcher HTTPS-Sitzungen zugelassen werden (z.B. weil das gängige TLS Version 1.0 Protokoll eine bekannte Sicherheitsverwundbarkeit hat, die Angreifer zum Entschlüsseln von HTTPS-Sitzungen nutzen können).
  • Regel 6 312 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 200.214 beginnt, und bestimmt für Port 80 (z.B. assoziiert mit dem HTTP-Protokoll), ein HTTP-EXFIL-Operator angewendet werden soll. Wie nachfolgend ausführlicher beschrieben wird, kann ein HTTP-EXFIL-Operator HTTP-Pakete erlauben, die ein GET-Verfahren enthalten, aber HTTP-Pakete blockieren, die andere HTTP-Verfahren enthalten (z.B. PUT, POST, CONNECT usw.). Ein solcher Operator kann es somit erlauben, dass ein Web-Browser „auf dem Web surft“ (z.B. von Web-Servern gehostete Webseiten herunterlädt), aber kann verhindern, dass der Web-Browser Dateien auf einen Web-Server schreibt (z.B. mit dem PUT-Verfahren), Formulare (z.B. Formulare, die Anmeldedaten wie Benutzernamen oder Passwörter enthalten können) auf einen Web-Server postet (z.B. mit dem POST-Verfahren) oder auf andere Weise mit einem Web-Server kommuniziert (z.B. mit einem HTTP-Verfahren ausgenommen GET). Da Angreifer häufig HTTP-, PUT- oder POST-Verfahren zum Exfiltrieren empfindlicher Daten benutzen, können Operatoren wie HTTP-EXFIL zum Stoppen solcher Exfiltrationen benutzt werden.
  • Zurück zum oben beschriebenen Beispiel, Organisation Z kann Besitzer oder Betreiber des Netzwerks 108 sein und kann dem Netzwerk 108 Netzwerk-IP-Adressen 214.0.0.0/8 zugeordnet haben. Das Unternehmen X hat möglicherweise keine Geschäftsbeziehung zu Organisation Z und hält daher evtl. das Netzwerk 108 nicht für vertrauenswürdig. Während Unternehmen X einfach alle Kommunikationen zu Netzwerken blockieren könnte, deren Besitzer und Betreiber Organisationen sind, denen es nicht völlig vertraut, hätte dies wahrscheinlich zur Folge, dass Unternehmen X den Zugang zum größten Teil des Internets blockiert. Mitarbeiter von Unternehmen X könnten daher nicht frei auf dem Web surfen, was die Fähigkeit der Mitarbeiter beschränken kann, Geschäfte für Unternehmen X zu tätigen. Durch Durchsetzen von Regelsätzen ähnlich Regel 6 312, die Operatoren wie oder ähnlich HTTP-EXFIL anwenden können, kann Unternehmen X seine Mitarbeiter befähigen, frei auf dem Web zu surfen und Firmengeschäfte zu tätigen, kann aber einen oder mehrere Cyberangriffe (z.B. HTTP-vermittelte Exfiltrationen) verhüten.
  • Eine Funktion von Operatoren wie HTTP-EXFIL und REQUIRE-TLS-1.1-1.2 kann darin bestehen, Felder in den Headern von in IP-Paketen enthaltenen Anwendungspaketen zu prüfen, Feldwerte zu bestimmen und je nach den Feldwerten zu beschließen, zu erlauben, zu blockieren oder auf andere Weise (z.B. Verkapseln des Pakets in einen Tunnel, Verändern von einem oder mehreren Header-Feldwerten usw.) eine Pakettransformationsfunktion auf die Pakete anzuwenden. Die Logik für diese Funktion kann von einem oder mehreren der Operatoren 220, 222 und 224 ausgeführt werden. Die Logik kann in einer High-Level-Programmiersprache wie C entwickelt werden. Ein Beispiel für eine solche programmatische Logik, in Pseudocode geschrieben, für den HTTP-EXFIL-Operator lautet wie folgt:
  • Operator HTTP-EXFIL(ip-packet): 
          Inspect app-pkt(ip-packet) match GET return ALLOW;
          Inspect app-pkt(ip-packet) match POST return
          BLOCK;
          Inspect app-pkt(ip-packet) match PUT return BLOCK;
          Inspect app-pkt(ip-packet) match DELETE return
          BLOCK;
          Inspect app-pkt(ip-packet) match CONNECT return
          BLOCK;
          Return BLOCK;
       End Operator HTTP-EXFIL;
  • Mit Bezug auf das obige Beispiel kann der Operator HTTP-EXFIL als Eingabe ein IP-Paket akzeptieren, das eine Regel erfüllt, wie Regel 6 312 der dynamischen Sicherheitsrichtlinie 218. Falls das in dem IP-Paket enthaltene Anwendungspaket ein HTTP-Paket ist, dann kann der Wert des HTTP-Verfahrenfelds im HTTP-Paket-Header mit den Werten verglichen werden, die die Verfahren GET, POST, PUT, DELETE und CONNECT codieren. Falls eine Übereinstimmung gefunden wird, dann kann der HTTP-EXFIL-Operator ALLOW oder BLOCK zurückgeben, je nach Verfahrenswert. Falls keine Übereinstimmung gefunden wird, dann kann der HTTP-EXFIL-Operator BLOCK zurückgeben.
  • Es wird nachfolgend ein Beispiel für Programmierlogik, in Pseudocode geschrieben, für einen REQUIRE-TLS-1.1-1.2 Operator gegeben. Der REQUIRE-TLS-1.1-1.2 Operator kann mit Filterregeln für HTTPS-Sitzungen wie Regel 5 310 der dynamischen Sicherheitsrichtlinie 218 assoziiert sein. HTTPS kann zum Verschlüsseln von HTTP-Sitzungen benutzt werden. HTTPS ist kein Protokoll an sich, sondern eher das Ergebnis der Schichtung des HTTP-Protokolls auf das TLS-Protokoll. Für eine HTTPS-Sitzung bestehend aus IP-Paketen können die in den IP-Paketen enthaltenen Anwendungspakete TLS Record Protocol Pakete sein. Die Header-Felder von TLS Record Protocol Paketen sind evtl. nicht verschlüsselt. Eines der Header-Felder kann einen Wert enthalten, der die TLS-Version anzeigt.
  • Beispielhafte programmatische Logik für einen in Pseudocode geschriebenen REQUIRE-TLS-1.1-1.2 Operator lautet wie folgt:
  • Operator REQUIRE-TLS-1.1-1.2(ip-packet): 
    •           Inspect app-pkt(ip-packet) match 1.0 return BLOCK;
          Inspect app-pkt(ip-packet) match 1.1 return ALLOW; 



          Inspect app-pkt(ip-packet) match 1.2 return ALLOW;
              Return BLOCK;
       End Operator REQUIRE-TLS-1.1-1.2
  • Mit Bezug auf das obige Beispiel kann der Operator REQUIRE-TLS-1.1-1.2 als Eingabe ein IP-Paket akzeptieren, das eine Regel wie Regel 5 310 der dynamischen Sicherheitsrichtlinie 218 erfüllt. Falls das in dem IP-Paket enthaltene Anwendungspaket ein TLS Record Protocol Paket ist, dann kann der Wert des Versionsfelds im TLS Record Protocol Paket-Header mit den Werten verglichen werden, die Versionsnummern 1.0, 1.1 und 1.2 codieren. Falls eine Übereinstimmung gefunden wird, dann kann der REQUIRE-TLS-1.1-1.2 Operator ALLOW oder BLOCK zurückgeben, je nach dem Versionsnummernwert. Falls keine Übereinstimmung gefunden wird, dann kann der REQUIRE-TLS-1.1-1.2 Operator BLOCK zurückgeben.
  • Der hier beschriebene Filterprozess kann so angesehen werden, dass er zwei (2) Stufen hat: eine erste Stufe, in der die „5-Tupel“ von IP-Paket-Header-Feldwerten und Transportprotokoll-(z.B. TCP, UDP usw.)-Paket-Header-Feldwerten gefiltert werden können; und eine zweite Stufe, in der Anwendungspaket-Header-Feldwerte gefiltert werden können (z.B. durch Anwenden von Operator-Logik ähnlich der oben beschriebenen). Konzeptionell kann die erste Stufe feststellen, ob die Netzwerkrichtlinie Kommunikationen zwischen den in der 5-Tupel-Regel identifizierten Ressourcen erlaubt; falls ja, dann kann die zweite Stufe feststellen, ob die Richtlinie das/den spezifische(n) Kommunikationsverfahren oder -typ (z.B. Datei lesen, Datei schreiben, verschlüsselte Kommunikation usw.) zwischen den Ressourcen zulässt. Ein solches Verfahren kann jedoch auch in anderen Konzeptmodellen benutzt werden.
  • Die oben beschriebenen Verfahren können modifiziert werden, um eine andere Funktionalität zu erzielen, und können auf andere Datenübertragungsprotokolle oder auf andere Anwendungsschichtprotokolle erweitert werden. Diese Verfahren können Netzwerkadministratoren Fähigkeiten zum Durchsetzen von Netzwerknutzungsrichtlinien und Netzwerksicherheitsrichtlinien verleihen, die Fähigkeiten und Funktionalitäten über die oben beschriebenen hinaus haben. Zum Beispiel können diese Verfahren Netzwerkadministratoren Fähigkeiten zum Verhindern von Exfiltrationen geben, die von anderen Datenübertragungsprotokollen neben HTTP und HTTPS vermittelt werden. Beispiele für solche Protokolle sind File Transfer Protocol (FTP) und Messaging-Protokolle wie eXtensible Messaging and Presence Protocol (XMPP). Darüber hinaus können in Zukunft neue Netzwerkanwendungen auftreten, die neue Datenübertragungsprotokolle und Anwendungsschichtprotokolle benutzen können, auf die die vorliegenden Verfahren angewendet werden können. Diese Verfahren können auch für andere Zwecke als Netzwerkrichtliniendurchsetzung und Exfiltrationsverhütung benutzt werden. Zum Beispiel können sie nützlich sein, damit ein Paketfilter rasch erkennen kann, ob ein IP-Paket ein RTP-(Real-time Transport Protocol)-Anwendungspaket enthält, das zum Liefern von Audio- oder Videoinformationen benutzt wird (z.B. falls ein Cyberangriff auf der Basis von RTP noch entdeckt werden muss, dann können Netzwerkadministratoren wählen, RTP-Pakete nicht durch die Cybersicherheitsabwehrsysteme zu verarbeiten, die möglicherweise ihre Netzwerke schützen).
  • 4 veranschaulicht ein beispielhaftes Verfahren zum Schützen eines gesicherten Netzwerks gemäß einer oder mehreren Ausführungsformen der vorliegenden Offenbarung. Die Schritte können an einem oder mehreren mit einem Sicherheitsrichtlinien-Managementserver assoziierten Packet Security Gateways durchgeführt werden. Zum Beispiel kann jedes der Packet Security Gateways 110 und 112 mit dem Sicherheitsrichtlinien-Managementserver 114 assoziiert sein und die Schritte können am Packet Security Gateway 110 oder 112 durchgeführt werden. In Schritt 400 können Pakete empfangen werden. Zum Beispiel kann das Packet Security Gateway 110 Pakete vom Netzwerk 104 über die Netzwerkschnittstelle 208 empfangen, die für das Netzwerk 106 bestimmt sind. In Schritt 402 kann festgestellt werden, ob ein Teil der empfangenen Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel haben. Zum Beispiel kann festgestellt werden, ob ein Teil der vom Netzwerk 104 empfangenen Pakete Paket-Header-Feldwerte (z.B. ein oder mehrere von einem oder mehreren Datensektionsprotokollen, eine oder mehrere Quell-IP-Adressen, ein oder mehrere Quellports, eine oder mehrere Ziel-IP-Adressen oder ein oder mehrere Zielports) entsprechend Regel 5 310 haben. In Schritt 404 kann, in Reaktion auf die Feststellung, dass ein oder mehrere des Teils von empfangenen Paketen Paket-Header-Feldwerte entsprechend der Paketfilterungsregel haben, ein von der Paketfilterungsregel vorgegebener Operator auf den Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann der durch Regel 5 310 vorgegebene REQUIRE-TLS-1.1-1.2 Operator auf den Teil der empfangenen Pakete angewendet werden.
  • In Schritt 406 kann festgestellt werden, ob ein oder mehrere Anwendungs-Header-Feldwerte von einem oder mehreren aus dem Teil der empfangenen Pakete einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. Zum Beispiel kann festgestellt werden, ob ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte entsprechend einem oder mehreren Anwendungs-Header-Feldkriterien des von Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operator haben (z.B. Anwendungs-Header-Feldwerte entsprechend TLS-Version 1.1 oder 1.2). In Schritt 408 kann in Reaktion auf die Feststellung, dass ein oder mehrere aus dem Teil von empfangenen Paketen Anwendungs-Header-Feldwerte entsprechend einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, eine durch den Operator vorgegebene Pakettransformationsfunktion auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann eine durch den REQUIRE-TLS-1.1-1.2 Operator vorgegebene ALLOW-Pakettransformationsfunktion auf die ein oder mehreren aus dem Teil der empfangenen Pakete mit Anwendungs-Header-Feldwerten entsprechend dem einem oder den mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators angewendet werden (z.B. jedes der ein oder mehreren aus dem Teil der empfangenen Pakete kann weiter in Richtung seines jeweiligen Ziels fortfahren). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. ein oder mehrere zusätzliche über die Netzwerkschnittstelle 208 empfangenen Pakete vom Netzwerk 104, bestimmt für Netzwerk 106).
  • Zurück zu Schritt 406 kann festgestellt werden, ob ein oder mehrere Anwendungs-Header-Feldwerte von einem oder mehreren aus dem Teil der empfangenen Pakete einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. Zum Beispiel kann festgestellt werden, ob ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte entsprechend einem oder mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators haben (z.B. Anwendungs-Header-Feldwerte entsprechend TLS-Version 1.1 oder 1.2). In Reaktion auf die Feststellung, dass ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte haben, die nicht einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen, können eine oder mehrere zusätzliche Paketfilterungsregeln auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann Regel 7 314 auf die ein oder mehreren aus dem Teil der empfangenen Pakete mit Anwendungs-Header-Feldwerten angewendet werden, die nicht einem oder mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators entsprechen (z.B. jedes der ein oder mehreren aus dem Teil der empfangenen Pakete kann von einem Fortfahren in Richtung seines jeweiligen Ziels blockiert werden). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. einem oder mehreren über die Netzwerkschnittstelle 208 empfangenen zusätzlichen Paketen aus Netzwerk 104, die für Netzwerk 106 bestimmt sind).
  • Zurück zu Schritt 402 kann festgestellt werden, ob ein Teil der empfangenen Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat. Zum Beispiel kann festgestellt werden, ob ein Teil der vom Netzwerk 104 empfangenen Pakete Paket-Header-Feldwerte (z.B. ein oder mehrere aus einem oder mehreren Datensektionsprotokollen, eine oder mehrere Quell-IP-Adressen, ein oder mehrere Quellports, eine oder mehrere Ziel-IP-Adressen oder ein oder mehrere Zielports) entsprechend Regel 5 310 hat. In Reaktion auf die Feststellung, dass der Teil von empfangenen Paketen Paket-Header-Feldwerte hat, die der Paketfilterungsregel nicht entsprechen, können eine oder mehrere zusätzliche Paketfilterungsregeln auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann Regel 7 314 auf den Teil von empfangenen Paketen angewendet werden, die keine Paket-Header-Feldwerte haben, die Regel 5 310 entsprechen (z.B. jedes aus dem Teil der empfangenen Pakete kann an einem Fortfahren in Richtung auf sein jeweiliges Ziel blockiert werden). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. eine oder mehrere über die Netzwerkschnittstelle 208 empfangene zusätzliche Pakete vom Netzwerk 104, die für das Netzwerk 106 bestimmt sind).
  • Die hier beschriebenen Funktionen und Schritte können in computernutzbaren Daten oder computerausführbaren Befehlen ausgestaltet werden, wie in einem oder mehreren Programmmodulen, ausgeführt von einem oder mehreren Computern oder anderen Vorrichtungen zum Durchführen von einer oder mehreren der hier beschriebenen Funktionen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben durchführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einer anderen Datenverarbeitungsvorrichtung ausgeführt werden. Die computerausführbaren Befehle können auf einem computerlesbaren Medium wie Festplatte, optische Platte, entfernbares Speichermedium, Festplattenspeicher, RAM usw. gespeichert werden. Man wird verstehen, dass die Funktionalität der Programmmodule in verschiedenen Ausführungsformen nach Bedarf kombiniert oder verteilt werden kann. Zusätzlich kann die Funktionalität ganz oder teilweise in Firmware- oder Hardware-Äquivalenten wie integrierten Schaltungen, anwendungsspezifischen integrierten Schaltungen (ASIC), feldprogrammierbaren Gate-Arrays (FPGA) und dergleichen ausgestaltet werden. Bestimmte Datenstrukturen können benutzt werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen können so angesehen werden, dass sie in den Rahmen von computerausführbaren Befehlen und computerbenutzbaren Daten wie hier beschrieben fallen.
  • Obwohl dies nicht erforderlich ist, wird die durchschnittliche Fachperson verstehen, dass verschiedene hier beschriebene Aspekte als ein Verfahren, eine Vorrichtung oder als ein oder mehrere computerlesbare Medien zum Speichern von computerausführbaren Befehlen ausgestaltet sein können. Demgemäß können diese Aspekte die Form einer Ausführungsform ganz in Hardware, einer Ausführungsform ganz in Software, einer Ausführungsform ganz in Firmware oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in einer beliebigen Kombination kombiniert.
  • Wie hier beschrieben, können die verschiedenen Verfahren und Tätigkeiten über ein oder mehrere Computervorrichtungen und ein oder mehrere Netzwerke operativ sein. Die Funktionalität kann auf eine beliebige Weise verteilt werden oder sich auf einer einzigen Computervorrichtung (z.B. einem Server, einem Client-Computer usw.) befinden.
  • Aspekte der Offenbarung wurden im Hinblick auf veranschaulichende Ausführungsformen davon beschrieben. Der durchschnittlichen Fachperson werden nach einem Studium der vorliegenden Offenbarung zahlreiche andere Ausgestaltungen, Modifikationen und Variationen innerhalb des Umfangs oder Wesens der beiliegenden Schutzansprüche einfallen. Zum Beispiel wird die durchschnittliche Fachperson verstehen, dass die in den veranschaulichenden Figuren veranschaulichten Schritte in einer anderen als der aufgeführten Reihenfolge durchgeführt werden können und dass ein oder mehrere veranschaulichte Schritte optional sein können.
  • Die folgenden durchnummerierten Beispiele werden ebenfalls offenbart. Die in den folgenden Beispielen offenbarten Verfahren werden jeweils auch als System offenbart, das wenigstens einen Prozessor umfasst; sowie einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System veranlasst, die in den Verfahren genannten Schritte durchzuführen.
    • Beispiel 1: Verfahren, umfassend: an einer Computerplattform, die wenigstens einen Prozessor, einen Speicher und eine Kommunikationsschnittstelle umfasst: Empfangen mehrerer Pakete über die Kommunikationsschnittstelle; Feststellen, durch den Prozessor, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer im Speicher gespeicherten Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der im Speicher gespeicherten Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, durch den Prozessor, dass eines oder mehrere des wenigstens einen Teils der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldwertkritieren haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen einem oder mehreren Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
    • Beispiel 2: Verfahren nach Beispiel 1, wobei der wenigstens eine Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere TLS-(Transport Layer Security)-Versionswerte umfassen.
    • Beispiel 3: Verfahren nach Beispiel 2, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen einem oder mehreren Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Erlauben umfasst, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
    • Beispiel 4: Verfahren nach Beispiel 2, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren der Pakete in Richtung ihrer jeweiligen Zielen blockiert wird, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Blockieren des Fortfahrens jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels umfasst.
    • Beispiel 5: Verfahren nach Beispiel 1, wobei der wenigstens eine Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere HTTP-Verfahrenswerte umfassen.
    • Beispiel 6: Verfahren nach Beispiel 5, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Erlauben umfasst, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
    • Beispiel 7: Verfahren nach Beispiel 5, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen in Richtung ihres jeweiligen Ziels blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren des wenigstens einen Teils der mehreren Pakete ein Blockieren des Fortfahrens jedes der ein oder mehreren des wenigstens einen Teils der mehreren Pakete in Richtung seines jeweiligen Ziels umfasst.
    • Beispiel 8: Verfahren nach Beispiel 5, wobei die ein oder mehreren des wenigstens einen Teils der mehreren Pakete einen ersten Teil von HTTP-Paketen, die jeweils wenigstens einen GET-Verfahrenswert umfassen, und einen zweiten Teil von HTTP-Paketen umfassen, die jeweils einen oder mehrere aus PUT-, POST- oder CONNECT-Verfahrenswerten umfassen, und wobei das Anwenden der wenigstens einen durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren des wenigstens einen Teils der mehreren Pakete Folgendes umfasst: Erlauben, dass jedes aus dem ersten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels fortfährt; und Blockieren des Fortfahrens von jedem aus dem zweiten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels.
    • Beispiel 9: Verfahren nach Beispiel 1, wobei das Feststellen, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerten entsprechend der im Speicher gespeicherten Paketfilterungsregel hat, umfasst: Vergleichen eines Protokolls eines Datenteils von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem durch die Paketfilterungsregel vorgegebenen Protokoll; Vergleichen einer Quell-IP-(Internet Protocol)-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Quell-IP-Adressen; Vergleichen eines Quellports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Quellport; Vergleichen einer Ziel-IP-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Ziel-IP-Adressen; und Vergleichen eines Zielports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Zielport.
    • Beispiel 10: Verfahren nach Beispiel 1, umfassend: Empfangen von zweiten mehreren Paketen über die Kommunikationsschnittstelle; Feststellen, durch den Prozessor, dass die zweiten mehreren Pakete keine Paket-Header-Feldwerte entsprechend der im Speicher gespeicherten Paketfilterungsregel haben; und Blockieren, in Reaktion auf die Feststellung, dass die zweiten mehreren Pakete keine Paket-Header-Feldwerte entsprechend der Paketfilterungsregel haben, des Fortfahrens von jedem aus den zweiten mehreren Paketen in Richtung seines jeweiligen Ziels, ohne den durch die Paketfilterungsregel vorgegebenen Operator auf die zweiten mehreren Pakete anzuwenden.
    • Beispiel 11: Vorrichtung, umfassend: wenigstens einen Prozessor; und einen Speicher zum Speichern von Befehlen, die bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Empfangen mehrerer Pakete; Feststellen, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, dass ein oder mehrere aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldwertkriterien haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
    • Beispiel 12: Vorrichtung nach Beispiel 11, wobei der wenigstens eine Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst, und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere TLS-(Transport Layer Security)-Versionswerte umfassen.
    • Beispiel 13: Vorrichtung nach Beispiel 12, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass es die Vorrichtung erlaubt, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
    • Beispiel 14: Vorrichtung nach Beispiel 12, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die ein Fortfahren der Pakete in Richtung ihrer jeweiligen Ziele blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung ein Fortfahren von jedem der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung ihrer jeweiligen Ziele blockiert. Beispiel 15: Vorrichtung nach Beispiel 11, wobei der wenigstens eine Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere HTTP-Verfahrenswerte umfassen.
    • Beispiel 16: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die es Paketen erlaubt werden soll, in Richtung ihrer jeweiligen Ziele fortzufahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass es die Vorrichtung erlaubt, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
    • Beispiel 17: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die ein Fortfahren der Pakete in Richtung ihrer jeweiligen Ziele blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung ein Fortfahren von jedem der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels blockiert. Beispiel 18: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen ersten Teil von HTTP-Paketen, die jeweils wenigstens einen GET-Verfahrenswert umfassen, und einen zweiten Teil von HTTP-Paketen umfassen, die jeweils einen oder mehrere aus PUT-, POST- oder CONNECT-Verfahrenswerten umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Erlauben, dass jedes aus dem ersten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels fortfährt; und Blockieren des Fortfahrens jedes aus dem zweiten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels.
    • Beispiel 19: Vorrichtung nach Beispiel 11, wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Vergleichen eines Protokolls eines Datenteils von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem durch die Paketfilterungsregel vorgegebenen Protokoll; Vergleichen einer Quell-IP-(Internet Protocol)-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Quell-IP-Adressen; Vergleichen eines Quellports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Quellport; Vergleichen einer Ziel-IP-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Ziel-IP-Adressen; und Vergleichen eines Zielports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Zielports.
    • Beispiel 20: Ein oder mehrere nichtflüchtige computerlesbare Medien, auf denen Befehle gespeichert sind, die bei Ausführung durch ein oder mehrere Computervorrichtungen bewirken, dass die ein oder mehreren Computervorrichtungen durchführen: Empfangen mehrerer Pakete; Feststellen, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, dass ein oder mehrere aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldwertkriterien haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
    • Beispiel 21: Verfahren, umfassend: Empfangen mehrerer Pakete durch ein Paketsicherheits-Gateway (110) über eine Kommunikationsschnittstelle (208, 210) und von einem ersten Netzwerk; Feststellen, basierend auf einer Zieladresse jedes eines ersten Teils der mehreren Pakete, die anzeigt, dass der erste Teil der mehreren Pakete für ein zweites Netzwerk bestimmt ist, dass der erste Teil der mehreren Pakete einen oder mehrere Paketkopffeldwerte umfasst, die einer ersten Paketfilterungsregel entsprechen, wobei die erste Paketfilterungsregel zu einem Satz von Paketfilterungsregeln gehört, die konfiguriert sind, um bestimmte Arten von Datenübertragungen von dem ersten Netzwerk zu einem zweiten Netzwerk zu verhindern;in Reaktion auf die Feststellung, dass der erste Teil der mehreren Pakete einen oder mehrere Paketkopf-Feldwerte umfasst, die der Paketfilterungsregel entsprechen: Feststellen, dass wenigstens ein Paket des ersten Teils der mehreren Pakete Anwendungskopffeldwerte umfasst, die der ersten Paketfilterungsregel entsprechen und mit den bestimmten Arten von Datenübertragungen assoziiert sind; Anwenden wenigstens einer ersten Pakettransformationsfunktion, die durch die erste Paketfilterungsregel definiert ist, um das wenigstens eine Paket des ersten Teils der mehreren Pakete an der Fortsetzung in Richtung des zweiten Netzwerks zu hindern; und Anwenden wenigstens einer zweiten Pakettransformationsfunktion, die durch die erste Paketfilterungsregel definiert ist, um wenigstens ein weiteres Paket des ersten Teils der mehreren Pakete zur Weiterleitung an das zweite Netzwerk zuzulassen.
    • Beispiel 22: Verfahren nach Beispiel 21, wobei das Feststellen, dass der erste Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte umfasst, die der ersten Paketfilterungsregel entsprechen, ein Feststellen umfasst, dass das eine oder mehrere Anwendungs-Header-Feld wenigstens eines der folgenden umfasst: ein POST-Verfahren, ein PUT-Verfahren, ein GET-Verfahren oder ein CONNECT-Verfahren.
    • Beispiel 23: Verfahren nach Beispiel 21 oder Beispiel 22, wobei: das erste Netzwerk ein geschütztes Netzwerk umfasst; und das zweite Netzwerk ein Ziel außerhalb des geschützten Netzwerks umfasst.
    • Beispiel 24: Verfahren nach einem der Beispiele 21 bis 23, ferner umfassend: Feststellen einer zweiten Zieladresse von jedem eines zweiten Teils der mehreren Pakete, wobei die zweite Zieladresse ein vertrauenswürdiges Netzwerk umfasst; und Anwenden wenigstens einer dritten Pakettransformationsfunktion, die durch eine zweite Paketfilterungsregel des Satzes von Paketfilterungsregeln definiert ist, um jedes des zweiten Teils der mehreren Pakete in Richtung der zweiten Zieladresse weiterzuleiten.
    • Beispiel 25: Verfahren nach einem der Beispiele 21 bis 23, ferner umfassend: Feststellen einer zweiten Zieladresse von jedem eines zweiten Teils der mehreren Pakete, wobei die zweite Zieladresse ein nicht vertrauenswürdiges Netzwerk umfasst; und Anwenden wenigstens einer dritten Pakettransformationsfunktion, die durch eine zweite Paketfilterungsregel des Satzes von Paketfilterungsregeln definiert ist, um jedes des zweiten Teils der mehreren Pakete fallenzulassen.
    • Beispiel 26: Verfahren nach Beispiel 21, ferner umfassend: Feststellen, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert (Transport Layer Security) umfassen; und Anwenden der wenigstens einen zweiten Pakettransformationsfunktion, basierend auf einer Feststellung, dass der eine oder die mehreren Anwendungskopffeldwerte einen bestimmten TLS-Versionswert umfassen, um die Weiterleitung des wenigstens einen weiteren Pakets in Richtung des zweiten Netzwerks zu ermöglichen.
    • Beispiel 27: Verfahren nach Beispiel 21, ferner umfassend: Feststellen, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert (Transport Layer Security) umfassen; und Anwenden der wenigstens einen ersten Pakettransformationsfunktion, basierend auf einer Feststellung, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert umfassen, um das wenigstens eine Paket des ersten Teils der mehreren Pakete zu blockieren.
    • Beispiel 28: Verfahren nach einem der Beispiele 21 bis 27, ferner umfassend: Empfangen einer dynamischen Sicherheitsrichtlinie, die den Satz von Regeln zur Paketfilterung umfasst, von einem Sicherheitsrichtlinien-Managementserver.
    • Beispiel 29: Verfahren nach Beispiel 28, wobei sich der Sicherheitsrichtlinien-Managementserver außerhalb des ersten Netzwerks befindet.
    • Beispiel 30: Verfahren nach Beispiel 21, wobei der eine oder die mehreren Anwendungs-Header-Feldwerte eine Angabe des Extensible Messaging and Presence Protocol (XMPP) umfassen.
    • Beispiel 31: Verfahren nach Beispiel 21, wobei die Anwendung wenigstens einer zweiten Pakettransformationsfunktion, um das wenigstens eine weitere Paket zuzulassen, ein Einkapseln des wenigstens einen weiteren Pakets in einen Tunnel umfasst.
    • Beispiel 32: Verfahren nach Beispiel 31, wobei der eine oder die mehreren Anwendungs-Header-Werte eine oder mehrere HTTP-Verfahren vorgeben, für die es Paketen erlaubt sein sollte, zu ihren jeweiligen Zielen fortzufahren.
    • Beispiel 33: Paketsicherheits-Gateway (110) mit: einem oder mehreren Prozessoren (204); und Speicher (206), der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, das Paketsicherheits-Gateway veranlassen, das Verfahren nach einem der Beispiele 21 bis 32 durchzuführen.
    • Beispiel 34: System, umfassend: ein Paketsicherheits-Gateway, das so konfiguriert ist, dass es das Verfahren nach einem der Beispiele 21 bis 32 durchführt; und eine Computervorrichtung, die zum Senden der mehreren Pakete konfiguriert ist.
    • Beispiel 35: Nichtflüchtiges computerlesbares Medium, das Befehle speichert, die, wenn sie ausgeführt werden, die Durchführung des Verfahrens nach einem der Beispiele 21 bis 32 bewirken.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • US 13/795822 [0002]

    Claims (38)

    1. System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder der mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
    2. System nach Anspruch 1, wobei der erste Teil von Paketen Daten umfasst, die anzeigen: einen Protokolltyp, der mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die einen Protokolltyp angeben, der nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    3. System nach Anspruch 1 oder Anspruch 2, wobei: der erste Teil von Paketen Daten umfasst, die eine erste Zielportnummer angeben, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Zielportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    4. System nach einem der vorhergehende Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTP assoziierte Daten enthält.
    5. System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem sicheren Hypertext-Übertragungsprotokoll (HTTPS) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTPS assoziierte Daten umfasst.
    6. System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Dateiübertragungsprotokoll (FTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit FTP assoziierte Daten umfasst.
    7. System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Echtzeit-Transportprotokoll (RTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit RTP assoziierte Daten umfasst.
    8. System nach einem der vorhergehenden Ansprüche, wobei: das Empfangen der mehreren Pakete ein Empfangen von Paketen umfasst, die Daten umfassen, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind; der erste Teil von Paketen einen ersten Typ von Daten umfasst, die mit HTTP assoziiert sind; der zweite Teil von Paketen einen zweiten Typ von Daten umfasst, der mit HTTP assoziiert ist; und das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen den ersten Typ von Daten umfasst.
    9. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Pakete Daten umfasst, die einem HTTP-POST-Verfahren entsprechen.
    10. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-PUT-Verfahren entsprechen.
    11. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP DELETE-Verfahren entsprechen.
    12. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-CONNECT-Verfahren entsprechen.
    13. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen den zweiten Typ von Daten umfasst.
    14. System nach Anspruch 8, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem HTTP-GET-Verfahren entsprechen.
    15. System nach Anspruch 1, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem bestimmten TLS-Versionswert (Transport Layer Security) entsprechen.
    16. System nach Anspruch 1, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem bestimmten Versionswert der Transportschichtsicherheit (TLS) entsprechen.
    17. System nach Anspruch 1, wobei: der erste Teil von Paketen Daten umfasst, die anzeigen: eine erste Quellportnummer, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder mehrere Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Quellportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    18. System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet; in Reaktion auf eine Feststellung, dass ein erstes Paket der mehreren Pakete Daten umfasst, die mit dem eXtensible Messaging and Presence Protocol (XMPP) assoziiert sind, und die Daten Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art der Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern: Anwenden auf das erste Paket eines ersten durch die eine oder mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen des ersten Pakets; und in Reaktion auf eine Feststellung, dass ein zweites Paket der mehreren Pakete keine mit XMPP assoziierte Daten umfasst: Anwenden auf das zweite Paket und ohne Anwenden der einen oder mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, zum zweiten Netzwerk weiterleitet; und Weiterleiten des zweiten Pakets in Richtung des zweiten Netzwerks.
    19. Ein oder mehrere nichtflüchtige computerlesbare Medien, die Befehle umfassen, die bei Ausführung durch ein oder mehrere Systeme das eine oder die mehreren Systeme veranlassen zum: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Pakete für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
    20. System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
    21. System nach Anspruch 20, wobei der erste Teil von Paketen Daten umfasst, die anzeigen: einen Protokolltyp, der mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die einen Protokolltyp angeben, der nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    22. System nach Anspruch 20 oder Anspruch 21, wobei: der erste Teil von Paketen Daten umfasst, die eine erste Zielportnummer angeben, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Zielportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    23. System nach einem der Ansprüche 20-22, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTP assoziierte Daten enthält.
    24. System nach einem der Ansprüche 20-23, wobei: der erste Teil von Paketen Daten umfasst, die mit dem sicheren Hypertext-Übertragungsprotokoll (HTTPS) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTPS assoziierte Daten umfasst.
    25. System nach einem der Ansprüche 20-24, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Dateiübertragungsprotokoll (FTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit FTP assoziierte Daten umfasst.
    26. System nach einem der Ansprüche 20-25, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Echtzeit-Transportprotokoll (RTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit RTP assoziierte Daten umfasst.
    27. System nach einem der Ansprüche 20-26, wobei: das Empfangen der mehreren Pakete ein Empfangen von Paketen umfasst, die Daten umfassen, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind; der erste Teil von Paketen einen ersten Typ von Daten umfasst, die mit HTTP assoziiert sind; der zweite Teil von Paketen einen zweiten Typ von Daten umfasst, der mit HTTP assoziiert ist; und das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen den ersten Typ von Daten umfasst.
    28. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-POST-Verfahren entsprechen.
    29. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-PUT-Verfahren entsprechen.
    30. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP DELETE-Verfahren entsprechen.
    31. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-CONNECT-Verfahren entsprechen.
    32. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen den zweiten Typ von Daten umfasst.
    33. System nach Anspruch 27, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem HTTP-GET-Verfahren entsprechen.
    34. System nach Anspruch 20, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem bestimmten TLS-Versionswert (Transport Layer Security) entsprechen.
    35. System nach Anspruch 20, wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem bestimmten Versionswert der Transportschichtsicherheit (TLS) entsprechen.
    36. System nach Anspruch 20, wobei: der erste Teil von Paketen Daten umfasst, die anzeigen: eine erste Quellportnummer, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder mehrere Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Quellportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist.
    37. System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet; in Reaktion auf eine Feststellung, dass ein erstes Paket der mehreren Pakete Daten umfasst, die mit dem eXtensible Messaging and Presence Protocol (XMPP) assoziiert sind, und die Daten Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art der Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern: Anwenden auf das erste Paket eines ersten durch die eine oder mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen des ersten Pakets; und in Reaktion auf eine Feststellung, dass ein zweites Paket der mehreren Pakete keine mit XMPP assoziierte Daten umfasst: Anwenden auf das zweite Paket eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, zum zweiten Netzwerk weiterleitet; und Weiterleiten des zweiten Pakets in Richtung des zweiten Netzwerks.
    38. Ein oder mehrere nichtflüchtige computerlesbare Medien, die Befehle umfassen, die bei Ausführung durch ein oder mehrere Systeme das eine oder die mehreren Systeme veranlassen zum: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
    DE202014011510.9U 2013-03-12 2014-03-11 Filtern von Netzwerkdatenübertragungen Expired - Lifetime DE202014011510U1 (de)

    Applications Claiming Priority (2)

    Application Number Priority Date Filing Date Title
    US13/795,822 2013-03-12
    US13/795,822 US9124552B2 (en) 2013-03-12 2013-03-12 Filtering network data transfers

    Publications (1)

    Publication Number Publication Date
    DE202014011510U1 true DE202014011510U1 (de) 2021-07-20

    Family

    ID=50549418

    Family Applications (2)

    Application Number Title Priority Date Filing Date
    DE202014011424.2U Expired - Lifetime DE202014011424U1 (de) 2013-03-12 2014-03-11 Filtern von Netzwerkdatenübertragungen
    DE202014011510.9U Expired - Lifetime DE202014011510U1 (de) 2013-03-12 2014-03-11 Filtern von Netzwerkdatenübertragungen

    Family Applications Before (1)

    Application Number Title Priority Date Filing Date
    DE202014011424.2U Expired - Lifetime DE202014011424U1 (de) 2013-03-12 2014-03-11 Filtern von Netzwerkdatenübertragungen

    Country Status (6)

    Country Link
    US (9) US9124552B2 (de)
    EP (2) EP2974212B1 (de)
    AU (1) AU2014249055B2 (de)
    CA (1) CA2902158C (de)
    DE (2) DE202014011424U1 (de)
    WO (1) WO2014164713A1 (de)

    Families Citing this family (33)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
    US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
    US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
    US9124552B2 (en) * 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
    US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
    US9191209B2 (en) 2013-06-25 2015-11-17 Google Inc. Efficient communication for devices of a home network
    US9531704B2 (en) 2013-06-25 2016-12-27 Google Inc. Efficient network layer for IPv6 protocol
    CN105635067B (zh) * 2014-11-04 2019-11-15 华为技术有限公司 报文发送方法及装置
    CN104579939B (zh) * 2014-12-29 2021-02-12 网神信息技术(北京)股份有限公司 网关的保护方法和装置
    US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
    US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
    US10630717B2 (en) * 2015-05-15 2020-04-21 Avaya, Inc. Mitigation of WebRTC attacks using a network edge system
    US10462116B1 (en) * 2015-09-15 2019-10-29 Amazon Technologies, Inc. Detection of data exfiltration
    EP3369212B1 (de) * 2015-10-26 2020-12-09 Telefonaktiebolaget LM Ericsson (PUBL) Längensteuerung für paketkopfabtastung
    US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
    US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
    US10291584B2 (en) 2016-03-28 2019-05-14 Juniper Networks, Inc. Dynamic prioritization of network traffic based on reputation
    US10630654B2 (en) 2017-03-22 2020-04-21 Microsoft Technology Licensing, Llc Hardware-accelerated secure communication management
    US10868832B2 (en) * 2017-03-22 2020-12-15 Ca, Inc. Systems and methods for enforcing dynamic network security policies
    IL251683B (en) 2017-04-09 2019-08-29 Yoseph Koren A system and method for dynamic management of private data
    US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
    US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
    US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
    US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
    AU2019380750A1 (en) * 2018-11-13 2021-07-01 Wenspire Method and device for monitoring data output by a server
    US11627152B2 (en) 2020-01-08 2023-04-11 Bank Of America Corporation Real-time classification of content in a data transmission
    US11297085B2 (en) 2020-01-08 2022-04-05 Bank Of America Corporation Real-time validation of data transmissions based on security profiles
    US11184381B2 (en) * 2020-01-08 2021-11-23 Bank Of America Corporation Real-time validation of application data
    US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
    US11379390B1 (en) * 2020-12-14 2022-07-05 International Business Machines Corporation In-line data packet transformations
    US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
    US11790093B2 (en) 2021-04-29 2023-10-17 Bank Of America Corporation Cognitive tokens for authorizing restricted access for cyber forensics
    US11882448B2 (en) * 2021-06-07 2024-01-23 Sr Technologies, Inc. System and method for packet detail detection and precision blocking

    Family Cites Families (295)

    * Cited by examiner, † Cited by third party
    Publication number Priority date Publication date Assignee Title
    US3004994A (en) 1957-09-16 1961-10-17 Merck & Co Inc 6alpha, 16alpha-dimethyl-pregnenes
    US3042167A (en) 1959-02-23 1962-07-03 Rolls Royce Friction clutches
    US3219675A (en) 1961-11-02 1965-11-23 Columbian Carbon Preparation of alpha,omega-alkandioic acids and omega-formylalkanoic acids
    US3271645A (en) 1962-09-06 1966-09-06 Telsta Corp A. c. generator-fed variable frequency motor control mechanism for an aerial lift
    US6147976A (en) 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
    US6453345B2 (en) 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
    US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
    US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
    US6484261B1 (en) 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
    US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
    US6317837B1 (en) 1998-09-01 2001-11-13 Applianceware, Llc Internal network node with dedicated firewall
    US6826694B1 (en) 1998-10-22 2004-11-30 At&T Corp. High resolution access control
    US20010039624A1 (en) 1998-11-24 2001-11-08 Kellum Charles W. Processes systems and networks for secured information exchange using computer hardware
    CA2287689C (en) 1998-12-03 2003-09-30 P. Krishnan Adaptive re-ordering of data packet filter rules
    US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
    US6611875B1 (en) 1998-12-31 2003-08-26 Pmc-Sierra, Inc. Control system for high speed rule processors
    US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
    JP2000332817A (ja) 1999-05-18 2000-11-30 Fujitsu Ltd パケット処理装置
    ATE301895T1 (de) 1999-06-10 2005-08-15 Alcatel Internetworking Inc System und verfahren zur automatischen erreichbarkeitsaktualisierung in virtuellen privaten netzen
    US7051365B1 (en) 1999-06-30 2006-05-23 At&T Corp. Method and apparatus for a distributed firewall
    US6463474B1 (en) * 1999-07-02 2002-10-08 Cisco Technology, Inc. Local authentication of a client at a network device
    US6971028B1 (en) 1999-08-30 2005-11-29 Symantec Corporation System and method for tracking the source of a computer attack
    EP1107140A3 (de) 1999-11-30 2004-01-28 Hitachi, Ltd. Verfahren zur Unterstützung des Entwurfs von Sicherheitssystemen
    US7215637B1 (en) 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
    US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
    US7032031B2 (en) 2000-06-23 2006-04-18 Cloudshield Technologies, Inc. Edge adapter apparatus and method
    US8204082B2 (en) 2000-06-23 2012-06-19 Cloudshield Technologies, Inc. Transparent provisioning of services over a network
    US6907470B2 (en) 2000-06-29 2005-06-14 Hitachi, Ltd. Communication apparatus for routing or discarding a packet sent from a user terminal
    US20020164962A1 (en) 2000-07-18 2002-11-07 Mankins Matt W. D. Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units
    US7152240B1 (en) 2000-07-25 2006-12-19 Green Stuart D Method for communication security and apparatus therefor
    US6834342B2 (en) * 2000-08-16 2004-12-21 Eecad, Inc. Method and system for secure communication over unstable public connections
    US7586899B1 (en) 2000-08-18 2009-09-08 Juniper Networks, Inc. Methods and apparatus providing an overlay network for voice over internet protocol applications
    US6662235B1 (en) 2000-08-24 2003-12-09 International Business Machines Corporation Methods systems and computer program products for processing complex policy rules based on rule form type
    US20020038339A1 (en) 2000-09-08 2002-03-28 Wei Xu Systems and methods for packet distribution
    US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
    US20110214157A1 (en) 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
    US7129825B2 (en) 2000-09-26 2006-10-31 Caterpillar Inc. Action recommendation system for a mobile vehicle
    US20060212572A1 (en) 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
    US7657628B1 (en) * 2000-11-28 2010-02-02 Verizon Business Global Llc External processor for a distributed network access system
    US7046680B1 (en) * 2000-11-28 2006-05-16 Mci, Inc. Network access system including a programmable access device having distributed service control
    AU2002230541B2 (en) 2000-11-30 2007-08-23 Cisco Technology, Inc. Flow-based detection of network intrusions
    US7095741B1 (en) 2000-12-20 2006-08-22 Cisco Technology, Inc. Port isolation for restricting traffic flow on layer 2 switches
    US20030051026A1 (en) 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
    US7061874B2 (en) 2001-01-26 2006-06-13 Broadcom Corporation Method, system and computer program product for classifying packet flows with a bit mask
    FI20010256A0 (fi) 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
    EP1371242A1 (de) * 2001-03-14 2003-12-17 Nokia Corporation Verfahren zur aktivierung einer verbindung in einem kommunikationssystem, mobilstation, netzwerkelement und paketfilter
    US7095716B1 (en) 2001-03-30 2006-08-22 Juniper Networks, Inc. Internet security device and method
    US20020186683A1 (en) * 2001-04-02 2002-12-12 Alan Buck Firewall gateway for voice over internet telephony communications
    AUPR435501A0 (en) 2001-04-11 2001-05-17 Firebridge Systems Pty Ltd Network security system
    KR100398281B1 (ko) 2001-04-17 2003-09-19 시큐아이닷컴 주식회사 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법
    US7227842B1 (en) 2001-04-24 2007-06-05 Tensilica, Inc. Fast IP packet classification with configurable processor
    EP1410210A4 (de) 2001-06-11 2005-12-14 Bluefire Security Technology I Paketfilterungssystem und verfahren
    US6947983B2 (en) 2001-06-22 2005-09-20 International Business Machines Corporation Method and system for exploiting likelihood in filter rule enforcement
    US7900042B2 (en) 2001-06-26 2011-03-01 Ncipher Corporation Limited Encrypted packet inspection
    US7315892B2 (en) * 2001-06-27 2008-01-01 International Business Machines Corporation In-kernel content-aware service differentiation
    US7028179B2 (en) 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks
    KR20010079361A (ko) 2001-07-09 2001-08-22 김상욱 네트워크 상태 기반의 방화벽 장치 및 그 방법
    US7207062B2 (en) 2001-08-16 2007-04-17 Lucent Technologies Inc Method and apparatus for protecting web sites from distributed denial-of-service attacks
    US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
    US7386525B2 (en) 2001-09-21 2008-06-10 Stonesoft Corporation Data packet filtering
    US7159109B2 (en) 2001-11-07 2007-01-02 Intel Corporation Method and apparatus to manage address translation for secure connections
    US7325248B2 (en) 2001-11-19 2008-01-29 Stonesoft Corporation Personal firewall with location dependent functionality
    FI20012338A0 (fi) * 2001-11-29 2001-11-29 Stonesoft Corp Palomuuri tunneloitujen datapakettien suodattamiseksi
    US20030123456A1 (en) 2001-12-28 2003-07-03 Denz Peter R. Methods and system for data packet filtering using tree-like hierarchy
    US7222366B2 (en) 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
    US7161942B2 (en) 2002-01-31 2007-01-09 Telcordia Technologies, Inc. Method for distributing and conditioning traffic for mobile networks based on differentiated services
    JP3797937B2 (ja) 2002-02-04 2006-07-19 株式会社日立製作所 ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置
    US7249194B2 (en) 2002-02-08 2007-07-24 Matsushita Electric Industrial Co., Ltd. Gateway apparatus and its controlling method
    US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
    US7185365B2 (en) * 2002-03-27 2007-02-27 Intel Corporation Security enabled network access control
    US7107613B1 (en) 2002-03-27 2006-09-12 Cisco Technology, Inc. Method and apparatus for reducing the number of tunnels used to implement a security policy on a network
    US20030220940A1 (en) 2002-04-15 2003-11-27 Core Sdi, Incorporated Secure auditing of information systems
    GB2387681A (en) 2002-04-18 2003-10-22 Isis Innovation Intrusion detection system with inductive logic means for suggesting new general rules
    AUPS214802A0 (en) 2002-05-01 2002-06-06 Firebridge Systems Pty Ltd Firewall with stateful inspection
    US20030212900A1 (en) * 2002-05-13 2003-11-13 Hsin-Yuo Liu Packet classifying network services
    WO2003105009A1 (en) 2002-06-07 2003-12-18 Bellsouth Intellectual Property Corporation Sytems and methods for establishing electronic conferencing over a distributed network
    TWI244297B (en) 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
    US7441262B2 (en) 2002-07-11 2008-10-21 Seaway Networks Inc. Integrated VPN/firewall system
    US20040015719A1 (en) 2002-07-16 2004-01-22 Dae-Hyung Lee Intelligent security engine and intelligent and integrated security system using the same
    US7684400B2 (en) * 2002-08-08 2010-03-23 Intel Corporation Logarithmic time range-based multifield-correlation packet classification
    US7263099B1 (en) 2002-08-14 2007-08-28 Juniper Networks, Inc. Multicast packet replication
    JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
    FR2844415B1 (fr) 2002-09-05 2005-02-11 At & T Corp Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes
    US20060104202A1 (en) 2002-10-02 2006-05-18 Richard Reiner Rule creation for computer application screening; application error testing
    US7313141B2 (en) 2002-10-09 2007-12-25 Alcatel Lucent Packet sequence number network monitoring system
    US7574738B2 (en) 2002-11-06 2009-08-11 At&T Intellectual Property Ii, L.P. Virtual private network crossovers based on certificates
    US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
    US7296288B1 (en) 2002-11-15 2007-11-13 Packeteer, Inc. Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users
    US20040098511A1 (en) * 2002-11-16 2004-05-20 Lin David H. Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule
    US7366174B2 (en) 2002-12-17 2008-04-29 Lucent Technologies Inc. Adaptive classification of network traffic
    US7050394B2 (en) 2002-12-18 2006-05-23 Intel Corporation Framer
    US20050125697A1 (en) 2002-12-27 2005-06-09 Fujitsu Limited Device for checking firewall policy
    US7913303B1 (en) 2003-01-21 2011-03-22 International Business Machines Corporation Method and system for dynamically protecting a computer system from attack
    US20040148520A1 (en) 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
    US20040193943A1 (en) 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
    US20040177139A1 (en) 2003-03-03 2004-09-09 Schuba Christoph L. Method and apparatus for computing priorities between conflicting rules for network services
    US7539186B2 (en) 2003-03-31 2009-05-26 Motorola, Inc. Packet filtering for emergency service access in a packet data network communication system
    US7441036B2 (en) 2003-04-01 2008-10-21 International Business Machines Corporation Method and system for a debugging utility based on a TCP tunnel
    US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
    US7681235B2 (en) 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
    US7308711B2 (en) 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
    US7509673B2 (en) 2003-06-06 2009-03-24 Microsoft Corporation Multi-layered firewall architecture
    US7710885B2 (en) 2003-08-29 2010-05-04 Agilent Technologies, Inc. Routing monitoring
    KR100502068B1 (ko) 2003-09-29 2005-07-25 한국전자통신연구원 네트워크 노드의 보안 엔진 관리 장치 및 방법
    KR100558658B1 (ko) 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
    US20050108557A1 (en) 2003-10-11 2005-05-19 Kayo David G. Systems and methods for detecting and preventing unauthorized access to networked devices
    US7237267B2 (en) 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
    US7408932B2 (en) * 2003-10-20 2008-08-05 Intel Corporation Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing
    US7672318B2 (en) 2003-11-06 2010-03-02 Telefonaktiebolaget L M Ericsson (Publ) Adaptable network bridge
    US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
    US20050183140A1 (en) 2003-11-20 2005-08-18 Goddard Stephen M. Hierarchical firewall load balancing and L4/L7 dispatching
    US7389532B2 (en) 2003-11-26 2008-06-17 Microsoft Corporation Method for indexing a plurality of policy filters
    US7370100B1 (en) 2003-12-10 2008-05-06 Foundry Networks, Inc. Method and apparatus for load balancing based on packet header content
    US7756008B2 (en) * 2003-12-19 2010-07-13 At&T Intellectual Property Ii, L.P. Routing protocols with predicted outrage notification
    US7523314B2 (en) 2003-12-22 2009-04-21 Voltage Security, Inc. Identity-based-encryption message management system
    US20050141537A1 (en) 2003-12-29 2005-06-30 Intel Corporation A Delaware Corporation Auto-learning of MAC addresses and lexicographic lookup of hardware database
    KR100609170B1 (ko) * 2004-02-13 2006-08-02 엘지엔시스(주) 네트워크 보안 시스템 및 그 동작 방법
    US7761923B2 (en) 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
    US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
    US7814546B1 (en) 2004-03-19 2010-10-12 Verizon Corporate Services Group, Inc. Method and system for integrated computer networking attack attribution
    US8031616B2 (en) 2004-03-23 2011-10-04 Level 3 Communications, Llc Systems and methods for accessing IP transmissions
    US20050229246A1 (en) 2004-03-31 2005-10-13 Priya Rajagopal Programmable context aware firewall with integrated intrusion detection system
    US8923292B2 (en) 2004-04-06 2014-12-30 Rockstar Consortium Us Lp Differential forwarding in address-based carrier networks
    US7525958B2 (en) * 2004-04-08 2009-04-28 Intel Corporation Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing
    US20050249214A1 (en) 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
    JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
    JP2008504737A (ja) 2004-06-23 2008-02-14 クゥアルコム・インコーポレイテッド ネットワークパケットの効率的な分類
    US20060031928A1 (en) 2004-08-09 2006-02-09 Conley James W Detector and computerized method for determining an occurrence of tunneling activity
    US20060048142A1 (en) 2004-09-02 2006-03-02 Roese John J System and method for rapid response network policy implementation
    US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
    US7478429B2 (en) 2004-10-01 2009-01-13 Prolexic Technologies, Inc. Network overload detection and mitigation system and method
    US7490235B2 (en) 2004-10-08 2009-02-10 International Business Machines Corporation Offline analysis of packets
    US7509493B2 (en) 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
    JP4369351B2 (ja) 2004-11-30 2009-11-18 株式会社日立製作所 パケット転送装置
    US7694334B2 (en) * 2004-12-03 2010-04-06 Nokia Corporation Apparatus and method for traversing gateway device using a plurality of batons
    JP2006174350A (ja) 2004-12-20 2006-06-29 Fujitsu Ltd 通信装置
    US7602731B2 (en) 2004-12-22 2009-10-13 Intruguard Devices, Inc. System and method for integrated header, state, rate and content anomaly prevention with policy enforcement
    US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
    WO2006093557A2 (en) 2004-12-22 2006-09-08 Wake Forest University Method, systems, and computer program products for implementing function-parallel network firewall
    US7551567B2 (en) 2005-01-05 2009-06-23 Cisco Technology, Inc. Interpreting an application message at a network element using sampling and heuristics
    GB2422505A (en) 2005-01-20 2006-07-26 Agilent Technologies Inc Sampling datagrams
    US7792775B2 (en) 2005-02-24 2010-09-07 Nec Corporation Filtering rule analysis method and system
    CA2600236C (en) 2005-03-28 2014-08-12 Wake Forest University Methods, systems, and computer program products for network firewall policy optimization
    US7499412B2 (en) 2005-07-01 2009-03-03 Net Optics, Inc. Active packet content analyzer for communications network
    US20080229415A1 (en) 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
    US8296846B2 (en) 2005-08-19 2012-10-23 Cpacket Networks, Inc. Apparatus and method for associating categorization information with network traffic to facilitate application level processing
    US20070056038A1 (en) 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
    US20070083924A1 (en) 2005-10-08 2007-04-12 Lu Hongqian K System and method for multi-stage packet filtering on a networked-enabled device
    US9055093B2 (en) 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
    US8027251B2 (en) 2005-11-08 2011-09-27 Verizon Services Corp. Systems and methods for implementing protocol-aware network firewall
    US7716729B2 (en) 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
    US7661136B1 (en) * 2005-12-13 2010-02-09 At&T Intellectual Property Ii, L.P. Detecting anomalous web proxy activity
    US7832009B2 (en) 2005-12-28 2010-11-09 Foundry Networks, Llc Techniques for preventing attacks on computer systems and networks
    US8397284B2 (en) 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
    US8116312B2 (en) * 2006-02-08 2012-02-14 Solarflare Communications, Inc. Method and apparatus for multicast packet reception
    WO2007096884A2 (en) 2006-02-22 2007-08-30 Elad Barkan Wireless internet system and method
    US7898963B2 (en) 2006-03-07 2011-03-01 Cisco Technology, Inc. Graphical representation of the flow of a packet through a network device
    EP2002549A4 (de) 2006-03-16 2014-05-21 Curtis M Brubaker System und verfahren zur gewinnung von erlösen durch anzeige hyperrelevanter werbeinhalte auf bewegten objekten
    US20070240208A1 (en) 2006-04-10 2007-10-11 Ming-Che Yu Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network
    US7849502B1 (en) 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
    GB2437791A (en) * 2006-05-03 2007-11-07 Skype Ltd Secure communication using protocol encapsulation
    US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
    US7966655B2 (en) 2006-06-30 2011-06-21 At&T Intellectual Property Ii, L.P. Method and apparatus for optimizing a firewall
    US8639837B2 (en) 2006-07-29 2014-01-28 Blue Coat Systems, Inc. System and method of traffic inspection and classification for purposes of implementing session ND content control
    WO2008021496A2 (en) 2006-08-17 2008-02-21 Philip Chidel Interactive television framework utilizing program-synchronous trigers and standard messaging and presence-detection protocols
    KR100909552B1 (ko) 2006-08-21 2009-07-27 삼성전자주식회사 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법
    US8234702B2 (en) 2006-08-29 2012-07-31 Oracle International Corporation Cross network layer correlation-based firewalls
    US8385331B2 (en) 2006-09-29 2013-02-26 Verizon Patent And Licensing Inc. Secure and reliable policy enforcement
    US7624084B2 (en) * 2006-10-09 2009-11-24 Radware, Ltd. Method of generating anomaly pattern for HTTP flood protection
    US7768921B2 (en) 2006-10-30 2010-08-03 Juniper Networks, Inc. Identification of potential network threats using a distributed threshold random walk
    US8004994B1 (en) 2006-11-01 2011-08-23 Azimuth Systems, Inc. System and method for intelligently analyzing performance of a device under test
    US7954143B2 (en) 2006-11-13 2011-05-31 At&T Intellectual Property I, Lp Methods, network services, and computer program products for dynamically assigning users to firewall policy groups
    US8176561B1 (en) 2006-12-14 2012-05-08 Athena Security, Inc. Assessing network security risk using best practices
    US7835348B2 (en) 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
    WO2008093320A1 (en) 2007-01-31 2008-08-07 Tufin Software Technologies Ltd. System and method for auditing a security policy
    US7873710B2 (en) 2007-02-06 2011-01-18 5O9, Inc. Contextual data communication platform
    US8448234B2 (en) 2007-02-15 2013-05-21 Marvell Israel (M.I.S.L) Ltd. Method and apparatus for deep packet inspection for network intrusion detection
    US7853998B2 (en) 2007-03-22 2010-12-14 Mocana Corporation Firewall propagation
    US8209738B2 (en) 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
    US20120084866A1 (en) * 2007-06-12 2012-04-05 Stolfo Salvatore J Methods, systems, and media for measuring computer security
    US7853689B2 (en) 2007-06-15 2010-12-14 Broadcom Corporation Multi-stage deep packet inspection for lightweight devices
    US20080320116A1 (en) 2007-06-21 2008-12-25 Christopher Briggs Identification of endpoint devices operably coupled to a network through a network address translation router
    US7995584B2 (en) 2007-07-26 2011-08-09 Hewlett-Packard Development Company, L.P. Method and apparatus for detecting malicious routers from packet payload
    US8730946B2 (en) 2007-10-18 2014-05-20 Redshift Internetworking, Inc. System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints
    US8763108B2 (en) * 2007-11-29 2014-06-24 Qualcomm Incorporated Flow classification for encrypted and tunneled packet streams
    KR100949808B1 (ko) 2007-12-07 2010-03-30 한국전자통신연구원 P2p 트래픽 관리 장치 및 그 방법
    US8307029B2 (en) 2007-12-10 2012-11-06 Yahoo! Inc. System and method for conditional delivery of messages
    US8418240B2 (en) 2007-12-26 2013-04-09 Algorithmic Security (Israel) Ltd. Reordering a firewall rule base according to usage statistics
    KR100958250B1 (ko) 2008-01-09 2010-05-17 한남대학교 산학협력단 웹 서버 보안 방법 및 이를 위한 웹 방화벽
    US8751663B2 (en) * 2008-02-08 2014-06-10 Front Porch, Inc. Method and apparatus for modifying HTTP at a remote data center via tunneling
    US8561129B2 (en) * 2008-02-28 2013-10-15 Mcafee, Inc Unified network threat management with rule classification
    US9298747B2 (en) * 2008-03-20 2016-03-29 Microsoft Technology Licensing, Llc Deployable, consistent, and extensible computing environment platform
    JP5207803B2 (ja) * 2008-04-02 2013-06-12 キヤノン株式会社 情報処理装置、情報処理方法及びプログラム
    CN101552803B (zh) 2008-04-03 2011-10-05 华为技术有限公司 网络地址转换地址映射表维护方法、媒体网关及其控制器
    US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
    US8856926B2 (en) 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
    US8490171B2 (en) 2008-07-14 2013-07-16 Tufin Software Technologies Ltd. Method of configuring a security gateway and system thereof
    US8161155B2 (en) 2008-09-29 2012-04-17 At&T Intellectual Property I, L.P. Filtering unwanted data traffic via a per-customer blacklist
    US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
    US20100107240A1 (en) * 2008-10-24 2010-04-29 Microsoft Corporation Network location determination for direct access networks
    US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
    US8272029B2 (en) 2008-11-25 2012-09-18 At&T Intellectual Property I, L.P. Independent role based authorization in boundary interface elements
    US20100199346A1 (en) 2009-02-02 2010-08-05 Telcordia Technologies, Inc. System and method for determining symantic equivalence between access control lists
    US8321938B2 (en) 2009-02-12 2012-11-27 Raytheon Bbn Technologies Corp. Multi-tiered scalable network monitoring
    US8468220B2 (en) 2009-04-21 2013-06-18 Techguard Security Llc Methods of structuring data, pre-compiled exception list engines, and network appliances
    US8588422B2 (en) 2009-05-28 2013-11-19 Novell, Inc. Key management to protect encrypted data of an endpoint computing device
    US7931251B2 (en) * 2009-07-08 2011-04-26 Perdix Engineering Llc Expanding gate valve
    US8098677B1 (en) 2009-07-31 2012-01-17 Anue Systems, Inc. Superset packet forwarding for overlapping filters and related systems and methods
    US8495725B2 (en) 2009-08-28 2013-07-23 Great Wall Systems Methods, systems, and computer readable media for adaptive packet filtering
    US7890627B1 (en) 2009-09-02 2011-02-15 Sophos Plc Hierarchical statistical model of internet reputation
    US9413616B2 (en) 2009-10-14 2016-08-09 Hewlett Packard Enterprise Development Lp Detection of network address spoofing and false positive avoidance
    US9204415B2 (en) * 2009-10-30 2015-12-01 Panasonic Intellectual Property Corporation Of America Communication system and apparatus for status dependent mobile services
    US8271645B2 (en) 2009-11-25 2012-09-18 Citrix Systems, Inc. Systems and methods for trace filters by association of client to vserver to services
    US8219675B2 (en) 2009-12-11 2012-07-10 Tektronix, Inc. System and method for correlating IP flows across network address translation firewalls
    US8254257B2 (en) 2009-12-11 2012-08-28 At&T Intellectual Property I, Lp System and method for location, time-of-day, and quality-of-service based prioritized access control
    US9154462B2 (en) 2009-12-22 2015-10-06 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for managing firewall change requests in a communication network
    US8793789B2 (en) 2010-07-22 2014-07-29 Bank Of America Corporation Insider threat correlation tool
    US8438270B2 (en) 2010-01-26 2013-05-07 Tenable Network Security, Inc. System and method for correlating network identities and addresses
    JP5408332B2 (ja) * 2010-03-10 2014-02-05 富士通株式会社 中継装置および通信プログラム
    WO2011131829A1 (en) * 2010-04-22 2011-10-27 Nokia Corporation Method and apparatus for providing a messaging interface
    US8549650B2 (en) 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
    EP2385676B1 (de) 2010-05-07 2019-06-26 Alcatel Lucent Verfahren zur Anpassung von Sicherheitsrichtlinien einer Informationssysteminfrastruktur
    US8510821B1 (en) 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
    US8406233B2 (en) * 2010-09-07 2013-03-26 Check Point Software Technologies Ltd. Predictive synchronization for clustered devices
    EP2712145A1 (de) 2010-09-24 2014-03-26 VeriSign, Inc. IP-priorisierungs- und reihungssystem zur Erkennung und Unterdrückung von DDOS
    EP2437442B1 (de) 2010-09-30 2013-02-13 Alcatel Lucent Vorrichtung und Verfahren zum Umschalten von Datenverkehr in einem digitalen Übertragungsnetzwerk
    US8627448B2 (en) 2010-11-02 2014-01-07 Jose Renato Santos Selective invalidation of packet filtering results
    US8806638B1 (en) 2010-12-10 2014-08-12 Symantec Corporation Systems and methods for protecting networks from infected computing devices
    US9052898B2 (en) * 2011-03-11 2015-06-09 Qualcomm Incorporated Remote access and administration of device content, with device power optimization, using HTTP protocol
    US8726376B2 (en) 2011-03-11 2014-05-13 Openet Telecom Ltd. Methods, systems and devices for the detection and prevention of malware within a network
    US8261295B1 (en) 2011-03-16 2012-09-04 Google Inc. High-level language for specifying configurations of cloud-based deployments
    US9503529B2 (en) 2011-04-04 2016-11-22 Avaya Inc. System and method to transport HTTP over XMPP
    EP2702740B1 (de) 2011-04-28 2020-07-22 VoIPFuture GmbH Korrelation der medienebene und der signalisierungsebene von mediendiensten in einem paketvermittelten netzwerk
    EP2715991A4 (de) 2011-05-23 2014-11-26 Nec Corp Kommunikationssystem, steuerungsvorrichtung, kommunikationsverfahren und programm
    US8621556B1 (en) 2011-05-25 2013-12-31 Palo Alto Networks, Inc. Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions
    US9118702B2 (en) 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
    US8995360B2 (en) 2011-06-09 2015-03-31 Time Warner Cable Enterprises Llc Techniques for prefix subnetting
    US8683573B2 (en) 2011-06-27 2014-03-25 International Business Machines Corporation Detection of rogue client-agnostic nat device tunnels
    US8949413B2 (en) 2011-06-30 2015-02-03 Juniper Networks, Inc. Filter selection and resuse
    US9843601B2 (en) 2011-07-06 2017-12-12 Nominum, Inc. Analyzing DNS requests for anomaly detection
    US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
    WO2013055807A1 (en) 2011-10-10 2013-04-18 Global Dataguard, Inc Detecting emergent behavior in communications networks
    US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
    US8856922B2 (en) 2011-11-30 2014-10-07 Facebook, Inc. Imposter account report management in a social networking system
    GB2497940B (en) 2011-12-21 2016-02-17 Eckoh Uk Ltd Method and apparatus for mediating communications
    US8930690B2 (en) 2012-03-21 2015-01-06 Microsoft Corporation Offloading packet processing for networking device virtualization
    US9973473B2 (en) 2012-03-30 2018-05-15 The University Of North Carolina At Chapel Hill Methods, systems, and computer readable media for rapid filtering of opaque data traffic
    US20130291100A1 (en) 2012-04-30 2013-10-31 Sundaram S. Ganapathy Detection And Prevention Of Machine-To-Machine Hijacking Attacks
    US9548962B2 (en) * 2012-05-11 2017-01-17 Alcatel Lucent Apparatus and method for providing a fluid security layer
    US8789135B1 (en) 2012-06-15 2014-07-22 Google Inc. Scalable stateful firewall design in openflow based networks
    US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
    US9386030B2 (en) 2012-09-18 2016-07-05 Vencore Labs, Inc. System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks
    US9124628B2 (en) 2012-09-20 2015-09-01 Cisco Technology, Inc. Seamless engagement and disengagement of transport layer security proxy services
    US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
    US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
    JP2014112768A (ja) 2012-12-05 2014-06-19 Hitachi Ltd 自動障害対応キャッシュシステム及びキャッシュサーバの障害対応処理方法並びにキャッシュマネージャ
    US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
    CN104937886B (zh) 2013-01-30 2017-10-24 日本电信电话株式会社 日志分析装置、信息处理方法
    US9077702B2 (en) 2013-01-30 2015-07-07 Palo Alto Networks, Inc. Flow ownership assignment in a distributed processor system
    US9154502B2 (en) 2013-01-31 2015-10-06 Google Inc. Accessing objects in hosted storage
    US9130901B2 (en) 2013-02-26 2015-09-08 Zentera Systems, Inc. Peripheral firewall system for application protection in cloud computing environments
    US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
    US9172627B2 (en) 2013-03-15 2015-10-27 Extreme Networks, Inc. Device and related method for dynamic traffic mirroring
    US9407519B2 (en) 2013-03-15 2016-08-02 Vmware, Inc. Virtual network flow monitoring
    US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
    US9338134B2 (en) 2013-03-27 2016-05-10 Fortinet, Inc. Firewall policy management
    US8739243B1 (en) 2013-04-18 2014-05-27 Phantom Technologies, Inc. Selectively performing man in the middle decryption
    KR101394424B1 (ko) 2013-04-22 2014-05-13 한국인터넷진흥원 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템
    US9021575B2 (en) 2013-05-08 2015-04-28 Iboss, Inc. Selectively performing man in the middle decryption
    US9419942B1 (en) 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
    US20150033336A1 (en) 2013-07-24 2015-01-29 Fortinet, Inc. Logging attack context data
    US9634911B2 (en) 2013-07-30 2017-04-25 Avaya Inc. Communication device event captures
    DE102013216847B4 (de) 2013-08-23 2023-06-01 Siemens Mobility GmbH Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit
    JP6201614B2 (ja) 2013-10-11 2017-09-27 富士通株式会社 ログ分析装置、方法およびプログラム
    WO2015066604A1 (en) 2013-11-04 2015-05-07 Crypteia Networks S.A. Systems and methods for identifying infected network infrastructure
    US9516049B2 (en) 2013-11-13 2016-12-06 ProtectWise, Inc. Packet capture and network traffic replay
    US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
    US9886581B2 (en) 2014-02-25 2018-02-06 Accenture Global Solutions Limited Automated intelligence graph construction and countermeasure deployment
    US20150256431A1 (en) 2014-03-07 2015-09-10 Cisco Technology, Inc. Selective flow inspection based on endpoint behavior and random sampling
    US9462008B2 (en) 2014-05-16 2016-10-04 Cisco Technology, Inc. Identifying threats based on hierarchical classification
    US20150350229A1 (en) 2014-05-29 2015-12-03 Singularity Networks, Inc. Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data
    US10469514B2 (en) 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
    US20160191558A1 (en) 2014-12-23 2016-06-30 Bricata Llc Accelerated threat mitigation system
    US9306818B2 (en) 2014-07-17 2016-04-05 Cellos Software Ltd Method for calculating statistic data of traffic flows in data network and probe thereof
    US9450972B2 (en) 2014-07-23 2016-09-20 Cisco Technology, Inc. Network attack detection using combined probabilities
    US9531672B1 (en) 2014-07-30 2016-12-27 Palo Alto Networks, Inc. Network device implementing two-stage flow information aggregation
    ES2736099T3 (es) 2014-10-21 2019-12-26 Ironnet Cybersecurity Inc Sistema de ciberseguridad
    US20160119365A1 (en) 2014-10-28 2016-04-28 Comsec Consulting Ltd. System and method for a cyber intelligence hub
    US20160127417A1 (en) 2014-10-29 2016-05-05 SECaaS Inc. Systems, methods, and devices for improved cybersecurity
    US10484405B2 (en) 2015-01-23 2019-11-19 Cisco Technology, Inc. Packet capture for anomalous traffic flows
    US10764162B2 (en) 2015-03-25 2020-09-01 Gigamon Inc. In-fabric traffic analysis
    US9667656B2 (en) 2015-03-30 2017-05-30 Amazon Technologies, Inc. Networking flow logs for multi-tenant environments
    US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
    WO2017131963A1 (en) 2016-01-29 2017-08-03 Acalvio Technologies, Inc. Using high-interaction networks for targeted threat intelligence
    AU2017234272A1 (en) 2016-03-15 2018-10-04 Carbon Black, Inc. Using private threat intelligence in public cloud

    Also Published As

    Publication number Publication date
    US20160072709A1 (en) 2016-03-10
    US11418487B2 (en) 2022-08-16
    WO2014164713A1 (en) 2014-10-09
    CA2902158C (en) 2019-04-09
    US10505898B2 (en) 2019-12-10
    US20200186498A1 (en) 2020-06-11
    US11012415B2 (en) 2021-05-18
    US20180123955A1 (en) 2018-05-03
    US20140283004A1 (en) 2014-09-18
    US20220353243A1 (en) 2022-11-03
    CA2902158A1 (en) 2014-10-09
    US10735380B2 (en) 2020-08-04
    AU2014249055B2 (en) 2016-10-27
    US20210258285A1 (en) 2021-08-19
    US10567343B2 (en) 2020-02-18
    EP2974212B1 (de) 2020-09-23
    US9124552B2 (en) 2015-09-01
    US9686193B2 (en) 2017-06-20
    US20150237012A1 (en) 2015-08-20
    AU2014249055A1 (en) 2015-09-03
    EP2974212A1 (de) 2016-01-20
    US20190312845A1 (en) 2019-10-10
    US9160713B2 (en) 2015-10-13
    US20200366647A1 (en) 2020-11-19
    DE202014011424U1 (de) 2020-05-29
    EP3767921A1 (de) 2021-01-20

    Similar Documents

    Publication Publication Date Title
    DE202014011510U1 (de) Filtern von Netzwerkdatenübertragungen
    DE202016008885U1 (de) Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen
    DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
    DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
    DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
    US9178851B2 (en) High availability security device
    US11711398B2 (en) Distributed network security service
    DE112022000856T5 (de) Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud
    Pedapudi et al. A Comprehensive Network Security Management in Virtual Private Network Environment
    DE102014109906B4 (de) Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt
    DE202023100576U1 (de) Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk
    DE102015016832B4 (de) Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem
    Guntamukalla Mitigation Against Distributed-Denial of Service Attacks Using Distribution and Self-Learning Aegis System
    Novotny et al. Hardware Acceleration for Cyber Security
    Hoherz et al. Intrusion Detection Systeme in Firewalls

    Legal Events

    Date Code Title Description
    R151 Utility model maintained after payment of second maintenance fee after six years
    R152 Utility model maintained after payment of third maintenance fee after eight years
    R207 Utility model specification
    R079 Amendment of ipc main class

    Free format text: PREVIOUS MAIN CLASS: H04L0012701000

    Ipc: H04L0045000000

    R081 Change of applicant/patentee

    Owner name: CENTRIPETAL LTD., IE

    Free format text: FORMER OWNER: CENTRIPETAL NETWORKS, INC., LEESBURG, US

    R082 Change of representative

    Representative=s name: MFG PATENTANWAELTE MEYER-WILDHAGEN MEGGLE-FREU, DE

    R071 Expiry of right