DE202014011510U1 - Filtern von Netzwerkdatenübertragungen - Google Patents
Filtern von Netzwerkdatenübertragungen Download PDFInfo
- Publication number
- DE202014011510U1 DE202014011510U1 DE202014011510.9U DE202014011510U DE202014011510U1 DE 202014011510 U1 DE202014011510 U1 DE 202014011510U1 DE 202014011510 U DE202014011510 U DE 202014011510U DE 202014011510 U1 DE202014011510 U1 DE 202014011510U1
- Authority
- DE
- Germany
- Prior art keywords
- packets
- network
- packet
- data
- data transmission
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000001914 filtration Methods 0.000 title claims abstract description 90
- 230000005540 biological transmission Effects 0.000 title claims abstract description 65
- 230000004044 response Effects 0.000 claims abstract description 46
- 238000000034 method Methods 0.000 claims description 94
- 238000012546 transfer Methods 0.000 claims description 22
- 230000006870 function Effects 0.000 description 28
- 230000009466 transformation Effects 0.000 description 19
- 238000004891 communication Methods 0.000 description 12
- 230000000903 blocking effect Effects 0.000 description 6
- 230000007123 defense Effects 0.000 description 6
- 230000008520 organization Effects 0.000 description 6
- 230000001404 mediated effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000011664 signaling Effects 0.000 description 2
- BUHVIAUBTBOHAG-FOYDDCNASA-N (2r,3r,4s,5r)-2-[6-[[2-(3,5-dimethoxyphenyl)-2-(2-methylphenyl)ethyl]amino]purin-9-yl]-5-(hydroxymethyl)oxolane-3,4-diol Chemical compound COC1=CC(OC)=CC(C(CNC=2C=3N=CN(C=3N=CN=2)[C@H]2[C@@H]([C@H](O)[C@@H](CO)O2)O)C=2C(=CC=CC=2)C)=C1 BUHVIAUBTBOHAG-FOYDDCNASA-N 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000018109 developmental process Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000013341 scale-up Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/74—Address processing for routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
System, das umfasst:
wenigstens einen Prozessor; und
einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen:
Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen;
in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist:
Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und
Fallenlassen jedes Paket im ersten Teil von Paketen; und
in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist:
Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder der mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und
Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
wenigstens einen Prozessor; und
einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen:
Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen;
in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist:
Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und
Fallenlassen jedes Paket im ersten Teil von Paketen; und
in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist:
Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder der mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und
Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
Description
- In Übereinstimmung mit den Bestimmungen des Gebrauchsmustergesetzes sind nur Vorrichtungen, wie sie in den anliegenden Schutzansprüchen definiert sind, geschützt und vom Gebrauchsmuster abgedeckt, nicht jedoch Verfahren. Soweit in der nachstehenden Beschreibung gegebenenfalls auf Verfahren Bezug genommen wird, dienen diese Hinweise nur zur exemplarischen Erläuterung der mit den anliegenden Schutzansprüchen geschützten Vorrichtung(en). Insbesondere können diese Verfahren in engem Zusammenhang mit den geschützten Vorrichtungen (z.B. Systemen oder computerlesbare Medien) stehen, zum Beispiel dergestalt, dass die geschützten Vorrichtungen derart ausgelegt sind, dass sie die Verfahren durchführen oder Befehle auf ihnen gespeichert sind, die, wenn sie von einem Computersystem ausgeführt werden, das Computersystem veranlassen, das Verfahren durchzuführen.
- QUERVERWEIS AUF VERWANDTE ANMELDUNG
- Dieses Gebrauchsmuster beansprucht die Priorität der US-Patentanmeldung mit der Seriennummer
13/795,822 - HINTERGRUND
- Die TCP/IP-Netzwerkprotokolle (z.B. das Transmission Control Protocol (TCP) und das Internet Protocol (IP)) wurden zum Aufbauen großer, belastbarer, zuverlässiger und robuster Netzwerke konzipiert. Solche Protokolle wurden jedoch ursprünglich nicht im Hinblick auf Sicherheit konzipiert. Spätere Entwicklungen haben solche Protokolle erweitert, um sichere Kommunikation zwischen Peers (z.B. Internet Protocol Security (IPsec)) bereitzustellen, aber die Netzwerke selbst bleiben anfällig für Angriffe (z.B. DDoS-(Distributed Denial-of-Service)-Angriffe, Phishing-Angriffe und dergleichen).
- Eine als Exfiltration bekannte Cyberangriffskategorie (z.B. Stehlen empfindlicher Daten oder Zugangsdaten über das Internet) hat sich als für herkömmliche Cyberabwehrsysteme besonders schwer zu verhindern erwiesen. Eine erste Ursache ist, dass viele Exfiltrationen durch die Nutzung gängiger Netzwerkdatenübertragungsprotokolle wie das vom World Wide Web benutzte Hypertext Transfer Protocol (HTTP) erleichtert werden, die für einen Beobachter (z.B. einem herkömmlichen Cyberabwehrsystem) oft wie normales Netzwerkverhalten aussehen. Eine zweite Ursache ist, dass typische Netzwerk-Trust-Modelle, wie die von Netzwerk-Firewalls benutzten, Exfiltrationen als vertrauenswürdige Operationen interpretieren. Eine dritte Ursache ist, dass sich menschliche Benutzer häufig wissentlich oder unwissentlich an Netzwerkaktivitäten beteiligen, die für Angriffe anfällig sind. Eine vierte Ursache ist die allgemeine Unfähigkeit herkömmlicher Cyberabwehrsysteme, sich ausreichend zu skalieren, um einer Cyberbedrohung zu begegnen; zum Beispiel in Bezug auf Verkehrsvolumen, Netzwerkverbindungsgeschwindigkeiten, Netzwerkleistung (z.B. Latenz- und Paketverlustanforderungen), Durchsetzung von Netzwerknutzungsrichtlinien usw. Demgemäß nutzen viele Cyberangriffe (z.B. DDoS-Angriffe und Exfiltrationen) die Eigenschaften des Internets, um ihre Ziele zu erreichen. Darüber hinaus gibt es, über die hier aufgezählten hinaus, noch andere Ursachen für das Versagen herkömmlicher Cyberabwehrsysteme des Standes der Technik, Cyberangriffe wie Exfiltrationen zu verhindern.
- KURZFASSUNG
- Es folgt eine vereinfachte Zusammenfassung, um ein Grundverständnis für einige Aspekte der Offenbarung bereitzustellen. Es ist weder beabsichtigt, wesentliche oder entscheidende Elemente der Offenbarung zu identifizieren, noch den Umfang der Offenbarung zu begrenzen. Die nachfolgende Zusammenfassung präsentiert lediglich einige Konzepte in einer vereinfachten Form als eine Einleitung zu der nachfolgenden ausführlichen Beschreibung.
- Aspekte dieser Offenbarung beziehen sich auf ein Filtern von Netzwerkdatenübertragungen. In einigen Variationen können mehrere Pakete empfangen werden. Es kann festgestellt werden, dass ein Teil der Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel haben. In Reaktion auf eine solche Feststellung kann ein durch die Paketfilterungsregel vorgegebener Operator auf den Teil von Paketen angewendet werden, deren Paket-Header-Feldwerte der Paketfilterungsregel entsprechen. Es kann ferner festgestellt werden, dass eines oder mehrere aus dem Teil der Pakete einen oder mehrere Anwendungs-Header-Feldwerte haben, die einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. In Reaktion auf eine solche Feststellung kann wenigstens eine durch den Operator vorgegebene Pakettransformationsfunktion auf das eine oder die mehreren aus dem Teil der Pakete angewendet werden.
- In einigen Ausführungsformen kann sich ein Netzwerkpaketfilter an einer Grenze zwischen einem gesicherten Netzwerk und einem ungesicherten Netzwerk (z.B. dem Internet) befinden. Das Filter kann Pakete beobachten, die die Netzwerkverbindung zwischen dem gesicherten Netzwerk und dem ungesicherten Netzwerk überqueren. Das Filter kann möglicherweise bestimmte Paket-Header-Informationen (z.B. Quell- und Ziel-IP-Adresse(n), Quell- und Zielport(s) und Protokolltyp(en)) mit einer oder mehreren Paketfilterungsregeln vergleichen, die eine Netzwerknutzungsrichtlinie oder eine Netzwerksicherheitsrichtlinie definieren können. Eine oder mehrere der Regeln können mit einem Operator assoziiert sein, der auf ein Paket angewendet werden kann, das ein oder mehrere durch die Regel vorgegebene Kriterien erfüllt.
- Solche Paketfilter können wenigstens zwei Operatoren implementieren: einen Identitätsoperator, der es dem Paket erlauben kann, in Richtung seines Ziels fortzufahren, und einen Nulloperator, der verhindern oder blockieren kann, dass das Paket in Richtung seines Ziels fortfährt. In einigen Ausführungsformen kann das Netzwerkpaketfilter einen oder mehrere zusätzliche Operatoren mit der Fähigkeit implementieren festzustellen, ob ein Paket einen Header auf Anwendungsebene enthält, der ein bestimmtes mit einem Datenübertragungsprotokoll assoziiertes Verfahren vorgibt; und falls ja, ob ein Identitätsoperator oder ein Nulloperator auf das Paket angewendet werden soll. Zum Unterscheiden eines Netzwerkpaketfilters, das die genannten zusätzlichen Operatoren implementiert, von Netzwerkpaketfiltern, die es nicht tun, wird ein Netzwerkpaketfilter, das solche zusätzlichen Operatoren implementiert, nachfolgend als Packet Security Gateway (PSG) bezeichnet.
- Zum Beispiel kann ein solcher Operator in der Lage sein, eine oder mehrere der folgenden Funktionen auszuführen: (1) Feststellen, ob ein eine Grenze überquerendes IP-Paket ein HTTP-Paket enthält (z.B. ein HTTP-Paket auf Anwendungsebene), das ein oder mehrere spezifische HTTP-Verfahren (z.B. GET, PUT, POST usw.) vorgibt, und (2) Erlauben bzw. Zulassen des Pakets (z.B. falls ein GET-Verfahren vorgegeben wird) oder Blockieren des Pakets (z.B. falls ein PUT- oder POST-Verfahren vorgegeben wird). Ein oder mehrere Administratoren des gesicherten Netzwerks können einen solchen Operator mit einer oder mehreren Regeln in einer Netzwerksicherheitsrichtlinie assoziieren, um über das PSG eine Webnutzungsrichtlinie durchzusetzen, die es beispielsweise Benutzern erlauben kann, auf einer oder mehreren an das Internet angeschlossenen Websites zu surfen (z.B. GET), die aber verhindern können, dass ein oder mehrere solche Benutzer auf einer oder mehreren Websites Datendateien schreiben (z.B. PUT) und/oder Formulare posten (z.B. POST). Zum Beispiel können ein oder mehrere Administratoren solche Funktionalität nutzen, um eine oder mehrere Exfiltrationen (z.B. Dateiübertragungen, die empfindliche Informationen enthalten, Posten von Anmeldedaten (Benutzernamen und Passwörter) usw.) zu Netzwerkknoten (z.B. Websites) zu verhindern, denen sie möglicherweise nicht vertrauen.
- Weitere Einzelheiten und Merkmale werden in den nachfolgenden Abschnitten beschrieben.
- Figurenliste
- Die vorliegende Offenbarung wird insbesondere in den beiliegenden Schutzansprüchen dargelegt. Merkmale der Offenbarung werden nach einem Studium der vorliegenden Offenbarung in ihrer Gesamtheit, einschließlich der beiliegenden Zeichnungsfiguren, offenkundiger.
- Einige Merkmale hier werden beispielhaft und nicht zur Begrenzung in den Figuren der Begleitzeichnungen illustriert, in denen sich gleiche Bezugsziffern auf ähnliche Elemente beziehen.
-
1 veranschaulicht eine beispielhafte Netzwerkumgebung, in der ein oder mehrere Aspekte der Offenbarung implementiert werden können. -
2 veranschaulicht ein beispielhaftes PaketSicherheits-Gateway. -
3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie mit Operatoren, die Datenübertragungsprotokoll- oder Anwendungsschichtprotokoll-Header-Informationen filtern. -
4 veranschaulicht ein beispielhaftes Verfahren zum Schützen eines gesicherten Netzwerks durch Durchsetzen von einer oder mehreren Netzwerknutzungsrichtlinien oder Netzwerksicherheitsrichtlinien. - AUSFÜHRLICHE BESCHREIBUNG
- In der nachfolgenden Beschreibung von verschiedenen veranschaulichenden Ausführungsformen wird auf die Begleitzeichnungen Bezug genommen, die Bestandteil davon bilden und in denen durch Veranschaulichung verschiedene Ausführungsformen gezeigt werden, in denen Aspekte der Offenbarung praktiziert werden können. Es versteht sich, dass auch andere Ausführungsformen benutzt und strukturelle und funktionelle Modifikationen vorgenommen werden können, ohne vom Umfang der vorliegenden Offenbarung abzuweichen.
- Verschiedene Verbindungen zwischen Elementen werden in der nachfolgenden Beschreibung erörtert. Diese Verbindungen sind allgemein und können, falls nichts anderes angegeben ist, direkt oder indirekt, drahtgebunden oder drahtlos, physisch oder logisch sein. In dieser Hinsicht soll die Spezifikation nicht einschränkend sein.
-
1 veranschaulicht eine beispielhafte Netzwerkumgebung100 , in der ein oder mehrere Aspekte der Offenbarung implementiert werden können. Mit Bezug auf1 kann Netzwerk102 als Verbindung zwischen Netzwerken104 ,106 und108 fungieren. Zum Beispiel kann Netzwerk102 das öffentliche Internet oder ein anderes großes TCP/IP-Netzwerk sein, das als Verbindung zwischen einem oder mehreren lokalen Netzwerken (LANs) oder Weitbereichsnetzen (WANs) fungiert (z.B. das Non-classified Internet Protocol (IP) Router Network (NIPRNet), betrieben von der United States Defense Information Systems Agency (DISA)). Netzwerke104 ,106 und108 können LANs oder WANs sein, die von verschiedenen Organisationen (z.B. einem oder mehreren Wirtschaftsunternehmen, Firmen, Universitäten, Militärdienststellen, Regierungsbehörden oder cyberkriminellen Organisationen) betrieben werden oder anderweitig damit assoziiert sein können. - Zum Beispiel kann ein geografisch verteiltes Wirtschaftsunternehmen X Besitzer und Betreiber der Netzwerke
104 und106 sein und Netzwerk102 (z.B. das Internet) zum Verbinden von Netzwerken104 und106 und zum Zugreifen auf andere an das Netzwerk102 angeschlossene Netzwerke (z.B. andere Netzwerke, deren Besitzer oder Betreiber nicht das Unternehmen X ist) benutzen. Ein oder mehrere Computervorrichtungen (z.B. Workstations, Server usw.) von Unternehmen X können an Netzwerk104 oder106 angeschlossen werden. Netzwerk108 kann einer cyberkriminellen Organisation Z gehören und von ihr betrieben werden, die versuchen kann, Informationen (z.B. empfindliche Daten) von Unternehmen X beispielsweise über das Netzwerk102 zu stehlen. Mitglieder von Organisation Z können ein oder mehrere Computervorrichtungen (z.B. Workstations oder Server) an das Netzwerk108 anschließen und können diese Workstation(s) oder Server zum Angreifen auf oder Sammeln von Daten von einem oder mehreren an Unternehmen X angegliederten Netzwerken (z.B. Netzwerk104 oder106 ) benutzen. - Wie hier verwendet, kann ein Packet Security Gateway (PSG) ein oder mehrere Computervorrichtungen umfassen, die zum Empfangen von Paketen und zum Anwenden von einem oder mehreren Filtern oder Operatoren, einschließlich eines Identitäts- (z.B. Erlauben bzw. Zulassen) oder Null-(z.B. Blockieren) Operators, auf die Pakete konfiguriert sind. In einigen Ausführungsformen kann ein Packet Security Gateway zum Anwenden von einem oder mehreren zusätzlichen Operatoren, wie hier beschrieben, konfiguriert sein. Wie hier verwendet, kann ein Sicherheitsrichtlinien-Managementserver ein oder mehrere Computervorrichtungen umfassen, die zum Übermitteln einer dynamischen Sicherheitsrichtlinie an ein Packet Security Gateway konfiguriert sind. In einigen Ausführungsformen kann ein Sicherheitsrichtlinien-Managementserver zum Durchführen von einer oder mehreren zusätzlichen Funktionen wie hier beschrieben konfiguriert sein. Wie hier verwendet, kann eine dynamische Sicherheitsrichtlinie eine oder mehrere Regeln, Nachrichten, Befehle, Dateien, Datenstrukturen oder dergleichen umfassen, die Kriterien vorgeben, die einem oder mehreren Paketen entsprechen, und kann einen oder mehrere Operatoren zur Anwendung auf Pakete entsprechend den vorgegebenen Kriterien identifizieren. In einigen Ausführungsformen kann eine dynamische Sicherheitsrichtlinie einen oder mehrere zusätzliche Parameter wie hier beschrieben vorgeben.
- Netzwerkumgebung
100 kann ein oder mehrere Packet Security Gateways sowie einen oder mehrere Sicherheitsrichtlinien-Managementserver umfassen. Zum Beispiel kann die Netzwerkumgebung100 Packet Security Gateways110 und112 sowie einen Sicherheitsrichtlinien-Managementserver114 umfassen. Ein oder mehrere Sicherheitsrichtlinien-Managementserver können mit einem geschützten Netzwerk assoziiert sein. Zum Beispiel können Netzwerke104 und106 jeweils separate LANs sein, die mit einem gemeinsamen Unternehmen X assoziiert sind, und können jeweils Bestandteil eines geschützten oder gesicherten Netzwerks bilden, das mit dem Sicherheitsrichtlinien-Managementserver114 assoziiert ist. Unternehmen X möchte möglicherweise Cyberangriffe (z.B. Exfiltrationen) aus einem oder mehreren seiner Netzwerke (z.B. Netzwerk104 oder106 ) verhüten. Demgemäß kann es ein oder mehrere Packet Security Gateways an jeder Grenze zwischen seinen Netzwerken und einem oder mehreren öffentlichen Verbindungsnetzwerken (z.B. Netzwerk102 ) positionieren, die von einem Cyberkriminellen wie Organisation Z benutzt werden können, um zu versuchen, aus der Ferne auf seine Netzwerke (z.B. Netzwerk104 oder106 ) zuzugreifen, und die zum Beispiel potentiell benutzt werden können, um eine Übertragung von Daten von einem oder mehreren seiner Netzwerke (z.B. Netzwerk104 oder106 ) auf ein oder mehrere an die Organisation Z angegliederte Netzwerke (z.B. Netzwerk108 ) zu versuchen. Zum Beispiel kann das Packet Security Gateway110 Netzwerk104 vor einem oder mehreren Cyberangriffen (z.B. Exfiltrationen) schützen, die vom Netzwerk102 (z.B. dem Internet) vermittelt werden, und Packet Security Gateway112 kann das Netzwerk106 vor einem oder mehreren von Netzwerk102 vermittelten Cyberangriffen (z.B. Exfiltrationen) schützen. - Wie nachfolgend ausführlicher beschrieben wird, kann jedes von, mit einem Sicherheitsrichtlinien-Managementserver assoziierten, ein oder mehreren Packet Security Gateways konfiguriert sein zum Empfangen einer dynamischen Sicherheitsrichtlinie aus einem Sicherheitsrichtlinien-Managementserver, zum Empfangen von Paketen, die mit einem vom Packet Security Gateway geschützten Netzwerk assoziiert sind, und zum Durchführen von einer oder mehreren durch die dynamische Sicherheitsrichtlinie vorgegebenen Operationen an den Paketen. Zum Beispiel kann jedes der Packet Security Gateways
110 und112 zum Empfangen einer dynamischen Sicherheitsrichtlinie aus Sicherheitsrichtlinien-Managementserver114 konfiguriert sein. Jedes der Packet Security Gateways110 und112 kann auch zum Empfangen von mit Netzwerken104 ,106 oder108 assoziierten Paketen konfiguriert sein. Jedes der Packet Security Gateways110 und112 kann ferner konfiguriert sein zum Anwenden einer oder mehrerer Regeln oder Operatoren, die von der aus Sicherheitsrichtlinien-Managementserver114 empfangenen dynamischen Sicherheitsrichtlinie vorgegeben werden, auf mit den Netzwerken104 ,106 oder108 assoziierte Pakete. -
2 veranschaulicht ein beispielhaftes Packet Security Gateway gemäß einem oder mehreren Aspekten der Offenbarung. Mit Bezug auf2 kann, wie oben angedeutet, sich ein Packet Security Gateway110 an einer Netzwerkgrenze202 zwischen Netzwerken104 und102 befinden. Das Packet Security Gateway110 kann einen oder mehrere Prozessoren204 , Speicher206 , Netzwerkschnittstellen208 und210 , Paketfilter212 und eine Managementschnittstelle214 beinhalten. Der eine oder die mehreren Prozessoren204 , der Speicher206 , die Netzwerkschnittstellen208 und210 , das Paketfilter212 und die Managementschnittstelle214 können über Datenbus216 miteinander verbunden werden. Netzwerkschnittstelle208 kann das Packet Security Gateway110 mit dem Netzwerk104 verbinden. Ebenso kann die Netzwerkschnittstelle210 das Packet Security Gateway110 mit dem Netzwerk102 verbinden. Der Speicher206 kann ein oder mehrere Programmmodule beinhalten, die bei Ausführung durch die ein oder mehreren Prozessoren204 das Packet Security Gateway110 zum Durchführen von einer oder mehreren von verschiedenen hier beschriebenen Funktionen konfigurieren können. - Das Packet Security Gateway
110 kann zum Empfangen einer dynamischen Sicherheitsrichtlinie aus dem Sicherheitsrichtlinien-Managementserver114 konfiguriert sein. Zum Beispiel kann das Packet Security Gateway110 eine dynamische Sicherheitsrichtlinie218 aus dem Sicherheitsrichtlinien-Managementserver114 über die Managementschnittstelle214 (z.B. über bandexterne Signalisierung) oder über die Netzwerkschnittstelle208 (z.B. über bandinterne Signalisierung) empfangen. Das Packet Security Gateway110 kann ein oder mehrere Paketfilter oder Paketdiskriminatoren oder Logik zum Implementieren von einem oder mehreren Paketfiltern oder Paketdiskriminatoren umfassen. Zum Beispiel kann Packet Security Gateway110 das Paketfilter212 umfassen, das zum Untersuchen von Informationen, die mit vom Packet Security Gateway110 empfangenen Paketen assoziiert sind, und zum Weiterleiten solcher Pakete zu einem oder mehreren der Operatoren220 ,222 oder224 auf der Basis der untersuchten Informationen konfiguriert sein kann. Zum Beispiel kann das Paketfilter212 Informationen untersuchen, die mit vom Packet Security Gateway110 empfangenen Paketen assoziiert sind (z.B. Pakete, die aus Netzwerk104 über die Netzwerkschnittstelle208 empfangen werden), und die Pakete zu einem oder mehreren Operatoren220 ,222 oder224 auf der Basis der untersuchten Informationen weiterleiten. - Wie nachfolgend ausführlicher beschrieben wird, kann die dynamische Sicherheitsrichtlinie
218 eine oder mehrere Regeln umfassen und die Konfiguration des Paketfilters212 kann auf einer oder mehreren der in der dynamischen Sicherheitsrichtlinie218 enthaltenen Regeln basieren. Zum Beispiel kann die dynamische Sicherheitsrichtlinie218 eine oder mehrere Regeln umfassen, die vorgeben, dass Pakete mit vorgegebenen Informationen zum Operator220 weitergeleitet werden sollen, dass Pakete mit anderen vorgegebenen Informationen zum Operator222 weitergeleitet werden sollen und dass alle anderen Pakete zum Operator224 weitergeleitet werden sollen. Operatoren220 ,222 und224 können zum Durchführen einer oder mehreren Funktionen an Paketen konfiguriert sein, die sie vom Paketfilter212 erhalten. Zum Beispiel können ein oder mehrere der Operatoren220 ,222 und224 zum Weiterleiten von vom Paketfilter212 empfangenen Paketen in das Netzwerk102 , zum Weiterleiten von vom Paketfilter212 empfangenen Paketen zu einem IPsec-Stapel (nicht veranschaulicht) mit einer IPsec-Sicherheitsassoziation entsprechend den Paketen oder zum Fallenlassen von vom Paketfilter212 empfangenen Paketen konfiguriert sein. In einigen Ausführungsformen können ein oder mehrere Operatoren220 ,222 oder224 zum Fallenlassen von Paketen durch Senden der Pakete zu einer lokalen „unendlichen Senke“ (infinite sink) (z.B. der /dev/null-Gerätedatei in einem UNIX/LINUX-System) konfiguriert sein. -
3 veranschaulicht eine beispielhafte dynamische Sicherheitsrichtlinie gemäß einer oder mehreren Ausführungsformen. Mit Bezug auf3 kann die dynamische Sicherheitsrichtlinie218 Regeln 1302 , 2304 , 3306 , 4308 , 5310 , 6312 und 7314 umfassen. Jede dieser Regeln kann Kriterien und einen oder mehrere Operatoren vorgeben, die auf Pakete angewendet werden können, die mit den vorgegebenen Kriterien assoziiert sind (z.B. damit übereinstimmen). Die vorgegebenen Kriterien können die Form eines Fünf-Tupels haben, das beispielsweise einen oder mehrere Werte umfassen kann, die aus Paket-Header-Informationen ausgewählt sind, unter Vorgabe eines Protokolltyps des Datenteils eines IP-Pakets (z.B. TCP, User Datagram Protocol (UDP), Internet Control Message Protocol (ICMP) oder einem oder mehreren anderen Protokollen), einer oder mehreren Quell-IP-Adressen, einem oder mehreren Quell-Port-Werten, einer oder mehreren Ziel-IP-Adressen und einem oder mehreren Zielports. - Zum Beispiel kann Regel 1
302 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port22 (z.B. mit dem Secure Shell (SSH) Protocol assoziiert), ein ALLOW-Operator (z.B. ein Identitätsoperator) angewendet werden soll. Ebenso kann Regel 2304 vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete enthalten, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port25 (z.B. mit dem Simple Mail Transfer Protocol (SMTP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 3
306 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port110 (z.B. mit Post Office Protocol Version 3 (POP3) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 4
308 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port143 (z.B. mit dem Internet Message Access Protocol (IMAP) assoziiert), ein ALLOW-Operator (ERLAUBEN-Operator) angewendet werden soll. - Regel 5
310 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 140.212 beginnt, und bestimmt für Port443 (z.B. mit dem Port für das Hypertext Transfer Protocol Secure (HTTPS) Protokoll assoziiert), ein vorgegebener TLS-(Transport Layer Security)-Protokoll (z.B. REQUIRE-TLS1.1-1.2 ) Operator (wie nachfolgend ausführlicher beschrieben) angewendet werden soll. - Regel 7
314 kann eine „Platzhalter“-Regel sein und kann einen BLOCK-Operator (z.B. einen Nulloperator, der Pakete „fallenlässt“, auf die er angewendet wird) auf Pakete anwenden, die nicht die Kriterien von beliebigen der Regeln 1302 , 2304 , 3306 , 4308 , 5310 oder 6312 erfüllen (z.B. wenn Regeln 1302 , 2304 , 3306 , 4308 , 5310 , 6312 und 7314 auf lineare Weise auf Pakete angewendet werden). - Wie oben mit Bezug auf
1 beschrieben, können die Netzwerke104 und106 dem Unternehmen X gehören oder von ihm betrieben werden. Das Unternehmen X kann IPv4-Adressen 140.210.0.0/16 dem Netzwerk104 und IPv4-Adressen 140.212.0.0/16 dem Netzwerk106 zugeordnet haben. Das Unternehmen X hat möglicherweise die dynamische Sicherheitsrichtlinie218 auf das PSG110 geladen und kann das PSG110 zum Durchsetzen von einer oder mehreren Netzwerksicherheitsrichtlinien nutzen, die in einer oder mehreren Regeln der dynamischen Sicherheitsrichtlinie218 ausgestaltet sind, um Netzwerkkommunikationen zwischen Netzwerken104 und106 zu beschränken (z.B. zum Sichern von System-Logins, E-Mail, verschlüsselten Websitzungen und dergleichen). Zum Beispiel kann Regel 1302 auf der Basis der Standardnutzung von Ports erlauben, dass beliebige an das Netzwerk104 angeschlossene Hosts SSH-(Secure Shell)-Sitzungen (z.B. System-Logins) mit beliebigen an das Netzwerk106 angeschlossenen Hosts durchführen; Regel 2304 kann es erlauben, dass beliebige an das Netzwerk104 angeschlossene E-Mail-Server SMTP-Sitzungen (z.B. E-Mail-Übertragungssitzungen) mit beliebigen an das Netzwerk106 angeschlossenen E-Mail-Servern durchführen; Regel 3306 und Regel 4308 können es jeweils erlauben, dass an das Netzwerk104 angeschlossene E-Mail-Clients POP3- und IMAP-Sitzungen (z.B. E-Mail-Download-Sitzungen auf eine Webmail-Browser-Anwendung) mit beliebigen an das Netzwerk106 angeschlossenen E-Mail-Servern durchführen; und Regel 5310 kann es erlauben, dass an das Netzwerk104 angeschlossene Web-Browser HTTPS-Sitzungen (z.B. sichere Websitzungen) mit beliebigen an das Netzwerk106 angeschlossenen Webservern durchführen, aber, wie unten näher beschrieben wird, den REQUIRE-TLS-1.1-1.2 Operator benutzen können, um zu gewährleisten, dass nur HTTPS-sichere Websitzungen mit Version1.1 oder1.2 des TLS-(Transport Layer Security)-Protokolls zum Sichern solcher HTTPS-Sitzungen zugelassen werden (z.B. weil das gängige TLS Version1.0 Protokoll eine bekannte Sicherheitsverwundbarkeit hat, die Angreifer zum Entschlüsseln von HTTPS-Sitzungen nutzen können). - Regel 6
312 kann vorgeben, dass auf IP-Pakete, die ein oder mehrere TCP-Pakete umfassen, die von einer Quell-IP-Adresse stammen, die mit 140.210 beginnt, mit einem beliebigen Quellport, bestimmt für eine IP-Adresse, die mit 200.214 beginnt, und bestimmt für Port 80 (z.B. assoziiert mit dem HTTP-Protokoll), ein HTTP-EXFIL-Operator angewendet werden soll. Wie nachfolgend ausführlicher beschrieben wird, kann ein HTTP-EXFIL-Operator HTTP-Pakete erlauben, die ein GET-Verfahren enthalten, aber HTTP-Pakete blockieren, die andere HTTP-Verfahren enthalten (z.B. PUT, POST, CONNECT usw.). Ein solcher Operator kann es somit erlauben, dass ein Web-Browser „auf dem Web surft“ (z.B. von Web-Servern gehostete Webseiten herunterlädt), aber kann verhindern, dass der Web-Browser Dateien auf einen Web-Server schreibt (z.B. mit dem PUT-Verfahren), Formulare (z.B. Formulare, die Anmeldedaten wie Benutzernamen oder Passwörter enthalten können) auf einen Web-Server postet (z.B. mit dem POST-Verfahren) oder auf andere Weise mit einem Web-Server kommuniziert (z.B. mit einem HTTP-Verfahren ausgenommen GET). Da Angreifer häufig HTTP-, PUT- oder POST-Verfahren zum Exfiltrieren empfindlicher Daten benutzen, können Operatoren wie HTTP-EXFIL zum Stoppen solcher Exfiltrationen benutzt werden. - Zurück zum oben beschriebenen Beispiel, Organisation Z kann Besitzer oder Betreiber des Netzwerks
108 sein und kann dem Netzwerk108 Netzwerk-IP-Adressen 214.0.0.0/8 zugeordnet haben. Das Unternehmen X hat möglicherweise keine Geschäftsbeziehung zu Organisation Z und hält daher evtl. das Netzwerk108 nicht für vertrauenswürdig. Während Unternehmen X einfach alle Kommunikationen zu Netzwerken blockieren könnte, deren Besitzer und Betreiber Organisationen sind, denen es nicht völlig vertraut, hätte dies wahrscheinlich zur Folge, dass Unternehmen X den Zugang zum größten Teil des Internets blockiert. Mitarbeiter von Unternehmen X könnten daher nicht frei auf dem Web surfen, was die Fähigkeit der Mitarbeiter beschränken kann, Geschäfte für Unternehmen X zu tätigen. Durch Durchsetzen von Regelsätzen ähnlich Regel 6312 , die Operatoren wie oder ähnlich HTTP-EXFIL anwenden können, kann Unternehmen X seine Mitarbeiter befähigen, frei auf dem Web zu surfen und Firmengeschäfte zu tätigen, kann aber einen oder mehrere Cyberangriffe (z.B. HTTP-vermittelte Exfiltrationen) verhüten. - Eine Funktion von Operatoren wie HTTP-EXFIL und REQUIRE-TLS-1.1-1.2 kann darin bestehen, Felder in den Headern von in IP-Paketen enthaltenen Anwendungspaketen zu prüfen, Feldwerte zu bestimmen und je nach den Feldwerten zu beschließen, zu erlauben, zu blockieren oder auf andere Weise (z.B. Verkapseln des Pakets in einen Tunnel, Verändern von einem oder mehreren Header-Feldwerten usw.) eine Pakettransformationsfunktion auf die Pakete anzuwenden. Die Logik für diese Funktion kann von einem oder mehreren der Operatoren
220 ,222 und224 ausgeführt werden. Die Logik kann in einer High-Level-Programmiersprache wie C entwickelt werden. Ein Beispiel für eine solche programmatische Logik, in Pseudocode geschrieben, für den HTTP-EXFIL-Operator lautet wie folgt: - Operator HTTP-EXFIL(ip-packet):
Inspect app-pkt(ip-packet) match GET return ALLOW; Inspect app-pkt(ip-packet) match POST return BLOCK; Inspect app-pkt(ip-packet) match PUT return BLOCK; Inspect app-pkt(ip-packet) match DELETE return BLOCK; Inspect app-pkt(ip-packet) match CONNECT return BLOCK; Return BLOCK; End Operator HTTP-EXFIL;
Mit Bezug auf das obige Beispiel kann der Operator HTTP-EXFIL als Eingabe ein IP-Paket akzeptieren, das eine Regel erfüllt, wie Regel 6 312 der dynamischen Sicherheitsrichtlinie 218 . Falls das in dem IP-Paket enthaltene Anwendungspaket ein HTTP-Paket ist, dann kann der Wert des HTTP-Verfahrenfelds im HTTP-Paket-Header mit den Werten verglichen werden, die die Verfahren GET, POST, PUT, DELETE und CONNECT codieren. Falls eine Übereinstimmung gefunden wird, dann kann der HTTP-EXFIL-Operator ALLOW oder BLOCK zurückgeben, je nach Verfahrenswert. Falls keine Übereinstimmung gefunden wird, dann kann der HTTP-EXFIL-Operator BLOCK zurückgeben.
Es wird nachfolgend ein Beispiel für Programmierlogik, in Pseudocode geschrieben, für einen REQUIRE-TLS-1.1-1.2 Operator gegeben. Der REQUIRE-TLS-1.1-1.2 Operator kann mit Filterregeln für HTTPS-Sitzungen wie Regel 5 310 der dynamischen Sicherheitsrichtlinie 218 assoziiert sein. HTTPS kann zum Verschlüsseln von HTTP-Sitzungen benutzt werden. HTTPS ist kein Protokoll an sich, sondern eher das Ergebnis der Schichtung des HTTP-Protokolls auf das TLS-Protokoll. Für eine HTTPS-Sitzung bestehend aus IP-Paketen können die in den IP-Paketen enthaltenen Anwendungspakete TLS Record Protocol Pakete sein. Die Header-Felder von TLS Record Protocol Paketen sind evtl. nicht verschlüsselt. Eines der Header-Felder kann einen Wert enthalten, der die TLS-Version anzeigt.
Beispielhafte programmatische Logik für einen in Pseudocode geschriebenen REQUIRE-TLS-1.1-1.2 Operator lautet wie folgt:
Operator REQUIRE-TLS-1.1-1.2(ip-packet):
Inspect app-pkt(ip-packet) match 1.0 return BLOCK; Inspect app-pkt(ip-packet) match 1.1 return ALLOW; Inspect app-pkt(ip-packet) match 1.2 return ALLOW; Return BLOCK; End Operator REQUIRE-TLS-1.1-1.2
Mit Bezug auf das obige Beispiel kann der Operator REQUIRE-TLS-1.1-1.2 als Eingabe ein IP-Paket akzeptieren, das eine Regel wie Regel 5 310 der dynamischen Sicherheitsrichtlinie 218 erfüllt. Falls das in dem IP-Paket enthaltene Anwendungspaket ein TLS Record Protocol Paket ist, dann kann der Wert des Versionsfelds im TLS Record Protocol Paket-Header mit den Werten verglichen werden, die Versionsnummern 1.0, 1.1 und 1.2 codieren. Falls eine Übereinstimmung gefunden wird, dann kann der REQUIRE-TLS-1.1-1.2 Operator ALLOW oder BLOCK zurückgeben, je nach dem Versionsnummernwert. Falls keine Übereinstimmung gefunden wird, dann kann der REQUIRE-TLS-1.1-1.2 Operator BLOCK zurückgeben.
Der hier beschriebene Filterprozess kann so angesehen werden, dass er zwei (2) Stufen hat: eine erste Stufe, in der die „5-Tupel“ von IP-Paket-Header-Feldwerten und Transportprotokoll-(z.B. TCP, UDP usw.)-Paket-Header-Feldwerten gefiltert werden können; und eine zweite Stufe, in der Anwendungspaket-Header-Feldwerte gefiltert werden können (z.B. durch Anwenden von Operator-Logik ähnlich der oben beschriebenen). Konzeptionell kann die erste Stufe feststellen, ob die Netzwerkrichtlinie Kommunikationen zwischen den in der 5-Tupel-Regel identifizierten Ressourcen erlaubt; falls ja, dann kann die zweite Stufe feststellen, ob die Richtlinie das/den spezifische(n) Kommunikationsverfahren oder -typ (z.B. Datei lesen, Datei schreiben, verschlüsselte Kommunikation usw.) zwischen den Ressourcen zulässt. Ein solches Verfahren kann jedoch auch in anderen Konzeptmodellen benutzt werden.
Die oben beschriebenen Verfahren können modifiziert werden, um eine andere Funktionalität zu erzielen, und können auf andere Datenübertragungsprotokolle oder auf andere Anwendungsschichtprotokolle erweitert werden. Diese Verfahren können Netzwerkadministratoren Fähigkeiten zum Durchsetzen von Netzwerknutzungsrichtlinien und Netzwerksicherheitsrichtlinien verleihen, die Fähigkeiten und Funktionalitäten über die oben beschriebenen hinaus haben. Zum Beispiel können diese Verfahren Netzwerkadministratoren Fähigkeiten zum Verhindern von Exfiltrationen geben, die von anderen Datenübertragungsprotokollen neben HTTP und HTTPS vermittelt werden. Beispiele für solche Protokolle sind File Transfer Protocol (FTP) und Messaging-Protokolle wie eXtensible Messaging and Presence Protocol (XMPP). Darüber hinaus können in Zukunft neue Netzwerkanwendungen auftreten, die neue Datenübertragungsprotokolle und Anwendungsschichtprotokolle benutzen können, auf die die vorliegenden Verfahren angewendet werden können. Diese Verfahren können auch für andere Zwecke als Netzwerkrichtliniendurchsetzung und Exfiltrationsverhütung benutzt werden. Zum Beispiel können sie nützlich sein, damit ein Paketfilter rasch erkennen kann, ob ein IP-Paket ein RTP-(Real-time Transport Protocol)-Anwendungspaket enthält, das zum Liefern von Audio- oder Videoinformationen benutzt wird (z.B. falls ein Cyberangriff auf der Basis von RTP noch entdeckt werden muss, dann können Netzwerkadministratoren wählen, RTP-Pakete nicht durch die Cybersicherheitsabwehrsysteme zu verarbeiten, die möglicherweise ihre Netzwerke schützen).
In Schritt 406 kann festgestellt werden, ob ein oder mehrere Anwendungs-Header-Feldwerte von einem oder mehreren aus dem Teil der empfangenen Pakete einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. Zum Beispiel kann festgestellt werden, ob ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte entsprechend einem oder mehreren Anwendungs-Header-Feldkriterien des von Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operator haben (z.B. Anwendungs-Header-Feldwerte entsprechend TLS-Version 1.1 oder 1.2). In Schritt 408 kann in Reaktion auf die Feststellung, dass ein oder mehrere aus dem Teil von empfangenen Paketen Anwendungs-Header-Feldwerte entsprechend einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, eine durch den Operator vorgegebene Pakettransformationsfunktion auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann eine durch den REQUIRE-TLS-1.1-1.2 Operator vorgegebene ALLOW-Pakettransformationsfunktion auf die ein oder mehreren aus dem Teil der empfangenen Pakete mit Anwendungs-Header-Feldwerten entsprechend dem einem oder den mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators angewendet werden (z.B. jedes der ein oder mehreren aus dem Teil der empfangenen Pakete kann weiter in Richtung seines jeweiligen Ziels fortfahren). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. ein oder mehrere zusätzliche über die Netzwerkschnittstelle 208 empfangenen Pakete vom Netzwerk 104 , bestimmt für Netzwerk 106 ).
Zurück zu Schritt 406 kann festgestellt werden, ob ein oder mehrere Anwendungs-Header-Feldwerte von einem oder mehreren aus dem Teil der empfangenen Pakete einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen. Zum Beispiel kann festgestellt werden, ob ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte entsprechend einem oder mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators haben (z.B. Anwendungs-Header-Feldwerte entsprechend TLS-Version 1.1 oder 1.2). In Reaktion auf die Feststellung, dass ein oder mehrere aus dem Teil der empfangenen Pakete Anwendungs-Header-Feldwerte haben, die nicht einem oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien entsprechen, können eine oder mehrere zusätzliche Paketfilterungsregeln auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann Regel 7 314 auf die ein oder mehreren aus dem Teil der empfangenen Pakete mit Anwendungs-Header-Feldwerten angewendet werden, die nicht einem oder mehreren Anwendungs-Header-Feldkriterien des durch Regel 5 310 vorgegebenen REQUIRE-TLS-1.1-1.2 Operators entsprechen (z.B. jedes der ein oder mehreren aus dem Teil der empfangenen Pakete kann von einem Fortfahren in Richtung seines jeweiligen Ziels blockiert werden). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. einem oder mehreren über die Netzwerkschnittstelle 208 empfangenen zusätzlichen Paketen aus Netzwerk 104 , die für Netzwerk 106 bestimmt sind).
Zurück zu Schritt 402 kann festgestellt werden, ob ein Teil der empfangenen Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat. Zum Beispiel kann festgestellt werden, ob ein Teil der vom Netzwerk 104 empfangenen Pakete Paket-Header-Feldwerte (z.B. ein oder mehrere aus einem oder mehreren Datensektionsprotokollen, eine oder mehrere Quell-IP-Adressen, ein oder mehrere Quellports, eine oder mehrere Ziel-IP-Adressen oder ein oder mehrere Zielports) entsprechend Regel 5 310 hat. In Reaktion auf die Feststellung, dass der Teil von empfangenen Paketen Paket-Header-Feldwerte hat, die der Paketfilterungsregel nicht entsprechen, können eine oder mehrere zusätzliche Paketfilterungsregeln auf die ein oder mehreren aus dem Teil der empfangenen Pakete angewendet werden. Zum Beispiel kann Regel 7 314 auf den Teil von empfangenen Paketen angewendet werden, die keine Paket-Header-Feldwerte haben, die Regel 5 310 entsprechen (z.B. jedes aus dem Teil der empfangenen Pakete kann an einem Fortfahren in Richtung auf sein jeweiliges Ziel blockiert werden). Das Verfahren kann dann zu Schritt 400 zurückkehren und auf den Empfang von einem oder mehreren zusätzlichen Paketen warten (z.B. eine oder mehrere über die Netzwerkschnittstelle 208 empfangene zusätzliche Pakete vom Netzwerk 104 , die für das Netzwerk 106 bestimmt sind).
Die hier beschriebenen Funktionen und Schritte können in computernutzbaren Daten oder computerausführbaren Befehlen ausgestaltet werden, wie in einem oder mehreren Programmmodulen, ausgeführt von einem oder mehreren Computern oder anderen Vorrichtungen zum Durchführen von einer oder mehreren der hier beschriebenen Funktionen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben durchführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einer anderen Datenverarbeitungsvorrichtung ausgeführt werden. Die computerausführbaren Befehle können auf einem computerlesbaren Medium wie Festplatte, optische Platte, entfernbares Speichermedium, Festplattenspeicher, RAM usw. gespeichert werden. Man wird verstehen, dass die Funktionalität der Programmmodule in verschiedenen Ausführungsformen nach Bedarf kombiniert oder verteilt werden kann. Zusätzlich kann die Funktionalität ganz oder teilweise in Firmware- oder Hardware-Äquivalenten wie integrierten Schaltungen, anwendungsspezifischen integrierten Schaltungen (ASIC), feldprogrammierbaren Gate-Arrays (FPGA) und dergleichen ausgestaltet werden. Bestimmte Datenstrukturen können benutzt werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen können so angesehen werden, dass sie in den Rahmen von computerausführbaren Befehlen und computerbenutzbaren Daten wie hier beschrieben fallen.
Obwohl dies nicht erforderlich ist, wird die durchschnittliche Fachperson verstehen, dass verschiedene hier beschriebene Aspekte als ein Verfahren, eine Vorrichtung oder als ein oder mehrere computerlesbare Medien zum Speichern von computerausführbaren Befehlen ausgestaltet sein können. Demgemäß können diese Aspekte die Form einer Ausführungsform ganz in Hardware, einer Ausführungsform ganz in Software, einer Ausführungsform ganz in Firmware oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in einer beliebigen Kombination kombiniert.
Wie hier beschrieben, können die verschiedenen Verfahren und Tätigkeiten über ein oder mehrere Computervorrichtungen und ein oder mehrere Netzwerke operativ sein. Die Funktionalität kann auf eine beliebige Weise verteilt werden oder sich auf einer einzigen Computervorrichtung (z.B. einem Server, einem Client-Computer usw.) befinden.
Aspekte der Offenbarung wurden im Hinblick auf veranschaulichende Ausführungsformen davon beschrieben. Der durchschnittlichen Fachperson werden nach einem Studium der vorliegenden Offenbarung zahlreiche andere Ausgestaltungen, Modifikationen und Variationen innerhalb des Umfangs oder Wesens der beiliegenden Schutzansprüche einfallen. Zum Beispiel wird die durchschnittliche Fachperson verstehen, dass die in den veranschaulichenden Figuren veranschaulichten Schritte in einer anderen als der aufgeführten Reihenfolge durchgeführt werden können und dass ein oder mehrere veranschaulichte Schritte optional sein können.
Die folgenden durchnummerierten Beispiele werden ebenfalls offenbart. Die in den folgenden Beispielen offenbarten Verfahren werden jeweils auch als System offenbart, das wenigstens einen Prozessor umfasst; sowie einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System veranlasst, die in den Verfahren genannten Schritte durchzuführen.
- Beispiel 1: Verfahren, umfassend: an einer Computerplattform, die wenigstens einen Prozessor, einen Speicher und eine Kommunikationsschnittstelle umfasst: Empfangen mehrerer Pakete über die Kommunikationsschnittstelle; Feststellen, durch den Prozessor, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer im Speicher gespeicherten Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der im Speicher gespeicherten Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, durch den Prozessor, dass eines oder mehrere des wenigstens einen Teils der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldwertkritieren haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen einem oder mehreren Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
- Beispiel 2: Verfahren nach Beispiel 1, wobei der wenigstens eine Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere TLS-(Transport Layer Security)-Versionswerte umfassen.
- Beispiel 3: Verfahren nach Beispiel 2, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen einem oder mehreren Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Erlauben umfasst, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
- Beispiel 4: Verfahren nach Beispiel 2, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die das Fortfahren der Pakete in Richtung ihrer jeweiligen Zielen blockiert wird, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Blockieren des Fortfahrens jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels umfasst.
- Beispiel 5: Verfahren nach Beispiel 1, wobei der wenigstens eine Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere HTTP-Verfahrenswerte umfassen.
- Beispiel 6: Verfahren nach Beispiel 5, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete ein Erlauben umfasst, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
- Beispiel 7: Verfahren nach Beispiel 5, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die das Fortfahren von Paketen in Richtung ihres jeweiligen Ziels blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei das Anwenden der durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren des wenigstens einen Teils der mehreren Pakete ein Blockieren des Fortfahrens jedes der ein oder mehreren des wenigstens einen Teils der mehreren Pakete in Richtung seines jeweiligen Ziels umfasst.
- Beispiel 8: Verfahren nach Beispiel 5, wobei die ein oder mehreren des wenigstens einen Teils der mehreren Pakete einen ersten Teil von HTTP-Paketen, die jeweils wenigstens einen GET-Verfahrenswert umfassen, und einen zweiten Teil von HTTP-Paketen umfassen, die jeweils einen oder mehrere aus PUT-, POST- oder CONNECT-Verfahrenswerten umfassen, und wobei das Anwenden der wenigstens einen durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren des wenigstens einen Teils der mehreren Pakete Folgendes umfasst: Erlauben, dass jedes aus dem ersten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels fortfährt; und Blockieren des Fortfahrens von jedem aus dem zweiten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels.
- Beispiel 9: Verfahren nach Beispiel 1, wobei das Feststellen, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerten entsprechend der im Speicher gespeicherten Paketfilterungsregel hat, umfasst: Vergleichen eines Protokolls eines Datenteils von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem durch die Paketfilterungsregel vorgegebenen Protokoll; Vergleichen einer Quell-IP-(Internet Protocol)-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Quell-IP-Adressen; Vergleichen eines Quellports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Quellport; Vergleichen einer Ziel-IP-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Ziel-IP-Adressen; und Vergleichen eines Zielports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Zielport.
- Beispiel 10: Verfahren nach Beispiel 1, umfassend: Empfangen von zweiten mehreren Paketen über die Kommunikationsschnittstelle; Feststellen, durch den Prozessor, dass die zweiten mehreren Pakete keine Paket-Header-Feldwerte entsprechend der im Speicher gespeicherten Paketfilterungsregel haben; und Blockieren, in Reaktion auf die Feststellung, dass die zweiten mehreren Pakete keine Paket-Header-Feldwerte entsprechend der Paketfilterungsregel haben, des Fortfahrens von jedem aus den zweiten mehreren Paketen in Richtung seines jeweiligen Ziels, ohne den durch die Paketfilterungsregel vorgegebenen Operator auf die zweiten mehreren Pakete anzuwenden.
- Beispiel 11: Vorrichtung, umfassend: wenigstens einen Prozessor; und einen Speicher zum Speichern von Befehlen, die bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Empfangen mehrerer Pakete; Feststellen, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, dass ein oder mehrere aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldwertkriterien haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
- Beispiel 12: Vorrichtung nach Beispiel 11, wobei der wenigstens eine Teil der mehreren Pakete HTTPS-(Hypertext Transfer Protocol Secure)-Pakete umfasst, und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere TLS-(Transport Layer Security)-Versionswerte umfassen.
- Beispiel 13: Vorrichtung nach Beispiel 12, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die erlaubt werden soll, dass Pakete in Richtung ihrer jeweiligen Ziele fortfahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass es die Vorrichtung erlaubt, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
- Beispiel 14: Vorrichtung nach Beispiel 12, wobei die ein oder mehreren TLS-Versionswerte eine oder mehrere TLS-Versionen vorgeben, für die ein Fortfahren der Pakete in Richtung ihrer jeweiligen Ziele blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien eine oder mehrere der TLS-Versionen umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung ein Fortfahren von jedem der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung ihrer jeweiligen Ziele blockiert. Beispiel 15: Vorrichtung nach Beispiel 11, wobei der wenigstens eine Teil der mehreren Pakete HTTP-(Hypertext Transfer Protocol)-Pakete umfasst und wobei die ein oder mehreren Anwendungs-Header-Feldwertkriterien einen oder mehrere HTTP-Verfahrenswerte umfassen.
- Beispiel 16: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die es Paketen erlaubt werden soll, in Richtung ihrer jeweiligen Ziele fortzufahren, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass es die Vorrichtung erlaubt, dass jedes der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels fortfährt.
- Beispiel 17: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren HTTP-Verfahrenswerte ein oder mehrere HTTP-Verfahren vorgeben, für die ein Fortfahren der Pakete in Richtung ihrer jeweiligen Ziele blockiert werden soll, wobei die ein oder mehreren Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien ein oder mehrere der HTTP-Verfahren umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung ein Fortfahren von jedem der ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete in Richtung seines jeweiligen Ziels blockiert. Beispiel 18: Vorrichtung nach Beispiel 15, wobei die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen ersten Teil von HTTP-Paketen, die jeweils wenigstens einen GET-Verfahrenswert umfassen, und einen zweiten Teil von HTTP-Paketen umfassen, die jeweils einen oder mehrere aus PUT-, POST- oder CONNECT-Verfahrenswerten umfassen, und wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Erlauben, dass jedes aus dem ersten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels fortfährt; und Blockieren des Fortfahrens jedes aus dem zweiten Teil von HTTP-Paketen in Richtung seines jeweiligen Ziels.
- Beispiel 19: Vorrichtung nach Beispiel 11, wobei die Befehle bei Ausführung durch den wenigstens einen Prozessor bewirken, dass die Vorrichtung durchführt: Vergleichen eines Protokolls eines Datenteils von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem durch die Paketfilterungsregel vorgegebenen Protokoll; Vergleichen einer Quell-IP-(Internet Protocol)-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Quell-IP-Adressen; Vergleichen eines Quellports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Quellport; Vergleichen einer Ziel-IP-Adresse von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einer oder mehreren durch die Paketfilterungsregel vorgegebenen Ziel-IP-Adressen; und Vergleichen eines Zielports von jedem aus dem wenigstens einen Teil der mehreren Pakete mit einem oder mehreren durch die Paketfilterungsregel vorgegebenen Zielports.
- Beispiel 20: Ein oder mehrere nichtflüchtige computerlesbare Medien, auf denen Befehle gespeichert sind, die bei Ausführung durch ein oder mehrere Computervorrichtungen bewirken, dass die ein oder mehreren Computervorrichtungen durchführen: Empfangen mehrerer Pakete; Feststellen, dass wenigstens ein Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend einer Paketfilterungsregel hat; Anwenden, in Reaktion auf die Feststellung, dass der wenigstens eine Teil der mehreren Pakete Paket-Header-Feldwerte entsprechend der Paketfilterungsregel hat, eines durch die Paketfilterungsregel vorgegebenen Operators auf den wenigstens einen Teil der mehreren Pakete, wobei der Operator ein oder mehrere Anwendungs-Header-Feldwertkriterien vorgibt; Feststellen, dass ein oder mehrere aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den durch den Operator vorgegebenen ein oder mehreren Anwendungs-Header-Feldwertkriterien haben; und Anwenden, in Reaktion auf die Feststellung, dass die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte entsprechend den ein oder mehreren durch den Operator vorgegebenen Anwendungs-Header-Feldkriterien haben, von wenigstens einer durch den Operator vorgegebenen Pakettransformationsfunktion auf die ein oder mehreren aus dem wenigstens einen Teil der mehreren Pakete.
- Beispiel 21: Verfahren, umfassend: Empfangen mehrerer Pakete durch ein Paketsicherheits-Gateway (
110 ) über eine Kommunikationsschnittstelle (208 ,210 ) und von einem ersten Netzwerk; Feststellen, basierend auf einer Zieladresse jedes eines ersten Teils der mehreren Pakete, die anzeigt, dass der erste Teil der mehreren Pakete für ein zweites Netzwerk bestimmt ist, dass der erste Teil der mehreren Pakete einen oder mehrere Paketkopffeldwerte umfasst, die einer ersten Paketfilterungsregel entsprechen, wobei die erste Paketfilterungsregel zu einem Satz von Paketfilterungsregeln gehört, die konfiguriert sind, um bestimmte Arten von Datenübertragungen von dem ersten Netzwerk zu einem zweiten Netzwerk zu verhindern;in Reaktion auf die Feststellung, dass der erste Teil der mehreren Pakete einen oder mehrere Paketkopf-Feldwerte umfasst, die der Paketfilterungsregel entsprechen: Feststellen, dass wenigstens ein Paket des ersten Teils der mehreren Pakete Anwendungskopffeldwerte umfasst, die der ersten Paketfilterungsregel entsprechen und mit den bestimmten Arten von Datenübertragungen assoziiert sind; Anwenden wenigstens einer ersten Pakettransformationsfunktion, die durch die erste Paketfilterungsregel definiert ist, um das wenigstens eine Paket des ersten Teils der mehreren Pakete an der Fortsetzung in Richtung des zweiten Netzwerks zu hindern; und Anwenden wenigstens einer zweiten Pakettransformationsfunktion, die durch die erste Paketfilterungsregel definiert ist, um wenigstens ein weiteres Paket des ersten Teils der mehreren Pakete zur Weiterleitung an das zweite Netzwerk zuzulassen. - Beispiel 22: Verfahren nach Beispiel 21, wobei das Feststellen, dass der erste Teil der mehreren Pakete einen oder mehrere Anwendungs-Header-Feldwerte umfasst, die der ersten Paketfilterungsregel entsprechen, ein Feststellen umfasst, dass das eine oder mehrere Anwendungs-Header-Feld wenigstens eines der folgenden umfasst: ein POST-Verfahren, ein PUT-Verfahren, ein GET-Verfahren oder ein CONNECT-Verfahren.
- Beispiel 23: Verfahren nach Beispiel 21 oder Beispiel 22, wobei: das erste Netzwerk ein geschütztes Netzwerk umfasst; und das zweite Netzwerk ein Ziel außerhalb des geschützten Netzwerks umfasst.
- Beispiel 24: Verfahren nach einem der Beispiele 21 bis 23, ferner umfassend: Feststellen einer zweiten Zieladresse von jedem eines zweiten Teils der mehreren Pakete, wobei die zweite Zieladresse ein vertrauenswürdiges Netzwerk umfasst; und Anwenden wenigstens einer dritten Pakettransformationsfunktion, die durch eine zweite Paketfilterungsregel des Satzes von Paketfilterungsregeln definiert ist, um jedes des zweiten Teils der mehreren Pakete in Richtung der zweiten Zieladresse weiterzuleiten.
- Beispiel 25: Verfahren nach einem der Beispiele 21 bis 23, ferner umfassend: Feststellen einer zweiten Zieladresse von jedem eines zweiten Teils der mehreren Pakete, wobei die zweite Zieladresse ein nicht vertrauenswürdiges Netzwerk umfasst; und Anwenden wenigstens einer dritten Pakettransformationsfunktion, die durch eine zweite Paketfilterungsregel des Satzes von Paketfilterungsregeln definiert ist, um jedes des zweiten Teils der mehreren Pakete fallenzulassen.
- Beispiel 26: Verfahren nach Beispiel 21, ferner umfassend: Feststellen, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert (Transport Layer Security) umfassen; und Anwenden der wenigstens einen zweiten Pakettransformationsfunktion, basierend auf einer Feststellung, dass der eine oder die mehreren Anwendungskopffeldwerte einen bestimmten TLS-Versionswert umfassen, um die Weiterleitung des wenigstens einen weiteren Pakets in Richtung des zweiten Netzwerks zu ermöglichen.
- Beispiel 27: Verfahren nach Beispiel 21, ferner umfassend: Feststellen, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert (Transport Layer Security) umfassen; und Anwenden der wenigstens einen ersten Pakettransformationsfunktion, basierend auf einer Feststellung, dass der eine oder die mehreren Anwendungs-Header-Feldwerte einen bestimmten TLS-Versionswert umfassen, um das wenigstens eine Paket des ersten Teils der mehreren Pakete zu blockieren.
- Beispiel 28: Verfahren nach einem der Beispiele 21 bis 27, ferner umfassend: Empfangen einer dynamischen Sicherheitsrichtlinie, die den Satz von Regeln zur Paketfilterung umfasst, von einem Sicherheitsrichtlinien-Managementserver.
- Beispiel 29: Verfahren nach Beispiel 28, wobei sich der Sicherheitsrichtlinien-Managementserver außerhalb des ersten Netzwerks befindet.
- Beispiel 30: Verfahren nach Beispiel 21, wobei der eine oder die mehreren Anwendungs-Header-Feldwerte eine Angabe des Extensible Messaging and Presence Protocol (XMPP) umfassen.
- Beispiel 31: Verfahren nach Beispiel 21, wobei die Anwendung wenigstens einer zweiten Pakettransformationsfunktion, um das wenigstens eine weitere Paket zuzulassen, ein Einkapseln des wenigstens einen weiteren Pakets in einen Tunnel umfasst.
- Beispiel 32: Verfahren nach Beispiel 31, wobei der eine oder die mehreren Anwendungs-Header-Werte eine oder mehrere HTTP-Verfahren vorgeben, für die es Paketen erlaubt sein sollte, zu ihren jeweiligen Zielen fortzufahren.
- Beispiel 33: Paketsicherheits-Gateway (
110 ) mit: einem oder mehreren Prozessoren (204 ); und Speicher (206 ), der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, das Paketsicherheits-Gateway veranlassen, das Verfahren nach einem der Beispiele 21 bis 32 durchzuführen. - Beispiel 34: System, umfassend: ein Paketsicherheits-Gateway, das so konfiguriert ist, dass es das Verfahren nach einem der Beispiele 21 bis 32 durchführt; und eine Computervorrichtung, die zum Senden der mehreren Pakete konfiguriert ist.
- Beispiel 35: Nichtflüchtiges computerlesbares Medium, das Befehle speichert, die, wenn sie ausgeführt werden, die Durchführung des Verfahrens nach einem der Beispiele 21 bis 32 bewirken.
ZITATE ENTHALTEN IN DER BESCHREIBUNG
Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
Zitierte Patentliteratur
- US 13/795822 [0002]
Claims (38)
- System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder der mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
- System nach
Anspruch 1 , wobei der erste Teil von Paketen Daten umfasst, die anzeigen: einen Protokolltyp, der mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die einen Protokolltyp angeben, der nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System nach
Anspruch 1 oderAnspruch 2 , wobei: der erste Teil von Paketen Daten umfasst, die eine erste Zielportnummer angeben, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Zielportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System nach einem der vorhergehende Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTP assoziierte Daten enthält.
- System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem sicheren Hypertext-Übertragungsprotokoll (HTTPS) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTPS assoziierte Daten umfasst.
- System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Dateiübertragungsprotokoll (FTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit FTP assoziierte Daten umfasst.
- System nach einem der vorhergehenden Ansprüche, wobei: der erste Teil von Paketen Daten umfasst, die mit dem Echtzeit-Transportprotokoll (RTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit RTP assoziierte Daten umfasst.
- System nach einem der vorhergehenden Ansprüche, wobei: das Empfangen der mehreren Pakete ein Empfangen von Paketen umfasst, die Daten umfassen, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind; der erste Teil von Paketen einen ersten Typ von Daten umfasst, die mit HTTP assoziiert sind; der zweite Teil von Paketen einen zweiten Typ von Daten umfasst, der mit HTTP assoziiert ist; und das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen den ersten Typ von Daten umfasst.
- System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Pakete Daten umfasst, die einem HTTP-POST-Verfahren entsprechen. - System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-PUT-Verfahren entsprechen. - System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP DELETE-Verfahren entsprechen. - System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-CONNECT-Verfahren entsprechen. - System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen den zweiten Typ von Daten umfasst. - System nach
Anspruch 8 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem HTTP-GET-Verfahren entsprechen. - System nach
Anspruch 1 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem bestimmten TLS-Versionswert (Transport Layer Security) entsprechen. - System nach
Anspruch 1 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem bestimmten Versionswert der Transportschichtsicherheit (TLS) entsprechen. - System nach
Anspruch 1 , wobei: der erste Teil von Paketen Daten umfasst, die anzeigen: eine erste Quellportnummer, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder mehrere Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Quellportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet; in Reaktion auf eine Feststellung, dass ein erstes Paket der mehreren Pakete Daten umfasst, die mit dem eXtensible Messaging and Presence Protocol (XMPP) assoziiert sind, und die Daten Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art der Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern: Anwenden auf das erste Paket eines ersten durch die eine oder mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen des ersten Pakets; und in Reaktion auf eine Feststellung, dass ein zweites Paket der mehreren Pakete keine mit XMPP assoziierte Daten umfasst: Anwenden auf das zweite Paket und ohne Anwenden der einen oder mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, zum zweiten Netzwerk weiterleitet; und Weiterleiten des zweiten Pakets in Richtung des zweiten Netzwerks.
- Ein oder mehrere nichtflüchtige computerlesbare Medien, die Befehle umfassen, die bei Ausführung durch ein oder mehrere Systeme das eine oder die mehreren Systeme veranlassen zum: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Pakete für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen und ohne Anwenden der einen oder mehreren Paketfilterungsregeln, die so konfiguriert sind, dass sie die bestimmte Art der Datenübertragung vom ersten Netzwerk zum zweiten Netzwerk verhindern, eines zweiten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
- System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
- System nach
Anspruch 20 , wobei der erste Teil von Paketen Daten umfasst, die anzeigen: einen Protokolltyp, der mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die einen Protokolltyp angeben, der nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System nach
Anspruch 20 oderAnspruch 21 , wobei: der erste Teil von Paketen Daten umfasst, die eine erste Zielportnummer angeben, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Zielportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System nach einem der
Ansprüche 20 -22 , wobei: der erste Teil von Paketen Daten umfasst, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTP assoziierte Daten enthält. - System nach einem der
Ansprüche 20 -23 , wobei: der erste Teil von Paketen Daten umfasst, die mit dem sicheren Hypertext-Übertragungsprotokoll (HTTPS) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit HTTPS assoziierte Daten umfasst. - System nach einem der
Ansprüche 20 -24 , wobei: der erste Teil von Paketen Daten umfasst, die mit dem Dateiübertragungsprotokoll (FTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit FTP assoziierte Daten umfasst. - System nach einem der
Ansprüche 20 -25 , wobei: der erste Teil von Paketen Daten umfasst, die mit dem Echtzeit-Transportprotokoll (RTP) assoziiert sind und den Kriterien entsprechen, die durch die eine oder die mehreren Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen keine mit RTP assoziierte Daten umfasst. - System nach einem der
Ansprüche 20 -26 , wobei: das Empfangen der mehreren Pakete ein Empfangen von Paketen umfasst, die Daten umfassen, die mit dem Hypertext-Transfer-Protokoll (HTTP) assoziiert sind; der erste Teil von Paketen einen ersten Typ von Daten umfasst, die mit HTTP assoziiert sind; der zweite Teil von Paketen einen zweiten Typ von Daten umfasst, der mit HTTP assoziiert ist; und das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen den ersten Typ von Daten umfasst. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-POST-Verfahren entsprechen. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-PUT-Verfahren entsprechen. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP DELETE-Verfahren entsprechen. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem HTTP-CONNECT-Verfahren entsprechen. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen den zweiten Typ von Daten umfasst. - System nach
Anspruch 27 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem HTTP-GET-Verfahren entsprechen. - System nach
Anspruch 20 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der erste Teil von Paketen Daten umfasst, die einem bestimmten TLS-Versionswert (Transport Layer Security) entsprechen. - System nach
Anspruch 20 , wobei das Anwenden des ersten Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des zweiten Netzwerks weiterleitet, in Reaktion auf eine Bestimmung durch das System durchgeführt wird, dass der zweite Teil von Paketen Daten umfasst, die einem bestimmten Versionswert der Transportschichtsicherheit (TLS) entsprechen. - System nach
Anspruch 20 , wobei: der erste Teil von Paketen Daten umfasst, die anzeigen: eine erste Quellportnummer, die mit der bestimmten Art der Datenübertragung assoziiert ist und den Kriterien entspricht, die durch die eine oder mehrere Paketfilterungsregeln vorgegeben sind; und der zweite Teil von Paketen Daten umfasst, die eine zweite Quellportnummer angeben, die nicht mit der bestimmten Art der Datenübertragung assoziiert ist. - System, das umfasst: wenigstens einen Prozessor; und einen Speicher, der Befehle speichert, die, wenn sie von dem wenigstens einen Prozessor ausgeführt werden, das System zu Folgendem veranlassen: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet; in Reaktion auf eine Feststellung, dass ein erstes Paket der mehreren Pakete Daten umfasst, die mit dem eXtensible Messaging and Presence Protocol (XMPP) assoziiert sind, und die Daten Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art der Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern: Anwenden auf das erste Paket eines ersten durch die eine oder mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen des ersten Pakets; und in Reaktion auf eine Feststellung, dass ein zweites Paket der mehreren Pakete keine mit XMPP assoziierte Daten umfasst: Anwenden auf das zweite Paket eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, zum zweiten Netzwerk weiterleitet; und Weiterleiten des zweiten Pakets in Richtung des zweiten Netzwerks.
- Ein oder mehrere nichtflüchtige computerlesbare Medien, die Befehle umfassen, die bei Ausführung durch ein oder mehrere Systeme das eine oder die mehreren Systeme veranlassen zum: Empfangen mehrerer Pakete von einer Computervorrichtung, die sich in einem ersten Netzwerk befindet, wobei die mehreren Pakete einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfassen; in Reaktion auf eine Feststellung, dass der erste Teil von Paketen Daten umfasst, die Kriterien entsprechen, die durch eine oder mehrere Paketfilterungsregeln vorgegeben sind, die so konfiguriert sind, dass sie eine bestimmte Art von Datenübertragung vom ersten Netzwerk zu einem zweiten Netzwerk verhindern, wobei die Daten anzeigen, dass der erste Teil von Paketen für das zweite Netzwerk bestimmt ist: Anwenden auf jedes Paket im ersten Teil von Paketen eines ersten durch die eine oder die mehreren Paketfilterungsregeln vorgegebenen Operators, der so konfiguriert ist, dass er Pakete fallenlässt, die mit der bestimmten Art der Datenübertragung assoziiert sind; und Fallenlassen jedes Paket im ersten Teil von Paketen; und in Reaktion auf eine Feststellung, dass der zweite Teil von Paketen Daten umfasst, die nicht den Kriterien entsprechen, wobei die Daten anzeigen, dass der zweite Teil von Paketen für ein drittes Netzwerk bestimmt ist: Anwenden auf jedes Paket im zweiten Teil von Paketen eines zweiten, durch eine oder mehrere zweite Paketfilterungsregeln, verschieden von der einen oder den mehreren Filterungsregeln, vorgegebenen Operators, der so konfiguriert ist, dass er Pakete, die nicht mit der bestimmten Art der Datenübertragung assoziiert sind, in Richtung des dritten Netzwerks weiterleitet; und Weiterleiten jedes Paket im zweiten Teil von Paketen in Richtung des dritten Netzwerks.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US13/795,822 | 2013-03-12 | ||
US13/795,822 US9124552B2 (en) | 2013-03-12 | 2013-03-12 | Filtering network data transfers |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202014011510U1 true DE202014011510U1 (de) | 2021-07-20 |
Family
ID=50549418
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202014011424.2U Expired - Lifetime DE202014011424U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
DE202014011510.9U Expired - Lifetime DE202014011510U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202014011424.2U Expired - Lifetime DE202014011424U1 (de) | 2013-03-12 | 2014-03-11 | Filtern von Netzwerkdatenübertragungen |
Country Status (6)
Country | Link |
---|---|
US (9) | US9124552B2 (de) |
EP (2) | EP2974212B1 (de) |
AU (1) | AU2014249055B2 (de) |
CA (1) | CA2902158C (de) |
DE (2) | DE202014011424U1 (de) |
WO (1) | WO2014164713A1 (de) |
Families Citing this family (33)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9124552B2 (en) * | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9191209B2 (en) | 2013-06-25 | 2015-11-17 | Google Inc. | Efficient communication for devices of a home network |
US9531704B2 (en) | 2013-06-25 | 2016-12-27 | Google Inc. | Efficient network layer for IPv6 protocol |
CN105635067B (zh) * | 2014-11-04 | 2019-11-15 | 华为技术有限公司 | 报文发送方法及装置 |
CN104579939B (zh) * | 2014-12-29 | 2021-02-12 | 网神信息技术(北京)股份有限公司 | 网关的保护方法和装置 |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10630717B2 (en) * | 2015-05-15 | 2020-04-21 | Avaya, Inc. | Mitigation of WebRTC attacks using a network edge system |
US10462116B1 (en) * | 2015-09-15 | 2019-10-29 | Amazon Technologies, Inc. | Detection of data exfiltration |
EP3369212B1 (de) * | 2015-10-26 | 2020-12-09 | Telefonaktiebolaget LM Ericsson (PUBL) | Längensteuerung für paketkopfabtastung |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10291584B2 (en) | 2016-03-28 | 2019-05-14 | Juniper Networks, Inc. | Dynamic prioritization of network traffic based on reputation |
US10630654B2 (en) | 2017-03-22 | 2020-04-21 | Microsoft Technology Licensing, Llc | Hardware-accelerated secure communication management |
US10868832B2 (en) * | 2017-03-22 | 2020-12-15 | Ca, Inc. | Systems and methods for enforcing dynamic network security policies |
IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
AU2019380750A1 (en) * | 2018-11-13 | 2021-07-01 | Wenspire | Method and device for monitoring data output by a server |
US11627152B2 (en) | 2020-01-08 | 2023-04-11 | Bank Of America Corporation | Real-time classification of content in a data transmission |
US11297085B2 (en) | 2020-01-08 | 2022-04-05 | Bank Of America Corporation | Real-time validation of data transmissions based on security profiles |
US11184381B2 (en) * | 2020-01-08 | 2021-11-23 | Bank Of America Corporation | Real-time validation of application data |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11379390B1 (en) * | 2020-12-14 | 2022-07-05 | International Business Machines Corporation | In-line data packet transformations |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
US11790093B2 (en) | 2021-04-29 | 2023-10-17 | Bank Of America Corporation | Cognitive tokens for authorizing restricted access for cyber forensics |
US11882448B2 (en) * | 2021-06-07 | 2024-01-23 | Sr Technologies, Inc. | System and method for packet detail detection and precision blocking |
Family Cites Families (295)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3004994A (en) | 1957-09-16 | 1961-10-17 | Merck & Co Inc | 6alpha, 16alpha-dimethyl-pregnenes |
US3042167A (en) | 1959-02-23 | 1962-07-03 | Rolls Royce | Friction clutches |
US3219675A (en) | 1961-11-02 | 1965-11-23 | Columbian Carbon | Preparation of alpha,omega-alkandioic acids and omega-formylalkanoic acids |
US3271645A (en) | 1962-09-06 | 1966-09-06 | Telsta Corp | A. c. generator-fed variable frequency motor control mechanism for an aerial lift |
US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US7143438B1 (en) | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
US20010039624A1 (en) | 1998-11-24 | 2001-11-08 | Kellum Charles W. | Processes systems and networks for secured information exchange using computer hardware |
CA2287689C (en) | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
US6226372B1 (en) | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US6611875B1 (en) | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
JP2000332817A (ja) | 1999-05-18 | 2000-11-30 | Fujitsu Ltd | パケット処理装置 |
ATE301895T1 (de) | 1999-06-10 | 2005-08-15 | Alcatel Internetworking Inc | System und verfahren zur automatischen erreichbarkeitsaktualisierung in virtuellen privaten netzen |
US7051365B1 (en) | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
US6463474B1 (en) * | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
US6971028B1 (en) | 1999-08-30 | 2005-11-29 | Symantec Corporation | System and method for tracking the source of a computer attack |
EP1107140A3 (de) | 1999-11-30 | 2004-01-28 | Hitachi, Ltd. | Verfahren zur Unterstützung des Entwurfs von Sicherheitssystemen |
US7215637B1 (en) | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US7032031B2 (en) | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
US6907470B2 (en) | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US20020164962A1 (en) | 2000-07-18 | 2002-11-07 | Mankins Matt W. D. | Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units |
US7152240B1 (en) | 2000-07-25 | 2006-12-19 | Green Stuart D | Method for communication security and apparatus therefor |
US6834342B2 (en) * | 2000-08-16 | 2004-12-21 | Eecad, Inc. | Method and system for secure communication over unstable public connections |
US7586899B1 (en) | 2000-08-18 | 2009-09-08 | Juniper Networks, Inc. | Methods and apparatus providing an overlay network for voice over internet protocol applications |
US6662235B1 (en) | 2000-08-24 | 2003-12-09 | International Business Machines Corporation | Methods systems and computer program products for processing complex policy rules based on rule form type |
US20020038339A1 (en) | 2000-09-08 | 2002-03-28 | Wei Xu | Systems and methods for packet distribution |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US20110214157A1 (en) | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US7129825B2 (en) | 2000-09-26 | 2006-10-31 | Caterpillar Inc. | Action recommendation system for a mobile vehicle |
US20060212572A1 (en) | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
US7657628B1 (en) * | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
US7046680B1 (en) * | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
US7095741B1 (en) | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7061874B2 (en) | 2001-01-26 | 2006-06-13 | Broadcom Corporation | Method, system and computer program product for classifying packet flows with a bit mask |
FI20010256A0 (fi) | 2001-02-12 | 2001-02-12 | Stonesoft Oy | Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä |
EP1371242A1 (de) * | 2001-03-14 | 2003-12-17 | Nokia Corporation | Verfahren zur aktivierung einer verbindung in einem kommunikationssystem, mobilstation, netzwerkelement und paketfilter |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US20020186683A1 (en) * | 2001-04-02 | 2002-12-12 | Alan Buck | Firewall gateway for voice over internet telephony communications |
AUPR435501A0 (en) | 2001-04-11 | 2001-05-17 | Firebridge Systems Pty Ltd | Network security system |
KR100398281B1 (ko) | 2001-04-17 | 2003-09-19 | 시큐아이닷컴 주식회사 | 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법 |
US7227842B1 (en) | 2001-04-24 | 2007-06-05 | Tensilica, Inc. | Fast IP packet classification with configurable processor |
EP1410210A4 (de) | 2001-06-11 | 2005-12-14 | Bluefire Security Technology I | Paketfilterungssystem und verfahren |
US6947983B2 (en) | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
US7900042B2 (en) | 2001-06-26 | 2011-03-01 | Ncipher Corporation Limited | Encrypted packet inspection |
US7315892B2 (en) * | 2001-06-27 | 2008-01-01 | International Business Machines Corporation | In-kernel content-aware service differentiation |
US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
KR20010079361A (ko) | 2001-07-09 | 2001-08-22 | 김상욱 | 네트워크 상태 기반의 방화벽 장치 및 그 방법 |
US7207062B2 (en) | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
US7386525B2 (en) | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
US7159109B2 (en) | 2001-11-07 | 2007-01-02 | Intel Corporation | Method and apparatus to manage address translation for secure connections |
US7325248B2 (en) | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
FI20012338A0 (fi) * | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
US20030123456A1 (en) | 2001-12-28 | 2003-07-03 | Denz Peter R. | Methods and system for data packet filtering using tree-like hierarchy |
US7222366B2 (en) | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US7161942B2 (en) | 2002-01-31 | 2007-01-09 | Telcordia Technologies, Inc. | Method for distributing and conditioning traffic for mobile networks based on differentiated services |
JP3797937B2 (ja) | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
US7249194B2 (en) | 2002-02-08 | 2007-07-24 | Matsushita Electric Industrial Co., Ltd. | Gateway apparatus and its controlling method |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7185365B2 (en) * | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
US7107613B1 (en) | 2002-03-27 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for reducing the number of tunnels used to implement a security policy on a network |
US20030220940A1 (en) | 2002-04-15 | 2003-11-27 | Core Sdi, Incorporated | Secure auditing of information systems |
GB2387681A (en) | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
AUPS214802A0 (en) | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US20030212900A1 (en) * | 2002-05-13 | 2003-11-13 | Hsin-Yuo Liu | Packet classifying network services |
WO2003105009A1 (en) | 2002-06-07 | 2003-12-18 | Bellsouth Intellectual Property Corporation | Sytems and methods for establishing electronic conferencing over a distributed network |
TWI244297B (en) | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
US7441262B2 (en) | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
US20040015719A1 (en) | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
US7684400B2 (en) * | 2002-08-08 | 2010-03-23 | Intel Corporation | Logarithmic time range-based multifield-correlation packet classification |
US7263099B1 (en) | 2002-08-14 | 2007-08-28 | Juniper Networks, Inc. | Multicast packet replication |
JP3794491B2 (ja) | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
FR2844415B1 (fr) | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
US20060104202A1 (en) | 2002-10-02 | 2006-05-18 | Richard Reiner | Rule creation for computer application screening; application error testing |
US7313141B2 (en) | 2002-10-09 | 2007-12-25 | Alcatel Lucent | Packet sequence number network monitoring system |
US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7296288B1 (en) | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
US20040098511A1 (en) * | 2002-11-16 | 2004-05-20 | Lin David H. | Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule |
US7366174B2 (en) | 2002-12-17 | 2008-04-29 | Lucent Technologies Inc. | Adaptive classification of network traffic |
US7050394B2 (en) | 2002-12-18 | 2006-05-23 | Intel Corporation | Framer |
US20050125697A1 (en) | 2002-12-27 | 2005-06-09 | Fujitsu Limited | Device for checking firewall policy |
US7913303B1 (en) | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US20040148520A1 (en) | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
US20040193943A1 (en) | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US20040177139A1 (en) | 2003-03-03 | 2004-09-09 | Schuba Christoph L. | Method and apparatus for computing priorities between conflicting rules for network services |
US7539186B2 (en) | 2003-03-31 | 2009-05-26 | Motorola, Inc. | Packet filtering for emergency service access in a packet data network communication system |
US7441036B2 (en) | 2003-04-01 | 2008-10-21 | International Business Machines Corporation | Method and system for a debugging utility based on a TCP tunnel |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7509673B2 (en) | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7710885B2 (en) | 2003-08-29 | 2010-05-04 | Agilent Technologies, Inc. | Routing monitoring |
KR100502068B1 (ko) | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
KR100558658B1 (ko) | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
US20050108557A1 (en) | 2003-10-11 | 2005-05-19 | Kayo David G. | Systems and methods for detecting and preventing unauthorized access to networked devices |
US7237267B2 (en) | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
US7408932B2 (en) * | 2003-10-20 | 2008-08-05 | Intel Corporation | Method and apparatus for two-stage packet classification using most specific filter matching and transport level sharing |
US7672318B2 (en) | 2003-11-06 | 2010-03-02 | Telefonaktiebolaget L M Ericsson (Publ) | Adaptable network bridge |
US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US20050183140A1 (en) | 2003-11-20 | 2005-08-18 | Goddard Stephen M. | Hierarchical firewall load balancing and L4/L7 dispatching |
US7389532B2 (en) | 2003-11-26 | 2008-06-17 | Microsoft Corporation | Method for indexing a plurality of policy filters |
US7370100B1 (en) | 2003-12-10 | 2008-05-06 | Foundry Networks, Inc. | Method and apparatus for load balancing based on packet header content |
US7756008B2 (en) * | 2003-12-19 | 2010-07-13 | At&T Intellectual Property Ii, L.P. | Routing protocols with predicted outrage notification |
US7523314B2 (en) | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
US20050141537A1 (en) | 2003-12-29 | 2005-06-30 | Intel Corporation A Delaware Corporation | Auto-learning of MAC addresses and lexicographic lookup of hardware database |
KR100609170B1 (ko) * | 2004-02-13 | 2006-08-02 | 엘지엔시스(주) | 네트워크 보안 시스템 및 그 동작 방법 |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7814546B1 (en) | 2004-03-19 | 2010-10-12 | Verizon Corporate Services Group, Inc. | Method and system for integrated computer networking attack attribution |
US8031616B2 (en) | 2004-03-23 | 2011-10-04 | Level 3 Communications, Llc | Systems and methods for accessing IP transmissions |
US20050229246A1 (en) | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
US8923292B2 (en) | 2004-04-06 | 2014-12-30 | Rockstar Consortium Us Lp | Differential forwarding in address-based carrier networks |
US7525958B2 (en) * | 2004-04-08 | 2009-04-28 | Intel Corporation | Apparatus and method for two-stage packet classification using most specific filter matching and transport level sharing |
US20050249214A1 (en) | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
JP2008504737A (ja) | 2004-06-23 | 2008-02-14 | クゥアルコム・インコーポレイテッド | ネットワークパケットの効率的な分類 |
US20060031928A1 (en) | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
US20060048142A1 (en) | 2004-09-02 | 2006-03-02 | Roese John J | System and method for rapid response network policy implementation |
US8331234B1 (en) | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US7490235B2 (en) | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
US7509493B2 (en) | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
JP4369351B2 (ja) | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
US7694334B2 (en) * | 2004-12-03 | 2010-04-06 | Nokia Corporation | Apparatus and method for traversing gateway device using a plurality of batons |
JP2006174350A (ja) | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US7602731B2 (en) | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
WO2006093557A2 (en) | 2004-12-22 | 2006-09-08 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7551567B2 (en) | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
GB2422505A (en) | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
US7792775B2 (en) | 2005-02-24 | 2010-09-07 | Nec Corporation | Filtering rule analysis method and system |
CA2600236C (en) | 2005-03-28 | 2014-08-12 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
US7499412B2 (en) | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
US8296846B2 (en) | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
US20070056038A1 (en) | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
US20070083924A1 (en) | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
US9055093B2 (en) | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
US8027251B2 (en) | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
US7716729B2 (en) | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
US7661136B1 (en) * | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
US7832009B2 (en) | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US8116312B2 (en) * | 2006-02-08 | 2012-02-14 | Solarflare Communications, Inc. | Method and apparatus for multicast packet reception |
WO2007096884A2 (en) | 2006-02-22 | 2007-08-30 | Elad Barkan | Wireless internet system and method |
US7898963B2 (en) | 2006-03-07 | 2011-03-01 | Cisco Technology, Inc. | Graphical representation of the flow of a packet through a network device |
EP2002549A4 (de) | 2006-03-16 | 2014-05-21 | Curtis M Brubaker | System und verfahren zur gewinnung von erlösen durch anzeige hyperrelevanter werbeinhalte auf bewegten objekten |
US20070240208A1 (en) | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
US7849502B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
GB2437791A (en) * | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US7966655B2 (en) | 2006-06-30 | 2011-06-21 | At&T Intellectual Property Ii, L.P. | Method and apparatus for optimizing a firewall |
US8639837B2 (en) | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
WO2008021496A2 (en) | 2006-08-17 | 2008-02-21 | Philip Chidel | Interactive television framework utilizing program-synchronous trigers and standard messaging and presence-detection protocols |
KR100909552B1 (ko) | 2006-08-21 | 2009-07-27 | 삼성전자주식회사 | 모바일 아이피를 사용하는 네트워크 시스템에서 패킷필터링 장치 및 방법 |
US8234702B2 (en) | 2006-08-29 | 2012-07-31 | Oracle International Corporation | Cross network layer correlation-based firewalls |
US8385331B2 (en) | 2006-09-29 | 2013-02-26 | Verizon Patent And Licensing Inc. | Secure and reliable policy enforcement |
US7624084B2 (en) * | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
US7768921B2 (en) | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
US8004994B1 (en) | 2006-11-01 | 2011-08-23 | Azimuth Systems, Inc. | System and method for intelligently analyzing performance of a device under test |
US7954143B2 (en) | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
US8176561B1 (en) | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
US7835348B2 (en) | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
WO2008093320A1 (en) | 2007-01-31 | 2008-08-07 | Tufin Software Technologies Ltd. | System and method for auditing a security policy |
US7873710B2 (en) | 2007-02-06 | 2011-01-18 | 5O9, Inc. | Contextual data communication platform |
US8448234B2 (en) | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
US20120084866A1 (en) * | 2007-06-12 | 2012-04-05 | Stolfo Salvatore J | Methods, systems, and media for measuring computer security |
US7853689B2 (en) | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
US20080320116A1 (en) | 2007-06-21 | 2008-12-25 | Christopher Briggs | Identification of endpoint devices operably coupled to a network through a network address translation router |
US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
US8730946B2 (en) | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
US8763108B2 (en) * | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
KR100949808B1 (ko) | 2007-12-07 | 2010-03-30 | 한국전자통신연구원 | P2p 트래픽 관리 장치 및 그 방법 |
US8307029B2 (en) | 2007-12-10 | 2012-11-06 | Yahoo! Inc. | System and method for conditional delivery of messages |
US8418240B2 (en) | 2007-12-26 | 2013-04-09 | Algorithmic Security (Israel) Ltd. | Reordering a firewall rule base according to usage statistics |
KR100958250B1 (ko) | 2008-01-09 | 2010-05-17 | 한남대학교 산학협력단 | 웹 서버 보안 방법 및 이를 위한 웹 방화벽 |
US8751663B2 (en) * | 2008-02-08 | 2014-06-10 | Front Porch, Inc. | Method and apparatus for modifying HTTP at a remote data center via tunneling |
US8561129B2 (en) * | 2008-02-28 | 2013-10-15 | Mcafee, Inc | Unified network threat management with rule classification |
US9298747B2 (en) * | 2008-03-20 | 2016-03-29 | Microsoft Technology Licensing, Llc | Deployable, consistent, and extensible computing environment platform |
JP5207803B2 (ja) * | 2008-04-02 | 2013-06-12 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
CN101552803B (zh) | 2008-04-03 | 2011-10-05 | 华为技术有限公司 | 网络地址转换地址映射表维护方法、媒体网关及其控制器 |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US8490171B2 (en) | 2008-07-14 | 2013-07-16 | Tufin Software Technologies Ltd. | Method of configuring a security gateway and system thereof |
US8161155B2 (en) | 2008-09-29 | 2012-04-17 | At&T Intellectual Property I, L.P. | Filtering unwanted data traffic via a per-customer blacklist |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US20100107240A1 (en) * | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8272029B2 (en) | 2008-11-25 | 2012-09-18 | At&T Intellectual Property I, L.P. | Independent role based authorization in boundary interface elements |
US20100199346A1 (en) | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
US8321938B2 (en) | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
US8588422B2 (en) | 2009-05-28 | 2013-11-19 | Novell, Inc. | Key management to protect encrypted data of an endpoint computing device |
US7931251B2 (en) * | 2009-07-08 | 2011-04-26 | Perdix Engineering Llc | Expanding gate valve |
US8098677B1 (en) | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
US8495725B2 (en) | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
US7890627B1 (en) | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
US9413616B2 (en) | 2009-10-14 | 2016-08-09 | Hewlett Packard Enterprise Development Lp | Detection of network address spoofing and false positive avoidance |
US9204415B2 (en) * | 2009-10-30 | 2015-12-01 | Panasonic Intellectual Property Corporation Of America | Communication system and apparatus for status dependent mobile services |
US8271645B2 (en) | 2009-11-25 | 2012-09-18 | Citrix Systems, Inc. | Systems and methods for trace filters by association of client to vserver to services |
US8219675B2 (en) | 2009-12-11 | 2012-07-10 | Tektronix, Inc. | System and method for correlating IP flows across network address translation firewalls |
US8254257B2 (en) | 2009-12-11 | 2012-08-28 | At&T Intellectual Property I, Lp | System and method for location, time-of-day, and quality-of-service based prioritized access control |
US9154462B2 (en) | 2009-12-22 | 2015-10-06 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for managing firewall change requests in a communication network |
US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
JP5408332B2 (ja) * | 2010-03-10 | 2014-02-05 | 富士通株式会社 | 中継装置および通信プログラム |
WO2011131829A1 (en) * | 2010-04-22 | 2011-10-27 | Nokia Corporation | Method and apparatus for providing a messaging interface |
US8549650B2 (en) | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
EP2385676B1 (de) | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Verfahren zur Anpassung von Sicherheitsrichtlinien einer Informationssysteminfrastruktur |
US8510821B1 (en) | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
US8406233B2 (en) * | 2010-09-07 | 2013-03-26 | Check Point Software Technologies Ltd. | Predictive synchronization for clustered devices |
EP2712145A1 (de) | 2010-09-24 | 2014-03-26 | VeriSign, Inc. | IP-priorisierungs- und reihungssystem zur Erkennung und Unterdrückung von DDOS |
EP2437442B1 (de) | 2010-09-30 | 2013-02-13 | Alcatel Lucent | Vorrichtung und Verfahren zum Umschalten von Datenverkehr in einem digitalen Übertragungsnetzwerk |
US8627448B2 (en) | 2010-11-02 | 2014-01-07 | Jose Renato Santos | Selective invalidation of packet filtering results |
US8806638B1 (en) | 2010-12-10 | 2014-08-12 | Symantec Corporation | Systems and methods for protecting networks from infected computing devices |
US9052898B2 (en) * | 2011-03-11 | 2015-06-09 | Qualcomm Incorporated | Remote access and administration of device content, with device power optimization, using HTTP protocol |
US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US8261295B1 (en) | 2011-03-16 | 2012-09-04 | Google Inc. | High-level language for specifying configurations of cloud-based deployments |
US9503529B2 (en) | 2011-04-04 | 2016-11-22 | Avaya Inc. | System and method to transport HTTP over XMPP |
EP2702740B1 (de) | 2011-04-28 | 2020-07-22 | VoIPFuture GmbH | Korrelation der medienebene und der signalisierungsebene von mediendiensten in einem paketvermittelten netzwerk |
EP2715991A4 (de) | 2011-05-23 | 2014-11-26 | Nec Corp | Kommunikationssystem, steuerungsvorrichtung, kommunikationsverfahren und programm |
US8621556B1 (en) | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
US9118702B2 (en) | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US8995360B2 (en) | 2011-06-09 | 2015-03-31 | Time Warner Cable Enterprises Llc | Techniques for prefix subnetting |
US8683573B2 (en) | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
US8949413B2 (en) | 2011-06-30 | 2015-02-03 | Juniper Networks, Inc. | Filter selection and resuse |
US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
WO2013055807A1 (en) | 2011-10-10 | 2013-04-18 | Global Dataguard, Inc | Detecting emergent behavior in communications networks |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US8856922B2 (en) | 2011-11-30 | 2014-10-07 | Facebook, Inc. | Imposter account report management in a social networking system |
GB2497940B (en) | 2011-12-21 | 2016-02-17 | Eckoh Uk Ltd | Method and apparatus for mediating communications |
US8930690B2 (en) | 2012-03-21 | 2015-01-06 | Microsoft Corporation | Offloading packet processing for networking device virtualization |
US9973473B2 (en) | 2012-03-30 | 2018-05-15 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
US20130291100A1 (en) | 2012-04-30 | 2013-10-31 | Sundaram S. Ganapathy | Detection And Prevention Of Machine-To-Machine Hijacking Attacks |
US9548962B2 (en) * | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
US8789135B1 (en) | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9124628B2 (en) | 2012-09-20 | 2015-09-01 | Cisco Technology, Inc. | Seamless engagement and disengagement of transport layer security proxy services |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
JP2014112768A (ja) | 2012-12-05 | 2014-06-19 | Hitachi Ltd | 自動障害対応キャッシュシステム及びキャッシュサーバの障害対応処理方法並びにキャッシュマネージャ |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
CN104937886B (zh) | 2013-01-30 | 2017-10-24 | 日本电信电话株式会社 | 日志分析装置、信息处理方法 |
US9077702B2 (en) | 2013-01-30 | 2015-07-07 | Palo Alto Networks, Inc. | Flow ownership assignment in a distributed processor system |
US9154502B2 (en) | 2013-01-31 | 2015-10-06 | Google Inc. | Accessing objects in hosted storage |
US9130901B2 (en) | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
US9407519B2 (en) | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9338134B2 (en) | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
US8739243B1 (en) | 2013-04-18 | 2014-05-27 | Phantom Technologies, Inc. | Selectively performing man in the middle decryption |
KR101394424B1 (ko) | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
US9021575B2 (en) | 2013-05-08 | 2015-04-28 | Iboss, Inc. | Selectively performing man in the middle decryption |
US9419942B1 (en) | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
US20150033336A1 (en) | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
US9634911B2 (en) | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
DE102013216847B4 (de) | 2013-08-23 | 2023-06-01 | Siemens Mobility GmbH | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
JP6201614B2 (ja) | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
WO2015066604A1 (en) | 2013-11-04 | 2015-05-07 | Crypteia Networks S.A. | Systems and methods for identifying infected network infrastructure |
US9516049B2 (en) | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US8832832B1 (en) | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US9886581B2 (en) | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
US20150256431A1 (en) | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
US9462008B2 (en) | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
US20150350229A1 (en) | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
US20160191558A1 (en) | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
US9306818B2 (en) | 2014-07-17 | 2016-04-05 | Cellos Software Ltd | Method for calculating statistic data of traffic flows in data network and probe thereof |
US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
US9531672B1 (en) | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
ES2736099T3 (es) | 2014-10-21 | 2019-12-26 | Ironnet Cybersecurity Inc | Sistema de ciberseguridad |
US20160119365A1 (en) | 2014-10-28 | 2016-04-28 | Comsec Consulting Ltd. | System and method for a cyber intelligence hub |
US20160127417A1 (en) | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
US10484405B2 (en) | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
US10764162B2 (en) | 2015-03-25 | 2020-09-01 | Gigamon Inc. | In-fabric traffic analysis |
US9667656B2 (en) | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
WO2017131963A1 (en) | 2016-01-29 | 2017-08-03 | Acalvio Technologies, Inc. | Using high-interaction networks for targeted threat intelligence |
AU2017234272A1 (en) | 2016-03-15 | 2018-10-04 | Carbon Black, Inc. | Using private threat intelligence in public cloud |
-
2013
- 2013-03-12 US US13/795,822 patent/US9124552B2/en not_active Expired - Fee Related
-
2014
- 2014-03-11 EP EP14719415.3A patent/EP2974212B1/de active Active
- 2014-03-11 EP EP20195362.7A patent/EP3767921A1/de active Pending
- 2014-03-11 DE DE202014011424.2U patent/DE202014011424U1/de not_active Expired - Lifetime
- 2014-03-11 WO PCT/US2014/023286 patent/WO2014164713A1/en active Application Filing
- 2014-03-11 DE DE202014011510.9U patent/DE202014011510U1/de not_active Expired - Lifetime
- 2014-03-11 CA CA2902158A patent/CA2902158C/en active Active
- 2014-03-11 AU AU2014249055A patent/AU2014249055B2/en active Active
-
2015
- 2015-02-18 US US14/625,486 patent/US9686193B2/en active Active
- 2015-05-03 US US14/702,755 patent/US9160713B2/en active Active
-
2017
- 2017-06-06 US US15/614,956 patent/US10567343B2/en active Active
-
2019
- 2019-06-21 US US16/448,997 patent/US10505898B2/en active Active
-
2020
- 2020-02-14 US US16/791,044 patent/US10735380B2/en active Active
- 2020-08-03 US US16/945,981 patent/US11012415B2/en active Active
-
2021
- 2021-05-03 US US17/246,854 patent/US11418487B2/en active Active
-
2022
- 2022-07-01 US US17/856,038 patent/US20220353243A1/en active Pending
Also Published As
Publication number | Publication date |
---|---|
US20160072709A1 (en) | 2016-03-10 |
US11418487B2 (en) | 2022-08-16 |
WO2014164713A1 (en) | 2014-10-09 |
CA2902158C (en) | 2019-04-09 |
US10505898B2 (en) | 2019-12-10 |
US20200186498A1 (en) | 2020-06-11 |
US11012415B2 (en) | 2021-05-18 |
US20180123955A1 (en) | 2018-05-03 |
US20140283004A1 (en) | 2014-09-18 |
US20220353243A1 (en) | 2022-11-03 |
CA2902158A1 (en) | 2014-10-09 |
US10735380B2 (en) | 2020-08-04 |
AU2014249055B2 (en) | 2016-10-27 |
US20210258285A1 (en) | 2021-08-19 |
US10567343B2 (en) | 2020-02-18 |
EP2974212B1 (de) | 2020-09-23 |
US9124552B2 (en) | 2015-09-01 |
US9686193B2 (en) | 2017-06-20 |
US20150237012A1 (en) | 2015-08-20 |
AU2014249055A1 (en) | 2015-09-03 |
EP2974212A1 (de) | 2016-01-20 |
US20190312845A1 (en) | 2019-10-10 |
US9160713B2 (en) | 2015-10-13 |
US20200366647A1 (en) | 2020-11-19 |
DE202014011424U1 (de) | 2020-05-29 |
EP3767921A1 (de) | 2021-01-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE202014011510U1 (de) | Filtern von Netzwerkdatenübertragungen | |
DE202016008885U1 (de) | Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen | |
DE10249888B4 (de) | Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium | |
DE60111089T2 (de) | Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls | |
DE602004008055T2 (de) | Intelligente integrierte netzwerksicherheitseinrichtung | |
US9178851B2 (en) | High availability security device | |
US11711398B2 (en) | Distributed network security service | |
DE112022000856T5 (de) | Vereinheitlichte richtliniendurchsetzungsverwaltung in der cloud | |
Pedapudi et al. | A Comprehensive Network Security Management in Virtual Private Network Environment | |
DE102014109906B4 (de) | Verfahren zum Freischalten externer Computersysteme in einer Computernetz-Infrastruktur, verteiltes Rechnernetz mit einer solchen Computernetz-Infrastruktur sowie Computerprogramm-Produkt | |
DE202023100576U1 (de) | Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk | |
DE102015016832B4 (de) | Abwehr eines Angriffs über ein Netzwerk auf ein Computersystem | |
Guntamukalla | Mitigation Against Distributed-Denial of Service Attacks Using Distribution and Self-Learning Aegis System | |
Novotny et al. | Hardware Acceleration for Cyber Security | |
Hoherz et al. | Intrusion Detection Systeme in Firewalls |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R152 | Utility model maintained after payment of third maintenance fee after eight years | ||
R207 | Utility model specification | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012701000 Ipc: H04L0045000000 |
|
R081 | Change of applicant/patentee |
Owner name: CENTRIPETAL LTD., IE Free format text: FORMER OWNER: CENTRIPETAL NETWORKS, INC., LEESBURG, US |
|
R082 | Change of representative |
Representative=s name: MFG PATENTANWAELTE MEYER-WILDHAGEN MEGGLE-FREU, DE |
|
R071 | Expiry of right |