DE202016009026U1

DE202016009026U1 - Regelbasierte Netzwerkbedrohungsdetektion

Info

Publication number: DE202016009026U1
Application number: DE202016009026.8U
Authority: DE
Original assignee: Centripetal Networks LLC
Current assignee: Centripetal Ltd Ie
Priority date: 2015-04-17
Filing date: 2016-04-07
Publication date: 2021-07-15
Anticipated expiration: 2026-04-08
Also published as: US20200389479A1; EP3557844A1; US9413722B1; US20200112579A1; DE202016009028U1; US20230300162A1; WO2016168044A1; AU2022202068A1; US20190387013A1; AU2022202068B2; US20220232028A1; US10193917B2; US20230421590A1; US20190238577A1; US20200213342A1; EP3284238A1; US10757126B2; EP4369680A2; CA3021054A1; US11700273B2

Abstract

Eine Paketfiltereinrichtung, umfassend:
mindestens einen Prozessor; und
einen Speicher, der Anweisungen umfasst, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen:
eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem von einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Netzwerkbedrohungsindikatoren mit Netzwerk-Threat Intelligence-Berichten assoziiert sind, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden;
eine Vielzahl von Paketen zu empfangen, die ein erstes Paket und ein zweites Paket umfassen;
in Reaktion auf eine Bestimmung, dass das erste Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren, festgelegt durch die erste Paketfilterregel:
einen Operator auf das erste Paket anzuwenden, der durch die erste Paketfilterregel festgelegt ist und konfiguriert ist, die Paketfiltereinrichtung zu veranlassen, dem ersten Paket die Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und
Informationen zu übertragen, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren, und von Daten, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde;
eine Aktualisierung von wenigstens einer Paketfilterregel zu empfangen;
basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel mindestens einen Operator zu modifizieren, der durch die erste Paketfilterregel festgelegt ist, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und
in Reaktion auf eine Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt:
basierend auf dem modifizierten mindestens einen Operator, der durch die erste Paketfilterregel festgelegt ist, die Weiterleitung des zweiten Pakets in Richtung eines Ziels des zweiten Pakets zu verhindern; und
Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.

Description

QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
Diese Anmeldung beansprucht die Priorität der US-Patentanmeldung mit der Seriennummer 14/690,302, die am 17. April 2015 eingereicht wurde und den Titel „RULE-BASED NETWORK-THREAT DETECTION“ trägt, und deren Offenbarung durch Bezugnahme hierin in vollem Umfang aufgenommen und zum Bestandteil dieses Dokuments gemacht wird.
HINTERGRUND
Die Netzwerksicherheit wird im Informationszeitalter immer wichtiger. Netzwerkbedrohungen können verschiedene Formen annehmen (z. B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Mengen an Netzwerkverkehr, die darauf abzielen, die Netzwerkressourcen zu überlasten, und dergleichen). Viele Organisationen abonnieren Netzwerkbedrohungsdienste, die regelmäßig Informationen zu Netzwerkbedrohungen bereitstellen, z. B. Berichte mit Listen von Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Uniform Resources Identifiers (URIs) und dergleichen). Die von solchen Diensten bereitgestellten Informationen können von Organisationen genutzt werden, um Netzwerkbedrohungen zu identifizieren. Beispielsweise können die von den Netzwerkgeräten der Organisation erzeugten Protokolle auf Daten überprüft werden, die den von solchen Diensten bereitgestellten Netzwerkbedrohungsindikatoren entsprechen. Da die Protokolle jedoch auf der Grundlage des von den Netzwerkgeräten verarbeiteten Datenverkehrs ohne Berücksichtigung der Netzwerkbedrohungsindikatoren erstellt werden, ist dieser Prozess oft mühsam und zeitaufwändig und wird durch die sich ständig weiterentwickelnden potenziellen Bedrohungen noch erschwert. Dementsprechend besteht ein Bedarf an regelbasierter Erkennung von Netzwerkbedrohungen.
ZUSAMMENFASSUNG
Das Folgende stellt eine vereinfachte Zusammenfassung dar, um ein grundlegendes Verständnis einiger Aspekte der Offenbarung zu vermitteln. Es ist weder beabsichtigt, wichtige oder kritische Elemente der Offenbarung zu identifizieren noch den Umfang der Offenbarung abzugrenzen. Die folgende Zusammenfassung stellt lediglich einige Konzepte der Offenbarung in vereinfachter Form als Auftakt zur nachfolgenden Beschreibung dar.
Aspekte dieser Offenbarung beziehen sich auf die regelbasierte Erkennung von Netzwerkbedrohungen. Gemäß Ausführungsbeispiele der Offenbarung kann eine Paketfiltervorrichtung Paketfilterregeln empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die Netzwerkbedrohungsindikatoren entsprechen. Die Paketfiltervorrichtung kann Pakete empfangen und für jedes Paket ermitteln, dass das Paket Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind. Die Kriterien können einem oder mehreren der Netzwerkbedrohungsindikatoren entsprechen. Die Paketfiltervorrichtung kann einen Operator anwenden, der durch die Paketfilterregel festgelegt ist. Der Operator kann so konfiguriert sein, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben. Die Paketfiltervorrichtung kann einen Protokolleintrag erzeugen, der Informationen von der Paketfilterregel, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, enthält und angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat.
In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung Daten erzeugen und an ein Benutzergerät übermitteln, die anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat.
Die Benutzervorrichtung kann die Daten empfangen und in einer von der Benutzervorrichtung angezeigten Schnittstelle anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat.
Die Schnittstelle kann ein Element umfassen, das, wenn es von einem Benutzer der Benutzervorrichtung aufgerufen wird, die Benutzervorrichtung veranlasst, die Paketfiltervorrichtung anzuweisen, den Operator neu zu konfigurieren, um zu verhindern, dass zukünftige Pakete, die den Kriterien entsprechen, in Richtung ihrer jeweiligen Ziele weitergeleitet werden.
Figurenliste
Die vorliegende Offenbarung ist in den beigefügten Ansprüchen besonders hervorgehoben. Merkmale der Offenbarung werden bei der Durchsicht dieser Offenbarung in ihrer Gesamtheit, einschließlich der beigefügten Zeichnungen, deutlicher.
Einige der hierin enthaltenen Merkmale sind beispielhaft, und nicht einschränkend, in den Figuren der begleitenden Zeichnungen dargestellt, in denen gleiche Bezugszeichen ähnliche Elemente bezeichnen, und in denen:

1 eine illustrative Umgebung für regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigt;
2A und 2B illustrative Vorrichtungen zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen;
3A, 38, 3C, 3D, 3E und 3F eine illustrative Ereignisabfolge für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen;
4A, 4B und 4C illustrative Paketfilterregeln für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen;
5A, 5B, 5C, 5D, 5E , 5F und 5G illustrative Protokolle für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen;
6A, 6B, 6C, 6D, 6E , 6F und 6G illustrative Schnittstellen für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; und
7 ein illustratives Verfahren zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigt.

DETAILLIERTE BESCHREIBUNG
In der folgenden Beschreibung verschiedener illustrativer Ausführungsbeispiele wird auf die begleitenden Zeichnungen verwiesen, die einen Teil dieses Dokuments bilden und in denen zur Veranschaulichung verschiedene Ausführungsbeispiele gezeigt werden, in denen Aspekte der Offenbarung ausgeführt werden können. Es ist zu verstehen, dass andere Ausführungsbeispiele verwendet werden können und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne vom Umfang der Offenbarung abzuweichen.
In der folgenden Beschreibung werden verschiedene Verbindungen zwischen Elementen diskutiert. Diese Verbindungen sind allgemein und können, sofern nicht anders angegeben, direkt oder indirekt, verdrahtet oder drahtlos sein. In dieser Hinsicht ist die Beschreibung nicht als einschränkend gedacht.
1 zeigt eine illustrative Umgebung für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. Unter Bezugnahme auf 1 kann die Umgebung 100 ein oder mehrere Netzwerke umfassen. Zum Beispiel kann die Umgebung 100 die Netzwerke 102, 104, 106 und 108 umfassen. Die Netzwerke 102, 104 und 106 können ein oder mehrere Netzwerke (z. B. Local Area Networks (LANs), Wide Area Networks (WANs), Virtual Private Networks (VPNs) oder Kombinationen davon) umfassen, die mit einer oder mehreren Personen oder Einrichtungen (z. B. Regierungen, Unternehmen, Dienstleistern oder anderen Organisationen) verbunden sind. Netzwerk 108 kann ein oder mehrere Netzwerke (z. B. LANs, WANs, VPNs oder Kombinationen davon) umfassen, die die Netzwerke 102, 104 und 106 miteinander und mit einem oder mehreren anderen Netzwerken (nicht dargestellt) verbinden. Das Netzwerk 108 kann zum Beispiel das Internet, ein ähnliches Netzwerk oder Teile davon umfassen.
Die Umgebung 100 kann auch einen oder mehrere Hosts enthalten, wie z. B. Computer- oder Netzwerkgeräte (z. B. Server, Desktop-Computer, Laptop-Computer, Tablet-Computer, mobile Geräte, Smartphones, Router, Gateways, Switches, Access Points oder dergleichen). Beispielsweise kann das Netzwerk 102 die Hosts 110, 112 und 114 enthalten, das Netzwerk 104 kann die Hosts 116, 118 und 120 enthalten, das Netzwerk 106 kann die Hosts 122, 124 und 126 enthalten, und das Netzwerk 108 kann die Netzwerke 102, 104 und 106 mit einem oder mehreren Hosts verbinden, die mit dem Regelanbieter 128 oder den Netzwerk-Threat Intelligence-Anbietern 130, 132 und 134, den Bedrohungshosts (bedrohten Hosts) (engl.: threat hosts) 136, 138 und 140 und dem unkritischen bzw. sicheren Host (engl.: benign host) 142 verbunden sind. Die Netzwerk-Threat Intelligence-Anbieter 130, 132 und 134 können mit Diensten verbunden sein, die Netzwerkbedrohungen überwachen (z. B. Bedrohungen, die mit den Bedrohungshosts 136, 138 und 140 verbunden sind) und Netzwerk-Threat Intelligence-Berichte (z. B. an Abonnenten) verteilen, die Netzwerkbedrohungsindikatoren enthalten (z. B. Netzwerkadressen, Ports, vollqualifizierte Domainnamen (FQDNs), uniform resource locators (URLs), uniform resource identifiers (URIs) oder dergleichen), die mit den Netzwerkbedrohungen verbunden sind, sowie andere mit den Netzwerkbedrohungen verbundene Informationen, z. B. die Art der Bedrohung (z. B. Phishing-Malware, Botnet-Malware oder dergleichen), geografische Informationen (z. B. ITAR (International Traffic in Arms Regulations)-Land, OFAC (Office of Foreign Assets Control) -Land, oder dergleichen), anonyme Proxys (z. B. Tor-Netzwerk, oder dergleichen), Gruppierungen (z. B. das Russian Business Network (RBN), oder dergleichen).
Die Umgebung 100 kann außerdem Paketfiltervorrichtungen (bzw. Paketfiltereinrichtungen) 144, 146 und 148 enthalten. Die Paketfiltervorrichtung 144 kann sich an der Grenze (engl.: boundary) 150 zwischen den Netzwerken 102 und 108 befinden. In ähnlicher Weise kann sich die Paketfiltervorrichtung 146 an der Grenze 152 zwischen den Netzwerken 104 und 108 befinden, und die Paketfiltervorrichtung 148 kann sich an der Grenze 154 zwischen den Netzwerken 106 und 108 befinden.
2A und 28 zeigen illustrative Geräte (Einrichtungen) zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung.
Unter Bezugnahme auf 2A kann sich, wie oben erwähnt, die Paketfiltervorrichtung 144 an der Grenze 150 zwischen den Netzwerken 102 und 108 befinden. Das Netzwerk 102 kann ein oder mehrere Netzwerkgeräte 202 (z. B. Server, Router, Gateways, Switches, Access Points oder dergleichen) enthalten, die die Hosts 110, 112 und 114 mit dem Netzwerk 108 verbinden. Das Netzwerk 102 kann auch TAP-Geräte 204 und 206 enthalten. Das TAP-Gerät 204 kann sich auf einem Kommunikationspfad befinden, der die Netzwerkgeräte 202 und das Netzwerk 102 (z. B. einen oder mehrere der Hosts 110, 112 und 114) verbindet, oder Zugang zu diesem Pfad haben. Das TAP-Gerät 206 kann sich auf einem Kommunikationspfad befinden, der die Netzwerkgeräte 202 und das Netzwerk 108 verbindet, oder Zugang zu diesem Pfad haben. Die Paketfiltervorrichtung 144 kann einen Speicher 208, einen oder mehrere Prozessoren 210, eine oder mehrere Kommunikationsschnittstellen 212 und einen Datenbus 214 umfassen. Der Datenbus 214 kann den Speicher 208, die Prozessoren 210 und die Kommunikationsschnittstellen 212 miteinander verbinden. Die Kommunikationsschnittstellen 212 können die Paketfiltervorrichtung 144 mit den Netzwerkgeräten 202 und den TAP-Geräten 204 und 206 verbinden. Der Speicher 208 kann ein oder mehrere Programmmodule 216, eine oder mehrere Paketfilterregeln 218 und ein oder mehrere Protokolle 220 enthalten. Die Programmmodule 216 können Anweisungen enthalten, die bei Ausführung durch die Prozessoren 210 die Paketfiltervorrichtung 144 veranlassen, eine oder mehrere der hierin beschriebenen Funktionen auszuführen. Die Netzwerke 104 und 106 können jeweils Komponenten umfassen, die mit den hier mit Bezug auf das Netzwerk 102 beschriebenen Komponenten vergleichbar sind, und die Paketfiltervorrichtungen 146 und 148 können jeweils Komponenten umfassen, die mit den hier mit Bezug auf die Paketfiltervorrichtung 144 beschriebenen Komponenten vergleichbar sind.
Mit Bezug auf 28 kann der Regelanbieter 128 ein oder mehrere Rechengeräte 222 enthalten. Die Rechengeräte 222 können einen Speicher 224, einen oder mehrere Prozessoren 226, eine oder mehrere Kommunikationsschnittstellen 228 und einen Datenbus 230 umfassen. Der Datenbus 230 kann den Speicher 224, die Prozessoren 226 und die Kommunikationsschnittstellen 228 miteinander verbinden. Die Kommunikationsschnittstellen 228 können die Rechengeräte 222 mit dem Netzwerk 108 verbinden, das, wie oben erwähnt, an der Grenze 150 mit dem Netzwerk 102 verbunden sein kann. Der Speicher 224 kann ein oder mehrere Programm-Module 232, einen oder mehrere Netzwerkbedrohungsindikatoren 234 und eine oder mehrere Paketfilterregeln 236 enthalten. Die Programmmodule 232 können Anweisungen enthalten, die bei Ausführung durch die Prozessoren 226 die Rechengeräte 222 veranlassen, eine oder mehrere der hier beschriebenen Funktionen auszuführen.
3A, 3B, 3C, 3D, 3E und 3F zeigen eine illustrative Ereignisabfolge für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. Bei der Betrachtung der illustrativen Ereignisabfolge ist zu beachten, dass die Anzahl, die Reihenfolge und der Zeitpunkt der illustrativen Ereignisse zum Zweck der Veranschaulichung vereinfacht sind und dass zusätzliche (nicht illustrierte) Ereignisse auftreten können, dass die Reihenfolge und der Zeitpunkt der Ereignisse von den dargestellten illustrativen Ereignissen abweichen können, und dass einige Ereignisse oder Schritte ausgelassen oder kombiniert werden können oder in einer anderen Reihenfolge auftreten können, als in der illustrativen Ereignisabfolge dargestellt.
Unter Bezugnahme auf 3A kann in Schritt 1 der Netzwerk-Threat Intelligence-Anbieter 130 dem Regelanbieter 128 (z. B. über das Netzwerk 108, wie durch das schattierte Kästchen über der sich vom Netzwerk 108 nach unten erstreckenden Linie gekennzeichnet) einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen identifizieren (z. B. Bedrohung_1, Bedrohung_2, Bedrohung_3 und Bedrohung 4) und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Ports, FQDNs, URLs, URIs oder dergleichen) sowie andere mit den Netzwerkbedrohungen verbundene Informationen (z. B. die Art der Bedrohung, geografische Informationen, anonyme Proxys, Gruppierungen oder dergleichen) enthalten. In ähnlicher Weise kann in Schritt 2 der Netzwerk-Threat Intelligence-Anbieter 132 dem Regelanbieter 128 einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen identifizieren (z. B. Bedrohung_1, Bedrohung_2, Bedrohung_5 und Bedrohung_6) und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren sowie andere mit den Netzwerkbedrohungen verbundene Informationen enthalten, und in Schritt 3 kann der Netzwerk-Threat Intelligence-Anbieter 134 dem Regelanbieter 128 einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen (z. B. Bedrohung_1, Bedrohung_7, Bedrohung_8 und Bedrohung_9) identifizieren und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren sowie andere mit den Netzwerkbedrohungen verbundene Informationen enthalten. Der Regelanbieter 128 (z. B. die Rechengeräte 222) kann (z. B. über Kommunikationsschnittstellen 228) die von den Netzwerk-Threat Intelligence-Anbietern 130, 132 und 134 übermittelten Netzwerk-Threat Intelligence-Berichte empfangen und die darin enthaltenen Daten im Speicher 224 speichern (z. B. Netzwerkbedrohungsindikatoren 234).
Unter Bezugnahme auf 38 kann die Paketfiltervorrichtung 144 in Schritt 4 einen oder mehrere Parameter an den Regelanbieter 128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten generiert werden, die von Netzwerk-Threat Intelligence-Anbietern 130, 132 und 134 bereitgestellt werden). In Schritt 5 kann der Regelanbieter 128 (z. B. die Rechengeräte 222) eine oder mehrere Paketfilterregeln (z. B. Paketfilterregeln 236) auf der Grundlage der von den Netzwerk-Threat Intelligence-Anbietern 130, 132 und 134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren 234) generieren, und kann in Schritt 6 die Paketfilterregeln an die Paketfiltervorrichtung 144 übermitteln, die, in Schritt 7, die Paketfilterregeln 218 aktualisieren kann, um die vom Regelanbieter 128 in Schritt 5 erzeugten Paketfilterregeln einzuschließen.
Beispielsweise können, unter Bezugnahme auf 4A, die Paketfilterregeln 218 Paketfilterregeln 402 enthalten, die Nicht-Netzwerk-Threat Intelligence-Regeln umfassen (z. B. Paketfilterregeln, die von einem Administrator des Netzwerks 102 generiert wurden), und Paketfilterregeln 404, die Netzwerk- Threat Intelligence-Regeln umfassen (z. B. die Paketfilterregeln, die vom Regelanbieter 128 in Schritt 6 übermittelt wurden). Jede der Netzwerk-Threat Intelligence-Regeln kann umfassen: ein oder mehrere Kriterien, die einem oder mehreren Netzwerkbedrohungsindikatoren 234 entsprechen, auf denen die Regel basiert, und so konfiguriert sein können, dass sie die Paketfiltervorrichtung 144 veranlassen, Pakete zu identifizieren, die den Kriterien entsprechen (z. B. die den Netzwerkbedrohungsindikatoren entsprechen, auf denen die Regel basiert); einen Operator, der so konfiguriert ist, dass er die Paketfiltervorrichtung 144 veranlasst, entweder Pakete, die den Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern (z.B. ein BLOCK-Operator) oder die Weiterleitung von Paketen, die den Kriterien entsprechen, in Richtung ihrer jeweiligen Ziele zu erlauben (z.B. ein ALLOW-Operator); und von den Kriterien unterschiedliche Informationen (z. B. eine Bedrohungs-ID), die einen oder mehrere der Netzwerkbedrohungsindikatoren, auf denen die Regel basiert, eine oder mehrere Netzwerkbedrohungen, die mit den Netzwerkbedrohungsindikatoren verbunden sind, einen oder mehrere Netzwerk-Threat Intelligence-Berichte, die die Netzwerkbedrohungsindikatoren enthalten, einen oder mehrere Netzwerk-Threat Intelligence-Anbieter 130, 132 oder 134, die die Netzwerk-Threat Intelligence-Berichte bereitgestellt haben, oder andere in den Netzwerk-Threat Intelligence-Berichten enthaltene Informationen, die mit den Netzwerkbedrohungsindikatoren oder den Netzwerkbedrohungen verbunden sind (z. B. die Art der Bedrohung, geografische Informationen, anonyme Proxys, Akteure oder dergleichen) identifizieren.
Mit Bezug zurück auf 38 kann die Paketfiltervorrichtung 146, in Schritt 8, einen oder mehrere Parameter an den Regelanbieter 128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten generiert werden, die vom Netzwerk-Threat Intelligence-Anbieter 134 bereitgestellt werden). In Schritt 9 kann der Regelanbieter 128 eine oder mehrere Paketfilterregeln auf der Grundlage der vom Netzwerk-Threat Intelligence-Anbieter 134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren 234 (oder ein Teil davon, der in den vom Netzwerk-Threat Intelligence-Anbieter 134 empfangenen Netzwerk-Threat Intelligence-Berichten enthalten ist)) generieren, und kann in Schritt 10 die Paketfilterregeln an die Paketfiltervorrichtung 146 übermitteln, die, in Schritt 11, ihre Paketfilterregeln aktualisieren kann, um die vom Regelanbieter 128 in Schritt 9 erzeugten Paketfilterregeln einzuschließen. In ähnlicher Weise kann die Paketfiltervorrichtung 148 in Schritt 12 einen oder mehrere Parameter an den Regelanbieter 128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt werden, die von den Netzwerk-Threat Intelligence-Anbietern 132 und 134 bereitgestellt werden). In Schritt 13 kann der Regelanbieter 128 eine oder mehrere Paketfilterregeln auf der Grundlage der von den Netzwerk-Threat Intelligence-Anbietern 132 und 134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren 234 (oder ein Teil davon, der in den von den Netzwerk-Threat Intelligence-Anbietern 132 und 134 empfangenen Netzwerk-Threat Intelligence-Berichten enthalten ist) generieren, und kann in Schritt 14 die Paketfilterregeln an die Paketfiltervorrichtung 148 übermitteln, die, in Schritt 15, ihre Paketfilterregeln aktualisieren kann, um die vom Regelanbieter 128 in Schritt 13 erzeugten Paketfilterregeln einzuschließen.
Unter Bezugnahme auf 3C können in Schritt 16 vier Pakete (z. B. über das Netzwerk 108, wie durch die schattierten Kreise über der sich vom Netzwerk 108 nach unten erstreckenden Linie gekennzeichnet) zwischen dem Host 114 und dem sicheren Host 142 übertragen werden (z. B. zwei Pakete, die vom Host 114 ausgehen und für den sicheren Host 142 bestimmt sind, und zwei Pakete, die vom sicheren Host 142 ausgehen und für den Host 114 bestimmt sind), und die Paketfiltervorrichtung 144 kann jedes der vier Pakete empfangen (z. B. über die TAP-Geräte 204 und 206), eine oder mehrere der Paketfilterregeln 218 auf die vier Pakete anwenden, und den vier Paketen die Weiterleitung in Richtung ihrer jeweiligen Zielen erlauben.
In Schritt 17 können drei Pakete vom Host 112 an den Bedrohungshost 136 übermittelt werden, und die Paketfiltervorrichtung 144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben (z. B. in Richtung des Bedrohungshosts 136), und Protokolldaten für jedes der drei Pakete generieren (wie durch die Dreiecke über der sich von der Paketfiltervorrichtung 144 nach unten erstreckenden Linie gekennzeichnet).
In Schritt 18 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 17 erzeugten Protokolldaten beginnen. Beispielsweise können, unter Bezugnahme auf 5A, die Protokolle 220 das Paketprotokoll (engl.: packet log) 502 und das Flussprotokoll (engl.: flow log) 504 umfassen, von denen jedes (oder Teile davon) für Einträge reserviert oder unterschieden werden kann, die mit Paketen verbunden sind, die den in den Paketfilterregeln 404 enthaltenen Kriterien entsprechen, und die Paketfiltervorrichtung 144 kann für jedes der drei Pakete einen Eintrag im Paketprotokoll 502 erzeugen. Jeder Eintrag kann Daten umfassen, die eine Trefferzeit für das Paket angeben (z.B. eine Zeit, zu der das Paket von der Paketfiltervorrichtung 144 empfangen wurde, von der Paketfiltervorrichtung 144 identifiziert wurde oder dergleichen), von dem Paket abgeleitete Daten (z.B. eine Quelladresse, eine Zieladresse, eine Portnummer, ein Protokolltyp, ein Domainname, eine URL, eine URI oder dergleichen), eine oder mehrere Umgebungsvariablen (z. B. eine Kennung einer Schnittstelle der Paketfiltervorrichtung 144, über die das Paket empfangen wurde, eine Kennung einer Schnittstelle der Paketfiltervorrichtung 144, über die das Paket in Richtung seines Ziels weitergeleitet wurde, eine Kennung, die der Paketfiltervorrichtung 144 zugeordnet ist (z. B. zur Unterscheidung der Paketfiltervorrichtung 144 von den Paketfiltervorrichtungen 146 und 148), oder dergleichen), Daten, die die Paketfilterregel der Paketfilterregeln 404 identifizieren, der das Paket entsprach (z.B. Thread-ID: Threat_3), und Daten, die angeben, ob die Paketfiltervorrichtung 144 das Paket an der Weiterleitung in Richtung seines Ziels hinderte oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubte (z. B. kann das Zeichen A angeben, dass die Paketfiltervorrichtung 144 dem Paket die Weiterleitung in Richtung seines Ziels erlaubte, und das Zeichen B kann angeben, dass die Paketfiltervorrichtung 144 das Paket an der Weiterleitung in Richtung seines Ziels hinderte).
Zurückkommend auf 3C, können, in Schritt 19, vier Pakete zwischen Host 114 und Bedrohungshost 138 übertragen werden (z. B. zwei Pakete, die von Host 114 ausgehen und für den Bedrohungshost 138 bestimmt sind, und zwei Pakete, die von dem Bedrohungshost 138 ausgehen und für Host 114 bestimmt sind), und die Paketfiltervorrichtung 144 kann jedes der vier Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die vier Pakete anwenden, ermitteln, dass jedes der vier Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI005), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der vier Pakete anwenden, jedem der vier Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben, und Protokolldaten für jedes der vier Pakete erzeugen. In einigen Ausführungsbeispielen können die Kriterien, die durch eine oder mehrere von Paketfilterregeln 404 festgelegt werden (z. B. die Kriterien, die aus den Netzwerkbedrohungsindikatoren generiert werden), Netzwerkadressen umfassen, und eines oder mehrere der Pakete, die von der Paketfiltervorrichtung 144 empfangen werden, können Domainnamen, URls oder URLs umfassen. In solchen Ausführungsbeispielen kann die Paketfiltervorrichtung 144 einen lokalen DNS (domain name system)-Cache (z. B. im Speicher 208 gespeichert) umfassen und den lokalen DNS-Cache verwenden, um einen oder mehrere der in den Paketen enthaltenen Domainnamen, URIs oder URLs in eine oder mehrere der in den Kriterien enthaltenen Netzwerkadressen aufzulösen.
In Schritt 20 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 17 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 19 erzeugten Protokolldaten beginnen. In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung 144 gemäß einer arbeitserhaltenden Planung konfiguriert werden, um Latenzzeiten zu minimieren (z. B. die Zeit zwischen dem Zeitpunkt, zu dem ein Paket, das einer Netzwerkbedrohung entspricht, die Grenze 150 überquert, und dem Zeitpunkt, zu dem einem mit dem Netzwerk 102 verbundenen Administrator eine Schnittstelle präsentiert wird, die anzeigt, dass das Paket, das der Netzwerkbedrohung entspricht, die Grenze 150 überquert hat). Beispielsweise kann, unter Bezugnahme auf 5B, die Paketfiltervorrichtung 144 für jedes der in Schritt 19 empfangenen Pakete Einträge im Paketprotokoll 502 erzeugen, während sie für die in Schritt 17 empfangenen Pakete einen Eintrag im Flussprotokoll 504 erzeugt. Die Paketfiltervorrichtung 144 kann den Eintrag im Flussprotokoll 504 für die in Schritt 17 empfangenen Pakete auf der Grundlage der im Paketprotokoll 502 (z. B. in Schritt 18) für die in Schritt 17 empfangenen Pakete erzeugten Einträge erzeugen. Der Eintrag im Flussprotokoll 504 kann die Einträge im Paketprotokoll 502 konsolidieren, komprimieren oder zusammenfassen. Der Eintrag im Flussprotokoll 504 kann beispielsweise einen Zeitbereich (z. B. [01, 03]) umfassen, der den frühesten von den Einträgen angegebenen Trefferzeitpunkt (z. B. Zeit: 01) bis zum spätesten von den Einträgen angegebenen Trefferzeitpunkt (z. B. Zeit: 03) angibt, konsolidierte Informationen aus den Einträgen (z. B. eine Konsolidierung der von den Paketen und den Umgebungsvariablen abgeleiteten Informationen), Informationen, die jedes der zugehörigen Pakete gemeinsam hat (z. B. Bedrohungs-ID: Threat_3), eine Anzahl der zugehörigen Pakete, denen die Paketfiltervorrichtung 144 die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt hat, und eine Anzahl der zugehörigen Pakete, die die Paketfiltervorrichtung 144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert hat.
Mit Bezug zurück auf 3C, kann die Paketfiltervorrichtung 144, in Schritt 21, das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung umfassen, für eine Schnittstelle, die mit der Paketfiltervorrichtung 144 verbunden ist und vom Host 110 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host 110 übermitteln. Unter Bezug auf 6A kann der Host 110 zum Beispiel ein Benutzergerät sein, das einem Administrator des Netzwerks 102 zugeordnet und konfiguriert ist, die Schnittstelle 600 anzuzeigen. Die Schnittstelle 600 kann grafische Darstellungen 602 und 604 enthalten, die die mit der Paketfiltervorrichtung 144 verbundene Aktivität illustrieren können. Beispielsweise kann die grafische Darstellung 602 ein Liniendiagramm umfassen, das für ein benutzerspezifisches Zeitintervall eine Anzahl von Pakettreffern, eine Anzahl von Paketen, die an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden, eine Anzahl von Paketen, denen die Weiterleitung in Richtung ihrer jeweiligen Zielen erlaubt wurde, oder dergleichen darstellt, und die grafische Darstellung 604 kann ein ringartiges Tortendiagramm (engl.: annulated pie chart) umfassen, das den prozentualen Anteil der Treffer während des benutzerspezifischen Zeitintervalls veranschaulicht, die mit verschiedenen Kategorietypen (z. B. Art der Netzwerkbedrohung, geografische Informationen, anonyme Proxys, Gruppierungen, oder dergleichen) verbunden sind.
Die Schnittstelle 600 kann auch eine Auflistung 606 enthalten, die Einträge umfassen kann, die Netzwerkbedrohungen entsprechen, und, für jede Bedrohung, zugehörige Informationen, die von der Paketfiltervorrichtung 144 aus dem Flussprotokoll 504 abgeleitet werden (z. B. eine Beschreibung der Bedrohung, Informationen, die aus den im Flussprotokoll 504 gespeicherten konsolidierten Informationen abgeleitet wurden, der Zeitpunkt des letzten zugehörigen Pakettreffers, eine Anzahl zugehöriger Pakettreffer, eine Anzahl zugehöriger Pakete, denen die Paketfiltervorrichtung 144 die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt hat, eine Anzahl zugehöriger Pakete, die von der Paketfiltervorrichtung 144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden) und einen Status des Operators, der in der mit der Bedrohung verbundenen Regel enthalten ist.
Die Paketfiltervorrichtung 144 kann konfiguriert sein, eine Reihenfolge der Netzwerkbedrohungen zu bestimmen, und die Liste 606 kann entsprechend der von der Paketfiltervorrichtung 144 bestimmten Reihenfolge angezeigt werden. In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung 144 konfiguriert sein, um für jede der Netzwerkbedrohungen einen Score zu bestimmen, und die Reihenfolge kann auf der Grundlage der Scores bestimmt werden. In solchen Ausführungsbeispielen können die Scores auf der Grundlage einer Anzahl zugehöriger Pakettreffer bestimmt werden, von mit den Pakettreffern verbundenen Zeiten (z. B. Tageszeit, Zeit seit dem letzten Treffer, oder dergleichen), ob das Paket für eine mit einem Host im Netzwerk 102 oder einem Host im Netzwerk 108 verbundene Netzwerkadresse bestimmt war, einem oder mehreren Netzwerk-Threat Intelligence-Anbietern, die die mit der Bedrohung verbundenen Netzwerkbedrohungsindikatoren bereitgestellt haben, der Anzahl der Netzwerk-Threat Intelligence-Anbieter, die die mit der Bedrohung verbundenen Netzwerkbedrohungsindikatoren bereitgestellt haben, oder anderen mit der Netzwerkbedrohung verbundenen Informationen (z. B. Art der Netzwerkbedrohung, geografische Informationen, anonyme Proxys, Gruppierungen oder dergleichen).
Wie in 6A dargestellt, kann beispielsweise der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 ein höherer Score (z. B. 6) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 (z. B. 5) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 entsprechen, von drei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern 130, 132 und 134) empfangen wurden, und auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 entsprechen, von zwei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern 130 und 132) empfangen wurden. In ähnlicher Weise kann der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 ein höherer Score (z. B. 5) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 (z. B. 4) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 entsprechen, von zwei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern 130 und 132 ) empfangen wurden, und einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 entsprechen, von einem Netzwerk-Threat Intelligence-Anbieter (z. B. dem Netzwerk-Threat Intelligence-Anbieter 130) empfangen wurden. Zusätzlich kann der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 ein höherer Score (z. B. 4) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 (z. B. 2) zugewiesen ist, basierend auf einer Feststellung, dass der letzte Pakettreffer, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 entspricht, aktueller ist als der letzte Pakettreffer, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 entspricht, und der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_4 kann einen höherer Score (z. B. 2) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_9 (z. B. 1) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der Bedrohungs-ID: Threat_4 entsprechen, vom Netzwerk-Threat Intelligence-Anbieter 130 empfangen wurden, und einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der Bedrohungs-ID: Threat_9 vom Netzwerk-Threat Intelligence-Anbieter 134 empfangen wurden (z. B. können die vom Netzwerk-Threat Intelligence-Anbieter 130 erstellten Netzwerk-Threat Intelligence-Berichte als zuverlässiger angesehen werden als die vom Netzwerk-Threat Intelligence-Anbieter 134 erstellten Netzwerk-Threat Intelligence-Berichte).
Mit Bezug zurück auf 3C können, in Schritt 22, drei Pakete vom Bedrohungshost 140 an den Host 114 übermittelt werden, und die Paketfiltervorrichtung 144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI001), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben (z. B. in Richtung des Hosts 114), und Protokolldaten für jedes der drei Pakete erzeugen.
In Schritt 23 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 19 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 22 erzeugten Protokolldaten beginnen. Unter Bezugnahme auf 5C kann beispielsweise die Paketfiltervorrichtung 144 für jedes der in Schritt 22 empfangenen Pakete Einträge im Paketprotokoll 502 erzeugen, während sie einen Eintrag im Flussprotokoll 504 für die in Schritt 19 empfangenen Pakete auf der Grundlage der im Paketprotokoll 502 erzeugten Einträge (z. B. in Schritt 20) für die in Schritt 19 empfangenen Pakete erzeugt.
Mit Bezug zurück auf 3C kann die Paketfiltervorrichtung 144 in Schritt 24 das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, und kann die Daten an den Host 110 übermitteln. Beispielsweise kann die Aktualisierung, unter Bezug auf 6B, die Schnittstelle 600 veranlassen, einen Eintrag in der Liste 606, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 entspricht, zu aktualisieren, um die in Schritt 19 empfangenen Pakete wiederzugeben und um einen neuen Score (z. B. 3) wiederzugeben, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 19 empfangenen Pakete erhöht haben).
Die Schnittstelle 600 kann eine oder mehrere Blockoptionen enthalten, die, wenn sie von einem Benutzer des Hosts 110 (z. B. dem Administrator des Netzwerks 102) aufgerufen werden, den Host 110 veranlassen, die Paketfiltervorrichtung 144 anzuweisen, einen Operator einer in den Paketfilterregeln 404 enthaltenen Paketfilterregel neu zu konfigurieren, um Pakete, die den durch die Paketfilterregel festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. In einigen Ausführungsbeispielen kann die Auflistung 606 eine solche Blockoption neben jedem Eintrag enthalten, und wenn sie aufgerufen wird, kann die Blockoption den Host 110 veranlassen, die Paketfiltervorrichtung 144 anzuweisen, einen Operator der Paketfilterregeln 404 neu zu konfigurieren, der der mit dem Eintrag verbundenen Netzwerkbedrohung entspricht. Beispielsweise kann die Schnittstelle 600 eine Blockoption 608 enthalten, die, wenn sie aufgerufen wird, den Host 110 veranlassen kann, die Paketfiltervorrichtung 144 anzuweisen, einen Operator neu zu konfigurieren, der der Regel TI003 zugeordnet ist (z. B. den Operator so neu zu konfigurieren, dass die Paketfiltervorrichtung 144 veranlasst wird, Pakete, die den ein oder mehreren durch Regel: TI003 festgelegten Kriterien entsprechen (z. B. Pakete, die den Netzwerkbedrohungsindikatoren entsprechen, die der Bedrohungs-ID: Threat_3 zugeordnet sind), an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern.
Zusätzlich oder alternativ kann eine solche Blockoption, wenn sie aufgerufen wird, den Host 110 veranlassen, eine andere Schnittstelle (z. B. ein Overlay, eine Popup-Schnittstelle oder dergleichen) anzuzeigen, die mit der Paketfiltervorrichtung 144 verbunden ist. Zum Beispiel kann, unter Bezug auf 6C, die Blockoption 608, wenn sie aufgerufen wird, den Host 110 veranlassen, die Schnittstelle 610 anzuzeigen. Die Schnittstelle 610 kann spezifische Blockoptionen 612, 614, 616 und 618, Änderungsoption 620 und Abbruchoption 622 umfassen. Die spezifische Blockoption 612 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung 144 entsprechen, um Pakete, die der Netzwerkbedrohung entsprechen und für einen Host im Netzwerk 102 bestimmt sind oder von ihm stammen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. Die spezifische Blockoption 614 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung 144 entsprechen, um Pakete, die der Netzwerkbedrohung entsprechen und für einen oder mehrere bestimmte Hosts im Netzwerk 102 bestimmt sind oder von diesen stammen, die Pakete in Verbindung mit der Netzwerkbedrohung erzeugt oder empfangen haben (z. B. Host 112), an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. Die spezifische Blockoption 616 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung 144 entsprechen, um Pakete, die von den bestimmten Hosts im Netzwerk 102 empfangen werden, die mit der Netzwerkbedrohung verbundene Pakete erzeugt oder empfangen haben, an der Weiterleitung in Richtung der Hosts im Netzwerk 102 zu hindern. Und die spezifische Blockoption 618 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung 144 entsprechen, um Pakete, die von bestimmten Hosts im Netzwerk 102 empfangen werden, die Pakete in Verbindung mit der Netzwerkbedrohung erzeugt oder empfangen haben, an der Weiterleitung in Richtung von Hosts im Netzwerk 108 zu hindern.
Die Schnittstelle 610 kann auch eine Regelvorschau-Auflistung 624 enthalten, die eine Auflistung von Regeln anzeigen kann, die von der Paketfiltervorrichtung 144 in Reaktion auf den Aufruf der Änderungsoption 620 durch den Benutzer implementiert werden. Die Regelvorschau-Auflistung 624 kann einen oder mehrere Einträge enthalten, die jeder der spezifischen Blockoptionen 612, 614, 616 und 618 entsprechen. Beispielsweise kann der Eintrag 626 einer Regel entsprechen und diese angeben, die für die Implementierung der spezifischen Blockoption 612 konfiguriert ist (z. B. Regel: TI003, deren Operator auf BLOCK umkonfiguriert wurde). In ähnlicher Weise können die Einträge 628, 630 und 632 Regeln entsprechen und angeben, die für die Implementierung spezifischer Blockoptionen 614, 616 und 618 konfiguriert sind (z. B. eine oder mehrere neue Regeln, die von der Paketfiltervorrichtung 144 auf der Grundlage von Daten generiert wurden, die aus dem Flussprotokoll 504 abgeleitet wurden (z. B. eine dem Host 112 zugeordnete Netzwerkadresse)). In Reaktion auf einen Benutzer, der eine oder mehrere der spezifischen Blockoptionen 612, 614, 616 oder 618 aufruft, kann die Schnittstelle die entsprechenden Regeln auswählen, und in Reaktion auf einen Benutzer, der die Modifizierungsoption 620 aufruft, kann der Host 110 die Paketfiltervorrichtung 144 anweisen, die ausgewählten Regeln zu implementieren. In Reaktion auf einen Benutzer, der die Abbruchoption 620 aufruft, kann der Host 110 die Schnittstelle 600 erneut anzeigen.
Mit Bezug zurück auf 3C kann der Host 110 in Schritt 25 Anweisungen an die Paketfiltervorrichtung 144 übermitteln, die die Paketfiltervorrichtung 144 anweisen, eine oder mehrere Paketfilterregeln 404 neu zu konfigurieren (z. B. den Operator von Regel: TI003 auf BLOCK umzukonfigurieren), und in Schritt 26 kann die Paketfiltervorrichtung 144 die Paketfilterregeln 404 entsprechend neu konfigurieren, wie in 4B dargestellt.
In Schritt 27 können drei Pakete, die für den Bedrohungshost 136 bestimmt sind, vom Host 112 übermittelt werden, und die Paketfiltervorrichtung 144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der drei Pakete anwenden, jedes der drei Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels (z.B. in Richtung des Bedrohungshosts 136) hindern, und Protokolldaten für jedes der drei Pakete erzeugen.
In Schritt 28 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 22 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 27 erzeugten Protokolldaten beginnen. Beispielsweise kann die Paketfiltervorrichtung 144, unter Bezugnahme auf 5D, für jedes der in Schritt 27 empfangenen Pakete Einträge im Paketprotokoll 502 erzeugen, während sie einen Eintrag im Flussprotokoll 504 für die in Schritt 22 empfangenen Pakete auf der Grundlage der im Paketprotokoll 502 (z. B. in Schritt 23) erzeugten Einträge für die in Schritt 22 empfangenen Pakete erzeugt.
Mit Bezug zurück auf 3C kann die Paketfiltervorrichtung 144, in Schritt 29, das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, und kann die Daten an den Host 110 übermitteln. Beispielsweise kann die Aktualisierung, unter Bezug auf 6D, die Schnittstelle 600 veranlassen, einen Eintrag in der Liste 606, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 zugeordnet ist, zu aktualisieren, um die in Schritt 22 empfangenen Pakete wiederzugeben, die Änderung des Operators der Paketfilterregel, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 zugewiesen ist, einen neuen Score (z. B. 7), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 22 empfangenen Pakete erhöht haben), einen neuen Score (z. B. 2), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann der Score aufgrund der Änderung des Operators in der zugehörigen Paketfilterregel gesunken sein), einen neuen Score (z. B. 4), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 von der Paketfiltervorrichtung 144 zugewiesen wurde, und eine geänderte Reihenfolge, die von der Paketfiltervorrichtung 144 auf der Grundlage der neuen Scores bestimmt wird.
Unter Bezugnahme auf 3D können in Schritt 30 drei Pakete, die für den Host 120 bestimmt sind, vom Bedrohungshost 140 übermittelt werden, und die Paketfiltervorrichtung 146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts 120) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 31 kann die Paketfiltervorrichtung 146 mit der Verarbeitung der in Schritt 30 erzeugten Protokolldaten beginnen.
In Schritt 32 können drei Pakete, die für den Host 118 bestimmt sind, vom Bedrohungshost 140 übermittelt werden, und die Paketfiltervorrichtung 146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts 118) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen.
In Schritt 33 kann die Paketfiltervorrichtung 146 mit der Verarbeitung der in Schritt 30 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 33 erzeugten Protokolldaten beginnen. In Schritt 34 kann die Paketfiltervorrichtung 146 Daten erzeugen, die eine Aktualisierung (engl.: update) für eine Schnittstelle umfassen, die der Paketfiltervorrichtung 146 zugeordnet ist und von dem Host 116 angezeigt wird (z. B. eine der Schnittstelle 600 ähnliche Schnittstelle), und die Daten, die die Aktualisierung umfassen, an den Host 116 übermitteln.
In Schritt 35 können drei Pakete, die für den Host 120 bestimmt sind, vom Bedrohungshost 140 übermittelt werden, und die Paketfiltervorrichtung 146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts 120) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 36 kann die Paketfiltervorrichtung 146 mit der Verarbeitung der in Schritt 32 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 35 erzeugten Protokolldaten beginnen.
In Schritt 37 kann die Paketfiltervorrichtung 146 Daten erzeugen, die eine Aktualisierung für die Schnittstelle umfassen, die der Paketfiltervorrichtung 146 zugeordnet ist und von dem Host 116 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host 116 übermitteln. In Schritt 38 kann der Host 116 Anweisungen an die Paketfiltervorrichtung 146 übermitteln, die die Paketfiltervorrichtung 146 anweisen, eine oder mehrere ihrer Paketfilterregeln neu zu konfigurieren (z. B. den Operator der Regel, die der Bedrohungs-ID: Threat_1 entspricht auf BLOCK umzukonfigurieren), und in Schritt 39 kann die Paketfiltervorrichtung 146 ihre Paketfilterregeln entsprechend neukonfigurieren.
In Schritt 40 können drei Pakete, die für Host 118 bestimmt sind, und drei Pakete, die für Host 120 bestimmt sind, vom Bedrohungshost 140 übermittelt werden, und die Paketfiltervorrichtung 146 kann jedes der sechs Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die sechs Pakete anwenden, ermitteln, dass jedes der sechs Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel spezifizierten Operator (z. B. den BLOCK-Operator) auf jedes der sechs Pakete anwenden, jedes der sechs Pakete an der Weiterleitung zu seinem jeweiligen Ziel hindern, und Protokolldaten für jedes der sechs Pakete erzeugen. In Schritt 41 kann die Paketfiltervorrichtung 146 mit der Verarbeitung der in Schritt 35 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 40 erzeugten Protokolldaten beginnen.
In Schritt 42 kann die Paketfiltervorrichtung 146 Daten an den Regelanbieter 128 übertragen (z. B. Daten, die angeben, dass fünfzehn Pakete, die der Bedrohungs-ID: Threat_1 entsprechen, von der Paketfiltervorrichtung 146 empfangen wurden, die Paketfiltervorrichtung 146 für neun der fünfzehn Pakete die Weiterleitung an Hosts im Netzwerk 104 zugelassen hat, und die Paketfiltervorrichtung 146 sechs der fünfzehn Pakete an der Weiterleitung an Hosts im Netzwerk 104 gehindert hat).
Unter Bezug auf 3E können in Schritt 43 vier Pakete zwischen dem Host 124 und dem Bedrohungshost 136 übertragen werden (z. B. zwei Pakete, die vom Host 124 ausgehen und für den Bedrohungshost 136 bestimmt sind, und zwei Pakete, die vom Bedrohungshost 136 ausgehen und für den Host 124 bestimmt sind), und die Paketfiltervorrichtung 148 kann jedes der vier Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die vier Pakete anwenden und den vier Paketen die Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben.
In Schritt 44 können drei Pakete, die für Host 126 bestimmt sind, vom Bedrohungshost 140 übertragen werden, und die Paketfiltervorrichtung 148 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben (z. B. in Richtung des Hosts 126), und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 45 kann die Paketfiltervorrichtung 148 mit der Verarbeitung der in Schritt 44 erzeugten Protokolldaten beginnen.
In Schritt 46 können drei für den Host 126 bestimmte Pakete vom Bedrohungshost 140 übertragen werden, und die Paketfiltervorrichtung 148 kann jedes der drei Pakete empfangen, eine oder mehrere, ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den durch eine Paketfilterregel festgelegten Kriterien entspricht (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen von der Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts 126) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen.
In Schritt 47 kann die Paketfiltervorrichtung 148 die Verarbeitung der in Schritt 44 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 47 erzeugten Protokolldaten beginnen. In Schritt 48 kann die Paketfiltervorrichtung 148 Daten erzeugen, die eine Aktualisierung für eine Schnittstelle umfassen, die der Paketfiltervorrichtung 148 zugeordnet ist und vom Host 122 angezeigt wird (z. B. eine der Schnittstelle 600 ähnliche Schnittstelle), und kann die Daten, die die Aktualisierung umfassen, an den Host 122 übermitteln.
In Schritt 49 können zwei Pakete zwischen dem Host 124 und dem Bedrohungshost 138 übertragen werden (z. B. ein Paket, das vom Host 124 ausgeht und für den Bedrohungshost 138 bestimmt ist, und ein Paket, das vom Bedrohungshost 138 ausgeht und für den Host 124 bestimmt ist), und die Paketfiltervorrichtung 148 kann jedes der beiden Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die beiden Pakete anwenden, ermitteln, dass jedes der beiden Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_5 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der beiden Pakete anwenden, jedem der beiden Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben, und Protokolldaten für jedes der beiden Pakete erzeugen. In Schritt 50 kann die Paketfiltervorrichtung 148 die Verarbeitung der in Schritt 46 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 49 erzeugten Protokolldaten beginnen.
In Schritt 51 kann die Paketfiltervorrichtung 148 Daten erzeugen, die eine Aktualisierung für die Schnittstelle umfassen, die der Paketfiltervorrichtung 148 zugeordnet ist und vom Host 122 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host 122 übermitteln. In Schritt 52 kann der Host 122 Anweisungen an die Paketfiltervorrichtung 148 übermitteln, die die Paketfiltervorrichtung 148 anweisen, eine oder mehrere ihrer Paketfilterregeln neu zu konfigurieren, um alle Pakete zu blockieren, die den Netzwerkbedrohungsindikatoren entsprechen, die der Bedrohungs-ID: Threat_1 zugeordnet sind (z. B. den Operator der Regel, die der Bedrohungs-ID: Threat_1 entspricht, auf BLOCK umzukonfigurieren), und eine oder mehrere neue Paketfilterregeln zu implementieren, die so konfiguriert sind, dass sie alle vom Host 126 stammenden Pakete blockieren, und in Schritt 53 kann die Paketfiltervorrichtung 148 ihre Paketfilterregeln entsprechend neukonfigurieren.
In Schritt 54 kann der Bedrohungshost 140 ein für den Host 124 bestimmtes Paket und ein für den Host 126 bestimmtes Paket erzeugen, der Host 126 kann ein für den sicheren Host 142 bestimmtes Paket und ein für den Host 124 bestimmtes Paket erzeugen, und die Paketfiltervorrichtung 148 kann jedes der vier Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die vier Pakete anwenden, ermitteln, dass die vom Bedrohungshost 140 erzeugten Pakete Kriterien entsprechen, die durch die Paketfilterregel mit der zugeordneten Bedrohungs-ID: Threat_1 festgelegt sind, auf jedes der beiden von dem Bedrohungshost 140 erzeugten Pakete einen Operator anwenden, der durch die Paketfilterregel mit der zugeordneten Bedrohungs-ID: Threat_1 (z. B. der BLOCK-Operator) festgelegt ist, ermitteln, dass die von dem Host 126 erzeugten Pakete Kriterien entsprechen, die von den neuen Paketfilterregeln festgelegt werden (z. B. eine mit dem Host 126 verbundene Netzwerkadresse), einen von den neuen Paketfilterregeln festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der beiden vom Host 126 erzeugten Pakete anwenden, jedes der vier Pakete an der Weiterleitung zu seinem jeweiligen Ziel hindern, und Protokolldaten für jedes der vier Pakete erzeugen.
In Schritt 55 kann die Paketfiltervorrichtung 148 die Verarbeitung der in Schritt 49 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 54 erzeugten Protokolldaten beginnen. In Schritt 56 kann die Paketfiltervorrichtung 148 Daten an den Regelanbieter 128 übertragen (z. B. Daten, die angeben, dass acht Pakete, die der Bedrohungs-ID: Threat_1 entsprechen, von der Paketfiltervorrichtung 148 empfangen wurden, die Paketfiltervorrichtung 148 für sechs der acht Pakete die Weiterleitung an Hosts im Netzwerk 106 zugelassen hat, die Paketfiltervorrichtung 148 zwei der acht Pakete an der Weiterleitung an Hosts im Netzwerk 106 gehindert hat, zwei der Bedrohungs-ID: Threat_5 entsprechende Pakete von der Paketfiltervorrichtung 148 empfangen wurden, und die Paketfiltervorrichtung 148 beiden der Pakete die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubte).
Unter Bezugnahme auf 3F kann der Regelanbieter 128 (z. B. die Rechenvorrichtungen 222) in Schritt 57 die von den Paketfiltervorrichtungen 146 und 148 (z. B. in den Schritten 42 und 56) empfangenen Daten analysieren und basierend auf der Analyse eine Aktualisierung für die Paketfiltervorrichtung 148 erzeugen. In einigen Ausführungsbeispielen kann die Aktualisierung so konfiguriert sein, dass sie die Paketfiltervorrichtung 144 veranlasst, einen Operator einer in den Paketfilterregeln 404 enthaltenen Paketfilterregel neu zu konfigurieren (z. B. die Paketfiltervorrichtung 144 so neu zu konfigurieren, dass Pakete, die den durch die Regel festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden). Zusätzlich oder alternativ kann die Aktualisierung eine oder mehrere der Paketfilterregeln 404 neukonfigurieren, um die Reihenfolge (z. B. die Bewertung) der mit den Paketfilterregeln 404 verbundenen Netzwerkbedrohungen zu beeinträchtigen. In Schritt 58 kann der Regelanbieter 128 die Aktualisierungen an die Paketfiltervorrichtung 144 übertragen, welche die Aktualisierungen empfangen und in Schritt 59 die Paketfilterregeln 404 entsprechend aktualisieren kann. Beispielsweise kann die Aktualisierung so konfiguriert sein, dass sie die Paketfiltervorrichtung 144 veranlasst, den Operator von Regel: TI001 in den BLOCK-Operator umzukonfigurieren (z. B. die Paketfiltervorrichtung 144 so umzukonfigurieren, dass sie Pakete, die den mit der Netzwerkbedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 verbundenen Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele hindert, und die Paketfiltervorrichtung 144 kann die Paketfilterregeln 404 entsprechend neukonfigurieren, wie in 4C dargestellt).
In Schritt 60 können vier Pakete zwischen dem Host 114 und dem sicheren Host 142 (z. B. zwei Pakete, die vom Host 114 ausgehen und für den sicheren Host 142 bestimmt sind, und zwei Pakete, die vom sicheren Host 142 ausgehen und für den Host 114 bestimmt sind) übertragen werden, und die Paketfiltervorrichtung 144 kann jedes der vier Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die vier Pakete anwenden und den vier Paketen ihre Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben.
In Schritt 61 können drei Pakete, die für den Bedrohungshost 136 bestimmt sind, vom Host 112 übermittelt werden, und die Paketfiltervorrichtung 144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z.B. den BLOCK-Operator) auf jedes der drei Pakete anwenden, jedes der drei Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Bedrohungshosts 136) hindern, und Protokolldaten für jedes der drei Pakete erzeugen.
In Schritt 62 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 27 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 62 erzeugten Protokolldaten beginnen. Beispielsweise kann die Paketfiltervorrichtung 144, unter Bezugnahme auf 5E, Einträge im Paketprotokoll 502 für jedes der in Schritt 61 empfangenen Pakete erzeugen, während sie einen Eintrag im Flussprotokoll 504 für die in Schritt 27 empfangenen Pakete auf der Grundlage der im Paketprotokoll 502 (z. B. in Schritt 28) erzeugten Einträge für die in Schritt 27 empfangenen Pakete modifiziert, beispielsweise durch Modifizieren des der Bedrohungs-ID: Threat_3 entsprechenden Eintrags (z. B. den Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung 144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden).
In Schritt 63 kann die Paketfiltervorrichtung 144 das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, und kann die Daten an den Host 110 übertragen. Beispielsweise kann die Aktualisierung, unter Bezug auf 6E, die Schnittstelle 600 veranlassen, den der Bedrohungs-ID: Threat_3 zugeordneten Eintrag in der Liste 606 zu aktualisieren, um die in Schritt 27 empfangenen Pakete wiederzugeben, die Änderung des Operators der der Bedrohungs-ID: Threat_1 zugeordneten Paketfilterregel, einen neuen Score (z. B. 3), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 27 empfangenen Pakete erhöht haben), und einen neuen Score (z. B. 5), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung 144 zugewiesen wurde (z.B. kann sich der Score aufgrund der Änderung des Operators in seiner zugehörigen Paketfilterregel verringert haben).
In Schritt 64 können drei Pakete, die für Host 112 bestimmt sind, und drei Pakete, die für Host 114 bestimmt sind, vom Bedrohungshost 140 übertragen werden, und die Paketfiltervorrichtung 144 kann jedes der sechs Pakete empfangen, eine oder mehrere Paketfilterregeln 218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln 404 festgelegt sind (z. B. Regel: TI001), einen durch die Paketfilterregel festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der sechs Pakete anwenden, jedes der sechs Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels hindern, und Protokolldaten für jedes der sechs Pakete erzeugen.
In Schritt 65 kann die Paketfiltervorrichtung 144 mit der Verarbeitung der in Schritt 61 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 64 erzeugten Protokolldaten beginnen. Unter Bezugnahme auf 5F kann die Paketfiltervorrichtung 144 beispielsweise Einträge im Paketprotokoll 502 für jedes der in Schritt 64 empfangenen Pakete erzeugen, während sie einen Eintrag im Flussprotokoll 504 für die in Schritt 61 empfangenen Pakete auf der Grundlage der im Paketprotokoll 502 (z. B. in Schritt 62) erzeugten Einträge für die in Schritt 61 empfangenen Pakete modifiziert, z. B. durch Modifizieren des der Bedrohungs-ID: Threat_3 entsprechenden Eintrags (z. B. den Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung 144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden).
In Schritt 66 kann die Paketfiltervorrichtung 144 das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, und kann die Daten an den Host 110 übertragen. Beispielsweise kann die Aktualisierung, unter Bezug auf 6F, die Schnittstelle 600 veranlassen, den der Bedrohungs-ID: Threat_3 zugeordneten Eintrag in der Liste 606 zu aktualisieren, um die in Schritt 61 empfangenen Pakete wiederzugeben und einen neuen Score (z. B. 3), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 61 empfangenen Pakete erhöht haben).
In Schritt 67 kann die Paketfiltervorrichtung 144 die Verarbeitung der in Schritt 64 erzeugten Protokolldaten (engl.: log data) fortsetzen. Beispielsweise kann, unter Bezugnahme auf 5G, die Paketfiltervorrichtung 144 einen Eintrag im Flussprotokoll 504 für die in Schritt 64 empfangenen Pakete auf Grundlage der im Paketprotokoll 502 (z. B. in Schritt 65) erzeugten Einträge für die in Schritt 64 empfangenen Pakete modifizieren, z. B. durch Modifizieren des der Bedrohungs-ID: Threat_1 entsprechenden Eintrags (z. B. der Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung 144 an der Weiterleitung in Richtung ihrer jeweiligen Zielen gehindert wurden).
In Schritt 68 kann die Paketfiltervorrichtung 144 das Flussprotokoll 504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, und kann die Daten an den Host 110 übertragen. Unter Bezug auf 6G kann die Aktualisierung beispielsweise die Schnittstelle 600 veranlassen, den der Bedrohungs-ID: Threat_1 zugeordneten Eintrag in der Liste 606 zu aktualisieren, um
die in Schritt 64 empfangenen Pakete wiederzugeben und einen neuen Score (z. B. 6), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung 144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 64 empfangenen Pakete erhöht haben).
7 zeigt ein illustratives Verfahren zur regelbasierten Erkennung von Netzwerkbedrohungen
gemäß einem oder mehreren Aspekten der Offenbarung. Unter Bezugnahme auf 7 kann eine Paketfiltervorrichtung in Schritt 702 eine Vielzahl von Paketfilterregeln empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die einem oder mehreren Netzwerkbedrohungsindikatoren entsprechen. Beispielsweise kann die Paketfiltervorrichtung 144 Paketfilterregeln 404 vom Regelanbieter 128 empfangen. In Schritt 704 kann die Paketfiltervorrichtung ein Paket empfangen, das mindestens einem der Netzwerkbedrohungsindikatoren entspricht. Beispielsweise kann die Paketfiltervorrichtung 144 ein Paket empfangen, das von Host 112 erzeugt wurde und für den Bedrohungshost 136 bestimmt ist. In Schritt 706 kann die Paketfiltervorrichtung ermitteln, dass das Paket Kriterien entspricht, die durch eine der mehreren Paketfilterregeln festgelegt sind. Beispielsweise kann die Paketfiltervorrichtung 144 ermitteln, dass das von Host 112 erzeugte und für den Bedrohungshost 136 bestimmte Paket der Regel: TI003 entspricht. In Schritt 708 kann die Paketfiltervorrichtung einen durch die Paketfilterregel festgelegten Operator auf das Paket anwenden. Zum Beispiel kann die Paketfiltervorrichtung 144 einen durch die Regel: TI003 festgelegten Operator (z. B. einen ALLOW-Operator) auf das von Host 112 erzeugte Paket anwenden und dem von Host 112 erzeugten Paket die Weiterleitung in Richtung des Bedrohungshosts 136 erlauben.
In Schritt 710 kann die Paketfiltervorrichtung einen Protokolleintrag erzeugen, der Informationen aus der Paketfilterregel enthält, die sich von den Kriterien unterscheiden, und den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren. Zum Beispiel kann die Paketfiltervorrichtung 144 einen Eintrag im Paketprotokoll 502 erzeugen, der die Bedrohungs-ID: Threat_3 für das vom Host 112 erzeugte Paket enthält. In Schritt 712 kann die Paketfiltervorrichtung Daten erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert (z. B. das Paket blockiert) oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat. Beispielsweise kann die Paketfiltervorrichtung 144 Daten erzeugen, die eine Aktualisierung für die Schnittstelle 600 umfassen, die angibt, dass die Paketfiltervorrichtung 144 dem vom Host 112 erzeugten Paket die Weiterleitung in Richtung des Bedrohungshosts 136 erlaubt hat. In Schritt 714 kann die Paketfiltervorrichtung die Daten an ein Benutzergerät übermitteln. Zum Beispiel kann die Paketfiltervorrichtung 144 die Daten, die die Aktualisierung für die Schnittstelle 600 enthalten, an den Host 110 übertragen. In Schritt 716 kann die Paketfiltervorrichtung in einer Schnittstelle anzeigen, ob die Paketfiltervorrichtung die Weiterleitung des Pakets in Richtung seines Ziels verhindert oder die Weiterleitung des Pakets in Richtung seines Ziels zugelassen hat. Beispielsweise kann die Übertragung der Daten, die die Aktualisierung für die Schnittstelle 600 umfassen, den Host 110 veranlassen, in der Schnittstelle 600 anzuzeigen, dass die Paketfiltervorrichtung 144 die Weiterleitung des vom Host 112 erzeugten Pakets in Richtung des Bedrohungshosts 136 erlaubt hat.
Die hier beschriebenen Funktionen und Schritte können in computernutzbaren Daten oder computerausführbaren Anweisungen verkörpert sein, z. B. in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Geräten bzw. Einrichtungen ausgeführt werden, um eine oder mehrere hier beschriebene Funktionen durchzuführen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einem anderen datenverarbeitenden Gerät bzw. Einrichtung ausgeführt werden. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie einer Festplatte, einer optischen Platte, einem Wechseldatenträger, einem Festkörperspeicher, einem RAM usw. gespeichert sein. Wie zu erkennen sein wird, kann die Funktionalität der Programmmodule beliebig kombiniert oder verteilt werden. Darüber hinaus kann die Funktionalität ganz oder teilweise in Firmware oder Hardware-Äquivalenten, wie integrierten Schaltkreisen, anwendungsspezifischen integrierten Schaltkreisen (ASICs), feldprogrammierbaren Gate-Arrays (FPGAs) und dergleichen, verkörpert sein. Bestimmte Datenstrukturen können verwendet werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen fallen in den Bereich der hier beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten.
Obwohl es nicht erforderlich ist, wird ein Fachmann erkennen, dass verschiedene hierin beschriebene Aspekte als Verfahren, System, Vorrichtung oder ein oder mehrere computerlesbare Medien, die computerausführbare Anweisungen speichern, verkörpert werden können. Dementsprechend können die Aspekte die Form einer vollständigen Hardware-Ausführung, einer vollständigen Software-Ausführung, einer vollständigen Firmware-Ausführung oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in beliebiger Kombination kombiniert.
Wie hierin beschrieben, können die verschiedenen Methoden und Handlungen über ein oder mehrere Rechengeräte und Netzwerke ausgeführt werden. Die Funktionalität kann auf beliebige Weise verteilt sein oder sich in einem einzigen Rechengerät befinden (z. B. einem Server, Client-Computer oder dergleichen).
Aspekte der Offenbarung wurden in Form von illustrativen Ausführungsbeispielen beschrieben. Zahlreiche andere Ausführungsformen, Modifikationen und Variationen innerhalb des Rahmens und des Sinns der anhängenden Ansprüche werden dem Durchschnittsfachmann aus der Durchsicht dieser Offenbarung in den Sinn kommen. Beispielsweise wird ein Fachmann erkennen, dass die in den illustrativen Figuren dargestellten Schritte in einer anderen als der angegebenen Reihenfolge ausgeführt werden können und dass ein oder mehrere der dargestellten Schritte optional sein können. Alle Merkmale in den folgenden Ansprüchen können in beliebiger Weise kombiniert oder neu geordnet werden.
Die folgenden nummerierten Beispiele werden ebenfalls offenbart:

1. Verfahren umfassend:
- Empfangen, durch eine Paketfiltervorrichtung bzw. Paketfiltereinrichtung, einer Vielzahl von Paketfilterregeln, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen,
- Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
- Empfangen, durch die Paketfiltervorrichtung, einer Vielzahl von Paketen; und für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
  - Anwenden, durch die Paketfiltervorrichtung und auf das Paket, eines Operators, der durch die Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern, oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
  - Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; Erzeugen, durch die Paketfiltervorrichtung und basierend auf dem Paketprotokolleintrag, von Daten, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
  - Übertragen der Daten durch die Paketfiltervorrichtung und an eine Benutzervorrichtung; und
  - Anzeigen, basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
2. Verfahren nach Beispiel 1, wobei die Vielzahl von Paketen ein erstes Paket und ein zweites Paket umfasst, und wobei sowohl das erste Paket als auch das zweite Paket einem oder mehreren bestimmten Kriterien entsprechen, die durch eine bestimmte Paketfilterregel der Vielzahl von Paketfilterregeln festgelegt sind, die einem oder mehreren bestimmten Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei das Verfahren umfasst:
- in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder den mehreren bestimmten Kriterien entspricht, Zulassen, durch die Paketfiltervorrichtung, dass das erste Paket in Richtung seines Ziels weitergeleitet wird; und
- in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder den mehreren bestimmten Kriterien entspricht, Verhindern, durch die Paketfiltervorrichtung, dass das zweite Paket in Richtung seines Ziels weitergeleitet wird.
3. Verfahren nach Beispiel 2, umfassend das Modifizieren, durch die Paketfiltervorrichtung, nach der Bestimmung durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder mehreren bestimmten Kriterien entspricht, vor der Bestimmung durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder mehreren bestimmten Kriterien entspricht, und in Reaktion auf eine von der Benutzervorrichtung empfangene Anweisung, eines durch die bestimmte Paketfilterregel festgelegten Operators, um die Paketfiltervorrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder mehreren bestimmten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden.
4. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket von einem gemeinsamen Host im ersten Netzwerk empfangen werden und für einen gemeinsamen Host im zweiten Netzwerk bestimmt sind;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts im zweiten Netzwerk umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts im zweiten Netzwerk umfasst.
5. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket von einem gemeinsamen Host im ersten Netzwerk empfangen werden;
- das erste Paket für einen ersten Host im zweiten Netzwerk bestimmt ist;
- das zweite Paket für einen zweiten Host im zweiten Netzwerk bestimmt ist;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des ersten Hosts umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des zweiten Hosts umfasst.
6. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket für einen gemeinsamen Host im ersten Netzwerk bestimmt sind;
- das erste Paket von einem ersten Host im zweiten Netzwerk empfangen wird;
- das zweite Paket von einem zweiten Host im zweiten Netzwerk empfangen wird;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket für den gemeinsamen Host bestimmt ist;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket für den gemeinsamen Host bestimmt ist;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts umfasst.
7. Verfahren nach Beispiel 1, das für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Bestimmung, durch die Paketfiltervorrichtung, dass das Paket dem einen oder mehreren Kriterien entspricht, das Aktualisieren eines Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags umfasst, um die Bestimmung anzugeben und anzugeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat, oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
8. Verfahren nach Beispiel 7, wobei das Empfangen der Vielzahl von Paketen das Empfangen eines ersten Teils von Paketen und eines zweiten Teils von Paketen umfasst, wobei das Verfahren umfasst:
- für jedes Paket im ersten Teil der Pakete:
  - Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der einen oder mehrere bestimmte Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren anzeigt, denen das Paket entspricht, und ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
  - Erzeugen, durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags, eines Flussprotokolleintrags, der den einen oder die mehreren besonderen Netzwerkbedrohungsindikatoren angibt und angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
- für jedes Paket im zweiten Teil der Pakete:
  - Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der einen oder mehrere bestimmte Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren anzeigt, denen das Paket entspricht, und ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
  - Modifizieren, durch die Paketfiltervorrichtung und basierend auf dem Paketprotokolleintrag, eines existierenden Flussprotokolleintrags, der dem einen oder mehreren bestimmten Netzwerkbedrohungsindikatoren entspricht, um wiederzugeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
9. Verfahren nach Beispiel 8, wobei:
- der zweite Teil der Pakete von der Paketfiltervorrichtung empfangen wird, nachdem der erste Teil der Pakete von der Paketfiltervorrichtung empfangen wurde; und
- für jedes Paket in dem zweiten Teil der Pakete, das Erzeugen des Paketprotokolleintrags das Erzeugen des Paketprotokolleintrags umfasst, während die Paketfiltervorrichtung einen oder mehrere Flussprotokolleinträge für ein oder mehrere Pakete in dem ersten Teil der Pakete erzeugt.
10. Verfahren nach Beispiel 9, umfassend:
- Empfangen eines dritten Teils von Paketen durch die Paketfiltervorrichtung und nach dem Empfangen des zweiten Teils von Paketen; und
- Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags für jedes Paket im dritten Teil der Pakete und während des Modifizierens eines oder mehrerer existierender Flussprotokolleinträge auf der Grundlage eines oder mehrerer Paketprotokolleinträge, die für ein oder mehrere Pakete im zweiten Teil erzeugt wurden.
11. Verfahren nach Beispiel 1, wobei:
- jeder der mehreren Netzwerkbedrohungsindikatoren mindestens einer Netzwerkbedrohung aus einer Vielzahl von Netzwerkbedrohungen entspricht;
- jede der mehreren Paketfilterregeln einer anderen Netzwerkbedrohung der mehreren Netzwerkbedrohungen entspricht; und
- das Erzeugen des Paketprotokolleintrags das Erzeugen eines Paketprotokolleintrags umfasst, der eine bestimmte Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen identifiziert, der das Paket entspricht.
12. Verfahren nach Beispiel 11 umfassend für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Ermittlung durch die Paketfiltervorrichtung, dass das Paket dem einen oder den mehreren Kriterien entspricht, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, das Aktualisieren eines Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags, um die Ermittlung anzugeben und um anzugeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
13. Verfahren nach Beispiel 12, wobei:
- das Paketflussprotokoll eine Vielzahl von Paketflussprotokolleinträgen umfasst;
- jeder Paketflussprotokolleintrag der Vielzahl von Paketflussprotokolleinträgen einer anderen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht;
- die ein oder mehreren Netzwerkbedrohungsindikatoren der bestimmten Netzwerkbedrohung entsprechen; und
- das Aktualisieren des Paketflussprotokolls das Aktualisieren eines Paketflussprotokolleintrags aus der Vielzahl der Paketflussprotokolleinträge umfasst, der der bestimmten Netzwerkbedrohung entspricht.
14. Verfahren nach Beispiel 13, wobei das Erzeugen der Daten, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat, das Erzeugen der Daten basierend auf dem Paketflussprotokolleintrag umfasst, der der bestimmten Netzwerkbedrohung entspricht.
15. Verfahren nach Beispiel 14, wobei:
- die Schnittstelle aus einer Vielzahl von verschiedenen Teilen besteht; jeder Teil der Vielzahl von verschiedenen Teilen einer unterschiedlichen Paketfilterregel der Vielzahl von Paketfilterregeln und einer unterschiedlichen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht; und
- das Anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat, das Anzeigen, in einem Abschnitt der Vielzahl von verschiedenen Abschnitten, der der bestimmten Netzwerkbedrohung entspricht, umfasst, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
16. Verfahren nach Beispiel 11, umfassend:
- Bestimmen einer Reihenfolge der Vielzahl von Netzwerkbedrohungen durch die Paketfiltervorrichtung; und
- Anzeigen der Reihenfolge in der Schnittstelle.
17. Verfahren nach Beispiel 16, wobei das Bestimmen der Reihenfolge das Bestimmen der Reihenfolge basierend auf Daten umfasst, die in einem Paketflussprotokoll gespeichert sind, wobei das Verfahren für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Bestimmung durch die Paketfiltervorrichtung, dass das Paket dem einen oder den mehreren Kriterien entspricht, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, ein Aktualisieren des Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags umfasst, um die Bestimmung anzuzeigen und um anzuzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
18. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen einer Anzahl von Paketen umfasst, die der Netzwerkbedrohung entsprechen und denen die Paketfiltervorrichtung erlaubt hat, in Richtung ihrer jeweiligen Ziele fortzufahren.
19. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen einer Anzahl von Paketen umfasst, die der Netzwerkbedrohung entsprechen und von der Paketfiltervorrichtung an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden.
20. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen eines durch die im Paketflussprotokoll gespeicherten Daten angegebenen Zeitpunkts umfasst, zu dem die Paketfiltervorrichtung zuletzt ein der Netzwerkbedrohung entsprechendes Paket identifiziert hat.
21. Verfahren nach Beispiel 11, wobei das Empfangen der Vielzahl von Paketfilterregeln das Empfangen einer Vielzahl von Paketfilterregeln umfasst, die auf der Grundlage einer Vielzahl von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren Netzwerk-Threat Intelligence-Anbietern erzeugt wurden.
22. Verfahren nach Beispiel 21, umfassend:
- Bestimmen, durch die Paketfiltervorrichtung und basierend auf der Vielzahl von Netzwerk-Threat Intelligence-Berichten, einer Reihenfolge der Vielzahl von Netzwerkbedrohungen; und Anzeigen der Reihenfolge in der Schnittstelle.
23. Verfahren nach Beispiel 22, wobei:
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf:
  - einer Bestimmung, dass die erste Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem Netzwerk-Threat Intelligence-Bericht der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind, die von einem ersten Netzwerk-Threat Intelligence-Anbieter des einen oder mehreren Netzwerk-Threat Intelligence-Anbieters erzeugt wurden; und
  - einer Bestimmung, dass die zweite Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem Netzwerk-Threat Intelligence-Bericht der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind, die von einem zweiten Netzwerk-Threat Intelligence-Anbieter des einen oder mehreren Netzwerk-Threat Intelligence-Anbieters erzeugt wurden.
24. Verfahren nach Beispiel 22, wobei:
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- die erste Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem ersten Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind;
- die zweite Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem zweiten Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf einer Bestimmung, dass der erste Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten von einer größeren Anzahl der einen oder mehreren Netzwerk-Threat Intelligence-Anbietern empfangen wurde als der zweite Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten.
25. Verfahren nach Beispiel 22, wobei:
- das Empfangen der Vielzahl von Paketfilterregeln das Empfangen der Vielzahl von Paketfilterregeln von einer oder mehreren Rechenvorrichtungen umfasst, die Paketfilterregeln für eine Vielzahl von verschiedenen Paketfiltervorrichtungen bereitstellen;
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf Daten, die von der einen oder den mehreren Rechenvorrichtungen empfangen werden, die eine Anzahl der Vielzahl von verschiedenen Paketfiltervorrichtungen anzeigen, die einen Operator der ersten Paketfilterregel neukonfiguriert haben, um Pakete, die den durch die erste Paketfilterregel festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele fortfahren zu hindern.
26. Verfahren nach Beispiel 1, wobei die Vielzahl von Paketen einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfasst, wobei jedes Paket in dem ersten Teil von Paketen einem oder mehreren bestimmten Kriterien entspricht, die durch eine bestimmte Paketfilterregel der Vielzahl von Paketfilterregeln festgelegt sind, die einem oder mehreren bestimmten Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, und jedes Paket in dem zweiten Teil von Paketen dem einen oder mehreren bestimmten Kriterien entspricht, wobei das Verfahren umfasst:
- Anwenden, durch die Paketfiltervorrichtung und auf jedes Paket in dem ersten Teil der Pakete, eines Operators, der durch die bestimmte Paketfilterregel festgelegt ist und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
- Zulassen der Weiterleitung jedes Paket im ersten Teil der Pakete in Richtung seines Ziels durch die Paketfiltervorrichtung; und
- nach dem Zulassen der Weiterleitung jedes Paket im ersten Teil der Pakete in Richtung seines Ziels:
  - Neukonfigurieren des durch die bestimmte Paketfilterregel festgelegten Operators, um die Paketfiltervorrichtung zu veranlassen, Pakete, die dem einen oder mehreren bestimmten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern;
  - Anwenden des durch die bestimmte Paketfilterregel festgelegten Operators durch die Paketfiltervorrichtung auf jedes Paket im zweiten Teil der Pakete; und Verhindern, durch die Paketfiltervorrichtung, der Weiterleitung jedes Pakets im zweiten Teil der Pakete in Richtung seines Ziels.
27. Verfahren nach Beispiel 26, wobei das Neukonfigurieren des Operators das Neukonfigurieren des Operators in Reaktion auf den Empfang einer Anweisung von der Benutzereinrichtung umfasst.
28. Verfahren nach Beispiel 27, wobei:
- jeder der mehreren Netzwerkbedrohungsindikatoren wenigstens einer Netzwerkbedrohung aus einer Vielzahl von Netzwerkbedrohungen entspricht;
- jede der mehreren Paketfilterregeln einer unterschiedlichen Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen entspricht;
- die bestimmte Paketfilterregel einer bestimmten Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht;
- die Schnittstelle aus einer Vielzahl von unterschiedlichen Teilen besteht; jeder Teil der Vielzahl unterschiedlicher Teile einer unterschiedlichen Paketfilterregel der Vielzahl von Paketfilterregeln und einer unterschiedlichen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht; und
- das Empfangen der Anweisung das Empfangen einer Anweisung umfasst, die von der Benutzervorrichtung in Reaktion auf das Aufrufen eines Elements der Schnittstelle, das sich in einem der bestimmten Paketfilterregel und der bestimmten Netzwerkbedrohung entsprechenden Teil der Vielzahl von Teilen befindet, durch einen Benutzer erzeugt wird.
29. Verfahren nach Beispiel 26, wobei sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet, jedes Paket im ersten Teil der Pakete und jedes Paket im zweiten Teil der Pakete entweder von einem gemeinsamen Host im ersten Netzwerk empfangen wird und für einen gemeinsamen Host im zweiten Netzwerk bestimmt ist, oder von dem gemeinsamen Host im zweiten Netzwerk empfangen wird und für den gemeinsamen Host im ersten Netzwerk bestimmt ist, wobei das Verfahren umfasst:
- Erzeugen, durch die Paketfiltervorrichtung, einer oder mehrerer Paketfilterregeln, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen werden, an der Weiterleitung zu mindestens einem von einem oder mehreren anderen Hosts in dem ersten Netzwerk oder einem oder mehreren anderen Hosts in dem zweiten Netzwerk zu hindern; und
- in Reaktion auf eine vom Benutzergerät empfangene Anweisung:
  - Anwenden, durch die Paketfiltervorrichtung, der einen oder mehreren Paketfilterregeln auf ein oder mehrere Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurden; und
  - Verhindern, durch die Paketfiltervorrichtung, dass das eine oder die mehreren Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurden, in Richtung des mindestens einen des einen oder der mehreren anderen Hosts in dem ersten Netzwerk oder des einen oder der mehreren anderen Hosts in dem zweiten Netzwerk weitergeleitet werden.
30. Verfahren nach Beispiel 26, wobei:
- das Empfangen der Vielzahl von Paketfilterregeln das Empfangen der Vielzahl von Paketfilterregeln von einer oder mehreren Rechenvorrichtungen umfasst, die Paketfilterregeln für eine Vielzahl von verschiedenen Paketfiltervorrichtungen bereitstellen; und
- Das Neukonfigurieren des Operators das Neukonfigurieren des Operators in Reaktion auf den Empfang von Daten von dem einen oder den mehreren Rechengeräten umfasst.
31. Vorrichtung bzw. Einrichtung zum Filtern von Paketen, umfassend:
- mindestens einen Prozessor; und
- einen Speicher, der Befehle speichert, die bei Ausführung durch den mindestens einen Prozessor die Paketfiltervorrichtung veranlassen:
  - eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
  - eine Vielzahl von Paketen zu empfangen; und
  - für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
    - auf das Paket einen Operator anzuwenden, der durch die Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern, oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
    - einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
    - basierend auf dem Paketprotokolleintrag Daten zu erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
    - die Daten an eine Benutzervorrichtung zu übertragen; und basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, anzuzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
32. Ein oder mehrere nicht-flüchtige computerlesbare Medien, die Anweisungen umfassen, die, wenn sie von mindestens einem Prozessor einer Paketfiltervorrichtung bzw. Paketfiltereinrichtung ausgeführt werden, die Paketfiltervorrichtung veranlassen:
- eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
- eine Vielzahl von Paketen zu empfangen; und
- für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
  - auf das Paket einen Operator anzuwenden, der durch die Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern, oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
  - einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
  - basierend auf dem Paketprotokolleintrag Daten zu erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
  - die Daten an eine Benutzervorrichtung zu übertragen; und
  - basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, anzuzeigen,
  - ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
33. Verfahren nach Beispiel 1, wobei das Anwenden des Operators das Anwenden eines Operators umfasst, der auf der Grundlage eines oder mehrerer Scores bestimmt wird, die mit dem einen oder den mehreren Netzwerkbedrohungsindikatoren verbunden sind.
34. Verfahren nach Beispiel 33 umfassend das Bestimmen des einen oder der mehreren Scores auf der Grundlage von Daten, die von einem oder mehreren Netzwerk-Threat Intelligence-Anbietern empfangen werden.
35. Verfahren nach Beispiel 34, wobei das Bestimmen des einen oder der mehreren Scores umfasst:
- Bestimmen eines Netzwerk-Threat Intelligence-Anbieters des einen oder der mehreren Netzwerk-Threat Intelligence-Anbieter, von dem ein Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren empfangen wurde; und Bestimmen eines Scores für den Netzwerkbedrohungsindikator basierend auf dem Netzwerk-Threat Intelligence-Anbieter.
36. Verfahren nach Beispiel 34, wobei die Bestimmung des einen oder der mehreren Scores umfasst:
- Bestimmen einer Anzahl von Netzwerk-Threat Intelligence-Anbietern des einen oder der mehreren Netzwerk-Threat Intelligence-Anbietern, von denen ein Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren empfangen wurde; und
- Bestimmen eines Scores für den Netzwerkbedrohungsindikator basierend auf der Anzahl von Netzwerk-Threat Intelligence-Anbietern.
37. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einer Anzahl der Vielzahl von Paketen, die dem einen oder den mehreren Kriterien entsprechen.
38. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem oder mehreren Zeitpunkten, zu denen ein oder mehrere Pakete der Vielzahl von Paketen, die dem einen oder den mehreren Kriterien entsprechen, von der Paketfiltervorrichtung empfangen wurden.
39. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem Zeitpunkt, zu dem ein Paket der Vielzahl von Paketen, das dem einen oder den mehreren Kriterien entspricht, zuletzt von der Paketfiltervorrichtung empfangen wurde.
40. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem Ziel eines Pakets der Vielzahl von Paketen, das dem einen oder den mehreren Kriterien entspricht.
41. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores auf der Grundlage von mindestens einer Art von Bedrohung, die mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist, geografischen Informationen, die mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden sind, einem anonymen Proxy, der mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist, oder einem Actor, der mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist.
42. Verfahren nach Beispiel 33, umfassend das Anzeigen des einen oder der mehreren Scores in der von der Benutzervorrichtung angezeigten Schnittstelle.
43. Verfahren nach Beispiel 33, umfassend das Anzeigen einer auf Grundlage der ein oder mehreren Scores bestimmten Reihenfolge der mehreren Paketfilterregeln in der von der Benutzervorrichtung angezeigten Schnittstelle.

Claims

Eine Paketfiltereinrichtung, umfassend: mindestens einen Prozessor; und einen Speicher, der Anweisungen umfasst, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem von einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Netzwerkbedrohungsindikatoren mit Netzwerk-Threat Intelligence-Berichten assoziiert sind, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden; eine Vielzahl von Paketen zu empfangen, die ein erstes Paket und ein zweites Paket umfassen; in Reaktion auf eine Bestimmung, dass das erste Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren, festgelegt durch die erste Paketfilterregel: einen Operator auf das erste Paket anzuwenden, der durch die erste Paketfilterregel festgelegt ist und konfiguriert ist, die Paketfiltereinrichtung zu veranlassen, dem ersten Paket die Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und Informationen zu übertragen, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren, und von Daten, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; eine Aktualisierung von wenigstens einer Paketfilterregel zu empfangen; basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel mindestens einen Operator zu modifizieren, der durch die erste Paketfilterregel festgelegt ist, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und in Reaktion auf eine Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt: basierend auf dem modifizierten mindestens einen Operator, der durch die erste Paketfilterregel festgelegt ist, die Weiterleitung des zweiten Pakets in Richtung eines Ziels des zweiten Pakets zu verhindern; und Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
Paketfiltereinrichtung nach Anspruch 1, wobei der Speicher Anweisungen speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung ferner dazu veranlassen: in einer Benutzerschnittstelle eine Anzeige von Daten zu veranlassen, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; und in der Benutzerschnittstelle eine Anzeige von zweiten Daten zu veranlassen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
Paketfiltereinrichtung nach Anspruch 1, wobei der Speicher Anweisungen speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung ferner dazu veranlassen: in Reaktion auf die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, einen Paketprotokolleintrag zu erzeugen, wobei der Eintrag einen ersten Bedrohungsidentifikator, der dem ersten Paket entspricht, und Daten umfasst, die anzeigen, dass die Paketfiltereinrichtung dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt hat.
Paketfiltereinrichtung nach Anspruch 3, wobei der Speicher Anweisungen speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung ferner dazu veranlassen: in Reaktion auf die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, einen Paketflusseintrag zu aktualisieren, der dem erzeugten Paketprotokolleintrag entspricht, wobei der Paketflusseintrag eine Vielzahl von Paketprotokolleinträgen konsolidiert, die gemeinsam dem ersten Bedrohungsidentifikator entsprechen.
Paketfiltereinrichtung nach Anspruch 1, wobei jeder der mehreren Netzwerkbedrohungsindikatoren einer jeweiligen Netzwerkbedrohung einer Vielzahl von Netzwerkbedrohungen entspricht, wobei der Speicher Anweisungen speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung ferner dazu veranlassen: für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein Paket eine Paketfilterregel erfüllt: einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, wobei die Informationen identifizieren: die Paketfilterregel, und ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets zugelassen hat; und basierend auf dem Paketprotokolleintrag ein Paketflussprotokoll zu aktualisieren, um anzuzeigen: die Bestimmung, dass das Paket die Paketfilterregel erfüllt, und ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets zugelassen hat.
Paketfiltereinrichtung nach Anspruch 5, wobei der Speicher Anweisungen speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, die Paketfiltereinrichtung ferner dazu veranlassen: basierend auf Daten des Paketflussprotokolls, eine Reihenfolge der Vielzahl von Netzwerkbedrohungen zu bestimmen; und Daten, die die Reihenfolge der Vielzahl von Netzwerkbedrohungen anzeigen, zu übertragen.
Paketfiltereinrichtung nach Anspruch 1, wobei der Speicher Anweisungen zur Bestimmung der Reihenfolge speichert, die, wenn sie von dem mindestens einen Prozessor ausgeführt werden, für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen, die Paketfiltereinrichtung zu mindestens eines von Folgendem veranlassen: Bestimmen einer Anzahl von Paketen, die der Netzwerkbedrohung entsprechen und denen von der Paketfiltereinrichtung die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt wurde; Bestimmen einer Anzahl von Paketen, die der Netzwerkbedrohung entsprechen und die durch die Paketfiltereinrichtung an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden; Bestimmen eines Zeitpunkts, der durch die in dem Paketflussprotokoll gespeicherten Daten angezeigt wird, zu dem die Paketfiltereinrichtung zuletzt ein der Netzwerkbedrohung entsprechendes Paket identifiziert hat; oder Bestimmen einer Anzahl von Netzwerk-Threat Intelligence-Berichten, die der Netzwerkbedrohung entsprechen.
Ein oder mehrere nichtflüchtige computerlesbare Medien, die Anweisungen umfassen, die, wenn sie von einem oder mehreren Prozessoren einer Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem von einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Netzwerkbedrohungsindikatoren mit Netzwerk-Threat Intelligence-Berichten assoziiert sind, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden; eine Vielzahl von Paketen zu empfangen, die ein erstes Paket und ein zweites Paket umfassen; in Reaktion auf eine Bestimmung, dass das erste Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren, festgelegt durch die erste Paketfilterregel: einen Operator auf das erste Paket anzuwenden, der durch die erste Paketfilterregel festgelegt ist und konfiguriert ist, die Paketfiltereinrichtung zu veranlassen, dem ersten Paket die Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und Informationen zu übertragen, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren, und von Daten, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; eine Aktualisierung von wenigstens einer Paketfilterregel zu empfangen; basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel mindestens einen Operator zu modifizieren, der durch die erste Paketfilterregel festgelegt ist, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und in Reaktion auf eine Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt: basierend auf dem modifizierten mindestens einen Operator, der durch die erste Paketfilterregel festgelegt ist, die Weiterleitung des zweiten Pakets in Richtung eines Ziels des zweiten Pakets zu verhindern; und Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 8, die ferner Anweisungen umfassen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: in einer Benutzerschnittstelle eine Anzeige von Daten zu veranlassen, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; und in der Benutzerschnittstelle eine Anzeige von zweiten Daten zu veranlassen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 8, die ferner Anweisungen umfassen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: in Reaktion auf die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, einen Paketprotokolleintrag zu erzeugen, wobei der Eintrag einen ersten Bedrohungsidentifikator, der dem ersten Paket entspricht, und Daten umfasst, die anzeigen, dass die Paketfiltereinrichtung dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt hat.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 10, die ferner Anweisungen umfassen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: in Reaktion auf die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, einen Paketflusseintrag zu aktualisieren, der dem erzeugten Paketprotokolleintrag entspricht, wobei der Paketflusseintrag eine Vielzahl von Paketprotokolleinträgen konsolidiert, die gemeinsam dem ersten Bedrohungsidentifikator entsprechen.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 8, wobei jeder der mehreren Netzwerkbedrohungsindikatoren einer jeweiligen Netzwerkbedrohung einer Vielzahl von Netzwerkbedrohungen entspricht, ferner umfassend Anweisungen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung, dass ein Paket eine Paketfilterregel erfüllt: einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, wobei die Informationen identifizieren: die Paketfilterregel, und ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets zugelassen hat; und basierend auf dem Paketprotokolleintrag ein Paketflussprotokoll zu aktualisieren, um anzuzeigen: die Bestimmung, dass das Paket die Paketfilterregel erfüllt, und ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets zugelassen hat.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 12, die ferner Anweisungen umfassen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: basierend auf Daten des Paketflussprotokolls, eine Reihenfolge der Vielzahl von Netzwerkbedrohungen zu bestimmen; und Daten, die die Reihenfolge der Vielzahl von Netzwerkbedrohungen anzeigen, zu übertragen.
Das eine oder die mehreren nichtflüchtigen computerlesbaren Medien nach Anspruch 13, wobei die Anweisungen, die die Paketfiltereinrichtung veranlassen, die Reihenfolge zu bestimmen, ferner Anweisungen umfassen, die, wenn sie von dem einen oder den mehreren Prozessoren der Paketfiltereinrichtung ausgeführt werden, die Paketfiltereinrichtung, für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen, zu mindestens eines von Folgendem veranlassen: Bestimmen einer Anzahl von Paketen, die der Netzwerkbedrohung entsprechen und denen von der Paketfiltereinrichtung die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt wurde; Bestimmen einer Anzahl von Paketen, die der Netzwerkbedrohung entsprechen und die durch die Paketfiltereinrichtung an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden; Bestimmen eines Zeitpunkts, der durch die in dem Paketflussprotokoll gespeicherten Daten angezeigt wird, zu dem die Paketfiltereinrichtung zuletzt ein der Netzwerkbedrohung entsprechendes Paket identifiziert hat; oder Bestimmen einer Anzahl von Netzwerk-Threat Intelligence-Berichten, die der Netzwerkbedrohung entsprechen.