DE202016009028U1 - Regelbasierte Netzwerkbedrohungsdetektion - Google Patents
Regelbasierte Netzwerkbedrohungsdetektion Download PDFInfo
- Publication number
- DE202016009028U1 DE202016009028U1 DE202016009028.4U DE202016009028U DE202016009028U1 DE 202016009028 U1 DE202016009028 U1 DE 202016009028U1 DE 202016009028 U DE202016009028 U DE 202016009028U DE 202016009028 U1 DE202016009028 U1 DE 202016009028U1
- Authority
- DE
- Germany
- Prior art keywords
- packet
- network
- rule
- packet filter
- destination
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 title description 15
- 230000004044 response Effects 0.000 claims abstract description 23
- 238000001914 filtration Methods 0.000 claims description 167
- 238000000034 method Methods 0.000 description 51
- 238000012545 processing Methods 0.000 description 27
- 238000012546 transfer Methods 0.000 description 12
- 238000004891 communication Methods 0.000 description 9
- 230000008859 change Effects 0.000 description 6
- 230000006870 function Effects 0.000 description 4
- 238000013475 authorization Methods 0.000 description 3
- 230000003247 decreasing effect Effects 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000004458 analytical method Methods 0.000 description 1
- 238000003491 array Methods 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000007596 consolidation process Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000012552 review Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Paketfiltereinrichtung umfassend:
einen oder mehrere Prozessoren; und
einen Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen:
von einer Regelbereitstellungsvorrichtung eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Paketfilterregeln von der Regelbereitstellungsvorrichtung auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden, und wobei die Vielzahl von Netzwerkbedrohungsindikatoren einzelne Internet-Hostadressen oder Namen umfassen;
in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein erstes Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren, die durch die erste Paketfilterregel festgelegt sind:
auf das erste Paket einen Operator anzuwenden, der durch die erste Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltereinrichtung veranlasst, dem ersten Paket eine Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und
Daten an die Regelbereitstellungsvorrichtung zu übertragen, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde;
von der Regelbereitstellungsvorrichtung eine Aktualisierung von mindestens einer Paketfilterregel zu empfangen;
die erste Paketfilterregel basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel zu modifizieren, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und
in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein zweites Paket die modifizierte erste Paketfilterregel erfüllt:
basierend auf mindestens einem Operator, der durch die modifizierte erste Paketfilterregel festgelegt ist, zu verhindern, dass das zweite Paket in Richtung eines Ziels des zweiten Pakets weitergeleitet wird; und
an die Regelbereitstellungsvorrichtung Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
einen oder mehrere Prozessoren; und
einen Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen:
von einer Regelbereitstellungsvorrichtung eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Paketfilterregeln von der Regelbereitstellungsvorrichtung auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden, und wobei die Vielzahl von Netzwerkbedrohungsindikatoren einzelne Internet-Hostadressen oder Namen umfassen;
in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein erstes Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren, die durch die erste Paketfilterregel festgelegt sind:
auf das erste Paket einen Operator anzuwenden, der durch die erste Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltereinrichtung veranlasst, dem ersten Paket eine Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und
Daten an die Regelbereitstellungsvorrichtung zu übertragen, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde;
von der Regelbereitstellungsvorrichtung eine Aktualisierung von mindestens einer Paketfilterregel zu empfangen;
die erste Paketfilterregel basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel zu modifizieren, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und
in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein zweites Paket die modifizierte erste Paketfilterregel erfüllt:
basierend auf mindestens einem Operator, der durch die modifizierte erste Paketfilterregel festgelegt ist, zu verhindern, dass das zweite Paket in Richtung eines Ziels des zweiten Pakets weitergeleitet wird; und
an die Regelbereitstellungsvorrichtung Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
Description
- Einzutragende Unterlagen
- QUERVERWEIS AUF VERWANDTE ANMELDUNGEN
- Diese Anmeldung beansprucht die Priorität der US-Patentanmeldung mit der Seriennummer 14/690,302, die am 17. April 2015 eingereicht wurde und den Titel „RULE-BASED NETWORK-THREAT DETECTION“ trägt, und deren Offenbarung durch Bezugnahme hierin in vollem Umfang aufgenommen und zum Bestandteil dieses Dokuments gemacht wird.
- HINTERGRUND
- Die Netzwerksicherheit wird im Informationszeitalter immer wichtiger. Netzwerkbedrohungen können verschiedene Formen annehmen (z. B. unbefugte Anfragen oder Datenübertragungen, Viren, Malware, große Mengen an Netzwerkverkehr, die darauf abzielen, die Netzwerkressourcen zu überlasten, und dergleichen). Viele Organisationen abonnieren Netzwerkbedrohungsdienste, die regelmäßig Informationen zu Netzwerkbedrohungen bereitstellen, z. B. Berichte mit Listen von Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Uniform Resources Identifiers (URIs) und dergleichen). Die von solchen Diensten bereitgestellten Informationen können von Organisationen genutzt werden, um Netzwerkbedrohungen zu identifizieren. Beispielsweise können die von den Netzwerkgeräten der Organisation erzeugten Protokolle auf Daten überprüft werden, die den von solchen Diensten bereitgestellten Netzwerkbedrohungsindikatoren entsprechen. Da die Protokolle jedoch auf der Grundlage des von den Netzwerkgeräten verarbeiteten Datenverkehrs ohne Berücksichtigung der Netzwerkbedrohungsindikatoren erstellt werden, ist dieser Prozess oft mühsam und zeitaufwändig und wird durch die sich ständig weiterentwickelnden potenziellen Bedrohungen noch erschwert. Dementsprechend besteht ein Bedarf an regelbasierter Erkennung von Netzwerkbedrohungen.
- ZUSAMMENFASSUNG
- Das Folgende stellt eine vereinfachte Zusammenfassung dar, um ein grundlegendes Verständnis einiger Aspekte der Offenbarung zu vermitteln. Es ist weder beabsichtigt, wichtige oder kritische Elemente der Offenbarung zu identifizieren noch den Umfang der Offenbarung abzugrenzen. Die folgende Zusammenfassung stellt lediglich einige Konzepte der Offenbarung in vereinfachter Form als Auftakt zur nachfolgenden Beschreibung dar.
- Aspekte dieser Offenbarung beziehen sich auf die regelbasierte Erkennung von Netzwerkbedrohungen. Gemäß Ausführungsbeispiele der Offenbarung kann eine Paketfiltervorrichtung Paketfilterregeln empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die Netzwerkbedrohungsindikatoren entsprechen. Die Paketfiltervorrichtung kann Pakete empfangen und für jedes Paket ermitteln, dass das Paket Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind. Die Kriterien können einem oder mehreren der Netzwerkbedrohungsindikatoren entsprechen. Die Paketfiltervorrichtung kann einen Operator anwenden, der durch die Paketfilterregel festgelegt ist. Der Operator kann so konfiguriert sein, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben. Die Paketfiltervorrichtung kann einen Protokolleintrag erzeugen, der Informationen von der Paketfilterregel, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, enthält und angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat.
- In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung Daten erzeugen und an ein Benutzergerät übermitteln, die anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat. Die Benutzervorrichtung kann die Daten empfangen und in einer von der Benutzervorrichtung angezeigten Schnittstelle anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat. Die Schnittstelle kann ein Element umfassen, das, wenn es von einem Benutzer der Benutzervorrichtung aufgerufen wird, die Benutzervorrichtung veranlasst, die Paketfiltervorrichtung anzuweisen, den Operator neu zu konfigurieren, um zu verhindern, dass zukünftige Pakete, die den Kriterien entsprechen, in Richtung ihrer jeweiligen Ziele weitergeleitet werden.
- Figurenliste
- Die vorliegende Offenbarung ist in den beigefügten Ansprüchen besonders hervorgehoben. Merkmale der Offenbarung werden bei der Durchsicht dieser Offenbarung in ihrer Gesamtheit, einschließlich der beigefügten Zeichnungen, deutlicher.
- Einige der hierin enthaltenen Merkmale sind beispielhaft, und nicht einschränkend, in den Figuren der begleitenden Zeichnungen dargestellt, in denen gleiche Bezugszeichen ähnliche Elemente bezeichnen, und in denen:
-
1 eine illustrative Umgebung für regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigt; -
2A und2B illustrative Vorrichtungen zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; -
3A ,3B ,3C ,3D ,3E und3F eine illustrative Ereignisabfolge für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; -
4A ,4B und4C illustrative Paketfilterregeln für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; -
5A ,5B ,5C ,5D ,5E ,5F und5G illustrative Protokolle für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; -
6A ,6B ,6C ,6D ,6E ,6F und6G illustrative Schnittstellen für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigen; und -
7 ein illustratives Verfahren zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung zeigt. - DETAILLIERTE BESCHREIBUNG
- In der folgenden Beschreibung verschiedener illustrativer Ausführungsbeispiele wird auf die begleitenden Zeichnungen verwiesen, die einen Teil dieses Dokuments bilden und in denen zur Veranschaulichung verschiedene Ausführungsbeispiele gezeigt werden, in denen Aspekte der Offenbarung ausgeführt werden können. Es ist zu verstehen, dass andere Ausführungsbeispiele verwendet werden können und strukturelle und funktionelle Änderungen vorgenommen werden können, ohne vom Umfang der Offenbarung abzuweichen.
- In der folgenden Beschreibung werden verschiedene Verbindungen zwischen Elementen diskutiert. Diese Verbindungen sind allgemein und können, sofern nicht anders angegeben, direkt oder indirekt, verdrahtet oder drahtlos sein. In dieser Hinsicht ist die Beschreibung nicht als einschränkend gedacht.
-
1 zeigt eine illustrative Umgebung für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. Unter Bezugnahme auf1 kann die Umgebung100 ein oder mehrere Netzwerkeumfassen. Zum Beispiel kann die Umgebung100 die Netzwerke102 ,104 ,106 und108 umfassen. Die Netzwerke102 ,104 und106 können ein oder mehrere Netzwerke (z. B. Local Area Networks (LANs), Wide Area Networks (WANs), Virtual Private Networks (VPNs) oder Kombinationen davon) umfassen, die mit einer oder mehreren Personen oder Einrichtungen (z. B. Regierungen, Unternehmen, Dienstleistern oder anderen Organisationen) verbunden sind. Netzwerk108 kann ein oder mehrere Netzwerke (z. B. LANs, WANs, VPNs oder Kombinationen davon) umfassen, die die Netzwerke102 ,104 und106 miteinander und mit einem oder mehreren anderen Netzwerken (nicht dargestellt) verbinden. Das Netzwerk108 kann zum Beispiel das Internet, ein ähnliches Netzwerk oder Teile davon umfassen. - Die Umgebung
100 kann auch einen oder mehrere Hosts enthalten, wie z. B. Computer- oder Netzwerkgeräte (z. B. Server, Desktop-Computer, Laptop-Computer, Tablet-Computer, mobile Geräte, Smartphones, Router, Gateways, Switches, Access Points oder dergleichen). Beispielsweise kann das Netzwerk102 die Hosts110 ,112 und114 enthalten, das Netzwerk104 kann die Hosts116 ,118 und120 enthalten, das Netzwerk106 kann die Hosts122 ,124 und126 enthalten, und das Netzwerk108 kann die Netzwerke102 ,104 und106 mit einem oder mehreren Hosts verbinden, die mit dem Regelanbieter128 oder den Netzwerk-Threat Intelligence-Anbietern130 ,132 und134 , den Bedrohungshosts (bedrohten Hosts) (engl.: threat hosts)136 ,138 und140 und dem unkritischen bzw. sicheren Host (engl.: benign host) 142 verbunden sind. Die Netzwerk-Threat Intelligence-Anbieter130 ,132 und134 können mit Diensten verbunden sein, die Netzwerkbedrohungen überwachen (z. B. Bedrohungen, die mit den Bedrohungshosts136 ,138 und140 verbunden sind) und Netzwerk-Threat Intelligence-Berichte (z. B. an Abonnenten) verteilen, die Netzwerkbedrohungsindikatoren enthalten (z. B. Netzwerkadressen, Ports, vollqualifizierte Domainnamen (FQDNs), uniform resource locators (URLs), uniform resource identifiers (URIs) oder dergleichen), die mit den Netzwerkbedrohungen verbunden sind, sowie andere mit den Netzwerkbedrohungen verbundene Informationen, z. B. die Art der Bedrohung (z. B. Phishing-Malware, Botnet-Malware oder dergleichen), geografische Informationen (z. B. ITAR (International Traffic in Arms Regulations)-Land, OFAC (Office of Foreign Assets Control) -Land, oder dergleichen), anonyme Proxys (z. B. Tor-Netzwerk, oder dergleichen), Gruppierungen (z. B. das Russian Business Network (RBN), oder dergleichen). - Die Umgebung
100 kann außerdem Paketfiltervorrichtungen (bzw. Paketfiltereinrichtungen)144 ,146 und148 enthalten. Die Paketfiltervorrichtung144 kann sich an der Grenze (engl.: boundary)150 zwischen den Netzwerken102 und108 befinden. In ähnlicher Weise kann sich die Paketfiltervorrichtung146 an der Grenze152 zwischen den Netzwerken104 und108 befinden, und die Paketfiltervorrichtung148 kann sich an der Grenze154 zwischen den Netzwerken106 und108 befinden. -
2A und28 zeigen illustrative Geräte (Einrichtungen) zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. - Unter Bezugnahme auf
2A kann sich, wie oben erwähnt, die Paketfiltervorrichtung144 an der Grenze150 zwischen den Netzwerken102 und108 befinden. Das Netzwerk102 kann ein oder mehrere Netzwerkgeräte202 (z. B. Server, Router, Gateways, Switches, Access Points oder dergleichen) enthalten, die die Hosts110 ,112 und114 mit dem Netzwerk108 verbinden. Das Netzwerk102 kann auch TAP-Geräte204 und206 enthalten. Das TAP-Gerät204 kann sich auf einem Kommunikationspfad befinden, der die Netzwerkgeräte202 und das Netzwerk102 (z. B. einen oder mehrere der Hosts110 ,112 und114 ) verbindet, oder Zugang zu diesem Pfad haben. Das TAP-Gerät206 kann sich auf einem Kommunikationspfad befinden, der die Netzwerkgeräte202 und das Netzwerk108 verbindet, oder Zugang zu diesem Pfad haben. Die Paketfiltervorrichtung144 kann einen Speicher208 , einen oder mehrere Prozessoren210 , eine oder mehrere Kommunikationsschnittstellen212 und einen Datenbus214 umfassen. Der Datenbus214 kann den Speicher208 , die Prozessoren210 und die Kommunikationsschnittstellen212 miteinander verbinden. Die Kommunikationsschnittstellen212 können die Paketfiltervorrichtung144 mit den Netzwerkgeräten202 und den TAP-Geräten204 und206 verbinden. Der Speicher208 kann ein oder mehrere Programmmodule216 , eine oder mehrere Paketfilterregeln218 und ein oder mehrere Protokolle220 enthalten. Die Programmmodule216 können Anweisungen enthalten, die bei Ausführung durch die Prozessoren210 die Paketfiltervorrichtung144 veranlassen, eine oder mehrere der hierin beschriebenen Funktionen auszuführen. Die Netzwerke104 und106 können jeweils Komponenten umfassen, die mit den hier mit Bezug auf das Netzwerk102 beschriebenen Komponenten vergleichbar sind, und die Paketfiltervorrichtungen146 und148 können jeweils Komponenten umfassen, die mit den hier mit Bezug auf die Paketfiltervorrichtung144 beschriebenen Komponenten vergleichbar sind. - Mit Bezug auf
28 kann der Regelanbieter128 ein oder mehrere Rechengeräte222 enthalten. Die Rechengeräte222 können einen Speicher224 , einen oder mehrere Prozessoren226 , eine oder mehrere Kommunikationsschnittstellen228 und einen Datenbus230 umfassen. Der Datenbus230 kann den Speicher224 , die Prozessoren226 und die Kommunikationsschnittstellen228 miteinander verbinden. Die Kommunikationsschnittstellen228 können die Rechengeräte222 mit dem Netzwerk108 verbinden, das, wie oben erwähnt, an der Grenze150 mit dem Netzwerk102 verbunden sein kann. Der Speicher224 kann ein oder mehrere Programm-Module232 , einen oder mehrere Netzwerkbedrohungsindikatoren234 und eine oder mehrere Paketfilterregeln236 enthalten. Die Programmmodule232 können Anweisungen enthalten, die bei Ausführung durch die Prozessoren226 die Rechengeräte222 veranlassen, eine oder mehrere der hier beschriebenen Funktionen auszuführen. -
3A ,3B ,3C ,3D ,3E und3F zeigen eine illustrative Ereignisabfolge für die regelbasierte Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. Bei der Betrachtung der illustrativen Ereignisabfolge ist zu beachten, dass die Anzahl, die Reihenfolge und der Zeitpunkt der illustrativen Ereignisse zum Zweck der Veranschaulichung vereinfacht sind und dass zusätzliche (nicht illustrierte) Ereignisse auftreten können, dass die Reihenfolge und der Zeitpunkt der Ereignisse von den dargestellten illustrativen Ereignissen abweichen können, und dass einige Ereignisse oder Schritte ausgelassen oder kombiniert werden können oder in einer anderen Reihenfolge auftreten können, als in der illustrativen Ereignisabfolge dargestellt. - Unter Bezugnahme auf
3A kann in Schritt 1 der Netzwerk-Threat Intelligence-Anbieter130 dem Regelanbieter128 (z. B. über das Netzwerk108 , wie durch das schattierte Kästchen über der sich vom Netzwerk108 nach unten erstreckenden Linie gekennzeichnet) einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen identifizieren (z. B. Bedrohung_1, Bedrohung_2, Bedrohung_3 und Bedrohung4 ) und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren (z. B. Netzwerkadressen, Ports, FQDNs, URLs, URls oder dergleichen) sowie andere mit den Netzwerkbedrohungen verbundene Informationen (z. B. die Art der Bedrohung, geografische Informationen, anonyme Proxys, Gruppierungen oder dergleichen) enthalten. In ähnlicher Weise kann in Schritt 2 der Netzwerk-Threat Intelligence-Anbieter132 dem Regelanbieter128 einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen identifizieren (z. B. Bedrohung_1, Bedrohung_2, Bedrohung_5 und Bedrohung_6) und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren sowie andere mit den Netzwerkbedrohungen verbundene Informationen enthalten, und in Schritt 3 kann der Netzwerk-Threat Intelligence-Anbieter134 dem Regelanbieter128 einen oder mehrere Netzwerk-Threat Intelligence-Berichte übermitteln, die eine oder mehrere Netzwerkbedrohungen (z. B. Bedrohung_1, Bedrohung_7, Bedrohung_8 und Bedrohung_9) identifizieren und einen oder mehrere zugehörige Netzwerkbedrohungsindikatoren sowie andere mit den Netzwerkbedrohungen verbundene Informationen enthalten. Der Regelanbieter128 (z. B. die Rechengeräte222 ) kann (z. B. über Kommunikationsschnittstellen228 ) die von den Netzwerk-Threat Intelligence-Anbietern130 ,132 und134 übermittelten Netzwerk-Threat Intelligence-Berichte empfangen und die darin enthaltenen Daten im Speicher224 speichern (z. B. Netzwerkbedrohungsindikatoren234 ). - Unter Bezugnahme auf
3B kann die Paketfiltervorrichtung144 in Schritt 4 einen oder mehrere Parameter an den Regelanbieter128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten generiert werden, die von Netzwerk-Threat Intelligence-Anbietern130 ,132 und134 bereitgestellt werden). In Schritt 5 kann der Regelanbieter128 (z. B. die Rechengeräte222 ) eine oder mehrere Paketfilterregeln (z. B. Paketfilterregeln236 ) auf der Grundlage der von den Netzwerk-Threat Intelligence-Anbietern130 ,132 und134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren234 ) generieren, und kann in Schritt 6 die Paketfilterregeln an die Paketfiltervorrichtung144 übermitteln, die, in Schritt 7, die Paketfilterregeln218 aktualisieren kann, um die vom Regelanbieter128 in Schritt 5 erzeugten Paketfilterregeln einzuschließen. - Beispielsweise können, unter Bezugnahme auf
4A , die Paketfilterregeln218 Paketfilterregeln402 enthalten, die Nicht-Netzwerk-Threat Intelligence-Regeln umfassen (z. B. Paketfilterregeln, die von einem Administrator des Netzwerks102 generiert wurden), und Paketfilterregeln404 , die Netzwerk-Threat Intelligence-Regeln umfassen (z. B. die Paketfilterregeln, die vom Regelanbieter128 in Schritt 6 übermittelt wurden). Jede der Netzwerk-Threat Intelligence-Regeln kann umfassen: ein oder mehrere Kriterien, die einem oder mehreren Netzwerkbedrohungsindikatoren234 entsprechen, auf denen die Regel basiert, und so konfiguriert sein können, dass sie die Paketfiltervorrichtung144 veranlassen, Pakete zu identifizieren, die den Kriterien entsprechen (z. B. die den Netzwerkbedrohungsindikatoren entsprechen, auf denen die Regel basiert); einen Operator, der so konfiguriert ist, dass er die Paketfiltervorrichtung144 veranlasst, entweder Pakete, die den Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern (z.B. ein BLOCK-Operator) oder die Weiterleitung von Paketen, die den Kriterien entsprechen, in Richtung ihrer jeweiligen Ziele zu erlauben (z.B. ein ALLOW-Operator); und von den Kriterien unterschiedliche Informationen (z. B. eine Bedrohungs-ID), die einen oder mehrere der Netzwerkbedrohungsindikatoren, auf denen die Regel basiert, eine oder mehrere Netzwerkbedrohungen, die mit den Netzwerkbedrohungsindikatoren verbunden sind, einen oder mehrere Netzwerk-Threat Intelligence-Berichte, die die Netzwerkbedrohungsindikatoren enthalten, einen oder mehrere Netzwerk-Threat Intelligence-Anbieter130 ,132 oder134 , die die Netzwerk-Threat Intelligence-Berichte bereitgestellt haben, oder andere in den Netzwerk-Threat Intelligence-Berichten enthaltene Informationen, die mit den Netzwerkbedrohungsindikatoren oder den Netzwerkbedrohungen verbunden sind (z. B. die Art der Bedrohung, geografische Informationen, anonyme Proxys, Akteure oder dergleichen) identifizieren. - Mit Bezug zurück auf
3B kann die Paketfiltervorrichtung146 , in Schritt 8, einen oder mehrere Parameter an den Regelanbieter128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten generiert werden, die vom Netzwerk-Threat Intelligence-Anbieter134 bereitgestellt werden). In Schritt 9 kann der Regelanbieter128 eine oder mehrere Paketfilterregeln auf der Grundlage der vom Netzwerk-Threat Intelligence-Anbieter134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren234 (oder ein Teil davon, der in den vom Netzwerk-Threat Intelligence-Anbieter134 empfangenen Netzwerk-Threat Intelligence-Berichten enthalten ist)) generieren, und kann in Schritt 10 die Paketfilterregeln an die Paketfiltervorrichtung146 übermitteln, die, in Schritt 11, ihre Paketfilterregeln aktualisieren kann, um die vom Regelanbieter128 in Schritt 9 erzeugten Paketfilterregeln einzuschließen. In ähnlicher Weise kann die Paketfiltervorrichtung148 in Schritt 12 einen oder mehrere Parameter an den Regelanbieter128 übermitteln (z. B. Parameter, die eine Präferenz, eine Autorisierung, eine Anmeldung oder dergleichen angeben, um Paketfilterregeln zu empfangen, die auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt werden, die von den Netzwerk-Threat Intelligence-Anbietern132 und134 bereitgestellt werden). In Schritt 13 kann der Regelanbieter128 eine oder mehrere Paketfilterregeln auf der Grundlage der von den Netzwerk-Threat Intelligence-Anbietern132 und134 bereitgestellten Netzwerk-Threat Intelligence-Berichten (z. B. Netzwerkbedrohungsindikatoren234 (oder ein Teil davon, der in den von den Netzwerk-Threat Intelligence-Anbietern132 und134 empfangenen Netzwerk-Threat Intelligence-Berichten enthalten ist) generieren, und kann in Schritt 14 die Paketfilterregeln an die Paketfiltervorrichtung148 übermitteln, die, in Schritt 15, ihre Paketfilterregeln aktualisieren kann, um die vom Regelanbieter128 in Schritt13 erzeugten Paketfilterregeln einzuschließen. - Unter Bezugnahme auf
3C können in Schritt 16 vier Pakete (z. B. über das Netzwerk108 , wie durch die schattierten Kreise über der sich vom Netzwerk108 nach unten erstreckenden Linie gekennzeichnet) zwischen dem Host114 und dem sicheren Host142 übertragen werden (z. B. zwei Pakete, die vom Host114 ausgehen und für den sicheren Host142 bestimmt sind, und zwei Pakete, die vom sicheren Host142 ausgehen und für den Host114 bestimmt sind), und die Paketfiltervorrichtung144 kann jedes der vier Pakete empfangen (z. B. über die TAP-Geräte204 und206 ), eine oder mehrere der Paketfilterregeln218 auf die vier Pakete anwenden, und den vier Paketen die Weiterleitung in Richtung ihrer jeweiligen Zielen erlauben. - In Schritt 17 können drei Pakete vom Host
112 an den Bedrohungshost136 übermittelt werden, und die Paketfiltervorrichtung144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben (z. B. in Richtung des Bedrohungshosts136 ), und Protokolldaten für jedes der drei Pakete generieren (wie durch die Dreiecke über der sich von der Paketfiltervorrichtung144 nach unten erstreckenden Linie gekennzeichnet). - In Schritt 18 kann die Paketfiltervorrichtung
144 mit der Verarbeitung der in Schritt 17 erzeugten Protokolldaten beginnen. Beispielsweise können, unter Bezugnahme auf5A , die Protokolle220 das Paketprotokoll (engl.: packet log)502 und das Flussprotokoll (engl.: flow log)504 umfassen, von denen jedes (oder Teile davon) für Einträge reserviert oder unterschieden werden kann, die mit Paketen verbunden sind, die den in den Paketfilterregeln404 enthaltenen Kriterien entsprechen, und die Paketfiltervorrichtung144 kann für jedes der drei Pakete einen Eintrag im Paketprotokoll502 erzeugen. Jeder Eintrag kann Daten umfassen, die eine Trefferzeit für das Paket angeben (z.B. eine Zeit, zu der das Paket von der Paketfiltervorrichtung144 empfangen wurde, von der Paketfiltervorrichtung144 identifiziert wurde oder dergleichen), von dem Paket abgeleitete Daten (z.B. eine Quelladresse, eine Zieladresse, eine Portnummer, ein Protokolltyp, ein Domainname, eine URL, eine URI oder dergleichen), eine oder mehrere Umgebungsvariablen (z. B. eine Kennung einer Schnittstelle der Paketfiltervorrichtung144 , über die das Paket empfangen wurde, eine Kennung einer Schnittstelle der Paketfiltervorrichtung144 , über die das Paket in Richtung seines Ziels weitergeleitet wurde, eine Kennung, die der Paketfiltervorrichtung144 zugeordnet ist (z. B. zur Unterscheidung der Paketfiltervorrichtung144 von den Paketfiltervorrichtungen146 und148 ), oder dergleichen), Daten, die die Paketfilterregel der Paketfilterregeln404 identifizieren, der das Paket entsprach (z.B. Thread-ID: Threat_3), und Daten, die angeben, ob die Paketfiltervorrichtung144 das Paket an der Weiterleitung in Richtung seines Ziels hinderte oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubte (z. B. kann das Zeichen A angeben, dass die Paketfiltervorrichtung144 dem Paket die Weiterleitung in Richtung seines Ziels erlaubte, und das Zeichen B kann angeben, dass die Paketfiltervorrichtung144 das Paket an der Weiterleitung in Richtung seines Ziels hinderte). - Zurückkommend auf
3C , können, in Schritt19 , vier Pakete zwischen Host114 und Bedrohungshost138 übertragen werden (z. B. zwei Pakete, die von Host114 ausgehen und für den Bedrohungshost138 bestimmt sind, und zwei Pakete, die von dem Bedrohungshost138 ausgehen und für Host114 bestimmt sind), und die Paketfiltervorrichtung144 kann jedes der vier Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die vier Pakete anwenden, ermitteln, dass jedes der vier Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI005), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der vier Pakete anwenden, jedem der vier Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben, und Protokolldaten für jedes der vier Pakete erzeugen. In einigen Ausführungsbeispielen können die Kriterien, die durch eine oder mehrere von Paketfilterregeln404 festgelegt werden (z. B. die Kriterien, die aus den Netzwerkbedrohungsindikatoren generiert werden), Netzwerkadressen umfassen, und eines oder mehrere der Pakete, die von der Paketfiltervorrichtung144 empfangen werden, können Domainnamen, URIs oder URLs umfassen. In solchen Ausführungsbeispielen kann die Paketfiltervorrichtung144 einen lokalen DNS (domain name system)-Cache (z. B. im Speicher208 gespeichert) umfassen und den lokalen DNS-Cache verwenden, um einen oder mehrere der in den Paketen enthaltenen Domainnamen, URIs oder URLs in eine oder mehrere der in den Kriterien enthaltenen Netzwerkadressen aufzulösen. - In Schritt 20 kann die Paketfiltervorrichtung
144 mit der Verarbeitung der in Schritt 17 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 19 erzeugten Protokolldaten beginnen. In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung144 gemäß einer arbeitserhaltenden Planung konfiguriert werden, um Latenzzeiten zu minimieren (z. B. die Zeit zwischen dem Zeitpunkt, zu dem ein Paket, das einer Netzwerkbedrohung entspricht, die Grenze150 überquert, und dem Zeitpunkt, zu dem einem mit dem Netzwerk102 verbundenen Administrator eine Schnittstelle präsentiert wird, die anzeigt, dass das Paket, das der Netzwerkbedrohung entspricht, die Grenze150 überquert hat). Beispielsweise kann, unter Bezugnahme auf5B , die Paketfiltervorrichtung144 für jedes der in Schritt 19 empfangenen Pakete Einträge im Paketprotokoll502 erzeugen, während sie für die in Schritt 17 empfangenen Pakete einen Eintrag im Flussprotokoll504 erzeugt. Die Paketfiltervorrichtung144 kann den Eintrag im Flussprotokoll504 für die in Schritt 17 empfangenen Pakete auf der Grundlage der im Paketprotokoll502 (z. B. in Schritt 18) für die in Schritt 17 empfangenen Pakete erzeugten Einträge erzeugen. Der Eintrag im Flussprotokoll504 kann die Einträge im Paketprotokoll502 konsolidieren, komprimieren oder zusammenfassen. Der Eintrag im Flussprotokoll504 kann beispielsweise einen Zeitbereich (z. B. [01, 03]) umfassen, der den frühesten von den Einträgen angegebenen Trefferzeitpunkt (z. B. Zeit: 01) bis zum spätesten von den Einträgen angegebenen Trefferzeitpunkt (z. B. Zeit: 03) angibt, konsolidierte Informationen aus den Einträgen (z. B. eine Konsolidierung der von den Paketen und den Umgebungsvariablen abgeleiteten Informationen), Informationen, die jedes der zugehörigen Pakete gemeinsam hat (z. B. Bedrohungs-ID: Threat_3), eine Anzahl der zugehörigen Pakete, denen die Paketfiltervorrichtung144 die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt hat, und eine Anzahl der zugehörigen Pakete, die die Paketfiltervorrichtung144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert hat. - Mit Bezug zurück auf
3C , kann die Paketfiltervorrichtung144 , in Schritt 21, das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung umfassen, für eine Schnittstelle, die mit der Paketfiltervorrichtung144 verbunden ist und vom Host110 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host110 übermitteln. Unter Bezug auf6A kann der Host110 zum Beispiel ein Benutzergerät sein, das einem Administrator des Netzwerks102 zugeordnet und konfiguriert ist, die Schnittstelle600 anzuzeigen. Die Schnittstelle600 kann grafische Darstellungen602 und604 enthalten, die die mit der Paketfiltervorrichtung144 verbundene Aktivität illustrieren können. Beispielsweise kann die grafische Darstellung602 ein Liniendiagramm umfassen, das für ein benutzerspezifisches Zeitintervall eine Anzahl von Pakettreffern, eine Anzahl von Paketen, die an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden, eine Anzahl von Paketen, denen die Weiterleitung in Richtung ihrer jeweiligen Zielen erlaubt wurde, oder dergleichen darstellt, und die grafische Darstellung604 kann ein ringartiges Tortendiagramm (engl.: annulated pie chart) umfassen, das den prozentualen Anteil der Treffer während des benutzerspezifischen Zeitintervalls veranschaulicht, die mit verschiedenen Kategorietypen (z. B. Art der Netzwerkbedrohung, geografische Informationen, anonyme Proxys, Gruppierungen, oder dergleichen) verbunden sind. - Die Schnittstelle
600 kann auch eine Auflistung606 enthalten, die Einträge umfassen kann, die Netzwerkbedrohungen entsprechen, und, für jede Bedrohung, zugehörige Informationen, die von der Paketfiltervorrichtung144 aus dem Flussprotokoll504 abgeleitet werden (z. B. eine Beschreibung der Bedrohung, Informationen, die aus den im Flussprotokoll504 gespeicherten konsolidierten Informationen abgeleitet wurden, der Zeitpunkt des letzten zugehörigen Pakettreffers, eine Anzahl zugehöriger Pakettreffer, eine Anzahl zugehöriger Pakete, denen die Paketfiltervorrichtung144 die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubt hat, eine Anzahl zugehöriger Pakete, die von der Paketfiltervorrichtung144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden) und einen Status des Operators, der in der mit der Bedrohung verbundenen Regel enthalten ist. - Die Paketfiltervorrichtung
144 kann konfiguriert sein, eine Reihenfolge der Netzwerkbedrohungen zu bestimmen, und die Liste606 kann entsprechend der von der Paketfiltervorrichtung144 bestimmten Reihenfolge angezeigt werden. In einigen Ausführungsbeispielen kann die Paketfiltervorrichtung144 konfiguriert sein, um für jede der Netzwerkbedrohungen einen Score zu bestimmen, und die Reihenfolge kann auf der Grundlage der Scores bestimmt werden. In solchen Ausführungsbeispielen können die Scores auf der Grundlage einer Anzahl zugehöriger Pakettreffer bestimmt werden, von mit den Pakettreffern verbundenen Zeiten (z. B. Tageszeit, Zeit seit dem letzten Treffer, oder dergleichen), ob das Paket für eine mit einem Host im Netzwerk102 oder einem Host im Netzwerk108 verbundene Netzwerkadresse bestimmt war, einem oder mehreren Netzwerk-Threat Intelligence-Anbietern, die die mit der Bedrohung verbundenen Netzwerkbedrohungsindikatoren bereitgestellt haben, der Anzahl der Netzwerk-Threat Intelligence-Anbieter, die die mit der Bedrohung verbundenen Netzwerkbedrohungsindikatoren bereitgestellt haben, oder anderen mit der Netzwerkbedrohung verbundenen Informationen (z. B. Art der Netzwerkbedrohung, geografische Informationen, anonyme Proxys, Gruppierungen oder dergleichen). - Wie in
6A dargestellt, kann beispielsweise der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 ein höherer Score (z. B. 6) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 (z. B. 5) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 entsprechen, von drei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern130 ,132 und134 ) empfangen wurden, und auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 entsprechen, von zwei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern130 und132 ) empfangen wurden. In ähnlicher Weise kann der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 ein höherer Score (z. B. 5) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 (z. B. 4) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_2 entsprechen, von zwei verschiedenen Netzwerk-Threat Intelligence-Anbietern (z. B. den Netzwerk-Threat Intelligence-Anbietern130 und132 ) empfangen wurden, und einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 entsprechen, von einem Netzwerk-Threat Intelligence-Anbieter (z. B. dem Netzwerk-Threat Intelligence-Anbieter130 ) empfangen wurden. Zusätzlich kann der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 ein höherer Score (z. B. 4) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 (z. B. 2) zugewiesen ist, basierend auf einer Feststellung, dass der letzte Pakettreffer, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 entspricht, aktueller ist als der letzte Pakettreffer, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 entspricht, und der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_4 kann einen höherer Score (z. B. 2) zugewiesen werden als der Score, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_9 (z. B. 1) zugewiesen ist, basierend auf einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der Bedrohungs-ID: Threat_4 entsprechen, vom Netzwerk-Threat Intelligence-Anbieter130 empfangen wurden, und einer Feststellung, dass die Netzwerkbedrohungsindikatoren, die der Bedrohung mit der Bedrohungs-ID: Threat_9 vom Netzwerk-Threat Intelligence-Anbieter134 empfangen wurden (z. B. können die vom Netzwerk-Threat Intelligence-Anbieter130 erstellten Netzwerk-Threat Intelligence-Berichte als zuverlässiger angesehen werden als die vom Netzwerk-Threat Intelligence-Anbieter134 erstellten Netzwerk-Threat Intelligence-Berichte). - Mit Bezug zurück auf
3C können, in Schritt 22, drei Pakete vom Bedrohungshost140 an den Host114 übermittelt werden, und die Paketfiltervorrichtung144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI001), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben (z. B. in Richtung des Hosts114 ), und Protokolldaten für jedes der drei Pakete erzeugen. - In Schritt 23 kann die Paketfiltervorrichtung
144 mit der Verarbeitung der in Schritt19 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 22 erzeugten Protokolldaten beginnen. Unter Bezugnahme auf5C kann beispielsweise die Paketfiltervorrichtung144 für jedes der in Schritt 22 empfangenen Pakete Einträge im Paketprotokoll502 erzeugen, während sie einen Eintrag im Flussprotokoll504 für die in Schritt19 empfangenen Pakete auf der Grundlage der im Paketprotokoll502 erzeugten Einträge (z. B. in Schritt 20) für die in Schritt 19 empfangenen Pakete erzeugt. - Mit Bezug zurück auf
3C kann die Paketfiltervorrichtung144 in Schritt 24 das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, und kann die Daten an den Host110 übermitteln. Beispielsweise kann die Aktualisierung, unter Bezug auf6B , die Schnittstelle600 veranlassen, einen Eintrag in der Liste606 , der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 entspricht, zu aktualisieren, um die in Schritt 19 empfangenen Pakete wiederzugeben und um einen neuen Score (z. B. 3) wiederzugeben, der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 19 empfangenen Pakete erhöht haben). - Die Schnittstelle
600 kann eine oder mehrere Blockoptionen enthalten, die, wenn sie von einem Benutzer des Hosts110 (z. B. dem Administrator des Netzwerks102 ) aufgerufen werden, den Host110 veranlassen, die Paketfiltervorrichtung144 anzuweisen, einen Operator einer in den Paketfilterregeln404 enthaltenen Paketfilterregel neu zu konfigurieren, um Pakete, die den durch die Paketfilterregel festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. In einigen Ausführungsbeispielen kann die Auflistung606 eine solche Blockoption neben jedem Eintrag enthalten, und wenn sie aufgerufen wird, kann die Blockoption den Host110 veranlassen, die Paketfiltervorrichtung144 anzuweisen, einen Operator der Paketfilterregeln404 neu zu konfigurieren, der der mit dem Eintrag verbundenen Netzwerkbedrohung entspricht. Beispielsweise kann die Schnittstelle600 eine Blockoption608 enthalten, die, wenn sie aufgerufen wird, den Host110 veranlassen kann, die Paketfiltervorrichtung144 anzuweisen, einen Operator neu zu konfigurieren, der der Regel TI003 zugeordnet ist (z. B. den Operator so neu zu konfigurieren, dass die Paketfiltervorrichtung144 veranlasst wird, Pakete, die den ein oder mehreren durch Regel: TI003 festgelegten Kriterien entsprechen (z. B. Pakete, die den Netzwerkbedrohungsindikatoren entsprechen, die der Bedrohungs-ID: Threat_3 zugeordnet sind), an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. - Zusätzlich oder alternativ kann eine solche Blockoption, wenn sie aufgerufen wird, den Host
110 veranlassen, eine andere Schnittstelle (z. B. ein Overlay, eine Popup-Schnittstelle oder dergleichen) anzuzeigen, die mit der Paketfiltervorrichtung144 verbunden ist. Zum Beispiel kann, unter Bezug auf6C , die Blockoption608 , wenn sie aufgerufen wird, den Host110 veranlassen, die Schnittstelle610 anzuzeigen. Die Schnittstelle610 kann spezifische Blockoptionen612 ,614 ,616 und618 , Änderungsoption620 und Abbruchoption622 umfassen. Die spezifische Blockoption612 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung144 entsprechen, um Pakete, die der Netzwerkbedrohung entsprechen und für einen Host im Netzwerk102 bestimmt sind oder von ihm stammen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. Die spezifische Blockoption614 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung144 entsprechen, um Pakete, die der Netzwerkbedrohung entsprechen und für einen oder mehrere bestimmte Hosts im Netzwerk102 bestimmt sind oder von diesen stammen, die Pakete in Verbindung mit der Netzwerkbedrohung erzeugt oder empfangen haben (z. B. Host112 ), an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern. Die spezifische Blockoption616 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung144 entsprechen, um Pakete, die von den bestimmten Hosts im Netzwerk102 empfangen werden, die mit der Netzwerkbedrohung verbundene Pakete erzeugt oder empfangen haben, an der Weiterleitung in Richtung der Hosts im Netzwerk102 zu hindern. Und die spezifische Blockoption618 kann einer Option zur Neukonfiguration der Paketfiltervorrichtung144 entsprechen, um Pakete, die von bestimmten Hosts im Netzwerk102 empfangen werden, die Pakete in Verbindung mit der Netzwerkbedrohung erzeugt oder empfangen haben, an der Weiterleitung in Richtung von Hosts im Netzwerk108 zu hindern. - Die Schnittstelle
610 kann auch eine Regelvorschau-Auflistung624 enthalten, die eine Auflistung von Regeln anzeigen kann, die von der Paketfiltervorrichtung144 in Reaktion auf den Aufruf der Änderungsoption620 durch den Benutzer implementiert werden. Die Regelvorschau-Auflistung624 kann einen oder mehrere Einträge enthalten, die jeder der spezifischen Blockoptionen612 ,614 ,616 und618 entsprechen. Beispielsweise kann der Eintrag626 einer Regel entsprechen und diese angeben, die für die Implementierung der spezifischen Blockoption612 konfiguriert ist (z. B. Regel: TI003, deren Operator auf BLOCK umkonfiguriert wurde). In ähnlicher Weise können die Einträge628 ,630 und632 Regeln entsprechen und angeben, die für die Implementierung spezifischer Blockoptionen614 ,616 und618 konfiguriert sind (z. B. eine oder mehrere neue Regeln, die von der Paketfiltervorrichtung144 auf der Grundlage von Daten generiert wurden, die aus dem Flussprotokoll504 abgeleitet wurden (z. B. eine dem Host112 zugeordnete Netzwerkadresse)). In Reaktion auf einen Benutzer, der eine oder mehrere der spezifischen Blockoptionen612 ,614 ,616 oder618 aufruft, kann die Schnittstelle die entsprechenden Regeln auswählen, und in Reaktion auf einen Benutzer, der die Modifizierungsoption620 aufruft, kann der Host110 die Paketfiltervorrichtung144 anweisen, die ausgewählten Regeln zu implementieren. In Reaktion auf einen Benutzer, der die Abbruchoption620 aufruft, kann der Host110 die Schnittstelle600 erneut anzeigen. - Mit Bezug zurück auf
3C kann der Host110 in Schritt 25 Anweisungen an die Paketfiltervorrichtung144 übermitteln, die die Paketfiltervorrichtung144 anweisen, eine oder mehrere Paketfilterregeln404 neu zu konfigurieren (z. B. den Operator von Regel: TI003 auf BLOCK umzukonfigurieren), und in Schritt 26 kann die Paketfiltervorrichtung144 die Paketfilterregeln404 entsprechend neu konfigurieren, wie in4B dargestellt. - In Schritt 27 können drei Pakete, die für den Bedrohungshost
136 bestimmt sind, vom Host112 übermittelt werden, und die Paketfiltervorrichtung144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der drei Pakete anwenden, jedes der drei Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Bedrohungshosts136 ) hindern, und Protokolldaten für jedes der drei Pakete erzeugen. - In Schritt
28 kann die Paketfiltervorrichtung144 mit der Verarbeitung der in Schritt22 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt27 erzeugten Protokolldaten beginnen. Beispielsweise kann die Paketfiltervorrichtung144 , unter Bezugnahme auf5D , für jedes der in Schritt 27 empfangenen Pakete Einträge im Paketprotokoll502 erzeugen, während sie einen Eintrag im Flussprotokoll504 für die in Schritt 22 empfangenen Pakete auf der Grundlage der im Paketprotokoll502 (z. B. in Schritt 23) erzeugten Einträge für die in Schritt 22 empfangenen Pakete erzeugt. - Mit Bezug zurück auf
3C kann die Paketfiltervorrichtung144 , in Schritt29 , das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, und kann die Daten an den Host110 übermitteln. Beispielsweise kann die Aktualisierung, unter Bezug auf6D , die Schnittstelle600 veranlassen, einen Eintrag in der Liste606 , der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 zugeordnet ist, zu aktualisieren, um die in Schritt 22 empfangenen Pakete wiederzugeben, die Änderung des Operators der Paketfilterregel, die der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 zugewiesen ist, einen neuen Score (z. B. 7), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 22 empfangenen Pakete erhöht haben), einen neuen Score (z. B. 2), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann der Score aufgrund der Änderung des Operators in der zugehörigen Paketfilterregel gesunken sein), einen neuen Score (z. B. 4), der der Bedrohung mit der zugeordneten Bedrohungs-ID: Threat_5 von der Paketfiltervorrichtung144 zugewiesen wurde, und eine geänderte Reihenfolge, die von der Paketfiltervorrichtung144 auf der Grundlage der neuen Scores bestimmt wird. - Unter Bezugnahme auf
3D können in Schritt 30 drei Pakete, die für den Host120 bestimmt sind, vom Bedrohungshost140 übermittelt werden, und die Paketfiltervorrichtung146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts120 ) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 31 kann die Paketfiltervorrichtung146 mit der Verarbeitung der in Schritt 30 erzeugten Protokolldaten beginnen. - In Schritt 32 können drei Pakete, die für den Host
118 bestimmt sind, vom Bedrohungshost140 übermittelt werden, und die Paketfiltervorrichtung146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts118 ) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. - In Schritt 33 kann die Paketfiltervorrichtung
146 mit der Verarbeitung der in Schritt 30 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 33 erzeugten Protokolldaten beginnen. In Schritt 34 kann die Paketfiltervorrichtung146 Daten erzeugen, die eine Aktualisierung (engl.: update) für eine Schnittstelle umfassen, die der Paketfiltervorrichtung146 zugeordnet ist und von dem Host116 angezeigt wird (z. B. eine der Schnittstelle600 ähnliche Schnittstelle), und die Daten, die die Aktualisierung umfassen, an den Host116 übermitteln. - In Schritt 35 können drei Pakete, die für den Host
120 bestimmt sind, vom Bedrohungshost140 übermittelt werden, und die Paketfiltervorrichtung146 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts120 ) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 36 kann die Paketfiltervorrichtung146 mit der Verarbeitung der in Schritt 32 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 35 erzeugten Protokolldaten beginnen. - In Schritt 37 kann die Paketfiltervorrichtung
146 Daten erzeugen, die eine Aktualisierung für die Schnittstelle umfassen, die der Paketfiltervorrichtung146 zugeordnet ist und von dem Host116 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host116 übermitteln. In Schritt 38 kann der Host116 Anweisungen an die Paketfiltervorrichtung146 übermitteln, die die Paketfiltervorrichtung146 anweisen, eine oder mehrere ihrer Paketfilterregeln neu zu konfigurieren (z. B. den Operator der Regel, die der Bedrohungs-ID: Threat_1 entspricht auf BLOCK umzukonfigurieren), und in Schritt 39 kann die Paketfiltervorrichtung146 ihre Paketfilterregeln entsprechend neukonfigurieren. - In Schritt 40 können drei Pakete, die für Host
118 bestimmt sind, und drei Pakete, die für Host120 bestimmt sind, vom Bedrohungshost140 übermittelt werden, und die Paketfiltervorrichtung146 kann jedes der sechs Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die sechs Pakete anwenden, ermitteln, dass jedes der sechs Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel spezifizierten Operator (z. B. den BLOCK-Operator) auf jedes der sechs Pakete anwenden, jedes der sechs Pakete an der Weiterleitung zu seinem jeweiligen Ziel hindern, und Protokolldaten für jedes der sechs Pakete erzeugen. In Schritt 41 kann die Paketfiltervorrichtung146 mit der Verarbeitung der in Schritt 35 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 40 erzeugten Protokolldaten beginnen. - In Schritt 42 kann die Paketfiltervorrichtung
146 Daten an den Regelanbieter128 übertragen (z. B. Daten, die angeben, dass fünfzehn Pakete, die der Bedrohungs-ID: Threat_1 entsprechen, von der Paketfiltervorrichtung146 empfangen wurden, die Paketfiltervorrichtung146 für neun der fünfzehn Pakete die Weiterleitung an Hosts im Netzwerk104 zugelassen hat, und die Paketfiltervorrichtung146 sechs der fünfzehn Pakete an der Weiterleitung an Hosts im Netzwerk104 gehindert hat). - Unter Bezug auf
3E können in Schritt 43 vier Pakete zwischen dem Host124 und dem Bedrohungshost136 übertragen werden (z. B. zwei Pakete, die vom Host124 ausgehen und für den Bedrohungshost136 bestimmt sind, und zwei Pakete, die vom Bedrohungshost136 ausgehen und für den Host124 bestimmt sind), und die Paketfiltervorrichtung148 kann jedes der vier Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die vier Pakete anwenden und den vier Paketen die Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben. - In Schritt
44 können drei Pakete, die für Host126 bestimmt sind, vom Bedrohungshost140 übertragen werden, und die Paketfiltervorrichtung148 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben (z. B. in Richtung des Hosts126 ), und Protokolldaten für jedes der drei Pakete erzeugen. In Schritt 45 kann die Paketfiltervorrichtung148 mit der Verarbeitung der in Schritt 44 erzeugten Protokolldaten beginnen. - In Schritt 46 können drei für den Host
126 bestimmte Pakete vom Bedrohungshost140 übertragen werden, und die Paketfiltervorrichtung148 kann jedes der drei Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete den durch eine Paketfilterregel festgelegten Kriterien entspricht (z. B. die Regel, die der Bedrohungs-ID: Threat_1 entspricht), einen von der Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der drei Pakete anwenden, jedem der drei Pakete die Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Hosts126 ) erlauben, und Protokolldaten für jedes der drei Pakete erzeugen. - In Schritt 47 kann die Paketfiltervorrichtung
148 die Verarbeitung der in Schritt 44 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 47 erzeugten Protokolldaten beginnen. In Schritt 48 kann die Paketfiltervorrichtung148 Daten erzeugen, die eine Aktualisierung für eine Schnittstelle umfassen, die der Paketfiltervorrichtung148 zugeordnet ist und vom Host122 angezeigt wird (z. B. eine der Schnittstelle600 ähnliche Schnittstelle), und kann die Daten, die die Aktualisierung umfassen, an den Host122 übermitteln. - In Schritt 49 können zwei Pakete zwischen dem Host
124 und dem Bedrohungshost138 übertragen werden (z. B. ein Paket, das vom Host124 ausgeht und für den Bedrohungshost138 bestimmt ist, und ein Paket, das vom Bedrohungshost138 ausgeht und für den Host124 bestimmt ist), und die Paketfiltervorrichtung148 kann jedes der beiden Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die beiden Pakete anwenden, ermitteln, dass jedes der beiden Pakete den Kriterien entspricht, die durch eine Paketfilterregel festgelegt sind (z. B. eine Regel, die der Bedrohungs-ID: Threat_5 entspricht), einen durch die Paketfilterregel festgelegten Operator (z. B. einen ALLOW-Operator) auf jedes der beiden Pakete anwenden, jedem der beiden Pakete die Weiterleitung in Richtung seines jeweiligen Ziels erlauben, und Protokolldaten für jedes der beiden Pakete erzeugen. In Schritt 50 kann die Paketfiltervorrichtung148 die Verarbeitung der in Schritt 46 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 49 erzeugten Protokolldaten beginnen. - In Schritt 51 kann die Paketfiltervorrichtung
148 Daten erzeugen, die eine Aktualisierung für die Schnittstelle umfassen, die der Paketfiltervorrichtung148 zugeordnet ist und vom Host122 angezeigt wird, und kann die Daten, die die Aktualisierung umfassen, an den Host122 übermitteln. In Schritt 52 kann der Host122 Anweisungen an die Paketfiltervorrichtung148 übermitteln, die die Paketfiltervorrichtung148 anweisen, eine oder mehrere ihrer Paketfilterregeln neu zu konfigurieren, um alle Pakete zu blockieren, die den Netzwerkbedrohungsindikatoren entsprechen, die der Bedrohungs-ID: Threat_1 zugeordnet sind (z. B. den Operator der Regel, die der Bedrohungs-ID: Threat_1 entspricht, auf BLOCK umzukonfigurieren), und eine oder mehrere neue Paketfilterregeln zu implementieren, die so konfiguriert sind, dass sie alle vom Host126 stammenden Pakete blockieren, und in Schritt 53 kann die Paketfiltervorrichtung148 ihre Paketfilterregeln entsprechend neukonfigurieren. - In Schritt 54 kann der Bedrohungshost
140 ein für den Host124 bestimmtes Paket und ein für den Host126 bestimmtes Paket erzeugen, der Host126 kann ein für den sicheren Host142 bestimmtes Paket und ein für den Host124 bestimmtes Paket erzeugen, und die Paketfiltervorrichtung148 kann jedes der vier Pakete empfangen, eine oder mehrere ihrer Paketfilterregeln auf die vier Pakete anwenden, ermitteln, dass die vom Bedrohungshost140 erzeugten Pakete Kriterien entsprechen, die durch die Paketfilterregel mit der zugeordneten Bedrohungs-ID: Threat_1 festgelegt sind, auf jedes der beiden von dem Bedrohungshost140 erzeugten Pakete einen Operator anwenden, der durch die Paketfilterregel mit der zugeordneten Bedrohungs-ID: Threat_1 (z. B. der BLOCK-Operator) festgelegt ist, ermitteln, dass die von dem Host126 erzeugten Pakete Kriterien entsprechen, die von den neuen Paketfilterregeln festgelegt werden (z. B. eine mit dem Host126 verbundene Netzwerkadresse), einen von den neuen Paketfilterregeln festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der beiden vom Host126 erzeugten Pakete anwenden, jedes der vier Pakete an der Weiterleitung zu seinem jeweiligen Ziel hindern, und Protokolldaten für jedes der vier Pakete erzeugen. - In Schritt 55 kann die Paketfiltervorrichtung
148 die Verarbeitung der in Schritt 49 erzeugten Protokolldaten fortsetzen und mit der Verarbeitung der in Schritt 54 erzeugten Protokolldaten beginnen. In Schritt56 kann die Paketfiltervorrichtung148 Daten an den Regelanbieter128 übertragen (z. B. Daten, die angeben, dass acht Pakete, die der Bedrohungs-ID: Threat_1 entsprechen, von der Paketfiltervorrichtung148 empfangen wurden, die Paketfiltervorrichtung148 für sechs der acht Pakete die Weiterleitung an Hosts im Netzwerk106 zugelassen hat, die Paketfiltervorrichtung148 zwei der acht Pakete an der Weiterleitung an Hosts im Netzwerk106 gehindert hat, zwei der Bedrohungs-ID: Threat_5 entsprechende Pakete von der Paketfiltervorrichtung148 empfangen wurden, und die Paketfiltervorrichtung148 beiden der Pakete die Weiterleitung in Richtung ihrer jeweiligen Ziele erlaubte). - Unter Bezugnahme auf
3F kann der Regelanbieter128 (z. B. die Rechenvorrichtungen222 ) in Schritt 57 die von den Paketfiltervorrichtungen146 und148 (z. B. in den Schritten 42 und 56) empfangenen Daten analysieren und basierend auf der Analyse eine Aktualisierung für die Paketfiltervorrichtung148 erzeugen. in einigen Ausführungsbeispielen kann die Aktualisierung so konfiguriert sein, dass sie die Paketfiltervorrichtung144 veranlasst, einen Operator einer in den Paketfilterregeln404 enthaltenen Paketfilterregel neu zu konfigurieren (z. B. die Paketfiltervorrichtung144 so neu zu konfigurieren, dass Pakete, die den durch die Regel festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden). Zusätzlich oder alternativ kann die Aktualisierung eine oder mehrere der Paketfilterregeln404 neukonfigurieren, um die Reihenfolge (z. B. die Bewertung) der mit den Paketfilterregeln404 verbundenen Netzwerkbedrohungen zu beeinträchtigen. In Schritt 58 kann der Regelanbieter128 die Aktualisierungen an die Paketfiltervorrichtung144 übertragen, welche die Aktualisierungen empfangen und in Schritt 59 die Paketfilterregeln404 entsprechend aktualisieren kann. Beispielsweise kann die Aktualisierung so konfiguriert sein, dass sie die Paketfiltervorrichtung144 veranlasst, den Operator von Regel: TI001 in den BLOCK-Operator umzukonfigurieren (z. B. die Paketfiltervorrichtung144 so umzukonfigurieren, dass sie Pakete, die den mit der Netzwerkbedrohung mit der zugeordneten Bedrohungs-ID: Threat_1 verbundenen Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele hindert, und die Paketfiltervorrichtung144 kann die Paketfilterregeln404 entsprechend neukonfigurieren, wie in4C dargestellt). - In Schritt 60 können vier Pakete zwischen dem Host
114 und dem sicheren Host142 (z. B. zwei Pakete, die vom Host114 ausgehen und für den sicheren Host142 bestimmt sind, und zwei Pakete, die vom sicheren Host142 ausgehen und für den Host114 bestimmt sind) übertragen werden, und die Paketfiltervorrichtung144 kann jedes der vier Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die vier Pakete anwenden und den vier Paketen ihre Weiterleitung in Richtung ihrer jeweiligen Ziele erlauben. - In Schritt 61 können drei Pakete, die für den Bedrohungshost
136 bestimmt sind, vom Host112 übermittelt werden, und die Paketfiltervorrichtung144 kann jedes der drei Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI003), einen durch die Paketfilterregel festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der drei Pakete anwenden, jedes der drei Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels (z. B. in Richtung des Bedrohungshosts136 ) hindern, und Protokolldaten für jedes der drei Pakete erzeugen. - In Schritt 62 kann die Paketfiltervorrichtung
144 mit der Verarbeitung der in Schritt27 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 62 erzeugten Protokolldaten beginnen. Beispielsweise kann die Paketfiltervorrichtung144 , unter Bezugnahme auf5E , Einträge im Paketprotokoll502 für jedes der in Schritt 61 empfangenen Pakete erzeugen, während sie einen Eintrag im Flussprotokoll504 für die in Schritt 27 empfangenen Pakete auf der Grundlage der im Paketprotokoll502 (z. B. in Schritt 28) erzeugten Einträge für die in Schritt 27 empfangenen Pakete modifiziert, beispielsweise durch Modifizieren des der Bedrohungs-ID: Threat_3 entsprechenden Eintrags (z. B. den Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden). - In Schritt 63 kann die Paketfiltervorrichtung
144 das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, und kann die Daten an den Host110 übertragen. Beispielsweise kann die Aktualisierung, unter Bezug auf6E , die Schnittstelle600 veranlassen, den der Bedrohungs-ID: Threat_3 zugeordneten Eintrag in der Liste606 zu aktualisieren, um die in Schritt 27 empfangenen Pakete wiederzugeben, die Änderung des Operators der der Bedrohungs-ID: Threat_1 zugeordneten Paketfilterregel, einen neuen Score (z. B. 3), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 27 empfangenen Pakete erhöht haben), und einen neuen Score (z. B. 5), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der Änderung des Operators in seiner zugehörigen Paketfilterregel verringert haben). - In Schritt 64 können drei Pakete, die für Host
112 bestimmt sind, und drei Pakete, die für Host114 bestimmt sind, vom Bedrohungshost140 übertragen werden, und die Paketfiltervorrichtung144 kann jedes der sechs Pakete empfangen, eine oder mehrere Paketfilterregeln218 auf die drei Pakete anwenden, ermitteln, dass jedes der drei Pakete Kriterien entspricht, die durch eine Paketfilterregel der Paketfilterregeln404 festgelegt sind (z. B. Regel: TI001), einen durch die Paketfilterregel festgelegten Operator (z. B. den BLOCK-Operator) auf jedes der sechs Pakete anwenden, jedes der sechs Pakete an der Weiterleitung in Richtung seines jeweiligen Ziels hindern, und Protokolldaten für jedes der sechs Pakete erzeugen. - In Schritt 65 kann die Paketfiltervorrichtung
144 mit der Verarbeitung der in Schritt 61 erzeugten Protokolldaten fortfahren und mit der Verarbeitung der in Schritt 64 erzeugten Protokolldaten beginnen. Unter Bezugnahme auf5F kann die Paketfiltervorrichtung144 beispielsweise Einträge im Paketprotokoll502 für jedes der in Schritt 64 empfangenen Pakete erzeugen, während sie einen Eintrag im Flussprotokoll504 für die in Schritt 61 empfangenen Pakete auf der Grundlage der im Paketprotokoll502 (z. B. in Schritt 62) erzeugten Einträge für die in Schritt 61 empfangenen Pakete modifiziert, z. B. durch Modifizieren des der Bedrohungs-ID: Threat_3 entsprechenden Eintrags (z. B. den Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung144 an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden). - In Schritt 66 kann die Paketfiltervorrichtung
144 das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, und kann die Daten an den Host110 übertragen. Beispielsweise kann die Aktualisierung, unter Bezug auf6F , die Schnittstelle600 veranlassen, den der Bedrohungs-ID: Threat_3 zugeordneten Eintrag in der Liste606 zu aktualisieren, um die in Schritt 61 empfangenen Pakete wiederzugeben und einen neuen Score (z. B. 3), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_3 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 61 empfangenen Pakete erhöht haben). - In Schritt 67 kann die Paketfiltervorrichtung
144 die Verarbeitung der in Schritt 64 erzeugten Protokolldaten (engl.: log data) fortsetzen. Beispielsweise kann, unter Bezugnahme auf5G , die Paketfiltervorrichtung144 einen Eintrag im Flussprotokoll504 für die in Schritt 64 empfangenen Pakete auf Grundlage der im Paketprotokoll502 (z. B. in Schritt 65) erzeugten Einträge für die in Schritt 64 empfangenen Pakete modifizieren, z. B. durch Modifizieren des der Bedrohungs-ID: Threat_1 entsprechenden Eintrags (z. B. der Zeitbereich und die Anzahl der zugehörigen Pakete, die von der Paketfiltervorrichtung144 an der Weiterleitung in Richtung ihrer jeweiligen Zielen gehindert wurden). - In Schritt 68 kann die Paketfiltervorrichtung
144 das Flussprotokoll504 verwenden, um Daten zu erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, und kann die Daten an den Host110 übertragen. Unter Bezug auf6G kann die Aktualisierung beispielsweise die Schnittstelle600 veranlassen, den der Bedrohungs-ID: Threat_1 zugeordneten Eintrag in der Liste606 zu aktualisieren, um die in Schritt 64 empfangenen Pakete wiederzugeben und einen neuen Score (z. B. 6), der der Bedrohung mit dem zugeordneten Bedrohungs-ID: Threat_1 von der Paketfiltervorrichtung144 zugewiesen wurde (z. B. kann sich der Score aufgrund der in Schritt 64 empfangenen Pakete erhöht haben). -
7 zeigt ein illustratives Verfahren zur regelbasierten Erkennung von Netzwerkbedrohungen gemäß einem oder mehreren Aspekten der Offenbarung. Unter Bezugnahme auf7 kann eine Paketfiltervorrichtung in Schritt702 eine Vielzahl von Paketfilterregeln empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die einem oder mehreren Netzwerkbedrohungsindikatoren entsprechen. Beispielsweise kann die Paketfiltervorrichtung144 Paketfilterregeln404 vom Regelanbieter128 empfangen. In Schritt704 kann die Paketfiltervorrichtung ein Paket empfangen, das mindestens einem der Netzwerkbedrohungsindikatoren entspricht. Beispielsweise kann die Paketfiltervorrichtung144 ein Paket empfangen, das von Host112 erzeugt wurde und für den Bedrohungshost136 bestimmt ist. In Schritt706 kann die Paketfiltervorrichtung ermitteln, dass das Paket Kriterien entspricht, die durch eine der mehreren Paketfilterregeln festgelegt sind. Beispielsweise kann die Paketfiltervorrichtung144 ermitteln, dass das von Host112 erzeugte und für den Bedrohungshost136 bestimmte Paket der Regel: TI003 entspricht. In Schritt708 kann die Paketfiltervorrichtung einen durch die Paketfilterregel festgelegten Operator auf das Paket anwenden. Zum Beispiel kann die Paketfiltervorrichtung144 einen durch die Regel: TI003 festgelegten Operator (z. B. einen ALLOW-Operator) auf das von Host112 erzeugte Paket anwenden und dem von Host112 erzeugten Paket die Weiterleitung in Richtung des Bedrohungshosts136 erlauben. - In Schritt
710 kann die Paketfiltervorrichtung einen Protokolleintrag erzeugen, der Informationen aus der Paketfilterregel enthält, die sich von den Kriterien unterscheiden, und den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren. Zum Beispiel kann die Paketfiltervorrichtung144 einen Eintrag im Paketprotokoll502 erzeugen, der die Bedrohungs-ID: Threat_3 für das vom Host112 erzeugte Paket enthält. In Schritt712 kann die Paketfiltervorrichtung Daten erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert (z. B. das Paket blockiert) oder die Weiterleitung des Pakets in Richtung seines Ziels erlaubt hat. Beispielsweise kann die Paketfiltervorrichtung144 Daten erzeugen, die eine Aktualisierung für die Schnittstelle600 umfassen, die angibt, dass die Paketfiltervorrichtung144 dem vom Host112 erzeugten Paket die Weiterleitung in Richtung des Bedrohungshosts136 erlaubt hat. In Schritt714 kann die Paketfiltervorrichtung die Daten an ein Benutzergerät übermitteln. Zum Beispiel kann die Paketfiltervorrichtung144 die Daten, die die Aktualisierung für die Schnittstelle600 enthalten, an den Host110 übertragen. In Schritt716 kann die Paketfiltervorrichtung in einer Schnittstelle anzeigen, ob die Paketfiltervorrichtung die Weiterleitung des Pakets in Richtung seines Ziels verhindert oder die Weiterleitung des Pakets in Richtung seines Ziels zugelassen hat. Beispielsweise kann die Übertragung der Daten, die die Aktualisierung für die Schnittstelle600 umfassen, den Host110 veranlassen, in der Schnittstelle600 anzuzeigen, dass die Paketfiltervorrichtung144 die Weiterleitung des vom Host112 erzeugten Pakets in Richtung des Bedrohungshosts136 erlaubt hat. - Die hier beschriebenen Funktionen und Schritte können in computernutzbaren Daten oder computerausführbaren Anweisungen verkörpert sein, z. B. in einem oder mehreren Programmmodulen, die von einem oder mehreren Computern oder anderen Geräten bzw. Einrichtungen ausgeführt werden, um eine oder mehrere hier beschriebene Funktionen durchzuführen. Im Allgemeinen umfassen Programmmodule Routinen, Programme, Objekte, Komponenten, Datenstrukturen usw., die bestimmte Aufgaben ausführen oder bestimmte abstrakte Datentypen implementieren, wenn sie von einem oder mehreren Prozessoren in einem Computer oder einem anderen datenverarbeitenden Gerät bzw. Einrichtung ausgeführt werden. Die computerausführbaren Anweisungen können auf einem computerlesbaren Medium wie einer Festplatte, einer optischen Platte, einem Wechseldatenträger, einem Festkörperspeicher, einem RAM usw. gespeichert sein. Wie zu erkennen sein wird, kann die Funktionalität der Programmmodule beliebig kombiniert oder verteilt werden. Darüber hinaus kann die Funktionalität ganz oder teilweise in Firmware oder Hardware-Äquivalenten, wie integrierten Schaltkreisen, anwendungsspezifischen integrierten Schaltkreisen (ASICs), feldprogrammierbaren Gate-Arrays (FPGAs) und dergleichen, verkörpert sein. Bestimmte Datenstrukturen können verwendet werden, um einen oder mehrere Aspekte der Offenbarung effektiver zu implementieren, und solche Datenstrukturen fallen in den Bereich der hier beschriebenen computerausführbaren Anweisungen und computerverwendbaren Daten.
- Obwohl es nicht erforderlich ist, wird ein Fachmann erkennen, dass verschiedene hierin beschriebene Aspekte als Verfahren, System, Vorrichtung oder ein oder mehrere computerlesbare Medien, die computerausführbare Anweisungen speichern, verkörpert werden können. Dementsprechend können die Aspekte die Form einer vollständigen Hardware-Ausführung, einer vollständigen Software-Ausführung, einer vollständigen Firmware-Ausführung oder einer Ausführungsform annehmen, die Software-, Hardware- und Firmware-Aspekte in beliebiger Kombination kombiniert.
- Wie hierin beschrieben, können die verschiedenen Methoden und Handlungen über ein oder mehrere Rechengeräte und Netzwerke ausgeführt werden. Die Funktionalität kann auf beliebige Weise verteilt sein oder sich in einem einzigen Rechengerät befinden (z. B. einem Server, Client-Computer oder dergleichen).
- Aspekte der Offenbarung wurden in Form von illustrativen Ausführungsbeispielen beschrieben. Zahlreiche andere Ausführungsformen, Modifikationen und Variationen innerhalb des Rahmens und des Sinns der anhängenden Ansprüche werden dem Durchschnittsfachmann aus der Durchsicht dieser Offenbarung in den Sinn kommen. Beispielsweise wird ein Fachmann erkennen, dass die in den illustrativen Figuren dargestellten Schritte in einer anderen als der angegebenen Reihenfolge ausgeführt werden können und dass ein oder mehrere der dargestellten Schritte optional sein können. Alle Merkmale in den folgenden Ansprüchen können in beliebiger Weise kombiniert oder neu geordnet werden.
- Die folgenden nummerierten Beispiele werden ebenfalls offenbart:
- 1. Verfahren umfassend:
- Empfangen, durch eine Paketfiltervorrichtung bzw. Paketfiltereinrichtung, einer Vielzahl von Paketfilterregeln, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
- Empfangen, durch die Paketfiltervorrichtung, einer Vielzahl von Paketen; und für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
- Anwenden, durch die Paketfiltervorrichtung und auf das Paket, eines Operators, der durch die Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern, oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
- Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- Erzeugen, durch die Paketfiltervorrichtung und basierend auf dem Paketprotokolleintrag, von Daten, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- Übertragen der Daten durch die Paketfiltervorrichtung und an eine Benutzervorrichtung; und
- Anzeigen, basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 2. Verfahren nach Beispiel 1, wobei die Vielzahl von Paketen ein erstes Paket und ein zweites Paket umfasst, und wobei sowohl das erste Paket als auch das zweite Paket einem oder mehreren bestimmten Kriterien entsprechen, die durch eine bestimmte Paketfilterregel der Vielzahl von Paketfilterregeln festgelegt sind, die einem oder mehreren bestimmten Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei das Verfahren umfasst:
- in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder den mehreren bestimmten Kriterien entspricht, Zulassen, durch die Paketfiltervorrichtung, dass das erste Paket in Richtung seines Ziels weitergeleitet wird; und
- in Reaktion auf eine Bestimmung durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder den mehreren bestimmten Kriterien entspricht, Verhindern, durch die Paketfiltervorrichtung, dass das zweite Paket in Richtung seines Ziels weitergeleitet wird.
- 3. Verfahren nach Beispiel 2, umfassend das Modifizieren, durch die Paketfiltervorrichtung, nach der Bestimmung durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder mehreren bestimmten Kriterien entspricht, vor der Bestimmung durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder mehreren bestimmten Kriterien entspricht, und in Reaktion auf eine von der Benutzervorrichtung empfangene Anweisung, eines durch die bestimmte Paketfilterregel festgelegten Operators, um die Paketfiltervorrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder mehreren bestimmten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden.
- 4. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket von einem gemeinsamen Host im ersten Netzwerk empfangen werden und für einen gemeinsamen Host im zweiten Netzwerk bestimmt sind;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts im zweiten Netzwerk umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts im zweiten Netzwerk umfasst.
- 5. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket von einem gemeinsamen Host im ersten Netzwerk empfangen werden;
- das erste Paket für einen ersten Host im zweiten Netzwerk bestimmt ist;
- das zweite Paket für einen zweiten Host im zweiten Netzwerk bestimmt ist;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des ersten Hosts umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des zweiten Hosts umfasst.
- 6. Verfahren nach Beispiel 2, wobei:
- sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet;
- sowohl das erste Paket als auch das zweite Paket für einen gemeinsamen Host im ersten Netzwerk bestimmt sind;
- das erste Paket von einem ersten Host im zweiten Netzwerk empfangen wird;
- das zweite Paket von einem zweiten Host im zweiten Netzwerk empfangen wird;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das erste Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das erste Paket für den gemeinsamen Host bestimmt ist;
- die Bestimmung, durch die Paketfiltervorrichtung, dass das zweite Paket dem einen oder
- mehreren bestimmten Kriterien entspricht, eine Bestimmung umfasst, dass das zweite Paket für den gemeinsamen Host bestimmt ist;
- das Erlauben der Weiterleitung des ersten Pakets in Richtung seines Ziels das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts umfasst; und
- das Verhindern der Weiterleitung des zweiten Pakets in Richtung seines Ziels das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts umfasst.
- 7. Verfahren nach Beispiel 1, das für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Bestimmung, durch die Paketfiltervorrichtung, dass das Paket dem einen oder mehreren Kriterien entspricht, das Aktualisieren eines Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags umfasst, um die Bestimmung anzugeben und anzugeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat, oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 8. Verfahren nach Beispiel 7, wobei das Empfangen der Vielzahl von Paketen das Empfangen eines ersten Teils von Paketen und eines zweiten Teils von Paketen umfasst, wobei das Verfahren umfasst:
- für jedes Paket im ersten Teil der Pakete:
- Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der einen oder
- mehrere bestimmte Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren anzeigt, denen das Paket entspricht, und ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
- Erzeugen, durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags, eines Flussprotokolleintrags, der den einen oder die mehreren besonderen Netzwerkbedrohungsindikatoren angibt und angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert
- hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
- für jedes Paket im zweiten Teil der Pakete:
- Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags, der einen oder
- mehrere bestimmte Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren anzeigt, denen das Paket entspricht, und ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat; und
- Modifizieren, durch die Paketfiltervorrichtung und basierend auf dem Paketprotokolleintrag, eines existierenden Flussprotokolleintrags, der dem einen oder
- mehreren bestimmten Netzwerkbedrohungsindikatoren entspricht, um wiederzugeben,
- ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- für jedes Paket im ersten Teil der Pakete:
- 9. Verfahren nach Beispiel 8, wobei:
- der zweite Teil der Pakete von der Paketfiltervorrichtung empfangen wird, nachdem der erste Teil der Pakete von der Paketfiltervorrichtung empfangen wurde; und
- für jedes Paket in dem zweiten Teil der Pakete, das Erzeugen des Paketprotokolleintrags das Erzeugen des Paketprotokolleintrags umfasst, während die Paketfiltervorrichtung einen oder
- mehrere Flussprotokolleinträge für ein oder mehrere Pakete in dem ersten Teil der Pakete erzeugt.
- 10. Verfahren nach Beispiel 9, umfassend:
- Empfangen eines dritten Teils von Paketen durch die Paketfiltervorrichtung und nach dem Empfangen des zweiten Teils von Paketen; und
- Erzeugen, durch die Paketfiltervorrichtung, eines Paketprotokolleintrags für jedes Paket im dritten Teil der Pakete und während des Modifizierens eines oder mehrerer existierender Flussprotokolleinträge auf der Grundlage eines oder mehrerer Paketprotokolleinträge, die für ein oder mehrere Pakete im zweiten Teil erzeugt wurden.
- 11. Verfahren nach Beispiel 1, wobei:
- jeder der mehreren Netzwerkbedrohungsindikatoren mindestens einer Netzwerkbedrohung aus einer Vielzahl von Netzwerkbedrohungen entspricht;
- jede der mehreren Paketfilterregeln einer anderen Netzwerkbedrohung der mehreren Netzwerkbedrohungen entspricht; und
- das Erzeugen des Paketprotokolleintrags das Erzeugen eines Paketprotokolleintrags umfasst, der eine bestimmte Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen identifiziert, der das Paket entspricht.
- 12. Verfahren nach Beispiel 11 umfassend für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Ermittlung durch die Paketfiltervorrichtung, dass das Paket dem einen oder den mehreren Kriterien entspricht, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, das Aktualisieren eines Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags, um die Ermittlung anzugeben und um anzugeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 13. Verfahren nach Beispiel 12, wobei:
- das Paketflussprotokoll eine Vielzahl von Paketflussprotokolleinträgen umfasst;
- jeder Paketflussprotokolleintrag der Vielzahl von Paketflussprotokolleinträgen einer anderen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht;
- die ein oder mehreren Netzwerkbedrohungsindikatoren der bestimmten Netzwerkbedrohung entsprechen; und
- das Aktualisieren des Paketflussprotokolls das Aktualisieren eines Paketflussprotokolleintrags aus der Vielzahl der Paketflussprotokolleinträge umfasst, der der bestimmten Netzwerkbedrohung entspricht.
- 14. Verfahren nach Beispiel 13, wobei das Erzeugen der Daten, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat, das Erzeugen der Daten basierend auf dem Paketflussprotokolleintrag umfasst, der der bestimmten Netzwerkbedrohung entspricht.
- 15. Verfahren nach Beispiel 14, wobei:
- die Schnittstelle aus einer Vielzahl von verschiedenen Teilen besteht;
- jeder Teil der Vielzahl von verschiedenen Teilen einer unterschiedlichen Paketfilterregel der Vielzahl von Paketfilterregeln und einer unterschiedlichen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht; und
- das Anzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat, das Anzeigen, in einem Abschnitt der Vielzahl von verschiedenen Abschnitten, der der bestimmten Netzwerkbedrohung entspricht, umfasst, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 16. Verfahren nach Beispiel 11, umfassend:
- Bestimmen einer Reihenfolge der Vielzahl von Netzwerkbedrohungen durch die Paketfiltervorrichtung; und
- Anzeigen der Reihenfolge in der Schnittstelle.
- 17. Verfahren nach Beispiel 16, wobei das Bestimmen der Reihenfolge das Bestimmen der Reihenfolge basierend auf Daten umfasst, die in einem Paketflussprotokoll gespeichert sind, wobei das Verfahren für jedes Paket der Vielzahl von Paketen und in Reaktion auf die Bestimmung durch die Paketfiltervorrichtung, dass das Paket dem einen oder den mehreren Kriterien entspricht, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, ein Aktualisieren des Paketflussprotokolls durch die Paketfiltervorrichtung und auf der Grundlage des Paketprotokolleintrags umfasst, um die Bestimmung anzuzeigen und um anzuzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 18. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen einer Anzahl von Paketen umfasst, die der Netzwerkbedrohung entsprechen und denen die Paketfiltervorrichtung erlaubt hat, in Richtung ihrer jeweiligen Ziele fortzufahren.
- 19. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen einer Anzahl von Paketen umfasst, die der Netzwerkbedrohung entsprechen und von der Paketfiltervorrichtung an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert wurden.
- 20. Verfahren nach Beispiel 17, wobei das Bestimmen der Reihenfolge für jede Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen das Bestimmen eines durch die im Paketflussprotokoll gespeicherten Daten angegebenen Zeitpunkts umfasst, zu dem die Paketfiltervorrichtung zuletzt ein der Netzwerkbedrohung entsprechendes Paket identifiziert hat.
- 21. Verfahren nach Beispiel 11, wobei das Empfangen der Vielzahl von Paketfilterregeln das Empfangen einer Vielzahl von Paketfilterregeln umfasst, die auf der Grundlage einer Vielzahl von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren Netzwerk-Threat Intelligence-Anbietern erzeugt wurden.
- 22. Verfahren nach Beispiel 21, umfassend:
- Bestimmen, durch die Paketfiltervorrichtung und basierend auf der Vielzahl von Netzwerk-Threat Intelligence-Berichten, einer Reihenfolge der Vielzahl von Netzwerkbedrohungen; und Anzeigen der Reihenfolge in der Schnittstelle.
- 23. Verfahren nach Beispiel 22, wobei:
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf:
- einer Bestimmung, dass die erste Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem Netzwerk-Threat Intelligence-Bericht der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind, die von einem ersten Netzwerk-Threat Intelligence-Anbieter des einen oder
- mehreren Netzwerk-Threat Intelligence-Anbieters erzeugt wurden; und
- einer Bestimmung, dass die zweite Paketfilterregel auf der Grundlage eines oder
- mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem Netzwerk-Threat Intelligence-Bericht der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind, die von einem zweiten Netzwerk-Threat Intelligence-Anbieter des einen oder mehreren Netzwerk-Threat Intelligence-Anbieters erzeugt wurden.
- 24. Verfahren nach Beispiel 22, wobei:
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- die erste Paketfilterregel auf der Grundlage eines oder mehrerer
- Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem ersten Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind;
- die zweite Paketfilterregel auf der Grundlage eines oder mehrerer Netzwerkbedrohungsindikatoren erzeugt wurde, die in einem zweiten Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten enthalten sind; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf einer Bestimmung, dass der erste Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten von einer größeren Anzahl der einen oder mehreren Netzwerk-Threat Intelligence-Anbietern empfangen wurde als der zweite Teil der Vielzahl von Netzwerk-Threat Intelligence-Berichten.
- 25. Verfahren nach Beispiel 22, wobei:
- das Empfangen der Vielzahl von Paketfilterregeln das Empfangen der Vielzahl von Paketfilterregeln von einer oder mehreren Rechenvorrichtungen umfasst, die Paketfilterregeln für eine Vielzahl von verschiedenen Paketfiltervorrichtungen bereitstellen;
- eine erste Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer ersten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht;
- eine zweite Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen einer zweiten Paketfilterregel aus der Vielzahl der Paketfilterregeln entspricht; und
- das Bestimmen der Reihenfolge das Bestimmen einer Reihenfolge der ersten Netzwerkbedrohung bezüglich der zweiten Netzwerkbedrohung umfasst, basierend auf Daten, die von der einen oder den mehreren Rechenvorrichtungen empfangen werden, die eine Anzahl der Vielzahl von verschiedenen Paketfiltervorrichtungen anzeigen, die einen Operator der ersten Paketfilterregel neukonfiguriert haben, um Pakete, die den durch die erste Paketfilterregel
- festgelegten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele fortfahren zu hindern.
- 26. Verfahren nach Beispiel 1, wobei die Vielzahl von Paketen einen ersten Teil von Paketen und einen zweiten Teil von Paketen umfasst, wobei jedes Paket in dem ersten Teil von Paketen einem oder mehreren bestimmten Kriterien entspricht, die durch eine bestimmte Paketfilterregel der Vielzahl von Paketfilterregeln festgelegt sind, die einem oder mehreren bestimmten Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, und jedes Paket in dem zweiten Teil von Paketen dem einen oder mehreren bestimmten Kriterien entspricht, wobei das Verfahren umfasst:
- Anwenden, durch die Paketfiltervorrichtung und auf jedes Paket in dem ersten Teil der Pakete,
- eines Operators, der durch die bestimmte Paketfilterregel festgelegt ist und so konfiguriert ist,
- dass er die Paketfiltervorrichtung veranlasst, die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
- Zulassen der Weiterleitung jedes Paket im ersten Teil der Pakete in Richtung seines Ziels durch die Paketfiltervorrichtung; und
- nach dem Zulassen der Weiterleitung jedes Paket im ersten Teil der Pakete in Richtung seines Ziels:
- Neukonfigurieren des durch die bestimmte Paketfilterregel festgelegten Operators, um die Paketfiltervorrichtung zu veranlassen, Pakete, die dem einen oder mehreren bestimmten Kriterien entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele zu hindern;
- Anwenden des durch die bestimmte Paketfilterregel festgelegten Operators durch die Paketfiltervorrichtung auf jedes Paket im zweiten Teil der Pakete; und
- Verhindern, durch die Paketfiltervorrichtung, der Weiterleitung jedes Pakets im zweiten Teil der Pakete in Richtung seines Ziels.
- 27. Verfahren nach Beispiel 26, wobei das Neukonfigurieren des Operators das Neukonfigurieren des Operators in Reaktion auf den Empfang einer Anweisung von der Benutzereinrichtung umfasst.
- 28. Verfahren nach Beispiel 27, wobei:
- jeder der mehreren Netzwerkbedrohungsindikatoren wenigstens einer Netzwerkbedrohung aus einer Vielzahl von Netzwerkbedrohungen entspricht;
- jede der mehreren Paketfilterregeln einer unterschiedlichen Netzwerkbedrohung aus der Vielzahl der Netzwerkbedrohungen entspricht;
- die bestimmte Paketfilterregel einer bestimmten Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht;
- die Schnittstelle aus einer Vielzahl von unterschiedlichen Teilen besteht;
- jeder Teil der Vielzahl unterschiedlicher Teile einer unterschiedlichen Paketfilterregel der Vielzahl von Paketfilterregeln und einer unterschiedlichen Netzwerkbedrohung der Vielzahl von Netzwerkbedrohungen entspricht; und
- das Empfangen der Anweisung das Empfangen einer Anweisung umfasst, die von der Benutzervorrichtung in Reaktion auf das Aufrufen eines Elements der Schnittstelle, das sich in
- einem der bestimmten Paketfilterregel und der bestimmten Netzwerkbedrohung entsprechenden Teil der Vielzahl von Teilen befindet, durch einen Benutzer erzeugt wird.
- 29. Verfahren nach Beispiel 26, wobei sich die Paketfiltervorrichtung an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet, jedes Paket im ersten Teil der Pakete und jedes Paket im zweiten Teil der Pakete entweder von einem gemeinsamen Host im ersten Netzwerk empfangen wird und für einen gemeinsamen Host im zweiten Netzwerk bestimmt ist, oder von dem gemeinsamen Host im zweiten Netzwerk empfangen wird und für den gemeinsamen Host im ersten Netzwerk bestimmt ist, wobei das Verfahren umfasst:
- Erzeugen, durch die Paketfiltervorrichtung, einer oder mehrerer Paketfilterregeln, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen werden, an der Weiterleitung zu mindestens einem von einem oder mehreren anderen Hosts in dem ersten Netzwerk oder einem oder mehreren anderen Hosts in dem zweiten Netzwerk zu hindern; und
- in Reaktion auf eine vom Benutzergerät empfangene Anweisung:
- Anwenden, durch die Paketfiltervorrichtung, der einen oder mehreren Paketfilterregeln auf ein oder mehrere Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurden; und
- Verhindern, durch die Paketfiltervorrichtung, dass das eine oder die mehreren Pakete, die von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurden, in Richtung des mindestens einen des einen oder der mehreren anderen Hosts in dem ersten Netzwerk oder des einen oder der mehreren anderen Hosts in dem zweiten Netzwerk weitergeleitet werden.
- 30. Verfahren nach Beispiel 26, wobei:
- das Empfangen der Vielzahl von Paketfilterregeln das Empfangen der Vielzahl von Paketfilterregeln von einer oder mehreren Rechenvorrichtungen umfasst, die Paketfilterregeln für eine Vielzahl von verschiedenen Paketfiltervorrichtungen bereitstellen; und
- Das Neukonfigurieren des Operators das Neukonfigurieren des Operators in Reaktion auf den Empfang von Daten von dem einen oder den mehreren Rechengeräten umfasst.
- 31. Vorrichtung bzw. Einrichtung zum Filtern von Paketen, umfassend:
- mindestens einen Prozessor; und
- einen Speicher, der Befehle speichert, die bei Ausführung durch den mindestens einen Prozessor die Paketfiltervorrichtung veranlassen:
- eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
- eine Vielzahl von Paketen zu empfangen; und
- für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
- auf das Paket einen Operator anzuwenden, der durch die Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst,
- entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern,
- oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
- einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert, und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- basierend auf dem Paketprotokolleintrag Daten zu erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- die Daten an eine Benutzervorrichtung zu übertragen; und
- basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und
- dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, anzuzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 32. Ein oder mehrere nicht-flüchtige computerlesbare Medien, die Anweisungen umfassen, die, wenn sie von mindestens einem Prozessor einer Paketfiltervorrichtung bzw. Paketfiltereinrichtung ausgeführt werden, die Paketfiltervorrichtung veranlassen:
- eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltervorrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen;
- eine Vielzahl von Paketen zu empfangen; und
- für jedes Paket der Vielzahl von Paketen und in Reaktion auf eine Bestimmung, dass das Paket einem oder mehreren der durch eine Paketfilterregel der Vielzahl von Paketfilterregeln festgelegten Kriterien entspricht, die einem oder mehreren Netzwerkbedrohungsindikatoren der Vielzahl von Netzwerkbedrohungsindikatoren entsprechen:
- auf das Paket einen Operator anzuwenden, der durch die Paketfilterregel festgelegt und
- so konfiguriert ist, dass er die Paketfiltervorrichtung veranlasst, entweder das Paket an der Weiterleitung in Richtung seines Ziels zu hindern, oder die Weiterleitung des Pakets in Richtung seines Ziels zu erlauben;
- einen Paketprotokolleintrag zu erzeugen, der Informationen von der Paketfilterregel umfasst, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifiziert,
- und der angibt, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- basierend auf dem Paketprotokolleintrag Daten zu erzeugen, die angeben, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat;
- die Daten an eine Benutzervorrichtung zu übertragen; und
- basierend auf den Daten, in einer Schnittstelle, die von der Benutzervorrichtung angezeigt wird, und in einem Teil der Schnittstelle, der der Paketfilterregel und dem einen oder den mehreren Netzwerkbedrohungsindikatoren entspricht, anzuzeigen, ob die Paketfiltervorrichtung das Paket an der Weiterleitung in Richtung seines Ziels gehindert hat oder dem Paket die Weiterleitung in Richtung seines Ziels erlaubt hat.
- 33. Verfahren nach Beispiel 1, wobei das Anwenden des Operators das Anwenden eines Operators umfasst, der auf der Grundlage eines oder mehrerer Scores bestimmt wird, die mit dem einen oder den mehreren Netzwerkbedrohungsindikatoren verbunden sind.
- 34. Verfahren nach Beispiel 33 umfassend das Bestimmen des einen oder der mehreren Scores auf der Grundlage von Daten, die von einem oder mehreren Netzwerk-Threat Intelligence-Anbietern empfangen werden.
- 35. Verfahren nach Beispiel 34, wobei das Bestimmen des einen oder der mehreren Scores umfasst:
- Bestimmen eines Netzwerk-Threat Intelligence-Anbieters des einen oder der mehreren Netzwerk-Threat Intelligence-Anbieter, von dem ein Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren empfangen wurde; und
- Bestimmen eines Scores für den Netzwerkbedrohungsindikator basierend auf dem Netzwerk-Threat Intelligence-Anbieter.
- 36. Verfahren nach Beispiel 34, wobei die Bestimmung des einen oder der mehreren Scores umfasst:
- Bestimmen einer Anzahl von Netzwerk-Threat Intelligence-Anbietern des einen oder der mehreren Netzwerk-Threat Intelligence-Anbietern, von denen ein Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren empfangen wurde; und
- Bestimmen eines Scores für den Netzwerkbedrohungsindikator basierend auf der Anzahl von Netzwerk-Threat Intelligence-Anbietern.
- 37. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einer Anzahl der Vielzahl von Paketen, die dem einen oder den mehreren Kriterien entsprechen.
- 38. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem oder mehreren Zeitpunkten, zu denen ein oder mehrere Pakete der Vielzahl von Paketen, die dem einen oder den mehreren Kriterien entsprechen, von der Paketfiltervorrichtung empfangen wurden.
- 39. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem Zeitpunkt, zu dem ein Paket der Vielzahl von Paketen, das dem einen oder den mehreren Kriterien entspricht, zuletzt von der Paketfiltervorrichtung empfangen wurde.
- 40. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores basierend auf einem Ziel eines Pakets der Vielzahl von Paketen, das dem einen oder den mehreren Kriterien entspricht.
- 41. Verfahren nach Beispiel 33, umfassend das Bestimmen des einen oder der mehreren Scores auf der Grundlage von mindestens einer Art von Bedrohung, die mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist, geografischen Informationen, die mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden sind, einem anonymen Proxy, der mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist, oder einem Actor, der mit einem Netzwerkbedrohungsindikator des einen oder der mehreren Netzwerkbedrohungsindikatoren verbunden ist.
- 42. Verfahren nach Beispiel 33, umfassend das Anzeigen des einen oder der mehreren Scores in der von der Benutzervorrichtung angezeigten Schnittstelle.
- 43. Verfahren nach Beispiel 33, umfassend das Anzeigen einer auf Grundlage der ein oder mehreren Scores bestimmten Reihenfolge der mehreren Paketfilterregeln in der von der Benutzervorrichtung angezeigten Schnittstelle.
Claims (13)
- Paketfiltereinrichtung umfassend: einen oder mehrere Prozessoren; und einen Speicher, der Anweisungen speichert, die, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung dazu veranlassen: von einer Regelbereitstellungsvorrichtung eine Vielzahl von Paketfilterregeln zu empfangen, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Paketfilterregeln von der Regelbereitstellungsvorrichtung auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden, und wobei die Vielzahl von Netzwerkbedrohungsindikatoren einzelne Internet-Hostadressen oder Namen umfassen; in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein erstes Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren, die durch die erste Paketfilterregel festgelegt sind: auf das erste Paket einen Operator anzuwenden, der durch die erste Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltereinrichtung veranlasst, dem ersten Paket eine Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und Daten an die Regelbereitstellungsvorrichtung zu übertragen, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; von der Regelbereitstellungsvorrichtung eine Aktualisierung von mindestens einer Paketfilterregel zu empfangen; die erste Paketfilterregel basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel zu modifizieren, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein zweites Paket die modifizierte erste Paketfilterregel erfüllt: basierend auf mindestens einem Operator, der durch die modifizierte erste Paketfilterregel festgelegt ist, zu verhindern, dass das zweite Paket in Richtung eines Ziels des zweiten Pakets weitergeleitet wird; und an die Regelbereitstellungsvorrichtung Daten zu übertragen, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
- Paketfiltereinrichtung nach
Anspruch 1 , wobei die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen: die Anzeige von zweiten Daten, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren, in einer Schnittstelle zu veranlassen. - Paketfiltereinrichtung nach
Anspruch 2 , wobei die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das erste Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das erste Paket von einem gemeinsamen Host in dem ersten Netzwerk empfangen wurde; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das zweite Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets zu erlauben, indem sie dem ersten Paket die Weiterleitung in Richtung des gemeinsamen Hosts in dem zweiten Netzwerk erlaubt; und die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, das zweite Paket an der Weiterleitung in Richtung des Ziels des ersten Pakets zu hindern, indem sie das zweite Paket an der Weiterleitung in Richtung des gemeinsamen Hosts in dem zweiten Netzwerk hindert. - Paketfiltereinrichtung nach
Anspruch 2 , wobei: die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; das erste Paket für einen ersten Host in dem zweiten Netzwerk bestimmt ist; das zweite Paket für einen zweiten Host in dem zweiten Netzwerk bestimmt ist; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das erste Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das erste Paket von einem gemeinsamen Host empfangen wurde; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das zweite Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das zweite Paket von dem gemeinsamen Host empfangen wurde; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets zu erlauben, indem sie dem ersten Paket die Weiterleitung in Richtung des ersten Hosts erlaubt; und die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, das zweite Paket daran zu hindern, in Richtung des Ziels des zweiten Pakets fortzufahren, indem sie das zweite Paket daran hindern, in Richtung des zweiten Hosts fortzufahren. - Paketfiltereinrichtung nach
Anspruch 2 , wobei: die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; das erste Paket von einem ersten Host in dem zweiten Netzwerk empfangen wird; das zweite Paket von einem zweiten Host in dem zweiten Netzwerk empfangen wird; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das erste Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das erste Paket für einen gemeinsamen Host bestimmt ist; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, zu bestimmen, dass das zweite Paket die erste Paketfilterregel erfüllt, indem bestimmt wird, dass das zweite Paket für den gemeinsamen Host bestimmt ist; die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets zu erlauben, indem sie dem ersten Paket die Weiterleitung in Richtung des gemeinsamen Hosts erlaubt; und die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen, das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets zu hindern, indem sie das zweite Paket an der Weiterleitung in Richtung des gemeinsamen Hosts hindert. - Paketfiltereinrichtung nach
Anspruch 1 , wobei die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen: auf der Grundlage eines Paketprotokolleintrags ein Paketflussprotokoll zu aktualisieren, um die Bestimmung anzuzeigen und um anzuzeigen, ob die Paketfiltereinrichtung ein Paket der Vielzahl von Paketen an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat. - Paketfiltereinrichtung nach
Anspruch 6 , wobei die Anweisungen, wenn sie von dem einen oder den mehreren Prozessoren ausgeführt werden, die Paketfiltereinrichtung veranlassen: einen ersten Abschnitt von Paketen und einen zweiten Abschnitt von Paketen zu empfangen; und für jedes Paket in dem ersten Teil der Pakete: einen Paketprotokolleintrag zu erzeugen, der anzeigt, ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat; und basierend auf dem Paketprotokolleintrag einen Flussprotokolleintrag zu erzeugen, der anzeigt, ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung des Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat; und für jedes Paket in dem zweiten Teil der Pakete: einen Paketprotokolleintrag zu erzeugen, der anzeigt, ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung des Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat; und basierend auf dem Paketprotokolleintrag einen bestehenden, dem Paket entsprechenden Flussprotokolleintrag zu modifizieren, um wiederzugeben, ob die Paketfiltereinrichtung das Paket an der Weiterleitung in Richtung des Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat. - Nichtflüchtiges computerlesbares Medium, das Anweisungen speichert, die, wenn sie ausgeführt werden, bewirken: Empfangen, durch eine Paketfiltereinrichtung und von einer Regelbereitstellungsvorrichtung, einer Vielzahl von Paketfilterregeln, die so konfiguriert sind, dass sie die Paketfiltereinrichtung veranlassen, Pakete zu identifizieren, die mindestens einem aus einer Vielzahl von Netzwerkbedrohungsindikatoren entsprechen, wobei die Vielzahl von Paketfilterregeln von der Regelbereitstellungsvorrichtung auf der Grundlage von Netzwerk-Threat Intelligence-Berichten erzeugt wurden, die von einem oder mehreren unabhängigen Netzwerk-Threat Intelligence-Anbietern bereitgestellt werden, und wobei die Vielzahl von Netzwerkbedrohungsindikatoren einzelne Internet-Hostadressen oder Namen umfassen; in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein erstes Paket eine erste Paketfilterregel der Vielzahl von Paketfilterregeln erfüllt, basierend auf einem oder mehreren Netzwerkbedrohungsindikatoren, die durch die erste Paketfilterregel festgelegt sind: Anwenden, auf das erste Paket, eines Operators, der durch die erste Paketfilterregel festgelegt und so konfiguriert ist, dass er die Paketfiltereinrichtung veranlasst, dem ersten Paket eine Weiterleitung in Richtung eines Ziels des ersten Pakets zu erlauben; und Übertragen von Daten an die Regelbereitstellungsvorrichtung, die anzeigen, dass dem ersten Paket die Weiterleitung in Richtung des Ziels des ersten Pakets erlaubt wurde; Empfangen, von der Regelbereitstellungsvorrichtung, einer Aktualisierung von mindestens einer Paketfilterregel; Modifizieren, durch die Paketfiltereinrichtung und basierend auf der empfangenen Aktualisierung der mindestens einen Paketfilterregel, der ersten Paketfilterregel, um die Paketfiltereinrichtung neu zu konfigurieren, so dass Pakete, die dem einen oder den mehreren Netzwerkbedrohungsindikatoren entsprechen, an der Weiterleitung in Richtung ihrer jeweiligen Ziele gehindert werden; und in Reaktion auf eine Bestimmung durch die Paketfiltereinrichtung, dass ein zweites Paket die modifizierte erste Paketfilterregel erfüllt: Verhindern, durch die Paketfiltereinrichtung und basierend auf mindestens einem Operator, der durch die modifizierte erste Paketfilterregel festgelegt ist, dass das zweite Paket in Richtung eines Ziels des zweiten Pakets weitergeleitet wird; und Übertragen, durch die Paketfiltereinrichtung und an die Regelbereitstellungsvorrichtung, von Daten, die anzeigen, dass das zweite Paket an der Weiterleitung in Richtung des Ziels des zweiten Pakets gehindert wurde.
- Computerlesbares Medium nach
Anspruch 8 , wobei die Anweisungen, wenn sie ausgeführt werden, ferner bewirken: Veranlassen der Anzeige, in einer Schnittstelle, von zweiten Daten, die den einen oder die mehreren Netzwerkbedrohungsindikatoren identifizieren. - Computerlesbares Medium nach
Anspruch 9 , wobei: die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das erste Paket von einem gemeinsamen Host in dem ersten Netzwerk empfangen wurde; die Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host in dem ersten Netzwerk empfangen wurde; das Erlauben der Weiterleitung des ersten Pakets in Richtung des Ziels des ersten Pakets das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts in dem zweiten Netzwerk umfasst; und das Verhindern der Weiterleitung des zweiten Pakets in Richtung des Ziels des ersten Pakets das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts in dem zweiten Netzwerk umfasst. - Computerlesbares Medium nach
Anspruch 9 , wobei: die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; das erste Paket für einen ersten Host in dem zweiten Netzwerk bestimmt ist; das zweite Paket für einen zweiten Host in dem zweiten Netzwerk bestimmt ist; die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das erste Paket von einem gemeinsamen Host empfangen wurde; die Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das zweite Paket von dem gemeinsamen Host empfangen wurde; das Erlauben der Weiterleitung des ersten Pakets in Richtung des Ziels des ersten Pakets das Erlauben der Weiterleitung des ersten Pakets in Richtung des ersten Hosts umfasst; und das Verhindern der Weiterleitung des zweiten Pakets in Richtung des Ziels des zweiten Pakets das Verhindern der Weiterleitung des zweiten Pakets in Richtung des zweiten Hosts umfasst. - Computerlesbares Medium nach
Anspruch 9 , wobei: die Paketfiltereinrichtung sich an einer Grenze zwischen einem ersten Netzwerk und einem zweiten Netzwerk befindet; das erste Paket von einem ersten Host in dem zweiten Netzwerk empfangen wird; das zweite Paket von einem zweiten Host in dem zweiten Netzwerk empfangen wird; die Bestimmung, dass das erste Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das erste Paket für einen gemeinsamen Host bestimmt ist; die Bestimmung, dass das zweite Paket die erste Paketfilterregel erfüllt, eine Bestimmung umfasst, dass das zweite Paket für den gemeinsamen Host bestimmt ist; das Erlauben der Weiterleitung des ersten Pakets in Richtung des Ziels des ersten Pakets das Erlauben der Weiterleitung des ersten Pakets in Richtung des gemeinsamen Hosts umfasst; und das Verhindern der Weiterleitung des zweiten Pakets in Richtung des Ziels des zweiten Pakets das Verhindern der Weiterleitung des zweiten Pakets in Richtung des gemeinsamen Hosts umfasst. - Computerlesbares Medium nach
Anspruch 8 , wobei die Anweisungen, wenn sie ausgeführt werden, ferner bewirken: Aktualisieren, auf der Grundlage eines Paketprotokolleintrags, eines Paketflussprotokolls, um die Bestimmung anzuzeigen und um anzuzeigen, ob die Paketfiltereinrichtung ein Paket der Vielzahl von Paketen an der Weiterleitung in Richtung eines Ziels des Pakets gehindert hat oder die Weiterleitung des Pakets in Richtung des Ziels des Pakets erlaubt hat.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/690,302 | 2015-04-17 | ||
US14/690,302 US9866576B2 (en) | 2015-04-17 | 2015-04-17 | Rule-based network-threat detection |
Publications (1)
Publication Number | Publication Date |
---|---|
DE202016009028U1 true DE202016009028U1 (de) | 2021-07-22 |
Family
ID=55863202
Family Applications (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202016009026.8U Active DE202016009026U1 (de) | 2015-04-17 | 2016-04-07 | Regelbasierte Netzwerkbedrohungsdetektion |
DE202016009029.2U Active DE202016009029U1 (de) | 2015-04-17 | 2016-04-07 | Regelbasierte Netzwerkbedrohungsdetektion |
DE202016009028.4U Active DE202016009028U1 (de) | 2015-04-17 | 2016-04-07 | Regelbasierte Netzwerkbedrohungsdetektion |
Family Applications Before (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE202016009026.8U Active DE202016009026U1 (de) | 2015-04-17 | 2016-04-07 | Regelbasierte Netzwerkbedrohungsdetektion |
DE202016009029.2U Active DE202016009029U1 (de) | 2015-04-17 | 2016-04-07 | Regelbasierte Netzwerkbedrohungsdetektion |
Country Status (6)
Country | Link |
---|---|
US (13) | US9866576B2 (de) |
EP (3) | EP3284238B1 (de) |
AU (4) | AU2016247760A1 (de) |
CA (1) | CA3021054A1 (de) |
DE (3) | DE202016009026U1 (de) |
WO (1) | WO2016168044A1 (de) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10454950B1 (en) * | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
CN108293039B (zh) * | 2015-11-17 | 2021-08-10 | 慧与发展有限责任合伙企业 | 处理网络威胁的计算设备、方法和存储介质 |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
JP6629999B2 (ja) * | 2016-04-12 | 2020-01-15 | ガードノックス・サイバー・テクノロジーズ・リミテッドGuardKnox Cyber Technologies Ltd. | セキュアロックダウンを実装するように構成された関連装置を有する特別にプログラムされたコンピューティングシステムおよびその使用方法 |
US10715552B2 (en) | 2017-04-30 | 2020-07-14 | Splunk Inc. | Enabling user definition of anomaly action rules in a network security system |
US10958674B2 (en) * | 2017-04-30 | 2021-03-23 | Splunk Inc. | User interface for defining anomaly action rules in a network security system |
US11032307B2 (en) * | 2017-04-30 | 2021-06-08 | Splunk Inc. | User interface for defining custom threat rules in a network security system |
US10904289B2 (en) * | 2017-04-30 | 2021-01-26 | Splunk Inc. | Enabling user definition of custom threat rules in a network security system |
CN108173676A (zh) * | 2017-12-13 | 2018-06-15 | 浙江工商职业技术学院 | 一种数据智能过滤方法 |
JP7059726B2 (ja) * | 2018-03-19 | 2022-04-26 | 株式会社リコー | 通信システム、通信制御装置、通信制御方法及び通信制御プログラム |
US10931661B2 (en) | 2019-03-05 | 2021-02-23 | Centripetal Networks | Methods and systems for certificate filtering |
US11290491B2 (en) | 2019-03-14 | 2022-03-29 | Oracle International Corporation | Methods, systems, and computer readable media for utilizing a security service engine to assess security vulnerabilities on a security gateway element |
US11165809B2 (en) * | 2019-07-15 | 2021-11-02 | Barak TAWILY | Systems methods and computer storage media for detection of potential cyber security vulnerabilities in computer networks by premediated exterior intrusion through log-based pre-mapped entrance points |
CN110493266B (zh) * | 2019-09-19 | 2021-09-10 | 中国联合网络通信集团有限公司 | 一种网络安全防护方法及系统 |
US11483351B2 (en) * | 2020-08-26 | 2022-10-25 | Cisco Technology, Inc. | Securing network resources from known threats |
US11362996B2 (en) * | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11895128B2 (en) | 2021-01-15 | 2024-02-06 | Bank Of America Corporation | Artificial intelligence vulnerability collation |
US11757904B2 (en) | 2021-01-15 | 2023-09-12 | Bank Of America Corporation | Artificial intelligence reverse vendor collation |
US11683335B2 (en) * | 2021-01-15 | 2023-06-20 | Bank Of America Corporation | Artificial intelligence vendor similarity collation |
US11733367B1 (en) * | 2021-04-14 | 2023-08-22 | Bae Systems Information And Electronic Systems Integration Inc. | Chromatic correlation interferometry direction finding |
WO2022225951A1 (en) * | 2021-04-20 | 2022-10-27 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
JP2024516609A (ja) * | 2021-04-20 | 2024-04-16 | セントリペタル ネットワークス,エルエルシー | ネットワーク保護のための効率的な脅威コンテキスト認識パケットフィルタリングのための方法およびシステム |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
US20230224275A1 (en) * | 2022-01-12 | 2023-07-13 | Bank Of America Corporation | Preemptive threat detection for an information system |
WO2024136924A2 (en) | 2022-07-25 | 2024-06-27 | Centripetal Networks, Llc | Systems and methods for cyber threat detection based on new and/or updated cyber threat intelligence |
CN116886453B (zh) * | 2023-09-08 | 2023-11-24 | 湖北华中电力科技开发有限责任公司 | 一种网络流量大数据分析方法 |
Family Cites Families (398)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3042167A (en) | 1959-02-23 | 1962-07-03 | Rolls Royce | Friction clutches |
US3042149A (en) | 1961-06-01 | 1962-07-03 | Allis Chalmers Mfg Co | Lift truck mast pulldown cylinder assembly |
US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
US6453345B2 (en) | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6098172A (en) | 1997-09-12 | 2000-08-01 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with proxy reflection |
US7143438B1 (en) * | 1997-09-12 | 2006-11-28 | Lucent Technologies Inc. | Methods and apparatus for a computer network firewall with multiple domain support |
US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6317837B1 (en) | 1998-09-01 | 2001-11-13 | Applianceware, Llc | Internal network node with dedicated firewall |
US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
GB9903974D0 (en) | 1998-11-04 | 1999-04-14 | Choudhary Prajendra P | Needle assembly |
US20010039624A1 (en) | 1998-11-24 | 2001-11-08 | Kellum Charles W. | Processes systems and networks for secured information exchange using computer hardware |
CA2287689C (en) * | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
US6226372B1 (en) | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US6611875B1 (en) | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
US6615357B1 (en) | 1999-01-29 | 2003-09-02 | International Business Machines Corporation | System and method for network address translation integration with IP security |
US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
JP2000332817A (ja) | 1999-05-18 | 2000-11-30 | Fujitsu Ltd | パケット処理装置 |
ATE326801T1 (de) | 1999-06-10 | 2006-06-15 | Alcatel Internetworking Inc | Virtuelles privates netzwerk mit automatischer aktualisierung von benutzererreichbarkeitsinformation |
US7051365B1 (en) | 1999-06-30 | 2006-05-23 | At&T Corp. | Method and apparatus for a distributed firewall |
US6971028B1 (en) | 1999-08-30 | 2005-11-29 | Symantec Corporation | System and method for tracking the source of a computer attack |
EP1107140A3 (de) | 1999-11-30 | 2004-01-28 | Hitachi, Ltd. | Verfahren zur Unterstützung des Entwurfs von Sicherheitssystemen |
US6922417B2 (en) | 2000-01-28 | 2005-07-26 | Compuware Corporation | Method and system to calculate network latency, and to display the same field of the invention |
US7215637B1 (en) | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
US7058976B1 (en) * | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US6981158B1 (en) * | 2000-06-19 | 2005-12-27 | Bbnt Solutions Llc | Method and apparatus for tracing packets |
US7032031B2 (en) * | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
US8204082B2 (en) | 2000-06-23 | 2012-06-19 | Cloudshield Technologies, Inc. | Transparent provisioning of services over a network |
US6907470B2 (en) | 2000-06-29 | 2005-06-14 | Hitachi, Ltd. | Communication apparatus for routing or discarding a packet sent from a user terminal |
US20020164962A1 (en) | 2000-07-18 | 2002-11-07 | Mankins Matt W. D. | Apparatuses, methods, and computer programs for displaying information on mobile units, with reporting by, and control of, such units |
US7152240B1 (en) | 2000-07-25 | 2006-12-19 | Green Stuart D | Method for communication security and apparatus therefor |
US20020015387A1 (en) | 2000-08-02 | 2002-02-07 | Henry Houh | Voice traffic packet capture and analysis tool for a data network |
US6834342B2 (en) | 2000-08-16 | 2004-12-21 | Eecad, Inc. | Method and system for secure communication over unstable public connections |
US6662235B1 (en) | 2000-08-24 | 2003-12-09 | International Business Machines Corporation | Methods systems and computer program products for processing complex policy rules based on rule form type |
US7302705B1 (en) * | 2000-08-30 | 2007-11-27 | International Business Machines Corporation | Method and apparatus for tracing a denial-of-service attack back to its source |
US20020038339A1 (en) | 2000-09-08 | 2002-03-28 | Wei Xu | Systems and methods for packet distribution |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US20110214157A1 (en) | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7129825B2 (en) | 2000-09-26 | 2006-10-31 | Caterpillar Inc. | Action recommendation system for a mobile vehicle |
US20060212572A1 (en) | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
US7657628B1 (en) | 2000-11-28 | 2010-02-02 | Verizon Business Global Llc | External processor for a distributed network access system |
US7046680B1 (en) | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
WO2002045380A2 (en) | 2000-11-30 | 2002-06-06 | Lancope, Inc. | Flow-based detection of network intrusions |
US7095741B1 (en) | 2000-12-20 | 2006-08-22 | Cisco Technology, Inc. | Port isolation for restricting traffic flow on layer 2 switches |
US20030051026A1 (en) * | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7061874B2 (en) | 2001-01-26 | 2006-06-13 | Broadcom Corporation | Method, system and computer program product for classifying packet flows with a bit mask |
FI20010256A0 (fi) * | 2001-02-12 | 2001-02-12 | Stonesoft Oy | Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä |
EP1371242A1 (de) | 2001-03-14 | 2003-12-17 | Nokia Corporation | Verfahren zur aktivierung einer verbindung in einem kommunikationssystem, mobilstation, netzwerkelement und paketfilter |
US7095716B1 (en) | 2001-03-30 | 2006-08-22 | Juniper Networks, Inc. | Internet security device and method |
US20020186683A1 (en) | 2001-04-02 | 2002-12-12 | Alan Buck | Firewall gateway for voice over internet telephony communications |
AUPR435501A0 (en) * | 2001-04-11 | 2001-05-17 | Firebridge Systems Pty Ltd | Network security system |
KR100398281B1 (ko) | 2001-04-17 | 2003-09-19 | 시큐아이닷컴 주식회사 | 패킷 차단방식 방화벽 시스템에서의 고속 정책 판별 방법 |
US7227842B1 (en) | 2001-04-24 | 2007-06-05 | Tensilica, Inc. | Fast IP packet classification with configurable processor |
EP1410210A4 (de) * | 2001-06-11 | 2005-12-14 | Bluefire Security Technology I | Paketfilterungssystem und verfahren |
US6947983B2 (en) | 2001-06-22 | 2005-09-20 | International Business Machines Corporation | Method and system for exploiting likelihood in filter rule enforcement |
US7315892B2 (en) | 2001-06-27 | 2008-01-01 | International Business Machines Corporation | In-kernel content-aware service differentiation |
US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
KR20010079361A (ko) | 2001-07-09 | 2001-08-22 | 김상욱 | 네트워크 상태 기반의 방화벽 장치 및 그 방법 |
US7207062B2 (en) | 2001-08-16 | 2007-04-17 | Lucent Technologies Inc | Method and apparatus for protecting web sites from distributed denial-of-service attacks |
US7331061B1 (en) | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
US7386525B2 (en) | 2001-09-21 | 2008-06-10 | Stonesoft Corporation | Data packet filtering |
US7370358B2 (en) | 2001-09-28 | 2008-05-06 | British Telecommunications Public Limited Company | Agent-based intrusion detection system |
US7389537B1 (en) * | 2001-10-09 | 2008-06-17 | Juniper Networks, Inc. | Rate limiting data traffic in a network |
US7159109B2 (en) | 2001-11-07 | 2007-01-02 | Intel Corporation | Method and apparatus to manage address translation for secure connections |
US7325248B2 (en) | 2001-11-19 | 2008-01-29 | Stonesoft Corporation | Personal firewall with location dependent functionality |
FI20012338A0 (fi) | 2001-11-29 | 2001-11-29 | Stonesoft Corp | Palomuuri tunneloitujen datapakettien suodattamiseksi |
US7150043B2 (en) | 2001-12-12 | 2006-12-12 | International Business Machines Corporation | Intrusion detection method and signature table |
US20030123456A1 (en) | 2001-12-28 | 2003-07-03 | Denz Peter R. | Methods and system for data packet filtering using tree-like hierarchy |
US7222366B2 (en) | 2002-01-28 | 2007-05-22 | International Business Machines Corporation | Intrusion event filtering |
US7161942B2 (en) | 2002-01-31 | 2007-01-09 | Telcordia Technologies, Inc. | Method for distributing and conditioning traffic for mobile networks based on differentiated services |
JP3797937B2 (ja) | 2002-02-04 | 2006-07-19 | 株式会社日立製作所 | ネットワーク接続システム、ネットワーク接続方法、および、それらに用いられるネットワーク接続装置 |
TWI246285B (en) | 2002-02-08 | 2005-12-21 | Matsushita Electric Ind Co Ltd | Gateway apparatus and its controlling method |
US7237258B1 (en) | 2002-02-08 | 2007-06-26 | Mcafee, Inc. | System, method and computer program product for a firewall summary interface |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
US7185365B2 (en) | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
US7107613B1 (en) | 2002-03-27 | 2006-09-12 | Cisco Technology, Inc. | Method and apparatus for reducing the number of tunnels used to implement a security policy on a network |
AU2003228541A1 (en) * | 2002-04-15 | 2003-11-03 | Core Sdi, Incorporated | Secure auditing of information systems |
GB2387681A (en) | 2002-04-18 | 2003-10-22 | Isis Innovation | Intrusion detection system with inductive logic means for suggesting new general rules |
AUPS214802A0 (en) * | 2002-05-01 | 2002-06-06 | Firebridge Systems Pty Ltd | Firewall with stateful inspection |
US20030212900A1 (en) | 2002-05-13 | 2003-11-13 | Hsin-Yuo Liu | Packet classifying network services |
AU2003238901A1 (en) | 2002-06-07 | 2003-12-22 | Bellsouth Intellectual Property Corporation | Sytems and methods for establishing electronic conferencing over a distributed network |
TWI244297B (en) | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
US7441262B2 (en) | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
US7752665B1 (en) * | 2002-07-12 | 2010-07-06 | TCS Commercial, Inc. | Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory |
US20040015719A1 (en) | 2002-07-16 | 2004-01-22 | Dae-Hyung Lee | Intelligent security engine and intelligent and integrated security system using the same |
US7684400B2 (en) | 2002-08-08 | 2010-03-23 | Intel Corporation | Logarithmic time range-based multifield-correlation packet classification |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US7263099B1 (en) | 2002-08-14 | 2007-08-28 | Juniper Networks, Inc. | Multicast packet replication |
JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
FR2844415B1 (fr) | 2002-09-05 | 2005-02-11 | At & T Corp | Systeme pare-feu pour interconnecter deux reseaux ip geres par deux entites administratives differentes |
US8819285B1 (en) * | 2002-10-01 | 2014-08-26 | Trustwave Holdings, Inc. | System and method for managing network communications |
JP2006501551A (ja) | 2002-10-02 | 2006-01-12 | ライナー、リチャード | コンピュータアプリケーションスクリーニング用のルール作成; |
US7313141B2 (en) | 2002-10-09 | 2007-12-25 | Alcatel Lucent | Packet sequence number network monitoring system |
US7574738B2 (en) | 2002-11-06 | 2009-08-11 | At&T Intellectual Property Ii, L.P. | Virtual private network crossovers based on certificates |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7296288B1 (en) * | 2002-11-15 | 2007-11-13 | Packeteer, Inc. | Methods, apparatuses, and systems allowing for bandwidth management schemes responsive to utilization characteristics associated with individual users |
US20040098511A1 (en) | 2002-11-16 | 2004-05-20 | Lin David H. | Packet routing method and system that routes packets to one of at least two processes based on at least one routing rule |
US7366174B2 (en) | 2002-12-17 | 2008-04-29 | Lucent Technologies Inc. | Adaptive classification of network traffic |
US7050394B2 (en) | 2002-12-18 | 2006-05-23 | Intel Corporation | Framer |
US20050125697A1 (en) | 2002-12-27 | 2005-06-09 | Fujitsu Limited | Device for checking firewall policy |
US7913303B1 (en) * | 2003-01-21 | 2011-03-22 | International Business Machines Corporation | Method and system for dynamically protecting a computer system from attack |
US20040148520A1 (en) | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US20040177139A1 (en) | 2003-03-03 | 2004-09-09 | Schuba Christoph L. | Method and apparatus for computing priorities between conflicting rules for network services |
JP4517578B2 (ja) * | 2003-03-11 | 2010-08-04 | 株式会社日立製作所 | ピアツーピア通信装置および通信方法 |
US7539186B2 (en) | 2003-03-31 | 2009-05-26 | Motorola, Inc. | Packet filtering for emergency service access in a packet data network communication system |
US7441036B2 (en) | 2003-04-01 | 2008-10-21 | International Business Machines Corporation | Method and system for a debugging utility based on a TCP tunnel |
US7293238B1 (en) * | 2003-04-04 | 2007-11-06 | Raytheon Company | Graphical user interface for an enterprise intrusion detection system |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US7308711B2 (en) | 2003-06-06 | 2007-12-11 | Microsoft Corporation | Method and framework for integrating a plurality of network policies |
US7509673B2 (en) | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US7710885B2 (en) | 2003-08-29 | 2010-05-04 | Agilent Technologies, Inc. | Routing monitoring |
KR100502068B1 (ko) * | 2003-09-29 | 2005-07-25 | 한국전자통신연구원 | 네트워크 노드의 보안 엔진 관리 장치 및 방법 |
KR100558658B1 (ko) | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
US20050108557A1 (en) | 2003-10-11 | 2005-05-19 | Kayo David G. | Systems and methods for detecting and preventing unauthorized access to networked devices |
US7237267B2 (en) | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
US7672318B2 (en) | 2003-11-06 | 2010-03-02 | Telefonaktiebolaget L M Ericsson (Publ) | Adaptable network bridge |
US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US20050183140A1 (en) | 2003-11-20 | 2005-08-18 | Goddard Stephen M. | Hierarchical firewall load balancing and L4/L7 dispatching |
US7389532B2 (en) | 2003-11-26 | 2008-06-17 | Microsoft Corporation | Method for indexing a plurality of policy filters |
US7756008B2 (en) | 2003-12-19 | 2010-07-13 | At&T Intellectual Property Ii, L.P. | Routing protocols with predicted outrage notification |
US7523314B2 (en) | 2003-12-22 | 2009-04-21 | Voltage Security, Inc. | Identity-based-encryption message management system |
US20050141537A1 (en) | 2003-12-29 | 2005-06-30 | Intel Corporation A Delaware Corporation | Auto-learning of MAC addresses and lexicographic lookup of hardware database |
US7436770B2 (en) * | 2004-01-21 | 2008-10-14 | Alcatel Lucent | Metering packet flows for limiting effects of denial of service attacks |
US7373524B2 (en) * | 2004-02-24 | 2008-05-13 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user behavior for a server application |
US20050188080A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user access for a server application |
US20050188079A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring usage of a server application |
US7761923B2 (en) | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
US7610621B2 (en) | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US7814546B1 (en) | 2004-03-19 | 2010-10-12 | Verizon Corporate Services Group, Inc. | Method and system for integrated computer networking attack attribution |
US8031616B2 (en) | 2004-03-23 | 2011-10-04 | Level 3 Communications, Llc | Systems and methods for accessing IP transmissions |
US20050229246A1 (en) | 2004-03-31 | 2005-10-13 | Priya Rajagopal | Programmable context aware firewall with integrated intrusion detection system |
US8923292B2 (en) | 2004-04-06 | 2014-12-30 | Rockstar Consortium Us Lp | Differential forwarding in address-based carrier networks |
US20050240989A1 (en) * | 2004-04-23 | 2005-10-27 | Seoul National University Industry Foundation | Method of sharing state between stateful inspection firewalls on mep network |
US7225468B2 (en) | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
US20050249214A1 (en) * | 2004-05-07 | 2005-11-10 | Tao Peng | System and process for managing network traffic |
US20050278779A1 (en) * | 2004-05-25 | 2005-12-15 | Lucent Technologies Inc. | System and method for identifying the source of a denial-of-service attack |
JP4341517B2 (ja) | 2004-06-21 | 2009-10-07 | 日本電気株式会社 | セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム |
US8027330B2 (en) | 2004-06-23 | 2011-09-27 | Qualcomm Incorporated | Efficient classification of network packets |
US20060031928A1 (en) * | 2004-08-09 | 2006-02-09 | Conley James W | Detector and computerized method for determining an occurrence of tunneling activity |
US7549158B2 (en) * | 2004-08-31 | 2009-06-16 | Microsoft Corporation | Method and system for customizing a security policy |
US20060048142A1 (en) | 2004-09-02 | 2006-03-02 | Roese John J | System and method for rapid response network policy implementation |
US8331234B1 (en) * | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
WO2006039208A2 (en) * | 2004-09-22 | 2006-04-13 | Cyberdefender Corporation | Threat protection network |
US7478429B2 (en) | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
US7490235B2 (en) * | 2004-10-08 | 2009-02-10 | International Business Machines Corporation | Offline analysis of packets |
US20060101516A1 (en) | 2004-10-12 | 2006-05-11 | Sushanthan Sudaharan | Honeynet farms as an early warning system for production networks |
US7936682B2 (en) | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
US7509493B2 (en) | 2004-11-19 | 2009-03-24 | Microsoft Corporation | Method and system for distributing security policies |
US7496964B2 (en) | 2004-11-23 | 2009-02-24 | Bank Of America Corporation | Method and system for automated risk management of rule-based security |
JP4369351B2 (ja) | 2004-11-30 | 2009-11-18 | 株式会社日立製作所 | パケット転送装置 |
US20060129810A1 (en) * | 2004-12-14 | 2006-06-15 | Electronics And Telecommunications Research Institute | Method and apparatus for evaluating security of subscriber network |
JP2006174350A (ja) | 2004-12-20 | 2006-06-29 | Fujitsu Ltd | 通信装置 |
US8738708B2 (en) * | 2004-12-21 | 2014-05-27 | Mcafee, Inc. | Bounce management in a trusted communication network |
RU2369019C2 (ru) | 2004-12-22 | 2009-09-27 | Квэлкомм Инкорпорейтед | Эффективное обнаружение фактов ошибочной интерпретации сообщений о подтверждении приема (аск) как сообщений о неподтверждении приема (nack) |
CA2594020C (en) | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7626940B2 (en) * | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
US7607170B2 (en) | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7602731B2 (en) * | 2004-12-22 | 2009-10-13 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention with policy enforcement |
US7551567B2 (en) | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
GB2422505A (en) | 2005-01-20 | 2006-07-26 | Agilent Technologies Inc | Sampling datagrams |
US7792956B2 (en) | 2005-01-24 | 2010-09-07 | Daintree Networks, Pty. Ltd. | Network analysis system and method |
WO2006090781A1 (ja) | 2005-02-24 | 2006-08-31 | Nec Corporation | フィルタリングルール分析方法及びシステム |
US7904962B1 (en) | 2005-03-10 | 2011-03-08 | George Mason Intellectual Properties, Inc. | Network attack modeling, analysis, and response |
WO2006105093A2 (en) | 2005-03-28 | 2006-10-05 | Wake Forest University | Methods, systems, and computer program products for network firewall policy optimization |
JP4547342B2 (ja) * | 2005-04-06 | 2010-09-22 | アラクサラネットワークス株式会社 | ネットワーク制御装置と制御システム並びに制御方法 |
US20060256729A1 (en) * | 2005-05-10 | 2006-11-16 | David Chen | Method and apparatus for identifying and disabling worms in communication networks |
US20070097976A1 (en) | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US7499412B2 (en) * | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
US20080229415A1 (en) | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
KR100716620B1 (ko) * | 2005-08-17 | 2007-05-09 | 고려대학교 산학협력단 | 평행 좌표계를 이용한 네트워크 감시 장치 및 방법 |
US8296846B2 (en) | 2005-08-19 | 2012-10-23 | Cpacket Networks, Inc. | Apparatus and method for associating categorization information with network traffic to facilitate application level processing |
GB0517303D0 (en) | 2005-08-23 | 2005-10-05 | Netronome Systems Inc | System and method for processing secure transmissions |
US20070056038A1 (en) | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
JP4940464B2 (ja) | 2005-09-16 | 2012-05-30 | 独立行政法人産業技術総合研究所 | ネットワーク機器試験装置 |
US20070083924A1 (en) | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
US8027251B2 (en) | 2005-11-08 | 2011-09-27 | Verizon Services Corp. | Systems and methods for implementing protocol-aware network firewall |
US7966654B2 (en) | 2005-11-22 | 2011-06-21 | Fortinet, Inc. | Computerized system and method for policy-based content filtering |
US7716729B2 (en) | 2005-11-23 | 2010-05-11 | Genband Inc. | Method for responding to denial of service attacks at the session layer or above |
US7661136B1 (en) | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
US7832009B2 (en) | 2005-12-28 | 2010-11-09 | Foundry Networks, Llc | Techniques for preventing attacks on computer systems and networks |
US8397284B2 (en) * | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
US8116312B2 (en) | 2006-02-08 | 2012-02-14 | Solarflare Communications, Inc. | Method and apparatus for multicast packet reception |
US8559369B2 (en) | 2006-02-22 | 2013-10-15 | Elad Barkan | Wireless internet system and method |
US7898963B2 (en) | 2006-03-07 | 2011-03-01 | Cisco Technology, Inc. | Graphical representation of the flow of a packet through a network device |
JP2009530669A (ja) | 2006-03-16 | 2009-08-27 | ブルベーカー,カーチス,エム. | 移動物体上に非常に関連性の高い広告を表示することによって収入を得るためのシステム及び方法 |
US20070240208A1 (en) | 2006-04-10 | 2007-10-11 | Ming-Che Yu | Network appliance for controlling hypertext transfer protocol (HTTP) messages between a local area network and a global communications network |
US7849507B1 (en) | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
GB2437791A (en) | 2006-05-03 | 2007-11-07 | Skype Ltd | Secure communication using protocol encapsulation |
US7809827B1 (en) | 2006-05-12 | 2010-10-05 | Juniper Networks, Inc. | Network device having service card for lawful intercept and monitoring of packet flows |
US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US7966655B2 (en) | 2006-06-30 | 2011-06-21 | At&T Intellectual Property Ii, L.P. | Method and apparatus for optimizing a firewall |
US8639837B2 (en) | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
US8446874B2 (en) | 2006-08-21 | 2013-05-21 | Samsung Electronics Co., Ltd | Apparatus and method for filtering packet in a network system using mobile IP |
US8234702B2 (en) | 2006-08-29 | 2012-07-31 | Oracle International Corporation | Cross network layer correlation-based firewalls |
JP2008085470A (ja) | 2006-09-26 | 2008-04-10 | Fujitsu Ltd | Ipアプリケーションサービス提供システム |
US8385331B2 (en) * | 2006-09-29 | 2013-02-26 | Verizon Patent And Licensing Inc. | Secure and reliable policy enforcement |
US7624084B2 (en) | 2006-10-09 | 2009-11-24 | Radware, Ltd. | Method of generating anomaly pattern for HTTP flood protection |
US7768921B2 (en) * | 2006-10-30 | 2010-08-03 | Juniper Networks, Inc. | Identification of potential network threats using a distributed threshold random walk |
US8004994B1 (en) | 2006-11-01 | 2011-08-23 | Azimuth Systems, Inc. | System and method for intelligently analyzing performance of a device under test |
US7954143B2 (en) | 2006-11-13 | 2011-05-31 | At&T Intellectual Property I, Lp | Methods, network services, and computer program products for dynamically assigning users to firewall policy groups |
US7804774B2 (en) | 2006-12-01 | 2010-09-28 | Sonus Networks, Inc. | Scalable filtering and policing mechanism for protecting user traffic in a network |
US8176561B1 (en) | 2006-12-14 | 2012-05-08 | Athena Security, Inc. | Assessing network security risk using best practices |
US7835348B2 (en) | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
WO2008093320A1 (en) | 2007-01-31 | 2008-08-07 | Tufin Software Technologies Ltd. | System and method for auditing a security policy |
US7873710B2 (en) | 2007-02-06 | 2011-01-18 | 5O9, Inc. | Contextual data communication platform |
US8448234B2 (en) | 2007-02-15 | 2013-05-21 | Marvell Israel (M.I.S.L) Ltd. | Method and apparatus for deep packet inspection for network intrusion detection |
US7853998B2 (en) | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
US9083712B2 (en) * | 2007-04-04 | 2015-07-14 | Sri International | Method and apparatus for generating highly predictive blacklists |
EP2156290B1 (de) * | 2007-04-30 | 2020-03-25 | Cisco Technology, Inc. | Echtzeit-bewusstsein für ein computernetzwerk |
US8209738B2 (en) | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
US20120084866A1 (en) | 2007-06-12 | 2012-04-05 | Stolfo Salvatore J | Methods, systems, and media for measuring computer security |
US7853689B2 (en) | 2007-06-15 | 2010-12-14 | Broadcom Corporation | Multi-stage deep packet inspection for lightweight devices |
US20080320116A1 (en) | 2007-06-21 | 2008-12-25 | Christopher Briggs | Identification of endpoint devices operably coupled to a network through a network address translation router |
GB0712199D0 (en) | 2007-06-23 | 2007-08-01 | Calnex Solutions Ltd | Network tester |
US8443433B2 (en) | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
US8065721B1 (en) | 2007-08-10 | 2011-11-22 | Juniper Networks, Inc. | Merging filter rules to reduce forwarding path lookup cycles |
US20090077663A1 (en) * | 2007-09-17 | 2009-03-19 | Alcatel Lucent | Score-based intrusion prevention system |
CN101399717B (zh) | 2007-09-26 | 2014-03-12 | 上海贝尔阿尔卡特股份有限公司 | 接入网中的组播ip包发送控制方法及装置 |
US8763108B2 (en) | 2007-11-29 | 2014-06-24 | Qualcomm Incorporated | Flow classification for encrypted and tunneled packet streams |
KR100949808B1 (ko) | 2007-12-07 | 2010-03-30 | 한국전자통신연구원 | P2p 트래픽 관리 장치 및 그 방법 |
US8307029B2 (en) | 2007-12-10 | 2012-11-06 | Yahoo! Inc. | System and method for conditional delivery of messages |
US8418240B2 (en) | 2007-12-26 | 2013-04-09 | Algorithmic Security (Israel) Ltd. | Reordering a firewall rule base according to usage statistics |
KR100958250B1 (ko) | 2008-01-09 | 2010-05-17 | 한남대학교 산학협력단 | 웹 서버 보안 방법 및 이를 위한 웹 방화벽 |
US20090198707A1 (en) * | 2008-02-06 | 2009-08-06 | Electronic Data Systems Corporation | System and method for managing firewall log records |
US8561129B2 (en) | 2008-02-28 | 2013-10-15 | Mcafee, Inc | Unified network threat management with rule classification |
US9298747B2 (en) | 2008-03-20 | 2016-03-29 | Microsoft Technology Licensing, Llc | Deployable, consistent, and extensible computing environment platform |
CN101552803B (zh) * | 2008-04-03 | 2011-10-05 | 华为技术有限公司 | 网络地址转换地址映射表维护方法、媒体网关及其控制器 |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8856926B2 (en) | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US8490171B2 (en) | 2008-07-14 | 2013-07-16 | Tufin Software Technologies Ltd. | Method of configuring a security gateway and system thereof |
US8413238B1 (en) | 2008-07-21 | 2013-04-02 | Zscaler, Inc. | Monitoring darknet access to identify malicious activity |
CN102124714A (zh) | 2008-08-15 | 2011-07-13 | 爱立信电话股份有限公司 | Nat/pat的合法监听 |
US7903566B2 (en) | 2008-08-20 | 2011-03-08 | The Boeing Company | Methods and systems for anomaly detection using internet protocol (IP) traffic conversation data |
US8161155B2 (en) | 2008-09-29 | 2012-04-17 | At&T Intellectual Property I, L.P. | Filtering unwanted data traffic via a per-customer blacklist |
US8572717B2 (en) * | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US20100107240A1 (en) | 2008-10-24 | 2010-04-29 | Microsoft Corporation | Network location determination for direct access networks |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8677473B2 (en) * | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
US8272029B2 (en) | 2008-11-25 | 2012-09-18 | At&T Intellectual Property I, L.P. | Independent role based authorization in boundary interface elements |
US9258217B2 (en) * | 2008-12-16 | 2016-02-09 | At&T Intellectual Property I, L.P. | Systems and methods for rule-based anomaly detection on IP network flow |
US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
US20100199346A1 (en) | 2009-02-02 | 2010-08-05 | Telcordia Technologies, Inc. | System and method for determining symantic equivalence between access control lists |
US8321938B2 (en) | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
US8667121B2 (en) * | 2009-03-25 | 2014-03-04 | Mcafee, Inc. | System and method for managing data and policies |
US9342691B2 (en) | 2013-03-14 | 2016-05-17 | Bandura, Llc | Internet protocol threat prevention |
US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
US8769695B2 (en) | 2009-04-30 | 2014-07-01 | Bank Of America Corporation | Phish probability scoring model |
US8588422B2 (en) | 2009-05-28 | 2013-11-19 | Novell, Inc. | Key management to protect encrypted data of an endpoint computing device |
US8098677B1 (en) | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
US8495725B2 (en) | 2009-08-28 | 2013-07-23 | Great Wall Systems | Methods, systems, and computer readable media for adaptive packet filtering |
US7890627B1 (en) | 2009-09-02 | 2011-02-15 | Sophos Plc | Hierarchical statistical model of internet reputation |
US9413616B2 (en) | 2009-10-14 | 2016-08-09 | Hewlett Packard Enterprise Development Lp | Detection of network address spoofing and false positive avoidance |
EP2680619A3 (de) | 2009-10-30 | 2015-07-22 | Panasonic Intellectual Property Corporation of America | Kommunikationssystem und Vorrichtung für statusabhängige mobile Dienste |
US8271645B2 (en) | 2009-11-25 | 2012-09-18 | Citrix Systems, Inc. | Systems and methods for trace filters by association of client to vserver to services |
US8254257B2 (en) | 2009-12-11 | 2012-08-28 | At&T Intellectual Property I, Lp | System and method for location, time-of-day, and quality-of-service based prioritized access control |
US8219675B2 (en) | 2009-12-11 | 2012-07-10 | Tektronix, Inc. | System and method for correlating IP flows across network address translation firewalls |
US8689107B2 (en) | 2009-12-16 | 2014-04-01 | Tektronix, Inc. | System and method for aggregating multi-protocol flows for network monitoring |
US9154462B2 (en) | 2009-12-22 | 2015-10-06 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for managing firewall change requests in a communication network |
WO2011083670A1 (ja) | 2010-01-07 | 2011-07-14 | 日本電気株式会社 | パケット整列装置、受信装置、及びパケット整列方法 |
US8793789B2 (en) | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
US8438270B2 (en) | 2010-01-26 | 2013-05-07 | Tenable Network Security, Inc. | System and method for correlating network identities and addresses |
JP5408332B2 (ja) | 2010-03-10 | 2014-02-05 | 富士通株式会社 | 中継装置および通信プログラム |
US8549650B2 (en) * | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
EP2385676B1 (de) | 2010-05-07 | 2019-06-26 | Alcatel Lucent | Verfahren zur Anpassung von Sicherheitsrichtlinien einer Informationssysteminfrastruktur |
CN102244688B (zh) | 2010-05-11 | 2014-07-16 | 华为技术有限公司 | 一种报文转发的方法、装置及系统 |
US10187353B2 (en) | 2010-06-02 | 2019-01-22 | Symantec Corporation | Behavioral classification of network data flows |
US20110305160A1 (en) | 2010-06-14 | 2011-12-15 | G2, Inc. | System, device, and terminal for resolving an obfuscated network address of a network device within a network |
US8510821B1 (en) | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
US8688982B2 (en) | 2010-08-13 | 2014-04-01 | Bmc Software, Inc. | Monitoring based on client perspective |
US20120047571A1 (en) * | 2010-08-17 | 2012-02-23 | Richard Jeremy Duncan | Systems and methods for detecting preselected query type within a dns query |
EP2619958B1 (de) | 2010-09-24 | 2018-02-21 | Verisign, Inc. | Ip-priorisierungs- und reihungsverfahren und system zur erkennung und unterdrückung von ddos |
EP2437442B1 (de) | 2010-09-30 | 2013-02-13 | Alcatel Lucent | Vorrichtung und Verfahren zum Umschalten von Datenverkehr in einem digitalen Übertragungsnetzwerk |
US8627448B2 (en) | 2010-11-02 | 2014-01-07 | Jose Renato Santos | Selective invalidation of packet filtering results |
US20120143650A1 (en) | 2010-12-06 | 2012-06-07 | Thomas Crowley | Method and system of assessing and managing risk associated with compromised network assets |
US8806638B1 (en) | 2010-12-10 | 2014-08-12 | Symantec Corporation | Systems and methods for protecting networks from infected computing devices |
US20120174196A1 (en) | 2010-12-30 | 2012-07-05 | Suresh Bhogavilli | Active validation for ddos and ssl ddos attacks |
GB201101723D0 (en) | 2011-02-01 | 2011-03-16 | Roke Manor Research | A method and apparatus for identifier correlation |
EP2676402A4 (de) * | 2011-02-17 | 2015-06-03 | Sable Networks Inc | Verfahren und systeme zur erkennung und abschwächung eines verteilten hochfrequenz-denial-of-service (ddos)-angriffs |
US8726376B2 (en) | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
US9052898B2 (en) | 2011-03-11 | 2015-06-09 | Qualcomm Incorporated | Remote access and administration of device content, with device power optimization, using HTTP protocol |
US8261295B1 (en) | 2011-03-16 | 2012-09-04 | Google Inc. | High-level language for specifying configurations of cloud-based deployments |
IL212344A (en) | 2011-04-14 | 2015-03-31 | Verint Systems Ltd | A system and method for selectively controlling encrypted traffic |
WO2012146265A1 (en) | 2011-04-28 | 2012-11-01 | Voipfuture Gmbh | Correlation of media plane and signaling plane of media services in a packet-switched network |
WO2012160809A1 (en) | 2011-05-23 | 2012-11-29 | Nec Corporation | Communication system, control device, communication method, and program |
US8621556B1 (en) | 2011-05-25 | 2013-12-31 | Palo Alto Networks, Inc. | Dynamic resolution of fully qualified domain name (FQDN) address objects in policy definitions |
US9118702B2 (en) | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US8995360B2 (en) | 2011-06-09 | 2015-03-31 | Time Warner Cable Enterprises Llc | Techniques for prefix subnetting |
US8683573B2 (en) | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
US8949413B2 (en) | 2011-06-30 | 2015-02-03 | Juniper Networks, Inc. | Filter selection and resuse |
US9843601B2 (en) | 2011-07-06 | 2017-12-12 | Nominum, Inc. | Analyzing DNS requests for anomaly detection |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
US8955128B1 (en) | 2011-07-27 | 2015-02-10 | Francesco Trama | Systems and methods for selectively regulating network traffic |
US9256735B2 (en) | 2011-10-10 | 2016-02-09 | Masergy Communications, Inc. | Detecting emergent behavior in communications networks |
US8856936B2 (en) * | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
US9094288B1 (en) * | 2011-10-26 | 2015-07-28 | Narus, Inc. | Automated discovery, attribution, analysis, and risk assessment of security threats |
US8856922B2 (en) | 2011-11-30 | 2014-10-07 | Facebook, Inc. | Imposter account report management in a social networking system |
GB2497940B (en) | 2011-12-21 | 2016-02-17 | Eckoh Uk Ltd | Method and apparatus for mediating communications |
US8914406B1 (en) | 2012-02-01 | 2014-12-16 | Vorstack, Inc. | Scalable network security with fast response protocol |
US8930690B2 (en) | 2012-03-21 | 2015-01-06 | Microsoft Corporation | Offloading packet processing for networking device virtualization |
US9197606B2 (en) | 2012-03-28 | 2015-11-24 | Bmc Software, Inc. | Monitoring network performance of encrypted communications |
US9973473B2 (en) | 2012-03-30 | 2018-05-15 | The University Of North Carolina At Chapel Hill | Methods, systems, and computer readable media for rapid filtering of opaque data traffic |
US20130291100A1 (en) | 2012-04-30 | 2013-10-31 | Sundaram S. Ganapathy | Detection And Prevention Of Machine-To-Machine Hijacking Attacks |
US9548962B2 (en) | 2012-05-11 | 2017-01-17 | Alcatel Lucent | Apparatus and method for providing a fluid security layer |
WO2013177660A1 (en) * | 2012-05-31 | 2013-12-05 | Netsweeper Inc. | Policy service logging using graph structures |
US8789135B1 (en) | 2012-06-15 | 2014-07-22 | Google Inc. | Scalable stateful firewall design in openflow based networks |
GB201211323D0 (en) | 2012-06-26 | 2012-08-08 | Bae Systems Plc | Resolution of address translations |
US8813228B2 (en) | 2012-06-29 | 2014-08-19 | Deloitte Development Llc | Collective threat intelligence gathering system |
US8837288B2 (en) * | 2012-07-06 | 2014-09-16 | Dell Products L.P. | Flow-based network switching system |
US9392003B2 (en) * | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9386030B2 (en) | 2012-09-18 | 2016-07-05 | Vencore Labs, Inc. | System and method for correlating historical attacks with diverse indicators to generate indicator profiles for detecting and predicting future network attacks |
US9124628B2 (en) | 2012-09-20 | 2015-09-01 | Cisco Technology, Inc. | Seamless engagement and disengagement of transport layer security proxy services |
US20150215334A1 (en) * | 2012-09-28 | 2015-07-30 | Level 3 Communications, Llc | Systems and methods for generating network threat intelligence |
US9135439B2 (en) * | 2012-10-05 | 2015-09-15 | Trustwave Holdings, Inc. | Methods and apparatus to detect risks using application layer protocol headers |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
JP2014112768A (ja) | 2012-12-05 | 2014-06-19 | Hitachi Ltd | 自動障害対応キャッシュシステム及びキャッシュサーバの障害対応処理方法並びにキャッシュマネージャ |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9077702B2 (en) * | 2013-01-30 | 2015-07-07 | Palo Alto Networks, Inc. | Flow ownership assignment in a distributed processor system |
WO2014119669A1 (ja) * | 2013-01-30 | 2014-08-07 | 日本電信電話株式会社 | ログ分析装置、情報処理方法及びプログラム |
US9154502B2 (en) | 2013-01-31 | 2015-10-06 | Google Inc. | Accessing objects in hosted storage |
US9130901B2 (en) | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
US10659480B2 (en) | 2013-03-07 | 2020-05-19 | Inquest, Llc | Integrated network threat analysis |
US20140259168A1 (en) | 2013-03-11 | 2014-09-11 | Alcatel-Lucent Usa Inc. | Malware identification using a hybrid host and network based approach |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9686233B2 (en) | 2013-03-13 | 2017-06-20 | The United States Of America, As Represented By The Secretary Of The Navy | Tracking network packets across translational boundaries |
US9800542B2 (en) | 2013-03-14 | 2017-10-24 | International Business Machines Corporation | Identifying network flows under network address translation |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9407519B2 (en) | 2013-03-15 | 2016-08-02 | Vmware, Inc. | Virtual network flow monitoring |
US9172627B2 (en) | 2013-03-15 | 2015-10-27 | Extreme Networks, Inc. | Device and related method for dynamic traffic mirroring |
US9361085B2 (en) | 2013-03-18 | 2016-06-07 | Cloudmask | Systems and methods for intercepting, processing, and protecting user data through web application pattern detection |
JP6015509B2 (ja) | 2013-03-19 | 2016-10-26 | 富士通株式会社 | パケット解析プログラム、パケット解析方法、パケット解析装置、およびパケット解析システム |
US9338134B2 (en) * | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
US20160127402A1 (en) | 2014-11-04 | 2016-05-05 | Patternex, Inc. | Method and apparatus for identifying and detecting threats to an enterprise or e-commerce system |
WO2014169946A1 (en) | 2013-04-15 | 2014-10-23 | Nokia Solutions And Networks Oy | Subscriber identification and provisioning in ip translation environments |
US8739243B1 (en) | 2013-04-18 | 2014-05-27 | Phantom Technologies, Inc. | Selectively performing man in the middle decryption |
KR101394424B1 (ko) | 2013-04-22 | 2014-05-13 | 한국인터넷진흥원 | 하이퍼바이저 기반 침입 방지 플랫폼 및 가상화 네트워크 침입 방지 시스템 |
US20140321290A1 (en) | 2013-04-30 | 2014-10-30 | Hewlett-Packard Development Company, L.P. | Management of classification frameworks to identify applications |
US9021575B2 (en) | 2013-05-08 | 2015-04-28 | Iboss, Inc. | Selectively performing man in the middle decryption |
US9419942B1 (en) | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
US9077667B2 (en) | 2013-06-18 | 2015-07-07 | Genband Us Llc | Computing latency introduced by media transcoding operations |
US9118567B2 (en) | 2013-07-15 | 2015-08-25 | Telefonaktiebolaget L M Ericsson (Publ) | Removing lead filter from serial multiple-stage filter used to detect large flows in order to purge flows for prolonged operation |
US9380489B2 (en) | 2013-07-18 | 2016-06-28 | Verizon Patent And Licensing Inc. | Dynamic network traffic analysis and traffic flow configuration for radio networks |
US8918838B1 (en) | 2013-07-23 | 2014-12-23 | Oasis Technology, Inc. | Anti-cyber hacking defense system |
US20150033336A1 (en) * | 2013-07-24 | 2015-01-29 | Fortinet, Inc. | Logging attack context data |
US9634911B2 (en) * | 2013-07-30 | 2017-04-25 | Avaya Inc. | Communication device event captures |
US9544135B2 (en) | 2013-08-02 | 2017-01-10 | Issam ANDONI | Methods of and systems for facilitating decryption of encrypted electronic information |
US9009461B2 (en) | 2013-08-14 | 2015-04-14 | Iboss, Inc. | Selectively performing man in the middle decryption |
DE102013216847B4 (de) | 2013-08-23 | 2023-06-01 | Siemens Mobility GmbH | Verfahren, Vorrichtung und System zur Überwachung einer Sicherheits-Netzübergangseinheit |
EP3053074A4 (de) * | 2013-09-30 | 2017-04-05 | Hewlett-Packard Enterprise Development LP | Hierarchische bedrohungsintelligenz |
JP6201614B2 (ja) * | 2013-10-11 | 2017-09-27 | 富士通株式会社 | ログ分析装置、方法およびプログラム |
US9319421B2 (en) * | 2013-10-14 | 2016-04-19 | Ut-Battelle, Llc | Real-time detection and classification of anomalous events in streaming data |
US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
US9392007B2 (en) * | 2013-11-04 | 2016-07-12 | Crypteia Networks S.A. | System and method for identifying infected networks and systems from unknown attacks |
US9407602B2 (en) | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
US9516049B2 (en) * | 2013-11-13 | 2016-12-06 | ProtectWise, Inc. | Packet capture and network traffic replay |
US20150143107A1 (en) | 2013-11-18 | 2015-05-21 | Madhav K. Kale | Data security tools for shared data |
CN104753862A (zh) * | 2013-12-27 | 2015-07-01 | 华为技术有限公司 | 一种提高网络安全性的方法及装置 |
US8832832B1 (en) * | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
US20160344708A1 (en) | 2014-01-14 | 2016-11-24 | Mitsubishi Electric Corporation | Cryptographic system, re-encryption key generation device, re-encryption device, and cryptographic computer readable medium |
US9172651B2 (en) * | 2014-02-14 | 2015-10-27 | Telefonaktiebolaget L M Ericsson (Publ) | Denial of service prevention in a software defined network |
US9886581B2 (en) * | 2014-02-25 | 2018-02-06 | Accenture Global Solutions Limited | Automated intelligence graph construction and countermeasure deployment |
US20150256431A1 (en) * | 2014-03-07 | 2015-09-10 | Cisco Technology, Inc. | Selective flow inspection based on endpoint behavior and random sampling |
JP6053091B2 (ja) * | 2014-03-19 | 2016-12-27 | 日本電信電話株式会社 | トラヒック特徴情報抽出方法、トラヒック特徴情報抽出装置及びトラヒック特徴情報抽出プログラム |
US9462008B2 (en) * | 2014-05-16 | 2016-10-04 | Cisco Technology, Inc. | Identifying threats based on hierarchical classification |
US20150334009A1 (en) | 2014-05-19 | 2015-11-19 | Telchemy, Incorporated | System for monitoring the performance of flows carried over networks with dynamic topology |
US20150350229A1 (en) | 2014-05-29 | 2015-12-03 | Singularity Networks, Inc. | Network Threat Detection and Mitigation Using a Domain Name Service and Network Transaction Data |
US10469514B2 (en) | 2014-06-23 | 2019-11-05 | Hewlett Packard Enterprise Development Lp | Collaborative and adaptive threat intelligence for computer security |
US20160191558A1 (en) | 2014-12-23 | 2016-06-30 | Bricata Llc | Accelerated threat mitigation system |
US9306818B2 (en) | 2014-07-17 | 2016-04-05 | Cellos Software Ltd | Method for calculating statistic data of traffic flows in data network and probe thereof |
US9450972B2 (en) | 2014-07-23 | 2016-09-20 | Cisco Technology, Inc. | Network attack detection using combined probabilities |
US9531672B1 (en) * | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
US10142301B1 (en) | 2014-09-17 | 2018-11-27 | Amazon Technologies, Inc. | Encrypted data delivery without intervening decryption |
US10050847B2 (en) | 2014-09-30 | 2018-08-14 | Keysight Technologies Singapore (Holdings) Pte Ltd | Selective scanning of network packet traffic using cloud-based virtual machine tool platforms |
JP6196397B2 (ja) | 2014-10-21 | 2017-09-13 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
US20160119365A1 (en) * | 2014-10-28 | 2016-04-28 | Comsec Consulting Ltd. | System and method for a cyber intelligence hub |
US20160127417A1 (en) | 2014-10-29 | 2016-05-05 | SECaaS Inc. | Systems, methods, and devices for improved cybersecurity |
US9608879B2 (en) | 2014-12-02 | 2017-03-28 | At&T Intellectual Property I, L.P. | Methods and apparatus to collect call packets in a communications network |
US9584536B2 (en) | 2014-12-12 | 2017-02-28 | Fortinet, Inc. | Presentation of threat history associated with network activity |
US9813306B1 (en) * | 2014-12-16 | 2017-11-07 | Amazon Technologies, Inc. | Response rate limiting device |
US10484405B2 (en) | 2015-01-23 | 2019-11-19 | Cisco Technology, Inc. | Packet capture for anomalous traffic flows |
US10230742B2 (en) | 2015-01-30 | 2019-03-12 | Anomali Incorporated | Space and time efficient threat detection |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
US9654503B1 (en) * | 2015-03-11 | 2017-05-16 | Symantec Corporation | Systems and methods for evaluating networks |
US9807117B2 (en) | 2015-03-17 | 2017-10-31 | Solarflare Communications, Inc. | System and apparatus for providing network security |
US10764162B2 (en) | 2015-03-25 | 2020-09-01 | Gigamon Inc. | In-fabric traffic analysis |
US9667656B2 (en) * | 2015-03-30 | 2017-05-30 | Amazon Technologies, Inc. | Networking flow logs for multi-tenant environments |
US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
US10270789B2 (en) | 2016-01-29 | 2019-04-23 | Acalvio Technologies, Inc. | Multiphase threat analysis and correlation engine |
CA3017918A1 (en) | 2016-03-15 | 2017-09-21 | Carbon Black, Inc. | Using private threat intelligence in public cloud |
US10469453B2 (en) | 2017-02-10 | 2019-11-05 | Juniper Networks, Inc. | Granular offloading of a proxied secure session |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
-
2015
- 2015-04-17 US US14/690,302 patent/US9866576B2/en active Active
- 2015-09-15 US US14/855,374 patent/US9413722B1/en active Active
-
2016
- 2016-04-07 EP EP16719984.3A patent/EP3284238B1/de active Active
- 2016-04-07 AU AU2016247760A patent/AU2016247760A1/en not_active Abandoned
- 2016-04-07 DE DE202016009026.8U patent/DE202016009026U1/de active Active
- 2016-04-07 DE DE202016009029.2U patent/DE202016009029U1/de active Active
- 2016-04-07 DE DE202016009028.4U patent/DE202016009028U1/de active Active
- 2016-04-07 EP EP24163039.1A patent/EP4369680A3/de active Pending
- 2016-04-07 WO PCT/US2016/026339 patent/WO2016168044A1/en unknown
- 2016-04-07 EP EP19179539.2A patent/EP3557844B1/de active Active
- 2016-04-07 CA CA3021054A patent/CA3021054A1/en active Pending
-
2017
- 2017-11-30 US US15/827,477 patent/US10193917B2/en active Active
-
2018
- 2018-12-12 US US16/217,720 patent/US10567413B2/en active Active
-
2019
- 2019-08-28 US US16/554,252 patent/US10542028B2/en active Active
- 2019-12-06 US US16/706,388 patent/US10609062B1/en active Active
-
2020
- 2020-03-09 US US16/813,220 patent/US10757126B2/en active Active
- 2020-03-26 AU AU2020202148A patent/AU2020202148A1/en not_active Abandoned
- 2020-08-24 US US17/001,164 patent/US11012459B2/en active Active
-
2021
- 2021-04-16 US US17/232,291 patent/US11700273B2/en active Active
-
2022
- 2022-03-25 AU AU2022202068A patent/AU2022202068B2/en active Active
- 2022-04-05 US US17/713,570 patent/US11516241B2/en active Active
- 2022-04-05 US US17/713,577 patent/US11496500B2/en active Active
-
2023
- 2023-05-23 US US18/200,801 patent/US11792220B2/en active Active
- 2023-09-08 US US18/244,133 patent/US12015626B2/en active Active
-
2024
- 2024-08-30 AU AU2024216461A patent/AU2024216461A1/en active Pending
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE202016009028U1 (de) | Regelbasierte Netzwerkbedrohungsdetektion | |
DE69730056T2 (de) | Routen von duplikaten | |
DE202016008885U1 (de) | Regelbasierte Erkennung von Netzwerkbedrohungen für verschlüsselte Kommunikationen | |
DE60111089T2 (de) | Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls | |
DE19882235B4 (de) | Verwendung von Web-Technologie für Teilnehmerverwaltungsaktivitäten | |
DE112013001964B4 (de) | Management der Sicherheit des Nachrichtenaustauschs | |
DE202014011510U1 (de) | Filtern von Netzwerkdatenübertragungen | |
DE10314792A1 (de) | Verfolgen von Benutzern an einem Webservernetz | |
DE602005003938T2 (de) | Inter-domain-router mit modul zur bestimmung der routenaggregation | |
DE60313026T2 (de) | Verfahren und gerät zur verteilung von datenpaketen von einem computer zu einem clustersystem | |
DE102009060904B4 (de) | Verfahren zum Steuern eines Verbindungsaufbaus sowie Netzwerksystem | |
AT519604B1 (de) | Verfahren zum Durchführen eines von einem Server spezifizierten Programmaufrufs durch einen Client | |
EP3862949A1 (de) | Verfahren zum weiterleiten einer anfrage eines clients an einen server | |
DE202023100576U1 (de) | Cyber-Schutz für entfernte Netzwerke durch selektive Policy Durchsetzung in einem zentralen Netzwerk | |
EP0984599A2 (de) | Verfahren und Vorrichtung in einem Datennetz zur Abbildung logischer Namen von Datenverarbeitungssystemen auf Adressen und umgekehrt |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R207 | Utility model specification | ||
R150 | Utility model maintained after payment of first maintenance fee after three years | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0029020000 Ipc: H04L0065000000 |
|
R151 | Utility model maintained after payment of second maintenance fee after six years | ||
R081 | Change of applicant/patentee |
Owner name: CENTRIPETAL LTD., IE Free format text: FORMER OWNER: CENTRIPETAL NETWORKS LNC., HERNDON, VA, US |
|
R152 | Utility model maintained after payment of third maintenance fee after eight years |