ES2609861T3 - Método y dispositivo para configurar y optimizar una regla de detección - Google Patents

Método y dispositivo para configurar y optimizar una regla de detección Download PDF

Info

Publication number
ES2609861T3
ES2609861T3 ES12862305.5T ES12862305T ES2609861T3 ES 2609861 T3 ES2609861 T3 ES 2609861T3 ES 12862305 T ES12862305 T ES 12862305T ES 2609861 T3 ES2609861 T3 ES 2609861T3
Authority
ES
Spain
Prior art keywords
protocol
information related
rules
traffic
rule
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES12862305.5T
Other languages
English (en)
Inventor
Wu Jiang
Tao Wang
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Application granted granted Critical
Publication of ES2609861T3 publication Critical patent/ES2609861T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/18Protocol analysers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método realizado por una entidad de red para optimizar y configurar una regla de detección, que comprende: recibir (S11) un tráfico de red; extraer (S12) un paquete desde el tráfico de red, e identificar, en conformidad con una característica del paquete, información relacionada con el protocolo utilizada en la red, incluyendo la información relacionada con el protocolo un elemento de o una combinación de varios elementos de la información siguiente: un nombre de protocolo, un nombre de protocolo de aplicación, un número de puerto, un nombre de software de servidor y una versión de software de servidor; salvaguardar (S13) la información relacionada con el protocolo y una correspondencia entre elementos de información en la información relacionada con el protocolo hacia una primera tabla de asociación de aprendizaje; obtener (S14) una regla de vulnerabilidad, que se establece en correspondencia con la información relacionada con el protocolo en una base de regla de vulnerabilidad, en función con la información relacionada con el protocolo identificada; y integrar la regla de vulnerabilidad obtenida para generar un primer conjunto de reglas compacto cuando se identifican múltiples conjuntos de información de protocolo, en donde el primer conjunto de reglas compacto comprende en una regla de vulnerabilidad que se establece en correspondencia con la información de protocolo relacionada identificada en la base de reglas de vulnerabilidad; antes de extraer un paquete procedente del tráfico de red, el método comprende, además: establecer un margen de aprendizaje, en donde el margen de aprendizaje comprende un segmento de red o una dirección IP que se determina por anticipado; y en consecuencia, la extracción de un paquete desde el tráfico de red comprende: extraer, desde el tráfico de red, un paquete con una dirección contenida dentro del margen de aprendizaje.

Description

5
10
15
20
25
30
35
40
45
50
55
60
65
DESCRIPCION
Metodo y dispositivo para configurar y optimizar una regla de deteccion.
CAMPO DE LA INVENCION
La presente invencion se refiere al campo de la configuracion de reglas de deteccion y en particular, a un metodo y un dispositivo para optimizar y configurar una regla de deteccion.
ANTECEDENTES DE LA INVENCION
Con la amplia aplicacion de ordenadores y la dispersion creciente de redes, las amenazas desde el interior y el exterior de las redes son cada vez mayores. Con el fin de proteger la seguridad de un sistema, necesita realizarse una deteccion de amenazas en una red. La deteccion de contenidos de protocolos es una clase de deteccion de amenazas.
Tomando a modo de ejemplo un dispositivo del Sistema de Prevencion de Intrusion (IPS), la deteccion del contenido de protocolo existente se realiza principalmente utilizando un metodo de coincidencia de modos, es decir, la correspondencia de diferentes protocolos, siendo configuradas diferentes reglas de deteccion. Una funcion de personalizar una regla se proporciona en un dispositivo IPS, y se realiza una deteccion anadiendo, habilitando o cerrando algunas reglas de deteccion por un usuario por sf mismo. Sin embargo, existen miles de tipos de protocolos existentes, y existen decenas de miles de categonas de protocolos espedficas de los tipos de protocolo. Se exige una amplia experiencia para configurar, con exactitud, una regla de deteccion y necesita dedicar mucho tiempo a tal respecto. Actualmente, la mayor parte de los usuarios realiza una deteccion en una manera de habilitacion directa de todas las reglas de deteccion de protocolos. En la deteccion de amenaza de IPS, la mayor parte funcional de la deteccion de amenazas de IPS se consume en una parte de deteccion de contenidos de protocolos; por lo tanto, en una manera existente de habilitacion directa de todas las reglas de deteccion de protocolos, se detecta tambien una amenaza de protocolo que no ocurre en una red, dando lugar a un consumo de numerosos recursos innecesario por IPS y disminuyendo la eficiencia y el rendimiento de la deteccion de IPS.
El documento US 2008/005795 A1 da a conocer un metodo y un sistema para optimizar un primer conjunto de reglas ejecutadas por un firewall (cortafuegos) sobre el trafico de red. Las caractensticas del trafico de red se examinan y dichas caractensticas se utilizan para generar un segundo conjunto de reglas. El primer conjunto de reglas puede tener un orden distinto que el segundo conjunto de reglas. El optimizador basado en las reglas esta constituido por dos componentes - el Creador de Conjuntos Disjuntos (DSC) y el Fusionador de Conjuntos Disjuntos (DSM). El DSC detecta y elimina las dependencias del conjunto de reglas actual y luego, crea una nuevas definiciones de reglas (esto es, nuevas reglas) con el fin de hacer disyunto el conjunto de reglas completo. El DSM fusiona las reglas del conjunto disyunto obtenido por el DSC. El proceso de fusion selecciona una regla y la clasifica para la fusion de la regla con otras reglas. La fusion tiene lugar entre reglas con el mismo campo de accion, para preservar la integridad semantica. La fusion entre dos reglas, con respecto a un campo diferente espedfico, tiene lugar cuando los otros valores del campo correspondiente son los mismos para el espacio de campos.
El documento US 2009/271857 A1 da a conocer un metodo y aparato que permite una clasificacion aproximada de los paquetes utilizando el metodo de clasificacion de paquetes exacto y un metodo de clasificacion de paquetes inexacto. El gestor de reglas transforma un conjunto de reglas especificado en un nuevo conjunto de reglas que es equivalente desde el punto de vista semantico. Para establecer un conjunto de reglas eficiente, el gestor de reglas muestrea continuamente el trafico entrante y calcula las estadfsticas espedficas de este trafico de muestra para conocer sus caractensticas actuales. El gestor de reglas calcula todos los flujos muestreados distintos y sus frecuencias. Sobre la base de esta informacion muestreada, el gestor de reglas crea y mantiene un pequeno conjunto de nuevas reglas que cubren todos los paquetes muestreados.
El documento US 7966659 B1 da a conocer tecnicas para el analisis a nivel del sistema del trafico de protocolo industrial para determinar una localizacion optima de un dispositivo de seguridad y/o para crear, de forma dinamica y automatica, reglas para dispositivos de seguridad. El sistema incluye un modulo colector que recoge informacion del trafico desde al menos una fuente distribuida durante un modo de aprendizaje. El sistema incluye tambien un modulo creador de reglas que puede analizar la informacion de trafico recogida en un contexto del sistema. Una regla de seguridad puede crearse utilizando el contexto del sistema y la regla de seguridad puede aplicarse automaticamente a un dispositivo de seguridad.
SUMARIO DE LA INVENCION
La presente invencion da a conocer un metodo y un dispositivo para optimizar y configurar una regla de deteccion, con el fin de identificar, mediante el conocimiento del trafico en una red activa, una informacion relacionada con el protocolo utilizada en la red activa, y para generar un conjunto de reglas compacto en funcion de la informacion relacionada con el protocolo, con lo que se habilita la realizacion de la deteccion del protocolo posterior solamente para una amenaza sobre el protocolo que pueda tener lugar en la red activa; por lo tanto, se reduce el contenido que
5
10
15
20
25
30
35
40
45
50
55
60
65
necesita detectarse posteriormente, se mejora la eficiencia de la deteccion y se evita, al mismo tiempo, un consumo de rendimiento innecesario.
La presente invencion da a conocer un metodo para optimizar y configurar una regla de deteccion, que incluye: recibir un trafico de red;
extraer un paquete desde el trafico de red, e identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento de una combinacion de varios elementos de informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
salvaguardar la informacion relacionada con el protocolo y la correspondencia entre elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje;
obtener una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en conformidad con la informacion relacionada con el protocolo identificada; y
integrar la regla de vulnerabilidad obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
antes de extraer un paquete desde el trafico de red, el metodo comprende, ademas:
establecer un margen de aprendizaje, en donde el margen de aprendizaje comprende un segmento de red o una direccion IP que se determina por anticipado; y
en consecuencia, la extraccion de un paquete desde el trafico de red, comprende:
extraer, desde el trafico de red, un paquete con una direccion transportada dentro del margen de aprendizaje.
De modo opcional, el metodo incluye, ademas:
realizar una deteccion de amenaza sobre el protocolo en funcion del primer conjunto.
De modo opcional, el metodo incluye, ademas:
enviar el primer conjunto y la primera tabla de asociacion de aprendizaje a un usuario; y
proporcionar, por el usuario, el primer conjunto a un dispositivo cuando se confirma el primer conjunto de reglas compacto.
De modo opcional, el metodo comprende, ademas:
salvaguardar la informacion relacionada con el protocolo cambiada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje; y
seleccionar una regla de vulnerabilidad desde la base de reglas de vulnerabilidad en funcion con la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
La presente invencion da a conocer un metodo para optimizar y configurar una regla de deteccion, que incluye:
recibir un trafico de red;
extraer un paquete desde el trafico de red, e identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento o una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
salvaguardar la informacion relacionada con el protocolo y la correspondencia entre los elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje;
obtener una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el
5
10
15
20
25
30
35
40
45
50
55
60
65
protocolo en una base de reglas de vulnerabilidad, en funcion con la informacion relacionada con el protocolo identificada; y
integrar la regla de vulnerabilidad obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
antes de extraer un paquete desde el trafico de red, el metodo comprende, ademas:
establecer un margen de valores de trafico validos, en donde el margen de valores validos es un porcentaje del trafico de tipo preestablecido en el trafico total; y
en consecuencia, la extraccion del paquete desde el trafico de red, comprende:
extraer un paquete en el trafico de al menos un protocolo de aplicacion desde el trafico de red, en donde un porcentaje del trafico de cada protocolo de aplicacion en el al menos un protocolo de aplicacion en el trafico de red esta dentro del margen de valores validos.
La presente invencion da a conocer, ademas, un dispositivo para optimizar y configurar una regla de deteccion, que incluye:
una unidad de recepcion de trafico, configurada para recibir un trafico de red;
una unidad de extraccion, configurada para extraer un paquete desde el trafico de red;
una unidad de identificacion de informacion, configurada para identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento o una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
una primera unidad de salvaguarda, configurada para salvaguardar la informacion relacionada con el protocolo y la correspondencia entre los elementos de la informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje; y
una primera unidad del conjunto de reglas compacto, configurada para obtener una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en funcion de la informacion relacionada con el protocolo identificada; e integrar la regla obtenida para generar un primer conjunto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad.
De modo opcional, el dispositivo incluye, ademas:
una unidad de deteccion, configurada para realizar una deteccion de amenaza de protocolo en conformidad con el primer conjunto de reglas compacto.
De modo opcional, el dispositivo incluye, ademas:
una unidad de envfo, configurada para enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje a un usuario; y
una unidad de recepcion, configurada para: cuando el usuario confirma el primer conjunto de reglas compacto, recibir el primer conjunto de reglas compacto proporcionado por el usuario.
De modo opcional, el dispositivo incluye, ademas:
una segunda unidad de salvaguarda, configurada para salvaguardar la informacion relacionada con el protocolo cambiada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje, en donde
la unidad del conjunto de reglas compacto esta configurado, ademas, para seleccionar una regla de vulnerabilidad desde la base de reglas de vulnerabilidad en funcion de la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto, y para generar un segundo conjunto de reglas compacto.
5
10
15
20
25
30
35
40
45
50
55
60
65
La presente invencion da a conocer, ademas, un dispositivo para optimizar y configurar una regla de deteccion, que incluye:
una unidad de recepcion del trafico, configurada para recibir un trafico de red;
una unidad de extraccion, configurada para extraer un paquete desde el trafico de red;
una unidad de identificacion de informacion, configurada para identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento o una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
una primera unidad de salvaguarda, configurada para salvaguardar la informacion relacionada con el protocolo y la correspondencia entre los elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje; y
una primera unidad del conjunto de reglas compacto, configurada para obtener una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en funcion de la informacion relacionada con el protocolo identificada, y para integrar la regla obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolos, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
una primera unidad de establecimiento, configurada para establecer un margen de aprendizaje, en donde el margen de aprendizaje comprende un segmento de red o una direccion IP que se determina por anticipado;
en donde
la unidad de extraccion esta configurada, ademas, para extraer, desde el trafico de red, un paquete con una direccion incluida dentro del margen de aprendizaje.
En comparacion con la tecnica anterior, la presente invencion tiene las ventajas siguientes:
En conformidad con el metodo dado a conocer en la presente invencion, el trafico en una red activa se conoce e identifica para obtener informacion del protocolo que se utiliza en la red activa y se clasifica una regla de deteccion a partir de una base de reglas de vulnerabilidad en funcion de la informacion de protocolo, con el fin de generar un conjunto de reglas compacto correspondiente a un protocolo utilizado en la red activa. Solamente el protocolo utilizado en la red activa necesita detectarse cuando se realiza una deteccion utilizando el conjunto de reglas compacto. Por lo tanto, se resuelve un problema de que todos los protocolos necesitan detectarse durante la deteccion porque un usuario selecciona todas las reglas de deteccion en la tecnica anterior, lo que mejora la eficiencia de deteccion y al mismo tiempo, evita un consumo innecesario de rendimiento.
BREVE DESCRIPCION DE LOS DIBUJOS
Para describir las soluciones tecnicas en las formas de realizacion de la presente invencion o en la tecnica anterior, con mayor claridad, a continuacion se introducen, de forma concisa, los dibujos adjuntos requeridos para describir las formas de realizacion. Evidentemente, los dibujos adjuntos en la descripcion siguiente ilustran solamente algunas formas de realizacion de la presente invencion y un experto en esta tecnica puede deducir otros dibujos a partir de esos dibujos adjuntos sin necesidad de esfuerzos creativos.
La Figura 1 es un diagrama de flujo de la forma de realizacion 1 de un metodo en conformidad con la presente invencion;
La Figura 2 es un diagrama esquematico de una primera tabla de asociacion de aprendizaje antes del aprendizaje del trafico en conformidad con una forma de realizacion de la presente invencion;
La Figura 3 es un diagrama esquematico de una primera tabla de asociacion de aprendizaje despues del aprendizaje del trafico en conformidad con una forma de realizacion de la presente invencion; y
La Figura 4 es un diagrama estructural de un dispositivo en conformidad con la presente invencion.
DESCRIPCION DETALLADA DE LAS FORMAS DE REALIZACION
A continuacion se describe, de forma clara y completa, las soluciones tecnicas en las formas de realizacion de la
5
10
15
20
25
30
35
40
45
50
55
60
65
presente invencion haciendo referencia a los dibujos adjuntos en las formas de realizacion de la presente invencion. Evidentemente, las formas de realizacion descritas son simplemente una parte y no la totalidad de las formas de realizacion de la presente invencion. Todas las demas formas de realizacion obtenidas por un experto en esta tecnica sobre la base de las formas de realizacion de la presente invencion deberan caer dentro del alcance de proteccion de la presente invencion.
Haciendo referencia a la Figura 1, la forma de realizacion 1 de la presente invencion da a conocer un metodo para optimizar y configurar una regla de deteccion, en donde el metodo incluye:
S11: Recibir trafico de red.
Tomando a modo de ejemplo un dispositivo IPS, se utiliza una manera de coincidencia de modos para la deteccion de protocolo del dispositivo IPS. Es decir, para diferentes protocolos, existen diferentes reglas de deteccion. Es conocido que existen diferentes vulnerabilidades en diferentes protocolos y una amenaza de un protocolo procede un ataque a estas vulnerabilidades. Por lo tanto, cuando se detecta un protocolo, solamente se refiere a su correspondiente. Es decir, para diferentes protocolos, existen diferentes reglas de deteccion. Es conocido que existen diferentes vulnerabilidades en diferentes protocolos y una amenaza de protocolo procede de un ataque a estas vulnerabilidades. Por lo tanto, cuando se detecta un protocolo, solamente necesita hacerse coincidir una regla de deteccion de vulnerabilidad correspondiente. Por lo tanto, con el fin de una coincidencia correcta de una regla de deteccion de vulnerabilidad, necesita conocerse primero un tipo de protocolo utilizado en un red activa.
Mas concretamente, el trafico en una red real puede conocerse en una etapa anterior cuando el dispositivo IPS accede a la red.
S12: Extraer un paquete desde el trafico de red, e identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utiliza en la red.
La informacion relacionada con el protocolo incluye concretamente un elemento o una combinacion de varios elementos de informacion tales como un nombre de protocolo, un nombre de protocolo de aplicacion, es decir, un tipo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor.
Con el fin de realizar una transferencia correcta de un paquete, la informacion relacionada con el protocolo mediante el que se transfiere el paquete se establecera en el propio paquete. Por lo tanto, un paquete puede extraerse desde el trafico obtenido en proceso de aprendizaje y se realiza una identificacion de caractenstica sobre el paquete para obtener la informacion relacionada con el protocolo. Mas concretamente, un nombre de protocolo y un tipo de aplicacion pueden identificarse en funcion de una caractenstica del paquete. Un analisis a fondo se realiza, ademas, sobre el tipo de aplicacion para obtener informacion de un numero de puerto, un nombre de software de servidor y una version del software de servidor. La informacion del protocolo esta relacionada con la informacion de memorizacion de una base de reglas de vulnerabilidad que se menciona a continuacion. Su relacion espedfica se describe en un contexto posterior.
S13: Salvaguardar la informacion relacionada con el protocolo y la correspondencia entre la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje.
La informacion correspondiente a un mismo elemento de trafico esta memorizada, de forma asociativa, cuando se memoriza la informacion obtenida. A modo de ejemplo, un elemento del trafico se identifica y se obtiene que un protocolo del elemento de trafico es TCP, un protocolo de aplicacion del elemento de trafico es HTTP, un puerto del elemento de trafico es 80, un nombre de software del servidor del elemento de trafico es Apache HTTPD y una version de software de servidor es 2.2.3. Por lo tanto, no solamente necesita memorizarse la informacion anterior en la primera tabla de asociacion de aprendizaje, sino tambien necesita memorizarse la correspondencia entre la informacion anterior.
En general, un usuario transmite datos solamente un determinado alcance de red. Por lo tanto, no se utiliza un protocolo mas alla del alcance de la red, y un tipo de protocolo utilizado mas alla del alcance de la red no necesita detectarse. Por lo tanto, en la forma de realizacion 2 de la presente invencion, un margen de aprendizaje puede establecerse previamente para conocer el trafico especificado. En este caso, solamente un paquete de trafico en el margen de aprendizaje necesita extraerse para su identificacion y a continuacion, la informacion relacionada con el protocolo obtenido se memoriza en la primera tabla de asociacion de aprendizaje. Mas concretamente, un segmento de red o una direccion IP que ha de aprenderse puede establecerse a este respecto. Durante una puesta en practica fichero, una manera de establecer multiples opciones para el usuario para seleccionar puede utilizarse y tambien puede emplearse una manera de entrada por el propio usuario. Cuando el usuario no selecciona una opcion o no realiza una entrada, el trafico en la red completa puede establecerse para aprendizaje.
S14: Hacer coincidir un elemento de regla correspondiente desde una base de reglas de vulnerabilidad en funcion de la informacion relacionada con el protocolo con el fin de generar un primer conjunto de reglas compacto.
5
10
15
20
25
30
35
40
45
50
55
60
65
La base de reglas de vulnerabilidad es una herramienta de evaluacion de la seguridad del sistema y memoriza una regla de vulnerabilidad correspondiente a cada protocolo. A modo de ejemplo, una base de reglas de vulnerabilidad memoriza lo siguiente:
[Servicio de correo] SendMail 7.0: 300 reglas de vulnerabilidad;
[Servicio de correo] SendMail 8.0: 200 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2007: 500 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2010: 300 reglas de vulnerabilidad;
[Servicio FTP] ProFTP 1.2.0: 1000 reglas de vulnerabilidad; y [Servicio FTP] ProFTP 1.3.0: 500 reglas de vulnerabilidad.
Puede deducirse de la descripcion anterior, que la base de reglas de vulnerabilidad, una regla de vulnerabilidad, es decir, una regla de deteccion, se establece en correspondencia con la informacion de protocolo tal como un protocolo de aplicacion, un nombre de software de servidor de aplicacion y una version de software de servidor de aplicacion. Por lo tanto, una regla de vulnerabilidad correspondiente puede obtenerse en conformidad con la informacion de protocolo identificada. A modo de ejemplo, la informacion de protocolo identificada es que el protocolo de aplicacion es FTP, el nombre de software del servidor de aplicacion es ProFTP y la version es 1.2.0, de modo que existen 1000 reglas de deteccion correspondientes.
Cuando se identifican multiples conjuntos de informacion de protocolo, se obtienen reglas de deteccion correspondientes a partir de la base de reglas de vulnerabilidad para integracion, con el fin de formar el primer conjunto de reglas compacto.
En algunas situaciones operativas, el usuario solamente tiene previsto proteger y detectar el trafico en un determinado margen de valores, a modo de ejemplo, trafico grande, sin cuidarse de otro trafico. Por lo tanto, en la forma de realizacion 3 de la presente invencion el metodo incluye, ademas:
establecer un margen de valores de trafico validos. A modo de ejemplo, el margen se establece a 5 % - 80 %. A veces, cuando el trafico que el usuario tiene previsto proteger esta en varios margenes discontinuos, se pueden establecer multiples margenes, a modo de ejemplo, 5 % - 30 % y 45 % - 90 %.
En una aplicacion espedfica, el usuario no cuida del pequeno trafico. Por lo tanto, un margen de deteccion puede establecerse en una manera de establecimiento de un umbral. A modo de ejemplo, se establece un 5 %, de modo que el trafico inferior al 5 % es un margen del que el usuario no tiene que cuidarse y no se espera proteccion alguna. Por lo tanto, el usuario puede solamente extraer un paquete del trafico dentro del margen de valores de trafico validos a partir del trafico de red y realizar la identificacion para obtener la informacion de protocolo correspondiente y luego, salvaguardar la informacion del protocolo.
En la presente invencion, a veces, la identificacion del trafico se realiza antes de recoger datos estadfsticos sobre un valor de trafico, es decir, la informacion de protocolo correspondiente se obtiene identificando la caractenstica del paquete antes de que pueda conocerse una magnitud del trafico. En este caso, toda la informacion de protocolo correspondiente identificada necesita memorizarse primero en la primera tabla de asociacion de aprendizaje, y la magnitud del trafico, sobre el que se recogen estadfsticas posteriormente, es tambien objeto de la memorizacion diente en la primera tabla de asociacion de aprendizaje.
A continuacion, el trafico con una magnitud mas alla del margen de valores validos establecido y la informacion del protocolo correspondiente al trafico mas alla del margen de valores validos establecido se suprimen de la primera tabla de asociacion de aprendizaje en funcion con el margen de valores del trafico validos establecido, con el fin de generar una nueva tabla de asociacion de aprendizaje. Ademas, un elemento de regla se clasifica desde la base de reglas de vulnerabilidad en conformidad la nueva tabla de asociacion de aprendizaje, con el fin de generar un conjunto de reglas compacto.
El objetivo esencial de la forma de realizacion 2 y de la forma de realizacion 3 de la presente invencion es establecer un margen de direcciones de red y un margen de magnitud para el trafico. Dos maneras de establecimiento pueden realizarse respectivamente y pueden efectuarse tambien al mismo tiempo.
El conjunto de reglas compacto generado puede aplicarse directamente a un dispositivo. El usuario puede ver un registro de optimizacion y configuracion espedficas por intermedio de la informacion de registro. Con el fin de garantizar la exactitud, en la forma de realizacion 4 de la presente invencion, el conjunto de reglas compacto puede enviarse primero al usuario y confirmarse finalmente por el usuario. Un proceso espedfico se describe como sigue:
5
10
15
20
25
30
35
40
45
50
55
60
65
El primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje se env^an al usuario.
Mas concretamente, el usuario puede conocer, observando la informacion en la primera tabla de asociacion de aprendizaje, si un resultado del aprendizaje del dispositivo es compatible con un entorno de red real. Con el fin de obtener un resultado mas exacto, la informacion del valor de trafico obtenida puede memorizarse en la primera tabla de asociacion de aprendizaje al mismo tiempo en una etapa de aprendizaje del dispositivo.
Conviene senalar que, en una situacion en la que el margen de aprendizaje y el margen de valores de trafico validos se establecen, el usuario solamente comprueba la informacion en los margenes establecidos cuando observa la informacion.
El usuario proporciona el primer conjunto de reglas compacto al dispositivo cuando confirma el primer conjunto de reglas compacto.
Cuando el resultado del aprendizaje, es decir, la informacion en la primera tabla de asociacion de aprendizaje, es compatible con el entorno de red real, el usuario envfa la informacion de confirmacion y proporciona el primer conjunto de reglas compacto al dispositivo.
Cuando se considera, mediante observacion, que la informacion en la tabla de asociacion de aprendizaje no es compatible con el entorno de red real, el usuario puede efectuar un cambio cuando se requiera y el dispositivo memoriza la informacion relacionada con el protocolo cambiada en una segunda tabla de asociacion de aprendizaje y genera un segundo conjunto de reglas compacto en conformidad con la segunda tabla de asociacion de aprendizaje.
En la forma de realizacion de la presente invencion, haciendo referencia a la Figura 1, el metodo incluye, ademas:
S15: Realizar una deteccion de amenaza de protocolo en conformidad con el primer conjunto de reglas compacto.
Un objetivo ultimo de la configuracion del conjunto de reglas compacto es proporcionar una regla para un dispositivo IPS para realizar una deteccion de protocolo. Por lo tanto, la deteccion del protocolo se realiza en conformidad con un conjunto de reglas compacto despues de que el conjunto de reglas compacto se genere en el dispositivo IPS.
En la forma de realizacion 5 de la presente invencion, en donde un margen de aprendizaje establecido es un segmento de red DMZ, una direccion IP es IP1-IP2 y un umbral de trafico valido es 5 %, se toma, a modo de ejemplo, para describir el proceso de la presente invencion en detalle.
En primer lugar, DMZ, IP1-IP2, y el 5 % se introducen por el usuario en los espacios en blanco correspondientes a un segmento de red, una direccion IP y un umbral de trafico valido.
Despues de que se complete el establecimiento operativo, el dispositivo IPS genera la primera tabla de asociacion de aprendizaje para hacer una preparacion para un trabajo posterior. Segun se ilustra en la Figura 2, la primera tabla de asociacion de aprendizaje generada incluye dos partes: establecimiento de aprendizaje y contenido del aprendizaje. La parte de establecimiento del aprendizaje esta dividida en dos columnas: un objetivo de aprendizaje y un umbral de trafico valido. La parte de contenido del aprendizaje se divide en un total de 6 columnas de contenido: un protocolo, un protocolo de aplicacion, trafico, un puerto, software de servidor y una version de aplicacion. La columna del trafico representa un valor del trafico, cuyo valor inicial es 0 %.
Despues de recibir el trafico de la red activa, el dispositivo IPS selecciona primero el trafico e ignora el trafico mas alla de los margenes de DMZ y de IP1-IP2. A continuacion, se extrae un paquete desde el trafico y se realiza la identificacion de la caractenstica en el paquete para obtener informacion de un protocolo y de un protocolo de aplicacion. Se realiza un analisis a fondo sobre el protocolo de aplicacion, y se identifica una informacion, tal como un nombre de software de servidor, una version y un puerto que se utilizan en el protocolo de aplicacion. La informacion anterior se memoriza en correspondencia en la primera tabla de asociacion de aprendizaje. Se recogen datos estadfsticos sobre la informacion del valor del trafico y la informacion del valor de trafico se memoriza, en correspondencia, en la primera tabla de asociacion de aprendizaje. En este caso, en la primera tabla de asociacion de aprendizaje ilustrada en la Figura 3, la informacion correspondiente obtenida se memoriza en una columna correspondiente.
El trafico inferior al 5 % y otra informacion correspondiente al trafico se suprimen desde la primera tabla de asociacion de aprendizaje. Es decir, en la Figura 3, se suprime un trafico que es del 0.1 % y la informacion del protocolo correspondiente.
La base de reglas de vulnerabilidad dada a conocer en la presente invencion es como sigue:
[Servicio Web] Apache 1.0: 5000 reglas de vulnerabilidad;
5
10
15
20
25
30
35
40
45
50
55
60
65
[Servicio Web] Apache 2.0: 3000 reglas de vulnerabilidad;
[Servicio Web] Apache HTTPD 2.2.3: 1000 reglas de vulnerabilidad;
[Servicio Web] Apache Tomcat 5.0: 500 reglas de vulnerabilidad;
[Servicio Web] Apache Tomcat 6.0.1: 500 reglas de vulnerabilidad;
[Servicio Web] IIS 1.0: 3000 reglas de vulnerabilidad;
[Servicio Web] IIS 2.0: 2000 reglas de vulnerabilidad;
[Servicio FTP] ProFTP 1.2.0: 1000 reglas de vulnerabilidad;
[Servicio FTP] ProFTP 1.3.0: 500 reglas de vulnerabilidad;
[Servicio de correo] SendMail 7.0: 300 reglas de vulnerabilidad;
[Servicio de correo] SendMail 8.0: 200 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2007: 500 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2010: 300 reglas de vulnerabilidad;
[Servicio base datos] MySQL 4.0: 1000 reglas de vulnerabilidad;
[Servicio base datos] MySQL 4.1: 500 reglas de vulnerabilidad;
[Servicio base datos] MySQL 5.0: 500 reglas de vulnerabilidad;
[Servicio base datos] MySQL5.1: 300 reglas de vulnerabilidad;
[Servicio base datos] SQLServer 2000: 300 reglas de vulnerabilidad;
[Servicio base datos] SQLServer 2005: 200 reglas de vulnerabilidad; y [Servicio base datos] SQLServer 2008: 250 reglas de vulnerabilidad.
Un protocolo de aplicacion HTTP corresponde a un servicio de la web, un protocolo de aplicacion de FTP corresponde a un servicio FTP, un protocolo de aplicacion NFS corresponde a un servicio NFS y los protocolos de aplicacion SMTP y POP3 corresponden a un servicio de correo.
A continuacion, se extrae un conjunto de reglas correspondientes:
En relacion con un servicio de web:
las reglas siguientes se extraen desde la base de reglas de vulnerabilidad en conformidad con los resultados del aprendizaje Apache HTTPD 2.2.3 y Apache Tomcat 6.0.1:
[Servicio Web] Apache HTTPD 2.2.3: 1000 reglas de vulnerabilidad; y
[Servicio Web] Apache Tomcat 6.0.1: 500 reglas de vulnerabilidad.
En relacion con un servicio FTP:
las siguientes reglas se extraen desde la base de reglas de vulnerabilidad en conformidad con un resultado del aprendizaje ProFTP 1.3.0:
[Servicio FTP] ProFTP 1.3.0: 500 reglas de vulnerabilidad.
En relacion con un Servicio de correo:
en la etapa de aprendizaje, se encuentra que existe un trafico de protocolo de correo; sin embargo, no se identifica un software espedficamente utilizado; por lo tanto, todas las reglas de vulnerabilidad del correo se extraen desde la base de reglas de vulnerabilidad:
5
10
15
20
25
30
35
40
45
50
55
60
65
[Servicio de correo] SendMail 7.0: 300 reglas de vulnerabilidad;
[Servicio de correo] SendMail 8.0: 200 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2007: 500 reglas de vulnerabilidad; y [Servicio de correo] Exchange Server 2010: 300 reglas de vulnerabilidad.
En relacion con un servicio de base de datos:
ningun trafico del servicio de base de datos se encuentra en la etapa de aprendizaje; por lo tanto, se considera que el servicio no existe en la red real y no se extrae una regla correspondiente al servicio de base de datos.
Las reglas extrafdas anteriores se resumen en el conjunto de reglas siguiente:
[Servicio Web] Apache HTTPD 2.2.3: 1000 reglas de vulnerabilidad;
[Servicio Web] Apache Tomcat 6.0.1: 500 reglas de vulnerabilidad;
[Servicio FTP] ProFTP 1.3.0: 500 reglas de vulnerabilidad;
[Servicio de correo] SendMail 7.0: 300 reglas de vulnerabilidad;
[Servicio de correo] SendMail 8.0: 200 reglas de vulnerabilidad;
[Servicio de correo] Exchange Server 2007: 500 reglas de vulnerabilidad; y
[Servicio de correo] Exchange Server 2010: 300 reglas de vulnerabilidad.
Por ultimo, el resultado del aprendizaje y el conjunto de reglas compacto se impulsan hacia el usuario juntos para su configuracion, y despues de la confirmacion se proporcionan al dispositivo IPS para la deteccion del protocolo.
En resumen, en conformidad con el metodo dado a conocer en la presente invencion, el trafico en una red activa se aprende e identifica para obtener informacion relacionada con el protocolo utilizada en la red activa; y una regla de deteccion se selecciona de entre una base de reglas de vulnerabilidad en funcion de la informacion del protocolo, de modo que el conjunto de reglas compacto generado corresponda a un protocolo utilizado en la red activa. Solamente el protocolo utilizado en la red activa necesita detectarse cuando se realiza una deteccion utilizando el conjunto de reglas compacto. Por lo tanto, se resuelve un problema de que todos los protocolos necesiten detectarse durante la deteccion puesto que un usuario selecciona todas las reglas de deteccion en la tecnica anterior, lo que mejora la eficiencia de la deteccion y al mismo tiempo, evita un consumo innecesario de recursos de rendimiento. Ademas, un protocolo utilizado en una red se cambia con frecuencia y al usuario le resulta diffcil percibirlo; por lo tanto, utilizando el metodo dado a conocer en la presente invencion, un conjunto de reglas compacto configurado puede corresponder a un tipo de protocolo actualmente utilizado en tiempo real.
Haciendo referencia a la Figura 4, la forma de realizacion 6 de la presente invencion da a conocer, ademas, un dispositivo para optimizar y configurar una regla de deteccion, en donde el dispositivo incluye las unidades siguientes:
una unidad de recepcion de trafico 11 que esta configurada para recibir trafico de red.
Una unidad de extraccion 12 que esta configurada para extraer un paquete desde el trafico de red.
En general, un usuario transmite datos solamente en un determinado alcance de la red. Por lo tanto, un protocolo mas alla del alcance de la red no se utiliza, y un tipo de protocolo utilizado mas alla del alcance de la red no necesita detectarse. Por lo tanto, en la forma de realizacion de la presente invencion, el dispositivo incluye ademas: una primera unidad de establecimiento, que esta configurada para establecer un margen de aprendizaje. La unidad de extraccion esta configurada para extraer un paquete desde el trafico dentro del margen de aprendizaje. Mas concretamente, un segmento de red o una direccion IP que ha de ser objeto de aprendizaje puede establecerse a este respecto. Durante una puesta en practica espedfica, puede utilizarse una manera de establecer multiples opciones para la seleccion del usuario y una manera de introduccion por el propio usuario puede utilizarse tambien. Cuando el usuario no selecciona una opcion o no realiza ninguna entrada, el trafico en la red completa puede establecerse para aprendizaje.
Una unidad de identificacion de informacion 13 esta configurada para identificar, en funcion con una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, en donde la informacion relacionada incluye un nombre de protocolo, un tipo de aplicacion, un numero de puerto, un nombre de software de servidor y una
5
10
15
20
25
30
35
40
45
50
55
60
65
version de software del servidor.
Una primera unidad de salvaguarda 14 esta configurada para salvaguardar informacion relacionada con el protocolo y la correspondencia entre la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje.
Una primera unidad del conjunto de reglas compacto 15 esta configurada para establecer una coincidencia de un elemento de regla correspondiente desde una base de reglas de vulnerabilidad en funcion de la informacion relacionada con el protocolo, con el fin de generar un primer conjunto de reglas compacto.
En algunas situaciones, el usuario solamente espera proteger y detectar trafico en un determinado margen de valores, a modo de ejemplo, trafico intenso, sin tener en cuenta ningun otro trafico. Por lo tanto, en otra forma de realizacion de la presente invencion, el dispositivo incluye, ademas, una segunda unidad de establecimiento, configurada para establecer un margen de valores de trafico validos.
La unidad de extraccion esta configurada, ademas, para extraer un paquete del trafico dentro del margen de valores de trafico validos desde el trafico de red.
En la presente invencion, a veces, se realiza una identificacion del trafico antes de que se efectue una recogida de datos estadfsticos sobre un valor de trafico, es decir, la informacion de protocolo correspondiente se obtiene identificando la caractenstica del paquete antes de que pueda conocerse una magnitud del trafico. En este caso, toda la informacion de protocolo correspondiente identificada necesita memorizarse primero en la primera tabla de asociacion de aprendizaje, y la magnitud del trafico, sobre el que se recogen datos estadfsticos posteriormente, es tambien memorizada, en correspondencia, en la primera tabla de asociacion de aprendizaje.
A continuacion, el trafico mas alla del margen de valores validos establecidos y la informacion del protocolo correspondiente se suprimen desde la primera tabla de asociacion de aprendizaje en funcion del margen de valores de trafico validos establecido, con el fin de generar una nueva tabla de asociacion de aprendizaje. Ademas, un elemento de regla se selecciona desde la base de reglas de vulnerabilidad en conformidad con la nueva tabla de asociacion de aprendizaje, con el fin de generar un conjunto de reglas compacto.
El conjunto de reglas compacto generado puede aplicarse directamente al dispositivo. El usuario puede ver un registro de optimizacion y de configuracion espedfico por intermedio de la informacion del registro. Con el fin de garantizar la exactitud, en una forma de realizacion espedfica de la presente invencion, el dispositivo incluye, ademas, las unidades siguientes:
Una unidad de envfo esta configurada para enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje al usuario.
Mas concretamente, el usuario puede conocer, viendo la informacion en la primera tabla de asociacion de
aprendizaje, si un resultado del aprendizaje del dispositivo es compatible con un entorno de red real. Con el fin de
obtener un resultado mas exacto, la informacion del valor de trafico obtenida puede memorizarse en la primera tabla de asociacion de aprendizaje al mismo tiempo en una etapa de aprendizaje del dispositivo.
Conviene senalar que, en una situacion en la que el margen de aprendizaje y el margen de valores de trafico validos se establecen, el usuario solamente comprueba la informacion en los margenes establecidos cuando observa la informacion correspondiente.
Una unidad de recepcion esta configurada para: cuando el usuario confirma el primer conjunto de reglas compacto, recibir el primer conjunto de reglas compacto proporcionado por el usuario.
Cuando el resultado del aprendizaje, es decir, la informacion en la primera tabla de asociacion de aprendizaje, es
compatible con el entorno de red real, el dispositivo incluye, ademas: el envfo, por el usuario, de informacion de
confirmacion y la entrega del primer conjunto de reglas compacto al dispositivo.
Cuando el usuario considera, mediante su vision que la informacion contenida en la tabla de asociacion de aprendizaje no es compatible con el entorno de red real, el dispositivo incluye, ademas, una segunda unidad de salvaguarda, que esta configurada para salvaguardar la informacion relacionada con el protocolo modificada para una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo.
La unidad del conjunto de reglas compacto esta configurada, ademas, para seleccionar un elemento de regla desde la base de reglas de vulnerabilidad en conformidad con la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
Un objetivo ultimo de configurar el conjunto de reglas compacto es proporcionar una regla para que un dispositivo
5
10
15
20
25
IPS realice una deteccion de protocolo. Por lo tanto, en la forma de realizacion de la presente invencion, haciendo referencia a la Figura 4, el dispositivo incluye, ademas:
una unidad de deteccion 16, configurada para realizar una deteccion de amenaza en un protocolo en conformidad con el primer conjunto de reglas compacto.
Un experto en esta tecnica puede entender que la totalidad o una parte de las etapas de las formas de realizacion del metodo anteriores pueden ponerse en practica mediante un programa informatico que proporcione instrucciones a un hardware pertinente. Los programas anteriores pueden memorizarse en un soporte de memorizacion legible por ordenador. Cuando se ejecuta el programa, se realizan las etapas de las formas de realizacion del metodo. El soporte de memorizacion anterior incluye varios soportes capaces de memorizar un codigo de programa, tal como una memoria ROM, una memoria RAM, un disco magnetico o un disco optico.
Lo que antecede describe el metodo y el dispositivo para optimizar y configurar una regla de deteccion dada a conocer en la presente invencion en detalle. El principio y las maneras de puesta en practica de la presente invencion se describen aqrn mediante formas de realizacion espedficas. En las formas de realizacion anteriores, la descripcion de cada forma de realizacion tiene su enfasis respectivo. Para una parte que no se describe en detalle en una determinada forma de realizacion, puede hacerse referencia a la descripcion relacionada en otra forma de realizacion. La descripcion sobre las formas de realizacion de la presente invencion esta prevista simplemente para facilitar el entendimiento del metodo y las ideas basicas de la presente invencion. Al mismo tiempo, un experto en esta tecnica puede realizar variaciones y modificaciones a la presente invencion en terminos de las puestas en practica espedficas y los alcances de aplicacion en conformidad con las ideas inventivas de la presente invencion. En resumen, el contenido de la especificacion no debe entenderse como una limitacion para la presente invencion.

Claims (18)

  1. 5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    REIVINDICACIONES
    1. Un metodo realizado por una entidad de red para optimizar y configurar una regla de deteccion, que comprende:
    recibir (S11) un trafico de red;
    extraer (S12) un paquete desde el trafico de red, e identificar, en conformidad con una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento de o una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
    salvaguardar (S13) la informacion relacionada con el protocolo y una correspondencia entre elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje;
    obtener (S14) una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el protocolo en una base de regla de vulnerabilidad, en funcion con la informacion relacionada con el protocolo identificada; y
    integrar la regla de vulnerabilidad obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto de reglas compacto comprende en una regla de vulnerabilidad que se establece en correspondencia con la informacion de protocolo relacionada identificada en la base de reglas de vulnerabilidad;
    antes de extraer un paquete procedente del trafico de red, el metodo comprende, ademas:
    establecer un margen de aprendizaje, en donde el margen de aprendizaje comprende un segmento de red o una direccion IP que se determina por anticipado; y
    en consecuencia, la extraccion de un paquete desde el trafico de red comprende:
    extraer, desde el trafico de red, un paquete con una direccion contenida dentro del margen de aprendizaje.
  2. 2. El metodo segun la reivindicacion 1, que comprende, ademas:
    realizar (S15) una deteccion de amenaza de protocolo en conformidad con el primer conjunto de reglas compacto.
  3. 3. El metodo segun la reivindicacion 1, que comprende, ademas:
    enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje a un usuario; y
    recibir el primer conjunto de reglas compacto proporcionado por el usuario cuando el usuario confirma el primer conjunto de reglas compacto.
  4. 4. El metodo segun la reivindicacion 3, que comprende, ademas:
    salvaguardar una informacion relacionada con el protocolo modificada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje; y
    seleccionar una regla de vulnerabilidad a partir de la base de reglas de vulnerabilidad en funcion de la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
  5. 5. El metodo segun la reivindicacion 1, que comprende, ademas:
    establecer un margen de valores de trafico validos, en donde el margen de valores validos es un porcentaje de trafico de tipo preestablecido dentro del trafico total; y
    despues de salvaguardar la informacion relacionada con el protocolo y la correspondencia entre elementos de la informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje, el metodo comprende, ademas:
    suprimir, desde la primera tabla de asociacion de aprendizaje, la informacion relacionada con el protocolo correspondiente al trafico mas alla del margen de valores de trafico validos.
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
  6. 6. Un metodo realizado por una entidad de red para optimizar y configurar una regla de deteccion, que comprende:
    recibir (S11) un trafico de red;
    extraer (S12) un paquete desde el trafico de red, e identificar, en conformidad con una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento o una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
    salvaguardar (S13) la informacion relacionada con el protocolo y la correspondencia entre elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje;
    obtener (S14) una regla de vulnerabilidad, que se establece en correspondencia con la informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en conformidad con la informacion relacionada con el protocolo identificada; y
    integrar la regla de vulnerabilidad obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
    antes de extraer un paquete desde el trafico de red, el metodo comprende, ademas:
    establecer un margen de valores de trafico validos, en donde el margen de valores validos es un porcentaje del trafico de tipo preestablecido en el trafico total; y
    en consecuencia, la extraccion de un paquete desde el trafico de red comprende:
    extraer un paquete en el trafico de al menos un protocolo de aplicacion a partir del trafico de red, en donde un porcentaje del trafico de cada protocolo de aplicacion en el al menos un protocolo de aplicacion en el trafico de red esta dentro del margen de valores validos.
  7. 7. El metodo segun la reivindicacion 6, que comprende, ademas:
    realizar (S15) una deteccion de amenaza de protocolo en funcion del primer conjunto de reglas compacto.
  8. 8. El metodo segun la reivindicacion 6, que comprende, ademas:
    enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje a un usuario; y
    recibir el primer conjunto de reglas compacto proporcionado por el usuario cuando el usuario confirma el primer conjunto de reglas compacto.
  9. 9. El metodo segun la reivindicacion 8, que comprende, ademas:
    salvaguardar la informacion relacionada con el protocolo modificada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje; y
    seleccionar una regla de vulnerabilidad desde la base de reglas de vulnerabilidad en funcion de la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
  10. 10. Un dispositivo para optimizar y configurar una regla de deteccion, que comprende: una unidad de recepcion de trafico (11), configurada para recibir un trafico de red;
    una unidad de extraccion (12), configurada para extraer un paquete desde el trafico de red;
    una unidad de identificacion de informacion, configurada para identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento de una combinacion de varios elementos de la informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version de software de servidor;
    5
    10
    15
    20
    25
    30
    35
    40
    45
    50
    55
    60
    65
    una primera unidad de salvaguarda (14), configurada para salvaguardar la informacion relacionada con el protocolo y la correspondencia entre elementos de informacion en la informacion relacionada con el protocolo hacia una primera tabla de asociacion de aprendizaje; y
    una primera unidad del primer conjunto de reglas compacto (15), configurada para obtener una regla de vulnerabilidad, que se establece en correspondencia con informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en funcion de la informacion relacionada con el protocolo identificada y para integrar la regla obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion del protocolo, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
    una primera unidad de establecimiento, configurada para establecer un margen de aprendizaje, en donde el margen de aprendizaje comprende un segmento de red o una direccion IP que se determina por anticipado;
    en donde
    la unidad de extraccion esta configurada, ademas, para extraer, desde el trafico de red, un paquete con una direccion contenida dentro del margen de aprendizaje.
  11. 11. El dispositivo segun la reivindicacion 10, que comprende, ademas:
    una unidad de deteccion, configurada para realizar una deteccion de amenaza sobre un protocolo en conformidad con el primer conjunto de reglas compacto.
  12. 12. El dispositivo segun la reivindicacion 10, que comprende, ademas:
    una unidad de envfo, configurada para enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje a un usuario; y
    una unidad de recepcion, configurada para: cuando el usuario confirma el primer conjunto de reglas compacto, recibir el primer conjunto de reglas compacto proporcionado por el usuario.
  13. 13. El dispositivo segun la reivindicacion 12, que comprende, ademas:
    una segunda unidad de salvaguarda, configurada para salvaguardar una informacion relacionada con el protocolo modificada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje, en donde
    la unidad del conjunto de reglas compacto esta configurada, ademas, para seleccionar una regla de vulnerabilidad desde la base de reglas de vulnerabilidad en funcion de la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
  14. 14. El dispositivo segun la reivindicacion 12, que comprende, ademas:
    una segunda unidad de establecimiento, configurada para establecer un margen de valores de trafico validos, en donde el margen de valores valido es un porcentaje de un trafico de tipo preestablecido en el trafico total; en donde
    la primera unidad de salvaguarda esta configurada, ademas, para suprimir, desde la primera tabla de asociacion de aprendizaje, una informacion relacionada con el protocolo en correspondencia con el trafico mas alla del margen de valores de trafico validos.
  15. 15. Un dispositivo para optimizar y configurar una regla de deteccion, que comprende: una unidad de recepcion de trafico (11), configurada para recibir un trafico de red;
    una unidad de extraccion (12), configurada para extraer un paquete desde el trafico de red;
    una unidad de identificacion de informacion, configurada para identificar, en funcion de una caractenstica del paquete, informacion relacionada con el protocolo utilizada en la red, incluyendo la informacion relacionada con el protocolo un elemento o una combinacion de varios elementos de informacion siguiente: un nombre de protocolo, un nombre de protocolo de aplicacion, un numero de puerto, un nombre de software de servidor y una version del software de servidor;
    una primera unidad de salvaguarda (14), configurada para salvaguardar la informacion relacionada con el protocolo y la correspondencia entre elementos de informacion en la informacion relacionada con el protocolo hacia una
    5
    10
    15
    20
    25
    30
    35
    40
    primera tabla de asociacion de aprendizaje; y
    una primera unidad del conjunto de reglas compacto (15), configurada para obtener una regla de vulnerabilidad que se establece en correspondencia con una informacion relacionada con el protocolo en una base de reglas de vulnerabilidad, en funcion de la informacion relacionada con el protocolo identificada; y para integrar la regla obtenida para generar un primer conjunto de reglas compacto cuando se identifican multiples conjuntos de informacion de protocolo, en donde el primer conjunto de reglas compacto consiste en una regla de vulnerabilidad que se establece en correspondencia con la informacion relacionada con el protocolo identificada en la base de reglas de vulnerabilidad;
    una segunda unidad de establecimiento, configurada para establecer un margen de valores de trafico validos, en donde el margen de valores validos es un porcentaje del trafico de tipo preestablecido en el trafico total;
    en donde
    la unidad de extraccion esta configurada, ademas, para extraer un paquete en el trafico de al menos un protocolo de aplicacion desde el trafico de red, en donde un porcentaje del trafico de cada protocolo de aplicacion en el al menos un protocolo de aplicacion en el trafico de red esta dentro del margen de valores validos.
  16. 16. El dispositivo segun la reivindicacion 15, que comprende, ademas:
    una unidad de deteccion, configurada para realizar una deteccion de amenaza sobre un protocolo en conformidad con el primer conjunto de reglas compacto.
  17. 17. El dispositivo segun la reivindicacion 15, que comprende, ademas:
    una unidad de envfo configurada para enviar el primer conjunto de reglas compacto y la primera tabla de asociacion de aprendizaje a un usuario; y
    una unidad de recepcion, configurada para: cuando el usuario confirma el primer conjunto de reglas compacto, recibir el primer conjunto de reglas compacto proporcionado por el usuario.
  18. 18. El dispositivo segun la reivindicacion 17, que comprende, ademas:
    una segunda unidad de salvaguarda, configurada para salvaguardar una informacion relacionada con el protocolo modificada hacia una segunda tabla de asociacion de aprendizaje cuando el usuario cambia la informacion relacionada con el protocolo en la primera tabla de asociacion de aprendizaje, en donde
    la unidad del conjunto de reglas compacto esta configurada, ademas, para seleccionar una regla de vulnerabilidad desde la base de reglas de vulnerabilidad en funcion de la segunda tabla de asociacion de aprendizaje, con el fin de generar un segundo conjunto de reglas compacto.
ES12862305.5T 2011-12-31 2012-08-24 Método y dispositivo para configurar y optimizar una regla de detección Active ES2609861T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN201110459531 2011-12-31
CN201110459531.3A CN103384213B (zh) 2011-12-31 2011-12-31 一种检测规则优化配置方法及设备
PCT/CN2012/080571 WO2013097476A1 (zh) 2011-12-31 2012-08-24 一种检测规则优化配置方法及设备

Publications (1)

Publication Number Publication Date
ES2609861T3 true ES2609861T3 (es) 2017-04-24

Family

ID=48696319

Family Applications (1)

Application Number Title Priority Date Filing Date
ES12862305.5T Active ES2609861T3 (es) 2011-12-31 2012-08-24 Método y dispositivo para configurar y optimizar una regla de detección

Country Status (5)

Country Link
US (1) US9411957B2 (es)
EP (1) EP2760162B1 (es)
CN (1) CN103384213B (es)
ES (1) ES2609861T3 (es)
WO (1) WO2013097476A1 (es)

Families Citing this family (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104363135B (zh) * 2014-11-13 2017-11-10 凌云天博光电科技股份有限公司 有线电视网络设备风险检测方法及装置
US10320813B1 (en) 2015-04-30 2019-06-11 Amazon Technologies, Inc. Threat detection and mitigation in a virtualized computing environment
US10541903B2 (en) * 2015-10-02 2020-01-21 Futurewei Technologies, Inc. Methodology to improve the anomaly detection rate
CN106921637B (zh) * 2015-12-28 2020-02-14 华为技术有限公司 网络流量中的应用信息的识别方法和装置
US9972092B2 (en) * 2016-03-31 2018-05-15 Adobe Systems Incorporated Utilizing deep learning for boundary-aware image segmentation
US10609119B2 (en) * 2017-11-03 2020-03-31 Salesforce.Com, Inc. Simultaneous optimization of multiple TCP parameters to improve download outcomes for network-based mobile applications
JP7167585B2 (ja) * 2018-09-20 2022-11-09 富士フイルムビジネスイノベーション株式会社 障害検出装置、障害検出方法及び障害検出プログラム
CN110336798B (zh) * 2019-06-19 2022-05-13 南京中新赛克科技有限责任公司 一种基于dpi的报文匹配过滤方法及其装置
US11621970B2 (en) * 2019-09-13 2023-04-04 Is5 Communications, Inc. Machine learning based intrusion detection system for mission critical systems
CN112532565B (zh) * 2019-09-17 2022-06-10 中移(苏州)软件技术有限公司 一种网络数据包检测方法、装置、终端及存储介质
CN110933094A (zh) * 2019-12-04 2020-03-27 深信服科技股份有限公司 一种网络安全设备及其smb漏洞检测方法、装置和介质
CN111064730A (zh) * 2019-12-23 2020-04-24 深信服科技股份有限公司 网络安全检测方法、装置、设备及存储介质
CN111314289B (zh) * 2019-12-26 2022-04-22 青岛海天炜业过程控制技术股份有限公司 一种识别基于以太网的工控协议危险通讯数据的方法
CN115102734B (zh) * 2022-06-14 2024-02-20 北京网藤科技有限公司 一种基于数据流量的漏洞识别系统及其识别方法

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US7966655B2 (en) * 2006-06-30 2011-06-21 At&T Intellectual Property Ii, L.P. Method and apparatus for optimizing a firewall
CN100440811C (zh) * 2006-12-25 2008-12-03 杭州华三通信技术有限公司 网络攻击检测方法及装置
CN101018121B (zh) * 2007-03-15 2011-03-09 杭州华三通信技术有限公司 日志的聚合处理方法及聚合处理装置
US20090271857A1 (en) * 2008-04-25 2009-10-29 Jia Wang Method and apparatus for filtering packets using an approximate packet classification
CN101577675B (zh) * 2009-06-02 2011-11-09 杭州华三通信技术有限公司 IPv6网络中邻居表保护方法及邻居表保护装置
US8307418B2 (en) * 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device

Also Published As

Publication number Publication date
US9411957B2 (en) 2016-08-09
EP2760162A4 (en) 2015-01-14
WO2013097476A1 (zh) 2013-07-04
EP2760162A1 (en) 2014-07-30
CN103384213B (zh) 2017-07-21
EP2760162B1 (en) 2016-10-12
CN103384213A (zh) 2013-11-06
US20140289856A1 (en) 2014-09-25

Similar Documents

Publication Publication Date Title
ES2609861T3 (es) Método y dispositivo para configurar y optimizar una regla de detección
CN109600363B (zh) 一种物联网终端网络画像及异常网络访问行为检测方法
EP2953298A1 (en) Log analysis device, information processing method and program
EP4340298A2 (en) Efficient packet capture for cyber threat analysis
RU2634209C1 (ru) Система и способ автогенерации решающих правил для систем обнаружения вторжений с обратной связью
CN112087415B (zh) 基于应用路径的网络业务控制
CN107995226A (zh) 一种基于被动流量的设备指纹识别方法
US11223633B2 (en) Characterizing unique network flow sessions for network security
US10158733B2 (en) Automated DPI process
CN109995582A (zh) 基于实时状态的资产设备管理系统及方法
US20120173712A1 (en) Method and device for identifying p2p application connections
US20170208083A1 (en) Network management device at network edge
CN109309591B (zh) 流量数据统计方法、电子设备及存储介质
EP3208976A1 (en) Control device, border router, control method and control program
CN111083157B (zh) 报文过滤规则的处理方法和装置
CN110392039A (zh) 基于日志和流量采集的网络系统事件溯源方法及系统
CN108737385A (zh) 一种基于dns映射ip的恶意域名匹配方法
WO2018130137A1 (zh) 一种防御网络攻击的方法、装置、介质及设备
CN110210213A (zh) 过滤恶意样本的方法及装置、存储介质、电子装置
CN110313161B (zh) 对数据库上的放大攻击的基于ipfix的检测
US20220407875A1 (en) System and method for detection of malicious network resources
US11863584B2 (en) Infection spread attack detection device, attack origin specification method, and program
Oluwabukola et al. A Packet Sniffer (PSniffer) application for network security in Java
US11757915B2 (en) Exercising security control point (SCP) capabilities on live systems based on internal validation processing
CN112769739A (zh) 数据库操作违规处理方法、装置及设备