FR2887053A1 - Systeme de defense unifiee de zone de securite d'informations de reseau - Google Patents
Systeme de defense unifiee de zone de securite d'informations de reseau Download PDFInfo
- Publication number
- FR2887053A1 FR2887053A1 FR0552780A FR0552780A FR2887053A1 FR 2887053 A1 FR2887053 A1 FR 2887053A1 FR 0552780 A FR0552780 A FR 0552780A FR 0552780 A FR0552780 A FR 0552780A FR 2887053 A1 FR2887053 A1 FR 2887053A1
- Authority
- FR
- France
- Prior art keywords
- network
- defense
- service
- user computer
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/02—Standardisation; Integration
- H04L41/0213—Standardised network management protocols, e.g. simple network management protocol [SNMP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L49/00—Packet switching elements
- H04L49/55—Prevention, detection or correction of errors
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
L'invention concerne un système de défense unifiée de zone de sécurité d'information de réseau surveillant l'état de connexion d'un sous système de réseau par un serveur de défense de réseau (70), dans lequel, une fois que le serveur de défense de réseau a détecté qu'un ordinateur d'utilisateur (60) du système de réseau déclenche la condition d'une défense unifiée de zone de réseau, le serveur de défense de réseau se connecte immédiatement et automatiquement à un commutateur de réseau (80) spécifié de sorte que le commutateur de réseau spécifié interrompt un service d'accès au réseau fourni à l'ordinateur d'utilisateur.
Description
SYSTEME DE DEFENSE UNIFIEE DE ZONE DE SECURITE
D'INFORMATIONS DE RESEAU Domaine de l'invention La présente invention concerne un mécanisme de sécurité d'informations de réseau et plus particulièrement un système de défense unifiée de zone de sécurité d'informations de réseau comportant un serveur de défense de réseau pour surveiller les états de connexion au réseau d'ordinateurs d'utilisateurs dans un réseau et pour déconnecter du réseau un ordinateur d'utilisateur quand le serveur de défense de réseau détecte que l'ordinateur de l'utilisateur a un comportement anormal violant des règles du service d'accès au réseau, de façon à empêcher efficacement des virus provoquant un comportement anormal de continuer à s'étendre dans le réseau ou d'autres sous-systèmes du réseau. Arrière-plan de l'invention Actuellement, avec le développement rapide de l'Internet et du commerce électronique, les gens sont très optimistes sur les opportunités commerciales offertes par les réseaux.
Toutefois, les utilisateurs privés ou professionnels, quand ils utilisent beaucoup les communications par réseau, doivent faire face à diverses menaces potentielles sur la sécurité du réseau telles qu'une dispersion de virus et une invasion par des pirates informatiques. Par exemple, avec les caractéristiques de système ouvert et de transmission commode de l'Internet, le but des attaques de certains pirates n'est pas d'envahir des systèmes informatiques de sociétés pour voler ou modifier des données de sites Web, mais de réaliser ce que l'on appelle une attaque par saturation (ou attaque DDoS - de l'anglais Distributed Denial of Service) en envoyant une grande quantité de paquets avec des adresses de sources fictives par l'intermédiaire de plusieurs ordinateurs répartis en divers emplacements. Ainsi, le serveur du réseau des victimes est paralysé et ne peut pas fournir les services normaux en raison du fait que le taux de connexion normal chute en dessous de 1 Pour paralyser un ou plusieurs sites cible, les attaques DDoS envoient simultanément une quantité massive de données qui est bien supérieure à la charge que le réseau ou les ordinateurs attaqués peuvent traiter, plutôt que d'interrompre le programme d'exploitation du serveur de réseau attaqué. Ainsi, les attaques DDoS impliquent de commencer simultanément les attaques par saturation sur plusieurs ensembles d'ordinateurs du réseau par une technique de sources réparties de réseau, de sorte que le serveur de réseau attaqué doit faire face à des ennemis provenant, par le réseau, de plusieurs centaines d'ordinateurs. En conséquence, une attaque DDoS nécessite que plusieurs ordinateurs agissent comme des démons. Les démons visent simultanément une cible pour commencer une attaque de paralysie si le pirate envoie un ordre d'attaque. Avant de commencer secrètement une attaque DDoS, les pirates doivent obtenir de façon illégale des mots de passe d'ordinateurs spécifiques en les volant ou par espionnage puis prendre le contrôle des ordinateurs et les amener à fonctionner en maîtres.
Dans l'intervalle, les pirates placent un programme d'arrière-plan dans les maîtres envahis puis commencent à essayer d'envahir plusieurs ordinateurs du réseau par l'intermédiaire du programme d'arrière-plan installé dans les maîtres pour obtenir que suffisamment d'ordinateurs agissent comme des démons. Enfin, les pirates placent un programme maître d'attaque dans les ordinateurs maître pour ordonner aux démons de commencer simultanément les attaques DDoS et également mettent un programme d'attaque dans les démons pour exécuter l'attaque paralysante.
De façon générale, le procédé d'attaque DDoS utilise essentiellement la vulnérabilité dans le mode requête et réponse du protocole de communication TCP/IP pour mettre en oeuvre l'attaque. Dans un système en réseau typique, les deux parties en communication s'envoient habituellement un paquet de requête pour assurer une connexion convenable pour leurs communications et attendent d'acquérir un paquet de réponse correct en provenance de l'autre partie. Une connexion convenable est assurée si la partie répondante envoie un paquet de réponse correct en réponse. Par exemple, si la partie A est connectée pour comuniquer avec la partie B selon le protocole de communication TCP/IP, alors la partie A enverra un paquet SYN à la partie B. La partie B répondra à la partie A par un paquet SYN-ACK à condition que la partie B ait reçu le paquet de requête. De façon similaire, la partie A enverra un paquet ACK à la partie B pour confir- mation. Après achèvement de ce processus, la connexion entre les parties A et B est assurée pour la transmission de données. Dans le mode de communication susmentionné, un pirate peut tenter de produire la quantité de paquets SYN vers un ordinateur spécifique sur le réseau sans renvoyer le paquet ACK à cet ordi- nateur, de sorte que l'ordinateur ou le réseau cible attaqué sera ralenti ou mis en défaut puisqu'il ne peut traiter la quantité de paquets pourris produits ou fabriqués par le pirate.
Pour éviter efficacement une attaque DDoS, les administrateurs du système doivent trouver l'ordinateur du réseau sur lequel on a installé un programme d'attaque résident permanent avant de pouvoir résoudre la menace des attaques DDoS. Actuellement, il y a plusieurs outils pour détecter des pro-grammes d'attaque résidents permanents. Par exemple, dans un système d'exploitation Windows, le programme "Internet Scanner 6. 01" et le programme "RealSecure 3.2.1" de Ils peuvent être utilisés pour l'analyse, le premier pouvant analyser par exemple le programme d'attaque résident permanent de réseau "TribeFlood" et aider à trouver la vulnérabilité du site Web pour empêcher le site de devenir un serveur pour des pirates pour mettre en oeuvre l'attaque DDoS, et le deuxième pouvant détecter la communication entre le maître et le démon du DDoS et empêcher efficacement un pirate de commencer l'attaque DDoS. En outre, le NIPC anglais a également développé un programme pour découvrir une attaque DDoS et ce programme permet aux administrateurs de sys- tème de tester leurs systèmes et de vérifier si un programme similaire à un programme d'attaque DDoS est installé ou non. Enfin, les administrateurs de système peuvent surveiller leurs ordinateurs ou routeurs et éliminer tout paquet anormal avec des adresses de source IP fictives telles que 10. 0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16 ou fermer tous les accès de service qui ne sont pas requis par l'ordinateur du réseau. Dans l'intervalle, l'administrateur du système peut également établir une liste d'inscription possible sur l'ordinateur ou le routeur du réseau pour empêcher des invasions. Toutefois, la plupart des administrateurs de système ne peuvent pas protéger leurs systèmes en raison du fait que les attaques démarrent de façon interne. La seule chose que l'administrateur du système peut faire est de prendre des actions curatives après l'apparition d'attaques. Toutefois, il est alors trop tard. En fait, un mécanisme de sécurité de réseau est établi pour découvrir et arrêter automatiquement tout fonctionnement anormal du réseau par un mécanisme automatique pour éviter de façon efficace et à temps toute attaque maligne ou endommagement sérieux qui peut paralyser le réseau. Par exemple, l'administrateur du système peut établir une liste noire pour l'accès et le service du réseau. Actuellement, il existe de nombreux serveurs de réseau tels que des commutateurs et des moyens de sécurité de réseau comprenant des pare-feux ou analogue qui constituent un mécanisme pour surveiller le débit dans un réseau et contrôler l'accès au réseau. Toutefois, il manque à ces serveurs de réseau un mécanisme interactif et ils ne peuvent être connectés à temps au système et sont ainsi incapables d'éviter efficacement des attaques malignes sur le réseau.
Actuellement, les techniques de commande et de gestion de connexion à un réseau surveillent seulement un paquet anormal ou une connexion violant les règles du réseau pour refuser un service quand le paquet passe par les serveurs de sécurité du réseau, mais elles ne peuvent pas détecter une circulation qui ne passe pas par le serveur de sécurité du réseau et ne peuvent effectivement refuser la connexion au réseau de l'ordinateur d'un utilisateur. Si des attaques de réseau continues ou en grand nombre ou des accès anormaux au réseau se produisent, l'administrateur du réseau continuera à traiter les accès et les services de réseau refusés et deviendra très occupé. En outre, l'administrateur de réseau peut faire peu attention à prendre soin efficacement et en temps voulu des attaques malignes du réseau. En conséquence, une approche consiste à connecter un commutateur de réseau par l'intermédiaire d'un ordinateur de gestion de réseau et à changer manuellement les réglages du commutateur pour déconnecter le réseau de l'ordinateur de l'utilisateur. Cet agencement ne peut assurer efficacement et à temps une fonction de protection active et entraîne généralement des endommagements sérieux. Comme l'illustre à titre d'exemple la figure 1, un réseau Internet classique comprend un ordinateur de gestion de réseau 11, un serveur de défense du réseau 20, une pluralité de commutateurs de réseau 30, 31, 40, 41 pour diverses parties A, B et C du réseau, plusieurs serveurs 50 connectés au serveur de défense de réseau 20 et plusieurs ordinateurs d'utilisateurs 10, 12 connectés au commutateur de réseau 31.
Pour illustrer la description précédente, le système de réseau prendra des actions suivantes et mettra en oeuvre le procédé suivant quand il rencontrera une attaque de virus.
(1) Un ordinateur d'utilisateur 10 (d'adresse IP 192.168.1.2) est infecté par un virus ver, ou WORM, (WORM MSBLAST.A) et commence à envoyer la quantité de paquets TCP SYN (accès DST: 135) et balaye tous les ordinateurs du réseau dans lesquels est installé un système d'exploitation Windows, et puis disperse le virus vers ces ordinateurs en raison de la vulnérabilité au dépassement RPC DCOM du système d'exploitation Windows.
(2) Si les paquets TCP SYN (accès DST: 135) passent par un serveur de défense de réseau 20 et que l'administrateur de réseau a parachevé le montage de sécurité sur le serveur de défense de réseau 20, alors les paquets TCP SYNC (accès DST: 135) seront bloqués avec succès et les paquets ne seront pas envoyés vers les sous-ensembles B et C du réseau. Si l'administrateur de réseau a démarré une alerte appropriée et un réglage d'enregistrement pour le serveur de défense de réseau 20, alors l'administrateur de réseau doit installer à nouveau le serveur de défense de réseau 20 pour vérifier l'enregistrement Log (inscription) pour analyser les ordinateurs et vérifier s'il y a un comportement anormal d'un ordinateur d'utilisateur tel que l'envoi d'une grande quantité de paquets TCP SYN (accès DST: 135).
(3) Puisque les commutateurs de réseau 30 et 31 tels que représentés en figure 1 appartiennent au même sous ensemble A du réseau, le serveur de défense de réseau 20 ne peut pas fournir les paquets TCP SYN (accès DST: 135) à partir de l'ordinateur dans le même sous-réseau du réseau pour réaliser le blocage et en conséquence le sous-réseau A du réseau est connecté aux commutateurs de réseau 30, 31 et a la même vulnérabilité aux autres ordinateurs d'utilisateurs 12, qui peuvent être affectés par le virus et l'attaque DDoS.
(4) En conséquence l'administrateur de réseau doit utiliser un ordinateur de gestion de réseau 11 pour parachever l'analyse d'alerte et traiter l'enregistrement comme cela est décrit à l'étape (2) pour s'assurer que l'ordinateur attaqué 10 est connecté au réseau par l'intermédiaire du commutateur de réseau 31 et alors l'ordinateur de gestion de réseau 11 est connecté au commutateur de réseau 31 pour établir un refus de service du réseau pour l'ordinateur 10. Toutefois, réaliser le processus de refus de service prend longtemps et le virus peut s'être déjà répandu vers d'autres ordinateurs des sous-réseaux A, B et C du réseau.
Au vu de la description qui précède, les serveurs classiques de défense de réseau manquent d'un mécanisme interactif et ne peuvent donc se connecter à temps les uns aux autres pour empêcher efficacement une attaque maligne sur le réseau. C'est un objet important pour les compagnies de gestion de réseau de trouver une façon d'intégrer les serveurs de défense de réseau de sorte que, tant qu'un ordinateur d'utilisateur découvre un réseau anormal, l'ordinateur d'utilisateur peut déconnecter à temps la source et interrompre le service de connexion au réseau de l'ordinateur d'utilisateur, de façon à éviter d'autres endom- magements par le virus du même sous-réseau ou d'un autre sous-réseau du réseau ainsi que pour empêcher un démarrage d'attaque DDoS qui paralyserait le serveur du réseau.
RESUME DE L'INVENTION En raison du fait que les techniques de commande de connexion de réseau de l'art antérieur recherchent seulement un paquet anormal ou l'établissement d'une saturation pour un débit sur le réseau qui viole la politique du réseau, mais ne peuvent pas déconnecter automatiquement et à temps le réseau anormal en fonction de la source, le présent inventeur, sur la base d'années d'expérience dans le développement des applications et des systèmes de réseau a effectué des recherches et des expériences intensives sur les caractéristiques et procédés de dispersion de virus pour paralyser des sites et a finalement proposé un système de défense unifiée de zone de sécurité d'informations de réseau selon la présente invention.
Ainsi, l'un des objets de l'invention est de détecter un état de connexion de réseau par l'intermédiaire d'un serveur de défense de réseau. Une fois que le serveur de défense de réseau a détecté un ordinateur d'utilisateur du réseau qui a un comportement anormal violant les règles de service d'accès au réseau, le serveur de défense de réseau empêche immédiatement la connexion anormale en connectant automatiquement au commutateur de réseau fournissant les connexions de réseau pour les ordinateurs d'utilisateur, en commandant le commutateur de réseau pour déconnecter la connexion de réseau de l'ordinateur d'utilisateur et en refusant rapidement les services à l'ordinateur d'utilisateur envoyant des paquets malins ou violant la politique d'accès au réseau, de façon à empêcher efficacement des virus ou un pirate de continuer de se répandre dans le réseau ou des sous- réseaux du réseau, et en outre à empêcher le virus d'initier une attaque DDoS ou de paralyser le serveur du réseau, réduisant ainsi beaucoup les dommages et les pertes sur le système de réseau.
Un autre objet de la présente invention est de prévoir un serveur de défense de réseau qui envoie une commande d'interruption en fonction d'au moins une condition critique et l'administrateur de réseau n'a pas besoin de perdre du temps à trouver l'ordinateur infecté. Après avoir localisé l'ordinateur infecté, l'administrateur de réseau ne doit pas appliquer manuellement un ordre de refus de service pour déconnecter la connexion au réseau de l'ordinateur infecté ainsi que ses conunutateurs de réseau connectés, réduisant ainsi beaucoup les services de maintenance et le temps requis pour la gestion du réseau.
Un autre objet de la présente invention est d'utiliser le protocole de gestion de réseau simple (Simple Network Management Protocol ou SNMP) pour ajouter une nouvelle fonction à un serveur de défense de réseau et définir les conditions pour initier la défense unifiée de zone de réseau par l'administrateur de réseau. Une fois qu'un ordinateur d'utilisateur fournit des paquets d'un flux qui déclenche de telles conditions, le serveur de défense de réseau utilise le SNMP pour envoyer un ordre de refus de service au commutateur de réseau, de sorte que, après que le commutateur de réseau a reçu l'ordre de refus de service du réseau, l'établissement de l'ordre de refus de service du réseau est parachevé immédiatement, de façon à interrompre le service d'accès au réseau de l'ordinateur d'utilisateur, et à renvoyer un paquet de réponse au serveur de défense de réseau pour confirmer le succès de l'interruption du service d'accès au réseau fournie par le commutateur de réseau de l'ordinateur d'utilisateur.
Brève description des dessins
Ces objets, caractéristiques et avantages, ainsi que d'autres de la présente invention seront exposés en détail dans la description suivante de modes de réalisation particuliers faite à titre non-limitatif en relation avec les figures jointes parmi lesquelles: la figure 1 est une vue schématique de la connexion d'un système de réseau selon l'art antérieur; la figure 2 est un organigramme d'un serveur de 15 défense de réseau selon un mode de réalisation préféré de la présente invention; et la figure 3 est une vue schématique de la connexion d'un système de réseau selon un mode de réalisation préféré de l'invention.
Description détaillée des modes de réalisation préférés La présente invention concerne un système de défense unifiée de zone de sécurité d'informations de réseau qui utilise un protocole de gestion de réseau simple (SNMP) pour vérifier un état de connexion au réseau d'un serveur de défense de réseau, tel qu'un pare-feu, un gestionnaire de largeur de bande, un système anti-intrusion (IDS) ou un analyseur de flux pour ajouter une fonction et définir les conditions d'initialisation d'une défense unifiée de zone requise par l'administrateur de réseau pour le réseau. Une fois que l'une des conditions au moins est déclenchée par exemple par la quantité de paquets envoyés par un ordinateur d'utilisateur, le serveur de défense de réseau se connectera immédiatement et automatiquement à un ou plusieurs des commutateurs de réseau et le SNMP sera utilisé pour envoyer un ordre de refus de service au commutateur de réseau de façon à réaliser immédiatement l'établissement de l'interruption pour le service d'accès au réseau de l'ordinateur d'utilisateur après que le commutateur de réseau a reçu l'ordre de refus de service, à interrompre le service d'accès au réseau de l'ordinateur d'utilisateur et à empêcher efficacement le virus de se répandre vers d'autres sous-réseaux du réseau. Un tel agencement empêche en outre le virus d'initier une attaque DDoS ou de paralyser le serveur du réseau, ce qui réduit les endommagements et les pertes sur le système de réseau. Dans l'intervalle, le commutateur de réseau renvoie un paquet de réponse au serveur de défense de réseau pour confirmer un succès d'interruption du service d'accès au réseau fourni par le commutateur de réseau de l'ordinateur d'utilisateur.
On notera que l'utilisation du SNMP pour définir les règles et produire un ordre d'interruption est une caractéris- tique avantageuse et préférée de la présente invention, puisque le SNMP appartient à un type de protocole de commande de transmission (TCP) ou protocole Internet (IP) et a été largement utilisé et est installé sur divers dispositifs ou systèmes de réseau actuels tels que des pare-feux, des gestionnaires de largeur de bande, des systèmes anti-intrusion, des analyseurs de débit, etc. Avec l'utilisation du SNMP, le système de défense unifiée de zone selon la présente invention est facilement appliqué à des dispositifs ou systèmes de réseau existants sans modifier le matériel et sans problèmes de compatibilité.
Toutefois, l'utilisation du SNMP n'est pas une limitation de la présente invention. De nombreuses modifications et variantes peuvent être apportées par l'homme de l'art sans sortir du domaine de l'invention.
En outre, les raisons qui amènent les ordinateurs d'utilisateurs susmentionnés à avoir des comportements anormaux se réfèrent généralement à divers comportements anormaux non observables par les utilisateurs, non autorisés par les utilisateurs, menaçant ou paralysant le fonctionnement normal de la communication en réseau de l'ordinateur d'utilisateur, ou provoqués par divers pirates ou virus; toutefois, l'invention n'est pas limitée à ces exemples. En outre, l'attaque et la menace peuvent prendre diverses formes telles que des attaques de débordement de tampon, des attaques de balayage d'accès, des attaques de cheval de Troie, des attaques de fragmentation d'IP, des attaques en ver (WORM), et des attaques de vulnérabilité de systèmes et d'application. Ainsi, les comportements anormaux ne sont pas limités aux seules attaques DDoS susmentionnées.
Quand le système selon la présente invention est mis en oeuvre, une fonction supplémentaire dans le serveur de défense de réseau du système de réseau permet à l'administrateur de réseau de définir les conditions de départ de la défense unifiée de zone de réseau. Ainsi, comme l'illustre la figure 2, le serveur de défense de réseau met en oeuvre le processus suivant pour détecter la violation d'une règle de service d'accès au réseau ou le déclenchement des conditions de la défense unifiée de zone de réseau par un ou plusieurs ordinateurs d'utilisateurs et pour interrompre en outre les services d'accès au réseau. Le processus inclut les étapes suivantes: étape (50) : détecter les données en paquets passant par le serveur de défense de réseau; étape (51) : analyser les données en paquets détectées pour déterminer si l'un des ordinateurs d'utilisateur déclenche ou non les conditions de la défense unifiée de zone de réseau, telles que le fait que l'on atteint une condition critique prédéterminée, incluant par exemple une quantité de paquets ou une largeur de bande; si oui passer à l'étape suivante, si non revenir à l'étape (50) ; étape (52) : lire l'adresse IP de l'ordinateur d'utilisateur qui déclenche la défense unifiée de zone de réseau ou viole 30 la règle de service d'accès au réseau; étape (53) : utiliser le SNMP pour envoyer un ordre de refus de service de réseau à un ou plusieurs commutateurs du réseau, une fois que le commutateur de réseau reçoit l'ordre de refus de service de réseau, le commutateur de réseau établit 35 une interruption du service d'accès au réseau de l'ordi-nateur d'utilisateur et bloque alors le service d'accès au réseau de l'ordinateur d'utilisateur pour empêcher efficace-ment le virus de se répandre vers d'autres sous-réseaux du réseau.
Pour décrire le concept et les performances de la présente invention, un mode de réalisation préféré est illustré à titre d'exemple en figure 3. Une fois que le système de réseau est infecté par un virus, le système de défense unifiée de zone de sécurité d'informations de réseau selon la présente invention met en oeuvre le processus suivant.
(1) Dans un système de réseau, un ordinateur d'utilisateur 60 ayant l'adresse 192.168.1.2 est affecté par un virus en ver (WORM MSBLAST. A) et commence à envoyer une grande quantité de paquets TCP SYN (accès DST: 135). Après balayage des autres ordinateurs dans lesquels le système d'exploitation Windows est installé et qui sont connectés au réseau, le virus se répand et lance l'attaque DDoS par suite de la vulnérabilité au débordement RPC DCOM du système d'exploitation Windows.
(2) Quand les paquets TCP SYN (accès DST 135) passent par un serveur de défense de réseau 70 dans lequel les conditions de déclenchement de défense unifiée de zone de réseau sont préétablies ou préfinies, par exemple éviter des attaques IDS, des adresses Http/Ftp ou une limite de dépassement, une limite de nombre de connexions d'utilisateur au réseau, etc., le serveur de défense de réseau 70 continue à surveiller le débit de paquets du réseau et analyse en outre si l'ordinateur d'utilisateur exécute ou non une transmission anormale d'une grande quantité de paquets TCP SYN (accès DST: 135).
(3) Si le serveur de défense de réseau 70 détecte un comportement anormal d'un ordinateur d'utilisateur 60, tel que l'envoi d'une grande quantité de paquets TCP SYN (accès DST: 135), il lira l'adresse IP de l'ordinateur d'utilisateur 60 qui viole la règle de service d'accès au réseau et, en fonction de l'adresse IP de l'ordinateur d'utilisateur 60, connectera auto- matiquement le commutateur de réseau 80 ou d'autres commutateurs de réseau prédéfinis ou préaffectés pour envoyer un ordre de refus de service de réseau (tel que refuser (192.168.1.2) tout TCP 137)).
(4) Le commutateur de réseau 80 établit une inter- ruption en relation avec l'ordre de refus de service de réseau puis interrompt immédiatement le service d'accès au réseau pour l'ordinateur d'utilisateur 60, de sorte que l'ordinateur d'utilisateur 60 d'adresse IP 192.168.1.2 est bloqué en la durée la plus courte possible pour empêcher les paquets du réseau d'entrer dans l'ensemble du réseau. Ainsi, on empêche efficacement le virus de se répandre sur tous les autres ordinateurs d'utilisateurs (non représentés dans la figure) du même sous-réseau du réseau, d'autres ordinateurs d'utilisateur sur le serveur de commutation du même sousréseau ou d'autres ordina- teurs d'utilisateurs (non représentés dans la figure) d'autres sous-réseaux du réseau.
Dans le mode de réalisation préféré susmentionné, sans limitation, l'adresse IP du serveur de défense de réseau 70 peut être 192.168.1.1 et l'adresse IP du commutateur de réseau 80 est 192.168.1.250. Une fois que le serveur de défense de réseau 70 détecte que l'ordinateur d'utilisateur 60 envoie une grande quantité de paquets TCP SYN (accès DST: 135) anormaux, il peut envoyer une requête d'établissement incluant le contenu ci-après par l'intermédiaire du SNMP selon l'adresse IP de l'ordinateur d'utilisateur pour informer le commutateur de réseau 80 d'inter-rompre le service d'accès au réseau pour l'ordinateur d'utilisateur 60 d'adresse IP 192.168.1.2.
où le commutateur de réseau 80 est un commutateur produit par la société D-Link (D-Link est une marque déposée de la société 35 D-Link) et son objet MIB 171.12.9.2.2.1.4.2.1 est une liste de IP: Adresse Source = [192. 168.1.1] IP: Adresse Destination = [192.168.1.250] SNMP: Commande = Requête Set (établissement) SNMP: Objet = {1.3.6.1.4.1.171.12.9.2.2.1.4.2. 1} SNMP: Valeur = [192.168.1.2] commande d'accès (ACL) acceptable par le serveur (ce paramètre MIB varie selon le modèle et la marque du commutateur) et le numéro du système est 9.2.2.1.4.2.1. Le serveur de défense de réseau 70 envoie une commande d'interruption de service d'accès au réseau de l'ordinateur d'utilisateur 60 ayant l'adresse IP 192. 168.1.2 à l'adresse MIB dans le commutateur D-Link par l'intermédiaire du SNMP.
Après que le commutateur de réseau 80 a reçu la commande de refus de service de réseau et que l'opération est achevée, le commutateur de réseau 80 répond par un paquet de réponse (Get réponse) incluant le contenu suivant pour le serveur de défense de réseau 70 pour informer le serveur de défense de réseau 70 que le service d'accès au réseau de l'ordinateur d'utilisateur 60 ayant l'adresse 192.168.1.2 dans le commutateur de réseau 80 est bloqué avec succès: IP: Adresse source = [192.168.1.250] IP: Adresse source = [192.168.1.1] SNMP: Commande = Get Réponse (obtenir réponse) SNMP: Objet = {1.3.6.1.4.1.171.12.9.2.2.1.4.2.1} SNMP: Valeur = [192.168.1.2]
Au vu de la description précédente, la présente
invention pilote un serveur de défense de réseau dans le système de réseau pour détecter automatiquement les paquets de réseau passant au travers. Si la quantité ou le débit de paquets d'un ordinateur d'utilisateur déclenche une défense unifiée de zone de réseau, alors un ordre de refus de service de réseau est automatiquement envoyé à un commutateur de réseau spécifiéet/ou à d'autres commutateurs pour interrompre inunédiatement la connexion au réseau de l'ordinateur d'utilisateur, et bloquer rapidement la connexion normale au réseau et réduire ainsi beaucoup les endommagements et les pertes provoqués par les comportements anormaux au système de réseau, de façon à augmenter efficacement les performances du réseau. Ainsi, il n'est pas nécessaire que l'administrateur de réseau perde du temps à trouver l'ordinateur infecté. En outre, il n'est également pas nécessaire que l'administrateur de réseau fournisse manuellement un ordre de refus de service de réseau pour l'ordinateur infecté. En conséquence, le service de réseau à la frontière du réseau (qui est également la plus proche de l'ordinateur infecté) est interrompu ce qui réduit beaucoup la maintenance et le temps requis pour la gestion du réseau.
Bien que la présente invention ait été décrite en relation avec des modes de réalisation particuliers, de nombreuses modifications et variantes apparaîtront à l'homme de l'art.
Claims (15)
1. Système de défense unifiée de zone de sécurité d'information de réseau surveillant l'état de connexion d'un sous système de réseau par un serveur de défense de réseau (70), dans lequel, une fois que le serveur de défense de réseau a détecté qu'un ordinateur d'utilisateur (60) du système de réseau déclenche la condition d'une défense unifiée de zone de réseau, le serveur de défense de réseau se connecte immédiatement et automatiquement à un commutateur de réseau (80) spécifié de sorte que le commutateur de réseau spécifié interrompt un service d'accès au réseau fourni à l'ordinateur d'utilisateur.
2. Système selon la revendication 1, dans lequel le serveur de défense de réseau est un pare-feu, un gestionnaire de largeur de bande, un système anti-intrusion ou un analyseur de débit.
3. Système selon la revendication 2, dans lequel le serveur de défense de réseau inclut un mécanisme pour définir les règles du service d'accès au réseau autorisées par l'administrateur de réseau et les conditions de déclenchement de la défense unifiée de zone de réseau.
4. Système selon la revendication 1, dans lequel, quand le serveur de défense de réseau détecte un comportement anormal de l'ordinateur d'utilisateur dans le système de réseau qui viole une règle de service d'accès au réseau, le système connecte immédiatement et automatiquement le serveur de défense 25 de réseau au commutateur de réseau spécifié et permet au commutateur de réseau spécifié d'interrompre le service d'accès au réseau fourni à l'ordinateur d'utilisateur.
5. Système selon la revendication 1, dans lequel le serveur de défense de réseau utilise un protocole de gestion de réseau simple (SNMP) pour envoyer un ordre de refus de service au commutateur de réseau spécifié pour interrompre le service d'accès au réseau fourni à l'ordinateur d'utilisateur.
6. Système selon la revendication 5, dans lequel, une fois que le commutateur de réseau spécifié a reçu l'ordre de 20 refus de service de réseau, le commutateur de réseau spécifié établit une interruption puis bloque le service d'accès au réseau fourni par le commutateur de réseau en fonction de l'interruption.
7. Procédé de commande d'un service de réseau comprenant les étapes suivantes: détecter (50) des données en paquets obtenues à partir d'un ordinateur d'utilisateur; déterminer (51) si des données en paquets satisfont ou 10 non à au moins une règle de service de réseau; et envoyer un ordre d'interruption à un serveur de commutation spécifié pour exécuter la commande d'interruption pour arrêter la transmission des données en paquets de l'ordinateur d'utilisateur à la condition que les données en paquets de l'ordinateur d'utilisateur satisfont à au moins une des règles de service de réseau.
8. Procédé de commande d'un service de réseau selon la revendication 7, dans lequel l'étape d'envoi comprend l'utilisation d'un protocole de gestion de réseau simple (SNMP) pour envoyer la commande d'interruption.
9. Procédé de commande d'un service de réseau selon la revendication 7, comprenant en outre le préétablissement des règles du service de réseau.
10. Procédé de commande d'un service de réseau selon la revendication 9, dans lequel l'étape de détermination comprend la comparaison d'une quantité de paquets des données en paquets de l'ordinateur d'utilisateur avec la règle de service du réseau.
11. Procédé de commande d'un service de réseau selon 30 la revendication 7, comprenant en outre le préétablissement des serveurs de commutation spécifiés.
12. Serveur de défense pour la sécurité d'un réseau, comprenant: un moyen d'établissement pour établir au moins l'une des règles de service du réseau et au moins l'un des serveurs de commutation spécifiés; un moyen de défense pour détecter des données en 5 paquets d'un ordinateur d'utilisateur; un moyen d'analyse pour comparer la règle de service de réseau aux données en paquets de l'ordinateur d'utilisateur; et un moyen de sécurité pour envoyer une commande d'inter- ruption pilotée par un résultat de comparaison, la commande d'interruption étant exécutée par le serveur de commutation spécifié pour bloquer l'émission des données en paquets de l'ordinateur d'utilisateur.
13. Serveur de défense pour la sécurité d'un réseau selon la revendication 12, dans lequel le moyen de sécurité utilise un protocole de gestion de réseau simple (SNMP) pour envoyer la commande d'interruption.
14. Serveur de défense pour la sécurité d'un réseau selon la revendication 12, dans lequel le moyen de défense est un pare-feu, un gestionnaire de largeur de bande, un système anti-intrusion ou un analyseur de débit.
15. Serveur de défense pour la sécurité d'un réseau selon la revendication 12, dans lequel le moyen d'analyse comprend un mécanisme pour définir les règles du service d'accès au réseau autorisées par l'administrateur de réseau et les conditions de déclenchement de la défense unifiée de zone de réseau.
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| TW094119203A TW200644495A (en) | 2005-06-10 | 2005-06-10 | Regional joint detecting and guarding system for security of network information |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| FR2887053A1 true FR2887053A1 (fr) | 2006-12-15 |
| FR2887053B1 FR2887053B1 (fr) | 2013-11-01 |
Family
ID=34983918
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| FR0552780A Active FR2887053B1 (fr) | 2005-06-10 | 2005-09-15 | Systeme de defense unifiee de zone de securite d'informations de reseau |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US20060282893A1 (fr) |
| DE (1) | DE102005037968B4 (fr) |
| FR (1) | FR2887053B1 (fr) |
| GB (1) | GB2427108B (fr) |
| IT (1) | ITMI20052288A1 (fr) |
| TW (1) | TW200644495A (fr) |
Families Citing this family (46)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4557815B2 (ja) * | 2005-06-13 | 2010-10-06 | 富士通株式会社 | 中継装置および中継システム |
| JP2007251866A (ja) * | 2006-03-20 | 2007-09-27 | Kyocera Mita Corp | 電子機器装置 |
| KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
| US9231911B2 (en) * | 2006-10-16 | 2016-01-05 | Aruba Networks, Inc. | Per-user firewall |
| CN101022459B (zh) * | 2007-03-05 | 2010-05-26 | 华为技术有限公司 | 预防病毒入侵网络的系统和方法 |
| US20090220088A1 (en) * | 2008-02-28 | 2009-09-03 | Lu Charisse Y | Autonomic defense for protecting data when data tampering is detected |
| US8732829B2 (en) * | 2008-04-14 | 2014-05-20 | Tdi Technologies, Inc. | System and method for monitoring and securing a baseboard management controller |
| TWI387259B (zh) * | 2008-08-01 | 2013-02-21 | Kathy T Lin | 監控網站應用程式使用情境安全性之系統、方法、監控程式產品及電腦可讀取記錄媒體 |
| CN102111394B (zh) * | 2009-12-28 | 2015-03-11 | 华为数字技术(成都)有限公司 | 网络攻击防护方法、设备及系统 |
| CN101984629B (zh) * | 2010-10-22 | 2013-08-07 | 北京工业大学 | 协作式识别基于Web服务中泄露用户隐私信息站点的方法 |
| CN102685737B (zh) * | 2011-03-07 | 2016-08-03 | 中兴通讯股份有限公司 | 合法监听的方法和系统 |
| WO2013014672A1 (fr) * | 2011-07-26 | 2013-01-31 | Light Cyber Ltd | Procédé de détection d'actions anormales dans un réseau informatique |
| WO2013154532A1 (fr) * | 2012-04-10 | 2013-10-17 | Intel Corporation | Techniques destinées au contrôle des chemins de connexion sur des dispositifs en réseau |
| CN102801739A (zh) * | 2012-08-25 | 2012-11-28 | 乐山师范学院 | 基于云计算环境的网络风险测定取证方法 |
| KR20140044970A (ko) * | 2012-09-13 | 2014-04-16 | 한국전자통신연구원 | 접근 제어 목록을 이용한 공격 차단 제어 방법 및 그 장치 |
| US9979739B2 (en) | 2013-01-16 | 2018-05-22 | Palo Alto Networks (Israel Analytics) Ltd. | Automated forensics of computer systems using behavioral intelligence |
| US9094450B2 (en) | 2013-11-01 | 2015-07-28 | Xerox Corporation | Method and apparatus for a centrally managed network virus detection and outbreak protection |
| CN104539625B (zh) * | 2015-01-09 | 2017-11-14 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
| AT517155B1 (de) * | 2015-03-05 | 2018-08-15 | Siemens Ag Oesterreich | Verfahren zum Schutz vor einem Denial of Service Angriff auf ein Ein-Chip-System |
| US10693904B2 (en) * | 2015-03-18 | 2020-06-23 | Certis Cisco Security Pte Ltd | System and method for information security threat disruption via a border gateway |
| US10075461B2 (en) | 2015-05-31 | 2018-09-11 | Palo Alto Networks (Israel Analytics) Ltd. | Detection of anomalous administrative actions |
| CN105491057B (zh) * | 2015-12-28 | 2019-01-01 | 北京像素软件科技股份有限公司 | 防止分布式拒绝服务DDoS攻击的数据传输方法和装置 |
| US11368372B2 (en) | 2016-06-03 | 2022-06-21 | Nutanix, Inc. | Detection of outlier nodes in a cluster |
| US10686829B2 (en) | 2016-09-05 | 2020-06-16 | Palo Alto Networks (Israel Analytics) Ltd. | Identifying changes in use of user credentials |
| CN106790023B (zh) * | 2016-12-14 | 2019-03-01 | 平安科技(深圳)有限公司 | 网络安全联合防御方法和装置 |
| US20180183799A1 (en) * | 2016-12-28 | 2018-06-28 | Nanning Fugui Precision Industrial Co., Ltd. | Method and system for defending against malicious website |
| CN106888224B (zh) * | 2017-04-27 | 2020-05-19 | 中国人民解放军信息工程大学 | 网络安全防护架构、方法及系统 |
| US10116686B1 (en) * | 2017-10-16 | 2018-10-30 | Gideon Eden | Systems and methods for selectively insulating a processor |
| US10733072B2 (en) * | 2017-11-03 | 2020-08-04 | Nutanix, Inc. | Computing system monitoring |
| TWI677213B (zh) | 2017-11-23 | 2019-11-11 | 財團法人資訊工業策進會 | 監控裝置、方法及其電腦程式產品 |
| CN107864149A (zh) * | 2017-11-28 | 2018-03-30 | 苏州市东皓计算机系统工程有限公司 | 一种计算机网络身份验证系统 |
| TWI663523B (zh) * | 2018-02-06 | 2019-06-21 | 可立可資安股份有限公司 | 資安攻防規劃之管理系統 |
| US10999304B2 (en) | 2018-04-11 | 2021-05-04 | Palo Alto Networks (Israel Analytics) Ltd. | Bind shell attack detection |
| US11184376B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Port scan detection using destination profiles |
| US11184378B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Scanner probe detection |
| US11184377B2 (en) | 2019-01-30 | 2021-11-23 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using source profiles |
| US11316872B2 (en) | 2019-01-30 | 2022-04-26 | Palo Alto Networks (Israel Analytics) Ltd. | Malicious port scan detection using port profiles |
| US11070569B2 (en) | 2019-01-30 | 2021-07-20 | Palo Alto Networks (Israel Analytics) Ltd. | Detecting outlier pairs of scanned ports |
| CN110177100B (zh) * | 2019-05-28 | 2022-05-20 | 哈尔滨工程大学 | 一种协同网络防御的安全设备数据通信协议 |
| CN111314282A (zh) * | 2019-12-06 | 2020-06-19 | 李刚 | 零信任网络安全系统 |
| US11012492B1 (en) | 2019-12-26 | 2021-05-18 | Palo Alto Networks (Israel Analytics) Ltd. | Human activity detection in computing device transmissions |
| US11108800B1 (en) | 2020-02-18 | 2021-08-31 | Klickklack Information Security Co., Ltd. | Penetration test monitoring server and system |
| TWI772832B (zh) * | 2020-07-07 | 2022-08-01 | 財金資訊股份有限公司 | 網路正常行為之資安盲點偵測系統及其方法 |
| TWI802804B (zh) * | 2020-07-09 | 2023-05-21 | 台眾電腦股份有限公司 | 多資安軟體之資訊安全管理系統 |
| US11509680B2 (en) | 2020-09-30 | 2022-11-22 | Palo Alto Networks (Israel Analytics) Ltd. | Classification of cyber-alerts into security incidents |
| US11799880B2 (en) | 2022-01-10 | 2023-10-24 | Palo Alto Networks (Israel Analytics) Ltd. | Network adaptive alert prioritization system |
Family Cites Families (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5878224A (en) * | 1996-05-24 | 1999-03-02 | Bell Communications Research, Inc. | System for preventing server overload by adaptively modifying gap interval that is used by source to limit number of transactions transmitted by source to server |
| US6167520A (en) * | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
| US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
| DE60110792T2 (de) * | 2000-06-30 | 2006-02-23 | British Telecommunications P.L.C. | Paketkommunikationssystem |
| US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
| WO2002071227A1 (fr) * | 2001-03-01 | 2002-09-12 | Cyber Operations, Llc | Systeme et procede anti-piratage de reseau |
| US20040001433A1 (en) * | 2001-07-18 | 2004-01-01 | Gram Charles Andrew | Interactive control of network devices |
| US7181765B2 (en) * | 2001-10-12 | 2007-02-20 | Motorola, Inc. | Method and apparatus for providing node security in a router of a packet network |
| NZ516346A (en) * | 2001-12-21 | 2004-09-24 | Esphion Ltd | A device for evaluating traffic on a computer network to detect traffic abnormalities such as a denial of service attack |
| US20040111632A1 (en) * | 2002-05-06 | 2004-06-10 | Avner Halperin | System and method of virus containment in computer networks |
| AU2003261154A1 (en) * | 2002-07-12 | 2004-02-02 | The Penn State Research Foundation | Real-time packet traceback and associated packet marking strategies |
| US20040047356A1 (en) * | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
| DE10241974B4 (de) * | 2002-09-11 | 2006-01-05 | Kämper, Peter | Überwachung von Datenübertragungen |
| US20040054925A1 (en) * | 2002-09-13 | 2004-03-18 | Cyber Operations, Llc | System and method for detecting and countering a network attack |
| US7516487B1 (en) * | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
| US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| EP1745631A1 (fr) * | 2004-05-12 | 2007-01-24 | Alcatel | Blocage automatique d'intrus de reseau |
-
2005
- 2005-06-10 TW TW094119203A patent/TW200644495A/zh unknown
- 2005-07-19 US US11/183,834 patent/US20060282893A1/en not_active Abandoned
- 2005-08-02 GB GB0515850A patent/GB2427108B/en active Active
- 2005-08-11 DE DE102005037968.0A patent/DE102005037968B4/de active Active
- 2005-09-15 FR FR0552780A patent/FR2887053B1/fr active Active
- 2005-11-29 IT IT002288A patent/ITMI20052288A1/it unknown
Also Published As
| Publication number | Publication date |
|---|---|
| TWI294726B (fr) | 2008-03-11 |
| DE102005037968B4 (de) | 2014-09-11 |
| US20060282893A1 (en) | 2006-12-14 |
| GB0515850D0 (en) | 2005-09-07 |
| ITMI20052288A1 (it) | 2006-12-11 |
| GB2427108A (en) | 2006-12-13 |
| DE102005037968A1 (de) | 2006-12-14 |
| GB2427108B (en) | 2010-05-19 |
| FR2887053B1 (fr) | 2013-11-01 |
| TW200644495A (en) | 2006-12-16 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| FR2887053A1 (fr) | Systeme de defense unifiee de zone de securite d'informations de reseau | |
| US7359962B2 (en) | Network security system integration | |
| Long et al. | Trends in denial of service attack technology | |
| AU2003222180B2 (en) | System and method for detecting an infective element in a network environment | |
| Ndatinya et al. | Network forensics analysis using Wireshark | |
| US7984493B2 (en) | DNS based enforcement for confinement and detection of network malicious activities | |
| US8904529B2 (en) | Automated deployment of protection agents to devices connected to a computer network | |
| US20180091547A1 (en) | Ddos mitigation black/white listing based on target feedback | |
| US20140013436A1 (en) | System and method for enabling remote registry service security audits | |
| US20060095968A1 (en) | Intrusion detection in a data center environment | |
| KR101156005B1 (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
| CN111295640B (zh) | 使用会话app id和端点进程id相关性的精细粒度防火墙策略实施 | |
| FR2852754A1 (fr) | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service | |
| Bansode et al. | Common vulnerabilities exposed in VPN–A survey | |
| La Cholter et al. | IBAN: intrusion blocker based on active networks | |
| Khosravifar et al. | An experience improving intrusion detection systems false alarm ratio by using honeypot | |
| Salehi et al. | Increasing overall network security by integrating signature-based NIDS with packet filtering firewall | |
| Stiawan et al. | Penetration testing and network auditing: Linux | |
| Behal et al. | Signature-based botnet detection and prevention | |
| Resmi et al. | Intrusion detection system techniques and tools: A survey | |
| US12003485B2 (en) | Outbound/inbound lateral traffic punting based on process risk | |
| Sulaman | An Analysis and Comparison of The Security Features of Firewalls and IDSs | |
| Akkaladevi et al. | Defending against Botnets. | |
| Pir | Intrusion Detection Systems with Snort | |
| Tsai et al. | A network safety-defense mechanism with the Linux security module |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PLFP | Fee payment |
Year of fee payment: 12 |
|
| PLFP | Fee payment |
Year of fee payment: 13 |
|
| PLFP | Fee payment |
Year of fee payment: 14 |
|
| PLFP | Fee payment |
Year of fee payment: 15 |
|
| PLFP | Fee payment |
Year of fee payment: 16 |
|
| PLFP | Fee payment |
Year of fee payment: 17 |
|
| PLFP | Fee payment |
Year of fee payment: 18 |
|
| PLFP | Fee payment |
Year of fee payment: 19 |