JP2006506853A - 能動的ネットワーク防衛システム及び方法 - Google Patents

能動的ネットワーク防衛システム及び方法 Download PDF

Info

Publication number
JP2006506853A
JP2006506853A JP2004551910A JP2004551910A JP2006506853A JP 2006506853 A JP2006506853 A JP 2006506853A JP 2004551910 A JP2004551910 A JP 2004551910A JP 2004551910 A JP2004551910 A JP 2004551910A JP 2006506853 A JP2006506853 A JP 2006506853A
Authority
JP
Japan
Prior art keywords
packet
packets
data flow
threat
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004551910A
Other languages
English (en)
Other versions
JP2006506853A5 (ja
Inventor
クレイグ キャントレル
ルメアー マーク ウィルビーク
デニス コックス
ジョン マクヘイル
ブライアン スミス
ドノヴァン コルブリー
Original Assignee
ティッピングポイント テクノロジーズ インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ティッピングポイント テクノロジーズ インコーポレイテッド filed Critical ティッピングポイント テクノロジーズ インコーポレイテッド
Publication of JP2006506853A publication Critical patent/JP2006506853A/ja
Publication of JP2006506853A5 publication Critical patent/JP2006506853A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • G06F15/16Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
    • G06F15/163Interprocessor communication
    • G06F15/173Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0888Throughput
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • Mathematical Physics (AREA)
  • Software Systems (AREA)
  • Quality & Reliability (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

自動的にトラフィックを監視しブロックするように動作可能な能動的ネットワーク防衛システムが提供される。この能動的ネットワーク防衛システムは、ネットワーク・インフラストラクチャの一部として、パケット・トラフィック・データ・フローに関してインラインに設置される。この構成においては、全通過パケットの検査及び処理が可能である。多数のセッションにわたって存在する脅威を識別するために、アルゴリズム・フィルタリング動作が、データ・フローに対して統計学的閾値フィルタリングを適用する。個々のセッション内に存在する脅威を識別するために、トリガー・フィルタリング動作がデータ・フローに対してヘッダ・コンテンツ・マッチフィルタリングを適用する。脅威パケット・トラフィックはブロックされ、脅威セッションは終了される。疑わしいトラフィックは、データ・フローから抽出されて、より包括的なコンテンツマッチング調査並びに資産リスク解析調査を更に受ける。データ・フローを通過するパケットの通過速度を制御するためにフロー制御機構が与えられる。

Description

(クロスリファレンス)
本出願は、その全体が引用によりここに組み入れられる、2002年4月30日付で出願された「NETWORK SECURITY SYSTEM INTEGRATION」という名称の係属中の米国特許出願番号第10/136,889号に関連する。
本出願は、その全体が引用によりここに組み入れられる、2002年8月12日付で出願された「MULTI−LEVEL PACKET SCREENING WITH DYNAMICALLY SELECTED FILTERING CRITERIA」という名称の係属中の米国特許出願番号第10/217,862号に関連する。
本発明はネットワーク侵入の検出及び抑止に関する。
企業がインターネットを用いてビジネスを行うことが増えるにつれて、インターネットを通して配信され、またこれを介してアクセス可能な機密・重要情報の量もまた増加している。ここ数十年にわたって企業がビジネスに用いてきた、外部の侵入者からは比較的守られている私設の専用通信ネットワークと異なり、インターネット及び企業に接続されたネットワークは、その公開性及びアクセスのし易さのために、セキュリティ上の脅威及び悪意ある傍受に対して弱い。最近では、こうした機密情報にアクセスするか又は他の形でネットワーク通信に干渉することを意図したネットワークセキュリティ突破の試み即ちハッカー攻撃の頻度に増加が見られる。
ツール及び如何にしてそのような攻撃を行うかについての情報の入手し易さ、ハッカーの巧妙さが増したこと、攻撃に対して脆弱なネットワーク上のアクセスポイント数の増加、及びインターネットを介してアクセス可能であるか又はこれを通して配信される機密情報の全体量の増加などを原因の一端として、ネットワーク攻撃は一層広まりつつあるばかりでなく、巧妙且つ深刻なものになりつつある。こうした攻撃は、攻撃者がウェブサイトを大量のパケット又は接続要求で溢れさせ、それによりそのウェブサイトを殺到状態にして正当なユーザのアクセスを妨害するという、分散型サービス拒否攻撃を含む。他のタイプの攻撃には、単にウェブサイトへのアクセスを妨害するに留まらず、セキュリティに侵入して、ハッカーがサーバを制御し、そのウェブサイトを改竄するか又は重要情報を盗むことができるように設計されているものがある。更に他の攻撃には、インターネット上に伝送された機密通信をハッカーが不正利用することを可能にする、悪意ある傍受を含む。重要情報が悪用されれば、企業の商取引に対する損害、又は最小限の場合でもその評判が損なわれることが起こりうる。また、サービス拒否攻撃からは、多大なコスト及び逆宣伝効果がもたらされる。企業はこうした全てのタイプの攻撃に対抗するべく、高まるネットワーク脆弱性問題に対処するためにセキュリティ予算を増やし続けている。
ネットワーク防衛の一手段として侵入検出システムが広く利用されている。このようなシステムは一般に、トラフィックを監視し、トラフィックの中の疑わしい部分を識別し、そのようなトラフィックが検出された時には警報又は注意報を発するように作動する受動的システムである。どれほど賢いか又は正確であっても、こうした侵入検出システムは攻撃の疑いに対するいかなる能動的な働きかけも備えていないのが通例である。疑わしい活動の各事例に対して警報を発することは可能であるが、ネットワークセキュリティ管理者にとってはさしたる慰めにはならないであろう。その理由は、多くの場合、警報が発せられ認識される頃には、何がしかの意味のある対応をするにしても手遅れだからである。既に損害が与えられてしまっている。簡単に言うと、セキュリティの突破又は突破の可能性があると知ることは、突破による損害を食い止めることと同じではないのである。
従って、当該分野においては、侵入検出システムは、幾らかは役に立つサービスを提供するものの、ネットワーク攻撃に対しては不十分な防衛機構であると認識される。設計者は更に、侵入の疑いに対して何らかの自動応答手段を提供することの必要性を認識してきた。そのような応答機構は、従来型の受動的検出モードから進んだ攻撃抑止モードへと侵入検出システムを機能的に拡張するように意図されている。例えば、侵入検出システムが実装している2つの公知の能動的応答機構は、(a)セッション・スナイピング(TCPリセット要求をTCPセッション・エンドポイントに送信すること)、及び(b)ファイアウォール更新(ポリシー設定要求をファイアウォール又はルータに送信すること)である。しかしながらこれらの能動的機構は一般に効果的ではなく、またTCP/TPの仕組みに関して基本知識を持つ攻撃者であれば誰にでも容易にバイパスされる。事実、こうした応答機構は、攻撃に際してアドレスを詐称された無実のサーバに対してサービス拒否攻撃の応答を始めること、或いは誤って正当なマシンへのアクセスを拒否することで、被害側ネットワークにとっては逆効果となりかねない。
このようなネットワーク防衛を提供することに関して、従来技術の現況では、汎用プロセッサに実装されたソフトウェアベースの侵入検出システムを利用している。このような実装に伴う困難は、ネットワークを的確に防衛するために必要となるパケット検査、比較及び解析を行うのに十分なだけ迅速にソフトウェアを実行させることができないことである。加えて、ソフトウェアベースのソリューションは時間がかかりすぎるため、こうした実装は、危険なトラフィックが保護されたネットワークに入るのを効果的に阻止するような形で機能することができない。
従って、従来型の侵入検出システムは、その受動的リスニング構成のために、応答機構を装備した場合であっても、もはや適切なネットワーク防衛ストラテジーを与えるものではないと認識される。更に、強化された能動的応答侵入検出システムは、能動的防衛能力の点で十分な手段を提供するものではないと認識される。よって、巧妙化の一途を辿り危険性を増すネットワーク攻撃に対してネットワークを防衛するためには、性能が向上された能動的防衛システム及び方法が必要である。
本発明の1つの実施形態によれば、ネットワーク防衛システムは、パケット・データ・フローに関してインラインに接続された状態管理部を含む。状態管理部は、データ・フロー上に現時点で存在しているセッションを追跡し、パケット関連履歴データを保管するように動作可能である。システムは、追跡されたセッション及びパケット関連履歴データに対して統計学的解析を行い、多数のセッションにわたるデータ・フロー中のパケットが保護されたネットワークに対して脅威を与えるかどうかを判断するように動作可能なアルゴリズム・フィルタを更に含む。
システムは、同じくパケット・データ・フローに関してインラインに接続されたパケット・ハンドラを更に含む。パケット・ハンドラは、脅威の存在に応答して、脅威パケットをブロックするように動作可能である。
システムは、同じくパケット・データ・フローに関してインラインに接続されたトリガー・フィルタを更に含む。トリガー・フィルタは、個々のセッションにおける脅威パケットを検出するために設計された基準に照らして、データ・フロー中のパケットをフィルタリングするように動作可能である。トリガー・フィルタは更に、アルゴリズム・フィルタによる疑わしさ判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットをフィルタリングするように動作可能である。
システムは、同じくパケット・データ・フローに関してインラインに接続されたフロー・コントローラを更に含む。フロー・コントローラは、データ・フローに沿ったパケットの通過速度を調整するように動作可能である。
パケットが疑わしいと識別された場合には、システムは脅威検証機能を更に含む。疑わしいパケットは、データ・フローから抽出され、その後脅威検証機能により、インライン・トリガー・フィルタが用いる基準よりも包括的なフィルタリング基準を用いてフィルタリングされる。より包括的な解析は、疑わしい抽出パケットが実際に脅威を与えるものであるかどうかを解明するように設計される。
疑わしいパケットはまた、リスク評価機能によって解析することができる。リスク評価機能は、疑わしい抽出パケットを調査し、それがネットワーク内に存在する識別可能な資産に対する特定のリスクを示すかどうかを判断するように動作可能である。
本発明は、疑わしい/危険なコンテンツに関する深いレベルのパケット検査を伝送速度で実行できる能力のために、従来のソフトウェアベースの侵入検出システムに比べて多大な向上を提供するという利点を持つ。高速パス・パターン・マッチングの性能は、攻撃に対するネットワーク防衛を提供しながら高速化パケット処理を行うための鍵である。必要なパターン・マッチング速度をサポートするために、またそれによる深いレベルのパケット検査を達成するために、多数の並行パターン・マッチング動作を用いて、パターン・マッチング動作が行われることが好ましい。このように実装されることにより、システムは将来の必要性に対処できるように拡張することが容易なものとなる。
加えて、幾つかのパケットはより慎重な検査を必要とするであろうことが認識されている。この目的のために、本発明は初期スクリーニングを行って、更なる解析が必要となるであろうパケットを識別するという利点を持つ。そのようなパケットはデータ・フローから抽出され、その後独立したプロセス・フローの中でより慎重にスクリーニングされる。
本発明の好ましい実施形態においては、システムは、ハードウェア/ソフトウェア混合ソリューションを利用して、パケット・スループットレートを維持しつつ適切なレベルのパケット・スクリーニングを提供するという利点を持つ。ハードウェアにインライン・コンポーネントが実装されることが好ましい。例えば、パターン・マッチング動作は、従来のソフトウェアベースの侵入検出ソリューションより遥かに迅速に動作するハードウェア設計を用いて行われる。制御及び設定は、システムにある程度の柔軟性を与えるようにソフトウェアで処理することが可能である。また更に、パケットにより示されるいずれかの脅威をシステムがより慎重に考慮できるように、データ・フローから抽出されたこれらのパケットのライン外処理が、ソフトウェアで行われることが好ましい。このアーキテクチャは更に、データ速度の増加に合わせてシステムが拡張されることを可能にする。
本発明の方法及び装置のより完全な理解は、添付の図面と共に以下の詳細な説明を参照することによって得られるであろう。
本発明は、自動的にトラフィックを監視しブロックするように動作可能な能動的ネットワーク防衛システムを提供するものである。この能動的ネットワーク防衛システムは、全ての通過パケットを検査し、且つ可能であれば処理できるように、ネットワーク・インフラストラクチャの一部として、インラインに(即ちパケット・トラフィック・データ・フローの中に)設置されることが好ましい。このネットワーク防衛ソリューションは従来の受動的侵入検出システムからの劇的な技術転換を構成する。
能動的ネットワーク防衛システムは、ライン速度において信頼性を持って動作できる能力があることが重要である。悪意あるパケットを検出した時には、直ちにそのパケットを除去するアクションが取られ、それによりそれが損害を与えうるネットワークに入ることを防止しなければならない。従って、パケットの除去により、攻撃は直ちにブロックされ、いかなる損害も修復する必要がなく、いかなる警報も処理される必要がないという付加的な便益が得られる。
能動的ネットワーク防衛システムは更に幾つかの利点を提供する。能動的ネットワーク防衛システムは、ブロッキングに留まらず、パケットを修正する能力を有する。幾らかの重要性を持つ1つのパケット修正概念は、正規化という発想である。正規化とは、あるプロトコル又は基準の特定の実装に対して順守性を強制するプロセスである。例えば、普及している侵入検出システム回避技術は、標的システムがフラグメント化を処理する手法がまちまちであることを利用する。あるシステムは重複フラグメントを最初の重複パケット・データと一緒に再組み立てし、他のシステムは最後の重複パケット・データと再組み立てする。侵入検出システムは、標的がいかにして再組み立てするかを推測するか又は全ての可能性を考慮に入れる必要がある。標的の振舞いの予測に失敗することにより、攻撃が未検出のまま進行するか、又は誤警報が発せられるであろう。これと対照的に、本発明の能動的ネットワーク防衛システムは、インラインに常駐して全パケットにインターセプトして、セット・アルゴリズムを用いてフラグメントを再組み立てし、再組み立て済パケットを転送することで、正規化を実行することが可能である。フローの正規化は、異なる標的システムにおいてパケット又はフローがどのように処理されるかを推測する必要性をなくし、普及している侵入検出システム回避技術を阻止する。
能動的ネットワーク防衛システムは、パケット・フロー(スループット)を能動的に管理する能力を更に有する。フローを減速させるというこの概念は、能動的ネットワーク防衛システムが疑わしいトラフィックの通過を制限するか又は遅らせながら、既知の「良性の」トラフィックを優先させることを可能にする。この点に関して、多くのサービス拒否攻撃は正当なトラフィックと区別できないことが認識される。ある属性を持つことが検出されたトラフィックを減速させることで、少なくとも、サービス拒否攻撃が標的リソースを殺到状態にすることを阻止することが可能である(且つ更に進んで止めさせることが可能であろう)。付加的な便益として、減速制御を利用可能とすることに伴い、能動的ネットワーク防衛システムを通して基幹トラフィック・スループットにより高い優先度を割当てることによってこれを加速させ、結果としてネットワーク生産性を向上させることが可能である。
能動的ネットワーク防衛システムがうまく機能するためには、パケット・トラフィックのステートフル検査をライン速度で且つ短い待ち時間で実行できる能力がなければならない。例えばWAN/LANのアクセス速度は何ギガビットという桁であり、従って、能動的ネットワーク防衛システムは、スイッチ及びルータにおいては典型的なミリ秒レベルの待ち時間を伴うギガビットレートでのハードウェア能力を有するのでなければならない。ここでの目標は、深いレベルのパターン・マッチングの実践である。能動的ネットワーク防衛システムは、有用なトラフィックの廃棄を避けるような信頼性尺度を有するのでなければならない。また、能動的ネットワーク防衛システムは、ネットワーク・インフラストラクチャの一部として実装されることから、高度の可用性を与えることができなければならない。
これらの背景を考慮に入れて、本発明による能動的ネットワーク防衛システム及び方法のより詳細な検討を提示する。
これより、本発明の能動的ネットワーク防衛システム10のブロック図が示された図1及び図2への参照がなされる。システム10は、企業のネットワーク・インフラストラクチャ12の一部として構成されている。この構成は、システム10が、監視されるデータ・フロー14に関してインラインに設置されることを可能にする利点を持つ。このようなインライン配置は、データ・フロー14内の一つ一つ及び全てのパケット16に対する検査及び可能性ある処理を容易にする。よってシステムは、データ・フロー14のライン速度を超える好ましい速度ではないにせよ、これに近い速度で動作することが必須である。システムは、インライン処理を通じて各通過パケットに対して深いレベルのパケット検査を実行する。
システム10により、幾つかのインライン機能が提供される。これらの機能のうち第1のものは、状態管理部20を含む。状態管理部20は、データ・フロー14の能動的監視と共同して、2つの鍵となる動作を実行する。第1に、状態管理部20は、セッション管理動作22を実行する。このセッション管理動作22は、データ・フロー14上を運ばれるパケット・トラフィックに関連した各セッションの状態を監視し管理する。より具体的には、セッション管理動作22は、恐らくはテーブル又は他の機構を用いて、どのセッションが現時点でデータ・フロー14に存在するかを追跡し、調査に備えてパケット関連履歴データを保管する。例えば接続テーブルを用いて、各接続(例えばTCP SYN、SYN ACKなど)の状態に関するデータを維持することができる。保持されうるパケット関連履歴データのタイプの例は、
− フラグメント化されたパケットの再組み立てと、
− TCPセッション・フローの再組み立てと、
− 折衝された一時ポートの維持(例えば、FTPはデータを交換するための動的ポートを確立する)と、
− 接続確立状態(例えば接続確立に当たっての良好に定義されたTCP交換のような通信ホスト間の妥当なハンドシェーク)と、
− プロトコル及びアプリケーションレベル状態情報(アプリケーション又はプロトコルが、それらのアプリケーション又はプロトコルの仕様に違反しない、或いはそれらのアプリケーション又はプロトコルの既知の脆弱性を利用しない、良好に定義された状態へと遷移していることを保証する)と、
を含む。
個々のパケットが認識済セッションに関係することを保証する目的で、データ・フロー14の各パケット16は、セッション管理動作22により、インラインで調査される。セッションに関係しないパケット16が調査された場合には、その非認識パケット16を疑わしいか又は脅威であると識別し、次いでシステム10によりブロックすることができる。付加的に、パケットとセッションの間の関係記録を保存して、そのことによりシステム10が脅威である又は疑わしいパケットを発見した時に、検出されたパケットを含むセッション中の全てのパケットを(除去するか又は更に調査することで)同様に処理することを選択することが可能である。この概念は、「セッション・リダイレクション」と呼ばれる。
第2に、状態管理部20は、パケット・フロー再組み立て動作24を実行する。この動作に関連して、ネットワークへの攻撃は多数のパケットにわたって分割されることが認識される。このようにして攻撃者は、個々においては一見良性に見える数個のパケットに跨らせて攻撃を隠匿しようとする。これに対抗するためには、パケット・フロー再組み立て動作24は、攻撃の存在を検出できるように、(上記の履歴データを用いて)ある期間にわたって、確立された接続との関連でデータ・フロー14を監視し、複数のパケット及びそのコンテンツを調査する。このようにして、パケット・フロー再組み立て動作は、パケットとそのペイロードを追跡し、パケット同士の関係を識別し、パケット及びペイロードを一体に再組み立てし、再組み立て済パケット・データが脅威の可能性について解析される。共通フローに関して一群のパケット16が調査され、再組み立て時に脅威を示すことが判断された場合には、そのようなパケット(及び同じフロー又はセッション中の関連パケット)はシステム10によりブロックすることができ、及び/又はそのような脅威パケットに関係するフロー/セッションはシステム10により終了させることができる。よって、この機能はパケット境界を越えてのパターン・マッチング追跡を可能にする。
正規化プロセスは、何らかの標準への適合性を強制するように設計された幾つかの異なるパケット処理手順を関与させることができる。状態管理がデータ・フローを通過する各パケットに「接触する」ことから、このことは本発明との関連で達成される。例えば、正規化は、システムが、保護されたネットワークに関連する何らかの再組み立てポリシーを定義することを可能にする。フラグメント化されたパケットの脅威を認識すると、このポリシーは、順序立たずに到着したいかなるパケットも無条件でブロックするように命令して、パケットが保護されたネットワークに受信可能となる前に、送信側エンティティが正しい順序で再送信するように仕向けることができる。正規化はまた、システム10がIPオプションに関して何らかの解釈規則を実装することを可能にする。正規化は付加的に、全てのコード化された(例えば16進法又はUnicode)パケットが保護されたネットワークに渡される前にまずデコードされることを必要とする場合がある。これらの動作は、このようにして、何らかの規則又は正規化制限への適合性を強制し、より良好に攻撃からネットワークを保護する。
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、状態管理はアプリケーション特化ハードウェア部品として実装されることが好ましい。
状態管理部20の動作を補助するために、状態管理部20により、通過パケット・トラフィックの性質に関するデータが収集される。このデータは、例えば、上記の接続テーブルにコンパイルする即ち収集することができる。このデータは、個々のセッションにおけるパケット・トラフィックに関する情報を含むと共に、多数の異なるセッションにわたるパケット・トラフィックに関する情報を含む。
状態管理とアルゴリズム・フィルタリング動作の間には、2つのデータ関係の実装が可能である。第1の実装においては、データは状態管理において単に収集され、アルゴリズム・フィルタリング動作に向けて報告される。第2の実装においては、データは状態管理において収集されて要約され、次いでこの要約がアルゴリズム・フィルタリング動作に向けて報告される。フィルタリング動作を行う前にフィルタが要約を行うことがないようにし、そのことにより処理速度の増加が得られることから、第2の実装が好ましい。しかしながら、この第2の実装は遥かに複雑なハードウェア状態管理実装を必要とし、そのことは設計コストを増す。
収集されたデータはアルゴリズム・フィルタリング動作28に向けて報告される26。アルゴリズム・フィルタリング動作28は、報告されたデータに対し、統計学的解析を行って、該データが問題を起こす可能性を示している(即ち疑わしい)か又は脅威であるかどうかを判断する。アルゴリズム・フィルタリング動作28によって実行される統計学的解析は、複数の異なるセッションにわたるデータ・フローのパケット・トラフィックの性質に関して報告されたデータによって明らかになる、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃のインスタンスを捕捉するように設計される。この目標を達成するために、アルゴリズム・フィルタ・セット30が、多数のセッションにわたって発生する認識済みネットワーク脅威を識別し、検出し、抑止するように設計され又は仕立てられる。次いでこれらのアルゴリズム・フィルタ30は検出エンジン・セット32に供給され、複数の認識済みセッション攻撃シナリオ(アドレス・スイープ、ポートスキャン、及びサービス拒否攻撃など)の各々1つに対し1つのエンジンが実装される。各検出エンジン32はまた、状態管理部20により個々のセッションにおけるパケット・トラフィックに関して収集された報告済26データ(又はそのサブセット)と共に、多数の異なるセッションにわたるパケット・トラフィックについての情報を受信する。報告済26データをアルゴリズム・フィルタ30に対し統計学的な手法で評価することにより、各検出エンジン32は、ネットワークが現時点でマルチセッション攻撃下にあるかどうかについての結論に達することが可能である。次いでアルゴリズム・フィルタリング動作28内の管理部34が、適切なフィードバック36を状態管理部20に提供することにより、検出エンジン32の結論を踏まえて機能する。データ・フロー中の多数のセッション・パケット・トラフィックからの脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、アルゴリズム・フィルタリング動作は、(ハードウェアの状態管理とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、脅威検出能力もまた、必要に応じて拡張することが可能である。アルゴリズム・フィルタリング動作により実行される機能を制限し、ハードウェア上で効率的且つ迅速に実行することが可能な状態管理にできるだけ多くの機能(脅威検出動作に留まらず)を入れ込むことにより、付加的に、全体としてのパケット処理速度を高く保ち、動作がライン速度で実行されることを可能にすることができる。
システム10により提供される第2のインライン機能は、深いレベルのパケット検査を容易にする、ある形式のステートフル・パターン・マッチングを実装するトリガー・フィルタ機能50を備える。トリガー・フィルタ50は、データ・フロー14の能動的監視と共同して2つのフィルタリング動作を実行する。第1に、パケットヘッダ・マッチング動作52が各パケットを観察し、そのヘッダフィールド値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、固定ヘッダフィールド(例えば宛先及びソースIPアドレス、宛先及びソース・ポートなど)を確認して、攻撃を示す情報の存在を調べることを含む。例えば、パケットはヘッダ情報に基づいて分類することができる。次いでこの分類を単独に用いてフィルタリングを行うことが可能であり、また次に論じる他のフィルタリング動作を行う時のコンテキストを提供するために用いることが可能である。第2に、パケットコンテンツ・マッチング動作54が各パケットを観察し、コンテンツ(文字)ストリング及び/又はその正規表現値が危険トラフィックの疑いを生じさせるかどうかを判断する。この動作は、パケット・ペイロード要素を、攻撃に関係するとして識別されたストリング及び表現にマッチングすることを含む。パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54は互いに関連して動作し、検出されたヘッダフィールド値とコンテンツ・ストリング/正規表現値との組み合わせに基づいて、疑わしいパケット・トラフィックを検出するという利点を持つことが認識されるであろう。脅威が検出された状況においては、危険なパケットはシステム10によりブロックすることができ、及び/又はそうしたパケットに関係するセッションはシステム10により終了させることができる。
上記の説明は、危険であるか又は疑わしいトラフィックを見つけ出す(そしてその後当該トラフィックをブロックする)トリガー動作に焦点を当てているが、幾つかの状況においては、「良性の」トラフィックの質及び特徴を見つけ出すようにトリガーを実装し、またフィルタを設計できるというような場合もあろう。この場合においては、「良性」基準を満たすとして識別されることに失敗したパケットが全てシステム10によりブロックされ、識別された良性トラフィックが通過を許されることになる。
必要なタスクを最大可能速度(データ・フローのライン速度を超えることが好ましい)で実行する能力を保証するために、トリガー・フィルタ機能はアプリケーション特化ハードウェア部品として実装されることが好ましい。より具体的には、並行処理アーキテクチャにおける複数のハードウェア実装パターン・マッチング・コンポーネントの使用を通じて、高速パス・パターン・マッチングのためのプロセスが実行される。この設定はシステムがライン速度で動作することを可能にし、更に将来的な拡張容易性を提供する。
トリガー・フィルタ機能50の動作を補助するために、パケットヘッダ・マッチング動作52とパケットコンテンツ・マッチング動作54の両方に、フィルタリング基準(即ち規則)54が与えられる。これらの規則54は、検出トリガー56と検出例外58の両方を含む。検出トリガー56とは、単一セッションのパケットのペイロード要素内のマッチング済存在がネットワークへの脅威を示す1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出例外58とは、単一セッションのパケットのペイロード要素内のマッチング済存在が、関心の対象となりうる間、ネットワークへの脅威を示すと見なされてはならない1つ又はそれ以上のヘッダフィールド値、コンテンツ・ストリング、及び/又は正規表現値を、単独に又は互いに組み合わせて識別することである。検出トリガー56及び検出例外58を翻訳してフィルタリング基準(即ち規則)54とするために翻訳機能60が与えられ、該フィルタリング基準は、トリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54に供給され、それらによって活用される。この翻訳は、例えば、パケットヘッダ・マッチング動作52及びパケットコンテンツ・マッチング動作54による実装のための、より低いレベルのマシンコードにデータを変換することを含むことができる。
検出トリガー56及び検出例外58は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた検出シグニチャ・セット62から派生する。例えば検出シグニチャ62(例えばセキュリティ規則、ポリシー、及びアルゴリズムを備える)を設計して、検出された脆弱性によるネットワーク損害を軽減するか又は回避することができる。このような検出シグニチャ62は、例えばマシン(ホスト)製造業者、サービス提供業者、インターネットなどを含む数ある中のいずれか1つの周知の作成元から得ることができる。付加的に、シグニチャ62は、保護されたネットワークの管理者によって作成されることもできる。更に又、シグニチャ62は、脅威情報(例えばワーム、ウイルス、トロイの木馬、サービス拒否攻撃、Access、Failure、Reconnaissance、他の疑わしいトラフィックなど)を世界中から収集し、その情報を解析して、収集された脅威からのネットワーク損害を軽減するか又は回避するために他者によって用いられることが可能となる検出シグニチャ62を設計する仕事を行っている、シグニチャ作成に従事する事業体により供給されることもできる。
検査されたトラフィックがもたらすネットワークに対する脅威の可能性を検出するために、検出シグニチャ62は、概説すると、1つ又はそれ以上の抽出済パケット特徴により満たされねばならない基準(例えばTCP、HTTP、及びURI関連基準)を定義するオブジェクトを含む。例として、各検出シグニチャ62は以下のオブジェクト即ち、
− メタ・データ:シグニチャの名称、識別番号、カテゴリ、及びクラスを説明するものと、
− アクション・セット:脅威が検出された場合にシステム10により実行されるべき1つ又はそれ以上のアクション(許可する、拒否する、ログを取る、ブロックする、終了させるなど)の定義と、
− クエリ:脅威を受けており、且つシグニチャが適用される対象である1つ又はそれ以上の特定のネットワーク・コンポーネント(マシン・セット)の定義(又は識別番号)と、
− シグニチャ定義:脅威が識別されるために合致されねばならない基準セット及びそれと共に検討されねばならないいずれかの関係パラメータと、
を含むことができる。
セキュリティ・リスクに合わせて仕立てられ又は調整される柔軟性及び能力の継続を保証するために、上記のフィルタ基準管理に関連する動作は(ハードウェアのトリガー・フィルタ機能とインタフェースする)特化可能なソフトウェア・アプリケーションとして実装されることが好ましい。このようにして、システムの脅威検出能力は、必要に応じて拡張することが可能である。
トリガー・フィルタ機能50によって実行されるフィルタリング比較動作は、パケットレベル及び/又はセッションレベルの一方又は両方で実装されることが好ましい。パケットレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に各パケットを個別に検討する。セッションレベルにおいては、検査・フィルタリング動作は、検出シグニチャの規則を適用する際に、複数の関係パケットをまとめて検討する。セッションレベルでの比較を補助するために、システム10は格納済みパケット関連履歴データに関する状態情報に依拠することができる。セッションレベルでの比較については、比較及びフィルタリングは調査下にある現時点のパケットの抽出されたパケット特徴(ヘッダ及びペイロード)ばかりでなく、パケット関連履歴データも検討する。シグニチャ62基準と、抽出されたパケット特徴及びパケット関連履歴データの組み合わせとの間に合致が見られた場合には、ネットワーク14に対する脅威の可能性が検出される。
システム10により提供される第3のインライン機能は、パケット・ハンドラ機能70を含む。パケット・ハンドラ機能70は、状態管理部20及びトリガー・フィルタ機能50が達した評価及び結論に応答して、ゲートキーパーとして機能し、パケット及び/又はセッションがどのように処理されるかを判断する。より具体的には、パケット・ハンドラ機能は、状態管理部20及びトリガー・フィルタ機能50の解析・調査結果をコンパイルして、ある種のパケットが関心ある対象であるかどうかを判断し、次いでそのパケットに対して適切なアクションを取る。関心ある対象と判断されたパケットに対して、3つの処理オプションが利用可能である。第1に、あるパケット又はセッションに関して、状態管理部20もトリガー・フィルタ機能50も、いかなる脅威、危険又は疑いをも検出することができなかった限りにおいて、当該パケット・トラフィックはデータ・フロー14に沿って通過72し、そのまま通行することが許可される。第2に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが明らかな脅威又は危険を検出した限りにおいて、当該パケット・トラフィックはブロックされ、データ・フロー14から除去74される。第3に、あるパケット又はセッションに関して状態管理部20又はトリガー・フィルタ機能50のどちらかが脅威又は危険の疑いを検出した限りにおいて、当該パケット・トラフィックはデータ・フロー14から抽出76され、その後ここでより詳細に論じられるより慎重な調査に当てられる。
データ・フローを通過するパケットに関するソーティング決定を下すように迅速に動作する能力を保つために、このパケット・ハンドラ機能はハードウェアに実装されることが好ましい。
システム10により提供される第4のインライン機能は、フロー制御機能80を含む。フロー制御機能80は、何らかのプログラム可能な又は設定可能な優先度に基づいて、データ・パス14の中のトラフィック・フロー出力を成形するように機能する。トラフィック成形は、主に、あるパケット・トラフィックがデータ・パス14の中を通過することを許された速度を加速させる(又は逆に減速させる)ことによって達成される。例えば、既知の確認済み良性トラフィックを、データ・パス14の中で優先的に伝送させることができる。同様にして、既知の基幹アプリケーションに関係するパケット・トラフィックに、他の重要性の低いトラフィックより高い優先度を与えることができる。より一般的には、ある種のトラフィックを減速して、それがある閾値容量を超過しないようにすることが可能である。このことは、下流リソースのオーバーランニング又はより高い優先度のトラフィックへの干渉を防止する役割を果たす。
データ・フローを通過するパケットに関する処理決定を下すように迅速に動作する能力を保つために、このフロー制御機能はハードウェアに実装されることが好ましい。
疑わしいものとして識別され、次いでパケット・ハンドラ機能70によりデータ・フロー14から抽出76されたパケット・トラフィックに関して、最終処理決定を下す前に、当該トラフィックに対するより慎重且つ徹底した調査が行われる。この更なる調査は、ライン外の脅威検証機能100を用いて実行される。「ライン外」とは、そのパケット・トラフィックがメイン・データ・フロー14から離れて処理されることを意味する。脅威検証機能100は、上記で詳細に論じられたインラインのトリガー・フィルタ機能50と類似した形で動作する。しかしながら、実行される詳細な調査のレベルに関連した主要な動作上の違いが存在する。トリガー・フィルタ機能50はインラインで動作しなければならないことから、フィルタリング基準(即ち規則)54は本質的に、ライン速度での実装に合わせて設計されねばならない(上記の特化されたハードウェア・ソリューションを用いることが好ましい)。この設計基準は本質的に、トリガー・フィルタ機能50が、その検出努力を、疑いがあり明らかに危険な又は脅威を与えるパケット・トラフィックを迅速に識別するように設計された、さほど徹底的でない調査及び評価に絞り込むことを強いるものである。この調査の性質は、更により詳細な解析によれば良性トラフィックと判断されるようなトラフィックの幾らかを不可避的に疑わしいとして識別することになる。しかしながら、ライン外脅威検証機能100の目的は、この疑わしいトラフィックをより徹底的に評価して、疑わしいトラフィックの中の良性部分を分離し、データ・フロー14に戻す102ことである。この目的のために、特化可能なソフトウェア・アプリケーションとして実装し、セキュリティ・リスクのより徹底的且つ慎重な評価に合わせられ又は調整される柔軟性及び能力の継続を保証することは利点を持つ。
ソフトウェアベースの実装であることを原因の一端として、脅威検証機能100は、トリガー・フィルタ機能50とはやや異なった評価プロセスを実装する。より具体的には、脅威検証機能100はプロトコル・デコーダ及び正規表現マッチングを用いて詳細な脅威解析を実行する。このことは、トリガー・フィルタリング評価に比べてより多くの時間及びリソースを要するが、遥かに正確な脅威判断をもたらす。この動作を実装するため、脅威検証機能100に供給されるフィルタリング基準(即ち規則)108は、インラインのトリガー・フィルタ機能50に供給される規則54に比べて遥かに包括的であり且つ識別力がある。抽出された76疑わしいトラフィックの評価がライン外で実行され、調査されるトラフィックの容量が著しく減少されていることから、脅威検証機能100には、各パケットがネットワークに対して本当に脅威又は危険を示すかどうかをより慎重に検討するために、付加的な時間がかけられる。関心あるプロトコル及び正規表現に関連する検出検証110が与えられる。次いで翻訳機能112が検出検証110を翻訳してフィルタリング基準(即ち規則)108とし、これが脅威検証機能100に供給され、それらによって活用される。検出検証110は、特に認識済み単一セッション型ネットワーク脅威の識別、検出、及び抑止のために設計され又は仕立てられた上記と同じ検出シグニチャ・セット62から派生する。
脅威検証機能100は、疑わしいトラフィックに対するより慎重な解析に応答して、3つの処理オプションから1つを選択する。第1には、そのパケット・トラフィックが良性であると確認された限りにおいて、それはデータ・フロー14に戻される102。第2には、明らかな脅威又は危険が確認された限りにおいて、そのパケット・トラフィックはブロックされ除去される114。第3には、(良性か脅威であるか)明確な判断が下せなかった限りにおいて、そのパケット・トラフィックはデータ・フローに戻される102が、そのトラフィックのコピーが渡されて116、その後更なる検討及び処理が行われ、警報が発せられる必要があるかどうかが判断される。
トリガー・フィルタ機能50によって実行される解析と、脅威検証機能100によって実行される解析との間の違いのより良好な理解は、以下を検討することによって得られよう。トリガー・フィルタ機能50によって用いられるフィルタリング基準は、受信されたパケット・トラフィックを比較的高速で調査できるように、ハードウェアベースのトリガー機構として実装され、ここでは、実質的に全ての疑わしいトラフィックを捕捉するように設計され、処理能力が制限されたフィルタリングが用いられており、フィルタが危険なトラフィックの他に幾つかの良性のトラフィックまで付加的に不可避的に誤って捕捉するであろうと理解される(即ち、正確性は比較的低く、数多くの偽陽性が存在することになろう)。例として、このレベルのスクリーニングには、より複雑性の低いアルゴリズム及びプロセスを用いてより高速で実行することが可能なヘッダフィールド比較及びトリガー・コンテンツ検索(即ち短ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みやすい。これに対し、脅威検証機能100によって用いられるフィルタリング基準の方は、パケット・トラフィックの疑わしい部分をより低速度で調査することを可能にするソフトウェアベースの確認機構として実装され、ここでは、疑わしいトラフィックをより慎重に調査し、脅威を与える又は危険である可能性が最も高いトラフィックを識別するように設計された、より複雑な処理が可能なフィルタリングが用いられており、ここでも脅威検証機能100が幾つかの良性のトラフィックまで不可避的に誤って捕捉するであろうことが理解される(即ち、正確性は比較的高いものの、最小限の数の偽陽性が存在することになろう)が、それが起きる可能性は、トリガー・フィルタ機能50と共に経験されるものより著しく低い。例として、この第2のレベルのスクリーニングには、より複雑性の高いアルゴリズム及びプロセスを用いたより低速度でのプロトコル・デコーダ及び正規表現マッチング(即ち長ストリング比較)が関与しており、スクリーニング済み出力はよりエラーを含みにくい。
脅威検証機能100によって渡された116(依然として疑わしい)パケット・トラフィックのコピーに対して、数多くの可能なアクションを取ることができる。例えば、警報120を発することができ、疑わしいパケット・トラフィックのコピーをネットワーク管理者に配信して更なる調査を受けさせることができる。或いは又、ライン外のリスク評価機能130により、疑わしいパケット・トラフィックを評価することも可能である。リスク評価機能130は、疑わしいパケット・トラフィックがネットワーク内に存在するマシン及びデバイスに対して識別可能で具体的な危険性を示すかどうかを評価するように動作する。この判断を補助するために、システム10により、保護されたネットワーク内に存在するマシン及びデバイスの各々、及びそれらの互いに対する相互接続及び動作上の関係に関する情報を格納した資産データベース132が維持される。例えば、資産データベース132は、ネットワーク中のマシン(ホスト)、ホストにより提供されるサービス、及びネットワーク構成の観点でこれらのマシン及びサービスに関係するコンピュータシステム並びにネットワークデバイスの潜在的な脆弱性を識別する、企業(即ち保護されたネットワーク)指定データを格納することが好ましい。このデータは、例えば従来の手法で保護されたネットワークを評価するように動作する、独立した、恐らくは従来技術の、脆弱性評価スキャナデバイスの使用を含む、数ある中のいずれか1つの周知の方法で収集することができる。次いでリスク評価機能は、疑いを引き起こした検出シグニチャ(より詳細には、シグニチャの中の脅威を受ける1つ又はそれ以上のネットワーク・コンポーネント(マシン・セット)情報)を、ネットワーク内の資産の観点から評価して、検出シグニチャの適用を通じて疑わしいと検出されたパケット・トラフィックにより、どのタイプのネットワーク資産が脅威を受けているかを判断する。データベース132に格納された情報により判断されたときに、保護されたネットワークがいかなる脅威を受けたマシン又はデバイスも持たない場合は、疑わしいトラフィックはネットワークにとって殆ど懸念材料とならないか又は全く懸念材料とならず、無視することが可能である。しかしながら、保護されたネットワークが疑わしいトラフィックにより脅威を受ける可能性がある資産を有する限りにおいては、損害のリスクを低減するか又は解消するために、トラフィックが以後ブロックされて除去されるか、又はそれに対して警報が出されて、ネットワーク/セキュリティ管理者に脅威の可能性があることが通知される。この状況においては、警報120を発して、疑わしいパケット・トラフィックをネットワーク管理者に配信して更なる調査を受けさせることができる。
これより再び、アルゴリズム・フィルタリング動作28への参照がなされる。より具体的には、検出エンジン32が報告された26データをアルゴリズム・フィルタ30に照らして統計学的な手法で評価し、ネットワークが現時点でマルチセッション攻撃下にあるかどうかの結論を出すということが想起されよう。この評価が攻撃の存在又は非存在を最終的に確立することに失敗することがありうる。そのような状況においては、攻撃の疑いが浮上する。この疑いに対処するために、検出エンジンは、翻訳機能60に転送される疑い警報170を発するように構成される。これに応答して、翻訳機能60が、その翻訳動作を変更するか又は調整して、検出トリガー56及び検出例外58の翻訳をフィルタリング基準(即ち規則)54へと作り替え、そのことによりトリガー・フィルタ機能50のパケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54がマルチセッション攻撃の存在の可能性をより感知し易くすることができる。このようにして、パケットヘッダ・マッチング動作52及び/又はパケットコンテンツ・マッチング動作54に対して或る制御が加えられ、アルゴリズム・フィルタリング動作28により行われる統計学的解析に基づいてその存在が疑われるマルチセッション攻撃の発見が試みられる。
システム10は、保護されたネットワークのネットワーク要素として構成されることが好ましい。それにより、システム10は、外部の世界(すなわち保護されたネットワークの外部の信頼できない世界)と接続することを可能にする幾つかの外付け物理的インタフェースを含むことになる。例として、信頼できない世界は、広域ネットワーク(WAN)、仮想プライベートネットワーク(VPN)サーバ、ローカルエリアネットワーク(LAN)クライアント、無線又はリモートアクセスサーバ、及び信頼できないネットワーク(インターネットなど)のうち、いずれか1つ又はそれ以上を含む。システム10には、保護された(信頼できる)ネットワークの要素との接続を可能にする幾つかの内蔵物理的インタフェースもまた含めることができる。例として、保護されたネットワークの要素は、ルータ、特殊なタイプのサーバ(例えばHTTP、SMTP、FTP、DNAなど)、イントラネット、パーソナルコンピュータ、及びネットワークゾーンを含むことができる。内蔵又は外付けの物理的インタフェースは、信頼できるネットワークと信頼できないネットワークとの相互接続を構成するに当たり、所望に応じて接続できることが認識されよう。
システム10は、その動作をサポートする適切な物理的プラットフォーム上に実装されることが好ましい。プラットフォームは、システムがセキュリティ用途に適した実行環境を提供することを可能にするのに必要な、基礎となるハードウェア、操作システム、及びコア・インフラストラクチャ設備を備える。この実行環境は、オペレーション、アドミニストレーション、メンテナンス及びプロビジョニング設備、セキュリティ用途の実行をサポートする埋め込みオペレーティングシステム、及びハードウェア(例えばシャーシ、電源、拡張能力、回路カードサポートなど)を含む。上では好ましい実装が論じられたが、システム10の機能は、ハードウェア上のプラットフォームのみに実装することができ、ソフトウェア上のプラットフォームのみに実装することができ、又はハードウェアとソフトウェア両方の組み合わせにおけるプラットフォームに実装することもできる。
このシステムのトリガー・フィルタ機能50又は脅威検証機能100のいずれかによって実行される比較動作及びフィルタリング動作に関連して、フィルタリング基準における使用又はこれと関係する使用を目的として、幾つかの処理機能を検討し評価することができる。OSIレイヤー1においては、パケット通信のための物理的ハードウェア・インタフェースを検討することができる。OSIレイヤー2においては、イーサネット上のソース/宛先アドレス、VLAN PRI/CFI、VLAN識別子及びイーサネットタイプ、並びにMPLSラベルなどのデータリンクに関連するコード化情報、アドレス情報、及び送信情報を検討することができる。OSIレイヤー3においては、IPフィールド(例えばソース/宛先アドレス、ペイロード長、フラグビット、ヘッダ長、IDフィールド、オフセット・フィールド、オプション、プロトコル・フィールド、サービスタイプ・フィールド、有効期限フィールド、及びバージョン・フィールド)、及びARPフィールド(送信者及び標的のMACアドレス又はプロトコル・アドレス、プロトコル又はハードウェアのタイプ又は大きさ)などのネットワークに関連する転送ルート情報、メッセージ処理及び送信情報を検討することができる。OSIレイヤー4においては付加的に、TCPフィールド(ソース/宛先ポート、データ長、ヘッダ長、確認番号、フラグ、シーケンス番号、緊急ポインタ、ウインドウ及びチェックサム)、ICMP(タイプ、コード、シーケンス、ID、データ長、チェックサム、icmp.コード)、及びUDP(ソース/宛先ポート)などの転送関連の配信サービス情報及び品質情報を検討することができる。処理機能は、付加的に、HTTP(要求ライン、メソッド、URI、プロトコル、ホスト、コンテンツ長、ボディを含む全てのヘッダフィールド)、DNS、SMTP、SNMP、SMP、FTPなどのプロトコル・デコード情報を評価することができる。更に又、処理機能は、固定ストリングの固定オフセット、ストリング変数の固定オフセット、正規表現の固定オフセット、正規表現の変数オフセット、事象の集合、事象のシーケンス、フラグメンテーション、接続状態、フロー再組み立て、正規化技術(重複フラグメントの検出及び除去、回避技術)、及び16進法並びにunicodeデコーディングを評価することができる。
本発明の方法及び装置の好ましい実施形態が添付の図面に示され、上記の詳細な説明において説明されたが、本発明は開示された実施形態に限定されるものではなく、添付の特許請求の範囲より示され且つ定められる本発明の精神から逸脱することなく無数の再配置、修正、及び置換が可能であることが理解されるであろう。
本発明による能動的ネットワーク防衛システムのブロック図である。 図1のシステムのより詳細なブロック図である。

Claims (74)

  1. ネットワーク防衛システムであって、
    パケット・データ・フローに関してインラインに接続され、前記データ・フロー上に現時点で存在しているセッションを追跡し、パケット関連履歴データを保管するように動作可能な状態管理部と、
    前記追跡されたセッション及び前記パケット関連履歴データに対して統計学的解析を行い、多数のセッションにわたるデータ・フロー中のパケットが保護されたネットワークへの脅威を示すかどうかを判断するように動作可能なアルゴリズム・フィルタと、
    を含むシステム。
  2. 同じくパケット・データ・フローに関してインラインに接続され、脅威の存在に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラをさらに含むことを特徴とする請求項1に記載のネットワーク防衛システム。
  3. 前記パケット・ハンドラがさらに、脅威の存在に応答して脅威セッションを終了させるように動作可能であることを特徴とする請求項2に記載のネットワーク防衛システム。
  4. 前記保護されたネットワークへの脅威が、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃からなるグループから取られた、複数のセッションに関係する脅威を含むことを特徴とする請求項1に記載のネットワーク防衛システム。
  5. 前記追跡されたセッション及びパケット関連履歴データに対して統計学的解析を実行するように動作可能なアルゴリズム・フィルタがさらに、多数のセッションにわたるデータ・フロー中のパケットが疑わしいかどうかを判断するように動作可能であることを特徴とする請求項1に記載のネットワーク防衛システム。
  6. 同じくパケット・データ・フローに関してインラインに接続され、前記アルゴリズム・フィルタの疑い判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うトリガー・フィルタと、
    同じくパケット・データ・フローに関してインラインに接続され、検出された脅威に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラと、
    をさらに含むことを特徴とする請求項5に記載のネットワーク防衛システム。
  7. 前記トリガー・フィルタがさらに、個々のセッションの中の脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うように動作可能であることを特徴とする請求項6に記載のネットワーク防衛システム。
  8. 前記トリガー・フィルタがさらに、個々のセッションにおけるデータ・フロー中のパケットが疑わしいかどうかを判断するように動作可能であり、前記パケット・ハンドラがさらに、更なる調査のために、疑わしいパケットをデータ・フローから抽出するように動作可能であることを特徴とする請求項7に記載のネットワーク防衛システム。
  9. 前記抽出されたパケットを受信し、前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを解明する目的で、前記インラインのトリガー・フィルタによって実行されるものより包括的なフィルタリング動作を実装する脅威検証機能をさらに含むことを特徴とする請求項8に記載のネットワーク防衛システム。
  10. 前記脅威検証機能がさらに、前記疑わしい抽出されたパケットが脅威を与えるものでないと判断された場合に、その疑わしい抽出されたパケットをデータ・フローに戻すように動作可能であることを特徴とする請求項9に記載のネットワーク防衛システム。
  11. 前記疑わしい抽出されたパケットを調査して、それがネットワーク内に存在する識別可能な資産に対し何らかのリスクを示すかどうかを判断するように動作可能なリスク評価機能をさらに含むことを特徴とする請求項9に記載のネットワーク防衛システム。
  12. 同じくパケット・データ・フローに関してインラインに接続され、データ・フローに沿ったパケットの通過を調節するように動作可能なフロー・コントローラをさらに含むことを特徴とする請求項1に記載のネットワーク防衛システム。
  13. 前記状態管理部がハードウェアに実装され、
    前記アルゴリズム・フィルタがソフトウェアに実装される、
    ことを特徴とする請求項1に記載のネットワーク防衛システム。
  14. ネットワークを防衛する方法であって、
    現時点でパケット・データ・フローに存在するセッションを追跡する段階と、
    これらのセッションに関係するパケット関連履歴データを収集する段階と、
    前記追跡されたセッション及び前記収集されたパケット関連履歴データに対しアルゴリズム的にフィルタリングを行い、多数のセッションにわたるデータ・フロー中のパケットがネットワークに対して脅威を示すかどうかを統計学的解析に基づいて判断する段階と、
    を含む方法。
  15. 判断された脅威の存在に応答して脅威パケットをブロックすることにより、パケット・データ・フロー中のパケットを処理する段階をさらに含むことを特徴とする請求項14に記載の方法。
  16. 前記処理段階が、判断された脅威の存在に応答して脅威セッションを終了させる段階をさらに含むことを特徴とする請求項15に記載の方法。
  17. 前記保護されたネットワークへの脅威が、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃からなる群から取られた、複数のセッションに関係する脅威を含むことを特徴とする請求項14に記載の方法。
  18. 多数のセッションにわたるデータ・フロー中のパケットがネットワークに対する脅威の疑いを示すかどうかを統計学的解析から判断する段階をさらに含むことを特徴とする請求項14に記載の方法。
  19. 脅威の疑いに有効に応答して、パケット・データ・フロー中のパケットに対し、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らしてフィルタリングを行う段階と、
    検出された脅威の存在に応答して脅威パケットをブロックすることにより、パケット・データ・フロー中のパケットを処理する段階と、
    をさらに含むことを特徴とする請求項18に記載の方法。
  20. 前記パケット・フィルタリング段階が、データ・フロー中のパケットを個々のセッションにおける脅威パケットを検出するために設計された基準に照らしてフィルタリングする段階をさらに含むことを特徴とする請求項19に記載の方法。
  21. 前記パケット・フィルタリング段階が、個々のセッションにおけるデータ・フロー中のパケットが疑わしいかどうかを判断する段階をさらに含み、前記処理段階が、更なる調査のために、疑わしいパケットをデータ・フローから抽出する段階をさらに含むことを特徴とする請求項20に記載の方法。
  22. 前記抽出されたパケットに関して、疑わしい抽出されたパケットが脅威を与えるものであるかどうかを解明する目的で、前記パケット・フィルタリング段階で行われるものより包括的なフィルタリング動作を実装することにより脅威を検証する段階をさらに含むことを特徴とする請求項21に記載の方法。
  23. 前記脅威を検証する段階が、疑わしい抽出されたパケットが脅威を与えるものでないと判断された場合に、その疑わしい抽出されたパケットをデータ・フローに戻す段階をさらに含むことを特徴とする請求項22に記載の方法。
  24. 前記疑わしい抽出済パケットに関し、それがネットワーク内に存在する識別可能な資産に対し何らかのリスクを示すかどうかを判断することによって、リスクを評価する段階をさらに含むことを特徴とする請求項22に記載の方法。
  25. 前記データ・フローに沿ったパケットの通過を調節することによってフローを制御する段階をさらに含むことを特徴とする請求項14に記載の方法。
  26. パケット・データ・フローに関してインラインに接続され、前記データ・フロー上に現時点で存在している多数のセッションに関する情報を追跡するように動作可能な状態管理部と、
    前記情報に対して統計学的解析を行い、多数のセッションにわたるデータ・フロー中のパケットが保護されたネットワークへの脅威を示すかどうかを判断するように動作可能なアルゴリズム・フィルタと、
    同じくパケット・データ・フローに関してインラインに接続され、個々のセッションの中の脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うように動作可能なトリガー・フィルタと、
    同じくパケット・データ・フローに関してインラインに接続され、前記アルゴリズム・フィルタ及び前記トリガー・フィルタが検出した脅威に応答して脅威パケットをブロックするように動作可能なパケット・ハンドラと、
    を含む、ネットワークを防衛するためのシステム。
  27. 同じくパケット・データ・フローに関してインラインに接続され、データ・フローに沿ったパケットの通過を調節するように動作可能なフロー・コントローラをさらに含むことを特徴とする請求項26に記載のシステム。
  28. 前記アルゴリズム・フィルタがさらに、多数のセッションにわたるデータ・フロー中のパケットがネットワークに対する脅威の疑いを示すかどうかを統計学的解析から判断するように動作可能であり、前記トリガー・フィルタがさらに、疑い判断に応答して、多数のセッションにわたる脅威パケットを検出するために設計された基準に照らして、データ・フロー中の疑わしいパケットにフィルタリングを行うように動作可能であることを特徴とする請求項26に記載のシステム。
  29. 前記パケット・ハンドラがさらに、検出された脅威に応答して脅威セッションを終了させるように動作可能であることを特徴とする請求項26に記載のシステム。
  30. 前記保護されたネットワークへの脅威が、アドレス・スイープ攻撃、ポートスキャン攻撃、及びサービス拒否攻撃からなるグループから取られた、複数のセッションに関係する脅威を含むことを特徴とする請求項26に記載のシステム。
  31. 前記トリガー・フィルタがさらに、データ・フロー中のパケットを疑わしいと判断した場合に、該パケットをデータ・フローから抽出するように動作可能であることを特徴とする請求項26に記載のシステム。
  32. 前記抽出されたパケットを受信し、前記疑わしい抽出されたパケットが脅威を与えるものであるかどうかを解明する目的で、前記インラインのトリガー・フィルタによって実行されるものより包括的なフィルタリング動作を実装する脅威検証機能をさらに含むことを特徴とする請求項31に記載のシステム。
  33. 前記脅威検証機能がさらに、前記疑わしい抽出されたパケットが脅威を与えるものでないと判断された場合に、その疑わしい抽出されたパケットをデータ・フローに戻すように動作可能であることを特徴とする請求項32に記載のシステム。
  34. 前記疑わしい抽出されたパケットを調査して、それがネットワーク内に存在する識別可能な資産に対し何らかのリスクを示すかどうかを判断するように動作可能なリスク評価機能をさらに含むことを特徴とする請求項33に記載のシステム。
  35. 前記アルゴリズム・フィルタによって解析された情報が、パケットと、確立された特定のセッションとの連係に関係するセッション追跡データを含むことを特徴とする請求項26に記載のシステム。
  36. 前記アルゴリズム・フィルタによって解析された情報が、多数のセッションにわたるパケット関連履歴データを含むことを特徴とする請求項26に記載のシステム。
  37. 前記フィルタリング基準がヘッダ・コンテンツ・マッチング基準を含むことを特徴とする請求項26に記載のシステム。
  38. 前記フィルタリング基準がマルチパケットコンテンツ・マッチング基準を含むことを特徴とする請求項26に記載のシステム。
  39. 前記アルゴリズム・フィルタが統計学的閾値フィルタリングを実装することを特徴とする請求項26に記載のシステム。
  40. パケット・フィルタリング・システムであって、
    パケット・データ・フローに関してインラインに接続され、データ・フロー中の各通過パケットを調査し、それらのパケットに何らかの所定の基準への適合性を強制する正規化機能と、
    同じくパケット・データ・フローに関してインラインに接続され、適合しないパケットの存在に応答して、そうしたパケットが保護されたネットワークへ入らないようにブロックするように動作可能なパケット・ハンドラと、
    を含むシステム。
  41. 前記正規化機能が、フラグメント化されたパケットが保護されたネットワークに入る前に再組み立てされることを強いるように動作することを特徴とする請求項40に記載のシステム。
  42. パケット・データ・フローに関してインラインに接続され、保護されたネットワークへの脅威を再組み立て済パケットから検出するように動作可能なトリガー・フィルタをさらに含み、前記パケット・ハンドラが、その再組み立て済パケットをブロックすることによって前記検出に応答することを特徴とする請求項41に記載のシステム。
  43. 前記パケット・ハンドラが、前記再組み立て済パケットに関連するセッションを終了させることによって前記検出に応答することを特徴とする請求項42に記載のシステム。
  44. 前記正規化機能が、エンコードされたパケットが前記保護されたネットワークに入る前にデコーディングを強いるように動作することを特徴とする請求項40に記載のシステム。
  45. 同じくパケット・データ・フローに関してインラインに接続され、前記保護されたネットワークへの脅威をデコード済パケットから検出するように動作可能なトリガー・フィルタをさらに含み、前記パケット・ハンドラが、前記デコード済パケットをブロックすることによって前記検出に応答することを特徴とする請求項44に記載のシステム。
  46. 前記パケット・ハンドラが、前記デコード済パケットに関連するセッションを終了させることによって前記検出に応答することを特徴とする請求項45に記載のシステム。
  47. 前記正規化機能が、アクティブなセッション及び該アクティブなセッションの関連パケットを追跡するように動作することを特徴とする請求項40に記載のシステム。
  48. 同じくパケット・データ・フローに関してインラインに接続され、前記保護されたネットワークへの脅威を通過パケットから検出するように動作可能なトリガー・フィルタをさらに含み、前記パケット・ハンドラが、前記通過パケットをブロックすることによって、前記通過パケットのアクティブなセッションとの関連付けの失敗又は脅威の検出に応答することを特徴とする請求項47に記載のシステム。
  49. 前記パケット・ハンドラが、前記通過パケットに関連するセッションを終了させることによって前記検出に応答することを特徴とする請求項48に記載のシステム。
  50. パケットをフィルタリングする方法であって
    データ・フロー中の各通過パケットを調査し、それらのパケットに何らかの所定の基準への適合性を強制することにより、パケット・データ・フロー中のパケットを正規化する段階と、
    そうしたパケットが保護されたネットワークへ入らないようにブロックすることにより、適合しないパケットの存在に応答して通過パケットを処理する段階と、
    を含む方法。
  51. 前記正規化段階が、フラグメント化されたパケットが前記保護されたネットワークに入る前に再組み立てを強いる段階を含むことを特徴とする請求項50に記載の方法。
  52. 前記パケット・データ・フローにフィルタリングを行って、前記保護されたネットワークへの脅威を再組み立て済パケットから検出する段階をさらに含み、前記処理段階が、前記再組み立て済パケットをブロックすることによって前記検出に応答する段階を含むことを特徴とする請求項51に記載の方法。
  53. 前記処理段階が、前記再組み立て済パケットに関連するセッションを終了させる段階を含むことを特徴とする請求項52に記載の方法。
  54. 前記正規化段階が、エンコードされたパケットが前記保護されたネットワークに入る前にデコーディングを強いる段階を含むことを特徴とする請求項50に記載の方法。
  55. 前記パケット・データ・フローにフィルタリングを行って、前記保護されたネットワークへの脅威をデコード済パケットから検出する段階をさらに含み、前記処理段階が、前記デコード済パケットをブロックする段階を含むことを特徴とする請求項54に記載の方法。
  56. 前記処理段階が、前記デコード済パケットに関連するセッションを終了させる段階を含むことを特徴とする請求項55に記載の方法。
  57. 前記正規化段階が、アクティブなセッション及び該アクティブなセッションの関連パケットを追跡する段階を含むことを特徴とする請求項50に記載のシステム。
  58. 前記パケット・データ・フローにフィルタリングを行って、前記保護されたネットワークへの脅威を通過パケットから検出する段階をさらに含み、前記処理段階が、前記通過パケットのアクティブなセッションとの関連付けに失敗するか又は脅威を検出した場合に、前記通過パケットをブロックする段階を含むことを特徴とする請求項57に記載の方法。
  59. 前記処理段階が、前記通過パケットに関連するセッションを終了させる段階を含むことを特徴とする請求項58に記載の方法。
  60. パケット・フィルタリング・システムであって、
    特定の疑わしいトラフィックにより脅威を受けるネットワーク資産の識別子を含むフィルタリング基準セットと、
    前記フィルタリング基準セットと比較して疑わしいパケットを調査するように動作可能であり、更なる調査のために疑わしいパケットのうちのどれか1つを識別するフィルタと、
    前記脅威を受けるネットワーク資産の識別子と比較して、前記疑わしいパケットのうちのどれか1つを調査するように動作可能であり、保護されたネットワークが疑わしいパケットの1つにより脅威を受ける少なくとも1つの識別済みネットワーク資産を含んでいた場合には通知警報を発するリスク評価機能と、
    を含むシステム。
  61. 前記保護されたネットワーク内部の資産のリストを格納するデータベースをさらに含み、前記リスク評価機能が、パケットによる脅威を受ける識別済ネットワーク資産を該データベース資産リストに対して比較するように動作可能であることを特徴とする請求項60に記載のシステム。
  62. 良性のトラフィック・パケット、悪質なトラフィック・パケット、及び疑わしいトラフィック・パケットを識別するためのフィルタリング基準セットと比較して、データ・フロー中の各パケットを調査するように動作可能なトリガー・フィルタをさらに含むことを特徴とする請求項60に記載のシステム。
  63. 前記データ・フロー中の各パケットを調査して、(a)悪質なトラフィック・パケットを除去し、(b)良性のトラフィック・パケットが保護されたネットワークに入ることを許可し、(c)疑わしいパケットをフィルタに渡して調査させるように動作可能なパケット・ハンドラをさらに含むことを特徴とする請求項62に記載のシステム。
  64. パケットのフィルタリング方法であって、
    何らかの疑わしいトラフィックによる脅威を受けるネットワーク資産の識別子を含むフィルタリング基準セットを定義し、
    前記フィルタリング基準セットと比較して疑わしいパケットを調査して、更なる調査のために疑わしいパケットのどれか1つを識別し、
    前記脅威を受けるネットワーク資産の識別子に関連して、疑わしいパケットのどれか1つに関係するリスクを評価し、
    前記保護されたネットワークが疑わしいパケットのどれか1つにより脅威を受ける少なくとも1つの識別済ネットワーク資産を含んでいた場合には通知警報を発する、
    ことを含む方法。
  65. 前記保護されたネットワーク内部の資産のリストを格納する段階をさらに含み、前記リスク評価段階が、前記パケットによる脅威を受ける識別済ネットワーク資産を該資産リストに対して比較する段階を含むことを特徴とする請求項64に記載の方法。
  66. 前記格納された資産リストが資産特徴の識別子を含み、前記リスク評価段階が、前記格納済み資産特徴に照らして、前記パケットによる脅威を受ける識別済ネットワーク資産の特徴を比較する段階を含むことを特徴とする請求項65に記載の方法。
  67. データ・フロー中の各パケットを、前記フィルタリング基準セットと比較して調査し、良性のトラフィック・パケット、悪質なトラフィック・パケット、及び疑わしいトラフィック・パケットを識別する段階をさらに含むことを特徴とする請求項64に記載の方法。
  68. (a)前記悪質なトラフィック・パケットを除去すること、
    (b)前記良性のトラフィック・パケットが前記保護されたネットワークに入ることを許可すること、及び
    (c)前記疑わしいパケットを渡してさらに調査させること、
    により前記調査に応答する段階をさらに含むことを特徴とする請求項67に記載の方法。
  69. ネットワークを防衛する方法であって、
    データ・フロー中の各パケットに、ライン速度で深いレベルのパケット検査を実行し、良性のトラフィック・パケット、悪質なトラフィック・パケット、及び疑わしいトラフィック・パケットを識別する段階と、
    前記良性のトラフィック・パケットを保護されたネットワークに渡すことを可能にする段階と、
    前記悪質なトラフィック・パケットが前記保護されたネットワークに入ることをブロックする段階と、
    前記疑わしいパケットを更なる調査のためにデータ・フローから抽出する段階と、
    を含む方法。
  70. 前記実行する段階が、単一セッションに関連した識別を行うように動作可能であることを特徴とする請求項69に記載の方法。
  71. 前記実行する段階が、多数のセッションに関連した識別を行うように動作可能であることを特徴とする請求項69に記載の方法。
  72. 前記抽出された疑わしいパケットに対し、より徹底した脅威評価解析を実行する段階をさらに含むことを特徴とする請求項69に記載の方法。
  73. 前記実行する段階が、前記脅威基準に照らして前記通過パケットのパターン・マッチングを行う段階を含むことを特徴とする請求項69に記載の方法。
  74. 前記パターン・マッチング段階が多数の並行インスタンスにおいて実行されることを特徴とする請求項73に記載の方法。
JP2004551910A 2002-11-07 2003-11-07 能動的ネットワーク防衛システム及び方法 Pending JP2006506853A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/291,095 US7454499B2 (en) 2002-11-07 2002-11-07 Active network defense system and method
PCT/US2003/035619 WO2004045126A2 (en) 2002-11-07 2003-11-07 Active network defense system and method

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2010141647A Division JP2010268483A (ja) 2002-11-07 2010-06-22 能動的ネットワーク防衛システム及び方法

Publications (2)

Publication Number Publication Date
JP2006506853A true JP2006506853A (ja) 2006-02-23
JP2006506853A5 JP2006506853A5 (ja) 2006-12-21

Family

ID=32229193

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2004551910A Pending JP2006506853A (ja) 2002-11-07 2003-11-07 能動的ネットワーク防衛システム及び方法
JP2010141647A Pending JP2010268483A (ja) 2002-11-07 2010-06-22 能動的ネットワーク防衛システム及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2010141647A Pending JP2010268483A (ja) 2002-11-07 2010-06-22 能動的ネットワーク防衛システム及び方法

Country Status (8)

Country Link
US (3) US7454499B2 (ja)
EP (1) EP1558937B1 (ja)
JP (2) JP2006506853A (ja)
KR (2) KR101111433B1 (ja)
CN (1) CN100443910C (ja)
AR (1) AR042020A1 (ja)
AU (1) AU2003290674A1 (ja)
WO (1) WO2004045126A2 (ja)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006211609A (ja) * 2005-01-31 2006-08-10 Japan Aerospace Exploration Agency 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置
JP2008512970A (ja) * 2004-09-09 2008-04-24 アバイア テクノロジー コーポレーション ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2012510668A (ja) * 2008-12-01 2012-05-10 マイクロン テクノロジー, インク. 異なるデータセットの識別を可能とするシステムおよび方法
JP2013183458A (ja) * 2012-02-29 2013-09-12 Pantech Co Ltd ネットワーク攻撃を感知する移動通信端末機およびその感知方法
KR20140125814A (ko) * 2012-01-27 2014-10-29 노키아 솔루션스 앤드 네트웍스 오와이 모바일 패킷 코어 네트워크에서의 세션 종결
JP2015530831A (ja) * 2012-09-13 2015-10-15 シマンテック コーポレーションSymantec Corporation 選択的ディープパケットインスペクションを実行するためのシステム及び方法
JP2018506808A (ja) * 2014-11-21 2018-03-08 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法

Families Citing this family (479)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7725587B1 (en) * 2000-08-24 2010-05-25 Aol Llc Deep packet scan hacker identification
US7711790B1 (en) 2000-08-24 2010-05-04 Foundry Networks, Inc. Securing an accessible computer system
US8438241B2 (en) * 2001-08-14 2013-05-07 Cisco Technology, Inc. Detecting and protecting against worm traffic on a network
US7313815B2 (en) * 2001-08-30 2007-12-25 Cisco Technology, Inc. Protecting against spoofed DNS messages
US7398389B2 (en) * 2001-12-20 2008-07-08 Coretrace Corporation Kernel-based network security infrastructure
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
WO2004034229A2 (en) * 2002-10-10 2004-04-22 Rocksteady Networks, Inc. System and method for providing access control
US7587512B2 (en) 2002-10-16 2009-09-08 Eric White System and method for dynamic bandwidth provisioning
US7401360B2 (en) * 2002-12-03 2008-07-15 Tekelec Methods and systems for identifying and mitigating telecommunications network security threats
US8683016B1 (en) * 2002-12-20 2014-03-25 Versata Development Group, Inc. Data recording components and processes for acquiring selected web site data
US20040148520A1 (en) * 2003-01-29 2004-07-29 Rajesh Talpade Mitigating denial of service attacks
US8296452B2 (en) * 2003-03-06 2012-10-23 Cisco Technology, Inc. Apparatus and method for detecting tiny fragment attacks
US7895649B1 (en) * 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US7796515B2 (en) * 2003-04-29 2010-09-14 Hewlett-Packard Development Company, L.P. Propagation of viruses through an information technology network
GB2401281B (en) * 2003-04-29 2006-02-08 Hewlett Packard Development Co Propagation of viruses through an information technology network
US7801980B1 (en) 2003-05-12 2010-09-21 Sourcefire, Inc. Systems and methods for determining characteristics of a network
US8204042B2 (en) 2003-05-15 2012-06-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for establishing VoIP service in a network
US20050021739A1 (en) * 2003-05-15 2005-01-27 Carter Sharon E. Methods, systems and computer program products for communicating the expected efficacy of invoking a network turbo boost service
US8174970B2 (en) * 2003-05-15 2012-05-08 At&T Intellectual Property I, L.P. Methods of implementing dynamic QoS and/or bandwidth provisioning and related data networks, data service providers, routing gateways, and computer program products
US8239516B2 (en) 2003-05-15 2012-08-07 At&T Intellectual Property I, L.P. Methods, systems and computer program products for proactively offering a network turbo boost service to end users
US7684432B2 (en) * 2003-05-15 2010-03-23 At&T Intellectual Property I, L.P. Methods of providing data services over data networks and related data networks, data service providers, routing gateways and computer program products
US8521889B2 (en) 2003-05-15 2013-08-27 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for modifying bandwidth and/or quality of service for a user session in a network
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US20040252722A1 (en) * 2003-06-13 2004-12-16 Samsung Electronics Co., Ltd. Apparatus and method for implementing VLAN bridging and a VPN in a distributed architecture router
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
IL158309A (en) * 2003-10-08 2011-06-30 Ammon Yacoby Centralized network control
US7237267B2 (en) * 2003-10-16 2007-06-26 Cisco Technology, Inc. Policy-based network security management
US7310815B2 (en) * 2003-10-29 2007-12-18 Sonicwall, Inc. Method and apparatus for datastream analysis and blocking
US8239687B2 (en) 2003-11-12 2012-08-07 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
US8839417B1 (en) * 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US7487542B2 (en) * 2004-01-14 2009-02-03 International Business Machines Corporation Intrusion detection using a network processor and a parallel pattern detection engine
CN101180826B (zh) * 2004-01-26 2012-09-05 思科技术公司 较高级协议认证
US7526804B2 (en) * 2004-02-02 2009-04-28 Microsoft Corporation Hardware assist for pattern matches
US7792147B1 (en) * 2004-02-09 2010-09-07 Symantec Corporation Efficient assembly of fragmented network traffic for data security
US7603716B2 (en) * 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US7392295B2 (en) 2004-02-19 2008-06-24 Microsoft Corporation Method and system for collecting information from computer systems based on a trusted relationship
US7694022B2 (en) * 2004-02-24 2010-04-06 Microsoft Corporation Method and system for filtering communications to prevent exploitation of a software vulnerability
US7590728B2 (en) * 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7610621B2 (en) * 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US20050204022A1 (en) * 2004-03-10 2005-09-15 Keith Johnston System and method for network management XML architectural abstraction
US7509625B2 (en) * 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US7665130B2 (en) * 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8793787B2 (en) * 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US8171553B2 (en) * 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
DK1736016T3 (en) 2004-04-14 2015-09-28 Mbalance Res B V Process for the prevention of delivery of spam via sms
CN101401090B (zh) * 2004-04-19 2010-08-25 加利福尼亚大学董事会 深度包过滤器及深度包过滤方法
GB2431316B (en) * 2005-10-12 2008-05-21 Hewlett Packard Development Co Propagation of malicious code through an information technology network
US7225468B2 (en) * 2004-05-07 2007-05-29 Digital Security Networks, Llc Methods and apparatus for computer network security using intrusion detection and prevention
US7539681B2 (en) * 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7444588B2 (en) * 2004-08-05 2008-10-28 At&T Intellectual Property, I.L.P. Methods, systems, and storage mediums for providing multi-media content storage and management services
US7545788B2 (en) * 2004-08-20 2009-06-09 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for modifying bandwidth and/or quality of service in a core network
US20060045121A1 (en) * 2004-08-25 2006-03-02 Monk John M Methods and systems for analyzing network transmission events
WO2006040201A1 (en) * 2004-09-02 2006-04-20 Siemens Aktiengesellschaft Method and apparatus for denial of service defense
US8331234B1 (en) 2004-09-08 2012-12-11 Q1 Labs Inc. Network data flow collection and processing
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
US20060075093A1 (en) * 2004-10-05 2006-04-06 Enterasys Networks, Inc. Using flow metric events to control network operation
US7849506B1 (en) * 2004-10-12 2010-12-07 Avaya Inc. Switching device, method, and computer program for efficient intrusion detection
US7835361B1 (en) 2004-10-13 2010-11-16 Sonicwall, Inc. Method and apparatus for identifying data patterns in a file
US7600257B2 (en) 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
US20090328185A1 (en) * 2004-11-04 2009-12-31 Eric Van Den Berg Detecting exploit code in network flows
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20070039051A1 (en) * 2004-11-30 2007-02-15 Sensory Networks, Inc. Apparatus And Method For Acceleration of Security Applications Through Pre-Filtering
US20060191008A1 (en) * 2004-11-30 2006-08-24 Sensory Networks Inc. Apparatus and method for accelerating intrusion detection and prevention systems using pre-filtering
JP2006157760A (ja) * 2004-12-01 2006-06-15 Hitachi Ltd パケット転送装置およびパケット転送処理方法
KR100639969B1 (ko) * 2004-12-02 2006-11-01 한국전자통신연구원 이상 트래픽 제어 장치 및 그 제어 방법
BRPI0519544A2 (pt) * 2004-12-21 2009-02-17 Qualcomm Inc configuraÇço firewall assistida de cliente
FI20041681A0 (fi) * 2004-12-29 2004-12-29 Nokia Corp Liikenteen rajoittaminen kommunikaatiojärjestelmissä
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7996894B1 (en) * 2005-02-15 2011-08-09 Sonicwall, Inc. MAC address modification of otherwise locally bridged client devices to provide security
US7774849B2 (en) * 2005-04-15 2010-08-10 Tekelec Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network
US20070097976A1 (en) * 2005-05-20 2007-05-03 Wood George D Suspect traffic redirection
US7562293B2 (en) * 2005-05-27 2009-07-14 International Business Machines Corporation Method and apparatus for processing a parseable document
US8028160B1 (en) * 2005-05-27 2011-09-27 Marvell International Ltd. Data link layer switch with protection against internet protocol spoofing attacks
US7757283B2 (en) 2005-07-08 2010-07-13 Alcatel Lucent System and method for detecting abnormal traffic based on early notification
FR2888695A1 (fr) * 2005-07-13 2007-01-19 France Telecom Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication
US7873998B1 (en) * 2005-07-19 2011-01-18 Trustwave Holdings, Inc. Rapidly propagating threat detection
US7746862B1 (en) * 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US8166547B2 (en) 2005-09-06 2012-04-24 Fortinet, Inc. Method, apparatus, signals, and medium for managing a transfer of data in a data network
US20070056038A1 (en) * 2005-09-06 2007-03-08 Lok Technology, Inc. Fusion instrusion protection system
US7624447B1 (en) 2005-09-08 2009-11-24 Cisco Technology, Inc. Using threshold lists for worm detection
US8544098B2 (en) * 2005-09-22 2013-09-24 Alcatel Lucent Security vulnerability information aggregation
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8095984B2 (en) * 2005-09-22 2012-01-10 Alcatel Lucent Systems and methods of associating security vulnerabilities and assets
US8510833B2 (en) * 2005-10-27 2013-08-13 Hewlett-Packard Development Company, L.P. Connection-rate filtering using ARP requests
US8001602B2 (en) * 2005-10-31 2011-08-16 Freescale Semiconductor, Inc. Data scan mechanism
KR100718640B1 (ko) * 2005-11-10 2007-05-16 홍성호 셋션별 데이터 필터링 및 전달 기능을 구비한정보보안시스템 및 방법
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US8352589B2 (en) * 2005-11-15 2013-01-08 Aternity Information Systems Ltd. System for monitoring computer systems and alerting users of faults
US8468589B2 (en) * 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US8270413B2 (en) 2005-11-28 2012-09-18 Cisco Technology, Inc. Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks
CN100563246C (zh) * 2005-11-30 2009-11-25 华为技术有限公司 一种基于ip的语音通信边界安全控制系统及方法
KR100734872B1 (ko) * 2005-12-12 2007-07-03 한국전자통신연구원 Rfid 응용레벨 이벤트 서비스에 대한 접근 제어 시스템및 그 방법
US8392999B2 (en) * 2005-12-19 2013-03-05 White Cyber Knight Ltd. Apparatus and methods for assessing and maintaining security of a computerized system under development
US7743123B2 (en) * 2005-12-19 2010-06-22 Microsoft Corporation Aggregating information from a cluster of peers
US20070143849A1 (en) * 2005-12-19 2007-06-21 Eyal Adar Method and a software system for end-to-end security assessment for security and CIP professionals
US7856100B2 (en) * 2005-12-19 2010-12-21 Microsoft Corporation Privacy-preserving data aggregation using homomorphic encryption
US8613088B2 (en) * 2006-02-03 2013-12-17 Cisco Technology, Inc. Methods and systems to detect an evasion attack
US9747439B2 (en) * 2006-02-06 2017-08-29 Trend Micro Incorporated Dynamic network tuner for the automated correlation of networking device functionality and network-related performance
US8898787B2 (en) * 2006-03-24 2014-11-25 AVG Netherlands, B.V. Software vulnerability exploitation shield
US8244855B1 (en) * 2006-06-21 2012-08-14 Qurio Holdings, Inc. Application state aware mediating server
US8009566B2 (en) * 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8102863B1 (en) 2006-06-27 2012-01-24 Qurio Holdings, Inc. High-speed WAN to wireless LAN gateway
US7948988B2 (en) * 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US20080044018A1 (en) * 2006-07-31 2008-02-21 Scrimsher John P Method and system to detect and prevent computer network intrusion
US7701945B2 (en) * 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
US8856920B2 (en) * 2006-09-18 2014-10-07 Alcatel Lucent System and method of securely processing lawfully intercepted network traffic
DE102006045306A1 (de) * 2006-09-26 2008-04-10 Siemens Ag Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung
US20080196102A1 (en) * 2006-10-06 2008-08-14 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
KR100862187B1 (ko) * 2006-10-27 2008-10-09 한국전자통신연구원 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법
US8156557B2 (en) * 2007-01-04 2012-04-10 Cisco Technology, Inc. Protection against reflection distributed denial of service attacks
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
KR101367652B1 (ko) * 2007-03-12 2014-02-27 주식회사 엘지씨엔에스 정적 정책정보를 이용한 침입방지 장치 및 방법
US8850547B1 (en) 2007-03-14 2014-09-30 Volcano Corporation Remote access service inspector
US8509075B2 (en) * 2007-03-23 2013-08-13 Hewlett-Packard Development Company, Lp Data-type-based network path configuration
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8996681B2 (en) * 2007-04-23 2015-03-31 The Mitre Corporation Passively attributing anonymous network events to their associated users
US8707431B2 (en) * 2007-04-24 2014-04-22 The Mitre Corporation Insider threat detection
CA2685292C (en) * 2007-04-30 2013-09-24 Sourcefire, Inc. Real-time user awareness for a computer network
US20080282346A1 (en) * 2007-05-10 2008-11-13 Motorola, Inc. Data Type Management Unit
US20080307525A1 (en) * 2007-06-05 2008-12-11 Computer Associates Think, Inc. System and method for evaluating security events in the context of an organizational structure
US8863286B1 (en) 2007-06-05 2014-10-14 Sonicwall, Inc. Notification for reassembly-free file scanning
US8006303B1 (en) * 2007-06-07 2011-08-23 International Business Machines Corporation System, method and program product for intrusion protection of a network
US8135007B2 (en) * 2007-06-29 2012-03-13 Extreme Networks, Inc. Method and mechanism for port redirects in a network switch
US7991723B1 (en) 2007-07-16 2011-08-02 Sonicwall, Inc. Data pattern analysis using optimized deterministic finite automaton
EP2018013A1 (en) * 2007-07-17 2009-01-21 Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. Method and telecommunications apparatus for protecting VoIP services against attacks
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US7742945B2 (en) * 2007-08-27 2010-06-22 At&T Intellectual Property, I,L.P. Methods, systems and computer products to incentivize high speed internet access
US7996520B2 (en) * 2007-09-19 2011-08-09 Cisco Technology, Inc. Behavioral classification of communication sessions using active session initiation
CN101399749B (zh) * 2007-09-27 2012-04-04 华为技术有限公司 一种报文过滤的方法、系统和设备
CN103531259A (zh) * 2007-10-29 2014-01-22 霍尔泰克国际股份有限公司 用于支持放射性燃料组件的设备
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US8370937B2 (en) * 2007-12-03 2013-02-05 Cisco Technology, Inc. Handling of DDoS attacks from NAT or proxy devices
US20090158433A1 (en) * 2007-12-18 2009-06-18 Motorola, Inc. Method and Apparatus to Facilitate Generating Worm-Detection Signatures Using Data Packet Field Lengths
US8479284B1 (en) * 2007-12-20 2013-07-02 Symantec Corporation Referrer context identification for remote object links
US8180761B1 (en) 2007-12-27 2012-05-15 Symantec Corporation Referrer context aware target queue prioritization
US20090182818A1 (en) * 2008-01-11 2009-07-16 Fortinet, Inc. A Delaware Corporation Heuristic detection of probable misspelled addresses in electronic communications
US9237167B1 (en) * 2008-01-18 2016-01-12 Jpmorgan Chase Bank, N.A. Systems and methods for performing network counter measures
US20090216875A1 (en) * 2008-02-26 2009-08-27 Barracuda Inc. Filtering secure network messages without cryptographic processes method
CA2661398C (en) 2008-04-05 2016-05-17 Third Brigade Inc. System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
WO2009132047A2 (en) * 2008-04-21 2009-10-29 Zytron Corp. Collaborative and proactive defense of networks and information systems
US8339959B1 (en) 2008-05-20 2012-12-25 Juniper Networks, Inc. Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane
US8341740B2 (en) * 2008-05-21 2012-12-25 Alcatel Lucent Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware
KR100870871B1 (ko) * 2008-05-29 2008-11-27 (주)한드림넷 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템
US8391157B2 (en) * 2008-06-16 2013-03-05 Ixia Distributed flow analysis
JP5473406B2 (ja) * 2008-07-18 2014-04-16 キヤノン株式会社 ネットワーク処理装置及びその処理方法
US8955107B2 (en) * 2008-09-12 2015-02-10 Juniper Networks, Inc. Hierarchical application of security services within a computer network
US8769682B2 (en) * 2008-09-18 2014-07-01 Alcatel Lucent Mechanism for identifying malicious content, DoS attacks, and illegal IPTV services
US8813221B1 (en) 2008-09-25 2014-08-19 Sonicwall, Inc. Reassembly-free deep packet inspection on multi-core hardware
WO2010045089A1 (en) 2008-10-08 2010-04-22 Sourcefire, Inc. Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system
US8572717B2 (en) * 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US8040808B1 (en) 2008-10-20 2011-10-18 Juniper Networks, Inc. Service aware path selection with a network acceleration device
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
US8850571B2 (en) * 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8578491B2 (en) * 2008-12-11 2013-11-05 Alcatel Lucent Network based malware detection and reporting
KR101195944B1 (ko) * 2008-12-17 2012-10-29 고려대학교 산학협력단 심층 패킷 검사 장치 및 심층 패킷 검사 방법
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US8661155B2 (en) * 2008-12-30 2014-02-25 Telefonaktiebolaget Lm Ericsson (Publ) Service layer assisted change of multimedia stream access delivery
US8769664B1 (en) 2009-01-30 2014-07-01 Palo Alto Networks, Inc. Security processing in active security devices
US8321938B2 (en) * 2009-02-12 2012-11-27 Raytheon Bbn Technologies Corp. Multi-tiered scalable network monitoring
US8051167B2 (en) * 2009-02-13 2011-11-01 Alcatel Lucent Optimized mirror for content identification
US20100229234A1 (en) * 2009-03-03 2010-09-09 Tandberg Television Inc. Systems and methods for detecting and preventing denial of service attacks in an iptv system
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
DE102009022851A1 (de) * 2009-05-27 2010-12-02 Siemens Aktiengesellschaft Netzwerkkomponente und Verfahren zum Überwachen von Kommunikationsverbindungen
WO2011002818A1 (en) * 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform
US9769149B1 (en) 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
KR100959264B1 (ko) * 2009-08-26 2010-05-26 에스지에이 주식회사 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법
US8793151B2 (en) * 2009-08-28 2014-07-29 Src, Inc. System and method for organizational risk analysis and reporting by mapping detected risk patterns onto a risk ontology
CN101997859B (zh) * 2009-08-28 2014-10-08 国际商业机器公司 识别tcp流中的数据包的载荷的方法和设备
JP5648639B2 (ja) * 2009-09-10 2015-01-07 日本電気株式会社 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8782787B2 (en) 2009-10-28 2014-07-15 Hewlett-Packard Development Company, L.P. Distributed packet flow inspection and processing
KR101269790B1 (ko) * 2009-12-10 2013-05-30 한국전자통신연구원 데이터 플로우 병렬 처리 장치 및 방법
KR101326983B1 (ko) * 2009-12-21 2014-01-15 한국전자통신연구원 트래픽 제어 장치 및 방법
US9325625B2 (en) * 2010-01-08 2016-04-26 Citrix Systems, Inc. Mobile broadband packet switched traffic optimization
US8560552B2 (en) * 2010-01-08 2013-10-15 Sycamore Networks, Inc. Method for lossless data reduction of redundant patterns
US8514697B2 (en) * 2010-01-08 2013-08-20 Sycamore Networks, Inc. Mobile broadband packet switched traffic optimization
CN102137059B (zh) * 2010-01-21 2014-12-10 阿里巴巴集团控股有限公司 一种恶意访问的拦截方法和系统
EP2559217B1 (en) 2010-04-16 2019-08-14 Cisco Technology, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8607353B2 (en) * 2010-07-29 2013-12-10 Accenture Global Services Gmbh System and method for performing threat assessments using situational awareness
KR101370511B1 (ko) * 2010-09-15 2014-03-06 한국전자통신연구원 메타데이터 분류를 이용한 패킷 검사 방법 및 그 장치
US8509071B1 (en) 2010-10-06 2013-08-13 Juniper Networks, Inc. Multi-dimensional traffic management
KR101021948B1 (ko) * 2010-11-10 2011-03-16 (주) 위즈네트 네트워크 보안 하드웨어 인터넷 패킷 처리장치
WO2012069094A1 (en) * 2010-11-26 2012-05-31 Hewlett-Packard Development Company, L P Mitigation system
GB201101875D0 (en) * 2011-02-03 2011-03-23 Roke Manor Research A method and apparatus for communications analysis
US8458796B2 (en) * 2011-03-08 2013-06-04 Hewlett-Packard Development Company, L.P. Methods and systems for full pattern matching in hardware
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US8151341B1 (en) * 2011-05-23 2012-04-03 Kaspersky Lab Zao System and method for reducing false positives during detection of network attacks
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9553817B1 (en) 2011-07-14 2017-01-24 Sprint Communications Company L.P. Diverse transmission of packet content
US8726379B1 (en) 2011-07-15 2014-05-13 Norse Corporation Systems and methods for dynamic protection from electronic attacks
US8893274B2 (en) * 2011-08-03 2014-11-18 Trend Micro, Inc. Cross-VM network filtering
US10068227B1 (en) * 2011-09-13 2018-09-04 Tellabs Operations, Inc. Methods and apparatus for authenticating identity of web access from a network element
US9251535B1 (en) 2012-01-05 2016-02-02 Juniper Networks, Inc. Offload of data transfer statistics from a mobile access gateway
US9391878B2 (en) * 2012-01-25 2016-07-12 Cisco Technology, Inc. Reliable packet delivery with overlay network (RPDON)
US8955093B2 (en) * 2012-04-11 2015-02-10 Varmour Networks, Inc. Cooperative network security inspection
US8776243B2 (en) * 2012-04-27 2014-07-08 Ixia Methods, systems, and computer readable media for combining IP fragmentation evasion techniques
US20150128247A1 (en) * 2012-05-08 2015-05-07 Fireblade Ltd. Centralized device reputation center
CN104488229A (zh) 2012-07-31 2015-04-01 惠普发展公司,有限责任合伙企业 网络业务处理系统
US9215208B2 (en) * 2012-08-17 2015-12-15 The Keyw Corporation Network attack offensive appliance
CN104718721A (zh) * 2012-08-17 2015-06-17 诺基亚通信公司 计算机系统中的数据服务
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
WO2014153176A1 (en) 2013-03-14 2014-09-25 General Dynamics Advanced Information Systems, Inc. System and method for extracting and preserving metadata for analyzing network communications
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US8619579B1 (en) * 2013-03-15 2013-12-31 Extrahop Networks, Inc. De-duplicating of packets in flows at layer 3
US8867343B2 (en) 2013-03-15 2014-10-21 Extrahop Networks, Inc. Trigger based recording of flows with play back
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US8626912B1 (en) 2013-03-15 2014-01-07 Extrahop Networks, Inc. Automated passive discovery of applications
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9282043B1 (en) 2013-09-24 2016-03-08 Juniper Networks, Inc. Trend-based flow aggregation for flow suppression
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
CN104579730A (zh) * 2013-10-18 2015-04-29 宁夏先锋软件有限公司 一种有效阻止威胁的网络攻击防护系统
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US10367827B2 (en) * 2013-12-19 2019-07-30 Splunk Inc. Using network locations obtained from multiple threat lists to evaluate network data or machine data
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9507935B2 (en) 2014-01-16 2016-11-29 Fireeye, Inc. Exploit detection system with threat-aware microvisor
WO2015113156A1 (en) * 2014-01-30 2015-08-06 Marketwired L.P. Systems and methods for continuous active data security
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9544182B2 (en) * 2014-02-19 2017-01-10 Steven Waldbusser Monitoring gateway systems and methods for openflow type networks
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9942250B2 (en) * 2014-08-06 2018-04-10 Norse Networks, Inc. Network appliance for dynamic protection from risky network activities
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US9967283B2 (en) * 2014-09-14 2018-05-08 Sophos Limited Normalized indications of compromise
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US20160088001A1 (en) * 2014-09-22 2016-03-24 Alcatel-Lucent Usa Inc. Collaborative deep packet inspection systems and methods
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
WO2016109005A2 (en) 2014-10-21 2016-07-07 IronNet Cybersecurity, Inc. Cybersecurity system
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
KR101599213B1 (ko) * 2014-12-23 2016-03-04 주식회사 윈스 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
CN105827472B (zh) 2015-01-04 2019-08-20 华为技术有限公司 网络数据流类型检测方法及装置
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
USD814494S1 (en) 2015-03-02 2018-04-03 Norse Networks, Inc. Computer display panel with an icon image of a live electronic threat intelligence visualization interface
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
USD810775S1 (en) 2015-04-21 2018-02-20 Norse Networks, Inc. Computer display panel with a graphical live electronic threat intelligence visualization interface
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US9338147B1 (en) 2015-04-24 2016-05-10 Extrahop Networks, Inc. Secure communication secret sharing
KR101551729B1 (ko) * 2015-05-22 2015-09-10 (주) 위즈네트 인터넷 공격에 안전한 통신 칩셋 및 통신 장치
US10063446B2 (en) 2015-06-26 2018-08-28 Intel Corporation Netflow collection and export offload using network silicon
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US9923914B2 (en) 2015-06-30 2018-03-20 Norse Networks, Inc. Systems and platforms for intelligently monitoring risky network activities
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
TWI583152B (zh) * 2015-08-14 2017-05-11 緯創資通股份有限公司 適用於異質網路架構的異常預測方法及系統
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
CN204948505U (zh) * 2015-09-18 2016-01-06 京东方科技集团股份有限公司 一种柔性基板和显示装置
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
FR3043872B1 (fr) * 2015-11-12 2019-05-24 Qosmos Tech Analyse asynchrone d'un flux de donnees
WO2017082918A1 (en) * 2015-11-13 2017-05-18 Hewlett Packard Enterprise Development Lp Redirecting flow control packets
US9825911B1 (en) * 2015-11-18 2017-11-21 Amazon Technologies, Inc. Security policy check based on communication establishment handshake packet
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
CN105681211B (zh) * 2015-12-31 2020-07-28 北京安天网络安全技术有限公司 基于信息萃取的流量记录方法和系统
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10204211B2 (en) 2016-02-03 2019-02-12 Extrahop Networks, Inc. Healthcare operations with passive network monitoring
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10243971B2 (en) * 2016-03-25 2019-03-26 Arbor Networks, Inc. System and method for retrospective network traffic analysis
US10826933B1 (en) 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
EP3286900B1 (en) * 2016-06-22 2019-03-27 Huawei Technologies Co., Ltd. System and method for detecting and preventing network intrusion of malicious data flows
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
JP6781109B2 (ja) * 2016-07-06 2020-11-04 日本電信電話株式会社 トラヒック制御装置および方法
US9729416B1 (en) 2016-07-11 2017-08-08 Extrahop Networks, Inc. Anomaly detection using device relationship graphs
LT3338205T (lt) 2016-07-14 2019-06-25 IronNet Cybersecurity, Inc. Modeliavimas ir virtualia realybe pagrįsta kibernetinės elgsenos sistema
US10536476B2 (en) 2016-07-21 2020-01-14 Sap Se Realtime triggering framework
CN107645478B (zh) 2016-07-22 2020-12-22 阿里巴巴集团控股有限公司 网络攻击防御系统、方法及装置
US9660879B1 (en) 2016-07-25 2017-05-23 Extrahop Networks, Inc. Flow deduplication across a cluster of network monitoring devices
US10482241B2 (en) 2016-08-24 2019-11-19 Sap Se Visualization of data distributed in multiple dimensions
US10542016B2 (en) * 2016-08-31 2020-01-21 Sap Se Location enrichment in enterprise threat detection
WO2018039792A1 (en) * 2016-08-31 2018-03-08 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10673879B2 (en) 2016-09-23 2020-06-02 Sap Se Snapshot of a forensic investigation for enterprise threat detection
US10630705B2 (en) 2016-09-23 2020-04-21 Sap Se Real-time push API for log events in enterprise threat detection
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
WO2018097422A1 (ko) * 2016-11-24 2018-05-31 성균관대학교 산학협력단 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치
US10534908B2 (en) 2016-12-06 2020-01-14 Sap Se Alerts based on entities in security information and event management products
US10534907B2 (en) 2016-12-15 2020-01-14 Sap Se Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data
US10530792B2 (en) 2016-12-15 2020-01-07 Sap Se Using frequency analysis in enterprise threat detection to detect intrusions in a computer system
US10552605B2 (en) 2016-12-16 2020-02-04 Sap Se Anomaly detection in enterprise threat detection
US11470094B2 (en) 2016-12-16 2022-10-11 Sap Se Bi-directional content replication logic for enterprise threat detection
US10764306B2 (en) 2016-12-19 2020-09-01 Sap Se Distributing cloud-computing platform content to enterprise threat detection systems
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
JP6602799B2 (ja) * 2017-01-26 2019-11-06 日本電信電話株式会社 セキュリティ監視サーバ、セキュリティ監視方法、プログラム
US10397258B2 (en) 2017-01-30 2019-08-27 Microsoft Technology Licensing, Llc Continuous learning for intrusion detection
CN106790292A (zh) * 2017-03-13 2017-05-31 摩贝(上海)生物科技有限公司 基于行为特征匹配和分析的web应用层攻击检测与防御方法
US10581802B2 (en) * 2017-03-16 2020-03-03 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for advertising network security capabilities
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
JP6721542B2 (ja) * 2017-06-09 2020-07-15 日本電信電話株式会社 トラヒック制御装置、方法、およびプログラム
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10530794B2 (en) 2017-06-30 2020-01-07 Sap Se Pattern creation in enterprise threat detection
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10263863B2 (en) 2017-08-11 2019-04-16 Extrahop Networks, Inc. Real-time configuration discovery and management
US10063434B1 (en) 2017-08-29 2018-08-28 Extrahop Networks, Inc. Classifying applications or activities based on network behavior
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US10681064B2 (en) 2017-12-19 2020-06-09 Sap Se Analysis of complex relationships among information technology security-relevant entities using a network graph
US10986111B2 (en) 2017-12-19 2021-04-20 Sap Se Displaying a series of events along a time axis in enterprise threat detection
RU2691192C1 (ru) * 2017-12-27 2019-06-11 Общество с ограниченной ответственностью "АСП Лабс" Система межсетевого экранирования
RU2697698C2 (ru) * 2017-12-27 2019-08-16 Общество с ограниченной ответственностью "АСП Лабс" Способ обработки сетевого трафика с использованием межсетевого экранирования
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11347871B2 (en) * 2018-01-16 2022-05-31 International Business Machines Corporation Dynamic cybersecurity protection mechanism for data storage devices
ES2953542T3 (es) 2018-01-17 2023-11-14 Byos Inc Dispositivo y método para asegurar una conexión de red
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US10264003B1 (en) 2018-02-07 2019-04-16 Extrahop Networks, Inc. Adaptive network monitoring with tuneable elastic granularity
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US20210021620A1 (en) * 2018-04-30 2021-01-21 Hewlett Packard Enterprise Development Lp Updating regular expression pattern set in ternary content-addressable memory
US10116679B1 (en) 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
US10862866B2 (en) 2018-06-26 2020-12-08 Oracle International Corporation Methods, systems, and computer readable media for multiple transaction capabilities application part (TCAP) operation code (opcode) screening
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11310201B2 (en) * 2018-10-23 2022-04-19 Akamai Technologies, Inc. Network security system with enhanced traffic analysis based on feedback loop
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11063907B2 (en) 2019-01-18 2021-07-13 Cobalt Iron, Inc. Data protection automatic optimization system and method
US11212304B2 (en) 2019-01-18 2021-12-28 Cobalt Iron, Inc. Data protection automatic optimization system and method
US11308209B2 (en) 2019-01-18 2022-04-19 Cobalt Iron, Inc. Data protection automatic optimization system and method
CN110099058B (zh) * 2019-05-06 2021-08-13 江苏亨通工控安全研究院有限公司 Modbus报文检测方法、装置、电子设备及存储介质
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
JP6801046B2 (ja) * 2019-05-28 2020-12-16 ホアウェイ・テクノロジーズ・カンパニー・リミテッド 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11533329B2 (en) 2019-09-27 2022-12-20 Keysight Technologies, Inc. Methods, systems and computer readable media for threat simulation and threat mitigation recommendations
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11310256B2 (en) 2020-09-23 2022-04-19 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11201887B1 (en) * 2021-03-23 2021-12-14 Lookingglass Cyber Solutions, Inc. Systems and methods for low latency stateful threat detection and mitigation
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
KR102328879B1 (ko) * 2021-06-10 2021-11-22 (주)시큐레이어 학습 데이터의 불균형 상황에서 이상 웹로그를 탐지할 수 있도록 하는 비지도 학습 방법 및 학습 장치, 그리고 이를 이용한 테스트 방법 및 테스트 장치
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
CN113596050B (zh) * 2021-08-04 2023-06-30 四川英得赛克科技有限公司 异常流量的分离过滤方法、系统、存储介质及电子设备
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Family Cites Families (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5813001A (en) 1993-10-22 1998-09-22 Nodel Corporation Method for performing optimized intelligent searches of knowledge bases using submaps associated with search objects
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
AU707905B2 (en) * 1996-04-24 1999-07-22 Nortel Networks Corporation Internet protocol filter
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US5983270A (en) * 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6134591A (en) * 1997-06-18 2000-10-17 Client/Server Technologies, Inc. Network security and integration method and system
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6738814B1 (en) * 1998-03-18 2004-05-18 Cisco Technology, Inc. Method for blocking denial of service and address spoofing attacks on a private network
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6625650B2 (en) * 1998-06-27 2003-09-23 Intel Corporation System for multi-layer broadband provisioning in computer networks
US6269447B1 (en) * 1998-07-21 2001-07-31 Raytheon Company Information security analysis system
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6550012B1 (en) * 1998-12-11 2003-04-15 Network Associates, Inc. Active firewall system and methodology
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6611875B1 (en) * 1998-12-31 2003-08-26 Pmc-Sierra, Inc. Control system for high speed rule processors
US6477651B1 (en) * 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6963912B1 (en) * 1999-06-28 2005-11-08 Xacct Technologies, Ltd. Method and apparatus for session reconstruction
DE60045552D1 (de) * 1999-06-30 2011-03-03 Apptitude Inc Verfahren und gerät um den netzwerkverkehr zu überwachen
US6901517B1 (en) * 1999-07-16 2005-05-31 Marconi Communications, Inc. Hardware based security groups, firewall load sharing, and firewall redundancy
US6735702B1 (en) 1999-08-31 2004-05-11 Intel Corporation Method and system for diagnosing network intrusion
US6988238B1 (en) * 2000-01-24 2006-01-17 Ati Technologies, Inc. Method and system for handling errors and a system for receiving packet stream data
FR2805062B1 (fr) * 2000-02-10 2005-04-08 Bull Cp8 Procede de transmission de flux de donnees a haut debit sur un reseau de type internet entre un serveur et un terminal a carte a puce, notamment d'un flux de donnees multimedia
FR2805107B1 (fr) * 2000-02-10 2002-04-05 Bull Cp8 Procede de gestion de transmissions de donnees multimedias via un reseau de type internet, notamment de donnees telephoniques, et carte a puce pour la mise en oeuvre du procede
US6553377B1 (en) * 2000-03-31 2003-04-22 Network Associates, Inc. System and process for maintaining a plurality of remote security applications using a modular framework in a distributed computing environment
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
KR20010090014A (ko) * 2000-05-09 2001-10-18 김대연 네트워크 보호 시스템
US7089303B2 (en) * 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
US7099940B2 (en) * 2000-08-07 2006-08-29 Amdocs (Israel) Ltd. System, method and computer program product for processing network accounting information
US7406713B2 (en) * 2000-08-18 2008-07-29 Invicta Networks, Inc. Systems and methods for distributed network protection
US6381242B1 (en) * 2000-08-29 2002-04-30 Netrake Corporation Content processor
US20020032871A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for detecting, tracking and blocking denial of service attacks over a computer network
EP1338130B1 (en) * 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US20020116639A1 (en) * 2001-02-21 2002-08-22 International Business Machines Corporation Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses
JP3731111B2 (ja) * 2001-02-23 2006-01-05 三菱電機株式会社 侵入検出装置およびシステムならびにルータ
KR20020072618A (ko) * 2001-03-12 2002-09-18 (주)세보아 네트워크 기반 침입탐지 시스템
JP2002342279A (ja) * 2001-03-13 2002-11-29 Fujitsu Ltd フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
KR100424724B1 (ko) * 2001-07-27 2004-03-27 김상욱 네트워크 흐름 분석에 의한 침입 탐지 장치
US20030159060A1 (en) * 2001-10-31 2003-08-21 Gales George S. System and method of defining the security condition of a computer system
US20030135749A1 (en) * 2001-10-31 2003-07-17 Gales George S. System and method of defining the security vulnerabilities of a computer system
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US6654882B1 (en) * 2002-05-24 2003-11-25 Rackspace, Ltd Network security system protecting against disclosure of information to unauthorized agents
US6741595B2 (en) * 2002-06-11 2004-05-25 Netrake Corporation Device for enabling trap and trace of internet protocol communications
KR20020075319A (ko) * 2002-07-19 2002-10-04 주식회사 싸이버텍홀딩스 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템
US7356585B1 (en) * 2003-04-04 2008-04-08 Raytheon Company Vertically extensible intrusion detection system and method

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008512970A (ja) * 2004-09-09 2008-04-24 アバイア テクノロジー コーポレーション ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2011065653A (ja) * 2004-09-09 2011-03-31 Avaya Inc ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2006211609A (ja) * 2005-01-31 2006-08-10 Japan Aerospace Exploration Agency 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置
US10007486B2 (en) 2008-12-01 2018-06-26 Micron Technology, Inc. Systems and methods to enable identification of different data sets
JP2012510668A (ja) * 2008-12-01 2012-05-10 マイクロン テクノロジー, インク. 異なるデータセットの識別を可能とするシステムおよび方法
US10466966B2 (en) 2008-12-01 2019-11-05 Micron Technology, Inc. Systems and methods to enable identification of different data sets
KR20140125814A (ko) * 2012-01-27 2014-10-29 노키아 솔루션스 앤드 네트웍스 오와이 모바일 패킷 코어 네트워크에서의 세션 종결
JP2015511432A (ja) * 2012-01-27 2015-04-16 ノキア ソリューションズ アンド ネットワークス オサケユキチュア 移動パケットコアネットワークにおけるセッション終了
US10382360B2 (en) 2012-01-27 2019-08-13 Nokia Solutions And Networks Oy Session termination in a mobile packet core network
JP2013183458A (ja) * 2012-02-29 2013-09-12 Pantech Co Ltd ネットワーク攻撃を感知する移動通信端末機およびその感知方法
JP2015530831A (ja) * 2012-09-13 2015-10-15 シマンテック コーポレーションSymantec Corporation 選択的ディープパケットインスペクションを実行するためのシステム及び方法
JP2018506808A (ja) * 2014-11-21 2018-03-08 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
JP2021182412A (ja) * 2014-11-21 2021-11-25 ブルヴェクター, インコーポレーテッドBluvector, Inc. ネットワークデータ特性評価のシステムと方法
JP7274535B2 (ja) 2014-11-21 2023-05-16 ブルヴェクター,インコーポレーテッド ネットワークデータ特性評価のシステムと方法

Also Published As

Publication number Publication date
US20050044422A1 (en) 2005-02-24
WO2004045126A2 (en) 2004-05-27
AU2003290674A1 (en) 2004-06-03
US20050028013A1 (en) 2005-02-03
AR042020A1 (es) 2005-06-08
KR20100132079A (ko) 2010-12-16
AU2003290674A8 (en) 2004-06-03
KR101111433B1 (ko) 2012-02-17
US7454792B2 (en) 2008-11-18
WO2004045126A3 (en) 2004-12-02
EP1558937B1 (en) 2011-08-24
CN1720459A (zh) 2006-01-11
US20040093513A1 (en) 2004-05-13
EP1558937A4 (en) 2009-01-28
EP1558937A2 (en) 2005-08-03
JP2010268483A (ja) 2010-11-25
KR101045362B1 (ko) 2011-06-30
KR20050086441A (ko) 2005-08-30
CN100443910C (zh) 2008-12-17
US7454499B2 (en) 2008-11-18
US7451489B2 (en) 2008-11-11

Similar Documents

Publication Publication Date Title
US7451489B2 (en) Active network defense system and method
EP1817685B1 (en) Intrusion detection in a data center environment
US9094372B2 (en) Multi-method gateway-based network security systems and methods
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US9060020B2 (en) Adjusting DDoS protection based on traffic type
US9800608B2 (en) Processing data flows with a data flow processor
US7039950B2 (en) System and method for network quality of service protection on security breach detection
EP2321934B1 (en) System and device for distributed packet flow inspection and processing
Saad et al. A study on detecting ICMPv6 flooding attack based on IDS
Stanciu Technologies, methodologies and challenges in network intrusion detection and prevention systems.
Sulaman An Analysis and Comparison of The Security Features of Firewalls and IDSs
Agrawal et al. Analysis of Intrusion Detection System Using Trusted Clients

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061031

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061031

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090527

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090608

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20090908

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090915

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20091208

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20100222

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100622