JP2015528263A - ネットワークトラフィック処理システム - Google Patents
ネットワークトラフィック処理システム Download PDFInfo
- Publication number
- JP2015528263A JP2015528263A JP2015524236A JP2015524236A JP2015528263A JP 2015528263 A JP2015528263 A JP 2015528263A JP 2015524236 A JP2015524236 A JP 2015524236A JP 2015524236 A JP2015524236 A JP 2015524236A JP 2015528263 A JP2015528263 A JP 2015528263A
- Authority
- JP
- Japan
- Prior art keywords
- connection
- software
- hardware acceleration
- inspection
- mode
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/12—Protocol engines
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
ネットワークトラフィックを処理するためのシステムは、ハードウェアアクセラレーション検査モードでネットワークトラフィックを処理するためのハードウェアアクセラレーション検査ユニットと、ソフトウェア検査モードでネットワークトラフィックを処理するためのソフトウェア検査ユニットとを含む。ソフトウェア検査ユニットは、少なくとも接続の連続した所定数のバイトに関してソフトウェア検査モードで接続を処理する。接続がクリーンであると判断される場合に、接続が、ハードウェアアクセラレーション検査モードに遷移され得る。【選択図】図1
Description
背景
インターネットのトラフィックが、西暦2015年までに4倍になる見通しであることが示唆されている。更に、世界平均の接続レートが前年比43%増加し、世界平均のピークレートが前年比67%増加したことを、レポートが指摘している。同時に、あらゆる種類のウイルス、ワーム、マルウェアの形態での内部および外部ネットワーク攻撃の複雑巧妙化が、激増している。
インターネットのトラフィックが、西暦2015年までに4倍になる見通しであることが示唆されている。更に、世界平均の接続レートが前年比43%増加し、世界平均のピークレートが前年比67%増加したことを、レポートが指摘している。同時に、あらゆる種類のウイルス、ワーム、マルウェアの形態での内部および外部ネットワーク攻撃の複雑巧妙化が、激増している。
ネットワーク管理者は、ネットワークセキュリティの提供の任務を負い続け、ネットワークセキュリティ用の様々なシステムに依存することが多い。例えば、侵入検知システム(Intrusion Detection System:IDS)は、ネットワーク攻撃を検出するが、一部は、事後の攻撃通知を提供するにすぎない受動的システムとして動作する。対照的に、侵入防止システム(Intrusion Prevention System:IPS)は、入来トラフィック及び送出トラフィックをスキャンすることにより、ネットワークトラフィックのフロー(流れ)を積極的に分析することにより、ファイアウォールのような従来のセキュリティ製品を補完するために開発された。しかしながら、IPSによるディープパケットインスペクションは一般に、かなりの量のリソースを利用し、それらの性能が増大する接続レート及びスループット帯域幅についていけない場合には、ネットワークのボトルネックになる可能性がある。
実施形態は、以下の図面に示された例に関連して詳細に説明される。
実施形態の詳細な説明
簡略化および例示のために、実施形態の原理は、主としてその例を引き合いに出すことにより説明される。以下の説明において、多くの特定の細部が、実施形態の完全な理解を提供するために記載される。明らかなように、実施形態は、特定の細部の全てに対する制限なしに実施され得る。また、実施形態は、様々な組み合わせにおいて、互いに使用され得る。
簡略化および例示のために、実施形態の原理は、主としてその例を引き合いに出すことにより説明される。以下の説明において、多くの特定の細部が、実施形態の完全な理解を提供するために記載される。明らかなように、実施形態は、特定の細部の全てに対する制限なしに実施され得る。また、実施形態は、様々な組み合わせにおいて、互いに使用され得る。
一実施形態に従って、ネットワークトラフィックを処理するためのシステムは、潜在的なシグネチャマッチ(signature match)を識別するためにネットワークトラフィックを検査する。潜在的なシグネチャマッチを有すると考えられるネットワークトラフィックは、それがシグネチャマッチを有するか否かを判断するために更に検査される。シグネチャマッチが検出された場合、ネットワークトラフィックは、ブロック(遮断)され、報告され、レート制限され、又は他の是正措置が取られ得る。
システムは、パケットのハードウェアアクセラレーション検査を実行する、フィールドプログラマブルゲートアレイ(FPGA)、特定用途向け集積回路(ASIC)、又は別のタイプのカスタマイズ可能な集積回路またはプロセッサのような、ハードウェアアクセラレーション検査ユニットを含み、システムは、パケットのソフトウェア検査を実行するためにプロセッサ又はある種の処理回路により実行される機械可読命令から構成されたソフトウェア検査ユニットを含む。ハードウェアアクセラレーション検査ユニットは、その検査実行の時にソフトウェア検査ユニットよりも速く、システムは、検査処理速度を改善するためにハードウェアアクセラレーション検査ユニットを活用する。例えば、接続の開始時に、パケット検査はソフトウェア検査ユニットにより実行される。接続は、同じ属性を有するパケットを含む。属性の例には、出所インターネットプロトコル(IP)アドレス、宛先IPアドレス、出所IPポート、宛先IPポート、IPプロトコルなどが含まれ得る。一例において、接続は、伝送制御プロトコル(TCP)フローである。別の例において、接続は、同じ属性を有するパケットを含む擬似フローである。例えば、接続は、ユーザデータグラムプロトコル(UDP)、或いは伝送チャネル又はデータ経路をセットアップするための通信の前に必要でない別のプロトコルにおいて擬似フローとすることができる。接続がビットの閾値(例えば、8キロバイト(KB))に到達する時までに、攻撃が検出されない場合、ソフトウェア検査ユニットは、ハードウェアアクセラレーション検査ユニットに、当該フローをハードウェアアクセラレーション検査モードにするように命令して、性能を向上させる。
ハードウェアアクセラレーション検査モードにおいて、接続は、ソフトウェア検査ユニットでもって可能であるものよりも速いレート(速度)で、ハードウェアアクセラレーション検査ユニットにより検査される。ハードウェアアクセラレーション検査ユニットにより実行される処理は、ソフトウェア検査ユニットにより実行される処理に比べて2〜3倍速くすることができる。ハードウェアアクセラレーション検査モードにおいて、接続がクリーンである(例えば、潜在的なシグネチャマッチを有さないと判断される)場合、接続のためのパケットは、当該パケットにおいてソフトウェア検査が実行されずに伝達される。ハードウェアアクセラレーション検査モードにおいて、接続のためのパケットは、ハードウェアアクセラレーション検査ユニットにより処理されるが、処理時間を最小限にするためにソフトウェア検査ユニットにより処理されない。しかしながら、ハードウェアアクセラレーション検査ユニットが接続において潜在的なシグネチャマッチを検出する場合、当該接続は、シグネチャマッチが存在するか否かを判断するためにソフトウェア検査ユニットによって更に処理するために、ソフトウェア検査モードに移行される。ソフトウェア検査モードにおいて、接続は、ソフトウェア検査ユニットにより処理され、ハードウェアアクセラレーション検査ユニットによっても処理される。ハードウェアアクセラレーション検査モードとソフトウェア検査モードとの間で、接続の検査を遷移させることにより、セキュリティを維持しながら、スループットが増大する。
ソフトウェア検査ユニットは、ハードウェア検査モードにおいて実行されるものに比べてきめ細かいパケット検査およびフィルタリングを含むことができるパケット検査を実行する。従って、ハードウェアアクセラレーション検査ユニットにより実行されるパケット処理は、ソフトウェア検査ユニットにより実行されるパケット検査と異なることができる。例えば、ソフトウェア検査ユニットにより実行されるパケット処理は、ディープパケットインスペクションを含む。ディープパケットインスペクションは、接続において、パケットのペイロード並びにヘッダを検査することを含む。ディープパケットインスペクションは、7つの開放型システム間相互接続(OSI)層の全てにおける接続からのデータを検査することを含むことができる。ハードウェアアクセラレーション検査ユニットにより実行されるパケット処理は、7つのOSI層の全てからのデータを含むことができない。例えば、パケット検査(インスペクション)は、ヘッダに限定され得る。
潜在的なシグネチャマッチを有する接続は、特有の所定の属性を有すると判断される接続である。例えば、接続は、セキュリティーの脅威を表す属性を有する1つのパケット又は複数のパケットを含むことができる。例えば、接続におけるパケットは、それらの順序がバラバラであるか否か、又はそれらがバラバラにされているか否か、或いはそれらがそれらのペイロードにおいて特定のバイトパターンを有するか否かを判断するために、ハードウェアアクセラレーション検査ユニットにより検査される。
また、接続は、それがポリシー又は規則に基づいて関心のあるものと判断されたデータを含む場合に、潜在的なシグネチャマッチを有するかもしれない。例えば、規則は、特定のアプリケーションのパケットを監視することを指定する。接続がこれらアプリケーションの何れかからのパケットを含む場合、それは、規則に基づいたシグネチャマッチと考えられる。例えば、インスタントメッセージアプリケーションからのパケットは、監視され、システムにより、ローカルエリアネットワーク(LAN)を出ることを阻止され得る。
潜在的なシグネチャマッチと同様に、接続は、それが所定の属性を有する場合にシグネチャマッチを有すると判断されるかもしれないが、当該属性は、ハードウェアアクセラレーション検査ユニットではなくて、ソフトウェア検査ユニットにより識別される。シグネチャマッチの属性は、潜在的なシグネチャマッチの属性と異なることができる。シグネチャマッチの属性は、ディープパケットインスペクションにより識別され得る。シグネチャマッチは、正規表現マッチングにより、及び/又はパケットに関する及びそれが悪意のある又は関心のあることを示すことができるそのデータに関する追加の情報を検出するための他のフィルタリング及びパケットシグネチャ検出技術により判断されるマッチ(match)を含むことができる。悪意のある属性は、フィッシング攻撃、企てられたスパイウェアインストール、ネットワーク帯域幅またはサーバリソースを使い果たして正真正銘のパケットを除外させる可能性があるパケットフラッディングなどを表すことができる。
ネットワークトラフィックを処理するためのシステムは、ネットワークに接続されたIPSを含むことができる。IPSは、接続を検査し、接続がシグネチャマッチを有することを見出された場合には、接続はフラグをたてられ、ブロックされ、及び/又は廃棄され得る。ログが保持され、警報または他の通知が生成されることができ、シグネチャマッチの結果としてシステム管理者に送信され得る。接続がクリーンである場合、IPSはその宛先に伝達されるべき接続を出力する。
図1は、ネットワークトラフィックを処理するためのシステム100を示す。システム100は、シグネチャマッチを有すると判定されたネットワークトラフィックをブロックするIPSを含むことができる。システム100は、ポート102を含むインターフェース101を含む。インターフェース101は、システム100をネットワークに接続するネットワークインターフェースである。パケットは、インターフェース101のポート102において送受信される。
システム100は、ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120を含む。システム100のコンポーネントは、バス130を介して接続され得る。ソフトウェア検査ユニット120は、データ記憶装置122a−nを含む1つ又は複数のプロセッサ121a−nを含むことができ、データ記憶装置122a−nは、機械可読命令およびデータを格納するように動作可能なコンピュータ可読記憶媒体からなる。機械可読命令は、本明細書で説明される接続処理機能を実行するためのコードを含むことができる。ハードウェアアクセラレーション検査ユニット110は、接続処理も実行するけれどもソフトウェア検査ユニット120と比べて加速速度で実行する、FPGA、ASIC又は別のタイプのカスタマイズ可能な集積回路またはハードウェアのような、処理回路111を含む。また、ハードウェアアクセラレーション検査ユニット110は、データ記憶装置112も含むことができる。
ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120は、接続が潜在的なシグネチャマッチを有するか否かを判断するために、ネットワークから受け取った接続を処理する。これは、検査(インスペクション)と呼ばれる。接続がシグネチャマッチを有すると判断される場合、接続は、その宛先へ送信していることをブロックされ得る。接続は、フラグをたてられて、システム100により廃棄され得る。クリーンであると判断された接続は、インターフェース101を介してその宛先へ伝達される。クリーンな接続は、潜在的なシグネチャマッチ及び/又はシグネチャマッチを有さない接続である。
ハードウェアアクセラレーション検査ユニット110及びソフトウェア検査ユニット120は、インライン処理するように構成され得る。例えば、インターフェース101により受け取られた接続は、最初にハードウェアアクセラレーション検査ユニット110により処理され、次いでソフトウェア検査ユニット120により処理され得る。接続がクリーンであると判断される場合、それはインターフェース101を介してその宛先へ送られる。
システム100は、接続がハードウェアアクセラレーション検査ユニット110により最初に処理され、次いでソフトウェア検査ユニット120により処理され得るインライン構成においてのように、ハードウェアアクセラレーション検査モードとソフトウェア検査モードを切り替えることができ、ハードウェアアクセラレーション検査モードでは、接続がハードウェアアクセラレーション検査ユニットにより検査されるが、ソフトウェア検査ユニット120により処理されず、ソフトウェア検査モードでは、ソフトウェア検査ユニットにより処理され、且つハードウェアアクセラレーション検査ユニットによっても処理され得る。
システム100は、一般にパケットを受け取って検査し且つクリーンなパケットを送出するために、ルータ又はファイアウォール又はネットワークに接続され得る独立型ネットワークアプライアンスとすることができる。システム100は、ルータ、ファイアウォール又は別のタイプの切替装置のような、既存のネットワークアプライアンスに組み込まれ得る。システム100は、単一デバイスにおけるIPS及びファイアウォールのような、多機能集中型セキュリティーアプライアンス中に存在することができる。システム100は、ブレード筐体、又は別のタイプのアプライアンス中に存在することができる。
図2A〜図2Bは、異なるネットワーク環境において接続されたIPS200とすることができるシステム100を示す。図2Aは、「バンプインザワイヤ(Bump-in-the-wire)」構成で接続されたIPS200を示す。ユーザ'1' 202〜ユーザ'n' 204は、IPS200に接続された切替装置206に接続され、次いでIPS200はインターネット213又はネットワークバックボーンに接続される。IPS200は一般に、切替装置とネットワークとの間に設けられ、セキュリティー脅威が、インターネット213又はネットワークバックボーンから受け取られる、又はインターネット213又はネットワークバックボーンへ伝達されるのを阻止する。
図2Bは、別のネットワーク環境において実現されたIPS200a−cを示す。この図において、内部サブネットワーク'A' 210は、IPS'1' 200aに接続された切替装置'1' 216に接続された、クライアントパーソナルコンピュータ(PC)'1' 212〜クライアントPC'n' 214からなる。内部サブネットワーク'B' 220は、IPS'2' 200bに接続された切替装置'2' 226に接続された、サーバ'1' 222〜サーバ'n' 224からなる。内部サブネットワーク'A' 210及び内部サブネットワーク'B' 220は、ルータ230に接続され、ルータ230は、外部ネットワークノード234に接続されたIPS'3' 200cに接続される。IPS'3' 200cは一般に、外部ネットワーク234から内部サブネットワーク'A' 210及び内部サブネットワーク'B' 220へのセキュリティー脅威の浸入を阻止するように実施される。
IPS'1' 200aは、内部サブネットワーク'A' 210から生じるセキュリティー脅威の浸入を阻止することにより、追加の浸入防御を提供する。同様に、IPS'2' 200bは、内部サブネットワーク'B' 220から生じるセキュリティー脅威の浸入を阻止することにより、追加の浸入防御を提供する。当業者には明らかなように、IPS'1' 200aの具現化形態は、1つ又は複数のクライアントPC212〜214及び対応する切替装置'1' 216からなる内部サブネットワーク210に対する浸入問題を切り離す。同様に、IPS'2' 200bの具現化形態は、1つ又は複数のサーバ222〜224及び対応する切替装置'2' 226からなる内部サブネットワーク220に対する浸入問題を切り離す。
図3は、ある時間にわたって、ハードウェアアクセラレーション検査モードとソフトウェア検査モードの接続処理切り替えの例を示す。接続の開始時に、接続は、図1に示されたソフトウェア検査ユニット120により、ソフトウェア検査モードで処理される。接続は、点Bまで少なくとも所定数のバイトに関してソフトウェア検査モードで処理される。ソフトウェア検査モードで接続を処理することは、接続が潜在的なシグネチャマッチを有すると判断されるか否か、閾値(例えば、8KB)を通り過ぎて継続される。例は8KBを示すが、閾値は、より大きく又はより小さくてもよい。
接続が点Bまで「クリーン」である場合、接続の処理は、ソフトウェア検査モードからハードウェアアクセラレーション検査モードへ、点Bから点Cに遷移し、接続が点Dにおいてのような、ハードウェアアクセラレーション検査ユニット110により潜在的なシグネチャマッチを有すると判断されるまで、パケットがソフトウェア検査モードよりもずっと速いレートで処理されるハードウェアアクセラレーション検査モードにとどまる。次いで、接続の処理は、ディープパケットインスペクションを含むことができる追加の検査のためにソフトウェア検査モードへ、点Dから点Eへ遷移し、接続が「クリーン」であると判断されるまで、ソフトウェア検査モードにとどまる。接続が「クリーン」である場合、処理は、最高性能のために点Fから点Gへ、ハードウェアアクセラレーション検査モードへ再び遷移する。接続処理の遷移は、接続の存続期間にわたって発生し続けることができる。接続は別々に処理され、そのため異なる接続は、潜在的なシグネチャマッチ又はシグネチャマッチが接続において検出される場合および検出される時に応じた異なる接続処理遷移を有することができる。
図4は、ネットワークトラフィックを処理するための方法400の例を示す。方法400は、一例として及び制限しないものとしてシステム100に関連して説明される。方法は、他のシステムで実施され得る。
401において、システムは新たな接続を受け取る。新たな接続は、接続を定義する属性により識別されることができ、エントリが、接続ID及び接続属性および接続の現在のモードに関するしるしを含む、図1に示されたハードウェアアクセラレーション検査ユニット110において及び/又はソフトウェア検査ユニット120において格納された接続テーブルに形成され得る。現在のモードは、ハードウェアアクセラレーション検査モード又はソフトウェア検査モードの何れかである。新たな接続は、ソフトウェア検査モードで処理されているものとして始まる。
402において、接続は、少なくとも所定数のバイトに対して、ソフトウェア検査モードで処理される。例えば、接続は、ハードウェアアクセラレーション検査ユニット110により処理され、接続は、少なくとも閾値数のバイトに到達するまで、更なる処理のためにハードウェアアクセラレーション検査ユニット110からソフトウェア検査ユニット120へ送られる。ハードウェアアクセラレーション検査ユニット110は、その接続テーブルにおいて、接続がソフトウェア検査モードであることを示すことができる。
403において、接続が少なくとも所定のバイトに対して、ソフトウェア検査モードで処理されていると同時に、接続がソフトウェア検査ユニット120により潜在的なシグネチャマッチを有するか否かに関して判定がなされる。yesの場合、接続に関するパケット処理は、404においてソフトウェア検査モードで継続する。接続の処理は、405において接続がクリーンであると判断されるまでソフトウェア検査モードで継続する。接続がクリーンである場合、接続の処理は、407においてハードウェアアクセラレーション検査モードに遷移する。接続の処理がクリーンでない場合、ソフトウェア検査モード状態の接続の処理は404において継続される。例えば、シグネチャマッチが検出された場合、ソフトウェア検査モード状態の接続の処理は404において継続される。例えば、悪意のあるパケットがシグネチャマッチを通じて検出されて、接続がブロックされる場合、ソフトウェア検査モード状態の接続の処理は継続される。接続の処理は、接続がクリーンになってやっとハードウェアアクセラレーション検査モードに遷移する。接続がクリーンであり、接続が406において所定数のバイトに対してクリーンである場合、接続の処理は、407においてハードウェアアクセラレーション検査モードに遷移される。例えば、ソフトウェア検査ユニット120は、接続をハードウェアアクセラレーション検査モードに置くようにハードウェアアクセラレーション検査ユニット110に命令する。例えば、ハードウェアアクセラレーション検査ユニット110は、接続が現在、ハードウェアアクセラレーション検査モードにあることを示すために、その接続テーブルを更新する。
408において、接続は例えば、接続が終了するまで又は接続がハードウェアアクセラレーション検査ユニット110によって潜在的なシグネチャマッチを有すると判断されるまで、ハードウェアアクセラレーション検査ユニット110によりハードウェアアクセラレーション検査モードで処理される。接続が潜在的なシグネチャマッチを有すると判断される場合、処理は、ソフトウェア検査モードに遷移され、接続が409においてソフトウェア検査モードで処理され、処理は404において継続することができる。次いで、ハードウェアアクセラレーション検査ユニット110は、接続がソフトウェア検査モードであることを示すためにその接続テーブルを更新することができ、そのため任意のパケットが接続のインターフェース101で受け取られた場合に、ハードウェアアクセラレーション検査ユニット110は、処理後のパケットをソフトウェア検査ユニット110に送ることが分かっている。
ハードウェアアクセラレーション検査ユニット110の接続テーブルが、接続がハードウェアアクセラレーション検査モードであることを示す場合、ハードウェアアクセラレーション検査ユニットは、接続がクリーンであることをハードウェアアクセラレーション検査ユニット110が判断する場合に、ソフトウェア検査ユニット120へパケットを送信することが分かっていない。接続は、それがポリシールールに基づいて関心のないものであると判断される場合に、クリーンあると判断され得る。それよりむしろ、パケットはインターフェース110を介して送出される。また、パケットの順序がバラバラであるか否か、パケットが不審なバイトパターン、又はそれが悪意のあること又は関心のあることを示す幾つかの他の属性を有するか否かのような、パケットが不審である情報がハードウェアアクセラレーション検査ユニット110により識別される場合、その情報は、ソフトウェア検査ユニット120に送られて、ソフトウェア検査ユニット120により実行されるパケット検査に役立つことができる。他の情報は、処理モードのしるし又は異なるモードへ遷移するための命令のような、ソフトウェア検査ユニット120とハードウェアアクセラレーション検査ユニット110との間で伝達され得る。
また、パケットがソフトウェア検査ユニット120により、悪意のあるもの又は関心のあるもと判断される場合、システム100は、接続をブロックして、接続に関して不審なパケット又は任意の他のパケットを送信しないことができる。システム100は、接続に関するパケット又は一組のパケットが悪意のあるもの又は関心のあるもとソフトウェア検査ユニット120が判断する場合に、パケットを廃棄することができる。また、ログファイルが、事象および当該事象について送信された通知に関して更新され得る。
本明細書で説明された1つ又は複数のステップ及び機能は、機械可読命令を実行するように動作可能なプロセッサ又は別のタイプの処理回路により実行される機械可読命令として具現化され得る。機械可読命令は、図1に示された1つ又は複数の記憶デバイスを含むことができる持続性記憶媒体に格納され得る。
実施形態は例に関連して説明されたが、説明された実施形態に対する様々な変更は、特許請求の範囲に記載された実施形態の範囲から逸脱せずに行われ得る。
Claims (15)
- ネットワークトラフィックを処理するためのシステムであって、
ハードウェアアクセラレーション検査モードでネットワークトラフィックを処理するためのハードウェアアクセラレーション検査ユニットと、
ソフトウェア検査モードで前記ネットワークトラフィックを処理するためのソフトウェア検査ユニットとを含み、前記ソフトウェア検査ユニットが、シグネチャマッチを検出するために前記ソフトウェア検査モードで前記ネットワークトラフィックの接続を処理し、前記接続が、少なくとも前記接続の連続した所定数のバイトに関して前記ソフトウェア検査ユニットによりクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査により処理するために前記ハードウェアアクセラレーション検査モードに遷移される、システム。 - 前記ハードウェアアクセラレーション検査ユニットが潜在的なシグネチャマッチを検出する場合、前記接続は、前記接続に関してディープパケットインスペクションを実行するために前記ソフトウェア検査ユニットに戻るように遷移される、請求項1に記載のシステム。
- 前記接続がシグネチャマッチを有することを前記ソフトウェア検査ユニットが判断する場合、アクションが前記シグネチャマッチに基づいてとられる、請求項2に記載のシステム。
- 前記ハードウェアアクセラレーション検査ユニットが、前記ソフトウェア検査ユニットより速いレートで前記接続を処理する、請求項1に記載のシステム。
- 前記ソフトウェア検査モードにおいて、前記接続が、前記ハードウェアアクセラレーション検査ユニット及び前記ソフトウェア検査ユニットにより処理される、請求項1に記載のシステム。
- 前記ハードウェアアクセラレーション検査モードにおいて、前記接続が、前記ハードウェアアクセラレーション検査ユニットによってのみ処理される、請求項1に記載のシステム。
- 前記システムにより受け取られた全ての前記ネットワークトラフィックが、少なくとも前記ハードウェアアクセラレーション検査ユニットにより処理される、請求項1に記載のシステム。
- 前記システムが、独立型ネットワークアプライアンスである、請求項1に記載のシステム。
- 前記システムが、ネットワーク切替装置、ファイアウォールのネットワークアプライアンス、集中型セキュリティーアプライアンス、又はブレード筐体へ組み込まれる、請求項1に記載のシステム。
- 侵入防止システム(IPS)であって、
ネットワークトラフィックを受け取り、前記IPSによりクリーンであると判断される場合にその宛先の方へ前記ネットワークトラフィックを出力するためのインターフェースと、
ハードウェアアクセラレーション検査モードにおいて前記ネットワークトラフィックの接続を処理して、前記接続が潜在的なシグネチャマッチを有するか否かを判断するためのハードウェアアクセラレーション検査ユニットと、
前記接続がシグネチャマッチを有するか否かを判断するためにソフトウェア検査モードにおいて前記接続を処理するためのソフトウェア検査ユニットとを含み、
前記ソフトウェア検査ユニットが、前記ソフトウェア検査モードで前記接続を処理し、前記接続が、前記接続の連続した所定数のバイトに関してクリーンであると判断される場合に、前記接続が、前記ハードウェアアクセラレーション検査ユニットにより処理するために前記ハードウェアアクセラレーション検査モードに遷移される、侵入防止システム。 - 前記接続が潜在的なシグネチャマッチを有することを、前記ハードウェアアクセラレーション検査ユニットが判断する場合、前記接続は、前記接続に関して追加の検査を実行するために前記ソフトウェア検査ユニットに戻るように遷移される、請求項10に記載のIPS。
- 前記接続がシグネチャマッチを有することを前記ソフトウェア検査ユニットが判断する場合、前記接続が前記インターフェースから送出されることがブロックされる、請求項11に記載のIPS。
- 前記ハードウェアアクセラレーション検査ユニットが、前記ソフトウェア検査ユニットより速いレートで前記接続を処理する、請求項10に記載のIPS。
- ネットワークトラフィックを処理する方法であって、
ネットワーク処理システムのインターフェースで接続を受け取り、
前記接続がシグネチャマッチを有するか否かを判断するために、前記接続の所定数のバイトに関してソフトウェア検査モードにおいて前記接続を処理し、
前記接続が前記所定数のバイトに関してクリーンであると判断される場合に、前記接続の処理をハードウェアアクセラレーション検査モードに遷移させ、前記ハードウェアアクセラレーション検査モードにおける接続の処理が、前記ソフトウェア検査モードにおけるものよりも速い、方法。 - 前記接続が潜在的なシグネチャマッチを有することを、前記ハードウェアアクセラレーション検査モードにおける前記処理が判断する場合、前記接続の処理が、前記ソフトウェア検査モードに戻るように遷移されることを含む、請求項14に記載の方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2012/049036 WO2014021863A1 (en) | 2012-07-31 | 2012-07-31 | Network traffic processing system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015528263A true JP2015528263A (ja) | 2015-09-24 |
Family
ID=50028377
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2015524236A Pending JP2015528263A (ja) | 2012-07-31 | 2012-07-31 | ネットワークトラフィック処理システム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US9544273B2 (ja) |
| EP (1) | EP2880819A4 (ja) |
| JP (1) | JP2015528263A (ja) |
| KR (1) | KR20150037940A (ja) |
| CN (1) | CN104488229A (ja) |
| BR (1) | BR112015002323A2 (ja) |
| TW (1) | TWI528761B (ja) |
| WO (1) | WO2014021863A1 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015530831A (ja) * | 2012-09-13 | 2015-10-15 | シマンテック コーポレーションSymantec Corporation | 選択的ディープパケットインスペクションを実行するためのシステム及び方法 |
Families Citing this family (31)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8893113B1 (en) | 2010-06-14 | 2014-11-18 | Open Invention Network, Llc | Simultaneous operation of a networked device using multiptle disparate networks |
| US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
| US9444827B2 (en) * | 2014-02-15 | 2016-09-13 | Micron Technology, Inc. | Multi-function, modular system for network security, secure communication, and malware protection |
| US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US11418520B2 (en) | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US10931713B1 (en) | 2016-02-17 | 2021-02-23 | Cequence Security, Inc. | Passive detection of genuine web browsers based on security parameters |
| US10608992B2 (en) | 2016-02-26 | 2020-03-31 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
| US10084752B2 (en) | 2016-02-26 | 2018-09-25 | Microsoft Technology Licensing, Llc | Hybrid hardware-software distributed threat analysis |
| CN107196776A (zh) * | 2016-03-14 | 2017-09-22 | 中兴通讯股份有限公司 | 一种报文转发的方法和装置 |
| WO2018039792A1 (en) * | 2016-08-31 | 2018-03-08 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
| WO2018097422A1 (ko) * | 2016-11-24 | 2018-05-31 | 성균관대학교 산학협력단 | 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치 |
| US10841337B2 (en) | 2016-11-28 | 2020-11-17 | Secureworks Corp. | Computer implemented system and method, and computer program product for reversibly remediating a security risk |
| US10931686B1 (en) | 2017-02-01 | 2021-02-23 | Cequence Security, Inc. | Detection of automated requests using session identifiers |
| CN107395573A (zh) * | 2017-06-30 | 2017-11-24 | 北京航空航天大学 | 一种工业控制系统的探测方法及装置 |
| US10735470B2 (en) | 2017-11-06 | 2020-08-04 | Secureworks Corp. | Systems and methods for sharing, distributing, or accessing security data and/or security applications, models, or analytics |
| US10594713B2 (en) | 2017-11-10 | 2020-03-17 | Secureworks Corp. | Systems and methods for secure propagation of statistical models within threat intelligence communities |
| CN108377223B (zh) * | 2018-01-05 | 2019-12-06 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
| KR102011806B1 (ko) | 2018-04-12 | 2019-08-19 | 주식회사 넷커스터마이즈 | Udt 기반 트래픽 가속 방법 |
| US11003718B2 (en) | 2018-06-12 | 2021-05-11 | Secureworks Corp. | Systems and methods for enabling a global aggregated search, while allowing configurable client anonymity |
| US10785238B2 (en) | 2018-06-12 | 2020-09-22 | Secureworks Corp. | Systems and methods for threat discovery across distinct organizations |
| DK3654606T3 (da) * | 2018-11-15 | 2022-02-14 | Ovh | Fremgangsmåde og datapakkerensningssystem til screening af datapakker modtaget ved en serviceinfrastruktur |
| US11310268B2 (en) | 2019-05-06 | 2022-04-19 | Secureworks Corp. | Systems and methods using computer vision and machine learning for detection of malicious actions |
| US11418524B2 (en) | 2019-05-07 | 2022-08-16 | SecureworksCorp. | Systems and methods of hierarchical behavior activity modeling and detection for systems-level security |
| US11652789B2 (en) * | 2019-06-27 | 2023-05-16 | Cisco Technology, Inc. | Contextual engagement and disengagement of file inspection |
| US11381589B2 (en) | 2019-10-11 | 2022-07-05 | Secureworks Corp. | Systems and methods for distributed extended common vulnerabilities and exposures data management |
| US11522877B2 (en) | 2019-12-16 | 2022-12-06 | Secureworks Corp. | Systems and methods for identifying malicious actors or activities |
| US11936667B2 (en) * | 2020-02-28 | 2024-03-19 | Darktrace Holdings Limited | Cyber security system applying network sequence prediction using transformers |
| US11588834B2 (en) | 2020-09-03 | 2023-02-21 | Secureworks Corp. | Systems and methods for identifying attack patterns or suspicious activity in client networks |
| US11671437B2 (en) * | 2020-10-13 | 2023-06-06 | Cujo LLC | Network traffic analysis |
| US11528294B2 (en) | 2021-02-18 | 2022-12-13 | SecureworksCorp. | Systems and methods for automated threat detection |
| US12015623B2 (en) | 2022-06-24 | 2024-06-18 | Secureworks Corp. | Systems and methods for consensus driven threat intelligence |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050182950A1 (en) * | 2004-02-13 | 2005-08-18 | Lg N-Sys Inc. | Network security system and method |
| JP2010268483A (ja) * | 2002-11-07 | 2010-11-25 | Tippingpoint Technologies Inc | 能動的ネットワーク防衛システム及び方法 |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6904519B2 (en) * | 1998-06-12 | 2005-06-07 | Microsoft Corporation | Method and computer program product for offloading processing tasks from software to hardware |
| JP3914757B2 (ja) * | 2001-11-30 | 2007-05-16 | デュアキシズ株式会社 | ウィルス検査のための装置と方法とシステム |
| US7134143B2 (en) | 2003-02-04 | 2006-11-07 | Stellenberg Gerald S | Method and apparatus for data packet pattern matching |
| GB2407730A (en) | 2003-10-30 | 2005-05-04 | Agilent Technologies Inc | Programmable network monitoring element |
| US20060288096A1 (en) * | 2005-06-17 | 2006-12-21 | Wai Yim | Integrated monitoring for network and local internet protocol traffic |
| US20070266433A1 (en) * | 2006-03-03 | 2007-11-15 | Hezi Moore | System and Method for Securing Information in a Virtual Computing Environment |
| KR101268104B1 (ko) * | 2006-06-15 | 2013-05-29 | 주식회사 엘지씨엔에스 | 침입방지시스템 및 그 제어방법 |
| US7773516B2 (en) | 2006-11-16 | 2010-08-10 | Breakingpoint Systems, Inc. | Focused function network processor |
| US8756337B1 (en) * | 2007-08-03 | 2014-06-17 | Hewlett-Packard Development Company, L.P. | Network packet inspection flow management |
| TW201010354A (en) | 2008-08-27 | 2010-03-01 | Inventec Corp | A network interface card of packet filtering and method thereof |
| CN101668002A (zh) * | 2008-09-03 | 2010-03-10 | 英业达股份有限公司 | 具有数据包过滤的网络接口卡及其过滤方法 |
| KR101017015B1 (ko) * | 2008-11-17 | 2011-02-23 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
| JP5557623B2 (ja) * | 2010-06-30 | 2014-07-23 | 三菱電機株式会社 | 感染検査システム及び感染検査方法及び記録媒体及びプログラム |
| CN103875214B (zh) * | 2011-08-10 | 2017-05-03 | 马维尔国际贸易有限公司 | 用于以太网网络的具有安全检测的智能phy |
| US9407602B2 (en) * | 2013-11-07 | 2016-08-02 | Attivo Networks, Inc. | Methods and apparatus for redirecting attacks on a network |
-
2012
- 2012-07-31 CN CN201280075018.7A patent/CN104488229A/zh active Pending
- 2012-07-31 US US14/418,881 patent/US9544273B2/en active Active
- 2012-07-31 BR BR112015002323A patent/BR112015002323A2/pt not_active IP Right Cessation
- 2012-07-31 EP EP12882301.0A patent/EP2880819A4/en not_active Withdrawn
- 2012-07-31 WO PCT/US2012/049036 patent/WO2014021863A1/en active Application Filing
- 2012-07-31 JP JP2015524236A patent/JP2015528263A/ja active Pending
- 2012-07-31 KR KR1020157002540A patent/KR20150037940A/ko not_active Application Discontinuation
-
2013
- 2013-06-21 TW TW102122177A patent/TWI528761B/zh active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2010268483A (ja) * | 2002-11-07 | 2010-11-25 | Tippingpoint Technologies Inc | 能動的ネットワーク防衛システム及び方法 |
| US20050182950A1 (en) * | 2004-02-13 | 2005-08-18 | Lg N-Sys Inc. | Network security system and method |
| JP2005229573A (ja) * | 2004-02-13 | 2005-08-25 | Lg N-Sys Inc | ネットワーク保安システム及びその動作方法 |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2015530831A (ja) * | 2012-09-13 | 2015-10-15 | シマンテック コーポレーションSymantec Corporation | 選択的ディープパケットインスペクションを実行するためのシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20150215285A1 (en) | 2015-07-30 |
| KR20150037940A (ko) | 2015-04-08 |
| BR112015002323A2 (pt) | 2017-07-04 |
| TWI528761B (zh) | 2016-04-01 |
| CN104488229A (zh) | 2015-04-01 |
| EP2880819A4 (en) | 2016-03-09 |
| TW201406106A (zh) | 2014-02-01 |
| WO2014021863A1 (en) | 2014-02-06 |
| EP2880819A1 (en) | 2015-06-10 |
| US9544273B2 (en) | 2017-01-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2015528263A (ja) | ネットワークトラフィック処理システム | |
| Kumar et al. | SAFETY: Early detection and mitigation of TCP SYN flood utilizing entropy in SDN | |
| EP3178216B1 (en) | Data center architecture that supports attack detection and mitigation | |
| US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
| US10313372B2 (en) | Identifying malware-infected network devices through traffic monitoring | |
| US9531673B2 (en) | High availability security device | |
| TW201738796A (zh) | 網路攻擊的防控方法、裝置及系統 | |
| US20200137112A1 (en) | Detection and mitigation solution using honeypots | |
| JP2010268483A (ja) | 能動的ネットワーク防衛システム及び方法 | |
| US20210185083A1 (en) | Packet fingerprinting for enhanced distributed denial of service protection | |
| IL267987A (en) | A method and system for detecting and facilitating an attack of refusal of service | |
| Saad et al. | A study on detecting ICMPv6 flooding attack based on IDS | |
| JP6592196B2 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| Subbulakshmi et al. | A unified approach for detection and prevention of DDoS attacks using enhanced support vector machines and filtering mechanisms | |
| Chen et al. | DAW: A distributed antiworm system | |
| WO2016014178A1 (en) | Identifying malware-infected network devices through traffic monitoring | |
| Park et al. | An effective defense mechanism against DoS/DDoS attacks in flow-based routers | |
| WO2017078715A1 (en) | Policy enforcement based on host value classification | |
| Winward | Iot attack handbook | |
| WO2024099078A1 (zh) | 检测攻击流量的方法及相关设备 | |
| Zhang et al. | Internet-scale malware mitigation: combining intelligence of the control and data plane | |
| Georgiev et al. | An Approach of Network Protection Against DDoS Attacks | |
| John et al. | Impact of AAB-DDoS Attacks in a Real-Time Cloud Environment and the Mitigation Strategies | |
| US7725935B1 (en) | Detecting worms | |
| Umamageswari et al. | Analysis of an Integrated Security System using Real time Network Packets Scrutiny |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20160115 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160126 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20160830 |