JP3968724B2 - ネットワーク保安システム及びその動作方法 - Google Patents
ネットワーク保安システム及びその動作方法 Download PDFInfo
- Publication number
- JP3968724B2 JP3968724B2 JP2004323784A JP2004323784A JP3968724B2 JP 3968724 B2 JP3968724 B2 JP 3968724B2 JP 2004323784 A JP2004323784 A JP 2004323784A JP 2004323784 A JP2004323784 A JP 2004323784A JP 3968724 B2 JP3968724 B2 JP 3968724B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- information
- traffic
- network
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title description 8
- 238000007726 management method Methods 0.000 claims description 94
- 230000000903 blocking effect Effects 0.000 claims description 55
- 230000002265 prevention Effects 0.000 claims description 54
- 230000006870 function Effects 0.000 claims description 42
- 238000001914 filtration Methods 0.000 claims description 41
- 238000004458 analytical method Methods 0.000 claims description 31
- 230000003068 static effect Effects 0.000 claims description 22
- 230000005540 biological transmission Effects 0.000 claims description 16
- 230000002159 abnormal effect Effects 0.000 claims description 13
- 238000001514 detection method Methods 0.000 claims description 11
- 230000008859 change Effects 0.000 claims description 7
- 238000003672 processing method Methods 0.000 claims description 6
- 230000007704 transition Effects 0.000 claims description 4
- 238000013523 data management Methods 0.000 claims description 3
- 230000002547 anomalous effect Effects 0.000 claims description 2
- 238000010586 diagram Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 7
- 230000009471 action Effects 0.000 description 2
- 230000008901 benefit Effects 0.000 description 2
- 238000003012 network analysis Methods 0.000 description 2
- 230000015556 catabolic process Effects 0.000 description 1
- 238000006731 degradation reaction Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 238000011835 investigation Methods 0.000 description 1
- 230000000149 penetrating effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、ネットワーク保安システム及びその動作方法に係り、より詳しくは、ネットワークトラフィックに対する損失なしで高速に処理するため、トラフィック攻撃探知及び遮断のためのASICに基づくパケット専用処理器を備え、トラフィック攻撃に対するハードウェア的フィルタリングを行う一方で、ソフトウェア的には一定時間トラフィックの程度を分析し、サービス拒否(Denial of Service:DoS)攻撃のような動的攻撃に対してフィルタリングを行い、蓄積されたトラフィック統計情報を用いて攻撃予防情報を提供するネットワーク保安システム及びその動作方法に関するものである。
従来の場合、ネットワークトラフィック攻撃を遮断するため、各ホストに防火壁を設けるか、ゲートウェイ次元で、事前にネットワーク網に攻撃が浸透しないように、ソフトウェア及びハードウェアに基づく遮断システムを設置した。
そのほかに、ネットワークトラフィック攻撃を遮断するために設けるL7アプリケーションスイッチの場合、コンテンツフィルタリング機能を用いて、パターンの露出した特定攻撃に対してパターンを分析することにより、これを遮断した。
ここで、上記のような従来のゲートウェイ次元のソフトウェア及びハードウェアに基づく遮断システムとしては、一般の汎用ネットワークカードを内部/外部ネットワークに区分して搭載し、ネットワークパケットをソフトウェア的に処理して、ネットワークトラフィックの攻撃を遮断し、関連情報を管理者に伝達する構造、又は汎用システムとは別途の運営体制が搭載されたエンベデッドハードウェアをPCIインターフェースで結合した構造で、エンベデッドハードウェアで高速のトラフィックを遮断するか伝達する機能を果たし、汎用システムではエンベデッドハードウェアの主要機能を除く侵入ログ管理者警報機能のようなほかの機能を果たすようにする構造がある。
前述したような、各ホストに設けられた防火壁(firewall)は、当該ホストに伝送されるネットワークパケットのうち、接近制御政策に基づき、パケットを伝達するか又は遮断する機能をするもので、ネットワーク網に不法使用者が接近してコンピュータ資源を使用又は撹乱し、あるいは重要な情報を不法に外部に流出することを防止することがその目的である。
また、ソフトウェアに基づく遮断システムは、探知及び遮断のためのソフトウェアエンジンを基にし、ネットワークカードから入力されたパケットを攻撃ルールに基づいて遮断するか又は伝達する機能をし、ハードウェアに基づく遮断システムは、探知及び遮断のためのエンジンを、別途の運営体制、メモリ、CPUを有するエンベデッドシステムに備えて保安機能を行うようにし、それに関連した情報を、結合された汎用コンピュータに通信して処理することになる。
また、L7アプリケーションスイッチの場合、通過するパケットのデータ部分に対し、アプリケーションレベルで、攻撃に対するパターンマッチングを行い、攻撃パケットと判断される場合、遮断することにより攻撃を防御することができる。
しかし、ホストに基づいて設けられる防火壁の場合は、ネットワークの規模が大きくなるほど、管理者が管理しにくくなり、ソフトウェアに基づく遮断システムの場合は、トラフィックが増加するほど、システムにかかる負荷により、全体トラフィック処理率が低下するため、トラフィックの攻撃を受けたとき、これに対する遮断率が低下する。
また、L7アプリケーションスイッチを用いる場合においても、コンテンツフィルタリングの際、性能低下及び装備のクラッシュが発生し得るという欠点がある。
また、ハードウェアに基づく遮断システムの場合、エンベデッドシステムで行われる主要機能を除くほかの機能を、これに連結されたウィンドウズ(登録商標)運営体制に基づく汎用コンピュータで行う構造であって、大規模のネットワーク環境で多数の遮断システムを統合管理しなければならない環境では、多少適しない構造を持っている。また、エンベデッドシステムと汎用コンピュータの直接的な結合により、汎用コンピュータの遮断のほかに、動作に対する安定性がエンベデッドシステムの遮断機能に直接的な影響を与える。
ネットワークトラフィック攻撃は、各単位パケットを調査して判断できるものと、連続したパケットのストリームから得られるものとに分類できるが、前述した従来のネットワーク保安システムは、パケットのストリームに対する検査と各単位パケットに対する検査を並行するため、パケット伝送の遅延の原因となり、CPUとROM/RAMの要素を主構成とするエンベデッドシステムの場合においても、侵入判断のためのソフトウェア動作が必要であるため、実時間/全体トラフィック処理に限界があるという欠点がある。
また、従来のネットワーク保安技術は、単位パケットの調査に基づき、攻撃判断のための専用ボードを使用しているが、専用ボードは実時間/全体トラフィック処理のため、別途のCPU/ROM/RAMに基づくソフトウェア的な動作を伴わないという問題点がある。
したがって、本発明は、ハードウェア処理及びソフトウェア処理を結合して、異常トラフィックの分析及び防止を行うネットワーク保安システム及びその動作方法を提供することをその目的とする。より具体的には、本発明は、ギガネットワーク網のような高容量トラフィックの環境で、保護しようとするネットワークラインにインライン(In-Line)モードで設置され、ネットワークに対する多段階の攻撃に対し、フィルタリングに基づき、実時間でネットワーク攻撃を探知及び遮断し、その後、管理者に関連情報を実時間で伝達するネットワーク保安システム及びその動作方法を提供することをその目的とする。
上記のような目的を達成するため、本発明によるネットワーク保安システムは、ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを一次的に行うパケット専用処理器と、ネットワークトラフィックの動的攻撃に対するソフトウェア的フィルタリングを二次的に行うソフトウェアフィルタを有するホストシステムとからなることを特徴とする。
静的攻撃に対するハードウェア的フィルタリングは、入力されるネットワークパケットに対して定義された保安政策に基づいてパターンマッチングして行い、動的攻撃に対するソフトウェア的フィルタリングは、パケット専用処理器で処理された結果が選択的にソフトウェアフィルタに伝達され、一定時間の間に発生するパケットストリームを分析して行うものであり、
前記ホストシステムに備えられたソフトウェアフィルタは、
DMAメモリ領域を介して、前記パケット専用処理器から遮断結果情報及びパケット情報を受けるパケット処理モジュールと、
前記パケット処理モジュールから遮断結果情報を受け、管理者警報機能を行う対応管理モジュールと、
前記パケット処理モジュールパケット情報を受けて動的攻撃フィルタリングを行う動的攻撃フィルタ及びスケジュール遮断フィルタと、
トラフィック攻撃に対する分析のため、前記パケット処理モジュールから受けた所定の情報をネットワークトラフィック分析システムに伝送するトラフィック処理モジュールと、
前記遮断結果情報を管理者に警報するため、これをデータ送受信モジュールに伝達する対応管理モジュールと、
TCP/IPソケットを介して遠隔管理システムに結果を伝送するデータ送受信モジュールと、
前記パケット専用処理器の状態初期化及び駆動モードに対する機能を行う構成管理モジュールと、
パケット専用処理器上の探知/遮断の基準となる静的保安政策をダウンロードして実時間でオンライン政策変更の機能を行う政策管理モジュールとを含むことを特徴とする。
前記ホストシステムに備えられたソフトウェアフィルタは、
DMAメモリ領域を介して、前記パケット専用処理器から遮断結果情報及びパケット情報を受けるパケット処理モジュールと、
前記パケット処理モジュールから遮断結果情報を受け、管理者警報機能を行う対応管理モジュールと、
前記パケット処理モジュールパケット情報を受けて動的攻撃フィルタリングを行う動的攻撃フィルタ及びスケジュール遮断フィルタと、
トラフィック攻撃に対する分析のため、前記パケット処理モジュールから受けた所定の情報をネットワークトラフィック分析システムに伝送するトラフィック処理モジュールと、
前記遮断結果情報を管理者に警報するため、これをデータ送受信モジュールに伝達する対応管理モジュールと、
TCP/IPソケットを介して遠隔管理システムに結果を伝送するデータ送受信モジュールと、
前記パケット専用処理器の状態初期化及び駆動モードに対する機能を行う構成管理モジュールと、
パケット専用処理器上の探知/遮断の基準となる静的保安政策をダウンロードして実時間でオンライン政策変更の機能を行う政策管理モジュールとを含むことを特徴とする。
パケット専用処理器及びソフトウェアフィルタに適用すべき保安政策を生成し、これをオンライン上で伝送する遠隔管理システムと、パケット専用処理器及びソフトウェアフィルタからネットワークトラフィック情報を受け、これを蓄積/分析して侵入予防情報を管理者に提供するネットワークトラフィック分析システムとをさらに含むことを特徴とする。
また、本発明の他の実施形態によれば、前記パケット専用処理器は、パケットをネットワーク及びゲートウェイに対して入出力するイーサネット(登録商標)コントローラと、前記イーサネット(登録商標)から入力されたパケットを分析し、ヘッダ情報はヘッダ検索エンジンに、かつコンテンツはパターン検索エンジンに伝達し、前記ヘッダ検索エンジン及びパターン検索で分析した結果を用いて、保安規則に違背するパケットを実時間で検索及び遮断するインラインコントローラと、前記インラインコントローラにより設定された値によってコンテンツ検索を行い、その結果を前記インラインコントローラに伝達するパターン検索エンジンと、前記インラインコントローラにより設定されたパケットのヘッダ検索を行い、その結果を前記インラインコントローラに伝達するヘッダ検索エンジンと、パケット検索結果による処理方法を記憶しており、前記インラインコントローラのパケット検索結果を入力として、前記処理方法を前記インラインコントローラに伝達するSRAM(Action Info Database)と、前記パターン検索エンジン及び前記ヘッダ検索エンジンで使用する検索条件及び前記SRAMで使用する情報の設定のため、前記ホストシステムから所定の情報を受け、パケット処理の結果、統計情報データをホストシステムに伝達して、処理結果及び状態を報告するPCIと、を含んでいる。
また、前記ネットワーク分析システムは、前記防止システムから伝達されるトラフィック情報を受信し、これをデータベースシステムに記憶させるデータ送受信モジュールと、蓄積されたトラフィック情報を用いてトラフィック分布情報を管理者に提供するサービス別トラフィック分析モジュール又はパケットサイズ別トラフィック分析モジュールと、知られていない攻撃から生じ得る異常トラフィックを分析するための政策管理モジュールと、前記データベースシステムに蓄積されたトラフィック情報を用いて、管理者のための統計情報及び異常トラフィック関連情報に対する形式化した報告書を提供する報告書管理モジュールとを含んでいる。
また、本発明のほかの実施形態によるネットワーク保安システムは、ネットワークに対するトラフィック攻撃を遮断するため、ネットワークのゲートウェイに透過性(transparent)モードで連結された防止システムと、防止システムに適用される保安規則を生成し、これをオンライン上で防止システムに伝送する遠隔管理システムと、防止システムからネットワークトラフィック情報を受け、これを蓄積/分析して侵入予防情報を管理者に提供するネットワークトラフィック分析システムとを含んでなることを特徴とする。
防止システムは、前述したネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを一次的に行うパケット専用処理器と、ネットワークトラフィックの動的攻撃に対するソフトウェア的フィルタリングを二次的に行うソフトウェアフィルタを有するホストシステムとからなることを特徴とする。
また、本発明によるネットワーク保安システムの動作方法は、ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを行う段階と、ハードウェア的フィルタリングにより処理された結果、及び前記ハードウェア的フィルタリングに流入したパケットにより一定時間の間に発生するパケットストリームを分析して、ネットワークトラフィックの動的攻撃に対するソフトウェア的フィルタリングを行う段階と、前記ソフトウェア的フィルタリングにより処理された結果情報を蓄積及び分析して、侵入予防情報管理者に提供する段階とを含んでなることを特徴とする。
前記方法は、前記静的保安政策及び動的攻撃に対する設定、遮断ログのデータ管理、及びそのほかの保安管理を含む情報をオンライン上で伝送する段階をさらに含むことを特徴とする。
前記ハードウェア的フィルタリングを行う段階は、ネットワーク及びゲートウェイからパケットを入力する段階と、前記パケット内部のヘッダ情報、コンテンツ情報を設定された保安政策により実時間で分析する段階と、前記保安政策に違背するパケットを実時間で検索及び遮断して、パケットの形態及び長さにかかわらず、パケットを処理する段階とを含むことを特徴とする。
前記ソフトウェア的フィルタリングを行う段階は、前記ハードウェア的フィルタリングによる遮断結果情報とパケット情報を受ける段階と、前記遮断結果情報を受けて管理者警報機能を行い、前記パケット情報を受けて動的攻撃フィルタリングを行う段階と、前記動的攻撃フィルタリングの結果を遠隔管理システムに伝送する段階とを含むことを特徴とする。
前記動的攻撃フィルタリングは、前もって定義された動的攻撃保安政策及びスケジュール遮断政策に基づき、入力されたパケット情報を累積し、一定時間の間のトラフィック推移を分析し、前記トラフィックが異常トラフィックで限界値を超えると判断されるとき、前記遮断政策を対応管理モジュールに伝達し、これをパケット専用処理器に伝達することであることを特徴とする。
以上のような本発明のネットワーク保安システム及びその動作方法によると、ギガ級の高容量トラフィック環境で、パケットの損失又は遅延なしで実時間で攻撃の入っているパケットをハードウェアに基づくパケット専用処理器で探知及び遮断することにより、効果的に攻撃を防御することができ、さらに、静的攻撃でない動的攻撃に対しては、汎用コンピュータ上のソフトウェアフィルタを介してフィルタリングが行われるため、異常トラフィックに対し、より安全に内部ネットワーク網を保護することができる利点がある。
また、本発明によると、従来のネットワーク構造の変更なしで設置することができるので、費用を最小にすることができ、さらに、多数の防止システムを統合して管理することができるので、大規模環境のネットワーク環境での管理が容易であるという利点がある。
以下、添付図面に基づき、本発明の実施形態を詳細に説明する。
図1は、本発明によるネットワーク保安システムを備えたネットワーク網の構成を概略的に示す図である。
図1は、本発明によるネットワーク保安システムを備えたネットワーク網の構成を概略的に示す図である。
同図に示すように、インターネット、つまり外部ネットワークにクライアント11とサーバ12が連結され、外部ネットワークから内部ネットワークに流入するトラフィック攻撃を遮断するため、本発明による異常分析/防止システム14(以下、防止システムという)は、既存のネットワーク環境が変更されないように保護しようとする内部ネットワークのゲートウェイ13に透過性モードで連結されている。
すなわち、防止システム14は、保護しようとする内部ネットワークにあるホストと、インターネットに連結されたホストとの全ての通信トラフィックに対して実時間攻撃探知及び遮断を行い、その結果を管理コンソール、つまり遠隔管理システム50に伝送する。
防止システム14は、PCI形態のカードから製作されたパケット専用処理器20と、該パケット専用処理器が設けられたホストシステム27とからなり、これにより、トラフィック攻撃に対し、ハードウェア的フィルタリングとソフトウェア的フィルタリングを順次行う。
また、遠隔管理システム50においては、防止システム14に適用すべき保安規則を生成することができ、これをオンラインで防止システム14に伝送して適用することができる。
この際、遠隔管理システム50が同時に多数の防止システム14を統合して管理し得るように、防止システム14には、遠隔管理システム50との通信のための別途のネットワークインターフェースカードが設けられている。
本発明によるネットワーク保安システムの構成及びその動作をより詳細に説明すると次のようである。
まず、防止システム14には、ネットワークインターフェースとスタティックルール(以下、静的保安政策という)、つまり攻撃に対する対応情報をロードするためのSRAM及びPCIインターフェースなどに基づいてカードから構成されたパケット専用処理器が設けられているので、これにより、1次的にネットワークトラフィックに対する静的攻撃をフィルタリングする。
また、パケット専用処理器で処理された結果として、流入したパケットに対する遮断結果情報、パケット専用処理器で一次的にフィルタリングされたパケット、パケット専用処理器に流入した全体パケット、又は任意の条件によるパケットの一部情報(一例として、全体パケットに対するそれぞれのヘッダ情報)が防止システムのホストシステムに設けられる所定のソフトウェアフィルタに伝達され、これにより、一定時間発生するパケットストリームを分析して、サービス拒否(DoS)攻撃などのような動的攻撃を2次的にフィルタリングする。
すなわち、防止システム14は、パケット処理部分に対して攻撃探知及び遮断のためのパケット専用処理器をASICで実現し、ネットワークパケットの入力を受け、これを定義されたルール(静的保安政策)に基づいてパターンマッチングさせることにより、ネットワークトラフィックの静的攻撃(Static Attack)に対するハードウェア的フィルタリングを一次に行う。
パケット専用処理器で処理された結果として、流入したパケットに対する遮断結果情報、前記パケット専用処理器で一次的にフィルタリングされたパケット、前記パケット専用処理器に流入した全体パケット、又は任意の条件によるパケットの一部情報(一例として、全体パケットに対するそれぞれのヘッダ情報)が選択的に所定のソフトウェアフィルタに伝達され、これにより、一定時間の間に発生するパケットストリームを分析することにより、ネットワークトラフィックの動的攻撃(Dynamic Attack)に対するソフトウェア的フィルタリングを二次的に行う役割をする。
ここで、静的攻撃は、一例としてシグネチャによる攻撃(Signature Detection)により収集された単位パケットのみで攻撃の特性を判断し得る攻撃を意味するものであり、動的攻撃は、一例としてDoS攻撃又は異常(anomaly)攻撃により一定期間の間に収集されたパケットストリームを分析することで攻撃可否を判断し得る攻撃を意味するものである。
このように、防止システム14により得られるネットワークトラフィック情報は別途のネットワークトラフィック分析システム60に伝達し、ネットワークトラフィック分析システム60はこれら情報を蓄積、分析して、侵入予防情報を管理者に提供する役割をする。
この際、ネットワークトラフィック分析システム60は、遠隔管理システム50に搭載されるか、又は独立的に運営できるシステムである。
この際、ネットワークトラフィック分析システム60は、遠隔管理システム50に搭載されるか、又は独立的に運営できるシステムである。
また、遮断ログのデータ管理、あるいは静的保安政策及び動的攻撃政策に対する設定、パケット専用処理器及びソフトウェアフィルタの環境設定、及びそのほかの保安管理の機能をする管理機能は、TCP/IP環境のソケット通信を介して遠隔で連結可能な別途の遠隔管理システム50で実現し、大規模の統合環境の構築が可能である。
また、防止システム14は、遮断ログ情報を受信し、これをデータベース化し、管理者にメール、SMSなどを介して伝送して、第2警報機能を行うようにする。
図2は、図1に示す防止システムの構成を示すブロック図である。
同図に示すように、防止システムは、ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを一次的に行うパケット専用処理器20と、二次的にネットワークトラフィックの動的攻撃(サービス拒否(DoS)攻撃など)に対するソフトウェア的なフィルタリングを行うホストシステム27とから構成される。
同図に示すように、防止システムは、ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを一次的に行うパケット専用処理器20と、二次的にネットワークトラフィックの動的攻撃(サービス拒否(DoS)攻撃など)に対するソフトウェア的なフィルタリングを行うホストシステム27とから構成される。
パケット専用処理器20は、ASICで構成された大容量トラフィック処理専用パケットパターン検索エンジン(Pattern Search Engine;PSE)24が搭載されているので、ギガ環境で両方向2Gbpsのトラフィックをインラインモードで、パケットの大きさにかかわらず、実時間で処理することができる。
このようなパケット処理能力を基にして、パケット内部のヘッダ情報、コンテンツなどを設定ルールによって実時間で分析して、保安規則に違背するパケットを実時間で検索及び遮断することにより、パケット形態及び長さにもかかわらず、安定で透明にパケットを処理する。
パケット専用処理器20のイーサネット(登録商標)コントローラ(以下PHYという)21はギガバイトラインのインターフェースからパケットを入力してインラインコントローラ(In-Line Controller、以下ILCという)22で処理できるようにするもので、2階層(Layer 2)の機能を行う。さらに、入力されてパケット専用処理器20の内部で処理されたパケットをラインに出力する機能をする。
また、ILC22はPHY21から入力されたパケットを分析し、ヘッダ情報はヘッダ検索エンジン(Header Search Engine、以下HSEという)23に、かつコンテンツ、つまりパターンはパターン検索エンジン(Pattern Search Engine、以下PSEという)24に伝達し、HSE23及びPSE24の両エンジンで分析した結果を用いて当該パケットのフォーワーディングなどの処理を行う。
また、遠隔管理システム50からPCIコントローラ26及びホストシステム27を介して伝達されたPSE24、HSE23などの内部設定情報を当該PSE24、HSE23などに伝達し、パケット処理結果などの情報をPCIコントローラ26を介してホストシステム27に伝達する。
ここで、パケット専用処理器21とホストシステム27間の通信を担当するPCIコントローラ26はホストシステム27とのデータ伝達パスであって、PSE24、HSE23で使用する検索条件と、SRAM(Action info Database)25で使用すべき情報などの設定のため、遠隔管理システム50からホストシステム27を介して所定の情報を受け、また、パケット処理結果、統計情報などのデータをホストシステム27を介して遠隔管理システム50に伝達して、処理結果、状態などを報告するパスとして使用する。
この際、ASICで構成されたPSE24には、検索条件(すなわち、流入するパケットが正常パケットであるか否かを判断し得る比較情報)が最初に遠隔管理システム50から伝送されて記憶され、SRAM25には、ネットワークトラフィック攻撃に対する対応情報(すなわち、フィルタリングパケットを遮断するか、又はパスするかなどに対する判断情報)が最初に遠隔管理システム50から伝送されて記憶されるものである。
すなわち、パケット分析の主要構成要素として、トラフィック攻撃に対するロジックを有するPSE24はASICから構成され、遠隔管理システム50からILC22を介して伝送された検索条件が設定され、その設定値によってコンテンツ検索を行い、その結果をILC22に伝達する役割をする。
また、HSE23もILC23により設定された値によってパケットのヘッダ検索を行い、その結果をILC22に伝達する役割をする。
また、パケット専用処理器20のSRAM25はパケット検索結果による処理方法を持っているDBであって、遠隔管理システム50からILC22を介して伝送された対応情報が設定され、ILC22のパケット検索結果を入力とし、入力されるパケットに対する処理方法をILC22に伝達する。
また、パケット専用処理器20のSRAM25はパケット検索結果による処理方法を持っているDBであって、遠隔管理システム50からILC22を介して伝送された対応情報が設定され、ILC22のパケット検索結果を入力とし、入力されるパケットに対する処理方法をILC22に伝達する。
図3は、図2に示すホストシステムに設けられたソフトウェアフィルタの内部構成モジュール間の機能流れを示すブロック図である。
ここで、ソフトウェアフィルタは、ネットワークトラフィックの動的攻撃をソフトウェア的にフィルタリングするもので、図2に示すホストシステムのCPU28上で動的攻撃探知及びそのほかの保安機能をする。
ソフトウェアフィルタの主要機能である動的攻撃フィルタリング機能の動作を説明すると次のようである。
まず、パケット処理モジュール33が、DMA(Direct Memory Access)のメモリ領域を介して、パケット専用処理器20から処理結果として、流入したパケットに対する遮断結果情報、パケット専用処理器で一次的にフィルタリングされたパケット、パケット専用処理器に流入した全体パケット、又は任意の条件によるパケットの一部情報(一例として、全体パケットに対するそれぞれのヘッダ情報)を選択的に受けた後、遮断結果情報は対応管理モジュール37に伝達して、管理者警報機能を行うようにし、パケット情報は、動的攻撃フィルタリングのため、動的攻撃フィルタ35とスケジュール遮断フィルタ36に伝達する。
この際、パケット処理モジュール33は、使用者の設定によって、パケット専用処理器20から処理結果として、流入したパケットに対する遮断結果情報、パケット専用処理器で一次的にフィルタリングされたパケット、パケット専用処理器に流入した全体パケット、又は任意の条件によるパケットの一部情報(一例として、全体パケットに対するそれぞれのヘッダ情報)を選択的に受けることができる。
また、パケット処理モジュール33は、所定のトラフィック情報をトラフィック処理モジュール34に伝達して、ネットワークトラフィック分析システム60に統計情報が伝送できるようにする。
動的攻撃フィルタ35とスケジュール遮断フィルタ36は、前もって定義された動的攻撃保安政策及びスケジュール遮断政策に基づき、入力されたパケット情報の一定期間のトラフィック推移を分析し、トラフィックが異常トラフィックで、限界値を超えると判断されるとき、遮断政策を対応管理モジュール37に伝達し、これをパケット専用処理器20に伝達することにより、パケット専用処理器20が異常トラフィックを遮断し得るようにする。すなわち、パケット専用処理器20に遮断政策を付け加えるようにする。
対応管理モジュール37は、パケット専用処理器20から伝達されたパケットの遮断結果情報を管理者に警報するため、データ送受信モジュール40に伝達し、データ送受信モジュール40は、結果をTCP/IPソケットを介して遠隔管理システム50に伝送する。
データ送受信モジュール40は、遮断結果情報の管理者警報機能のほかにも、遠隔管理システム50により定義された保安政策及び構成管理情報を受信し、これを構成管理モジュール38及び政策管理モジュール39に伝達し、これにより、構成管理モジュール38及び政策管理モジュール39は、パケット専用処理器20及びソフトウェアフィルタ30に保安政策及び構成管理情報を適用する機能を行う。
また、データ送受信モジュール40は、遠隔管理システム50とパケット専用処理器及びホストシステムが設けられた防止システム14間の通信上の相互認証機能を持っている。
構成管理モジュール38はパケット専用処理器20の状態初期化及び駆動モードに対する機能を行い、政策管理モジュール39は、PCIコントローラ26を介して、パケット専用処理器20上の探知/遮断の基準となる静的保安政策をダウンロードして、実時間でオンライン政策変更機能を行う。
図4は、図1に示す遠隔管理システムの構成を示すブロック図である。
すなわち、図4は、防止システム14から生じた遮断情報の管理者警報機能と、防止システム14の運営のための保安政策を含む全ての構成管理情報を管理する遠隔管理システム50の構成要素を示すものである。
すなわち、図4は、防止システム14から生じた遮断情報の管理者警報機能と、防止システム14の運営のための保安政策を含む全ての構成管理情報を管理する遠隔管理システム50の構成要素を示すものである。
遠隔管理システム50の主要機能は、防止システム14から生じた遮断ログをデータ送受信モジュール56を介して管理者に警報するとともに、多数の防止システム14から受信した遮断ログを統合して管理し得るようにするものである。さらに、防止システムの構成管理情報及び遮断関連保安政策を防止システムに伝送し、これを適用させる機能を行う。
図4に示すように、データ送受信モジュール56は、受信したログ情報を侵入遮断ログ管理モジュール54を介してデータベースシステム15に記憶し、そのほかにも、構成管理モジュール52から定義される防止システム14の構成管理情報と、政策管理モジュール53から定義される遮断関連保安政策を防止システム14に適用する機能をする。
また、データ送受信モジュール56は、遠隔管理システム50と防止システム14間の通信上の相互認証機能をさらに持っている。
政策管理モジュール53は、防止システム14のパケット専用処理器20上の静的攻撃に対するフィルタリング規則を定義する機能と、ホストシステム27のCPU28上のソフトウェアフィルタ30の動的攻撃のフィルタリング規則とスケジュールフィルタリングのための規則を定義する機能を行う。
そのほかに、使用者認証管理モジュール51は、遠隔管理システム50及び防止システム14の使用者認証情報を管理し、遠隔管理システムの50の印加された使用者が接近できるように使用者認証機能を行う。
また、報告書管理モジュール55は、データベースシステムに蓄積された遮断情報を用いて、管理者のための統計情報及び遮断ログに対する形式化した報告書を提供する役割をする。
また、報告書管理モジュール55は、データベースシステムに蓄積された遮断情報を用いて、管理者のための統計情報及び遮断ログに対する形式化した報告書を提供する役割をする。
図5は、図1に示すトラフィック分析システムの構成を示すブロック図である。
すなわち、図5は防止システム14からトラフィック情報を受けてトラフィックの変化を分析するネットワークトラフィック分析システム60の構成要素を示すものである。
すなわち、図5は防止システム14からトラフィック情報を受けてトラフィックの変化を分析するネットワークトラフィック分析システム60の構成要素を示すものである。
同図に示すように、データ送受信モジュール66は、防止システム14から伝達されたトラフィック情報を受信し、これをデータベースシステム15に記憶させ、これをトラフィック負荷変化率分析モジュール61に伝達して実時間変化率を管理者に提供する。
また、サービス別トラフィック分析モジュール62又はパケットサイズ別トラフィック分析モジュール63は、蓄積されたトラフィック情報を用いてトラフィック分布情報を管理者に提供する。
また、ネットワークトラフィック分析システム60は、知られていない攻撃から生じ得る異常トラフィックを分析するため、政策管理モジュール64を備えているが、これは、正常トラフィックと区分できる異常トラフィックの基準を定立して政策化し、これを分析し、異常トラフィックと分析される情報を管理者に通報して、侵入予防が可能であるようにする役割をする。
また、報告書管理モジュール65は、データベースシステム15に蓄積されたトラフィック情報を用いて、管理者のための統計情報及び異常トラフィック関連情報に対する形式化した報告書を提供する。
ここで、ネットワークトラフィック分析システム60は、遠隔管理システム50に搭載されるかあるいは独立的に運営できるシステムである。
このような本発明によるネットワーク保安システムは、高い負荷がかかるパターンマッチング作業を用いる攻撃探知及び遮断機能をハードウェア的に処理するように、PCI形態のカードで製作することができ、カードが設けられたホストは、遠隔管理システムとの通信を担当し、探知及び遮断結果を遠隔管理システムに伝送し、そのほかのトラフィック情報もネットワークトラフィック分析システムに伝送することにより、トラフィック情報を管理者に実時間で提供することができる。
14 防止システム
15 データベースシステム
20 パケット専用処理器
21 イーサネット(登録商標)コントローラ
22 インラインコントローラ
23 ヘッダ検索エンジン
24 パターン検索エンジン
25 SRAM
26 PCIコントローラ
27 ホストシステム
28 CPU
30 ソフトウェアフィルタ
50 遠隔管理システム
60 ネットワーク分析システム
15 データベースシステム
20 パケット専用処理器
21 イーサネット(登録商標)コントローラ
22 インラインコントローラ
23 ヘッダ検索エンジン
24 パターン検索エンジン
25 SRAM
26 PCIコントローラ
27 ホストシステム
28 CPU
30 ソフトウェアフィルタ
50 遠隔管理システム
60 ネットワーク分析システム
Claims (21)
- ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを一次的に行うパケット専用処理器と、
ネットワークトラフィックの動的攻撃に対するソフトウェア的フィルタリングを二次的に行うソフトウェアフィルタを有するホストシステムとからなり、
前記静的攻撃に対するハードウェア的フィルタリングは、入力されるネットワークパケットに対して定義された保安政策に基づいてパターンマッチングして行い、
前記動的攻撃に対するソフトウェア的フィルタリングは、前記パケット専用処理器で処理された結果が選択的に前記ソフトウェアフィルタに伝達され、一定時間の間に発生するパケットストリームを分析して行うものであり、
前記ホストシステムに備えられたソフトウェアフィルタは、
DMAメモリ領域を介して、前記パケット専用処理器から遮断結果情報及びパケット情報を受けるパケット処理モジュールと、
前記パケット処理モジュールから遮断結果情報を受け、管理者警報機能を行う対応管理モジュールと、
前記パケット処理モジュールパケット情報を受けて動的攻撃フィルタリングを行う動的攻撃フィルタ及びスケジュール遮断フィルタと、
トラフィック攻撃に対する分析のため、前記パケット処理モジュールから受けた所定の情報をネットワークトラフィック分析システムに伝送するトラフィック処理モジュールと、
前記遮断結果情報を管理者に警報するため、これをデータ送受信モジュールに伝達する対応管理モジュールと、
TCP/IPソケットを介して遠隔管理システムに結果を伝送するデータ送受信モジュールと、
前記パケット専用処理器の状態初期化及び駆動モードに対する機能を行う構成管理モジュールと、
パケット専用処理器上の探知/遮断の基準となる静的保安政策をダウンロードして実時間でオンライン政策変更の機能を行う政策管理モジュールとを含むことを特徴とすることを特徴とするネットワーク保安システム。 - 前記パケット専用処理器で処理された結果は、パケット処理器に流入したパケットに対する遮断結果情報、前記パケット専用処理器で一次的にフィルタリングされたパケット、前記パケット専用処理器に流入した全体パケット、又は全体パケットに対するそれぞれのヘッダ情報であることを特徴とする請求項1に記載のネットワーク保安システム。
- 前記パケット専用処理器及びソフトウェアフィルタに適用すべき保安政策を生成し、これをオンライン上で伝送する遠隔管理システムをさらに含むことを特徴とする請求項1に記載のネットワーク保安システム。
- 前記パケット専用処理器及びソフトウェアフィルタからネットワークトラフィック情報を受け、これを蓄積/分析して侵入予防情報を管理者に提供するネットワークトラフィック分析システムをさらに含むことを特徴とする請求項1に記載のネットワーク保安システム。
- 前記パケット専用処理器は、
パケットをネットワーク及びゲートウェイに対して入出力するイーサネット(登録商標)コントローラと、
前記イーサネット(登録商標)から入力されたパケットを分析し、ヘッダ情報はヘッダ検索エンジンに、かつコンテンツはパターン検索エンジンに伝達し、前記ヘッダ検索エンジン及びパターン検索で分析した結果を用いて、保安規則に違背するパケットを実時間で検索及び遮断するインラインコントローラと、
前記インラインコントローラにより設定された値によってコンテンツ検索を行い、その結果を前記インラインコントローラに伝達するパターン検索エンジンと、
前記インラインコントローラにより設定されたパケットのヘッダ検索を行い、その結果を前記インラインコントローラに伝達するヘッダ検索エンジンと、
パケット検索結果による処理方法を記憶しており、前記インラインコントローラのパケット検索結果を入力として、前記処理方法を前記インラインコントローラに伝達するSRAMと、
前記パターン検索エンジン及び前記ヘッダ検索エンジンで使用する検索条件及び前記SRAMで使用する情報の設定のため、前記ホストシステムから所定の情報を受け、パケット処理の結果、統計情報データをホストシステムに伝達して、処理結果及び状態を報告するPCIと、を含むことを特徴とする請求項1に記載のネットワーク保安システム。 - 前記パターン検索エンジンはASICでなり、流入するパケットに対する検索条件を記憶することを特徴とする請求項5に記載のネットワーク保安システム。
- 前記検索条件は、流入するパケットが正常パケットであるか否かを判断し得る比較情報であることを特徴とする請求項6に記載のネットワーク保安システム。
- 前記SRAMには、ネットワークトラフィック攻撃に対する対応情報が記憶されることを特徴とする請求項5に記載のネットワーク保安システム。
- 前記対応情報は、前記パケット専用処理器でフィルタリングされたパケットを遮断するかあるいはパスするかに対する判断情報を含むことを特徴とする請求項8に記載のネットワーク保安システム。
- 前記データ送受信モジュールは、前記遠隔管理システムにより定義された保安政策及び構成管理情報を受信し、これを前記構成管理モジュール及び政策管理モジュールに伝達することを特徴とする請求項1に記載のネットワーク保安システム。
- 前記パケット処理モジュールは、使用者の設定によって、前記パケット専用処理器から、処理結果として、流入したパケットに対する遮断結果情報、前記パケット専用処理器で一次的にフィルタリングされたパケット、前記パケット専用処理器に流入した全体パケット、又は全体パケットに対するそれぞれのヘッダ情報を選択的に受けることを特徴とする請求項1に記載のネットワーク保安システム。
- 前記動的攻撃フィルタ及びスケジュール遮断フィルタは、前もって定義された動的攻撃保安政策及びスケジュール遮断政策に基づき、入力されたパケット情報を累積し一定期間のトラフィック推移を分析し、前記トラフィックが異常トラフィックで、限界値を超えると判断されるとき、前記遮断政策を対応管理モジュールに伝達し、これをパケット専用処理器に伝達することを特徴とする請求項1に記載のネットワーク保安システム。
- 前記遠隔管理システムは、
前記防止システムからログ情報を受信するデータ送受信モジュールと、
前記受信したログ情報をデータベースシステムに記憶するように伝送する侵入遮断ログ管理モジュールと、
前記防止システムの構成管理情報を定義する構成管理モジュールと、
前記防止システムの遮断関連保安政策を定義する政策管理モジュールと、
前記データベースシステムに蓄積された遮断情報を用い、管理者のための統計情報及び遮断ログに対する形式化した報告書を提供する報告書管理モジュールとを含むことを特徴とする請求項3に記載のネットワーク保安システム。 - 前記政策管理モジュールは、ネットワークトラフィック静的攻撃に対するフィルタリング規則及びネットワークトラフィック動的攻撃に対するフィルタリング規則を定義する機能を行うことを特徴とする請求項13に記載のネットワーク保安システム。
- 前記遠隔管理システムは、前記遠隔管理システム及び防止システムの使用者認証情報を管理し、遠隔管理システムの印加された使用者が接近できるように使用者認証機能を行う使用者認証管理モジュールをさらに含むことを特徴とする請求項13に記載のネットワーク保安システム。
- 前記ネットワークトラフィック分析システムは、
前記防止システムから伝達されるトラフィック情報を受信し、これをデータベースシステムに記憶させるデータ送受信モジュールと、
蓄積されたトラフィック情報を用いてトラフィック分布情報を管理者に提供するサービス別トラフィック分析モジュール又はパケットサイズ別トラフィック分析モジュールと、
知られていない攻撃から生じ得る異常トラフィックを分析するための政策管理モジュールと、
前記データベースシステムに蓄積されたトラフィック情報を用いて、管理者のための統計情報及び異常トラフィック関連情報に対する形式化した報告書を提供する報告書管理モジュールとを含むことを特徴とする請求項4に記載のネットワーク保安システム。 - 前記政策管理モジュールは、正常トラフィックと区分できる異常トラフィックの基準を定立して政策化し、これを分析して、異常トラフィックと分析される情報を管理者に通報する機能を行うことを特徴とする請求項16に記載のネットワーク保安システム。
- 前記防止システムから伝達されるトラフィック情報に対する実時間変化率を管理者に提供するトラフィック負荷変化率分析モジュールをさらに含むことを特徴とする請求項
16に記載のネットワーク保安システム。 - ネットワークトラフィックの静的攻撃に対するハードウェア的フィルタリングを行う段階と、
前記ハードウェア的フィルタリングにより処理された結果、及び前記ハードウェア的フィルタリングに流入したパケットにより一定時間の間に発生するパケットストリームを分析して、ネットワークトラフィックの動的攻撃に対するソフトウェア的フィルタリングを行う段階と、
前記ソフトウェア的フィルタリングにより処理された結果情報を蓄積及び分析して、侵入予防情報管理者に提供する段階とを含み、
前記ソフトウェア的フィルタリングを行う段階は、
前記ハードウェア的フィルタリングによる遮断結果情報とパケット情報を受ける段階と、
前記遮断結果情報を受けて管理者警報機能を行い、前記パケット情報を受けて動的攻撃フィルタリングを行う段階と、
前記動的攻撃フィルタリングの結果を遠隔管理システムに伝送する段階とを含み、
前記動的攻撃フィルタリングは、前もって定義された動的攻撃保安政策及びスケジュール遮断政策に基づき、入力されたパケット情報を累積し、一定時間の間のトラフィック推移を分析し、前記トラフィックが異常トラフィックで限界値を超えると判断されるとき、前記遮断政策を対応管理モジュールに伝達し、これをパケット専用処理器に伝達することであることを特徴とするネットワーク保安システムの動作方法。 - 前記静的保安政策及び動的攻撃に対する設定、遮断ログのデータ管理、及びそのほかの保安管理を含む情報をオンライン上で伝送する段階をさらに含むことを特徴とする請求項19に記載のネットワーク保安システムの動作方法。
- 前記ハードウェア的フィルタリングを行う段階は、
ネットワーク及びゲートウェイからパケットを入力する段階と、
前記パケット内部のヘッダ情報、コンテンツ情報を設定された保安政策により実時間で分析する段階と、
前記保安政策に違背するパケットを実時間で検索及び遮断して、パケットの形態及び長さにかかわらず、パケットを処理する段階とを含むことを特徴とする請求項19に記載のネットワーク保安システムの動作方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020040009684A KR100609170B1 (ko) | 2004-02-13 | 2004-02-13 | 네트워크 보안 시스템 및 그 동작 방법 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005229573A JP2005229573A (ja) | 2005-08-25 |
| JP3968724B2 true JP3968724B2 (ja) | 2007-08-29 |
Family
ID=34836742
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004323784A Active JP3968724B2 (ja) | 2004-02-13 | 2004-11-08 | ネットワーク保安システム及びその動作方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20050182950A1 (ja) |
| JP (1) | JP3968724B2 (ja) |
| KR (1) | KR100609170B1 (ja) |
| CN (1) | CN100463409C (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102260822B1 (ko) * | 2020-10-22 | 2021-06-07 | (주)테이텀 | 클라우드 보안규정 준수여부 진단 및 관리 장치 |
Families Citing this family (62)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8590011B1 (en) * | 2005-02-24 | 2013-11-19 | Versata Development Group, Inc. | Variable domain resource data security for data processing systems |
| US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
| US8255996B2 (en) | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
| KR101252812B1 (ko) * | 2006-04-25 | 2013-04-12 | 주식회사 엘지씨엔에스 | 네트워크 보안 장치 및 그를 이용한 패킷 데이터 처리방법 |
| US8009566B2 (en) * | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| KR100796814B1 (ko) * | 2006-08-10 | 2008-01-31 | 모젠소프트 (주) | 피씨아이형 보안 인터페이스 카드 및 보안관리 시스템 |
| KR101206542B1 (ko) * | 2006-12-18 | 2012-11-30 | 주식회사 엘지씨엔에스 | 하드웨어 기반의 동적공격 탐지 및 차단을 지원하는네트워크 보안 장치 및 방법 |
| US8220049B2 (en) * | 2006-12-28 | 2012-07-10 | Intel Corporation | Hardware-based detection and containment of an infected host computing device |
| US8505092B2 (en) | 2007-01-05 | 2013-08-06 | Trend Micro Incorporated | Dynamic provisioning of protection software in a host intrusion prevention system |
| US7930747B2 (en) * | 2007-01-08 | 2011-04-19 | Trend Micro Incorporated | Host intrusion prevention server |
| KR101367652B1 (ko) * | 2007-03-12 | 2014-02-27 | 주식회사 엘지씨엔에스 | 정적 정책정보를 이용한 침입방지 장치 및 방법 |
| KR100864889B1 (ko) * | 2007-03-13 | 2008-10-22 | 삼성전자주식회사 | Tcp 상태 기반 패킷 필터 장치 및 그 방법 |
| US7853998B2 (en) * | 2007-03-22 | 2010-12-14 | Mocana Corporation | Firewall propagation |
| US8042171B1 (en) | 2007-03-27 | 2011-10-18 | Amazon Technologies, Inc. | Providing continuing service for a third-party network site during adverse network conditions |
| US20080239988A1 (en) * | 2007-03-29 | 2008-10-02 | Henry Ptasinski | Method and System For Network Infrastructure Offload Traffic Filtering |
| US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| US7996896B2 (en) | 2007-10-19 | 2011-08-09 | Trend Micro Incorporated | System for regulating host security configuration |
| KR100849888B1 (ko) * | 2007-11-22 | 2008-08-04 | 한국정보보호진흥원 | 공격 멀티미디어 패킷 차단 장치, 시스템 및 방법 |
| CN101981891B (zh) * | 2008-03-31 | 2014-09-03 | 法国电信公司 | 能够通过各种通信服务进行通信的装置的防卫通信模式 |
| KR100860607B1 (ko) * | 2008-04-21 | 2008-09-29 | 주식회사 모보 | 네트워크 통합보안 스위치장치 및 방법 |
| KR101033510B1 (ko) * | 2008-11-17 | 2011-05-09 | (주)소만사 | 메신저 정보유출 제어방법 및 그를 이용한 네트워크 콘텐츠보안시스템 |
| KR101017015B1 (ko) * | 2008-11-17 | 2011-02-23 | (주)소만사 | 네트워크 기반 고성능 콘텐츠 보안 시스템 및 방법 |
| JP5309924B2 (ja) * | 2008-11-27 | 2013-10-09 | 富士通株式会社 | パケット処理装置、ネットワーク機器、及びパケット処理方法 |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| KR101196366B1 (ko) * | 2009-01-20 | 2012-11-01 | 주식회사 엔피코어 | 서버보안을 위한 랜카드 시스템 |
| TW201029396A (en) * | 2009-01-21 | 2010-08-01 | Univ Nat Taiwan | Packet processing device and method |
| US8018943B1 (en) * | 2009-07-31 | 2011-09-13 | Anue Systems, Inc. | Automatic filter overlap processing and related systems and methods |
| US8098677B1 (en) * | 2009-07-31 | 2012-01-17 | Anue Systems, Inc. | Superset packet forwarding for overlapping filters and related systems and methods |
| US8934495B1 (en) | 2009-07-31 | 2015-01-13 | Anue Systems, Inc. | Filtering path view graphical user interfaces and related systems and methods |
| US8554141B2 (en) * | 2010-06-24 | 2013-10-08 | Broadcom Corporation | Method and system for multi-stage device filtering in a bluetooth low energy device |
| CA2712542C (en) * | 2010-08-25 | 2012-09-11 | Ibm Canada Limited - Ibm Canada Limitee | Two-tier deep analysis of html traffic |
| US9363278B2 (en) * | 2011-05-11 | 2016-06-07 | At&T Mobility Ii Llc | Dynamic and selective response to cyber attack for telecommunications carrier networks |
| US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| KR20130018607A (ko) * | 2011-08-08 | 2013-02-25 | 삼성에스디에스 주식회사 | 안티멀웨어 엔진을 구비한 단말장치 및 이를 이용한 안티멀웨어 스캔닝 방법 |
| US10620241B2 (en) * | 2012-02-17 | 2020-04-14 | Perspecta Labs Inc. | Method and system for packet acquisition, analysis and intrusion detection in field area networks |
| JP6277137B2 (ja) | 2012-02-17 | 2018-02-07 | ヴェンコア ラブズ、インク.Vencore Labs, Inc. | フィールド・エリア・ネットワークにおけるパケット取得、解析及び侵入検出の方法及びシステム |
| BR112015002323A2 (pt) * | 2012-07-31 | 2017-07-04 | Hewlett Packard Development Co | sistema de processamento de tráfego de rede |
| US8943587B2 (en) * | 2012-09-13 | 2015-01-27 | Symantec Corporation | Systems and methods for performing selective deep packet inspection |
| US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
| US9124552B2 (en) * | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| TW201505411A (zh) | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
| TWI515600B (zh) * | 2013-10-25 | 2016-01-01 | 緯創資通股份有限公司 | 惡意程式防護方法與系統及其過濾表格更新方法 |
| US9467385B2 (en) | 2014-05-29 | 2016-10-11 | Anue Systems, Inc. | Cloud-based network tool optimizers for server cloud networks |
| US9781044B2 (en) | 2014-07-16 | 2017-10-03 | Anue Systems, Inc. | Automated discovery and forwarding of relevant network traffic with respect to newly connected network tools for network tool optimizers |
| US9794274B2 (en) | 2014-09-08 | 2017-10-17 | Mitsubishi Electric Corporation | Information processing apparatus, information processing method, and computer readable medium |
| US10050847B2 (en) | 2014-09-30 | 2018-08-14 | Keysight Technologies Singapore (Holdings) Pte Ltd | Selective scanning of network packet traffic using cloud-based virtual machine tool platforms |
| US11363035B2 (en) | 2015-05-22 | 2022-06-14 | Fisher-Rosemount Systems, Inc. | Configurable robustness agent in a plant security system |
| US9992134B2 (en) | 2015-05-27 | 2018-06-05 | Keysight Technologies Singapore (Holdings) Pte Ltd | Systems and methods to forward packets not passed by criteria-based filters in packet forwarding systems |
| US9699205B2 (en) | 2015-08-31 | 2017-07-04 | Splunk Inc. | Network security system |
| US10652112B2 (en) | 2015-10-02 | 2020-05-12 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Network traffic pre-classification within VM platforms in virtual processing environments |
| US10116528B2 (en) | 2015-10-02 | 2018-10-30 | Keysight Technologies Singapore (Holdings) Ptd Ltd | Direct network traffic monitoring within VM platforms in virtual processing environments |
| US10142212B2 (en) | 2015-10-26 | 2018-11-27 | Keysight Technologies Singapore (Holdings) Pte Ltd | On demand packet traffic monitoring for network packet communications within virtual processing environments |
| US11777963B2 (en) * | 2017-02-24 | 2023-10-03 | LogRhythm Inc. | Analytics for processing information system data |
| DE102017214624A1 (de) | 2017-08-22 | 2019-02-28 | Audi Ag | Verfahren zum Filtern von über eine Kommunikationsverbindung eingehenden Kommunikationsdaten in einer Datenverarbeitungseinrichtung, Datenverarbeitungseinrichtung und Kraftfahrzeug |
| US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
| US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
| KR102174462B1 (ko) * | 2018-05-15 | 2020-11-05 | 엑사비스 주식회사 | 네트워크 보안 방법 및 이를 수행하는 시스템 |
| US10897480B2 (en) * | 2018-07-27 | 2021-01-19 | The Boeing Company | Machine learning data filtering in a cross-domain environment |
| DE102019210224A1 (de) * | 2019-07-10 | 2021-01-14 | Robert Bosch Gmbh | Vorrichtung und Verfahren für Angriffserkennung in einem Rechnernetzwerk |
| US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6990591B1 (en) * | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
| US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
| JP2002073433A (ja) * | 2000-08-28 | 2002-03-12 | Mitsubishi Electric Corp | 侵入検知装置及び不正侵入対策管理システム及び侵入検知方法 |
| US7331061B1 (en) * | 2001-09-07 | 2008-02-12 | Secureworks, Inc. | Integrated computer security management system and method |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| CN1175621C (zh) * | 2002-03-29 | 2004-11-10 | 华为技术有限公司 | 一种检测并监控恶意用户主机攻击的方法 |
| CN1160899C (zh) * | 2002-06-11 | 2004-08-04 | 华中科技大学 | 分布式网络动态安全保护系统 |
| US7278162B2 (en) * | 2003-04-01 | 2007-10-02 | International Business Machines Corporation | Use of a programmable network processor to observe a flow of packets |
-
2004
- 2004-02-13 KR KR1020040009684A patent/KR100609170B1/ko active IP Right Grant
- 2004-10-13 US US10/962,560 patent/US20050182950A1/en not_active Abandoned
- 2004-11-08 JP JP2004323784A patent/JP3968724B2/ja active Active
-
2005
- 2005-01-21 CN CNB2005100047653A patent/CN100463409C/zh active Active
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR102260822B1 (ko) * | 2020-10-22 | 2021-06-07 | (주)테이텀 | 클라우드 보안규정 준수여부 진단 및 관리 장치 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2005229573A (ja) | 2005-08-25 |
| KR100609170B1 (ko) | 2006-08-02 |
| CN100463409C (zh) | 2009-02-18 |
| CN1655518A (zh) | 2005-08-17 |
| US20050182950A1 (en) | 2005-08-18 |
| KR20050081439A (ko) | 2005-08-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3968724B2 (ja) | ネットワーク保安システム及びその動作方法 | |
| KR101814368B1 (ko) | 빅데이터 및 인공지능을 이용한 정보 보안 네트워크 통합 관리 시스템 및 그 방법 | |
| US7493659B1 (en) | Network intrusion detection and analysis system and method | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| EP1873992B1 (en) | Packet classification in a network security device | |
| US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
| US8826437B2 (en) | Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network | |
| Mukhopadhyay et al. | A comparative study of related technologies of intrusion detection & prevention systems | |
| CN110572412A (zh) | 云环境下基于入侵检测系统反馈的防火墙及其实现方法 | |
| US20230179617A1 (en) | Leveraging user-behavior analytics for improved security event classification | |
| US20090178140A1 (en) | Network intrusion detection system | |
| CN105516189B (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| US7836503B2 (en) | Node, method and computer readable medium for optimizing performance of signature rule matching in a network | |
| US20030084344A1 (en) | Method and computer readable medium for suppressing execution of signature file directives during a network exploit | |
| KR20220081145A (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
| CN112671800B (zh) | 一种威胁量化企业风险值的方法 | |
| KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
| CN101453363A (zh) | 网络入侵检测系统 | |
| Singh | Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis | |
| JP2006330926A (ja) | ウィルス感染検知装置 | |
| CN106657087B (zh) | 一种实现Ethernet/Ip协议动态跟踪的工业防火墙的方法 | |
| KR100728446B1 (ko) | 하드웨어 기반의 침입방지장치, 시스템 및 방법 | |
| WO2019118425A1 (en) | Secure transmission module | |
| Kaskar et al. | A system for detection of distributed denial of service (DDoS) attacks using KDD cup data set |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060419 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20060718 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20060721 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20061108 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070207 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070213 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070330 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070425 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070524 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 Ref document number: 3968724 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100615 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100615 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100615 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110615 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120615 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130615 Year of fee payment: 6 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |