JP4490994B2 - ネットワークセキュリティデバイスにおけるパケット分類 - Google Patents
ネットワークセキュリティデバイスにおけるパケット分類 Download PDFInfo
- Publication number
- JP4490994B2 JP4490994B2 JP2007168277A JP2007168277A JP4490994B2 JP 4490994 B2 JP4490994 B2 JP 4490994B2 JP 2007168277 A JP2007168277 A JP 2007168277A JP 2007168277 A JP2007168277 A JP 2007168277A JP 4490994 B2 JP4490994 B2 JP 4490994B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- content
- data
- data packet
- classification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000012545 processing Methods 0.000 claims description 75
- 238000000034 method Methods 0.000 claims description 52
- 238000000605 extraction Methods 0.000 claims description 35
- 230000000903 blocking effect Effects 0.000 claims description 6
- 238000011156 evaluation Methods 0.000 claims description 2
- 238000004590 computer program Methods 0.000 description 9
- 238000004891 communication Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012546 transfer Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000006399 behavior Effects 0.000 description 3
- 230000014509 gene expression Effects 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000001066 destructive effect Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000013519 translation Methods 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 239000000969 carrier Substances 0.000 description 1
- 230000006870 function Effects 0.000 description 1
- 230000000116 mitigating effect Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000644 propagated effect Effects 0.000 description 1
- 239000004065 semiconductor Substances 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本発明は、コンピュータネットワークセキュリティを制御するための方法および装置に関する。
パケットフィルタは、ネットワーク層におけるデータ上で動作し得、信頼できないネットワークによるアタックから信頼できるネットワークを守る。パケットフィルタは、ネットワーク層において動作し得、プロトコルタイプ、発信元およびあて先のIPアドレス、発信元およびあて先のポート番号を含むTCP/IPヘッダ(すなわち、5組の分類)のフィールドを検査する。パケットフィルタの不利は、複雑なセキュリティポリシーを有する大きなネットワークにおける、低いレベルのセキュリティと不十分な管理とを含む。パケットフィルタの単体は、頑強な保護を提供し得ない。なぜならば、パケットフィルタは、所与の通信のコンテキストに気付かないからである。すなわち、パケットを分類するときには、パケットフィルタは、所与のパケットまたは一連のパケットが形成するメッセージ内に含まれる情報に関係しない。さらに、パケットフィルタは、アプリケーション層において、データを検査しないので、パケットフィルタは、アプリケーション層を用いて試みられるセキュリティ侵入に対して脆弱である。
ファイアウォールおよび侵入検知システムは、認証されていない、悪意のある(malicious)、または破壊的なユーザからコンピュータネットワークを保護するために使用されるデバイスである。ファイアウォールは、ローカルエリアネットワークの外側のユーザからローカルエリアネットワークを守るために、使用され得る。ファイアウォールは、ローカルエリアネットワークの外側のユーザに送信される、または該ユーザから送信されるメッセージをチェックし、ルートし、メッセージにラベルを付け得る。侵入検出システム(IDS)は、ネットワークと通信される情報を調べ、疑わしい挙動パターンを認識するために、使用され得る。IDSによって取得された情報は、認証されていないユーザまたは破壊的なユーザが、ネットワークにアクセスすることをブロックするために、使用され得る。侵入防止システム(IPS)は、IDSのインライン(in−line)バージョンである。IPSは、情報がネットワーク内で通信されるときに、情報を調べ、疑わしい挙動パターンを認識するために使用され得る。IPSを含む従来のネットワークトポロジーが、図1aに示される。ネットワーク10は、1つ以上のエンドユーザワークステーション14と結合するローカルエリアネットワーク12を含む。ローカルエリアネットワーク12は、インターネットのようなワイドエリアネットワーク16と結合される。ローカルエリアネットワーク12とワイドエリアネットワーク16との間に、IPS18が結合され得る。
従来のIPSは、図1bに示されるアーキテクチャを有し得、一連の機能エレメントを含み得る。パケットを通過させる、またはそうでない場合には処理する(例えば、ドロップされる)という決定がなされるまで、パケットは分類ブロックにおいて受信され、ブロックのシーケンスを介して一列に処理される。従来のIPS18は、分類ブロック60と、プロトコルデコードブロック62と、オブジェクト抽出ブロック64と、セキュリティブロック66とを含む。
分類ブロック60は、パケットが到着するときに、パケットを、所与のパケット内に含まれるヘッダ情報に基づいて分類するために使用される。典型的には、プロトコルタイプと、送信元およびあて先のIPアドレスと、送信元およびあて先のポート番号とを使用して、パケットフィルタと類似の方法で、分類ブロック60が、パケットを分類する。所与のパケットに関連する分類データは、素早く、評価され得、ルールセットの1つ以上のルールにマッチされ得る。分類ブロック60は、分類データに基づいてインデックスされ、所与のパケットを処理するためのマッチングルールを含む分類データ構造を含み得る。分類に基づいて、所与のパケットのさらなる処理は、結果として、パケットを通過させることまたはドロップすることを包含し得る。さらなる処理は同様に、IPSの他のブロックにおけるさらなる処理を包含し得る。ルールは、IPSの1つ以上の後半のブロック(例えば、セキュリティブロック66)における特別な処理のための指示子を含み得る。
プロトコルデコードブロック62は、パケット内に含まれるプロトコル情報をデコードするために使用され得る。プロトコル情報は、分類を超えたパケットに対する特別の対処を決定するために使用され得る。
オブジェクト抽出ブロック64は、特別な処理のために、パケットからオブジェクトをバッファし、構築し、抽出するために使用され得る。例えば、従来の電子メールシステムにおいてファイルに添付されるオブジェクト(例えば、zipメッセージ、実行可能ファイル(.exeファイル)など)は、特別な処理のために抽出され得る。
セキュリティブロック66は、IPS18における最後のブロックであり、マッチングのための独自のセキュリティアルゴリズムを含む。独自のセキュリティアルゴリズムは、IPSが、パケットに対して、アプリケーション層においてアプリケーションを検出するようにマッチするために使用する署名の形態をとり得る。問題となるのは、IPS18において、この時点において、マッチが検出される場合に従来のIPS18に対する処理選択が、所与のパケットをドロップすることだけだということである。さらなるルールチェックまたは他の特別な処理は、例えば、検出されるアプリケーションに基づいて行われ得ない。
本発明は、データパケットを分類するための、およびコンピュータネットワークセキュリティをインプリメントするための方法および装置(コンピュータプログラム製品を含む)を提供する。
一局面において、方法は、データパケットを受信することと、該データパケットを調べて、該データパケットを分類することであって、ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含み、該ヘッダ情報およびコンテンツの双方に基づいて、該パケットを処理するためのフロー命令を決定することと、該フロー命令を用いて、該パケットの処理をすることとを含む。
本発明の局面は、以下の特徴の1つ以上を含み得る。データパケットを調べることは、コンテンツに基づいて、パケットを分類することを含み得る。パケットを処理することは、コンテンツベースのプロトコルコーディング、コンテンツベースのオブジェクト抽出、またはコンテンツベースのパターンマッチングを含み得る。パケットを処理することは、ログすること、格納すること、パケットの通過を許可すること、アラームを設定すること、ブロックすること、またはパケットをドロップすることからなるグループから選択され得る。
別の局面において、コンピュータネットワークにおいてデータパケットを検査する方法が提供される。1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有し得る。該方法は、該データパケットを受信することと、該データパケットを調べて、該データパケットを分類することであって、該データパケットのヘッダ部分に含まれる情報を用いて、該データパケットを分類することと、データパケットのコンテンツ部分に基づいて、データパケットを個別に分類することとを含む、ことと、該ヘッダ情報に基づいて、該データパケットを処理するためのフロー命令を決定することとを含み得る。該方法は、コンテンツ部分に基づいて、該データパケットを処理するための特別命令を決定することと、該データパケットを処理するための該フロー命令および特別処理命令の中から、選択された命令を決定することと、該選択された命令に従って、該データパケットを処理することとを、さらに含む。
本発明の局面は、以下の特徴の1つ以上を含み得る。特別処理命令は、コンテンツベースのプロトコルコーディング、コンテンツベースのオブジェクト抽出、またはコンテンツベースのパターンマッチングを実行するための命令を含み得る。
別の局面において、受信データパケットを分類するマルチモード分類エンジンを含むデバイスが提供される。マルチモード分類エンジンは、データパケットを、該データパケットと関連するヘッダデータに従って分類するヘッダ分類エンジンであって、該ヘッダ分類エンジンは、第一の分類データを生成する、ヘッダ分類エンジンと、データパケットをデータパケットのコンテンツに従って分類するコンテンツ分類エンジンであって、該コンテンツ分類エンジンは、第二の分類データを生成する、コンテンツ分類エンジンとを含む。該デバイスは、該データパケットを評価するためのセキュリティブロックであって、該評価することは、該第一および第二の分類データの一方または双方を用いて、該分類データを評価すること、さらに含む。
本発明の局面は、以下の特徴の1つ以上を含み得る。プロトコルブロックには、マルチモード分類エンジンから第二の分類のデータを受信し、受信データパケットのコンテンツベースのプロトコルデコーディングを提供するように動作するプロトコルブロックが含まれ得る。オブジェクト抽出ブロックには、マルチモード分類エンジンから第二の分類データを受信し、受信データパケットのコンテンツベースのオブジェクト抽出を提供するように動作するオブジェクト抽出ブロックが含まれる。
マルチモード分類エンジンは、データパケットと関連するセッションデータを決定するためのセッションマネージャと、第二の分類データによってインデックスされたルールと、署名マッチングエンジンと、1つ以上のパターンを含む署名マッチングエンジンによって使用された署名データベースと、をさらに含み得る。
本発明の利点は、以下の特徴の1つ以上を含み得る。開示された手法は、試みられたネットワークセキュリティの侵入を検出し、セキュリティ侵入に関連する現在のパケットを潜在的にブロックするために使用され得る。本開示された手法は、頑強かつ効果的なネットワークセキュリティを提供し得、所与のパケットに含まれるヘッダ情報だけに限定されない分類を含む。パケットの分類は、伝統的なヘッダプロセスならびに署名スキャニングの双方を含み得る。ヘッダデータまたは署名のいずれかのマッチングは、パケットデータのルールベースの処理という結果を生じ得る。さらなる情報が、パケット処理において発見される場合には、分類は追加のデータを反映するようにアップデートされ得る。
本発明の1つ以上のインプリメンテーションの詳細は、添付する図面および以下の記載に述べられる。本発明の他の特徴および利点は、記載、図面および特許請求の範囲から明らかになる。
上記目的を達成するために、本発明は、例えば、以下の手段を提供する。
(項目1)
コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含む、ステップと、
該ヘッダ情報および該コンテンツの双方に基づいて、該パケットを処理するためのフロー命令を決定するステップと、
該フロー命令を用いて、該パケットを処理するステップと
を包含する、方法。
コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含む、ステップと、
該ヘッダ情報および該コンテンツの双方に基づいて、該パケットを処理するためのフロー命令を決定するステップと、
該フロー命令を用いて、該パケットを処理するステップと
を包含する、方法。
(項目2)
上記データパケットを調べることは、上記コンテンツに基づいて、上記パケットを分類することを含む、項目1に記載の方法。
上記データパケットを調べることは、上記コンテンツに基づいて、上記パケットを分類することを含む、項目1に記載の方法。
(項目3)
上記パケットを処理することは、コンテンツベースのプロトコルデコーディングを含む、項目1に記載の方法。
上記パケットを処理することは、コンテンツベースのプロトコルデコーディングを含む、項目1に記載の方法。
(項目4)
上記パケットを処理することは、コンテンツベースのオブジェクト抽出を含む、項目1に記載の方法。
上記パケットを処理することは、コンテンツベースのオブジェクト抽出を含む、項目1に記載の方法。
(項目5)
上記パケットを処理することは、コンテンツベースのパターンマッチングを含む、項目1に記載の方法。
上記パケットを処理することは、コンテンツベースのパターンマッチングを含む、項目1に記載の方法。
(項目6)
上記パケットを処理することは、ログすること、格納すること、上記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該パケットをドロップすることからなるグループから選択される、項目1に記載の方法。
上記パケットを処理することは、ログすること、格納すること、上記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該パケットをドロップすることからなるグループから選択される、項目1に記載の方法。
(項目7)
コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
該データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該データパケットのヘッダ部分に含まれる情報を用いて、該データパケットを分類することと、該データパケットのコンテンツ部分に基づいて、該データパケットを個別に分類することとを含む、ステップと、
該ヘッダ情報に基づいて、該データパケットを処理するためのフロー命令を決定するステップと、
該コンテンツ部分に基づいて、該データパケットを処理するための特別処理命令を決定するステップと、
該データパケットを処理するための該フロー命令および特別処理命令の中から、選択された命令を決定するステップと、
該選択された命令に従って、該データパケットを処理するステップと
を包含する、方法。
コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
該データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該データパケットのヘッダ部分に含まれる情報を用いて、該データパケットを分類することと、該データパケットのコンテンツ部分に基づいて、該データパケットを個別に分類することとを含む、ステップと、
該ヘッダ情報に基づいて、該データパケットを処理するためのフロー命令を決定するステップと、
該コンテンツ部分に基づいて、該データパケットを処理するための特別処理命令を決定するステップと、
該データパケットを処理するための該フロー命令および特別処理命令の中から、選択された命令を決定するステップと、
該選択された命令に従って、該データパケットを処理するステップと
を包含する、方法。
(項目8)
上記特別処理命令は、コンテンツベースのプロトコルデコーディングを実行するための命令を含む、項目7に記載の方法。
上記特別処理命令は、コンテンツベースのプロトコルデコーディングを実行するための命令を含む、項目7に記載の方法。
(項目9)
上記特別処理命令は、コンテンツベースのオブジェクト抽出を実行するための命令を含む、項目7に記載の方法。
上記特別処理命令は、コンテンツベースのオブジェクト抽出を実行するための命令を含む、項目7に記載の方法。
(項目10)
上記特別処理命令は、コンテンツベースのパターンマッチングを実行するための命令を含む、項目7に記載の方法。
上記特別処理命令は、コンテンツベースのパターンマッチングを実行するための命令を含む、項目7に記載の方法。
(項目11)
上記パケットを処理することは、ログすること、格納すること、上記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該データパケットをドロップすることからなるグループから選択される、項目7に記載の方法。
上記パケットを処理することは、ログすること、格納すること、上記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該データパケットをドロップすることからなるグループから選択される、項目7に記載の方法。
(項目12)
デバイスであって、該デバイスは、
受信データパケットを分類するマルチモード分類エンジンであって、該マルチモード分類エンジンは、
データパケットを、該データパケットと関連するヘッダデータに従って分類するヘッダ分類エンジンであって、該ヘッダ分類エンジンは、第一の分類データを生成する、ヘッダ分類エンジンと、
データパケットを、該データパケットのコンテンツに従って分類するコンテンツ分類エンジンであって、該コンテンツ分類エンジンは、第二の分類データを生成する、コンテンツ分類エンジンと、
を備える、マルチモード分類エンジンと、
該データパケットを評価するセキュリティブロックであって、該評価することは、該第一および第二の分類データの一方または双方を用いて、該データパケットを評価することを含む、セキュリティブロックと
を備える、デバイス。
デバイスであって、該デバイスは、
受信データパケットを分類するマルチモード分類エンジンであって、該マルチモード分類エンジンは、
データパケットを、該データパケットと関連するヘッダデータに従って分類するヘッダ分類エンジンであって、該ヘッダ分類エンジンは、第一の分類データを生成する、ヘッダ分類エンジンと、
データパケットを、該データパケットのコンテンツに従って分類するコンテンツ分類エンジンであって、該コンテンツ分類エンジンは、第二の分類データを生成する、コンテンツ分類エンジンと、
を備える、マルチモード分類エンジンと、
該データパケットを評価するセキュリティブロックであって、該評価することは、該第一および第二の分類データの一方または双方を用いて、該データパケットを評価することを含む、セキュリティブロックと
を備える、デバイス。
(項目13)
上記マルチモード分類エンジンから上記第二の分類データを受信し、受信データパケットのコンテンツベースのプロトコルデコーディングを提供するように動作するプロトコルブロックをさらに備える、項目12に記載のデバイス。
上記マルチモード分類エンジンから上記第二の分類データを受信し、受信データパケットのコンテンツベースのプロトコルデコーディングを提供するように動作するプロトコルブロックをさらに備える、項目12に記載のデバイス。
(項目14)
上記マルチモード分類エンジンから上記第二の分類データを受信し、受信データパケットのコンテンツベースのオブジェクト抽出を提供するように動作するオブジェクト抽出ブロックをさらに備える、項目12に記載のデバイス。
上記マルチモード分類エンジンから上記第二の分類データを受信し、受信データパケットのコンテンツベースのオブジェクト抽出を提供するように動作するオブジェクト抽出ブロックをさらに備える、項目12に記載のデバイス。
(項目15)
上記マルチモード分類エンジンは、上記データパケットと関連するセッションデータを決定するセッションマネージャをさらに備える、項目12に記載のデバイス。
上記マルチモード分類エンジンは、上記データパケットと関連するセッションデータを決定するセッションマネージャをさらに備える、項目12に記載のデバイス。
(項目16)
上記マルチモード分類エンジンは、上記第二の分類データによって、インデックスされたルールをさらに備える、項目12に記載のデバイス。
上記マルチモード分類エンジンは、上記第二の分類データによって、インデックスされたルールをさらに備える、項目12に記載のデバイス。
(項目17)
上記コンテンツ分類エンジンは、署名マッチングエンジンを含む、項目12に記載のデバイス。
上記コンテンツ分類エンジンは、署名マッチングエンジンを含む、項目12に記載のデバイス。
(項目18)
上記マルチモード分類エンジンは、1つ以上のパターンを含む上記署名マッチングエンジンによって使用される署名データベースをさらに備える、項目17に記載のデバイス。
上記マルチモード分類エンジンは、1つ以上のパターンを含む上記署名マッチングエンジンによって使用される署名データベースをさらに備える、項目17に記載のデバイス。
(摘要)
コンピュータネットワークにおいて、データパケットを検査する方法および装置が、記載される。該ネットワークを介する1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有する。1つの方法は、データパケットを受信するステップと、該ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含む、該データパケットを調べて、該データパケットを分類するステップと、該ヘッダ情報および該コンテンツの双方に基づいて、該パケットを処理するためのフロー命令を決定するステップと、該フロー命令を用いて、該パケットを処理するステップとを含む。
コンピュータネットワークにおいて、データパケットを検査する方法および装置が、記載される。該ネットワークを介する1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有する。1つの方法は、データパケットを受信するステップと、該ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含む、該データパケットを調べて、該データパケットを分類するステップと、該ヘッダ情報および該コンテンツの双方に基づいて、該パケットを処理するためのフロー命令を決定するステップと、該フロー命令を用いて、該パケットを処理するステップとを含む。
(詳細な説明)
図2aは、ローカルエリアネットワーク(LAN)200と、サーバ202と、いくつかのワークステーション(W/S)204と、セキュリティデバイス206とを含む単純なネットワークトポロジーを示す。ネットワークトポロジーは、セキュリティデバイス206を使用するための一つのインプリメンテーションを単に代表するものである。2つ以上のネットワーク、一つまたは複数のワイドエリアネットワーク、ローカルエリアネットワーク、または分散型トポロジーを用いるかまたは用いないの両方の組み合わせを含むネットワークトポロジーを含む他のネットワークトポロジーが可能である(たとえばクライアントサーバトポロジー以外のトポロジー)。以下にさらに詳細に説明されるように、セキュリティデバイス206は、マルチモードの分類エンジン210と、受信されるパケットを処理する他の動作エレメントとを含む。
図2aは、ローカルエリアネットワーク(LAN)200と、サーバ202と、いくつかのワークステーション(W/S)204と、セキュリティデバイス206とを含む単純なネットワークトポロジーを示す。ネットワークトポロジーは、セキュリティデバイス206を使用するための一つのインプリメンテーションを単に代表するものである。2つ以上のネットワーク、一つまたは複数のワイドエリアネットワーク、ローカルエリアネットワーク、または分散型トポロジーを用いるかまたは用いないの両方の組み合わせを含むネットワークトポロジーを含む他のネットワークトポロジーが可能である(たとえばクライアントサーバトポロジー以外のトポロジー)。以下にさらに詳細に説明されるように、セキュリティデバイス206は、マルチモードの分類エンジン210と、受信されるパケットを処理する他の動作エレメントとを含む。
LANにおけるコンピュータワークステーション、サーバ、および他のデバイスは、ワイヤ、光ファイバ、および電波などの多数のデータ送信メディアを使用して、相互接続される。セキュリティデバイス206は、ネットワーク内で通信されるパケットを監視することによって、試みられたネットワークセキュリティ侵入に関連するパケットをブロックすることを容易にする。
図2bは、セキュリティデバイス206のブロック図を示す。一つのインプリメンテーションにおいて、セキュリティデバイス206は、入力パケットインターフェースと、マルチモードの分類エンジン220と、プロトコルブロック250と、オブジェクト抽出ブロック260と、セキュリティブロック270とを含む。
セキュリティデバイス206は、パケットを受信するための入力パケットインターフェース215を含む。受信されたパケットは、マルチモードの分類エンジン220によって分析されることによって、試みられたネットワークセキュリティ侵入が進行中であるかどうかの決定を補助する。マルチモードの分類エンジン220は、より多くのパケットが受信されるときにアップデートされる入力パケットを分類するための複数のモードを含む。マルチモードの分類エンジン220は、ヘッダ分類エンジン222と、署名マッチングエンジン224と、オプションとしてセッションエンジン226とを含む。
ヘッダ分類エンジン222は、受信されたパケットのヘッダ内に位置する情報を使用することによって、さらなる処理のためにパケットを分類する。分類に基づいて、関連するルールベース228における一つ以上のルールが評価され得、さらなる処理が開始され得る。さらなる処理は、実施例のセキュリティブロック270における、特殊化した(specialized)署名マッチングイン(matching in)を含み得る。
署名マッチングエンジン224は、たとえばアプリケーションレベルにおいて検出された署名に基づいて、さらなる処理のためにパケットを分類するために使用され得る。署名マッチングエンジン224は、一般的にローカルである署名データベース230を含み得るが、セキュリティデバイス206から遠隔の部分を含んで分散され得る。署名マッチングは、固定パターンマッチングと、正規(regular)表現マッチングと、特殊化したマッチングとを含み得、それらは、たとえば、複雑なアプリケーション挙動パターンまたは上記の組み合わせを検出する特殊化したソフトウェアによって実行される。署名マッチングエンジンによって検出されたマッチは、パケットの処理において使用されるべきルールベース228におけるルールを識別することを含むさらなる処理のために、受信されたパケットを分類するために使用され得る。
ルールベース228は、ポリシー情報(分類されたパケットに適用するためのファイアウォールポリシー、IPSポリシーなど)、ならびに、暗号化パラメータ、アドレス翻訳パラメータ、ブックキーピング情報、および統計などの、セキュリティデバイス206における他のモジュールによって使用される他の情報を含む。ルールベース228はまた、パケットが許可されるべきかどうかを決定するためにマルチモードの分類エンジン220によって要求される情報を含み得る。そのような情報は、たとえば接続タイムアウト、タイムビリング、および帯域幅使用に関するネットワークポリシーをインプリメントするために要求される情報を含み得る。
セッションエンジン226はまた、フローテーブル232を含む。フローテーブル232は、受信されたパケットに関連するフローに関する情報を格納するために使用される。フローテーブル232において格納されるかまたは示される一つ以上のルールが、フローに関連し得る。ルールは、所与のフローに関連するパケットをさらに処理するために使用され得る。
図2cは、フローテーブル232の構造を図示する。フローテーブル232は、現在のTCP/IPフローに関連するフロー記録を含む。TCP/IPフローは、ソースと宛先との間で一方向に情報を通信する一連のデータパケットを含む。フロー記録252は、インデックスキー255を使用してインデックスされる。インデックスキー255は、受信されたパケットに関連する適切なフロー記録を格納および検索するために使用される。一つのインプリメンテーションにおいて、インデックスキー255はハッシュキーであり得、フローテーブル232はハッシュテーブルとしてインプリメントされ得る。フローテーブル232は、受信されたパケットをさらに処理するために一つ以上のモジュールによって使用され得るようにセキュリティデバイス206に命令を格納する。フロー記録252は、フロー情報257を含み得る。フロー情報257は、ポリシー情報の形態(フローを適用するためのファイアウォールポリシー、IPSポリシーなど)、ならびに、暗号化パラメータ、アドレス翻訳パラメータ、ブックキーピング情報、および統計などの、セキュリティデバイス206における他のモジュールによって使用される他の情報であり得る。フロー情報257はまた、パケットが許可されるべきかどうかを決定するためにセッションエンジン226によって要求される情報を含み得る。そのような情報は、たとえば接続タイムアウト、タイムビリング、および帯域幅使用に関するネットワークポリシーをインプリメントするために要求される情報を含み得る。
プロトコルブロック250は、パケット内に含まれるプロトコル情報をデコードするために使用され得る。プロトコル情報は、トラフィックの各部分についてどのセキュリティ処理が必要とされるかを識別するために使用され得る。一つのインプリメンテーションにおいて、マルチモードの分類エンジン220は、プロトコルブロック250に分類情報を提供し得る。分類情報は、ブロック250におけるプロトコルデコーディングエンジンがトラフィックをどのプロトコルとしてデコードすべきかを決定するために使用され得る。プロトコルブロック250は、分類情報に基づいてコンテンツベースのプロトコルデコーディングを提供し得、これにより、検出されたコンテンツに対して一意である特殊化したプロトコルプロトコルデコーディングを提供する。
たとえば、マルチモードの分類エンジン220は、正規表現のセットをマッチングさせることに組み合わせて、ヘッダマッチングを使用することによって、2つのフローのグループを、Microsoft Instant Messenger(IM)TCP接続として分類する。次に、プロトコルデコーダは、これらの2つのフローがMicrosoft IMとしてデコードされる必要があると決定するために分類情報を使用し得、なかでも、実行可能なファイルを転送するためにMicrosoft IMが使用されている状況を決定し得る。この情報は、抽出されるべきファイルがトラフィック内のどこにあるかを決定するために、後でオブジェクト抽出ブロック260によって使用される。
さらに別の実施例は、非標準ポート上のファイル転送プロトコル(File Transfer Protocol)(FTP)接続であり得る。通常は、FTP接続はその指定されたポート(たとえばポート21)を使用する。しかし、非標準ポート(たとえば通常はハイパーテキスト転送プロトコル(Hypertext Transfer Protocol)(HTTP)のために使用されるポート80)上でFTPを実行することによって、従来のクラシファイヤ(classifier)をバイパスすることが試みられ得る。この場合には、マルチモードの分類エンジン220は、正規表現および/または固定パターン署名の組み合わせを使用して、ポート80上のFTPトラフィックを検出し、トラフィックをFTPとしてデコードするようにプロトコルブロック250に通知する。このことは、多くのなかでも、プロトコルブロック250内のプロトコルデコーダが、ファイルがトラフィック内のどこにあるかを決定することと、ファイルの存在についてオブジェクト抽出ブロック260およびセキュリティブロック270に通知することとを可能にする。
オブジェクト抽出ブロック260は、特殊処理のためにパケットからのオブジェクトをバッファし、構築し、抽出するために使用され得る。たとえば、従来の電子メールシステムにおいてファイルに添付されるオブジェクトは、特殊処理のために、あるいは、ファイル転送、インスタントメッセンジャ、またはピアトゥピアプロトコルによって転送されるファイルのために抽出され得る(たとえばzipメッセージ、実行可能ファイル(.exeファイル)など)。一つのインプリメンテーションにおいて、マルチモードの分類エンジン220は、オブジェクト抽出ブロック260に分類情報を提供し得る。分類情報は、オブジェクト抽出プロセスにおいて使用され得る。オブジェクト抽出ブロック260は、分類情報に基づいてコンテンツベースの抽出を提供し得、これにより、検出されたコンテンツに一意である特殊化した抽出を提供する。
セキュリティブロック270は、セキュリティデバイス206における最終ブロックであり、マッチングのための一意のセキュリティアルゴリズムを含む。一つのインプリメンテーションにおいて、マルチモードの分類エンジン220は、コンテンツに基づいて、パケットを、たとえば特定のアプリケーションに関連するものとして分類し得る。この分類に基づいて、セキュリティブロック270は、コンテンツ(たとえばアプリケーション)に関連するパケットに、特殊化した署名マッチング(たとえばコンテンツベースのパターンマッチング)を提供し得る。
たとえば、HTMLファイルは、一連のパケットとしてネットワーク200を介して伝送され得る。パケットは、たとえばポート80上で伝送され得る。HTMLファイルは、インスタントメッセージ(IM)を含み得る。マルチモードの分類エンジン220は、IMがパケットストリームの中に含まれていることを決定し得、セキュリティブロック270にIMに関連する署名について特にスクリーニングするように命令し得る。別の例において、MSNメッセンジャメッセージは、一連のパケットとして伝送される。メッセージはウイルスを含み得る。一連のパケットは、ポートX(たとえば3000)上で受信される第1のパケットを含み、最初はマルチモードの分類エンジン220によって未知として分類される。パケットはバッファされ得るか、または以下に説明される一つのインプリメンテーションにおいて、パケットはマルチモードの分類エンジン220におけるさらなる処理(以下に説明される)のためにコピーされ格納され得る。一連のパケットが受信された後で、マルチモードの分類エンジンは、署名マッチングエンジン224を使用して、MSNメッセージが一連のパケット関連することを検出する。マルチモードの分類エンジン220は、分類情報をセキュリティブロック270に提供し得る。セキュリティブロック270は、その後で、特殊化したパケット処理をMSNメッセージに適用することによって、たとえば、ウイルスの存在を検出する。マルチモードの分類エンジン220におけるコンテンツに基づいた分類は、一意のセキュリティアルゴリズムがセキュリティブロック270内のコンテンツに適用されることを可能にする。この実施例において、セキュリティブロック270における署名マッチは、システムの中を通過するMSNメッセージ内のウイルスを検出して却下する(disallow)ために使用され得る。しかし、ウイルスを有さない他のMSNメッセージは、通過することを許可され得る。これは、従来のIPSシステムとは対照的である。
セキュリティブロック270は、一つ以上の一意のセキュリティアルゴリズムを含み得る。一意のセキュリティアルゴリズムは、セキュリティデバイス206がパケットに対してマッチングすることによって悪意のあるまたは望ましくないコンテンツを検出するために使用する署名の形態であり得る。したがって、セキュリティデバイス206は、2つの互いに異なるポリシーを含み得、一つはマルチモードの分類エンジン220においてインプリメントされるアクセス制御のためであり、一つはセキュリティブロック270においてインプリメントされる攻撃緩和のためである。
図3は、セキュリティデバイス206の動作300を説明するフロー図である。ここで図2bおよび3を参照すると、入力パケットは、たとえばパケットインターフェース215によって受信される(ステップ302)。パケットは、最初に必要に応じて処理され得る(たとえばフラグメンテーションの解消およびヘッダの妥当性検査)。パケットは、たとえばマルチモードの分類エンジン220によって、コンテンツおよびヘッダ情報の両方に従って分類される(ステップ304)。分類に基づいて、一つ以上のコンテンツベースのプロトコルデコーディング(ステップ306)、コンテンツベースのオブジェクト抽出(ステップ308)、およびコンテンツベースのパターンマッチング(ステップ310)を含む、特殊化した処理が実行され得る。ヘッダ(たとえばセッションマネージャ226において展開されるフロー情報を含む)、コンテンツ、または特殊化した処理に関して取得された情報に基づいて、パケットが許可されるべきかどうかの決定がなされ得る(ステップ312)。さもなければ、パケットはステップ314において別のやり方で処理される。他の処理は、パケットに関する特定の情報をログすること、パケットをホールドすること、パケットを可変すること、パケットをドロップすること、またはフロー全体を禁止することを含み得る。
図4は、図3に関連して、上述のパケット分類(ステップ304)に含まれるステップおよびプロトコルデコーディング(ステップ306)と、コンテンツベースの抽出(ステップ308)と、コンテンツベースのパターンマッチング(ステップ310)とに関連する付随のステップを示す流れ図である。分類は、パケットの受信(ステップ400)および情報の抽出(ステップ405)(例えば、ヘッダにおけるフロー情報)で始まり、該情報の抽出は、パケットが、3つのパス(path)の内の1つにおいてどのように処理されるべきかを決定する(ステップ410)ために要求される。
第1のパスにおいて、パケットは前に分類されたフロー(例えば、それは既知のフローであり、マルチモードの分類エンジン220によって分類されている)と関連付けられる。分類されたフローに対して、それ以上の分類は要求されない。パケット処理は、コンテンツベースのプロトコルデコーディングを含むステップ306で(例えば、プロトコルブロック250によって)継続し得る。その後は、コンテンツベースの抽出(ステップ308)およびコンテンツベースのパターンマッチング(ステップ310)が行われ得る。
第2のパスにおいて、パケットは、既知であるが未だ分類されていないフローと関連付けられるという点で特徴付けられ、ヘッダデータまたはコンテンツに基づいてパケット(および付随のフロー)を分類する試み(ステップ415)がなされる。試みがなされた分類は、同一のフローと関連付けられた前に格納されたパケットの検索(下記のステップ425を参照)と、現在のパケットおよびこれら前のパケットの両方の評価とを含み得る。従来型のシステムのように、既知のセッションフローに対して、フローテーブルにおけるマッチングフロー記録は、検索され得、パケットを処理するための情報を含み得る。フロー情報に基づいて、受信されたパケットが許可されるべきかどうかの決定がなされ得る。分類プロセスと関連するポリシー情報(例えば、マルチモードの分類エンジン220によって用いられるポリシー情報)またはセキュリティデバイスによって生じる他の情報(例えば、プロトコル情報、オブジェクト情報またはセキュリティデバイスの他のブロックによって生じるパターンマッチ)に基づいて、決定がなされ得る。分類プロセスに戻り、パケットを分類する試みが成功する(ステップ420)と、次いでプロセスは、前に格納されたパケットと現在のパケットとをデコーダに送信(ステップ427)し、ステップ306においてデコーディングを許可する。さもなければ、パケットのコピーが、(例えば、さらなる分類ステップにおける使用のために)ローカルに格納(ステップ425)され、パケットは伝送される(ステップ429)。伝送は、パケットをシステムの外(例えばセキュリティデバイスの外)に転送することを含み得る。
第3のパスにおいて、未知のフローで特徴付けられるが(例えば、マッチングフロー記録は、ステップ405において抽出された情報を用いてもフローテーブルにおいて発見されない)、受信したパケットは、新たなセッションと関連付けられ得る(ステップ430)。新たなセッションに対して、セッションIDが割り振られる。新たなセッションは、該新たなセッションと関連付けられる受信したパケットが許可されるべきかどうかを(例えば、マルチモードの分類エンジン220と関連付けられる、抽出されたヘッダ情報およびポリシーを用いて)決定するために評価され得る(ステップ435)。許可される場合、新たなフロー記録が作成され、フローテーブルに格納され得る(ステップ440)。新たなフロー記録は、受信したパケットおよびその他任意の特定のセキュリティデバイス情報と関連付けられる、新たなセッションのためのフロー情報(例えば、TCP/IPセッション)を含む。その後は、ステップ415においてプロセスが継続しながら、新たなフローを分類する試みがなされ得る。
上記のステップ415において提供される分類に基づいて、コンテンツベースのプロトコルデコーディングと、コンテンツベースのオブジェクト抽出と、コンテンツベースのパターンマッチングとを含む特殊化された処理がなされ得る。コンテンツベースの処理に基づいて、受信したパケットを処理するために情報が識別(例えば、ポリシーなど)され得る。データパケットを許可する決定は、分類プロセスと関連付けられるポリシー情報(例えば、マルチモードの分類エンジン220によって用いられるポリシー情報)、またはセキュリティデバイスによって生じる他の情報(例えば、コンテンツベースのプロトコル情報、オブジェクト情報、またはセキュリティデバイスのその他のブロックによって生じるパターンマッチ)に基づいて行われ得る。様々なオペレータから戻ってきた結果により、パケットは、フォワードされるか、ドロップされるか、ログされるか、格納されるか、改変されるか、または処理される。
セキュリティデバイス206は、多くの異なるネットワークトポロジーにおいて用いられ得る。例えば、セキュリティデバイスは、ファイアフォールの中に一体化される。あるいは、セキュリティデバイス206は、ファイアウォールおよびルータと、直列に動作され得る。
本発明は、デジタル電子回路網、またはコンピュータハードウェア、ファームウェア、ソフトウェアにおいて、またはそれらの組み合わせによってインプリメントされ得る。本発明は、例えば機械読み取り可能ストレージデバイスまたは伝搬信号といった情報のキャリアにおいて、コンピュータプログラム製品、すなわち有形で具現化されるコンピュータプログラムとして、インプリメントされ得、例えばプログラム可能なプロセッサ、コンピュータ、または複数のコンピュータといったデータ処理装置によって実行されるか、または該データ処理装置の動作を制御する。コンピュータプログラムは、プログラミング言語の任意の形式によって書き込まれ得、該プログラム言語には、コンパイルまたは翻訳された言語を含み、任意の形式で開発され得、該形式には、スタンドアローンプログラム、あるいは、モジュール、コンポーネント、サブルーチン、またはコンピューティング環境における使用に適した他のユニットとしての形式が含まれる。コンピュータプログラムは、1つのコンピュータ上、または複数のコンピュータ上で実行されるように展開され得、1つのサイトで展開されるか、または複数のサイトを介して配信され、通信ネットワークによって相互連結され得る。
本発明の方法のステップは、1つ以上のプログラム可能なプロセッサによって行われ得、該プロセッサは、入力データを動作することと出力を生成することとによって本発明の機能を発揮するためのコンピュータプログラムを実行する。方法のステップは、専用ロジック回路網によっても行われ得、該回路網は、例えばFPGA(フィールドプログラマブルゲートアレイ)またはASIC(特定用途用集積回路)(application−specific integrated circuit)であり、本発明の装置は該回路網としてインプリメントされる。
コンピュータプログラムの実行に適したプロセッサは、例として、汎用および専用マイクロプロセッサの両方と、デジタルコンピュータの任意の種類の1つ以上の任意のプロセッサとを含む。通常、プロセッサは、命令と、リードオンリーメモリまたはランダムアクセスメモリまたはその両方からのデータとを受信する。コンピュータの重要な要素は、命令を実行するプロセッサと、命令およびデータを格納する1つ以上のメモリデバイスとである。通常、コンピュータは、例えば磁気ディスク、光磁気ディスクまたは光ディスクのようなデータを格納する1つ以上のマスストレージデバイスをも含むか、またはそれらからデータを受信したり、それらに転送したりするように動作できるように連結されている。コンピュータプログラム命令およびデータを具体化するために適した情報キャリアは、全ての形式の不揮発性メモリを含み、例として、EPROMおよびEEPROMおよびフラッシュメモリデバイスといった半導体メモリデバイスと、内蔵ハードディスクまたはリムーバブルディスクといった磁気ディスクと、光磁気ディスクと、CD−ROMおよびDVD−ROMディスクとを含む。プロセッサとメモリとは、専用ロジック回路網によって補われるか、または該回路網と一体化される。
本発明は、例えばデータサーバとしてバックエンドコンポーネントを含むか、例えばアプリケーションサーバとしてミドルウェアコンポーネントを含むか、例えばユーザーが本発明のインプリメンテーションと相互作用し得るグラフィカルユーザーインターフェースまたはウェブブラウザを有するクライアントコンピュータとしてフロントエンドコンポーネントを含むか、またはそのようなバックエンド、ミドルウェア、またはフロントエンドのコンポーネントの任意の組み合わせで、コンピューティングシステムにおいてインプリメントされ得る。システムのコンポーネントは、例えば通信ネットワークのようなデジタルデータ通信の任意の形式または媒体によって相互接続され得る。通信ネットワークの実施例は、ローカルエリアネットワーク(LAN)、および、例えばインターネットのようなワイドエリアネットワーク(「WAN」)を含む。
コンピューティングシステムは、クライアントとサーバとを含み得る。クライアントとサーバとは、一般的には互いが離れており、通常は通信ネットワークを介して相互作用する。クライアントとサーバとの関係は、それぞれのコンピュータで実行し、クライアント−サーバ間の互いの関係を有するコンピュータプログラムによって生じる。
本発明は、特定の実施形態の点から記述された。しかし、様々な改変が、本発明の真意および範囲から逸脱することなくなされ得ることを理解されたい。例えば、本発明のステップは、異なる順序で行われ得、それでも所望の結果を達成し得る。従って、他の実施形態は以下の特許請求の範囲内である。
様々な図面における同様の参照番号および記号は、同様のエレメントを示す。
図1aは、IPSを含むネットワークトポロジーのブロック図を示す。
図1bは、従来のIPSのブロック図を図示している。
図2aは、マルチモード分類IPSを含むネットワークトポロジーのブロック図を示す。
図2bは、マルチモード分類エンジンを含むネットワークセキュリティデバイスのブロック図を示す。
図2cは、フローテーブルを示す。
図3は、マルチモード分類エンジンの動作を描写するフローチャートである。
図4は、分類プロセスを描写するフローチャートである。
10 ネットワーク
12 ローカルエリアネットワーク
14、204 ワークステーション
16 インターネット
18 IPS
60 分類ブロック
62 プロトコルデコードブロック
64、260 オブジェクト抽出ブロック
66、270 セキュリティブロック
202 サーバ
206 セキュリティデバイス
215 インターフェース
210、220 マルチモード分類エンジン
222 ヘッダ分類エンジン
224 署名マッチングエンジン
226 セッションマネージャ
228 ルール
232 フローテーブル
250 プロトコルブロック
252 キー
257 フロー情報
12 ローカルエリアネットワーク
14、204 ワークステーション
16 インターネット
18 IPS
60 分類ブロック
62 プロトコルデコードブロック
64、260 オブジェクト抽出ブロック
66、270 セキュリティブロック
202 サーバ
206 セキュリティデバイス
215 インターフェース
210、220 マルチモード分類エンジン
222 ヘッダ分類エンジン
224 署名マッチングエンジン
226 セッションマネージャ
228 ルール
232 フローテーブル
250 プロトコルブロック
252 キー
257 フロー情報
Claims (18)
- コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該ヘッダおよびコンテンツに含まれる情報を用いて、該データパケットを分類することを含み、該コンテンツに基づいて該データパケットを分類することは、該パケットに関連するアプリケーションを決定することを含む、ステップと、
該ヘッダ情報および該コンテンツの両方に基づいて、該パケットを処理するためのフロー命令を決定するステップと、
分類の後に、該フロー命令を用いて、該パケットを処理するステップであって、該パケットを処理するステップは、コンテンツベースのプロトコルデコーディング、コンテンツベースのオブジェクト抽出およびコンテンツベースのパターンマッチングのうちの少なくとも1つを実行することを含む、ステップと
を包含する、方法。 - 前記データパケットを調べることは、前記コンテンツに基づいて、前記パケットを分類することを含む、請求項1に記載の方法。
- 前記パケットを処理するステップは、コンテンツベースのプロトコルデコーディング、コンテンツベースのオブジェクト抽出またはコンテンツベースのパターンマッチングのうちの1つ以上の処理結果に基づいて、最初の分類をアップデートすることと、該パケットをさらに処理するために該アップデートされた分類を用いることとを含む、請求項1に記載の方法。
- 前記パケットを処理するステップは、コンテンツベースのプロトコルデコーディング、コンテンツベースのオブジェクト抽出またはコンテンツベースのパターンマッチングのうちの少なくとも2つを含む、請求項1に記載の方法。
- 前記パケットを処理するステップは、コンテンツベースのプロトコルデコーディングと、コンテンツベースのオブジェクト抽出と、コンテンツベースのパターンマッチングとを含む、請求項1に記載の方法。
- 前記パケットを処理するステップは、ログすること、格納すること、前記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該パケットをドロップすることのうちの少なくとも1つを含む、請求項1に記載の方法。
- コンピュータネットワークにおいて、データパケットを検査する方法であって、1つ以上のデータパケットは、関連するヘッダデータおよびコンテンツを有しており、該方法は、
該データパケットを受信するステップと、
該データパケットを調べて、該データパケットを分類するステップであって、該データパケットのヘッダ部分に含まれる情報を用いて、該データパケットを分類することと、該データパケットのコンテンツ部分に基づいて、該データパケットを別々に分類することとを含み、該コンテンツ部分に基づいて該データパケットを別々に分類することは、該パケットに関連するアプリケーションを決定することを含む、ステップと、
該ヘッダ情報に基づいて、該データパケットを処理するためのフロー命令を決定するステップと、
該アプリケーションに基づくことを含む、該コンテンツ部分に基づいて、該データパケットを処理するための特別処理命令を決定するステップと、
該データパケットを処理するための該フロー命令および特別処理命令の中から、選択された命令を決定するステップと、
分類の後に、該選択された命令に従って、該データパケットを処理するステップであって、該パケットを処理するステップは、コンテンツベースのプロトコルデコーディング、コンテンツベースのオブジェクト抽出およびコンテンツベースのパターンマッチングのうちの少なくとも1つを実行することを含む、ステップと
を包含する、方法。 - 前記特別処理命令は、前記アプリケーションに基づいて、コンテンツベースのプロトコルデコーディングを実行するための命令を含む、請求項7に記載の方法。
- 前記特別処理命令は、前記アプリケーションに基づいて、コンテンツベースのオブジェクト抽出を実行するための命令を含む、請求項7に記載の方法。
- 前記特別処理命令は、前記アプリケーションに基づいて、コンテンツベースのパターンマッチングを実行するための命令を含む、請求項7に記載の方法。
- 前記パケットを処理するステップは、ログすること、格納すること、前記パケットの通過を許可すること、アラームを設定すること、ブロックすること、または該データパケットをドロップすることを含む、請求項7に記載の方法。
- デバイスであって、該デバイスは、
受信データパケットを分類するマルチモード分類エンジンであって、該マルチモード分類エンジンは、
データパケットを、該データパケットと関連するヘッダデータに従って分類するヘッダ分類エンジンであって、該ヘッダ分類エンジンは、第一の分類データを生成する、ヘッダ分類エンジンと、
データパケットを、該データパケットのコンテンツに従って分類するコンテンツ分類エンジンであって、該コンテンツ分類エンジンは、どのアプリケーションが該データパケットに関連するかに関するデータを含む、第二の分類データを生成する、コンテンツ分類エンジンと、
を備える、マルチモード分類エンジンと、
分類の後にコンテンツベースのパターンマッチングを実行し、該データパケットを評価するセキュリティブロックであって、該評価することは、該第一の分類データと該アプリケーションデータを含む第二の分類データとの両方を用いて、該データパケットを評価することを含む、セキュリティブロックと
を備える、デバイス。 - 前記マルチモード分類エンジンから前記第二の分類データを受信し、前記アプリケーションに基づいて、受信データパケットのコンテンツベースのプロトコルデコーディングを提供するように動作するプロトコルブロックをさらに備える、請求項12に記載のデバイス。
- 前記マルチモード分類エンジンから前記第二の分類データを受信し、前記アプリケーションに基づいて、受信データパケットのコンテンツベースのオブジェクト抽出を提供するように動作するオブジェクト抽出ブロックをさらに備える、請求項12に記載のデバイス。
- 前記マルチモード分類エンジンは、前記データパケットと関連するセッションデータを決定するセッションマネージャをさらに備える、請求項12に記載のデバイス。
- 前記マルチモード分類エンジンは、前記第二の分類データによって、インデックスされ、かつ前記アプリケーションに基づいたルールをさらに備える、請求項12に記載のデバイス。
- 前記コンテンツ分類エンジンは、署名マッチングエンジンを含む、請求項12に記載のデバイス。
- 前記マルチモード分類エンジンは、1つ以上のパターンを含む前記署名マッチングエンジンによって使用される署名データベースをさらに備える、請求項17に記載のデバイス。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/475,393 US8009566B2 (en) | 2006-06-26 | 2006-06-26 | Packet classification in a network security device |
Publications (3)
| Publication Number | Publication Date |
|---|---|
| JP2008011537A JP2008011537A (ja) | 2008-01-17 |
| JP2008011537A5 JP2008011537A5 (ja) | 2009-07-02 |
| JP4490994B2 true JP4490994B2 (ja) | 2010-06-30 |
Family
ID=38460597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007168277A Active JP4490994B2 (ja) | 2006-06-26 | 2007-06-26 | ネットワークセキュリティデバイスにおけるパケット分類 |
Country Status (4)
| Country | Link |
|---|---|
| US (3) | US8009566B2 (ja) |
| EP (1) | EP1873992B1 (ja) |
| JP (1) | JP4490994B2 (ja) |
| WO (1) | WO2008002930A2 (ja) |
Families Citing this family (90)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7490162B1 (en) | 2002-05-15 | 2009-02-10 | F5 Networks, Inc. | Method and system for forwarding messages received at a traffic manager |
| US7774484B1 (en) | 2002-12-19 | 2010-08-10 | F5 Networks, Inc. | Method and system for managing network traffic |
| US7409460B1 (en) | 2003-05-12 | 2008-08-05 | F5 Networks, Inc. | Method and apparatus for managing network traffic |
| US9614772B1 (en) | 2003-10-20 | 2017-04-04 | F5 Networks, Inc. | System and method for directing network traffic in tunneling applications |
| US8331234B1 (en) | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
| US8418233B1 (en) | 2005-07-29 | 2013-04-09 | F5 Networks, Inc. | Rule based extensible authentication |
| US7945678B1 (en) | 2005-08-05 | 2011-05-17 | F5 Networks, Inc. | Link load balancer that controls a path for a client to connect to a resource |
| US8533308B1 (en) | 2005-08-12 | 2013-09-10 | F5 Networks, Inc. | Network traffic management through protocol-configurable transaction processing |
| US8565088B1 (en) | 2006-02-01 | 2013-10-22 | F5 Networks, Inc. | Selectively enabling packet concatenation based on a transaction boundary |
| US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| US8572219B1 (en) | 2006-03-02 | 2013-10-29 | F5 Networks, Inc. | Selective tunneling based on a client configuration and request |
| US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8566452B1 (en) | 2006-08-03 | 2013-10-22 | F5 Networks, Inc. | Intelligent HTTP based load-balancing, persistence, and application traffic management of SSL VPN tunnels |
| US8065729B2 (en) * | 2006-12-01 | 2011-11-22 | Electronics And Telecommunications Research Institute | Method and apparatus for generating network attack signature |
| US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US9106606B1 (en) | 2007-02-05 | 2015-08-11 | F5 Networks, Inc. | Method, intermediate device and computer program code for maintaining persistency |
| US8955122B2 (en) | 2007-04-04 | 2015-02-10 | Sri International | Method and apparatus for detecting malware infection |
| US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| KR100895102B1 (ko) * | 2007-05-21 | 2009-04-28 | 한국전자통신연구원 | 파일 탐색 시스템 및 방법 |
| US8006303B1 (en) | 2007-06-07 | 2011-08-23 | International Business Machines Corporation | System, method and program product for intrusion protection of a network |
| US8189476B1 (en) | 2007-08-20 | 2012-05-29 | F5 Networks, Inc. | Dynamic trunk distribution on egress |
| US8089961B2 (en) * | 2007-12-07 | 2012-01-03 | University Of Florida Research Foundation, Inc. | Low power ternary content-addressable memory (TCAMs) for very large forwarding tables |
| EP2304915A1 (en) * | 2008-04-29 | 2011-04-06 | Telefonaktiebolaget LM Ericsson (publ) | Improved intrusion detection and notification |
| US9832069B1 (en) | 2008-05-30 | 2017-11-28 | F5 Networks, Inc. | Persistence based on server response in an IP multimedia subsystem (IMS) |
| US9130846B1 (en) | 2008-08-27 | 2015-09-08 | F5 Networks, Inc. | Exposed control components for customizable load balancing and persistence |
| US8677473B2 (en) * | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
| US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
| US8769664B1 (en) * | 2009-01-30 | 2014-07-01 | Palo Alto Networks, Inc. | Security processing in active security devices |
| US8301786B2 (en) * | 2010-02-10 | 2012-10-30 | Cisco Technology, Inc. | Application session control using packet inspection |
| US8537831B2 (en) * | 2010-02-17 | 2013-09-17 | Alcatel Lucent | Method and system for common group action filtering in telecom network environments |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| CN102571533A (zh) * | 2010-12-10 | 2012-07-11 | 财团法人资讯工业策进会 | 网络装置及其网络封包处理方法 |
| TWI434559B (zh) * | 2010-12-10 | 2014-04-11 | Inst Information Industry | 網路裝置、網路封包處理方法及其電腦可讀取記錄媒體 |
| IL210900A (en) | 2011-01-27 | 2015-08-31 | Verint Systems Ltd | System and method for efficient classification and processing of network traffic |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| JP5389855B2 (ja) * | 2011-04-28 | 2014-01-15 | 日本電信電話株式会社 | 解析システム、解析方法および解析プログラム |
| US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US9319459B2 (en) * | 2011-09-19 | 2016-04-19 | Cisco Technology, Inc. | Services controlled session based flow interceptor |
| US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US8739272B1 (en) * | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US9215208B2 (en) * | 2012-08-17 | 2015-12-15 | The Keyw Corporation | Network attack offensive appliance |
| US9137205B2 (en) * | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9635033B2 (en) | 2012-11-14 | 2017-04-25 | University Of Virginia Patent Foundation | Methods, systems and computer readable media for detecting command injection attacks |
| US9436838B2 (en) | 2012-12-20 | 2016-09-06 | Intel Corporation | Secure local web application data manager |
| JP6188093B2 (ja) * | 2012-12-26 | 2017-08-30 | リアルテック シンガポール プライベート リミテッド | 通信トラフィック処理アーキテクチャおよび方法 |
| US10057387B2 (en) | 2012-12-26 | 2018-08-21 | Realtek Singapore Pte Ltd | Communication traffic processing architectures and methods |
| US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| KR20140105343A (ko) * | 2013-02-22 | 2014-09-01 | 삼성전자주식회사 | 디바이스 및 디바이스에서 복수의 모드를 이용한 데이터의 보안 방법 |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| US9461967B2 (en) * | 2013-07-18 | 2016-10-04 | Palo Alto Networks, Inc. | Packet classification for network routing |
| EP3061030A4 (en) | 2013-10-24 | 2017-04-19 | McAfee, Inc. | Agent assisted malicious application blocking in a network environment |
| JP2015095785A (ja) | 2013-11-12 | 2015-05-18 | 富士通株式会社 | パケット保存方法、パケット保存プログラム及びパケット保存装置 |
| CN104954345B (zh) * | 2014-03-31 | 2018-07-31 | 北京奇安信科技有限公司 | 基于对象分析的攻击识别方法及装置 |
| CN104954346B (zh) * | 2014-03-31 | 2018-12-18 | 北京奇安信科技有限公司 | 基于对象分析的攻击识别方法及装置 |
| JP5925287B1 (ja) * | 2014-12-26 | 2016-05-25 | 株式会社Pfu | 情報処理装置、方法およびプログラム |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| US9866576B2 (en) | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| CN108076017B (zh) * | 2016-11-16 | 2021-09-17 | 腾讯科技(深圳)有限公司 | 一种数据包的协议解析方法及装置 |
| IL251683B (en) | 2017-04-09 | 2019-08-29 | Yoseph Koren | A system and method for dynamic management of private data |
| US10599856B2 (en) * | 2017-06-07 | 2020-03-24 | International Business Machines Corporation | Network security for data storage systems |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10958668B1 (en) | 2017-12-21 | 2021-03-23 | Palo Alto Networks, Inc. | Finding malicious domains with DNS query pattern analysis |
| US11190487B2 (en) * | 2018-02-28 | 2021-11-30 | Palo Alto Networks, Inc. | Identifying security risks and enforcing policies on encrypted/encoded network communications |
| RU2679227C1 (ru) * | 2018-04-05 | 2019-02-06 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Способ работы межсетевого экрана |
| US11146577B2 (en) * | 2018-05-25 | 2021-10-12 | Oracle International Corporation | Methods, systems, and computer readable media for detecting and mitigating effects of abnormal behavior of a machine type communication (MTC) device |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| CN109302421B (zh) * | 2018-11-23 | 2021-05-18 | 国网浙江省电力有限公司电力科学研究院 | 应用系统安全防护策略优化方法及装置 |
| TWI731287B (zh) * | 2018-12-22 | 2021-06-21 | 威聯通科技股份有限公司 | 網路應用程式產品及處理應用層協定的方法 |
| WO2020242474A1 (en) * | 2019-05-30 | 2020-12-03 | Hewlett Packard Enterprise Development Lp | Routing nvme-over-fabric packets |
| US11777804B2 (en) | 2019-06-11 | 2023-10-03 | Hewlett Packard Enterprise Development Lp | Automatic system provisioning for NVME-over-fabric storage |
| CN113994321A (zh) | 2019-06-25 | 2022-01-28 | 慧与发展有限责任合伙企业 | 使用虚拟输出队列映射结构上nvme分组 |
| CN111031056B (zh) * | 2019-12-20 | 2021-10-12 | 紫光云(南京)数字技术有限公司 | 一种在安全组中实现安全域功能的方法 |
| CN115136562A (zh) * | 2020-02-11 | 2022-09-30 | 哲库科技有限公司 | 硬件实现的表以及使用该表对数据包进行分类和冲突解决的方法 |
| US11381955B2 (en) | 2020-07-17 | 2022-07-05 | Oracle International Corporation | Methods, systems, and computer readable media for monitoring machine type communications (MTC) device related information |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| US11700510B2 (en) | 2021-02-12 | 2023-07-11 | Oracle International Corporation | Methods, systems, and computer readable media for short message delivery status report validation |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US11159438B1 (en) * | 2021-04-30 | 2021-10-26 | Booz Allen Hamilton Inc. | System and method for netflow aggregation of data streams |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004356983A (ja) * | 2003-05-29 | 2004-12-16 | Kddi Corp | パケット情報識別方法及びシステム |
| JP2005229573A (ja) * | 2004-02-13 | 2005-08-25 | Lg N-Sys Inc | ネットワーク保安システム及びその動作方法 |
Family Cites Families (103)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5440719A (en) * | 1992-10-27 | 1995-08-08 | Cadence Design Systems, Inc. | Method simulating data traffic on network in accordance with a client/sewer paradigm |
| US6147993A (en) | 1997-10-14 | 2000-11-14 | Cisco Technology, Inc. | Method and apparatus for implementing forwarding decision shortcuts at a network switch |
| US6728885B1 (en) | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
| US6701432B1 (en) | 1999-04-01 | 2004-03-02 | Netscreen Technologies, Inc. | Firewall including local bus |
| US7107612B1 (en) | 1999-04-01 | 2006-09-12 | Juniper Networks, Inc. | Method, apparatus and computer program product for a network firewall |
| US6553028B1 (en) | 1999-04-30 | 2003-04-22 | Cisco Technology, Inc. | Method and apparatus for multicast switching using a centralized switching engine |
| US6944774B2 (en) * | 1999-06-18 | 2005-09-13 | Zoom Telephonics, Inc. | Data flow control unit |
| US7436830B2 (en) * | 2000-04-03 | 2008-10-14 | P-Cube Ltd. | Method and apparatus for wire-speed application layer classification of upstream and downstream data packets |
| JP2004531780A (ja) | 2000-06-22 | 2004-10-14 | マイクロソフト コーポレーション | 分散型コンピューティングサービスプラットフォーム |
| US7716367B1 (en) | 2000-07-20 | 2010-05-11 | Akamai Technologies, Inc. | Network performance monitoring in a content delivery service |
| JP3739260B2 (ja) * | 2000-08-24 | 2006-01-25 | 株式会社日立製作所 | 情報配信システムおよびゲートウェイ装置 |
| US7089294B1 (en) * | 2000-08-24 | 2006-08-08 | International Business Machines Corporation | Methods, systems and computer program products for server based type of service classification of a communication request |
| CN1751473A (zh) | 2000-09-01 | 2006-03-22 | Tut系统公司 | 用于实现基于策略的网络业务管理的方法和系统 |
| US6912592B2 (en) | 2001-01-05 | 2005-06-28 | Extreme Networks, Inc. | Method and system of aggregate multiple VLANs in a metropolitan area network |
| US7093280B2 (en) | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
| CN1147795C (zh) | 2001-04-29 | 2004-04-28 | 北京瑞星科技股份有限公司 | 检测和清除已知及未知计算机病毒的方法、系统 |
| US7657419B2 (en) | 2001-06-19 | 2010-02-02 | International Business Machines Corporation | Analytical virtual machine |
| US7747943B2 (en) | 2001-09-07 | 2010-06-29 | Microsoft Corporation | Robust anchoring of annotations to content |
| US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
| US7123581B2 (en) | 2001-10-09 | 2006-10-17 | Tellabs Operations, Inc. | Method and apparatus to switch data flows using parallel switch fabrics |
| DE60222581T2 (de) | 2001-11-30 | 2008-06-19 | British Telecommunications Public Ltd. Co. | Datenübertragung |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| JP4088082B2 (ja) | 2002-02-15 | 2008-05-21 | 株式会社東芝 | 未知コンピュータウイルスの感染を防止する装置およびプログラム |
| US7177311B1 (en) | 2002-06-04 | 2007-02-13 | Fortinet, Inc. | System and method for routing traffic through a virtual router-based network switch |
| US7376125B1 (en) | 2002-06-04 | 2008-05-20 | Fortinet, Inc. | Service processing switch |
| US7519990B1 (en) | 2002-07-19 | 2009-04-14 | Fortinet, Inc. | Managing network traffic flow |
| US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US20060098649A1 (en) * | 2004-11-10 | 2006-05-11 | Trusted Network Technologies, Inc. | System, apparatuses, methods, and computer-readable media for determining security realm identity before permitting network connection |
| GB0227614D0 (en) | 2002-11-27 | 2002-12-31 | 3Com Corp | Packet-switched network and network switches having a network layer forwarding by data link switching |
| US20050216770A1 (en) | 2003-01-24 | 2005-09-29 | Mistletoe Technologies, Inc. | Intrusion detection system |
| US7155572B2 (en) * | 2003-01-27 | 2006-12-26 | Advanced Micro Devices, Inc. | Method and apparatus for injecting write data into a cache |
| US7627817B2 (en) | 2003-02-21 | 2009-12-01 | Motionpoint Corporation | Analyzing web site for translation |
| JP4581104B2 (ja) | 2003-03-28 | 2010-11-17 | 学校法人明治大学 | ネットワークセキュリティシステム |
| US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
| US7735144B2 (en) | 2003-05-16 | 2010-06-08 | Adobe Systems Incorporated | Document modification detection and prevention |
| US7272746B2 (en) * | 2003-08-29 | 2007-09-18 | Audiocodes Texas, Inc. | Redundancy scheme for network processing systems |
| US7415719B2 (en) | 2003-09-26 | 2008-08-19 | Tizor Systems, Inc. | Policy specification framework for insider intrusions |
| US20050203919A1 (en) | 2004-03-09 | 2005-09-15 | Deutsch L. P. | Method and apparatus for reordering an arbitrary order signal sequence into a streamable signal sequence |
| FR2868230B1 (fr) | 2004-03-25 | 2012-06-08 | Netasq | Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US20050257263A1 (en) * | 2004-05-13 | 2005-11-17 | International Business Machines Corporation | Andromeda strain hacker analysis system and method |
| GB2418110B (en) | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
| DE102004048167B4 (de) * | 2004-10-02 | 2007-01-04 | Siemens Ag | Verfahren zur inhaltsbezogenen Handhabung eines Datenstroms |
| US20060075093A1 (en) * | 2004-10-05 | 2006-04-06 | Enterasys Networks, Inc. | Using flow metric events to control network operation |
| WO2006046896A1 (en) * | 2004-10-29 | 2006-05-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Methods and nodes in a communication system for controlling the use of access resources |
| US7447796B2 (en) | 2004-12-17 | 2008-11-04 | International Business Machines Corporation | System, method and program product to route message packets |
| US7894432B2 (en) * | 2005-04-09 | 2011-02-22 | Audiocodes, Inc. | Apparatus and method creating virtual routing domains in an internet protocol network |
| US7606147B2 (en) | 2005-04-13 | 2009-10-20 | Zeugma Systems Inc. | Application aware traffic shaping service node positioned between the access and core networks |
| GB2427048A (en) | 2005-06-09 | 2006-12-13 | Avecho Group Ltd | Detection of unwanted code or data in electronic mail |
| GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
| US7784094B2 (en) | 2005-06-30 | 2010-08-24 | Intel Corporation | Stateful packet content matching mechanisms |
| US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| US7486673B2 (en) | 2005-08-29 | 2009-02-03 | Connect Technologies Corporation | Method and system for reassembling packets prior to searching |
| US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
| US8270413B2 (en) * | 2005-11-28 | 2012-09-18 | Cisco Technology, Inc. | Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks |
| KR100791290B1 (ko) | 2006-02-10 | 2008-01-04 | 삼성전자주식회사 | 디바이스 간에 악성 어플리케이션의 행위 정보를 사용하는장치 및 방법 |
| US7580974B2 (en) | 2006-02-16 | 2009-08-25 | Fortinet, Inc. | Systems and methods for content type classification |
| US8448242B2 (en) | 2006-02-28 | 2013-05-21 | The Trustees Of Columbia University In The City Of New York | Systems, methods, and media for outputting data based upon anomaly detection |
| US8763103B2 (en) | 2006-04-21 | 2014-06-24 | The Trustees Of Columbia University In The City Of New York | Systems and methods for inhibiting attacks on applications |
| US8488136B2 (en) | 2006-05-12 | 2013-07-16 | Kyocera Document Solutions Inc. | Printing system and method, and recording medium |
| US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
| JP4290179B2 (ja) | 2006-06-15 | 2009-07-01 | キヤノン株式会社 | 署名検証装置、及び、その制御方法、プログラム、記憶媒体 |
| US8009566B2 (en) | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
| US8151352B1 (en) | 2006-07-14 | 2012-04-03 | Bitdefender IPR Managament Ltd. | Anti-malware emulation systems and methods |
| US20080025307A1 (en) | 2006-07-27 | 2008-01-31 | Research In Motion Limited | System and method for pushing information from a source device to an available destination device |
| US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
| US20080183691A1 (en) | 2007-01-30 | 2008-07-31 | International Business Machines Corporation | Method for a networked knowledge based document retrieval and ranking utilizing extracted document metadata and content |
| CA2714549A1 (en) | 2007-02-09 | 2008-08-14 | Smobile Systems, Inc. | Off-line mms malware scanning system and method |
| US9021590B2 (en) | 2007-02-28 | 2015-04-28 | Microsoft Technology Licensing, Llc | Spyware detection mechanism |
| US20080231885A1 (en) | 2007-03-23 | 2008-09-25 | Konica Minolta Systems Laboratory, Inc. | Direct printing method using ram storage for spooled printer files |
| US20080222729A1 (en) | 2007-03-05 | 2008-09-11 | Songqing Chen | Containment of Unknown and Polymorphic Fast Spreading Worms |
| US8594085B2 (en) | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
| US8875272B2 (en) | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
| US8321936B1 (en) | 2007-05-30 | 2012-11-27 | M86 Security, Inc. | System and method for malicious software detection in multiple protocols |
| US20090238071A1 (en) | 2008-03-20 | 2009-09-24 | Embarq Holdings Company, Llc | System, method and apparatus for prioritizing network traffic using deep packet inspection (DPI) and centralized network controller |
| US20090013405A1 (en) | 2007-07-06 | 2009-01-08 | Messagelabs Limited | Heuristic detection of malicious code |
| US7706291B2 (en) | 2007-08-01 | 2010-04-27 | Zeugma Systems Inc. | Monitoring quality of experience on a per subscriber, per session basis |
| US20090064337A1 (en) | 2007-09-05 | 2009-03-05 | Shih-Wei Chien | Method and apparatus for preventing web page attacks |
| US8176477B2 (en) | 2007-09-14 | 2012-05-08 | International Business Machines Corporation | Method, system and program product for optimizing emulation of a suspected malware |
| US7559086B2 (en) | 2007-10-02 | 2009-07-07 | Kaspersky Lab, Zao | System and method for detecting multi-component malware |
| US8019700B2 (en) | 2007-10-05 | 2011-09-13 | Google Inc. | Detecting an intrusive landing page |
| US9100268B2 (en) | 2008-02-27 | 2015-08-04 | Alcatel Lucent | Application-aware MPLS tunnel selection |
| US8291496B2 (en) | 2008-05-12 | 2012-10-16 | Enpulz, L.L.C. | Server based malware screening |
| US8667583B2 (en) | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
| US8370932B2 (en) | 2008-09-23 | 2013-02-05 | Webroot Inc. | Method and apparatus for detecting malware in network traffic |
| US8176556B1 (en) | 2008-10-31 | 2012-05-08 | Symantec Corporation | Methods and systems for tracing web-based attacks |
| US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8413239B2 (en) | 2009-02-22 | 2013-04-02 | Zscaler, Inc. | Web security via response injection |
| JP5440973B2 (ja) | 2009-02-23 | 2014-03-12 | 独立行政法人情報通信研究機構 | コンピュータ検査システム、コンピュータ検査方法 |
| US8307351B2 (en) | 2009-03-18 | 2012-11-06 | Oracle International Corporation | System and method for performing code provenance review in a software due diligence system |
| US20110035804A1 (en) | 2009-04-07 | 2011-02-10 | Pratyush Moghe | Appliance-based parallelized analytics of data auditing events |
| US8683584B1 (en) | 2009-04-25 | 2014-03-25 | Dasient, Inc. | Risk assessment |
| US20110041179A1 (en) | 2009-08-11 | 2011-02-17 | F-Secure Oyj | Malware detection |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| US8813232B2 (en) | 2010-03-04 | 2014-08-19 | Mcafee Inc. | Systems and methods for risk rating and pro-actively detecting malicious online ads |
| US9288137B2 (en) | 2010-05-09 | 2016-03-15 | Citrix Systems, Inc. | Systems and methods for allocation of classes of service to network connections corresponding to virtual channels |
| US8510829B2 (en) | 2010-06-24 | 2013-08-13 | Mcafee, Inc. | Systems and methods to detect malicious media files |
| US8463797B2 (en) | 2010-07-20 | 2013-06-11 | Barracuda Networks Inc. | Method for measuring similarity of diverse binary objects comprising bit patterns |
| US8621629B2 (en) | 2010-08-31 | 2013-12-31 | General Electric Company | System, method, and computer software code for detecting a computer network intrusion in an infrastructure element of a high value target |
-
2006
- 2006-06-26 US US11/475,393 patent/US8009566B2/en active Active
-
2007
- 2007-06-26 WO PCT/US2007/072148 patent/WO2008002930A2/en active Application Filing
- 2007-06-26 EP EP07012529.9A patent/EP1873992B1/en not_active Expired - Fee Related
- 2007-06-26 JP JP2007168277A patent/JP4490994B2/ja active Active
-
2011
- 2011-07-28 US US13/193,239 patent/US8565093B2/en active Active
-
2013
- 2013-09-04 US US14/018,357 patent/US9001661B2/en active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004356983A (ja) * | 2003-05-29 | 2004-12-16 | Kddi Corp | パケット情報識別方法及びシステム |
| JP2005229573A (ja) * | 2004-02-13 | 2005-08-25 | Lg N-Sys Inc | ネットワーク保安システム及びその動作方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US9001661B2 (en) | 2015-04-07 |
| US20070297333A1 (en) | 2007-12-27 |
| US20140075539A1 (en) | 2014-03-13 |
| EP1873992B1 (en) | 2019-06-19 |
| WO2008002930A2 (en) | 2008-01-03 |
| US20120026881A1 (en) | 2012-02-02 |
| EP1873992A1 (en) | 2008-01-02 |
| US8009566B2 (en) | 2011-08-30 |
| US8565093B2 (en) | 2013-10-22 |
| JP2008011537A (ja) | 2008-01-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4490994B2 (ja) | ネットワークセキュリティデバイスにおけるパケット分類 | |
| US9800608B2 (en) | Processing data flows with a data flow processor | |
| KR101045362B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
| JP5497060B2 (ja) | 好ましくないソフトウェアまたは悪意のあるソフトウェアを分類するシステムおよび方法 | |
| US7610375B2 (en) | Intrusion detection in a data center environment | |
| US9525696B2 (en) | Systems and methods for processing data flows | |
| US7979368B2 (en) | Systems and methods for processing data flows | |
| US8010469B2 (en) | Systems and methods for processing data flows | |
| US7650634B2 (en) | Intelligent integrated network security device | |
| Shetu et al. | A survey of botnet in cyber security | |
| US20110231564A1 (en) | Processing data flows with a data flow processor | |
| US20110213869A1 (en) | Processing data flows with a data flow processor | |
| US20110238855A1 (en) | Processing data flows with a data flow processor | |
| US20110219035A1 (en) | Database security via data flow processing | |
| US20110214157A1 (en) | Securing a network with data flow processing | |
| US20070056038A1 (en) | Fusion instrusion protection system | |
| US20080229415A1 (en) | Systems and methods for processing data flows | |
| WO2007070838A2 (en) | Systems and methods for processing data flows | |
| US20070289014A1 (en) | Network security device and method for processing packet data using the same | |
| WO2017217247A1 (ja) | 悪性イベント検出装置、悪性イベント検出方法および悪性イベント検出プログラム | |
| US20230362176A1 (en) | System and method for locating dga compromised ip addresses | |
| Bazaz | Study of Computer Networks and Network Intrusion | |
| Yousif et al. | A Proposed Firewall For Viruses |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090518 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091211 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091217 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100305 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100319 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100402 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4490994 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130409 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140409 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |