JP4906504B2 - インテリジェント統合ネットワークセキュリティ装置 - Google Patents

インテリジェント統合ネットワークセキュリティ装置 Download PDF

Info

Publication number
JP4906504B2
JP4906504B2 JP2006509443A JP2006509443A JP4906504B2 JP 4906504 B2 JP4906504 B2 JP 4906504B2 JP 2006509443 A JP2006509443 A JP 2006509443A JP 2006509443 A JP2006509443 A JP 2006509443A JP 4906504 B2 JP4906504 B2 JP 4906504B2
Authority
JP
Japan
Prior art keywords
flow
data packet
information
security devices
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006509443A
Other languages
English (en)
Other versions
JP2006521776A5 (ja
JP2006521776A (ja
Inventor
ニール ズック
Original Assignee
ジュニパー ネットワークス, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=33130453&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP4906504(B2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by ジュニパー ネットワークス, インコーポレイテッド filed Critical ジュニパー ネットワークス, インコーポレイテッド
Publication of JP2006521776A publication Critical patent/JP2006521776A/ja
Publication of JP2006521776A5 publication Critical patent/JP2006521776A5/ja
Application granted granted Critical
Publication of JP4906504B2 publication Critical patent/JP4906504B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)

Description

本発明はコンピュータネットワークセキュリティをコントロールする方法に関する。
ファイアウォールと侵入検知システムは、無権限または破壊的なユーザーからコンピュータネットワークを保護するために使用される装置である。ファイアウォールはローカル・エリア・ネットワークの外側のユーザーからローカル・エリア・ネットワークを守るのに使用される。ファイアウォールはローカル・エリア・ネットワークの外側のユーザーのもとへ、あるいはそのユーザーから送られたメッセージ全てにつき、検査をし、経路制御を行い、頻繁にラベル付けを行う。侵入検知システム(IDS)は疑わしい振る舞いパターンを認識するために、ネットワーク内に通信されている情報を検査するために使用される。
IDSによって得られた情報はネットワークへのアクセスから無権限または破壊的なユーザーをブロックするために使用することができる。侵入防御システム(IPS)はIDSのインラインバージョンである。IPSはネットワーク内に通信されている情報を検査し、疑わしい振る舞いパターンを認識するために使用される。
フローベースのルータ(FBR)は、ネットワーク・アドミニストレータがパケット転送と経路制御を、ネットワーク・アドミニストレータによって定義されたネットワークポリシーによって実装することを可能にする。FBRは、ネットワーク・アドミニストレータが、パケットがネットワーク中の特定のパスを通るよう選択的に経路制御するポリシーを実装することを可能にする。また、FBRは、特定のタイプのパケットが、経路制御される際に、個別の望ましいサービスを受けることを保証するために使用することができる。従来のルータは、利用可能なルーティング情報に基づき、パケットを目的アドレスに転送することができる。FBRによって、宛先アドレスのみに基づいて経路制御する代わりに、ネットワーク・アドミニストレータが、アプリケーション、プロトコル、パケットサイズおよびエンド・システムのアイデンティティを含むいくつかの基準に基づいて、パケットを許可するか拒絶するかにかかるルーティングポリシーを実装することができるようになる。
信頼されていないネットワークによる攻撃から信頼されたネットワークを守るため、パケットフィルータはネットワークレイヤ中のデータについて動作する。例えば、パケットフィルータは、プロトコルータイプ、送信元および宛先インターネット・プロトコル(IP)アドレス、および送信元と宛先ポートの番号等を含むところの、TRANSMISSION CONTROL PROTOCOL/INTERNET PROTOCOL(TCP/IP)のヘッダのフィールドを検査する。パケットフィルータのデメリットは、低速であること、複雑なセキュリティ・ポリシーを備えた大きなネットワークにおける管理の困難性である。パケットフィルータはコミュニケーションのコンテキストを理解しないので、それのみでは、強固な保護を提供することはできない。加えて、パケットフィルータは、アプリケーション層においてデータを検査するのではなく、したがって、パケットフィルータは、アプリケーション層を利用して試みられたセキュリティ侵入には弱い。
プロキシサーバは、信頼されていないネットワークから信頼されたネットワークを隔離するため、アプリケーション層に運ばれた値を基に動作することができる。アプリケーションプロキシサーバでは、2つのTCPコネクションが確立され得る。ひとつは、パケット送信元とプロキシサーバの間、いまひとつはプロキシサーバとパケットの宛先の間である。アプリケーションプロキシサーバは宛先サーバを代理して、到着パケットを受け取る。アプリケーションデータはプロキシサーバによってアセンブルされ、検査される。また、第2のTCPコネクションは、宛先サーバへ許可パケットを中継するため、プロキシサーバと宛先サーバとの間で開かれる。
プロキシサーバは、アプリケーション層でパケットを検査するのに必要な付加的なプロトコル・スタック・オーバーヘッドによって、動作が遅くなることがある。更に、一義的なプロキシーが各アプリケーション毎に必要になるので、プロキシサーバの実装は複雑で、かつ新アプリケーションサポートの修正が困難である。さらに、プロキシサーバは、単にアプリケーション・パケットを検査するのみであり、プロキシサーバはTCPまたはネットワークレイヤで試みられたネットワーク・セキュリティ侵入を検知しないかもしれない。
本発明は、データパケットを処理しおよびコンピュータネットワークセキュリティを実装する、方法及びコンピュータプログラム製品を含む装置を提供する。
発明の利点は、次の特徴の1つ以上を含んでいるかもしれない。開示された技術は、試みられたネットワーク・セキュリティ侵入を検知し、かつそのセキュリティ侵入に関連した現在のパケットをブロックすることができる。開示された技術は強固で効率的なネットワーク・セキュリティを提供することができ、複数のセキュリティ装置とただ一つのフローテーブルを含んでいる。ネットワーク・セキュリティ情報は他のネットワーク・セキュリティ・デバイスから得られ、フローテーブル中の一つのレコードに格納される。パケットが許可されるかどうか決める一つのフローレコードの使用によって、より速い応答時間が得られる。
発明の1つ以上の実装の詳細は、添付の図面と以下の説明の中で述べられる。他の特徴および発明の利点は、説明、図面および請求項から明白になるだろう。
図1は、サーバ(102)、いくつかのワークステーション(W/S)(104)およびセキュリティシステム124を含むローカル・エリア・ネットワーク(LAN)(100)を含むネットワークトポロジーを示している。セキュリティシステム124はセッション・モジュール122および多くの他のセキュリティ装置を含むことができる。開示された実装では、セキュリティシステム124は2台のセキュリティ装置、すなわち、第1のセキュリティ装置106および第2のセキュリティ装置108を含んでいる。LAN100はインターネット(114)等の外部ネットワークにセキュリティシステム124を通じて接続される。LAN100は、さらに、ルータ(118)によって別のLAN(116)やサテライト(120)に接続される。第2のLAN116はウェブサーバ(110)、電子メールサーバ(112)、サーバ102、いくつかのワークステーション104およびセキュリティシステム124を含んでいる。コンピュータ、サーバおよびLANの中の他のデバイスは、配線、光ファイバーおよび電波のような様々なデータ伝送媒体を使用して相互に連結される。セッション・モジュール122は、ネットワーク内に通信されているパケットを監視する。ある実装においては、第1のセキュリティ装置106はファイアウォールであり、第2のセキュリティ装置108はIPSであってもよい。セッション・モジュール122は、試みられたネットワーク・セキュリティ侵入にかかるパケットのブロックをするために、第1のセキュリティ装置106および第2のセキュリティ装置108と共に動作する。
図2に、セッション・モジュール122のブロック図を示す。セッション・モジュール122はパケットを受け取る着信パケットインターフェース205を含む。受け取られたパケットはフロー処理エンジン(FPE)202により分析され、試みられたネットワーク・セキュリティ侵入が侵入中か否かを判断する。セッション・モジュール122はさらにフローテーブル215を含む。フローテーブル215は受信パケットのフロー情報を格納するために使用される。セッション・モジュール122は、さらにネットワーク上の他のセキュリティ装置へのインターフェースを含む。ある実装においては、セッション・モジュール122はファイアウォールインターフェース220、IPSインターフェース225およびフローベースのルータ・インターフェース230を含む。セキュリティ装置インターフェース218は、セッション・モジュール122によって使用され、受信パケットが許可されるか修正されるべきかどうかを決めるため、受信パケットにかかる情報およびそのパケットにかかるフロー情報を得ルータめに使用される。セキュリティ装置インターフェース218は、さらに、パケット処理をするキュリティ装置によって使用されるフロー情報を通信するため、セッション・モジュール122によって使用される。
図3は、本発明の原理にかかる実装で使用されるフローテーブル215の構造を示す。フローテーブル215は現在のTCP/IPフローに関するフローレコード302を含む。TCP/IPフローは、送信元と宛先との間の一方向情報通信データ・パケットのシーケンスを含む。フローレコードはインデックスキー305を用いてインデックス付けされている。インデックスキー305は、受信パケットにかかる適切なフローレコードを格納し取得するために使用される。ある実装においては、インデックスキー305はハッシュ・キーであってもよい。また、フローテーブル215はハッシュ・テーブルとして実装されてもよい。セッション・モジュール122(図2)は、ネットワーク上の2以上のセキュリティ装置に対するインストラクションを、一つのフローレコード内に保存する。セッション・モジュール122のある実装においては、3つのセキュリティ装置(例えば装置310、315および320)の命令は、フローレコード302に格納されてもよい。フローレコード302は他の情報とともに、ポリシー情報(例えばファイアウォールポリシー、IPSポリシーなどそのフローに適用されるポリシー情報)も格納する。ここに、他の情報とは、暗号化パラメータ、アドレス変換パラメータ、ブックキーピング情報および統計等であり、これらは各セキュリティ装置によって使用されてもよい。フローレコード302は、さらにパケットが許可されるかどうか決定するため、セッション・モジュール122に使用されるフロー情報325を含むことができる。これら情報には、ネットワークポリシーを実装するのに必要な情報を含むことができる。これらは、例えば、接続タイム・アウト、時間課金、帯域幅使用法等である。フロー、セッションおよびフローテーブルは、「マルチ・メソッド、ゲートウェイベース・ネットワーク・セキュリティ・システムズおよびその方法」という表題の、米国特許出願10/072、683に、より詳しく記述されている。それらの内容は、すべてここに組み入れられるものとする。
図4はFPE 202(図2)の動作を説明するフローチャートである。ここで図2および4を参照すると、着信パケットはセッション・モジュールによって受け取られる(ステップ400)。IPパケットはデフラグされ(ステップ402)、IPヘッダは各IPパケットにつき有効化される(ステップ403)。この有効化ステップにおいて、与えられたパケットにかかるIPヘッダが抽出され、基本的瑕疵の有無が検査される。その後、FPE202は、セッションが許可されることになっているかどうか判断する(ステップ415)。
パケットがTCPパケット(404)である場合、TCPヘッダが有効化され(ステップ405)、TCPパケットはアセンブリされる(ステップ410)。有効化プロセスはTCPヘッダ・データを抽出し基本的瑕疵の有無にかかるヘッダの評価を含む。ステップ410で生成された疑似アセンブリ情報は、セッション・モジュール122によって他のセキュリティ装置に送信され、これらセキュリティ装置でパケットの処理がされる。リアセンブリについては、米国特許出願10/072、683および10/072、683により非常に詳しく記述されている。
ステップ415では、FPE 202は、与えられた受信パケットにかかるTCP/IPヘッダ・データを使用して、セッション分類ステップを実行する。セッション・モジュール122は、パケットが、受信パケットに関連し、フローテーブル420から取得されたTCP/IPフローに関して得られた情報に基づいて許可されるかどうか決めることができる。さらに、セッション・モジュール122は、他のセキュリティ装置、例えばファイアウォール425、IPS430、フローベースルータ435のうちの1つから戻された情報を使用してもよい。さらに、セッション・モジュール122は、与えられたパケットを処理するためのそれぞれのデバイスにフロー情報を伝えることにより、セキュリティ装置の動作を行ってもよい。最後に、パケットが許可されれば(ステップ440)、FPE202はパケットを転送する。それ以外の場合には、パケットは他の処理をする(ステップ445)。他の処理には、パケットに関する特別の情報のログ、パケットの保持する、あるいはパケットの修正しまたは破棄を含んでもよい。これで、FPE202の動作の説明を終える。
図5は、セッション分類(図4のステップ415)にかかる処理のフローチャートである。セッション分類ステップはパケットを受け取り(ステップ500)、パケットが許可されるかどうか決めるために使用される情報を抽出する。抽出された情報は送信元および宛先IPアドレス、送信元および宛先ポート番号、およびプロトコルを含む(ステップ505)。抽出された情報はパケットが既知のセッション・フローに関係しているかどうか判断するために、フローテーブル215(ステップ510)を検索するために使用さる。既知のセッション・フローについては、ステップ510は、フローテーブル215中の一致するフローレコードを生成する(ステップ515)。一致するフローレコードが見つかった場合、FPE202(図2)は一致するフローレコードから受信パケットのTCP/IPセッション情報を抽出する(ステップ520)。FPE202は、受信パケットが許可されるか否かを、ステップ520で得られたTCP/IPセッション情報を使用して決定する。より具体的には、FPE202は一致するフローレコードから情報を抽出し、セキュリティ装置へ情報を渡す(例えば、フローレコードからのセッションIDおよびTCP/IPセッション情報、さらには他のセキュリティ装置特有の情報を送信する)(ステップ525)。セキュリティ装置からの戻される結果に基づき、FPE202は与えられたパケット(ステップ530)を転送、破棄、記録、格納、修正または他の処理を行う。
ステップ515において、一致するフローレコードがフローテーブル215で見つからない場合、受信パケットは新しいTCP/IPセッション(ステップ532)に関係している。新しいTCP/IPセッションの場合、FPE202はその新しいセッションにセッションIDを割り当て、新しいセッションにかかるパケット用のセキュリティ・ポリシーを決定するために、FPE202は、他のセキュリティ装置(例えばファイアウォール、IPS、フロー・ルータ)と通信する。例えば、FPE202は新しいセッションにかかる受信パケットが許可されるか否かを決めるため、ファイアウォール540から情報を得る。FPE202は、既知の試みられたネットワーク・セキュリティ侵入の攻撃署名と一致するとして、受信パケットをブロックすべきか決定するため、IPS545と通信してもよい。FPE202は、フロー・ルータ550からの新セッションにかかるネットワークポリシーも得てもよい。FPE202は、異なるセキュリティ装置間の調停者の役割をし、パケットが新しいTCP/IPセッションと関係すれば許可されるであろうことを決定するため、セキュリティ装置から個々にあるいはこれらの組合せによって得られた情報を利用してもよい。FPE202は、新しいフローレコードを作成するためにセキュリティ装置から得た情報を使用し、フローテーブル215に新しいフローレコードを格納する(ステップ555)。新しいフローレコードは、受信パケットに関連した新しいセッションのTCP/IPセッション情報および他のセキュリティ装置特有の情報を含む。その後、FPE202は、図4に記載された与えられたTCP/IPセッションにかかる受信パケットの処理を行う。その処理とは、対応するフローレコードからのセキュリティ装置にセッションID、TCP/IPセッション情報およびセキュリティ装置特有の情報を伝えることを含む。
受信パケットが様々なセキュリティ装置を使用して、試みられたネットワーク・セキュリティ侵入に関係しているかどうか判断することに加えて、セッション・モジュールは、さらに図4に記述されるような受信TCP/IPパケットの疑似リアセンブリを行なうことができる。図6に、セッション・モジュールによって生成することができる疑似リアセンブリ情報を示す。疑似リアセンブリ情報は、メモリ中の与えられたパケット600の位置へのポインタ、およびフロー605中のパケットの相対的地位を含む情報へのポインタを含む。ひとつの実装において、IPSは受動的TCP/IPリアセンブリを行なうかもしれない。また、パケット600の位置へのポインタはIPSの内のパケットを見つけるために使用されてもよい。他実装においては、フローのパケットの相対的地位を含んでいる情報へのポインタ605は、パケットにかかるTCP/IPヘッダに含まれるTCP/IPシーケンス番号を得るために使用されてもよい。その疑似リアセンブリ情報は、セッション・モジュール122(図2)に接続されたセキュリティ装置に伝えられてもよい。セキュリティ装置は、受信パケットを処理するために疑似リアセンブリ情報を使用する。
上記セッション・モジュール122は、多くの異なるネットワークトポロジーの中で使用されてもよい。図7は、セッション・モジュール122がファイアウォール705へ統合される場合のネットワークトポロジーである。ファイアウォール705は、ルータ720およびIPS715へのインターフェースを含む。ファイアウォール705は外部ネットワークインターフェース700からパケットを受け取る。受信パケットが既知の攻撃シグネチャに基づいてブロックされるべきかどうかを決定するため、ファイアウォール705はIPS715と通信する。ファイアウォール705およびIPS715が、パケットの通過を許可する際、ファイアウォール705は、ルータ720に受信パケットを送る。ルータ720は、ルータに格納されたネットワークポリシーに基づいて、内部ネットワークインターフェース725を使用して、望む宛先へ送信パケットを転送するかもしれない。
図8は、セッション・モジュール122を使用して、コンピュータネットワークセキュリティを実装する他の配置例を示す。この配置では、セッション・モジュール820は、ファイアウォール805、IPS810およびルータ815からなる直列配置にて作動する。外部ネットワークインターフェース800を通じて受け取られたパケットは、ルータ815に通信される前に、ファイアウォール805によって遮断されることがある。ファイアウォール805は、さらにIPS810に受信パケットにかかる情報を送る。IPS810は受信パケットを検査し、既知の攻撃シグネチャに基づき、受信パケットがブロックされるべきときは、セッション・モジュール820に通知する。ルータ815は次の処理のためにセッション・モジュール820にパケットを送る。受信パケットが許可されるべきことをセッション・モジュール820が決定する場合、セッションモジュール820は内部ネットワークインターフェース825を使用して、所望の宛先へ受信パケットを転送する。
本発明の原理に基づく実施例は、ディジタル電子回路中で、コンピュータ・ハードウェア、ファームウェア、ソフトウェア、あるいはそれらの組合せ中で実装されてもよい。実施例は、コンピュータプログラム製品(つまり明確に情報媒体で固定化されたコンピュータプログラム)として実装されてもよい。情報媒体は、機械可読の記憶装置あるいは転送される信号であってもよく、これらは、プログラマブルプロセッサ、コンピュータあるいは多数のコンピュータのようなデータ処理装置によって実行されこれらを制御する。コンピュータプログラムはプログラミング言語の任意の形式で書かれるかもしれない。それはコンパイルされた言語あるいは解釈された言語を含んでいる。それは、スタンドアロンプログラム、あるいはモジュール、コンポーネント、サブルーチンあるいはコンピューティング環境で使用するにふさわしい他のユニットとして含む任意の形式で展開される。コンピュータプログラムは、一地点における一つのコンピュータによって実行され、あるいは多数地点における多数のコンピュータ上で横断分配されて展開され通信網によって相互に連結される。
発明の方法は、入力データ上で作動し出力の生成により発明の機能を行なうためにコンピュータプログラムを実行する、1つ以上のプログラム可能なプロセッサによって行なわれてもよい。発明の方法も、発明の装置も、特定目的論理回路(例えばFPGA、ASIC(特定用途向けIC))(フィールドプログラマブルゲートアレイ)によって行なわれ、実装されてもよい。
コンピュータプログラムの実行にふさわしいプロセッサは、例えば、一般および特定目的マイクロプロセッサ、および各種デジタルコンピュータのプロセッサのいずれでもよい。一般に、プロセッサは、読み取り専用メモリおよびランダムアクセス記憶装置の一方または両方から命令とデータを受ける。コンピュータの必須要素は、命令を実行するためのプロセッサと、命令とデータを格納するための1以上のメモリ装置である。一般に、コンピュータは、受け取りまたは送信するところの、データを格納する、例えば磁気ディスク、光磁気ディスクあるいは光ディスク等の大記憶装置を含んでいてもよい。コンピュータプログラム命令およびデータを固定化するにふさわしい情報媒体は、EPROM、EEPROM、フラッシュメモリ等の半導体メモリ装置である不揮発性メモリであってもいいし、磁気ディスク(例えば内部ハードディスク、リムーバブル・ディスク);光磁気ディスク;またCD-ROMとDVD-ROMディスクでもよい。プロセッサとメモリは特定目的論理回路の補助を受け、または、これに組み入れられてもよい。
本発明の原理に基づく実施例は、バックエンド・コンポーネントを含む計算機システム中に(例えばデータ・サーバとして)実装されるかもしれない。あるいは、ミドルウェア・コンポーネント(例えばアプリケーションサーバ)であってもよい。あるいは、それはフロントエンドのコンポーネント(例えばユーザーが本発明の実装と対話するGUIあるいはウエブブラウザがあるクライアントコンピュータ)あるいはそのようなバックエンド、ミドルウェアあるいはフロントエンドのコンポーネントのどんな組合せでもよい。システムのコンポーネントは、任意の形式あるいはデジタルデータ・コミュニケーション(例えば通信網)の媒体によって相互に連結してもよい。通信網の例は例えば、ローカル・エリア・ネットワーク(LAN)および広域ネットワーク(例えばインターネット)(WAN)を含んでいる。
計算機システムはクライアントとサーバを含んでいてもよい。クライアントとサーバは離れた場所に位置し、通信網を通ってやりとりするかもしれない。クライアントとサーバの関係は、それぞれのコンピュータ上で作動し、互いとのクライアントサーバ関係を持っているコンピュータプログラムによって発生する。
本発明は特別の実施例に基づき記述された。しかしながら、様々な変更が、本発明の趣旨を逸脱せずになされうることは理解されるだろう。例えば、発明のステップは異なる順に行なわれても望ましい結果を達成するかもしれない。さらに、セッション・モジュール、IPS、ファイアウォールおよびルータはすべて、図9の中で示される構成のような単一のデバイスに組み入れられるかもしれない。さらに、1台以上のセキュリティ装置にパッケージにされたセッション・モジュールの他の構成も可能である。したがって、他の実施例も以下の特許請求の範囲の範囲に含まれる。
セッション・モジュールを含むネットワークトポロジーを示す。 セッション・モジュールのブロック図を示す。 フローテーブルの構造を示す。 セッション・モジュールの動作について記述するフローチャートである。 セッション分類について記述するフローチャートである。 セッション・モジュールによって生成された疑似のリアセンブリ情報を示す。 セッション・モジュールがファイアウォールに含まれている場合のネットワークトポロジーを示す。 セッション・モジュールが、ファイアウォール、IPSおよびルータからなる直列中で動作するところで、ネットワークトポロジーを示す。 セッション・モジュール、ファイアウォール、IPSおよびルータが単一のセキュリティ装置に含まれている場合のネットワークトポロジーを示す。

Claims (41)

  1. コンピュータネットワークのフローに関するデータパケットを検査する方法において、前記コンピュータネットワークは前記データパケットを処理する2つ以上の装置を含み、各データパケットは関連するヘッダデータを含み、前記方法は、
    前記データパケットを受信し、
    前記データパケットを検査し、
    少なくとも前記関連するヘッダデータを利用してパケットアイデンティファイアを決定し、前記パケットアイデンティファイアを使用してフローレコードエントリにマッチするかを判定するためにフローテーブルを評価し、前記フローテーブルエントリにマッチすれば、マッチしたフローレコードを取得し、前記フローテーブルエントリにマッチしなければ、新しいフローレコードを作成し、前記新しいフローレコードを前記フローテーブルに格納することにより前記データパケットに関連する単一のフローレコードを決定し、
    前記単一のフローレコードから前記2つ以上のセキュリティ装置へのフロー命令、セッションID、及びフロー情報を抽出し、前記フロー命令、セッションID、及びフロー情報を対応する前記2つ以上のセキュリティ装置のそれぞれに送信して前記データパケットの処理を行わせ、
    前記2つ以上のセキュリティ装置のそれぞれから、前記データパケットの処理において前記2つ以上のセキュリティ装置のそれぞれにおいて作成された評価情報を受信し、
    前記評価情報を利用して前記データパケットを処理する
    ことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  2. 請求項1の方法において、前記2つ以上のセキュリティ装置は、侵入検知システム、侵入防止システム、ファイアウォール又はフローベースルータのいずれかより選択されることを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  3. 請求項1の方法において、前記データパケットの検査は、前記データパケットが許可されるべきか否かを決定するために前記関連するヘッダデータを検査することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  4. 請求項1の方法において、前記データパケットに関連する単一のフローレコードの決定は、前記関連するヘッダデータを利用してフローレコードを探すことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  5. 請求項1の方法において、前記単一のフローレコードから前記2つ以上のセキュリティ装置へのフロー命令の抽出は、メモリから前記データパケットを探すための情報と、前記フロー中に前記データパケットの相対位置を提供する情報とを取得することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  6. 請求項の方法において、新しいフローレコードの作成は、
    新しいセッションIDを作成し、
    前記複数のセキュリティ装置から前記データパケットに関連する装置特有のフロー情報を取得し、
    前記新しいセッションIDと前記装置特有のフロー情報とを前記新しいフローレコードに関連させる
    ことを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  7. 請求項記載の方法において、前記装置特有のフロー情報を利用して前記データパケットを処理する前記2つ以上のセキュリティ装置のそれぞれへの命令を生成することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  8. 請求項記載の方法において
    前記2つ以上のセキュリティ装置のそれぞれに対するセキュリティ装置特有のフロー情報を前記新しいセッションIDとともに前記新しいフローレコードに格納することを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  9. 請求項1記載の方法において、前記抽出されたフロー命令を用いて、前記2つ以上のセキュリティ装置のそれぞれにおいて前記データパケットを処理することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  10. 請求項1記載の方法において、前記データパケットの処理は、送信、破棄、修正、ログ又はパケットの保存のいずれか一以上であることを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  11. 請求項1記載の方法において、前記データパケットの処理は、前記データパケットを送信するか否かを決定することを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  12. 請求項1記載の方法において、前記単一のフローレコードは、前記2つ以上のセキュリティ装置のうちの一以上のセキュリティ装置に対するポリシー情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  13. 請求項1記載の方法において、前記単一のフローレコードは、ファイアウォールポリシーと侵入防止システムポリシーとを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  14. 請求項1記載の方法において、前記単一のフローレコードは、前記2つ以上のセキュリティ装置の一つによって使用される暗号化パラメータを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  15. 請求項1記載の方法において、前記単一のフローレコードは、アドレス変換パラメータを含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  16. 請求項1記載の方法において、前記単一のフローレコードは、ブックキーピング又は統計情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  17. 請求項1記載の方法において、前記単一のフローレコードは、前記2つ以上のセキュリティ装置のうちの一以上のセキュリティ装置で使用される、所定のフローに対して適用されるポリシーを記載した情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  18. 請求項1記載の方法において、前記単一のフローレコードは、前記2つ以上のセキュリティ装置で前記データパケットを処理する際に使用されるポリシー情報を含むことを特徴とするコンピュータネットワークのフローに関するデータパケットを検査する方法。
  19. コンピュータネットワークのフローに関するデータパケットを検査する命令が記録されたコンピュータ読み取り可能媒体であって、前記コンピュータネットワークは前記データパケットを処理する2つ以上のセキュリティ装置を含み、各データパケットは関連するヘッダデータを含み、
    前記命令は、
    前記データパケットを受信し、
    前記データパケットを検査し、
    少なくとも前記関連するヘッダデータを利用してパケットアイデンティファイアを決定し、前記パケットアイデンティファイアを使用してフローレコードエントリにマッチするかを判定するためにフローテーブルを評価し、前記フローテーブルエントリにマッチすれば、マッチしたフローレコードを取得し、前記フローテーブルエントリにマッチしなければ、新しいフローレコードを作成することにより前記データパケットに関連する単一のフローレコードを決定し、
    前記単一のフローレコードから前記2つ以上のセキュリティ装置へのフロー命令、セッションID、及びフロー情報を抽出し、前記フロー命令、セッションID、及びフロー情報を対応する前記2つ以上のセキュリティ装置のそれぞれに送信し、
    前記2つ以上のセキュリティ装置から、前記データパケットを処理するにあたって対応する前記2つ以上のセキュリティ装置のそれぞれによって生成された評価情報を取得し前記評価情報を使用して前記データパケット処理することを実行させることが可能な命令を含むことを特徴とするコンピュータ読み取り可能媒体。
  20. 前記2つ以上のセキュリティ装置は、侵入検知システム、侵入防止システム、ファイアウォール又はベースルータのいずれかより選択されることを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  21. 前記データパケットの検査命令は、前記データパケットが許可されるべきか否かを決定するために前記関連するヘッダデータを検査する命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  22. 前記データパケットに関連する単一のフローレコードの決定は、前記関連するヘッダデータを利用してフローレコードを探す命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  23. 前記単一のフローレコードから前記2つ以上のセキュリティ装置へのフロー命令の抽出は、メモリから前記データパケットを探すための情報と、前記フロー中に前記データパケットの相対位置を提供する情報とを取得する命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  24. 前記新しいフローレコードの作成命令は、
    新しいセッションIDを作成し、
    少なくとも2つの前記2つ以上のセキュリティ装置から前記データパケットに関連する装置特有のフロー情報を取得し、
    前記新しいセッションIDと前記装置特有のフロー情報とを前記新しいフローレコードに関連させる
    命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  25. 前記装置特有のフロー情報を利用して前記データパケットを処理する前記2つ以上のセキュリティ装置のそれぞれへの命令を生成する命令を含むことを特徴とする請求項24に記載のコンピュータ読み取り可能媒体。
  26. 前記2つ以上のセキュリティ装置のそれぞれに対するセキュリティ装置特有のフロー情報を前記新しいセッションIDとともに前記単一のフローレコードに格納する命令をさらに含むことを特徴とする請求項24に記載のコンピュータ読み取り可能媒体。
  27. 前記抽出されたフロー命令を用いて、前記2つ以上のセキュリティ装置のそれぞれにおいて前記データパケットを処理する命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  28. 前記データパケットの処理は、送信、破棄、ログ又はデータパケットの保存のいずれか一以上であることを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  29. 前記データパケットの処理命令は、前記データパケットを送信するか否かを決定する命令を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  30. 前記単一のフローレコードは、前記2つ以上のセキュリティ装置の少なくとも1つに対するポリシー情報を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  31. 前記単一のフローレコードは、ファイアウォールポリシーと侵入防止システムポリシーとを含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  32. 前記単一のフローレコードは、前記2つ以上のセキュリティ装置によって使用される暗号化パラメータを含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  33. 前記単一のフローレコードは、アドレス変換パラメータを含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  34. 前記単一のフローレコードは、ブックキーピング又は統計情報を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  35. 前記単一のフローレコードは、前記2つ以上のセキュリティ装置のうちの一以上のセキュリティ装置で使用される、所定のフローに対して適用されるポリシーを記載した情報を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  36. 前記単一のフローレコードは、前記2つ以上のセキュリティ装置で前記データパケットを処理する際に使用されるポリシー情報を含むことを特徴とする請求項19に記載のコンピュータ読み取り可能媒体。
  37. 関連するヘッダデータを有するデータパケットを処理する装置であって、前記装置は、
    受信したデータパケット毎にフロー情報を決定し、前記ヘッダデータに関連して、所定のデータパケットに関連する特定のフローを同定する情報を評価するセッションモジュールと、
    前記セッションモジュールによって決定された情報を含み、前記装置に接続された複数のセキュリティ装置のフロー情報を含むところの、各フローのフローレコードを含むフローテーブルと
    含み、
    前記セッションモジュールは、
    前記同定された特定のフローに関するフローテーブル中のフローレコードを検索し、
    前記検索されたフローレコードに関するフロー命令、前記検索されたフローレコードに関するセッションID、前記検索されたフローレコードに関するフロー情報を含む装置特有の情報を通信インターフェースを介して前記複数のセキュリティ装置のそれぞれに送信し、
    前記複数のセキュリティ装置のそれぞれから、前記データパケットの処理において前記複数のセキュリティ装置のそれぞれにおいて作成された評価情報を受信し、
    前記評価情報を利用して前記データパケットを処理する
    ことを特徴とするデータパケットを処理する装置。
  38. 前記セッションモジュールは、前記所定のデータパケットの破棄、ログ、保存又は送信のいずれか一つを含む前記所定のデータパケットの処理を行うことを特徴とする請求項37に記載のデータパケットを処理する装置。
  39. 前記フローテーブルは、インデックスキーと前記複数のセキュリティ装置の前記装置特有のフロー情報とを含むことを特徴とする請求項37に記載のデータパケットを処理する装置。
  40. 前記複数のセキュリティ装置は、ファイアウォール、フローベースルータ、侵入検知システム又は侵入防止システムから選択されることを特徴とする請求項37に記載のデータパケットを処理する装置。
  41. 前記フローテーブルは一以上のフローレコードを有し、前記フローレコードは、前記データパケットを処理するにあたり二以上のセキュリティ装置に用いるポリシー情報を含むことを特徴とする請求項37に記載のデータパケットを処理する装置。
JP2006509443A 2003-03-28 2004-03-29 インテリジェント統合ネットワークセキュリティ装置 Expired - Fee Related JP4906504B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10/402,920 2003-03-28
US10/402,920 US7650634B2 (en) 2002-02-08 2003-03-28 Intelligent integrated network security device
PCT/US2004/009607 WO2004088952A2 (en) 2003-03-28 2004-03-29 Intelligent integrated network security device

Publications (3)

Publication Number Publication Date
JP2006521776A JP2006521776A (ja) 2006-09-21
JP2006521776A5 JP2006521776A5 (ja) 2009-01-29
JP4906504B2 true JP4906504B2 (ja) 2012-03-28

Family

ID=33130453

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006509443A Expired - Fee Related JP4906504B2 (ja) 2003-03-28 2004-03-29 インテリジェント統合ネットワークセキュリティ装置

Country Status (7)

Country Link
US (4) US7650634B2 (ja)
EP (1) EP1618724B1 (ja)
JP (1) JP4906504B2 (ja)
CN (1) CN100556031C (ja)
AT (1) ATE369691T1 (ja)
DE (1) DE602004008055T2 (ja)
WO (1) WO2004088952A2 (ja)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US20030212735A1 (en) * 2002-05-13 2003-11-13 Nvidia Corporation Method and apparatus for providing an integrated network of processors
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7397797B2 (en) * 2002-12-13 2008-07-08 Nvidia Corporation Method and apparatus for performing network processing functions
US8321584B2 (en) * 2003-04-04 2012-11-27 Ellacoya Networks, Inc. Method and apparatus for offering preferred transport within a broadband subscriber network
US7710867B1 (en) * 2003-05-23 2010-05-04 F5 Networks, Inc. System and method for managing traffic to a probe
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7359380B1 (en) 2003-06-24 2008-04-15 Nvidia Corporation Network protocol processing for routing and bridging
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7487541B2 (en) * 2003-12-10 2009-02-03 Alcatel Lucent Flow-based method for tracking back single packets
US7339914B2 (en) * 2004-02-11 2008-03-04 Airtight Networks, Inc. Automated sniffer apparatus and method for monitoring computer systems for unauthorized access
US7929534B2 (en) * 2004-06-28 2011-04-19 Riverbed Technology, Inc. Flow logging for connection-based anomaly detection
US7562389B1 (en) * 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7808897B1 (en) * 2005-03-01 2010-10-05 International Business Machines Corporation Fast network security utilizing intrusion prevention systems
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
GB0517304D0 (en) 2005-08-23 2005-10-05 Netronome Systems Inc A system and method for processing and forwarding transmitted information
US8769663B2 (en) 2005-08-24 2014-07-01 Fortinet, Inc. Systems and methods for detecting undesirable network traffic content
US7966659B1 (en) 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
DE602006014667D1 (de) * 2006-06-23 2010-07-15 Nippon Office Automation Co Lt Protokoll- und Sitzunganalysator
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US8397299B2 (en) * 2006-09-14 2013-03-12 Interdigital Technology Corporation Method and system for enhancing flow of behavior metrics and evaluation of security of a node
US8594085B2 (en) * 2007-04-11 2013-11-26 Palo Alto Networks, Inc. L2/L3 multi-mode switch including policy processing
US8179799B2 (en) * 2007-11-30 2012-05-15 Solarwinds Worldwide, Llc Method for partitioning network flows based on their time information
US8601113B2 (en) * 2007-11-30 2013-12-03 Solarwinds Worldwide, Llc Method for summarizing flow information from network devices
US9331919B2 (en) * 2007-11-30 2016-05-03 Solarwinds Worldwide, Llc Method for summarizing flow information of network devices
JP4717106B2 (ja) * 2008-09-11 2011-07-06 株式会社日立製作所 フロー情報処理装置及びネットワークシステム
US20100162399A1 (en) * 2008-12-18 2010-06-24 At&T Intellectual Property I, L.P. Methods, apparatus, and computer program products that monitor and protect home and small office networks from botnet and malware activity
US8873556B1 (en) 2008-12-24 2014-10-28 Palo Alto Networks, Inc. Application based packet forwarding
US8769664B1 (en) * 2009-01-30 2014-07-01 Palo Alto Networks, Inc. Security processing in active security devices
WO2010100825A1 (ja) * 2009-03-05 2010-09-10 日本電気株式会社 セキュリティ管理装置、方法、及びプログラム、並びにセキュリティ分散システム
US8752142B2 (en) * 2009-07-17 2014-06-10 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for adapting the security measures of a communication network based on feedback
US8621636B2 (en) 2009-12-17 2013-12-31 American Express Travel Related Services Company, Inc. Systems, methods, and computer program products for collecting and reporting sensor data in a communication network
US9756076B2 (en) * 2009-12-17 2017-09-05 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transactions
US8650129B2 (en) 2010-01-20 2014-02-11 American Express Travel Related Services Company, Inc. Dynamically reacting policies and protections for securing mobile financial transaction data in transit
US8924296B2 (en) 2010-06-22 2014-12-30 American Express Travel Related Services Company, Inc. Dynamic pairing system for securing a trusted communication channel
US8850539B2 (en) 2010-06-22 2014-09-30 American Express Travel Related Services Company, Inc. Adaptive policies and protections for securing financial transaction data at rest
US10360625B2 (en) 2010-06-22 2019-07-23 American Express Travel Related Services Company, Inc. Dynamically adaptive policy management for securing mobile financial transactions
IL210900A (en) * 2011-01-27 2015-08-31 Verint Systems Ltd System and method for efficient classification and processing of network traffic
US8695096B1 (en) 2011-05-24 2014-04-08 Palo Alto Networks, Inc. Automatic signature generation for malicious PDF files
US9047441B2 (en) 2011-05-24 2015-06-02 Palo Alto Networks, Inc. Malware analysis system
US9742732B2 (en) * 2012-03-12 2017-08-22 Varmour Networks, Inc. Distributed TCP SYN flood protection
TW201351171A (zh) * 2012-06-08 2013-12-16 Cobrasonic Software Inc 網路封包暨資料庫封包稽核系統及關聯性稽核裝置與方法
US9215208B2 (en) * 2012-08-17 2015-12-15 The Keyw Corporation Network attack offensive appliance
US9071529B2 (en) * 2012-10-08 2015-06-30 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for accelerating forwarding in software-defined networks
US9461967B2 (en) * 2013-07-18 2016-10-04 Palo Alto Networks, Inc. Packet classification for network routing
US11281643B2 (en) 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US11086897B2 (en) 2014-04-15 2021-08-10 Splunk Inc. Linking event streams across applications of a data intake and query system
US10700950B2 (en) 2014-04-15 2020-06-30 Splunk Inc. Adjusting network data storage based on event stream statistics
US10523521B2 (en) 2014-04-15 2019-12-31 Splunk Inc. Managing ephemeral event streams generated from captured network data
US9923767B2 (en) 2014-04-15 2018-03-20 Splunk Inc. Dynamic configuration of remote capture agents for network data capture
US10462004B2 (en) 2014-04-15 2019-10-29 Splunk Inc. Visualizations of statistics associated with captured network data
US9762443B2 (en) 2014-04-15 2017-09-12 Splunk Inc. Transformation of network data at remote capture agents
US10127273B2 (en) 2014-04-15 2018-11-13 Splunk Inc. Distributed processing of network data using remote capture agents
US9838512B2 (en) 2014-10-30 2017-12-05 Splunk Inc. Protocol-based capture of network data using remote capture agents
US10693742B2 (en) 2014-04-15 2020-06-23 Splunk Inc. Inline visualizations of metrics related to captured network data
US10366101B2 (en) 2014-04-15 2019-07-30 Splunk Inc. Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams
US10360196B2 (en) 2014-04-15 2019-07-23 Splunk Inc. Grouping and managing event streams generated from captured network data
US12028208B1 (en) 2014-05-09 2024-07-02 Splunk Inc. Selective event stream data storage based on network traffic volume
US9531672B1 (en) * 2014-07-30 2016-12-27 Palo Alto Networks, Inc. Network device implementing two-stage flow information aggregation
US9596253B2 (en) 2014-10-30 2017-03-14 Splunk Inc. Capture triggers for capturing network data
US10334085B2 (en) 2015-01-29 2019-06-25 Splunk Inc. Facilitating custom content extraction from network packets
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US20170012923A1 (en) * 2015-07-08 2017-01-12 International Business Machines Corporation Preventing a user from missing unread documents
US10075416B2 (en) * 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US10972461B2 (en) 2018-08-28 2021-04-06 International Business Machines Corporation Device aware network communication management
US11451514B2 (en) * 2019-01-03 2022-09-20 Illumio, Inc. Optimizing rules for configuring a firewall in a segmented computer network
US11019044B2 (en) * 2019-03-08 2021-05-25 Gigamon Inc. Correlating network flows through a proxy device
US11929987B1 (en) * 2020-02-25 2024-03-12 Juniper Networks, Inc. Preserving packet flow information across bump-in-the-wire firewalls

Family Cites Families (93)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5598410A (en) * 1994-12-29 1997-01-28 Storage Technology Corporation Method and apparatus for accelerated packet processing
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US6308148B1 (en) * 1996-05-28 2001-10-23 Cisco Technology, Inc. Network flow data export
US6243667B1 (en) * 1996-05-28 2001-06-05 Cisco Systems, Inc. Network flow switching and flow data export
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
JPH10107795A (ja) 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
US6119236A (en) 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6453345B2 (en) 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6591303B1 (en) * 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US5909686A (en) * 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6088356A (en) * 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6049528A (en) * 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US6775692B1 (en) * 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6006264A (en) * 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6370603B1 (en) 1997-12-31 2002-04-09 Kawasaki Microelectronics, Inc. Configurable universal serial bus (USB) controller implemented on a single integrated circuit (IC) chip with media access control (MAC)
US6205551B1 (en) 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6466985B1 (en) 1998-04-10 2002-10-15 At&T Corp. Method and apparatus for providing quality of service using the internet protocol
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6157955A (en) 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6253321B1 (en) 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US7073196B1 (en) * 1998-08-07 2006-07-04 The United States Of America As Represented By The National Security Agency Firewall for processing a connectionless network packet
US6633543B1 (en) * 1998-08-27 2003-10-14 Intel Corporation Multicast flow control
JP2000092118A (ja) 1998-09-08 2000-03-31 Hitachi Ltd プログラマブルネットワーク
US6311278B1 (en) 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
KR100333250B1 (ko) 1998-10-05 2002-05-17 가나이 쓰토무 패킷 중계 장치
JP3721880B2 (ja) 1998-10-05 2005-11-30 株式会社日立製作所 パケット中継装置
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6301668B1 (en) 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6952401B1 (en) * 1999-03-17 2005-10-04 Broadcom Corporation Method for load balancing in a network switch
US7643481B2 (en) * 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US6600744B1 (en) 1999-03-23 2003-07-29 Alcatel Canada Inc. Method and apparatus for packet classification in a data communication system
EP1143663B1 (en) 1999-06-10 2007-04-25 Alcatel Internetworking, Inc. System and method for selective LDAP database synchronisation
US6606315B1 (en) * 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US6704278B1 (en) 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6742045B1 (en) * 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6633560B1 (en) * 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
US6970913B1 (en) * 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US7051066B1 (en) * 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6650641B1 (en) * 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6735169B1 (en) * 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
JP2001077857A (ja) * 1999-09-08 2001-03-23 Pfu Ltd フィルタリング処理装置及びこれを備えるネットワーク及びその記憶媒体
US6851061B1 (en) 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
US6795918B1 (en) * 2000-03-07 2004-09-21 Steven T. Trolan Service level computer security
JP2001313640A (ja) 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US6654373B1 (en) * 2000-06-12 2003-11-25 Netrake Corporation Content aware network apparatus
US6981158B1 (en) 2000-06-19 2005-12-27 Bbnt Solutions Llc Method and apparatus for tracing packets
US20020032797A1 (en) * 2000-09-08 2002-03-14 Wei Xu Systems and methods for service addressing
AU2001293080A1 (en) 2000-09-28 2002-04-15 Symantec Corporation System and method for analyzing protocol streams for a security-related event
US7054930B1 (en) * 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US7970886B1 (en) * 2000-11-02 2011-06-28 Arbor Networks, Inc. Detecting and preventing undesirable network traffic from being sourced out of a network domain
AU2002232481A1 (en) 2000-11-07 2002-05-21 Fast-Chip, Inc. Switch-based network processor
EP1338130B1 (en) 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US6781992B1 (en) 2000-11-30 2004-08-24 Netrake Corporation Queue engine for reassembling and reordering data packets in a network
US6975628B2 (en) 2000-12-22 2005-12-13 Intel Corporation Method for representing and controlling packet data flow through packet forwarding hardware
AU2002251780A1 (en) * 2001-01-25 2002-08-06 Crescent Networks, Inc. Dual use rate policer and re-marking logic
US7099350B2 (en) * 2001-04-24 2006-08-29 Atitania, Ltd. Method and apparatus for converting data between two dissimilar systems
US7543066B2 (en) 2001-04-30 2009-06-02 International Business Machines Corporation Method and apparatus for maintaining session affinity across multiple server groups
US6901052B2 (en) * 2001-05-04 2005-05-31 Slt Logic Llc System and method for policing multiple data flows and multi-protocol data flows
US20020165956A1 (en) * 2001-05-07 2002-11-07 Peter Phaal Traffic driven scheduling of active tests
AU2002257444A1 (en) 2001-05-17 2002-11-25 Solidum Systems Corporation Distributed packet processing system with internal load distribution
CN1145318C (zh) * 2001-06-26 2004-04-07 华为技术有限公司 一种因特网服务提供者安全防护的实现方法
US7239636B2 (en) * 2001-07-23 2007-07-03 Broadcom Corporation Multiple virtual channels for use in network devices
US20030033463A1 (en) * 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
JP2003078549A (ja) 2001-08-31 2003-03-14 Hitachi Ltd パケット転送方法およびその装置
US7331061B1 (en) * 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
WO2003025766A1 (en) 2001-09-14 2003-03-27 Nokia Inc. System and method for packet forwarding
US6976154B1 (en) * 2001-11-07 2005-12-13 Juniper Networks, Inc. Pipelined processor for examining packet header information
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
DE10201655C1 (de) 2002-01-17 2003-07-31 Amcornet Gmbh Multifunktions-Server,insbesondere Twin-Firewall-Server
US7222366B2 (en) 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US20030149887A1 (en) 2002-02-01 2003-08-07 Satyendra Yadav Application-specific network intrusion detection
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7734752B2 (en) * 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US6856991B1 (en) * 2002-03-19 2005-02-15 Cisco Technology, Inc. Method and apparatus for routing data to a load balanced server using MPLS packet labels
JP3788803B2 (ja) 2002-10-30 2006-06-21 富士通株式会社 L2スイッチ
US20050102497A1 (en) 2002-12-05 2005-05-12 Buer Mark L. Security processor mirroring
US7895431B2 (en) * 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) * 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Also Published As

Publication number Publication date
US8332948B2 (en) 2012-12-11
US20100132030A1 (en) 2010-05-27
US9100364B2 (en) 2015-08-04
WO2004088952A2 (en) 2004-10-14
DE602004008055D1 (de) 2007-09-20
US8726016B2 (en) 2014-05-13
EP1618724B1 (en) 2007-08-08
US7650634B2 (en) 2010-01-19
ATE369691T1 (de) 2007-08-15
WO2004088952A3 (en) 2004-12-16
EP1618724A2 (en) 2006-01-25
US20130067561A1 (en) 2013-03-14
JP2006521776A (ja) 2006-09-21
DE602004008055T2 (de) 2007-11-22
CN1768516A (zh) 2006-05-03
US20140259146A1 (en) 2014-09-11
CN100556031C (zh) 2009-10-28
US20040030927A1 (en) 2004-02-12

Similar Documents

Publication Publication Date Title
JP4906504B2 (ja) インテリジェント統合ネットワークセキュリティ装置
JP4490994B2 (ja) ネットワークセキュリティデバイスにおけるパケット分類
US7610375B2 (en) Intrusion detection in a data center environment
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US7076803B2 (en) Integrated intrusion detection services
US7222366B2 (en) Intrusion event filtering
US20070133537A1 (en) Leveraging active firewalls for network intrusion detection and retardation of attack
US20050044422A1 (en) Active network defense system and method
US10904288B2 (en) Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
JP2005517349A (ja) マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法
JP7388613B2 (ja) パケット処理方法及び装置、デバイス、並びに、コンピュータ可読ストレージ媒体
Albanese et al. Deceiving attackers by creating a virtual attack surface
Mohammed et al. Honeycyber: Automated signature generation for zero-day polymorphic worms
Tudosi et al. Secure network architecture based on distributed firewalls
Mubarakali et al. A survey: Security threats and countermeasures in software defined networking
Alshamrani Reconnaissance attack in sdn based environments
Balogh et al. LAN security analysis and design
Ohri et al. Software-defined networking security challenges and solutions: A comprehensive survey
Lei Towards Better Kernel and Network Monitoring of Software Actions
Mustapha et al. Rethinking Deep Packet Inspection Design and Deployment in the era of SDN and NFV
Adabala et al. A Prevention Technique for DDoS Attacks in SDN using Ryu Controller Application
Nurika Genetic Algorithm Optimized Packet Filtering

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080715

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081014

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081114

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20081114

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090519

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090521

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20091110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100309

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20100317

A912 Re-examination (zenchi) completed and case transferred to appeal board

Free format text: JAPANESE INTERMEDIATE CODE: A912

Effective date: 20100402

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20120110

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20150120

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4906504

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees