KR101111433B1 - 능동 네트워크 방어 시스템 및 방법 - Google Patents
능동 네트워크 방어 시스템 및 방법 Download PDFInfo
- Publication number
- KR101111433B1 KR101111433B1 KR1020107026179A KR20107026179A KR101111433B1 KR 101111433 B1 KR101111433 B1 KR 101111433B1 KR 1020107026179 A KR1020107026179 A KR 1020107026179A KR 20107026179 A KR20107026179 A KR 20107026179A KR 101111433 B1 KR101111433 B1 KR 101111433B1
- Authority
- KR
- South Korea
- Prior art keywords
- delete delete
- packets
- packet
- data flow
- header
- Prior art date
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
- G06F15/16—Combinations of two or more digital computers each having at least an arithmetic unit, a program unit and a register, e.g. for a simultaneous processing of several programs
- G06F15/163—Interprocessor communication
- G06F15/173—Interprocessor communication using an interconnection network, e.g. matrix, shuffle, pyramid, star, snowflake
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/54—Store-and-forward switching systems
- H04L12/56—Packet switching systems
- H04L12/5601—Transfer mode dependent, e.g. ATM
- H04L2012/5603—Access techniques
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
- H04L43/0888—Throughput
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
능동 네트워크 방어 시스템은, 자동화된 방식으로 트래픽을 모니터하고 차단할 수 있도록 제공된다. 상기 능동 네트워크 방어 시스템은, 네트워크 기반구조의 일부분으로서 패킷 트래픽 데이터 플로우에 관해 인-라인으로 배치된다. 이러한 구성으로, 모든 통과 패킷의 검사 및 조작이 가능하다. 알고리즘 필터링 동작은 복수 세션들에 걸쳐 존재하는 위협들을 식별하기 위하여 통계적인 스레스홀드 필터링을 데이터 플로우에 적용한다. 트리거 필터링 동작은 개별 세션들 내에 존재하는 위협들을 식별하기 위하여 헤더 및 컨텐츠 매칭 필터링을 데이터 플로우에 적용한다. 위협적인 패킷 트래픽은 차단되고, 위협적인 세션들이 중단된다. 의심스러운 트래픽은 추가적 검사를 위해 자산 위험 분석뿐만 아니라 더 포괄적인 컨텐츠 매칭을 사용하여 데이터 플로우로부터 추출된다.
Description
[관련출원]
본 출원은 2002년 4월 30일 출원된 출원 계속 중인 미국 특허출원 번호 10/136,889의 제목 "NETWORK SECURITY SYSTEM INTEGRATION"에 관한 것으로, 이 출원은 참고문헌으로서 여기에 인용된다.
본 출원은 2002년 8월 12일에 출원된 출원 계속 중인 미국 특허출원 번호 10/217,862의 제목 "MULT-LEVEL PACKET SCREENING WITH DYNAMICALLY SELECTED FILTERING CRITERIA"에 관한 것으로, 이 출원은 참고문헌으로서 여기에 인용된다.
본 발명은 네트워크 침입의 검출 및 억제에 관한 것이다.
기업들이 사업을 경영하기 위하여 점점 더 인터넷을 사용함에 따라, 인터넷을 통해 전달되고 액세스 가능한 기밀 정보 및 민감한 정보의 양 또한 증가하고 있다. 개인들과 달리, 외부 침입자에 대해 보안이 유지되는 기업들이 지난 수십년 동안 사업을 위해 사용했던 전용 통신 네트워크들, 인터넷 및 기업에 연결된 네트워크들은, 그들의 개방성 및 액세스의 용이함 때문에 보안 위협들 및 악의적인 도청에 취약하다. 최근, 이러한 기밀 정보에 접근하고자 하거나 네트워크 통신들에 간섭할 목적으로 시도되는 네트워크 보안 위반 또는 해커 공격의 빈도가 증가해왔다.
네트워크 공격들은, 어떻게 이러한 공격들을 수행하는지에 관한 툴(tool)들 및 정보의 이용가능성, 해커 정교함의 향상, 공격에 취약한 네트워크 액세스 포인트들 개수의 증가, 및 인터넷을 통해 전달되고 액세스 가능한 전체 기밀 정보량 증가로부터 부분적으로 기인하여, 점점 더 성행할 뿐만 아니라 더욱 정교하고 심각해지고 있다. 이러한 공격들은, 공격자가 웹 사이트에 다수의 패킷들 또는 웹 사이트를 압도하는 요청들이 쇄도하게 하여 정당한 사용자들이 웹 사이트에 액세스하는 것을 방해하는, 분산 서비스 거부(distributed denial of service)를 포함한다. 다른 타입의 공격들은 웹 사이트로의 액세스를 방해할 뿐만 아니라, 웹 사이트의 보안을 뚫고 해커들이 서버를 제어하게 하고 웹 사이트를 손상시키거나, 민감한 정보를 훔치게 한다. 다른 공격들은, 해커들이 인터넷을 통해 전송된 기밀 통신을 남용하게 하는 악의적인 도청을 포함한다. 기밀 통신이 서툴게 수행된다면, 기업의 사업에 대한 손실, 또는 적어도 기업 명성의 손실이 증가할 것이다. 상당한 비용 및, 서비스 거부 공격들로부터 야기되는 부정적인 평판도 존재한다. 이러한 모든 타입의 공격에 대응하기 위한 시도로서, 기업들은 높아진 네트워크 취약성 우려에 대처하기 위해 그들의 보안 예산을 증가시키고 있다.
침입 검출 시스템은 일반적으로 네트워크 방어의 하나의 조치로서 사용된다. 그러한 시스템들은 일반적으로, 트래픽을 모니터하고, 의심스런 트래픽의 부분들을 식별하고, 이어서 그러한 트래픽이 검출될 때 경보 또는 알람을 발생시키도록 된 수동 시스템이다. 그러한 검출 시스템들이 아무리 지능적이고 정확하다 하더라도, 일반적으로 예상되는 공격에 대응하여 어떠한 능동적인 조치를 취하도록 대비되어 있지않다. 경보는 각각의 의심스러운 동작의 경우에 대해 발생될 수 있으나, 네트워크 보안 관리자에게는 편리하지 않을 수 있다. 그 이유는, 많은 경우에 경보가 발생되고 인식될 무렵에는, 어떠한 의미있는 대응을 제공하기에 너무 늦다는 것이다. 손상은 이미 발생되었다. 단순히, 보안 위반 또는 잠재적인 위반에 대해 인식하는 것은 돌파에 의한 손상이 발생하지 않게 하는 것과는 동일하지 않다.
따라서, 본 기술분야에서의 현재의 침임 검출 시스템은 비록 몇몇 이로운 서비스들을 제공하기는 하지만은, 네트워크 공격에 대한 불충분한 방어 메카니즘인 것으로 인식된다. 설계자들은 예상되는 침입에 몇몇 자동 응답 수단을 제공할 필요를 더 인식한다. 그러한 응답 메카니즘들은, 종래 수동 탐지 모드에서 진보된 공격 억제 모드로 침임 검출 시스템 기능을 확장하도록 의도되어있다. 예를 들어, 침입 검출 시스템에 의해 구현되는 두 개의 알려진 능동 응답 메카니즘들은 (a) (TCP 세션 엔드 포인트에 TCP 리셋 요청을 전송하는) 세션 스나이핑(sniping); (b) (정책 구성 요청을 방화벽(firewall) 또는 라우터에 전송하는) 방화벽 업데이트이다. 그러나, 이러한 능동 메카니즘들은 일반적으로 비효과적이며, TCP/IP가 어떻게 동작하는 지에 대한 기본적인 지식을 가지는 해커에게는 쉽게 바이패스(bypass)된다. 사실, 이러한 응답 메카니즘들은, 공격에 의해 자신의 주소를 속은 무고한 서버들에 대해 서비스 거부 응답 공격을 발족하거나, 잘못하여 합당한 서버로의 액세스를 거부함으로써, 희생 네트워크에 의해 배척될 수 있다.
그러한 네트워크 보호를 제공하는 것에 관한 종래 기술의 현상태는, 범용 프로세서에서 구현되는 소프트웨어-기반 침입 검출 시스템을 이용한다. 그러한 구현의 어려움은, 소프트웨어가 네트워크를 적절히 보호하기 위해 요구되는 패킷 검사, 비교 및 분석을 행하기에 충분히 신속하게 수행될 수 없다는 것이다. 게다가, 소프트웨어-기반 솔루션은 매우 느리기 때문에, 이러한 구현들은 위험한 트래픽이 피보호 네트워크에 진입하는 것을 효과적으로 차단하기 위한 방식으로 동작할 수 없다.
따라서, 종래 침입 검출 시스템들은, 응답 메카니즘을 구비한 때에도, 그들의 수동적인 리스닝 구성 때문에 적절한 네트워크 방어 전략을 더 이상 표시할 수 없다. 강화된 능동 응답 침입 검출 시스템들은, 충분한 능동 방어 수단을 제공하지 않는것으로 인식된다. 따라서, 향상된 동작 능동 네트워크 방어 시스템 및 방법은, 점점 정교해지고 더욱 위험한 네트워크 공격들로부터 네트워크들을 보호할 필요가 있다.
본 발명의 일 실시예에 따르면, 네트워크 방어 시스템은 패킷의 데이터 플로우에 관하여 인-라인(in-line)으로 연결된 상태 관리기 기능(functionality)을 포함한다. 상태 관리기 기능은 데이터 플로우에 현재 존재하는 세션들을 추적하고, 이력(historical)의 패킷 관련 데이터를 저장한다. 상기 시스템은, 복수의 세션들에 걸친 데이터 플로우의 패킷들이 보호 네트워크에 위협을 나타내는지 결정하기 위하여, 추적된 세션들과 이력의 패킷 관련 데이터의 통계적 분석을 수행하도록 된 알고리즘 필터를 더 포함한다.
상기 시스템은 패킷들의 데이터 플로우에 관하여 인-라인으로 연결된 패킷 핸들러를 더 포함한다. 상기 패킷 핸들러는 위협의 존재에 응답하여 위협적인 패킷들을 차단하는 동작을 한다.
상기 시스템은 패킷들의 데이터 플로우에 관하여 역시 인-라인으로 연결된 트리거 필터를 더 포함한다. 상기 트리거 필터는 개별 세션들에서 위협적인 패킷들을 검출하기 위해 설계된 기준들에 대해 데이터 플로우의 패킷들을 필터링한다. 트리거 필터는, 복수의 세션들에 걸친 위협적인 패킷들을 검출하기 위하여 설계된 기준들과 비교하고, 알고리즘 필터의 의심 결정에 응답하여 데이터 플로우의 의심스러운 패킷들을 필터링한다.
상기 시스템은 또한, 패킷들의 데이터 플로우에 관하여 인-라인으로 연결된 플로우 제어기를 더 포함한다. 플로우 제어기는 데이터 플로우에 따라 패킷들의 통과 속도를 조정하도록 된다.
패킷들이 의심스러운 것으로 식별되는 경우에, 상기 시스템은 위협 검증기를 더 포함한다. 의심스러운 것으로 식별된 패킷들은 데이터 플로우로부터 추출되고, 이어서 인-라인 트리커 필터에 의해 사용되는 것보다 더 포괄적인 필터링 기준을 사용하는 위협 검증기에 의해 필터링된다. 더 포괄적인 분석은, 의심스러운 것으로서 추출된 패킷들이 실제 위협적인지 여부를 밝히도록 설계된다.
의심스러운 패킷들은 위험 평가기에 의해 분석될 수도 있다. 상기 위험 평가기는 의심스러운 추출된 패킷들을 검사하고, 그것들이 네트워크 내에 있는 식별가능한 자산들에 위협이 되는지를 검사한다.
본 발명은, 라인 속도에서 의심스러운/위험한 컨텐츠에 대해 세밀한(deep) 패킷 검사를 수행할 수 있기 때문에, 종래 기술의 소프트웨어-기반 침입 검출 시스템과 대비해 상당한 향상을 제공하는 장점을 지니다. 빠른 경로 패턴 매칭의 수행은, 고속 패킷 핸들링의 핵심이며, 아울러 공격에 대해 네트워크 보호를 제공한다. 패턴 매칭을 위해 필요한 속도를 지원하고 그에 따라 세밀한 패킷 검사를 달성하기 위하여, 패턴 매칭 동작은 바람직하게는 복수의 병행 패턴 매칭 동작을 사용하여 수행된다. 이러한 방식으로 구현된 시스템은, 장래의 필요성에 대처하도록 쉽게 확장가능하다.
게다가, 몇몇 패킷들은 더욱 주의 깊은 검사를 요구할 것으로 인식된다. 이를 위해, 본 발명은 더욱 분석되어야 하는 패킷들을 식별하기 위해 초기 스크리닝을 수행하는 장점을 갖는다. 이들 패킷들은 데이터 플로우로부터 추출되고, 이후 개별의 프로세스 플로우에서 더욱 주위 깊게 스크리닝된다.
본 발명의 바람직한 실시예에서, 상기 시스템은 패킷 처리 속도를 유지하면서 패킷 스크리닝의 적절한 레벨을 제공하기 위하여 혼합 하드웨어/소프트웨어 솔루션을 이용하는 장점을 갖는다. 인-라인 요소들이 하드웨어로 바람직하게 구현된다. 예를 들어, 패킷 매칭 동작은, 종래 소프트웨어-기반 침입 검출 솔루션보다 훨씬 더 신속하게 동작하는 하드웨어 설계를 사용하여 수행된다. 제어 및 구성은 시스템에 유연성 레벨을 부여하기 위하여 소프트웨어로 핸들링될 수 있다. 더욱이, 시스템이 그러한 패킷들에 의해 존재하는 위험을 더 신중히 고려하도록 데이터 플로우로부터 추출된 패킷들의 라인밖에서의 처리는 소프트웨어로 수행하는 것이 바람직하다. 이러한 아키텍춰는 상기 시스템이 데이터 속도의 증가에 따라 확장될 수 있게 해준다.
본 발명의 방법 및 장치는 첨부된 도면을 참조로 한 하기의 발명의 상세한 설명에 의해 더욱 완전하게 이해될 수 있다.
도 1은 본 발명에 따르는 능동 네트워크 방어 시스템의 블록도이다.
도 2는 도 1의 시스템의 보다 상세한 블록도이다.
도 2는 도 1의 시스템의 보다 상세한 블록도이다.
본 발명은 자동으로 트래픽을 모니터하고 차단하도록 된 능동 네트워크 방어 시스템을 제공한다. 상기 능동 네트워크 방어 시스템은 모든 통과 패킷들을 검사하고 가능하다면 조작하기 위하여 네트워크 기반구조의 일부분으로서 인라인으로 (즉, 패킷 트래픽 데이터 플로우에) 배치된다. 상기 네트워크 방어 솔루션은, 종래 기술의 수동적인 침입 검출 시스템과 차별화되는 극적인 기술전환을 제공한다.
중요하게, 이 능동 네트워크 방어 시스템은 라인 속도로 신뢰할 수 있게 동작할 수 있다. 이 시스템이 악의적인 패킷들을 검출할 때, 그 패킷들을 드롭(drop)하기 위한 동작이 즉시 취해지고, 그에 따라 손상 받을 수도 있는 네트워크에 그 패킷이 진입되는 것을 방지한다. 따라서, 패킷을 드롭하는 경우 공격은 즉시 차단되어, 어떠한 손상도 복구할 필요가 없고 어떠한 경보도 처리될 필요가 없는 추가적인 이점들이 제공된다.
능동 네트워크 방어 시스템은 몇몇 추가적인 이점들을 제공한다. 능동 네트워크 방어 시스템은 패킷들을 단지 차단하는 것을 넘어서 수정할 수 있는 능력을 갖는다. 몇몇 중요한 것 중 하나의 패킷 수정 개념은 정규화 개념이다. 정규화는 프로토콜 또는 표준의 특정 이행(implementation)의 준수를 강제하는 프로세스이다. 예를 들어, 일반적인 침입 검출 시스템 도피 기술은, 타겟 시스템들이 프래그먼트(fragment)를 핸들링하는 방식이 제각각이다. 몇몇 시스템들은 오버래핑 프래그먼트를 처음의 오버래핑 패킷의 데이터와 재조합(reassembly)하고, 다른 시스템들은 마지막 패킷의 데이터와 재조합한다. 침입 검출 시스템은 타겟이 어떻게 재조합할지를 추측하거나 혹은 모든 가능성을 고려할 필요가 있다. 타겟이 어떻게 동작할 것인지 예측하는 것에 실패함으로써, 공격들이 검출되지 않거나 잘못된 경보가 발생될 수 있다. 반대로, 본 발명의 능동 네트워크 방어 시스템은 인-라인으로 배치하고 모든 패킷들을 차단함으로써, 세트 알고리즘을 사용하여 프래그먼트를 재조합하고 재조합된 패킷들을 전송하는 것에 의해 정규화를 수행할 수 있다. 플로우를 정규화하는 것은, 패킷 또는 플로우가 서로 다른 타겟 시스템들에서 어떻게 핸들링될 것인지를 추측할 필요성을 제거하고, 검출 회피 기법들을 저지시킨다.
능동 네트워크 방어 시스템은 패킷 플로우(단위 시간당 처리량)를 능동적으로 관리할 수도 있다. 플로우를 감속시키는 이러한 개념은, 능동 네트워크 방어 시스템이 알려진 "양호(good)" 트래픽을 우선시 하도록 함과 아울러, 의심스러운 트래픽의 통과를 제한하거나 늦춘다. 이러한 관점에서, 많은 서비스 거부 공격들은 정당한 트래픽과 구분할 수 없는 트래픽을 생산하는 것으로 인식된다. 특정한 속성을 가지는 것으로 검출된 트래픽을 감속시킴으로써, 서비스 거부 공격이 적어도 타겟 리소스에 쇄도하는 것을 저지할 수 있다 (더 나아가 중단시키는 것이 가능하다). 추가적인 이점들로서, 감속 제어를 가능하게 함으로써, 능동 네트워크 방어 시스템을 통해 거기에 더 높은 우선 순위를 할당하고, 그에 따라 네트워크 생산성을 향상시킴으로써 임무 기준 트래픽 처리량이 증가될 수 있다.
성공적인 능동 네트워크 방어 시스템을 위하여, 라인 속도 및 짧은 대기시간으로 패킷 트래픽의 상태 검사를 수행할 수 있어야 한다. 예를 들어, WAN/LAN 액세스 속도는 멀티-기가비트 범위 내에 있고, 그에 따라 능동 네트워크 방어 시스템은, 스위치들 및 라우터들에 전형적인 밀리초 대기시간을 갖는 기가비트 속도의 하드웨어 성능들을 가져야 한다. 여기서의 목적은 세밀한 패턴 매칭(deep pattern matching)을 수행하는 것이다. 능동 네트워크 방어 시스템은, 유용한 트래픽을 폐기하는 것을 방지하는 신뢰 수단을 가져야한다. 또한, 능동 네트워크 방어 시스템이 네트워크 기반 구조의 일부분으로서 구현되기 때문에, 높은 이용가능성을 전달할 수 있어야 한다.
이러한 배경을 고려하여 이제, 본 발명에 따른 능동 네트워크 방어 시스템 및 방법의 더 상세한 고찰이 제시된다.
도 1 및 2는 본 발명에 따른 능동 네트워크 방어 시스템(10)의 블록 다이어그램을 보인 것이다. 시스템(10)은 기업의 네트워크 기반구조(12)의 일부분으로서 구성된다. 바람직하게 상기 구성은 상기 시스템(10)이 모니터될 데이터 플로우(14)에 관해 인-라인으로 배치되도록 한다. 그러한 인-라인 배치는, 데이터 플로우(14) 내에서 각각의 그리고 모든 패킷(16)의 검사와, 가능하다면 조작을 용이하게 한다. 따라서, 이 시스템은 (비록 라인 속도를 초과하지는 않더라도) 데이터 플로우(14)의 라인 속도에 근접한 속도로 동작하는 것이 필수적인다. 인-라인 프로세싱을 통해, 상기 시스템은 각각의 통과 패킷들에 관하여 세밀한 패킷 검사를 수행한다.
다수의 인-라인 기능들은 시스템(10)에 의해 제공된다. 상기 기능들 중 첫번째는 상태 관리기 기능(20)을 포함한다. 상태 관리기(20)는 데이터 플로우(14)의 능동 모니터링과 관련된 두 개의 핵심 동작을 수행한다. 먼저, 상태 관리기(20)는 세션 관리 동작(22)을 구현한다. 이 세션 관리 동작(22)은 데이터 플로우(14)를 통해 전달될 패킷 트래픽에 관한 각 세션의 상태를 모니터하고 관리한다. 특히, 세션 관리 동작(22)은 테이블 또는 다른 메카니즘을 사용하여 세션이 현재 데이터 플로우(14)에 존재하는지 추적하고, 검사를 위해 이력의 패킷 관련 데이터를 저장한다. 예를 들어, 연결 테이블은 (TCP SYN, SYN ACK 등과 같은) 각 연결 상태에 관한 데이터를 유지하는데 사용될 수 있다. 보유될 수 있는 이력의 패킷 관련 데이터의 예시적인 타입들은 다음의 것들을 포함한다:
- 프래그먼트 패킷들의 재조합;
- TCP 세션 플로우들의 재조합;
- 협의 절충된 단명(ephemeral) 포트들의 유지(예를 들어, FTP는 데이터를 교환할 동적 포트를 형성한다);
- 연결 확립 상태(예컨대, 연결을 확립하는데 있어 TCP에 대한 잘 정의된 교환과 같은 통신 호스트들 간의 적절한 핸드쉐이크); 그리고
- (애플리케이션들 또는 프로토콜들이 상기 애플리케이션들 또는 프로토콜들의 사양들을 위반하지 않거나, 상기 애플리케이션들 또는 프로토콜에서 알려진 취약성을 사용하지 않는 잘 정의된 상태로 변환하는 것을 보증하는) 프로토콜 및 애플리케이션 레벨 상태 정보.
데이터 플로우(14)에서 각 패킷(16)은, 각 패킷들이 인식된 세션들과 관련된다는 보증 목적을 위해 세션 관리 동작(22)에 의해 인-라인으로 검사된다. 그 경우에, 세션과 관련되지 않는 패킷(16)이 검사되고, 불량 패킷(16)은 의심스럽거나 위협적인 것으로 식별되어, 시스템(10)에 의해 차단된다. 게다가, 시스템이 위협적인 또는 의심스런 패킷들을 발견할 때, 패킷들과 세션들 사이의 관계 기록은 검출된 패킷을 포함하는 세션 내의 모든 패킷들을 (드롭하거나 추가적으로 시험하는 것에 의해) 시스템(10)이 유사하게 핸들링하도록 선택하기 위해 유지된다. 상기 개념은 "세션 방향 변경"으로 언급된다.
둘째로, 상태 관리기(20)는 패킷 및 플로우 재조합 동작(24)을 구현한다. 상기 동작과 관련하여, 네트워크의 공격들은 복수의 패킷들로 분할되는 것으로 간주된다. 이러한 방식으로, 공격자는 여러개의 패킷들에 대한 공격을 은폐하려 하는 바, 이들 패킷들을 개별적으로 보아서는 공격받지 않는 양호한 패킷으로 잘못 인지된다. 상기 공격으로부터 보호하기 위하여, 상기 패킷 및 플로우 재조합 동작(24)은, 공격의 존재를 시험하고 검출하기 위해 (상기 참조된 이력의 데이터를 사용하여) 시간에 걸쳐 확립된 연결들에 관하여 데이터 플로우(14)를 모니터하고, 다수의 패킷들 및 그들의 컨텐츠들을 검사한다. 이러한 방식으로, 패킷 플로우 및 재조합 동작은 패킷들 및 그들의 패이로드들을 추적하고, 패킷들 간의 관계를 식별하며, 잠재적인 위협에 대해 분석된 재조합된 패킷 데이터와 함께 패킷 패이로드들을 재조합한다. 이 경우, 공통 플로우에 대해 한 무리의 패킷(16)이 검사되고, 재조합시 위협이 되는 것으로 결정될 때, 상기 패킷들(및 동일한 플로우 또는 세션내의 관련 패킷들)은 상기 시스템(10)에 의해 차단될 수 있고/거나, 상기 위협적인 패킷들과 관련된 플로우/세션은 상기 시스템(10)에 의해 중단될 수 있다. 따라서, 이 기능들은 패킷 바운더리들에 걸친 패턴 매칭의 추적을 가능하게 한다.
정규화 프로세스는 특정 표준들의 준수를 강제하도록 설계된 다수의 서로 다른 패킷 핸들링 절차를 수반할 수 있다. 상기 프로세스는 상태 관리기가 데이터 플로우를 통과하는 각 패킷을 "접촉"하기 때문에 본 발명과 관련되어 수행된다. 예를 들어, 정규화는 보호 네트워크에 관해 상기 시스템이 특정한 재조합 정책을 정의하게 한다. 프래그먼트 패킷들의 위협을 인식할 시, 이 정책은 순서를 벗어나 도달하는 패킷들을 무조건적으로 차단할 것을 지시하며, 그에 따라 전송측 엔티티로 하여금 패킷들을 피보호 네트워크에 의해 수신되기 이전에 정호가한 순서로 재전송하게한다. 정규화는 또한, 상기 시스템(10)이 IP 옵션들에 관한 특정 해석 규칙을 이행하게 한다. 게다가, 정규화는 모든 코드화된 (예컨대, 헥스 또는 유니코드) 패킷들이 피보호 네트워크로 통과되기 이전에 먼저 복호화되어야 함을 요구할 수 있다. 따라서, 이러한 동작들은 특정 규칙들 또는 정규화 제약들에 대한 준수를 강제하고, 공격으로부터 네트워크를 더 잘 보호한다.
상태 관리기는, 최대 가능 속도로 (바람직하게는 데이터 플로우에 대한 라인 속도를 초과하는 속도로) 필요한 작업들을 실행할 수 있는 능력을 갖도록 애플리케이션 커스터마이징 하드웨어 부분으로서 구현된다.
상태 관리기(20)의 동작을 보조하기 위하여, 통과 패킷 트래픽의 특성에 관한 데이터가 상태 관리기(20)에 의해 수집된다. 예를 들어, 이 데이터는 전술한 연결 테이블에서 컴파일되거나 수집될 수 있다. 이 데이터는 개별 세션들의 패킷 트래픽들에 대한 정보뿐만 아니라, 서로 다른 복수의 세션들에 걸친 패킷 트래픽에 관한 정보도 포함한다.
상태 관리기와 알고리즘 필터링 동작 간의 데이터 관계의 두 개의 구현이 가능하다. 제 1 구현으로서, 상기 데이터는 오직 상태 관리기에서 수집되어, 알고리즘 필터링 동작에 보고된다. 제2 구현으로서, 상기 데이터는 상태 관리기에서 수집되어 요약되고, 이어서 상기 요약이 알고리즘 필터링 동작에 보고된다. 제2 구현이 바람직한바, 그 이유는 필터가 필터링 동작을 수행하기 이전에 이러한 요약을 수행할 필요를 없게 해주며, 이에 따라 처리 속도가 증가되기 때문이다. 그러나, 이러한 제2 구현은 더 복잡한 하드웨어 상태 관리 구현을 요하는 바, 이는 설계비용의 추가를 수반하게된다.
수집된 데이터는 알고리즘 필터링 동작(28)에 보고된다(26). 상기 알고리즘 필터링 동작(28)은, 보고된 데이터가 잠재적인 문제(즉, 의심스러움) 또는 위협을 표시하는지를 결정하기 위해 이 데이터에 대해 통계적인 분석을 수행한다. 상기 알고리즘 필터링 동작(28)에 의해 수행되는 통계적인 분석은 (복수의 서로 다른 세션들에 걸친 데이터 플로우에서의 패킷 트래픽의 특성에 관하여 보고되는 데이터에 의해 밝혀지는) 주소 스윕(sweep) 공격들, 포트 스캔 공격들 및 서비스 거부 공격들의 인스턴스들(instances)을 포착하도록 설계된다. 상기 목적을 성취하기 위하여, 일련의 알고리즘 필터들(30)은 복수의 세션들에 걸쳐 발생하는 인식된 네트워크 위협들을 식별, 검출 및 차단하도록 설계 및 구성된다. 이어서, 이 알고리즘 필터들(30)은 일 세트의 검출 엔진들(32)에 제공되는 바, 복수의 인식된 세션 공격 시나리오들 (예컨대 주소 스윕, 포트 스캔, 및 서비스 거부) 각각에 대해 하나의 엔진이 채용된다. 각 검출 엔진(32)은 또한, 개별 세션들의 패킷 트래픽에 관한 상태 관리기(20)에 의해 수집 및 보고되는(26) 데이터(또는 이것의 서브셋) 뿐만 아니라 서로 다른 복수의 세션들에 걸친 패킷 트래픽에 대한 정보를 수신한다. 알고리즘 필터들(30)에 대해 통계적인 방식으로 상기 보고(26) 데이터를 평가함으로써, 각각의 검출 엔진(32)은 네트워크가 현재 복수-세션 공격하에 있는지에 관한 결론에 이를 수 있다. 이어서, 알고리즘 필터링 동작(28) 내의 관리 기능(34)이, 상태 관리기(20)에 적절한 피드백(36)을 제공함으로써 검출 엔진들(32)의 결론에 따라 동작한다. 데이터 플로우에서 복수의 세션 패킷들로부터의 위협이 검출되는 상황에서, 이 위험한 패킷들은 상기 시스템(10)에 의해 차단될 수 있고/있거나, 그러한 패킷들과 관련된 세션들은 상기 시스템(10)에 의해 중단될 수 있다.
이 알고리즘 필터링 동작은, 그 동작의 지속적인 유연성 및 보안 위험들에 맞춰지고 조정될 수 있도록 커스터마이징 가능한 (하드웨어 상태 관리기와 인터페이스하는) 소프트웨어 애플리케이션으로 바람직하게 구현된다. 이러한 방식으로, 상기 위협 검출 성능이 필요에 따라 확장될 수도 있다. 부가적으로, 알고리즘 필터링 동작에 의해 수행되는 기능을 제한함과 아울러 하드웨어에서 효율적이고 빠르게 실행될 수 있는 상태 관리기에 (위협 검출 동작은 물론) 많은 기능들을 부여함으로써, 전반적인 패킷 처리 속도가 빠르게 유지될 수 있으며, 상기 동작이 라인 속도로 실행되게 할 수 있다.
상기 시스템(10)에 의해 제공되는 인-라인 기능 중 두 번째는, 세밀한 패킷 검사를 용이하게 하는 상태 패턴 매칭(stateful pattern matching)의 형태를 구현하는 트리거 필터 기능(50)을 포함한다. 트리거 필터(50)는 데이터 플로우(14)의 능동 모니터링과 관련하여 두 개의 필터링 동작을 수행한다. 먼저, 패킷 헤더 매칭 동작(52)은 각 패킷들을 조사하고, 헤더 필드 값이 위험한 트래픽의 의심을 야기하는지를 결정한다. 이러한 동작은 공격을 표시하는 정보의 존재에 대해 (예컨대, 수신 및 발신 IP 주소, 수신 및 발신 포트들 등과 같은) 고정된 헤더 필드들을 검사하는 것을 포함한다. 예를 들어, 패킷들은 자신의 헤더 정보에 기초하여 분류될 수 있다. 이어서, 이러한 분류는 단지 필터링에 사용될 수 있거나 혹은 하기에 논의하는 바와 같이 다른 필터링 동작을 수행하는 것과 관련하여 제공되도록 사용될 수 있다. 두 번째로, 패킷 컨텐츠 매칭 동작(54)이 각 패킷들을 조사하고, 컨텐츠(캐릭터) 스트링들 및/또는 정규 표현 값이 위험한 트래픽의 의심을 야기하는지를 결정한다. 이러한 동작은, 패킷 패이로드 요소들을 공격과 관련된 것으로 식별되는 스트링들 및 표현들에 매칭시키는 것을 포함한다. 검출된 헤더 필드 값들 및 컨텐츠 스트링들/정규 표현 값들의 검출된 조합에 기초하여 의심스러운 패킷들을 검출하기 위하여, 상기 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)이 서로 연계하여 동작하는 것이 이점이 있음을 인식할 수 있을 것이다. 위협이 검출되는 상황에서, 위험한 패킷들은 상기 시스템(10)에 의해 차단될 수 있고/있거나, 상기 패킷들과 관련된 세션들은 상기 시스템(10)에 의해 중단될 수 있다.
비록 상기 설명이 위험하거나 의심스러운 트래픽을 찾는 (그리고 이어서 그 트래픽을 차단하는) 트리거 동작에 초점을 두고 있으나, 몇몇 경우에 "양호(good))" 트래픽의 품질들 및 특성들을 찾도록 상기 트리거들을 구현 및 필터들을 설계하는 것이 가능하다. 이러한 경우에, "양호" 기준을 충족하는 것으로 식별되지 않은 모든 패킷들은 시스템(10)에 의해 차단되고 양호 특래픽으로 식별된 트래픽은 통과가 허용된다.
트리거 필터 기능은, 최대 가능 속도로 (바람직하게 데이터 플로우에 대한 라인 속도를 초과하여) 필요한 작업들을 수행할 수 있는 능력을 갖도록 하드웨어의 애플리케이션 커스터마이징 부분으로서 구현된다. 보다 구체적으로, 빠른 경로 패턴 매칭을 위한 처리가 병행 처리 아키텍춰로 다수의, 하드웨어로 구현되는 패턴 매칭 컴포넌트의 사용을 통해 수행된다. 이러한 구성은 상기 시스템이 라인 속도로 동작하도록 하며, 미래의 확장성을 제공한다.
트리거 필터의 기능(50)의 동작을 보조하기 위하여, 필터링 기준(또는 규칙)(54)이 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54) 모두에 제공된다. 이러한 규칙들(54)는 검출 트리거들(56)는 물론 검출 예외들(58)를 포함한다. 검출 트리거(56)는 하나 이상의 헤더 필드 값들, 컨텐츠 스트링들 및/또는 정규 표현 값들 각각 또는 이들의 조합을 식별하는 것이며, 단일 세션 패킷의 페이로드 요소에서 검출 트리거의 매칭 존재는 네트워크로에 대한 위협을 나타낸다. 검출 예외(58)는 하나 이상의 헤더 필드 값들, 컨텐츠 스트링들 및/또는 정규 표현 값들 각각 또는 이들의 조합을 식별하는 것이며, 단일 세션의 패킷의 페이로드 요소들에서의 이들의 존재는 비록 의심이 간다하더라도 네트워크에 대한 위협을 표시하는 것으로 판단되지 않아야 한다. 변환 기능(6)이 검출 트리거(56) 및 검출 예외들(58)을 필터링 기준(또는 규칙들)(54)으로 변환하기 위해 제공되며, 이들은 트리거 필터 기능(50)의 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)에 제공되어 활용된다. 예를 들어, 상기 변환은 패킷 헤더 매칭 동작(52) 및 패킷 컨텐츠 매칭 동작(54)에 의한 구현을 위하여 더 낮은 레벨의 머신 코드로의 데이터 변환을 포함할 수 있다.
상기 검출 트리거들(56) 및 검출 예외들(58)은, 인식된 단일 세션 타입 네트워크 위협들의 식별, 검출 및 억제를 위해 특별히 설계되고 맞춰진 검출 시그네춰(62) 세트로부터 파생된다. 예를 들어, (예컨대, 보안 규칙들, 정책들 및 알고리즘들을 포함하는) 검출 시그네춰(62)는 검출된 취약성으로인한 네트워크 손상을 완화 또는 회피하도록 설계될 수 있다. 이러한 시그네춰들(62)은, 예컨대 머신 (호스트) 제조자들, 서비스 공급자들, 인터넷 등을 포함하는 잘 알려진 다수의 소스들 중 어느 하나로부터 얻어질 수 있다. 게다가, 시그네춰들(62)은 보호 네트워크의 관리기에 의해 생성될 수 있다. 더욱이, 시그네춰들(62)은 시그네춰를 생성하는 비지니스 엔티티에 의해 공급될 수 있으며, 여기서 상기 엔티티는 전세계로부터의 위협 정보(예를 들어, 웜, 바이러스, 트로이, 서비스 거부, Access, Failure, Reconnaissance, 다른 의심스러운 트래픽 등)를 수집하고, 수집된 위협들로부터 네트워크 손상을 완화 또는 회피하기 위해 다른 사람들에 의해 사용될 수 있는 정보 및 설계 검출 시그네춰(62)를 분석한다.
검출 시그네춰들(62)은 일반적으로 말해서, 검사 트래픽에 의해 취해진 네트워크로의 잠재적인 위협을 검출하기 위하여, 하나 이상의 추출된 패킷 특성들에 의해 충족되어야 하는 객체 정의 기준(예를 들어, TPC, HTTP 및 URI 관련 기준)을 포함한다. 예로서, 각 검출 시그네춰는 다음의 객체들을 포함할 수 있다:
- 메타 데이터: 시그네춰의 명칭, 식별자, 카테고리 및 등급을 설명한다;
- 동작 세트: 위협이 검출되는 경우 시스템(10)에 의해 수행될 동작 또는 동작들(허가, 거부, 로그, 차단, 종료 등)의 정의;
- 질의: 위협받으며, 시그네춰가 적용되는 특정 네트워크 요소(들)(머신 세트)의 정의(또는 식별자); 그리고
- 시그네춰 정의: 고려되어야 하는 임의의 관련 파라미터들과 함께 위협이 식별되도록 매칭되어야 하는 기준의 세트.
상기 논의된 필터 기준 관리와 관련된 동작들은, 보안 위험들에 맞춰지고 조정될 연속적인 유연성 및 능력을 보장하기 위하여, (하드웨어 트리거 필터 기능과 인터페이싱하는) 커스터마이징 가능한 소프트웨어 애플리케이션으로 바람직하게 구현된다. 이러한 방식으로, 상기 시스템의 위협 검출 성능들은 필요에 따라 확장될 수 있다.
바람직하게, 트리거 필터 기능(50)에 의해 수행되는 필터링 비교 동작은, 패킷 레벨 및/또는 세션 레벨에서 구현된다. 패킷 레벨에서, 검사 및 필터링 동작은 검출 시그네춰들의 규칙을 적용할 때 개별적으로 각 패킷을 고려한다. 세션 레벨에서, 검사 및 필터링 동작은, 검출 시그네춰들의 규칙을 적용할 때 다수의 관련 패킷들을 함께 고려한다. 세션 레벨 비교를 보조하기 위하여, 상기 시스템(10)은 저장된 이력의 패킷 관련 데이터에 관한 상태 정보에 의존한다. 세션 레벨 비교에 있어, 상기 비교 및 필터링은 검사 하의 현재 패킷에 대한 추출된 패킷 특성들 (헤더 또는 패이로드)뿐만 아니라 이력의 패킷 관련 데이터를 고려한다. 시그네춰(62) 기준과 그리고 추출된 패킷 특성들 및 이력의 패킷 관련 데이터의 결합과의 사이에 매칭이 이루어지는 경우, 네트워크(14)로의 잠재적인 위협이 검출된다.
상기 시스템(10)에 의해 제공되는 세 번째 인-라인 기능은 패킷 핸들러 기능(70)을 포함한다. 패킷 핸들러 기능(70)은 상태 관리기 기능(20) 및 트리거 필터 기능(50)이 행한 평가 및 결론에 응답하여 게이트키퍼(gatekeeper)로서 동작하며, 패킷들 및/또는 세션들이 어떻게 핸들링될 지를 결정한다. 보다 구체적으로, 패킷 핸들러 기능은 패킷이 어떤 임의의 요주의(要注意) 대상인지를 결정하기 위해, 상태 관리기(20) 및 트리거 필터 기능(50)의 분석 및 검사 결과를 컴파일하고, 이어서 그 패킷에 대해 적절히 조치한다. 세 개의 핸들링 옵션들은 요주의 대상이 되는 것으로 결정된 패킷들에 대해 이용가능하다. 먼저, 상태 관리기 기능(20) 및 트리거 필터 기능(50) 모두 특정 패킷 또는 세션에 관하여 어떠한 위협, 위험 또는 의심을 검출하지 않는 경우, 상기 패킷 트래픽은 통과(72)가 허용되어 계속 데이터 플로우(14)를 따라 흐르게된다. 둘째로, 상태 관리기 기능(20) 또는 트리거 필터 기능(50) 중 어느 하나가 특정 패킷 또는 세션에 관해 명백한 위협 또는 위헙을 검출하는 경우, 이 패킷 트래픽은 데이터 플로우(14)로부터 차단 및 드롭(74)된다. 세 번째로, 상태 관리기 기능(20) 또는 트리거 필터 기능(50) 중 어느 하나가 특정 패킷 또는 세션에 관한 의심스러운 위협 또는 위험을 검출하는 경우, 이 패킷 트래픽은 이하에서 더 상세히 논의되는 바와 같이 더욱 세밀한 검사를 위하여 데이터 플로우(14)로부터 추출된다(76).
상기 패킷 핸들러 기능은 바람직하게는 데이터 플로우의 통과 패킷들에 관하여 정렬(sorting)을 결정을 하는데 있어서 신속하게 동작할 수 있는 성능을 지니도록 하드웨어로 구현된다.
시스템(10)에 의해 제공되는 네 번째 인-라인 기능들은 플로우 제어 기능(80)을 포함한다. 플로우 제어 기능(80)은 특정한 프로그래밍 가능하거나 형성가능한 우선순위에 기초하여 데이터 경로(140)에 따라 트래픽 플로우 출력을 형성한다. 트래픽 형성은, 특정 패킷 트래픽이 데이터 경로(14)에 따라 통과되도록 허용되는 속도를 증가시킴으로써 (또는 역으로 낮춤으로써) 우선적으로 수행된다. 예를 들어, 알려지고 확인된 양호한 트래픽은 데이터 경로(14)에 전송을 위하여 우선시될 수 있다. 유사하게, 알려진 임무 임계 애플리케이션에 관한 패킷 트래픽에는 다른 더 적은 임계 트래픽보다 높은 우선순위가 주어질 수 있다. 더 일반적으로, 특정 타입의 트래픽은, 그 트래픽이 특정 드레시홀드(threshold)양을 초과하지 않도록 제한될 수 있다. 이는 다운스트림 리소소의 과도한 실행과, 더 높은 우선순위 트래픽과의 간섭을 방지하기 위하여 제공된다.
상기 플로우 제어 기능은, 데이터 플로우의 통과 패킷들에 관한 핸들링을 결정하는데 신속하게 동작할 상기 플로우 제어 기능의 능력을 보존하기 위해 하드웨어로 바람직하게 구현된다.
의심스러운 것으로 식별되어 패킷 핸들러 기능(70)에 의해 데이터 플로우(14)로부터 추출되는(76) 패킷 트래픽에 관하여, 더 신중하고 철저한 검사가 최종 핸들링 결정 이전의 트래픽에 대해 행해진다. 이러한 추가적인 검사는 아웃-오브-라인 위협 검증 기능(100)을 사용하여 수행된다. "아웃-오브-라인(out-of-line)"란, 패킷 트래픽이 메인 데이터 플로우(14)로부터 떨어져 핸들링된다는 것을 의미한다. 위협 검증 기능(100)은 이전에 상세히 논의된 인-라인 트리거 필터 기능(50)과 유사한 방식으로 동작한다. 그러나, 주요 동작 차이가, 수행되는 상세한 검사 레벨과 관련하여 존재한다. 트리거 필터 기능(50)은 인-라인으로 동작해야 하기 때문에, 필터링 기준(또는 규칙들)(54)은 (바람직하게는 상기 논의된 커스터마이징 하드웨어 솔루션을 사용하여) 필수 라인 속도로 구현하도록 설계되어야 한다. 상기 설계 기준은, 트리거 필터 기능(50)으로 하여금 의심스럽고 명백하게 위험하거나 위협적인 패킷 트래픽을 빠르게 식별하도록 설계된 덜 철저한 검사 및 평가에서의 검출 노력에 초점을 맞추게 한다. 상기 검사의 특성은, 더 상세한 분석을 사용하여, 양호한 트래픽이 되는 것으로 결정될 수 있는 의심스러운 특정 양으로서 반드시 식별될 것이다. 그러나, 아웃-오브-라인 위협 검증 기능(100)의 목적은, 의심스러운 트래픽의 양호한 부분을 분리하고 데이터 플로우(14)에 리턴(102)하기 위하여 상기 의심스러운 트래픽을 더 철저하게 평가하는 것이다. 마지막으로, 보안 위험들의 더 철저하고 신중한 평가에 맞춰지거나 조정될 연속적인 유연성 및 능력을 보증하기 위하여 커스터마이징 소프트웨어 애플리케이션으로서 바람직하게 구현될 수 있다.
부분적으로 소프트웨어-기반 구현 때문에, 위협 검증 기능(100)은 트리거 필터 기능(50)과 약간 다른 평가 프로세스를 구현한다. 특히, 위협 검증 기능(100)은 프로토콜 복호기 및 정규 표현 매칭을 사용하여 세밀한 위협 분석을 수행한다. 상기 평가는 트리거 필터링 평가보다 더 많은 시간과 리소스가 소요되나, 훨씬 더 정확한 위협 결정이 얻어진다. 상기 동작을 구현하기 위하여, 위협 검증 기능(100)에 제공되는 필터링 기준(또는 규칙들)(108)은 인-라인 트리거 필터 기능(50)에 적용되는 규칙들(54)보다 더 포괄적이고 분별적이다. 추출(76)된 의심스러운 트래픽의 평가가 아웃-오브-라인으로 수행되기 때문에, 검사될 트래픽 양은 상당히 감소되며, 추가적인 시간은, 각 패킷이 실제로 네트워크에 위협 또는 위험을 나타내는지 여부를 더 신중히 고려하기 위하여, 위협 검증 기능(100)에서 이용가능하다. 관심있는 프로토콜들 및 정규 표현에 관한 검출 검증들(110)이 제공된다. 이어서, 변환 기능(112)이 검출 검증들(110)을 필터링 기준(또는 규칙들)(100)으로 변환하며, 이들은 위협 검증 기능(100)에 제공되어 처리된다. 상기 검출 검증(110)은, 인식된 단일 세션 타입 네트워크 위협들의 식별, 검출 및 억제를 위해 특별히 설계되거나 맞춰진 상기 설명된 바와 같은 동일한 검출 시그네춰(62)세트로부터 얻어진다.
위협 검증 기능(100)은, 세 개의 핸들링 옵션들 중 하나를 선택하여 의심스러운 트래픽의 더 신중한 분석에 응답한다. 첫째, 위협 검증 기능이 패킷 트래픽이 양호하다고 확인하는 경우, 그 패킷 트래픽은 데이터 플로우(14)로 리턴된다. 둘째, 위협 검증 기능이 명백한 위협 또는 위험을 확인하는 경우, 패킷 트래픽은 차단되고 드롭된다(114). 셋째, 명백한 결정(양호하거나 위협적이거나)을 할 수 없는 경우, 패킷 트래픽은 데이터 플로우로 리턴되나(102), 트래픽의 사본은 경보를 발생할 필요가 있는지 결정하기 위한 추가적인 판단 및 핸들링을 위하여 통과된다(116).
트리거 필터 기능(50)에 의해 수행되는 분석과, 위협 검증 기능(100)에 의해 수행되는 분석 간의 차이가 하기의 논의로부터 더 정확히 이해된다. 트리거 필터 기능(50)에 의해 이용되는 필터링 기준은, 수신된 패킷 트래픽의 상대적으로 빠른 검사를 허용하기 위해 하드웨어-기반 트리거링 메카니즘으로서 구현되는 바, 여기에서는 제한된 프로세싱 성능 필터링이 모든 의심스러운 트래픽을 실질적으로 발견하기 위한 설계와 함께 사용되며, 그에 따라 상기 필터는 위험한 트래픽과 함께 잘못하여 불가피하게 부가된 몇몇 양호한 트래픽(즉, 정확성이 상대적으로 낮고, 다수의 거짓 긍정(false positive)들이 존재하는 트래픽)을 잡아내는 것임을 이해해야 한다. 예를 들어, 상기 스크리닝 레벨은, 에러를 포함하기 더 쉬운 스크린 출력을 사용하여 덜 복잡한 알고리즘들 및 프로세스들을 사용하여 더 빠른 속도에서 수행될 수 있는 헤더 필드 비교들 및 트리거 컨텐츠 검색들(즉, 짧은 스트링 비교)을 함축한다. 반면, 위협 검증 기능(100)에 의해 이용되는 필터링 기준은 의심스러운 패킷 트래픽 부분의 더 낮은 속도의 검사를 허용하기 위하여 소프트웨어-기반 확인 메카니즘으로서 구현되는 바, 여기에서는 더 복잡한 프로세싱 성능 필터링과 의심스러운 트래픽을 더 신중히 검사하고 가장 위협적이거나 위험한 트래픽을 식별하기 위한 설계가 함께 사용되며, 그에 따라 상기 위협 검증 기능(100)은 몇몇 양호한 트래픽(즉, 비록 거짓 긍정은 최소가 될 수 있으나, 정확성은 상대적으로 높은 트래픽)을 실수로 잡아낼 수도 있으나 이러한 발생 가능성은, 트리거 필터 기능(50)에 의한 것보다 상당히 더 적을 것이다. 예를 들어, 제2 스크리닝 레벨은 프로토콜 복호기 및, 더 복잡한 알고리즘을 사용하는 더 낮은 속도의 정규 표현 매칭(즉, 긴 스트링 비교)을 함축하며, 에러들을 덜 포함하기 쉬운 스크린된 출력으로 처리된다.
위협 검증 기능(100)에 의해 통과되는(116), (여전히 의심스러운) 패킷 트래픽의 사본에대해서, 다수의 가능한 동작들이 취해질 수 있다. 예를 들어, 경보(120)가 발생될 수 있고, 추가적인 검사를 위하여 의심스러운 패킷 트래픽의 사본이 네트워크 관리기에 전달될 수 있다. 대안적으로, 상기 의심스러운 패킷 트래픽은 아웃-오브-라인 위험 평가 기능(130)에 의해 평가될 수 있다. 상기 위험 평가 기능(130)은, 의심스러운 패킷 트래픽이 네트워크 내에 존재하는 머신들 및 장치들에 대해 식별가능하고 구체적인 위험을 표시하는지를 평가하도록 동작한다. 상기 결정을 보조하기 위해, 자산 데이터베이스(132)는 보호 네트워크 내에 존재하는 각 머신들 및 장치 각각의 정보뿐만 아니라, 이들 간의 내부 연결 및 동작 관계의 정보도 포함하는 시스템(10)에 의해 보유된다. 예를 들어, 상기 자산 데이터베이스(132)는, 네트워크 내의 머신들(호스트들), 호스트들에 의해 제공되는 서비스들, 및 네트워크 구성과 관련된 상기 머신들 및 서비스들에 관한 잠재적인 컴퓨터 시스템 및 네트워크 디바이스의 취약성을 식별하는 기업(즉, 보호 네트워크) 특정 데이터를 바람직하게 포함한다. 상기 데이터는, 아마도 종래 기술의 종래 방식으로 보호 네트워크를 평가하는 분리된 취약성 평가 스캐너 디바이스의 사용을 포함하는 잘 알려진 다수의 방법들 중 어느 하나로 수집될 수 있다. 이어서, 상기 위험 평가 기능은, 자산들이 상기 네트워크 내에 있는 경우, 어떤 타입의 네트워크 자산들이 검출 시그네춰의 애플리케이션을 통해 의심스럽다고 검출된 패킷 트래픽에 의해 위협받는지 결정하기 위하여, 트리거된 의심스러운 검출 시그네춰(특히, 상기 시그네춰의 위협받는 네트워크 구성요소(들) (머신 세트))을 평가한다. 상기 경우, 데이터베이스(132) 내에 포함된 정보에 의해 결정되므로, 상기 보호 네트워크는 그 어떤 위협받은 머신들 또는 디바이스들도 포함하지 않으며, 따라서 의심스러운 트래픽은 네트워크에 전혀 관련되지 않거나 거의 관련되지 않으므로 무시될 수 있다. 그러나, 보호 네트워크가 의심스러운 트래픽에 의해 위협받을 수도 있는 자산을 포함하는 경우, 손상의 위험을 감소시키거나 제어하기 위하여, 트래픽은 잠재적인 위협의 네트워크/보안 관리기에게 통보하는 것에 대해 차단되고 드롭되거나, 경보되어야 한다. 이러한 상황에서, 경보(120)가 발생될 수 있고, 의심스러운 패킷 트래픽이 추가적인 검사를 위하여 네트워크 관리기에게 전달될 수 있다.
알고리즘 필터링 동작(28)을 다시 한번 참조한다. 특히, 검출 엔진(32)은 보고(26) 데이터를 알고리즘 필터(30)에 대해 통계적인 방식으로 평가하고, 네트워크가 현재 복수-세션 공격 하에 있는지에 관해 결정한다는 것을 기억해야 할 것이다. 상기 평가는, 공격이 존재 유무를 결론적으로 확립하는데 실패할 수도 있다. 그러한 상황에서, 의심스러운 공격이 발생한다. 상기 의심을 처리하기 위하여, 검출 엔진은, 의심 경보(170)를 발생시키도록 구성되며, 상기 의심 경보는 변환 기능(60)에 전송된다. 이에 응답하여, 변환 기능(60)은 트리거 필터 기능(50)의 패킷 헤더 매칭 동작(52) 및/또는 패킷 컨텐츠 매칭 동작(54)이, 존재할 수도 있는 복수-세션 공격에 더 민감하게 되도록, 검출 트리거(56) 및 검출 예외(58) 변환을 필터링 기준(또는 규칙들)(54)에 맞추기 위해 변환 동작을 대체하거나 조정할 수 있다. 이러한 방식으로, 패킷 헤더 매칭 동작(52) 및/또는 패킷 컨텐츠 매칭 동작(54)에 대해 일부 제어가 실행되는 바, 이는 알고리즘 필터링 동작(28)에 의해 수행되는 통계적인 분석에 기초하여 그 존재가 예상되는 복수-세션 공격을 검색하기 위한 것이다.
상기 시스템(10)은 보호 네트워크 내의 네트워크 요소로서 바람직하게 구성된다. 따라서, 상기 시스템(10)은 외부 환경(즉, 보호 네트워크 외부의 신뢰되지 않는 환경)과의 연결을 허용하는 다수의 물리적인 외부 인터페이스를 포함할 것이다. 예를 들어, 신뢰되지 않는 환경은, 광역 통신망(WAN), 가상 사설 통신망(VPN) 서버, 근거리 통신망(LAN) 클라이언트, 무선 또는 원격 액세스 서버, 및 (인터넷과 같은) 신뢰되지 않는 네트워크 중 하나 이상을 포함할 수 있다. 또한, 보호(신뢰) 네트워크의 요소들과의 연결을 허용하도록 다수의 물리적인 내부 인터페이스가 시스템(10)에 포함될 수 있다. 예를 들어, 보호 네트워크의 요소들은 라우터, 특별 서버 타입들(예를 들어, HTTP, SMTP, FTP, DNA 등), 인트라넷, 개인용 컴퓨터, 및 네트워크 영역을 포함할 수 있다. 물리적인 내부 및 외부 인터페이스들은, 신뢰 네트워크 및 비신뢰 네트워크의 내부연결을 형성하는데 바람직하게 연결될 수 있다.
상기 시스템(10)은, 시스템의 동작을 지원하는 적절한 물리적인 플랫폼에서 바람직하게 구현된다. 상기 플랫폼은, 상기 시스템이 보안 애플리케이션을 위한 적절한 실행 환경을 제공하게 하는데 필수적인 기반 하드웨어, 동작 시스템 및 코어 기반구조 설비를 포함한다. 상기 실행 환경은 (샤시, 전원, 확장 성능들, 회로 카드 지원 등과 같은) 동작들, 관리, 유지 및 공급 장치들, 보안 애플리케이션들의 실행을 지원하는 기반 동작 시스템, 및 하드웨어를 포함한다. 비록 바람직한 구현들이 상기에서 논의되어 왔으나, 시스템(10)의 기능은 하드웨어 단독, 소프트웨어 단독으로 구현되거나, 또는 하드웨어 및 소프트웨어 조합의 플랫폼으로 구현될 수 있다.
트리거 필터 기능(50) 또는 위협 검증 기능(100)에서 상기 시스템에 의해 수행되는 비교 및 필터링 동작에 관하여, 다수의 프로세싱 기능들이 필터링 기준에서 사용할 목적으로, 또는 필터링 기준과 관련하여 고려되고 평가될 수 있다. OSI 레이어 1에서, 패킷 통신을 위한 물리적인 하드웨어 인터페이스가 고려될 수 있다. OSI 레이어 2에서, 후술할 데이터 링크 관련 코딩, 처리 및 송신 정보가 고려될 수 있다: 이더넷 발신/착신 주소, VLAN PRI/CFI, VLAN 식별자 및 이더넷 타입, 및 MPLS 레이블들. OSI 레이어 3에서, 후술할 네트워크 관련 전송 라우트, 메시지 핸들링 및 전송 정보가 고려될 수 있다: IP 필드들(예를 들어, 발신/수신 주소, 패이로드 길이, 프래그비트, 헤더 길이, ID 필드, 오프셋 필드, 옵션들, 프로토콜 필드, 서비스 필드 타입, 유지시간 필드, 및 버전 필드), 및 ARP 필드들(전송자 및 타겟 MAC 또는 프로토콜 주소, 프로토콜 또는 하드웨어 타입 또는 사이즈). 게다가, OSI 레이어 4에서, 후술할 전송 관련 전달 서비스 및 품질 정보가 고려될 수 있다: TCP 필드들(발신/수신 포트, 데이터 길이, 헤더 길이, 인식 숫자, 플래그들, 시퀀스 숫자, 긴급 포인터, 윈도우, 및 체크섬), ICMP(타입, 코드, 시퀀스, ID, 데이터 길이, 체크섬, icmp.code), 및 UDP(발신/수신 포트). 프로세싱 기능들은 다음과 같이 프로토콜 복호화 정보를 부가적으로 평가할 수 있다: HTTP(요청 라인, 방법, URI, 프로토콜, 호스트, 컨텐츠 길이, 바디를 포함하는 모든 헤더 필드들), DNS, SMTP, SNMP, SMP, FTP 등. 더욱이, 프로세싱 기능들은 다음의 것들을 평가할 수 있다: 고정된 스트링-고정 오프셋, 고정된 스트링-가변 오프셋, 정규 표현-고정 오프셋, 정규 표현-가변 오프셋, 이벤트들의 수집, 이벤트들의 시퀀스들, 프래그먼트, 연결 상태, 플로우 재조합, 정규화 기술들(오버래핑 프래그먼트들 검출 및 제거, 회피 기술들), 헥스 및 유니코드 복호화.
비록 본 발명의 방법 및 장치의 바람직한 실시 예들이 첨부된 도면에서 도시되었고 상기 발명의 상세한 설명에서 설명되었으나, 본 발명은 공개된 실시예에 제한되지 않지만 후술하는 청구항들에 의해 언급되고 정의된 바와 같은 본 발명의 사상으로부터 분리됨 없이 재배치되고, 수정되며, 대체될 수 있다.
Claims (63)
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 삭제
- 네트워크 방어 시스템으로서,
데이터 플로우에서 수신된 복수의 서로 다른 세션들에 걸친 모든 패킷들의 성질에 관한 데이터를 수집하는 상태 관리기와;
복수의 세션 공격의 의심이 존재하는지 여부를 결정하기 위해 상기 수집된 데이터에 대해 통계적 분석을 수행하는 알고리즘 필터와;
의심을 받는 복수의 세션 공격과 관련된 패킷들이 상기 데이터 플로우에 남게 되는 것을 차단하는 패킷 핸들러와;
양호 패킷들, 악성 패킷들 및 의심스러운 패킷들을 식별하기 위해, 상기 데이터 플로우에서의 모든 잔존하는 패킷들의 통과에 대한 세밀한 패킷 검사(deep packet inspection)를 수행하는 트리거 필터를 포함하며,
상기 패킷들 각각은 헤더 부분(header portion)과 페이로드 부분(payload portion)을 포함하고, 상기 트리거 필터에 의한 세밀한 패킷 검사는 페이로드 콘텐츠 기반의 위협 기준을 정의하는 특정의 스트링(string)들 및 표현(expression)들에 대비하여 상기 패킷의 상기 페이로드 부분에서의 비헤더 캐릭터 스트링(non-header character string)들 및 표현 값들을 비교하며;
피보호 네트워크로 상기 양호 패킷들이 보내질 수 있도록 하고;
상기 피보호 네트워크에 상기 악성 패킷들이 진입하는 것을 차단하고; 그리고
추가적인 조사를 위해 상기 데이터 플로우로부터 상기 의심스러운 패킷들을 추출하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 단일 세션(single session)의 콘텍스트(context)내에서의 복수의 패킷들의 검사를 통해 상기 식별을 행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제41항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 단일 세션에 걸쳐 상기 악성 패킷들을 검출하도록 설계된 위협 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제41항에 있어서,
상기 트리거 필터는 상기 단일 세션에 걸쳐 상기 양호 패킷들을 검출하도록 설계된 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 특징으로 하는 네트워크 방어 시스템. - 제43항에 있어서,
상기 트리거 필터는 상기 기준을 충족하는 것으로 식별되는 않은 상기 데이터 플로우에서의 각각의 패킷을 차단하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 복수의 세션들의 콘텍스트에서의 복수의 패킷들의 검사를 통해 상기 식별을 행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제45항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 복수의 세션들에 걸쳐 상기 악성 패킷들을 검출하도록 설계된 위협 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제46항에 있어서,
상기 트리거 필터는 패킷 콘텐츠 매칭(packet content matching) 동작과 패킷 헤더 매칭(packet header matching) 동작을 서로 연계하여 수행하는 것을 특징으로 하는 네트워크 방어 시스템. - 제45항에 있어서,
상기 트리거 필터는 상기 복수의 세션들에 걸쳐 상기 양호 패킷들을 검출하도록 설계된 기준에 응답하여 상기 데이터 플로우에서의 패킷들을 필터링하는 것을 특징으로 하는 네트워크 방어 시스템. - 제48항에 있어서,
상기 트리거 필터는 상기 기준을 충족하는 것으로 식별되는 않은 상기 데이터 플로우에서의 각각의 패킷을 차단하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 추출된 의심스러운 패킷들에 대해 위협 평가 분석을 수행하는 위협 평가기를 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 페이로드 콘텐츠 기반의 위협 기준과 대비하여 모든 통과하는 패킷들의 페이로드 부분 콘텐츠를 패턴 매칭시키는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제51항에 있어서,
상기 패턴 매칭은 복수의 병행 패턴 매칭 동작으로 수행되는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터는 패킷 헤더 부분에서의 헤더 필드 값들이 헤더 필드 관련 위협 기준과 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 헤더 매칭 동작을 수행하는 것을 특징으로 하는 네트워크 방어 시스템. - 제53항에 있어서,
상기 패킷 헤더 매칭은 공격을 표시하는 헤더 필드 관련 정보의 존재에 대해 상기 헤더 필드 값들을 검사하는 것을 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제54항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 IP 어드레스를 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제54항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 포트들을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제53항에 있어서,
상기 트리거 필터는 패킷 페이로드 부분 콘텐츠 비교 동작과 패킷 헤더 부분 매칭 동작을 서로 연계하여 수행하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 상기 페이로드 부분에서의 패킷 페이로드 요소들을 위협이 되는 패킷들의 특성인 캐릭터 스트링들 및 정규 표현 값들과 매칭시키는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터는 복수의 패킷들의 패킷 헤더 부분들에서의 헤더 필드 값들이 헤더 필드 관련 위협 기준에 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 헤더 매칭 동작을 수행하는 것을 특징으로 하는 네트워크 방어 시스템. - 제59항에 있어서,
상기 패킷 헤더 매칭은 공격을 표시하는 헤더 필드 관련 정보의 존재에 대해 상기 헤더 필드 값들을 검사하는 것을 더 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제60항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 IP 어드레스를 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제60항에 있어서,
상기 헤더 필드 값들은 수신 및 발신 포트들을 포함하는 것을 특징으로 하는 네트워크 방어 시스템. - 제40항에 있어서,
상기 트리거 필터에 의한 세밀한 패킷 검사의 수행은 복수의 패킷들의 패킷 페이로드 부분들의 캐릭터 스트링들 및 정규 표현 값들이 패킷 페이로드 위협 기준에 매칭하는지 여부를 결정함으로써, 통과하는 패킷들에 대해 패킷 콘텐츠 매칭 동작을 수행하는 것을 포함하는 것을 특징으로 하는 네트워크 방어 시스템.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/291,095 | 2002-11-07 | ||
US10/291,095 US7454499B2 (en) | 2002-11-07 | 2002-11-07 | Active network defense system and method |
PCT/US2003/035619 WO2004045126A2 (en) | 2002-11-07 | 2003-11-07 | Active network defense system and method |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020057008205A Division KR101045362B1 (ko) | 2002-11-07 | 2003-11-07 | 능동 네트워크 방어 시스템 및 방법 |
Publications (2)
Publication Number | Publication Date |
---|---|
KR20100132079A KR20100132079A (ko) | 2010-12-16 |
KR101111433B1 true KR101111433B1 (ko) | 2012-02-17 |
Family
ID=32229193
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020057008205A KR101045362B1 (ko) | 2002-11-07 | 2003-11-07 | 능동 네트워크 방어 시스템 및 방법 |
KR1020107026179A KR101111433B1 (ko) | 2002-11-07 | 2003-11-07 | 능동 네트워크 방어 시스템 및 방법 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
KR1020057008205A KR101045362B1 (ko) | 2002-11-07 | 2003-11-07 | 능동 네트워크 방어 시스템 및 방법 |
Country Status (8)
Country | Link |
---|---|
US (3) | US7454499B2 (ko) |
EP (1) | EP1558937B1 (ko) |
JP (2) | JP2006506853A (ko) |
KR (2) | KR101045362B1 (ko) |
CN (1) | CN100443910C (ko) |
AR (1) | AR042020A1 (ko) |
AU (1) | AU2003290674A1 (ko) |
WO (1) | WO2004045126A2 (ko) |
Families Citing this family (485)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7711790B1 (en) | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
US7313815B2 (en) * | 2001-08-30 | 2007-12-25 | Cisco Technology, Inc. | Protecting against spoofed DNS messages |
US7398389B2 (en) * | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
US7359962B2 (en) * | 2002-04-30 | 2008-04-15 | 3Com Corporation | Network security system integration |
AU2003279950A1 (en) | 2002-10-10 | 2004-05-04 | Rocksteady Networks, Inc. | System and method for providing access control |
WO2004036371A2 (en) | 2002-10-16 | 2004-04-29 | Rocksteady Networks, Inc. | System and method for dynamic bandwidth provisioning |
US7401360B2 (en) * | 2002-12-03 | 2008-07-15 | Tekelec | Methods and systems for identifying and mitigating telecommunications network security threats |
US8683016B1 (en) * | 2002-12-20 | 2014-03-25 | Versata Development Group, Inc. | Data recording components and processes for acquiring selected web site data |
US20040148520A1 (en) * | 2003-01-29 | 2004-07-29 | Rajesh Talpade | Mitigating denial of service attacks |
US8296452B2 (en) * | 2003-03-06 | 2012-10-23 | Cisco Technology, Inc. | Apparatus and method for detecting tiny fragment attacks |
US7895649B1 (en) * | 2003-04-04 | 2011-02-22 | Raytheon Company | Dynamic rule generation for an enterprise intrusion detection system |
GB2401281B (en) * | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US7796515B2 (en) * | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
US7716742B1 (en) | 2003-05-12 | 2010-05-11 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network and analyzing vulnerabilities |
US8174970B2 (en) * | 2003-05-15 | 2012-05-08 | At&T Intellectual Property I, L.P. | Methods of implementing dynamic QoS and/or bandwidth provisioning and related data networks, data service providers, routing gateways, and computer program products |
US8521889B2 (en) | 2003-05-15 | 2013-08-27 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for modifying bandwidth and/or quality of service for a user session in a network |
US8204042B2 (en) | 2003-05-15 | 2012-06-19 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for establishing VoIP service in a network |
US20050021739A1 (en) * | 2003-05-15 | 2005-01-27 | Carter Sharon E. | Methods, systems and computer program products for communicating the expected efficacy of invoking a network turbo boost service |
US8239516B2 (en) * | 2003-05-15 | 2012-08-07 | At&T Intellectual Property I, L.P. | Methods, systems and computer program products for proactively offering a network turbo boost service to end users |
US7684432B2 (en) * | 2003-05-15 | 2010-03-23 | At&T Intellectual Property I, L.P. | Methods of providing data services over data networks and related data networks, data service providers, routing gateways and computer program products |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US20040252722A1 (en) * | 2003-06-13 | 2004-12-16 | Samsung Electronics Co., Ltd. | Apparatus and method for implementing VLAN bridging and a VPN in a distributed architecture router |
US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7624438B2 (en) | 2003-08-20 | 2009-11-24 | Eric White | System and method for providing a secure connection between networked computers |
IL158309A (en) * | 2003-10-08 | 2011-06-30 | Ammon Yacoby | Centralized network control |
US7237267B2 (en) * | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
US7310815B2 (en) * | 2003-10-29 | 2007-12-18 | Sonicwall, Inc. | Method and apparatus for datastream analysis and blocking |
US8239687B2 (en) | 2003-11-12 | 2012-08-07 | The Trustees Of Columbia University In The City Of New York | Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data |
US8839417B1 (en) * | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
US7487542B2 (en) * | 2004-01-14 | 2009-02-03 | International Business Machines Corporation | Intrusion detection using a network processor and a parallel pattern detection engine |
CA2548336A1 (en) * | 2004-01-26 | 2005-08-04 | Cisco Technology, Inc. | Upper-level protocol authentication |
US7526804B2 (en) * | 2004-02-02 | 2009-04-28 | Microsoft Corporation | Hardware assist for pattern matches |
US7792147B1 (en) * | 2004-02-09 | 2010-09-07 | Symantec Corporation | Efficient assembly of fragmented network traffic for data security |
US7603716B2 (en) * | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
US7392295B2 (en) | 2004-02-19 | 2008-06-24 | Microsoft Corporation | Method and system for collecting information from computer systems based on a trusted relationship |
US7694022B2 (en) * | 2004-02-24 | 2010-04-06 | Microsoft Corporation | Method and system for filtering communications to prevent exploitation of a software vulnerability |
US7590728B2 (en) * | 2004-03-10 | 2009-09-15 | Eric White | System and method for detection of aberrant network behavior by clients of a network access gateway |
US7665130B2 (en) | 2004-03-10 | 2010-02-16 | Eric White | System and method for double-capture/double-redirect to a different location |
US7509625B2 (en) * | 2004-03-10 | 2009-03-24 | Eric White | System and method for comprehensive code generation for system management |
US7610621B2 (en) * | 2004-03-10 | 2009-10-27 | Eric White | System and method for behavior-based firewall modeling |
US8543710B2 (en) | 2004-03-10 | 2013-09-24 | Rpx Corporation | Method and system for controlling network access |
US20050204022A1 (en) * | 2004-03-10 | 2005-09-15 | Keith Johnston | System and method for network management XML architectural abstraction |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
EP1736016B1 (en) | 2004-04-14 | 2015-06-24 | MBalance Research B.V. | Method for preventing the delivery of short message service message spam |
EP1738531B1 (en) * | 2004-04-19 | 2014-06-11 | The Regents of the University of California | Deep Packet Filter and Respective Method |
GB2431316B (en) * | 2005-10-12 | 2008-05-21 | Hewlett Packard Development Co | Propagation of malicious code through an information technology network |
US7225468B2 (en) * | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
US7539681B2 (en) * | 2004-07-26 | 2009-05-26 | Sourcefire, Inc. | Methods and systems for multi-pattern searching |
US7496962B2 (en) * | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
US7562389B1 (en) | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
US7444588B2 (en) * | 2004-08-05 | 2008-10-28 | At&T Intellectual Property, I.L.P. | Methods, systems, and storage mediums for providing multi-media content storage and management services |
US7545788B2 (en) * | 2004-08-20 | 2009-06-09 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for modifying bandwidth and/or quality of service in a core network |
US20060045121A1 (en) * | 2004-08-25 | 2006-03-02 | Monk John M | Methods and systems for analyzing network transmission events |
WO2006040201A1 (en) * | 2004-09-02 | 2006-04-20 | Siemens Aktiengesellschaft | Method and apparatus for denial of service defense |
US8331234B1 (en) * | 2004-09-08 | 2012-12-11 | Q1 Labs Inc. | Network data flow collection and processing |
EP1790131B1 (en) * | 2004-09-09 | 2012-12-05 | Avaya Inc. | Methods of and systems for network traffic security |
US20060075083A1 (en) * | 2004-09-22 | 2006-04-06 | Bing Liu | System for distributing information using a secure peer-to-peer network |
US20060075093A1 (en) * | 2004-10-05 | 2006-04-06 | Enterasys Networks, Inc. | Using flow metric events to control network operation |
US7849506B1 (en) * | 2004-10-12 | 2010-12-07 | Avaya Inc. | Switching device, method, and computer program for efficient intrusion detection |
US7600257B2 (en) | 2004-10-13 | 2009-10-06 | Sonicwall, Inc. | Method and an apparatus to perform multiple packet payloads analysis |
US7835361B1 (en) | 2004-10-13 | 2010-11-16 | Sonicwall, Inc. | Method and apparatus for identifying data patterns in a file |
EP1820099A4 (en) * | 2004-11-04 | 2013-06-26 | Tti Inv S C Llc | DETECTING OPERATING CODE IN NETWORK DATA STREAMS |
US7540025B2 (en) * | 2004-11-18 | 2009-05-26 | Cisco Technology, Inc. | Mitigating network attacks using automatic signature generation |
US20070039051A1 (en) * | 2004-11-30 | 2007-02-15 | Sensory Networks, Inc. | Apparatus And Method For Acceleration of Security Applications Through Pre-Filtering |
WO2006060581A2 (en) * | 2004-11-30 | 2006-06-08 | Sensory Networks Inc. | Apparatus and method for acceleration of security applications through pre-filtering |
JP2006157760A (ja) * | 2004-12-01 | 2006-06-15 | Hitachi Ltd | パケット転送装置およびパケット転送処理方法 |
KR100639969B1 (ko) * | 2004-12-02 | 2006-11-01 | 한국전자통신연구원 | 이상 트래픽 제어 장치 및 그 제어 방법 |
EP1829334A1 (en) * | 2004-12-21 | 2007-09-05 | QUALCOMM Incorporated | Client assisted firewall configuration |
FI20041681A0 (fi) * | 2004-12-29 | 2004-12-29 | Nokia Corp | Liikenteen rajoittaminen kommunikaatiojärjestelmissä |
US7725938B2 (en) * | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
JP4170299B2 (ja) * | 2005-01-31 | 2008-10-22 | 独立行政法人 宇宙航空研究開発機構 | 通信状態遷移モニタ方法及びこれを利用した通信状態遷移モニタ装置 |
US7996894B1 (en) * | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
US7774849B2 (en) * | 2005-04-15 | 2010-08-10 | Tekelec | Methods, systems, and computer program products for detecting and mitigating denial of service attacks in a telecommunications signaling network |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US7562293B2 (en) * | 2005-05-27 | 2009-07-14 | International Business Machines Corporation | Method and apparatus for processing a parseable document |
US8028160B1 (en) * | 2005-05-27 | 2011-09-27 | Marvell International Ltd. | Data link layer switch with protection against internet protocol spoofing attacks |
US7757283B2 (en) | 2005-07-08 | 2010-07-13 | Alcatel Lucent | System and method for detecting abnormal traffic based on early notification |
FR2888695A1 (fr) * | 2005-07-13 | 2007-01-19 | France Telecom | Detection d'une intrusion par detournement de paquets de donnees dans un reseau de telecommunication |
US7873998B1 (en) * | 2005-07-19 | 2011-01-18 | Trustwave Holdings, Inc. | Rapidly propagating threat detection |
US7746862B1 (en) * | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
US20070056038A1 (en) * | 2005-09-06 | 2007-03-08 | Lok Technology, Inc. | Fusion instrusion protection system |
US8166547B2 (en) * | 2005-09-06 | 2012-04-24 | Fortinet, Inc. | Method, apparatus, signals, and medium for managing a transfer of data in a data network |
US7624447B1 (en) | 2005-09-08 | 2009-11-24 | Cisco Technology, Inc. | Using threshold lists for worm detection |
US8438643B2 (en) * | 2005-09-22 | 2013-05-07 | Alcatel Lucent | Information system service-level security risk analysis |
US8095984B2 (en) * | 2005-09-22 | 2012-01-10 | Alcatel Lucent | Systems and methods of associating security vulnerabilities and assets |
US8544098B2 (en) * | 2005-09-22 | 2013-09-24 | Alcatel Lucent | Security vulnerability information aggregation |
US8510833B2 (en) * | 2005-10-27 | 2013-08-13 | Hewlett-Packard Development Company, L.P. | Connection-rate filtering using ARP requests |
US8001602B2 (en) * | 2005-10-31 | 2011-08-16 | Freescale Semiconductor, Inc. | Data scan mechanism |
KR100718640B1 (ko) * | 2005-11-10 | 2007-05-16 | 홍성호 | 셋션별 데이터 필터링 및 전달 기능을 구비한정보보안시스템 및 방법 |
US7733803B2 (en) * | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
US8046833B2 (en) * | 2005-11-14 | 2011-10-25 | Sourcefire, Inc. | Intrusion event correlation with network discovery information |
US8352589B2 (en) * | 2005-11-15 | 2013-01-08 | Aternity Information Systems Ltd. | System for monitoring computer systems and alerting users of faults |
US8468589B2 (en) | 2006-01-13 | 2013-06-18 | Fortinet, Inc. | Computerized system and method for advanced network content processing |
US8270413B2 (en) | 2005-11-28 | 2012-09-18 | Cisco Technology, Inc. | Method and apparatus for self-learning of VPNS from combination of unidirectional tunnels in MPLS/VPN networks |
CN100563246C (zh) * | 2005-11-30 | 2009-11-25 | 华为技术有限公司 | 一种基于ip的语音通信边界安全控制系统及方法 |
KR100734872B1 (ko) * | 2005-12-12 | 2007-07-03 | 한국전자통신연구원 | Rfid 응용레벨 이벤트 서비스에 대한 접근 제어 시스템및 그 방법 |
US7856100B2 (en) * | 2005-12-19 | 2010-12-21 | Microsoft Corporation | Privacy-preserving data aggregation using homomorphic encryption |
US7743123B2 (en) * | 2005-12-19 | 2010-06-22 | Microsoft Corporation | Aggregating information from a cluster of peers |
US8392999B2 (en) * | 2005-12-19 | 2013-03-05 | White Cyber Knight Ltd. | Apparatus and methods for assessing and maintaining security of a computerized system under development |
US20070143849A1 (en) * | 2005-12-19 | 2007-06-21 | Eyal Adar | Method and a software system for end-to-end security assessment for security and CIP professionals |
US8613088B2 (en) * | 2006-02-03 | 2013-12-17 | Cisco Technology, Inc. | Methods and systems to detect an evasion attack |
US9747439B2 (en) * | 2006-02-06 | 2017-08-29 | Trend Micro Incorporated | Dynamic network tuner for the automated correlation of networking device functionality and network-related performance |
BRPI0709368A8 (pt) * | 2006-03-24 | 2018-04-24 | Avg Tech Cy Limited | método para minimizar exploração de vunerabilidades de software e produto de programa de computador |
US8244855B1 (en) * | 2006-06-21 | 2012-08-14 | Qurio Holdings, Inc. | Application state aware mediating server |
US8009566B2 (en) * | 2006-06-26 | 2011-08-30 | Palo Alto Networks, Inc. | Packet classification in a network security device |
US8102863B1 (en) | 2006-06-27 | 2012-01-24 | Qurio Holdings, Inc. | High-speed WAN to wireless LAN gateway |
US7948988B2 (en) * | 2006-07-27 | 2011-05-24 | Sourcefire, Inc. | Device, system and method for analysis of fragments in a fragment train |
US20080044018A1 (en) * | 2006-07-31 | 2008-02-21 | Scrimsher John P | Method and system to detect and prevent computer network intrusion |
US7701945B2 (en) * | 2006-08-10 | 2010-04-20 | Sourcefire, Inc. | Device, system and method for analysis of segments in a transmission control protocol (TCP) session |
US8576976B2 (en) * | 2007-10-29 | 2013-11-05 | Holtec International, Inc. | Apparatus for supporting radioactive fuel assemblies and methods of manufacturing the same |
US8856920B2 (en) * | 2006-09-18 | 2014-10-07 | Alcatel Lucent | System and method of securely processing lawfully intercepted network traffic |
DE102006045306A1 (de) * | 2006-09-26 | 2008-04-10 | Siemens Ag | Netzwerkvorrichtung mit einer Filtervorrichtung zum Filtern empfangener Datenpakete und Verfahren zum Betreiben einer solchen Netzwerkvorrichtung |
CA2672908A1 (en) * | 2006-10-06 | 2008-04-17 | Sourcefire, Inc. | Device, system and method for use of micro-policies in intrusion detection/prevention |
KR100862187B1 (ko) * | 2006-10-27 | 2008-10-09 | 한국전자통신연구원 | 취약점 분석 및 공격방식 모델링을 이용한 네트워크기반의인터넷 웜 탐지 장치 및 그 방법 |
US8156557B2 (en) * | 2007-01-04 | 2012-04-10 | Cisco Technology, Inc. | Protection against reflection distributed denial of service attacks |
CA2714549A1 (en) * | 2007-02-09 | 2008-08-14 | Smobile Systems, Inc. | Off-line mms malware scanning system and method |
US8069352B2 (en) | 2007-02-28 | 2011-11-29 | Sourcefire, Inc. | Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session |
KR101367652B1 (ko) * | 2007-03-12 | 2014-02-27 | 주식회사 엘지씨엔에스 | 정적 정책정보를 이용한 침입방지 장치 및 방법 |
US8850547B1 (en) | 2007-03-14 | 2014-09-30 | Volcano Corporation | Remote access service inspector |
US8509075B2 (en) * | 2007-03-23 | 2013-08-13 | Hewlett-Packard Development Company, Lp | Data-type-based network path configuration |
US8594085B2 (en) * | 2007-04-11 | 2013-11-26 | Palo Alto Networks, Inc. | L2/L3 multi-mode switch including policy processing |
US8996681B2 (en) * | 2007-04-23 | 2015-03-31 | The Mitre Corporation | Passively attributing anonymous network events to their associated users |
US8707431B2 (en) * | 2007-04-24 | 2014-04-22 | The Mitre Corporation | Insider threat detection |
WO2008134057A1 (en) * | 2007-04-30 | 2008-11-06 | Sourcefire, Inc. | Real-time awareness for a computer network |
US20080282346A1 (en) * | 2007-05-10 | 2008-11-13 | Motorola, Inc. | Data Type Management Unit |
US8863286B1 (en) | 2007-06-05 | 2014-10-14 | Sonicwall, Inc. | Notification for reassembly-free file scanning |
US20080307525A1 (en) * | 2007-06-05 | 2008-12-11 | Computer Associates Think, Inc. | System and method for evaluating security events in the context of an organizational structure |
US8006303B1 (en) * | 2007-06-07 | 2011-08-23 | International Business Machines Corporation | System, method and program product for intrusion protection of a network |
US8135007B2 (en) * | 2007-06-29 | 2012-03-13 | Extreme Networks, Inc. | Method and mechanism for port redirects in a network switch |
US7991723B1 (en) | 2007-07-16 | 2011-08-02 | Sonicwall, Inc. | Data pattern analysis using optimized deterministic finite automaton |
EP2018013A1 (en) * | 2007-07-17 | 2009-01-21 | Fraunhofer-Gesellschaft zur Förderung der angewandten Forschung e.V. | Method and telecommunications apparatus for protecting VoIP services against attacks |
US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
US7742945B2 (en) * | 2007-08-27 | 2010-06-22 | At&T Intellectual Property, I,L.P. | Methods, systems and computer products to incentivize high speed internet access |
US7996520B2 (en) * | 2007-09-19 | 2011-08-09 | Cisco Technology, Inc. | Behavioral classification of communication sessions using active session initiation |
CN101399749B (zh) * | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
US8370937B2 (en) * | 2007-12-03 | 2013-02-05 | Cisco Technology, Inc. | Handling of DDoS attacks from NAT or proxy devices |
US20090158433A1 (en) * | 2007-12-18 | 2009-06-18 | Motorola, Inc. | Method and Apparatus to Facilitate Generating Worm-Detection Signatures Using Data Packet Field Lengths |
US8479284B1 (en) * | 2007-12-20 | 2013-07-02 | Symantec Corporation | Referrer context identification for remote object links |
US8180761B1 (en) | 2007-12-27 | 2012-05-15 | Symantec Corporation | Referrer context aware target queue prioritization |
US20090182818A1 (en) * | 2008-01-11 | 2009-07-16 | Fortinet, Inc. A Delaware Corporation | Heuristic detection of probable misspelled addresses in electronic communications |
US9237167B1 (en) * | 2008-01-18 | 2016-01-12 | Jpmorgan Chase Bank, N.A. | Systems and methods for performing network counter measures |
US20090216875A1 (en) * | 2008-02-26 | 2009-08-27 | Barracuda Inc. | Filtering secure network messages without cryptographic processes method |
CA2661398C (en) | 2008-04-05 | 2016-05-17 | Third Brigade Inc. | System and method for intelligent coordination of host and guest intrusion prevention in virtualized environment |
US8474043B2 (en) * | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
WO2009132047A2 (en) * | 2008-04-21 | 2009-10-29 | Zytron Corp. | Collaborative and proactive defense of networks and information systems |
US8339959B1 (en) | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
US8341740B2 (en) * | 2008-05-21 | 2012-12-25 | Alcatel Lucent | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
KR100870871B1 (ko) * | 2008-05-29 | 2008-11-27 | (주)한드림넷 | 액세스레벨에서의 유해트래픽 차단장치 및 보안시스템 |
US8391157B2 (en) * | 2008-06-16 | 2013-03-05 | Ixia | Distributed flow analysis |
JP5473406B2 (ja) * | 2008-07-18 | 2014-04-16 | キヤノン株式会社 | ネットワーク処理装置及びその処理方法 |
US8955107B2 (en) * | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
US8769682B2 (en) * | 2008-09-18 | 2014-07-01 | Alcatel Lucent | Mechanism for identifying malicious content, DoS attacks, and illegal IPTV services |
US8813221B1 (en) | 2008-09-25 | 2014-08-19 | Sonicwall, Inc. | Reassembly-free deep packet inspection on multi-core hardware |
WO2010045089A1 (en) | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US8040808B1 (en) | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
US8850571B2 (en) * | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
US10007486B2 (en) | 2008-12-01 | 2018-06-26 | Micron Technology, Inc. | Systems and methods to enable identification of different data sets |
US8578491B2 (en) * | 2008-12-11 | 2013-11-05 | Alcatel Lucent | Network based malware detection and reporting |
KR101195944B1 (ko) * | 2008-12-17 | 2012-10-29 | 고려대학교 산학협력단 | 심층 패킷 검사 장치 및 심층 패킷 검사 방법 |
US8873556B1 (en) | 2008-12-24 | 2014-10-28 | Palo Alto Networks, Inc. | Application based packet forwarding |
US8661155B2 (en) * | 2008-12-30 | 2014-02-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Service layer assisted change of multimedia stream access delivery |
US8769664B1 (en) | 2009-01-30 | 2014-07-01 | Palo Alto Networks, Inc. | Security processing in active security devices |
US8321938B2 (en) * | 2009-02-12 | 2012-11-27 | Raytheon Bbn Technologies Corp. | Multi-tiered scalable network monitoring |
US8051167B2 (en) * | 2009-02-13 | 2011-11-01 | Alcatel Lucent | Optimized mirror for content identification |
US20100229234A1 (en) * | 2009-03-03 | 2010-09-09 | Tandberg Television Inc. | Systems and methods for detecting and preventing denial of service attacks in an iptv system |
US9398043B1 (en) | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
DE102009022851A1 (de) * | 2009-05-27 | 2010-12-02 | Siemens Aktiengesellschaft | Netzwerkkomponente und Verfahren zum Überwachen von Kommunikationsverbindungen |
WO2011002818A1 (en) * | 2009-06-29 | 2011-01-06 | Cyberdefender Corporation | Systems and methods for operating an anti-malware network on a cloud computing platform |
US9769149B1 (en) | 2009-07-02 | 2017-09-19 | Sonicwall Inc. | Proxy-less secure sockets layer (SSL) data inspection |
KR100959264B1 (ko) * | 2009-08-26 | 2010-05-26 | 에스지에이 주식회사 | 네트워크를 이용하는 프로세스의 감시를 통한 좀비pc 차단 시스템 및 그 방법 |
US8793151B2 (en) * | 2009-08-28 | 2014-07-29 | Src, Inc. | System and method for organizational risk analysis and reporting by mapping detected risk patterns onto a risk ontology |
CN101997859B (zh) * | 2009-08-28 | 2014-10-08 | 国际商业机器公司 | 识别tcp流中的数据包的载荷的方法和设备 |
WO2011030490A1 (ja) * | 2009-09-10 | 2011-03-17 | 日本電気株式会社 | 中継制御装置、中継制御システム、中継制御方法及び中継制御プログラム |
US8832829B2 (en) * | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8782787B2 (en) | 2009-10-28 | 2014-07-15 | Hewlett-Packard Development Company, L.P. | Distributed packet flow inspection and processing |
KR101269790B1 (ko) * | 2009-12-10 | 2013-05-30 | 한국전자통신연구원 | 데이터 플로우 병렬 처리 장치 및 방법 |
KR101326983B1 (ko) * | 2009-12-21 | 2014-01-15 | 한국전자통신연구원 | 트래픽 제어 장치 및 방법 |
US8514697B2 (en) * | 2010-01-08 | 2013-08-20 | Sycamore Networks, Inc. | Mobile broadband packet switched traffic optimization |
US9325625B2 (en) * | 2010-01-08 | 2016-04-26 | Citrix Systems, Inc. | Mobile broadband packet switched traffic optimization |
US8560552B2 (en) * | 2010-01-08 | 2013-10-15 | Sycamore Networks, Inc. | Method for lossless data reduction of redundant patterns |
CN102137059B (zh) * | 2010-01-21 | 2014-12-10 | 阿里巴巴集团控股有限公司 | 一种恶意访问的拦截方法和系统 |
JP5809238B2 (ja) | 2010-04-16 | 2015-11-10 | シスコ テクノロジー,インコーポレイテッド | 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法 |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
US8607353B2 (en) * | 2010-07-29 | 2013-12-10 | Accenture Global Services Gmbh | System and method for performing threat assessments using situational awareness |
KR101370511B1 (ko) * | 2010-09-15 | 2014-03-06 | 한국전자통신연구원 | 메타데이터 분류를 이용한 패킷 검사 방법 및 그 장치 |
US8509071B1 (en) | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
KR101021948B1 (ko) * | 2010-11-10 | 2011-03-16 | (주) 위즈네트 | 네트워크 보안 하드웨어 인터넷 패킷 처리장치 |
WO2012069094A1 (en) * | 2010-11-26 | 2012-05-31 | Hewlett-Packard Development Company, L P | Mitigation system |
GB201101875D0 (en) | 2011-02-03 | 2011-03-23 | Roke Manor Research | A method and apparatus for communications analysis |
US8458796B2 (en) * | 2011-03-08 | 2013-06-04 | Hewlett-Packard Development Company, L.P. | Methods and systems for full pattern matching in hardware |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
US8151341B1 (en) * | 2011-05-23 | 2012-04-03 | Kaspersky Lab Zao | System and method for reducing false positives during detection of network attacks |
US8695096B1 (en) | 2011-05-24 | 2014-04-08 | Palo Alto Networks, Inc. | Automatic signature generation for malicious PDF files |
US9047441B2 (en) | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
US9553817B1 (en) | 2011-07-14 | 2017-01-24 | Sprint Communications Company L.P. | Diverse transmission of packet content |
US8726379B1 (en) | 2011-07-15 | 2014-05-13 | Norse Corporation | Systems and methods for dynamic protection from electronic attacks |
US8893274B2 (en) * | 2011-08-03 | 2014-11-18 | Trend Micro, Inc. | Cross-VM network filtering |
US10068227B1 (en) * | 2011-09-13 | 2018-09-04 | Tellabs Operations, Inc. | Methods and apparatus for authenticating identity of web access from a network element |
US9251535B1 (en) | 2012-01-05 | 2016-02-02 | Juniper Networks, Inc. | Offload of data transfer statistics from a mobile access gateway |
US9391878B2 (en) * | 2012-01-25 | 2016-07-12 | Cisco Technology, Inc. | Reliable packet delivery with overlay network (RPDON) |
KR20140125814A (ko) * | 2012-01-27 | 2014-10-29 | 노키아 솔루션스 앤드 네트웍스 오와이 | 모바일 패킷 코어 네트워크에서의 세션 종결 |
KR101414959B1 (ko) * | 2012-02-29 | 2014-07-09 | 주식회사 팬택 | 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법 |
US8955093B2 (en) * | 2012-04-11 | 2015-02-10 | Varmour Networks, Inc. | Cooperative network security inspection |
US8776243B2 (en) | 2012-04-27 | 2014-07-08 | Ixia | Methods, systems, and computer readable media for combining IP fragmentation evasion techniques |
EP2847680A4 (en) * | 2012-05-08 | 2016-02-17 | Fireblade Ltd | CENTERIZED DEVICE REPUTATION CENTER |
US9544273B2 (en) | 2012-07-31 | 2017-01-10 | Trend Micro Incorporated | Network traffic processing system |
US9215208B2 (en) * | 2012-08-17 | 2015-12-15 | The Keyw Corporation | Network attack offensive appliance |
US20150215187A1 (en) * | 2012-08-17 | 2015-07-30 | Janne Einari Tuononen | Data Services in a Computer System |
US9392003B2 (en) | 2012-08-23 | 2016-07-12 | Raytheon Foreground Security, Inc. | Internet security cyber threat reporting system and method |
US9258321B2 (en) | 2012-08-23 | 2016-02-09 | Raytheon Foreground Security, Inc. | Automated internet threat detection and mitigation system and associated methods |
US8943587B2 (en) * | 2012-09-13 | 2015-01-27 | Symantec Corporation | Systems and methods for performing selective deep packet inspection |
US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
US9165142B1 (en) * | 2013-01-30 | 2015-10-20 | Palo Alto Networks, Inc. | Malware family identification using profile signatures |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9961095B2 (en) | 2013-03-14 | 2018-05-01 | Fidelis Cybersecurity, Inc. | System and method for extracting and preserving metadata for analyzing network communications |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US8626912B1 (en) | 2013-03-15 | 2014-01-07 | Extrahop Networks, Inc. | Automated passive discovery of applications |
US8867343B2 (en) | 2013-03-15 | 2014-10-21 | Extrahop Networks, Inc. | Trigger based recording of flows with play back |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US8619579B1 (en) * | 2013-03-15 | 2013-12-31 | Extrahop Networks, Inc. | De-duplicating of packets in flows at layer 3 |
US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9282043B1 (en) | 2013-09-24 | 2016-03-08 | Juniper Networks, Inc. | Trend-based flow aggregation for flow suppression |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
CN104579730A (zh) * | 2013-10-18 | 2015-04-29 | 宁夏先锋软件有限公司 | 一种有效阻止威胁的网络攻击防护系统 |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US10367827B2 (en) * | 2013-12-19 | 2019-07-30 | Splunk Inc. | Using network locations obtained from multiple threat lists to evaluate network data or machine data |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9507935B2 (en) | 2014-01-16 | 2016-11-29 | Fireeye, Inc. | Exploit detection system with threat-aware microvisor |
AU2015213201A1 (en) * | 2014-01-30 | 2016-09-15 | Nasdaq, Inc. | Systems and methods for continuous active data security |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
US9544182B2 (en) * | 2014-02-19 | 2017-01-10 | Steven Waldbusser | Monitoring gateway systems and methods for openflow type networks |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US9967283B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
US20160088001A1 (en) * | 2014-09-22 | 2016-03-24 | Alcatel-Lucent Usa Inc. | Collaborative deep packet inspection systems and methods |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
JP6196397B2 (ja) | 2014-10-21 | 2017-09-13 | アイアンネット・サイバーセキュリティ・インコーポレイテッドIronNet Cybersecurity, Inc. | サイバーセキュリティシステム |
JP6916112B2 (ja) * | 2014-11-21 | 2021-08-11 | ブルヴェクター, インコーポレーテッドBluvector, Inc. | ネットワークデータ特性評価のシステムと方法 |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
KR101599213B1 (ko) * | 2014-12-23 | 2016-03-04 | 주식회사 윈스 | 네트워크 보안 시스템에서 탐지규칙 제공 서비스 방법 및 시스템 |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
CN105827472B (zh) | 2015-01-04 | 2019-08-20 | 华为技术有限公司 | 网络数据流类型检测方法及装置 |
US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
USD814494S1 (en) | 2015-03-02 | 2018-04-03 | Norse Networks, Inc. | Computer display panel with an icon image of a live electronic threat intelligence visualization interface |
US9609026B2 (en) * | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
USD810775S1 (en) | 2015-04-21 | 2018-02-20 | Norse Networks, Inc. | Computer display panel with a graphical live electronic threat intelligence visualization interface |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US9338147B1 (en) | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
KR101551729B1 (ko) * | 2015-05-22 | 2015-09-10 | (주) 위즈네트 | 인터넷 공격에 안전한 통신 칩셋 및 통신 장치 |
US10063446B2 (en) | 2015-06-26 | 2018-08-28 | Intel Corporation | Netflow collection and export offload using network silicon |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US9923914B2 (en) | 2015-06-30 | 2018-03-20 | Norse Networks, Inc. | Systems and platforms for intelligently monitoring risky network activities |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
TWI583152B (zh) * | 2015-08-14 | 2017-05-11 | 緯創資通股份有限公司 | 適用於異質網路架構的異常預測方法及系統 |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
CN204948505U (zh) * | 2015-09-18 | 2016-01-06 | 京东方科技集团股份有限公司 | 一种柔性基板和显示装置 |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
FR3043872B1 (fr) * | 2015-11-12 | 2019-05-24 | Qosmos Tech | Analyse asynchrone d'un flux de donnees |
WO2017082918A1 (en) * | 2015-11-13 | 2017-05-18 | Hewlett Packard Enterprise Development Lp | Redirecting flow control packets |
US9825911B1 (en) * | 2015-11-18 | 2017-11-21 | Amazon Technologies, Inc. | Security policy check based on communication establishment handshake packet |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
CN105681211B (zh) * | 2015-12-31 | 2020-07-28 | 北京安天网络安全技术有限公司 | 基于信息萃取的流量记录方法和系统 |
US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
US10204211B2 (en) | 2016-02-03 | 2019-02-12 | Extrahop Networks, Inc. | Healthcare operations with passive network monitoring |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10243971B2 (en) * | 2016-03-25 | 2019-03-26 | Arbor Networks, Inc. | System and method for retrospective network traffic analysis |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
CN108370373B (zh) * | 2016-06-22 | 2021-01-29 | 华为技术有限公司 | 用于检测和防御恶意数据流网络入侵的系统和方法 |
US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
JP6781109B2 (ja) * | 2016-07-06 | 2020-11-04 | 日本電信電話株式会社 | トラヒック制御装置および方法 |
US9729416B1 (en) | 2016-07-11 | 2017-08-08 | Extrahop Networks, Inc. | Anomaly detection using device relationship graphs |
EP3338205B1 (en) | 2016-07-14 | 2019-05-01 | Ironnet Cybersecurity, Inc. | Simulation and virtual reality based cyber behavioral system |
US10536476B2 (en) | 2016-07-21 | 2020-01-14 | Sap Se | Realtime triggering framework |
CN107645478B (zh) * | 2016-07-22 | 2020-12-22 | 阿里巴巴集团控股有限公司 | 网络攻击防御系统、方法及装置 |
US9660879B1 (en) | 2016-07-25 | 2017-05-23 | Extrahop Networks, Inc. | Flow deduplication across a cluster of network monitoring devices |
US10482241B2 (en) | 2016-08-24 | 2019-11-19 | Sap Se | Visualization of data distributed in multiple dimensions |
US10542016B2 (en) * | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
WO2018039792A1 (en) * | 2016-08-31 | 2018-03-08 | Wedge Networks Inc. | Apparatus and methods for network-based line-rate detection of unknown malware |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
US10673879B2 (en) | 2016-09-23 | 2020-06-02 | Sap Se | Snapshot of a forensic investigation for enterprise threat detection |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
WO2018097422A1 (ko) * | 2016-11-24 | 2018-05-31 | 성균관대학교 산학협력단 | 네트워크 보안 기능에 의해 트리거되는 트래픽 스티어링을 위한 방법 및 시스템, 이를 위한 장치 |
US10534908B2 (en) | 2016-12-06 | 2020-01-14 | Sap Se | Alerts based on entities in security information and event management products |
US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
US10534907B2 (en) | 2016-12-15 | 2020-01-14 | Sap Se | Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data |
US10552605B2 (en) | 2016-12-16 | 2020-02-04 | Sap Se | Anomaly detection in enterprise threat detection |
US11470094B2 (en) | 2016-12-16 | 2022-10-11 | Sap Se | Bi-directional content replication logic for enterprise threat detection |
US10764306B2 (en) | 2016-12-19 | 2020-09-01 | Sap Se | Distributing cloud-computing platform content to enterprise threat detection systems |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
JP6602799B2 (ja) * | 2017-01-26 | 2019-11-06 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
US10397258B2 (en) | 2017-01-30 | 2019-08-27 | Microsoft Technology Licensing, Llc | Continuous learning for intrusion detection |
CN106790292A (zh) * | 2017-03-13 | 2017-05-31 | 摩贝(上海)生物科技有限公司 | 基于行为特征匹配和分析的web应用层攻击检测与防御方法 |
US10581802B2 (en) * | 2017-03-16 | 2020-03-03 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for advertising network security capabilities |
US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
JP6721542B2 (ja) * | 2017-06-09 | 2020-07-15 | 日本電信電話株式会社 | トラヒック制御装置、方法、およびプログラム |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
US10263863B2 (en) | 2017-08-11 | 2019-04-16 | Extrahop Networks, Inc. | Real-time configuration discovery and management |
US10063434B1 (en) | 2017-08-29 | 2018-08-28 | Extrahop Networks, Inc. | Classifying applications or activities based on network behavior |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
RU2697698C2 (ru) * | 2017-12-27 | 2019-08-16 | Общество с ограниченной ответственностью "АСП Лабс" | Способ обработки сетевого трафика с использованием межсетевого экранирования |
RU2691192C1 (ru) * | 2017-12-27 | 2019-06-11 | Общество с ограниченной ответственностью "АСП Лабс" | Система межсетевого экранирования |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11347871B2 (en) * | 2018-01-16 | 2022-05-31 | International Business Machines Corporation | Dynamic cybersecurity protection mechanism for data storage devices |
WO2019142115A1 (en) * | 2018-01-17 | 2019-07-25 | Mkit North America Inc. | Device and method for securing a network connection |
US10764309B2 (en) | 2018-01-31 | 2020-09-01 | Palo Alto Networks, Inc. | Context profiling for malware detection |
US11159538B2 (en) | 2018-01-31 | 2021-10-26 | Palo Alto Networks, Inc. | Context for malware forensics and detection |
US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
US10264003B1 (en) | 2018-02-07 | 2019-04-16 | Extrahop Networks, Inc. | Adaptive network monitoring with tuneable elastic granularity |
US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
CN111819558A (zh) * | 2018-04-30 | 2020-10-23 | 慧与发展有限责任合伙企业 | 更新三元内容可寻址存储器中的正则表达式模式组 |
US10116679B1 (en) | 2018-05-18 | 2018-10-30 | Extrahop Networks, Inc. | Privilege inference and monitoring based on network behavior |
US10862866B2 (en) | 2018-06-26 | 2020-12-08 | Oracle International Corporation | Methods, systems, and computer readable media for multiple transaction capabilities application part (TCAP) operation code (opcode) screening |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11310201B2 (en) * | 2018-10-23 | 2022-04-19 | Akamai Technologies, Inc. | Network security system with enhanced traffic analysis based on feedback loop |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11063907B2 (en) | 2019-01-18 | 2021-07-13 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11308209B2 (en) | 2019-01-18 | 2022-04-19 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
US11212304B2 (en) | 2019-01-18 | 2021-12-28 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
CN110099058B (zh) * | 2019-05-06 | 2021-08-13 | 江苏亨通工控安全研究院有限公司 | Modbus报文检测方法、装置、电子设备及存储介质 |
JP6801046B2 (ja) * | 2019-05-28 | 2020-12-16 | ホアウェイ・テクノロジーズ・カンパニー・リミテッド | 悪意があるデータフローのネットワーク侵入を検知および防止するシステムおよび方法 |
US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11533329B2 (en) | 2019-09-27 | 2022-12-20 | Keysight Technologies, Inc. | Methods, systems and computer readable media for threat simulation and threat mitigation recommendations |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
EP4218212A1 (en) | 2020-09-23 | 2023-08-02 | ExtraHop Networks, Inc. | Monitoring encrypted network traffic |
US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
US11956212B2 (en) | 2021-03-31 | 2024-04-09 | Palo Alto Networks, Inc. | IoT device application workload capture |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
KR102328879B1 (ko) * | 2021-06-10 | 2021-11-22 | (주)시큐레이어 | 학습 데이터의 불균형 상황에서 이상 웹로그를 탐지할 수 있도록 하는 비지도 학습 방법 및 학습 장치, 그리고 이를 이용한 테스트 방법 및 테스트 장치 |
US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
CN113596050B (zh) * | 2021-08-04 | 2023-06-30 | 四川英得赛克科技有限公司 | 异常流量的分离过滤方法、系统、存储介质及电子设备 |
US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
Family Cites Families (47)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5813001A (en) * | 1993-10-22 | 1998-09-22 | Nodel Corporation | Method for performing optimized intelligent searches of knowledge bases using submaps associated with search objects |
US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US5802320A (en) | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
WO1997040610A2 (en) * | 1996-04-24 | 1997-10-30 | Northern Telecom Limited | Internet protocol filter |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US5983270A (en) * | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US6134591A (en) | 1997-06-18 | 2000-10-17 | Client/Server Technologies, Inc. | Network security and integration method and system |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6738814B1 (en) * | 1998-03-18 | 2004-05-18 | Cisco Technology, Inc. | Method for blocking denial of service and address spoofing attacks on a private network |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US6625650B2 (en) * | 1998-06-27 | 2003-09-23 | Intel Corporation | System for multi-layer broadband provisioning in computer networks |
US6269447B1 (en) | 1998-07-21 | 2001-07-31 | Raytheon Company | Information security analysis system |
US6219706B1 (en) * | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6550012B1 (en) | 1998-12-11 | 2003-04-15 | Network Associates, Inc. | Active firewall system and methodology |
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6611875B1 (en) * | 1998-12-31 | 2003-08-26 | Pmc-Sierra, Inc. | Control system for high speed rule processors |
US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6963912B1 (en) | 1999-06-28 | 2005-11-08 | Xacct Technologies, Ltd. | Method and apparatus for session reconstruction |
EP1791063A1 (en) * | 1999-06-30 | 2007-05-30 | Apptitude, Inc. | Method and apparatus for monitoring traffic in a network |
US6901517B1 (en) | 1999-07-16 | 2005-05-31 | Marconi Communications, Inc. | Hardware based security groups, firewall load sharing, and firewall redundancy |
US6735702B1 (en) | 1999-08-31 | 2004-05-11 | Intel Corporation | Method and system for diagnosing network intrusion |
US6988238B1 (en) * | 2000-01-24 | 2006-01-17 | Ati Technologies, Inc. | Method and system for handling errors and a system for receiving packet stream data |
FR2805107B1 (fr) * | 2000-02-10 | 2002-04-05 | Bull Cp8 | Procede de gestion de transmissions de donnees multimedias via un reseau de type internet, notamment de donnees telephoniques, et carte a puce pour la mise en oeuvre du procede |
FR2805062B1 (fr) * | 2000-02-10 | 2005-04-08 | Bull Cp8 | Procede de transmission de flux de donnees a haut debit sur un reseau de type internet entre un serveur et un terminal a carte a puce, notamment d'un flux de donnees multimedia |
US6553377B1 (en) | 2000-03-31 | 2003-04-22 | Network Associates, Inc. | System and process for maintaining a plurality of remote security applications using a modular framework in a distributed computing environment |
US6519703B1 (en) | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
KR20010090014A (ko) * | 2000-05-09 | 2001-10-18 | 김대연 | 네트워크 보호 시스템 |
US7089303B2 (en) | 2000-05-31 | 2006-08-08 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
WO2002013486A2 (en) | 2000-08-07 | 2002-02-14 | Xacct Technologies Limited | System and method for processing network accounting information |
WO2002017594A2 (en) | 2000-08-18 | 2002-02-28 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
US6381242B1 (en) * | 2000-08-29 | 2002-04-30 | Netrake Corporation | Content processor |
US20020032871A1 (en) * | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
ATE344573T1 (de) * | 2000-11-30 | 2006-11-15 | Lancope Inc | Flussbasierte erfassung eines eindringens in ein netzwerk |
US20020116639A1 (en) | 2001-02-21 | 2002-08-22 | International Business Machines Corporation | Method and apparatus for providing a business service for the detection, notification, and elimination of computer viruses |
JP3731111B2 (ja) * | 2001-02-23 | 2006-01-05 | 三菱電機株式会社 | 侵入検出装置およびシステムならびにルータ |
KR20020072618A (ko) * | 2001-03-12 | 2002-09-18 | (주)세보아 | 네트워크 기반 침입탐지 시스템 |
JP2002342279A (ja) * | 2001-03-13 | 2002-11-29 | Fujitsu Ltd | フィルタリング装置、フィルタリング方法およびこの方法をコンピュータに実行させるプログラム |
US6816455B2 (en) | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US20030135749A1 (en) | 2001-10-31 | 2003-07-17 | Gales George S. | System and method of defining the security vulnerabilities of a computer system |
US20030159060A1 (en) | 2001-10-31 | 2003-08-21 | Gales George S. | System and method of defining the security condition of a computer system |
US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US6654882B1 (en) | 2002-05-24 | 2003-11-25 | Rackspace, Ltd | Network security system protecting against disclosure of information to unauthorized agents |
US6741595B2 (en) * | 2002-06-11 | 2004-05-25 | Netrake Corporation | Device for enabling trap and trace of internet protocol communications |
US7356585B1 (en) * | 2003-04-04 | 2008-04-08 | Raytheon Company | Vertically extensible intrusion detection system and method |
-
2002
- 2002-11-07 US US10/291,095 patent/US7454499B2/en not_active Expired - Lifetime
-
2003
- 2003-11-07 KR KR1020057008205A patent/KR101045362B1/ko not_active IP Right Cessation
- 2003-11-07 CN CNB2003801047096A patent/CN100443910C/zh not_active Expired - Fee Related
- 2003-11-07 AU AU2003290674A patent/AU2003290674A1/en not_active Abandoned
- 2003-11-07 WO PCT/US2003/035619 patent/WO2004045126A2/en active Application Filing
- 2003-11-07 AR ARP030104121A patent/AR042020A1/es unknown
- 2003-11-07 KR KR1020107026179A patent/KR101111433B1/ko not_active IP Right Cessation
- 2003-11-07 EP EP03783255A patent/EP1558937B1/en not_active Expired - Fee Related
- 2003-11-07 JP JP2004551910A patent/JP2006506853A/ja active Pending
-
2004
- 2004-08-31 US US10/930,392 patent/US7451489B2/en not_active Expired - Lifetime
- 2004-08-31 US US10/930,922 patent/US7454792B2/en not_active Expired - Lifetime
-
2010
- 2010-06-22 JP JP2010141647A patent/JP2010268483A/ja active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20010085057A (ko) * | 2001-07-27 | 2001-09-07 | 김상욱 | 네트워크 흐름 분석에 의한 침입 탐지 장치 |
KR20020075319A (ko) * | 2002-07-19 | 2002-10-04 | 주식회사 싸이버텍홀딩스 | 지능형 보안 엔진과 이를 포함하는 지능형 통합 보안 시스템 |
Also Published As
Publication number | Publication date |
---|---|
EP1558937B1 (en) | 2011-08-24 |
CN100443910C (zh) | 2008-12-17 |
EP1558937A2 (en) | 2005-08-03 |
JP2010268483A (ja) | 2010-11-25 |
US7451489B2 (en) | 2008-11-11 |
KR20050086441A (ko) | 2005-08-30 |
AU2003290674A1 (en) | 2004-06-03 |
EP1558937A4 (en) | 2009-01-28 |
KR101045362B1 (ko) | 2011-06-30 |
WO2004045126A2 (en) | 2004-05-27 |
US20050044422A1 (en) | 2005-02-24 |
KR20100132079A (ko) | 2010-12-16 |
AR042020A1 (es) | 2005-06-08 |
CN1720459A (zh) | 2006-01-11 |
WO2004045126A3 (en) | 2004-12-02 |
US7454792B2 (en) | 2008-11-18 |
AU2003290674A8 (en) | 2004-06-03 |
US20050028013A1 (en) | 2005-02-03 |
US20040093513A1 (en) | 2004-05-13 |
JP2006506853A (ja) | 2006-02-23 |
US7454499B2 (en) | 2008-11-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101111433B1 (ko) | 능동 네트워크 방어 시스템 및 방법 | |
EP1817685B1 (en) | Intrusion detection in a data center environment | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
US9001661B2 (en) | Packet classification in a network security device | |
US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
EP1470691B1 (en) | Integrated network intrusion detection | |
US20040250114A1 (en) | System and method for network quality of service protection on security breach detection | |
AU2002254385A1 (en) | Network service zone locking | |
KR102501372B1 (ko) | Ai 기반 이상징후 침입 탐지 및 대응 시스템 | |
Stanciu | Technologies, methodologies and challenges in network intrusion detection and prevention systems. | |
Limmer et al. | Survey of event correlation techniques for attack detection in early warning systems | |
Mishra et al. | Artificial intelligent firewall | |
Patil et al. | Snort, BRO, NetSTAT, Emerald and SAX2: A Comparison. | |
Sulaman | An Analysis and Comparison of The Security Features of Firewalls and IDSs | |
Behal et al. | Extrusion: An outbound traffic based approach to detect botnets | |
EHSC | Efficient and Intelligent Network Infrastructure Protection Strategies for Complex Attacks, IDS Evasions, Insertions and Distributed Denial of Service | |
Venuti et al. | Deliverable DJ2. 4.1: Specification of Advanced Methods for Incident and Security Threats' Detection and Mitigation in a Multi-Domain Environment | |
Ultes-Nitsche et al. | An Integrated Network Security Approach | |
Agrawal et al. | Analysis of Intrusion Detection System Using Trusted Clients |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A107 | Divisional application of patent | ||
A201 | Request for examination | ||
E902 | Notification of reason for refusal | ||
E701 | Decision to grant or registration of patent right | ||
GRNT | Written decision to grant | ||
FPAY | Annual fee payment |
Payment date: 20160104 Year of fee payment: 5 |
|
LAPS | Lapse due to unpaid annual fee |