KR20080063209A - 엔드포인트 리소스를 사용하는 네트워크 보안 요소 - Google Patents

엔드포인트 리소스를 사용하는 네트워크 보안 요소 Download PDF

Info

Publication number
KR20080063209A
KR20080063209A KR1020070140966A KR20070140966A KR20080063209A KR 20080063209 A KR20080063209 A KR 20080063209A KR 1020070140966 A KR1020070140966 A KR 1020070140966A KR 20070140966 A KR20070140966 A KR 20070140966A KR 20080063209 A KR20080063209 A KR 20080063209A
Authority
KR
South Korea
Prior art keywords
network
request
unauthorized
server
access
Prior art date
Application number
KR1020070140966A
Other languages
English (en)
Other versions
KR101010465B1 (ko
Inventor
오메르 벤-샬롬
유리 블루멘탈
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20080063209A publication Critical patent/KR20080063209A/ko
Application granted granted Critical
Publication of KR101010465B1 publication Critical patent/KR101010465B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

엔드포인트 리소스들을 이용하는, 네트워크 보안 요소들을 위한 방법 및 장치가 제공된다. 본 발명의 방법의 일 실시예는, 엔드포인트 서버에서 네트워크로의 액세스 요청을 수신하는 단계를 포함한다. 이 방법은, 네트워크로의 액세스 요청이 인가되지 않은 요청을 포함하는지 검출한다. 네트워크로의 액세스 요청은 네트워크 보안 요소로 전달된다.
Figure P1020070140966
엔드포인트 리소스, 네트워크 보안 요소, 다크넷, 허니팟.

Description

엔드포인트 리소스를 사용하는 네트워크 보안 요소{NETWORK SECURITY ELEMENTS USING ENDPOINT RESOURCES}
본 발명의 실시예들은 컴퓨터 보안에 관한 것이다. 더욱 구체적으로는, 본 발명의 실시예들은 엔드포인트 리소스들을 사용하는 네트워크 보안 요소에 관한 것이다.
컴퓨터 동작에 대하여, 외부인들에 의한 공격에 대처하기 위하여 수많은 네트워크 보안 요소들이 도입되어 왔다. 예를 들어, 비인가된 사람들이 종종 시스템 내의 액세스 가능한 포인트를 찾아 네트워크를 탐색함으로써 네트워크 리소스들에 액세스하려고 시도한다.
네트워크 보안 요소들 중에서 비인가된 네트워크 엔트리를 처리하도록 고안된 것이 다크넷 애널라이저들 및 허니팟들인데, 이들은 동작중인 컴퓨터 리소스로부터 유해한 트래픽을 유인하고, 시스템 구성원으로 하여금 공격자들을 분석하도록 결합한다. 일반적으로, 보안 요소들은 비인가된 사람이, 미사용 서브넷 상에 있으며, 따라서 액세스되어서는 안되는 IP (인터넷 프로토콜) 어드레스에 액세스하려고 시도하고 있다는 것을 인식할 것이다. 일단 그러한 액세스가 탐지되면, 비인가된 유저는 동작중인 네트워크와는 분리되며 "다크넷"으로 지칭되기도 하는 서버 또는 시스템으로 보내질 수 있다. 또한, 네트워크 보안은 시스템을 에뮬레이트하도록 시도하여, 유저의 액세스 방법들 또는 네트워크에 관한 지식 레벨을 폭로하도록 비인가된 유저를 장려할 수 있어 ("허니팟"으로 지칭됨), 시스템 관리자로 하여금 네트워크 보안을 향상시킬 수 있게 한다.
종래시스템들은 그 동작에 있어 한계가 있어, 많은 경우에 있어 네트워크를 보호하지 못할 것이다. 비인가된 유저가 충분한 지식을 갖는 경우에는, 그 유저는 다크넷 동작을 트리거링하는 것을 피할 수도 있다. 예를 들어, 그 유저가 비할당된 IP 어드레스들 또는 미사용된 네트워크들을 피할 수 있는 경우에는, 그 유저는 탐지되지 않을 것이다. 또한, 다크넷/허니팟의 동작은 비인가된 유저에 의해 탐지될 수 있는데, 이는 유저로 하여금 네트워크 관리자들이 침입자에 관한 정보를 얻기 전에 접촉을 끊을 수 있게 한다.
본 발명의 예시적인 일 방법은, 엔드포인트 서버에서 네트워크로의 액세스 요청을 수신하는 단계, 상기 네트워크로의 액세스 요청이 비인가(unauthorized) 요청을 포함하는지를 검출하는 단계, 및 상기 액세스 요청을 네트워크 보안 요소로 전송하는 단계를 포함한다.
본 발명의 예시적인 서버는, 상기 네트워크로의 액세스 요청들을 수신하기 위한 인터페이스, 상기 네트워크로의, 비인가 액세스 요청들을 검출하기 위한 모듈, 및 네트워크 보안 요소를 포함하고, 상기 서버가 검출된 비인가 요청들을 상기 네트워크 보안 요소로 전송한다.
본 발명의 예시적인 네트워크는, 인터넷 접속을 위한 이더넷 케이블(Ethernet cable), 상기 이더넷 케이블에 연결된 엔드포인트 서버 - 상기 엔드포 인트 서버는 상기 네트워크로의 비인가 액세스 요청들을 검출함 -, 상기 엔드포인트 서버에 연결된 네트워크 보안 요소 - 상기 엔드포인트 서버는, 검출된 상기 네트워크로의 비인가 액세스 요청들을 상기 네트워크 보안 요소로 송신함 -, 및 상기 네트워크의 동작들과 분리된 보안 서버 - 상기 보안 서버는 상기 네트워크 보안 요소로부터 상기 비인가 요청들에 관한 데이터를 수신함 -를 포함한다.
본 발명의 일 실시예에 있어서, 네트워크 보안은 엔드포인트 리소스들이 보안을 위해 이용될 수 있도록 네트워크를 통해 분산된다. 엔드포인트 리소스들의 사용은 다크넷으로 보내지는 트래픽에서 더욱 미세한 세분성(granularity)을 제공함으로써 더 많은 동작들로의 가시성을 허용하며, 엔드포인트 레벨에 있는 동작들의 에뮬레이션을 가능하게 함으로써 에뮬레이션의 품질을 향상시킨다.
본 발명의 일 실시예는 엔드포인트 리소스들을 사용하는 네트워크 보안 요소들에 관한 것이다.
본 명세서에서 사용된 바와 같이,
"다크넷"은 비인가된 사용을 동작중인 네트워크 요소들로부터 멀리 보내도록 이용되는 네트워크 서버 또는 요소를 의미하다. 일반적인 예에서, 미사용 서브넷 내의 비할당된 IP 어드레스들에 액세스하려고 시도하는 유저들이 탐지되어 다크넷으로 보내진다.
"허니팟"은 비인가된 유저에게 네트워크 액세스를 에뮬레이트하도록 이용되 는 네트워크 요소이다. 예를 들어, 네트워크에 액세스하고 있는, 비인가된 것으로 의심되는 자는 비인가된 액세스 시도에 관한 정보를 얻기 위해 허니팟으로 보내질 수 있다.
"네트워크 보안 요소"는 비인가된 액세스로부터 네트워크를 보호하도록 의도된 요소를 의미한다. "네트워크 보안 요소"는 다크넷 또는 허니팟을 포함하나 이에 제한되지 않는다.
본 발명의 일 실시예에 있어서, 비인가된 유저들에 대하여 보호하기 위한 네트워크 보안 요소들이 네트워크를 통해 분산된다. 본 발명의 일 실시예에 있어서, 네트워크 보안의 동작은 네트워크 엔드포인트들 내의 분산된 네트워크 보안 요소들의 사용을 통해 확장된다. 예를 들어, 다크넷/허니팟으로 보내지는 인가된 액세스의 유형들은 네트워크 엔드포인트들로의 기능들의 분산을 통해 확장된다. 본 발명의 일 실시예에서, 네트워크 보안 요소들은, 종래의 동작들에 한정되기보다는, 엔드포인트 리소스들에 의해 액세스될 수 있는 레벨들에 있는 트래픽을 분석한다.
다크넷 및 허니팟과 같은 네트워크 보안 요소들은 기업의 보안 창고에서는 매우 유용한 수단이다. 이러한 보안 요소들은 보통 중앙의 위치에 존재하며, 일반적으로 미사용 서브넷 내의 IP 어드레스들로 향해지는 트래픽의 전환(diversion)에 의해 기업IP 공간의 특정 부분 내로의 가시성(가시성)을 가진다. 그러나, 이러한 접근법의 큰 문제는, 보안 요소들을 회피하는 사용된 네트워크 내의 미사용 IP 어드레스들 또는 사용된 IP 어드레스들로 향해지는 트래픽을 갖는, 많은 경우들에 대하여는 어떤 가시성도 제공하지 못한다는 점이다. 종래의 구성은 따라서 많은 지 식을 가지거나 숙련된 공격자들에 대처하는데 있어서 덜 유용하다. 탐색 전에 네트워크 트래픽을 모니터링하거나 다른 토폴로지 지식을 갖는 공격자와 같이, IP 공간 할당에 대한 지식을 갖는 공격자들은 이러한 탐지 시스템을 부분적으로 또는 전체적으로 회피할 수 있고, 따라서 보안 요소들은, 할당된 IP 어드레스들 또는 활성 네트워크 내의 어드레스들에의 액세스를 제한할 수 있는 공격자에 대한 가시성을 전혀 갖지 못할 것이다.
본 발명의 일 실시예에 있어서, 네트워크 보안은 엔드포인트 리소스들이 보안을 위해 이용될 수 있도록 네트워크를 통해 분산된다. 엔드포인트 리소스들의 사용은 다크넷으로 보내지는 트래픽에서 더욱 미세한 세분성(granularity)을 제공함으로써 더 많은 동작들로의 가시성을 허용하며, 엔드포인트 레벨에 있는 동작들의 에뮬레이션을 가능하게 함으로써 에뮬레이션의 품질을 향상시킨다. 다크넷 동작들의 분산는 보안 시스템을 더욱 피하기 어렵게 만들고 (시스템의 범위 내에 활성 어드레스들이 포함되기 때문임 ) 보안 시스템을 더욱 탐지하게 어렵게 만들도록 (엔드포인트 시스템들이 동작중인 시스템의 동작을 더욱 가깝게 근사할 수 있기 때문임) 동작할 수 있다. 일례에서, 엔드포인트는 보통 시스템과 같이 패킷에 대한 동일한 TTL (타임 투 라이브(Time to Live) - IP 패킷 내의 값으로서, 그 패킷이 네트워크에 너무 오래 있었는지 여부 및 폐기되어야 하는지 여부를 라우터에게 알려줌)을 제공할 수 있고, 따라서, 패킷 송신에 있어 원격 시스템에 필수적인 지연 때문에 원격 다크넷으로부터는 제공될 수 없는 반응을 제공할 수 있다.
본 발명의 일 실시예에 있어서, 네트워크는 서버들의 적어도 하나의 에뮬레 이션을 포함하며, 이러한 요소들은 실제 호스트 시스템에 의해 에뮬레이트된다. 예를 들어, 네트워크 라우터는, 실제 시스템에 의해 에뮬레이트되는 것과 같이, 적어도 하나의 실제 호스트 시스템 및 적어도 하나의 에뮬레이트된 시스템에의 액세스를 제공할 수 있다. 에뮬레이트된 시스템들은 동작중인 시스템의 일부인 것처럼 보이도록 의도되나, 실제로는 엔드포인트 레벨에 있는 에뮬레이션들이다.
본 발명의 일 실시예에 있어서, 네트워크 보안의 분산는 주요 리소스들을 투자하지 않고도 네트워크에서 구현될 수 있다. 예를 들어, 네트워크 보안 동작의 분산을 위하여는 ME (management engine(관리 엔진)) 내의 상대적으로 작은 양의 엔드포인트 리소스들 만이 필요하다. 나아가, 호스트 OS (운영 시스템)의 관여는 요구되지 않는데, 따라서 분산된 보안 요소들은 간단히 배치(deploy)되고 사용될 수 있게 된다. 본 발명의 일 실시예에 있어서, 모든 네트워크 트래픽이 ME를 통과하기 때문에 OS 관여는 요구되지 않으며, 따라서 OS가 악성 패킷을 볼 기회를 갖기도 전에 보안 조치가 취해질 수 있다. 따라서, OS가 공개되지 않으며, 침입 시도의 처리가 완전히 ME 장치 내에서만 행해진다.
본 발명의 일 실시예에 있어서, 엔드포인트 쉘들은 (보안을 위해 제공되는 서버들의 에뮬레이션들) 비인가된 것으로 보이는 소정 유형의 트래픽 (이는 "관심 있는" 것으로 정의되는 임의의 트래픽으로 지칭될 수도 있음) 또는 그러한 트래픽에 관한 통계를 중앙 보안 서버 (다크넷/허니팟 서버)로 보내도록 동작한다. 분산된 보안 요소들은 동작들 내로의 그러한 구성들의 가시성을 증가시키도록 사용될 수 있다. 일 실시예에서, 분산된 네트워크 보안 요소들은 다크넷/허니팟 서버들에 의해 일반적으로 제공되는 네트워크 공간의 선택적인 뷰(view)인, 종래 동작들의 주된 단점을 피하도록 이용될 수 있다.
본 발명의 특정 실시예에 있어서, 예를 들어, 인텔사에 의해 제작된, 인텔 활성 관리 기술(Intel Active Management Technology (iAMT)) ME (관리 엔진)의 리소스들이, 소정 트래픽 유형들을 선택적으로 탐지하거나 소정 통계를 생성하고 이들을 중앙 다크넷/허니팟 상으로 보내도록 이용될 수 있다. 그러나, 본 발명의 실시예들은 이러한 환경으로 제한되지 않는다. 일 실시예에서, "관심 있는" 네트워크 트래픽을 분류하는데 사용하는 에이전트는 회로 차단기(circuit breaker (CB))일 수 있는데, 회로 차단기는 소정의 신호 또는 데이터 유형이 수신될 때 "끊어지는" 요소이다. 본 발명의 일 실시예에 있어서, ME의 확장은 허니팟-유형의 행위를 수행하도록 이용되거나, 이를 통과하여 원격 분석기로 가는 소정 트래픽 유형들을 복제하도록 이용될 수 있다. 일례에서, 서버가 TCP (Transport Control Protocol) 접속을 설정하는 요청을 나타내는, SYN 요청을 수신하나 그 트래픽이 닫힌 포트로 향해지는 경우에, 그 서버는 보통 RST(리셋) 응답을 송신할 것이다. 본 발명의 일 실시예에 있어서, 서버의 ME는, 트래픽이 닫힌 포트로 향해지는 때에는, RST 응답 대신에 SYNACK (또는 SYN/ACK)(서버로 송신된SYN에 응답하여 승인(acknowledgement) 및 동기화) 응답을 송신한 후, 후속하는 패킷 또는 패킷들을 다크넷/허니팟 서버로 송신하도록 구성될 수 있다.
본 발명의 일 실시예에 있어서, 엔드포인트 에이전트에서 설정된 네트워크 보안 요소의 동작은 탐지된 비인가된 네트워크 트래픽의 전환을 포함한다. 그러한 전환을 위해 사용되는 방법들은 상이한 구현에 따라 달라질 수 있으며, 이하의 방법들을 포함할 수 있으나 이에 제한되지는 않는다.
(1) 비인가된 트래픽을 전달(forward)하기 위해 IP 터널을 여는 것. IP 터널은 다양한 수단을 사용하여 설정될 수 있는데, 이는 예를 들어, IP-인-IP 터널(IP-in-IP tunnels) (일반적으로 엔드포인트들 간에 정보를 전달하는데 사용되며, 상이한 성능들을 갖는 IP 내부 네트워크의 부분들 간의 다리의 역할을 함; "IP in IP Tunneling (IP 터널링에서의 IP)," 인터넷 네트워크 워킹 그룹 RFC 1853, 1995년 10월 발행, 및 "Encapsulation Within IP (IP 내의 IP 캡슐화)," 인터넷 네트워크 워킹 그룹 RFC 2003, 1996년 10월 발행 참조), 또는 다른 유사한 방법들을 포함한다.
(2) 공지의 DSCP (Differentiated Services Code Point(차등화 서비스 코드 포인트), 패킷 분류를 목적으로 IP 패킷의 헤더에서 제공되는 필드를 지정함) 값으로 트래픽을 마킹. 이러한 예에서, 네트워크 인프라스트럭쳐는 지정된 정보를 다크넷으로 전달하는 정책 기반 라우팅 방법을 채용하도록 허용된다.
본 발명의 일 실시예에 있어서, 엔드포인트 에이전트는, 특정 구현예에 따라서는, 지정된 기준을 만족하는 모든 패킷들, 트래픽의 통계적인 샘플링과 같은 소정 패킷들, 또는 단지 그러한 트래픽에 관한 통계들을 중앙 다크넷/허니팟 제어기로 전달한다. 많은 수의 스테이션들이 분산된 엔드포인트 보안 솔루션에 참여하는 경우에는, 네트워크 트래픽의 드문드문한 통계적 샘플링도 네트워크 환경에서 무엇이 일어나고 있는지에 대한 충분한 가시성을 제공할 수 있어, 네트워크 관리자 로 하여금 그 상황을 분석할 수 있게 한다.
본 발명의 특정 실시예에서, iAMT를 지원하는 엔드포인트 같이, 네트워크는 존재하는 엔드포인트를 호스트 OS에 의한 참여나 인식 없이 기업 보안 분석 엔티티로 사용할 수 있다. 이 구조는 엔드포인트 구성을 복잡하게 하지 않고, 성능에 대한 효과를 최소화하기 바람직하다. 추가로, 분산된 보안 구조의 실시예는 스테이션 관리자(station administrator)보다는 관리자 바디에 의해 직접 제어된다. 호스트 OS 외부에서 제어되는 엔티티를 이용하는 것은 엔티티를 ISP 보안 센서 네트워크의 전체 엔터프라이즈로 통합하는 절차를 간략화하고, 말웨어(malware) 동작을 보는데 있어서 상당한 간격을 줄이도록 동작할 수 있다. 말웨어의 예상되는 연속적 진화로, 이런 능력은 심도있는 방어를 하기 위해서 중요할 수 있다. 또한, OS 외부에서 보안 엔티티를 제공하는 것은 말웨어가 OS를 간섭하는 것을 방지하는데 사용될 수 있다.
본 발명의 실시예에서, 다크넷과 허니팟 기능을 강화하는 프로세스가 제공되고, 이 프로세스는 위상학적으로 인식된 말웨어가 검사를 회피하는 능력을 방지하도록 동작한다. 본 발명의 실시예에서, 시스템은 도메인 내 각 호스트가 허니팟으로 사용되도록 한다.
도 1은 네트워크로의 비인가되거나 악의적 트래픽 엔트리를 탐지 및/또는 방지하기 위한 네트워크 보안 요소의 사용을 도시한다. 이 도시에서, 비인가되거나 비면역 유저(105)는 예컨대 파이어 월(111)을 포함한 다양한 보안 에이젼트나 장치에 의해 보호될 수 있는 네트워크(유저 아웃사이드 네트워크(105a))에 들어가기 위 해 시도하거나 네트워크 (유저 인사이드 네트워크(105b)) 내에서 이미 적법한 유저이다. 유저(105)가 다른 보안 대책(measure)을 우회할 수 있다면, 유저는 시스템 상의 하나 이상의 IP 주소에 대한 공격을 생성하거나 액세스를 시도할 수 있다. 동작 네트워크(125)에 액세스를 제공하거나 이의 부분일 수 있는 시스템 IP 어드레스(115)에 추가해서, 정상적으로 액세스될 수 없는 소정 미사용 IP 주소(120)가 있을 수도 있다. 유저(105)에 의한 미사용 IP 주소를 액세스하려는 시도는, 탐지되는 행동 및/또는 비인가 유저가 유저의 방법이나 의도에 관한 정보를 누설하는 것을 유도하기 위해서 동작 네트워크를 에뮬레이트(emulate)할 수 있는 다크넷/허니팟 서버로 트래픽을 리다이렉션이 된다. 추가해, 다른 네트워크 엘리먼트가 유저에 의한 액세스를 제한하는 데 사용될 수 있는데, 이는 다크넷에서 유도된 정보에 기초할 수 있다.
그러나, 비인가 유저는 IP 주소 배당에 관한 정보를 획득했을 수 있고, 그래서 상술한 미사용 IP 공간에 액세스하는 것을 피할 수 있으며, 그래서 탐지되거나 다크넷(130)으로 리다이렉트되는 것을 피할 수 있다. 또한, 유저(105)가 다이렉트되어도, 다크넷 동작은 실제 기능을 속일 수 있다. 특히, 유저(105)가 도달하려고 시도한 로컬 시스템과 반대로 중앙 다크넷 서버로부터 반응을 얻는데 있어서의 지연은 유저가 상황을 인식하도록 할 수 있다. 그래서, 유저(105)가 미리 경계하면, 유저는 탐지를 피하기 위해서 다른 수단을 시도할 수 있다.
본 발명의 실시예에서, 다크넷/허니팟 서버(130)의 기능은 엔드포인트 동작의 사용으로 보조받을 수 있다. 본 발명의 실시예에서, 다크넷 및 허니팟 동작은 국소적 엔드포인트 기능을 사용해서 향상된 보안 프로세스를 구현할 수 있다.
도 2는 분산된 네트워크 보안 시스템의 실시예이다. 도 2에 도시된 시스템은 가능한 네트워크 구조의 예를 단순히 도시하고, 본 발명의 실시예는 이 특정 네트워크 구조에 한정되지 않는다. 이 도시에서, WAN(wide area network)(205)는 분산된 다크넷 제어기(210)를 포함한다. 다크넷 제어기(210)는 분산된 보안 엘리먼트를 위한 제어기로 기능하는데, 네트워크의 엔드포인트에서 구현될 수 있다. WAN(205)는 캠퍼스 A WAN 라우터(215), 캠퍼스 B WAN 라우터(220)에서 캠퍼스 N WAN 라운터(225)까지를 포함하는 캠퍼스용 다중 라우터를 포함할 수 있다. 캠퍼스 A WAN 라우터(215)는 데이터를 LAN(local area network) 라우터(230)로 전송할 수 있는데, LAN은 실제 호스트 A(240), 실제 호스트 B(245) 및 실제로는 호스트 A(240)에 의해 에뮬레이트되는 호스트 C(250)를 포함한다. 유사하게, 캠퍼스 B WAN 라우터(220)는 데이터를 LAN 라우터(235)로 전달할 수 있는데, LAN은 실제 호스트 X(255), 실제 호스트 Y(260) 및 실제로는 호스트 X(255)에 의해 에뮬레이트되는 호스트 Z(265)를 포함한다.
본 발명의 실시예에서, 네트워크의 다크넷 동작은 분산된 다크넷 제어기(210)에 의해 관리되고, 에뮬레이트된 네트워크 호스트 엘리먼트, 호스트 C(250) 및 호스트 Z(265)로 분산될 수 있다. 본 발명의 실시예에서, 부적절한 네트워크 요청에 대한 향상된 가시성이 에뮬레이트 호스트 및 실제 호스트 시스템을 통해서 제공된다. 가상 호스트 C(250) 및 Z(265)로의 직접 트래픽 시도는 다크넷 제어기(210)로 포워드되고, 보고될 것이다. 추가해, 실제 호스트 A, B, X 및 Y상의 미 사용 포트에 할당된 임의의 트래픽도 다크넷 제어기(210)로 역시 포워드되고 보고될 것이다. 리다이렉트된 트래픽 트랜스퍼는 IP 터널링에 의하거나, 공지의 DSCP로 트래픽을 만들거나, 다른 방법으로 제공될 수 있다. 추가해, 호스트 서버는 포트가 닫혔는지를 특정하는 임의의 RST를 인터셉터할 수 있고, 대신에 SYNACK를 보내서 연결 시도가 만들어졌는지를 알 수 있으며, 시도된 비인가 액세스에 관한 정보를 구분하기 위해서 제어기(210)의 분산된 허니팟 동작으로 이 요청을 터널할 수 있다.
도 3은 외부로 나가는 패킷 모니터링에 관한 프로세스의 도시이다. 이 도시에서, 외부로 나가는 패킷 모니터링 프로세스(305)가 성립되면, 시스템이 허니팟 모드에 있는지를 결정하며(310), 모드는 비인가 요청에 대한 허니팟 동작들이 있는 것이다. 그렇지 않으면, 패킷이 통과하고, 프로세스는 귀환한다(315). 허니팟이 활성이면, RST 조건이 있는지를 판단한다(320). 그렇지 않으면, 패킷은 통과하고 프로세스는 귀환한다(315). RST 조건이 있으면, 더 많은 정보를 누설하는 비인가 유저를 유도하기 위해서 SYNACK가 대신 보내진다. 프로세스는 비인가 유저가 TCP 세션이 설정되고 있다고 확신시키기 위해서 허니팟 TCP 시뮬레이션을 야기하는 것을 더 포함한다.
도 4는 내부로 들어오는 패킷 모니터링에 관한 프로세스의 도시이다. 본 발명의 실시예에서, 내부로 들어오는 패킷 모니터링 프로세스가 성립되면(405), 비인가된 유저로부터의 인바운드 패킷이 통과한다(410). 시스템이 허니팟 모드(415)에 있는 지를 결정한다(415). 있지 않으면, 다른 패킷을 수신할 때까지 이 프로세스 가 계속된다. 시스템이 허니팟 모드에 있으면, 사용될 수 있는 패킷에 관한 통계가 계산되어서 비인가 네트워크 트래픽이 분석된다(420).
도 5는 본 발명의 실시예를 이용한 컴퓨터 시스템의 도시이다. 컴퓨터 시스템은 실시예의 서버에 관한 엔드포인트 서버를 나타낼 수 있고, 그 엔드포인트 서버는 네트워크의 분산된 다크넷/허니팟 동작에 사용된다. 본 발명과 밀접하게 관련 없는 소정 표준 및 공지의 컴포넌트는 도시하지 않았다. 본 발명의 실시예에서, 컴퓨터(500)는 정보 통신을 위한 버스(505) 및 다른 통신 수단과, 2 이상의 프로세서(510)(제1 프로세서(515) 및 제2 프로세서(520)로 도시)와 같이 정보처리를 위해서 버스(505)에 연결된 처리 수단을 포함한다. 프로세서(510)는 하나 이상의 물리적 프로세서 및 하나 이상의 논리적 프로세서를 포함할 수 있다. 또한, 프로세서(510) 각각은 멀티플 프로세서 코어를 포함할 수 있다. 컴퓨터(500)는 단순화를 위해서, 단일 버스(505)를 가지는 것으로 도시되나, 컴퓨터는 다중의 상이한 버스를 가지고 그런 버스에 대한 컴포넌트 연결은 변할 수 있다. 도 5에 도시된 버스(505)는 임의의 하나 이상의 분리된 물리적 버스, 포인트-투-포인트 연결이나 적절한 브릿지, 어답터나 제어기에 의한 이들의 연결들을 추상적으로 나타낸 것이다. 그래서, 버스(505)는 예컨대 시스템 버스, PCI(peripheral component interconnect) 버스, 하이퍼트랜스포터나 ISA(industry standarad architecture) 버스, SCSI(small computer system interface) 버스, USB(universal serial bus), IIC(I2C) 버스나 IEEE 표준 1394 버스(“파이어월”이라 불림)를 포함할 수 있다.(“Standard for a High Performance Serial Bus" 1394-1395, IEEE, 1996년 8월 30일 게재 및 그 부록들)
컴퓨터(500)는 프로세서(510)에 의해 실행되는 명령어들 및 정보를 저장하기 위한 메인 메모리(525)로서 RAM(random access memory)이나 다른 동적 저장 장치를 더 포함한다. 메인 메모리(525)는 또한 프로세서(510)에 의해 명령어가 수행되는 동안 임시 변수 또는 다른 중간 정보를 저장하는데 사용될 수 있다. RAM 메모리는 기억 콘텐츠에 대한 리프레시가 필요한 DRAM과 기억 콘텐츠에 대한 리프레시가 필요없지만 고가인 SRAM을 포함한다. DRAM 메모리는 제어 신호에 대한 클록 신호를 포함하는 SRAM(synchronous dynamic random access memory) 및 EDODRAM(extended data-out dynamic random access memory)을 포함한다. 메인 메모리의 사용은 무선 장치로부터 수신된 신호의 저장을 포함한다. 컴퓨터(500)는 또한 ROM(read only memory)(530) 및/또는 프로세서(510)에 관한 정적 정보 및 명령을 저장하는 정적 저장 장치를 포함한다.
데이터 저장소(535)는 정보 및 명령을 저장하기 위해서 컴퓨터(500)의 버스(505)에도 연결될 수 있다. 데이터 저장소(535)는 자기 디스크나 광학 디스크 및 그에 해당하는 드라이브, 플래시 메모리나 다른 비휘발성 메모리 또는 다른 메모리 장치를 포함할 수 있다. 그런 엘리먼트는 함께 결합되거나 분리된 컴포넌트일 수 있고, 컴퓨터(500)의 다른 엘리먼트의 부분들을 이용할 수 있다.
컴퓨터(500)는 엔드 유저에 정보를 디스플레이하기 위해서, CRT(cathode ray tube) 디스플레이, LCD 디스플레이, 플라즈마 디스플레이 또는 다른 디스플레이 기술과 같은, 디스플레이 장치(540)에 버스(505)를 통해서 연결될 수도 있다. 일부 환경에서, 디스플레이 장치는 입력 장치의 적어도 일부로도 사용될 수 있는 터치-스크린일 수 있다. 일부 환경에서, 디스플레이 장치(540)는 오디오 정보를 제공하기 위한 스피커와 같은 오디오 장치이거나 이를 포함할 수 있다. 입력 장치(545)는 정보 및/또는 명령어 선택을 프로세서(510)에 통신하기 위해서 버스(505)에 연결될 수 있다. 다양한 구현에서, 입력 장치(545)는 키보드, 키패드, 터치-스크린 및 스타일러스, 음성-활성 시스템 또는 다른 입력 장치나 이들 장치의 결합일 수 있다. 포함될 수 있는 유저 입력 장치의 다른 종류는, 방향 정보 및 명령어 선택을 하나 이상의 프로세서(510)에 통신하고, 디스플레이 장치(540) 상에 커서 이동을 제어하기 위해서, 마우스, 트랙볼, 커서 방향 키와 같은 커서 제어 장치(550)이다.
통신 장치(555)는 버스(505)에도 연결될 수 있다. 구체적인 실시예에 따라서, 통신 장치(555)는 마더 보드 상의 LAN , 트랜시버, 무선 모뎀, 네트워크 인터페이스 카드, LAN 또는 다른 인터페이스 장치를 포함할 수 있다. 통신 장치(555)의 사용은 무선 장치로부터의 신호 수신을 포함할 수 있다. 라디오 통신을 위해서, 통신 장치(555)는 하나 이상의 안테나(558)를 포함할 수 있다. 일 실시예에서, 통신 장치(555)는 부적절한 액세스로부터 컴퓨터(500)를 보호하기 위한 방화벽을 포함할 수 있다. 컴퓨터(500)는 LAN과 같은 네트워크나, 인터넷으로의 링크, LAN이나 다른 환경을 포함할 수 있는, 통신 장치(555)를 이용해서 다른 장치에 연결될 수 있다. 컴퓨터(500)는 또한 전력 장치나 시스템(560)을 포함할 수 있는데, 전력을 제공하거나 생성하기 위한 배터리, 태양전지, 연료 전지나 다른 시스템이나 장치를 포함할 수 있다. 전력 장치나 시스템(560)에 의해 제공되는 전력은 컴퓨터(500)의 엘리먼트의 필요에 따라서 분산될 수 있다.
본 발명의 일 실시예에서, 컴퓨터(500)는 분산 네트워크 보안 시스템의 일부로서 동작하는 능력을 갖춘 엔드포인트 서버이다. 일 실시예에서, 프로세서들(510)은 유입되는 데이터 패킷들을 처리하고, 비인가 것으로 보이는 패킷들, 예컨대 비사용 어드레스나 포트 번호들로의 액세스에 대핸 요청을 포함하는 패킷들을 검출한다. 일 실시예에서, 컴퓨터는 비인가 데이터 트래픽 중 일부 또는 전체나 데이터 트래픽에 관한 통계 자료를 중앙 다크넷 제어기에 대해, 제어기 보안 동작들과 검출된 트래픽의 분석을 위하여, 전달한다.
본 명세서의 내용을 이용하는 당업자라면, 본 발명의 범위 내에서 본 명세서 및 도면으로부터 많은 수의 다양한 변형들이 이루어질 수 있다는 점을 알 것이다. 실제로, 본 발명은 앞서 기술된 상세한 설명으로 제한되지 않는다. 그보다는, 다음의 특허청구범위(그에 대해 이루어지는 보정 사항들을 모두 포함함)가 본 발명의 범위를 정의하는 것이다.
전술한 상세한 설명에서는, 설명의 목적으로, 본 발명의 철저한 이해를 제공하기 위해 많은 수의 구체적인 세부 사항들이 설명되었다. 그러나, 당업자라면 본 발명이 그와 같은 구체적인 세부 사항들 중 일부를 갖추지 않고서도 실시될 수 있다는 점을 분명히 알 것이다. 기타 다른 경우에는, 잘 알려진 구조들과 장치들이 블록도 형태로 도시되어 있다.
본 발명은 다양한 프로세스들을 포함할 수 있다. 본 발명의 프로세스들은 하드웨어 컴포넌트들에 의해 수행될 수도 있고, 범용 또는 특수목적 프로세서나 명령어들로 프로그램된 논리 회로들로 하여금 그 프로세스들을 수행하도록 하는데 이용될 수 있는 머신 실행 가능 명령어로서 구현될 수도 있다. 이와 달리, 프로세스들은 하드웨어와 소프트웨어의 조합에 의해 수행될 수도 있다.
본 발명의 일부는, 본 발명에 따른 프로세스를 수행하도록 컴퓨터(또는 기타 전자 장치들)를 프로그램하는데 이용될 수 있는, 명령어들이 저장된 머신 판독가능 매체를 포함할 수 있는 컴퓨터 프로그램 제품으로서 제공될 수 있다. 머신 판독가능 매체는 플로피 디스켓, 광디스크, CD-ROM(콤팩트 디스크 판독 전용 메모리) 및 자기 광학 디스크, ROM, RAM, EPROM, EEPROM, 자기 또는 광학 카드, 플래시 메모리, 기타 다양한 유형의 매체/전자 명령어들을 저장하는데 적합한 머신 판독가능 매체를 포함할 수 있고, 이로써 제한되는 것은 아니다. 또한, 본 발명은 컴퓨터 프로그램 제품으로서 다운로드 될 수도 있는데, 이때 프로그램은 원격 컴퓨터로부터 요청 컴퓨터로 통신 링크(예컨대, 모뎀이나 네트워크 접속)를 통하여 반송파나 기타 다른 전파 매체 내에 구현된 데이터 신호로서 전달될 수 있다.
많은 수의 방법들이 가장 기본적 형태로 기술되었으나, 본 발명의 기본적 범위를 벗어나지 않는 범위 내에서, 그 방법들 중 임의의 것에 대해 프로세스들이 부가될 수도 있고 그로부터 삭제될 수도 있으며, 앞서 기술된 메시지들에 대해 정보가 부가되거나 그로부터 삭감될 수도 있다. 당업자라면 추가적인 변형이나 적합화가 이루어질 수도 있다는 점을 분명히 알 것이다. 구체적인 실시예들은 본 발명을 예시적으로 설명하고자 한 것이지 본 발명을 제한하고자 한 것은 아니다. 본 발명 의 범위는 앞서 제공된 구체적인 실시예들이 아니라 다음의 청구범위에 의해서만 결정될 수 있다.
본 명세서 전체에 걸쳐 "일 실시예"에 관한 참조는 특정한 특징이 본 발명의 실시에 포함될 수 있음을 의미한다는 점을 알아야 한다. 마찬가지로, 전술한 본 발명의 예시적 실시예들에 관한 설명에 있어서, 본 발명의 다양한 특징들은, 명세서의 간소화와 다양한 발명의 특징들 중 하나 이상의 특징에 관한 이해를 돕기 위하여, 때에 따라 하나의 실시예, 구성, 도는 그에 관한 설명으로 그룹화되었다. 그러나, 본 명세서에서의 이와 같은 방법은 결코, 특허청구범위가 각 청구항에 명시된 것 이상의 특징을 요구한다고 하려는 의도라고 해석되어서는 안된다. 그보다는, 다음 특허청구범위에 나타난 바와 같이, 본 발명의 특징들이, 앞서 기술된 하나의 실시예의 모든 특징들에 존재하는 것은 아니다. 그러므로, 이로써 특허청구범위는 본 명세서에 분명히 포함되는 것이고, 각 청구항은 스스로 본 발명의 각 구현으로서 청구되고 있다.
동일한 식별 번호가 동일한 요소들을 나타내는 첨부된 도면들에 도시된 본 발명들의 실시예들은 예로서 설명된 것이며, 본 발명은 이에 제한되지 않는다.
도 1은 네트워크 내로의 비인가된 엔트리를 탐지하고 방지하기 위한 네트워크 보안 요소들의 사용을 도시하는 도면.
도 2는 분산된 네트워크 보안 시스템의 일 실시예를 도시하는 도면.
도 3은 외부로 나가는 패킷의 모니터링을 위한 프로세스를 도시하는 도면.
도 4는 내부로 들어오는 패킷의 모니터링을 위한 프로세스를 도시하는 도면.
도 5는 본 발명의 일 실시예를 이용하는 컴퓨터 시스템을 도시하는 도면.

Claims (24)

  1. 엔드포인트 서버에서 네트워크로의 액세스 요청을 수신하는 단계;
    상기 네트워크로의 액세스 요청이 비인가(unauthorized) 요청을 포함하는지를 검출하는 단계; 및
    상기 액세스 요청을 네트워크 보안 요소로 전송하는 단계
    를 포함하는 방법.
  2. 제1항에 있어서,
    상기 비인가 요청이 활성 어드레스의 미사용 요소에 대한 요청을 포함하는 방법.
  3. 제2항에 있어서,
    상기 미사용 요소는 활성 IP(인터넷 프로토콜) 어드레스에 대한 미사용 포트인 방법.
  4. 제1항에 있어서,
    상기 비인가 요청에 관한 데이터를 상기 네트워크 보안 요소로부터, 상기 네트워크의 동작들과 분리된 보안 제어기로 전송하는 단계를 더 포함하는 방법.
  5. 제4항에 있어서,
    상기 비인가 요청에 관한 상기 데이터는 상기 네트워크로의 상기 액세스 요청을 갖는 데이터 패킷을 포함하는 방법.
  6. 제4항에 있어서,
    상기 데이터는 상기 네트워크로의 상기 액세스 요청을 기술하는(describing) 통계 자료를 포함하는 방법.
  7. 제1항에 있어서,
    상기 네트워크 보안 요소가, 상기 액세스 요청에 대해 상기 요청의 승인으로서 응답하는 단계를 더 포함하는 방법.
  8. 제1항에 있어서,
    상기 네트워크 보안 요소는 에뮬레이트된 서버(emulated server)인 방법.
  9. 서버로서,
    네트워크로의 액세스 요청들을 수신하기 위한 인터페이스;
    상기 네트워크로의, 비인가 액세스 요청들을 검출하기 위한 모듈; 및
    네트워크 보안 요소 - 상기 서버가 검출된 비인가 요청들을 상기 네트워크 보안 요소로 전송함 - 를 포함하는
    서버.
  10. 제9항에 있어서,
    검출된 비인가 요청은 활성 네트워크 어드레스의 미사용 요소에 대한 요청을 포함하는 서버.
  11. 제10항에 있어서,
    상기 미사용 요소는 활성 IP(인터넷 프로토콜) 어드레스에 대한 미사용 포트인 서버.
  12. 제9항에 있어서,
    상기 네트워크 보안 요소는 상기 비인가 요청들에 관한 데이터를 다크넷 서버(darknet server)로 전송하는, 서버.
  13. 제12항에 있어서,
    상기 네트워크 보안 요소는 상기 검출된 비인가 요청들 중 하나 이상의 요청을 상기 다크넷 서버로 전송하는, 서버.
  14. 제12항에 있어서,
    상기 네트워크 보안 요소는 상기 검출된 비인가 요청들 중 하나 이상의 요청 을 기술하는 통계 자료를 상기 다크넷 서버로 전송하는, 서버.
  15. 제9항에 있어서,
    상기 네트워크 보안 요소는, 검출된 비인가 요청에 대해, 상기 요청의 승인으로 응답하는, 서버.
  16. 제9항에 있어서,
    상기 네트워크 보안 요소는 상기 서버에 의한 에뮬레이션을 포함하는, 서버.
  17. 네트워크로서,
    인터넷 접속을 위한 이더넷 케이블(Ethernet cable);
    상기 이더넷 케이블에 연결된 엔드포인트 서버 - 상기 엔드포인트 서버는 상기 네트워크로의 비인가 액세스 요청들을 검출함 - ;
    상기 엔드포인트 서버에 연결된 네트워크 보안 요소 - 상기 엔드포인트 서버는, 검출된 상기 네트워크로의 비인가 액세스 요청들을 상기 네트워크 보안 요소로 송신함 - ; 및
    상기 네트워크의 동작들과 분리된 보안 서버 - 상기 보안 서버는 상기 네트워크 보안 요소로부터 상기 비인가 요청들에 관한 데이터를 수신함 -
    를 포함하는 네트워크.
  18. 제17항에 있어서,
    검출된 비인가 요청은 활성 네트워크 어드레스의 미사용 요소에 대한 요청을 포함하는, 네트워크.
  19. 제17항에 있어서,
    상기 네트워크 보안 요소는, 검출된 비인가 요청에 대해, 상기 요청의 승인으로서 응답하는, 네트워크.
  20. 제17항에 있어서,
    상기 네트워크 보안 요소는 에뮬레이트된 서버를 포함하는, 네트워크.
  21. 제조 물품으로서,
    머신에 의해 액세스되는 경우 상기 머신으로 하여금 동작들을 수행하게 하는 데이터를 포함한 머신 액세스가능 매체를 포함하고,
    상기 동작들은
    엔드포인트 서버에서 네트워크로의 액세스 요청을 수신하는 동작,
    상기 네트워크로의 액세스 요청이 비인가 요청을 포함하는지를 검출하는 동작, 및
    상기 액세스 요청을 네트워크 보안 요소로 전송하는 동작을 포함하는,
    제조 물품.
  22. 제21항에 있어서,
    상기 비인가 요청은 활성 어드레스의 미사용 요소에 관한 요청을 포함하는, 제조 물품.
  23. 제22항에 있어서,
    상기 미사용 요소는 활성 IP(인터넷 프로토콜) 어드레스에 대한 미사용 포트인, 제조 물품.
  24. 제21항에 있어서,
    상기 머신 액세스가능 매체는, 상기 머신으로 하여금, 상기 비인가 요청에 관한 데이터를 상기 네트워크 보안 요소로부터, 상기 네트워크의 동작들과 분리된 보안 제어기로 전송하는 동작을 포함하는 동작들을 수행하도록 하는 데이터를 더 포함하는,
    제조 물품.
KR1020070140966A 2006-12-29 2007-12-28 엔드포인트 리소스를 사용하는 네트워크 보안 요소 KR101010465B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/647,860 2006-12-29
US11/647,860 US8949986B2 (en) 2006-12-29 2006-12-29 Network security elements using endpoint resources

Publications (2)

Publication Number Publication Date
KR20080063209A true KR20080063209A (ko) 2008-07-03
KR101010465B1 KR101010465B1 (ko) 2011-01-21

Family

ID=39586010

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070140966A KR101010465B1 (ko) 2006-12-29 2007-12-28 엔드포인트 리소스를 사용하는 네트워크 보안 요소

Country Status (5)

Country Link
US (2) US8949986B2 (ko)
EP (1) EP1988683B1 (ko)
JP (2) JP2008165796A (ko)
KR (1) KR101010465B1 (ko)
CN (1) CN101212482B (ko)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8667582B2 (en) * 2007-12-10 2014-03-04 Mcafee, Inc. System, method, and computer program product for directing predetermined network traffic to a honeypot
US8413238B1 (en) * 2008-07-21 2013-04-02 Zscaler, Inc. Monitoring darknet access to identify malicious activity
US8650630B2 (en) * 2008-09-18 2014-02-11 Alcatel Lucent System and method for exposing malicious sources using mobile IP messages
JP5476578B2 (ja) * 2009-01-06 2014-04-23 独立行政法人情報通信研究機構 ネットワーク監視システム及びその方法
US8732296B1 (en) * 2009-05-06 2014-05-20 Mcafee, Inc. System, method, and computer program product for redirecting IRC traffic identified utilizing a port-independent algorithm and controlling IRC based malware
US8752174B2 (en) * 2010-12-27 2014-06-10 Avaya Inc. System and method for VoIP honeypot for converged VoIP services
JP5697206B2 (ja) 2011-03-31 2015-04-08 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 不正アクセスに対する防御をするシステム、方法およびプログラム
US9356942B1 (en) 2012-03-05 2016-05-31 Neustar, Inc. Method and system for detecting network compromise
US9245144B2 (en) * 2012-09-27 2016-01-26 Intel Corporation Secure data container for web applications
US9021092B2 (en) * 2012-10-19 2015-04-28 Shadow Networks, Inc. Network infrastructure obfuscation
CN104426742B (zh) * 2013-08-27 2019-03-15 腾讯科技(深圳)有限公司 群组访问方法、服务器、客户端及系统
US9621568B2 (en) * 2014-02-11 2017-04-11 Varmour Networks, Inc. Systems and methods for distributed threat detection in a computer network
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10193924B2 (en) * 2014-09-17 2019-01-29 Acalvio Technologies, Inc. Network intrusion diversion using a software defined network
CN104410705A (zh) * 2014-12-10 2015-03-11 成都实唯物联网科技有限公司 一种安全的多外设远程群控网络、组网方法及通信方法
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9938019B2 (en) * 2015-05-21 2018-04-10 The Boeing Company Systems and methods for detecting a security breach in an aircraft network
JP6690644B2 (ja) * 2015-05-27 2020-04-28 日本電気株式会社 セキュリティシステム、セキュリティ方法、及びプログラムを記憶する記録媒体
US10051059B2 (en) * 2015-06-05 2018-08-14 Fisher-Rosemount Systems, Inc. Methods and apparatus to control communications of endpoints in an industrial enterprise system based on integrity
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10560422B2 (en) * 2015-06-28 2020-02-11 Verisign, Inc. Enhanced inter-network monitoring and adaptive management of DNS traffic
EP3318000B1 (en) 2015-07-02 2021-08-25 Reliaquest Holdings, LLC Threat intelligence system and method
US10476891B2 (en) * 2015-07-21 2019-11-12 Attivo Networks Inc. Monitoring access of network darkspace
US20170155717A1 (en) * 2015-11-30 2017-06-01 Intel Corporation Direct memory access for endpoint devices
CN105553817A (zh) * 2015-12-09 2016-05-04 小米科技有限责任公司 即时通讯信息查看方法、装置和终端
US10284598B2 (en) * 2016-01-29 2019-05-07 Sophos Limited Honeypot network services
WO2017193093A1 (en) 2016-05-05 2017-11-09 Neustar, Inc. Systems and methods for enabling trusted communications between entities
US11108562B2 (en) 2016-05-05 2021-08-31 Neustar, Inc. Systems and methods for verifying a route taken by a communication
US10958725B2 (en) 2016-05-05 2021-03-23 Neustar, Inc. Systems and methods for distributing partial data to subnetworks
US11025428B2 (en) 2016-05-05 2021-06-01 Neustar, Inc. Systems and methods for enabling trusted communications between controllers
US11277439B2 (en) 2016-05-05 2022-03-15 Neustar, Inc. Systems and methods for mitigating and/or preventing distributed denial-of-service attacks
WO2017209845A1 (en) * 2016-06-01 2017-12-07 Acalvio Technologies, Inc. Deception to detect network scans
US10447734B2 (en) * 2016-11-11 2019-10-15 Rapid7, Inc. Monitoring scan attempts in a network
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US20180302418A1 (en) * 2017-04-12 2018-10-18 Cybersecurity Defense Solutions, Llc Method and system for detection and interference of network reconnaissance
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
TWI657681B (zh) * 2018-02-13 2019-04-21 愛迪爾資訊有限公司 網路流分析方法及其相關系統
CN108833333B (zh) * 2018-04-12 2020-07-10 中国科学院信息工程研究所 一种基于dcs分布式控制的蜜罐系统
CN108881512B (zh) * 2018-06-15 2021-06-29 郑州云海信息技术有限公司 Ctdb的虚拟ip均衡分配方法、装置、设备及介质
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
CN112422481B (zh) * 2019-08-22 2021-10-26 华为技术有限公司 网络威胁的诱捕方法、系统和转发设备
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
CN113098905B (zh) * 2021-05-08 2022-04-19 广州锦行网络科技有限公司 基于蜜罐的窄带物联网终端设备的防攻击方法及系统
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Family Cites Families (34)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US6907533B2 (en) * 2000-07-14 2005-06-14 Symantec Corporation System and method for computer security using multiple cages
JP4683518B2 (ja) * 2001-07-24 2011-05-18 Kddi株式会社 不正侵入防止システム
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
JP4052983B2 (ja) * 2002-06-28 2008-02-27 沖電気工業株式会社 警戒システム及び広域ネットワーク防護システム
JP3794491B2 (ja) * 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
US7549166B2 (en) * 2002-12-05 2009-06-16 International Business Machines Corporation Defense mechanism for server farm
US7383578B2 (en) * 2002-12-31 2008-06-03 International Business Machines Corporation Method and system for morphing honeypot
US7412723B2 (en) * 2002-12-31 2008-08-12 International Business Machines Corporation Method and system for morphing honeypot with computer security incident correlation
US7031264B2 (en) * 2003-06-12 2006-04-18 Avaya Technology Corp. Distributed monitoring and analysis system for network traffic
GB2405229B (en) * 2003-08-19 2006-01-11 Sophos Plc Method and apparatus for filtering electronic mail
US8127356B2 (en) * 2003-08-27 2012-02-28 International Business Machines Corporation System, method and program product for detecting unknown computer attacks
JP2005128919A (ja) * 2003-10-27 2005-05-19 Nec Fielding Ltd ネットワークセキュリティーシステム
US7581249B2 (en) * 2003-11-14 2009-08-25 Enterasys Networks, Inc. Distributed intrusion response system
EP1578082B1 (en) * 2004-03-16 2007-04-18 AT&T Corp. Method and apparatus for providing mobile honeypots
US8190731B2 (en) * 2004-06-15 2012-05-29 Alcatel Lucent Network statistics processing device
US7657735B2 (en) * 2004-08-19 2010-02-02 At&T Corp System and method for monitoring network traffic
JP2006099590A (ja) 2004-09-30 2006-04-13 Oki Electric Ind Co Ltd アクセス制御装置、アクセス制御方法およびアクセス制御プログラム
US7464171B2 (en) * 2004-10-01 2008-12-09 Microsoft Corporation Effective protection of computer data traffic in constrained resource scenarios
US7540025B2 (en) * 2004-11-18 2009-05-26 Cisco Technology, Inc. Mitigating network attacks using automatic signature generation
US20060161982A1 (en) * 2005-01-18 2006-07-20 Chari Suresh N Intrusion detection system
US7765596B2 (en) * 2005-02-09 2010-07-27 Intrinsic Security, Inc. Intrusion handling system and method for a packet network with dynamic network address utilization
US8065722B2 (en) * 2005-03-21 2011-11-22 Wisconsin Alumni Research Foundation Semantically-aware network intrusion signature generator
MX2007013025A (es) 2005-04-18 2008-01-11 Univ Columbia Sistemas y metodos para detectar e inhibir ataques mediante el uso de colmenas.
US8171544B2 (en) * 2005-04-20 2012-05-01 Cisco Technology, Inc. Method and system for preventing, auditing and trending unauthorized traffic in network systems
US7574741B2 (en) * 2005-04-20 2009-08-11 Cisco Technology, Inc. Method and system for preventing operating system detection
US20070005963A1 (en) * 2005-06-29 2007-01-04 Intel Corporation Secured one time access code
US8132018B2 (en) * 2005-06-30 2012-03-06 Intel Corporation Techniques for password attack mitigation
US20070011676A1 (en) * 2005-06-30 2007-01-11 Ravi Sahita Architecture and system for secure host management
US8015605B2 (en) * 2005-08-29 2011-09-06 Wisconsin Alumni Research Foundation Scalable monitor of malicious network traffic
US7706253B1 (en) * 2005-12-02 2010-04-27 Network Equipment Technologies, Inc. Gateway to route communications during a fault
US20080134321A1 (en) * 2006-12-05 2008-06-05 Priya Rajagopal Tamper-resistant method and apparatus for verification and measurement of host agent dynamic data updates

Also Published As

Publication number Publication date
EP1988683A1 (en) 2008-11-05
JP2011210273A (ja) 2011-10-20
US20080163354A1 (en) 2008-07-03
CN101212482B (zh) 2013-11-20
US8949986B2 (en) 2015-02-03
US9979749B2 (en) 2018-05-22
US20150244739A1 (en) 2015-08-27
KR101010465B1 (ko) 2011-01-21
JP2008165796A (ja) 2008-07-17
EP1988683B1 (en) 2013-07-24
CN101212482A (zh) 2008-07-02

Similar Documents

Publication Publication Date Title
KR101010465B1 (ko) 엔드포인트 리소스를 사용하는 네트워크 보안 요소
Birkinshaw et al. Implementing an intrusion detection and prevention system using software-defined networking: Defending against port-scanning and denial-of-service attacks
EP3923551A1 (en) Method and system for entrapping network threat, and forwarding device
Kargl et al. Protecting web servers from distributed denial of service attacks
Yu et al. PSI: Precise Security Instrumentation for Enterprise Networks.
US7552478B2 (en) Network unauthorized access preventing system and network unauthorized access preventing apparatus
CN110099040B (zh) 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法
CN111756712B (zh) 一种基于虚拟网络设备伪造ip地址防攻击的方法
WO2019179375A1 (zh) 一种防御网络攻击的方法及装置
CN110881052A (zh) 网络安全的防御方法、装置及系统、可读存储介质
AU2009200102A1 (en) Method and apparatus for inspecting inter-layer address binding protocols
CN109639705B (zh) 云平台安全检测方法
Lu et al. An SDN‐based authentication mechanism for securing neighbor discovery protocol in IPv6
Smyth et al. Exploiting pitfalls in software-defined networking implementation
KR101593897B1 (ko) 방화벽, ids 또는 ips를 우회하는 네트워크 스캔 방법
Luo et al. TPAH: a universal and multi-platform deployable port and address hopping mechanism
Scott-Hayward et al. OFMTL-SEC: State-based security for software defined networks
Yuan et al. A lab implementation of SYN flood attack and defense
Mutaher et al. OPENFLOW CONTROLLER-BASED SDN: SECURITY ISSUES AND COUNTERMEASURES.
Khirwadkar Defense against network attacks using game theory
US20050147037A1 (en) Scan detection
RU2680038C1 (ru) Способ защиты вычислительных сетей
Quitiqut et al. Utilizing Switch Port Link State to Detect Rogue Switches
CN112671783B (zh) 一种基于vlan用户组的防主机ip扫描方法
Deri et al. Practical network security: experiences with ntop

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application
J201 Request for trial against refusal decision
AMND Amendment
B701 Decision to grant
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20140103

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20141230

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20160104

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20170102

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20180103

Year of fee payment: 8

LAPS Lapse due to unpaid annual fee