RU183015U1 - Intrusion detection tool - Google Patents
Intrusion detection tool Download PDFInfo
- Publication number
- RU183015U1 RU183015U1 RU2018107749U RU2018107749U RU183015U1 RU 183015 U1 RU183015 U1 RU 183015U1 RU 2018107749 U RU2018107749 U RU 2018107749U RU 2018107749 U RU2018107749 U RU 2018107749U RU 183015 U1 RU183015 U1 RU 183015U1
- Authority
- RU
- Russia
- Prior art keywords
- traffic
- network
- unit
- block
- encrypted
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
Abstract
Полезная модель относится к области информационных технологий, в частности к информационной безопасности, а именно к средствам обнаружения вторжений для предотвращения несанкционированного доступа, контроля трафика и предотвращения сетевых атак. Техническим результатом является повышение эффективности обработки сетевого трафика за счет предварительного распознавания новых устройств в сети и зашифрованного трафика. Средство обнаружения вторжений для обработки сетевого трафика, содержащее блок приема и разбора трафика, блок памяти и соединенные с ним блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий, блок защиты от сетевых атак, при этом блок приема и разбора трафика соединен с блоком выявления новых устройств, который в свою очередь соединен с блоком анализа зашифрованного трафика, а блок анализа зашифрованного трафика выполнен с возможностью идентифицирования протокола шифрования и основного протокола. 1 з.п. ф-лы, 1 ил.The utility model relates to the field of information technology, in particular to information security, and in particular to intrusion detection tools to prevent unauthorized access, control traffic and prevent network attacks. The technical result is to increase the processing efficiency of network traffic due to preliminary recognition of new devices on the network and encrypted traffic. An intrusion detection tool for processing network traffic, comprising a traffic reception and analysis unit, a memory unit and a unit for detecting new devices, an encrypted traffic analysis unit, a signature unit, an anomaly detection unit, a network attack protection unit, and a reception and analysis unit traffic is connected to a unit for detecting new devices, which in turn is connected to an encrypted traffic analysis unit, and an encrypted traffic analysis unit is configured to identify the encryption protocol and the basics th protocol. 1 s.p. f-ly, 1 ill.
Description
Полезная модель относится к области информационных технологий, в частности, к информационной безопасности, а именно к средствам обнаружения вторжений для предотвращения несанкционированного доступа, контроля трафика и предотвращения сетевых атак.The utility model relates to the field of information technology, in particular to information security, and in particular to intrusion detection tools to prevent unauthorized access, control traffic and prevent network attacks.
Сети связи, такие как Интернет, часто являются объектами сетевых атак, направленных на причинение вреда компьютерам путем их заражения или на получение конфиденциальной информации. Средства обнаружения вторжения являются одним из рубежей для обеспечения защиты информационных систем. Существующие подходы к обнаружению вторжений обычно делятся на две категории: обнаружение злоупотреблений и обнаружение аномалий. Обнаружение злоупотреблений обычно основано на базе сигнатур, но может защитить только от известных угроз и не способна обеспечить защиту от неизвестных ранее атак. Обнаружение аномалий основано на предварительном обучении и статистическом анализе для формирования образа нормального функционирования информационной системы. Его изменение считается проявлением аномального функционирования системы. Указанные методы до сих пор остаются одними из самых эффективных для предотвращения вторжений. Однако метод, основанный на сигнатурах, способен определить угрозу только на основе известной уязвимости, но не могут обеспечить защиты от неизвестных атак. Метод, основанный на статистике, способен обнаружить ранее неизвестную атаку (атаку нулевого дня), но при этом высока вероятность неправильного принятого решения, особенно в период обучения. Таким образом, существует необходимость в разработке устройства, которое было бы лишено указанных недостатков.Communication networks, such as the Internet, are often the targets of network attacks aimed at harming computers by infecting them or obtaining confidential information. Intrusion detection tools are one of the frontiers for securing information systems. Existing intrusion detection approaches typically fall into two categories: abuse detection and anomaly detection. Detection of abuses is usually based on signatures, but can only protect against known threats and is not able to provide protection against previously unknown attacks. Anomaly detection is based on prior training and statistical analysis to form the image of the normal functioning of the information system. Its change is considered a manifestation of the abnormal functioning of the system. These methods are still among the most effective in preventing intrusions. However, a signature-based method is able to identify a threat only based on a known vulnerability, but cannot provide protection against unknown attacks. A method based on statistics is able to detect a previously unknown attack (zero-day attack), but there is a high probability of an incorrect decision, especially during the training period. Thus, there is a need to develop a device that would be devoid of these disadvantages.
Из уровня техники известно решение по патенту US 9253201 В2, опубл. 02.02.2016, где раскрыта система и способ для определения сетевых аномалий. Согласно решению, система содержит процессор, который получает обучающий набор протокола передачи данных, имеющий ряд параметров, определение контента и структуры, связанных с каждым из ряда параметров, обучение вероятностной модели посредством использования определенных контента и структуры каждого ряда параметров, в которых величина и размер заданы для вероятностной модели, получение протокола передачи данных, имеющего ряд параметров, которые передаются от первого процессора ко второму процессору через компьютерную сеть, сравнение полученного протокола передачи данных с вероятностной моделью и определение, является ли сообщение протокола передачи данных аномальным.The prior art solution for the patent US 9253201 B2, publ. 02/02/2016, where the system and method for determining network anomalies are disclosed. According to the decision, the system contains a processor that receives a training set of a data transfer protocol that has a number of parameters, determining the content and structure associated with each of the number of parameters, training a probabilistic model by using specific content and structure of each series of parameters, in which the size and size are specified for a probabilistic model, obtaining a data transfer protocol having a series of parameters that are transmitted from the first processor to the second processor through a computer network, comparing the resulting data transfer protocol with the probabilistic model and the determination of whether the message is the data transfer protocol anomaly.
Недостатком такой системы является отсутствие возможности обнаружения атаки методом сигнатур, кроме того, отсутствует контроль устройств, между которыми происходит передача данных.The disadvantage of this system is the lack of the ability to detect attacks by the signature method, in addition, there is no control of devices between which data is transmitted.
В качестве прототипа выбран патент US 9525696 В2, опубл. 20.12.2016, в котором раскрыта система и способ для определения сетевых аномалий. Согласно решению, средство обработки сетевого пакета для реализации политики безопасности содержит множество аппаратных модулей для обработки сетевого трафика для выявления различным угроз. При этом в качестве модулей обработки трафика используются такие модули как: модуль сигнатур, модуль выявления аномалий и модуль выявлениях сетевых атак. Каждый из модулей выполнен с возможностью пропуска идентифицированного пакета, соответствующего политике безопасности компании.As a prototype selected patent US 9525696 B2, publ. 12/20/2016, which discloses a system and method for determining network anomalies. According to the solution, the network packet processing tool for implementing the security policy contains a plurality of hardware modules for processing network traffic to detect various threats. At the same time, such modules as the signature module, the anomaly detection module, and the network attack detection module are used as traffic processing modules. Each of the modules is configured to skip the identified package corresponding to the company’s security policy.
К недостаткам прототипа относится невозможностью выявления и идентификация зашифрованного трафика, а также определения типа зашифрованного трафика и типа передаваемых данных.The disadvantages of the prototype include the inability to detect and identify encrypted traffic, as well as determining the type of encrypted traffic and the type of data transmitted.
Решаемая техническая задача при разработке устройства заключается в создании средства обнаружения вторжения, способного распознавать зашифрованный тип трафика в процессе обработке сетевого трафика.The technical problem to be solved when developing the device is to create an intrusion detection tool capable of recognizing the encrypted type of traffic in the process of processing network traffic.
Техническим результатом полезной модели является повышение эффективности обработки сетевого трафика за счет предварительного распознавания новых устройств в сети и зашифрованного трафика.The technical result of the utility model is to increase the efficiency of processing network traffic due to preliminary recognition of new devices on the network and encrypted traffic.
Заявленный технический результат достигается за счет того, что средство обнаружения вторжений для обработки сетевого трафика содержит блок приема и разбора трафика, блок памяти и соединенные с ним блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий, блок защиты от сетевых атак, при этом блок приема и разбора трафика соединен с блоком выявлениях новых устройств, который в свою очередь соединен с блоком анализа зашифрованного трафика, а блок анализа зашифрованного трафика выполнен с возможностью идентифицирования протокола шифрования и основного протокола.The claimed technical result is achieved due to the fact that the intrusion detection tool for processing network traffic contains a traffic reception and analysis unit, a memory unit and a unit for detecting new devices connected to it, an encrypted traffic analysis unit, a signature unit, an anomaly detection unit, a network protection unit attacks, while the traffic reception and analysis unit is connected to the unit for detecting new devices, which in turn is connected to the encrypted traffic analysis unit, and the encrypted traffic analysis unit is executed with the ability to identify the encryption protocol and the main protocol.
Полезная модель поясняется чертежом, на котором представлена блок-схема средства обнаружения вторжений.The utility model is illustrated in the drawing, which shows a block diagram of an intrusion detection tool.
Средство обнаружения вторжения включает в себя блок 1 приема и разбора сетевого трафика, блок 2 выявления новых устройств, блок 3 анализа зашифрованного трафика, блок 4 сигнатур, блок 5 выявления аномалий, блок 6 защиты от сетевых атак, и блок 7 памяти. Блок 7 памяти предназначен для хранения различной информации и набора правил в соответствии с информационной политикой безопасности и соединен с блоком выявления новых устройств, блоком анализа зашифрованного трафика, блоком сигнатур, блоком выявления аномалий и блоком сетевых атак.The intrusion detection tool includes a
Блок 1 приема и разбора сетевого трафика служит для сбора сетевого трафика на канальном уровне, то есть трафика, поступающего из глобальной сети Интернет или трафика, который проходит внутри сети предприятия, например, по локальной сети и для его дальнейшего разбора в соответствии со структурой пакета стека IP/TCP. Для разбора пакета могут быть использованы средства для разбора пакетов на сетевом и транспортном, либо на сетевом, транспортном и прикладном уровнях. Первым делом, входящий трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля, нормализуя, если требуется. Полученные декодированные, разархивированные и нормализованные поля протоколов затем последовательно проверяются блоками (2-6) на наличие в сетевом трафике сетевых атак или вредоносной активности.
Блок 2 выявления новых устройств служит для идентификации и контроля сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например, IP адресом, MAC адресом, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Таким образом, передача сетевого трафика осуществляется только между идентифицированными устройствами. Решение о пропуске или блокировке исходящего или входящего трафика принимается блоком 2 выявления новых устройств на основе наличия идентификатора сетевого устройства в блоке 7 памяти. Если идентификатор, характеризующий сетевое устройство, содержится в блоке 7 памяти, то трафик пропускается, в ином случае, происходит блокировка трофика. В некоторых случаях, правила обработки трафика могут быть настроены так, что если данные сетевого устройства не содержатся, то он будет пропущен с пометкой на вход блока 3 анализа зашифрованного трафика, где будет приниматься решение о пропуске или блокировке трафика.
Все чаще для передачи данных используется зашифрованный трафик, в связи с чем, возможность извлечения информации ограничена. Для этого, средство обнаружения вторжений содержит блок 3 бинарного анализа зашифрованного трафика, который служит для идентификации зашифрованных пакетов данных (IPsec, SSH, TLS, SSL и др.) в TCP/IP сетях: Блок 3 может быть снабжен специальным программным модулем определения второстепенных характеристик установленного соединения посредством статистических и вероятностных методов анализа, передаваемых данных, например, системой обнаружения скрытых каналов. Из зашифрованного трафика можно получить некоторую информацию, в первую очередь, из незашифрованной фазы инициализации, а также из зашифрованной фазы транспортного уровня. Почти все сетевые протоколы обеспечивают безопасную передачу данных с помощью шифрования, содержащего незашифрованную фазу инициализации. Поскольку данные, обмениваемые на этом этапе, не зашифрованы, их можно легко извлечь и использовать для мониторинга сетевого трафика. Кроме того, могут быть получены согласованные данные параметров соединения, такие как использование определенных комплектов шифров и версий протокола. Это позволяет пассивно различать конкретные операционные системы, веб-браузеры и другие приложения вместе с их версиями, поскольку они работают с определенными шифрами и не поддерживают другие наборы криптографических примитивов. Из защищенного сетевого трафика может быть извлечена информация об уникальных идентификаторах одноранговых узлов на фазе аутентификации. Примером извлечения информации из узлов связи может служить фаза аутентификации протокола SSL/TLS. Сервер и/или клиент отправляют свои сертификаты Х.509 друг другу, чтобы проверить их идентификаторы на этом этапе. Этот сертификат содержит открытый ключ, подписанный доверенным удостоверяющим центром, который дополняется информацией о партнере и эмитенте. На этом этапе также может быть проведена проверка сертификатов, являются ли они действительными и содержат ли они надлежащие алгоритмы безопасности для выполнения локальных политик безопасности. Пакеты сетевого трафика обычно состоят из незашифрованной части пакета (тип контента, версия, длина пакета, направление и временная метка пакета) и зашифрованной части, которой обычно является полезная нагрузка. Почти каждый протокол, поддерживающий шифрование и, использует свой уникальный формат пакета. Таким образом, знание этих форматов позволяет различать и идентифицировать отдельные протоколы путем проверки полезной нагрузки пакета. Для этого используются алгоритмы сравнения строк или регулярных выражений с конкретными шаблонами протоколов. Также существует множество различных методов, которые используются в анализе зашифрованного трафика, например, методы С4.5, k-средних, скрытая марковская модель, Multi-Objective Genetic Algorithm(MOGA), AdaBoost, RIPPER, Support Vector Machine (SVM), NaiveBayes и др. Эти методы не требуют знания структуры пакета протокола шифрования. Опираясь на эталонные математические оценки, данные методы позволяют не только проанализировать зашифрованный трафик, но и получить сведения об используемом протоколе по данным из служебных полей пакетов, которые, как правило, не шифруются. Отсюда большинство методов классификации не только идентифицируют протокол шифрования (IPsec, SSH, TLS, SSL и др.), но и основной протокол (HTTP, SMTP, РОР3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ и др.). Кроме того, также может быть вычислена энтропия заголовков пакетов и полезной нагрузки для классификации различных типов передаваемых данных: текст, изображение, видео, аудио, кодированный текст Base64, кодированное изображение Base64, сжатый и зашифрованный трафик. В предпочтительном варианте энтропия рассчитывается только для полезной нагрузки. Таким образом, блок 3 анализа зашифрованного трафика разрешает допустимые пакеты, например, использующих доверенный сертификат, поддерживающих определенный протокол, тип передаваемых данных и соответствующих остальным политикам информационной безопасности компании, блокируя все остальные.Increasingly, encrypted traffic is used for data transmission, and therefore, the ability to extract information is limited. For this, the intrusion detection tool contains a
Как было указано выше, большинство сетевых атак определяется сигнатурным методом. Для этого средство обнаружения вторжений содержит блок 4 сигнатур, который при проверке пакета обращается к блоку 7 памяти с сигнатурами известных атак. В данной заявке под сигнатурой понимается непрерывная конечная последовательность байтов, необходимая и достаточная для однозначной идентификации угроз. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 7 памяти принимается решение о блокировке пакета. В предпочтительном варианте сравнение содержимого исследуемых пакетов проводится не напрямую, а по их контрольным суммам, что позволяет существенно снизить количество хранящихся записей об известных вирусах. Специалисту в данной области технике должно быть понятно, что для повышения эффективности угроз база известных вирусов должна постоянно обновляться, так как ежедневно появляются новые вредоносные коды и угрозы.As stated above, most network attacks are determined by the signature method. For this, the intrusion detection tool contains a
Блок 5 выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Примерами аномалий могут являться внезапное увеличение интернет-трафика (в том числе и в ночное время суток), изменение структуры трафика (например, увеличение шифрованного трафика) в сравнении с обычными ежедневными показателями или же отличие пары: IP и порт от обычной и др. Вся информация об обычном трафике может храниться в блоке 7 памяти. При проверке поступающего сетевого трафика блок 5 аномалий обращается к блоку 7 памяти и в случае если пакеты трафика не содержат аномалий, то принимается решение о пропуске пакетов.
Блок 6 защиты от сетевых атак обеспечивает улучшенное обнаружение известных уязвимостей в сети и типовых сетевых атак, таких как Flooding, DoS, (ARP, DNS и иной), Spoofing, WinNuke и др. Работа блока 6 защиты от сетевых атак во многом схожа с работой блока 4 сигнатур и определяет последовательность событий, являющихся признаком нарушения и характерных для сигнатуры сетевой атаки. Сигнатура сетевой атаки практически не отличается от сигнатуры вируса и представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Например, могут быть одновременно установлены противоречащие друг другу флаги TCP пакета: SYN и FIN. Данная комбинация флагов используется во многих атакующих программах для обхода фильтров и мониторов, проверяющих только установку одиночного SYN флага. Наличие строки «GET.cgi-bin./etc/passwd» в области данных HTTP-пакета свидетельствует об эксплуатации уязвимости типа PathTraversal. Наконец, в заголовке TCP пакета может быть установлен порт назначения 139 и флаг ООВ (Out of Band), что является признаком атаки WinNuke. Обнаружив сетевую атаку, блок 6 защиты от сетевых атак блокирует любую сетевую активность атакующего хоста.
Ниже приведен пример осуществления полезной модели.The following is an example implementation of a utility model.
Блок 1 приема и разбора трафика собирает весь поступающей трафик из внешней глобальной сети Интернет и из внутренней локальной сети. После чего трафик разбивается на TCP, UDP или другие транспортные потоки, после чего парсеры маркируют их и разбивают на высокоуровневые протоколы и их поля - нормализуя, если требуется. А затем осуществляется анализ данных пакетов от IP до HTTP и DCERPC на наличие уязвимостей. Полученные декодированные, разжатые и нормализованные поля протоколов затем проверяются блоком 2 выявления новых устройств, блоком 3 анализа зашифрованного трафика, блоком 4 сигнатур, блоком 5 выявления аномалий и блоком 6 защиты от сетевых атак на наличие в сетевом трафике сетевых атак или вредоносной активности. Блок 1 приема и разбора трафика последовательно соединен с блоком 2 выявления новых устройств, который осуществляет контроль и идентификацию сетевых устройств, между которыми осуществляется обмен и передача данных в сети. Сетевое устройство может быть идентифицировано в сети его сетевым адресом, например: IP адрес, MAC адрес, URI (Uniform Resource Identifier) или любым другим сетевым идентификатором. Блок 2 выявления новых устройств принимает решение о следовании трафика на основе наличия идентификатора сетевого устройства в блоке 7 памяти. Если идентификатор, характеризующий сетевое устройство содержится в блоке 7 памяти, то трафик пропускается, в ином случае происходит блокировка трофика. Пропущенный трафик из блока 2 поступает в последовательно соединенный с ним блок 3 анализа зашифрованного трафика, который служит для идентификации зашифрованных пакетов данных (IPsec, SSH, TLS, SSL и др.) в TCP/IP сетях. Блок 3 анализа зашифрованного трафика осуществляет получение из незащищенной и защищенной фазы инициализации различной информации, такой как: тип контента, версия, длина пакета, направление, временная метка пакета, сведения о шифрах, сертификатов, версия и формат протокола и др. Кроме того, блок 3 может осуществлять расчет энтропии заголовки пакета и полезной нагрузки. На основании полученных данных может быть идентифицирован протокол шифрования (IPsec, SSH, TLS, SSL и др.), основной протокол (HTTP, SMTP, РОР3, Skype, eDonkey, BitTorrent, Encrypted BitTorrent, RTP and ICQ и др.) и тип передаваемых данных: текст, изображение, видео, аудио, кодированный текст Base64, кодированное изображение Base64, сжатый и зашифрованный трафик. Блок 3 анализа зашифрованного трафика разрешает допустимые пакеты, соответствующие политики информационной безопасности компании. Доверенный трафик из блока 3 поступает на дальнейшую последовательную обработку блоком 4 сигнатур, блоком 5 выявления аномалий и блоком 6 защиты от сетевых атак, которые могут быть расположены в любом порядке. Таким образом средство обнаружения вторжений предусматривает обработку сетевого трафика последовательно соединенными блоками 2-6. В рассматриваемом примере доверенный трафик из блока 3 поступает в блок 4 сигнатур. Блок 4 сигнатур при проверке пакета обращается к блоку 7 памяти, который содержит известные сигнатуры. В случае соответствия какого-либо кода просматриваемой программы известному коду вируса в блоке 7 памяти, блок 4 сигнатур принимает решение в блокировке трафика. В ином случае, если трафик прошел проверку блоком 4, то он поступает на вход блока 5 выявления аномалий. Блок 5 выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. При проверке поступающего сетевого трафика блок 5 выявления аномалий обращается к блоку 7 памяти для сравнения данных характеризующих обычный трафик. В случае если пакеты трафика не содержат аномалий, то они поступают на вход блока 6 защиты от сетевых атак, в ином случае блокируются. Блок 6 защиты от сетевых атак обеспечивает улучшенное обнаружение известных уязвимостей в сети и типовых сетевых атак, таких как Flooding, DoS, (ARP, DNS и иной), Spoofing, WinNuke и др. на основе их сигнатур. Сигнатура сетевой атаки представляет собой набор признаков, позволяющих отличить сетевую атаку от других видов сетевого трафика. Обнаружив сетевую атаку, блок 6 защиты от сетевых атак блокирует любую сетевую активность атакующего хоста. При этом существенным является предварительное распознавание зашифрованного трафика, поскольку некоторые сетевые атаки (DDoS, trojans) могут использовать метод шифрования трафика. Например, Back Orifice trojan или Barbwire DDoS осуществляют шифрование команд, передаваемых между клиентом и сервером, с использованием алгоритма blowfish. Методы выявления такого рода атак ограничиваются анализом заголовков сетевых пакетов и сетевая атака может быть не обнаружена.
Таким образом средство обнаружения вторжений, содержащий блок выявления новых устройств, блок анализа зашифрованного трафика, блок сигнатур, блок выявления аномалий и блок защиты от сетевых атак обеспечивает высокую эффективность в обнаружении сетевых угроз и уязвимостей.Thus, the intrusion detection tool, which contains a block for detecting new devices, a block for analyzing encrypted traffic, a signature block, a block for detecting anomalies, and a block against network attacks provides high efficiency in detecting network threats and vulnerabilities.
Claims (2)
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018107749U RU183015U1 (en) | 2018-03-02 | 2018-03-02 | Intrusion detection tool |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
RU2018107749U RU183015U1 (en) | 2018-03-02 | 2018-03-02 | Intrusion detection tool |
Publications (1)
Publication Number | Publication Date |
---|---|
RU183015U1 true RU183015U1 (en) | 2018-09-07 |
Family
ID=63467412
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2018107749U RU183015U1 (en) | 2018-03-02 | 2018-03-02 | Intrusion detection tool |
Country Status (1)
Country | Link |
---|---|
RU (1) | RU183015U1 (en) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114189353A (en) * | 2021-11-05 | 2022-03-15 | 西安理工大学 | Network security risk prediction method based on railway dispatching set system |
RU2792926C2 (en) * | 2020-07-22 | 2023-03-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | System for early detection of information and technical impacts on computer network nodes carried out using botnet |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2365986C2 (en) * | 2003-06-06 | 2009-08-27 | Майкрософт Корпорейшн | Multi-level firewall architecture |
US7617533B1 (en) * | 2005-01-31 | 2009-11-10 | Symantec Corporation | Self-quarantining network |
RU2402881C2 (en) * | 2008-11-10 | 2010-10-27 | Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") | Method and facility for control of data streams of protected distributed information systems in network of coded communication |
RU2488880C1 (en) * | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of adaptive optimisation of inspection of data flow sent in network for availability of threats |
RU2630415C2 (en) * | 2016-02-20 | 2017-09-07 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method for detecting anomalous work of network server (options) |
-
2018
- 2018-03-02 RU RU2018107749U patent/RU183015U1/en active IP Right Revival
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2365986C2 (en) * | 2003-06-06 | 2009-08-27 | Майкрософт Корпорейшн | Multi-level firewall architecture |
US7617533B1 (en) * | 2005-01-31 | 2009-11-10 | Symantec Corporation | Self-quarantining network |
RU2402881C2 (en) * | 2008-11-10 | 2010-10-27 | Общество с ограниченной ответственностью "НеоБИТ"(ООО "НеоБИТ") | Method and facility for control of data streams of protected distributed information systems in network of coded communication |
RU2488880C1 (en) * | 2012-05-11 | 2013-07-27 | Закрытое акционерное общество "Лаборатория Касперского" | System and method of adaptive optimisation of inspection of data flow sent in network for availability of threats |
RU2630415C2 (en) * | 2016-02-20 | 2017-09-07 | Открытое Акционерное Общество "Информационные Технологии И Коммуникационные Системы" | Method for detecting anomalous work of network server (options) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
RU2792926C2 (en) * | 2020-07-22 | 2023-03-28 | Федеральное государственное казенное военное образовательное учреждение высшего образования "Академия Федеральной службы охраны Российской Федерации" (Академия ФСО России) | System for early detection of information and technical impacts on computer network nodes carried out using botnet |
CN114189353A (en) * | 2021-11-05 | 2022-03-15 | 西安理工大学 | Network security risk prediction method based on railway dispatching set system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10003608B2 (en) | Automated insider threat prevention | |
US9094372B2 (en) | Multi-method gateway-based network security systems and methods | |
Lee et al. | A data mining and CIDF based approach for detecting novel and distributed intrusions | |
US9800608B2 (en) | Processing data flows with a data flow processor | |
US7979368B2 (en) | Systems and methods for processing data flows | |
US20110231564A1 (en) | Processing data flows with a data flow processor | |
US20110238855A1 (en) | Processing data flows with a data flow processor | |
US20110213869A1 (en) | Processing data flows with a data flow processor | |
US20120240185A1 (en) | Systems and methods for processing data flows | |
US20110214157A1 (en) | Securing a network with data flow processing | |
US20080229415A1 (en) | Systems and methods for processing data flows | |
US20080262990A1 (en) | Systems and methods for processing data flows | |
Guerber et al. | Machine Learning and Software Defined Network to secure communications in a swarm of drones | |
US20200267167A1 (en) | Method and system for detecting and preventing data exfiltration attacks | |
Prabha et al. | A survey on IPS methods and techniques | |
Neu et al. | An approach for detecting encrypted insider attacks on OpenFlow SDN Networks | |
Ahmed et al. | A Linux-based IDPS using Snort | |
RU183015U1 (en) | Intrusion detection tool | |
Keshri et al. | DoS attacks prevention using IDS and data mining | |
Stanciu | Technologies, methodologies and challenges in network intrusion detection and prevention systems. | |
KR102421722B1 (en) | Network information security method and apparatus | |
Banerjee | Detection and behavioral analysis of botnets using honeynets and classification techniques | |
Horton et al. | Detecting policy violations through traffic analysis | |
Saraswathi et al. | An Improved Approach towards Network Security of an Organization | |
Kruegel et al. | Internet security |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
MM9K | Utility model has become invalid (non-payment of fees) |
Effective date: 20200303 |
|
NF9K | Utility model reinstated |
Effective date: 20201117 |