RU2014124009A - Метод и система потоковой передачи данных для обработки сетевых метаданных - Google Patents
Метод и система потоковой передачи данных для обработки сетевых метаданных Download PDFInfo
- Publication number
- RU2014124009A RU2014124009A RU2014124009A RU2014124009A RU2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A RU 2014124009 A RU2014124009 A RU 2014124009A
- Authority
- RU
- Russia
- Prior art keywords
- network
- metadata
- network metadata
- specified
- policy
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L47/00—Traffic control in data switching networks
- H04L47/10—Flow control; Congestion control
- H04L47/20—Traffic policing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/45—Network directories; Name-to-address mapping
- H04L61/4505—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
- H04L61/4511—Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
1. Метод обработки сетевых метаданных, генерируемых в сеть, передающую сетевой трафик с использованием одного или более сетевых протоколов, сеть, включающая в себя устройства, из которых, по крайней мере, некоторые получают сетевой трафик через входной интерфейс и передают сетевой трафик через выходной интерфейс, причем метод включает в себя следующие этапы:получение сетевых метаданных от нескольких источников в системе обработки данных, по крайней мере, в одном формате данных;определение типа или характера указанных сетевых метаданных;обработка упомянутых сетевых метаданных для извлечения из них полезной информации; ипреобразование, по крайней мере, части указанных сетевых метаданных в один или более различные форматы данных, используемые в указанной системе обработки данных для других метаданных системы, в ответ, по крайней мере, частично, на результаты упомянутого определяющего этапа.2. Метод по п.1, отличающийся тем, что указанный этап обработки выполняется во время передачи упомянутых сетевых метаданных по рассматриваемой сети между сетевым устройством, которое сгенерировало эти сетевые метаданные и устройством, которое может хранить указанные сетевые метаданные.3. Метод по п.2, отличающийся тем, что этап обработки достигается путем применения по крайней мере одной политики, управляющей обработкой сетевых метаданных.4. Метод по п.3, отличающийся тем, что, по крайней мере, одна указанная политика применяется для обнаружения трафика по рассматриваемой сети, указывающего на потенциальную угрозу безопасности.5. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:сравнение источника вхо
Claims (80)
1. Метод обработки сетевых метаданных, генерируемых в сеть, передающую сетевой трафик с использованием одного или более сетевых протоколов, сеть, включающая в себя устройства, из которых, по крайней мере, некоторые получают сетевой трафик через входной интерфейс и передают сетевой трафик через выходной интерфейс, причем метод включает в себя следующие этапы:
получение сетевых метаданных от нескольких источников в системе обработки данных, по крайней мере, в одном формате данных;
определение типа или характера указанных сетевых метаданных;
обработка упомянутых сетевых метаданных для извлечения из них полезной информации; и
преобразование, по крайней мере, части указанных сетевых метаданных в один или более различные форматы данных, используемые в указанной системе обработки данных для других метаданных системы, в ответ, по крайней мере, частично, на результаты упомянутого определяющего этапа.
2. Метод по п.1, отличающийся тем, что указанный этап обработки выполняется во время передачи упомянутых сетевых метаданных по рассматриваемой сети между сетевым устройством, которое сгенерировало эти сетевые метаданные и устройством, которое может хранить указанные сетевые метаданные.
3. Метод по п.2, отличающийся тем, что этап обработки достигается путем применения по крайней мере одной политики, управляющей обработкой сетевых метаданных.
4. Метод по п.3, отличающийся тем, что, по крайней мере, одна указанная политика применяется для обнаружения трафика по рассматриваемой сети, указывающего на потенциальную угрозу безопасности.
5. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сравнение источника входящего сетевого трафика с заранее составленным списком контролируемых запрещенных устройств на указанной сети;
если IP-адрес назначения находится в заранее составленном списке запрещенных устройств, то сохранение IP-адреса / порта источника, а также IP-адреса / порта назначения в списке потенциальных оповещений, наряду с числом байтов и пакетов, зарегистрированных в записи входного NetFlow;
изучение выходных записей с целью определения совпадений IP-адреса / порта источника и IP-адреса / порта назначения в списке потенциальных оповещений;
если совпадение найдено, то обработка такого совпадения, как признака ответа внутреннего хоста на внешний одноранговый запрос; и
генерация предупреждающего сообщения, своевременно информирующего о потенциальной инфекции ботнета.
6. Метод по п.4, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сбор информации о внутренних сетевых устройствах, общающихся с внешними сетевыми устройствами; указанная информация включает в себя список IP-адресов и протоколов общающихся устройств;
применение метода группового анализа потоков для определения моделей связи между взаимодействующими устройствами;
выявления аномальных экземпляров связей между взаимодействующими устройствами по наличию небольших непересекающихся моделей в наборе всех вычисленных моделей;
своевременная генерация предупреждающего сообщения для информировании о потенциальной инфекции ботнета при обнаружении хотя бы одной аномальной модели связи.
7. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется для целей идентификации всплесков трафика в рассматриваемой сети.
8. Метод по п.7, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
Сравнение источника входящего сетевого трафика с заранее составленным списком контролируемых устройств в рассматриваемой сети;
если IP-адрес источника обнаруживается в заранее определенном списке устройств, то сохранение IP-адреса источника в базе данных в памяти вместе с количеством байтов и пакетов, зарегистрированных в записи входного NetFlow;
с заранее установленной периодичностью проверка данных в оперативной памяти и идентификация устройств, которые превысили порог, заданный администратором сети;
генерация предупреждающего сообщения для своевременного информирования о всплеске трафика.
9. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью повышения надежности захвата трафика NetFlow в рассматриваемой сети.
10. Метод по п.9, отличающийся тем, что, по крайней мере, одна рассматриваемая политика включает в себя следующие этапы:
прием одного или нескольких сообщений NetFlow по ненадежному сетевому транспортному протоколу;
опционное преобразование упомянутых принятых сообщений NetFlow в один или несколько других форматов, помимо NetFlow, с другой особенностью NetFlow или в том же формате, что и полученный NetFlow;
отправка упомянутых полученных или преобразованных сообщений к нескольким конечным точкам по ненадежному сетевому транспортному протоколу, по крайней мере, к одной конечной точке по надежному сетевому транспортному протоколу, или, по крайней мере, к одной точке по ненадежному сетевому транспортному протоколу и, по крайней мере, к одной конечной точке по надежному сетевому транспортному протоколу.
11. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью уменьшения количества сообщений NetFlow, поступающих на устройство, которое хранит упомянутые сетевые метаданные, по рассматриваемой сети.
12. Метод по п.11, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений NetFlow;
выявление сходства в упомянутых принятых сообщениях NetFlow;
объединение информации в полученных сообщениях NetFlow, определенных как аналогичные в одно или несколько сообщений NetFlow;
отбрасывание сообщений NetFlow, информация из которых была консолидирована; и
отправка консолидированного сообщения NetFlow в устройство, которое хранит сетевые метаданные в рассматриваемой сети.
13. Метод по п.12, отличающийся тем, что упомянутый этап пересылки консолидированного сообщения NetFlow осуществляется после прохождения заданного периода времени.
14. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью определить, когда сетевой интерфейс на рассматриваемой сети стал неработоспособным.
15. Метод по п.14, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
установление порогового периода времени, в течение которого отсутствие идентификатора интерфейса в поступающих сетевых метаданных означает нерабочее состояние указанного сетевого интерфейса, упомянутый установленный пороговый период времени варьируется в зависимости от временных и географических критериев;
мониторинг сетевых метаданные, связанных с упомянутым сетевым интерфейсом;
генерация предупреждающего сообщения для своевременного информирования о неработоспособном состоянии указанного сетевого интерфейса, если сетевые метаданные, связанные с указанным сетевым интерфейсом не могут быть обнаружены в течение времени, превышающего упомянутый пороговый период.
16. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью измерения задержки в сети, используя сетевой метаданные в рассматриваемой сети.
17. Метод по п.16, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
установление порогового периода времени, в течение которого сетевое устройство, запросившее службу на сервере доменных имен (DNS), должно получить ответ от упомянутой службы DNS;
мониторинг сетевых метаданных, описывающих связь между сетевыми устройствами и службой DNS;
вычисление времени между указанным запросом сетевого устройства в службу DNS и получением ответа от этой службы DNS;
сравнения упомянутого истекшего времени с указанным пороговым периодом времени; и
генерация предупреждающего сообщения о чрезмерной задержке в сети.
18. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью обеспечения реального времени видимости сети для каждого типа приложений по множеству устройств в указанной сети.
19. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью получения списка наиболее активных хостов в течение определенного периода времени в рассматриваемой сети.
20. Метод по п.19, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений сетевых метаданных;
идентификация сетевых метаданных, связанных с отдельными хостами сети;
агрегирование сетевых метаданных для каждого идентифицированного хоста;
выбор списка настраиваемого размера сетевых хостов, которые создали наибольшее количество сетевых подключений; и
предоставление упомянутого списка сетевых хостов, которые создали наибольшее количество сетевых подключений.
21. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью получения списка устройств в сети с наибольшим списком нарушений управления доступом в течение определенного периода времени.
22. Метод по п.21, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений, содержащих сетевые метаданные;
указанные метаданные содержат информацию о списке нарушений контроля доступа;
выбор подмножества упомянутых сообщений, так что каждое сообщение содержит данные о не менее чем одном списке нарушений управления доступом;
агрегирование указанного подмножества сообщений для указанного сетевого устройства;
сортировка указанного подмножества агрегированных сообщений в порядке убывания, так что сетевые устройства с большим количеством нарушений контроля доступа стоят в головной части списка;
извлечения задаваемого количества записей из головной части указанного отсортированного списка; и
генерация предупреждающего сообщения для своевременного информирования сетевых устройств с наибольшим количеством нарушений контроля доступа, найденных в указанных записях в головной части указанного списка.
23. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью вычисления среднего размера сетевых пакетов, которые прошли через сетевое устройство через точно определяемый входной интерфейс и выходной интерфейс в течение точно определенного интервала времени.
24. Метод по п.23, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений, содержащих сетевые метаданные;
указанные метаданные содержат информацию о количестве пакетов и числе байтов, прошедших только через входной интерфейс и только через выходной интерфейс;
агрегирование указанной информации по различным парам интерфейсов;
вычисление текущего среднего размера сетевых пакетов, передаваемых через каждую отдельную пару интерфейсов;
отчетность в виде своевременной информации о среднем размере сетевых пакетов, которые проходили между, по крайней мере, частью указанных различных пар сетевых интерфейсов.
25. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью идентификации устройств в сети, являющихся основными потребителями пропускной способности сети в течение точно определенного интервала времени.
26. Метод по п.25, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
прием нескольких сообщений сетевых метаданных;
идентификация сетевых метаданных, связанных с отдельными хостами;
агрегирования сетевых метаданных для каждого идентифицированного хоста;
выбор списка настраиваемого размера сетевых хостов, которые произвели наибольший объем сетевого трафика; и
предоставление указанного списка сетевых хостов, которые произвели наибольший объем сетевого трафика.
27. Метод по п.26, отличающийся тем, что, по крайней мере, одна политика применяется с целью идентификации устройств в сети, являющихся основными потребителями пропускной способности сети, по сетевому устройству по протоколу сети, с задаваемым интервалом времени.
28. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью выявления активности в сети выше базового уровня такой активности.
29. Метод по п.28, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы работы в течение задаваемого периода времени в режиме обучения для установления базового состояния предположительно нормальных параметров по отношению к характеристике условий сети, представляющих интерес для администратора указанной сети, и работа в режиме мониторинга для уведомления указанного администратора в случае, когда активность в рассматриваемой сети превышает упомянутый базовый уровень по предварительно определяемым уровням.
30. Метод по п.29, отличающийся тем, что, базовое состояние содержит информацию, относящуюся к одному или более сетевым атрибутам из группы, состоящей из: количества одновременных потоков, скорости глобальных пакетов, глобальная производительность, скорость создания новых потоков, количество отправленных SYN-пакетов, количество полученных SYN-пакетов, количество сбросов связи, средняя длительность потока, дисперсия длительности потока и время суток.
31. Метод по п.3, отличающийся тем, что, по крайней мере, одна политика применяется с целью дедупликации потоковой информации, предоставляемой экспортерами потока.
32. Метод по п.31, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
- получение записи потока, содержащей IP-адреса общающихся конечных точек и IP-адрес устройства, предоставившего запись потока;
- отметка времени получения упомянутой записи;
- поддержание в памяти информации об IP-адресах общающихся конечных точек, IP-адресов устройств создания потока, и время последнего наблюдения связи; указанная информация является показателем частоты, по крайней мере, для некоторых линий связи, используемых упомянутым устройством создания потока;
- выбор, на основе указанной информации в памяти, устройства создания потока с самой высокой частотой использования, среди других устройств создания потоков, которые создают указанный поток, и назначение указанного устройства создания потока с самой высокой частотой использования в качестве авторитетного источника информации о связи между упомянутыми конечными точками сети;
- в случае, если более чем одно устройство создания потока имеет одинаковую высокую частоту использования, отраженную в указанной информации в памяти, то дальнейшее устранение неоднозначности указанного авторитетного источника информации о связи между упомянутыми сетевыми конечными точками выполняется на основе критериев, выбранных из группы, состоящей из: времени, когда устройства создания потока создали указанный поток, счетчика времени существования, указанного в записях потока, представленных устройствами создания потока, и IP-адреса следующего хопа, сообщенного в записях потока, предоставленных устройствами создания потока;
- отправка для дальнейшей обработки потоковой записи о связи между указанными общающимися конечными точками, полученной от авторитетного устройства создания потока; и
- отбрасывание потоковых записей о связи между упомянутыми общающимися конечными точками, полученных от других устройств создания потока.
33. Метод по п.31, отличающийся тем, что, по крайней мере, одна политика включает в себя следующие этапы:
сбор списка смежных узлов, связанных с IP-адресами и индексами интерфейса из сетевых метаданных, пересекающих рассматриваемую сеть;
создание компьютерной модели, представляющей устройства и топологию указанной сети из указанного списка смежных узлов;
статистическое определение устройств, которые первоначально были источниками сетевых метаданных, относящихся к конкретному потоку сетевого трафика в рассматриваемой сети; и
дедупликация информации сетевых метаданных, которые могут быть сгенерированы последующими сетевыми устройствами для отображения потока такого же сетевого трафика через упомянутые последующие устройства.
34 Метод по п.1, дополнительно содержащий этапы, на которых происходит:
переадресация полученных сетевых метаданных к последующим потребителям или коллектору сетевых метаданных при сохранении, по крайней мере, одного их формата.
35 Метод по п.1, дополнительно содержащий этапы, на которых:
переадресации преобразованный метаданные по сети на выходе потребителя или коллектора сетевых метаданных указанный один или более различных форматов данных.
36. Метод по п.1, отличающийся тем, что упомянутый этап определения включает в себя подтверждение, по крайней мере, одного утверждения, относящегося к достоверности принятых сетевых метаданных.
37. Метод по п.1, отличающийся тем, что упомянутый этап преобразования включает в себя преобразование упомянутых принятых сетевых метаданных в общий формат данных.
38. Метод по п.1, отличающийся тем, что указанный этап определения включает в себя поиск переходного идентификатора, присвоенного рассматриваемым сетевым метаданным.
39. Метод по п.38, отличающийся тем, что переходный идентификатор сетевых метаданных динамически связан с постоянным идентификатором, присвоенным рассматриваемым сетевым метаданным.
40. Метод по п.39, отличающийся тем, что постоянный идентификатор сетевых метаданных дополнительно связан с одной или несколькими политиками.
41. Метод по п.40, отличающийся тем, что указанный этап обработки включает в себя применение одной или нескольких политик к упомянутым сетевым метаданным.
42. Метод по п.1, отличающийся тем, что указанный этап определения включает в себя классификацию упомянутых сетевых метаданных.
43. Метод по п.42, отличающийся тем, что, указанный этап классификации достигается применением, по крайней мере, одной политики, управляющей обработкой сетевых метаданных.
44. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика основана на содержимом упомянутых сетевых метаданных.
45. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика имеет критерий времени.
46. Метод по п.43, отличающийся тем, что, по крайней мере, одна политика реализуется путем присоединения динамически загружаемого программного модуля.
47. Метод по п.46, отличающийся тем, что указанный динамически загружаемый программный модуль представляет собой двоичный исполняемый модуль.
48. Метод по п.43, отличающийся тем, что применение, по крайней мере, одной политики производит дополнительные сетевые метаданные, производные от обработанных сетевых метаданных.
49. Метод по п.48, отличающийся тем, что указанные дополнительные сетевые метаданные находятся в том же формате, что и обрабатываемые сетевые метаданные.
50. Метод по п.48, отличающийся тем, что указанные дополнительные сетевые метаданные находятся в формате, отличном от формата обрабатываемых сетевых метаданных.
51. Метод по п.43, отличающийся тем, что применение, по крайней мере, одной политики преобразует содержимое сетевых метаданных.
52. Метод по п.1, отличающийся тем, что упомянутый этап преобразования сетевых метаданных включает в себя применение правила преобразования.
53. Метод по п.52, отличающийся тем, что правило преобразования основано на содержимом рассматриваемых сетевых метаданных.
54. Метод по п.52, отличающийся тем, что правило преобразования является правилом преобразования по умолчанию.
55. Метод по п.52, отличающийся тем, что правило преобразования реализуется путем добавления динамически загружаемого программного модуля.
56. Метод по п.55, отличающийся тем, что динамически загружаемый программный модуль представляет собой двоичный исполняемый модуль.
57. Метод по п.2, отличающийся тем, что упомянутый этап переадресации полученных сетевых метаданных изменяет указатель происхождения сетевых метаданных.
58. Метод по п.2, отличающийся тем, что упомянутый этап переадресации принятых сетевых метаданных не изменяет указатель происхождения указанных сетевых метаданных.
59. Метод по п.3, дополнительно включающий этап аутентификации переадресованных преобразованных сетевых метаданные.
60. Метод по п.59, отличающийся тем, что указанный этап аутентификации реализует аутентификацию, которая является криптографически стойкой.
61. Метод по п.59, отличающийся тем, что указанный этап аутентификации осуществляет аутентификацию, которая не является криптографически стойкой.
62. Метод классификации сетевых метаданных включает в себя следующие этапы:
вычисление уникального идентификатора инвариантного определения сетевых метаданных;
связывание хотя бы одного правила обработки с упомянутым уникальным идентификатором сетевых метаданных;
хранение упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
сохранение упомянутого, по крайней мере, одного правила обработки в указанном первом информационном контейнере;
ассоциирование, по крайней мере, одного правила обработки с указанным уникальным идентификатором определения сетевых метаданных в указанном первом информационном контейнере;
прием первого пакета информации, содержащей определение сетевых метаданных и первого переходного идентификатора сетевых метаданных из однозначно определенного источника;
определение местоположения инвариантного определения сетевых метаданных в упомянутом первом пакете;
вычисление уникального идентификатора инвариантного определения сетевых метаданных, соответствующего определению сетевых метаданных в упомянутом первом пакете;
определение местоположения упомянутого уникального идентификатора инвариантного определения сетевых метаданных в первом информационном контейнере;
хранение упомянутого первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
ассоциирование первого переходного идентификатора сетевых метаданных во втором информационном контейнер с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
получение второго пакета информации, содержащего сетевые метаданные, упомянутый первый переходный идентификатор сетевых метаданных и упомянутый идентификатор источника;
определение местоположения первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
использование указанной ассоциации во втором информационном контейнере для обнаружения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
использованием упомянутой ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
выполнение указанного правила обработки для классификации сетевых метаданных.
63. Метод по п.62, дополнительно включающий в себя:
получение третьего пакета информации, содержащего определение сетевых метаданных, и второй переходный идентификатор сетевых метаданных от указанного однозначно определенного источника;
определение местоположения инвариантного определения сетевых метаданных в упомянутом третьем пакете;
вычисление уникального идентификатора инвариантного определения сетевых метаданных, соответствующего определению сетевых метаданных в упомянутом третьем пакете;
определение местоположения упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
хранение указанного второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
ассоциирование второго переходного идентификатора сетевых метаданных во втором информационном контейнере с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
определение местоположения первого переходного идентификатор асетевых метаданных с использованием указанного идентификатора источника во втором информационном контейнере;
удаление первого переходного идентификатора сетевых метаданных и упомянутого идентификатора источника из второго контейнера;
получение четвертого информационного пакета, содержащего сетевые метаданные, упомянутого второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника;
определение местоположения указанного второго переходного идентификатора сетевых метаданных и упомянутого идентификатора источника во втором информационном контейнере;
использование указанной ассоциации во втором информационном контейнере для нахождения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
использование указанной ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
выполнение указанного правила обработки для классификации сетевых метаданных.
64. Метод по п.62, отличающийся тем, что упомянутый этап удаления указанного первого переходного идентификатора сетевых метаданных и указанного идентификатора источника из второго контейнера выполняется путем применения алгоритма старения для элементов, хранящихся во втором контейнере.
65. Метод по п.62, отличающийся тем, что упомянутый этап вычисления уникального идентификатора инвариантного определения сетевых метаданных включает в себя вычисление хэш-значения инвариантного определения сетевых метаданных.
66. Метод по п.65, отличающийся тем, что указанное хеш-значение вычисляется с использованием криптографически стойкого алгоритма.
67. Метод по п.65, отличающийся тем, что указанное хеш-значение вычисляется с использованием криптографически нестойкого алгоритма.
68. Метод по п.62, отличающийся тем, что указанное правило обработки является политикой, управляющей обработкой сетевых метаданных.
69. Метод по п.68, отличающийся тем, что политика основана, по крайней мере, частично на содержимом рассматриваемых сетевых метаданных.
70. Метод по п.68, отличающийся тем, что политика имеет критерий времени.
71. Метод избирательного уменьшения объема сетевых метаданных, доставляемых в SIEM-систему по сети, включает в себя:
идентификация пакетов сетевых метаданных, которые содержат, по крайней мере, частично, избыточные метаданные; и обработка указанных пакетов сетевых метаданных, которые содержат, по крайней мере, частично, избыточные метаданные для объединения указанных пакетов в меньшем количестве пакетов, сохраняя при этом интересующие метаданные.
72. Система для обработки сетевых метаданных включает в себя:
сетевой узел, адаптированный для приема сетевых метаданных от нескольких источников, по крайней мере, одного формата данных;
модуль обработки для определения типа или характера указанных сетевых метаданных;
модуль обработки для обработки указанных сетевых метаданных для извлечения полезной информации из них; и
модуль обработки для преобразования, по крайней мере, части указанных сетевых метаданных в один или более различных форматов данных в ответ, по крайней мере частично, на результаты указанного определения этапа.
73. Система для классификации сетевых метаданных включает в себя:
процессор для вычисления уникального идентификатора инвариантного определения сетевых метаданных;
процессор для связывания хотя бы одного правила обработки с указанным уникальным идентификатором сетевых метаданных;
процессор для хранения упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для хранения, по крайней мере, одного правила обработки в упомянутом первом информационном контейнере;
процессор для связывания указанного, по крайней мере, одного правила обработки с указанным уникальным идентификатором определения сетевых метаданных в указанном первой информационном контейнере;
процессор для приема первого пакета информации, содержащей определение сетевых метаданных и переходный идентификатор сетевых метаданных;
процессор для размещения инвариантного определения сетевых метаданных в упомянутом первом пакете;
процессор для вычисления уникального идентификатора инвариантного определения сетевых метаданных, соответствующий определению сетевых метаданных в упомянутом первом пакете;
процессор для локализации упомянутого уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для хранения указанного переходного идентификатора сетевых метаданных во втором информационном контейнере;
процессор для связывания упомянутого переходного идентификатора сетевых метаданных во втором информационном контейнер с указанным уникальным идентификатором определения сетевых метаданных в первом информационном контейнере;
процессор для получения второго пакета информации, содержащей сетевые метаданные и упомянутый переходный идентификатор сетевых метаданных;
процессор для локализации упомянутого переходного идентификатора сетевых метаданных во втором информационном контейнере;
процессор для использования указанной ассоциации во втором информационном контейнере для нахождения уникального идентификатора определения сетевых метаданных в первом информационном контейнере;
процессор для использования указанной ассоциации уникального идентификатора сетевых метаданных в первом информационном контейнере для обнаружения указанного правила обработки; и
процессор для выполнения указанного правила обработки для классификации сетевых метаданных.
74. Сетевая система включает в себя:
локальную сеть, включающую в себя:
несколько устройств в рассматриваемой сети, которые генерируют первую совокупность сетевых метаданных в формате syslog;
средство мониторинга сети, которое выполнено с возможностью приема данных syslog;
несколько устройств в рассматриваемой сети, которые генерируют вторую совокупность сетевых метаданных в формате, отличающемся от формата данных syslog;
первое средство обработки сетевых метаданных, способное преобразовывать, по крайней мере, частей указанной второй совокупности сетевых метаданных в формат syslog; и
средства коммуникации для подачи преобразованного выхода упомянутой обработки первого средства обработки сетевых метаданных в качестве входа в упомянутое устройство мониторинга сети.
75. Сетевая система по п.74, отличающаяся тем, что первое средство обработки сетевых метаданных включает в себя способ обработки, по крайней мере, частей указанной второй совокупности сетевых метаданных, до преобразования указанных, по крайней мере, частей упомянутой второй совокупности сетевых метаданных в формат Syslog.
76. Сетевая система по п.75, отличающаяся тем, что процессор содержит классификатор, который способен определить тип сообщений, включенных в упомянутую вторую совокупность сетевых метаданных.
77. Сетевая система по п.75, отличающаяся тем, что, процессор содержит модуль политики, который способен избирательно обрабатывать каждое сообщение в указанной второй совокупности сетевых метаданных, по крайней мере, частично на основе определения типа указанным классификатором.
78. Сетевая система по п.77, отличающаяся тем, что упомянутый модуль политики применяет одну или несколько политик для каждого сообщения, по крайней мере, частично на основе определения типа указанным классификатором.
79. Сетевая система по п.74, дополнительно содержащая удаленную подсеть, которая содержит:
несколько устройств в указанной удаленной подсети, которые генерируют третью совокупность сетевых метаданных в формате Syslog;
несколько устройств в рассматриваемой подсети, которые генерируют четвертую совокупность сетевых метаданных в формате, отличающемся от формата данных Syslog; и
второе средство обработки сетевых метаданных, способный преобразовывать, по крайней мере, части указанной четвертой совокупности сетевых метаданных в формат Syslog; и
средство коммуникации для подачи преобразованного выхода упомянутого второго средства обработки вторая сетевых метаданных в качестве входа в упомянутое средство мониторинга сети.
80. Метод повышения надежности передачи сообщений NetFlow по WAN из ответвлений сети отделений в первичную сеть включает в себя:
преобразование, по крайней мере, части сообщений NetFlow, генерируемых в указанном ответвлении сети в сообщения Syslog; и
использование сетевого протокола, более надежного, чем UDP, для передачи преобразованных упомянутых сообщений Syslog из указанного ответвления сети на сервер указанной первичной сети.
Applications Claiming Priority (7)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201161556817P | 2011-11-07 | 2011-11-07 | |
US61/556,817 | 2011-11-07 | ||
US201261699823P | 2012-09-11 | 2012-09-11 | |
US61/699,823 | 2012-09-11 | ||
US13/669,235 | 2012-11-05 | ||
US13/669,235 US9392010B2 (en) | 2011-11-07 | 2012-11-05 | Streaming method and system for processing network metadata |
PCT/US2012/063749 WO2013070631A1 (en) | 2011-11-07 | 2012-11-06 | A streaming method and system for processing network metadata |
Publications (1)
Publication Number | Publication Date |
---|---|
RU2014124009A true RU2014124009A (ru) | 2016-02-10 |
Family
ID=48224692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
RU2014124009A RU2014124009A (ru) | 2011-11-07 | 2012-11-06 | Метод и система потоковой передачи данных для обработки сетевых метаданных |
Country Status (8)
Country | Link |
---|---|
US (2) | US9392010B2 (ru) |
EP (1) | EP2777226B1 (ru) |
JP (1) | JP2015502060A (ru) |
KR (1) | KR20140106547A (ru) |
CN (1) | CN104115463B (ru) |
CA (1) | CA2854883A1 (ru) |
RU (1) | RU2014124009A (ru) |
WO (1) | WO2013070631A1 (ru) |
Families Citing this family (165)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9654505B2 (en) | 2009-06-22 | 2017-05-16 | Citrix Systems, Inc. | Systems and methods for encoding the core identifier in the session identifier |
US8601556B2 (en) | 2009-06-22 | 2013-12-03 | Citrix Systems, Inc. | Systems and methods for handling SSL session not reusable across multiple cores |
US9392010B2 (en) * | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
US9843488B2 (en) | 2011-11-07 | 2017-12-12 | Netflow Logic Corporation | Method and system for confident anomaly detection in computer network traffic |
US8976661B2 (en) * | 2012-01-11 | 2015-03-10 | Nec Laboratories America, Inc. | Network self-protection |
US8805163B2 (en) * | 2012-01-20 | 2014-08-12 | Comcast Cable Communications, Llc | Network storage device and method |
KR102007732B1 (ko) * | 2012-04-18 | 2019-08-07 | 한국전자통신연구원 | 시간기반 정책을 통한 트래픽 제어 방법 |
US9912638B2 (en) * | 2012-04-30 | 2018-03-06 | Zscaler, Inc. | Systems and methods for integrating cloud services with information management systems |
US9112804B2 (en) * | 2012-05-31 | 2015-08-18 | International Business Machines Corporation | Network congestion notification preservation and modification during transmission of network data between physical network and virtual network |
US9332053B2 (en) * | 2012-06-15 | 2016-05-03 | Tekelec, Inc. | Methods, systems, and computer readable media for load balancing stream control transmission protocol (SCTP) messages |
CA2886058A1 (en) * | 2012-09-28 | 2014-04-03 | Level 3 Communications, Llc | Identifying and mitigating malicious network threats |
US9438488B2 (en) * | 2012-11-09 | 2016-09-06 | Citrix Systems, Inc. | Systems and methods for appflow for datastream |
US20150029871A1 (en) * | 2013-07-24 | 2015-01-29 | Cisco Technology, Inc. | Service level agreement validation via service traffic sample-and-replay |
TW201505411A (zh) * | 2013-07-31 | 2015-02-01 | Ibm | 用於規則式安全防護設備之規則解譯方法及設備 |
US9680916B2 (en) * | 2013-08-01 | 2017-06-13 | Flowtraq, Inc. | Methods and systems for distribution and retrieval of network traffic records |
US9444914B2 (en) | 2013-09-16 | 2016-09-13 | Annapurna Labs Ltd. | Configurable parser and a method for parsing information units |
KR20150032018A (ko) | 2013-09-17 | 2015-03-25 | 삼성전자주식회사 | 전자 장치 및 전자 장치의 정보 전송 방법, 정보 전송 시스템 |
CN104518921A (zh) * | 2013-09-30 | 2015-04-15 | 宁夏先锋软件有限公司 | 一种适合不同标准及输出展示形式多样的网络监控系统 |
US20160254959A1 (en) * | 2013-10-11 | 2016-09-01 | Hewlett Packard Enterprise Development Lp | Provisioning a network for network traffic during a session |
US20150113133A1 (en) | 2013-10-21 | 2015-04-23 | Nyansa, Inc. | System and method for observing and controlling a programmable network using closed loop control |
US9755942B2 (en) * | 2013-10-25 | 2017-09-05 | Vmware, Inc. | Method and system for monitoring conditions in a dynamic network environment |
CN103561018A (zh) * | 2013-10-30 | 2014-02-05 | 蓝盾信息安全技术股份有限公司 | 一种面向大数据应用平台的入侵检测的实时分析系统 |
US9794278B1 (en) * | 2013-12-19 | 2017-10-17 | Symantec Corporation | Network-based whitelisting approach for critical systems |
CN103680143B (zh) * | 2013-12-30 | 2015-09-23 | 北京世纪高通科技有限公司 | 一种交通信息处理方法和装置 |
WO2015121864A1 (en) * | 2014-02-16 | 2015-08-20 | B.G. Negev Technologies And Applications Ltd., At Ben-Gurion University | A system and method for integrating legacy flow-monitoring systems with sdn networks |
WO2015138516A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | Method and system for detecting external control of compromised hosts |
US9846718B1 (en) * | 2014-03-31 | 2017-12-19 | EMC IP Holding Company LLC | Deduplicating sets of data blocks |
NZ768365A (en) * | 2014-04-01 | 2022-04-29 | Endace Tech Limited | Hash tag load balancing |
CN106663040A (zh) * | 2014-05-01 | 2017-05-10 | 网络流逻辑公司 | 用于计算机网络业务中的信任异常检测的方法及系统 |
US9531715B1 (en) * | 2014-05-07 | 2016-12-27 | Skyport Systems, Inc. | Method and system for protecting credentials |
US9647882B1 (en) * | 2014-05-29 | 2017-05-09 | Amazon Technologies, Inc. | Network topology assisted device provisioning |
CN105207881B (zh) * | 2014-06-10 | 2018-12-28 | 阿里巴巴集团控股有限公司 | 一种消息发送方法和设备 |
US10027562B2 (en) * | 2014-09-12 | 2018-07-17 | Cisco Technology, Inc. | Detecting network services based on network flow data |
US9276955B1 (en) | 2014-09-17 | 2016-03-01 | Fortinet, Inc. | Hardware-logic based flow collector for distributed denial of service (DDoS) attack mitigation |
US9852003B2 (en) | 2014-10-31 | 2017-12-26 | Rovi Guides, Inc. | Systems and methods for generating a unique fingerprint aggregating set of unique tracking identifiers throughout request/response processing |
CN105681250B (zh) * | 2014-11-17 | 2019-04-02 | 中国信息安全测评中心 | 一种僵尸网络分布式实时检测方法和系统 |
US10986131B1 (en) | 2014-12-17 | 2021-04-20 | Amazon Technologies, Inc. | Access control policy warnings and suggestions |
US10122757B1 (en) | 2014-12-17 | 2018-11-06 | Amazon Technologies, Inc. | Self-learning access control policies |
CN104539595B (zh) * | 2014-12-17 | 2018-04-10 | 南京晓庄学院 | 一种集威胁处理和路由优化于一体的sdn架构及工作方法 |
CN107888617A (zh) * | 2014-12-17 | 2018-04-06 | 蔡留凤 | 软件定义的网络架构的工作方法 |
CN107835199A (zh) * | 2014-12-17 | 2018-03-23 | 朱保生 | 适于解决网络安全的sdn系统的工作方法 |
US9917738B2 (en) * | 2015-01-13 | 2018-03-13 | Accenture Global Services Limited | Intelligent device data router |
JP5862811B1 (ja) * | 2015-02-02 | 2016-02-16 | 日本電信電話株式会社 | 評価装置、評価方法、及びプログラム |
US10043030B1 (en) | 2015-02-05 | 2018-08-07 | Amazon Technologies, Inc. | Large-scale authorization data collection and aggregation |
US10291506B2 (en) * | 2015-03-04 | 2019-05-14 | Fisher-Rosemount Systems, Inc. | Anomaly detection in industrial communications networks |
US9858438B2 (en) * | 2015-03-26 | 2018-01-02 | International Business Machines Corporation | Managing digital photograph metadata anonymization |
US20160285704A1 (en) * | 2015-03-27 | 2016-09-29 | Iosif Gasparakis | Technologies for dynamic network analysis and provisioning |
US9998477B2 (en) * | 2015-03-31 | 2018-06-12 | Comcast Cable Communications, Llc | Digital content access control |
US10110496B2 (en) * | 2015-03-31 | 2018-10-23 | Juniper Networks, Inc. | Providing policy information on an existing communication channel |
US10367838B2 (en) * | 2015-04-16 | 2019-07-30 | Nec Corporation | Real-time detection of abnormal network connections in streaming data |
US10235676B2 (en) * | 2015-05-12 | 2019-03-19 | The Toronto-Dominion Bank | Systems and methods for accessing computational resources in an open environment |
US10291726B2 (en) | 2015-05-12 | 2019-05-14 | Equinix, Inc. | Network field unit for a cloud-based services exchange |
JP6433378B2 (ja) * | 2015-05-29 | 2018-12-05 | キヤノン株式会社 | 情報処理装置、情報処理方法、及びコンピュータプログラム |
US10536357B2 (en) * | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US9917753B2 (en) | 2015-06-12 | 2018-03-13 | Level 3 Communications, Llc | Network operational flaw detection using metrics |
US10063446B2 (en) * | 2015-06-26 | 2018-08-28 | Intel Corporation | Netflow collection and export offload using network silicon |
US10084816B2 (en) * | 2015-06-26 | 2018-09-25 | Fortinet, Inc. | Protocol based detection of suspicious network traffic |
KR101688635B1 (ko) * | 2015-07-01 | 2016-12-21 | 한국전자통신연구원 | 플로우 기반 트래픽 저장 장치 및 방법 |
CN105187393B (zh) * | 2015-08-10 | 2018-05-22 | 济南大学 | 一种移动终端恶意软件网络行为重构方法及其系统 |
US10643181B2 (en) * | 2015-08-18 | 2020-05-05 | Satish Ayyaswami | System and method for a big data analytics enterprise framework |
US9916459B2 (en) | 2015-08-21 | 2018-03-13 | International Business Machines Corporation | Photograph metadata encryption |
US10721098B2 (en) | 2015-08-28 | 2020-07-21 | Vmware, Inc. | Optimizing connectivity between data centers in a hybrid cloud computing system |
US10721161B2 (en) * | 2015-08-28 | 2020-07-21 | Vmware, Inc. | Data center WAN aggregation to optimize hybrid cloud connectivity |
US20170070562A1 (en) | 2015-09-06 | 2017-03-09 | Jeremy Lynn Littlejohn | Method for denominating move groups of applications |
US10193824B2 (en) * | 2015-09-06 | 2019-01-29 | RISC Networks, LLC | Systems and methods for intelligent application grouping |
US9934395B2 (en) | 2015-09-11 | 2018-04-03 | International Business Machines Corporation | Enabling secure big data analytics in the cloud |
US10063451B2 (en) * | 2015-09-28 | 2018-08-28 | Juniper Networks, Inc. | Providing application metadata using export protocols in computer networks |
DK3151152T3 (en) * | 2015-09-30 | 2020-06-15 | Secure Nok Tech As | Non-intrusive software agent for monitoring and detection of cyber security events and cyber-attacks in an industrial control system |
EP3378208B1 (en) * | 2015-11-17 | 2021-09-29 | Hewlett Packard Enterprise Development LP | Handling network threats |
WO2017086990A1 (en) | 2015-11-20 | 2017-05-26 | Hewlett Packard Enterprise Development Lp | Determining violation of a network invariant |
CN105553689B (zh) * | 2015-12-03 | 2018-12-28 | 中国科学院信息工程研究所 | 一种openflow消息中流规则等价快速判定方法 |
US9967178B1 (en) * | 2015-12-15 | 2018-05-08 | Juniper Networks, Inc. | Flow record size reduction |
US10140267B1 (en) * | 2015-12-28 | 2018-11-27 | EMC IP Holding Company LLC | Efficient operation of GRC processing platforms |
CA3028273C (en) * | 2016-02-25 | 2019-09-24 | Sas Institute Inc. | Cybersecurity system |
US10296748B2 (en) | 2016-02-25 | 2019-05-21 | Sas Institute Inc. | Simulated attack generator for testing a cybersecurity system |
US10673719B2 (en) | 2016-02-25 | 2020-06-02 | Imperva, Inc. | Techniques for botnet detection and member identification |
US10268527B2 (en) * | 2016-03-22 | 2019-04-23 | Tata Consultancy Services Limited | Systems and methods for generating real time events |
US10193741B2 (en) | 2016-04-18 | 2019-01-29 | Nyansa, Inc. | System and method for network incident identification and analysis |
US10230609B2 (en) | 2016-04-18 | 2019-03-12 | Nyansa, Inc. | System and method for using real-time packet data to detect and manage network issues |
US10200267B2 (en) | 2016-04-18 | 2019-02-05 | Nyansa, Inc. | System and method for client network congestion detection, analysis, and management |
US10491528B2 (en) | 2016-10-27 | 2019-11-26 | Hewlett Packard Enterprise Development Lp | Selectively monitoring a network of network function chains based on probability of service level agreement violation |
US10148549B2 (en) | 2016-10-31 | 2018-12-04 | Servicenow, Inc. | System and method for identifying components of a computer network based on component connections |
US11546266B2 (en) * | 2016-12-15 | 2023-01-03 | Arbor Networks, Inc. | Correlating discarded network traffic with network policy events through augmented flow |
US10652278B2 (en) | 2016-12-19 | 2020-05-12 | Forescout Technologies, Inc. | Compliance monitoring |
JP7069173B2 (ja) * | 2016-12-30 | 2022-05-17 | ビットディフェンダー ネザーランズ ビー.ブイ. | 高速分析のためにネットワーク・トラフィックを準備するシステム |
US10038671B2 (en) * | 2016-12-31 | 2018-07-31 | Fortinet, Inc. | Facilitating enforcement of security policies by and on behalf of a perimeter network security device by providing enhanced visibility into interior traffic flows |
US10592664B2 (en) | 2017-02-02 | 2020-03-17 | Cisco Technology, Inc. | Container application security and protection |
JP6551434B2 (ja) * | 2017-02-10 | 2019-07-31 | 日本電気株式会社 | データ分析システム、記録装置、データ分析装置、データ管理方法、データ分析方法及びプログラム |
US10389594B2 (en) * | 2017-03-16 | 2019-08-20 | Cisco Technology, Inc. | Assuring policy impact before application of policy on current flowing traffic |
US10447713B2 (en) | 2017-04-26 | 2019-10-15 | At&T Intellectual Property I, L.P. | Internet traffic classification via time-frequency analysis |
JP6938205B2 (ja) * | 2017-05-02 | 2021-09-22 | アライドテレシスホールディングス株式会社 | アクセス制御システム |
JP7250703B2 (ja) | 2017-05-18 | 2023-04-03 | パロ アルト ネットワークス,インコーポレイテッド | 相関関係駆動型脅威の評価と修復 |
US10958623B2 (en) * | 2017-05-26 | 2021-03-23 | Futurewei Technologies, Inc. | Identity and metadata based firewalls in identity enabled networks |
CN107368527B (zh) * | 2017-06-09 | 2020-06-30 | 东南大学 | 基于数据流的多属性索引方法 |
US20180375762A1 (en) * | 2017-06-21 | 2018-12-27 | Microsoft Technology Licensing, Llc | System and method for limiting access to cloud-based resources including transmission between l3 and l7 layers using ipv6 packet with embedded ipv4 addresses and metadata |
US10447598B2 (en) * | 2017-07-17 | 2019-10-15 | Qualcomm Incorporated | User datagram protocol (UDP) receive offloading |
RU2665919C1 (ru) * | 2017-07-17 | 2018-09-04 | Акционерное общество "Лаборатория Касперского" | Система и способ определения DDoS-атак при некорректной работе сервисов сервера |
US10601849B2 (en) * | 2017-08-24 | 2020-03-24 | Level 3 Communications, Llc | Low-complexity detection of potential network anomalies using intermediate-stage processing |
US10903985B2 (en) | 2017-08-25 | 2021-01-26 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Monitoring encrypted network traffic flows in a virtual environment using dynamic session key acquisition techniques |
US10992652B2 (en) | 2017-08-25 | 2021-04-27 | Keysight Technologies Singapore (Sales) Pte. Ltd. | Methods, systems, and computer readable media for monitoring encrypted network traffic flows |
US10586051B2 (en) * | 2017-08-31 | 2020-03-10 | International Business Machines Corporation | Automatic transformation of security event detection rules |
US11750622B1 (en) | 2017-09-05 | 2023-09-05 | Barefoot Networks, Inc. | Forwarding element with a data plane DDoS attack detector |
CN109698814B (zh) * | 2017-10-23 | 2021-06-15 | 中国电信股份有限公司 | 僵尸网络发现方法及僵尸网络发现装置 |
US10666494B2 (en) | 2017-11-10 | 2020-05-26 | Nyansa, Inc. | System and method for network incident remediation recommendations |
US11190544B2 (en) | 2017-12-11 | 2021-11-30 | Catbird Networks, Inc. | Updating security controls or policies based on analysis of collected or created metadata |
JP6898846B2 (ja) * | 2017-12-28 | 2021-07-07 | 株式会社日立製作所 | 異常原因特定支援システムおよび異常原因特定支援方法 |
US11223534B2 (en) | 2017-12-29 | 2022-01-11 | Virtual Instruments Worldwide, Inc. | Systems and methods for hub and spoke cross topology traversal |
US20190205153A1 (en) | 2017-12-29 | 2019-07-04 | Virtual Instruments Corporation | System and method of dynamically assigning device tiers based on application |
CN108270778B (zh) * | 2017-12-29 | 2020-11-20 | 中国互联网络信息中心 | 一种dns域名异常访问检测方法及装置 |
US10574575B2 (en) * | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
US10798015B2 (en) * | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
US10999167B2 (en) | 2018-04-13 | 2021-05-04 | At&T Intellectual Property I, L.P. | Varying data flow aggregation period relative to data value |
US11108812B1 (en) | 2018-04-16 | 2021-08-31 | Barefoot Networks, Inc. | Data plane with connection validation circuits |
WO2019215735A1 (en) * | 2018-05-07 | 2019-11-14 | Cyber Sec Bi Ltd. | Network data clustering |
US11709946B2 (en) | 2018-06-06 | 2023-07-25 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10855711B2 (en) | 2018-06-06 | 2020-12-01 | Reliaquest Holdings, Llc | Threat mitigation system and method |
US10938685B2 (en) | 2018-07-24 | 2021-03-02 | Cisco Technology, Inc. | Secure traffic visibility and analytics for encrypted traffic |
CN109040229A (zh) * | 2018-07-30 | 2018-12-18 | 佛山市甜慕链客科技有限公司 | 一种网络监控方法及系统 |
US10893030B2 (en) | 2018-08-10 | 2021-01-12 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for implementing bandwidth limitations on specific application traffic at a proxy element |
JP7347428B2 (ja) * | 2018-08-15 | 2023-09-20 | ソニーグループ株式会社 | ネットワーク監視システム、ネットワーク監視方法、及びプログラム |
US10659301B2 (en) | 2018-08-24 | 2020-05-19 | Cisco Technology, Inc. | Configuring container attribute data on network switches to enable networking functionality |
CN109474602A (zh) * | 2018-11-27 | 2019-03-15 | 武汉虹旭信息技术有限责任公司 | 一种海量数据的安全审计系统及其方法 |
US10999202B2 (en) | 2018-11-30 | 2021-05-04 | Oracle International Corporation | Methods, systems, and computer readable media for distributing Sigtran connections among signal transfer point (STP) message processors |
JP7079721B2 (ja) * | 2018-12-05 | 2022-06-02 | アラクサラネットワークス株式会社 | ネットワーク異常検知装置、ネットワーク異常検知システム及びネットワーク異常検知方法 |
CN112840623B (zh) * | 2019-01-22 | 2023-02-03 | 华为技术有限公司 | 数据报文传输方法及节点 |
US11115278B2 (en) * | 2019-02-25 | 2021-09-07 | Cisco Technology, Inc. | Learning by inference from brownfield deployments |
JP6904600B2 (ja) * | 2019-02-27 | 2021-07-21 | Necフィールディング株式会社 | データ取得装置、クライアントサーバシステム、データ取得方法、及び、プログラム |
CN111628900B (zh) * | 2019-02-28 | 2023-08-29 | 西门子股份公司 | 基于网络协议的模糊测试方法、装置和计算机可读介质 |
US10887380B2 (en) * | 2019-04-01 | 2021-01-05 | Google Llc | Multi-cluster ingress |
US10999159B2 (en) * | 2019-04-04 | 2021-05-04 | Cisco Technology, Inc. | System and method of detecting application affinity using network telemetry |
US11082434B2 (en) | 2019-04-06 | 2021-08-03 | International Business Machines Corporation | Inferring temporal relationships for cybersecurity events |
CN111859028A (zh) * | 2019-04-30 | 2020-10-30 | 伊姆西Ip控股有限责任公司 | 创建用于流式存储的索引的方法、设备和计算机程序产品 |
US11132109B2 (en) * | 2019-05-08 | 2021-09-28 | EXFO Solutions SAS | Timeline visualization and investigation systems and methods for time lasting events |
USD926809S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926810S1 (en) | 2019-06-05 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926782S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926200S1 (en) | 2019-06-06 | 2021-07-27 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
USD926811S1 (en) | 2019-06-06 | 2021-08-03 | Reliaquest Holdings, Llc | Display screen or portion thereof with a graphical user interface |
CN110519273B (zh) * | 2019-08-28 | 2021-11-02 | 杭州迪普科技股份有限公司 | 入侵防御方法和装置 |
JP7376288B2 (ja) * | 2019-09-10 | 2023-11-08 | アズビル株式会社 | 特定装置および特定方法 |
US11621970B2 (en) * | 2019-09-13 | 2023-04-04 | Is5 Communications, Inc. | Machine learning based intrusion detection system for mission critical systems |
JP7290168B2 (ja) * | 2019-09-30 | 2023-06-13 | 日本電気株式会社 | 管理装置、ネットワーク監視システム、判定方法、通信方法、及びプログラム |
CN110752895A (zh) * | 2019-10-22 | 2020-02-04 | 盛科网络(苏州)有限公司 | 以太网报文的编程方法和装置 |
US11190417B2 (en) * | 2020-02-04 | 2021-11-30 | Keysight Technologies, Inc. | Methods, systems, and computer readable media for processing network flow metadata at a network packet broker |
US11323381B2 (en) * | 2020-04-16 | 2022-05-03 | Juniper Networks, Inc. | Dropped packet detection and classification for networked devices |
EP3896906B1 (en) | 2020-04-16 | 2024-04-24 | Juniper Networks, Inc. | Dropped packet detection and classification for networked devices |
US11855861B2 (en) | 2020-05-28 | 2023-12-26 | Axellio Inc. | High performance packet capture and analytics architecture |
CN113810242A (zh) * | 2020-06-16 | 2021-12-17 | 中盈优创资讯科技有限公司 | 系统日志分析方法及装置 |
US10860717B1 (en) | 2020-07-01 | 2020-12-08 | Morgan Stanley Services Group Inc. | Distributed system for file analysis and malware detection |
US11061879B1 (en) | 2020-07-01 | 2021-07-13 | Morgan Stanley Services Group Inc. | File indexing and retrospective malware detection system |
US10990676B1 (en) | 2020-07-01 | 2021-04-27 | Morgan Stanley Services Group Inc. | File collection method for subsequent malware detection |
CN111817905B (zh) * | 2020-09-07 | 2020-12-15 | 腾讯科技(深圳)有限公司 | 一种网络配置方法、相关装置及存储介质 |
CN111935175B (zh) * | 2020-09-14 | 2020-12-29 | 华芯生物科技(武汉)有限公司 | 一种检测设备的数据加密传输方法 |
US11576072B2 (en) | 2020-09-21 | 2023-02-07 | Oracle International Corporation | Methods, systems, and computer-readable media for distributing S1 connections to mobility management entities (MMEs) and N2 connections to access and mobility management functions (AMFs) |
US11956628B2 (en) * | 2020-11-23 | 2024-04-09 | Cisco Technology, Inc. | Openroaming for private communication systems |
CN112468486B (zh) * | 2020-11-24 | 2023-05-02 | 北京天融信网络安全技术有限公司 | Netflow数据去重方法、装置、电子设备及存储介质 |
CN113194043B (zh) * | 2021-03-18 | 2022-09-02 | 成都深思科技有限公司 | 一种nat环境下的网络流量分类方法 |
US20220384061A1 (en) * | 2021-05-25 | 2022-12-01 | Optiks Solutions, Inc. | System and method for secure healthcare professional communication |
CN113507395B (zh) * | 2021-06-21 | 2023-02-03 | 华东师范大学 | 一种网络数据流的状态追踪装置 |
US20230015789A1 (en) * | 2021-07-08 | 2023-01-19 | Vmware, Inc. | Aggregation of user authorizations from different providers in a hybrid cloud environment |
CN114201955A (zh) * | 2021-11-29 | 2022-03-18 | 北京智美互联科技有限公司 | 互联网流量平台监测方法和系统 |
CN114384792B (zh) * | 2021-12-10 | 2024-01-02 | 浙江大学 | 一种安全冗余的plc通信控制系统 |
WO2024015259A1 (en) * | 2022-07-12 | 2024-01-18 | Mango Slushy, Inc. | Streaming complex endpoint events |
CN116048822B (zh) * | 2023-04-03 | 2023-07-07 | 成都新西旺自动化科技有限公司 | 一种高吞吐的并行日志存储系统及方法 |
Family Cites Families (27)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2001052178A1 (en) * | 2000-01-13 | 2001-07-19 | Digimarc Corporation | Authenticating metadata and embedding metadata in watermarks of media signals |
US7127743B1 (en) * | 2000-06-23 | 2006-10-24 | Netforensics, Inc. | Comprehensive security structure platform for network managers |
US7707305B2 (en) | 2000-10-17 | 2010-04-27 | Cisco Technology, Inc. | Methods and apparatus for protecting against overload conditions on nodes of a distributed network |
US20040117658A1 (en) * | 2002-09-27 | 2004-06-17 | Andrea Klaes | Security monitoring and intrusion detection system |
WO2005050385A2 (en) * | 2003-11-13 | 2005-06-02 | Commvault Systems, Inc. | System and method for performing integrated storage operations |
US7996427B1 (en) * | 2005-06-23 | 2011-08-09 | Apple Inc. | Unified system for accessing metadata in disparate formats |
US8688790B2 (en) * | 2005-07-01 | 2014-04-01 | Email2 Scp Solutions Inc. | Secure electronic mail system with for your eyes only features |
US20070033190A1 (en) * | 2005-08-08 | 2007-02-08 | Microsoft Corporation | Unified storage security model |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
US7653633B2 (en) | 2005-11-12 | 2010-01-26 | Logrhythm, Inc. | Log collection, structuring and processing |
JP4346096B2 (ja) * | 2006-02-22 | 2009-10-14 | 日本電信電話株式会社 | トラフィックデータ集約装置およびトラフィックデータ集約方法 |
US7633944B1 (en) | 2006-05-12 | 2009-12-15 | Juniper Networks, Inc. | Managing timeouts for dynamic flow capture and monitoring of packet flows |
US7797335B2 (en) * | 2007-01-18 | 2010-09-14 | International Business Machines Corporation | Creation and persistence of action metadata |
US8011010B2 (en) * | 2007-04-17 | 2011-08-30 | Microsoft Corporation | Using antimalware technologies to perform offline scanning of virtual machine images |
US9014047B2 (en) | 2007-07-10 | 2015-04-21 | Level 3 Communications, Llc | System and method for aggregating and reporting network traffic data |
US8250590B2 (en) * | 2007-07-13 | 2012-08-21 | International Business Machines Corporation | Apparatus, system, and method for seamless multiple format metadata abstraction |
US8359320B2 (en) * | 2007-10-31 | 2013-01-22 | At&T Intellectual Property I, Lp | Metadata repository and methods thereof |
WO2010028279A1 (en) | 2008-09-05 | 2010-03-11 | Arcsight, Inc. | Storing log data efficiently while supporting querying |
US20100071065A1 (en) | 2008-09-18 | 2010-03-18 | Alcatel Lucent | Infiltration of malware communications |
CN101686235B (zh) * | 2008-09-26 | 2013-04-24 | 北京神州绿盟信息安全科技股份有限公司 | 网络异常流量分析设备和方法 |
US8954957B2 (en) | 2009-07-01 | 2015-02-10 | Riverbed Technology, Inc. | Network traffic processing according to network traffic rule criteria and transferring network traffic metadata in a network device that includes hosted virtual machines |
CN101610174B (zh) * | 2009-07-24 | 2011-08-24 | 深圳市永达电子股份有限公司 | 一种日志事件关联分析系统与方法 |
US8910212B2 (en) * | 2010-09-29 | 2014-12-09 | Verizon Patent And Licensing Inc. | Multiple device storefront for video provisioning system |
US9392010B2 (en) * | 2011-11-07 | 2016-07-12 | Netflow Logic Corporation | Streaming method and system for processing network metadata |
US20140075557A1 (en) * | 2012-09-11 | 2014-03-13 | Netflow Logic Corporation | Streaming Method and System for Processing Network Metadata |
US8688703B1 (en) * | 2011-12-22 | 2014-04-01 | Emc Corporation | Metadata cache supporting multiple heterogeneous systems |
US20140074894A1 (en) * | 2012-09-13 | 2014-03-13 | Clo Virtual Fashion Inc. | Format conversion of metadata associated with digital content |
-
2012
- 2012-11-05 US US13/669,235 patent/US9392010B2/en active Active
- 2012-11-06 EP EP12847345.1A patent/EP2777226B1/en active Active
- 2012-11-06 WO PCT/US2012/063749 patent/WO2013070631A1/en active Application Filing
- 2012-11-06 CN CN201280066276.9A patent/CN104115463B/zh active Active
- 2012-11-06 RU RU2014124009A patent/RU2014124009A/ru not_active Application Discontinuation
- 2012-11-06 JP JP2014540202A patent/JP2015502060A/ja active Pending
- 2012-11-06 KR KR1020147015404A patent/KR20140106547A/ko not_active Application Discontinuation
- 2012-11-06 CA CA2854883A patent/CA2854883A1/en not_active Abandoned
-
2016
- 2016-07-09 US US15/206,267 patent/US10079843B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN104115463A (zh) | 2014-10-22 |
WO2013070631A1 (en) | 2013-05-16 |
EP2777226A1 (en) | 2014-09-17 |
CA2854883A1 (en) | 2013-05-16 |
US20170013001A1 (en) | 2017-01-12 |
KR20140106547A (ko) | 2014-09-03 |
JP2015502060A (ja) | 2015-01-19 |
CN104115463B (zh) | 2017-04-05 |
EP2777226A4 (en) | 2015-10-14 |
US20130117847A1 (en) | 2013-05-09 |
EP2777226B1 (en) | 2019-08-28 |
US10079843B2 (en) | 2018-09-18 |
US9392010B2 (en) | 2016-07-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
RU2014124009A (ru) | Метод и система потоковой передачи данных для обработки сетевых метаданных | |
US10904203B2 (en) | Augmenting network flow with passive DNS information | |
US10547674B2 (en) | Methods and systems for network flow analysis | |
CN109951477B (zh) | 一种基于威胁情报检测网络攻击的方法和装置 | |
KR101295708B1 (ko) | 트래픽 수집장치, 트래픽 분석장치, 시스템 및 그 분석방법 | |
TW201703465A (zh) | 網路異常偵測技術 | |
CN114584401B (zh) | 一种面向大规模网络攻击的追踪溯源系统及方法 | |
CN108270699B (zh) | 报文处理方法、分流交换机及聚合网络 | |
US9942122B2 (en) | Fast packet retrieval based on flow ID and metadata | |
US10855549B2 (en) | Network data processing driver for a cognitive artificial intelligence system | |
US20170295193A1 (en) | Adaptive anomaly context description | |
TWM594841U (zh) | 封包擷取分析裝置及具有該封包擷取分析裝置之網路資安系統 | |
CN108206788B (zh) | 一种流量的业务识别方法及相关设备 | |
Gharakheili et al. | iTeleScope: Softwarized network middle-box for real-time video telemetry and classification | |
CN112929376A (zh) | 一种流量数据的处理方法、装置、计算机设备和存储介质 | |
JP2016167799A (ja) | ネットワークモニタリング方法及び装置、並びにパケットフィルタリング方法及び装置 | |
US20160248652A1 (en) | System and method for classifying and managing applications over compressed or encrypted traffic | |
CN112055007B (zh) | 一种基于可编程节点的软硬件结合威胁态势感知方法 | |
US9398040B2 (en) | Intrusion detection system false positive detection apparatus and method | |
WO2017196842A1 (en) | Monitoring network traffic to determine similar content | |
Oudah et al. | Using burstiness for network applications classification | |
CN114020734A (zh) | 一种流量统计去重方法及装置 | |
TWI544764B (zh) | 垃圾郵件判定方法及其郵件伺服器 | |
CN108183892B (zh) | 报文处理方法及装置 | |
TWI666568B (zh) | 在Netflow上以會話型式之P2P殭屍網路偵測方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
FA92 | Acknowledgement of application withdrawn (lack of supplementary materials submitted) |
Effective date: 20170418 |