RU2697698C2 - Способ обработки сетевого трафика с использованием межсетевого экранирования - Google Patents

Способ обработки сетевого трафика с использованием межсетевого экранирования Download PDF

Info

Publication number
RU2697698C2
RU2697698C2 RU2017146208A RU2017146208A RU2697698C2 RU 2697698 C2 RU2697698 C2 RU 2697698C2 RU 2017146208 A RU2017146208 A RU 2017146208A RU 2017146208 A RU2017146208 A RU 2017146208A RU 2697698 C2 RU2697698 C2 RU 2697698C2
Authority
RU
Russia
Prior art keywords
packets
traffic
network
packet
rules
Prior art date
Application number
RU2017146208A
Other languages
English (en)
Other versions
RU2017146208A (ru
RU2017146208A3 (ru
Inventor
Александр Васильевич Зуйков
Игорь Федорович Душа
Равиль Фикратович Зулькарнаев
Original Assignee
Общество с ограниченной ответственностью "АСП Лабс"
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Общество с ограниченной ответственностью "АСП Лабс" filed Critical Общество с ограниченной ответственностью "АСП Лабс"
Priority to RU2017146208A priority Critical patent/RU2697698C2/ru
Publication of RU2017146208A publication Critical patent/RU2017146208A/ru
Publication of RU2017146208A3 publication Critical patent/RU2017146208A3/ru
Application granted granted Critical
Publication of RU2697698C2 publication Critical patent/RU2697698C2/ru

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Изобретение относится к области информационной безопасности. Технический результат заключается в ускорении обработки сетевого трафика, основанной на кластеризации данных при одновременной тщательной его фильтрации за счет того, что каждый пакет проходит проверку набору правил, а также выявления аномалий. Технический результат достигается за счет предварительного анализа входящего потока трафика о принадлежности трафика к ранее установленному соединению посредством блока управления входящими пакетами, разбора пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях посредством устройства глубокой фильтрации пакетов (DPI), разбиения полученных данных из пакетов на кластеры посредством блока кластеризации, принятия решения по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов посредством блока принятий решений, выявления отклонений сетевого трафика, который соответствует правилам обработки, от обычного профиля трафика пакетов посредством блока выявления аномалий, уточнения установленных правил для обработки сетевых пакетов посредством блока журнала регистрации. 1 з.п. ф-лы, 1 ил.

Description

Изобретение относится к области информационной безопасности, а именно к способу обработки сетевого трафика с использованием межсетевого экранирования, который может быть использован для предотвращения несанкционированного доступа и обмена информацией между различными пользователями компьютерных сетей.
По мере появлений новых приложений и сетевых технологий передача данных становится все более сложной. Фильтрация сетевого трафика с сохранением высокого уровня безопасности при появление новых сетевых атак становится все более многогранной задачей. Кроме того, по мере возрастания скорости сетевого соединения все сложнее осуществлять контроль сетевого трафика без потерь пропускной способности и производительности. Вышеизложенные проблемы требуют сетевого оборудования, построенного на новых принципах обработки сетевого трафика. Эти устройства должны обладать высокой пропускной способностью, чтобы не происходило потерь сетевых пакетов, а также не было негативного воздействия при их обработке. Известные межсетевые экраны предназначены для решения только некоторых из упомянутых проблем. Они могут работать на высоких скоростях, но при этом высока вероятность пропуска сетевой атаки, или могут тщательно анализировать сетевые пакеты при низкой производительности процесса обработки. Для решения вышеуказанных проблем предлагается способ обработки сетевого трафика с использованием межсетевого экранирования, в которой фильтрация сетевого трафика происходит по результатам кластеризации.
Известен межсетевой экран с фильтрацией трафика по мандатным меткам (RU 159041 U1, опубл. 27.01.2016), содержащий блок управления межсетевым экраном, осуществляющий принятие решений на основе правил фильтрации, на вход которого поступают сетевые пакеты; блок работы с мандатными метками, состоящий из блока разбора пакетов и блока принятия решения. На вход блока работы с мандатными метками с выхода блока управления межсетевым экраном поступает сетевой пакет и правила работы с сетевыми пакетами, содержащими мандатные метки, а на выход - решение на основе мандатных меток, которое передается на вход блока управления межсетевым экраном, после чего блок управления межсетевым экраном формирует окончательное решение о дальнейшем маршруте пакета.
Основным недостатком такого решения является то, что отдельно взятые категории одного уровня равнозначны, что приводит в большинстве случаев к избыточности прав доступа для конкретных субъектов в пределах соответствующих уровней. Также реализация устройств с политикой безопасности по мандатным меткам довольна сложна и требует значительных ресурсов вычислительной системы.
Известен автоматический межсетевой экран (RU 2580004 С2, опубл. 10.04.2016), представляющий собой совокупность аппаратных и программных средств, содержащий по меньшей мере два сетевых интерфейса, и позволяющий фильтровать транзитный трафик без назначения своим интерфейсам сетевых адресов. Данный межсетевой экран содержит процессор, реализующий алгоритм многоуровневой фильтрации сетевого трафика, базирующейся на анализе направления транзита трафика, определяемого по принадлежности входного и выходного сетевых интерфейсов, к разделяемым сегментам вычислительной сети, а также с учетом анализа состояний телекоммуникационных протоколов транзитного трафика, причем фильтрация трафика проводится на канальном, сетевом и транспортном уровнях. Межсетевой экран также выполнен с возможностью пропускать весь трафик по уже установленным соединениям.
Недостатком такого экрана является то, что отсутствует возможность кластеризации данных, что приводит к усложнению обработки данных.
Прототипом предлагаемого изобретения является система и способ подготовки к работе межсетевого экрана в сети, раскрытые в US 2015089628 А1, опубл. 26.03.2015. Решение по прототипу предусматривает средства для мониторинга использования сети, настройки фильтрации контента, планирования часов доступа для определенных сетевых устройств и определения того, какие сетевые устройства могут подключаться к глобальной сети. Доступ к WAN может быть предоставлен или заблокирован, или ограничен на основе каждого сетевого устройства, используя такие параметры, как, но не ограничиваясь ими, например, время суток, характеристики ограничения и классификация содержимого, обслуживаемого целевым ресурсом.
Недостатком данного решения является невозможность отслеживать аномалии в сетевом трафике. Кроме того, классификация содержимого пакетов не является эффективной, поскольку правила распределения объектов по группам заранее заданы по определенным признакам, и в них не могут быть учтены изменения, происходящие в сети, при внесении которых необходимо перераспределять все классификационные группировки.
Решаемая техническая задача, по настоящему изобретению, заключается в создании способы обработки сетевого трафика с использованием межсетевого экранирования, основанным на кластеризации данных и выявлении аномалий.
Техническим результатом предлагаемого изобретения является ускорение обработки сетевого трафика, основанной на кластеризации данных при одновременной тщательной его фильтрации за счет того, что каждый пакет проходит проверку набору правил, а также выявления аномалий.
Технический результат достигается за счет того, что способ обработки сетевого трафика с использованием межсетевого экранирования включает в себя: предварительный анализ входящего потока трафика о принадлежности трафика к ранее установленному соединению, разбор пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях, разбиение полученных данных из пакетов на кластеры, принятие решение по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов, выявление отклонений сетевого трафика, который соответствует правилам обработки, от обычного профиля трафика пакетов, уточнение установленных правил для обработки сетевых пакетов.
Изобретение поясняется чертежом, на котором представлена система межсетевого экранирования.
Согласно предлагаемому техническому решению, способ обработки сетевого трафика осуществляется с использованием системы межсетевого экранирования, структура которого показана на фиг. 1, содержащая процессор (1), машиночитаемый носитель (2), блок (3) управления, устройство (4) DPI (deep packet inspection - глубокая фильтрация пакетов), блок (5) кластеризации данных, блок (6) принятий решений, блок (7) памяти, блок (8) выявления аномалий, блок (9) журнала регистрации. В предпочтительном варианте изобретения система межсетевого экранирования также содержит графический пользовательский интерфейс (10).
Процессор (1) является процессором общего назначения и служит для выполнения инструкций обработки входящих пакетов на блок (3) управления и, хранящихся на машиночитаемом носителе (2). Машиночитаемый носитель может включать в себя любой носитель данных или средство связи, такие как, но не ограничиваясь ими, энергозависимые и энергонезависимые, съемные и стационарные носители, реализованные любым способом или технологией для хранения и/или передачи информации, такой как машиночитаемые инструкции для компьютера, структуры данных, программные модули или другие данные, в том числе RAM, ROM, EEPROM, флэш-память или другую технологию памяти, CD-ROM, цифровой универсальный диск (DVD) или другое оптическое запоминающее устройство (ЗУ), магнитные кассеты, магнитную ленту, ЗУ на магнитных дисках или другие магнитные запоминающие устройства или любой другой носитель, который может использоваться для хранения требуемой информации и к которому можно получить доступ с помощью системного устройства (процессора).
Блок (3) управления соединен с устройством (4) DPI и выполнен с возможностью предварительного анализа входящего потока трафика. Если установлено, что трафик принадлежит уже установленному соединению, то есть через блок (3) управления уже проходили такие пакеты с флагами SYN и АСК, то пакет может быть пропущен без фильтрации. В некоторых случаях это особенно важно, так как, например, задержка более чем на 150 миллисекунд неприемлема для двухсторонних голосовых разговоров и может произойти обрыв связи. Также может быть задан допустимый временной интервал отсутствия трафика, по умолчанию он обычно равняется 25 секундам. Если время будет превышено, то данный трафик будет относится к новому соединению. Кроме того, для каждого типа трафика и/или протокола по выбору пользователя может быть задан свой допустимый временной интервал отсутствия трафика. Блок (3) управления может быть также выполнен с возможностью буферизации данных для их временного хранения. В случае если пакет относится к новому соединению, то он направляется в устройство (4) DPI для разбора пакетов. Устройство (4) DPI осуществляет разбор пакетов со спецификацией протокола IP для получения данных на канальном, сетевом, транспортном и прикладном уровнях. Устройство (4) DPI способно извлекать все используемые протоколы приложений, туннелированные IP-адреса, имена пользователей, имена файлов, HTTP-ссылки и URL-адреса запроса, коды возврата сервера. Примерами данных могут служить: получение физических адресов хостов (MAC адрес), типа сетевого протокола (IPv4 и IPv6), IP-адреса хостов источника и назначения, тип транспортного протокола (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, а также LLC, значение сервисных флагов, значение TCP «окна». Примерами данных прикладного уровня могут быть протоколы удаленного доступа и совместного использования ресурсов, например, HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и др. Таким образом могут быть получены данные прикладного уровня, а также связанные с ними метаданные каждого сетевого пакета. Устройство (4) DPI имеет свои уникальные характеристики, которые занесены во встроенную базу данных сигнатур. Сопоставление образца из базы с анализируемым трафиком позволяет точно определить приложение или протокол. Но так как периодически появляются новые приложения и протоколы, то базу данных сигнатур также необходимо обновлять для обеспечения высокой точности идентификации.
Блок (5) кластеризации данных служит для разбиение данных пакетов на группы (кластеры) схожих объектов для упрощения дальнейшей обработки данных и принятий решений. При этом к каждой группе данных может применяться свой метод анализа. Блок (5) кластеризации данных может быть реализован на основе нейронных сетей.
Задачу кластеризации можно описать следующим образом. Пусть х - множество объектов (тип сетевого протокола, порт отправителя, порт получателя, название протокола и др.), у - множество номеров кластеров. Задана функция расстояния между объектами p(х, xi). Имеется конечная обучающая выборка объектов Хm={xi, …, xm)⊂Х. Требуется разбить выборку на непересекающиеся подмножества, называемые кластерами, так, чтобы каждый кластер состоял из объектов, близких по метрике р, а объекты разных кластеров существенно отличались. При этом каждому объекту xi∈Xm приписывается номер кластера yi.
Для группировки данных могут быть использованы любые известные алгоритмы, например, иерархический, k-средних, с-средних, послойная кластеризация, нейронная сеть Кохонена. Как уже указывалось схожесть объектов определяется расстоянием, которое может быть определено любым известным методом, например: евклидово расстояние, квадрат евклидова расстояния, манхэттенское расстояние, расстояние Чебышева, степенное расстояние.
Таким образом подобные входные данные группируются в кластеры, а также могут быть выделены нетипичные объекты, которые не удается присоединить ни к одному из кластеров, что помогает выявить сетевые аномалии. Количество кластеров может быть произвольным или фиксированным, при этом перечень кластеров четко не задан и определяется в процессе работы в зависимости от поступающих данных.
Блок (6) принятий решений принимает решение по кластеру на основе правил обработки сетевых пакетов. Функционирование системы межсетевого экранирования определяется набором правил, например, IPtables или Suricata, которые могут храниться в блоке (7) памяти. Для каждого кластера могут быть созданы и установлены свои правила обработки, отличные от других кластеров, иными словами могут быть созданы определенные цепочки, в которые будут перенаправляться кластеры для последующей обработки. Таким образом, достаточно создать одно общее правило для конкретного кластера, а затем перенаправлять из него кластеры в отдельные цепочки. Также могут быть перенаправлены кластеры из одной собственной цепочки в другую. Это позволяет оптимизировать обработку сетевого трафика, поскольку каждый пакет из кластера обрабатывается по своим правилам. Затем на основе принятого решения пакет может быть направлен в блок (8) выявления аномалий для дальнейшей проверки пакета или же отброшен. Кроме того, информация по любому пакету одновременно направляется в блок (9) журнала регистрации. Также система межсетевого экранирования может быть настроен так, чтобы пакеты не отбрасывались, а направлялись в блок (3) принятия решений с последующей повторной кластеризацией в случае, если были обнаружены какие-то несоответствия правилам. На основе временного хранения файлов в буфере (на чертеже не обозначен) блок (1) управления может установить, что такой пакет уже проходил и поставить отметку, чтобы при повторной кластеризации он бы попал в другой кластер. И уже только после повторной обработки были отброшены. Периодически осуществляется уточнение установленных правил обработки сетевого пакета в зависимости от проходящего трафика и образующихся кластеров.
Блок (8) выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Примерами аномалий могут являться внезапное увеличение интернет-трафика (в том числе и в ночное время суток), изменение структуры трафика (например, увеличение шифрованного SSL трафика) в сравнении с обычными ежедневными показателями или же отличие пары: IP и порт от обычной и др. Вся информация об обычном трафике может храниться в блоке (9) журнала регистрации на основе которой может происходить обучение блока (8) выявления аномалий. Если пакет не содержит никаких аномалий, то он отправляется в блок (3) управления для дальнейшей маршрутизации, в ином случае он отбрасывается.
В предпочтительном варианте изобретения система межсетевого экранирования содержит графический пользовательский интерфейс (10). В этом случае, если пакет содержит аномалии, он не отбрасывается, а направляется в графический пользовательский интерфейс (10), где он будет проверяться системным администратором. Всю информацию о сетевом трафике системный администратор может взять непосредственно из блока (9) журнала регистрации, он также может пропустить пакет вручную и направить его в блок (3) управления, а затем внести уточнении о пакете в блок (9) журнала регистрации.
Блок (9) журнала регистрации собирает данные о каждом пакете (в том числе и отброшенных), которые поступают из блока (6) принятия решений. Эти данные также могут быть получены от устройства DPI. В предпочтительном варианте изобретения эти данные представляют собой метаданные. Хранение метаданных без реального контента составляет приблизительно 1/100 степени сжатия по сравнению с необработанным сетевым трафиком и значительно увеличивает количество хранимой информации о пакетах.
Преимуществом предлагаемого изобретения является также то, что информация о выявленных нетипичных пакетах в блоке (5) кластеризация может быть сразу направлена в блок (9) журнала регистрации, которая может быть использована для обучения блока (8) выявления аномалий.
Ниже приведен пример осуществления способа согласно изобретению.
Машиночитаемый носитель (2) содержит набор инструкций исполняемые процессором (1) для осуществления способа обработки сетевого трафика. Когда сформированный IP-пакет попадает в систему межсетевого экранирования осуществляется предварительный анализ поток трафика блоком (3) управления. Если в результате анализа установлено, что пакет трафика принадлежит уже установленному соединению, то он пропускается без фильтрации. В ином случае он направляется в устройство (4) DPI для разбора пакета. Устройство блок (4) ОР1осуществляет разбор пакета на канальном, сетевом, транспортном и прикладном уровнях для получения множества данных, характеризующих пакеты, а именно: физические адреса хостов (MAC адрес), типы сетевых протоколов (IPv4 и IPv6), IP-адреса хостов источника и назначения, типы транспортных протоколов (IP, ICMP, RIP, DDP, ARP и др.), номера портов источника и назначения, LLC, значение сервисных флагов, значение TCP «окна», а также протоколов HTTP, SMTP, FTP, HTTPS, TELNET, SSH, DNS и др. Полученные данные направляются в блок (5) кластеризации. В указанном блоке подобные данные группируются на кластеры. Если в процессе кластеризации будут выявлены объекты, которые не удается присоединить ни к одному из кластеров, то все данные таких объектов направляется в блок (9) журнала регистрации. Далее кластеры направляются в блок (6) принятия решений. По каждому пакету в кластерах принимается решение на основе правил обработки сетевых пакетов, которые могут храниться в блоке (7) памяти. Как уже было указано, для каждого кластера могут быть установлены свои правила обработки. Кроме того, они также могут быть уточнены системным администратором. Каждый пакет из кластера проходит обработку в соответствии с правилами, на основе которых принимается решение о пропуске или блокировки пакета. Если пакет соответствует всем правилам, то он направляется для дальнейшей проверки в блок (8) выявления аномалий, в ином случае пакет отбрасывается. Также информация о каждом пакете из блока (6) принятий решение поступает в блок (9) журнала регистрации. Блок (8) выявления аномалий выявляет существенное отклонение сетевого трафика от обычного профиля трафика. Анализ аномалий предполагает наличие обучения и статистический анализ для построения и обновления обычного трафика. Обучение происходит на основании данных блока (9) журнала регистрации, которые поступают из блока (5) кластеризации и блока (6) принятия решений. По результатам проверки пакет может быть отправлен для дальнейшей маршрутизации в блок (3) управления, если в нем не задержится отклонений или же пакет может быть отброшен, или, как указывалось выше, перенаправлен в графический пользовательский интерфейс (10), где он будет проверяться системным администратором в соответствии с информацией, находящейся в блоке (9) журнала регистрации. Специалисту в данной области техники должно быть понято, что системный администратор может пропустить пакет ранее отброшенной блоком (6) принятия решений или блоком (8) выявления аномалий, а также вносить изменения в блок (9) журнала регистрации и блок (7) хранения, касающиеся содержимого обычного трафика и уточнение или создание новых правил обработки пакета соответственно.

Claims (8)

1. Способ обработки сетевого трафика с использованием межсетевого экранирования, включающий в себя:
предварительный анализ входящего потока трафика о принадлежности трафика к ранее установленному соединению посредством блока управления входящими пакетами,
разбор пакетов для получения данных из пакетов на канальном, сетевом, транспортном и прикладном уровнях посредством устройства глубокой фильтрации пакетов (DPI),
разбиение полученных данных из пакетов на кластеры посредством блока кластеризации,
принятие решение по каждому пакету в кластерах на основе установленных правил обработки сетевых пакетов посредством блока принятий решений,
выявление отклонений сетевого трафика, который соответствует правилам обработки, от обычного профиля трафика пакетов посредством блока выявления аномалий,
уточнение установленных правил для обработки сетевых пакетов посредством блока журнала регистрации.
2. Способ по п. 1, отличающийся тем, что обновление обычного трафика осуществляется на основе кластеризации данных и принятия решения по каждому пакету.
RU2017146208A 2017-12-27 2017-12-27 Способ обработки сетевого трафика с использованием межсетевого экранирования RU2697698C2 (ru)

Priority Applications (1)

Application Number Priority Date Filing Date Title
RU2017146208A RU2697698C2 (ru) 2017-12-27 2017-12-27 Способ обработки сетевого трафика с использованием межсетевого экранирования

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
RU2017146208A RU2697698C2 (ru) 2017-12-27 2017-12-27 Способ обработки сетевого трафика с использованием межсетевого экранирования

Publications (3)

Publication Number Publication Date
RU2017146208A RU2017146208A (ru) 2019-06-28
RU2017146208A3 RU2017146208A3 (ru) 2019-07-17
RU2697698C2 true RU2697698C2 (ru) 2019-08-16

Family

ID=67209754

Family Applications (1)

Application Number Title Priority Date Filing Date
RU2017146208A RU2697698C2 (ru) 2017-12-27 2017-12-27 Способ обработки сетевого трафика с использованием межсетевого экранирования

Country Status (1)

Country Link
RU (1) RU2697698C2 (ru)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2786178C1 (ru) * 2022-06-01 2022-12-19 Акционерное общество "Научно-производственное предприятие "Цифровые решения" Способ отслеживания сессий в сетевом трафике

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040093513A1 (en) * 2002-11-07 2004-05-13 Tippingpoint Technologies, Inc. Active network defense system and method
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
US7472414B2 (en) * 2002-01-24 2008-12-30 Arxceo Corporation Method of processing data traffic at a firewall
US20090328187A1 (en) * 2006-03-03 2009-12-31 Art of Defense GmBHBruderwohrdstrasse Distributed web application firewall
RU2472217C1 (ru) * 2012-02-03 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)
US20150089628A1 (en) * 2013-09-24 2015-03-26 Michael Lang System and Method for Provision of a Router / Firewall in a Network
RU2014108627A (ru) * 2014-03-06 2015-09-20 Андрей Витальевич Михайлов Автоматический межсетевой экран
RU159041U1 (ru) * 2015-02-18 2016-01-27 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" ЗАО "НПО "Эшелон" Межсетевой экран с фильтрацией трафика по мандатным меткам
US20160366160A1 (en) * 2000-09-25 2016-12-15 Blue Coat Systems, Inc. Systems and Methods for Processing Data Flows

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160366160A1 (en) * 2000-09-25 2016-12-15 Blue Coat Systems, Inc. Systems and Methods for Processing Data Flows
US7472414B2 (en) * 2002-01-24 2008-12-30 Arxceo Corporation Method of processing data traffic at a firewall
US20040093513A1 (en) * 2002-11-07 2004-05-13 Tippingpoint Technologies, Inc. Active network defense system and method
US20090328187A1 (en) * 2006-03-03 2009-12-31 Art of Defense GmBHBruderwohrdstrasse Distributed web application firewall
RU2314562C1 (ru) * 2006-03-21 2008-01-10 Федеральное государственное научное учреждение Научно-исследовательский институт "СПЕЦВУЗАВТОМАТИКА" Способ обработки дейтаграмм сетевого трафика для разграничения доступа к информационно-вычислительным ресурсам компьютерных сетей
RU2472217C1 (ru) * 2012-02-03 2013-01-10 Федеральное государственное военное образовательное учреждение высшего профессионального образования "Военная академия связи имени маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ обработки дейтаграмм сетевого трафика для защиты информационно-вычислительных сетей (варианты)
US20150089628A1 (en) * 2013-09-24 2015-03-26 Michael Lang System and Method for Provision of a Router / Firewall in a Network
RU2014108627A (ru) * 2014-03-06 2015-09-20 Андрей Витальевич Михайлов Автоматический межсетевой экран
RU159041U1 (ru) * 2015-02-18 2016-01-27 Закрытое Акционерное Общество "Научно-Производственное Объединение "Эшелон" ЗАО "НПО "Эшелон" Межсетевой экран с фильтрацией трафика по мандатным меткам

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
RU2786178C1 (ru) * 2022-06-01 2022-12-19 Акционерное общество "Научно-производственное предприятие "Цифровые решения" Способ отслеживания сессий в сетевом трафике
RU2812087C1 (ru) * 2023-06-02 2024-01-22 Общество с ограниченной ответственностью "ИнфоВотч АРМА" Система и способ анализа входящего потока трафика

Also Published As

Publication number Publication date
RU2017146208A (ru) 2019-06-28
RU2017146208A3 (ru) 2019-07-17

Similar Documents

Publication Publication Date Title
US10735379B2 (en) Hybrid hardware-software distributed threat analysis
EP3420487B1 (en) Hybrid hardware-software distributed threat analysis
US11032190B2 (en) Methods and systems for network security universal control point
US10484278B2 (en) Application-based network packet forwarding
US9860154B2 (en) Streaming method and system for processing network metadata
US7742406B1 (en) Coordinated environment for classification and control of network traffic
US7610330B1 (en) Multi-dimensional computation distribution in a packet processing device having multiple processing architecture
KR101409563B1 (ko) 애플리케이션 프로토콜 식별 방법 및 장치
CN105591973B (zh) 应用识别方法及装置
US20130294449A1 (en) Efficient application recognition in network traffic
US20140059216A1 (en) Methods and systems for network flow analysis
Sung et al. Large-scale IP traceback in high-speed internet: practical techniques and information-theoretic foundation
CN111953552B (zh) 数据流的分类方法和报文转发设备
KR102050089B1 (ko) 적응적 룰셋 세팅을 수행하는 네트워크 보안 시스템 및 그 방법
CN111222019B (zh) 特征提取的方法和装置
Lopez et al. Collecting and characterizing a real broadband access network traffic dataset
US7907543B2 (en) Apparatus and method for classifying network packet data
Mazhar Rathore et al. Exploiting encrypted and tunneled multimedia calls in high-speed big data environment
US20160277293A1 (en) Application-based network packet forwarding
RU2697698C2 (ru) Способ обработки сетевого трафика с использованием межсетевого экранирования
US20220029909A1 (en) Edge networking devices and systems for identifying a software application
Lukashin et al. Distributed packet trace processing method for information security analysis
RU2691192C1 (ru) Система межсетевого экранирования
KR20190130766A (ko) 네트워크 보안 방법 및 이를 수행하는 시스템
RU181257U1 (ru) Межсетевой экран на основе кластеризации данных