TW201032542A - Network intrusion protection - Google Patents

Network intrusion protection Download PDF

Info

Publication number
TW201032542A
TW201032542A TW098135481A TW98135481A TW201032542A TW 201032542 A TW201032542 A TW 201032542A TW 098135481 A TW098135481 A TW 098135481A TW 98135481 A TW98135481 A TW 98135481A TW 201032542 A TW201032542 A TW 201032542A
Authority
TW
Taiwan
Prior art keywords
packet
intrusion
received packet
received
forwarding
Prior art date
Application number
TW098135481A
Other languages
English (en)
Inventor
David Allen Dennerline
Hubertus Franke
David Paul Lapotin
Terry Lee Ii Nelms
Hao Yu
Original Assignee
Ibm
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ibm filed Critical Ibm
Publication of TW201032542A publication Critical patent/TW201032542A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/54Store-and-forward switching systems 
    • H04L12/56Packet switching systems
    • H04L12/5601Transfer mode dependent, e.g. ATM
    • H04L2012/5603Access techniques
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

201032542 六、發明說明: 【發明所屬之技術領域】 本發明大體而言係關於網路保全,且更具體而言係關於 一種監視一電腦網路中之傳入之封包及訊息流的侵入保護 系統。 本申凊案係關於2007年6月7曰申請之題為「用於網路侵 入保護之系統、方法及程式產品(SyStem,Method and
Program Product for Intrusion Protection of a Network)」之
由序號11/759,427識別的美國專利申請案,該案之内容以 引用的方式併入本文中。 【先前技術】 可將具有SNORTtm侵入分析引擎或網際網路保全系統 侵入分析引擎之已知侵入防止系統(「ips」)插入於 網路段之間。舉例而言,可將IPS安裝於電腦網路之防火 牆或閘道器中。IPS可針對諸如病毒及蠕蟲病毒(「惡意軟 體」)、試圖利用諸如緩衝器溢位之弱點、網路政策違規 及/或阻斷服務攻擊之侵入來分析傳入之訊息封包。若as 债測到封包中之侵人,則IPS可自動封鎖/丢棄該封包,封 鎖與該封包相關聯之訊息流,且/或通知管理者。管理' 可進一步分析通知細節,且若他或她判定該通知與侵入相 關聯,則可改變防火牆之組態以封鎖侵入者,將事S報二 給有關當局,收集法庭證據,清除任何受損主機,D 聯繫作為攻擊源之網路之管理者。 1气 傳入之封包之速率偶爾會大於IPS可處理(亦 |,針對侵 143843 .doc 201032542 入來分析)該等封包的速率。在此狀況下,奶可丢棄或通 過其不能處理之過多封包。若封包並非惡意的但歸因於超 載而被丟棄(未分析),則此情況可表示重要資料、請求或 其他通信之丢失。若封包為惡意的但歸因於超載而通過 IPS(未分析)’則此情況可損害目的地網路上之器件。為減 輕此風險,在1PS與目的地網路之間可存在將封鎖一些潛 在惡意封包之防火择。μ …封包不匹配於准許訊息流(亦 即’源IP位址、源埠、目 目的地IP位址 '目的料及協定之 二,來二火牆將封鎖該封包’但可能不針對病毒或螺 ί病毒來刀析該封包或者_試圖利用弱點或封鎖服務攻 【發明内容】 本發明之實施例提供在— 中使用之改良技術。··輯知入防止系統或其類似者 舉例而言,在一實施例中,一 ^ 種方去包含由一網路之一 汁算兀件執仃以下步驟。接表 水h H义 〇R似机之—封包,該訊息 ^含複數個封包,其中該複數個封包表示該網 料。判定一網路侵入分析成本效益值, 、 ^ ^ κ * _ . ., ,、周路侵入分析成 本益值表不與針對侵入來分析該所接收之封包之成本有 關的針對侵人來分析該所接收之封包之效益 限值,以判定在轉發該所二:=分析成本效益臨 嗲所接#夕·^ θ 之封包之前針對侵入來分析 該所接收之封包是否經批准。 包之前斜Λ A Υ 應於在轉發該所接收之封 對“來分析該所接收之封包未經批准的一判 143843.doc 201032542 定,轉發該所接收之封包,作出應轉發該訊息流之後續封 包之一指示,且在轉發該所接收之封包之後作出該所接收 之封包疋否指示一侵入的一判定。 • 另外,回應於在轉發該所接收之封包之前針對侵入來分 . ㈣所接收之封包經㈣的-敎,可對該所接收之封= 是否指示-侵人作出判定n應於該所接收之封包不 指示一侵入的一判定,可轉發該所接收之封包。 鲁 再另外,回應於該所接收之封包指示一侵入的—判定, 可丟棄該所接收之封包且可作出應丟棄該訊息流之後續封 包的一指示。 本發明之此等及其他目標、特徵及優勢將自本發明之說 明性實施例的以下詳細描述變得顯而易見,此詳細描述應 結合隨附圖式來閱讀。 【實施方式】 雖然下文將在特定侵入防止系統(IPS)之情況下描述本發 Φ 明之說明性實施例,但應理解’本發明之原理不限於所說 明性描述之特定IP S架構’而是更一般地適用於任何侵入 防止、保護及/或偵測系統中。為易於引用,將大體上將 任何此種系統稱作侵入防止系統或簡單地稱作IPS。 本發明之原理現將描述如下。在章節I中,將描述如在 識別為序號11/759,427之上文引用之美國專利申請案中揭 示的IPS之說明性實施例。將接著在章節II中描述解決關於 IPS可能產生之其他問題之替代性說明性實施例。 I.說明性IPS管理 143843.doc 201032542 圖1說明大體上指定為loo之分散式電腦系統(網路),本 發明之原理可併入其中。源電腦12〇包括:位於匯流排125 上之中央處理單元(CPU)121、作業系統(〇/s)122、隨機存 取記憶體(RAM)123及唯讀記憶體(r〇m)124 ;儲存器126及 用於網際網路130之TCP/IP配接卡128。源電腦120亦包括 應用程式127,該應用程式127產生定址至目的地子網路 170或目的地電腦160之資料、請求或其他訊息。根據本發 明之原理,源電腦120經由不受信任網路130(諸如網際網 路)耦接至子網路170及侵入防止系統(「IPS」)140。IPS 140可駐留於網路之計算元件(諸如,用於子網路ι7〇之防 火牆或閘道器件)中,或駐留於網路之「直插」互連於網 路130與用於子網路170之路由器150之間的計算元件中(如 圖1中所示)。目的地電腦160包括:位於匯流排165上之 CPU 161、作業系統162、RAM 163及ROM 164 ;儲存器單 元166及TCP/IP配接卡168。目的地電腦160亦包括應用程 式167 ’該應用程式167處理由源電腦120(及未展示之其他 源器件)發送之資料、請求或其他訊息。IPS !4〇包括:位 於匯流排145上之CPU 141、作業系統142、RAM 143及 ROM 144 ;及儲存器單元146。 如此前所提及,本發明之實施例可連同電腦可讀儲存媒 體或其它電腦程式產品實施於諸如源電腦12〇、IPS 14〇及/ 或目的地電腦160之一或多個電腦中。在此等實施例中, 如本文中所描述,應用程式(例如’應用程式127、程式 147、侵入分析引擎152或應用程式167)或其軟體組件(包括 143843.doc 201032542 ;執行本發明之方法之指令或程式碼)可儲存於一或多 個相關聯的儲存器件(例如,ROM 124、144或164及/或儲 子單元126、146或166)中且在準備好被使用時可全部或部 分被載入(例如’載入至RAM 123、143或163中)且由一或 多個處理器(例如,CPU 121、141或161)執行。 源電腦120亦包括侵入分析引擎152(實施於軟體及/或硬 體中),該侵入分析引擎152分析傳入之封包以偵測且封鎖 φ 諸如病f、蠕蟲病毒之侵入或其他試圖利用目的地電腦中 之弱點或引起阻斷服務攻擊的封包。侵入分析引擎152亦 可封鎖具有諸如色情内容及垃圾内容之不良内容之訊息。 舉例而言,已知SNORT™侵入分析引擎基於每一封包中 之簽名或其他位元型樣來偵測封包中之侵入。 作為另一實例,已知之網際網路保全系統PAMtm侵入分 析引擎基於簽名及型樣、脆弱主機模擬、已知惡意行為、 訊務異$、協定異常及其他類型之利用來偵測封包中之侵 • 入。PAMTM冑人分析引擎判定且仿真在請求電腦及目的地 器件兩者處的應用程式之狀態,且判定當前封包是否將利 用目的地電腦中之已知弱點。舉例而言,若目的地器件為 web/HTTP(超文字傳送協定)祠服器且Tcp串流⑷含 有比web伺服器之統一資源定位器(^^幻緩衝器大小長的 URL,則PAMTM侵入分析引擎將此視為請求者試圖利用弱 點,因為其將引起web伺服器中的緩衝器溢位。作為另一 實例,若目的地器件為web/HTTp伺服器,請求者進行請 求且web伺服器以具有過長標籤之超文字標示語言 143843.doc 201032542 網頁作出回應’則PAMtm侵入分析引擎將此視為由web伺 服器試圖利用弱點,因為其將引起請求者之web瀏覽器中 之標籤緩衝器溢位。pAMTM侵入分析引擎亦偵測假定為惡 意之不正常網路訊務,諸如遠端Micr〇s〇ft Wind〇ws殼層請 求、未授權之嘗試存取根目錄或在資料襴位中對標準查詢 語言(SQL)請求之SQL注入β pAMTM侵入分析引擎亦偵測不 正常或不必要的加密、混亂化或其他使侵入模糊之技術。 PAMtm侵入分析引擎亦偵測訊務異常,諸如不正常網路映 射,其包括試圖藉由不正常的大量連接請求來識別開放 埠。 IPS 140亦包括根據本發明之原理之侵入防止管理程式 147(實施於硬體及/或軟體中),該侵入防止管理程式147基 於各種因素判定每一傳入之訊息封包之複合得分。複合得 分愈高,由侵入分析引擎152進行之分析之預計的或可能 的效益/成本比愈大。一潛在效益係對侵入之偵測。成本 可為針對侵入來分析封包之時間/負擔。作為實例,複合 得分係基於以下效益及成本因素: ⑷協定類ms具有較多㈣聯之弱點或較高風險 弱點’則分析具有此協定之封包將有較大可能效益,且因 此有較高複合得分。此因素之權重係基於每一協定之已知 及可能的弱點之數目及嚴重性。 (b)對分析定址至用戶可視為極為重要或敏感之特定目 的地器件之特定類型之封包的好偏好。若用戶已指示特 定目的地器件極為重要及/或敏感,則此將提高定址至此 143843.doc -10· 201032542 目的地器件之封包之複合得分,因為效益將較高。此因素 之權重係基於目的地器件之重要性及/或敏感性。 (c) IPS 140或侵入分析引擎152是否能夠分析封包。若非 如此,則複合得分較低。 (d) 目的地電腦是否包括其自身之侵入分析引擎。若是 如此,則複合得分將較低,因為lps 14〇係部分或完全冗 餘的,且在IPS 140中進行侵入分析的效益並非如此大。 此因素之權重係基於目的地電腦處之侵入分析引擎(若存 ® 在)的有效性。 (e) 封包是否含有有效負載或僅為應答(無有效負載)。若 不存在有效負載,則將降低複合得分,因為封包中不含有 應用協定且進行侵入分析之效益為低的。舉例而言,若封 包為TCP應答封包但不含有有效負載,則封包試圖利用目 的地器件中之弱點的可能性很小。 ⑴封包是否經結構化以阻礙由IPS進行之偵測。若是如 ❿ 此則增加侵入分析之效益,因為封包更可能為侵入。 (g) 與當前封包相關聯之整個訊息流之位元組計數。若 該訊息流之位兀組計數為大的,則此將降低複合得分,其 中利用可易於或可能稿後在會話中發生之協定及構案類型 除外。 (h) 如!入分析引擎152是否知曉基於狀態之訊息流之當前 狀態。右非如此,則程式147將降低該訊息流上之當前封 包之複合得分,因為程式147不能有效地評估當前封包, 因此侵入分析有較低效益。 143843.doc 201032542 每一因素之權重反映該因素影響進行侵入分析之效益/ 成本的程度。複合得分愈低,由侵入分析引擎152完全分 析封包之效益/成本比愈低。若複合得分低於複合得分之 適用臨限值,則程式147將在未由侵入分析引擎152進行分 析之情況下將封包自動傳遞至向目的地電腦的下一途中躍 點。此可被稱為「快速轉發」該封包。然而,若複合得分 大於或等於複合得分之適用臨限值,則程式147通知侵入 分析引擎152完全分析該封包。 舉例而言,先前提及之準則(a)至(h)中之每一者可由封 包P之函數表示,使得A(P) .. H(P)產生一值。接著(例如) 藉由公式CV(P)=A(p)+B(P)+..+H(p)計算複合值cv(p)。視 此等準則中之每一者之緊要程度而定,個別函數可傳回在 不同範圍中之值。或者,可經由評估各種準則之決策樹來 判定複合值。熟習此項技術者將理解,假設具有不同重要 性之一組準則,存在許多方式來導出單一複合值,且此等 不同方法之使用係在本發明的精神中。 若侵入分析引擎152偵測到惡意行為或以其他方式判定 與封包相關聯之高風險,則侵入分析引擎152將丟棄該封 包。否則,引入分析引擎152將通知程式147該封包並非惡 意的。作為回應,程式147將將封包轉發至路由器15〇以根 據已知選路凟异法選路投送至向目的地子網路或目的 地電腦160的下一途中躍點。對每一封包之複合得分之判 定花費比侵入分析引擎丨5 2針對侵入來分析封包將需要的 時間短得多的時間。此允許IPS 14〇之更大輸送量且減輕 143843.doc -12· 201032542 IPS 140之超載。 除判定每一封包之複合得分以外,若侵入分析引擎i52 發現一訊息流上之惡意封包,則程式147將自動封鎖/丟棄 同一訊息流上之所有隨後接收到的封包。此與針對此封包 指派最咼複合得分具有類似效應,但不需要程式14了叶算 複合得分® 程式147亦基於傳入之封包之與ips 14〇可對其進行處理
之速率相比的速率來動態地調整複合得分之臨限值。若傳 入之封包之速率大於IPS 140(包括程式147及侵入分析引擎 152)可對其進行處理的速率,則程式147將增加複合得分 之臨限值以使得(統計上)更多封包將通過⑽益需由 侵入分析引擎152進行的完全、耗時之分析。此將減少奶 ho中之積存(baeklog)且允許lps 14g趕上傳入之封包之速 率。相反’若傳入之封包之速率顯著低於IPS 140(包括程 式147及分㈣擎152)可對其進行處理的速率,則程式⑷ 將減小複合得分之臨限值以使得(統計上)更多封包將由侵 入分析引擎i52分析。此將增加安全性而不會使⑽⑽超 載0 圖2更詳細地說明侵入防止管理程式!47之功能及操作以 及相關聯之功能。在步驟2〇〇中,㈣14〇接收封 等待由程式U7處理之封包。作為回應,程式147剖析封包 且識別封包之與判定福入搵 之Μ 是否應自動丢棄封包有關 η包含封包之特定開放系統互連⑽和 層協疋、封包之料⑽第4層協片段欄位是否係針 143843.doc •13- 201032542 對TCP而叹疋、封包是否僅為無有效負載之應答、封包是 ㈣加密’及與封包相關聯之訊息流之識別碼(步驟202)。 程式147基於貝料鏈路協定之標頭中之類型欄位(例如,乙 太網路標頭中之類型欄位)判定第3層協定。程式147基於 網路敎之標頭中之協定欄位(例如,Π>ν4之協定攔位)判 定OSI第4層協m片段欄位基於協定之類型而位於封包 標頭中之已知位置。程式147基於在IP標頭中指定之封包 之、’息長度來判定封包是否僅為無有效負載的應答。源卩位 址、源琿、目的地1P位址、目的地埠、⑽第4層協定及 (視情況)虛擬區域網路(VLAN)識別符(id)屬性識別此封包 為其部分之訊息流。程式147執行步驟搬而不起始封包之 侵入分析,亦即,不針對(諸如,由如上文所描述之 PAM 入分析引擎提供的)侵入之簽名或型樣或者試圖利 用或阻斷服務攻擊之其他特性來分析封包。 接下來程式147判定此封包是否具有以訊息流為基礎 之協定,亦即,涉及雙向通信之協定(決策2〇4)。通常,雙 向通信包括通信之建立、請求、回應及通信之關閉。以訊 息流為基礎之協定之實例為Tcp、使用者資料報協定 (UDP)(在應用層以訊息流為基礎時),及串流控制傳送協 定(SCTP)。諸如位址解析協定(ARp)及網際網路控制訊息 協定(ICMPv6)之其他協定並非以訊息流為基礎,且通常用 於廣播及/或單向通信,諸如位址解析或錯誤報告。如以 下更詳細地描述,對於以訊息流為基礎之協定程式147 部分地基於同一訊息流中之其他先前所接收之封包判定同 l43S43.doc -14 - 201032542 一訊息流中的封包之複合得分(或是否將自動丟棄同一訊 息流中之隨後所接收之封包)。若封包以訊息流為基礎(決 策204的是分支)’則程式147判定此封包是否為相關聯之 訊息流中之第-封包(決策210)。若封包之協定以訊息流為 基礎且此封包為該訊息流中之第一封& (決策21〇的是分 支),則程式147定義具有針對該協定之預設屬性之新訊息 流(步驟212)。 、
作為實例,針對TCP訊息流之預設屬性可包含:為零之 位元組計數(意謂在此時,尚未分析此訊息流上之位元 組)、源IP位址及埠、目的地抒位置及埠、協定類型、此訊 息流中被丟棄之封包之數目等於零(意謂在此時,尚未丟 棄該訊息流之位元組)、指示此訊息流在此時未被封鎖之 旗標、端節點中之任—者是否具有侵入分析引擎,及用戶 對任-端節點中之增高之複合得分/安全性的偏好。針對 醫之預設屬性可與Tcp相同。若此封包為在以訊息流為 基礎之訊息中所接收之第二或後續封包(決策21〇的否分 支)’則程式147提取與此封包相關聯之訊息流定義(步驟 22〇)°該訊息流定義係在決策210及步驟212之先前反覆中 定義的。 程式14 7檢查該訊息流之屬性值以判定 226)是否指示將自動& 、 勒去棄此afl息流而不進行其他評估(步驟 228)。舉例而言,# 同一訊息流中之先前封包由分析引擎 15 2判定為惡意的(決笛 (决威226),則將自動丟棄同一訊息流中 之所有隨後所接收> h μ 子匕(步驟228)。若是如此(決策226的 143843.doc 15 201032542 是分支),則程式147丟棄該封包(步驟228)。若非如此(決 策226的否分支)’則程式147判定封包之複合得分(步驟 23 0)。複合得分係基於如上文所描述之預計的或可能的效 益/成本比。 再次參看決策204的否分支,其中封包之協定並非以訊 息流為基礎。在此狀況下,程式147自決策2〇4直接進行至 步驟23 0以判定封包之複合得分(如上文所描述)。 在步驟230之後,程式147比較封包之複合得分與複合得 分之當前臨限值(步驟240)。若複合得分小於當前臨限值 〇 (決策240的否分支)’則程式147不起始封包之侵入分析, 且改為更新相關聯之訊息之訊息流屬性(步驟242)。舉例而 言,在步驟242中,程式147更新已接收的訊息之位元組之 數目而不偵測侵入。 接下來,程式丨47判定傳入之封包之當前速率是否在較 低封包速率臨限值以下(決策244) ^程式147藉由排入佇列 之封=之數目來判定傳入之封包的當前速率。若傳入之封 包之當前速率在較低封包速率臨限值以下(決策Μ的是分❹ 支)則程式147降低複合得分之當前臨限值(步驟246)。藉 由降低複合得分之當前臨限值’統計上更多後續封包將超 過該臨限值且由侵人分析引擎152分析。耗此將使ips 140減速’但其將增加安全性且可由㈣_適應。在針對 封包之類型的當前條件下,Ips 14〇可分析更多傳 ^之封包且仍然跟上與傳入之封包。若傳入之封包之當前 、率大於或等於較低封包速率臨限值(決策244的否分支), 143843.doc -16- 201032542 則程式147不降低複合值之當前臨限值。 接下來’程式Μ7將封包傳遞至路由器15〇以根據封包進 入該系統之處的埠及路由!!之已知選路協定將未經分析的 封包選路投送至下一躍點。此被視為封包之「快速轉 發」。在所說明之實例中,下一躍點為子網路17〇。作為回 應,路由器150判定下一躍點且將未經分析之封包轉發至 對子網路m的防火牆172(或其他閘道器)。在檢查目的地 IP位址、應用程式識別符或封包之標頭中所含有之盆他目 的地標結之後,防火牆(或其他閘道器)172將封包轉發至目 的地電腦160。 '再次參看決策240的是分支,纟中封包之複合得分大於 f等於複合得分之當前臨限值。在此狀況下,程式147判 =傳入之封包之速率是否大於⑽140(包括程式147及侵入 :析引擎152)可對其進行處理的速率(決策25〇)。程式Μ? 藉由對已在封包快取記憶體i 49中累積的等待由程式】47處 子匕之數目a十數來作出此判定。若封包快取記憶體 二9中等待處理之所累積封包之數目在預定臨限值以上(或 右快取記憶體149被填充了預定百分比以上的其容量)(決策 2 5 0的是公士、 叉),則程式147增加複合得分的臨限值(步驟 252):右是如此,則(統計上)程式147隨後將經由IPS 14〇 、夕封包傳遞至目的地器件而無需由侵入分析引擎152 4 Θ的耗時分析。此將減少IPS 140之處理時間,且因此 = 14〇中之積存且允許lps 14〇趕上傳入之封包的當 前速率。田i > 馬在決策240中發現複合得分在複合得分之臨 143843.doc •17· 201032542 限值以上,所以程式147通知侵 入分析引擎152針對侵入來
加複合得分之臨限值。
來,程式147如上文所描述進行至決策244至。 侵入防止管理程式147在其實施於軟體中的意義上可自 諸如磁碟或磁帶 '光學媒體、DVD、記憶棒等之電腦可讀 儲存媒體180載入至IPS電腦wo中或經由Tcp/Ip配接卡148 自網際網路130下載。 侵入分析引擎152在其實施於軟體中的意義上可自諸如 磁碟或磁帶、光學媒體、DVD、記憶棒等之電腦可讀儲存 媒體180載入至IPS電腦140中或經由TCP/IP配接卡148自網 際網路130下載。 II·替代性IPS管理 如上文所提及,視系統而定’ ips可花費大量時間來檢 驗個別封包。此又可導致通過IPS之封包之延遲,其可具 有不利影響,諸如網際網路協定語音(VoIP)電話呼叫上之 抖動。因此,IPS常常設定最大延遲以避免此等不利影 響。一旦封包已在系統中達到其最大延遲(例如,歸因於 排入佇列),即丟棄或所謂的快速轉發該封包,亦即,允 許該封包通過而無需封包檢驗之完成或相稱(如上文所解 143843.doc -18· 201032542 釋)。在特定情形下,此可與ips之主要目的(即,檢驗每個 封包)相反。 同樣如上文所提及,最新式IPS維持關於(例如)由Tcp/ip 連接建立之連接之狀態且試圖關於端點儘可能多地推斷, 接著,該等IPS仿真在端點處的軟體堆疊且試圖縮減在該 等端點處之已知利用。將具有此本質之連接稱作訊息流。 舉例而言,可針對諸如標籤失配之潛在違規來檢驗網頁之 全部内容。網頁係作為封包序列加以傳送,且需要儘可能 快地識別侵人。在此等情境下m未檢驗此訊息流之 單一封包,則歸因於先前内容之吾失或與檢驗此單一封包 相關聯的狀態(其已被轉發以確保最大潛時要求)之缺乏而 不能檢驗整個後續封包序列。此又可實質上增加通過系統 之未經檢驗之封包的數目。以下事實進一步加劇該情形·· 封包常常歸因於TCP/IP協定之性質而在叢發中到達,且因 為狀態性檢驗需要同-訊息流上之封包序列之串列化檢 驗,所以潛在延遲可有效地由一叢發之所有封包之處理時 間的和來定義。 因此,提供在服務參數(最大延遲)之品質無顯著降低的 情況下增加封包檢驗速率之技術將為有利的。 土々此處章節11中所描述之本發明之說明性實施例藉由擴展 章節二所描述的上述lpsf理技術來提供此等改良技術。 早節I中主要概念係停止檢驗對其存在信賴之訊息 流上=封包(稱為快速轉發h部署此技術以使得能夠應對 過度β丁用(即使是臨時的)。章節狀實施例中之主要概念 143843.doc -19- 201032542 為,此等所識別的經快速轉發之封包繼續被檢驗(准許循 環)’且允許n>s趕上檢驗且因此將經快速轉發之訊息流恢 復回至全檢驗模式。將此稱為「追趕」模式。結果,可連 續評定潛在威脅。因此’替代性系統提供較高程度之檢驗 且因此提供針對潛在侵入威脅之較高保險。 因此’在章節财,提供對在此「追趕」模式中檢驗之 封包解除優先排序(de_priQdtize)以允許處理新訊務的機 制此機制彳實施於上文所描述(圖i及圖2中所描述)之複
合評分特徵中(例如’藉由在系統處於追趕模式時降低訊 息流得分)。 此替代性實施例之機制進—步使以上系統能夠選擇性地 停用特疋檢驗特徵(試探法)以便以服務品質(Q〇s)為代價釋 放系統貝源。替代性實施例亦提供混亂化及/或隨機化隨 時間机逝且在同一訊息流上用於試探式選擇的機制以使得 任何攻擊者將不能夠識別且利用特定被取消選擇之試探的 機制。替代性實施例亦提供預計啟用該追趕模式超過快速 轉發模式之效益的機制。 〇 不失一般性,本發明之原理係關於〇Sl_7參考模型之主 要定義來說明。熟習此項技術者將完全理解,其他通信堆 疊模型亦涵蓋於本發明下。 為進-步解釋,將侵入分析引擎分為前端及後端。前端 為檢驗之可針對潛在地屬於同一訊息流之一組封包並列地 或無序地疋成的部分;此係通常針對〇si第4層或Tcp"p。 後端通常為分析之必須針對訊息流内封包加以_列化之部 143843.doc -20- 201032542 刀因此,刖端接收網路封包,擷取TCP/IP 5元組(源IP位 址/埠、目的地IP位址/埠,及〇81第4層協定)且判定與此元 組相關聯之訊息流。訊息流維持所有所需狀態以在訊息流 下封包到達時重新開始訊息流檢驗。基於識別潛在 之各種技術來對封包及其各別訊息流評分。在後端不 月匕趕上封包負載的狀況下,比較封包及訊息流得分與主動 維持之截止得分。基於其威脅得分,選定封包被丢棄(高 威脅)或被快速轉發(低威脅)以便確保對未知及新到達之連 接之連續檢驗。 圖3更詳細地說明根據此實施例之侵入防止管理程式1 ο 力月b及操作以及相關聯的功能。在步驟3〇〇中,jpg 14〇 月J端(、周路)列或自後端(訊息流)仵列接收封包。ip s 〇緩衝等待由程式147處理之封包。作為回應,程式147 剖析封包且識別封包之與判定複合得分或是否應自動丟棄 封包有關之m。此等屬性包含封包之特定開放系統互連 • (OSI)第3層協定、封包之特定OSI第4層協定、„>片段攔位 是否係針對TCP而設定、封包是否僅為無有效負載之應 答、封包是否經加密,及與封包相關聯之訊息流之識別碼 (步驟3 02)。程式147基於資料鏈路協定之標頭中之類型欄 位(例如,乙太網路標頭中之類型攔位)判定第3層協定。程 式147基於網路協定之標頭中之協定欄位(例如,ιρν4之協 定欄位)判定OSI第4層協定^ IP片段欄位基於協定之類型 而位於封包標頭中之已知位置。程式147基於在IP標頭中 礼定之封包之總長度來判定封包是否僅為無有效負載的應 143843.doc -21- 201032542 答。^位址、源埠、目的地ip位址、目的地埠、⑽第# 層協疋及(視情況)虛擬區域網路(VLAN)識別符叩)屬性識 別此封包為其部分之訊息流。程式147執行步驟搬而不起 始封包之侵入分析’亦即,不針對(諸如由如上文所描述 之iss PAMtm侵入分析引擎提供的)侵入之簽名或型樣或者 試圖利用或阻斷服務攻擊之其他特性來分析封包。 接:來,程式147判定此封包是否具有以訊息流為基礎 之協疋亦即,涉及雙向通信之協定(決策304)。通常,雙 向通U括通彳δ之建立、請求、回應及通信之關閉。以訊 息流為基礎之協定之實例為TCp、使用者資料報協定 (UDP)(在應用層以訊息流為基礎時),及串流控制傳送協 •定(SCTP)。諸如位址解析協定(ARp)及網際網路控制訊息 協疋(ICMPv6)之其他協定並非以訊息流為基礎且通常用 於廣播及/或單向通信,諸如位址解析或錯誤報告。如以 下更詳細地描述,對於以訊息流為基礎之協定,程式147 邻刀地基於同一訊息流中之其他先前所接收之封包來判定 同一訊息流中的封包之複合得分(或是否自動丟棄同一訊 息流中之隨後所接收之封包)。若封包以訊息流為基礎(決 策304的是分支),則程式ι47判定此封包是否為相關聯之 訊息流中之第一封包(決策3 1〇)。若封包之協定以訊息流為 基礎且此封包為該訊息流中之第一封包(決策3 1〇的是分 支)’則程式147定義具有針對該協定之預設屬性之新訊息 流(步驟312)。 作為實例,針對TCP訊息流之預設屬性可包含:為零之 143843.doc •22· 201032542 位7G組計數(意謂在此時,尚未分析此訊息流上之位元 )、原IP位址及埠、目的地1?位置及谭、協定類型、此訊 息流中所丢棄之封包之數目等於零(意謂在此時,尚未丢 棄該訊息流之位元組)、指示此訊息流在此時未被封鎖之 旗標、端節點中之任H呈古斤、 •^仕者疋否具有侵入分析引擎,及用戶 對任端衰P點中之增高之複合得分/安全性的偏好。針對 職之預設屬性可與Tcp相同。若此封包為在以訊息流為 基礎之u所接收之第二或後續封包(決策no的否分 支)’則程式147提取與此封包相關聯之訊息流定義(步驟 320)。該訊息流定義係在決策31〇及步驟312之先前反覆中 定義的。 接下來,程式147檢查該訊息流之屬性值以判定(決策 326)是否指示將自祕棄此訊息流而不進行其他評估(步驟 328)。舉例而言’若同一訊息流中之先前封包由分析引擎 152判定為惡意的(決策326),則將自動丟棄同一訊息流中 之所有隨後所接收之封包(步驟328)〇若是如此(決策326的 是分支)’則程式147丟棄該封包(步驟328)。若非如此(決 策326的否分支)’則程式147判定該封包之複合得分(步驟 330)。複合得分係基於如上文所描述之預計的或可能的效 益/成本比。 再次參看決策304的否分支,其中封包之協定並非以訊 息流為基礎。在此狀況下,程式147自決策3〇4直接進行至 步驟330以判定封包之複合得分(如上文所描述)。 在步驟330之後,程式147比較封包之複合得分與複合得 143843.doc -23- 201032542 分之當前臨限值(步驟340)。若複合得分小於當前臨限值 (決策340的否分支),則程式147不起始封包之侵入分析。 實情為,程式147判定訊息流是否針對追趕模式而設定(決 策380)。若是如此(決策38〇的是分支),則將訊息流排入後 端佇列中(步驟382)且接收另一訊息封包(步驟3〇〇)。若訊 息流並非針對追趕模式而設定(決策38〇的否分支),則程式 147改為更新相關聯之訊息之訊息流屬性(步驟。舉例 而言,在步驟342中,程式147更新已接收的訊息之位元組 之數目而不偵測侵入。 接下來,程式147判定傳入之封包之當前速率是否在較 低封包速率臨限值以下(決策344)。程式147藉由排入佇列 之封包之數目判定傳人之封包的當前速率。若傳入之封包 之田刖速率在較低封包速率臨限值以下(決策344的是分 支)’則程式147降低複合得分之當前臨限值(步驟346)。藉 由降低複合得分之當前臨限值,統計上更多後續封包將超 過臨限值且由侵入分析引擎W分析。雖然此將使lps 14〇 減速’但其將增加安全性且可由lps 14〇適應。在針對傳 入之封包之類型之當前條件下,lps 14〇可分析更多傳入 之封包且仍然跟上傳入之封包。若傳入之封包之當前速率 大於或等於較低封包速率臨限值(決策3料的否分幻,則程 式147不降低複合值之當前臨限值。 接下來,程式147將封包傳遞至路由器15〇以根據封包進 入β亥系統之處的蟑及路由55 4 1 I、ee a 之已知選路協定將未經分析的 封包選路投送至fT — 0¾ », 下躍點。此被視為封包之「快速轉 143843.doc 201032542 發」。在所說明之實例中,下一躍點為子網路17〇。作為回 應,路由器丨5()判定下一躍點且將未經分析之封包轉發至 對子網路⑺之防域172(或其耗道器卜在檢查目的地 . 卟位址、應用程式識別符或封包之標頭中所含有之其他目 . 的地標誌之後,防火牆(或其他閘道器)172將封包轉發至目 的地電腦160。 再次參看決策340的是分支,其中封包之複合得分大於 ?戈等於複合得分之當前臨限值。在此狀況下,程式147判 定傳入之封包之速率是否大於奶14()(包括程式147及侵入 分析引擎152)可對其進行處理的速率(決策35〇) ^程式ίο 藉由對已在封包快取記憶體149中累積的等待由程式147處 理之封包之數目計數來作出此判定。 在IPS 140趕上傳入之封包之速率(決策35〇的否分支)且 未增加複合得分之臨限值的情況下,因為在決策34〇中發 現複合得分在複合得分之臨限值以上,所以程式147通知 • 侵入分析引擎152針對侵入來分析封包(步驟360)。 若封包快取記憶體149中等待處理之所累積封包之數目 在預定臨限值以上(或若快取記憶體149被填充了預定百分 比以上的其谷量)(決策35〇的是分支),則程式Μ?增加複合 得分的臨限值(步驟352)。若是如此,則(統計上)程式147 隨後將經由IPS 140將更多封包傳遞至目的地器件而無需 由乜入刀析引擎152進行的耗時分析。此將減少14〇之 處理時間’且因此減少奶14〇中之積存且允許⑽14〇趕 上傳入之封包的當前速率。 143843.doc -25- 201032542 程式147檢查看看特定訊息流是否係追趕模式而設定(決 策354)。若非如此(決策354的否分支),則程式147通知侵 入分析引擎152針對侵入來分析封包(步驟3 6〇)。若訊息流 係針對追趕模式而設定(決策354的是分支),則程式^檢 查看看封包訊息流是否大於臨限值(決策356)。若非如此 (決策356的否分支),則程式147通知侵入分析引擎152針對 侵入來分析封包(步驟360)。
若封包訊息流大於臨限值(決策356的是分支),則程玉 147進行至步驟358,在步驟358中程式147將訊息流取消木 δ己為追趕模式且改為將訊息流標記為自動丟棄或自動車 發。若訊息流被標記為自動丟棄(決策326的是分支),則并 丟棄訊息流中之所有封包(步驟328)。若訊息流經標記為^ 動轉發(決策326的否分支),則處理328將在步驟33〇處重弃 開始,且將在步驟348中發送訊息流中之所有封包。
回應於來自程式147之通知,侵人分析引擎152以如幻 所描述之已知方式針對侵人來分析封包(步驟鳩)。程i 147接著判定最大時間是否已期滿(決策犯)。若非如此(名 桌362的否分支),則程式147更新封包之訊 叫,接著騎至M344(如上域料)。 ::大時間已期滿(決策362的是分支),則 -息流標記為追趕模式、自動丢棄或 Π:完成分析(步驟鄉程式_接著= 存在針對該訊息流而排入 存在針對該訊息流而排入广==何封包(決策37〇)。若习 知列之封包(決策37〇的否分支), 143843.doc -26 ‘ 201032542 則程式1 4 7將取消標記土自握描斗、 π,月知《己追赵模式,接著進行至步驟342至 348(如上文所描述)。 若存在針對該訊息流而排入仵列之封包(決策37〇的是分 支),則程式147將接著判定此等封包是否具有比新封包高 之優先權(決策374)。_入仔列之封包不具有比新封包高 之優先權(決策374的否分支)’則矛呈式147將設定下一封包 來自後端仵列(步驟376),然後進行至步驟W至州。否則 (決策374的是分支),則程式⑷將直接進行至步驟⑷至 曹 348。
在此實施例中,將使用通過TPQ π:用逋過iPS之封包延遲作為對威脅 評分之參數中的-者。詳言之,解決了訊息流之總得分識 別封包不會造成顯著威脅的情形。在章節工之實施例中, 若封包歸因於網路排入作列時間或在前端處理的末尾而已 超過,將會超過,或預期會超過最大允許延遲,則快速轉 發封包且將訊息流標記為快速轉發。在未來接收之與標記 φ 躲速轉發之訊息流有關的任何封包亦從那裏開始被快速 轉發。若封包未經快速轉發,則將其釋放以用於執行深度 檢驗(其通常為第5層及以上)之後端處理。 複合值亦可受與訊息流相關聯之封㈣列之深度及操作 該訊息流之模式影響。舉例而言,訊息流處於追趕模式之 事實可反映於複合值中。此外,若啟用追趕能力,則標記 為自動快速轉發之訊息流將決不會具有高複合值。 此替代性實施例之優勢在於如何處置在第一階段之後已 初始識別為快速轉發的封包。像上文描述中一樣,將封包 143843.doc -27· 201032542 轉發至輸出相產生最大延遲n不是丟棄該封包之 内谷’而疋亦將該封包插人至後端處理中,從而允許⑽ 繼續檢驗封包’而不管其已被發送至預定端點之事實。此 舉具有若干效益’舉例而言: (1) IPS理論上能夠趕上檢驗,且除非系統被過度訂用, 否則IPS將接著能夠將訊息流取消標記為快速轉發。此又 將減V未、j檢驗之封包之數目且因此減少可能由於此訊息 流上之後續封包而產生的任何潛在風險。 (2) 可繼續檢驗標記為快速轉發之訊息流且可報告任何 债測到之保全違規。χ,在特定狀況下,冑在特定延遲内 债測到潛在威脅’從而允許執行封鎖動作以防止利用。結 果,本發明允許在不超過最大延遲之情況下的更多檢驗覆 蓋。 圖4展示適合於與本發明之說明性實施例一起使用之例 示性訊息流物件。如章節〗中所描述’訊息流物件為表示 特定訊息流之資料結構4此說明性實施例中,訊息流物 件400已被擴展而包括額外欄位。舉例而言欄位41〇藉由 設定用於正常操作、用於快速轉發、用於自動丟棄及用於 追趕模式之狀況旗標來表示狀態。欄位42〇包括計數器, *亥等計數器針對由此訊息流物件表示之訊息流而指示經排 入佇列或當前在後端中處理之封包的數目。攔位43〇儲存 内容剖析(諸如HTTP、HTML剖析、電子郵件等)可能需要 之額外狀態資訊》—旦封包計數器已降低至零,於是根據 定義,此訊息流上之檢驗已趕上,且若訊息流被標記為快 143843.doc -28- 201032542 速轉發w可將其重設為非快速轉發。維然已經遲了,但 仍可實施除丢棄該封包之外的所有與侵入有關之動作。因 此,此追趕模式方法提供更高程度之保護。 在本發明之另—實施例中,可基於狀態及緩時而選擇性 地關閉深度封包;^ β八^ 匕檢驗之部分。此可藉由(例如)擴充複合函 數以便考慮訊息流之封包仵列之大小來實施。
在本發明之—另外的實施例中,可按不同於屬於當前直 插式檢驗之訊息流之封包的優先權來處理當前與快速轉發 訊心二檢驗有關之封包(亦即,肖包遞送視封包檢驗之結 果而疋)用於進行此操作之例示性技術在上文參考圖3, 且特定言之參考圖3之步驟374加以描述。 根據本發明所描述之原理可與其他機制及試探法結合以 允許針對高保真度連接之快速轉發。舉例而言,任何備用 計算容量仍可用來按低優先權來檢驗高保真度連接。 可存在諸如50毫秒之第二時間限制,其取消㈣尾隨已 被^發之封包之檢驗。此等機制與本發明之原理正交,且 熟習此項技術者將完全瞭解如何將此等機制與上文介紹之 本發明整合。 儘管本文中已參考隨附圖式來描述本發明之說明性實施 例’但應理解’本發明並不限於該等確切實施例,且熟習 :項技術者可在不背離本發明之範嘴或精神的情況下做出 各種其他改動與修正。 【圖式簡單說明】 圖 1說明包括其中可實施本發 明之原理之侵入防止系統 143843.doc -29- 201032542 的分散式電腦系統。 圖2說明用於由圖1中之侵入防止管理功能使用之侵入防 止管理方法。 圖3說明用於由圖1中之侵入防止管理功能使用之具有追 趕模式的侵入防止管理方法。 圖4說明適合與本發明之說明性實施例一起使用之例示 性訊息流物件。 【主要元件符號說明】 100 分散式電腦系統(網路) 120 源電腦 121 中央處理單元(CPU) 122 作業系統(0/S) 123 隨機存取記憶體(RAM) 124 唯讀記憶體(ROM) 125 匯流排 126 儲存器 127 應用程式 128 TCP/IP配接卡 130 不受信任網路 140 侵入防止系統(IPS)
141 CPU 142 作業系統
143 RAM
144 ROM 143843.doc -30- 201032542 145 匯流排 146 儲存器單元 147 程式 148 TCP/IP配接卡 149 封包快取記憶體 150 路由器 152 侵入分析引擎 160 目的地電腦 161 CPU 162 作業系統 163 RAM 164 ROM 165 匯流排 166 儲存器單元 167 應用程式 168 TCP/IP配接卡 170 目的地子網路 172 防火牆 180 電腦可讀儲存媒體 400 訊息流物件 410 欄位 420 欄位 430 攔位 143843.doc -31 -

Claims (1)

  1. 201032542 七、申請專利範圍: 1· -種用於冑入保言隻的方法,#包含一㈣中之一計算元 件執行以下步驟: 接收-訊息流之一封包,該訊息流包含複數個封包, 其中該複數個封包表示該網路中之資料; 判疋一網路侵入分析成本效益值,其中該網路侵入分 析成本效益值表不與針對侵人來分析該所接收之封包之 ^成本有關的針對侵入來分析該所接收之封包之一效 益, 比較該網路侵入分析成本效益值與一網路侵入分析成 t效益臨限值,以判定在轉發該所接收之封包之前針對 入來分析該所接收之封包是否經批准;及 ▲回應於該在轉發該所接收之封包之前針對侵人來分析 該所接收之封包未峰㈣―判定,轉發該所接收之封 :,指示應轉發該訊息流之後續封包,且在轉發該所接 ,封包之後判定該所接收的封包是否指示一侵入。 2 項1之方法,其進一步包含以下步驟:回應於該 在轉發該所接收之封包之前針對侵入來分析該所接收之 =包經批准的-判定,判定該所接收之封包是否指示— =入-及回應於該所接收之封包未指示一侵入 疋,轉發該所接收之封包。 項1之方法,其進一步包含以下步驟:回應於該 接收之封包指示一侵入的一判定,丟 " 包且指示應丢棄該訊息流之後續封包。— 之封 143843.doc 201032542 4. 如凊未们之方法’其中該在轉發該 判定該所接收之封包是否指示一侵入的步2封包之後 -封包尚未被接收而執行。 ,纟回應於另 5. 如請求項1之方法, -成本係〜封 訊息流之一長度。 之封包的該 6. :請求項1之方法,其中針對侵入來分析該所接收之封 巴之錢益係至少部分地基於該所接收之封包 入的一可能性。 有知 7. 8. 如請求項】之方法,其中該比較該值與一臨限 在轉,該所接收之封包之前針對侵人來分析該所接收之 封包是否經批准的步驟進—步包含以下步驟:判定該電 腦不能以接收封包以用於根據該等步驟處理的一速率執 行該等步驟;及作為回應,增加該臨限值。 如請求項1之方法’其中該比較該值與-臨限值以判定 在轉發該所接收之封包之前針對侵入來分析該所接收之 封包疋否經批准的步驟進一步包含以下步驟:判定該電 腦不能以一實質上比接收封包以用於根據該等步驟處理 之速率快的速率執行該等步驟;及作為回應,減小該臨 限值。 9. 一種用於侵入保護之電腦程式產品,該電腦程式產品包 含一電腦可用儲存媒體,該電腦可用儲存媒體具有由其 體現之電腦可用程式碼,該電腦可用程式碼包含經組態 以在一網路之—計算元件中執行以下步驟之電腦可用程 143843.doc 201032542 式瑪. 接收一訊息流之-封包,該訊息流包含複數個封包, 其中該複數個封包表示該網路中之資料; 判定-網路侵入分析成本效益值,其中該網路侵入分 析成本效益值表示與針對侵人來分析該所接收之^包二 一成本㈣的針對侵人I分析該所接收之# 益, 比較該網路侵入分析成本效益值與一網路侵入分析成 本效益臨限值’以敎在轉發該所接收之封包之i針對 侵入來分析該所接收之封包是否經批准;及 回應於該在轉發該所接收之封包之前針對侵入來分析 該所接收之封包未經批准的一判定,轉發該所接收之封 包,指示應轉發該訊息流之後續封包,且在轉發該所接 收之封包之後判定該所接收之封包是否指示一侵入。 10. 如请求項9之電腦程式產品,該電腦可用程式碼進一步 包含經組態以執行以下步驟之電腦可用程式碼:回應於 該在轉發該所接收之Μ包之前針對侵入來分析該所接收 之封包經批准的一判定,判定該所接收之封包是否指示 知入;及回應於該所接收之封包未指示一侵入的一判 定’轉發該所接收之封包。 11. 如請求項9之電腦程式產品’該電腦可用程式碼進一步 包含經組態以執行以下步驟之電腦可用程式碼:回應於 該所接收之封包指示一侵入的一判定,丟棄該所接收之 封包且指示應丟棄該訊息流之後續封包。 143843.doc 201032542 在轉發該所接收之 示彳3入的步驟係 12.如請求項9之電胸程式產品,其中古亥 封包之後判定該所接收之封包是否指 回應於另一封包尚未被接收而執行。 13·如請求項9之電腦程式產品’其中針對侵入來分析咳 接收之封包之該成本係至少部分地基於包括該所接=之 封包的該訊息流之一長度。 14.如請求項9之電腦程式產品’其中針對侵入來分析該所 接收之封包之該效益係至少八u # μ # ^ 了王y。卩分地基於該所接收之封包 含有一侵入的一可能性。 !5.如請求項9之電腦程式產品,其中該比較該值與一臨限 值以判定在轉發該所純之封包之前針對以來分析該 所接收之封包是否經批准的步驟進-步包含以下步驟: 判定該電腦不^純封包Μ練據料步驟處理的 -速率執行該等步驟;及作為回應,增加該臨限值。 16·如請求項9之電腦程式產品,其中該比較該值與一臨限 值以判定在轉發朗接收之封包之前針對以來分析該 所接收之封包是否經批准的步驟進一步包含以下步驟: 判定該電腦不能以一實質上比接收封包以用於根據該等 步驟處理之速率快的速率執行該等步驟;及作為回應, 減小該臨限值。 17·:種在—網路中用於侵入保護之電腦系統,該電腦系統 包含: 至少—記憶體;及 麵接至該至少一士 5己隱體之至少一處理器,該至少一處 143843.doc 201032542 理器操作以: 且=一訊息流之一封包,該訊息流包含複數個封包, a中該複數個封包表示該網路中之資料; 網路侵入分析成本效益值,其中該網路侵入分 效益值表示與針對侵入來分析該所接收之封包之 ;本有關的針對侵入來分析該所接收之封包之一效 比較該網路侵入分析成本效益值與-網路侵入分析成 本效益臨限值,以如〜 & 又八刀析成 以判疋在轉發該所接收之封包之前針對 又入刀析該所接收之封包是否經批准;且 ^ °應^在轉發該所接收之封包之前針對侵入來分 该所接收之封包未經批准的一判定’轉發該所接收之 m轉發該訊息流之後續封包,且在轉發該所接 、匕之後判定該所接收的封包是否指示一侵入。 18. 如請求項17之電㈣統,其中該至少—處理器進 作以.回應於在轉發該所純之封包之前針對侵二 析,所接收之封包經批准的—判定,判定該所接收之: 匕疋否#a7F -侵入;且回應於該所接收之封包未指示— 侵入的一判定,轉發該所接收之封包。 ’、一 19. 如請求項17之電腦系統,其中該至少一處理器進—步 作以.回應於該所接收之封包指示一侵入的一判定,丟 棄該所接收之封包且指錢丟棄該訊息流之後續封包。 如"月求項17之電腦系統,其中在轉發該所接收之封 後判疋忒所接收之封包是否指示一侵入係回應於另 包尚未被接收而執行。 封 143843.doc
TW098135481A 2008-11-18 2009-10-20 Network intrusion protection TW201032542A (en)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US12/273,142 US8677473B2 (en) 2008-11-18 2008-11-18 Network intrusion protection

Publications (1)

Publication Number Publication Date
TW201032542A true TW201032542A (en) 2010-09-01

Family

ID=42173026

Family Applications (1)

Application Number Title Priority Date Filing Date
TW098135481A TW201032542A (en) 2008-11-18 2009-10-20 Network intrusion protection

Country Status (6)

Country Link
US (1) US8677473B2 (zh)
EP (1) EP2289221B1 (zh)
KR (1) KR20110089179A (zh)
CN (1) CN102210133B (zh)
TW (1) TW201032542A (zh)
WO (1) WO2010057748A2 (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI476628B (zh) * 2012-09-18 2015-03-11 Univ Kun Shan 以惡意程式特徵分析為基礎之資安風險評估系統

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8006303B1 (en) * 2007-06-07 2011-08-23 International Business Machines Corporation System, method and program product for intrusion protection of a network
US8051167B2 (en) * 2009-02-13 2011-11-01 Alcatel Lucent Optimized mirror for content identification
US8797866B2 (en) * 2010-02-12 2014-08-05 Cisco Technology, Inc. Automatic adjusting of reputation thresholds in order to change the processing of certain packets
US8997234B2 (en) * 2011-07-27 2015-03-31 Mcafee, Inc. System and method for network-based asset operational dependence scoring
US8549612B2 (en) * 2011-11-28 2013-10-01 Dell Products, Lp System and method for incorporating quality-of-service and reputation in an intrusion detection and prevention system
US8776243B2 (en) * 2012-04-27 2014-07-08 Ixia Methods, systems, and computer readable media for combining IP fragmentation evasion techniques
CN103686735A (zh) * 2012-09-11 2014-03-26 浙江商业技师学院 基于选择性非零和博弈的无线传感器网络入侵检测方法
US10136355B2 (en) * 2012-11-26 2018-11-20 Vasona Networks, Inc. Reducing signaling load on a mobile network
EP2953311B1 (en) * 2013-06-26 2019-01-16 Huawei Technologies Co., Ltd. Packet identification method and protective device
US10171483B1 (en) * 2013-08-23 2019-01-01 Symantec Corporation Utilizing endpoint asset awareness for network intrusion detection
US20150089655A1 (en) * 2013-09-23 2015-03-26 Electronics And Telecommunications Research Institute System and method for detecting malware based on virtual host
CN103647678A (zh) * 2013-11-08 2014-03-19 北京奇虎科技有限公司 一种网站漏洞在线验证方法及装置
US9345041B2 (en) 2013-11-12 2016-05-17 Vasona Networks Inc. Adjusting delaying of arrival of data at a base station
US10341881B2 (en) 2013-11-12 2019-07-02 Vasona Networks, Inc. Supervision of data in a wireless network
US10039028B2 (en) 2013-11-12 2018-07-31 Vasona Networks Inc. Congestion in a wireless network
US9397915B2 (en) 2013-11-12 2016-07-19 Vasona Networks Inc. Reducing time period of data travel in a wireless network
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
US10122753B2 (en) * 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
US20160100315A1 (en) * 2014-05-13 2016-04-07 Adtran, Inc. Detecting and disabling rogue access points in a network
US9888033B1 (en) * 2014-06-19 2018-02-06 Sonus Networks, Inc. Methods and apparatus for detecting and/or dealing with denial of service attacks
TW201605198A (zh) 2014-07-31 2016-02-01 萬國商業機器公司 智慧網路管理裝置以及管理網路的方法
GB201915196D0 (en) 2014-12-18 2019-12-04 Sophos Ltd A method and system for network access control based on traffic monitoring and vulnerability detection using process related information
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US10165004B1 (en) 2015-03-18 2018-12-25 Cequence Security, Inc. Passive detection of forged web browsers
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US9525697B2 (en) * 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US11418520B2 (en) * 2015-06-15 2022-08-16 Cequence Security, Inc. Passive security analysis with inline active security device
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
CN105939314A (zh) * 2015-09-21 2016-09-14 杭州迪普科技有限公司 网络防护方法和装置
US11805106B2 (en) * 2015-10-28 2023-10-31 Qomplx, Inc. System and method for trigger-based scanning of cyber-physical assets
US20230171292A1 (en) * 2015-10-28 2023-06-01 Qomplx, Inc. Holistic external network cybersecurity evaluation and scoring
US10917428B2 (en) * 2015-10-28 2021-02-09 Qomplx, Inc. Holistic computer system cybersecurity evaluation and scoring
US11070592B2 (en) 2015-10-28 2021-07-20 Qomplx, Inc. System and method for self-adjusting cybersecurity analysis and score generation
US10783241B2 (en) * 2015-10-28 2020-09-22 Qomplx, Inc. System and methods for sandboxed malware analysis and automated patch development, deployment and validation
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
US10931713B1 (en) 2016-02-17 2021-02-23 Cequence Security, Inc. Passive detection of genuine web browsers based on security parameters
US10785234B2 (en) * 2016-06-22 2020-09-22 Cisco Technology, Inc. Dynamic packet inspection plan system utilizing rule probability based selection
US11349852B2 (en) * 2016-08-31 2022-05-31 Wedge Networks Inc. Apparatus and methods for network-based line-rate detection of unknown malware
US10931686B1 (en) 2017-02-01 2021-02-23 Cequence Security, Inc. Detection of automated requests using session identifiers
US11190542B2 (en) * 2018-10-22 2021-11-30 A10 Networks, Inc. Network session traffic behavior learning system
PL3654606T3 (pl) * 2018-11-15 2022-04-04 Ovh Sposób i system oczyszczania pakietów danych do przesiewania pakietów danych odbieranych w infrastrukturze usługowej
US11218506B2 (en) * 2018-12-17 2022-01-04 Microsoft Technology Licensing, Llc Session maturity model with trusted sources
US10491613B1 (en) 2019-01-22 2019-11-26 Capital One Services, Llc Systems and methods for secure communication in cloud computing environments
US11444877B2 (en) * 2019-03-18 2022-09-13 At&T Intellectual Property I, L.P. Packet flow identification with reduced decode operations
US11757837B2 (en) * 2020-04-23 2023-09-12 International Business Machines Corporation Sensitive data identification in real time for data streaming
US11363041B2 (en) * 2020-05-15 2022-06-14 International Business Machines Corporation Protecting computer assets from malicious attacks
US11444971B2 (en) * 2020-10-06 2022-09-13 Nozomi Networks Sagl Method for assessing the quality of network-related indicators of compromise
US20240179162A1 (en) * 2021-04-30 2024-05-30 Hewlett-Packard Development Company, L.P. Protection of computing device from potential optical network intrusion attack
US11523293B1 (en) * 2021-10-12 2022-12-06 Levi Gundert Wireless network monitoring system

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20020032793A1 (en) * 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US7545814B2 (en) * 2002-02-28 2009-06-09 Nokia Corporation Method and system for dynamic remapping of packets for a router
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US20050213553A1 (en) 2004-03-25 2005-09-29 Wang Huayan A Method for wireless LAN intrusion detection based on protocol anomaly analysis
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US7769851B1 (en) * 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7143006B2 (en) * 2005-03-23 2006-11-28 Cisco Technology, Inc. Policy-based approach for managing the export of network flow statistical data
US20060268866A1 (en) * 2005-05-17 2006-11-30 Simon Lok Out-of-order superscalar IP packet analysis
US8015605B2 (en) * 2005-08-29 2011-09-06 Wisconsin Alumni Research Foundation Scalable monitor of malicious network traffic
US20070150574A1 (en) * 2005-12-06 2007-06-28 Rizwan Mallal Method for detecting, monitoring, and controlling web services
US8194662B2 (en) * 2006-06-08 2012-06-05 Ilnickl Slawomir K Inspection of data
KR100834570B1 (ko) * 2006-06-23 2008-06-02 한국전자통신연구원 실시간 상태 기반 패킷 검사 방법 및 이를 위한 장치
US8009566B2 (en) * 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US7773507B1 (en) * 2006-06-30 2010-08-10 Extreme Networks, Inc. Automatic tiered services based on network conditions
WO2009114835A1 (en) * 2008-03-13 2009-09-17 The Regents Of The University Of California Authenticated adversarial routing
US8693332B2 (en) * 2009-06-30 2014-04-08 New Renaissance Technology And Intellectual Property Flow state aware management of QoS through dynamic aggregate bandwidth adjustments

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TWI476628B (zh) * 2012-09-18 2015-03-11 Univ Kun Shan 以惡意程式特徵分析為基礎之資安風險評估系統

Also Published As

Publication number Publication date
CN102210133A (zh) 2011-10-05
EP2289221A2 (en) 2011-03-02
EP2289221B1 (en) 2014-07-30
KR20110089179A (ko) 2011-08-04
US20100125900A1 (en) 2010-05-20
CN102210133B (zh) 2014-10-01
US8677473B2 (en) 2014-03-18
WO2010057748A3 (en) 2010-09-16
WO2010057748A2 (en) 2010-05-27

Similar Documents

Publication Publication Date Title
TW201032542A (en) Network intrusion protection
US8819821B2 (en) Proactive test-based differentiation method and system to mitigate low rate DoS attacks
US9344445B2 (en) Detecting malicious network software agents
US10693908B2 (en) Apparatus and method for detecting distributed reflection denial of service attack
US20140157405A1 (en) Cyber Behavior Analysis and Detection Method, System and Architecture
US20090037592A1 (en) Network overload detection and mitigation system and method
US8006303B1 (en) System, method and program product for intrusion protection of a network
US20030074582A1 (en) Method and apparatus for providing node security in a router of a packet network
JP2010268483A (ja) 能動的ネットワーク防衛システム及び方法
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
US20140304817A1 (en) APPARATUS AND METHOD FOR DETECTING SLOW READ DoS ATTACK
EP2009864A1 (en) Method and apparatus for attack prevention
US20070289014A1 (en) Network security device and method for processing packet data using the same
WO2023040303A1 (zh) 网络流量控制方法以及相关系统
TW201124876A (en) System and method for guarding against dispersive blocking attacks
Kreibich et al. Using packet symmetry to curtail malicious traffic
JP4259183B2 (ja) 情報処理システム、情報処理装置、プログラム、及び通信ネットワークにおける通信の異常を検知する方法
Arafat et al. A practical approach and mitigation techniques on application layer DDoS attack in web server
Grigoryan et al. Lamp: Prompt layer 7 attack mitigation with programmable data planes
JP2004140524A (ja) DoS攻撃検知方法、DoS攻撃検知装置及びプログラム
JP4620070B2 (ja) トラヒック制御システムおよびトラヒック制御方法
WO2019096104A1 (zh) 攻击防范
KR20110027386A (ko) 사용자 단말로부터 외부로 나가는 유해 패킷을 차단하는 장치, 시스템 및 방법
Ohsita et al. Deployable overlay network for defense against distributed SYN flood attacks
JP2007166154A (ja) 攻撃検出装置、攻撃検出方法および攻撃検出プログラム