TW201703486A - 於分佈式網路實現安全功能 - Google Patents
於分佈式網路實現安全功能 Download PDFInfo
- Publication number
- TW201703486A TW201703486A TW105110190A TW105110190A TW201703486A TW 201703486 A TW201703486 A TW 201703486A TW 105110190 A TW105110190 A TW 105110190A TW 105110190 A TW105110190 A TW 105110190A TW 201703486 A TW201703486 A TW 201703486A
- Authority
- TW
- Taiwan
- Prior art keywords
- data packet
- security
- network
- distributed
- data
- Prior art date
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Small-Scale Networks (AREA)
Abstract
本文中描述用於對於一分佈式網路實現安全功能之系統及方法。一例示性方法可包含:處理自一交換器接收之一資料封包,該資料封包經引導至至少一個網路資產;使用該處理及一規則集選擇性轉發該資料封包;檢測該經轉發封包;使用該檢測及該規則集引導執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者;累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料;分析該資料封包、該處理及該檢測中之該至少一者;及藉由編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。
Description
本發明大體係關於資料處理,且更特定言之係關於資料網路安全。
可進行此章節中所描述之方法但該等方法並不一定為先前已構想或進行之方法。因此,除非另有指示,否則不應認為此章節中所描述之該等方法中之任一者僅憑藉其等包含在此章節中而作為先前技術。
資料網路之傳統主從式架構趨於以一非分佈式方式實現安全服務。防火牆、入侵防禦系統、入侵偵測系統及其他安全系統係通常定位於一可信網路(例如,一企業網路)與一公共網路(例如,網際網路)之間,其中一般假定該公共網路為不安全的。因此,以使得在可到達該可信網路之前網路訊務需要傳遞通過傳統安全系統之一方式來定位該等安全系統。
一分佈式網路可包含散佈於許多網路、處理器及中間裝置之企業基礎設施資源。類似地,與一分佈式網路相關聯之網路訊務(例如,待處理之一傳入訊務或資料)可散佈於該分佈式網路內之複數個虛擬及/或實體機器(例如,伺服器及主機)。因此,一分佈式網路缺乏其中可定位傳統安全系統之一單個進入點。
當前,服務提供者及企業趨於使用建置於分佈式網路環境內之資料中心。因為資料中心通常藉由多方佔據,所以資料中心提供者不能保證可信任佔據該等資料中心之各方。因此,若一攻擊者進入一資料中心內之一個主機,則其他主機可被損及,此係因為來自受影響主機之惡意軟體可跨資料中心散佈至其他方之資產。一傳統安全系統不能防禦此一攻擊,此係因為該攻擊係在資料中心內部發生遠超過其中通常定位傳統安全系統之任何進入點。
此外,一傳統安全系統在偵測之後僅阻斷惡意資料訊務而不執行關於攻擊者之任何進一步分析。此方法使攻擊者之意圖未知。因此,未作出對於未來安全響應之任何改良。
提供本發明內容來以一簡化形式引入下文在詳細描述中進一步描述之概念之一選擇。此發明內容並不意欲識別所主張標的物之關鍵特徵或基本特徵,亦不意欲用作幫助判定所主張標的物之範疇。
提供用於對於一分佈式網路實現安全功能之系統及方法。一些實施例包含包括以下各者之一系統:一交換器;複數個網路資產;一執行點,其通信耦合至該交換器及該複數個網路資產中之至少一個網路資產,該執行點處理自該交換器接收之一資料封包,該執行點使用該處理及一規則集選擇性轉發該資料封包,該資料封包經引導至該至少一個網路資產;一分佈式安全處理器,其通信耦合至該執行點,該分佈式安全處理器檢測自該執行點轉發之該封包,該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者;一記錄模組,其通信耦合至該交換器、該執行點及該分佈式安全處理器中之至少一者,該記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料;及一分析模組,其通信耦合至該記錄模組及一編譯器,該分
析模組分析該資料封包、該處理及該檢測中之該至少一者,該分析模組藉由該編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。
各項實施例包含包括以下步驟之一方法:藉由一執行點處理自一交換器接收之一資料封包,該資料封包經引導至至少一個網路資產;藉由該執行點使用該處理及一規則集選擇性轉發該資料封包;藉由一分佈式安全處理器檢測該經轉發封包;藉由該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者;藉由一記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料;藉由一分析模組分析該資料封包、該處理及該檢測中之該至少一者;藉由一分析模組藉由編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。
一些實施例包含包括以下步驟之一方法:獲得用於一資料網路之一安全策略,該安全策略選擇性容許及/或阻止複數個網路資產之間的通信且指示使用與各別群組相關聯之一共同安全特性之該複數個網路資產之若干群組;起始編譯該安全策略以產生一規則集,該規則集使用一來源位址、來源連接埠、目的地位址、目的地連接埠及與該複數個網路資產之特定者之間的通信相關聯之一應用程式協定之至少一者選擇性阻斷該通信;將該規則集提供至至少一個執行點;接收與該資料網路中之通信相關聯之分析及一記錄中之至少一者,藉由一記錄模組產生分析及一記錄中之該至少一者;計算與該至少一網路資產相關聯之一風險評分,該風險評分為與該至少一個網路資產相關聯之相對安全之一量測;使用該經計算之風險評分起始該安全策略之一重新編譯以產生一經更新規則集;及使該經更新規則集散佈至該至少一個執行點。
在進一步例示性實施例中,模組、子系統或裝置可經調適以執行所述步驟。下文描述其他特徵及例示性實施例。
100‧‧‧環境
110‧‧‧防火牆
120‧‧‧可信安全內部網路/內部網路
130‧‧‧不安全外部網路
140‧‧‧可信邊界
150‧‧‧資產
160‧‧‧攻擊者
200‧‧‧環境
205‧‧‧網路資產
210‧‧‧第三方
215‧‧‧資料訊務
220‧‧‧超管理器/交換器
225‧‧‧執行點
230‧‧‧攻擊者
235‧‧‧惡意資料訊務
240‧‧‧合成伺服器/其他安全功能
242‧‧‧分佈式安全處理器
300‧‧‧系統
310‧‧‧策略引擎
320‧‧‧編譯器
330‧‧‧分佈式安全處理器
340‧‧‧記錄模組
350‧‧‧執行點
360‧‧‧超管理器
370‧‧‧分析引擎
500‧‧‧示意圖
505‧‧‧伺服器
510‧‧‧超管理器
515‧‧‧執行點
520‧‧‧分佈式安全處理器
525‧‧‧策略引擎
530‧‧‧合成伺服器/其他安全功能
535‧‧‧UI
540‧‧‧API
545‧‧‧編排引擎
600‧‧‧示意圖
610‧‧‧影子網路
620‧‧‧(記錄)分析
630‧‧‧策略運算
640‧‧‧高狀態安全處理/分佈式安全處理器
650‧‧‧基於快取之安全處理
700‧‧‧電腦系統
702‧‧‧處理器
704‧‧‧硬碟機
706‧‧‧主記憶體
708‧‧‧靜態記憶體
710‧‧‧匯流排
712‧‧‧網路介面裝置
720‧‧‧電腦可讀媒體
722‧‧‧指令集/指令
在隨附圖式之圖中藉由實例且非限制方式來繪示實施例,其中相同參考符號指示類似元件。
圖1展示根據一些實例性實施例之用於使一區域網路安全之一環境。
圖2繪示根據一些實施例之其內可實施用於對於一分佈式網路實現安全功能之系統及方法之一環境。
圖3係展示根據某些實施例之用於對於一分佈式網路實現安全功能之一系統之各種模組之一方塊圖。
圖4係繪示根據一些實例性實施例之用於對於一分佈式網路實現安全功能之一方法之一流程圖。
圖5展示根據一些實例性實施例之對於一分佈式網路中之一伺服器實現安全功能之一示意圖。
圖6展示根據一些實例性實施例之將資料訊務重新引導至特定安全服務之一示意圖。
圖7展示用於一電腦系統之呈例示性電子形式之一機器之一運算裝置的一圖解表示,在該運算裝置內可執行引起該機器執行本文中所論述之方法論中之任一或多者之一指令集。
以下詳細描述包含引用形成該詳細描述之一部分之隨附圖式。該等圖式展示根據例示性實施例之圖解說明。足夠詳細地描述在本文中亦被稱為「實例」之此等例示性實施例以使熟習此項技術者能夠實踐本發明標的物。可組合該等實施例,可利用其他實施例,或可在不脫離所主張內容之範疇的情況下作出結構、邏輯及電改變。因此,以
下詳細描述不應被視作限制意義,且該範疇係藉由隨附申請專利範圍及其等效物定義。在此文件中,如在專利文件中常見般使用術語「一(a)」及「一(an)」以包含一個或一個以上。在此文件中,術語「或」係用於指代一非排他性「或」,使得除非另有指示,否則「A或B」包含「A但不包含B」、「B但不包含A」以及「A及B」。
本發明技術之各項實施例提供用於評估及定址包含虛擬機器之一資料中心內之通信之系統及方法。該系統及該方法可識別不安全通信且另外可停止及/或重新引導通信。該經重新引導通信可經引導至可隔離及防禦一安全故障之一監視通信節點。該監視通信節點亦可藉由發送看似其等係自原始預期目標通信節點發送之通信來仿冒發送通信節點。以此方式,可防禦止一安全故障,可限制損壞,及/或可獲得關於企圖起始該安全故障之一不良行動者之資訊。
本文中所論述之通信節點可為一虛擬機器、一伺服器、一基於雲端之虛擬機器、一主機、一用戶端、一工作負載及/或一電子執行目標。如本文中所論述之通信封包包含資料封包或通信節點之間的任何其他電子通信。
資料中心對於安全提出獨特挑戰。可使用各種虛擬機器(VM)且其等可存在於相同伺服器。不同虛擬機器可具有不同安全層級及/或可與不同組織相關聯。在不需要所有通信通過一單個阻塞點(此將大幅度削弱通信效率)的情況下,防禦歸因於虛擬機器之間的通信之安全故障係困難的。
一習知資料中心機架或伺服器可為一雲端系統之部分且可包含多個超管理器及每超管理器多個虛擬機器及一交換器。該交換器可調節及監測該伺服器內之虛擬機器之間的訊務,及/或可將該伺服器連接至外部(例如,連接至網際網路、一內部網路及該雲端系統之其他部分)。一超管理器係抽象化用於提供服務至多個客體作業系統之硬
體之一虛擬方式。相同伺服器上之兩個虛擬機器可通常通信,此係因為一傳統、集中式防火牆不能夠在不大幅度削弱通信效率的情況下簡單操作及防禦此類型之互動。相比而言,一分佈式防火牆容許一虛擬機器與鄰近或緊鄰虛擬機器通信同時維持安全。
本發明技術之一些實施例提供一分佈式防火牆至一雲端環境中之多個通信節點。一些實施例可包含在裝納虛擬機器之伺服器外部操作之分佈式安全處理器及/或可包含額外元件(例如,一伺服器之交換器中之執行點)。可以各種方式(例如,藉由在一分佈式防火牆之一網狀結構上方穿隧、複製及發送一複本至一誘捕系統(honeypot)、發送TCP重設以防禦未來通信及/或藉由窺探IP位址)實施藉由分佈式安全處理器之重新引導。藉由分佈式安全處理器之其他動作亦可行。
傳統上,安全服務以一非分佈式方式操作。例如,一防火牆、一網間封包交換(IPX)及/或一誘捕系統全部經定位使得訊務必須通過其等。此外,個別程式化此等組件中之各者。自歷史觀點上說,一不良行動者不得不跨防火牆存取資產。
相比而言,現今威脅模型係具有鄰近虛擬機器之一雲端系統。在多方處於一單個資料中心中或甚至潛在處於一單個機器上的情況下,動態已改變。
新模型係跨一資料中心安置之一分佈式防火牆。可使用虛擬化技術來開發在該新模型下之安全功能。根據此新模型,一分佈式防火牆係能夠提供安全執行及報告、記錄及可見性之一狀態協定。一分佈式防火牆係基於需要基於簽章之干預之策略。舉例而言,此等簽章可為一封包之內容或更巨集層級簽章。以一惡意方式表現之一行動者可為用於一分佈式防火牆之一簽章,例如,掃描一網路之一機器。
圖1展示用於使一區域網路(LAN)安全之一環境100。可藉由防火牆、入侵防禦系統、入侵偵測系統等等以一非分佈式方式實現LAN中
之安全服務。防火牆110通常經放置作為一可信安全內部網路120與一不安全外部網路130(例如,網際網路)之間的一屏障以形成用於該內部網路120之一可信邊界140。內部網路120可包含資產150(諸如資料或服務)。一攻擊者160可企圖藉由發送惡意請求來攻擊內部網路120。防火牆110之任務係過濾來到內部網路120之所有網路訊務及丟棄來自攻擊者160之該等惡意請求。
然而,環境100中所展示之傳統周邊安全解決方案不能充分保護分佈式資料中心免受攻擊者影響。可藉由包含企業、法人實體及可能不一定值得信任之其他者之多方佔據一分佈式資料中心。該分佈式資料中心之內部人員可企圖攻擊其他方之網路資產。因此,傳統進入點安全解決方案(諸如防火牆)可能並不足以保護分佈式資料中心。
本發明提供用於對於分佈式網路實現安全功能之方法及系統。本發明之一實例性系統在一資料中心內或甚至跨多個資料中心提供網路資產之一分佈式保護使該等網路資產免受潛在威脅影響。該等網路資產可包含儲存於該資料中心或該多個資料中心之複數個伺服器上之資料資產。替代性地或此外,網路資產可為實體主機、虛擬機器及類似者。更明確言之,可藉由實施於一虛擬機器內之一執行點接收發送至資料中心內之一伺服器之資料訊務之網路封包。可藉由實施為電腦軟體、韌體或硬體之一超管理器來產生及運行該虛擬機器。在接收資料訊務之後,該超管理器可指示充當執行點之複數個虛擬機器處理該資料訊務。因此,可將該資料訊務發送至該等執行點。該等執行點可跨資料中心定位且至少充當一分佈式防火牆以對該資料中心內之網路資產提供分佈式保護。
執行點可與一策略引擎通信。該策略引擎可產生用以保護分佈式網路內之網路資產之安全策略。該等安全策略可包含用於基於資料訊務中所含有之預定簽章或定義預期協定行為之預定義狀態機器分析
該資料訊務之規則。策略引擎可對執行點提供安全策略。執行點可將安全策略應用於經攔截之資料訊務。使用安全策略,執行點可判定整個資料訊務或資料訊務之一部分是否需要任何處理。特定言之,可將被視作惡意之資料訊務重新引導至一分佈式安全處理器及/或合成伺服器或其他安全功能(例如,誘捕系統、限定坑(tarpit)及/或入侵保護系統(IPS))。該合成伺服器或其他安全功能可包含一主機、資料或看似為一分佈式網路之部分但實際可經隔離及監測之一網路站點。如本文中所使用,「主機」係指連接至該分佈式網路之任何電腦。合成伺服器或其他安全功能可看似含有對於攻擊者之資訊或一價值資源。此一合成伺服器有時被稱為一「誘捕系統」。該合成伺服器或其他安全功能可分析惡意資料訊務以嘗試確立攻擊者之意圖及預測該等攻擊者之未來動作。此外或替代性地,合成伺服器或其他安全功能可使用預組態簽章、基於啟發式之分析及類似者來偵測惡意行為。
可在不進行任何進一步處理的情況下將藉由執行點判定為合法(即,不含有安全威脅)之資料訊務轉發至預期目的地伺服器(例如,重新引導至分佈式安全處理器或其他安全功能)。此外,可批准及容許與相同連接相關聯之任何未來資料訊務沿著兩個方向自由行進直至連接終止。在一些實例性實施例中,可將合法資料訊務加密以改良安全。
本發明之實例性系統可對於資料中心內之呈微服務之一形式之網路資產提供分佈式保護。該等微服務可包含軟體架構設計型樣,其中複雜應用程式(例如,網路安全應用程式)可由使用API彼此通信之小、獨立程序組成。微服務可為小、經高度解耦及集中進行小任務,諸如使網路資產之一部分安全。該系統可跨分佈式網路之多個設施(即,跨多個網路資產)執行一單組安全策略。微服務係在標題為「Methods and Systems for Providing Security to Distributed
Microservices」之相關美國專利申請案第14/657,282號中進一步描述,該專利申請案之全文據此出於所有目的以引用的方式併入本文中。
此外,該例示性系統可對多個資料中心提供保護。例如,該系統可部署於一公共雲端網路內,因此容許將不同類型之安全設施結合在一起及執行一單組安全控制及策略。該系統可包含伺服多個安全設施之一單個UI及一單個API,使得整體系統看上去像一個安全設施且跨與該公共雲端網路相關聯之私有資料中心提供安全。
圖2繪示根據一些實施例之其內可實施用於對於一分佈式網路實現安全功能之系統及方法之一環境200。環境200可包含一分佈式網路(未展示)內之一(虛擬化)環境。環境200可包含複數個網路資產205。網路資產205可包含定位於該分佈式網路內之虛擬及/或實體伺服器、主機、資料或資源中之任一者。複數個第三方210可定位於相同分佈式網路內且可起始與網路資產205之通信。第三方210可藉由將資料訊務215發送至網路資產205來起始通信。可藉由超管理器或交換器220將藉由第三方210發送之資料訊務215轉發至執行點225(中之一者)。超管理器或交換器220可操作以產生一或多個虛擬機器。藉由超管理器或交換器220產生之該等虛擬機器可充當執行點225。執行點225可將經攔截之資料訊務215引導至分佈式安全處理器242及/或合成伺服器或其他安全功能240。執行點225可將安全策略應用於資料訊務215以對網路資產205提供個別化保護。執行點225可判定資料訊務215是否含有對於網路資產205之任何威脅。可將未造成任何威脅之資料訊務215轉發至網路資產205。
一攻擊者230可意圖藉由發送惡意資料訊務235來攻擊網路資產205。惡意資料訊務235可包含惡意軟體訊務(例如,殭屍網路訊務)、間諜軟體、拒絕服務(DoS)攻擊訊務、垃圾郵件及類似者。由於執行
點225負責攔截引導至網路資產205之資料訊務,因此可藉由執行點225中之至少一者攔截惡意資料訊務235。超管理器或交換器220可將經攔截之惡意資料訊務235發送至執行點225。基於安全策略,執行點225可判定惡意資料訊務235對網路資產205造成威脅。基於該判定,執行點225可阻斷(例如,丟棄)惡意資料訊務235及/或將惡意資料訊務235引導至分佈式安全處理器242及/或在分佈式網路內產生之一合成伺服器或其他安全功能240。
合成伺服器或其他安全功能240可包含看似含有對於攻擊者230之價值資料且因此充當用於攻擊者230之一「誘捕系統」之一主機。藉由進一步非限制性實例之方式,合成伺服器或其他安全功能240係一沙箱、限定坑、入侵保護系統(IPS)及類似者。合成伺服器或其他安全功能240可進一步分析惡意資料訊務235以確立攻擊者230之意圖及預測該攻擊者230之未來惡意企圖。例如,分佈式安全處理器242並不一定在資料訊務流中。分佈式安全處理器242可判定是阻斷(例如,丟棄)還是重新引導惡意資料訊務235且可引導執行點225中之至少一者進行經判定動作(例如,阻斷或重新引導)。
圖3係展示根據某些實施例之用於對於一分佈式網路實現安全功能之一系統300之各種模組之一方塊圖。系統300可包括一策略引擎310、一編譯器320、複數個分佈式安全處理器330、一記錄模組340、一執行點350、一超管理器360及分析引擎370。策略引擎310可操作以產生用於保護該分佈式網路內之複數個網路資產之至少一個安全策略。在實例性實施例中,策略引擎310包含以下各者中之至少一者:用以接收使用者輸入之一UI、一API及至少一個預定策略。在一實例性實施例中,該安全策略包含由一使用者(諸如該分佈式網路之一操作者)經由該UI或該API定義之一策略。編譯器320可操作以將該至少一個安全策略轉換成至少一個規則集(例如,防火牆規則集)。策略引
擎310、編譯器320、安全策略、規則集及相關聯方法係在標題為「Conditional Declarative Policies」之相關美國專利申請案第14/673,640號中進一步描述,該專利申請案之全文據此出於所有目的以引用的方式併入本文中。
在各項實施例中,編譯器320可使用對資料訊務215及/或惡意資料訊務235之分析來產生至少一個規則集,此在標題為「System and Method for Threat-Driven Security Policy Controls」之相關美國專利申請案第14/673,679號中進一步描述,該專利申請案之全文據此出於所有目的以引用的方式併入本文中。
在進一步實例性實施例中,超管理器360可運行於與資料資產相關聯之一伺服器上且包含用以攔截引導至該伺服器之資料訊務之一執行點350。
在一實例性實施例中,複數個分佈式安全處理器330可包含充當儲存關於先前經接收資料封包之資訊及使用該經儲存資訊以用於處理當前資料封包之狀態處理器之虛擬機器。分佈式安全處理器330可操作以接收至少一個規則集且實施至少一個安全策略以用於起始與複數個網路資產相關聯之通信。因此,分佈式安全處理器330中之各者可經組態為一策略執行點以對網路資產提供個別化保護。
在一實例性實施例中,複數個分佈式安全處理器330可進一步操作以例示用以基於預定準則實現與複數個網路資產相關聯之通信之處理之複數個資料路徑。該處理可包含將被視為惡意之通信重新引導至一合成伺服器或其他安全功能。該合成伺服器可經設計以分析通信以嘗試確立意圖及預測與該等通信相關聯之一方之未來動作。此外,合成伺服器可經組態以便慫恿一攻擊者企圖對該合成伺服器進行一攻擊,使得可收集及分析與該攻擊者相關聯之資料。
在一些實施例中,處理包含產生分佈式網路上之合成網際網路
協定(IP)位址,該等合成IP位址指向合成伺服器,使得掃描該分佈式網路之IP位址之一攻擊者可襲擊該等合成IP位址且被引導至該合成伺服器。在本發明之進一步實施例中,處理可包含將被視為惡意之通信重新引導至其他安全服務。
在一些實例性實施例中,執行點225(圖2)及/或執行點350(圖3)經組態為快速快取區以基於關於轉發通信之決策執行快速轉發。
在一些實施例中,一旦批准與複數個網路資產之通信,分佈式安全處理器330即可將該等通信轉發至一預期目的地以用於連接之其餘者。分佈式安全處理器330可包含與重新引導通信有關之轉發表及資料。因此,對於起始於該方與一目的地伺服器之間的會話之其餘者,可在無需進一步分析的情況下將通信引導至該目的地伺服器。
在實例性實施例中,實施至少一個安全策略包含基於預定簽章或定義預期協定行為之預定義狀態機器來分析通信。該等預定簽章可包含以下各者中之至少一者:一封包之內容、請求通信之一方之一行為、一歷史型樣、指示惡意意圖之型樣、該方之一威脅行為(例如,掃描分佈式網路之裝置以理解網路架構)等等。
在一進一步實例性實施例中,實施至少一個安全策略可包含基於預定觸發條件觸發安全功能。觸發安全功能可牽涉藉由執行點350重新引導通信。執行點350可在超管理器360內產生。
記錄模組340可操作以產生關於資料訊務及實施安全策略之分析及報告。藉由記錄模組340產生之該等報告可相對於分佈式網路內之通信提供可見性。
在一些實施例中,分析引擎370分析(例如)藉由記錄模組340產生之分析及報告。分析引擎370可(例如)使用啟發法來判定資料訊務(趨勢)及/或網路資產之一改變。例如,分析引擎370可對至少一個網路資產計算一(經更新)風險評分。例如,編譯器320使用資料訊務及/或
網路資產之該改變(重新)編譯以產生一(經更新)規則集。使用資料訊務及/或網路資產之一經判定改變(例如,計算一經更新風險評分)以產生一新規則集係在標題為「System and Method for Threat-Driven Security Policy Controls」之相關美國專利申請案第14/673,679號中進一步描述,該專利申請案之全文據此出於所有目的以引用的方式併入本文中。圖4係繪示根據一些實例性實施例之用於對於一分佈式網路實現安全功能之一方法400之一流程圖。方法400可以在操作410處產生至少一個安全策略來開始。可藉由一策略引擎產生該安全策略以用於保護該分佈式網路內之複數個網路資產。該策略引擎可包含以下各者中之至少一者:用以接收使用者輸入之一UI、一API及至少一個預定策略。
方法400可進一步包含在操作420處藉由一編譯器將該至少一個安全策略轉換成至少一個規則集。在轉換之後,可在操作430處藉由複數個分佈式安全處理器接收該至少一個規則集。
方法400可進一步包含操作440,在操作440處可藉由該複數個分佈式安全處理器實施該至少一個安全策略以用於起始與複數個網路資產相關聯之通信。該複數個分佈式安全處理器中之各者可經組態以對該複數個網路資產中之至少一者提供個別化保護。在實例性實施例中,實施至少一個安全策略包含基於預定簽章或定義預期協定行為之預定義狀態機器分析通信。該等預定簽章可包含以下各者中之至少一者:一封包之內容、一方之一行為、一歷史型樣等等。在進一步實例性實施例中,實施至少一個安全策略包含基於預定觸發條件觸發安全功能。觸發安全功能可包含藉由一執行點重新引導通信。在進一步實例性實施例中,實施至少一個安全策略包含將通信之資料封包加密。在操作450處,可藉由一記錄模組產生關於實施安全策略之分析及報告。在操作460處,基於關於安全策略實施之經產生分析及報告可判
定安全策略變化。
在一些實施例中,方法400可進一步包含例示用以基於預定準則實現與複數個網路資產相關聯之通信之處理之複數個資料路徑。可藉由分佈式安全處理器例示該複數個資料路徑。該處理可包含將被視為惡意之通信重新引導至一合成伺服器。該合成伺服器可經設計以分析通信以嘗試確立意圖及預測與該等通信相關聯之一方之未來動作。
在一些實施例中,一旦批准與複數個網路資產之通信,分佈式安全處理器即可將該等通信轉發至一預期目的地以用於一連接之其餘者。
圖5展示根據一實例性實施例之對於一分佈式網路中之一伺服器實現安全功能之一示意圖500。一伺服器505可與一超管理器510相關聯。超管理器510可包含負責攔截藉由該分佈式網路中之一方(未展示)引導至伺服器505之資料訊務之一或多個執行點515。執行點515可將該經攔截資料訊務引導至一或多個分佈式安全處理器520。一策略引擎525可產生安全策略且跨該分佈式網路將該等安全策略分佈至分佈式安全處理器520。策略引擎525亦可連接至UI 535、API 540及一編排引擎545。編排引擎545可用於控制超管理器510。
分佈式安全處理器520可基於自策略引擎525接收之安全策略處理經攔截資料訊務且進行該經攔截資料訊務是否為惡意之一決策。惡意資料訊務可經轉發、阻斷(例如,丟棄)及/或重新引導至一安全服務(諸如充當用於與該惡意資料訊務相關聯之一攻擊者之一誘捕系統之一合成伺服器或其他安全功能530)。
圖6展示將攻擊訊務重新引導至展示為一影子網路610之特定安全服務之一示意圖600。示意圖600展示分佈用於對於一分佈式網路實現安全功能之方法之操作所需之資源。特定言之,(記錄)分析620可為高狀態及處理器密集型的。策略運算630及高狀態安全處理640可為
較不處理器密集型的。基於快取之安全處理650可為少狀態及高速的。可將與惡意資料訊務之威脅遏制及威脅分析相關聯之全部操作重新引導至影子網路610。該影子網路610可包含複數個分佈式安全處理器640。
圖7展示用於一電腦系統700之呈例示性電子形式之一機器之一運算裝置的一圖解表示,在該運算裝置內可執行引起該機器執行本文中所論述之方法論中之任一或多者之一指令集。在各項例示性實施例中,該機器作為一獨立裝置操作或可連接(例如,網路連結)至其他機器。在一網路連結之部署中,該機器可在一主從式網路環境中在一伺服器或一用戶端機器之能力中操作或在一同級間(或分佈式)網路環境中作為一同級機器操作。該機器可為一伺服器、一個人電腦(PC)、一平板PC、一機上盒、一蜂巢式電話、一數位相機、一可攜式音樂播放器(例如,一可攜式硬碟機音訊裝置,諸如一移動圖像專家組音訊層3(MP3)播放器)、一web設備、一網路路由器、一交換器、一橋接器或能夠執行指定藉由彼機器採取之動作之一指令集(循序或以其他方式)之任何機器。此外,雖然僅繪示一單個機器,但術語「機器」亦應認為包含個別或結合執行一指令集(或多個指令集)以執行本文中所論述之方法論中之任一或多者之機器的任何集合。
實例性電腦系統700包含一處理器或多個處理器702、一硬碟機704、一主記憶體706及一靜態記憶體708,其等經由一匯流排710彼此通信。電腦系統700亦可包含一網路介面裝置712。硬碟機704可包含一電腦可讀媒體720,其儲存體現本文中所描述之方法論或功能中之任一或多者或藉由該任一或多者利用之一或多個指令集722。指令722在其等藉由電腦系統700執行期間亦可完全或至少部分駐留於主記憶體706及/或靜態記憶體708內及/或處理器702內。該等主記憶體706、靜態記憶體708及處理器702亦構成機器可讀媒體。
雖然電腦可讀媒體720在一例示性實施例中展示為一單個媒體,但術語「電腦可讀媒體」應認為包含儲存一或多個指令集之一單個媒體或多個媒體(例如,一集中式或分佈式資料庫及/或相關聯快取區及伺服器)。術語「電腦可讀媒體」亦應認為包含能夠儲存、編碼或執行藉由機器執行及引起該機器執行本發明申請案之方法論中之任一或多者之一指令集,或能夠儲存、編碼或執行藉由此一指令集利用或與此一指令集相關聯之資料結構之任何媒體。因此術語「電腦可讀媒體」應認為包含但不限於固態記憶體、光學及磁性媒體。此等媒體亦可包含(但不限於):硬磁碟、軟磁碟、NAND或NOR快閃記憶體、數位視訊磁碟、RAM、ROM及類似者。
本文中所描述之例示性實施例可實施於包括安裝於一電腦上、硬體中或軟體與硬體之一組合中之電腦可執行指令(例如,軟體)之一作業環境中。該等電腦可執行指令可以一電腦程式化語言寫入或可以韌體邏輯體現。若以符合一公認標準之一程式化語言寫入,則此等指令可執行於各種硬體平台上且用於至各種作業系統之介面。儘管並不限於此,然用於實施本發明方法之電腦軟體程式可以任何數目個合適程式化語言(舉例而言,諸如C、Python、JavaScript、Go或其他編譯器、組譯器、解譯器或其他電腦語言或平台)寫入。
因此,描述用於對於一分佈式網路實現安全功能之系統及方法。儘管已參考特定例示性實施例描述實施例,然將顯而易見,可在不脫離本發明申請案之寬廣精神及範疇的情況下對此等例示性實施例作出各種修改及改變。因此,說明書及圖式應視為具一闡釋性意義而非一限制性意義。
100‧‧‧環境
110‧‧‧防火牆
120‧‧‧可信安全內部網路/內部網路
130‧‧‧不安全外部網路
140‧‧‧可信邊界
150‧‧‧資產
160‧‧‧攻擊者
Claims (19)
- 一種系統,其包括:一交換器;複數個網路資產;一執行點,其通信耦合至該交換器及該複數個網路資產中之至少一個網路資產,該執行點處理自該交換器接收之一資料封包,該執行點使用該處理及一規則集選擇性轉發該資料封包,該資料封包經引導至該至少一個網路資產;一分佈式安全處理器,其通信耦合至該執行點,該分佈式安全處理器檢測自該執行點轉發之該封包,該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者;一記錄模組,其通信耦合至該交換器、該執行點及該分佈式安全處理器中之至少一者,該記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料;及一分析模組,其通信耦合至該記錄模組及一編譯器,該分析模組分析該資料封包、該處理及該檢測中之該至少一者,該分析模組藉由該編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。
- 如請求項1之系統,其進一步包括:一合成伺服器,其通信耦合至該執行點,該合成伺服器自該執行點接收一惡意資料封包且執行一安全功能,其中該執行點處理一惡意資料封包且將該惡意資料封包轉發至該合成伺服器。
- 如請求項2之系統,其中該合成伺服器模擬該至少一個網路資產 之操作且研究該惡意資料封包以確定該惡意封包之一發起者之意圖及未來動作。
- 如請求項2之系統,其中該合成伺服器係一誘捕系統、限定坑及入侵保護系統中之至少一者。
- 如請求項1之系統,其中該等網路資產包含一實體主機及一虛擬機器中之至少一者。
- 如請求項1之系統,其中該執行點包含用於處理該資料封包之一高速資料快取區。
- 如請求項1之系統,其中該檢測係一處理器密集型、高狀態封包檢測。
- 如請求項1之系統,其中該分析模組計算與該至少一個網路資產相關聯之一風險評分,該風險評分為與該至少一個網路資產相關聯之一安全特性。
- 如請求項1之系統,其中該執行點接收及使用該經更新規則集。
- 一種方法,其包括:藉由一執行點處理自一交換器接收之一資料封包,該資料封包經引導至至少一個網路資產;藉由該執行點使用該處理及一規則集選擇性轉發該資料封包;藉由一分佈式安全處理器檢測該經轉發封包;藉由該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者;藉由一記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料;藉由一分析模組分析該資料封包、該處理及該檢測中之該至 少一者;及藉由一分析模組藉由編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。
- 如請求項10之方法,其進一步包括:藉由一合成伺服器自該執行點接收一惡意資料封包;及藉由一合成伺服器執行一安全功能,其中該執行點處理一惡意資料封包且將該惡意資料封包轉發至該合成伺服器。
- 如請求項11之方法,其進一步包括:藉由該合成伺服器模擬該至少一個網路資產之操作;及藉由一合成伺服器研究該惡意資料封包以確定該惡意封包之一發起者之意圖及未來動作。
- 如請求項11之方法,其中該合成伺服器係一誘捕系統、限定坑及入侵保護系統中之至少一者。
- 如請求項10之方法,其中該等網路資產包含一實體主機及一虛擬機器中之至少一者。
- 如請求項10之方法,其中該執行點使用至少一高速資料快取區處理該資料封包。
- 如請求項10之方法,其中該檢測包含一處理器密集型、高狀態封包檢測。
- 如請求項10之方法,其進一步包括:藉由該分析模組計算與該至少一個網路資產相關聯之一風險評分,該風險評分為與該至少一個網路資產相關聯之相對安全之一量測。
- 如請求項10之方法,其進一步包括:藉由該執行點接收該經更新規則集。
- 一種方法,其包括:獲得用於一資料網路之一安全策略,該安全策略選擇性容許及/或阻止複數個網路資產之間的通信且指示使用與各別群組相關聯之一共同安全特性之該複數個網路資產之若干群組;起始編譯該安全策略以產生一規則集,該規則集使用一來源位址、來源連接埠、目的地位址、目的地連接埠及與該複數個網路資產之特定者之間的通信相關聯之一應用程式協定之至少一者選擇性阻斷該通信;將該規則集提供至至少一個執行點;接收與該資料網路中之通信相關聯之分析及一記錄中之至少一者,藉由一記錄模組產生分析及一記錄中之該至少一者;計算與該至少一網路資產相關聯之一風險評分,該風險評分為與該至少一個網路資產相關聯之相對安全之一量測;使用該經計算之風險評分起始該安全策略之一重新編譯以產生一經更新規則集;及將該經更新規則集散佈至該至少一個執行點。
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/677,755 US9525697B2 (en) | 2015-04-02 | 2015-04-02 | Delivering security functions to distributed networks |
Publications (1)
Publication Number | Publication Date |
---|---|
TW201703486A true TW201703486A (zh) | 2017-01-16 |
Family
ID=57006285
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
TW105110190A TW201703486A (zh) | 2015-04-02 | 2016-03-30 | 於分佈式網路實現安全功能 |
Country Status (3)
Country | Link |
---|---|
US (2) | US9525697B2 (zh) |
TW (1) | TW201703486A (zh) |
WO (1) | WO2016160534A2 (zh) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10084753B2 (en) | 2015-04-02 | 2018-09-25 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
TWI647574B (zh) * | 2017-10-26 | 2019-01-11 | 中華電信股份有限公司 | 雲端安全網路瀏覽方法及系統 |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11070592B2 (en) * | 2015-10-28 | 2021-07-20 | Qomplx, Inc. | System and method for self-adjusting cybersecurity analysis and score generation |
US9948663B1 (en) * | 2015-12-07 | 2018-04-17 | Symantec Corporation | Systems and methods for predicting security threat attacks |
US10873566B2 (en) * | 2016-02-23 | 2020-12-22 | Nicira, Inc. | Distributed firewall in a virtualized computing environment |
US11038845B2 (en) | 2016-02-23 | 2021-06-15 | Nicira, Inc. | Firewall in a virtualized computing environment using physical network interface controller (PNIC) level firewall rules |
US9998480B1 (en) | 2016-02-29 | 2018-06-12 | Symantec Corporation | Systems and methods for predicting security threats |
US10341369B2 (en) * | 2016-03-29 | 2019-07-02 | Ncr Corporation | Security system monitoring techniques by mapping received security score with newly identified security score |
US10033762B2 (en) | 2016-04-26 | 2018-07-24 | Acalvio Technologies, Inc. | Threat engagement and deception escalation |
US10237240B2 (en) | 2016-07-21 | 2019-03-19 | AT&T Global Network Services (U.K.) B.V. | Assessing risk associated with firewall rules |
US10904275B2 (en) * | 2016-11-30 | 2021-01-26 | Cisco Technology, Inc. | Leveraging synthetic traffic data samples for flow classifier training |
US11265718B2 (en) * | 2017-05-12 | 2022-03-01 | Sophos Limited | Detecting IoT security attacks using physical communication layer characteristics |
US11310120B1 (en) * | 2017-05-15 | 2022-04-19 | Microsoft Technology Licensing, Llc | Techniques for detection and analysis of network assets under common management |
AU2017421179B2 (en) * | 2017-06-29 | 2022-10-27 | Certis Cisco Security Pte Ltd | Autonomic incident triage prioritization by performance modifier and temporal decay parameters |
US10554675B2 (en) * | 2017-12-21 | 2020-02-04 | International Business Machines Corporation | Microservice integration fabrics network intrusion detection and prevention service capabilities |
US10965675B2 (en) * | 2018-03-14 | 2021-03-30 | Bank Of America Corporation | Preventing unauthorized access to secure information systems using advanced pre-authentication techniques |
US11411998B2 (en) * | 2018-05-01 | 2022-08-09 | Cisco Technology, Inc. | Reputation-based policy in enterprise fabric architectures |
US11134059B2 (en) * | 2018-12-04 | 2021-09-28 | Cisco Technology, Inc. | Micro-firewalls in a microservice mesh environment |
CN110099040B (zh) * | 2019-03-01 | 2021-11-30 | 江苏极元信息技术有限公司 | 一种基于大量部署诱饵主机探测拦截内网攻击源的防御方法 |
WO2021091273A1 (en) * | 2019-11-08 | 2021-05-14 | Samsung Electronics Co., Ltd. | Method and electronic device for determining security threat on radio access network |
US20210168173A1 (en) * | 2019-12-03 | 2021-06-03 | Charter Communications Operating, Llc | Detection and remediation of malicious network traffic using tarpitting |
CN111490996B (zh) * | 2020-06-24 | 2020-10-23 | 腾讯科技(深圳)有限公司 | 网络攻击处理方法、装置、计算机设备及存储介质 |
US11875172B2 (en) | 2020-09-28 | 2024-01-16 | VMware LLC | Bare metal computer for booting copies of VM images on multiple computing devices using a smart NIC |
US11792134B2 (en) | 2020-09-28 | 2023-10-17 | Vmware, Inc. | Configuring PNIC to perform flow processing offload using virtual port identifiers |
CN112333157B (zh) * | 2020-10-20 | 2021-07-09 | 深圳格隆汇信息科技有限公司 | 基于大数据的网络安全防护方法和网络安全防护平台 |
CN113918985B (zh) * | 2021-09-10 | 2023-07-18 | 广州博依特智能信息科技有限公司 | 一种安全管理策略生成方法及装置 |
US11995024B2 (en) | 2021-12-22 | 2024-05-28 | VMware LLC | State sharing between smart NICs |
US11899594B2 (en) | 2022-06-21 | 2024-02-13 | VMware LLC | Maintenance of data message classification cache on smart NIC |
US11928367B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Logical memory addressing for network devices |
US11928062B2 (en) | 2022-06-21 | 2024-03-12 | VMware LLC | Accelerating data message classification with smart NICs |
Family Cites Families (161)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5586121A (en) | 1995-04-21 | 1996-12-17 | Hybrid Networks, Inc. | Asymmetric hybrid access system and method |
US6253321B1 (en) | 1998-06-19 | 2001-06-26 | Ssh Communications Security Ltd. | Method and arrangement for implementing IPSEC policy management using filter code |
US7188180B2 (en) | 1998-10-30 | 2007-03-06 | Vimetx, Inc. | Method for establishing secure communication link between computers of virtual private network |
US6970459B1 (en) | 1999-05-13 | 2005-11-29 | Intermec Ip Corp. | Mobile virtual network system and method |
US6765864B1 (en) | 1999-06-29 | 2004-07-20 | Cisco Technology, Inc. | Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network |
CN100405784C (zh) | 1999-06-30 | 2008-07-23 | 倾向探测公司 | 用于监控网络流量的方法和设备 |
US6578076B1 (en) | 1999-10-18 | 2003-06-10 | Intel Corporation | Policy-based network management system using dynamic policy generation |
US20020031103A1 (en) | 2000-05-02 | 2002-03-14 | Globalstar L.P. | User terminal employing quality of service path determination and bandwidth saving mode for a satellite ISP system using non-geosynchronous orbit satellites |
US7412501B2 (en) * | 2000-06-07 | 2008-08-12 | Microsoft Corporation | Event consumers for an event management system |
US6944673B2 (en) | 2000-09-08 | 2005-09-13 | The Regents Of The University Of Michigan | Method and system for profiling network flows at a measurement point within a computer network |
US20070192863A1 (en) | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US20030236985A1 (en) | 2000-11-24 | 2003-12-25 | Nokia Corporation | Transaction security in electronic commerce |
US6983325B1 (en) | 2000-12-28 | 2006-01-03 | Mcafee, Inc. | System and method for negotiating multi-path connections through boundary controllers in a networked computing environment |
US7068598B1 (en) | 2001-02-15 | 2006-06-27 | Lucent Technologies Inc. | IP packet access gateway |
US6992985B1 (en) | 2001-06-29 | 2006-01-31 | Nokia Inc. | Method and system for auto discovery of IP-based network elements |
US7028179B2 (en) * | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
US7546629B2 (en) | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
US7295532B2 (en) | 2001-08-17 | 2007-11-13 | Ixi Mobile (R & D), Ltd. | System, device and computer readable medium for providing networking services on a mobile device |
US7302700B2 (en) | 2001-09-28 | 2007-11-27 | Juniper Networks, Inc. | Method and apparatus for implementing a layer 3/layer 7 firewall in an L2 device |
AU2002352637A1 (en) | 2001-11-13 | 2003-05-26 | Ems Technologies, Inc. | Performance enhancing proxy techniques for internet protocol traffic |
US7058718B2 (en) | 2002-01-15 | 2006-06-06 | International Business Machines Corporation | Blended SYN cookies |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7058712B1 (en) | 2002-06-04 | 2006-06-06 | Rockwell Automation Technologies, Inc. | System and methodology providing flexible and distributed processing in an industrial controller environment |
JP3794491B2 (ja) * | 2002-08-20 | 2006-07-05 | 日本電気株式会社 | 攻撃防御システムおよび攻撃防御方法 |
US7849495B1 (en) | 2002-08-22 | 2010-12-07 | Cisco Technology, Inc. | Method and apparatus for passing security configuration information between a client and a security policy server |
US7313098B2 (en) | 2002-09-30 | 2007-12-25 | Avaya Technology Corp. | Communication system endpoint device with integrated call synthesis capability |
US7062566B2 (en) | 2002-10-24 | 2006-06-13 | 3Com Corporation | System and method for using virtual local area network tags with a virtual private network |
US7313384B1 (en) | 2002-10-31 | 2007-12-25 | Aol Llc, A Delaware Limited Liability Company | Configuring wireless devices |
US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7035257B2 (en) | 2002-11-14 | 2006-04-25 | Digi International, Inc. | System and method to discover and configure remotely located network devices |
US7397794B1 (en) | 2002-11-21 | 2008-07-08 | Juniper Networks, Inc. | Systems and methods for implementing virtual switch planes in a physical switch fabric |
US7444620B2 (en) | 2003-02-28 | 2008-10-28 | Bea Systems, Inc. | Systems and methods for a common runtime container framework |
WO2004098143A1 (en) | 2003-04-28 | 2004-11-11 | Chantry Networks Inc. | System and method for mobile unit session management across a wireless communication network |
US7681235B2 (en) | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
CA2527501A1 (en) | 2003-05-28 | 2004-12-09 | Caymas Systems, Inc. | Multilayer access control security system |
US7254713B2 (en) * | 2003-09-11 | 2007-08-07 | Alcatel | DOS attack mitigation using upstream router suggested remedies |
US7523484B2 (en) | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
US8458215B2 (en) | 2003-11-24 | 2013-06-04 | International Business Machines Corporation | Dynamic functional module availability |
US7586922B2 (en) | 2004-03-12 | 2009-09-08 | Telefonaktiebolaget Lm Ericsson (Publ) | Providing higher layer packet/frame boundary information in GRE frames |
US7620986B1 (en) * | 2004-06-14 | 2009-11-17 | Xangati, Inc. | Defenses against software attacks in distributed computing environments |
US7519079B2 (en) | 2004-09-08 | 2009-04-14 | Telefonaktiebolaget L M Ericsson (Publ) | Generic routing encapsulation over point-to-point protocol |
GB2418110B (en) | 2004-09-14 | 2006-09-06 | 3Com Corp | Method and apparatus for controlling traffic between different entities on a network |
GB2418326B (en) | 2004-09-17 | 2007-04-11 | Hewlett Packard Development Co | Network vitrualization |
US20060085852A1 (en) * | 2004-10-20 | 2006-04-20 | Caleb Sima | Enterprise assessment management |
US20060101520A1 (en) * | 2004-11-05 | 2006-05-11 | Schumaker Troy T | Method to manage network security over a distributed network |
KR100628325B1 (ko) | 2004-12-20 | 2006-09-27 | 한국전자통신연구원 | 무선 네트워크에 대한 공격을 탐지하기 위한 침입 탐지센서 및 무선 네트워크 침입 탐지 시스템 및 방법 |
US7607170B2 (en) * | 2004-12-22 | 2009-10-20 | Radware Ltd. | Stateful attack protection |
US7627123B2 (en) | 2005-02-07 | 2009-12-01 | Juniper Networks, Inc. | Wireless network having multiple security interfaces |
US8171544B2 (en) | 2005-04-20 | 2012-05-01 | Cisco Technology, Inc. | Method and system for preventing, auditing and trending unauthorized traffic in network systems |
US7804787B2 (en) | 2005-07-08 | 2010-09-28 | Fluke Corporation | Methods and apparatus for analyzing and management of application traffic on networks |
US8056124B2 (en) | 2005-07-15 | 2011-11-08 | Microsoft Corporation | Automatically generating rules for connection security |
US7961739B2 (en) | 2005-07-21 | 2011-06-14 | Genband Us Llc | Systems and methods for voice over multiprotocol label switching |
US8104033B2 (en) | 2005-09-30 | 2012-01-24 | Computer Associates Think, Inc. | Managing virtual machines based on business priorty |
US20070162968A1 (en) | 2005-12-30 | 2007-07-12 | Andrew Ferreira | Rule-based network address translation |
US20070174429A1 (en) | 2006-01-24 | 2007-07-26 | Citrix Systems, Inc. | Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment |
US7542455B2 (en) | 2006-04-18 | 2009-06-02 | Cisco Technology, Inc. | Unlicensed mobile access (UMA) communications using decentralized security gateway |
NZ547322A (en) | 2006-05-18 | 2008-03-28 | Fronde Anywhere Ltd | Authentication method for wireless transactions |
US8316439B2 (en) | 2006-05-19 | 2012-11-20 | Iyuko Services L.L.C. | Anti-virus and firewall system |
US7774837B2 (en) | 2006-06-14 | 2010-08-10 | Cipheroptics, Inc. | Securing network traffic by distributing policies in a hierarchy over secure tunnels |
US7742414B1 (en) | 2006-06-30 | 2010-06-22 | Sprint Communications Company L.P. | Lightweight indexing for fast retrieval of data from a flow-level compressed packet trace |
US8639837B2 (en) | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
US20080083011A1 (en) | 2006-09-29 | 2008-04-03 | Mcalister Donald | Protocol/API between a key server (KAP) and an enforcement point (PEP) |
US8510834B2 (en) * | 2006-10-09 | 2013-08-13 | Radware, Ltd. | Automatic signature propagation network |
US20080155239A1 (en) | 2006-10-10 | 2008-06-26 | Honeywell International Inc. | Automata based storage and execution of application logic in smart card like devices |
US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
US7844839B2 (en) | 2006-12-07 | 2010-11-30 | Juniper Networks, Inc. | Distribution of network communications based on server power consumption |
US8949986B2 (en) | 2006-12-29 | 2015-02-03 | Intel Corporation | Network security elements using endpoint resources |
US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
US8290146B2 (en) | 2007-01-19 | 2012-10-16 | Mitsubishi Electric Corporation | Ciphertext generating apparatus, cryptographic communication system, and group parameter generating apparatus |
EP1962192A1 (en) | 2007-02-21 | 2008-08-27 | Deutsche Telekom AG | Method and system for the transparent migration of virtual machine storage |
US20080301770A1 (en) | 2007-05-31 | 2008-12-04 | Kinder Nathan G | Identity based virtual machine selector |
US20140173731A1 (en) * | 2007-07-27 | 2014-06-19 | Redshift Internetworking, Inc. | System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows |
GB2453518A (en) | 2007-08-31 | 2009-04-15 | Vodafone Plc | Telecommunications device security |
CN101399749B (zh) | 2007-09-27 | 2012-04-04 | 华为技术有限公司 | 一种报文过滤的方法、系统和设备 |
US8730946B2 (en) * | 2007-10-18 | 2014-05-20 | Redshift Internetworking, Inc. | System and method to precisely learn and abstract the positive flow behavior of a unified communication (UC) application and endpoints |
US9338176B2 (en) | 2008-01-07 | 2016-05-10 | Global Dataguard, Inc. | Systems and methods of identity and access management |
US9143566B2 (en) * | 2008-01-16 | 2015-09-22 | Netapp, Inc. | Non-disruptive storage caching using spliced cache appliances with packet inspection intelligence |
US9264441B2 (en) | 2008-03-24 | 2016-02-16 | Hewlett Packard Enterprise Development Lp | System and method for securing a network from zero-day vulnerability exploits |
MX2010011822A (es) | 2008-04-28 | 2011-02-18 | Xg Technology Inc | Mecanismo de compresion de encabezado para transmitir paquetes de rtp en enlaces inalambricos. |
US7899849B2 (en) | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
US8307422B2 (en) | 2008-08-14 | 2012-11-06 | Juniper Networks, Inc. | Routing device having integrated MPLS-aware firewall |
US8353021B1 (en) | 2008-09-30 | 2013-01-08 | Symantec Corporation | Determining firewall rules for an application on a client based on firewall rules and reputations of other clients |
US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
US8677473B2 (en) * | 2008-11-18 | 2014-03-18 | International Business Machines Corporation | Network intrusion protection |
CN101442494B (zh) | 2008-12-16 | 2011-06-22 | 中兴通讯股份有限公司 | 一种实现快速重路由的方法 |
US8565118B2 (en) | 2008-12-30 | 2013-10-22 | Juniper Networks, Inc. | Methods and apparatus for distributed dynamic network provisioning |
US7974279B2 (en) * | 2009-01-29 | 2011-07-05 | Nokia Corporation | Multipath data communication |
US20100228962A1 (en) | 2009-03-09 | 2010-09-09 | Microsoft Corporation | Offloading cryptographic protection processing |
CN101834833B (zh) | 2009-03-13 | 2014-12-24 | 瞻博网络公司 | 对分布式拒绝服务攻击的服务器防护 |
US8321862B2 (en) | 2009-03-20 | 2012-11-27 | Oracle America, Inc. | System for migrating a virtual machine and resource usage data to a chosen target host based on a migration policy |
JP5091912B2 (ja) | 2009-05-21 | 2012-12-05 | 株式会社東芝 | マルチコアプロセッサシステム |
US9621516B2 (en) | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
US8234469B2 (en) | 2009-07-09 | 2012-07-31 | Microsoft Corporation | Backup of virtual machines using cloned virtual machines |
US8578465B2 (en) | 2009-07-21 | 2013-11-05 | Cisco Technology, Inc. | Token-based control of permitted sub-sessions for online collaborative computing sessions |
US8694619B2 (en) | 2009-07-30 | 2014-04-08 | Telefonaktiebolaget L M Ericsson (Publ) | Packet classification method and apparatus |
US8789173B2 (en) | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
WO2011030889A1 (ja) | 2009-09-14 | 2011-03-17 | 日本電気株式会社 | 通信システム、転送ノード、経路管理サーバ、通信方法およびプログラム |
GB2473675B (en) | 2009-09-22 | 2011-12-28 | Virtensys Ltd | Switching method |
US8532108B2 (en) * | 2009-09-30 | 2013-09-10 | Alcatel Lucent | Layer 2 seamless site extension of enterprises in cloud computing |
US8369333B2 (en) | 2009-10-21 | 2013-02-05 | Alcatel Lucent | Method and apparatus for transparent cloud computing with a virtualized network infrastructure |
CN102428474B (zh) | 2009-11-19 | 2015-05-06 | 株式会社日立制作所 | 计算机系统、管理系统和记录介质 |
US8352953B2 (en) | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Dynamically provisioning virtual machines |
US8296838B2 (en) * | 2009-12-07 | 2012-10-23 | At&T Intellectual Property I, L.P. | Methods, systems, and computer program products for protecting against IP prefix hijacking |
WO2011072899A1 (en) | 2009-12-15 | 2011-06-23 | International Business Machines Corporation | Method for operating cloud computing services and cloud computing information system |
US8464255B2 (en) | 2010-03-12 | 2013-06-11 | Microsoft Corporation | Managing performance interference effects on cloud computing servers |
US8938782B2 (en) | 2010-03-15 | 2015-01-20 | Symantec Corporation | Systems and methods for providing network access control in virtual environments |
US8259571B1 (en) | 2010-03-26 | 2012-09-04 | Zscaler, Inc. | Handling overlapping IP addresses in multi-tenant architecture |
JP5190084B2 (ja) | 2010-03-30 | 2013-04-24 | 株式会社日立製作所 | 仮想マシンのマイグレーション方法およびシステム |
US8868032B2 (en) | 2010-04-23 | 2014-10-21 | Tekelec, Inc. | Methods, systems, and computer readable media for automatic, recurrent enforcement of a policy rule |
US20110299533A1 (en) | 2010-06-08 | 2011-12-08 | Brocade Communications Systems, Inc. | Internal virtual network identifier and internal policy identifier |
CN102934400B (zh) | 2010-06-09 | 2016-08-24 | 日本电气株式会社 | 通信系统、逻辑信道控制设备、控制设备、通信方法以及程序 |
US8296459B1 (en) | 2010-06-30 | 2012-10-23 | Amazon Technologies, Inc. | Custom routing decisions |
US8448235B2 (en) | 2010-08-05 | 2013-05-21 | Motorola Solutions, Inc. | Method for key identification using an internet security association and key management based protocol |
CN103081409B (zh) | 2010-09-09 | 2015-07-08 | 日本电气株式会社 | 网络系统和网络管理方法 |
US8869307B2 (en) | 2010-11-19 | 2014-10-21 | Mobile Iron, Inc. | Mobile posture-based policy, remediation and access control for enterprise resources |
US8612744B2 (en) | 2011-02-10 | 2013-12-17 | Varmour Networks, Inc. | Distributed firewall architecture using virtual machines |
US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
US8625448B2 (en) | 2011-02-16 | 2014-01-07 | Oracle International Corporation | Method and system for validating network traffic classification in a blade server |
EP2493139A1 (en) | 2011-02-22 | 2012-08-29 | Voipfuture GmbH | VoIP quality measurement enhancements using the internet control message protocol |
JP5305045B2 (ja) | 2011-03-29 | 2013-10-02 | 日本電気株式会社 | スイッチングハブ及び検疫ネットワークシステム |
BR112013025528A2 (pt) | 2011-04-04 | 2016-12-27 | Nec Corp | sistema de rede, comutador e método de detecção de terminal conectado |
US20120287931A1 (en) | 2011-05-13 | 2012-11-15 | International Business Machines Corporation | Techniques for securing a virtualized computing environment using a physical network switch |
US20120294158A1 (en) | 2011-05-16 | 2012-11-22 | General Electric Company | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
US20120311575A1 (en) | 2011-06-02 | 2012-12-06 | Fujitsu Limited | System and method for enforcing policies for virtual machines |
US8516241B2 (en) | 2011-07-12 | 2013-08-20 | Cisco Technology, Inc. | Zone-based firewall policy model for a virtualized data center |
US8935457B2 (en) | 2011-07-29 | 2015-01-13 | International Business Machines Corporation | Network filtering in a virtualized environment |
US8839405B2 (en) * | 2011-08-10 | 2014-09-16 | Marvell World Trade Ltd. | Intelligent PHY with security detection for ethernet networks |
US8798055B1 (en) | 2011-08-11 | 2014-08-05 | Juniper Networks, Inc. | Forming a multi-device layer 2 switched fabric using internet protocol (IP)-routed / switched networks |
US20130086399A1 (en) | 2011-09-30 | 2013-04-04 | Cisco Technology, Inc. | Method, system and apparatus for network power management |
US8694786B2 (en) * | 2011-10-04 | 2014-04-08 | International Business Machines Corporation | Virtual machine images encryption using trusted computing group sealing |
US8984114B2 (en) | 2011-10-06 | 2015-03-17 | Varmour Networks, Inc. | Dynamic session migration between network security gateways |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US20130111542A1 (en) | 2011-10-31 | 2013-05-02 | Choung-Yaw Michael Shieh | Security policy tokenization |
US8813169B2 (en) | 2011-11-03 | 2014-08-19 | Varmour Networks, Inc. | Virtual security boundary for physical or virtual network devices |
US9529995B2 (en) | 2011-11-08 | 2016-12-27 | Varmour Networks, Inc. | Auto discovery of virtual machines |
US20130212680A1 (en) | 2012-01-12 | 2013-08-15 | Arxceo Corporation | Methods and systems for protecting network devices from intrusion |
US20130198805A1 (en) * | 2012-01-24 | 2013-08-01 | Matthew Strebe | Methods and apparatus for managing network traffic |
US8990371B2 (en) | 2012-01-31 | 2015-03-24 | International Business Machines Corporation | Interconnecting data centers for migration of virtual machines |
US9122507B2 (en) | 2012-02-18 | 2015-09-01 | Cisco Technology, Inc. | VM migration based on matching the root bridge of the virtual network of the origination host and the destination host |
WO2013172898A2 (en) * | 2012-02-21 | 2013-11-21 | Logos Technologies, Llc | System for detecting, analyzing, and controlling infiltration of computer and network systems |
US20130223226A1 (en) | 2012-02-29 | 2013-08-29 | Dell Products, Lp | System and Method for Providing a Split Data Plane in a Flow-Based Switching Device |
US9742732B2 (en) | 2012-03-12 | 2017-08-22 | Varmour Networks, Inc. | Distributed TCP SYN flood protection |
US9294302B2 (en) | 2012-03-22 | 2016-03-22 | Varmour Networks, Inc. | Non-fragmented IP packet tunneling in a network |
US9419941B2 (en) | 2012-03-22 | 2016-08-16 | Varmour Networks, Inc. | Distributed computer network zone based security architecture |
US9258275B2 (en) | 2012-04-11 | 2016-02-09 | Varmour Networks, Inc. | System and method for dynamic security insertion in network virtualization |
US8955093B2 (en) | 2012-04-11 | 2015-02-10 | Varmour Networks, Inc. | Cooperative network security inspection |
US10333827B2 (en) | 2012-04-11 | 2019-06-25 | Varmour Networks, Inc. | Adaptive session forwarding following virtual machine migration detection |
US9038151B1 (en) * | 2012-09-20 | 2015-05-19 | Wiretap Ventures, LLC | Authentication for software defined networks |
US8613070B1 (en) | 2012-10-12 | 2013-12-17 | Citrix Systems, Inc. | Single sign-on access in an orchestration framework for connected devices |
US9086900B2 (en) | 2012-12-05 | 2015-07-21 | International Business Machines Corporation | Data flow affinity for heterogenous virtual machines |
US9130901B2 (en) * | 2013-02-26 | 2015-09-08 | Zentera Systems, Inc. | Peripheral firewall system for application protection in cloud computing environments |
US20140279527A1 (en) * | 2013-03-14 | 2014-09-18 | Sas Institute Inc. | Enterprise Cascade Models |
US9094445B2 (en) * | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
US9626205B2 (en) * | 2013-08-14 | 2017-04-18 | Bank Of America Corporation | Hypervisor driven embedded endpoint security monitoring |
US9292684B2 (en) * | 2013-09-06 | 2016-03-22 | Michael Guidry | Systems and methods for security in computer systems |
US9621568B2 (en) | 2014-02-11 | 2017-04-11 | Varmour Networks, Inc. | Systems and methods for distributed threat detection in a computer network |
US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
US20170111272A1 (en) | 2015-10-14 | 2017-04-20 | Varmour Networks, Inc. | Determining Direction of Network Sessions |
-
2015
- 2015-04-02 US US14/677,755 patent/US9525697B2/en active Active
-
2016
- 2016-03-24 WO PCT/US2016/024119 patent/WO2016160534A2/en active Application Filing
- 2016-03-30 TW TW105110190A patent/TW201703486A/zh unknown
- 2016-11-03 US US15/342,982 patent/US10084753B2/en active Active
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10084753B2 (en) | 2015-04-02 | 2018-09-25 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
TWI647574B (zh) * | 2017-10-26 | 2019-01-11 | 中華電信股份有限公司 | 雲端安全網路瀏覽方法及系統 |
Also Published As
Publication number | Publication date |
---|---|
WO2016160534A3 (en) | 2017-02-16 |
US20170078247A1 (en) | 2017-03-16 |
WO2016160534A2 (en) | 2016-10-06 |
US9525697B2 (en) | 2016-12-20 |
US20160294858A1 (en) | 2016-10-06 |
US10084753B2 (en) | 2018-09-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10084753B2 (en) | Delivering security functions to distributed networks | |
US11281485B2 (en) | Extended context delivery for context-based authorization | |
US10091238B2 (en) | Deception using distributed threat detection | |
US10560434B2 (en) | Automated honeypot provisioning system | |
US10311235B2 (en) | Systems and methods for malware evasion management | |
US10193929B2 (en) | Methods and systems for improving analytics in distributed networks | |
US10050999B1 (en) | Security threat based auto scaling | |
US10474813B1 (en) | Code injection technique for remediation at an endpoint of a network | |
US20160323318A1 (en) | Computer network security system | |
US10440055B2 (en) | Apparatus and method for implementing network deception | |
Carlin et al. | Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges | |
US10216931B2 (en) | Detecting an attempt to exploit a memory allocation vulnerability | |
US20150381660A1 (en) | Dynamically Generating a Packet Inspection Policy for a Policy Enforcement Point in a Centralized Management Environment | |
TW201642617A (zh) | 用於威脅驅動安全性政策控制之系統及方法 | |
TW201642618A (zh) | 用於威脅驅動安全性政策控制之系統及方法 | |
US9548990B2 (en) | Detecting a heap spray attack | |
US11171985B1 (en) | System and method to detect lateral movement of ransomware by deploying a security appliance over a shared network to implement a default gateway with point-to-point links between endpoints | |
US9584550B2 (en) | Exploit detection based on heap spray detection | |
KR20110068308A (ko) | 네트워크 공격 탐지 및 분석 시스템 및 그 방법 | |
Majhi et al. | A study on security vulnerability on cloud platforms | |
Sun et al. | A scalable high fidelity decoy framework against sophisticated cyber attacks | |
Sochor et al. | High-interaction linux honeypot architecture in recent perspective | |
Nam et al. | Secure inter-container communications using xdp/ebpf | |
Narwal et al. | Game-theory based detection and prevention of DoS attacks on networking node in open stack private cloud | |
Brooks et al. | Security challenges and countermeasures for trusted virtualized computing environments |