[go: up one dir, main page]

CN101719899A - 用于网络安全装置的具有端口限制的动态访问控制策略 - Google Patents

用于网络安全装置的具有端口限制的动态访问控制策略 Download PDF

Info

Publication number
CN101719899A
CN101719899A CN200910164019A CN200910164019A CN101719899A CN 101719899 A CN101719899 A CN 101719899A CN 200910164019 A CN200910164019 A CN 200910164019A CN 200910164019 A CN200910164019 A CN 200910164019A CN 101719899 A CN101719899 A CN 101719899A
Authority
CN
China
Prior art keywords
layer
network
port
bag
bag stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN200910164019A
Other languages
English (en)
Inventor
克里希纳·纳拉亚纳斯瓦米
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jungle Network
Juniper Networks Inc
Original Assignee
Jungle Network
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jungle Network filed Critical Jungle Network
Publication of CN101719899A publication Critical patent/CN101719899A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

网络安全装置支持安全策略的定义以控制对网络的访问。安全策略由包括第七层网络应用程序、用于传输层协议的第四层端口的静态端口列表的匹配准则和应用到与匹配准则相匹配的包流上的动作定义。规则引擎基于包流的包净荷中的应用层数据的检查而不仅基于包中头部所指定的第四层端口上的识别来动态地识别与所接收到的包流相关联的第七层网络应用程序类型。规则引擎配置为应用安全策略以确定包流是否与匹配准则指定的静态端口列表相匹配。网络安全装置将安全策略指定的动作应用到包流上。

Description

用于网络安全装置的具有端口限制的动态访问控制策略
技术领域
本发明涉及计算机网络,以及更具体地,涉及计算机网络中攻击的检测和防御。
背景技术
计算机网络典型地包括交换数据并共享资源的互联的计算设备的集合。该设备可以包括(例如)web服务器、数据库服务器、文件服务器、路由器、打印机、用户端计算机和其他设备。各种设备可以执行无数种不同的服务和通信协议。每种不同的服务和通信协议使网络暴露出不同的安全弱点。
由于对可访问网络的计算机的依赖性增加,网络安全对组织和个人来说已经变成了一个主要问题。为了帮助确保其计算机的安全性,组织和个人可以在公共网络和其私有网络之间安装安全设备。这种安全设备可以防止来自公共网络的不希望的或恶意的信息侵袭私有网络中的设备。
这些安全设备通常被称为防火墙设备。典型地,防火墙是配置为基于组织的安全策略允许或拒绝通信流以控制对私有网络访问的专用设备。典型的高端防火墙通过动态地负载均衡包流来向一组服务卡提供包转发。这些服务卡提供基于流的安全服务,诸如流分块、网络地址转换(NAT)、防病毒(AV)扫描和检测、入侵检测防御(IDP)和/或任意其他的安全服务。防火墙设备典型地截取进入并离开私有网络的包,并且利用服务卡来处理该包,且应用管理员配置的策略以基于包括在每个包中的可定义与该包相关联的流状态的信息来确定是否允许或拒绝该包。
发明内容
大体上,描述了一种技术,该技术提供用于网络安全的灵活的访问控制策略。更具体地,本文描述了一种改进的技术,该技术用于定义访问控制策略的灵活且加强的机制。描述的安全装置可以应用由管理员定义的安全策略以控制到网络(诸如私有企业计算网络)或来自网络的访问。如本文所描述的,本发明的技术允许安全装置应用策略,该策略指定要应用至与包括网络源、网络目的地、第七层网络应用程序的类型、以及用于传输层协议的一个或多个第四层端口的静态端口列表的准则相匹配的包流的动作。在一些情况中,安全装置可以额外地执行入侵检测和防御(IDP)和/或深度包检查(DPI)(deep packet inspection,深度包检测)以检查并防止私有企业计算网络上的网络攻击。
传统地,许多防火墙和入侵检测系统将应用程序和静态第四层端口分配相关联,并且使用这些静态端口分配来静态地定义与给定数据流相关联的应用程序类型。然而,许多黑客或其它恶意个体利用采用动态或随机端口分配而不与静态端口分配一致的软件应用程序,以逃避检测和约束。这种技术使得防火墙和入侵检测系统难以仅基于静态端口分配而正确地识别第七层应用程序的类型。
响应于这些逃避检测的尝试,一些改进的防火墙和入侵检测系统可以基于签名或模式匹配操作来动态地确定与给定数据流(例如包流)相关联的第七层应用程序。例如,可以应用规则表达或子串匹配来检测数据流中的定义的模式。然而,即使使用动态应用程序识别,恶意用户可以试图用一种类型的应用程序欺骗(即,假装的)而使用另一种类型的应用程序,以试图绕过安全装置。如一个实例中,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。不用应用第四层端口集的额外的匹配准则,这种欺骗可不被配置为允许HTTP应用程序的安全装置所检测。
如将在下面详细描述的,本发明的技术允许定义包括要应用的第四层端口列表或端口排列的附加的匹配准则的安全策略,即使网络应用程序的类型可以被动态地确定。在一些实例中,策略可以包括对于一个用户和一个网络应用程序的允许端口的静态列表,即使用户和网络应用程序两者均由安全装置动态地确定而不是应用程序识别仅基于包流的第四层端口。在另一实例中,策略可以包括特定端口,给定用户利用给定应用程序访问该端口不被允许。如一个实例中,这种策略可以允许安全装置来确定包流仅为绕过安全装置的尝试,并且安全装置可以采取合适的动作,诸如丢弃与该包流相关联的其它包和/或报警攻击的目标设备。如另一实例,这种策略可以允许安全装置防止企业网络中的用户使用对等应用程序或其他不期望的应用程序来浪费网络资源。
在一个实例中,网络安全装置包括配置为接收包流的接口、以及配置为支持控制包流对网络访问的安全策略的定义的控制单元,其中,安全策略指定:(a)包括第七层网络应用程序的匹配准则和用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。网络安全装置还包括规则引擎,配置为基于包流的包净荷中的应用层数据的检查,动态地识别与接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指定的第四层端口进行所述识别。规则引擎配置为在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配。一旦规则引擎确定包流与静态端口列表相匹配,则控制单元将安全策略指定的动作应用至包流。
在另一实例中,用于控制对具有网络安全装置的网络进行访问的方法包括,利用网络安全装置的用户接口接收配置信息,其中配置信息指定由下列各项定义的安全策略:(a)包括第七层网络应用程序的匹配准则;以及用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。本方法还包括利用网络安全装置的接口来接收包流,并且利用网络安全装置的规则引擎,基于包流的包净荷中的应用层数据的检查,动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指出的第四层端口进行所述识别。本方法还包括,利用规则引擎,在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配,并且一旦规则引擎确定包流与静态端口列表相匹配,则将安全策略指定的动作应用至包流。
在另一实施例中,计算机可读介质包含指令。计算机可读介质可以是计算机可读的存储介质。指令使得可编程处理器利用控制对网络访问的网络安全装置的用户接口来接收配置信息,其中配置信息指定由以下各项定义的安全策略:(a)包括第七层网络应用程序的匹配准则;以及用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。该指令还使得可编程处理器利用网络安全装置的规则引擎,基于包流的包净荷中的应用层数据的检查,动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指出的第四层端口进行所述识别。该指令还使得可编程处理器利用规则引擎,在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配,并且一旦规则引擎确定包流与静态端口列表相匹配,则将安全策略指定的动作应用至包流。
本文描述的技术可以提供多个优点。例如,该技术可以允许安全装置在其中一些应用程序不再使用静态端口映射而是使用动态或随机端口分配以试图逃避检测和约束的环境中提供改进的防火墙和/或入侵检测和防御服务。
如另一实例,该技术可有助于消除误报和漏报。误报可以是将包流不正确地识别为是恶意的。漏报可以是没有识别出恶意的包流。该技术可以通过要求允许的通信不仅匹配特定的源(例如用户或用户角色)、目的地、和动态识别的应用程序,还通过将对于源和目的地的应用程序的使用限制在特定定义的第四层端口范围或端口集中,来减少或消除误报和漏报。
本发明的一个或多个实施例的细节将在下面的附图和说明中阐述。本发明的其他特征、目的和优点将从说明和附图以及权利要求中显而易见。
附图说明
图1是示出了示例性企业计算机网络的框图,其中安全装置应用根据本发明原理的访问控制策略。
图2是示出了进一步详细描述的安全装置的示例性实施例的框图。
图3是示出了图2中进一步详细描述的安全装置的规则引擎的示例性实施例的框图。
图4是示出了根据本发明原理的安全装置的示例性操作的流程图。
具体实施方式
图1是示出了示例性系统2的框图,其中企业计算机网络4包括安全装置10,其根据本发明原理控制对私有企业计算网络5的访问。在图1的示例性实施例中,安全装置10是单一的网络设备。网络4包括连接至诸如因特网的公共网络6的私有企业计算网络5。公共网络6可以包括(例如)一个或多个客户计算设备(未示出)。安全装置10可以包括防火墙组件以保护企业网络5,并且具体地,内部计算节点8A-8N。计算节点8A-8N(“计算节点8”)表示私有企业计算网络5中的任意私有计算设备,包括膝上型电脑、工作站、文件服务器、打印服务器、数据库服务器、打印机和其他设备。
安全装置10监控公共网络6和内部计算节点8之间的通信流。安全装置10可以应用管理员定义的安全策略以控制对私有企业计算网络5的访问,以及控制允许从计算节点8发送到公共网络6的通信。如本文中所描述的,本发明的技术允许安全装置10应用策略,该策略指定要应用到与包括源、目的地、应用程序类型、和端口集的准则相匹配的包流的动作。在一些情况中,安全装置10可以执行入侵检测和防御(IDP)和/或深度包检查(DPI)以检测并防止私有企业计算网络5上的网络攻击。
传统上,许多防火墙和入侵检测系统将应用程序与静态端口分配相关联并且使用这些静态端口分配来静态地定义与给定数据流相关联的协议和应用程序类型。然而,许多黑客或其他恶意个人利用采用了动态或随机端口分配而不与静态第四层端口分配一致的软件应用程序,以逃避检测和约束。附加地,恶意个人还使用公知端口执行其他恶意应用程序。这些技术使得防火墙和入侵检测系统难以仅基于静态端口分配而正确地识别协议和应用程序类型。
响应于这些逃避检测的尝试,不使用静态端口列表,一些改进的防火墙和入侵检测系统可以基于签名或模式匹配操作来动态地确定与给定数据流相关联的协议和应用程序。例如,可以应用规则表达或子串匹配来检测数据流中定义的模式。然而,即使使用了动态应用程序识别,恶意用户可以试图用一种类型的应用程序欺骗(即,假装的)而使用另一种类型的应用程序,以试图绕过安全装置。如一个实例中,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。不用应用端口集的额外的匹配准则,如这里所描述的,与动态应用程序识别和可能的动态用户确定相联合,这种欺骗可不被安全装置检测。
如将详细描述的,本发明的技术允许安全装置应用包括静态第四层端口列表或端口排列的附加匹配准则的策略,即使安全装置首先动态地确定第七层(L7)应用程序类型(以及可选地网络用户),而不关注任何静态端口限制。即,安全装置基于包流的包净荷中的应用层数据的检查来动态地识别与接收到的包流相关联的L7应用程序类型,而不是仅基于由包中头部指定的第四层端口来进行识别。
在一些实例中,策略可以包括允许的第四层端口列表,其中第四层端口指的是在包的传输层头部中找到的端口号,诸如包的TCP头部中的端口80。在另一实例中,策略可以包括特定端口,对于该特定端口不允许给定用户利用给定L7应用程序访问。如一个实例,这种策略可允许安全装置确定包流是绕过安全装置的尝试,并且安全装置可采取适当的动作,诸如丢弃与该包流相关联的其他包和/或向目标设备报警该攻击。如另一实例,这种策略可以允许安全装置防止企业网络5中的用户使用对等应用程序或其他不期望的应用程序而浪费网络资源。
如又一实例,这里描述的技术可允许将公知应用程序限制到非标准的第四层端口以用于管理员访问的服务。附加地,通过限制用户访问配置的端口列表,这里描述的技术防止黑客通过与策略相符的请求进行欺骗来访问植入在服务器上的木马。
在操作中,安全装置10识别所监控的通信中的包流。如上所述,安全装置10分析包流来识别包流的特征,包括动态地识别应用程序的类型。安全装置10还具有关于包流的源(例如用户名)和目的地的信息的知识。安全装置10将包流的特征和存储的策略进行比较以确定该特征是否与存储的策略的一组匹配准则相匹配。具体地,安全装置10的规则引擎配置为在动态识别第七层网络应用程序之后应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配。如果找到匹配,则匹配策略指定的相应动作被应用到包流的包。例如,包可以被丢弃、允许、记录等。
在一些方面,定义的安全策略的源组件可以根据特定用户而被指定。这考虑了用户可以不被连接到单一的源IP地址的事实。然而,根据单独用户定义安全策略对于具有大量用户的大网络来说不是很好地成比例。对于改进的比例性的一个替换是根据企业网络中用户的角色来指定源组件。
此外,在一些方面,基于动态确定的网络应用程序的类型,安全装置10可以从包流的净荷透明地重组应用层通信,以检测由包流执行的网络攻击、病毒和其他恶意软件。安全装置10中的一组特定协议解码器可以分析应用层通信并识别应用层事务。大体上,“事务”指的是对等设备之间一系列限制的有关的应用层通信。例如,单一TCP连接可以被用来发送(接收)多个超文本传输协议(HTTP)请求(响应)。如一个实例,可以使用单一的TCP连接来到达包括多个图像和到HTML页的链接的单一网页。HTTP解码器将TCP连接中的每个请求/响应识别为不同的事务。这对防止特定攻击定义被应用到整个事务边界上是有用的。在一个实施例中,可以根据源和目的地因特网协议(IP)地址、协议、以及源和目的地端口号来识别事务。其他实施例可以以其他方式来识别事务,例如,通过使用介质访问控制(“MAC”)地址。
安全装置10可以使用从包头部获得的信息,诸如源网络地址(例如IP地址)来向域控制器12发送查询以获得与客户设备的用户相关联的相应的用户名。可选地,安全装置可以查询用户访问控制(UAC)设备或轻量级目录访问协议(LDAP)服务器。在一些情况中,由安全设备10存储的策略可以根据用户名或用户角色被写入。这里,安全装置10可以使用登陆信息来学习企业网络5中的用户角色。例如,可以关于安全检查(security clearance)或访问权限(例如管理员、第五级检查等)来定义用户角色。可选地,可以关于他或她在企业中的功能(诸如财政、市场、企业研究、最上层管理员、职员等)来定义用户角色。如另一个实施例,用户角色可以指出终点设备的安全情况,例如,设备对于安全修补是否已经更新、设备是否具有防病毒(AV)软件运行等。这些角色可以用来控制对网络资源的访问。
在一些实施例中,安全装置10的协议解码器分析应用层通信并提取特定协议元素。例如,对于FTP登陆事务,FTP解码器可以提取对应于用户名、目标设备名、客户设备名和其他信息的模式。
这些技术可以允许安全设备10在一些应用程序不再使用静态端口映射而是使用动态或随机的端口分配以试图逃避检测和约束的环境中提供改进的防火墙和/或入侵检测和防御服务。例如,即时通讯程序可以在一个端口上发起通信,但之后同意在一个不同的端口(有时称为“随机端口”)上通信。诸如对等程序的其他程序以及诸如Metasploit的黑客工具也可以动态确定端口。如所述,安全装置10可以包括存储的策略,该存储的策略不仅基于没有关于该确定的初始端口限制的动态识别的应用程序来允许或拒绝包流,还基于允许或拒绝关于特定端口的特定应用程序的附加的静态定义的端口集。在一些实施例中,可能地对于一个定义的时间段,安全装置10可以动态地创建允许许可的应用程序跳到端口列表中的一个不同的端口的新策略。
在一些实施例中,企业网络5可以包括位于企业网络5的不同区域(例如子网络)的多个安全装置。企业网络5可以包括操作为用于管理安全装置的中央设备的中央安全管理设备。虽然根据结合到执行防火墙功能或可选的入侵检测的独立安全装置10描述了图1中所示的实例,然而这里描述的功能也可以结合到其他设备中,诸如交换机19或路由器。
图1描绘的安全装置10的示例性实施例可以提供多个优点。例如,安全装置10可以减少或消除误报和漏报。误报可以是将包流不正确地识别为是恶意的。漏报是没有识别出恶意的包流。通过包括除了其中首先动态地进行确定而不限制特定端口的应用程序识别之外的端口列表的匹配准则,安全装置10通过将用于批准的应用程序(一旦确定)的允许的通信限制到特定的明确定义的端口,或选择性地在特定端口上阻止用于应用程序的通信,来帮助消除误报和漏报。
图2是示出了根据本发明原理通过将安全服务应用于接收到的包流来保护网络的示例性安全装置30的框图。安全装置30可以(例如)代表图1中的安全装置10。安全装置30通过将安全策略应用到由安全装置30所接收到的包流来控制对受保护网络的访问。安全装置30还可以控制从受保护网络到网络外部目的地的访问。例如,安全装置30可以控制哪种类型的应用程序可以允许被与受保护网络相关联的特定用户或用户角色用在特定端口上。该端口集可以由单一端口、多端口、或一个或多个端口排列构成。
安全装置30包括确定向哪里发送接收到的包以及相应地向哪里转发该包的控制单元32。在图2所示的示例性实施例中,安全装置30包括用于经由外向链路36A-36N(“外向链路36”)和内向链路38A-38N(“内向链路38”)来通信包的接口卡(IFC)34A-34N(总地,“IFC 34”)。通过高速交换机40和链路42来相互连接IFC34。在一个实例中,交换机40包括交换结构、开关设备、可配置网络交换机或集线器等。链路42包括任意形式的通信路径,诸如集成电路内的电路径、外部数据总线、光链路、网络连接、无线连接、或其他类型的通信路径。IFC 34经由一定数量的接口端(未示出)连接至外向链路36和内向链路38。
在示出的实例中,安全装置30包括转发面44,其透明地监控内向网络通信46并将该网络通信作为外向网络通信48进行转发。在由图2示出的实例中,转发面44包括流分析模块50、规则引擎52、协议解码器54、转发组件56。安全装置30的控制单元32包括管理模块58。管理模块58呈现一个用户接口,通过该用户接口管理员配置安全装置30,例如,通过修改策略60或配置数据62(CONFIG.DATA)。此外,管理模块58可以呈现一个用户接口,通过该用户接口管理员可以修改关于包流特征的假设,诸如用于监控的最高优先权包流、用于应用程序的端口绑定、或确定与包流相关联的协议和应用程序类型的其他特征。管理模块58可以将用户接口呈现为基于文本的命令行接口、基于网页浏览器的接口、或其他类型的用户接口。
系统管理员可以通过与管理模块58交互来配置安全装置30。由系统管理员输入的配置信息可以被存储到配置数据62。作为另一个实例,系统管理员可以配置策略60。策略60包括指定匹配准则和相应的动作的策略。根据本发明的技术,安全装置10支持允许管理员或软件代理(software agent)定义安全策略的命令句法,该安全策略指定一旦接收到匹配特定准则的包,则控制单元32应当在该包之上执行的特定动作,诸如允许、拒绝、丢弃、或记录该包。规则引擎52访问策略60以确定所接收到的网络通信是否与任意策略60相匹配。策略60和配置数据62可以保持为一个或多个表、数据库、链路列表、根树、数据库、平面文件、或任意其他数据结构的形式。
策略可以以多种方式来定义源和目的地。例如,目的地被定义为一个目的地因特网协议(IP)地址、一组目的地IP地址和定义一组输出接口的输出区域中的一个。类似地,源可以被定义为一个源IP地址、一组源IP地址、和定义一组输入接口的输入区域中的一个。在其他情况下,源可以被定义为一个特定的用户(例如通过用户名)、或定义为一个通用用户角色。
安全装置30可以(例如)提供一个基于文本的命令行接口,通过该接口系统管理员或软件实体提供与用来配置策略的命令句法相一致的配置数据,如下:
policy from-source to-destination{
match{
source<s>;
destination<d>;
application<app>;
port<p>;
}
then{
actions;
}
}
在上述实例句法中,关键字“policy”指出管理员正在定义将要被安全装置30应用的安全策略。关键字“from-source”指出随后的文本指定了定义的源,对于应用的策略必须从该定义的源接收通信。关键字“to-destination”指出随后的文本指定了定义的目的地,对于应用的策略通信必须被发往该定义的目的地。如上所示,策略包括允许管理员指定包流准则的关键字“match”,包流准则诸如源(例如,源网络地址)、目的地(例如,目的地网络地址)、端口(即,源端口和/或目的地端口)、应用程序或其他准则。此外,策略指定将应用到网络通信的一个或多个动作,该网络通信经由“from-source”被接收用于“to-destination”上的输出并且与策略中指定的任意包流准则匹配。之后安全装置30将策略中列举的动作应用到满足这些条件的网络通信。实例动作包括包过滤、包记录、入侵检测和防御、病毒扫描、网络地址转换(NAT)、基于策略的认证等。
如另一个实例,安全装置30可以提供一个基于文本的命令行接口,通过该接口系统管理员或软件代理提供与用于配置策略的命令句法相一致的配置数据,如下:
policy from-source to-destination{
match{
user-role<u>;
destination<d>;
application<app>;
port<p>;
}
then{
actions;
}
}
上述示出的策略句法与第一实例相似,除了“source”准则被“user-role”准则代替。因此,代替指定根据源网络地址的策略,策略可以根据用户角色来指定。
根据实例句法,管理员可以提供配置数据,如下:
policy from-Zone_Untrust to-Zone_Trust{
match{
user-role<administrator>;
destination<www.juniper.net>;
application<HTTP>;
port<tcp/80,tcp/8000>;
}
then{
allow;
}
}
不同于其中需要根据静态端口绑定或根据动态识别的应用程序来指定策略的传统的防火墙策略句法,管理模块58支持用于定义策略的改进的句法,该策略指定用于动态识别的应用程序和必须匹配的端口集。例如,在一些情况下,网络可以包括多个服务器,其中知道给定应用程序集将仅在特定端口上运行。这里描述的技术允许管理员将允许的应用程序请求限制于那些特定的端口,即使安全设备能够首先从包流动态地确定网络应用程序(例如HTTP)而不限制于应用程序和端口之间的静态映射。这提供了更具鲁棒性的防火墙策略。这里描述的句法允许用户享受访问改进的防火墙中的控制策略的动态应用程序识别方法的优点,同时还具有指定匹配端口集附加准则的灵活性,这可以弥补在仅基于动态应用程序识别的访问控制策略中找到的漏洞。
安全装置30接收来自公共网络6或IFC 34的一个内向链路38A上的一个节点8的网络通信。流分析模块50从交换机40接收作为向内通信46的网络通信并且识别通信中的包流。每个包流代表在网络通信中一个方向上的包流,并且通过至少一个源地址、目的地地址、和通信协议来识别。流分析模块50可以利用附加的信息来指定网络流,包括源介质访问控制(“MAC”)地址、目的地MAC地址、源端口、和目的地端口。其他实施例可以使用其他信息来识别网络流,诸如IP地址、VLAN标签、MPLS标签、或其他信息。
在一些情况中,流分析模块50可以基于包流的分析来确定与包流相关联的用户名。查询模块66可以利用在包流中的包头部中找到的IP地址向域控制器12(图1)发布一个查询68,以获得用户名、用户角色名、或与IP地址相关联的其他信息。查询模块66可以接收来自域控制器12的提供用户名、用户角色、或与IP地址相关联的其他信息的响应69。
大体上,规则引擎52检查内向通信以基于包流的特征动态地识别与每个包流相关联的网络应用程序的类型,诸如通过检查每个包的净荷的签名。以这种方式,应用程序识别是动态的在于,确定不是基于用于每种类型的应用程序的静态端口分配的,而是基于包内容的。在一些情况下,应用程序确定过程可以考虑指出或建议应用程序类型的通信会话的双向包流中的任意定时特性或可识别的握手。在一些方面,规则引擎52可以基于确定来进一步分析应用层通信的识别的应用程序类型来调用一个合适的协议解码器54。协议解码器54代表一个或多个指定协议的软件模块的集。每个协议解码器54对应于不同的通信协议或服务。可以由协议解码器54支持的通信协议的实例包括超文本传输协议(“HTTP”)、文件传输协议(“FTP”)、网络新闻传输协议(“NNTP”)、简单邮件传输协议(“SMTP”)、远程登录、域名系统(“DNS”)、Gopher、Finger、邮局协议(“POP”)、安全套接层(“SSL”)协议、轻量级目录访问协议(“LDAP”)、安全外壳(“SSH”)、服务消息块(“SMB”)以及其他协议。
协议解码器54分析重新组装的应用层通信并且输出指出应用层事务的事务数据。特别地,事务数据指出两对设备之间的一系列有关的应用层通信何时开始和结束。规则引擎52分析包流的重新组装的数据以识别与包流相关联的协议和应用程序类型。如果规则引擎52不能识别与包流相关联的协议和应用程序类型,则在一些实施例中规则引擎52可以使用公知的静态端口绑定作为默认的应用程序选择。
流分析模块50保持流表64中的数据,该流表描述了网络通信中出现的每个有效包流。流表64指定与每个有效包流相关联的网络元素,即,诸如与该包流相关联的源和目的地设备的网络地址、用户名、L7应用程序类型以及端口的信息。此外,流表64可以识别共同地形成客户机和服务器之间的单一通信会话的包流对。例如,流表64可以指出通信会话为相反方向上的包流对,用于流共享至少一些公共网络地址,以及包的传输层协议头部的第四层端口。
规则引擎52访问策略60以确定任意存储的策略是否与包流的包的传输层协议头部中的识别的源、目的地、应用程序类型以及第四层端口相匹配。如果找到匹配策略,则规则引擎52应用由匹配策略指定的相应的动作。实例动作可以包括允许、拒绝、丢弃、或记录包。如果没有找到匹配策略,则规则引擎52可以将默认动作应用到包流(例如允许或拒绝包流)。
在一些实施例中,安全装置30还可以执行深度包检查。例如,规则引擎52可以包括检查客户机到服务器包流和服务器到客户机包流两者的状态检查引擎以更加精确地识别应用程序类型和用于每个通信会话的下层协议。状态检查引擎可以应用攻击模式来识别网络攻击。关于这种状态检查引擎操作的进一步细节可以在2007年8月8日提交的标题为“Identifying Applications for IntrusionDetection Systems”的第11/835,923号申请中找到,其整体内容通过引证结合于此。这在(例如)恶意用户试图用一种类型的应用程序欺骗(即假装的)而使用另一种应用程序来试图绕过安全装置时是有帮助的。如一个实例,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。安全装置30可以从服务器的响应确定原始的包流仅仅是试图绕过安全装置30并且可以采取适当的动作,诸如丢弃与该包流相关联的其它包和/或向目标设备报警该攻击。
图2中示出的安全装置30的构造仅用于示例性目的。本发明不限于这种构造。在其他实施例中,安全装置30可以以多种方式配置。在一个实施例中,例如,控制单元32的一些功能性可以被分布在IFC 34中。在另一个实施例中,控制单元32可以包括执行路由功能并保持路由信息库(RIB)(例如,路由信息)的路由引擎,以及基于根据RIB生成的转发信息库(FIB)(例如转发信息)执行包转发的转发引擎。此外,虽然关于安全装置30进行了描述,这里描述的转发技术可以被应用于其他类型的网络设备,诸如网关、交换机、服务器、工作站或其他网络设备。
控制单元32可以被仅实现为软件、或硬件、或可以被实现为软件、硬件或固件的组合。例如,控制单元32可以包括执行软件指令的一个或多个处理器。在该情况下,控制单元32的多种软件模块可以包括存储在诸如计算机存储器或硬盘的计算机可读存储介质上的可执行的指令。
图3是更详细地示出了规则引擎52的示例性实施例的方框图。在该示例性实施例中,规则引擎52包括重组模块70,应用程序识别模块71。此外,规则引擎52包括数据缓冲器75和策略比较模块72。重组模块70接收内向网络通信46并根据包流重新组装应用层通信。重组模块70向合适的协议解码器54转发重新组装的应用层通信用于处理。
应用程序识别模块71识别用于每个截取的通信会话的应用程序类型,诸如使用HTTP的SQL。当规则引擎52接收作为包流一部分的包时,重组模块70将该包缓存至数据缓冲器75。在一个实施例中,数据缓冲器75可以将数据存储为滑动窗口。即,数据缓冲器75可以存储数据直到变满或达到用于识别的特定要求的最大数据量。当为满时,数据缓冲器75丢弃特定数据来为存储的新数据开辟空间。在一个实施例中,数据缓冲器75可以根据先入先出(“FIFO”)型协议存储和丢弃数据,在该协议中当数据缓冲器75变满时最先被存储的数据是最先被丢弃的数据。在另一个实施例中,数据缓冲器75可以根据最近最少使用协议来丢弃数据,其中当数据缓冲器75为满时,最近最少使用的包流将被丢弃以为要存储的新数据开辟空间。
在一个实施例中,重组模块70可以根据5元组{源IP地址、目的IP地址、协议、源端口、目的端口}将包流中的包相关联并将多个流打包为通信会话。其他实施例可以使用相关联的包的其他形式。例如,在一个实施例中,安全装置30可以是利用虚拟局域网络(VLAN)的网络的一部分。因此,重组模块70可以根据VLAN标识符、源地址和目的地地址将包流中的包相关联。在任何情况下,重组模块70可以利用流表64(图2)中保持的信息来重新组装网络数据,例如,来形成重新组装的TCP数据。
应用程序识别模块71分析为包流重组的数据来识别与包流相关联的应用程序类型。如果应用程序识别模块71不能识别与包流相关联的应用程序类型,则应用程序识别模块71可以使用公知的静态端口绑定作为默认的应用程序选择。此外,管理员可以使用管理模块58配置静态端口映射。
在应用程序识别模块71不能识别包流的应用程序类型的情况下,应用程序识别模块71可以使用默认的静态端口映射来确定应用程序,使得安全装置30相应地进行响应。在一些情况下,应用程序识别模块71不能够识别应用程序并且静态端口映射不具有所请求的端口号的入口。多种实施例可以根据(例如)系统管理员的说明来处置该情况。例如,在一个实施例中,由于未知应用程序可指出包流没有指向已知会引起安全威胁的任何类型的应用程序,则安全装置30简单地转发具有不能被静态端口映射确定的未确定的应用程序类型的该包流。在其他实施例中,安全装置30可自动地丢弃具有不能被静态端口映射确定的未知应用程序类型的包流。
应用程序识别模块71可以包括相似应用程序类型的等级顺序列表。应用程序识别模块71可以将该列表作为树结构存储在计算机可读介质中。安全管理模块44可以向管理员提供用户接口来修改列表的内容和等级。一旦接收到属于多个相似应用程序之一的包流,应用程序识别模块71可以通过选择被指为与包流相应的列表中最高等级应用程序的应用程序类型来预先最好地猜测应用程序。由于应用程序识别模块71接收关于包流的更多信息,应用程序识别模块71可以相应地改变原始的确定。在确定应用程序之后,应用程序识别模块71可以高速缓存随后比较的确定。
如上所述,流分析模块50(图2)(诸如)基于包头部识别与包流相关联的源(具体地,用户或用户角色)、目的地、和端口。流分析模块50可以将该信息提供给规则引擎52,其可以高速缓存用于随后比较的该信息。规则引擎52的策略比较模块72将识别的包流的特征,例如用户或用户角色、目的地、应用程序类型和端口,与策略60进行比较。策略比较模块72可以使用多种方法用于执行该比较。例如,策略60可以使用散列执行作为参考。如另一个实例,策略60可以被保持为特里数据结构,其中策略比较模块72查询第一特征,并且之后基于第一特征指向特里数据结构的给定部分,之后策略比较模块72查询第二特征,等等。例如,策略比较模块72可以首先查询包流的用户角色特征,并且之后指向特里数据结构中指定用户角色的子集。策略比较模块72之后可查询指出用户角色的特里分支中的包流的应用程序类型,并且之后指向指出该应用程序类型的数据结构的另一个子集。仅为该用户角色和该应用程序类型指定某些端口。例如,使用HTTP的“第五级访问”的用户角色可以仅在端口80或8000上被允许。
一旦策略比较模块72在策略60中找到匹配策略,则规则引擎52将如匹配策略所指定的将对应的动作应用到包流上。实例动作包括允许、丢弃、和/或记录包流的包。如果没有找到匹配策略,则规则引擎52可以将默认动作应用到包流上(例如允许或拒绝包流)。
在一些实施例中,规则引擎52可以记录关于触发策略60匹配的包流的特定信息。例如,策略比较模块72可以维持记录数据73。记录数据73可以记录匹配包流是否被允许或拒绝、被允许或拒绝的用户的识别、包流使用的哪种应用程序、包流使用的哪个端口、时间戳、以及其他信息。该信息在创建进一步的安全策略中是有用的。在一些实施例中,规则引擎52可以动态地更新策略60以基于由安全装置30检测的包流“快速地”安装新的策略。
图4是示出了根据本发明原理的安全装置的示例性操作的流程图。对于示例性目的,参照安全装置30(图2)来描述图4。初始地,管理模块58从管理员接收配置信息,并且作为响应,配置安全装置30以监控感兴趣的网络或网络部分(例如子网络)(76)。在该处理期间,管理模块58可以呈现一个用户接口,管理员通过该接口可以指定安全策略或其他信息。根据本发明的技术,管理模块58支持允许管理员或软件代理根据由源(例如用户或用户角色)、目的地、应用程序、和端口集构成的匹配准则来指定安全策略的命令句法。
一旦被配置,安全装置30监控网络通信46(77)。在一些配置中,转发面44的规则引擎52可以接收网络通信并为分析目的而反映网络通信。转发组件56无缝地转发原始的网络通信。在其他实施例中,通信不被反映,而是使用线路速率缓冲方法来在转发之前实时分析该通信。
流分析模块50分析网络通信以识别包流并更新流表64以描述网络通信中出现的每一个有效流。例如,流分析模块50基于包流中的包头部来识别与包流相关联的目的地网络地址,诸如目的地IP地址(78)。流分析模块50还识别与包流相关联的源(80)。例如,流分析模块50可以从包流的包头部提取源网络地址(例如源IP地址),并且可以利用源IP地址调用查询模块66来向域控制器、UAC、或LDAP服务器发布查询以获得与包流的源有关的用户名、用户角色、或其他信息。流分析模块50还在包中的传输层协议头部中识别第四层端口,诸如包的TCP头部中的端口80(82)。
规则引擎52在数据缓冲器75中缓存每个流的包,并且将包流中包的净荷重新组装为第七层应用层数据(80)。规则引擎52可以在进行应用程序识别之前等待直到从净荷重新组装了充足且最小量的应用层数据。由于包可以无序地到达,因此重组模块70可以在执行应用层数据分析之前等待直到到达了确定包流开始的足够的数据。
在识别了包流的开始之后,应用程序识别模块71分析从包净荷重新组装的应用层数据以动态地确定传输的包流的第七层应用程序类型,诸如Skype、超文本传输协议(“HTTP”)、文件传输协议(“FTP”)、网络新闻传输协议(“NNTP”)、简单邮件传输协议(“SMTP”)、远程登录、域名系统(“DNS”)、Gopher、Finger、邮局协议(“POP”)、安全套接层(“SSL”)协议、轻量级目录访问协议(“LDAP”)、安全外壳(“SSH”)、服务消息块(“SMB”)、以及其他第七层应用程序(84)。该确定可以基于签名或从净荷中的字节计算的特征(profile)、相对于在包流的每个包中接收到的数据量的接收到的包流的模式、以及每个包的定时、或其他特征。
在一些方面,当应用程序识别模块71不能识别定义的确信度之内的应用程序类型时,应用程序识别模块71可以使用静态端口绑定列表来选择默认的应用程序类型。在一些配置中,当应用到包流的初始模式没有显示足够的细节以选择第七层应用程序类型时,应用程序识别模块71可以使用函数指针来帮助识别应用程序。即,应用程序识别模块71可以维持一组附加的函数(即软件程序)来检查特定字段并在包含其中的数据上执行特定的功能以识别应用程序类型。函数指针还可以在由包流携带的净荷的一个或多个字段上执行操作以产生网络攻击的指示。
在一些实施例中,应用程序识别模块71可以利用预定的函数指针调用一个或多个函数以在确定通信会话的协议和应用程序类型时提供更深水平的分析。应用程序识别模块71也可以在一些情况下调用适当的协议解码器54以基于应用程序和协议确定来进一步分析应用层通信(即深度包检查)。
流分析模块50更新流表64以反应识别的包流特性(88),包括确定的源、目的地、第七层应用程序、协议、以及端口。规则引擎52访问策略60以基于识别的特征确定包流是否与任意存储的策略60相匹配(90)。具体地,在基于包流的包净荷中的应用层数据的检查动态地识别与接收到的包流相关联的第七层网络应用程序的类型之后,规则引擎52应用策略60来确定包流是否与由匹配准则指定的静态端口列表相匹配。如果包流与策略60中的一个相匹配(91)(即,匹配由策略60的匹配准则指定的静态端口列表中的一个),规则引擎根据匹配策略执行适当的动作(92)。如果包流没有与任意策略60相匹配,则规则引擎可以将默认动作应用到不匹配的包流(94),诸如拒绝包流或允许包流通过转发组件56作外为向网络通信48被转发。
已经描述了本发明的多种实施例。这些和其他实施例在权利要求的范围之内。

Claims (14)

1.一种网络安全装置,包括:
接口,配置为接收包流;
控制单元,配置为支持安全策略的定义以控制所述包流对网络的访问,其中所述安全策略指定:
(a)包括第七层网络应用程序的匹配准则,和用于传输层协议的一个或多个第四层端口的静态端口列表,以及
(b)应用至与所述匹配准则相匹配的包流的动作,规则引擎,配置为基于所述包流的包净荷中的应用层数据的检查来动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由所述包中头部指定的第四层端口来进行所述识别,其中所述规则引擎配置为在所述第七层网络应用程序的所述动态识别之后,应用所述安全策略来确定所述包流是否与由所述匹配准则指定的所述静态端口列表相匹配,
其中,一旦所述规则引擎确定了所述包流与所述静态端口列表相匹配,则所述控制单元将由所述安全策略指定的所述动作应用至所述包流。
2.根据权利要求1所述的网络安全装置,
其中,所述规则引擎配置为执行深度包检查和基于签名的应用程序识别来动态地识别第七层网络应用程序的类型,以及
其中,所述规则引擎配置为使用由所述包中头部所指定的所述第四层端口来动态地识别第七层网络应用程序的类型以选择要应用于所述基于签名的应用程序识别的一组模式。
3.根据权利要求1所述的网络安全装置,还包括:流分析模块,配置为分析所述包流中包的包头部,以识别与所述包流相关联的用于传输层协议的所述第四层端口;以及
流表,由所述流分析模块和所述规则引擎更新,以存储由所述规则引擎所识别的第七层网络应用程序,以及与所述包流相关联的第四层端口。
4.根据权利要求1所述的网络安全装置,
其中,所述匹配准则还包括网络源,
还包括查询模块,通过利用与所述包流相关联的源因特网协议(IP)地址查询域控制器来识别与所接收到的包流相关联的网络源,以获得与所述源IP地址相关联的用户名或用户角色中的一个。
5.根据权利要求1所述的网络安全装置,其中所述安全策略的匹配准则还包括网络目的地,其中所述网络目的地被定义为下列各项之一:目的地因特网协议(IP)地址、一组目的地IP地址、以及定义一组输出接口的输出区域。
6.根据权利要求1所述的网络安全装置,其中所述匹配准则还包括网络源,其中所述包流的所述网络源由所述安全策略根据用户、用户角色、源IP地址、一组源IP地址、以及定义一组输入接口的输入区域之一定义。
7.根据权利要求1所述的网络安全装置,其中用于所述传输层协议的一个或多个第四层端口由所述安全策略定义为一个第四层端口的排列。
8.根据权利要求1所述的网络安全装置,其中所述规则引擎动态地定义一个新的安全策略,所述新的安全策略允许匹配的包流在一个定义的时间段上在不同的第四层端口上对网络进行访问,所述第四层端口由所述安全策略的指定匹配准则所指定。
9.根据权利要求1所述的网络安全装置,其中,要应用的由所述安全策略指定的所述动作包括记录下列各项中的一个或多个:匹配包流是否被允许或拒绝、被允许或拒绝的所述用户的识别、所述包流使用哪种应用程序、所述包流使用哪个端口、以及指出匹配包流被检测时的时间戳。
10.一种利用网络安全装置控制对网络的访问的方法,包括:
利用所述网络安全装置的用户接口接收配置信息,其中所述配置信息指定由下列各项定义的安全策略:
(a)包括第七层网络应用程序的匹配准则,和用于传输层协议的一个或多个第四层端口的静态端口列表,以及
(b)应用至与所述匹配准则相匹配的包流的动作;
利用所述网络安全装置的接口接收包流;
利用所述网络安全装置的规则引擎,基于所述包流的包净荷中的应用层数据的检查来动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于在由所述包中头部指定的第四层端口来进行所述识别;
利用所述规则引擎,在所述第七层网络应用程序的所述动态识别之后,应用所述安全策略以确定所述包流是否与由所述匹配准则指定的所述静态端口列表相匹配;以及
一旦所述规则引擎确定了所述包流与所述静态端口列表相匹配,则将由所述安全策略指定的所述动作应用至所述包流。
11.根据权利要求10所述的方法,其中,基于应用层数据的检查动态地识别与所接收到的包流相关联的第七层网络应用程序的类型包括执行深度包检查和基于签名的应用程序识别以动态地识别第七层网络应用程序的类型,还包括:
利用流分析模块分析所述包流中包的包头部以识别与所述包流相关联的用于传输层协议的所述第四层端口;以及
更新利用所述流分析模块和所述规则引擎更新的流表,以存储与所述包流相关联的所识别的第七层网络应用程序和第四层端口。
12.根据权利要求10所述的方法,其中,所述安全策略的匹配准则还包括网络目的地,其中所述网络目的地被定义为下列各项之一:目的地因特网协议(IP)地址、一组目的地IP地址、以及定义一组输出接口的输出区域。
13.根据权利要求10所述的方法,其中所述匹配准则还包括网络源,其中所述包流的所述网络源由所述安全策略根据用户、用户角色之一定义,还包括:
通过利用与所述包流相关联的源因特网协议(IP)地址查询域控制器来识别与所接收到的包流相关联的所述网络源,以获得与所述源IP地址相关联的用户名或用户角色之一。
14.根据权利要求10所述的方法,还包括利用所述规则引擎动态地定义一个新的安全策略,所述新的安全策略允许匹配的包流在一个定义的时间段上在不同的第四层端口上对网络进行访问,所述第四层端口由所述安全策略的指定匹配准则所指定。
CN200910164019A 2008-10-09 2009-08-04 用于网络安全装置的具有端口限制的动态访问控制策略 Pending CN101719899A (zh)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US10413208P 2008-10-09 2008-10-09
US61/104,132 2008-10-09
US12/261,512 US8572717B2 (en) 2008-10-09 2008-10-30 Dynamic access control policy with port restrictions for a network security appliance
US12/261,512 2008-10-30

Publications (1)

Publication Number Publication Date
CN101719899A true CN101719899A (zh) 2010-06-02

Family

ID=41651438

Family Applications (1)

Application Number Title Priority Date Filing Date
CN200910164019A Pending CN101719899A (zh) 2008-10-09 2009-08-04 用于网络安全装置的具有端口限制的动态访问控制策略

Country Status (3)

Country Link
US (2) US8572717B2 (zh)
EP (1) EP2175603A1 (zh)
CN (1) CN101719899A (zh)

Cited By (14)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102984243A (zh) * 2012-11-20 2013-03-20 杭州迪普科技有限公司 一种ssl协议中应用的自动识别方法和装置
CN103281333A (zh) * 2013-06-17 2013-09-04 苏州山石网络有限公司 数据流的转发方法及装置
CN103428229A (zh) * 2012-05-14 2013-12-04 百度在线网络技术(北京)有限公司 数据中心系统、装置及提供服务的方法
CN104104526A (zh) * 2013-04-01 2014-10-15 深圳维盟科技有限公司 上网行为监控方法、装置和系统
CN104168203A (zh) * 2014-09-03 2014-11-26 上海斐讯数据通信技术有限公司 一种基于流表的处理方法及系统
CN106470206A (zh) * 2015-08-14 2017-03-01 纬创资通股份有限公司 适用于异质网络架构的异常预测方法及系统
CN111552953A (zh) * 2019-02-12 2020-08-18 Sap门户以色列有限公司 安全策略作为服务
CN112087415A (zh) * 2019-06-12 2020-12-15 瞻博网络公司 基于应用路径的网络业务控制
CN112217783A (zh) * 2019-07-10 2021-01-12 罗伯特·博世有限公司 用于在通信网络中的攻击识别的设备和方法
CN112584357A (zh) * 2020-12-02 2021-03-30 惠州市德赛西威智能交通技术研究院有限公司 一种动态调整车载防火墙策略的方法
TWI777156B (zh) * 2019-12-10 2022-09-11 威聯通科技股份有限公司 內部網路監控方法及使用其的內部網路監控系統
CN115118713A (zh) * 2022-06-20 2022-09-27 山石网科通信技术股份有限公司 数据处理方法、装置及电子设备
CN115486105A (zh) * 2020-06-01 2022-12-16 帕洛阿尔托网络公司 Iot设备发现和标识
CN118075033A (zh) * 2024-04-19 2024-05-24 台州市大数据发展有限公司 一种网络安全防护方法及系统

Families Citing this family (342)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8843617B2 (en) * 2000-03-01 2014-09-23 Printeron Inc. Multi-stage polling mechanism and system for the transmission and processing control of network resource data
CA2301996A1 (en) 2000-03-13 2001-09-13 Spicer Corporation Wireless attachment enabling
US9418040B2 (en) * 2005-07-07 2016-08-16 Sciencelogic, Inc. Dynamically deployable self configuring distributed network management system
US8291495B1 (en) * 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
FR2925807B1 (fr) * 2007-12-20 2010-02-19 Inst Nat Rech Inf Automat Moniteur de systeme de communication par messages ameliore
US9479405B1 (en) * 2008-04-17 2016-10-25 Narus, Inc. Transaction based network application signatures for text based protocols
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
US8432919B2 (en) * 2009-02-25 2013-04-30 Cisco Technology, Inc. Data stream classification
US8266673B2 (en) * 2009-03-12 2012-09-11 At&T Mobility Ii Llc Policy-based privacy protection in converged communication networks
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US9013992B2 (en) * 2009-09-08 2015-04-21 Wichorus, Inc. Method and apparatus for network address translation
US8990424B2 (en) * 2009-09-08 2015-03-24 Wichorus, Inc. Network address translation based on recorded application state
US8942233B2 (en) * 2009-09-08 2015-01-27 Wichorus, Inc. Method and apparatus for performing network address translation
JP5300076B2 (ja) * 2009-10-07 2013-09-25 日本電気株式会社 コンピュータシステム、及びコンピュータシステムの監視方法
WO2011099365A1 (ja) * 2010-02-12 2011-08-18 日本電気株式会社 ネットワークシステム及び輻輳制御方法
US8566906B2 (en) 2010-03-31 2013-10-22 International Business Machines Corporation Access control in data processing systems
KR20130133084A (ko) * 2010-04-30 2013-12-05 인터디지탈 패튼 홀딩스, 인크 네트워크 통신에서의 경량 프로토콜 및 에이전트
CN102244666A (zh) * 2010-05-10 2011-11-16 中兴通讯股份有限公司 M2m平台处理报文的方法和m2m平台系统
JP5630070B2 (ja) * 2010-05-14 2014-11-26 富士通株式会社 中継装置、プログラム及び方法
US8570566B2 (en) 2010-09-17 2013-10-29 Printeron Inc. System and method that provides user interface on mobile network terminal for releasing print jobs based on location information
US8970873B2 (en) 2010-09-17 2015-03-03 Printeron Inc. System and method for managing printer resources on an internal network
US8509071B1 (en) 2010-10-06 2013-08-13 Juniper Networks, Inc. Multi-dimensional traffic management
US8719449B2 (en) * 2010-11-29 2014-05-06 Telefonaktiebolaget L M Ericsson (Publ) Identification of a private device in a public network
CA2759736C (en) 2010-11-30 2020-12-29 Printeron Inc. System for internet enabled printing
CN102571751B (zh) * 2010-12-24 2014-12-31 佳能It解决方案株式会社 中继处理装置及其控制方法
CN103283190A (zh) * 2010-12-24 2013-09-04 日本电气株式会社 通信系统、控制装置、策略管理装置、通信方法和程序
US8499348B1 (en) * 2010-12-28 2013-07-30 Amazon Technologies, Inc. Detection of and responses to network attacks
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US20120294158A1 (en) * 2011-05-16 2012-11-22 General Electric Company Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic
US20120297483A1 (en) * 2011-05-16 2012-11-22 General Electric Company Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic
US8612612B1 (en) * 2011-09-28 2013-12-17 Juniper Networks, Inc. Dynamic policy control for application flow processing in a network device
US8555369B2 (en) 2011-10-10 2013-10-08 International Business Machines Corporation Secure firewall rule formulation
US20130111542A1 (en) * 2011-10-31 2013-05-02 Choung-Yaw Michael Shieh Security policy tokenization
US9529995B2 (en) 2011-11-08 2016-12-27 Varmour Networks, Inc. Auto discovery of virtual machines
US8898795B2 (en) 2012-02-09 2014-11-25 Harris Corporation Bridge for communicating with a dynamic computer network
US8935780B2 (en) 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8819818B2 (en) 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US8935786B2 (en) 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
US8898782B2 (en) 2012-05-01 2014-11-25 Harris Corporation Systems and methods for spontaneously configuring a computer network
US8966626B2 (en) 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US9075992B2 (en) * 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US9356844B2 (en) * 2012-05-03 2016-05-31 Intel Corporation Efficient application recognition in network traffic
US9497212B2 (en) 2012-05-21 2016-11-15 Fortinet, Inc. Detecting malicious resources in a network based upon active client reputation monitoring
US8775672B2 (en) * 2012-06-13 2014-07-08 Hulu, LLC Architecture for simulation of network conditions for video delivery
CN103684830B (zh) * 2012-09-18 2016-11-09 北京网康科技有限公司 控制用户识别的方法、装置和系统
US9268881B2 (en) 2012-10-19 2016-02-23 Intel Corporation Child state pre-fetch in NFAs
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US10341232B2 (en) * 2012-11-13 2019-07-02 Netronome Systems, Inc. Packet prediction in a multi-protocol label switching network using openflow messaging
US9344384B2 (en) * 2012-11-13 2016-05-17 Netronome Systems, Inc. Inter-packet interval prediction operating algorithm
US9117170B2 (en) 2012-11-19 2015-08-25 Intel Corporation Complex NFA state matching method that matches input symbols against character classes (CCLs), and compares sequence CCLs in parallel
US9665664B2 (en) 2012-11-26 2017-05-30 Intel Corporation DFA-NFA hybrid
US9251324B2 (en) * 2012-12-13 2016-02-02 Microsoft Technology Licensing, Llc Metadata driven real-time analytics framework
US9304768B2 (en) 2012-12-18 2016-04-05 Intel Corporation Cache prefetch for deterministic finite automaton instructions
US9252972B1 (en) * 2012-12-20 2016-02-02 Juniper Networks, Inc. Policy control using software defined network (SDN) protocol
CN103250382B (zh) * 2012-12-28 2017-04-26 华为技术有限公司 分流方法、设备和系统
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9268570B2 (en) 2013-01-23 2016-02-23 Intel Corporation DFA compression and execution
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
WO2014134538A1 (en) 2013-02-28 2014-09-04 Xaptum, Inc. Systems, methods, and devices for adaptive communication in a data communication network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US8867343B2 (en) * 2013-03-15 2014-10-21 Extrahop Networks, Inc. Trigger based recording of flows with play back
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US8626912B1 (en) 2013-03-15 2014-01-07 Extrahop Networks, Inc. Automated passive discovery of applications
WO2014144808A1 (en) * 2013-03-15 2014-09-18 Netop Solutions A/S System and method for secure application communication between networked processors
TW201501487A (zh) * 2013-06-28 2015-01-01 Ibm 無網路位址之端點管理資訊設備
EP3033687B1 (en) * 2013-08-12 2019-07-03 Hewlett-Packard Enterprise Development LP Application-aware network management
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
WO2015084327A1 (en) * 2013-12-03 2015-06-11 Hewlett-Packard Development Company, L.P. Security action of network packet based on signature and reputation
WO2015086082A1 (en) * 2013-12-12 2015-06-18 Nec Europe Ltd. Method and system for analyzing a data flow
WO2015108514A1 (en) * 2014-01-15 2015-07-23 Hewlett-Packard Development Company, L.P. Security and access control
WO2016154036A1 (en) * 2015-03-25 2016-09-29 Sierra Nevada Corporation Bi-directional data security for supervisor control and data acquisition networks
US9531669B2 (en) 2014-01-30 2016-12-27 Sierra Nevada Corporation Bi-directional data security for supervisor control and data acquisition networks
US9998426B2 (en) 2014-01-30 2018-06-12 Sierra Nevada Corporation Bi-directional data security for control systems
US9356882B2 (en) 2014-02-04 2016-05-31 Printeron Inc. Streamlined system for the transmission of network resource data
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US9560081B1 (en) 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US10102019B2 (en) * 2014-06-09 2018-10-16 Verizon Patent And Licensing Inc. Analyzing network traffic for layer-specific corrective actions in a cloud computing environment
US9853876B1 (en) * 2014-06-13 2017-12-26 Narus, Inc. Mobile application identification in network traffic via a search engine approach
US9888033B1 (en) * 2014-06-19 2018-02-06 Sonus Networks, Inc. Methods and apparatus for detecting and/or dealing with denial of service attacks
US9311504B2 (en) 2014-06-23 2016-04-12 Ivo Welch Anti-identity-theft method and hardware database device
KR101564644B1 (ko) * 2014-07-03 2015-10-30 한국전자통신연구원 접근제어리스트 추출 방법 및 시스템
US10015205B1 (en) * 2014-07-23 2018-07-03 Microsoft Israel Research And Development (2002) Ltd. Techniques for traffic capture and reconstruction
US9531672B1 (en) * 2014-07-30 2016-12-27 Palo Alto Networks, Inc. Network device implementing two-stage flow information aggregation
CN105471824A (zh) * 2014-09-03 2016-04-06 阿里巴巴集团控股有限公司 实现浏览器调用本地业务组件的方法、装置及系统
US9942158B2 (en) * 2014-09-25 2018-04-10 Dell Products L.P. Data traffic policy management system
US20170230252A1 (en) * 2014-10-24 2017-08-10 ZTE CORPORATION (CHINA) ZTE Plaza Method and system for deep stats inspection (dsi) based smart analytics for network/service function chaining
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
SE542300C2 (en) * 2015-03-09 2020-04-07 Saab Ab Secure data transfer
US9438634B1 (en) 2015-03-13 2016-09-06 Varmour Networks, Inc. Microsegmented networks that implement vulnerability scanning
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
WO2016145629A1 (zh) * 2015-03-18 2016-09-22 华为技术有限公司 软件定义网络中进行通信的方法、装置及通信系统
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9525697B2 (en) 2015-04-02 2016-12-20 Varmour Networks, Inc. Delivering security functions to distributed networks
US9930010B2 (en) * 2015-04-06 2018-03-27 Nicira, Inc. Security agent for distributed network security system
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9338147B1 (en) 2015-04-24 2016-05-10 Extrahop Networks, Inc. Secure communication secret sharing
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9736165B2 (en) 2015-05-29 2017-08-15 At&T Intellectual Property I, L.P. Centralized authentication for granting access to online services
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10033766B2 (en) * 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
WO2016200399A1 (en) * 2015-06-12 2016-12-15 Hewlett Packard Enterprise Development Lp Application identification cache
US9483317B1 (en) 2015-08-17 2016-11-01 Varmour Networks, Inc. Using multiple central processing unit cores for packet forwarding in virtualized networks
US10193905B2 (en) * 2015-09-03 2019-01-29 Samsung Electronics Co., Ltd Method and apparatus for adaptive cache management
KR102362941B1 (ko) * 2015-09-03 2022-02-16 삼성전자 주식회사 적응적으로 캐시를 관리하는 방법 및 장치
US9723027B2 (en) 2015-11-10 2017-08-01 Sonicwall Inc. Firewall informed by web server security policy identifying authorized resources and hosts
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9860259B2 (en) 2015-12-10 2018-01-02 Sonicwall Us Holdings Inc. Reassembly free deep packet inspection for peer to peer networks
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
EP3398291A4 (en) * 2015-12-31 2019-06-26 Cyber 2.0 (2015) Ltd. TRAFFIC MONITORING IN A COMPUTER NETWORK
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US10204211B2 (en) 2016-02-03 2019-02-12 Extrahop Networks, Inc. Healthcare operations with passive network monitoring
US10430442B2 (en) 2016-03-09 2019-10-01 Symantec Corporation Systems and methods for automated classification of application network activity
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US11244367B2 (en) 2016-04-01 2022-02-08 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US20220164840A1 (en) 2016-04-01 2022-05-26 OneTrust, LLC Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US11188615B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Data processing consent capture systems and related methods
US11416798B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for providing training in a vendor procurement process
US11343284B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance
US12118121B2 (en) 2016-06-10 2024-10-15 OneTrust, LLC Data subject access request processing systems and related methods
US11416109B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Automated data processing systems and methods for automatically processing data subject access requests using a chatbot
US11227247B2 (en) 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems and methods for bundled privacy policies
US11138299B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10467432B2 (en) 2016-06-10 2019-11-05 OneTrust, LLC Data processing systems for use in automatically generating, populating, and submitting data subject access requests
US10783256B2 (en) 2016-06-10 2020-09-22 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US10878127B2 (en) 2016-06-10 2020-12-29 OneTrust, LLC Data subject access request processing systems and related methods
US11461500B2 (en) 2016-06-10 2022-10-04 OneTrust, LLC Data processing systems for cookie compliance testing with website scanning and related methods
US10606916B2 (en) 2016-06-10 2020-03-31 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11295316B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems for identity validation for consumer rights requests and related methods
US11651104B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Consent receipt management systems and related methods
US11651106B2 (en) 2016-06-10 2023-05-16 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US10678945B2 (en) 2016-06-10 2020-06-09 OneTrust, LLC Consent receipt management systems and related methods
US11416589B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11301796B2 (en) 2016-06-10 2022-04-12 OneTrust, LLC Data processing systems and methods for customizing privacy training
US11144622B2 (en) 2016-06-10 2021-10-12 OneTrust, LLC Privacy management systems and methods
US10909488B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Data processing systems for assessing readiness for responding to privacy-related incidents
US10896394B2 (en) 2016-06-10 2021-01-19 OneTrust, LLC Privacy management systems and methods
US11157600B2 (en) 2016-06-10 2021-10-26 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11188862B2 (en) 2016-06-10 2021-11-30 OneTrust, LLC Privacy management systems and methods
US11277448B2 (en) 2016-06-10 2022-03-15 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10685140B2 (en) 2016-06-10 2020-06-16 OneTrust, LLC Consent receipt management systems and related methods
US11134086B2 (en) 2016-06-10 2021-09-28 OneTrust, LLC Consent conversion optimization systems and related methods
US11138242B2 (en) 2016-06-10 2021-10-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11625502B2 (en) 2016-06-10 2023-04-11 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11636171B2 (en) 2016-06-10 2023-04-25 OneTrust, LLC Data processing user interface monitoring systems and related methods
US11151233B2 (en) 2016-06-10 2021-10-19 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11410106B2 (en) 2016-06-10 2022-08-09 OneTrust, LLC Privacy management systems and methods
US11675929B2 (en) 2016-06-10 2023-06-13 OneTrust, LLC Data processing consent sharing systems and related methods
US11328092B2 (en) 2016-06-10 2022-05-10 OneTrust, LLC Data processing systems for processing and managing data subject access in a distributed environment
US11438386B2 (en) 2016-06-10 2022-09-06 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11418492B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US10944725B2 (en) 2016-06-10 2021-03-09 OneTrust, LLC Data processing systems and methods for using a data model to select a target data asset in a data migration
US11392720B2 (en) 2016-06-10 2022-07-19 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US10282559B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11341447B2 (en) 2016-06-10 2022-05-24 OneTrust, LLC Privacy management systems and methods
US12045266B2 (en) 2016-06-10 2024-07-23 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11210420B2 (en) 2016-06-10 2021-12-28 OneTrust, LLC Data subject access request processing systems and related methods
US10318761B2 (en) 2016-06-10 2019-06-11 OneTrust, LLC Data processing systems and methods for auditing data request compliance
US11562097B2 (en) 2016-06-10 2023-01-24 OneTrust, LLC Data processing systems for central consent repository and related methods
US10997318B2 (en) 2016-06-10 2021-05-04 OneTrust, LLC Data processing systems for generating and populating a data inventory for processing data access requests
US10949565B2 (en) 2016-06-10 2021-03-16 OneTrust, LLC Data processing systems for generating and populating a data inventory
US12052289B2 (en) 2016-06-10 2024-07-30 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US12136055B2 (en) 2016-06-10 2024-11-05 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US10169609B1 (en) 2016-06-10 2019-01-01 OneTrust, LLC Data processing systems for fulfilling data subject access requests and related methods
US11222142B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for validating authorization for personal data collection, storage, and processing
US10909265B2 (en) 2016-06-10 2021-02-02 OneTrust, LLC Application privacy scanning systems and related methods
US11238390B2 (en) 2016-06-10 2022-02-01 OneTrust, LLC Privacy management systems and methods
US11336697B2 (en) 2016-06-10 2022-05-17 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US11366786B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing systems for processing data subject access requests
US11727141B2 (en) 2016-06-10 2023-08-15 OneTrust, LLC Data processing systems and methods for synching privacy-related user consent across multiple computing devices
US11481710B2 (en) 2016-06-10 2022-10-25 OneTrust, LLC Privacy management systems and methods
US11200341B2 (en) 2016-06-10 2021-12-14 OneTrust, LLC Consent receipt management systems and related methods
US11222309B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems for generating and populating a data inventory
US11366909B2 (en) 2016-06-10 2022-06-21 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US10846433B2 (en) 2016-06-10 2020-11-24 OneTrust, LLC Data processing consent management systems and related methods
US11403377B2 (en) 2016-06-10 2022-08-02 OneTrust, LLC Privacy management systems and methods
US11222139B2 (en) 2016-06-10 2022-01-11 OneTrust, LLC Data processing systems and methods for automatic discovery and assessment of mobile software development kits
US10284604B2 (en) 2016-06-10 2019-05-07 OneTrust, LLC Data processing and scanning systems for generating and populating a data inventory
US11354435B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for data testing to confirm data deletion and related methods
US10740487B2 (en) 2016-06-10 2020-08-11 OneTrust, LLC Data processing systems and methods for populating and maintaining a centralized database of personal data
US10592648B2 (en) 2016-06-10 2020-03-17 OneTrust, LLC Consent receipt management systems and related methods
US11228620B2 (en) * 2016-06-10 2022-01-18 OneTrust, LLC Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US10839102B2 (en) 2016-06-10 2020-11-17 OneTrust, LLC Data processing systems for identifying and modifying processes that are subject to data subject access requests
US11416590B2 (en) 2016-06-10 2022-08-16 OneTrust, LLC Data processing and scanning systems for assessing vendor risk
US11294939B2 (en) 2016-06-10 2022-04-05 OneTrust, LLC Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software
US11586700B2 (en) 2016-06-10 2023-02-21 OneTrust, LLC Data processing systems and methods for automatically blocking the use of tracking tools
US11544667B2 (en) 2016-06-10 2023-01-03 OneTrust, LLC Data processing systems for generating and populating a data inventory
US10510031B2 (en) 2016-06-10 2019-12-17 OneTrust, LLC Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques
US11354434B2 (en) 2016-06-10 2022-06-07 OneTrust, LLC Data processing systems for verification of consent and notice processing and related methods
US11475136B2 (en) 2016-06-10 2022-10-18 OneTrust, LLC Data processing systems for data transfer risk identification and related methods
US11520928B2 (en) 2016-06-10 2022-12-06 OneTrust, LLC Data processing systems for generating personal data receipts and related methods
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US9787639B1 (en) 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US20180013798A1 (en) * 2016-07-07 2018-01-11 Cisco Technology, Inc. Automatic link security
US9729416B1 (en) 2016-07-11 2017-08-08 Extrahop Networks, Inc. Anomaly detection using device relationship graphs
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US9660879B1 (en) 2016-07-25 2017-05-23 Extrahop Networks, Inc. Flow deduplication across a cluster of network monitoring devices
US10291495B2 (en) * 2016-08-11 2019-05-14 Thales Avionics, Inc. Analyzing passenger connectivity experiences while using vehicle cabin networks
US10298574B2 (en) * 2016-08-18 2019-05-21 Lenovo Enterprise Solutions (Singapore) Pte. Ltd. Managing client device credentials to facilitate secure computer system configuration
US10666675B1 (en) 2016-09-27 2020-05-26 Ca, Inc. Systems and methods for creating automatic computer-generated classifications
US10122686B2 (en) * 2016-10-03 2018-11-06 Mediatek Inc. Method of building a firewall for networked devices
CN107979581B (zh) * 2016-10-25 2020-10-27 华为技术有限公司 僵尸特征的检测方法和装置
EP3319288A1 (en) * 2016-11-07 2018-05-09 Secucloud GmbH Protocol detection by parsing layer-4 packets in a network security system
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
CN108270730A (zh) * 2016-12-30 2018-07-10 北京飞利信电子技术有限公司 一种扩展防火墙的应用层检测方法、装置及电子设备
CN108366040B (zh) * 2017-01-26 2021-03-02 北京飞利信电子技术有限公司 一种可编程防火墙的逻辑代码检测方法、装置及电子设备
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10013577B1 (en) 2017-06-16 2018-07-03 OneTrust, LLC Data processing systems for identifying whether cookies contain personally identifying information
US10735469B1 (en) * 2017-07-01 2020-08-04 Juniper Networks, Inc Apparatus, system, and method for predictively enforcing security policies on unknown flows
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10263863B2 (en) 2017-08-11 2019-04-16 Extrahop Networks, Inc. Real-time configuration discovery and management
US10063434B1 (en) 2017-08-29 2018-08-28 Extrahop Networks, Inc. Classifying applications or activities based on network behavior
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
US10958668B1 (en) 2017-12-21 2021-03-23 Palo Alto Networks, Inc. Finding malicious domains with DNS query pattern analysis
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
CN108377223B (zh) 2018-01-05 2019-12-06 网宿科技股份有限公司 一种多包识别方法、数据包识别方法及流量引导方法
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US11431677B2 (en) * 2018-01-11 2022-08-30 Nicira, Inc. Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules
US11347871B2 (en) * 2018-01-16 2022-05-31 International Business Machines Corporation Dynamic cybersecurity protection mechanism for data storage devices
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10264003B1 (en) 2018-02-07 2019-04-16 Extrahop Networks, Inc. Adaptive network monitoring with tuneable elastic granularity
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US11057352B2 (en) 2018-02-28 2021-07-06 Xaptum, Inc. Communication system and method for machine data routing
US11190487B2 (en) 2018-02-28 2021-11-30 Palo Alto Networks, Inc. Identifying security risks and enforcing policies on encrypted/encoded network communications
JP7059726B2 (ja) * 2018-03-19 2022-04-26 株式会社リコー 通信システム、通信制御装置、通信制御方法及び通信制御プログラム
US10965653B2 (en) 2018-03-28 2021-03-30 Xaptum, Inc. Scalable and secure message brokering approach in a communication system
US20210168116A1 (en) * 2018-04-03 2021-06-03 Ippsec Inc. Systems and methods of physical infrastructure and information technology infrastructure security
US10805439B2 (en) 2018-04-30 2020-10-13 Xaptum, Inc. Communicating data messages utilizing a proprietary network
US10116679B1 (en) 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
JP7003864B2 (ja) * 2018-07-24 2022-02-10 日本電信電話株式会社 振分装置、通信システムおよび振分方法
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US10979542B2 (en) * 2018-08-28 2021-04-13 Vmware, Inc. Flow cache support for crypto operations and offload
US10924593B2 (en) 2018-08-31 2021-02-16 Xaptum, Inc. Virtualization with distributed adaptive message brokering
US11544409B2 (en) 2018-09-07 2023-01-03 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US11144675B2 (en) 2018-09-07 2021-10-12 OneTrust, LLC Data processing systems and methods for automatically protecting sensitive data within privacy management systems
US10803202B2 (en) 2018-09-07 2020-10-13 OneTrust, LLC Data processing systems for orphaned data identification and deletion and related methods
US11985023B2 (en) 2018-09-27 2024-05-14 Juniper Networks, Inc. Supporting graphQL based queries on yang based configuration data models
US10771435B2 (en) * 2018-11-20 2020-09-08 Netskope, Inc. Zero trust and zero knowledge application access system
US10938877B2 (en) 2018-11-30 2021-03-02 Xaptum, Inc. Optimizing data transmission parameters of a proprietary network
US10912053B2 (en) 2019-01-31 2021-02-02 Xaptum, Inc. Enforcing geographic restrictions for multitenant overlay networks
US10897396B2 (en) 2019-03-29 2021-01-19 Juniper Networks, Inc. Supporting concurrency for graph-based high level configuration models
US10841182B2 (en) 2019-03-29 2020-11-17 Juniper Networks, Inc. Supporting near real time service level agreements
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11165647B2 (en) 2019-06-28 2021-11-02 Juniper Networks, Inc. Managing multiple semantic versions of device configuration schemas
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11245703B2 (en) 2019-09-27 2022-02-08 Bank Of America Corporation Security tool for considering multiple security contexts
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11797528B2 (en) 2020-07-08 2023-10-24 OneTrust, LLC Systems and methods for targeted data discovery
EP4189569A1 (en) 2020-07-28 2023-06-07 OneTrust LLC Systems and methods for automatically blocking the use of tracking tools
US20230289376A1 (en) 2020-08-06 2023-09-14 OneTrust, LLC Data processing systems and methods for automatically redacting unstructured data from a data subject access request
CN112165536B (zh) * 2020-09-11 2022-11-11 中国银联股份有限公司 一种网络终端认证的方法及装置
WO2022060860A1 (en) 2020-09-15 2022-03-24 OneTrust, LLC Data processing systems and methods for detecting tools for the automatic blocking of consent requests
WO2022061270A1 (en) 2020-09-21 2022-03-24 OneTrust, LLC Data processing systems and methods for automatically detecting target data transfers and target data processing
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
EP4218212A4 (en) 2020-09-23 2024-10-16 ExtraHop Networks, Inc. Monitoring encrypted network traffic
US11669551B2 (en) * 2020-10-16 2023-06-06 Splunk Inc. Rule-based data stream processing
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
WO2022099023A1 (en) 2020-11-06 2022-05-12 OneTrust, LLC Systems and methods for identifying data processing activities based on data discovery results
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11687528B2 (en) 2021-01-25 2023-06-27 OneTrust, LLC Systems and methods for discovery, classification, and indexing of data in a native computing system
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
WO2022170047A1 (en) 2021-02-04 2022-08-11 OneTrust, LLC Managing custom attributes for domain objects defined within microservices
EP4288889A1 (en) 2021-02-08 2023-12-13 OneTrust, LLC Data processing systems and methods for anonymizing data samples in classification analysis
WO2022173912A1 (en) 2021-02-10 2022-08-18 OneTrust, LLC Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system
WO2022178089A1 (en) 2021-02-17 2022-08-25 OneTrust, LLC Managing custom workflows for domain objects defined within microservices
WO2022178219A1 (en) 2021-02-18 2022-08-25 OneTrust, LLC Selective redaction of media content
WO2022192269A1 (en) 2021-03-08 2022-09-15 OneTrust, LLC Data transfer discovery and analysis systems and related methods
US11201887B1 (en) * 2021-03-23 2021-12-14 Lookingglass Cyber Solutions, Inc. Systems and methods for low latency stateful threat detection and mitigation
US11818045B2 (en) 2021-04-05 2023-11-14 Bank Of America Corporation System for performing dynamic monitoring and prioritization of data packets
US11743156B2 (en) * 2021-04-05 2023-08-29 Bank Of America Corporation System for performing dynamic monitoring and filtration of data packets
US11562078B2 (en) 2021-04-16 2023-01-24 OneTrust, LLC Assessing and managing computational risk involved with integrating third party computing functionality within a computing system
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US12153704B2 (en) 2021-08-05 2024-11-26 OneTrust, LLC Computing platform for facilitating data exchange among computing environments
US12206684B2 (en) * 2021-09-10 2025-01-21 Rockwell Automation Technologies, Inc. Security and safety of an industrial operation using opportunistic sensing
US11722437B2 (en) * 2021-09-14 2023-08-08 Netscout Systems, Inc. Configuration of a scalable IP network implementation of a switch stack
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
CN113965386B (zh) * 2021-10-25 2023-11-03 绿盟科技集团股份有限公司 工控协议报文处理方法、装置、设备及存储介质
CN114124520A (zh) * 2021-11-22 2022-03-01 浙江大学 基于多模态的拟态waf执行体实现方法
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity
CN114760256B (zh) * 2022-04-14 2024-01-30 曙光网络科技有限公司 数据处理方法、装置、设备及存储介质
CN114978610B (zh) * 2022-04-29 2024-05-28 北京火山引擎科技有限公司 一种流量传输控制方法、装置、设备及存储介质
US11620142B1 (en) 2022-06-03 2023-04-04 OneTrust, LLC Generating and customizing user interfaces for demonstrating functions of interactive user environments
US11611533B1 (en) 2022-09-25 2023-03-21 Uab 360 It Customized filtering of transmissions from a device

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056306A (zh) * 2006-04-11 2007-10-17 中兴通讯股份有限公司 网络设备及其访问控制方法
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101227289A (zh) * 2008-02-02 2008-07-23 华为技术有限公司 统一威胁管理设备及威胁防御模块的加载方法

Family Cites Families (68)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5598535A (en) * 1994-08-01 1997-01-28 International Business Machines Corporation System for selectively and cumulatively grouping packets from different sessions upon the absence of exception condition and sending the packets after preselected time conditions
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US6147976A (en) * 1996-06-24 2000-11-14 Cabletron Systems, Inc. Fast network layer packet filter
US5960452A (en) * 1996-12-23 1999-09-28 Symantec Corporation Optimizing access to multiplexed data streams on a computer system with limited memory
US6826694B1 (en) * 1998-10-22 2004-11-30 At&T Corp. High resolution access control
FI106493B (fi) * 1999-02-09 2001-02-15 Nokia Mobile Phones Ltd Menetelmä ja järjestelmä pakettimuotoisen datan luotettavaksi siirtämiseksi
DE19919177A1 (de) 1999-04-28 2000-11-02 Philips Corp Intellectual Pty Netzwerk mit mehreren Netzwerk-Clustern zur drahtlosen Übertragung von Paketen
US6854063B1 (en) * 2000-03-03 2005-02-08 Cisco Technology, Inc. Method and apparatus for optimizing firewall processing
US6697381B1 (en) * 2000-03-09 2004-02-24 L3 Communications Packet channel architecture
US20020093527A1 (en) 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7725558B2 (en) * 2000-07-26 2010-05-25 David Dickenson Distributive access controller
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7437654B2 (en) * 2000-11-29 2008-10-14 Lucent Technologies Inc. Sub-packet adaptation in a wireless communication system
EP1338130B1 (en) * 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US6963564B1 (en) * 2000-12-22 2005-11-08 Alcatel Method and apparatus for synchronized slotted optical burst switching
US7290283B2 (en) * 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
US20020176378A1 (en) * 2001-05-22 2002-11-28 Hamilton Thomas E. Platform and method for providing wireless data services
WO2002101516A2 (en) * 2001-06-13 2002-12-19 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7370353B2 (en) * 2001-11-05 2008-05-06 Cisco Technology, Inc. System and method for managing dynamic network sessions
EP1330095B1 (en) 2002-01-18 2006-04-05 Stonesoft Corporation Monitoring of data flow for enhancing network security
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7337214B2 (en) 2002-09-26 2008-02-26 Yhc Corporation Caching, clustering and aggregating server
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US6940863B2 (en) * 2003-01-13 2005-09-06 The Regents Of The University Of California Edge router for optical label switched network
FR2850503B1 (fr) * 2003-01-23 2005-04-08 Everbee Networks Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables
US7525994B2 (en) * 2003-01-30 2009-04-28 Avaya Inc. Packet data flow identification for multiplexing
US7305708B2 (en) * 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7827602B2 (en) 2003-06-30 2010-11-02 At&T Intellectual Property I, L.P. Network firewall host application identification and authentication
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US20050114700A1 (en) 2003-08-13 2005-05-26 Sensory Networks, Inc. Integrated circuit apparatus and method for high throughput signature based network applications
US7467202B2 (en) * 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
WO2005062707A2 (en) * 2003-12-30 2005-07-14 Checkpoint Software Technologies Ltd. Universal worm catcher
US8166554B2 (en) * 2004-02-26 2012-04-24 Vmware, Inc. Secure enterprise network
EP1730917A1 (en) 2004-03-30 2006-12-13 Telecom Italia S.p.A. Method and system for network intrusion detection, related network and computer program product
US7673049B2 (en) * 2004-04-19 2010-03-02 Brian Dinello Network security system
US7761919B2 (en) * 2004-05-20 2010-07-20 Computer Associates Think, Inc. Intrusion detection with automatic signature generation
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US20060059551A1 (en) * 2004-09-13 2006-03-16 Utstarcom Inc. Dynamic firewall capabilities for wireless access gateways
US7830864B2 (en) * 2004-09-18 2010-11-09 Genband Us Llc Apparatus and methods for per-session switching for multiple wireline and wireless data types
US20060168273A1 (en) * 2004-11-03 2006-07-27 Ofir Michael Mechanism for removing data frames or packets from data communication links
US7725934B2 (en) 2004-12-07 2010-05-25 Cisco Technology, Inc. Network and application attack protection based on application layer message inspection
US7383438B2 (en) 2004-12-18 2008-06-03 Comcast Cable Holdings, Llc System and method for secure conditional access download and reconfiguration
GB2422450A (en) * 2005-01-21 2006-07-26 3Com Corp Pattern-matching using a deterministic finite state machine
US10015140B2 (en) * 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US20060259950A1 (en) * 2005-02-18 2006-11-16 Ulf Mattsson Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior
US7844700B2 (en) * 2005-03-31 2010-11-30 Microsoft Corporation Latency free scanning of malware at a network transit point
US8228926B2 (en) * 2005-04-12 2012-07-24 Genband Us Llc Dynamic loading for signaling variants
US7653075B2 (en) * 2005-05-23 2010-01-26 Juniper Networks, Inc. Processing communication flows in asymmetrically routed networks
US7747874B2 (en) * 2005-06-02 2010-06-29 Seagate Technology Llc Single command payload transfers block of security functions to a storage device
US20060288418A1 (en) * 2005-06-15 2006-12-21 Tzu-Jian Yang Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis
US8266327B2 (en) 2005-06-21 2012-09-11 Cisco Technology, Inc. Identity brokering in a network element
US20080229415A1 (en) * 2005-07-01 2008-09-18 Harsh Kapoor Systems and methods for processing data flows
US20070067445A1 (en) 2005-09-16 2007-03-22 Smart Link Ltd. Remote computer wake-up for network applications
US8397284B2 (en) 2006-01-17 2013-03-12 University Of Maryland Detection of distributed denial of service attacks in autonomous system domains
US20070171827A1 (en) 2006-01-24 2007-07-26 Scott Mark E Network flow analysis method and system
US8443442B2 (en) 2006-01-31 2013-05-14 The Penn State Research Foundation Signature-free buffer overflow attack blocker
KR100656481B1 (ko) * 2006-02-03 2006-12-11 삼성전자주식회사 동적 네트워크 보안 시스템 및 그 제어방법
JP3996939B2 (ja) 2006-03-30 2007-10-24 株式会社シー・エス・イー オフラインユーザ認証システム、その方法、およびそのプログラム
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
CN100542122C (zh) * 2006-09-29 2009-09-16 华为技术有限公司 一种vlan交换隧道的复用方法和vlan交换域
US7995584B2 (en) * 2007-07-26 2011-08-09 Hewlett-Packard Development Company, L.P. Method and apparatus for detecting malicious routers from packet payload
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US7961726B2 (en) * 2008-10-07 2011-06-14 Microsoft Corporation Framework for optimizing and simplifying network communication in close proximity networks
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101056306A (zh) * 2006-04-11 2007-10-17 中兴通讯股份有限公司 网络设备及其访问控制方法
CN101119321A (zh) * 2007-09-29 2008-02-06 杭州华三通信技术有限公司 网络流量分类处理方法及网络流量分类处理装置
CN101227289A (zh) * 2008-02-02 2008-07-23 华为技术有限公司 统一威胁管理设备及威胁防御模块的加载方法

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103428229A (zh) * 2012-05-14 2013-12-04 百度在线网络技术(北京)有限公司 数据中心系统、装置及提供服务的方法
CN102984243A (zh) * 2012-11-20 2013-03-20 杭州迪普科技有限公司 一种ssl协议中应用的自动识别方法和装置
CN102984243B (zh) * 2012-11-20 2016-05-11 杭州迪普科技有限公司 一种ssl协议中应用的自动识别方法和装置
CN104104526A (zh) * 2013-04-01 2014-10-15 深圳维盟科技有限公司 上网行为监控方法、装置和系统
CN103281333A (zh) * 2013-06-17 2013-09-04 苏州山石网络有限公司 数据流的转发方法及装置
CN104168203A (zh) * 2014-09-03 2014-11-26 上海斐讯数据通信技术有限公司 一种基于流表的处理方法及系统
CN106470206A (zh) * 2015-08-14 2017-03-01 纬创资通股份有限公司 适用于异质网络架构的异常预测方法及系统
CN106470206B (zh) * 2015-08-14 2019-08-09 纬创资通股份有限公司 适用于异质网络架构的异常预测方法及系统
CN111552953A (zh) * 2019-02-12 2020-08-18 Sap门户以色列有限公司 安全策略作为服务
CN111552953B (zh) * 2019-02-12 2023-08-15 Sap门户以色列有限公司 安全策略作为服务
CN112087415A (zh) * 2019-06-12 2020-12-15 瞻博网络公司 基于应用路径的网络业务控制
CN112087415B (zh) * 2019-06-12 2023-01-31 瞻博网络公司 基于应用路径的网络业务控制
CN112217783A (zh) * 2019-07-10 2021-01-12 罗伯特·博世有限公司 用于在通信网络中的攻击识别的设备和方法
TWI777156B (zh) * 2019-12-10 2022-09-11 威聯通科技股份有限公司 內部網路監控方法及使用其的內部網路監控系統
CN115486105A (zh) * 2020-06-01 2022-12-16 帕洛阿尔托网络公司 Iot设备发现和标识
CN112584357A (zh) * 2020-12-02 2021-03-30 惠州市德赛西威智能交通技术研究院有限公司 一种动态调整车载防火墙策略的方法
CN112584357B (zh) * 2020-12-02 2023-04-28 惠州市德赛西威智能交通技术研究院有限公司 一种动态调整车载防火墙策略的方法
CN115118713A (zh) * 2022-06-20 2022-09-27 山石网科通信技术股份有限公司 数据处理方法、装置及电子设备
CN118075033A (zh) * 2024-04-19 2024-05-24 台州市大数据发展有限公司 一种网络安全防护方法及系统

Also Published As

Publication number Publication date
EP2175603A1 (en) 2010-04-14
US20140053239A1 (en) 2014-02-20
US9258329B2 (en) 2016-02-09
US20100095367A1 (en) 2010-04-15
US8572717B2 (en) 2013-10-29

Similar Documents

Publication Publication Date Title
CN101719899A (zh) 用于网络安全装置的具有端口限制的动态访问控制策略
US9571523B2 (en) Security actuator for a dynamically programmable computer network
US7853998B2 (en) Firewall propagation
JP3443529B2 (ja) ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム
US7428590B2 (en) Systems and methods for reflecting messages associated with a target protocol within a network
US7664822B2 (en) Systems and methods for authentication of target protocol screen names
Aldabbas et al. A novel mechanism to handle address spoofing attacks in SDN based IoT
US6728885B1 (en) System and method for network access control using adaptive proxies
US7707401B2 (en) Systems and methods for a protocol gateway
US7774832B2 (en) Systems and methods for implementing protocol enforcement rules
US20180191571A1 (en) Network bridge device with automatic self-configuration and method thereof
US20040103318A1 (en) Systems and methods for implementing protocol enforcement rules
US20100157839A1 (en) Network service monitoring
JPH11163940A (ja) パケット検証方法
JPH11167537A (ja) ファイアウォールサービス提供方法
US20060150243A1 (en) Management of network security domains
KR100468374B1 (ko) 네트워크 유해 트래픽 제어 장치 및 방법
WO2006062961A2 (en) Systems and methods for implementing protocol enforcement rules
Manwani ARP Cache Poisoning Detection and Prevention
Westall A Simple, Configurable, and Adaptive Network Firewall for Linux
Niklas Firewall Modularization and Authentication in an Effnet Firewall
Held Protecting a Network from Spoofing and Denial of Service Attacks
Changela Firewall: Optimizing Policies, Testing And Performance Evaluation

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C12 Rejection of a patent application after its publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20100602