CN1930817A - 针对与高风险相关联的网络用户的隔离手段 - Google Patents
针对与高风险相关联的网络用户的隔离手段 Download PDFInfo
- Publication number
- CN1930817A CN1930817A CNA2005800071735A CN200580007173A CN1930817A CN 1930817 A CN1930817 A CN 1930817A CN A2005800071735 A CNA2005800071735 A CN A2005800071735A CN 200580007173 A CN200580007173 A CN 200580007173A CN 1930817 A CN1930817 A CN 1930817A
- Authority
- CN
- China
- Prior art keywords
- network
- address
- user
- network equipment
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5007—Internet protocol [IP] addresses
- H04L61/5014—Internet protocol [IP] addresses using dynamic host configuration protocol [DHCP] or bootstrap protocol [BOOTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/50—Address allocation
- H04L61/5061—Pools of addresses
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/10—Mapping addresses of different types
- H04L61/103—Mapping addresses of different types across network layers, e.g. resolution of network layer into physical layer addresses or address resolution protocol [ARP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
一种提供与高网络风险相关联的计算机网络主机(110A)的隔离的计算机系统,其中所述网络包括一个或多个客户端(122A)、一个或多个交换机(108A)、一个或多个服务器资源(130)、网络管理站(102)以及管理正常地址池(124A)的地址服务器(124),该系统的特征在于:高警戒地址池(124B),其与可疑恶意网络用户相关联,并由地址服务器所管理;以及判决控制器(105),其被配置用于:确定与导致网络中的安全性事件的网络设备相关联的用户标识符;使网络设备接收从高警戒地址池内的地址子集中选择出来的网络地址;以及针对选定的网络地址配置一个或多个安全性限制。
Description
技术领域
本发明总地涉及计算机网络。本发明更具体而言涉及用于提高网络安全性的手段。
背景技术
这一部分中描述的手段可以实现,但是并不一定是先前已察觉或已实现的手段。因此,除非这里另有指明,否则这一部分中描述的手段并不是本申请中权利要求的现有技术,也不应当因为被包括在这一部分中而被当作现有技术。
2003年10月16日递交的Mark Ammar Rayes等人(Rayes等人的申请)的题为“Policy-based network security management”的美国专利申请10/688,051描述了一种基于策略的安全性管理控制器,其利用网络警戒状态、风险级别和网络健康状态信息来确定响应于网络安全性攻击应当采取什么动作。在一个实施例中,控制器利用历史警报或事件识别潜在的入侵者。
控制器还允许服务提供商针对可能的入侵者采取动作。为了防止恶意用户通过诸如IP地址欺骗、在动态主机控制协议(DHCP)下对网络地址的外来请求以及MAC地址欺骗来实现拒绝服务(DoS),可能需要采取动作,在网络警戒级别较高时尤其如此。为了保持网络的完整性和稳定性,在网络性能降低之前防止攻击者造成进一步损害是很重要的。
安全性控制器是捕捉可能的入侵者并采取服务提供商所定义的适当动作的第一应用。但是,可能希望对潜在恶意用户采取比起完全禁止用户的网络访问来不那么严厉的动作。例如,在设置期间过多次地改变设备的IP地址的不熟练用户可能被不适当地识别为发起DoS攻击的恶意用户。由于安全性控制器不适当地将这类无辜用户分类为恶意用户而对该用户拒绝服务可能会导致用户选择另一个服务提供商。
另一方面,控制器负责防止灾害性巨大网络故障,尤其是在网络性能较坏期间。在服务提供商能够确定可疑用户是否真的是恶意用户之前需要对可疑用户行为进行详细分析,而这种分析是花时间的。控制器可能在不等待这种分析的情况下判决禁止用户访问以确保不能造成进一步的损害,尽管这种判决可能是错误的。
因此,需要这样一种方式,这种方式允许服务提供商在不完成阻止网络访问的情况下防止对网络的损害,同时允许有时间来对可疑用户的流量行为应用进一步的诊断和分析,而不会使非恶意用户那部分感到受挫。
附图说明
在附图中以示例方式而非以限制方式图示了本发明,在附图中,相似的标号指代类似的元件,在附图中:
图1A是可用于实现实施例的示例性网络上下文的框图;
图1B是可使用的替换网络上下文的框图;
图2是示出针对与高风险相关联的网络用户的隔离手段的一个实施例的高级别概况的流程图;
图3A是配置安全性限制的过程的流程图;
图3B是将用户置于高风险用户群组中的过程的流程图;
图4是将用户从高风险用户群组中去除的过程的流程图;以及
图5是示出可以用来实现实施例的计算机系统的框图。
具体实施方式
描述了提供针对与高风险相关联的网络用户的隔离手段的方法和装置。在下面的描述中,出于说明目的,给出了大量具体细节以便完全理解本发明。但是,本领域技术人员将会清楚,没有这些具体细节也可以实施本发明。在其他实例中,公知的结构和设备以框图形式示出,以避免不必要地模糊本发明。
这里根据下面的大纲描述实施例:
1.0概述
2.0针对与高风险相关联的网络用户的隔离手段
2.1将用户置于高风险用户群组中
2.2配置安全性限制
2.3将用户从高风险用户群组中去除
2.4与安全性控制器交互
2.5其他实施例
3.0实现机构—硬件概述
4.0扩展和替换
1.0概述
在本发明中实现了在前述背景技术部分中提出的需要、以及将从下面的描述中变清楚的其他需要和目的,本发明包括一种针对与高风险相关联的网络用户的隔离手段。根据一种手段,一种方法包括以下用计算机实现的步骤:确定与导致网络中的安全性事件的网络设备相关联的用户标识符;使所述网络设备接收从与可疑恶意网络用户相关联的指定池内的地址子集中选择出来的网络地址;以及针对选定的网络地址配置一个或多个安全性限制。
在第二方面中,一种方法包括以下用计算机实现的步骤:接收标识网络中的安全性事件的信息;将所述安全性事件信息与网络用户信息相互联系起来以便确定与所述网络设备相关联的网络用户;将所述用户置于高风险安全性群组中;针对选定的网络地址配置一个或多个安全性限制;确定是否恶意行为导致了所述安全性事件;如果恶意行为导致了所述安全性事件,则将关于所述安全性事件或恶意行为的信息提供给安全性判决控制器;并且如果恶意行为未曾导致所述安全性事件,则将所述用户从所述高风险群组中去除。
前述的方面可能包括许多其他特征、替换和变化,这些特征、替换和变化将从下面的描述和权利要求中显现出来。此外,在其他方面中,本发明包括被配置为执行前述步骤的计算机装置和计算机可读介质。
这里的公开引入了“高警戒”网络用户群组。被怀疑对网络执行诸如任何类型的欺骗攻击、拒绝服务攻击等恶意行为的网络用户被强制进入高警戒用户群组。高警戒用户群组中的用户的流量被路由经过监视服务器,在该监视服务器处执行详细的流量分析,以确定用户是否确实在执行恶意行为,以便采取适当的动作。关于适当动作的判决可以在安全性控制器的帮助下作出。在安全性控制器作出判决之前,在执行监视的同时,高警戒用户群组中的用户继续接收受限的网络服务。结果,用户服务并未被完全中断。在某些情况下,这确保了用户和服务提供商之间的任何服务协议不会遭到破坏。
在一个特定实施例中,检测安全性事件并使之与用户相互联系起来。通过改变用户所使用的末端站的网络地址,将用户置于高警戒用户群组中。通过将可疑恶意用户的所有流量路由经过监视服务器,来密切监视可疑用户在网络中的动作。可疑用户的网络访问受到限定或限制,以便用户不能损害网络。例如,高警戒用户群组中的可疑用户不能改变网络针对用户末端站所识别的MAC地址,用户需要接收来自为高警戒用户群组预留的特殊地址池的网络地址,等等。只有在管理员确定用户确实在进行安全性侵害之后才执行更重大的动作,例如终止用户的网络访问或将用户放回不受限用户群组中。此外,在一个实施例中,可以向高警戒用户群组中的所有可疑用户应用单个动作。例如,在紧急情况下,这种集体动作可能是适当的。集体动作的示例是临时暂停对高警戒用户群组的所有成员的服务并提供说明性消息。
在特定实施例中,应用DHCP动态地址分布、IP地址子网、交换机ARP表和网络管理技术来将可疑用户放到高警戒群组中,用户的流量在其下被网络密切监视,同时服务合同中指定的用户服务不受影响或者只是部分受影响。
2.0针对与高风险相关联的网络用户的隔离手段
图1A是可以用于实现实施例的示例性网络上下文的框图。图1A意图是示出一个示例性上下文;但是,这里描述的手段可以在任何网络上下文中实现。在图1A中,网络操作中心100由管理被管理网络106的网络服务提供商所拥有或操作。一般来说,私有企业使用被管理网络106,并且是网络服务提供商的顾客。
一个或多个经授权的用户110A、110B利用网络元件108来发送或接收数据或多媒体通信,以与服务器资源130交互。网络元件108可以包括路由器、交换机或其他基础设施元件,而被管理网络106可以包括以任何有用或合乎需要的拓扑耦合的任何数目的网络元件。此外,除服务器资源130之外,被管理网络106还可以包括任何数目的末端站或资源,例如其他服务器、工作站,或者个人计算机、打印机、存储装置和其他外围设备。
恶意用户120也可能尝试利用被管理网络106发送或接收未经授权的数据或命令。恶意用户120可以是尝试危害被管理网络106或致使服务器资源130或网络元件108对他人不可用的用户,或者未经授权的用户可以是无意地执行未经授权的行为或者多次尝试执行根据指定访问策略被视为过度的动作的无辜个体。
如图1A所示的经授权的用户110A、110B和恶意用户120广泛地代表诸如个人计算机、工作站等任何末端站设备,单独或共同使用诸如路由器、集线器等网络基础设施元件,以及单独或共同具有使用、拥有或操作这种设备的相关用户。
网络操作中心包括网络管理站(NMS)102、监视服务器104和判决控制器105。网络管理站102包括容宿着提供诸如网络元件108的配置这样的功能的网络管理软件的工作站或计算机。监视服务器104可以针对网络元件108执行流量分析或详细监视功能。判决控制器105可以接收来自NMS 102和监视服务器104的输入,并且可以确定在被管理网络106中应当采取什么动作来防止被管理网络遭到未经授权的用户的攻击或危害。
图1B是可以使用的替换网络上下文的框图。图1B具体指示NOC 100可以包括用于动态地向经授权的用户110A、110B和恶意用户120提供网络地址的DHCP服务器124。如下文进一步描述的,DHCP服务器124可以在适当的判决逻辑的控制下选择来自正常地址池124A或来自高警戒地址池124B的地址。经授权的用户110A、110B和恶意用户120分别容宿着DHCP客户端122A、122B、122C,这些DHCP客户端利用DHCP消息来与DHCP服务器124交互,如这里进一步描述的。
经授权的用户110A、110B和恶意用户120可通信地耦合到交换机108A,该交换机维护着地址解析协议(ARP)表126。在一个实施例中,ARP表126除了其他信息以外还维护着经授权的用户110A、110B和恶意用户120的MAC地址与已由DHCP服务器124分配给经授权的用户110A、110B和恶意用户120的IP地址的关联。ARP表126与DHCP服务器124的交互在下文进一步描述。
图2是示出针对与高风险相关联的网络用户的隔离手段的一个实施例的高级别概况的流程图。在步骤202中,接收标识安全性事件的信息。在步骤204中,将安全性事件信息相互联系起来,从而识别导致安全性事件或与安全性事件相关联的用户。相关可以包括诸如在用户信息数据库中查找安全性事件信息中携带的网络地址这样的动作。
在步骤206中,将用户置于高风险用户群组中。用于将用户置于高风险用户群组中的特定手段在后面的部分中描述。
在步骤207中,为用户配置一个或多个安全性限制。安全性限制限定用户在被管理网络中能够执行的动作。一般来说,配置安全性限制的目的是隔离网络中的恶意用户,以便检疫可疑恶意用户,从而避免对网络造成进一步损害。用于将用户置于高风险用户群组中的特定手段在后面的部分中描述。
在步骤207之后的不确定长的时间之后,如虚线208所示,在步骤210处执行测试,以确定是否恶意行为导致了在步骤202中接收到其有关信息的安全性事件。步骤210例如可以包括网络管理人员详细审查安全性事件,针对识别出的用户或用户使用的网络元件执行流量分析,等等。在一个实施例中,如果发觉用户在执行可疑的网络动作,就将用户分类为恶意用户,所述可疑的网络动作例如是污染交换机108A的ARP表126(图1B)、IP欺骗等等。这种动作可由执行指定的软件应用的网络硬件检测到,例如来自Cisco System,Inc.的Cisco Catalyst 6500系列交换机中的ARP检查特征或动态ARP检查特征。这种动作也可以由Rayes等人的申请中描述的安全性控制器来确定。
在步骤212中,如果步骤210的测试为真,则向判决控制器提供报告。在步骤214中,如果步骤210的测试为假,则将用户从高风险用户群组中去除。用于将用户从高风险用户群组中去除的特定手段在后面的部分中描述。
利用前述手段,在对用户、安全性事件或其他信息进行详细审查的同时,有效地限制或检疫与安全性事件相关联的用户。并不完全切断用户对被管理网络的访问,而是限制用户的动作。结果,可在评估恶意用户的动作的同时检疫恶意用户,而无辜用户不会遭受连接断开或与缺乏网络访问相关联的受挫感。
2.1将用户置于高风险用户群组中
图3B示出将用户置于高风险用户群组中的过程的流程图。为了示出清楚的示例,图3B和下文随后描述的剩余附图是在图1B的示例性上下文中描述的。但是,这里描述的技术也适用于其他上下文中。
图2和图3B都假定已经创建了高风险用户群组。在被管理网络106是基于IP分组的网络的一个实施例中,创建高风险用户群组包括特别为被管理网络的可疑订户或用户创建新的IP地址子网。该子网可被称为“高警戒IP地址池”。从而,高警戒地址池124B(图1B)可以包括新IP子网中的地址。
创建高警戒IP地址池可通过请求IP地址分配机构(例如因特网分配名称和号码组织(ICANN))创建特别用于可疑恶意用户的全局可识别IP范围来执行。例如,可以使用子网34.34.x.x。该手段在IPv6的上下文中尤其有用,其提供了可用来创建高警戒地址范围的额外地址空间。或者,可以在ISP网络内创建高警戒IP地址池;不需要针对整个互联网全局地定义池。
或者,服务提供商可以创建为可疑恶意用户预留的特殊IP地址范围,并且可以向其他服务提供商公开定义特殊范围的参数。例如,具有范围xxx.xxx.xxx.240-250内的主机IP地址的地址可被指定为处于高警戒地址池124B内。接收从高警戒地址池124B选择出来的网络地址以用于高风险用户设备的用户被称为处于高警戒用户群组内。
为了将可疑用户置于高警戒群组中,用户的设备需要接收处于高警戒地址范围内的新网络地址。在一个实施例中,在步骤206A中,DHCP服务器124被用指令重新配置,以使DHCP服务器仅将来自高警戒地址池124B的地址提供给用户设备。例如,在一个实施例中,操作支持系统(OSS)、订户管理系统或网络管理站102配置DHCP服务器124或网络元件108中的DHCP服务器,以向恶意设备分配来自高警戒地址池124B的网络地址。
在步骤206B中,用户末端站被强迫获取来自高警戒地址池的新网络地址。在DHCP实施例中,OSS使恶意设备发送DHCPREQUEST。如图3B所示,可以使用若干个不同的技术来使设备请求新地址。例如,如方框302所示,OSS使交换机或访问设备,例如交换机108A,执行端口重置。在一个实施例中,方框302包括执行2003年11月24日递交的RalphDroms的题为“Methods and apparatus supporting configuration in anetwork”、代理案卷号为No.CIS03-51(7908)的共同待决的申请中描述的技术,这里通过引用将该申请的全部内容结合进来,就好像在这里完全阐述了一样。
或者,如方框304所示,OSS等待恶意用户120为其当前网络地址保持的租期(lease)期满。恶意用户120的末端站设备在期满时或期满之前不久将会自动请求来自DHCP服务器124的新地址。又或者,在方框306中,OSS或NMS 102提示恶意用户120执行ipconfig/release和ipconfig/renew操作。又或者,在方框308中,OSS或NMS 102使交换机108A或其他访问设备发送DHCP FORCE_RENEW消息,如果交换机108A或访问设备支持这种功能的话。作为响应,恶意用户120的末端站设备自动请求来自DHCP服务器124的新地址。
在执行前述替换方案中的任何一种之后,在步骤206C中,DHCP服务器124向与恶意用户120相关联的客户端设备分配来自高警戒地址池124B的地址。在步骤206D中,可疑恶意用户所使用的网络访问设备处的ARP表被用新地址更新。例如,恶意用户120所使用的交换机108A的ARP表126被更新。
例如,作为交换机108A中的ARP过程的正常操作的一部分,ARP过程检测恶意用户120的新地址,因为该新地址与当前存储在ARP表126中的在先地址不同。因此,在恶意用户120接收或发送第一个数据报之后,ARP过程自动更新ARP表126。或者,如果在访问设备中DHCP侦听(snooping)或安全ARP特征是活动的,则响应于交换机108A检测到DHCP服务器124和恶意用户120之间的DHCP事务,ARP表126被自动更新。
2.2配置安全性限制
图3A是配置安全性限制的过程的流程图。在一个实施例中,图3A的过程被用于实现图2的步骤207。
在一个实施例中,为了确保可疑用户不能对网络造成损害,使用了访问控制列表(ACL)和DHCP流量标记。例如,在步骤207A中,MAC访问控制列表条目被设置,在步骤207B中,IP访问控制列表条目被设置。
例如,在图1A的网络元件108或图1B的交换机108A是在Cisco命令行接口(CLI)语言的控制下工作的Cisco交换机或路由器的实现方式中,可以使用下面的CLI命令。作为步骤207A的一部分,耦合到恶意用户120的网络元件108或交换机108A处的端口的MAC ACL被用命令“permit mac<user’s MAC address>any”修改。前述命令的作用是在相关联的端口上只许可带有指定用户的MAC地址的流量。
类似地,用户端口处的IP ACL可被用命令“permit ip<special IP>any”修改。前述命令的作用是只允许带有新分配的特殊IP的流量进入网络元件108或交换机108A的相关联端口。
IP ACL和MAC ACL的配置只是步骤207中可以应用的安全性措施的一个示例。也可以应用其他安全性措施。例如,来自可疑用户的所有流量都可被强迫经过监视服务器104。在一种实现方式中,交换机108A处的策略路由选择可被用来在将所有来自具有高警戒地址池中的地址的用户的流量转发到实际目的地之前,先将它们路由到监视服务器104。
通过在受到密切监视的高警戒子网中实施这种严格的安全性措施,可疑恶意用户被检疫。这种用户还被置于密切监视之下,并且被防止对网络造成进一步的危害。
2.3将用户从高风险用户群组中去除
图4是用于将用户从高风险用户群组中去除的过程的流程图。在一个实施例中,图4的过程被用于实现图2的步骤214。一般来说,图4代表图3A、图3B的逆转。从而,在步骤214A中,用户末端站被强迫获取来自常规网络地址的指定群组的新网络地址。可以使用图3B的步骤206A、302、304、306、308和206D的技术。但是,在图4的情况中,分配给用户末端站的新网络地址是从常规网络地址池中选择出来的。例如,这些技术导致DHCP服务器124(图1B)将来自正常地址池124A的地址分配给恶意用户120。
在步骤214B中,MAC访问控制列表条目被重置。在步骤214C中,IP访问控制列表条目被重置。步骤214B、214C可以包括将恶意用户120在其上与网络元件108或交换机108A通信的端口的MAC ACL和IP ACL的状态恢复到用户被置于高警戒用户群组之前的状态。或者,步骤214B、214C可以包括发出去除先前设置的安全性限制的命令。例如,在Cisco实施例中,可以发出命令“permit mac any any”和“permit ip anyany”。
结果,恶意用户120被从高警戒用户群组去除并被置于正常用户群组中。与高警戒用户群组相关联的安全性限制被去除,并且用户接收不受限制的网络访问。在监视服务器104进行监视或判决控制器105进行判决期间,用户接收受限制的网络访问,但并未与被管理网络106完全切断。
3.0实现机构—硬件概述
图5是示出可以实现本发明的实施例的计算机系统500的框图。计算机系统500包括用于传输信息的总线502或其他通信机构和与总线502相耦合用于处理信息的处理器504。计算机系统500还包括诸如随机存取存储器(RAM)或其他动态存储设备之类的主存储器506,其耦合到总线502,用于存储信息和处理器504要执行的指令。主存储器506还可用于存储在处理器504执行指令期间的临时变量或其他中间信息。计算机系统500还包括只读存储器(ROM)508或其他静态存储设备,其耦合到总线502,用于存储静态信息和处理器504的指令。提供了诸如磁盘或光盘之类的存储设备510,其耦合到总线502,用于存储信息和指令。
计算机系统500可以经由总线502耦合到显示器512,例如阴极射线管(“CRT”),用于向计算机用户显示信息。包括字母数字和其他键的输入设备514被耦合到总线502,用于向处理器504传输信息和命令选择。另一类用户输入设备是光标控制装置516,例如鼠标、跟踪球、触笔或光标方向键,用于向处理器504传输方向信息和命令选择,并用于控制显示器512上的光标移动。该输入设备一般具有两个轴(第一轴(例如x)和第二轴(例如y))上的两个自由度,其允许设备指定平面中的位置。
本发明涉及使用计算机系统500来实现针对与高风险相关联的网络用户的隔离手段。根据本发明的一个实施例,针对与高风险相关联的网络用户的隔离手段由计算机系统500响应于处理器504执行包含在主存储器506中的一条或多条指令的一个或多个序列而提供。这种指令可以被从另一计算机可读介质(如存储设备510)读取到主存储器506中。包含在主存储器506中的指令序列的执行使得处理器504执行这里描述的过程步骤。在替换实施例中,可以使用硬线电路来替代软件指令或与软件指令相组合以实现本发明。从而,本发明的实施例并不限于硬件电路和软件的任何特定组合。
这里所用的术语“计算机可读介质”指参与向处理器504提供指令以供执行的任何介质。这种介质可以采取许多形式,包括但不限于:非易失性介质、易失性介质和传输介质。非易失性介质例如包括光盘或磁盘,如存储设备510。易失性介质包括动态存储器,如主存储器506。传输介质包括同轴电缆、铜线和光纤,包括含总线502的线路。传输介质也可以采取声波或光波的形式,例如在无线电波和红外数据通信期间生成的声波或光波。
计算机可读介质的常见形式例如包括软盘、柔性盘、硬盘、磁带或任何其他磁介质,CD-ROM、任何其他光介质,穿孔卡、纸带、任何其他具有孔图案的物理介质,RAM、PROM和EPROM、FLASH-EPROM、任何其他存储器芯片或磁带盒(cartridge),下文中描述的载波,或者计算机可以读取的任何其他介质。
计算机可读介质的各种形式可用于将一条或多条指令的一个或多个序列传输到处理器504以供执行。例如,指令可以首先承载在远程计算机的磁盘上。远程计算机可以将指令加载到其动态存储器中,并利用调制解调器经由电话线发送指令。计算机系统500本地的调制解调器可以接收电话线上的数据,并使用红外发送器来将数据转换为红外信号。红外检测器可以接收在红外信号中携带的数据,并且适当的电路可以将数据置于总线502上。总线502将数据传输到主存储器506,处理器504从主存储器506取得指令并执行指令。主存储器506接收的指令可以可选地在处理器504执行之前或之后存储到存储设备510上。
计算机系统500还包括耦合到总线502的通信接口518。通信接口518提供到连接到本地网络522的网络链路520的双向数据通信耦合。例如,通信接口518可以是综合业务数字网络(ISDN)卡或调制解调器,以提供到相应类型电话线的数字通信连接。又例如,通信接口518可以是局域网(LAN)卡,以提供到兼容LAN的数据通信连接。也可以实现无线链路。在任何这种实现方式中,通信接口518发送并接收电的、电磁的或光信号,这些信号携带了代表各种类型信息的数字数据流。
网络链路520一般经过一个或多个网络提供到其他数据设备的数据通信。例如,网络链路520可以经过本地网络522提供到主机计算机524或由因特网服务供应商(ISP)526操作的数据设备的连接。ISP 526又经过全球分组数据通信网络(现在通常称为“因特网”528)提供数据通信服务。本地网络522和因特网528都使用携带数字数据流的电的、电磁的或光信号。经过各种网络的信号和在网络链路520上并经过通信接口518的信号(这些信号携带去往和来自计算机系统500的数字数据)是传输信息的载波的示例性形式。
计算机系统500可以经过网络、网络链路520和通信接口518发送消息并接收数据,包括程序代码。在因特网示例中,服务器530可以经过因特网528、ISP 526、本地网络522和通信接口518发送针对应用程序的请求代码。根据本发明,一个这种下载的应用程序提供了如这里所述的针对与高风险相关联的网络用户的隔离手段。
接收到的代码可以在接收时被处理器504执行,和/或被存储在存储设备510或其他非易失性存储介质中以供后续执行。以这种方式,计算机系统500可以获得载波形式的应用代码。
4.0扩展和替换
在前述说明书中,已参考特定实施例描述了本发明。但是,应当清楚,在不脱离本发明更宽广的精神和范围的前提下,可以进行各种修改和改变。因此,说明书和附图都应当认为是示例性的,而非限制性的。
Claims (18)
1.一种提供与高网络风险相关联的计算机网络主机的隔离的计算机系统,其中所述网络包括一个或多个客户端、一个或多个交换机、一个或多个服务器资源、网络管理站以及管理正常地址池的地址服务器,所述系统的特征在于:
与所述正常地址池相分离的高警戒地址池,其与可疑恶意网络用户相关联,并由所述地址服务器所管理;
耦合在所述网络中并包括一个或多个计算机程序指令序列的判决控制器,所述指令在被一个或多个处理器执行时,使得所述一个或多个处理器执行以下步骤:
确定与导致网络中的安全性事件的网络设备相关联的用户标识符;
使所述网络设备接收从所述高警戒地址池内的地址子集中选择出来的网络地址;以及
针对选定的网络地址配置一个或多个安全性限制。
2.如权利要求1所述的计算机系统,其中所述判决控制器接收标识所述网络中的安全性事件的信息,并且将所述安全性事件信息与网络用户信息相互联系起来,以便确定与所述网络设备相关联的用户标识符。
3.如权利要求1所述的计算机系统,其中所述网络设备使用动态主机控制协议(DHCP)来获得所述网络地址,并且其中使所述网络设备接收网络地址的步骤包括重置耦合到所述网络设备的端口以提示用户命令所述网络设备利用DHCP请求新的网络地址。
4.如权利要求1所述的计算机系统,其中所述网络设备使用动态主机控制协议(DHCP)来获得所述网络地址,并且其中使所述网络设备接收网络地址的步骤包括向所述网络设备发出DHCP FORCE_RENEW消息。
5.如权利要求1所述的计算机系统,其中所述网络设备使用动态主机控制协议(DHCP)来获得所述网络地址,并且其中使所述网络设备接收网络地址的步骤包括提示所述网络设备利用DHCP请求新的网络地址。
6.如权利要求1所述的计算机系统,其中所述网络设备使用动态主机控制协议(DHCP)来获得所述网络地址,并且其中使所述网络设备接收网络址的步骤包括等待所述网络设备对当前网络地址的租期期满。
7.如权利要求1所述的计算机系统,其中使所述网络设备接收网络地址的步骤包括以下步骤:向所述网络设备提供从特殊IP子网内的多个IP地址中选择出来的IP地址。
8.如权利要求7所述的计算机系统,其中所述判决控制器向网络服务提供商公布描述所述特殊IP子网的特性的信息。
9.如权利要求1所述的计算机系统,其中配置安全性限制的步骤包括以下步骤:修改与耦合到所述网络设备的端口相关联的互联网协议(IP)访问控制列表(ACL)以只许可来自选定网络地址的IP流量进入。
10.如权利要求1所述的计算机系统,其中配置安全性限制的步骤包括以下步骤:修改与耦合到所述网络设备的端口相关联的媒体访问控制(MAC)ACL,以只许可针对绑定到选定网络地址的MAC地址的流量进入。
11.如权利要求1所述的计算机系统,其中所述判决控制器确定是否恶意行为导致了所述安全性事件,如果是,则向安全性判决控制器提供关于所述安全性事件或恶意行为的信息。
12.如权利要求1所述的计算机系统,其中所述判决控制器确定是否恶意行为导致了所述安全性事件,如果不是,则将所述用户从所述高风险群组中去除。
13.如权利要求1所述的计算机系统,其中所述判决控制器确定是否恶意行为导致了所述安全性事件,其中如果所述用户与网络服务提供商的可信顾客相关联,则所述网络中的合法用户动作不被确定为是恶意行为。
14.一种提供与高网络风险相关联的计算机网络主机的隔离的计算机系统,其中所述网络包括一个或多个客户端、一个或多个交换机、一个或多个服务器资源、网络管理站以及管理正常地址池的地址服务器,所述系统的特征在于:
与所述正常地址池相分离的高风险安全性群组,其与可疑恶意网络用户相关联,并由所述地址服务器所管理;
耦合在所述网络中并包括一个或多个计算机程序指令序列的判决控制器,所述指令在被一个或多个处理器执行时,使得所述一个或多个处理器执行以下步骤:
接收标识网络中的安全性事件的信息;
将所述安全性事件信息与网络用户信息相互联系起来以便确定与所述网络设备相关联的网络用户;
将所述用户置于所述高风险安全性群组中;
针对选定的网络地址配置一个或多个安全性限制;
确定是否恶意行为导致了所述安全性事件;
如果恶意行为导致了所述安全性事件,则将关于所述安全性事件或恶意行为的信息提供给安全性判决控制器;
如果恶意行为未曾导致所述安全性事件,则将所述用户从所述高风险群组中去除。
15.如权利要求14所述的计算机系统,其中将所述用户标识符置于高风险安全性群组中还包括以下步骤:强迫所述用户获取来自为与高用户风险相关联的用户预留的指定网络地址群组的新网络地址。
16.如权利要求15所述的计算机系统,其中所述判决控制器通过重新配置动态主机控制协议(DHCP)服务器以要求所述服务器只从为与高用户风险相关联的用户预留的指定网络地址群组向所述网络设备发出新网络地址并且执行以下步骤中的任何一个来强迫所述用户获取新网络地址:重置耦合到所述网络设备的端口以触发所述网络设备利用DHCP请求新网络地址;向所述网络设备发出DHCP FORCE_RENEW消息;提示所述网络设备利用DHCP请求新网络地址;等待所述网络设备对当前网络地址的租期期满。
17.如权利要求14所述的计算机系统,其中所述判决控制器通过以下操作来配置一个或多个安全性限制:修改与耦合到所述网络设备的端口相关联的互联网协议(IP)访问控制列表(ACL)以只许可来自选定网络地址的IP流量进入;并且修改与所述端口相关联的媒体访问控制(MAC)ACL以只许可针对绑定到所述选定网络地址的MAC地址的流量进入。
18.一种提供与高网络风险相关联的计算机网络主机的隔离的计算机系统,其中所述网络包括一个或多个客户端、一个或多个交换机、一个或多个服务器资源、网络管理站以及管理正常地址池的地址服务器,所述系统的特征在于:
与所述正常地址池相分离的高警戒地址池,其与可疑恶意网络用户相关联,并由所述地址服务器所管理;
耦合在所述网络中并包括一个或多个计算机程序指令序列的判决控制器;
用于确定与导致网络中的安全性事件的网络设备相关联的用户标识符的装置;
用于使所述网络设备接收从与可疑恶意网络用户相关联的指定池的地址子集中选择出来的网络地址的装置;以及
用于针对选定的网络地址配置一个或多个安全性限制的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/797,773 US7607021B2 (en) | 2004-03-09 | 2004-03-09 | Isolation approach for network users associated with elevated risk |
| US10/797,773 | 2004-03-09 | ||
| PCT/US2005/006738 WO2005093991A1 (en) | 2004-03-09 | 2005-03-01 | Isolation approach for network users associated with elevated risk |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1930817A true CN1930817A (zh) | 2007-03-14 |
| CN1930817B CN1930817B (zh) | 2012-07-18 |
Family
ID=34920120
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2005800071735A Expired - Lifetime CN1930817B (zh) | 2004-03-09 | 2005-03-01 | 针对与高风险相关联的网络用户的隔离手段 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7607021B2 (zh) |
| EP (1) | EP1723745B1 (zh) |
| CN (1) | CN1930817B (zh) |
| WO (1) | WO2005093991A1 (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605061B (zh) * | 2008-06-10 | 2012-11-07 | 上海贝尔股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN104184615A (zh) * | 2014-08-07 | 2014-12-03 | 惠州学院 | 一种校内实验室的网络管理系统及方法 |
| CN104363228A (zh) * | 2014-11-13 | 2015-02-18 | 国家电网公司 | 一种终端安全准入控制方法 |
| CN106161127A (zh) * | 2015-04-08 | 2016-11-23 | 深圳市腾讯计算机系统有限公司 | 用户类别检测方法和装置 |
Families Citing this family (95)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7624445B2 (en) * | 2004-06-15 | 2009-11-24 | International Business Machines Corporation | System for dynamic network reconfiguration and quarantine in response to threat conditions |
| JP2006262141A (ja) * | 2005-03-17 | 2006-09-28 | Fujitsu Ltd | Ipアドレス適用方法、vlan変更装置、vlan変更システム、および検疫処理システム |
| US9547780B2 (en) * | 2005-03-28 | 2017-01-17 | Absolute Software Corporation | Method for determining identification of an electronic device |
| US20070220252A1 (en) * | 2005-06-06 | 2007-09-20 | Sinko Michael J | Interactive network access controller |
| US7729342B1 (en) * | 2005-12-02 | 2010-06-01 | Symantec Corporation | Privacy preservation for voice over internet protocol calling |
| US7690036B2 (en) * | 2005-12-12 | 2010-03-30 | Microsoft Corporation | Special group logon tracking |
| EP1966978B1 (fr) * | 2005-12-29 | 2016-07-27 | Orange | Procédé d'affectation dynamique d'ensembles d'adresses par dhcp, entité de gestion, relais et programme d'ordinateur correspondants |
| US20070162968A1 (en) * | 2005-12-30 | 2007-07-12 | Andrew Ferreira | Rule-based network address translation |
| US20070180152A1 (en) * | 2006-01-27 | 2007-08-02 | Cisco Technology, Inc. | Method and apparatus to extend error-disable-and-ignore and port-bounce capability to a PC-facing port of an IP phone |
| JP2007249579A (ja) * | 2006-03-15 | 2007-09-27 | Fujitsu Ltd | ワーム対策パラメータ決定プログラム、ワーム対策パラメータ決定装置、ノード数決定プログラム、ノード数決定装置およびノード数制限システム |
| AU2007227214A1 (en) * | 2006-03-20 | 2007-09-27 | Absolute Software Corporation | Method for determining identification of an electronic device |
| US8151322B2 (en) | 2006-05-16 | 2012-04-03 | A10 Networks, Inc. | Systems and methods for user access authentication based on network access point |
| US8289965B2 (en) | 2006-10-19 | 2012-10-16 | Embarq Holdings Company, Llc | System and method for establishing a communications session with an end-user based on the state of a network connection |
| US8488447B2 (en) | 2006-06-30 | 2013-07-16 | Centurylink Intellectual Property Llc | System and method for adjusting code speed in a transmission path during call set-up due to reduced transmission performance |
| US8717911B2 (en) | 2006-06-30 | 2014-05-06 | Centurylink Intellectual Property Llc | System and method for collecting network performance information |
| US8194643B2 (en) | 2006-10-19 | 2012-06-05 | Embarq Holdings Company, Llc | System and method for monitoring the connection of an end-user to a remote network |
| US8000318B2 (en) | 2006-06-30 | 2011-08-16 | Embarq Holdings Company, Llc | System and method for call routing based on transmission performance of a packet network |
| US8477614B2 (en) | 2006-06-30 | 2013-07-02 | Centurylink Intellectual Property Llc | System and method for routing calls if potential call paths are impaired or congested |
| US7948909B2 (en) | 2006-06-30 | 2011-05-24 | Embarq Holdings Company, Llc | System and method for resetting counters counting network performance information at network communications devices on a packet network |
| US9094257B2 (en) | 2006-06-30 | 2015-07-28 | Centurylink Intellectual Property Llc | System and method for selecting a content delivery network |
| US8274905B2 (en) | 2006-08-22 | 2012-09-25 | Embarq Holdings Company, Llc | System and method for displaying a graph representative of network performance over a time period |
| US8531954B2 (en) | 2006-08-22 | 2013-09-10 | Centurylink Intellectual Property Llc | System and method for handling reservation requests with a connection admission control engine |
| US8040811B2 (en) | 2006-08-22 | 2011-10-18 | Embarq Holdings Company, Llc | System and method for collecting and managing network performance information |
| US8199653B2 (en) | 2006-08-22 | 2012-06-12 | Embarq Holdings Company, Llc | System and method for communicating network performance information over a packet network |
| US8619600B2 (en) | 2006-08-22 | 2013-12-31 | Centurylink Intellectual Property Llc | System and method for establishing calls over a call path having best path metrics |
| US8098579B2 (en) | 2006-08-22 | 2012-01-17 | Embarq Holdings Company, LP | System and method for adjusting the window size of a TCP packet through remote network elements |
| US8102770B2 (en) | 2006-08-22 | 2012-01-24 | Embarq Holdings Company, LP | System and method for monitoring and optimizing network performance with vector performance tables and engines |
| US8549405B2 (en) | 2006-08-22 | 2013-10-01 | Centurylink Intellectual Property Llc | System and method for displaying a graphical representation of a network to identify nodes and node segments on the network that are not operating normally |
| US7889660B2 (en) | 2006-08-22 | 2011-02-15 | Embarq Holdings Company, Llc | System and method for synchronizing counters on an asynchronous packet communications network |
| US8223655B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for provisioning resources of a packet network based on collected network performance information |
| US8743703B2 (en) | 2006-08-22 | 2014-06-03 | Centurylink Intellectual Property Llc | System and method for tracking application resource usage |
| US7940735B2 (en) | 2006-08-22 | 2011-05-10 | Embarq Holdings Company, Llc | System and method for selecting an access point |
| US8144587B2 (en) | 2006-08-22 | 2012-03-27 | Embarq Holdings Company, Llc | System and method for load balancing network resources using a connection admission control engine |
| US7808918B2 (en) | 2006-08-22 | 2010-10-05 | Embarq Holdings Company, Llc | System and method for dynamically shaping network traffic |
| US8407765B2 (en) | 2006-08-22 | 2013-03-26 | Centurylink Intellectual Property Llc | System and method for restricting access to network performance information tables |
| US8015294B2 (en) | 2006-08-22 | 2011-09-06 | Embarq Holdings Company, LP | Pin-hole firewall for communicating data packets on a packet network |
| US9479341B2 (en) | 2006-08-22 | 2016-10-25 | Centurylink Intellectual Property Llc | System and method for initiating diagnostics on a packet network node |
| US8194555B2 (en) | 2006-08-22 | 2012-06-05 | Embarq Holdings Company, Llc | System and method for using distributed network performance information tables to manage network communications |
| US8125897B2 (en) | 2006-08-22 | 2012-02-28 | Embarq Holdings Company Lp | System and method for monitoring and optimizing network performance with user datagram protocol network performance information packets |
| US8576722B2 (en) | 2006-08-22 | 2013-11-05 | Centurylink Intellectual Property Llc | System and method for modifying connectivity fault management packets |
| US7843831B2 (en) | 2006-08-22 | 2010-11-30 | Embarq Holdings Company Llc | System and method for routing data on a packet network |
| US8750158B2 (en) | 2006-08-22 | 2014-06-10 | Centurylink Intellectual Property Llc | System and method for differentiated billing |
| US8307065B2 (en) | 2006-08-22 | 2012-11-06 | Centurylink Intellectual Property Llc | System and method for remotely controlling network operators |
| US8144586B2 (en) | 2006-08-22 | 2012-03-27 | Embarq Holdings Company, Llc | System and method for controlling network bandwidth with a connection admission control engine |
| US8537695B2 (en) | 2006-08-22 | 2013-09-17 | Centurylink Intellectual Property Llc | System and method for establishing a call being received by a trunk on a packet network |
| US8130793B2 (en) | 2006-08-22 | 2012-03-06 | Embarq Holdings Company, Llc | System and method for enabling reciprocal billing for different types of communications over a packet network |
| US8238253B2 (en) | 2006-08-22 | 2012-08-07 | Embarq Holdings Company, Llc | System and method for monitoring interlayer devices and optimizing network performance |
| US8228791B2 (en) | 2006-08-22 | 2012-07-24 | Embarq Holdings Company, Llc | System and method for routing communications between packet networks based on intercarrier agreements |
| US8224255B2 (en) | 2006-08-22 | 2012-07-17 | Embarq Holdings Company, Llc | System and method for managing radio frequency windows |
| US8107366B2 (en) | 2006-08-22 | 2012-01-31 | Embarq Holdings Company, LP | System and method for using centralized network performance tables to manage network communications |
| US8064391B2 (en) | 2006-08-22 | 2011-11-22 | Embarq Holdings Company, Llc | System and method for monitoring and optimizing network performance to a wireless device |
| US8189468B2 (en) * | 2006-10-25 | 2012-05-29 | Embarq Holdings, Company, LLC | System and method for regulating messages between networks |
| US7684332B2 (en) | 2006-08-22 | 2010-03-23 | Embarq Holdings Company, Llc | System and method for adjusting the window size of a TCP packet through network elements |
| US7822027B2 (en) * | 2006-10-05 | 2010-10-26 | Cisco Technology, Inc. | Network routing to the socket |
| US8312507B2 (en) | 2006-10-17 | 2012-11-13 | A10 Networks, Inc. | System and method to apply network traffic policy to an application session |
| US7716378B2 (en) | 2006-10-17 | 2010-05-11 | A10 Networks, Inc. | System and method to associate a private user identity with a public user identity |
| US7647635B2 (en) * | 2006-11-02 | 2010-01-12 | A10 Networks, Inc. | System and method to resolve an identity interactively |
| US7853691B2 (en) * | 2006-11-29 | 2010-12-14 | Broadcom Corporation | Method and system for securing a network utilizing IPsec and MACsec protocols |
| US8111692B2 (en) | 2007-05-31 | 2012-02-07 | Embarq Holdings Company Llc | System and method for modifying network traffic |
| US8271642B1 (en) * | 2007-08-29 | 2012-09-18 | Mcafee, Inc. | System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input |
| US8068425B2 (en) | 2008-04-09 | 2011-11-29 | Embarq Holdings Company, Llc | System and method for using network performance information to determine improved measures of path states |
| US8230498B2 (en) * | 2008-05-19 | 2012-07-24 | Cisco Technology, Inc. | System and method for defending against denial of service attacks on virtual talk groups |
| US9495538B2 (en) * | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
| US8917718B2 (en) * | 2008-10-13 | 2014-12-23 | Centurylink Intellectual Property Llc | System, method, and apparatus for user-initiated provisioning of a communication device |
| US8776168B1 (en) * | 2009-10-29 | 2014-07-08 | Symantec Corporation | Applying security policy based on behaviorally-derived user risk profiles |
| US8732797B2 (en) * | 2010-08-31 | 2014-05-20 | Microsoft Corporation | Host usability and security via an isolated environment |
| US8695095B2 (en) * | 2011-03-11 | 2014-04-08 | At&T Intellectual Property I, L.P. | Mobile malicious software mitigation |
| US9119077B2 (en) * | 2011-07-26 | 2015-08-25 | The Boeing Company | Wireless network security |
| US8612743B2 (en) * | 2011-07-26 | 2013-12-17 | The Boeing Company | Wireless network security |
| US8776228B2 (en) * | 2011-11-22 | 2014-07-08 | Ca, Inc. | Transaction-based intrusion detection |
| US9369476B2 (en) * | 2012-10-18 | 2016-06-14 | Deutsche Telekom Ag | System for detection of mobile applications network behavior-netwise |
| US9122853B2 (en) | 2013-06-24 | 2015-09-01 | A10 Networks, Inc. | Location determination for user authentication |
| US11165770B1 (en) | 2013-12-06 | 2021-11-02 | A10 Networks, Inc. | Biometric verification of a human internet user |
| US9083730B2 (en) | 2013-12-06 | 2015-07-14 | At&T Intellectual Property I., L.P. | Methods and apparatus to identify an internet protocol address blacklist boundary |
| US9794113B2 (en) | 2014-02-04 | 2017-10-17 | Cisco Technology, Inc. | Network alert pattern mining |
| US10783250B2 (en) | 2014-07-24 | 2020-09-22 | Nuvoton Technology Corporation | Secured master-mediated transactions between slave devices using bus monitoring |
| US11350254B1 (en) | 2015-05-05 | 2022-05-31 | F5, Inc. | Methods for enforcing compliance policies and devices thereof |
| US10776527B2 (en) * | 2015-06-08 | 2020-09-15 | Nuvoton Technology Corporation | Security monitoring of SPI flash |
| US10691807B2 (en) | 2015-06-08 | 2020-06-23 | Nuvoton Technology Corporation | Secure system boot monitor |
| US9736152B2 (en) * | 2015-07-27 | 2017-08-15 | Bank Of America Corporation | Device blocking tool |
| US10432641B2 (en) | 2015-09-25 | 2019-10-01 | T-Mobile Usa, Inc. | Secure data corridors |
| US11757946B1 (en) * | 2015-12-22 | 2023-09-12 | F5, Inc. | Methods for analyzing network traffic and enforcing network policies and devices thereof |
| US10601872B1 (en) | 2016-01-20 | 2020-03-24 | F5 Networks, Inc. | Methods for enhancing enforcement of compliance policies based on security violations and devices thereof |
| US11178150B1 (en) | 2016-01-20 | 2021-11-16 | F5 Networks, Inc. | Methods for enforcing access control list based on managed application and devices thereof |
| US10505990B1 (en) | 2016-01-20 | 2019-12-10 | F5 Networks, Inc. | Methods for deterministic enforcement of compliance policies and devices thereof |
| GB2553427B (en) | 2016-08-02 | 2021-09-15 | Sophos Ltd | Identifying and remediating phishing security weaknesses |
| US10547642B2 (en) * | 2017-01-27 | 2020-01-28 | T-Mobile Usa, Inc. | Security via adaptive threat modeling |
| US10812266B1 (en) | 2017-03-17 | 2020-10-20 | F5 Networks, Inc. | Methods for managing security tokens based on security violations and devices thereof |
| US11122042B1 (en) | 2017-05-12 | 2021-09-14 | F5 Networks, Inc. | Methods for dynamically managing user access control and devices thereof |
| US11343237B1 (en) | 2017-05-12 | 2022-05-24 | F5, Inc. | Methods for managing a federated identity environment using security and access control data and devices thereof |
| US10924517B2 (en) * | 2018-02-07 | 2021-02-16 | Sophos Limited | Processing network traffic based on assessed security weaknesses |
| CN111787038B (zh) * | 2019-04-04 | 2022-05-17 | 华为云计算技术有限公司 | 一种提供边缘服务的方法、系统及计算设备 |
| US11436315B2 (en) | 2019-08-15 | 2022-09-06 | Nuvoton Technology Corporation | Forced self authentication |
| US11520940B2 (en) | 2020-06-21 | 2022-12-06 | Nuvoton Technology Corporation | Secured communication by monitoring bus transactions using selectively delayed clock signal |
| US20220156375A1 (en) * | 2020-11-17 | 2022-05-19 | Saudi Arabian Oil Company | Detection of repeated security events related to removable media |
Family Cites Families (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6973477B1 (en) * | 1995-05-19 | 2005-12-06 | Cyberfone Technologies, Inc. | System for securely communicating amongst client computer systems |
| US5787161A (en) * | 1995-11-13 | 1998-07-28 | Bell Communications Research, Inc. | Network designer for communication networks |
| US5933645A (en) * | 1996-03-19 | 1999-08-03 | Oracle Corporation | Non-invasive extensibility of software applications |
| US6243667B1 (en) | 1996-05-28 | 2001-06-05 | Cisco Systems, Inc. | Network flow switching and flow data export |
| JPH1011369A (ja) * | 1996-06-27 | 1998-01-16 | Hitachi Ltd | 通信システムおよびホットスタンバイ切替機能を備える情報処理装置 |
| US5987611A (en) * | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
| US6119231A (en) * | 1997-10-31 | 2000-09-12 | Cisco Technologies, Inc. | Data scanning network security technique |
| US6151395A (en) | 1997-12-04 | 2000-11-21 | Cisco Technology, Inc. | System and method for regenerating secret keys in diffie-hellman communication sessions |
| US6339595B1 (en) | 1997-12-23 | 2002-01-15 | Cisco Technology, Inc. | Peer-model support for virtual private networks with potentially overlapping addresses |
| EP1293980A3 (en) * | 1997-12-25 | 2003-04-23 | Pioneer Electronic Corporation | Information reproducing apparatus |
| US6131163A (en) * | 1998-02-17 | 2000-10-10 | Cisco Technology, Inc. | Network gateway mechanism having a protocol stack proxy |
| US6484261B1 (en) | 1998-02-17 | 2002-11-19 | Cisco Technology, Inc. | Graphical network security policy management |
| US6134559A (en) * | 1998-04-27 | 2000-10-17 | Oracle Corporation | Uniform object model having methods and additional features for integrating objects defined by different foreign object type systems into a single type system |
| US6049834A (en) * | 1998-05-08 | 2000-04-11 | Cisco Technology, Inc. | Layer 3 switch unicast protocol |
| US6560204B1 (en) | 1998-05-13 | 2003-05-06 | Telcordia Technologies, Inc. | Method of estimating call level traffic intensity based on channel link measurements |
| US6584124B1 (en) | 1998-06-30 | 2003-06-24 | Cisco Technology, Inc. | Method and system for accessing ports of a fixed-size cell switch |
| US6324656B1 (en) | 1998-06-30 | 2001-11-27 | Cisco Technology, Inc. | System and method for rules-driven multi-phase network vulnerability assessment |
| US6282546B1 (en) * | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
| US6658002B1 (en) | 1998-06-30 | 2003-12-02 | Cisco Technology, Inc. | Logical operation unit for packet processing |
| US7136645B2 (en) * | 1998-10-09 | 2006-11-14 | Netmotion Wireless, Inc. | Method and apparatus for providing mobile and other intermittent connectivity in a computing environment |
| US6038322A (en) * | 1998-10-20 | 2000-03-14 | Cisco Technology, Inc. | Group key distribution |
| US6381646B2 (en) | 1998-11-03 | 2002-04-30 | Cisco Technology, Inc. | Multiple network connections from a single PPP link with partial network address translation |
| US6490289B1 (en) | 1998-11-03 | 2002-12-03 | Cisco Technology, Inc. | Multiple network connections from a single PPP link with network address translation |
| US6427174B1 (en) | 1998-11-12 | 2002-07-30 | Cisco Technology, Inc. | Dynamic IP addressing and quality of service assurance |
| US6539431B1 (en) | 1998-11-12 | 2003-03-25 | Cisco Technology, Inc. | Support IP pool-based configuration |
| US6731627B1 (en) | 1998-11-17 | 2004-05-04 | Cisco Technology, Inc. | Virtual loop carrier system |
| US6347339B1 (en) | 1998-12-01 | 2002-02-12 | Cisco Technology, Inc. | Detecting an active network node using a login attempt |
| US6396833B1 (en) | 1998-12-02 | 2002-05-28 | Cisco Technology, Inc. | Per user and network routing tables |
| US6301613B1 (en) * | 1998-12-03 | 2001-10-09 | Cisco Technology, Inc. | Verifying that a network management policy used by a computer system can be satisfied and is feasible for use |
| US6327618B1 (en) | 1998-12-03 | 2001-12-04 | Cisco Technology, Inc. | Recognizing and processing conflicts in network management policies |
| US6434700B1 (en) | 1998-12-22 | 2002-08-13 | Cisco Technology, Inc. | Authentication and authorization mechanisms for Fortezza passwords |
| US6415321B1 (en) | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
| US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6490290B1 (en) | 1998-12-30 | 2002-12-03 | Cisco Technology, Inc. | Default internet traffic and transparent passthrough |
| US6298383B1 (en) * | 1999-01-04 | 2001-10-02 | Cisco Technology, Inc. | Integration of authentication authorization and accounting service and proxy service |
| US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
| US6578147B1 (en) | 1999-01-15 | 2003-06-10 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
| US6567917B1 (en) | 1999-02-01 | 2003-05-20 | Cisco Technology, Inc. | Method and system for providing tamper-resistant executable software |
| US6484315B1 (en) | 1999-02-01 | 2002-11-19 | Cisco Technology, Inc. | Method and system for dynamically distributing updates in a network |
| US6609205B1 (en) | 1999-03-18 | 2003-08-19 | Cisco Technology, Inc. | Network intrusion detection signature analysis using decision graphs |
| US6618377B1 (en) | 1999-03-30 | 2003-09-09 | Cisco Technology, Inc. | Flexible scheduling of network devices within redundant aggregate configurations |
| US6651096B1 (en) | 1999-04-20 | 2003-11-18 | Cisco Technology, Inc. | Method and apparatus for organizing, storing and evaluating access control lists |
| US6466977B1 (en) | 1999-05-06 | 2002-10-15 | Cisco Technology, Inc. | Proxy on demand |
| US6463474B1 (en) | 1999-07-02 | 2002-10-08 | Cisco Technology, Inc. | Local authentication of a client at a network device |
| US6684331B1 (en) | 1999-12-22 | 2004-01-27 | Cisco Technology, Inc. | Method and apparatus for distributing and updating group controllers over a wide area network using a tree structure |
| US6597957B1 (en) | 1999-12-20 | 2003-07-22 | Cisco Technology, Inc. | System and method for consolidating and sorting event data |
| US6553489B1 (en) | 2000-01-12 | 2003-04-22 | Cisco Technology, Inc. | System and method for secure and efficient universal port configuration |
| US6654792B1 (en) * | 2000-02-28 | 2003-11-25 | 3Com Corporation | Method and architecture for logical aggregation of multiple servers |
| US6633761B1 (en) * | 2000-08-11 | 2003-10-14 | Reefedge, Inc. | Enabling seamless user mobility in a short-range wireless networking environment |
| US7127524B1 (en) * | 2000-12-29 | 2006-10-24 | Vernier Networks, Inc. | System and method for providing access to a network with selective network address translation |
| US6792555B2 (en) | 2001-08-23 | 2004-09-14 | Cisco Technology, Inc. | Access server fault isolation without service disruption method and apparatus |
| US6680998B1 (en) | 2001-11-19 | 2004-01-20 | Cisco Technology, Inc. | Providing private network information during emergency calls |
| AU2002363958B2 (en) | 2001-11-30 | 2008-12-11 | Oracle International Corporation | Real composite objects for providing high availability of resources on networked systems |
| US7079520B2 (en) | 2001-12-28 | 2006-07-18 | Cisco Technology, Inc. | Methods and apparatus for implementing NAT traversal in mobile IP |
| US7194004B1 (en) * | 2002-01-28 | 2007-03-20 | 3Com Corporation | Method for managing network access |
| US7739393B2 (en) | 2002-01-28 | 2010-06-15 | Cisco Technology, Inc. | Apparatus and method for restoring traffic during failover in a cable head end |
| JP2003224576A (ja) * | 2002-01-30 | 2003-08-08 | Nec Corp | Lan型インタネット・アクセス網及びそれに用いる加入者線収容方法 |
| US7114005B2 (en) | 2002-02-05 | 2006-09-26 | Cisco Technology, Inc. | Address hopping of packet-based communications |
| US7284057B2 (en) | 2002-02-27 | 2007-10-16 | Cisco Technology, Inc. | Methods and apparatus for Mobile IP Home Agent clustering |
| US20030224788A1 (en) | 2002-03-05 | 2003-12-04 | Cisco Technology, Inc. | Mobile IP roaming between internal and external networks |
| US8090828B2 (en) | 2002-03-05 | 2012-01-03 | Cisco Technology, Inc. | Method and apparatus for reusing DHCP addresses in home addresses of mobile IP clients |
| US7461169B2 (en) | 2002-03-05 | 2008-12-02 | Cisco Technology, Inc. | DHCP based home address management of mobile IP clients |
| US7137145B2 (en) | 2002-04-09 | 2006-11-14 | Cisco Technology, Inc. | System and method for detecting an infective element in a network environment |
| US7290064B2 (en) | 2002-06-24 | 2007-10-30 | Cisco Technology, Inc. | Adaptive feedback technique implemented in mobile IP networks |
| US7234163B1 (en) * | 2002-09-16 | 2007-06-19 | Cisco Technology, Inc. | Method and apparatus for preventing spoofing of network addresses |
| US7237267B2 (en) | 2003-10-16 | 2007-06-26 | Cisco Technology, Inc. | Policy-based network security management |
| US7318101B2 (en) | 2003-11-24 | 2008-01-08 | Cisco Technology, Inc. | Methods and apparatus supporting configuration in a network |
| US7877786B2 (en) * | 2004-10-21 | 2011-01-25 | Alcatel-Lucent Usa Inc. | Method, apparatus and network architecture for enforcing security policies using an isolated subnet |
-
2004
- 2004-03-09 US US10/797,773 patent/US7607021B2/en active Active
-
2005
- 2005-03-01 CN CN2005800071735A patent/CN1930817B/zh not_active Expired - Lifetime
- 2005-03-01 EP EP05724309.9A patent/EP1723745B1/en not_active Expired - Lifetime
- 2005-03-01 WO PCT/US2005/006738 patent/WO2005093991A1/en not_active Application Discontinuation
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101605061B (zh) * | 2008-06-10 | 2012-11-07 | 上海贝尔股份有限公司 | 一种接入网络中防止拒绝服务攻击的方法及其装置 |
| CN104184615A (zh) * | 2014-08-07 | 2014-12-03 | 惠州学院 | 一种校内实验室的网络管理系统及方法 |
| CN104363228A (zh) * | 2014-11-13 | 2015-02-18 | 国家电网公司 | 一种终端安全准入控制方法 |
| CN106161127A (zh) * | 2015-04-08 | 2016-11-23 | 深圳市腾讯计算机系统有限公司 | 用户类别检测方法和装置 |
| CN106161127B (zh) * | 2015-04-08 | 2019-09-17 | 深圳市腾讯计算机系统有限公司 | 用户类别检测方法和装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| US7607021B2 (en) | 2009-10-20 |
| EP1723745B1 (en) | 2015-08-26 |
| WO2005093991A1 (en) | 2005-10-06 |
| CN1930817B (zh) | 2012-07-18 |
| EP1723745A4 (en) | 2014-01-08 |
| US20050204162A1 (en) | 2005-09-15 |
| EP1723745A1 (en) | 2006-11-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1930817B (zh) | 针对与高风险相关联的网络用户的隔离手段 | |
| CN100337172C (zh) | 用于检测网络环境中感染因素的系统和方法 | |
| US8230480B2 (en) | Method and apparatus for network security based on device security status | |
| CN1160899C (zh) | 分布式网络动态安全保护系统 | |
| US10326777B2 (en) | Integrated data traffic monitoring system | |
| AU2004282937B2 (en) | Policy-based network security management | |
| US7093292B1 (en) | System, method and computer program product for monitoring hacker activities | |
| EP3151506A1 (en) | Improved assignment and distribution of network configuration parameters to devices | |
| EP2615793A1 (en) | Methods and systems for protecting network devices from intrusion | |
| CN1682516A (zh) | 用于防止网络地址盗用的方法和装置 | |
| US20060015715A1 (en) | Automatically protecting network service from network attack | |
| JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
| US9392019B2 (en) | Managing cyber attacks through change of network address | |
| CN101061454A (zh) | 用于管理网络的系统和方法 | |
| CN101009704A (zh) | 一种处理高级网络内容的计算机系统与方法 | |
| CA2600755A1 (en) | Real-time mobile user network operations center | |
| CN105791047A (zh) | 一种安全视频专网网络管理系统的控制方法 | |
| CN1783879A (zh) | 当网络通信受限时使虚拟网络中的网络设备能够通信 | |
| US20110023088A1 (en) | Flow-based dynamic access control system and method | |
| US20050198242A1 (en) | System and method for detection/interception of IP collision | |
| US9686311B2 (en) | Interdicting undesired service | |
| JP2010507871A (ja) | 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置 | |
| US20100157806A1 (en) | Method for processing data packet load balancing and network equipment thereof | |
| CN112003862B (zh) | 终端安全防护方法、装置、系统及存储介质 | |
| CN119678430A (zh) | 网络中的访问控制系统及其方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CX01 | Expiry of patent term |
Granted publication date: 20120718 |