[go: up one dir, main page]

JP2005517349A - マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 - Google Patents

マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 Download PDF

Info

Publication number
JP2005517349A
JP2005517349A JP2003567028A JP2003567028A JP2005517349A JP 2005517349 A JP2005517349 A JP 2005517349A JP 2003567028 A JP2003567028 A JP 2003567028A JP 2003567028 A JP2003567028 A JP 2003567028A JP 2005517349 A JP2005517349 A JP 2005517349A
Authority
JP
Japan
Prior art keywords
network
packet
software module
tcp
protocol
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003567028A
Other languages
English (en)
Inventor
コウシク グルスワミー,
ニール ズーク,
Original Assignee
ネットスクリーン・テクノロジーズ・インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネットスクリーン・テクノロジーズ・インコーポレイテッド filed Critical ネットスクリーン・テクノロジーズ・インコーポレイテッド
Publication of JP2005517349A publication Critical patent/JP2005517349A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ネットワークセキュリティブリーチ(23)を検知し且つ防止するシステム及び方法を記載する。本システム及び方法は、セキュリティブリーチを検知するのみならず怪しいパケット及び接続を直接的にドロップすることにより防止するためのゲートウエイに基づいたパケットフォアワーディングネットワークセキュリティソリューションを提供する。本システム及び方法は、ステートフルシグネチャ検知、トラフィックシグネチャ検知、プロトコルアノマリー検知(35)を包含する、ネットワークセキュリティブリーチ(30)を検知し且つ防止するための複数個の技術を使用する。

Description

本発明は、大略、ネットワーク上のセキュリティブリーチを検知し且つ防止するためのネットワークセキュリティシステム及び方法に関するものである。更に詳細には、本発明は、ネットワーク上のセキュリティブリーチを検知するばかりでなく、疑いのあるパケット及び接続を直接的にドロップさせることによりそれらを防止するためのゲートウエイに基づいたパケット転送ネットワークセキュリティシステム及び方法を提供するものである。これらのシステム及び方法は、侵入を検知し且つ防止するための複数個の技術を使用するものであり、ステートフルシグネチャ検知、トラフィックシグネチャ検知、プロトコルアノマリー検知を包含している。
インターネットの急増は、情報が拡布され且つ共有される態様を革新させた。任意の与えられた時間において、大量の情報が、インターネットを使用して世界中で数百万人の個人により、又通信、商業的取引、エンターテイメントを包含する広範な活動に関与するために電子的に交換されている。
インターネットは、発信元と宛先ネットワークホストとの間で情報を通信するための専用の端部同士の接続を必要とすることがないということにより伝統的な地形的な障壁を取除いている。その代わりに、インターネットトラフィックは「パケット」と呼ばれる情報単位に分割され、該パケットは、任意の与えられた時刻において発信元と宛先との間の最も効率的な経路に基づいてネットワークを介して動的に経路付けされる。これらのパケットの各々は「ヘッダー」を包含しており、それは、その情報の出所である発信元及びそれが送られる宛先及びネットワークを介してパケットのルーチング即ち経路付けを行うために必要なその他の情報を表わす。発信元及び宛先は、各ネットワークホストと関連する32ビット数である「IPアドレス」により識別される。
パケットヘッダーは全てのインターネット送信において使用される1組の共有の「プロトコル」に準拠している。これらのプロトコルは、しばしば、異なる製造業者からのものであり且つ異なるオぺレーティングシステムが稼動しているコンピュータの間でどのようにして情報が交換されるかを決定する1組の約束である。インターネットプロトコルは、どのようにしてネットワークがデータを移動させ、エラーを取り扱い、且つ情報を送信し、受信し、且つ理解することを可能とするかを特定している。最も基本的なプロトコルは「インターネットプロトコル」又はIPと呼ばれるものであり、ネットワークを横断してパケットのフォーマット化及びデリバリを司る。UDP、TCP、RTP等のトランスポートプロトコルは、パケット内のデータが正しく受信されることを確保するためにIP上で使用され、TCPプロトコルは、更に、パケットが信頼性を持って受信されることを保証する。IP及びトランスポートプロトコルと共に使用される特別目的プロトコルにより付加的な特徴及び能力が提供される。
インターネットプロトコル構造はユーザに対して比類のない利益をもたらすものであるが、それは、又、ホストが一部であるプライベートネットワークを包含する任意のインターネットホストに関してのセキュリティブリーチに対して巨大で廉価で且つ潜在的に匿名態様を与えることにより違法な活動を容易なものとしている。潜在的なネットワークセキュリティの脆弱性の数に拘わらず、現在のネットワークセキュリティ技術は、益々洗練化され且つ多数のネットワークセキュリティブリーチを検知し且つ防止するのに不適切であり且つ効果的なものではない。既存のネットワークセキュリティ技術の例は、オペレーティングシステムコントロール、パスワード保護ツール、及びアンチウイルスソフトウエアから、例えばバーチャルプライベートネットワーク、ファイアウオール、侵入検知システム等のより洗練化した技術にわたっている。
バーチャルプライベートネットワーク(VPN)は、インターネット等の任意の共有されるネットワーク上で確立されるプライベートネットワークである。VPNは例えば遠隔オフィスにおけるルーター、ラップトップ、サーバーアプリケーション等の任意の2つのVPN終端点の間における認証及び暗号化が関与するセキュリティ手順の使用を介してプライバシーを維持せんとするものである。更に、VPNは、しばしば、認証、パケットインテグリティー及び機密性を包含するIPレイヤー用の1組のインターネットセキュリティサービス及び暗号化鍵管理からなる開発標準インターネットプロトコルセキュリティ(IPSec)等の安全なトンネリングプロトコルを利用する。VPNは、典型的に、ネットワークセキュリティを改善するためにファイアウォールソフトウエア内に統合される。
ファイアウォールは、プライベートネットワークとインターネット等の共用ネットワークとの間で流れる情報をフィルタすることを試みるプライベートネットワークゲートウエイに位置されている1組のソフトウエアプログラムである。ファイアウォールは、プライベートネットワークリソースを外部者から保護し且つプライベートネットワークユーザの外部リソースへのアクセスを制御せんとする。今日使用されている4つの主要なタイプのファイアウォールが存在しており、即ちパケットフィルタ、回路レベルゲートウエイ、アプリケーションゲートウエイ、ステートフルインスペクションである。4つの全てのファイアウォールタイプのうちのいずれか2つ又はそれ以上の組合わせであるハイブリッドファイアウォールも存在している。
パケットフィルタリングファイアウォールは、プライベートネットワーク上で出入りするIPパケットにおけるヘッダー情報をネットワーク管理者により設定されたルール又はフィルタからなるテーブルと比較して、パケットがテーブル内の条件を満足するか否かを検証する。パケットがこれらのルールに準拠するものでない場合には、ファイアウォールはそのパケットを拒否し、そのパケットはその宛先へ転送されることはない。パケットフィルタリングファイアウォールにより検査されたヘッダー情報は、典型的に、発信元及び宛先アドレス、プロトコルタイプ、それを介してパケットがエンターするネットワークインターフェース、トラフィックの方向、ルーチング、接続状態等を包含している。例えば、パケットフィルタリングファイアウォールは、232.181.20.10から232.181.20.255の範囲のIPアドレスから来るUDPパケットはプライベートネットワーク内へ入らないように特定する場合がある。
パケットフィルタリングファイアウォールを具備するプライベートネットワークのセキュリティは、ファイアウォール内においてネットワークアドレス変換(NAT)を使用することにより増加させることが可能である。NATは電話システムにおける構内交換器のように機能する。外部へのIPパケットの全ての発信元アドレスが、ファイアウォールへ割当てられているIPアドレスへ書き直され、そのパケットがファイアウォールにより保護されているプライベートネットワークの内部のホストからではなくそのファイアウォールから発信されたかのような印象を与える。戻って来る応答パケットは変換され且つ適宜のホストへ転送される。NATの場合、内部のホストはファイアウォール外部のホストへ接続することが許容されるが、外部のホストはファイアウォールのIPアドレスのことを知っているに過ぎないので、直接的に内部のホストへ接続することは不可能である。
パケットフィルタリングファイアウォールは比較的廉価であり且つネットワーク性能と干渉するものではないが、単独では、典型的に適切なセキュリティを提供することが可能なものではない。パケットフィルタリングルール即ち規則は、複雑な環境においては管理不可能なものとなり、ユーザ認証メカニズムを与えるものではなく、IPスプーフィング等のアタックに対して影響を受け易い。例えば、ハッカーが信頼されているIPアドレスを考え付くことが可能である場合には、そのハッカーは有害なパケットに対してIPヘッダーを偽造することが可能である。有効なパケットと偽造されたものとの間の区別をすることが不可能であるので、パケットフィルタリングファイアウォールはその有害なパケットを拒否することはない。
パケットフィルタリングファイアウォールの例は、UNIXに基づいたオペレーティングシステム用の無料で配布されたソフトウエアパッケージIPFilter、GNU一般公衆実施許諾書の下でリナックスオペレーティングシステム用に提供された無償で配布されたSINUS TCP/IPパケットフィルタ、及びカリフォルニアフリーモントのシーゲートテクノロジーズインコーポレイテッドによって販売されているプロトコルを基礎としたパーソナルファイアウォールPRO(商標)を包含している。
回路レベルファイアウォールとして呼称される別のタイプのファイアウォールは、接続を開く前にTCP/IPセッションの妥当性検査をするためにネットワークのセッションレイヤーにおいて動作する。回路レベルファイアウォールは、パケットハンドシェイクが行われた後にのみTCPパケットが通過することを許容する。パケットハンドシェイクは、宛先へ同期(SYN)パケットを送信する発信元でスタートし且つ発信元へSYNパケット及びアクノレッジメント(ACK)パケットを送信する宛先で終了する。回路レベルファイアウォールは有効な接続のテーブルを維持し、それはセッション状態及びSYN及びACKパケットのシーケンス番号情報を包含し、且つネットワークパケット情報がテーブル内のエントリと一致する場合にパケットが通過することを許容する。ハンドシェークの後に送信される全てのパケットは、そのセッションが終了するまで許容される。回路レベルファイアウォールはセッション当たり2つの接続を維持し、即ち発信元とファイアウォールとの間の1つとファイアウォールと宛先との間との別の1つである。その結果、全ての外部へのパケットはNATを具備するパケットフィルタリングファイアウォールと同様にファイアウォールから発生したもののように見え、即ち、発信元と宛先との間の直接なコンタクトは防止される。
回路レベルファイアウォールは、初期的な接続が確立されると良好な性能を有しており且つ高度の柔軟性を提供する。然しながら、任意の与えられた接続において送信しているパケットのアプリケーションレベルの内容を検査することは不可能である。接続が確立されると、有害なアプリケーション又はパケットがその接続を横断することが可能である。
殆どの回路レベルファイアウォールは、一般的に入手可能な「SOCKS」ネットワークプロトコルを使用して実現され、該プロトコルは、直接的なIT到達可能性を必要とすることなしに、SOCKSサーバーの片側上のホストがSOCKSの反対側上のホストへアクセスすることを可能とする。アプリケーションクライエントがSOCKSサーバーを介してアプリケーションサーバーとのセッションをスタートさせると、該クライエントは、最初に、SOCKSサーバーへそれがサポートする認証方法のリストを送信する。次いで、SOCKSファイアウォールはこれらの方法をネットワーク管理者により定義されたセキュリティポリシーと比較し、認証方法を選択し、どの認証方法を使用するかを告げるメッセージをクライエントへ送信し、且つ、最終的に、そのクライエントを認証する。クライエントが認証された後に、SOCKSサーバーはクライエントとサーバーとの間にバーチャル回路を確立してその回路が開いた状態に維持されるまでバーチャル回路を介して全てのパケットを送信する。SOCKSを使用する回路レベルファイアウォールの1例は、カナダのトロントのハミングバードリミテッドにより提供されるハミングバードSOCKSを包含している。
回路レベルファイアウォールの本来的なセキュリティ危険性に対処するために、ネットワークのアプリケーションレイヤーにおいて動作するアプリケーションレベルファイアウォールが開発されている。このようなファイアウォールは、FTPプロキシー、HTTPプロキシー、Eメール用のSMTPプロキシー等のプライベートネットワークと各許容されるアプリケーションに対する共有ネットワークとの間の介在物としてアプリケーションプロキシーサーバーを稼動させる。
アプリケーションプロキシーは、通常、パケットフィルタリング又は回路レベルファイアウォールよりもより安全なものと考えられている。回路レベルファイアウォールと同様に、アプリケーションプロキシーは直接的な接続を許容するものではなく、且つ全てのパケットを妥当性について強制的に検査させる。然しながら、アプリケーションプロキシーは、典型的に、パケットフィルタリング又は回路レベルファイアウォールよりもより遅い。何故ならば、全てのパケットがアプリケーションレイヤーにおいて妥当性評価されることが必要であり、即ち、アプリケーションプロキシーを介して通過する全てのパケットは、その最終的な宛先に到達する前に、カプセル化解除/再カプセル化を経ねばならないからである。更に、プロキシーサーバーはパケットフォアファーディング能力を有するものでない場合がある。全ての新たなサービスは新たなプロキシーサーバーを必要とし、且つプロキシーは、オペレーティングシステム、TCP/IPスタック、ランタイムライブラリー等の正しく動作するために多数のその他のシステムコンポーネントに高度に依存するものであるので、プロキシーはアプリケーションレベルセキュリティ欠陥及びバグに影響を受け易い。
アプリケーションプロキシーは、典型的に、内蔵パケットフィルタリング又はステートフルインスペクション能力で実現される。その例としては、カリフォルニアのクパチーノのシマンテックコーポレイションにより販売されているVelociRaptorファイアウォール、カリフォルニアのサンタクララのネットワークアソシエイツインコーポレイテッドにより販売されているGauntletファイアウォール、カリフォルニアのサンノゼのセキュアコンピューティングコーポレイションにより販売されているSidewinder(商標)ファイアウォール等がある。
パケットフィルタリングファイアウォール、回路レベルファイアウォール、アプリケーションプロキシーの性能は、ステートフルインスペクションを使用して改善することが可能である。ステートフルインスペクションファイアウォールは、基本的に、パケットヘッダーのみならず、ネットワークを横断するネットワークトラフィックを解析するために例えばTCPパケットヘッダー等のネットワークの全てのコミュニケーションレイヤーにおけるパケットに関する情報も検査するパケットフィルタリングファイアウォールである。
このようなファイアウォールは任意の与えられたネットワーク接続の状態をモニタし且つ状態ケーブルにおける接続に関しての情報をコンパイルする。ファイアウォールから来る各パケット要求は状態テーブル内に記録され、従って内部への応答パケットは状態テーブル内の対応する要求パケットに対して検証される。パケットを拒否するか否かの決定は、パケットフィルタリングルールテーブルのみならずファイアウォールを通過した前のパケットにより確立されたコンテキストにも基づいている。要求パケットに対する純粋な応答であるパケットは通過され且つその他の全ては拒否される。応答パケットが特定された時間期間内に到達しない場合には、その接続はタイムアウトされる。
ステートフルインスペクションを具備するパケットフィルタリングファイアウォールは、アプリケーション内のあるタイプのコマンドを許容し、一方その他のものを拒否するためにパケットを検査するための能力を有している。例えば、ステートフルインスペクションファイアウォールはFTP「get」コマンドを許可し、一方「put」コマンドを不許可とすることが可能である。更に、ステートフルインスペクションファイアウォールは、露出されるネットワークポートの数を最小とするためにダイナミックフィルタリング技術を組込んでいる。ダイナミックフィルタリングの場合には、ネットワークコードは、パケットヘッダー情報に基づくパケットフローに対して必要とされる限りにおいてのみ開いた状態に維持され、それによりアイドル状態にある開いたポートに対するアタックを減少させる。
ステートフルインスペクションファイアウォールの例は、米国特許第5,606,668号に記載されているファイアウォール及びカリフォルニア、レッドウッドシティのチェックポイントソフトウエアテクノロジーズ、インコーポレイテッドにより販売されているFireWall−1と呼ばれるファイアウォール製品がある。FireWall−1は、ネットワーク管理者が単一の中央で管理されたセキュリティポリシーを定義し且つ実現することを可能とする。そのセキュリティポリシーは、グラフィカルユーザインターフェースクライエントにより中央管理サーバーにおいて定義され且つネットワークを介して複数の施行点へダウンロードされる。そのセキュリティポリシーはセキュリティルール及びゲートウエイ、ルーター、ホスト等のネットワークオブジェクトで定義される。パケットヘッダーデータは7つのネットワークレイヤーの全てにおいて検査され且つ状態情報が全ての通信段階におけるパケットに維持されて、IPアドレス、ポート番号、パケットがそのセキュリティポリシーにより許容されるか否かを決定するのに必要なその他の情報を検証する。
状態情報は、発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、IPプロトコルタイプ、及びKbuf、Type、Flags、Timeoutを包含するその他のパラメータによってテーブル内において表現されるそれらの対応するネットワーク接続に従ってパケットを編成する状態テーブル又は接続に格納される。パケットがファイアウォールにより受信されると、そのパケットは、それが属する既存の接続が存在するか否かを判別するために接続テーブルに対してチェックされる。接続が存在する場合には、そのパケットはそのネットワーク宛先へ転送される。その特定のパケットに対して状態テーブル内に一致する接続が存在しない場合には、ファイアウォールはそれをセキュリティポリシーと比較して、そのパケットを通過させることを許容する一致が存在するか否かを判別する。存在する場合には、その接続は接続テーブルへ付加され且つその会話に属する全ての爾後のパケットは該ポリシーに対してチェックされることなしにすぐさま転送される。その結果、接続を初期的に良性のパケットで確立し、次いで、ファイアウォールにより許可される悪性のパケットを送信するために使用することが可能である。ステートフルインスペクションファイアウォール製品の別の例はカリフォルニア、サンノゼのシスコシステムズインコーポレイテッドにより販売されているPIXファイアウォールである。
現在入手可能なファイアウォールの唯一の役割は、組織のネットワークアクセスポリシーを施行することである。このようなアクセスポリシーは、どのホスト及びプロトコルが良好なトラフィック、即ちネットワークにおいて許可することが可能なトラフィックを表わし且つどれがそうでないかを特定する。換言すると、ファイアウォールは、単にアクセスポリシーにおいて具体化された予め決定され且つ静的なコンフィギュレーション即ち形態に基づいて良好なトラフィックと不良なトラフィックとを区別するものである。ファイアウォールはネットワークアタックを検知し且つ停止することは不可能である。例えば、ファイアウォールがHTTP接続を許可すると、その接続を介して運ばれるウエブサーバーに対してのアタックを検知することは不可能である。更に、ファイアウォールは、例えば、外部へ秘密情報を漏洩する場合のあるネットワーク内部におけるトロージャンプログラムの存在等のファイアウォール内側からなされるか又はなされるものと思われるアタックを検知するか又は防止することは不可能である。
ファイアウォール製品により開いたままとされたネットワークセキュリティにおけるギャップを埋めるべく、「侵入検知システム」が開発され且つファイアウォールと共に使用されている。侵入検知システム(IDS)は侵入、即ちネットワーク外部からアタック、及び不正、即ちネットワーク内部から発生するアタックの兆候に対する情報を解析するために多様なシステム及びネットワークリソースから情報を収集する。侵入検知システムは、ファイアウォールの内側又は外側に配置させることが可能であり、殆どのネットワーク管理者はファイアウォールにより検知されなかった不正及び侵入に対するエキストラな保護レイヤーとしてファイアウォールの内側にIDSを配置させることを選択する。
3つのタイプの侵入検知システムが存在しており、即ちデスクトップに基づいたIDS、ホストに基づいたIDS、ネットワークに基づいたIDSである。デスクトップに基づいたIDSは、個々のシステムに関する活動を検査し、ファイル又はレジストリーエントリに関する潜在的なアタックを探し出すことによりファイルレベルの保護を提供する。デスクトップに基づいたIDSは、インターネットへ直接的に接続し且つ広範なネットワークの一部でない個別的なユーザに対して有用な場合がある。ポピュラーなデスクトップに基づくIDSはジョージア、アトランタのインターネットセキュリティシステムズインコーポレイテッドにより販売されているBlackIce Defenderである。
ホストに基づいたIDSはウエブ又はアプリケーションサーバー等のネットワークホスト上で動作し、ホストシステムのアプリケーション及びオペレーティングシステムログにおけるエントリをトラッキングし且つ解析してアタック及び不許可の活動を検知する。ホストに基づいたIDSは配備するのに容易であり且つ廉価であり且つ何等付加的なハードウエアを必要とするものではない。それらはホストにとってローカルなイベントをモニタするので、それらは必ずしもネットワークによって見ることのない不許可のアクティビティ及びアタックを検知することが可能である。然しながら、それらはかなりのリソースを消費するので、それらはホストの性能に悪影響を与える場合がある。更に、ネットワーク上で高いレベルの特権を獲得する成功した侵入はホストに基づくIDSをディスエーブルさせ且つその動作の痕跡を完全に除去する場合がある。ホストに基づいたIDSの例は、カリフォルニア、クパチーノのシマンテックコーポレイションにより販売されているIntruder Alert IDS及びオレゴン、ポートランドのトリップワイヤインコーポレイテッドにより販売されているTripwire IDSを包含している。
ネットワークに基づくIDS(NIDS)は、ネットワークセグメントを介して流れる全てのパケットを検査することにより複数個のネットワークホストを同時的に保護すべく構成されている。NIDSは、しばしば、ネットワーク内の種々の点に配置された1組の単一目的センサー又はホストから構成される。これらのユニットはネットワークトラフィックをモニタし、そのトラフィックのローカルな解析を実施し且つ中央管理ユニットへアタックを報告する。典型的にIPアドレス、ポート、プロトコルタイプに関連するパケットヘッダー情報のみを検査するファイアウォールと異なり、NIDSは、パケットデータ又はペイロードのみならずネットワークパケットヘッダー内に存在することのある全ての異なるフラッグ及びオプションを検査すべく構成することが可能であり、それによりファイアウォールにより見過ごされるように構成されている悪性のパケットを検知する。
最も一般的なネットワーク侵入検知システムはプロトコル解析システムとしても知られるシグネチャに基づくシステム及びプロトコルアノマリーである。シグネチャに基づくシステムはネットワークトラフィックにおける既知のアタックパターン又はシグネチャを創作する。シグネチャはネットワークパケットの一部と一致するキャラクターストリングとしての単純なもの又は状態マシンとして複雑なものとすることが可能である。一般的に、シグネチャは特定のコマンドの実行等の処理、又はルートシェルの採取等の結果に関連させることが可能である。シグネチャに基づくNIDSがパケットにおいて一致するシグネチャを見つけると、それは、ユーザが定義した動作を行い、警告を送信するか、又は付加的な情報のロギングを実施することにより応答することが可能である。市場における殆どのシグネチャに基づくNIDSはパケットシグネチャ検知を使用し、そのことは、アタックパターンの一致を見つけるためにトラフィックフローにおける全てのパケットの生のバイトを検査することを意味している。そうであるから、これらのシステムは幾つかの欠点を有している。第一に、全体的なトラフィックフローをサーチすることが必要であるので、ネットワーク性能は著しく減少される場合がある。第二に、より多くのデータがサーチされるので、シグネチャが無関係のデータと一致し誤った警告を発生するより高い蓋然性がある。第三に、パケットシグネチャNIDSは、シグネチャが書かれているパケットにおけるアタックを見つけ出すに過ぎないので、新しく且つしばしば非常に複雑なアタックを検知することは不可能である。最後に、パケットシグネチャNIDSは、ネットワークトラフィックが非常に高い場合にパケットの検査に失敗する場合がある。
シグネチャに基づくNIDSの例は、米国特許第6,279,113号に記載されているシステム、カリフォルニア、サンノゼのシスコシステムズインコーポレイテッドにより販売されているSecureIDSシステム、ジョージア、アトランタのインターネットセキュリティシステムズインコーポレイテッドにより販売されているRealSecureシステム、及びカリフォルニア、クパチーノのシマンテックコーポレイションにより販売されているNetProwlerシステムを包含している。
ある前に定義した侵入に対するネットワークトラフィックを検査するシグネチャに基づくNIDSと対比して、「プロトコルアノマリー」検知NIDSは、通常受付けられるインターネットの通信規則における異常に対するネットワークトラフィックを検査する。これらのルール即ち規則は、オープンプロトコル、公表されたスタンダード、及びネットワーク装置間の通信のためのベンダーが定義した仕様により定義される。違反が識別されると、ネットワークセキュリティ決定を行うためにそれを使用することが可能である。
プロトコルアノマリー検知NIDSは、例えば、シグネチャに基づくNIDSからの検知を回避すべく多少修正された既知のアタックのみならずシグネチャマッチングにより検知することが不可能なアタックを包含する未知のアタックを検知するための能力等のシグネチャに基づくNIDSを上回る幾つかの利点を提供する。例えば、プロトコルアノマリー検知NIDSは、アタッカーがFTPサーバーに対してユーザのアドレスと異なるIPアドレスへの接続を開くことを告げる場合に発生する「FTPバウンス」アタック、及び共通バッファオーバーフロープログラミングエラーを利用する「オーバーフロー」アタックを検知することが可能である。
然しながら、プロトコルの使用に準拠しており、従って、プロトコルアノマリー検知システムによって検知することが不可能なアタックが存在している。このようなアタックはシグネチャ又はその他の検知方法を必要とする。
プロトコルアノマリー検知NIDSの例は、ジョージア、アトランタのインターネットセキュリティシステムズにより販売されているBlackICE Guard、カリフォルニア、レッドウッドシティのリソーステクノロジーズインコーポレイテッドにより販売されているManHuntを包含している。プロトコル違反の結果としての異常なネットワーク挙動を検知するための代替案がジョージア、アトランタのランコープインコポレイテッドにより販売されているStealthWatchにより提案されている。StealthWatchは、例えば単一のウエブサーバーへアクセスするためにウエブブラウザーを使用するか、又はメールサーバーへアクセスするためにEメールプログラムを使用する、単一サービスと関連する2つのホストの間のパケットのフローを特性付けるために「フローに基づく」アーキテクチャを提案している。
上述したNIDSはネットワークのセキュリティを改善する場合があるが、それらは幾つかの欠点を有している。第一に、ネットワークトラフィックのコンテキスト内のシグネチャを評価することのないシグネチャに基づくNIDSによりしばしば誤ったアラームが発生される。例えば、シグネチャに基づくNIDSは「I love you」のストリングに対して全てのEメールメッセージをスキャンし、その名前を持った悪名高いインターネットワームを検知する場合があり、そのことはある個人的なEメールで誤ったアラームを形成する。第二に、上述したNIDSの殆どは単一の検知方法を使用し、そのことは包括的に侵入を検知するのに不充分である。そうであるから、アタックが発生している一方NIDSがアタックを検知しない場合にフォールスネガティブが発生される。例えば、プロトコルアノマリーNIDSは、ハッカーがNIDSをだましてターゲットホストとは異なってネットワークトラフィックを見させる場合にフォールスネガティブを発生する場合があり、従ってそのトラフィックはNIDSを通過することが可能であるが、プロトコルアノマリーNIDSによって検知することが不可能な洗練されたパケット及びプロトコル改ざん方法を使用することにより究極的にターゲットホストに感染することが可能である。
更に、幾つかのNIDSは、利用することが可能な潜在的なセキュリティ及びシステム欠陥を識別するためにアタッカーにより使用される「ポートスキャン」及び「ネットワークスイープ」を検知することが不可能である。ポートスキャン及びネットワークスイープは、通常、ネットワーク上でどのサービスが許可されているかを決定するため及びアタックするためにどのネットワークポートが良い入口であるかを識別するためにアタッカーが見極めようとする場合に発生する。アタッカーは単一のネットワーク上の各々且つ全てのポートを試すか(ポートスキャン)又は全体的なネットワーク上のあるポート(ネットワークスイープ)を試す場合がある。即ち、ポートスキャン及びネットワークスイープはアタックではないが、差し迫ったアタックの表示である。シグネチャに基づくNIDSもアノマリー検知NIDSもポートスキャン及びネットワークスイープを識別することは不可能である。何故ならば、スキャンはパケットを送信するために使用される特定のネットワークプロトコルに準拠しており、スキャンパターンは特定のネットワークセッション内において表われることはないからである。
上述したNIDSの殆どの更なる欠点は、それらが個別的に管理されることが必要であり且つ全てのセンサー情報がセンサー自身の上に存在しているということである。即ち、ネットワークセキュリティ管理者は、シグネチャを活性化させるか又は検知するため、システム管理バックアップを実施するため等のために各個々のセンサーへアクセスすることが必要である。センサーの数が増加すると、これらのセンサーの管理は益々困難となり、特に、発生されるログがしばしば不完全なものであることを考慮すると特にそうである。いずれかのセンサーが故障した場合には、交換用センサーは元のセンサーと一致すべく再構成され且つ調整されねばならない。
更に、NIDSは直接的にアタックを防止することは不可能である。NIDSは受動的侵入検知メカニズムとして動作するが、アタックが発生することを防止することは不可能である。ネットワーク上でアタックが発生している場合には、これらのシステムは、アタックが既に行われた後にネットワークセキュリティ管理者に対して行動を起こすべく通知することが可能であるが、アタック自身を防止することは不可能である。NIDSはトラフィックの経路内に直接的に位置しているのではなく、アタックされているネットワーク接続を中止させるか又は侵入パケットをより安全であるか又はよりセキュアなシステムへ差し向けるために積極的に反応することは不可能である。
この問題に対処する1つの試みは米国特許第6,119,236号において記載されており、それはアタックが拡散することを防止するためにアタックが検知された場合に、NIDSをしてファイアウォールにアクションを起こすべく指示させることを提案している。即ち、NIDSは直接的にアタックを防止するものではなく、単に、アタックが更に悪化することがないようにアタックを中断させる。そうする場合に、NIDSは有効なネットワークトラフィックを不本意に中断させる場合がある。例えば、悪意のハッカーがネットワークをアタックするために主要なインターネットサービスプロバイダーIPアドレスを使用しており且つNIDSシステムがこのIPアドレスから来るパケットをブロックすべくファイアウォールに通知する場合には、悪意であるか否かに拘わらずそのインターネットサービスプロバイダーの全てのユーザはネットワークアクセスが拒否されることとなる。
現在のNIDSの欠点のうちの幾つかに対処するための別の提案は、TCPアタックを防止するためにTCPリセットパケットを利用することである。NIDS装置がTCPアタックを検知すると、それはTCPリセットパケットを発信元及び宛先ネットワークホストの両方へ送信してTCP接続をリセットし且つアタックが発生することを防止する。即ち、このNIDSも直接的にアタックを防止するのではなく、単に、そのアタックが更に悪いものとなることがないようにそのアタックを中断するものである。然しながら、このアプローチの場合には幾つかの問題が存在している。第一に、侵入の試みがなされており且つリセットパケットを送信すべきであることを決定するのにNIDSがある期間の時間がかかる。この期間中に、侵入パケット及び最もあり得ることであるがそれに続くパケットの幾つかがターゲットネットワークへ転送され且つあて先ホストに到達している場合がある。その結果、検知後に送信されるTCPリセットパケットは後の祭となる場合がある。第二に、TCPリセットパケットはTCPプロトコルの場合にのみ使用可能であり、従って、UDP又はその他の無接続プロトコルを使用して行われるアタックを防止するために使用することは不可能である。最後に、TCPリセットパケットは小さな受信器ウインドウ内において有効なシーケンス番号を担持せねばならないので、洗練したアタッカーは、その侵入パケットを送信してサーバーの受信器ウインドウを迅速に変化させることが可能であり、従ってNIDSはどのシーケンス番号をTCPリセットパケット内に入れるかを決定する上で困難性に遭遇し且つそのアタックを防止することに失敗する場合がある。
どのファイアウォールもNIDS製品も、単独で又は共同して、ネットワーク上に許可されたパケットを検査し且つこれらのパケットを直接的にドロップ即ち捨てるか又は接続を閉じることにより不許可のパケット又はアクティビティに対して反応することが可能なものではない。更に、シグネチャ検知、プロトコルアノマリー検知、及びより高い侵入検知精度を達成し、従ってフォールスポジティブ及びフォールスネガティブの割合を減少させるためにトラフィックシグネチャ検知等のその他の洗練された方法を統合するハイブリッドNIDSは存在していない。又、全てのNIDSセンサーを制御するために集中させ、ポリシーに基づく管理ソリューションを提供するNIDSは存在していない。その結果、今日使用可能な技術及び製品を使用してネットワークを安全にさせるための試みは不可能でないにしても実際的なものではない。
米国特許第5,606,668号 米国特許第6,279,113号 米国特許第6,119,236号
前述したことに鑑み、本発明の目的とするところは、低い誤り警告率でネットワークセキュリティブリーチを正確且つ包括的に検知し且つ防止することが可能なネットワークセキュリティシステム及び方法を提供することである。
ネットワーク上へ許可されたパケットを検査することが可能であり且つ不許可のパケットを直接的にドロップするか又は接続を閉じることにより不許可のパケット又はアクティビティに対して反応することが可能なネットワークシステム及び方法を提供することも本発明の目的である。
ステートフルシグネチャ検知、トラフィックシグネチャ検知、プロトコルアノマリー検知及びネットワークセキュリティブリーチを検知し且つ防止するためのその他の方法を統合するネットワークセキュリティシステム及び方法を提供することも本発明の目的である。
本発明の別の目的とするところは、ネットワーク上に配置された全てのネットワーク侵入検知センサーをネットワークセキュリティ管理者が集中的に管理することを可能とするネットワークセキュリティシステム及び方法を提供することである。
本発明のこれら及びその他の目的は、ステートフルシグネチャ検知、トラフィックシグネチャ検知、プロトコルアノマリー検知に基づいて低い誤り警告率でネットワークセキュリティブリーチを検知し且つ防止するためのマルチメッソドネットワークセキュリティシステム及び方法を提供することにより達成される。本マルチメッソドネットワークセキュリティシステムは、以後「MMIDPシステム」として呼称するが、ネットワークホスト又は外部のネットワークに到達する前に内部への又は外部への疑いのあるパケットをドロップさせるためにネットワークトラフィックの経路内に直接的に配置したソフトウエア及びハードウエアソリューションから構成されている。MMIDPシステムは、それ自身、又はファイアウォールと関連して使用することが可能である。
本発明のシステム及び方法は、4個の主要なコンポーネント、即ち(1)ネットワーク侵入検知及び防止センサー、(2)ネットワーク侵入検知及び防止中央管理サーバー、(3)ネットワーク侵入検知及び防止中央データベース、(4)ネットワーク侵入検知及び防止グラフィカルユーザインターフェースを具備するMMIDPの好適例内に効果的に組込まれている。
本ネットワーク侵入検知及び防止センサーは、ネットワークトラフィックの経路内の複数個のゲートウエイ点に配置させることが可能なハードウエア装置から構成されている。与えられたセンサーは、ネットワークホスト又は外部ネットワークへ到達する前に内部への又は外部への疑いのあるパケットをドロップするためにゲートウエイモードで動作することが可能である。一方、センサーはアタックを検知し且つネットワークアタックが行われている場合にネットワークセキュリティ管理者へアラーム即ち警告を送信すべく受動的モードで動作することが可能である。
該センサーは6個のソフトウエアモジュール、即ち(1)IPデフラグメンテーションモジュール、(2)フローマネージャソフトウエアモジュール、(3)TCPリアセンブリーソフトウエアモジュール、(4)プロトコルアノマリー検知モジュール、(5)ステートフルシグネチャ検知モジュール、(6)トラフィックシグネチャ検知モジュールを使用してアタックを検知し且つ防止する。
IPデフラグメンテーションソフトウエアモジュールは、センサーへ到達する前に断片化されたパケットを再構築し、即ち、このモジュールはパケットフラグメントをパケットへ結合させる。パケットが構築された後に、フローマネージャソフトウエアモジュールが該パケットを「パケットフロー」へ編成し且つそれらを単一の通信セッションと関連させる。即ち、パケットは、それらがネットワーククライエントから中央管理サーバーへ流れるか又はその逆であるかに従って、且つそれらがTELNETセッション、FTPセッション、HTTPセッション等の一部であるか否かに従って編成される。更に、フローマネージャソフトウエアモジュールは、同一のセッション内の制御及び補助的フローを関連付けることが可能である。例えば、FTP制御フロー及びそれらと関連するFTPデータフローは、全て、同一のFTPセッション内に結合される。全てのセッションにおけるTCPパケットは、TCPリアセンブリソフトウエアモジュールにより編成され、それは、不必要に再送信されたパケットオーバーラップ及び二重のパケットを除去しながら順番外で到達したTCPパケットを順番付けする。
IPデフラグメンテーション、フローマネージャ、TCPリアセンブリーソフトウエアモジュールは、その他の現在使用可能なネットワーク侵入検知システムよりもより速く且つより正確にネットワーク侵入検知及び防止センサーがセキュリティアタックをサーチすることを可能とする。侵入パケットは、プロトコルアノマリー検知、ステートフルシグネチャ検知、トラフィックシグネチャ検知ソフトウエアモジュールによって、検知され且つプライベート又は外部のネットワークへ拡散することが防止される。侵入パケットは、ネットワークセキュリティブリーチと関連するネットワークアタック識別子を包含するものである。このようなネットワークアタック識別子は、プロトコル違反、アタックシグネチャ、トラフィックシグネチャ、又はこれらのうちの1つ又はそれ以上の結合とすることが可能である。プロトコルアノマリー検知モジュールは、フローマネージャソフトウエアモジュールにより構成されたパケットフローを検査してパケット内のネットワークプロトコル仕様における違反を決定する。ステートフルシグネチャ検知モジュールは、既知のアタックシグネチャを、TCPパケットの場合には、TCPデータストリームに対してマッチングさせ、且つその他のネットワークプロトコルで送信されたパケットのヘッダー及びデータに対してマッチングさせる。トラフィックシグネチャモジュールはトラフィックシグネチャをネットワークトラフィックに対してマッチングさせてポートスキャン及びネットワークスイープ等のアタックを検知する。悪性のものであると判定された内部へのパケットはネットワークホスト等のいずれかに到達する前にセンサーによりドロップされ、外部へのパケットは外部のネットワークへ到達する前に該センサーによりドロップされる。該センサーは、又、そのパケットのうちの1つ又はそれ以上が悪性のものであると考えられる場合には与えられたセッションにおける全てのパケットをドロップすることが可能である。
本センサーは、又、IPルーターソフトウエアモジュール及びIPフォアワーダー(forwarder)ソフトウエアモジュールを具備しており、内部への及び外部へのパケットをネットワーク内の適宜の点へ経路付けし(IPルーターソフトウエアモジュール)且つそのルーチング情報を使用してパケットをそれらの宛先へ転送する(IPフォアワーダーソフトウエアモジュール)。IPフォアワーダーソフトウエアモジュールは、どのパケットが本センサーを介して許可されるかについての完全な制御を有しており、且つその他のソフトウエアモジュールのいずれかが悪性であると考えるパケットを通過させることはない。
ネットワーク侵入検知及び防止中央管理サーバーは、ネットワークセキュリティ管理者により特定された単一のネットワークセキュリティポリシーを使用してネットワーク上に配置された複数個のセンサーの全てを制御する。セキュリティポリシーは、どのトラフィックをインスペクトするかを定義し且つどのアタックを本センサーが捜索すべきかを定義する。本サーバーは、セキュリティポリシーを妥当性検査し、セキュリティポリシーを全てのセンサーへロードし、ポリシー変化の履歴を維持し、且つ格納、表示、通知に対してセンサーからのログ及びアラームを収集する。本サーバーは、又、古い及びアップデートされたポリシーのバージョン、アタックシグネチャ、ログ及びアラーム、及びその他の報告用情報を包含するネットワークセキュリティポリシーを格納するための中央データベースを維持する。
ネットワークセキュリティ管理者は、ネットワーク検知及び防止グラフィカルユーザインターフェースによりログ及びアラームを観察することが可能である。ユーザインターフェースは、ネットワークへ接続されている任意のクライエントからアクセスすることが可能であり且つ全ての管理サーバー及びセンサー施設へのアクセスを与える。該ユーザインターフェースは、ネットワークセキュリティ管理者が該センサー及び該サーバーから来る情報を観察してネットワーク内において何が起こっているかを判別することを可能とする。該センサー及びサーバーにより与えられる情報はレポートに編成され、それは、例えばアタックにおいて使用されたトップのIPアドレス、トップのアタック、発生されたアラーム及びインシデントの数、アラームが実際のものか又は誤ったものであるか等のそうでなければ収集することが困難なネットワーク統計へのアクセスを与える。更に、ネットワークセキュリティ管理者は該ユーザインターフェースを使用して、ネットワークセキュリティポリシーを定義し且つ中央管理サーバーに命令を与えてセキュリティポリシーをセンサーの幾つか又は全てへ配布させる。ユーザインターフェース、サーバー、センサーの間の全ての通信は暗号化及び認証メカニズムにより保護されている。
一般的に、1つの側面においては、本発明は、FTP接続期間中にセキュリティブリーチを防止する技術を実現し且つ使用する方法及び装置を提供する。ネットワーク侵入及び検知センサーは、パケットフラグメントを再構築し、パケットフラグメントをFTPパケットフローへ編成し、且つ複数個のTCPフラグメントをTCPストリームへリアセンブルさせる。ソフトウエアモジュールは、FTPパケットフローがFTPポートコマンドの一部であるか否かを決定することによりTCPストリームをプロトコルアノマリーについてインスペクト即ち検査を行う。FTPパケットフローがFTPポートコマンドの一部であることを該ソフトウエアモジュールが決定する場合には、該センサーはユーザのIPアドレスをTCPストリームにおいて見つかったいずれかのポートコマンドのIPアドレスと比較する。ユーザのIPアドレスがポートコマンドと関連するIPアドレスと一致しないことを該センサーが決定する場合には、該センサーはそのFTPパケットフローをドロップし且つFTP接続を閉じる。
一般的に、別の側面においては、本発明は、SMTP接続期間中にセキュリティブリーチを防止する技術を実現し且つ使用する方法及び装置を提供している。ネットワーク侵入及び検知センサーはユーザにより送信されたパケットフラグメントを再構築し、該パケットフラグメントをSMTPパケットフローへ編成し、且つ複数個のTCPパケットフラグメントをTCPストリームへリアセンブルさせる。ソフトウエアモジュールは、TCPストリーム内にSMTPコマンドが存在するか否かを決定し、存在する場合には、該センサーはSMTPコマンド内のアタックシグネチャをサーチする。該センサーがSMTPコマンド内にアタックシグネチャを検知すると、該センサーはそのSMTPパケットフローをドロップし且つSMTP接続を閉じる。
特定の実現例は以下の特徴のうちの1つ又はそれ以上を包含することが可能である。
アタックシグネチャはwizコマンドとすることが可能である。
好適には、本発明のシステム及び方法は、ネットワークセキュリティブリーチを正確に且つすぐさま検知し且つ防止する。これらのシステム及び方法は、低い誤り警告率で、現在のネットワークセキュリティ製品によって検知されることのない多数のアタックを検知することが可能である。更に、本発明のシステム及び方法は、組織のネットワークセキュリティの便利で有用であり且つ費用効果的な集中管理を可能とする。
図1を参照すると、ファイアウォール及びネットワーク侵入検知システムにより保護されている従来のネットワーク環境の概略図が示されている。サーバー16a及び16c及びコンピュータ16b及び16dからなるインターネット19とプライベートネットワーク17との間の接続はファイアウォール18により保護されている。ファイアウォール18はインターネットからプライベートネットワーク17へ流れる全てのパケットをインスペクトし且つプライベートネットワーク17におけるユーザの外部リソースへのアクセスを制御する。ネットワークアクセスポリシーにより予め定められた静的なヒューリスティックスに準拠することのないパケットはファイアウォール18により拒否され且つプライベートネットワーク17内部へ許可されることはない。
ネットワーク侵入検知システム(NIDS)20はファイアウォール18の後に配置されており、ファイアウォール18によりネットワーク17内へ許可されたパケットをインスペクトする。NIDS20は受動的装置であり、プライベートネットワーク17がアタックされていることを警告するためにプライベートネットワーク17のネットワークセキュリティ管理者へアラームを送信することが可能であるか、又は、ある場合には、アタックが検知された場合にファイアウォール18がアクションをとるべく指示することが可能である。
次に、図2を参照すると、MMIDPシステムの開示した例において使用されているソフトウエア及びハードウエアコンポーネントの概略図が示されている。MMIDPシステム23はネットワーク上のセキュリティブリーチを検知し且つ防止するためにプライベートネットワーク上にインストールされている。MMIDPシステム23はMMIDPセンサー25a−d、MMIDP中央管理サーバー30、MMIDPデータベース35、MMIDPグラフィカルユーザインターフェース(GUI)40a−dから構成されている。
MMIDPセンサー25a−dはプライベートネットワーク上の複数個のゲートウエイ点、即ち例えばインターネット等のその他のネットワークへの入口として作用するネットワークにおける任意の点に配置されているハードウエア装置である。MMIDPセンサー25a−dは、全て、MMIDPサーバー30から集中的に管理される。ネットワーク管理者はMMIDP GUI40a−dを使用してネットワークセキュリティポリシーを定義し且つMMIDP中央管理サーバー30を指示してセキュリティポリシーをMMIDPセンサー25a−dの幾つか又は全てへ配布させる。該ネットワークセキュリティポリシーは、どのトラフィックをインスペクトするか及びどのアタックをMMIDPセンサー25a−dが探すべきであるかを定義する。
好適実施例においては、MMIDPセンサー25a−dはゲートウエイモードで動作して、それがプライベートネットワークの内側か又は外側の意図されている受取人に到達する前に疑いのあるパケットをドロップすることにより、又はそのアタックを発生するネットワーク接続を中断するか又は閉じることによりアタックを防止する。ゲートウエイモードで動作しているMMIDPセンサー25a−dは、ネットワークアタックを検知するばかりでなく、それが発生することを防止する。一方、MMIDPセンサー25a−dは、アタックを検査し且つネットワークアタックが行われている場合にネットワークセキュリティ管理者に対してMMIDP GUI40a−dに表示されるアラームを送信するために受動的モードで動作することが可能である。次いで、ネットワークセキュリティ管理者は、ネットワークアタックを制御するために適宜のアクションを決定することが可能である。
MMIDPセンサー25a−dは、ネットワークセキュリティブリーチを検知し且つ防止するためにネットワークパケットに関して動作する以下の8個のソフトウエアモジュールが具備されており、即ち(1)IPデフラグメンテーションソフトウエアモジュール、(2)フローマネージャソフトウエアモジュール、(3)TCPリアセンブリーソフトウエアモジュール、(4)プロトコルアノマリー検知ソフトウエアモジュール、(5)ステートフルシグネチャ検知ソフトウエアモジュール、(6)トラフィックシグネチャ検知ソフトウエアモジュール、(7)IPルーターソフトウエアモジュール、(8)IPフォアワーダーソフトウエアモジュールである。
MMIDPセンサー25a−dは、全て、MMIDPサーバー30から集中管理される。MMIDPサーバー30はMMIDP GUI40a−dを使用してネットワークセキュリティ管理者により定義されたネットワークセキュリティポリシーを妥当性評価し、該GUIは該ポリシーをサーバー30へ送信し、該セキュリティポリシーをMMIDPセンサー25a−dのうちの幾つか又は全てへロードし、ポリシー変化の履歴を維持し、且つ以下に詳細に説明するように、格納、表示、通知のためにMMIDPセンサー25a−dからのログ及びアラームを収集する。更に、MMIDPサーバー30は、ポリシーの古いバージョン及びアップデートしたバージョン、アタックシグネチャ、ログ及びアラーム、及びその他の報告情報を包含するネットワークセキュリティポリシーを格納するためにMMIDPデータベース35を維持する。
ネットワークセキュリティ管理者は、どのようにしてMMIDPセンサー25a−dが内部への及び外部へのネットワークパケットを取り扱うかを解析するためにMMIDP GUI40a−dを使用する。MMIDP GUI40a−dはネットワークへ接続されている任意のクライエントからアクセスすることが可能であり且つMMIDPセンサー25a−d及びMMIDPサーバー30の全ての機能性に対してのアクセスを与える。MMIDP GUI40a−dは、MMIDPセンサー25a−d及びMMIDPサーバー30から来る情報をネットワークセキュリティ管理者が観察しネットワーク内において何が起こっているかを決定し且つ必要である場合にはその後のアクションを取ることを可能とする。MMIDPセンサー25a−d及びMMIDPサーバー30により提供される情報はレポートに編成され、該レポートは、例えばアタックにおいて使用されたトップのIPアドレス、トップのアタック、発生されたアラーム及びインシデントの数、及びアラームが実際のものであるか誤ったものであるかについてそうでなければ収集することが困難なネットワーク統計へのアクセスを与える。更に、ネットワークセキュリティ管理者は、MMIDPデータベース35内に格納されているシグネチャの組からどのシグネチャアタックを検知し且つ防止し且つ新たなシグネチャを作成するために使用するかを特定することが可能である。MMIDPセンサー25a−d、MMIDPサーバー30、MMIDPデータベース35、MMIDP GUI40a−dの間の全ての通信は暗号化及び認証メカニズムにより保護される。
次に、図3を参照すると、本発明のシステム及び方法が動作する好適なMMIDPシステム及びネットワーク環境の概略図が示されている。MMIDPセンサー45a−cが、遠隔オフィスローカルエリアネットワーク50、デミリタライズドゾーン(DMZ)55、有線ネットワーク65及び無線ネットワーク70により形成されているローカルエリアネットワーク60から構成されるプライベートネットワークのゲートウエイ点に配置されている。
有線ネットワーク65は、MMIDP GUI110a、パソコンユーザ67b、ノートブックユーザ67cを接続しているローカルエリアネットワーク60内側のローカルエリアネットワークである。無線ネットワーク70はベースステーション72によってPDAユーザ73aと無線電話ユーザ73bとを接続するローカルエリアネットワーク60内側の無線ローカルエリアネットワークである。DMZ55はネットワークガイドのユーザからのみならずネットワーク内の内部ユーザからの全てのメール及びウエブアクセス要求を取り扱うためにメールサーバー75及びウエブサーバー80からなるプライベートネットワーク内の中立ゾーンである。DMZ55は、メールサーバー75及びウエブサーバー80以外に、プライベートネットワーク内のその他のサーバーへのアクセスを外部ユーザが有することを防止するための更なるセキュリティのレイヤーとして使用される。当業者により理解されるように、遠隔オフィスローカルエリアネットワーク50、ローカルエリアネットワーク60、DMZ55は例えばパソコン、ノートブックコンピュータ、パーソナルデジタルアシスタント、無線電話システム、ビデオゲームシステム等のインターネット又は有線又は無線ネットワークを介して一般的なプロトコルで動作するその他のネットワークへ接続することが可能な任意の電子装置を有することが可能である。
MMIDPセンサー45a−cはファイアウォール85a−b内側のプライベートネットワークの複数個のゲートウエイ点に位置されており、ファイアウォール85a−bにより安全なものと思われたプライベートネットワークへの内部へのパケットの全て及びファイアウォール85a−bによってチェックされていない全ての外部へのパケットをインスペクトする。MMIDPセンサー45a−cをファイアウォール85a−bの内側に配置させることは、MMIDPセンサー45a−cが解析することを必要とするトラフィックを減少させる。何故ならば、ファイアウォール85a−bによって受付けられたパケットフロー及び接続のみをチェックすることが必要であるに過ぎないからである。更に、MMIDPセンサー45a−cをファイアウォール85a−b内側に配置させることは、ネットワークセキュリティ管理者がファイアウォール85a−bの性能を評価することを可能とさせる。ファイアウォール85a−bはパケットフィルタリングファイアウォール、回路レベルファイアウォール、アプリケーションレベルファイアウォール、又はステートフルインスペクションファイアウォールとすることが可能である。好適には、ファイアウォール85a−bはインターネット90への入口点として作用するステートフルインスペクションファイアウォールであり、ファイアウォール85bは内部へのネットワークパケットをDMZ55か又はローカルエリアネットワーク60のいずれかへルーチング即ち経路付けさせるためにルーター95へ接続されている。
ローカルエリアネットワーク60におけるMMIDPサーバー100はMMIDPセンサー45a−cを集中管理することが可能である。MMIDPサーバー100は、又、ネットワークセキュリティポリシー、アタックシグネチャ、ログ及びアラーム、及びその他のレポート用情報を格納するためにMMIDPデータベース105を維持する。
ネットワークセキュリティ管理者はMMIDP GUI110a−cを使用してネットワークセキュリティポリシーを定義し且つMMIDP中央管理サーバー100に命令を与えてセキュリティポリシーをMMIDPセンサー45a−cの幾つか又は全てへ配布させる。該ネットワークセキュリティポリシーは、どのトラフィックをインスペクトするか及びどのアタックをMMIDPセンサー45a−cが捜索すべきであるかを定義する。MMIDP GUI110a−cはネットワークセキュリティ管理者がMMIDPセンサー45a−cから来る情報を観察することを可能とし、且つ遠隔オフィスローカルエリアネットワーク50、DMZ55、ローカルエリアネットワーク60によって形成されるネットワークにおいて何が起こっているかをMMIDPサーバー100が決定することを可能とする。MMIDPセンサー45a−c及びMMIDPサーバー100により提供される情報は、レポートに編成され、それは、例えば、アタックにおいて使用されたトップのIPアドレス、トップのアタック、発生されたアラーム及びインシデントの数、及びアラームが実際のものか誤りのものであるかについて全ての検知されたアタック及び侵入のリスト及びそうでなければ収集することが困難であるようなネットワーク統計へのアクセスを与える。更に、ネットワークセキュリティ管理者は、アタックを検知し且つ防止するため、及び新たなシグネチャを作成するために、ネットワークセキュリティ管理者は、MMIDPデータベース105内に格納されているシグネチャの組からどのシグネチャを使用するかを特定することが可能である。当業者により理解されるように、MMIDP GUI110a−cはインターネット90を介してMMIDPサーバー100へのアクセスを有する任意のネットワーク上に配置させることが可能なネットワーク用クライエントである。
次に、図4を参照すると、本発明のシステム及び方法が動作する別のMMIDPシステム及びネットワーク環境の概略図が示されている。この代替例においては、MMIDPセンサー45a−bはファイアウォール85a−cの外部に配置されており、従ってMMIDPセンサー45a−bはインターネット90への入口点である。更に、MMIDPセンサー45bはネットワーク接続47a及びネットワーク接続47b等の1個を超えるネットワークインターフェースをサポートすることが可能である。この代替例は、ネットワークセキュリティ管理者が主に外部からのアタックに懸念がある場合に使用することが可能である。MMIDPセンサー45a−bをファイアウォール85a−cの外部に配置することは、ネットワークセキュリティ管理者が、典型的に、該ファイアウォールによってブロックされ且つ内部システムによって検知されることのない全てのトラフィックを監視することを可能とする。
次に、図5を参照すると、本発明のシステム及び方法が動作する更に別のMMIDPシステム及びネットワーク環境の概略図が示されている。この代替例においては、MMIDPセンサー45a−bは遠隔オフィスローカルエリアネットワーク50、DMZ55、ローカルエリアネットワーク60によって形成されるプライベートネットワークのセキュリティに対して完全な責任を有している。プライベートネットワークを保護するために使用されているファイアウォールは存在していない。MMIDPセンサー45a−bはプライベートネットワークにおける全ての内部への及び外部へのパケットを解析する。この代替例は、MMIDPセンサー45a−bがネットワークへの及びそれからの大量のトラフィックを取り扱うことが可能であることがネットワークセキュリティ管理者が自信がある場合、又はネットワーク上のその他のシステムと完全に適合性があり且つそれと統合されねばならない付加的なファイアウォールシステムを購入するのに必要な時間及び費用をネットワークセキュリティ管理者が投資することが不可能である場合に使用することが可能である。
次に、図6を参照すると、ネットワーク侵入検知及び防止センサーにおいて使用される例示的なソフトウエアモジュールの概略図が示されている。MMIDPセンサー25a−dは8個のソフトウエアモジュール、即ち(1)IPデフラグメンテーションソフトウエアモジュール115、(2)フローマネージャソフトウエアモジュール120、(3)TCPリアセンブリーソフトウエアモジュール125、(4)プロトコルアノマリー検知ソフトウエアモジュール130、(5)ステートフルシグネチャ検知ソフトウエアモジュール135、(6)トラフィックシグネチャ検知ソフトウエアモジュール140、(7)IPルーターソフトウエアモジュール145、(8)IPフォアワーダーソフトウエアモジュール150を使用してネットワークセキュリティアタックを検知し且つ防止する。
IPデフラグメンテーションソフトウエアモジュール115は、MMIDPセンサー25a−dへ到達する前に断片化されたパケットを再構築する。パケットは、それらがネットワークにおいて許容される最大パケット寸法より大きい場合にネットワークゲートウエイにおいて断片化される。それらのパケットはインターネットエンジニアリングタスクフォースのRFC815スタンダードにおいて特定されているアルゴリズムに従ってリアセンブルされる。該アルゴリズムは、リアセンブルされるパケットの長さに等しい長さのバッファを維持することにより、フラグメントオーバーラップ及び重複の任意の可能なパターンで任意の順番で到達する任意の数のパケットフラグメントをリアセンブルすることが可能である。パケットの長さはパケットヘッダーにおいて特定される。IPデフラグメンテーションソフトウエアモジュール115は、又は、パケットフラグメントに関してセキュリティ検証チェックを実施し、そのパラメータ(例えば、パケット長又はパケットオフセット)が悪性なものであり且つ潜在的に危険なものであるとして知られているフラグメントを投げ捨て且つ報告する。
パケットがIPデフラグメンテーションソフトウエアモジュール115により再構築された後に、フローマネージャソフトウエアモジュール120が該パケットをフローとも呼称される「パケットフロー」へ編成し、且つそれらを単一の通信セッションと関連付ける。パケットフローは発信元から宛先へ流れるパケットのシーケンスである。即ち、パケットはそれらがプライベートネットワークにおいて発生し且つ外部のネットワークへ流れるか又はその逆であるかに従って、且つそれらがTELNETセッション、FTPセッション、HHTPセッション等の一部であるか否かに従って編成される。制御及びデータフローは同一のセッション内にグループ化される。フローマネージャソフトウエアモジュール120はプライベートネットワークへ来るか又はそれからの全てのパケットフローをフローテーブルへ編成し、それはソフトウエアモジュール130,135,140により容易にアクセスするためのハッシュテーブルとして実現される。
次に、図7を参照すると、フローマネージャソフトウエアモジュールにより構成される例示的なフローテーブルが示されている。フローテーブル155はMMIDPセンサー25a−d内へやって来るパケットをパケットフロー及びセッションへ編成するハッシュテーブルとして実現されている。ハッシュテーブルは、例えばフローテーブル155に対して8個のハッシュバケットを示したように「n」個のセル又はバケットを有することが可能である。該テーブル内の各バケットは、ハッシュ値によりアドレスされるパケットフロー記述子のリンクされたリストへのポインターから構成されている。該ハッシュ値は<発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、プロトコル>から構成される5タプル(tuple)の値を1乃至「n」の範囲内の一意的整数へハッシュさせる完全なハッシュ関数によって計算される。例えば、フローテーブル155はハッシュテーブルバケット153a−hを包含しており、各バケットは1乃至8の範囲の整数ハッシュ値によってアドレスされる。更に、各バケットフロー記述子はそのフローに対して一意的であり且つそのフローの5タプル<発信元IPアドレス、発信元ポート、宛先IPアドレス、宛先ポート、プロトコル>からなる5タプル鍵によってアドレスされる。
各鍵によりアドレスされるパケットフロー記述子は上の5タプル及び記述したパケットフローに属するパケットのリストを包含する各特定のパケットフローについての情報から構成されている。例えば、ハッシュテーブルバケット153aはパケットフロー記述子156a及び156bを指し示し、一方ハッシュテーブルバケット153cはパケットフロー記述子157を指し示す。更に、該リストにおける各パケットフローは、例えばTELNETセッション161、FTPセッション162、HTTPセッション163等の1つのセクションと関連している。この関連付けはダブルポインター(図7における両方向矢印により示されている)によって行われ、従って各パケットフロー記述子は1つのセッションを指し示し且つ該セッションは各パケットフロー記述子を指し示す。該ダブルポインターはプロトコルアノマリー検知ソフトウエアモジュール130、ステートフルシグネチャ検知ソフトウエアモジュール135、トラフィックシグネチャ検知ソフトウエアモジュール140が内部へのパケットのフロー及びそれらの関連するセッションに関しての情報を迅速且つ正確に検索することを可能とする。例えば、パケットフロー記述子156aは発信元Aから宛先BへのTELNETフローに関しての情報及びそのパケットフローに属するパケットのリストを包含している。同一のハッシュ鍵によりアドレスされる(及び同一のハッシュバケットに属する)パケットフロー記述子は異なるセッションを指し示すことが可能であり且つ同一のセッションに属するパケットフロー記述子は異なるハッシュ鍵によりアドレスすることが可能である。例えば、パケットフロー記述子156a−bは、両方共、ハッシュバケット153a内にあるが、パケットフロー記述子156aはTELNETセッション161と関連しており、一方パケットフロー記述子156bはFTPセッション162と関連しており、それは、又、パケットフロー記述子157,158,159bと関連しており、それらは全て異なるハッシュバケットに属している。
次に、図8を参照すると、ネットワーク侵入検知及び防止センサーに新たなパケットが到着する場合にフローマネージャソフトウエアモジュールにより取られる例示的なステップを示したフローチャートが示されている。パケットの新たなフローがMMIDPセンサー25a−dに到着すると、フローマネージャソフトウエアモジュール120は、ステップ170において、発信元、宛先、発信元ポート、宛先ポート、そのパケットに対して使用されるプロトコルを識別して、ステップ175においてその5タプル識別子を独特の整数鍵へマップする完全なハッシュ関数を計算する。ステップ180において、フローマネージャソフトウエアモジュール120は、その鍵がハッシュテーブル内の既に存在するパケットフロー記述子をアドレスするものであるか否かを決定する。その鍵が既存のパケットフロー記述子に対応するものでない場合には、新たなパケットフロー記述子がステップ185においてテーブル内に挿入される。
ステップ190において、本システムは内部へのパケットに対するパケットフロー記述子に対するポインターを抽出する。最後に、ステップ200において、フローマネージャソフトウエアモジュール120はそのポインターをパケットフロー記述子へパスし且つステップ190において抽出される如くその対応するセッションを検知モジュール130,135,140へパスする。このことはプロトコルアノマリー検知ソフトウエアモジュール130、ステートフルシグネチャ検知モジュール135、トラフィックシグネチャ検知ソフトウエアモジュール140が内部へのパケットフロー記述子及びそのポインターからのそれの関連するセッションに関しての情報を迅速に且つ正確に検索することを可能とする。
再度図6を参照すると、フローテーブル内の全てのパケットフローにおけるTCPパケットはTCPリアセンブリソフトウエアモジュール125によりリアセンブルされる。TCPリアセンブリソフトウエアモジュール125はパケットからなるストリームの一部であるTCPパケットをそれらの正しい順番に配列させ、一方重複するパケット及びパケットオーバーラップを除去する。各TCPパケットはそのヘッダー内にシーケンス番号を有しており、それはソフトウエアモジュール125が、TCPパケットが順番外で到着する場合、又はネットワークにより許容されるよりもより長い時間だけネットワークにおいて遅延された場合に不必要に再送された場合にそれらの正しい順番でTCPパケットを再度配列させることを可能とする。
IPデフラグメンテーションソフトウエアモジュール115、フローマネージャソフトウエアモジュール120、TCPリアセンブリソフトウエアモジュール125はMMIDPセンサー25a−dがその他の現在入手可能な侵入検知システムよりもより速く且つより正確にセキュリティアタックを検知し且つ防止することを可能とする。プロトコルアノマリー検知ソフトウエアモジュール130、ステートフルシグネチャ検知ソフトウエアモジュール135、トラフィックシグネチャ検知ソフトウエアモジュール140によって侵入パケットが検知され且つプライベートネットワーク又は外部ネットワークが拡散することが防止される。
次に、図9を参照すると、ゲートウエイモードで稼動中のネットワーク侵入検知及び防止センサーにパケットが到着した場合にプロトコルアノマリー検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャートが示されている。プロトコルアノマリー検知ソフトウエアモジュール130はフローテーブル155においてフローマネージャソフトウエアモジュール125により配列されたパケットフローを検査して非TCPパケット及びTCPデータストリームにおけるネットワークプロトコル仕様における違反を判別する。ステップ215において、プロトコルアノマリー検知ソフトウエアモジュール130は、フローマネージャソフトウエアモジュール120によりパスされたパケットフロー記述子及びセッションへのポインターからMMIDPセンサー25a−dへ到着するパケットに対応するパケットフロー記述子及びセッションへアクセスする。
ステップ220において、プロトコルアノマリー検知ソフトウエアモジュール130はパケットフロー及びセッションを検査して、違反についてどのプロトコルをチェックすることが必要であるかを決定する。ステップ225において、プロトコルアノマリー検知ソフトウエアモジュール130は、MMIDPシステム23によりサポートされるプロトコルのリスト及び各プロトコルに対して許可可能なアクションを包含するプロトコルデータベースを照会することにより高速プロトコル検証を実施する。プロトコルアノマリー検知ソフトウエアモジュール130は該プロトコルデータベースを照会して、内部へのパケットがそれらを送信するために使用されるプロトコルと適合性があるか否か及び非TCPパケット又はTCPデータストリームにおいて具体化されているアクション又はコマンドがそのプロトコルに対して認定されているか又は許可されているかを決定する。ステップ220及び225は、プロトコルアノマリー検知130がその他の典型的なアノマリー検知システムよりもより迅速に且つ正確にプロトコル違反をチェックすることを可能とする。プロトコルデータベースにおけるプロトコル仕様がパケット内のプロトコル仕様と一致しない場合には(ステップ230)、該パケットはステップ235においてドロップ即ち捨てられる。
次に、図10を参照すると、プライベートネットワークによりサポートされるプロトコルの例示的なテーブルが示されている。プロトコルテーブル245はMMIDPシステム23及び存在する場合に、それらの対応するRFCスタンダード仕様の幾つかによりサポートされるプロトコルをリストしている。当業者により理解されるように、例えばICMP等のプロトコルテーブル245内にリストされていない付加的なプロトコルのプライベートネットワークによりサポートされる場合がある。
図6に戻ると、ステートフルシグネチャ検知ソフトウエアモジュール135はパケットを送信するために使用されるネットワークプロトコルに従って既知のアタックシグネチャをパケットヘッダー及びデータとマッチングさせる。ソフトウエアモジュール135は、シグネチャアップデートが行われる度に、MMIDPサーバー30により稼動されるMMIDPデータベース35から既知のアタックシグネチャをダウンロードする。シグネチャアップデートは、ネットワークセキュリティ管理者により又はMMIDPシステム23のベンダーにより新たなシグネチャアタックパターンが学習される場合に行われる。好適には、インターネット又はその他のパブリックドメインフォラムにおいて特性付けられる一週間以内に新たなシグネチャがアップデートされる。
シグネチャはデータストリーム又はデータパケットの関連する部分に対してのみ比較される。このことは2つのメカニズムを使用して行われる。最初のものは、シグネチャが関連するパケットフローからのトラフィックに対してのみ比較されることを確保する。例えば、SMTPシグネチャはFTPデータに対して比較されることはない。2番目のメカニズムは、パケット及びデータストリーム通信の状態を理解するためにトラフィックを解析する。この解析は、例えば、SMTPコマンドとSMTPデータライン又はFTPユーザ名とFTPファイル名との間をMMIDPが区別することを可能とさせる。即ち、ステートフルシグネチャ検知ソフトウエアモジュール135は、データプロトコルに関連性のあるシグネチャをデータの関連する部分に対して比較する。例えば、あるSMTPコマンドを探すシグネチャがSMTPトラフィックに対してのみ比較されるばかりでなく、その比較はSMTPトラフィックにおいてSMTPコマンドであると解析されるものへ制限される。即ち、例えばフローテーブル155におけるセッション161−163のようなパケットフローのセッションエントリの属性を検査することにより、シグネチャ検知ソフトウエアモジュール135は、どのシグネチャがパケットフローに対してマッチングされることが必要であるかを決定することが可能である。このことはシグネチャ検知ソフトウエアモジュール135の性能を著しく改善する。何故ならば、パケットにとって意味のあるシグネチャのみを解析することが必要であるに過ぎないからである。
次に、図11を参照すると、パケットがゲートウエイモードで稼動中のネットワーク侵入検知及び防止センサーに到着する場合にステートフルシグネチャ検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャートを示している。ステップ210において、ステートフルシグネチャ検知ソフトウエアモジュール135はフローマネージャソフトウエアモジュール120によりパスされたパケットフロー記述子及びセッションに対するポインターからMMIDPセンサー25a−dに到着するパケットに対応するパケットフロー記述子及びセッションへアクセスする。
ステップ260において、ソフトウエアモジュール135はMMIDPデータベース35を照会して内部へのデータストリーム又はパケットに関連性があるシグネチャを見つけ出す。関連性のあるシグネチャは、フローテーブルから検索されたパケットフロー及びセッションの文脈においてアタックであるとのみ考えられるものである。関連性のあるシグネチャは、データベース35内に格納される場合に通常の表現へ変換される。通常の表現は、ストリングの一部を記述するパターンである。例えば、通常の表現[0123456789]はUNIXに基づくオペレーティングシステムにおける任意の単一デジットとマッチ即ち一致する。シグネチャを通常の表現へ変換することは、ソフトウエアモジュール135が効率的にシグネチャをパケットに対してマッチングすることを可能とする。
ステップ265において、ソフトウエアモジュール135は、内部へのパケットがTCPフローに属するか否かをチェックする。そうでない場合には、ステップ275において、シグネチャは、例えば、決定性有限オートマトン(DFA)を使用して内部へのパケットと比較される。DFAシグネチャマッチングは、内部へのパケット内に通常の表現が存在するか否かを迅速に決定するために各通常の表現に対する状態マシンを構築する。内部へのパケットがTCPフローのものである場合には、シグネチャは全体的なTCPデータストリームに対して比較される(ステップ270)。
いずれかのマッチングするシグネチャが見つかると(ステップ280)、対応するパケット及びそれらが属するフローがステップ290においてソフトウエアモジュール135によりドロップされる。そうでない場合には、マッチングするシグネチャのない内部へのパケットはトラフィックシグネチャ検知ソフトウエアモジュール140へデリバーされる。当業者により理解されるように、DFAマッチング以外のその他のパターンマッチングアルゴリズムをアタックシグネチャをマッチングするために使用することが可能である。
図6へ戻ると、トラフィックシグネチャソフトウエアモジュール140はトラフィックシグネチャをネットワークトラフィックに対してマッチングさせて、例えば、ポートスキャン及びネットワークスイープを検知する。トラフィックシグネチャはMMIDPサーバー30により維持されるMMIDPデータベース35からソフトウエアモジュール140へダウンロードされる。
次に、図12を参照すると、ゲートウエイモードで稼動中のネットワーク侵入検知及び防止センサーにパケットが到着する場合にトラフィックシグネチャ検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャートが示されている。トラフィックシグネチャ検知ソフトウエアモジュール140により取られるステップはアタックシグネチャを検知するためにステートフルシグネチャ検知ソフトウエアモジュール135により取られるものと類似している。ステップ310において、トラフィックシグネチャ検知ソフトウエアモジュール140が、フローマネージャソフトウエアモジュール120によりパスされるパケットフロー記述子及びセッションへのポインターからMMIDPセンサー25a−dに到着するパケットに対応するパケットフロー記述子及びセッションへアクセスする。
ステップ315において、トラフィックシグネチャ検知ソフトウエアモジュール140はMMIDPデータベース35を照会して内部へのパケットのフローに関連するトラフィックシグネチャを見つけ出す。その関連するシグネチャは、内部へのパケットが属するフローのプロトコルを検査することにより見つけられる。例えば、内部へのパケットがICMPパケットフローの一部である場合には、ソフトウエアモジュール140はICMPに基づくトラフィックシグネチャを考慮するに過ぎない。
ステップ320において、トラフィックシグネチャが内部へのデータストリーム又はパケットに対してマッチングされる。いずれかのマッチングシグネチャが見つかった場合には、ソフトウエアモジュール140がステップ325においてトラフィックシグネチャにより特定されるようにシグネチャ特定カウントをアップデートする。例えば、シグネチャカウントは、与えられた時間期間中に同一のIPアドレスから幾つの異なるホストがコンタクトされたかをカウントする。シグネチャカウントが所定のスレッシュホールドを超える場合には(ステップ330)、ソフトウエアモジュール140はステップ335においてMMIDP GUI40a−dにおいて表示されるべきアラームを発生する。
図6に戻ると、MMIDPセンサー25a−dは、又、内部への及び外部へのパケットをネットワーク内の適宜の点に対して経路付けするため(IPルーターソフトウエアモジュール145)及びパケットをそれらの宛先へ転送するためにルーチング情報を使用するため(IPフォアワーダーソフトウエアモジュール150)IPルーターソフトウエアモジュール145及びIPフォアワーダーソフトウエアモジュール150が設けられている。IPフォアワーダーソフトウエアモジュール150はどのパケットがMMIDPセンサー25a−dを介して許可され且つその他のソフトウエアモジュールのいずれかが悪性のものであると考えたパケットを通過させることについて完全な制御を有している。
次に、図13を参照すると、内部への又は外部へのパケットの有効性を決定する場合にネットワーク侵入検知及び防止センサーにより取られる例示的なステップを示したフローチャートが示されている。ステップ350において、MMIDPセンサー25a−dに到着するパケットフラグメントはIPデフラグメンテーションソフトウエアモジュール115によりパケットに再構築される。ステップ355において、MMIDPセンサー25a−dにおけるフローマネージャソフトウエアモジュール120は内部へのパケットを上述した如くフローテーブルにおけるパケットフロー及びセッションへ編成する。ステップ360において、MMIDPセンサー25a−dは、内部へのパケットの中でTCPパケットが存在するか否かをチェックする。存在する場合には、TCPパケットはステップ365において並び替えられる。ステップ370において、プロトコルアノマリー検知ソフトウエアモジュール130が、パケット内に何等かのプロトコル違反が存在するか否かを判別するためにチェックを行う。プロトコル違反を示すパケットはステップ380においてドロップされる。
テーブル245(図10)にリストされているプロトコルのネットワークプロトコル仕様に準拠するパケットは、MMIDPデータベース35からMMIDPセンサー25a−dへダウンロードされたアタックシグネチャに対してマッチングされるべくステップ375においてステートフルシグネチャ検知ソフトウエアモジュール135へ進行する。上述したように関連性のあるシグネチャのみがチェックされ、それにより以前に知られているシグネチャに基づくシステムと比較してシグネチャマッチングプロセスを著しく高速化させる。与えられた非TCPパケット又はTCPデータストリームにおいてシグネチャマッチング情報が存在する場合には、そのパケット又はストリームはステップ380においてドロップされる。
マッチングシグネチャを包含することのないパケットは、解析中のパケットと関連するパケットフローとマッチするトラフィックシグネチャが存在するか否かを決定するために、ステップ385において、トラフィックシグネチャ検知ソフトウエアモジュール140へ通過される。マッチングするトラフィックシグネチャが存在し且つこれらのトラフィックシグネチャのうちのいずれかの内部カウンタが所定のスレッシュホールドを超えると(ステップ390,400)、MMIDPセンサー25a−dがMMIDP GUI40a−dにおいて表示されるべきアラームをステップ405において発生し、そのネットワークにおけるネットワークスイープ又はポートスキャンを表示する。
最後に、プロトコル違反及びマッチングするアタック及びトラフィックシグネチャを有することのないパケットの全てが、ステップ410においてIPルーターソフトウエアモジュール145及びIPフォアワーダーソフトウエアモジュール150によって経路付けされ且つそれらの適宜のネットワーク宛先へ転送される。当業者により理解されるように、図13に関連して上述した全てのステップはMMIDPセンサー25a−dにおける各新たなパケットの到着時に実施される。当業者により理解されるように、ステップ370,375,385は異なる順番で実施することが可能である。
次に図14を参照すると、ネットワーク侵入検知及び防止グラフィカルユーザインターフェースにより実施される例示的な機能の概略図が示されている。MMIDP GUI40a−dはネットワークへ接続されている任意のクライエントからアクセスすることが可能であり且つMMIDPサーバー30及びMMIDPセンサー25a−dの全ての機能性へのアクセスを提供する。コンフィギュレーションインターフェース420は、ネットワークセキュリティ管理者がMMIDPセンサー25a−dをインストールし且つそれらのメインテナンスに関連するその他のコンフィギュレーション機能を実施することを許容する。セキュリティポリシーエディター425は、ネットワークセキュリティ管理者が、どのトラフィックをインスペクトし且つどのアタックをMMIDPセンサー25a−dが探すべきであるかをネットワークセキュリティポリシーが定義することを特定することを可能とする。ログ及びアラームビュア430は、ネットワーク内において何が起こっているかを決定するためにMMIDPセンサー25a−d及びMMIDPサーバー30から来る情報を観察することを可能とする。ログはMMIDPセンサー25a−dを介して来るパケットアクティビティを記述し且つネットワークに関してアタックが試みられた場合にMMIDPセンサー25a−dによりアラームが発生される。アラームは新規、現実、誤り、又は閉じに分類され、即ち、アタックを試みるパケットがドロップされることに起因して最早アクティブでないアラームである。ネットワークセキュリティ管理者は、それらの日付、発信元IPアドレス、宛先IPアドレス等のその他の特定した基準に従って且つそれらがMMIDPセンサー25a−dによって発生される順番に従ってログを観察することが可能である。ログは実時間で及び異なるレベルの詳細で観察することが可能である。全てのログはバックアップされ且つMMIDPデータベース35内に格納される。
MMIDPセンサー25a−d及びMMIDPサーバー30により提供される情報はレポートで編成され、それは、例えばアタックにおいて使用されたトップのIPアドレス、トップのアタック、発生されたアラーム及びインシデントの数、及びアラームが実際のものか又は誤りのものであるかについてそうでなければ収集することが困難であるようなネットワーク統計へのアクセスを与える。該レポートは、レポートビュア435内に表示される。更に、ネットワークセキュリティ管理者は、MMIDPデータベース35内に格納されているシグネチャの組からどのシグネチャが新たなシグネチャを作成するのみならずアタックを検知し且つ防止するために使用するかを特定することが可能である。
最後に、ステータスビュア440は、ネットワークセキュリティ管理者が、MMIDPセンサー25a−d、MMIDPサーバー30、及びその他のネットワークリソースのステータスをモニタすることを可能とする。当業者により理解されるように、MMIDP GUI40a−dは、図14に関連して上述したもの以外の付加的な機能を実施することが可能である。
次に図15を参照すると、ネットワーク侵入検知及び防止中央管理サーバーにより実施される例示的の概略図が示されている。MMIDPサーバー30は格納、表示及び通知のためにMMIDPセンサー25a−d(445)からのログ及びアラーム、及びMMIDPセンサー25a−d(450)のステータスに関する情報を収集する。更に、MMIDPサーバー30は、ネットワークセキュリティポリシー(455)、アタックシグネチャ、ログ及びアラーム、及びその他のレポート用情報を格納するためにMMIDPデータベース35を維持する。MMIDPセンサー25a−dがアタック及びトラフィックシグネチャを内部への及び外部へのパケットに対してマッチする場合に、MMIDPサーバー30はMMIDPデータベース35内に格納されているネットワークセキュリティポリシー又はポリシーアップデートをセンサー(460)へ配布する。MMIDPサーバー30は、又はMMIDP GUI40a−d(465)を使用してネットワークセキュリティ管理者により新たなシグネチャが特定される度にMMIDPデータベース35をアップデートする責務を有する。当業者により理解されるように、MMIDPサーバー30は、図15に関連して上述したもの以外の付加的な機能を実施することが可能である。
次に図16を参照すると、FTPバウンスアタックがネットワーク上で急迫している場合にネットワーク侵入検知及び防止センサー、サーバー、グラフィカルユーザインターフェースにより取られる例示的なステップを例示したフローチャートが示されている。ステップ475において、ユーザはネットワーク内のFTPサーバーへ接続してファイルをダウンロードするか又はアップロードする。このことが起こると、FTPユーザのソフトウエアは、ステップ480において、FTPサーバーにそのファイルを送信するか又はそこから取られるべきIPアドレス及びポート番号を与える。このことは、FTP「ポート」コマンドを介して行われる。実際には、IPアドレスはユーザのものであるが、ポートコマンドはIPアドレスをユーザのアドレスへ制限するものではない。そのために、アタッカーは、FTPサーバーに対してユーザのアドレスと異なるIPアドレスへの接続を開くように告げ且つFTPサーバーからそれへファイルを転送させることが可能である。このアタックを検知するために、MMIDPセンサーは、ポートコマンドへの要求をユーザのIPアドレスと比較し且つそのIPアドレスがマッチ即ち一致しない場合には、ユーザへアラームを送信するか又はFTP接続を閉じることが必要である。
ステップ485において、ユーザはIPアドレスをユーザのIPアドレスとは異なるFTPサーバーへ送信する。ユーザのIPアドレスを包含するパケットがFTPサーバーへ到達する前に、MMIDPセンサーはステップ490において任意のパケットフラグメントを再構築し且つそのパケットをステップ495において内部へのFTPパケットフローへ編成する。ステップ500において、MMIDPセンサーはTCPパケットフラグメントをクライエント対サーバー及びサーバー対クライエントデータストリームへリアセンブルさせる。ステップ505において、MMIDPセンサーにおけるプロトコルアノマリー検知ソフトウエアモジュール130は、そのパケットがFTPポートコマンドの一部であるか否かをチェックする。そうである場合には、MMIDPセンサーは、ユーザのIPアドレスをポートコマンドにより特定されたものと比較する。ステップ510において、MMIDPは、ポートコマンドが存在していなかったか否か、又はIPアドレスがマッチするか否かをチェックする。いずれかが真である場合には、MMIDPセンサーはステップ520へスキップする。ポートコマンドが存在しており且つIPアドレスがマッチしなかった場合には、MMIDPセンサーは対応するFTPパケットをドロップし、MMIDPサーバー30へアラームを送信し、且つステップ515においてFTP接続を閉じる。最後に、ステップ520において、MMIDPサーバー30は、MMIDPセンサーからのログ及びパケット情報を収集し且つそれを表示のためにMMIDP GUI40a−dへ送信する。
次に、図17を参照すると、ネットワーク上でSMTP「wiz」アタックが急迫している場合にネットワーク侵入検知及び防止センサー、サーバー、グラフィカルユーザインターフェースにより取られる例示的なステップを例示したフローチャートが示されている。「wiz」アタックは、アタッカーがネットワークホスト上のルートアクセスを不法に獲得するためにある影響を受け易いSMTPサーバーを有するSMTPセッションにおいて「wiz」コマンドを使用する場合に発生する。成功すると、アタッカーはネットワークホストについて完全な制御を取り、更なるアタックを開始するためのプラットフォームとしてそれを使用し、Eメール及びその他のデータを窃取し、且つ究極的に、ネットワークリソースへのアクセスを獲得することが可能である。「wiz」ストリングは、しばしば、Eメール本体、受信者リスト等において表われる場合があるので、「コマンドモード」においてクライエント対サーバーSMTPフローの文脈内においてシグネチャマッチングが行われない場合に誤ったアラームを発生する高い蓋然性が存在している。
ステップ535において、ユーザはネットワーク内のSMTPサーバーへ接続してSMTPセッションを確立する。ステップ540において、SMTPサーバーはSYN及びACYパケットを交換することにより3ウエイハンドシェークを介してユーザとのTCP接続を確立する。TCP接続が確立されると、ユーザは、メール送信セッションがコマンドモードにある場合に、ステップ545において、「wiz」コマンドをSMTPメールサーバーへ送信する。ステップ550において、MMIDPセンサーはユーザにより送信されたパケットフラグメントを再構築する。再構築されたパケットはステップ555においてSMTPパケットフローへ編成される。ステップ560において、MMIDPセンサーはTCPパケットフラグメントをクライエント対サーバー及びサーバー対クライエントデータストリームへリアセンブルする。
クライエント対サーバーデータストリームにおいてSMTPコマンドが存在している場合には(ステップ565)、MMIDPセンサーはステップ570においてSMTPコマンドにおける「wiz」シグネチャをサーチする。シグネチャのマッチ即ち一致が見つかると、MMIDPセンサーはSMTPパケットをドロップし、MMIDPサーバー30へアラームを送信し、且つステップ575においてSMTP接続を閉じる。最後に、ステップ580において、MMIDPサーバー30は、MMIDPセンサーからログ及びパケット情報を収集し且つそれを表示のためにMMIDP GUI40a−dへ送信する。
本発明の特定の実施例について詳細に上述したが、この説明は単に例示目的のために過ぎないことが理解される。本発明の特定の特徴は幾つかの図面において示されておりその他においては示されていないが、それは単に便宜的なものであって、いずれかの特徴を本発明に基づいてその他の特徴と結合させることが可能である。上述したプロセスのステップは並び替えるか又は結合することが可能であり、且つその他のステップを包含させることが可能である。更なる変形例はこの開示に鑑み当業者にとって自明であり、且つこのような変形例は本発明の技術的範囲内に該当することが意図されている。
ファイアウォール及びネットワーク侵入検知システムにより保護されている従来のネットワーク環境の概略図。 MMIDPシステムの開示した例において使用されるソフトウエア及びハードウエアコンポーネントの概略図。 本発明のシステム及び方法が動作する好適なMMIDPシステム及びネットワーク環境の概略図。 本発明のシステム及び方法が動作する別のMMIDPシステム及びネットワーク環境の概略図。 本発明のシステム及び方法が動作する更に別のMMIDPシステム及びネットワーク環境の概略図。 ネットワーク侵入検知及び防止センサーにおいて使用される例示的なソフトウエアモジュールの概略図。 フローマネージャソフトウエアモジュールにより構成される例示的なフローテーブル。 新たなパケットがネットワーク侵入検知及び防止センサーに到着する場合にフローマネージャソフトウエアモジュールにより取られる例示的なステップを示したフローチャート。 ゲートウエイモードで稼動しているネットワーク侵入検知及び防止センサーにパケットが到着する場合にプロトコルアノマリー検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャート。 プライベートネットワークによりサポートされるプロトコルの例示的なテーブル。 ゲートウエイモードで稼動しているネットワーク侵入検知及び防止センサーにパケットが到着する場合にステートフルシグネチャ検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャート。 ゲートウエイモードで稼動しているネットワーク侵入検知及び防止センサーにパケットが到着する場合にトラフィックシグネチャ検知ソフトウエアモジュールにより取られる例示的なステップを示したフローチャート。 内部への又は外部へのパケットの有効性を決定する場合にネットワーク侵入検知及び防止センサーにより取られる例示的なステップを示したフローチャート。 ネットワーク侵入検知及び防止グラフィカルユーザインターフェースにより実施される例示的な機能の概略図。 ネットワーク侵入検知及び防止中央管理サーバーにより実施される例示的な機能な概略図。 ネットワーク上でFTPバウンスアタックが急迫している場合のネットワーク侵入検知及び防止センサー、サーバー、グラフィカルユーザインターフェースにより取られる例示的なステップを例示したフローチャート。 SMTP「wiz」アタックがネットワーク上で急迫している場合にネットワーク侵入検知及び防止センサー、サーバー、グラフィカルユーザインターフェースにより取られる例示的なステップを例示したフローチャート。

Claims (75)

  1. ネットワークトラフィックにおけるセキュリティブリーチを検知し且つ防止する方法において、
    ネットワークトラフィックにおける複数個のTCPパケットをTCPストリームへリアセンブルし、
    セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトし、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含している場合には前記TCPストリームから1個のTCPパケットをドロップし、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含していない場合には前記TCPストリームから1個のTCPパケットをネットワーク宛先へ転送する、
    ことを有する方法。
  2. 請求項1において、セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトする場合に、プロトコル違反について前記TCPストリームをインスペクトすることを包含している方法。
  3. 請求項1において、セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトする場合に、アタックシグネチャについて前記TCPストリームをサーチすることを包含している方法。
  4. 請求項3において、アタックシグネチャについて前記TCPストリームをサーチする場合に、ステートフルシグネチャ検知を使用することを包含している方法。
  5. 請求項1において、セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトする場合に、複数個のネットワーク侵入検知方法を使用することを包含している方法。
  6. 請求項5において、前記複数個のネットワーク侵入検知方法が少なくともプロトコルアノマリー検知を包含している方法。
  7. 請求項5において、前記複数個のネットワーク侵入検知方法が少なくともシグネチャ検知を包含している方法。
  8. 請求項1において、更に、前記複数個のTCPパケットをパケットフロー及びセッションへグループ化することを包含している方法。
  9. 請求項1において、更に、前記パケットフローをパケットフロー記述子内に格納することを包含している方法。
  10. 請求項9において、更に、トラフィックシグネチャについて前記パケットフロー記述子をサーチすることを包含している方法。
  11. 請求項9において、前記TCPストリームをインスペクトする場合に、前記TCPストリームと関連する前記パケットフロー記述子及びセッションに基づいて前記TCPストリーム内のネットワークアタック識別子をサーチすることを包含している方法。
  12. 請求項11において、前記ネットワークアタック識別子がプロトコル違反を包含している方法。
  13. 請求項11において、前記ネットワークアタック識別子がアタックシグネチャを包含している方法。
  14. 請求項11において、前記ネットワークアタック識別子が複数個のネットワークアタック識別子を包含している方法。
  15. 請求項14において、前記複数個のネットワークアタック識別子が少なくともプロトコル違反を包含している方法。
  16. 請求項14において、前記複数個のネットワークアタック識別子が少なくともアタックシグネチャを包含している方法。
  17. 請求項13において、前記アタックシグネチャ及び前記トラフィックシグネチャがシグネチャデータベース内に格納されている方法。
  18. 請求項8において、前記複数個のTCPパケットをパケットフローとセッションとにグループ化する場合に、前記パケットフロー及びセッションをハッシュテーブル内に格納することを包含している方法。
  19. 請求項18において、前記パケットフロー及びセッションをハッシュテーブル内に格納する場合に、発信元IPアドレス、宛先IPアドレス、発信元ポート、宛先ポート、プロトコルタイプからなる5タプルからハッシュ値を計算することを包含している方法。
  20. 請求項2において、プロトコル違反について前記TCPストリームをインスペクトする場合に、
    プロトコルデータベースにおいてネットワークによりサポートされる複数個のプロトコル仕様を格納し、
    前記パケットフロー及びセッション内の前記複数個のTCPパケットが前記プロトコルデータベース内の前記複数個のプロトコル仕様のうちの1つ又はそれ以上に準拠しているか否かを決定するために前記プロトコルデータベースに照会する、
    ことを包含している方法。
  21. 請求項3において、アタックシグネチャについて前記TCPストリームをサーチする場合に、前記TCPストリーム内にマッチングするシグネチャが存在するか否かを決定するために前記シグネチャデータベースを照会することを包含している方法。
  22. 請求項21において、前記TCPストリーム内にマッチングするシグネチャが存在するか否かを決定する場合に、パターンマッチング用のDFAを使用することを包含している方法。
  23. 請求項1において、更に、複数個のパケットフラグメントから前記複数個のTCPパケットを再構築することを包含している方法。
  24. ネットワークトラフィックにおけるセキュリティブリーチを検知し且つ防止するシステムにおいて、
    ネットワークトラフィックにおける複数個のTCPパケットをTCPストリームへリアセンブルするためのTCPリアセンブリソフトウエアモジュール、
    セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含している場合に前記TCPストリームから1個のTCPパケットをドロップするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含していない場合に前記TCPストリームから1個のTCPパケットをネットワーク宛先へ転送するためのソフトウエアモジュール、
    を有しているシステム。
  25. 請求項24において、更に、複数個のパケットフラグメントを前記複数個のTCPパケットへ再構築するためのIPデフラグメンテーションソフトウエアモジュールを有しているシステム。
  26. 請求項24において、更に、前記複数個のTCPパケットをパケットフローとセッションとにグループ化するためのフローマネージャソフトウエアモジュールを有しているシステム。
  27. 請求項26において、前記フローマネージャソフトウエアモジュールが前記パケットフロー及びセッションをハッシュテーブル内に格納するためのルーチンを有しているシステム。
  28. 請求項27において、前記パケットフロー及びセッションをハッシュテーブル内に格納するためのルーチンが、前記パケットフローをパケットフロー記述子内に格納するためのルーチンを有しているシステム。
  29. 請求項27において、前記パケットフロー及びセッションをハッシュテーブル内に格納するルーチンが、発信元IPアドレスと、宛先IPアドレスと、発信元ポートと、宛先ポートと、プロトコルタイプとからなる5タプルからハッシュ値を計算するためのルーチンを有しているシステム。
  30. 請求項24において、セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトするためのソフトウエアモジュールが、プロトコルアノマリー検知ソフトウエアモジュールを有しているシステム。
  31. 請求項24において、セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトするためのソフトウエアモジュールが、ステートフルシグネチャ検知ソフトウエアモジュールを有しているシステム。
  32. 請求項28において、更に、トラフィックシグネチャについて前記パケットフロー記述子をサーチするためのトラフィックシグネチャ検知ソフトウエアモジュールを有しているシステム。
  33. 請求項24において、セキュリティブリーチを表わす情報について前記TCPストリームをインスペクトするためのソフトウエアモジュールが複数個のソフトウエアモジュールを有しているシステム。
  34. 請求項33において、前記複数個のソフトウエアモジュールが少なくともプロトコルアノマリー検知ソフトウエアモジュールを有しているシステム。
  35. 請求項33において、前記複数個のソフトウエアモジュールが少なくともステートフルシグネチャ検知ソフトウエアモジュールを有しているシステム。
  36. 請求項34において、前記プロトコルアノマリー検知ソフトウエアモジュールが、
    ネットワークによりサポートされる複数個のプロトコル仕様をプロトコルデータベース内に格納するためのルーチン、
    前記パケットフロー及びセッション内の前記複数個のTCPパケットが前記プロトコルデータベース内の前記複数個のプロトコル仕様のうちの1つ又はそれ以上に準拠するものであるか否かを決定するために前記プロトコルデータベースを照会するためのルーチン、
    を有しているシステム。
  37. 請求項36において、前記プロトコル仕様が、TCPプロトコル、HTTPプロトコル、SMTPプロトコル、FTPプロトコル、NETBIOSプロトコル、IMATプロトコル、POP3プロトコル、TELNETプロトコル、IRCプロトコル、RSHプロトコル、REXECプロトコル、RCMDプロトコルのうちの1つ又はそれ以上の仕様を有しているシステム。
  38. 請求項35において、前記ステートフルシグネチャ検知ソフトウエアモジュールが、前記TCPストリーム内にマッチングするアタックシグネチャが存在するか否かを決定するためにシグネチャデータベースを照会するルーチンを有しているシステム。
  39. 請求項38において、前記ルーチンがパターンマッチング用のDFAを使用することを包含しているシステム。
  40. 請求項24において、更に、
    前記TCPストリームにおいて見つかったセキュリティブリーチに関するアラーム記録情報及び複数個のセキュリティログを収集するためのルーチン、
    インスペクトすべきネットワークトラフィックを識別するネットワークセキュリティポリシー及び検知し且つ防止すべき複数個のネットワークアタックを格納するためのルーチン、
    前記ネットワークセキュリティポリシーをネットワーク内の1つ又はそれ以上のゲートウエイポイントへ配布するためのルーチン、
    前記プロトコルデータベース及び前記シグネチャデータベースをアップデートするためのルーチン、
    を有しているシステム。
  41. 請求項24において、更に、
    ネットワークセキュリティアドミニストレーターに対してネットワークセキュリティ情報を表示するためのルーチン、
    ネットワークセキュリティポリシーを特定するためのルーチン、
    を有しているグラフィカルユーザインターフェースを有しているシステム。
  42. ネットワークトラフィックにおけるセキュリティブリーチを検知し且つ防止するシステムにおいて、
    ネットワークゲートウエイに配置されたネットワーク侵入検知及び防止センサーであって、
    複数個のTCPパケットをTCPストリームへリアセンブルするためのルーチン、
    セキュリティブリーチを表わす情報を検知するために前記TCPストリームをインスペクトするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含している場合には前記TCPストリームから1個のTCPパケットをドロップするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含していない場合には前記TCPストリームから1個のTCPパケットをネットワーク宛先転送するためのソフトウエアモジュール、
    を有しているネットワーク侵入検知及び防止センサー、
    前記ネットワーク侵入検知及び防止センサーを制御するための中央管理サーバー、
    前記ネットワーク侵入検知及び防止センサーを形態特定するためのグラフィカルユーザインターフェース、
    を有しているシステム。
  43. 請求項42において、前記ネットワーク侵入検知及び防止センサーがファイアウォール内に配置されているシステム。
  44. 請求項42において、前記ネットワーク侵入検知及び防止センサーがファイアウォール外部に配置されているシステム。
  45. 請求項42において、前記ネットワーク侵入検知及び防止センサーが、更に、複数個のパケットフラグメントを前記複数個のTCPパケットへ再構築するためのIPデフラグメンテーションソフトウエアモジュールを有しているシステム。
  46. 請求項42において、前記ネットワーク侵入検知及び防止センサーが、更に、前記TCPストリームがネットワークを介してネットワークセキュリティブリーチを表わす情報を包含していない場合に前記TCPストリームから1個のTCPパケットのルーチングを行うためのIPルーターソフトウエアモジュールを有しているシステム。
  47. 請求項42において、前記ネットワーク侵入検知及び防止センサーが、更に、前記複数個のパケットをパケットフローとセッションとにグループ化するためのフローマネージャソフトウエアモジュールを有しているシステム。
  48. 請求項47において、前記フローマネージャソフトウエアモジュールが、前記パケットフローをパケットフロー記述子内に格納するためのルーチンを有しているシステム。
  49. 請求項42において、セキュリティブリーチを表わす情報をインスペクトするためのソフトウエアモジュールがプロトコルアノマリー検知ソフトウエアモジュールを有しているシステム。
  50. 請求項42において、セキュリティブリーチを表わす情報をインスペクトするためのソフトウエアモジュールがステートフルシグネチャ検知ソフトウエアモジュールを有しているシステム。
  51. 請求項48において、更に、トラフィックシグネチャについて前記パケットフロー記述子をサーチするためのトラフィックシグネチャ検知ソフトウエアモジュールを有しているシステム。
  52. 請求項42において、セキュリティブリーチを表わす情報をインスペクトするためのソフトウエアモジュールが複数個のソフトウエアモジュールを有しているシステム。
  53. 請求項52において、前記複数個のソフトウエアモジュールが少なくともプロトコルアノマリー検知ソフトウエアモジュールを有しているシステム。
  54. 請求項52において、前記複数個のソフトウエアモジュールが少なくともステートフルシグネチャ検知ソフトウエアモジュールを有しているシステム。
  55. 請求項42において、前記中央管理サーバーが、
    前記TCPストリームにおいて見つかったセキュリティブリーチに関するアラーム記録情報及び複数個のセキュリティログを吸収するためのルーチン、
    インスペクトすべきネットワークトラフィックを識別するネットワークセキュリティポリシー及び検知し且つ防止すべき複数個のネットワークアタックを格納するためのルーチン、
    前記ネットワークセキュリティポリシーを前記ネットワーク侵入検知及び防止センサーへ配布するためのルーチン、
    を有しているシステム。
  56. 請求項42において、前記グラフィカルユーザインターフェースが、
    ネットワークセキュリティ情報をネットワークセキュリティアドミニストレーターに対して表示するためのルーチン、
    前記ネットワーク侵入検知及び防止センサーに関するステータス情報を表示するためのルーチン、
    ネットワークセキュリティポリシーを特定するためのルーチン、
    を有しているシステム。
  57. ネットワークゲートウエイにおいてネットワークセキュリティブリーチを検知し且つ防止するためのネットワーク侵入検知及び防止センサーにおいて、
    複数個のパケットをパケットフローとセッションとにグループ化するためのフローマネージャソフトウエアモジュール、
    前記複数個のパケットからの複数個のTCPパケットをTCPストリームへリアセンブルするためのTCPリアセンブリソフトウエアモジュール、
    セキュリティブリーチを表わす情報を検知するために前記パケット及びセッションに従って前記TCPストリームをインスペクトするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含している場合に前記複数個のパケットから1個のパケットをドロップするためのソフトウエアモジュール、
    前記TCPストリームがセキュリティブリーチを表わす情報を包含していない場合に前記複数個のパケットから1個のパケットをネットワーク宛先へ転送するためのソフトウエアモジュール、
    を有しているネットワーク侵入検知及び防止センサー。
  58. 請求項57において、更に、複数個のパケットフラグメントを前記複数個のTCPパケットへ再構築するためのIPデフラグメンテーションソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  59. 請求項57において、更に、前記TCPストリームがネットワークを介してネットワークセキュリティブリーチを表わす情報を包含していない場合には前記TCPストリームから1個のTCPパケットのルーチングを行うためのIPルーターソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  60. 請求項57において、前記ネットワーク侵入検知及び防止センサーが、インスペクトすべきネットワークトラフィック及び検知し且つ防止すべき複数個のネットワークアタックを特定するネットワークセキュリティポリシーにより制御されるネットワーク侵入検知及び防止センサー。
  61. 請求項60において、前記ネットワークセキュリティポリシーがグラフィカルユーザインターフェースを使用してネットワークセキュリティアドミニストレーターにより定義されるネットワーク侵入検知及び防止センサー。
  62. 請求項57において、前記グラフィカルユーザインターフェースが、
    ネットワークセキュリティアドミニストレーターに対してネットワークセキュリティ情報を表示するためのルーチン、
    前記ネットワーク侵入検知及び防止センサーに関するステータス情報を表示するためのルーチン、
    前記ネットワークセキュリティポリシーを特定するためのルーチン、
    を有しているネットワーク侵入検知及び防止センサー。
  63. 請求項60において、前記セキュリティポリシーが格納されており且つ中央管理サーバーにより前記ネットワーク侵入検知及び防止センサーへ配布されるネットワーク侵入検知及び防止センサー。
  64. 請求項63において、前記中央管理サーバーが前記TCPストリームにおいて見つかったセキュリティブリーチに関するアラーム記録情報及び複数個のセキュリティログを収集するためのルーチンを有しているネットワーク侵入検知及び防止センサー。
  65. 請求項57において、セキュリティブリーチを表わす情報を検知するためにパケットフロー及びセッションに基づいて前記TCPストリームをインスペクトするためのソフトウエアモジュールがプロトコルアノマリー検知ソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  66. 請求項57において、セキュリティブリーチを表わす情報を検知するためにパケットフローとセッションとに基づいて前記TCPストリームをインスペクトするためのソフトウエアモジュールがステートフルシグネチャ検知ソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  67. 請求項58において、セキュリティブリーチを表わす情報を検知するためにパケットフローとセッションとに基づいて前記複数個のパケットをインスペクトするためのソフトウエアモジュールが複数個のソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  68. 請求項67において、前記複数個のソフトウエアモジュールが少なくともプロトコルアノマリー検知ソフトウエアモジュールを有しているネットワーク侵入検知および防止センサー。
  69. 請求項67において、前記複数個のソフトウエアモジュールが少なくともステートフルシグネチャ検知ソフトウエアモジュールを有しているネットワーク侵入検知及び防止センサー。
  70. FTP接続期間中にセキュリティブリーチを防止する方法において、
    パケットフラグメントを再構築し且つ前記パケットフラグメントをFTPパケットフローへ編成し、
    複数個のTCPフラグメントをTCPストリームへリアセンブルし、
    前記FTPパケットフローがFTPポートコマンドの一部であるか否かを決定し且つユーザのIPアドレスと前記TCPストリームにおいて見つかったいずれかのポートコマンドのIPアドレスとを比較することを包含して前記TCPストリームをプロトコルアノマリーについてインスペクトし、
    前記FTPパケットフローがFTPポートコマンドの一部であり且つ前記ユーザのIPアドレスがポートコマンドと関連するIPアドレスと一致する場合には、前記FTPパケットフローをドロップし且つ前記FTP接続を閉じる、
    ことを包含している方法。
  71. FTP接続期間中にセキュリティブリーチを防止するシステムにおいて、
    IPアドレスユーザを包含するFTPパケットがFTPサーバーへ到達する前にいずれかのパケットフラグメントを再構築し、
    前記パケットフラグメントをFTPパケットフローへ編成し、
    複数個のTCPフラグメントをTCPストリームへリアセンブルする、
    ためのネットワーク侵入及び検知センサー、
    前記FTPパケットフローがFTPポートコマンドの一部であるか否かを決定することにより前記TCPストリームをプロトコルアノマリーについてインスペクトするためのソフトウエアモジュール、
    を有しており、
    前記FTPパケットフローがFTPポートコマンドの一部であることを前記ソフトウエアモジュールが決定する場合には、ユーザのIPアドレスを前記TCPストリームにおいて見つかったいずれかのポートコマンドのIPアドレスと比較すべく前記センサーを形態特定し、
    前記ユーザのIPアドレスが前記ポートコマンドと関連するIPアドレスと一致しないことを前記センサーが決定する場合には、前記FTPパケットフローをドロップし且つ前記FTP接続を閉じるために前記センサーを形態特定させる、
    ことを包含しているシステム。
  72. SMTP接続期間中にセキュリティブリーチを防止する方法において、
    ユーザにより送られたパケットフラグメントを再構築し、
    前記パケットフラグメントをSMTPパケットフローへ編成し、
    複数個のTCPパケットフラグメントをTCPストリームへリアセンブルし、
    前記TCPストリーム内にSMTPコマンドが存在するか否かを決定し且つ前記SMTPコマンドにおいてアタックシグネチャをサーチすることを包含してアタックシグネチャについて前記TCPストリームをインスペクトし、
    前記TCPストリーム内にSMTPコマンドが存在し且つ前記SMTPコマンド内にアタックシグネチャが見つかった場合には、前記SMTPパケットフローをドロップし且つ前記SMTP接続を閉じる、
    ことを包含している方法。
  73. 請求項72において、前記アタックシグネチャがwizコマンドである方法。
  74. SMTP接続期間中にセキュリティブリーチを防止するシステムにおいて、
    ユーザにより送られたパケットフラグメントを再構築し、前記パケットフラグメントをSMTPパケットフローへ編成し、複数個のTCPパケットフラグメントをTCPストリームへリアセンブルさせるネットワーク侵入及び検知センサー、
    最初に前記TCPストリーム内にSMTPコマンドが存在するか否かを決定することによりアタックシグネチャについて前記TCPストリームをインスペクトするためのソフトウエアモジュール、
    を有しており、
    前記TCPストリーム内にSMTPコマンドが存在していることを前記ソフトウエアモジュールが決定する場合には、前記SMTPコマンド内のアタックシグネチャをサーチするために前記センサーを形態特定し、
    前記SMTPコマンドにおいて前記センサーがアタックシグネチャを検知する場合には、前記SMTPパケットフローをドロップし且つ前記SMTP接続を閉じるために前記センサーが更に形態特定される、
    ことを包含しているシステム。
  75. 請求項74において、前記アタックシグネチャがwizコマンドであるシステム。
JP2003567028A 2002-02-08 2003-02-07 マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法 Pending JP2005517349A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/072,683 US8370936B2 (en) 2002-02-08 2002-02-08 Multi-method gateway-based network security systems and methods
PCT/US2003/003652 WO2003067810A1 (en) 2002-02-08 2003-02-07 Multi-method gateway-based network security systems and methods

Publications (1)

Publication Number Publication Date
JP2005517349A true JP2005517349A (ja) 2005-06-09

Family

ID=27659532

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003567028A Pending JP2005517349A (ja) 2002-02-08 2003-02-07 マルチメッソドゲートウエイに基づいたネットワークセキュリティシステム及び方法

Country Status (6)

Country Link
US (3) US8370936B2 (ja)
EP (2) EP2555486B1 (ja)
JP (1) JP2005517349A (ja)
CN (1) CN1656731B (ja)
AU (1) AU2003215085A1 (ja)
WO (1) WO2003067810A1 (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005301551A (ja) * 2004-04-09 2005-10-27 Hitachi Ltd セキュリティ対策システム及び統合セキュリティシステム
JP2010512703A (ja) * 2006-12-12 2010-04-22 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ 移動体電話機用ストリーミング・メディア・サービス
JP2016515316A (ja) * 2013-02-11 2016-05-26 キュー テレコム リミテッド 通信装置
JP2018142927A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 マルウェア不正通信対処システム及び方法

Families Citing this family (391)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US20060212572A1 (en) * 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7356027B1 (en) * 2001-09-18 2008-04-08 Ipolicy Networks Inc. Application decoding engine for computer networks
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7458098B2 (en) 2002-03-08 2008-11-25 Secure Computing Corporation Systems and methods for enhancing electronic communication security
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
US7558873B1 (en) 2002-05-08 2009-07-07 Nvidia Corporation Method for compressed large send
US20030212735A1 (en) * 2002-05-13 2003-11-13 Nvidia Corporation Method and apparatus for providing an integrated network of processors
US7532895B2 (en) * 2002-05-20 2009-05-12 Air Defense, Inc. Systems and methods for adaptive location tracking
US7657616B1 (en) 2002-06-10 2010-02-02 Quest Software, Inc. Automatic discovery of users associated with screen names
US20030225655A1 (en) * 2002-06-05 2003-12-04 Hughes John T. Market participant interest dissemination process and method
US7774832B2 (en) * 2002-06-10 2010-08-10 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
US7428590B2 (en) * 2002-06-10 2008-09-23 Akonix Systems, Inc. Systems and methods for reflecting messages associated with a target protocol within a network
US7707401B2 (en) 2002-06-10 2010-04-27 Quest Software, Inc. Systems and methods for a protocol gateway
US7818565B2 (en) * 2002-06-10 2010-10-19 Quest Software, Inc. Systems and methods for implementing protocol enforcement rules
CA2488731A1 (en) * 2002-06-10 2003-12-18 Akonix Systems, Inc. Systems and methods for a protocol gateway
US20080196099A1 (en) * 2002-06-10 2008-08-14 Akonix Systems, Inc. Systems and methods for detecting and blocking malicious content in instant messages
US7437548B1 (en) 2002-07-11 2008-10-14 Nvidia Corporation Network level protocol negotiation and operation
US7441262B2 (en) * 2002-07-11 2008-10-21 Seaway Networks Inc. Integrated VPN/firewall system
US8788650B1 (en) * 2002-07-19 2014-07-22 Fortinet, Inc. Hardware based detection devices for detecting network traffic content and methods of using the same
US8117639B2 (en) 2002-10-10 2012-02-14 Rocksteady Technologies, Llc System and method for providing access control
EP1559222B1 (en) * 2002-10-18 2010-03-24 Broadcom Corporation System and method for receive queue provisioning
US20050033989A1 (en) * 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7353538B2 (en) 2002-11-08 2008-04-01 Federal Network Systems Llc Server resource management, analysis, and intrusion negation
US7376732B2 (en) * 2002-11-08 2008-05-20 Federal Network Systems, Llc Systems and methods for preventing intrusion at a web host
US7397797B2 (en) * 2002-12-13 2008-07-08 Nvidia Corporation Method and apparatus for performing network processing functions
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
MY141160A (en) * 2003-01-13 2010-03-31 Multimedia Glory Sdn Bhd System and method of preventing the transmission of known and unknown electronic content to and from servers or workstations connected to a common network
US20040242328A1 (en) * 2003-03-05 2004-12-02 Blackburn Christopher W. Boot service in a service-oriented gaming network environment
US8308567B2 (en) * 2003-03-05 2012-11-13 Wms Gaming Inc. Discovery service in a service-oriented gaming network environment
US8296452B2 (en) * 2003-03-06 2012-10-23 Cisco Technology, Inc. Apparatus and method for detecting tiny fragment attacks
US20040243848A1 (en) * 2003-03-06 2004-12-02 Blackburn Christopher W. Authentication service in a service-oriented gaming network environment
US7185015B2 (en) * 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
US20040242331A1 (en) * 2003-03-17 2004-12-02 Blackburn Christopher W. Time service in a service-oriented gaming network environment
US7991751B2 (en) * 2003-04-02 2011-08-02 Portauthority Technologies Inc. Method and a system for information identification
US7356585B1 (en) 2003-04-04 2008-04-08 Raytheon Company Vertically extensible intrusion detection system and method
US7293238B1 (en) 2003-04-04 2007-11-06 Raytheon Company Graphical user interface for an enterprise intrusion detection system
US7895649B1 (en) * 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US7325002B2 (en) 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
GB0308037D0 (en) * 2003-04-08 2003-05-14 Ibm Attentiveness monitoring in multicast systems
CA2464797A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. Remote authentication of gaming software in a gaming system environment
CA2464514A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. Secured networks in a gaming system environment
US20040259640A1 (en) * 2003-04-16 2004-12-23 Gentles Thomas A. Layered security methods and apparatus in a gaming system environment
CA2464788A1 (en) * 2003-04-16 2004-10-16 Wms Gaming Inc. A gaming software distribution network in a gaming system environment
WO2004097584A2 (en) * 2003-04-28 2004-11-11 P.G.I. Solutions Llc Method and system for remote network security management
US7308716B2 (en) * 2003-05-20 2007-12-11 International Business Machines Corporation Applying blocking measures progressively to malicious network traffic
US20050227768A1 (en) * 2003-05-27 2005-10-13 Blackburn Christopher W Gaming network environment having a language translation service
US7318097B2 (en) * 2003-06-17 2008-01-08 International Business Machines Corporation Security checking program for communication between networks
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US7620070B1 (en) 2003-06-24 2009-11-17 Nvidia Corporation Packet processing with re-insertion into network interface circuitry
US7359983B1 (en) * 2003-06-24 2008-04-15 Nvidia Corporation Fragment processing utilizing cross-linked tables
US7913294B1 (en) 2003-06-24 2011-03-22 Nvidia Corporation Network protocol processing for filtering packets
US7359380B1 (en) 2003-06-24 2008-04-15 Nvidia Corporation Network protocol processing for routing and bridging
US8984644B2 (en) * 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8296847B2 (en) * 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center
US7565690B2 (en) * 2003-08-04 2009-07-21 At&T Intellectual Property I, L.P. Intrusion detection
US7266754B2 (en) * 2003-08-14 2007-09-04 Cisco Technology, Inc. Detecting network denial of service attacks
US7624438B2 (en) 2003-08-20 2009-11-24 Eric White System and method for providing a secure connection between networked computers
JP3999188B2 (ja) 2003-10-28 2007-10-31 富士通株式会社 不正アクセス検知装置、不正アクセス検知方法および不正アクセス検知プログラム
US7639714B2 (en) 2003-11-12 2009-12-29 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for detecting payload anomaly using n-gram distribution of normal data
US7574603B2 (en) * 2003-11-14 2009-08-11 Microsoft Corporation Method of negotiating security parameters and authenticating users interconnected to a network
US7743420B2 (en) 2003-12-02 2010-06-22 Imperva, Inc. Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications
WO2005062233A2 (en) * 2003-12-16 2005-07-07 Applied Identity Computer security system
WO2005069578A1 (en) * 2004-01-05 2005-07-28 Corrent Corporation Method and apparatus for network intrusion detection system
US7203961B1 (en) * 2004-01-09 2007-04-10 Cisco Technology, Inc. Preventing network reset denial of service attacks
US7472416B2 (en) * 2004-01-09 2008-12-30 Cisco Technology, Inc. Preventing network reset denial of service attacks using embedded authentication information
US7114181B2 (en) * 2004-01-16 2006-09-26 Cisco Technology, Inc. Preventing network data injection attacks
US7257840B2 (en) * 2004-01-16 2007-08-14 Cisco Technology, Inc. Preventing network data injection attacks using duplicate-ACK and reassembly gap approaches
WO2005071923A1 (en) * 2004-01-20 2005-08-04 Intrusic, Inc Systems and methods for monitoring data transmissions to detect a compromised network
US8543710B2 (en) 2004-03-10 2013-09-24 Rpx Corporation Method and system for controlling network access
US20050204022A1 (en) * 2004-03-10 2005-09-15 Keith Johnston System and method for network management XML architectural abstraction
US7665130B2 (en) 2004-03-10 2010-02-16 Eric White System and method for double-capture/double-redirect to a different location
US7610621B2 (en) 2004-03-10 2009-10-27 Eric White System and method for behavior-based firewall modeling
US7590728B2 (en) 2004-03-10 2009-09-15 Eric White System and method for detection of aberrant network behavior by clients of a network access gateway
US7509625B2 (en) * 2004-03-10 2009-03-24 Eric White System and method for comprehensive code generation for system management
FR2868230B1 (fr) * 2004-03-25 2012-06-08 Netasq Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique
DE102004016582A1 (de) * 2004-03-31 2005-10-27 Nec Europe Ltd. Verfahren zur Überwachung und zum Schutz eines privaten Netzwerks vor Angriffen aus einem öffentlichen Netz
US7730294B2 (en) * 2004-06-04 2010-06-01 Nokia Corporation System for geographically distributed virtual routing
CN100435526C (zh) * 2004-07-21 2008-11-19 威达电股份有限公司 网络安全动态侦测系统及方法
US20060026678A1 (en) * 2004-07-29 2006-02-02 Zakas Phillip H System and method of characterizing and managing electronic traffic
US7562389B1 (en) * 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US8176126B2 (en) 2004-08-26 2012-05-08 International Business Machines Corporation System, method and program to limit rate of transferring messages from suspected spammers
WO2006031496A2 (en) * 2004-09-10 2006-03-23 The Regents Of The University Of California Method and apparatus for deep packet inspection
US7630381B1 (en) * 2004-09-27 2009-12-08 Radix Holdings, Llc Distributed patch distribution
US7451486B2 (en) 2004-09-30 2008-11-11 Avaya Inc. Stateful and cross-protocol intrusion detection for voice over IP
TWI250751B (en) * 2004-10-01 2006-03-01 Realtek Semiconductor Corp Apparatus and method for IP allocation
US7565694B2 (en) * 2004-10-05 2009-07-21 Cisco Technology, Inc. Method and apparatus for preventing network reset attacks
US7600257B2 (en) 2004-10-13 2009-10-06 Sonicwall, Inc. Method and an apparatus to perform multiple packet payloads analysis
US7835361B1 (en) 2004-10-13 2010-11-16 Sonicwall, Inc. Method and apparatus for identifying data patterns in a file
KR100611741B1 (ko) * 2004-10-19 2006-08-11 한국전자통신연구원 네트워크 침입 탐지 및 방지 시스템 및 그 방법
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7478424B2 (en) * 2004-11-30 2009-01-13 Cymtec Systems, Inc. Propagation protection within a network
US7694334B2 (en) * 2004-12-03 2010-04-06 Nokia Corporation Apparatus and method for traversing gateway device using a plurality of batons
US8306023B2 (en) * 2004-12-20 2012-11-06 Hewlett-Packard Development Company, L.P. Smuggling and recovery of non-packet information
US7917955B1 (en) 2005-01-14 2011-03-29 Mcafee, Inc. System, method and computer program product for context-driven behavioral heuristics
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7624446B1 (en) * 2005-01-25 2009-11-24 Symantec Corporation Efficient signature packing for an intrusion detection system
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7810151B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
US7769851B1 (en) 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
KR100666947B1 (ko) * 2005-02-01 2007-01-10 삼성전자주식회사 근거리 무선통신단말의 네트워크 접근방법 및 그네트워크시스템
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
KR100608136B1 (ko) * 2005-02-18 2006-08-08 재단법인서울대학교산학협력재단 티씨피 연결의 스테이트풀 인스펙션에 있어서의 보안성능향상방법
US8095983B2 (en) 2005-03-15 2012-01-10 Mu Dynamics, Inc. Platform for analyzing the security of communication protocols and channels
US8095982B1 (en) 2005-03-15 2012-01-10 Mu Dynamics, Inc. Analyzing the security of communication protocols and channels for a pass-through device
US7492771B2 (en) * 2005-04-01 2009-02-17 International Business Machines Corporation Method for performing a packet header lookup
US7881332B2 (en) * 2005-04-01 2011-02-01 International Business Machines Corporation Configurable ports for a host ethernet adapter
US7577151B2 (en) * 2005-04-01 2009-08-18 International Business Machines Corporation Method and apparatus for providing a network connection table
US7697536B2 (en) * 2005-04-01 2010-04-13 International Business Machines Corporation Network communications for operating system partitions
US7706409B2 (en) * 2005-04-01 2010-04-27 International Business Machines Corporation System and method for parsing, filtering, and computing the checksum in a host Ethernet adapter (HEA)
US7508771B2 (en) * 2005-04-01 2009-03-24 International Business Machines Corporation Method for reducing latency in a host ethernet adapter (HEA)
US7903687B2 (en) * 2005-04-01 2011-03-08 International Business Machines Corporation Method for scheduling, writing, and reading data inside the partitioned buffer of a switch, router or packet processing device
US20060221953A1 (en) * 2005-04-01 2006-10-05 Claude Basso Method and apparatus for blind checksum and correction for network transmissions
US7586936B2 (en) * 2005-04-01 2009-09-08 International Business Machines Corporation Host Ethernet adapter for networking offload in server environment
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US20070016767A1 (en) * 2005-07-05 2007-01-18 Netdevices, Inc. Switching Devices Avoiding Degradation of Forwarding Throughput Performance When Downloading Signature Data Related to Security Applications
US20070011448A1 (en) * 2005-07-06 2007-01-11 Microsoft Corporation Using non 5-tuple information with IPSec
US8572733B1 (en) 2005-07-06 2013-10-29 Raytheon Company System and method for active data collection in a network security system
US7873998B1 (en) * 2005-07-19 2011-01-18 Trustwave Holdings, Inc. Rapidly propagating threat detection
FI120072B (fi) * 2005-07-19 2009-06-15 Ssh Comm Security Corp Pakettidatan lähettäminen verkon yli tietoturvaprotokollaa käyttäen
US7746862B1 (en) 2005-08-02 2010-06-29 Juniper Networks, Inc. Packet processing in a multiple processor system
US7352280B1 (en) 2005-09-01 2008-04-01 Raytheon Company System and method for intruder tracking using advanced correlation in a network security system
US7950058B1 (en) 2005-09-01 2011-05-24 Raytheon Company System and method for collaborative information security correlation in low bandwidth environments
US8224761B1 (en) 2005-09-01 2012-07-17 Raytheon Company System and method for interactive correlation rule design in a network security system
US8898452B2 (en) * 2005-09-08 2014-11-25 Netapp, Inc. Protocol translation
US7908357B2 (en) 2005-09-21 2011-03-15 Battelle Memorial Institute Methods and systems for detecting abnormal digital traffic
US20070139231A1 (en) * 2005-10-19 2007-06-21 Advanced Digital Forensic Solutions, Inc. Systems and methods for enterprise-wide data identification, sharing and management in a commercial context
US7603344B2 (en) 2005-10-19 2009-10-13 Advanced Digital Forensic Solutions, Inc. Methods for searching forensic data
WO2007056691A2 (en) * 2005-11-03 2007-05-18 Akonix Systems, Inc. Systems and methods for remote rogue protocol enforcement
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US20070140131A1 (en) * 2005-12-15 2007-06-21 Malloy Patrick J Interactive network monitoring and analysis
US7761915B2 (en) * 2005-12-28 2010-07-20 Zyxel Communications Corp. Terminal and related computer-implemented method for detecting malicious data for computer network
CA2532699A1 (en) * 2005-12-28 2007-06-28 Ibm Canada Limited - Ibm Canada Limitee Distributed network protection
US8453243B2 (en) 2005-12-28 2013-05-28 Websense, Inc. Real time lockdown
US7849185B1 (en) 2006-01-10 2010-12-07 Raytheon Company System and method for attacker attribution in a network security system
US7613826B2 (en) * 2006-02-09 2009-11-03 Cisco Technology, Inc. Methods and apparatus for providing multiple policies for a virtual private network
WO2007096890A2 (en) * 2006-02-27 2007-08-30 Sentrigo Inc. Device, system and method of database security
US9392009B2 (en) * 2006-03-02 2016-07-12 International Business Machines Corporation Operating a network monitoring entity
US7970899B2 (en) * 2006-03-03 2011-06-28 Barracuda Networks Inc Integrated data flow packet admission and traffic management apparatus
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8793390B2 (en) * 2006-05-23 2014-07-29 Blue Coat Systems, Inc. Systems and methods for protocol detection in a proxy
US20080022386A1 (en) * 2006-06-08 2008-01-24 Shevchenko Oleksiy Yu Security mechanism for server protection
US8045457B1 (en) * 2006-06-29 2011-10-25 Symantec Corporation Dropping packets to prevent unauthorized data transfer through multimedia tunnels
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US8239943B2 (en) * 2006-08-18 2012-08-07 Microsoft Corporation Network security page
US7954161B1 (en) 2007-06-08 2011-05-31 Mu Dynamics, Inc. Mechanism for characterizing soft failures in systems under attack
US8316447B2 (en) * 2006-09-01 2012-11-20 Mu Dynamics, Inc. Reconfigurable message-delivery preconditions for delivering attacks to analyze the security of networked systems
US7958230B2 (en) 2008-09-19 2011-06-07 Mu Dynamics, Inc. Test driven deployment and monitoring of heterogeneous network systems
US9172611B2 (en) 2006-09-01 2015-10-27 Spirent Communications, Inc. System and method for discovering assets and functional relationships in a network
KR101378435B1 (ko) * 2006-09-20 2014-03-26 아이에스티 인터내셔널 인코포레이티드 네트워크 프로토콜 스택의 핸드오프 및 최적화 모듈
US8811156B1 (en) 2006-11-14 2014-08-19 Raytheon Company Compressing n-dimensional data
EP2109976B1 (en) * 2006-12-29 2018-09-12 Telecom Italia S.p.A. METHOD AND SYSTEM FOR ENFORCING SECURITY POLICIES IN MANETs
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
WO2008098260A1 (en) * 2007-02-09 2008-08-14 Smobile Systems, Inc. Off-line mms malware scanning system and method
US8108924B1 (en) * 2007-05-24 2012-01-31 Sprint Communications Company L.P. Providing a firewall's connection data in a comprehendible format
US8819271B2 (en) * 2007-05-24 2014-08-26 At&T Intellectual Property I, L.P. System and method to access and use layer 2 and layer 3 information used in communications
US8863286B1 (en) 2007-06-05 2014-10-14 Sonicwall, Inc. Notification for reassembly-free file scanning
US7991723B1 (en) 2007-07-16 2011-08-02 Sonicwall, Inc. Data pattern analysis using optimized deterministic finite automaton
US8291495B1 (en) 2007-08-08 2012-10-16 Juniper Networks, Inc. Identifying applications for intrusion detection systems
CA2696988C (en) * 2007-08-20 2016-05-10 Telefonaktiebolaget L M Ericsson (Publ) Method and apparatus for providing local breakout in a mobile network
US7774637B1 (en) 2007-09-05 2010-08-10 Mu Dynamics, Inc. Meta-instrumentation for security analysis
US8871096B2 (en) * 2007-09-10 2014-10-28 Res Usa, Llc Magnetic separation combined with dynamic settling for fischer-tropsch processes
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8112800B1 (en) 2007-11-08 2012-02-07 Juniper Networks, Inc. Multi-layered application classification and decoding
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
CN101459660A (zh) * 2007-12-13 2009-06-17 国际商业机器公司 用于集成多个威胁安全服务的方法及其设备
US9338176B2 (en) * 2008-01-07 2016-05-10 Global Dataguard, Inc. Systems and methods of identity and access management
US9237167B1 (en) * 2008-01-18 2016-01-12 Jpmorgan Chase Bank, N.A. Systems and methods for performing network counter measures
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
JP4905395B2 (ja) * 2008-03-21 2012-03-28 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US9225778B2 (en) 2008-05-07 2015-12-29 Telefonaktiebolaget L M Ericsson (Publ) System for delivery of content to be played autonomously
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
JP5473406B2 (ja) * 2008-07-18 2014-04-16 キヤノン株式会社 ネットワーク処理装置及びその処理方法
US8069469B1 (en) * 2008-07-25 2011-11-29 Sprint Communications Company L.P. Addressing security in asymmetrical networks
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
EP2359573B1 (en) * 2008-12-18 2015-02-18 Telefonaktiebolaget L M Ericsson (publ) Method for content delivery involving a policy database
US8375435B2 (en) * 2008-12-19 2013-02-12 International Business Machines Corporation Host trust report based filtering mechanism in a reverse firewall
US8281398B2 (en) * 2009-01-06 2012-10-02 Microsoft Corporation Reordering document content to avoid exploits
US8402541B2 (en) * 2009-03-12 2013-03-19 Microsoft Corporation Proactive exploit detection
US9398043B1 (en) 2009-03-24 2016-07-19 Juniper Networks, Inc. Applying fine-grain policy action to encapsulated network attacks
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
KR101034389B1 (ko) * 2009-04-22 2011-05-16 (주) 시스메이트 패킷 내 시그니처 위치에 따른 시그니처 검색 방법
JP5246034B2 (ja) * 2009-05-22 2013-07-24 富士通株式会社 パケット送受信システム、パケット送受信装置、および、パケット送受信方法
US9769149B1 (en) 2009-07-02 2017-09-19 Sonicwall Inc. Proxy-less secure sockets layer (SSL) data inspection
US9531716B1 (en) * 2009-08-07 2016-12-27 Cisco Technology, Inc. Service enabled network
US9148358B2 (en) * 2009-10-05 2015-09-29 Vss Monitoring, Inc. Method, apparatus and system for filtering captured network traffic
US20110107410A1 (en) * 2009-11-02 2011-05-05 At&T Intellectual Property I,L.P. Methods, systems, and computer program products for controlling server access using an authentication server
US8590031B2 (en) * 2009-12-17 2013-11-19 At&T Intellectual Property I, L.P. Methods, systems, and computer program products for access control services using a transparent firewall in conjunction with an authentication server
US20110154469A1 (en) * 2009-12-17 2011-06-23 At&T Intellectual Property Llp Methods, systems, and computer program products for access control services using source port filtering
US8959217B2 (en) * 2010-01-15 2015-02-17 Joyent, Inc. Managing workloads and hardware resources in a cloud resource
US8547974B1 (en) 2010-05-05 2013-10-01 Mu Dynamics Generating communication protocol test cases based on network traffic
US8463860B1 (en) 2010-05-05 2013-06-11 Spirent Communications, Inc. Scenario based scale testing
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
CN102754394B (zh) * 2010-08-19 2015-07-22 华为技术有限公司 一种哈希表存储、查找方法以及装置
US8509071B1 (en) 2010-10-06 2013-08-13 Juniper Networks, Inc. Multi-dimensional traffic management
CN102111402B (zh) * 2010-12-17 2015-06-10 曙光信息产业(北京)有限公司 一种对正则式dfa分组的方法
US9106514B1 (en) 2010-12-30 2015-08-11 Spirent Communications, Inc. Hybrid network software provision
US9119109B1 (en) * 2010-12-30 2015-08-25 Dell Software Inc. Method and an apparatus to perform multi-connection traffic analysis and management
US8555276B2 (en) 2011-03-11 2013-10-08 Joyent, Inc. Systems and methods for transparently optimizing workloads
US8464219B1 (en) 2011-04-27 2013-06-11 Spirent Communications, Inc. Scalable control system for test execution and monitoring utilizing multiple processors
US8566900B1 (en) * 2011-05-23 2013-10-22 Palo Alto Networks, Inc. Using geographical information in policy enforcement
US8839404B2 (en) * 2011-05-26 2014-09-16 Blue Coat Systems, Inc. System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments
CN102195887B (zh) * 2011-05-31 2014-03-12 北京星网锐捷网络技术有限公司 报文处理方法、装置和网络安全设备
NL2007180C2 (en) * 2011-07-26 2013-01-29 Security Matters B V Method and system for classifying a protocol message in a data communication network.
US9881151B2 (en) * 2011-08-31 2018-01-30 Lenovo (Singapore) Pte. Ltd. Providing selective system privileges on an information handling device
US8775393B2 (en) * 2011-10-03 2014-07-08 Polytechniq Institute of New York University Updating a perfect hash data structure, such as a multi-dimensional perfect hash data structure, used for high-speed string matching
CN102567684A (zh) * 2011-12-21 2012-07-11 成都三零瑞通移动通信有限公司 一种针对x卧底窃听类软件的防安装方法
US8782224B2 (en) 2011-12-29 2014-07-15 Joyent, Inc. Systems and methods for time-based dynamic allocation of resource management
US9137258B2 (en) 2012-02-01 2015-09-15 Brightpoint Security, Inc. Techniques for sharing network security event information
US9710644B2 (en) 2012-02-01 2017-07-18 Servicenow, Inc. Techniques for sharing network security event information
US8914406B1 (en) * 2012-02-01 2014-12-16 Vorstack, Inc. Scalable network security with fast response protocol
RU2510982C2 (ru) * 2012-04-06 2014-04-10 Закрытое акционерное общество "Лаборатория Касперского" Система и способ оценки пользователей для фильтрации сообщений
US8972543B1 (en) 2012-04-11 2015-03-03 Spirent Communications, Inc. Managing clients utilizing reverse transactions
US9166732B2 (en) * 2012-04-19 2015-10-20 At&T Mobility Ii Llc Facilitation of security employing a femto cell access point
US9075953B2 (en) 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
US8938805B1 (en) * 2012-09-24 2015-01-20 Emc Corporation Detection of tampering with software installed on a processing device
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US8954495B2 (en) 2013-01-04 2015-02-10 Netfilx, Inc. Proxy application with dynamic filter updating
US9009165B2 (en) * 2013-01-10 2015-04-14 Telefonaktiebolaget L M Ericsson (Publ) High performance hash-based lookup for packet processing in a communication network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9286047B1 (en) 2013-02-13 2016-03-15 Cisco Technology, Inc. Deployment and upgrade of network devices in a network environment
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9104456B2 (en) 2013-03-14 2015-08-11 Joyent, Inc. Zone management of compute-centric object stores
US8943284B2 (en) 2013-03-14 2015-01-27 Joyent, Inc. Systems and methods for integrating compute resources in a storage area network
US8826279B1 (en) 2013-03-14 2014-09-02 Joyent, Inc. Instruction set architecture for compute-based object stores
US8881279B2 (en) * 2013-03-14 2014-11-04 Joyent, Inc. Systems and methods for zone-based intrusion detection
US8677359B1 (en) 2013-03-14 2014-03-18 Joyent, Inc. Compute-centric object stores and methods of use
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9092238B2 (en) 2013-03-15 2015-07-28 Joyent, Inc. Versioning schemes for compute-centric object stores
US8775485B1 (en) 2013-03-15 2014-07-08 Joyent, Inc. Object store management operations within compute-centric object stores
WO2014143030A1 (en) * 2013-03-15 2014-09-18 Mcafee, Inc. Creating and managing a network security tag
US8793688B1 (en) 2013-03-15 2014-07-29 Joyent, Inc. Systems and methods for double hulled virtualization operations
US9038130B2 (en) 2013-05-14 2015-05-19 Dell Products, L.P. Sensor aware security policies with embedded controller hardened enforcement
CN104184649A (zh) * 2013-05-23 2014-12-03 上海斐讯数据通信技术有限公司 调制解调器系统的log日志的获取方法
US20150025790A1 (en) 2013-07-17 2015-01-22 Vivint, Inc. Geo-location services
CN103441987A (zh) * 2013-07-30 2013-12-11 曙光信息产业(北京)有限公司 双机防火墙系统的管理方法和装置
CN103457931B (zh) * 2013-08-15 2016-08-10 华中科技大学 一种网络诱骗与反攻击的主动防御方法
US9032524B2 (en) * 2013-09-10 2015-05-12 HAProxy S.á.r.l. Line-rate packet filtering technique for general purpose operating systems
US10977063B2 (en) 2013-12-20 2021-04-13 Vmware, Inc. Elastic compute fabric using virtual machine templates
US9323565B2 (en) 2013-12-20 2016-04-26 Vmware, Inc. Provisioning customized virtual machines without rebooting
JP6229504B2 (ja) * 2014-01-09 2017-11-15 富士通株式会社 ネットワーク監視装置、監視方法及びプログラム
US9973515B1 (en) * 2014-02-05 2018-05-15 Rockwell Collins, Inc. Network security for avionics with ethernet connections system and related method
US9619268B2 (en) 2014-08-23 2017-04-11 Vmware, Inc. Rapid suspend/resume for virtual machines via resource sharing
US9088544B1 (en) * 2014-09-11 2015-07-21 Fortinet, Inc. Interface groups for rule-based network security
US9729439B2 (en) 2014-09-26 2017-08-08 128 Technology, Inc. Network packet flow controller
US9948661B2 (en) 2014-10-29 2018-04-17 At&T Intellectual Property I, L.P. Method and apparatus for detecting port scans in a network
US9876714B2 (en) 2014-11-14 2018-01-23 Nicira, Inc. Stateful services on stateless clustered edge
US9866473B2 (en) 2014-11-14 2018-01-09 Nicira, Inc. Stateful services on stateless clustered edge
US10044617B2 (en) * 2014-11-14 2018-08-07 Nicira, Inc. Stateful services on stateless clustered edge
US11533255B2 (en) 2014-11-14 2022-12-20 Nicira, Inc. Stateful services on stateless clustered edge
US10110561B2 (en) * 2014-11-26 2018-10-23 Rockwell Automation Technologies, Inc. Firewall with application packet classifer
CN104660584B (zh) * 2014-12-30 2018-12-18 赖洪昌 基于网络会话的木马病毒分析技术
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
CN105991623B (zh) * 2015-03-05 2019-04-26 北京启明星辰信息安全技术有限公司 一种业务互联关系审计方法和系统
US9736184B2 (en) 2015-03-17 2017-08-15 128 Technology, Inc. Apparatus and method for using certificate data to route data
CN105765942A (zh) 2015-03-18 2016-07-13 策安保安有限公司 经由边界网关进行信息安全性威胁中断的系统和方法
US11024136B2 (en) * 2015-04-02 2021-06-01 Techcam, Llc Method and apparatus for remote surveillance
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US10374904B2 (en) 2015-05-15 2019-08-06 Cisco Technology, Inc. Diagnostic network visualization
US9729682B2 (en) 2015-05-18 2017-08-08 128 Technology, Inc. Network device and method for processing a session using a packet signature
US9800497B2 (en) 2015-05-27 2017-10-24 Cisco Technology, Inc. Operations, administration and management (OAM) in overlay data center environments
US9967158B2 (en) 2015-06-05 2018-05-08 Cisco Technology, Inc. Interactive hierarchical network chord diagram for application dependency mapping
US10089099B2 (en) 2015-06-05 2018-10-02 Cisco Technology, Inc. Automatic software upgrade
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10033766B2 (en) * 2015-06-05 2018-07-24 Cisco Technology, Inc. Policy-driven compliance
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10049078B1 (en) * 2015-06-25 2018-08-14 Amazon Technologies, Inc. Accessing a memory location using a two-stage hash scheme
US9825911B1 (en) * 2015-11-18 2017-11-21 Amazon Technologies, Inc. Security policy check based on communication establishment handshake packet
CA3007844C (en) 2015-12-11 2021-06-22 Servicenow, Inc. Computer network threat assessment
US10536549B2 (en) * 2015-12-15 2020-01-14 Nxp Usa, Inc. Method and apparatus to accelerate session creation using historical session cache
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US10075416B2 (en) 2015-12-30 2018-09-11 Juniper Networks, Inc. Network session data sharing
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
CN108886515B (zh) * 2016-01-08 2021-06-15 百通股份有限公司 通过利用良性联网协议来防止ip网络中的恶意信息通信的方法和保护装置
US10084752B2 (en) * 2016-02-26 2018-09-25 Microsoft Technology Licensing, Llc Hybrid hardware-software distributed threat analysis
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
EP3443432A4 (en) * 2016-04-12 2020-04-01 Guardknox Cyber Technologies Ltd. SPECIALLY PROGRAMMED COMPUTER SYSTEMS WITH ASSOCIATED DEVICES CONFIGURED TO IMPLEMENT SECURE LOCKINGS AND METHODS OF USING THEM
US9871810B1 (en) * 2016-04-25 2018-01-16 Symantec Corporation Using tunable metrics for iterative discovery of groups of alert types identifying complex multipart attacks with different properties
US10686792B1 (en) * 2016-05-13 2020-06-16 Nuvolex, Inc. Apparatus and method for administering user identities across on premise and third-party computation resources
US10931629B2 (en) 2016-05-27 2021-02-23 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10171357B2 (en) 2016-05-27 2019-01-01 Cisco Technology, Inc. Techniques for managing software defined networking controller in-band communications in a data center network
US10009282B2 (en) * 2016-06-06 2018-06-26 128 Technology, Inc. Self-protecting computer network router with queue resource manager
US10289438B2 (en) 2016-06-16 2019-05-14 Cisco Technology, Inc. Techniques for coordination of application components deployed on distributed virtual machines
US10708183B2 (en) 2016-07-21 2020-07-07 Cisco Technology, Inc. System and method of providing segment routing as a service
US10536468B2 (en) * 2016-07-21 2020-01-14 Level 3 Communications, Llc System and method for voice security in a telecommunications network
US10972388B2 (en) 2016-11-22 2021-04-06 Cisco Technology, Inc. Federated microburst detection
FR3060931A1 (fr) * 2016-12-16 2018-06-22 Orange Procede et dispositif de surveillance mis en oeuvre par un point d'acces a un reseau de telecommunications
US20180262467A1 (en) * 2017-03-08 2018-09-13 At&T Intellectual Property I, L.P. Cloud-based ddos mitigation
US10708152B2 (en) 2017-03-23 2020-07-07 Cisco Technology, Inc. Predicting application and network performance
US10523512B2 (en) 2017-03-24 2019-12-31 Cisco Technology, Inc. Network agent for generating platform specific network policies
US10764141B2 (en) 2017-03-27 2020-09-01 Cisco Technology, Inc. Network agent for reporting to a network policy system
US10594560B2 (en) 2017-03-27 2020-03-17 Cisco Technology, Inc. Intent driven network policy platform
US10250446B2 (en) 2017-03-27 2019-04-02 Cisco Technology, Inc. Distributed policy store
US10873794B2 (en) 2017-03-28 2020-12-22 Cisco Technology, Inc. Flowlet resolution for application performance monitoring and management
US10503545B2 (en) 2017-04-12 2019-12-10 At&T Intellectual Property I, L.P. Universal security agent
US10778699B1 (en) * 2017-04-17 2020-09-15 Verizon Digital Media Services Inc. Network attack mitigation based on distributed packet analysis
US10454965B1 (en) * 2017-04-17 2019-10-22 Symantec Corporation Detecting network packet injection
US11003542B1 (en) 2017-04-28 2021-05-11 EMC IP Holding Company LLC Online consistent system checkpoint
US10402283B1 (en) * 2017-04-28 2019-09-03 EMC IP Holding Company LLC Online system checkpoint recovery orchestration
US10333960B2 (en) 2017-05-03 2019-06-25 Servicenow, Inc. Aggregating network security data for export
US20180324207A1 (en) 2017-05-05 2018-11-08 Servicenow, Inc. Network security threat intelligence sharing
US10897472B1 (en) * 2017-06-02 2021-01-19 Enigma Networkz, LLC IT computer network threat analysis, detection and containment
CN107332839B (zh) * 2017-06-28 2020-03-06 杭州迪普科技股份有限公司 一种报文传输方法及装置
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US10680887B2 (en) 2017-07-21 2020-06-09 Cisco Technology, Inc. Remote device status audit and recovery
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10951584B2 (en) 2017-07-31 2021-03-16 Nicira, Inc. Methods for active-active stateful network service cluster
US11570092B2 (en) 2017-07-31 2023-01-31 Nicira, Inc. Methods for active-active stateful network service cluster
US11296984B2 (en) 2017-07-31 2022-04-05 Nicira, Inc. Use of hypervisor for active-active stateful network service cluster
CN107231647B (zh) * 2017-08-03 2019-01-11 Oppo广东移动通信有限公司 网络检测方法、网络检测装置及智能终端
US10554501B2 (en) 2017-10-23 2020-02-04 Cisco Technology, Inc. Network migration assistant
US10523541B2 (en) 2017-10-25 2019-12-31 Cisco Technology, Inc. Federated network and application data analytics platform
US10594542B2 (en) 2017-10-27 2020-03-17 Cisco Technology, Inc. System and method for network root cause analysis
DE102017220371A1 (de) * 2017-11-15 2019-05-16 Siemens Mobility GmbH System und Verfahren zum Senden und zum Empfangen von Daten
US10824734B2 (en) 2017-11-30 2020-11-03 Bank Of America Corporation System for recurring information security threat assessment
US10652264B2 (en) 2017-11-30 2020-05-12 Bank Of America Corporation Information security vulnerability assessment system
US10616261B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment based on data history
US10841330B2 (en) 2017-11-30 2020-11-17 Bank Of America Corporation System for generating a communication pathway for third party vulnerability management
US10826929B2 (en) 2017-12-01 2020-11-03 Bank Of America Corporation Exterior data deployment system using hash generation and confirmation triggering
EP3729729B1 (en) * 2017-12-21 2021-12-22 Telefonaktiebolaget LM Ericsson (publ) Method and managing node for managing exchange of packet flow descriptors
CN108156165A (zh) * 2017-12-28 2018-06-12 北京奇虎科技有限公司 一种误报检测的方法以及系统
US11233821B2 (en) 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11765046B1 (en) 2018-01-11 2023-09-19 Cisco Technology, Inc. Endpoint cluster assignment and query generation
US10873593B2 (en) 2018-01-25 2020-12-22 Cisco Technology, Inc. Mechanism for identifying differences between network snapshots
US10574575B2 (en) 2018-01-25 2020-02-25 Cisco Technology, Inc. Network flow stitching using middle box flow stitching
US10917438B2 (en) 2018-01-25 2021-02-09 Cisco Technology, Inc. Secure publishing for policy updates
US10826803B2 (en) 2018-01-25 2020-11-03 Cisco Technology, Inc. Mechanism for facilitating efficient policy updates
US10999149B2 (en) 2018-01-25 2021-05-04 Cisco Technology, Inc. Automatic configuration discovery based on traffic flow data
US10798015B2 (en) 2018-01-25 2020-10-06 Cisco Technology, Inc. Discovery of middleboxes using traffic flow stitching
US11128700B2 (en) 2018-01-26 2021-09-21 Cisco Technology, Inc. Load balancing configuration based on traffic flow telemetry
US11153122B2 (en) 2018-02-19 2021-10-19 Nicira, Inc. Providing stateful services deployed in redundant gateways connected to asymmetric network
US10498633B2 (en) * 2018-03-01 2019-12-03 Schweitzer Engineering Laboratories, Inc. Traffic activity-based signaling to adjust forwarding behavior of packets
CN112534779A (zh) * 2018-06-08 2021-03-19 瑞典爱立信有限公司 更新用于应用的pfd规则和相关网络节点的方法
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
WO2020055919A1 (en) * 2018-09-11 2020-03-19 Aveva Software, Llc Server and system for secure configuration push for dmz proxy clients
CN109446022B (zh) * 2018-10-12 2022-08-12 厦门市美亚柏科信息股份有限公司 一种数据库溢出页异常的检测方法、装置及存储介质
CN109740305B (zh) * 2018-12-26 2022-03-18 深圳市优博讯科技股份有限公司 一种应用程序安装包签名方法、安装方法及电子设备
US11159944B2 (en) 2019-02-21 2021-10-26 T-Mobile Usa, Inc. Wireless-network attack detection
US11012442B2 (en) 2019-04-11 2021-05-18 Schweitzer Engineering Laboratories, Inc. Address resolution protocol response handling
CN110266678B (zh) * 2019-06-13 2022-03-25 深圳市腾讯计算机系统有限公司 安全攻击检测方法、装置、计算机设备及存储介质
CN110417578B (zh) * 2019-06-20 2022-03-11 国网辽宁省电力有限公司信息通信分公司 一种异常ftp连接告警处理方法
US11405363B2 (en) 2019-06-26 2022-08-02 Microsoft Technology Licensing, Llc File upload control for client-side applications in proxy solutions
US11122054B2 (en) 2019-08-27 2021-09-14 Bank Of America Corporation Security tool
CN112787974B (zh) * 2019-11-05 2024-01-02 杭州海康威视数字技术股份有限公司 一种网关、数据传输方法及电子设备
US11477214B2 (en) * 2019-12-10 2022-10-18 Fortinet, Inc. Cloud-based orchestration of incident response using multi-feed security event classifications with machine learning
TWI783195B (zh) * 2019-12-18 2022-11-11 中華資安國際股份有限公司 網路資安系統、其方法及電腦可讀儲存媒介
US11363041B2 (en) 2020-05-15 2022-06-14 International Business Machines Corporation Protecting computer assets from malicious attacks
US20220116406A1 (en) * 2020-10-12 2022-04-14 Microsoft Technology Licensing, Llc Malware detection and mitigation via a forward proxy server
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
CN114338143A (zh) * 2021-12-27 2022-04-12 国网浙江省电力有限公司温州供电公司 一种信息安全攻防平台的数据层系统
US12299133B2 (en) 2021-12-28 2025-05-13 SecureX.AI, Inc. Systems and methods for prioritizing security findings using machine learning models
US12149555B2 (en) * 2021-12-28 2024-11-19 SecureX.AI, Inc. Systems and methods for vulnerability assessment for cloud assets using imaging methods
US12166785B2 (en) 2021-12-28 2024-12-10 SecureX.AI, Inc. Systems and methods for predictive analysis of potential attack patterns based on contextual security information
US11799761B2 (en) 2022-01-07 2023-10-24 Vmware, Inc. Scaling edge services with minimal disruption
US11962564B2 (en) 2022-02-15 2024-04-16 VMware LLC Anycast address for network address translation at edge
EP4235470B1 (en) 2022-03-25 2024-07-31 ZOE Life Technologies AG Method and network component for protecting networked infrastructures
US20230319066A1 (en) * 2022-03-31 2023-10-05 Fortinet, Inc. Exploit predictive intrusion protection system (ep-ips) for data packet traffic on data communication networks
US12353311B2 (en) * 2022-07-20 2025-07-08 Zscaler, Inc. Dynamic applicative session grouping
US12015719B1 (en) 2023-09-13 2024-06-18 Zecurity, Llc Apparatus, systems, and methods relying on non-flashable circuitry for improving security on public or private networks
US12088735B1 (en) 2023-09-13 2024-09-10 Zecurity, Llc Apparatus, systems, and methods relying on non-flashable circuitry for improving security on public or private networks
US12045350B1 (en) * 2023-09-13 2024-07-23 Zecurity, Llc Apparatus, systems, and methods relying on non-flashable circuitry for improving security on public or private networks
US12169589B1 (en) 2023-09-13 2024-12-17 Zecurity, Llc Apparatus and methods relying on non-flashable circuitry for improving security for a system connected to a public or private network

Family Cites Families (70)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5835726A (en) * 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5598410A (en) * 1994-12-29 1997-01-28 Storage Technology Corporation Method and apparatus for accelerated packet processing
US5781550A (en) * 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5842040A (en) * 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
JPH10107795A (ja) 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6591303B1 (en) * 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US5909686A (en) * 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6049528A (en) * 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US6088356A (en) * 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6775692B1 (en) * 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6006264A (en) * 1997-08-01 1999-12-21 Arrowpoint Communications, Inc. Method and system for directing a flow between a client and a server
US6154775A (en) * 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US7143438B1 (en) * 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6170012B1 (en) * 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6141749A (en) * 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6205551B1 (en) * 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6466985B1 (en) * 1998-04-10 2002-10-15 At&T Corp. Method and apparatus for providing quality of service using the internet protocol
US6275942B1 (en) * 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6253321B1 (en) * 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
US6633543B1 (en) * 1998-08-27 2003-10-14 Intel Corporation Multicast flow control
US6311278B1 (en) * 1998-09-09 2001-10-30 Sanctum Ltd. Method and system for extracting application protocol characteristics
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6477651B1 (en) * 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US7197044B1 (en) * 1999-03-17 2007-03-27 Broadcom Corporation Method for managing congestion in a network switch
US7643481B2 (en) * 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US6606315B1 (en) * 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US6549516B1 (en) * 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6650641B1 (en) * 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6970913B1 (en) * 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6742045B1 (en) * 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6633560B1 (en) * 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
US6735169B1 (en) * 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US7051066B1 (en) * 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6704278B1 (en) * 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
JP2001313640A (ja) 2000-05-02 2001-11-09 Ntt Data Corp 通信ネットワークにおけるアクセス種別を判定する方法及びシステム、記録媒体
US6981158B1 (en) * 2000-06-19 2005-12-27 Bbnt Solutions Llc Method and apparatus for tracing packets
US20020032797A1 (en) * 2000-09-08 2002-03-14 Wei Xu Systems and methods for service addressing
WO2002030052A1 (en) * 2000-09-28 2002-04-11 Symantec Corporation System and method for analyzing protocol streams for a security-related event
EP1338130B1 (en) * 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US7017185B1 (en) * 2000-12-21 2006-03-21 Cisco Technology, Inc. Method and system for maintaining network activity data for intrusion detection
US7099350B2 (en) * 2001-04-24 2006-08-29 Atitania, Ltd. Method and apparatus for converting data between two dissimilar systems
US7239636B2 (en) * 2001-07-23 2007-07-03 Broadcom Corporation Multiple virtual channels for use in network devices
US20030033463A1 (en) * 2001-08-10 2003-02-13 Garnett Paul J. Computer system storage
US7331061B1 (en) * 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
DE60237292D1 (de) 2001-09-14 2010-09-23 Nokia Inc Vorrichtung und Verfahren zur Paketweiterleitung
US20030084321A1 (en) * 2001-10-31 2003-05-01 Tarquini Richard Paul Node and mobile device for a mobile telecommunications network providing intrusion detection
US7133914B1 (en) * 2001-10-31 2006-11-07 Cisco Technology, Inc. Statistics-preserving ACL flattening system and method
US20030105881A1 (en) * 2001-12-03 2003-06-05 Symons Julie Anna Method for detecting and preventing intrusion in a virtually-wired switching fabric
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US20030149887A1 (en) * 2002-02-01 2003-08-07 Satyendra Yadav Application-specific network intrusion detection
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) * 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US6856991B1 (en) * 2002-03-19 2005-02-15 Cisco Technology, Inc. Method and apparatus for routing data to a load balanced server using MPLS packet labels
US7895431B2 (en) * 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7535907B2 (en) * 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2005301551A (ja) * 2004-04-09 2005-10-27 Hitachi Ltd セキュリティ対策システム及び統合セキュリティシステム
JP2010512703A (ja) * 2006-12-12 2010-04-22 コニンクリーケ・ケイピーエヌ・ナムローゼ・フェンノートシャップ 移動体電話機用ストリーミング・メディア・サービス
JP2016515316A (ja) * 2013-02-11 2016-05-26 キュー テレコム リミテッド 通信装置
JP2018142927A (ja) * 2017-02-28 2018-09-13 沖電気工業株式会社 マルウェア不正通信対処システム及び方法

Also Published As

Publication number Publication date
US8635695B2 (en) 2014-01-21
US8370936B2 (en) 2013-02-05
US9094372B2 (en) 2015-07-28
US20030154399A1 (en) 2003-08-14
EP1481508A4 (en) 2010-07-07
EP1481508A1 (en) 2004-12-01
EP2555486B1 (en) 2018-11-21
CN1656731A (zh) 2005-08-17
EP1481508B1 (en) 2017-08-30
US20140115688A1 (en) 2014-04-24
EP2555486A2 (en) 2013-02-06
CN1656731B (zh) 2011-05-25
EP2555486A3 (en) 2013-10-30
AU2003215085A1 (en) 2003-09-02
US20130067560A1 (en) 2013-03-14
WO2003067810A1 (en) 2003-08-14

Similar Documents

Publication Publication Date Title
EP1481508B1 (en) Multi-method gateway-based network security systems
US11516181B2 (en) Device, system and method for defending a computer network
US7409714B2 (en) Virtual intrusion detection system and method of using same
US7076803B2 (en) Integrated intrusion detection services
US7222366B2 (en) Intrusion event filtering
WO2012015489A1 (en) System and method for network level protection against malicious software
Hussein et al. Software-Defined Networking (SDN): the security review
Dutta et al. Intrusion detection systems fundamentals
Jadhav et al. Detection and mitigation of arp spoofing attack
Balogh et al. LAN security analysis and design
Prabhu et al. Network intrusion detection system
Abimbola et al. NetHost-Sensor: Investigating the capture of end-to-end encrypted intrusive data
Biswas et al. Network Forensics Analysis
FIROJ Design & implementation of Layered signature based intrusion detection system using snort
Asarcıklı Firewall monitoring using intrusion detection systems
Bansah et al. Implementation of Intrusion Detection System and Traffic Analysis–A Case of a Linux Platform
Nakato Networks Security: Attacks and Defense Mechanism by Designing an Intelligent Firewall Agent
Zafar et al. Network security: a survey of modern approaches
MS17902830 A Distributed Defense System that Features Hybrid Intelligent IDS to Mitigate Network Layer DDoS Attacks
Tevemark Intrusion Detection and Prevention in IP Based Mobile Networks
Venuti et al. Deliverable DJ2. 4.1: Specification of Advanced Methods for Incident and Security Threats' Detection and Mitigation in a Multi-Domain Environment

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060207

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080421

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080422

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080722

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081022

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081120

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081113

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081216

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081217

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090119

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20090202

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090428