CN101719899A - 用于网络安全装置的具有端口限制的动态访问控制策略 - Google Patents
用于网络安全装置的具有端口限制的动态访问控制策略 Download PDFInfo
- Publication number
- CN101719899A CN101719899A CN200910164019A CN200910164019A CN101719899A CN 101719899 A CN101719899 A CN 101719899A CN 200910164019 A CN200910164019 A CN 200910164019A CN 200910164019 A CN200910164019 A CN 200910164019A CN 101719899 A CN101719899 A CN 101719899A
- Authority
- CN
- China
- Prior art keywords
- layer
- network
- port
- bag
- bag stream
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Abstract
网络安全装置支持安全策略的定义以控制对网络的访问。安全策略由包括第七层网络应用程序、用于传输层协议的第四层端口的静态端口列表的匹配准则和应用到与匹配准则相匹配的包流上的动作定义。规则引擎基于包流的包净荷中的应用层数据的检查而不仅基于包中头部所指定的第四层端口上的识别来动态地识别与所接收到的包流相关联的第七层网络应用程序类型。规则引擎配置为应用安全策略以确定包流是否与匹配准则指定的静态端口列表相匹配。网络安全装置将安全策略指定的动作应用到包流上。
Description
技术领域
本发明涉及计算机网络,以及更具体地,涉及计算机网络中攻击的检测和防御。
背景技术
计算机网络典型地包括交换数据并共享资源的互联的计算设备的集合。该设备可以包括(例如)web服务器、数据库服务器、文件服务器、路由器、打印机、用户端计算机和其他设备。各种设备可以执行无数种不同的服务和通信协议。每种不同的服务和通信协议使网络暴露出不同的安全弱点。
由于对可访问网络的计算机的依赖性增加,网络安全对组织和个人来说已经变成了一个主要问题。为了帮助确保其计算机的安全性,组织和个人可以在公共网络和其私有网络之间安装安全设备。这种安全设备可以防止来自公共网络的不希望的或恶意的信息侵袭私有网络中的设备。
这些安全设备通常被称为防火墙设备。典型地,防火墙是配置为基于组织的安全策略允许或拒绝通信流以控制对私有网络访问的专用设备。典型的高端防火墙通过动态地负载均衡包流来向一组服务卡提供包转发。这些服务卡提供基于流的安全服务,诸如流分块、网络地址转换(NAT)、防病毒(AV)扫描和检测、入侵检测防御(IDP)和/或任意其他的安全服务。防火墙设备典型地截取进入并离开私有网络的包,并且利用服务卡来处理该包,且应用管理员配置的策略以基于包括在每个包中的可定义与该包相关联的流状态的信息来确定是否允许或拒绝该包。
发明内容
大体上,描述了一种技术,该技术提供用于网络安全的灵活的访问控制策略。更具体地,本文描述了一种改进的技术,该技术用于定义访问控制策略的灵活且加强的机制。描述的安全装置可以应用由管理员定义的安全策略以控制到网络(诸如私有企业计算网络)或来自网络的访问。如本文所描述的,本发明的技术允许安全装置应用策略,该策略指定要应用至与包括网络源、网络目的地、第七层网络应用程序的类型、以及用于传输层协议的一个或多个第四层端口的静态端口列表的准则相匹配的包流的动作。在一些情况中,安全装置可以额外地执行入侵检测和防御(IDP)和/或深度包检查(DPI)(deep packet inspection,深度包检测)以检查并防止私有企业计算网络上的网络攻击。
传统地,许多防火墙和入侵检测系统将应用程序和静态第四层端口分配相关联,并且使用这些静态端口分配来静态地定义与给定数据流相关联的应用程序类型。然而,许多黑客或其它恶意个体利用采用动态或随机端口分配而不与静态端口分配一致的软件应用程序,以逃避检测和约束。这种技术使得防火墙和入侵检测系统难以仅基于静态端口分配而正确地识别第七层应用程序的类型。
响应于这些逃避检测的尝试,一些改进的防火墙和入侵检测系统可以基于签名或模式匹配操作来动态地确定与给定数据流(例如包流)相关联的第七层应用程序。例如,可以应用规则表达或子串匹配来检测数据流中的定义的模式。然而,即使使用动态应用程序识别,恶意用户可以试图用一种类型的应用程序欺骗(即,假装的)而使用另一种类型的应用程序,以试图绕过安全装置。如一个实例中,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。不用应用第四层端口集的额外的匹配准则,这种欺骗可不被配置为允许HTTP应用程序的安全装置所检测。
如将在下面详细描述的,本发明的技术允许定义包括要应用的第四层端口列表或端口排列的附加的匹配准则的安全策略,即使网络应用程序的类型可以被动态地确定。在一些实例中,策略可以包括对于一个用户和一个网络应用程序的允许端口的静态列表,即使用户和网络应用程序两者均由安全装置动态地确定而不是应用程序识别仅基于包流的第四层端口。在另一实例中,策略可以包括特定端口,给定用户利用给定应用程序访问该端口不被允许。如一个实例中,这种策略可以允许安全装置来确定包流仅为绕过安全装置的尝试,并且安全装置可以采取合适的动作,诸如丢弃与该包流相关联的其它包和/或报警攻击的目标设备。如另一实例,这种策略可以允许安全装置防止企业网络中的用户使用对等应用程序或其他不期望的应用程序来浪费网络资源。
在一个实例中,网络安全装置包括配置为接收包流的接口、以及配置为支持控制包流对网络访问的安全策略的定义的控制单元,其中,安全策略指定:(a)包括第七层网络应用程序的匹配准则和用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。网络安全装置还包括规则引擎,配置为基于包流的包净荷中的应用层数据的检查,动态地识别与接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指定的第四层端口进行所述识别。规则引擎配置为在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配。一旦规则引擎确定包流与静态端口列表相匹配,则控制单元将安全策略指定的动作应用至包流。
在另一实例中,用于控制对具有网络安全装置的网络进行访问的方法包括,利用网络安全装置的用户接口接收配置信息,其中配置信息指定由下列各项定义的安全策略:(a)包括第七层网络应用程序的匹配准则;以及用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。本方法还包括利用网络安全装置的接口来接收包流,并且利用网络安全装置的规则引擎,基于包流的包净荷中的应用层数据的检查,动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指出的第四层端口进行所述识别。本方法还包括,利用规则引擎,在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配,并且一旦规则引擎确定包流与静态端口列表相匹配,则将安全策略指定的动作应用至包流。
在另一实施例中,计算机可读介质包含指令。计算机可读介质可以是计算机可读的存储介质。指令使得可编程处理器利用控制对网络访问的网络安全装置的用户接口来接收配置信息,其中配置信息指定由以下各项定义的安全策略:(a)包括第七层网络应用程序的匹配准则;以及用于传输层协议的一个或多个第四层端口的静态端口列表,以及(b)应用到与匹配准则相匹配的包流的动作。该指令还使得可编程处理器利用网络安全装置的规则引擎,基于包流的包净荷中的应用层数据的检查,动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由包中头部所指出的第四层端口进行所述识别。该指令还使得可编程处理器利用规则引擎,在第七层网络应用程序的动态识别之后,应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配,并且一旦规则引擎确定包流与静态端口列表相匹配,则将安全策略指定的动作应用至包流。
本文描述的技术可以提供多个优点。例如,该技术可以允许安全装置在其中一些应用程序不再使用静态端口映射而是使用动态或随机端口分配以试图逃避检测和约束的环境中提供改进的防火墙和/或入侵检测和防御服务。
如另一实例,该技术可有助于消除误报和漏报。误报可以是将包流不正确地识别为是恶意的。漏报可以是没有识别出恶意的包流。该技术可以通过要求允许的通信不仅匹配特定的源(例如用户或用户角色)、目的地、和动态识别的应用程序,还通过将对于源和目的地的应用程序的使用限制在特定定义的第四层端口范围或端口集中,来减少或消除误报和漏报。
本发明的一个或多个实施例的细节将在下面的附图和说明中阐述。本发明的其他特征、目的和优点将从说明和附图以及权利要求中显而易见。
附图说明
图1是示出了示例性企业计算机网络的框图,其中安全装置应用根据本发明原理的访问控制策略。
图2是示出了进一步详细描述的安全装置的示例性实施例的框图。
图3是示出了图2中进一步详细描述的安全装置的规则引擎的示例性实施例的框图。
图4是示出了根据本发明原理的安全装置的示例性操作的流程图。
具体实施方式
图1是示出了示例性系统2的框图,其中企业计算机网络4包括安全装置10,其根据本发明原理控制对私有企业计算网络5的访问。在图1的示例性实施例中,安全装置10是单一的网络设备。网络4包括连接至诸如因特网的公共网络6的私有企业计算网络5。公共网络6可以包括(例如)一个或多个客户计算设备(未示出)。安全装置10可以包括防火墙组件以保护企业网络5,并且具体地,内部计算节点8A-8N。计算节点8A-8N(“计算节点8”)表示私有企业计算网络5中的任意私有计算设备,包括膝上型电脑、工作站、文件服务器、打印服务器、数据库服务器、打印机和其他设备。
安全装置10监控公共网络6和内部计算节点8之间的通信流。安全装置10可以应用管理员定义的安全策略以控制对私有企业计算网络5的访问,以及控制允许从计算节点8发送到公共网络6的通信。如本文中所描述的,本发明的技术允许安全装置10应用策略,该策略指定要应用到与包括源、目的地、应用程序类型、和端口集的准则相匹配的包流的动作。在一些情况中,安全装置10可以执行入侵检测和防御(IDP)和/或深度包检查(DPI)以检测并防止私有企业计算网络5上的网络攻击。
传统上,许多防火墙和入侵检测系统将应用程序与静态端口分配相关联并且使用这些静态端口分配来静态地定义与给定数据流相关联的协议和应用程序类型。然而,许多黑客或其他恶意个人利用采用了动态或随机端口分配而不与静态第四层端口分配一致的软件应用程序,以逃避检测和约束。附加地,恶意个人还使用公知端口执行其他恶意应用程序。这些技术使得防火墙和入侵检测系统难以仅基于静态端口分配而正确地识别协议和应用程序类型。
响应于这些逃避检测的尝试,不使用静态端口列表,一些改进的防火墙和入侵检测系统可以基于签名或模式匹配操作来动态地确定与给定数据流相关联的协议和应用程序。例如,可以应用规则表达或子串匹配来检测数据流中定义的模式。然而,即使使用了动态应用程序识别,恶意用户可以试图用一种类型的应用程序欺骗(即,假装的)而使用另一种类型的应用程序,以试图绕过安全装置。如一个实例中,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。不用应用端口集的额外的匹配准则,如这里所描述的,与动态应用程序识别和可能的动态用户确定相联合,这种欺骗可不被安全装置检测。
如将详细描述的,本发明的技术允许安全装置应用包括静态第四层端口列表或端口排列的附加匹配准则的策略,即使安全装置首先动态地确定第七层(L7)应用程序类型(以及可选地网络用户),而不关注任何静态端口限制。即,安全装置基于包流的包净荷中的应用层数据的检查来动态地识别与接收到的包流相关联的L7应用程序类型,而不是仅基于由包中头部指定的第四层端口来进行识别。
在一些实例中,策略可以包括允许的第四层端口列表,其中第四层端口指的是在包的传输层头部中找到的端口号,诸如包的TCP头部中的端口80。在另一实例中,策略可以包括特定端口,对于该特定端口不允许给定用户利用给定L7应用程序访问。如一个实例,这种策略可允许安全装置确定包流是绕过安全装置的尝试,并且安全装置可采取适当的动作,诸如丢弃与该包流相关联的其他包和/或向目标设备报警该攻击。如另一实例,这种策略可以允许安全装置防止企业网络5中的用户使用对等应用程序或其他不期望的应用程序而浪费网络资源。
如又一实例,这里描述的技术可允许将公知应用程序限制到非标准的第四层端口以用于管理员访问的服务。附加地,通过限制用户访问配置的端口列表,这里描述的技术防止黑客通过与策略相符的请求进行欺骗来访问植入在服务器上的木马。
在操作中,安全装置10识别所监控的通信中的包流。如上所述,安全装置10分析包流来识别包流的特征,包括动态地识别应用程序的类型。安全装置10还具有关于包流的源(例如用户名)和目的地的信息的知识。安全装置10将包流的特征和存储的策略进行比较以确定该特征是否与存储的策略的一组匹配准则相匹配。具体地,安全装置10的规则引擎配置为在动态识别第七层网络应用程序之后应用安全策略来确定包流是否与匹配准则指定的静态端口列表相匹配。如果找到匹配,则匹配策略指定的相应动作被应用到包流的包。例如,包可以被丢弃、允许、记录等。
在一些方面,定义的安全策略的源组件可以根据特定用户而被指定。这考虑了用户可以不被连接到单一的源IP地址的事实。然而,根据单独用户定义安全策略对于具有大量用户的大网络来说不是很好地成比例。对于改进的比例性的一个替换是根据企业网络中用户的角色来指定源组件。
此外,在一些方面,基于动态确定的网络应用程序的类型,安全装置10可以从包流的净荷透明地重组应用层通信,以检测由包流执行的网络攻击、病毒和其他恶意软件。安全装置10中的一组特定协议解码器可以分析应用层通信并识别应用层事务。大体上,“事务”指的是对等设备之间一系列限制的有关的应用层通信。例如,单一TCP连接可以被用来发送(接收)多个超文本传输协议(HTTP)请求(响应)。如一个实例,可以使用单一的TCP连接来到达包括多个图像和到HTML页的链接的单一网页。HTTP解码器将TCP连接中的每个请求/响应识别为不同的事务。这对防止特定攻击定义被应用到整个事务边界上是有用的。在一个实施例中,可以根据源和目的地因特网协议(IP)地址、协议、以及源和目的地端口号来识别事务。其他实施例可以以其他方式来识别事务,例如,通过使用介质访问控制(“MAC”)地址。
安全装置10可以使用从包头部获得的信息,诸如源网络地址(例如IP地址)来向域控制器12发送查询以获得与客户设备的用户相关联的相应的用户名。可选地,安全装置可以查询用户访问控制(UAC)设备或轻量级目录访问协议(LDAP)服务器。在一些情况中,由安全设备10存储的策略可以根据用户名或用户角色被写入。这里,安全装置10可以使用登陆信息来学习企业网络5中的用户角色。例如,可以关于安全检查(security clearance)或访问权限(例如管理员、第五级检查等)来定义用户角色。可选地,可以关于他或她在企业中的功能(诸如财政、市场、企业研究、最上层管理员、职员等)来定义用户角色。如另一个实施例,用户角色可以指出终点设备的安全情况,例如,设备对于安全修补是否已经更新、设备是否具有防病毒(AV)软件运行等。这些角色可以用来控制对网络资源的访问。
在一些实施例中,安全装置10的协议解码器分析应用层通信并提取特定协议元素。例如,对于FTP登陆事务,FTP解码器可以提取对应于用户名、目标设备名、客户设备名和其他信息的模式。
这些技术可以允许安全设备10在一些应用程序不再使用静态端口映射而是使用动态或随机的端口分配以试图逃避检测和约束的环境中提供改进的防火墙和/或入侵检测和防御服务。例如,即时通讯程序可以在一个端口上发起通信,但之后同意在一个不同的端口(有时称为“随机端口”)上通信。诸如对等程序的其他程序以及诸如Metasploit的黑客工具也可以动态确定端口。如所述,安全装置10可以包括存储的策略,该存储的策略不仅基于没有关于该确定的初始端口限制的动态识别的应用程序来允许或拒绝包流,还基于允许或拒绝关于特定端口的特定应用程序的附加的静态定义的端口集。在一些实施例中,可能地对于一个定义的时间段,安全装置10可以动态地创建允许许可的应用程序跳到端口列表中的一个不同的端口的新策略。
在一些实施例中,企业网络5可以包括位于企业网络5的不同区域(例如子网络)的多个安全装置。企业网络5可以包括操作为用于管理安全装置的中央设备的中央安全管理设备。虽然根据结合到执行防火墙功能或可选的入侵检测的独立安全装置10描述了图1中所示的实例,然而这里描述的功能也可以结合到其他设备中,诸如交换机19或路由器。
图1描绘的安全装置10的示例性实施例可以提供多个优点。例如,安全装置10可以减少或消除误报和漏报。误报可以是将包流不正确地识别为是恶意的。漏报是没有识别出恶意的包流。通过包括除了其中首先动态地进行确定而不限制特定端口的应用程序识别之外的端口列表的匹配准则,安全装置10通过将用于批准的应用程序(一旦确定)的允许的通信限制到特定的明确定义的端口,或选择性地在特定端口上阻止用于应用程序的通信,来帮助消除误报和漏报。
图2是示出了根据本发明原理通过将安全服务应用于接收到的包流来保护网络的示例性安全装置30的框图。安全装置30可以(例如)代表图1中的安全装置10。安全装置30通过将安全策略应用到由安全装置30所接收到的包流来控制对受保护网络的访问。安全装置30还可以控制从受保护网络到网络外部目的地的访问。例如,安全装置30可以控制哪种类型的应用程序可以允许被与受保护网络相关联的特定用户或用户角色用在特定端口上。该端口集可以由单一端口、多端口、或一个或多个端口排列构成。
安全装置30包括确定向哪里发送接收到的包以及相应地向哪里转发该包的控制单元32。在图2所示的示例性实施例中,安全装置30包括用于经由外向链路36A-36N(“外向链路36”)和内向链路38A-38N(“内向链路38”)来通信包的接口卡(IFC)34A-34N(总地,“IFC 34”)。通过高速交换机40和链路42来相互连接IFC34。在一个实例中,交换机40包括交换结构、开关设备、可配置网络交换机或集线器等。链路42包括任意形式的通信路径,诸如集成电路内的电路径、外部数据总线、光链路、网络连接、无线连接、或其他类型的通信路径。IFC 34经由一定数量的接口端(未示出)连接至外向链路36和内向链路38。
在示出的实例中,安全装置30包括转发面44,其透明地监控内向网络通信46并将该网络通信作为外向网络通信48进行转发。在由图2示出的实例中,转发面44包括流分析模块50、规则引擎52、协议解码器54、转发组件56。安全装置30的控制单元32包括管理模块58。管理模块58呈现一个用户接口,通过该用户接口管理员配置安全装置30,例如,通过修改策略60或配置数据62(CONFIG.DATA)。此外,管理模块58可以呈现一个用户接口,通过该用户接口管理员可以修改关于包流特征的假设,诸如用于监控的最高优先权包流、用于应用程序的端口绑定、或确定与包流相关联的协议和应用程序类型的其他特征。管理模块58可以将用户接口呈现为基于文本的命令行接口、基于网页浏览器的接口、或其他类型的用户接口。
系统管理员可以通过与管理模块58交互来配置安全装置30。由系统管理员输入的配置信息可以被存储到配置数据62。作为另一个实例,系统管理员可以配置策略60。策略60包括指定匹配准则和相应的动作的策略。根据本发明的技术,安全装置10支持允许管理员或软件代理(software agent)定义安全策略的命令句法,该安全策略指定一旦接收到匹配特定准则的包,则控制单元32应当在该包之上执行的特定动作,诸如允许、拒绝、丢弃、或记录该包。规则引擎52访问策略60以确定所接收到的网络通信是否与任意策略60相匹配。策略60和配置数据62可以保持为一个或多个表、数据库、链路列表、根树、数据库、平面文件、或任意其他数据结构的形式。
策略可以以多种方式来定义源和目的地。例如,目的地被定义为一个目的地因特网协议(IP)地址、一组目的地IP地址和定义一组输出接口的输出区域中的一个。类似地,源可以被定义为一个源IP地址、一组源IP地址、和定义一组输入接口的输入区域中的一个。在其他情况下,源可以被定义为一个特定的用户(例如通过用户名)、或定义为一个通用用户角色。
安全装置30可以(例如)提供一个基于文本的命令行接口,通过该接口系统管理员或软件实体提供与用来配置策略的命令句法相一致的配置数据,如下:
policy from-source to-destination{
match{
source<s>;
destination<d>;
application<app>;
port<p>;
}
then{
actions;
}
}
在上述实例句法中,关键字“policy”指出管理员正在定义将要被安全装置30应用的安全策略。关键字“from-source”指出随后的文本指定了定义的源,对于应用的策略必须从该定义的源接收通信。关键字“to-destination”指出随后的文本指定了定义的目的地,对于应用的策略通信必须被发往该定义的目的地。如上所示,策略包括允许管理员指定包流准则的关键字“match”,包流准则诸如源(例如,源网络地址)、目的地(例如,目的地网络地址)、端口(即,源端口和/或目的地端口)、应用程序或其他准则。此外,策略指定将应用到网络通信的一个或多个动作,该网络通信经由“from-source”被接收用于“to-destination”上的输出并且与策略中指定的任意包流准则匹配。之后安全装置30将策略中列举的动作应用到满足这些条件的网络通信。实例动作包括包过滤、包记录、入侵检测和防御、病毒扫描、网络地址转换(NAT)、基于策略的认证等。
如另一个实例,安全装置30可以提供一个基于文本的命令行接口,通过该接口系统管理员或软件代理提供与用于配置策略的命令句法相一致的配置数据,如下:
policy from-source to-destination{
match{
user-role<u>;
destination<d>;
application<app>;
port<p>;
}
then{
actions;
}
}
上述示出的策略句法与第一实例相似,除了“source”准则被“user-role”准则代替。因此,代替指定根据源网络地址的策略,策略可以根据用户角色来指定。
根据实例句法,管理员可以提供配置数据,如下:
policy from-Zone_Untrust to-Zone_Trust{
match{
user-role<administrator>;
destination<www.juniper.net>;
application<HTTP>;
port<tcp/80,tcp/8000>;
}
then{
allow;
}
}
不同于其中需要根据静态端口绑定或根据动态识别的应用程序来指定策略的传统的防火墙策略句法,管理模块58支持用于定义策略的改进的句法,该策略指定用于动态识别的应用程序和必须匹配的端口集。例如,在一些情况下,网络可以包括多个服务器,其中知道给定应用程序集将仅在特定端口上运行。这里描述的技术允许管理员将允许的应用程序请求限制于那些特定的端口,即使安全设备能够首先从包流动态地确定网络应用程序(例如HTTP)而不限制于应用程序和端口之间的静态映射。这提供了更具鲁棒性的防火墙策略。这里描述的句法允许用户享受访问改进的防火墙中的控制策略的动态应用程序识别方法的优点,同时还具有指定匹配端口集附加准则的灵活性,这可以弥补在仅基于动态应用程序识别的访问控制策略中找到的漏洞。
安全装置30接收来自公共网络6或IFC 34的一个内向链路38A上的一个节点8的网络通信。流分析模块50从交换机40接收作为向内通信46的网络通信并且识别通信中的包流。每个包流代表在网络通信中一个方向上的包流,并且通过至少一个源地址、目的地地址、和通信协议来识别。流分析模块50可以利用附加的信息来指定网络流,包括源介质访问控制(“MAC”)地址、目的地MAC地址、源端口、和目的地端口。其他实施例可以使用其他信息来识别网络流,诸如IP地址、VLAN标签、MPLS标签、或其他信息。
在一些情况中,流分析模块50可以基于包流的分析来确定与包流相关联的用户名。查询模块66可以利用在包流中的包头部中找到的IP地址向域控制器12(图1)发布一个查询68,以获得用户名、用户角色名、或与IP地址相关联的其他信息。查询模块66可以接收来自域控制器12的提供用户名、用户角色、或与IP地址相关联的其他信息的响应69。
大体上,规则引擎52检查内向通信以基于包流的特征动态地识别与每个包流相关联的网络应用程序的类型,诸如通过检查每个包的净荷的签名。以这种方式,应用程序识别是动态的在于,确定不是基于用于每种类型的应用程序的静态端口分配的,而是基于包内容的。在一些情况下,应用程序确定过程可以考虑指出或建议应用程序类型的通信会话的双向包流中的任意定时特性或可识别的握手。在一些方面,规则引擎52可以基于确定来进一步分析应用层通信的识别的应用程序类型来调用一个合适的协议解码器54。协议解码器54代表一个或多个指定协议的软件模块的集。每个协议解码器54对应于不同的通信协议或服务。可以由协议解码器54支持的通信协议的实例包括超文本传输协议(“HTTP”)、文件传输协议(“FTP”)、网络新闻传输协议(“NNTP”)、简单邮件传输协议(“SMTP”)、远程登录、域名系统(“DNS”)、Gopher、Finger、邮局协议(“POP”)、安全套接层(“SSL”)协议、轻量级目录访问协议(“LDAP”)、安全外壳(“SSH”)、服务消息块(“SMB”)以及其他协议。
协议解码器54分析重新组装的应用层通信并且输出指出应用层事务的事务数据。特别地,事务数据指出两对设备之间的一系列有关的应用层通信何时开始和结束。规则引擎52分析包流的重新组装的数据以识别与包流相关联的协议和应用程序类型。如果规则引擎52不能识别与包流相关联的协议和应用程序类型,则在一些实施例中规则引擎52可以使用公知的静态端口绑定作为默认的应用程序选择。
流分析模块50保持流表64中的数据,该流表描述了网络通信中出现的每个有效包流。流表64指定与每个有效包流相关联的网络元素,即,诸如与该包流相关联的源和目的地设备的网络地址、用户名、L7应用程序类型以及端口的信息。此外,流表64可以识别共同地形成客户机和服务器之间的单一通信会话的包流对。例如,流表64可以指出通信会话为相反方向上的包流对,用于流共享至少一些公共网络地址,以及包的传输层协议头部的第四层端口。
规则引擎52访问策略60以确定任意存储的策略是否与包流的包的传输层协议头部中的识别的源、目的地、应用程序类型以及第四层端口相匹配。如果找到匹配策略,则规则引擎52应用由匹配策略指定的相应的动作。实例动作可以包括允许、拒绝、丢弃、或记录包。如果没有找到匹配策略,则规则引擎52可以将默认动作应用到包流(例如允许或拒绝包流)。
在一些实施例中,安全装置30还可以执行深度包检查。例如,规则引擎52可以包括检查客户机到服务器包流和服务器到客户机包流两者的状态检查引擎以更加精确地识别应用程序类型和用于每个通信会话的下层协议。状态检查引擎可以应用攻击模式来识别网络攻击。关于这种状态检查引擎操作的进一步细节可以在2007年8月8日提交的标题为“Identifying Applications for IntrusionDetection Systems”的第11/835,923号申请中找到,其整体内容通过引证结合于此。这在(例如)恶意用户试图用一种类型的应用程序欺骗(即假装的)而使用另一种应用程序来试图绕过安全装置时是有帮助的。如一个实例,恶意用户可以试图通过欺骗的HTTP请求包围安全装置而实际上使用对等协议。安全装置30可以从服务器的响应确定原始的包流仅仅是试图绕过安全装置30并且可以采取适当的动作,诸如丢弃与该包流相关联的其它包和/或向目标设备报警该攻击。
图2中示出的安全装置30的构造仅用于示例性目的。本发明不限于这种构造。在其他实施例中,安全装置30可以以多种方式配置。在一个实施例中,例如,控制单元32的一些功能性可以被分布在IFC 34中。在另一个实施例中,控制单元32可以包括执行路由功能并保持路由信息库(RIB)(例如,路由信息)的路由引擎,以及基于根据RIB生成的转发信息库(FIB)(例如转发信息)执行包转发的转发引擎。此外,虽然关于安全装置30进行了描述,这里描述的转发技术可以被应用于其他类型的网络设备,诸如网关、交换机、服务器、工作站或其他网络设备。
控制单元32可以被仅实现为软件、或硬件、或可以被实现为软件、硬件或固件的组合。例如,控制单元32可以包括执行软件指令的一个或多个处理器。在该情况下,控制单元32的多种软件模块可以包括存储在诸如计算机存储器或硬盘的计算机可读存储介质上的可执行的指令。
图3是更详细地示出了规则引擎52的示例性实施例的方框图。在该示例性实施例中,规则引擎52包括重组模块70,应用程序识别模块71。此外,规则引擎52包括数据缓冲器75和策略比较模块72。重组模块70接收内向网络通信46并根据包流重新组装应用层通信。重组模块70向合适的协议解码器54转发重新组装的应用层通信用于处理。
应用程序识别模块71识别用于每个截取的通信会话的应用程序类型,诸如使用HTTP的SQL。当规则引擎52接收作为包流一部分的包时,重组模块70将该包缓存至数据缓冲器75。在一个实施例中,数据缓冲器75可以将数据存储为滑动窗口。即,数据缓冲器75可以存储数据直到变满或达到用于识别的特定要求的最大数据量。当为满时,数据缓冲器75丢弃特定数据来为存储的新数据开辟空间。在一个实施例中,数据缓冲器75可以根据先入先出(“FIFO”)型协议存储和丢弃数据,在该协议中当数据缓冲器75变满时最先被存储的数据是最先被丢弃的数据。在另一个实施例中,数据缓冲器75可以根据最近最少使用协议来丢弃数据,其中当数据缓冲器75为满时,最近最少使用的包流将被丢弃以为要存储的新数据开辟空间。
在一个实施例中,重组模块70可以根据5元组{源IP地址、目的IP地址、协议、源端口、目的端口}将包流中的包相关联并将多个流打包为通信会话。其他实施例可以使用相关联的包的其他形式。例如,在一个实施例中,安全装置30可以是利用虚拟局域网络(VLAN)的网络的一部分。因此,重组模块70可以根据VLAN标识符、源地址和目的地地址将包流中的包相关联。在任何情况下,重组模块70可以利用流表64(图2)中保持的信息来重新组装网络数据,例如,来形成重新组装的TCP数据。
应用程序识别模块71分析为包流重组的数据来识别与包流相关联的应用程序类型。如果应用程序识别模块71不能识别与包流相关联的应用程序类型,则应用程序识别模块71可以使用公知的静态端口绑定作为默认的应用程序选择。此外,管理员可以使用管理模块58配置静态端口映射。
在应用程序识别模块71不能识别包流的应用程序类型的情况下,应用程序识别模块71可以使用默认的静态端口映射来确定应用程序,使得安全装置30相应地进行响应。在一些情况下,应用程序识别模块71不能够识别应用程序并且静态端口映射不具有所请求的端口号的入口。多种实施例可以根据(例如)系统管理员的说明来处置该情况。例如,在一个实施例中,由于未知应用程序可指出包流没有指向已知会引起安全威胁的任何类型的应用程序,则安全装置30简单地转发具有不能被静态端口映射确定的未确定的应用程序类型的该包流。在其他实施例中,安全装置30可自动地丢弃具有不能被静态端口映射确定的未知应用程序类型的包流。
应用程序识别模块71可以包括相似应用程序类型的等级顺序列表。应用程序识别模块71可以将该列表作为树结构存储在计算机可读介质中。安全管理模块44可以向管理员提供用户接口来修改列表的内容和等级。一旦接收到属于多个相似应用程序之一的包流,应用程序识别模块71可以通过选择被指为与包流相应的列表中最高等级应用程序的应用程序类型来预先最好地猜测应用程序。由于应用程序识别模块71接收关于包流的更多信息,应用程序识别模块71可以相应地改变原始的确定。在确定应用程序之后,应用程序识别模块71可以高速缓存随后比较的确定。
如上所述,流分析模块50(图2)(诸如)基于包头部识别与包流相关联的源(具体地,用户或用户角色)、目的地、和端口。流分析模块50可以将该信息提供给规则引擎52,其可以高速缓存用于随后比较的该信息。规则引擎52的策略比较模块72将识别的包流的特征,例如用户或用户角色、目的地、应用程序类型和端口,与策略60进行比较。策略比较模块72可以使用多种方法用于执行该比较。例如,策略60可以使用散列执行作为参考。如另一个实例,策略60可以被保持为特里数据结构,其中策略比较模块72查询第一特征,并且之后基于第一特征指向特里数据结构的给定部分,之后策略比较模块72查询第二特征,等等。例如,策略比较模块72可以首先查询包流的用户角色特征,并且之后指向特里数据结构中指定用户角色的子集。策略比较模块72之后可查询指出用户角色的特里分支中的包流的应用程序类型,并且之后指向指出该应用程序类型的数据结构的另一个子集。仅为该用户角色和该应用程序类型指定某些端口。例如,使用HTTP的“第五级访问”的用户角色可以仅在端口80或8000上被允许。
一旦策略比较模块72在策略60中找到匹配策略,则规则引擎52将如匹配策略所指定的将对应的动作应用到包流上。实例动作包括允许、丢弃、和/或记录包流的包。如果没有找到匹配策略,则规则引擎52可以将默认动作应用到包流上(例如允许或拒绝包流)。
在一些实施例中,规则引擎52可以记录关于触发策略60匹配的包流的特定信息。例如,策略比较模块72可以维持记录数据73。记录数据73可以记录匹配包流是否被允许或拒绝、被允许或拒绝的用户的识别、包流使用的哪种应用程序、包流使用的哪个端口、时间戳、以及其他信息。该信息在创建进一步的安全策略中是有用的。在一些实施例中,规则引擎52可以动态地更新策略60以基于由安全装置30检测的包流“快速地”安装新的策略。
图4是示出了根据本发明原理的安全装置的示例性操作的流程图。对于示例性目的,参照安全装置30(图2)来描述图4。初始地,管理模块58从管理员接收配置信息,并且作为响应,配置安全装置30以监控感兴趣的网络或网络部分(例如子网络)(76)。在该处理期间,管理模块58可以呈现一个用户接口,管理员通过该接口可以指定安全策略或其他信息。根据本发明的技术,管理模块58支持允许管理员或软件代理根据由源(例如用户或用户角色)、目的地、应用程序、和端口集构成的匹配准则来指定安全策略的命令句法。
一旦被配置,安全装置30监控网络通信46(77)。在一些配置中,转发面44的规则引擎52可以接收网络通信并为分析目的而反映网络通信。转发组件56无缝地转发原始的网络通信。在其他实施例中,通信不被反映,而是使用线路速率缓冲方法来在转发之前实时分析该通信。
流分析模块50分析网络通信以识别包流并更新流表64以描述网络通信中出现的每一个有效流。例如,流分析模块50基于包流中的包头部来识别与包流相关联的目的地网络地址,诸如目的地IP地址(78)。流分析模块50还识别与包流相关联的源(80)。例如,流分析模块50可以从包流的包头部提取源网络地址(例如源IP地址),并且可以利用源IP地址调用查询模块66来向域控制器、UAC、或LDAP服务器发布查询以获得与包流的源有关的用户名、用户角色、或其他信息。流分析模块50还在包中的传输层协议头部中识别第四层端口,诸如包的TCP头部中的端口80(82)。
规则引擎52在数据缓冲器75中缓存每个流的包,并且将包流中包的净荷重新组装为第七层应用层数据(80)。规则引擎52可以在进行应用程序识别之前等待直到从净荷重新组装了充足且最小量的应用层数据。由于包可以无序地到达,因此重组模块70可以在执行应用层数据分析之前等待直到到达了确定包流开始的足够的数据。
在识别了包流的开始之后,应用程序识别模块71分析从包净荷重新组装的应用层数据以动态地确定传输的包流的第七层应用程序类型,诸如Skype、超文本传输协议(“HTTP”)、文件传输协议(“FTP”)、网络新闻传输协议(“NNTP”)、简单邮件传输协议(“SMTP”)、远程登录、域名系统(“DNS”)、Gopher、Finger、邮局协议(“POP”)、安全套接层(“SSL”)协议、轻量级目录访问协议(“LDAP”)、安全外壳(“SSH”)、服务消息块(“SMB”)、以及其他第七层应用程序(84)。该确定可以基于签名或从净荷中的字节计算的特征(profile)、相对于在包流的每个包中接收到的数据量的接收到的包流的模式、以及每个包的定时、或其他特征。
在一些方面,当应用程序识别模块71不能识别定义的确信度之内的应用程序类型时,应用程序识别模块71可以使用静态端口绑定列表来选择默认的应用程序类型。在一些配置中,当应用到包流的初始模式没有显示足够的细节以选择第七层应用程序类型时,应用程序识别模块71可以使用函数指针来帮助识别应用程序。即,应用程序识别模块71可以维持一组附加的函数(即软件程序)来检查特定字段并在包含其中的数据上执行特定的功能以识别应用程序类型。函数指针还可以在由包流携带的净荷的一个或多个字段上执行操作以产生网络攻击的指示。
在一些实施例中,应用程序识别模块71可以利用预定的函数指针调用一个或多个函数以在确定通信会话的协议和应用程序类型时提供更深水平的分析。应用程序识别模块71也可以在一些情况下调用适当的协议解码器54以基于应用程序和协议确定来进一步分析应用层通信(即深度包检查)。
流分析模块50更新流表64以反应识别的包流特性(88),包括确定的源、目的地、第七层应用程序、协议、以及端口。规则引擎52访问策略60以基于识别的特征确定包流是否与任意存储的策略60相匹配(90)。具体地,在基于包流的包净荷中的应用层数据的检查动态地识别与接收到的包流相关联的第七层网络应用程序的类型之后,规则引擎52应用策略60来确定包流是否与由匹配准则指定的静态端口列表相匹配。如果包流与策略60中的一个相匹配(91)(即,匹配由策略60的匹配准则指定的静态端口列表中的一个),规则引擎根据匹配策略执行适当的动作(92)。如果包流没有与任意策略60相匹配,则规则引擎可以将默认动作应用到不匹配的包流(94),诸如拒绝包流或允许包流通过转发组件56作外为向网络通信48被转发。
已经描述了本发明的多种实施例。这些和其他实施例在权利要求的范围之内。
Claims (14)
1.一种网络安全装置,包括:
接口,配置为接收包流;
控制单元,配置为支持安全策略的定义以控制所述包流对网络的访问,其中所述安全策略指定:
(a)包括第七层网络应用程序的匹配准则,和用于传输层协议的一个或多个第四层端口的静态端口列表,以及
(b)应用至与所述匹配准则相匹配的包流的动作,规则引擎,配置为基于所述包流的包净荷中的应用层数据的检查来动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于由所述包中头部指定的第四层端口来进行所述识别,其中所述规则引擎配置为在所述第七层网络应用程序的所述动态识别之后,应用所述安全策略来确定所述包流是否与由所述匹配准则指定的所述静态端口列表相匹配,
其中,一旦所述规则引擎确定了所述包流与所述静态端口列表相匹配,则所述控制单元将由所述安全策略指定的所述动作应用至所述包流。
2.根据权利要求1所述的网络安全装置,
其中,所述规则引擎配置为执行深度包检查和基于签名的应用程序识别来动态地识别第七层网络应用程序的类型,以及
其中,所述规则引擎配置为使用由所述包中头部所指定的所述第四层端口来动态地识别第七层网络应用程序的类型以选择要应用于所述基于签名的应用程序识别的一组模式。
3.根据权利要求1所述的网络安全装置,还包括:流分析模块,配置为分析所述包流中包的包头部,以识别与所述包流相关联的用于传输层协议的所述第四层端口;以及
流表,由所述流分析模块和所述规则引擎更新,以存储由所述规则引擎所识别的第七层网络应用程序,以及与所述包流相关联的第四层端口。
4.根据权利要求1所述的网络安全装置,
其中,所述匹配准则还包括网络源,
还包括查询模块,通过利用与所述包流相关联的源因特网协议(IP)地址查询域控制器来识别与所接收到的包流相关联的网络源,以获得与所述源IP地址相关联的用户名或用户角色中的一个。
5.根据权利要求1所述的网络安全装置,其中所述安全策略的匹配准则还包括网络目的地,其中所述网络目的地被定义为下列各项之一:目的地因特网协议(IP)地址、一组目的地IP地址、以及定义一组输出接口的输出区域。
6.根据权利要求1所述的网络安全装置,其中所述匹配准则还包括网络源,其中所述包流的所述网络源由所述安全策略根据用户、用户角色、源IP地址、一组源IP地址、以及定义一组输入接口的输入区域之一定义。
7.根据权利要求1所述的网络安全装置,其中用于所述传输层协议的一个或多个第四层端口由所述安全策略定义为一个第四层端口的排列。
8.根据权利要求1所述的网络安全装置,其中所述规则引擎动态地定义一个新的安全策略,所述新的安全策略允许匹配的包流在一个定义的时间段上在不同的第四层端口上对网络进行访问,所述第四层端口由所述安全策略的指定匹配准则所指定。
9.根据权利要求1所述的网络安全装置,其中,要应用的由所述安全策略指定的所述动作包括记录下列各项中的一个或多个:匹配包流是否被允许或拒绝、被允许或拒绝的所述用户的识别、所述包流使用哪种应用程序、所述包流使用哪个端口、以及指出匹配包流被检测时的时间戳。
10.一种利用网络安全装置控制对网络的访问的方法,包括:
利用所述网络安全装置的用户接口接收配置信息,其中所述配置信息指定由下列各项定义的安全策略:
(a)包括第七层网络应用程序的匹配准则,和用于传输层协议的一个或多个第四层端口的静态端口列表,以及
(b)应用至与所述匹配准则相匹配的包流的动作;
利用所述网络安全装置的接口接收包流;
利用所述网络安全装置的规则引擎,基于所述包流的包净荷中的应用层数据的检查来动态地识别与所接收到的包流相关联的第七层网络应用程序的类型,而不是仅基于在由所述包中头部指定的第四层端口来进行所述识别;
利用所述规则引擎,在所述第七层网络应用程序的所述动态识别之后,应用所述安全策略以确定所述包流是否与由所述匹配准则指定的所述静态端口列表相匹配;以及
一旦所述规则引擎确定了所述包流与所述静态端口列表相匹配,则将由所述安全策略指定的所述动作应用至所述包流。
11.根据权利要求10所述的方法,其中,基于应用层数据的检查动态地识别与所接收到的包流相关联的第七层网络应用程序的类型包括执行深度包检查和基于签名的应用程序识别以动态地识别第七层网络应用程序的类型,还包括:
利用流分析模块分析所述包流中包的包头部以识别与所述包流相关联的用于传输层协议的所述第四层端口;以及
更新利用所述流分析模块和所述规则引擎更新的流表,以存储与所述包流相关联的所识别的第七层网络应用程序和第四层端口。
12.根据权利要求10所述的方法,其中,所述安全策略的匹配准则还包括网络目的地,其中所述网络目的地被定义为下列各项之一:目的地因特网协议(IP)地址、一组目的地IP地址、以及定义一组输出接口的输出区域。
13.根据权利要求10所述的方法,其中所述匹配准则还包括网络源,其中所述包流的所述网络源由所述安全策略根据用户、用户角色之一定义,还包括:
通过利用与所述包流相关联的源因特网协议(IP)地址查询域控制器来识别与所接收到的包流相关联的所述网络源,以获得与所述源IP地址相关联的用户名或用户角色之一。
14.根据权利要求10所述的方法,还包括利用所述规则引擎动态地定义一个新的安全策略,所述新的安全策略允许匹配的包流在一个定义的时间段上在不同的第四层端口上对网络进行访问,所述第四层端口由所述安全策略的指定匹配准则所指定。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10413208P | 2008-10-09 | 2008-10-09 | |
| US61/104,132 | 2008-10-09 | ||
| US12/261,512 | 2008-10-30 | ||
| US12/261,512 US8572717B2 (en) | 2008-10-09 | 2008-10-30 | Dynamic access control policy with port restrictions for a network security appliance |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN101719899A true CN101719899A (zh) | 2010-06-02 |
Family
ID=41651438
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200910164019A Pending CN101719899A (zh) | 2008-10-09 | 2009-08-04 | 用于网络安全装置的具有端口限制的动态访问控制策略 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US8572717B2 (zh) |
| EP (1) | EP2175603A1 (zh) |
| CN (1) | CN101719899A (zh) |
Cited By (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102984243A (zh) * | 2012-11-20 | 2013-03-20 | 杭州迪普科技有限公司 | 一种ssl协议中应用的自动识别方法和装置 |
| CN103281333A (zh) * | 2013-06-17 | 2013-09-04 | 苏州山石网络有限公司 | 数据流的转发方法及装置 |
| CN103428229A (zh) * | 2012-05-14 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 数据中心系统、装置及提供服务的方法 |
| CN104104526A (zh) * | 2013-04-01 | 2014-10-15 | 深圳维盟科技有限公司 | 上网行为监控方法、装置和系统 |
| CN104168203A (zh) * | 2014-09-03 | 2014-11-26 | 上海斐讯数据通信技术有限公司 | 一种基于流表的处理方法及系统 |
| CN106470206A (zh) * | 2015-08-14 | 2017-03-01 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN111552953A (zh) * | 2019-02-12 | 2020-08-18 | Sap门户以色列有限公司 | 安全策略作为服务 |
| CN112087415A (zh) * | 2019-06-12 | 2020-12-15 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN112217783A (zh) * | 2019-07-10 | 2021-01-12 | 罗伯特·博世有限公司 | 用于在通信网络中的攻击识别的设备和方法 |
| CN112584357A (zh) * | 2020-12-02 | 2021-03-30 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
| TWI777156B (zh) * | 2019-12-10 | 2022-09-11 | 威聯通科技股份有限公司 | 內部網路監控方法及使用其的內部網路監控系統 |
Families Citing this family (333)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8843617B2 (en) * | 2000-03-01 | 2014-09-23 | Printeron Inc. | Multi-stage polling mechanism and system for the transmission and processing control of network resource data |
| CA2301996A1 (en) | 2000-03-13 | 2001-09-13 | Spicer Corporation | Wireless attachment enabling |
| US9418040B2 (en) * | 2005-07-07 | 2016-08-16 | Sciencelogic, Inc. | Dynamically deployable self configuring distributed network management system |
| US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| FR2925807B1 (fr) * | 2007-12-20 | 2010-02-19 | Inst Nat Rech Inf Automat | Moniteur de systeme de communication par messages ameliore |
| US9479405B1 (en) * | 2008-04-17 | 2016-10-25 | Narus, Inc. | Transaction based network application signatures for text based protocols |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US8432919B2 (en) * | 2009-02-25 | 2013-04-30 | Cisco Technology, Inc. | Data stream classification |
| US8266673B2 (en) * | 2009-03-12 | 2012-09-11 | At&T Mobility Ii Llc | Policy-based privacy protection in converged communication networks |
| US9398043B1 (en) | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
| US8942233B2 (en) * | 2009-09-08 | 2015-01-27 | Wichorus, Inc. | Method and apparatus for performing network address translation |
| US9013992B2 (en) * | 2009-09-08 | 2015-04-21 | Wichorus, Inc. | Method and apparatus for network address translation |
| US8990424B2 (en) * | 2009-09-08 | 2015-03-24 | Wichorus, Inc. | Network address translation based on recorded application state |
| JP5300076B2 (ja) * | 2009-10-07 | 2013-09-25 | 日本電気株式会社 | コンピュータシステム、及びコンピュータシステムの監視方法 |
| WO2011099365A1 (ja) * | 2010-02-12 | 2011-08-18 | 日本電気株式会社 | ネットワークシステム及び輻輳制御方法 |
| US8566906B2 (en) | 2010-03-31 | 2013-10-22 | International Business Machines Corporation | Access control in data processing systems |
| EP2564572B1 (en) * | 2010-04-30 | 2014-05-21 | InterDigital Patent Holdings, Inc. | Light weight protocol and agent in a network communication |
| CN102244666A (zh) * | 2010-05-10 | 2011-11-16 | 中兴通讯股份有限公司 | M2m平台处理报文的方法和m2m平台系统 |
| JP5630070B2 (ja) * | 2010-05-14 | 2014-11-26 | 富士通株式会社 | 中継装置、プログラム及び方法 |
| US8570566B2 (en) | 2010-09-17 | 2013-10-29 | Printeron Inc. | System and method that provides user interface on mobile network terminal for releasing print jobs based on location information |
| US8970873B2 (en) | 2010-09-17 | 2015-03-03 | Printeron Inc. | System and method for managing printer resources on an internal network |
| US8509071B1 (en) | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
| US8719449B2 (en) * | 2010-11-29 | 2014-05-06 | Telefonaktiebolaget L M Ericsson (Publ) | Identification of a private device in a public network |
| US9760329B2 (en) | 2010-11-30 | 2017-09-12 | Printeron Inc. | System for internet enabled printing |
| WO2012086816A1 (ja) * | 2010-12-24 | 2012-06-28 | 日本電気株式会社 | 通信システム、制御装置、ポリシ管理装置、通信方法およびプログラム |
| CN102571751B (zh) * | 2010-12-24 | 2014-12-31 | 佳能It解决方案株式会社 | 中继处理装置及其控制方法 |
| US8499348B1 (en) * | 2010-12-28 | 2013-07-30 | Amazon Technologies, Inc. | Detection of and responses to network attacks |
| US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
| US20120294158A1 (en) * | 2011-05-16 | 2012-11-22 | General Electric Company | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
| US20120297483A1 (en) * | 2011-05-16 | 2012-11-22 | General Electric Company | Systems, methods, and apparatus for network intrusion detection based on monitoring network traffic |
| US8612612B1 (en) * | 2011-09-28 | 2013-12-17 | Juniper Networks, Inc. | Dynamic policy control for application flow processing in a network device |
| US8555369B2 (en) | 2011-10-10 | 2013-10-08 | International Business Machines Corporation | Secure firewall rule formulation |
| US20130111542A1 (en) * | 2011-10-31 | 2013-05-02 | Choung-Yaw Michael Shieh | Security policy tokenization |
| US9529995B2 (en) | 2011-11-08 | 2016-12-27 | Varmour Networks, Inc. | Auto discovery of virtual machines |
| US8898795B2 (en) | 2012-02-09 | 2014-11-25 | Harris Corporation | Bridge for communicating with a dynamic computer network |
| US8819818B2 (en) | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
| US8935780B2 (en) | 2012-02-09 | 2015-01-13 | Harris Corporation | Mission management for dynamic computer networks |
| US8935786B2 (en) | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
| US9130907B2 (en) | 2012-05-01 | 2015-09-08 | Harris Corporation | Switch for communicating data in a dynamic computer network |
| US9154458B2 (en) | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
| US8959573B2 (en) | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
| US8966626B2 (en) | 2012-05-01 | 2015-02-24 | Harris Corporation | Router for communicating data in a dynamic computer network |
| US9075992B2 (en) * | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
| US8898782B2 (en) | 2012-05-01 | 2014-11-25 | Harris Corporation | Systems and methods for spontaneously configuring a computer network |
| US9356844B2 (en) * | 2012-05-03 | 2016-05-31 | Intel Corporation | Efficient application recognition in network traffic |
| US9497212B2 (en) | 2012-05-21 | 2016-11-15 | Fortinet, Inc. | Detecting malicious resources in a network based upon active client reputation monitoring |
| US8775672B2 (en) * | 2012-06-13 | 2014-07-08 | Hulu, LLC | Architecture for simulation of network conditions for video delivery |
| CN103684830B (zh) * | 2012-09-18 | 2016-11-09 | 北京网康科技有限公司 | 控制用户识别的方法、装置和系统 |
| US9268881B2 (en) | 2012-10-19 | 2016-02-23 | Intel Corporation | Child state pre-fetch in NFAs |
| US9565213B2 (en) | 2012-10-22 | 2017-02-07 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US9137205B2 (en) | 2012-10-22 | 2015-09-15 | Centripetal Networks, Inc. | Methods and systems for protecting a secured network |
| US10341232B2 (en) * | 2012-11-13 | 2019-07-02 | Netronome Systems, Inc. | Packet prediction in a multi-protocol label switching network using openflow messaging |
| US9344384B2 (en) * | 2012-11-13 | 2016-05-17 | Netronome Systems, Inc. | Inter-packet interval prediction operating algorithm |
| US9117170B2 (en) | 2012-11-19 | 2015-08-25 | Intel Corporation | Complex NFA state matching method that matches input symbols against character classes (CCLs), and compares sequence CCLs in parallel |
| US9665664B2 (en) | 2012-11-26 | 2017-05-30 | Intel Corporation | DFA-NFA hybrid |
| US9251324B2 (en) * | 2012-12-13 | 2016-02-02 | Microsoft Technology Licensing, Llc | Metadata driven real-time analytics framework |
| US9304768B2 (en) | 2012-12-18 | 2016-04-05 | Intel Corporation | Cache prefetch for deterministic finite automaton instructions |
| US9252972B1 (en) | 2012-12-20 | 2016-02-02 | Juniper Networks, Inc. | Policy control using software defined network (SDN) protocol |
| CN103250382B (zh) * | 2012-12-28 | 2017-04-26 | 华为技术有限公司 | 分流方法、设备和系统 |
| US9203806B2 (en) | 2013-01-11 | 2015-12-01 | Centripetal Networks, Inc. | Rule swapping in a packet network |
| US9268570B2 (en) | 2013-01-23 | 2016-02-23 | Intel Corporation | DFA compression and execution |
| US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
| WO2014134538A1 (en) | 2013-02-28 | 2014-09-04 | Xaptum, Inc. | Systems, methods, and devices for adaptive communication in a data communication network |
| US9124552B2 (en) | 2013-03-12 | 2015-09-01 | Centripetal Networks, Inc. | Filtering network data transfers |
| US8867343B2 (en) * | 2013-03-15 | 2014-10-21 | Extrahop Networks, Inc. | Trigger based recording of flows with play back |
| US9094445B2 (en) | 2013-03-15 | 2015-07-28 | Centripetal Networks, Inc. | Protecting networks from cyber attacks and overloading |
| DK2973160T3 (da) * | 2013-03-15 | 2020-01-13 | Netop Solutions As | System og fremgangsmåde til sikker anvendelse af kommunikation mellem netværksprocessorer |
| US8626912B1 (en) | 2013-03-15 | 2014-01-07 | Extrahop Networks, Inc. | Automated passive discovery of applications |
| TW201501487A (zh) * | 2013-06-28 | 2015-01-01 | Ibm | 無網路位址之端點管理資訊設備 |
| WO2015023256A1 (en) * | 2013-08-12 | 2015-02-19 | Hewlett-Packard Development Company, L.P. | Application-aware network management |
| US9503324B2 (en) | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
| US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
| US9338183B2 (en) | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
| US10122708B2 (en) | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
| WO2015084327A1 (en) | 2013-12-03 | 2015-06-11 | Hewlett-Packard Development Company, L.P. | Security action of network packet based on signature and reputation |
| US9923870B2 (en) * | 2013-12-12 | 2018-03-20 | Nec Corporation | Method and system for analyzing a data flow |
| WO2015108514A1 (en) * | 2014-01-15 | 2015-07-23 | Hewlett-Packard Development Company, L.P. | Security and access control |
| US9998426B2 (en) | 2014-01-30 | 2018-06-12 | Sierra Nevada Corporation | Bi-directional data security for control systems |
| WO2016154036A1 (en) * | 2015-03-25 | 2016-09-29 | Sierra Nevada Corporation | Bi-directional data security for supervisor control and data acquisition networks |
| US9531669B2 (en) | 2014-01-30 | 2016-12-27 | Sierra Nevada Corporation | Bi-directional data security for supervisor control and data acquisition networks |
| US9356882B2 (en) | 2014-02-04 | 2016-05-31 | Printeron Inc. | Streamlined system for the transmission of network resource data |
| US9560081B1 (en) | 2016-06-24 | 2017-01-31 | Varmour Networks, Inc. | Data network microsegmentation |
| US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
| US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
| US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
| US10102019B2 (en) * | 2014-06-09 | 2018-10-16 | Verizon Patent And Licensing Inc. | Analyzing network traffic for layer-specific corrective actions in a cloud computing environment |
| US9853876B1 (en) * | 2014-06-13 | 2017-12-26 | Narus, Inc. | Mobile application identification in network traffic via a search engine approach |
| US9888033B1 (en) * | 2014-06-19 | 2018-02-06 | Sonus Networks, Inc. | Methods and apparatus for detecting and/or dealing with denial of service attacks |
| US9311504B2 (en) | 2014-06-23 | 2016-04-12 | Ivo Welch | Anti-identity-theft method and hardware database device |
| KR101564644B1 (ko) * | 2014-07-03 | 2015-10-30 | 한국전자통신연구원 | 접근제어리스트 추출 방법 및 시스템 |
| US10015205B1 (en) * | 2014-07-23 | 2018-07-03 | Microsoft Israel Research And Development (2002) Ltd. | Techniques for traffic capture and reconstruction |
| US9531672B1 (en) * | 2014-07-30 | 2016-12-27 | Palo Alto Networks, Inc. | Network device implementing two-stage flow information aggregation |
| CN105471824A (zh) * | 2014-09-03 | 2016-04-06 | 阿里巴巴集团控股有限公司 | 实现浏览器调用本地业务组件的方法、装置及系统 |
| US9942158B2 (en) * | 2014-09-25 | 2018-04-10 | Dell Products L.P. | Data traffic policy management system |
| US20170230252A1 (en) * | 2014-10-24 | 2017-08-10 | ZTE CORPORATION (CHINA) ZTE Plaza | Method and system for deep stats inspection (dsi) based smart analytics for network/service function chaining |
| US9264370B1 (en) | 2015-02-10 | 2016-02-16 | Centripetal Networks, Inc. | Correlating packets in communications networks |
| WO2016144217A1 (en) * | 2015-03-09 | 2016-09-15 | Saab Ab | Secure data transfer |
| US10178070B2 (en) | 2015-03-13 | 2019-01-08 | Varmour Networks, Inc. | Methods and systems for providing security to distributed microservices |
| US9294442B1 (en) | 2015-03-30 | 2016-03-22 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9467476B1 (en) | 2015-03-13 | 2016-10-11 | Varmour Networks, Inc. | Context aware microsegmentation |
| US9609026B2 (en) | 2015-03-13 | 2017-03-28 | Varmour Networks, Inc. | Segmented networks that implement scanning |
| US9438634B1 (en) | 2015-03-13 | 2016-09-06 | Varmour Networks, Inc. | Microsegmented networks that implement vulnerability scanning |
| US10193929B2 (en) | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
| EP3261304B1 (en) * | 2015-03-18 | 2022-04-20 | Huawei Technologies Co., Ltd. | Method and apparatus for performing communication in software-defined networking, and communications system |
| US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
| US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
| US9525697B2 (en) | 2015-04-02 | 2016-12-20 | Varmour Networks, Inc. | Delivering security functions to distributed networks |
| US10142287B2 (en) | 2015-04-06 | 2018-11-27 | Nicira, Inc. | Distributed network security controller cluster for performing security operations |
| US9866576B2 (en) * | 2015-04-17 | 2018-01-09 | Centripetal Networks, Inc. | Rule-based network-threat detection |
| US9338147B1 (en) | 2015-04-24 | 2016-05-10 | Extrahop Networks, Inc. | Secure communication secret sharing |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
| US9736165B2 (en) | 2015-05-29 | 2017-08-15 | At&T Intellectual Property I, L.P. | Centralized authentication for granting access to online services |
| US10142353B2 (en) * | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| CN107646187A (zh) * | 2015-06-12 | 2018-01-30 | 慧与发展有限责任合伙企业 | 应用标识高速缓存 |
| US9483317B1 (en) | 2015-08-17 | 2016-11-01 | Varmour Networks, Inc. | Using multiple central processing unit cores for packet forwarding in virtualized networks |
| CN108027774B (zh) * | 2015-09-03 | 2022-05-24 | 三星电子株式会社 | 用于自适应缓存管理的方法和装置 |
| KR102362941B1 (ko) * | 2015-09-03 | 2022-02-16 | 삼성전자 주식회사 | 적응적으로 캐시를 관리하는 방법 및 장치 |
| US9723027B2 (en) | 2015-11-10 | 2017-08-01 | Sonicwall Inc. | Firewall informed by web server security policy identifying authorized resources and hosts |
| US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
| US9860259B2 (en) | 2015-12-10 | 2018-01-02 | Sonicwall Us Holdings Inc. | Reassembly free deep packet inspection for peer to peer networks |
| US9917856B2 (en) | 2015-12-23 | 2018-03-13 | Centripetal Networks, Inc. | Rule-based network-threat detection for encrypted communications |
| US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
| CA3006418A1 (en) * | 2015-12-31 | 2017-07-06 | Cyber 2.0 (2015) Ltd. | Monitoring traffic in a computer network |
| US11729144B2 (en) | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
| US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
| US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
| US10204211B2 (en) | 2016-02-03 | 2019-02-12 | Extrahop Networks, Inc. | Healthcare operations with passive network monitoring |
| US10430442B2 (en) | 2016-03-09 | 2019-10-01 | Symantec Corporation | Systems and methods for automated classification of application network activity |
| US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
| US20220164840A1 (en) | 2016-04-01 | 2022-05-26 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US11244367B2 (en) | 2016-04-01 | 2022-02-08 | OneTrust, LLC | Data processing systems and methods for integrating privacy information management systems with data loss prevention tools or other tools for privacy design |
| US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10896394B2 (en) | 2016-06-10 | 2021-01-19 | OneTrust, LLC | Privacy management systems and methods |
| US11366909B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11328092B2 (en) | 2016-06-10 | 2022-05-10 | OneTrust, LLC | Data processing systems for processing and managing data subject access in a distributed environment |
| US10685140B2 (en) | 2016-06-10 | 2020-06-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11301796B2 (en) | 2016-06-10 | 2022-04-12 | OneTrust, LLC | Data processing systems and methods for customizing privacy training |
| US11222309B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11354435B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for data testing to confirm data deletion and related methods |
| US11238390B2 (en) | 2016-06-10 | 2022-02-01 | OneTrust, LLC | Privacy management systems and methods |
| US10510031B2 (en) | 2016-06-10 | 2019-12-17 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US11562097B2 (en) | 2016-06-10 | 2023-01-24 | OneTrust, LLC | Data processing systems for central consent repository and related methods |
| US11294939B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11461500B2 (en) | 2016-06-10 | 2022-10-04 | OneTrust, LLC | Data processing systems for cookie compliance testing with website scanning and related methods |
| US11416590B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10606916B2 (en) | 2016-06-10 | 2020-03-31 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10949565B2 (en) | 2016-06-10 | 2021-03-16 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11210420B2 (en) | 2016-06-10 | 2021-12-28 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US11403377B2 (en) | 2016-06-10 | 2022-08-02 | OneTrust, LLC | Privacy management systems and methods |
| US11188862B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Privacy management systems and methods |
| US11151233B2 (en) | 2016-06-10 | 2021-10-19 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10284604B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing and scanning systems for generating and populating a data inventory |
| US10944725B2 (en) | 2016-06-10 | 2021-03-09 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US11341447B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Privacy management systems and methods |
| US11188615B2 (en) | 2016-06-10 | 2021-11-30 | OneTrust, LLC | Data processing consent capture systems and related methods |
| US11418492B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for using a data model to select a target data asset in a data migration |
| US10909265B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Application privacy scanning systems and related methods |
| US11586700B2 (en) | 2016-06-10 | 2023-02-21 | OneTrust, LLC | Data processing systems and methods for automatically blocking the use of tracking tools |
| US11222142B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems for validating authorization for personal data collection, storage, and processing |
| US10282559B2 (en) | 2016-06-10 | 2019-05-07 | OneTrust, LLC | Data processing systems for identifying, assessing, and remediating data processing risks using data modeling techniques |
| US10909488B2 (en) | 2016-06-10 | 2021-02-02 | OneTrust, LLC | Data processing systems for assessing readiness for responding to privacy-related incidents |
| US11475136B2 (en) | 2016-06-10 | 2022-10-18 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11222139B2 (en) | 2016-06-10 | 2022-01-11 | OneTrust, LLC | Data processing systems and methods for automatic discovery and assessment of mobile software development kits |
| US10997318B2 (en) | 2016-06-10 | 2021-05-04 | OneTrust, LLC | Data processing systems for generating and populating a data inventory for processing data access requests |
| US10467432B2 (en) | 2016-06-10 | 2019-11-05 | OneTrust, LLC | Data processing systems for use in automatically generating, populating, and submitting data subject access requests |
| US10783256B2 (en) | 2016-06-10 | 2020-09-22 | OneTrust, LLC | Data processing systems for data transfer risk identification and related methods |
| US11228620B2 (en) * | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11343284B2 (en) | 2016-06-10 | 2022-05-24 | OneTrust, LLC | Data processing systems and methods for performing privacy assessments and monitoring of new versions of computer code for privacy compliance |
| US11336697B2 (en) | 2016-06-10 | 2022-05-17 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11651104B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11227247B2 (en) | 2016-06-10 | 2022-01-18 | OneTrust, LLC | Data processing systems and methods for bundled privacy policies |
| US11520928B2 (en) | 2016-06-10 | 2022-12-06 | OneTrust, LLC | Data processing systems for generating personal data receipts and related methods |
| US11157600B2 (en) | 2016-06-10 | 2021-10-26 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US10169609B1 (en) | 2016-06-10 | 2019-01-01 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11651106B2 (en) | 2016-06-10 | 2023-05-16 | OneTrust, LLC | Data processing systems for fulfilling data subject access requests and related methods |
| US11354434B2 (en) | 2016-06-10 | 2022-06-07 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11138299B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11481710B2 (en) | 2016-06-10 | 2022-10-25 | OneTrust, LLC | Privacy management systems and methods |
| US11366786B2 (en) | 2016-06-10 | 2022-06-21 | OneTrust, LLC | Data processing systems for processing data subject access requests |
| US11134086B2 (en) | 2016-06-10 | 2021-09-28 | OneTrust, LLC | Consent conversion optimization systems and related methods |
| US10740487B2 (en) | 2016-06-10 | 2020-08-11 | OneTrust, LLC | Data processing systems and methods for populating and maintaining a centralized database of personal data |
| US11727141B2 (en) | 2016-06-10 | 2023-08-15 | OneTrust, LLC | Data processing systems and methods for synching privacy-related user consent across multiple computing devices |
| US11625502B2 (en) | 2016-06-10 | 2023-04-11 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11392720B2 (en) | 2016-06-10 | 2022-07-19 | OneTrust, LLC | Data processing systems for verification of consent and notice processing and related methods |
| US11277448B2 (en) | 2016-06-10 | 2022-03-15 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US11675929B2 (en) | 2016-06-10 | 2023-06-13 | OneTrust, LLC | Data processing consent sharing systems and related methods |
| US10318761B2 (en) | 2016-06-10 | 2019-06-11 | OneTrust, LLC | Data processing systems and methods for auditing data request compliance |
| US11438386B2 (en) | 2016-06-10 | 2022-09-06 | OneTrust, LLC | Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods |
| US10839102B2 (en) | 2016-06-10 | 2020-11-17 | OneTrust, LLC | Data processing systems for identifying and modifying processes that are subject to data subject access requests |
| US11295316B2 (en) | 2016-06-10 | 2022-04-05 | OneTrust, LLC | Data processing systems for identity validation for consumer rights requests and related methods |
| US11416109B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Automated data processing systems and methods for automatically processing data subject access requests using a chatbot |
| US10846433B2 (en) | 2016-06-10 | 2020-11-24 | OneTrust, LLC | Data processing consent management systems and related methods |
| US11636171B2 (en) | 2016-06-10 | 2023-04-25 | OneTrust, LLC | Data processing user interface monitoring systems and related methods |
| US10592648B2 (en) | 2016-06-10 | 2020-03-17 | OneTrust, LLC | Consent receipt management systems and related methods |
| US11416589B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing and scanning systems for assessing vendor risk |
| US11138242B2 (en) | 2016-06-10 | 2021-10-05 | OneTrust, LLC | Data processing systems and methods for automatically detecting and documenting privacy-related aspects of computer software |
| US11544667B2 (en) | 2016-06-10 | 2023-01-03 | OneTrust, LLC | Data processing systems for generating and populating a data inventory |
| US11416798B2 (en) | 2016-06-10 | 2022-08-16 | OneTrust, LLC | Data processing systems and methods for providing training in a vendor procurement process |
| US10878127B2 (en) | 2016-06-10 | 2020-12-29 | OneTrust, LLC | Data subject access request processing systems and related methods |
| US11144622B2 (en) | 2016-06-10 | 2021-10-12 | OneTrust, LLC | Privacy management systems and methods |
| US11410106B2 (en) | 2016-06-10 | 2022-08-09 | OneTrust, LLC | Privacy management systems and methods |
| US11200341B2 (en) | 2016-06-10 | 2021-12-14 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10678945B2 (en) | 2016-06-10 | 2020-06-09 | OneTrust, LLC | Consent receipt management systems and related methods |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US9787639B1 (en) | 2016-06-24 | 2017-10-10 | Varmour Networks, Inc. | Granular segmentation using events |
| US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
| US20180013798A1 (en) * | 2016-07-07 | 2018-01-11 | Cisco Technology, Inc. | Automatic link security |
| US9729416B1 (en) | 2016-07-11 | 2017-08-08 | Extrahop Networks, Inc. | Anomaly detection using device relationship graphs |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US9660879B1 (en) | 2016-07-25 | 2017-05-23 | Extrahop Networks, Inc. | Flow deduplication across a cluster of network monitoring devices |
| US10291495B2 (en) * | 2016-08-11 | 2019-05-14 | Thales Avionics, Inc. | Analyzing passenger connectivity experiences while using vehicle cabin networks |
| US10298574B2 (en) * | 2016-08-18 | 2019-05-21 | Lenovo Enterprise Solutions (Singapore) Pte. Ltd. | Managing client device credentials to facilitate secure computer system configuration |
| US10666675B1 (en) | 2016-09-27 | 2020-05-26 | Ca, Inc. | Systems and methods for creating automatic computer-generated classifications |
| US10122686B2 (en) * | 2016-10-03 | 2018-11-06 | Mediatek Inc. | Method of building a firewall for networked devices |
| CN107979581B (zh) * | 2016-10-25 | 2020-10-27 | 华为技术有限公司 | 僵尸特征的检测方法和装置 |
| EP3319288A1 (en) * | 2016-11-07 | 2018-05-09 | Secucloud GmbH | Protocol detection by parsing layer-4 packets in a network security system |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| CN108270730A (zh) * | 2016-12-30 | 2018-07-10 | 北京飞利信电子技术有限公司 | 一种扩展防火墙的应用层检测方法、装置及电子设备 |
| CN108366040B (zh) * | 2017-01-26 | 2021-03-02 | 北京飞利信电子技术有限公司 | 一种可编程防火墙的逻辑代码检测方法、装置及电子设备 |
| US10476673B2 (en) | 2017-03-22 | 2019-11-12 | Extrahop Networks, Inc. | Managing session secrets for continuous packet capture systems |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10013577B1 (en) | 2017-06-16 | 2018-07-03 | OneTrust, LLC | Data processing systems for identifying whether cookies contain personally identifying information |
| US10735469B1 (en) * | 2017-07-01 | 2020-08-04 | Juniper Networks, Inc | Apparatus, system, and method for predictively enforcing security policies on unknown flows |
| US10503899B2 (en) | 2017-07-10 | 2019-12-10 | Centripetal Networks, Inc. | Cyberanalysis workflow acceleration |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US11233777B2 (en) | 2017-07-24 | 2022-01-25 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10284526B2 (en) | 2017-07-24 | 2019-05-07 | Centripetal Networks, Inc. | Efficient SSL/TLS proxy |
| US10263863B2 (en) | 2017-08-11 | 2019-04-16 | Extrahop Networks, Inc. | Real-time configuration discovery and management |
| US10063434B1 (en) | 2017-08-29 | 2018-08-28 | Extrahop Networks, Inc. | Classifying applications or activities based on network behavior |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US9967292B1 (en) | 2017-10-25 | 2018-05-08 | Extrahop Networks, Inc. | Inline secret sharing |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US10958668B1 (en) | 2017-12-21 | 2021-03-23 | Palo Alto Networks, Inc. | Finding malicious domains with DNS query pattern analysis |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| CN108377223B (zh) | 2018-01-05 | 2019-12-06 | 网宿科技股份有限公司 | 一种多包识别方法、数据包识别方法及流量引导方法 |
| US11431677B2 (en) * | 2018-01-11 | 2022-08-30 | Nicira, Inc. | Mechanisms for layer 7 context accumulation for enforcing layer 4, layer 7 and verb-based rules |
| US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
| US11347871B2 (en) * | 2018-01-16 | 2022-05-31 | International Business Machines Corporation | Dynamic cybersecurity protection mechanism for data storage devices |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
| US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| US10264003B1 (en) | 2018-02-07 | 2019-04-16 | Extrahop Networks, Inc. | Adaptive network monitoring with tuneable elastic granularity |
| US10389574B1 (en) | 2018-02-07 | 2019-08-20 | Extrahop Networks, Inc. | Ranking alerts based on network monitoring |
| US10038611B1 (en) | 2018-02-08 | 2018-07-31 | Extrahop Networks, Inc. | Personalization of alerts based on network monitoring |
| US10270794B1 (en) | 2018-02-09 | 2019-04-23 | Extrahop Networks, Inc. | Detection of denial of service attacks |
| US11057352B2 (en) | 2018-02-28 | 2021-07-06 | Xaptum, Inc. | Communication system and method for machine data routing |
| US11190487B2 (en) * | 2018-02-28 | 2021-11-30 | Palo Alto Networks, Inc. | Identifying security risks and enforcing policies on encrypted/encoded network communications |
| JP7059726B2 (ja) * | 2018-03-19 | 2022-04-26 | 株式会社リコー | 通信システム、通信制御装置、通信制御方法及び通信制御プログラム |
| US10965653B2 (en) | 2018-03-28 | 2021-03-30 | Xaptum, Inc. | Scalable and secure message brokering approach in a communication system |
| WO2019195479A1 (en) * | 2018-04-03 | 2019-10-10 | Ippsec Inc. | Systems and methods of physical infrastructure and information technology infrastructure security |
| US10805439B2 (en) | 2018-04-30 | 2020-10-13 | Xaptum, Inc. | Communicating data messages utilizing a proprietary network |
| US10116679B1 (en) | 2018-05-18 | 2018-10-30 | Extrahop Networks, Inc. | Privilege inference and monitoring based on network behavior |
| US10333898B1 (en) | 2018-07-09 | 2019-06-25 | Centripetal Networks, Inc. | Methods and systems for efficient network protection |
| US10411978B1 (en) | 2018-08-09 | 2019-09-10 | Extrahop Networks, Inc. | Correlating causes and effects associated with network activity |
| US10594718B1 (en) | 2018-08-21 | 2020-03-17 | Extrahop Networks, Inc. | Managing incident response operations based on monitored network activity |
| US10979542B2 (en) * | 2018-08-28 | 2021-04-13 | Vmware, Inc. | Flow cache support for crypto operations and offload |
| US10924593B2 (en) | 2018-08-31 | 2021-02-16 | Xaptum, Inc. | Virtualization with distributed adaptive message brokering |
| US11544409B2 (en) | 2018-09-07 | 2023-01-03 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US11144675B2 (en) | 2018-09-07 | 2021-10-12 | OneTrust, LLC | Data processing systems and methods for automatically protecting sensitive data within privacy management systems |
| US10803202B2 (en) | 2018-09-07 | 2020-10-13 | OneTrust, LLC | Data processing systems for orphaned data identification and deletion and related methods |
| US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
| US10938877B2 (en) | 2018-11-30 | 2021-03-02 | Xaptum, Inc. | Optimizing data transmission parameters of a proprietary network |
| US10912053B2 (en) | 2019-01-31 | 2021-02-02 | Xaptum, Inc. | Enforcing geographic restrictions for multitenant overlay networks |
| US10841182B2 (en) | 2019-03-29 | 2020-11-17 | Juniper Networks, Inc. | Supporting near real time service level agreements |
| US10897396B2 (en) | 2019-03-29 | 2021-01-19 | Juniper Networks, Inc. | Supporting concurrency for graph-based high level configuration models |
| US10965702B2 (en) | 2019-05-28 | 2021-03-30 | Extrahop Networks, Inc. | Detecting injection attacks using passive network monitoring |
| US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
| US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
| US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
| US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
| US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
| US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
| US11165647B2 (en) | 2019-06-28 | 2021-11-02 | Juniper Networks, Inc. | Managing multiple semantic versions of device configuration schemas |
| US11165814B2 (en) | 2019-07-29 | 2021-11-02 | Extrahop Networks, Inc. | Modifying triage information based on network monitoring |
| US11388072B2 (en) | 2019-08-05 | 2022-07-12 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742530B1 (en) | 2019-08-05 | 2020-08-11 | Extrahop Networks, Inc. | Correlating network traffic that crosses opaque endpoints |
| US10742677B1 (en) | 2019-09-04 | 2020-08-11 | Extrahop Networks, Inc. | Automatic determination of user roles and asset types based on network monitoring |
| US11245703B2 (en) | 2019-09-27 | 2022-02-08 | Bank Of America Corporation | Security tool for considering multiple security contexts |
| US11165823B2 (en) | 2019-12-17 | 2021-11-02 | Extrahop Networks, Inc. | Automated preemptive polymorphic deception |
| US11797528B2 (en) | 2020-07-08 | 2023-10-24 | OneTrust, LLC | Systems and methods for targeted data discovery |
| WO2022026564A1 (en) | 2020-07-28 | 2022-02-03 | OneTrust, LLC | Systems and methods for automatically blocking the use of tracking tools |
| WO2022032072A1 (en) | 2020-08-06 | 2022-02-10 | OneTrust, LLC | Data processing systems and methods for automatically redacting unstructured data from a data subject access request |
| CN112165536B (zh) * | 2020-09-11 | 2022-11-11 | 中国银联股份有限公司 | 一种网络终端认证的方法及装置 |
| WO2022060860A1 (en) | 2020-09-15 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for detecting tools for the automatic blocking of consent requests |
| WO2022061270A1 (en) | 2020-09-21 | 2022-03-24 | OneTrust, LLC | Data processing systems and methods for automatically detecting target data transfers and target data processing |
| US11463466B2 (en) | 2020-09-23 | 2022-10-04 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11310256B2 (en) | 2020-09-23 | 2022-04-19 | Extrahop Networks, Inc. | Monitoring encrypted network traffic |
| US11669551B2 (en) * | 2020-10-16 | 2023-06-06 | Splunk Inc. | Rule-based data stream processing |
| US11362996B2 (en) | 2020-10-27 | 2022-06-14 | Centripetal Networks, Inc. | Methods and systems for efficient adaptive logging of cyber threat incidents |
| EP4241173A1 (en) | 2020-11-06 | 2023-09-13 | OneTrust LLC | Systems and methods for identifying data processing activities based on data discovery results |
| US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
| US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
| US11687528B2 (en) | 2021-01-25 | 2023-06-27 | OneTrust, LLC | Systems and methods for discovery, classification, and indexing of data in a native computing system |
| US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
| WO2022170047A1 (en) | 2021-02-04 | 2022-08-11 | OneTrust, LLC | Managing custom attributes for domain objects defined within microservices |
| WO2022170254A1 (en) | 2021-02-08 | 2022-08-11 | OneTrust, LLC | Data processing systems and methods for anonymizing data samples in classification analysis |
| US20240098109A1 (en) | 2021-02-10 | 2024-03-21 | OneTrust, LLC | Systems and methods for mitigating risks of third-party computing system functionality integration into a first-party computing system |
| WO2022178089A1 (en) | 2021-02-17 | 2022-08-25 | OneTrust, LLC | Managing custom workflows for domain objects defined within microservices |
| WO2022178219A1 (en) | 2021-02-18 | 2022-08-25 | OneTrust, LLC | Selective redaction of media content |
| EP4305539A1 (en) | 2021-03-08 | 2024-01-17 | OneTrust, LLC | Data transfer discovery and analysis systems and related methods |
| US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
| US11743156B2 (en) * | 2021-04-05 | 2023-08-29 | Bank Of America Corporation | System for performing dynamic monitoring and filtration of data packets |
| US11818045B2 (en) | 2021-04-05 | 2023-11-14 | Bank Of America Corporation | System for performing dynamic monitoring and prioritization of data packets |
| US11562078B2 (en) | 2021-04-16 | 2023-01-24 | OneTrust, LLC | Assessing and managing computational risk involved with integrating third party computing functionality within a computing system |
| US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
| US11349861B1 (en) | 2021-06-18 | 2022-05-31 | Extrahop Networks, Inc. | Identifying network entities based on beaconing activity |
| US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
| US20230078632A1 (en) * | 2021-09-10 | 2023-03-16 | Rockwell Automation Technologies, Inc. | Security and safety of an industrial operation using opportunistic sensing |
| US11722437B2 (en) * | 2021-09-14 | 2023-08-08 | Netscout Systems, Inc. | Configuration of a scalable IP network implementation of a switch stack |
| US11296967B1 (en) | 2021-09-23 | 2022-04-05 | Extrahop Networks, Inc. | Combining passive network analysis and active probing |
| CN113965386B (zh) * | 2021-10-25 | 2023-11-03 | 绿盟科技集团股份有限公司 | 工控协议报文处理方法、装置、设备及存储介质 |
| CN114124520A (zh) * | 2021-11-22 | 2022-03-01 | 浙江大学 | 基于多模态的拟态waf执行体实现方法 |
| US11843606B2 (en) | 2022-03-30 | 2023-12-12 | Extrahop Networks, Inc. | Detecting abnormal data access based on data similarity |
| CN114760256B (zh) * | 2022-04-14 | 2024-01-30 | 曙光网络科技有限公司 | 数据处理方法、装置、设备及存储介质 |
| US11620142B1 (en) | 2022-06-03 | 2023-04-04 | OneTrust, LLC | Generating and customizing user interfaces for demonstrating functions of interactive user environments |
| US11611533B1 (en) | 2022-09-25 | 2023-03-21 | Uab 360 It | Customized filtering of transmissions from a device |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
| CN101119321A (zh) * | 2007-09-29 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
| CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
Family Cites Families (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5598535A (en) | 1994-08-01 | 1997-01-28 | International Business Machines Corporation | System for selectively and cumulatively grouping packets from different sessions upon the absence of exception condition and sending the packets after preselected time conditions |
| US5802320A (en) | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US6147976A (en) | 1996-06-24 | 2000-11-14 | Cabletron Systems, Inc. | Fast network layer packet filter |
| US5960452A (en) | 1996-12-23 | 1999-09-28 | Symantec Corporation | Optimizing access to multiplexed data streams on a computer system with limited memory |
| US6826694B1 (en) | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
| FI106493B (fi) | 1999-02-09 | 2001-02-15 | Nokia Mobile Phones Ltd | Menetelmä ja järjestelmä pakettimuotoisen datan luotettavaksi siirtämiseksi |
| DE19919177A1 (de) | 1999-04-28 | 2000-11-02 | Philips Corp Intellectual Pty | Netzwerk mit mehreren Netzwerk-Clustern zur drahtlosen Übertragung von Paketen |
| US6854063B1 (en) | 2000-03-03 | 2005-02-08 | Cisco Technology, Inc. | Method and apparatus for optimizing firewall processing |
| US6697381B1 (en) | 2000-03-09 | 2004-02-24 | L3 Communications | Packet channel architecture |
| US20020093527A1 (en) | 2000-06-16 | 2002-07-18 | Sherlock Kieran G. | User interface for a security policy system and method |
| AU2001278328A1 (en) | 2000-07-26 | 2002-02-05 | David Dickenson | Distributive access controller |
| US20070192863A1 (en) | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
| US7437654B2 (en) | 2000-11-29 | 2008-10-14 | Lucent Technologies Inc. | Sub-packet adaptation in a wireless communication system |
| AU3054102A (en) | 2000-11-30 | 2002-06-11 | Lancope Inc | Flow-based detection of network intrusions |
| US6963564B1 (en) | 2000-12-22 | 2005-11-08 | Alcatel | Method and apparatus for synchronized slotted optical burst switching |
| US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| US20020176378A1 (en) | 2001-05-22 | 2002-11-28 | Hamilton Thomas E. | Platform and method for providing wireless data services |
| US7234168B2 (en) | 2001-06-13 | 2007-06-19 | Mcafee, Inc. | Hierarchy-based method and apparatus for detecting attacks on a computer system |
| US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
| DE60210408T2 (de) | 2002-01-18 | 2006-10-19 | Stonesoft Corp. | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes |
| US7174566B2 (en) | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7337214B2 (en) | 2002-09-26 | 2008-02-26 | Yhc Corporation | Caching, clustering and aggregating server |
| US7454499B2 (en) | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
| US6940863B2 (en) | 2003-01-13 | 2005-09-06 | The Regents Of The University Of California | Edge router for optical label switched network |
| FR2850503B1 (fr) | 2003-01-23 | 2005-04-08 | Everbee Networks | Procede et systeme dynamique de securisation d'un reseau de communication au moyen d'agents portables |
| US7525994B2 (en) | 2003-01-30 | 2009-04-28 | Avaya Inc. | Packet data flow identification for multiplexing |
| US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
| US7328451B2 (en) * | 2003-06-30 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Network firewall policy configuration facilitation |
| US7827602B2 (en) | 2003-06-30 | 2010-11-02 | At&T Intellectual Property I, L.P. | Network firewall host application identification and authentication |
| US7463590B2 (en) | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
| US20050114700A1 (en) | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
| US7467202B2 (en) | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
| US7950059B2 (en) | 2003-12-30 | 2011-05-24 | Check-Point Software Technologies Ltd. | Universal worm catcher |
| US8166554B2 (en) | 2004-02-26 | 2012-04-24 | Vmware, Inc. | Secure enterprise network |
| US8042182B2 (en) | 2004-03-30 | 2011-10-18 | Telecom Italia S.P.A. | Method and system for network intrusion detection, related network and computer program product |
| US7673049B2 (en) | 2004-04-19 | 2010-03-02 | Brian Dinello | Network security system |
| US7761919B2 (en) | 2004-05-20 | 2010-07-20 | Computer Associates Think, Inc. | Intrusion detection with automatic signature generation |
| US7496962B2 (en) | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
| US20060059551A1 (en) * | 2004-09-13 | 2006-03-16 | Utstarcom Inc. | Dynamic firewall capabilities for wireless access gateways |
| US7830864B2 (en) | 2004-09-18 | 2010-11-09 | Genband Us Llc | Apparatus and methods for per-session switching for multiple wireline and wireless data types |
| US20060168273A1 (en) | 2004-11-03 | 2006-07-27 | Ofir Michael | Mechanism for removing data frames or packets from data communication links |
| US7725934B2 (en) | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
| US7383438B2 (en) | 2004-12-18 | 2008-06-03 | Comcast Cable Holdings, Llc | System and method for secure conditional access download and reconfiguration |
| GB2422450A (en) | 2005-01-21 | 2006-07-26 | 3Com Corp | Pattern-matching using a deterministic finite state machine |
| US10015140B2 (en) * | 2005-02-03 | 2018-07-03 | International Business Machines Corporation | Identifying additional firewall rules that may be needed |
| US20060259950A1 (en) | 2005-02-18 | 2006-11-16 | Ulf Mattsson | Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior |
| US7844700B2 (en) | 2005-03-31 | 2010-11-30 | Microsoft Corporation | Latency free scanning of malware at a network transit point |
| US8228926B2 (en) | 2005-04-12 | 2012-07-24 | Genband Us Llc | Dynamic loading for signaling variants |
| US7653075B2 (en) | 2005-05-23 | 2010-01-26 | Juniper Networks, Inc. | Processing communication flows in asymmetrically routed networks |
| US7747874B2 (en) | 2005-06-02 | 2010-06-29 | Seagate Technology Llc | Single command payload transfers block of security functions to a storage device |
| US20060288418A1 (en) | 2005-06-15 | 2006-12-21 | Tzu-Jian Yang | Computer-implemented method with real-time response mechanism for detecting viruses in data transfer on a stream basis |
| US8266327B2 (en) | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
| US20080229415A1 (en) * | 2005-07-01 | 2008-09-18 | Harsh Kapoor | Systems and methods for processing data flows |
| US20070067445A1 (en) | 2005-09-16 | 2007-03-22 | Smart Link Ltd. | Remote computer wake-up for network applications |
| US8397284B2 (en) | 2006-01-17 | 2013-03-12 | University Of Maryland | Detection of distributed denial of service attacks in autonomous system domains |
| US20070171827A1 (en) | 2006-01-24 | 2007-07-26 | Scott Mark E | Network flow analysis method and system |
| US8443442B2 (en) | 2006-01-31 | 2013-05-14 | The Penn State Research Foundation | Signature-free buffer overflow attack blocker |
| KR100656481B1 (ko) * | 2006-02-03 | 2006-12-11 | 삼성전자주식회사 | 동적 네트워크 보안 시스템 및 그 제어방법 |
| JP3996939B2 (ja) | 2006-03-30 | 2007-10-24 | 株式会社シー・エス・イー | オフラインユーザ認証システム、その方法、およびそのプログラム |
| US7890612B2 (en) | 2006-05-08 | 2011-02-15 | Electro Guard Corp. | Method and apparatus for regulating data flow between a communications device and a network |
| CN100542122C (zh) | 2006-09-29 | 2009-09-16 | 华为技术有限公司 | 一种vlan交换隧道的复用方法和vlan交换域 |
| US7995584B2 (en) | 2007-07-26 | 2011-08-09 | Hewlett-Packard Development Company, L.P. | Method and apparatus for detecting malicious routers from packet payload |
| US8291495B1 (en) | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| US7961726B2 (en) | 2008-10-07 | 2011-06-14 | Microsoft Corporation | Framework for optimizing and simplifying network communication in close proximity networks |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
-
2008
- 2008-10-30 US US12/261,512 patent/US8572717B2/en active Active
-
2009
- 2009-06-03 EP EP09161760A patent/EP2175603A1/en not_active Ceased
- 2009-08-04 CN CN200910164019A patent/CN101719899A/zh active Pending
-
2013
- 2013-10-28 US US14/065,097 patent/US9258329B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101056306A (zh) * | 2006-04-11 | 2007-10-17 | 中兴通讯股份有限公司 | 网络设备及其访问控制方法 |
| CN101119321A (zh) * | 2007-09-29 | 2008-02-06 | 杭州华三通信技术有限公司 | 网络流量分类处理方法及网络流量分类处理装置 |
| CN101227289A (zh) * | 2008-02-02 | 2008-07-23 | 华为技术有限公司 | 统一威胁管理设备及威胁防御模块的加载方法 |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103428229A (zh) * | 2012-05-14 | 2013-12-04 | 百度在线网络技术(北京)有限公司 | 数据中心系统、装置及提供服务的方法 |
| CN102984243A (zh) * | 2012-11-20 | 2013-03-20 | 杭州迪普科技有限公司 | 一种ssl协议中应用的自动识别方法和装置 |
| CN102984243B (zh) * | 2012-11-20 | 2016-05-11 | 杭州迪普科技有限公司 | 一种ssl协议中应用的自动识别方法和装置 |
| CN104104526A (zh) * | 2013-04-01 | 2014-10-15 | 深圳维盟科技有限公司 | 上网行为监控方法、装置和系统 |
| CN103281333A (zh) * | 2013-06-17 | 2013-09-04 | 苏州山石网络有限公司 | 数据流的转发方法及装置 |
| CN104168203A (zh) * | 2014-09-03 | 2014-11-26 | 上海斐讯数据通信技术有限公司 | 一种基于流表的处理方法及系统 |
| CN106470206A (zh) * | 2015-08-14 | 2017-03-01 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN106470206B (zh) * | 2015-08-14 | 2019-08-09 | 纬创资通股份有限公司 | 适用于异质网络架构的异常预测方法及系统 |
| CN111552953A (zh) * | 2019-02-12 | 2020-08-18 | Sap门户以色列有限公司 | 安全策略作为服务 |
| CN111552953B (zh) * | 2019-02-12 | 2023-08-15 | Sap门户以色列有限公司 | 安全策略作为服务 |
| CN112087415A (zh) * | 2019-06-12 | 2020-12-15 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN112087415B (zh) * | 2019-06-12 | 2023-01-31 | 瞻博网络公司 | 基于应用路径的网络业务控制 |
| CN112217783A (zh) * | 2019-07-10 | 2021-01-12 | 罗伯特·博世有限公司 | 用于在通信网络中的攻击识别的设备和方法 |
| TWI777156B (zh) * | 2019-12-10 | 2022-09-11 | 威聯通科技股份有限公司 | 內部網路監控方法及使用其的內部網路監控系統 |
| CN112584357A (zh) * | 2020-12-02 | 2021-03-30 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
| CN112584357B (zh) * | 2020-12-02 | 2023-04-28 | 惠州市德赛西威智能交通技术研究院有限公司 | 一种动态调整车载防火墙策略的方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8572717B2 (en) | 2013-10-29 |
| US20140053239A1 (en) | 2014-02-20 |
| US9258329B2 (en) | 2016-02-09 |
| EP2175603A1 (en) | 2010-04-14 |
| US20100095367A1 (en) | 2010-04-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101719899A (zh) | 用于网络安全装置的具有端口限制的动态访问控制策略 | |
| US9571523B2 (en) | Security actuator for a dynamically programmable computer network | |
| US7853998B2 (en) | Firewall propagation | |
| JP3443529B2 (ja) | ファイアウォールサービスを提供する方法と、ファイアウォールサービスを提供するコンピュータシステム | |
| US7428590B2 (en) | Systems and methods for reflecting messages associated with a target protocol within a network | |
| US7774832B2 (en) | Systems and methods for implementing protocol enforcement rules | |
| US6728885B1 (en) | System and method for network access control using adaptive proxies | |
| US7707401B2 (en) | Systems and methods for a protocol gateway | |
| US7818565B2 (en) | Systems and methods for implementing protocol enforcement rules | |
| US20040111623A1 (en) | Systems and methods for detecting user presence | |
| US20180191571A1 (en) | Network bridge device with automatic self-configuration and method thereof | |
| US20100157839A1 (en) | Network service monitoring | |
| JPH11163940A (ja) | パケット検証方法 | |
| JPH11167537A (ja) | ファイアウォールサービス提供方法 | |
| Aldabbas et al. | A novel mechanism to handle address spoofing attacks in SDN based IoT | |
| US20060150243A1 (en) | Management of network security domains | |
| US20160205135A1 (en) | Method and system to actively defend network infrastructure | |
| KR100468374B1 (ko) | 네트워크 유해 트래픽 제어 장치 및 방법 | |
| WO2006062961A2 (en) | Systems and methods for implementing protocol enforcement rules | |
| Manwani | ARP Cache Poisoning Detection and Prevention | |
| Westall | A Simple, Configurable, and Adaptive Network Firewall for Linux | |
| Niklas | Firewall Modularization and Authentication in an Effnet Firewall | |
| Held | Protecting a Network from Spoofing and Denial of Service Attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20100602 |