CN1612532A - 基于主机的网络入侵检测系统 - Google Patents

基于主机的网络入侵检测系统 Download PDF

Info

Publication number
CN1612532A
CN1612532A CNA2004100870129A CN200410087012A CN1612532A CN 1612532 A CN1612532 A CN 1612532A CN A2004100870129 A CNA2004100870129 A CN A2004100870129A CN 200410087012 A CN200410087012 A CN 200410087012A CN 1612532 A CN1612532 A CN 1612532A
Authority
CN
China
Prior art keywords
packet
judged
application
computer
malice
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2004100870129A
Other languages
English (en)
Other versions
CN1612532B (zh
Inventor
布拉迪普塔·K·班纳杰
阿纳斯·N·玛维纳卡雅纳哈里
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Qindarui Co.
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN1612532A publication Critical patent/CN1612532A/zh
Application granted granted Critical
Publication of CN1612532B publication Critical patent/CN1612532B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level

Abstract

公开了一种用于检测通信网络中的入侵的方法、系统和包含程序化指令的计算机可读介质。使用来自签名库的签名扫描由与通信网络相关联的网络协议的传输层处理的数据分组。判定被扫描的数据分组是否有恶意。如果任何数据分组被判定为有恶意,则采取一个或多个操作。另外,还公开了用于防止通信网络中的入侵的方法、系统和包含程序化指令的计算机可读介质。

Description

基于主机的网络入侵检测系统
技术领域
本发明一般涉及通信网络安全领域,特别涉及用于检测通信网络中的入侵和安全侵害的计算机软件。
背景技术
一般方面的通信网络安全和特定方面的计算机网络安全经常是未授权入侵者包括黑客的高级攻击对象。这些网络的入侵者日益熟练于利用网络漏洞来获得访问和未授权权限,从而使得难以检测和跟踪这些攻击。而且,安全威胁如病毒和蠕虫无需人的监管并且能够复制和传播到其他连网系统。这些入侵可能破坏计算机系统并且不利地影响与受影响网络相关联的各实体的重大利益。
现有网络入侵检测系统(NIDS)由于内在于该NIDS架构的问题而不适于在网络中的每一台主机上部署。NIDS使用混杂模式捕获和分析,这将导致系统上的重大开销,并且易受插入和逃避攻击。
Ptacek,Thomas H.和Newsham,Timothy N.,“Insertion,Evasionand Denial of Service:Eluding Network Intrusion Detection”,( http://secinf.net/info/ids/idspaper/idspaper.html)描述了深入的细节,其中包括网络入侵检测。
发明内容
根据本发明的一方面,提供了一种检测通信网络中的入侵的方法。该方法包括以下步骤:使用来自签名库的签名扫描由与通信网络相关联的网络协议的传输层处理的数据分组;判定被扫描的数据分组是否有恶意;以及如果任何数据分组被判定为有恶意,则采取至少一个操作。
该操作可包括以下操作的至少之一:中断向网络协议的应用层传输被判定为有恶意的任何数据分组;记录与被判定为有恶意的任何数据分组相关的错误;如果任何数据分组被判定为有恶意,则修改主机计算机的防火墙规则;向网络管理员通知任何数据分组被判定为有恶意;通告传输层终止与被判定为有恶意的任何数据分组相关的现有连接;阻止对被判定为有恶意的任何数据分组的源的网络访问;如果任何数据分组被判定为有恶意,则终止应用层的应用;以及如果任何数据分组被判定为有恶意,则通知应用层的应用。
该方法还可包括以下步骤:向应用层传输被判定为没有恶意的任何数据分组。
该方法还可包括以下步骤:处理来自传输层的数据分组。
该方法还可包括以下步骤:判定协议是否被监视。
扫描和判定步骤可使用扫描模块来实现。
至少一个应用接收队列(ARQ)可工作于传输层与应用层之间。扫描步骤可在传输层与该至少一个应用接收队列(ARQ)之间执行。
该方法还可包括以下步骤:从至少一个应用接收队列(ARQ)获得数据。该至少一个应用接收队列可直接工作于传输层与应用层之间。扫描步骤可对该至少一个应用接收队列(ARQ)中的数据分组执行。
该方法还可包括以下步骤:如果协议被监视,将数据分组调度到一个或多个处理程序以进行扫描。
扫描和判定步骤可使用扫描守护进程来实现。
该方法还可包括以下步骤:生成伪响应。
根据本发明的另一方面,提供了一种防止通信网络中的入侵的方法。该方法包括以下步骤:如果空闲时间期满,则禁用主机的网络接口;判定是否有任何分组要被发送;以及如果判定至少一个分组可用来发送,则启用网络接口。
根据本发明的另一方面,公开了一种用于检测通信网络中的入侵的系统以及包含被安排成检测通信网络中的入侵的程序化指令的计算机可读介质,从而实现上述检测方法。
根据本发明的另一方面,公开了一种用于防止通信网络中的入侵的系统以及包含被安排成防止通信网络中的入侵的程序化指令的计算机可读介质,从而实现上述防止方法。
附图说明
下面参照附图描述本发明的少数实施例,其中:
图1是基于主机的网络入侵检测系统(HNIDS)的功能方框图;
图2是图1的扫描模块(SM)的功能方框图;
图3是图1的扫描守护进程(SD)的功能方框图;
图4是示出分组沿着协议栈的正常向上流动和在每层完成的处理的图;
图5是示出分组沿着协议栈的正常向上流动的图,其中HNIDS位于传输层与应用层之间;
图6是示出图5所示的实施例的过程的流程图;
图7是类似于图5的图,其中HNIDS监视应用接收队列(ARQ);
图8是示出图7所示的实施例的过程的流程图;
图9是示出图1所示的空闲时间处理模块(ITPM)的过程的流程图;以及
图10是带有伪服务设施的HNIDS的功能方框图。
具体实施方式
公开了用于检测通信网络中的入侵的方法、系统和计算机程序。另外,还公开了用于防止通信网络中的入侵的方法、系统和计算机程序。在下面描述中,阐述了大量特定细节包括网络配置、网络协议、编程语言等。然而,根据本文,本领域的技术人员应当清楚,在不脱离本发明的范围和精神的情况下可以进行各种修改和/或替换。在其他情形下,可以省略特定细节以防本发明变得不清楚。
用于检测通信网络中的入侵的方法可以采用模块来实现。同样,用于防止通信网络中的入侵的方法也可以采用模块来实现。模块特别是其功能性可采用硬件或软件来实现。从软件的角度,模块是通常执行特定功能或相关功能的进程、程序或其部分。该软件可采用例如Java、C、C++、Fortran来实现,但是也可采用任何其他编程语言/系统或其组合来实现。从硬件的角度,模块是被设计成与其他组件或模块一起使用的功能硬件单元。例如,模块可使用分立电子元器件来实现,或者它可形成整个电子电路如现场可编程门阵列(FPGA)、专用集成电路(ASIC)等的一部分。物理实现还可包括例如FPGA的配置数据或者ASIC的布局。另外,物理实现的描述可采用EDIF连线表(netlisting)语言、结构化VHDL、结构化Verilog等。还存在众多其他可能性。本领域的技术人员应当理解,系统还能被实现为硬件和软件模块的组合。在  网络中的每一台主机上部署网络入侵检测系统(NIDS)大大提高了整个网络的安全性。本发明的实施例公开了与现有NIDS架构不同的架构,其不同之处在于HNIDS架构不工作于使用混杂模式捕获的被动协议分析,从而有助于在网络中的每一台主机上使用NIDS。下面提供的实施例不旨在或者被认为是本发明的可能实施例的完全列表。
概述
本发明的实施例公开了一种“基于主机的网络入侵检测系统”(HNIDS),其允许网络中的每一台主机以类似于反病毒软件的方式运行网络入侵检测软件。该架构使得网络上的每一个系统都能担当检测和管理入侵的自主实体。
能够在网络上通信的每一个系统必须使用通信协议(例如,TCP/IP协议是常见且广泛使用的协议)。网络层(在TCP/IP协议的情况下为IP)处理片断化,并且通信协议的传输层(在TCP/IP协议的情况下为TCP和UDP)必要时关心对分组进行重新排序和重新组装。一旦该处理完成,就将数据提交给应用层。HNIDS支持协议栈的行为,并且在网络层和传输层完成了处理数据之后,扫描数据以查找恶意内容。因此,HNIDS工作于完整数据,从而减轻与现有NIDS相关联的插入和逃避攻击以及延迟和开销的问题。HNIDS仅扫描目的地为在其上使用HNIDS的系统的数据,并且不使用被动协议分析和混杂模式捕获。
为了进一步说明该架构的细节,阐述了HNIDS的两个不同实施例。在一个实施例中,HNIDS在数据由传输层提交给应用之前扫描数据。在逻辑上,HNIDS位于通信协议(例如,TCP/IP)的传输层与应用层之间。在另一个实施例中,HNIDS监视进入数据的应用接收队列(ARQ),并且当数据到达时扫描数据以查找恶意内容。
HNIDS包括主动防止入侵的特性,从而担当“入侵防止系统”。这是通过引入“空闲时间”的概念来实现的,由此在空闲时间期满之后禁用网络接口。空闲时间是没有分组从系统发送的时间段。由于接口被禁用,因此系统不处理来自网络的任何分组。实际上,这相同于将系统从网络拔出,从而防止在没有人使用系统的不值勤时间(例如,晚上)的入侵相关活动。当有分组要被发送到网络上从而表示用户在场并且正在执行某网络相关活动时,再次启用网络接口。这样的具有“空闲时间”特性的系统也可称作“基于主机的网络入侵检测和防止系统”。
近来,使用伪服务(从而引诱攻击者落入陷阱)日益重要。HNIDS也可包括用于设置伪服务的设施。
本发明的实施例涉及解决与混杂模式捕获和被动协议分析相关联的问题的HNIDS架构。
该架构提供:
1)防止“插入”和“逃避”攻击;
2)逐分组分析,并且在检测到恶意内容时响应;
3)帮助使用欺骗机制以确定用户意图;以及
4)改善网络的总体安全
一般概念
图1是根据本发明实施例的HNIDS 100的功能方框图10。HNIDS100包括在耦合于网络的主机计算机上工作的扫描模块(SM)101和空闲时间处理模块(ITPM)102。扫描模块(SM)可以是扫描守护进程。SM和SD的细节参照图2和3进行更详细的描述。图9示出ITPM的流程图。模块101和102由于具有单独的功能性而是独立的。
ITPM模块负责空闲时间特性。HNIDS可以在没有此特性的情况下工作。ITPM提供入侵防止特性。
由于HNIDS 100局部于系统,因此HNIDS 100不直接与外界世界接口。
HNIDS 100可以是安装在主机上的单独应用,或者HNIDS 100可以是主机网络实现的一部分。
ITPM 102可包括启用和禁用网络接口的程序代码。当空闲时间期满时,ITPM 102禁用网络接口。当需要将分组发送到网络上时,启用该接口。网络接口的启用和禁用在本技术领域内是公知的。网络接口(物理适配器)在附图中未被示出。ITPM 102包括启用/禁用网络接口的代码。实现该任务的方法对于本领域的技术人员而言是公知的。
这可以通过在网络驱动程序软件中提供接口(如IOCTL-输入/输出控制进入点)来启用/禁用网络接口而实现。
实施例
图2更详细地示出扫描模块(SM)200。扫描模块200包括扫描引擎202、签名数据库201和日志数据库203。
签名数据库201包含已知攻击签名的列表。这类似于由反病毒系统使用的病毒签名数据库。扫描引擎202使用签名数据库201中的签名来检测入侵。签名数据库201可以是包含签名列表的纯ASCII文件,不过也可采用其他文件格式。这些签名可从arachNIDS数据库获得。
表1给出签名的例子,其中“|”用来包含字节码格式的二进制数据:
                                   表1
″|eb 02 eb 02 eb 02|″ 该事件表示攻击者尝试以jmp0×02“秘密空操作指令”使守护进程之一上溢。
″GetInfo|0d|″ 该事件表示攻击者正在尝试查询NetBus远程管理工具。该合法管理工具经常被攻击者用作木马。
″|5c|IPC$|00 41 3a 00|″ 该事件表示远程用户可能正在尝试使用IPC$共享来打开命名管道。
″|0b 00 00 00 07 00 00 00|Connect″ 该事件表示远程用户已尝试连接到运行在Windows上的dagger 1.4.0木马。该连接尝试可表示现有危害。
签名数据库201的设计不限于所述实施例,而是可使用任何适合实施例。例如,代替纯ASCII文件,签名可存储在Microsoft ExcelTM文件和诸如MySQLTM和PostgreSQLTM的数据库的一个或多个内。
扫描引擎202包括这样的程序代码,其使用签名数据库201扫描数据以检测是否存在签名,并且如果找到任何签名,则采取适当的操作。在图2的实施例中,相关细节可被记录到日志数据库203中。在发现恶意数据之后所要采取的操作不限于记录错误。其他可能的操作包括修改桌面防火墙规则和通知远程管理员。还可以单独或组合实施其他操作。
图3示出扫描守护进程(SD)300。应用接收队列(ARQ)是应用从其获取数据的队列。扫描守护进程300包括程序代码302来监视数据的ARQ,并且随后分析该数据。典型地,代码302包括对应于不同应用协议的协议处理程序302a...302n。处理程序302a...302n仅对于被配置成加以监视的协议端口才被激活。例如,如果HTTP 302a和FTP 302b被配置成加以监视,则仅激活对应于这些协议的处理程序302a、302b。这些处理程序302a、302b使用签名数据库301扫描数据。如果找到匹配,则可将适当的错误记录到日志数据库303中。
图3的实施例不是扫描守护进程300的唯一可能实施例。所采取的其他操作可包括例如修改防火墙规则以防止从危害主机接收分组并且通告传输层断开现有连接。
图4示出分组沿着协议栈400的向上流动。TCP/IP协议栈仅是为了示例的目的而示出的。可实施的其他协议栈包括遵循在传输层与应用层之间具有清楚分界的分层模型的任何协议栈。
物理介质410将分组提供给链路层412,链路层412又将分组提供给网络层处理414。从此处,分组进入传输层处理416。传输层416将数据拷贝到应用接收队列418,其中应用接收队列418典型地是套接字队列。然后,应用层420从ARQ 418拷贝数据并且使用数据。
图5示出本发明的一个实施例。物理介质510、链路层512、网络层514和传输层516对应于图4的各自部分410、412、414和416。链路层512可以是以太网、令牌环、无线网络和其他适合网络,以太网和令牌环仅是为了示例的目的而给出的。链路层可以是众多网络中的任一种,只要如同通常情况一样网络实现的传输层和应用层被清楚地分界即可。网络层514可以是IP。传输层516可以是TCP/UDP。基于主机的网络入侵检测系统(HNIDS)530工作于传输层516和应用层520之间。HNIDS 530在本实施例中使用图2的扫描模块(SM)200。HNIDS 530最好接口于传输层516与ARQ 518之间。
图6是概述了图5的实施例的过程600的流程图。在步骤601,HNIDS 530从传输层516接收分组。在步骤602,HNIDS 530验证网络协议是否被监视。如果协议未被监视(否),则在步骤603,HNIDS 530将数据传给相应应用520。如果协议被监视(是),则在步骤604,扫描引擎202使用签名数据库201扫描数据。在判定步骤605,进行检查以判定数据是否有恶意。如果数据有恶意(是),则在步骤606,不将数据传给应用520(不将数据放入ARQ),丢弃关联连接,并且记录错误。丢弃连接意味着断开与远程主机的网络连接。系统可继续服务其他现有/新连接上的请求。然而,在步骤606,当发现数据有恶意时,这些不是可采取的仅有可能操作。其他可能的操作包括阻止对攻击主机的访问、阻止来自攻击主机的网络访问,以及通知系统管理员。还可以执行其他操作。如果数据没有恶意(否),则在步骤607将数据传给相应应用520。
另一实施例
图7示出另一实施例。图7的物理介质710和各层712、714、716分别对应于图4的介质410和各层412、414、416。数据在传给应用层720之前从传输层716传到应用接收队列(ARQ)718。该另一实施例的HNIDS 730监视应用接收队列(ARQ)718,如HNIDS 730与ARQ 718之间的箭头所示。从HNIDS 730到传输层716的箭头表示HNIDS 730可以通知/指令传输层716断开与远程主机的连接,如果需要的话(或者发起任何其他适当操作)。从HNIDS 730到应用层720的箭头表示HNIDS 730可以通知/指令应用层720不处理分组、复位/释放与特定恶意连接相关联的资源、或者甚至是杀死应用720,如果必要的话。HNIDS 730在本实施例中使用图3的扫描守护进程300。
图8是概述了根据上述实施例的过程800的流程图。当数据到达时,在步骤801,HNIDS 730从ARQ 718拾取数据并且分析数据。在判定步骤802,HNIDS 730判定协议是否被监视。如果协议未被监视(否),则在步骤803,HNIDS 730不做任何事情。如果协议被监视(是),则在步骤804,扫描守护进程300调度适当的协议处理程序302a...302n以使用签名数据库301扫描数据。在判定步骤805,进行检查以判定数据是否有恶意。如果数据没有恶意(否),则在步骤806,处理程序不做任何事情。也就是,在步骤806不需要任何操作。如果数据有恶意(是),则在步骤807,协议处理程序采取适合的操作,例如断开适当连接、杀死应用、通知应用、阻止来自攻击主机的网络访问、以及记录相关细节。可以实现这些操作的任何一个或多个。还可以实现其他操作。
空闲时间处理模块
图9是概述了图1的空闲时间处理模块102的过程900的流程图。当在步骤901空闲时间期满时,在步骤902禁用网络接口。在判定步骤903,进行检查以判定是否有分组要被发送。如果存在有分组要被发送的指示(是),则在步骤904,再次启用网络接口。网络接口的启用和禁用在本技术领域内是公知的。否则,如果在步骤903没有分组要被发送(否),则处理返回到步骤903。
ITPM和SCAN模块是单独模块。ITPM负责空闲时间特性。HNIDS可以在没有此特性的情况下工作。ITPM提供入侵防止特性。
ITPM模块是负责在HNIDS中提供入侵防止特性的HNIDS单独组件。如果在相当长的一段时间内没有分组要从系统发送,则ITPM使主机离线。
另一实施例
图10是具有伪服务能力的HNIDS 1000的功能方框图。HNIDS1000包括空闲时间处理模块1001、扫描模块(SM)或扫描守护进程(SD)1002和伪服务守护进程(FSD)1003。模块1001、1002和1003是具有其自己特定功能性的独立模块。模块1001和1002与结合图1所述的相同。FSD 1003包含用于伪服务的程序代码。需要被伪装的服务是可配置的。根据所配置的伪服务,FSD 1003产生(spawn)适当的处理程序。这些处理程序实际上是在适当端口上监听连接请求的伪守护进程。这些守护进程不是完整的应用,但是用于产生伪响应来欺骗攻击者并且记录相关细节。作为例子,HTTP服务器可被配置为伪服务。FSD 1003产生伪HTTP守护进程,其在HTTP端口(80)上监听连接请求。当连接请求到达该端口时,记录相关细节如源IP地址、硬件地址等,并且将(伪)响应发送到请求主机。
虽然详细描述了本发明的少数实施例,但是其他实施例也是可能的。
计算机实现
本发明的实施例可使用计算机来实现。具体地说,上面所述和图1-10所示的处理或功能性可被实现为在计算机上执行的软件或计算机程序。被公开用于检测通信网络中的入侵的方法或过程步骤通过由计算机执行的软件指令来实现。同样,被公开用于防止通信网络中的入侵的方法或过程步骤也可通过由计算机执行的软件指令来实现。该软件可被实现为一个或多个用于实现这些过程步骤的模块。模块是通常执行特定功能或相关功能的计算机程序的一部分。另外,模块可以是与其他组件或模块一起使用的封装功能硬件单元。
具体地说,该软件可存储在计算机可读介质包括下述存储设备中。该软件最好从计算机可读介质装载到计算机中,然后由计算机执行。计算机程序产品包括其上记录有可由计算机执行的软件或计算机程序的计算机可读介质。在计算机中使用计算机程序产品最好实现根据本发明实施例的用于检测通信网络中的入侵的有益系统。同样,可以实现用于防止通信网络中的入侵的系统。
计算机系统可使用适当的通信信道如调制解调器通信路径、计算机网络等通过通信接口连接到一个或多个其他计算机。计算机网络可包括局域网(LAN)、广域网(WAN)、内部网和/或因特网。计算机可包括中央处理单元(下面简称为处理器)、存储器、输入/输出(IO)接口、视频接口以及一个或多个存储设备,其中存储器可包括随机存取存储器(RAM)和只读存储器(ROM)。存储设备可包括以下项的一个或多个:软盘、硬盘驱动器、磁光盘驱动器、CD-ROM、DVD、磁带或者为本领域的技术人员所公知的任何其他非易失性存储设备。用于检测通信网络中的入侵的程序可记录在该存储单元上,并且由计算机读入存储器;对于用于防止该入侵的程序也是如此。计算机的每一个组件典型地通过总线连接到一个或多个其他设备,其中总线又包括数据、地址和控制总线。虽然描述了使用处理器的系统,但是本领域的技术人员应当理解,可以使用能够处理数据和执行操作的其他处理单元而不脱离本发明的范围和精神。HNIDS 100的空闲时间处理模块102和扫描模块101可使用该计算机来实现。
所述计算机系统是为了示例的目的而简单提供的,并且可采用其他配置而不脱离本发明的范围和精神。可以实施本实施例的计算机包括IBM PC/AT或兼容机、Macintosh(TM)PC家族之一、SunSparcstation(TM)、工作站等。前述内容仅是可实施本发明实施例的计算机类型的例子。典型地,以下描述的各实施例的过程作为记录在作为计算机可读介质的硬盘驱动器上并使用处理器读取和控制的软件或程序而驻留。程序和中间数据以及从网络提取的任何数据的中间存储可使用半导体存储器来完成,其中有可能与硬盘驱动器协作。
在某些情况下,计算机程序可以在CD-ROM或软盘上编码的方式提供给用户,或者可选地可由用户通过例如连接到计算机的调制解调器设备从网络读取。另外,软件也可以从其他计算机可读介质装载到计算机系统中,其中其他计算机可读介质包括磁带、ROM或集成电路、磁光盘、计算机与另一个设备之间的射频或红外线传输信道、诸如PCMCIA卡的计算机可读卡、以及包括电子邮件传输和记录在网站上的信息在内的因特网和内部网等。前述内容仅是相关计算机可读介质的例子。可以实施其他计算机可读介质而不脱离本发明的范围和精神。
通过前述方式,公开了用于检测通信网络中的入侵的方法、系统和计算机程序。另外,还公开了用于防止通信网络中的入侵的方法、系统和计算机程序。本详细描述仅提供了优选示例性实施例,而不旨在限制本发明的范围、适用性和/或配置。相反,优选示例性实施例的详细描述向本领域的技术人员提供了用于使得能够实现本发明的优选示例性实施例的描述。应当理解,在不脱离由所附权利要求限定的本发明的范围和精神的情况下,可以对各元素的功能和布置进行各种变更和/或替换。

Claims (35)

1.一种检测通信网络中的入侵的方法,该方法包括以下步骤:
使用来自签名库的签名扫描由与所述通信网络相关联的网络协议的传输层处理的数据分组;
判定所述被扫描的数据分组是否有恶意;以及
如果任何数据分组被判定为有恶意,则采取至少一个操作。
2.根据权利要求1所述的方法,其中所述至少一个操作从包括以下操作的组中选择:
中断向所述网络协议的所述应用层传输被判定为有恶意的任何数据分组;
记录与被判定为有恶意的任何数据分组相关的错误;
如果任何数据分组被判定为有恶意,则修改主机计算机的防火墙规则;
向网络管理员通知任何数据分组被判定为有恶意;
通告所述传输层终止与被判定为有恶意的任何数据分组相关的现有连接;
阻止对被判定为有恶意的任何数据分组的源的网络访问;
如果任何数据分组被判定为有恶意,则终止应用层的应用;以及
如果任何数据分组被判定为有恶意,则通知应用层的应用。
3.根据权利要求1所述的方法,还包括以下步骤:向所述应用层传输被判定为没有恶意的任何数据分组。
4.根据权利要求1所述的方法,其中所述扫描和判定步骤使用扫描模块来实现。
5.根据权利要求1所述的方法,其中至少一个应用接收队列(ARQ)工作于所述传输层与所述应用层之间。
6.根据权利要求5所述的方法,其中在所述传输层与所述至少一个应用接收队列(ARQ)之间执行所述扫描步骤。
7.根据权利要求6所述的方法,还包括以下步骤:从所述至少一个应用接收队列(ARQ)获得数据。
8.根据权利要求7所述的方法,其中对来自所述至少一个应用接收队列(ARQ)的数据分组执行所述扫描步骤。
9.根据权利要求1所述的方法,还包括以下步骤:如果所述协议被监视,则将所述数据分组调度到一个或多个处理程序以进行扫描。
10.根据权利要求1所述的方法,其中所述扫描和判定步骤使用扫描守护进程来实现。
11.根据权利要求1所述的方法,还包括以下步骤:生成伪响应。
12.一种防止通信网络中的入侵的方法,该方法包括以下步骤:
如果空闲时间期满,则禁用主机的网络接口;
判定是否有任何分组要被发送;以及
如果判定至少一个分组可用来发送,则启用所述网络接口。
13.一种用于检测通信网络中的入侵的系统,该系统包括:
存储单元,用来存储用于处理单元的数据和指令;以及
处理单元,耦合于所述存储单元,所述处理单元被编程为使用来自签名库的签名扫描由与所述通信网络相关联的网络协议的传输层处理的数据分组,判定所述被扫描的数据分组是否有恶意,以及如果任何数据分组被判定为有恶意,则采取至少一个操作。
14.根据权利要求13所述的系统,其中所述至少一个操作从包括以下操作的组中选择:
中断向所述网络协议的所述应用层传输被判定为有恶意的任何数据分组;
记录与被判定为有恶意的任何数据分组相关的错误;
如果任何数据分组被判定为有恶意,则修改主机计算机的防火墙规则;
向网络管理员通知任何数据分组被判定为有恶意;
通告所述传输层终止与被判定为有恶意的任何数据分组相关的现有连接;
阻止对被判定为有恶意的任何数据分组的源的网络访问;
如果任何数据分组被判定为有恶意,则终止应用层的应用;以及
如果任何数据分组被判定为有恶意,则通知应用层的应用。
15.根据权利要求13所述的系统,其中所述处理单元被编程为向所述应用层传输被判定为没有恶意的任何数据分组。
16.根据权利要求13所述的系统,其中所述处理单元被编程为实现扫描模块。
17.根据权利要求13所述的系统,其中至少一个应用接收队列(ARQ)工作于所述传输层与所述应用层之间。
18.根据权利要求17所述的系统,其中在所述传输层与所述至少一个应用接收队列(ARQ)之间执行所述扫描。
19.根据权利要求17所述的系统,其中所述处理单元被编程为从所述至少一个应用接收队列(ARQ)获得数据。
20.根据权利要求19所述的系统,其中对来自所述至少一个应用接收队列(ARQ)的数据分组执行所述扫描。
21.根据权利要求13所述的系统,其中所述处理单元被编程为如果所述协议被监视,则将所述数据分组调度到一个或多个处理程序以进行扫描。
22.根据权利要求13所述的系统,其中所述扫描和判定使用扫描守护进程来实现。
23.根据权利要求13所述的系统,其中所述处理单元被编程为生成伪响应。
24.一种用于防止通信网络中的入侵的系统,该系统包括:
存储单元,用来存储用于处理单元的数据和指令;以及
处理单元,耦合于所述存储单元,所述处理单元被编程为如果空闲时间期满,则禁用主机的网络接口,判定是否有任何分组要被发送,以及如果判定至少一个分组可用来发送,则启用所述网络接口。
25.一种计算机可读介质,包含被安排成检测通信网络中的入侵的程序化指令,所述计算机可读介质包括:
用于使用来自签名库的签名扫描由与所述通信网络相关联的网络协议的传输层处理的数据分组的程序化指令;
用于判定所述被扫描的数据分组是否有恶意的程序化指令;以及
用于如果任何数据分组被判定为有恶意则采取至少一个操作的程序化指令。
26.根据权利要求25所述的计算机可读介质,其中所述至少一个操作从包括以下操作的组中选择:
中断向所述网络协议的所述应用层传输被判定为有恶意的任何数据分组;
记录与被判定为有恶意的任何数据分组相关的错误;
如果任何数据分组被判定为有恶意,则修改主机计算机的防火墙规则;
向网络管理员通知任何数据分组被判定为有恶意;
通告所述传输层终止与被判定为有恶意的任何数据分组相关的现有连接;
阻止对被判定为有恶意的任何数据分组的源的网络访问;
如果任何数据分组被判定为有恶意,则终止应用层的应用;以及
如果任何数据分组被判定为有恶意,则通知应用层的应用。
27.根据权利要求25所述的计算机可读介质,还包括用于向所述应用层传输被判定为没有恶意的任何数据分组的程序化指令。
28.根据权利要求25所述的计算机可读介质,其中所述用于扫描和判定的程序化指令使用扫描模块来实现。
29.根据权利要求25所述的计算机可读介质,其中至少一个应用接收队列(ARQ)工作于所述传输层与所述应用层之间。
30.根据权利要求29所述的计算机可读介质,其中在所述传输层与所述至少一个应用接收队列(ARQ)之间执行所述扫描。
31.根据权利要求25所述的计算机可读介质,还包括用于从所述至少一个应用接收队列(ARQ)获得数据的程序化指令。
32.根据权利要求31所述的计算机可读介质,其中对来自所述至少一个应用接收队列(ARQ)的数据分组执行所述扫描。
33.根据权利要求25所述的计算机可读介质,还包括用于如果所述协议被监视则将所述数据分组调度到一个或多个处理程序以进行扫描的程序化指令。
34.根据权利要求25所述的计算机可读介质,其中所述扫描和判定使用扫描守护进程来实现。
35.一种防止通信网络中的入侵的计算机可读介质,所述计算机可读介质包括:
用于如果空闲时间期满则禁用主机的网络接口的程序化指令;
用于判定是否有任何分组要被发送的程序化指令;以及
用于如果判定至少一个分组可用来发送则启用所述网络接口的程序化指令。
CN2004100870129A 2003-10-31 2004-10-22 基于主机的网络入侵检测系统 Active CN1612532B (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/698,197 2003-10-31
US10/698,197 US7725936B2 (en) 2003-10-31 2003-10-31 Host-based network intrusion detection systems

Publications (2)

Publication Number Publication Date
CN1612532A true CN1612532A (zh) 2005-05-04
CN1612532B CN1612532B (zh) 2013-01-23

Family

ID=34573264

Family Applications (1)

Application Number Title Priority Date Filing Date
CN2004100870129A Active CN1612532B (zh) 2003-10-31 2004-10-22 基于主机的网络入侵检测系统

Country Status (3)

Country Link
US (2) US7725936B2 (zh)
JP (1) JP4072150B2 (zh)
CN (1) CN1612532B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1328638C (zh) * 2005-08-04 2007-07-25 西安交通大学 Windows环境下的主机入侵检测方法
CN101588358B (zh) * 2009-07-02 2012-06-27 西安电子科技大学 基于危险理论和nsa的主机入侵检测系统及检测方法
CN101558384B (zh) * 2006-03-24 2013-01-02 Avg技术塞浦路斯有限公司 软件漏洞利用防护

Families Citing this family (72)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US7392234B2 (en) * 1999-05-18 2008-06-24 Kom, Inc. Method and system for electronic file lifecycle management
US8234477B2 (en) 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US7885190B1 (en) 2003-05-12 2011-02-08 Sourcefire, Inc. Systems and methods for determining characteristics of a network based on flow analysis
US8407792B2 (en) * 2004-05-19 2013-03-26 Ca, Inc. Systems and methods for computer security
US8042180B2 (en) * 2004-05-21 2011-10-18 Computer Associates Think, Inc. Intrusion detection based on amount of network traffic
US7539681B2 (en) 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US20070043857A1 (en) * 2005-08-16 2007-02-22 Anchiva Systems, Inc. Method and System to Accelerate Data Processing for Mal-ware Detection and Elimination In a Data Network
CN100386993C (zh) * 2005-09-05 2008-05-07 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
US9015090B2 (en) 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US9674145B2 (en) 2005-09-06 2017-06-06 Daniel Chien Evaluating a questionable network communication
US9912677B2 (en) 2005-09-06 2018-03-06 Daniel Chien Evaluating a questionable network communication
US8621604B2 (en) * 2005-09-06 2013-12-31 Daniel Chien Evaluating a questionable network communication
US7333481B1 (en) 2005-10-11 2008-02-19 Airtight Networks, Inc. Method and system for disrupting undesirable wireless communication of devices in computer networks
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US8214899B2 (en) * 2006-03-15 2012-07-03 Daniel Chien Identifying unauthorized access to a network resource
US8601064B1 (en) * 2006-04-28 2013-12-03 Trend Micro Incorporated Techniques for defending an email system against malicious sources
US7948988B2 (en) * 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US7701945B2 (en) 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
EP2076866A2 (en) * 2006-10-06 2009-07-08 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
EP1954005A1 (en) * 2007-02-02 2008-08-06 Koninklijke KPN N.V. Method and system for processing network communication
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
WO2008134057A1 (en) * 2007-04-30 2008-11-06 Sourcefire, Inc. Real-time awareness for a computer network
US9042401B1 (en) * 2007-07-18 2015-05-26 Marvell International Ltd. Application-layer mechanism to enable power enhancements in multi-access scenarios
US8286243B2 (en) * 2007-10-23 2012-10-09 International Business Machines Corporation Blocking intrusion attacks at an offending host
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8272055B2 (en) * 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
JP2013523043A (ja) 2010-03-22 2013-06-13 エルアールディシー システムズ、エルエルシー ソースデータセットの完全性を識別及び保護する方法
EP2559217B1 (en) 2010-04-16 2019-08-14 Cisco Technology, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8346077B1 (en) * 2010-04-22 2013-01-01 Lockheed Martin Corporation Multi-domain systems and methods for fail secure information transfer
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US20120311715A1 (en) * 2011-05-30 2012-12-06 Yaron Tal System and method for protecting a website from hacking attacks
US8856330B2 (en) 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration
US9539158B2 (en) 2013-06-19 2017-01-10 American Innotek, Inc. Liquid sequestration bag with pinch closure
US10084791B2 (en) 2013-08-14 2018-09-25 Daniel Chien Evaluating a questionable network communication
CN105681274B (zh) * 2015-12-18 2019-02-01 北京神州绿盟信息安全科技股份有限公司 一种原始告警信息处理的方法及装置
US10382436B2 (en) 2016-11-22 2019-08-13 Daniel Chien Network security based on device identifiers and network addresses
US10542006B2 (en) 2016-11-22 2020-01-21 Daniel Chien Network security based on redirection of questionable network access
US10970395B1 (en) 2018-01-18 2021-04-06 Pure Storage, Inc Security threat monitoring for a storage system
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
US11188622B2 (en) 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US11641365B2 (en) 2019-10-10 2023-05-02 Honeywell International Inc. Hybrid intrusion detection model for cyberattacks in avionics internet gateways using edge analytics
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11386197B1 (en) 2021-01-11 2022-07-12 Bank Of America Corporation System and method for securing a network against malicious communications through peer-based cooperation
US11641366B2 (en) 2021-01-11 2023-05-02 Bank Of America Corporation Centralized tool for identifying and blocking malicious communications transmitted within a network
DE102021107336A1 (de) * 2021-03-24 2022-09-29 Infineon Technologies Ag VORRICHTUNGEN, SYSTEME, UND VERFAHREN FÜR PCIe ENDPUNKT INTERRUPT
CN114422248A (zh) * 2022-01-20 2022-04-29 深信服科技股份有限公司 一种攻击处理方法、系统、网络安全设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970010634B1 (ko) * 1994-10-25 1997-06-28 삼성전자 주식회사 네트워크 하이버네이션 시스템
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6732190B1 (en) * 1999-03-09 2004-05-04 Intel Corporation Method and apparatus for conserving power consumed by a network interface device in packet filtering mode
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
JP3687782B2 (ja) 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
DE60124295T8 (de) * 2000-11-30 2007-12-06 Lancope, Inc. Flussbasierte erfassung eines eindringens in ein netzwerk
US7007302B1 (en) * 2001-08-31 2006-02-28 Mcafee, Inc. Efficient management and blocking of malicious code and hacking attempts in a network environment
KR100422802B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
US20030084322A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of an OS-integrated intrusion detection and anti-virus system
US20030101353A1 (en) * 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7269752B2 (en) * 2002-06-04 2007-09-11 Lucent Technologies Inc. Dynamically controlling power consumption within a network node
US7511861B2 (en) * 2002-08-30 2009-03-31 Hewlett-Packard Development Company, L.P. Multi-page facsimile method and device
CN1203641C (zh) * 2002-10-11 2005-05-25 北京启明星辰信息技术有限公司 网络入侵监测的方法和系统
US7194642B2 (en) * 2003-08-04 2007-03-20 Intel Corporation Technique to coordinate servicing of multiple network interfaces
US7436770B2 (en) * 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
US7441272B2 (en) * 2004-06-09 2008-10-21 Intel Corporation Techniques for self-isolation of networked devices
US20060143709A1 (en) * 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1328638C (zh) * 2005-08-04 2007-07-25 西安交通大学 Windows环境下的主机入侵检测方法
CN101558384B (zh) * 2006-03-24 2013-01-02 Avg技术塞浦路斯有限公司 软件漏洞利用防护
CN103218563A (zh) * 2006-03-24 2013-07-24 Avg荷兰私人有限公司 软件漏洞利用防护
US8898787B2 (en) 2006-03-24 2014-11-25 AVG Netherlands, B.V. Software vulnerability exploitation shield
CN101588358B (zh) * 2009-07-02 2012-06-27 西安电子科技大学 基于危险理论和nsa的主机入侵检测系统及检测方法

Also Published As

Publication number Publication date
JP2005135420A (ja) 2005-05-26
JP4072150B2 (ja) 2008-04-09
US7725936B2 (en) 2010-05-25
US20080046563A1 (en) 2008-02-21
US7797436B2 (en) 2010-09-14
CN1612532B (zh) 2013-01-23
US20050108393A1 (en) 2005-05-19

Similar Documents

Publication Publication Date Title
CN1612532B (zh) 基于主机的网络入侵检测系统
US10505900B2 (en) Data leak protection in upper layer protocols
US7451489B2 (en) Active network defense system and method
US7610375B2 (en) Intrusion detection in a data center environment
US7461403B1 (en) System and method for providing passive screening of transient messages in a distributed computing environment
EP1330095B1 (en) Monitoring of data flow for enhancing network security
EP2432188B1 (en) Systems and methods for processing data flows
CN101036369A (zh) 分组的脱机分析
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
CN1656731A (zh) 基于多方法网关的网络安全系统和方法
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
CN1871612A (zh) 适于病毒防护的网络隔离技术
CN101009704A (zh) 一种处理高级网络内容的计算机系统与方法
CN1960246A (zh) 过滤网络中终端与目的主机间传输的危害性数据的方法
US7568231B1 (en) Integrated firewall/virus scanner system, method, and computer program product
CA2456118C (en) System and method for providing passive screening of transient messages in a distributed computing environment
Zaraska Ids active response mechanisms: Countermeasure subsytem for prelude ids
JP2006005555A (ja) 被害拡散防止システム及びパケット転送装置及びパケット収集分析装置及びプログラム
CN1509003A (zh) 一种局域网络未授权拨号接入监测的方法

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
TR01 Transfer of patent right
TR01 Transfer of patent right

Effective date of registration: 20211206

Address after: USA New York

Patentee after: Qindarui Co.

Address before: USA New York

Patentee before: International Business Machines Corp.