CN1784671A - 确定跨网络地址转换设备的会话内事件相关性的方法和系统 - Google Patents
确定跨网络地址转换设备的会话内事件相关性的方法和系统 Download PDFInfo
- Publication number
- CN1784671A CN1784671A CNA2004800113023A CN200480011302A CN1784671A CN 1784671 A CN1784671 A CN 1784671A CN A2004800113023 A CNA2004800113023 A CN A2004800113023A CN 200480011302 A CN200480011302 A CN 200480011302A CN 1784671 A CN1784671 A CN 1784671A
- Authority
- CN
- China
- Prior art keywords
- network
- event
- network event
- session
- incident
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/256—NAT traversal
- H04L61/2571—NAT traversal for identification, e.g. for authentication or billing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L61/00—Network arrangements, protocols or services for addressing or naming
- H04L61/09—Mapping addresses
- H04L61/25—Mapping addresses of the same type
- H04L61/2503—Translation of Internet protocol [IP] addresses
- H04L61/2514—Translation of Internet protocol [IP] addresses between local and global IP addresses
Abstract
会话内网络相关性系统接收网络事件流,然后根据每个事件的事件参数和相应的网络地址转换(NAT)信息将其分组为不同的网络会话。首先将流中的一个事件与任何现有会话相匹配,然后利用关于对事件有关的消息进行转换的NAT设备的信息将其归类。最后,在预定义的时刻,根据NAT消息或与归类后的事件相关联的期满定时器处理归类后的事件,以识别其他归类后的事件,接着将归类后的事件和识别出的其他归类后事件分组到同一网络会话中。
Description
技术领域
本发明一般地涉及计算机网络安全领域,更具体地说,本发明涉及用于将包含各种网络地址转换设备的计算机网络中的网络事件分组为不同的网络会话的系统和方法。
背景技术
网络地址转换(NAT)设备为去往或来自局域网(LAN)内的内部主机和服务器的网络分组转换地址和端口。
NAT对于LAN的操作提供了至少两个明显的优点。首先,NAT可以对外部世界隐藏内部主机的真实地址。这在保护内部主机免受安全攻击时是非常重要的。例如,由于来自LAN上的一个设备的分组被NAT设备映射以隐藏设备的真实地址,因此如果攻击者不知道该设备的真实地址,则攻击者难以对该设备发起有效的攻击。
其次,NAT允许LAN使用比其拥有的公共地址数目多得多的专用地址以用于内部使用。该特征极大地缓解了32位地址所带来的地址容量有限的问题。例如,多个LAN可以共享同一组专用网络地址以用于其内部使用,只要其有唯一的公共地址即可。结果,专用地址用在内部主机之间的LAN内,而公共地址用于跨因特网的通信。
然而,NAT的使用对网络安全攻击的早期检测提出了的挑战。当前的安全设备,如防火墙、虚拟专用网络(VPN)网关、入侵检测系统(IDS),一旦检测到安全攻击就生成事件/警报。事件消息一般包含可疑入侵者的网络地址和受攻击主机,以及受攻击主机上的目标TCP/IP应用,如HTTP或FTP。来自不同安全设备的事件流的相关性有助于尽可能早地检测到攻击,这些不同的安全设备都与同一可疑入侵者和同一主机之间的消息有关。
如图1所示,为了快速检测对计算机网络的安全攻击,在因特网上部署了多个安全设备。每个安全设备被配置使得只要当其检测到可疑事件(如IP分组),其就向网络安全监视器发送事件消息。网络安全监视器负责将来自网络不同部分的相异事件相关性,并提供关于更高级攻击情形的内在信息。
由于NAT的存在,对于单个可疑入侵者或单个受攻击主机,来自不同设备的事件可能有不同的地址,这使得难以将这些事件相关。结果,直接分析来自不同安全设备的事件流可能不能适当地揭示安全攻击的存在。
因此,希望发展这样一种方法和系统,其可以识别出来自不同安全设备的网络事件流都是响应于从源到目的地的消息而生成的,即使当这些事件由于在消息在网络中移动时对消息执行的NAT操作而可能具有不同的源和目的地信息的情况下也是如此。
发明内容
一种方法和系统利用沿计算机网络的网络传输路径的各种NAT设备的网络地址转换信息,将具有不同源和目的地信息的网络事件分组到同一网络会话中。
首先,评价具有一组事件参数的进入网络事件,以确定其是否属于与任何先前接收的一个或多个网络事件相关联的网络会话。如果存在匹配,则将进入事件归类到与那些先前接收的一个或多个事件相同的会话中。
其次,将网络事件与一组NAT设备相比较,每个设备有一组预定义的网络地址转换规则。如果该事件与NAT规则相关联,则相应的NAT设备可能是从其报告事件的网络传输路径的一部分。
此外,从相应的NAT设备和规则开始,估计与进入事件相关联的更多可能的事件。然后,评价这些可能的事件(如果存在的话),以查看其是否属于任何现有的网络会话。
最后,在预定义的时刻,利用其网络会话或网络地址转换信息进一步处理先前接收的网络事件,以识别出属于同一网络会话的更多事件(如果存在的话),并且在给定唯一标识符的前提下将这些网络事件分组到一起,并将其发送到网络安全监视设备,以检测任何可能的网络攻击的存在。
附图说明
本发明的前述特征和优点以及另外的特征和优点从以下结合附图对本发明的优选实施例的详细描述中将更为清楚。
图1图示了被配置为能够由网络安全监视器从多个安全设备收集事件消息的计算机网络。
图2图示了源动态和目的地静态NAT规则。
图3是会话内事件相关性系统的框图。
图4A-4B是图示实施例主要步骤的流程图。
图4C是图示使用期满定时器的事件相关性和提升过程的流程图。
图4D是图示使用期满定时器的另一个事件相关性和提升过程的流程图。
图5图示了本发明的NAT查找过程。
图6A示出了网络拓扑。
图6B-6D说明了只有一个网络会话的第一场景。
图6E说明了有两个不重叠的会话的第二场景。
图6F说明了有两个重叠会话的第三场景。
具体实施方式
对于网络攻击检测,将相异的事件分组到沿在源地址和目的地地址之间网络上的传输路径建立的“网络会话”中是有利的。然而,沿相同传输路径的NAT设备的存在使得这较为困难,这是因为由于沿传输路径的各种网络地址转换可能导致来自不同安全设备的事件具有不同的源和目的地地址对。
对于事件的每个参数,NAT规则定义了从前映射域到后映射域的映射关系。在这两个域之间为1对1映射时,NAT规则被称为静态的,在这两个域之间为多对1映射时,NAT规则被称为动态的。如果存在第二动态NAT规则,其中第一和第二规则都适于对事件的会话修饰符(源地址、源端口、目的地地址、目的地端口、协议)的同一参数执行映射操作,则认为第一动态NAT规则相对于具体事件来说是不明确的。从另一个角度来说,如果由于经过网络的消息路径可以经过多个NAT设备中的任何一个,因而该路径是未知的(或者部分未知的),则认为那些设备的NAT规则相对于该消息生成的事件来说是不明确的。如果动态NAT规则相对于事件来说不是不明确的,则称其为明确的动态NAT规则。
图2示出了执行源地址的多对1映射的动态NAT规则和目的地地址的静态映射(即,1对1映射)的示例。有两个事件参数(源地址和目的地地址)从NAT规则的前映射域映射到后映射域。根据NAT规则,具有源地址范围从10.1.1.0到10.1.1.255和目的地地址100.1.1.1的任何IP分组将被转换为具有源地址20.1.1.1和目的地地址192.1.1.1的新的分组。该NAT规则可用来确定两个事件(每一个来自NAT设备的一侧)属于同一网络会话。
在图2中,网络事件E1在NAT变换之前由安全设备(未示出)生成。E1有会话修饰符SQ1。会话修饰符包括表征网络会话的事件参数,如源地址、目的地地址、源端口、目的地端口和协议。会话修饰符SQ1的源地址是10.1.1.10,其在10.1.1.0和10.1.1.255之间,而其目的地地址是100.1.1.1。给定SQ1和NAT规则,就很容易预测NAT变换之后的会话修饰符SQ2,其是源地址20.1.1.1和目的地地址192.1.1.1。因此,如果在NAT变换后接收到对应于与E1相同会话的事件E2,则事件E2将由不同的会话修饰符SQ2表征。换句话说,即使SQ1和SQ2不同,它们实际上也表征同一网络会话。本发明提供了用于利用有关NAT信息将具有不同会话修饰符的事件流关联到同一网络会话中的方法和系统。
图3图示了根据本发明的会话内事件相关性系统300。会话内事件相关性系统300一般包括一个或多个中央处理单元(CPU)302、一个或多个网络或其他通信接口310、存储器314以及用于互连系统300的各种组件的一个或多个通信总线312。会话内事件相关性系统300可选地包括用户接口304,用户接口304例如包括显示器306和键盘308。存储器314包括高速随机存取存储器,也可包括非易失性存储器,如一个或多个磁盘存储设备(未示出)。存储器314也可包括远离(一个或多个)中央处理单元302的大容量存储介质。存储器314优选地存储:
◆操作系统316,其包括用于处理各种基本系统服务和执行硬件有关任务的程序;
◆网络通信模块318,其用于经由一个或多个通信网络(有线的或无线的)将系统300连接到各种安全设备或客户端计算机(未示出),也可能连接到其他服务器或计算机,所述通信网络例如因特网、其他广域网、局域网、城域网等等;
◆系统初始化模块320,其初始化系统300适当运行所需的存储在存储器314中的数据结构和其他模块;
◆会话内事件相关性引擎模块322,其基于事件的会话修饰符将各种事件分组为不同的网络会话;
◆多个表,用于存储不同的NAT定义和网络会话以及其相应的事件;以及
◆事件日志,用于存储系统300所处理的网络事件。
多个表包括:
◆NAT定义表340,用于存储关于NAT设备和其关联NAT规则的信息;
◆已完成会话表(CST)342,用于存储与端到端会话修饰符已完全从其源到目的地确定了的会话相关联的事件;
◆未决会话表(PST)344,用于存储与端到端会话修饰符未完全确定的会话相关联的事件,并且就系统300迄今为止所知而言,该会话要么(A)不经过任何执行动态NAT的设备,要么(B)经过NAT定义不明确的NAT设备;以及
◆动态NAT会话表(DNST)346,也用于存储与端到端会话修饰符未完全确定的会话相关联的事件,其中该事件还不够资格存储在PST中;存储在DNST中的事件与经过至少一个这样的NAT设备的会话相关联,该NAT设备的NAT规则相对于该会话来说是明确的动态NAT规则。
在一个实施例中,CST 342被实现为以会话修饰符作为散列关键字的散列图,且属于同一会话的所有事件具有相同散列值。CST中的任何会话可以通过散列化其会话修饰符中的一个来执行有效的查找。注意,由于NAT,因此多个会话修饰符可以映射到同一网络会话。
类似地,PST 344也可被实现为以会话修饰符作为散列关键字的散列图,且属于同一会话的所有事件具有相同散列值。另外,在事件存储在PST中时,期满定时器与事件相关联。这种定时器用于将事件从PST提升到CST。
DNST 346也可被实现为散列图。然而,DNST情况下的散列关键字不是单个会话修饰符,而实质上是可由NAT设备生成且对应于同一网络会话的一组会话修饰符。这一组会话修饰符可定义为会话规范。类似于PST,DNST中的每个事件也有关联的期满定时器,以用于将事件从DNST提升到CST。除了期满定时器以外,DNST中的事件也可以与其他事件相关,并由NAT消息提升到CST。NAT消息是NAT设备发送的特殊网络事件,其包含关于用于IP分组的设备所进行的特定地址转换的信息。
会话内事件相关性引擎模块322包括可执行过程、子模块和支持会话内事件相关性处理的其他数据结构。在相同实施例中,相关性引擎模块包括:
◆事件到会话映射模块324,其试图将进入事件关联到现有网络会话,或者在存储器314中对该进入事件生成新的网络会话;
◆PST会话提升模块326,其在与PST中的一个事件相关联的定时器期满后,选择在PST中属于同一会话的所有事件,并将其提升到CST;以及
◆DNST会话提升模块328,其在与DNST中的一个事件相关联的定时器期满后,选择在PST和DNST中属于同一会话的所有事件,并将其提升到CST。
事件在通过会话相关性的各个阶段中时在CST、PST和DNST之间移动。当事件首次到达时,首先将其与CSP或PST中任何现有的会话相比较。如果未发现匹配,则执行NAT查找以确定可适用于事件的NAT变换。另外,确定这些NAT变换中的任何一个是否是不明确的动态NAT。如果是,则将该事件放置在PST中。否则将其放置在DNST中。换句话说,只有来自使用明确的动态NAT的会话的事件才被放置在DNST中。
NAT查找步骤也返回一组放置在表中的会话修饰符以匹配来自同一会话的后续事件。明确描述某些网络事件的NAT变换的NAT消息被以类似方式处理,并且其可以连接等待在PST和DNST中的完全不同的事件。一旦定时器期满,事件就根据某些附加的启发通过从PST中拾取属于同一会话的附加事件,从PST或DNST中移动到CST。换句话说,PST和DNST的主要目的是充当附加会话形成的集结区。
一旦一组事件到达CST,就在CST中相应地生成新的网络会话条目。对于该新的网络会话,其端到端和中间会话修饰符已破完全确定。其他事件在提升到CST之前只在PST或DNST中停留较短的一段时间,这是因为与那些事件相关联的NAT消息(如果它们不断到达系统300)将在触发那些NAT消息的网络会话的第一个分组到达其目的地之前到达。
图4A-4D提供了该实施例的更多细节。在图4A的步骤401,新生成的网络事件EVT在被事件解析器(未示出)解析之后到达系统300。事件EVT的特征由会话修饰符表征。在步骤403,事件EVT的会话修饰符被用来匹配CST中的任何现有的网络会话。如果存在匹配,则在步骤405将事件EVT添加到CST中的匹配网络会话,并且在步骤407相关性过程停止,等待下一个进入网络事件到达。
如果在步骤403没有匹配,则相关性过程移动到步骤409,在步骤409事件EVT的会话修饰符被用来匹配PST中的任何现有的网络会话。如果在事件EVT和PST中的网络会话之间存在匹配,则给事件EVT分配一个期满定时器,然后在步骤411将事件EVT添加到PST中的匹配网络会话。相关性过程在步骤413停止,事件EVT等待由其期满定时器提升到CST。
如果在步骤409没有匹配,则相关性过程移动到步骤415,在步骤415利用事件EVT的会话修饰符作为输入执行以下的NAT查找:
◆相关性过程确定事件EVT是否可以与网络上部署的任何NAT设备相关联,如果可以,则其从该设备朝向引起事件EVT生成的消息的源和目的地穿过网络。
◆响应于事件EVT穿过网络,相关性过程生成会话修饰符的有序列表(会话修饰符列表)和会话规格的有序列表(会话规格列表)。会话修饰符列表和会话规格列表将在下面参考图5更详细的描述。会话规格包含一组会话修饰符。来自会话修饰符列表的每个会话修饰符被包含在来自会话规格列表的一个会话规格中。
任何网络事件都是由一个安全设备响应于一个网络会话而生成的。如果在步骤415的事件EVT的NAT查找期间只识别出两个NAT设备,一个NAT设备在穿过期间朝向事件的源,一个NAT设备在穿过期间朝向事件的目的地,则事件的起点可唯一地定位在网络上。这种情况下,在步骤417中关于事件EVT在网络上起点的确定是明确的,因此,事件EVT将被存储在DNST中,如下参考图4B所述。
然而,如果在单个穿过(或者朝向事件EVT的源,或者朝向其目的地)中识别出至少两个NAT设备,即关于事件EVT的起点的确定不明确,则事件EVT将不被存储在DNST中。相反地,事件EVT被存储在PST中。在于步骤421处在PST中创建一个新的条目以存储事件EVT之前,相关性过程首先在步骤423确定在步骤415由NAT查找生成的会话修饰符列表中的任何会话修饰符是否与PST中的任何现有会话相匹配。该步骤与步骤409本质上相同。属于同一会话的事件在步骤425被合并到PST中。最后,相关性过程在步骤413停止,等待下一个事件到达。
紧接着步骤417,图4B图示了在关于事件EVT在网络上起点的确定明确的情况下的相关性过程。
在步骤427,首先将在步骤415生成的会话规格列表中的会话规格与DNST中的任何现有会话规格相比较。如果未发现匹配,则相关性过程在步骤429处在DNST中创建会话规格列表中的新条目。该新的条目包括事件EVT和EVT的会话规格列表和会话修饰符列表。当事件EVT附接到DNST中的新条目时,还被分配以一个期满定时器。过程在步骤431停止,等待下一个进入网络事件,或定时器期满以将事件EVT从DNST提升到CST。
然而,如果在DNST中有条目匹配事件EVT的会话规格列表(步骤427-是),指示DNST存储了来自与事件EVT相同的网络会话的至少另一个网络事件,则相关性过程在步骤433通过将事件EVT附接到属于DNST中的匹配条目的相应会话修饰符,来更新匹配条目。
在将事件EVT附接到DNST中的现有条目后,相关性过程确定相应网络会话是否完成。作为启发规则,如果会话规格列表中的每个会话规格只有一个会话修饰符,则网络会话完成。在步骤435,如果存在一组会话修饰符,每一个会话修饰符对应同一会话规格列表中的每个规格,则确定事件EVT所隶属的网络会话完成。否则,会话未完成。
如果事件EVT所隶属的会话完成,则在步骤437将所有的相应事件合并到单个会话中。在步骤439,相关性过程收集预先存储在PST中属于同一会话的其他事件(如果有的话),并扩展网络会话的覆盖范围。最后,与同一完成会话有关的所有事件在步骤451被提升到CST,相关性过程在步骤453停止。然而,如果在步骤435未发现完成会话,则相关性过程在步骤431停止,等待下一个进入网络事件。
图4A和4B覆盖了在事件首次到达会话内事件相关性系统300时的网络事件相关性过程。事件或者驻留在CST中,指示该事件隶属于现有的已完成会话,或者驻留在PST或DNST中,等待更多的进入事件以建立已完成的网络会话。如果这些事件没有具体化化,则与PST或DNST中的事件相关联的期满定时器周期性地发出定时器事件,其触发PST或DNST中的会话清空过程。
图4C提供了DNST中该清空过程的更多细节。如前所述,当事件被首次分配到DNST中的一个条目时,期满定时器与该事件相关联。因此,除了将事件分组到不同的网络会话以外,相关性过程还维护与DNST中的不同事件相关联的期满定时器的分离队列。
在步骤455,当事件E的期满时刻到达时,相关性过程首先在DNST中识别事件E所属的相应会话规格列表。在步骤457,进一步检查该识别出的列表以检测列表内相冲突的任何会话修饰符。会话规格列表中的会话修饰符冲突意味着在规格列表中的同一会话规格下存在多于一个会话修饰符。换句话说,在同一会话规格列表中存在多于一个网络会话,因此,同一会话规格列表中的事件属于两个或更多个不同会话。因此,为了避免将属于不同会话的事件分组到同一会话中,只要在步骤457识别出的会话规格列表中存在冲突,规格列表中的所有事件就在步骤459被分配到不同的会话。然而,如果每个会话规格只有一个会话修饰符,则会话规格列表包含至多一个唯一的网络会话。因此,与会话规格列表相关联的所有事件可以在步骤461被合并到单个会话中。
在步骤459或461创建一个或多个新的网络会话之后,并在将这些会话提升到CST之前,相关性过程在步骤463需要检查在PST中是否有属于这些新创建的会话的附加事件。如前所述,如果当事件首次到达时在确定事件起点时存在任何不明确性,则网络事件可以临时存储在PST中。这种不明确性可以在与同一会话有关的更多事件到达时得到解决。步骤463给系统300提供了这样的机会:系统300通过拾取来自PST的匹配新创建会话的事件,来扩展新创建的会话。
在步骤465,新创建的会话和其关联事件被插入到CST中,相关性过程在步骤467停止,直到其被存储在队列中的另一个事件的期满定时器再次调用。
图4D图示了发生在PST中的类似过程。如前所述,存储在PST中的每个网络事件也与期满定时器相关联,并且相关性过程维护与PST中不同事件相关联的期满定时器的另一个队列。在步骤467,当事件F的期满时刻到达时,相关性过程首先在PST中识别事件F所关联的网络会话。然后,相关性过程在步骤468将识别出的会话和其关联事件(包括F)插入到CST中作为新的条目。最后,相关性过程在步骤469停止,等待存储在队列中的下一个调用。
在图4A的步骤415讨论的NAT查找的目的是首先通过根据EVT的会话修饰符识别网络上的NAT设备来定位事件EVT的起点,然后基于EVT的会话修饰符和设备的NAT规则来构建会话修饰符的有序列表和会话规格的有序列表。事件EVT的会话规格列表和会话修饰符列表极大地扩展了事件EVT的相关覆盖范围。因此,如果有另一个网络事件,其会话规格列表与图4B的步骤427和433所定义的事件EVT的会话规格列表相关,则这两个事件可能属于同一网络会话,即使在这两个事件的会话修饰符不直接彼此相关的情况下也是如此。
图5提供的示例图示了用以构建会话修饰符的有序列表和会话规格的有序列表的NAT查找过程。NAT设备NAT0和NAT1建立了源主机10.1.1.1和目的地主机192.1.1.1之间的网络会话。NAT0有动态NAT规则,其将来自前映射域10.1.1.0-10.1.1.255的源地址映射到后映射域100.1.1.0-100.1.1.2。NAT1有静态NAT规则,其将目的地地址从200.1.1.1映射到192.1.1.1。如图5所示,事件E*由具有会话修饰符SQ*的安全设备(未示出)生成,会话修饰符SQ*包括以下参数:
(源SA*,源端口SP*,协议P*,目的地DA*和目的地端口DP*)。
NAT查找的第一步是确定事件E*在网络上的起点。事件E*的会话修饰符SQ*由NAT0的后映射域和NAT1的前映射域覆盖。因此,事件E*应当从位于NAT0和NAT1之间的安全设备发起。
第二步是利用NAT0和NAT1的NAT规则从会话修饰符SQ*生成会话规格。循着箭头502,通过将SQ*的源和目的地地址替代为NAT0的后映射域和NAT1的前映射域,基于会话修饰符SQ*和两个NAT规则生成了会话规格SP*。显然,会话修饰符SQ*被会话规格SP*所包含。
第三步是朝向目的地主机192.1.1.1穿过会话修饰符SQ*。循着箭头504并将NAT1的静态NAT规则应用到SQ*,在将目的地地址200.1.1.1替代为192.1.1.1之后生成了会话修饰符SQm。类似地,循着箭头506生成了会话规格SPm,其中会话修饰符SQm被会话规格SPm所覆盖。
第四步是朝向源主机10.1.1.1穿过会话修饰符SQ*。循着箭头508和510,并将动态NAT规则应用到SQ*和SP*,分别生成了新的会话修饰符SQk和新的会话规格SPk。因为与NAT0相关联的NAT规则是动态的,所以SQk的源地址不是单个地址,而是一个范围。会话修饰符(如SQm)在其参数都是单个“数”(即,参数值)时被完全确定;否则,会话修饰符(如SQk)在其任何一个参数是范围,而不是单个地址或参数值时未被完全确定。
作为一般规则,NAT查找所生成的会话修饰符列表应当只包括完全确定的会话修饰符,而不包括任何未完全确定的会话修饰符。因此,事件E*的会话修饰符列表包括两个会话修饰符(SQ*,SQm)。然而,会话规格的任何参数可以是一个范围或单个数。因此,事件E*的会话规格列表包括三个成员(SPk,SP*,SPm)。
上述穿过过程的总结返回以下结果:
◆会话修饰符的有序列表(…,SQk,SQ*,SQm,…),其中SQm是朝向会话目的地的会话修饰符,SQk是朝向会话源的会话修饰符;以及
◆会话规格的有序列表(…,SPk,SP*,SPm,…),其中SPm是朝向会话目的地的会话规格,SPk是朝向会话源的会话规格。
图6A-6F提供了包括三个场景的示例,以图示本实施例的关键特征。图6A描述了具有四个主机10.1.1.30、10.1.1.40、192.1.1.1和192.1.1.2,两个NAT设备NAT1和NAT2,以及三个安全设备IDS1、IDS2和IDS3的网络的一部分。NAT1与动态NAT规则相关联,该动态NAT规则将源地址从前映射域10.1.1.0-10.1.1.255映射到后映射域20.1.1.1。NAT2与静态NAT规则相关联,该静态NAT规则将目的地地址从100.1.1.1-100.1.1.10映射到192.1.1.1-192.1.1.10,并将目的地端口从80映射到8000。事件Ev11、Ev12和Ev13是IDS1所生成的三个网络事件,每个对应于不同的网络会话。类似地,IDS2负责生成Ev21、Ev22和Ev23,IDS3负责生成Ev31、Ev32和Ev33。最初,系统300的三个表CST、PST和DNST都是空的。
在图6B-6D所示的第一场景中,三个事件Ev11、Ev21和Ev31顺序到达系统300。当Ev11首次到达时,其不与CST或PST中的任何条目匹配,因为这两个表都是空的。NAT查找生成会话修饰符的有序列表(SQ0,SQ1,SQ2)和会话规格的有序列表(SP0,SP1,SP2)。由于匹配Ev11的唯一NAT设备是NAT1,因此Ev11的NAT变换没有不明确性。因此,在DNST中创建包含Ev11及其关联会话规格列表和会话修饰符列表的新的条目。由于SQ1和SQ2未被完全确定(源端口是一个范围,而不是单个值),因此只有SP0包含会话修饰符SQ0和事件Ev11,而SP1和SP2没有任何会话修饰符或网络事件信息。
图6C示出了Ev21到达后的相关性结果。类似地,在CST和PST中没有匹配,Ev21的NAT查找生成新的会话修饰符的有序列表(SQ3,SQ4,SQ5)和相同的会话规格的有序列表(SP0,SP1,SP2)。在列表内的新会话修饰符中,SQ4和SQ5都是完全确定的。然而,由于会话规格列表保持相同,因此在DNST中不生成新的条目。相反地,SQ4和Ev21附接到SP1,SQ5附接到SP2。
图6D图示了Ev31到达后的相关性结果。类似地,在CST和PST中没有匹配,Ev31的NAT查找生成与Ev21相同的会话修饰符的有序列表(SQ3,SQ4,SQ5)和相同的会话规格的有序列表(Sp0,SP1,SP2)。因此,在DNST中不创建新的条目,Ev31到达前后DNST中的唯一区别是SQ5有与其相关联的网络事件Ev31。
如前所述,当事件被插入到DNST中时,相关性过程也为事件分配一个期满定时器,并维护期满定时器的分离队列。因此在这里的第一场景中,在DNST中有一个三个期满定时器的队列,每个定时器对应于三个事件Ev11、Ev21或Ev31中的一个。当三个定时器中的一个期满时,其发出定时器期满事件以调用相关性过程。作为响应,相关性过程检查在包含Ev11、Ev21和Ev31的会话规格列表中是否有任何冲突存在。如图6D所示,由于每个规格只有一个会话修饰符,即SP0的SQ0,SP1的SQ4,SP2的SQ5,因此所有这三个事件Ev11、Ev21和Ev31被相关到单个会话中,然后被提升到CST。由于在这里PST为空,因此相关性过程在将这三个事件提升到CST时并不从PST拾取任何事件。
在第二场景中,另外三个事件Ev12、Ev22和Ev32在与前三个事件相关联的期满定时器期满之前到达相关性系统。重复与第一场景中应用的相同的NAT查找算法,相关性过程生成新的会话修饰符的有序列表(SQ6,SQ7,SQ8)和新的会话规格的有序列表(SP3,SP4,SP5),如图6E所示。由于在Ev11、Ev21和Ev31的会话规格列表与Ev12、Ev22和Ev32的会话规格列表之间没有重叠,因此只要与这六个事件中的一个相关联的定时器期满,对应于同一会话的一个三个事件的组就被相关,并被提升到CST。余下的三个事件等待直到与这三个事件中的一个相关联的另一个定时器期满。
在第三场景中,另外三个事件Ev13、Ev23和Ev33紧跟着事件Ev11、Ev21和Ev31到达。将相同的NAT查找方法应用到事件Ev13、Ev23和Ev33,相关性过程生成新的会话修饰符的有序列表(SQ9,SQ10,SQ11)和相同的会话规格的有序列表(SP0,SP1,SP2)。如图6F所示,由于在同一会话规格内有两个会话修饰符:
◆{SQ0,SQ9}∈SP0
◆{SQ4,SQ10}∈SP1,和
◆{SQ5,SQ11}∈SP2因此在每个会话规格内存在会话修饰符冲突。该冲突无法由与相应网络事件相关联的期满定时器解决。相反地,NAT消息在这里是必需的以解决冲突。在该示例中,假定两个NAT消息(来自NAT1的Ev4和来自NAT2的Ev5)稍后到达相关性系统:
◆Ev4定义NAT1所进行的从源地址10.1.1.30、源端口3000到源地址20.1.1.1、源端口9990的NAT转换;以及
◆Ev5定义NAT2所进行的从源地址100.1.1.1、源端口80到源地址192.1.1.1、源端口8080的NAT转换。
在相关性过程将Ev4和Ev5插入到DNST中之后,Ev11、Ev4、Ev21、Ev5和Ev31明显属于单个网络会话。不需要进一步等待任何期满定时器调用,该组事件被从DNST中移除,并被提升到CST。之后,每个会话规格只有一个会话修饰符,SP0的SQ9,SP1的SQ10,SP2的SQ11。由于冲突已经解决,因此这三个事件将被相关到同一会话中,并且在发生期满定时器调用时提升到CST。
另一方面,根据图4C所示的清空过程,如果在DNST中没有像Ev4和Ev5之类的NAT消息,则响应于六个事件Ev11、Ev21、Ev31、Ev13、Ev23和Ev33在CST中分别创建六个新的会话,然后将其插入到CST中。
出于解释的目的,参考特定实施例进行了前述描述。然而,以上的说明性讨论并不是穷尽的,也不是要将本发明限制在所公开的准确形式。根据以上教导可以进行许多修改和变化。所选择和描述的实施例是为了最好地解释本发明的原理和其实际应用,从而使本领域的技术人员能够最好地利用本发明和具有各种修改的各种实施例,以适合于所预期的具体应用。
Claims (36)
1.一种对网络事件分组的方法,包括:
接收网络事件流,每个网络事件包括与网络会话相关联的一组事件参数,所述网络会话对应于通过网络传输的消息;
对于流中的一个网络事件,通过确定所述事件是否与任何先前接收的事件属于同一网络会话,进行初始会话确定;
对于所述网络事件,识别由沿与所述网络事件相关联的网络传输路径的一个或多个设备执行的网络地址转换的信息;
根据所述会话确定和所述网络地址转换信息中的至少一个对所述网络事件归类;以及
在预定义的时刻,
处理归类后的网络事件,以在与所述归类后的网络事件属于同一网络会话的另一个归类后的网络事件存在的前提下,识别该另一个归类后的网络事件;
在所述识别出的其他归类后的网络事件存在的前提下,将所述归类后的网络事件和所述识别出的其他归类后的网络事件分组到一个组中;以及
给包括所述归类后的网络事件的该组事件分配一个唯一的标识符。
2.如权利要求1所述的方法,其中,所述事件参数组包括源地址、源端口、目的地地址、目的地端口和网络协议。
3.如权利要求1所述的方法,其中,所述网络会话是在网络上的源主机和目的地主机之间建立的通信信道。
4.如权利要求1所述的方法,其中,所述初始会话确定包括将新接收的网络事件的事件参数与任何先前接收的网络事件的事件参数相比较,并且如果存在匹配,则新接收的事件与那些先前接收的匹配事件属于同一网络会话。
5.如权利要求1所述的方法,其中,所述一个或多个设备中的每一个与至少一个网络地址转换规则相关联,每个规则包括一个或多个事件参数的前映射参数域和后映射参数域。
6.如权利要求5所述的方法,其中,两个网络地址转换规则的前映射域和/或后映射域可以相互重叠。
7.如权利要求1所述的方法,其中,所述识别包括:
如果在其前映射参数域包含所述网络事件参数的网络传输路径上存在第一设备的前提下,则识别与所述第一设备相关联的第一网络地址转换规则;
在将所述第一规则应用到所述网络事件之后,估计包含在所述第一规则的后映射参数域中的第一事件参数组;
如果在其后映射参数域包含所述网络事件参数的网络传输路径上存在第二设备的前提下,则识别与所述第二设备相关联的第二网络地址转换规则;以及
在将所述第二规则应用到所述网络事件之后,估计包含在所述第二规则的前映射参数域中的第二事件参数组。
8.如权利要求1所述的方法,其中,所述归类包括:
根据所述初始会话确定结果将所述网络事件与任何先前接收的事件相关联;以及
根据在所述识别中获得的网络地址转换信息将所述网络事件与任何先前接收的事件相关联。
9.如权利要求1所述的方法,其中,所述预定义的时刻与网络事件相关联。
10.如权利要求1所述的方法,其中,所述归类后的网络事件和所述识别出的其他归类后的网络事件在所述归类期间属于不同种类。
11.如权利要求1所述的方法,其中,根据所识别出的与所述网络事件相关联的网络传输路径上的网络地址转换信息来执行所述处理。
12.如权利要求1所述的方法,其中,根据在所述归类后的网络事件到达后接收的网络地址转换信息来执行所述处理。
13.一种网络事件分组系统,包括:
用于执行程序的一个或多个中央处理单元;
用于接收网络事件的接口;和
可由所述一个或多个中央处理单元执行的网络事件相关性引擎模块,所述模块包括:
用于存储网络事件流的多个数据结构,每个网络事件包括与网络会话相关联的一组事件参数,所述网络会话对应于通过网络传输的消息;
用于在所述流中的一个网络事件与所述流中的另一个网络事件属于同一网络会话时建立相关性的指令;
用于识别由沿与所述网络事件相关联的网络传输路径的一个或多个设备执行的网络地址转换的信息的指令;
用于根据所述事件的网络会话关系和/或所述事件的网络地址转换信息对所述流中的网络事件归类的指令;以及
用于在预定义的时刻调用归类后的网络事件的指令,其中,调用包括处理所述归类后的网络事件,以在与所述归类后的网络事件属于同一网络会话的另一个归类后的网络事件存在的前提下,识别该另一个归类后的网络事件;在所述识别出的其他归类后的网络事件存在的前提下,将所述归类后的网络事件和所述识别出的其他归类后的网络事件分组到一个组中;以及给包括所述归类后的网络事件的该组事件分配一个唯一的标识符。
14.如权利要求13所述的系统,其中,所述事件参数组包括源地址、源端口、目的地地址、目的地端口和网络协议。
15.如权利要求13所述的系统,其中,所述网络会话是在网络上的源主机和目的地主机之间建立的通信信道。
16.如权利要求13所述的系统,其中,所述用于建立相关性的指令包括将新接收的网络事件的事件参数与任何先前接收的网络事件的事件参数相比较,并且如果存在匹配,则新接收的事件与那些先前接收的匹配事件属于同一网络会话。
17.如权利要求13所述的系统,其中,所述一个或多个设备中的每一个与至少一个网络地址转换规则相关联,每个规则包括一个或多个事件参数的前映射参数域和后映射参数域。
18.如权利要求17所述的系统,其中,两个网络地址转换规则的前映射域和/或后映射域可以相互重叠。
19.如权利要求13所述的系统,其中,所述识别指令包括:
如果在其前映射参数域包含所述网络事件参数的网络传输路径上存在第一设备的前提下,则识别与所述第一设备相关联的第一网络地址转换规则;
在将所述第一规则应用到所述网络事件之后,估计包含在所述第一规则的后映射参数域中的第一事件参数组;
如果在其后映射参数域包含所述网络事件参数的网络传输路径上存在第二设备的前提下,则识别与所述第二设备相关联的第二网络地址转换规则;以及
在将所述第二规则应用到所述网络事件之后,估计包含在所述第二规则的前映射参数域中的第二事件参数组。
20.如权利要求13所述的系统,其中,所述归类指令包括:
根据所述初始会话确定结果将所述网络事件与任何先前接收的事件相关联;以及
根据在所述识别中获得的网络地址转换信息将所述网络事件与任何先前接收的事件相关联。
21.如权利要求13所述的系统,其中,所述预定义的时刻与网络事件相关联。
22.如权利要求13所述的系统,其中,所述归类后的网络事件和所述识别出的其他归类后的网络事件在所述归类期间属于不同种类。
23.如权利要求13所述的系统,其中,根据所识别出的与所述网络事件相关联的网络传输路径上的网络地址转换信息来执行所述处理。
24.如权利要求13所述的系统,其中,根据在所述归类后的网络事件到达后接收的网络地址转换信息来执行所述处理。
25.一种与计算机系统结合使用的计算机程序产品,所述计算机程序产品包括计算机可读存储介质和嵌入在其中的计算机程序机制,所述计算机程序机制包括:
用于接收并存储网络事件流的指令,每个网络事件包括与网络会话相关联的一组事件参数,所述网络会话对应于通过网络传输的消息;
用于在所述流中的一个网络事件与所述流中的另一个网络事件属于同一网络会话时建立相关性的指令;
用于识别由沿与所述网络事件相关联的网络传输路径的一个或多个设备执行的网络地址转换的信息的指令;
用于根据所述事件的网络会话联系和/或所述事件的网络地址转换信息对所述流中的网络事件归类的指令;以及
用于在预定义的时刻调用归类后的网络事件的指令,其中,调用包括处理所述归类后的网络事件,以在与所述归类后的网络事件属于同一网络会话的另一个归类后的网络事件存在的前提下,识别该另一个归类后的网络事件;在所述识别出的其他归类后的网络事件存在的前提下,将所述归类后的网络事件和所述识别出的其他归类后的网络事件分组到一个组中;以及给包括所述归类后的网络事件的该组事件分配一个唯一的标识符。
26.如权利要求25所述的计算机程序产品,其中,所述事件参数组包括源地址、源端口、目的地地址、目的地端口和网络协议。
27.如权利要求25所述的计算机程序产品,其中,所述网络会话是在网络上的源主机和目的地主机之间建立的通信信道。
28.如权利要求25所述的计算机程序产品,其中,所述用于建立相关性的指令包括将新接收的网络事件的事件参数与任何先前接收的网络事件的事件参数相比较,并且如果存在匹配,则新接收的事件与那些先前接收的匹配事件属于同一网络会话。
29.如权利要求25所述的计算机程序产品,其中,所述一个或多个设备中的每一个与至少一个网络地址转换规则相关联,每个规则包括一个或多个事件参数的前映射参数域和后映射参数域。
30.如权利要求29所述的计算机程序产品,其中,两个网络地址转换规则的前映射域和/或后映射域可以相互重叠。
31.如权利要求25所述的计算机程序产品,其中,所述识别指令包括:
如果在其前映射参数域包含所述网络事件参数的网络传输路径上存在第一设备的前提下,则识别与所述第一设备相关联的第一网络地址转换规则;
在将所述第一规则应用到所述网络事件之后,估计包含在所述第一规则的后映射参数域中的第一事件参数组;
如果在其后映射参数域包含所述网络事件参数的网络传输路径上存在第二设备的前提下,则识别与所述第二设备相关联的第二网络地址转换规则;以及
在将所述第二规则应用到所述网络事件之后,估计包含在所述第二规则的前映射参数域中的第二事件参数组。
32.如权利要求25所述的计算机程序产品,其中,所述归类指令包括:
根据所述初始会话确定结果将所述网络事件与任何先前接收的事件相关联;以及
根据在所述识别中获得的网络地址转换信息将所述网络事件与任何先前接收的事件相关联。
33.如权利要求25所述的计算机程序产品,其中,所述预定义的时刻与网络事件相关联。
34.如权利要求25所述的计算机程序产品,其中,所述归类后的网络事件和所述识别出的其他归类后的网络事件在所述归类期间属于不同种类。
35.如权利要求25所述的计算机程序产品,其中,根据所识别出的与所述网络事件相关联的网络传输路径上的网络地址转换信息来执行所述处理。
36.如权利要求25所述的计算机程序产品,其中,根据在所述归类后的网络事件到达后接收的网络地址转换信息来执行所述处理。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/602,846 US6985920B2 (en) | 2003-06-23 | 2003-06-23 | Method and system for determining intra-session event correlation across network address translation devices |
US10/602,846 | 2003-06-23 | ||
PCT/US2004/020361 WO2005001655A2 (en) | 2003-06-23 | 2004-06-18 | Method and system for determining intra-session event correlation across network address translation devices |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1784671A true CN1784671A (zh) | 2006-06-07 |
CN1784671B CN1784671B (zh) | 2010-06-16 |
Family
ID=33518109
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN2004800113023A Expired - Fee Related CN1784671B (zh) | 2003-06-23 | 2004-06-18 | 确定跨网络地址转换设备的会话内事件相关性的方法和系统 |
Country Status (4)
Country | Link |
---|---|
US (2) | US6985920B2 (zh) |
EP (2) | EP1636714B1 (zh) |
CN (1) | CN1784671B (zh) |
WO (1) | WO2005001655A2 (zh) |
Families Citing this family (45)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1271849B1 (en) * | 2001-06-14 | 2004-04-14 | Alcatel | Terminal, access server system, method and computer program product allowing at least one user to contact at least one service system. |
US8176527B1 (en) | 2002-12-02 | 2012-05-08 | Hewlett-Packard Development Company, L. P. | Correlation engine with support for time-based rules |
US7376969B1 (en) | 2002-12-02 | 2008-05-20 | Arcsight, Inc. | Real time monitoring and analysis of events from multiple network security devices |
US7788722B1 (en) | 2002-12-02 | 2010-08-31 | Arcsight, Inc. | Modular agent for network security intrusion detection system |
US7899901B1 (en) | 2002-12-02 | 2011-03-01 | Arcsight, Inc. | Method and apparatus for exercising and debugging correlations for network security system |
US7607169B1 (en) | 2002-12-02 | 2009-10-20 | Arcsight, Inc. | User interface for network security console |
US7219239B1 (en) | 2002-12-02 | 2007-05-15 | Arcsight, Inc. | Method for batching events for transmission by software agent |
US7260844B1 (en) | 2003-09-03 | 2007-08-21 | Arcsight, Inc. | Threat detection in a network security system |
US7644365B2 (en) | 2003-09-12 | 2010-01-05 | Cisco Technology, Inc. | Method and system for displaying network security incidents |
US8015604B1 (en) * | 2003-10-10 | 2011-09-06 | Arcsight Inc | Hierarchical architecture in a network security system |
US9027120B1 (en) | 2003-10-10 | 2015-05-05 | Hewlett-Packard Development Company, L.P. | Hierarchical architecture in a network security system |
US7565696B1 (en) | 2003-12-10 | 2009-07-21 | Arcsight, Inc. | Synchronizing network security devices within a network security system |
US7509677B2 (en) * | 2004-05-04 | 2009-03-24 | Arcsight, Inc. | Pattern discovery in a network security system |
US7644438B1 (en) | 2004-10-27 | 2010-01-05 | Arcsight, Inc. | Security event aggregation at software agent |
US9100422B1 (en) * | 2004-10-27 | 2015-08-04 | Hewlett-Packard Development Company, L.P. | Network zone identification in a network security system |
US7809131B1 (en) | 2004-12-23 | 2010-10-05 | Arcsight, Inc. | Adjusting sensor time in a network security system |
US7647632B1 (en) | 2005-01-04 | 2010-01-12 | Arcsight, Inc. | Object reference in a system |
US8850565B2 (en) | 2005-01-10 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | System and method for coordinating network incident response activities |
US7844999B1 (en) | 2005-03-01 | 2010-11-30 | Arcsight, Inc. | Message parsing in a network security system |
US20070195776A1 (en) * | 2006-02-23 | 2007-08-23 | Zheng Danyang R | System and method for channeling network traffic |
US8413248B2 (en) * | 2006-03-22 | 2013-04-02 | Michael B. Rash | Method for secure single-packet remote authorization |
US8099343B1 (en) | 2006-04-20 | 2012-01-17 | At&T Intellectual Property I, L.P. | Distribution schemes and related payment models for subscriber-created content |
US7877757B2 (en) * | 2006-05-05 | 2011-01-25 | Microsoft Corporation | Work item event monitor for procession of queued events |
US8233388B2 (en) * | 2006-05-30 | 2012-07-31 | Cisco Technology, Inc. | System and method for controlling and tracking network content flow |
US8301753B1 (en) * | 2006-06-27 | 2012-10-30 | Nosadia Pass Nv, Limited Liability Company | Endpoint activity logging |
US7792036B2 (en) | 2007-01-23 | 2010-09-07 | Cisco Technology, Inc. | Event processing in rate limited network devices |
US7770183B2 (en) * | 2007-01-30 | 2010-08-03 | Microsoft Corporation | Indirect event stream correlation |
US20090006161A1 (en) * | 2007-06-27 | 2009-01-01 | Yen-Fu Chen | Systems and methods for managing events of event scheduling applications |
US8200520B2 (en) | 2007-10-03 | 2012-06-12 | International Business Machines Corporation | Methods, systems, and apparatuses for automated confirmations of meetings |
WO2009063555A1 (ja) * | 2007-11-13 | 2009-05-22 | Fujitsu Limited | 制御代理装置、制御代理方法および制御代理プログラム |
US8868775B2 (en) * | 2008-02-10 | 2014-10-21 | Cisco Technology, Inc. | Load balancing manipulation of packet flows within a transport conduit |
US8117325B1 (en) | 2008-04-29 | 2012-02-14 | Juniper Networks, Inc. | Policy-based cross-domain access control for SSL VPN |
US8638790B2 (en) * | 2008-06-23 | 2014-01-28 | Qualcomm Incorporated | Method and apparatus for managing data services in a multi-processor computing environment |
JP2010081279A (ja) * | 2008-09-26 | 2010-04-08 | Hitachi Ltd | 受信装置、送受信システム、及び受信方法 |
US20100145912A1 (en) * | 2008-12-08 | 2010-06-10 | At&T Intellectual Property I, L.P. | Detecting peer to peer applications |
US8180892B2 (en) * | 2008-12-22 | 2012-05-15 | Kindsight Inc. | Apparatus and method for multi-user NAT session identification and tracking |
US20100257175A1 (en) * | 2009-04-02 | 2010-10-07 | Yahoo!, Inc., a Delaware corporation | Method, system, or apparatus for joining one or more events |
US8219675B2 (en) * | 2009-12-11 | 2012-07-10 | Tektronix, Inc. | System and method for correlating IP flows across network address translation firewalls |
JP5589866B2 (ja) * | 2011-01-24 | 2014-09-17 | 富士通株式会社 | アドレス変換方法、アドレス変換代理応答方法、アドレス変換装置及びアドレス変換代理応答装置 |
US8683573B2 (en) * | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
US9239887B2 (en) | 2012-12-18 | 2016-01-19 | Cisco Technology, Inc. | Automatic correlation of dynamic system events within computing devices |
US10250559B2 (en) * | 2013-09-19 | 2019-04-02 | Cisco Technology, Inc. | Reversible mapping of network addresses in multiple network environments |
US10476764B2 (en) * | 2014-08-19 | 2019-11-12 | Citrix Systems, Inc. | Systems and methods for high volume logging and synchronization for large scale network address translation |
US20230319097A1 (en) * | 2022-04-01 | 2023-10-05 | Reliaquest Holdings, Llc | Threat mitigation system and method |
CN115065599B (zh) * | 2022-04-09 | 2023-07-18 | 北京金睛云华科技有限公司 | 全流量存储回溯分析系统中nat规则优化配置方法 |
Family Cites Families (68)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5566339A (en) * | 1992-10-23 | 1996-10-15 | Fox Network Systems, Inc. | System and method for monitoring computer environment and operation |
US5611059A (en) * | 1994-09-02 | 1997-03-11 | Square D Company | Prelinked parameter configuration, automatic graphical linking, and distributed database configuration for devices within an automated monitoring/control system |
US20030033402A1 (en) | 1996-07-18 | 2003-02-13 | Reuven Battat | Method and apparatus for intuitively administering networked computer systems |
US6233575B1 (en) * | 1997-06-24 | 2001-05-15 | International Business Machines Corporation | Multilevel taxonomy based on features derived from training documents classification using fisher values as discrimination values |
US6336139B1 (en) * | 1998-06-03 | 2002-01-01 | International Business Machines Corporation | System, method and computer program product for event correlation in a distributed computing environment |
US6717949B1 (en) * | 1998-08-31 | 2004-04-06 | International Business Machines Corporation | System and method for IP network address translation using selective masquerade |
US6728885B1 (en) * | 1998-10-09 | 2004-04-27 | Networks Associates Technology, Inc. | System and method for network access control using adaptive proxies |
US6550012B1 (en) * | 1998-12-11 | 2003-04-15 | Network Associates, Inc. | Active firewall system and methodology |
US6493765B1 (en) * | 1999-03-23 | 2002-12-10 | Nortel Networks Limited | Domain name resolution in a network having multiple overlapping address domains |
US6502133B1 (en) * | 1999-03-25 | 2002-12-31 | Lucent Technologies Inc. | Real-time event processing system with analysis engine using recovery information |
US6563824B1 (en) * | 1999-04-20 | 2003-05-13 | 3Com Corporation | Apparatus and methods for determining the correct workstation within a LAN for a LAN modem to route a packet |
US6886102B1 (en) * | 1999-07-14 | 2005-04-26 | Symantec Corporation | System and method for protecting a computer network against denial of service attacks |
US7159030B1 (en) * | 1999-07-30 | 2007-01-02 | Intel Corporation | Associating a packet with a flow |
US6505192B1 (en) * | 1999-08-12 | 2003-01-07 | International Business Machines Corporation | Security rule processing for connectionless protocols |
US6647400B1 (en) * | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
US6826697B1 (en) * | 1999-08-30 | 2004-11-30 | Symantec Corporation | System and method for detecting buffer overflow attacks |
US6324647B1 (en) * | 1999-08-31 | 2001-11-27 | Michel K. Bowman-Amuah | System, method and article of manufacture for security management in a development architecture framework |
US7124204B2 (en) * | 1999-11-18 | 2006-10-17 | Amdocs (Israel) Ltd. | Threshold-based database synchronization system and method |
US6871284B2 (en) * | 2000-01-07 | 2005-03-22 | Securify, Inc. | Credential/condition assertion verification optimization |
US6779120B1 (en) * | 2000-01-07 | 2004-08-17 | Securify, Inc. | Declarative language for specifying a security policy |
US6496935B1 (en) * | 2000-03-02 | 2002-12-17 | Check Point Software Technologies Ltd | System, device and method for rapid packet filtering and processing |
US6795918B1 (en) * | 2000-03-07 | 2004-09-21 | Steven T. Trolan | Service level computer security |
AU2001257400A1 (en) * | 2000-04-28 | 2001-11-12 | Internet Security Systems, Inc. | System and method for managing security events on a network |
US7769847B2 (en) * | 2000-07-13 | 2010-08-03 | Computer Associates Think, Inc. | Method and apparatus for a comprehensive network management system |
DE60116877T2 (de) * | 2000-08-11 | 2006-09-14 | British Telecommunications P.L.C. | System und verfahren zum erfassen von ereignissen |
WO2002025402A2 (en) * | 2000-09-20 | 2002-03-28 | Bbnt Solutions Llc | Systems and methods that protect networks and devices against denial of service attacks |
AU2002212899A1 (en) * | 2000-10-31 | 2002-05-15 | Dynarc Ab | Method of adjusting a bandwidth capacity of a dynamic channel |
JP2002261788A (ja) * | 2001-02-27 | 2002-09-13 | Mitsubishi Electric Corp | ファイアウォール管理装置および方法 |
US6920453B2 (en) * | 2001-12-31 | 2005-07-19 | Nokia Corporation | Method and system for finding a query-subset of events within a master-set of events |
KR100437169B1 (ko) * | 2001-05-04 | 2004-06-25 | 이재형 | 네트워크 트래픽 흐름 제어 시스템 |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
US6883162B2 (en) * | 2001-06-06 | 2005-04-19 | Sun Microsystems, Inc. | Annotations for transaction tracing |
US20030009561A1 (en) * | 2001-06-14 | 2003-01-09 | Sollee Patrick N. | Providing telephony services to terminals behind a firewall and /or network address translator |
US7310666B2 (en) * | 2001-06-29 | 2007-12-18 | International Business Machines Corporation | Method and system for restricting and enhancing topology displays for multi-customer logical networks within a network management system |
US8438241B2 (en) * | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
US7246166B1 (en) * | 2001-10-09 | 2007-07-17 | Nortel Networks Limited | Establishing a communications path via a multi-homed communications network |
US7370353B2 (en) * | 2001-11-05 | 2008-05-06 | Cisco Technology, Inc. | System and method for managing dynamic network sessions |
EP1326393B1 (en) * | 2001-12-18 | 2004-08-11 | Stonesoft Corporation | Validation of the configuration of a Firewall |
US7398389B2 (en) * | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
US7324990B2 (en) * | 2002-02-07 | 2008-01-29 | The Relegence Corporation | Real time relevancy determination system and a method for calculating relevancy of real time information |
US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US7171689B2 (en) * | 2002-02-25 | 2007-01-30 | Symantec Corporation | System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis |
US6985479B2 (en) * | 2002-03-04 | 2006-01-10 | Qualcomm Incorporated | Method and apparatus for processing internet protocol transmissions |
US7299504B1 (en) * | 2002-03-08 | 2007-11-20 | Lucent Technologies Inc. | System and method for implementing security management using a database-modeled security policy |
US7296074B2 (en) * | 2002-03-20 | 2007-11-13 | Scientific-Atlanta, Inc. | Media on demand session re-use |
TW588532B (en) * | 2002-03-29 | 2004-05-21 | Realtek Semiconductor Corp | Management device and method of NAT/NAPT session |
US8205259B2 (en) * | 2002-03-29 | 2012-06-19 | Global Dataguard Inc. | Adaptive behavioral intrusion detection systems and methods |
US20030200192A1 (en) * | 2002-04-18 | 2003-10-23 | Bell Brian L. | Method of organizing information into topical, temporal, and location associations for organizing, selecting, and distributing information |
WO2003100617A1 (en) * | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
US7574652B2 (en) * | 2002-06-20 | 2009-08-11 | Canon Kabushiki Kaisha | Methods for interactively defining transforms and for generating queries by manipulating existing query data |
US20030236995A1 (en) * | 2002-06-21 | 2003-12-25 | Fretwell Lyman Jefferson | Method and apparatus for facilitating detection of network intrusion |
US7177859B2 (en) * | 2002-06-26 | 2007-02-13 | Microsoft Corporation | Programming model for subscription services |
US20040049698A1 (en) * | 2002-09-06 | 2004-03-11 | Ott Allen Eugene | Computer network security system utilizing dynamic mobile sensor agents |
US7152242B2 (en) * | 2002-09-11 | 2006-12-19 | Enterasys Networks, Inc. | Modular system for detecting, filtering and providing notice about attack events associated with network security |
US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
US7752334B2 (en) * | 2002-10-15 | 2010-07-06 | Nomadix, Inc. | Intelligent network address translator and methods for network address translation |
US7603711B2 (en) * | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
TWI234969B (en) * | 2002-11-26 | 2005-06-21 | Ind Tech Res Inst | Dynamic network address translation system and method of transparent private network device |
US7941854B2 (en) * | 2002-12-05 | 2011-05-10 | International Business Machines Corporation | Method and system for responding to a computer intrusion |
US7899932B2 (en) * | 2003-01-15 | 2011-03-01 | Panasonic Corporation | Relayed network address translator (NAT) traversal |
US7478151B1 (en) * | 2003-01-23 | 2009-01-13 | Gomez, Inc. | System and method for monitoring global network performance |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US8024795B2 (en) * | 2003-05-09 | 2011-09-20 | Q1 Labs, Inc. | Network intelligence system |
US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
US7295831B2 (en) * | 2003-08-12 | 2007-11-13 | 3E Technologies International, Inc. | Method and system for wireless intrusion detection prevention and security management |
US7760653B2 (en) * | 2004-10-26 | 2010-07-20 | Riverbed Technology, Inc. | Stackable aggregation for connection based anomaly detection |
US20060242694A1 (en) * | 2004-11-08 | 2006-10-26 | Jeffrey Gold | Mitigation and mitigation management of attacks in networked systems |
US7627544B2 (en) * | 2005-05-20 | 2009-12-01 | Microsoft Corporation | Recognizing event patterns from event streams |
-
2003
- 2003-06-23 US US10/602,846 patent/US6985920B2/en not_active Expired - Fee Related
-
2004
- 2004-06-18 CN CN2004800113023A patent/CN1784671B/zh not_active Expired - Fee Related
- 2004-06-18 EP EP04777068.0A patent/EP1636714B1/en not_active Not-in-force
- 2004-06-18 WO PCT/US2004/020361 patent/WO2005001655A2/en active Application Filing
- 2004-06-18 EP EP18180182.0A patent/EP3399727B1/en active Active
-
2005
- 2005-10-31 US US11/264,286 patent/US7797419B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
EP3399727B1 (en) | 2019-11-13 |
EP1636714A2 (en) | 2006-03-22 |
US7797419B2 (en) | 2010-09-14 |
EP1636714A4 (en) | 2012-07-11 |
EP1636714B1 (en) | 2018-08-08 |
WO2005001655A3 (en) | 2005-05-06 |
EP3399727A1 (en) | 2018-11-07 |
CN1784671B (zh) | 2010-06-16 |
US20060095587A1 (en) | 2006-05-04 |
WO2005001655A2 (en) | 2005-01-06 |
US6985920B2 (en) | 2006-01-10 |
US20040260763A1 (en) | 2004-12-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN1784671A (zh) | 确定跨网络地址转换设备的会话内事件相关性的方法和系统 | |
CN1160899C (zh) | 分布式网络动态安全保护系统 | |
CN1889573A (zh) | 一种主动诱骗方法与系统 | |
CN1158615C (zh) | 对流媒体服务器实现负载均衡的方法和设备 | |
CN103607399A (zh) | 基于暗网的专用ip网络安全监测系统及方法 | |
CN1213567C (zh) | 一种网络设备的集群管理方法 | |
JP2020530638A (ja) | マルウェアホストネットフロー分析システム及び方法 | |
CN101035131A (zh) | 协议识别方法及装置 | |
CN101572701A (zh) | 针对DNS服务的抗DDoS攻击安全网关系统 | |
CN1874303A (zh) | 一种黑名单实现的方法 | |
CN1929483A (zh) | IPv6接入网真实源地址访问的准入控制方法 | |
CN101087196A (zh) | 多层次蜜网数据传输方法及系统 | |
CN1567808A (zh) | 一种网络安全装置及其实现方法 | |
KR100996288B1 (ko) | 가상 mac 주소를 이용하여 arp 스푸핑 공격에 대응하는 방법 | |
CN1777874A (zh) | 在检测安全漏洞的基础上保护网络服务质量的系统和方法 | |
CN104901850B (zh) | 一种恶意代码终端感染机器网络定位方法 | |
CN102801738A (zh) | 基于概要矩阵的分布式拒绝服务攻击检测方法及系统 | |
CN101039326A (zh) | 业务流识别方法、装置及分布式拒绝服务攻击防御方法、系统 | |
CN1223159C (zh) | 一种支持地址转换应用网关的方法 | |
CN1968180A (zh) | 一种基于多级聚集的异常流量控制方法与系统 | |
Park et al. | Dynamic virtual network honeypot | |
CN1881938A (zh) | 一种预防和检测代理的方法和系统 | |
CN1592216A (zh) | 在网络中高效查找网络设备地址的方法 | |
CN1674530A (zh) | 一种实时检测网络蠕虫病毒的方法 | |
CN116760607A (zh) | 蜜罐诱捕节点的建立方法及装置、介质、设备 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20100616 Termination date: 20210618 |