CN101438255A - 基于应用层消息检查的网络和应用攻击保护 - Google Patents
基于应用层消息检查的网络和应用攻击保护 Download PDFInfo
- Publication number
- CN101438255A CN101438255A CN200580041997.4A CN200580041997A CN101438255A CN 101438255 A CN101438255 A CN 101438255A CN 200580041997 A CN200580041997 A CN 200580041997A CN 101438255 A CN101438255 A CN 101438255A
- Authority
- CN
- China
- Prior art keywords
- message
- application layer
- layer messages
- packets
- aons
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/141—Denial of service attacks against endpoints in a network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Abstract
公开了用于通过在网络元件处检查应用层消息来保护网络免受拒绝服务攻击的方法。根据一方面,当网络元件截取包含应用层消息的数据分组时,网络元件从分组的有效载荷部分中构造消息。网络元件确定消息是否满足指定标准。例如,该标准可以指示被怀疑涉及拒绝服务攻击的消息的特性。如果消息满足指定标准,则网络元件阻止包含该消息的数据分组被消息想要去往的应用所接收。例如,网络元件可以通过丢弃分组来实现这一目的。结果,应用的宿主并不在其目的可能仅仅是泛滥并淹没应用的消息上浪费处理资源。
Description
技术领域
本发明一般地涉及计算机网络中的网络元件,例如交换机和路由器。更具体而言,本发明涉及通过检查应用层消息来保护网络和应用免受拒绝服务攻击。
背景技术
这一部分中描述的方法可以实现,但是不一定是先前已想到或已实现的方法。因此,除非另外指出,否则这一部分中描述的方法不是该申请的权利要求的现有技术,并且也不应当因为被包括在这一部分中而看作是现有技术。
在商业到商业环境中,运行在计算机上的应用一般会与运行在其他计算机上的其他应用通信。例如,运行在计算机“X”上的应用“A”可能向运行在计算机“Y”上的应用“B”发送指示订单的实质内容的消息。
计算机“X”可能远离计算机“Y”。为了使计算机“X”发送消息到计算机“Y”,计算机“X”可能通过计算机网络发送消息,计算机网络例如是局域网(LAN)、广域网(WAN)或互联网,例如因特网。为了通过这种网络发送消息,计算机“X”可能使用一套通信协议。例如,计算机“X”可能使用诸如因特网协议(IP)之类的网络层协议以及诸如传输控制协议(TCP)之类的传输层协议来发送消息。
假定消息利用TCP发送,则消息被封装到一个或多个数据分组中;同一消息的不同部分可以在不同分组中发送。继续以上示例,计算机“X”通过网络向计算机“Y”发送数据分组。处于计算机“X”和计算机“Y”之间的一个或多个网络元件可以接收分组,确定分组的下一“跳”,并向计算机“Y”发送分组。
例如,路由器“U”可能接收来自计算机“X”的分组,并且基于分组是去往计算机“Y”的,确定分组应当被转发到另一路由器“V”(路由上的下一“跳”)。路由器“V”可能从路由器“U”接收分组,并将分组发送到计算机“Y”。在计算机“Y”处,可以提取出分组的内容并重组该内容以形成原始消息,原始消息可以被提供给应用“B”。应用“A”和“B”可以不知道分组是经过路由器“U”和“V”路由的这一事实。事实上,不同的分组可以采取经过网络的不同路由。
消息可以利用若干种应用层协议中的任何一种结合上述的网络层和传输层协议来发送。例如,应用“A”可以指定计算机“X”利用超文本传送协议(HTTP)发送消息。因此,计算机“X”可以在如上所述将消息封装到TCP分组中之前,向消息的前部添加HTTP特定头部。如果应用“B”被配置为根据HTTP接收消息,则计算机“Y”可以使用HTTP特定头部来处理消息。
除了上述内容外,消息还可以根据若干种消息格式中的任何一种构造。消息格式一般指消息的结构。例如,如果订单包括地址和传递日期,则地址和传递日期可以利用消息格式特定的机制在消息内被彼此区分开。例如,应用“A”可以利用可扩展标记语言(XML)指示订单的结构。利用XML作为消息格式,地址可能被封在“<地址>”和“</地址>”标签内,而传递日期可能被封在“<传递日期>”和“</传递日期>”标签内。如果应用“B”被配置为截取XML形式的消息,则应用“B”可以使用标签以确定消息的哪一部分包含地址,哪一部分包含传递日期。
有时候,恶意用户尝试通过对服务器应用(在以上示例中是应用“B”)施加“拒绝服务”攻击来破坏上述通信。传统上,拒绝服务攻击是通过向服务器应用连续发送极大量的数据分组来进行的。服务器应用接收这些数据分组,并尝试处理包含在其中的消息,从而消耗了容宿服务器应用的计算机的处理资源的一部分。如果服务器应用从恶意用户接收到足够的数据分组,则服务器应用的宿主的所有或几乎所有的处理资源都可能被来自恶意用户的虚假消息的处理占据。另外或可替换地,恶意用户可以部署恶意软件,或“malware”,这种软件可以导致应用崩溃或变得不可用,或者可以导致应用执行大量的计算,或者可以导致应用取得未经授权的内容或修改应用不应当修改的内容。
结果,服务器应用处理从合法用户发送的合法消息的能力极大降低。事实上,服务器应用可能直到合法消息被发送之后的一段不可接受的时间量过去之后才能处理该合法消息。由于缺乏来自服务器应用的及时响应,合法客户端应用—例如以上示例中的应用“A”—可能假定服务器应用不再工作。
在阻止这种传统的拒绝服务攻击的尝试中,有时在服务器应用和可能向服务器应用发送分组的所有其他应用之间建立自动岗哨(sentry)进程。例如,岗哨进程可能运行在与服务器应用相同的计算机上,或者运行在为容宿服务器应用的计算机充当代理的某个中间网络用具上。在任何情况下,岗哨进程都在将数据分组发送到服务器应用之前接收数据分组。
在这种岗哨方法中,合法客户端应用需要被配置为向岗哨进程发送分组而不是向服务器应用自身发送分组,这是因为服务器应用被配置为只接收来自岗哨进程的分组。配置进程对于合法客户端应用的用户和/或编程者来说可能是一种负担,尤其是在对于客户端应用可能向其发送分组的每个不同岗哨进程来说需要不同的定制配置的情况下。
当岗哨进程接收到数据分组时,其检查数据分组的协议头部(例如IP和TCP头部),并存储与协议头部的一种或多种特性有关的状态信息。例如,对于岗哨进程接收的每个分组,岗哨进程可能记录在分组的IP头部中指示的源IP地址。如果岗哨进程确定在相对较短的时间段内已从同一源IP地址接收到明显高数目的数据分组,则岗哨进程可以断定与源IP地址相关联的应用正在进行拒绝服务攻击。响应于这种确定,岗哨进程可以采取某种保护性动作,例如警告网络管理员或服务器应用。
尽管很麻烦,但是上述的岗哨方法某种程度上在阻止传统的拒绝服务攻击方面是有效的。然而,恶意用户是相当持久的,其已经创新出一种非传统的拒绝服务攻击,这种攻击有效地绕过了由岗哨方法提供的保护。利用“分布式”拒绝服务攻击,多个独立计算机(每个具有不同的IP地址)可以协同操作以同时向目标发送大量的数据分组。每个个别攻击者发送的数据分组的数目并不足以触发岗哨进程的保护性对策,但是所有攻击者的数据分组的组合量足以淹没目标并消耗目标的大部分处理资源。
其他的非传统攻击甚至更加复杂并更易于进行。服务器应用可能具有来自客户端应用的消息需要遵从的公开接口以使服务器应用处理这些消息。服务器应用可能不够健壮足以处理不遵从该接口的消息。例如,服务器应用的接口可能暴露出一种接受整数作为参数的方法。如果服务器应用接收到利用浮点数参数而不是预期的整数参数调用方法的消息,则服务器应用可能不规律地动作;服务器应用可能破坏合法数据,或者服务器应用甚至可能不再对来自合法客户端应用的进一步消息作出响应。由于非遵从元素通常包含在数据分组的有效载荷部分中,而不是数据分组的协议头部中,因此上述岗哨方法对于对抗这种攻击是无能为力的。
尽管通过以下方式对抗这种非传统攻击最初可能看起来是可行的:即调整岗哨进程,以使得岗哨进程检查数据分组的有效载荷部分,从而确保有效载荷部分不包含任何非遵从元素,但是这种对抗仅仅是将弱点从服务器应用转移到岗哨进程。由于有效载荷检查是处理资源密集型的,因此恶意用户可以以比岗哨进程可以检查数据分组的有效载荷部分更高的速率来向岗哨进程发送这些数据分组。当岗哨进程的宿主计算机的处理资源完全或几乎完全被检查数据分组有效载荷所消耗时,拒绝服务攻击就已经实现了其目的,因为岗哨进程将不能及时地将合法数据分组发送到服务器应用。无论何时当服务器应用只接收来自单个岗哨进程的数据分组时,该岗哨进程就变为易受攻击的瓶颈。
出于安全性原因,某些合法数据分组的有效载荷部分可以在通过加密会话向服务器应用发送之前被加密。即使岗哨进程被设计为检查数据分组有效载荷,岗哨进程也不能检测到包含在数据分组有效载荷中的攻击性内容,如果该内容是以只有服务器应用可以对其解密的方式加密的话。
拒绝服务攻击的形式在不断变化。几乎一有岗哨进程被开发出来以应对一种形式的攻击,就会出现该岗哨进程不能对抗的另一种形式的攻击。到岗哨进程开发者已经跳到岗哨进程的下一修订以应对新形式的攻击时,来自这些新形式攻击的显著破坏可能已经造成了。
从而,用于阻止网络中的拒绝服务攻击的前述方法只是部分有效且固有地易受攻击的,并且寿命有限。需要一种用于阻止网络中的拒绝服务攻击的更加有效、更具适应性以及不易受到攻击的技术。
附图说明
本发明在附图中以示例方式而非以限制方式示出,在附图中相似的标号指代类似的元件,其中:
图1是图示了系统的一个实施例的概况的框图,在系统中,网络元件通过检查应用层消息来防范拒绝服务攻击;
图2示出了图示在网络元件处通过检查应用层消息来防范拒绝服务攻击的方法的一个实施例的概况的流程图;
图3A-B示出了图示在网络元件处检查应用层消息以防范拒绝服务攻击的方法的一个实施例的流程图;
图4示出了可能与特定消息分类相关联的样本流;
图5是图示了可以在其上实现实施例的计算机系统的框图;
图6是图示了某一路由器的一个实施例的框图,在该路由器中,监管器刀片(blade)引导某些分组流去往AONS刀片和/或其他刀片;
图7是图示了根据一个实施例在AONS网络中涉及的各种组件的图;
图8是示出了示例性AONS节点内的功能模块的框图;
图9是示出了可以对消息流量执行的以便只产生将在AONS层被处理的一组选定流量的多层次过滤的图;
图10是图示了根据云视角的AONS云内的消息路径的图;
图11A和图11B是图示了请求/响应消息流的图;
图12A和图12B是图示了替换请求/响应消息流的图;
图13是图示了单向消息流的图;
图14是图示了替换单向消息流的图;
图15A和图15B是图示了具有可靠消息传递的请求/响应消息流的图;
图16是图示了具有可靠消息传递的单向消息流的图;
图17是图示了同步请求和响应消息的图;
图18是图示了样本单向端到端消息流的图;
图19是图示了AONS节点内的消息处理模块的图;
图20是图示了AONS节点内的消息处理的图;
图21、图22和图23是图示了AONS配置和管理框架内的实体的图;以及
图24是图示了AONS监视体系结构的图。
具体实施方式
描述了一种用于通过检查应用层消息来保护网络免受拒绝服务攻击的方法和装置。在下面的描述中,出于说明目的,给出了大量特定细节以提供对本发明的完全理解。然而,本领域技术人员应当清楚,没有这些特定细节也可以实施本发明。在其他实例中,公知的结构和设备以框图形式示出以避免不必要地混淆本发明。
实施例根据下面的大纲进行描述:
1.0 总论
2.0 结构和功能概述
3.0 实现示例
3.1 多刀片体系结构
3.2 通过检查应用层消息来保护网络免受拒绝服务攻击
3.3 动作流
3.4 AONS示例
3.4.1 AONS总论
3.4.2 AONS术语
3.4.3 AONS功能概述
3.4.4 AONS系统概述
3.4.5 AONS系统元件
3.4.6 AONS示例性特征
3.4.7 AONS功能模块
3.4.8 AONS工作模式
3.4.9 AONS消息路由
3.4.10 流、BladeletsTM和ScriptletsTM
3.4.11 AONS服务
3.4.12 AONS配置和管理
3.4.13 AONS监视
3.4.14 AONS工具
4.0 实现机制-硬件概述
5.0 扩展和替换
1.0 总论
在本发明中实现了在前述背景技术中给出的需要以及将从下面的描述中变清楚的其他需要和目的,本发明在一个方面中包括一种用于通过在网络元件处检查应用层消息来保护网络免受拒绝服务攻击的方法。根据一个实施例,当网络元件(例如路由器、交换机、网络用具或附接或连接到交换机或路由器并执行OSI第2层和更高层的处理的其他设备)截取总地包含应用层消息的一个或多个数据分组时,网络元件从数据分组的有效载荷部分的内容中构造应用层消息。网络元件确定应用层消息是否满足一个或多个指定标准。例如,该标准可以指示被怀疑涉及拒绝服务攻击的消息的特性。如果消息满足指定标准,则网络元件阻止包含消息的数据分组被消息想要去往的应用接收。例如,网络元件可以通过丢弃分组来实现这一目的。结果,服务器应用的宿主并不在其目的可能仅仅是泛滥并淹没服务器应用的消息上浪费处理资源。
在一个实施例中,对于不同数据分组发源和/或目的地可以指定不同标准,从而例如网络元件可以对去往和/或来自某些应用的数据分组采取比去往和/或来自其他应用的数据分组更加严格或更加宽松的评价标准。这种发源和目的地可以由IP地址和其他类似的标准标识,例如定制规则、内容、XPath、头部、URL等等。
在一个实施例中,网络元件是可编程的,从而上述指定标准可以由诸如网络管理员之类的用户修改或补充,即使在网络元件已开始接收数据分组之后也是如此。在任何时刻,网络元件都可以接收来自用户的指定标准,并将指定标准存储在网络元件处。其后,网络元件如上所述评价应用层消息,但是是根据接收的标准以及存储在网络元件处的任何已有的标准进行的。结果,在网络管理员知道存在网络元件先前未被配置为检测到的新的不同形式的攻击后,网络管理员就可以在很短时间内动态地或“在线地”适配网络元件的行为,以阻止这种新的不同形式的攻击。网络管理员不需要等待新版本的网络元件或网络元件的软件被发行以应对这种新的威胁。
根据一个实施例,网络元件通过在概念上将应用层消息的内容与一个或多个数据分组的其余部分分离,并以基于与内容相关联的语义的方式检查并解释内容,来处理应用层消息。这类比分组级别检查粒度更细的检查可以被称为“深度内容检查”。例如,多部分(MIME)消息的每个部分可以基于与该部分相关联的语义被独立解释、检查和处理。例如,如果多部分消息的一部分是JPEG图像,则该部分被基于JPEG语义检查;如果多部分消息的一部分是XML文档,则该部分被基于XML语义检查;其他部分可以基于不同语义检查。消息的不同组分被与该消息相关联的语义所理解。消息的每个不同组分可以基于该组分的类型按不同方式处理。例如,JPEG图像部分可以针对一组指定标准进行评价,但是XML文档部分可能针对不同的另一组指定标准进行评价。又例如,对满足一组指定标准的JPEG图像部分可能执行记录,但是对满足一组指定标准的XML文档部分可能不执行记录。
多部分MIME消息的不同组分可以利用与该组分的类型相关联的不同检查机制(例如模式匹配机制)进行检查。例如,可以利用常规表达模式匹配机制检查JPEG图像部分并从其提取信息,而可以利用基于XPath技术的机制检查XML文档部分并从其提取信息。
根据一个实施例,网络元件确定应用层消息被发送所遵循的应用层协议和/或应用层消息遵从的消息格式。从多个防火墙机制中,网络元件选择被映射到应用层协议或消息格式的特定防火墙机制。网络元件将特定防火墙机制应用到应用层消息。每种不同防火墙机制可以检查应用层消息的内容的不同方面以确定对应用层消息采取哪些动作。例如,SMTP防火墙机制可以检查与应用层消息相关联的SMTP头部,并且基于其内容(例如,源电子邮件地址)对应用层消息采取SMTP防火墙机制指定的动作。
根据一个实施例,网络元件可以与可信存储装置接口以允许对访问/拒绝判决进行细粒度控制。根据一个实施例,网络元件可以在检测到攻击时定义动作。例如,网络元件可以在检测到攻击时丢弃消息、重路由消息、隔离消息或记录消息。
在一个实施例中,响应于检测到特定类别的消息正被用于进行攻击,网络元件将传统防火墙(例如,基于TCP/IP头部属性允许/拒绝消息的防火墙)配置为拒绝满足指定标准的数据分组。结果,传统防火墙可以阻止网络元件的检测机制被这些数据分组淹没;传统防火墙可以阻挡网络流量的一部分到达网络元件的检测机制(例如,下文中更详细描述的“AONS刀片”)。这种传统防火墙可以位于网络元件外部。
由于网络元件检测到嵌入得比数据分组的协议头部“更深”的应用层消息的禁止特性,因此网络元件可以阻止先前的方法(其只检查数据分组的协议头部)不能检测或阻止的某些形式的拒绝服务攻击。
由于攻击检测和阻止是在诸如交换机或路由器之类的网络元件处执行的,因此攻击检测和阻止能力可以分布在多个独立网络元件之间。因此,应用不需要被定制为将合法数据分组明确地引导到任何特定中介设备。结果,避免了与先前的检测和阻止方法的瓶颈有关的问题。个别网络元件较不容易受到拒绝服务攻击,因为每个网络元件仅仅应对拒绝服务攻击中涉及的数据分组的一部分。如果特定网络元件被数据分组淹没,则已经用在许多网络中的路由算法可以将数据分组路由到位于分组的源和目的地之间的替换的、较低资源压力的网络元件。每个这样的网络元件可以检测并阻止拒绝服务攻击。在一个实施例中,如果特定网络元件正以超过指定阈值速率的速率接收数据分组,或者如果特定网络元件的缓冲器被填充到指定程度,则该特定网络元件将数据分组重路由到不同网络元件。
在其他方面中,本发明包括被配置为执行前述步骤的计算机装置和计算机可读介质。
2.0 结构和功能概述
图1是图示系统100的一个实施例的概况的框图,在系统100中,网络元件102、104A-N和106中的一个或多个通过检查应用层消息来防范拒绝服务攻击。网络元件102、104A-N和106可以是代理设备和/或网络交换机和/或路由器,例如在下面的图6中所示的路由器600。尽管传统的防火墙被部署在“网关”或“透明”模式中,但是网络元件102、104A-N和106可以部署在“显式”、“代理”和/或“隐式”模式中,如在下面参考3.4.8节“AONS工作模式”更详细地描述的。
客户端应用110可通信地与网络元件102耦合。服务器应用112可通信地与网络元件106耦合。客户端应用110和服务器应用112可以是运行在独立计算机上的独立进程。
网络元件102可通信地与网络116A-N耦合。网络元件106可通信地与网络118A-N耦合。网络元件104A-N分别与网络116A-N和网络118A-N可通信地耦合。网络116A-N和118A-N中的每一个都是计算机网络,例如局域网(LAN)、广域网(WAN)或诸如因特网之类的互联网。网络116A-N和118A-N可以包含额外的网络元件,例如路由器。
客户端应用110将消息发往服务器应用112。网络元件102、104A-N和106截取包含消息的数据分组。网络元件102、104A-N和106中的每一个存储一组定义的消息分类,其可以是用户指定的。网络元件102、104A-N和106组装一个或多个数据分组以确定包含在其有效载荷部分中的应用层消息。基于消息的内容,网络元件102、104A-N和106确定该消息属于哪一消息分类。
这里所用的“应用层消息”是一个应用生成并向另一个应用发送的消息。应用层消息可以根据OSI第4层以及更高层的协议进行格式化并构造。在生成了应用层消息之后,应用层消息可以被根据一种或多种协议(例如HTTP、TCP和IP)进行封装。例如,指示URL的HTTP头部可以被添加到应用层消息的前部。例如,应用层消息可以是XML文档。
对于每种特定消息分类,网络元件102、104A-N和106中的每一个存储该消息分类和一组或多组独立的攻击检测标准之间的独立关联或映射。对于每个特定消息,响应于确定该特定消息属于某一特定消息分类,网络元件102、104A-N和106中的每一个确定该特定消息是否满足与特定消息分类相关联的攻击检测标准集的任何一个中的所有攻击检测标准。
如果该特定消息满足与特定消息分类相关联的攻击检测标准集的任何一个中的任何攻击检测标准,则进行判决的网络元件采取指定的保护性动作,例如丢弃包含消息的一部分的所有数据分组以使得分组不到达分组的目的地(例如,服务器应用112)。或者,如果该特定消息不满足与特定消息分类相关联的攻击检测标准集的至少一个中的任何攻击检测标准,则进行判决的网络元件可以安全地向分组的目的地转发分组。
由于应用层消息检查可以是资源密集型任务,因此特定的网络元件可能变得忙于检查应用层消息。例如,网络元件104A可能变得很忙。结果,对经由网络元件104A发送的消息的响应时间可能增加。其他网络元件(例如网络元件102)可以利用路由算法检测该响应时间的增加,并作为响应使消息转向去往替换路径中的其他网络元件以到达消息的目的地。例如,由于网络元件104B也包含在网络元件102和服务器应用112之间的路径中,因此响应于检测到网络元件104A的响应时间已增加到超过某一阈值,网络元件102可以将包含去往服务器应用112的消息的分组向网络元件104B路由,而不是向网络元件104A路由。
由于所有网络元件104A-N都被包含虚假消息的分组淹没的可能性不大,因此网络元件104A-N中的每一个比较不容易受到拒绝服务攻击。
根据一个实施例,网络元件104A-N确保建立了完美的信任点。应用和用户的公共密钥可以被公布到网络元件处的密钥存储装置并在其中维护。到密钥存储装置中的密钥的链接可以在消息内发送。如果黑客试图通过在消息内插入随机密钥来混淆应用或用户,则这种混淆的尝试将被挫败,因为随机密钥从未被公布给网络元件处的密钥存储装置。立即可以确定发生了某些错误,并且消息是不能信任的。
应用有时具有弱点。例如,应用可能未被设计为一次接收多于一个数据库记录;一次接收多于一个数据库记录可能导致应用发生故障或错误地动作。中间人攻击者可能在查询结果被传递到客户端应用之前截取并修改响应路径上的查询,从而使太多数据库记录被传递到客户端应用。根据一个实施例,在网络元件104A-N处维护策略。例如,一种策略可以表明在消息内请求的数据库记录的数目不能超过十条记录。如果在一个或多个网络元件104A-N处接收到请求多于十条数据库记录的消息(可能由于黑客修改了原先合法的消息以增大所请求的记录数目),则该网络元件将确定消息违反了策略,并且将采取动作来保护消息来自的应用和/或消息去往的应用(例如,通过丢弃消息)。从而,网络元件104A-N可以保护应用的弱点。
独立的网络元件可以具有各种严格度的攻击阻止机制。例如,更接近数据库的网络元件可能允许相对较窄的一组消息经过该网络元件,而网络边缘附近的网络元件可能允许相对较宽的一组消息经过该网络元件。由每个网络元件施加的策略可以不同。
图2示出了流程图200,流程图200图示了通过在网络元件处检查应用层消息来防范网络攻击的方法的一个实施例的概况。该方法可以例如由网络元件102、104A-N和106中的任何一个执行。该方法在防范拒绝服务攻击和其他攻击方面是有效的。
参考图2,在框202中,在网络元件处接收或截取一个或多个数据分组。数据分组总地包含应用层消息。例如,网络元件104A可以截取多个TCP/IP数据分组,每个分组包含应用层消息的独立部分,例如根据在OSI第4层和更高层实现的协议构造的消息。每个数据分组可以由数据分组的源发往服务器应用112。从而,每个数据分组想要去往服务器应用112。如图1所示,服务器应用112容宿在与网络元件104A分离的设备上。网络元件104A能够确定应用层消息边界,因此,在一个实施例中,网络元件104A可以对包含在流或其一部分中的应用层消息执行操作(如下所述),即使网络元件104A还未接收到包含应用层消息的所有部分的所有数据分组时也是如此。
在框204中,在网络元件处从数据分组的有效载荷部分中确定应用层消息。例如,网络元件104A可以组装两个或更多个数据分组的有效载荷部分的内容以构造完整的应用层消息。例如,应用层消息可以是XML文档,其在集体有效载荷部分中遵循HTTP头部。从而,该消息可能与也包含在集体有效载荷部分中的任何应用层协议头部不同并与其相分离。
在一个实施例中,应用层消息是经加密的消息,并且网络元件对经加密消息进行解密以分析消息内容。例如,在组装了多个有效载荷部分的经加密内容之后,网络元件104A可以利用存储在网络元件104A处的指定密钥对所得到的经加密消息进行解密,从而产生经解密的应用层消息。
应用层消息可以是多部分(MIME)消息。在这种情况下,多部分消息的每个部分可以当作该部分是独立消息加以处理。
在框206中,确定应用层消息是否满足一个或多个指定标准。例如,网络元件104A可以确定应用层消息是否满足映射到消息分类的任何攻击检测标准集中的所有攻击检测标准。在一个实施例中,网络元件104A通过检查在包含消息的数据分组的IP头部中指示的源和目的地IP地址,然后确定哪一消息分类被映射到这些IP地址,来确定消息的分类。如果消息满足指定标准,则控制进行到框208。否则,控制进行到框210。
在一个实施例中,指定标准是预先接收的,并且在网络元件已接收到一个或多个其他数据分组之后被存储在网络元件处。从而,网络元件可以是可重编程的。例如,在接收并路由了某些数据分组之后,网络元件104A可以接收指示消息分类和一组攻击检测标准之间的映射的用户输入。用户输入还可以指示消息分类和一组IP地址之间的映射。响应于接收到该输入,网络元件104A可以建立消息分类、IP地址和这组攻击检测标准之间的映射。其后,网络元件104A可以基于这组攻击检测标准评价消息。该特征允许知道一种新形式的攻击正在攻击其网络的用户对网络元件重新编程并更新网络元件,以“实时”防范这种新形式的攻击。
可以指定各种不同的攻击检测标准。例如,某些攻击检测标准可能只在消息大于或小于指定大小时才被满足。从而,确定消息是否满足一组攻击检测标准可能涉及确定消息是否大于或小于指定大小。又例如,某些攻击检测标准可能只在消息是不遵从指定规划(例如XML规划或文档类型定义(DTD))的XML文档时才被满足。这种XML规划或DTD可以存储在网络元件处,并被映射到消息分类。从而,确定消息是否满足一组攻击检测标准可能涉及确定XML文档消息是否遵从XML规划。以这种方式,网络元件可以确定特定类别的XML文档消息的元件是否遵从服务器应用所用的指定接口。
在一个实施例中,包含指定的一个关键字或一组关键字的消息被阻止转发到网络上。例如,网络元件可以确定消息是否包含关键字“机密的”,如果消息包含,则网络元件可以阻止消息被向前转发。或者,网络元件可以在向前转发消息之前擦除或模糊包含该关键字的消息的一部分。网络元件可以将消息的拷贝转发到另一目的地以便可以分析消息。
在框208中,包含应用层消息的数据分组被阻止由消息想要去往的服务器应用接收。例如,响应于确定应用层消息满足被映射到消息的分类的至少一个攻击检测标准集中的所有攻击检测标准或其中任何一个,网络元件104A可以丢弃包含消息的数据分组,以使得分组不被服务器应用112接收。
或者,在框210中,包含应用层消息的数据分组被向消息想要去往的服务器应用发送。例如,响应于确定应用层消息不满足被映射到消息的分类的任何攻击检测标准集中的所有攻击检测标准,网络元件104A可以向服务器应用112路由总地包含消息的数据分组。
结果,拒绝服务攻击可以在诸如交换机或路由器之类的网络元件处被挫败,即使这些攻击涉及比仅仅向目标发送大量的数据分组复杂的多的战略时也是如此。
3.0 实现方式示例
3.1 多刀片体系结构
根据一个实施例,路由器或交换机中的面向应用的网络服务(AONS)刀片执行上述动作。图6是图示路由器600的一个实施例的框图,在路由器600中,监管器刀片602将分组流610A-B中的某一些引导到AONS刀片和/或其他刀片606N。路由器600包括监管器刀片602、AONS刀片604和其他刀片606A-N。刀片602、604和606A-N中的每一个都是具有诸如处理器、存储器和网络连接之类的组件的单个电路板,这些组件通常在多个板上找到。刀片602、604和606A-N被设计为可以向路由器600添加和从路由器600中移除。路由器600的功能由其中的刀片的功能确定。向路由器600添加刀片可以增加路由器600的功能,但是如果希望成本更低的话,则路由器600可以利用较少的刀片提供较少的功能。一个或多个刀片可以是可选的。
路由器600接收分组流,例如分组流610A-B。更具体而言,由路由器600接收的分组流610A-B是由监管器刀片602接收到的。监管器刀片602可以包括转发引擎和/或路由处理器,例如可以从Cisco Systems Inc.购得的转发引擎和/或路由处理器。
在一个实施例中,监管器刀片602基于包含在分组流610A-B的分组头部中的一个或多个参数给分组流610A-B分类。如果包含在特定分组的分组头部中的参数与指定参数匹配,则监管器刀片602将分组发送到AONS刀片604和/或其他刀片606A-N中的指定一个。或者,如果包含在分组头部中的参数不与任何指定参数匹配,则监管器刀片602对于特定分组执行路由功能,并将该特定分组向特定分组的目的地转发。
例如,监管器刀片602可以确定分组流610B中的分组头部与指定参数匹配。因此,监管器刀片602可以将分组流610B中的分组发送到AONS刀片604。监管器刀片602可以接收从AONS刀片604和/或其他刀片606A-N返回的分组,并将分组发送到去往这些分组的目的地的网络路径中的下一跳。又例如,监管器刀片602可以确定分组流610A中的分组头部不与任何指定参数匹配。因此,监管器刀片602并不将分组流610A中的任何分组发送到AONS刀片604或其他刀片606A-N,而是可以将分组流610A中的分组发送到去往这些分组的目的地的网络路径中的下一跳。
AONS刀片604和其他刀片606A-N接收来自监管器刀片602的分组,对分组执行操作,并将分组返回到监管器刀片602。监管器刀片602可以在将分组发出路由器600之前,将分组发送到多个刀片以及从多个刀片接收分组。例如,监管器刀片602可以将特定的一组分组发送到其他刀片606A。其他刀片606A可以对分组执行防火墙功能,并将分组发回到监管器刀片602。监管器刀片602可以接收来自其他刀片606A的分组,并将分组发送到AONS刀片604。AONS刀片604可以对分组执行一种或多种基于消息有效载荷的操作,并将分组发回到监管器刀片602。
其他刀片606A-N中的一个或多个可以是防火墙刀片,其基于在数据分组的第2层和第3层头部中指示的属性允许或拒绝这些数据分组。在一个实施例中,响应于检测到特定类别的消息正被用于装载攻击,AONS刀片604将其他刀片606A-N中的一个或多个配置为拒绝满足指定标准的数据分组。结果,其他刀片606A-N可以阻止坏的数据分组到达AONS刀片604,前提是监管器刀片602在将数据分组发送到AONS刀片604之前先将这些数据分组发送到其他刀片。在一个实施例中,AONS刀片604将监管器刀片602配置为将较小比例的数据分组引导到AONS刀片604。作为响应,监管器刀片602将较大比例的分组发送出路由器600,而不用使AONS刀片604涉及这些分组的检查。
根据一个实施例,在AONS路由器(例如路由器600)处发生下面的事件。首先,接收包含从客户端到服务器的消息的分组。接着,对分组执行基于访问控制列表的过滤,并且将某些分组发送到AONS刀片或模块。接着,对分组执行TCP终止。接着,如果必要的话,对分组执行安全套接字层(SSL)终止。接着,对分组执行基于通用资源定位符(URL)的过滤。接着,对分组执行基于消息头部和消息内容的过滤。接着,将分组中包含的消息分类到AONS消息类型中。接着,选择对应于AONS消息类型的策略流。接着,执行所选的策略流。然后,分组被按照所选策略流指定的那样转发、重定向、丢弃、拷贝或扇出(fan out)。
3.2 通过检查应用层消息保护网络免受拒绝服务攻击
图3A-B示出了流程图300,流程图300图示了在网络元件处检查应用层消息以防范拒绝服务攻击的方法的一个实施例。例如,网络元件102、104A-N和106可以执行这种方法。更具体而言,AONS刀片604可以执行该方法的一个或多个步骤。其他实施例可以省略在流程图300中示出的一个或多个操作。其他实施例可以包含除流程图300中所示的操作之外的操作。其他实施例可以按不同于流程图300中所示的顺序执行流程图300中所示的操作。
首先参考图3A,在框302中,在网络元件处接收用户指定输入。用户指定输入指示以下内容:要与特定消息分类相关联的一个或多个标准,以及要与特定消息分类相关联的一个或多个动作。用户指定输入可以指示执行这一个或多个动作的顺序。用户指定输入可以指示动作的输出要被提供给其他动作作为输入。例如,网络元件104(更具体而言是AONS刀片604)可以接收这种来自网络管理员的用户指定输入。
在框304中,在网络元件处建立特定消息分类和一个或多个标准之间的关联。例如,AONS刀片604可以建立特定消息分类和一个或多个标准之间的关联。例如,该标准可以指示消息需要包含的特定文本串,以使得该消息属于相关联的消息分类。又例如,该标准可以指示需要存在于XML格式的消息的分级结构中的特定路径,以使得该消息属于相关联的消息分类。又例如,该标准可以指示消息需要来自或去往的一个或多个源IP地址和/或目的地IP地址,以使得该消息属于相关联的消息分类。
在框306中,在网络元件处建立特定消息分类和一个或多个动作之间的关联。与特定消息分类相关联的一个或多个动作包括与该特定消息分类相关联的“策略”。策略可以包括根据在用户指定输入中指定的特定顺序排序的一个或多个动作的“流”和/或无序的一个或多个其他动作。例如,AONS刀片604可以建立特定消息分类和一个或多个动作之间的关联。总的来说,框302-306的操作可以包括“供给”网络元件。
在框308中,网络元件截取去往除了网络元件之外的某一设备的一个或多个数据分组。该数据分组可以例如是包含IP和TCP头部的数据分组。在数据分组的IP头部中指示的IP地址不同于网络元件的IP地址;从而,数据分组是去往除了网络元件之外的某一设备的。例如,网络元件104(更具体而言是监管器刀片602)可以截取客户端应用110最初发送的数据分组。例如,数据分组可能去往服务器应用112。
在框310中,基于在数据分组的头部中指示的一个或多个信息项,确定被用于发送包含在数据分组的有效载荷部分中的消息(下文中称为“该消息”)的应用层协议。信息项可以包括例如IP头部中的源IP地址、IP头部中的目的地IP地址、TCP头部中的TCP源端口和TCP头部中的TCP目的地端口。例如,网络元件104(更具体而言是AONS刀片604)可以存储映射信息,该信息将FTP(一种应用层协议)映射到IP地址和/或TCP端口的第一组合,将HTTP(另一种应用层协议)映射到IP地址和/或TCP端口的第二组合。基于该映射信息以及由截取的数据分组所指示的IP地址和/或TCP端口,AONS刀片604可以确定哪一种应用层协议(FTP、HTTP、简单邮件传送协议(SMTP)等)被用于发送该消息。
在框312中,确定与被用于发送该消息的应用层协议相关联的消息终止技术。例如,AONS刀片604可以存储映射信息,该信息将FTP映射到第一方案,将HTTP映射到第二方案,并将SMTP映射到第三方案。第一方案可以采用第一消息终止技术,其可被用于从数据分组中提取出利用FTP发送的消息。第二方案可以采用第二消息终止技术,其可被用于从数据分组中提取出利用HTTP发送的消息。第三方案可以采用第三消息终止技术,其可被用于从数据分组中提取出利用SMTP发送的消息。基于该映射信息以及被用于发送该消息的应用层协议,AONS刀片604可以确定应当调用哪一方案以从数据分组中提取出该消息。
在框314中,基于与被用于发送消息的应用层协议相关联的终止技术确定消息的内容。例如,AONS刀片604可以提供数据分组作为对在框312中确定的被映射到应用层协议的方案的输入。该方案可以使用适当的消息终止技术来从数据分组中提取出消息的内容。该方案可以将消息作为输出返回到AONS刀片604。从而,在一个实施例中,从数据分组中提取出的消息独立于被用于发送消息的应用层协议。
在框316中,确定与消息满足的标准相关联的消息分类。例如,AONS刀片604可以存储将不同标准映射到不同消息分类的映射信息。该映射信息指示在可能的许多不同关联中在框304中建立的关联。AONS刀片604可以确定消息的内容是否满足与已知消息分类中的任何一种相关联的标准。在一个实施例中,如果消息的内容满足与特定消息分类相关联的标准,则确定该消息属于该特定消息分类。
尽管在一个实施例中消息内容被用于确定消息的分类,但是在替换实施例中,包含在消息中的信息都可用于确定消息的分类。例如,在一个实施例中,消息内容以及在包含消息的数据分组中指示的一个或多个IP地址和/或TCP端口的组合被用于确定消息的分类。又例如,在一个实施例中,在包含消息的数据分组中指示的一个或多个IP地址和/或TCP端口被用于确定消息的分类,而无论消息的内容如何。
在框318中,执行与在框316中确定的消息分类相关联的一个或多个动作。如果两个或更多个动作与指定执行顺序相关联,如用户指定输入所指示,则这些动作被按指定顺序执行。如果这些动作中的任何一个的输出假定被作为输入提供给任何一个动作,如用户指定输入所指示,则指定动作的输出被作为输入提供给其他指定动作。
对消息可以执行多种不同动作。例如,一个动作可能是指定一组或多组攻击检测标准的“攻击保护”动作。当执行“攻击保护”动作时,确定消息是否满足针对该动作指定的任何攻击检测标准集中的任何攻击检测标准。如果消息满足针对该动作指定的任何攻击检测标准集中的所有攻击检测标准或其中的任何一个,则可以执行一个或多个额外动作,例如丢弃包含消息的分组、记录消息、隔离消息、重路由消息、修复消息等等。网络管理员可以指定这些额外动作。
作为流程图300中所示的方法的结果,网络路由器、交换机或其他中间网络元件可以被“在线”配置以阻止虚假的数据分组到达服务器应用。
3.3 动作流
图4示出了可能与特定消息分类相关联的样本流400。流400按顺序包括动作402-414;其他流可以包括一个或多个其他动作。动作402指示消息的内容应当以指定方式修改。动作404指示指定事件应当被写入(即,记录)到指定日志。动作406指示消息的目的地应当变为(即,重路由到)指定目的地。动作408指示消息的格式应当被转换为指定消息格式。动作410指示用于发送消息或内容的应用层协议应当变为指定应用层协议。动作412指示消息或内容应当利用特定密钥进行加密。动作414指示消息应当向消息的目的地转发。其他动作可以指示消息应当被丢弃、删除或隔离。
尽管这些动作可以对在应用之间发送的消息(例如,请求/响应消息)执行,但是这些动作也可以对其他内容执行,例如由网络元件自身生成的内容以及只去往网络元件自身的内容。这些动作可以对异常处理消息执行。
在其他实施例中,动作402-414中的任何一个可以独立执行,或者与动作402-414中的任何其他动作相组合地执行。
3.4 AONS示例
3.4.1 AONS总论
面向应用的网络系统(AONS)是一种用于构建在网络中嵌入智能以更好地满足应用部署的需要的一类产品的技术基础。AONS通过提供对关于什么信息在网络内流动的更大的关注程度并且通过将信息路由到适当的目的地(以该目的地所预期的格式)来帮助客户集成不同的应用,从而补充了现有的网络技术;施行用于信息访问和交换的策略;在网络带宽和处理开销方面优化应用流量流;提供增强的信息流管理,包括监视和度量信息流以用于业务和底层结构(infrastructure)目的;以及通过透明地备份或重路由关键业务数据来提供增强的业务连续性。
AONS通过更多地理解信息流的内容和上下文提供了该增强的支持。同样,AONS主要工作在消息级别,而不是分组级别。一般来说,信息的AONS处理终止了TCP连接以检查整个消息,包括“有效载荷”以及全部头部。AONS还理解并辅助普遍的应用层协议,例如HTTP、FTP、SMTP和事实上的标准中间件(middleware)协议。
AONS与运行在通用计算系统上的中间件产品的不同之处在于,AONS的行为在其简单性、总拥有成本和性能方面更加类似于网络用具。此外,AONS与网络层支持相集成以提供对信息流和管理的更加整体的方法,从而将在应用层所需的特征映射到由路由器、交换机、防火墙和其他网络系统实现的低层联网特征中。
尽管在来自Cisco Systems Inc.的现有产品线中提供了某些与AONS类似功能的元件,但是这些产品一般对诸如IP/端口地址或HTTP头部之类的信息表现出更加有限的关注度,以提供负载平衡和失效转移解决方案。AONS提供了用于更宽广的功能支持、更宽广的应用分类以及更大的应用数据的控制和管理程度的框架。
3.4.2 AONS术语
“应用”是执行运行在服务器或桌面系统上的商业功能的软件实体。应用可以是打包应用、运行在应用服务器上的软件、运行在主机上的遗留应用、或内部开发以满足商业需要的定制或私有软件、或者执行某种操作的脚本。这些应用可以与同一部门中的(部门的)其他应用、单个企业内的不同部门的(企业内的)其他应用、企业和其合作伙伴间的(企业间的或B2B)其他应用或者企业和其客户的(客户的或B2C)其他应用通信。AONS为上述情形中的任何一种提供了增值服务。
“应用消息”是由应用生成以与另一应用通信的消息。应用消息可以指定在处理该消息时应当执行的不同商业级别步骤,并且可以是下面描述的消息格式中的任何一种。在本文件的其余部分中,除非明确指出,否则术语“消息”也指应用消息。
“AONS节点”是AONS系统(或网络)内的主要AONS组件。如后面将描述的,AONS节点可以采取客户端代理、服务器代理或路由应用消息的中介设备的形式。
每个应用消息当被第一AONS节点接收时,被分派一个AONS消息ID,并被认为是“AONS消息”,直到该消息被传递到目的地AONS节点为止。AONS消息的概念存在于AONS云中。单个应用消息可以映射到多于一个AONS消息。这可以是例如应用消息需要由多于一个商业功能处理的情形。例如,由请求应用提交的需要由“CreditCheck”应用和“LoanProcessing”应用处理的“LoanRequest”消息将需要由多于一个商业功能处理。在该示例中,从AONS的角度来看,存在两个AONS消息:从请求应用到CreditCheck应用的“LoanRequest”到“CreditCheck”AONS消息;以及从CreditCheck应用到LoanProcessing应用的“LoanRequest”到“LoanProcessing”AONS消息。
在一个实施例中,AONS消息被封装在包含AONP(AON协议)头部的AONP消息中,并且被转换为“规范”格式。AONP是一种能够在两个或更多个AONS节点之间进行联盟的机制。例如,第一AONS节点可以知道其正与第二或其他AONS节点协同动作;从而AONS节点是“联盟的”。第一AONS节点可能已对特定分组执行一个或多个动作,例如加密、信令、认证等等。第一AONS节点可以在一个或多个AONP头部中指示第一AONS节点已执行的动作。在接收到AONP消息后,第二AONS节点可以从AONP头部中确定这些动作已被执行。结果,第二AONS节点可以放弃执行这些动作,或者以高效和最优的方式执行其他动作。从AONS消息的角度提供了可靠性、记录和安全性服务。
从AONS角度,应用一般用来彼此通信的一组协议或方法被称为“应用访问协议”(或方法)。应用可以利用任何支持的应用访问方法与AONS网络(一般是端点代理:客户端代理和服务器代理)通信。应用访问协议的某些示例包括:IBM MQ系列、Java消息服务(JMS)、TIBCO、超文本传送协议(HTTP)/HTTPS上的简单对象访问协议(SOAP)、简单邮件传送协议(SMTP)、文件传送协议(FTP)、Java数据库连通性(JDBC)、TCP等等。关于各种访问方法的细节将在该文件的后续部分中说明。
存在很多种应用所用的“消息格式”。这些消息格式的范围可以包括定制或私有格式以及工业特定格式和标准化格式。可扩展标记语言(XML)作为一种用于供应用彼此通信的通用语言或消息格式正得到普遍应用。AONS支持很多种这些格式。
另外,在一个实施例中,AONS提供了基于应用需要从一种格式到另一格式的转换服务。典型部署可能涉及第一AONS节点,其接收应用消息(客户端代理),将该消息转换为“规范”格式,规范格式的消息被作为AONS消息通过AONS网络运送。服务器代理可能在传递该消息之前将消息从“规范”格式转换为接收应用所理解的格式。为了理解某些非工业标准格式,可以使用消息辞典。
执行多种应用访问方法或协议之间的网关功能的节点被称为“协议网关”。协议网关的示例可以是通过文件传送协议(FTP)接收应用消息并将同一消息作为HTTP贴发送到另一应用的节点。在AONS中,客户端和服务器代理一般被预期执行协议网关功能。
如果应用生成电子数据交换(EDI)格式的消息而接收应用期望消息是XML格式,则消息格式需要被转换,但是消息内容需要在转换进程中保持不变。在AONS中,端点代理一般执行该“消息格式转换”功能。
在某些情况下,即使发送和接收应用使用相同的消息格式,对于接收应用来说也需要转换内容。例如,如果一个美国应用正与一个英国应用通信,则这两个应用之间的消息中的日期格式可能需要被转换(从月/日/年到日/月/年),即使应用使用相同的数据表示(或消息格式)时也是如此。该转换被称为“内容转换”。在一个实施例中,AONS节点通过适当地修复或变换内容的格式(例如上述日期格式)而避免对上下文验证产生错误的要求。这种修复和变换可以对二进制码、文本、ascii码等等执行。
3.4.3 AONS功能概述
如前所定义,AONS可以被定义为基于网络的智能中介系统,其高效且有效地将商业和应用需要与更加灵活和更具响应性的网络服务相集成。
具体而言,AONS可以通过以下特性理解:
AONS工作在比传统网络元件产品(2-4层)高的层(5-6层)。AONS使用消息级别的检查作为对分组级别检查的补充—通过理解应用消息,AONS向多种网络元件产品,例如交换机、防火墙、内容缓存系统和负载平衡器提供“消息交换路由”方面的附加值。AONS在安全性、可靠性、流量优化(压缩、缓存)、可视性(商业事件和网络事件)和变换(例如,从XML到EDI)方面提供了更大的灵活性和网络响应粒度。
AONS是一种综合技术平台,而不仅仅是点解决方案。AONS可以通过分布式智能中介系统实现,该系统位于分布式企业内和企业间环境中的应用、中间件和数据库之间(路由消息、执行变换等)。AONS提供了用于商业流的末端用户配置的灵活框架,以及AONS服务的策略和伙伴驱动的可扩展性。
AONS尤其适合于基于网络的部署。AONS是基于网络的,而不是通用的基于服务器的。AONS是混合的基于软件和基于硬件的(即,基于专用集成电路(ASIC)/现场可编程门阵列(FPGA)的加速)。AONS使用流量的(由策略确定的)带外或线内处理。AONS被部署在独立产品(网络用具)以及嵌入式产品(用于多个交换、路由和存储平台的服务刀片)中。
3.4.4 AONS系统概述
该部分概括了示例性AONS系统的系统概述。图7是图示了根据本发明一个实施例在示例性AONS系统702中涉及的各种组件的图700。由每个节点执行的角色在后续的部分中详细提及。
在AONS系统702内,关键的构建块包括AONS端点代理(AEP)704-710和AONS路由器(AR),AEP 704-710位于AONS网络的边缘处并且用作进入和退出点,AR位于AONS网络内。可以从放置在逻辑AONS“云”的边缘处的AEP 704内开始了解应用意图。当客户端应用714A-N中的特定客户端应用尝试通过网络发送消息到服务器应用716A-N和718A-N中的特定服务器应用目的地时,该特定客户端应用将首先与AEP 704交互。
AEP 704用作透明或显式消息传送网关,其将网络分组聚集到应用消息中,并推断消息级别的意图,这是通过以下方式实现的:检查给定消息的头部和有效载荷,将消息与适当上下文相关,可选地应用适当策略(例如,消息加密、变换等),然后经由网络交换机向消息的应用目的地路由消息。
AONS路由器(AR)712可以截取在到消息的目的地端点的路由上的消息。基于消息头部内容,AR 712可以确定新的路由将更好地满足给定应用系统的需要。AR7 12可以基于企业级别的策略,在考虑到当前网络状况的情况下进行该判决。随着消息接近其目的地,消息可以遇到AEP 706,其可以在消息到达之前执行最终的一组操作(例如,消息解密、传递确认)。在一个实施例中,每个消息只被解析一次:当该消息第一次进入AONS云时。消息遍历的第一AEP负责准备用于下层网络内的最优处理的消息。
AEP 704-708还可被进一步分类为AEP客户端代理和AEP服务器代理,以明确突出由代表特定端点应用的AEP执行的角色和操作。
典型的消息流包括特定客户端应用714A通过由AONS支持的各种访问协议之一向AEP客户端代理(CP)704提交消息。一接收到该消息,AEP CP 704就向消息分派一个AONS消息id,将该消息与包含AONP头部的AONP消息封装,并执行与AONS网络有关的任何必要操作(例如,安全性和可靠性服务)。另外,如果必要的话,该消息被AEP CP 704转换为“规范”格式。该消息通过TCP连接沿着到目的地应用718A的路径被运送到AR 710。沿着路径的AONS路由器或交换机执行消息所需的底层结构服务,并可以基于客户所配置的策略改变路由。该消息在目的地AEP服务器代理(SP)706处被接收到。AEP SP 706执行必要的安全性和可靠性功能,并在必要的情况下将消息转换为接收应用所理解的格式。然后,AEP SP 706利用应用718A和AONS所支持的任何一种访问协议将消息发送到接收应用718A。通过AONS网络702的详细的消息流将在下面的部分中描述。
这里描述的消息处理可以对AONS节点可能遇到的不同种类的消息的内容执行。AONS可以处理请求消息、响应消息、从AONS节点发出或进入到AONS节点中的消息或异常消息;AONS节点可以处理不同于这些类型或者在客户端和服务器应用之间发送的类型的消息的内容。例如,响应于截取到来自客户端应用的消息,AONS节点可以生成另一消息,并将其发送到数据库服务器。AONS节点可以随后接收来自数据库服务器的另一消息。AONS节点可以按上述方式对上述的任何一种消息执行消息处理,而不是仅仅对来自客户端的消息执行消息处理。
AONS节点可以响应于确定消息的传递将导致失效而执行指定动作。例如,AONS节点可以确定消息大于可以被消息去往的服务器应用接受的最大大小。作为响应,AONS节点可以阻止消息被转发到服务器应用。相反地,AONS节点可以记录消息以供以后由管理员检查。又例如,响应于确定消息包含有毒或其他恶意内容,AONS节点可以给消息“接种”(例如,通过加密和/或压缩消息内容),然后将“接种后”的消息存储在日志中以供以后由管理员检查。
3.4.5 AONS系统元件
该部分概括了从AONS角度使用的不同概念。
“AEP客户端代理”是执行消息的发送方(客户端)上的应用所必需的服务的AONS节点。在该文件的其余部分中,端点代理也指客户端或服务器代理。尽管AONS节点可以履行代理的角色,但是其一般不被这样指定;“AEP”代理是用于定义角色的术语。在处理消息时客户端代理的一般责任是:消息预分类和早期拒绝、协议管理、消息身份管理、AONP头部中的消息封装、用于可靠传递的端点发起、安全性端点服务发起(加密、数字签名、认证)、流选择和执行/底层结构服务(记录、压缩、内容变换等)、路由—下一跳AONS节点或目的地、AONS节点和路由发现/通告角色和路由、以及用于可靠传递机制的端点发起(保证传递路由器)。
注意,对于每个消息并不需要执行上述所有功能。对消息执行的功能由对AONS节点配置的策略控制。
“AEP服务器代理”是执行消息的接收方(服务器)上的应用所必需的服务的AONS节点。在文件的其余部分中,服务器代理也可被称为端点代理。在处理消息时服务器代理的一般责任是:协议管理、用于可靠传递的端点终止、安全性端点服务终止(解密、数字签名的核实等等)、流选择和执行/底层结构服务(记录、压缩、内容转换等)、AONP头部中的消息解封装、对发送AONS节点的确认、到目的地的应用路由/请求消息传递、响应消息关联、以及到入口AONS节点的路由。
注意,对于每个消息并不需要执行以上列举的所有功能。对消息执行的功能由对AONS节点配置的以及消息头部指示的策略控制。
“AONS路由器”是提供消息转发功能以及AONS网络内的附加底层结构服务的AONS节点。AONS路由器与客户端代理、服务器代理和其他AONS路由器通信。AONS路由器可以在不解析消息的情况下提供服务;AONS路由器可以依赖于AONP消息头部和在AONS网络中配置的策略,而不用解析消息。AONS路由器提供了以下功能:在需要的TCP连接的数目方面AONS网络中的可扩展性;基于消息目的地、在AONS云中配置的策略、在消息中指定的路由和/或消息内容进行的消息路由;在期望目的地处的负载—重路由(如果需要的话);目的地的可用性—重路由(如果需要的话);传输成本(在多个服务提供商之间进行选择);以及底层结构服务,例如发送到记录工具、发送到存储区域网(SAN)以用于备份目的、以及对于可缓存的消息(与目录类似)接口到缓存引擎。
AONS路由器不需要理解应用访问协议中的任何一种,并且在一个实施例中,只处理利用AONP头部封装的消息。
面向应用的联网协议(AONP)是用于AONS网络中的节点之间的通信的协议。在一个实施例中,每个AONS消息运送AONP头部,AONP头部给出了消息的目的地以及用于在后续节点中处理消息的附加信息。AONP还解决策略交换(静态的或动态的)、节点之间的失效转移、AONS节点之间的负载平衡以及路由信息的交换。AONP还能够在多种网络元件(例如防火墙、缓存引擎和路由器/交换机)中进行面向应用的消息处理。AONP既支持固定头部,又支持可变头部(利用类型长度值(TLV)字段形成),以支持中介节点中的高效处理以及用于附加服务的灵活性。
除非明确指出,否则这里的“路由器”或“交换机”指当前可以购得的典型的第3层或第2层交换机或路由器。
3.4.6 AONS示例性特征
在一个实施例中,下层的“子系统服务的AONS基础平台”(AOS)提供了一个通用服务的范围,包括对安全性、压缩、缓存、可靠性、策略管理和其他服务的支持。随后,在该平台的顶端,AONS提供了一个分立功能组件的范围,这些功能组件可以连线在一起以提供对传入数据流的整体处理。这些“bladeletsTM”的目标在于在由应用或信息技术(IT)管理器所要求的特定策略或动作的上下文中实现个别服务。一系列访问方法适配器确保了对某个范围的入口和出口格式的支持。最后,一组面向用户的工具使得管理器能够适当地查看、配置和设置用于AONS解决方案的策略。这四个功能类别相组合以提供某个范围的末端客户能力,包括增强的安全性、底层结构优化、商业连续性、应用集成和操作可视性。
由AONS解决方案提供的增强的可视性和增强的响应能力提供了多种智能的、面向应用的网络服务。这些智能服务可以总结在四个主要类别中。
增强的安全性和可靠性:提供了可靠的消息传递,并且除了现有的网络级别安全性之外,还提供了消息级别安全性。
底层结构优化:通过在消息级别利用缓存和压缩以及通过集成应用和网络服务质量(QoS),能够更高效地使用网络资源。
商业和底层结构活动性监视和管理:通过读取包含在应用层消息中的信息,AONS可以记录、审计并管理应用级别商业事件,并将这些与公共的、策略驱动的管理环境中的网络、服务器和存储底层结构事件相组合。
基于内容的路由和变换:基于消息的路由以及协议、内容、数据和消息格式的变换(例如,XML变换)。属于这些主要类别中的每一种的个别特征将在下面更详细地描述。
3.4.6.1 增强的安全性和可靠性
认证:AONS可以基于包含在给定消息内的各种信息片段(用户名/密码、数字证书、安全性声明标记语言(SAML)声明等等)核实进入消息的发送者的身份,并且基于这些凭证,确定消息是否应当被进一步处理。
授权:一旦经由消息检查获得了主要凭证,AONS就可以确定消息的发起者应当对其尝试调用的服务具有什么级别的访问。AONS还可以基于这种导出的特权进行路由判决,或者在适当时阻挡或掩盖消息内的某些数据元素(一旦消息在AONS网络内的情况下)。
加密/解密:随着消息行进通过AONS网络,基于策略,AONS可以执行消息元素(整个消息、消息主体或个别元素,例如信用卡号)的加密以维持端到端的私密性。相反地,AONS可以在消息到达给定端点之前执行这些元素的解密。
数字签名:为了确保消息完整性并允许不对消息事务进行抵赖,AONS可以在任何给定AEP处对整个消息或个别消息元素签名。关于哪些内容被签名的判决将由被施加到从每个消息的内容和上下文导出的信息的策略来确定。
可靠性:AONS可以通过在不同的私有机制之间进行中介来补充现有的保证消息传送系统。还可以为当前缺乏可靠传递的基于HTTP的应用(包括web服务)提供可靠性。作为附加特征,AONS可以生成成功消息传递的确认,并且在不能确认传递时自动生成异常响应。
3.4.6.2 底层结构优化
压缩和基于流的数据提取:AEP可以在通过网络发送消息数据之前压缩消息数据以节省带宽,并且相反地在端点传递之前对其解压缩。AEP还可以提取数据以执行消息分类,而不等待整个消息被读入。
缓存:AONS可以基于对一类请求定义的规则或者基于在响应中设置的指示符缓存先前消息询问的结果。缓存可以对整个消息或消息的某些元素执行,以减少应用响应时间并节省网络带宽使用。消息元素缓存能够对后续消息请求进行delta处理。
TCP连接共同分担(pooling):通过充当消息客户端和服务器之间的中介,AONS可以合并应用之间所需的永久连接的总数。从而,AONS减少了其他情况下与一群端点之间的连接的正在进行的发起和拆除相关联的客户端和服务器处理负载。
批处理(batching):AONS中介可以对去往多个目的地的事务消息进行批处理以减少发送系统上的盘I/O开销。类似地,可以对来自多个源的事务消息进行批处理以减少接收系统上的盘I/O开销。
硬件加速:通过利用专用硬件在AONS网络设备中高效地执行计算密集功能,例如加密和可扩展风格(Stylesheet)语言变换(XSLT)变换,AONS可以卸下端点服务器的计算资源的负载,从而潜在地提供了较低成本的处理能力。
服务质量:AONS可以基于显式消息优先级区分(例如,被标记为“高优先级”的消息)或经由在检测到特定消息内容时确定何时对消息而言需要较高质量的网络服务的策略,将应用级别QoS与网络级别QoS特征相集成。
策略强制:优化整个AONS解决方案的核心是确保商业级别策略由底层结构表达、实现和强制的能力。AONS策略管理器确保了一旦检查消息,就在适当时针对该消息采取适当的动作(加密、压缩、路由等)。
3.4.6.3 活动性监视和管理
审计/记录/度量:AONS可以选择性地过滤消息,并将其发送到节点或控制台以用于聚集和后续分析。工具能够查看和分析消息流。AONS还可以生成对重要实时事件(与商业和底层结构有关的)的自动响应。通过智能地收集统计信息并发送这些信息以计入日志,AONS可以产生用于审计或计费目的的度量数据。
管理:AONS可以组合消息级别和网络底层结构级别事件以获得对整个系统健康度的更深理解。AONS管理接口自身可用作用于那些希望可编程地对其进行访问的人的web服务。
测试和验证:AONS能够截取消息流量的能力可以用于在允许消息到达目的地应用之前验证消息。除了保护消息以免受可能的应用或服务器故障影响之外,该能力还可以被均衡以测试新的web服务和其他功能,这是通过在产品部署之前检查来自客户端和服务器的实际消息流而实现的。AONS还提供了“调试模式”,该模式可以在可疑故障之后自动开启,或者在通知之后手工开启,以辅助对设备的整体管理。
工作负载平衡和失效转移:AONS提供了一种策略和内容两者驱动的工作负载平衡和失效转移的方法。例如,给定AONS节点的在异种系统之间中介的能力,则AONS节点可以在提供对消息内容所请求的公共信息的访问的不同系统之间进行平衡。AONS还可以解决确保在消息级别而不是在会话级别实现失效转移所必需的消息亲合力(affinity)的问题,而大多数现有解决方案是在会话级别实现的。平衡还可以考虑到用于得到消息回复、路由到替换目的地(如果优选目标暂时响应很慢的话)的响应时间。
商业连续性:通过提供将进入消息复制到远程目的地的能力,AONS使得客户能够从系统停歇中快速恢复。AONS还可以检测发生故障的消息传递,并自动重路由到替换端点。AONS AEP和AR自身具有内建的冗余和组件级别的失效转移,并且可以被集群化以确保高可用性。
3.4.6.4 基于内容的路由和变换
基于内容的路由:基于其检查并理解消息的内容和上下文的能力,AONS提供了通过将内容元素与预先建立的策略配置进行匹配来将消息路由到适当目的地的能力。该能力允许AONS为由不同应用处理的消息提供公共接口(服务虚拟化),并且由AONS检查消息类型或内容中的字段(部分号、帐户类型、雇员位置、客户邮政编码等等)以将消息路由到适当目的地。该能力还允许AONS利用经过AONS路由器的最优扇出发送消息到多个目的地(基于静态定义的消息类型或信息主题,或者基于对消息类型或信息主题的动态订购)。该能力还允许AONS重定向先前发送到应用的所有消息以使得其可以由新的应用处理。另外,该能力还允许AONS路由消息以用于预处理步骤,该步骤被认为是在接收消息之前所必需的(例如,对于所有旅游请求引入管理预批准步骤)。该能力还允许AONS将超过某一标准(例如,顺序值)的消息的拷贝路由到审计系统,以及将该消息转发到期望目的地。该能力还允许AONS出于工作负载或失效转移原因将消息路由到特定服务器。该能力还允许AONS基于先前的路由判决将消息路由到特定服务器(例如,基于哪一服务器处理原始顺序来路由查询请求)。另外,该能力还允许AONS基于消息的源进行路由。该能力还允许AONS通过由源或前一中介定义的步骤序列路由消息。
消息协议网关:AONS可以充当使用不同传输协议的应用之间的网关。AONS支持开放式标准协议(例如HTTP、FTP、SMTP),以及普遍的或事实上标准的私有协议,例如IBM MQ和JMS。
消息变换:AONS可以变换消息内容以使其适合于特定接收应用。这既可以对XML消息进行,又可以对非XML消息进行,后者是经由消息辞典定义或定义好的工业标准格式的辅助实现的。
3.4.7 AONS功能模块
图8是示出了示例性AONS节点内的功能模块的框图。AONS节点800包括AOS配置和管理模块802、流/规则804、AOS公共服务806、AOS消息执行控制器808、AOS协议访问方法810和AOS平台特定的“粘胶”(glue)812。AONS节点800与互联网操作系统(IOS)814和Linux操作系统816相接口。流/规则804包括bladeletsTM 818、scriptletsTM820和scriptletTM容器822。
在一个实施例中,AOS公共服务806包括:安全性服务、标准压缩服务、delta压缩服务、缓存服务、消息记录服务、策略管理服务、可靠消息传送服务、公布/订购服务、活动性监视服务、消息分发服务、XML解析服务、XSLT变换服务和QoS管理服务。
在一个实施例中,AOS协议/访问方法810包括:TCP/SSL、HTTP/HTTPS、SOAP/HTTP、SMTP、FTP、JMS/MQ和JMS/RV,以及Java数据库连通性(JDBC)。
在一个实施例中,AOS消息执行控制器808包括:执行控制器、流子系统和bladeletTM子系统。
在一个实施例中,AOS bladeletsTM 818和scriptletsTM 820包括:消息输入(读消息)、消息输出(发送消息)、记录/审计、判决、外部数据访问、XML解析、XML变换、缓存、scriptlet容器、公布、订购、消息验证(规划、格式等),过滤/掩盖、签名、认证、授权、加密、解密、活动性监视发源、活动性监视标记、活动性监视处理、活动性监视通知、消息丢弃、防火墙阻挡、防火墙阻挡去除(unblock)、消息截取和消息停止截取(stop-intercept)。
在一个实施例中,AOS配置和管理模块802包括:配置、监视、拓扑管理、能力交换、失效转移/冗余、可靠性/可用性/可服务性(RAS)服务(跟踪、调试等)、存档、安装、更新、许可、样本scripletsTM、样本流、文档化、在线帮助和语言本地化。
在一个实施例中,所支持的平台包括:Cisco Catalyst 6503、CiscoCatalyst 6505、Cisco Catalyst 6509和Cisco Catalyst 6513。这些产品一般部署在数据中心中。还支持其他产品,例如“分支办公室路由器”(例如,Cisco Volant路由器系列)和“边缘路由器”。在一个实施例中,所支持的监管器模块包括:Sup2和Sup720。在一个实施例中,与平台有关的特定功能区域包括:优化TCP、SSL、公共密钥底层结构(PKI)、加密/解密、到Cat6K监管器的接口、失效转移/冗余、图像管理和QoS功能。尽管本发明的某些实施例在这里是参考PKI密钥描述的,但是本发明的实施例并不限于PKI密钥。其他密钥和/或令牌(例如Kerberos令牌和/或PGP令牌)可以与本发明的实施例结合使用。
在一个实施例中,密钥分发和处理由用户指定策略控制,用户指定策略与密钥一起被存储在称为AMC的中央控制台处。例如,这些策略可以表明不同种类的密钥被用于加密/解密/标记不同种类的数据流量。密钥可以与策略相关联。AMC可以自动地将密钥对策略的关联分发到用户指定的AONS节点。
3.4.8 AONS工作模式
AONS可以被配置为取决于应用集成需要和部署情形而运行在多种模式中。根据一个实施例,主要工作模式包括隐式模式(implicit mode)、显式模式(explicit mode)和代理模式。在隐式模式中,AONS节点透明地截取相关流量,而不对应用作出改变。在显式模式中,应用显式地使流量去往中介AONS节点。在代理模式中,应用被配置为与AONS节点协同工作,但是应用并不显式地使流量去往AONS节点。
在隐式模式中,应用不关注AONS的存在。消息是去往接收应用的。消息经由应用“代理”或中间件系统的配置,和/或经由网络配置(分组截取)被重定向到AONS以路由消息到AONS。例如,基于域名服务器(DNS)的重定向可以用于路由消息。又例如,可以使用交换机或路由器上的基于5元组的访问控制列表(ACL)。基于网络的应用识别和内容交换模块可以被配置用于URL/URI重定向。基于消息的检查可以用于确定消息类型和分类。在隐式模式中,应用利用应用固有协议使用AONS作为中介(隐式地)彼此通信。
流量重定向、消息分类和“早期拒绝”(在完成AONS层内的处理之前将流量发出AONS层)可以经由多种机制实现,例如在图9中示出的那些机制。图9示出了可以对消息流量执行的以便只产生将在AONS层处理的一组选定流量的多层次过滤。不在AONS层处理的流量可以被当作任何其他流量。
在最低层(层902),所有流量通过。在次高的一层(层904),可以基于5元组过滤流量。监管器刀片或诸如互联网操作系统(IOS)之类的网络操作系统可以执行这种过滤。经过层904的过滤的流量传递到层906。在层906,可以进一步基于类似于基于网络的应用识别过滤和/或消息分类和拒绝过滤流量。经过层906的过滤的流量传递到层908。在层908,可以进一步基于协议头部过滤流量。例如,可以基于流量中的URL/URI过滤流量。经过层908的过滤的流量传递到层910。在层910,可以基于应用层消息(包括头部和内容)处理流量。例如,消息内的XPath内容识别技术可以用于在层910处理流量。AONS刀片可以执行层910的处理。从而,所有网络流量的选定子集都可以被提供给AONS刀片。
在显式模式中,应用能注意到AONS的存在。消息显式地去往AONS节点。应用可以利用AONP与AONS通信。AONS可以执行服务虚拟化和目的地选择。
在代理模式中,应用不是明确地注意到AONS的存在。消息是去往其最终目的地(即,应用)的。然而,客户端应用被配置为经由代理模式引导流量。
3.4.9 AONS消息路由
AONS中的消息管理的组件可以从两个角度来看:节点视角和云视角。
图10是图示了根据云视角AONS云1010内的消息路径的图。客户端应用1004发送消息到AONS客户端代理(CP)1006。如果AONS CP1006不存在,则客户端应用1004可以发送消息到AONS服务器代理(SP)1008。该消息在AONS CP 1006处被处理。如果消息正进入AONS云1010,则AONS CP 1006将消息变换为AONP格式。
在AONS云1010内,消息被利用AONP路由。从而,利用AONP,消息可以被从AONS CP 1006路由到AONS路由器1012,或者从AONSCP1006路由到AONS SP 1008,或者从AONS路由器1012路由到另一AONS路由器,或者从AONS路由器1012路由到AONS SP 1008。在AONS节点处处理的消息被以AONP格式处理。
当消息到达AONS SP 1008时,AONS SP 1008将消息变换为服务器应用1014所使用的消息格式。AONS SP 1008利用服务器应用1014的消息协议将消息路由到服务器应用1014。或者,如果AONS SP 1008不存在,则AONS CP 1006可以将消息路由到服务器应用1014。
AONS云1010内的消息处理的细节可以经由以下角度来理解:请求/响应消息流、单向消息流、具有可靠传递的消息流、节点到节点通信以及多播公布-订购。
图11A和图11B是图示了请求/响应消息流的图。参考图11A,在标号1处,发送应用1102向接收应用1104发送消息。在标号2处,AEP CP1106截取消息,并向消息添加AONP头部,形成AONP消息。在标号3处,AEP CP 1106将AONP消息发送到AONS路由器1108。在标号4处,AONS路由器1108接收AONP消息。在标号5处,AONS路由器1108将AONP消息发送到AEP SP 1110。在标号6处,AEP SP 1110接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号7处,AEPSP 1110将消息发送到接收应用1104。
参考图11B,在标号8处,接收应用1104向发送应用1102发送响应消息。在标号9处,AEP SP 1110截取消息,并向消息添加AONP头部,形成AONP消息。在标号10处,AEP SP 1110将AONP消息发送到AONS路由器1108。在标号11处,AONS路由器1108接收AONP消息。在标号12处,AONS路由器1108将AONP消息发送到AEP CP 1106。在标号13处,AEP CP 1106接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号14处,AEP CP 1106将消息发送到发送应用1102。从而,请求被从发送应用1102路由到接收应用1104,而响应被从接收应用1104路由到发送应用1102。
图12A和12B是图示了替换的请求/响应消息流的图。图12A示出了从发送应用1202到接收应用1204消息可能采取的三种可能路由。根据第一路由,发送应用1202向接收应用1204发送消息,但是AEP CP 1206截取消息,并将消息发送到接收应用1204。根据第二路由,发送应用1202向接收应用1204发送消息,但是AEP CP 1206截取消息,将消息封装在AONP消息内,并将AONP消息发送到AEP SP 1208,AEP SP 1208从AONP消息中解封出消息,并将消息发送到接收应用1204。根据第三路由,发送应用1202向接收应用1204发送消息,但是AEP SP 1208截取消息,并将消息发送到接收应用1204。
图12B示出了从接收应用1204到发送应用1202响应消息可能采取的三种可能路由。根据第一路由,接收应用1204向发送应用1202发送消息,但是AEP CP 1206截取消息,并将消息发送到发送应用1202。根据第二路由,接收应用1204向发送应用1202发送消息,但是AEP SP 1208截取消息,将消息封装在AONP消息内,并将AONP消息发送到AEP CP1206,AEP CP 1206从AONP消息中解封出消息,并将消息发送到发送应用1202。根据第三路由,接收应用1204向发送应用1202发送消息,但是AEP SP 1208截取消息,并将消息发送到发送应用1202。
图13是图示了单向消息流的图。在标号1处,发送应用1302向接收应用1304发送消息。在标号2处,AEP CP 1306截取消息,并向消息添加AONP头部,形成AONP消息。在标号3处,AEP CP 1306将ACK(确认)发回到发送应用1302。在标号4处,AEP CP 1306将AONP消息发送到AONS路由器1308。在标号5处,AONS路由器1308接收AONP消息。在标号6处,AONS路由器1308将AONP消息发送到AEP SP 1310。在标号7处,AEP SP 1310接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号8处,AEP SP 1310将消息发送到接收应用1304。
图14是图示了替换的单向消息流的图。图14示出了从发送应用1402到接收应用1404消息可能采取的三种可能路由。根据第一路由,发送应用1402向接收应用1404发送消息,但是AEP CP 1406截取消息,并将消息发送到接收应用1404。AEP CP 1406将ACK(确认)发送到发送应用1402。根据第二路由,发送应用1402向接收应用1404发送消息,但是AEP CP 1406截取消息,将消息封装在AONP消息内,并将AONP消息发送到AEP SP 1408,AEP SP 1408从AONP消息中解封出消息,并将消息发送到接收应用1404。同样,AEP CP 1406将ACK发送到发送应用1402。根据第三路由,发送应用1402向接收应用1404发送消息,但是AEP SP 1408截取消息,并将消息发送到接收应用1404。在这种情况下,AEP SP 1408将ACK发送到发送应用1402。从而,当AEP截取消息时,截取AEP将ACK发送到发送应用。
根据一个实施例,AONP被用在与下一跳的节点到节点通信中。在一个实施例中,AONP使用HTTP。AONP头部可以包括HTTP或TCP头部。AONP可以指示RM ACK、QoS级别、消息优先级和消息上下文(连接、消息序列号、消息上下文标识符、入口节点信息等等)。实际消息有效载荷在消息主体中。在AONS节点之间可以使用异步消息传送。AONS可以经由静态配置(下一跳)和/或经由动态发现和路由通告(“懒惰”(lazy)发现)进行路由和节点发现。
图15A和15B是图示了具有可靠消息传递的请求/响应消息流的图。参考图15A,在标号1处,发送应用1502向接收应用1504发送消息。在标号2处,AEP CP 1506截取消息,并向消息添加AONP头部,形成AONP消息。在标号3处,AEP CP 1506将消息保存到数据存储装置1512。从而,如果在发送消息时出现任何问题,则AEP CP 1506可以重发存储在数据存储装置1512中的消息的拷贝。
在标号4处,AEP CP 1506将AONP消息发送到AONS路由器1508。在标号5处,AONS路由器1508接收AONP消息。在标号6处,AONS路由器1508将AONP消息发送到AEP SP 1510。在标号7处,AEP SP 1510接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号8处,AEP SP 1510将消息发送到接收应用1504。
在标号9处,AEP SP 1510将可靠消息传送(RM)确认(ACK)发送到AONS路由器1508。在标号10处,AONS路由器1508接收RMACK,并将RM ACK发送到AEP CP 1506。在标号11处,AEP CP 1506接收RM ACK,并且作为响应,删除存储在数据存储装置1512中的消息拷贝。由于消息的传递已被确认,因此不再需要在数据存储装置1512中存储消息的拷贝。或者,如果AEP CP 1506没有在指定时间段内接收到RM ACK,则AEP CP 1506重发消息。
参考图15B,在标号12处,接收应用1504向发送应用1502发送响应消息。在标号13处,AEP SP 1510截取消息,并向消息添加AONP头部,形成AONP消息。在标号14处,AEP SP 1510将AONP消息发送到AONS路由器1508。在标号15处,AONS路由器1508接收AONP消息。在标号16处,AONS路由器1508将AONP消息发送到AEP CP 1506。在标号17处,AEP CP 1506接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号18处,AEP CP 1506将消息发送到发送应用1502。
图16是图示了具有可靠消息传递的单向消息流的图。在标号1处,发送应用1602向接收应用1604发送消息。在标号2处,AEP CP1606截取消息,并向消息添加AONP头部,形成AONP消息。在标号3处,AEPCP 1606将消息保存到数据存储装置1612。从而,如果在发送消息时出现任何问题,则AEP CP 1606可以重发存储在数据存储装置1612中的消息的拷贝。在标号4处,AEP CP 1606将ACK(确认)发回到发送应用1602。在标号5处,AEP CP 1606将AONP消息发送到AONS路由器1608。在标号6处,AONS路由器1608接收AONP消息。在标号7处,AONS路由器1608将AONP消息发送到AEP SP 1610。在标号8处,AEPSP1610接收AONP消息,并从消息中去除AONP头部,从而解封装消息。在标号9处,AEP SP 1610将消息发送到接收应用1604。
在标号10处,AEP SP 1610将可靠消息传送(RM)确认(ACK)发送到AONS路由器1608。在标号11处,AONS路由器1608接收RMACK,并将RM ACK发送到AEP CP 1606。在标号12处,AEP CP 1606接收RM ACK,并且作为响应,删除存储在数据存储装置1612中的消息拷贝。由于消息的传递已被确认,因此不再需要在数据存储装置1612中存储消息的拷贝。或者,如果AEP CP 1606没有在指定时间段内接收到RM ACK,则AEP CP 1606重发消息。如果重发在超时时间段内没有成功,则“传递故障”通知消息将被发送到原始发送应用。
图17是图示了同步请求和响应消息的图。在标号1处,AONS节点1704从客户端1702以隐式或显式模式接收请求消息。在标号2处,AONS节点1704读取消息,选择并执行流,并向消息添加AONP头部。在标号3处,AONS节点1704将消息发送到下一跳节点,AONS节点1706。在标号4处,AONS节点1706读取消息,选择并执行流,并从消息中去除AONP头部,从而根据服务器1708所期望的消息格式对消息格式化。在标号5处,AONS节点1706将消息发送到消息的目的地,服务器1708。
在标号6处,AONS节点1706在AONS节点1706发送请求消息的同一连接上接收来自服务器1708的响应消息。在标号7处,AONS节点1706读取消息,将消息与请求消息相关,执行流,并向消息添加AONP头部。在标号8处,AONS节点1706将消息发送到AONS节点1704。在标号9处,AONS节点1704读取消息,将消息与请求消息相关,执行流,并从消息中去除AONP头部,从而根据客户端1702所期望的消息格式对消息格式化。在标号10处,AONS节点1704在客户端1702向AONS节点1704发送请求消息的同一连接上将消息发送到客户端1702。
图18是图示了样本单向端到端消息流的图。在标号1处,AONS节点1804从客户端1802以隐式或显式模式接收请求消息。在标号2处,AONS节点1804读取消息,选择并执行流,并向消息添加AONP头部。在标号3处,AONS节点1804将确认发送到客户端1802。在标号4处,AONS节点1804将消息发送到下一跳节点,AONS节点1806。在标号5处,AONS节点1806读取消息,选择并执行流,并从消息中去除AONP头部,从而根据服务器1808所期望的消息格式对消息格式化。在标号6处,AONS节点1806将消息发送到消息的目的地,服务器1808。
根据节点视角,AONS节点内的消息生存周期(lifecycle)涉及入口/出口处理、消息处理、消息执行控制和流执行。
图19是图示了AONS节点1900内的消息处理模块的图。AONS节点1900包括AONS消息执行控制器(AMEC)框架1902、策略管理子系统1904、AONS消息处理底层结构子系统1906和AOSS1908。AMEC框架1902包括流管理子系统1910、bladeletTM执行子系统1912和消息执行控制器1914。策略管理子系统1904与流管理子系统1910通信。AOSS1908与bladeletTM执行子系统1912和AONS消息处理底层结构子系统1906通信。AONS消息处理底层结构子系统1906与消息执行控制器1914通信。流管理子系统1910、bladeletTM执行子系统和管理执行控制器1914都彼此通信。
图20是图示了AONS节点1900内的消息处理的图。AMEC框架1902是基于事件的多线程机制,以使吞吐量最大化,同时使AONS节点中的消息延迟最小化。根据一个实施例,对接收的分组重定向,执行TCP终止,执行SSL终止(如果需要的话),执行第5层协议适配和访问方法处理(使用诸如HTTP、SMTP、FTP、JMS/MQ、JMS/RV、JDBC等之类的访问方法),形成AONS消息(用于内部AONS处理的规范化消息格式),对消息排队,基于处理线程可用性使消息出队列,选择流(或规则),执行所选的流,将消息转发到消息的目的地,并且对于基于请求/响应的语义,经由维护在AEMC框架1902内的连接/会话状态处理响应。
在一个实施例中,执行流包括执行流的每一步(即,bladeletTM/动作)。如果bladeletTM运行在独立上下文中,则AMEC框架1902可以进入到bladeletTM特定的队列中排队,并且基于线程可用性,从每个bladeletTM队列中使适当的bladeletTM状态出队。
3.4.10 流、bladeletsTM和scriptletsTM
根据一个实施例,流串与bladeletsTM(即,动作)一起定制消息处理逻辑。ScriptletsTM提供了一种用于供客户和伙伴定制或扩展本地AONS功能的机制。某些bladeletsTM和服务可以利用AONS节点提供。
3.4.11 AONS服务
如前所述,AONS可以提供一组核心服务以形成可以经由AONS节点传递的增值功能的下层基础。在一个实施例中,这些服务包括:安全性服务、标准压缩服务、delta压缩服务、缓存服务、消息记录服务、策略管理服务(策略管理器)、可靠消息传送服务、公布/订购服务、活动性监视服务、消息分发服务、XML解析服务、XSLT变换服务和QoS管理服务。在一个实施例中,每种AONS核心服务被实现在服务框架的上下文中。
3.4.12 AONS配置和管理
在一个实施例中,AONS节点被提供和配置有一类应用消息,从而其强制施行代表应用端点、商业领域、安全领域、管理领域和网络领域以声明形式定义的策略。此外,对于给定部署情形,AONS节点利用不同软件和硬件子系统的可配置性和可扩展性促进了不同产品功能特征的灵活构成和定制。由于AONS功能的应用和网络实施例,AONS体系结构框架应当有效地且统一地解决各种系统组件和其环境的可配置性、可管理性以及可监视性这些不同方面的问题。
AONS配置和管理框架是基于ISO网络管理论坛所推荐的用于网络管理的五个功能区域(“FCAPS”)的。这些功能区域包括故障管理、配置管理、会计(accounting)管理、性能管理和安全性管理。故障管理是发现、隔离以及固定AONS节点中的问题或故障的进程。配置管理是找到并设置AONS节点的进程。会计管理涉及跟踪AONS资源的使用和利用率以推动其正确使用。性能管理是测量AONS系统组件和整个系统的性能的进程。安全性管理控制对AONS系统上的信息的访问。许多上述功能是经由作为整个AONS解决方案的一部分的适当仪器、程序接口和工具处理的。
图21、图22和图23是图示了AONS配置和管理框架内的实体的图。AONS管理控制台(AMC)是用于AONS策略、流、scriptletsTM和其他可管理实体的配置和管理的中央集线器。可配置数据被从AONS设计工作室(流工具)推到AMC,然后AONS管理员可以将该数据提供给生产部署。还提供了促进进程以经由对生产展示进程的分段/证明的开发来测试和验证改变。AONS管理代理(AMA)驻留在个别AONS刀片上,并且为AONS提供本地控制和分发能力。AMA与AMC交互以得到更新。AMA采取适当的动作以实现改变。AMA还用于收集监视数据以报告给第三方控制台。
3.4.13 AONS监视
在一个实施例中,AONS被配置为支持定义好的事件以用于适当的对内部处理活动性的监视和可视性。AONS节点的监视可以经由预先定义的运行在每个AONS节点上的JMX MBean代理实现。该代理与PC联合体上的远程JMX Mbean服务器通信。AONS MIB被均衡以SNMP集成到第三方控制台。图24是图示了AONS监视体系结构的图。
3.4.14 AONS工具
在一个实施例中,提供了下面的工具设置以用于AONS的各种功能需要:设计工作室、管理工作室和消息日志查看器。设计工作室是用于设计流并应用消息分类以及映射策略的可视工具。管理工作室是基于web的用于执行所有管理和配置功能的接口。消息日志查看器是分析消息流量、模式和示踪信息的可视接口。
4.0 实现机制-硬件概述
图5是图示了可以在其上实现本发明的实施例的计算机系统500的框图。优选实施例是利用运行在诸如代理设备之类的网络元件上的一个或多个计算机程序实现的。从而,在该实施例中,计算机系统500是诸如负载平衡器之类的代理设备。
计算机系统500包括总线502或用于传输信息的其他通信机构,以及与总线502相耦合用于处理信息的处理器504。计算机系统500还包括主存储器506,例如随机访问存储器(RAM)、闪存或其他动态存储设备,其耦合到总线502,用于存储信息和由处理器504执行的指令。主存储器506还可以用于存储在处理器504执行指令的执行期间的临时变量或其他中间信息。计算机系统500还包括只读存储器(ROM)508或其他静态存储设备,其耦合到总线502,用于存储静态信息和处理器504的指令。提供了存储设备510,例如磁盘、闪存或光盘,其耦合到总线502,用于存储信息和指令。
通信接口518可以耦合到总线502,用于向处理器504传输信息和命令选择。接口518是传统的串行接口,例如RS-232或RS-322接口。外部终端512或其他计算机系统连接到计算机系统500,并且利用接口514向其提供命令。运行在计算机系统500中的固件或软件提供终端接口或基于字符的命令接口,以使得可以向计算机系统给予外部命令。
交换系统516耦合到总线502,并且具有输入接口514和到一个或多个外部网络元件的输出接口519。外部网络元件可以包括耦合到一个或多个主机524的本地网络522,或者具有一个或多个服务器530的全球网络(例如因特网528)。交换系统516根据公知的预定协议和惯例将到达输入接口514的信息流量交换到输出接口519。例如,交换系统516与处理器504协同操作可以确定到达输入接口514的数据分组的目的地,并利用输出接口519将其发送到正确目的地。目的地可以包括主机524、服务器530、其他末端站、或本地网络522或因特网528中的其他路由和交换设备。
本发明涉及使用计算机系统500来避免在计算机系统500上存储客户端状态。根据本发明的一个实施例,计算机系统500响应于处理器504执行包含在主存储器506中的一条或多条指令的一个或多个序列而提供这种更新。这些指令可以从另一计算机可读介质(例如存储设备510)读取到主存储器506中。包含在主存储器506中的指令序列的执行使得处理器504执行这里描述的进程步骤。多处理配置中的一个或多个处理器也可以用于执行包含在主存储器506中的指令序列。在替换实施例中,硬连线电路可以用于替代软件指令或者与软件指令相组合以实现本发明。从而,本发明的实施例并不限于硬件电路和软件的任何特定组合。
这里所用的术语“计算机可读介质”指参与向处理器504提供指令以供执行的任何介质。这种介质可以采取很多形式,包括但不限于非易失性介质、易失性介质和传输介质。非易失性介质包括例如光盘或磁盘,例如存储设备510。易失性介质包括动态存储器,例如主存储器506。传输介质包括同轴电缆、铜线和光纤,包括包含总线502的线路。传输介质还可以采取声波或光波的形式,例如在无线电波和红外数据通信期间生成的声波或光波。
计算机可读介质的公共形式包括例如软盘、柔性盘、硬盘、磁带或任何其他磁介质、CD-ROM、任何其他光介质、穿孔卡、纸带、任何其他具有孔图案的物理介质、RAM、PROM、EPROM、FLASH-EPROM、任何其他存储器芯片或盒、下文中描述的载波、或计算机可以读取的任何其他介质。
各种形式的计算机可读介质都可以用于运送一条或多条指令的一个或多个序列到处理器504以供执行。例如,该指令可以首先承载在远程计算机的磁盘上。远程计算机可以将指令加载到其动态存储器中,并利用调制解调器通过电话线发送指令。计算机系统500本地的调制解调器可以接收电话线上的数据,并使用红外发送器来将数据转换为红外信号。耦合到总线502的红外检测器可以接收在红外信号中承载的数据,并将数据放到总线502上。总线502将数据运送到主存储器506,处理器504从主存储器506取得指令并执行指令。主存储器506接收的指令可以可选地在处理器504的执行之前或之后存储在存储设备510上。
通信接口518还提供到网络链路520的双向数据通信耦合,网络链路520连接到本地网络522。例如,通信接口518可以是集成业务数字网络(ISDN)卡或调制解调器,以提供到相应类型电话线的数据通信连接。又例如,通信接口518可以是局域网(LAN)卡以提供到兼容LAN的数据通信连接。还可以实现无线链路。在任何这种实现方式中,通信接口518发送并接收电的、电磁的或光信号,这些信号承载了代表各类信息的数字数据流。
网络链路520一般通过一个或多个网络提供到其他数据设备的数据通信。例如,网络链路520可以通过本地网络522提供到主机计算机524或由因特网服务提供商(ISP)526操作的数据设备的连接。ISP526又通过全球分组数据通信网络(现在通常称为“因特网”)528提供数据通信服务。本地网络522和因特网528都使用承载数字数据流的电的、电磁的或光信号。经过各种网络的信号以及网络链路520上的并且通信接口518的信号(这些信号承载去往和来自计算机系统500的数字数据)是传输信息的载波的示例性形式。
计算机系统500可以通过(一个或多个)网络、网络链路520和通信接口518发送消息并接收数据,包括程序代码。在因特网示例中,服务器530可能通过因特网528、ISP 526、本地网络522和通信接口518发送应用程序所请求的代码。根据本发明,一个这样下载的程序避免了在服务器上存储客户端状态,如前所述。
处理器504可以在接收时执行所接收的代码和/或存储在存储设备510或其他非易失性存储装置中以供以后执行。以这种方式,计算机系统50可以获得载波形式的应用代码。
5.0 扩展和替换
在前述说明书中,已经参考本发明的特定实施例描述了本发明。但是,应当清楚,可以对本发明进行各种修改和改变,而不脱离本发明的更宽广的精神和范围。因此,说明书和附图应被当作是说明性的,而非限制性的。
下面是根据一个实施例网络元件可以执行来帮助保护网络免受攻击的某些功能:
网络元件可以确定所接收的消息是否包含证实消息源的身份的用户名或X.509证书。该核实可以在本地发生,或者针对受管理的密钥底层结构提供商或存储装置发生。如果接收到具有被废除的、超时的或不正确路由的证书,或者如果不能确定用户和/或证书所有者身份,则可以调用异常处理。
另外,网络元件可以确定用于数字签名的X.509证书是否不同于嵌入在消息中或在消息中引用的SSL X.509证书凭证。如果存在差别,则网络元件可以执行指定动作。
网络元件可以包含私有密钥,并且网络元件能够针对外部密钥存储装置验证密钥和证书。网络元件可以提供用于密钥的加密传输和在网络元件本地的密钥的经加密非永久存储的机制。网络元件可以经由外部机制实现阻止对这些密钥的访问的访问控制机制。
为了确保消息保持私密性,网络元件可以对诸如XML消息之类的消息加密,并利用传输级方案,例如SSL或传输层安全性(TLS)协议对数据传输加密。网络元件可以终止安全会话并对经加密的消息(例如经加密的XML消息)解密。
网络元件可以将时间戳和消息标识符与有效数字签名一起插入到消息中,以提供消息还未被在中间件处截取和改变的置信级。该签名可以是单向散列,例如MD-5或SHA-1,其数学地描述消息的内容。如果网络元件接收到包含不与原始散列值匹配的散列值的消息,则网络元件可以断定消息可能已受到损害。作为响应,网络元件可以执行一个或多个策略驱动的动作,例如记录消息、登记发送地址、提出警报以及通知源。如果消息未被标记,则消息可以在网络的入口处被散列、标记和记录。这有助于阻止破坏性的消息被引入到接收组织中。这还保卫了消息重放攻击。
如果接收到的消息的签名与在本地利用相同散列处理时的消息签名匹配,则该消息被证明是在源和接收者之间未发生改变。
在消息已被认证、授权并检查数据完整性后,网络元件可以使消息以解密格式可用。在这一阶段,网络元件可以以这样的方式解析消息,该方式使得合法的消息被根据应用策略定义正确地处理并转发。网络元件还可以检测反常字段和状况,并拒绝残缺的消息。一旦在解密后,就可以针对规划或类似的约束验证内容。
根据一个实施例,网络元件可以基于策略规则修复损坏的消息。例如,如果日期或地址为不正确的格式,则可以改变日期以反映接收到文档的日期。
在已经接收并认证了消息后,网络元件可以授权源访问在消息内标识的服务。在网络周边的网络元件可以以粗粒度授权对应用子集的访问,而授权的细粒度控制被提供给距离应用服务器更近的网络元件。
从而,在进程流内的各种点处可能发生判决点、异常处理和分支。这允许对在网络入口处如何处理消息进行管理。对正离开这种网络的消息可以施加相同或类似的处理。
下面是可能利用XML文档对网络进行的某些潜在攻击和使用:
参数篡改:嵌入在XML文档内的是两个远程应用可以交互并通信的信息。这些指示和服务接口被公布在UDDI服务器上的WSDL文档内,以促进启用web服务的组织之间的匿名通信。如果黑客能够例如通过发送超大小的字段值以引起缓冲器泛滥来操作参数选项,并且可能损害服务或启用对信息的未经授权访问,则可以使用这些参数。
递归有效载荷:XML文档使用嵌套概念来描述文档内不同元素之间的关系。某些规划和DTD描述实体,并且其在运行时的扩展可能导致递归资源消耗解析。例如,文档可以包含多个购买订单,这多个购买订单具有嵌入在文档中的具有客户地址、付费地址、订购项目等等的各个嵌套购买订单。然而,某些XML解析器已知在文档包含大量嵌套元素的情况下会出现问题,并且黑客可以利用该问题。
超大小有效载荷:XML文档是冗长的,因此可以发送兆字节和千兆字节范围内的消息。尽管各种技术可以用于限制文件的大小,但是这些并不总是实际的,或者处于接收者的控制下。然而,也可能包含嵌套元素的大文件可以被黑客用来尝试并淹没XML解析器。
强制解析:强制解析攻击被用于使用将遗留应用链接到启用XML的应用的应用适配器。遗留应用可能不具有处理大量消息的底层结构。这些攻击通常试图淹没适配器,或者被用于安装恶意软件。
规划中毒(poisoning):XML规划描述特定消息的内容、结构和语法,并且被XML解析器用来正确地截取消息的内容。由于规划包含关于可被访问的远程方案调用(RPC)的信息,因此应当考虑XML规划定义的安全性。能够访问规划的黑客可以改变规划定义。结果,消息可能被错误地截取,从而导致缓冲器泛滥等等。
WSDL扫描:WSDL描述服务如何可以被外部源访问,并且还描述可以用于访问服务的参数,其一般是RPC。黑客可以使用该信息来链接命令和串以使得可以暴露出非故意后门和应用接口。
路由路径操作:处理XML消息的XML中介可以将路由指示插入到文档中。能够损害这种中介的黑客能够基于关键字或目的地截取文档,并将文档重定向到另一服务器。然后,黑客可以从文件中剥离路由头部,并将消息的拷贝转发到消息的期望目的地;或者,黑客可以简单地丢弃消息。
外部实体攻击:XML文档可以利用Xlink引用外部数据源,这导致XML解析器查询所引用的URI以获得所需信息。外部Xlink的使用可能导致恶意软件被下载。
处理指示拒绝:SQL和XQuery可以用于执行消息字段内的多个命令,这可以允许访问提供对内部信息的访问的进程或命令,或者可以禁用服务。XML文档中的CDATA会话可以包含可能无法察觉并损坏端点的处理指示。
重放攻击:重放攻击仅仅重发已知的好的XML文档,以尝试淹没接收系统或XML解析器。
XML变体:XML消息可以被变换为各种不同合法消息,因为XML消息是在集成应用内处理的。然而,如果黑客能够损害中介,则XML文档可能被变化为一种可能不遵循源的期望行为的格式,该格式可以用于导致不期望的或不适当的应用行为。
以上使用可以利用认证、XML规划和一般内容验证、签名和散列验证、XPath和常规表达匹配、定制规则处理的使用、以及可用在AONS内的其他技术的组合解决。
Claims (38)
1.一种保护网络和应用免受拒绝服务攻击的方法,所述方法包括以下由计算机实现的步骤:
在网络元件处接收总地包含应用层消息的一个或多个数据分组;
在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息;
确定所述应用层消息是否满足一个或多个指定标准;以及
如果所述应用层消息满足所述一个或多个指定标准,则阻止所述一个或多个数据分组被所述应用层消息想要去往的应用所接收。
2.如权利要求1所述的方法,其中在所述网络元件接收所述一个或多个数据分组的步骤包括在所述网络元件处截取所述一个或多个数据分组,并且所述一个或多个数据分组的目的地地址标识容宿在与所述网络元件相分离的设备上的应用。
3.如权利要求1所述的方法,其中所述网络元件是网络路由器或交换机。
4.如权利要求1所述的方法,其中从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息的步骤包括在所述网络元件处组装两个或更多个所述有效载荷部分的内容以确定所述应用层消息。
5.如权利要求1所述的方法,其中所述应用层消息是可扩展标记语言(XML)文档或非XML文档。
6.如权利要求1所述的方法,还包括以下步骤:
如果所述应用层消息不满足所述一个或多个指定标准,则将所述一个或多个数据分组发送到所述应用。
7.如权利要求1所述的方法,还包括以下步骤:
当在所述网络元件处接收到一个或多个数据分组之后,在所述网络元件处接收所述一个或多个指定标准;以及
将所述一个或多个指定标准应用到在所述网络元件处接收到的后续数据分组。
8.如权利要求1所述的方法,其中从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息的步骤包括在所述网络元件处对所述一个或多个有效载荷部分的经加密内容进行解密。
9.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括确定所述应用层消息的至少一部分是否大于指定大小。
10.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括确定所述应用层消息是否未能在句法和语义上遵从应用所期望的指定规划。
11.如权利要求10所述的方法,其中所述指定规划被存储在所述网络元件处,并且所述指定规划是从可信源获得的。
12.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括:
确定与在所述一个或多个数据分组的一个或多个IP头部中指示的因特网协议(IP)地址相关联的一个或多个特定标准;以及
确定所述应用层消息是否满足所述一个或多个特定标准。
13.如权利要求12所述的方法,还包括以下步骤:
当在所述网络元件处接收到一个或多个数据分组之后,在所述网络元件处接收用户指定的内容匹配约束或标准,其中所述指定的内容匹配约束或标准指定所述IP地址和所述一个或多个特定标准;以及
响应于接收到所述指定的内容匹配约束或标准,在所述网络元件处建立所述IP地址和所述一个或多个特定标准之间的关联。
14.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括:
确定所述应用层消息被传输所依据的应用层协议;
从多个防火墙机制中选择被映射到所述应用层协议的特定防火墙机制;以及
将所述特定防火墙机制应用到所述应用层消息。
15.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括:
确定所述应用层消息遵从的消息格式;
从多个防火墙机制中选择被映射到所述消息格式的特定防火墙机制;以及
将所述特定防火墙机制应用到所述应用层消息。
16.如权利要求1所述的方法,其中所述应用层消息在所述一个或多个数据分组的一个或多个有效载荷部分中遵从应用层协议。
17.如权利要求1所述的方法,其中确定所述应用层消息是否满足一个或多个指定标准的步骤包括确定所述应用层消息是否包含一个或多个指定关键字。
18.如权利要求1所述的方法,其中所述应用层消息包括多部分MIME消息,所述方法还包括彼此分开并且独立地处理所述多部分MIME消息的每个部分。
19.如权利要求18所述的方法,还包括:
确定所述多部分MIME消息的第一部分的类型;
确定所述多部分MIME消息的第二部分的类型;
利用与所述第一部分的类型相关联的第一检查机制检查所述第一部分;以及
利用与所述第二部分的类型相关联的第二检查机制检查所述第二部分;
其中所述第一检查机制不同于所述第二检查机制。
20.如权利要求18所述的方法,还包括:
利用第一密钥对所述第一部分解密;以及
利用不同于所述第一密钥的第二密钥对所述第二部分解密。
21.如权利要求18所述的方法,还包括允许所述第一部分被转发出所述网络元件,并且阻止所述第二部分被转发出所述网络元件。
22.如权利要求18所述的方法,其中所述指定标准比在另一网络元件处指定的标准更加严格。
23.如权利要求18所述的方法,还包括:
将防火墙机制配置为阻止满足指定标准的数据分组到达所述网络元件的配置所述防火墙机制的机制。
24.如权利要求1所述的方法,还包括:
如果以超过指定阈值速率的速率接收数据分组,则将一个或多个数据分组重路由到不同网络元件。
25.如权利要求1所述的方法,还包括:
在所述网络元件处对以下消息执行操作,所述消息是请求消息、响应消息、异常处理消息或者不在客户端应用和服务器应用之间发送的消息。
26.如权利要求1所述的方法,其中确定所述应用层消息是否满足所述一个或多个指定标准的步骤包括确定所述应用层消息是否小于指定大小。
27.如权利要求1所述的方法,还包括:
如果所述应用层消息满足所述一个或多个指定标准,则修改所述应用层消息的内容的格式,然后发送所述应用层消息。
28.如权利要求1所述的方法,还包括:
如果所述应用层消息满足所述一个或多个指定标准,则执行一组动作中的一个或多个动作,所述一组动作包括隔离所述应用层消息、丢弃所述应用层消息、修复所述应用层消息、向实体警告关于所述应用层消息以及记录所述应用层消息或其一个或多个部分。
29.如权利要求1所述的方法,还包括:
确定所述应用层消息是否包含嵌入的处理指示;以及
响应于确定所述应用层消息包含嵌入的处理指示,在发送所述应用层消息之前从所述应用层消息中去除所述嵌入的处理指示。
30.如权利要求1所述的方法,还包括:
确定包含在所述应用层消息中的通用资源标识符(URI)是否被包含在允许的URI的列表中;以及
响应于确定所述URI未包含在所述允许的URI的列表中,执行一个或多个指定动作。
31.如权利要求1所述的方法,还包括:
确定所述应用层消息是否已被篡改;以及
响应于确定所述应用层消息已被篡改,执行一个或多个指定动作。
32.一种在网络路由器处阻止拒绝服务攻击的方法,所述方法包括以下由计算机实现的步骤:
在所述网络路由器处截取总地包含可扩展标记语言(XML)文档的两个或更多个数据分组,其中所述两个或更多个数据分组最初被寻址到容宿在与所述网络路由器相分离的设备上的应用;
在所述网络路由器处从所述两个或更多个数据分组的两个或更多个有效载荷部分中构造所述XML文档;
在所述网络路由器处确定所述XML文档是否遵从指定规划;以及
如果所述XML文档不遵从所述指定规划,则丢弃所述两个或更多个数据分组,以使得所述应用不接收所述两个或更多个数据分组。
33.一种承载一个或多个指令序列的计算机可读介质,所述指令序列用于保护网络和应用免受拒绝服务攻击,所述指令当被一个或多个处理器执行时使得所述一个或多个处理器执行以下步骤:
在网络元件处接收总地包含应用层消息的一个或多个数据分组;
在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息;
确定所述应用层消息是否满足一个或多个指定标准;以及
如果所述应用层消息满足所述一个或多个指定标准,则阻止所述一个或多个数据分组被所述应用层消息想要去往的应用所接收。
34.一种承载一个或多个指令序列的计算机可读介质,所述指令序列用于在网络路由器处阻止拒绝服务攻击,所述指令当被一个或多个处理器执行时使得所述一个或多个处理器执行以下步骤:
在所述网络路由器处截取总地包含可扩展标记语言(XML)文档的两个或更多个数据分组,其中所述两个或更多个数据分组最初被寻址到容宿在与所述网络路由器相分离的设备上的应用;
在所述网络路由器处从所述两个或更多个数据分组的两个或更多个有效载荷部分中构造所述XML文档;
在所述网络路由器处确定所述XML文档是否遵从指定规划;以及
如果所述XML文档不遵从所述指定规划,则丢弃所述两个或更多个数据分组,以使得所述应用不接收所述两个或更多个数据分组。
35.一种用于在网络元件处阻止拒绝服务攻击的装置,所述装置包括:
用于在网络元件处接收总地包含应用层消息的一个或多个数据分组的装置;
用于在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息的装置;
用于确定所述应用层消息是否满足一个或多个指定标准的装置;以及
用于在所述应用层消息满足所述一个或多个指定标准的情况下阻止所述一个或多个数据分组被所述应用层消息想要去往的应用所接收的装置。
36.一种用于在网络路由器处阻止拒绝服务攻击的装置,所述装置包括:
用于在所述网络路由器处截取总地包含可扩展标记语言(XML)文档的两个或更多个数据分组的装置,其中所述两个或更多个数据分组最初被寻址到容宿在与所述网络路由器相分离的设备上的应用;
用于在所述网络路由器处从所述两个或更多个数据分组的两个或更多个有效载荷部分中构造所述XML文档的装置;
用于在所述网络路由器处确定所述XML文档是否遵从指定规划的装置;以及
用于在所述XML文档不遵从所述指定规划的情况下丢弃所述两个或更多个数据分组,以使得所述应用不接收所述两个或更多个数据分组的装置。
37.一种用于在网络元件处阻止拒绝服务攻击的装置,包括:
耦合到数据网络的用于接收来自所述数据网络的一个或多个分组流的网络接口;
处理器;
一个或多个存储的指令序列,所述指令序列当被所述处理器执行时使得所述处理器执行以下步骤:
在网络元件处接收总地包含应用层消息的一个或多个数据分组;
在所述网络元件处从所述一个或多个数据分组的一个或多个有效载荷部分中确定所述应用层消息;
确定所述应用层消息是否满足一个或多个指定标准;以及
如果所述应用层消息满足所述一个或多个指定标准,则阻止所述一个或多个数据分组被所述应用层消息想要去往的应用所接收。
38.一种用于在网络路由器处阻止拒绝服务攻击的装置,所述装置包括:
耦合到数据网络的用于接收来自所述数据网络的一个或多个分组流的网络接口;
处理器;
一个或多个存储的指令序列,所述指令序列当被所述处理器执行时使得所述处理器执行以下步骤:
在所述网络路由器处截取总地包含可扩展标记语言(XML)文档的两个或更多个数据分组,其中所述两个或更多个数据分组最初被寻址到容宿在与所述网络路由器相分离的设备上的应用;
在所述网络路由器处从所述两个或更多个数据分组的两个或更多个有效载荷部分中构造所述XML文档;
在所述网络路由器处确定所述XML文档是否遵从指定规划;以及
如果所述XML文档不遵从所述指定规划,则丢弃所述两个或更多个数据分组,以使得所述应用不接收所述两个或更多个数据分组。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/007,152 US7725934B2 (en) | 2004-12-07 | 2004-12-07 | Network and application attack protection based on application layer message inspection |
| US11/007,152 | 2004-12-07 | ||
| PCT/US2005/044173 WO2006063003A2 (en) | 2004-12-07 | 2005-12-05 | Network and application attack protection based on application layer message inspection |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101438255A true CN101438255A (zh) | 2009-05-20 |
| CN101438255B CN101438255B (zh) | 2014-02-12 |
Family
ID=36575914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200580041997.4A Expired - Fee Related CN101438255B (zh) | 2004-12-07 | 2005-12-05 | 基于应用层消息检查的网络和应用攻击保护 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US7725934B2 (zh) |
| EP (1) | EP1839160B1 (zh) |
| CN (1) | CN101438255B (zh) |
| WO (1) | WO2006063003A2 (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103516716A (zh) * | 2012-06-27 | 2014-01-15 | 通用汽车环球科技运作有限责任公司 | 在实时追踪应用的资源受限平台上有效验证消息的方法 |
| CN105988917A (zh) * | 2015-02-26 | 2016-10-05 | 小米科技有限责任公司 | 异常信息获取方法及装置 |
| CN105991623A (zh) * | 2015-03-05 | 2016-10-05 | 北京启明星辰信息安全技术有限公司 | 一种业务互联关系审计方法和系统 |
| CN107204993A (zh) * | 2011-10-05 | 2017-09-26 | 迈克菲股份有限公司 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
| CN108810948A (zh) * | 2018-05-29 | 2018-11-13 | 浙江每日互动网络科技股份有限公司 | 一种鉴别真实流量的方法 |
| US10567422B2 (en) | 2014-11-26 | 2020-02-18 | Huawei Technologies Co., Ltd. | Method, apparatus and system for processing attack behavior of cloud application in cloud computing system |
| CN110868389A (zh) * | 2018-08-27 | 2020-03-06 | 波音公司 | 用于上下文感知网络消息过滤的系统和方法 |
| CN111919421A (zh) * | 2018-04-09 | 2020-11-10 | 黑莓有限公司 | 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统 |
| CN113783691A (zh) * | 2017-03-22 | 2021-12-10 | 微软技术许可有限责任公司 | 安全通信中的硬件加速的有效载荷过滤 |
Families Citing this family (115)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050132060A1 (en) * | 2003-12-15 | 2005-06-16 | Richard Mo | Systems and methods for preventing spam and denial of service attacks in messaging, packet multimedia, and other networks |
| US7346773B2 (en) * | 2004-01-12 | 2008-03-18 | Cisco Technology, Inc. | Enabling stateless server-based pre-shared secrets |
| US7422152B2 (en) | 2004-05-13 | 2008-09-09 | Cisco Technology, Inc. | Methods and devices for providing scalable RFID networks |
| KR101224708B1 (ko) * | 2004-10-19 | 2013-01-21 | 삼성전자주식회사 | (올리고티오펜-아릴렌) 유도체 및 이를 이용한유기박막트랜지스터 |
| US8458467B2 (en) | 2005-06-21 | 2013-06-04 | Cisco Technology, Inc. | Method and apparatus for adaptive application message payload content transformation in a network infrastructure element |
| US7509431B2 (en) * | 2004-11-17 | 2009-03-24 | Cisco Technology, Inc. | Performing message and transformation adapter functions in a network element on behalf of an application |
| US7664879B2 (en) | 2004-11-23 | 2010-02-16 | Cisco Technology, Inc. | Caching content and state data at a network element |
| US7987272B2 (en) | 2004-12-06 | 2011-07-26 | Cisco Technology, Inc. | Performing message payload processing functions in a network element on behalf of an application |
| US7496750B2 (en) * | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
| US7606267B2 (en) * | 2004-12-10 | 2009-10-20 | Cisco Technology, Inc. | Reducing the sizes of application layer messages in a network element |
| US8082304B2 (en) * | 2004-12-10 | 2011-12-20 | Cisco Technology, Inc. | Guaranteed delivery of application layer messages by a network element |
| US7551567B2 (en) * | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
| US8281401B2 (en) * | 2005-01-25 | 2012-10-02 | Whitehat Security, Inc. | System for detecting vulnerabilities in web applications using client-side application interfaces |
| US7698416B2 (en) | 2005-01-25 | 2010-04-13 | Cisco Technology, Inc. | Application layer message-based server failover management by a network element |
| US7996894B1 (en) * | 2005-02-15 | 2011-08-09 | Sonicwall, Inc. | MAC address modification of otherwise locally bridged client devices to provide security |
| US8028160B1 (en) * | 2005-05-27 | 2011-09-27 | Marvell International Ltd. | Data link layer switch with protection against internet protocol spoofing attacks |
| US8266327B2 (en) * | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
| US7657609B2 (en) * | 2005-07-05 | 2010-02-02 | Sap Ag | Data transfer in a multi-environment document management system access |
| US7345585B2 (en) | 2005-08-01 | 2008-03-18 | Cisco Technology, Inc. | Network based device for providing RFID middleware functionality |
| GB0519466D0 (en) * | 2005-09-23 | 2005-11-02 | Scansafe Ltd | Network communications |
| WO2007036786A2 (en) * | 2005-09-29 | 2007-04-05 | Nortel Networks Limited, | Application layer metrics monitoring |
| US7464150B2 (en) * | 2005-10-20 | 2008-12-09 | Fujitsu Limited | Smart and integrated FCAPS domain management solution for telecommunications management networks |
| US7930746B1 (en) * | 2005-12-29 | 2011-04-19 | At&T Intellectual Property Ii, L.P. | Method and apparatus for detecting anomalous network activities |
| US7408458B1 (en) | 2005-12-29 | 2008-08-05 | At&T Corp. | Method and apparatus for suppressing duplicate alarms |
| US8214876B2 (en) * | 2006-04-19 | 2012-07-03 | Telcordia Technologies, Inc. | System and method for statistical analysis of border gateway protocol (BGP) configurations |
| US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
| US8117654B2 (en) * | 2006-06-30 | 2012-02-14 | The Invention Science Fund I, Llc | Implementation of malware countermeasures in a network device |
| US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
| US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
| US8613095B2 (en) * | 2006-06-30 | 2013-12-17 | The Invention Science Fund I, Llc | Smart distribution of a malware countermeasure |
| US8590002B1 (en) * | 2006-11-29 | 2013-11-19 | Mcafee Inc. | System, method and computer program product for maintaining a confidentiality of data on a network |
| US7945813B1 (en) | 2006-12-16 | 2011-05-17 | United Services Automobile Association (Usaa) | Automated delayed message redelivery |
| US20080155696A1 (en) * | 2006-12-22 | 2008-06-26 | Sybase 365, Inc. | System and Method for Enhanced Malware Detection |
| US20080196104A1 (en) * | 2007-02-09 | 2008-08-14 | George Tuvell | Off-line mms malware scanning system and method |
| US8621008B2 (en) | 2007-04-26 | 2013-12-31 | Mcafee, Inc. | System, method and computer program product for performing an action based on an aspect of an electronic mail message thread |
| US8875272B2 (en) * | 2007-05-15 | 2014-10-28 | International Business Machines Corporation | Firewall for controlling connections between a client machine and a network |
| US20080301320A1 (en) * | 2007-05-31 | 2008-12-04 | Morris Robert P | Method And System For Managing Communication Protocol Data Based On MIME Types |
| EP2009864A1 (en) * | 2007-06-28 | 2008-12-31 | Nibelung Security Systems GmbH | Method and apparatus for attack prevention |
| US8291495B1 (en) * | 2007-08-08 | 2012-10-16 | Juniper Networks, Inc. | Identifying applications for intrusion detection systems |
| KR101146204B1 (ko) | 2007-08-16 | 2012-05-24 | 시에라 와이어리스 인코포레이티드 | 패킷 데이터 네트워크에 응급 서비스 신뢰를 제공하기 위한 시스템 및 방법 |
| US8199965B1 (en) | 2007-08-17 | 2012-06-12 | Mcafee, Inc. | System, method, and computer program product for preventing image-related data loss |
| US20130276061A1 (en) | 2007-09-05 | 2013-10-17 | Gopi Krishna Chebiyyam | System, method, and computer program product for preventing access to data with respect to a data access attempt associated with a remote data sharing session |
| US8446607B2 (en) * | 2007-10-01 | 2013-05-21 | Mcafee, Inc. | Method and system for policy based monitoring and blocking of printing activities on local and network printers |
| US8112800B1 (en) | 2007-11-08 | 2012-02-07 | Juniper Networks, Inc. | Multi-layered application classification and decoding |
| PE20091102A1 (es) | 2007-12-17 | 2009-07-25 | Janssen Pharmaceutica Nv | Moduladores imidazolo-, oxazolo-, y tiazolopirimidina del trpv1 |
| US8122482B2 (en) * | 2008-01-24 | 2012-02-21 | Cisco Technology, Inc. | Cryptographic peer discovery, authentication, and authorization for on-path signaling |
| US7817636B2 (en) * | 2008-01-30 | 2010-10-19 | Cisco Technology, Inc. | Obtaining information on forwarding decisions for a packet flow |
| US8893285B2 (en) | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
| US8339959B1 (en) | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
| US8341740B2 (en) * | 2008-05-21 | 2012-12-25 | Alcatel Lucent | Method and system for identifying enterprise network hosts infected with slow and/or distributed scanning malware |
| US9077684B1 (en) | 2008-08-06 | 2015-07-07 | Mcafee, Inc. | System, method, and computer program product for determining whether an electronic mail message is compliant with an etiquette policy |
| US8099498B2 (en) * | 2008-09-03 | 2012-01-17 | Microsoft Corporation | Probabilistic mesh routing |
| US8473455B2 (en) | 2008-09-03 | 2013-06-25 | Microsoft Corporation | Query-oriented message characterization |
| US8271659B2 (en) * | 2008-09-04 | 2012-09-18 | Oracle International Corporation | Methods and systems for automatic removal and replacement of connections in a pool rendered stale by a firewall |
| US8955107B2 (en) * | 2008-09-12 | 2015-02-10 | Juniper Networks, Inc. | Hierarchical application of security services within a computer network |
| US8572717B2 (en) | 2008-10-09 | 2013-10-29 | Juniper Networks, Inc. | Dynamic access control policy with port restrictions for a network security appliance |
| US8040808B1 (en) | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
| US9398043B1 (en) | 2009-03-24 | 2016-07-19 | Juniper Networks, Inc. | Applying fine-grain policy action to encapsulated network attacks |
| US8468220B2 (en) | 2009-04-21 | 2013-06-18 | Techguard Security Llc | Methods of structuring data, pre-compiled exception list engines, and network appliances |
| US9894093B2 (en) | 2009-04-21 | 2018-02-13 | Bandura, Llc | Structuring data and pre-compiled exception list engines and internet protocol threat prevention |
| DE102009039098A1 (de) * | 2009-08-27 | 2011-03-03 | Siemens Aktiengesellschaft | Verfahren zum Betreiben eines Kommunikationsnetzwerks |
| US8370443B2 (en) | 2009-09-08 | 2013-02-05 | Microsoft Corporation | Reliable messaging using publish subscribe mechanism |
| JP5630070B2 (ja) | 2010-05-14 | 2014-11-26 | 富士通株式会社 | 中継装置、プログラム及び方法 |
| US8875220B2 (en) * | 2010-07-01 | 2014-10-28 | Raytheom Company | Proxy-based network access protection |
| KR101005927B1 (ko) * | 2010-07-05 | 2011-01-07 | 펜타시큐리티시스템 주식회사 | 웹 어플리케이션 공격 탐지 방법 |
| US8509071B1 (en) | 2010-10-06 | 2013-08-13 | Juniper Networks, Inc. | Multi-dimensional traffic management |
| WO2012097015A2 (en) | 2011-01-11 | 2012-07-19 | A10 Networks Inc. | Virtual application delivery chassis system |
| US9154577B2 (en) | 2011-06-06 | 2015-10-06 | A10 Networks, Inc. | Sychronization of configuration file of virtual application distribution chassis |
| US9832649B1 (en) * | 2011-10-12 | 2017-11-28 | Technology Business Management, Limted | Secure ID authentication |
| US9450973B2 (en) | 2011-11-21 | 2016-09-20 | At&T Intellectual Property I, L.P. | Method and apparatus for machine to machine network security monitoring in a communications network |
| US9251535B1 (en) | 2012-01-05 | 2016-02-02 | Juniper Networks, Inc. | Offload of data transfer statistics from a mobile access gateway |
| US8832831B2 (en) | 2012-03-21 | 2014-09-09 | Radware, Ltd. | Method and system for detecting and mitigating attacks performed using cryptographic protocols |
| US8948795B2 (en) | 2012-05-08 | 2015-02-03 | Sybase 365, Inc. | System and method for dynamic spam detection |
| US9503463B2 (en) * | 2012-05-14 | 2016-11-22 | Zimperium, Inc. | Detection of threats to networks, based on geographic location |
| CN103685213A (zh) * | 2012-09-26 | 2014-03-26 | 西门子公司 | 一种减少针对dns的攻击的装置、系统和方法 |
| AU2013332237A1 (en) * | 2012-10-18 | 2015-05-14 | Iix Corp. | Method and apparatus for a distributed internet architecture |
| US8925084B2 (en) | 2012-10-26 | 2014-12-30 | Cisco Technology, Inc. | Denial-of-service attack protection |
| US9231970B2 (en) * | 2013-03-08 | 2016-01-05 | International Business Machines Corporation | Security-aware admission control of requests in a distributed system |
| US9027136B2 (en) * | 2013-04-22 | 2015-05-05 | Imperva, Inc. | Automatic generation of attribute values for rules of a web application layer attack detector |
| US9237125B1 (en) * | 2013-05-05 | 2016-01-12 | Applied Knight, LLC | System and associated methods for secure communications |
| WO2014205134A1 (en) | 2013-06-18 | 2014-12-24 | Level 3 Communications, Llc | Data center redundancy in a network |
| US9191403B2 (en) | 2014-01-07 | 2015-11-17 | Fair Isaac Corporation | Cyber security adaptive analytics threat monitoring system and method |
| US9961130B2 (en) | 2014-04-24 | 2018-05-01 | A10 Networks, Inc. | Distributed high availability processing methods for service sessions |
| US10742559B2 (en) | 2014-04-24 | 2020-08-11 | A10 Networks, Inc. | Eliminating data traffic redirection in scalable clusters |
| CN103973688B (zh) * | 2014-05-09 | 2017-03-15 | 中国电子科技集团公司第三十研究所 | 网络流量的过滤方法及过滤装置 |
| WO2015199755A1 (en) * | 2014-06-27 | 2015-12-30 | Bricata Llc | Accelerated threat mitigation system |
| US10097582B2 (en) * | 2014-11-25 | 2018-10-09 | International Business Machines Corporation | Secure data redaction and masking in intercepted data interactions |
| US9823843B2 (en) | 2015-07-23 | 2017-11-21 | Qualcomm Incorporated | Memory hierarchy monitoring systems and methods |
| US10075416B2 (en) | 2015-12-30 | 2018-09-11 | Juniper Networks, Inc. | Network session data sharing |
| CN105491060B (zh) * | 2015-12-30 | 2019-07-02 | 北京神州绿盟信息安全科技股份有限公司 | 防御分布式拒绝服务攻击的方法、装置、客户端及设备 |
| US10318288B2 (en) | 2016-01-13 | 2019-06-11 | A10 Networks, Inc. | System and method to process a chain of network applications |
| US20170279820A1 (en) * | 2016-03-24 | 2017-09-28 | Charles Dale Herring | System and method for detecting computer attacks |
| US10063666B2 (en) | 2016-06-14 | 2018-08-28 | Futurewei Technologies, Inc. | Modular telecommunication edge cloud system |
| US10505971B1 (en) * | 2016-11-07 | 2019-12-10 | Xilinx, Inc. | Protecting local network devices against attacks from remote network devices |
| EP3319288A1 (en) * | 2016-11-07 | 2018-05-09 | Secucloud GmbH | Protocol detection by parsing layer-4 packets in a network security system |
| CN106998323B (zh) * | 2017-03-06 | 2020-08-14 | 深信服科技股份有限公司 | 应用层网络攻击仿真方法、装置及系统 |
| US10361973B2 (en) | 2017-06-15 | 2019-07-23 | Cisco Technology, Inc. | Multi-destination packet redaction |
| US11153289B2 (en) * | 2017-07-28 | 2021-10-19 | Alibaba Group Holding Limited | Secure communication acceleration using a System-on-Chip (SoC) architecture |
| US10389685B2 (en) | 2017-08-17 | 2019-08-20 | Saudi Arabian Oil Company | Systems and methods for securely transferring selective datasets between terminals |
| US10931790B2 (en) | 2017-08-17 | 2021-02-23 | Saudi Arabian Oil Company | Systems and methods for securely transferring selective datasets between terminals with multi-applications support |
| US10516601B2 (en) * | 2018-01-19 | 2019-12-24 | Citrix Systems, Inc. | Method for prioritization of internet traffic by finding appropriate internet exit points |
| CN108401493B (zh) * | 2018-02-06 | 2021-04-16 | 福建联迪商用设备有限公司 | 一种传输密钥的方法、接收终端及分发终端 |
| US10846420B2 (en) | 2018-06-29 | 2020-11-24 | Forcepoint Llc | Domain controller agent subscription to kerberos events for reliable transparent identification |
| DE102018218034A1 (de) * | 2018-09-27 | 2020-04-02 | Siemens Aktiengesellschaft | Verfahren zur Überwachung der Auslastung einer Computer-implementierten Anwendung |
| US11741196B2 (en) | 2018-11-15 | 2023-08-29 | The Research Foundation For The State University Of New York | Detecting and preventing exploits of software vulnerability using instruction tags |
| US10771435B2 (en) * | 2018-11-20 | 2020-09-08 | Netskope, Inc. | Zero trust and zero knowledge application access system |
| DE102019200565A1 (de) * | 2019-01-17 | 2020-07-23 | Robert Bosch Gmbh | Vorrichtung und Verfahren zur Klassifizierung von Daten insbesondere für ein Controller Area Netzwerk oder ein automotive Ethernet Netzwerk. |
| JP7281714B2 (ja) * | 2019-08-23 | 2023-05-26 | パナソニックIpマネジメント株式会社 | 情報処理装置、情報処理システム及びプログラム |
| US11303575B2 (en) | 2020-03-25 | 2022-04-12 | Juniper Networks, Inc. | Network traffic control based on application feature |
| US11966469B2 (en) * | 2020-10-29 | 2024-04-23 | Proofpoint, Inc. | Detecting and protecting against cybersecurity attacks using unprintable tracking characters |
| EP4250643A3 (en) * | 2020-10-30 | 2023-11-22 | Knowbe4, Inc. | Systems and methods for determination of level of security to apply to a group before display of user data |
| US20220303299A1 (en) * | 2021-03-17 | 2022-09-22 | II Paul B. Barringer | System for Determining Network Security of Connected Devices |
| US11201887B1 (en) * | 2021-03-23 | 2021-12-14 | Lookingglass Cyber Solutions, Inc. | Systems and methods for low latency stateful threat detection and mitigation |
| US20230078632A1 (en) * | 2021-09-10 | 2023-03-16 | Rockwell Automation Technologies, Inc. | Security and safety of an industrial operation using opportunistic sensing |
| US11910236B2 (en) | 2021-10-13 | 2024-02-20 | T-Mobile Usa, Inc. | Adaptive payload sizes for streaming data delivery based on usage patterns |
Family Cites Families (165)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US2006A (en) * | 1841-03-16 | Clamp for crimping leather | ||
| US2003A (en) * | 1841-03-12 | Improvement in horizontal windivhlls | ||
| KR100198065B1 (ko) | 1995-06-28 | 1999-06-15 | 김영환 | 하드웨어 패킷 라우터의 목적지 어드레스 검출장치 |
| JP3434994B2 (ja) | 1996-12-12 | 2003-08-11 | 富士通株式会社 | セル組立多重化装置 |
| US6430286B1 (en) | 1997-04-22 | 2002-08-06 | At&T Corp | Service and information management system for a telecommunications network |
| US6115378A (en) | 1997-06-30 | 2000-09-05 | Sun Microsystems, Inc. | Multi-layer distributed network element |
| US7162738B2 (en) | 1998-11-03 | 2007-01-09 | Tumbleweed Communications Corp. | E-mail firewall with stored key encryption/decryption |
| US6341130B1 (en) | 1998-02-09 | 2002-01-22 | Lucent Technologies, Inc. | Packet classification method and apparatus employing two fields |
| US6145079A (en) | 1998-03-06 | 2000-11-07 | Deloitte & Touche Usa Llp | Secure electronic transactions using a trusted intermediary to perform electronic services |
| US6337856B1 (en) | 1998-05-20 | 2002-01-08 | Steelcase Development Corporation | Multimedia data communications system |
| US6363477B1 (en) | 1998-08-28 | 2002-03-26 | 3Com Corporation | Method for analyzing network application flows in an encrypted environment |
| US6321264B1 (en) | 1998-08-28 | 2001-11-20 | 3Com Corporation | Network-performance statistics using end-node computer systems |
| US6226675B1 (en) | 1998-10-16 | 2001-05-01 | Commerce One, Inc. | Participant server which process documents for commerce in trading partner networks |
| US6125391A (en) | 1998-10-16 | 2000-09-26 | Commerce One, Inc. | Market makers using documents for commerce in trading partner networks |
| US6826694B1 (en) * | 1998-10-22 | 2004-11-30 | At&T Corp. | High resolution access control |
| SG141212A1 (en) | 1998-11-24 | 2008-04-28 | Niksun Inc | Apparatus and method for collecting and analyzing communications data |
| US6587431B1 (en) | 1998-12-18 | 2003-07-01 | Nortel Networks Limited | Supertrunking for packet switching |
| US7215641B1 (en) | 1999-01-27 | 2007-05-08 | Cisco Technology, Inc. | Per-flow dynamic buffer management |
| US6356951B1 (en) | 1999-03-01 | 2002-03-12 | Sun Microsystems, Inc. | System for parsing a packet for conformity with a predetermined protocol using mask and comparison values included in a parsing instruction |
| US6678827B1 (en) | 1999-05-06 | 2004-01-13 | Watchguard Technologies, Inc. | Managing multiple network security devices from a manager device |
| US6683881B1 (en) | 1999-05-28 | 2004-01-27 | Ericsson Inc. | Interface between an SS7 gateway and an IP network |
| US6771646B1 (en) | 1999-06-30 | 2004-08-03 | Hi/Fn, Inc. | Associative cache structure for lookups and updates of flow records in a network monitor |
| US6868426B1 (en) | 1999-07-07 | 2005-03-15 | Jeffrey W. Mankoff | Virtual document organizer system and method |
| KR100532274B1 (ko) | 1999-09-08 | 2005-11-29 | 삼성전자주식회사 | 디지털 휴대용 단말기의 장문 메시지 송수신장치 및 그 방법 |
| JP3619411B2 (ja) | 1999-12-03 | 2005-02-09 | 富士通株式会社 | パケット中継装置 |
| US6510464B1 (en) | 1999-12-14 | 2003-01-21 | Verizon Corporate Services Group Inc. | Secure gateway having routing feature |
| US7149222B2 (en) | 1999-12-21 | 2006-12-12 | Converged Access, Inc. | Integrated access point network device |
| US6772413B2 (en) | 1999-12-21 | 2004-08-03 | Datapower Technology, Inc. | Method and apparatus of data exchange using runtime code generator and translator |
| US6510434B1 (en) | 1999-12-29 | 2003-01-21 | Bellsouth Intellectual Property Corporation | System and method for retrieving information from a database using an index of XML tags and metafiles |
| US6701440B1 (en) * | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
| WO2001053962A1 (en) | 2000-01-21 | 2001-07-26 | Sorceron, Inc. | System and method for delivering rich media content over a network |
| JP3730471B2 (ja) | 2000-02-14 | 2006-01-05 | 富士通株式会社 | パケット転送装置 |
| US7058973B1 (en) | 2000-03-03 | 2006-06-06 | Symantec Corporation | Network address translation gateway for local area networks using local IP addresses and non-translatable port addresses |
| US6772223B1 (en) | 2000-04-10 | 2004-08-03 | International Business Machines Corporation | Configurable classification interface for networking devices supporting multiple action packet handling rules |
| US7111076B2 (en) | 2000-04-13 | 2006-09-19 | Intel Corporation | System using transform template and XML document type definition for transforming message and its reply |
| US7215637B1 (en) | 2000-04-17 | 2007-05-08 | Juniper Networks, Inc. | Systems and methods for processing packets |
| US6611526B1 (en) | 2000-05-08 | 2003-08-26 | Adc Broadband Access Systems, Inc. | System having a meshed backplane and process for transferring data therethrough |
| US20050143981A1 (en) * | 2000-06-06 | 2005-06-30 | Yukio Koyanagi | Compressing method and apparatus, expanding method and apparatus, compression and expansion system, recorded medium, program |
| US7111163B1 (en) | 2000-07-10 | 2006-09-19 | Alterwan, Inc. | Wide area network using internet with quality of service |
| US6862270B1 (en) | 2000-07-14 | 2005-03-01 | At&T Corp. | Architectural reference model for QoS-driven wireless LANs |
| US6804222B1 (en) | 2000-07-14 | 2004-10-12 | At&T Corp. | In-band Qos signaling reference model for QoS-driven wireless LANs |
| US6718326B2 (en) | 2000-08-17 | 2004-04-06 | Nippon Telegraph And Telephone Corporation | Packet classification search device and method |
| US6785732B1 (en) * | 2000-09-11 | 2004-08-31 | International Business Machines Corporation | Web server apparatus and method for virus checking |
| US20020114274A1 (en) | 2000-09-19 | 2002-08-22 | Sturges James H. | Packet based network for supporting real time applications |
| AU2002214230A1 (en) * | 2000-10-31 | 2002-05-15 | Firebit Ltd. | A router-based system for providing multi-level data filtering and security services in a broadband environment |
| WO2002037754A2 (en) | 2000-11-03 | 2002-05-10 | At & T Corp. | Tiered contention multiple access (tcma): a method for priority-based shared channel access |
| US7046680B1 (en) | 2000-11-28 | 2006-05-16 | Mci, Inc. | Network access system including a programmable access device having distributed service control |
| US7296268B2 (en) | 2000-12-18 | 2007-11-13 | Microsoft Corporation | Dynamic monitor and controller of availability of a load-balancing cluster |
| US6819678B2 (en) | 2000-12-21 | 2004-11-16 | Nortel Networks Limited | Interworking of dissimilar packet networks for telephony communications |
| JP3583072B2 (ja) | 2000-12-28 | 2004-10-27 | 星野楽器株式会社 | スネアドラムのスネアストレーナ |
| US20020069279A1 (en) | 2000-12-29 | 2002-06-06 | Romero Francisco J. | Apparatus and method for routing a transaction based on a requested level of service |
| US20020126672A1 (en) | 2001-01-10 | 2002-09-12 | Nelson Chow | Method and apparatus for a flexible and reconfigurable packet classifier using content addressable memory |
| US6996842B2 (en) | 2001-01-30 | 2006-02-07 | Intel Corporation | Processing internet protocol security traffic |
| US6996234B2 (en) * | 2001-02-02 | 2006-02-07 | Asier Technology Corporation | Data decryption methodology |
| US7313822B2 (en) * | 2001-03-16 | 2007-12-25 | Protegrity Corporation | Application-layer security method and system |
| US7882555B2 (en) | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
| US7213071B2 (en) | 2001-04-03 | 2007-05-01 | International Business Machines Corporation | Quality of service improvements for network transactions |
| ES2549069T3 (es) * | 2001-04-13 | 2015-10-22 | Nokia Technologies Oy | Sistema y método para proporcionar protección contra programas maliciosos para redes |
| US20020161907A1 (en) | 2001-04-25 | 2002-10-31 | Avery Moon | Adaptive multi-protocol communications system |
| US7134075B2 (en) | 2001-04-26 | 2006-11-07 | International Business Machines Corporation | Conversion of documents between XML and processor efficient MXML in content based routing networks |
| US20020161887A1 (en) | 2001-04-27 | 2002-10-31 | Foster Michael S. | Method and system for performing security via de-registration in a communications network |
| AUPR459901A0 (en) | 2001-04-27 | 2001-05-24 | Sharinga Networks Inc. | Instant messaging |
| US20020165957A1 (en) | 2001-05-02 | 2002-11-07 | Devoe Jiva Gandhara | Intelligent dynamic route selection based on active probing of network operational characteristics |
| US7089586B2 (en) * | 2001-05-02 | 2006-08-08 | Ipr Licensing, Inc. | Firewall protection for wireless users |
| US6934702B2 (en) | 2001-05-04 | 2005-08-23 | Sun Microsystems, Inc. | Method and system of routing messages in a distributed search network |
| US6816455B2 (en) | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US7031314B2 (en) | 2001-05-16 | 2006-04-18 | Bytemobile, Inc. | Systems and methods for providing differentiated services within a network communication system |
| US7415512B1 (en) | 2001-05-24 | 2008-08-19 | Cisco Technology, Inc. | Method and apparatus for providing a general purpose computing platform at a router on a network |
| US6813690B1 (en) | 2001-06-12 | 2004-11-02 | Network Appliance, Inc. | Caching media data using content-sensitive identifiers |
| US6944678B2 (en) | 2001-06-18 | 2005-09-13 | Transtech Networks Usa, Inc. | Content-aware application switch and methods thereof |
| US7020143B2 (en) | 2001-06-18 | 2006-03-28 | Ericsson Inc. | System for and method of differentiated queuing in a routing system |
| US20030028599A1 (en) | 2001-06-19 | 2003-02-06 | Kolsky Amir D. | Method and system for a communication scheme over heterogeneous networks |
| US6745041B2 (en) | 2001-06-27 | 2004-06-01 | Tekelec | Methods and systems for communicating between subscribers of different application-layer mobile communications protocols |
| US7117267B2 (en) | 2001-06-28 | 2006-10-03 | Sun Microsystems, Inc. | System and method for providing tunnel connections between entities in a messaging system |
| JP4274710B2 (ja) | 2001-06-28 | 2009-06-10 | 株式会社日立製作所 | 通信中継装置 |
| US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
| US7363353B2 (en) | 2001-07-06 | 2008-04-22 | Juniper Networks, Inc. | Content service aggregation device for a data center |
| EP1418709B1 (en) | 2001-08-09 | 2012-02-08 | Panasonic Corporation | Apparatus and transmission method |
| US7245632B2 (en) | 2001-08-10 | 2007-07-17 | Sun Microsystems, Inc. | External storage for modular computer systems |
| AU2002323364A1 (en) | 2001-08-24 | 2003-03-10 | Peribit Networks, Inc. | Dynamic multi-point meshed overlay network |
| US7126907B2 (en) | 2001-08-31 | 2006-10-24 | Tropic Networks Inc. | Label switched communication network, a method of conditioning the network and a method of data transmission |
| US6535924B1 (en) | 2001-09-05 | 2003-03-18 | Pluris, Inc. | Method and apparatus for performing a software upgrade of a router while the router is online |
| GB0123057D0 (en) | 2001-09-25 | 2001-11-14 | Red M Communications Ltd | Virtual wireless network services |
| US7536712B2 (en) | 2001-10-16 | 2009-05-19 | Microsoft Corporation | Flexible electronic message security mechanism |
| JP2003125116A (ja) | 2001-10-19 | 2003-04-25 | Fujitsu Ltd | 通信システム |
| US20030093530A1 (en) | 2001-10-26 | 2003-05-15 | Majid Syed | Arbitrator system and method for national and local content distribution |
| US7127740B2 (en) * | 2001-10-29 | 2006-10-24 | Pitney Bowes Inc. | Monitoring system for a corporate network |
| WO2003039094A2 (en) | 2001-10-29 | 2003-05-08 | Omtool, Ltd | Methods and apparatus for securely communicating a message |
| US7146403B2 (en) | 2001-11-02 | 2006-12-05 | Juniper Networks, Inc. | Dual authentication of a requestor using a mail server and an authentication server |
| US8040873B2 (en) | 2001-11-07 | 2011-10-18 | Alcatel Lucent | Distributed integration of legacy PBX system with SIP networks |
| JP3726741B2 (ja) | 2001-11-16 | 2005-12-14 | 日本電気株式会社 | パケット転送装置、方法およびプログラム |
| US20040136371A1 (en) | 2002-01-04 | 2004-07-15 | Muralidhar Rajeev D. | Distributed implementation of control protocols in routers and switches |
| DE60210408T2 (de) | 2002-01-18 | 2006-10-19 | Stonesoft Corp. | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes |
| US7469300B2 (en) | 2002-01-18 | 2008-12-23 | Mobitv, Inc. | System and method for storage and retrieval of arbitrary content and application data |
| US7120148B1 (en) | 2002-02-12 | 2006-10-10 | Cisco Technology, Inc. | System and method for providing source awareness in a wireless application protocol network environment |
| US7962925B2 (en) | 2002-02-22 | 2011-06-14 | Oracle International Corporation | System and method for XML data binding |
| GB2385755B (en) | 2002-02-26 | 2005-07-06 | Hewlett Packard Co | Apparatus and method for data transfer |
| US7085848B2 (en) | 2002-03-15 | 2006-08-01 | Microsoft Corporation | Time-window-constrained multicast using connection scheduling |
| US7245620B2 (en) | 2002-03-15 | 2007-07-17 | Broadcom Corporation | Method and apparatus for filtering packet data in a network device |
| US7185365B2 (en) | 2002-03-27 | 2007-02-27 | Intel Corporation | Security enabled network access control |
| US7428597B2 (en) | 2002-03-28 | 2008-09-23 | Sap Ag | Content-based routing system and method |
| US7385982B2 (en) | 2002-04-09 | 2008-06-10 | Next Generation Systems, Inc. | Systems and methods for providing quality of service (QoS) in an environment that does not normally support QoS features |
| US7437451B2 (en) | 2002-05-16 | 2008-10-14 | Hewlett-Packard Development Company, L.P. | System and method for collecting desired information for network transactions at the kernel level |
| JP4406604B2 (ja) | 2002-06-11 | 2010-02-03 | アシシュ エイ パンドヤ | Tcp/ip、rdma、及びipストレージアプリケーションのための高性能ipプロセッサ |
| US7239634B1 (en) | 2002-06-17 | 2007-07-03 | Signafor, Inc. | Encryption mechanism in advanced packet switching system |
| JP2004029939A (ja) | 2002-06-21 | 2004-01-29 | Hitachi Ltd | 通信プロキシ装置、および、通信プロキシ装置を用いたサービス提供方法 |
| US9088494B2 (en) | 2002-06-26 | 2015-07-21 | Avaya Communication Israel Ltd. | Packet fragmentation prevention |
| US6968374B2 (en) | 2002-07-03 | 2005-11-22 | Telefonaktiebolaget Lm Ericsson (Publ) | Quality of service (QOS) mechanism in an internet protocol (IP) network |
| US7301951B2 (en) | 2002-07-31 | 2007-11-27 | At&T Knowledge Ventures, L.P. | Resource reservation protocol based guaranteed quality of service internet protocol connections over a switched network |
| US7774473B2 (en) | 2002-07-31 | 2010-08-10 | Oracle America, Inc. | System and method for sticky routing of requests within a server farm |
| US7298750B2 (en) | 2002-07-31 | 2007-11-20 | At&T Knowledge Ventures, L.P. | Enhancement of resource reservation protocol enabling short-cut internet protocol connections over a switched network |
| US7237014B2 (en) | 2002-08-01 | 2007-06-26 | Drummond Group | System and method for in situ, real-time, supply chain, interoperability verification |
| US7280559B2 (en) | 2002-08-16 | 2007-10-09 | Mitsubishi Electric Research Laboratories, Inc. | Distributed application layer protocol converter for communications network |
| US7321556B1 (en) | 2002-10-28 | 2008-01-22 | Ipolicy Networks, Inc | Application prioritization policy engine |
| US6950822B1 (en) | 2002-11-06 | 2005-09-27 | Oracle International Corporation | Techniques for increasing efficiency while servicing requests for database services |
| US7475241B2 (en) | 2002-11-22 | 2009-01-06 | Cisco Technology, Inc. | Methods and apparatus for dynamic session key generation and rekeying in mobile IP |
| US20040221319A1 (en) | 2002-12-06 | 2004-11-04 | Ian Zenoni | Application streamer |
| AU2003280551B2 (en) | 2002-12-12 | 2008-05-01 | Huawei Technologies Co., Ltd. | Method and network for establishing or cancelling service connection between the wireless local area network and user terminal |
| US20040121789A1 (en) | 2002-12-23 | 2004-06-24 | Teddy Lindsey | Method and apparatus for communicating information in a global distributed network |
| US7640427B2 (en) | 2003-01-07 | 2009-12-29 | Pgp Corporation | System and method for secure electronic communication in a partially keyless environment |
| US7895589B2 (en) | 2003-02-26 | 2011-02-22 | International Business Machines Corporation | Dynamic data-driven application integration adapters |
| GB2400265A (en) | 2003-03-31 | 2004-10-06 | Sony Uk Ltd | Routing data |
| US6898632B2 (en) | 2003-03-31 | 2005-05-24 | Finisar Corporation | Network security tap for use with intrusion detection system |
| US7398386B2 (en) | 2003-04-12 | 2008-07-08 | Cavium Networks, Inc. | Transparent IPSec processing inline between a framer and a network component |
| US20050021836A1 (en) | 2003-05-01 | 2005-01-27 | Reed Carl J. | System and method for message processing and routing |
| US7475108B2 (en) | 2003-06-26 | 2009-01-06 | International Business Machines Corporation | Slow-dynamic load balancing method |
| US7613822B2 (en) | 2003-06-30 | 2009-11-03 | Microsoft Corporation | Network load balancing with session information |
| US7567504B2 (en) | 2003-06-30 | 2009-07-28 | Microsoft Corporation | Network load balancing with traffic routing |
| US7590736B2 (en) | 2003-06-30 | 2009-09-15 | Microsoft Corporation | Flexible network load balancing |
| US8027922B2 (en) | 2003-07-14 | 2011-09-27 | Sprint Communications Company L.P. | Integration infrastructure |
| SG145736A1 (en) | 2003-08-12 | 2008-09-29 | Research In Motion Ltd | System and method for processing encoded messages |
| US7769994B2 (en) | 2003-08-13 | 2010-08-03 | Radware Ltd. | Content inspection in secure networks |
| US7191248B2 (en) | 2003-08-29 | 2007-03-13 | Microsoft Corporation | Communication stack for network communication and routing |
| US7362763B2 (en) | 2003-09-04 | 2008-04-22 | Samsung Electronics Co., Ltd. | Apparatus and method for classifying traffic in a distributed architecture router |
| US7142866B2 (en) | 2003-09-09 | 2006-11-28 | Harris Corporation | Load leveling in mobile ad-hoc networks to support end-to-end delay reduction, QoS and energy leveling |
| US20050086342A1 (en) | 2003-09-19 | 2005-04-21 | Andrew Burt | Techniques for client-transparent TCP migration |
| US7483384B2 (en) * | 2003-09-22 | 2009-01-27 | Hewlett-Packard Development Company, L.P. | System and method for monitoring network traffic |
| US7941747B2 (en) | 2003-10-07 | 2011-05-10 | Gtech Rhode Island Corporation | Automated generation of OLTP message source code |
| US8453196B2 (en) | 2003-10-14 | 2013-05-28 | Salesforce.Com, Inc. | Policy management in an interoperability network |
| JP4291664B2 (ja) | 2003-10-14 | 2009-07-08 | 株式会社日立製作所 | 通信バッファ予約機能を備えるストレージ装置およびシステム |
| KR100849345B1 (ko) | 2003-10-30 | 2008-07-29 | 삼성전자주식회사 | 고속 패킷 데이터 시스템에서의 서비스 품질 제공 방법 |
| US7421695B2 (en) | 2003-11-12 | 2008-09-02 | Cisco Tech Inc | System and methodology for adaptive load balancing with behavior modification hints |
| US7194485B2 (en) | 2003-11-21 | 2007-03-20 | International Business Machines Corporation | Mapping XML schema components to qualified java components |
| US20050188103A1 (en) | 2003-12-30 | 2005-08-25 | Nokia Corporation | Method or device for delivering a packet in a scatternet |
| US7610396B2 (en) | 2003-12-31 | 2009-10-27 | United States Cellular Corporation | System and method for measuring and recording latency in internet protocol networks |
| PT1712106E (pt) | 2004-02-03 | 2010-10-11 | Nokia Corp | Método e dispositivo que fornecem uma qualidade de serviço de extremo a extremo |
| US20050198351A1 (en) | 2004-02-20 | 2005-09-08 | Microsoft Corporation | Content-based routing |
| JP4276568B2 (ja) | 2004-03-26 | 2009-06-10 | 株式会社日立コミュニケーションテクノロジー | ルータ及びsipサーバ |
| US20050229243A1 (en) | 2004-03-31 | 2005-10-13 | Svendsen Hugh B | Method and system for providing Web browsing through a firewall in a peer to peer network |
| US9686669B2 (en) | 2004-04-08 | 2017-06-20 | Nokia Technologies Oy | Method of configuring a mobile node |
| US7322523B2 (en) | 2004-05-13 | 2008-01-29 | Cisco Technology, Inc. | Methods and devices for uniquely provisioning RFID devices |
| US8548976B2 (en) | 2004-05-21 | 2013-10-01 | Ca, Inc. | Balancing load requests and failovers using a UDDI proxy |
| US7581248B2 (en) | 2004-06-28 | 2009-08-25 | International Business Machines Corporation | Federated identity brokering |
| US20060163933A1 (en) * | 2004-09-27 | 2006-07-27 | Lear Corporation | Adjustable vehicle armrest |
| US7509431B2 (en) | 2004-11-17 | 2009-03-24 | Cisco Technology, Inc. | Performing message and transformation adapter functions in a network element on behalf of an application |
| US7664879B2 (en) | 2004-11-23 | 2010-02-16 | Cisco Technology, Inc. | Caching content and state data at a network element |
| US7987272B2 (en) | 2004-12-06 | 2011-07-26 | Cisco Technology, Inc. | Performing message payload processing functions in a network element on behalf of an application |
| US7496750B2 (en) | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
| US8082304B2 (en) | 2004-12-10 | 2011-12-20 | Cisco Technology, Inc. | Guaranteed delivery of application layer messages by a network element |
| US7606267B2 (en) | 2004-12-10 | 2009-10-20 | Cisco Technology, Inc. | Reducing the sizes of application layer messages in a network element |
| US7551567B2 (en) | 2005-01-05 | 2009-06-23 | Cisco Technology, Inc. | Interpreting an application message at a network element using sampling and heuristics |
| US20060155862A1 (en) | 2005-01-06 | 2006-07-13 | Hari Kathi | Data traffic load balancing based on application layer messages |
| JP4450737B2 (ja) | 2005-01-11 | 2010-04-14 | 富士通株式会社 | 半導体集積回路 |
| US7698416B2 (en) | 2005-01-25 | 2010-04-13 | Cisco Technology, Inc. | Application layer message-based server failover management by a network element |
| US7590756B2 (en) | 2005-05-13 | 2009-09-15 | Itt Manufacturing Enterprises, Inc. | Method and system for transferring data in a communications network using redundant communication paths |
-
2004
- 2004-12-07 US US11/007,152 patent/US7725934B2/en not_active Expired - Fee Related
-
2005
- 2005-12-05 WO PCT/US2005/044173 patent/WO2006063003A2/en active Application Filing
- 2005-12-05 CN CN200580041997.4A patent/CN101438255B/zh not_active Expired - Fee Related
- 2005-12-05 EP EP05853164.1A patent/EP1839160B1/en not_active Not-in-force
Cited By (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107204993B (zh) * | 2011-10-05 | 2021-03-09 | 迈克菲股份有限公司 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
| CN107204993A (zh) * | 2011-10-05 | 2017-09-26 | 迈克菲股份有限公司 | 用于跟踪和阻挡恶意因特网主机的分布式系统和方法 |
| CN103516716A (zh) * | 2012-06-27 | 2014-01-15 | 通用汽车环球科技运作有限责任公司 | 在实时追踪应用的资源受限平台上有效验证消息的方法 |
| CN103516716B (zh) * | 2012-06-27 | 2017-06-09 | 通用汽车环球科技运作有限责任公司 | 在实时追踪应用的资源受限平台上有效验证消息的方法 |
| US10567422B2 (en) | 2014-11-26 | 2020-02-18 | Huawei Technologies Co., Ltd. | Method, apparatus and system for processing attack behavior of cloud application in cloud computing system |
| CN105988917B (zh) * | 2015-02-26 | 2020-08-04 | 小米科技有限责任公司 | 异常信息获取方法及装置 |
| CN105988917A (zh) * | 2015-02-26 | 2016-10-05 | 小米科技有限责任公司 | 异常信息获取方法及装置 |
| CN105991623B (zh) * | 2015-03-05 | 2019-04-26 | 北京启明星辰信息安全技术有限公司 | 一种业务互联关系审计方法和系统 |
| CN105991623A (zh) * | 2015-03-05 | 2016-10-05 | 北京启明星辰信息安全技术有限公司 | 一种业务互联关系审计方法和系统 |
| CN113783691A (zh) * | 2017-03-22 | 2021-12-10 | 微软技术许可有限责任公司 | 安全通信中的硬件加速的有效载荷过滤 |
| CN111919421A (zh) * | 2018-04-09 | 2020-11-10 | 黑莓有限公司 | 用于使用基于网络的应用层消息处理的降低的v2x接收器处理负载的方法和系统 |
| CN108810948A (zh) * | 2018-05-29 | 2018-11-13 | 浙江每日互动网络科技股份有限公司 | 一种鉴别真实流量的方法 |
| CN108810948B (zh) * | 2018-05-29 | 2021-03-19 | 每日互动股份有限公司 | 一种鉴别真实流量的方法 |
| CN110868389A (zh) * | 2018-08-27 | 2020-03-06 | 波音公司 | 用于上下文感知网络消息过滤的系统和方法 |
| CN110868389B (zh) * | 2018-08-27 | 2023-06-20 | 波音公司 | 用于上下文感知网络消息过滤的系统和方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2006063003A3 (en) | 2009-04-30 |
| WO2006063003A2 (en) | 2006-06-15 |
| US7725934B2 (en) | 2010-05-25 |
| EP1839160A4 (en) | 2010-12-29 |
| US20060123479A1 (en) | 2006-06-08 |
| EP1839160B1 (en) | 2018-03-14 |
| EP1839160A2 (en) | 2007-10-03 |
| CN101438255B (zh) | 2014-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101438255B (zh) | 基于应用层消息检查的网络和应用攻击保护 | |
| CN101069169B (zh) | 在网络元件处缓存内容和状态数据 | |
| CN101088245B (zh) | 在网络元件中对消息有效载荷执行安全性功能 | |
| US10795992B2 (en) | Self-adaptive application programming interface level security monitoring | |
| CN100461150C (zh) | 在网络元件中代表应用执行消息和变换适配器功能 | |
| Burger et al. | Taxonomy model for cyber threat intelligence information exchange technologies | |
| US10412103B2 (en) | Techniques for sharing network security event information | |
| CN101371237B (zh) | 在网络元件中代表应用执行消息有效载荷处理功能 | |
| CN101124565B (zh) | 基于应用层消息的数据流量负载平衡 | |
| CN101099345B (zh) | 利用采样和试探在网络元件处解释应用消息的方法和设备 | |
| EP2283611B1 (en) | Distributed security provisioning | |
| US20150347751A1 (en) | System and method for monitoring data in a client environment | |
| EP2283670B1 (en) | Security message processing within constrained time | |
| CN105391687A (zh) | 一种向中小企业提供信息安全运维服务的系统与方法 | |
| US20070294253A1 (en) | Secure domain information protection apparatus and methods | |
| US20210200595A1 (en) | Autonomous Determination of Characteristic(s) and/or Configuration(s) of a Remote Computing Resource to Inform Operation of an Autonomous System Used to Evaluate Preparedness of an Organization to Attacks or Reconnaissance Effort by Antagonistic Third Parties | |
| KR101775517B1 (ko) | 빅데이터 보안 점검 클라이언트, 빅데이터 보안 점검 장치 및 방법 | |
| Mannhart | Mitigation as a Service in a Cooperative Network Defense | |
| CN112437070A (zh) | 一种基于操作生成树状态机完整性验证计算方法及系统 | |
| Helmer | Intelligent multi-agent system for intrusion detection and countermeasures | |
| Agbariah | Automated policy compliance and change detection managed service in data networks | |
| Rudra et al. | Investigation of security issues for service‐oriented network architecture | |
| Kulin | A distributed security management system based on mobile agents | |
| Pilgermann | Inter-Organisational Intrusion Detection System Communication to implement Network Defence | |
| Tanenbaum | A Security Design for a Wide-Area Distributed System |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20140212 Termination date: 20211205 |