| 发明名称 | 数据中心环境中的入侵检测 | ||
| 摘要 | 本发明提供了一种入侵检测系统(1)(IDS),其能够识别流量源,过滤流量(28)以将其分类为安全的或可疑的,然后基于流量类型来单独地或组合地应用复杂的检测技术,例如状态模式识别、协议解析、启发式检测和异常性检测。在网络环境中,每个流量源(12)具有至少一个IDS传感器(22-24),该IDS传感器专用于监视特定类型的流量,例如RPC、HTTP、SMTP、DNS等等。来自每个流量源(12)的流量被过滤以去除已知的安全流量,从而通过使每个IDS传感器(22-24)集中针对一种特定流量类型来提高效率和增大精确性。 | ||
| 申请公布号 | CN101116068B | 申请公布日期 | 2011.05.18 |
| 申请号 | CN200580031064.7 | 申请日期 | 2005.10.11 |
| 申请人 | 思科技术公司 | 发明人 | 毛里西奥·波尔托拉尼;毛里西奥·阿雷格赛斯;蒂莫西·W·史蒂文森 |
| 分类号 | G06F15/173(2006.01)I | 主分类号 | G06F15/173(2006.01)I |
| 代理机构 | 北京东方亿思知识产权代理有限责任公司 11258 | 代理人 | 王怡 |
| 主权项 | 一种在具有多个流量源的网络环境中用于监视所述多个流量源中的至少一部分上的流量的系统,包括:多个入侵检测系统;以及交换机,被配置为:拷贝来自所述多个流量源中的每个流量源的流量;以及将所拷贝的流量重定向到一个虚拟局域网VLAN以用于入侵检测监视目的;所述VLAN包括所述交换机或第二交换机,其中任一个交换机被配置为:确定与所述流量相关联的多种流量类型,所述多种流量类型与多种协议类型相关联;利用重定向判决来过滤并重定向所述流量,其中可操作来过滤的逻辑阻止所述流量的第一部分被发送到入侵检测系统,其中可操作来重定向的逻辑被配置为:针对与被配置为监视第一流量源的流量的所述多个入侵检测系统中的第一组相关联的流量的第二部分确定所述第一流量源,并且针对与被配置为监视第二流量源的流量的所述多个入侵检测系统中的第二组相关联的流量的第三部分确定所述第二流量源;对于所述第一流量源,基于所确定的被发送的流量的第二部分的流量类型来确定所述多个入侵检测系统的第一组中的第一入侵检测系统IDS,其中所述第一组与对不同流量类型的处理相关联;对于所述第二流量源,基于所确定的被发送的流量的第三部分的流量类型来确定所述多个入侵检测系统的第二组中的第二入侵检测系统IDS;将流量的所述第二部分重定向到所确定的第一入侵检测系统,并将流量的所述第三部分重定向到所述第二入侵检测系统。 | ||
| 地址 | 美国加利福尼亚州 | ||