Processing

Please wait...

Settings

Settings

Goto Application

1. WO2006037809 - OFFLINE ANALYSIS OF PACKETS

Publication Number WO/2006/037809
Publication Date 13.04.2006
International Application No. PCT/EP2005/055096
International Filing Date 07.10.2005
IPC
H04L 29/06 2006.01
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
29Arrangements, apparatus, circuits or systems, not covered by a single one of groups H04L1/-H04L27/136
02Communication control; Communication processing
06characterised by a protocol
CPC
H04L 63/0263
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
02for separating internal from external traffic, e.g. firewalls
0227Filtering policies
0263Rule management
H04L 63/1458
HELECTRICITY
04ELECTRIC COMMUNICATION TECHNIQUE
LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
63Network architectures or network communication protocols for network security
14for detecting or protecting against malicious traffic
1441Countermeasures against malicious traffic
1458Denial of Service
Applicants
  • INTERNATIONAL BUSINESS MACHINES CORPORATION [US]/[US] (AllExceptUS)
  • IBM UNITED KINGDOM LIMITED [GB]/[GB] (MG)
  • KHOSMOOD, Foaad [US]/[US] (UsOnly)
  • PETROVIC, Ognjen [YU]/[US] (UsOnly)
  • SAVOY, Jeremy, Matthew [US]/[US] (UsOnly)
  • WOODS, Duncan, Allen [US]/[US] (UsOnly)
Inventors
  • KHOSMOOD, Foaad
  • PETROVIC, Ognjen
  • SAVOY, Jeremy, Matthew
  • WOODS, Duncan, Allen
Agents
  • LING, Christopher, John
Priority Data
10/961,73608.10.2004US
Publication Language English (EN)
Filing Language English (EN)
Designated States
Title
(EN) OFFLINE ANALYSIS OF PACKETS
(FR) ANALYSE HORS LIGNE DE PAQUETS
Abstract
(EN)
A method, apparatus, system, and signal-bearing medium that, in an embodiment, filter packets received from a network based on rules. The filtering discards a subset of the packets based on the rules and keeps a remaining subset of the packets. The remaining subset is copied to a destination. The rules are created offline in a lower priority process from the filtering and copying by detecting whether symptoms exist in a sample of the remaining subset. In an embodiment, the order that the symptoms are detected is changed based on the frequency of the existence of the symptoms in the sample. In various embodiments, the symptoms may include receiving a threshold number of ping packets within a time period, receiving a threshold number of broadcast packets within a time period, receiving a packet with an invalid source address, receiving a packet with an invalid header flag, and receiving a threshold number of the packets within a time period that contain a sequence flag. In this way, firewall throughput performance is increased.
(FR)
L'invention concerne un procédé, un appareil, un système et un support de signaux qui, dans un mode de réalisation, filtre des paquets reçus en provenance d'un réseau en fonction de règles. Le filtrage permet d'écarter un sous-ensemble des paquets en fonction des règles et permet de conserver un sous-ensemble restant des paquets. Le sous-ensemble restant est copié vers une destination. Les règles sont créées hors ligne dans une tâche de priorité inférieure à partir du filtrage et de la copie par détection de l'existence ou non de symptômes dans un échantillon du sous-ensemble restant. Dans un mode de réalisation, l'ordre dans lequel les symptômes sont détectés est modifié en fonction de la fréquence de l'existence des symptômes dans l'échantillon. Dans divers modes de réalisation, les symptômes peuvent comprendre la réception d'un nombre seuil de paquets ping dans un certain délai, la réception d'un nombre seuil de paquets de diffusion dans un certain délai, la réception d'un paquet présentant une adresse source non valide, la réception d'un paquet présentant un drapeau d'en-tête non valide, ainsi que la réception d'un nombre seuil des paquets qui contiennent une étiquette de séquence dans un certain délai. Ainsi, les performances de débit du coupe-feu augmentent.
Latest bibliographic data on file with the International Bureau