用于潜在被污染端系统的牵制机制技术方案

提供了一种基于流量模式异常检测的恶意软件检测和响应系统，由此对每个方向不同地计数网络单元的每个端口上与各种协议相关联的分组。这样的分组包括：ＡＲＰ请求、ＴＣＰ／ＳＹＮ请求和确认、ＴＣＰ／ＲＳＴ分组、ＤＮＳ／ＮＥＴＢＥＵＩ名查找、输出ＩＣＭＰ分组、ＵＤＰ分组等。当分组造成独立计数或计数组合超出门限时，采取适当的动作。所述系统可以被并入到快速路径中，也就是，数据平面，使得诸如交换机、路由器和ＤＳＬＡＭ的通信系统能够以非常低的成本具有内在安全性。

【技术实现步骤摘要】
【国外来华专利技术】

【技术保护点】
一种用于在通信网络的边缘处连接的网络单元的恶意软件检测和响应系统，所述系统包括：　头部数据处理单元，用于检查在所述网络单元的端口上看到的每个协议数据单元的头部数据，并且识别ＰＤＵ类型；　计数器单元，用于基于所述ＰＤＵ类型提供每个 流量方向的多个计数值；　用于存储极限表和规则集的装置，所述极限表为每个所述计数值设置对应的极限，所述规则集为所述端口定义攻击模式和牵制动作；以及　攻击识别和牵制单元，其基于所述计数值、极限表和规则集识别攻击的类型，并且发起用于牵 制所述攻击类型的防御动作。

【技术特征摘要】
【国外来华专利技术】...

【专利技术属性】
技术研发人员：ST周，JM罗伯特，K麦克纳米，D维默尔，BK麦克法兰，
申请(专利权)人：阿尔卡特朗讯公司，
类型：发明
国别省市：FR[法国]