TIMESTAMP ANALYSIS OF SEGMENTS IN A TRANSMISSION CONTROL PROTOCOL (TCP) SESSION

A method performed in an intrusion detection/prevention system, a system or a device for determining whether a transmission control protocol (TCP) segment in a TCP connection in a communication network is acceptable. The TCP connection can include TCP segments beginning with a three way handshake. A...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Hauptverfasser: NOVAK, JUDY HOLLIS, STURGES, STEVEN
Format: Patent
Sprache:eng ; fre
Schlagworte:
Online-Zugang:Volltext bestellen
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Beschreibung
Zusammenfassung:A method performed in an intrusion detection/prevention system, a system or a device for determining whether a transmission control protocol (TCP) segment in a TCP connection in a communication network is acceptable. The TCP connection can include TCP segments beginning with a three way handshake. A TCP segment can include a field for a timestamp. A timestamp policy of plural timestamp policies is identified, the timestamp policy corresponding to a target associated with the segments in a TCP connection. A baseline timestamp is identified based on a three way handshake in the TCP connection. Segments in the TCP connection are monitored. The segments in the TCP connection are filtered as indicated in the timestamp policy corresponding to the target, the timestamp policy indicating whether the segments are to be filtered out or forwarded to the target by comparing the timestamp of the segments to the baseline timestamp. L'invention concerne un procédé réalisé dans un système de détection/prévention d'intrusion et un système ou un dispositif pour déterminer si un segment de protocole de transmission pour le réseau (TCP) dans une connexion TCP dans un réseau de communication est acceptable. La connexion TCP peut comprendre des segments TCP commençant par une validation à triple sens. Un segment TCP peut comprendre un champ pour une estampille. Une politique d'estampille de plusieurs politiques d'estampille est identifiée. La politique d'estampille correspondant à une cible associée aux segments dans une connexion TCP. Une estampille de la base de référence est identifiée sur la base d'une validation à triple sens dans la connexion TCP. Des segments dans la connexion TCP sont surveillés. Les segments dans la connexion TCP sont filtrés suivant les indications figurant dans la politique d'estampille correspondant à la cible, la politique d'estampille indiquant si les segments doivent être sortis par filtrage ou avancés jusqu'à la cible en comparant l'estampille des segments à l'estampille de la ligne de référence.