专利名称:用于降低网络入侵检测系统的误报率的方法和系统的制作方法
技术领域:
本发明一般地涉及入侵检测,更具体地说,涉及用于降低网络入侵检测系统的误报率的方法和系统。
背景技术:
网络入侵检测系统(“NIDS”)一般被设计用来实时监视网络活动以发现可疑的或已知的恶意活动,并将这些发现报告给适当的人员。通过密切监视所有的活动,NIDS能够比较迅速地发出计算机入侵警报,并且给管理员时间以防卫或遏制入侵,或者让NIDS自动对攻击作出反应并阻止攻击。在安全工业中,NIDS可以是被动型的流量观察器,也可以是实时作出反应以阻止攻击的主动型的网络部件。
因为NIDS是被动型的网络流量观察器,所以它们经常缺乏关于攻击主机和防护主机的某些知识,这使得它不能确定攻击是否成功。与正在偷听两个陌生人之间对话的偷听者非常相似,NIDS常常缺乏关于攻击的上下文的知识,因此会对可能是非敌意的或无关的网络活动“发出警报”。
一些系统试图通过对它们所监视的网络建立静态映象来解决这个问题。这种知识的建立通常要通过扫描网络上的所有系统,并且将结果保存在数据库中以用于以后的检索。这种系统对于大多数的网络来说是不够用的,因为网络设备的拓扑、类型和位置是不断变化的,而且这种系统需要管理员维护静态的数据库。此外,持续扫描和保持网络数据库的更新的压力很大,可能经常会导致网络服务变慢或停止工作。
发明内容
根据本发明的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。
本发明的一些实施例提供许多技术优点。其它的实施例可能实现一些或全部这些优点,也可能一个也实现不了。例如,根据一个实施例,网络入侵检测系统(“NIDS”)的误报率被极大地降低或消除,而这降低了对监视NIDS以对每个警报作出反应的人员的需求。即使不需要关于整个有防护网络的知识,也可获得较低的误报率。因为不再需要网络的知识,因此可以动态地向网络增加主机。根据另一个实施例,对网络的严重的攻击被升级,而且损失很大的入侵被补救。
本领域的技术人员可以很容易地通过下面的附图具体实施方式
和权利要求书来发现其它的优点。
现在将参考下面的与附图相结合的说明,以获得对本发明及其优点的更加全面的理解,在附图中,相似的标号代表相似的部分,并且图1的示意图根据本发明的一个实施例,示出了使用被动分析工具来降低网络入侵检测系统的误报率的系统;图2的方框图根据本发明的一个实施例,示出了图1中的被动分析工具的各种功能部件;图3的流程图根据本发明的一个实施例,示出了用于降低网络入侵检测系统的误报率的方法;并且图4的流程图根据本发明的一个实施例,示出了可以与图3的方法结合起来使用的方法。
具体实施例方式
参考所附图1到图4可以最好地理解本发明的实施例,相似的标号被用于各图中相似的和相应的部分。
图1的示意图根据本发明的一个实施例,示出了使用被动分析工具110来降低网络入侵检测系统(“NIDS”)108的误报率的系统100。在所示实施例中,NIDS 108耦合到链路106,链路106可通信地耦合了无防护网络102和有防护网络104。系统100还包括使用被动分析工具110的网络管理员112,如下面所详细描述的那样。
无防护网络102可以是有防护网络104外部的任何合适的网络。无防护网络102的一个例子是因特网。有防护网络104可以是任何合适的网络,例如局域网、广域网、虚拟专用网络或任何其它的希望其安全性不受无防护网络102影响的网络。链路106将无防护网络102耦合到有防护网络104,并且其可以是任何合适的通信链路或信道。在一个实施例中,链路106能够在无防护网络102和有防护网络104之间以“包”传输数据;但是,通信链路106也可以以其它合适的形式来传输数据。
在一个实施例中,NIDS 108是任何合适的基于网络的入侵检测系统,其能够分析在通信链路106上传输的数据包,以检测对有防护网络104的任何潜在攻击。NIDS 108可以是硬件、固件和/或软件的任何合适的组合。一般地,NIDS 108包括一个或更多个传感器,它们能够监视具有任何合适的数据链路协议的任何合适类型的网络。在具体的实施例中,与NIDS 108相关联的传感器能够检查使用任何合适协议(例如TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“网间控制报文协议”))的IP(“因特网协议”)网络上的数据包。在检测到对有防护网络104的可能的攻击后,NIDS 108能够产生表明可能发生了对有防护网络104的攻击的警报,并可以立刻阻止该攻击。然后,该警报被传输到被动分析工具110以进行如下所述的分析。
根据本发明的一个实施例的教导,被动分析工具110接收来自NIDS108的警报,使用与该警报关联的信息,确定是真的发生了攻击还是收到了错误的警报。被动分析工具110显著地降低了网络环境中的网络入侵检测系统(如NIDS 108)的误报率,并且减少了对监视这些系统以对每个警报作出反应的人员(例如网络管理员112)的需求。被动分析工具110的细节将在下面结合图2到4而被更详细地说明。虽然被动分析工具110在图1中被示为与NIDS 108相分离,但是它也可以与NIDS 108集成在一起,这样就不需要分立的硬件了。在任何情况下,NIDS 108和被动分析工具110都协同工作,以根据检测到的攻击的严重性和精确性来分析、降低或升级警报。本发明的一个技术优点是可以消除目标为错误的操作系统、供应商、应用或网络硬件的警报。
网络管理员112可以是使用被动分析工具110来监视对有防护网络104的潜在攻击,并在适当情况下对其进行反应的任何合适的人员。网络管理员112一般具有驻留在他的或她的计算机上的被动分析工具110,以接收来自被动分析工具的被过滤了的警报,如标号114所指。
图2的方框图根据本发明的一个实施例,示出了被动分析工具110的各种功能部件。本发明考虑到了部件的数量比图2所示更多、更少,或与图2所示部件不同的情况。在图示的实施例中,被动分析工具110包括警报输入层202、警报解释层204、目标缓存查找206、操作系统(“OS”)取指纹(fingerprinting)机制208、端口取指纹机制210和警报输出层212。在结合图3到4对被动分析工具110的功能进行更详细的描述之前,现在描述这些部件中每个部件的一般功能。
警报输入层202一般负责接受来自NIDS 108的警报,并将其传递到其它系统部件进行分析。在一个实施例中,警报输入层202接受来自NIDS 108的警报,并确定该警报格式是否有效。如果该警报格式无效,那么该警报被忽略。如果该警报格式有效,那么该警报被发送到警报解释层204。警报输入层202被优选地设计为不依赖于NIDS供应商,这样它就可以不作修改地同时接受来自多个NIDS源的警报。
一般地,警报解释层204从警报输入层202接收警报并对该警报执行分析。在一个实施例中,警报解释层204确定该警报是否来自于被支持的NIDS供应商。如果该警报不是来自于被支持的NIDS供应商,那么一个警告被产生,并且该警报被忽略。如果该警报是来自于被支持的NIDS供应商,那么警报解释层204负责确定该NIDS供应商的警报类型、被攻击的相关操作系统类型(例如Microsoft Windows、Sun Solaris、Linux、UNIX等)、源地址、目标网络地址、警报严重性、警报描述以及任何其它合适的与该警报相关联的参数。被动分析工具110使用该信息中的一些信息来测试该警报的真假,下面会结合图3和4进行更详细的描述。
目标缓存查找206表明查找由被动分析工具110执行,以确定是否针对于该警报所表明的特定攻击而检查过目标主机。可以在任何合适的存储位置(例如在本地状态表或数据库中)执行查找。
OS取指纹机制208对目标主机执行被动分析,以确定该目标主机的操作系统。简单地说,在一个实施例中,被动分析工具110向目标主机发送其头部具有协议标志、选项以及其它合适的信息的特定组合的因特网协议(“IP”)包,以确认操作系统供应商和版本号。操作系统取指纹在工业上是公知的,因此这里不再详述。这种类型的OS取指纹的一个优点是,它不需要除远程网络连接之外的对目标主机的内部访问。OS取指纹机制208可以在几秒钟的执行时间内建立操作系统类型,并将此信息存储在合适的存储位置,以用于以后的检索和使用。
端口取指纹机制210的功能是在主机被动态增加和删除时,识别存储在合适的存储位置的目标端口地址。端口取指纹机制210与OS取指纹机制208协同工作,以确定例如目标主机上的被攻击端口是否是活动的。这使得被动分析工具110可以迅速地确定攻击能否成功。例如,通过检查目标主机,看其端口80是否本来处于活动状态,可以证明对目标主机的TCP端口80的攻击是否已经失败。
警报输出层212负责从被动分析工具110取得分析数据并将警报升级或降级。换句话说,警报输出层212的作用是报告有效的警报,即,特定目标主机可能受到攻击。有效警报可以以任何合适的方式被报告,所述方式例如是图形用户界面、日志文件、数据库中的存储或任何其它合适的输出。
根据本发明的一个实施例,下面结合图3和图4进一步描述被动分析工具110的功能细节。
图3的流程图根据本发明的一个实施例,示出了用于降低网络入侵检测系统的误报率的示例性方法。该示例性方法从步骤300开始,在此处被动分析工具110从NIDS 108接收到警报。在步骤302,被动分析工具110从该警报识别目标地址。然后,在步骤304,被动分析工具110访问系统缓存,以确定是否已经对目标主机进行过关于该特定攻击类型的检查。
相应地,在判断步骤306,确定是否已经在系统缓存中找到目标地址。如果目标地址被找到了,那么在判断步骤308,确定缓存条目的时间是否仍然有效。换句话说,如果特定的目标主机在最近一段时间内由于特定类型的攻击而被检查过,那么该信息就被暂时存储在系统缓存中。尽管可以使用任何合适的时间段来存储该信息,但是在一个实施例中,该信息的存储时间不多于1小时。如果缓存条目时间仍然有效,那么继续执行所述方法到步骤310,在此处被动分析工具110接收目标主机的OS指纹。
回到判断步骤306和308,如果在系统缓存中没有找到该目标地址,或在系统缓存中找到的特定目标地址的缓存条目时间是无效的,那么被动分析工具110使用任何合适的OS取指纹技术来获得目标主机的操作系统指纹,如步骤312所示。然后,在步骤314,操作系统指纹被存储在系统缓存中。然后继续执行所述方法到步骤310,在此处被动分析工具110接收目标主机的OS指纹。
在步骤316,被动分析工具110比较攻击类型和目标主机的操作系统类型。在判断步骤318,确定目标主机的操作系统类型和攻击类型是否匹配。如果匹配,那么在步骤320,报告被确认的警报。如果不匹配,那么表明是错误警报,如步骤322所示。例如,如果攻击类型是针对Windows系统的而操作系统指纹显示为Windows主机,那么该警报被确认。但是,如果攻击类型是针对Windows系统的而操作系统指纹显示为UNIX主机,那么这就表明是错误警报。然后,图3所示的示例性方法结束。
虽然图3所示的方法是参考将操作系统类型与攻击类型进行比较的被动分析工具110来进行说明的,但是也可以将操作系统的其它合适的特征与攻击类型的相关特征进行比较,以确定警报的真假。
因此,被动分析工具110是智能过滤技术,其过滤掉潜在的错误警报而不需要关于整个有防护网络104的知识。从所部署的NIDS(例如NIDS108)接收警报输入,并进行分析以确定该攻击是真的还是收到了假警报。即使不要求在有防护网络104的每个计算设备上都安装代理,也能够实现上述功能。
图4的流程图根据本发明的一个实施例,示出了可以与图3的示例性方法相结合使用的示例性方法。图4中的示例性方法从步骤400开始,在此处被动分析工具110监视动态主机配置协议(“DHCP”)服务器。本发明考虑到了由被动分析工具110监视的任何合适的动态配置协议服务器。在步骤402,被动分析工具110检测到租用行为。在判断步骤404,确定检测到的是租用发生事件(lease issue)还是租用到期事件(leaseexpire)。
如果被动分析工具110检测到租用到期事件,那么系统缓存就被访问,如步骤406所示。在判断步骤408,确定与租用到期事件相关联的目标地址是否在系统缓存中被找到。如果在系统缓存中找到了目标地址,那么在步骤410,该条目从系统缓存中被删除。然后被动分析工具110继续监视该DHCP服务器。如果在系统缓存中没有找到目标地址,那么该租用到期事件就被忽略,如步骤412所示。被动分析工具110继续监视DHCP服务器。
回到判断步骤404,如果检测到了租用发生事件,那么系统缓存就被访问,如步骤414所示。在判断步骤416,确定与该租用发生事件相关联的目标地址是否在系统缓存中被找到。如果找到了目标地址,那么在步骤418,该条目被删除。如果在系统缓存中没有找到该目标地址,那么继续执行该方法到步骤420,如下所述。
在步骤420,目标主机的操作系统指纹在步骤420被获得。操作系统指纹在一特定期间被存储在系统缓存中,如步骤422所示。然后被动分析工具110继续监视DHCP服务器。
图4所示的方法针对的是动态地向有防护网络104增加主机的过程,以使得关于网络的先验知识变得不再必要。这节省了大量时间和金钱,并且比需要网络先验知识的现有系统更精确。被动分析工具110可以将条目存储用户定义长度的时间,于是减少了需要获得操作系统指纹的次数,从而提高了网络入侵检测系统的效率。另一个技术上的优点是节省了资源,而且对有防护网络的影响很低,因为仅在需要时才建立目标系统的轮廓,从而有效率地进行“刚好及时”的易受攻击性分析。
虽然本发明是结合若干示例性实施例进行描述的,但是,本领域的技术人员可以想到各种改变和修改。本发明希望包括这些落在本发明的权利要求范围之内的改变和修改。
权利要求
1.一种用于降低网络入侵检测系统的误报率的方法,包括接收表明可能发生了网络入侵的警报;识别所述警报的特征,至少包括攻击类型和目标地址;询问与所述目标地址相关联的目标主机以获得操作系统指纹;从所述目标主机接收包括操作系统类型的所述操作系统指纹;将所述攻击类型与所述操作系统类型进行比较;以及基于所述比较,表明所述目标主机是否可能受到所述攻击。
2.如权利要求1所述的方法,还包括在一段时期内,在存储位置中存储所述目标主机的所述操作系统指纹。
3.如权利要求1所述的方法,还包括在询问所述目标主机前,访问存储位置;确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹;以及如果所述目标主机的所述操作系统指纹不存在,那么继续所述方法的所述询问步骤;并且如果所述目标主机的所述操作系统指纹存在,那么确定所述目标地址的缓存条目时间是否有效;并且如果所述缓存条目时间有效,那么继续所述方法的所述比较步骤;否则如果所述缓存条目时间无效,那么继续所述方法的所述询问步骤。
4.如权利要求1所述的方法,还包括监视动态配置协议服务器;检测出现了新目标主机的租用发生事件;访问存储位置;确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;以及如果所述新目标主机的所述操作系统指纹不存在,那么询问所述新目标主机以获得所述操作系统指纹;从所述新目标主机接收所述操作系统指纹;并且在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹;并且如果所述新目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;询问所述新目标主机以获得新操作系统指纹;从所述新目标主机接收所述新操作系统指纹;并且在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
5.如权利要求1所述的方法,还包括监视动态配置协议服务器;检测出现了现有目标主机的租用到期事件;访问存储位置;确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;以及如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹。
6.如权利要求1所述的方法,还包括在接收到所述警报后,确定所述警报的格式是否有效;并且如果所述格式无效,那么忽略所述警报;否则如果所述格式有效,那么继续所述方法的所述识别步骤。
7.一种用于降低网络入侵检测系统的误报率的方法,包括接收表明可能发生了网络入侵的警报;识别所述警报的特征,至少包括攻击类型、源地址、目标地址、警报严重性和警报描述;访问存储位置;确定在所述存储位置是否已经存在与所述目标地址相关联的目标主机的操作系统指纹;如果所述目标主机的操作系统指纹不存在,那么询问所述目标主机以获得所述操作系统指纹;从所述目标主机接收包括操作系统类型的所述操作系统指纹;将所述攻击类型与所述操作系统类型进行比较;并且基于所述比较,表明所述目标主机是否易于受到所述攻击;如果所述目标主机的所述操作系统指纹存在,那么确定所述目标地址的缓存条目时间是否有效;并且如果所述缓存条目时间无效,那么询问所述目标主机以获得所述操作系统指纹;从所述目标主机接收包括操作系统类型的所述操作系统指纹;将所述攻击类型与所述操作系统类型进行比较;并且基于所述比较,表明所述目标主机是否可能受到所述攻击;如果所述缓存条目时间有效,那么将所述攻击类型与所述操作系统类型进行比较;并且基于所述比较,表明所述目标主机是否可能受到所述攻击。
8.如权利要求7所述的方法,还包括在一段时期内,在所述存储位置存储所述目标主机的所述操作系统指纹。
9.如权利要求7所述的方法,还包括监视动态配置协议服务器;检测出现了新目标主机的租用发生事件;访问所述存储位置;确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;以及如果所述新目标主机的所述操作系统指纹不存在,那么询问所述新目标主机以获得所述操作系统指纹;从所述新目标主机接收所述操作系统指纹;并且在一段时期内,在所述存储位置存储所述新目标主机的所述操作系统指纹;并且如果所述新目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;询问所述新目标主机以获得新操作系统指纹;从所述新目标主机接收所述新操作系统指纹;并且在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
10.如权利要求7所述的方法,还包括监视动态配置协议服务器;检测出现了现有目标主机的租用到期事件;访问所述存储位置;确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;以及如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹。
11.一种用于降低网络入侵检测系统的误报率的系统,包括能够发送表明可能发生了对网络的攻击的警报的网络入侵检测系统;包含在计算机可读介质中的软件程序,当所述软件程序被处理器执行时,能够接收所述警报;识别所述警报的特征,至少包括攻击类型和目标地址;询问与所述目标地址相关联的目标主机以获得操作系统指纹;从所述目标主机接收包括操作系统类型的所述操作系统指纹;将所述攻击类型与所述操作系统类型进行比较;并且基于所述比较,表明所述目标主机是否可能受到所述攻击。
12.如权利要求11所述的系统,还包括能够在一段时期内存储所述目标主机的所述操作系统指纹的存储位置。
13.如权利要求11所述的系统,其中所述软件程序还能够在询问所述目标主机前,访问存储位置;确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹;并且如果所述目标主机的所述操作系统指纹不存在,那么继续所述询问步骤;否则如果所述目标主机的所述操作系统指纹存在,那么所述软件程序还能够确定所述目标地址的缓存条目时间是否有效;并且如果所述缓存条目时间有效,那么继续所述比较步骤;否则如果所述缓存条目时间无效,那么继续所述询问步骤。
14.如权利要求11所述的系统,其中所述软件程序还能够监视动态配置协议服务器;检测出现了新目标主机的租用发生事件;访问存储位置;确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹;并且如果所述新目标主机的所述操作系统指纹不存在,那么所述软件程序还能够询问所述新目标主机以获得所述操作系统指纹;从所述新目标主机接收所述操作系统指纹;并且在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹;并且如果所述新目标主机的所述操作系统指纹存在,那么所述软件程序还能够从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹;询问所述新目标主机以获得新操作系统指纹;从所述新目标主机接收所述新操作系统指纹;并且在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹。
15.如权利要求11所述的系统,其中所述软件程序还能够监视动态配置协议服务器;检测出现了现有目标主机的租用到期事件;访问存储位置;确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹;并且如果所述现有目标主机的所述操作系统指纹不存在,那么忽略所述租用到期事件;并且如果所述现有目标主机的所述操作系统指纹存在,那么从所述存储位置删除所述所述现有目标主机的所述已经存在的操作系统指纹。
16.如权利要求11所述的系统,其中所述软件程序不具有关于所述有防护网络体系结构的知识。
17.如权利要求11所述的系统,其中所述网络入侵检测系统独立于供应商。
18.一种用于降低网络入侵检测系统的误报率的系统,包括用于接收表明可能发生了网络入侵的警报的装置;用于识别至少包括攻击类型和目标地址的所述警报的特征的装置;用于询问与所述目标地址相关联的目标主机以获得操作系统指纹的装置;用于从所述目标主机接收包括操作系统类型的所述操作系统指纹的装置;用于将所述攻击类型与所述操作系统类型进行比较的装置;以及用于基于所述比较,表明所述目标主机是否可能受到所述攻击的装置。
19.如权利要求18所述的系统,还包括用于在一段时期内,在存储位置中存储所述目标主机的所述操作系统指纹的装置。
20.如权利要求18所述的系统,还包括用于访问存储位置的装置;用于确定在所述存储位置,是否已经存在所述目标主机的所述操作系统指纹的装置;以及当所述目标主机的所述操作系统指纹存在时,用于确定所述目的地址的缓存条目时间是否有效的装置。
21.如权利要求18所述的系统,还包括用于监视动态配置协议服务器的装置;用于检测出现了新目标主机的租用发生事件的装置;用于访问存储位置的装置;用于确定在所述存储位置是否已经存在所述新目标主机的操作系统指纹的装置;并且如果所述新目标主机的所述操作系统指纹不存在,那么还包括用于询问所述新目标主机以获得所述操作系统指纹的装置;用于从所述新目标主机接收所述操作系统指纹的装置;以及用于在一段时期内,在所述存储位置中存储所述新目标主机的所述操作系统指纹的装置;并且如果所述新目标主机的所述操作系统指纹存在,那么还包括用于从所述存储位置删除所述新目标主机的所述已经存在的操作系统指纹的装置;用于询问所述新目标主机以获得新操作系统指纹的装置;用于从所述新目标主机接收所述新操作系统指纹的装置;以及用于在一段时期内,在所述存储位置中存储所述新目标主机的所述新操作系统指纹的装置。
22.如权利要求18所述的系统,还包括用于监视动态配置协议服务器的装置;用于检测出现了现有目标主机的租用到期事件的装置;用于访问存储位置的装置;用于确定在所述存储位置是否已经存在所述现有目标主机的操作系统指纹的装置;并且如果所述现有目标主机的所述操作系统指纹不存在,那么还包括用于忽略所述租用到期事件的装置;并且如果所述现有目标主机的所述操作系统指纹存在,那么还包括用于从所述存储位置删除所述现有目标主机的所述已经存在的操作系统指纹的装置。
全文摘要
根据本发明的一个实施例,提出了一种用于降低网络入侵检测系统的误报率的方法,包括接收表明可能发生了网络入侵的警报;识别警报的特征,至少包括攻击类型和目标地址;询问与目标地址相关联的目标主机以获得操作系统指纹;从目标主机接收包括操作系统类型的操作系统指纹;将攻击类型与操作系统类型进行比较;并且基于所述比较,表明目标主机是否可能受到攻击。
文档编号G06F21/00GK1643876SQ03807319
公开日2005年7月20日 申请日期2003年3月28日 优先权日2002年3月29日
发明者克雷格·H·罗兰 申请人:思科技术公司