[go: up one dir, main page]

DE60308722T2 - Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche - Google Patents

Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche Download PDF

Info

Publication number
DE60308722T2
DE60308722T2 DE60308722T DE60308722T DE60308722T2 DE 60308722 T2 DE60308722 T2 DE 60308722T2 DE 60308722 T DE60308722 T DE 60308722T DE 60308722 T DE60308722 T DE 60308722T DE 60308722 T2 DE60308722 T2 DE 60308722T2
Authority
DE
Germany
Prior art keywords
break
burglary
current
intrusion
computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60308722T
Other languages
English (en)
Other versions
DE60308722D1 (de
Inventor
Thomas Paul Austin BAFFES
Michael Austin GILFIX
Michael John Austin GARRISON
Allan Centerville HSU
Tyron Jerrod Austin STADING
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE60308722D1 publication Critical patent/DE60308722D1/de
Application granted granted Critical
Publication of DE60308722T2 publication Critical patent/DE60308722T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Devices For Executing Special Programs (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung betrifft im Allgemeinen das Gebiet der Datenverarbeitung und insbesondere ein verbessertes Datenverarbeitungssystem und ein Verfahren zum Ergreifen von Maßnahmen nach einem vorsätzlichen Einbruch unter Verwendung einer grafischen Darstellung der Auswirkung des Einbruchs.
  • Grundlagen der Erfindung
  • Die meisten modernen Unternehmensnetze enthalten Mittel zum Benutzerzugriff aus der Ferne, normalerweise über das Internet. Dieser Zugriff ist so gestaltet, dass er berechtigten Benutzern eine Interaktion mit dem Netz ermöglicht, beispielsweise für elektronischen Handel, die gemeinsame Nutzung von Inhalten und andere elektronische Vorgänge. Da diese Netze so gestaltet sind, dass berechtigte Benutzer problemlos darauf zugreifen können, sind sie auch anfällig für den Zugriff durch unberechtigte Benutzer, insbesondere jene mit böser Absicht beim Zugriff auf das Netz. Diese böse Absicht stellt sich in Form eines "Einbruchs" durch den Benutzer dar. Ein Einbruch wird definiert als ein vorsätzlicher elektronischer Zugriff auf das Netz oder einen Computer im Netz. Zu Beispielen für Einbrüche gehören Viren, und unberechtigte Datenerhebung (durch „Hacker") und Angriffe bezüglich einer verteilten Verweigerung von Rechenleistung (distributed denial of service – DDOS), bei denen ein Computersystem durch den Einbruch überlastet wird, so dass keine wirklichen Arbeitsgänge mehr ausgeführt werden können.
  • Ein Einbruchereignis wird definiert als das Ergebnis (die Auswirkung) eines Einbruchs. Beispiele für ein Einbruchereignis sind beschädigte oder illegal kopierte Datendateien, System-/Computerabstürze und eine System-/Computerverlangsamung.
  • Das Ergreifen von Maßnahmen nach Einbrüchen ist normalerweise die Aufgabe eines Sicherheitsadministrators, eines Spezialisten der Informationstechnik, der mit Hilfe einer Risikoverwaltungssoftware (risk management software) ein Computersystem auf Einbrüche überwacht. Obwohl es viele bekannte Verfahren zum Erkennen eines Einbruchs und des Einbruchereignisses gibt, ist das Einleiten von Reaktionen auf den Einbruch äußerst kompliziert. Das heißt, obwohl die Erkennung eines Ereignisses allgemein bekannt ist und automatisch erfolgen kann, werden das Ergreifen von Maßnahmen und das Einleiten von Reaktionen im Allgemeinen manuell ausgeführt. Aufgrund der Komplexität eines Einbruchs ist es für den Sicherheitsadministrator schwierig zu bewerten, um welchen Typ von Einbruch es sich handelt und wie angemessen reagiert werden kann.
  • Das Dokument "Intrusion detection using autonomous agents" von Eugene H. Spafford und Diego Zamboni interpretiert den Begriff "Einbrucherkennung", leitet wünschenswerte Eigenschaften eines Einbrucherkennungssystems ab, liefert einen Vergleich zwischen verschiedenen vorhandenen verteilten und zentralisierten Systemausführungen und schlägt vor, autonome Softwareagenten zur Datenerfassung und -analyse zu integrieren. In Bezug auf Benutzeroberflächen werden eine grafische Benutzeroberfläche (graphical user interface – GUI) zum interaktiven Zugriff und eine befehlsleitungsbasierte Oberfläche (command live based interface) in Skriptform zur Wartungsautomation erwähnt.
  • Folglich besteht ein Bedarf an einem Verfahren und einem System zur Unterstützung des Sicherheitsadministrators bei der Reaktion auf erkannte Einbrüche, vorzugsweise auf automatische oder halbautomatische Weise.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung betrifft ein Verfahren und ein System zum Ergreifen von Maßnahmen nach einem Computereinbruch durch grafisches Darstellen eines Einbruchmusters eines bekannten vergangenen Einbruchs und anschließendes Vergleichen des Einbruchmusters eines aktuellen Einbruchs mit dem vergangenen Einbruch. Falls der bekannte und der aktuelle Einbruch einige oder alle Ereignisse gemeinsam haben (Einbruchereignisse oder gemeinsam betroffene Hardware), kann ein Sicherheitsadministrator schriftliche Antworten ausführen, um durch den aktuellen Einbruch verursachte Schäden zu beheben oder zumindest zu verhindern, dass der aktuelle Einbruch noch weiteren Schaden anrichtet.
  • Das Einbruchmuster kann entweder auf Einbruchereignissen, die die Auswirkungen des Einbruchs sind, oder auf Vorgängen beruhen, die eine Signatur des Einbruchtyps liefern, oder das Einbruchmuster kann auf der vom Einbruch betroffenen Hardwaretopologie beruhen.
  • Das Einbruchmuster wird dem Sicherheitsadministrator grafisch angezeigt, der durch die Ausführung schriftlicher Antworten reagieren kann, die in einer bevorzugten Ausführungsform in jedem Knoten im Einbruchmuster zugeordneten Aufklappfenstern dargestellt werden. Alternativ kann die Antwort auf den Einbruch automatisch auf der Grundlage eines festgelegten Prozentsatzes von gemeinsamen Merkmalen im Einbruchmuster des bekannten vergangenen Einbruchs und des aktuellen Einbruchs erfolgen.
  • Die obigen sowie zusätzliche Zielsetzungen, Merkmale und Vorteile der vorliegenden Erfindung gehen aus der folgenden ausführlichen Beschreibung hervor.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Bevorzugte Ausführungsformen der vorliegenden Erfindung werden nun lediglich beispielhaft mit Bezugnahme auf die folgenden Zeichnungen ausführlich beschrieben:
  • 1 stellt ein Blockschaltbild eines Datenverarbeitungssystems in einer bevorzugten Ausführungsform der vorliegenden Erfindung dar;
  • 2a stellt ein Einbruchmuster auf der Grundlage von Einbruchereignissen von vielen verschiedenen Einbrüchen, darunter ein bekannter vergangener Einbruch, in einer bevorzugten Ausführungsform der vorliegenden Erfindung dar;
  • 2b zeigt ein Einbruchmuster auf der Grundlage von Einbruchereignissen eines unbekannten aktuellen Einbruchs, das mit einem Einbruchmuster eines bekannten vergangenen Einbruchs übereinstimmt, in einer bevorzugten Ausführungsform der vorliegenden Erfindung;
  • 3 ist ein Flussdiagramm einer bevorzugten Ausführungsform der vorliegenden Erfindung zum automatischen Einleiten von schriftlichen Antworten für einen unbekannten aktuellen Einbruch in einer bevorzugten Ausführungsform der vorliegenden Erfindung;
  • 4a zeigt ein Einbruchmuster auf der Grundlage einer betroffenen Hardwaretopologie von vielen verschiedenen Einbrüchen, darunter ein bekannter vergangener Einbruch, in einer bevorzugten Ausführungsform der vorliegenden Erfindung;
  • 4b zeigt ein Einbruchmuster auf der Grundlage einer betroffenen Hardwaretopologie eines unbekannten aktuellen Einbruchs, das mit einem Einbruchmuster eines bekannten vergangenen Einbruchs übereinstimmt, in einer bevorzugten Ausführungsform der vorliegenden Erfindung.
  • AUSFÜHRLICHE BESCHREIBUNG DER BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Mit Bezugnahme auf die Figuren und insbesondere mit Bezugnahme auf 1 wird nun ein Datenverarbeitungssystem 100, das mit einem Netz (nicht gezeigt) Daten austauschen kann, gemäß einer bevorzugten Ausführungsform der vorliegenden Erfindung gezeigt. Das Datenverarbeitungssystem 100 kann beispielsweise eines der von International Business Machines Corporation von Armonk, New York, erhältlichen Modelle von Personal Computern oder Servern sein. Das Datenverarbeitungssystem 100 kann nur einen einzigen Prozessor beinhalten oder ein System mit mehreren Prozessoren (MP-System) (multiprocessor (MP) system) sein, das eine Vielzahl von Prozessoren enthält. Im dargestellten Beispiel wird ein System mit einem einzigen Prozessor gezeigt. Zum dargestellten System kann ein zweiter Prozessor (nicht gezeigt) hinzugefügt werden, der entweder einen gesonderten Cachespeicher der Ebene 2 (L2 cache) aufweist oder den L2-Cachespeicher 108 mit dem Prozessor 102 gemeinsam nutzt. Der Prozessor 102 kann ein superskalarer Prozessor mit reduziertem Befehlsvorrat (reduced instruction set computing (RISC) processor) sein, der gesonderte Befehls- und Datencachespeicher 104 und 106 der Ebene 1 (L1) im Prozessor enthält.
  • Der Prozessor 102 ist mit dem Cachespeicher 108 der Ebene 2 (Level Two (L2) Cache) verbunden. Der L2-Cachespeicher ist mit dem Systembus 110 für das Datenverarbeitungssystem 100 verbunden. Der Systemspeicher 112 ist ebenfalls mit dem Systembus 110 verbunden, ebenso die Ein-/Ausgabe-(E/A-)Busbrücke 114. Die E/A-Busbrücke 114 verbindet den E/A-Bus 118 mit dem Systembus 110, der Datentransaktionen von einem Bus an einen anderen weiterleitet und/oder neu bearbeitet. Es können noch andere Einheiten mit dem Systembus 110 verbunden werden, beispielsweise ein auf den Speicher abgebildeter Grafikadapter 116, der Daten der Benutzeroberfläche an eine Anzeige 124 überträgt.
  • Die E/A-Busbrücke 114 ist mit dem E/A-Bus 118 verbunden, der mit einer Vielfalt von anderen Einheiten verbunden sein kann, beispielsweise mit einer Eingabeeinheit 126, die eine herkömmliche Maus, eine Rollkugel, eine Tastatur oder dergleichen sein kann, und mit einem nichtflüchtigen Speicher 122, beispielsweise einem Festplattenlaufwerk, einem CD-ROM-Laufwerk, einem DVD-Laufwerk oder ähnlichen Speichereinheiten.
  • Mit dem E/A-Bus 118 ist außerdem ein Netzadapter 120 verbunden, der eine logische Schnittstelle mit einem Netz bereitstellt, das ein lokales Netz (local area network – LAN), ein überregionales Netz (wide area network – WAN), das Internet oder ein anderes Netz sein kann, das einen Datenaustausch von anderen Computern im Netz mit dem Datenverarbeitungssystem 100 ermöglicht.
  • Die in 1 gezeigte beispielhafte Ausführungsform dient lediglich zur Erläuterung einer bevorzugten Ausführungsform der vorliegenden Erfindung, und Fachleute werden erkennen, dass zahlreiche Änderungen sowohl hinsichtlich der Form als auch der Funktion möglich sind. Beispielsweise können eine Audiokarte und Lautsprecher, andere E/A-Einheiten und Datenübertragungsanschlüsse und zahlreiche andere Komponenten zum Datenverarbeitungssystem 100 gehören.
  • Mit Bezugnahme auf 2a werden nun mögliche Einbruchereignisse dargestellt, die von vielen verschiedenen Einbrüchen verursacht wurden. Die Einbruchereignisse sind definiert als durch den Einbruch eingeleitete Auswirkungen oder Vorgänge. Obwohl diese Einbruchereignisse in Form eines Baumes gezeigt werden, werden sie am besten verstanden, indem erkannt wird, dass die dargestellten Einbruchereignisse miteinander in Zusammenhang stehen. Beispielsweise soll ein Einbruchpfad 200 betrachtet werden, der durch einen Einbruch A verursachte Einbruchereignisse (in Kreisen mit durchgezogener Linie gezeigt) darstellt. Der Einbruch A, der beispielsweise ein Virus wie "Code Red" sein kann, ist ein Einbruch, der mehrere Hosts 202 betrifft, indem er eine verteilte Verweigerung von Rechenleistung (distributed denial of service) 204 in einem Hostcomputer 206 erzeugt. Gemäß der Darstellung wird der Einbruch A von einem Snort 208 erkannt, bei dem es sich um ein beispielhaftes Einbrucherkennungssystem handelt, das eine Echtzeit-Datenverkehrsanalyse und eine Paketprotokollierung (packet logging) in IP-Netzen ausführen kann. Der Snort 208 kann eine Protokollanalyse, eine Inhaltssuche bzw. einen Inhaltsvergleich ausführen und zum Erkennen einer Vielfalt von Angriffen und Abtastvorgängen verwendet werden, beispielsweise Pufferüberläufe, heimliche Anschlussabtastvorgänge (port scans), Angriffe gegen die Common Gateway Interface (CGI), Abtastungen des Servernachrichtenblocks (server message block – SMB), Versuche eines Betriebssystem-Fingerabdrucks (operating system (OS) fingerprinting attempts) und dergleichen.
  • Der Einbruch A kann auch eine Antwort von einem Einbrucherkennungssystem (intrusion detection system – IDS) 210 auslösen, das jede eingehende und ausgehende Netzaktivität prüft und verdächtige Muster ermittelt, die möglicherweise einen Netz- oder Systemangriff von jemandem anzeigen, der versucht, in das System einzubrechen oder diesem zu schaden. Das IDS 210 erkennt ein Netzereignis 212, im vorliegenden Beispiel den Einbruch A, der ein Typ von Einbruchereignis 214 ist, das das gesamte System beeinflusst und von diesem identifiziert wird.
  • Es sei darauf hingewiesen, dass der Einbruch A auch andere Teile des Computersystems beeinflusst, wie durch den Einbruchpfad 200 gezeigt wird. Das heißt, der Einbruch A erzeugt auch ein Hostereignis 216, das auf der Systemebene 218 sowohl ein Speicherereignis 220 als auch ein Berechtigungsereignis 222 betrifft. Außerdem erzeugt der Einbruch A ein Perimeterereignis (perimeter event) 224, das von der Firewall 226 sowohl als Abtastereignis 228 als auch als ein fehlerhaftes Datenpaket 230 aufweisend erkannt wird. Wie gezeigt wird, handelt es sich bei dem fehlerhaften Paket 230 um ein fehlerhaftes Protokollpaket 232 vom Übertragungssteuerprotokoll (Transmission Control Protocol – TCP).
  • Folglich ist das durch den Einbruchpfad 200 mit durchgezogenen Linien gezeigte Muster ein Einbruchmuster mit eindeutiger Signatur für den Einbruch A. Mit Bezugnahme auf 2b wird nun ein Einbruchpfad 201 auf der Grundlage von Einbruchereignissen eines unbekannten aktuellen Einbruchs dargestellt. Die Ursache des aktuellen Einbruchs ist zunächst unbekannt. Da das Einbruchmuster identisch mit demjenigen des Einbruchs A von 2a ist, kann der Sicherheitsadministrator des Computernetzes oder des Computers, in den eingebrochen wurde, jedoch erkennen, dass der aktuelle Einbruch gleich dem Einbruch A ist oder zumindest auf die gleiche Weise wie dieser vorgeht.
  • In einer bevorzugten Ausführungsform der vorliegenden Erfindung wird jedem Knoten eine schriftliche Antwort zugeordnet, beispielsweise die dem Ereignis 204 der Verweigerung von Rechenleistung zugeordnete schriftliche Antwort 204a. Die schriftliche Antwort ist ein vorformulierter Code zum Ergreifen von Maßnahmen nach dem Einbruchereignis. Beispielsweise kann die schriftliche Antwort 204a ein Programm sein, das entwickelt wurde, um den das Computersystem betreffenden Einbruch zu isolieren und diesen anschließend außer Kraft zu setzen. Gemäß der Darstellung sind die schriftlichen Antworten jedem ein Ereignis beschreibenden Knoten zugeordnet und befinden sich vorzugsweise in einem aktiven Fenster, beispielsweise einem Aufklappfenster, das die schriftliche Antwort einleitet, indem das aktive Fenster einfach mit einer Maus oder einer ähnlichen Zeigeeinheit angeklickt wird. Obwohl schriftliche Antworten als einzelne Elemente dargestellt werden, wird in einer anderen bevorzugten Ausführungsform eine Liste von mehreren vorgeschlagenen schriftlichen Antworten dargestellt, die in einem oder allen Knoten im Einbruchpfad 201 aktiv sind. Die mehreren schriftlichen Antworten werden vorzugsweise mit Rangordnungen dargestellt, wobei eine der schriftlichen Antworten aufgrund eines vergangenen Erfolgs unter Verwendung der schriftlichen Antwort, der Gefährlichkeit des Einbruchs oder anderer Faktoren, die bei der Entwicklung eines Risikoverwaltungsprogramms zur Bewertung von Einbrüchen vom Sicherheitsadministrator festgelegt werden, eine höchste Rangordnung hat. Beispielsweise kann ein Risikoverwaltungsprogramm sicherstellen, dass jeder Einbruch, der unternehmenswichtige Daten angreift, selbst dann isoliert wird, wenn die Isolation nichtbetroffene Teile des Computersystems abschaltet. In einem solchen Fall wäre die vorgeschlagene Antwort mit der höchsten Rangordnung die Abschaltung vieler Bereiche des Computersystems, und dies würde entsprechend empfohlen.
  • Es sei darauf hingewiesen, dass Einbruchpfade nicht identisch sein müssen, um dem Sicherheitsadministrator Daten darüber zu liefern, wie auf den Einbruch reagiert werden muss. Das heißt, falls die bekannten und unbekannten Einbrüche eine bestimmte Anzahl von Gemeinsamkeiten in ihren Einbruchpfaden aufweisen, kann der Sicherheitsadministrator eine Maßnahme einleiten, die bei den meisten, wenn nicht sogar bei allen schädlichen Auswirkungen des aktuellen unbekannten Einbruchs Abhilfe schaffen kann.
  • In einer Ausführungsform der vorliegenden Erfindung wird jede schriftliche Antwort vom Sicherheitsadministrator für jeden Knoten im Einbruchpfad 201 manuell ausgewählt. Alternativ kann eine Einstellung ausgewählt werden, um auf einen Einbruch hin eine vorgeschlagene Antwort mit der höchsten Rangordnung für alle Knoten einzuleiten, wie im Fluss von 3 beschrieben wird. Wie im Block 302 beschrieben wird, wird ein aktueller Einbruch erkannt, vorzugsweise von einer Risikoverwaltungseinrichtung, die einen Einbruch gemäß Eigenschaften des Einbruchs erkennen kann. Zu solchen Eigenschaften eines Einbruchs gehören bekannte Pakete von schädlichen Vorsatzdaten oder andere empfangene Daten, von Software oder Hardware im Computersystem ergriffene Maßnahmen, die charakteristisch bei einem Einbruch sind, beispielsweise das Abfragen aller Computer in einem Netz nach einer IP-Adresse (Internet protocol (IP) address), eine plötzliche Verschlechterung der Computerleistung oder der CPU-Nutzung und ähnliche Ereignisse oder Zustände. Die Einbruchereignisse des aktuellen Einbruchs werden mit jenen eines bekannten Einbruchs verglichen, wie im Block 304 beschrieben wird. Wie im Abfrageblock 306 gezeigt wird, wird festgestellt, ob ein festgelegter Prozentsatz von Knoten mit gemeinsamen Ereignissen sowohl im unbekannten aktuellen Einbruch als auch im bekannten zurückliegenden Einbruch gefunden wird. Das heißt, die Einbruchpfade des bekannten und des unbekannten Einbruchs werden verglichen. Falls der bekannte zurückliegende und der unbekannte aktuelle Einbruch eine erhebliche Anzahl von Knoten mit gemeinsamen Ereignissen aufweisen, werden schriftliche Antworten für alle Knoten automatisch ausgeführt, wie im Block 310 beschrieben wird. Falls es nicht genügend Knoten mit gemeinsamen Ereignissen zwischen dem bekannten und dem unbekannten Einbruch gibt, wird der Sicherheitsadministrator aufgefordert, eine schriftliche Antwort für jeden Ereignisknoten manuell auszuwählen.
  • Das Festlegen des automatischen Ausführens aller schriftlichen Antworten kann auch durch ein Risikoverwaltungsprogramm im Computersystem erfolgen, das Einbrüche klassifiziert, um festzustellen, ob eine automatische Antwort aktiviert werden muss. Falls das Risikoverwaltungsprogramm beispielsweise feststellt, dass der aktuelle Einbruch von einem bekannten Klassifikationstyp ist oder einen bekannten Schweregrad aufweist, der einen Absturz des gesamten Systems verursachen könnte, kann eine automatische Antwort eingeleitet werden. In einer bevorzugten Ausführungsform wird der Schweregrad des Einbruchs mit einem Schweregrad der Ergebnisse einer schriftlichen Antwort verglichen. Das heißt, ein schwerwiegender Einbruch wird mit einer schriftlichen Antwort verglichen, die eine schwerwiegende Auswirkung auf das System haben kann, beispielsweise das vorrangige Abschalten eines Teils des Systems, jedoch kann die schwerwiegende Auswirkung aufgrund der Schwere des Einbruchs und des möglichen Schadens, den er verursachen kann, beurteilt werden.
  • Falls das Risikoverwaltungsprogramm so gestaltet ist, dass es erkennt, dass die erwartete Antwortzeit bezüglich der Reaktion des Sicherheitsadministrators wahrscheinlich so lang ist, dass dem System vor dessen Antwort ein beträchtlicher Schaden entsteht, kann ebenso eine automatische schriftliche Antwort eingeleitet werden. Falls ein bestimmter Einbruchpfad in der Vergangenheit eine erhebliche Anzahl von Malen (nicht nur einmal) zu einer Ausführung von spezifischen schriftlichen Antworten geführt hat, kann das Risikoverwaltungsprogramm ebenso die Ausführung der schriftlichen Antworten auf der Grundlage dieses Protokolls automatisch einleiten.
  • Wie in den 2a und 2b gezeigt wird, haben Einbrüche neben den Mustern gemeinsamer Ereignisse auch Signaturen hinsichtlich der in einer Hardwaretopologie betroffenen Hardware. Mit Bezugnahme auf 4a wird nun Hardware dargestellt, die von einem Einbruch betroffen werden kann. Ein Einbruchpfad 400, der in der Figur durch Felder mit fett gedruckten Linien gekennzeichnet ist, kennzeichnet die Hardwaretopologie eines Computersystems, die vom oben in 2a beschriebenen Einbruch A betroffen ist. Folglich verursacht der Einbruch A eine Anomalie im Intranet 402 des Computersystems eines Unternehmens, das durch ein lokales Netz (LAN) A 404 im Intranet 402 betroffen ist. Im LAN A 404 sind die Server 406, die Personal Computer (PCs) 408 und die Hardware 410 des Einbrucherkennungssystems (IDS) betroffen. Zu den Servern 406 gehört ein betroffener Webserver 416, dessen Portal B 418 ebenfalls vom Einbruch A betroffen ist. Ähnlich sind alle PCs betroffen, die Betriebssysteme auf der Grundlage von Windows® ausführen und als Windows®-basierte 414 PCs gezeigt werden. Ebenso registriert die IDS-Hardware 410, die eine Snort-fähige Hardware 412 ausführt, ein Ereignis, dass der Einbruch erkannt wurde. Folglich zeigt die Hardware ein Signatur-Einbruchmuster auf eine Weise, die analog zu derjenigen des oben mit Bezugnahme auf die 2a und 2b beschriebenen Einbruchmusters des Einbruchereignisses ist.
  • Mit Bezugnahme auf 4b zeigt nun der Einbruchpfad 401 der Hardwaretopologie das durch den Einbruch A verursachte Muster. Wenn ein aktueller unbekannter Einbruch stattfindet, der ein gleiches oder ähnliches Muster wie das durch den Einbruchpfad 401 der Hardwaretopologie gezeigte aufweist, reagiert der Sicherheitsadministrator auf eine ähnliche Weise, wie sie für das Einbruchmuster des Einbruchereignisses oben beschrieben wurde. Folglich beinhaltet jeder Ereignisknoten im Einbruchpfad 401 der Hardwaretopologie ein zugeordnetes aktives Fenster, das eine oder mehrere schriftliche Antwort(en) enthält, die analog zu jenen sind, die oben bei der Beschreibung der 2a und 2b beschrieben wurden. Wie bei schriftlichen Antworten für Einbruchereignisse können die im Einbruchpfad 401 der Hardwaretopologie beschriebenen schriftlichen Antworten gemäß der Darstellung einzeln oder in Form einer Liste von vorgeschlagenen schriftlichen Antworten vorliegen, deren Rangfolge vorzugsweise so ist, dass eine höchste schriftliche Antwort befürwortet wird. Die schriftlichen Antworten können manuell oder automatisch auf eine Weise eingeleitet werden, die analog zu derjenigen ist, die oben für die Einbruchpfade des Einbruchereignisses beschrieben wurde.
  • Wie bei der grafischen Anzeige von Einbruchereignissen, die oben in Bezug auf die 2a und 2b beschrieben und gezeigt wurden, müssen Einbruchpfade von bekannten und unbekannten Einbrüchen nicht unbedingt identisch sein, um dem Sicherheitsadministrator Daten darüber zu liefern, wie auf den Einbruch reagiert werden muss. Das heißt, falls der bekannte und der unbekannte Einbruch eine bestimmte Anzahl von Gemeinsamkeiten in ihren Einbruchpfaden aufweisen, kann der Sicherheitsadministrator eine Antwort einleiten, die bei den meisten, wenn nicht bei allen schädlichen Auswirkungen des aktuellen unbekannten Einbruchs Abhilfe schaffen kann.
  • Die schriftlichen Antworten auf den Einbruch können vom Sicherheitsadministrator lokal oder aus der Ferne auf einen Hinweis hin eingeleitet werden. Beispielsweise kann der Sicherheitsadministrator einen Hinweis auf einem Funktelefon oder einem Personal Digital Assistant (PDA) empfangen, der ihn über das Einbruchereignis benachrichtigt. Der Sicherheitsadministrator kann sodann einige oder alle der schriftlichen Antworten elektronisch einleiten, indem er ein interaktives Fenster im PDA anklickt, so dass die Eingabe von einem Risikoverwaltungsprogramm für das Computersystem erkannt wird, um die angeforderte(n) schriftliche(n) Antwort(en) einzuleiten.
  • Die oben beschriebene bevorzugte Ausführungsform bietet ein Verfahren und ein Mittel ein Erzeugung und grafischen Darstellung eines Einbruchmusters eines bekannten Einbruchs zum Vergleich mit einem aktuellen Einbruch, der für das Risikoverwaltungsprogramm des Computersystems bekannt oder unbekannt ist. Nachdem der aktuelle Einbruch gemäß seinem grafisch dargestelltem Signatur-Einbruchpfad identifiziert wurde, werden schriftliche. Antworten eingeleitet, um auf den Einbruch zu reagieren und diesen zu steuern. Die schriftlichen Antworten können auf protokollierten Daten für den bekannten Einbruch beruhen. Der bekannte und der aktuelle Einbruch können gleich oder verschieden sein, und vorgeschlagene schriftliche Antworten werden in Verbindung mit einigen oder allen der vom aktuellen Einbruch betroffenen Ereignis- oder Hardwareknoten im Einbruchpfad grafisch dargestellt. Die schriftlichen Antworten können einzeln für jeden Ereignis/Hardwareknoten im Einbruchpfad oder aus einer Rangliste von vorgeschlagenen schriftlichen Antworten ausgewählt werden.
  • Programme, die Funktionen der bevorzugten Ausführungsform definieren, können über eine Vielfalt von signaltragenden Medien, unter anderem – jedoch nicht ausschließlich – nichtbeschreibbare Speichermedien (z.B. CD-ROM), beschreibbare Speichermedien (z.B. eine Diskette, ein Festplattenlaufwerk, eine Lese/Schreib-CD-ROM, optische Medien), und Datenübertragungsmedien, beispielsweise Computer- und Telefonnetze einschließlich Ethernet, an ein Datenspeichersystem oder ein Computersystem übermittelt werden. Wenn solche signaltragenden Medien computerlesbare Befehle übertragen oder codieren, die Verfahrensfunktionen der vorliegenden Erfindung steuern, stellen sie alternative Ausführungsformen der vorliegenden Erfindung dar.

Claims (10)

  1. Verfahren zum Ergreifen von Maßnahmen nach einem Computereinbruch, wobei das Verfahren Folgendes umfasst: grafisches Darstellen eines Einbruchmusters eines bekannten Einbruchs, wobei die grafische Darstellung eine schriftliche Antwort in einem Knoten in einem Einbruchpfad (200) enthält; Vergleichen eines aktuellen Computereinbruchs mit der grafischen Darstellung des bekannten Einbruchs gemäß mindestens einem gemeinsamen Merkmal im Einbruchpfad des bekannten Einbruchs und des aktuellen Einbruchs; und auf den Vergleich des bekannten Einbruchs und des aktuellen Einbruchs hin Einleiten der schriftlichen Antwort, die auf den aktuellen Einbruch hin gegeben werden kann.
  2. Verfahren nach Anspruch 1, wobei das Einbruchmuster auf Einbruchereignissen beruht.
  3. Verfahren nach Anspruch 1, wobei das Einbruchmuster auf einer Hardwaretopologie beruht, die vom bekannten Einbruch betroffen ist.
  4. Verfahren nach Anspruch 1, wobei die schriftliche Antwort für den aktuellen Einbruch auf Protokolldaten für den bekannten Einbruch beruht.
  5. Verfahren nach Anspruch 1, das außerdem Folgendes umfasst: automatisches Ausführen des in Anspruch 1 beschriebenen Verfahrens unter Berücksichtigung von: einer erwarteten Antwortzeit für das manuelle Einleiten der schriftlichen Antwort; einem Schweregrad des aktuellen Einbruchs, wobei die schriftliche Antwort sich auf einem Niveau des Schweregrades befindet, das dem Schweregrad des aktuellen Einbruchs entspricht; und einer Typenklassifikation des aktuellen Einbruchs.
  6. System zum Ergreifen von Maßnahmen nach einem Computereinbruch, wobei das System Folgendes umfasst: ein Mittel zum grafischen Darstellen eines Einbruchmusters eines bekannten Einbruchs, wobei die grafische Darstellung eine schriftliche Antwort in einem Knoten in einem Einbruchpfad (200) enthält; ein Mittel zum vergleichen eines aktuellen Computereinbruchs mit dem Einbruchmuster des bekannten Einbruchs gemäß mindestens einem gemeinsamen Merkmal im Einbruchpfad des bekannten Einbruchs und des aktuellen Einbruchs; und ein Mittel zum Einleiten einer schriftlichen Antwort für den aktuellen Einbruch gemäß dem Vergleich des bekannten Einbruchs und des aktuellen Einbruchs.
  7. System nach Anspruch 6, wobei das Einbruchmuster auf einer Hardwaretopologie beruht, die vom bekannten Einbruch betroffen ist.
  8. System nach Anspruch 6, wobei die schriftliche Antwort für den aktuellen Einbruch auf Protokolldaten für den bekannten Einbruch beruht.
  9. System nach Anspruch 6, das außerdem Folgendes umfasst: ein Mittel zum automatischen Ergreifen von Maßnahmen nach einem Computereinbruch unter Berücksichtigung von: einer erwarteten Antwortzeit für das manuelle Einleiten der schriftlichen Antwort; einem Schweregrad des aktuellen Einbruchs, wobei die schriftliche Antwort sich auf einem Niveau des Schweregrades befindet, das dem Schweregrad des aktuellen Einbruchs entspricht; und einer Typenklassifikation des aktuellen Einbruchs.
  10. In einem Computer verwendbares Medium zum Ergreifen von Maßnahmen nach einem Computereinbruch, wobei das im Computer verwendbare Medium Folgendes umfasst: einen Computerprogrammcode zum grafischen Darstellen eines Einbruchmusters eines bekannten Einbruchs, wobei die grafische Darstellung eine schriftliche Antwort in einem Knoten in einem Einbruchpfad (200) enthält; einen Computerprogrammcode zum Vergleichen eines aktuellen Computereinbruchs mit dem Einbruchmuster des bekannten Einbruchs gemäß mindestens einem gemeinsamen Merkmal im Einbruchpfad des bekannten Einbruchs und des aktuellen Einbruchs; und einen Computerprogrammcode zum Einleiten einer schriftlichen Antwort für den aktuellen Einbruch gemäß dem Vergleich des bekannten Einbruchs und des aktuellen Einbruchs.
DE60308722T 2002-12-05 2003-11-28 Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche Expired - Lifetime DE60308722T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US313732 2002-12-05
US10/313,732 US7941854B2 (en) 2002-12-05 2002-12-05 Method and system for responding to a computer intrusion
PCT/GB2003/005219 WO2004051441A2 (en) 2002-12-05 2003-11-28 Method, system and computer software product for responding to a computer intrusion

Publications (2)

Publication Number Publication Date
DE60308722D1 DE60308722D1 (de) 2006-11-09
DE60308722T2 true DE60308722T2 (de) 2007-08-16

Family

ID=32468329

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60308722T Expired - Lifetime DE60308722T2 (de) 2002-12-05 2003-11-28 Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche

Country Status (10)

Country Link
US (1) US7941854B2 (de)
EP (1) EP1567926B1 (de)
JP (1) JP4283228B2 (de)
KR (1) KR100734732B1 (de)
CN (1) CN100518174C (de)
AT (1) ATE341024T1 (de)
AU (1) AU2003285563A1 (de)
DE (1) DE60308722T2 (de)
TW (1) TWI234707B (de)
WO (1) WO2004051441A2 (de)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US8201249B2 (en) * 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
WO2005036339A2 (en) * 2003-10-03 2005-04-21 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US20050076236A1 (en) * 2003-10-03 2005-04-07 Bryan Stephenson Method and system for responding to network intrusions
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US20050198530A1 (en) * 2003-12-12 2005-09-08 Chess David M. Methods and apparatus for adaptive server reprovisioning under security assault
US7225468B2 (en) * 2004-05-07 2007-05-29 Digital Security Networks, Llc Methods and apparatus for computer network security using intrusion detection and prevention
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7882262B2 (en) 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation
US20070195776A1 (en) * 2006-02-23 2007-08-23 Zheng Danyang R System and method for channeling network traffic
US8233388B2 (en) 2006-05-30 2012-07-31 Cisco Technology, Inc. System and method for controlling and tracking network content flow
US20080127343A1 (en) * 2006-11-28 2008-05-29 Avaya Technology Llc Self-Operating Security Platform
CN101286850B (zh) * 2007-04-10 2010-12-15 深圳职业技术学院 路由器安全防御装置及防御系统和方法
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
KR101190559B1 (ko) 2010-12-24 2012-10-16 한국인터넷진흥원 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법
CN104348795B (zh) * 2013-07-30 2019-09-20 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置
US11165812B2 (en) 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment
US20160180078A1 (en) * 2014-12-23 2016-06-23 Jasmeet Chhabra Technologies for enhanced user authentication using advanced sensor monitoring
US10552615B2 (en) 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
US11489851B2 (en) * 2017-11-06 2022-11-01 Cyber Defence Qcd Corporation Methods and systems for monitoring cyber-events
KR102062718B1 (ko) * 2019-07-29 2020-01-07 주식회사 에프원시큐리티 패킷 가상화를 이용한 IoT 허니넷 시스템
FR3104776B1 (fr) 2019-12-17 2023-07-07 Commissariat Energie Atomique Procédé de détermination d’une réaction en réponse à une anomalie dans un réseau informatique
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5542024A (en) 1992-07-09 1996-07-30 Johnson & Johnson Graphically used expert system tool background of the invention
JP2501771B2 (ja) 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
JPH06282527A (ja) 1993-03-29 1994-10-07 Hitachi Software Eng Co Ltd ネットワーク管理システム
US5546507A (en) 1993-08-20 1996-08-13 Unisys Corporation Apparatus and method for generating a knowledge base
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6144961A (en) 1995-08-31 2000-11-07 Compuware Corporation Method and system for non-intrusive measurement of transaction response times on a network
US6178509B1 (en) * 1996-06-13 2001-01-23 Intel Corporation Tamper resistant methods and apparatus
US5892903A (en) 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US6119236A (en) 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US5850516A (en) 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
KR100545512B1 (ko) * 1997-08-01 2006-01-24 퀄컴 인코포레이티드 무선통신에서의 재사용 침입 방지 시스템 및 방법
US6618074B1 (en) * 1997-08-01 2003-09-09 Wells Fargo Alarm Systems, Inc. Central alarm computer for video security system
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
EP1119813A1 (de) * 1998-09-28 2001-08-01 Argus Systems Group, Inc. Gesichertes unterteiltes computersbetriebsystem
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
WO2001084285A2 (en) * 2000-04-28 2001-11-08 Internet Security Systems, Inc. Method and system for managing computer security information
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7007301B2 (en) * 2000-06-12 2006-02-28 Hewlett-Packard Development Company, L.P. Computer architecture for an intrusion detection system
JP2002024831A (ja) 2000-07-10 2002-01-25 Casio Comput Co Ltd 指紋認証装置及び指紋認証システム
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
AU2001290861A1 (en) 2000-09-15 2002-03-26 Cymtec Systems, Inc. Network management system
US20020161929A1 (en) * 2001-04-30 2002-10-31 Longerbeam Donald A. Method and apparatus for routing data through a computer network
US6931552B2 (en) * 2001-05-02 2005-08-16 James B. Pritchard Apparatus and method for protecting a computer system against computer viruses and unauthorized access
JP2002342276A (ja) 2001-05-17 2002-11-29 Ntt Data Corp ネットワーク侵入検知システムおよびその方法
US7409714B2 (en) * 2001-06-13 2008-08-05 Mcafee, Inc. Virtual intrusion detection system and method of using same
US6907430B2 (en) * 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US6633835B1 (en) * 2002-01-10 2003-10-14 Networks Associates Technology, Inc. Prioritized data capture, classification and filtering in a network monitoring environment
US20030208616A1 (en) * 2002-05-01 2003-11-06 Blade Software, Inc. System and method for testing computer network access and traffic control systems
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion

Also Published As

Publication number Publication date
US7941854B2 (en) 2011-05-10
KR20050086445A (ko) 2005-08-30
TW200424845A (en) 2004-11-16
KR100734732B1 (ko) 2007-07-04
CN1695365A (zh) 2005-11-09
ATE341024T1 (de) 2006-10-15
WO2004051441A2 (en) 2004-06-17
AU2003285563A8 (en) 2004-06-23
CN100518174C (zh) 2009-07-22
JP4283228B2 (ja) 2009-06-24
WO2004051441A3 (en) 2004-08-26
JP2006509283A (ja) 2006-03-16
TWI234707B (en) 2005-06-21
DE60308722D1 (de) 2006-11-09
EP1567926A2 (de) 2005-08-31
EP1567926B1 (de) 2006-09-27
US20040111637A1 (en) 2004-06-10
AU2003285563A1 (en) 2004-06-23

Similar Documents

Publication Publication Date Title
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE112010003454T5 (de) Bedrohungserkennung in einem Datenverarbeitungssystem
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE202014011086U1 (de) System zur Bestimmung einer Vertrauenswürdigkeitskategorie von Anwendungen, die eine Schnittstellenüberlagerung durchführen
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
DE112016001742T5 (de) Integrierte Gemeinschafts- und Rollenentdeckung in Unternehmensnetzwerken
DE112004000428T5 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE202012013609U1 (de) System zur Verteilung der Verarbeitung von Computer-Sicherheitsaufgaben
DE10394008T5 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE602004011864T2 (de) Die DOS Angriffsmitigation mit vorgeschlagenen Mitteln von upstream Router
DE112018004465T5 (de) Systeme und Verfahren zum Überwachen eines Köders für den Schutz von Benutzern vor Sicherheitsbedrohungen
DE102015107073A1 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
DE202024106159U1 (de) System zur Identifikation und Prävention von Advanced Persistent Threats (APT) mit Big-Data-Analyse
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
DE112018004408B4 (de) Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie
DE10241974A1 (de) Überwachung von Datenübertragungen
DE10346923A1 (de) Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren
DE19734585C2 (de) Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen
DE102015107071B3 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
DE102021131272A1 (de) Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm
DE102023102565B4 (de) Verfahren zur Intrusions-Überwachung in einem Computernetzwerk sowie Kraftfahrzeug und Cloud Computing-Infrastruktur

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8320 Willingness to grant licences declared (paragraph 23)