JP2009539271A - コンピュータ・ネットワーク侵入検出のシステムおよび方法 - Google Patents
コンピュータ・ネットワーク侵入検出のシステムおよび方法 Download PDFInfo
- Publication number
- JP2009539271A JP2009539271A JP2008515191A JP2008515191A JP2009539271A JP 2009539271 A JP2009539271 A JP 2009539271A JP 2008515191 A JP2008515191 A JP 2008515191A JP 2008515191 A JP2008515191 A JP 2008515191A JP 2009539271 A JP2009539271 A JP 2009539271A
- Authority
- JP
- Japan
- Prior art keywords
- tcp
- connection
- information
- network
- violation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/663—Transport layer addresses, e.g. aspects of transmission control protocol [TCP] or user datagram protocol [UDP] ports
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
【課題】TCP/IPプロトコル・ベースのネットワーク内へ侵入を試行するデバイスを特定する方法が開示される。
【解決手段】本発明は、一方をTCP/IPスタック情報、他方をWindows(登録商標)セキュリティ・イベント・ログ情報とする2つの独立した情報レベル間の関連付けを行うことを可能にする。本方法により、セキュリティ・イベント・ログに格納されているとおりの攻撃側デバイスのコンピュータ名と、このコンピュータ名に関するTCP/IP情報との間に関連性を確立できる。
【選択図】図1
【解決手段】本発明は、一方をTCP/IPスタック情報、他方をWindows(登録商標)セキュリティ・イベント・ログ情報とする2つの独立した情報レベル間の関連付けを行うことを可能にする。本方法により、セキュリティ・イベント・ログに格納されているとおりの攻撃側デバイスのコンピュータ名と、このコンピュータ名に関するTCP/IP情報との間に関連性を確立できる。
【選択図】図1
Description
本発明は、全般的にコンピュータ・システムのセキュリティに関し、特に、このようなコンピュータ・システムにログオンしてコンピュータ・ネットワークにアクセスしようとする無効な試行の発信者を、検出および特定するシステムおよび方法に関する。
今日の広域ネットワーク・エンタープライズでは、ネットワークの数多くのコンピュータ・システムに対する無許可のアクセスを防ぐために、セキュリティが大きな懸案事項となっている。一般的に、1つの営業所内のコンピュータ・システムは、ローカル・エリア・ネットワーク(LAN:Local Area Network)を使用して接続されており、ネットワーク管理者が、ネットワークを維持し適切に実行させる責任を負っている。ローカル・エリア・ネットワーク(LAN)が増え続け、LANに接続されたパーソナル・コンピュータ(PC:personal computer)の数が急速な増大を続けるに従い、ネットワーク管理者にとってのネットワーク・セキュリティの問題はさらに増加する。
分散型LANが展開される傾向が続くにつれ、エンタープライズ・ネットワークに対し複数のアクセス・ポイントがもたらされる。これら分散型アクセス・ポイントはそれぞれ、制御されていない場合、ネットワークに対する潜在的なセキュリティ・リスクとなる。こういったリスクの中でも、ウイルス攻撃は、ウイルスが急速に拡散することによりITインフラストラクチャ全体に多大な影響を与える。攻撃全体の1/3超に相当する特定の種類のウイルスは、よく知られている「ワーム」というウイルスである。この後者のものは、オペレーティング・システムにおけるセキュリティの抜け穴を使用し、TCP/IPのウェルノウン・ポート番号137、139および445を通り、ネットワーク経由で、あるシステムから別のシステムへ拡散する。
TCP/IPは、伝送制御プロトコル/インターネット・プロトコル(TCP/IP:Transmission Control Protocol/Internet Protocol)のポート番号137(すなわち、NetBIOS Name Service)、139(すなわち、NetBIOS Session Service)および445(すなわち、Microsoft(Microsoft Corporationの商標)−DS)の頭字語である。
別のリスクは、保護されたリソースに対する自発的攻撃(voluntary attack)および(なりすましも使用した)無許可のアクセスである。
ファイアウォールは攻撃を認識してそれらをブロックする、という誤解が多く見られる。ファイアウォールは単に、全てを遮断してから、数少ない適切なアイテムだけを再び通すデバイスである。理想的なのは、システムが既に「封鎖」され安全であり、ファイアウォールが不要な状態である。セキュリティ・ホールが偶然開いたままになってしまっているということが、ファイアウォールを備える理由に他ならない。
したがって、ファイアウォールのインストール時にファイアウォールがまず行うのは、全ての通信を停止することである。続いて、ファイアウォールの管理者が慎重に「ルール」を追加して、特定の種類のトラフィックにファイアウォールの通過を許可する。例えば、インターネットへのアクセスを許可する典型的な企業ファイアウォールは、ユーザ・データグラム・プロトコル(UDP:User Datagram Protocol)およびインターネット制御メッセージ・プロトコル(ICMP:Internet Control Message Protocol)のデータグラム・トラフィックを全て止め、入方向のTCP接続を止めるであろうが、出方向のTCP接続は許可するであろう。これは、インターネット・ハッカーからの入方向の接続を全て止めながらも、内部ユーザの出方向への接続は許可する。
ファイアウォールは単に、2、3の適切な入り口を備えた、ネットワークの周りの囲いである。囲いは、押し入ろうとしている者(囲いの下に穴を掘るなど)を検出する機能を有さず、入り口を通り抜ける者が入る許可を得ているのかどうかもフェンスは認識しない。単に指定ポイントへのアクセスを制限するだけである。
結局のところ、ファイアウォールは動的な防御システムではない。それに比べ、侵入検出システム(IDS:intrusion detection system)の方がむしろ、この動的なシステムに当てはまる。IDSは、ネットワークに対するファイアウォールが確認できない攻撃を認識する。
ファイアウォールの別の問題は、エンタープライズ・ネットワークの境界にしか存在しないということである。ハッキングによる財務上の損失全体のうち約80%がネットワークの内側から生じている。ネットワークの周辺にあるファイアウォールは、内側で起こっていることは全く確認しない。ファイアウォールは、そのトラフィックが内部ネットワークとインターネットとの間を通過するのを確認するだけである。
ログ・ファイルおよびその他の会計機構は、ユーザおよびその活動の追跡に使用できる。ログ・ファイルおよび監査情報を使用することは、データ・セットの受動的な解析に頼ることから、受動検知(passive detection)として知られている。システム管理者は、オペレーティング・システムのセキュリティ・イベント・ログを点検し、システム攻撃またはセキュリティ違反が発生したかどうかを判断する責任がある。本出願人のTivoli Risk Manager(TivoliはIBM Corporationの登録商標(IBMはIBM Corporationの商標))、およびGFIソフトウェア社(GFI Software Ltd.)のGFi LANguard S.E.L.M.など、いくつかの既知の製品によって、これらのログを点検できる。
Tivoli Risk Managerは、クロス・オペレーティング・システムの可用性(OS/2(OS/2はIBM Corporationの商標)、Windows(登録商標)、Linux(LinuxはLinus Torvaldsの商標)、およびAIX(AIXはIBM Corporationの商標))を実現するフレームワーク・インフラストラクチャに基づいており、集中コンソール上で警報を通知する。このソリューションによって、管理者は、種々のセキュリティ警報間の適切な関連性をつくることができるようになる。しかし、異なるオペレーティング・システム間のNetBIOSの無効な試行に関する関連性は、深く解析されず、外部データベースに関連していない。
GFi LANguard S.E.L.M.は、1つの中央データベース内にすべてのセキュリティ・イベントを収集し、レポートおよびカスタム・フィルタを作成する、セキュリティ・イベント・ログ・モニタである。このソリューションは、1つのオペレーティング・システムのみ、すなわちWindows(登録商標)での動作に制限されるため、他のオペレーティング・システムに関しては攻撃の可能性が残る。
より広くいえば、既存のどのソリューションでも、誤った多数の警告メッセージを管理者が受信し、長時間かけてこれらのメッセージを手動で解析して、違反に該当しないものを本物の違反と区別しなければならない状態が続く。
そのため、前述の欠点を打開するソリューションが必要である。
本出願人による、「System and Method for detecting invalid access to computer network」と題された、特許出願番号04292461.3は、あらゆるオペレーティング・システム・サーバにおいてあらゆる侵入を検出するソリューションを提供している。
しかし、このソリューションの欠点は、すべてのソース情報がオペレーティング・システムの組み込みのログ・ファイルに由来するということ、および、これらのログ・ファイルは、攻撃側デバイスのワークステーション/コンピュータ名しか与えないということである。このコンピュータ名がどのドメイン・ネーム・サーバ(DNS:Domain Name Server)サーバにも登録されていない場合、または被害側企業に知られていない場合、この攻撃側デバイスを物理的に捜し当てることは不可能なことが多い。
これら既存の解析用ソリューションでは、ログ・アラートがセキュリティ・イベントの後に行われるため、依然として問題が残っており、1つのWindows(登録商標)サーバへのTCP/IPポートの履歴を確認する組み込み式の方法がないことが原因で、デバイスが被害側サーバに接続されているかどうかを確認できない。
その他のTCP/IPロガー・ツールも存在するが、セキュリティ・イベントが発生した後に手動でログ・ファイルを確認して、遠隔攻撃があったかどうかを確かめる必要がある。
さらに、これらTCP/IPツールでは、137/139/445TCPポートがアクセスできるようにすることを主な役割とするWindows(登録商標)ファイル・サーバに対するログオンが起こると、TCP/IPスタック(TCP/IPプロトコルを監視するソフトウェア)を詳しく調べる必要があり、加えて、1つのWindows(登録商標)ログオン137/139/445が正常であるかどうかを検査することはできない。
したがって、これが、こういったログ解析法の主な欠点である。さらに、解析して攻撃側デバイスを物理的に捜し当て切断するには、時間もかかる。
本発明は、これらの欠点をなくすソリューションを提供する。
よって、すべてのTCP/IPポートを1つのローカルのログ・ファイルに記録する、即座に機能する「オンライン」のソリューションを提供することが、本発明の目的である。本発明は、TCP/IPスタック・レベルおよびセキュリティ・イベント・ログ・レベルの2レベルで、同時に機能する。
TCP/IPポート番号137/139/445のうちの1つにおいて攻撃があった場合に、攻撃側デバイスのMACアドレス(MACは、ネットワークの各ノードを一意的に特定するハードウェア・アドレス、メディア・アクセス制御(Media Access Control)の略である)を読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。
TCP/IPポート番号137/139/445のうちの1つにおいて攻撃があった場合に、攻撃側デバイスのIPアドレスを読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。
TCP/IPポート番号137/139/445のうちの1つにおいて攻撃があった場合に、IPアドレスを企業のネットワーク・インフラストラクチャの記述に関連付けることにより、攻撃側デバイスの物理的位置(都市、建物、階、スイッチ番号、スイッチ上のポート)を読み出し記録するシステムおよび方法を提供することが、本発明の別の目的である。
本発明のさらなる目的は、エンタープライズ・コンピュータ・ネットワークにおいて、ワーム・ウイルスに感染しているデバイスを容易かつ効率的に特定するソリューションを提供することである。
本発明のさらに別の目的は、コンピュータ・システムでの違反イベントを解析するために必要な人的資源を減らし、結果として迅速な積極的反応を可能にするソリューションを提供することである。
本発明の態様によれば、添付の請求項に記載のシステムは、コンピュータ・ネットワークに対するコンピュータ・デバイスの無効なアクセスを検出することを目的として提案される。
より全般的には、本方法は、異なる複数のオペレーティング・システム上で動作する複数のコンピュータ・サーバと、複数のコンピュータ・デバイスとを有する、コンピュータ・ネットワーク内で機能することが好ましい。各コンピュータ・デバイスは、オペレーティング・システム・レベルでコンピュータ・サーバにより管理される。コンピュータ・ネットワークは、コンピュータ・ネットワークのユーザおよびコンピュータ・デバイスに関連した情報を含む、複数の情報データベースを含む。本方法は、各コンピュータ・サーバ上で、そのコンピュータ・サーバにより管理されている各コンピュータ・デバイスに対応する識別ファイルのセットを生成できるようにする。識別ファイルの全セットは、複数のコンピュータ・サーバから一意の中央違反データベースに収集される。各コンピュータ・デバイスについてネットワーク・アクセス違反のレベルを確定するために、識別ファイルの各セットと複数の情報データベースとが関連付けられる。各コンピュータ・デバイスに対応する違反メッセージは、ネットワーク・アクセス違反のレベルに基づき生成される。
本発明は、独立請求項において定義されているとおりの方法、システムおよびコンピュータ・プログラムを対象とする。
本発明の態様によれば、TCP/IPプロトコル・ベースのネットワーク内への侵入を試行しているデバイスを特定することを目的として提案された、添付の請求項1に記載の方法が提示される。本方法は、複数の管理対象デバイスを含むネットワークにおいて機能し、管理対象デバイスの中の少なくとも1つの管理対象デバイスは、セキュリティ・イベント・ログを処理する。本方法は、以下の工程を含む:
該少なくとも1つの管理対象デバイスにおいて、入方向のTCP/IP接続を検出する工程、
該少なくとも1つの管理対象デバイスのTCP/IPスタックから、検出された入接続を生成しているデバイスに関係した全TCP/IP情報を抽出する工程、
入方向のTCP/IP接続のポート番号を定義済みポート番号のセットと比較する工程、
比較が一致した場合は、検出された入方向のTCP/IP接続に関連した全イベント・ログ情報を、セキュリティ・イベント・ログから読み出す工程、および
検出された入方向のTCP/IP接続を生成しているデバイスのTCP/IP情報およびイベント・ログ情報を、違反ログ・ファイルに収集する工程。
該少なくとも1つの管理対象デバイスにおいて、入方向のTCP/IP接続を検出する工程、
該少なくとも1つの管理対象デバイスのTCP/IPスタックから、検出された入接続を生成しているデバイスに関係した全TCP/IP情報を抽出する工程、
入方向のTCP/IP接続のポート番号を定義済みポート番号のセットと比較する工程、
比較が一致した場合は、検出された入方向のTCP/IP接続に関連した全イベント・ログ情報を、セキュリティ・イベント・ログから読み出す工程、および
検出された入方向のTCP/IP接続を生成しているデバイスのTCP/IP情報およびイベント・ログ情報を、違反ログ・ファイルに収集する工程。
本発明のさらなる実施形態は、添付の従属請求項中で提供される。
商用形態では、方法の請求項のいずれか1項に従った方法をコンピュータ・マシンが実行できるようにするコンピュータ可読プログラム手段が、コンピュータ・マシンによって読み取り可能なプログラム記憶デバイスに具現化される。
コンピュータ・プログラム製品は、クライアント・マシンへロード/ダウンロードされ、中央違反マシンにより遠隔監視されてもよい。この中央違反マシンは、プログラム実行の終わりに受信される違反ログ・ファイルを解読する。違反レポートは、ネットワーク管理者へ侵入を通知するよう、違反が起きた場合に生成されればよい。
本発明の詳細な説明に入る前に、以降この文書で使用される用語は、以下の意味を有する。
TCP/IPプロトコル(Transmission Control Protocol/Internet Protocol:伝送制御プロトコル/インターネット・プロトコル):ネットワークを通したデータ伝送の標準として、加えて標準インターネット・プロトコルの基礎として使用される、コンピュータ間の通信用のプロトコル。
TCP/IPポート番号:ポートは論理接続の終点である。一部のポートは、事前割り当てされた番号を有する。ポート番号は、ウェルノウン・ポート、レジスタード・ポート、ならびに、ダイナミック・ポートまたはプライベート・ポートあるいはその両方の、3つの範囲に分けられる。ウェルノウン・ポートは、0から1023までのものである。レジスタード・ポートは、1024から49151までのものである。ダイナミック・ポートまたはプライベート・ポートあるいはその両方は、49152から65535までのものである。
TCP/IPスタック:TCP/IPプロトコルのソフトウェアによる実現。ネットワーク内で管理されているあらゆるデバイスに関連した、全TCP/IP情報を収集する。
IPアドレス(インターネット・プロトコル・アドレス):IPネットワーク(TCP/IPネットワーク)に接続されたデバイスのアドレス。クライアント、サーバおよびネットワーク・デバイスはどれも、各ネットワーク接続用に一意のIPアドレスを有する。
ホスト名:一意の名前であり、デバイスはこの名前によってネットワーク上で認識される。
セキュリティ・イベント・ログ:あらゆるセキュリティ・イベントに関係した全情報を記録するログ・ファイル。イベントは、オペレーティング・システムが実行されているのと同じコンピュータにある、ハード・ディスク・ドライブなどの記憶装置にローカルに記録される。イベント記録のプロセスは、ネットワークを通して行われてもよく、その場合イベントは、イベントが起こるホスト・コンピュータから離れた別のコンピュータ上で記録される。セキュリティ・イベント・ログには、有効なログオン試行および無効なログオン試行を含むことができる。各種類のイベントは、固有番号を用いて参照される。
イベントID:イベントの種類を特定する番号。
Userid:共有コンピューティング・システム上で、特定ユーザのアカウントを一意的に特定する名前。
本発明の侵入検出ツールが動作するのに好適なネットワーク環境が、図1に示されている。図示されているとおり、構内ネットワークは、ルータ100、スイッチ102、106(イーサネット(登録商標)のものが好ましい)、メール・サーバ108、オペレーティング・システム・サーバ(Windows(登録商標) 110、AIX(IBM社の登録商標)112、OS/2(IBM社の登録商標)114)、および中央違反データベース116を含む。ネットワークへのアクセスを試行する第1の攻撃側デバイスを図示するために、ローカル構内ネットワーク内の第1パーソナル・コンピュータ104が、イーサネット(登録商標)・スイッチ102を介してネットワークへつながれた状態で示されている。ネットワークへのアクセスを試行する第2の攻撃側デバイスを図示するために、物理的にローカル構内ネットワークの外側に位置する第2パーソナル・コンピュータ120が、ルータ100を介してローカル構内ネットワークにつながれた状態で示されている。攻撃側デバイスは、ワークステーションもしくはサーバ、またはより一般的には、ネットワークに入ることができる任意のコンピュータ・デバイスであると考えられる。
本発明の主な狙いは、一方をTCP/IPスタック情報、他方をWindows(登録商標)セキュリティ・イベント・ログ情報とする、2つの独立した情報間の関連付けを行うことによって、不正ログオンを追跡することである。本方法は、セキュリティ・イベント・ログに格納されたワークステーション/コンピュータ名と、このワークステーション/コンピュータ名に関係したTCP/IP情報との関連性を確立できるようにする。
入方向または出方向のTCP/IP接続の全詳細を含むログ・ファイルは、新たな接続に伴い絶えず更新される。
137/139/445TCP/IPポートの1つが検出されると、すぐにセキュリティ・イベント・ログが探索され、このNetBIOS接続が不正ログオンを作成しているかどうかが確認される。
発信者デバイスが少なくとも1つの不正なログオンを作成すると、この攻撃側デバイス(図1の104または120あるいはその両方)に関するすべての論理情報および物理情報が、TCP/IPスタックおよびセキュリティ・イベント・ログの両方から読み出される。
読み出される論理情報は、以下を含む:
IPアドレス;
ネットワーク・ホスト名;
そのネットワーク・アダプタのMACアドレス;
ワークステーション/コンピュータ名;
userid;
このuseridが、サーバ上で定義されている許可されたuseridのリストに存在するかどうか;
このuseridが、ワーム・ウイルスにより使用されるデフォルトのuseridすべてを含むSPYリスト内に存在するかどうか。
IPアドレス;
ネットワーク・ホスト名;
そのネットワーク・アダプタのMACアドレス;
ワークステーション/コンピュータ名;
userid;
このuseridが、サーバ上で定義されている許可されたuseridのリストに存在するかどうか;
このuseridが、ワーム・ウイルスにより使用されるデフォルトのuseridすべてを含むSPYリスト内に存在するかどうか。
読み出される物理情報は、以下を含む:
国;
建物;
階;
イーサネット・スイッチの識別情報;
このスイッチのポート番号。
国;
建物;
階;
イーサネット・スイッチの識別情報;
このスイッチのポート番号。
当該情報は全て、ネットワーク管理者(単数または複数)にセキュリティ違反が発生していることをリアル・タイムで通知するために、中央違反データベース116に収集および追加される。
加えて、1通またはそれより多くの情報メールが、1人またはそれより多くの受信者に送信されてもよい。
ここで図2を参照すると、本発明の全般的なプロセスの好適な実施形態が図示されている。このプロセスは、Windows(登録商標)環境(Windows(登録商標) 2000 Professional、Server 2000、Server 2003またはWindows(登録商標) XP Professional)で動作している任意のコンピュータ・デバイス上で実行されるものであることが好ましい。
第1の工程200において、解析デバイスの起動からプロセスが開始する。
工程202において、プロセスは、該プロセスが動作している解析デバイスの、オペレーティング・システムを確認する。
工程204において、構成ファイル(一般的に「.INI」ファイルと名づけられている)に定義された複数の構成パラメータが以下のように特定および格納される:
[MAIL]
SENDING=YES
[SERVER]
MAILSERVER=“<mail server address>”
[DESTINATION]
MAIL1=“<mail recipient 1>”
MAIL2=“<mail recipient 2>”
BCC=“<mail blank copy>”
[SPEED]
INTERVAL=2sec.
[MAC_ADDRESS]
MAC=YES
[LOGFILE]
MAXSIZE=10000bytes
[POPUP]
SHOW=YES
[MAIL]
SENDING=YES
[SERVER]
MAILSERVER=“<mail server address>”
[DESTINATION]
MAIL1=“<mail recipient 1>”
MAIL2=“<mail recipient 2>”
BCC=“<mail blank copy>”
[SPEED]
INTERVAL=2sec.
[MAC_ADDRESS]
MAC=YES
[LOGFILE]
MAXSIZE=10000bytes
[POPUP]
SHOW=YES
当然のことながら、これら2サイクル間の時間間隔などのパラメータは、ネットワーク特性に応じて調整されるとよい。
工程206において、プロセスは、現在のログ・ファイルのサイズを「.INI」ファイル内で事前に定義されているMAXSIZEパラメータと比較する。現在値がMAXSIZE値よりも大きいと、プロセスは工程208へ進み(分岐のはい)、ここでログ・ファイルが空にされる。
現在値がMAXSIZE値よりも低いと、プロセスは工程210へ進む(分岐のいいえ)。
工程210において、プロセスは、工程212でさらにIPスタック情報を格納するために、IPスタック・メモリ・アレイを作成する。
工程212において、よく知られているWindows(登録商標)「GetTcpTable」APIから、IPスタック情報が瞬時に読み取られる。このAPIに関するさらに詳しい情報は、例えばhttp://msdn.microsoft.com/library/default.asp?url=/library/en−us/iphlp/iphlp/gettcptable.aspで見つけられるであろう。
前述のAPIは、以下の情報を提供する:
解析デバイスのローカルIPアドレス;
解析デバイスのローカルTCP通信ポート;
攻撃側デバイスのリモートIPアドレス;
攻撃側デバイスのリモートTCP通信ポート;および
攻撃側デバイスのリモート・ホスト名。
解析デバイスのローカルIPアドレス;
解析デバイスのローカルTCP通信ポート;
攻撃側デバイスのリモートIPアドレス;
攻撃側デバイスのリモートTCP通信ポート;および
攻撃側デバイスのリモート・ホスト名。
次に工程213において、プロセスはAPIの深さの終点をテストする。このテストは、それが記録される最後の接続であるかどうかを確認することを目的とする。APIが終了されていなければ(分岐のいいえ)プロセスは工程214へ進み、そうでなくAPIの最後の記録であれば(分岐のはい)プロセスは工程204へ進んで「.INI」ファイル読み取りサイクルを再開する。
工程214において、プロセスは、先に工程212において読み取られた最新接続情報を、前回の読み取りサイクルから存在する接続情報と比較する。このテストは、どの接続が新しいかを確認することを目的とする。新たな接続が発見されなければ(分岐のいいえ)、プロセスは工程204へ戻って新たな「.INI」ファイル読み取りサイクルを開始する。新たな接続が少なくとも1つ発見されると(分岐のはい)、プロセスは工程216を続行する。
工程216において、プロセスは不要なIPアドレスをフィルタする。好適な実装では、「127.0.0.1」または「0.0.0.0」に相当する不要なIPアドレスは、記録するほど重要ではないものとして分類される。
不要値の1つと合う場合(分岐のはい)、プロセスは工程213へ戻り、次のアクティブ接続を解析する。
不要値と合わない場合(分岐のいいえ)、プロセスは工程218を続行する。
工程218において、プロセスは、発見された新たな接続情報を、1つのIPスタック・メモリ・アレイに格納して工程220へ進む。
工程220において、プロセスは、現在解析対象である接続の中に137、139または445ポートのうちの1つが存在するかどうか探索する。テスト結果が「いいえ」であれば、プロセスは工程226へ進み、そうでなく、テスト結果がウイルス攻撃の可能性があることを意味する「はい」であれば、プロセスは工程222を続行する。
工程222において、プロセスは、現在解析対象である接続のネットワーク・ホスト名を読み出す。ネットワーク・ホスト名は、固定ホスト名、または動的ホスト構成プロトコル(DHCP:Dynamic Host Configuration Protocol)サーバによって分配される動的なもののうちの、いずれかである。続いて、プロセスは工程224へ進む。
工程224において、プロセスはサブルーチンを呼び出し、セキュリティ・イベント・ログを解析する。このプロセスは、図4を参照してさらに詳説される。ルーチン工程224が完了すると、プロセスは工程226へ進む。
工程226において、先のセキュリティ・イベント解析の結果により、違反結果ログ・ファイルに新たなエントリが追加される。以下のように、異なる3タイプのエントリを書き込めることが好ましい。
解析された接続がNetBIOS接続ではない場合、少なくとも以下のフィールドが記録に含まれる:
日付および時間
ローカルIPアドレス
ローカルIPポート
リモートIPアドレス
リモートIPポート。
日付および時間
ローカルIPアドレス
ローカルIPポート
リモートIPアドレス
リモートIPポート。
解析された接続はNetBIOS接続であるが、違反は検出されていない場合、先に記載したフィールドに加えてホスト名が記録に含まれる。
解析された接続はNetBIOS接続であり、違反が検出された場合、ワークステーション/コンピュータ名および違反に使用されたuseridなど、攻撃側デバイスを特定するための補足情報が記録に含まれる。下のリストはそのような詳細情報を例示する:
日付および時間
ローカルIPアドレス
ローカルIPポート
リモートIPアドレス
リモート・ポート・アドレス
ホスト名
ワークステーション名
違反に使用されたuserid
MACアドレス
違反の警告レベル(低、中、高)
日付および時間
ローカルIPアドレス
ローカルIPポート
リモートIPアドレス
リモート・ポート・アドレス
ホスト名
ワークステーション名
違反に使用されたuserid
MACアドレス
違反の警告レベル(低、中、高)
エントリが違反ログ・ファイルに記録されると、プロセスは工程228へ進む。
工程228において、先のエントリがタイプIIIのエントリであると確認されると、プロセスは工程230へ進み、そうでない場合、プロセスは工程213へ戻る。
工程230において、セキュリティ・イベント・ログの詳細、IPスタック情報と、警告レベルなどの全追加情報との両方を含む完全情報が、最終違反レポートとして中央違反データベースへ送信される。続いて、プロセスは工程213へ戻る。
図3は、ウイルス攻撃に関するこのような違反レポートの例を示す。ウィンドウの上部には、警告メッセージが配置されている。例示されたウィンドウは幾つかの領域に分割され、それぞれ、被害側デバイス、攻撃側デバイスのTCP/IPスタック、攻撃の論理情報および物理情報に関連した情報を提供する。
ここで図4へ進み、セキュリティ・イベント・ログから情報を読み取るプロセスをここから説明する。
工程400において、工程224から呼び出されたプロセスが開始する。
工程402において、プロセスを実行しているデバイスのローカル・ホスト名が読み出される。
工程404において、プロセスは、セキュリティ・イベント・ログから最新の違反イベントを抽出する。当業者には知られているとおり、セキュリティ・イベント・ログは複数の情報フィールドを含み、その中にはセキュリティ・イベントの性質を識別する、よく知られた「イベントID」がある。工程404で、イベントID「529、530、531、532、533、534、535、537および539」が分類され、これらのイベントIDのみに該当する違反情報が抽出されることが好ましい。イベントIDに関するさらなる情報は、例えばhttp://support.microsoft.com/default.aspx?scid=kb;en−us;305822&sd=eeで得られるであろう。
次に工程406において、プロセスは、前回のプロセス実行以降に不正(無効)ログオンが発生したかを確認する。
不正ログオンが検出されると、プロセスはこの不正ログオンを、工程220で検出された最も新しいNETBIOS接続に関連付け、工程410へ進む。
不正ログオンが検出されなければ、プロセスは工程436へ続く。
工程410において、プロセスは、ローカル・デバイス上に定義されている複数のuseridを抽出する。
次に工程412において、プロセスは、最新の違反により発見されたuseridを、ローカル・デバイス上で先に発見および定義されているuseridと比較する。
違反に使用されたuseridが、ローカル・デバイスに定義された複数のuseridのうちの1つである場合、プロセスは工程414へ続き、「低」レベルの警告を設定する(工程414)。続いて、プロセスは工程422へ続く。
違反に使用されたuseridがローカル・デバイスに定義された複数のuseridのうちの1つでない場合、プロセスは工程416へ続く。
工程416において、プロセスは、違反に使用されたuseridを、ローカルにあるSPYリスト内で定義されているuseridと比較する。
SPYリストは、当業者には知られているとおり、ウイルスによって継続的に使用されているuserid全てを参照用に記載したものである。
違反に使用されたuseridが、SPYリストのuseridのうちの1つである場合、プロセスは工程420へ進んで、ウイルス攻撃に関する「高」レベルの警告を設定する。続いて、プロセスは工程422へ続く。
違反に使用されたuseridがSPYリストのuseridのうちの1つでない場合、プロセスは工程418へ進み、「中」レベルの警告を設定する。
次の工程422において、プロセスは、工程204で読み取られたパラメータに基づき、攻撃側デバイスのMACアドレスを読み出す。
工程424において、新たなサブルーチン「LOCATION」が開始され、攻撃側デバイスのIPアドレスが、各IPアドレスの物理的位置を定義するネットワーク・インフラストラクチャ・データベースに含まれたIPアドレスのリストと比較される。
工程426において、攻撃側デバイスのIPアドレスがネットワーク・インフラストラクチャ・データベースに存在するもののうちの1つであるかどうかを判断するために、テストが行われる。
はいの場合、プロセスは、工程428へ続き、攻撃側デバイスの所有者に関係する全情報が、ネットワーク・インフラストラクチャ・データベースから抽出される。この情報は、工程230で送信される違反レポートに追加される。続いてプロセスは、工程434へ進む。
いいえの場合、攻撃側デバイスのIPアドレスはネットワーク・インフラストラクチャ・データベース内で発見されなかったことを意味し、プロセスは工程430へ続く。
工程430において、プロセスは、位置探索を広げ、IPアドレスの同一グループに関連する全デバイスの位置を確認できるようにする。これを行うためには、攻撃側デバイスのIPアドレスを切り捨てして最後の範囲を削除する(例えば、「9.36.164.76」の代わりに「9.36.164」で新たに探索する)。
探索結果が「はい」で、同じIPアドレスの範囲を有するデバイス・グループが特定されたことを意味する場合、プロセスは工程428へ続き、そうでない場合、プロセスは工程432へ進む。
工程432において、後で工程230において送信される最終違反レポートに、「位置不明」に関するコメントが追加される。
次の工程434において、後で工程230において送信される最終違反レポートに、ローカル・デバイスのIPアドレスが追加される。
続いて、最後に工程436において、サブルーチンは工程226の最初の呼び出しプロセスへ戻る。
要約すると、本発明は、ウイルス攻撃を検出すること、および攻撃されたデバイスのユーザが攻撃に気づく前に即座にネットワーク管理者へ警報を出すことを可能にする。
さらに、迅速なウイルス検出により、ネットワーク管理者はウイルス攻撃の拡散を制御および軽減でき、それによってウイルス攻撃の影響による費用を大幅に削減できる。
本発明は、任意のウイルス攻撃の検出に関して説明されているが、当然のことながら、リアル・タイムであらゆる無効なアクセスを監視し迅速に必要な処置をするために、容易に使用できる。
最後に、本発明のもう1つの他の利点は、CPUリソースがあまり使用されないことである。
Claims (19)
- 複数の管理対象デバイス(108、110、112、114、116)を有するTCP/IPプロトコル・ベースのネットワーク内への侵入を試行するデバイス(104、120)を特定する方法であって、前記ネットワークは、セキュリティ・イベント・ログを処理する少なくとも1つの管理対象デバイスをさらに有し、前記方法は、
前記少なくとも1つの管理対象デバイスにおいて入方向のTCP/IP接続を検出する工程と、
前記検出された入方向の接続を生成している前記デバイスに関係する全TCP/IP情報を、前記少なくとも1つの管理対象デバイスのTCP/IPスタックから抽出する工程と、
前記入方向のTCP/IP接続のポート番号を、定義済みポート番号のセットと比較する工程と、
前記比較が一致した場合、前記検出された入方向のTCP/IP接続に関連した全イベント・ログ情報を、前記セキュリティ・イベント・ログから読み出す工程と、
前記検出された入方向のTCP/IP接続を生成している前記デバイスの、前記TCP/IP情報および前記イベント・ログ情報を、違反ログ・ファイルに収集する工程と
を含む、方法。 - 定義済みポート番号の前記セットは、ポート番号137、139および445を含む、請求項1に記載の方法。
- セキュリティ・イベント・ログを処理する前記少なくとも1つの管理対象デバイスは、Windows(登録商標)オペレーティング・システム上で動作する、請求項1または2に記載の方法。
- 前記TCP/IP情報を抽出する前記工程は、Windows(登録商標)「GetTcpTable」APIを読み取る工程を含む、請求項1、2または3に記載の方法。
- 前記検出工程の後に、前記入方向のTCP/IP接続のIPアドレスを不要なIPアドレスのセットと比較し、一致する場合には識別プロセスを停止する工程をさらに含む、請求項1〜4のうちのいずれか1項に記載の方法。
- 不要なIPアドレスの前記セットは、「127.0.0.1」および「0.0.0.0」に相当するIPアドレスを含む、請求項5に記載の方法。
- 前記ポート番号の比較工程において一致する場合、前記検出された入方向のTCP/IP接続を生成している前記デバイスのホスト名を読み出す工程を、前記比較工程の後にさらに含む、請求項1〜6のうちのいずれか1項に記載の方法。
- 前記セキュリティ・イベント・ログ情報を読み出す前記工程は、前記少なくとも1つの管理対象デバイスのホスト名を読み出す工程をさらに含む、請求項1〜7のうちのいずれか1項に記載の方法。
- 前記入方向のTCP/IP接続のイベントIDの値に従い、前記入方向の接続をフィルタする工程をさらに含む、請求項1〜8のうちのいずれか1項に記載の方法。
- 前記入方向のTCP/IP接続のログオン情報が1つまたは複数のフィルタのセットを満たすかどうかを確認する工程をさらに含む、請求項1〜9のうちのいずれか1項に記載の方法。
- 1つまたは複数のフィルタの前記セットは、無許可ログオンのリストを1つまたは複数含む、請求項10に記載の方法。
- 前記セキュリティ・イベント・ログ情報を読み出す前記工程は、前記TCP/IPの入方向の接続を生成している前記デバイスのMACアドレスを読み出す工程をさらに含む、請求項11に記載の方法。
- 前記入方向のTCP/IP接続を生成している前記デバイスの前記IPアドレスを、前記TCP/IPプロトコル・ベースのネットワークに関し定義されたIPアドレスのセットと比較する工程をさらに含む、請求項12に記載の方法。
- 前記TCP/IP情報と共に収集された前記イベント・ログ情報は、前記入方向のTCP/IP接続を生成している前記デバイスの論理情報および物理的位置情報を含む、請求項1〜13のうちのいずれか1項に記載の方法。
- 前記収集された情報を中央違反データベースへ送信して、侵入が特定されたことを示す工程をさらに含む、請求項1〜14のうちのいずれか1項に記載の方法。
- 複数の管理対象デバイス(108、110、112、114、116)を有するTCP/IPプロトコル・ベースのネットワーク内への侵入を試行しているデバイス(104、120)を特定するシステムであって、前記ネットワークは、セキュリティ・イベント・ログを処理する少なくとも1つの管理対象デバイスをさらに有し、前記システムは、請求項1〜15のうちのいずれか1項に記載の前記方法の前記工程それぞれを実施する手段を含む、システム。
- コンピュータ・マシンにより読み取り可能な媒体に格納されたコンピュータ・プログラム製品であって、前記コンピュータ・マシンに請求項1〜15のうちのいずれか1項による前記方法を実行させる可読プログラム手段を有形に具現化する、前記コンピュータ・プログラム製品。
- Windows(登録商標)ベースの複数のデバイスを有するTCP/IPベースのネットワークにおいて、セキュリティ・イベントの記録を残すようセキュリティ・イベント記録プロシージャを使用して、セキュリティ・イベントを監視する方法であって、前記Windows(登録商標)ベースのデバイスは中央違反データベースにつながれ、前記方法は、
前記Windows(登録商標)ベースの複数のデバイスのうちの少なくとも1つにおいて、請求項1に記載の前記方法の前記工程を実行する工程と、
前記中央違反データベースにおいて、前記実行工程により生成された前記違反ログ・ファイルを受信する工程と、
前記違反ログ・ファイルを解読し、違反が起こっている場合には、ネットワーク管理者への違反レポートを生成する工程と
を含む方法。 - 前記実行工程の前に、請求項17に記載の前記コンピュータ・プログラム製品を、前記Windows(登録商標)ベースの複数のデバイスのうちの前記少なくとも1つにロードする工程をさらに含む、請求項18に記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP05300457 | 2005-06-06 | ||
| PCT/EP2006/062766 WO2006131475A1 (en) | 2005-06-06 | 2006-05-31 | Computer network intrusion detection system and method |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009539271A true JP2009539271A (ja) | 2009-11-12 |
| JP4742144B2 JP4742144B2 (ja) | 2011-08-10 |
Family
ID=37081617
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008515191A Active JP4742144B2 (ja) | 2005-06-06 | 2006-05-31 | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム |
Country Status (8)
| Country | Link |
|---|---|
| US (2) | US8272054B2 (ja) |
| EP (1) | EP1889443B1 (ja) |
| JP (1) | JP4742144B2 (ja) |
| CN (1) | CN101176331B (ja) |
| AT (1) | ATE459184T1 (ja) |
| CA (1) | CA2610350C (ja) |
| DE (1) | DE602006012479D1 (ja) |
| WO (1) | WO2006131475A1 (ja) |
Families Citing this family (166)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
| US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
| US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
| US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
| US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
| US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
| US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
| US8793787B2 (en) | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
| US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
| US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
| US8646038B2 (en) * | 2006-09-15 | 2014-02-04 | Microsoft Corporation | Automated service for blocking malware hosts |
| US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
| US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
| CN101662480B (zh) * | 2009-09-01 | 2012-03-07 | 卡斯柯信号有限公司 | 一种基于访问控制的日志系统 |
| US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
| CN102026253B (zh) * | 2010-12-21 | 2014-04-02 | 大唐移动通信设备有限公司 | 告警上报和处理方法、系统及设备 |
| US20120259870A1 (en) * | 2011-04-07 | 2012-10-11 | Infosys Technologies Limited | Method and system for establishing sorting order for events |
| CN102663274B (zh) * | 2012-02-07 | 2015-12-02 | 北京奇虎科技有限公司 | 一种检测远程入侵计算机行为的方法及系统 |
| US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
| US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
| US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
| US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
| US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
| US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
| US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
| US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
| US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
| US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
| US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
| US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
| US9565202B1 (en) * | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
| US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
| US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
| WO2014145805A1 (en) | 2013-03-15 | 2014-09-18 | Mandiant, Llc | System and method employing structured intelligence to verify and contain threats at endpoints |
| US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
| US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
| US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
| US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
| US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
| US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
| US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
| US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
| US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
| US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
| US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
| US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
| US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
| US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
| US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
| US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
| US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
| US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
| US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
| US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
| US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
| US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
| US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
| US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
| US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
| US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
| US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
| US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
| US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
| US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
| US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
| US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
| US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
| US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
| US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
| US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
| US9773112B1 (en) * | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
| US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
| US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
| US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
| US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
| US10165004B1 (en) | 2015-03-18 | 2018-12-25 | Cequence Security, Inc. | Passive detection of forged web browsers |
| US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
| US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
| US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
| US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
| US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
| US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
| US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
| US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
| US11418520B2 (en) * | 2015-06-15 | 2022-08-16 | Cequence Security, Inc. | Passive security analysis with inline active security device |
| US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
| US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
| US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
| US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
| CN105138915B (zh) * | 2015-08-07 | 2018-03-06 | 天脉聚源(北京)传媒科技有限公司 | 一种进程操作的处理方法及装置 |
| US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
| US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
| US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
| US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
| US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
| US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
| US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
| US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
| US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
| US9860273B2 (en) * | 2015-10-09 | 2018-01-02 | T-Mobile Usa, Inc. | Logging encrypted data communications for QOE analysis |
| US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
| US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
| US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
| US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
| US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
| US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
| US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
| US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
| US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
| US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
| US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
| US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
| US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
| US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
| US10616266B1 (en) | 2016-03-25 | 2020-04-07 | Fireeye, Inc. | Distributed malware detection system and submission workflow thereof |
| US10826933B1 (en) | 2016-03-31 | 2020-11-03 | Fireeye, Inc. | Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints |
| US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
| US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
| US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
| US10187414B2 (en) * | 2016-07-20 | 2019-01-22 | Cisco Technology, Inc. | Differential malware detection using network and endpoint sensors |
| US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
| US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
| CN107948125A (zh) * | 2016-10-13 | 2018-04-20 | 腾讯科技(深圳)有限公司 | 一种网络攻击的处理方法及装置 |
| US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
| US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
| US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
| US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
| US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
| US20180255076A1 (en) | 2017-03-02 | 2018-09-06 | ResponSight Pty Ltd | System and Method for Cyber Security Threat Detection |
| US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
| US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
| US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
| US10848397B1 (en) | 2017-03-30 | 2020-11-24 | Fireeye, Inc. | System and method for enforcing compliance with subscription requirements for cyber-attack detection service |
| US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
| US11398083B2 (en) * | 2017-04-03 | 2022-07-26 | Nippon Telegraph And Telephone Corporation | Analysis device, analysis method, and analysis program |
| US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
| US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
| US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
| US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
| US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
| US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
| US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
| US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
| US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
| US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
| US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
| US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
| US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
| US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
| US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
| US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
| US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
| US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
| US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
| US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
| US12074887B1 (en) | 2018-12-21 | 2024-08-27 | Musarubra Us Llc | System and method for selectively processing content after identification and removal of malicious content |
| EP3713189A1 (de) * | 2019-03-22 | 2020-09-23 | Siemens Aktiengesellschaft | Intrusionserkennung bei computersystemen |
| US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
| US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
| US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
| US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
| US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
| US11695787B2 (en) | 2020-07-01 | 2023-07-04 | Hawk Network Defense, Inc. | Apparatus and methods for determining event information and intrusion detection at a host device |
| CN114301616A (zh) * | 2021-09-29 | 2022-04-08 | 广西交通设计集团有限公司 | 基于elg实现防火墙安全日志统计分析方法 |
| CN114595005A (zh) * | 2022-03-16 | 2022-06-07 | 广联达科技股份有限公司 | 应用程序的启动方法、装置、计算机设备及存储介质 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10164064A (ja) * | 1996-12-05 | 1998-06-19 | Hitachi Ltd | ネットワーク侵入経路追跡方式 |
| JP2001217834A (ja) * | 2000-02-02 | 2001-08-10 | Internatl Business Mach Corp <Ibm> | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 |
| WO2002098085A1 (en) * | 2001-05-25 | 2002-12-05 | Mitsubishi Denki Kabushiki Kaisha | Internet communication system |
| JP2004128733A (ja) * | 2002-09-30 | 2004-04-22 | Internatl Business Mach Corp <Ibm> | 通信監視システム及びその方法、情報処理方法並びにプログラム |
| JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
Family Cites Families (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CA2137587C (en) * | 1994-12-08 | 1999-03-23 | Murray Charles Baker | Broadcast/multicast filtering by the bridge-based access point |
| US5809235A (en) * | 1996-03-08 | 1998-09-15 | International Business Machines Corporation | Object oriented network event management framework |
| US6460141B1 (en) * | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
| US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
| US7065657B1 (en) * | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
| US7134141B2 (en) * | 2000-06-12 | 2006-11-07 | Hewlett-Packard Development Company, L.P. | System and method for host and network based intrusion detection and response |
| US7007301B2 (en) * | 2000-06-12 | 2006-02-28 | Hewlett-Packard Development Company, L.P. | Computer architecture for an intrusion detection system |
| US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
| JP2002330177A (ja) * | 2001-03-02 | 2002-11-15 | Seer Insight Security Inc | セキュリティ管理サーバおよびこれと連携して動作するホストサーバ |
| US7284267B1 (en) * | 2001-03-08 | 2007-10-16 | Mcafee, Inc. | Automatically configuring a computer firewall based on network connection |
| US7845004B2 (en) * | 2001-07-27 | 2010-11-30 | International Business Machines Corporation | Correlating network information and intrusion information to find the entry point of an attack upon a protected computer |
| CN1421777A (zh) * | 2001-11-27 | 2003-06-04 | 四川安盟科技有限责任公司 | 一种伪装服务的网络安全防护技术 |
| JP2003183497A (ja) * | 2001-12-19 | 2003-07-03 | Riken Corp | 摺動部材 |
| US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
| WO2003075125A2 (en) * | 2002-03-01 | 2003-09-12 | Enterasys Networks, Inc. | Location aware data network |
| US20030188189A1 (en) * | 2002-03-27 | 2003-10-02 | Desai Anish P. | Multi-level and multi-platform intrusion detection and response system |
| DE10242917A1 (de) * | 2002-09-16 | 2004-03-25 | Siemens Ag | System zur Erfassung und Anzeige eines Sicherstatus von Geräten |
| US7191241B2 (en) * | 2002-09-27 | 2007-03-13 | Alacritech, Inc. | Fast-path apparatus for receiving data corresponding to a TCP connection |
| US20040205419A1 (en) * | 2003-04-10 | 2004-10-14 | Trend Micro Incorporated | Multilevel virus outbreak alert based on collaborative behavior |
| CN100459563C (zh) * | 2003-11-21 | 2009-02-04 | 维豪信息技术有限公司 | 认证网关及其数据处理方法 |
| CN100407089C (zh) * | 2004-10-15 | 2008-07-30 | 国际商业机器公司 | 检测非法访问计算机网络的系统和方法 |
| US7610375B2 (en) * | 2004-10-28 | 2009-10-27 | Cisco Technology, Inc. | Intrusion detection in a data center environment |
| US7676841B2 (en) * | 2005-02-01 | 2010-03-09 | Fmr Llc | Network intrusion mitigation |
-
2006
- 2006-05-31 CN CN200680016585XA patent/CN101176331B/zh active Active
- 2006-05-31 EP EP06763409A patent/EP1889443B1/en active Active
- 2006-05-31 US US11/916,373 patent/US8272054B2/en not_active Expired - Fee Related
- 2006-05-31 DE DE602006012479T patent/DE602006012479D1/de active Active
- 2006-05-31 CA CA2610350A patent/CA2610350C/en active Active
- 2006-05-31 AT AT06763409T patent/ATE459184T1/de not_active IP Right Cessation
- 2006-05-31 WO PCT/EP2006/062766 patent/WO2006131475A1/en not_active Ceased
- 2006-05-31 JP JP2008515191A patent/JP4742144B2/ja active Active
-
2012
- 2012-06-05 US US13/488,595 patent/US8631496B2/en not_active Expired - Fee Related
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH10164064A (ja) * | 1996-12-05 | 1998-06-19 | Hitachi Ltd | ネットワーク侵入経路追跡方式 |
| JP2001217834A (ja) * | 2000-02-02 | 2001-08-10 | Internatl Business Mach Corp <Ibm> | アクセス・チェーン追跡システム、ネットワーク・システム、方法、及び記録媒体 |
| WO2002098085A1 (en) * | 2001-05-25 | 2002-12-05 | Mitsubishi Denki Kabushiki Kaisha | Internet communication system |
| JP2004128733A (ja) * | 2002-09-30 | 2004-04-22 | Internatl Business Mach Corp <Ibm> | 通信監視システム及びその方法、情報処理方法並びにプログラム |
| JP2004206564A (ja) * | 2002-12-26 | 2004-07-22 | Hitachi Information & Control Systems Inc | 不正アクセス検証装置及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| ATE459184T1 (de) | 2010-03-15 |
| US20120297489A1 (en) | 2012-11-22 |
| CN101176331A (zh) | 2008-05-07 |
| US8272054B2 (en) | 2012-09-18 |
| EP1889443A1 (en) | 2008-02-20 |
| WO2006131475A1 (en) | 2006-12-14 |
| DE602006012479D1 (de) | 2010-04-08 |
| US20080209541A1 (en) | 2008-08-28 |
| JP4742144B2 (ja) | 2011-08-10 |
| US8631496B2 (en) | 2014-01-14 |
| CA2610350A1 (en) | 2006-12-14 |
| CA2610350C (en) | 2015-04-28 |
| EP1889443B1 (en) | 2010-02-24 |
| CN101176331B (zh) | 2011-12-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
| US9917857B2 (en) | Logging attack context data | |
| Fuchsberger | Intrusion detection systems and intrusion prevention systems | |
| US8640234B2 (en) | Method and apparatus for predictive and actual intrusion detection on a network | |
| US7596807B2 (en) | Method and system for reducing scope of self-propagating attack code in network | |
| US6907533B2 (en) | System and method for computer security using multiple cages | |
| Gula | Correlating ids alerts with vulnerability information | |
| US8490190B1 (en) | Use of interactive messaging channels to verify endpoints | |
| US20050216956A1 (en) | Method and system for authentication event security policy generation | |
| US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
| JP2010508598A (ja) | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 | |
| JP2010198386A (ja) | 不正アクセス監視システムおよび不正アクセス監視方法 | |
| Hooper | An intelligent detection and response strategy to false positives and network attacks | |
| CN100424609C (zh) | 分析和处理来自网络入侵检测系统的警报的方法和系统 | |
| JP2003218949A (ja) | ネットワークの不正利用の監視方法 | |
| Singh et al. | A review on intrusion detection system | |
| JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
| Perez | Practical SIEM tools for SCADA environment | |
| Brenton | Honeynets | |
| Hooper | Intelligent autonomic strategy to attacks in network infrastructure protection: Feedback methods to IDS, using policies, alert filters and firewall packet filters for multiple protocols | |
| Asarcıklı | Firewall monitoring using intrusion detection systems | |
| Dwivedi et al. | A Real Time Host and Network Mobile Agent based Intrusion Detection System (HNMAIDS) | |
| He | Network security threats and defense | |
| CN120429188A (zh) | 一种油田网络安全事件闭环管理系统 | |
| Belsis et al. | A security incident data model |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20101124 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110216 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110426 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110509 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4742144 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140513 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |