[go: up one dir, main page]

JP4364901B2 - アタックデータベース構造 - Google Patents

アタックデータベース構造 Download PDF

Info

Publication number
JP4364901B2
JP4364901B2 JP2006509691A JP2006509691A JP4364901B2 JP 4364901 B2 JP4364901 B2 JP 4364901B2 JP 2006509691 A JP2006509691 A JP 2006509691A JP 2006509691 A JP2006509691 A JP 2006509691A JP 4364901 B2 JP4364901 B2 JP 4364901B2
Authority
JP
Japan
Prior art keywords
data
hash table
entry
data value
list
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2006509691A
Other languages
English (en)
Other versions
JP2006523427A (ja
JP2006523427A5 (ja
Inventor
ニール ズック
Original Assignee
ジュニパー ネットワークス, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ジュニパー ネットワークス, インコーポレイテッド filed Critical ジュニパー ネットワークス, インコーポレイテッド
Publication of JP2006523427A publication Critical patent/JP2006523427A/ja
Publication of JP2006523427A5 publication Critical patent/JP2006523427A5/ja
Application granted granted Critical
Publication of JP4364901B2 publication Critical patent/JP4364901B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10TECHNICAL SUBJECTS COVERED BY FORMER USPC
    • Y10STECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y10S707/00Data processing: database and file management or data structures
    • Y10S707/99941Database schema or data structure
    • Y10S707/99943Generating database or data structure, e.g. via user interface

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Storage Device Security (AREA)
  • Transition And Organic Metals Composition Catalysts For Addition Polymerization (AREA)
  • Medicines Containing Material From Animals Or Micro-Organisms (AREA)

Description

本発明は、コンピュータ・ネットワークのセキュリティを制御するための方法に関する。
ファイアウォールおよび侵入検出システムは、未許可のユーザまたは破壊行為を目的とするユーザから、コンピュータ・ネットワークを保護するために用いる装置である。ファイアウォールは、ローカルエリア・ネットワークの外側にいるユーザから、ローカルエリア・ネットワークを保護するために用いることができる。ファイアウォールは、ローカルエリア・ネットワークの外側にいるユーザに対して送信される、または、そのユーザから送信される全てのメッセージをチェックし、経路制御し、さらに頻繁にラベリングを行う。侵入検出システム(IDS)は、通信システムにおける不審な挙動パターンを認識するために用いられる。侵入検出システムの例として、ネットワーク侵入検出システム(NIDS)およびホスト侵入検出システム(HIDS)が挙げられる。NIDSは、ネットワーク内で通信される情報を調べ、不審な挙動パターンを認識するために用いられる。HIDSは、ネットワーク内の特定のホストコンピュータを介して通信される情報を調べ、不審な挙動パターンを認識するために用いられる。侵入検出システム(IDS)により得られる情報は、未許可のユーザまたは破壊行為を目的とするユーザが、ネットワークにアクセスすることができないようにするために用いられる。
ファイアウォールまたは侵入検出システムは、ネットワークへの入力イベントおよびネットワークからの出力イベントを記録するログレコードを生成することができる。ログレコードには、セキュリティ違反、帯域幅利用状況、電子メール利用状況、およびインターネットへの従業員アクセスなどのイベントが含まれる。一般的に、これらのログレコードは、未遂のセキュリティ違反やトラフィックパターンにおける傾向を検出するために、ネットワーク・セキュリティ管理者によって調査される。ログレコードは、概して非常に件数が多いので、未遂のセキュリティ侵入を検出するために、大抵はログレコードを分析する問合せ言語が用いられる。問合せ言語はまた、このログレコードを分析し、ネットワーク管理者のためにこれらのログレコードをまとめたレポートを作成するために用いられる。これらのレポートは、認識されたネットワーク・セキュリティ侵入に対応するために、ネットワーク管理者が使用することができる。ログレコードに作用する問合せ言語命令はまた、ネットワーク管理者のための警報を生成するために用いられる。ログレコードは非常に件数が多い場合があるので、ログレコードを分析するために問合せ言語命令を利用しているネットワーク・セキュリティの方法は、速度が遅くなる可能性がある。また、問合せ言語に基づく方法は、新しい問合せの受信ごとに全てのログレコードが分析される場合、速度が遅くなることがある。
本発明は、未遂のネットワーク・セキュリティ違反を検出するためのコンピュータ・プログラム製品を含む、方法および装置を提供する。一つの態様において、本発明は、コンピュータ・ネットワークにおけるセキュリティレコードのログを検査する方法を提供し、ログレコードの取得、テーブルに対するキーの導出を含むログレコードの処理、ログレコード内の情報からのデータ値の決定、データ値が一意であれば、そのキーに対応付けられるデータ値のリストに、該データ値を追加することから成る。この方法は、未遂のセキュリティ違反を検出するために予め定められた基準に基づき、テーブル内の一つ以上のエントリを評価することから成る。
本発明の態様は、以下の特徴のうち少なくとも一つを備えることができる。テーブルは、ハッシュテーブルでよい。データ値のリストは、リンクリストとして実施可能である。データ値のリストは、ハッシュテーブルとして実施可能である。データ値のリストは、ツリー型で実施可能である。テーブル内の少なくとも一つのエントリについての評価は、テーブル内のすべてのエントリを評価することを含むことができる。
他の態様において、本発明は、コンピュータ・ネットワークにおけるセキュリティレコードのログを検査する方法を提供し、ログレコードを取得し、ハッシュキーを作成するためにログレコードの少なくとも一つのフィールドをハッシュし、該ハッシュキーを用いてハッシュテーブルを評価することから成る。一致するハッシュテーブルエントリがない場合、当該方法は、新規なエントリをハッシュテーブルに追加することから成る。一致するハッシュテーブルエントリがある場合、当該方法は、このハッシュテーブルエントリに対応付けられるデータリストを取得し、該データリストに挿入すべきデータ値を算出するためにログレコードの少なくとも一つのフィールドを使用し、このデータ値の一意性を決定するためにデータリストを評価し、このデータ値が一意であればデータリストに該データ値を挿入することから成る。
また別の態様において、本発明は、ポートスキャンを検出する方法を提供し、送信元アドレスおよび送信先アドレスを含むログレコードを取得し、ハッシュキーを作成するために送信元アドレスおよび送信先アドレスをハッシュし、該ハッシュキーを使用してハッシュテーブルを評価する。一致するハッシュテーブルエントリがある場合、当該方法は、データリストを取得して一致するエントリがあるかを決定し、一致するエントリがない場合は該データリストに該エントリを有する送信先ポートを挿入し、データリスト内の項目件数が所定の項目件数を超える場合は、ポートスキャンと判断することから成る。
また別の態様において、本発明は、データ処理装置が、ログレコードの取得、テーブルに対するキーの導出を含むログレコードの処理、ログレコード内の情報からのデータ値の決定、および、データ値が一意である場合、当該キーに対応付けられるデータ値のリストに、そのデータ値の追加を行うようにする命令を、コンピュータに実行させるためのコンピュータ・プログラム製品を備える。テーブルの少なくとも一つのエントリは、未遂のセキュリティ違反を検出するために予め定められた基準に基づいて評価される。
本発明の態様には、以下の利点のうちの少なくとも一つが含まれる。テーブルは、ハッシュテーブルでよい。データ値のリストは、リンクリストとして実施可能である。データ値のリストは、ハッシュテーブルとして実施可能である。データ値のリストは、ツリー型で実施可能である。テーブル内の少なくとも一つのエントリを評価するための命令は、テーブル内のすべてのエントリを評価するための命令を含むようにしてもよい。
また別の態様において、本発明は、データ処理装置が、ログレコードの取得、ハッシュキーを作成するためにログレコードの少なくとも一つのフィールドのハッシング、該ハッシュキーを用いてのハッシュテーブル評価を行うようにする命令を、コンピュータに実行させるためのコンピュータ・プログラム製品を備える。一致するハッシュテーブルエントリがない場合、本発明は、ハッシュテーブルに新規なエントリを追加させる。一致するハッシュテーブルエントリがある場合、本発明は、該ハッシュテーブルエントリに対応付けられるデータリストを取得させ、データ値を算出するためにログレコード内の少なくとも一つのフィールドを用い、一致するエントリが存在するかどうかを決定するために、該データ値とデータリスト内のエントリを比較し、一致するエントリが存在しなければ、データリストに該データ値を挿入し、未遂のセキュリティ違反を検出するための所定の基準に基づき、データリストを評価させる。
本発明の態様には、以下の利点のうちの少なくとも一つが含まれる。本発明は、ハッシュテーブルに新規エントリを追加する命令により、データ処理装置が、新規のエントリに対応付けられる空のデータリストをハッシュテーブルに作成するようにし、データリストに新規エントリを挿入する命令により、データ処理装置が、データリストの評価をトリガーするようにし、チェックテーブル操作を発行する命令により、データ処理装置が、データリストの評価をトリガーするようにし、所定基準に基づいてデータリストを評価する命令により、データ処理装置が、ログレコードに対応付けられるパケットをブロックするようにし、所定基準に基づいてデータリストを評価する命令により、データ処理装置が、ある特定のログレコードに対応付けられるパケットとして、同じ送信元から今後送信されてくるすべてのパケットをブロックするようにし、所定基準に基づいてデータリストを評価する命令により、データ処理装置が、未遂のセキュリティ違反を報告できるようにすること、を含む。
データリストはリンクリストでもよい。データリストはハッシュテーブルでもよい。データリストはツリー型でもよい。本発明は、該データリストを評価する命令により、複数のログレコードがデータリストに追加された後に、データ処理装置がデータリストを評価するようにしてもよい。本発明は、該データリストを評価する命令により、各ログレコードがデータリストに追加された後に、データ処理装置がデータリストを評価するようにしてもよい。本発明は、ハッシュキーを用いてハッシュテーブルを評価する命令により、データ処理装置が、第二のハッシュテーブルを処理するようにしてもよい。本発明は、第二のハッシュテーブルを処理する命令により、データ処理装置が、一致するハッシュテーブルエントリを用いて第二のハッシュテーブルを取得し、ハッシュキーを用いて該第二のハッシュテーブルを評価するようにしてもよい。一致する第二のハッシュテーブルが存在しない場合、本発明は、該第二のハッシュテーブルに対して新規のエントリを追加させる。一致する第二のハッシュテーブルが存在する場合、本発明は、該第二のハッシュテーブルエントリに対応付けられる第二のデータリストを取得し、データ値と第二のデータリスト内のエントリとを比較し、一致するエントリがあるかどうかを決定し、一致するエントリが存在しない場合の第二のデータリストに該データ値を挿入し、および未遂のセキュリティ違反を検出するための所定の基準に基づいて、該第二のデータリストを評価することができる。
また別の態様において、本発明は、コンピュータ・ネットワーク内のセキュリティレコードのログを検査するための情報担体により具現化されており、これは、データ処理装置が、ログレコードを取得し、ハッシュキーを作成するために該ログレコード内の少なくとも一つのフィールドをハッシングし、該ハッシュキーを用いたハッシュテーブルを評価させる命令を、該コンピュータに実行させるコンピュータ・プログラム製品を含む。一致するテーブルエントリが存在しない場合、本発明はハッシュテーブルに対する新規エントリの追加を可能とする。一致するハッシュテーブルが存在する場合、本発明は、ハッシュテーブルエントリに対応付けられるデータリストを取得し、ログレコード内の少なくとも一つのフィールドを用いて、データリストに挿入すべきデータ値を算出し、該データ値の一意性を決定するために該データリストを評価し、該データ値が一意であれば、該データリストに対して該データ値を挿入させる。
また別の態様において、本発明は、ポートスキャンを検出するための情報担体により具現化されており、データ処理装置に、送信元アドレスおよび送信先アドレスを含むログレコードを取得させ、ハッシュキーを作成するために送信元アドレスおよび送信先アドレスをハッシュし、該ハッシュキーを用いてハッシュテーブルを評価させる命令を、コンピュータに実行させるコンピュータ・プログラム製品を含む。一致するハッシュテーブルエントリが存在する場合、本発明は、該ハッシュテーブルエントリに対応付けられるデータリストを取得し、一致するエントリが存在するか否かを決定するために、送信先ポートとデータリスト内のエントリとを比較し、一致するエントリが存在しなければデータリスト内に該送信先ポートを挿入し、データリスト内の項目件数が所定数を超える場合は、ポートスキャンと判断することができる。
本発明の利点は、以下の特徴のうち少なくとも一つを含む。各ログレコードは最初に受信された時点で一回のみ処理される必要がある。ハッシュテーブルは、ログレコードを格納し取得するために使用されるので、ログレコードの分析を速く行うことができる。ログレコードそれ自体ではなく、処理済みログレコードを格納するので、メモリ容量は少なくてすむ。
各種図面における同様の参照番号および記号表示は、同等の構成要素を示す。
図1Aは、サーバ102、数機のワークステーション(W/S)104、ファイアウォール106、およびNIDS108を備えた、ローカルエリア・ネットワーク(LAN)100を含むネットワークトポロジを示す。NIDS108は、インラインモードで動作し、ネットワーク内で通信されている状態の情報を分析する。LAN100は、ファイアウォール106を介して、インターネット114などの外部ネットワークに接続される。LAN100はまた、ルータ118および衛星120を介して、第二のLAN116に接続される。第二のLAN116は、ウェブサーバ110、電子メールサーバ112、サーバ102、数機のワークステーション104、ファイアウォール106、およびNIDS108を備える。LAN内のコンピュータ、サーバ、および他の装置は、ワイヤ、光ファイバー、および電波などの、数々のデータ伝送媒体を用いて相互に接続される。各LANは、ネットワーク内で通信されるメッセージを分析するための侵入検出システムを用いて、不審な挙動パターンを認識する。LAN100および116の各々は、ファイアウォール106およびNIDS108に接続されるレコード処理装置122を備える。このレコード処理装置(RPU)122は、ファイアウォール106およびNIDS108のいずれか一つからログレコードを受信し、未遂のネットワーク・セキュリティ侵入を検出するためにログレコードを分析する。別の方法として、パッシブ(非インライン)モードで、NIDSを伝送経路の外側に構成することも可能である。非インラインモードにおいて、NIDS装置は、ネットワークによって受信されたトラフィックを監視して検査を行うが、特定のアタックシグネチャに一致すると決定されたことを報告するのみである(すなわち、パケットを削除しない)。図1Bは、非インラインモードで動作するNIDS124を含むネットワークトポロジを示す。NIDS124は、ネットワーク内で通信される情報を受信し、アタックを判断し、その報告を行うか、そうでなければ、未許可または破壊行為を目的とするユーザからの今後の通信をブロックするために受動的に作動する。
図2は、RPU122を示すブロック図である。RPU122は、ネットワーク上の少なくとも一つのセキュリティ装置と通信するため(例えば、ファイアウォールや侵入検出システムと通信するため)のインターフェース202を備える。インターフェース202は、セキュリティログを受信するために用いられる。RPU122は、処理エンジン204を用いて、ネットワーク上のセキュリティ装置から受信したセキュリティログを処理する。処理済ログレコードは、データベース208に格納される。評価エンジン206は、データベース208に格納されている処理済ログレコードを用いて、未遂のネットワーク・セキュリティ違反を検出する。RPU122により検出される、いかなる未遂のネットワーク・セキュリティ違反も、インターフェース202を用いて各々のセキュリティ装置に伝えることができる。
RPU122は、少なくとも二つの異なるモードで動作させることが可能である。第一のモードにおいては、複数のログレコードを受信し処理する。該第一のモードは、オフラインモードと呼ばれる。第二のモードにおいては、RPUはログレコードが作成されたときに個々のレコードを受信して処理する。該第二のモードは、オンラインモードと呼ばれる。
図3は、オフラインモードの動作を説明するフロー図である。オフラインモードにおいて、レコードのログは、RPU122へと通信される。該ログは受入通信と送出通信に基づいて、ネットワーク上のセキュリティ装置により作成される。RPU122はログレコードを受信し(ステップ300)、処理するために個々のレコードを取得する(ステップ302)。このログレコードはテーブルデータ構造を構築し更新するために使用される(ステップ304)。 処理する必要のあるログレコードがさらに存在する場合には(ステップ306)、制御がステップ302に渡され、この時、処理が繰り返されて次のログレコードが処理される。実施例の一つにおいては、すべてのログエントリが処理された後に、テーブルデータ構造が評価され(ステップ308)、いずれかの未遂のセキュリティ侵入が検出された場合、RPU122が対応する(ステップ310)。未遂のセキュリティ侵入に対応する場合、RPU122は、セキュリティ装置(例えば、ファイアウォール、IDS)またはネットワーク上の他の装置に対し、未遂のセキュリティ侵入を伝えることが可能である。また実施例の一つにおいては、RPU122は、(例えば、関与する送信元からのパケットをすべてブロックするためにファイアウォールに対してルールを伝えることにより)未遂の侵入に関与する送信元から今後送信されてくるパケットすべてをブロックすることができる。RPU122はまた、管理者が適切に対処できるように、管理者に対して、未遂のセキュリティ侵入について報告することも可能である。
図4は、オンラインモードの動作を説明するフロー図である。オンラインモードにおいては、個々のログレコードがRPU122により受信され、処理される(ステップ400)。オンラインモードにおいて、RPU122は、個々のログレコードを受信するたびに処理を行う。処理済ログレコードは、テーブルデータ構造(402)を更新するために使用され、結果として生じるテーブルデータ構造は、各ログレコードが処理された後に評価される(404)。その後、RPU122は、次のログレコードの処理を開始する前に、未遂の侵入があればそれに対応する(406)。
図5は、RPU122により使用されるテーブルデータ構造の一例を表したものである。ここで図2から図5を参照すると、ログレコードのフィールドから処理エンジン204により作成されたハッシュキー512は、テーブルアドレス作成部508を用いて、ハッシュテーブル500内のエントリとしてのアドレスを作成するために使用される。アドレス作成部508により作成されるアドレスは、ハッシュテーブル500内で選択されたエントリを検索するために使用される。ハッシュテーブルエントリの各々は、データ値502、データ値のリスト504、データ値またはデータリストに対するポインタ506、のいずれかである。データ値または一組のデータ値(502または506)から成るエントリは、データベース208内のハッシュテーブル500に直接格納するこができる。データリストに対し、ハッシュテーブルエントリは、データベース208内の、データリストに対するポインタ506となる。データリスト510は、データ値のリストを含み、リンクリストまたは他の適切なデータ構造を用いて実施される。
ハッシュテーブル500内のデータエントリとデータリスト510は、所定の時間経過後に失効するようにタグ付けすることができる。処理エンジンによりタイマ509を使用して、ハッシュテーブルまたはデータリスト内に格納された所定のデータエントリについて具体的な継続時間を測定する。該継続時間が終了した時点で、データエントリを削除することができる。各エントリをタイムスタンプとタグ付けすることにより簡単なタイマを実現してもよい。評価をする際には、現在時刻とスタンプされた時間とを比較することができる。大幅に時間が経過したエントリは、評価ステップの前に取り除いてもよい。
図6は、テーブルデータ構造の生成を表したフロー図である。RPU122(図1a)は、ネットワーク上の少なくとも一つのセキュリティ装置から、少なくとも一つのログを受信する(ステップ600)。個々のログレコードが取得され(ステップ602)、該ログレコードのフィールドは、ハッシュキーを作成するために使用される(ステップ604)。作成されたハッシュキーは、ハッシュテーブルを評価するために用いられる(ステップ606)。ハッシュテーブル内に一致するエントリがある場合(ステップ608)、該選択されたハッシュテーブルエントリに対応付けられるデータリストが取得される(ステップ610)。ログレコードの少なくとも一つのフィールドを用いて作成されたデータ値(ステップ624)は、該データリスト内のデータ値と比較される(ステップ612)。一意なデータ値のみがデータリストに挿入される。データリスト内に一致するエントリがある場合(ステップ614)、ログレコードから導出されたデータ値は、データリストに挿入されない(ステップ616)。データリスト内に一致するエントリがない場合、データ値はデータリスト内に挿入され(ステップ618)、ステップ602に制御が渡され、この時、処理が繰り返されて、次のログレコードが処理される。ステップ608で、ハッシュテーブルにおいて一致するエントリがない場合、新規のハッシュテーブルエントリと新規のデータリストが生成される(ステップ620)。新規のデータリストは、作成されたハッシュキーによって示されるハッシュテーブルエントリと対応付けられ(ステップ622)、ログレコードのフィールドを用いて作成されるデータ値は(ステップ624)、このデータリストに挿入される(ステップ618)。ステップ618が完了した後、制御がステップ602に渡され、この時、受信された各ログレコードに対する処理が繰り返される。
図7は、未遂のセキュリティ違反を検出するためにハッシュテーブルを評価する処理を説明するフロー図である。テーブルデータ構造は、新規なエントリが、該テーブルデータ構造の一部であるハッシュテーブルまたはデータリストに新規なエントリが追加される度に評価される。さらに、ユーザが開始する「チェックテーブル」操作によりテーブルデータ構造の評価を起動させてもよい。実施例の一つにおいて、該テーブルデータ構造は、各ハッシュテーブルエントリを取得することにより評価される(ステップ700)。エントリがデータリストに対するポインタである場合(ステップ702)、データリストが取得される(ステップ704)。テーブルエントリがデータ値または一組のデータ値を含む場合は、これらの値が取得される(ステップ706)。ステップ704またはステップ706において取得されたデータ値は、未遂のセキュリティ違反が行われたかどうかを決定するために所定の基準と比較される(ステップ708)。未遂の侵入が検出された場合、RPU122は、未遂の違反の性質に基づき、複数のアクションのうちの一つを採用することができる(ステップ710)。RPU122は、NIDSまたはファイアウォールと通信し、このログレコードに対応付けされている現行パケットを削除することができる。RPU122はまた、未遂のセキュリティ違反に対応して、同じ送信元から今後送信されてくるすべてのパケットをブロックすることができる。さらに、RPU122は、いかなる未遂のセキュリティ違反についても管理者が適切に対応できるよう、管理者に対して報告を行う。この処理は、ハッシュテーブル内のすべてのエントリに対して繰り返される。
ハッシュテーブル評価処理についての別の実施例の一つにおいては、前回のテーブル評価の後、修正があったテーブルエントリのみ、評価処理過程で考慮される。これは、テーブルデータ構造に新規のデータ値が挿入された結果として修正されたエントリであればそれを示すタグフィールドを、ハッシュテーブル内に含めることにより達成することができる。該タグフィールドは、テーブル評価処理を行う間、修正されたデータ値の位置を特定するために使用される。該タグフィールドは、修正されたデータがテーブルを評価するために使用された後は、リセットすることができる。また、ハッシュテーブル評価処理についての別の実施例の一つにおいては、新規のデータ値がテーブルデータ構造に挿入された直後に、ハッシュテーブルが評価される(すなわち、上記図6のステップ618の直後)。
RPU122は、二つ以上のハッシュテーブルを用いることができる。図8は、未遂のセキュリティ侵入を検出するために、二つ以上のハッシュテーブルを用いる例を示す。本実施例において、ログレコードは、オンラインまたはオフラインモード動作のいずれかの過程において、RPU122により取得される(ステップ800)。該ログレコード、該ログレコードから作成されるハッシュキー、または該ログレコードとそのログレコードから導出されるハッシュキーとの組み合わせのいずれかを用いて、評価戦略が決定される(ステップ805)。該評価戦略は、所定のレコードのために行うべきテスト件数、およびテストの種類を特定するために用いられる。該評価戦略は、周知のアタックシグネチャおよび同じ送信元から送信された先行ログレコードなどを含む、いくつかの基準に基づいたものでもよい。実行しなければならない異なる種類のテストのために、評価戦略に基づき、いくつかのハッシュキーが作成される(ステップ815)。作成されたハッシュキーは、実行すべきテストに対応付けられるハッシュテーブルを更新するために使用される(ステップ820)。これらのテストに対応付けられるハッシュテーブルは、未遂のセキュリティ侵入があったかどうかを決定するために評価される(ステップ825)。本例においては、すべてのハッシュキーおよびすべてのハッシュテーブルをはっきりと区別できない場合もある。二つの異なるハッシュテーブルを更新し評価するために同じハッシュキーを使用することが可能である。また、二つの異なるテストの一環として、同じハッシュテーブルを評価するために、二つの異なるハッシュキーを使用することもできる。
図9は、未遂のセキュリティ侵入を検出するためにカスケード・ハッシュテーブルを使用する例を示す。本例において、テーブル評価処理の一環として、第一のハッシュテーブルエントリが第一のハッシュテーブルから取得される。第一のハッシュテーブルエントリは、所定の基準に対して第一のハッシュテーブルエントリを比較することにより、チェックされる(ステップ900)。特定のセキュリティ侵入を検出するための評価処理は、第二のハッシュテーブルを評価することを必要とする場合がある。該第二のハッシュテーブルのための第二のハッシュキーは、第一のハッシュキー、第一のハッシュキーにより選択された第一のハッシュテーブルエントリ、または、第一のハッシュキーと第一のハッシュキーにより選択された第一のハッシュテーブルエントリの組み合わせを用いて生成される(ステップ905)。第二のハッシュテーブルは、第二のハッシュキーを用いて更新され(ステップ910)、未遂のセキュリティ侵入があったかどうかを決定するために第二のハッシュテーブルが評価される(ステップ915)。個々のハッシュテーブルの評価は、図6を参照して上記で説明したとおりである。
図10は、ポートスキャニング・アタックを検出する方法の一例を示す。コンピュータ・セキュリティを攻撃するために頻繁に用いられる手法である、ポートスキャニングは、ハッカーに対し、どこで弱点を見出すかという着想を提供する。ポートスキャンは、コンピュータが、どのコンピュータネットワークサービス(各々「周知の」ポート番号と対応付けられている)を提供しているかということを知るためにコンピュータに探りを入れようとしているハッカーにより送信される一連のメッセージから成る。原則として、該ポートスキャンは、例えば一回に一つ、各ポートに対してメッセージを送信することから成る。受信したレスポンスの種類により、ポートが使用されているか、またはアクセス可能であるかが示され、したがって弱点を探り出すことができる。本例において、ポート・クエリを含むレコードのログが評価される。該ログは、ルータ、ファイアウォール、または他のセキュリティ装置によって作成される。RPU122は、受信したログレコードから送信元および送信先IPアドレスを抽出する(ステップ1000)。ログレコードによって報告される送信元および送信先IPアドレスはハッシュキーを作成するために使用される(ステップ1005)。作成されたハッシュキーは、第一のハッシュテーブル1015を評価するためにテーブルアドレス作成部1010によって使用される。RPU122は、このアプリケーションによってアクセスされる一意のポートアドレスをすべて、作成されたハッシュキーにより選択されるハッシュテーブルエントリ1020により示されるデータリスト1025に追加する。典型的なポートスキャン・アタックの間、ハッカーは短時間内に多数のポートにアクセスしようとするので、データリスト1025には多数のエントリが蓄積される。データリスト1025に追加されるポート数の各々は、例えばタイマ509を使用して、所定の時間経過後に失効するようタグ付けすることが可能である(図5)。データリスト1025に所定数のエントリが蓄積されると、ポートスキャンが検出される。ハッシュキーに含まれる送信元および送信先IPアドレスは、スキャン元と、スキャン対象のコンピュータを決定するために使用される。
また別の例においては、このような開示された技術が、メールサーバ・アタックの検出をするために使用される。典型的なメールサーバ・アタックは、三つのフェーズで進行することが可能である。アタックの第一フェーズの間、ハッカーは周知のポート番号上で稼動するメールサーバ(例えば、ポート25上で稼動するほとんどのSTMPサーバ)に接続を試みることができる。第一のエントリは、このアタックの第一フェーズに対応付けられるデータベース(例えばハッシュテーブル)内に格納される。具体的には、潜在的なハッカーに対応付けられる送信元アドレスから導出されるハッシュキーは、ハッシュテーブル内のあるレコードを指し示すために使用可能である。第一のアタックの時点で、該レコードは、特定された送信元アドレスの潜在的ハッカーがメールサーバに接触したということを示す第一のエントリで構成される。アタックの第二フェーズの間、NIDSまたはHIDSは、例えばバッファ・オーバーフローなどの、不正利用攻撃を検出する。この不正利用攻撃は、特定の送信元に対応付けられているので、送信元に対応付けられているレコードに対するハッシュテーブルでチェックを行うことができる。さらに具体的には、送信元アドレスはキーを作成するために使用され、従って、一致するエントリを求めてハッシュテーブルをスキャンするために使用される。もし一致するレコードがそのデータベース内にある場合、検出されたシステムの不正利用を試みた送信元を示すために、探し出されたレコードに第二の要素を追加することができる。アタックの第三フェーズの間、メールサーバはネットワークに対する接続を開始することができる。というのは、ハッカーがメールサーバを制御し、成功裏にメールサーバを利用して、ハッカープロテクトのかかった情報(例えばパスワードファイル)を送信するからである。メールサーバをさらに制御しようとする攻撃が検出された場合、再度、ハッシュテーブルを更新することができる。具体的には、メールサーバを占有しようとする攻撃が検出されたハッカーのアドレスからキーが導出される。このキーは、該ハッカーに対応付けられるハッシュテーブル内の適当なレコードの位置をつきとめるために使用される。第三のフェーズは、ハッカーに対応付けられる該レコード内に、未遂のメールサーバ占有を示す第三要素が構成されることになる。評価の際には、アタックイベントの順序(ポートスキャン、不正利用、およびメールサーバ占有)は、メールサーバ攻撃として認識され、適切な対応がなされる。
本発明は、デジタル電子回路、またはコンピュータハードウェア、ファームウェア、ソフトウェア、またはそれらの組み合わせにおいて実施される。本発明は、コンピュータ・プログラム製品、すなわち、プログラマブルプロセッサ、コンピュータ、複数のコンピュータなどの情報装置による実行のため、またはその動作制御のために、情報担体内(例えば機械で読み取り可能な情報装置内、または伝達信号内)で明確に具現化されるコンピュータ・プログラム製品として実施可能である。コンピュータ・プログラムは、コンパイルまたは翻訳された言語を含む、いかなるプログラム言語の形式で書かれてもよく、スタンドアロンプログラムとして、またはモジュール、コンポーネント、サブルーチン、またはコンピューティング環境での使用に適する他の単位等と、いかなる形式としてでも展開される。コンピュータ・プログラムは、一つのコンピュータ、または一つのサイトにおける複数のコンピュータ、または複数のサイトに跨って分散され通信ネットワークにより相互接続された複数のコンピュータで実行されるよう展開される。
本発明の方法ステップは、入力データにより動作し、出力を作成することにより本発明の機能を果たすためのコンピュータ・プログラムを実行する、少なくとも一つのプグラマブルプロセッサによって実施することができる。また、例えば、FPGA(Field Programmable Gate Array)、またはASIC(Application-specific Integrated Circuit)などの専用論理回路により、本発明の方法ステップを実施し、または、それらの専用論理回路として、本発明の装置を実施することができる。
コンピュータ・プログラムの実行に適するプロセッサは、例えば、汎用マイクロプロセッサと専用マイクロプロセッサの両方を含み、また、いかなる種類のデジタルコンピュータでも、その少なくとも一つのプロセッサであればどんなものでもよい。一般的にプロセッサは、読み取り専用メモリまたはランダムアクセスメモリ、またはその両方から命令およびデータを受信する。コンピュータの必須要素は、命令を実行するプロセッサと、命令およびデータを格納するための少なくとも一つのメモリ装置である。また、一般的にコンピュータは、データ受信もしくは送信、または送受信のために、例えば、磁気ディスク、光磁気ディスク、または光学ディスク等の、データを格納するための少なくとも一つの大容量記憶装置を含む、または、それに動作可能に連係される。コンピュータ・プログラム命令とデータを具現化するために適当な情報担体は、あらゆる形式の不揮発性メモリを備え、これは、例えば、EPROM、EEPROMおよびフラッシュメモリ装置などの半導体メモリ装置、内蔵ハードディスクまたはリムーバルディスクなどの磁気ディスク、光磁気ディスク、およびCD−ROM、DVD−ROMディスクなどを含む。プロセッサとメモリは、専用論理回路により補完されるか、あるいはその中に組み込まれる。
本発明は、例えばデータサーバとしてのバックエンドコンポーネントを含むコンピューティングシステム、アプリケーションサーバ等のミドルウェアコンポーネントを含むコンピューティングシステム、または、グラフィカルユーザインターフェース、または、これを介してユーザが本発明の実施と対話可能になるウェブブラウザを有するクライアントコンピュータなどのフロントエンドコンポーネントを含むコンピューティングシステム、あるいはこのようなバックエンド、ミドルウェア、またはフロンエンドコンポーネントのいかなる組合せも含むコンピューティングシステム内で実施される。該システムのコンポーネントは、通信ネットワーク等、デジタルデータ通信のいかなる形式または媒体によっても相互に接続することができる。通信ネットワークの例としては、ローカルエリアネットワーク(LAN)や、例えば、インターネットなどの広域ネットワーク(WAN)が含まれる。
該コンピューティングシステムは、クライアントとサーバを備える。クライアントとサーバは一般的に互いに離れて位置し、通常は、通信ネットワークを通じて相互に対話する。各々のコンピュータ上で実行され互いにクライアント−サーバ関係を有するコンピュータ・プログラムに基づいて、クライアントとサーバの関係が生じる。
本発明は、特定の実施例に関して説明された。しかしながら、本発明の意図および要旨から逸脱することなく、いかなる変形も可能であると解される。例えば、本発明のステップは、異なる順序でも実施可能であり、所望の結果を達成することができる。ハッシュテーブルを使用する代わりに、他の同等なデータ構造を使用してもよい。該ハッシュテーブルは、SQLデータベースを用いて格納することも可能である。従って以下の請求項の要旨の範囲内には他の実施例も含まれる。以下に請求項を記載する。
インラインモードで動作するNIDSを含むネットワークトポロジを示す。 非インラインモードで動作するNIDSを含むネットワークトポロジを示す。 レコード処理装置の動作を説明するフローチャートである。 静的モードでテーブルを構築するためのフローチャートである。 動的モードでテーブルを構築するためのフローチャートである。 テーブルデータ構造を表す。 テーブルデータ構造を生成するためのフローチャートである。 テーブルデータ構造を評価するためのフローチャートである。 複数のハッシュテーブルを用いる場合を例示したものである。 カスケード・ハッシュテーブルを用いる場合を例示したものである。 ポートスキャン・アタックを検出するための方法を示す。

Claims (28)

  1. コンピュータ・ネットワーク内のセキュリティレコードのログを検査する方法であって、
    ログレコードを複数のネットワークセキュリティ装置から取得するステップと、
    前記ログレコードの各々に対して前記ログレコードの少なくとも一つのフィールドをハッシュしてハッシュキーを作成するステップと、
    前記ハッシュキーを用いてハッシュテーブルを評価するステップと、
    一致するハッシュテーブルエントリが存在しない場合、前記ハッシュテーブルに新規エントリを追加するステップと、
    一致するハッシュテーブルエントリが存在する場合、前記ハッシュテーブルエントリに対応付けられるデータリストを取得するステップと、
    前記各ログレコードに対して前記ログレコードの少なくとも一つのフィールドを使用してデータ値を算出するステップと、
    前記データ値と前記データリスト内のエントリとを比較して一致するエントリが存在するか否かを決定するステップと、
    一致するエントリが存在しない場合、タイムスタンプと前記データリスト内のエントリが前回の評価より後に変更されていることを示すタグフィールドとを含む前記データ値を前記データリストに挿入するステップと、
    前記タグフィールドを含むデータ値を格納する前記ハッシュテーブルのエントリを取得するステップと、
    未遂のセキュリティ違反を検出するための所定の基準と前記データ値比較して前記データ値を評価するステップと、
    前記タグフィールドをリセットして前記データリスト内のエントリが前回の変更より後に評価がされていることを示すステップと、
    を備えることを特徴とする方法。
  2. 前記ハッシュテーブルへの新規エントリの追加は、前記ハッシュテーブルの新規エントリに対応づけられる空のデータリストの作成を含むことを特徴とする請求項1に記載の方法。
  3. 前記データリストに新規エントリを挿入することは、前記データ値の評価をトリガーすることを含むことを特徴とする請求項1に記載の方法。
  4. 前記データ値の評価をトリガーするために、チェックテーブル操作を受信することを含むことを特徴とする請求項1に記載の方法。
  5. 前記所定の基準と前記データ値比較による前記データ値の評価に基づき、前記ログレコードの一つに対応付けられているパケットをブロックすること特徴とする請求項1に記載の方法。
  6. 前記所定の基準と前記データ値比較による前記データ値の評価に基づき、特定のログレコードに対応付けられているパケットと同一の送信元から今後送信されてくるすべてのパケットをブロックすることを特徴とする請求項1に記載の方法。
  7. 前記所定の基準と前記データ値比較による前記データ値の評価に基づき、未遂のセキュリティ違反について報告することを含むことを特徴とする請求項1に記載の方法。
  8. 前記データリストは、リンクリストであることを特徴とする請求項1に記載の方法。
  9. 前記データリストは、ハッシュテーブルであることを特徴とする請求項1に記載の方法。
  10. 前記データリストはツリー型であることを特徴とする請求項1に記載の方法。
  11. 複数のログレコードが前記データリストに追加された後に、前記データ値を評価することを含むことを特徴とする請求項1に記載の方法。
  12. 各ログレコードが前記データリストに追加された後に、前記データ値を評価することを含むことを特徴とする請求項1に記載の方法。
  13. 前記ハッシュキーを用いた前記ハッシュテーブルの評価は、第二のハッシュテーブルの処理を含むことを特徴とする請求項1に記載の方法。
  14. 前記第二のハッシュテーブルの処理は、
    前記一致するハッシュテーブルエントリを使用して第二のハッシュテーブルを取得し、
    前記ハッシュキーを使用して前記第二のハッシュテーブルを評価し、
    一致する第二のハッシュテーブルエントリが存在しない場合、前記第二のハッシュテーブルに新規エントリを追加し、
    一致する第二のハッシュテーブルエントリが存在する場合、前記第二のハッシュテーブルエントリに対応付けられる第二のデータリストを取得し、
    前記データ値と前記第二のデータリスト内のエントリとを比較して一致するエントリが存在するか否かを決定し、
    一致するエントリが存在しない場合は、前記第二のデータリストに前記データ値を挿入し、
    未遂のセキュリティ違反を検出するための所定の基準と前記第二のデータリストのデータ値比較して前記第二のデータリストのデータ値を評価すること、を含むことを特徴とする請求項13に記載の方法。
  15. ログレコードを複数のネットワークセキュリティ装置から取得し、
    前記ログレコードの各々に対して前記ログレコードの少なくとも一つのフィールドをハッシュしてハッシュキーを作成し、
    前記ハッシュキーを用いてハッシュテーブルを評価し、
    一致するハッシュテーブルエントリがない場合、前記ハッシュテーブルに新規エントリを追加し、
    一致するハッシュテーブルエントリがある場合、前記ハッシュテーブルエントリに対応付けられるデータリストを取得し、
    前記各ログレコードに対して前記ログレコードの少なくとも一つのフィールドを使用してデータ値を算出し、
    前記データ値と前記データリスト内のエントリとを比較して一致するエントリが存在するか否かを決定し、
    一致するエントリが存在しない場合、タイムスタンプと前記データリスト内のエントリが前回の評価より後に変更されていることを示すタグフィールドとを含む前記データ値を前記データリストに挿入し、
    前記タグフィールドを含むデータ値を格納する前記ハッシュテーブルのエントリを取得し、
    未遂のセキュリティ違反を検出するための所定の基準と前記データ値比較して前記データ値を評価し、
    前記タグフィールドをリセットして前記データリスト内のエントリが前回の変更より後に評価されていることを示すこと
    をデータ処理装置に実行させることが可能な命令を記憶していることを特徴とするコンピュータ記憶装置。
  16. 前記ハッシュテーブルに新規エントリを追加する命令は、前記データ処理装置に、前記ハッシュテーブルへの前記新規エントリに対応付けられる空のデータリストを作成させることを特徴とする請求項15に記載のコンピュータ記憶装置。
  17. 前記データリストに新規エントリを挿入する命令は、前記データ処理装置に、前記データ値の評価をトリガーさせることを特徴とする請求項15に記載のコンピュータ記憶装置。
  18. チェックテーブル操作を発行する命令は、前記データ処理装置に、前記データ値の評価をトリガーさせることを特徴とする請求項15に記載のコンピュータ記憶装置。
  19. 所定の基準と前記データ値とを比較して前記データ値を価する命令は、前記データ処理装置に、前記ログレコードに対応付けられるパケットをブロックさせることを特徴とする請求項15に記載のコンピュータ記憶装置。
  20. 前記所定の基準と前記データ値とを比較して前記データ値を価する命令は、前記データ処理装置に、ある特定のログレコードに対応付けられるパケットと同じ送信元から今後送信されるすべてのパケットを、ブロックさせることを特徴とする請求項15に記載のコンピュータ記憶装置。
  21. 前記所定の基準と前記データ値とを比較して前記データ値を価する命令は、前記データ処理装置に、未遂のセキュリティ違反を報告させることを特徴とする請求項15に記載のコンピュータ記憶装置。
  22. 前記データリストはリンクリストであることを特徴とする請求項15に記載のコンピュータ記憶装置。
  23. 前記データリストはハッシュテーブルであることを特徴とする請求項15に記載のコンピュータ記憶装置。
  24. 前記データリストはツリー型であることを特徴とする請求項15に記載のコンピュータ記憶装置。
  25. 前記データ値の評価をする命令は、前記データ処理装置に、複数のログレコードを前記データリストに追加した後に、前記データ値を評価させることを特徴とする請求項15に記載のコンピュータ記憶装置。
  26. 前記データ値の評価をする命令は、前記データ処理装置に、各ログレコードを前記データリストに追加した後に、前記データ値を評価させることを特徴とする請求項15に記載のコンピュータ記憶装置。
  27. 前記ハッシュキーを用いて前記ハッシュテーブルを評価する命令は、前記データ処理装置に、第二のハッシュテーブルを処理させることを特徴とする請求項15に記載のコンピュータ記憶装置。
  28. 第二のハッシュテーブルを処理するための命令は、前記データ処理装置に、
    前記一致するハッシュテーブルエントリを使用して前記第二のハッシュテーブルを取得させ、
    前記ハッシュキーを使用して前記第二のハッシュテーブルを評価させ、
    一致する第二のハッシュテーブルエントリが存在しない場合、前記第二のハッシュテーブルに新規エントリを追加させ、
    一致する第二のハッシュテーブルエントリが存在する場合、前記第二のハッシュテーブルに対応付けられる第二のデータリストを取得させ、
    前記データ値と前記第二のデータリスト内のエントリとを比較して一致するエントリが存在するか否かを決定させ、
    一致するエントリが存在しない場合は、前記第二のデータリストに前記データ値を挿入させ、
    未遂のセキュリティ違反を検出するための所定の基準と前記第二のデータリストのデータ値比較して前記第二のデータリストのデータ値を評価させること、
    を特徴とする請求項27に記載のコンピュータ記憶装置。
JP2006509691A 2003-04-04 2004-04-02 アタックデータベース構造 Expired - Lifetime JP4364901B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/407,823 US7325002B2 (en) 2003-04-04 2003-04-04 Detection of network security breaches based on analysis of network record logs
PCT/US2004/010389 WO2004091171A1 (en) 2003-04-04 2004-04-02 Attack database structure

Publications (3)

Publication Number Publication Date
JP2006523427A JP2006523427A (ja) 2006-10-12
JP2006523427A5 JP2006523427A5 (ja) 2009-01-22
JP4364901B2 true JP4364901B2 (ja) 2009-11-18

Family

ID=33097634

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006509691A Expired - Lifetime JP4364901B2 (ja) 2003-04-04 2004-04-02 アタックデータベース構造

Country Status (7)

Country Link
US (4) US7325002B2 (ja)
EP (1) EP1618725B1 (ja)
JP (1) JP4364901B2 (ja)
CN (1) CN1778087B (ja)
AT (1) ATE497303T1 (ja)
DE (1) DE602004031206D1 (ja)
WO (1) WO2004091171A1 (ja)

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3951464B2 (ja) * 1998-07-28 2007-08-01 株式会社日立製作所 ディジタル信号処理装置
US7325002B2 (en) * 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US9946779B2 (en) * 2003-05-28 2018-04-17 Oracle International Corporation Pipleline merge operations using source data and multiple destination data structures
US7899784B2 (en) * 2003-05-28 2011-03-01 Oracle International Corporation Method and apparatus for performing multi-table merge operations in a database environment
US7222123B2 (en) * 2003-05-28 2007-05-22 Oracle International Corporation Technique for using a current lookup for performing multiple merge operations using source data that is modified in between the merge operations
US7206784B2 (en) * 2003-05-28 2007-04-17 Oracle International Corporation Method and apparatus for performing multiple merge operations using source data that is modified in between the merge operations
US7406714B1 (en) 2003-07-01 2008-07-29 Symantec Corporation Computer code intrusion detection system based on acceptable retrievals
US7568229B1 (en) 2003-07-01 2009-07-28 Symantec Corporation Real-time training for a computer code intrusion detection system
JP4355188B2 (ja) * 2003-10-03 2009-10-28 株式会社日立製作所 パケット転送装置
US20050132031A1 (en) * 2003-12-12 2005-06-16 Reiner Sailer Method and system for measuring status and state of remotely executing programs
US7634655B2 (en) * 2004-02-13 2009-12-15 Microsoft Corporation Efficient hash table protection for data transport protocols
US7263520B2 (en) * 2004-02-27 2007-08-28 Sap Ag Fast aggregation of compressed data using full table scans
US8266177B1 (en) 2004-03-16 2012-09-11 Symantec Corporation Empirical database access adjustment
US7669240B2 (en) * 2004-07-22 2010-02-23 International Business Machines Corporation Apparatus, method and program to detect and control deleterious code (virus) in computer network
JP4561980B2 (ja) * 2004-11-08 2010-10-13 日本電気株式会社 セッション中継装置およびセッション中継方法
FR2881312A1 (fr) * 2005-01-26 2006-07-28 France Telecom Procede, dispositif et programme de detection d'usurpation d'adresse dans un reseau sans fil
US20060259950A1 (en) 2005-02-18 2006-11-16 Ulf Mattsson Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior
US7444331B1 (en) 2005-03-02 2008-10-28 Symantec Corporation Detecting code injection attacks against databases
CN100361454C (zh) * 2005-04-27 2008-01-09 华为技术有限公司 一种网络管理服务器从网元设备获取日志信息的方法
US8046374B1 (en) 2005-05-06 2011-10-25 Symantec Corporation Automatic training of a database intrusion detection system
US7558796B1 (en) 2005-05-19 2009-07-07 Symantec Corporation Determining origins of queries for a database intrusion detection system
US7774361B1 (en) * 2005-07-08 2010-08-10 Symantec Corporation Effective aggregation and presentation of database intrusion incidents
US7690037B1 (en) 2005-07-13 2010-03-30 Symantec Corporation Filtering training data for machine learning
CN100355245C (zh) * 2005-11-08 2007-12-12 东南大学 入侵检测系统用增强多哈希的源串还原方法
US7661136B1 (en) * 2005-12-13 2010-02-09 At&T Intellectual Property Ii, L.P. Detecting anomalous web proxy activity
US8516573B1 (en) * 2005-12-22 2013-08-20 At&T Intellectual Property Ii, L.P. Method and apparatus for port scan detection in a network
JP4687978B2 (ja) * 2006-02-15 2011-05-25 横河電機株式会社 パケット解析システム
US7540766B2 (en) * 2006-06-14 2009-06-02 Itron, Inc. Printed circuit board connector for utility meters
EP2095592B1 (en) * 2006-10-27 2012-07-11 Telecom Italia S.p.A. Method and system for operating a telecommunication device using a hash table in particular for protecting such device from attacks
JP4963426B2 (ja) * 2007-02-27 2012-06-27 楽天株式会社 連続メール対策システム
JP2009027400A (ja) * 2007-07-19 2009-02-05 Alaxala Networks Corp 過大フロー検出装置、過大フロー検出回路、端末装置及びネットワークノード
US7991794B2 (en) * 2007-12-18 2011-08-02 Oracle International Corporation Pipelining operations involving DML and query
US8495384B1 (en) * 2009-03-10 2013-07-23 James DeLuccia Data comparison system
CN101854340B (zh) * 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US8565239B2 (en) * 2009-07-14 2013-10-22 Broadcom Corporation Node based path selection randomization
US8503456B2 (en) * 2009-07-14 2013-08-06 Broadcom Corporation Flow based path selection randomization
US8438270B2 (en) 2010-01-26 2013-05-07 Tenable Network Security, Inc. System and method for correlating network identities and addresses
US8302198B2 (en) 2010-01-28 2012-10-30 Tenable Network Security, Inc. System and method for enabling remote registry service security audits
US8707440B2 (en) * 2010-03-22 2014-04-22 Tenable Network Security, Inc. System and method for passively identifying encrypted and interactive network sessions
US8549650B2 (en) 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US9521154B2 (en) * 2011-08-03 2016-12-13 Hewlett Packard Enterprise Development Lp Detecting suspicious network activity using flow sampling
US20130094515A1 (en) * 2011-08-31 2013-04-18 Nils Gura Systems, apparatus, and methods for removing duplicate data packets from a traffic flow of captured data packets transmitted via a communication network
US8880871B2 (en) * 2012-01-03 2014-11-04 Broadcom Corporation Hash table organization
US9367707B2 (en) 2012-02-23 2016-06-14 Tenable Network Security, Inc. System and method for using file hashes to track data leakage and document propagation in a network
US9043920B2 (en) 2012-06-27 2015-05-26 Tenable Network Security, Inc. System and method for identifying exploitable weak points in a network
US9088606B2 (en) 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
MX2015009172A (es) * 2013-01-15 2016-02-18 Beyondtrust Software Inc Sistemas y metodos para identificar y reportar vulnerabilidades de aplicaciones y archivos.
US9467465B2 (en) 2013-02-25 2016-10-11 Beyondtrust Software, Inc. Systems and methods of risk based rules for application control
US9467464B2 (en) 2013-03-15 2016-10-11 Tenable Network Security, Inc. System and method for correlating log data to discover network vulnerabilities and assets
CN103678583B (zh) * 2013-12-11 2017-07-21 北京华胜天成科技股份有限公司 结构化数据比较的方法及系统
WO2016014021A1 (en) * 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator linkage determination
US11151611B2 (en) 2015-01-23 2021-10-19 Bluezoo, Inc. Mobile device detection and tracking
US20190028849A1 (en) * 2017-07-22 2019-01-24 Bluefox, Inc. Mobile device detection and tracking
US11727443B2 (en) 2015-01-23 2023-08-15 Bluezoo, Inc. Mobile device detection and tracking
JP6610100B2 (ja) * 2015-09-07 2019-11-27 富士通株式会社 ログ分析方法、プログラム及び情報処理装置
JP6547577B2 (ja) * 2015-10-15 2019-07-24 富士通株式会社 検査装置、検査プログラムおよび検査方法
US10326790B2 (en) * 2016-02-12 2019-06-18 Shape Security, Inc. Reverse proxy computer: deploying countermeasures in response to detecting an autonomous browser executing on a client computer
US10164990B2 (en) * 2016-03-11 2018-12-25 Bank Of America Corporation Security test tool
US10237295B2 (en) * 2016-03-22 2019-03-19 Nec Corporation Automated event ID field analysis on heterogeneous logs
US10462170B1 (en) * 2016-11-21 2019-10-29 Alert Logic, Inc. Systems and methods for log and snort synchronized threat detection
US10977361B2 (en) 2017-05-16 2021-04-13 Beyondtrust Software, Inc. Systems and methods for controlling privileged operations
US10594725B2 (en) * 2017-07-27 2020-03-17 Cypress Semiconductor Corporation Generating and analyzing network profile data
US10992707B2 (en) * 2017-12-07 2021-04-27 Ridgeback Network Defense, Inc. Tagging network data
WO2020190294A1 (en) * 2019-03-21 2020-09-24 Xinova, LLC Security personnel training using automatic log creation resulting from white hacking
WO2020190296A1 (en) * 2019-03-21 2020-09-24 Xinova, LLC Modified security logs for security personnel training
US11245711B2 (en) * 2019-04-05 2022-02-08 Anomali Inc. Network data timeline
GB2584018B (en) 2019-04-26 2022-04-13 Beyondtrust Software Inc Root-level application selective configuration
CN111983962B (zh) * 2019-05-22 2024-05-07 华晨宝马汽车有限公司 一种用于生成业务流的映射关系的系统及方法
CN110457898B (zh) * 2019-07-29 2020-10-30 创新先进技术有限公司 基于可信执行环境的操作记录存储方法、装置及设备
US10783054B2 (en) 2019-07-29 2020-09-22 Alibaba Group Holding Limited Method, apparatus, and device for storing operation record based on trusted execution environment
DE102019220248A1 (de) * 2019-12-19 2021-06-24 Siemens Mobility GmbH Übertragungsvorrichtung zum Übertragen von Daten
CN112800006B (zh) * 2021-01-27 2023-05-26 杭州迪普科技股份有限公司 用于网络设备的日志存储方法及装置
US12052283B1 (en) * 2023-01-21 2024-07-30 Tanla Digital Labs Private Limited Method and system for securing access to user data during phishing detection

Family Cites Families (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5430871A (en) * 1992-10-27 1995-07-04 Bmc Software, Inc. Method of dynamically adding and removing DB2 active logs
US5418947A (en) * 1992-12-23 1995-05-23 At&T Corp. Locating information in an unsorted database utilizing a B-tree
US5781550A (en) 1996-02-02 1998-07-14 Digital Equipment Corporation Transparent and secure network gateway
US5842196A (en) * 1996-04-03 1998-11-24 Sybase, Inc. Database system with improved methods for updating records
US5842040A (en) 1996-06-18 1998-11-24 Storage Technology Corporation Policy caching method and apparatus for use in a communication device based on contents of one data unit in a subset of related data units
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US5805801A (en) * 1997-01-09 1998-09-08 International Business Machines Corporation System and method for detecting and preventing security
US6233686B1 (en) * 1997-01-17 2001-05-15 At & T Corp. System and method for providing peer level access control on a network
US6591303B1 (en) 1997-03-07 2003-07-08 Sun Microsystems, Inc. Method and apparatus for parallel trunking of interfaces to increase transfer bandwidth
US5907848A (en) * 1997-03-14 1999-05-25 Lakeview Technology, Inc. Method and system for defining transactions from a database log
US6088356A (en) 1997-06-30 2000-07-11 Sun Microsystems, Inc. System and method for a multi-layer network element
US6049528A (en) 1997-06-30 2000-04-11 Sun Microsystems, Inc. Trunking ethernet-compatible networks
US5909686A (en) 1997-06-30 1999-06-01 Sun Microsystems, Inc. Hardware-assisted central processing unit access to a forwarding database
US6775692B1 (en) 1997-07-31 2004-08-10 Cisco Technology, Inc. Proxying and unproxying a connection using a forwarding agent
US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US7143438B1 (en) 1997-09-12 2006-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with multiple domain support
US6154775A (en) 1997-09-12 2000-11-28 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with dynamic rule processing with the ability to dynamically alter the operations of rules
US6170012B1 (en) 1997-09-12 2001-01-02 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with cache query processing
US6141749A (en) 1997-09-12 2000-10-31 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with stateful packet filtering
US6061692A (en) * 1997-11-04 2000-05-09 Microsoft Corporation System and method for administering a meta database as an integral component of an information server
US6651243B1 (en) * 1997-12-12 2003-11-18 International Business Machines Corporation Method and system for periodic trace sampling for real-time generation of segments of call stack trees
US6341130B1 (en) * 1998-02-09 2002-01-22 Lucent Technologies, Inc. Packet classification method and apparatus employing two fields
US6157955A (en) * 1998-06-15 2000-12-05 Intel Corporation Packet processing system including a policy engine having a classification unit
US6374264B1 (en) * 1998-09-04 2002-04-16 Lucent Technologies Inc. Method and apparatus for detecting and recovering from data corruption of a database via read prechecking and deferred maintenance of codewords
US7643481B2 (en) 1999-03-17 2010-01-05 Broadcom Corporation Network switch having a programmable counter
US6952401B1 (en) 1999-03-17 2005-10-04 Broadcom Corporation Method for load balancing in a network switch
US6970913B1 (en) 1999-07-02 2005-11-29 Cisco Technology, Inc. Load balancing using distributed forwarding agents with application based feedback for different virtual machines
US6704278B1 (en) 1999-07-02 2004-03-09 Cisco Technology, Inc. Stateful failover of service managers
US6650641B1 (en) 1999-07-02 2003-11-18 Cisco Technology, Inc. Network address translation using a forwarding agent
US6742045B1 (en) 1999-07-02 2004-05-25 Cisco Technology, Inc. Handling packet fragments in a distributed network service environment
US6606315B1 (en) 1999-07-02 2003-08-12 Cisco Technology, Inc. Synchronizing service instructions among forwarding agents using a service manager
US7051066B1 (en) 1999-07-02 2006-05-23 Cisco Technology, Inc. Integrating service managers into a routing infrastructure using forwarding agents
US6549516B1 (en) 1999-07-02 2003-04-15 Cisco Technology, Inc. Sending instructions from a service manager to forwarding agents on a need to know basis
US6735169B1 (en) 1999-07-02 2004-05-11 Cisco Technology, Inc. Cascading multiple services on a forwarding agent
US6633560B1 (en) 1999-07-02 2003-10-14 Cisco Technology, Inc. Distribution of network services among multiple service managers without client involvement
FR2802666B1 (fr) * 1999-12-17 2002-04-05 Activcard Systeme informatique pour application a acces par accreditation
US6546388B1 (en) * 2000-01-14 2003-04-08 International Business Machines Corporation Metadata search results ranking system
US6775831B1 (en) * 2000-02-11 2004-08-10 Overture Services, Inc. System and method for rapid completion of data processing tasks distributed on a network
US6496935B1 (en) * 2000-03-02 2002-12-17 Check Point Software Technologies Ltd System, device and method for rapid packet filtering and processing
US7436830B2 (en) * 2000-04-03 2008-10-14 P-Cube Ltd. Method and apparatus for wire-speed application layer classification of upstream and downstream data packets
US6769074B2 (en) * 2000-05-25 2004-07-27 Lumigent Technologies, Inc. System and method for transaction-selective rollback reconstruction of database objects
JP3851493B2 (ja) * 2000-06-12 2006-11-29 株式会社日立製作所 データベース検索方法及びデータベース検索システム並びにデータベース検索プログラムを記録したコンピュータ読み取り可能な記録媒体
US7328349B2 (en) * 2001-12-14 2008-02-05 Bbn Technologies Corp. Hash-based systems and methods for detecting, preventing, and tracing network worms and viruses
JP2004500872A (ja) * 2000-06-22 2004-01-15 バイオジェン インコーポレイテッド Gp354核酸およびポリペプチド
AU2001288222A1 (en) 2000-09-25 2002-04-08 Itt Manufacturing Enterprises, Inc. Global computer network intrusion detection system
JP2002124996A (ja) 2000-10-13 2002-04-26 Yoshimi Baba 高速パケット取得エンジン・セキュリティ
CA2327211A1 (en) * 2000-12-01 2002-06-01 Nortel Networks Limited Management of log archival and reporting for data network security systems
US6744462B2 (en) * 2000-12-12 2004-06-01 Koninklijke Philips Electronics N.V. Apparatus and methods for resolution of entry/exit conflicts for security monitoring systems
US7296070B2 (en) * 2000-12-22 2007-11-13 Tier-3 Pty. Ltd. Integrated monitoring system
US20020165902A1 (en) * 2001-05-03 2002-11-07 Robb Mary Thomas Independent log manager
US6816455B2 (en) * 2001-05-09 2004-11-09 Telecom Italia S.P.A. Dynamic packet filter utilizing session tracking
US7684317B2 (en) * 2001-06-14 2010-03-23 Nortel Networks Limited Protecting a network from unauthorized access
US7107464B2 (en) * 2001-07-10 2006-09-12 Telecom Italia S.P.A. Virtual private network mechanism incorporating security association processor
US7366910B2 (en) 2001-07-17 2008-04-29 The Boeing Company System and method for string filtering
US7212534B2 (en) 2001-07-23 2007-05-01 Broadcom Corporation Flow based congestion control
US7245632B2 (en) 2001-08-10 2007-07-17 Sun Microsystems, Inc. External storage for modular computer systems
US20030041125A1 (en) * 2001-08-16 2003-02-27 Salomon Kirk C. Internet-deployed wireless system
US7222361B2 (en) * 2001-11-15 2007-05-22 Hewlett-Packard Development Company, L.P. Computer security with local and remote authentication
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US7073074B2 (en) * 2002-02-13 2006-07-04 Microsoft Corporation System and method for storing events to enhance intrusion detection
US7778979B2 (en) * 2002-03-26 2010-08-17 Nokia Siemens Networks Oy Method and apparatus for compressing log record information
US20030206100A1 (en) * 2002-05-04 2003-11-06 Lawrence Richman Method and protocol for real time security system
US7512810B1 (en) * 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US20040054925A1 (en) * 2002-09-13 2004-03-18 Cyber Operations, Llc System and method for detecting and countering a network attack
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US7774839B2 (en) * 2002-11-04 2010-08-10 Riverbed Technology, Inc. Feedback mechanism to minimize false assertions of a network intrusion
US7234166B2 (en) * 2002-11-07 2007-06-19 Stonesoft Corporation Event sequence detection
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7325002B2 (en) 2003-04-04 2008-01-29 Juniper Networks, Inc. Detection of network security breaches based on analysis of network record logs
US7779021B1 (en) * 2004-03-09 2010-08-17 Versata Development Group, Inc. Session-based processing method and system
US7895431B2 (en) 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7933927B2 (en) * 2004-11-17 2011-04-26 Bmc Software, Inc. Method and apparatus for building index of source data
US7535907B2 (en) 2005-04-08 2009-05-19 Oavium Networks, Inc. TCP engine

Also Published As

Publication number Publication date
DE602004031206D1 (de) 2011-03-10
EP1618725B1 (en) 2011-01-26
CN1778087A (zh) 2006-05-24
US9413777B2 (en) 2016-08-09
WO2004091171A1 (en) 2004-10-21
US7325002B2 (en) 2008-01-29
JP2006523427A (ja) 2006-10-12
US20130067575A1 (en) 2013-03-14
US7904479B2 (en) 2011-03-08
US8326881B2 (en) 2012-12-04
US20110185426A1 (en) 2011-07-28
US20080155697A1 (en) 2008-06-26
CN1778087B (zh) 2010-04-28
EP1618725A1 (en) 2006-01-25
ATE497303T1 (de) 2011-02-15
US20040199535A1 (en) 2004-10-07

Similar Documents

Publication Publication Date Title
JP4364901B2 (ja) アタックデータベース構造
US11558418B2 (en) System for query injection detection using abstract syntax trees
Kumar et al. Signature based intrusion detection system using SNORT
US6134664A (en) Method and system for reducing the volume of audit data and normalizing the audit data received from heterogeneous sources
US7594009B2 (en) Monitoring network activity
US11770388B1 (en) Network infrastructure detection
Cabrera et al. Proactive intrusion detection and distributed denial of service attacks—a case study in security management
JP5739034B1 (ja) 攻撃検知システム、攻撃検知装置、攻撃検知方法および攻撃検知プログラム
JP2015225500A (ja) 認証用情報の窃取検知方法、認証用情報の窃取検知装置、及びプログラム
WO2021018440A1 (en) METHODS FOR DETECTING A CYBERATTACK ON AN ELECTRONIC DEVICE, METHOD FOR OBTAINING A SUPERVISED RANDOM FOREST MODEL FOR DETECTING A DDoS ATTACK OR A BRUTE FORCE ATTACK, AND ELECTRONIC DEVICE CONFIGURED TO DETECT A CYBERATTACK ON ITSELF
CN116451215A (zh) 关联分析方法及相关设备
Wang et al. Behavior‐based botnet detection in parallel
Zhai et al. Integrating IDS alert correlation and OS-level dependency tracking
Giacinto et al. Alarm clustering for intrusion detection systems in computer networks
JP4823813B2 (ja) 異常検知装置、異常検知プログラム、および記録媒体
EP3484122A1 (en) Malicious relay and jump-system detection using behavioral indicators of actors
Rastogi et al. Network anomalies detection using statistical technique: a chi-square approach
JP2008507222A (ja) ネットワーク上での不正なスキャンニングを検出するための方法、システムおよびコンピュータ・プログラム
Chu et al. Data stream mining architecture for network intrusion detection
Hostiadi et al. Improving automatic response model system for intrusion detection system
CN113572776A (zh) 非法侵入检测装置及方法
Shin et al. Alert correlation analysis in intrusion detection
Alserhani et al. Detection of coordinated attacks using alert correlation model
Momtaz et al. Correlated Anomalous Pattern Mining from Transactional Cybersecurity Datasets
Singh et al. Botnet detection using logistic regression technique

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080715

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081014

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081021

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20081114

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20081114

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090611

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20090727

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090812

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090819

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120828

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4364901

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120828

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130828

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term