DE102016107647B4 - Method and storage medium for securing / monitoring a network - Google Patents
Method and storage medium for securing / monitoring a network Download PDFInfo
- Publication number
- DE102016107647B4 DE102016107647B4 DE102016107647.3A DE102016107647A DE102016107647B4 DE 102016107647 B4 DE102016107647 B4 DE 102016107647B4 DE 102016107647 A DE102016107647 A DE 102016107647A DE 102016107647 B4 DE102016107647 B4 DE 102016107647B4
- Authority
- DE
- Germany
- Prior art keywords
- access
- address
- addresses
- network
- log entries
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/02—Capturing of monitoring data
- H04L43/028—Capturing of monitoring data by filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/04—Processing captured monitoring data, e.g. for logfile generation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Mining & Analysis (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Verfahren zur Absicherung/Überwachung eines Netzwerks (200), gekennzeichnet durch:
- Empfangen einer Vielzahl von Logeinträgen (7, 7') von mindestens einem Netzwerkgerät (30, 30', 30"),wobei jeder Logeintrag (7, 7') einen Zugriff (6, 6') in dem Netzwerk (200) von einer Ursprungsadresse auf eine Zieladresse dokumentiert;
- Zuordnen einer Auswahl von Ursprungsadressen und/oder Zieladressen zu mindestens einer Adressgruppe, wobei eine Adressgruppe mindestens ein Intervall für mindestens eine Ursprungsadresse oder Zieladresse definiert;
- Erzeugen (53) mindestens einer Zugriffsregel (24, 92) unter Verwendung der Adressgruppe;
- Anwenden (55) der Zugriffsregel (24, 92) in dem Netzwerk (200), wobei die Zugriffsregel (24, 92) mindestens ein Netzwerkgerät (30, 30', 30") dazu veranlasst, Zugriffe (6, 6'), die nicht von der Zugriffsregel (24, 92) umfasst sind, zu kennzeichnen und/oder zu unterbinden,
dadurch gekennzeichnet, dass
eine Vielzahl von Ursprungs- oder Zieladressen der Logeinträge (7, 7') zu der Adressgruppe zugeordnet werden, bei denen zugehörige Logeinträge (7, 7') eine gleiche
- Ursprungs- und/oder Zieladresse und/oder
- Serviceangabe und/oder
- Information über Schnittstellen
aufweisen.
Method for securing / monitoring a network (200), characterized by:
Receiving a plurality of log entries (7, 7 ') from at least one network device (30, 30', 30 "), each log entry (7, 7 ') having access (6, 6') in the network (200) of a source address to a destination address documented;
Assigning a selection of source addresses and / or destination addresses to at least one address group, wherein an address group defines at least one interval for at least one source address or destination address;
- generating (53) at least one access rule (24, 92) using the address group;
Applying (55) the access rule (24, 92) in the network (200), the access rule (24, 92) causing at least one network device (30, 30 ', 30 ") to access (6, 6'), which are not covered by the access rule (24, 92), to mark and / or to prevent
characterized in that
a plurality of source or destination addresses of the log entries (7, 7 ') associated with the address group, in which associated log entries (7, 7 ') have the same
- origin and / or destination address and / or
- Service specification and / or
- Information via interfaces
exhibit.
Description
Die Erfindung betrifft ein Verfahren zur Absicherung/Überwachung eines Netzwerks und ein computerlesbares Speichermedium, welches die Verfahren implementiert.The invention relates to a method for securing / monitoring a network and to a computer-readable storage medium which implements the methods.
In großen Organisationen, wie z.B. international agierenden Konzernen, werden eine Vielzahl von Netzwerkgeräten, wie z.B. PCs, Server, Router, Switches, Firewalls zu einem Kommunikationsnetzwerk bzw. Netzwerk verbunden. Unterschiedliche Bereiche einer Organisation müssen dabei mit verschiedenen anderen Bereichen der Organisation über das Kommunikationsnetzwerk kommunizieren können. Die Kommunikation weist Zugriffe auf, die von einer Ursprungsadresse auf eine Zieladresse durchgeführt werden. Dabei kann ein Zugriff zusätzlich über einen Dienst charakterisiert sein, für den der Zugriff durchgeführt wird. Zum Beispiel kann es sich bei einem Zugriff um den Zugriff auf eine Webseite handeln, die von einem Webserver bereitgestellt wird. Von einer Ursprungsadresse, z.B. von einer IP-Adresse, kann über den Port 80 des Internet-Protokolls die Webseite von dem Webserver angefordert werden. Port 80 ist in diesem Beispiel der Dienst, über den der Zugriff ausgeführt wird.In large organizations, such as internationally operating groups, a variety of network devices, such as PCs, servers, routers, switches, firewalls connected to a communication network or network. Different areas of an organization must be able to communicate with various other areas of the organization via the communication network. The communication has accesses made from a source address to a destination address. In this case, an access can additionally be characterized by a service for which the access is performed. For example, an access may be access to a web page provided by a web server. From an originating address, e.g. from an IP address, via the
Es gibt jedoch Bereiche bzw. Adressen, zwischen denen eine Kommunikation nicht wünschenswert ist. Insbesondere aufgrund von Sicherheitsrisiken müssen Zugriffe zwischen Ursprungs- und Zieladressen für bestimmte Dienste erkannt bzw. verhindert werden. So kann es z.B. notwendig sein den Benutzern von PCs, die in Konferenzräumen aufgebaut sind, den Zugriff auf Daten einer Personalabteilung zu verweigern. Dazu können die Zugriffe, die von IP-Adressen der PCs im Konferenzraum ausgehen, überwacht werden, sodass die entsprechenden Zugriffe auf ungewöhnliche Zieladressen erkannt werden. Soll der Zugriff nicht grundsätzlich verhindert werden, so ist es zumindest wünschenswert zu erkennen, wenn potentiell sicherheitsgefährdende Zugriffe ausgeführt werden, um geeignete Überwachungs- bzw. Verhinderungsmaßnahmen zu ergreifen.However, there are areas or addresses between which communication is undesirable. In particular due to security risks, accesses between origin and destination addresses for certain services must be detected or prevented. So it can be e.g. be necessary for the users of PCs, which are built in conference rooms, to deny access to data of a personnel department. For this purpose, the accesses that originate from IP addresses of the PCs in the conference room can be monitored so that the corresponding accesses to unusual destination addresses are detected. If access is not to be prevented in principle, then it is at least desirable to detect when potentially potentially dangerous accesses are being carried out in order to take suitable monitoring or prevention measures.
Auf bestimmten Netzwerkgeräten, wie z.B. Routern, Firewalls oder Switches, können zum Verhindern von unerwünschten Zugriffen Zugriffsregeln definiert werden, die die Zugriffe zwischen verschiedenen Adressen verhindern. Dabei werden die Zugriffsregeln in sogenannten Zugriffslisten (Access control lists oder Firewall Regelsätzen oder auch Label-basierten Technologien wie TrustSec) gespeichert. Insbesondere bei sehr großen Organisationen ist es jedoch aufwändig, wenn nicht unmöglich, die Zugriffsregeln optimal zu definieren, da diese normalerweise durch das zuständige Personal definiert werden. Die Anzahl der Zugriffsregeln kann schnell so groß werden, dass eine effiziente Konfiguration der Zugriffsregeln und Überwachung von Zugriffen nicht möglich ist.On certain network devices, e.g. Routers, firewalls, or switches can be defined to prevent access by unwanted access rules that prevent access between different addresses. The access rules are stored in so-called access lists (access control lists or firewall rule sets or label-based technologies such as TrustSec). Especially with very large organizations, however, it is complex, if not impossible, to define the access rules optimally, since these are normally defined by the responsible personnel. The number of access rules can quickly grow so high that efficient configuration of access rules and access monitoring is not possible.
Die
Die
Die
Ausgehend von dem beschriebenen Stand der Technik stellt sich die Aufgabe, ein Verfahren und ein System bereitzustellen, welche die genannten Nachteile überwinden. Dabei soll insbesondere eine hohe Sicherheit innerhalb eines Kommunikationsnetzwerkes erreicht werden. Ferner soll es einem Benutzer ermöglicht werden, die Netzkommunikation effizient zu überwachen. Des Weiteren soll ein Verfahren bereitgestellt werden, welches den benötigten Speicherplatz und benötigte Rechenzeit gering hält. Ferner soll ein Verfahren und ein System bereitgestellt werde, welches es ermöglicht, ein großes Netzwerk effizient zu überwachen.Starting from the described prior art, the object is to provide a method and a system which overcome the disadvantages mentioned. In particular, a high level of security is to be achieved within a communications network. Further, it should enable a user to efficiently monitor the network communication. Furthermore, a method is to be provided which keeps the required storage space and required computing time low. Furthermore, a method and a system is provided, which makes it possible to efficiently monitor a large network.
Die Aufgabe wird durch ein Verfahren gemäß den Ansprüchen 1 oder 12 und ein computerlesbares Speichermedium nach Anspruch 13 gelöst.The object is achieved by a method according to
Insbesondere wird die Aufgabe durch ein Verfahren zur Absicherung/Überwachung eines Kommunikationsnetzwerks gelöst, wobei das Verfahren Folgendes aufweist:
- - Empfangen einer Vielzahl von Logeinträgen von mindestens einem Netzwerkgerät, wobei jeder Logeintrag einen Zugriff in dem Netzwerk von einer Ursprungsadresse auf eine Zieladresse dokumentiert;
- - Zuordnen einer Auswahl von Ursprungsadressen und/oder Zieladressen zumindestens einer Adressgruppe, wobei eine Adressgruppe mindestens ein Intervall für mindestens eine Ursprungsadresse oder Zieladresse definiert;
- - Erzeugen mindestens einer Zugriffsregel unter Verwendung der Adressgruppe;
- - Anwenden der Zugriffsregel in dem Netzwerk, wobei die Zugriffsregel mindestens ein Netzwerkgerät dazu veranlasst, Zugriffe, die nicht von der Zugriffsregel umfasst sind, zu kennzeichnen und/oder zu unterbinden.
- - receiving a plurality of log entries from at least one network device, each log entry documenting access in the network from an originating address to a destination address;
- Assigning a selection of source addresses and / or destination addresses to at least one address group, wherein an address group defines at least one interval for at least one source address or destination address;
- - generating at least one access rule using the address group;
- - Apply the access rule in the network, wherein the access rule causes at least one network device to identify and / or prohibit accesses not covered by the access rule.
Der Erfindung liegt die Erkenntnis zu Grunde, dass sich die Teilnehmer eines Kommunikationsnetzwerkes im Regelfall an die durch eine Organisation vorgegebenen Regeln halten. Die Teilnehmer des Kommunikationsnetzwerkes führen im Normalbetrieb also nur solche Zugriffe aus, die zur täglichen Erledigung ihrer Arbeit benötigt werden. Die Zugriffe des Normalbetriebs können verwendet werden, um Zugriffsregeln zu erzeugen, die alle im Normalbetrieb auftretenden Zugriffe erlauben bzw. als ungefährlich kennzeichnen. Gegebenenfalls kann auch eine kritische Revision der gekennzeichneten Zugriffe durch einen Benutzer erfolgen.The invention is based on the finding that the participants of a communication network generally comply with the rules prescribed by an organization. The participants of the communication network perform in normal operation so only those accesses that are required for the daily completion of their work. The accesses of the normal operation can be used to generate access rules that allow all occurring in normal operation accesses or mark as non-hazardous. If necessary, a critical revision of the identified accesses by a user can also take place.
Dabei können bei einer Kommunikation zwischen Geräten eines Netzwerks, an Netzwerkgeräten Logeinträge empfangen werden, die einen Zugriff von einer Ursprungsadresse auf eine Zieladresse dokumentieren. Ein Logeintrag kann auf Basis eines Zugriffs von einer Ursprungsadresse auf eine Zieladresse erzeugt werden. Die Kommunikation kann über das Internetprotokoll durchgeführt werden und bei den Adressen kann es sich um IP-Adressen handeln. Wenn Logeinträge von einem Netzwerkgerät empfangen werden, kann eine Auswahl aus den Ursprungs- bzw. Zieladressen einer Adressgruppe zugeordnet werden. Eine Adressgruppe definiert mindestens ein Intervall für eine mindestens eine Ursprungs- oder Zieladresse. Ein Intervall kann in einer Ausführungsform auch aus von einer Vielzahl an Ursprungs- und/oder Zieladressen definiert werden. In einer Ausführungsform kann das Intervall auf Basis der Ursprungsadresse(n) und/oder Zieladresse(n) definiert werden.In the case of communication between devices of a network, log entries can be received at network devices that document access from an originating address to a destination address. A log entry may be generated based on access from an originating address to a destination address. The communication can be carried out via the internet protocol and the addresses can be IP addresses. When log entries are received from a network device, a selection from the source or destination addresses may be assigned to an address group. An address group defines at least one interval for at least one origin or destination address. An interval may also be defined in one embodiment from a plurality of source and / or destination addresses. In one embodiment, the interval may be defined based on the source address (s) and / or destination address (s).
Die Logeinträge können in einer Ausführungsform die Anzahl der übertragenen/ gesendeten Bytes und/oder die Anzahl der übertragenen Pakete und/oder die übertragenen Pakete und/oder einen Zeitstempel, der Datum und Uhrzeit enthalten kann und/oder eine Information über Netzwerkschnittstellen, insbesondere eines Routers bzw. eines Switches umfassen, über die Daten ein- oder ausgegangen sind.The log entries may, in one embodiment, include the number of bytes transmitted / transmitted and / or the number of packets transmitted and / or the transmitted packets and / or a time stamp that may include date and time and / or information via network interfaces, particularly a router or a switch over which data is on or off.
Eine Zugriffsregel kann festlegen, in welchem Umfang Zugriffe zwischen einer Ursprungsadresse und einer Zieladresse ermöglicht bzw. erlaubt werden.An access rule can determine the extent to which accesses between an originating address and a destination address are allowed or permitted.
Die Zugriffsregel kann jedoch auch zusätzlich oder alternativ dazu verwendet werden, Zugriffe zu kennzeichnen, die nicht von der Zugriffsregel umfasst sind oder alternativ jene Zugriffe zu kennzeichnen, die von der Zugriffsregel umfasst sind.However, the access rule can also be additionally or alternatively used to identify accesses that are not included in the access rule or, alternatively, to identify those accesses that are encompassed by the access rule.
Es wird also eine Art Filter bereitgestellt, der es ermöglicht, aus einer Vielzahl von Zugriffen jene herauszufiltern, die den Zugriffsregeln nicht genügen bzw. genügen. Die Zugriffsregeln bilden damit auch eine neue Darstellungsweise für die Zugriffe innerhalb des Netzwerks, durch die es einem Benutzer ermöglicht wird, auf übersichtliche Art und Weise eine große Anzahl von Zugriffen zu beobachten. Bei einer sehr großen Anzahl von Zugriffen, wie es in großen Unternehmen alltäglich ist, wird es einem Benutzer, z.B. einem Systemadministrator, erst durch das Verfahren ermöglicht, solche Zugriffe effizient zu identifizieren, die eine potentielle Gefährdung für das Kommunikationsnetzwerk darstellen.Thus, a kind of filter is provided which makes it possible to filter out from a large number of accesses those which do not satisfy or satisfy the access rules. The access rules thus also provide a new way of representing the accesses within the network, which allows a user to observe a large number of accesses in a clear manner. With a very large number of accesses, as is commonplace in large enterprises, it is presented to a user, e.g. a system administrator, only through the process allows to efficiently identify those accesses that pose a potential threat to the communication network.
Zugriffsregeln können Angaben dazu enthalten, von welchen Ursprungsadressen zu welchen Zieladressen Zugriffe unterbunden bzw. gekennzeichnet werden. Dabei wird eine Auswahl von Ursprungsadressen bzw. Zieladressen zu Adressgruppen zusammengefasst. Die Zugriffsregeln können auf Basis der Adressgruppe erzeugt werden, z.B. indem die Adressgruppen als Platzhalter in den Zugriffsregeln verwendet werden. Es kann also eine einzige Zugriffsregel genügen, um eine Vielzahl unterschiedlicher Zugriffe zu erlauben oder zu unterbinden und/oder zu kennzeichnen, die von verschiedenen Ursprungs- bzw. Zieladressen ausgeführt werden.Access rules can contain information about which origin addresses to which destination addresses accesses are blocked or marked. A selection of source addresses or destination addresses is combined into address groups. The access rules can be generated based on the address group, e.g. by using the address groups as placeholders in the access rules. Thus, a single access rule may suffice to permit or deny and / or mark a plurality of different accesses made from different source and destination addresses.
Eine Vielzahl von Ursprungs- oder Zieladressen der Logeinträge wird zu der Adressgruppe zugeordnet, bei denen die zugehörigen Logeinträge eine gleiche
- - Ursprungs- und/oder Zieladresse und/oder
- - Serviceangabe und/oder
- - Information über Schnittstellen
- - origin and / or destination address and / or
- - Service specification and / or
- - Information via interfaces
Das Zuordnen von Urpsrungs- bzw. Zieladressen zu einer Adressgruppe, deren zugehörige Logeinträge sich in einem Merkmal (z.B. Ursprungs- und/oder Zieladresse, Serviceangabe, Information über Schnittstelle eines Routers) gleichen, bietet eine Möglichkeit die Anzahl der erzeugten Zugriffsregeln zu reduzieren. Es ist häufig der Fall, dass von verschiedenen Ursprungsadressen in einem Netzwerk Zugriffe auf eine einzige Zieladresse erfolgen. Zum Beispiel, wenn ein Klient („Client“) mit einem Server kommuniziert. Mit der beschriebenen Ausführungsform ist es möglich, alle Adressen der Klienten, also die Ursprungsadressen, einer Adressgruppe zuzuordnen. Damit muss für alle Klienten nur eine einzige Zugriffsregel für den Zugriff auf den Server erzeugt werden.Assigning destination addresses to an address group whose associated log entries resemble one another in a feature (e.g., originating and / or destination address, service indication, router interface information) provides a way to reduce the number of access rules generated. It is often the case that accesses to a single destination address are made from different source addresses in a network. For example, when a client ("client") communicates with a server. With the described embodiment, it is possible to assign all the addresses of the clients, that is to say the originating addresses, to an address group. This means that only one single access rule for accessing the server has to be created for all clients.
In einer Ausführungsform kann das Intervall unter Verwendung von Supernetting, insbesondere unter Verwendung mindestens einer Bitmaske, definiert werden. In one embodiment, the interval may be defined using supernetting, in particular using at least one bitmask.
Das Intervall kann in einer Ausführungsform durch Bitmasken definiert werden (z.B. durch „Supernetting“). Zwei IP-Adressen, die sich nur in der letzten Ziffer (4. Oktett) unterscheiden, können z.B. als zu dem Subnetz /24 (in der „Classless Inter-Domain Routing“ Schreibweise) zugehörig definiert werden. Dabei gibt die /24 an, dass die ersten 24 Bits der Netzmaske auf den Wert „1“ gesetzt sind, also die ersten drei Oktette gleich sind. Es wird eine einfache Möglichkeit geboten, eine Vielzahl von Adressen zusammenzufassen.The interval may be defined by bitmasks in one embodiment (e.g., by "supernetting"). Two IP addresses that differ only in the last digit (4th octet) may be e.g. to be defined as belonging to the subnet / 24 (in the "Classless Inter-Domain Routing" notation). The / 24 indicates that the first 24 bits of the netmask are set to the value "1", ie the first three octets are the same. It provides an easy way to summarize a variety of addresses.
In einer Ausführungsform können mindestens zwei nicht direkt aufeinanderfolgenden Ursprungs- und/oder Zieladressen das Intervall definieren.In one embodiment, at least two non-consecutive source and / or destination addresses may define the interval.
Ursprungs- bzw. Zieladressen können eine Ordnung aufweisen. Dabei folgt eine Adresse auf eine andere Adresse, wobei die Ordnung durch die Binärdarstellung der Adressen vorgegeben sein kann. Mindestens zwei Adressen können ein Intervall von Adressen dadurch definieren, dass die Adressen als Begrenzungen des Intervalls dienen. Das Definieren des Intervalls mittels Ursprungs- bzw. Zieladressen, die nicht direkt aufeinanderfolgen, kann somit das Einschließen der Adressen zwischen den beiden Adressen umfassen.Source and destination addresses may have order. This is followed by an address to another address, the order may be predetermined by the binary representation of the addresses. At least two addresses can define an interval of addresses in that the addresses serve as boundaries of the interval. Defining the interval by means of source addresses that are not consecutive can thus include including the addresses between the two addresses.
In einer anderen Ausführungsform können aber auch Adressen in dem Intervall liegen, die nicht zwischen den das Intervall definierenden Adressen liegen.In another embodiment, however, addresses may also lie in the interval which do not lie between the addresses which define the interval.
Dies ist von Vorteil, da eine Unschärfe bei der Erzeugung der Zugriffsregeln zugelassen wird. Die auf Basis der Adressgruppe definierte Zugriffsregel umfasst in der beschriebenen Ausführungsform also auch Adressen, die nicht unmittelbar in den Logeinträgen vorliegen.This is advantageous because blurring is allowed when creating the access rules. In the embodiment described, the access rule defined on the basis of the address group therefore also includes addresses which are not directly present in the log entries.
In einer Ausführungsform kann die Adressgruppe durch eine Vereinigungsmenge der Ursprungs- oder der Zieladressen der Auswahl der Logeinträge gebildet werden. In anderen Ausführungsformen sind auch weitere Mengen von Adressen denkbar, die durch Mengenoperationen erzeugt werden, wie z.B. die Schnittmenge.In one embodiment, the address group may be formed by a union of the source or destination addresses of the selection of the log entries. In other embodiments, other sets of addresses generated by set operations such as e.g. the intersection.
Wenn die Vereinigungsmenge der Ursprungs- oder der Zieladressen der Logeinträge gebildet wird und eine Zugriffsregel unter Verwendung der so erzeugten Adressgruppe erzeugt wird, wird eine weitere Möglichkeit bereitgestellt, die Anzahl der unterbundenen bzw. zu kennzeichnenden Zugriffe in dem Netzwerk zu steuern.When the union amount of the source or destination addresses of the log entries is formed and an access rule is generated by using the thus generated address group, another possibility is provided to control the number of denied accesses in the network.
In einer Ausführungsform kann das Zuordnen der Ursprungs- oder Zieladressen zu der Adressgruppe auf Basis eines Schärfeparameters durchgeführt werden, wobei der Schärfeparameter mit der Größe des Intervalls korrespondieren kann, wobei das Erzeugen zusätzlich die Schritte aufweisen kann:
- a. Feststellen, ob die Anzahl der erzeugten Zugriffsregeln unter einem, insbesondere numerischen, Zugriffsregel-Schwellwert liegt;
- b. Anpassen des Schärfeparameters, wenn die Anzahl der erzeugten Zugriffsregeln über dem Zugriffsregel-Schwellwert liegt,
- a. Determining whether the number of access rules generated is below an, in particular numeric, access rule threshold value;
- b. Adjusting the sharpening parameter if the number of access rules generated is above the access rule threshold,
Wenn z.B. lediglich zwei IP-Adressen einer Adressgruppe zugeordnet werden sollen, die sich nur in ihrer letzten Ziffer unterscheiden, so gibt es eine Vielzahl an Intervallen, die beide IP-Adressen umfassen. Die Wahl des Intervalls kann in der oben beschriebenen Ausführungsform auf Basis eines Schärfeparameters ausgeführt werden. Der Wert des Schärfeparameters kann zu der Größe des Intervalls korrespondieren. Der Schärfeparameter kann ein numerischer Wert sein, bei dem ein hoher Wert zu einem „kleinen“ Intervall führen kann. Das „kleine“ Intervall umfasst dabei nur einen kleinen Bereich von IP-Adressen, z.B. 2 IP-Adressen. Ein niedriger Wert des Schärfeparameters führt zu einem Intervall, welches einen großen Bereich von IP-Adressen umfasst, z.B. 128 IP-Adressen.If e.g. only two IP addresses are to be assigned to an address group that differ only in their last digit, so there are a variety of intervals, which include both IP addresses. The choice of the interval may be made on the basis of a focus parameter in the embodiment described above. The value of the focus parameter may correspond to the size of the interval. The sharpening parameter can be a numeric value, where a high value can result in a "small" interval. The "small" interval comprises only a small range of IP addresses, e.g. 2 IP addresses. A low value of the sharpness parameter results in an interval comprising a wide range of IP addresses, e.g. 128 IP addresses.
In einer Ausführungsform kann der Schärfeparameter ein Netzanteil beim Supernetting sein.In one embodiment, the sharpening parameter may be a network share in supernetting.
Ein niedriger Wert des Schärfeparameters (großes Intervall) kann zur Erzeugung einer geringen Anzahl von Zugriffsregeln und ein hoher Wert des Schärfeparameters (kleines Intervall) kann zur Erzeugung einer großen Anzahl von Zugriffsregeln führen. Wird ein Schärfeparameter verwendet, kann also die Anzahl der erzeugten Zugriffsregeln genau gesteuert werden.A low value of the sharpening parameter (large interval) may result in the generation of a small number of access rules, and a high value of the sharpening parameter (small interval) may result in the generation of a large number of access rules. If a sharpening parameter is used, the number of access rules created can be precisely controlled.
Um die Wartbarkeit des Systems zu erhöhen, ist es wünschenswert die Anzahl der erzeugten Zugriffsregeln klein zu halten. In der beschriebenen Ausführungsform kann die Anzahl der gewünschten Zugriffsregeln durch den Schärfeparameter direkt festgelegt werden. Durch einen iterativen Prozess kann der Schärfeparameter solange geändert werden, bis die Anzahl der erzeugten Zugriffsregeln gleich oder kleiner der gewünschten Anzahl an Zugriffsregeln ist.In order to increase the maintainability of the system, it is desirable to keep the number of access rules generated small. In the described embodiment, the number of desired access rules can be set directly by the focus parameter. An iterative process allows the sharpening parameter to be changed until the number of access rules created is equal to or less than the desired number of access rules.
Es wird ermöglicht auch bei sehr großen Organisationen mit vielen verschiedenen Zugriffen, nur einen kleinen Satz an Zugriffsregeln zu erzeugen. Einem Benutzer ist es somit möglich, sich schnell einen umfassenden Überblick über die erzeugten Zugriffsregeln zu verschaffen. Die Wartbarkeit und Sicherheit des Kommunikationsnetzwerkes wird erhöht. It is also possible for very large organizations with many different accesses to generate only a small set of access rules. It is thus possible for a user to quickly obtain a comprehensive overview of the generated access rules. The maintainability and security of the communication network is increased.
In einer Ausführungsform kann eine Zugriffsregel zu einer Anzahl von möglichen Zugriffen korrespondieren, die durch die Zugriffsregel umfasst sind.In one embodiment, an access rule may correspond to a number of possible accesses included by the access rule.
Um die Anzahl der möglichen Zugriffe, die von einer Zugriffsregel umfasst sind, zu berechnen, kann die von der Zugriffsregel verwendete mindestens eine Adressgruppe als Vektor oder Adressmenge aufgefasst werden. Jedes Element des Vektors bzw. der Menge kann einer Ursprungs- oder Zieladresse entsprechen. Wenn eine Zugriffsregel mehr als eine Adressgruppe verwendet, so kann die Anzahl der umfassten möglichen Zugriffe einer Zugriffsregel sich in der beschriebenen Ausführungsform aus der Kardinalität der Vereinigungsmenge der Adressmengen ergeben.To calculate the number of possible accesses included in an access rule, the at least one address group used by the access rule can be understood as a vector or an address set. Each element of the vector or set may correspond to a source or destination address. If an access rule uses more than one address group, the number of possible accesses of an access rule included in the described embodiment may result from the cardinality of the union of the address sets.
In einer Ausführungsform kann ein Verbindungsschärfeparameter bei der Erzeugung einer Zugriffsregel verwendet werden, wobei das Erzeugen ein Bestimmen umfasst, ob die Anzahl der von der Zugriffsregel umfassten möglichen Zugriffe kleiner ist, als der Wert des Verbindungsschärfeparameters.In one embodiment, a connection sharpening parameter may be used in generating an access rule, wherein the generating comprises determining whether the number of possible accesses included in the access rule is less than the value of the connection sharpening parameter.
Das Verwenden eines Verbindungsschärfeparameters ist besonders dann von Vorteil, wenn es wichtig ist, die Anzahl der von den Zugriffsregeln umfassten Zugriffe genau zu steuern, z.B. um die Regeln an Einschränkungen von Netzwerkgeräten anzupassen.Using a connection sharpening parameter is particularly advantageous when it is important to accurately control the number of accesses included in the access rules, e.g. to adapt the rules to restrictions of network devices.
In einer Ausführungsform können mindestens zwei Zugriffsregeln zu einer Zugriffsregel zusammengefasst werden. Wenn die Zieladressen und/oder die Ursprungsadressen einer Zugriffsregel als Adressmengen aufgefasst werden, kann das Zusammenfassen in einer Ausführungsform durch das Bilden der Vereinigungsmengen der Adressmengen der Ursprungs- bzw. Zieladressen umgesetzt werden.In one embodiment, at least two access rules may be combined into one access rule. When the destination addresses and / or the originating addresses of an access rule are understood as address sets, summarization in one embodiment can be implemented by forming the union amounts of the address sets of the originating addresses.
Durch das Zusammenfassen von mindestens zwei Zugriffsregeln wird also die Anzahl der von der Zugriffsregel umfassten Zugriffe erhöht.By combining at least two access rules, the number of accesses covered by the access rule is thus increased.
In der beschriebenen Ausführungsform kann vor dem Zusammenfassen der Zugriffsregeln berechnet werden, wie viele zusätzliche Zugriffe durch das Zusammenfassen von der zu erzeugenden Zugriffsregel umfasst sind.In the described embodiment, before summarizing the access rules, it may be calculated how many additional accesses are included by the merging of the access rule to be generated.
Die Anzahl der zusätzlichen Zugriffe kann sich in einer Ausführungsform durch an sich bekannte Verfahren berechnet werden.The number of additional accesses can be calculated in one embodiment by methods known per se.
Das Zusammenfassen von Zugriffsregeln kann in einer Ausführungsform unter Verwendung des Verbindungsschärfeparameters durchgeführt werden, wobei das Zusammenfassen ein Bestimmen-Schritt umfassen kann, in dem ermittelt wird, ob die Anzahl der von der zusammengefassten Zugriffsregel umfassten möglichen Zugriffe kleiner ist, als der Wert des Verbindungsschärfeparameters.The aggregation of access rules may be performed in one embodiment using the connection sharpening parameter, the summarizing may include a determining step of determining whether the number of possible accesses included in the aggregate access rule is less than the value of the connection sharpening parameter.
In einer Ausführungsform können die gekennzeichneten Zugriffe und/oder die erzeugte Zugriffsregel auf einer Benutzeroberfläche dargestellt werden.In one embodiment, the designated accesses and / or the generated access rule may be displayed on a user interface.
Es wird also eine Möglichkeit geschaffen, die Kommunikation eines Kommunikationsnetzwerkes mit den Zugriffsregeln für einen Benutzer zu visualisieren. Durch die Reduzierung der benötigten Zugriffsregeln, z.B. von 1000 auf 10 wird es erst möglich gemacht, dass ein Mensch die Informationen über die Kommunikation in dem Kommunikationsnetzwerk verarbeiten bzw. erfassen kann.It is thus created a way to visualize the communication of a communication network with the access rules for a user. By reducing the required access rules, e.g. From 1000 to 10, it is only made possible for a person to process or record the information about the communication in the communication network.
In einer weiteren Ausführungsform kann das Erzeugen der zumindest einen Zugriffsregel das Erzeugen zumindest einer Abbildung umfassen, wobei die Abbildung auf Basis zumindest einer gleichen Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe erzeugt wird. Dabei kann die Abbildung die Ursprungsadressen und/oder Zieladressen auf die Zugriffsregel abbilden.In a further embodiment, generating the at least one access rule may comprise generating at least one mapping, wherein the mapping is generated based on at least one same source address and / or destination address and / or service indication. The mapping can map the source addresses and / or destination addresses to the access rule.
Um die Adressen der zumindest einen Zugriffsregel zuzuordnen, kann eine Abbildung verwendet werden. Somit wird gewährleistet, dass die Logeinträge eindeutig einer Zugriffsregel zugeordnet werden können. Die Abbildung kann z.B. eine Lookup-Tabelle sein. Ferner kann die Abbildung eine Datenstruktur sein, die eine logische Gruppierung vornimmt.To map the addresses of the at least one access rule, an image may be used. This ensures that the log entries can be uniquely assigned to an access rule. The image may e.g. to be a lookup table. Furthermore, the mapping may be a data structure that makes a logical grouping.
Eine solche Ausführungsform hat den Vorteil, dass einfache Datenstrukturen verwendet werden können, die eine große Anzahl von Ursprungs- bzw. Zieladressen auf eine Zugriffsregel abbilden. Während des Anwendens der Zugriffsregeln in dem Kommunikationsnetzwerk ist es notwendig, dass schnell festgestellt werden kann, ob ein Zugriff von einer Zugriffsregel umfasst ist oder nicht.Such an embodiment has the advantage that simple data structures can be used which map a large number of source or destination addresses to an access rule. During the application of the access rules in the communication network, it is necessary to be able to quickly determine whether access from an access rule is included or not.
Eine Lookup-Tabelle stellt eine effiziente Datenstruktur bereit, die das effiziente Auffinden von Einträgen ermöglicht. In einer Ausführungsform kann die Lookup-Tabelle als Hash-Tabelle oder als Baum, z.B. ein B-Baum oder B+-Baum, ausgeführt sein. Eine in einer Ausführungsform mögliche Datenstruktur ist eine Object-Group, wie sie von verschiedenen Routern, Switches und Firewalls bereitgestellt wird.A lookup table provides an efficient data structure that allows for efficient retrieval of entries. In one embodiment, the lookup table may be implemented as a hash table or as a tree, eg a B-tree or B + -tree. A In one embodiment, possible data structure is an object group as provided by different routers, switches, and firewalls.
In einer Ausführungsform kann die Vielzahl von Logeinträgen in einem weiteren Schritt vor dem Empfangen, über einen vorgegebenen Zeitraum aufgezeichnet werden.In one embodiment, the plurality of log entries may be recorded in a further step prior to receiving over a predetermined period of time.
Um alle relevanten und im Normalbetrieb auftretenden Zugriffe als Grundlage für die Erzeugung der Zugriffsregeln zur Verfügung zu haben, kann es notwendig sein, die Zugriffe in dem Kommunikationsnetzwerks über einen vorherbestimmten Zeitraum aufzuzeichnen. So kann eine Aufzeichnung z.B. drei Monate lang die Zugriffe in dem Kommunikationsnetzwerk aufzeichnen. Im Anschluss können die aufgezeichneten Logeinträge verwendet werden, um die Zugriffsregeln, wie beschrieben, zu erzeugen.In order to have all the relevant accesses occurring during normal operation as the basis for generating the access rules, it may be necessary to record the accesses in the communication network over a predetermined period of time. Thus, a record can be e.g. record the traffic in the communication network for three months. The recorded log entries can then be used to create the access rules as described.
In einer Ausführungsform kann das Zuordnen ein Aufteilen der Vielzahl von Logeinträgen in eine Vielzahl an Loggruppen umfassen. Die Größe der Loggruppen kann durch einen Parameter mit einem numerischen Wert, insbesondere 1000, vorzugsweise 10000, vorgegeben sein, wobei die Größe der Loggruppe die Anzahl der in der Loggruppe vorhandenen Logeinträge angibt. Die Loggruppen können dann parallel verarbeitet werden, wobei jede Loggruppe insbesondere von einem Prozessor, Thread oder Prozess auf einem Prozessor oder einer Vielzahl an Prozessoren bearbeitet wird. Das Zuordnen kann z.B. mittels BigData Techniken umgesetzt werden, wie z.B. dem MapReduce Algorithmus.In one embodiment, the mapping may include partitioning the plurality of log entries into a plurality of log groups. The size of the log groups can be specified by a parameter with a numerical value, in particular 1000, preferably 10000, the size of the log group indicating the number of log entries in the log group. The log groups can then be processed in parallel, wherein each log group is processed in particular by a processor, thread or process on a processor or a plurality of processors. The assignment may e.g. implemented by means of BigData techniques, e.g. the MapReduce algorithm.
Die beschriebene Ausführungsform erlaubt die Skalierung der Erfindung auf eine sehr große Anzahl von Logeinträgen. Eine Loggruppe kann als Stapel („Batch“) aufgefasst werden, sodass eine Vielzahl von Stapeln durch Techniken der Stapelverabeitung analysiert werden können.The described embodiment allows the scaling of the invention to a very large number of log entries. A log group can be considered a batch so that a large number of stacks can be analyzed by batch processing techniques.
In einer Ausführungsform werden während des Anwendens der Zugriffsregel in dem Netzwerk weitere Logeinträge empfangen, die gekennzeichnete Zugriffe in dem Netzwerk dokumentieren, wobei die Zugriffsregel unter Verwendung der weiteren Logeinträge aktualisiert wird, wobei die aktualisierte Zugriffsregel die gekennzeichneten Zugriffe der weiteren Logeinträge umfasst.In one embodiment, while applying the access rule to the network, further log entries are received that document tagged accesses in the network, wherein the access rule is updated using the further log entries, wherein the updated access rule comprises the tagged accesses of the further log entries.
Wenn während des Anwendens der Zugriffsregel gekennzeichneten Zugriffe empfangen werden, ist es für einen zuständigen Benutzer möglich, die Zugriffe zentral zu überwachen und auffällige Zugriffsmuster zu erkennen. Darüber hinaus ist es möglich die Zugriffsregel zu aktualisieren, wenn die gekennzeichneten Zugriffe von der Zugriffsregel umfasst werden sollen. Dabei kann ein Benutzer manuell festlegen, dass die Zugriffe von der Zugriffsregel umfasst sein sollen.If accesses denoted during the access rule are applied, it is possible for a responsible user to centrally monitor the accesses and to detect conspicuous access patterns. In addition, it is possible to update the access rule if the designated accesses are to be included in the access rule. In this case, a user can manually specify that the accesses should be included in the access rule.
Wenn zum Beispiel eine Ursprungsadresse vermehrt in Verbindung mit unterschiedlichen Zieladressen gekennzeichnet wird kann es sich dabei um ein Sicherheitsrisiko handeln. Ein mit der Überwachung beauftragter Benutzer kann in einem nächsten Schritt mit dem entsprechenden Mitarbeiter oder dem zuständigen Benutzer der Abteilung reden, um herauszufinden, ob die Zugriffe bewusst und autorisiert getätigt wurden.For example, if an originating address is increasingly tagged in conjunction with different destination addresses, it can be a security risk. A monitoring user can then, in a next step, talk to the appropriate employee or departmental user to see if the traffic was deliberate and authorized.
Ferner können in einer Ausführungsform während des Anwendens der Zugriffsregeln nur die markierten Logeinträge aufgezeichnet bzw. gespeichert werden. Es ist möglich, nach der beschriebenen initialen Aufzeichnungsphase, bei der alle Logeinträge zum Erstellen der Zugriffsregeln verwendet werden, nur noch eine geringe Anzahl von Logeinträgen zu speichern. Dabei wird sehr viel Speicherplatz und Rechenleistung eingespart. Insbesondere bei Netzwerkgeräten mit geringen Hardwareressourcen, wie z.B. Routern, ist dies von Vorteil. Bereits bei einer geringen Anzahl von Netzwerkgeräten können die erzeugten Logdateien zu einer sehr großen Datenmenge führen. Mit der beschriebenen Ausführungsform kann die Menge der zu speichernden Daten jedoch signifikant gesenkt werden.Further, in one embodiment, while applying the access rules, only the marked log entries may be recorded or stored. It is possible to save only a small number of log entries after the described initial recording phase in which all log entries are used to create the access rules. This saves a lot of storage space and processing power. Especially with network devices with low hardware resources, such as Routers, this is an advantage. Even with a small number of network devices, the generated log files can lead to a very large amount of data. However, with the described embodiment, the amount of data to be stored can be significantly reduced.
In einer weiteren Ausführungsform kann das Kommunikationsnetzwerk in zumindest zwei Zonen segmentiert sein, wobei eine erste Adressgruppe einer ersten Zone und eine zweite Adressgruppe einer zweiten Zone zugeordnet ist.In a further embodiment, the communication network may be segmented into at least two zones, a first address group being associated with a first zone and a second address group being associated with a second zone.
Insbesondere, wenn das Netzwerk in Zonen segmentiert ist, ist es von Vorteil, die Kommunikation zwischen den Zonen zu überwachen. Denn insbesondere die Kommunikation zwischen Zonen stellt ein erhöhtes Sicherheitsrisiko dar. Die Definition von Zonen ermöglicht es außerdem einem Benutzer schnell zu beurteilen, ob Zugriffe zwischen einer Ursprungsadresse und einer Zieladresse ein erhöhtes Risiko darstellen.In particular, if the network is segmented into zones, it is advantageous to monitor communication between the zones. In particular, the communication between zones presents an increased security risk. The definition of zones also allows a user to quickly judge whether accesses between an originating address and a destination address pose an increased risk.
In einer Ausführungsform kann eine Adresse, die einer Zone zugeordnet ist, als vertrauenswürdig („Trusted Internal“) markiert sein. Vertrauenswürdige Adressen innerhalb einer Zone können Netzwerkgeräten zugeordnet sein, die über erhöhte Sicherheitsmechanismen verfügen. So verfügen z.B. Server über eigene Sicherheitsmechanismen wie Firewalls, die es unnötig machen können, Zugriffe von und/oder auf die zugehörige Adresse zu beschränken. Das Erzeugen von Zugriffsregeln kann in einer Ausführungsform zusätzlich unter Verwendung der als vertrauenswürdig markierten Adressen ausgeführt werden. Dabei kann zumindest eine Zugriffsregel für alle als vertrauenswürdig markierten Adressen erzeugt werden. D.h., die als vertrauenswürdig markierten Adressen können eine Adressgruppe bilden, unter deren Verwendung eine Zugriffsregel erzeugt werden kann. In one embodiment, an address associated with a zone may be marked as trusted ("trusted"). Trusted addresses within a zone can be assigned to network devices that have enhanced security mechanisms. For example, servers have their own security mechanisms, such as firewalls, which can make it unnecessary to restrict access from and / or to the associated address. Additionally, in one embodiment, generating access rules may be performed using the addresses marked as trusted. At least one access rule can be marked as trusted for all Addresses are generated. That is, the addresses marked as trusted can form an address group, under the use of which an access rule can be generated.
In einer Ausführungsform kann auch eine Adresse als vertrauenswürdig markiert sein, die keiner Zone zugeordnet ist („Trusted Externals“). Dabei kann die Adresse z.B. einem Server zugeordnet sein, bei dem es sich z.B. um die globalen Server eines Kommunikationsnetzwerks handelt. Solche Server führen häufig Zugriffe auf eine Vielzahl von Adressen in verschiedenen Zonen aus.In one embodiment, an address that is not assigned to a zone can also be marked as trusted ("Trusted Externals"). The address may be e.g. be associated with a server, e.g. is the global server of a communication network. Such servers often access a variety of addresses in different zones.
Mit der beschriebenen Ausführungsform wird also eine erhöhte Flexibilität geboten, da für einzelne Adressen innerhalb und außerhalb einer Zone eigene Zugriffsregeln erzeugt werden können.Thus, with the embodiment described, increased flexibility is provided since individual access rules can be generated for individual addresses within and outside a zone.
In einer Ausführungsform kann den Ursprungs- und/oder Zieladressen in dem Netzwerk auf Basis der Logeinträge mindestens einem Typ zugeordnet werden, wobei der Typ Berechtigungen in dem Netzwerk entspricht.In one embodiment, the source and / or destination addresses in the network may be assigned at least one type based on the log entries, the type corresponding to permissions in the network.
Server in einem Kommunikationsnetzwerk können z.B. Verbindungen zu einer Vielzahl von Netzwerkgeräten aufweisen. Dabei greifen insbesondere andere Netzwerkgeräte häufig auf Dienste der Server zu. Die zu den Servern korrespondierenden Adressen werden also häufig als Zieladresse in Logeinträgen gespeichert. Ein Klassifikator, wie z.B. eine SVM („Support Vector Machine“) oder ein Naives Bayessches Netzwerk („Naive Bayesian Network“) kann den Adressen auf Basis der Logeinträge einen Typ zuordnen, wobei der Typ Berechtigungen innerhalb des Netzwerks entspricht. Der Typ kann z.B. die Adresse des Servers automatisch als Typ „Server“ klassifizieren. Der Typ „Server“ kann mit einer Berechtigung korrespondieren, wonach Zugriffe von allen möglichen Adressen erlaubt sein sollen. Der Server kann so als vertrauenswürdig markiert werden.Servers in a communication network can e.g. Connect to a variety of network devices. In particular, other network devices often access server services. The addresses corresponding to the servers are thus often stored as destination addresses in log entries. A classifier, such as a SVM (Support Vector Machine) or a Naive Bayesian Network can assign a type to the addresses based on the log entries, the type corresponding to permissions within the network. The type can e.g. automatically classify the address of the server as type "server". The type "server" can correspond to an authorization, according to which accesses from all possible addresses should be allowed. The server can be marked as trusted.
In einer Ausführungsform kann ein Typ zu Erzeugung der Zugriffsregel verwendet werden, wobei Zugriffe von beliebigen Ursprungsadressen zu Zieladressen, denen der Typ zugeordnet ist, von der Zugriffsregel umfasst werden.In one embodiment, a type of access rule generation type may be used, wherein accesses from arbitrary source addresses to destination addresses to which the type is assigned are covered by the access rule.
Es ist also möglich, den Typ zur Erzeugung von Zugriffsregeln zu verwenden. Dies führt zu einer erhöhten Skalierbarkeit der beschriebenen Lösung.So it's possible to use the type to create access rules. This leads to an increased scalability of the described solution.
In einer Ausführungsform kann das Intervall durch die Ursprungsadressen gebildet werden, die einem Typ zugeordnet sind.In one embodiment, the interval may be formed by the source addresses associated with a type.
Der Typ kann verwendet werden, um Zugriffsregeln zu erzeugen. Dabei können alle Adressen, denen ein Typ zugeordnet ist, das Intervall definieren, welches zur Erzeugung der Zugriffsregeln verwendet wird. Die Adressen eines Typs können also die Adressgruppe bilden, wobei die Anzahl der erzeugten Zugriffsregeln wieder gesenkt wird.The type can be used to create access rules. In this case, all addresses to which a type is assigned can define the interval which is used to generate the access rules. The addresses of one type can thus form the address group, whereby the number of access rules generated is reduced again.
Des Weiteren wird die Aufgabe gelöst durch ein Verfahren zur Absicherung/Überwachung eines Netzwerks, Folgendes aufweisend:
- - Empfangen von zumindest zwei Logeinträgen von mindestens einem Netzwerkgerät, wobei die Logeinträge jeweils zumindest eine Ursprungsadresse und/oder eine Zieladresse, insbesondere jeweils IP-Adressen, und/oder eine Serviceangabe, insbesondere eine Portangabe, umfassen;
- - Analysieren der Logeinträge, wobei das Analysieren das Identifizieren von zumindest einer gemeinsamen Ursprungsadresse und/oder einer gemeinsamen Zieladresse und/oder einer gemeinsamen Serviceangabe umfasst;
- - Erzeugen mindestens einer Abbildung und mindestens einer Zugriffsregel, wobei die Abbildung auf Basis der identifizierten gemeinsamen Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe erzeugt wird, und wobei die Abbildung die Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe auf die Zugriffsregel abbildet;
- - Anwenden der Zugriffsregel in dem Netzwerk, wobei die Zugriffregel das Netzwerkgerät dazu veranlasst, Zugriffe, die nicht von der Abbildung auf die Zugriffsregel umfasst sind, zu kennzeichnen und/oder zu unterbinden.
- Receiving at least two log entries from at least one network device, the log entries each comprising at least one source address and / or a destination address, in particular respective IP addresses, and / or a service specification, in particular a port specification;
- - analyzing the log entries, wherein the analyzing comprises identifying at least one common source address and / or a common destination address and / or a common service indication;
- Generating at least one map and at least one access rule, wherein the mapping is generated based on the identified common source address and / or destination address and / or service indication, and wherein the mapping maps the source address and / or destination address and / or service indication to the access rule;
- Applying the access rule in the network, the access rule causing the network device to identify and / or prohibit accesses not covered by the mapping to the access rule.
Es ist also auch möglich, dass Logeinträge von einem Netzwerkgerät empfangen werden, wobei die Logeinträge jeweils zumindest eine Ursprungsadresse und eine Zieladresse und/oder eine Serviceangabe umfassen. In einem weiteren Schritt können die Logeinträge analysiert werden, wobei gemeinsame Ursprungsadressen und/oder gemeinsame Zieladressen und/oder gemeinsame Serviceangaben identifiziert werden. Durch das Identifizieren ist es möglich, eine Abbildung zu erzeugen, die die identifizierten gemeinsamen Ursprungsadressen, Adressen und/oder Serviceangaben auf eine Zugriffsregel abbilden. Es wird eine Reduktion von benötigter Speichermenge erreicht, da eine Vielzahl von Adressen und/oder Serviceangaben zu einer einzigen Abbildung zusammengefasst werden kann bzw. können.It is therefore also possible for log entries to be received by a network device, the log entries each comprising at least one source address and one destination address and / or a service indication. In a further step, the log entries can be analyzed, whereby common source addresses and / or common destination addresses and / or common service information are identified. By identifying, it is possible to generate an image that maps the identified common source addresses, addresses, and / or service information to an access rule. A reduction in the amount of memory required is achieved because a large number of addresses and / or service information can be combined into a single image.
Die Aufgabe wird ferner durch ein computerlesbares Speichermedium gelöst, welches Instruktionen enthält, die mindestens einen Prozessor dazu veranlassen, eines der oben beschriebenen Verfahren zu implementieren, wenn die Instruktionen durch den Prozessor ausgeführt werden.The object is further achieved by a computer-readable storage medium containing instructions that cause at least one processor to implement one of the methods described above when the instructions are executed by the processor.
Es ergeben sich identische oder ähnliche Vorteile, wie sie bereits im Zusammenhang mit einem der genannten Verfahren beschrieben wurden. There are identical or similar advantages as have already been described in connection with one of the mentioned methods.
Sämtliche Ausführungsformen können mit sämtlichen Lösungen der Aufgabe beliebig kombiniert werden. Insbesondere beziehen sich alle Ausführungsformen, die im Zusammenhang mit den beschriebenen Verfahren beschrieben sind auch auf die beschriebenen Systeme zur Absicherung/Überwachung eines Netzwerks.All embodiments can be combined with any desired solutions of the task. In particular, all embodiments described in connection with the described methods also relate to the described systems for securing / monitoring a network.
Weitere Ausführungsformen ergeben sich aus den Unteransprüchen.Further embodiments emerge from the subclaims.
Nachfolgend wird die Erfindung mittels mehrerer Ausführungsbeispiele beschrieben, die anhand von Abbildungen näher erläutert werden. Hierbei zeigen:
-
1 eine schematische Ansicht eines Kommunikationsnetzwerks; -
2 einen weiteren Ausschnitt des Kommunikationsnetzwerks der1 in einer schematischen Darstellung; -
3 ein Ablaufdiagramm für ein Regelerzeugungsverfahren; -
4 ein Ablaufdiagramm eines Regelverfeinerungsverfahrens; -
5 ein Ablaufdiagramm für ein Optimierungsverfahren; -
6 ein Ablaufdiagramm für ein Verfahren zur automatischen Erkennung; -
7 eine schematische Darstellung eines Lernprozesses; -
8 eine schematische Darstellung eines Endpunktes im Kommunikationsnetzwerk; -
9 eine schematische Darstellung eines Routers; -
10 eine schematische Darstellung eines Servers; -
11 ein Ablaufdiagramm für ein Notfallverfahren und -
12 eine schematische Darstellung eines Systems zur Netzwerküberwachung.
-
1 a schematic view of a communication network; -
2 another section of the communication network of1 in a schematic representation; -
3 a flow chart for a rule generation process; -
4 a flowchart of a rule refinement process; -
5 a flowchart for an optimization method; -
6 a flowchart for a method for automatic detection; -
7 a schematic representation of a learning process; -
8th a schematic representation of an end point in the communication network; -
9 a schematic representation of a router; -
10 a schematic representation of a server; -
11 a flowchart for an emergency procedure and -
12 a schematic representation of a system for network monitoring.
Ein Ziel der Erfindung ist es, auffällige bzw. ungewollte Kommunikation zwischen Netzwerkteilnehmern zu erkennen. Dazu kann in einer Ausführungsform in einer ersten Phase das Kommunikationsnetzwerk
In dem ersten Ausführungsbeispiel umfasst das Kommunikationsnetzwerk
Der Router
Die Logeinträge
Die Logeinträge
In einem Ausführungsbeispiel empfängt der Analyseserver
In einem ersten Ausführungsbeispiel können zur Zuordnung der Adressen zu den Adressgruppen Objektgruppen verwendet werden. Dabei wird ein symbolischer Name für die Adressgruppe gewählt und eine Lookup-Tabelle wird verwendet, um den symbolischen Namen den Adressen bzw. Serviceangaben bzw. Ports zuzuweisen.In a first embodiment, object groups may be used to associate the addresses with the address groups. A symbolic name is selected for the address group and a lookup table is used to assign the symbolic name to the addresses or service information or ports.
In einem weiteren Ausführungsbeispiel kann zur Zuordnung Supernetting eingesetzt werden. Dabei werden Bitmasken verwendet, um Intervalle von IP-Adressen zusammenzufassen. So können z.B. zwei Adressen
- - 10.0.0.2 und
- - 10.0.0.3
- - 10.0.0.2 and
- - 10.0.0.3
Wie viele Adressen zu einer Adressgruppe zusammengefasst werden, also die Größe des Intervalls, kann über einen Schärfeparameter eingestellt werden. Dabei kann eine geringe Schärfe bedeuten, dass eine Vielzahl von Adressen zu einer Adressgruppe zugeordnet sind, die nicht in Logeinträgen
Unter Verwendung der Adressgruppen, erstellt eine Erzeugungseinheit
- Zugriffsregel
1 :- object-group network Gruppel
- 10.0.0.2
- 10.0.0.3
- ip access-list extended ACL_BASIC
- permit ip object-group Gruppel any
Zugriffsregel 1 ist eine Zugriffsregel 24 für das Kommunikationsnetzwerk 200 des ersten Ausführungsbeispiels.Endpunkt 1 hat die IP-Adresse 10.0.0.2 und Endpunkt1' hat die IP-Adresse 10.0.0.3 zugewiesen bekommen. Die Adressen 10.0.0.2 und 10.0.0.3 sind durch Zugriffsregel1 einer Adressgruppe zugeordnet. Der Adressgruppe ist ferner der Name „Gruppe1“ zugeordnet. Allen IP-Adressen, dieder Gruppe 1 zugewiesen sind, werden gemäß der obigen Zugriffsregel24 Zugriffe auf sämtliche andere Netzwerkteilnehmer („any“) erlaubt (permit), wie durch die letzte Zeile des Beispiels definiert wird.Die Zugriffsregeln 1 kann durch Supernetting vereinfacht werden:
- Zugriffsregel
2 :- Object-group Network Gruppel
- 10.0.0.2/31
- ip access-list extended ACL_BASIC
- permit ip object-group Gruppel any
- access rule
1 :- object-group network group
- 10.0.0.2
- 10.0.0.3
- ip access-list extended ACL_BASIC
- permit ip object-group grouping any
access rule 1 is anaccess rule 24 for thecommunication network 200 of the first embodiment.endpoint 1 has the IP address 10.0.0.2 and endpoint1' has been assigned the IP address 10.0.0.3. The addresses 10.0.0.2 and 10.0.0.3 are byaccess rule 1 assigned to an address group. The address group is also assigned the name "Group1". All IP addresses belonging to thegroup 1 are assigned according to theabove access rule 24 Access to all others Network participant ("any") allows (permit), as defined by the last line of the example. The access rules1 can be simplified by supernetting:
- access rule
2 :- Object-group Network Group
- 10.0.0.2/31
- ip access-list extended ACL_BASIC
- permit ip object-group grouping any
Wie Zugriffsregel
Der Analyseserver
Die Router
Wenn alle Zugriffe in einem Netzwerk aufgezeichnet werden, ist die Anzahl der aufgezeichneten Zugriffe so groß, dass ein Benutzer nicht in der Lage ist, ungewollte bzw. außergewöhnliche Zugriffe zu erkennen. Dies tritt insbesondere in großen Netzwerken bereits dann auf, wenn über einen kurzen Zeitraum (wenige Stunden/Tage) Logeinträge im Logserver
In einem darauffolgenden Freigabeabschritt
Die
Liegt die Anzahl der erzeugten Zugriffsregeln AR über dem Zugriffsregel-Schwellwert ZS, so wird der Schärfeparameter in einem Schärfeanpassungsschritt
Im anschließenden Entscheidungsschritt
Router
In dem aktuellen Ausführungsbeispiel umfassen die Logeinträge
Die Zonen-Gruppe, die zu der Zone
Es ist möglich, dass alle Zugriffe zwischen Adressen, die einer gemeinsamen Zone 4, 5 zugeordnet sind, von einer einzigen Zugriffsregel
Innerhalb einer Zone
Auf Basis der Logeinträge
Im Schritt zur Erkennung von vertrauenswürdigen internen Zonenmitgliedern
Im folgenden Regelverfeinerungsschritt
Eine Menge von Zugriffsregeln kann durch einen Abgleich der von den Zugriffsregeln umfassten Adressbereiche reduziert werden. Es werden dabei die Ursprungs- bzw. Zieladressen der entsprechenden Zugriffsregeln verglichen. Zum Beispiel kann eine erste Zugriffsregel die Adresse des Endpunkts
In dem Logeinträge-Verarbeitungsschritt
Sämtliche aufgezeichneten Zugriffe, die im normalen Betrieb, vor Ausführung des Notfall-Aktivierungsschritts
Router
Der Router
Dabei kann der Analyseserver
Für die IP-Adressen der Endpunkte
Die erzeugten Zugriffsregeln für IP-Adressen, die der ersten Zone
Selbstverständlich kann der Benutzer auch manuell eine neue Zugriffsregel definieren bzw. IP-Adressen und Subnetzen Zonen oder Adressgruppen zuweisen.Of course, the user can also define a new access rule manually or assign zones or address groups to IP addresses and subnets.
Im Anschluss werden alle Zugriffe auf den Routern
Der Benutzer kann den Zugriff auf weiterführende Details für jede in den Zugriffsregeln auftretende IP-Adresse bzw. jedes Subnetz veranlassen. Es können dabei weitere Informationen über die IP-Adressen von externen Systemen (z.B. IP-Adressdatenbank, Netzwerksicherheits-Überwachungssysteme, IP Reputation Investigation) abgefragt werden, wie zum Beispiel den Standort der Ursprungs-IP-Adresse oder der Ziel-IP-Adresse, den Namen der zugehörigen Zonen, das Subnetz, die den IP-Adressen zugeordneten Netzwerkbenutzer und/oder Namen bzw. IP-Adressen der Router, über welche die Zugriffe erfolgen sowie Sicherheitsinformationen (z.B. Bedrohungseinschätzung durch andere Netzwerk-Überwachungssysteme, Liste der Verbindungen dieser IP-Adressen der letzten 24 Stunden oder auch IP-Reputationsdienste).The user can provide access to more details for each IP address or subnet appearing in the access rules. In this case, further information about the IP addresses of external systems (eg IP address database, network security monitoring systems, IP Reputation Investigation) can be queried, such as the location of the source IP address or the destination IP address, for example The names of the associated zones, the subnet, the network users associated with the IP addresses, and / or the names or IP addresses of the routers through which the access is made, as well as security information (eg threat assessment by other network monitoring systems, list of connections of these IP addresses the last 24 hours or even IP reputation services).
In anderen Ausführungsbeispielen werden die weiterführenden Details für die IP-Adressen in Zugriffsregeln
Das System unterstützt den Benutzer darin (z.B. durch Zusammenfassung der zusätzlichen Informationen in einer Email) auf einfache Art und Weise zu veranlassen, dass eine Untersuchung innerhalb der Organisation initiiert wird, die intensive Nachforschungen über die Zugriffe durchführt.The system assists the user therein (e.g., by aggregating the additional information in an email) in a simple manner to initiate an investigation within the organization that conducts intensive traffic inquiry.
Ferner könnte der Benutzer veranlassen, dass zukünftige Zugriffe, die dem durch eine Zugriffsregel
Falls der autorisierte Benutzer erneut Logeinträge, die zu den ignorierten Zugriffen korrespondieren, angezeigt haben möchte, kann das Ignorieren (von Ursprungs- oder Ziel-IP Adressen und Diensten) von einzelnen Ursprungs- und/ oder Zieladressen aufgehoben werden und die Logeinträge werden (in Form von neuen vorgeschlagenen Zugriffsregeln
Im Rahmen dieser Anmeldung kann das Kennzeichnen von Zugriffen insbesondere bedeuten, dass Zugriffe geloggt, vorzugsweise aufgezeichnet bzw. gespeichert werden.In the context of this application, the identification of accesses may in particular mean that accesses are logged, preferably recorded or stored.
BezugszeichenlisteLIST OF REFERENCE NUMBERS
- 1, 1', 1"1, 1 ', 1 "
- Endpunktendpoint
- 22
- Endpunkt-RecheneinheitEndpoint computing unit
- 33
- Endpunkt -NetzwerkadapterEndpoint network adapter
- 44
- erste Zonefirst zone
- 55
- zweite Zonesecond zone
- 6, 6', 6", 6'"6, 6 ', 6 ", 6'"
- Netzdatennetwork data
- 7, 7'7, 7 '
- LogeinträgeLog entries
- 88th
- gesammelte Logeinträgecollected log entries
- 9, 9'9, 9 '
- Zugriffslisteaccess list
- 1010
- Logserverlogserver
- 2020
- Analyse-ServerAnalysis server
- 2121
- Auswahleinheitselector
- 2222
- Erzeugungseinheitgenerating unit
- 2323
- Sendeeinheittransmission unit
- 2424
- Zugriffsregelnaccess rules
- 30, 30', 30"30, 30 ', 30 "
- Routerrouter
- 31, 31', 31"31, 31 ', 31 "
- äußere Schnittstelleouter interface
- 32, 32', 32"32, 32 ', 32 "
- Innere SchnittstelleInner interface
- 3333
- NetzwerkadapterNetwork Adapters
- 3434
- NetzwerkrecheneinheitNetwork processing unit
- 3535
- Router-KommunikationsdatenRouter communication data
- 3636
- Speichereinrichtungmemory device
- 40, 40'40, 40 '
- Serverserver
- 4141
- Server-RecheneinheitServer computing unit
- 4242
- Firewallfirewall
- 4343
- Server-NetzwerkadapterServer Network Adapter
- 4444
- Serverspeicherserver memory
- 5050
- Regel-ErstellungsverfahrenRule creation process
- 5151
- Logeinträge-SammelschrittLog entries collection step
- 5252
- Zuordnungsschrittassigning step
- 5353
- RegelanwendungsschrittRule application step
- 5454
- Freigabeschrittreleasing step
- 5555
- RegelumsetzungsschrittRule conversion step
- 6060
- RegelverfeinerungsverfahrenUsually refining process
- 6161
- Logeinträge-SammelschrittLog entries collection step
- 6262
- RegelanpassungsschrittRule matching step
- 6363
- Freigabeschrittreleasing step
- 6464
- RegelumsetzungsschrittRule conversion step
- 7070
- Optimierungsverfahrenoptimization methods
- 7171
- Logeinträge-SammelschrittLog entries collection step
- 7272
- RegelerzeugungsschrittRule generation step
- 7373
- Entscheidungsschrittdecision step
- 7676
- SchärfeanpassungsschrittFocus adjustment step
- 7777
- RegelanwendungsschrittRule application step
- 8080
- Verfahren zur automatischen ErkennungAutomatic detection method
- 8181
- ZonenerstellungsschrittZone creation step
- 8282
- Zonenmitglieder-ErkennungsschrittZone members detection step
- 8383
- Erkennung von vertrauenswürdigen internen ZonenmitgliedernDetection of trusted internal zone members
- 8484
- Erkennung von vertrauenswürdigen externen NetzmitgliedernDetection of trusted external network members
- 8585
- RegelverfeinerungsschrittUsually refining step
- 8686
- RegelreduzierungsschrittGenerally reducing step
- 9090
- Lernprozesslearning process
- 9191
- Logeinträge-VerarbeitungsschrittLog entries processing step
- 9292
- Neu erzeugte RegelNew generated rule
- 9393
- RegelabgleichungsschrittRegelabgleichungsschritt
- 9494
- Neuer Satz von RegelnNew set of rules
- 9595
- Vereinfachungsschrittsimplification step
- 100100
- Notfallverfahren (Lockdown)Emergency procedure (lockdown)
- 101101
- Überwachungsverfahrenmonitoring procedures
- 102102
- Notfall-AktivierungsschrittsEmergency activation step
- 103103
- VerbindungsabgleichschrittConnection Setup step
- 104104
- VerbindungsblockierungsschrittCall blocking step
- 105105
- FeinabstimmungsschrittFine-tuning step
- 200200
- KommunikationsnetzwerkCommunication network
Claims (13)
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
DE102016104209 | 2016-03-08 | ||
DE102016104209.9 | 2016-03-08 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE102016107647A1 DE102016107647A1 (en) | 2017-09-14 |
DE102016107647B4 true DE102016107647B4 (en) | 2018-08-30 |
Family
ID=59700294
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE102016107647.3A Expired - Fee Related DE102016107647B4 (en) | 2016-03-08 | 2016-04-25 | Method and storage medium for securing / monitoring a network |
Country Status (1)
Country | Link |
---|---|
DE (1) | DE102016107647B4 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114640504B (en) * | 2022-02-24 | 2024-02-06 | 京东科技信息技术有限公司 | CC attack protection method, device, equipment and storage medium |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102006029013A1 (en) | 2006-06-23 | 2007-12-27 | Nokia Siemens Networks Gmbh & Co.Kg | Method for automatically recording addresses in a list of accepted transmitters in a communication system |
DE102008059487A1 (en) | 2008-11-28 | 2010-06-24 | Siemens Aktiengesellschaft | Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system |
US20140380456A1 (en) | 2004-01-23 | 2014-12-25 | The Barrier Group, Llc | Integrated data traffic monitoring system |
-
2016
- 2016-04-25 DE DE102016107647.3A patent/DE102016107647B4/en not_active Expired - Fee Related
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20140380456A1 (en) | 2004-01-23 | 2014-12-25 | The Barrier Group, Llc | Integrated data traffic monitoring system |
DE102006029013A1 (en) | 2006-06-23 | 2007-12-27 | Nokia Siemens Networks Gmbh & Co.Kg | Method for automatically recording addresses in a list of accepted transmitters in a communication system |
DE102008059487A1 (en) | 2008-11-28 | 2010-06-24 | Siemens Aktiengesellschaft | Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system |
Also Published As
Publication number | Publication date |
---|---|
DE102016107647A1 (en) | 2017-09-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60111089T2 (en) | Method and apparatus for analyzing one or more firewalls | |
DE69832946T2 (en) | Distributed system and method for controlling access to wetting means and event messages | |
DE69825801T2 (en) | Apparatus and method for enabling equal access control in a network | |
DE60317403T2 (en) | Multi-level cache architecture and cache memory management method for peer name resolution protocol | |
DE112013001964B4 (en) | Message exchange security management | |
DE69818232T2 (en) | METHOD AND SYSTEM FOR PREVENTING DOWNLOADING AND EXECUTING EXECUTABLE OBJECTS | |
DE60115615T2 (en) | SYSTEM, DEVICE AND METHOD FOR FAST PACKAGE FILTERING AND PROCESSING | |
DE202019103185U1 (en) | Distributed deduplication of packages | |
DE112010003464B4 (en) | Modification of access control lists | |
DE102015001054A1 (en) | METHOD AND SYSTEMS FOR DETECTING EXTRUSION AND INTRUSION IN A CLOUD COMPUTER ENVIRONMENT | |
DE10296682T5 (en) | Integrated procedure for sharing network data services among multiple participants | |
DE202016009029U1 (en) | Rules-based network threat detection | |
DE102015001024A1 (en) | Methods and systems for detecting extrusion and intrusion in a cloud computing environment using network communication devices | |
EP1290530A1 (en) | Encryption of data to be stored in an information processing system | |
DE102006004202B4 (en) | Method for protecting SIP based applications | |
DE102015102434A1 (en) | Method and system for providing a robust and efficient virtual asset vulnerability management and verification service | |
DE112010003099T5 (en) | DETECTION OF LOW-LEAVED NETWORK UNITS | |
DE60132360T2 (en) | MANAGING NETWORK TRANSPORT BY APPLYING A HASH FUNCTION | |
DE102019203773A1 (en) | Dynamic firewall configuration and control for accessing services hosted in virtual networks | |
DE10330079B4 (en) | Router and procedure for activating a disabled computer | |
DE102016107647B4 (en) | Method and storage medium for securing / monitoring a network | |
WO2003025758A2 (en) | Device and method for establishing a security policy in a distributed system | |
DE60114299T2 (en) | A method and apparatus for translating IP telecommunications network addresses with a controlled leaky memory | |
DE112012000780T5 (en) | Processing Authorization Check Data | |
DE102011080676A1 (en) | Configuration of a communication network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
R012 | Request for examination validly filed | ||
R016 | Response to examination communication | ||
R016 | Response to examination communication | ||
R018 | Grant decision by examination section/examining division | ||
R020 | Patent grant now final | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee | ||
R079 | Amendment of ipc main class |
Free format text: PREVIOUS MAIN CLASS: H04L0012260000 Ipc: H04L0043000000 |