DE102016107647B4 - Method and storage medium for securing / monitoring a network - Google Patents

Method and storage medium for securing / monitoring a network Download PDF

Info

Publication number
DE102016107647B4
DE102016107647B4 DE102016107647.3A DE102016107647A DE102016107647B4 DE 102016107647 B4 DE102016107647 B4 DE 102016107647B4 DE 102016107647 A DE102016107647 A DE 102016107647A DE 102016107647 B4 DE102016107647 B4 DE 102016107647B4
Authority
DE
Germany
Prior art keywords
access
address
addresses
network
log entries
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102016107647.3A
Other languages
German (de)
Other versions
DE102016107647A1 (en
Inventor
Patentinhaber gleich
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Individual
Original Assignee
Individual
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Individual filed Critical Individual
Publication of DE102016107647A1 publication Critical patent/DE102016107647A1/en
Application granted granted Critical
Publication of DE102016107647B4 publication Critical patent/DE102016107647B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Mining & Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Verfahren zur Absicherung/Überwachung eines Netzwerks (200), gekennzeichnet durch:
- Empfangen einer Vielzahl von Logeinträgen (7, 7') von mindestens einem Netzwerkgerät (30, 30', 30"),wobei jeder Logeintrag (7, 7') einen Zugriff (6, 6') in dem Netzwerk (200) von einer Ursprungsadresse auf eine Zieladresse dokumentiert;
- Zuordnen einer Auswahl von Ursprungsadressen und/oder Zieladressen zu mindestens einer Adressgruppe, wobei eine Adressgruppe mindestens ein Intervall für mindestens eine Ursprungsadresse oder Zieladresse definiert;
- Erzeugen (53) mindestens einer Zugriffsregel (24, 92) unter Verwendung der Adressgruppe;
- Anwenden (55) der Zugriffsregel (24, 92) in dem Netzwerk (200), wobei die Zugriffsregel (24, 92) mindestens ein Netzwerkgerät (30, 30', 30") dazu veranlasst, Zugriffe (6, 6'), die nicht von der Zugriffsregel (24, 92) umfasst sind, zu kennzeichnen und/oder zu unterbinden,
dadurch gekennzeichnet, dass
eine Vielzahl von Ursprungs- oder Zieladressen der Logeinträge (7, 7') zu der Adressgruppe zugeordnet werden, bei denen zugehörige Logeinträge (7, 7') eine gleiche
- Ursprungs- und/oder Zieladresse und/oder
- Serviceangabe und/oder
- Information über Schnittstellen
aufweisen.

Figure DE102016107647B4_0000
Method for securing / monitoring a network (200), characterized by:
Receiving a plurality of log entries (7, 7 ') from at least one network device (30, 30', 30 "), each log entry (7, 7 ') having access (6, 6') in the network (200) of a source address to a destination address documented;
Assigning a selection of source addresses and / or destination addresses to at least one address group, wherein an address group defines at least one interval for at least one source address or destination address;
- generating (53) at least one access rule (24, 92) using the address group;
Applying (55) the access rule (24, 92) in the network (200), the access rule (24, 92) causing at least one network device (30, 30 ', 30 ") to access (6, 6'), which are not covered by the access rule (24, 92), to mark and / or to prevent
characterized in that
a plurality of source or destination addresses of the log entries (7, 7 ') associated with the address group, in which associated log entries (7, 7 ') have the same
- origin and / or destination address and / or
- Service specification and / or
- Information via interfaces
exhibit.
Figure DE102016107647B4_0000

Description

Die Erfindung betrifft ein Verfahren zur Absicherung/Überwachung eines Netzwerks und ein computerlesbares Speichermedium, welches die Verfahren implementiert.The invention relates to a method for securing / monitoring a network and to a computer-readable storage medium which implements the methods.

In großen Organisationen, wie z.B. international agierenden Konzernen, werden eine Vielzahl von Netzwerkgeräten, wie z.B. PCs, Server, Router, Switches, Firewalls zu einem Kommunikationsnetzwerk bzw. Netzwerk verbunden. Unterschiedliche Bereiche einer Organisation müssen dabei mit verschiedenen anderen Bereichen der Organisation über das Kommunikationsnetzwerk kommunizieren können. Die Kommunikation weist Zugriffe auf, die von einer Ursprungsadresse auf eine Zieladresse durchgeführt werden. Dabei kann ein Zugriff zusätzlich über einen Dienst charakterisiert sein, für den der Zugriff durchgeführt wird. Zum Beispiel kann es sich bei einem Zugriff um den Zugriff auf eine Webseite handeln, die von einem Webserver bereitgestellt wird. Von einer Ursprungsadresse, z.B. von einer IP-Adresse, kann über den Port 80 des Internet-Protokolls die Webseite von dem Webserver angefordert werden. Port 80 ist in diesem Beispiel der Dienst, über den der Zugriff ausgeführt wird.In large organizations, such as internationally operating groups, a variety of network devices, such as PCs, servers, routers, switches, firewalls connected to a communication network or network. Different areas of an organization must be able to communicate with various other areas of the organization via the communication network. The communication has accesses made from a source address to a destination address. In this case, an access can additionally be characterized by a service for which the access is performed. For example, an access may be access to a web page provided by a web server. From an originating address, e.g. from an IP address, via the port 80 of the Internet Protocol, the web page can be requested from the web server. Port 80, in this example, is the service through which the access is performed.

Es gibt jedoch Bereiche bzw. Adressen, zwischen denen eine Kommunikation nicht wünschenswert ist. Insbesondere aufgrund von Sicherheitsrisiken müssen Zugriffe zwischen Ursprungs- und Zieladressen für bestimmte Dienste erkannt bzw. verhindert werden. So kann es z.B. notwendig sein den Benutzern von PCs, die in Konferenzräumen aufgebaut sind, den Zugriff auf Daten einer Personalabteilung zu verweigern. Dazu können die Zugriffe, die von IP-Adressen der PCs im Konferenzraum ausgehen, überwacht werden, sodass die entsprechenden Zugriffe auf ungewöhnliche Zieladressen erkannt werden. Soll der Zugriff nicht grundsätzlich verhindert werden, so ist es zumindest wünschenswert zu erkennen, wenn potentiell sicherheitsgefährdende Zugriffe ausgeführt werden, um geeignete Überwachungs- bzw. Verhinderungsmaßnahmen zu ergreifen.However, there are areas or addresses between which communication is undesirable. In particular due to security risks, accesses between origin and destination addresses for certain services must be detected or prevented. So it can be e.g. be necessary for the users of PCs, which are built in conference rooms, to deny access to data of a personnel department. For this purpose, the accesses that originate from IP addresses of the PCs in the conference room can be monitored so that the corresponding accesses to unusual destination addresses are detected. If access is not to be prevented in principle, then it is at least desirable to detect when potentially potentially dangerous accesses are being carried out in order to take suitable monitoring or prevention measures.

Auf bestimmten Netzwerkgeräten, wie z.B. Routern, Firewalls oder Switches, können zum Verhindern von unerwünschten Zugriffen Zugriffsregeln definiert werden, die die Zugriffe zwischen verschiedenen Adressen verhindern. Dabei werden die Zugriffsregeln in sogenannten Zugriffslisten (Access control lists oder Firewall Regelsätzen oder auch Label-basierten Technologien wie TrustSec) gespeichert. Insbesondere bei sehr großen Organisationen ist es jedoch aufwändig, wenn nicht unmöglich, die Zugriffsregeln optimal zu definieren, da diese normalerweise durch das zuständige Personal definiert werden. Die Anzahl der Zugriffsregeln kann schnell so groß werden, dass eine effiziente Konfiguration der Zugriffsregeln und Überwachung von Zugriffen nicht möglich ist.On certain network devices, e.g. Routers, firewalls, or switches can be defined to prevent access by unwanted access rules that prevent access between different addresses. The access rules are stored in so-called access lists (access control lists or firewall rule sets or label-based technologies such as TrustSec). Especially with very large organizations, however, it is complex, if not impossible, to define the access rules optimally, since these are normally defined by the responsible personnel. The number of access rules can quickly grow so high that efficient configuration of access rules and access monitoring is not possible.

Die DE 10 2006 029 013 A1 beschreibt ein Verfahren zum automatisierten Aufnehmen von Adressen in eine Liste Akzeptierter Sender, um unerwünschte Anrufen zu erkennen.The DE 10 2006 029 013 A1 describes a method for automatically including addresses in a list of accepted broadcasters to detect unwanted calls.

Die US 2014/0380456 A1 beschreibt die Überwachung eines Netztwerkes, wobei der Datenverkehr überwacht wird, Daten gesammelt werden und, basierend auf den gesammelten Daten, automatisch Regeln erzeugt werden.The US 2014/0380456 A1 describes monitoring a network, monitoring traffic, collecting data, and automatically generating rules based on the collected data.

Die DE 10 2008 059 487 A1 beschreibt ein Verfahren zur Erzeugung einer Zugriffsregel aufgrund von Log-Daten mit Ursprungs- und/oder Zieladressen, um damit ein Kommunikationsnetz in einer Automatisierungsanlage zu überwachen.The DE 10 2008 059 487 A1 describes a method for generating an access rule based on log data with source and / or destination addresses in order to monitor a communication network in an automation system.

Ausgehend von dem beschriebenen Stand der Technik stellt sich die Aufgabe, ein Verfahren und ein System bereitzustellen, welche die genannten Nachteile überwinden. Dabei soll insbesondere eine hohe Sicherheit innerhalb eines Kommunikationsnetzwerkes erreicht werden. Ferner soll es einem Benutzer ermöglicht werden, die Netzkommunikation effizient zu überwachen. Des Weiteren soll ein Verfahren bereitgestellt werden, welches den benötigten Speicherplatz und benötigte Rechenzeit gering hält. Ferner soll ein Verfahren und ein System bereitgestellt werde, welches es ermöglicht, ein großes Netzwerk effizient zu überwachen.Starting from the described prior art, the object is to provide a method and a system which overcome the disadvantages mentioned. In particular, a high level of security is to be achieved within a communications network. Further, it should enable a user to efficiently monitor the network communication. Furthermore, a method is to be provided which keeps the required storage space and required computing time low. Furthermore, a method and a system is provided, which makes it possible to efficiently monitor a large network.

Die Aufgabe wird durch ein Verfahren gemäß den Ansprüchen 1 oder 12 und ein computerlesbares Speichermedium nach Anspruch 13 gelöst.The object is achieved by a method according to claims 1 or 12 and a computer-readable storage medium according to claim 13.

Insbesondere wird die Aufgabe durch ein Verfahren zur Absicherung/Überwachung eines Kommunikationsnetzwerks gelöst, wobei das Verfahren Folgendes aufweist:

  • - Empfangen einer Vielzahl von Logeinträgen von mindestens einem Netzwerkgerät, wobei jeder Logeintrag einen Zugriff in dem Netzwerk von einer Ursprungsadresse auf eine Zieladresse dokumentiert;
  • - Zuordnen einer Auswahl von Ursprungsadressen und/oder Zieladressen zumindestens einer Adressgruppe, wobei eine Adressgruppe mindestens ein Intervall für mindestens eine Ursprungsadresse oder Zieladresse definiert;
  • - Erzeugen mindestens einer Zugriffsregel unter Verwendung der Adressgruppe;
  • - Anwenden der Zugriffsregel in dem Netzwerk, wobei die Zugriffsregel mindestens ein Netzwerkgerät dazu veranlasst, Zugriffe, die nicht von der Zugriffsregel umfasst sind, zu kennzeichnen und/oder zu unterbinden.
In particular, the object is achieved by a method for securing / monitoring a communication network, the method comprising:
  • - receiving a plurality of log entries from at least one network device, each log entry documenting access in the network from an originating address to a destination address;
  • Assigning a selection of source addresses and / or destination addresses to at least one address group, wherein an address group defines at least one interval for at least one source address or destination address;
  • - generating at least one access rule using the address group;
  • - Apply the access rule in the network, wherein the access rule causes at least one network device to identify and / or prohibit accesses not covered by the access rule.

Der Erfindung liegt die Erkenntnis zu Grunde, dass sich die Teilnehmer eines Kommunikationsnetzwerkes im Regelfall an die durch eine Organisation vorgegebenen Regeln halten. Die Teilnehmer des Kommunikationsnetzwerkes führen im Normalbetrieb also nur solche Zugriffe aus, die zur täglichen Erledigung ihrer Arbeit benötigt werden. Die Zugriffe des Normalbetriebs können verwendet werden, um Zugriffsregeln zu erzeugen, die alle im Normalbetrieb auftretenden Zugriffe erlauben bzw. als ungefährlich kennzeichnen. Gegebenenfalls kann auch eine kritische Revision der gekennzeichneten Zugriffe durch einen Benutzer erfolgen.The invention is based on the finding that the participants of a communication network generally comply with the rules prescribed by an organization. The participants of the communication network perform in normal operation so only those accesses that are required for the daily completion of their work. The accesses of the normal operation can be used to generate access rules that allow all occurring in normal operation accesses or mark as non-hazardous. If necessary, a critical revision of the identified accesses by a user can also take place.

Dabei können bei einer Kommunikation zwischen Geräten eines Netzwerks, an Netzwerkgeräten Logeinträge empfangen werden, die einen Zugriff von einer Ursprungsadresse auf eine Zieladresse dokumentieren. Ein Logeintrag kann auf Basis eines Zugriffs von einer Ursprungsadresse auf eine Zieladresse erzeugt werden. Die Kommunikation kann über das Internetprotokoll durchgeführt werden und bei den Adressen kann es sich um IP-Adressen handeln. Wenn Logeinträge von einem Netzwerkgerät empfangen werden, kann eine Auswahl aus den Ursprungs- bzw. Zieladressen einer Adressgruppe zugeordnet werden. Eine Adressgruppe definiert mindestens ein Intervall für eine mindestens eine Ursprungs- oder Zieladresse. Ein Intervall kann in einer Ausführungsform auch aus von einer Vielzahl an Ursprungs- und/oder Zieladressen definiert werden. In einer Ausführungsform kann das Intervall auf Basis der Ursprungsadresse(n) und/oder Zieladresse(n) definiert werden.In the case of communication between devices of a network, log entries can be received at network devices that document access from an originating address to a destination address. A log entry may be generated based on access from an originating address to a destination address. The communication can be carried out via the internet protocol and the addresses can be IP addresses. When log entries are received from a network device, a selection from the source or destination addresses may be assigned to an address group. An address group defines at least one interval for at least one origin or destination address. An interval may also be defined in one embodiment from a plurality of source and / or destination addresses. In one embodiment, the interval may be defined based on the source address (s) and / or destination address (s).

Die Logeinträge können in einer Ausführungsform die Anzahl der übertragenen/ gesendeten Bytes und/oder die Anzahl der übertragenen Pakete und/oder die übertragenen Pakete und/oder einen Zeitstempel, der Datum und Uhrzeit enthalten kann und/oder eine Information über Netzwerkschnittstellen, insbesondere eines Routers bzw. eines Switches umfassen, über die Daten ein- oder ausgegangen sind.The log entries may, in one embodiment, include the number of bytes transmitted / transmitted and / or the number of packets transmitted and / or the transmitted packets and / or a time stamp that may include date and time and / or information via network interfaces, particularly a router or a switch over which data is on or off.

Eine Zugriffsregel kann festlegen, in welchem Umfang Zugriffe zwischen einer Ursprungsadresse und einer Zieladresse ermöglicht bzw. erlaubt werden.An access rule can determine the extent to which accesses between an originating address and a destination address are allowed or permitted.

Die Zugriffsregel kann jedoch auch zusätzlich oder alternativ dazu verwendet werden, Zugriffe zu kennzeichnen, die nicht von der Zugriffsregel umfasst sind oder alternativ jene Zugriffe zu kennzeichnen, die von der Zugriffsregel umfasst sind.However, the access rule can also be additionally or alternatively used to identify accesses that are not included in the access rule or, alternatively, to identify those accesses that are encompassed by the access rule.

Es wird also eine Art Filter bereitgestellt, der es ermöglicht, aus einer Vielzahl von Zugriffen jene herauszufiltern, die den Zugriffsregeln nicht genügen bzw. genügen. Die Zugriffsregeln bilden damit auch eine neue Darstellungsweise für die Zugriffe innerhalb des Netzwerks, durch die es einem Benutzer ermöglicht wird, auf übersichtliche Art und Weise eine große Anzahl von Zugriffen zu beobachten. Bei einer sehr großen Anzahl von Zugriffen, wie es in großen Unternehmen alltäglich ist, wird es einem Benutzer, z.B. einem Systemadministrator, erst durch das Verfahren ermöglicht, solche Zugriffe effizient zu identifizieren, die eine potentielle Gefährdung für das Kommunikationsnetzwerk darstellen.Thus, a kind of filter is provided which makes it possible to filter out from a large number of accesses those which do not satisfy or satisfy the access rules. The access rules thus also provide a new way of representing the accesses within the network, which allows a user to observe a large number of accesses in a clear manner. With a very large number of accesses, as is commonplace in large enterprises, it is presented to a user, e.g. a system administrator, only through the process allows to efficiently identify those accesses that pose a potential threat to the communication network.

Zugriffsregeln können Angaben dazu enthalten, von welchen Ursprungsadressen zu welchen Zieladressen Zugriffe unterbunden bzw. gekennzeichnet werden. Dabei wird eine Auswahl von Ursprungsadressen bzw. Zieladressen zu Adressgruppen zusammengefasst. Die Zugriffsregeln können auf Basis der Adressgruppe erzeugt werden, z.B. indem die Adressgruppen als Platzhalter in den Zugriffsregeln verwendet werden. Es kann also eine einzige Zugriffsregel genügen, um eine Vielzahl unterschiedlicher Zugriffe zu erlauben oder zu unterbinden und/oder zu kennzeichnen, die von verschiedenen Ursprungs- bzw. Zieladressen ausgeführt werden.Access rules can contain information about which origin addresses to which destination addresses accesses are blocked or marked. A selection of source addresses or destination addresses is combined into address groups. The access rules can be generated based on the address group, e.g. by using the address groups as placeholders in the access rules. Thus, a single access rule may suffice to permit or deny and / or mark a plurality of different accesses made from different source and destination addresses.

Eine Vielzahl von Ursprungs- oder Zieladressen der Logeinträge wird zu der Adressgruppe zugeordnet, bei denen die zugehörigen Logeinträge eine gleiche

  • - Ursprungs- und/oder Zieladresse und/oder
  • - Serviceangabe und/oder
  • - Information über Schnittstellen
aufweisen.A plurality of origin or destination addresses of the log entries are assigned to the address group in which the associated log entries are the same
  • - origin and / or destination address and / or
  • - Service specification and / or
  • - Information via interfaces
exhibit.

Das Zuordnen von Urpsrungs- bzw. Zieladressen zu einer Adressgruppe, deren zugehörige Logeinträge sich in einem Merkmal (z.B. Ursprungs- und/oder Zieladresse, Serviceangabe, Information über Schnittstelle eines Routers) gleichen, bietet eine Möglichkeit die Anzahl der erzeugten Zugriffsregeln zu reduzieren. Es ist häufig der Fall, dass von verschiedenen Ursprungsadressen in einem Netzwerk Zugriffe auf eine einzige Zieladresse erfolgen. Zum Beispiel, wenn ein Klient („Client“) mit einem Server kommuniziert. Mit der beschriebenen Ausführungsform ist es möglich, alle Adressen der Klienten, also die Ursprungsadressen, einer Adressgruppe zuzuordnen. Damit muss für alle Klienten nur eine einzige Zugriffsregel für den Zugriff auf den Server erzeugt werden.Assigning destination addresses to an address group whose associated log entries resemble one another in a feature (e.g., originating and / or destination address, service indication, router interface information) provides a way to reduce the number of access rules generated. It is often the case that accesses to a single destination address are made from different source addresses in a network. For example, when a client ("client") communicates with a server. With the described embodiment, it is possible to assign all the addresses of the clients, that is to say the originating addresses, to an address group. This means that only one single access rule for accessing the server has to be created for all clients.

In einer Ausführungsform kann das Intervall unter Verwendung von Supernetting, insbesondere unter Verwendung mindestens einer Bitmaske, definiert werden. In one embodiment, the interval may be defined using supernetting, in particular using at least one bitmask.

Das Intervall kann in einer Ausführungsform durch Bitmasken definiert werden (z.B. durch „Supernetting“). Zwei IP-Adressen, die sich nur in der letzten Ziffer (4. Oktett) unterscheiden, können z.B. als zu dem Subnetz /24 (in der „Classless Inter-Domain Routing“ Schreibweise) zugehörig definiert werden. Dabei gibt die /24 an, dass die ersten 24 Bits der Netzmaske auf den Wert „1“ gesetzt sind, also die ersten drei Oktette gleich sind. Es wird eine einfache Möglichkeit geboten, eine Vielzahl von Adressen zusammenzufassen.The interval may be defined by bitmasks in one embodiment (e.g., by "supernetting"). Two IP addresses that differ only in the last digit (4th octet) may be e.g. to be defined as belonging to the subnet / 24 (in the "Classless Inter-Domain Routing" notation). The / 24 indicates that the first 24 bits of the netmask are set to the value "1", ie the first three octets are the same. It provides an easy way to summarize a variety of addresses.

In einer Ausführungsform können mindestens zwei nicht direkt aufeinanderfolgenden Ursprungs- und/oder Zieladressen das Intervall definieren.In one embodiment, at least two non-consecutive source and / or destination addresses may define the interval.

Ursprungs- bzw. Zieladressen können eine Ordnung aufweisen. Dabei folgt eine Adresse auf eine andere Adresse, wobei die Ordnung durch die Binärdarstellung der Adressen vorgegeben sein kann. Mindestens zwei Adressen können ein Intervall von Adressen dadurch definieren, dass die Adressen als Begrenzungen des Intervalls dienen. Das Definieren des Intervalls mittels Ursprungs- bzw. Zieladressen, die nicht direkt aufeinanderfolgen, kann somit das Einschließen der Adressen zwischen den beiden Adressen umfassen.Source and destination addresses may have order. This is followed by an address to another address, the order may be predetermined by the binary representation of the addresses. At least two addresses can define an interval of addresses in that the addresses serve as boundaries of the interval. Defining the interval by means of source addresses that are not consecutive can thus include including the addresses between the two addresses.

In einer anderen Ausführungsform können aber auch Adressen in dem Intervall liegen, die nicht zwischen den das Intervall definierenden Adressen liegen.In another embodiment, however, addresses may also lie in the interval which do not lie between the addresses which define the interval.

Dies ist von Vorteil, da eine Unschärfe bei der Erzeugung der Zugriffsregeln zugelassen wird. Die auf Basis der Adressgruppe definierte Zugriffsregel umfasst in der beschriebenen Ausführungsform also auch Adressen, die nicht unmittelbar in den Logeinträgen vorliegen.This is advantageous because blurring is allowed when creating the access rules. In the embodiment described, the access rule defined on the basis of the address group therefore also includes addresses which are not directly present in the log entries.

In einer Ausführungsform kann die Adressgruppe durch eine Vereinigungsmenge der Ursprungs- oder der Zieladressen der Auswahl der Logeinträge gebildet werden. In anderen Ausführungsformen sind auch weitere Mengen von Adressen denkbar, die durch Mengenoperationen erzeugt werden, wie z.B. die Schnittmenge.In one embodiment, the address group may be formed by a union of the source or destination addresses of the selection of the log entries. In other embodiments, other sets of addresses generated by set operations such as e.g. the intersection.

Wenn die Vereinigungsmenge der Ursprungs- oder der Zieladressen der Logeinträge gebildet wird und eine Zugriffsregel unter Verwendung der so erzeugten Adressgruppe erzeugt wird, wird eine weitere Möglichkeit bereitgestellt, die Anzahl der unterbundenen bzw. zu kennzeichnenden Zugriffe in dem Netzwerk zu steuern.When the union amount of the source or destination addresses of the log entries is formed and an access rule is generated by using the thus generated address group, another possibility is provided to control the number of denied accesses in the network.

In einer Ausführungsform kann das Zuordnen der Ursprungs- oder Zieladressen zu der Adressgruppe auf Basis eines Schärfeparameters durchgeführt werden, wobei der Schärfeparameter mit der Größe des Intervalls korrespondieren kann, wobei das Erzeugen zusätzlich die Schritte aufweisen kann:

  1. a. Feststellen, ob die Anzahl der erzeugten Zugriffsregeln unter einem, insbesondere numerischen, Zugriffsregel-Schwellwert liegt;
  2. b. Anpassen des Schärfeparameters, wenn die Anzahl der erzeugten Zugriffsregeln über dem Zugriffsregel-Schwellwert liegt,
wobei das Erzeugen und die Schritte a und b wiederholt werden können, bis die Anzahl der Zugriffsregeln unter dem Zugriffsregel-Schwellwert liegt.In one embodiment, assigning the source or destination addresses to the address group may be performed based on a sharpening parameter, wherein the sharpening parameter may correspond to the size of the interval, wherein the generating may additionally comprise the steps of:
  1. a. Determining whether the number of access rules generated is below an, in particular numeric, access rule threshold value;
  2. b. Adjusting the sharpening parameter if the number of access rules generated is above the access rule threshold,
wherein the generating and steps a and b may be repeated until the number of access rules is below the access rule threshold.

Wenn z.B. lediglich zwei IP-Adressen einer Adressgruppe zugeordnet werden sollen, die sich nur in ihrer letzten Ziffer unterscheiden, so gibt es eine Vielzahl an Intervallen, die beide IP-Adressen umfassen. Die Wahl des Intervalls kann in der oben beschriebenen Ausführungsform auf Basis eines Schärfeparameters ausgeführt werden. Der Wert des Schärfeparameters kann zu der Größe des Intervalls korrespondieren. Der Schärfeparameter kann ein numerischer Wert sein, bei dem ein hoher Wert zu einem „kleinen“ Intervall führen kann. Das „kleine“ Intervall umfasst dabei nur einen kleinen Bereich von IP-Adressen, z.B. 2 IP-Adressen. Ein niedriger Wert des Schärfeparameters führt zu einem Intervall, welches einen großen Bereich von IP-Adressen umfasst, z.B. 128 IP-Adressen.If e.g. only two IP addresses are to be assigned to an address group that differ only in their last digit, so there are a variety of intervals, which include both IP addresses. The choice of the interval may be made on the basis of a focus parameter in the embodiment described above. The value of the focus parameter may correspond to the size of the interval. The sharpening parameter can be a numeric value, where a high value can result in a "small" interval. The "small" interval comprises only a small range of IP addresses, e.g. 2 IP addresses. A low value of the sharpness parameter results in an interval comprising a wide range of IP addresses, e.g. 128 IP addresses.

In einer Ausführungsform kann der Schärfeparameter ein Netzanteil beim Supernetting sein.In one embodiment, the sharpening parameter may be a network share in supernetting.

Ein niedriger Wert des Schärfeparameters (großes Intervall) kann zur Erzeugung einer geringen Anzahl von Zugriffsregeln und ein hoher Wert des Schärfeparameters (kleines Intervall) kann zur Erzeugung einer großen Anzahl von Zugriffsregeln führen. Wird ein Schärfeparameter verwendet, kann also die Anzahl der erzeugten Zugriffsregeln genau gesteuert werden.A low value of the sharpening parameter (large interval) may result in the generation of a small number of access rules, and a high value of the sharpening parameter (small interval) may result in the generation of a large number of access rules. If a sharpening parameter is used, the number of access rules created can be precisely controlled.

Um die Wartbarkeit des Systems zu erhöhen, ist es wünschenswert die Anzahl der erzeugten Zugriffsregeln klein zu halten. In der beschriebenen Ausführungsform kann die Anzahl der gewünschten Zugriffsregeln durch den Schärfeparameter direkt festgelegt werden. Durch einen iterativen Prozess kann der Schärfeparameter solange geändert werden, bis die Anzahl der erzeugten Zugriffsregeln gleich oder kleiner der gewünschten Anzahl an Zugriffsregeln ist.In order to increase the maintainability of the system, it is desirable to keep the number of access rules generated small. In the described embodiment, the number of desired access rules can be set directly by the focus parameter. An iterative process allows the sharpening parameter to be changed until the number of access rules created is equal to or less than the desired number of access rules.

Es wird ermöglicht auch bei sehr großen Organisationen mit vielen verschiedenen Zugriffen, nur einen kleinen Satz an Zugriffsregeln zu erzeugen. Einem Benutzer ist es somit möglich, sich schnell einen umfassenden Überblick über die erzeugten Zugriffsregeln zu verschaffen. Die Wartbarkeit und Sicherheit des Kommunikationsnetzwerkes wird erhöht. It is also possible for very large organizations with many different accesses to generate only a small set of access rules. It is thus possible for a user to quickly obtain a comprehensive overview of the generated access rules. The maintainability and security of the communication network is increased.

In einer Ausführungsform kann eine Zugriffsregel zu einer Anzahl von möglichen Zugriffen korrespondieren, die durch die Zugriffsregel umfasst sind.In one embodiment, an access rule may correspond to a number of possible accesses included by the access rule.

Um die Anzahl der möglichen Zugriffe, die von einer Zugriffsregel umfasst sind, zu berechnen, kann die von der Zugriffsregel verwendete mindestens eine Adressgruppe als Vektor oder Adressmenge aufgefasst werden. Jedes Element des Vektors bzw. der Menge kann einer Ursprungs- oder Zieladresse entsprechen. Wenn eine Zugriffsregel mehr als eine Adressgruppe verwendet, so kann die Anzahl der umfassten möglichen Zugriffe einer Zugriffsregel sich in der beschriebenen Ausführungsform aus der Kardinalität der Vereinigungsmenge der Adressmengen ergeben.To calculate the number of possible accesses included in an access rule, the at least one address group used by the access rule can be understood as a vector or an address set. Each element of the vector or set may correspond to a source or destination address. If an access rule uses more than one address group, the number of possible accesses of an access rule included in the described embodiment may result from the cardinality of the union of the address sets.

In einer Ausführungsform kann ein Verbindungsschärfeparameter bei der Erzeugung einer Zugriffsregel verwendet werden, wobei das Erzeugen ein Bestimmen umfasst, ob die Anzahl der von der Zugriffsregel umfassten möglichen Zugriffe kleiner ist, als der Wert des Verbindungsschärfeparameters.In one embodiment, a connection sharpening parameter may be used in generating an access rule, wherein the generating comprises determining whether the number of possible accesses included in the access rule is less than the value of the connection sharpening parameter.

Das Verwenden eines Verbindungsschärfeparameters ist besonders dann von Vorteil, wenn es wichtig ist, die Anzahl der von den Zugriffsregeln umfassten Zugriffe genau zu steuern, z.B. um die Regeln an Einschränkungen von Netzwerkgeräten anzupassen.Using a connection sharpening parameter is particularly advantageous when it is important to accurately control the number of accesses included in the access rules, e.g. to adapt the rules to restrictions of network devices.

In einer Ausführungsform können mindestens zwei Zugriffsregeln zu einer Zugriffsregel zusammengefasst werden. Wenn die Zieladressen und/oder die Ursprungsadressen einer Zugriffsregel als Adressmengen aufgefasst werden, kann das Zusammenfassen in einer Ausführungsform durch das Bilden der Vereinigungsmengen der Adressmengen der Ursprungs- bzw. Zieladressen umgesetzt werden.In one embodiment, at least two access rules may be combined into one access rule. When the destination addresses and / or the originating addresses of an access rule are understood as address sets, summarization in one embodiment can be implemented by forming the union amounts of the address sets of the originating addresses.

Durch das Zusammenfassen von mindestens zwei Zugriffsregeln wird also die Anzahl der von der Zugriffsregel umfassten Zugriffe erhöht.By combining at least two access rules, the number of accesses covered by the access rule is thus increased.

In der beschriebenen Ausführungsform kann vor dem Zusammenfassen der Zugriffsregeln berechnet werden, wie viele zusätzliche Zugriffe durch das Zusammenfassen von der zu erzeugenden Zugriffsregel umfasst sind.In the described embodiment, before summarizing the access rules, it may be calculated how many additional accesses are included by the merging of the access rule to be generated.

Die Anzahl der zusätzlichen Zugriffe kann sich in einer Ausführungsform durch an sich bekannte Verfahren berechnet werden.The number of additional accesses can be calculated in one embodiment by methods known per se.

Das Zusammenfassen von Zugriffsregeln kann in einer Ausführungsform unter Verwendung des Verbindungsschärfeparameters durchgeführt werden, wobei das Zusammenfassen ein Bestimmen-Schritt umfassen kann, in dem ermittelt wird, ob die Anzahl der von der zusammengefassten Zugriffsregel umfassten möglichen Zugriffe kleiner ist, als der Wert des Verbindungsschärfeparameters.The aggregation of access rules may be performed in one embodiment using the connection sharpening parameter, the summarizing may include a determining step of determining whether the number of possible accesses included in the aggregate access rule is less than the value of the connection sharpening parameter.

In einer Ausführungsform können die gekennzeichneten Zugriffe und/oder die erzeugte Zugriffsregel auf einer Benutzeroberfläche dargestellt werden.In one embodiment, the designated accesses and / or the generated access rule may be displayed on a user interface.

Es wird also eine Möglichkeit geschaffen, die Kommunikation eines Kommunikationsnetzwerkes mit den Zugriffsregeln für einen Benutzer zu visualisieren. Durch die Reduzierung der benötigten Zugriffsregeln, z.B. von 1000 auf 10 wird es erst möglich gemacht, dass ein Mensch die Informationen über die Kommunikation in dem Kommunikationsnetzwerk verarbeiten bzw. erfassen kann.It is thus created a way to visualize the communication of a communication network with the access rules for a user. By reducing the required access rules, e.g. From 1000 to 10, it is only made possible for a person to process or record the information about the communication in the communication network.

In einer weiteren Ausführungsform kann das Erzeugen der zumindest einen Zugriffsregel das Erzeugen zumindest einer Abbildung umfassen, wobei die Abbildung auf Basis zumindest einer gleichen Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe erzeugt wird. Dabei kann die Abbildung die Ursprungsadressen und/oder Zieladressen auf die Zugriffsregel abbilden.In a further embodiment, generating the at least one access rule may comprise generating at least one mapping, wherein the mapping is generated based on at least one same source address and / or destination address and / or service indication. The mapping can map the source addresses and / or destination addresses to the access rule.

Um die Adressen der zumindest einen Zugriffsregel zuzuordnen, kann eine Abbildung verwendet werden. Somit wird gewährleistet, dass die Logeinträge eindeutig einer Zugriffsregel zugeordnet werden können. Die Abbildung kann z.B. eine Lookup-Tabelle sein. Ferner kann die Abbildung eine Datenstruktur sein, die eine logische Gruppierung vornimmt.To map the addresses of the at least one access rule, an image may be used. This ensures that the log entries can be uniquely assigned to an access rule. The image may e.g. to be a lookup table. Furthermore, the mapping may be a data structure that makes a logical grouping.

Eine solche Ausführungsform hat den Vorteil, dass einfache Datenstrukturen verwendet werden können, die eine große Anzahl von Ursprungs- bzw. Zieladressen auf eine Zugriffsregel abbilden. Während des Anwendens der Zugriffsregeln in dem Kommunikationsnetzwerk ist es notwendig, dass schnell festgestellt werden kann, ob ein Zugriff von einer Zugriffsregel umfasst ist oder nicht.Such an embodiment has the advantage that simple data structures can be used which map a large number of source or destination addresses to an access rule. During the application of the access rules in the communication network, it is necessary to be able to quickly determine whether access from an access rule is included or not.

Eine Lookup-Tabelle stellt eine effiziente Datenstruktur bereit, die das effiziente Auffinden von Einträgen ermöglicht. In einer Ausführungsform kann die Lookup-Tabelle als Hash-Tabelle oder als Baum, z.B. ein B-Baum oder B+-Baum, ausgeführt sein. Eine in einer Ausführungsform mögliche Datenstruktur ist eine Object-Group, wie sie von verschiedenen Routern, Switches und Firewalls bereitgestellt wird.A lookup table provides an efficient data structure that allows for efficient retrieval of entries. In one embodiment, the lookup table may be implemented as a hash table or as a tree, eg a B-tree or B + -tree. A In one embodiment, possible data structure is an object group as provided by different routers, switches, and firewalls.

In einer Ausführungsform kann die Vielzahl von Logeinträgen in einem weiteren Schritt vor dem Empfangen, über einen vorgegebenen Zeitraum aufgezeichnet werden.In one embodiment, the plurality of log entries may be recorded in a further step prior to receiving over a predetermined period of time.

Um alle relevanten und im Normalbetrieb auftretenden Zugriffe als Grundlage für die Erzeugung der Zugriffsregeln zur Verfügung zu haben, kann es notwendig sein, die Zugriffe in dem Kommunikationsnetzwerks über einen vorherbestimmten Zeitraum aufzuzeichnen. So kann eine Aufzeichnung z.B. drei Monate lang die Zugriffe in dem Kommunikationsnetzwerk aufzeichnen. Im Anschluss können die aufgezeichneten Logeinträge verwendet werden, um die Zugriffsregeln, wie beschrieben, zu erzeugen.In order to have all the relevant accesses occurring during normal operation as the basis for generating the access rules, it may be necessary to record the accesses in the communication network over a predetermined period of time. Thus, a record can be e.g. record the traffic in the communication network for three months. The recorded log entries can then be used to create the access rules as described.

In einer Ausführungsform kann das Zuordnen ein Aufteilen der Vielzahl von Logeinträgen in eine Vielzahl an Loggruppen umfassen. Die Größe der Loggruppen kann durch einen Parameter mit einem numerischen Wert, insbesondere 1000, vorzugsweise 10000, vorgegeben sein, wobei die Größe der Loggruppe die Anzahl der in der Loggruppe vorhandenen Logeinträge angibt. Die Loggruppen können dann parallel verarbeitet werden, wobei jede Loggruppe insbesondere von einem Prozessor, Thread oder Prozess auf einem Prozessor oder einer Vielzahl an Prozessoren bearbeitet wird. Das Zuordnen kann z.B. mittels BigData Techniken umgesetzt werden, wie z.B. dem MapReduce Algorithmus.In one embodiment, the mapping may include partitioning the plurality of log entries into a plurality of log groups. The size of the log groups can be specified by a parameter with a numerical value, in particular 1000, preferably 10000, the size of the log group indicating the number of log entries in the log group. The log groups can then be processed in parallel, wherein each log group is processed in particular by a processor, thread or process on a processor or a plurality of processors. The assignment may e.g. implemented by means of BigData techniques, e.g. the MapReduce algorithm.

Die beschriebene Ausführungsform erlaubt die Skalierung der Erfindung auf eine sehr große Anzahl von Logeinträgen. Eine Loggruppe kann als Stapel („Batch“) aufgefasst werden, sodass eine Vielzahl von Stapeln durch Techniken der Stapelverabeitung analysiert werden können.The described embodiment allows the scaling of the invention to a very large number of log entries. A log group can be considered a batch so that a large number of stacks can be analyzed by batch processing techniques.

In einer Ausführungsform werden während des Anwendens der Zugriffsregel in dem Netzwerk weitere Logeinträge empfangen, die gekennzeichnete Zugriffe in dem Netzwerk dokumentieren, wobei die Zugriffsregel unter Verwendung der weiteren Logeinträge aktualisiert wird, wobei die aktualisierte Zugriffsregel die gekennzeichneten Zugriffe der weiteren Logeinträge umfasst.In one embodiment, while applying the access rule to the network, further log entries are received that document tagged accesses in the network, wherein the access rule is updated using the further log entries, wherein the updated access rule comprises the tagged accesses of the further log entries.

Wenn während des Anwendens der Zugriffsregel gekennzeichneten Zugriffe empfangen werden, ist es für einen zuständigen Benutzer möglich, die Zugriffe zentral zu überwachen und auffällige Zugriffsmuster zu erkennen. Darüber hinaus ist es möglich die Zugriffsregel zu aktualisieren, wenn die gekennzeichneten Zugriffe von der Zugriffsregel umfasst werden sollen. Dabei kann ein Benutzer manuell festlegen, dass die Zugriffe von der Zugriffsregel umfasst sein sollen.If accesses denoted during the access rule are applied, it is possible for a responsible user to centrally monitor the accesses and to detect conspicuous access patterns. In addition, it is possible to update the access rule if the designated accesses are to be included in the access rule. In this case, a user can manually specify that the accesses should be included in the access rule.

Wenn zum Beispiel eine Ursprungsadresse vermehrt in Verbindung mit unterschiedlichen Zieladressen gekennzeichnet wird kann es sich dabei um ein Sicherheitsrisiko handeln. Ein mit der Überwachung beauftragter Benutzer kann in einem nächsten Schritt mit dem entsprechenden Mitarbeiter oder dem zuständigen Benutzer der Abteilung reden, um herauszufinden, ob die Zugriffe bewusst und autorisiert getätigt wurden.For example, if an originating address is increasingly tagged in conjunction with different destination addresses, it can be a security risk. A monitoring user can then, in a next step, talk to the appropriate employee or departmental user to see if the traffic was deliberate and authorized.

Ferner können in einer Ausführungsform während des Anwendens der Zugriffsregeln nur die markierten Logeinträge aufgezeichnet bzw. gespeichert werden. Es ist möglich, nach der beschriebenen initialen Aufzeichnungsphase, bei der alle Logeinträge zum Erstellen der Zugriffsregeln verwendet werden, nur noch eine geringe Anzahl von Logeinträgen zu speichern. Dabei wird sehr viel Speicherplatz und Rechenleistung eingespart. Insbesondere bei Netzwerkgeräten mit geringen Hardwareressourcen, wie z.B. Routern, ist dies von Vorteil. Bereits bei einer geringen Anzahl von Netzwerkgeräten können die erzeugten Logdateien zu einer sehr großen Datenmenge führen. Mit der beschriebenen Ausführungsform kann die Menge der zu speichernden Daten jedoch signifikant gesenkt werden.Further, in one embodiment, while applying the access rules, only the marked log entries may be recorded or stored. It is possible to save only a small number of log entries after the described initial recording phase in which all log entries are used to create the access rules. This saves a lot of storage space and processing power. Especially with network devices with low hardware resources, such as Routers, this is an advantage. Even with a small number of network devices, the generated log files can lead to a very large amount of data. However, with the described embodiment, the amount of data to be stored can be significantly reduced.

In einer weiteren Ausführungsform kann das Kommunikationsnetzwerk in zumindest zwei Zonen segmentiert sein, wobei eine erste Adressgruppe einer ersten Zone und eine zweite Adressgruppe einer zweiten Zone zugeordnet ist.In a further embodiment, the communication network may be segmented into at least two zones, a first address group being associated with a first zone and a second address group being associated with a second zone.

Insbesondere, wenn das Netzwerk in Zonen segmentiert ist, ist es von Vorteil, die Kommunikation zwischen den Zonen zu überwachen. Denn insbesondere die Kommunikation zwischen Zonen stellt ein erhöhtes Sicherheitsrisiko dar. Die Definition von Zonen ermöglicht es außerdem einem Benutzer schnell zu beurteilen, ob Zugriffe zwischen einer Ursprungsadresse und einer Zieladresse ein erhöhtes Risiko darstellen.In particular, if the network is segmented into zones, it is advantageous to monitor communication between the zones. In particular, the communication between zones presents an increased security risk. The definition of zones also allows a user to quickly judge whether accesses between an originating address and a destination address pose an increased risk.

In einer Ausführungsform kann eine Adresse, die einer Zone zugeordnet ist, als vertrauenswürdig („Trusted Internal“) markiert sein. Vertrauenswürdige Adressen innerhalb einer Zone können Netzwerkgeräten zugeordnet sein, die über erhöhte Sicherheitsmechanismen verfügen. So verfügen z.B. Server über eigene Sicherheitsmechanismen wie Firewalls, die es unnötig machen können, Zugriffe von und/oder auf die zugehörige Adresse zu beschränken. Das Erzeugen von Zugriffsregeln kann in einer Ausführungsform zusätzlich unter Verwendung der als vertrauenswürdig markierten Adressen ausgeführt werden. Dabei kann zumindest eine Zugriffsregel für alle als vertrauenswürdig markierten Adressen erzeugt werden. D.h., die als vertrauenswürdig markierten Adressen können eine Adressgruppe bilden, unter deren Verwendung eine Zugriffsregel erzeugt werden kann. In one embodiment, an address associated with a zone may be marked as trusted ("trusted"). Trusted addresses within a zone can be assigned to network devices that have enhanced security mechanisms. For example, servers have their own security mechanisms, such as firewalls, which can make it unnecessary to restrict access from and / or to the associated address. Additionally, in one embodiment, generating access rules may be performed using the addresses marked as trusted. At least one access rule can be marked as trusted for all Addresses are generated. That is, the addresses marked as trusted can form an address group, under the use of which an access rule can be generated.

In einer Ausführungsform kann auch eine Adresse als vertrauenswürdig markiert sein, die keiner Zone zugeordnet ist („Trusted Externals“). Dabei kann die Adresse z.B. einem Server zugeordnet sein, bei dem es sich z.B. um die globalen Server eines Kommunikationsnetzwerks handelt. Solche Server führen häufig Zugriffe auf eine Vielzahl von Adressen in verschiedenen Zonen aus.In one embodiment, an address that is not assigned to a zone can also be marked as trusted ("Trusted Externals"). The address may be e.g. be associated with a server, e.g. is the global server of a communication network. Such servers often access a variety of addresses in different zones.

Mit der beschriebenen Ausführungsform wird also eine erhöhte Flexibilität geboten, da für einzelne Adressen innerhalb und außerhalb einer Zone eigene Zugriffsregeln erzeugt werden können.Thus, with the embodiment described, increased flexibility is provided since individual access rules can be generated for individual addresses within and outside a zone.

In einer Ausführungsform kann den Ursprungs- und/oder Zieladressen in dem Netzwerk auf Basis der Logeinträge mindestens einem Typ zugeordnet werden, wobei der Typ Berechtigungen in dem Netzwerk entspricht.In one embodiment, the source and / or destination addresses in the network may be assigned at least one type based on the log entries, the type corresponding to permissions in the network.

Server in einem Kommunikationsnetzwerk können z.B. Verbindungen zu einer Vielzahl von Netzwerkgeräten aufweisen. Dabei greifen insbesondere andere Netzwerkgeräte häufig auf Dienste der Server zu. Die zu den Servern korrespondierenden Adressen werden also häufig als Zieladresse in Logeinträgen gespeichert. Ein Klassifikator, wie z.B. eine SVM („Support Vector Machine“) oder ein Naives Bayessches Netzwerk („Naive Bayesian Network“) kann den Adressen auf Basis der Logeinträge einen Typ zuordnen, wobei der Typ Berechtigungen innerhalb des Netzwerks entspricht. Der Typ kann z.B. die Adresse des Servers automatisch als Typ „Server“ klassifizieren. Der Typ „Server“ kann mit einer Berechtigung korrespondieren, wonach Zugriffe von allen möglichen Adressen erlaubt sein sollen. Der Server kann so als vertrauenswürdig markiert werden.Servers in a communication network can e.g. Connect to a variety of network devices. In particular, other network devices often access server services. The addresses corresponding to the servers are thus often stored as destination addresses in log entries. A classifier, such as a SVM (Support Vector Machine) or a Naive Bayesian Network can assign a type to the addresses based on the log entries, the type corresponding to permissions within the network. The type can e.g. automatically classify the address of the server as type "server". The type "server" can correspond to an authorization, according to which accesses from all possible addresses should be allowed. The server can be marked as trusted.

In einer Ausführungsform kann ein Typ zu Erzeugung der Zugriffsregel verwendet werden, wobei Zugriffe von beliebigen Ursprungsadressen zu Zieladressen, denen der Typ zugeordnet ist, von der Zugriffsregel umfasst werden.In one embodiment, a type of access rule generation type may be used, wherein accesses from arbitrary source addresses to destination addresses to which the type is assigned are covered by the access rule.

Es ist also möglich, den Typ zur Erzeugung von Zugriffsregeln zu verwenden. Dies führt zu einer erhöhten Skalierbarkeit der beschriebenen Lösung.So it's possible to use the type to create access rules. This leads to an increased scalability of the described solution.

In einer Ausführungsform kann das Intervall durch die Ursprungsadressen gebildet werden, die einem Typ zugeordnet sind.In one embodiment, the interval may be formed by the source addresses associated with a type.

Der Typ kann verwendet werden, um Zugriffsregeln zu erzeugen. Dabei können alle Adressen, denen ein Typ zugeordnet ist, das Intervall definieren, welches zur Erzeugung der Zugriffsregeln verwendet wird. Die Adressen eines Typs können also die Adressgruppe bilden, wobei die Anzahl der erzeugten Zugriffsregeln wieder gesenkt wird.The type can be used to create access rules. In this case, all addresses to which a type is assigned can define the interval which is used to generate the access rules. The addresses of one type can thus form the address group, whereby the number of access rules generated is reduced again.

Des Weiteren wird die Aufgabe gelöst durch ein Verfahren zur Absicherung/Überwachung eines Netzwerks, Folgendes aufweisend:

  • - Empfangen von zumindest zwei Logeinträgen von mindestens einem Netzwerkgerät, wobei die Logeinträge jeweils zumindest eine Ursprungsadresse und/oder eine Zieladresse, insbesondere jeweils IP-Adressen, und/oder eine Serviceangabe, insbesondere eine Portangabe, umfassen;
  • - Analysieren der Logeinträge, wobei das Analysieren das Identifizieren von zumindest einer gemeinsamen Ursprungsadresse und/oder einer gemeinsamen Zieladresse und/oder einer gemeinsamen Serviceangabe umfasst;
  • - Erzeugen mindestens einer Abbildung und mindestens einer Zugriffsregel, wobei die Abbildung auf Basis der identifizierten gemeinsamen Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe erzeugt wird, und wobei die Abbildung die Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe auf die Zugriffsregel abbildet;
  • - Anwenden der Zugriffsregel in dem Netzwerk, wobei die Zugriffregel das Netzwerkgerät dazu veranlasst, Zugriffe, die nicht von der Abbildung auf die Zugriffsregel umfasst sind, zu kennzeichnen und/oder zu unterbinden.
Furthermore, the object is achieved by a method for securing / monitoring a network, comprising:
  • Receiving at least two log entries from at least one network device, the log entries each comprising at least one source address and / or a destination address, in particular respective IP addresses, and / or a service specification, in particular a port specification;
  • - analyzing the log entries, wherein the analyzing comprises identifying at least one common source address and / or a common destination address and / or a common service indication;
  • Generating at least one map and at least one access rule, wherein the mapping is generated based on the identified common source address and / or destination address and / or service indication, and wherein the mapping maps the source address and / or destination address and / or service indication to the access rule;
  • Applying the access rule in the network, the access rule causing the network device to identify and / or prohibit accesses not covered by the mapping to the access rule.

Es ist also auch möglich, dass Logeinträge von einem Netzwerkgerät empfangen werden, wobei die Logeinträge jeweils zumindest eine Ursprungsadresse und eine Zieladresse und/oder eine Serviceangabe umfassen. In einem weiteren Schritt können die Logeinträge analysiert werden, wobei gemeinsame Ursprungsadressen und/oder gemeinsame Zieladressen und/oder gemeinsame Serviceangaben identifiziert werden. Durch das Identifizieren ist es möglich, eine Abbildung zu erzeugen, die die identifizierten gemeinsamen Ursprungsadressen, Adressen und/oder Serviceangaben auf eine Zugriffsregel abbilden. Es wird eine Reduktion von benötigter Speichermenge erreicht, da eine Vielzahl von Adressen und/oder Serviceangaben zu einer einzigen Abbildung zusammengefasst werden kann bzw. können.It is therefore also possible for log entries to be received by a network device, the log entries each comprising at least one source address and one destination address and / or a service indication. In a further step, the log entries can be analyzed, whereby common source addresses and / or common destination addresses and / or common service information are identified. By identifying, it is possible to generate an image that maps the identified common source addresses, addresses, and / or service information to an access rule. A reduction in the amount of memory required is achieved because a large number of addresses and / or service information can be combined into a single image.

Die Aufgabe wird ferner durch ein computerlesbares Speichermedium gelöst, welches Instruktionen enthält, die mindestens einen Prozessor dazu veranlassen, eines der oben beschriebenen Verfahren zu implementieren, wenn die Instruktionen durch den Prozessor ausgeführt werden.The object is further achieved by a computer-readable storage medium containing instructions that cause at least one processor to implement one of the methods described above when the instructions are executed by the processor.

Es ergeben sich identische oder ähnliche Vorteile, wie sie bereits im Zusammenhang mit einem der genannten Verfahren beschrieben wurden. There are identical or similar advantages as have already been described in connection with one of the mentioned methods.

Sämtliche Ausführungsformen können mit sämtlichen Lösungen der Aufgabe beliebig kombiniert werden. Insbesondere beziehen sich alle Ausführungsformen, die im Zusammenhang mit den beschriebenen Verfahren beschrieben sind auch auf die beschriebenen Systeme zur Absicherung/Überwachung eines Netzwerks.All embodiments can be combined with any desired solutions of the task. In particular, all embodiments described in connection with the described methods also relate to the described systems for securing / monitoring a network.

Weitere Ausführungsformen ergeben sich aus den Unteransprüchen.Further embodiments emerge from the subclaims.

Nachfolgend wird die Erfindung mittels mehrerer Ausführungsbeispiele beschrieben, die anhand von Abbildungen näher erläutert werden. Hierbei zeigen:

  • 1 eine schematische Ansicht eines Kommunikationsnetzwerks;
  • 2 einen weiteren Ausschnitt des Kommunikationsnetzwerks der 1 in einer schematischen Darstellung;
  • 3 ein Ablaufdiagramm für ein Regelerzeugungsverfahren;
  • 4 ein Ablaufdiagramm eines Regelverfeinerungsverfahrens;
  • 5 ein Ablaufdiagramm für ein Optimierungsverfahren;
  • 6 ein Ablaufdiagramm für ein Verfahren zur automatischen Erkennung;
  • 7 eine schematische Darstellung eines Lernprozesses;
  • 8 eine schematische Darstellung eines Endpunktes im Kommunikationsnetzwerk;
  • 9 eine schematische Darstellung eines Routers;
  • 10 eine schematische Darstellung eines Servers;
  • 11 ein Ablaufdiagramm für ein Notfallverfahren und
  • 12 eine schematische Darstellung eines Systems zur Netzwerküberwachung.
The invention will be described by means of several embodiments, which are explained in more detail with reference to figures. Hereby show:
  • 1 a schematic view of a communication network;
  • 2 another section of the communication network of 1 in a schematic representation;
  • 3 a flow chart for a rule generation process;
  • 4 a flowchart of a rule refinement process;
  • 5 a flowchart for an optimization method;
  • 6 a flowchart for a method for automatic detection;
  • 7 a schematic representation of a learning process;
  • 8th a schematic representation of an end point in the communication network;
  • 9 a schematic representation of a router;
  • 10 a schematic representation of a server;
  • 11 a flowchart for an emergency procedure and
  • 12 a schematic representation of a system for network monitoring.

Ein Ziel der Erfindung ist es, auffällige bzw. ungewollte Kommunikation zwischen Netzwerkteilnehmern zu erkennen. Dazu kann in einer Ausführungsform in einer ersten Phase das Kommunikationsnetzwerk 200 analysiert bzw. die Kommunikation aufgezeichnet werden und in einer zweiten Phase auf Basis der Aufzeichnung eine Vielzahl von Zugriffsregeln 24, 92 erzeugt werden, die ungewollte bzw. auffällige Kommunikation bzw. Zugriffe kennzeichnen.An object of the invention is to detect conspicuous or unwanted communication between network subscribers. For this purpose, in one embodiment, in a first phase, the communication network 200 analyzed or the communication recorded and in a second phase based on the record a variety of access rules 24 . 92 be generated, which identify unwanted or conspicuous communication or access.

1 zeigt eine schematische Darstellung eines Kommunikationsnetzwerks 200 in einem ersten Ausführungsbeispiel. Dabei zeigt die 1 nur einen Teil des gesamten Kommunikationsnetzwerks 200. Es kann sich bei der 1 jedoch auch um ein komplettes Kommunikationsnetzwerk 200 handeln. 1 shows a schematic representation of a communication network 200 in a first embodiment. It shows the 1 only part of the entire communication network 200 , It can be at the 1 but also a complete communication network 200 act.

In dem ersten Ausführungsbeispiel umfasst das Kommunikationsnetzwerk 200 einen ersten Endpunkt 1 und einen zweiten Endpunkt 1'. Die Endpunkte 1, 1' können z.B. PCs oder auch Mobiltelefone repräsentieren. Zur Kommunikation im Kommunikationsnetzwerk 200 senden die Endpunkte 1, 1' erste und zweite Netzdaten 6, 6' an innere Schnittstellen 32 eines Routers 30. Der Router 30 hat die Aufgabe, die Kommunikation zwischen den Endpunkten 1, 1' zu ermöglichen. Der Router 30 umfasst dabei eine äußere Schnittstelle 31 und die inneren Schnittstellen 32.In the first embodiment, the communication network comprises 200 a first endpoint 1 and a second endpoint 1' , The endpoints 1 '1' can represent, for example, PCs or mobile phones. For communication in the communication network 200 send the endpoints 1 . 1' first and second network data 6 . 6 ' to internal interfaces 32 a router 30 , The router 30 has the task of communicating between the endpoints 1 . 1' to enable. The router 30 includes an external interface 31 and the inner interfaces 32 ,

Der Router 30 sendet in dem ersten Ausführungsbeispiel Logeinträge 7 über die äußere Schnittstelle 31 an einen Logserver 10. Dabei kann der Router 30 immer dann Logeinträge 7 an den Logserver 10 senden, wenn die Endpunkte 1, 1' untereinander kommunizieren, zum Beispiel, wenn Endpunkt 1 Netzdaten 6 an Endpunkt 1' senden möchte. Das Senden der Netzdaten 6, 6' kann über eine Vielzahl an Netzwerkprotokollen geschehen. Zum Beispiel könnte der TCP/IP Satz an Protokollen verwendet werden, wobei die verschiedenen auf Schicht 4 („Transportschicht“) definierten Protokolle (z.B. „TCP“ oder „UDP“) zum Einsatz kommen können. Jede Kommunikation in dem Kommunikationsnetzwerk 200 kann als Zugriff von einer Ursprungsadresse auf eine Zieladresse aufgefasst werden. Ein einzelner Logeintrag 7 dokumentiert demzufolge einen Zugriff innerhalb des Kommunikationsnetzwerkes 200. Der Logserver 10 zeichnet sämtliche Zugriffe in dem Kommunikationsnetzwerk 200 auf.The router 30 sends log entries in the first embodiment 7 over the outer interface 31 to a log server 10 , This may be the router 30 always log entries 7 to the log server 10 send when the endpoints 1 '1' communicate with each other, for example, when endpoint 1 network data 6 at endpoint 1' would like to send. Sending the network data 6 . 6 ' can be done through a variety of network protocols. For example, the TCP / IP set of protocols could be used, with the different ones on layer 4 ("Transport layer") defined protocols (eg "TCP" or "UDP") can be used. Every communication in the communication network 200 can be understood as access from a source address to a destination address. A single log entry 7 consequently documents access within the communication network 200 , The log server 10 records all accesses in the communication network 200 on.

Die Logeinträge 7 können jeweils eine Ursprungsadresse, eine Zieladresse und/ oder eine Serviceangabe, wie z.B. einen Port, umfassen. In einem weiteren Ausführungsbeispiel können die Logeinträge 7 ferner einen Zeitstempel und/oder die Anzahl der gesendeten Bytes, und/oder die Schnittstelle, über die die Netzdaten 6, 6' an den Router 30 gesendet wurden, umfassen. In weiteren Ausführungsbeispielen kann es sich bei dem Router 30 auch um einen Switch oder eine Firewall handeln.The log entries 7 may each include an originating address, a destination address and / or a service indication, such as a port. In a further embodiment, the log entries 7 a timestamp and / or the number of bytes sent, and / or the interface via which the network data 6, 6 'are sent to the router 30 have been sent. In other embodiments, the router may be 30 also be a switch or a firewall.

Die Logeinträge 7 können auf dem Logserver 10 z.B. in Form einer Textdatei, einer binären Datei und/oder in einer relationalen Datenbank bzw. einer schemalosen Datenbank gespeichert sein.The log entries 7 can on the log server 10 Eg be stored in the form of a text file, a binary file and / or in a relational database or a schemalose database.

2 zeigt eine schematische Darstellung des Kommunikationsnetzwerks 200, welches eine Erweiterung des Kommunikationsnetzwerks 200 der 1 ist. Die 2 zeigt zwei Router 30', 30", die ggf. Router-Kommunikationsdaten 35 untereinander austauschen. An die Router 30', 30" angeschlossene Endpunkte 1, 1' sind nicht dargestellt. Die Router 30', 30" senden Logeinträge 7, 7' an einen Logserver 10, der diese speichert. Wenn eine bestimmte Anzahl von Logeinträgen 7, 7' auf dem Logserver 10 gespeichert ist, sendet der Logserver 10 die gesammelten Logeinträge 8 an einen Analyseserver 20. Dabei kann der Logserver 10 die gesammelten Logeinträge 8 nach dem Ablauf eines Zeitraums oder nach dem Vorliegen einer bestimmten Anzahl von Logeinträgen 7, 7' an den Analyseserver 20 senden oder der Analyseserver 20 holt die gesammelten Logeinträge 8 periodisch oder kontinuierlich vom Logserver 10 ab („polling“). Der Logserver 10 sammelt in dem ersten Ausführungsbeispiel drei Monate lang Logeinträge 7, 7', sodass sämtliche im Alltag zu erwartenden Zugriffe zumindest einmal aufgezeichnet werden. Die Dauer des Sammelns ist in dem ersten Ausführungsbeispiel durch einen Benutzer voreingestellt, wobei die vorgegebene Dauer ein numerischer Parameter ist. Es ist in anderen Ausführungsbeispielen möglich, dass der Logserver 10 so lange Logeinträge 7, 7' sammelt, bis eine vorherbestimmte Anzahl an Daten gespeichert ist. Zum Beispiel, wenn ein Speichermedium des Logservers 10 halb voll ist. 2 shows a schematic representation of the communication network 200 , which is an extension of the communication network 200 of the 1 is. The 2 shows two routers 30 ' . 30 " , if necessary, router communication data 35 exchange with each other. To the router 30 ' . 30 " connected endpoints 1 , 1 'are not shown. The routers 30 ' . 30 " send log entries 7 . 7 ' to a log server 10 that saves these. If a certain number of log entries 7, 7 'on the log server 10 is stored, the log server sends 10 the collected log entries 8th to an analysis server 20 , The log server can do this 10 the collected log entries 8th after the expiration of a period or after the existence of a certain number of log entries 7 . 7 ' to the analysis server 20 send or the analysis server 20 gets the collected log entries 8th periodically or continuously from the log server 10 off ("polling"). The log server 10 collects log entries in the first embodiment for three months 7 . 7 ' so that all expected in everyday life accesses are recorded at least once. The duration of the collection is preset by a user in the first embodiment, the predetermined duration being a numerical parameter. It is possible in other embodiments that the log server 10 as long as log entries 7 . 7 ' collects until a predetermined amount of data is stored. For example, when a storage medium of the log server 10 is half full.

In einem Ausführungsbeispiel empfängt der Analyseserver 20 die gesammelten Logeinträge 8 und analysiert die gesammelten Logeinträge 8. Eine Auswahleinheit 21 des Analyseservers 20 untersucht die gesammelten Logeinträgen 8 auf Muster, um Zugriffsregeln 24, 92 zu erzeugen. Zum Beispiel kann die Auswahleinheit 21 des Analyseservers 20, Zieladressen der Logeinträge 7, 7' zu einer Adressgruppe zuordnen, auf die von vielen Ursprungsadressen zugegriffen wurde. In einem weiteren Ausführungsbeispiel ist es möglich, dass solche Ursprungsadressen zu Adressgruppen zugeordnet werden, die eine gemeinsame Zieladresse aufweisen oder, dass jene Ursprungs- und Zieladressen zu Adressgruppen zugeordnet werden, die über eine gemeinsame Serviceangabe bzw. einen Port in den Logeinträgen 7, 7' verfügen. Eine besondere Form der Adressegruppe ist „any“. Die Adressgruppe „any“ umfasst sämtliche mögliche Adressen in dem Netzwerk 200. Wenn z.B. alle Zugriffe zu beliebigen Zieladressen von einer bestimmten Ursprungsadresse als unbedenklich markiert sein sollen, kann in der Zugriffsregel 24, 92 „any“ verwendet werden.In one embodiment, the analysis server receives 20 the collected log entries 8th and analyzes the collected log entries 8th , A selection unit 21 of the analysis server 20 examines the collected log entries 8th on patterns to access rules 24 . 92 to create. For example, the selection unit 21 of the analysis server 20 , Destination addresses of the log entries 7 . 7 ' assign to an address group that has been accessed by many source addresses. In another embodiment, it is possible that such originating addresses are assigned to address groups having a common destination address or that those source and destination addresses are assigned to address groups that have a common service indication or port in the log entries 7 . 7 ' feature. A special form of the address group is "any". The address group "any" includes all possible addresses in the network 200 , If, for example, all accesses to arbitrary destination addresses from a particular source address should be marked as harmless, "any" can be used in access rule 24, 92.

In einem ersten Ausführungsbeispiel können zur Zuordnung der Adressen zu den Adressgruppen Objektgruppen verwendet werden. Dabei wird ein symbolischer Name für die Adressgruppe gewählt und eine Lookup-Tabelle wird verwendet, um den symbolischen Namen den Adressen bzw. Serviceangaben bzw. Ports zuzuweisen.In a first embodiment, object groups may be used to associate the addresses with the address groups. A symbolic name is selected for the address group and a lookup table is used to assign the symbolic name to the addresses or service information or ports.

In einem weiteren Ausführungsbeispiel kann zur Zuordnung Supernetting eingesetzt werden. Dabei werden Bitmasken verwendet, um Intervalle von IP-Adressen zusammenzufassen. So können z.B. zwei Adressen

  • - 10.0.0.2 und
  • - 10.0.0.3
durch eine Bitmaske (/31) zusammengefasst werden, bei der die letzte Stelle der Zieladresse als Bitmuster 0 oder 1 sein kann. In einer weiteren Ausführungsform ist es möglich, mehr als nur die aufgezeichneten Adressen in einem Intervall zusammenzufassen. So ist es z.B. möglich, dass Adressen, die zu einem großen Adressintervall gehören, zu einer Adressgruppe zusammengefasst werden. Die Adressgruppe kann also mehr Adressen umfassen als aufgezeichnet wurden.In a further embodiment, supernetting can be used for the assignment. This bitmask is used to summarize intervals of IP addresses. For example, two addresses
  • - 10.0.0.2 and
  • - 10.0.0.3
be summarized by a bit mask (/ 31), in which the last digit of the destination address as a bit pattern can be 0 or 1. In another embodiment, it is possible to group more than just the recorded addresses in one interval. It is thus possible, for example, for addresses belonging to a large address interval to be combined into an address group. The address group may thus include more addresses than were recorded.

Wie viele Adressen zu einer Adressgruppe zusammengefasst werden, also die Größe des Intervalls, kann über einen Schärfeparameter eingestellt werden. Dabei kann eine geringe Schärfe bedeuten, dass eine Vielzahl von Adressen zu einer Adressgruppe zugeordnet sind, die nicht in Logeinträgen 7, 7' aufgezeichnet wurden. Ein hoher Schärfewert kann dagegen bedeuten, dass genau jene Adressen einer Adressgruppe zugeordnet werden, die aufgezeichnet wurden. Bei dem Schärfeparameter kann es sich um einen numerischen Wert handeln, der von einem Benutzer voreingestellt wird.How many addresses are combined to form an address group, ie the size of the interval, can be set via a sharpening parameter. In this case, a low sharpness mean that a large number of addresses are assigned to an address group that is not in log entries 7 . 7 ' were recorded. On the other hand, a high sharpness value may mean that exactly those addresses that have been recorded are assigned to an address group. The sharpening parameter can be a numeric value that is preset by a user.

Unter Verwendung der Adressgruppen, erstellt eine Erzeugungseinheit 21 des Analyseservers 20 Zugriffsregeln 24, die anzeigen, ob eine Kommunikation zwischen einer Ursprungsadresse und einer Zieladresse wünschenswert bzw. erlaubt ist. Ein Beispiel einer solchen Zugriffsregel 24 lautet:

  • Zugriffsregel 1:
    • object-group network Gruppel
    • 10.0.0.2
    • 10.0.0.3
    • ip access-list extended ACL_BASIC
    • permit ip object-group Gruppel any
    Zugriffsregel 1 ist eine Zugriffsregel 24 für das Kommunikationsnetzwerk 200 des ersten Ausführungsbeispiels. Endpunkt 1 hat die IP-Adresse 10.0.0.2 und Endpunkt 1' hat die IP-Adresse 10.0.0.3 zugewiesen bekommen. Die Adressen 10.0.0.2 und 10.0.0.3 sind durch Zugriffsregel 1 einer Adressgruppe zugeordnet. Der Adressgruppe ist ferner der Name „Gruppe1“ zugeordnet. Allen IP-Adressen, die der Gruppe 1 zugewiesen sind, werden gemäß der obigen Zugriffsregel 24 Zugriffe auf sämtliche andere Netzwerkteilnehmer („any“) erlaubt (permit), wie durch die letzte Zeile des Beispiels definiert wird. Die Zugriffsregeln 1 kann durch Supernetting vereinfacht werden:
  • Zugriffsregel 2:
    • Object-group Network Gruppel
    • 10.0.0.2/31
    • ip access-list extended ACL_BASIC
    • permit ip object-group Gruppel any
Using the address groups, creates a generation unit 21 of the analysis server 20 access rules 24 indicating whether communication between an originating address and a destination address is desirable. An example of such an access rule 24 is:
  • access rule 1 :
    • object-group network group
    • 10.0.0.2
    • 10.0.0.3
    • ip access-list extended ACL_BASIC
    • permit ip object-group grouping any
    access rule 1 is an access rule 24 for the communication network 200 of the first embodiment. endpoint 1 has the IP address 10.0.0.2 and endpoint 1' has been assigned the IP address 10.0.0.3. The addresses 10.0.0.2 and 10.0.0.3 are by access rule 1 assigned to an address group. The address group is also assigned the name "Group1". All IP addresses belonging to the group 1 are assigned according to the above access rule 24 Access to all others Network participant ("any") allows (permit), as defined by the last line of the example. The access rules 1 can be simplified by supernetting:
  • access rule 2 :
    • Object-group Network Group
    • 10.0.0.2/31
    • ip access-list extended ACL_BASIC
    • permit ip object-group grouping any

Wie Zugriffsregel 2 zeigt, führt Supernetting zu einer Vereinfachung der Zugriffsregel 24, da nur noch eine Zeile zur Definition aller entsprechenden IP-Adressen benötigt wird. Bei einer großen Anzahl von IP-Adressen, können so übersichtliche Zugriffsregeln 24 erstellt werden. Auch kann die Anzahl der notwendigen Zugriffsregeln 24 reduziert werden.Like access rule 2 shows, supernetting leads to a simplification of the access rule 24 because only one line is needed to define all the corresponding IP addresses. With a large number of IP addresses, so clear access rules 24 to be created. Also, the number of necessary access rules 24 be reduced.

Der Analyseserver 20 erstellt in dem ersten Ausführungsbeispiel mittels einer Erzeugungseinheit 22 Zugriffslisten 9, 9', die eine Vielzahl von Zugriffsregeln 24 umfassen. Die Zugriffslisten 9, 9' werden unter Verwendung einer Sendeeinheit 23 des Analyseservers 20 an die Router 30', 30" gesendet. Dabei wird im aktuellen Ausführungsbeispiel jedem Router 30, 30' nur eine Zugriffsliste 9, 9' gesandt, die Zugriffen zugeordnet ist, die über den entsprechenden Router 30, 30' ausgeführt wurden.The analysis server 20 created in the first embodiment by means of a generating unit 22 access lists 9 . 9 ' that have a variety of access rules 24 include. The access lists 9 . 9 ' are performed using a transmission unit 23 of the analysis server 20 to the router 30 ' . 30 " Posted. In the current embodiment, each router 30 . 30 ' only one access list 9 . 9 ' sent, which is associated with access through the appropriate router 30 , 30 'were executed.

Die Router 30', 30" können nun auf Basis der Zugriffslisten 9, 9' zukünftige Zugriffe, die nicht von den Zugriffsregeln 24 der Zugriffslisten 9, 9' umfasst sind, kennzeichnen. In einer Ausführungsform ist es ferner möglich, dass die Router 30', 30" die Zugriffe, die nicht von den Zugriffsregeln 24 der Zugriffslisten 9, 9' umfasst sind, unterbinden. Alternativ ist es möglich jene Zugriffe zu kennzeichnen bzw. unterbinden, die von den entsprechenden Zugriffsregeln 24 umfasst sind, je nachdem was gewünscht ist.The routers 30 ' . 30 " can now based on the access lists 9 . 9 ' future access, not by the access rules 24 the access lists 9 . 9 ' are included. In one embodiment, it is also possible for the routers 30 ', 30 "to have the accesses not subject to the access rules 24 the access lists 9 , 9 'include, prevent. Alternatively, it is possible to mark or prevent those accesses that are dependent on the corresponding access rules 24 are included, depending on what is desired.

Wenn alle Zugriffe in einem Netzwerk aufgezeichnet werden, ist die Anzahl der aufgezeichneten Zugriffe so groß, dass ein Benutzer nicht in der Lage ist, ungewollte bzw. außergewöhnliche Zugriffe zu erkennen. Dies tritt insbesondere in großen Netzwerken bereits dann auf, wenn über einen kurzen Zeitraum (wenige Stunden/Tage) Logeinträge im Logserver 10 gesammelt werden. Ein Benutzer kann auf Basis der geringen Anzahl der gekennzeichneten Zugriffe eine Gefahr leichter erkennen und abwehren.When all accesses are recorded on a network, the number of recorded accesses is so large that a user is unable to detect unwanted or extraordinary accesses. This occurs especially in large networks already when, over a short period of time (a few hours / days) log entries in the log server 10 to be collected. A user can more easily detect and fend off a hazard based on the small number of designated accesses.

3 zeigt ein schematisches Ablaufdiagramm eines Regelerzeugungsverfahrens 50. Bei dem Regelerzeugungsverfahren 50 wird im ersten Logeinträge-Sammelschritt 51 über einen festgelegten Zeitraum eine Vielzahl von Logeinträgen 7, 7' gesammelt. In einem Zuordnungsschritt 52 werden die gesammelten Logeinträge 7, 7' analysiert. Dabei werden Adressgruppen auf Basis von z.B. Ursprungsadressen, Zieladressen und/oder Serviceangaben erstellt. Die Adressgruppen definieren ein Intervall für Ursprungs- bzw. Zieladressen. Es ist selbstverständlich auch möglich, die Adressgruppen auf Basis von weiteren, in den Logeinträgen 7, 7' vorhandenen Informationen zu erstellen. In einem Regelerzeugungsschritt 53 wird unter Verwendung der erzeugten Adressgruppen zumindest eine Zugriffsregel 24 erzeugt, die im Freigabeschritt 54 zur Anwendung freigegeben wird. Der Freigabeschritt 54 ist optional und kann von einem Benutzer der Betreiberorganisation des Kommunikationsnetzwerks 200 ausgeführt werden oder bis auf Widerruf automatisiert erfolgen. Die automatisch freigegebenen Zugriffsregeln 24 können zu einem späteren Zeitpunkt (z.B. täglich oder wöchentlich) vom Benutzer überprüft und ggf. rückgängig gemacht werden. In einem Regelanwendungsschritt 55 werden die erzeugten Zugriffsregeln 24 in dem Kommunikationsnetzwerk 200 angewandt, um Zugriffe zu kennzeichnen und ggf. zu unterbinden, die nicht von den erzeugten Zugriffsregeln 24 umfasst sind. 3 FIG. 12 is a schematic flowchart of a rule generating method 50. In the rule generating method 50 is in the first log entries collection step 51 a large number of log entries over a defined period of time 7 , 7 'collected. In an assignment step 52 become the collected log entries 7 . 7 ' analyzed. Address groups are created based on eg source addresses, destination addresses and / or service information. The address groups define an interval for source and destination addresses. Of course it is also possible to set the address groups on the basis of further entries in the log entries 7 To create existing information. In a rule generating step 53 becomes at least one access rule using the generated address groups 24 generated in the release step 54 is released for use. The release step 54 is optional and can be used by a user of the operator organization of the communication network 200 be executed or automated until revoked. The automatically shared access rules 24 can be checked by the user at a later time (eg daily or weekly) and undone if necessary. In a rule application step 55 become the generated access rules 24 in the communication network 200 used to identify and possibly block access that is not from the generated access rules 24 are included.

4 zeigt ein Regelverfeinerungsverfahren 60, welches nach Erstellung eines ersten Satzes von Zugriffsregeln 24 ausgeführt werden kann. Zu Beginn des Verfahrens 60 ist also bereits eine Anzahl an Zugriffsregeln 24 erzeugt. In einem Logeinträge-Sammelschritt 61 werden Logeinträge 7, 7' gesammelt bzw. gespeichert. Dabei können z.B. immer für 5 Minuten Logeinträge 7, 7' gesammelt werden. In einem anschließenden Regelanpassungsschritt 62 werden die gesammelten Logeinträge 8 analysiert. Dabei werden neue Zugriffsregeln 92 erzeugt oder die bereits existierenden Zugriffsregeln 24 werden auf Basis der Ursprungs- oder Zieladressen in den neu erfassten Logeinträgen des Schritts 61 aktualisiert. Den Adressen in den neu erfassten Logeinträgen 7, 7' können zu diesem Zweck Berechtigungen zugewiesen werden, sodass Adressen Berechtigungsgruppen bilden. Eine Berechtigung kann eine Kommunikationsberechtigung sein. Z.B. kann festgelegt werden, dass eine Ursprungsadresse eines Logeintrags auf alle anderen Adressen im Kommunikationsnetzwerk 200 zugreifen darf. Es ist möglich, die neuen Zugriffsregeln 92 auch unter Verwendung der Berechtigungsgruppe zu erzeugen. 4 shows a rule refinement process 60 which after creating a first set of access rules 24 can be executed. At the beginning of the procedure 60 is already a set of access rules 24 generated. In a log entries collection step 61 become log entries 7 . 7 ' collected or saved. For example, log entries can always be made for 5 minutes 7 . 7 ' to be collected. In a subsequent rule adjustment step 62 become the collected log entries 8th analyzed. There are new access rules 92 created or the existing access rules 24 are based on the source or destination addresses in the newly recorded log entries of the step 61 updated. The addresses in the newly recorded log entries 7 . 7 ' For example, permissions can be assigned so that addresses form permission groups. An authorization can be a communication authorization. For example, it may be specified that an originating address of a log entry applies to all other addresses in the communication network 200 may access. It is possible the new access rules 92 also using the authorization group.

In einem darauffolgenden Freigabeabschritt 63 werden die geänderten oder erzeugten Zugriffsregeln 92 erneut manuell oder automatisch freigegeben. Anschließend werden die geänderten Zugriffsregeln 92 bzw. die neu erzeugten Zugriffsregeln in einem Regelumsetzungsschritt 64 auf das Kommunikationsnetzwerk 200 angewandt. Das Verfahren 60 fährt dann erneut mit dem Logeinträge-Sammelschritt 61 fort.In a subsequent release step 63 become the changed or generated access rules 92 manually or automatically released again. Subsequently, the changed access rules 92 or the newly created access rules in a rule translation step 64 on the communication network 200 applied. The procedure 60 then moves again with the log entries collection step 61 continued.

Die 5 zeigt ein Ablaufdiagramm eines Optimierungsverfahrens 70, welches ein weiteres Ausführungsbeispiel zur Anpassung der bereits existierenden Zugriffsregeln 24 darstellt. Dabei wird in einem ersten Logeinträge-Sammelschritt 71 eine Vielzahl von Logeinträgen 7, 7' gesammelt bzw. gespeichert. In einem anschließenden Regelerzeugungsschritt 72 werden die Ursprungs- oder Zieladressen der gesammelten Logeinträge 8 zu Adressgruppen in Abhängigkeit eines Schärfeparameters zugeordnet. Auf Basis der Zuordnung werden Zugriffsregeln 24 erzeugt. Ein sehr niedrig eingestellter Schärfeparameter kann dazu führen, dass eine sehr große Anzahl von Zugriffsregeln AR erzeugt wird. Dies kann jedoch nachteilig sein, da somit eine Freigabe der erzeugten Zugriffsregeln 24 durch einen Benutzer erschwert wird. Im nachteiligsten Fall würde für jeden Zugriff eine einzelne Zugriffsregel 24 erstellt werden. Dieses ist für den Benutzer nicht beherrschbar. Daher wird im anschließenden Entscheidungsschritt 73 überprüft, ob die Anzahl der erzeugten Zugriffsregeln AR unter einem vorher festgelegten Zugriffsregel-Schwellwert ZS liegt, der mit einem initialen, numerischen Wert (z.B. 200) initialisiert ist. The 5 shows a flowchart of an optimization method 70 , which is another embodiment for adapting the already existing access rules 24 represents. This is done in a first log entries collection step 71 a variety of log entries 7 . 7 ' collected or saved. In a subsequent rule generating step 72 become the source or destination addresses of the collected log entries 8th assigned to address groups depending on a sharpening parameter. Based on the assignment, access rules are used 24 generated. A very low set sharpening parameter can cause a very large number of access rules AR to be generated. However, this can be disadvantageous, since thus a release of the generated access rules 24 by a user is made more difficult. In the worst case, each access would have a single access rule 24 to be created. This is not manageable for the user. Therefore, in the subsequent decision step 73 checks whether the number of access rules AR generated is below a predetermined access rule threshold ZS initialized with an initial numeric value (eg 200).

Liegt die Anzahl der erzeugten Zugriffsregeln AR über dem Zugriffsregel-Schwellwert ZS, so wird der Schärfeparameter in einem Schärfeanpassungsschritt 76 gesenkt. Um welchen Wert der Schärfeparameter im Schärfeanpassungsschritt 76 gesenkt wird, kann von einem Benutzer vorab festgelegt werden. Das Verfahren fährt dann erneut mit dem Regelerzeugungsschritt 72 fort, wobei der neue Wert des Schärfeparameters zur Zuordnung der Adressen der Logeinträge 8 zu Adressgruppen berücksichtigt wird.If the number of generated access rules AR is above the access rule threshold ZS, the sharpening parameter will be in a focus adjustment step 76 lowered. What is the value of the sharpness parameter in the sharpness adjustment step 76 can be pre-set by a user. The process then moves again to the rule generation step 72 where the new value of the sharpening parameter assigns the addresses of the log entries 8th is considered to address groups.

Im anschließenden Entscheidungsschritt 73 wird erneut überprüft, ob die Anzahl der erzeugten Zugriffsregeln AR unterhalb des Zugriffsregel-Schwellwerts ZS liegt. Liegt die Anzahl der erzeugten Zugriffsregeln AR unterhalb des Zugriffsregel-Schwellwerts ZS, fährt das Verfahren mit einem Regelanwendungsschritt 77 fort. Im Regelanwendungsschritt 77 des Optimierungsverfahrens 70 werden die Zugriffsregeln 24 in dem Kommunikationsnetzwerk 200 angewandt, so dass Zugriffe, die nicht von den Zugriffsregeln 24 umfasst sind, gekennzeichnet und ggf. unterbunden werden.In the subsequent decision step 73 it is again checked whether the number of access rules AR generated is below the access rule threshold value ZS. If the number of generated access rules AR is below the access rule threshold value ZS, the method proceeds with a rule application step 77 continued. In the rule application step 77 of the optimization process 70 become the access rules 24 in the communication network 200 applied so that accesses are not affected by the access rules 24 are included, marked and possibly prevented.

6 zeigt ein Verfahren zur automatischen Erkennung 80 und Zuteilung von Netzgeräten zu Netzwerkzonen 4, 5 (siehe 12), sog. Auto-Discovery. Dabei werden in einem ersten Zonenerstellungsschritt 81 Zonen 4, 5 für das Kommunikationsnetzwerk 200 definiert. Das Kommunikationsnetzwerk 200 kann dabei in Zonen 4, 5 segmentiert werden, sodass logische Bereiche einer Organisation, z.B. eines Konzerns, wie z.B. Personalwesen und Marketing, unterschiedlichen Zonen zugewiesen sind. Eine Zone 4, 5 kann durch einen Router 30, 30', 30" (siehe 9) definiert werden. Sämtliche Kommunikation von außerhalb der Zone 4, 5 in die Zone 4, 5 hinein und von innerhalb der Zone 4, 5 nach außerhalb der Zone 4, 5 läuft somit durch den definierenden Router 30, 30', 30". Selbstverständlich sind auch mehrere Router 30, 30', 30" denkbar, die zusammen eine Zone 4, 5 definieren. 6 shows a method for automatic detection 80 and allocation of network devices to network zones 4 . 5 (please refer 12 ), so-called auto-discovery. In this case, in a first zone creation step 81 zones 4 . 5 for the communication network 200 Are defined. The communication network 200 can be in zones 4 . 5 be segmented so that logical areas of an organization, such as a group, such as human resources and marketing, are assigned to different zones. A zone 4 . 5 can through a router 30 . 30 ' . 30 " (please refer 9 ) To be defined. All communication from outside the zone 4 . 5 into the zone 4 . 5 into and from within the zone 4 . 5 outside the zone 4 . 5 thus runs through the defining router 30 . 30 ' . 30 " , Of course, there are several routers 30 . 30 ' . 30 " conceivable that together a zone 4 . 5 define.

Router 30, 30', 30", die eine Zone 4, 5 definieren, umfassen typischerweise eine oder mehrere äußere Schnittstellen 31, 31', 31" und eine oder mehrere innere Schnittstellen 32, 32', 32". Dabei werden Zugriffe, die lediglich innerhalb der entsprechenden Zone 4, 5 durchgeführt werden, nur über die inneren Schnittstellen 32, 32', 32" ausgeführt.router 30 . 30 ' . 30 " that a zone 4 . 5 typically comprise one or more external interfaces 31 . 31 ' . 31 " and one or more internal interfaces 32 . 32 ' . 32 " , This will be accesses that are only within the appropriate zone 4 . 5 be performed, only via the internal interfaces 32 . 32 ' . 32 " executed.

In dem aktuellen Ausführungsbeispiel umfassen die Logeinträge 7, 7' auch Informationen, die angeben, ob ein Zugriff über eine äußere Schnittstelle 31, 31', 31" oder über eine innere Schnittstelle 32, 32', 32" ausgeführt wird. Es ist damit möglich, zu bestimmen, ob sich die Ursprungsadresse innerhalb einer Zone 4, 5 befindet, die durch den entsprechenden Router 30, 30', 30" definiert wird. Im Zonenmitglieder-Erkennungsschritt 82 werden nun alle Ursprungs-Adressen identifiziert, die zu Zugriffen korrespondieren, die über innere Schnittstellen bei den entsprechenden Routern 30, 30' 30" eingehen. Die identifizierten Adressen sind also einer Zone 4, 5 zugeordnet. Die identifizierten Adressen werden dann einer entsprechenden Zonen-Gruppe zugeordnet.In the current embodiment, the log entries include 7 . 7 ' also information indicating whether access via an external interface 31 . 31 ' , 31 "or via an inner interface 32 . 32 ' . 32 " is performed. It is thus possible to determine if the source address is within a zone 4 . 5 located by the appropriate router 30 . 30 ' . 30 " is defined. In the zone member recognition step 82 Now all source addresses are identified which correspond to accesses via internal interfaces at the corresponding routers 30 . 30 ' 30 " received. The identified addresses are thus a zone 4 . 5 assigned. The identified addresses are then assigned to a corresponding zone group.

Die Zonen-Gruppe, die zu der Zone 4, 5 korrespondiert, kann in einer Zugriffsregel 24 verwendet werden. Eine Zonen-Gruppe kann z.B. ein Adressintervall definieren, welches alle Adressen der Zone umfasst. Es ist auch möglich, dass eine Vielzahl an Intervallen durch die Zonen-Gruppe definiert wird, wobei alle Intervalle zusammen, alle Adressen der Zone umfassen.The zone group belonging to the zone 4 . 5 can correspond in an access rule 24 be used. For example, a zone group can define an address interval that includes all addresses of the zone. It is also possible that a plurality of intervals are defined by the zone group, all intervals together comprising all addresses of the zone.

Es ist möglich, dass alle Zugriffe zwischen Adressen, die einer gemeinsamen Zone 4, 5 zugeordnet sind, von einer einzigen Zugriffsregel 24 umfasst werden. Dabei wird durch die Verwendung von Zonen-Gruppen eine Möglichkeit geschaffen, Adressen zu Gruppieren, ohne viele einzelne Adressen in einer Zugriffsregel 24 aufführen zu müssen, wie bereits bei der Verwendung von Bitmasken für Supernetting beschrieben. Auch ist es für einen mit der Auswertung der Zugriffsregeln 24 betrauten Benutzer einfacher, zu entscheiden, ob eine Zugriffsregel 24 angewandt werden soll, wenn Zonen-Gruppen erzeugt werden, die z.B. die Unternehmensstruktur widerspiegeln.It is possible that all accesses between addresses associated with a common zone 4, 5 are governed by a single access rule 24 be included. The use of zone groups creates a way to group addresses without many individual addresses in an access rule 24 To have to perform as described in the use of bit masks for supernetting. Also it is for one with the evaluation of the access rules 24 entrusted users easier to decide if an access rule 24 is to be applied when zone groups are generated which, for example, reflect the corporate structure.

Innerhalb einer Zone 4, 5 kann ein zu einer Adresse zugeordneter Server 40 vorgesehen sein, der über eigene Sicherheitsmechanismen, wie z.B. eine Firewall 42 (siehe 10) verfügt. Um eine feine Abstufung der Zugriffsregeln 24 zu ermöglichen, ist es vorteilhaft, wenn die Adresse des Servers 40 einer anderen Zugriffsregel 24 zugeordnet ist, als die restlichen Adressen der Zone 4, 5.Within a zone 4 . 5 can be a server assigned to an address 40 be provided, which has its own security mechanisms, such as a firewall 42 (please refer 10 ). To one fine gradation of access rules 24 It is advantageous if the address of the server 40 another access rule 24 is assigned as the remaining addresses of the zone 4 . 5 ,

Auf Basis der Logeinträge 7, 7' ist es möglich, eine Klassifizierung der Adressen der Zonenmitglieder durchzuführen. So wird z.B. die Adresse des Servers 40 häufig als Zieladresse in Logeinträgen 7, 7' genannt werden. Ferner ist es möglich, dass der Server 40 vermehrt mit anderen Servern 40' (siehe 12) außerhalb der Zone 4 kommuniziert. Daher beinhalten Logeinträge 7 häufig die Adresse des Servers 40 als Ursprungsadresse, wenn die Zieladresse außerhalb der Zone 4 liegt. Die Klassifizierung wird im aktuellen Ausführungsbeispiel unter Verwendung einer Stützvektormaschine („Support Vector Machine“) durchgeführt. Selbstverständlich sind auch andere Klassifikatoren denkbar, wie z.B. Bayes Klassifikatoren. Grundlage der Klassifizierung sind dabei die Paare aus Ursprungs- und Zieladressen und weitere Informationen, die in den Logeinträge 7, 7' gespeichert sind.Based on the log entries 7 . 7 ' it is possible to perform a classification of the addresses of the zone members. For example, the address of the server 40 often as the destination address in log entries 7 . 7 ' to be named. Furthermore, it is possible that the server 40 multiplied with other servers 40 ' (please refer 12 ) outside the zone 4 communicated. Therefore, log entries contain 7 often the address of the server 40 as the source address if the destination address is outside the zone 4 lies. The classification is performed in the current embodiment using a support vector machine. Of course, other classifiers are conceivable, such as Bayes classifiers. The classification is based on the pairs of source and destination addresses and other information contained in the log entries 7 . 7 ' are stored.

Im Schritt zur Erkennung von vertrauenswürdigen internen Zonenmitgliedern 83, sog. Trusted internals, wird wie oben beschrieben z.B. der Server 40 erkannt. Im nachfolgenden Schritt zur Erkennung von vertrauenswürdigen externen Netzmitgliedern 84, sog. Trusted Externals, können Adressen identifiziert werden, die vertrauenswürdigen Netzmitgliedern, wie z.B. dem außerhalb der Zonen 4, 5 liegenden Server 40', zugeordnet sind. Auch hierbei können die Zugriffsmuster des außerhalb der Zonen 4, 5 liegenden Servers 40' verwendet werden, um die Adresse des Servers 40' der Gruppe der vertrauenswürdigen externen Netzmitglieder automatisch hinzuzufügen.In the step of recognizing trusted internal zone members 83 , so-called trusted internals, as described above, for example, the server 40 recognized. In the following step for the detection of trusted external network members 84 , so-called Trusted Externals, addresses can be identified, the trusted network members, such as outside the zones 4 . 5 lying server 40 ' , assigned. Again, the access patterns of the outside of the zones 4 . 5 lying server 40 ' used to get the address of the server 40 ' automatically add to the group of trusted external network members.

Im folgenden Regelverfeinerungsschritt 85 kann ein Benutzer spezielle Zugriffsregeln für die erkannten vertrauenswürdigen internen Zonenmitglieder und für die erkannten vertrauenswürdigen externen Netzmitglieder automatisch erzeugen und ggf. automatisch freigeben lassen. Im abschließenden Regelreduzierungsschritt 86 können Zugriffsregeln zusammengefasst werden, die redundante Informationen enthalten.In the following rule refinement step 85 For example, a user can automatically create and optionally automatically release special access rules for the recognized trusted internal zone members and for the recognized trusted external network members. In the final rule reduction step 86 access rules can be summarized which contain redundant information.

Eine Menge von Zugriffsregeln kann durch einen Abgleich der von den Zugriffsregeln umfassten Adressbereiche reduziert werden. Es werden dabei die Ursprungs- bzw. Zieladressen der entsprechenden Zugriffsregeln verglichen. Zum Beispiel kann eine erste Zugriffsregel die Adresse des Endpunkts 1 der 12 umfassen, wobei als Zieladresse jegliche andere Adressen zulässig sind. Wenn eine zweite Zugriffsregel definiert ist, die Zugriffe von jeglichen Adressen zu jeglichen anderen Adressen („any to any“) zulässt, so wird von der zweiten Zugriffsregel auch die erste Zugriffsregel umfasst. Die erste Zugriffsregel kann gelöscht werden. In einem anderen Beispiel ist die erste Zugriffsregel bereits von einer dritten Zugriffsregel umfasst, die Zugriffe von den Adressen der Endpunkte 1 und 1' auf jegliche andere Adressen zulässt. Auch in diesem Beispiel kann die erste Zugriffsregel gelöscht werden.A set of access rules can be reduced by matching the address ranges encompassed by the access rules. The source or destination addresses of the corresponding access rules are compared. For example, a first access rule can be the address of the endpoint 1 of the 12 include, as the destination address any other addresses are allowed. If a second access rule is defined which allows accesses from any addresses to any other addresses ("any to any"), then the second access rule also includes the first access rule. The first access rule can be deleted. In another example, the first access rule is already encompassed by a third access rule that allows access from the addresses of endpoints 1 and 1 'to any other addresses. Again, the first access rule can be deleted.

7 zeigt den schematischen Ablauf des Lernprozesses 90. Der Lernprozess 90 stellt eine weitere Anpassung („Feintuning“) von erzeugten Zugriffsregeln 24 bereit und kann nach dem Erstellen eines ersten Regelsatzes ausgeführt werden. Dabei wird in einem Logeinträge-Verarbeitungsschritt 91 eine Vielzahl von Logeinträgen 7, 7' analysiert. Der Logeinträge-Verarbeitungsschritt 91 kann dabei parallel auf verschiedenen Prozessoren und/oder Rechnern, z.B. in einem Cluster, ausgeführt werden. Dies garantiert eine Skalierbarkeit der beschriebenen Lösung. 7 shows the schematic process of the learning process 90 , The learning process 90 provides a further adjustment ("fine-tuning") of generated access rules 24 ready and can be executed after creating a first rule set. This is done in a log entries processing step 91 a variety of log entries 7 . 7 ' analyzed. The log entries processing step 91 can be executed in parallel on different processors and / or computers, eg in a cluster. This guarantees scalability of the described solution.

In dem Logeinträge-Verarbeitungsschritt 91 werden Zugriffsregeln 92 wie oben beschrieben erzeugt, die im Regelabgleichungsschritt 93 mit bereits existierenden Zugriffsregeln 24 verglichen werden. Ist eine neu erzeugte Zugriffsregel 92 bereits durch eine existierende Zugriffsregel 24 umfasst, wird mit dem Logeinträge-Verarbeitungsschritt 91 fortgefahren. Ist die neu erzeugte Zugriffsregel 92 noch nicht von den bereits existierenden Zugriffsregeln 24 umfasst, so wird die neue Zugriffsregel 92 den bereits bestehenden Zugriffsregeln 24 hinzugefügt und im Vereinfachungsschritt 95 wird der neue Satz von Zugriffsregeln 94, vereinfacht, sofern dies möglich ist. Das Verfahren fährt daraufhin mit dem Logeinträge-Verarbeitungsschritt 91 unter Verwendung des neuen Satzes von Zugriffsregeln 94 fort.In the log entries processing step 91 become access rules 92 generated as described above, in the control matching step 93 with existing access rules 24 be compared. Is a newly created access rule 92 already by an existing access rule 24 includes, with the log entries processing step 91 continued. Is the newly created access rule 92 not yet from the existing access rules 24 includes, then becomes the new access rule 92 the already existing access rules 24 added and in the simplification step 95 becomes the new set of access rules 94 , simplified, if possible. The method then proceeds to the log entries processing step 91 using the new set of access rules 94 continued.

8 zeigt exemplarisch einen Endpunkt 1, 1', 1", der über eine Endpunkt - Recheneinheit 2 und einen Endpunkt -Netzwerkadapter 3 verfügt. Ein Endpunkt 1, 1', 1" stellt somit exemplarisch jedes mögliche Gerät in dem Kommunikationsnetzwerk 200 dar. 8th shows an example of an endpoint 1 . 1' . 1" that has an endpoint arithmetic unit 2 and an endpoint network adapter 3. An endpoint 1 , 1 ', 1 "thus exemplifies each possible device in the communication network 200 represents.

9 zeigt exemplarisch einen Router 30, 30', 30". Der Router 30, 30', 30" umfasst in einer Ausführungsform eine Netzwerk-Recheneinheit 34, die dazu ausgebildet ist, Zugriffe, die über eine äußere Schnittstelle 31 oder über eine innere Schnittstelle 32 des Netzwerkadapters 33 empfangen wurden, zu verarbeiten. Insbesondere ist die Netzwerk-Recheneinheit 34 in einer Ausführungsform dazu ausgebildet, Logeinträge 7, 7' zu erzeugen bzw. in der Speichereinheit 36 zwischenzuspeichern. 9 shows an example of a router 30 . 30 ' . 30 " , The router 30 . 30 ' , 30 "in one embodiment comprises a network computing unit 34 that is designed to handle accesses via an external interface 31 or via an inner interface 32 of the network adapter 33 were received, process. In particular, the network computing unit 34 formed in one embodiment, log entries 7 . 7 ' to generate or in the storage unit 36 temporarily.

10 zeigt schematisch den Aufbau eines Servers 40, 40'. Der Server 40, 40' umfasst in einer Ausführungsform einer Server-Recheneinheit 41, optional eine integrierte oder vorgeschaltete Firewall 42 und einen Server-Netzwerkadapter 43. Der Server 40, 40' verfügt somit über weitere Sicherheitsmechanismen, die einen Serverspeicher 44 vor unerlaubten Zugriffen schützt. 10 schematically shows the structure of a server 40 . 40 ' , The server 40 , 40 'in one embodiment comprises a server computing unit 41 , optionally an integrated or upstream firewall 42 and a server network adapter 43 , The server 40 . 40 ' thus has other security mechanisms that server memory 44 protects against unauthorized access.

11 zeigt ein Ablaufdiagramm eines Notfallverfahrens („Lockdown“) 100. Dabei wird zunächst das Regelverfeinerungsverfahren 60 ausgeführt, welches bereits im Zusammenhang mit 4 beschrieben wurde. In einem Ausführungsbeispiel kann es durch äußere Umstände, wie z.B. das vermehrte Auftreten von Angriffen auf das Kommunikationsnetzwerk 200, zur Ausführung eines Notfall-Aktivierungsschritts 102 kommen. Dies hat zur Folge, dass sämtliche Zugriffe, die nicht von Zugriffsregeln 24, 92 umfasst sind, unterbunden werden. Somit ist es nicht möglich, Zugriffe auszuführen, die noch nicht aufgezeichnet wurden, wie sie möglicherweise durch externe Angreifer ausgeführt werden. 11 1 shows a flow diagram of a "lockdown" 100. First, the rule refinement method 60 executed, which is already related to 4 has been described. In one embodiment, it may be due to external circumstances, such as the increased occurrence of attacks on the communication network 200 , to execute an emergency activation step 102 come. As a result, all accesses other than access rules 24 . 92 are included, be prevented. Thus, it is not possible to execute accesses that have not yet been recorded, as they may be executed by external attackers.

Sämtliche aufgezeichneten Zugriffe, die im normalen Betrieb, vor Ausführung des Notfall-Aktivierungsschritts 102 aufgezeichnet wurden, sind jedoch weiterhin erlaubt. Somit ist der Betrieb der Organisation, die das Kommunikationsnetzwerk 200 betreibt, gewährleistet. Neu auftretende Zugriffe können im Verbindungsabgleichschritt 103 identifiziert werden, und werden im Verbindungsblockierungsschritt 104 zunächst unterbunden. Danach können die unterbundenen Zugriffe im Feinabstimmungsschritt 105, z.B. nach optionalem Durchlaufen des Regelverfeinerungsverfahrens 60, manuell oder automatisch erlaubt werden. Dies ermöglicht eine erhöhte Sicherheit und Funktionalität des gesamten Kommunikationsnetzwerks 200.All recorded accesses in normal operation, prior to execution of the emergency activation step 102 but are still allowed. Thus, the operation of the organization operating the communication network 200 is ensured. New accesses can be made in the connection matching step 103 are identified, and become in the connection blocking step 104 initially stopped. Thereafter, the inhibited accesses in the fine-tuning step 105 , eg after optionally going through the rule refinement process 60 , be allowed manually or automatically. This allows increased security and functionality of the entire communication network 200 ,

12 zeigt den schematischen Aufbau eines Kommunikationsnetzwerkes 200 in einem Ausführungsbeispiel mit Endpunkten 1, 1', 1", einem in Zone 4 internen Server 40 und einem keiner Zone zugehörigen („externen“) Server 40'. Die Endpunkte 1, 1', 1" sind in dem Ausführungsbeispiel der 12 als Klienten zu den entsprechenden Server 40, 40' ausgebildet. Den Endpunkten 1, 1', 1", sowie den Servern 40 und 40' sind IP-Adressen zugewiesen, wobei die zu dem Endpunkt 1 und die zu dem Server 40 zugeordneten IP-Adressen einer ersten Zone 4 zugeordnet sind. Die zu den Endpunkte 1 und 1' zugeordneten IP-Adressen sind einer zweiten Zone 5 zugeordnet. Dem Server 40' sind andere IP-Adressen zugeordnet, die weder in Zone 4 noch Zone 5 enthalten sind. Die Zonen 4, 5 repräsentieren dabei Unternehmensbereiche wie z.B. Marketing und Personalwesen. Dabei wird angenommen, dass Mitglieder des Personalwesens bzw. des Marketings vordergründig mit anderen Mitgliedern des Personalwesens bzw. des Marketings kommunizieren. 12 shows the schematic structure of a communication network 200 in an embodiment with endpoints 1 . 1' . 1" one in zone 4 internal server 40 and a non-zone ("external") server 40 ' , The endpoints 1 . 1' . 1" are in the embodiment of 12 as a client to the appropriate server 40 . 40 ' educated. The endpoints 1 . 1' . 1" , as well as the servers 40 and 40 ' are IP addresses assigned to the endpoint 1 and those to the server 40 assigned IP addresses of a first zone 4 assigned. The to the endpoints 1 and 1' assigned IP addresses are a second zone 5 assigned. The server 40 ' are assigned other IP addresses that are not in zone 4 still zone 5 are included. The zones 4 . 5 represent corporate divisions such as marketing and human resources. It is assumed that human resources and / or marketing people communicate superficially with other human resources or marketing personnel.

Router 30', 30" der 12 weisen jeweils äußere Schnittstellen 31', 31" und innere Schnittstellen 32', 32" auf. Der Endpunkt 1 und der Server 40 können dabei zum Beispiel über die innere Schnittstelle 32' der Routers 30' miteinander kommunizieren. Die Endpunkte 1', 1" können über die innere Schnittstelle 32" des Routers 30" miteinander kommunizieren. Zur Kommunikation mit dem Server 40 kann der Endpunkt 1' der zweiten Zone 5, einen Zugriff über die innere Schnittstelle 32" des Routers 30" und der äußeren Schnittstelle 31' des Routers 30' ausführen. Router 30' kann also über die Schnittstellen 31', 32' feststellen, ob ein Zugriff von innerhalb der ersten Zone 4 (eingehend über die innere Schnittstelle 32') oder von außerhalb der ersten Zone 4 (eingehend über die äußere Schnittstelle 31') erfolgt.router 30 ' . 30 " of the 12 each have external interfaces 31 ' . 31 " and internal interfaces 32 ' . 32 " on. The endpoint 1 and the server 40 can do this, for example, via the inner interface 32 ' the router 30 ' communicate with each other. The endpoints 1' . 1" can over the inner interface 32 "of the router 30 " communicate with each other. To communicate with the server 40 may be the endpoint 1' the second zone 5 , an access via the inner interface 32 " of the router 30 " and the outer interface 31 ' of the router 30 '. router 30 ' So can through the interfaces 31 ' . 32 ' determine if access is within within the first zone 4 (in detail about the inner interface 32 ' ) or from outside the first zone 4 (in detail via the outer interface 31 ' ) he follows.

Der Router 30' und der Router 30" speichern zunächst alle Zugriffe, die jeweils über ihre äußeren bzw. inneren Schnittstellen 31', 31", 32', 32" ausgeführt werden als Logeinträge 7, 7' in lokalen Speichereinrichtungen 36. Ist eine Vielzahl an Logeinträgen 7, 7' gespeichert, zum Beispiel nach Ablauf eines vorher bestimmten Zeitraums, werden die Logeinträge 7, 7' an einen Logserver 10 gesandt und dort aggregiert. In einem anderen Ausführungsbeispiel können die Router 30', 30" die Logeinträge 7, 7' auch direkt weiter an den Logserver 10 zur Speicherung senden, um die Ressourcen bzw. Speichereinrichtungen 36 der Router 30', 30" zu entlasten. Der Logserver 10 sendet die gesammelten Logeinträge 8 zur Analyse an einen Analyseserver 20 oder der Analyseserver 20 holt sich die gesammelten Logeinträge 8 periodisch oder kontinuierlich vom Logserver 10, sog. „Polling“, ab. Der Analyseserver 20 analysiert die gesammelten Logeinträge 8 und bildet Adressgruppen, unter deren Verwendung wie oben beschrieben Zugriffsregeln 24 erzeugt werden. Der Analyseserver 20 kann die weiter oben beschriebene Auto-Discovery durchführen, bei der die IP-Adressen automatisch ihren entsprechenden Zonen 4, 5 zugeordnet werden. Wenn die Logeinträge 7, 7' Informationen über die inneren und äußeren Schnittstellen enthalten, über die die entsprechenden Zugriffe bei den Routern 30', 30" eingegangen sind, ist es möglich die IP-Adressen den Zonen 4, 5 zuzuweisen. Zum Beispiel enthält Logeintrag 7 eine Angabe darüber, dass ein Zugriff von Systemen/Netzwerkgeräten hinter Router 30' über die innere Schnittstelle 32' beim Router 30' eingegangen ist. Der Analyseserver 20 kann nun die Ursprungs IP-Adressen der ersten Zone 4 zuweisen, die in Logeinträgen 7 auftreten, die über die innere Schnittstelle 32' des Routers 30' eingegangen sind.The router 30 ' and the router 30 " First, store all accesses, each via their outer or inner interfaces 31 ' . 31 " . 32 ' . 32 " be executed as log entries 7 . 7 ' in local storage facilities 36 , Is a variety of log entries 7 . 7 ' stored, for example, after expiration of a predetermined period of time, the log entries 7 . 7 ' to a log server 10 sent and aggregated there. In another embodiment, the routers may 30 ' . 30 " the log entries 7 . 7 ' also directly to the log server 10 for storage send to the resources or storage devices 36 the router 30 ' . 30 " to relieve. The log server 10 sends the collected log entries 8th for analysis to an analysis server 20 or the analysis server 20 gets the collected log entries 8th periodically or continuously from the log server 10 , so-called "polling" from. The analysis server 20 analyzes the collected log entries 8th and forms address groups using access rules as described above 24 be generated. The analysis server 20 can perform the auto-discovery described above, in which the IP addresses are automatically assigned to their respective zones 4 . 5 be assigned. If the log entries 7 . 7 ' Information about the inner and outer interfaces, about which the corresponding accesses to the routers 30 ' . 30 " it is possible the IP addresses of the zones 4 . 5 assign. For example, log entry contains 7 an indication that access by systems / network devices behind router 30 'via the inner interface 32 ' at the router 30 ' has been received. The analysis server 20 can now change the source IP addresses of the first zone 4 assign that in log entries 7 occur through the internal interface 32 'of the router 30 ' have been received.

Dabei kann der Analyseserver 20 ferner unter Verwendung eines Klassifikators, der IP-Adresse des Servers 40 den Typ „Server“ zuordnen. Der Klassifikator kann die Klassifizierung auf Basis einer Vielzahl von Merkmalen durchführen. In dem aktuellen Ausführungsbeispiel der 12 betreibt der Server 40 einen Webserver, sodass die Endpunkte 1, 1', 1" über Port 80 häufig Zugriffe auf den Server 40 tätigen. Die Häufung von Zugriffen über Port 80 auf die dem Server 40 zugeordnete IP-Adresse ist ein Indikator dafür, dass es sich bei dem Server 40 um einen Webserver handelt. Der Analyseserver 20 erzeugt eine Zugriffsregel 24 für den Server 40, die festlegt, dass sämtliche Zugriffe auf den Server 40 aus der ersten und der zweiten Zone 4, 5 über Port 80 erlaubt sind. Für Endpunkt 1 erzeugt der Analyseserver 20 hingegen eine Regel, die nur eine Kommunikation mit dem Server 40 erlaubt, also keine Zugriffe auf IP-Adressen, die einem Endpunkte 1', 1" der zweiten Zone 5 zugeordnet sind.The analysis server can do this 20 also using a classifier, the IP address of the server 40 Assign the type "Server". The classifier can perform the classification based on a variety of characteristics. In the current embodiment of the 12 operates the server 40 a web server, so the endpoints 1 . 1' . 1" over port 80 frequently requests to the server 40 make. The accumulation of access via port 80 on the server 40 mapped IP address is an indicator that it is the server 40 is a web server. The analysis server 20 generates an access rule 24 for the server 40 that specifies all traffic to the server 40 from the first and the second zone 4 . 5 over port 80 allowed are. For endpoint 1 generates the analysis server 20 however, a rule that only communicates with the server 40 allowed, so no accesses to IP addresses that one endpoints 1' , 1 "of the second zone 5 assigned.

Für die IP-Adressen der Endpunkte 1', 1" der zweiten Zone 5 werden zwei Zugriffsregeln 24 erzeugt. Eine erste Zugriffsregel gibt an, dass nur Zugriffe von IP-Adressen der Endpunkte 1, 1' von oder zu IP-Adressen, die der zweiten Zone 5 zugeordnet sind, nicht geloggt bzw. unterbunden werden sollen. Eine zweite Zugriffsregel gibt an, dass Zugriffe auf den Server 40 der ersten Zone 4 von den Endpunkten 1, 1' nicht geloggt bzw. unterbunden werden.For the IP addresses of the endpoints 1' . 1" the second zone 5 become two access rules 24 generated. A first access rule specifies that only accesses from IP addresses of the endpoints 1 . 1' from or to IP addresses of the second zone 5 are assigned, should not be logged or prevented. A second access rule indicates that accesses to the server 40 the first zone 4 from the endpoints 1 . 1' not logged or prevented.

Die erzeugten Zugriffsregeln für IP-Adressen, die der ersten Zone 4 zugeordnet sind, werden von dem Analyseserver 20 an Router 30' zur Anwendung gesendet. Erzeugte Zugriffsregeln für IP-Adressen, die der zweiten Zone 5 zugeordnet sind, werden von dem Analyseserver 20 an Router 30" zur Anwendung gesendet.The generated access rules for IP addresses that are the first zone 4 are assigned by the analysis server 20 to routers 30 ' sent to the application. Generated access rules for IP addresses of the second zone 5 are assigned by the analysis server 20 to routers 30 " sent to the application.

Selbstverständlich kann der Benutzer auch manuell eine neue Zugriffsregel definieren bzw. IP-Adressen und Subnetzen Zonen oder Adressgruppen zuweisen.Of course, the user can also define a new access rule manually or assign zones or address groups to IP addresses and subnets.

Im Anschluss werden alle Zugriffe auf den Routern 30', 30" gekennzeichnet (und ggf. im „Lockdown“ unterbunden), die nicht von den dort ausgeführten Zugriffsregeln 24 umfasst sind. Die gekennzeichneten Zugriffe werden dann an den Logserver 10 gesandt, der diese an den Analyseserver 20 weiterleitet. Ein mit der Sicherheit des Kommunikationsnetzwerkes 200 betrauter Benutzer wertet die gekennzeichneten Zugriffe anhand der durch das Regelverfeinerungsverfahren 60 erzeugten Zugriffsregeln aus.Following are all requests on the routers 30 ' . 30 " marked (and possibly locked in the "lockdown"), not by the access rules executed there 24 are included. The marked accesses are then sent to the log server 10 which sends them to the analysis server 20 forwards. One with the security of the communication network 200 entrained user evaluates the identified accesses by means of the rule refinement method 60 generated access rules.

Der Benutzer kann den Zugriff auf weiterführende Details für jede in den Zugriffsregeln auftretende IP-Adresse bzw. jedes Subnetz veranlassen. Es können dabei weitere Informationen über die IP-Adressen von externen Systemen (z.B. IP-Adressdatenbank, Netzwerksicherheits-Überwachungssysteme, IP Reputation Investigation) abgefragt werden, wie zum Beispiel den Standort der Ursprungs-IP-Adresse oder der Ziel-IP-Adresse, den Namen der zugehörigen Zonen, das Subnetz, die den IP-Adressen zugeordneten Netzwerkbenutzer und/oder Namen bzw. IP-Adressen der Router, über welche die Zugriffe erfolgen sowie Sicherheitsinformationen (z.B. Bedrohungseinschätzung durch andere Netzwerk-Überwachungssysteme, Liste der Verbindungen dieser IP-Adressen der letzten 24 Stunden oder auch IP-Reputationsdienste).The user can provide access to more details for each IP address or subnet appearing in the access rules. In this case, further information about the IP addresses of external systems (eg IP address database, network security monitoring systems, IP Reputation Investigation) can be queried, such as the location of the source IP address or the destination IP address, for example The names of the associated zones, the subnet, the network users associated with the IP addresses, and / or the names or IP addresses of the routers through which the access is made, as well as security information (eg threat assessment by other network monitoring systems, list of connections of these IP addresses the last 24 hours or even IP reputation services).

In anderen Ausführungsbeispielen werden die weiterführenden Details für die IP-Adressen in Zugriffsregeln 24, 92 automatisch abgefragt und bereits vom Analysewerkzeug zum Zeitpunkt der Analyse gesammelt und bereitgestellt.In other embodiments, the advanced details for the IP addresses become access rules 24 . 92 automatically queried and already collected and provided by the analysis tool at the time of the analysis.

Das System unterstützt den Benutzer darin (z.B. durch Zusammenfassung der zusätzlichen Informationen in einer Email) auf einfache Art und Weise zu veranlassen, dass eine Untersuchung innerhalb der Organisation initiiert wird, die intensive Nachforschungen über die Zugriffe durchführt.The system assists the user therein (e.g., by aggregating the additional information in an email) in a simple manner to initiate an investigation within the organization that conducts intensive traffic inquiry.

Ferner könnte der Benutzer veranlassen, dass zukünftige Zugriffe, die dem durch eine Zugriffsregel 24, 92 repräsentierten Zugriff ähnlich sind (Ursprungs-IP-Adresse und/oder Ziel-IP-Adresse und/oder Service-Port), in Zukunft ihm nicht mehr angezeigt, also ignoriert werden. Ähnlich kann dabei bedeuten, dass zumindest eine Teilmenge der aufgezeichneten Informationen mit dem durch die Zugriffsregel 24, 92 umfassten Zugriff übereinstimmt, wie z.B. die gleiche Ursprungs- und/oder Zieladresse.Furthermore, the user could cause future accesses to be caused by an access rule 24 . 92 represented in the future (originating IP address and / or destination IP address and / or service port), in the future it no longer appears, ie ignored. Similarly, it may mean that at least a subset of the recorded information with the by the access rule 24 . 92 covered access, such as the same source and / or destination address.

Falls der autorisierte Benutzer erneut Logeinträge, die zu den ignorierten Zugriffen korrespondieren, angezeigt haben möchte, kann das Ignorieren (von Ursprungs- oder Ziel-IP Adressen und Diensten) von einzelnen Ursprungs- und/ oder Zieladressen aufgehoben werden und die Logeinträge werden (in Form von neuen vorgeschlagenen Zugriffsregeln 92) zeitnah sichtbar. In einem Ausführungsbeispiel werden auch Logeinträge weiterhin aufgezeichnet, die vor dem Benutzer durch die Benutzeroberfläche versteckt wurden.If the authorized user again wishes to display log entries corresponding to the ignored accesses, the ignoring (of source or destination IP addresses and services) of individual originating and / or destined addresses may be canceled and the log entries (in the form of new proposed access rules 92 ) visible in a timely manner. In one embodiment, log entries are also still recorded which have been hidden from the user by the user interface.

Im Rahmen dieser Anmeldung kann das Kennzeichnen von Zugriffen insbesondere bedeuten, dass Zugriffe geloggt, vorzugsweise aufgezeichnet bzw. gespeichert werden.In the context of this application, the identification of accesses may in particular mean that accesses are logged, preferably recorded or stored.

BezugszeichenlisteLIST OF REFERENCE NUMBERS

1, 1', 1"1, 1 ', 1 "
Endpunktendpoint
22
Endpunkt-RecheneinheitEndpoint computing unit
33
Endpunkt -NetzwerkadapterEndpoint network adapter
44
erste Zonefirst zone
55
zweite Zonesecond zone
6, 6', 6", 6'"6, 6 ', 6 ", 6'"
Netzdatennetwork data
7, 7'7, 7 '
LogeinträgeLog entries
88th
gesammelte Logeinträgecollected log entries
9, 9'9, 9 '
Zugriffslisteaccess list
1010
Logserverlogserver
2020
Analyse-ServerAnalysis server
2121
Auswahleinheitselector
2222
Erzeugungseinheitgenerating unit
2323
Sendeeinheittransmission unit
2424
Zugriffsregelnaccess rules
30, 30', 30"30, 30 ', 30 "
Routerrouter
31, 31', 31"31, 31 ', 31 "
äußere Schnittstelleouter interface
32, 32', 32"32, 32 ', 32 "
Innere SchnittstelleInner interface
3333
NetzwerkadapterNetwork Adapters
3434
NetzwerkrecheneinheitNetwork processing unit
3535
Router-KommunikationsdatenRouter communication data
3636
Speichereinrichtungmemory device
40, 40'40, 40 '
Serverserver
4141
Server-RecheneinheitServer computing unit
4242
Firewallfirewall
4343
Server-NetzwerkadapterServer Network Adapter
4444
Serverspeicherserver memory
5050
Regel-ErstellungsverfahrenRule creation process
5151
Logeinträge-SammelschrittLog entries collection step
5252
Zuordnungsschrittassigning step
5353
RegelanwendungsschrittRule application step
5454
Freigabeschrittreleasing step
5555
RegelumsetzungsschrittRule conversion step
6060
RegelverfeinerungsverfahrenUsually refining process
6161
Logeinträge-SammelschrittLog entries collection step
6262
RegelanpassungsschrittRule matching step
6363
Freigabeschrittreleasing step
6464
RegelumsetzungsschrittRule conversion step
7070
Optimierungsverfahrenoptimization methods
7171
Logeinträge-SammelschrittLog entries collection step
7272
RegelerzeugungsschrittRule generation step
7373
Entscheidungsschrittdecision step
7676
SchärfeanpassungsschrittFocus adjustment step
7777
RegelanwendungsschrittRule application step
8080
Verfahren zur automatischen ErkennungAutomatic detection method
8181
ZonenerstellungsschrittZone creation step
8282
Zonenmitglieder-ErkennungsschrittZone members detection step
8383
Erkennung von vertrauenswürdigen internen ZonenmitgliedernDetection of trusted internal zone members
8484
Erkennung von vertrauenswürdigen externen NetzmitgliedernDetection of trusted external network members
8585
RegelverfeinerungsschrittUsually refining step
8686
RegelreduzierungsschrittGenerally reducing step
9090
Lernprozesslearning process
9191
Logeinträge-VerarbeitungsschrittLog entries processing step
9292
Neu erzeugte RegelNew generated rule
9393
RegelabgleichungsschrittRegelabgleichungsschritt
9494
Neuer Satz von RegelnNew set of rules
9595
Vereinfachungsschrittsimplification step
100100
Notfallverfahren (Lockdown)Emergency procedure (lockdown)
101101
Überwachungsverfahrenmonitoring procedures
102102
Notfall-AktivierungsschrittsEmergency activation step
103103
VerbindungsabgleichschrittConnection Setup step
104104
VerbindungsblockierungsschrittCall blocking step
105105
FeinabstimmungsschrittFine-tuning step
200200
KommunikationsnetzwerkCommunication network

Claims (13)

Verfahren zur Absicherung/Überwachung eines Netzwerks (200), gekennzeichnet durch: - Empfangen einer Vielzahl von Logeinträgen (7, 7') von mindestens einem Netzwerkgerät (30, 30', 30"),wobei jeder Logeintrag (7, 7') einen Zugriff (6, 6') in dem Netzwerk (200) von einer Ursprungsadresse auf eine Zieladresse dokumentiert; - Zuordnen einer Auswahl von Ursprungsadressen und/oder Zieladressen zu mindestens einer Adressgruppe, wobei eine Adressgruppe mindestens ein Intervall für mindestens eine Ursprungsadresse oder Zieladresse definiert; - Erzeugen (53) mindestens einer Zugriffsregel (24, 92) unter Verwendung der Adressgruppe; - Anwenden (55) der Zugriffsregel (24, 92) in dem Netzwerk (200), wobei die Zugriffsregel (24, 92) mindestens ein Netzwerkgerät (30, 30', 30") dazu veranlasst, Zugriffe (6, 6'), die nicht von der Zugriffsregel (24, 92) umfasst sind, zu kennzeichnen und/oder zu unterbinden, dadurch gekennzeichnet, dass eine Vielzahl von Ursprungs- oder Zieladressen der Logeinträge (7, 7') zu der Adressgruppe zugeordnet werden, bei denen zugehörige Logeinträge (7, 7') eine gleiche - Ursprungs- und/oder Zieladresse und/oder - Serviceangabe und/oder - Information über Schnittstellen aufweisen.Method for securing / monitoring a network (200), characterized by : receiving a plurality of log entries (7, 7 ') from at least one network device (30, 30', 30 "), each log entry (7, 7 ') having a Documenting access (6, 6 ') in the network (200) from an originating address to a destination address; - associating a selection of originating addresses and / or destination addresses with at least one address group, wherein an address group defines at least one interval for at least one originating address or destination address; Generating (53) at least one access rule (24, 92) using the address group; - Applying (55) the access rule (24, 92) in the network (200), the access rule (24, 92) causing at least one network device (30, 30 ', 30 ") to initiate accesses (6, 6') are not encompassed by the access rule (24, 92), characterized and / or inhibited, characterized in that a plurality of origin or destination addresses of the log entries (7, 7 ') are assigned to the address group in which associated log entries ( 7, 7 ') have the same source and / or destination address and / or service specification and / or information via interfaces. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass den Logeinträgen (7, 7') - eine Serviceangabe und/oder - ein Zeitstempel und/oder - die Anzahl von gesendeten Bytes und/oder - eine Information über Schnittstellen über die Daten ein- oder ausgehen, insbesondere eines Routers (30, 30', 30") und/oder eines Switches und/oder einer Firewall zugeordnet ist.Method according to Claim 1 , characterized in that the log entries (7, 7 ') - a service indication and / or - a time stamp and / or - the number of bytes sent and / or - information via interfaces on the data on or go out, in particular a router (30, 30 ', 30 ") and / or a switch and / or a firewall is assigned. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Intervall unter Verwendung von Supernetting, insbesondere unter Verwendung mindestens einer Bitmaske, definiert wird.Method according to one of the preceding claims, characterized in that the interval is defined using supernetting, in particular using at least one bit mask. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere nach einem der Ansprüche 1-2, dadurch gekennzeichnet, dass die Adressgruppe durch eine Vereinigungsmenge der Ursprungsadressen oder der Zieladressen der Auswahl der Logeinträge (7, 7') gebildet wird.Method according to one of the preceding claims, in particular according to one of Claims 1 - 2 , characterized in that the address group is formed by a union of the source addresses or the destination addresses of the selection of the log entries (7, 7 '). Verfahren nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 3, dadurch gekennzeichnet, dass mindestens zwei nicht direkt aufeinanderfolgende Ursprungs- und/oder Zieladressen das Intervall definieren.Method according to one of the preceding claims, in particular according to Claim 3 , characterized in that at least two non-consecutive source and / or destination addresses define the interval. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 3, dadurch gekennzeichnet, dass das Zuordnen der Ursprungsadressen oder Zieladressen zu der Adressgruppe auf Basis eines Schärfeparameters durchgeführt wird, wobei der Schärfeparameter mit der Größe des Intervalls korrespondiert und wobei das Erzeugen zusätzlich die Schritte aufweist: a. Feststellen, ob die Anzahl der erzeugten Zugriffsregeln (AR) unter einem, insbesondere numerischen, Zugriffsregel-Schwellwert (ZS) liegt; b. Anpassen des Schärfeparameters, wenn die Anzahl der erzeugten Zugriffsregeln (AR) über dem Zugriffsregel-Schwellwert (ZS) liegt, wobei das Erzeugen und die Schritte a und b wiederholt werden, bis die Anzahl der Zugriffsregeln (AR) unter dem Zugriffsregel-Schwellwert (ZS) liegt.Method according to one of the preceding claims, in particular according to Claim 3 characterized in that the assigning of the source addresses or destination addresses to the address group is performed based on a sharpening parameter, the sharpening parameter corresponding to the size of the interval, and wherein the generating additionally comprises the steps of: a. Determining whether the number of access rules (AR) generated is below a, in particular numerical, access rule threshold (ZS); b. Adjusting the sharpening parameter when the number of access rules (AR) generated is above the access control threshold (ZS), wherein the generating and steps a and b are repeated until the number of access rules (AR) is below the access rule threshold (ZS ) lies. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass während des Anwendens der Zugriffsregel (24, 92) weitere Logeinträge empfangen werden, die gekennzeichnete Zugriffe in dem Netzwerk (200) dokumentieren, wobei die Zugriffsregel (24, 92) unter Verwendung der weiteren Logeinträge aktualisiert wird, wobei die aktualisierte Zugriffsregel (24, 92) die gekennzeichneten Zugriffe der weiteren Logeinträge umfasst.Method according to one of the preceding claims, characterized in that during the application of the access rule (24, 92) further log entries are received which document identified accesses in the network (200), the access rule (24, 92) using the further log entries is updated, wherein the updated access rule (24, 92) comprises the marked accesses of the other log entries. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass Ursprungs- und/oder Zieladressen in dem Netzwerk (200) auf Basis der Logeinträge (7, 7') mindestens ein Typ zugeordnet wird, insbesondere unter Verwendung einer Stützvektormaschine und/oder eines Naiven Bayesschen Netzwerks, wobei der Typ Berechtigungen innerhalb des Netzwerks (200) entspricht.Method according to one of the preceding claims, characterized in that source and / or destination addresses in the network (200) on the basis of the log entries (7, 7 ') at least one type is assigned, in particular using a Stützvektormaschine and / or Naive Bayesschen Network, where the type corresponds to permissions within the network (200). Verfahren nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 8, dadurch gekennzeichnet, dass (der) ein Typ zur Erzeugung der Zugriffsregel (24, 92) verwendet wird, wobei Zugriffe (6, 6') von Ursprungsadressen zu Zieladressen, denen der Typ zugeordnet ist, von der Zugriffsregel (24, 92) umfasst sind.Method according to one of the preceding claims, in particular according to Claim 8 characterized in that a type is used to generate the access rule (24, 92), wherein accesses (6, 6 ') from originating addresses to destination addresses to which the type is associated comprise access rules (24, 92) are. Verfahren nach einem der vorhergehenden Ansprüche, insbesondere nach Anspruch 8, dadurch gekennzeichnet, dass das Intervall durch die Ursprungsadressen gebildet wird, die einem Typ zugeordnet sind.Method according to one of the preceding claims, in particular according to Claim 8 , characterized in that the interval is formed by the source addresses associated with a type. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass das Verfahren weiter aufweist: - Darstellen der gekennzeichneten Zugriffe (6, 6') und/oder der erzeugten Zugriffsregeln (92) auf einer Benutzeroberfläche.Method according to one of the preceding claims, characterized in that the method further comprises: - representing the identified accesses (6, 6 ') and / or the generated access rules (92) on a user interface. Verfahren zur Absicherung/Überwachung eines Netzwerks (200), gekennzeichnet durch: - Empfangen von zumindest zwei Logeinträgen (7, 7') von mindestens einem Netzwerkgerät (30, 30', 30"), wobei die Logeinträge (7, 7') jeweils zumindest eine Ursprungsadresse und/oder eine Zieladresse, insbesondere jeweils IP-Adressen, und/oder eine Serviceangabe, insbesondere eine Portangabe, umfassen; - Analysieren (52) der Logeinträge (7, 7'), wobei das Analysieren (52) das Identifizieren von zumindest einer gemeinsamen Ursprungsadresse und/oder einer gemeinsamen Zieladresse und/oder zumindest einer gemeinsamen Serviceangabe umfasst; - Erzeugen (53) mindestens einer Abbildung und mindestens einer Zugriffsregel (24, 92), wobei die Abbildung auf Basis der identifizierten gemeinsamen Ursprungsadresse, Zieladresse und/oder Serviceangabe erzeugt wird, und wobei die Abbildung die Ursprungsadresse und/oder Zieladresse und/oder Serviceangabe auf die Zugriffsregel (92) abbildet; - Anwenden (55) der Zugriffsregel (24, 92) in dem Netzwerk (200), wobei die Zugriffregel (24, 92) das Netzwerkgerät (30) dazu veranlasst, Zugriffe (7, 7'), die nicht von der Abbildung auf die Zugriffsregel (24, 92) umfasst sind, zu kennzeichnen und/oder zu unterbinden.Method for securing / monitoring a network (200), characterized by : - receiving at least two log entries (7, 7 ') from at least one network device (30, 30', 30 "), wherein the log entries (7, 7 ') respectively at least one source address and / or one destination address, in particular in each case IP addresses, and / or a service specification, in particular a port specification, - analyzing (52) the log entries (7, 7 '), wherein the analyzing (52) the identification of at least one common source address and / or a common destination address and / or at least one common service indication, Generating (53) at least one map and at least one access rule (24, 92), wherein the map is generated based on the identified common source address, destination address, and / or service indication, and wherein the mapping includes the source address and / or destination address and / or service indication maps the access rule (92); Applying (55) the access rule (24, 92) in the network (200), the access control (24, 92) causing the network device (30) to access (7, 7 ') not from the map to the network Access rule (24, 92) are included, mark and / or to prevent. Computer-lesbares Speichermedium, welches Instruktionen enthält, die (mindestens) einen Prozessor dazu veranlassen ein Verfahren nach einem der vorhergehenden Ansprüche zu implementieren, wenn die Instruktionen durch den Prozessor ausgeführt werden.A computer-readable storage medium containing instructions that cause (at least) a processor to implement a method as claimed in any one of the preceding claims when the instructions are executed by the processor.
DE102016107647.3A 2016-03-08 2016-04-25 Method and storage medium for securing / monitoring a network Expired - Fee Related DE102016107647B4 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102016104209 2016-03-08
DE102016104209.9 2016-03-08

Publications (2)

Publication Number Publication Date
DE102016107647A1 DE102016107647A1 (en) 2017-09-14
DE102016107647B4 true DE102016107647B4 (en) 2018-08-30

Family

ID=59700294

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102016107647.3A Expired - Fee Related DE102016107647B4 (en) 2016-03-08 2016-04-25 Method and storage medium for securing / monitoring a network

Country Status (1)

Country Link
DE (1) DE102016107647B4 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114640504B (en) * 2022-02-24 2024-02-06 京东科技信息技术有限公司 CC attack protection method, device, equipment and storage medium

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102006029013A1 (en) 2006-06-23 2007-12-27 Nokia Siemens Networks Gmbh & Co.Kg Method for automatically recording addresses in a list of accepted transmitters in a communication system
DE102008059487A1 (en) 2008-11-28 2010-06-24 Siemens Aktiengesellschaft Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system
US20140380456A1 (en) 2004-01-23 2014-12-25 The Barrier Group, Llc Integrated data traffic monitoring system

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20140380456A1 (en) 2004-01-23 2014-12-25 The Barrier Group, Llc Integrated data traffic monitoring system
DE102006029013A1 (en) 2006-06-23 2007-12-27 Nokia Siemens Networks Gmbh & Co.Kg Method for automatically recording addresses in a list of accepted transmitters in a communication system
DE102008059487A1 (en) 2008-11-28 2010-06-24 Siemens Aktiengesellschaft Method for generating parameterization data for communication protection system of communications network in automation system, involves determining communication parameters of automation system

Also Published As

Publication number Publication date
DE102016107647A1 (en) 2017-09-14

Similar Documents

Publication Publication Date Title
DE60111089T2 (en) Method and apparatus for analyzing one or more firewalls
DE69832946T2 (en) Distributed system and method for controlling access to wetting means and event messages
DE69825801T2 (en) Apparatus and method for enabling equal access control in a network
DE60317403T2 (en) Multi-level cache architecture and cache memory management method for peer name resolution protocol
DE112013001964B4 (en) Message exchange security management
DE69818232T2 (en) METHOD AND SYSTEM FOR PREVENTING DOWNLOADING AND EXECUTING EXECUTABLE OBJECTS
DE60115615T2 (en) SYSTEM, DEVICE AND METHOD FOR FAST PACKAGE FILTERING AND PROCESSING
DE202019103185U1 (en) Distributed deduplication of packages
DE112010003464B4 (en) Modification of access control lists
DE102015001054A1 (en) METHOD AND SYSTEMS FOR DETECTING EXTRUSION AND INTRUSION IN A CLOUD COMPUTER ENVIRONMENT
DE10296682T5 (en) Integrated procedure for sharing network data services among multiple participants
DE202016009029U1 (en) Rules-based network threat detection
DE102015001024A1 (en) Methods and systems for detecting extrusion and intrusion in a cloud computing environment using network communication devices
EP1290530A1 (en) Encryption of data to be stored in an information processing system
DE102006004202B4 (en) Method for protecting SIP based applications
DE102015102434A1 (en) Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
DE112010003099T5 (en) DETECTION OF LOW-LEAVED NETWORK UNITS
DE60132360T2 (en) MANAGING NETWORK TRANSPORT BY APPLYING A HASH FUNCTION
DE102019203773A1 (en) Dynamic firewall configuration and control for accessing services hosted in virtual networks
DE10330079B4 (en) Router and procedure for activating a disabled computer
DE102016107647B4 (en) Method and storage medium for securing / monitoring a network
WO2003025758A2 (en) Device and method for establishing a security policy in a distributed system
DE60114299T2 (en) A method and apparatus for translating IP telecommunications network addresses with a controlled leaky memory
DE112012000780T5 (en) Processing Authorization Check Data
DE102011080676A1 (en) Configuration of a communication network

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R016 Response to examination communication
R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000