JP4700884B2 - コンピュータのセキュリティ情報を管理するための方法およびシステム - Google Patents

コンピュータのセキュリティ情報を管理するための方法およびシステム Download PDF

Info

Publication number
JP4700884B2
JP4700884B2 JP2001580642A JP2001580642A JP4700884B2 JP 4700884 B2 JP4700884 B2 JP 4700884B2 JP 2001580642 A JP2001580642 A JP 2001580642A JP 2001580642 A JP2001580642 A JP 2001580642A JP 4700884 B2 JP4700884 B2 JP 4700884B2
Authority
JP
Japan
Prior art keywords
event
raw
events
computer
correlation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2001580642A
Other languages
English (en)
Other versions
JP2004537075A (ja
JP2004537075A5 (ja
Inventor
ティモシー ピー. ファーリー、
ジョン エム. ハンマー、
ブライアン ダグラス ウィリアムズ、
フィリップ チャールズ ブラス、
ジョージ スィー. ヤング、
デレク ジョン メザック、
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2004537075A publication Critical patent/JP2004537075A/ja
Publication of JP2004537075A5 publication Critical patent/JP2004537075A5/ja
Application granted granted Critical
Publication of JP4700884B2 publication Critical patent/JP4700884B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/28Restricting access to network management systems or functions, e.g. using authorisation function to access network configuration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0631Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis
    • H04L41/065Management of faults, events, alarms or notifications using root cause analysis; using analysis of correlation between notifications, alarms or events based on decision criteria, e.g. hierarchy, tree or time analysis involving logical or physical relationship, e.g. grouping and hierarchies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications
    • H04L41/0686Additional information in the notification, e.g. enhancement of specific meta-data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2151Time stamp
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Debugging And Monitoring (AREA)

Description

【0001】
優先権および関連出願
本願は2000年4月28日に出願された米国特許出願第60/200,316号「ネットワーク・セキュリティー・システムの侵入探知フュージョン・システム」というタイトルの仮特許出願の優先権を主張する。
【0002】
本願はまた2001年4月27日に出願された米国特許出願第_______号「ネットワーク上のセキュリティ・イベントを管理するシステムおよび方法」というタイトルの非仮出願(代理人整理番号05456−15005)と関連する。
【0003】
発明の属する技術分野
本発明はコンピュータ・システムおよびそのようなシステムのセキュリティに関する。より詳しく言えば、本発明は各セキュリティ・イベントを危険性に従って階級指定し、またコンピュータ・システム上または内部で発生するかもしれない2つまたはそれ以上のセキュリティ・イベントの間の関係を融合すなわち見つけ出すための方法およびシステムに関する。本発明はまた他のセキュリティに関係する情報中の関係も見つけだすことができる。
【0004】
従来の技術
インターネットのような分散ネットワークは、本質的に攻撃に対して脆弱である。インターネットは情報、データおよびファイルの可能な限り最も自由な交換を可能にするように設計された。しかしながら、この自由な情報の交換は代償を伴っている。多くのユーザがインターネットに接続されているネットワークおよびコンピュータを攻撃しようと試みるであろう。多くのユーザが他のユーザのプライバシーを侵害すること試みたり、また機密情報のデータベースの解読や、インターネットの経路を伝わる情報の傍受を企てたりもするであろう。
【0005】
このようなコンピュータに対する攻撃を探知するかまたは防ぐために、情報を収集しそしてネットワーク・コンピュータのセキュリティ構成に変更を加える侵入探知システム(IDS)およびソフトウェア・プログラムが開発されている。しかしながら、これらの従来の侵入探知システムには一般的に多くの問題と難点がある。従来の侵入探知システムはたいていネットワーク上の侵入探知に専用されるハードウェアを含む。他の侵入探知システムは単にホスト・コンピュータ上で動くプログラムを含むことができる。
【0006】
多くの従来の侵入探知システムの問題と難点は、すべての探知設計の一部である少なくとも2つのパラメータにせいにすることができるであろう。第1のパラメータは、侵入探知システムのディテクタが、そのディテクタを通って流れるデータすなわち通信に対して透明であるために動作しなければならない速度である。たいてい専用のパソコン上で動作するディテクタは、ネットワークの速度が100メガビット/秒からギガビット/秒の速度にそしてそれ以上へと増しているときに、絶えず増大する大きな情報トラフィックを扱うことができなければならない。これらの高速のために、侵入探知システムのディテクタは、明白な理由によって、そのディテクタを通って流れる情報の複雑な解析を行うことができない。すなわち、もしディテクタがそれを通って流れる情報の複雑な解析を行うとしたら、そのような解析は、そのディテクタを通過する情報の流れに遅れずについていくことはできないであろう。
【0007】
あらゆる探知設計の一部である第2のキー・パラメータは通常ディテクタを通過するであろう情報の量である。情報がディテクタを通過する高い速度のために、ディテクタは大量のデータ・パケットを解析することができなければならない。
【0008】
現在のネットワークの速度とそのネットワーク速度の結果として発生されるそれに対応する大量の情報を考慮すると、従来の侵入探知システムの多くのディテクタは、複雑なそしてより高度化したコンピュータ攻撃に対しては非常に限られた保護しか提供できない。この限られた保護は、侵入探知システムによって多くの誤った肯定が発生されるときに明らかになる。換言すれば、多くの従来の侵入探知システムは、なんらの脅威も攻撃も含まないコンピュータ間の通信に基づいて、偽の警報を発生する可能性がある。
【0009】
偽の警報に加えて、従来の侵入探知システムはほとんど、現在の処理速度からの限界のために、複雑な解析を行うための機能を備えていない。例えば、多くの従来の侵入探知システムは、良く知られたL0pht Crackのような中央処理装置を集中的に働かせるチェックを実行することができない。L0pht Crack解読は、Windows(SMB)接続からの暗号の試行−応答データを用いてネットワーク上で使用されているパスワードを解読することができる。L0pht Crackを実行するための従来の方法は、パケット補足ツールを使ってパケットを得て、それからオフラインでパスワードを解読することである。従来の侵入探知システムはほとんどどのようなリアルタイム解析においてもL0pht Crackの方法を用いることができなかった。
【0010】
従来の侵入探知システムのもう1つの障害は、ほとんどの侵入探知システムが非常に限られたまたは短期のメモリ容量しか持たないことである。換言すれば、データ・ストリームの長いヒストリは、従来の侵入探知システムのディテクタによっては決して保持されない。
【0011】
従来の侵入探知システムのもう1つの問題は、このようなシステムのディテクタは通常単一の環境を見張るまたは観察するだけであることである。例えば、ディテクタは通常ネットワークの一部だけを観察する。従来のディテクタは、ネットワーク全体を全体として観察する代わりにネットワークの一部分だけを観察するように設計されているので、認識する範囲が限定されている。従来のディテクタはこのようにネットワークの一部分だけを監視するので、分散攻撃のようなより高度のコンピュータ攻撃を追跡することができない。
【0012】
より高度のコンピュータ攻撃を追跡できないことに加えて、多くの従来の侵入探知システムは、コンピュータ攻撃の攻撃者または標的の能動探索ができなかった。能動探索は通常コンピュータ攻撃がその標的に対して効果があった否かを知るための判定を行うことを含む。さらに、探索は攻撃者についての追加の情報を発見するための方法も含む。しかしながら、上述したように、多くの侵入探知システムは能動探索を許容しなかった。なぜならこのような探索はディテクタの場所を明らかにする可能性があるからある。そしてもしディテクタの場所が明らかになったら、それはしばしばコンピュータ攻撃の標的になるかもしれないからである。
【0013】
したがって、この分野には、ネットワーク全体のためにセキュリティ情報を管理するための方法およびシステム対する要求がある。すなわち、この分野にはネットワーク・コンピュータ・システム内で起こり得るコンピュータ・セキュリティ・インシデンスをログに記録し、調査し、対応し、追跡することに対する要求がある。この分野にはまた、ネットワーク内またはネットワーク全体におけるセキュリティが危うくされていないか、またあるインシデントが侵入探知システムによって無視されるべきただちょっと奇妙な振る舞いであるか判定することを求める要求がある。この分野には、かなり複雑なそして巧妙なコンピュータ攻撃が見つけ出され、阻止され、または防がれることができるように、複数のデータ・ソースからのセキュリティ情報を監視しそして解析することができる方法およびシステムに対する別の要求が存在する。この分野には、セキュリティ情報をリアルタイムで管理するための方法およびシステムに対するさらに別の要求が存在する。
【0014】
この分野には、1つまたはそれ以上のリアルタイムのコンピュータ・イベントが互いに関係があるか否か、またそれらがより大きな企てまたは巧妙な攻撃の一部であるか否かを判定することができるようなセキュリティ情報を管理するための方法およびシステムに対するさらに別の要求がある。この分野には、複数のコンピュータ・イベントが、それらがより大きな企てすなわち攻撃の一部であるならば、互いに相関づけられることができるセキュリティ情報を管理するための方法およびシステムに対する追加の要求がある。この分野には、検出されるコンピュータ・イベントに、ネットワークまたは個々のコンピュータに対して最も大きな損害を引き起こすかもしれないコンピュータ・イベントに注意を集中させることができるように優先順位を付けることができるセキュリティ情報を管理するための方法およびシステムに対するもう1つの要求がある。同様に、この分野には、単一のコンピュータ攻撃から派生するか、またはそれから発生させられるかもしれない追加のコンピュータ攻撃の防止に加えて、既存のコンピュータ攻撃に対する迅速な対応を可能にするセキュリティ情報を管理するための方法およびシステムに対するさらにもう1つの要求がある。この分野には、リアルタイムのコンピュータ・イベントが、そのイベントが発生した環境のコンテキストの中で、それらの優先度に従って分類されかつ階級が決められるようなセキュリティ情報を管理するための方法およびシステムに対するさらに別の要求がある。
【0015】
発明の概要
本発明は、ネットワーク接続されたコンピュータ・システム内で発生し得るコンピュータのセキュリティに関係するインシデントを記録し、調査し、対応し、そして追跡することができるコンピュータ・セキュリティ管理システムを提供することにより、上記の問題を解決することができる。本発明は、疑わしいコンピュータの活動または実際のコンピュータのセキュリティに対する脅威を追跡することができる。実際のコンピュータのセキュリティに対する脅威には、コンピュータまたはコンピュータ・ネットワークに対する完全性攻撃、秘密性攻撃、サービス拒否攻撃、多段攻撃、または他の類似の攻撃が含まれるが、これに限定されない。本発明は、典型的には、データ・ソースから得られる疑わしいコンピュータ活動の記述をリアルタイム生イベントと呼び、実際のコンピュータ・セキュリティにたいする脅威を成熟相関イベントと呼ぶ。本発明は、1つまたはそれ以上のデータ・ソースから収集されたセキュリティ情報を管理するための方法とシステムを含むことができる。より具体的に言えば、本発明は、データ・ソースによって行われる処理の速度を低下させることなく、悪意のある振る舞いを示すかも知れない生イベントの間の関係を検出して1つまたはそれ以上のコンソールに整理された情報の提示を行うために、複数のデータ・ソースからの情報を「融合」すなわち集めて整理しそしてこの情報を解析するフュージョン・エンジンを含む。
【0016】
複数のデータ・ソースはネットワークのトラフィクまたは個々のコンピュータまたはその両方を監視するセンサまたはディテクタを含むことができる。センサは侵入探知システム(IDS)と呼ばれることもできるデバイスを含むことができる。本発明はIDSデバイスとは別であるので、大量のデータのやりとりをリアルタイムで処理することが重要なときにIDSデバイスが効率的にかつ高速で動作することを可能にする。
【0017】
データ・ソースはまたファイヤ・ウォールおよび他の類似のセキュリティまたはIDSデバイスも含むことができる。さらに、データ・ソースは、関心を持つネットワークまたはコンピュータについての追加の環境情報を提供する追跡記録システムのような、リアルタイム情報を提供することができるまたはできないどんなデバイスを含んでもよい。例えば、1つのデータ・ソースはデータベースを含むことができる。データベースは、タイプの異なる生イベントのカテゴリを含む、生イベント分類データベースを含んでもよい。他のデータベースは、ホストの脆弱状態、ヒストリカルなコンピュータ・イベントの頻度値、およびネットワークのゾーンの設定のようなネットワークのコンテキスト(状況)を示す情報を含むコンテキストまたは知識データベースを含むことができる。
【0018】
複数のデータ・ソースから、本発明のフュージョン・エンジンは、リアルタイムの生のコンピュータ・イベントを互いに関係づけ、分類することができる。すなわち、通常かなりの時間の後コンピュータ・イベントを処理する従来の技術と異なり、本発明は、1つまたはそれ以上のリアルタイムの生のコンピュータ・イベント間の関係を、それらをリアルタイムで受け取りながら、見つけ出すことができる。リアルタイムの生のコンピュータ・エベンすなわち生イベントは、1台のコンピュータまたは複数のコンピュータに対する攻撃である可能性があるものとして侵入探知システムによって追跡されるかも知れないすべてのコンピュータの活動を含むことができる。生イベントは侵入探知システムのディテクタによって生成されることができる。各生イベントは、コンピュータの活動の送信元インターネット・プロトコル・アドレス、コンピュータの活動の宛先インターネット・プロトコル・アドレス、ディテクタによって指定された優先順位、ディテクタによって指定された脆弱度、タイムスタンプおよびイベント・タイプ・パラメータなどを含む。ただしそれらに限定されず、いろいろなパラメータを持つことができる。
【0019】
フュージョン・エンジンは、1つまたはそれ以上のリアルタイムの生イベントが互いに関係しているか否か、およびそれらがより大きなたくらみのコンピュータ攻撃の一部かそうでないか判断することができる。互いに関係があり、コンピュータ攻撃が起こりつつあるかもしれないことを示しているかもしれないリアルタイムの生イベントは、フュージョン・エンジンによって、成熟相関イベントと呼ばれる。1つの相関イベントは、1つまたはそれ以上の生イベントを含むことができる。しかしながら、相関イベントは、実際のセキュリティに対する脅威または攻撃が探知されたことを意味しない。相関イベントは典型的には関係のある生イベントを記憶し、通常その相関イベントが成熟したと見なされるときにセキュリティ・イベントすなわちコンピュータ攻撃が起こったことを示す。成熟していると見なされるためには、相関イベントは対応する相関ルールの判断基準またはアルゴリズムを満足しなければならない。したがって、成熟相関イベントまたは実際のコンピュータ・セキュリティに対する脅威またはコンピュータ攻撃として認められていない、1つまたはそれ以上の生イベントを含む多数の相関イベントを追跡することが可能である。
【0020】
フュージョン・エンジンは、イベントが発生した環境またはコンテキストについての情報に基づいて、成熟相関イベントと同じくリアルタイム生イベントのリスクを評価し順位づけることもできる。フュージョン・エンジンはこの危険および順位情報をメッセージとしてコンソール上に表示することができる。フュージョン・エンジンは、成熟相関イベントの更新を生成し、コンソールに送ることができる。さらに、フュージョン・エンジンは、成熟相関イベントが発生しなくなったときに、それを検出して表示する。
【0021】
リアルタイム生イベントのリスクを評価し順位づけるために、フュージョン・エンジンは、前述した生イベント分類データベースおよび知識データベースを利用することができる。生イベント分類データベースはフュージョン・エンジンが生コンピュータ・イベントを分類することを可能にし、知識デバイスはフュージョン・エンジンがその生コンピュータ・イベントのコンテキストに基づいて生コンピュータ・イベントの危険性を順位づけ評価することを可能にする。生イベント分類データベースは1つまたはそれ以上のセキュリティ情報の表を含むことができる。すなわち、生イベント分類データベースは、生イベントを、それらが標的のホストに与える衝撃(秘密性、完全性、または利用可能性)、範囲(ネットワーク、ホスト、またはサービス)、およびそれらが使う方法(裏口からの侵入、IDSの回避すなわち探知の回避、その他)に基づいて分類することができる情報を含む表を備えることができる。生コンピュータ・イベントのコンテキストは、その生イベントのパラメータを、コンテキストすなわち知識データベース中のコンテキスト・パラメータ、例えば前述したイベントの脆弱度、ヒストリカル・コンピュータ頻度値、およびゾーン設定など、と比較することにより、決定できる。
【0022】
1つまたはそれ以上の生コンピュータ・イベントが成熟コンピュータ・イベントの一部であるか、またはそれを形成しているか判断するために、フュージョン・エンジンは、フュージョン・エンジンが生コンピュータ・イベントを分類するやり方に基づいて始動される1つまたはそれ以上のルールを適用することができる。換言すれば、フュージョン・エンジンによって適用されるルールは、生イベントの分類(タイプまたは種類の識別)にしたがって活性化され、生イベントに適用される。
【0023】
生コンピュータ・イベントが1つの成熟コンピュータ・イベントの一部であるかまたはそれを形成しているか、または本当にセキュリティの脅威かを判断することに加えて、フュージョン・エンジンはその高速メモリ資源を非常に効率的に管理する。例えば、フュージョン・エンジンは、予め決められた時間を越えている、または予め決められた条件に適合している、またはその両方の生イベント、未成熟および成熟相関イベントを消去するメモリ管理技術を採用することができる。この高速メモリ資源は、生イベントおよび成熟相関イベントの分類に従って分けられているデータを記憶するRAMを含むことができる。
【0024】
実施の形態の詳細な説明
本発明は分散コンピューティング環境内で動くプログラム・モジュールとして実現することができる。本発明は、コンピュータのセキュリティ事件を記録し、調査し、対応し、追跡することができるコンピュータ・セキュリティ管理システムを含むことができる。本発明は、複数のコンソールに対してまとめられた、そして時にはランク付けされた情報の呈示を行うために、複数のデータ・ソースからの情報を「融合(フュージョン)」すなわち組み立てるフュージョン・エンジンを含むことができる。このフュージョン・エンジンは、1つまたはそれ以上のデータベースに基づいてリアルタイムのコンピュータ・イベントをランクづけしながら、未加工のリアルタイムのコンピュータ・イベントを分類することができる。
【0025】
説明のための動作環境
説明のための動作環境はパーソナル・コンピュータおよびサーバ上で動作するプログラム・モジュールの面において一般的に説明されるであろうが、この分野の専門家は、他のオペレーティング・システム・プログラムとの組合せまたは他のタイプのコンピュータのための他のタイプのプログラム・モジュールとの組合せにおいて実現できること分かるであろう。さらに、この分野の専門家は、他のオペレーティング・システム・プログラムとの組合せまたは他のタイプのコンピュータのための他のタイプのプログラム・モジュールとの組合せにおいて実現できることを理解するであろう。さらに、この分野の専門家は、スタンドアロン環境または分散コンピューティング環境またはその両方において実現できることを理解するであろう。分散コンピューティング環境では、プログラム・モジュールは、物理的にいろいろなローカルおよびリモートの記憶装置に置かれてもよい。プログラム・モジュールの実行は、スタンドアロン方式でローカルに、またはクライアントサーバー方式でリモートに行われてもよい。このような分散コンピューティング環境の例には、ローカル・エリア・ネットワークおよびインターネットがある。
【0026】
この後の詳細な説明は、大部分が、処理ユニット(プロセッサ)、記憶装置、接続された表示装置および入力装置を含む、従来のコンピュータの構成要素による処理および動作の記号表示によりなされる。さらに、これらの処理および動作は、リモート・ファイル・サーバ、コンピュータ・サーバおよび記憶装置を含む、異種分散コンピューティング環境における従来のコンピュータ構成要素を利用してもよい。これらの従来の分散コンピューティングの構成要素の各々は、通信ネットワークを通してプロセッサによりアクセスできる。
【0027】
コンピュータにより行われる処理および動作は、プロセッサによる信号の操作および1つまたはそれ以上の記憶装置に常駐するデータ構造内にこれらの信号の保持を含む。この説明のために、処理は、一般的に、望みの結果をもたらす一連のコンピュータにより実行されるステップであるとされている。これらのステップは通常物理量の物理的な操作を必要とする。通常は、必ずそうであるわけではないが、これらの量は、記憶され、転送され、組み合わされ、比較され、または他の方法で操作されることができる電気、磁気、または光の信号の形を取る。この分野の専門家は、慣習で、これらの信号の表現をビット、バイト、ワード、情報、要素、記号、文字、数、点、データ、項目、オブジェクト、イメージ、ファイルなどと呼んでいる。しかしながら、これらのおよび類似の語は、コンピュータの動作のための物理量に関係づけられていること、およびこれらの語はコンピュータの内部および動作中に存在する物理量に付けられた約束ごとのラベルにすぎないことは憶えておかれるべきである。
【0028】
またコンピュータの内部における操作は、しばしば人間の操作者によって行われる手操作と関係づけられる、作成る、加える、計算する、比較する、移動させる、受け取る、判断する、識別する、移植する、ロードする、実行するなどのような言葉でしばしば言及されることも理解されるべきである。ここで説明されている操作は、人間の操作者すなわちコンピュータと対話するユーザによって与えられたいろいろな入力に関係して行われるマシンの動作でもよい。
【0029】
さらに、ここに説明されているプログラム、プロセス、メソッドなどは、特定のコンピュータまたは装置に関係づけられても、限定されてもいないことは理解されるべきである。むしろ、いろいろなタイプの汎用マシンが、ここに説明されている教示に従って作られたプログラム・モジュールと共に使用できる。同様に、配線論理またはリード・オンリ・メモリのような不揮発メモリに記憶されたプログラムを持った、特定のネットワーク・アーキテクチャの中の専用のコンピュータにより、ここに記載されている方法のステップを実行するための特殊化された装置を作ることは、有利であることがわかるであろう。
【0030】
さて図面を参照して、本発明のいろいろな面と説明のための動作環境を説明する。なお幾つかの図を通じて類似の数字は類似の要素を示す。
【0031】
図1および下記の説明は、本発明を実施するのに適したコンピュータ環境の短い一般的な説明を与えることを意図している。図1を参照すると、本発明を実施するための説明のための環境は、処理ユーザ102、リード・オンリ・メモリ(ROM)104およびランダム・アクセス・メモリ(RAM)108を含むシステム・メモリ、システム・メモリを処理ユニット102に結合するシステム・バス105を含む従来のパーソナル・コンピュータ100を含む。リード・オンリ・メモリ(ROM)104は、例えば起動中にパーソナル・コンピュータ100の内部の要素間のデータの転送を助ける基本ルーチンを内蔵する、基本入/出力システム106(BIOS)を含む。パーソナル・コンピュータ100はさらにハード・ディスク・ドライブ118と、例えばCD−ROMディスクまたはDVDディスクを読むため、または他の光メディアに対する読出しまたは書込みのための光ディスク・ドライブ122を含む。これらのドライブおよびそれらで使用されるコンピュータが読取り可能なメディアは、パーソナル・コンピュータ100のための不揮発記憶を提供する。上のコンピュータが読取り可能なメディアの種類はハード・ディスク、取外し可能な磁気ディスクおよびCD−ROMまたはDVD−ROMディスクのことを言っているが、磁気カセット、フラッシュ・メモリ・カード、ディジタル・ビデオ・ディスク、ベルヌイ・カートリッジなどのコンピュータにより読みとり可能な他のタイプのメディアもこの説明のための動作環境において使用できることは、この分野の専門家にはわかるはずである。
【0032】
オペレーティング・システム114およびWWWブラウザ112のようなワールド・ワイド・ウェブをブラウズするためのプログラムなどの1つまたはそれ以上のアプリケーション・プログラム110を含む複数のプログラム・モジュールが、ドライブやRAM108に記憶されていてもよい。このようなプログラム・モジュールは、ハード・ディスク・ドライブ118に記憶されていて、実行のためにその一部または全部がRAM108にロードされてもよい。
【0033】
ユーザは、キーボード128およびマウス130のようなポインティング・デバイスで、コマンドや情報を入力できる。多の制御入力装置(図示されていない)には、マイクロフォン、ジョイスティック、ゲーム・パッド、衛星アンテナ、スキャナーなどが含まれる。これらや他の入力装置はしばしばシステム・バスに接続された入力/出力インタフェース120を通じて処理ユニット102に接続されるが、ゲーム・ポート、ユニバーサル・シリアル・バス、またはファイヤ・ポートなどの他のインタフェースによって接続することもできる。ディスプレイ・モニタ126または他のタイプのディスプレイ装置も、ビデオ・ディスプレイ・アダプタ116のようなインタフェースを介してシステム・バス105に接続される。モニタに加えて、パーソナル・コンピュータは通常、スピーカーやプリンタのような他の周辺出力装置(図示されていない)を含む。パーソナル・コンピュータ100はモニタ126にグラフィカル・ユーザ・インタフェースを表示することができてもよい。
【0034】
パーソナル・コンピュータ100は、1つまたはそれ以上の、ホスト・コンピュータ140のようなリモート・コンピュータに対する論理接続を使って、ネットワーク化された環境で動作してもよい。ホスト・コンピュータ140はサーバ、ルータ、ピア・デバイスまたは他の通常のネットワーク・ノードであればよく、そして通常パーソナル・コンピュータ100に関係するとされた要素の多くまたは全てを含む。LAN136はさらにインターネット138へのアクセスのためにインターネット・サービス・プロバイダ(ISP)に接続されていてもよい。このように、WWWブラウザ112は、LAN136、ISP134およびインターネット138を通してホスト・コンピュータ140に接続することができる。このようなワートワーキング環境は、オフィス、企業全体にわたるコンピュータ・ネットワーク、イントラネットおよびインターネットにおいてありふれている。
【0035】
LANネットワーク環境で使用されるとき、パーソナル・コンピュータ100はネットワーク・インタフェース・ユニット124を介してLAN136に接続される。WANネットワーク環境で使用されるとき、パーソナル・コンピュータ100は、通常、インターネット・サービス・プロバイダ134を通してインターネットに対する通信を確立するためのモデム132または他の手段を含む。モデム132は、内蔵または外置きのどちらでもよく、入力/出力インタフェース120を介してシステム・バス105に接続される。図示されているネットワーク接続は説明のためのものであり、コンピュータ間の通信リンクを確立するための他の手段も使用できることはわかるであろう。
【0036】
オペレーティング・システム114は入力/出力動作を含む上述したパーソナル・コンピュータ100の動作を全体的に制御する。この説明のための動作環境では、本発明はマイクロソフト社の「Windows NT」オペレーティング・システムおよびWWWブラウザ112と共に使われている。しかしながら、本発明は、マイクロソフト社の「Windows 3.1」、「Windows 95」、「Windows 98」および「Windows 2000」オペレーティング・システム、IBM社の「OS/2」および「AIX」オペレーティング・システム、サン・マイクロシステムズにより製造されるワークステーションに使用されるサンソフト社の「SOLARIS」オペレーティング・システム、アップルコンピュータ社により製造される「MACHINTOSH」コンピュータに使用されるオペレーティング・システムなどの他のオペレーティング・システムにおいて使用するために実現することもできる。同様に、本発明は、この分野の専門家に知られている他のWWWブラウザと共に使用するために実現することもできる。
【0037】
ホスト・コンピュータ140もインターネット138に接続され、上述したパーソナル・コンピュータ100に含まれるものと類似の構成要素を含んでもよい。さらに、ホスト・コンピュータ140は、WWWページを求める要求を受け取ったり、WWWサーバ142のような要求者に対してそのようなページを送ったりするアプリケーション・プログラムを実行してもよい。WWWサーバ142は、WWWブラウザ112からのWWWページ150または他の文書を求める要求を受け取ることができる。これらの要求に応じて、WWWサーバ142は、ハイパーテキスト・マークアップ・ラングウェッジ(「HTML」)またはイーエクステンシブル・マークアップ・ラングウェッジ(XML)のような他のマークアップ・ラングウェッジのファイルを含むWWWページ190をWWWブラウザ112に送信することができる。同様に、WWWサーバ142は、グラフィク・イメージまたはテキスト情報などの要求されたデータ・ファイル148をWWWブラウザ112に送信することもできる。WWWサーバ142はまたWWWブラウザ112に対して送信するためのWWWページ150を動的に生成するために、CGI、PERL、ASP、またはJSP(ジャバ・サーバ・ベージ)スクリプトなどのスクリプト144を実行することもできる。WWWサーバ142はまた、ジャバスクリプトで書かれたスクリプトのようなスクリプト144を、実行のために、WWWブラウザ122に送信することもできる。
【0038】
同様に、WWWサーバ142はサン・マイクロシステムズ社によって開発されたジャバ・プログラミング言語で書かれたプログラムを、実行のためにWWWブラウザ112に送信することもできる。WWWサーバ142はアパッシェまたはネットスケープ・ウェブサーバを走らせるUNIXプラットフォームを含むことができる。それとは別に、WWWサーバ142はインターネット・インフォメーション・サーバ(IIS)を含むことができる。本発明はこれらの列挙された例に限定されない。他のウェブ・サーバ環境も本発明の範囲を超えていない。
【0039】
以下により詳しく説明するように、本発明のいくつかの面は、スクリプト144のような、ホスト・コンピュータ142によって実行されるアプリケーション・プログラムで実現されることもできるし、ジャバ・アプリケーション146のような、コンピュータ100によって実行されるアプリケーション・プログラムで実現されることでもできる。この分野の専門家は、本発明のいくつかの面がスタンドアロンのアプリケーションで実現されることもできることを理解するであろう。
【0040】
代表的なコンピュータ・アーキテクチャ
図2を参照して、本発明の1つの代表的な実施の形態のためのコンピュータ・アーキテクチャを説明する。図2は、1つまたはそれ以上のデータ・ソースから集められた安全情報を管理するためのシステム20を示している。セキュリティ・システム20は、イベント・コレクタ24にリンクされたフュージョン・エンジン22を含むことができる。イベント・コレクタ24は、イベント・シンクすなわち複数のデータ・ソースから受け取ったイベントを論理的なやり方で整理することができる装置を含むことができる。イベント・コレクタ24のさらに詳しいことは、参照によりここに組み入れられている2001年4月27日に提出された米国特許出願第_______号「ネットワーク上でのセキュリティ・イベントを管理するシステムおよび方法」というタイトルの関係する出願(代理人整理番号05456−15005)に説明されている。
【0041】
セキュリティ管理システム20はさらに、同じくイベント・コレクタ24にリンクされているイベント・データベース26を含むことができる。セキュリティ管理システム20はまた、イベント・コレクタ24にリンクされたデータ・ソース28および同じくイベント・コレクタ24にリンクされたコンソール30を含むことができる。データベースからの情報は、殆どの場合、ランダム・アクセス・メモリ(RAM)のような高速のメモリ・デバイスを含むフュージョン・エンジン22にロードされる。未加工データとデータベースの比較は非常に迅速にかつ非常に効率的に行われなければならないからである。フュージョン・エンジン22において使われる大部分のメモリ資源はRAM(これ以後「キャッシュ」と呼ばれることもある)のような高速のメモリ・デバイスを含む。しかしながら、他のメモリ資源は本発明の範囲に含まれている。フュージョン・エンジン22のメモリ資源は、大量の情報をより高速で処理するように設計されなければならない。
【0042】
1つまたはそれ以上のデータ・ソース28は、多くのいろいろなハードウェアおよびソフトウェア・デバイスを含むことができる。例えば、データ・ソース28はネットワーク・ディテクタまたはホスト・ディテクタを含むことができる。同様に、データ・ソース28はまたファイヤ・ウォールまたは追跡記録システムも含むことができる。本発明は、図に示したタイプのデータ・ソースに限定されない。データ・ソース28の機能は、イベント・コレクタ24にいろいろなタイプの情報を提供することである。その情報がセキュリティ管理システム20により監視されているネットワーク、ホスト、または単一のコンピュータに関係しているかも知れないからである。他の類似のデータ・ソース28も本発明の範囲に含まれる。1つのデータ・ソース28は、データ・パケットの形のネットワーク・トラフィックを監視するホスト・ディテクタを含むことができる。もう1つのデータ・ソース28は、ネットワークまたはコンピュータの活動を監視しているユーザによって行われる観察を含むことができる。
【0043】
1つまたはそれ以上のデータ・ソース28は、それらの情報をイベント・コレクタ24に送る。イベント・コレクタ24は、1つまたはそれ以上のデータ・ソース28から受け取ったデータを記憶しそして収集するように設計された1つまたはそれ以上のプログラム・モジュールを含んでもよい。イベント・コレクタ24はそのデータを整理してイベント・データベース26に記憶する。イベント・コレクタ24はまたデータ・ソース28から受け取った情報を何でもフュージョン・エンジン22に転送する。侵入探知システムのディテクタ28は、予め決められたパターンを探して未加工のネットワーク・トラフィックまたはローカル・システム・イベントを細かく調べる。ディテクタが情報をこれらの予め定められたパターンと同じであるとみなしたら、ディテクタは未加工のイベントを発生する。このイベントは次にイベント・コレクタに送られ、さらにその後フュージョン・エンジン22に送られる。フュージョン・エンジンはイベント・コレクタ24から受け取った未加工のイベントすなわち情報を組み立てるすなわち「融合(フュージョン)」する。換言すると、フュージョン・エンジン22は、互いに関係がある未加工のコンピュータ・イベントの相関関係を調べる(それらの間の関係を明らかにする)ことにより整理された情報の提示を行うために、1つまたはそれ以上のデータ・ソース28から受け取った情報を整理し解析する。
【0044】
フュージョン・エンジン22が2つまたはそれ以上のイベントが互いに関係がある(「相関」イベントを形成している)と判断したら、フュージョン・エンジン22はメッセージを生成し、これらのメッセージをイベント・コレクタ24に送る。イベント・コレクタ24は今度はそのフュージョン・エンジン22により生成されたメッセージをコンソール30に送る。
【0045】
コンソール30は単独のパーソナル・コンピュータ上で動くプログラム・モジュールを含んでもよい。フュージョン・エンジン22はパーソナル・コンピュータ上で動く1つまたはそれ以上のプログラム・モジュールを含んでもよい。フュージョン・エンジン22、イベント・コレクタ24、およびイベント・データベース26は、これらのソフトウェア・コンポーネントの各々が1つのコンピュータ上にあることを表すために、四角形で囲まれている。しかしながら、本発明はこの構成に限定されない。そしてそれゆえに、フュージョン・エンジン22、イベント・コレクタ24、およびイベント・データベース26は、別々のコンピュータ装置に在ってもよい。図示されているソフトウェア・コンポーネントの他の組合せも実現できる。逆に言えば、イベント・コレクタ24とイベント・データベース26は1つのハードウェア・デバイスは1つのハードウェア装置上に存在することができるが、フュージョン・エンジン22は別のハードウェア装置上に存在する。この分野の専門家は、開示されるソフトウェアのアーキテクチャは図面に示されているアーキテクチャに限定されないことを理解するであろう。
【0046】
次に図3を参照すると、本発明の別の代表的なソフトウェア・アーキテクチャを示す機能ブロック図が示されている。図3では、フュージョン・エンジンのプログラム・モジュール22とディテクタ・モジュール28のようなデータ・ソースが、単一のマシンに在ることができる。すなわちディテクタ28の高速のIDS機能は、コンピュータのカーネルの近くに常駐することができるが、フュージョン・エンジン22はコンピュータのユーザ・モード部に常駐することができる。このように、さらに加わったフュージョン・エンジン22の処理は、ディテクタ24によって行われる高速の侵入探知システムの機能の速度を低下させないであろう。
【0047】
次に図4を参照して、この図は、本発明のための代表的なソフトウェアおよびハードウェア・アーキテクチャのもう1つの機能ブロック線図を示す。この1つの例としての実施の形態においては、ディテクタを含むデータ・ソース28は、高速侵入探知システムの機能が果たされ得るように、検出基板または検出チップのようなハードウェア・デバイスの形で実現され得るであろう。この説明のための実施の形態では、フュージョン・エンジン22は単にソフトウェア中にプログラム・モジュールとして常駐することができるであろう。図4は、高速データ・ストリームに対するアクセスを必要とするデータ・ソース28は、ネットワークの処理速度が、著しいインタープリテーションまたは遅延またはその両方無しに、達成され得るように、フュージョン・エンジン22から切り離され得ることを示している。
【0048】
次に図5Aを参照して、この図は、コンピュータのインシデンス・ソース500についての情報をやはりフュージョン・エンジン22に接続されているイベント・コレクタ24に供給するセキュリティ情報のデータ・ソース28の機能ブロック図を示す。図5Aはさらに、多数のデータ・ソース28、ユーザ・ワークステーション520、コンピュータ・インシデンス・ソース500の対象であるサーバ530、内部ルータ540、およびサーバ550を含んでもよいネットワーク510を示している。ネットワーク510は外部ルータ580およびファイヤ・ウォール28によってインターネット590に接続されている。ファイヤ・ウォール28はバスチョン・ホストまたは類似の装置を含むことができる。ファイヤ・ウォール28はまた、その内部スクリーニング・ルータ540に入出する全てのパケットのデータを調べるかもしれない内部スクリーニング・ルータ540に接続されることもできる。ユーザ・ワークステーション520は、サーバ530,550にアクセスするスタンドアロンのパーソナル・コンピュータであってもよい。
【0049】
コンピュータ・インシデント・ソース500は、ネットワーク510およびより具体的にはサーバ530(攻撃されたホスト)に対する攻撃を発するコンピュータまたはコンピュータのネットワークであってもよい。コンピュータ・インシデント・ソース500はローカル・エリア・ネットワークのサーバ560に接続されてもよい。または、サーバ560の代わりに、コンピュータ・インシデント・ソース500は、ダイヤル−イン・インターネット・サービス・プロバイダ(ISP)またはインターネットに接続されたどのコンピュータに接続されることもできる。サーバ560またはISP(またはインターネットに接続された他のコンピュータ)は次にルータ570に接続され得る。ルータ570はインターネット590のような分散コンピュータ・ネットワークに対するアクセスを提供する。
【0050】
コンピュータ・インシデント・ソース500はネットワーク510の外にあってもよいが、ネットワーク510の内部にあることも可能である。すなわち、コンピュータ・インシデント・ソース500はネットワーク510の内部にあるユーザ・ワークステーション520であってもよい。例えば、社内に不満をいだく社員がいる場合には、ユーザ・ワークステーション520は、その社員がネットワーク510または1つまたはそれ以上の他のワークステーション520の動作を妨害する決心をするとき、コンピュータ・インシデント・ソース500として使われ得る。
【0051】
データ・ソース28の各々は、破線により示される、イベント・コレクタ24に入るデータ・ラインを持つ。しかしながら、この破線のデータは実際の物理ラインを含むこともできる。しかしながら、これらのデータ・ラインは、データ・ソースの各々が操作によりイベント・コレクタ24が操作によりイベント・コレクタ24にリンクされることを示す目的のためである。また、イベント・コレクタ24は、コンピュータ・インシデント・ソース500からの直接の攻撃に対して脆弱でないように、ネットワーク510内に存在することができる。図5内でのイベント・コレクタ24の配置は、イベント・コレクタ24の収集機能を説明する。図5は、このようなシステムを支援するために実現されるであろう実際の物理アーキテクチャというよりむしろセキュリティ情報を管理するためのシステムの基本的な概念を示している。
【0052】
フュージョン・エンジンによって処理されるデータの説明例
次に図5Bを参照する。この図は、侵入探知システムのディテクタにより発生される代表的な生イベント505である。生イベント505は、送信源のインターネット・プロトコル・アドレス515、宛先のインターネット・プロトコル・アドレス515、優先度535、ディテクタにより指定された脆弱性545、イベント・タイプ・パラメータ555、およびタイムスタンプ565を含む。以下にさらに詳しく説明されるであろうように、侵入探知システムのディテクタによって指定される優先度535は、本質的に通常は非常に控えめである。すなわち、ディテクタは情報を非常に素早く処理しなけれならないので、複雑なアルゴリズムを走らせることも、あるコンピュータの生イベントの危険性を確認するためのテストを行うこともできない。したがって、ディテクタにより発生される多くの生イベントの優先度55は、生イベントの実際の優先度に比べて非常に高いであろう。
【0053】
次に図5Cを参照する。この図はCoBRA(Context Based Risk Adjustment: コンテキスト・ベースの危険度の調整)により処理された生イベントを示す説明図である。CoBRAにより処理された生イベント502は通常は先にディテクタにより指定された生イベントのパラメータの全てと、さらにCoBRAにより指定されるパラメータを含む。CoBRAにより指定されたパラメータは、次のどれでも含むことができる。すなわち、CoBRAにより指定された脆弱性値504、CoBRAにより指定されたヒストリカル頻度506、CoBRAにより指定されたソース・ゾーン値508、CoBRAにより指定されたデスティネーション・ゾーン値510、CoBRAにより指定されたセンサ・ゾーン値512、CoBRAにより指定されたオリジナル優先度514、および生イベントの優先度が調整された理由を含む優先度変更理由516テキスト列(調整された場合)。これらのCoBRAにより指定される値は、この後で図11および図12に関してさらに詳しく説明されであろう。
【0054】
フュージョン・エンジンにより処理される生および相関イベントの例
次に図5Dを参照する。この図は代表例的な、攻撃されたホストからの攻撃(Attack From Attacked Host: AFAH)コンピュータ・セキュリティの脅威を示す機能ブロック図である。図5は、インターネット・プロコトル・アドレス2.2.2.2.を持つホスト(攻撃されたホスト)に攻撃を送るインターネット・プロコトル・アドレス1.1.1.1.を持つコンピュータ・インシデント・ソース503を示す。コンピュータ・インシデント・ソース503と攻撃を受けたホストの間の攻撃は、生コンピュータ・イベントIとして特徴づけられることができる。攻撃を受けた後、攻撃を受けたホスト505は次にインターネット・プロコトル・アドレス3.3.3.3.を持つ第2のホスト507に別の攻撃を送る。コンピュータ・インシデント・ソース503と攻撃を受けたホストの間の攻撃は、生コンピュータ・イベントIとして特徴づけられるであろう。攻撃を受けた後、攻撃を受けたホスト505は次にインターネット・プロコトル・アドレス3.3.3.3.を持つ第2のホスト507に別の攻撃を送る。攻撃を受けたホスト505と第2のホスト507の間の攻撃は、第2の生コンピュータ・イベントIIとして特徴づけられるであろう。第2のホスト507はインターネット・プロコトル・アドレス4.4.4.4.を持つ第3のホスト509に対する攻撃を発生する。第2のホスト507と第3のホスト509の間の攻撃は、第3の生コンピュータ・イベントIIIとして特徴づけられるであろう。
【0055】
生イベントI,II,IIIを処理した後、フュージョン・エンジン22はそれぞれの生イベントの間の関係を見つけるであろう。したがって、図3に示される生イベントを処理した後、フュージョン・エンジンは、第1と第2の生イベントIおよびIIに対応する成熟相関イベント511を発生するかも知れない。フュージョン・エンジン22は、第2と第3の生イベントIIおよびIIIの間の関係を特定する第2の成熟相関イベント511を発生するかもしれない。第1および第2の成熟相関イベント511および513を発生するためにフュージョン・エンジン22によって行われる処理のさらにいっそうの詳細は、以下に図7および図14に関してさらに詳しく説明されるであろう。
【0056】
次に図5Eを参照する。この図は、図15にもとづく1例の相関イベントのあり得るデータを示す説明図である。図5Eに示される相関イベント511は、2組のリストを含むであろう。第1のリストは、攻撃を受けたホスト505に関係する入ってくる攻撃および攻撃を受けたホスト505に関係する出ていく攻撃を示すかもしれない。第1の例の相関イベント511のより詳しいことは、図7および図14に関して以下にさらに詳しく説明されるであろう。
【0057】
次に図5Fを参照する。この図は、図15に示されている第2の例の相関イベント513の考えられ得るデータを示す説明図である。第2の相関イベント513も2つのリスト、すなわち第2のホスト507に関係する入ってくる攻撃を示する第1のリストと第2のホスト507に関係する出ていく攻撃を示す第2のリスト、から成る。第2の例の相関イベント511のより詳しいことは、図7および図14に関して以下にさらに詳しく説明されるであろう。
【0058】
図5Dから5Fにより説明されている攻撃を受けたホストからの攻撃というコンピュータ・セキュリティに対する脅威の例は、フュージョン・エンジン22で解析できる考え得るコンピュータ・セキュリティに対する脅威の1例にすぎない。上および以下に説明されるように、他のタイプのコンピュータ・セキュリティに対する脅威も本発明の範囲を逸脱しない。1つの例としての実施の形態では、フュージョン・エンジンは少なくとも20の異なるタイプの可能性のある相関イベントを追跡するかもしれない。この分野に熟練した人々は、本発明が図5Dに示される説明のための相関イベントに限定されないこと、そしてより少ないまたはより多い相関イベントが、本発明の範囲と趣旨から逸脱することなく、本発明によって利用され得ることを理解するであろう。
【0059】
説明のためのフュージョン・エンジンのソフトウェア・コンポーネント
図6は、図2に示されているフュージョン・エンジン22の幾つかの構成要素を示す機能ブロック図である。基本的には、図6はフュージョン・エンジン22のアーキテクチャを作り上げている複数のソフトウェア・コンポーネントのうちの幾つかを示している。
【0060】
この本発明は、ここに説明され機能を具現化し、また添付されたフローチャートに示されているコンピュータ・プログラムを含む。しかしながら、本発明のコンピュータ・プログラムによる実現には多くの異なるやり方があり得ること、また本発明はどれか1組のコンピュータ・プログラム命令に限定された形で構成されるべきでないことは理解されるであろう。さらに、熟練したプログラマは、例えばこの出願書中のフローチャートや関連した説明に基づいて、開示された発明を実現するためのプログラムを困難なしに書くことができるであろう。したがって、ある特定の1組のプログラム・コード命令による開示は、本発明の実現の仕方および使い方の十分な理解のために必要であるとは考えられない。特許請求されているコンピュータ・プログラムの発明をなす機能は、プログラムのフローを示す残りの図と共に下記の説明において、より詳しく説明されるであろう。
【0061】
1つの例としての実施の形態では、フュージョン・エンジン22はオブジェクト指向のプログラムで実現される。したがって、図6に示されるソフトウェア・コンポーネントの幾つかは、それぞれのソフトウェア・オブジェクトに関係するデータおよびコードの両方を持ち得る。しかしながら、各ソフトウェア・オブジェクトの一般的な機能は、熟練したプログラマが、そのソフトウェア・オブジェクトの開示された機能を実現するためのコンピュータ・プログラムを書くことができるであろうように、一般的に説明されている。
【0062】
フュージョン・エンジン22は幾つかのソフトウェア・コンポーネントを含むことができる。図6に示されている説明のための実施の形態では、フュージョン・エンジン22はイベント収集部24からの生のコンピュータ・イベント情報を受け取るイベント読取り部600を含んでもよい。イベント読取り部600は、分類部615に動作によりリンクされる。分類部615はイベント読取り部600から受け取った生イベントの情報を整理する。換言すれば、分類部615は各生イベントに含まれるイベント・タイプ・プロパティに従って生イベント情報を仕分けすることにより生イベント情報を分類する。各生イベントのイベント・タイプ・プロパティは通常は侵入探知システム内のディテクタによって生成される。
【0063】
分類部615は、CoBRAプロセッサ625および1つまたはそれ以上の相関ルール620に対して生のイベント情報を送る責任を持つこともできる。1つまたはそれ以上の相関ルール620は、セキュリティに係わる出来事が発生しつつある可能性があるかどうかテストし判断するためのアルゴリズムを含むことができる。相関ルールは分類部から受け取った生のイベント情報を追跡し、その生のイベント情報を相関イベント高速メモリ665に記憶する。相関イベント高速メモリ665は、情報を記憶するためのランダム・アクセス・メモリ(RAM)から構成されてもよい。しかしながら、本発明はRAMタイプのメモリに限定されない。他の高速メモリ・デバイスも本発明の範囲を逸脱しない。分類部615は、メモリイベント分類データベース635に基づいて創設されることができる。分類部615は、フュージョン・エンジン22の初期化時にイベント分類データが生イベント分類データベース635から分類部615に読み込まれるときに生成されることができる。
【0064】
CoBRAプロセッサ625は、生のコンピュータ・イベントの状況に基づくリスク調整のためのアルゴリズムまたはソフトウェア・コンポーネントを含んでもよい。CoBRAプロセッサ625は、生のコンピュータ・イベントを、状況または知識ベースのデータベース630内に含まれているデータと比較することにより、生のコンピュータ・イベントの優先値を調整することができる。生イベントの優先順位は、通常は、その生イベント・データをフュージョン・エンジン22に転送する前に、侵入探知システムのディテクタによって設定される。生のコンピュータ・イベントを処理した後、フュージョン・エンジン22は、セキュリティ・イベントが発生しつつあるかどうかを、イベント・コレクタ24に知らせることができる。フュージョン・エンジン22は、通常は、1つまたはそれ以上の相関イベントをフォーマットし、イベント・リポータ660を介してイベント・コレクタに送る。上で述べたように、相関イベントは、フュージョン・エンジン22によって決められて互いに関係づけられた1つまたはそれ以上のコンピュータ・イベントを含んでもよい。
【0065】
フュージョン・エンジン22はさらに、フュージョン・エンジン22のためのメモリ資源を浪費しないためのメモリ管理デバイスを含んでもよい。例えば、1つの例としての実施の形態では、フュージョン・エンジン22は、メモリ管理リスト640、生イベント追跡インデックス645および成熟イベント・リスト650を含んでもよい。メモリ管理リスト640は通常は生イベント追跡インデックス645にリンクされる。メモリ管理リスト640、生イベント追跡インデックス645および成熟イベント・リスト650に関する機能のさらに詳しいことは、図6に示されるソフトウェア・コンポーネントの簡潔な処理の説明において以下に説明されるであろう。
【0066】
図6のための説明のためのオブジェクト指向アーキテクチャ
1つの例としての実施の形態における、ソフトウェア・オブジェクトとして実現できる、フュージョン・エンジン22のソフトウェア・コンポーネントの1つは、イベント・リーダ600である。イベント・リーダ600は、イベント・コレクタ24またはイベント・ログ・ファイル610から生のコンピュータ・イベントを受け取ることができる。イベント・リーダ600は、侵入探知システムからのコンピュータ・イベント・データを記憶するための、コンマで値(Comma Separated Value: CSV)を分けたフォーマットを持つファイルを含むことができる。イベント・リーダ600は、通常は、生のコンピュータ・イベント、すなわち1つまたはそれ以上のコンピュータに対する攻撃である可能性があるものとして侵入探知システムによって追跡され得るかも知れないすべてのコンピュータ活動であり得る生のイベントを読み込む。このイベント・リーダは通常フュージョン・エンジン22上で他のソフトウェア・コンポーネントによって処理される生イベント・データ・オブジェクトを生成する。
【0067】
1つの例としての実施の形態では、1つまたはそれ以上のイベント・タイプ・オブジェクトを含んでもよいイベント・リーダ600は分類部615にリンクされることができる。分類部615はイベント・リーダ600によって生成された生イベントのオブジェクトを受け取る。分類部615は各生イベント・オブジェクトを、それに対応する、特定のイベント・タイプのパラメータ555に対して設定されているイベント・タイプのオブジェクトに関係づける。換言すれば、分類部は、生イベントのタイプに従って、生イベント・オブジェクトをイベント・タイプ・オブジェクトに指定する。イベント・リーダ600によって受け取られる各生イベントは、その生イベントを生成した侵入探知システムに基づいてタイプまたはカテゴリを指定される。
【0068】
分類部615の1つの機能は、生イベントの各々を分類またはクラス分けし、そしてそれの生イベント・オブジェクトを、それらのタイプに基づいて特定の相関ルール620に送ることである。相関ルール620は、分類部615から生イベントを受け取るソフトウェア・オブジェクトの形をとることもできる。
【0069】
分類部615は、コンテキスト・ベースド・リスク・アジャストメント(CoBRA)プロセッサ625に生イベント・オブジェクトを送ることもできる。CoBRAプロセッサは、生イベント・オブジェクトの優先度パラメータを調整することができるリスク評価の仕組みである。CoBRAプロセッサ625は、受け取った生イベント・オブジェクトの各々に対して状況に基づくリスク調整を行うために、状況または知識ベースのデータベース630にアクセスする。基本的には、CoBRAプロセッサは、攻撃の発源に加えて攻撃の宛先インターネット・プロトコル・アドレスのような環境因子との組合せでイベント・タイプ・パラメータ555を評価することにより、生コンピュータ・イベントのリスクを判断する。
【0070】
状況または知識ベースのデータベース630は、ネットワーク内のマシンに指定されている脆弱性、ヒストリカル・イベント頻度値およびネットワーク・ゾーン設定を含むことができる。脆弱性は、攻撃に対するネットワークまたは単一のコンピュータの強さすなわち抵抗力を判断するためにフュージョン・エンジン22の外部のデバイスにより行われる脆弱性スキャンの結果であってもよい。ヒストリカル・イベント頻度値は、署名すなわち非常に長い時間の間に発生したコンピュータ攻撃にデータを含むことができる。ネットワーク・ゾーンの定義は、ネットワークのある部分においてアクセスできるかも知れない情報の量と質に基づいてネットワークの各部分に付けられた値を含むことができる。例えば、以下に説明されるであろうように、内部、外部、および非武装化されたゾーンを区別することは役に立つ。
【0071】
フュージョン・エンジン22はさらに、分類部615を形成する異なるイベント・タイプのオブジェクトを生成する責任を持つことができる生イベント分類データベース635を含むことができる。生イベント分類データベース635は1つまたはそれ以上のセキュリティ情報の表を含むことができる。これらの表は、ディテクタによって付けられた、生イベントのタイプ・パラメータ555に関係する情報を含むことができる。生イベント分類データベース635は、生イベントを、標的にされたホストに対する衝撃(秘密保持性、完全性または利用可能性)、それらの範囲(ネットワーク、ホストまたはサービス)、およびそれらが用いる方法(裏口侵入、隠れ蓑、その他)に基づいて、生イベントを分類することができる。秘密保持性イベントは、攻撃者がホストからまたはホストについての情報を得ようと試みていることを示すイベントであり得る。完全性イベントは、攻撃者がホスト上のデータを変えようとしている、もしかすると許可されないアクセスをしようとしていることを示すイベントであり得る。
【0072】
利用可能性イベントは、攻撃者が、例えばホストをクラッシュさせることによって、サービスの拒否を引き起こそうと試みていることを示すイベントであり得る。上記の一般的な基準に加えて、特定の相関イベントを見つけ出すのに役に立つ特別の基準が、イベントを分類するための基礎の役目を果たす。例えば、サービスの拒絶の試みの成功を確認するイベントは、成功したと信じられているサービス拒否攻撃を識別する相関ルール620によって使われるカテゴリにまとめられる。しかしながら、生イベント分類データベース635は、これらのカテゴリまたはパラメータに限定されない。さらに生イベントを定める他のカテゴリやパラメータも、本発明の範囲を逸脱しない。
【0073】
フュージョン・エンジン22はさらにメモリ管理リスト640、生イベント追跡インデックス645、および成熟イベント・リスト650を含むことができる。メモリ管理リスト640は、フュージョン・エンジン22が、メモリ資源が予め決められた閾値を越えたとき(すなわち、メモリ資源が少なくなったとき)最も古い生イベントを消去または削除することにより、そのメモリ資源を管理することを可能にする。メモリ管理リスト640は、メモリ資源が少なくなったとき最も古いと考えられる生イベントを削除するソフトウェア・オブジェクトとして実現することができる。メモリ管理リスト640に関係づけられているのは、同じくもう1つのソフトウェア・オブジェクトとして実現できる生イベント追跡インデックス645である。生イベント追跡インデックス645は、ある特定の生イベントブジェクトを含むかもしれないソフトウェア・オブジェクトを特定することができる。すなわち、生イベント追跡インデックスは、今や古くなってフュージョン・エンジン22から削除されるべき生イベントを記憶しているかも知れないソフトウェア・オブジェクトを示す。
【0074】
メモリ管理リスト640と生イベント追跡インデックス645には、メモリ管理リスト640から除去されるべきでない活動パターンすなわち実際のコンピュータ脅威と認定された生イベントを追跡する成熟相関イベント・リスト650が関係づけられる。換言すれば、成熟相関イベント・リストは、成熟相関イベントすなわち実際のコンピュータ・セキュリティ脅威の一部であると見なされているのでフュージョン・エンジン22から削除されるべきでない生イベントを示している。
【0075】
フュージョン・エンジン22はさらに、各ソフトウェア・オブジェクトの間のデータ・フローの責任を持つコントローラ655を含んでもよい。換言すれば、コントローラ655は、それより下位のレベルのソフトウェア・オブジェクトの間のデータ・フローを制御するハイ・レベルのソフトウェア・オブジェクトとして実現できる。
【0076】
フュージョン・エンジン22はさらに、説明のためのそして好ましいオブジェクト指向プログラミング環境におけるソフトウェア・オブジェクトとして実現されることもできるイベント・リーダ600を含んでもよい。イベント・リーダ600は、イベント・コレクタ24に回送される成熟相関イベントを受け取る1つのソフトウェア・オブジェクトであってもよい。成熟相関イベントは、互いに関係づけられた1つまたはそれ以上の生イベントを含むことができる。なぜなら、その1つまたはそれ以上の生イベントが実際のコンピュータ・セキュリティ脅威である可能性があるからである。
【0077】
セキュリティ情報を管理するためのコンピュータにより実現されたプロセス
次に図7を参照する。この図は、1つまたはそれ以上のデータ・ソースから収集されたセキュリティ情報を管理するためのコンピュータにより実現されたプロセスの説明のための論理流れ図を示す。より具体的には、図7に示されている論理流れ図は、1つまたはそれ以上のコンソールに整理された情報の提示を行うために、複数のデータ・ソースから受け取ったセキュリティ情報を融合するすなわち組み合わせてそのセキュリティ情報を分析するためのコンピュータにより実現されたプロセスを示す。図7に説明される論理の流れは、フュージョン・エンジン22の最高レベルの処理ループの核心の論理であり、フュージョン・エンジン22が動作しているかぎりそれ自体繰り返し実行される。
【0078】
図7に示される論理流れ図は、図6に示されるソフトウェア・コンポーネントのうちの幾つかの初期化の後に発生するプロセスを示す。すなわち、本発明の説明のためのオブジェクト指向プログラミング・アーキテクチャにおいては、図7に示されるステップを実行するために必要とされるソフトウェア・コンポーネントすなわちソフトウェア・オブジェクトの幾つかが、図7によって説明されるプロセスの前に初期化されるかまたは生成される。したがって、この分野の通常の専門家は、図6に示されるソフトウェア・オブジェクトの初期化に関係する幾つかのステップが示されていないことがわかるであろう。例えば、上に説明したように、分類部615を含むソフトウェア・コンポーネントすなわちソフトウェア・オブジェクトは、フュージョン・エンジン22の初期化の後に設立される。
【0079】
フュージョン・エンジン22の初期化中に、分類部615は、生イベント分類データベース635から情報を読み込むことにより構築される。分類部615はフュージョン・エンジン22によって処理されることができる生イベントのタイプに対応するイベント・タイプ・オブジェクトの包括的なリスト、および生イベント分類データベース635に定義されている各イベント・カテゴリのための別個のイベント・タイプ・オブジェクトのリストを含んでもよい。各別個のイベント・タイプ・リストは、生イベント分類データベース635によって、1つのカテゴリに属するものとして定義される1組の生イベントのタイプを構成する、包括的なイベント・タイプ・リストのサブセットを含むことができる。図6に示されるいろいろなソフトウェア・コンポーネントの初期化は具体的に説明されていないが、熟練したプログラマは、この出願におけるソフトウェア・アーキテクチャの下記のフローチャートおよび関連する説明に基づいて、困難なく、開示された発明を実現するためにこのようなコンピュータ・プログラムを書くことができるであろう。
【0080】
以下に説明されるプロセス中のあるステップは、説明されるように機能するためには、本発明の他のものよりも本来的に先に実行されなければならない。しかしながら、本発明は、このような順番または順序が本発明の機能を変えないならば、説明されているステップの順番に制限されない。すなわち、いくつかのステップは、本発明の範囲と趣旨から逸脱することなく、他のステップの前または後に実施されてもよいことが、理解されるであろう。
【0081】
再び図7を参照する。この図は、コンピュータ・セキュリティ管理プロセスの最高レベルの処理ループの中核なす論理の概観を与える。判断ステップを705において、フュージョン・エンジン22によって処理されるべき生イベントがあるかどうかが判断される。上述したように、生イベントは、侵入探知システムのディテクタから報告されるコンピュータ・イベントを含んでもよい。侵入探知システムによって識別された生のコンピュータ・イベントは、いろいろなパラメータを含んでもよい。例えば、1つの例としての実施の形態では、各生イベントは、送信源のインターネット・プロトコル・アドレス、宛先のインターネット・プロトコル・アドレス、報告されているコンピュータ・イベントのタイプ、優先度、脆弱性およびタイムスタンプを含んでもよい。
【0082】
問い合わせて判断するステップ705が否定ならば、プロセスがステップ785に進む「ノー」枝が辿られる。問い合わせて判断するステップ705が肯定のときは、「イエス」枝が辿られてステップ710に進み、そこで生のコンピュータ・イベントまたはイベント情報がデータ・ソースから引き出される。データ・ソースは、図8に示されるように、イベント・データベース26、イベント・ログ・ファイル610、またはイベント・コレクタ24の少なくとも1つを含んでもよい。
【0083】
図8を一時的に参照する。この図は、図6に示されているいろいろなソフトウェア・コンポーネントの間の情報の交換を示すデータ・フロー図である。図8のこのデータ・フロー図は、図7に示されているステップと並行している。例えば、データ・ソースからイベント情報を引き出すためのステップ710が図8に示されているが、図8では説明のためのオブジェクト指向ソフトウェア・アーキテクチャ中のイベント・リーダ・オブジェクト600がイベント情報を読み込む。図8の参照は、図7の詳細な説明を全体を通してなされるであろう。
【0084】
再び図7を参照すると、ステップ710の後そしてステップ715において、イベント情報すなわち生イベントは、生イベントと呼ばれる所定のフォーマットに整理される。換言すれば、説明のためのオブジェクト指向プログラミング環境において、イベント・リーダ・オブジェクト600は、イベント・データベース26、イベント・コレクタ24、およびイベント・ログ・ファイル610のようなデータ・ソースの1つから生イベントを受け取ったとき、各生イベントに対してソフトウェア・オブジェクトを生成することができる。イベント・リーダ600は、コントローラ655から受け取ったコマンドに応じて生イベント・オブジェクトを生成する。換言すれば、コントローラ655が、イベント・リーダ600に、データ・ソースの各々から生イベントを引き出すように要求する。
【0085】
ステップ715の後、ルーチン720において、各生イベントからのイベント・タイプが確認され、各生イベントはイベント・タイプ・リストの中の対応するイベント・タイプ・オブジェクトに割り当てられる。換言すれば、説明のためのオブジェクト指向ソフトウェア・アーキテクチャにおいて、イベント・リーダ600によって生成される各生イベントのオブジェクトは、クラシファイヤ615内に存る対応するイベント・タイプ・オブジェクトに送られる。ルーチン720のさらに詳しいことは、図9を参照して説明されるであろう。
【0086】
次に、判断ステップ725において、コンテキスト・ベース・リスク調整プロセス(CoBRA)625が起動されているかいないかを断定する。換言すれば、ユーザは、各生イベント内にある優先度情報のどれをも調整しないように決めることができる。上で説明したように、侵入探知システム内のディテクタによって生成された各生イベントは、そのイベントの優先度に設定されたパラメータを含む。すなわち、侵入探知システムのディテクタは、生イベントに付随しているかもしれない危険または起こり得る被害を評価するために、コンピュータ・イベントに相対値を付ける。例えば、ネットワークに対する分散された攻撃は、単一のマシンまたはコンピュータに対するコンピュータ攻撃に比べて、より高い優先順位を与えられるようにすることができる。
【0087】
問い合わせて判断するステップ725が否定のときは、「ノー」枝が辿られてルーチン740に進む。問い合わせて判断するステップ725が肯定のときは、「イエス」枝が辿られてステップ730に進み、そこで生イベントのパラメータが状況または知識ベースのデータベース630中の情報と比較される。またこのルーチンの中で、コンテキスト・データベース630中に在るコンテキスト情報に基づいて、各生イベントにコンテキスト・パラメータが付けられる。しばらく図8を参照すると、イベント・タイプ・オブジェクトを含むクラシファイヤ615は、CoBRA処理オブジェクトまたはCoBRAプロセッサ625に各生イベントを回送する。ルーチン730において、CoBRAプロセッサ625は、生イベントの環境または周辺条件に関係するコンテキスト・パラメータを付けることができる。
【0088】
ルーチン730に続いて、ルーチン735の中で、各生イベントの優先順位は、CoBRAにより与えられたコンテキスト・パラメータまたはディテクタにより与えられたタイプ・パラメータまたはその両方に基づいて調整されるようにすることもできるし、元の順位がそのまま残されるようにすることもできる。基本的にはルーチン730および735は、CoBRAプロセッサ625の説明のためのアルゴリズムや方法を含むことができる。ルーチン730および735のさらに詳しいことは、図10,11および12に関して以下に説明されるであろう。
【0089】
次に、ステップ737において、CoBRAによって処理された生イベント、または処理されなかった生イベントは、イベント・コレクタ24のような、出力デバイスに送られることができる。イベント・コレクタ24は次に通常CoBRAにより処理された生イベントまたは処理されない生イベントを、イベント・データベース26に記憶し、そして次にそのイベントをコンソール30に回送する。以下の説明から明らかになるであろうように、コンソール30には、処理されていない生イベント、CoBRAにより処理された生イベント、および相関イベントが供給される。すべてのこのようなイベントはフュージョン・エンジン22によって処理されることができ、そしてユーザに対して表示されることができるようにイベント・コレクタ24に送られる。1つの生イベントがイベント・コレクタ24によってデータ・ソース28から受け取られたとき、イベント・コレクタはまずその生イベントをフュージョン・エンジン22に送ることが注意される。しかしながら、もし所定時間後にフュージョン・エンジン22が応答しない場合は、イベント・コレクタ24はそのイベントをイベント・データベース26に記憶し、それから処理されていない(フュージョン・エンジン22によって処理されていない)生イベントをコンソール30に送るであろう。
【0090】
ルーチン740において、生イベントは、ディテクタ28によって付けられたイベント・タイプに基づいて、相関ルール620と結合される。このルーチンでは、イベント・タイプ・オブジェクトを含むクラシファイヤ615は、どの相関ルール(1つまたはそれ以上の)620がそのイベント・タイプ・パラメータ555に基づいてその生イベントを処理すべきかを判断する。ルーチン740のさらに詳しいことは、図13に関して以下に説明されるであろう。
【0091】
判断ステップ745において、生イベントに合致するルールが存在する場合には、その相関ルールに関係づけられた相関イベントが存在するかどうか判断が下される。図7では単一のプロセス・フローとして表わされているけれども、ステップ745から780は、実際には、生イベントと関係づけられた各相関ルール620に対して独立に行われる。基本的には、判断ステップ745において、相関ルール・オブジェクトまたは相関ルール620が、処理されつつある現在の生イベントに対して相関イベント・オブジェクトが生成されたかどうか判断する。図8に示されるように、相関ルール・オブジェクトまたは相関ルール620は、相関ルール・オブジェクトまたは相関ルール620は、相関イベント・キャシュまたは相関イベント高速メモリ665を調べて、処理されつつある現在の生イベントのための相関イベントが生成されたかどうか判断する。上で説明したように、相関イベント(またはオブジェクト指向ソフトウェア・アーキテクチャでは相関イベント・オブジェクト)は、単一のより高レベルのイベントを形成するために一緒にまとめられる複数の生イベントを含むことができる。
【0092】
ステップ745のために、各相関イベントは、相関イベント・キャシュ665内の相関イベント・タイプの領域中にその相関イベントの索引を作るために使用される、アンカのインターネット・プロトコル(IP)アドレスを持つ。このアンカIPアドレスは、その相関イベントのタイプに依って、その相関イベント内の1つまたはそれ以上の生イベントの送信元IPアドレスまたは宛先IPアドレスであろう。例えば、攻撃を受けたホストからの攻撃イベントのIPアドレスは、攻撃を受けたホストのIPアドレスである。これは外来する攻撃の宛先アドレスおよび出ていくアドレスの送信元アドレスである。攻撃を受けたホストからの攻撃イベントに対する相関ルールは、それに対する生イベントが外来攻撃であるであろう相関イベントを引き出すことを試みるときの相関イベント探索キーとして、外来する生イベントの宛先IPアドレスを使う。AFAH相関ルールは、それに対する生イベントが出ていく攻撃であるであろう相関イベントを引き出すことを試みるときの相関イベント探索キーとして、生イベントの送信元IPアドレスを使う。
【0093】
問い合わせて判断するステップ745が肯定のときは、ステップ760に向かって「イエス」枝が辿られる。問い合わせて判断するステップ745が否定のときは、ステップ750に向かって「ノー」枝が辿られ、そこで現在の相関ルールと結合された、予め決められたタイプの相関イベントが生成される。すなわち、この説明のためのオブジェクト指向ソフトウェア・アーキテクチャでは、生イベントの結合された相関ルール620の処理の中のこの点において、1つまたはそれ以上の相関イベント・オブジェクトが生成され得る。
【0094】
次に、ステップ755において、この相関イベントは高速メモリ・デバイス665に記憶される。この説明のための実施の形態の高速メモリ・デバイスは、ランダム・アクセス・メモリ(RAM)を含むことができる。しかしながら、他の高速メモリ・デバイスも本発明の範囲を逸脱しない。現在のネットワークの処理速度と対応する情報量のために、生情報の迅速な処理を可能にするためRAMのような高速メモリ・デバイスを使用することが必要である。
【0095】
ステップ760において、生イベントは、生イベントのタイプに基づいて、対応する相関イベント(ステップ750において生成されたばかりのものか、またはステップ745において相関イベント・キャシュ665から引き出されたものどちらでもよい)と結合される。換言すれば、説明のためのオブジェクト指向ソフトウェア・アーキテクチャ中のこのステップにおいて、各相関ルール・オブジェクトは、そのタイプに基づいて、生イベントを格納する。生イベントを相関イベントと結合することに加えて、生イベント追跡インデックス645が、その生イベントは相関イベントと結合されていることを示すために更新される。
【0096】
次に判断ステップ765において、処理されている現在の相関イベントがすでに成熟しているかどうかが判断される。通常は、成熟しているためには、その特定のタイプの相関イベントに対して決められた成熟性の基準を満たす2つまたはそれ以上の生イベントを含むことができる。相関イベントの各タイプに対する成熟性の基準は、2つまたはそれ以上の生イベントの発生が、起こりそうなセキュリティ事件が起こりつつあることを示す条件を明らかにするために規定されている。ステップ765では、この相関イベントは、先行生イベントの処理の結果としてすでに成熟していると見なされているかどか決めるために調べられている。
【0097】
問い合わせて判断するステップ765が肯定のときは、ステップ780に向かって「イエス」枝が辿られる。問い合わせて判断するステップ765が否定のときは、ルーチン770に向かって「ノー」枝が辿られる。ルーチン770において、処理されている生イベントが新しく結合された現在の相関イベントが、1つまたはそれ以上の相関ルール620として記述された成熟性の基準を満たすかまたはそれに合っているかどうか判断される。ルーチン770において、処理されている生イベントに対応するルーチンの各々が、現在の相関イベント中にリストされている現在の生イベントおよび他の生イベントがそのルールで記述されている成熟性の基準を一緒に満足するかどうか判断する。本発明は、与えられた生イベントのタイプ・パラメータに対応する任意の数のルールを含むことができる。
【0098】
1つの例としての実施の形態では、フュージョン・エンジン22は多数の相関ルー620を用いることができる。相関ルールは、悪意がある活動または悪意がない活動のどちらかを示すイベント・パターンを識別するための基礎として、生イベント分類データベース635に規定されているイベント・カテゴリを使うことができる。相関イベントおよび相関ルールの多くのものが、攻撃者の意図を明らかにすることができる。本発明によって検出される1組の相関イベントおよび対応する相関ルールは下記のものを含むことができる、ただしそれらに限定されない。
【0099】
1)攻撃を受けたホストからの攻撃。このイベントは、あるホストに対する完全性攻撃に続いてそのホストから秘密性、完全性、または利用可能性攻撃が出されるのが見られたときに生成されることができる。
【0100】
2)利用可能性攻撃スィープ(マルチホストDoS攻撃)。このイベントは、同じ送信元IPアドレスから出た2つまたはそれ以上のタイプの利用可能性攻撃が複数の標的IPアドレスに対して見られたとき生成されることができる。
【0101】
3)秘密性攻撃スィープ(マルチホスト情報収集)。このイベントは、2つまたはそれ以上のタイプの秘密性攻撃が、単一の送信元IPアドレスから、複数の標的IPアドレスに対して、出ているのが見られたとき生成されることができる。
【0102】
4)DoSとそれに続く確認イベント。このイベントは、ある標的IPアドレスに対する利用可能性攻撃に続いてその標的がもはや正常に動作していないことを示すもう1つのイベントが見られたときに生成されることができる。確認イベントは、ホストが連絡不能であることを示す、ネットワーク上に設けられたセンサによって検出(例えば、他のホストからのその標的に対するARP要求の検出)されるイベント、およびホスト上に設けられたセンサによって標的とされたシステムそれ自体上で検出された、システムの資源(メモリのような)が枯渇したことを示すイベントを含む。
【0103】
5)内部IPアドレスを用いた外部送信元。このイベントは、外部ネットワークを監視するネットワーク上に設けられたセンサがそっくり同じ内部IPアドレスを検出したときに生成されることができる。この状態の発生は、外部のホストが内部のホストのIPアドレスを使うこと、スプーフィング(だますこと)として知られているやり方、を試みていることを示す。
【0104】
6)完全性攻撃とそれに続くリモード・ログイン。このイベントは、あるホストに対する完全性攻撃に続いてそのホストからリモード・ログインが出されるのが見られたときに生成されることができる。
【0105】
7)完全性攻撃とそれに続くサービスの開始。このイベントは、あるホストに対する完全性攻撃に続いて、ホスト上に設けられたセンサからのそのホスト上で新しいサービスが始まったという報告があったときに生成されることができる。
【0106】
8)インターネット・スキャナ・スキャン。このイベントは、ISSインターネット・スキャナのスキャンが1つのホストから検出されたときに生成されることができる。スキャンの開始の検出に続くある期間の間は、その同じホストから発出する全ての他のイベントはインターネット・スキャナ・スキャン・イベントに含められる。送信元IPアドレスが承認されたスキャン・ソースとして構成されている場合には、そのイベントは悪意の無いイベントとみなされ得る。そうでない場合にはそのイベントは悪意のあるイベントとみなされ得る。
【0107】
9)調査(プローブ)とそれに続く完全性攻撃。このイベントは、あるホストに対する調査イベントに続いて、そのホストに対する完全性攻撃が見られたときに生成されることができる。
【0108】
10)完全性攻撃スイープ(犠牲者を捜し回ること)。このイベントは、2つまたはそれ以上のタイプの完全性攻撃が単一の送信元IPアドレスから複数の標的IPアドレスに対して発出するのが見られたときに生成されることができる。
【0109】
11)DoS攻撃されたホストからのログイン。このイベントは、進行中の利用可能性攻撃の標的に現在なっている送信元IPアドレスからのリモート・ログインが見られたきに生成されることができる。イベントのこの組合せは、攻撃者が、ネットワークの信頼関係を利用してネットワーク上の他のマシンにアクセスするためにあるホスト(利用可能性攻撃の標的)に変装していることを示している可能性がある。
【0110】
12)複数のホスト上での1ユーザのログインの失敗。このイベントは、同一のユーザのログインの失敗が、ネットワーク上またはホスト上の複数のセンサによって報告されたときに生成されることができる。
【0111】
13)疑わしい活動とそれに続く利用可能性攻撃。このイベントは、利用可能性攻撃が後に続く、クローキング法を含むイベントが報告されたときに生成されることができる。「クローキング」という語は、侵入探知システムから攻撃を隠そうとする全てのテクニックに適用される。
【0112】
14)疑わしい活動とそれに続く完全性攻撃。このイベントは、完全性攻撃が後続した、クローキング法を含むイベントが報告されたときに生成されることができる。「クローキング」という語は、侵入探知システムから攻撃を隠そうとする全てのテクニックに適用される。
【0113】
15)疑わしい活動とそれに続く完全性攻撃。このイベントは、完全性攻撃が後続した、クローキング法を含むイベントが報告されたときに生成されることができる。「クローキング」という語は、侵入探知システムから攻撃を隠そうとする全てのテクニックに適用される。
【0114】
16)継続する利用可能性攻撃(集中DoS攻撃)。このイベントは、2つまたはそれ以上のタイプの利用可能性攻撃が単一の送信元IPアドレスから単一の宛先IPアドレスに向けて送出されるのが見られたときに生成されることができる。
【0115】
17)継続する秘密性攻撃(集中情報収集攻撃)。このイベントは、2つまたはそれ以上のタイプの秘密性攻撃が単一の送信元IPアドレスから単一の宛先IPアドレスに向けて送出されるのが見られたときに生成されることができる。
【0116】
18)継続する完全性攻撃(集中押入り試み)。このイベントは、2つまたはそれ以上のタイプの完全性攻撃が単一の送信元IPアドレスから単一の宛先IPアドレスに向けて送出されるのが見られたときに生成されることができる。
【0117】
19)ウェブ・スキャン。このイベントは、1つのウェブ・サーバに向けられた多数のウェブに関係した攻撃がある期間内に検出されたときに生成されることができる。一連のURLが調べられるようなウェブに関係する攻撃の特徴を調べることによって、ウィスカー(Whisker)のような特定のウェブ・スキャン・ツールの使用を特定することが可能であろう。
【0118】
本発明の範囲と趣旨から逸脱することなく、追加のルールを用いることもできる。ルーチン770のさらに詳しいことは、図14に関して以下にさらに詳しく説明されるであろう。しかしながら、図14に示されているルーチン770は1つのルールの適用を説明しているにすぎないことは特に言及される。図14示されている説明のためのルールは、上のリスト中の「攻撃を受けたホストからの攻撃」(AFAH)相関イベントに対応するルールである。攻撃を受けたホストからの攻撃の筋書きも、図5Dから5Fに関して以下にさらに詳しく説明されるであろう。
【0119】
問い合わせて判断するルーチン770が否定ならば、「ノー」枝が辿られて判断ルーチン785に進む。問い合わせて判断するルーチン770が肯定のときは、「イエス」枝が辿られてステップ710に進み、そこで成熟イベント・メッセージが生成されて、イベント・コレクタ24のような出力デバイスに送られる。ステップ775において、イベント・レポータ660はその相関イベントが成熟であるという標識を受け取り、それからイベント・レポータ660はこのメッセージをイベント・コレクタ24に送る。
【0120】
ステップ780において、1つの生イベントが既に成熟している相関イベントに追加されるとき、相関イベント更新通知が出力デバイスに送られる。このステップで、イベント・レポータはその相関イベント更新通知をイベント・コレクタ24に送る。イベント・コレクタ24はイベント・データベース26の中のその相関イベントの表現を更新し、この情報をそこでユーザが視ることができるコンソール30に送る。このことは、ユーザが、進行中のセキュリティ事件(すなわち、1つの成熟相関イベント)の一部である追加の生イベントが発生したときに通知されることを可能にする。
【0121】
次に、判断ルーチン785において、成熟相関イベントのどれかが発生を止めたか否かを判断する。判断ルーチン785のさらに詳しいことは、図15に関して以下に説明される。
【0122】
問い合わせて判断するステップ785が否定ならば、「ノー」枝が辿られてステップ795に進む。問い合わせて判断するステップ785が肯定のときは、「イエス」枝が辿られてステップ790に進み、そこで1つの相関イベントが発生を停止したことを示すメッセージが送られる。このメッセージは、イベント・レポータ660からイベント・コレクタ24に送られることができる。次に、イベント・コレクタ24はイベント・データベース26内のすでに結論が出された相関イベントの表現を更新し、そしてこのメッセージをコンソール30に送る。
【0123】
ステップ795において、メモリ管理リスト中の最も古い生イベントおよび成熟相関イベントが消去されてもよい。フュージョン・エンジン22のメモリの量は限られているので、成熟する可能が最も高い生イベントでメモリを満たしておく必要がある。フュージョン・エンジンは、メモリ管理リスト640、生イベント追跡インデックス645、および成熟イベント・リスト650のような幾つかのメモリ使用状況監視デバイスを持っている。1つの例としての実施の形態では、フュージョン・エンジンのメモリ使用状況監視デバイスはどれだけの量のメモリが利用可能であるか判断し、そしてメモリが容量まで満たされそうになると、メモリ使用状況監視デバイスは、使用可能メモリを増やすために、最も古い既存の記憶されている生イベントおよび成熟相関イベントを消去するであろう。成熟相関イベント内に含まれる生イベントは、メモリ管理リスト640から除去されるが消去はされない。生イベントが消去されるときはいつでも、その生イベントを含有するすべての未成熟相関イベントを見つけ出すために、生イベント追跡インデックス645が使われ、そしてその生イベントがそれらの未成熟相関イベントから取り除かれる。1つの未成熟相関イベントから生イベントが取り除かれてその未成熟相関イベントが他の生イベントを含まないときは、その未成熟相関イベントも消去される。
【0124】
次に図9を参照する。この図は、生イベントのタイプを見分けて各生イベントをクラシファイヤ615の対応するイベント・タイプ・オブジェクトにする図27のルーチン720のための、コンピュータで実現されたプロセスを示す。ルール720は、各生イベントがクラスファイヤ615中の対応するイベント・タイプと合致させられるステップ910で始まる。次に、ステップ915において、各生イベントのタイムスタンプが見つけられる。ステップ920において、各イベントが、ステップ915で見つけられたタイムスタンプに基づいて、メモリ管理リスト640に追加される。このリスト中の項目は、通常、上述したメモリ清掃処理中に最も古いイベントを見つけるのを容易にするために、タイムスタンプに従って順番に保たれる。ステップ925において、各生イベントは、クラシファイヤ615に含まれているようなイベント・タイプ・オブジェクトと結合された状態で、高速メモリに記憶される。次に、ステップ930において、生イベントを受け入れた各イベント・タイプ・オブジェクトが、生イベント追跡インデックス645に追加される。すなわち、通常、フュージョン・エンジンの各ソフトウェア・コンポーネントは、生イベントを受け取ると、それ自身を生イベント追跡インデックス645に登録する。このように、ある生イベントがシステムから削除されることが決められたとき、生イベント追跡リスト645が、削除される必要のあるその生イベントの参照の場所を見つけるために使用できる。ステップ930の後に、このプロセスは図7の判断ステップ725に戻る。
【0125】
図10は、各生イベントのパラメータが状況または知識ベースのデータベース630と比較される図7のルーチン730のためのコンピュータにより実現されたプロセスを示す。このルーチンにおいても、コンテキスト・データベース630とのこの比較に基づいて、各生イベントに対して追加のパラメータが付けられる。上述したように、コンテキスト・データベース630は、生イベントの重要性を評価するのに役に立つかも知れない環境情報を含むことができる。例えば、コンテキスト・データベース630は、ネットワーク内のマシンすなわちコンピュータについての脆弱性情報、予め決められたゾーンに基づくコンピュータまたはディテクタの相対位置、およびヒストリカル・イベント頻度に関係する情報を含むことができる。
【0126】
コンテキスト・データベース630の脆弱性情報は、通常、ネットワークを構成する1つまたはそれ以上のマシンに存在するかもしれない相対的なセキュリティに対する危険性を判断するためにネットワーク全体に対して行われるスキャンから導き出される。フュージョン・エンジン22によって監視されているネットワークのための、ヒストリカル生イベント・ログを解析するツールは、通常、コンテキスト・データベース630のヒストリカル・イベント頻度情報を導き出す。このツールは、通常、同じ生イベントのタイプ、送信元インターネット・プロコトル・アドレス、および宛先インターネット・プロコトル・アドレスを共有するイベント群に対してそれらの平均のイベント頻度を計算する、ただし平均イベント頻度を計算する目的のために生イベントをグループ分けするための他のやり方も本発明の範囲内にある。コンテキスト・データベース630のゾーンの定義は、通常、ネットワークの各部をそれらのネットワーク全体との関係にしたがって分類することにより導き出される。例えば、内部ゾーンおよび非武装化ゾーン(DBZ)は、内部ゾーンはインターネットからアクセス可能であってはいけないネットワークのインターネット・プロトコル・ネットワーク・アドレスを含み、またDMZゾーンはインターネットからアクセス可能なネットワークのインターネット・プロトコル・ネットワーク・アドレスを含むようなものとして定義されることができる。これらのゾーンは、フュージョン・エンジン22によって監視されているネットワークのために適当に決められるであろう。
【0127】
ルーチン730は通常はCoBRAプロセッサ625によって行われる。CoBRAプロセッサ625は通常各生イベントを調べ、かつそれをコンテキスト・データベース630と比較する。より具体的にいえば、ステップ1010(ルーチン730の最初のステップ)において、宛先インターネット・プロトコル・アドレス情報およびコンテキスト・データベース630との比較に基づき、各生イベントに対して、CoBRA脆弱度504が付けられる。1つの例としての実施の形態では、付けられる脆弱性値は、脆弱であると思われる、脆弱でないと思われる、および不明、のどれか1つであることができる。
【0128】
次に、ステップ1015において、コンテキスト・データベース630とのもう1つの比較に基づき、各生イベントに対して、ヒストリカル頻度値506が付けられる。この値は、1日あたりのイベントのような、単位時間当たりのイベントの数でもよいし、イベント間の平均時間のような、数学的に関係づけられる値でもよい。ヒストリカル・イベント頻度値は、通常、ある特定の送信元マシンからある特定の宛先マシンへのある特定のタイプの生イベントが、そのフュージョン・エンジン22によって監視されているネットワーク上で、どれくらいの頻度で見られるかを示す。ヒストリカル頻度データは、フュージョン・エンジンによって、正常な悪意の無いネットワーク活動によって引き起こされるイベントと異常な悪意のあるネットワーク活動によって引き起こされるイベントを識別するのを助けるためにフュージョン・エンジンによって使われる。
【0129】
ステップ1020において、各生イベントに対して、その生イベントの送信元インターネット・プロトコル・アドレスおよびコンテキスト・データベース630との比較に基づいて、送信元ゾーン508の値が付けられる。ステップ1025において、各生イベントに対して、各生イベントの宛先インターネット・プロトコル・アドレスおよびコンテキスト・データベース630との比較に基づいて、宛先ゾーン510の値が付けられる。
【0130】
ステップ1030において、各生イベントに対して、センサ・インターネット・プロトコル・アドレスおよびコンテキスト・データベース630との比較に基づいて、センサ・ゾーン512の値が付けられる。センサ・ゾーン値は、疑わしいコンピュータの活動を検出してその生イベントを生成した侵入探知システムのセンサまたはディテクタのインターネット・プロトコル・アドレスを含むことができる。ステップ1030の後、プロセスは図7のルーチン735に戻る。
【0131】
次に図11を参照して、この図は、CoBRAにより付けられたコンテキスト・パラメータ、またはディテクタにより付けられたタイプ・パラメータ、またはその両方に基づいて、生イベントの優先順位を調整するかまたは元の優先順位をそのまま残すことができる図7のルーチン735のためのコンピュータにより実現されたプロセスを示す。ルーチン735はCoBRAプロセッサ625のもう1つの中核機能である。このルーチンは、フュージョン・エンジンが、保護されているネットワークまたはコンピュータにとってのそれらの重要性に基づいて生イベントを順位づけることを可能にする。このようにして、セキュリティの管理者は、より効率的にそして効果的に、コンピュータ・セキュリティ・イベントを監視することができる。なぜなら重要なコンピュータ・セキュリティ・イベントは、他のより低順位のセキュリティ・イベントに対して相対的により高い順位および優先度を持つ。
【0132】
本発明は、それらのイベントおよびユーザにとって最も重要なネットワークの部分のために、ユーザにより定められた特性を使うことができる。例えば、コンテキスト・データベース630の一部を構成するゾーンの定義はユーザによって与えられてもよい。1つの例としての実施の形態では、監視されているネットワークの内部ゾーンおよび所謂非武装化ゾーン(DMZ)はユーザによって設定されることができる。またユーザによって明示的に決められるよりもむしろ、外部ゾーンは、ユーザによって指定された1つの明示的に決められたゾーンまたは複数のゾーン内に入らないすべてのIPアドレスであってもよい。本発明はこれらのタイプのゾーンに限定されない、そして例えばビジネス・パートナ・ゾーンのような他のタイプのゾーンを含むことができる。この分野の専門家は、本発明が、ユーザによって決められた任意の数のゾーンにインターネット・プロトコル・アドレスを割り当てるように設計され得ることを理解するであろう。
【0133】
上述したように、各生イベントは、侵入探知システム内のディテクタによってそれに付けられた優先順位パラメータ535を含む。1つの例としての実施の形態では、この優先順位パラメータは次の3つの値、すなわち、1,2または3のどれでも含むことができる。この説明のための実施の形態における最高の優先順位は、通常は数値の1である。他方、最低の優先順位は、通常は値3である。中間の優先値は通常は数値2である。ディテクタによって付けられる優先順位値はその本質上非常に控えめなので、各生イベントのための優先順位値の調整が必要である。すなわち、生イベントは、通常、高いネットワーク・トラフィック・スピードを維持するためにディテクタ・レベルになければならない簡単な処理テクニックの結果である。
【0134】
従って、従来の侵入探知システムのディテクタ・レベルから来る優先順位値は、各イベント・タイプに対して適用できるであろう最悪の場合のシナリオに適切であるように決められる。例えば、この説明のための実施の形態では、あるタイプの生イベントがあるネットワーク上で当てはまるコンテキストに依って1,2または3の実際の優先度を持ち得るならば、ディテクタは通常このタイプのすべてのイベントに最悪の場合の優先度(この説明のための実施の形態では一(1)として表されている)を与えるであろう。CoBRAプロセッサ625がこの優先順位535の値を変更するときはいつでも、元のディテクタによって付けられた優先順位と優先順位535において更新されたすなわちCoBRAによって調整された優先パラメータの両方を記憶した後にだけそれを行う。すなわち、この説明のための実施の形態では、CoBRA処理の後でかつ優先度が調整されたときに、調整された優先順位535は、元のディテクタによって付けられ優先順位とCoBRAによって調整された優先順位の2つの値を含む。
【0135】
フュージョン・エンジン22は、環境条件すなわちその中で生イベントが発生される周囲状況に基づいて生イベントを順位づけることを可能にする。このようにして、セキュリティ担当のネットワーク管理者は、監視されているネットワークまたはコンピュータにとって最も重要なコンピュータ・セキュリティ・イベントだけを提示されるであろう。本発明は説明された優先順位階級に限定されない。すなわち、本発明は、1が最高の優先度を割り当てられた1から3の範囲の優先階級に限定されない。他の範囲または値および値の間の増分も、本発明の範囲を逸脱しない。この分野の専門家は、重要でない生イベントが重要な生イベントよりも上位に順位づけられる可能性をさらに少なくするために、もっと複雑な階級を生成することができることがわかるであろう。
【0136】
ルーチン735はステップ110で始まり、このステップでは、生イベントの標的がそのコンピュータ攻撃に抵抗力があるかどうか判断される。この判断は、図10に説明されている手順730のステップ1010によって先に設定された、その生イベントのCoBRA脆弱状態504の値に基づいて行われる。問い合わせて判断するステップ1110が否定ならば、「ノー」枝が辿られて、プロセスは図12のステップ1210に進む。問い合わせて判断するステップ1110が肯定のときは、「イエス」枝が辿られてステップ1115に進む。ステップ1115において、生イベントは、コンテキスト・データベース630内の1つのリストに記憶されている脆弱性が調整可能なイベント・タイプと比較される。コンテキスト・データベース630に記憶されているこれらの脆弱性が調整可能なイベント・タイプは、それらに対してはマシンの脆弱性順位の評価が信頼できると信じられており、したがって脆弱性順位情報に基づいて優先度を調整することが許されると、ユーザまたはシステムによって認定されたイベントである。
【0137】
そうする代わりに、もう1つの実施の形態(図示されていない)では、コンテキスト・データベース630が、その脆弱性順位の評価が信頼できるとユーザまたはシステムが信じる生イベント・タイプを識別することができ、そしてすべての他のイベント・タイプに対しては、脆弱性順位の評価は信じられると見なされ得る。このようにして、優先順位に関して調整されることが望まれない生イベントが識別されて、CoBRAプロセッサ625がこのような生イベントの優先度を引き下げないようにされる。もう1つの別の説明のための実施の形態(示されていない)では、コンテキスト・データベース630は両方のタイプのリストを含むことができる。すなわち、コンテキスト・データベース630は、調整されるべき優先順位を持つことが許される生イベント・タイプのリストと、調整される優先順位を持つことが許されない生イベント・タイプを含むリストを含むことができる。この場合には、あるイベント・タイプが両方のリストに現れたときにどちらの項が優先するか明確に定められるように、衝突回避ルールも設定されなければならない。この分野の専門家は、リストの他の構成も本発明の範囲を逸脱しないことを理解するであろう。
【0138】
次に、ステップ1120において、コンテキスト・データベース630の記憶された脆弱性調整可能イベントとの一致があるかどうか判断される。問い合わせて判断するステップ1120が否定ならば、ステップ1135に進む「ノー」枝が辿られる。問い合わせて判断するステップ1120が肯定のときは、「イエス」枝が辿られてステップ1125に進む。
【0139】
判断ステップ1125において、処理されている現在の生イベントが最低の優先順位であるかどうか判断される。換言すれば、処理されている現在の生イベントが説明のための優先順位値3を持つならば、その優先度はそれ以上調整できないということがわかる。したがって、問い合わせて判断するステップ1125が肯定のときは、「イエス」枝が辿られてステップ1135に進む。問い合わせて判断するステップ1125が否定のときは、「ノー」枝が辿られてステップ1130に進み、そこで現在の生イベントの優先順位535が引き下げされて、優先順位535の変更の理由がその生イベントに記録される。例えば、説明のための実施の形態では、生イベントが元の優先順位1を持ち、かつCoBRAプロセッサ625がそのイベントが脆弱であるとは思われないと判断したら、CoBRAプロセッサは、その元の優先順位値1を、値2(中間優先順位値)のようなより低い値に調整するであろう。優先順位値を変更する理由は、なぜある特定の生イベントが引き下げられた優先度を付けられたかコンソール30において分かるように、その生イベントの優先度変更理由516パラメータに記録される。1つの例としての実施の形態では、この生イベントの優先順位値を変更する理由は、文字列を含むことができる。
【0140】
ステップ1135において、各生イベントは、コンテキスト・データベース630内の1つのリストに記憶されている頻度調整可能なイベント・タイプと比較される。上で説明された脆弱度調整可能なイベント・タイプと同様に、頻度調整可能なイベント・タイプは、ある1対のマシンの間の高いヒストリカル・イベント頻度がフュージョン・エンジン22によって監視されているネットワークまたはコンピュータに対する悪意の無さの信頼できる指標として見られる生イベント・タイプを含むことができる。別の構成として、同じく上で説明された脆弱度調整可能なイベント・タイプと同様に、もう1つの例としての実施の形態(図示されていない)では、コンテキスト・データベース630は、その代わりに、フュージョン・エンジン22によって監視されているネットワークまたはコンピュータに対して、ある1対のマシンの間の高いヒストリカル・イベント頻度が悪意の無さの信頼できる指標として見られない生イベント・タイプを示すリストを含みことができ、かつヒストリカル・イベント頻度がすべての他のイベント・タイプに対しては悪意の無さの信頼できる指標と考えることができる。このようなシナリオにおいては、そのリストは、ヒストリカル・イベント頻度に基づいてその優先順位を調整することが望ましくない生イベントを示すであろう。代わりの構成として、さらにもう1つの例としての実施の形態(図示されていない)では、コンテキスト・データベース630は、両方のタイプのリスト、1つのリストは頻度に基づく優先度の調整が許される生イベント・タイプを示し、他方のリストは頻度に基づく優先度の調整が許されない生イベント・タイプを示す、を含むことができる。この場合には、あるイベント・タイプが両方のリストに現れたときどちらが優先されるか明確であるように、衝突解決ルールも決められなければならない。この分野の専門家は、リストの他の構成も本発明の範囲を逸脱しないことを理解するであろう。
【0141】
ステップ1135に続いて、ステップ1145において、評価されている現在の生イベントに対する一致が存在するか否か判断される。問い合わせて判断するステップ1145が否定のときは、図12のステップ1210に向かって「ノー」枝が辿られる。問い合わせて判断するステップ1145が肯定のときは、判断ステップ1150に向かって「イエス」枝が辿られる。
【0142】
判断ステップ1150において、評価されている現在の生イベントに対してヒストリカル頻度情報が存在するか否か判断される。この判断は、図10に説明されている手順730のステップ1015によって先に設定されたその生イベントのヒストリカル頻度値506に基づいて行われる。換言すれば、生イベントの中には、ヒストリカル頻度情報を得るために解析されるヒストリカル・データ中に見られないタイプ、送信元および宛先のものがある可能性がある。問い合わせて判断するステップ1150が否定のときは、図12のステップ1210に向かって「ノー」枝が辿られる。問い合わせて判断するステップ1150が肯定のときは、判断ステップ1150に向かって「イエス」枝が辿られる。
【0143】
判断ステップ1150において、評価されている現在の生イベントに対してヒストリカル頻度情報が存在するか否か判断される。この判断は、図10に説明されている手順730のステップ1015によって先に設定されたその生イベントのヒストリカル頻度値506に基づいて行われる。換言すれば、生イベントの中には、ヒストリカル頻度情報を得るために解析されるヒストリカル・データ中に見られないタイプ、送信元および宛先のものがある可能性がある。問い合わせて判断するステップ1150が否定のときは、図12のステップ1210に向かって「ノー」枝が辿られる。問い合わせて判断するステップ1150が肯定のときは、判断ステップ1155に向かって「イエス」枝が辿られる。
【0144】
判断ステップ1155において、評価されている現在の生イベントに対するヒストリカル頻度が頻発イベント閾値よりも大きいか否かが判断される。換言すれば、この判断ステップでは、あるイベントが、特定の送信元と宛先の間に、悪意の無いイベントでありそうだと見なされ得るのに十分な頻度で発生するタイプであるかどうか判断される。頻発イベント閾値は、1日当たりのような、単位時間当たりの平均のイベント数に対応する値でもよい。しかしながら、他のこの値に数学的に関係づけられた形、例えばベント間の平均時間、も使用することができ、本発明の範囲を逸脱しない。処理されている現在の生イベントが閾値よりも大きいヒストリカル・イベント頻度を持つときは、それは頻発イベントであり悪意のないものであろうと見なされる。
【0145】
それが頻発・生イベントであると判断されたときは、その優先順位が引き下げられる。しかしながら、処理されている現在の生イベントがそのネットワーク上でより低頻度でしか見られなかった場合は、それは頻発・生イベントとはみなされず、そしてヒストリカル・イベント頻度に基づくその優先順位の調整は望ましくないとみなされる。したがって、問い合わせて判断するステップ1155が否定(処理されている現在の生イベントのようなイベントが、フュージョン・エンジン22によって監視されているネットワーク上で頻繁には見られなかったことを意味する)のときは、図12のステップ1210に向かって「ノー」枝が辿られる。問い合わせて判断するステップ1155が肯定(処理されている現在の生イベントのようなイベントが、フュージョン・エンジン22によって監視されているネットワーク上で頻繁に見られたことを意味する)のときは、判断ステップ1160に向かって「イエス」枝が辿られる。
【0146】
判断ステップ1160において、評価されている現在の生イベントが最低の優先順位であるか否か判断される。この問い合わせて判断するステップ1160が肯定のときは、図12のステップ1210に向かって「イエス」枝が辿られる。この問い合わせて判断するステップ1160が否定のときは、ステップ1165に向かって「イエス」枝が辿られ、現在の生イベントの優先度が引き下げられ、現在の生イベントの優先順位を変更する理由が記録される。その理由は、通常は、評価されている生イベントが高頻度で発生するというように記録される。
【0147】
プロセスは次に図12に続く。図12は図7のルーチン735のためのコンピュータで実現されたプロセスの第2の部分を示し、それにおいて、CoBRAプロセッサ625が、その生イベントのCoBRAプロセッサ625によって付けられたコンテキスト・パラメータまたはディテクタによって付けられたタイプ・パラメータに基づいて、優先順位を調整するか、または元の優先順位をそのまま残す。
【0148】
ステップ1210において、生イベントは、コンテキスト・データベース630の1つのリストに記憶されているゾーンを調整可能なイベント・タイプと比較される。上で説明された脆弱性調整可能なイベント・タイプおよび頻度調整可能なイベント・タイプと同じように、ゾーンを変更可能なイベント・タイプは、ネットワークのセキュリティの管理者によって決められることができ、またそれらが内部で発生(すなわち、その生イベントの送信元インターネット・プロトコル・アドレスおよび宛先インターネット・プロトコル・アドレスの両方が、コンテキスト・データベース630において内部ゾーンに属すると定められているネットワーク上に在る)したとき、フュージョン・エンジン22によって監視されているネットワークまたはコンピュータに対して危険性が低いと見なされる生イベントのタイプである。しかしながら、別の実施の形態では(図示されていない)、コンテキスト・データベース630は、代わりに、送信元および宛先が位置するゾーンだけに基づいては、フュージョン・エンジン22によって監視されているネットワークまたはコンピュータに対して危険性が低いと見なされることができない生イベントのタイプを示すリストを含んでもよい。
【0149】
このような実施の形態においては、リストに記載されているもの以外のイベント・タイプは、それらが内部的に発生したとき、監視されているコンピュータまたはネットワークに対してリスクが低いと見なされる。さらに別の実施の形態(図示されていない)においては、コンテキスト・データベース630は、両方のタイプのリスト、すなわち、送信元および宛先のゾーンだけに基づいては危険性が低いと見なされることができず、その優先順位が調整されるべきではない生イベント・タイプを示す第1のリストと、内部で見られたときは危険が低いと見なされかつそれらのイベントがより低い優先順位を持つように優先順位が調整されるべきである生イベントの第2のリスト、を含んでもよい。この場合には、あるイベント・タイプが両方のリストに現れたときにどちらの項が優先するか明確に定められるように、衝突回避ルールも設定されなければならない。
【0150】
判断ステップ1215において、コンテキスト・データベース630内に記憶されているゾーンを調整可能なイベント・タイプとの一致が存在するか否か判断される。問い合わせて判断するステップ1215が否定のときは、図7のルーチン740に向かって「ノー」枝が後戻り方向に辿られる。問い合わせて判断するステップ1215が肯定のときは、判断ステップ1220に向かって「イエス」枝が辿られる。
【0151】
判断ステップ1220において、処理されている現在の生イベントの送信元ゾーンおよび宛先ゾーンが、両方とも、フュージョン・エンジン22によって監視されているネットワークまたはコンピュータに関して内部であるかどうか判断する。この判断は、それぞれ、図10に示されているルーチン730のステップ1020およびステップ1025によって与えられた生イベントの送信元ゾーンパラメータ508および宛先ゾーンパラメータ510の値を調べることによりなされる。多くのイベント・タイプに対しては、内部として分類された生イベントは、フュージョン・エンジン22によって監視されているネットワークまたはコンピュータに対して外部であるかもしれないイベントに比べて、監視されているコンピュータのネットワークに対する脅威の程度が低い。
【0152】
したがって、内部イベントに対しては、このような生イベントの優先順位を引き下げることが望ましいかもしれない。反対に、送信元または宛先のどちらかのインターネット・プロトコル・アドレスがDMZゾーン内にあるかまたはどの定められたゾーン内にもないかのどちらかである(そして従って外部と見なされる)生イベントにたいしては、侵入探知システム中のディテクタによって与えられた生イベントの優先順位を維持することが望ましいかもしれない。問い合わせて判断するステップ1220が否定のときは、図7のルーチン740に向かって「ノー」枝が後戻り方向へ辿られる。問い合わせて判断するステップ1220が肯定のときは、判断ステップ1225に向かって「イエス」枝が辿られる。
【0153】
判断ステップ1225において、現在の生イベントがその最低の優先順位であるか否か判断される。問い合わせて判断するステップ1225が肯定のときは、図7のルーチン740に向かって「イエス」枝が後戻り方向に辿られる。問い合わせて判断するステップ1225が否定のときは、ステップ1230に向かって「ノー」枝が辿られ、そこで現在の生イベントの優先順位が引き下げられ、そしてその生イベントの優先順位の変更の理由が記録される。通常、ステップ1230における理由は、現在の生イベントの優先順位が引き下げられたのはそれが内部攻撃を構成するからであることを示すであろう。プロセスは次に図7のルーチン740に戻る。
【0154】
本発明はまた優先順位値の引き下げ方について限定されない。換言すれば、本発明は、引き下げられた優先度または引き上げられた優先度を表わすめの階級を含むこともできる。この分野の専門家は、どんな数の危険度調整スキームでも使用でき、本発明の範囲と趣旨から逸脱しないことを理解するであろう。
【0155】
次に図13を参照する。この図は、生イベントがイベント・タイプ・パラメータ555に基づいて予め決められた相関ルールと結合される図7のルーチン740のコンピュータにより実現されたプロセスを示す。このルーチンでは、クラシファイヤ615が、各々の与えられた生イベントを処理すべき1つまたはそれ以上の相関ルール620を見つけ出してもよい。ステップ1310はルーチン740の最初のステップであり、このステップにおいて生イベントを含む全てのリストがCoBRA処理による変更を反映するために更新される。換言すれば、CoBRAプロセッサ625によって調整された生イベントを含む、説明のためのオブジェクト指向アーキテクチャ中の全てのオブジェクトが、優先順位のすべての変更を反映させるために更新される。
【0156】
次に、ステップ1315において、生イベントが、その生イベントのタイプ・パラメータ555に適用される相関ルールに送られる。より具体的に言えば、ステップ1315において、各相関ルール620の定義は、それにとって関心のある生イベントのカテゴリの1つのリストを含む。各生イベント・カテゴリに含まれる生イベントのタイプは、生イベント分類データベース635中で定められている。したがって、ある相関ルール620に関心のある生イベント・タイプのリストは、そのルールにとって関心のあるカテゴリのための、カテゴリに特有の生イベント・タイプのリストの集まりであり、それにおいては各カテゴリに特有の生イベント・タイプのリストが生イベント分類データベース635によって定められている。カテゴリに特有の、生イベント・タイプのリストはクラシファイヤ615に記憶されており、生イベント分類データベース635の内容に基づいて初期化される。
【0157】
システムの初期化中にコントローラ655が相関ルール620をロードするとき、コントローラ655は、そのルールをそのルールにとって関心のあるイベント・カテゴリ(前段落で説明されるように決められる)中に含まれる全てのイベント・タイプと結合させる。これはそのルールを各々のそのようなイベント・タイプ内に維持されている関係のあるルールのリストに追加することにより行う。したがって、初期化の後、各イベント・タイプは、そのタイプのイベントに関心を持つ相関ルール620の全てを列挙した1つのリストを含む。各生イベントが受け取られたとき、イベント・リーダ600は、その生イベントのイベント・タイプを引き出し、そして次にそのイベント・タイプの関係するルールのリストを引き出すことにより、どの相関ルール620がその生イベントを処理すべきか判断する。そのどの相関ルール620がその生イベントを処理すべき1組の相関ルール620を判断したら、プロセスは図7のステップ45に戻る。
【0158】
次に図14を参照する。この図は、現在の生イベントが付け加えされた現在未熟な相関イベントが、対応するルール620の成熟基準を満たすすなわち満足するか否か判断する図7のルーチン770のための、コンピュータにより実現されたプロセスを示す。ここに説明されるプロセスは、一般的なものではなく、1例としてのイベント・タイプ、攻撃されたホストからの攻撃(AFAH)、のためのものである。しかしながら、この処理の説明および先に行った例としての相関イベント・タイプの説明が与えられたので、この分野の専門家には、説明された例示のためのイベント・タイプの各々の発生を認識するために同じような処理がどのように使用できるか明らかなはずである。上に説明したように、各ルール620は、オブジェクト指向・アーキテクチャでは、1つのルール・オブジェクトとして実現することができる。先に説明された図13のステップ1315の処理からこの分野の専門家に明らかであろうように、単一の生イベントが複数の相関ルール・オブジェクトによって処理されてもよい。
【0159】
図7または図14には示されていないが、図7のステップ745から780の処理(図14に説明されているルーチン770の処理を含む)は、この例示のためのAFAH相関イベントの場合には、現在処理されている生イベントのために、2回実行することもできる。1つの例としての実施の形態においては、生イベントは、外来する攻撃と見なされたときそれが完全性攻撃である場合にのみ一回処理され、また外出攻撃と見なされたときはいつでも処理される。生イベントがステップ745から780によって外来する攻撃と見なされたときは、ステップ745は、相関イベント・キャッシュ665から対応するAFAH相関イベントを引き出そうと試みるときに、その生イベントの宛先インターネット・プロトコル・アドレスをルックアプ・キーとして使う(ステップ745の処理の解説において前に説明されているように)。
【0160】
その生イベントがステップ745から780によって外出攻撃と見なされたときは、ステップ745は、相関イベント・キャッシュ665から対応するAFAH相関イベントを引き出そうと試みるときに、その生イベントの送信元インターネットをルックアプ・キーとして使う(ステップ745の処理の解説において前に説明されたように)。この生イベントの「2重処理」は、フュージョン・エンジン22によって処理されることができる他の相関イベントに比べて、例としてのAFAH相関イベントの特有の面である。前に説明された代表例の相関イベント・タイプのすべてに対して、代表例の相関イベント・qタイプの説明に基づいてこの分野の専門家には明らかであろうように、ステップ745から780の処理は1回だけ行われる。
【0161】
再び図14を参照すると、ステップ1410はルーチン770の最初のステップである。このステップにおいて、処理されている現在の生イベントのためのクラシファイヤ615のイベント・タイプ・オブジェクトが、生イベント追跡インデックス645に追加される。また、処理されている現在の生イベント・オブジェクトに対応する相関イベント・オブジェクトが、メモリ管理リスト640に追加されるか(それが図7のステップ750において生成されたばかりの新しい相関イベントであるとき)、または現在の生イベントのタイムスタンプが現在の相関イベントと関係づけられる全ての生イベントのうちで最近のタイムスタンプを持つときはメモリ管理リストの新しい位置に移される。
【0162】
さらに、現在の相関イベント・オブジェクトは、生イベントと関連づけられた生イベント追跡インデックス645に追加される。イベント・タイプ・オブジェクトと相関イベント・オブジェクトは、それらが、後で、生イベントがメモリから消去される場合にメモリ管理処理によって通知され、それによりそれらがそれら自身のその生イベントに対する参照を消去することができるように、生イベント追跡インデックス645に追加される。現在の相関イベントも、メモリ資源が少なくなったときに、もっとも古いイベント(その中の幾つかは未熟の相関イベントであってもよい)がフュージョン・エンジン22から削除されることができるように、メモリ管理リスト640に追加される。
【0163】
判断ステップ1415において、生イベントが外来攻撃と見なされているかどうか判断される。このステップは、現在のAFAH相関イベントが含む現在の生イベントが外来する攻撃または出ていく攻撃のどちらであるか識別する。問い合わせて判断するステップ1415が否定のときは、その生イベントは外出攻撃と見なされ、ステップ1425に向かって「ノー」枝が辿られる。問い合わせて判断するステップ1415が肯定のときは、その生イベントは外来する攻撃と見なされ、ステップ1420に向かって「イエス」枝が辿られる。
【0164】
判断ステップ1420において、外来攻撃と見なされている生イベントが完全性攻撃でありかつ現在の相関イベントの外出攻撃リスト中の少なくとも1つのイベントよりも先に発生しているか否か判断される。処理されつつある生イベントは、それがステップの処理中に相関イベントの外来攻撃リストに追加されたことから、完全性攻撃であることが知られる。代表例の相関イベント・タイプの前に示したリストに含まれている攻撃されたホストからの攻撃の説明中に示されているように、あるホストに対する完全性攻撃が見られ、その後にそのホストから発出する秘密性攻撃、完全性攻撃、または利用可能性攻撃が続いたときは、AFAHイベントが生成される。図13の解説に示されるように、コントローラ655は、システムの初期化中に相関ルール620をロードするときに、そのルールをそのルールにとって関心のあるイベント・カテゴリ中に含まれるイベント・タイプの全てと関係づける。
【0165】
AFAHルールの場合には、関心のあるイベント・カテゴリは秘密性攻撃、完全性攻撃、および利用可能性攻撃である。AFAHルールはしたがって生イベント分類データベース635によってこれらの3つのカテゴリの1つに属すると決められた全てのイベント・タイプと関係づけられる。したがって、そのイベント・タイプがこれらの3つのカテゴリの1つに属する生イベントはどれも、処理のためにルーチン770に送られることができる。AFAHイベントの定義は外来攻撃が完全性攻撃であることを要求し、そしてルーチン770に送られる生イベントの中にはそうではなく秘密性攻撃または利用可能性攻撃もあり得るので、この判断ステップ1420は外来攻撃と見なされている生イベントが完全性攻撃であることを確かめなければならない。
【0166】
フュージョン・エンジン22が複数のディテクタによって発生させられた生イベントを受け取ることができ、そのため生イベントが非日時順に受け取られ得る(すなわち、後のタイムスタンプを持つ生イベントがそれより前のタイムスタンプを持つ生イベントより先に受信され得る)可能性があるという事実から、さらに1つの問題が生じる。この理由のために、ルーチン770は生イベントが日時順に受け取られるであろうと見なすことはできず、したがってこの判断ステップ1420は現在の生イベントが現在の相関イベントの外出攻撃のリスト中の少なくとも1つのイベントよりも先に発生したか否かを判断する。問い合わせて判断するステップ1420が否定のときは、現在の相関イベントは未熟と見なされ、図7のルーチン785に向かって「ノー」枝が後方向に辿られる。問い合わせて判断するステップ1420が肯定のときは、現在の相関イベントは成熟していると見なされ、ステップ1427に向かって「イエス」枝が辿られる。
【0167】
判断ステップ1425において、外出攻撃と見なされている生イベントが現在の相関イベントの外来攻撃のリスト中の少なくとも1つのイベントよりも後に発生したか否かが判断される。判断ステップ1420と異なり、現在の生イベントが特定のカテゴリに属するか否かを判断することは必要でない、なぜなら(ステップ1420の解説において説明されているように)ルーチン770に送られる全ての生イベントは秘密性撃、完全性攻撃、または利用可能性攻撃のどれかであり、したがって外出攻撃としてどれかのAFAHイベントに含まれるための基準を満たすであろうからである。問い合わせて判断するステップ1425が否定のときは、現在の相関イベントは未熟と見なされ、図7のルーチン785に向かって「ノー」枝が後方向に辿られる。問い合わせて判断するステップ1425が肯定のときは、現在の相関イベントは成熟していると見なされ、ステップ1427に向かって「イエス」枝が辿られる。
【0168】
判断ステップ1427において、相関イベントの最も早い外来攻撃よりも前に発生した現在の相関イベント中の外出攻撃はみな外出攻撃のリストから削除される。これは、AFAH相関イベントの定義が、成熟AFAH相関イベントに含まれる各外出攻撃は少なくとも1つの外来攻撃によって先行されなければならないことを要求するために行われる。
【0169】
判断ステップ1430において、その相関イベントが、メモリ管理機構によって消去されないように、メモリ管理リスト640から削除される。このようにして、削除される相関イベントはフュージョン・エンジン22から消去されないであろう。なぜならその相関イベントは今や成熟していると見なされるからである。
【0170】
判断ステップ1435において、イベント・リーダ600によって読まれるイベント・ソースがイベント・データベース26またはイベント・ログ・ファイル610のどちらかであるときは、相関イベントの更新時刻は最近の生イベントのタイムスタンプに設定されることができる。この場合にはフュージョン・エンジン22はバッチ・モードで動作している。その代わりに、イベント・リーダ600によって読まれるイベント・ソースがイベント・コレクタ24のときは、相関イベントの更新時刻は、フュージョン・エンジン22が実行されているシステムの現在時刻に設定されることができる。この場合にはフュージョン・エンジン22はリアルタイム・モードで動作している。
【0171】
ステップ1440において、この相関イベントは成熟イベント相関リスト650に追加される。ステップ145において、2つまたはそれ以上の生イベントを含む相関イベントが、その相関イベントの1つの内部パラメータを設定することにより、成熟であると標識される。プロセッサは次に図7のステップ775に戻る。1つの代表としての実施の形態では、各相関イベントは、生イベントの優先順位パラメータと同じような優先順位を付けられてもよい。
【0172】
図5D,5E,5Fに示される生イベントIIのための代表例としてのルール処理
下記は、図5D,5Eおよび5Fに示されるような生イベントIIのための、攻撃を受けたホストからの攻撃の相関ルール620によって実行されるであろう処理である。この解説は、生イベントIおよびIIが両方とも完全性攻撃タイプであり、したがってAFAHイベントの定義による外来攻撃としての条件に適合していること、生イベントIは生イベントIIより先に発生していること、そして生イベントIIは生イベントIIIよりも先に発生していることを仮定している。
【0173】
再び図7を参照すると、ステップ745において、生イベントIIが外来攻撃であると見なされているとき、その宛先インターネット・プロトコル・アドレス(3.3.3.3)が、相関イベント・キャッシュ665からAFAH相関イベントを引き出すための探索キーとして使われるであろう。この場合において生イベントは日時順に受け取られ、したがって生イベントIIIはフュージョン・エンジンによってまだ処理されていないと仮定すると、攻撃されたインターネット・プロトコル・アドレス3.3.3.3によって指し示されるAFAH相関イベントは存在せず、それゆえ判断ステップ745の「ノー」枝が辿られてステップ750で相関イベント513が生成されるであろう。ステップ755において、相関イベント513は相関イベント・キャッシュ665に記憶されるであろう。ステップ760において、生イベントIIが、それへの参照情報を相関イベント513の外来攻撃リスト中に記憶することにより、相関イベント513と関係づけられるであろう。ステップ765において、相関イベント513がまだ成熟していないと判断されて、ステップ770に向かって「ノー」枝が辿られるであろう。
【0174】
次に図14を参照すると、判断ステップ1415において、生イベントIIは外来攻撃と見なされているので、「イエス」枝が辿られるであろう。判断ステップ1420では、新しく生成された相関イベント513の外出攻撃リストには生イベントが無いので「ノー」枝が辿られるであろう。この処理を要約すると、外来攻撃と見なされているときは、生イベントIIは、新しく生成されたしかしまだ成熟していない相関イベント513に加えられる。
【0175】
図7を参照すると、ステップ745において、生イベントIIが外出攻撃と見なされているときは、その送信元インターネット・プロトコル・アドレス(2.2.2.2)が、相関イベント・キャッシュ665からAFAH相関イベントを引き出すための探索キーとして使われるであろう。この場合において生イベントは日時順に受け取られ、したがって生イベントIはフュージョン・エンジンによってすでに処理されたと仮定すると、AFAH相関イベント511が、攻撃を受けたインターネット・プロトコル・アドレスで索引がつけられて、すでに相関イベント・キャッシュ665中に存在するであろう、したがって判断ステップ745の「イエス」枝が辿られてステップ760に進むであろう。ステップ760において、相関イベント513は相関イベント・キャッシュ665に記憶されるであろう。ステップ760において、生イベントIIが、それへの参照情報を相関イベント511の外出攻撃リスト中に記憶することにより、相関イベント511と関係づけられるであろう。ステップ765において、相関イベント511がまだ成熟していないと判断されて、ステップ770に向かって「ノー」枝が辿られるであろう。
【0176】
次に図14を参照すると、判断ステップ1415において、生イベントIIは外出攻撃と見なされているので、「ノー」枝が辿られるであろう。判断ステップ1425において、相関イベント511の外来攻撃リストはすでに生イベントIを含み、かつ生イベントIIのタイムスタンプは生イベントIのタイムスタンプよりも後なので、「イエス」枝が辿られるであろう。この時点で、相関イベント511は成熟している判断され、そしてステップ1427から1445が辿られて新しく成熟した相関イベント511が処理されるであろう。この処理を要約すると、外出攻撃と見なされているときは、生イベントIIは既存の相関イベント511に加えられ、相関イベント511はその結果成熟する。
【0177】
上に説明された例示のためのルール処理における判断ステップ1425を実行するために、最初に生成された生イベントIと2番目に生成された生イベントIIのそれぞれのタイムスタンプが比較される。しかしながら、これらの生イベントは異なるディテクタから発し得るので、各生イベントに与えられるタイムスタンプにはいくらかのずれがあり得ることは注意されるべきである。すなわち、2番目に生成される生イベントIIは1番目に生成される生イベントIの後に発生するはずであるが、生イベントを発生するディテクタの内部クロックの起こり得るずれのために、1番目に生成される生イベントIが2番目に生成される生イベントIIよりも後のタイムスタンプを持つ可能性があることは予見できる。
【0178】
換言すれば、隣接する侵入探知システム中の各ディテクタの間の内部クロックが同期させられていないこともありえる。このような起こり得る状況に対処するために、3状態比較を行うことができる。すなわち、フュージョン・エンジン22およびより具体的にはルール620は、第1の生イベントがもう1つの生イベントより先に来たかどうか判断を行うことができるように、多少の同期ずれがあるかもしれないという可能性を考慮に入れることができる。より具体的には、異なるディテクタによって生成された2つの生イベントのタイムスタンプを比較してそれらのイベントの1つが他方より先に起きた(または後に起きた)かどうかを決定するとき、比較の結果はイエス、ノー、またはかもしれない、であり得る。「かもしれない」という結果は、2つのイベントのタイムスタンプが、2つのディテクタの同期のずれに関する不確実性がどちらのイベントが先に起こったかを判断することを不可能にするほど近いときに発生する。
【0179】
フュージョン・エンジン22は、「かもしれない」という結果を「イエス」として(1つの構成において)または「ノー」として(別の構成)扱うように構成することができる。好ましい実施の形態では、フュージョン・エンジン22は、相関イベントの成熟性の基準が満たされるであろう可能性を最大にするために(それらの基準が満たされているかもしれない可能性があるように見えるときはいつでも成熟相関イベントが生成されるであろうように)「かもしれない」を「イエス」として扱う。フュージョン・エンジン22が同一のディテクタによって生成された2つのイベントのタイムスタンプを比較するときは、同期の効果をいっさい無視してそれらの2つのイベントのタイムスタンプの間の簡単な2値比較を行うことができる。
【0180】
成熟相関イベントがタイムアウトしたかどうかを判断するための例示のためのコンピュータで実現されたプロセス
次に図15を参照して、この図はどれかの成熟相関イベントが発生しなくなったか否かを判断するルーチン785のためのコンピュータで実現されたプロセスを示す。ステップ1510はルーチン785の最初のステップであり、このステップにおいて現在の処理時刻が成熟イベント・リスト650に記憶されている相関イベントの更新時刻(相関イベントの更新時刻は図14のステップ1435に説明されているようにして設定される)と比較される。この比較の目的のためには、現在の処理時刻の定義はフュージョン・エンジン22が動作しているモードに依る。フュージョン・エンジン22がバッチ・モードで動作している(すなわち、そこからイベントが読まれつつあるイベント・ソースがイベント・データベース26またはイベント・ログ・ファイル610のどちからである)ときは、現在の処理時刻はそのイベント・ソースから読まれた最新のイベントのタイムスタンプである。そうではなく、フュージョン・エンジンがバッチ・モードで動作している(すなわち、そこからイベントが読まれつつあるイベント・ソースがイベント・データベース26またはイベント・ログ・ファイル610のどちからである)ときは、現在の処理時刻はそのイベント・ソースから読まれた最新のイベントのタイムスタンプである。そうではなく、フュージョン・エンジン22がリアル・モードで動作している(すなわち、そこからイベントが読まれつつあるイベント・ソースがイベント・コントローラ24である)ときは、現在の処理時刻はフュージョン・エンジン22が動いているシステムの現在時刻である。
【0181】
判断ステップ1515において、現在の処理時刻と各相関イベントの更新時刻の差が予め決められた閾値を越えたか否か判断される。換言すれば、成熟イベント・リスト150中に含まれている成熟相関イベントが古くなったすなわち新鮮でなくなった、すなわちかなりの時間の間これらの相関イベントのためのコンピュータの活動または生イベントが発生しなかったかどうか判断される。問い合わせて判断するステップ1515が肯定のときは、図7のステップ790向かって「ノー」枝が後方向に辿られる。問い合わせて判断するステップ1515が否定のときは、図7のステップ795向かって「ノー」枝が後方向に辿られる。
【0182】
上の記載は本発明の説明のための実施の形態についてだけ説明していること、および請求の範囲により確定されている本発明の趣旨と範囲から逸脱することなくそれにおいて多数の変更が可能であることは理解されるべきである。
【図面の簡単な説明】
【図1】 図1は、本発明のための例示のための動作環境を提供するネットワークに接続されたパーソナル・コンピュータのブロック線図である。
【図2】 図2は、本発明のための例示のためのネットワーク・アーキテクチャを示す機能ブロック線図である。
【図3】 図3は、本発明のための例示のためのソフトウェア・アーキテクチャを示す機能ブロック線図である。
【図4】 図4は、本発明のための例示のためのソフトウェアおよびハードウェア・アーキテクチャを示す機能ブロック線図である。
【図5A】 図5Aは、コンピュータのインシデント源についての情報をフュージョン・エンジンに接続されたイベント・コレクタに供給するセキュリティ情報のデータ・ソースを示す機能ブロック線図である。
【図5B】 図5Bは、侵入探知システム中のディテクタによって生成される生イベント中に存在することができるデータのタイプを示す説明図である。
【図5C】 図5Cは、フュージョン・エンジンのCoBRAプロセッサによって処理された例示のための生イベントを示す説明図である。
【図5D】 図5Dは、攻撃されたホスト・コンピュータからの攻撃というセキュリティに対する脅威を示す機能ブロック線図である。
【図5E】 図5Eは、図5Dに基づく例示のための相関イベントの実際にあり得るデータを示す説明図である。
【図5F】 図5Fは、図5Dに基づくもう1つの例示のための相関イベントの実際にあり得るデータを示す説明図である。
【図6】 図6は、図2に示されているフュージョン・エンジンの幾つかの構成要素を示す機能ブロック線図である。
【図7】 図7は、1つまたはそれ以上のデータ・ソースから集められたセキュリティ情報を管理するための方法の例示のための実施の形態を示す論理フロー図である。
【図8】 図8は、図6に図示されまた図7および9−15に関して解説されているいろいろなソフトウェア・コンポーネントの間の情報の交換を示すデータ・フロー図である。
【図9】 図9は、リアルタイムの生イベントをイベント・タイプのリスト中の1つまたはそれ以上のカテゴリに配属させるための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図10】 図10は、各リアルタイム生イベントにコンテキスト・パラメータを指定するための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図11】 図11は、各リアルタイム生イベントの優先順位を調整するための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図12】 図12は、各リアルタイム生イベントの優先順位を調整するための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図13】 図13は、リアルタイムの生イベントのデータを対応するルールに送るための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図14】 図14は、相関イベントが成熟しているか否かを判断するための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。
【図15】 図15は、成熟相関イベントが発生を停止しているか否かを判断するための図7の例示のためのサブプロセスまたはルーチンを示す論理フロー図である。

Claims (16)

  1. 生イベントに対して、損害を引き起こす危険性の高低に応じた優先順位を指定する1以上のデータ・ソースから生イベントを受け取るステップと、
    前記生イベントを分類するステップと、
    前記生イベントを記憶するステップと、
    前記生イベントの宛先を示す情報と、コンテキスト・データベースに格納されたコンピュータの脆弱性情報とを比較して、脆弱性の程度を示す値を各生イベントに付けるステップと、
    前記生イベントに割り当てられた脆弱性の程度を示す値に基づいて、各生イベントの前記優先順位を調整すべきか判断するステップと、
    前記判断するステップの結果に基づいて、各生イベントの前記優先順位を変更し、またはそのままにするステップと、
    2以上の生イベントの間に関係を見つけ出すステップと、
    2以上の生イベントの間に何らかの関係を見つけ出すことに対応して、前記優先順位を含む成熟相関イベント・メッセージを生成するステップと、
    生イベントの間の関係を記述する1以上の前記成熟相関イベント・メッセージをコンソールに表示するステップとを含む、セキュリティ情報を管理するための方法。
  2. 前記1以上のデータ・ソースから生イベントを受け取るステップが、侵入探知システム、侵入探知システム内のディテクタ、およびファイヤ・ウォールのうちの1つからリアルタイムの生イベントを受け取るステップをさらに含む請求項1に記載の方法。
  3. 前記1以上のデータ・ソースから生イベントを受け取るステップがファイルおよびデータベースの1つから生イベントを受け取るステップをさらに含む請求項1に記載の方法。
  4. 前記生イベントを分類するステップが、
    各生イベントのためのイベント・タイプ・パラメータを見つけだすステップと、
    前記イベント・タイプ・パラメータをリストのイベント・タイプ・カテゴリと比較するステップと、
    各生イベントを前記リスト中の対応するイベント・タイプのカテゴリに配属するステップと、
    をさらに含む請求項1に記載の方法。
  5. 各生イベントに前記生イベントの環境に関係する追加のパラメータを付け加えるステップをさらに含む請求項1に記載の方法。
  6. 前記追加のパラメータは、ヒストリカル頻度値、送信元ゾーン値、宛先ゾーン値、およびテキスト列のどれか1つを含む請求項5に記載の方法。
  7. 前記2以上の生イベントの間の関係を見つけ出すステップが、
    各生イベントを生イベントのタイプ・パラメータに対応する1以上のルールと関係付けるステップと、
    各ルールを生イベントの関係付けられたグループに適用するステップと、
    成功したルールの適用に基づいてコンピュータに対する攻撃またはセキュリティの侵害が起きたかどうか判断するステップと、
    をさらに含む請求項1に記載の方法。
  8. 前記生イベントを記憶するステップが、各生イベントをランダム・アクセス・メモリ(RAM)を含む高速メモリ・デバイスに記憶させるステップをさらに含む請求項1に記載の方法。
  9. 前記生成された前記成熟相関イベントのタイプに基づいてコンピュータに対する攻撃の意図を判断するステップをさらに含む請求項1に記載の方法。
  10. メモリ管理リストを作成するステップと、
    各生イベントのタイムスタンプを見つけるステップと、
    各生イベントを前記メモリ管理リストに付け加えるステップと、
    をさらに含む請求項1に記載の方法。
  11. 1以上の生イベントを監視している1以上のソフトウェア・コンポーネントを見つけ出すための生イベント追跡インデックスを作成するステップをさらに含む請求項1に記載の方法。
  12. 前記生イベントを分類するステップは、生イベント分類データベースを使用してイベント・タイプ・パラメータを割り当て、
    前記生イベント分類データベースは、生イベントによって示される活動が1以上の標的コンピュータにどのようにして影響を与える可能性があるか、生イベントによって示される活動によって影響を受ける可能性があるコンピュータの数はどのくらいか、および各生イベントによって示される活動はどのようにして1以上の標的コンピュータにアクセスするか、のどれかに基づいて生イベントをカテゴリに分ける情報を含む、請求項1に記載の方法。
  13. 生イベントに対して、損害を引き起こす危険性の高低に応じた優先順位を指定する複数のデータ・ソースと、
    前記複数のデータ・ソースにリンクされたイベント・コレクタと、
    前記イベント・コレクタにリンクされたフュージョン・エンジンであって、前記データ・ソースによって生成された2以上の生イベントの間の関係を見つけだすフュージョン・エンジンと、
    前記イベント・コレクタにリンクされた、前記フュージョン・エンジンによって生成された成熟相関イベント・メッセージを表示するためのコンソールとを含み、
    前記フュージョン・エンジンは、
    前記複数のデータ・ソースから前記イベント・コレクタを介して生イベントを受け取け、
    前記生イベントを分類し、
    前記生イベントの宛先を示す情報と、コンテキスト・データベースに格納されたコンピュータの脆弱性情報とを比較して、脆弱性の程度を示す値を各生イベントに付け、
    前記生イベントに割り当てられた脆弱性の程度を示す値に基づいて、各生イベントの前記優先順位を調整すべきか判断し、
    前記判断の結果に基づいて、各生イベントの前記優先順位を変更し、またはそのままにし、
    2以上の生イベントの間に関係を見つけ出し、前記優先順位を含む成熟相関イベント・メッセージを生成して前記コンソールに出力する、セキュリティ管理システム。
  14. コンピュータのカーネル・モードで動作するディテクタと前記コンピュータのユーザ・モードで動作する前記フュージョン・エンジンをさらに含む請求項13に記載のセキュリティ管理システム。
  15. ディテクタのチップ、およびコンピュータ上で動作するソフトウェアを含む前記フュージョン・エンジンをさらに含む請求項13に記載のセキュリティ管理システム。
  16. ディテクタ基板、およびコピュータ上で動作するソフトウェアを含む前記フュージョン・エンジンをさらに含む請求項13に記載のセキュリティ管理システム。
JP2001580642A 2000-04-28 2001-04-27 コンピュータのセキュリティ情報を管理するための方法およびシステム Expired - Fee Related JP4700884B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US20031600P 2000-04-28 2000-04-28
US60/200,316 2000-04-28
PCT/US2001/013799 WO2001084285A2 (en) 2000-04-28 2001-04-27 Method and system for managing computer security information

Publications (3)

Publication Number Publication Date
JP2004537075A JP2004537075A (ja) 2004-12-09
JP2004537075A5 JP2004537075A5 (ja) 2008-02-28
JP4700884B2 true JP4700884B2 (ja) 2011-06-15

Family

ID=22741198

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001580642A Expired - Fee Related JP4700884B2 (ja) 2000-04-28 2001-04-27 コンピュータのセキュリティ情報を管理するための方法およびシステム

Country Status (6)

Country Link
US (1) US7089428B2 (ja)
EP (1) EP1277326A2 (ja)
JP (1) JP4700884B2 (ja)
AU (1) AU2001262958A1 (ja)
IL (1) IL152502A0 (ja)
WO (1) WO2001084285A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US9548989B2 (en) 2014-01-09 2017-01-17 Fujitsu Limited Network monitoring apparatus and method

Families Citing this family (356)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7403922B1 (en) * 1997-07-28 2008-07-22 Cybersource Corporation Method and apparatus for evaluating fraud risk in an electronic commerce transaction
US7096192B1 (en) * 1997-07-28 2006-08-22 Cybersource Corporation Method and system for detecting fraud in a credit card transaction over a computer network
US7181486B1 (en) 1998-12-07 2007-02-20 Network Ice Corporation Method and apparatus for remote installation of network drivers and software
US6804232B1 (en) * 2000-03-27 2004-10-12 Bbnt Solutions Llc Personal area network with automatic attachment and detachment
US7089428B2 (en) 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US6907531B1 (en) 2000-06-30 2005-06-14 Internet Security Systems, Inc. Method and system for identifying, fixing, and updating security vulnerabilities
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US6845416B1 (en) * 2000-08-02 2005-01-18 National Instruments Corporation System and method for interfacing a CAN device and a peripheral device
US8037530B1 (en) * 2000-08-28 2011-10-11 Verizon Corporate Services Group Inc. Method and apparatus for providing adaptive self-synchronized dynamic address translation as an intrusion detection sensor
US6807569B1 (en) * 2000-09-12 2004-10-19 Science Applications International Corporation Trusted and anonymous system and method for sharing threat data to industry assets
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US8677505B2 (en) * 2000-11-13 2014-03-18 Digital Doors, Inc. Security system with extraction, reconstruction and secure recovery and storage of data
US7103915B2 (en) 2000-11-13 2006-09-05 Digital Doors, Inc. Data security system and method
US7669051B2 (en) 2000-11-13 2010-02-23 DigitalDoors, Inc. Data security system and method with multiple independent levels of security
US8176563B2 (en) * 2000-11-13 2012-05-08 DigitalDoors, Inc. Data security system and method with editor
US7546334B2 (en) * 2000-11-13 2009-06-09 Digital Doors, Inc. Data security system and method with adaptive filter
US7191252B2 (en) * 2000-11-13 2007-03-13 Digital Doors, Inc. Data security system and method adjunct to e-mail, browser or telecom program
US7130466B2 (en) 2000-12-21 2006-10-31 Cobion Ag System and method for compiling images from a database and comparing the compiled images with known images
US20060265746A1 (en) * 2001-04-27 2006-11-23 Internet Security Systems, Inc. Method and system for managing computer security information
US7865427B2 (en) * 2001-05-30 2011-01-04 Cybersource Corporation Method and apparatus for evaluating fraud risk in an electronic commerce transaction
AU2002344308A1 (en) 2001-05-31 2002-12-09 Internet Security Systems, Inc. Method and system for implementing security devices in a network
US7234168B2 (en) * 2001-06-13 2007-06-19 Mcafee, Inc. Hierarchy-based method and apparatus for detecting attacks on a computer system
US6944775B2 (en) * 2001-07-26 2005-09-13 Networks Associates Technology, Inc. Scanner API for executing multiple scanning engines
US7278160B2 (en) * 2001-08-16 2007-10-02 International Business Machines Corporation Presentation of correlated events as situation classes
US7571480B2 (en) * 2001-08-16 2009-08-04 International Business Machines Corporation Presentation of correlated events as situation classes
US7359966B2 (en) * 2001-10-16 2008-04-15 Bbn Technologies Corp. Methods and systems for passive information discovery using Lomb periodogram processing
US7263479B2 (en) * 2001-10-19 2007-08-28 Bbn Technologies Corp. Determining characteristics of received voice data packets to assist prosody analysis
US7574597B1 (en) 2001-10-19 2009-08-11 Bbn Technologies Corp. Encoding of signals to facilitate traffic analysis
US20030135749A1 (en) * 2001-10-31 2003-07-17 Gales George S. System and method of defining the security vulnerabilities of a computer system
US7836503B2 (en) * 2001-10-31 2010-11-16 Hewlett-Packard Development Company, L.P. Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US20030159060A1 (en) * 2001-10-31 2003-08-21 Gales George S. System and method of defining the security condition of a computer system
US20030093692A1 (en) * 2001-11-13 2003-05-15 Porras Phillip A. Global deployment of host-based intrusion sensors
US20040257999A1 (en) * 2001-11-16 2004-12-23 Macisaac Gary Method and system for detecting and disabling sources of network packet flooding
US7840663B1 (en) * 2001-12-21 2010-11-23 Mcafee, Inc. Desktop security in peer-to-peer networks
US7225343B1 (en) * 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US6915110B2 (en) * 2002-02-05 2005-07-05 Tektronix International Sales Gmbh Multi-protocol call trace on GPRS Gb-Gr
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US20030172291A1 (en) * 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US20030188189A1 (en) * 2002-03-27 2003-10-02 Desai Anish P. Multi-level and multi-platform intrusion detection and response system
AU2003223551A1 (en) * 2002-04-11 2003-10-27 The Johns Hopkins University Intrusion detection system for wireless networks
US20030200488A1 (en) * 2002-04-17 2003-10-23 Lloyd Paul C. Method and network for containing the spread of damage from a network element subject to compromise
US7421491B2 (en) * 2002-04-23 2008-09-02 Seer Insight Security K.K. Method and system for monitoring individual devices in networked environments
US7051102B2 (en) * 2002-04-29 2006-05-23 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
JP4020912B2 (ja) * 2002-05-28 2007-12-12 富士通株式会社 不正アクセス検知装置、不正アクセス検知プログラムおよび不正アクセス検知方法
JP3794491B2 (ja) 2002-08-20 2006-07-05 日本電気株式会社 攻撃防御システムおよび攻撃防御方法
ATE540505T1 (de) * 2002-08-26 2012-01-15 Ibm Bestimmung des mit einer netzwerkaktivität assoziierten bedrohungsgrades
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
US20040064725A1 (en) * 2002-09-18 2004-04-01 Microsoft Corporation Method and system for detecting a communication problem in a computer network
US20040059920A1 (en) * 2002-09-19 2004-03-25 International Business Machines Corporation Security health checking tool
US20040064731A1 (en) * 2002-09-26 2004-04-01 Nguyen Timothy Thien-Kiem Integrated security administrator
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
US7234166B2 (en) * 2002-11-07 2007-06-19 Stonesoft Corporation Event sequence detection
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7941854B2 (en) * 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
US20040111507A1 (en) * 2002-12-05 2004-06-10 Michael Villado Method and system for monitoring network communications in real-time
US20040111638A1 (en) * 2002-12-09 2004-06-10 Satyendra Yadav Rule-based network survivability framework
US7624143B2 (en) * 2002-12-12 2009-11-24 Xerox Corporation Methods, apparatus, and program products for utilizing contextual property metadata in networked computing environments
US7461172B2 (en) * 2002-12-12 2008-12-02 Xerox Corporation Methods, apparatus, and program products for configuring components in networked computing environments
WO2004056063A1 (en) * 2002-12-13 2004-07-01 Cetacea Networks Corporation Network bandwidth anomaly detector apparatus and method for detecting network attacks using correlation function
US7409721B2 (en) * 2003-01-21 2008-08-05 Symantac Corporation Network risk analysis
US7472272B2 (en) * 2003-01-23 2008-12-30 Verdasys, Inc. Digital asset usage accountability via event journaling
US7100047B2 (en) * 2003-01-23 2006-08-29 Verdasys, Inc. Adaptive transparent encryption
US7814021B2 (en) 2003-01-23 2010-10-12 Verdasys, Inc. Managed distribution of digital assets
US20040153644A1 (en) * 2003-02-05 2004-08-05 Mccorkendale Bruce Preventing execution of potentially malicious software
CA2419305C (en) * 2003-02-20 2006-03-21 Ibm Canada Limited - Ibm Canada Limitee Unified logging service for distributed applications
US7318105B1 (en) 2003-03-11 2008-01-08 Bbn Technologies Corp. Dynamically detecting topology and egress nodes in communication networks
US8533840B2 (en) * 2003-03-25 2013-09-10 DigitalDoors, Inc. Method and system of quantifying risk
US7895649B1 (en) 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US8127359B2 (en) 2003-04-11 2012-02-28 Samir Gurunath Kelekar Systems and methods for real-time network-based vulnerability assessment
US8024795B2 (en) 2003-05-09 2011-09-20 Q1 Labs, Inc. Network intelligence system
MXPA04007406A (es) * 2003-05-17 2005-02-17 Microsoft Corp Mecanismo para evaluar riesgos de seguridad.
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US9118711B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
JP4129207B2 (ja) * 2003-07-18 2008-08-06 株式会社日立製作所 不正侵入分析装置
US20050038791A1 (en) * 2003-08-13 2005-02-17 Hewlett-Packard Development Company, L.P. System and method for event notification
US8225407B1 (en) 2003-08-21 2012-07-17 Symantec Corporation Incident prioritization and adaptive response recommendations
US8539063B1 (en) 2003-08-29 2013-09-17 Mcafee, Inc. Method and system for containment of networked application client software by explicit human input
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US7353536B1 (en) * 2003-09-23 2008-04-01 At&T Delaware Intellectual Property, Inc Methods of resetting passwords in network service systems including user redirection and related systems and computer-program products
JP2005108099A (ja) * 2003-10-01 2005-04-21 Hitachi Ltd 情報セキュリティポリシー評価システム及びその制御方法
CA2541156C (en) * 2003-10-03 2012-02-28 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
JP4188203B2 (ja) * 2003-10-27 2008-11-26 Kddi株式会社 ログ分析装置、ログ分析方法およびログ分析プログラム
JP4051020B2 (ja) * 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US7333999B1 (en) 2003-10-30 2008-02-19 Arcsight, Inc. Expression editor
US20050138426A1 (en) * 2003-11-07 2005-06-23 Brian Styslinger Method, system, and apparatus for managing, monitoring, auditing, cataloging, scoring, and improving vulnerability assessment tests, as well as automating retesting efforts and elements of tests
US9401838B2 (en) * 2003-12-03 2016-07-26 Emc Corporation Network event capture and retention system
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US20050198530A1 (en) * 2003-12-12 2005-09-08 Chess David M. Methods and apparatus for adaptive server reprovisioning under security assault
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
FR2864392A1 (fr) 2003-12-17 2005-06-24 France Telecom Procede de classification automatique d'un ensemble d'alertes issues de sondes de detection d'intrusions d'un systeme de securite d'information
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US20050240781A1 (en) * 2004-04-22 2005-10-27 Gassoway Paul A Prioritizing intrusion detection logs
US20050240780A1 (en) * 2004-04-23 2005-10-27 Cetacea Networks Corporation Self-propagating program detector apparatus, method, signals and medium
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
US7620986B1 (en) * 2004-06-14 2009-11-17 Xangati, Inc. Defenses against software attacks in distributed computing environments
US7873955B1 (en) 2004-09-07 2011-01-18 Mcafee, Inc. Solidifying the executable software set of a computer
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
US8108929B2 (en) * 2004-10-19 2012-01-31 Reflex Systems, LLC Method and system for detecting intrusive anomalous use of a software system using multiple detection algorithms
US20060085852A1 (en) * 2004-10-20 2006-04-20 Caleb Sima Enterprise assessment management
US7424742B1 (en) 2004-10-27 2008-09-09 Arcsight, Inc. Dynamic security events and event channels in a network security system
US9100422B1 (en) * 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7478424B2 (en) * 2004-11-30 2009-01-13 Cymtec Systems, Inc. Propagation protection within a network
US20060117385A1 (en) * 2004-11-30 2006-06-01 Mester Michael L Monitoring propagation protection within a network
US20080222532A1 (en) * 2004-11-30 2008-09-11 Mester Michael L Controlling and Monitoring Propagation Within a Network
US20060117387A1 (en) * 2004-11-30 2006-06-01 Gunsalus Bradley W Propagation protection of email within a network
US7809131B1 (en) * 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US7979889B2 (en) * 2005-01-07 2011-07-12 Cisco Technology, Inc. Methods and apparatus providing security to computer systems and networks
WO2006076307A2 (en) * 2005-01-10 2006-07-20 Regents Of The University Of Minnesota Detection of multi-step computer processes such as network intrusions
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7610610B2 (en) 2005-01-10 2009-10-27 Mcafee, Inc. Integrated firewall, IPS, and virus scanner system and method
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7769851B1 (en) * 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7810151B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US9256740B2 (en) 2005-02-22 2016-02-09 International Business Machines Corporation Method and system for analysis of security events in a managed computer network
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
US8359645B2 (en) * 2005-03-25 2013-01-22 Microsoft Corporation Dynamic protection of unpatched machines
US8589530B2 (en) * 2005-03-28 2013-11-19 Riverbed Technology, Inc. Method and system for managing a distributed network of network monitoring devices
US8516583B2 (en) * 2005-03-31 2013-08-20 Microsoft Corporation Aggregating the knowledge base of computer systems to proactively protect a computer from malware
US7603552B1 (en) 2005-05-04 2009-10-13 Mcafee, Inc. Piracy prevention using unique module translation
US20060259967A1 (en) * 2005-05-13 2006-11-16 Microsoft Corporation Proactively protecting computers in a networking environment from malware
US7743421B2 (en) 2005-05-18 2010-06-22 Alcatel Lucent Communication network security risk exposure management systems and methods
US8572733B1 (en) 2005-07-06 2013-10-29 Raytheon Company System and method for active data collection in a network security system
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US8209759B2 (en) * 2005-07-18 2012-06-26 Q1 Labs, Inc. Security incident manager
US7873998B1 (en) * 2005-07-19 2011-01-18 Trustwave Holdings, Inc. Rapidly propagating threat detection
US7716739B1 (en) * 2005-07-20 2010-05-11 Symantec Corporation Subjective and statistical event tracking incident management system
US7937344B2 (en) 2005-07-25 2011-05-03 Splunk Inc. Machine data web
JP2009504104A (ja) * 2005-08-03 2009-01-29 カリプティクス セキュリティ ネットワーク環境を動的に学習して適応型セキュリティを実現するシステムおよび方法
US7950058B1 (en) * 2005-09-01 2011-05-24 Raytheon Company System and method for collaborative information security correlation in low bandwidth environments
US8224761B1 (en) 2005-09-01 2012-07-17 Raytheon Company System and method for interactive correlation rule design in a network security system
US7814548B2 (en) 2005-09-13 2010-10-12 Honeywell International Inc. Instance based learning framework for effective behavior profiling and anomaly intrusion detection
US8438643B2 (en) * 2005-09-22 2013-05-07 Alcatel Lucent Information system service-level security risk analysis
US8095984B2 (en) 2005-09-22 2012-01-10 Alcatel Lucent Systems and methods of associating security vulnerabilities and assets
US8544098B2 (en) * 2005-09-22 2013-09-24 Alcatel Lucent Security vulnerability information aggregation
US20070074289A1 (en) * 2005-09-28 2007-03-29 Phil Maddaloni Client side exploit tracking
DE102005055148B4 (de) 2005-11-18 2008-04-10 Siemens Ag Verfahren, Detektionseinrichtung und Servereinrichtung zur Auswertung einer eingehenden Kommunikation an einer Kommunikationseinrichtung
US8069452B2 (en) 2005-12-01 2011-11-29 Telefonaktiebolaget L M Ericsson (Publ) Method and management agent for event notifications correlation
US7961633B2 (en) * 2005-12-08 2011-06-14 Sanjeev Shankar Method and system for real time detection of threats in high volume data streams
US7882560B2 (en) * 2005-12-16 2011-02-01 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US8495743B2 (en) * 2005-12-16 2013-07-23 Cisco Technology, Inc. Methods and apparatus providing automatic signature generation and enforcement
US9286469B2 (en) * 2005-12-16 2016-03-15 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic signature generation
US8413245B2 (en) * 2005-12-16 2013-04-02 Cisco Technology, Inc. Methods and apparatus providing computer and network security for polymorphic attacks
US7793138B2 (en) * 2005-12-21 2010-09-07 Cisco Technology, Inc. Anomaly detection for storage traffic in a data center
US7590113B1 (en) * 2005-12-29 2009-09-15 At&T Corp. Method and apparatus for generating a reconnaissance index
US7849185B1 (en) 2006-01-10 2010-12-07 Raytheon Company System and method for attacker attribution in a network security system
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US9167000B2 (en) 2006-02-14 2015-10-20 Ca, Inc. Dynamic threat event management system and method
US8640231B2 (en) * 2006-02-23 2014-01-28 Microsoft Corporation Client side attack resistant phishing detection
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
JP4786392B2 (ja) * 2006-03-31 2011-10-05 セコム株式会社 事象情報管理システム
US7437359B2 (en) * 2006-04-05 2008-10-14 Arcsight, Inc. Merging multiple log entries in accordance with merge properties and mapping properties
US7870387B1 (en) 2006-04-07 2011-01-11 Mcafee, Inc. Program-based authorization
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8181244B2 (en) * 2006-04-20 2012-05-15 Webroot Inc. Backward researching time stamped events to find an origin of pestware
US8352930B1 (en) 2006-04-24 2013-01-08 Mcafee, Inc. Software modification by group to minimize breakage
US8555404B1 (en) 2006-05-18 2013-10-08 Mcafee, Inc. Connectivity-based authorization
US7805675B2 (en) * 2006-05-19 2010-09-28 International Business Machines Corporation Methods, systems, and computer program products for recreating events occurring within a web application
EP1870829B1 (en) * 2006-06-23 2014-12-03 Microsoft Corporation Securing software by enforcing data flow integrity
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8230505B1 (en) 2006-08-11 2012-07-24 Avaya Inc. Method for cooperative intrusion prevention through collaborative inference
US9147271B2 (en) 2006-09-08 2015-09-29 Microsoft Technology Licensing, Llc Graphical representation of aggregated data
US8234706B2 (en) * 2006-09-08 2012-07-31 Microsoft Corporation Enabling access to aggregated software security information
US8112425B2 (en) 2006-10-05 2012-02-07 Splunk Inc. Time series search engine
US7832008B1 (en) * 2006-10-11 2010-11-09 Cisco Technology, Inc. Protection of computer resources
US8108550B2 (en) * 2006-10-25 2012-01-31 Hewlett-Packard Development Company, L.P. Real-time identification of an asset model and categorization of an asset to assist in computer network security
US20080148398A1 (en) * 2006-10-31 2008-06-19 Derek John Mezack System and Method for Definition and Automated Analysis of Computer Security Threat Models
US8811156B1 (en) 2006-11-14 2014-08-19 Raytheon Company Compressing n-dimensional data
US7698305B2 (en) 2006-12-01 2010-04-13 Microsoft Corporation Program modification and loading times in computing devices
US8082342B1 (en) 2006-12-27 2011-12-20 Google Inc. Discovery of short-term and emerging trends in computer network traffic
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
US20080208958A1 (en) * 2007-02-28 2008-08-28 Microsoft Corporation Risk assessment program for a directory service
US10395309B2 (en) * 2007-03-30 2019-08-27 Detica Patent Limited Detection of activity patterns
US8955122B2 (en) 2007-04-04 2015-02-10 Sri International Method and apparatus for detecting malware infection
US9813431B2 (en) * 2007-05-31 2017-11-07 Red Hat, Inc. Browser initiated reporting of fraud
US8006303B1 (en) * 2007-06-07 2011-08-23 International Business Machines Corporation System, method and program product for intrusion protection of a network
US8302197B2 (en) * 2007-06-28 2012-10-30 Microsoft Corporation Identifying data associated with security issue attributes
US8250651B2 (en) * 2007-06-28 2012-08-21 Microsoft Corporation Identifying attributes of aggregated data
US8166138B2 (en) 2007-06-29 2012-04-24 Apple Inc. Network evaluation grid techniques
US8451731B1 (en) 2007-07-25 2013-05-28 Xangati, Inc. Network monitoring using virtual packets
US9961094B1 (en) 2007-07-25 2018-05-01 Xangati, Inc Symptom detection using behavior probability density, network monitoring of multiple observation value types, and network monitoring using orthogonal profiling dimensions
US8639797B1 (en) 2007-08-03 2014-01-28 Xangati, Inc. Network monitoring of behavior probability density
US7620992B2 (en) * 2007-10-02 2009-11-17 Kaspersky Lab Zao System and method for detecting multi-component malware
US8195931B1 (en) 2007-10-31 2012-06-05 Mcafee, Inc. Application change control
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US20090172149A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Real-time information technology environments
US8428983B2 (en) * 2007-12-28 2013-04-23 International Business Machines Corporation Facilitating availability of information technology resources based on pattern system environments
US8751283B2 (en) * 2007-12-28 2014-06-10 International Business Machines Corporation Defining and using templates in configuring information technology environments
US8682705B2 (en) * 2007-12-28 2014-03-25 International Business Machines Corporation Information technology management based on computer dynamically adjusted discrete phases of event correlation
US8375244B2 (en) * 2007-12-28 2013-02-12 International Business Machines Corporation Managing processing of a computing environment during failures of the environment
US20090172674A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Managing the computer collection of information in an information technology environment
US8990810B2 (en) 2007-12-28 2015-03-24 International Business Machines Corporation Projecting an effect, using a pairing construct, of execution of a proposed action on a computing environment
US8326910B2 (en) * 2007-12-28 2012-12-04 International Business Machines Corporation Programmatic validation in an information technology environment
US8763006B2 (en) * 2007-12-28 2014-06-24 International Business Machines Corporation Dynamic generation of processes in computing environments
US9558459B2 (en) * 2007-12-28 2017-01-31 International Business Machines Corporation Dynamic selection of actions in an information technology environment
US8447859B2 (en) * 2007-12-28 2013-05-21 International Business Machines Corporation Adaptive business resiliency computer system for information technology environments
US20090171703A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Use of multi-level state assessment in computer business environments
US20090171731A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Use of graphs in managing computing environments
US8782662B2 (en) * 2007-12-28 2014-07-15 International Business Machines Corporation Adaptive computer sequencing of actions
US20090171708A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Using templates in a computing environment
US8346931B2 (en) * 2007-12-28 2013-01-01 International Business Machines Corporation Conditional computer runtime control of an information technology environment based on pairing constructs
US20090172669A1 (en) * 2007-12-28 2009-07-02 International Business Machines Corporation Use of redundancy groups in runtime computer management of business applications
US8365185B2 (en) * 2007-12-28 2013-01-29 International Business Machines Corporation Preventing execution of processes responsive to changes in the environment
US8868441B2 (en) * 2007-12-28 2014-10-21 International Business Machines Corporation Non-disruptively changing a computing environment
US8341014B2 (en) * 2007-12-28 2012-12-25 International Business Machines Corporation Recovery segments for computer business applications
US8677174B2 (en) * 2007-12-28 2014-03-18 International Business Machines Corporation Management of runtime events in a computer environment using a containment region
US8826077B2 (en) * 2007-12-28 2014-09-02 International Business Machines Corporation Defining a computer recovery process that matches the scope of outage including determining a root cause and performing escalated recovery operations
US8701189B2 (en) 2008-01-31 2014-04-15 Mcafee, Inc. Method of and system for computer system denial-of-service protection
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8615502B2 (en) 2008-04-18 2013-12-24 Mcafee, Inc. Method of and system for reverse mapping vnode pointers
US8365259B2 (en) * 2008-05-28 2013-01-29 Zscaler, Inc. Security message processing
US8452891B2 (en) * 2008-06-19 2013-05-28 4Dk Technologies, Inc. Routing in a communications network using contextual information
US8689335B2 (en) * 2008-06-25 2014-04-01 Microsoft Corporation Mapping between users and machines in an enterprise security assessment sharing system
WO2010019593A1 (en) 2008-08-11 2010-02-18 Assa Abloy Ab Secure wiegand communications
ES2485501T3 (es) * 2008-08-14 2014-08-13 Assa Abloy Ab Lector de RFID con heurísticas de detección de ataques incorporadas
US20100070776A1 (en) * 2008-09-17 2010-03-18 Shankar Raman Logging system events
US7987255B2 (en) * 2008-11-07 2011-07-26 Oracle America, Inc. Distributed denial of service congestion recovery using split horizon DNS
US20100125663A1 (en) * 2008-11-17 2010-05-20 Donovan John J Systems, methods, and devices for detecting security vulnerabilities in ip networks
US8806632B2 (en) * 2008-11-17 2014-08-12 Solarwinds Worldwide, Llc Systems, methods, and devices for detecting security vulnerabilities in IP networks
US8544003B1 (en) 2008-12-11 2013-09-24 Mcafee, Inc. System and method for managing virtual machine configurations
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US10992555B2 (en) 2009-05-29 2021-04-27 Virtual Instruments Worldwide, Inc. Recording, replay, and sharing of live network monitoring views
WO2011002818A1 (en) * 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US8341627B2 (en) 2009-08-21 2012-12-25 Mcafee, Inc. Method and system for providing user space address protection from writable memory area in a virtual environment
US9477947B2 (en) 2009-08-24 2016-10-25 International Business Machines Corporation Retrospective changing of previously sent messages
US9552497B2 (en) 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US8949987B2 (en) * 2010-01-06 2015-02-03 Alcatel Lucent Computer security process monitor
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8549003B1 (en) 2010-09-12 2013-10-01 Mcafee, Inc. System and method for clustering host inventories
US9075993B2 (en) 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US8726385B2 (en) 2011-10-05 2014-05-13 Mcafee, Inc. Distributed system and method for tracking and blocking malicious internet hosts
US8694738B2 (en) 2011-10-11 2014-04-08 Mcafee, Inc. System and method for critical address space protection in a hypervisor environment
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8973144B2 (en) 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US20130333041A1 (en) * 2012-06-12 2013-12-12 International Business Machines Corporation Method and Apparatus for Automatic Identification of Affected Network Resources After a Computer Intrusion
US8856924B2 (en) 2012-08-07 2014-10-07 Cloudflare, Inc. Mitigating a denial-of-service attack in a cloud-based proxy service
US9392003B2 (en) 2012-08-23 2016-07-12 Raytheon Foreground Security, Inc. Internet security cyber threat reporting system and method
US9258321B2 (en) 2012-08-23 2016-02-09 Raytheon Foreground Security, Inc. Automated internet threat detection and mitigation system and associated methods
WO2014045827A1 (ja) 2012-09-19 2014-03-27 三菱電機株式会社 情報処理装置及び情報処理方法及びプログラム
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
EP2947595A4 (en) 2013-01-21 2016-06-08 Mitsubishi Electric Corp ATTACK ANALYSIS SYSTEM, COORDINATION DEVICE, ATTACK ANALYSIS COORDINATION PROCEDURE AND PROGRAM
CN103970261B (zh) * 2013-02-05 2017-09-22 宝德科技股份有限公司 输入装置及其反应操作状态的方法
US9990499B2 (en) * 2013-08-05 2018-06-05 Netflix, Inc. Dynamic security testing
WO2015031866A1 (en) * 2013-08-30 2015-03-05 Clearpath Networks, Inc. System and method of network functions virtualization of network services within and across clouds
US9213807B2 (en) * 2013-09-04 2015-12-15 Raytheon Cyber Products, Llc Detection of code injection attacks
EP3061030A4 (en) 2013-10-24 2017-04-19 McAfee, Inc. Agent assisted malicious application blocking in a network environment
EP3062258A4 (en) * 2013-10-24 2017-05-31 Mitsubishi Electric Corporation Information processing device, information processing method, and program
WO2015128612A1 (en) 2014-02-28 2015-09-03 British Telecommunications Public Limited Company Malicious encrypted traffic inhibitor
WO2015134572A1 (en) * 2014-03-06 2015-09-11 Foreground Security Internet security cyber threat reporting
US9660930B2 (en) 2014-03-17 2017-05-23 Splunk Inc. Dynamic data server nodes
US9753818B2 (en) 2014-09-19 2017-09-05 Splunk Inc. Data forwarding using multiple data pipelines
US9838346B2 (en) 2014-03-17 2017-12-05 Splunk Inc. Alerting on dual-queue systems
US9503467B2 (en) 2014-05-22 2016-11-22 Accenture Global Services Limited Network anomaly detection
DE102014213752A1 (de) * 2014-07-15 2016-01-21 Siemens Aktiengesellschaft Rechenvorrichtung und Verfahren zum Erkennen von Angriffen auf ein technisches System anhand von Ereignissen einer Ereignisfolge
US9407645B2 (en) * 2014-08-29 2016-08-02 Accenture Global Services Limited Security threat information analysis
US9716721B2 (en) 2014-08-29 2017-07-25 Accenture Global Services Limited Unstructured security threat information analysis
US9922037B2 (en) 2015-01-30 2018-03-20 Splunk Inc. Index time, delimiter based extractions and previewing for use in indexing
US10891383B2 (en) 2015-02-11 2021-01-12 British Telecommunications Public Limited Company Validating computer resource usage
US10956614B2 (en) 2015-07-31 2021-03-23 British Telecommunications Public Limited Company Expendable access control
WO2017021155A1 (en) 2015-07-31 2017-02-09 British Telecommunications Public Limited Company Controlled resource provisioning in distributed computing environments
WO2017021154A1 (en) 2015-07-31 2017-02-09 British Telecommunications Public Limited Company Access control
US9979743B2 (en) 2015-08-13 2018-05-22 Accenture Global Services Limited Computer asset vulnerabilities
US9886582B2 (en) 2015-08-31 2018-02-06 Accenture Global Sevices Limited Contextualization of threat data
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
WO2017108576A1 (en) 2015-12-24 2017-06-29 British Telecommunications Public Limited Company Malicious software identification
US10839077B2 (en) 2015-12-24 2020-11-17 British Telecommunications Public Limited Company Detecting malicious software
US10931689B2 (en) 2015-12-24 2021-02-23 British Telecommunications Public Limited Company Malicious network traffic identification
US10733296B2 (en) 2015-12-24 2020-08-04 British Telecommunications Public Limited Company Software security
EP3394784B1 (en) 2015-12-24 2020-10-07 British Telecommunications public limited company Malicious software identification
US11153091B2 (en) 2016-03-30 2021-10-19 British Telecommunications Public Limited Company Untrusted code distribution
WO2017167548A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Assured application services
US11159549B2 (en) 2016-03-30 2021-10-26 British Telecommunications Public Limited Company Network traffic threat identification
EP3437290B1 (en) * 2016-03-30 2020-08-26 British Telecommunications public limited company Detecting computer security threats
WO2017167547A1 (en) 2016-03-30 2017-10-05 British Telecommunications Public Limited Company Cryptocurrencies malware based detection
US11562076B2 (en) 2016-08-16 2023-01-24 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
WO2018033375A2 (en) 2016-08-16 2018-02-22 British Telecommunications Public Limited Company Mitigating security attacks in virtualised computing environments
US9578066B1 (en) * 2016-09-14 2017-02-21 Hytrust, Inc. Systems and method for assuring security governance in managed computer systems
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data
US10452877B2 (en) 2016-12-16 2019-10-22 Assa Abloy Ab Methods to combine and auto-configure wiegand and RS485
US10791134B2 (en) * 2016-12-21 2020-09-29 Threat Stack, Inc. System and method for cloud-based operating system event and data access monitoring
US10771483B2 (en) 2016-12-30 2020-09-08 British Telecommunications Public Limited Company Identifying an attacked computing device
US11605093B1 (en) * 2017-02-22 2023-03-14 Amazon Technologies, Inc. Security policy enforcement
US11777963B2 (en) * 2017-02-24 2023-10-03 LogRhythm Inc. Analytics for processing information system data
EP3602999B1 (en) 2017-03-28 2021-05-19 British Telecommunications Public Limited Company Initialisation vector identification for encrypted malware traffic detection
EP3382591B1 (en) 2017-03-30 2020-03-25 British Telecommunications public limited company Hierarchical temporal memory for expendable access control
WO2018178034A1 (en) 2017-03-30 2018-10-04 British Telecommunications Public Limited Company Anomaly detection for computer systems
WO2018178026A1 (en) 2017-03-30 2018-10-04 British Telecommunications Public Limited Company Hierarchical temporal memory for access control
WO2018206408A1 (en) 2017-05-08 2018-11-15 British Telecommunications Public Limited Company Management of interoperating machine leaning algorithms
WO2018206406A1 (en) 2017-05-08 2018-11-15 British Telecommunications Public Limited Company Adaptation of machine learning algorithms
EP3622447A1 (en) 2017-05-08 2020-03-18 British Telecommunications Public Limited Company Interoperation of machine learning algorithms
US11934937B2 (en) 2017-07-10 2024-03-19 Accenture Global Solutions Limited System and method for detecting the occurrence of an event and determining a response to the event
US10547629B2 (en) * 2017-11-05 2020-01-28 Rapid7, Inc. Detecting malicious network activity using time series payload data
US10824734B2 (en) 2017-11-30 2020-11-03 Bank Of America Corporation System for recurring information security threat assessment
US10607013B2 (en) 2017-11-30 2020-03-31 Bank Of America Corporation System for information security threat assessment and event triggering
US10616261B2 (en) 2017-11-30 2020-04-07 Bank Of America Corporation System for information security threat assessment based on data history
US10963328B2 (en) * 2018-09-05 2021-03-30 Mikroelektronika D.O.O. WiFi programmer and debugger for microcontroller and method thereof
EP3623982B1 (en) 2018-09-12 2021-05-19 British Telecommunications public limited company Ransomware remediation
EP3623980B1 (en) 2018-09-12 2021-04-28 British Telecommunications public limited company Ransomware encryption algorithm determination
US11258827B2 (en) 2018-10-19 2022-02-22 Oracle International Corporation Autonomous monitoring of applications in a cloud environment
US11089034B2 (en) * 2018-12-10 2021-08-10 Bitdefender IPR Management Ltd. Systems and methods for behavioral threat detection
US11153332B2 (en) 2018-12-10 2021-10-19 Bitdefender IPR Management Ltd. Systems and methods for behavioral threat detection
KR102175950B1 (ko) * 2018-12-10 2020-11-09 한국전자통신연구원 이기종 시스템의 보안정보 정규화 장치 및 방법
US11323459B2 (en) * 2018-12-10 2022-05-03 Bitdefender IPR Management Ltd. Systems and methods for behavioral threat detection
EP3767913B1 (en) * 2019-07-17 2023-08-02 AO Kaspersky Lab Systems and methods for correlating events to detect an information security incident
RU2739864C1 (ru) 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ корреляции событий для выявления инцидента информационной безопасности
RU2739206C1 (ru) * 2019-12-26 2020-12-21 Федеральное государственное казенное военное образовательное учреждение высшего образования Академия Федеральной службы охраны Российской Федерации Способ защиты вычислительных сетей с идентификацией нескольких одновременных атак
US11818146B2 (en) * 2019-12-27 2023-11-14 Forescout Technologies, Inc. Framework for investigating events
US11563756B2 (en) * 2020-04-15 2023-01-24 Crowdstrike, Inc. Distributed digital security system
CN111639317B (zh) * 2020-05-24 2023-05-09 中信银行股份有限公司 自动识别高危授权用户方法、装置、电子设备及存储介质
CN112181781B (zh) * 2020-10-15 2022-09-20 新华三信息安全技术有限公司 主机安全威胁程度的告警方法、装置、设备及存储介质
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks
US11847111B2 (en) 2021-04-09 2023-12-19 Bitdefender IPR Management Ltd. Anomaly detection systems and methods
US11888870B2 (en) * 2021-10-04 2024-01-30 Microsoft Technology Licensing, Llc Multitenant sharing anomaly cyberattack campaign detection

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0985995A1 (en) * 1998-09-09 2000-03-15 International Business Machines Corporation Method and apparatus for intrusion detection in computers and computer networks

Family Cites Families (124)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4672609A (en) * 1982-01-19 1987-06-09 Tandem Computers Incorporated Memory system with operation error detection
US4819234A (en) * 1987-05-01 1989-04-04 Prime Computer, Inc. Operating system debugger
US5121345A (en) * 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
US5204966A (en) * 1990-03-09 1993-04-20 Digital Equipment Corporation System for controlling access to a secure system by verifying acceptability of proposed password by using hashing and group of unacceptable passwords
EP0449242A3 (en) 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5210704A (en) * 1990-10-02 1993-05-11 Technology International Incorporated System for prognosis and diagnostics of failure and wearout monitoring and for prediction of life expectancy of helicopter gearboxes and other rotating equipment
EP0510244A1 (en) * 1991-04-22 1992-10-28 Acer Incorporated Method and apparatus for protecting a computer system from computer viruses
US5774727A (en) * 1991-06-27 1998-06-30 Digital Equipment Corporation Parallel processing system for virtual processor implementation of machine-language instructions
US5309562A (en) * 1991-08-19 1994-05-03 Multi-Tech Systems, Inc. Method and apparatus for establishing protocol spoofing from a modem
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
US5311593A (en) * 1992-05-13 1994-05-10 Chipcom Corporation Security system for a network concentrator
US5345595A (en) 1992-11-12 1994-09-06 Coral Systems, Inc. Apparatus and method for detecting fraudulent telecommunication activity
US5586260A (en) 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
US5748098A (en) * 1993-02-23 1998-05-05 British Telecommunications Public Limited Company Event correlation
US5630061A (en) * 1993-04-19 1997-05-13 International Business Machines Corporation System for enabling first computer to communicate over switched network with second computer located within LAN by using media access control driver in different modes
US5398196A (en) * 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5606668A (en) * 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5515508A (en) * 1993-12-17 1996-05-07 Taligent, Inc. Client server system and method of operation including a dynamically configurable protocol stack
US5522026A (en) * 1994-03-18 1996-05-28 The Boeing Company System for creating a single electronic checklist in response to multiple faults
US5675711A (en) * 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5764890A (en) * 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
CA2138302C (en) 1994-12-15 1999-05-25 Michael S. Fortinsky Provision of secure access to external resources from a distributed computing environment
US5590331A (en) 1994-12-23 1996-12-31 Sun Microsystems, Inc. Method and apparatus for generating platform-standard object files containing machine-independent code
JPH08242229A (ja) * 1995-03-01 1996-09-17 Fujitsu Ltd ネットワーク監視における状態整合処理システム
US5749066A (en) * 1995-04-24 1998-05-05 Ericsson Messaging Systems Inc. Method and apparatus for developing a neural network for phoneme recognition
US5734697A (en) * 1995-04-28 1998-03-31 Mci Corporation Method and apparatus for improving telecommunications system performance
US6061795A (en) * 1995-07-31 2000-05-09 Pinnacle Technology Inc. Network desktop management security system and method
US5878420A (en) * 1995-08-31 1999-03-02 Compuware Corporation Network monitoring and management system
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US6067410A (en) * 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5765030A (en) * 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US5745692A (en) * 1995-10-23 1998-04-28 Ncr Corporation Automated systems administration of remote computer servers
US5832211A (en) 1995-11-13 1998-11-03 International Business Machines Corporation Propagating plain-text passwords from a main registry to a plurality of foreign registries
US5838903A (en) 1995-11-13 1998-11-17 International Business Machines Corporation Configurable password integrity servers for use in a shared resource environment
US5764887A (en) * 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
GB9526129D0 (en) * 1995-12-21 1996-02-21 Philips Electronics Nv Machine code format translation
US5761504A (en) * 1996-02-16 1998-06-02 Motorola, Inc. Method for updating a software code in a communication system
US5950012A (en) 1996-03-08 1999-09-07 Texas Instruments Incorporated Single chip microprocessor circuits, systems, and methods for self-loading patch micro-operation codes and patch microinstruction codes
US5964839A (en) 1996-03-29 1999-10-12 At&T Corp System and method for monitoring information flow and performing data collection
US6377994B1 (en) * 1996-04-15 2002-04-23 International Business Machines Corporation Method and apparatus for controlling server access to a resource in a client/server system
US6014645A (en) * 1996-04-19 2000-01-11 Block Financial Corporation Real-time financial card application system
US5881236A (en) * 1996-04-26 1999-03-09 Hewlett-Packard Company System for installation of software on a remote computer system over a network using checksums and password protection
US5884033A (en) * 1996-05-15 1999-03-16 Spyglass, Inc. Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions
US5798706A (en) 1996-06-18 1998-08-25 Raptor Systems, Inc. Detecting unauthorized network communication
US5857191A (en) * 1996-07-08 1999-01-05 Gradient Technologies, Inc. Web application server with secure common gateway interface
US5787177A (en) 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US5828833A (en) 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US5864665A (en) * 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5899999A (en) * 1996-10-16 1999-05-04 Microsoft Corporation Iterative convolution filter particularly suited for use in an image classification and retrieval system
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5875296A (en) * 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US5983270A (en) 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6085224A (en) 1997-03-11 2000-07-04 Intracept, Inc. Method and system for responding to hidden data and programs in a datastream
US5987606A (en) 1997-03-19 1999-11-16 Bascom Global Internet Services, Inc. Method and system for content filtering information retrieved from an internet computer network
JP3028783B2 (ja) * 1997-04-25 2000-04-04 日本電気株式会社 ネットワークの監視方法と装置
US6119234A (en) 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US6073172A (en) * 1997-07-14 2000-06-06 Freegate Corporation Initializing and reconfiguring a secure network interface
US6275938B1 (en) 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6016553A (en) * 1997-09-05 2000-01-18 Wild File, Inc. Method, software and apparatus for saving, using and recovering data
US6199181B1 (en) * 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
US5983348A (en) 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6357008B1 (en) * 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US6081894A (en) * 1997-10-22 2000-06-27 Rvt Technologies, Inc. Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data
US6035323A (en) * 1997-10-24 2000-03-07 Pictra, Inc. Methods and apparatuses for distributing a collection of digital media over a network with automatic generation of presentable media
US6041347A (en) * 1997-10-24 2000-03-21 Unified Access Communications Computer system and computer-implemented process for simultaneous configuration and monitoring of a computer network
US6070244A (en) * 1997-11-10 2000-05-30 The Chase Manhattan Bank Computer network security management system
US6021510A (en) * 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6026442A (en) * 1997-11-24 2000-02-15 Cabletron Systems, Inc. Method and apparatus for surveillance in communications networks
IL122314A (en) 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6052709A (en) * 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6088803A (en) 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6029256A (en) * 1997-12-31 2000-02-22 Network Associates, Inc. Method and system for allowing computer programs easy access to features of a virus scanning engine
US6035423A (en) * 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6195687B1 (en) * 1998-03-18 2001-02-27 Netschools Corporation Method and apparatus for master-slave control in a educational classroom communication network
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6070190A (en) * 1998-05-11 2000-05-30 International Business Machines Corporation Client-based application availability and response monitoring and reporting for distributed computing environments
US6173413B1 (en) * 1998-05-12 2001-01-09 Sun Microsystems, Inc. Mechanism for maintaining constant permissions for multiple instances of a device within a cluster
US6397242B1 (en) * 1998-05-15 2002-05-28 Vmware, Inc. Virtualization system including a virtual machine monitor for a computer with a segmented architecture
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
US6185689B1 (en) * 1998-06-24 2001-02-06 Richard S. Carson & Assoc., Inc. Method for network self security assessment
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6338141B1 (en) * 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6230288B1 (en) * 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6530024B1 (en) * 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6266774B1 (en) 1998-12-08 2001-07-24 Mcafee.Com Corporation Method and system for securing, managing or optimizing a personal computer
US6517587B2 (en) * 1998-12-08 2003-02-11 Yodlee.Com, Inc. Networked architecture for enabling automated gathering of information from Web servers
US6226372B1 (en) * 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6574737B1 (en) * 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US6205552B1 (en) * 1998-12-31 2001-03-20 Mci Worldcom, Inc. Method and apparatus for checking security vulnerability of networked devices
US6510523B1 (en) * 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6397245B1 (en) * 1999-06-14 2002-05-28 Hewlett-Packard Company System and method for evaluating the operation of a computer over a computer network
US6519647B1 (en) * 1999-07-23 2003-02-11 Microsoft Corporation Methods and apparatus for synchronizing access control in a web server
US6563959B1 (en) * 1999-07-30 2003-05-13 Pixlogic Llc Perceptual similarity image retrieval method
US6691232B1 (en) * 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
US6405364B1 (en) * 1999-08-31 2002-06-11 Accenture Llp Building techniques in a development architecture framework
US6606744B1 (en) * 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7089428B2 (en) 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US6718383B1 (en) * 2000-06-02 2004-04-06 Sun Microsystems, Inc. High availability networking with virtual IP address failover
US8341743B2 (en) * 2000-07-14 2012-12-25 Ca, Inc. Detection of viral code using emulation of operating system functions
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US6353385B1 (en) * 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system
US7124440B2 (en) * 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US20020035698A1 (en) * 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US20020083331A1 (en) * 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US7058968B2 (en) 2001-01-10 2006-06-06 Cisco Technology, Inc. Computer security and management system
CA2452285A1 (en) * 2001-06-27 2003-01-09 Arbor Networks Method and system for monitoring control signal traffic over a computer network
US6546493B1 (en) * 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
US6721806B2 (en) * 2002-09-05 2004-04-13 International Business Machines Corporation Remote direct memory access enabled network interface controller switchover and switchback support

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0985995A1 (en) * 1998-09-09 2000-03-15 International Business Machines Corporation Method and apparatus for intrusion detection in computers and computer networks

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531647A (ja) * 2011-09-09 2014-11-27 ヒューレット−パッカード デベロップメント カンパニー エル.ピー.Hewlett‐Packard Development Company, L.P. 基準ベースラインに基づき、イベントシーケンス中の時間的位置に従ってイベントを評価するシステム及び方法
US9646155B2 (en) 2011-09-09 2017-05-09 Hewlett Packard Enterprise Development Lp Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events
US9548989B2 (en) 2014-01-09 2017-01-17 Fujitsu Limited Network monitoring apparatus and method

Also Published As

Publication number Publication date
IL152502A0 (en) 2003-05-29
JP2004537075A (ja) 2004-12-09
US7089428B2 (en) 2006-08-08
WO2001084285A3 (en) 2002-06-13
US20020078381A1 (en) 2002-06-20
EP1277326A2 (en) 2003-01-22
AU2001262958A1 (en) 2001-11-12
WO2001084285A2 (en) 2001-11-08

Similar Documents

Publication Publication Date Title
JP4700884B2 (ja) コンピュータのセキュリティ情報を管理するための方法およびシステム
US8141157B2 (en) Method and system for managing computer security information
US20240022595A1 (en) Method for sharing cybersecurity threat analysis and defensive measures amongst a community
JP6894003B2 (ja) Apt攻撃に対する防御
US10009361B2 (en) Detecting malicious resources in a network based upon active client reputation monitoring
US7594009B2 (en) Monitoring network activity
US8640234B2 (en) Method and apparatus for predictive and actual intrusion detection on a network
US7574740B1 (en) Method and system for intrusion detection in a computer network
US9667589B2 (en) Logical / physical address state lifecycle management
US7752665B1 (en) Detecting probes and scans over high-bandwidth, long-term, incomplete network traffic information using limited memory
US20040205419A1 (en) Multilevel virus outbreak alert based on collaborative behavior
US11700269B2 (en) Analyzing user behavior patterns to detect compromised nodes in an enterprise network
Yu et al. TRINETR: an intrusion detection alert management systems
CN113132335A (zh) 一种虚拟变换系统、方法及网络安全系统与方法
Arvidson et al. Intrusion Detection Systems: Technologies, Weaknesses and Trends
De La Peña Montero et al. Autonomic and integrated management for proactive cyber security (AIM-PSC)
Гарасимчук et al. Analysis of principles and systems for detecting remote attacks through the internet
Kaur et al. Intrusion detection system using honeypots and swarm intelligence
Ye et al. Attack profiles to derive data observations, features, and characteristics of cyber attacks
Okoro et al. Prototype Implementation of a Hybrid Intrusion Detection System
Murray Getting a Handle on Security Events
Muthama et al. Adaptive Network Intrusion Detection and Mitigation Model using Clustering and bayesian Algorithm in a Dynamic Environment

Legal Events

Date Code Title Description
A072 Dismissal of procedure [no reply to invitation to correct request for examination]

Free format text: JAPANESE INTERMEDIATE CODE: A072

Effective date: 20041019

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071127

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20080110

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080110

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100803

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20100820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100820

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20101008

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101102

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110120

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110215

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20110215

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110307

LAPS Cancellation because of no payment of annual fees