CN100358281C - 入侵检测方法和系统 - Google Patents
入侵检测方法和系统 Download PDFInfo
- Publication number
- CN100358281C CN100358281C CNB2004100475986A CN200410047598A CN100358281C CN 100358281 C CN100358281 C CN 100358281C CN B2004100475986 A CNB2004100475986 A CN B2004100475986A CN 200410047598 A CN200410047598 A CN 200410047598A CN 100358281 C CN100358281 C CN 100358281C
- Authority
- CN
- China
- Prior art keywords
- intrusion detection
- detection service
- invasion
- application program
- computer system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Alarm Systems (AREA)
Abstract
公开了一种检测对计算机的入侵的方法。通过应用程序访问入侵检测服务系统来评估至少一个与该应用程序的通信,选择性地评估该通信。
Description
技术领域
本发明涉及计算机安全领域,更具体地,本发明涉及检测破坏计算机安全策略的计算机入侵。
背景技术
在计算机安全领域,入侵是包含很多不期望行为的广义术语。入侵的目的通常是为了获取人们(信息窃贼)越权拥有的信息,它会使网络、系统或应用软件瘫痪(被称为“拒绝服务”)而造成利益伤害,或者,它可以是获得对系统的未授权使用作为垫脚石而进一步去入侵其他地方。入侵往往遵循信息收集、蓄意进入、破坏攻击的模式。
虽然常常并不是实时的,有一些入侵还是可以被目标系统检测到并被遏制。而对于其他的一些入侵,目标系统则不能有效地进行遏制。入侵也会利用一些不易被追寻真实来源的“哄骗”包。当今,许多入侵借助一些不知情的帮手,即那些被越权使用的机器或网络,来隐藏入侵者的身份。基于这些原因,检测信息收集、蓄意访问和入侵帮手行为的意图会成为入侵检测的一个重要部分。
如图1所示,通过位于外部网135(如互联网)上的入侵者130或位于内部网115上的入侵者110,入侵可以针对内部网115上的主机100发起。防火墙120可以阻断一些来自外部网的入侵。可是,不能阻止防火墙已经“允许”进入内部网115的入侵,而且当从内部网115内发起入侵(如入侵者110)时,也不能提供任何的保护。另外,端到端加密会限制那些能被中间设备(如防火墙120)检测到的入侵的类型,因为中间设备不能把未加密的包当作是入侵的证据。
入侵检测服务系统(以下简称“IDS”)能够对许多入侵类型进行检测。如图2所示,IDS可以包含检测网络通信的检测器(sniffer)。检测器一般安放在网络的关键位置(strategic point),如图2中防火墙220之前的检测器210;防火墙220后面的检测器230;内部网115中的检测器240;和/或位于主机260与内部网之间的检测器250。检测器使用“模式匹配”来尝试使传输的信息与已知入侵信号的特征匹配。在所有的网络通信中执行模式匹配需要相当多的处理时间,这会引起待分析的网络通信的堆积,从而延误了入侵的识别。随着用于模式匹配的已知入侵特征数量的增长,识别入侵时的处理时间和相关延误会相应增加。
检测到入侵后,检测器会警告IDS管理系统270,该系统会采取行动来阻止入侵。例如,图2中的检测器230和250向IDS管理系统270发送“警报”。检测器也会,或选择性地,通知服务,如IBM的紧急情况响应服务(ERS)单元200,该系统提供对IDS部件检测到的安全警报的记录和分析。在图示的例子中,防火墙220之前的检测器210发送警报给紧急情况响应服务单元200。然而,破坏性的入侵在检测器识别该入侵并且IDS管理系统采取行动去阻止之前往往已经发生。
进一步的有关入侵检测服务系统的背景讨论可参考美国专利申请10/058,870,2002年1月28日,“综合入侵检测服务系统”。
发明内容
本发明的一些实施例给出了检测对计算机的入侵的方法,包括用专门针对应用程序的入侵检测服务策略配置与所述应用程序相关的入侵检测服务模块;由所述应用程序访问所述入侵检测服务模块以评估至少一个与该应用程序的通信的入侵;以及由所述入侵检测服务模块评估所述通信的入侵。因此,该应用程序可检测到针对它本身的入侵,也能够更迅速地检测入侵并且对检测到的入侵作出反应。而且,在解密后和/或加密前,该应用程序会检查该通信,这将使入侵检测更加准确。
本发明还提供了一种用于检测入侵的计算机系统,该计算机系统包含:与应用程序相关的入侵检测服务模块,用专门针对所述应用程序的入侵检测服务策略配置,被构造成评估至少一个与所述应用程序的通信的入侵;和所述应用程序,用于访问所述入侵检测服务模块以评估所述通信。
本发明的其他一些实施例包含向相同的逻辑存储空间分配应用程序和入侵检测服务。入侵检测服务通过比较通信和入侵检测服务策略,可以检测到入侵,应用程序也可以根据检测到的入侵作出响应动作。
附图说明
图1示出了现有技术下易受安全入侵影响的计算机网络系统的模块图;
图2示出了现有技术下含入侵检测部件的计算机网络系统的模块图;
图3示出了具有基于本发明各种实施例的入侵检测部件的计算机网络系统的模块图;
图4示出了具有基于本发明各种实施例的支持入侵检测服务的应用的主机的模块图;
图5示出了基于本发明各种实施例的检测入侵的操作的流程图;
图6示出了基于本发明实施例的计算机系统的模块图。
具体实施方式
下文中将参照示出了本发明的图解实施例的附图更加全面地描述本发明。本发明还可以通过其他许多方式得以实施,不应该只是限于这里已经提及的这些实施例;这里提及的具体实施例只是为了使公开更加彻底和完整,以便本领域技术人员充分了解本发明的范围。图中用类似的数字代表类似的要件。
本领域技术人员可以理解,本发明可实施为方法、系统和/或计算机程序产品。相应地,本发明可采取以下形式:全硬件实施例、全软件实施例或硬件软件的组合实施例,这里将最后一种情况通称为“电路”或“模块”。再者,本发明也可采取计算机可用存储介质上的计算机程序产品的形式,计算机程序代码在该介质中体现。任何合适的计算机可读介质都可以利用,包括硬盘、CD-ROM,光存储设备,诸如那些支持互联网或企业内部互联网的介质的传输介质,或磁性存储设备。
用来执行本发明操作的计算机程序代码可以用面向对象的编程语言编写,诸如JAVA、Smalltalk或C++。然而,这些用来执行本发明操作的计算机程序代码也可以用常规过程编程语言编写,诸如C语言。程序代码可以作为一个单独软件包可以全部在用户计算机上执行,部分在用户计算机上执行,程序代码也可以一部分在用户计算机上执行,一部分在远程计算机上执行,或全部都在远程计算机上执行。在后面这种情况下,远程计算机通过例如局域网(LAN)或广域网(WAN)与用户计算机连接,或与外部计算机连接(例如,通过使用互联网服务提供商的互联网)。
下面,我们参照根据本发明实施例的方法、设备(系统)和计算机程序产品的流程示意图和/或模块图来描述本发明。应当理解,在流程示意图和/或模块图中的每个块或块的组合均可通过计算机程序指令来实现。这些计算机程序指令可提供给通用或专用计算机的处理器,或其他的可编程数据处理设备以产生机器,使得通过计算机处理器或其他的可编程数据处理设备来运行的指令产生用于实现流程图和/或模块图的一或多个块所规定的功能/动作的步骤。
这些计算机程序指令也可以存储在计算机可读存储器里,可控制计算机或其他可编程数据处理设备按特定方式工作,使得存储在计算机可读存储器中的指令产生一产品,包括用来执行流程图和/或模块图中规定的功能/动作的指令装置。
这些计算机程序指令也可以装载在计算机或其他可编程数据处理设备上,导致一系列的操作步骤在该计算机或其他可编程数据处理设备上执行,从而产生一个计算机执行的过程。这些在计算机或其他可编程数据处理设备上执行的指令提供一系列步骤来实现流程图和/或模块图中规定的功能/动作。
图3示出了具有根据本发明各种实施例的入侵检测部件的计算机网络系统。该系统包含通过内部网320相连的主机300和IDS管理系统310。内部网320通过防火墙340与外部网330连接。IDS管理系统310维护系统的IDS策略,从而形成IDS策略库。与图2所示的现有技术计算机系统相比,图3所示的主机300至少部分负责检测对其自身的入侵。主机300包含至少一个支持IDS的应用350,它被构造成检测对其自身的入侵。系统还可以包含另外的主机和/或另外的IDS部件,例如,位于内部网320和/或外部网310上的检测器,还可以包含警报监视系统,例如图2中的ERS 200。
IDS管理系统310和/或主机300内的IDS策略可以包含一个或多个特征文件和/或策略规则。通过比较特征文件与网络传输,可以识别可能的入侵,该文件可以包括一般的入侵特征和/或具体的已知入侵特征。策略规则包含描写入侵的期望特征的条件部分,并且可被用来判定何时规则会被触发,也可以描述响应入侵检测而采取的一或多个动作。
参照图4,主机300可以执行一个或多个支持IDS的应用350,IDS代理360,IDS策略传送代理370,诸如TCP/IP堆栈380的网络程序,以及管理应用程序、网络程序和代理之间的通信的操作系统390。支持IDS的应用350包含应用程序,IDS模块,和IDS策略。在应用程序执行期间,可以为它们中的一个或多个分配相同或不同的逻辑存储空间。应用程序为例如主机的操作部件提供与检测入侵无关的功能,并且如下所述,应用程序也可以使用IDS模块来检测入侵,并且/或者在检测到入侵时采取动作。
支持IDS的应用350中的IDS策略可以从IDS管理系统310下载,该IDS管理系统允许在系统的主机中间对入侵检测进行更统一的处理。例如,通过初始化请求调用IDS模块的应用程序可用IDS策略初始化支持IDS的应用350。应用程序可通知IDS模块。IDS模块可以使IDS策略传送代理370从IDS管理系统310读取专门针对支持IDS的应用350而配置的IDS策略,并且将所得到的IDS策略分配到应用程序的逻辑存储空间。为了各种原因,比如安全性,应用程序应当只被提供已经授权其接受的相关IDS策略。当在应用程序的存储空间中放置所得到的IDS策略之前,IDS策略传送代理370可以检查应用程序在查看IDS策略方面的授权。例如,在一个具有z/OS操作系统的主机上,RACF(资源访问控制设施)资源简表可以被定义成表示策略、规则(IDS)和应用程序。从而可以验证RACF资源简表的许可。IDS策略传送代理370于是可以为应用程序存储空间内的IDS模块提供IDS策略的本地复本。
通过访问IDS模块以比较从例如内部网320和/或另外一个应用接收到的通信信息与支持IDS的应用中的IDS策略,应用程序可以检测入侵。通过例如探测到指示潜在入侵的事件并且利用IDS模块根据IDS策略中的规则来评估这些事件,应用程序也可以检测入侵。例如,应用程序可以调用IDS模块以评估在文件传输协议(FTP)下发出的文件传输请求,其中所请求文件的接收方是不同于发出请求的计算机的计算机。应用程序(也就是FTP)可以判定这个示例性文件传输请求是本领域众所周知的回弹式攻击入侵。
当检测到入侵后,应用程序可以使用IDS模块从IDS策略得到应用程序和/或IDS代理可以采取的适当动作,以阻止或尽可能地补救入侵所造成的影响。图5示出了可被执行以检测入侵并采取响应动作的操作。在块500,应用程序从内部网320和/或另一个应用程序接收诸如网络数据包的信息,并且/或者具有要传送的信息。在块510,IDS模块会选择性地对信息进行入侵评估。评估可以包括将信息与IDS策略相比较,IDS策略可以包含一组可能与信息匹配的已知入侵特征。当在块510检测到入侵时,在块520根据响应入侵而采取的响应动作将由IDS代理360还是应用程序350执行,作出条件响应。当IDS代理将采取响应动作时,在块520中,IDS模块可以将有关其自身和/或入侵特征的信息提供给IDS代理360,并且向其请求动作。在块530,IDS代理360根据来自IDS模块的信息而采取动作。在块550,IDS代理360可以发送警报给IDS管理系统310,其中可以记录该警报,可以作出进一步评估以判定是否有入侵发生,并且/或者可以执行进一步的动作以阻止入侵和/或补救该入侵所造成的影响。
在块540,应用程序350采取例如阻止入侵和/或补救它所造成的影响的动作。它所采取的动作包括抛弃信息和/或中断与输入信息的源的通信(例如,断开与源的连接并且/或者关闭套接字)。
再看块510,当没有检测到入侵时,应用程序350可以继续使用输入的通信信息。
图6示出了一个主机计算机系统600的具体实施例,该系统适合用来执行例如图4所示、基于本发明实施例的一个或多个支持IDS的应用,IDS代理,IDS策略传送代理,网络程序和操作系统。该计算机系统600一般包含与存储器620通信的处理器610。可选地,计算机系统610还可以包含输入设备630,诸如键盘或小键盘,以及与处理器610通信的显示器640(如虚线所示)。该系统还可包含可选设备,诸如扬声器650、与处理器610通信的I/O数据端口660。I/O数据端口660可以用来在计算机系统600与另一个计算机系统或网络之间传输信息。这些部件可以是常规部件,例如许多计算机系统中使用的、可以被构造成如这里所描述的那样进行操作的部件。
处理器610可以是购买的或订制的微处理器。存储器620代表了各层次的存储设备,这些设备含有用来实现计算机系统600的功能的软件和数据。存储器620可以包含但不限于以下设备类型:高速缓冲存储器,ROM,PROM,EPROM,EEPROM,快擦写存储器,SRAM和DRAM。存储器620可以包含计算机系统600中使用的几种软件和数据:操作系统;应用程序;输入/输出(I/O)设备驱动程序;以及数据。本领域技术人员可以理解,操作系统可以是任何适用于计算机系统的操作系统,诸如位于Armonk,NY的IBM公司的OS/2,AIX或System390,位于Redmond,WA的微软公司的Windows95,Windows98,Windows2000,WindowsNT,Windows ME,Windows XP,及Unix或Linux。I/O设备驱动程序一般包含软件例程,其中应用程序经由操作系统访问这些例程以便与诸如I/O数据端口660和某些存储器620部件的设备进行通信。应用程序代表那些实现数据处理系统600的各种功能的程序,并且最好包含至少一个支持基于本发明实施例的操作的应用程序。最后,数据代表应用程序、操作系统、I/O设备驱动程序600及存储器620中可以驻留的其他软件程序所使用的静态和动态数据。
在附图和上面的描述中,已经阐述了本发明的实施例,尽管采用了特定的术语,但它们仅用于概括和表述,而不是用于限定,本发明的范围如下面的权利要求所述。
Claims (26)
1.一种检测对计算机的入侵的方法,该方法包含:
用专门针对应用程序的入侵检测服务策略配置与所述应用程序相关的入侵检测服务模块;
由所述应用程序访问所述入侵检测服务模块以评估至少一个与该应用程序的通信的入侵;以及
由所述入侵检测服务模块评估所述通信的入侵。
2.如权利要求1所述的方法,还包含:
将所述应用程序和所述入侵检测服务模块分配到相同的逻辑存储空间。
3.如权利要求1所述的方法,其中所述由所述入侵检测服务模块评估所述通信的入侵的步骤包括:
所述入侵检测服务模块将所述通信与所述入侵检测服务策略相比较。
4.如权利要求3所述的方法,还包含:
将所述应用程序,所述入侵检测服务模块和所述入侵检测服务策略分配到相同的逻辑存储空间。
5.如权利要求3所述的方法,还包含:
从可网络访问的库下载所述入侵检测服务策略到所述入侵检测服务模块。
6.如权利要求3所述的方法,还包含:
从本地库下载所述入侵检测服务策略到所述入侵检测服务模块。
7.如权利要求3所述的方法,其中所述入侵检测服务策略包含根据所述通信与所述入侵检测服务策略之间的比较结果而采取的一个或多个响应动作。
8.如权利要求1所述的方法,还包含:
由所述应用程序在评估检测到入侵时启动响应动作。
9.如权利要求8所述的方法,其中所述响应动作包含丢弃所述通信中的信息。
10.如权利要求8所述的方法,其中所述响应动作包含中断与所述通信的源的通信。
11.如权利要求8所述的方法,其中所述启动响应动作的步骤包含根据检测到的入侵的特征来选择响应。
12.如权利要求1所述的方法,还包含:
由入侵检测服务代理在评估检测到入侵时启动响应动作。
13.如权利要求12所述的方法,其中由入侵检测服务代理启动响应动作的步骤包含中断与所述通信的源的通信。
14.一种用于检测入侵的计算机系统,包括:应用程序和与应用程序相关的入侵检测服务模块,
其中所述入侵检测服务模块用专门针对所述应用程序的入侵检测服务策略配置,并被构造成评估至少一个与所述应用程序的通信的入侵,
并且其中所述应用程序用于访问所述入侵检测服务模块以评估所述通信的入侵。
15.如权利要求14所述的计算机系统,还包括:
用于将所述应用程序和所述入侵检测服务模块分配到相同的逻辑存储空间的装置。
16.如权利要求14所述的计算机系统,其中所述评估至少一个与所述应用程序的通信的入侵包括:
所述入侵检测服务模块将所述通信与所述入侵检测服务策略相比较。
17.如权利要求16所述的计算机系统,还包括:
用于将所述应用程序,所述入侵检测服务模块和所述入侵检测服务策略分配到相同的逻辑存储空间的装置。
18.如权利要求16所述的计算机系统,还包括:
入侵检测服务传送代理,用于从可网络访问的库下载所述入侵检测服务策略到所述入侵检测服务模块。
19.如权利要求16所述的计算机系统,还包括:
用于从本地库下载所述入侵检测服务策略到所述入侵检测服务模块的装置。
20.如权利要求16所述的计算机系统,其中所述入侵检测服务策略包含根据所述通信与所述入侵检测服务策略之间的比较结果而采取的一个或多个响应动作。
21.如权利要求14所述的计算机系统,其中所述应用程序还用于在评估检测到入侵时启动响应动作。
22.如权利要求21所述的计算机系统,其中所述响应动作包含丢弃所述通信中的信息。
23.如权利要求21所述的计算机系统,其中所述响应动作包含中断与所述通信的源的通信。
24.如权利要求21所述的计算机系统,其中所述启动响应动作包含根据检测到的入侵的特征来选择响应。
25.如权利要求14所述的计算机系统,还包括:
入侵检测服务代理,用于在评估检测到入侵时启动响应动作。
26.如权利要求25所述的计算机系统,其中所述启动响应动作包含中断与所述通信的源的通信。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/457,908 | 2003-06-10 | ||
US10/457,908 US8220052B2 (en) | 2003-06-10 | 2003-06-10 | Application based intrusion detection |
Publications (2)
Publication Number | Publication Date |
---|---|
CN1574729A CN1574729A (zh) | 2005-02-02 |
CN100358281C true CN100358281C (zh) | 2007-12-26 |
Family
ID=33510494
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CNB2004100475986A Expired - Fee Related CN100358281C (zh) | 2003-06-10 | 2004-05-26 | 入侵检测方法和系统 |
Country Status (2)
Country | Link |
---|---|
US (2) | US8220052B2 (zh) |
CN (1) | CN100358281C (zh) |
Families Citing this family (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8220052B2 (en) | 2003-06-10 | 2012-07-10 | International Business Machines Corporation | Application based intrusion detection |
ATE400016T1 (de) * | 2003-08-11 | 2008-07-15 | Telecom Italia Spa | Verfahren und system zur erkennung einer unbefugten benutzung eines kommunikationsnetzes |
US8869276B2 (en) * | 2005-06-29 | 2014-10-21 | Trustees Of Boston University | Method and apparatus for whole-network anomaly diagnosis and method to detect and classify network anomalies using traffic feature distributions |
CN100342692C (zh) * | 2005-09-02 | 2007-10-10 | 杭州华三通信技术有限公司 | 入侵检测装置和入侵检测系统 |
EP1934743A4 (en) * | 2005-09-07 | 2012-02-22 | Ibm | AUTOMATED USE OF PROTECTION AGENTS FOR EQUIPMENT ASSOCIATED WITH A DISTRIBUTED COMPUTER NETWORK |
US10289405B2 (en) * | 2014-03-20 | 2019-05-14 | Crowdstrike, Inc. | Integrity assurance and rebootless updating during runtime |
US10728268B1 (en) | 2018-04-10 | 2020-07-28 | Trend Micro Incorporated | Methods and apparatus for intrusion prevention using global and local feature extraction contexts |
US11128646B1 (en) | 2018-04-16 | 2021-09-21 | Trend Micro Incorporated | Apparatus and method for cloud-based accelerated filtering and distributed available compute security processing |
CN109660522B (zh) * | 2018-11-29 | 2021-05-25 | 华东师范大学 | 面向综合电子系统的基于深层自编码器的混合入侵检测方法 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5919257A (en) * | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
CN1337126A (zh) * | 1999-03-19 | 2002-02-20 | 西门子公司 | 在电信管理网络操作系统中通过网络单元以及适用于此的网络单元检验管理应用程序真实性的方法 |
US20020073323A1 (en) * | 2000-07-14 | 2002-06-13 | Myles Jordan | Detection of suspicious privileged access to restricted computer resources |
US6460141B1 (en) * | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
US20030084326A1 (en) * | 2001-10-31 | 2003-05-01 | Richard Paul Tarquini | Method, node and computer readable medium for identifying data in a network exploit |
US20030084323A1 (en) * | 2001-10-31 | 2003-05-01 | Gales George S. | Network intrusion detection system and method |
US20030101358A1 (en) * | 2001-11-28 | 2003-05-29 | Porras Phillip Andrew | Application-layer anomaly and misuse detection |
Family Cites Families (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5594903A (en) * | 1991-02-26 | 1997-01-14 | Lynx Real-Time Systems, Inc. | Operating System architecture with reserved memory space resident program code identified in file system name space |
US6272538B1 (en) | 1996-07-30 | 2001-08-07 | Micron Technology, Inc. | Method and system for establishing a security perimeter in computer networks |
US5832228A (en) | 1996-07-30 | 1998-11-03 | Itt Industries, Inc. | System and method for providing multi-level security in computer devices utilized with non-secure networks |
US6006329A (en) * | 1997-08-11 | 1999-12-21 | Symantec Corporation | Detection of computer viruses spanning multiple data streams |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6542508B1 (en) | 1998-12-17 | 2003-04-01 | Watchguard Technologies, Inc. | Policy engine using stream classifier and policy binding database to associate data packet with appropriate action processor for processing without involvement of a host processor |
US6499110B1 (en) * | 1998-12-23 | 2002-12-24 | Entrust Technologies Limited | Method and apparatus for facilitating information security policy control on a per security engine user basis |
US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
US7380279B2 (en) | 2001-07-16 | 2008-05-27 | Lenel Systems International, Inc. | System for integrating security and access for facilities and information systems |
US20030149887A1 (en) * | 2002-02-01 | 2003-08-07 | Satyendra Yadav | Application-specific network intrusion detection |
US8220052B2 (en) | 2003-06-10 | 2012-07-10 | International Business Machines Corporation | Application based intrusion detection |
-
2003
- 2003-06-10 US US10/457,908 patent/US8220052B2/en not_active Expired - Fee Related
-
2004
- 2004-05-26 CN CNB2004100475986A patent/CN100358281C/zh not_active Expired - Fee Related
-
2012
- 2012-05-11 US US13/469,357 patent/US8925081B2/en not_active Expired - Fee Related
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5919257A (en) * | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US6460141B1 (en) * | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
CN1337126A (zh) * | 1999-03-19 | 2002-02-20 | 西门子公司 | 在电信管理网络操作系统中通过网络单元以及适用于此的网络单元检验管理应用程序真实性的方法 |
US20020073323A1 (en) * | 2000-07-14 | 2002-06-13 | Myles Jordan | Detection of suspicious privileged access to restricted computer resources |
US20030084326A1 (en) * | 2001-10-31 | 2003-05-01 | Richard Paul Tarquini | Method, node and computer readable medium for identifying data in a network exploit |
US20030084323A1 (en) * | 2001-10-31 | 2003-05-01 | Gales George S. | Network intrusion detection system and method |
US20030101358A1 (en) * | 2001-11-28 | 2003-05-29 | Porras Phillip Andrew | Application-layer anomaly and misuse detection |
Non-Patent Citations (2)
Title |
---|
Interfacing Trusted Applications with IntrusionDetectionSystems. Marc Welz,Andrew Hutchison.RAID2001,LNCS2212. 2001 * |
Interfacing Trusted Applications withIntrusionDetectionSystems. Marc Welz,Andrew Hutchison.RAID2001,LNCS2212. 2001 * |
Also Published As
Publication number | Publication date |
---|---|
US8925081B2 (en) | 2014-12-30 |
US20040255153A1 (en) | 2004-12-16 |
US8220052B2 (en) | 2012-07-10 |
US20120222087A1 (en) | 2012-08-30 |
CN1574729A (zh) | 2005-02-02 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9882912B2 (en) | System and method for providing authentication service for internet of things security | |
US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
US7975302B2 (en) | System for real-time detection of computer system files intrusion | |
JP3900501B2 (ja) | ネットワーク接続制御プログラム、ネットワーク接続の制御方法及びネットワーク接続制御システム | |
JP2000148276A (ja) | セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体 | |
EP1654608A1 (en) | Method and system for detecting unauthorised use of a communication network | |
CN112787992A (zh) | 一种敏感数据的检测与防护的方法、装置、设备和介质 | |
US20100223668A1 (en) | Apparatus and method for managing terminal users | |
CN100358281C (zh) | 入侵检测方法和系统 | |
KR20170056876A (ko) | 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템 | |
KR20040056998A (ko) | 위험도 산정을 통한 악성실행코드 탐지 장치 및 그 방법 | |
KR20020027702A (ko) | 인터넷상에서 유해 사이트 접속을 차단하는 방법 | |
JP2006146600A (ja) | 動作監視サーバ、端末装置及び動作監視システム | |
JP2005071218A (ja) | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム | |
JP2004030287A (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
CN111291390B (zh) | 关键数据安全销毁触发系统及触发方法 | |
US20040124975A1 (en) | Electronic apparatus and data processing method | |
KR101483859B1 (ko) | 백신의 상태를 모니터링하는 관리시스템을 이용한 악성코드 차단방법 | |
KR101922594B1 (ko) | 상태정보 모니터링을 통해 상태를 탐지하는 유무선 공유기, 유무선 공유기의 상태 탐지 장치 및 그 방법 | |
JP4708767B2 (ja) | ウェブ閲覧システム | |
JP2008511046A (ja) | コンピュータのデータ保護方法 | |
JP4203250B2 (ja) | アクセス管理方法、アクセス管理サーバ、アクセス端末、アクセス管理プログラム及び記録媒体 | |
JP3446891B2 (ja) | 監視システム | |
KR102450471B1 (ko) | 인공지능 기반의 스마트홈 네트워크 패턴분석을 이용한 외부 침입 차단 시스템 및 그 방법 | |
US20210266240A1 (en) | Embedded intrusion detection system on a chipset or device for use in connected hardware |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20071226 Termination date: 20210526 |
|
CF01 | Termination of patent right due to non-payment of annual fee |