CN105577640A - 企业入侵检测和修复 - Google Patents
企业入侵检测和修复 Download PDFInfo
- Publication number
- CN105577640A CN105577640A CN201510726257.XA CN201510726257A CN105577640A CN 105577640 A CN105577640 A CN 105577640A CN 201510726257 A CN201510726257 A CN 201510726257A CN 105577640 A CN105577640 A CN 105577640A
- Authority
- CN
- China
- Prior art keywords
- event
- terminal
- action
- ancillary equipment
- pattern
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Abstract
一种企业入侵检测和修复。事件从终端(24)的外围设备(28)及从终端(24)的安全输入/输出模块(26)安全地打包和传输。对事件进行实时收集和挖掘,以识别安全风险模式;动态修复行动被推回到终端(24)、外围设备(28),及SIOM(26)。
Description
技术领域
本发明涉及企业入侵检测和修复。
背景技术
在线或电子安全是业界非常重要的一个问题。似乎每个月都会出现关于某个重大企业的安全性遭到了破坏的新闻。出现此类安全性遭到破坏的事件的机构包括政府机构、零售店、社会媒体公司,甚至大型银行。
任何时候,当企业认为已经部署了修复安全破坏的安全措施时,黑客很快就想出了破坏其系统的新方法。在某些情况下,这种破坏甚至并非在企业的系统内进行,而是通过进入或离开企业系统的网络传输线进行;黑客利用嗅探技术获取经过网络线传输的数据包的副本,并找到破解密码的方法(假设采用了密码的话)。
在消费者身份信息、银行业务和信用卡详细情况存在泄露风险的财务交易中,安全问题尤其是一个重要的问题。
例如,销售点设备(POS)终端或自动柜员机(ATM)包括各种与主处理单元进行互动的独立的内部性外围设备,如打印机、加密键盘、扫描仪、触摸屏、磁卡阅读器等。这些设备可以通过各种连接,例如通用串行总线(USB)连接和其它连接,而被集成到主处理单元内。这些外围设备之中的每一种都具有处理能力,都会发生泄密;一旦一台外围设备发生泄密,就会使其它外围设备和主处理单元发生泄密,甚至会渗入网络内并扩展到其它POS终端、其它ATM或后端服务器。
为了改善系统及所有设备及设备和系统之间的连接的安全性,企业花费了大量的人力物力,而且还将继续花费大量的大力物力。这是一个持续的过程,企业总是试图领先黑客一步,但是,企业似乎仍然总是落后黑客一步。
因此,需要用一种更主动的、适应性更强的和更具动态性的修复方法来改善企业系统的安全性。
发明内容
在不同的实施例中,提供了自动入侵检测和修复的方法。根据一个实施例,提供了一种提供自动入侵检测和修复的方法。
具体地说,接收一个事件,该事件从一个终端上的一个组件通过一个网络而被安全地传输。访问探试程序,以识别该事件的模式。根据通过网络安全地推送到组件的模式自动地启动一项行动,以便处理该行动。
根据本发明的第一个方面,提供一种方法,它包括:接收从终端的一个组件通过网络安全地传输的一个事件;访问探试程序以识别该事件的模式;根据通过网络安全地推送到组件的模式,启动一项行动。
接收事件的步骤任选进一步包括从安全输入/输出模块(SIOM)获取事件,该模块是独立的硬件模块,在终端的操作系统的下方运行,并充当与终端的外围设备进行通讯的安全接口。
接收事件的步骤任选进一步包括从终端的外围设备获取事件,将事件推送到安全输入/输出模块(SIOM),该模块是独立的硬件模块,在终端的操作系统的下方运行,充当与外围设备进行通讯的安全接口。
访问探试程序的步骤任选进一步包括:从一个利用事件连续执行探试算法的任务来对模式进行识别。
访问探试程序的步骤任选进一步包括:从通过利用事件和其它收集到的事件连续地执行多个探试算法的一系列任务来对模式进行识别。
访问探试程序的步骤任选进一步包括:挖掘其它事件的历史的数据存储,利用事件通过探试程序来对模式进行识别。
启动一项行动的步骤任选进一步包括:将所述行动与安全地推送到所述组件或其它组件的其它行动进行连锁。
启动一项行动的步骤任选进一步包括:将所述行动安全地推送到终端的所述组件或其它组件。
启动一项行动的步骤任选进一步包括:针对与该组件有关的某个疑似的安全问题并为响应所述行动,由所述组件制定防范措施。
根据本发明的第二个方面,提供一种系统,它包括:终端设备;集成在终端设备内但独立于终端设备的安全输入/输出模块(SIOM);集成到终端设备内的外围设备;及入侵检测系统(IDS),经调整和配置,以便:(i)在终端设备外的服务器上执行,(ii)收集来源于SIOM和外围设备之间的安全会话的事件,(iii)根据所述事件,识别潜在的安全威胁模式;及(iv)响应所述潜在安全威胁,产生由以下一种或多种设备进行处理的一项或多项修复行动:SIOM和外围设备。
终端任选是以下设备中的一种:销售点(POS)设备、自助服务终端(SST),如自动柜员机(ATM)或电话亭。
外围设备任选是以下设备中的一种:磁条阅读器(MSR)、键盘、加密键盘、打印机、扫描仪、键板、有价值媒体分配器、显示器和触摸屏显示器。
根据本发明的第三方面,提供一种方法,包括:通过安全网络连接,收集来源于安全输入/输出模块(SIOM)和外围设备之间的安全会话的事件,SIOM和外围设备均集成在终端内;基于该事件,处理探试算法,识别至少一种表明以下一种或多种设备的潜在安全威胁的模式:SIOM和外围设备;响应所述潜在威胁,动态地且实时地产生至少一项行动,通过安全的网络发送给以下一种或多种设备:SIOM和外围设备,开展修复行动。
收集到的事件的步骤任选进一步包括同时挖掘其它事件的数据存储。
处理探试算法的步骤任选进一步包括利用事件和其它事件处理探试算法,识别至少一种模式。
处理探试算法的步骤任选进一步包括动态地增加一个新的探试算法,与所述探试算法一起处理。
处理探试算法的步骤任选进一步包括动态地更新至少其中一种探试算法,用以针对事件进行处理。
动态地且实时地产生至少一项行动的步骤任选进一步包括产生一系列行动,作为至少一项行动发送。
动态地且实时地引起至少一项行动被发出的步骤,任选进一步包括在修复行动期间终止SIOM和外围设备之间的安全会话。
终止安全会话的步骤任选进一步包括:当修复行动成功处理后,在SIOM和外围设备之间重新建立新的安全会话。
附图说明
以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统的图;
根据一个示例实施例,图1B是图1A所示企业系统的入侵检测系统(IDS)的交互图;
根据一个示例实施例,图2是提供自动入侵检测和修复的方法的示意图;
根据一个示例实施例,图3是提供自动入侵检测和修复的另一种方法的示意图;
根据一个示例实施例,图4是IDS系统的示意图。
具体实施方式
首先参考图1A,根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统10的图。按照极简的方式画出了企业系统10的各组件,只画出了那些对理解本发明某些实施例所必须的组件。
企业系统10包括企业服务数据库12、企业配置服务14、系统管理服务16、入侵检测系统(IDS)18、网络20及多个零售店22。每个零售店都包括几个销售点(POS)终端(还可能是电话亭或自动柜员机(ATM)或它们的组合)24。
每个终端24包括安全输入/输出模块(SIOM)26,这是一种硬件模块,其操作独立于终端24的操作系统(OS)。每个SIOM26控制前往和来自于终端24的独立外围设备28的消息。图1中示出了外围设备28的一些实例,如扫描仪、键盘、磁条/卡阅读器。值得指出的是,每个终端可能包括不同的或附加的外围设备28,如触摸屏、打印机、出钞器等。
企业数据库12存储配置密匙(用于加密、解密、认证等)、清单(安全规则、安全政策、加密算法/方法、证书、密钥、安全许可、安全作用等)、固定资产详细情况(设备识别符、设备能力、软件资源、版本信息等)、交易记录(每个零售店22、零售店22的每个终端24,及每个终端24的每个外围设备28),及需要收集和存储在企业数据库12中的其它企业信息。
企业配置服务14负责利用企业数据库12的清单,安全地配置每个终端24的每个SIOM26。这是利用安全加密协议通过网络20来实现的。清单详细地说明了SIOM26如何安全地与其所服务的每个外围设备28进行通信,以及对后者的安全进行监测。例如,前往和来自某一扫描仪的数据有效载荷的一种加密算法和密钥组,可使用与前往和来自某一键盘的数据有效载荷完全不同的加密算法和密钥组。
SIOM26请求初始配置或可以接收主动提供的初始配置。企业配置服务14从与企业数据库12有关的硬件安全模块(或类似安全库)获得对发出请求的SIOM26来说是独一无二的配置清单,并在接下来配置发出请求的SIOM26。一旦配置完成,外围设备28重新与发出请求的SIOM26建立它们的安全会话。
SIOM26还收集打包和发送到企业系统管理服务16的事件。SIOM事件包括配置事件、与外围设备28成功和失败的配对、成功和失败的安全数据传输等。
系统管理服务16负责收集和储存通过终端24从每个SIOM26收到的安全加密格式的所有上游数据。通过企业系统的所有数据都是通过一个安全会话而进行的(清单中定义的加密方法)。
每个外围设备28捕捉由外围设备28打包,通过SIOM26发送到系统管理服务16的事件和记录。
来自外围设备28和SIOM26的事件由IDS18开展动态的和实时的评估。
根据一个示例实施例,图1B是图1A所示企业系统10的入侵检测系统(IDS)18的交互图;
IDS18包括入侵检测探试库40、IDS并行任务连续监测模块42,及IDS行动库44。
入侵检测算法被连续创建,并被动态地添加到入侵检测探试库40内。
IDS并行任务连续监测模块42的任务是并行的和连续运行的过程,它收集寻找入侵的探试算法。在一个实施例中,每种算法可以有一个过程。
当检测到入侵时,入侵检测行动库44的入侵检测行动自动地、动态地实时启动。根据需要,几个行动可以连锁,可以实时地、动态地增加新的行动。
系统管理服务16聚集和储存IDS18挖掘的日志数据。
行动库44的行动由系统管理服务16和企业配置服务14代表和执行,因为这些服务可以通过网络20向下动态地发送通知、关掉SIOM26、要求重新配置等。
IDS18包括连续运行以对各种入侵进行监测的任务池。当检测到入侵时,IDS18启动相关行动,包括通知和采取防范措施,防止或阻止攻击。IDS任务载入入侵检测探试算法。入侵检测算法可以以递增和动态的方式添加或退出。
IDS18利用企业数据库12挖掘企业系统10中发生的事件(其安全风险被监测的生态系统)。这种遥测从安全外围设备28上游传输到SIOM26,传输到企业服务14、16、18,在此,系统管理服务16将其聚集和保留在企业数据库12内。
IDS探试算法对不同时间框架内的各种数据类型进行分析,寻找入侵模式。此外,行动库可以递增式地添加到系统中,配置(或链接)到某个具体的入侵算法。如果IDS18检测到入侵,则会执行相关系列行动。
还值得指出的是,IDS的行动、探试程序及任务都是可以配置的,配置的详细情况保留在企业数据库12内。
探试算法能够识别的模式是可以配置的。部署遵照分级模式:企业服务-SIOM-安全服务-安全外围设备。
来自遥测(带事件)的一些入侵检测模式的实例在下文列出,同时列出了可以配置到IDS内的变化,这些示例模式可包括但不限于:
●终端MSR的安全会话失败和必须经常修复。
●SIOM经常从外围设备收到不正常的安全会话消息。
●安全外围设备经常从SIOM收到不正常的安全会话消息。
●SIOM偶尔无法与其安全外围设备配对。
●SIOM收到针对某个非活动会话的安全会话消息。
●企业配置服务(EPS)所发布的SIOM配对请求和SIOM上的配置记录不匹配。
●生态系统中存在重复的安全外围设备ID(UDID(设备的唯一标识符)。
●检测到未计入设备目录的安全外围设备ID。
●生态系统中存在重复的SIOMID。
●SIOM经常出现配置失败。
●在安全会话建立后,端点无法创建安全会话消息。
●端点无法对安全会话消息进行解码和解密。
●端点改变了在安全会话期间用于通信的安全配置文件。
●生态系统中检测到撤回的或退役的安全外围设备或SIOM。
●SIOM失败以非常固定的间隔出现,且其必须与其端点进行重新配对。
●安全会话失败以非常固定的间隔出现,需要与SIOM重新配对。例如,每天下午3点左右。
传统的入侵检测系统是以网络或主机为中心,关注通过网络传输的或出入主机系统的数据包。本发明提供的新型IDS18适用的范围比传统方法更广泛,它收集生态系统中的外围设备28和SIOM26上发生的安全和操作事件的信息,以及查看网络和终端主机的信息。此外,由于事件报告发生在安全会话内(通过控制消息),端点认证、事件完整性及可利用性均得到了保存,使攻击者很难在欺骗或误导系统的企图中防止传输或改变遥测数据。
上文讨论的这些实施例和其他实施例现参照图2-4进行讨论。
根据一个示例实施例,图2是提供自动入侵检测和修复的方法200的示意图;方法200(下文称为“入侵检测服务”)被实现为编程指令,驻留于内存和/或永久性电脑可读(处理器可读)存储媒体内,由服务器的一个或多个处理器进行执行。处理器经特别配置和编程,用于处理入侵检测服务。入侵检测服务还可以在一个或多个网络上进行操作。网络可以是有线、无线或有线与无线相结合的网络。
在一个实施例中,入侵检测服务通过图1和1B中的IDS18来实施。
在210处,入侵检测服务接收或获取从终端的一个组件通过网络安全地传输的事件。
在一个实施例中,终端是以下中的一种:POS设备或自助服务终端(SST),例如ATM或电话亭。
在一个实施例中,组件是以下中的一种:SIOM(正如上文参照图1A和1B所述)和外围设备。
在一个实施例中,外围设备是以下中的一种:MSR、有价值的媒体分配器、键盘、加密键盘、打印机、扫描仪、键板、显示器和触摸屏显示器。
利用一个安全会话来将事件进行安全传输,以便通过网络连接来携带该事件的数据有效载荷(payload)。
根据一个实施例,在211处,入侵检测服务从SIOM获取事件,SIOM是一个独立的硬件模块,在终端的操作系统(OS)之下和外面操作,充当前往和来自终端的外围设备的通信的安全接口。
在一个实施例中,在212处,入侵检测服务从终端的外围设备获取事件,该事件在外围设备和SIOM之间的安全会话期间,被推送到SIOM。SIOM是一个独立的硬件模块,在终端的操作系统(OS)之下和外面操作,充当前往和来自终端的外围设备的通信的安全接口。
在220处,入侵检测服务访问探试程序,以识别事件的模式。上文曾参照图1B中的IDS讨论过这一点。
根据一个实施例,在221处,入侵检测服务从一项利用该事件连续执行探试算法的任务中来对模式进行识别。也就是说,当执行入侵检测服务时,该任务连续运行探试算法,从而一收到事件,即可将其与模式相匹配。
在一个实施例中,在222处,入侵检测服务从利用所述事件和其它收集到的事件连续执行多个探试算法的多个任务中来对模式进行识别。因此,执行探试算法的任务连续运行,对事件及以前收集或挖掘的事件进行并行评估,以便尽快实时地对模式进行匹配。
在一个实施例中,在223处,入侵检测服务挖掘其它事件的历史的数据存储,与收到的事件一起使用,以根据探试程序来对模式进行识别或匹配。
在230处,入侵检测服务根据模式启动一个行动,该行动通过网络安全地、动态地推送到组件。该行动可以是对潜在安全威胁或问题的指示;或者,该行动可以是对组件需要收集更多事件和使那些事件通过网络安全地传回到入侵检测服务的指示。
根据一个实施例,在231处,入侵检测服务将该行动与安全地推送到终端的该组件与/或其它组件的其它行动相连锁。也就是说,在某些情况下,某项安全风险可能与终端的多个组件有关,而不一定仅与由入侵检测服务所接收的事件的发起有关的组件有关,从而多个连锁行动可通过网络安全地发送。还可能是这种情况:仅有该组件将根据识别的模式执行多个行动。
在一个实施例中,在232处,入侵检测服务安全地将行动推送到终端的该组件及其它组件。在此处,单个行动可适用于终端的多个组件。
在一个实施例中,在233处,通过发送行动,入侵检测服务导致该组件针对与该组件有关的疑似的安全问题,制定自己熟悉的防范措施;这是响应接收行动或行动通知的组件而做出的反应。
值得指出的是,虽然入侵检测服务被描述为针对单个终端的组件的安全威胁的动态的管理和实时的调整,但是,入侵检测服务可以代表多个终端和它们的每个组件执行这种处理,正如上文参考图1A和1B所讨论的那样。
根据一个示例实施例,图3是提供自动入侵检测和修复的另一种方法300的示意图。方法300(下文称为“动态安全服务”)被实现为指令,在设备的一个或多个处理器上执行的内存和/或永久性电脑可读(处理器可读)存储媒体中被编程;设备的处理器经过专门配置可以执行动态安全服务。动态安全服务也可以通过一个或多个网络来进行操作;网络可以是有线、无线或有线与无线相结合的网络。
动态安全服务是方法200的另一种、并且在某些方面有所改进的形式。
在一个实施例中,动态安全服务通过图1和2中的IDS18来实施。
在310处,动态安全服务通过一个安全网络连接,收集来源于一个SIOM和一个外围设备之间的安全会话的事件。SIOM和外围设备均集成在终端设备内。
根据一个实施例,在311处,动态安全服务同时挖掘为一个企业生态系统所收集的其它事件的数据存储,该生态系统可能包括来自多个设施的多个终端,每个终端都有一个SIOM和一个或多个外围设备。
在320处,动态安全服务根据事件来处理探试算法,其目的是识别或匹配至少一个代表以下一个或多个设备的潜在安全威胁的模式:SIOM和外围设备。
在311和320的一个实施例中,在321处,动态安全服务将探试算法与事件和其它事件一起处理,以识别和匹配至少一个模式。
根据一个实施例,在322处,动态安全服务动态地增加一种新的探试算法,将其与现有探试算法一起进行处理。这可以实时实现。
在一个实施例中,在323处,动态安全服务动态更新和改变至少一种探试算法,用于与事件一起进行处理。这种更新可以实时实现。
在330处,为了响应潜在的安全威胁,动态安全服务动态地且实时地引致至少一项行动被通过安全网络发送到以下一种或多种设备:SIOM和外围设备,用以开展修复行动。
根据一个实施例,在331处,基于所识别的模式及其与安全威胁的联系,动态安全服务引致一系列行动被通过安全网络发送到以下一种或多种设备:SIOM和外围设备,用以开展修复行动。
在一个实施例中,在332处,在修复行动期间,动态安全服务终止SIOM和外围设备之间的安全会话。
在332的一个实施例中及在333处,当修复行动成功处理完毕后,动态安全服务在SIOM和外围设备之间重新建立新的安全会话。
根据一个示例实施例,图4是IDS系统400的示意图。IDS系统400的某些组件被实现为可执行指令,在设备的一个或多个处理器上执行的内存和/或永久性电脑可读(处理器可读)存储媒体中被编程;处理器经过专门配置可以执行IDS系统400的组件。IDS系统400也可以通过一个或多个网络操作;网络可以是有线、无线或有线与无线相结合的网络。
在一个实施例中,IDS系统400实施特别是图1和图2中的IDS。
在一个实施例中,IDS系统400实施特别是图2的方法200。
在一个实施例中,IDS系统400实施特别是图3的方法300。
IDS系统400包括终端设备401、SIOM402、外围设备403及IDS404。
在一个实施例中,终端401是以下设备中的一种:POS设备或SST(如ATM或电话亭)。
SIOM402被集成到终端401内,且其操作独立于终端401的硬件和OS。SIOM402充当外围设备403的安全接口,通过终端401内的安全加密会话,与外围设备403进行通信。
外围设备403被集成在终端401中及集成到终端401内,通过与SIOM402的安全会话,接收通信和发送通信。
在一个实施例中,外围设备403是以下中的一种:MSR、键盘、加密键盘、打印机、扫描仪、键板、有价值的媒体分配器、显示器和触摸屏显示器。
IDS404经配置适用于:在终端401外的服务器上执行,收集来源于SIOM402和外围设备403之间的安全会话的事件,根据收集的事件,识别潜在安全威胁的模式;及响应所述潜在安全威胁,产生一项或多项修复行动,这些行动由以下的一种或多种设备进行处理:SIOM402和外围设备403。
以上描述属说明性,而非限制性。在查阅上述说明后,相关技术人员将了解许多其他实施例。因此,实施例的范围应参照附加的权利要求来决定。
在之前对实施例的描述中,出于简化披露目的,各个特征被一并归至单个实施例中。这种披露方法不应被理解为:所申请实施例的特征比各权利要求中明确表述的特征要多。正如以下权利要求所反映,发明主旨事项反而少于单个披露的实施例的所有特征。
Claims (12)
1.一种方法(200),其包括:
接收通过网络从终端的一个组件安全地传输的事件(步骤210);
访问探试程序,以识别所述事件的模式(步骤220);及
根据所述模式,启动一项行动,所述行动通过网络安全地推送到所述组件(步骤230)。
2.根据权利要求1所述的方法,其中接收事件的步骤进一步包括从安全输入/输出模块获取事件(步骤211),该模块是独立的硬件模块,在终端的操作系统的下方运行,并充当前往和来自终端的外围设备的通讯的安全接口。
3.根据权利要求1或2所述的方法,其中接收事件的步骤进一步包括从终端的外围设备获取事件(步骤212),将所述事件推送到安全输入/输出模块,该模块是独立的硬件模块,在终端的操作系统的下方运行,充当前往和来自终端的通讯的安全接口。
4.根据前面任一项权利要求所述的方法,其中访问探试程序的步骤进一步包括利用一项连续执行探试算法的任务并且根据事件来对模式进行识别(步骤221)。
5.根据前面任一项权利要求所述的方法,其中访问探试程序的步骤进一步包括:从使用所述事件和其它收集到的事件来连续执行多个探试算法的多个任务中来对模式进行识别(步骤222)。
6.根据前面任一项权利要求所述的方法,其中访问探试程序的步骤进一步包括挖掘其它事件的历史的数据存储,与事件一起使用,以通过探试程序来对模式进行识别(步骤223)。
7.根据前面任一项权利要求所述的方法,其中启动一项行动的步骤进一步包括将所述行动与安全地推送到所述组件和其它组件的其它行动相连锁(步骤231)。
8.根据前面任一项权利要求所述的方法,其中启动一项行动的步骤进一步包括将所述行动安全地推送到终端的所述组件和其它组件(步骤232)。
9.根据前面任一项权利要求所述的方法,其中启动一项行动的步骤进一步包括:针对与所述组件有关的疑似的安全问题并为及响应所述行动,由所述组件制定防范措施。
10.一个系统(10),包括:
终端(24);
集成到终端(24)内且独立于终端(24)的安全输入/输出模块(26);
集成到终端(24)内的外围设备(28);及
入侵检测系统(18),其经过调整和配置以便:(i)在终端(24)以外的服务器上执行,(ii)收集来源于安全输入/输出模块(26)和外围设备(28)之间的安全会话的事件,(iii)根据所述事件,识别潜在安全威胁的模式;及(iv)为响应所述潜在安全威胁而引致一项或多项修复行动被以下的一种或多种设备进行处理:安全输入/输出模块(26)和外围设备(28)。
11.一种方法(200),包括权利要求1至9中的任意一个技术特征或者技术特征的任意组合。
12.一个系统(10),包括权利要求10的任意一个技术特征或者技术特征的任意组合。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/530,133 US9584532B2 (en) | 2014-10-31 | 2014-10-31 | Enterprise intrusion detection and remediation |
US14/530,133 | 2014-10-31 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105577640A true CN105577640A (zh) | 2016-05-11 |
CN105577640B CN105577640B (zh) | 2019-04-12 |
Family
ID=54359884
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510726257.XA Active CN105577640B (zh) | 2014-10-31 | 2015-10-30 | 一种企业入侵检测和修复的方法和系统 |
Country Status (3)
Country | Link |
---|---|
US (2) | US9584532B2 (zh) |
EP (1) | EP3016014A1 (zh) |
CN (1) | CN105577640B (zh) |
Families Citing this family (20)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10230747B2 (en) * | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
US10536476B2 (en) * | 2016-07-21 | 2020-01-14 | Sap Se | Realtime triggering framework |
US10482241B2 (en) | 2016-08-24 | 2019-11-19 | Sap Se | Visualization of data distributed in multiple dimensions |
US10542016B2 (en) | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
US10673879B2 (en) | 2016-09-23 | 2020-06-02 | Sap Se | Snapshot of a forensic investigation for enterprise threat detection |
US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
US10534908B2 (en) | 2016-12-06 | 2020-01-14 | Sap Se | Alerts based on entities in security information and event management products |
US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
US10534907B2 (en) | 2016-12-15 | 2020-01-14 | Sap Se | Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data |
US10552605B2 (en) | 2016-12-16 | 2020-02-04 | Sap Se | Anomaly detection in enterprise threat detection |
US11470094B2 (en) | 2016-12-16 | 2022-10-11 | Sap Se | Bi-directional content replication logic for enterprise threat detection |
US10764306B2 (en) | 2016-12-19 | 2020-09-01 | Sap Se | Distributing cloud-computing platform content to enterprise threat detection systems |
US10762201B2 (en) * | 2017-04-20 | 2020-09-01 | Level Effect LLC | Apparatus and method for conducting endpoint-network-monitoring |
US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
US10284530B1 (en) | 2017-07-13 | 2019-05-07 | Symantec Corporation | Secure computer peripheral devices |
US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
US10678938B2 (en) * | 2018-03-30 | 2020-06-09 | Intel Corporation | Trustworthy peripheral transfer of ownership |
CN112805687A (zh) * | 2018-10-11 | 2021-05-14 | 日本电信电话株式会社 | 信息处理装置、异常分析方法以及程序 |
WO2023048705A1 (en) * | 2021-09-22 | 2023-03-30 | Hewlett-Packard Development Company, L.P. | Consequence execution |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471555A (zh) * | 2007-12-28 | 2009-07-01 | 欧姆龙株式会社 | 安全主机 |
US20110055925A1 (en) * | 2009-09-03 | 2011-03-03 | Palo Alto Research Center Incorporated | Pattern-based application classification |
US20120254982A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for protecting and securing storage devices using below-operating system trapping |
US20120255001A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
US20140188732A1 (en) * | 2012-12-31 | 2014-07-03 | Ncr Corporation | Secure provisioning manifest for controlling peripherals attached to a computer |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE102008049599A1 (de) * | 2008-09-30 | 2010-04-01 | Wincor Nixdorf International Gmbh | Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat |
US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
DE102010000482A1 (de) * | 2010-02-19 | 2011-08-25 | WINCOR NIXDORF International GmbH, 33106 | Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten |
US8856534B2 (en) * | 2010-05-21 | 2014-10-07 | Intel Corporation | Method and apparatus for secure scan of data storage device from remote server |
JP5678751B2 (ja) * | 2011-03-18 | 2015-03-04 | 株式会社リコー | 検疫ネットワークシステム |
US8966624B2 (en) * | 2011-03-31 | 2015-02-24 | Mcafee, Inc. | System and method for securing an input/output path of an application against malware with a below-operating system security agent |
US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
-
2014
- 2014-10-31 US US14/530,133 patent/US9584532B2/en active Active
-
2015
- 2015-10-19 EP EP15190381.2A patent/EP3016014A1/en not_active Withdrawn
- 2015-10-30 CN CN201510726257.XA patent/CN105577640B/zh active Active
-
2017
- 2017-01-30 US US15/419,012 patent/US9967270B2/en active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101471555A (zh) * | 2007-12-28 | 2009-07-01 | 欧姆龙株式会社 | 安全主机 |
US20110055925A1 (en) * | 2009-09-03 | 2011-03-03 | Palo Alto Research Center Incorporated | Pattern-based application classification |
US20120254982A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for protecting and securing storage devices using below-operating system trapping |
US20120255001A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
US20140188732A1 (en) * | 2012-12-31 | 2014-07-03 | Ncr Corporation | Secure provisioning manifest for controlling peripherals attached to a computer |
Also Published As
Publication number | Publication date |
---|---|
US9967270B2 (en) | 2018-05-08 |
US20160127391A1 (en) | 2016-05-05 |
US9584532B2 (en) | 2017-02-28 |
CN105577640B (zh) | 2019-04-12 |
EP3016014A1 (en) | 2016-05-04 |
US20170142142A1 (en) | 2017-05-18 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105577640A (zh) | 企业入侵检测和修复 | |
CA2938757C (en) | Systems and methods for monitoring referrals | |
AU2016220152B2 (en) | Cloud encryption key broker apparatuses, methods and systems | |
US20170293906A1 (en) | Point-of-sale cybersecurity system | |
Benjelloun et al. | Big data security: challenges, recommendations and solutions | |
CN106233342B (zh) | 自动交易装置以及自动交易系统 | |
CN1909447A (zh) | 使用动态加密算法进行网络数据通讯的方法 | |
CN112365001B (zh) | 模型的生成方法、装置和服务器 | |
CN103413088A (zh) | 一种计算机文档操作安全审计系统 | |
CN105577639A (zh) | 可信装置控制消息 | |
CN104199657A (zh) | 开放平台的调用方法及装置 | |
CN111585995B (zh) | 安全风控信息传输、处理方法、装置、计算机设备及存储介质 | |
CN111259382A (zh) | 恶意行为识别方法、装置、系统和存储介质 | |
CN111680992A (zh) | 支付方法、装置和电子设备 | |
US20170364864A1 (en) | Method and System for Distributing and Tracking Information | |
Pitropakis et al. | It's All in the Cloud: Reviewing Cloud Security | |
CA2948229C (en) | Systems and method for tracking enterprise events using hybrid public-private blockchain ledgers | |
CN110505205B (zh) | 云平台加解密服务接入方法及接入系统 | |
JP6025125B2 (ja) | 決済処理装置 | |
CN113343266A (zh) | 信息系统安全运营管理平台及方法 | |
Li et al. | Information security challenges in the new era of Fintech | |
CN105654628A (zh) | 一种自助式终端设备及自助服务方法 | |
US11636021B2 (en) | Preserving system integrity using file manifests | |
Mishra et al. | Cyber security in cloud platforms | |
KR20200133951A (ko) | 블록체인 기반의 원전 사이버 보안 가이드라인 제공 시스템 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |