CN105577640B - 一种企业入侵检测和修复的方法和系统 - Google Patents
一种企业入侵检测和修复的方法和系统 Download PDFInfo
- Publication number
- CN105577640B CN105577640B CN201510726257.XA CN201510726257A CN105577640B CN 105577640 B CN105577640 B CN 105577640B CN 201510726257 A CN201510726257 A CN 201510726257A CN 105577640 B CN105577640 B CN 105577640B
- Authority
- CN
- China
- Prior art keywords
- peripheral equipment
- output module
- terminal
- method described
- safe input
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 238000001514 detection method Methods 0.000 title claims abstract description 48
- 230000002093 peripheral effect Effects 0.000 claims abstract description 94
- 230000009471 action Effects 0.000 claims abstract description 61
- 238000004891 communication Methods 0.000 claims description 9
- 230000004044 response Effects 0.000 claims description 6
- 238000012545 processing Methods 0.000 claims description 5
- 230000002159 abnormal effect Effects 0.000 claims description 4
- 238000013500 data storage Methods 0.000 claims description 3
- 238000009412 basement excavation Methods 0.000 abstract description 2
- YJWDKWRVFJZBCJ-QVJDATKISA-N (4r,4as,7ar,12bs)-4a,9-dihydroxy-3-methylspiro[1,2,4,5,7a,13-hexahydro-4,12-methanobenzofuro[3,2-e]isoquinoline-6,2'-1,3-dihydroindene]-7-one Chemical compound C1C2=CC=CC=C2CC1(C([C@@H]1O2)=O)C[C@@]3(O)[C@H]4CC5=CC=C(O)C2=C5[C@@]13CCN4C YJWDKWRVFJZBCJ-QVJDATKISA-N 0.000 abstract 1
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 5
- 230000009545 invasion Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 3
- 230000008439 repair process Effects 0.000 description 3
- 230000000694 effects Effects 0.000 description 2
- 238000007689 inspection Methods 0.000 description 2
- 238000007726 management method Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000000717 retained effect Effects 0.000 description 2
- 238000011144 upstream manufacturing Methods 0.000 description 2
- 241001269238 Data Species 0.000 description 1
- 239000008186 active pharmaceutical agent Substances 0.000 description 1
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000007796 conventional method Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000000977 initiatory effect Effects 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000002045 lasting effect Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 238000005065 mining Methods 0.000 description 1
- 210000000056 organ Anatomy 0.000 description 1
- 231100000279 safety data Toxicity 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/561—Virus type analysis
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer And Data Communications (AREA)
- Burglar Alarm Systems (AREA)
Abstract
一种企业入侵检测和修复的方法和系统。事件从终端(24)的外围设备(28)及从终端(24)的安全输入/输出模块(26)安全地打包和传输。对事件进行实时收集和挖掘,以识别安全风险模式;动态修复行动被推回到终端(24)、外围设备(28),及SIOM(26)。
Description
技术领域
本发明涉及企业入侵检测和修复。
背景技术
在线或电子安全是业界非常重要的一个问题。似乎每个月都会出现关于某个重大企业的安全性遭到了破坏的新闻。出现此类安全性遭到破坏的事件的机构包括政府机构、零售店、社会媒体公司,甚至大型银行。
任何时候,当企业认为已经部署了修复安全破坏的安全措施时,黑客很快就想出了破坏其系统的新方法。在某些情况下,这种破坏甚至并非在企业的系统内进行,而是通过进入或离开企业系统的网络传输线进行;黑客利用嗅探技术获取经过网络线传输的数据包的副本,并找到破解密码的方法(假设采用了密码的话)。
在消费者身份信息、银行业务和信用卡详细情况存在泄露风险的财务交易中,安全问题尤其是一个重要的问题。
例如,销售点设备(POS)终端或自动柜员机(ATM)包括各种与主处理单元进行互动的独立的内部性外围设备,如打印机、加密键盘、扫描仪、触摸屏、磁卡阅读器等。这些设备可以通过各种连接,例如通用串行总线(USB) 连接和其它连接,而被集成到主处理单元内。这些外围设备之中的每一种都具有处理能力,都会发生泄密;一旦一台外围设备发生泄密,就会使其它外围设备和主处理单元发生泄密,甚至会渗入网络内并扩展到其它POS终端、其它 ATM或后端服务器。
为了改善系统及所有设备及设备和系统之间的连接的安全性,企业花费了大量的人力物力,而且还将继续花费大量的大力物力。这是一个持续的过程,企业总是试图领先黑客一步,但是,企业似乎仍然总是落后黑客一步。
因此,需要用一种更主动的、适应性更强的和更具动态性的修复方法来改善企业系统的安全性。
发明内容
在不同的实施例中,提供了自动入侵检测和修复的方法。根据一个实施例,提供了一种提供自动入侵检测和修复的方法。
具体地说,接收一个事件,该事件从一个终端上的一个组件通过一个网络而被安全地传输。访问探试程序,以识别该事件的模式。根据通过网络安全地推送到组件的模式自动地启动一项行动,以便处理该行动。
根据本发明的第一个方面,提供一种方法,它包括:接收从终端的一个组件通过网络安全地传输的一个事件;访问探试程序以识别该事件的模式;根据通过网络安全地推送到组件的模式,启动一项行动。
接收事件的步骤任选进一步包括从安全输入/输出模块(SIOM)获取事件,该模块是独立的硬件模块,在终端的操作系统的下方运行,并充当与终端的外围设备进行通讯的安全接口。
接收事件的步骤任选进一步包括从终端的外围设备获取事件,将事件推送到安全输入/输出模块(SIOM),该模块是独立的硬件模块,在终端的操作系统的下方运行,充当与外围设备进行通讯的安全接口。
访问探试程序的步骤任选进一步包括:从一个利用事件连续执行探试算法的任务来对模式进行识别。
访问探试程序的步骤任选进一步包括:从通过利用事件和其它收集到的事件连续地执行多个探试算法的一系列任务来对模式进行识别。
访问探试程序的步骤任选进一步包括:挖掘其它事件的历史的数据存储,利用事件通过探试程序来对模式进行识别。
启动一项行动的步骤任选进一步包括:将所述行动与安全地推送到所述组件或其它组件的其它行动进行连锁。
启动一项行动的步骤任选进一步包括:将所述行动安全地推送到终端的所述组件或其它组件。
启动一项行动的步骤任选进一步包括:针对与该组件有关的某个疑似的安全问题并为响应所述行动,由所述组件制定防范措施。
根据本发明的第二个方面,提供一种系统,它包括:终端设备;集成在终端设备内但独立于终端设备的安全输入/输出模块(SIOM);集成到终端设备内的外围设备;及入侵检测系统(IDS),经调整和配置,以便:(i)在终端设备外的服务器上执行,(ii)收集来源于SIOM和外围设备之间的安全会话的事件,(iii)根据所述事件,识别潜在的安全威胁模式;及(iv)响应所述潜在安全威胁,产生由以下一种或多种设备进行处理的一项或多项修复行动:SIOM和外围设备。
终端任选是以下设备中的一种:销售点(POS)设备、自助服务终端 (SST),如自动柜员机(ATM)或电话亭。
外围设备任选是以下设备中的一种:磁条阅读器(MSR)、键盘、加密键盘、打印机、扫描仪、键板、有价值媒体分配器、显示器和触摸屏显示器。
根据本发明的第三方面,提供一种方法,包括:通过安全网络连接,收集来源于安全输入/输出模块(SIOM)和外围设备之间的安全会话的事件,SIOM 和外围设备均集成在终端内;基于该事件,处理探试算法,识别至少一种表明以下一种或多种设备的潜在安全威胁的模式:SIOM和外围设备;响应所述潜在威胁,动态地且实时地产生至少一项行动,通过安全的网络发送给以下一种或多种设备:SIOM和外围设备,开展修复行动。
收集到的事件的步骤任选进一步包括同时挖掘其它事件的数据存储。
处理探试算法的步骤任选进一步包括利用事件和其它事件处理探试算法,识别至少一种模式。
处理探试算法的步骤任选进一步包括动态地增加一个新的探试算法,与所述探试算法一起处理。
处理探试算法的步骤任选进一步包括动态地更新至少其中一种探试算法,用以针对事件进行处理。
动态地且实时地产生至少一项行动的步骤任选进一步包括产生一系列行动,作为至少一项行动发送。
动态地且实时地引起至少一项行动被发出的步骤,任选进一步包括在修复行动期间终止SIOM和外围设备之间的安全会话。
终止安全会话的步骤任选进一步包括:当修复行动成功处理后,在SIOM 和外围设备之间重新建立新的安全会话。
附图说明
以下通过举例并参照附图,对本发明的上述内容和其他方面加以具体说明:
根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统的图;
根据一个示例实施例,图1B是图1A所示企业系统的入侵检测系统 (IDS)的交互图;
根据一个示例实施例,图2是提供自动入侵检测和修复的方法的示意图;
根据一个示例实施例,图3是提供自动入侵检测和修复的另一种方法的示意图;
根据一个示例实施例,图4是IDS系统的示意图。
具体实施方式
首先参考图1A,根据一个示例实施例,图1A是用于自动入侵检测和修复的企业系统10的图。按照极简的方式画出了企业系统10的各组件,只画出了那些对理解本发明某些实施例所必须的组件。
企业系统10包括企业服务数据库12、企业配置服务14、系统管理服务 16、入侵检测系统(IDS)18、网络20及多个零售店22。每个零售店都包括几个销售点(POS)终端(还可能是电话亭或自动柜员机(ATM)或它们的组合) 24。
每个终端24包括安全输入/输出模块(SIOM)26,这是一种硬件模块,其操作独立于终端24的操作系统(OS)。每个SIOM 26控制前往和来自于终端 24的独立外围设备28的消息。图1中示出了外围设备28的一些实例,如扫描仪、键盘、磁条/卡阅读器。值得指出的是,每个终端可能包括不同的或附加的外围设备28,如触摸屏、打印机、出钞器等。
企业数据库12存储配置密匙(用于加密、解密、认证等)、清单(安全规则、安全政策、加密算法/方法、证书、密钥、安全许可、安全作用等)、固定资产详细情况(设备识别符、设备能力、软件资源、版本信息等)、交易记录(每个零售店22、零售店22的每个终端24,及每个终端24的每个外围设备28),及需要收集和存储在企业数据库12中的其它企业信息。
企业配置服务14负责利用企业数据库12的清单,安全地配置每个终端24 的每个SIOM 26。这是利用安全加密协议通过网络20来实现的。清单详细地说明了SIOM 26如何安全地与其所服务的每个外围设备28进行通信,以及对后者的安全进行监测。例如,前往和来自某一扫描仪的数据有效载荷的一种加密算法和密钥组,可使用与前往和来自某一键盘的数据有效载荷完全不同的加密算法和密钥组。
SIOM 26请求初始配置或可以接收主动提供的初始配置。企业配置服务14 从与企业数据库12有关的硬件安全模块(或类似安全库)获得对发出请求的 SIOM 26来说是独一无二的配置清单,并在接下来配置发出请求的SIOM 26。一旦配置完成,外围设备28重新与发出请求的SIOM 26建立它们的安全会话。
SIOM 26还收集打包和发送到企业系统管理服务16的事件。SIOM事件包括配置事件、与外围设备28成功和失败的配对、成功和失败的安全数据传输等。
系统管理服务16负责收集和储存通过终端24从每个SIOM 26收到的安全加密格式的所有上游数据。通过企业系统的所有数据都是通过一个安全会话而进行的(清单中定义的加密方法)。
每个外围设备28捕捉由外围设备28打包,通过SIOM 26发送到系统管理服务16的事件和记录。
来自外围设备28和SIOM 26的事件由IDS 18开展动态的和实时的评估。
根据一个示例实施例,图1B是图1A所示企业系统10的入侵检测系统 (IDS)18的交互图;
IDS 18包括入侵检测探试库40、IDS并行任务连续监测模块42,及IDS 行动库44。
入侵检测算法被连续创建,并被动态地添加到入侵检测探试库40内。
IDS并行任务连续监测模块42的任务是并行的和连续运行的过程,它收集寻找入侵的探试算法。在一个实施例中,每种算法可以有一个过程。
当检测到入侵时,入侵检测行动库44的入侵检测行动自动地、动态地实时启动。根据需要,几个行动可以连锁,可以实时地、动态地增加新的行动。
系统管理服务16聚集和储存IDS 18挖掘的日志数据。
行动库44的行动由系统管理服务16和企业配置服务14代表和执行,因为这些服务可以通过网络20向下动态地发送通知、关掉SIOM 26、要求重新配置等。
IDS 18包括连续运行以对各种入侵进行监测的任务池。当检测到入侵时, IDS 18启动相关行动,包括通知和采取防范措施,防止或阻止攻击。IDS任务载入入侵检测探试算法。入侵检测算法可以以递增和动态的方式添加或退出。
IDS 18利用企业数据库12挖掘企业系统10中发生的事件(其安全风险被监测的生态系统)。这种遥测从安全外围设备28上游传输到SIOM 26,传输到企业服务14、16、18,在此,系统管理服务16将其聚集和保留在企业数据库 12内。
IDS探试算法对不同时间框架内的各种数据类型进行分析,寻找入侵模式。此外,行动库可以递增式地添加到系统中,配置(或链接)到某个具体的入侵算法。如果IDS 18检测到入侵,则会执行相关系列行动。
还值得指出的是,IDS的行动、探试程序及任务都是可以配置的,配置的详细情况保留在企业数据库12内。
探试算法能够识别的模式是可以配置的。部署遵照分级模式:企业服务- SIOM-安全服务-安全外围设备。
来自遥测(带事件)的一些入侵检测模式的实例在下文列出,同时列出了可以配置到IDS内的变化,这些示例模式可包括但不限于:
●终端MSR的安全会话失败和必须经常修复。
●SIOM经常从外围设备收到不正常的安全会话消息。
●安全外围设备经常从SIOM收到不正常的安全会话消息。
●SIOM偶尔无法与其安全外围设备配对。
●SIOM收到针对某个非活动会话的安全会话消息。
●企业配置服务(EPS)所发布的SIOM配对请求和SIOM上的配置记录不匹配。
●生态系统中存在重复的安全外围设备ID(UDID(设备的唯一标识符)。
●检测到未计入设备目录的安全外围设备ID。
●生态系统中存在重复的SIOM ID。
●SIOM经常出现配置失败。
●在安全会话建立后,端点无法创建安全会话消息。
●端点无法对安全会话消息进行解码和解密。
●端点改变了在安全会话期间用于通信的安全配置文件。
●生态系统中检测到撤回的或退役的安全外围设备或SIOM。
●SIOM失败以非常固定的间隔出现,且其必须与其端点进行重新配对。
●安全会话失败以非常固定的间隔出现,需要与SIOM重新配对。例如,每天下午3点左右。
传统的入侵检测系统是以网络或主机为中心,关注通过网络传输的或出入主机系统的数据包。本发明提供的新型IDS 18适用的范围比传统方法更广泛,它收集生态系统中的外围设备28和SIOM 26上发生的安全和操作事件的信息,以及查看网络和终端主机的信息。此外,由于事件报告发生在安全会话内(通过控制消息),端点认证、事件完整性及可利用性均得到了保存,使攻击者很难在欺骗或误导系统的企图中防止传输或改变遥测数据。
上文讨论的这些实施例和其他实施例现参照图2-4进行讨论。
根据一个示例实施例,图2是提供自动入侵检测和修复的方法200的示意图;方法200(下文称为“入侵检测服务”)被实现为编程指令,驻留于内存和/或永久性电脑可读(处理器可读)存储媒体内,由服务器的一个或多个处理器进行执行。处理器经特别配置和编程,用于处理入侵检测服务。入侵检测服务还可以在一个或多个网络上进行操作。网络可以是有线、无线或有线与无线相结合的网络。
在一个实施例中,入侵检测服务通过图1和1B中的IDS 18来实施。
在210处,入侵检测服务接收或获取从终端的一个组件通过网络安全地传输的事件。
在一个实施例中,终端是以下中的一种:POS设备或自助服务终端 (SST),例如ATM或电话亭。
在一个实施例中,组件是以下中的一种:SIOM(正如上文参照图1A和1B 所述)和外围设备。
在一个实施例中,外围设备是以下中的一种:MSR、有价值的媒体分配器、键盘、加密键盘、打印机、扫描仪、键板、显示器和触摸屏显示器。
利用一个安全会话来将事件进行安全传输,以便通过网络连接来携带该事件的数据有效载荷(payload)。
根据一个实施例,在211处,入侵检测服务从SIOM获取事件,SIOM是一个独立的硬件模块,在终端的操作系统(OS)之下和外面操作,充当前往和来自终端的外围设备的通信的安全接口。
在一个实施例中,在212处,入侵检测服务从终端的外围设备获取事件,该事件在外围设备和SIOM之间的安全会话期间,被推送到SIOM。SIOM是一个独立的硬件模块,在终端的操作系统(OS)之下和外面操作,充当前往和来自终端的外围设备的通信的安全接口。
在220处,入侵检测服务访问探试程序,以识别事件的模式。上文曾参照图1B中的IDS讨论过这一点。
根据一个实施例,在221处,入侵检测服务从一项利用该事件连续执行探试算法的任务中来对模式进行识别。也就是说,当执行入侵检测服务时,该任务连续运行探试算法,从而一收到事件,即可将其与模式相匹配。
在一个实施例中,在222处,入侵检测服务从利用所述事件和其它收集到的事件连续执行多个探试算法的多个任务中来对模式进行识别。因此,执行探试算法的任务连续运行,对事件及以前收集或挖掘的事件进行并行评估,以便尽快实时地对模式进行匹配。
在一个实施例中,在223处,入侵检测服务挖掘其它事件的历史的数据存储,与收到的事件一起使用,以根据探试程序来对模式进行识别或匹配。
在230处,入侵检测服务根据模式启动一个行动,该行动通过网络安全地、动态地推送到组件。该行动可以是对潜在安全威胁或问题的指示;或者,该行动可以是对组件需要收集更多事件和使那些事件通过网络安全地传回到入侵检测服务的指示。
根据一个实施例,在231处,入侵检测服务将该行动与安全地推送到终端的该组件与/或其它组件的其它行动相连锁。也就是说,在某些情况下,某项安全风险可能与终端的多个组件有关,而不一定仅与由入侵检测服务所接收的事件的发起有关的组件有关,从而多个连锁行动可通过网络安全地发送。还可能是这种情况:仅有该组件将根据识别的模式执行多个行动。
在一个实施例中,在232处,入侵检测服务安全地将行动推送到终端的该组件及其它组件。在此处,单个行动可适用于终端的多个组件。
在一个实施例中,在233处,通过发送行动,入侵检测服务导致该组件针对与该组件有关的疑似的安全问题,制定自己熟悉的防范措施;这是响应接收行动或行动通知的组件而做出的反应。
值得指出的是,虽然入侵检测服务被描述为针对单个终端的组件的安全威胁的动态的管理和实时的调整,但是,入侵检测服务可以代表多个终端和它们的每个组件执行这种处理,正如上文参考图1A和1B所讨论的那样。
根据一个示例实施例,图3是提供自动入侵检测和修复的另一种方法300 的示意图。方法300(下文称为“动态安全服务”)被实现为指令,在设备的一个或多个处理器上执行的内存和/或永久性电脑可读(处理器可读)存储媒体中被编程;设备的处理器经过专门配置可以执行动态安全服务。动态安全服务也可以通过一个或多个网络来进行操作;网络可以是有线、无线或有线与无线相结合的网络。
动态安全服务是方法200的另一种、并且在某些方面有所改进的形式。
在一个实施例中,动态安全服务通过图1和2中的IDS 18来实施。
在310处,动态安全服务通过一个安全网络连接,收集来源于一个SIOM 和一个外围设备之间的安全会话的事件。SIOM和外围设备均集成在终端设备内。
根据一个实施例,在311处,动态安全服务同时挖掘为一个企业生态系统所收集的其它事件的数据存储,该生态系统可能包括来自多个设施的多个终端,每个终端都有一个SIOM和一个或多个外围设备。
在320处,动态安全服务根据事件来处理探试算法,其目的是识别或匹配至少一个代表以下一个或多个设备的潜在安全威胁的模式:SIOM和外围设备。
在311和320的一个实施例中,在321处,动态安全服务将探试算法与事件和其它事件一起处理,以识别和匹配至少一个模式。
根据一个实施例,在322处,动态安全服务动态地增加一种新的探试算法,将其与现有探试算法一起进行处理。这可以实时实现。
在一个实施例中,在323处,动态安全服务动态更新和改变至少一种探试算法,用于与事件一起进行处理。这种更新可以实时实现。
在330处,为了响应潜在的安全威胁,动态安全服务动态地且实时地引致至少一项行动被通过安全网络发送到以下一种或多种设备:SIOM和外围设备,用以开展修复行动。
根据一个实施例,在331处,基于所识别的模式及其与安全威胁的联系,动态安全服务引致一系列行动被通过安全网络发送到以下一种或多种设备: SIOM和外围设备,用以开展修复行动。
在一个实施例中,在332处,在修复行动期间,动态安全服务终止SIOM 和外围设备之间的安全会话。
在332的一个实施例中及在333处,当修复行动成功处理完毕后,动态安全服务在SIOM和外围设备之间重新建立新的安全会话。
根据一个示例实施例,图4是IDS系统400的示意图。IDS系统400的某些组件被实现为可执行指令,在设备的一个或多个处理器上执行的内存和/或永久性电脑可读(处理器可读)存储媒体中被编程;处理器经过专门配置可以执行IDS系统400的组件。IDS系统400也可以通过一个或多个网络操作;网络可以是有线、无线或有线与无线相结合的网络。
在一个实施例中,IDS系统400实施特别是图1和图2中的IDS。
在一个实施例中,IDS系统400实施特别是图2的方法200。
在一个实施例中,IDS系统400实施特别是图3的方法300。
IDS系统400包括终端设备401、SIOM 402、外围设备403及IDS 404。
在一个实施例中,终端401是以下设备中的一种:POS设备或SST(如ATM 或电话亭)。
SIOM 402被集成到终端401内,且其操作独立于终端401的硬件和OS。 SIOM 402充当外围设备403的安全接口,通过终端401内的安全加密会话,与外围设备403进行通信。
外围设备403被集成在终端401中及集成到终端401内,通过与SIOM 402 的安全会话,接收通信和发送通信。
在一个实施例中,外围设备403是以下中的一种:MSR、键盘、加密键盘、打印机、扫描仪、键板、有价值的媒体分配器、显示器和触摸屏显示器。
IDS 404经配置适用于:在终端401外的服务器上执行,收集来源于SIOM 402和外围设备403之间的安全会话的事件,根据收集的事件,识别潜在安全威胁的模式;及响应所述潜在安全威胁,产生一项或多项修复行动,这些行动由以下的一种或多种设备进行处理:SIOM 402和外围设备403。
以上描述属说明性,而非限制性。在查阅上述说明后,相关技术人员将了解许多其他实施例。因此,实施例的范围应参照附加的权利要求来决定。
在之前对实施例的描述中,出于简化披露目的,各个特征被一并归至单个实施例中。这种披露方法不应被理解为:所申请实施例的特征比各权利要求中明确表述的特征要多。正如以下权利要求所反映,发明主旨事项反而少于单个披露的实施例的所有特征。
Claims (29)
1.一种提供自动入侵检测和修复的方法,其包括:
由硬件服务器接收来源于终端的安全输入/输出模块和外围设备之间的安全会话的安全入侵事件,其中接收进一步包括从所述终端的所述外围设备获取所述安全入侵事件,所述安全入侵事件在所述外围设备与所述安全输入/输出模块之间的所述安全会话期间被推送至所述安全输入/输出模块,所述安全输入/输出模块是在所述终端的操作系统的下方运行的独立的硬件模块并用作前往和来自所述外围设备的通信的安全接口;
由所述硬件服务器访问探试程序,并且识别所述安全入侵事件的与所述外围设备内的安全入侵有关的模式;以及
由所述硬件服务器根据所述模式启动行动,并且将所述行动安全地推送到所述外围设备以由所述外围设备针对所述安全入侵进行动态和实时处理。
2.根据权利要求1所述的方法,其中访问探试程序的步骤进一步包括从利用所述安全入侵事件连续执行探试算法的一项任务中来对所述模式进行识别。
3.根据权利要求1所述的方法,其中访问探试程序的步骤进一步包括:从使用所述安全入侵事件和其它收集到的事件来连续执行多个探试算法的多个任务中来对所述模式进行识别。
4.根据权利要求1所述的方法,其中访问探试程序的步骤进一步包括挖掘其它安全入侵事件的历史的数据存储,与所述安全入侵事件一起使用,以通过所述探试程序来对所述模式进行识别。
5.根据权利要求1所述的方法,其中启动行动的步骤进一步包括将所述行动与安全地推送到所述终端的所述外围设备和其它组件的其它行动相连锁。
6.根据权利要求1所述的方法,其中启动行动的步骤进一步包括将所述行动安全地推送到所述终端的所述外围设备和其它组件。
7.根据权利要求1所述的方法,其中启动行动的步骤进一步包括:由所述外围设备针对与所述外围设备有关的疑似的安全问题并响应于处理所述行动的所述外围设备来制定防范措施。
8.根据权利要求1所述的方法,其中所述外围设备包括卡阅读器,并且其中所述模式包括所述安全输入/输出模块与所述卡阅读器之间的所述安全会话的失败。
9.根据权利要求8所述的方法,其中所述模式是可配置的。
10.根据权利要求1所述的方法,其中所述模式包括检测到重复的安全外围设备标识符。
11.根据权利要求1所述的方法,其中所述模式包括检测到未计入外围设备目录的安全外围设备识别符。
12.根据权利要求1所述的方法,其中所述模式包括检测到重复的安全输入/输出模块识别符。
13.根据根据权利要求1所述的方法,其中所述模式包括所述安全输入/输出模块从所述外围设备收到不正常的安全会话消息。
14.根据根据权利要求1所述的方法,其中所述模式包括所述外围设备从所述安全输入/输出模块收到不正常的安全会话消息。
15.根据根据权利要求1所述的方法,其中所述模式包括所述安全输入/输出模块与所述外围设备配对的失败。
16.根据根据权利要求1所述的方法,其中所述模式包括所述安全输入/输出模块收到针对非活动的安全会话的安全会话消息。
17.根据根据权利要求1所述的方法,其中所述模式包括配置服务器所发布的安全输入/输出模块配对请求和所述安全输入/输出模块上的配置记录不匹配。
18.根据权利要求1所述的方法,其中所述模式包括所述安全输入/输出模块被所述硬件服务器配置失败。
19.根据权利要求1所述的方法,其中所述模式包括:在所述安全会话建立之后,所述外围设备不能创建安全会话消息。
20.根据权利要求1所述的方法,其中所述模式包括所述外围设备不能解码和解密所述安全会话期间的消息。
21.根据权利要求1所述的方法,其中所述模式包括所述外围设备改变在所述安全会话期间用于通信的安全配置文件。
22.根据权利要求1所述的方法,其中所述模式包括所述安全输入/输出模块与所述外围设备配对失败并且检测到所述安全输入/输出模块试图与所述外围设备重新配对。
23.一种用于自动入侵检测和修复的系统,包括:
终端;
集成到所述终端内且独立于所述终端的安全输入/输出模块;
集成到所述终端内的外围设备;及
入侵检测系统,所述入侵检测系统适于并且被配置为:(i)在所述终端以外的服务器上执行,(ii)在所述安全输入/输出模块和所述外围设备之间的安全会话期间收集来源于所述安全会话的安全入侵事件,(iii)根据所述安全入侵事件,识别潜在安全威胁的模式;及(iv)响应于所述潜在安全威胁,引致一项或多项修复行动被所述安全输入/输出模块和所述外围设备实时进行处理,其中所述安全输入/输出模块是在所述终端的操作系统的下方运行的独立的硬件模块并用作前往和来自所述外围设备的通讯的安全接口。
24.根据权利要求23所述的系统,其中所述终端是销售点设备或自助服务终端。
25.根据权利要求23所述的系统,其中所述终端是自动柜员机或电话亭。
26.根据权利要求23所述的系统,其中所述外围设备是以下设备中的一种:磁条阅读器、键盘、打印机、扫描仪和显示器。
27.根据权利要求23所述的系统,其中所述外围设备是加密键盘或触摸屏显示器。
28.一种提供自动入侵检测和修复的方法,包括:
由硬件服务器通过安全网络在安全输入/输出模块和外围设备之间的安全会话期间收集来源于所述安全会话的安全入侵事件,所述安全输入/输出模块和所述外围设备集成在终端中,并且所述安全输入/输出模块是在所述终端的操作系统的下方运行的独立的硬件模块并且作为前往和来自所述外围设备的通信的安全接口;
基于所述安全入侵事件处理探试算法,并且识别表明所述安全输入/输出模块和所述外围设备中的一者或者两者的潜在安全威胁的至少一种模式;以及
响应于所述潜在安全威胁,动态且实时地引致至少一项行动通过所述安全网络被发送至所述安全输入/输出模块和所述外围设备中的一者或者两者,以由所述安全输入/输出模块或所述外围设备实时处理修复行动。
29.根据权利要求28所述的方法,其中动态且实时地引致所述至少一项行动被发送的步骤包括:在所述修复行动期间终止所述安全输入/输出模块和所述外围设备之间的所述安全会话。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US14/530,133 US9584532B2 (en) | 2014-10-31 | 2014-10-31 | Enterprise intrusion detection and remediation |
| US14/530,133 | 2014-10-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105577640A CN105577640A (zh) | 2016-05-11 |
| CN105577640B true CN105577640B (zh) | 2019-04-12 |
Family
ID=54359884
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201510726257.XA Active CN105577640B (zh) | 2014-10-31 | 2015-10-30 | 一种企业入侵检测和修复的方法和系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US9584532B2 (zh) |
| EP (1) | EP3016014A1 (zh) |
| CN (1) | CN105577640B (zh) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10230747B2 (en) * | 2014-07-15 | 2019-03-12 | Cisco Technology, Inc. | Explaining network anomalies using decision trees |
| US10536476B2 (en) | 2016-07-21 | 2020-01-14 | Sap Se | Realtime triggering framework |
| US10482241B2 (en) | 2016-08-24 | 2019-11-19 | Sap Se | Visualization of data distributed in multiple dimensions |
| US10542016B2 (en) | 2016-08-31 | 2020-01-21 | Sap Se | Location enrichment in enterprise threat detection |
| US10673879B2 (en) | 2016-09-23 | 2020-06-02 | Sap Se | Snapshot of a forensic investigation for enterprise threat detection |
| US10630705B2 (en) | 2016-09-23 | 2020-04-21 | Sap Se | Real-time push API for log events in enterprise threat detection |
| US10534908B2 (en) | 2016-12-06 | 2020-01-14 | Sap Se | Alerts based on entities in security information and event management products |
| US10530792B2 (en) | 2016-12-15 | 2020-01-07 | Sap Se | Using frequency analysis in enterprise threat detection to detect intrusions in a computer system |
| US10534907B2 (en) | 2016-12-15 | 2020-01-14 | Sap Se | Providing semantic connectivity between a java application server and enterprise threat detection system using a J2EE data |
| US11470094B2 (en) | 2016-12-16 | 2022-10-11 | Sap Se | Bi-directional content replication logic for enterprise threat detection |
| US10552605B2 (en) | 2016-12-16 | 2020-02-04 | Sap Se | Anomaly detection in enterprise threat detection |
| US10764306B2 (en) | 2016-12-19 | 2020-09-01 | Sap Se | Distributing cloud-computing platform content to enterprise threat detection systems |
| US10762201B2 (en) * | 2017-04-20 | 2020-09-01 | Level Effect LLC | Apparatus and method for conducting endpoint-network-monitoring |
| US10530794B2 (en) | 2017-06-30 | 2020-01-07 | Sap Se | Pattern creation in enterprise threat detection |
| US10284530B1 (en) * | 2017-07-13 | 2019-05-07 | Symantec Corporation | Secure computer peripheral devices |
| US10986111B2 (en) | 2017-12-19 | 2021-04-20 | Sap Se | Displaying a series of events along a time axis in enterprise threat detection |
| US10681064B2 (en) | 2017-12-19 | 2020-06-09 | Sap Se | Analysis of complex relationships among information technology security-relevant entities using a network graph |
| US10678938B2 (en) * | 2018-03-30 | 2020-06-09 | Intel Corporation | Trustworthy peripheral transfer of ownership |
| EP3842944A4 (en) * | 2018-10-11 | 2022-04-27 | Nippon Telegraph And Telephone Corporation | INFORMATION PROCESSING DEVICE, ANOMALITY ANALYSIS METHOD AND PROGRAM |
| WO2023048705A1 (en) * | 2021-09-22 | 2023-03-30 | Hewlett-Packard Development Company, L.P. | Consequence execution |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110055925A1 (en) * | 2009-09-03 | 2011-03-03 | Palo Alto Research Center Incorporated | Pattern-based application classification |
| US20120254982A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for protecting and securing storage devices using below-operating system trapping |
| US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5141905B2 (ja) * | 2007-12-28 | 2013-02-13 | オムロン株式会社 | 安全マスタ |
| DE102008049599B4 (de) * | 2008-09-30 | 2024-08-14 | Diebold Nixdorf Systems Gmbh | Verfahren und Vorrichtung zur Erkennung von Angriffen auf einen Selbstbedienungsautomat |
| US8590045B2 (en) * | 2009-10-07 | 2013-11-19 | F-Secure Oyj | Malware detection by application monitoring |
| DE102010000482A1 (de) * | 2010-02-19 | 2011-08-25 | WINCOR NIXDORF International GmbH, 33106 | Methode und Verfahren für PIN-Eingaben bei konsistentem Software-Stack auf Geldautomaten |
| US8856534B2 (en) * | 2010-05-21 | 2014-10-07 | Intel Corporation | Method and apparatus for secure scan of data storage device from remote server |
| JP5678751B2 (ja) * | 2011-03-18 | 2015-03-04 | 株式会社リコー | 検疫ネットワークシステム |
| US8966624B2 (en) * | 2011-03-31 | 2015-02-24 | Mcafee, Inc. | System and method for securing an input/output path of an application against malware with a below-operating system security agent |
| US9032525B2 (en) * | 2011-03-29 | 2015-05-12 | Mcafee, Inc. | System and method for below-operating system trapping of driver filter attachment |
| US10887296B2 (en) | 2012-12-31 | 2021-01-05 | Ncr Corporation | Secure provisioning manifest for controlling peripherals attached to a computer |
| US9282115B1 (en) * | 2014-01-03 | 2016-03-08 | Juniper Networks, Inc. | Systems and methods for detecting cache-poisoning attacks in networks using service discovery protocols |
-
2014
- 2014-10-31 US US14/530,133 patent/US9584532B2/en active Active
-
2015
- 2015-10-19 EP EP15190381.2A patent/EP3016014A1/en not_active Withdrawn
- 2015-10-30 CN CN201510726257.XA patent/CN105577640B/zh active Active
-
2017
- 2017-01-30 US US15/419,012 patent/US9967270B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20110055925A1 (en) * | 2009-09-03 | 2011-03-03 | Palo Alto Research Center Incorporated | Pattern-based application classification |
| US20120254982A1 (en) * | 2011-03-29 | 2012-10-04 | Mcafee, Inc. | System and method for protecting and securing storage devices using below-operating system trapping |
| US20140047544A1 (en) * | 2012-08-09 | 2014-02-13 | Bjorn Markus Jakobsson | Server-Side Malware Detection and Classification |
Also Published As
| Publication number | Publication date |
|---|---|
| US20160127391A1 (en) | 2016-05-05 |
| US9584532B2 (en) | 2017-02-28 |
| US9967270B2 (en) | 2018-05-08 |
| CN105577640A (zh) | 2016-05-11 |
| EP3016014A1 (en) | 2016-05-04 |
| US20170142142A1 (en) | 2017-05-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105577640B (zh) | 一种企业入侵检测和修复的方法和系统 | |
| JP6527590B2 (ja) | オフライン・ネットワーク・トラフィックに基づいてカバート・チャネルのネットワーク侵入を検出するためのシステムおよび方法 | |
| US9646155B2 (en) | Systems and methods for evaluation of events based on a reference baseline according to temporal position in a sequence of events | |
| US20170293906A1 (en) | Point-of-sale cybersecurity system | |
| CN104821042B (zh) | 自助服务终端的带外监控和管理 | |
| US20080263672A1 (en) | Protecting sensitive data intended for a remote application | |
| CN109493058A (zh) | 一种基于区块链的身份识别方法及相关设备 | |
| JP6268034B2 (ja) | 自動取引装置及び自動取引システム | |
| US20200210996A1 (en) | Systems, methods, and platforms for providing tracking through blockchain networks | |
| CN105577639A (zh) | 可信装置控制消息 | |
| US20160239832A1 (en) | Payment system | |
| Park et al. | An enhanced smartphone security model based on information security management system (ISMS) | |
| Azam et al. | Cybercrime Unmasked: Investigating cases and digital evidence. | |
| US20220172516A1 (en) | Monitoring Devices at Enterprise Locations Using Machine-Learning Models to Protect Enterprise-Managed Information and Resources | |
| JP7078562B2 (ja) | 計算機システム、インシデントによる業務システムへの影響の分析方法、及び分析装置 | |
| Dorigo | Security information and event management | |
| Talukder et al. | Point-of-sale device attacks and mitigation approaches for cyber-physical systems | |
| CN115221538A (zh) | 适用于财务数据的加密方法及系统 | |
| CN113849563A (zh) | 一种信息共享方法、装置及系统 | |
| Ham et al. | DroidVulMon--Android Based Mobile Device Vulnerability Analysis and Monitoring System | |
| CN113283885A (zh) | 一种电子券领取方法、装置、设备和存储介质 | |
| CN113343266A (zh) | 信息系统安全运营管理平台及方法 | |
| CN107086918A (zh) | 一种客户端验证方法和服务器 | |
| Ko et al. | Trends in Mobile Ransomware and Incident Response from a Digital Forensics Perspective | |
| Aminanto et al. | Development of protection profile and security target for Indonesia electronic ID card's (KTP-el) card reader based on common criteria V3. 1: 2012/SNI ISO/IEC 15408: 2014 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP03 | Change of name, title or address |
Address after: Georgia, USA Patentee after: NCR Voix Co. Country or region after: U.S.A. Address before: Georgia, USA Patentee before: NCR Corp. Country or region before: U.S.A. |
|
| CP03 | Change of name, title or address |