CN106462702B - 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 - Google Patents

用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 Download PDF

Info

Publication number
CN106462702B
CN106462702B CN201580032396.0A CN201580032396A CN106462702B CN 106462702 B CN106462702 B CN 106462702B CN 201580032396 A CN201580032396 A CN 201580032396A CN 106462702 B CN106462702 B CN 106462702B
Authority
CN
China
Prior art keywords
monitoring unit
additional data
data
computing device
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201580032396.0A
Other languages
English (en)
Other versions
CN106462702A (zh
Inventor
J-U.布泽
J.屈拉尔
M.蒙策特
H.帕茨拉夫
J.施蒂约翰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Publication of CN106462702A publication Critical patent/CN106462702A/zh
Application granted granted Critical
Publication of CN106462702B publication Critical patent/CN106462702B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/04Network management architectures or arrangements
    • H04L41/046Network management architectures or arrangements comprising network management agents or mobile agents therefor
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/20Network management software packages
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/04Protocols for data compression, e.g. ROHC

Abstract

在按照本发明的用于在具有多个计算装置(10.1、…、10.i、…、10.n)和至少一个监控单元(12)(所述多个计算装置与所述至少一个监控单元通过通信网络彼此连接)的分布式计算机基础设施中获取并且分析电子取证数据的系统(10)中,每个计算装置(10.1、…、10.i、…、10.n)都被构造来探测安全事件并且将安全事件发送给所述监控单元(12),而且所述监控单元(12)如此被构造来分析所接收到的安全事件并且将所接收到的安全事件分派给一个危险类别,其中,在缺少用于分派危险类别的信息时,所述计算装置(10.1、…、10.i、…、10.n)如此被构造来接收用于采集附加的电子取证数据的指示并且将附加的数据通过分析单元(13)发送给所述监控单元(12)。所述监控单元(12)如此被构造来将用于采集附加的数据的指示传送给所述计算装置(10.1、…、10.i、…、10.n),而且在接收到经分析的附加的数据之后将所述经分析的附加的数据用于重新评估和分派危险类别。

Description

用于在分布式计算机基础设施中获取并且分析电子取证数据 的方法和系统
技术领域
本发明涉及用于在具有多个计算装置和至少一个监控单元的分布式计算机基础设施中获取并且分析电子取证数据(forensische Daten)的一种方法和一种装置,所述多个计算装置与所述至少一个监控单元通过通信网络彼此连接。
背景技术
在工业设施、比如用于制造商品的自动化设施或者用于产生能量的设施或者也包括能量分配系统中,计算装置(比如所谓的现场设备或者其它的控制装置)通过通信网络彼此连接。通过该通信网络,在所述计算装置之间交换测量和控制数据或者也将控制或者管理消息从上级的控制层面分配给各个计算装置。使用安全事件管理系统和安全信息监控系统,以便也集中地存储和管理在这种分布式计算机基础设施中出现的安全协议数据。通过对于这些数据的分析来识别与安全相关的事件并且将所述与安全相关的事件报告给监控中心。
对于这种与安全相关的事件的典型的例子是失败的登录尝试(Anmeldeversuche)、从计算机到“恶意的”或者“可疑的”网页的连接、从计算装置开始的网络扫描以及类似的情况。为了分析人员(例如进行设施监控的人员)可以正确地对所报告的事件作出反应,必需分类成良性的或者恶意的事件。尽管典型的安全事件管理系统和安全信息管理系统经常实施用于这种分类的算法,但是仅仅基于现有的数据进行明确的归划(Zuordnung)在许多情况下是不可能的。在其它情况下,发生将良性的事件错误地归划为恶意的事件或者相反地将恶意的事件错误地归划为良性的事件、即所谓的“假阳性(false-positive)”事件或者“假阴性(false-negative)”事件。
在其中不可能进行明确的归划的情况下,对于所涉及的计算装置的耗时的后续检查(Folgeuntersuchung)、比如手动的电子取证检查(forensische Untersuchung)是必需的。所述后续检查通常不能在所述安全事件管理系统和安全信息管理系统本身中进行并且可能需要特殊的专业知识。
如果不可能将与安全相关的事件明确地归划到一个危险类别中,那么目前例如通常省去对安全事件的分类,阻止也被称为漏报(under-reporting)的、不能分类的事件,或者通过评估系统,例如通过低相关性、中等相关性、高相关性来进行模糊的分类。这种不明确的分类经常由于以下情况而发生:存在的信息不足以能够精确地对所述与安全相关的事件进行分析。
发明内容
因此,本发明的任务是:改善在分布式计算机基础设施中在对安全事件进行编排或分类时的错误率。
该任务通过在专利独立权利要求中所描述的措施来解决。在从属权利要求中描述了本发明的有利的改进方案。
在按照本发明的用于在具有多个计算装置和至少一个监控单元(所述多个计算装置和所述至少一个监控单元通过通信网络彼此连接)的分布式计算机基础设施中获取并且分析电子取证数据的系统中,每个计算装置都如此被构造来探测安全事件并且将安全事件发送给所述监控单元,而且所述监控单元如此被构造来分析所接收到的安全事件并且将所接收到的安全事件分派给一个危险类别,其中在缺少用于分派危险类别的信息时,所述计算装置如此被构造来接收用于采集附加的电子取证数据的指示并且将附加的数据发送给所述监控单元。所述监控单元如此被构造来将用于采集附加的数据的指示传送给所述计算装置并且在接收到经分析的附加的数据之后将这些经分析的附加的数据用于重新评估和分派危险类别。
这具有以下优点:现在,附加的电子取证数据在所述计算装置中被确定并且被提供给所述监控单元。通过这些附加的电子取证数据,可以进行重新的分析和分类。在此,在对所述安全事件进行分类时的错误率显著降低。
在一有利的改进方案中,按照本发明的系统包括分析单元,该分析单元对附加的、被采集的数据进行分析。
这具有以下优点:对所述附加的、被采集的数据的获取和至少预先分析与已经存在的系统无关地进行。仅仅要进行稍许的匹配。监控单元虽然得到附加的数据,但是可以以惯常的方式来评估这些附加的数据并且将这些附加的数据考虑用于分派危险类别。所述分析单元可以被构造为独立的单元或者被构造为在所述监控单元中的功能单元,而且因此可以灵活地被集成到现存的系统中。
在一有利的改进方案中,该分析单元如此被构造来将软件代理(Software-Agent)传送给所述计算装置,其中所述软件代理如此被构造来在所述计算装置中确定附加的电子取证数据并且将所述附加的电子取证数据发送给所述分析单元。
这具有以下优点:所述计算装置不必提供自身的装置或者单元用于采集附加的数据。在按照本发明的系统中,可以改善地监控传统的已经在应用中的计算装置。成本高地给计算装置加装用于采集附加的数据的部件不是必需的。所述计算装置只是暂时地由于所述软件代理而承受负载。
在按照本发明的系统的一有利的改进方案中,所述软件代理在所述计算装置中根据在监控单元中被评估的安全事件的类型而采集不同的附加的数据。
这具有以下优点:特定地采集对在监控单元中被评估的安全事件的类型特别相关的附加的数据。例如,在单次或在多次失败的登录(Log-in)尝试的情况下,可以查明关于已经开始所述登录尝试的部件的地址或者所在地的信息。
在按照本发明的系统的一有利的设计方案中,所述监控单元如此被构造为通过根据单个的安全事件的相关性来分派加权因子的方式来执行对该安全事件的评估。
因此,关于被报告的安全事件的相关性来执行对安全事件的估计。因此,可以更加强烈地在各个被报告的安全事件之间进行区分(differenzieren)。
在一实施变型方案中,所述监控单元如此被构造为:如果所述各个安全事件的加权因子的总和超过预先给定的阈值,那么将确定的危险类别分派给一个或多个安全事件。
通过对多个安全事件的评估来实现可靠的(fundiert)估计,并且可以减少由于偶尔(sporadisch)出现的安全事件所引起的误估计(Fehleinschaetzung)。
在一有利的实施方式中,所述软件代理如此被构造为:在所述计算装置中采集文件的元数据和/或在用于配置数据(Konfigurationsdaten)的寄存器中的记录和/或防病毒程序(Anti-Virus-Programm)的协议记录作为附加的数据。
所提到的数据包含大量信息(如存储日期或存储时间、文件的大小、文件的类型以及关于由于病毒引起的对计算装置的危害的提示等等),所述信息能够实现对安全事件的更精确的估计。
在一有利的实施方式中,所述软件代理将所述附加的数据以被压缩的形式传送给分析单元。
这减小了用于传输额外要求的或补充提供的数据所需的带宽,并且因此只是稍许地使通信网络承受负载。
按照本发明的用于在具有多个计算装置和至少一个监控单元的分布式计算机基础设施中获取并且分析电子取证数据的方法具有随后被提到的方法步骤,所述多个计算装置和所述至少一个监控单元通过通信网络彼此连接。第一方法步骤是在计算装置中探测安全事件,并且将所述安全事件传送给监控单元。紧接着的方法步骤是在该监控单元中评估各个安全事件并且分派危险类别。如果现存的信息或现存的安全事件不足以用于分派危险类别,那么附加地向计算装置要求数据。依据安全技术的方面来分析附加地被采集的数据,并且将经分析的数据传输给监控单元。在监控单元,重新评估所述安全事件和所述经分析的附加的数据并且分派一个危险类别。
因此,在其中不可能明确地归划危险类别的情况下,在所涉及的计算装置中或者也在其它相关的计算装置中自动地采集其它的与安全相关的数据并且进一步分析和使用所述其它的与安全相关的数据来评估和分类。因此,可以减少对危险类别的误归划(Fehlzuordnung)的数目并且可以识别出对分布式计算基础设施(比如工业设施)的操纵。
在按照本发明的方法的一有利的变型方案中,通过根据单个的安全事件的相关性来分派加权因子的方式实现对该安全事件的评估。
在另一变型方案中,如果各个安全事件的加权因子的总和超过预先给定的阈值,那么确定的危险类别被分派给一个或多个安全事件。
因此,对安全事件的估计和分类关于相关性而不同地被分析而且尽可能地依据多个安全事件。因此,减少了对所述安全事件的误估计。
在该方法的一有利的实施方式中,如果满足了附加地预先给定的条件,那么确定的危险类别被分派给一个或多个安全事件。
由此可以检查(abpruefen)附加的、对于所述安全事件的估计来说重要的边界条件。因此也保证了:可供支配的资源(比如通信网络的带宽或所述各个计算装置或所述监控单元的处理器功率)有效地被采用并且没有过载。
在按照本发明的方法的一有利的实施方式中,在所述计算装置中根据在监控单元中被评估的安全事件的类型来采集不同的附加的数据。
由此,在所述计算装置中附加地要采集的数据可以限于如下这种数据:所述数据对于被评估的安全事件来说具有最大的相关性。因此,减小了用于传输所述附加的数据所需的带宽并且减小了在分析单元中的处理器功率。由此,可以更快地并且更有效地执行分析。
在一有利的实施方式中,所述附加地被采集的数据以被压缩的形式来传输。
这也具有以下优点:尽可能少地使所述分布式基础设施的和尤其是所述通信网络的正常运行承受负载。
此外,还要求保护一种具有用于执行所描述的方法的程序指令的计算机程序产品。
附图说明
按照本发明的系统的和按照本发明的方法的实施例在附图中示例性地被示出,而且依据随后的描述进一步来解释。
图1示出了按照本发明的用于在分布式计算机基础设施中获取并且分析附加的电子取证数据的系统的实施例;和
图2是按照本发明的以流程图的形式来示出的方法的实施例。
彼此相对应的部分在所有附图中都配备有相同的附图标记。
具体实施方式
图1以示意图示出了按照本发明的系统的实施例,在该系统中,计算装置11.1、…、11.i、…、11.n以及监控单元12和分析单元13通过未被示出的通信网络彼此连接。所述计算装置11.1、…、11.i、…、11.n例如可以是自动化设施中的各个现场设备或者可以是能量分配设施的或者另一工作设施的部件。监控单元12如此被构造来存储、管理安全事件并且通过对所述安全事件的分析来识别并且报告危及安全的事件,所述安全事件已经在所述计算装置11.1、…、11.n中的每个计算装置中被探测到并且已经被寄送给监控单元12。针对安全事件的典型的例子是失败的登录尝试、从计算机到恶意的或者可疑的网页的连接或者也是从计算装置开始的网络扫描。
因为对一个或者多个在监控单元中出现的安全事件的评估经常不足以标识出(identifizieren)危急安全的事件或将一个危险类别分派给该事件,所以所述监控单元12如此被构造为:在缺少用于分派危险类别的信息时将如下指示发送给所述计算装置(例如计算装置11.i),所述指示要求采集附加的电子取证数据。对此,所述监控单元12例如通过分析单元13来发送要求消息A。该要求消息A例如可以包括说明了如下数据的一个类型或者多个类型的参数,所述数据应该基于以往的被探测到的并且被评估的安全事件而被采集,用于进一步评估安全事件。
于是,分析单元3将相对应的软件代理14以消息B传送给一个计算装置11.i或者也传送给多个计算装置11.i。该软件代理14被安装在所述一个或多个计算装置11.i中并且被激活,使得该软件代理14在计算装置11.i中独立地采集所希望的数据。在此,该软件代理14可以实施其它的参数或者附加条件,用于例如在预先确定的持续时间期间采集所要求的数据,或者也用于在所述计算装置11.i中采集一个预先给定的类型的或者多个预先给定的类型的数据、比如文件的元数据和/或在用于配置数据的寄存器中的记录和/或防病毒程序的协议记录。
接着,将由软件代理14采集的附加的数据以一个或者多个传输C发送给分析单元13。在此,所采集的数据可以被软件代理14压缩,使得减小了用于传输这些附加地被采集的数据的带宽。
在分析单元13中,这些附加地被采集的数据被处理并且可选地被预先分析。紧接着,将经处理的数据以传输D发送给监控单元12。在监控单元12,在考虑附加地被采集的数据或经处理的被采集的数据的情况下重新评估各个安全事件。例如,通过根据安全事件以及经处理的附加地被采集的数据的相关性来分派加权因子的方式来评估所述安全事件以及所述经处理的附加地被采集的数据。如果所述各个安全事件和所述附加地被采集的数据的加权因子的总和超过预先给定的阈值,那么确定的危险类别被分派给所述各个安全事件和所述附加地被采集的数据。现在,该危险类别例如被报告给操作单元或直接通过信号被报告给操作人员。所述操作单元可以根据所述危险类别的类型采取进一步的措施(比如执行进一步的分析)来封锁确定的网关(Netzuebergang)等等。
通过将附加的被采集的数据用于对安全事件进行分类,可以在实质上提高该分类的质量。由此,后续花费(比如手动的检查)被最小化,或者由于假阴性的分类引起的安全欠缺(Sicherheitsdefizit)也被减少。
通过使用软件代理14,可能的是在计算装置11.i中采集附加的数据,而所述计算装置11.i本身没有设置该功能。因此,也可以在不均匀的分布式计算机基础设施中采集数据,所述不均匀的分布式计算机基础设施包括具有各不相同的功能的计算装置。
分析单元13可以如在图1中所示出的那样被构造为独立的部件。但是该分析单元13也可以被构造为例如在监控单元12中被集成的功能。该分析单元13自动化地处理由软件代理14传输的被采集的数据,并且例如将对于确定的安全事件来说相关的数据过滤出来或者产生从中最终得到的附加的安全事件。
可选地,可以再次向所述计算装置11.i或者也可以向其它的对已经被探测到的安全事件有兴趣的计算装置要求附加的数据,用于采集其它的数据。接着,这通过已经被描述的消息来进行。电子取证的数据采集和分析因此自动地进行。所述附加地经分析的被采集的数据在所述监控单元12中被集成到对所述安全事件的评估和分类中,而且例如通过输出单元、例如通过对错误报告和/或所确定的安全事件的概况的显示来使分析人员可访问(zugaenglich)所述附加地经分析的被采集的数据。由此,与手动的处理方式相比,对安全意外事件(Sicherheitsvorfall)的处理明显被加速,并且使分析人员减轻了负担。
在图2中,以流程图20来显示按照本发明的方法的各个方法步骤。
分布式计算机基础设施处于初始状态21下,在所述分布式计算机基础设施中,每个单个的计算装置在出现预先确定的类型的事件时连续地记录所述预先确定的类型的事件。在方法步骤22中,如果在计算装置11.i中探测到一个或多个安全事件,那么所述一个或多个安全事件被传送给监控单元12。在方法步骤23中,在所述监控单元12中评估各个被传送的安全事件,其方式是:将按照从安全技术的角度来看的相关性的加权因子归划(zuordnen)给每个安全事件。现在,在方法步骤24中,共同地研究(betrachten)一个或多个被评估的、即被加权的安全事件。例如,得出被研究的安全事件的所有加权因子的总和。在超过预先给定的阈值时,确定的危险类别被分派。为了分派危险类别,可以要求满足其它的作为必需被满足的条件。
现在,在方法步骤25中检查是否已经可以归划危险类别。如果这是这种情况,那么该危险类别在步骤29中被输出或被报告。借此,结束对于异常的(auffaellig)情况的分析,所述异常的情况例如由于对该分布式计算机基础设施的单个的或者所有的部件11.1、…、11.i、…、11.n的危害而形成。
如果在方法步骤25中确定:或者还没有达到分派危险类别的阈值或者还没有满足分派危险类别的附加的条件,那么要求附加的数据,用于对各个安全事件进行评估。这或者可以在有一个计算装置11.i已经探测到并且报告了相关的安全事件时被要求。但是也可以要求其它的计算装置11.1、…、11.i、…、11.n:采集附加的数据(例如与确定的危险类别有关联的特定的数据),而且为了分析而将所述附加的数据传输给分析单元13并且进一步传输到监控单元12。在方法步骤27中,在分析单元13中对附加地被采集的数据进行首次处理和分析。
在该方法步骤中检查:进行对附加的数据的额外要求(Nachforderung)已经多久(wie haeufig)。如果还没有超过最大数目,那么将最终得到的数据发送给监控单元12,所述监控单元12或者仅仅评估所述附加地被采集的数据或者再次评估所述附加地被采集的数据连同已经在方法步骤23中经评估的各个安全事件,并且在步骤24中进行对危险类别的分派。
如果在超过在方法步骤28中预先给定的最大值之后仍始终不能归划危险类别,那么不再针对附加的数据产生其它的要求并且相对应的报告在方法步骤30中例如被转发给分析人员或相对应的输出单元,而且该流程结束。
所有被描述的和/或被描绘的特征都可以在本发明的范围内有利地彼此组合。本发明不限于所描述的实施例。

Claims (15)

1.用于在具有多个计算装置(11.1、…、11.n)和至少一个监控单元(12)的分布式计算机基础设施中获取并且分析电子取证数据的系统,所述多个计算装置(11.1、…、11.n)与所述至少一个监控单元(12)通过通信网络彼此连接,而且每个计算装置(11.1、…、11.n)都如此被构造来探测安全事件并且将安全事件发送给所述监控单元(12),而且所述监控单元(12)如此被构造来评估所接收到的安全事件并且分派危险类别,
其中,在缺少用于分派危险类别的信息时,所述计算装置(11.1、…、11.n)如此被构造来接收用于采集附加的电子取证数据的指示并且将被采集的附加的数据发送给所述监控单元(12);而且所述监控单元(12)如此被构造来将用于采集附加的数据的指示传送给所述计算装置(11.1、…、11.n),而且在接收到经分析的附加的数据之后将所述经分析的附加的数据用于重新评估和分派危险类别。
2.根据权利要求1所述的系统,其中,所述系统包括分析单元(13),所述分析单元(13)分析所述被采集的附加的数据。
3.根据权利要求2所述的系统,其中,所述分析单元(13)如此被构造来将软件代理(14)传送给所述计算装置(11.1、…、11.n),而且所述软件代理(14)如此被构造来在所述计算装置(11.1、…、11.n)中确定附加的数据并且将附加的数据发送给所述分析单元(13)。
4.根据权利要求3所述的系统,其中,所述软件代理(14)如此被配置来在所述计算装置(11.1、…、11.n)中根据在监控单元(12)中被评估的安全事件的类型而采集不同的附加的数据。
5.根据权利要求3或4中任一项所述的系统,其中,所述软件代理(14)如此被构造来在所述计算装置(11.1、…、11.n)中采集文件的元数据和/或在用于配置数据的寄存器中的记录和/或防病毒程序的协议记录作为附加的数据。
6.根据权利要求3或4中任一项所述的系统,其中,所述软件代理(14)将所述附加的数据以被压缩的形式传送给所述分析单元(13)。
7.根据权利要求1至4中任一项所述的系统,其中,所述监控单元(12)如此被构造为通过根据单个的安全事件的相关性来分派加权因子的方式执行对所述安全事件的评估。
8.根据权利要求7所述的系统,其中,所述监控单元(12)如此被构造为:如果各个安全事件的加权因子的总和超过预先给定的阈值和/或预先确定的条件被满足,那么将确定的危险类别分派给一个或多个安全事件。
9.用于在具有多个计算装置(11.1、…、11.n)和至少一个监控单元(12)的分布式计算机基础设施中获取并且分析电子取证数据的方法,所述多个计算装置(11.1、…、11.n)与所述至少一个监控单元(12)通过通信网络彼此连接,所述方法具有以下方法步骤:
- 在所述计算装置(11.1、…、11.n)中探测(22)安全事件,并且将安全事件传送给所述监控单元(12),
- 评估(23)各个安全事件,并且
- 在所述监控单元(12)中分派(24)危险类别,其中在缺少用于分派危险类别的信息时,
- 向至少一个计算装置(11.1、…、11.n)要求(26)附加的数据,
- 所述附加的数据依据安全技术的方面被分析(27),而且所述经分析的数据被传输给所述监控单元(12),并且
- 所述安全事件和所述经分析的附加的数据重新被评估(23),而且危险类别被分派(24)。
10.根据权利要求9所述的方法,其中,通过根据单个的安全事件的相关性分派加权因子的方式来评估(23)所述安全事件。
11.根据权利要求10所述的方法,其中,如果各个安全事件的加权因子的总和超过预先给定的阈值,那么确定的危险类别被分派(24)给一个或多个安全事件。
12.根据权利要求11所述的方法,其中,如果满足了附加地预先给定的条件,那么确定的危险类别被分派(24)给一个或多个安全事件。
13.根据权利要求9至12中任一项所述的方法,其中,在所述计算装置(11.1、…、11.n)中根据在所述监控单元(12)中被评估的安全事件的类型来采集不同的附加的数据。
14.根据权利要求9至12中任一项所述的方法,其中,所述附加的数据以被压缩的形式来传输。
15.计算机程序产品,其具有用于执行根据权利要求9至14之一所述的方法的程序指令。
CN201580032396.0A 2014-06-16 2015-04-23 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统 Active CN106462702B (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
DE102014211504.3A DE102014211504A1 (de) 2014-06-16 2014-06-16 Verfahren und System zur Gewinnung und Analyse von forensischen Daten in einer verteilten Rechnerinfrastruktur
DE102014211504.3 2014-06-16
PCT/EP2015/058815 WO2015193007A1 (de) 2014-06-16 2015-04-23 Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur

Publications (2)

Publication Number Publication Date
CN106462702A CN106462702A (zh) 2017-02-22
CN106462702B true CN106462702B (zh) 2019-12-10

Family

ID=53059053

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201580032396.0A Active CN106462702B (zh) 2014-06-16 2015-04-23 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统

Country Status (6)

Country Link
US (1) US10257216B2 (zh)
EP (1) EP3097506B1 (zh)
CN (1) CN106462702B (zh)
DE (1) DE102014211504A1 (zh)
PL (1) PL3097506T3 (zh)
WO (1) WO2015193007A1 (zh)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10805331B2 (en) 2010-09-24 2020-10-13 BitSight Technologies, Inc. Information technology security assessment system
US9438615B2 (en) 2013-09-09 2016-09-06 BitSight Technologies, Inc. Security risk management
US10044578B2 (en) * 2016-09-27 2018-08-07 Fortinet, Inc. Adaptive allocation for dynamic reporting rates of log events to a central log management server from distributed nodes in a high volume log management system
US10425380B2 (en) 2017-06-22 2019-09-24 BitSight Technologies, Inc. Methods for mapping IP addresses and domains to organizations using user activity data
GB2569302B (en) * 2017-12-12 2022-05-25 F Secure Corp Probing and responding to computer network security breaches
US10257219B1 (en) 2018-03-12 2019-04-09 BitSight Technologies, Inc. Correlated risk in cybersecurity
US10812520B2 (en) 2018-04-17 2020-10-20 BitSight Technologies, Inc. Systems and methods for external detection of misconfigured systems
US11200323B2 (en) * 2018-10-17 2021-12-14 BitSight Technologies, Inc. Systems and methods for forecasting cybersecurity ratings based on event-rate scenarios
US10521583B1 (en) 2018-10-25 2019-12-31 BitSight Technologies, Inc. Systems and methods for remote detection of software through browser webinjects
US10726136B1 (en) 2019-07-17 2020-07-28 BitSight Technologies, Inc. Systems and methods for generating security improvement plans for entities
CA3089711A1 (en) * 2019-08-12 2021-02-12 Magnet Forensics Inc. Systems and methods for cloud-based management of digital forensic evidence
US11956265B2 (en) 2019-08-23 2024-04-09 BitSight Technologies, Inc. Systems and methods for inferring entity relationships via network communications of users or user devices
US10848382B1 (en) 2019-09-26 2020-11-24 BitSight Technologies, Inc. Systems and methods for network asset discovery and association thereof with entities
US11032244B2 (en) 2019-09-30 2021-06-08 BitSight Technologies, Inc. Systems and methods for determining asset importance in security risk management
US10791140B1 (en) 2020-01-29 2020-09-29 BitSight Technologies, Inc. Systems and methods for assessing cybersecurity state of entities based on computer network characterization
US10893067B1 (en) 2020-01-31 2021-01-12 BitSight Technologies, Inc. Systems and methods for rapidly generating security ratings
US10764298B1 (en) 2020-02-26 2020-09-01 BitSight Technologies, Inc. Systems and methods for improving a security profile of an entity based on peer security profiles
US11023585B1 (en) 2020-05-27 2021-06-01 BitSight Technologies, Inc. Systems and methods for managing cybersecurity alerts
US11122073B1 (en) 2020-12-11 2021-09-14 BitSight Technologies, Inc. Systems and methods for cybersecurity risk mitigation and management

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097617A1 (en) * 2001-05-24 2003-05-22 Goeller Sunni K. Automatic classification of event data
US20060077964A1 (en) * 2004-10-07 2006-04-13 Santera Systems, Inc. Methods and systems for automatic denial of service protection in an IP device
US20090164522A1 (en) * 2007-12-20 2009-06-25 E-Fense, Inc. Computer forensics, e-discovery and incident response methods and systems
CN101582788A (zh) * 2008-05-12 2009-11-18 北京启明星辰信息技术股份有限公司 一种对安全事件的分级处理方法及系统
US20130144888A1 (en) * 2011-12-05 2013-06-06 Patrick Faith Dynamic network analytics system

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7748039B2 (en) * 2002-08-30 2010-06-29 Symantec Corporation Method and apparatus for detecting malicious code in an information handling system
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
US8689335B2 (en) * 2008-06-25 2014-04-01 Microsoft Corporation Mapping between users and machines in an enterprise security assessment sharing system
US10057298B2 (en) * 2011-02-10 2018-08-21 Architecture Technology Corporation Configurable investigative tool
US10574630B2 (en) * 2011-02-15 2020-02-25 Webroot Inc. Methods and apparatus for malware threat research
US8209758B1 (en) * 2011-12-21 2012-06-26 Kaspersky Lab Zao System and method for classifying users of antivirus software based on their level of expertise in the field of computer security
US9661003B2 (en) * 2012-05-11 2017-05-23 Thomas W. Parker System and method for forensic cyber adversary profiling, attribution and attack identification
US10506053B2 (en) * 2014-03-07 2019-12-10 Comcast Cable Communications, Llc Location aware security system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20030097617A1 (en) * 2001-05-24 2003-05-22 Goeller Sunni K. Automatic classification of event data
US20060077964A1 (en) * 2004-10-07 2006-04-13 Santera Systems, Inc. Methods and systems for automatic denial of service protection in an IP device
US20090164522A1 (en) * 2007-12-20 2009-06-25 E-Fense, Inc. Computer forensics, e-discovery and incident response methods and systems
CN101582788A (zh) * 2008-05-12 2009-11-18 北京启明星辰信息技术股份有限公司 一种对安全事件的分级处理方法及系统
US20130144888A1 (en) * 2011-12-05 2013-06-06 Patrick Faith Dynamic network analytics system

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
分布式计算机取证模型研究;周敏,龚箭;《微电子学与计算机》;20120428;第40-43页 *

Also Published As

Publication number Publication date
US20170142148A1 (en) 2017-05-18
EP3097506B1 (de) 2017-12-13
EP3097506A1 (de) 2016-11-30
WO2015193007A1 (de) 2015-12-23
US10257216B2 (en) 2019-04-09
CN106462702A (zh) 2017-02-22
PL3097506T3 (pl) 2018-06-29
DE102014211504A1 (de) 2015-12-17

Similar Documents

Publication Publication Date Title
CN106462702B (zh) 用于在分布式计算机基础设施中获取并且分析电子取证数据的方法和系统
US10078317B2 (en) Method, device and computer program for monitoring an industrial control system
US10164839B2 (en) Log analysis system
US10104108B2 (en) Log analysis system
CN110888783A (zh) 微服务系统的监测方法、装置以及电子设备
US11785023B2 (en) Vehicle abnormality detection device and vehicle abnormality detection method
US8554908B2 (en) Device, method, and storage medium for detecting multiplexed relation of applications
WO2016159039A1 (ja) 中継装置及びプログラム
KR20130020265A (ko) 통계적 공정 관리도를 이용하여 이상증후를 탐지하는 방법
CN112650180A (zh) 安全告警方法、装置、终端设备及存储介质
CN115097070A (zh) 一种实验室智能一体化管理系统及方法
CN114329450A (zh) 数据安全处理方法、装置、设备及存储介质
CN109379211B (zh) 一种网络监控方法及装置、服务器和存储介质
CN115934453A (zh) 一种故障排查方法、装置及存储介质
JP7081953B2 (ja) アラート通知装置およびアラート通知方法
EP2911362A2 (en) Method and system for detecting intrusion in networks and systems based on business-process specification
JP5927330B2 (ja) 情報分析システム、情報分析方法およびプログラム
JP4155208B2 (ja) アクセスログ処理装置、アクセスログ処理方法およびアクセスログ処理プログラム
JP7360888B2 (ja) 異常検知装置、セキュリティシステム及び異常検知方法
WO2020040225A1 (ja) 判定装置、ゲートウェイ、判定方法及び判定プログラム
JP5797827B1 (ja) 情報分析システム、情報分析方法およびプログラム
WO2020240766A1 (ja) 評価装置、システム、制御方法、及びプログラム
JP6035445B2 (ja) 情報処理システム、情報処理方法およびプログラム
JP2015198455A (ja) 処理システム、処理装置、処理方法およびプログラム
CN116340096A (zh) 数据监控方法、数据传输方法、数据监控系统及电子设备

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant