CN1695365A - 应对计算机入侵的方法及系统 - Google Patents

应对计算机入侵的方法及系统 Download PDF

Info

Publication number
CN1695365A
CN1695365A CNA2003801007455A CN200380100745A CN1695365A CN 1695365 A CN1695365 A CN 1695365A CN A2003801007455 A CNA2003801007455 A CN A2003801007455A CN 200380100745 A CN200380100745 A CN 200380100745A CN 1695365 A CN1695365 A CN 1695365A
Authority
CN
China
Prior art keywords
invasion
intrusion
current
response
scripted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CNA2003801007455A
Other languages
English (en)
Other versions
CN100518174C (zh
Inventor
P·T·巴费斯
M·吉尔费克斯
J·M·加里森
A·许
T·J·斯塔丁
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of CN1695365A publication Critical patent/CN1695365A/zh
Application granted granted Critical
Publication of CN100518174C publication Critical patent/CN100518174C/zh
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/316User authentication by observing the pattern of computer usage, e.g. typical user behaviour
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Social Psychology (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Hardware Redundancy (AREA)
  • Devices For Executing Special Programs (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Debugging And Monitoring (AREA)

Abstract

一种用于管理对计算机的入侵的方法及系统,其首先以图形方式表示已知的过去入侵的入侵模式,然后该已知入侵的入侵模式与当前入侵相比较。入侵模式既可以是基于入侵事件(即提供了入侵的类型的特征的入侵的后果或行为),也可以是基于受到入侵影响的硬件拓扑。入侵模式以图形方式显示,同时给出脚本化响应。在优选实施例中,该脚本化响应呈现在与入侵模式中的每个节点相联系的弹出式窗口中。此外,基于预先确定的已知过去入侵的和当前入侵的入侵模式之间的共同特征的百分比,可以自动对入侵做出响应。

Description

应对计算机入侵的方法及系统
技术领域
本发明总体上涉及数据处理领域,特别是涉及一种使用入侵后果的图形表示来应对恶意入侵的改进的数据处理系统及方法。
背景技术
大多数现代企业网络都包括允许远程用户访问的方法,典型的是通过互联网进行访问。这种网络访问的设计可使得授权用户和网络之间交互,从而实现电子商务、内容共享以及其他电子活动等。由于这些网络的设计是为了便于授权用户的访问,因此也很容易被未经授权的用户访问,特别是那些恶意访问网络的用户。此处的恶意的表现形式为用户对网络的“入侵”。“入侵”被定义为通过电子方法恶意访问网络或网络中的计算机。入侵实例包括病毒、未经授权的数据挖掘(有时称为“文件窃取(hacking)”)及分布式拒绝服务(DDOS)攻击,在这种攻击中,入侵造成计算机系统的负荷过大,以致于不能继续进行实际工作。
入侵事件被定义为入侵的结果(后果)。入侵事件的实例包括数据文件被破坏或被非法复制,系统/计算机崩溃,以及系统/计算机的运行速度减慢。
反入侵通常是作为信息技术专家的安全管理员的工作,在风险管理软件的帮助下,安全管理员负责监视对电脑系统的入侵。尽管已有许多方法可用来检测入侵和入侵事件,但如何管理对入侵的响应仍然是极其复杂的。也就是说,尽管人们对入侵事件的检测非常了解,而且还可以进行自动检测,但管理和响应行为通常仍是手动进行的。由于入侵的复杂性,对安全管理员来说,评估哪种入侵正在发生以及如何正确应对是非常困难的。
因此,安全管理员需要一种方法及系统来帮助应对检测到的入侵,最好是自动式或半自动式的。
发明内容
本发明是针对计算机入侵管理的一种方法及系统,其首先以图形方式表示已知的某种过去入侵的入侵模式,然后将其与当前某种入侵的入侵模式相比较。如果二者之间的结果(指入侵事件或共同受到入侵影响的硬件)存在共同之处或完全相同,则安全管理员可以执行脚本化的响应补救当前入侵造成的损害,或至少防止当前入侵造成进一步的损害。
入侵模式既可以是基于入侵事件,即提供入侵类型的特征(signature)的入侵后果或行为,也可以是基于受到入侵影响的硬件拓扑。
入侵模式以图形形式展示给安全管理员,之后安全管理员可以通过执行脚本化的响应进行处理,这种响应在优选实施例中呈现在与入侵模式中每个节点相关的弹出式窗口中。此外,对入侵的响应可以是自动的,并基于预先确定的、已知过去入侵的和当前入侵的入侵模式之间的共同特征的百分比。
本发明的上述以及其他目的、特征和优势在下面的详细书面说明中变得更清楚起来。
附图说明
本发明的优选实施例将通过参考下列附图作为示例予以详细说明:
图1描述了本发明的一个优选实施例中的数据处理系统的方框图;
图2a描述了在本发明的优选实施例中基于多种不同入侵包括一已知过去入侵的入侵事件的入侵模式;
图2b描述了在本发明优选实施例中基于某种未知当前入侵的入侵事件的入侵模式,该入侵模式与一已知过去入侵的入侵模式匹配;
图3是本发明的一个优选实施例的流程图,该实施例用于在本发明的一优选实施例中当遇到某种未知当前入侵时自动运行脚本化响应;
图4a描述了在本发明的优选实施例中基于多种不同入侵包括一已知过去入侵的受影响的硬件拓扑的入侵模式;以及
图4b描述了在本发明的优选实施例中基于某种未知当前入侵的受影响的硬件拓扑的入侵模式,该模式与一已知过去入侵的入侵模式相匹配。
具体实施方式
参照以上各图尤其是图1,按照本发明的优选实施例描述了数据处理系统100,该数据处理系统可以与网络(图中未显示)进行通信。举例来说,数据处理系统100可能是位于纽约Armonk的国际商业机器公司制造的个人计算机或服务器中的一种型号。数据处理系统100可以仅包括单个处理器,也可以是包括多个处理器的多处理器(MP)系统。单处理器系统如图所示。该所示系统还可以增加第二个处理器(图中未显示),该处理器具有单独的L2高速缓存或者与处理器102共享L2高级缓存108。处理器102可以是超标量精简指令集计算(RISC)处理器,其中包括单独的一级(L1)指令和数据高速缓存104和106。
处理器102与二级(L2)高速缓存108相连。而L2高速缓存和数据处理系统100的系统总线110相连。系统存储器112也和系统总线112相连,输入/输入(I/O)总线桥114也是如此。输入/输出总线桥112将输入/输出总线118和系统总线110连接起来,从而把数据事务从一条总线传递并/或转换到另一条总线上。其他设备也可能与系统总线110相连,例如,向显示器124提供用户界面信息的存储器映射图形适配器116。
输入/输出总线桥114与输入/输出总线118相连,而输入/输出总线可与其他各种设备如输入设备126以及非易失存储设备122等相连,该输入设备可以是传统鼠标、跟踪球、键盘或其他类似设备,该非易失存储设备122例如有硬盘驱动器、只读光盘存储器(CD-ROM)驱动器、数字视盘(DVD)驱动器或类似的存储设备。
网络适配器120也与输入/输出总线118相连,该网络适配器提供了与网络的逻辑接口,该网络可以是局域网(LAN)、广域网(WAN)、互联网或其他提供数据处理系统100与网络中的其他计算机的通信的网络。
提供的图1所示实例仅仅旨在说明本发明的优选实施例,本领域的技术人员可以看出不论在形式上还是功能上都可以有很多变化。例如,数据处理系统100可包括声卡、音频扬声器、其他输入/输出设备、通信端口以及众多其他组件。
图2a说明了众多不同的入侵可能造成的入侵事件。入侵事件被定义为入侵造成的后果或者行为。图中以树的方式对入侵事件进行了说明,实际上,认识到所示入侵事件之间相互关联,这样会最好地理解入侵事件。以一条入侵路径200为例,该路径描述了入侵A造成的入侵事件(图中以实线圆圈表示)。作为示例,本例中入侵A可被认为是某种如“红色代码”之类的病毒。通过在计算机主机206中创建分布式拒绝服务攻击204,入侵A将会影响到多个主机202。图中,Snort208检测到入侵A,此处Snort是一种示例入侵检测系统,能够对IP网络执行实时流量分析和包日志记录。Snort208可以执行协议分析、内容搜索/匹配,也可以用来检测各种不同的攻击和探测,如缓冲器溢出、隐蔽性端口扫描(stealth port scan)、公共网关接口(CGI)攻击、服务器消息块(SMB)探测、操作系统(OS)指纹识别企图等。
入侵A也能引起入侵检测系统(IDS)210的响应,该系统检测所有进出的网络活动,并辨别可以表明来自企图闯入系统或损害系统的某人的网络或系统攻击的可疑模式。IDS210检测网络事件212,该事件在本示例中是入侵A,入侵A是由整个系统识别并影响整个系统的入侵事件214的一种类型。
应注意,入侵A还影响计算机系统的其他部分,如入侵路径200所示。也就是说,入侵A也生成主机事件216,从而在系统层次218上同时影响存储器事件220和权限事件222。而且,入侵A生成外围设备事件224,该外围设备事件被防火墙226检测为扫描事件228并同时具有坏数据包230。坏数据包230是一个传输控制协议(TCP)畸形协议包232,如图所示。
因此,由具有黑粗边缘的入侵路径200显示的模式是入侵A的一种独特的特征入侵模式。现在参考图2b,该图描述了基于当前未知入侵的入侵事件的入侵路径201。起初不知道当前入侵的原因。但是由于该入侵模式与图2a中的入侵A的模式相同,因此遭到入侵的计算机网络或计算机的安全管理员能够确定当前的入侵与入侵A相同或至少与入侵A的行为方式相同。
在本发明的一个优选实施例中,每个节点都有一个与之相联系的脚本化响应,例如与拒绝服务攻击事件204相联系的脚本化响应204a。脚本化响应是预先编制用来处理入侵事件的代码。例如,脚本化响应204a可以是一个程序,该程序被设计用来隔离攻击计算机系统的入侵,然后禁止该入侵。脚本化响应被显示为与每个描述节点的事件相联系,并且最好在活动窗口如弹出式窗口中,只要用鼠标或类似指点设备点击活动窗口即可启动该脚本化响应。尽管脚本化响应被显示为单个项目,但是在其他的优选实施例中,入侵路径201的单个或所有节点中给出了多个建议的脚本化响应的列表,并且这些脚本化响应都可被激活。最好给出的该多个脚本化响应具有等级,其中一个脚本化响应具有最高等级,这种最高等级是基于使用该脚本化响应的以往的成功、入侵的危险程度,或由安全管理员在开发用以评估入侵的风险管理器程序时确定的其他因素。例如,风险管理器程序可能决定必须确保隔离任何对使命关键数据进行攻击的任何入侵,即使这种隔离会停止计算机系统中未受入侵影响的部分。这种情况下,等级最高的建议响应将是停止计算机系统中的许多区域,并将被推荐为等级最高的建议响应。
请注意,为了向安全管理员提供有关如何应对入侵的信息,入侵路径并不需要完全相同。也就是说,如果已知和未知的入侵在入侵路径上有某些共性,则安全管理员就可以启动某种响应,这种响应将消除当前未知的入侵造成的大部分(若非全部)有害影响。
在本发明的一个实施例中,安全管理员为入侵路径201的每个节点手动选择每个脚本化响应。另一种选择是,可以选择一设置以便响应于入侵为所有节点自动启动最级等级的建议响应,如图3流程图所示。方框302显示检测到一个当前入侵,最好是由一个能够根据入侵的特征对入侵进行检测的风险管理器来检测的。这些特征可能包括有害报头信息或者收到的其他数据的已知包、计算机系统的软件或硬件作出的带有入侵特性的行为,例如扫描网络中所有计算机的互联网协议(IP)地址、突然的计算机性能降低或中央处理器(CPU)使用率、以及类似事件或情况。将当前入侵的入侵事件同已知入侵的入侵事件相比较,如方框304中所述。确定在未知当前入侵和已知历史入侵中是否发现预先确定的、共同事件节点的百分比,如询问方框306所示。也就是说,将已知入侵和当前入侵的入侵路径进行比较。如果已知过去入侵和未知当前入侵之间存在大量的共同事件节点,则所有节点的脚本化响应将自动运行,如方框310中所述。如果已知入侵和未知入侵之间没有足够的共同事件节点,则会提示安全管理员为每个事件节点手动选择一个脚本化响应。
此外还可以由计算机系统中的风险管理程序来确定是否需要自动运行所有脚本化响应,该风险管理程序对入侵进行分类,以确定是否需要激活自动响应。例如,如果风险管理程序确定当前入侵属于已知分类类型或者已知其严重程度可导致整个系统崩溃,则可启动自动脚本化响应。在优选实施例中,将入侵的严重程度与脚本化响应的结果的严重程度相匹配。也就是说,将严重的入侵与可能对系统有严重影响的脚本化响应相匹配,这样的脚本化响应例如会抢先地停止系统的某个部分,但是,考虑到入侵的严重性以及入侵可能造成的潜在危害,脚本化响应对系统造成的严重影响可能是合理的。
类似地,如果风险管理程序被设计为能考虑到安全管理员对入侵做出响应的预期响应时间可能太长,以致在安全管理员对入侵做出响应之前已造成系统的严重损害,则可以启动自动脚本化响应。同样地,如果某个特定的入侵路径以往曾导致多次(或仅一次)执行某种特定的脚本化响应,则风险管理程序会基于该历史记录自动执行此种脚本化响应。
除图2a及图2b中所说明的共同事件模式以外,入侵还具有关于硬件拓扑中何种硬件受到影响的特征。现在参考图4a,描述了可能受入侵影响的硬件。入侵路径400(在图中用粗边缘框表示)标识出受到以上在图2a中描述的入侵A影响的计算机系统的硬件拓扑。因此,入侵A造成某个企业计算机系统的内部网402的异常,该内部网络402受到内部网络402中的局域网(LAN)A404的影响。在局域网A404中有受到影响的服务器406、个人计算机(PC)408以及入侵检测系统(IDS)硬件410。服务器406中有一个受到影响的web服务器416,该web服务器的端口B418也受到入侵A的影响。类似地,所有运行基于Windows操作系统的个人计算机均受到影响,并显示为基于Windows414个人计算机。同样,运行支持Snort的硬件412的IDS硬件410记录已检测到入侵A这一事件。因此,该硬件以类似于以上参照图2a及图2b描述的入侵事件入侵模式的方式显示某种特征入侵模式。
现在参考图4b,硬件拓扑入侵路径401描述了入侵A引起的模式。当具有与硬件拓扑入侵路径401所示的模式相同或相似模式的某种当前未知入侵发生时,安全管理员以类似于为以上入侵事件入侵模式描述的方式做出响应。因此,硬件拓扑入侵路径401中的每个事件节点都包括一个含有脚本化响应的相联系的活动窗口,这些脚本化响应类似于上文描述图2a及图2b时的那些脚本化响应。如同对入侵事件的脚本化响应一样,硬件拓扑入侵路径401中所描述的脚本化响应可以是单个的(如图所示),也可以是建议的脚本化响应的一个列表,最好对列表中的各脚本化响应进行评级以提出等级最高的脚本化响应。该些脚本化响应可以按照类似于以上为入侵事件入侵路径描述的方式手动或自动启动。
如同以上参照图2a及图2b描述和说明的入侵事件的图形显示一样,已知入侵和未知入侵的入侵路径并不需要完全相同以向安全管理员提供有关如何对入侵做出响应的信息。也就是说,如果已知入侵和未知入侵在入侵路径上具有一些共性,则安全管理员可以启动某种响应,该响应将消除当前未知入侵的大部分(若非全部)有害影响。
安全管理员可以在收到通知后,在本地或以远程方式启动针对入侵的脚本化响应。例如,安全管理员可以在手机或个人数字助手(PDA)上接收有关入侵事件的通知。然后安全管理员可通过点击PDA中的交互式窗口以电子方式激活某些或所有脚本化响应,这样该输入就由计算机系统中风险管理程序识别,从而启动请求的脚本化响应。
上述优选实施例介绍了某种用以创建并以图形方式表示某种已知入侵的入侵模式以便与当前入侵进行比较的方式和装置,计算机系统中的风险管理程序可能了解该当前入侵,也可能不了解。在根据图形表示的其特征入侵路径识别出当前入侵之后,脚本化响应将被启动以对入侵做出响应对并将其控制。脚本化响应可以基于已知入侵的历史数据。已知入侵与当前入侵可能相同,也可能不同,并且建议的脚本化响应是联系受当前入侵影响的入侵路径上某些或全部事件或者硬件节点以图形方式给出的。脚本化响应可以是用于入侵路径上每一事件/硬件节点的唯一选择,也可以从经过排列等级的建议的脚本化响应的列表中挑选。
定义本优选实施例的功能的程序可以通过多种信号承载媒介提供给数据存储系统或计算机系统,该信号存储媒介包括但不限于只读存储媒介(如CD-ROM)、可写存储媒介(如软盘、硬盘、读/写CD-ROM、光盘)及通信媒介如计算机和电话网络(包括以太网)等。当携带或编码指导本发明的方法功能的计算机可读指令时,这种信号承载媒介代表本发明的其他实施例。

Claims (10)

1.一种管理对计算机的入侵的方法,这种方法包括:
以图形方式表示已知入侵的入侵路径,该图形表示包括该入侵路径中节点处的脚本化响应;
根据已知入侵和当前入侵的入侵路径的至少一个共同特征,将对该计算机的当前入侵与已知入侵的图形表示相匹配;以及
响应于已知入侵和当前入侵的匹配,启动该脚本化响应,该脚本化响应能够应对当前入侵。
2.权利要求1的方法,其中,入侵模式基于入侵事件。
3.权利要求1的方法,其中,入侵模式基于受到已知入侵影响的硬件拓扑。
4.权利要求1的方法,其中,对当前入侵的脚本化响应基于已知入侵的历史数据。
5.权利要求1的方法,其进一步包括:
根据下列因素之一,自动执行权利要求1描述的方法:
用于手动启动脚本化响应的预期响应时间;
当前入侵的严重程度,其中脚本化响应的严重程度与当前入侵的严重程度相适合;以及
当前入侵的类型分类。
6.一种用于管理对计算机的入侵的系统,该系统包括:
用于以图形方式表示已知入侵的入侵模式的装置,该图形表示包括入侵路径中节点处的脚本化响应;
用于根据已知入侵和当前入侵的入侵路径中的至少一个共同特征,将对计算机的当前入侵与已知入侵的图形表示相匹配的装置;以及
用于根据已知入侵和当前入侵的匹配,启动针对当前入侵的脚本化响应的装置。
7.权利要求6的系统,其中,入侵模式基于受到已知入侵影响的硬件拓扑。
8.权利要求6的系统,其中,对当前入侵的脚本化响应基于已知入侵的历史数据。
9.权利要求6的系统,其进一步包括:
用于根据下列因素之一,自动执行权利要求6描述的方法的装置:
手动启动脚本化响应的预期响应时间;
当前入侵的严重程度,其中脚本化响应的严重程度与当前入侵的严重程度相适合;以及
当前入侵的类型分类。
10.一种用于管理对计算机的入侵的计算机可用媒介,其包括:
用于以图形方式表示已知入侵的入侵模式的计算机程序代码,该图形表示包括入侵路径中节点处的脚本化响应;
用于根据已知入侵和当前入侵的入侵路径的至少一个共同特征,将对计算机的当前入侵与已知入侵的图形表示相匹配的计算机程序代码;以及
用于根据已知入侵和当前入侵的匹配,启动针对当前入侵的脚本化响应的计算机程序代码。
CNB2003801007455A 2002-12-05 2003-11-28 应对计算机入侵的方法及系统 Expired - Fee Related CN100518174C (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/313,732 2002-12-05
US10/313,732 US7941854B2 (en) 2002-12-05 2002-12-05 Method and system for responding to a computer intrusion

Publications (2)

Publication Number Publication Date
CN1695365A true CN1695365A (zh) 2005-11-09
CN100518174C CN100518174C (zh) 2009-07-22

Family

ID=32468329

Family Applications (1)

Application Number Title Priority Date Filing Date
CNB2003801007455A Expired - Fee Related CN100518174C (zh) 2002-12-05 2003-11-28 应对计算机入侵的方法及系统

Country Status (10)

Country Link
US (1) US7941854B2 (zh)
EP (1) EP1567926B1 (zh)
JP (1) JP4283228B2 (zh)
KR (1) KR100734732B1 (zh)
CN (1) CN100518174C (zh)
AT (1) ATE341024T1 (zh)
AU (1) AU2003285563A1 (zh)
DE (1) DE60308722T2 (zh)
TW (1) TWI234707B (zh)
WO (1) WO2004051441A2 (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286850B (zh) * 2007-04-10 2010-12-15 深圳职业技术学院 路由器安全防御装置及防御系统和方法
CN104348795A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US8201249B2 (en) * 2003-05-14 2012-06-12 Northrop Grumman Systems Corporation Steady state computer intrusion and misuse detection
US6985920B2 (en) * 2003-06-23 2006-01-10 Protego Networks Inc. Method and system for determining intra-session event correlation across network address translation devices
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US8347375B2 (en) * 2003-10-03 2013-01-01 Enterasys Networks, Inc. System and method for dynamic distribution of intrusion signatures
US20050076236A1 (en) * 2003-10-03 2005-04-07 Bryan Stephenson Method and system for responding to network intrusions
US8839417B1 (en) 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US20050198530A1 (en) * 2003-12-12 2005-09-08 Chess David M. Methods and apparatus for adaptive server reprovisioning under security assault
US7225468B2 (en) * 2004-05-07 2007-05-29 Digital Security Networks, Llc Methods and apparatus for computer network security using intrusion detection and prevention
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7882262B2 (en) 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation
US20070195776A1 (en) * 2006-02-23 2007-08-23 Zheng Danyang R System and method for channeling network traffic
US8233388B2 (en) 2006-05-30 2012-07-31 Cisco Technology, Inc. System and method for controlling and tracking network content flow
US20080127343A1 (en) * 2006-11-28 2008-05-29 Avaya Technology Llc Self-Operating Security Platform
US9843596B1 (en) * 2007-11-02 2017-12-12 ThetaRay Ltd. Anomaly detection in dynamically evolving data and systems
US8732829B2 (en) * 2008-04-14 2014-05-20 Tdi Technologies, Inc. System and method for monitoring and securing a baseboard management controller
KR101190559B1 (ko) 2010-12-24 2012-10-16 한국인터넷진흥원 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법
US11165812B2 (en) 2014-12-03 2021-11-02 Splunk Inc. Containment of security threats within a computing environment
US20160180078A1 (en) * 2014-12-23 2016-06-23 Jasmeet Chhabra Technologies for enhanced user authentication using advanced sensor monitoring
US10552615B2 (en) 2016-02-18 2020-02-04 Swimlane Llc Threat response systems and methods
CA3079913A1 (en) * 2017-11-06 2019-05-09 Cyber Defence Qcd Corporation Methods and systems for monitoring cyber-events
KR102062718B1 (ko) * 2019-07-29 2020-01-07 주식회사 에프원시큐리티 패킷 가상화를 이용한 IoT 허니넷 시스템
FR3104776B1 (fr) 2019-12-17 2023-07-07 Commissariat Energie Atomique Procédé de détermination d’une réaction en réponse à une anomalie dans un réseau informatique
AT523933B1 (de) * 2020-11-18 2022-01-15 Ait Austrian Inst Tech Gmbh Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5542024A (en) * 1992-07-09 1996-07-30 Johnson & Johnson Graphically used expert system tool background of the invention
JP2501771B2 (ja) * 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
JPH06282527A (ja) 1993-03-29 1994-10-07 Hitachi Software Eng Co Ltd ネットワーク管理システム
US5546507A (en) * 1993-08-20 1996-08-13 Unisys Corporation Apparatus and method for generating a knowledge base
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6144961A (en) * 1995-08-31 2000-11-07 Compuware Corporation Method and system for non-intrusive measurement of transaction response times on a network
US6178509B1 (en) * 1996-06-13 2001-01-23 Intel Corporation Tamper resistant methods and apparatus
US5892903A (en) * 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US6119236A (en) * 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US6802028B1 (en) * 1996-11-11 2004-10-05 Powerquest Corporation Computer virus detection and removal
US5850516A (en) * 1996-12-23 1998-12-15 Schneier; Bruce Method and apparatus for analyzing information systems using stored tree database structures
US6618074B1 (en) * 1997-08-01 2003-09-09 Wells Fargo Alarm Systems, Inc. Central alarm computer for video security system
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6347374B1 (en) * 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
WO2000019324A1 (en) * 1998-09-28 2000-04-06 Argus Systems Group, Inc. Trusted compartmentalized computer operating system
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6609205B1 (en) * 1999-03-18 2003-08-19 Cisco Technology, Inc. Network intrusion detection signature analysis using decision graphs
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7020697B1 (en) * 1999-10-01 2006-03-28 Accenture Llp Architectures for netcentric computing systems
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6775657B1 (en) * 1999-12-22 2004-08-10 Cisco Technology, Inc. Multilayered intrusion detection system and method
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US7089428B2 (en) * 2000-04-28 2006-08-08 Internet Security Systems, Inc. Method and system for managing computer security information
US20030159070A1 (en) * 2001-05-28 2003-08-21 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US7007301B2 (en) * 2000-06-12 2006-02-28 Hewlett-Packard Development Company, L.P. Computer architecture for an intrusion detection system
JP2002024831A (ja) 2000-07-10 2002-01-25 Casio Comput Co Ltd 指紋認証装置及び指紋認証システム
US7093239B1 (en) * 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
WO2002023808A2 (en) 2000-09-15 2002-03-21 Cymtec Systems, Inc. Network management system
US20020161929A1 (en) * 2001-04-30 2002-10-31 Longerbeam Donald A. Method and apparatus for routing data through a computer network
US6931552B2 (en) * 2001-05-02 2005-08-16 James B. Pritchard Apparatus and method for protecting a computer system against computer viruses and unauthorized access
JP2002342276A (ja) 2001-05-17 2002-11-29 Ntt Data Corp ネットワーク侵入検知システムおよびその方法
US7624444B2 (en) * 2001-06-13 2009-11-24 Mcafee, Inc. Method and apparatus for detecting intrusions on a computer system
US6907430B2 (en) * 2001-10-04 2005-06-14 Booz-Allen Hamilton, Inc. Method and system for assessing attacks on computer networks using Bayesian networks
US6801940B1 (en) * 2002-01-10 2004-10-05 Networks Associates Technology, Inc. Application performance monitoring expert
US20030208616A1 (en) * 2002-05-01 2003-11-06 Blade Software, Inc. System and method for testing computer network access and traffic control systems
US6952779B1 (en) * 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US7941854B2 (en) 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101286850B (zh) * 2007-04-10 2010-12-15 深圳职业技术学院 路由器安全防御装置及防御系统和方法
CN104348795A (zh) * 2013-07-30 2015-02-11 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置
CN104348795B (zh) * 2013-07-30 2019-09-20 深圳市腾讯计算机系统有限公司 通用网关接口业务入侵防护的方法及装置

Also Published As

Publication number Publication date
JP2006509283A (ja) 2006-03-16
JP4283228B2 (ja) 2009-06-24
US20040111637A1 (en) 2004-06-10
EP1567926A2 (en) 2005-08-31
AU2003285563A8 (en) 2004-06-23
DE60308722T2 (de) 2007-08-16
TWI234707B (en) 2005-06-21
WO2004051441A3 (en) 2004-08-26
KR100734732B1 (ko) 2007-07-04
DE60308722D1 (de) 2006-11-09
CN100518174C (zh) 2009-07-22
WO2004051441A2 (en) 2004-06-17
AU2003285563A1 (en) 2004-06-23
US7941854B2 (en) 2011-05-10
TW200424845A (en) 2004-11-16
EP1567926B1 (en) 2006-09-27
KR20050086445A (ko) 2005-08-30
ATE341024T1 (de) 2006-10-15

Similar Documents

Publication Publication Date Title
CN100518174C (zh) 应对计算机入侵的方法及系统
Lunt Automated audit trail analysis and intrusion detection: A survey
US9418227B2 (en) Detecting malicious software
US7870612B2 (en) Antivirus protection system and method for computers
Cao et al. Machine learning to detect anomalies in web log analysis
US7845007B1 (en) Method and system for intrusion detection in a computer network
CN109586282B (zh) 一种电网未知威胁检测系统及方法
US20050278178A1 (en) System and method for intrusion decision-making in autonomic computing environments
CN113660224B (zh) 基于网络漏洞扫描的态势感知防御方法、装置及系统
CN107409134B (zh) 法证分析方法
CN108156127B (zh) 网络攻击模式的判断装置、判断方法及其计算机可读取储存媒体
US20220159034A1 (en) Method and system for determining an automated incident response
US20210367958A1 (en) Autonomic incident response system
CN111104670B (zh) 一种apt攻击的识别和防护方法
CN113132393A (zh) 异常检测方法、装置、电子设备以及存储介质
US20230315850A1 (en) Rootkit detection based on system dump sequence analysis
CN111859386A (zh) 基于行为分析的木马检测方法及系统
CN115398430A (zh) 恶意入侵检测方法、装置、系统、计算设备、介质和程序
KR100310860B1 (ko) 실시간침입탐지시스템에서의에이전트구조를이용한실시간침입탐지방법
US20230315855A1 (en) Exact restoration of a computing system to the state prior to infection
Katano et al. Prediction of infected devices using the quantification theory type 3 based on mitre att&ck technique
JP2011002916A (ja) 感染活動検知装置、感染活動検知方法、及びプログラム
CN116232612A (zh) 异常流量的检测方法、装置和计算机可读存储介质
CN117675409A (zh) 一种网络攻击防御系统及其控制方法
CN117914848A (zh) 跨网传输文件的方法、装置、电子设备及存储介质

Legal Events

Date Code Title Description
C06 Publication
PB01 Publication
C10 Entry into substantive examination
SE01 Entry into force of request for substantive examination
C14 Grant of patent or utility model
GR01 Patent grant
CF01 Termination of patent right due to non-payment of annual fee
CF01 Termination of patent right due to non-payment of annual fee

Granted publication date: 20090722

Termination date: 20181128