DE102005010923B4 - System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität - Google Patents

System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität Download PDF

Info

Publication number
DE102005010923B4
DE102005010923B4 DE102005010923A DE102005010923A DE102005010923B4 DE 102005010923 B4 DE102005010923 B4 DE 102005010923B4 DE 102005010923 A DE102005010923 A DE 102005010923A DE 102005010923 A DE102005010923 A DE 102005010923A DE 102005010923 B4 DE102005010923 B4 DE 102005010923B4
Authority
DE
Germany
Prior art keywords
network
statistical
computer
stream
configuration parameters
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102005010923A
Other languages
English (en)
Other versions
DE102005010923A1 (de
Inventor
Lee Los Altos Rhodes
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE102005010923A1 publication Critical patent/DE102005010923A1/de
Application granted granted Critical
Publication of DE102005010923B4 publication Critical patent/DE102005010923B4/de
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/14Network analysis or design
    • H04L41/142Network analysis or design using statistical or mathematical methods
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/026Capturing of monitoring data using flow identification
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D30/00Reducing energy consumption in communication networks
    • Y02D30/50Reducing energy consumption in communication networks in wire-line communication networks, e.g. low power modes or reduced link rate

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Algebra (AREA)
  • Probability & Statistics with Applications (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Physics (AREA)
  • Mathematical Optimization (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Mathematical Analysis (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

System, das mit einem Netzwerk gekoppelt ist, wobei das System folgende Merkmale aufweist:
ein Sammelmodul (132) zum Sammeln eines Stroms von Flussaufzeichnungen von einem Beobachtungspunkt in dem Netzwerk, wobei der Strom von Flussaufzeichnungen gemäß einem ersten Satz von Konfigurationsparametern gesammelt wird;
ein statistisches Modul (134) zum Erzeugen eines statistischen Ergebnisses aus dem Strom von Flussaufzeichnungen, während jede Flussaufzeichnung gesammelt wird, wobei das statistische Ergebnis gemäß einem zweiten Satz von Konfigurationsparametern erzeugt wird;
ein Analysemodul (136) zum Analysieren des statistischen Ergebnisses, um eine dem Beobachtungspunkt zugeordnete Netzwerkaktivität zu überwachen, wobei das statistische Ergebnis gemäß einem dritten Satz von Konfigurationsparametern analysiert wird; und
wobei das System ausgebildet ist, um bei Erfassung einer abnormalen Aktivität durch das Analysemodul den ersten, zweiten und dritten Satz von Konfigurationsparametern zu einem beliebigen Zeitpunkt nach der Erfassung derart zu modifizieren, dass ein Vergrößerungsniveau, anhand dessen ein Teilsatz der Netzwerkaktivität anschließend überwacht wird,...

Description

  • Computersicherheit ist ein wichtiges Thema, insbesondere für Computersysteme, die mit einem Netzwerk verbunden sind, z. B. einem lokalen Netzwerk (LAN – local area network) oder einem Weitverkehrsnetzwerk (WAN – wide area network). Das Internet ist ein Beispiel eines WAN, das ein beträchtliches Sicherheitsrisiko darstellen kann. Somit besteht bei mit dem Internet verbundenen Computern ein Bedarf an zuverlässigen Sicherheitsmaßnahmen, um Sicherheitsverstöße zu erfassen oder zu verhindern.
  • Anhand des Beispiels eines Sicherheitsverstoßes werden Netzwerkangriffshilfsmittel (z. B. Dienstverweigerungs-Angriffsdienstprogramme bzw. „DoS”-Angriffsdienstprogramme, DoS = denial of service, Dienstverweigerung) immer ausgefeilter und auf Grund sich weiterentwickelnder Technologien einfach auszuführen. Aus diesem Grund können Angreifer, die relativ gesehen auf einem nicht besonders hohen technologischen Stand stehen, Beeinträchtigungen von Computersystemen, die auf eine oder mehrere Zieleinrichtungen gerichtet sind, bewirken oder daran beteiligt sein. Ein Netzwerksystemangriff (hierin auch als widerrechtliches Eindringen bezeichnet) ist eine unbefugte oder böswillige Nutzung eines Computers oder Computernetzwerks und kann bei einem koordinierten Angriff auf ein oder mehrere ausgewählte Ziele hunderte bis tausende ungeschützter Netzwerkknoten betreffen.
  • Die US 2001/0039579 A1 beschreibt ein statisches Netzwerküberwachungssystem, bei dem die Analyse keinen Einfluss auf die Einstellung des Netzwerküberwachungssystems hat. Bei diesem System werden Daten über den Netzwerkverkehr erfasst. Sämtlicher Verkehr auf dem Netzwerk wird erfasst, wobei sämtliche gültigen Datenpakete für Archivierungszwecke abgespeichert werden. Eine dynamische Einstellung von Konfigurationsparametern aufgrund der Erfassung einer abnormalen Aktivität durch das Analysemodul erfolgt nicht.
  • Die Aufgabe der Erfindung besteht darin, einen verbesserten Ansatz zur Überwachen einer Netzwerkaktivität in einem Netzwerk zu schaffen.
  • Diese Aufgabe wird durch ein System nach Anspruch 1, ein computerausführbares Verfahren nach Anspruch 18 und ein computerverwendbares Medium nach Anspruch 27 gelöst.
  • Gemäß zumindest einem Ausführungsbeispiel ist ein System mit einem Netzwerk gekoppelt und überwacht die Aktivität in dem Netzwerk. Das System umfasst ein oder mehrere Erfassungsmodule. Jedes Erfassungsmodul weist ein Sammelmodul, ein statistisches Modul und ein Analysemodul auf. Das Sammelmodul sammelt einen Strom von Flussaufzeichnungen von einem Beobachtungspunkt innerhalb des Netzwerks, wobei der Strom von Flussaufzeichnungen gemäß einem ersten Satz von Konfigurationsparametern gesammelt wird. Das statistische Modul erzeugt genau dann ein statistisches Ergebnis aus dem Strom von Flussaufzeichnungen, wenn jede Flussaufzeichnung gesammelt wird, wobei das statistische Ergebnis gemäß einem zweiten Satz von Konfigurationsparametern erzeugt wird. Das Analysemodul analysiert das statistische Ergebnis, um die dem Beobachtungspunkt zugeordnete Netzwerkaktivität zu überwachen, wobei das statistische Ergebnis gemäß einem dritten Satz von Konfigurationsparametern analysiert wird. Der erste, der zweite und der dritte Satz von Konfigurationsparametern können allgemein zu jeglichem Zeitpunkt, nachdem eine abnormale Aktivität durch das Analysemodul erfasst wird, modifiziert werden, um ein Vergrößerungsniveau abzuändern, anhand dessen ein Teilsatz der Netzwerkaktivität nachfolgend überwacht wird. Verwandte Verfahren und computerverwendbare Medien werden ebenfalls offenbart.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • 1A ein Blockdiagramm, das ein exemplarisches Netzwerknutzungsanalysesystem, das ein oder mehrere Erfassungsmodule umfasst, gemäß der vorliegenden Erfindung veranschaulicht;
  • 1B ein Blockdiagramm, das ein Ausführungsbeispiel eines Zusammenfassungspakets oder einer „Flussaufzeichnung” veranschaulicht, das bzw. die exemplarische Netzwerknutzungsdaten über ein oder mehrere Verkehrspakete enthält;
  • 10 ein Blockdiagramm, das ein Ausführungsbeispiel veranschaulicht, bei dem in dem Netzwerknutzungsanalysesystem der 1A ein einziges Erfassungsmodul enthalten ist;
  • 1D ein Blockdiagramm, das ein Ausführungsbeispiel veranschaulicht, bei dem in dem Netzwerknutzungsanalysesystem der 1A mehrere Erfassungsmodule enthalten sind;
  • 2 ein Blockdiagramm, das ein Ausführungsbeispiel eines Netzwerks veranschaulicht;
  • 3 ein Flussdiagramm, das ein Ausführungsbeispiel eines Verfahrens zum Erfassen einer abnormalen Aktivität innerhalb eines Netzwerks veranschaulicht;
  • 4A einen Graphen, der exemplarische statistische Ergebnisse anzeigt, die durch Verwendung des Verfahrens der 3 erhalten werden können;
  • 4B einen Graphen, der zusätzliche exemplarische statistische Ergebnisse anzeigt, die durch Verwendung des Verfahrens der 3 erhalten werden können;
  • 4C4D Graphen, die exemplarische Analyseergebnisse anzeigen, die durch Verwendung des Verfahrens der 3 erhalten werden können;
  • 5 einen Graphen, der exemplarische statistische Ergebnisse anzeigt, die zum Erfassen von Flutangriffen verwendet werden können;
  • 6 einen Graphen, der exemplarische statistische Ergebnisse anzeigt, die zum Erfassen eines Adressschwindels bzw. Adress-Spoofens verwendet werden können; und
  • 7A7E Graphen, die exemplarische statistische Ergebnisse anzeigen, die zum Erfassen eines Miss brauchs einer Teilnehmerbandbreite verwendet werden können.
  • Bestimmte Begriffe werden in der gesamten folgenden Beschreibung und in den Patentansprüchen verwendet, um auf bestimmte Systemkomponenten Bezug zu nehmen. Wie Fachleute erkennen werden, bezeichnen Computerfirmen eine Komponente eventuell mit unterschiedlichen Namen. Dieses Dokument beabsichtigt nicht, zwischen Komponenten, die in Bezug auf den Namen, jedoch nicht in Bezug auf die Funktion unterschiedlich sind, zu unterscheiden. In der folgenden Erörterung und in den Patentansprüchen werden die Begriffe „umfassen” und „aufweisen” auf offene Art verwendet und sollten somit in der Bedeutung „umfassen, sind jedoch nicht beschränkt auf ...” interpretiert werden. Ferner soll der Begriff „koppeln” oder „koppelt” entweder eine indirekte oder eine direkte Verbindung bedeuten. Wenn also eine erste Vorrichtung mit einer zweiten Vorrichtung gekoppelt ist, kann diese Verbindung durch eine direkte Verbindung oder durch eine indirekte Verbindung über andere Vorrichtungen und Verbindungen erfolgen.
  • Obwohl der Begriff „Netzwerk” in der gesamten vorliegenden Anmeldung auf spezifische Weise verwendet wird, umfasst der Begriff Netzwerk hier definitionsgemäß das Internet und andere Netzwerksysteme, einschließlich öffentlicher und privater Netzwerke, die die TCP/IP-Protokollserie für Datentransport verwenden oder auch nicht. Beispiele umfassen das Internet, Intranets, Extranets, Telefonienetzwerke und andere verdrahtete oder drahtlose Netzwerke. Obwohl der Begriff „Internet” in der gesamten vorliegenden Anmeldung auf spezielle Weise verwendet wird, ist der Begriff Internet lediglich ein Beispiel eines „Netzwerks”.
  • Obwohl die Begriffe „Netzwerknutzungsdaten” und „Flussaufzeichnung” in der gesamten vorliegenden Anmeldung verwendet werden, um auf die Metadaten Bezug zu nehmen, die in jeder Zusammenfassungsaufzeichnung von Netzwerkverkehrspaketen enthalten sind, kann man den Begriff „Netzwerknutzungsdaten” als allgemeineren Begriff zum Bezugnehmen auf eine oder mehrere „Flussaufzeichnungen” ansehen.
  • Die folgende Erörterung ist auf verschiedene Ausführungsbeispiele der Erfindung gerichtet. Obwohl eines oder mehrere dieser Ausführungsbeispiele bevorzugt sein mögen, sollten die offenbarten Ausführungsbeispiele nicht als Einschränkung des Schutzumfangs der Offenbarung, einschließlich der Patentansprüche, interpretiert oder verwendet werden. Ferner werden Fachleute verstehen, dass die folgende Beschreibung eine breite Anwendung aufweist und dass die Erläuterung jeglichen Ausführungsbeispiels lediglich exemplarisch für dieses Ausführungsbeispiel sein soll und nicht andeuten soll, dass der Schutzumfang der Offenbarung, einschließlich der Ansprüche, auf dieses Ausführungsbeispiel beschränkt ist.
  • Netzwerknutzungsanalysesysteme liefern wichtige Informationen über die Nutzung in dem Netzwerk. Im Kontext eines Internet-Dienstanbieters (Internet service provider) werden Netzwerknutzungsanalysesysteme verwendet, um essentielle Geschäftsinformationen zu liefern, z. B. Informationen für das Erstellen von Rechnungen an Teilnehmer, Produktentwicklung und Preisgebungsschemata, die auf verschiedene Kategorien von Teilnehmern zugeschnitten sind. Netzwerknutzungsanalysesysteme können ferner verwendet werden, um eine abnormale Netzwerkaktivität, z. B. eine Aktivität, die durch einen Netzwerkstau und Netzwerksicherheitsverstöße verursacht wird, zu identifizieren (oder vorauszusagen). Bei einem Beispiel kann eine Netzwerknutzung und -leistungsfähigkeit (als Funktion des Teilnehmernutzungsverhaltens) überwacht werden, um die „Benutzererfahrung” nachzuverfolgen, eine zukünftige Netzwerkkapazität vorauszusagen oder ein Netzwerknutzungsverhalten zu identifizieren, das auf einen Missbrauch, einen Angriff, einen Betrug und Diebstahl bezüglich des Netzwerks hinweist.
  • Netzwerknutzungsdatenmeldesysteme sind Netzwerkvorrichtungen, die nicht nur an dem Transfer eines Netzwerkverkehrs zwischen Teilnehmern beteiligt sein, sondern auch bestimmte Rechnungsstellungsfähigkeiten zum Sammeln, Korrelieren und Zusammenstellen von Netzwerknutzungsdaten (d. h. Informationen über den Netzwerkverkehr) zu dem Zeitpunkt, da diese auftreten (d. h. in „Echtzeit”), aufweisen. Allgemein können Netzwerknutzungsdatenmeldesysteme im Wesentlichen jegliche Netzwerkvorrichtung umfassen, die in der Lage ist, Netzwerkverkehr zu überwachen und Netzwerknutzungsdaten über diesen Verkehr zu sammeln. Beispielhafte Netzwerkvorrichtungen umfassen Router, Schalter und Netzübergänge und können in manchen Fällen Anwendungsserver, Systeme und Netzwerksonden umfassen.
  • Netzwerkverkehr besteht aus Daten, die zwischen zwei Punkten in einem Netzwerk in einem Strom von „Paketen” transferiert werden. Diese Pakete (bzw. „Verkehrspakete”) können einen Teilsatz der zwischen Teilnehmern zu transferierenden Daten umfassen. Wenn sie durch ein Netzwerknutzungsdatenmeldesystem geleitet werden, werden Netzwerknutzungsdaten von den Verkehrspaketen gesammelt und anschließend korreliert und/oder zusammengestellt, um eine Zusammenfassungsaufzeichnung (oder „Flussaufzeichnung”) zu erstellen. Mit anderen Worten liefert eine Flussaufzeichnung Zusammenfassungsinformationen über mehrere Verkehrspakete. Die Informationen in jeder Flussaufzeichnung werden üblicherweise durch die jeweilige Netzwerkvorrichtung bestimmt, die für das Erzeugen der Aufzeichnung verantwortlich ist, umfassen neben anderen Arten von Informationen jedoch oft eine Quellenadresse und/oder eine -tornummer, eine Zieladresse und/oder eine -tornummer, eine Startzeit, eine Endzeit und eine oder mehrere Verkehrspaketstatistiken (z. B. einen Paket- oder Bytezählwert). Die Flussaufzeichnungen können vorübergehend in dem Netzwerknutzungsdatenmeldesystem gespeichert werden.
  • Insbesondere können Netzwerknutzungsdaten von Verkehrspaketen, die einen gemeinsamen Flussaufzeichnungsfeldeintrag verwenden, gruppiert werden, während jedes Paket durch ein Netzwerknutzungsdatenmeldesystem empfangen wird. Zum Gruppieren der Daten von den ankommenden Verkehrspaketen kann jedes der Flussaufzeichnungsfelder oder eine Kombination derselben verwendet werden. Beispielsweise können Verkehrspakete zum Verwenden einer gemeinsamen Quellenadresse/-tornummer und/oder einer gemeinsamen Zieladresse/-tornummer gruppiert werden. Die Netzwerknutzungsdaten innerhalb jeder Gruppe von Verkehrspaketen können anschließend zu einer kleinen Aufzeichnung zusammengefasst werden, die vorübergehend als „Flussaufzeichnung” in dem Meldesystem gespeichert wird. Bei einem Ausführungsbeispiel kann eine Flussaufzeichnung einen Eintrag für jede eindeutige Quellenadresse, die durch das Meldesystem empfangen wird, umfassen, wobei jeder Eintrag die Anzahl von Bytes in jedem von der eindeutigen Quellenadresse gesandten Verkehrspaket festlegt.
  • Die Flussaufzeichnungen können in regelmäßigen und häufigen Abständen als „Strom” von Flussaufzeichnungen (oder als „Netzwerknutzungsdatenstrom”) von der vorübergehenden Datenspeicherposition transferiert (oder wiedergewonnen) werden. Je nach dem Umfang des verfügbaren Speicherraums können die Transferintervalle im Wesentlichen momentbezogen sein oder können zwischen einigen Sekunden und mehreren Minuten betragen. Bei einem Ausführungsbeispiel werden die Flussaufzeichnungen bei einer vorbestimmten Abtastrate (z. B. in der Größenordnung von 104 Flussaufzeichnungen pro Sekunde) oder dann, wenn die Anzahl von Flussaufzeichnungen in der vorübergehenden Speicherstelle ein vorbestimmtes Maximum erreicht – je nachdem, was zuerst erfolgt – an einen festgelegten Zielort (z. B. ein Netzwerknutzungsanalysesystem) exportiert.
  • Auf Grund des großen Volumens und der hohen Geschwindigkeit, mit der die Daten dem Datenbanksystem präsentiert werden, ist es oft unpraktisch, alle Rohdaten von einem Netzwerknutzungsdatenstrom in einem Festplattendatenbanksystem zu speichern. In der Tat sind manche Datenbanksysteme nicht in der Lage, die aus einem Datenmeldesystem ausgegebenen Datenströme mit hohem Moment bzw. Impuls zu handhaben (z. B. beginnen einzelne Diskettendatenbanksysteme, bei Datenstromraten von etwa 1.000 Transaktionen/Sekunde zu versagen). Obwohl manche Datenbanksysteme des oberen Leistungsbereichs eventuell in der Lage sind, mehrere hunderttausend Transaktionen/Sekunde zu handhaben, sind sie üblicherweise im Kauf extrem teuer und erfordern für den Unterhalt eine teure Unterstützungs-Infrastruktur. Auch wenn man in der Lage wäre, die Rohdaten in diesen großen Datenbanksystemen (die üblicherweise als „Datenlager” bezeichnet werden) zu speichern, schließt das bloße Volumen von gespeicherten Daten eventuell jegliche Möglichkeit einer zeitgerechten Analyse von vornherein aus.
  • Ein Netzwerkeindringungserfassungssystem (IDS – intrusion detection system) ist hierin als Beispiel eines Netzwerknutzungsanalysesystems vorgesehen, das den Netzwerknutzungsdatenstrom nicht in einem Datenbanksystem speichert. Aus diesem Grund kann das hierin gelieferte Netzwerk-IDS für eine Echtzeitanalyse von Datenströmen mit hohem Impuls verwendet werden.
  • Gemäß der Verwendung in diesem Dokument bezieht sich ein „Datenstrom mit hohem Impuls” auf jegliche flüchtigen Daten, die bei einer deutlich hohen Rate (die üblicherweise in Einheiten von „Transaktionen pro Sekunde” gemessen wird) präsentiert werden. Eine „deutlich hohe Rate” kann sich auf einen Bereich beziehen, der z. B. zwischen etwa tausend Transaktionen/Sekunde und mehreren hunderttausend Transaktionen/Sekunde oder darüber liegt. In Zukunft sind eventuell sogar noch schnellere Raten möglich. Obwohl sich die vorliegende Erläuterung auf Internet-Nutzungsdaten konzentriert, können andere Beispiele flüchtiger Daten folgende umfassen: Satelliten- oder Transponderdaten (z. B. Wetterda ten, Satellitenabbildungsdaten, Daten von Raumsonden usw.), seismische Daten (von Erdbeben, Ölförderung usw.) und Partikelspuren von Hochenergie-Physikexperimenten usw.
  • Obwohl das offenbarte Netzwerkeindringungserfassungssystem die Daten nicht speichert, kann das System Datenströme mit hohem Impuls analysieren, ohne den Datenstrom abzutasten, zu komprimieren und/oder zusammenzustellen, was alles andernfalls zu einem Datenverlust führen würde. Mit anderen Worten kann das hierin beschriebene Netzwerk-IDS in der Lage sein, „flüchtige Daten”, d. h. Daten, die verloren gehen können, wenn sie nicht sofort analysiert werden, oder bevor Versuche unternommen werden, den durch das Meldesystem erzeugten Rohnetzwerknutzungsdatenstrom abzutasten, zu komprimieren, zusammenzustellen und/oder zu speichern, zu analysieren.
  • Indem der Datenverlust vermieden wird, der unweigerlich aus einem Abtasten, Komprimieren und/oder Zusammenstellen des Netzwerknutzungsdatenstroms resultiert, kann das Netzwerkeindringungserfassungssystem in der Lage sein, bestimmte Arten von Netzwerksicherheitsproblemen zu erfassen, die andernfalls nicht erfassbar sind. Für die Zwecke dieser Erläuterung können Netzwerksicherheitsprobleme in drei Kategorien unterteilt werden, die folgende umfassen: Netzwerkangriffe, -missbrauch und -betrug/-diebstahl.
  • Bei einem Beispiel kann ein böswilliger Benutzer ein Netzwerkangriffshilfsmittel verwenden, um einen Angriff auf eine einzelne Zieladresse (oder ein einzelnes Zieltor) durchzuführen, indem er in großem Umfang Verkehr von einer einzigen Quelle oder, in manchen Fällen, von mehreren Quellen, an die anvisierte Adresse sendet. Ein derartiger Angriff wird oft als „Flutangriff” oder als „Dienstverweigerungs”-Angriff (DoS-Angriff) bezeichnet. Angriffe dieser Art neigen dazu, bei dem durch den Angriff anvisierten System einen Stau zu erzeugen, einen Dienst zu verweigern, Systeme zu infizieren und/oder Ressourcen (z. B. Daten und Dateien) zu zerstören. Aus diesem Grund sind Flutangriffe allgemein einfach zu erfassen, nachdem sie erfolgt sind (z. B. kann ein durch den Angriff beeinträchtigter Server dazu führen, dass sich Tausende von Kunden beschweren). Obwohl es sinnvoll sein kann, zu wissen, wo der Flutangriff herstammt, ist es zu dem Zeitpunkt, zu dem der Angriff erfasst wird, oft zu spät, da viele Absender des Flutverkehrs unwissende Benutzer sind, deren Systeme durch Trojaner infiziert wurden. Somit ist es oft sinnvoller, die Netzwerkaktivität in Bezug auf „Angriffsvorläufer” oder Ereignisse, die einen frühen Hinweis auf einen möglichen bevorstehenden Angriff liefern, zu überwachen.
  • Scannen bzw. Abtasten ist ein Beispiel eines Angriffsvorläufers und umfasst allgemein Adressscandurchläufe und Torscandurchläufe. Adressscandurchläufe sind üblicherweise ein feindlicher Verkehr, der verwendet wird, um mehrere Zieladressen zu sondieren, um eine offene oder zugängliche Maschine zu entdecken. Dagegen sondieren Torscandurchläufe üblicherweise mehrere Tore an einer einzelnen Maschine, um ein offenes oder zugängliches Tor oder eine offene oder zugängliche Anwendung an dieser Maschine zu entdecken. Auf Grund des geringen Anteils des üblicherweise verbrauchten normalen Verkehrsvolumens kann ein Scandurchlaufsverkehr üblicherweise nicht durch Verwendung von abgetasteten oder übermäßig zusammengestellten Daten erfasst werden. Indem es einen Datenverlust vermeidet, ist das hierin beschriebene Netzwerkeindringungserfassungssystem in der Lage, einen Scandurchlaufsverkehr zu erfassen und somit ein effektives Hilfsmittel für einen frühen Hinweis auf bevorstehende Angriffe zu nutzen.
  • Die meisten Internet-Dienstanbieter verfügen über Vereinbarungen mit Endbenutzern, die die Verwendung von durch Teilnehmer betriebenen Servern auf Grund der übermäßig hohen Bandbreite, die durch den Verkehr, der an die und von diesen Servern gesendet wird, verbraucht wird, verbieten. Ferner kann jedem Benutzer, der Teilnehmer eines Netzwerkes eines Dienstanbieters wird, einen bestimmten Umfang an Netzwerkbandbreite zugewiesen werden. Jedoch macht es der Nutzungsunterschied zwischen einem missbräuchlichen Benutzer (z. B. einem Teilnehmer, der einen verbotenen Server betreibt) und einem problemlosen Benutzer schwierig, nicht nur einen zukünftigen Bedarf vorauszusagen, sondern auch Preisgebungspläne mit feststehenden Maximale-Nutzung-Preisen zu implementieren, ohne die aktuelle Netzwerkkapazität zu überschreiten.
  • Zusätzlich zu Angriffen kann das beschriebene Netzwerk-IDS einen Teilmehmerbandbreitenmissbrauch erfolgreich erfassen, indem es die Speicherung von Hochimpuls-Datenströmen, z. B. Internet-Nutzungsdaten, vermeidet. Beispielsweise kann das Netzwerk-IDS anfänglich den Rohdatenstrom auf eine Weise zusammenstellen, die ermöglicht, dass das Netzwerkverkehrsvolumen pro Servertor nachverfolgt wird. Wenn an einem bestimmten Servertor eine abnormale Netzwerkaktivität erfasst (oder zumindest vermutet) wird, kann der Zusammenstellungsprozess aktualisiert werden, um Teilnehmeridentifizierungsinformationen (z. B. eine Teilnehmer-ID-Nummer, -Quellenadresse oder ein -tor) zu enthalten, die dazu beitragen können, den bzw. die bestimmten Teilnehmer zu identifizieren, der bzw. die für den missbräuchlichen Verkehr, der an das besetzte Servertor gesendet wird, verantwortlich ist bzw. sind.
  • Wie oben erwähnt wurde und nachfolgend ausführlicher beschrieben wird, ist das Netzwerkeindringungserfassungssystem in der Lage, eine Echtzeitüberwachung von Hochimpuls-Netzwerknutzungsdatenströmen (hierin auch als „Flussaufzeichnungsströme” bezeichnet) sowie eine Echtzeiterfassung einer verdächtigen oder abnormalen Netzwerkaktivität (d. h. während dieselbe erfolgt) zu liefern. Beispielsweise kann das Netzwerk-IDS einen Mechanismus zum Gewinnen zusätzlicher Informationen über die abnormale Netzwerkaktivität, die bisher noch nicht durch das System gesammelt oder analysiert wurden, bereitstellen. Ein derartiger Mechanismus würde Echtzeituntersuchungen der abnormalen Aktivität, z. B. ein Erfassen eines Typs oder einer Quelle des Angriffs oder Missbrauchs (d. h. eines Ereignisses oder einer Entität, das bzw. die für den übermäßigen Verkehr verantwortlich ist) ermöglichen. Das Netzwerk-IDS kann auch ausreichend Zeit (wenn auch nur Sekunden) zum Ergreifen von Angriffs-Gegenmaßnahmen liefern, indem es ein zuverlässiges Mittel zum Erfassen von Angriffsvorläufern (z. B. Scanvorgängen) bereitstellt.
  • Unter Bezugnahme auf die Zeichnungen veranschaulicht 1A ein Ausführungsbeispiel eines Netzwerknutzungsanalysesystems 100, das in der Lage ist, Hochimpuls-Netzwerknutzungsdatenströme gemäß der vorliegenden Erfindung zu überwachen und zu analysieren. Im Allgemeinen umfasst das Netzwerknutzungsanalysesystem 100 mehrere Hauptkomponenten, von denen jede ein Softwareprogramm ist. Die Hauptsoftwareprogrammkomponenten des Netzwerknutzungsanalysesystems 100 können an einem oder mehreren Computersystemen laufen. Bei einem Ausführungsbeispiel läuft jede der Hauptsoftwareprogrammkomponenten auf ihrem eigenen Computersystem.
  • Bei einem Ausführungsbeispiel umfasst das Netzwerknutzungsanalysesystem 100 ein Datenanalysesystem 130 und einen Datenspeichersystem 140. Das Datenanalysesystem 130 empfängt Netzwerknutzungsdaten 170 von einem Datensammelsystem 120, das wiederum die Netzwerknutzungsdaten von einem Netzwerk 110 empfängt. Bei einem Ausführungsbeispiel umfasst das Netzwerk 110 das Internet 115. Vorzugsweise sind die Netzwerknutzungsdaten 170 ein Echtzeit-Hochimpuls-Strom von Netzwerknutzungsdatenaufzeichnungen (ansonsten hierin als „Transaktionen” oder „Flussaufzeichnungen” bezeichnet). Bei einem Ausführungsbeispiel sind die Netzwerknutzungsdaten 170 ein Echtzeitstrom von Flussaufzeichnungen, die durch ein Netzwerknutzungsdatenmeldesystem (nicht gezeigt), das in dem Netzwerk 110 positioniert ist, erzeugt werden.
  • Das Datenanalysesystem 130 empfängt die strömenden Netzwerknutzungsdaten 170 (in Form von Flussaufzeichnungen) von dem Datensammelsystem 120 über eine Kommunikationsverbindung 160. Bei einem Ausführungsbeispiel kann das Datensammelsystem 120 in einem Netzwerknutzungsdatenmeldesystem des Netzwerks 110 enthalten sein. Bei einem anderen Ausführungsbeispiel kann das Datensammelsystem 120 (und alle anderen demselben nachgeschalteten Systemkomponenten) an einer außerhalb des Netzwerks 110 befindlichen Stelle mit einem Netzwerknutzungsdatenmeldesystem gekoppelt sein. Mit anderen Worten kann das Netzwerknutzungsanalysesystem 100 an einer Stelle implementiert sein, die physisch von dem Netzwerk 110 getrennt ist, jedoch funktionell mit demselben gekoppelt ist. Indem das System 100 außerhalb des Netzwerks 110 angeordnet wird, kann eine Netzwerkaktivität über das gesamte Netzwerk 110 hinweg überwacht werden, ohne die Netzwerkleistungsfähigkeit zu beeinträchtigen (z. B. ohne Speicher- oder CPU-Ressourcen an Netzwerkservern zu verbrauchen oder ansonsten den Netzwerkverkehrsfluss zu behindern). Als solches kann das Netzwerknutzungsanalysesystem 100 bei manchen Ausführungsbeispielen als netzwerkbasiertes Eindringungserfassungssystem angesehen werden.
  • Obwohl es in 1A als von dem Datenanalysesystem 130 getrennt gezeigt ist, kann das Datensammelsystem 120 bei einem anderen Ausführungsbeispiel ein Bestandteil des Datenanalysesystems 130 sein. Ein Datensammelsystem, das sich zur Verwendung bei der vorliegenden Erfindung eignet, ist im Handel unter dem Handelsnamen INTERNET USAGE MANAGER von Hewlett-Packard, USA, erhältlich. Andere Datensammel- und -meldesysteme, die sich zur Verwendung bei dem Netzwerknut zungsanalysesystem gemäß der vorliegenden Erfindung eignen, werden für Fachleute nach der Lektüre der vorliegenden Anmeldung offensichtlich.
  • Allgemein kann das Datenanalysesystem 130 ein oder mehrere Erfassungsmodule 135 zum Überwachen einer Netzwerkaktivität in dem Netzwerk 110 verwenden. In manchen Fällen kann mehr als ein Erfassungsmodul definiert sein, um einen bestimmten Flussaufzeichnungsstrom auf viele verschiedene Weisen zu charakterisieren. Ein solcher Fall wird unter Bezugnahme auf 1D beschrieben.
  • Insbesondere verwendet das Datenanalysesystem 130 (ein) Erfassungsmodul(e) 135, um relevante Abschnitte des Flussaufzeichnungsstroms 170 zu sammeln und daraus ein statistisches Ergebnis zu erzeugen. Bei manchen Ausführungsbeispielen kann das statistische Ergebnis gemäß der US-Patentanmeldung US 2003/0033403 A1 („Network Usage Analysis System Having Dynamic Statistical Data Distribution System and Method”) erzeugt (und möglicherweise gespeichert) werden. Bei manchen Ausführungsbeispielen kann das statistische Ergebnis auch unter Verwendung eines rollenden Zeitintervalls in Echtzeit aktualisiert werden, gemäß der US-Patentanmeldung US 2003/0028631 A1 („Network Usage Analysis System and Method For Updating Statistical Models”). Andere Verfahren zum Erzeugen, Speichern und/oder Aktualisieren des statistischen Ergebnisses sind möglich und in dem Schutzumfang der Erfindung enthalten. In manchen Fällen kann bzw. können auch das bzw. die Erfassungsmodul(e) 135 verwendet werden, um das statistische Ergebnis unabhängig davon, ob das statistische Ergebnis gespeichert ist oder nicht, zu analysieren.
  • Bei einem Ausführungsbeispiel spricht das Datenanalysesystem 130 auf eine Benutzerschnittstelle 150 für eine interaktive Analyse des Flussaufzeichnungsstroms 170 unter Verwendung des Erfassungsmoduls bzw. der Erfassungsmodule 135 an. In manchen Fällen kann die Benutzerschnittstelle 150 im Wesentlichen jegliche in der Technik bekannte Eingabe-/Ausgabevorrichtung umfassen, z. B. eine Tastatur, eine Maus, ein Berührungsfeld, einen Anzeigebildschirm usw. Bei einem Beispiel kann eine graphische Anzeige der statistischen Ergebnisse an einen Anzeigebildschirm an der Benutzerschnittstelle 150 ausgegeben werden. In anderen Fällen kann die Benutzerschnittstelle 150 ein separates Computersystem umfassen, das durch ein verdrahtetes oder drahtloses Übertragungsmedium mit dem Datenanalysesystem 130 gekoppelt ist.
  • Bei einem Ausführungsbeispiel umfasst das Datenanalysesystem 130 ein Computersoftwareprogramm, das an einem oder mehreren Computern oder Servern zum Überwachen einer Netzwerkaktivität gemäß der vorliegenden Erfindung ausführbar ist. Das Computersoftwareprogramm, das das bzw. die Erfassungsmodul(e) 135 umfasst, kann auch in einem Datenspeichersystem 140 gespeichert sein. Obwohl das Datenspeichersystem 140 in 1A als außerhalb des Datenanalysesystems 130 gelegen gezeigt ist, kann das Datenspeichersystem 140 bei einem alternativen Ausführungsbeispiel in dem Datenanalysesystem 130 enthalten sein. Das Datenspeichersystem 140 kann im Wesentlichen jeglichen flüchtigen Speicher (z. B. Direktzugriffsspeicher (RAM)) und/oder jeglichen nichtflüchtigen Speicher (ein Festplattenlaufwerk oder eine andere dauerhafte Speichervorrichtung), der in der Technik bekannt ist, umfassen.
  • 1C veranschaulicht das Ausführungsbeispiel, bei dem in dem Datenanalysesystem 130 lediglich ein Erfassungsmodul 135 enthalten ist. Insbesondere umfasst das Erfassungsmodul 135 ein Sammelmodul 132 zum Sammeln eines Stroms von Flussaufzeichnungen, die einem Beobachtungspunkt innerhalb eines Netzwerks zugeordnet sind. Ein „Beobachtungspunkt” ist hierin grob als interessierender Punkt in dem Netzwerk definiert.
  • 2 veranschaulicht ein Ausführungsbeispiel eines Netzwerks 200, das einen Netzwerkkern 210 und eine Anzahl von Teilnetzwerken (z. B. Teilnetzwerke 220 und 230) umfassen kann. Bei einem Beispiel kann der Netzwerkkern 210 das innere Netzwerk eines Internet-Dienstanbieters (ISP – Internet service provider) darstellen, und die Teilnetzwerke 220 und 230 können die ISP-Kunden darstellen. Jedes der Teilnetzwerke kann durch eine Netzwerkvorrichtung, die als „Flankenrouter” (mit Bi bezeichnet) bezeichnet wird, mit dem Netzwerkkern gekoppelt sein. In manchen Fällen kann der Netzwerkkern ferner durch eine oder mehrere Netzwerkvorrichtungen, die als „Grenzrouter” (mit Ci benannt) bezeichnet werden, mit einem externen Netzwerk 240 gekoppelt sein. Bei einem Beispiel kann das externe Netzwerk ein Weitverkehrsnetzwerk (WAN), z. B. das Internet, sein und kann mehrere Teilnetzwerke in demselben umfassen. Obwohl drei Teilnetzwerke 242, 244 und 246 veranschaulicht sind, kann im Wesentlichen jede beliebige Anzahl von Teilnetzwerken in dem externen Netzwerk 240 enthalten sein. Diese Art von Netzwerk wird allgemein als „hierarchisches Netzwerk” bezeichnet und kann eine oder mehrere Ebenen von Teilnetzwerken enthalten. Bei einem (nicht gezeigten) alternativen Ausführungsbeispiel kann das Netzwerk ein „flaches Netzwerk” umfassen, bei dem es im Wesentlichen keine Unterscheidung zwischen dem Netzwerkkern und Teilnetzwerken gibt.
  • Bei manchen Ausführungsbeispielen kann ein Beobachtungspunkt eine Netzwerkvorrichtung umfassen, z. B. diejenigen, die in 2 als Grenzvorrichtungen (?) und interne Vorrichtungen (?) bezeichnet sind. Als solches kann ein Beobachtungspunkt eine Netzwerkvorrichtung umfassen, die an einer Grenze des Netzwerks angeordnet ist (z. B. Randrouter Bi oder Grenzrouter Ci und Di), oder eine Netzwerkvorrich tung, die in dem Netzwerk angeordnet ist (z. B. interne Router Ei und andere interne Vorrichtungen, die mit dem Symbol ? benannt sind). In anderen Fällen kann ein Beobachtungspunkt eine Verknüpfung umfassen, z. B. einen Pfad zwischen zwei Grenznetzwerkvorrichtungen, einen Pfad zwischen einer Grenznetzwerkvorrichtung und einer internen Netzwerkvorrichtung oder einen Pfad zwischen zwei internen Netzwerkvorrichtungen.
  • Unter erneuter Bezugnahme auf 1C kann das Sammelmodul 132 den Strom von Flussaufzeichnungen gemäß einem ersten Satz von Konfigurationsparametern sammeln. Allgemein kann der erste Satz von Konfigurationsparametern einen Teilsatz von Daten, die von jeder Flussaufzeichnung in dem Strom gesammelt werden sollen, und ein Zeitintervall, während dessen der Teilsatz von Daten gesammelt werden soll, benennen. Wie nachfolgend ausführlicher beschrieben wird, kann der erste Satz von Konfigurationsparametern zu jeder Zeit modifiziert werden, um zusätzliche Daten von einem nachfolgenden Flussaufzeichnungsstrom zu erhalten, wenn eine abnormale Netzwerkaktivität in zumindest einem Teil des aktuellen Flussaufzeichnungsstroms angezeigt wird.
  • Im Einzelnen bezeichnet der erste Satz von Konfigurationsparametern eine oder mehrere Arten von Netzwerknutzungsdaten, die von dem Flussaufzeichnungsstrom 170 gesammelt werden sollen. Mit anderen Worten können ein oder mehrere „Felder” oder „Kategorien” von Netzwerknutzungsdaten als „Teilsatz von Daten” gesammelt werden. Wie in 1B gezeigt ist, können die Flussaufzeichnungsfelder zusammengefasste Informationen über mehrere Verkehrspakete enthalten. Diese Metadaten (d. h. Daten über Daten) können z. B. eine Quellenkennung (d. h. eine Quellenadresse oder ein Quellentor), eine Zielkennung (z. B. eine Zieladresse oder ein Zieltor), eine Startzeit und Endzeit und eine oder mehrere Verkehrspaketstatistiken (z. B. den Umfang an transferierten Daten, z. B. die Anzahl von Paketen oder die Anzahl von Bytes/Paket) umfassen. In manchen Fällen können die Fluss aufzeichnungsfelder andere Metadaten enthalten, z. B., neben anderen Arten von Informationen, das zum Transferieren der Daten verwendete Paketprotokoll (z. B. TCP oder UDP), einen Paketprotokoll-Flagindikator, einen Eingangsschnittstellenindex, einen Ausgangsstellenindex und eine Dienstart. In manchen Fällen kann das Volumen an gesammelten Netzwerknutzungsdaten stark verringert werden, indem lediglich einige wenige Arten von Netzwerknutzungsdaten (oder Flussaufzeichnungsfeldern) aus jeder Flussaufzeichnung in dem Strom ausgewählt werden.
  • Wie oben erwähnt wurde, kann der erste Satz von Konfigurationsparametern auch ein Zeitintervall benennen, während dessen der Teilsatz von Daten gesammelt werden soll. In manchen Fällen kann das Zeitintervall aus einer Bandbreite programmierbarer Zeitwerte ausgewählt werden, die zwischen etwa einer Sekunde und etwa 30 Tagen (oder mehr) liegen. In anderen Fällen kann die Bandbreite programmierbarer Zeitwerte in der Größenordnung von Minuten bis Tagen liegen. Alternativ oder zusätzlich zum Festlegen der Zeitdauer, während der der Teilsatz von Daten gesammelt werden soll, kann das Zeitintervall auch die Zeitdauer festlegen, während der ein oder mehrere statistische Modelle auf den ausgewählten Teilsatz von Daten angewandt werden, um statistische Ergebnisse daraus zu erzeugen. Als solches kann der erste Satz von Konfigurationsparametern ferner einen Zeitintervalltyp (z. B. feststehende oder rollende Zeitintervalle) zum statistischen Analysieren des Datenteilsatzes, der während des Zeitintervalls gesammelt wird, bezeichnen. Kurz gesagt würde ein feststehendes Zeitintervall ein statistisches Ergebnis des gesammelten Datenteilsatzes um das Ende des Zeitintervalls herum erzeugen; wohingegen ein rollendes Zeitintervall das statistische Ergebnis über die Dauer des Zeitintervalls erzeugen und kontinuierlich aktualisieren würde.
  • Bei einem Ausführungsbeispiel kann das Sammelmodul 132 den ersten Satz von Konfigurationsparametern an das Datensam melsystem 120 liefern, um die Zeitdauer, während der das Datensammelsystem 120 einen bestimmten Teilsatz von Daten aus einem Netzwerknutzungsdatenmeldesystem sammeln soll, festzulegen. Bei einem alternativen Ausführungsbeispiel kann das Sammelmodul 132 jedoch den ersten Satz von Konfigurationsparametern zurückbehalten, ohne sie an das Datensammelsystem 120 zu liefern. Mit anderen Worten kann das Datensammelsystem 120 einen Echtzeitstrom von Flussaufzeichnungen (die z. B. einzelne Flussaufzeichnungen oder Flussaufzeichnungen enthalten, die gruppiert und zusammengefasst wurden) empfangen, die in regelmäßigen und häufigen Abständen aus einer vorübergehenden Datenspeicherstelle (üblicherweise RAM) in dem Netzwerknutzungsdatenmeldesystem „geräumt” werden. Diese „Räumungsintervalle” sind allgemein von Charakteristika des jeweiligen Meldesystems, das die Ströme liefert, abhängig; somit können die Räumungsintervalle im Wesentlichen momentbezogen sein, oder sie können zwischen einigen Sekunden und mehreren Tagen betragen, z. B. abhängig von dem Umfang an vorübergehendem Speicherraum, der in dem jeweiligen Meldesystem zur Verfügung steht). Das durch den ersten Satz von Konfigurationsparametern benannte Zeitintervall kann anschließend durch das Sammelmodul 132 verwendet werden, um den festgelegten Teilsatz von Daten aus dem durch das Datensammelsystem 120 empfangenen Strom von Flussaufzeichnungen zu sammeln.
  • Das Erfassungsmodul 135 umfasst ferner ein statistisches Modul 134 zum Erzeugen eines statistischen Ergebnisses der Teilsätze von Daten, die aus dem Flussaufzeichnungsstrom gesammelt werden. In manchen Fällen kann das statistische Modul 134 das durch den ersten Satz von Konfigurationsparametern festgelegte Zeitintervall verwenden, um das statistische Ergebnis zu erzeugen. Beispielsweise kann das statistische Modul 134 das statistische Ergebnis am Ende des Zeitintervalls oder alternativ dazu während des Zeitintervalls, während jeder Teilsatz von Daten aus dem Strom von Flussaufzeichnungen gesammelt wird, erzeugen.
  • Jedoch kann die tatsächliche Erzeugung des statistischen Ergebnisses gemäß einem zweiten Satz von Konfigurationsparametern durchgeführt werden. Allgemein bezeichnet der zweite Satz von Konfigurationsparametern einen Typ eines statistischen Modells, das zusätzlich zu einer oder mehreren Eigenschaften, die dem bezeichneten Typ des statistischen Modells zugeordnet sind, zum Erzeugen des statistischen Ergebnisses verwendet werden soll. Wie nachfolgend ausführlicher beschrieben wird, kann der zweite Satz von Konfigurationsparametern zu jeglichem Zeitpunkt nach der Systeminitialisierung modifiziert werden, um ein statistisches Ergebnis an einem nachfolgenden Flussaufzeichnungsstrom zu erzeugen, wenn in zumindest einem Teil des aktuellen Aufzeichnungsereignisstroms eine abnormale Netzwerkaktivität angezeigt wird.
  • Im Einzelnen bezeichnet der zweite Satz von Konfigurationsparametern den bestimmten Typ des statistischen Modells, das zum Charakterisieren des Teilsatzes von Daten, die aus dem Flussaufzeichnungsstrom gesammelt werden, verwendet werden soll. Bei einem Ausführungsbeispiel kann der Typ des statistischen Modells aus einer Gruppe ausgewählt sein, die ein Histogramm (d. h. eine Verteilung), die oberen bzw. wichtigsten N Auftretensfälle einer Variable (d. h. eine ObereN-Verteilung) und eine Zeitfolge von Auftretensfällen der Variable (d. h. eine graphische Zeitseriendarstellung) umfasst. Je nach dem auf die Netzwerknutzung bezogenen Problem, das zu lösen ist, können auch andere Typen eines statistischen Modells enthalten sein. Exemplarische Typen des statistischen Modells, die verwendet werden können, um ein bestimmtes auf die Netzwerknutzung bezogenes Problem (z. B. die Erfassung eines Scanverkehrs bzw. Abtastverkehrs oder eines Teilnehmermissbrauchs) zu lösen, werden nachfolgend ausführlicher beschrieben.
  • Zusätzlich zu dem Typ des statistischen Modells bezeichnet der zweite Satz von Konfigurationsparametern eine oder mehrere Eigenschaften des statistischen Modells, z. B. ob das statistische Ergebnis als lineare oder logarithmische Verteilung erzeugt werden soll, zusätzlich zu der Anzahl und/oder Breite von Intervallbereichen, die für die Verteilung zu erzeugen sind. In manchen Fällen kann das statistische Ergebnis dynamisch erzeugt werden, indem die Intervallbereiche auf der Basis der Werte des ankommenden Datenstroms in Echtzeit und „je nach Bedarf” (oder „während des Betriebs”) erstellt werden. Die sich ergebende Verteilung kann anschließend zum Zweck einer aktuellen Analyse an die Benutzerschnittstelle 150 ausgegeben oder zum Zweck einer zukünftigen Analyse in dem Speicher gespeichert werden.
  • Bei manchen Ausführungsbeispielen kann das Erfassungsmodul 135 auch ein Analysemodul 136 zum Analysieren des durch das statistische Modul 134 erzeugten statistischen Ergebnisses umfassen. Als solches kann das Analyseergebnis und/oder das statistische Ergebnis verwendet werden, um die dem Beobachtungspunkt zugeordnete Netzwerkaktivität zu überwachen. In manchen Fällen kann das Analysemodul 136 das statistische Ergebnis auf eine Beendigung des Zeitintervalls, das durch den ersten Satz von Konfigurationsparametern festgelegt wurde, hin analysieren. In anderen Fällen kann das Analysemodul 136 jedoch zum Analysieren von statistischen Ergebnissen konfiguriert sein, die in einem Speicher gespeichert sind.
  • In jedem Fall kann eine Analyse des statistischen Ergebnisses gemäß einem dritten Satz von Konfigurationsparametern durchgeführt werden. Der dritte Satz von Konfigurationsparametern kann einen Typ eines Analysemodells bezeichnen, das zum Analysieren des statistischen Ergebnisses verwendet werden soll, zusätzlich zu einer oder mehreren Eigenschaften, die dem bezeichneten Typ von Analysemodell zugeordnet sind. Wie anschließend ausführlicher beschrieben wird, kann der dritte Satz von Konfigurationsparametern zu jeglichem Zeitpunkt nach der Systeminitialisierung modifiziert werden, um ein vorheriges statistisches Ergebnis erneut zu analysieren (oder ein statistisches Ergebnis eines nachfol genden Flussaufzeichnungsstroms zu analysieren), falls in zumindest einem Teil des aktuellen Flussaufzeichnungsstroms auf eine abnormale Netzwerkaktivität hingewiesen wird.
  • Im Einzelnen bezeichnet der dritte Satz von Konfigurationsparametern einen bestimmten Typ von Analysemodell, das zum Überwachen einer Netzwerkaktivität verwendet werden soll. Bei einem Ausführungsbeispiel kann der Typ des Analysemodells aus einer Gruppe ausgewählt werden, die das statistische Ergebnis, eine normierte Version des statistischen Ergebnisses, eine Wahrscheinlichkeitsdichtefunktion des statistischen Ergebnisses und eine Summendichtefunktion des statistischen Ergebnisses umfasst. Je nach dem auf die Netzwerknutzung bezogenen Problem, das zu lösen ist, können auch andere Typen von Analysemodellen enthalten sein. Beispielhafte Typen von Analysemodellen, die verwendet werden können, um ein bestimmtes, auf die Netzwerknutzung bezogenes Problem (z. B. die Erfassung eines Scanverkehrs oder eines Teilnehmermissbrauchs) zu lösen, werden nachfolgend ausführlicher beschrieben.
  • Zusätzlich zu dem Typ des Analysemodells kann der dritte Satz von Konfigurationsparametern eine oder mehrere Eigenschaften des Analysemodells bezeichnen, z. B. einen Schwellwert, einen Neigungswert oder eine Form, die allesamt entweder einer „normalen” oder einer „abnormalen” Netzwerkaktivität zugeordnet sein können. Beispielsweise können die Analyseergebnisse auf ein Überschreiten eines bestimmten Schwellen- oder Neigungswerts hin auf ein Auftreten einer abnormalen Netzwerkaktivität hinweisen. Alternativ dazu kann eine abnormale Netzwerkaktivität angezeigt werden, wenn eine Form der aktuellen Analyseergebnisse beträchtlich von einer Form von Analyseergebnissen abweicht, von denen man weiß, dass sie eine so genannte „normale” Netzwerkaktivität kennzeichnen. In jedem Fall können die Analyseergebnisse zum Zweck einer aktuellen Beobachtung an die Benutzerschnittstelle 150 ausgegeben und/oder zum Zweck einer zukünftigen Beobachtung in einem Speicher gespeichert werden.
  • Bei einem Ausführungsbeispiel kann das statistische Ergebnis durch zusätzliche Computerprogrammanweisungen „automatisch” analysiert werden, oder es kann durch einen Benutzer des Netzwerknutzungsanalysesystems „manuell” analysiert werden. Beispielsweise kann das statistische Ergebnis auf einem Anzeigebildschirm an der Benutzerschnittstelle 150 graphisch (oder anderweitig) angezeigt werden. Als solches kann der Benutzer (und/oder die Computerprogrammanweisungen können) das statistische Ergebnis verwenden, um 1) verschiedene Netzwerknutzungs-„Charakteristika” oder -„Verhaltensweisen” zu überwachen und/oder zu erfassen, oder 2) ein Analysemodell zur weiteren Analyse der angezeigten statistischen Ergebnisse auszuwählen. Alternativ dazu können die Analyseergebnisse durch die zusätzlichen Computeranweisungen automatisch erzeugt und statt der statistischen Ergebnisse auf dem Anzeigebildschirm graphisch (oder anderweitig) angezeigt werden. Auf diese Weise können die Analyseergebnisse zum Überwachen einer Netzwerkaktivität und zum Erfassen einer abnormalen Netzwerkaktivität daraus verwendet werden.
  • Die angezeigten (statistischen und/oder Analyse-)Ergebnisse können ferner verwendet werden, um eine interaktive Analyse der Netzwerknutzungsdaten über die Benutzerschnittstelle 150 durchzuführen. Mit anderen Worten kann die Benutzerschnittstelle 150 Benutzerbefehle zum Modifizieren jeglicher des ersten, des zweiten oder des dritten Satzes von Konfigurationsparametern annehmen. Wie oben erwähnt wurde, können der erste, der zweite und der dritte Satz von Konfigurationsparametern zu einem beliebigen Zeitpunkt an der Systeminitialisierung modifiziert werden, um einen nachfolgenden Strom von Flussaufzeichnungen auf unterschiedliche Weise zu sammeln, zu erzeugen und/oder zu analysieren. Beispielsweise können ein oder mehrere der Konfigurationsparameter modifiziert werden, nachdem anfänglich eine abnormale Aktivität erfasst wird, so dass ein Teilsatz der Netzwerkaktivität, die der abnormalen Aktivität entspricht, anschließend viel ausführlicher gesammelt, erzeugt und/oder analysiert werden kann.
  • Im Gegensatz zu anderen Systemen ist das vorliegende System in der Lage, die Konfigurationsparameter dynamisch zu modifizieren, ohne Systemoperationen herunterzufahren oder vorübergehend aussetzen zu müssen. Eine derartige dynamische Modifikation kann ein Vergrößerungsniveau, anhand dessen der Teilsatz der Netzwerkaktivität anschließend überwacht wird, abändern. Wie anschließend ausführlicher beschrieben wird, kann das Vergrößerungsniveau in manchen Fällen geändert werden, um zu bestimmen, ob der Beobachtungspunkt für die erfasste abnormale Netzwerkaktivität verantwortlich ist (d. h. ob der Beobachtungspunkt eine „Quelle” der abnormalen Netzwerkaktivität ist).
  • 1D veranschaulicht ein Ausführungsbeispiel, bei dem mehrere Erfassungsmodule 135 in dem Datenanalysesystem 130 enthalten sind. In manchen Fällen können die Erfassungsmodule 135 in einer Hierarchie oder Baumstruktur angeordnet sein, so dass ein Ausgang eines Erfassungsmoduls einer höheren Ebene (z. B. Erfassungsmodul 135a) am Ende eines festgelegten Zeitintervalls (der dem durch den ersten Satz von Konfigurationsparametern festgelegten Zeitintervall entsprechen kann, aber nicht muss) in ein Erfassungsmodul einer niedrigeren Ebene (z. B. Erfassungsmodul 135b oder 135c) eingegeben werden kann. 1D veranschaulicht eine binäre Baumstruktur lediglich zum Zweck der Einfachheit; alternative Strukturen und Konfigurationen sind eventuell anwendbar.
  • Allgemein umfasst jedes der in 1D gezeigten Erfassungsmodule ein Sammelmodul 132, ein statistisches Modul 134 und ein Analysemodul 136, wie oben unter Bezugnahme auf 1C beschrieben wurde. Jedoch können ein oder mehrere der Erfassungsmodule der 1D unabhängig voneinander konfiguriert sein, um einen aktuellen Flussaufzeichnungsstrom auf leicht unterschiedliche Weise zu charakterisieren. Beispielsweise kann ein Erfassungsmodul einer höheren Ebene eine Verteilung des Verkehrsvolumens anhand der Zielservertornummer (7A) erzeugen, wohingegen ein Erfassungsmodul einer niedrigeren Ebene eine Verteilung des Verkehrsvolumens durch einen Teilnehmer an einer bestimmten Servertornummer (7C) erzeugen kann. Eine derartige unabhängige Konfiguration kann ermöglichen, dass aus einem einzigen Strom von Flussaufzeichnungen, die einem bestimmten Beobachtungspunkt zugeordnet sind, mehrere „Betrachtungen” erhalten werden.
  • Zusätzlich zu der unabhängigen Konfiguration können ein oder mehrere Erfassungsmodule der 1D dynamisch umkonfiguriert werden, um einen nachfolgenden Flussaufzeichnungsstrom (oder möglicherweise einen aktuellen Flussaufzeichnungsstrom) auf leicht unterschiedliche Weise zu charakterisieren. In manchen Fällen kann ein Erfassungsmodul einer höheren Ebene umkonfiguriert sein, um zusätzliche Daten aus einem nachfolgenden Flussaufzeichnungsstrom zu sammeln, wenn aus Ergebnissen, die durch ein Erfassungsmodul einer niedrigeren Ebene an einem aktuellen (oder vorherigen) Flussaufzeichnungsstrom erhalten werden, eine abnormale Netzwerkaktivität angedeutet wird. Beispielsweise sei angenommen, dass ein Erfassungsmodul einer höheren Ebene (z. B. Erfassungsmodul 135a) anfänglich konfiguriert ist, um die Zielservertornummer und das Paketvolumen von jeder Flussaufzeichnung in dem Strom zu sammeln. Wenn jedoch Ergebnisse von einem Erfassungsmodul einer niedrigeren Ebene (z. B. Erfassungsmodul 135f) eine abnormale Aktivität an einer oder mehreren Zielservertornummern anzeigen, kann das Erfassungsmodul der höheren Ebene umkonfiguriert werden, um ebenfalls z. B. die Teilnehmer-ID-Nummern zu sammeln. Das Erfassungsmodul der niedrigeren Ebene muss eventuell ebenfalls umkonfiguriert werden, um die neu gesammelten Teilnehmer-ID-Nummern zu akzeptieren. Somit wird die Sammlung zusätzlicher Daten allgemein dadurch erzielt, dass ein unterschiedlicher Satz von Konfigurationsparametern für das bzw. die Sammelmodul(e) 132 innerhalb einer oder mehrerer Ebenen von Erfassungsmodulen 135 ausgewählt wird.
  • In manchen Fällen kann ein Erfassungsmodul einer höheren Ebene umkonfiguriert werden, um ein neues statistisches Ergebnis eines nachfolgenden Flussaufzeichnungsstroms zu erzeugen, wenn aus Ergebnissen, die durch ein Erfassungsmodul einer niedrigeren Ebene an einem aktuellen (oder vorherigen) Flussaufzeichnungsstrom erhalten werden, eine abnormale Netzwerkaktivität angezeigt wird. In manchen Fällen können neue statistische Ergebnisse erzeugt werden, indem der Umkonfigurationsvorgang umgekehrt durchgeführt wird. Beispielsweise kann ein Erfassungsmodul einer niedrigeren Ebene dynamisch umkonfiguriert werden, um ein neues statistisches Ergebnis zu erzeugen, wenn die statistischen Ergebnisse von einem Erfassungsmodul einer höheren Ebene einen Hinweis auf eine abnormale Netzwerkaktivität liefern. Somit wird die Erzeugung neuer statistischer Ergebnisse allgemein dadurch erzielt, dass für das statistische Modul bzw. die statistischen Module 135 innerhalb einer oder mehrerer Ebenen von Erfassungsmodulen 135 ein unterschiedlicher Satz von Konfigurationsparametern ausgewählt wird.
  • In manchen Fällen kann ein Erfassungsmodul einer höheren Ebene umkonfiguriert werden, um ein nachfolgendes statistisches Ergebnis auf andere Weise zu analysieren, wenn aus Ergebnissen, die durch ein Erfassungsmodul einer niedrigeren Ebene an einem aktuellen (oder vorherigen) Flussaufzeichnungsstrom erhalten werden, eine abnormale Netzwerkaktivität angezeigt wird. In manchen Fällen können neue Analyseergebnisse erzeugt werden, indem der Umkonfigurationsvorgang umgekehrt durchgeführt wird. Beispielsweise kann ein Erfassungsmodul einer niedrigeren Ebene dynamisch umkonfiguriert werden, um ein aktuelles statistisches Ergebnis zu analysieren, wenn die Analyseergebnisse aus einem Erfassungsmodul einer höheren Ebene einen Hinweis auf eine abnormale Netzwerkaktivität liefern. Somit wird die Erzeu gung neuer Analyseergebnisse allgemein dadurch erzielt, dass für das Analysemodul bzw. die Analysemodule 136 innerhalb einer oder mehrerer Ebenen von Erfassungsmodulen 135 ein unterschiedlicher Satz von Konfigurationsparametern ausgewählt wird.
  • Auf diese Weise können mehrere Erfassungsmodule 135 zum Erzeugen einer Mehrzahl statistischer und/oder Analyseergebnisse verwendet werden. Auf jeder Ebene der Baumstruktur können die Ergebnisse zum Zweck einer aktuellen Beobachtung oder Analyse an eine Anzeigevorrichtung gesendet werden, zum Zweck einer zukünftigen Beobachtung oder Analyse an eine Speichervorrichtung gesendet werden oder sie können zum Zweck einer Weiterverarbeitung an ein Erfassungsmodul einer niedrigeren Ebene gesendet werden.
  • Ein computerausführbares Verfahren 300 zum Erfassen einer abnormalen Netzwerkaktivität wird nun unter Bezugnahme auf 3 und 4 beschrieben. Bei manchen Ausführungsbeispielen kann das Verfahren 300 zum genauen Bestimmen einer Quelle der abnormalen Aktivität verwendet werden. Allgemein wird das Verfahren 300 durch das Netzwerknutzungsanalysesystem 100 durchgeführt, wie es oben bei 1 und 2 beschrieben wurde. Als solches ist das Verfahren 300 als computerausführbare Programmanweisungen implementiert, die in einer Datenspeichervorrichtung gespeichert, über ein Übertragungsmedium transferiert und durch eine Verarbeitungsvorrichtung des Systems 100 ausgeführt werden können.
  • Wie in 3 gezeigt ist, kann das Verfahren bei Kästchen 310 beginnen, indem es einen Strom von Flussaufzeichnungen sammelt, die einem oder mehreren Beobachtungspunkten innerhalb eines Netzwerks zugeordnet sind. Wie oben erwähnt wurde, kann ein Beobachtungspunkt eine in dem Netzwerk angeordnete Netzwerkvorrichtung (d. h. eine „interne Netzwerkvorrichtung”), eine an der Grenze des Netzwerks angeordnete Netzwerkvorrichtung (d. h. eine „Grenznetzwerkvorrichtung”) oder eine zwischen zwei Netzwerkvorrichtungen angeordnete Verbindung umfassen. In manchen Fällen kann ein Beobachtungspunkt ferner ein Computersystem oder einen in dem Netzwerk angeordneten oder lediglich mit demselben gekoppelten Server umfassen.
  • Bei einem spezifischen Ausführungsbeispiel wird der Strom von Flussaufzeichnungen von einer oder mehreren Grenznetzwerkvorrichtungen (z. B. Rand- oder Grenzroutern) gesammelt. Mit anderen Worten kann das vorliegende Verfahren ein Sammeln von doppelten Flussaufzeichnungsströmen durch „Messen an den Rändern” des Netzwerks (d. h. durch Sammeln von Flussaufzeichnungsströmen dort, wo Verkehr entsteht oder endet) vermeiden, wodurch das Gesamtvolumen der gesammelten Daten verringert wird. Jedoch sollte ein derartiges Ausführungsbeispiel nicht so interpretiert werden, als beschränke es die Position von Beobachtungspunkten auf die Netzwerkgrenze. Stattdessen ermöglicht ein Messen an den Rändern, dass die Flussaufzeichnungsströme von einer beliebigen Anzahl von Beobachtungspunkten (z. B. von einem bis zu tausenden von Punkten), die im Wesentlichen irgendwo in dem Netzwerk angeordnet sind, erhalten werden können. Zusätzlich können gleichzeitig mehrere Flussaufzeichnungsströme zu im Wesentlichen jeder Tageszeit (d. h. unabhängig von der Netzwerknutzung) von einer beliebigen Anzahl von Beobachtungspunkten erhalten werden, ohne die Netzwerkleistungsfähigkeit zu beeinträchtigen.
  • Wie oben erwähnt wurde, kann der Strom von Flussaufzeichnungen während eines ersten Zeitintervalls durch das Datensammelsystem 120 (oder alternativ dazu das Sammelmodul 132) gesammelt werden. Bei einem Ausführungsbeispiel kann das Sammelsystem oder -modul konfiguriert sein, um lediglich diejenigen Abschnitte der Flussaufzeichnungen zu sammeln, die für ein bestimmtes statistisches Modul 134 relevant sind. Bei einem Beispiel können die einzigen Abschnitte (d. h. „Teilsatz von Daten”), die während des ersten Zeitintervalls gesammelt werden, eine Quellenkennung (z. B. eine Quellenadresse) und/oder eine Zielkennung (z. B. ein Ziel tor) sein. Folglich kann das Gesamtvolumen an gesammelten Daten stark verringert werden, indem von jeder Flussaufzeichnung in dem Strom lediglich ein Teilsatz an Daten gesammelt wird. Bei einem alternativen Ausführungsbeispiel kann jedoch die gesamte Flussaufzeichnung (und möglicherweise Abschnitte der Vekehrspaketdaten) zum Zweck einer zukünftigen Analyse gesammelt werden.
  • In dem Kästchen 320 werden ein oder mehrere statistische Ergebnisse erzeugt, indem die Flussaufzeichnungen (oder gesammelte Abschnitte derselben) gemäß einem Satz von Konfigurationsparametern gruppiert werden. Die Flussaufzeichnungen (oder gesammelte Abschnitte derselben) können auch nach Beobachtungspunkt gruppiert werden, wenn die Netzwerkaktivität an mehr als einem Beobachtungspunkt überwacht werden soll. Der Satz von Konfigurationsparametern kann den Teilsatz von Daten, die von jeder Flussaufzeichnung in dem Strom gesammelt werden sollen, und das erste Zeitintervall (während dessen der Teilsatz von Daten gesammelt werden soll) festlegen. Ferner kann der Satz von Konfigurationsparametern auch einen Typ des statistischen Modells bezeichnen, das zum Erzeugen der statistischen Ergebnisse verwendet werden soll, sowie eine oder mehrere Eigenschaften, die dem bezeichneten Typ des statistischen Modells zugeordnet sind.
  • Z. B. wird bei einem Ausführungsbeispiel während des ersten Zeitintervalls eventuell lediglich das Zieltor von jeder Flussaufzeichnung gesammelt. Bei einem derartigen Ausführungsbeispiel kann eine Verteilung ausgewählt sein, um die Anzahl von eindeutigen Zieltoren, die (pro Server) während des ersten Zeitintervalls adressiert werden, zu charakterisieren. 4A veranschaulicht ein exemplarisches statistisches Ergebnis (400), bei dem auf der Basis der Anzahl eindeutiger Zieltore (oder eindeutiger Tore, die lokal in jedem Server angeordnet sind), die während des ersten Zeitintervalls adressiert werden, lediglich die oberen N internen Server angezeigt werden. In manchen Fällen kann das statistische Ergebnis 400 zum Überwachen des Netzwerkverkehrs verwendet werden, der während des ersten Zeitintervalls an die oberen N Server gesendet wird. Folglich könnte das statistische Ergebnis 400 zum Erfassen einer abnormalen Netzwerkaktivität, die während des ersten Zeitintervalls auftreten kann, verwendet werden. Bei dem Ausführungsbeispiel der 4A z. B. kann auf Grund des abnormal hohen Verkehrsvolumens, das während des ersten Zeitintervalls an die Server „mail1” und „web3” gesendet wird, ein automatisierter Scandurchlauf für offene Tore (d. h. ein Torscandurchlauf) an den Servern „mail1” und „web3” vermutet werden.
  • Bei einem anderen Ausführungsbeispiel können die Quellenadresse und das Zieltor während des ersten Zeitintervalls von jeder Flussaufzeichnung gesammelt werden. Eine Verteilung kann ausgewählt werden, um die Anzahl eindeutiger Quellenadressen zu charakterisieren, die während des ersten Zeitintervalls Verkehr an eine relativ große Anzahl eindeutiger Zieltore senden. 4B veranschaulicht ein exemplarisches statistisches Ergebnis (410), das die Anzahl eindeutiger Quellenadressen anzeigt, die Netzwerkverkehr an mehr als 250 eindeutige Zieltore (oder lokale Tore) an jedem der oberen N Server senden. Wenn das statistische Ergebnis 410 zum Überwachen der Netzwerkaktivität verwendet wird, kann man vermuten, dass bis zum sechs Quellen einen Scanverkehr an die Server „mail1” und „web3” senden.
  • Bei dem Kästchen 330 werden die statistischen Ergebnisse bezüglich einer Überwachung der Netzwerkaktivität analysiert, die dem einen oder den mehreren Beobachtungspunkten (z. B. den oberen N Servern) zugeordnet ist. Wie oben erwähnt wurde, können die statistischen Ergebnisse in manchen Fällen dadurch analysiert werden, dass Charakteristika der statistischen Ergebnisse, die verdächtig oder abnormal erscheinen, vermerkt werden (man erinnere sich an das an die Server „mail1” und „web3” gesendete hohe Verkehrsvolumen). In anderen Fällen können die statistischen Ergebnisse je doch manipuliert werden, um so genannte „Analyseergebnisse” zu erzeugen, die dann zum Überwachen der Netzwerkaktivität, die einem oder mehreren der Beobachtungspunkte zugeordnet ist, verwendet werden können. Bei einem Beispiel können Analyseergebnisse erzeugt werden, indem eine Dichtefunktion auf die statistischen Ergebnisse angewandt wird (z. B. eine Wahrscheinlichkeits- oder Summendichtefunktion, wie sie in den 4C bzw. 4D gezeigt ist). Bei einem derartigen Beispiel kann die Netzwerkaktivität überwacht werden, indem die Analyseergebnisse mit einem vordefinierten, jedoch möglicherweise umkonfigurierbaren Maßstabswert verglichen werden.
  • In manchen Fällen kann eine abnormale Netzwerkaktivität aus den Analyseergebnissen erfasst werden, wenn das Ausmaß der Netzwerkaktivität, die an einen (oder von einem) Beobachtungspunkt gesendet wird, einen vordefinierten Schwellwert übersteigt. Der Schwellwert kann durch zusätzliche Computerprogrammanweisungen „automatisch” oder durch einen Benutzer des Netzwerknutzungsanalysesystems „manuell” ausgewählt werden und kann anschließend nach Wunsch geändert oder aktualisiert werden. Die vorliegende Erfindung eliminiert jegliches Ratespiel, das bei herkömmlichen Verfahren zum Einsatz kommt (bei dem ein festgelegter Schwellwert eventuell auf der Basis der persönlichen Erfahrung, einer Faustregel usw. ausgewählt wird), indem der Schwellwert als Prozentsatz der gesamten Netzwerkaktivität, die an den (oder von dem) Beobachtungspunkt gesendet wird, bezeichnet wird. Auf diese Weise kann der Schwellwert unabhängig von der Verteilungsform ausgewählt werden; somit müssen keine Annahmen darüber getroffen werden, ob die interessierende Variable (z. B. Netzwerkaktivität) normal verteilt oder anhand irgendeines anderen mathematisch abgeleiteten Mittels verteilt wird.
  • In anderen Fällen kann eine abnormale Netzwerkaktivität erfasst werden, wenn eine Charakteristik der Analyseergebnisse beträchtlich von einer Charakteristik abweicht, die be kanntermaßen einer „normalen” Netzwerkaktivität zugeordnet ist. Bei einem Beispiel kann die Netzwerkaktivität überwacht werden, indem eine Form (d. h. eine Hüllkurve) der Analyseergebnisse beobachtet wird. Bei einem derartigen Beispiel kann eine abnormale Netzwerkaktivität erfasst werden, wenn die beobachtete Form beträchtlich (z. B. mit einer Abweichung von mehr als 5 bis 20%) von einer vorbestimmten Form abweicht, die bekanntermaßen einer „normalen” Netzwerkaktivität zugeordnet ist. Bei einem anderen Beispiel kann die Netzwerkaktivität überwacht werden, indem ein Bereich unter der Hüllkurve berechnet wird oder indem eine Neigung der Analyseergebnisse an einer interessierenden Stelle gemessen wird. Als solches kann eine abnormale Netzwerkaktivität erfasst werden, wenn der berechnete Bereich oder die gemessene Neigung beträchtlich von vorbestimmten Bereichs- und Neigungswerten abweicht, die bekanntermaßen einer „normalen” Netzwerkaktivität zugeordnet sind. Es sei angemerkt, dass zum Erfassen einer abnormalen Aktivität auch andere Verfahren als die oben beschriebenen verwendet werden können.
  • Man beachte, dass die Begriffe „normale Netzwerkaktivität” und „abnormale Netzwerkaktivität” in einem relativen Sinn verwendet werden. Jegliche spezifizierten Werte oder Charakteristika einer Netzwerkaktivität, die entweder als „normal” oder „abnormal” unterschieden werden können, sind allgemein von der überwachten Netzwerkaktivität sowie von anderen Faktoren, z. B. der Tageszeit, zu der die Überwachung erfolgt, abhängig. Jedoch sind Fachleute in der Lage, entsprechende Werte oder Charakteristika, die gemäß ihrem Bezug auf eine bestimmte Anwendung einer „normalen” oder „abnormalen” Netzwerkaktivität entsprechen, vor dem Hintergrund der hierin bereitgestellten Offenbarung und ohne übermäßiges Experimentieren zu ermitteln.
  • Beispielsweise kann eine Netzwerkaktivität überwacht werden, um normative Verhaltensweisen für unterschiedliche Tageszeiten, unterschiedliche Wochentage usw. festzulegen.
  • Die normativen Verhaltensweisen können anschließend verwendet werden, um einen Maßstabswert (z. B. eine Schwelle, eine Neigung oder eine Form) oder möglicherweise mehrere Maßstabswerte zu bestimmen, die unterschiedlichen Zeiten, Tagen usw. entsprechen. Durch ein Speichern des Maßstabswerts bzw. der Maßstabswerte in einem Speicher kann eine anschließende Netzwerkaktivität überwacht werden, ohne dass das zuvor festgelegte normative Verhalten (d. h. vorherige statistische oder Analyseergebnisse) zu Vergleichszwecken gespeichert werden muss. Durch Speichern des Maßstabswerts bzw. der Maßstabswerte statt der statistischen oder Analyseergebnisse verringert das vorliegende Verfahren Speicher- und Prozessoranforderungen, die an das vorliegende System gestellt werden, beträchtlich. Jedoch können auch die statistischen oder Analyseergebnisse gespeichert werden, falls dies gewünscht wird.
  • 4C veranschaulicht ein Ausführungsbeispiel, bei dem das Analyseergebnis 420 erzeugt wird, indem eine Wahrscheinlichkeitsdichtefunktion auf die Daten angewendet wird, die anfänglich zum Erzeugen des statistischen Ergebnisses 410 gesammelt wurden. Als solches veranschaulicht das Analyseergebnis 420 die Anzahl von Teilnehmern (d. h. durch eindeutige Quellenadressen bezeichnet), die einen Verkehr an jedes der eindeutigen Zieltore an einem bestimmten Server (z. B. Server „mail1”) während des ersten Zeitintervalls beitragen. Bei dem Ausführungsbeispiel der 4C kann ein Torscandurchlauf vermutet werden, wenn eine Aktivitätsspitze beobachtet wird, z. B. um das 99ste Perzentil der Gesamtanzahl von Zieltoren.
  • 4D veranschaulicht ein Ausführungsbeispiel, bei dem das Analyseergebnis 430 erzeugt wird, indem eine Summendichtefunktion auf die Daten angewendet wird, die anfänglich zum Erzeugen des statistischen Ergebnisses 410 gesammelt wurden. Als solches veranschaulicht das Analyseergebnis 430 den Prozentsatz von Teilnehmern (d. h. durch eindeutige Quellenadressen bezeichnet), die einen Verkehr an we niger als eine bestimmte Anzahl eindeutiger Zieltore an einem bestimmten Server (z. B. Server „mail1”) während des ersten Zeitintervalls beitragen. Bei dem Ausführungsbeispiel der 4D kann eine abnormale Aktivität z. B. erfasst werden, wenn der Prozentsatz an Teilnehmern, die einen Verkehr zu weniger als 10 eindeutigen Zieltoren beitragen, von 95 auf etwa 80 abnimmt. Mit anderen Worten nahm der Prozentsatz an Teilnehmern, die einen Verkehr zu mehr als 10 eindeutigen Zieltoren beitragen, von etwa 5 auf etwa 20 zu.
  • Auf Grund des hohen Volumens und der hohen Geschwindigkeit, mit dem bzw. mit der der Datenstrom einem Speichersystem präsentiert würde, sowie auf Grund der hohen Kosten einer derartigen umfassenden Speicherung ist es eventuell nicht durchführbar, alle Dimensionen eines Hochimpuls-Datenstroms (z. B. eines Flussaufzeichnungsstroms) aufzuzeichnen. Nachdem normative Verhaltensweisen oder Charakteristika des Hochimpuls-Datenstroms festgelegt wurden, liefert das vorliegende Verfahren somit eine erfinderische Technik zum dynamischen Erforschen bestimmter Abweichungen von diesen Normen, ohne dass der Datenstrom gespeichert werden muss. Obwohl diese Technik bezüglich eines Entdeckens von extrem außergewöhnlichen Ereignissen etwas ineffektiv sein mag, eignet sie sich ideal zum Erfassen und Erforschen von Mustern in einem Strom. Glücklicherweise lassen sich viele Arten einer Netzwerkaktivität als in ein Muster einordenbares Verhalten charakterisieren. Zusätzlich zu einer Aktivität, die nicht auf die Netzwerksicherheit bezogen ist (z. B. Netzwerkstau), umfassen Beispiele einer derartigen Netzwerkaktivität mehrere Arten eines Angriffs (z. B. Flutangriffe), eines Missbrauchs (z. B. von Teilnehmern betriebene Server) und eines Diebstahls (z. B. Adress-Spoofing). Da Mustern repetitiv sind, ermöglicht die Technik, dass eine verdächtige oder abnormale Netzwerkaktivität zu einem bestimmten Zeitpunkt in der Zukunft näher erforscht wird. Da die Erforschung stattfindet, während wir uns in der Zeit nicht rückwärts, sondern vorwärts bewegen, wird die Technik hierin als „Vorwärtsbohren” („drill forward”) bezeichnet.
  • Für die Zwecke dieser Erörterung bezieht sich der Begriff „Vorwärtsbohren” auf den Prozess des Gewinnens zusätzlicher Informationen (z. B. Daten einer höheren Granularität) über einen bestimmten Beobachtungspunkt (z. B. einen bestimmten Netzwerkknoten, Hostserver oder Teilnehmer) von einem Echtzeitstrom von Flussaufzeichnungen, NACHDEM eine Analyse von Daten, die zuvor aus dem Strom gesammelt wurden, bewirkt, dass man bezüglich des Beobachtungspunkts misstrauisch wird. Allgemein gesagt ermöglicht die Technik des Vorwärtsbohrens eine Echtzeituntersuchung einer abnormalen Netzwerkaktivität, indem eine Echtzeit-Modifizierung von Erfassungsmodul-Konfigurationsparametern ermöglicht wird. Obwohl die Technik des Vorwärtsbohrens im Zusammenhang mit der Netzwerksicherheit beschrieben wurde, kann die Technik auch angewendet werden, um jeden anderen Bereich der Netzwerknutzung zu untersuchen.
  • Wenn in dem Kästchen 340 eine abnormale Aktivität erfasst wird, kann der Satz von Konfigurationsparametern in dem Kästchen 350 modifiziert werden, um ein Vergrößerungsniveau, anhand dessen ein Teilsatz der Netzwerkaktivität anschließend überwacht wird, abzuändern. Dieser Teilsatz ist allgemein der in dem Kästchen 340 erfassten abnormalen Aktivität zugeordnet. Wenn jedoch keine abnormale Aktivität erfasst wird, kann das Vergrößerungsniveau beibehalten (oder nach Wunsch angepasst werden), während der Vorgang des Sammelns, Erzeugens, Analysierens und Erfassens für einen nachfolgenden Strom von Flussaufzeichnungen (im Kästchen 310) wiederholt wird.
  • In manchen Fällen kann das „Vergrößerungsniveau” abgeändert werden, um einen anschließenden Strom von Flussaufzeichnungen (d. h. Flussaufzeichnungen, die während eines anschließenden Zeitintervalls erhalten werden) auf leicht unterschiedliche Weise zu charakterisieren. Beispielsweise kann das statistische Ergebnis 410 erzeugt worden sein, nachdem der Satz von Konfigurationsparametern modifiziert wurde, um zusätzliche Daten (z. B. um die Quellenadresse) aus einem nachfolgenden Strom von Flussaufzeichnungen zu sammeln, zusätzlich zu dem Zieltor, das gesammelt wird, um das statistische Ergebnis 400 zu erzeugen. Folglich kann der nachfolgende Strom von Flussaufzeichnungen ausführlicher gesammelt, und somit kann eine nachfolgende Mehrzahl von statistischen Ergebnissen ausführlicher erzeugt werden, als sie zuvor gesammelt und erzeugt wurden. In manchen Fällen kann die Art der abnormalen Netzwerkaktivität durch Abändern des Vergrößerungsniveaus ermittelt werden.
  • In anderen Fällen kann das „Vergrößerungsniveau” jedoch abgeändert werden, um sich auf einen bestimmten Teilsatz des Flussaufzeichnungsstroms, in dem die abnormale Netzwerkaktivität auftrat, zu konzentrieren. Beispielsweise kann eine abnormale Aktivität aus dem Analyseergebnis 430 erfasst (oder zumindest vermutet) werden. Um eine bessere Betrachtung der abnormalen Aktivität zu erhalten, kann der Satz von Konfigurationsparametern modifiziert werden, um sich auf den Teilsatz von Teilnehmern zu konzentrieren, die einen Verkehr an die größte Anzahl von eindeutigen Zieltoren senden. Beispielsweise kann der Satz von Konfigurationsparametern modifiziert werden, um zusätzlich zu den zuvor gesammelten Flussaufzeichnungsfeldern Teilnehmer-ID-Nummern zu sammeln. Folglich kann bestimmt werden, dass ein bestimmter Teilnehmer oder ein Teilsatz von Teilnehmern eine Quelle der abnormalen Netzwerkaktivität ist.
  • In manchen Fällen kann es jedoch notwendig sein, die Schritte des Sammelns (Kästchen 310), des Erzeugens (Kästchen 320), des Analysierens (Kästchen 330) und des Modifizierens (Kästchen 340) über einen oder mehrere aufeinander folgende Zeitintervalle zu wiederholen, um die Quelle der abnormalen Netzwerkaktivität erfolgreich auf einen oder mehrere der Beobachtungspunkte (d. h. bei dem aktuellen Beispiel auf einen oder mehrere Teilnehmer) genau zu bestim men. Anders als viele herkömmliche Techniken ermöglicht das vorliegende Verfahren jedoch, dass eine Quelle der abnormalen Netzwerkaktivität genau bestimmt wird, ohne dass zusätzliche Netzwerkressourcen, z. B. Netzwerksonden und -bahnen, verwendet werden.
  • Wie oben beschrieben wurde, liefert das vorliegende Verfahren eine Echtzeiterfassung und -untersuchung einer abnormalen Netzwerkaktivität. Auf dem Gebiet der Netzwerksicherheit kann das vorliegende Verfahren beispielsweise zum Erfassen von Ereignisvorläufern (z. B. Tor- oder Adressscandurchläufen) verwendet werden, die eventuell einen frühen Hinweis auf einen bevorstehenden Angriff liefern. Ein derartiger früher Hinweis kann einen Netzwerktechniker in die Lage versetzen, den Schaden, der durch den Angriff verursacht wird, zu minimieren, oder möglicherweise den bevorstehenden Angriff gänzlich zu verhindern. Ferner kann das vorliegende Verfahren verwendet werden, um eine Echtzeiterfassung verschiedener Arten von Angriffen, von Missbrauch, Betrug und Diebstahl zu liefern, indem die Erfassungsmodule auf geeignete Weise konfiguriert werden.
  • Bei einem Beispiel veranschaulicht 5 exemplarische statistische Ergebnisse, die zum Erfassen von Flutangriffen verwendet werden können. Insbesondere stellt 5 das Verhältnis der angebotenen Belastung zur Kanalkapazität für die oberen N Teilnehmer-IDs graphisch dar. Ein Verhältnis von mehr als etwa 1,0 für jeglichen längeren Zeitraum kann ein Hinweis auf das Vorliegen eines Flutangriffs sein.
  • Bei einem weiteren Beispiel veranschaulicht 6 exemplarische statistische Ergebnisse, die zum Erfassen eines missbräuchlichen Vorgangs, der als „Adress-Spoofen” bezeichnet wird, bei dem der sendende Teilnehmer seine eigene IP-Adresse verbirgt, indem er sie zu einer beliebigen anderen Adresse abändert, verwendet werden. Bei dem Beispiel der 6 kann die Anzahl von Flüssen zu einer Netzwerkressource nachverfolgt werden, wo die Quellen-IP-Adresse zu einer Adresse innerhalb der durch die IANA (Internet Assigned Numbers Authority) reservierten Adressblöcke gespooft wurde. Da außer der IANA niemandem der Zugriff auf diese reservierten Adressblöcke gestattet ist, kann eine große Anzahl von Flüssen zu einer IANA-Adresse ein Hinweis auf das Vorliegen eines Adress-Spoofens sein.
  • Bei einem wieder anderen Beispiel veranschaulichen die 7A7E exemplarische statistische Ergebnisse, die zum Erfassen eines Missbrauchs einer Teilnehmerbandbreite verwendet werden können. Wie oben erwähnt wurde, verfügen viele Dienstanbieter über Vereinbarungen mit Endbenutzern, die die Verwendung von durch Teilnehmer betriebenen Servern verbieten. 7A ist ein Graph, der die oberen N Teilnehmerservertore veranschaulicht, die nach Verkehrsvolumen sortiert sind. 7B stellt dieselben Informationen anders dar (d. h. indem die Eigenschaft des statistischen Modells zu einer logarithmischen Verteilung abgeändert wird), um die niedriger rangierenden Tore besser sehen zu können. 7A und 7B heben die Teilnehmerservertore hervor, die den Verkehr mit dem größten Volumen in dem Netzwerk erzeugen.
  • Nun da wir eine in eine Prioritätenrangfolge gebrachte Liste der problematischsten Servertore haben, können die oberen N Teilnehmer, die zu dem Verkehr an einem bestimmten Servertor (z. B. Tor 1214, Kazaa) beitragen, genau bestimmt werden, wie in 7C gezeigt ist, indem nach dem nächsten Zeitintervall ein oder mehrere Erfassungsmodule dynamisch umkonfiguriert werden. Nun da ein kleiner Teilsatz von Teilnehmern als Quelle eines Verkehrs an einigen Servertoren identifiziert wurde, können die Erfassungsmodule noch einmal dynamisch umkonfiguriert werden, um Nachforschungen über einen bestimmten Teilnehmer anzustellen, wie in 7D und 7E gezeigt ist. 7D zeigt die oberen N aktiven Servertore nach Volumen für den Teilnehmer (S411-66-13), von dem man feststellte, dass er zu dem größten Verkehrsvolumen beiträgt, 7C. 7E zeigt die oberen N aktiven Servertore nach Volumen und Richtung für den Teilnehmer S411-66-13.
  • Programmanweisungen, die Verfahren wie z. B. die oben beschriebenen implementieren, können über ein Trägermedium gesendet oder auf einem solchen gespeichert werden. Das Trägermedium kann ein Übertragungsmedium wie z. B. ein Draht, ein Kabel oder eine drahtlose Übertragungsverbindung oder auch ein Signal sein, das an einem solchen Draht, Kabel oder einer solchen Verbindung entlang wandert. Das Trägermedium kann auch ein Speichermedium sein, z. B. ein Nur-Lese-Speicher, ein Direktzugriffsspeicher, eine Magnet- oder optische Platte oder ein Magnetband.
  • Bei einem Ausführungsbeispiel kann ein Prozessor konfiguriert sein, um die Programmanweisungen, ein computerausführbares Verfahren gemäß den obigen Ausführungsbeispielen durchzuführen, auszuführen. Der Prozessor kann verschiedene Formen aufweisen, einschließlich eines Personal-Computer-Systems, eines Hauptrechnersystems, einer Arbeitsstation (Workstation), einer Netzwerkvorrichtung, einer Internet-Vorrichtung, eines persönlichen digitalen Assistenten („PDA”), eines Fernsehsystems oder einer anderen Vorrichtung. Allgemein kann der Begriff „Computersystem” grob so definiert werden, dass es jegliche Vorrichtung umfasst, die einen Prozessor aufweist und die Anweisungen von einem Speichermedium ausführt.
  • Die Programmanweisungen können auf verschiedene Weisen implementiert werden, einschließlich Techniken auf Verfahrensbasis, Techniken auf Komponentenbasis und/oder objektorientierter Techniken u. a. Beispielsweise können die Programmanweisungen unter Verwendung von ActiveX-Steuerungen, C++-Objekten, JavaBeans, Microsoft Foundation Classes („MFC”) oder anderer Technologien oder Methodologien implementiert werden, je nachdem, was gewünscht wird.
  • Die obige Erörterung soll die Prinzipien und verschiedenen Ausführungsbeispiele der vorliegenden Erfindung veranschaulichen. Haben Fachleute die obige Offenbarung vollständig verstanden, werden ihnen zahlreiche Variationen und Modifikationen einleuchten. Obwohl ein System und Verfahren vorwiegend im Zusammenhang mit der Netzwerksicherheit beschrieben wurden, könnten das System und Verfahren auch dazu verwendet werden, im Wesentlichen jedes Muster einer Netzwerk-„Nutzung”, -„Aktivität”, -„Charakteristik” oder -„Verhaltensweise” zu erfassen. Beispielsweise könnten das System und Verfahren zum Erfassen von Quellen eines Netzwerkstaus verwendet werden. Es wird beabsichtigt, dass die folgenden Patentansprüche so interpretiert werden, dass sie alle derartigen Variationen und Modifikationen umfassen.

Claims (28)

  1. System, das mit einem Netzwerk gekoppelt ist, wobei das System folgende Merkmale aufweist: ein Sammelmodul (132) zum Sammeln eines Stroms von Flussaufzeichnungen von einem Beobachtungspunkt in dem Netzwerk, wobei der Strom von Flussaufzeichnungen gemäß einem ersten Satz von Konfigurationsparametern gesammelt wird; ein statistisches Modul (134) zum Erzeugen eines statistischen Ergebnisses aus dem Strom von Flussaufzeichnungen, während jede Flussaufzeichnung gesammelt wird, wobei das statistische Ergebnis gemäß einem zweiten Satz von Konfigurationsparametern erzeugt wird; ein Analysemodul (136) zum Analysieren des statistischen Ergebnisses, um eine dem Beobachtungspunkt zugeordnete Netzwerkaktivität zu überwachen, wobei das statistische Ergebnis gemäß einem dritten Satz von Konfigurationsparametern analysiert wird; und wobei das System ausgebildet ist, um bei Erfassung einer abnormalen Aktivität durch das Analysemodul den ersten, zweiten und dritten Satz von Konfigurationsparametern zu einem beliebigen Zeitpunkt nach der Erfassung derart zu modifizieren, dass ein Vergrößerungsniveau, anhand dessen ein Teilsatz der Netzwerkaktivität anschließend überwacht wird, abgeändert wird.
  2. System gemäß Anspruch 1, bei dem der Teilsatz einer Netzwerkaktivität einem Teil der Netzwerkaktivität entspricht, bei dem die abnormale Aktivität auftrat.
  3. System gemäß Anspruch 2, das ferner ein oder mehrere Erfassungsmodule (135) aufweist, wobei jedes das Sammelmodul (132) und zumindest entweder das statistische Modul (134) und/oder das Analysemodul (136) umschließt, wobei das eine oder die mehreren Erfassungsmodule mit computerausführbaren Programmanweisungen implementiert sind.
  4. System gemäß Anspruch 3, bei dem das System ferner eine Datenspeichervorrichtung zum Speichern der computerausführbaren Programmanweisungen und eine Verarbeitungsvorrichtung zum Ausführen der computerausführbaren Programmanweisungen aufweist.
  5. System gemäß einem der Ansprüche 1 bis 4, bei dem eine mit dem System gekoppelte Benutzerschnittstelle konfiguriert ist, um zumindest entweder das statistische Ergebnis und/oder ein Analyseergebnis desselben graphisch darzustellen und Benutzerbefehle zum Modifizieren des ersten, des zweiten und des dritten Satzes von Konfigurationsparametern anzunehmen.
  6. System gemäß einem der Ansprüche 1 bis 5, bei dem das Sammelmodul (132) konfiguriert ist, um den Strom von Flussaufzeichnungen von einer Netzwerkvorrichtung zu sammeln, die in dem Netzwerk angeordnet und dem Beobachtungspunkt zugeordnet ist.
  7. System gemäß Anspruch 6, bei dem der Beobachtungspunkt eine Netzwerkvorrichtung umfasst.
  8. System gemäß Anspruch 6 oder 7, bei dem der Beobachtungspunkt eine in dem Netzwerk angeordnete zusätzliche Netzwerkvorrichtung umfasst.
  9. System gemäß einem der Ansprüche 6 bis 8, bei dem der Beobachtungspunkt eine zwischen der Netzwerkvorrichtung und der zusätzlichen Netzwerkvorrichtung angeordnete Verbindung umfasst.
  10. System gemäß einem der Ansprüche 1 bis 9, bei dem der erste Satz von Konfigurationsparametern einen Teilsatz von Daten, die aus jeder Flussaufzeichnung in dem Strom gesammelt werden sollen, und ein Zeitintervall, während dessen der Teilsatz von Daten zu sammeln ist, bezeichnet.
  11. System gemäß Anspruch 10, bei dem der Teilsatz von Daten einem oder mehreren Aufzeichnungsereignisfeldern entspricht, die aus einer Gruppe ausgewählt sind, die eine Quellenkennung, eine Zielkennung, eine Startzeit, eine Endzeit und eine oder mehrere Verkehrsstatistiken umfasst.
  12. System gemäß Anspruch 10 oder 11, bei dem das Zeitintervall aus einer Bandbreite von programmierbaren Zeitwerten ausgewählt ist, die zwischen etwa einer Sekunde und etwa dreißig Tagen liegen.
  13. System gemäß einem der Ansprüche 10 bis 12, bei dem das statistische Modul (134) konfiguriert ist, um das statistische Ergebnis während des Zeitintervalls zu erzeugen, während jeder Teilsatz von Daten aus dem Strom von Flussaufzeichnungen gesammelt wird.
  14. System gemäß Anspruch 13, bei dem der zweite Satz von Konfigurationsparametern einen Typ eines statistischen Modells, das zum Erzeugen des statistischen Ergebnisses verwendet werden soll, und zusätzlich dazu eine oder mehrere Eigenschaften, die dem bezeichneten Typ des statistischen Modells zugeordnet sind, bezeichnet.
  15. System gemäß Anspruch 13 oder 14, bei dem das Analysemodul (136) konfiguriert ist, um das statistische Ergebnis auf eine Beendigung des Zeitintervalls hin zu analysieren.
  16. System gemäß Anspruch 15, bei dem der dritte Satz von Konfigurationsparametern einen Typ eines Analysemodells, das zum Analysieren des statistischen Ergebnisses ver wendet werden soll, und zusätzlich dazu eine oder mehrere Eigenschaften, die dem bezeichneten Typ des Analysemodells zugeordnet sind, bezeichnet.
  17. System gemäß einem der Ansprüche 1 bis 16, bei dem das Vergrößerungsniveau dadurch geändert wird, dass zumindest einer der ersten, der zweiten und der dritten Konfigurationsparameter dahingehend modifiziert wird, dass er einen nachfolgenden Strom von Flussaufzeichnungen auf unterschiedliche Weise sammelt, erzeugt beziehungsweise analysiert.
  18. Computerausführbares Verfahren zum genauen Bestimmen einer Quelle einer abnormalen Netzwerkaktivität, wobei das Verfahren folgende Schritte umfasst: Sammeln eines Stroms von Flussaufzeichnungen, die einer Mehrzahl von Beobachtungspunkten in einem Netzwerk zugeordnet sind, während eines ersten Zeitintervalls; Erzeugen einer Mehrzahl statistischer Ergebnisse, indem die Flussaufzeichnungen, während jede Flussaufzeichnung gesammelt wird, nach Beobachtungspunkt und gemäß einem Satz von Konfigurationsparametern gruppiert werden; Analysieren der Mehrzahl statistischer Ergebnisse auf eine Beendigung des ersten Zeitintervalls hin, um eine jedem der Mehrzahl von Beobachtungspunkten zugeordnete Netzwerkaktivität zu überwachen; Modifizieren des Satzes von Konfigurationsparametern, falls während des Analyseschritts eine abnormale Netzwerkaktivität erfasst wird, um ein Vergrößerungsniveau, anhand dessen ein Teilsatz der Netzwerkaktivität anschließend überwacht wird, zu ändern; und Wiederholen der Schritte des Sammelns, Erzeugens, Analysierens und Modifizierens über ein oder mehrere aufein ander folgende Zeitintervalle hinweg, bis die Quelle der abnormalen Netzwerkaktivität auf einen oder mehrere der Mehrzahl von Beobachtungspunkten genau bestimmt ist.
  19. Computerausführbares Verfahren gemäß Anspruch 18, bei dem die Mehrzahl von Beobachtungspunkten eine Mehrzahl von Netzwerkvorrichtungen umfasst, die in dem Netzwerk, an einer Grenze des Netzwerks, oder beides, angeordnet sind.
  20. Computerausführbares Verfahren gemäß Anspruch 19, bei dem die Mehrzahl von Beobachtungspunkten ferner eine Mehrzahl von zwischen der Mehrzahl von Netzwerkvorrichtungen angeordneten Verbindungen umfasst.
  21. Computerausführbares Verfahren gemäß einem der Ansprüche 18 bis 20, bei dem der Satz von Konfigurationsparametern einen Teilsatz von Daten, die aus jeder Flussaufzeichnung in dem Strom gesammelt werden sollen, das erste Zeitintervall, während dessen der Teilsatz von Daten gesammelt werden soll, einen Typ eines statistischen Modells, das zum Erzeugen der statistischen Ergebnisse verwendet werden soll, und eine oder mehrere Eigenschaften, die dem bezeichneten Typ des statistischen Modells zugeordnet sind, bezeichnet.
  22. Computerausführbares Verfahren gemäß einem der Ansprüche 18 bis 21, bei dem das Analysieren eine Mehrzahl von Analyseergebnissen erzeugt, indem für jedes der Mehrzahl von statistischen Ergebnissen eine Dichtefunktion berechnet wird.
  23. Computerausführbares Verfahren gemäß Anspruch 22, bei dem das Analysieren eine Netzwerkaktivität überwacht, indem die Mehrzahl von Analyseergebnissen mit einem vordefinierten Schwellwert verglichen wird.
  24. Computerausführbares Verfahren gemäß Anspruch 22 oder 23, bei dem das Analysieren eine Netzwerkaktivität überwacht, indem die Mehrzahl von Analyseergebnissen mit einer vorbestimmten Form verglichen wird.
  25. Computerausführbares Verfahren gemäß einem der Ansprüche 22 bis 24, bei dem das Analysieren eine Netzwerkaktivität überwacht, ohne zu erfordern, dass vorherige statistische oder Analyseergebnisse zu Vergleichszwecken gespeichert werden.
  26. Computerausführbares Verfahren gemäß einem der Ansprüche 18 bis 25, bei dem das Modifizieren ermöglicht, dass ein nachfolgender Strom von Flussaufzeichnungen ausführlicher gesammelt wird, und dass eine nachfolgende Mehrzahl von statistischen Ergebnissen ausführlicher erzeugt wird, als sie zuvor gesammelt und erzeugt wurden.
  27. Computerverwendbares Medium, das folgende Merkmale aufweist: einen ersten Satz von Programmanweisungen, die an einem Computersystem ausführbar sind, um einen Strom von Flussaufzeichnungen aus einer Mehrzahl von Beobachtungspunkten in einem Netzwerk zu sammeln; einen zweiten Satz von Programmanweisungen, die an einem Computersystem ausführbar sind, um eine Mehrzahl von statistischen Ergebnissen zu erzeugen, indem die Flussaufzeichnungen, während jede Flussaufzeichnung gesammelt wird, nach Beobachtungspunkt und gemäß einem Satz von Konfigurationsparametern gruppiert werden; einen dritten Satz von Programmanweisungen, die an einem Computersystem ausführbar sind, um die Mehrzahl von statistischen Ergebnissen zu analysieren, um eine Netzwerkaktivität, die jedem der Mehrzahl von Beobachtungspunkten zugeordnet ist, zu überwachen; und wobei der Satz von Konfigurationsparametern durch das Computersystem umkonfiguriert werden kann, nachdem durch den dritten Satz von Programmanweisungen eine abnormale Aktivität erfasst wird, um ein Vergrößerungsniveau, anhand dessen ein Teilsatz der Netzwerkaktivität nachfolgend überwacht wird, zu verändern.
  28. Computerverwendbares Medium gemäß Anspruch 27, wobei das computerverwendbare Medium eine Speichervorrichtung, eine Verarbeitungsvorrichtung oder ein Übertragungsmedium umfasst.
DE102005010923A 2004-04-05 2005-03-09 System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität Expired - Fee Related DE102005010923B4 (de)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US55980804P 2004-04-05 2004-04-05
US60/559,808 2004-04-05
US11/021,942 US20050234920A1 (en) 2004-04-05 2004-12-22 System, computer-usable medium and method for monitoring network activity
US11/021,942 2004-12-22

Publications (2)

Publication Number Publication Date
DE102005010923A1 DE102005010923A1 (de) 2005-10-27
DE102005010923B4 true DE102005010923B4 (de) 2010-12-23

Family

ID=35062394

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102005010923A Expired - Fee Related DE102005010923B4 (de) 2004-04-05 2005-03-09 System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität

Country Status (2)

Country Link
US (1) US20050234920A1 (de)
DE (1) DE102005010923B4 (de)

Families Citing this family (97)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8700671B2 (en) 2004-08-18 2014-04-15 Siemens Aktiengesellschaft System and methods for dynamic generation of point / tag configurations
US7263464B1 (en) * 2004-08-27 2007-08-28 Tonic Software, Inc. System and method for monitoring events in a computing environment
US20060092851A1 (en) * 2004-10-29 2006-05-04 Jeffrey Forrest Edlund Method and apparatus for communicating predicted future network requirements of a data center to a number of adaptive network interfaces
US8442938B2 (en) * 2005-01-14 2013-05-14 Siemens Aktiengesellschaft Child data structure update in data management system
US7561569B2 (en) * 2005-07-11 2009-07-14 Battelle Memorial Institute Packet flow monitoring tool and method
US8099674B2 (en) 2005-09-09 2012-01-17 Tableau Software Llc Computer systems and methods for automatically viewing multidimensional databases
US8266696B2 (en) * 2005-11-14 2012-09-11 Cisco Technology, Inc. Techniques for network protection based on subscriber-aware application proxies
US7975044B1 (en) * 2005-12-27 2011-07-05 At&T Intellectual Property I, L.P. Automated disambiguation of fixed-serverport-based applications from ephemeral applications
US10108905B2 (en) * 2006-03-13 2018-10-23 Comcast Cable Communications, Llc Improving an electronic system based on capacity demands of a network device
US7999809B2 (en) 2006-04-19 2011-08-16 Tableau Software, Inc. Computer systems and methods for automatic generation of models for a dataset
US8488447B2 (en) 2006-06-30 2013-07-16 Centurylink Intellectual Property Llc System and method for adjusting code speed in a transmission path during call set-up due to reduced transmission performance
US8184549B2 (en) 2006-06-30 2012-05-22 Embarq Holdings Company, LLP System and method for selecting network egress
US9094257B2 (en) 2006-06-30 2015-07-28 Centurylink Intellectual Property Llc System and method for selecting a content delivery network
US8717911B2 (en) 2006-06-30 2014-05-06 Centurylink Intellectual Property Llc System and method for collecting network performance information
US8289965B2 (en) 2006-10-19 2012-10-16 Embarq Holdings Company, Llc System and method for establishing a communications session with an end-user based on the state of a network connection
US9003292B2 (en) * 2006-07-06 2015-04-07 LiveAction, Inc. System and method for network topology and flow visualization
US8549405B2 (en) 2006-08-22 2013-10-01 Centurylink Intellectual Property Llc System and method for displaying a graphical representation of a network to identify nodes and node segments on the network that are not operating normally
US8743703B2 (en) 2006-08-22 2014-06-03 Centurylink Intellectual Property Llc System and method for tracking application resource usage
US7684332B2 (en) 2006-08-22 2010-03-23 Embarq Holdings Company, Llc System and method for adjusting the window size of a TCP packet through network elements
US8223655B2 (en) 2006-08-22 2012-07-17 Embarq Holdings Company, Llc System and method for provisioning resources of a packet network based on collected network performance information
US7843831B2 (en) 2006-08-22 2010-11-30 Embarq Holdings Company Llc System and method for routing data on a packet network
US8238253B2 (en) 2006-08-22 2012-08-07 Embarq Holdings Company, Llc System and method for monitoring interlayer devices and optimizing network performance
US9479341B2 (en) 2006-08-22 2016-10-25 Centurylink Intellectual Property Llc System and method for initiating diagnostics on a packet network node
US8189468B2 (en) 2006-10-25 2012-05-29 Embarq Holdings, Company, LLC System and method for regulating messages between networks
US8224255B2 (en) 2006-08-22 2012-07-17 Embarq Holdings Company, Llc System and method for managing radio frequency windows
US8750158B2 (en) 2006-08-22 2014-06-10 Centurylink Intellectual Property Llc System and method for differentiated billing
US8537695B2 (en) 2006-08-22 2013-09-17 Centurylink Intellectual Property Llc System and method for establishing a call being received by a trunk on a packet network
US8223654B2 (en) * 2006-08-22 2012-07-17 Embarq Holdings Company, Llc Application-specific integrated circuit for monitoring and optimizing interlayer network performance
US8576722B2 (en) 2006-08-22 2013-11-05 Centurylink Intellectual Property Llc System and method for modifying connectivity fault management packets
US8531954B2 (en) 2006-08-22 2013-09-10 Centurylink Intellectual Property Llc System and method for handling reservation requests with a connection admission control engine
US8619600B2 (en) 2006-08-22 2013-12-31 Centurylink Intellectual Property Llc System and method for establishing calls over a call path having best path metrics
US8199653B2 (en) 2006-08-22 2012-06-12 Embarq Holdings Company, Llc System and method for communicating network performance information over a packet network
US8274905B2 (en) 2006-08-22 2012-09-25 Embarq Holdings Company, Llc System and method for displaying a graph representative of network performance over a time period
US8144587B2 (en) 2006-08-22 2012-03-27 Embarq Holdings Company, Llc System and method for load balancing network resources using a connection admission control engine
US8015294B2 (en) 2006-08-22 2011-09-06 Embarq Holdings Company, LP Pin-hole firewall for communicating data packets on a packet network
US8064391B2 (en) 2006-08-22 2011-11-22 Embarq Holdings Company, Llc System and method for monitoring and optimizing network performance to a wireless device
US8307065B2 (en) 2006-08-22 2012-11-06 Centurylink Intellectual Property Llc System and method for remotely controlling network operators
US8407765B2 (en) 2006-08-22 2013-03-26 Centurylink Intellectual Property Llc System and method for restricting access to network performance information tables
US8130793B2 (en) 2006-08-22 2012-03-06 Embarq Holdings Company, Llc System and method for enabling reciprocal billing for different types of communications over a packet network
US8228791B2 (en) 2006-08-22 2012-07-24 Embarq Holdings Company, Llc System and method for routing communications between packet networks based on intercarrier agreements
US7991899B2 (en) * 2006-09-12 2011-08-02 Morgan Stanley Systems and methods for establishing rules for communication with a host
US8260783B2 (en) * 2007-02-27 2012-09-04 Siemens Aktiengesellschaft Storage of multiple, related time-series data streams
US8185953B2 (en) * 2007-03-08 2012-05-22 Extrahop Networks, Inc. Detecting anomalous network application behavior
JPWO2008126325A1 (ja) * 2007-03-30 2010-07-22 富士通株式会社 クラスタシステム、ソフトウェア更新方法、サービス提供ノード、およびサービス提供用プログラム
US8447855B2 (en) * 2007-08-08 2013-05-21 Radware, Ltd. Method, system and computer program product for preventing SIP attacks
KR100935861B1 (ko) * 2007-11-12 2010-01-07 한국전자통신연구원 네트워크 보안 위험도 예측 방법 및 장치
US20090154363A1 (en) 2007-12-18 2009-06-18 Josh Stephens Method of resolving network address to host names in network flows for network device
US7433960B1 (en) * 2008-01-04 2008-10-07 International Business Machines Corporation Systems, methods and computer products for profile based identity verification over the internet
US8068425B2 (en) 2008-04-09 2011-11-29 Embarq Holdings Company, Llc System and method for using network performance information to determine improved measures of path states
FR2932043B1 (fr) * 2008-06-03 2010-07-30 Groupe Ecoles Telecomm Procede de tracabilite et de resurgence de flux pseudonymises sur des reseaux de communication, et procede d'emission de flux informatif apte a securiser le trafic de donnees et ses destinataires
US9094444B2 (en) * 2008-12-31 2015-07-28 Telecom Italia S.P.A. Anomaly detection for packet-based networks
US9264321B2 (en) * 2009-12-23 2016-02-16 Juniper Networks, Inc. Methods and apparatus for tracking data flow based on flow state values
US8645377B2 (en) * 2010-01-15 2014-02-04 Microsoft Corporation Aggregating data from a work queue
US8923158B2 (en) * 2010-05-27 2014-12-30 Solarwinds Worldwide, Llc Smart traffic optimization
JP5674954B2 (ja) * 2011-09-12 2015-02-25 株式会社日立製作所 ストリームデータの異常検知方法および装置
US9323923B2 (en) 2012-06-19 2016-04-26 Deja Vu Security, Llc Code repository intrusion detection
US20140041032A1 (en) * 2012-08-01 2014-02-06 Opera Solutions, Llc System and Method for Detecting Network Intrusions Using Statistical Models and a Generalized Likelihood Ratio Test
WO2015047126A1 (en) * 2013-09-27 2015-04-02 Emc Corporation Dynamic malicious application detection in storage systems
US9424318B2 (en) 2014-04-01 2016-08-23 Tableau Software, Inc. Systems and methods for ranking data visualizations
US20150278214A1 (en) 2014-04-01 2015-10-01 Tableau Software, Inc. Systems and Methods for Ranking Data Visualizations Using Different Data Fields
US9613102B2 (en) 2014-04-01 2017-04-04 Tableau Software, Inc. Systems and methods for ranking data visualizations
US10050985B2 (en) 2014-11-03 2018-08-14 Vectra Networks, Inc. System for implementing threat detection using threat and risk assessment of asset-actor interactions
US9300554B1 (en) 2015-06-25 2016-03-29 Extrahop Networks, Inc. Heuristics for determining the layout of a procedurally generated user interface
DE102015222968A1 (de) * 2015-11-20 2017-05-24 Robert Bosch Gmbh Betriebsverfahren für eine elektronische Vorrichtung und elektronische Vorrichtung
US10204211B2 (en) 2016-02-03 2019-02-12 Extrahop Networks, Inc. Healthcare operations with passive network monitoring
US9729416B1 (en) 2016-07-11 2017-08-08 Extrahop Networks, Inc. Anomaly detection using device relationship graphs
US10812348B2 (en) * 2016-07-15 2020-10-20 A10 Networks, Inc. Automatic capture of network data for a detected anomaly
US9660879B1 (en) 2016-07-25 2017-05-23 Extrahop Networks, Inc. Flow deduplication across a cluster of network monitoring devices
EP3293938B1 (de) 2016-09-12 2021-06-30 Vectra AI, Inc. Verfahren und system zur detektion von verdächtiger administrativer aktivität
US10476673B2 (en) 2017-03-22 2019-11-12 Extrahop Networks, Inc. Managing session secrets for continuous packet capture systems
US20200167465A1 (en) * 2017-06-05 2020-05-28 Nec Corporation Information processing device, information processing method, and recording medium
US10063434B1 (en) 2017-08-29 2018-08-28 Extrahop Networks, Inc. Classifying applications or activities based on network behavior
US9967292B1 (en) 2017-10-25 2018-05-08 Extrahop Networks, Inc. Inline secret sharing
US10264003B1 (en) 2018-02-07 2019-04-16 Extrahop Networks, Inc. Adaptive network monitoring with tuneable elastic granularity
US10389574B1 (en) 2018-02-07 2019-08-20 Extrahop Networks, Inc. Ranking alerts based on network monitoring
US10038611B1 (en) 2018-02-08 2018-07-31 Extrahop Networks, Inc. Personalization of alerts based on network monitoring
US10270794B1 (en) 2018-02-09 2019-04-23 Extrahop Networks, Inc. Detection of denial of service attacks
US10116679B1 (en) 2018-05-18 2018-10-30 Extrahop Networks, Inc. Privilege inference and monitoring based on network behavior
US10411978B1 (en) 2018-08-09 2019-09-10 Extrahop Networks, Inc. Correlating causes and effects associated with network activity
US10594718B1 (en) 2018-08-21 2020-03-17 Extrahop Networks, Inc. Managing incident response operations based on monitored network activity
US11190542B2 (en) * 2018-10-22 2021-11-30 A10 Networks, Inc. Network session traffic behavior learning system
EP3648408A1 (de) * 2018-10-31 2020-05-06 Atos Nederland B.V. Überwachungssystemleistung
JP7149863B2 (ja) * 2019-01-25 2022-10-07 三菱電機株式会社 異常監視装置及び異常監視方法
US10965702B2 (en) 2019-05-28 2021-03-30 Extrahop Networks, Inc. Detecting injection attacks using passive network monitoring
US11165814B2 (en) 2019-07-29 2021-11-02 Extrahop Networks, Inc. Modifying triage information based on network monitoring
US11388072B2 (en) 2019-08-05 2022-07-12 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10742530B1 (en) 2019-08-05 2020-08-11 Extrahop Networks, Inc. Correlating network traffic that crosses opaque endpoints
US10657018B1 (en) 2019-08-26 2020-05-19 Coupang Corp. Systems and methods for dynamic aggregation of data and minimization of data loss
US10742677B1 (en) 2019-09-04 2020-08-11 Extrahop Networks, Inc. Automatic determination of user roles and asset types based on network monitoring
US11165823B2 (en) 2019-12-17 2021-11-02 Extrahop Networks, Inc. Automated preemptive polymorphic deception
US11223633B2 (en) * 2020-02-21 2022-01-11 International Business Machines Corporation Characterizing unique network flow sessions for network security
US11522978B2 (en) * 2020-08-31 2022-12-06 Huawei Technologies Co., Ltd. Methods, systems, and media for network model checking using entropy based BDD compression
WO2022066910A1 (en) 2020-09-23 2022-03-31 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11463466B2 (en) 2020-09-23 2022-10-04 Extrahop Networks, Inc. Monitoring encrypted network traffic
US11349861B1 (en) 2021-06-18 2022-05-31 Extrahop Networks, Inc. Identifying network entities based on beaconing activity
US11296967B1 (en) 2021-09-23 2022-04-05 Extrahop Networks, Inc. Combining passive network analysis and active probing
US11843606B2 (en) 2022-03-30 2023-12-12 Extrahop Networks, Inc. Detecting abnormal data access based on data similarity

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010039579A1 (en) * 1996-11-06 2001-11-08 Milan V. Trcka Network security and surveillance system
US20030028631A1 (en) * 2001-07-31 2003-02-06 Rhodes N. Lee Network usage analysis system and method for updating statistical models

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
CA2237208A1 (en) * 1998-05-08 1999-11-08 Northern Telecom Limited Congestion notification from router
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US6526022B1 (en) * 1998-06-30 2003-02-25 Sun Microsystems Detecting congestion by comparing successive loss of packets in windows to provide congestion control in reliable multicast protocol
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
GB9828590D0 (en) * 1998-12-23 1999-02-17 Northern Telecom Ltd Method and apparatus for managing communications traffic
US6405251B1 (en) * 1999-03-25 2002-06-11 Nortel Networks Limited Enhancement of network accounting records
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US6944673B2 (en) * 2000-09-08 2005-09-13 The Regents Of The University Of Michigan Method and system for profiling network flows at a measurement point within a computer network
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
WO2003001333A2 (en) * 2001-06-20 2003-01-03 Arbor Networks, Inc., Detecting network misuse
US20030065409A1 (en) * 2001-09-28 2003-04-03 Raeth Peter G. Adaptively detecting an event of interest
US7142651B2 (en) * 2001-11-29 2006-11-28 Ectel Ltd. Fraud detection in a distributed telecommunications networks
US6546493B1 (en) * 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
KR100427449B1 (ko) * 2001-12-14 2004-04-14 한국전자통신연구원 네트워크 기반 침입탐지시스템의 적응적 규칙 추정에 의한침입탐지방법
KR100439177B1 (ko) * 2002-01-16 2004-07-05 한국전자통신연구원 네트워크 보안 정책의 표현,저장 및 편집 방법
DE60210408T2 (de) * 2002-01-18 2006-10-19 Stonesoft Corp. Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20010039579A1 (en) * 1996-11-06 2001-11-08 Milan V. Trcka Network security and surveillance system
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US20030028631A1 (en) * 2001-07-31 2003-02-06 Rhodes N. Lee Network usage analysis system and method for updating statistical models

Also Published As

Publication number Publication date
DE102005010923A1 (de) 2005-10-27
US20050234920A1 (en) 2005-10-20

Similar Documents

Publication Publication Date Title
DE102005010923B4 (de) System, computerverwendbares Medium und Verfahren zum Überwachen einer Netzwerkaktivität
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE602005004130T2 (de) Verteilte Verkehrsanalyse
DE602004004609T2 (de) Verfahren und Vorrichtung für die Modell-basierte Erkennung von Veränderungen von Netzwerkverkehr
DE60116877T2 (de) System und verfahren zum erfassen von ereignissen
DE69728182T2 (de) Verfahren und gerät zum entfernten netzwerkzugriffseintrag und netzwerkzugriffsbericht
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE19983761B3 (de) Vorrichtung und Verfahren zum Sammeln und Analysieren von Kommunikationsdaten
DE69817176T2 (de) Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
DE602004004863T2 (de) Verteilte Architektur zur Echtzeit - Flussmessung auf der Ebene einer Netzwerkdomäne
DE60111089T2 (de) Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE60104876T2 (de) Prüfung der Konfiguration einer Firewall
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE112019002178T5 (de) Verfahren und System zum Rückverfolgen der Qualität vorgefertigter Komponenten während der gesamten Lebensdauer basierend auf einer Blockkette
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE112021003315T5 (de) Schnelles identifizieren von verstössen und angriffen in netzwerkverkehrsmustern
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE112020005071B4 (de) Verfahren für eine datenschutzgerechte anomalie-erkennung im iot
DE112017000886T5 (de) High-Fidelity-Datenreduktion zur Systemabhängigkeitsanalyse
WO2016008778A1 (de) Verfahren zum erkennen eines angriffs in einem computernetzwerk
DE112010003099T5 (de) Erkennung gering ausgelasteter netzeinheiten
DE112018004408T5 (de) Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie
DE112017000937T5 (de) Persistente Datenflusserkennungen, die verteilte Anwendungen ermöglichen

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8364 No opposition during term of opposition
R020 Patent grant now final

Effective date: 20110323

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee

Effective date: 20141001