DE102014201592A1 - Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software - Google Patents

Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software Download PDF

Info

Publication number
DE102014201592A1
DE102014201592A1 DE102014201592.8A DE102014201592A DE102014201592A1 DE 102014201592 A1 DE102014201592 A1 DE 102014201592A1 DE 102014201592 A DE102014201592 A DE 102014201592A DE 102014201592 A1 DE102014201592 A1 DE 102014201592A1
Authority
DE
Germany
Prior art keywords
indicator
network
unit
behavior
generating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE102014201592.8A
Other languages
English (en)
Inventor
Jan Gerrit Göbel
Heiko Patzlaff
Gerrit Rothmaier
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Siemens AG
Original Assignee
Siemens AG
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Siemens AG filed Critical Siemens AG
Priority to DE102014201592.8A priority Critical patent/DE102014201592A1/de
Priority to PCT/EP2015/050743 priority patent/WO2015113836A1/de
Priority to US15/107,112 priority patent/US20170041329A1/en
Priority to CN201580006491.3A priority patent/CN106416178A/zh
Priority to EP15700477.1A priority patent/EP3055975A1/de
Publication of DE102014201592A1 publication Critical patent/DE102014201592A1/de
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/18Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels

Abstract

Die Erfindung betrifft Verfahren und Vorrichtung zum Erkennen von autonomer, selbstpropagierender Software.
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung gekoppelt ist, mit folgenden Verfahrensschritten:
a) Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;
b) Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit in dem zweiten Netzwerks spezifiziert;
c) Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;
d) Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator;
e) Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis ein festlegbarer Schwellwert überschritten wird.

Description

  • Die Erfindung betrifft Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software.
  • Angriffe mit Schadcode (engl. Malware-Programme), die unberechtigt auf Rechnersysteme übertragen werden, in der Absicht, die Vertraulichkeit, Integrität oder Verfügbarkeit der Daten, Anwendungen oder des Betriebssystems auf diesem Rechnersystem zu schädigen, sind über die letzten Jahre eine ernsthafte Bedrohung geworden. Bekannte Typen von Malware sind Viren, Würmer, Trojanische Pferde, Rootkits und Spyware. Die Verbreitung bzw. Infizierung mit Schadcode kann über E-Mail, Web-Sites, Datei-Downloads und FileSharing sowie Peerto-Peer-Software, Instant-Messaging und auch durch direkte persönliche Manipulation von Rechnersystemen erfolgen.
  • Zur Lösung dieser Angriffe sind Realisierungen bekannt. Beispielsweise beschreibt ein deutsches Gebrauchsmuster DE 10 2010 008 538 A1 mit einem Titel „Verfahren und System zum Erkennen einer Schadsoftware“ eine Lösung zum Erkennen von Schadsoftware in einem Computerspeichersystem. Ein weiteres deutsches Gebrauchsmuster DE 20 2013 102 179 U1 mit dem Titel „System zum Detektieren von durch eine Maschine ausgeführtem Schadcode“ beschäftigt sich mit einem System zum Detektieren von Schadsoftware, deren Code durch eine virtuelle Maschine ausgeführt wird.
  • Ferner werden heute sicherheitskritische Systeme, die in Sondernetzen betrieben werden, nicht direkt mit dem Internet verbunden, sondern sind zunächst nur über ein weiteres Netzwerk, z.B. ein Büronetzwerk oder Netzwerk zum Konfigurieren des Sondernetzes, erreichbar.
  • Geschützte Sondernetze sind dabei Computernetzwerke, die durch geeignete technische Maßnahmen, wie z.B. Firewall (Schutzwall) oder air-gap (Luftspalt), von anderen Netzen wie Büronetzwerken und dem Internet getrennt sind. Beispiele für betrachtete Systeme sind Industriesteueranlagen z.B. in kritischen Infrastrukturen oder Systeme zur Verarbeitung sensibler Daten.
  • Ein Beispiel für ein Sondernetz ist ein Automatisierungsnetz einer Fertigungsstraße, in der die Fertigungsroboter sicherheitskritische Systeme darstellen. Somit wird durch die „Abkopplung“ vom öffentlichen Netz ein Schutz des Sondernetzes vor einem aus dem öffentlichen Netz startenden Malwareangriff ermöglicht. Zudem werden auf den sicherheitskritischen Systemen in dem Sondernetz auch traditionelle Erkennungsmechanismen wie Anti-Virus eingesetzt.
  • Jedoch zeigt sich, dass die Abkopplung des Sondernetzes und Überwachung von Malwareangriffen im laufenden Betrieb des Sondernetzes keinen absolut zuverlässigen Schutz vor gezielten Angriffen bieten, da bspw. durch Nutzer infizierte Daten aus dem weiteren Netzwerk in das Sondernetz übertragen werden können. Selbst bei einer physikalischen Trennung des weiteren Netzwerks und des Sondernetzes können infizierte Daten über mobile Datenträger, wie z.B. USB-Sticks (USB – Universal Serial Bus), in das Sondernetz und somit auf die sicherheitskritischen Systeme gelangen. Dies tritt unter anderem bei autonomer, selbst-propagierender Schadsoftware auf.
  • Es ist daher eine Aufgabe der Erfindung, eine Erkennung von Angriffen, insbesondere durch selbst-propagierende Schadsoftware, auf ein sicherheitskritisches System in einem Sondernetzen zu verbessern.
  • Die Aufgabe wird durch die Merkmale der unabhängigen Ansprüche gelöst. Weiterbildungen der Erfindung sind den abhängigen Ansprüchen zu entnehmen.
  • Die Erfindung betrifft ein Verfahren zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung gekoppelt ist, mit folgenden Verfahrensschritten:
    • a) Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;
    • b) Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten von zumindest einer zweiten Recheneinheit in dem zweiten Netzwerks spezifiziert;
    • c) Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;
    • d) Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator,
    • e) Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis ein festlegbarer Schwellwert überschritten wird.
  • Das Verfahren zeigt den Vorteil, dass der spezifische Schadsoftwaretyp „autonome, selbstpropagierende Schadsoftware“ dadurch erkannt werden kann, dass dieser auf zwei unabhängigen Recheneinheiten, die jeweils unterschiedlichen Netzen angehören, auftritt. Dieser Fall ist insbesondere im industriellen Umfeld von höchster Bedeutung, da dort in sogenannten Sondernetzen für Schadsoftware-Befall kritische Systeme sind, wie z.B. Fertigungsstraßen, Robotersysteme, Gelddruckmaschinen. Diese Sondernetze können von anderen Netzen, wie Büronetz mit Computern zur Datenverarbeitung, physikalisch getrennt oder zumindest durch elektronische Zugangskontrollen derart entkoppelt sein, dass ein Datenaustausch nur in besonderen Fällen stattfinden kann.
  • Das Verfahren ist für jede Art von autonome, selbstpropagierender Schadsoftware universell einsetzbar, so dass auch für unbekannte Schadsoftware des genannten Typs eine hohe Erkennungsrate erzielt werden kann. Unter dem Begriff Verhalten wird im Rahmen dieser Beschreibung ein oder mehrere Aktivitäten verstanden, die die jeweilige erste bzw. zweite Recheneinheit durchführt, wie beispielsweise Schreiben oder Lesen von Daten oder bestimmten Dateinamen auf bzw. von eine der jeweiligen Recheneinheit zugeordneten Speichereinheit, Starten, Pausieren, Stoppen oder Beenden von Prozessen, z.B. mit jeweils bestimmten Prozessnamen/ oder -identifikatoren. Das Verhalten kann zu einem bestimmten Zeitpunkt einen Zustand der jeweiligen Recheneinheit bzw. der zugeordneten Aktivitäten und/oder über einen Zeitraum Veränderungen der jeweiligen Aktivitäten beschreiben.
  • In vorteilhafter Weise wird durch das erste Netzwerk ein System zur Überwachung und/oder Steuerung technischer Prozesse von Industrieanlagen und durch das zweite Netzwerk ein Bürokommunikationsnetz gebildet. Gerade hierbei ist der Einsatz des Verfahrens besonders wirkungsvoll, da das Büronetz aufgrund seiner Verbindung zu anderen Netzen, wie das Internet, zum Austausch von Informationen mit Externen, in besonderer Weise anfällig für autonome, selbstpropagierende Schadsoftware ist. Zudem benutzen dieselben Personen jeweilige Recheneinheiten im ersten und zweiten Netzwerk, sodass durch einen Datenaustausch ein hohes Gefährdungspotential durch autonome, selbstpropagierende Schadsoftware im ersten Netzwerk, also im Sondernetzwerk, besteht.
  • In einer optionalen Weiterbildung der Erfindung wird durch den zumindest einen ersten Indikator und den zumindest einen zweiten Indikator das jeweilige Verhalten in Bezug auf zumindest eine der folgenden Informationen der zumindest einen ersten Recheneinheit und der zumindest einen zweiten Recheneinheit bestimmt:
    • – Zumindest ein Dateiname auf einem Speichermedium;
    • – Zumindest ein Name eines laufenden oder gestoppten Prozesses;
    • – Zumindest ein Ergebnis eines Intrusion-Detection-Systems;
    • – Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks.
  • Die Verwendung zumindest einer dieser Informationen ist vorteilhaft, da die jeweilige Information ohne großen technischen Aufwand ermittelt werden kann und zudem in einfacher Weise einen Nachweis für ein Vorhandensein von autonomer, selbstpropagierender Schadsoftware ermöglicht.
  • In einer Weiterbildung wird der zumindest eine erste Indikator und der zumindest eine zweite Indikator in Abhängigkeit von einer Änderung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, bestimmt. Hierdurch lassen sich in vorteilhafter Weise zeitliche gehäufte Anomalien, wie gehäuftes Auftreten eines bestimmten Verhaltens der jeweiligen Recheneinheit, oder zeitliche Abläufe bestimmter Informationen in zuverlässiger und einfacher Weise ergründen.
  • In einer Variante der Erfindung wird der zumindest eine erste Indikator und der zumindest eine zweite Indikator in regelmäßigen Abständen generiert. Hierdurch wird gewährleistet, dass eine kontinuierliche Überwachung der ersten und zweiten Recheneinheiten auf autonome, selbstpropagierende Schadsoftware durchgeführt und somit eine hohe Zuverlässigkeit bei dem Erkennen dieses Schadsoftwaretyps ermöglicht wird. Insbesondere wird hierdurch ein früheres Erkennen der autonomen, selbstpropagierenden Schadsoftware gewährleistet, wodurch ein durch die Schadsoftware verursachter Schaden klein gehalten werden kann. Zudem kann auch eine „Verseuchung“ weiterer Recheneinheiten vermieden oder zumindest die Verbreitung der Schadsoftware eingedämmt werden.
  • In einer weiteren Variante der Erfindung wird durch den zumindest einen ersten Indikator ein erster Typ von Verhalten in einem ersten Zeitintervall und durch den zumindest einen zweiten Indikator der erste oder weiterer Typ von Verhalten in einem zweiten Zeitintervall angezeigt, wobei das zweite Zeitintervall zeitlich vor dem ersten Zeitintervall angeordnet wird. Hierdurch lassen sich in vorteilhafter Weise Verhaltensmuster der autonomen, selbstpropagierenden Schadsoftware erkennen, womit eine Detektion der Schadsoftware verbessert wird. Beispielsweise ist eine Aktivität der Schadsoftware nach einem Befall der jeweiligen Recheneinheit besonders hoch und nimmt dann exponentiell ab. Somit kann das Vorhandensein dieser Schadsoftware auf der ersten und zweiten Recheneinheit nicht zum selben Zeitpunkt aber zu zwei unterschiedlichen Zeitpunkten sehr gut nachgewiesen werden.
  • In einer optionalen Weiterbildung der Erfindung wird zumindest einer der Schritte a), c), d), e) des Verfahrens erst durchgeführt, nachdem zumindest ein Datenwort von der zumindest einen zweiten Recheneinheit an die zumindest eine erste Recheneinheit übertragen wurde. Hierdurch wird in vorteilhafter Weise erreicht, dass bis auf Verfahrensschritt b) weitere Verfahrensschritte erst dann durchgeführt werden müssen, wenn ein Datenverkehr, d.h. eine Datenlieferung von der zweiten Recheneinheit zu der ersten Recheneinheit, z.B. mittels USB Stick, erfolgt ist. Der Datenverkehr wird durch die Übertragung zumindest eines Datenworts gebildet, wobei das Datenwort ein oder mehrere Bytes umfassen kann, wie bspw. alle Bytes einer Datei, die in die erste Recheneinheit eingespeist wird.
  • Die Erfindung betrifft auch eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung koppelbar ist, mit folgenden Einheiten:
    • a) Erste Einheit zum Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;
    • b) Zweite Einheit zum Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit des zweiten Netzwerks spezifiziert;
    • c) Dritte Einheit zum Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;
    • d) Vierte Einheit zum Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator,
    • e) Fünfte Einheit zum Ausgeben eines Hinweissignals, falls bei einem Vergleich durch das Korrelationsergebnis der festlegbare Schwellwert überschritten ist.
  • In vorteilhafter Weise sind die erste Einheit und die zweite Einheit zum Generieren des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators des jeweiligen Verhaltens in Bezug auf zumindest eine der folgenden Informationen ausgebildet:
    • – Zumindest ein Dateiname auf einem Speichermedium,
    • – Zumindest ein Name eines laufenden oder gestoppten Prozesses,
    • – Zumindest ein Ergebnis eines Intrusion-Detection-Systems,
    • – Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks.
  • Zudem können die erste Einheit und die zweite Einheit das Generieren des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators in Abhängigkeit von einer Änderung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, durchführen.
  • In einer optionalen Weiterbildung der Vorrichtung führen die erste Einheit und die zweite Einheit das Generieren des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators in regelmäßigen zeitlichen Abständen durch.
  • In einer vorteilhaften Weiterbildung der Erfindung sind durch den zumindest einen ersten Indikator ein erster Typ von Verhalten in einem ersten Zeitintervall und durch den zumindest einen zweiten Indikator der erste oder ein weiterer Typ von Verhalten in einem zweiten Zeitintervall anzeigbar, wobei das zweite Zeitintervall zeitlich vor dem ersten Zeitintervall angeordnet ist.
  • Vorteile und Erläuterungen zu den jeweiligen Ausbildungen der erfinderischen Vorrichtung sind analog zu den korrespondierenden Verfahrensschritten. Zudem können weitere vorgestellte Verfahrensschritte mittels einer sechsten Einheit durch die Vorrichtung realisiert und ausgeführt werden.
  • Die Erfindung und ihre Weiterbildungen werden anhand von Zeichnungen näher erläutert. Im Einzelnen zeigen:
  • 1 eine beispielhafte Darstellung einer beispielhaften Ausführungsform der Erfindung
  • 2 ein schematisches Ablaufdiagramm zur Durchführung der Erfindung
  • 3 eine Vorrichtung, die mit Hilfe mehrerer Einheiten die Erfindung realisiert ist.
  • Elemente mit gleicher Funktion und Wirkungsweise sind in den Figuren mit denselben Bezugszeichen versehen.
  • Nachfolgend wird ein Beispiel für die Erfindung anhand einer Industrieanlage für Fertigungsroboter eines Automobilherstellers gemäß 1 beschrieben. Bei einem Automobilhersteller wird eine Fertigungsstraße bestehend aus mehreren Schweißrobotern und jeweils zugehöriger Steuerungseinheit, auch als erste Recheneinheiten RE1, RE11, RE12, RE13 bezeichnet, betrieben. Die ersten Recheneinheiten sind über ein erstes Netzwerk NET1 miteinander verbunden. Das erste Netzwerk wird mittels LAN (LAN – Local Area Network – lokales Netzwerk) realisiert. Das erste Netzwerk stellt hierbei ein Sondernetz da.
  • Der Automobilhersteller verfügt überdies über ein Büronetzwerk NET2, in dem zweite Recheneinheiten RE2, RE21, RE22 von Forschung, Vertrieb, Service und Marketing betrieben werden. Diese zweiten Recheneinheiten können in Form von Arbeits-PCs und/oder mobilen Endgeräten ausgebildet sein. Das Büronetzwerk NET2 wird auch als zweites Netzwerk NET2 bezeichnet. Das zweite Netzwerk ist über eine zweite Verbindung V2 mittels eines DSL-Modems (DSL – Digital Subscriber Line) mit dem Internet INT verbunden. Innerhalb des zweiten Netzwerks NET2 sind die jeweiligen zweiten Recheneinheiten in diesem Beispiel mittels LAN miteinander vernetzt.
  • Ein Servicemitarbeiter lädt über seinen Arbeits-PC im Internet INT ein Service Update SU von einem Webserver WS für eine der Steuerungseinheiten der Schweißroboter herunter. Dabei dringt vom Mitarbeiter unbemerkt Schadsoftware BD mit einem Namen „XXXX.exe“ vom Webserver WS in den Arbeits-PC RE2 ein.
  • Nachfolgend möchte der Servicemitarbeiter eine neue Schweißsoftware in die Steuerungseinheit RE1 einspielen. Dafür lädt er sich die neue Schweißsoftware zusammen mit dem Service Update SU von seinem Arbeits-PC RE2 auf ein mobiles Speichermedium V1, z.B. einen USB-Stick. Der USB-Stick dient zur Datenübertragung von der zweiten Recheneinheit des zweiten Netzwerks zu der ersten Recheneinheit in dem ersten Netzwerk. Somit stellt das mobile Speichermedium V1 eine erste Verbindung V1 zwischen dem ersten Netzwerk und dem zweiten Netzwerk da. In einer Alternative kann die erste Verbindung durch ein drahtgebundenes Medium, z.B. einer LAN-Verbindung erfolgen.
  • Unbemerkt vom Servicemitarbeiter lädt sich die auf dem Service-PC vorliegende Schadsoftware BD auch auf den USB-Stick, z.B. als Teil des Service-Update SU. Nachfolgend dockt der Servicemitarbeiter den USB-Stick von dem Arbeits-PC ab und steck diesen in den USB-Port der Steuerungseinheit. Beim Übertragen der neuen Schweißsoftware in die Steuerungseinheit kopiert sich auch die Schadsoftware BD in die Steuerungseinheit des Schweißroboters RE1.
  • Zur Erkennung von autonomer, selbstpropagierender Schadsoftware werden der Arbeits-PC RE2 und der Schweißroboter RE1 überwacht. Hierzu ermittelt die Steuerungseinheit des Schweißroboters RE1 z.B. sekündlich die auf ihrer Recheneinheit während der letzten Sekunde gestarteten Programme, beispielweise alle gestarteten Programme mit einer Dateinamenendung „.exe“, die sie in Form einer Liste als erster Indikator I1 ablegt. Analog dazu ermittelt der Arbeits-PC jede Sekunde die auf seiner Recheneinheit in der letzten Sekunde gestarteten Programme, beispielweise alle gestarteten Programme mit einer Dateinamenendung „.exe“, die er in Form einer Liste als zweiten Indikator I2 ablegt. Der erste Indikator I1 und der zweite Indikator I2 werden an eine Korrelationskomponente KK übermittelt. Die Korrelationskomponente ist ein Rechner, der sich bspw. außerhalb des ersten und zweiten Netzwerks befindet. Eine Übertragung des ersten und zweiten Indikators erfolgt über WLAN (WLAN – Wireless LAN, drahtloses LAN).
  • Der erste Indikator I1 umfasst bspw. folgende Dateinamen:
    • – D1519.exe
    • – G011A.exe
    • – XXXX.exe
  • Der zweite Indikator I2 umfasst bspw. folgende Dateinamen:
    • – NN4711.exe
    • – MCHP.exe
    • – DD22DD0a.exe
    • – XXXX.exe
    • – D55.exe
  • Die Korrelationskomponente vergleicht die jeweiligen Listen des ersten und zweiten Indikators und stellt eine Übereinstimmung bzgl. des Dateinamens XXXX.exe fest. Somit wird durch den Vergleich der Listen ein Korrelationsergebnis KE erzeugt, das die Datei XXXX.exe anzeigt.
  • Ein festlegbarer Schwellwert SW, der ein Erkennen der autonomen, selbstpropagierenden Schadsoftware anzeigt, ist in diesem Beispiel derart definiert, dass der Schwellwert überschritten ist, falls das Korrelationsergebnis mindestens einen Dateinamen anzeigt.
  • Da das Korrelationsergebnis den Dateinamen XXXX.exe anzeigt, ist ein festlegbarer Schwellwert SW überschritten, sodass ein Hinweissignal HS ausgegeben wird. Hierdurch wird einem Sicherheitsbeauftragten das Erkennen einer Schadsoftware in dem ersten und zweiten Netzwerk anzeigt. Die Anzeige erfolgt mittels einer Hinweisleuchte HS, gesteuert durch eine fünfte Einheit E5.
  • Zur Reduzierung von Fehlalarmen werden in einer Weiterbildung des Ausführungsbeispiels durch die erste bzw. zweite Recheneinheit bzw. durch die Korrelationskomponente aus dem ersten und/oder zweiten Indikator I1, I2 diejenigen Dateinamen bzw. Informationen entfernt, die gemäß einer Vorkenntnis über das auf der jeweiligen Recheneinheit eingesetzte Betriebssystem und/oder ohne Schad-Software installierter Programme auf der jeweiligen Recheneinheit erwartet werden. Beispielsweise wird angenommen, dass die erste und die zweite Recheneinheit nach der ersten Installation ohne autonome, selbstpropagierende Schadsoftware installiert werden. Anschließend werden bspw. für 2 Tage die Listen für den ersten und zweiten Indikator erzeugt. Als nächstes werden in der jeweiligen Recheneinheit und/oder Korrelationskomponente Basis-Listen mit zumindest einem Teil der in dem jeweiligen Indikator enthaltenen Informationen erzeugt. Die Erstellung des Korrelationsergebnisses und der Vergleich mit dem Schwellwert finden in dieser Initialisierungsphase nicht statt. Nach Abschluss der Initialisierungsphase steht für den jeweiligen Indikator eine Ausschlussliste mit Informationen zur Verfügung, wobei diese Informationen bei der Erstellung des Korrelationsergebnisses ausgeschlossen werden.
  • Im obigen Beispiel umfasst die erste Ausschlussliste für den ersten Indikator die Dateinamen „D1519.exe“ und „G011A.exe“, sowie die zweite Ausschlussliste für zweiten Indikator den Dateinamen „N4711.exe. Hieraus ergibt sich für den ersten Indikator I1 „XXXX.exe“ und für den zweiten Indikator I2 „MCHP.exe“, „DD22DD0a.exe“, „XXXX.exe“ und „D55.exe“. Die Überprüfung der Informationen dieser Indikator erfolgt analog zu dem obigen Ausführungsbeispiel.
  • In einem anderen Ausführungsbeispiel zeigen die jeweiligen Indikatoren an, welche Dateinamen in einem betrachteten Zeitraum, z.B. eine Minute, auf das zur jeweiligen Recheneinheit zugeordnete Speichermedium, neu geschrieben oder/und verändert worden sind.
  • Analog zum obigen Beispiel wird die Schadsoftware erkannt, falls identische Dateinamen durch die Indikatoren angezeigt werden.
  • Ein Ausschluss von bestimmten Dateinamen kann wie oben gezeigt erfolgen.
  • In einer weiteren beispielhaften Variante der Erfindung kann in den jeweiligen Recheneinheiten RE1 und RE2 die Häufigkeit eines Auftretens bestimmter Prozesse überwachen und als Information in Form des ersten und zweiten Indikators I1, I2 an die Korrelationskomponente KK übermitteln.
  • Der erste Indikator I1 umfasst bspw. folgende Prozessnamen und deren Häufigkeit:
    • – P1212, 125-mal
    • – P7781N, 1-mal
    • – Pbad12X, 999-mal
  • Der zweite Indikator I2 umfasst bspw. folgende Prozessnamen und deren Häufigkeit:
    • – NN4711p, 12-mal
    • – MC1212, 22-mal
    • – DD22DD0a, 100-mal
    • – Pbad12X, 1210-mal
    • – D55, 55-mal
  • Die Korrelationskomponente erkennt, dass der Prozess „Pbad12X“ sowohl in dem Arbeits-PC als auch in der Steuerungseinheit des Schweißroboters auftritt. Zudem tritt der besagte Prozess sehr gehäuft auf. Hieraus kann die Korrelationskomponente schließen, dass derselbe Prozess „Pbad12X“ in den zwei unterschiedlich ausgestalteten Recheneinheiten, Arbeits-PC und Schweißroboter, jeweils eine sehr dominante Rolle im jeweiligen Prozessablauf einnimmt. Hierdurch ergibt sich als Korrelationsergebnis, dass derselbe Prozess in dem Arbeits-PC und der Steuerungseinheit ein sehr ähnliches und auffälliges Verhalten anzeigt. So tritt der Prozess „Pbad12X“ im ersten Indikator mit einer Häufigkeit 999/(999 + 1 + 125) = 88,8% und im zweiten Indikator mit einer Häufigkeit 1210/(12 + 22 + 100 + 1210 + 55) = 86,5% auf. Der festlegbare Schwellwert zeigt an, dass der besagte Prozess in beiden Recheneinheiten mit einer Auftrittshäufigkeit von mehr als 85% auftritt. Hierdurch wird der festlegbare Schwellwert SW, der eine Häufigkeit eines bestimmten Prozesses im Vergleich zu anderen Prozessen anzeigt, durch den ersten und weiten Indikator überschritten. In diesem Fall wird die Schadsoftware im Prozess „Pbad12X“ erkannt und ein Hinweissignal ausgegeben.
  • Eine weitere beispielhafte Ausführungsform der Erfindung kann über die Charakteristik von beobachteten Netzwerksverkehrsdaten erfolgen und betrifft alle Arten der unmittelbaren systematischen Datenerfassung, Protokollierung und Überwachung von Vorgängen oder Prozessen. Die Netzwerksverkehrsüberwachung der jeweiligen ersten und zweiten Netzwerken ausgehend von jeweiligen zweiten Recheneinheiten in Richtung erster Recheneinheiten wird dazu regelmäßig durchgeführt, um anhand von Korrekturen der Ergebnisse erkennen zu können, ob bestimmte Schwellwerte unter- bzw. überschritten werden.
  • Bei einer weiteren beispielhaften Ausführung kann die Beobachtung von mehreren Indikatoren durchgeführt werden. Z.B. kann das Auftreten der im Ausführungsbeispiel betrachteten „XXXX.exe“ in Kombination mit dem Speicherverhalten auf der jeweiligen Recheneinheit als ein Indikator gesehen werden.
  • Bei einem weiteren Beispiel ist im Netzwerk NET1 und im Büronetz NET2 jeweils ein Intrusion Detection System (Netzwerkseindringungserfassungssystem) installiert. Das Intrusion Detection System erhält seine Informationen aus Log-Dateien, Kernel-Daten und anderen Systemdaten der ersten und zweiten Recheneinheiten und schlägt Alarm, sobald es einen möglichen Angriff erkennt. Die Intrusion Detection Systeme der Netzwerke NET1 und NET2 senden die erfassten Ereignisse mittels der jeweiligen Indikatoren an die Korrelationskomponente KK, diese überprüft ob im Netzwerk NET1 einen Angriff und zeitlich ein gleicher oder ähnlicher Angriff im Büronetz NET2 voraus ging. Ist das der Fall, wird über den Hinweissignalgeber E5 ein Hinweissignal HS ausgegeben.
  • In den bisherigen Beispielen wurden jeweils nur eine erste und eine zweite Recheneinheit erläutert. So können die Beispiele dahingehend erweitert werden, dass mehrere erste und mehrere zweite Recheneinheiten vorliegen, die jeweils erste bzw. zweite Indikatoren an die Korrelationskomponente senden. Dabei kann eine Häufigkeit eines Auftretens einer Datei und/oder eines Prozesses auch dahingehend ausgewertet werden, dass die jeweilige Häufigkeit über alle ersten Indikatoren bzw. alle zweiten Indikatoren ermittelt wird. Hierbei wird neben eines Befalls einer jeweiligen ersten bzw. zweiten Recheneinheit mit der Schadsoftware auch der Befall einer Mehrzahl von ersten bzw. zweiten Recheneinheiten erfasst.
  • In 2 ist ein Ablaufdiagramm eines Ausführungsbeispiels eines Verfahrens zum Erkennen von Schadcode dargestellt.
  • Das Verfahren startet mit dem Schritt S0.
  • In Schritt S1 wird zumindest einer der ersten Indikatoren, welcher ein erstes Verhalten der ersten Recheneinheit spezifiziert, erfasst.
  • In Schritt S2 wird zumindest einer der zweiten Indikatoren, welcher ein zweites Verhalten der zweiten Recheneinheit des zweiten Netzwerks spezifiziert, erfasst.
  • In Schritt S3 wird der erste Indikator und der zweite Indikator an eine Korrelationskomponente übermittelt.
  • In Schritt S4 wird das Korrelationsergebnis durch Korrelieren des ersten Indikators mit dem zweiten Indikator erzeugt.
  • In Schritt S5 wird das Korrelationsergebnis mit einem festlegbaren Schwellwert verglichen. Wird der Schwellwert nicht überschritten, geht es mit Schritt S7 weiter. Wird der Schwellwert überschritten, folgt Schritt S6.
  • In Schritt S6 wird ein Hinweissignals ausgegeben und somit das Vorhandensein der Schadsoftware erkannt.
  • In Schritt S7 wird geprüft, ob ein vorgegebenes Zeitintervall abgelaufen ist. Ist das der Fall, erfolgt Schritt S8. Ist das nicht der Fall, erfolgt Schritt S2. Diese Schleife x wird solange durchlaufen, bis das vorgegebene Zeitintervall, z.B. 1 Minute, abgelaufen ist.
  • Das Verfahren endet in Schritt S8.
  • Die Erfindung betrifft auch eine Vorrichtung zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit in einem ersten Netzwerk, wobei das erste Netzwerk mit einem zweiten Netzwerk über eine erste Verbindung koppelbar ist, mit folgenden Einheiten, siehe 3:
    • a) Erste Einheit E1 zum Generieren von zumindest einem ersten Indikator, welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit spezifiziert;
    • b) Zweite Einheit E2 zum Generieren von zumindest einem zweiten Indikator, welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit des zweiten Netzwerks spezifiziert;
    • c) Dritte Einheit E3 zum Übermitteln des zumindest einen ersten Indikators und des zumindest einen zweiten Indikators an eine Korrelationskomponente;
    • d) Vierte Einheit E4 zum Erzeugen zumindest eines Korrelationsergebnisses durch Korrelieren des zumindest einen ersten Indikators mit dem zumindest einem zweiten Indikator;
    • e) Fünfte Einheit E5 zum Ausgeben eines Hinweissignals, falls bei einem Vergleich das Korrelationsergebnis den festlegbaren Schwellwert überschreitet.
  • Die jeweiligen Einheiten, sowie die Korrelationskomponente, können in Software, Hardware oder in einer Kombination aus Software und Hardware realisiert werden. Somit können die jeweiligen Einheiten über Ein- und Ausgabeschnittstelle zur Kommunikation untereinander ausgestaltet sein. Diese Schnittstellen sind direkt oder indirekt mit einer Prozessoreinheit gekoppelt, die für jeweilige auszuführende Schritte aus einer an die Prozessoreinheit angeschlossenen Speichereinheit codierte Anweisungen ausliest und verarbeitet.
  • Obwohl die Erfindung im Detail durch das bevorzugte Ausführungsbeispiel näher illustriert und beschrieben wurde, so ist die Erfindung nicht durch die offenbarten Beispiele eingeschränkt und andere Variationen können vom Fachmann hieraus abgeleitet werden, ohne den Schutzumfang der Erfindung zu verlassen. Insbesondere können die einzelnen Beispiele beliebig kombiniert werden.
  • ZITATE ENTHALTEN IN DER BESCHREIBUNG
  • Diese Liste der vom Anmelder aufgeführten Dokumente wurde automatisiert erzeugt und ist ausschließlich zur besseren Information des Lesers aufgenommen. Die Liste ist nicht Bestandteil der deutschen Patent- bzw. Gebrauchsmusteranmeldung. Das DPMA übernimmt keinerlei Haftung für etwaige Fehler oder Auslassungen.
  • Zitierte Patentliteratur
    • DE 102010008538 A1 [0003]
    • DE 202013102179 U1 [0003]

Claims (12)

  1. Verfahren zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit (RE1) in einem ersten Netzwerk (NET1), wobei das erste Netzwerk (NET1) mit einem zweiten Netzwerk (NET2) über eine erste Verbindung (V1) gekoppelt ist, mit folgenden Verfahrensschritten: a) Generieren von zumindest einem ersten Indikator (I1), welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit (RE1) spezifiziert; b) Generieren von zumindest einem zweiten Indikator (I2), welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit (RE2) in dem zweiten Netzwerk (NET2) spezifiziert; c) Übermitteln des zumindest einen ersten Indikators (I1) und des zumindest einen zweiten Indikators (I2) an eine Korrelationskomponente (KK); d) Erzeugen zumindest eines Korrelationsergebnisses (KE) durch Korrelieren des zumindest einen ersten Indikators (I1) mit dem zumindest einem zweiten Indikator (I2), e) Ausgeben eines Hinweissignals (HS), falls bei einem Vergleich durch das Korrelationsergebnis (KE) ein festlegbarer Schwellwert (SW) überschritten wird.
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass durch das erste Netzwerk (NET1) ein System zur Überwachung und/oder Steuerung technischer Prozesse von Industrieanlagen und durch das zweite Netzwerk (NET2) ein Bürokommunikationsnetz gebildet wird.
  3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass durch den zumindest einen ersten Indikator (I1) und den zumindest einen zweiten Indikator (I2) das jeweilige Verhalten in Bezug auf zumindest eine der folgenden Informationen der zumindest einen ersten Recheneinheit (RE1) und der zumindest einen zweiten Recheneinheit (RE2) bestimmt wird: – Zumindest ein Dateiname auf einem Speichermedium; – Zumindest ein Name eines laufenden oder gestoppten Prozesses; – Zumindest ein Ergebnis eines Intrusion-Detection-Systems; – Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks (NET1, NET2).
  4. Verfahren nach Anspruch 3, dadurch gekennzeichnet, dass der zumindest eine erste Indikator (I1) und der zumindest eine zweite Indikator (I2) in Abhängigkeit von einer Änderung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, bestimmt wird.
  5. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass der zumindest eine erste Indikator (I1) und der zumindest eine zweite Indikator (I2) in regelmäßigen Abständen generiert wird.
  6. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass durch den zumindest einen ersten Indikator (I1) ein erster Typ von Verhalten der zumindest einen ersten Recheneinheit (RE1) in einem ersten Zeitintervall (T1) und durch den zumindest einen zweiten Indikator der erste Typ von Verhalten der zumindest einen zweiten Recheneinheit (RE2) in einem zweiten Zeitintervall (T2) angezeigt wird, das zweite Zeitintervall (T2) zeitlich vor dem ersten Zeitintervall (T1) angeordnet wird.
  7. Verfahren nach einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest einer der Schritte a), c), d), e) erst durchgeführt wird, nachdem zumindest ein Datenwort von der zumindest einen zweiten Recheneinheit (RE2) an die zumindest eine erste Recheneinheit (RE1) übertragen wurde.
  8. Vorrichtung (VOR) zum Erkennen von autonomer, selbstpropagierender Schadsoftware in zumindest einer ersten Recheneinheit (RE1) in einem ersten Netzwerk (NET1), wobei das erste Netzwerk (NET1) mit einem zweiten Netzwerk (NET2) über eine erste Verbindung (V1) und das zweite Netzwerk (NET2) über eine zweite Verbindung (V2) mit einem öffentlichen Netzwerk (INT) gekoppelt ist, mit folgenden Einheiten: a) Erste Einheit (E1) zum Generieren von zumindest einem ersten Indikator (I1), welcher ein erstes Verhalten der zumindest einen ersten Recheneinheit (RE1) spezifiziert; b) Zweite Einheit (E2) zum Generieren von zumindest einem zweiten Indikator (I2), welcher ein zweites Verhalten zumindest einer zweiten Recheneinheit (RE2) des zweiten Netzwerks (NET2) spezifiziert; c) Dritte Einheit (E3) zum Übermitteln des zumindest einen ersten Indikators (I1) und des zumindest einen zweiten Indikators (I2) an eine Korrelationskomponente (KK); d) Vierte Einheit (E4) zum Erzeugen zumindest eines Korrelationsergebnisses (KE) durch Korrelieren des zumindest einen ersten Indikators (I1) mit dem zumindest einem zweiten Indikator (I2); e) Fünfte Einheit (E5) zum Ausgeben eines Hinweissignals (HS), falls bei einem Vergleich das Korrelationsergebnis (KE) den festlegbaren Schwellwert (SW) überschreitet.
  9. Vorrichtung nach Anspruch 8, dadurch gekennzeichnet, dass die erste Einheit (E1) und die zweite Einheit (E2) zum Generieren des zumindest einen ersten Indikators (I1) und des zumindest einen zweiten Indikators (I2) das jeweilige Verhalten in Bezug auf zumindest eine der folgenden Informationen bestimmt: – Zumindest ein Dateiname auf einem Speichermedium; – Zumindest ein Name eines laufenden oder gestoppten Prozesses; – Zumindest ein Ergebnis eines Intrusion-Detection-Systems; – Charakteristik von Netzwerksverkehrsdaten innerhalb des ersten und zweiten Netzwerks (NET1, NET2).
  10. Vorrichtung (VOR) nach Anspruch 9, dadurch gekennzeichnet, dass die erste Einheit (E1) und die zweite Einheit (E2) das Generieren des zumindest einen ersten Indikators (I1) und des zumindest einen zweiten Indikators (I2) in Abhängigkeit von einer Änderung der jeweiligen Information, insbesondere in Abhängigkeit von einer Auftrittsfrequenz der jeweiligen Information, durchführt.
  11. Vorrichtung (VOR) nach einem der Ansprüche 8 bis 9, dadurch gekennzeichnet, dass die erste Einheit (E1) und die zweite Einheit (E2) das Generieren des zumindest einen ersten Indikators (I1) und des zumindest einen zweiten Indikators (I2) in regelmäßigen Abständen generiert.
  12. Vorrichtung (VOR) nach einem der Ansprüche 8 bis 11, dadurch gekennzeichnet, dass durch den zumindest einen ersten Indikator (I1) ein erster Typ von Verhalten in einem ersten Zeitintervall (T1) und durch den zumindest einen zweiten Indikator der erste Typ von Verhalten in einem zweiten Zeitintervall (T2) anzeigbar ist, das zweite Zeitintervall (T2) zeitlich vor dem ersten Zeitintervall (T1) angeordnet ist.
DE102014201592.8A 2014-01-29 2014-01-29 Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software Withdrawn DE102014201592A1 (de)

Priority Applications (5)

Application Number Priority Date Filing Date Title
DE102014201592.8A DE102014201592A1 (de) 2014-01-29 2014-01-29 Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software
PCT/EP2015/050743 WO2015113836A1 (de) 2014-01-29 2015-01-16 Verfahren und vorrichtungen zum erkennen von autonomer, selbstpropagierender software
US15/107,112 US20170041329A1 (en) 2014-01-29 2015-01-16 Method and device for detecting autonomous, self-propagating software
CN201580006491.3A CN106416178A (zh) 2014-01-29 2015-01-16 用于识别自主的、自传播的软件的方法和设备
EP15700477.1A EP3055975A1 (de) 2014-01-29 2015-01-16 Verfahren und vorrichtungen zum erkennen von autonomer, selbstpropagierender software

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102014201592.8A DE102014201592A1 (de) 2014-01-29 2014-01-29 Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software

Publications (1)

Publication Number Publication Date
DE102014201592A1 true DE102014201592A1 (de) 2015-07-30

Family

ID=52354984

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102014201592.8A Withdrawn DE102014201592A1 (de) 2014-01-29 2014-01-29 Verfahren und Vorrichtungen zum Erkennen von autonomer, selbstpropagierender Software

Country Status (5)

Country Link
US (1) US20170041329A1 (de)
EP (1) EP3055975A1 (de)
CN (1) CN106416178A (de)
DE (1) DE102014201592A1 (de)
WO (1) WO2015113836A1 (de)

Families Citing this family (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10491467B2 (en) * 2014-05-23 2019-11-26 Nant Holdings Ip, Llc Fabric-based virtual air gap provisioning, systems and methods
US10454950B1 (en) * 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US11182476B2 (en) * 2016-09-07 2021-11-23 Micro Focus Llc Enhanced intelligence for a security information sharing platform
US20220327219A1 (en) * 2019-08-30 2022-10-13 First Watch Limited Systems and methods for enhancing data provenance by logging kernel-level events

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010008538A1 (de) 2010-02-18 2011-08-18 zynamics GmbH, 44787 Verfahren und System zum Erkennen einer Schadsoftware
DE202013102179U1 (de) 2012-12-25 2013-08-01 Kaspersky Lab, Zao System zu detektieren von durch eine virtuelle Maschine ausgeführtem Schadcode

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
US8549642B2 (en) * 2010-01-20 2013-10-01 Symantec Corporation Method and system for using spam e-mail honeypots to identify potential malware containing e-mails
US20120311710A1 (en) * 2011-06-03 2012-12-06 Voodoosoft Holdings, Llc Computer program, method, and system for preventing execution of viruses and malware
US8839435B1 (en) * 2011-11-04 2014-09-16 Cisco Technology, Inc. Event-based attack detection
US9088606B2 (en) * 2012-07-05 2015-07-21 Tenable Network Security, Inc. System and method for strategic anti-malware monitoring
US20140173577A1 (en) * 2012-12-19 2014-06-19 Asurion, Llc Patchless update management on mobile devices
US20160127417A1 (en) * 2014-10-29 2016-05-05 SECaaS Inc. Systems, methods, and devices for improved cybersecurity
JP2018081514A (ja) * 2016-11-17 2018-05-24 株式会社日立ソリューションズ マルウェアの解析方法及び記憶媒体

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102010008538A1 (de) 2010-02-18 2011-08-18 zynamics GmbH, 44787 Verfahren und System zum Erkennen einer Schadsoftware
DE202013102179U1 (de) 2012-12-25 2013-08-01 Kaspersky Lab, Zao System zu detektieren von durch eine virtuelle Maschine ausgeführtem Schadcode

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
Briesemeister, L., Cheung, S., Lindqvist, U., Valdes A.: Detection, Correlation, and Visualization of Attacks Against Critical Infrastructure Systems. Eighth Annual Conference on Privacy, Security and Trust. Ottawa, Ontario, Canada. August 17-19, 2010, S. 15-22.URL: http://www.csl.sri.com/papers/PST2010
Briesemeister, L., Cheung, S., Lindqvist, U., Valdes A.: Detection, Correlation, and Visualization of Attacks Against Critical Infrastructure Systems. Eighth Annual Conference on Privacy, Security and Trust. Ottawa, Ontario, Canada. August 17-19, 2010, S. 15-22.URL: http://www.csl.sri.com/papers/PST2010 *

Also Published As

Publication number Publication date
EP3055975A1 (de) 2016-08-17
US20170041329A1 (en) 2017-02-09
CN106416178A (zh) 2017-02-15
WO2015113836A1 (de) 2015-08-06

Similar Documents

Publication Publication Date Title
EP3278529B1 (de) Angriffserkennungsverfahren, angriffserkennungsvorrichtung und bussystem für ein kraftfahrzeug
EP3097506B1 (de) Verfahren und system zur gewinnung und analyse von forensischen daten in einer verteilten rechnerinfrastruktur
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
EP2299650A1 (de) Verfahren zur Anomalie-Erkennung in einem Kontrollnetzwerk
EP3430558B1 (de) Erkennen einer abweichung eines sicherheitszustandes einer recheneinrichtung von einem sollsicherheitszustand
WO2015113836A1 (de) Verfahren und vorrichtungen zum erkennen von autonomer, selbstpropagierender software
DE112011101943T5 (de) Verfahren und Einheit zum Entschärfen von seitenübergreifenden Sicherheitslücken
DE112018005352T5 (de) Informationsverarbeitungsvorrichtung, bewegte einrichtung, verfahren und programm
DE102020112592A1 (de) Anwendungsverhaltensbezogene Fingerabdrücke
EP3682610A1 (de) Verfahren und vorrichtung zum erkennen eines angriffs auf ein serielles kommunikationssystem
EP2954534B1 (de) Vorrichtung und verfahren zur erkennung von unbefugten manipulationen des systemzustandes einer steuer- und regeleinheit einer kerntechnischen anlage
EP3568793B1 (de) Verfahren und computer mit einer sicherung gegen cyberkriminelle bedrohungen
WO2016169646A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
DE202015004439U1 (de) Überwachungsvorrichtung und Netzwerkteilnehmer
DE102017209806A1 (de) Verfahren und Vorrichtung zum Erkennen von Angriffen auf einen Feldbus
EP3486825A1 (de) Verfahren und vorrichtung zum rechnergestützten bestimmen eines schweregrads einer festgestellten verletzung der integrität
EP4329242A1 (de) Verfahren und systemanordnung zum proaktiven einstellen einer sicherheitskonfiguration
DE10055118A1 (de) Offenbarendes Verfahren zur Überwachung ausführbarer oder interpretierbarer Daten in digitalen Datenverarbeitungsanlagen mittels gerätetechnischer Einrichtungen
DE102022205915A1 (de) Verfahren zum Detektieren eines Angriffs auf ein Computerprogramm
DE102022204710A1 (de) Eindringungs-Detektion in Computersystemen
DE102022205839A1 (de) Verfahren zum Schützen eines Datenverarbeitungssystem mit mehreren miteinander vernetzte Datenverarbeitungsvorrichtungen vor Angriffen
Bauer Untersuchung der Möglichkeiten zum Betreiben von Honeypots zur Nachbildung von internetfähigen Steuergeräten in der Gebäudeautomation
EP4345665A1 (de) Detektieren eines angriffs auf ein zu schützendes computersystem
WO2023134910A1 (de) Automatische, sicherheitsbedingte verlagerung mindestens einer containerinstanz

Legal Events

Date Code Title Description
R163 Identified publications notified
R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee