DE102021131272A1 - Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm - Google Patents

Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm Download PDF

Info

Publication number
DE102021131272A1
DE102021131272A1 DE102021131272.8A DE102021131272A DE102021131272A1 DE 102021131272 A1 DE102021131272 A1 DE 102021131272A1 DE 102021131272 A DE102021131272 A DE 102021131272A DE 102021131272 A1 DE102021131272 A1 DE 102021131272A1
Authority
DE
Germany
Prior art keywords
user
network
access
monitoring parameter
until
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
DE102021131272.8A
Other languages
English (en)
Inventor
auf Antrag nicht genannt. Erfinder
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Consumer Marketing Borell GmbH
Original Assignee
Consumer Marketing Borell GmbH
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Consumer Marketing Borell GmbH filed Critical Consumer Marketing Borell GmbH
Priority to DE102021131272.8A priority Critical patent/DE102021131272A1/de
Priority to PCT/EP2022/082144 priority patent/WO2023094238A1/de
Publication of DE102021131272A1 publication Critical patent/DE102021131272A1/de
Priority to IL313111A priority patent/IL313111A/en
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Die Erfindung betrifft ein Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk. Dabei sind die folgenden Schritte vorgesehen: Bestimmung eines Überwachungsparameters, der dem Zugriff des Users auf mindestens ein Programm und/oder mindestens einen Dienst und/oder mindestens eine Datei des Netzwerks und/oder einer dem Netzwerk und/oder dem User zugeordneten Ortsinformation entspricht, Vergleichen des Überwachungsparameters mit einem ersten Grenzwert und Trennung des Zugriffs des Users auf das Netzwerk in Abhängigkeit von dem Ergebnis des Vergleichs. Daneben betrifft die Erfindung ein Netzwerk mit mindestens einer Datenverarbeitungseinrichtung, die dazu ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen. Ferner betrifft die Erfindung ein Computerprogramm mit Programmcodemitteln, das dazu ausgestaltet ist, die Schritte des genannten Verfahrens durchzuführen.

Description

  • Die Erfindung betrifft ein Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, ein Netzwerk mit mindestens einer Datenverarbeitungseinrichtung und ein Computerprogramm mit Programmcodemitteln.
  • Aus dem Stand der Technik sind Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk bekannt, die das Netzwerk vor einem unbefugten Zugriff des Users schützen sollen, damit der User nicht unerlaubterweise mit den Dateien des Netzwerks interagiert. Die bekannten Verfahren sehen insbesondere den Schutz vor sogenannten Ransomware-Angriffen vor, bei denen der User als Angreifer Zugriff auf das Netzwerk erhält, Dateien des Netzwerks auf einen eigenen Server kopiert und anschließend die Dateien des Netzwerks derart stark verschlüsselt, dass der Betreiber des Netzwerks die Dateien nicht mehr selbst wiederherstellen kann. Für die Wiederherstellung der Daten verlangt der User von dem Betreiber des Netzwerks die Zahlung eines hohen Geldbetrags. In einer weiteren Variante von Ransomware-Angriffen führt ein an sich vertrauenswürdiger User ein schadhaftes Programm (Ransomware) aus, woraufhin weitgehend vom User unerkannt die Dateien des Netzwerks von dem Angreifer kopiert und verschlüsselt werden. Auch bei dieser Variante ist die Zahlung der vom Angreifer verlangten Geldsumme oftmals der einzige Weg zur Wiederherstellung der Daten, wobei es keine Garantie dafür gibt, dass der Angreifer Wort hält und die Daten nach Erhalt der verlangten Geldsumme tatsächlich wiederherstellt. Aufgrund des zumindest vorübergehenden Datenverlusts und der in jedem Fall beträchtlich hohen verlangten Geldsumme entstehen dem Betreiber des Netzwerks immense Schäden.
  • Zur Steuerung des Zugriffs auf ein Netzwerk, insbesondere zum Schutz gegen die genannten Angriffe, sehen bekannte Verfahren vor, dass der User eines Netzwerks nur durch einen Administrator des Netzwerks freigegebene Programme ausführen kann, was auch als Whitelisting bezeichnet wird. Die Ausführung nicht freigegebener Programme wird blockiert. Der Nachteil dieser Verfahren ist, dass sämtliche der zugelassenen Programme ausdrücklich durch einen Administrator des Netzwerks freigegeben werden müssen, insbesondere nach jedem Update eines Programms. Die Liste der erlaubten Programme muss demnach fast täglich aktualisiert werden, daher ist es fast unmöglich, sie auf dem neusten Stand zu halten. Dies schränkt die praktische Einsetzbarkeit dieser Verfahren stark ein. Daneben kann mit den auf Whitelisting basierenden Verfahren nicht die Erstellung von unerlaubten Dateikopien verhindert werden. So kann ein Angreifer nach wie vor Dateien entwenden und diese zum Schaden der Organisation einsetzen.
  • Es ist daher die Aufgabe der Erfindung, ein verbessertes Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk zu entwickeln, wobei das Verfahren insbesondere die genannten Nachteile aus dem Stand der Technik beseitigt und einen zuverlässigen Schutz vor Angriffen bietet.
  • Die Aufgabe der Erfindung wird gelöst durch ein Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk mit den folgenden Schritten:
    • - Bestimmung eines Überwachungsparameters, der dem Zugriffs des Users auf mindestens ein Programm und/oder mindestens einen Dienst und/oder mindestens einer Datei des Netzwerks und/oder einer dem Netzwerk (10) und/oder dem User (13) zugeordneten Ortsinformation entspricht,
    • - Vergleichen des Überwachungsparameters mit einem ersten Grenzwert und
    • - Trennung des Zugriffs des Users auf das Netzwerk in Abhängigkeit von dem Ergebnis des Vergleichs, insbesondere falls der Überwachungsparameter größer ist als der erste Grenzwert.
  • Daneben wird die Aufgabe gelöst durch ein Netzwerk mit mindestens einer Datenverarbeitungseinrichtung, die dazu ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen. Außerdem wird die Aufgabe gelöst durch ein Computerprogramm mit Programmcodemitteln, das dazu ausgestaltet ist, die Schritte des erfindungsgemäßen Verfahrens durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit ausgeführt wird, insbesondere auf einer Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks.
  • Die Erfindung basiert auf der Grundüberlegung, dass ein unerwünschter Zugriff eines Users, auch Client genannt, auf das Netzwerk, insbesondere ein Ransomware-Angriff auf das Netzwerk, zuverlässig durch die Interaktion des Users mit dem Netzwerk, insbesondere mit dessen Programmen, Diensten und/oder Dateien erkennbar ist. Durch eine Quantifizierung dieser Interaktion des Users, die im Sinne der Erfindung durch die Bestimmung des Überwachungsparameters technisch umgesetzt wird, lässt sich ein unerwünschter Zugriff technisch einfach Weise durch einen Vergleich des Überwachungsparameters mit dem ersten Grenzwert erkennen. Falls der Überwachungsparameter beispielsweise größer ist als der erste Grenzwert, erkennt das erfindungsgemäße Verfahren den Zugriff des Users auf das Netzwerk als Bedrohung und veranlasst die Trennung des Zugriffs des Users auf das Netzwerk sowie insbesondere die sofortige und auch zukünftige Verweigerung des Dateizugriffs, um weitere schadhafte Handlungen des Users am Netzwerk möglichst rasch zu unterbinden. Insofern ermöglicht das erfindungsgemäße Verfahren einen aktiven Schutz der Daten des Netzwerks.
  • Zur möglichst raschen Abwehr einer Bedrohung können das Vergleichen des Überwachungsparameters mit dem ersten Grenzwert und/oder die Trennung des Zugriffs des Users auf das Netzwerk, insbesondere auf die Daten des Netzwerks automatisiert erfolgen.
  • Die Bestimmung des Überwachungsparameters kann von dem Zugriff des Users auf mindestens ein Programm, insbesondere auf mindestens einen Dienst des Netzwerks abhängig sein. Vorzugsweise wird in dem Fall, in dem der User mindestens ein insbesondere vordefiniertes Programm, insbesondere einen insbesondere vordefinierten Dienst des Netzwerks deaktiviert, der Überwachungsparameter auf einen derart vordefinierten Wert gesetzt, dass die Trennung des Zugriffs des Users auf das Netzwerk erfolgt, was beispielsweise durch einen Wert erfolgt, der größer ist als der erste Grenzwert. In einer anderen Ausgestaltung der Erfindung kann der Überwachungsparameter einen booleschen Wert aufweisen, der bei einer Deaktivierung des Dienstes beispielsweise auf den Wert „true“ gesetzt wird, was durch einen entsprechend ausgestalteten Vergleich festgestellt werden kann. Wie bereits gesagt wird in diesem Fall der Zugriff des Users auf das Netzwerk als Bedrohungslage registriert, wodurch das erfindungsgemäße Verfahren den Zugriff des Users auf das Netzwerk trennt.
  • Dienste des Netzwerks sind bekanntlich eine Unterart von Programmen, die sich in der Regel mit der Verwaltung des Netzwerks befassen. Gängige Beispiele sind Systemdienste des Netzwerks, etwa der Dienst „Volume Shadow Copy“ von Windows-Netzwerken, der insbesondere zu Beginn eines Ransomware-Angriffs durch den User deaktiviert wird, um die Wiederherstellung der Netzwerkdaten zu erschweren. Da insofern das Abschalten des (System-)Dienstes „Volume Shadow Copy“ einem typischen Verhaltensmuster eines Ransomware-Angriffs entspricht, vermag das erfindungsgemäße Verfahren, dieses Verhaltensmuster zuverlässig zu erkennen und den Zugriff des Users auf das Netzwerk in diesem Fall zu trennen, so dass weitere Schadenshandlungen vermieden werden. Entsprechendes gilt für das Abschalten einer Firewall des Netzwerks, die ebenfalls einem Systemdienst des Netzwerks im Sinne der Erfindung entspricht. Ein weiterer Dienst im Sinne der Erfindung kann ein einer Antivirus-Software zugeordneter Dienst sein.
  • Daneben kann die Bestimmung des Überwachungsparameters von dem Zugriff des Users auf mindestens eine Datei des Netzwerks abhängig sein. Vorzugsweise ist vorgesehen, dass die Bestimmung des Überwachungsparameters abhängig ist von der Anzahl der von dem User geöffneten Dateien des Netzwerks, wobei insbesondere die Anzahl der vom User geöffneten Dateien mindestens eine Aktion, vorzugsweise sämtliche Aktionen der folgenden Gruppe umfasst: Öffnen, Lesen, Schreiben, Umbenennen, Kopieren und Löschen einer Datei des Netzwerks. Sämtliche der genannten Aktionen setzen einen Zugriff der betreffenden Datei voraus. Die Anzahl der von dem User geöffneten Dateien ist daher ein geeignetes Maß für den Überwachungsparameter für den Zugriff des Users auf Dateien des Netzwerks. Zur Erkennung von parallel zueinander veranlassten Kopier- und/oder Verschlüsselungsvorgängen in großer Zahl, die auch als Bulk Operation bezeichnet werden, kann der Überwachungsparameter die Anzahl der aktuell von einem User geöffneten Dateien berücksichtigen. Indem der Überwachungsparameter von der Anzahl der von dem User geöffneten Dateien des Netzwerks abhängig sein kann, werden nicht nur das Verschlüsseln der betroffenen Dateien des Netzwerks erkannt, sondern auch ein unerlaubtes Kopieren und/oder Umbenennen. Es ist daher unerheblich, ob der User Dateien nicht nur kopieren oder gleich verschlüsseln möchte. Es zählt hier jeglicher Zugriff auf die Daten des Netzwerks. Insofern ist auch ein Schutz der Daten des Netzwerks vor unerlaubtem Kopieren gegeben, etwa per E-Mail oder einem transportablen Medium, was auch als „Data Loss Prevention“ bezeichnet wird.
  • Das Verfahren eignet sich daneben auch zur möglichst frühzeitigen Erkennung eines unbefugten Zugriffs auf das Netzwerk. Vorzugsweise führt jede der genannten Aktionen zu einer inkrementellen Erhöhung des Überwachungsparameters, wobei die Erhöhung individuell in Abhängigkeit der Aktion und/oder des Users gewichtet sein kann. Im Sinne der Erfindung kann der Überwachungsparameter mindestens einen Wert, vorzugsweise eine Vielzahl von Werten umfassen, wobei der Wert als Binär-, Ganzzahl-, Gleitkommawert, Zeichen, Zeichenfolge und/oder Boolean-Wert ausgestaltet sein kann.
  • In einer weiteren Ausgestaltung der Erfindung entspricht die dem Netzwerk und/oder dem User zugeordnete Ortsinformation dem Standort des Netzwerks und/oder des Users, wobei der Standort insbesondere mittels der IP-Adresse und/oder mittels Standorterkennung, beispielsweise GPS, ermittelt wird. Der Überwachungsparameter entspricht insbesondere der Entfernung des Standorts des Users vom Standort des Netzwerks. In diesem Fall kann der erste Grenzwert einen insbesondere vordefinierten Entfernungswert umfassen. Falls bei dem Vergleich des Überwachungsparameters mit dem ersten Grenzwert festgestellt wird, dass der Standort des Users weiter als der vordefinierte Entfernungswert vom Standort des Netzwerks entfernt ist, kann dies als Bedrohung angesehen werden, so dass die erfindungsgemäße Trennung des Zugriffs des Users auf das Netzwerk erfolgt. Diese Ausgestaltung entspricht eine besonders effektive Umsetzung des Prinzips der ortsabhängigen Autorisierung für User eines Netzwerks.
  • Vorzugsweise erfolgt die Bestimmung des Überwachungsparameters über einen insbesondere vordefinierten Zeitraum, der insbesondere durch einen Administrator des Netzwerks definiert wird. Ein derartiger Zeitraum ist beispielsweise die zeitliche Dauer der Sitzung des Users. Daneben kann ein geeigneter Zeitraum individuell für jeden User definiert werden. Der Zeitraum kann auch ein festes Zeitintervall, etwa eine Stunde oder eine Sekunde sein. Die Bestimmung des Überwachungsparameters über einen Zeitraum ermöglicht eine bessere Vergleichbarkeit des Überwachungsparameters. Die Bestimmung des Überwachungsparameters über den Zeitraum erfolgt beispielsweise durch Bildung eines Maximalwertes, eines Mittelwertes und/oder eines kumulierten, insbesondere addierten Wertes.
  • Vorzugsweise ist der erste Grenzwert insbesondere von einem Administrator des Netzwerks vordefiniert und/oder wird durch eine Lernphase über einen insbesondere benutzerdefinierten Zeitraum bestimmt. Der erste Grenzwert kann beispielsweise eine statische Größe sein und/oder beispielsweise einer maximal zulässigen Anzahl an Dateiöffnungen des Users entsprechen. Der erste Grenzwert kann daneben userspezifisch festgelegt werden. Die Erfindung kann vorsehen, dass der erste Grenzwert durch den Administrator des Netzwerks insbesondere für ein definiertes Zeitintervall veränderbar ist. In einer vorteilhaften Weiterbildung der Erfindung entspricht die Lernphase einem Überwachungsbetrieb des erfindungsgemäßen Verfahrens, in dem das normale, unauffällige Verhalten des Users über den Zeitraum, beispielsweise vier Wochen, ausgewertet wird.
  • Dabei kann der erste Grenzwert anhand mindestens eines im Zeitraum bestimmten Überwachungsparameters bestimmt werden, der beispielsweise der Anzahl innerhalb einer Stunde von dem User geöffneten Dateien entsprechen kann. Die Ergebnisse der Lernphase, insbesondere der währenddessen bestimmte Überwachungsparameter, werden vorzugsweise protokolliert und/oder in einer Datenbank gespeichert. Im Sinne der Erfindung dient die Lernphase des erfindungsgemäßen Verfahrens dazu, das Verhalten eines unauffälligen Users durch die Bestimmung des ersten Grenzwertes zu ermitteln. Falls der User künftig schadhafte Dateien öffnet und mit Ransomware infiziert wird, registriert das erfindungsgemäße Verfahren das auffällige Verhalten aufgrund einer signifikanten Abweichung des Überwachungsparameters vom ersten Grenzwert und ermöglicht in diesem Fall, selektiv und schnell den User von einem weiteren Zugriff auf das Netzwerk, insbesondere auf dessen Dateien, zu sperren, so dass Schäden vermieden werden. Gleichsam wird eine Bearbeitung vieler Dateien des Netzwerks im regulären Betrieb ohne Weiteres ermöglicht, sofern dieses Verhalten eines Users dem in der Lernphase als normal bestimmten Verhalten entspricht oder insbesondere eine genehmigte Ausnahme von übergeordneter Stelle, beispielsweise von einem Administrator des Netzwerks, erteilt wurde.
  • In einer vorteilhaften Weiterbildung der Erfindung erfolgt die Trennung des Zugriffs des Users auf das Netzwerk durch mindestens einen Schritt der folgenden Gruppe: Beenden der aktuellen Netzwerksitzung des Users, Verweigerung von einem weiteren Zugriff des Users auf mindestens eine Datei, vorzugsweise auf sämtliche Dateien des Netzwerks und Sperrung mindestens eines benutzerdefinierten Ports des Users für den Zugriff auf das Netzwerk, beispielsweise Sperrung des Userzugriffs auf einen Port des Netzwerks, der dem Server Message Block (SMB) zugeordnet ist, insbesondere Sperrung des Userzugriffs auf Port 445 des Netzwerks. Durch ein insbesondere sofortiges Beenden der aktuellen Netzwerksitzung des Users, und damit auch von sämtlichen Dateien, die der User offen hat, wird sichergestellt, dass weitere schadhafte Handlungen des Users im Netzwerk unterbunden werden. Entsprechendes gilt für die Verweigerung von einem weiteren Zugriff auf mindestens eine Datei des Netzwerks, die beispielsweise durch eine Änderung der Berechtigung des Users, insbesondere durch eine Verweigerung der Zugriffsberechtigungen des Users vorgenommen werden kann. Durch die Sperrung des Userzugriffs auf den genannten Port, was beispielsweise mittels einer insbesondere lokalen Firewall-Regel bezüglich des Users und/oder mittels eines entsprechend definierten Protokolls, vorzugsweise des Protokolls „Internet Protocol Security (IPSec)“ veranlasst wird, wird eine weitere Interaktion des Users mit dem Netzwerk userseitig unterbunden. Durch eine Kombination der Schritte der vorstehend genannten Gruppe ist ein effektiver Schutz des Netzwerks möglich.
  • Vorzugsweise erfolgt die Trennung des Zugriffs des Users auf das Netzwerk durch die Verweigerung von mindestens einer Zugriffsberechtigung des Users, insbesondere durch die Verweigerung von sämtlichen Zugriffsberechtigungen des Users. Im Sinne der Erfindung umfasst die Verweigerung einer Zugriffsberechtigung den Entzug einer vormals erteilten Zugriffsberechtigung und die aktive Zuteilung einer Verweigerung für diese Zugriffsberechtigung, was auch als Verweigerungsberechtigung bezeichnet wird. Hierdurch wird eine weitere Interaktion des Users mit dem Netzwerk unterbunden und das Netzwerk vor weiterem Schaden geschützt. Damit wird sichergestellt, dass ab der Trennung des Zugriffs keine Dateien mehr gelesen, verändert oder gelöscht werden können.
  • In einer weiteren Ausgestaltung der Erfindung wird vorzugsweise vor der Bestimmung des Überwachungsparameters eine Usergruppe erstellt, wobei jedem Mitglied der Usergruppe die Schreib- und/oder Leseberechtigung, insbesondere jede Zugriffsberechtigung verweigert ist, und bei der Trennung des Zugriffs des Users auf das Netzwerk der User der Usergruppe zugewiesen wird. Mit der Zuweisung des Users zur Usergruppe wird automatisch die Verweigerung der Zugriffsberechtigungen vollzogen, so dass der weitere Zugriff des Users auf das Netzwerk sofort gesperrt wird. Durch Zuordnung einer aktiven Verweigerung der Zugriffsberechtigung in der vorstehend genannten Usergruppe werden sämtliche, beispielsweise durch die Zuordnung des Users zu anderen Usergruppen bereits erteilten Zugriffsberechtigungen überschrieben. Die Verweigerung der Zugriffsberechtigung kann mindestens einem Element des Netzwerks, beispielsweise mindestens einer Datei und/oder mindestens einem Ordner des Netzwerks, vorzugsweise sämtlichen Elementen des Netzwerks zugeordnet sein, wobei als Ausnahme der Zugriff auf eine vordefinierte Hilfeseite noch möglich sein kann.
  • Vorzugsweise ist die Ausgabe eines Warnsignals an den User und/oder an einen Administrator des Netzwerks vorgesehen in Abhängigkeit von einem Vergleich des Überwachungsparameters mit einen zweiten Grenzwert, der verschieden ist von dem ersten Grenzwert, insbesondere kleiner als dieser ist. Der zweite Grenzwert entspricht im Sinne der Erfindung einem Warnwert, wobei beispielsweise ein Überschreiten des Warnwerts dem User und/oder dem Admin durch das Warnsignal signalisieren soll, dass gegebenenfalls ein leicht auffälliges Verhalten des Users vorliegt, das sich vom normalen Verhalten des Users unterscheidet, bevor aber bereits der erste Grenzwert überschritten ist und eine Trennung des Zugriffs des Users auf das Netzwerk erfolgt. Der zweite Grenzwert kann insbesondere durch einen Administrator des Netzwerks vordefiniert sein. Daneben kann die Bestimmung des zweiten Grenzwerts von dem ersten Grenzwert abhängig sein und/oder durch eine weitere Lernphase erfolgen, deren Art bereits oben in Zusammenhang mit dem ersten Grenzwert beschrieben ist. Der zweite Grenzwert kann in Abhängigkeit des jeweiligen Users festgelegt werden. Das Warnsignal kann als Benachrichtigung ausgestaltet sein, die dem User und/oder dem Administrator angezeigt wird. Daneben kann das Warnsignal eine automatisch versendete E-Mail an den User und/oder den Administrator sein. Ein Warnsignal kann ausgegeben werden, wenn die Trennung des Zugriffs des Users auf das Netzwerk erfolgt.
  • Zur weiteren Zugriffssteuerung sieht das Verfahren vorzugsweise eine Abfrage vor, ob der User in einer bestehenden User-Datenbank des Netzwerks existiert und die Trennung des Zugriffs des Users auf das Netzwerk, falls der User nicht in der User-Datenbank existiert. Hierdurch wird sichergestellt, dass nur in der User-Datenbank aufgeführten Usern der Zugriff auf das Netzwerk gewährt wird. Die User-Datenbank kann von einem Administrator des Netzwerks verändert werden. Vorzugsweise wird die User-Datenbank von einem Administrator des Netzwerks erstellt, bevor der User auf das Netzwerk zugreift. Die User-Datenbank kann die User und die einem User zugeordneten Überwachungsparameter und/oder die Grenzwerte umfassen, die vorzugsweise durch die Lernphase ermittelt wurden.
  • Zur Anpassung des erfindungsgemäßen Verfahrens können der erste Grenzwert und/oder der zweite Grenzwert während des Verfahrens geändert werden, vorzugsweise durch einen Administrator des Netzwerks, wobei die Änderung mittels Fernzugriff erfolgen kann, beispielsweise mittels eines Web-Frontend für den Administrator.
  • Die mindestens eine Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks weist vorzugsweise einen Dateiverwaltungsdienst, etwa einen File Server auf, der derart ausgestaltet ist, das erfindungsgemäße Verfahren durchzuführen. Das Computerprogramm ist vorzugsweise auf einer Datenverarbeitungseinrichtung des erfindungsgemäßen Netzwerks ausführbar.
  • Weitere Vorteile und Merkmale der Erfindung ergeben sich aus den Ansprüchen und der nachfolgenden Beschreibung, in der Ausführungsbeispiele der Erfindung unter Bezugnahme auf die Zeichnung im Einzelnen beschrieben sind. Dabei zeigen:
    • 1 eine erfindungsgemäße Vorrichtung in einer schematischen Skizze,
    • 2 ein erfindungsgemäßes Verfahren in einem Ablaufdiagramm und
    • 3 eine weitere Ausgestaltung des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm.
  • 1 zeigt in einer schematischen Skizze ein erfindungsgemäßes Netzwerk 10 mit einer Datenverarbeitungseinrichtung 11, die der Einfachheit wegen als einzelner Computer dargestellt ist, wobei das Netzwerk 10 mehrere Datenverarbeitungseinrichtungen 11 umfassen kann. Der Computer 11 weist einen File Server 12 auf, der zur Durchführung des erfindungsgemäßen Verfahrens ausgestaltet ist. Links neben dem Computer 11 sind zwei User 13,14 dargestellt, die Zugriff auf das Netzwerk 10 ersuchen, was durch mit Pfeilen versehene Linien dargestellt ist. Daneben hat ein in 1 unten angeordneter Administrator 15 Zugriff auf das Netzwerk 10, insbesondere auf dessen File Server 12, beispielsweise mittels eines Web-Frontends, und kann die im Folgenden beschriebenen Parameter definieren bzw. ändern. Im Folgenden wird das erfindungsgemäße Verfahren für einen einzelnen U-ser 13 erläutert, wenngleich das Verfahren in Bezug auf mehrere User 13,14 durchgeführt werden kann.
  • 2 zeigt eine Ausgestaltung des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm, wobei ein bereits bestehender Zugriff des Users 13 auf das Netzwerk 10 besteht; eine Authentifizierung und eine Autorisierung des Users 13 sind bereits erfolgt, so dass der User 13 Zugriff auf eine freigegebene Datenressource des Netzwerks 10 hat. Auf dem File Server 12 ist dem User 13 für die Dauer seines Zugriffs auf das Netzwerk 10 eine entsprechende User-Session zugeordnet. Daneben wurde bereits durch den Administrator 15 des Netzwerks der erste Grenzwert (Quota-Wert) Q auf 50 gesetzt, wobei der erste Grenzwert Q dem User 13 zugeordnet und beispielsweise in einer Datenbank des Netzwerks 10 abgelegt wurde. Außerdem wurde eine User-Gruppe auf dem Computer 11 bzw. Server 12 erstellt, wobei deren Mitglieder automatisch sämtliche Zugriffsberechtigungen verweigert sind. Damit wird sichergestellt, dass der User 13 ab dem Zeitpunkt seiner Zuweisung zu dieser User-Gruppe auf keine Daten zugreifen, insbesondere keine Dateien mehr lesen, verändern, kopieren oder löschen kann. Die User-Gruppe wird daher auch als insbesondere lokale Verweigerungsgruppe bezeichnet. Sämtliche der vorstehend genannten vorbereitenden Schritte sind in 2 als Verfahrensschritt A dargestellt.
  • In einem weiteren Verfahrensschritt B erfolgt die Bestimmung eines Überwachungsparameters P, der den Zugriff des Users 13 sowohl auf Dienste des Netzwerks 10 als auch auf dessen Dateien berücksichtigt. Im Rahmen der Bestimmung des Überwachungsparameters P wird im vorliegenden Ausführungsbeispiel für die gesamte Dauer des Zugriffs des Users 13, also während der User-Session, geprüft, ob der User 13 den Systemdienst „Volume Shadow Copy“ des Computers 11 des Netzwerks 10 deaktiviert. Solange dies nicht der Fall ist, erfolgt hierdurch keine Änderung des Überwachungsparameters P, so dass in Folge des anschließenden Vergleichs C des Überwachungsparameters P mit dem ersten Grenzwert Q keine Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 erfolgt und der User 13 weiterhin Zugriff auf das Netzwerk 10 hat. Das Verfahren wird in diesem Fall mit der Bestimmung B des Überwachungsparameters P fortgesetzt. Falls dagegen der User 13 den Systemdienst „Volume Shadow Copy“ deaktiviert, wird der Überwachungsparameter P auf einen Wert von 999 gesetzt. Infolge des dann vorgenommenen Vergleichs C des Überwachungsparameters P mit einem ersten Grenzwert Q, der vom Administrator 15 des Netzwerks 10 im vorliegenden Ausführungsbeispiel bekanntlich auf einen Wert von 50 festgelegt wurde, ist der Überwachungsparameter P, mit einem Wert von 999, größer als der erste Grenzwert Q. In einer weiteren Ausgestaltung der Erfindung kann der Überwachungsparameter P einen Boolean-Wert umfassen, der bei Feststellung eines deaktivierten Systemdienstes auf „true“ gesetzt wird, was durch den Vergleich mit dem ersten Grenzwert Q, der den Wert „true“ aufweist, registriert wird. In diesem Fall sieht das Verfahren vor, unabhängig von dem im Folgenden noch erläuterten Zugriff des Users 13 auf Dateien des Netzwerks 10, die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 zu veranlassen. Dies erfolgt durch ein sofortiges Beenden der Sitzung des Users 13 und der Trennung von sämtlichen Dateien, die der User 13 aktuell offen hat. Daneben wird der 13 User der lokalen Verweigerungsgruppe zugewiesen, so dass ein erneuter Zugriff auf Dateien des Netzwerks 10 aufgrund der Mitgliedschaft des Users 13 in der lokalen Verweigerungsgruppe nicht mehr möglich ist.
  • Außerdem wird jeweils eine E-Mail an den User 13 und an den Administrator 15 des Netzwerks versendet, um auf das auffällige Verhalten des Users 13 hinzuweisen. Die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 kann nur durch den Administrator 15 wieder aufgehoben werden.
  • Alternativ oder zusätzlich kann der Verfahrensschritt B im Rahmen der Bestimmung des Überwachungsparameters P die Ermittlung des Standorts des Users 13 vorsehen, so dass der Überwachungsparameter P der Entfernung des Standorts des Users 13 vom Standort des Netzwerks 10 entspricht, welcher in der Regel bekannt ist. Der erste Grenzwert Q weist eine vordefinierte Maximalentfernung auf, die im Rahmen des erfindungsgemäßen Vergleichs mit der Entfernung des Standorts des Users 13 vom Standort des Netzwerks 10 gemäß Verfahrensschritt C verglichen wird. Falls dabei festgestellt wird, dass der Standort des Users 13 weiter als die vordefinierte Maximalentfernung vom Standort des Netzwerks 10 entfernt ist, wird die Trennung D des Zugriffs veranlasst.
  • Weiterhin sieht das Verfahren gemäß 2 vor, dass die Bestimmung B des Überwachungsparameters P auch abhängig von dem Zugriff des Users 13 auf Dateien des Netzwerks 10 ist, wobei der Überwachungsparameter P im vorliegenden Ausführungsbeispiel der 2 der Anzahl der von dem User 13 geöffneten Dateien pro Stunde entspricht und wobei die Anzahl der vom User geöffneten Dateien als File Handles bezeichnet und protokolliert werden. Demgemäß bedeutet der vordefinierte Wert des ersten Grenzwerts bzw. des Quota-Werts von 50, dass der User 13 solange unauffällig ist, wie der User 13 weniger als 50 Dateien pro Stunde öffnet. Falls der User 13, beispielsweise aufgrund einer Infektion mit Ransomware, beginnt, vergleichsweise rasch und häufig Dateien zu kopieren, zu ändern und/oder zu löschen, überschreitet der Überwachungsparameter P den ersten Grenzwert Q, was durch den Verfahrensschritt C des Vergleichs erkannt wird. Demgemäß wird die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in der bereits beschriebenen Weise veranlasst. Solange der Überwachungsparameter P kleiner ist als der erste Grenzwert Q, wird das Verfahren mit der Bestimmung B des Überwachungsparameters P fortgesetzt.
  • Während die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 nach dem Verfahren gemäß 2 zwei Ursachen haben kann, nämlich ein unzulässiges Beenden eines Dienstes und/oder auffällig viele Dateiöffnungen, erfolgt in beiden Fällen jeweils die Trennung D des Zugriffs des Users.
  • 3 zeigt ein weiteres Ausführungsbeispiel des erfindungsgemäßen Verfahrens in einem Ablaufdiagramm. Zunächst erstellt der Administrator 15 des Netzwerks 10 eine User-Datenbank, die im vorliegenden Beispiel den User 13 beinhaltet (Verfahrensschritt E). Falls ein User 13 Zugriff auf das Netzwerk 10 ersucht, erfolgt in einem Verfahrensschritt eine Abfrage F, ob der User 13 in der User-Datenbank enthalten ist. Falls dies nicht der Fall ist, wird das Zugriffgsgesuch des Users 13 bereits als verdächtige Aktion wahrgenommen und es erfolgt die Trennung D des Zugriffs. Nur wenn der User 13 in der User-Datenbank enthalten ist, wird das Verfahren fortgesetzt und der Zugriff auf das Netzwerk 10 gewährt.
  • Daneben sieht das Verfahren im Verfahrensschritt E die Erstellung einer Usergruppe vor, deren Mitgliedern sämtliche Zugriffsberechtigungen aktiv verweigert sind. Mit der Zuteilung eines Users 13 zu dieser Usergruppe werden sämtliche Zugriffsberechtigungen dieses Users 13 unverzüglich verweigert, so dass der User 13 keine Interaktionen mehr mit dem Netzwerk 10 veranlassen kann. Insofern wird die Usergruppe auch als lokale Verweigerungsgruppe bezeichnet.
  • Insbesondere für eine individuell angepasste Bestimmung des ersten Grenzwerts Q ist eine Lernphase G vorgesehen, während der das Verhalten des Users 13 mit Dateien des Netzwerks 10 über eine vordefinierte zeitliche Dauer ermittelt wird. Im vorliegenden Ausführungsbeispiel wird durch die Auswertung des Verhaltens des Users 13 am Ende der Lernphase festgestellt, dass der User 13 im Durchschnitt etwa 20 Dateien pro Stunde öffnet, schreibt, kopiert oder löscht, was 20 File Handles entspricht. Auf dieser Grundlage werden im Abschluss der Lernphase G ein zweiter Grenzwert R, der auch als Warnwert bezeichnet wird, auf einen Wert von 25 und der erste Grenzwert Q auf einen Wert von 50 gesetzt, wodurch die Lernphase G des Verfahrens beendet wird. Der zweite Grenzwert R ist als Warnwert vergleichsweise geringfügig größer als der ermittelte Durchschnittswert der bestimmten File Handles des Users 13, um statistischen Schwankungen Rechnung zu tragen. Dagegen ist der erste Grenzwert Q wesentlich größer als die bestimmten, durchschnittlichen File Handles des Users 13 während der Lernphase G. Die Abhängigkeit des Überwachungsparameters P vom Zugriff des Users 13 auf Dienste des Netzwerks 10 wird durch die Lernphase G nicht beeinflusst.
  • Im weiteren Verlauf des Verfahrens wird der Überwachungsparameter P in der bereits in Zusammenhang mit dem Verfahren gemäß 2 beschriebenen Weise bestimmt (Verfahrensschritt B), wobei in diesem Zusammenhang geprüft wird, ob der User 13 Systemdienste deaktiviert, im vorliegenden Beispiel etwa den Systemdienst „Volume Shadow Copy“. Auch im Verfahren gemäß 3 erfolgt die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in Abhängigkeit des Vergleichs C des Überwachungsparameters P mit dem ersten Grenzwert Q, falls der User 13 den Systemdient „Volume Shadow Copy“ deaktiviert, wie dies bereits in Zusammenhang mit 2 beschrieben wurde, unabhängig von dem Ergebnis der Lernphase G. Das Verfahren veranlasst in diesem Fall unverzüglich die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10. Dabei wird die aktuelle Sitzung des Users 13 sofort getrennt. Daneben wird der User 13 der bereits beschriebenen User-Gruppe zugeordnet, wodurch sämtliche Zugriffsberechtigungen des Users 13 verweigert werden. Letzteres stellt auch nach einem erneuten Zugriff des Users 13 auf das Netzwerk 10 sicher, dass der User 13 nicht mehr mit dem Netzwerk 10 interagieren und weitere potentiell schadhafte Handlungen vornehmen kann. Außerdem wird der Port 445 zur Nutzung durch den User 13 gesperrt, so dass kein erneuter Zugriff des Users 13 auf das Netzwerk 10 erfolgen kann. Zugleich wird jeweils, wie bereits im Verfahren gemäß 2, eine E-Mail an den User 13 und an den Administrator 15 versendet, um auf die auffälligen Handlungen des Users 13 hinzuweisen. Damit kann der User 13 weitere Daten des Netzwerks weder kopieren, verschlüsseln, umbenennen oder löschen.
  • Erst nach eingehender Prüfung der Sachlage durch den Administrator 15 kann letzterer den User 13 manuell für den weiteren Zugriff auf das Netzwerk 10 freischalten, wobei sichergegangen werden kann, dass der User 13 insbesondere nicht mehr mit schädlicher Software, insbesondere Ransomware infiziert ist.
  • Nach der Bestimmung des Überwachungsparameters P erfolgt jedenfalls ein Vergleich C, ob der Überwachungsparameter P größer ist als der erste Grenzwert Q, mithin ob der Überwachungsparameter P größer ist als 50. Falls dies der Fall ist, erfolgt die Trennung D des Zugriffs des Users 13 auf das Netzwerk 10 in der bereits beschriebenen Weise. Falls der Überwachungsparameter P kleiner als der erste Grenzwert Q ist, wird das Verfahren fortgesetzt. Im Anschluss hieran erfolgt ein weiterer Vergleich H, ob der Überwachungsparameter P größer ist als der zweite Grenzwert R, der als Warnwert einen Wert von 25 aufweist. Falls dies der Fall ist, mithin der User 13 während einer Sitzung mehr als 25 Dateien pro Stunde geöffnet hat, ist der Überwachungsparameter P größer als der zweite Grenzwert R. In diesem Fall erhält der User 13 weiterhin Zugriff auf das Netzwerk 10; es werden jedoch E-Mails als Warnsignale an den User 13 selbst und an den Administrator 15 des Netzwerks 10 gesendet, die insbesondere die Verbindungsdaten des Users 13, die Zeit und Dauer seines Zugriffs und die geöffneten Dateien beinhalten (Verfahrensschritt I). Auf diese Weise werden sowohl der User 13 als auch der Administrator 15 auf ein (noch) geringfügig auffälliges Verhalten hingewiesen. Unabhängig vom Ergebnis des Vergleichs H wird das Verfahren gemäß 3 fortgesetzt, der User 13 behält Zugriff auf das Netzwerk 10 und der Überwachungsparameter P wird erneut bestimmt (Verfahrensschritt B).

Claims (13)

  1. Verfahren zur Steuerung des Zugriffs eines Users (13) auf ein Netzwerk (10) mit den folgenden Schritten: - Bestimmung (B) eines Überwachungsparameters (P), der dem Zugriff des Users (13) auf mindestens ein Programm und/oder mindestens einen Dienst und/oder mindestens eine Datei des Netzwerks (10) und/oder einer dem Netzwerk (10) und/oder dem User (13) zugeordneten Ortsinformation entspricht, - Vergleichen (C) des Überwachungsparameters (P) mit einem ersten Grenzwert (Q) und - Trennung (D) des Zugriffs des Users (13) auf das Netzwerk (10) in Abhängigkeit von dem Ergebnis des Vergleichs (C).
  2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass in dem Fall, in dem der User (13) mindestens ein insbesondere vordefiniertes Programm, insbesondere ein Dienst des Netzwerks (10) deaktiviert, der Überwachungsparameter (P) auf einen derart vordefinierten Wert gesetzt wird, dass die Trennung (D) des Zugriffs des Users (13) auf das Netzwerk (10) erfolgt.
  3. Verfahren nach einem der Ansprüche 1 oder 2, dadurch gekennzeichnet, dass die Bestimmung (B) des Überwachungsparameters (P) abhängig ist von der Anzahl der von dem User (13) geöffneten Dateien des Netzwerks (10), wobei insbesondere die Anzahl der vom User (13) geöffneten Dateien mindestens eine Aktion der folgenden Gruppe umfasst: Öffnen, Lesen, Schreiben, Umbenennen, Kopieren und Löschen einer Datei des Netzwerks (10) .
  4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, dass die dem Netzwerk (10) und/oder dem User (13) zugeordneten Ortsinformation dem Standort des Netzwerks und/oder des Users (13) entspricht und dass der Überwachungsparameter (P) insbesondere der Entfernung des Standorts des User (13) vom Standort des Netzwerks (10) entspricht.
  5. Verfahren nach einem der Ansprüche 1 bis 4, dadurch gekennzeichnet, dass die Bestimmung des Überwachungsparameters (P) über einen insbesondere vordefinierten Zeitraum erfolgt, der insbesondere durch einen Administrator (15) des Netzwerks (10) definiert wird.
  6. Verfahren nach einem der Ansprüche 1 bis 5, dadurch gekennzeichnet, dass der erste Grenzwert (Q) insbesondere von einem Administrator (15) des Netzwerks (10) vordefiniert ist und/oder durch eine Lernphase (G) über einen insbesondere benutzerdefinierten Zeitraum bestimmt wird.
  7. Verfahren nach einem der Ansprüche 1 bis 6, dadurch gekennzeichnet, dass die Trennung (D) des Zugriffs des Users (13) auf das Netzwerk (10) durch mindestens einen Schritt der folgenden Gruppe erfolgt: - Beenden der aktuellen Netzwerksitzung des Users (13) , - Verweigerung von einem weiteren Zugriff des Users (13) auf mindestens eine, vorzugsweise auf sämtliche Dateien des Netzwerks (10) und - Sperrung mindestens eines benutzerdefinierten Ports des Users (13) für den Zugriff auf das Netzwerk (10) .
  8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, dass die Trennung (D) des Zugriffs des Users (13) auf das Netzwerk (10) durch die Verweigerung von mindestens einer Zugriffsberechtigung des Users (13) erfolgt, insbesondere durch die Verweigerung von sämtlichen Zugriffsberechtigungen des Users (13) .
  9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, dass vor der Bestimmung (B) des Überwachungsparameters (P) eine Usergruppe erstellt wird, wobei jedem Mitglied der Usergruppe die Schreib- und/oder Leseberechtigung, insbesondere jede Zugriffsberechtigung verweigert ist, und bei der Trennung (D) des Zugriffs des Users (13) auf das Netzwerk der User (13) der Usergruppe zugewiesen wird.
  10. Verfahren nach einem der Ansprüche 1 bis 9, gekennzeichnet durch die Ausgabe (I) eines Warnsignals an den User (13) und/oder an einen Administrator (15) des Netzwerks (10) in Abhängigkeit von einem Vergleich (C) des Überwachungsparameters (P) mit einen zweiten Grenzwert (R), der verschieden ist von dem ersten Grenzwert, insbesondere kleiner als dieser ist.
  11. Verfahren nach einem der Ansprüche 1 bis 10, gekennzeichnet durch die folgenden Schritte: - eine Abfrage (F), ob der User (13) in einer bestehenden User-Datenbank des Netzwerks (10) existiert, und - die Trennung (D) des Zugriffs des Users (13) auf das Netzwerk (10), falls der User (13) nicht in der User-Datenbank existiert.
  12. Netzwerk (10) mit mindestens einer Datenverarbeitungseinrichtung (11), die dazu ausgestaltet ist, ein Verfahren nach einem der Ansprüche 1 bis 11 durchzuführen.
  13. Computerprogramm mit Programmcodemitteln, das dazu ausgestaltet ist, die Schritte des Verfahrens nach einem der Ansprüche 1 bis 11 durchzuführen, wenn das Computerprogramm auf einem Computer oder einer entsprechenden Recheneinheit ausgeführt wird, insbesondere auf einer Datenverarbeitungseinrichtung (11) eines Netzwerks (10) nach Anspruch 12.
DE102021131272.8A 2021-11-29 2021-11-29 Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm Pending DE102021131272A1 (de)

Priority Applications (3)

Application Number Priority Date Filing Date Title
DE102021131272.8A DE102021131272A1 (de) 2021-11-29 2021-11-29 Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm
PCT/EP2022/082144 WO2023094238A1 (de) 2021-11-29 2022-11-16 Verfahren zur steuerung des zugriffs eines users auf ein netzwerk, netzwerk und computerprogramm
IL313111A IL313111A (en) 2021-11-29 2024-05-26 A method of controlling a user's access to a network, a network, and a computer program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102021131272.8A DE102021131272A1 (de) 2021-11-29 2021-11-29 Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm

Publications (1)

Publication Number Publication Date
DE102021131272A1 true DE102021131272A1 (de) 2023-06-01

Family

ID=84387649

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021131272.8A Pending DE102021131272A1 (de) 2021-11-29 2021-11-29 Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm

Country Status (3)

Country Link
DE (1) DE102021131272A1 (de)
IL (1) IL313111A (de)
WO (1) WO2023094238A1 (de)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210126940A1 (en) 2019-10-24 2021-04-29 Arbor Networks, Inc. Mitigation of network denial of service attacks using ip location services
US20210297434A1 (en) 2019-02-25 2021-09-23 Verizon Digital Media Services Inc. Systems and methods for providing shifting network security via multi-access edge computing

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10503897B1 (en) * 2016-07-13 2019-12-10 Cybereason Detecting and stopping ransomware
US20210365550A1 (en) * 2018-06-07 2021-11-25 Hewlett-Packard Development Company, L.P. Comparing a generated event with a received record

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20210297434A1 (en) 2019-02-25 2021-09-23 Verizon Digital Media Services Inc. Systems and methods for providing shifting network security via multi-access edge computing
US20210126940A1 (en) 2019-10-24 2021-04-29 Arbor Networks, Inc. Mitigation of network denial of service attacks using ip location services

Also Published As

Publication number Publication date
IL313111A (en) 2024-07-01
WO2023094238A1 (de) 2023-06-01

Similar Documents

Publication Publication Date Title
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE112010003454B4 (de) Bedrohungserkennung in einem Datenverarbeitungssystem
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
DE60201430T2 (de) Erkennung von computerviren in einem netzwerk unter verwendung eines köderservers
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
DE102009058419A1 (de) Verfahren und System zum Detektieren von Regelverletzungen in einer Computervorrichtung
DE102005021064B4 (de) Verfahren und Vorrichtung zum Schutz gegen Buffer Overrun-Attacken
DE112008002462T5 (de) Datensicherheitsvorrichtung
DE112010004526T5 (de) System, Verfahren und Vorrichtung für eine Gleichzeitige Festlegung und Durchsetzung von Richtlinien zur Zugriffskontrolle und Integrität
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
DE102013104053A1 (de) Sicherheitssystem und -verfahren zur Kontrolle und zur Steuerung der Interaktionen zwischen Komponenten eines Computersystems
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
DE10241974B4 (de) Überwachung von Datenübertragungen
DE102021131272A1 (de) Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm
DE112017001052T5 (de) Erkennungssystem, Webanwendungsvorrichtung, Webanwendungs-Firewallvorrichtung, Erkennungsverfahren für Erkennungssystem, Erkennungsverfahren für Webanwendungsvorrichtung und Erkennungsverfahren für Webanwendungs-Firewallvorrichtung
DE102022214427A1 (de) Informationsverarbeitungsvorrichtung und steuerverfahren der informationsverarbeitungsvorrichtung
EP3286683A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
DE19734585C2 (de) Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen
DE102018221349A1 (de) Verfahren zur Verwaltung eines Speichers
DE102019106912A1 (de) Gefährdungserfassungssystem
EP1105798B1 (de) Verfahren, anordnung sowie ein satz mehrerer anordnungen zum schutz mehrerer programme und/oder mehrerer dateien vor einem unbefugten zugriff durch einen prozess
EP4329242A1 (de) Verfahren und systemanordnung zum proaktiven einstellen einer sicherheitskonfiguration
EP4332803A1 (de) Verfahren zur erkennung eines unberechtigten zugriffs auf nutzdaten in einem cloudspeicher

Legal Events

Date Code Title Description
R163 Identified publications notified
R012 Request for examination validly filed