DE10249843A1 - Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung - Google Patents

Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung

Info

Publication number
DE10249843A1
DE10249843A1 DE10249843A DE10249843A DE10249843A1 DE 10249843 A1 DE10249843 A1 DE 10249843A1 DE 10249843 A DE10249843 A DE 10249843A DE 10249843 A DE10249843 A DE 10249843A DE 10249843 A1 DE10249843 A1 DE 10249843A1
Authority
DE
Germany
Prior art keywords
network
ips
noise reduction
signature file
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10249843A
Other languages
English (en)
Inventor
Richard Paul Tarquini
Richard Louis Schertz
George Simon Gales
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10249843A1 publication Critical patent/DE10249843A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

Ein Verfahren zum Analysieren von Paketen an einem Knoten eines Netzes durch ein Einbruchpräventationssystem wird geschaffen, das durch den Knoten ausgeführt wird, das ein Lesen eines Pakets durch das Einbruchpräventationssystem, ein Vergleichen des Pakets mit einer maschinenlesbaren Signaturdatei, ein Bestimmen, ob das Paket eine Paketsignatur aufweist, die der maschinenlesbaren Signaturdatei entspricht, und ein Bestimmen aufweist, ob die maschinenlesbare Signaturdatei eine zugeordnete Rauschunterdrückung aufweist, die eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsperiode aufweist. Ein computerlesbares Medium wird geschaffen, auf dem ein Satz von Instruktionen, die ausgeführt werden sollen, gespeichert ist, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor ausgeführt werden, bewirken, daß der Prozessor ein Computerverfahren zum Lesen eines Pakets, zum Vergleichen des Pakets mit einer maschinenlesbaren Signaturdatei, zum Bestimmen, ob das Paket eine Paketsignatur aufweist, die der maschinenlesbaren Signaturdatei entspricht, und zum Bestimmen ausführt, ob die maschinenlesbare Signaturdatei eine zugeordnete Rauschunterdrückung aufweist, die eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsperiode aufweist.

Description

  • Diese Erfindung bezieht sich auf Netztechnologien und spezieller auf ein Verfahren und ein computerlesbares Medium zum Unterdrücken einer Ausführung von Anweisungen einer Signaturdatei während einer Netzwerkausbeutung.
  • Netzwerkausbeutungs-Angriffswerkzeuge, wie DoS- Angriffsdienstprogramme (DoS = denial-of-service = Dienstverweigerung) werden technisch immer ausgereifter, und aufgrund der sich entwickelnden Technologien sind sie einfach auszuführen. Technisch relativ ungebildete Angreifer können Computersystembeeinträchtigungen arrangieren oder in dieselben involviert sein, die auf eine oder mehrere ins Ziel gefaßte Einrichtungen gerichtet sind. Ein Netzsystemangriff (der hierin auch als Eindringen bezeichnet wird) ist eine unautorisierte oder böswillige Verwendung eines Computers oder eines Computernetzes und kann Hunderte oder Tausende von ungeschützten oder anderweitig beeinträchtigte Internetknoten zusammen in einem koordinierten Angriff auf ein oder mehrere ausgewählte Ziele umfassen.
  • Netzangriffswerkzeuge basierend auf dem Client- /Servermodell sind zu einem bevorzugten Mechanismus zum Ausführen von Netzangriffen auf ins Ziel gefaßte Netze oder Vorrichtungen geworden. Hochkapazitätsmaschinen in Netzen, die über eine unzureichende Sicherheit verfügen, werden von Angreifern gerne genutzt, um verteilte Angriffe von denselben zu starten. Universitätsserver weisen typischerweise eine hohe Konnektivität und Kapazität, jedoch eine relativ mittelmäßige Sicherheit auf. Solche Netze haben auch häufig unerfahrene oder überarbeite Netzwerkadministratoren, die die Netze für die Involvierung in Netzangriffe sogar noch anfälliger machen.
  • Netzausbeutungs-Angriffswerkzeuge, die feindliche Angriffsanwendungen wie DoS-Dienstprogramme aufweisen, die zum Übertragen von Daten über ein Netzmedium verantwortlich sind, weisen häufig eine unterscheidbare "Signatur" oder ein erkennbares Muster innerhalb der übertragenen Daten auf. Die Signatur kann eine erkennbare Sequenz von speziellen Paketen und/oder erkennbaren Daten aufweisen, die innerhalb von einem oder mehreren Paketen enthalten sind. Eine Signaturanalyse wird häufig durch ein Netz-IPS (IPS = intrusion prevention system = Einbruchpräventionssystem) ausgeführt und kann als ein Musterübereinstimmungsalgorithmus implementiert sein und kann andere Signaturerkennungsfähigkeiten sowie Anwendungsüberwachungs-Dienstprogramme einer höheren Ebene aufweisen. Ein einfacher Signaturanalysealgorithmus kann nach einer speziellen Zeichenfolge suchen, die als einer feindlichen Anordnung zugeordnet identifiziert worden ist. Sobald die Zeichenfolge innerhalb eines Netzdatenstroms identifiziert worden ist, können das eine oder die mehreren Pakete, die die Zeichenfolge tragen, als "feindlich" oder ausbeutend identifiziert werden, und das IPS kann dann eine beliebige oder mehrere von einer Anzahl von Maßnahmen, wie Registrieren der Identifizierung des Rahmens, Ausführen einer Gegenmaßnahme oder Ausführen einer weiteren Datenarchivierungs- oder Schutzmaßnahme, ausführen.
  • Die IPS umfassen eine Technologie, die versucht, Ausbeutungen gegenüber einem Computersystem oder Netz von Computersystemen zu identifizieren. Zahlreiche Typen von IPS existieren und sind jeweils allgemein als entweder ein netzbasiertes, hostbasiertes oder knotenbasiertes IPS klassifiziert.
  • Die netzbasierten IPS-Vorrichtungen sind typischerweise dedizierte (bzw. zweckgebundene) Systeme, die an strategischen Stellen auf einem Netz plaziert sind, um Datenpakete zu untersuchen, um zu bestimmen, ob sie mit bekannten Angriffssignaturen übereinstimmen. Um Pakete mit bekannten Angriffssignaturen zu vergleichen, nutzen die netzwerkbasierten IPS-Vorrichtungen einen Mechanismus, der als eine passive Protokollanalyse bezeichnet wird, um den gesamten Verkehr auf einem Netz unauffällig zu überwachen oder zu durchschnüffeln und um Ereignisse auf einer unteren Ebene, die von einem rohen Netzverkehr unterschieden werden können, zu erfassen. Die Netzausbeutungen können durch Identifizieren von Mustern oder andere beobachtbare Charakteristika von Netzrahmen erfaßt werden. Die netzbasierten IPS- Vorrichtungen untersuchen den Inhalt von Datenpaketen durch syntaktisches Analysieren von Netzrahmen und Paketen und Analysieren individueller Pakete basierend auf den Protokollen, die auf dem Netz verwendet werden. Eine netzbasierte IPS-Vorrichtung überwacht auf unauffällige Weise den Netzverkehr, d.h. andere Netzknoten können sich des Vorhandenseins der netzbasierten IPS-Vorrichtung nicht bewußt sein und tun dies auch häufig nicht. Eine passive Überwachung wird normalerweise durch eine netzbasierte IPS- Vorrichtung durch Implementieren eines "Wahllos-Modus"- Zugriffs von einer Netzschnittstellenvorrichtung ausgeführt. Eine Netzschnittstellenvorrichtung, die in dem wahllosen Modus arbeitet, kopiert Pakete direkt von dem Netzmedium, wie einem Koaxialkabel, einem 100baseT- oder anderem Übertragungsmedium, ungeachtet des Bestimmungsknotens, an den das Paket adressiert ist. Folglich ist kein einfaches Verfahren zum Übertragen von Daten über das Netzübertragungsmedium vorhanden, ohne daß die netzbasierte IPS-Vorrichtung dasselbe untersucht, und so kann die netzbasierte IPS-Vorrichtung den gesamten Netzverkehr, dem sie ausgesetzt ist, erfassen und analysieren. Nach der Identifizierung eines auffälligen Pakets, d.h. eines Pakets, das Attribute aufweist, die einer bekannten Angriffssignatur entsprechen, die auf ein Erscheinen durch die netzbasierte IPS-Vorrichtung überwacht wird, kann ein Alarm dadurch erzeugt werden und an ein Verwaltungsmodul des IPS übertragen werden, so daß ein Netzexperte Sicherheitsmaßnahmen umsetzen kann. Die netzbasierten IPS-Vorrichtungen haben den zusätzlichen Vorteil, daß sie in Echtzeit arbeiten und so einen Angriff, während dieser geschieht, erfassen können. Außerdem ist eine netzbasierte IPS-Vorrichtung ideal zur Implementierung einer statusbasierten IPS- Sicherheitsmaßnahme, die eine Anhäufung und Speicherung von identifizierten auffälligen Paketen von Angriffen erfordert, die nicht "atomar" identifiziert werden können, d.h. durch ein einzelnes Netzpaket. Zum Beispiel sind TCP- (TCP = transmission control protocol = Übertragungssteuerungsprotokoll) SYN- (SYN = synchronization = Synchronisierung) Flutattacken nicht durch ein einzelnes TCP-SYN-Paket identifizierbar, sondern werden allgemein vielmehr durch ein Anhäufen eines Zählwerts von TCP-SYN-Paketen identifiziert, die eine vordefinierte Schwelle über einen definierten Zeitraum überschreiten. Eine netzbasierte IPS-Vorrichtung ist daher eine ideale Plattform zum Implementieren einer statusbasierten Signaturerfassung, weil die netzbasierte IPS-Vorrichtung alle diese TCP-SYN-Pakete sammeln kann, die sich über das lokale Netzmedium bewegen, und kann daher die Häufigkeit von solchen Ereignissen ordnungsgemäß archivieren und analysieren.
  • Die netzbasierten IPS-Vorrichtungen können jedoch häufig eine große Anzahl von "falschen Positiven", d.h. unrichtigen Diagnosen eines Angriffs, erzeugen. Falsche Positivdiagnosen durch netzbasierte IPS-Vorrichtungen ergeben sich teilweise durch Fehler, die während einer passiven Analyse des Netzverkehrs erzeugt werden, die durch das IPS erfaßt werden, die in einer beliebigen Anzahl von netzunterstützten Protokollen verschlüsselt und formatiert werden können. Ein inhaltsmäßiges Abtasten durch ein netzbasiertes IPS ist auf einer verschlüsselten Verknüpfung nicht möglich, obwohl die Signaturanalyse basierend auf Protokollanfangsblöcken ungeachtet dessen ausgeführt werden kann, ob die Verknüpfung verschlüsselt ist oder nicht. Zusätzlich sind die netzbasierten IPS-Vorrichtungen bei Hochgeschwindigkeitsnetzen häufig uneffektiv. Da Hochgeschwindigkeitsnetze immer üblicher werden, werden die software-basierten, netzbasierten IPS-Vorrichtungen, die versuchen, alle Pakete auf einer Verknüpfung zu durchschnüffeln, immer weniger zuverlässig. Am bedeutsamsten ist die Tatsache, daß die netzbasierten IPS-Vorrichtungen keine Angriffe verhindern können, es sei denn, sie sind in ein Brandmauerschutzsystem integriert und werden in Verbindung mit demselben betrieben.
  • Hostbasierte IPS erfassen Einbrüche durch Überwachen von Anwendungsschichtdaten. Hostbasierte IPS verwenden intelligente Agenten, um Computerprüfprotokolle auf auffällige Aktivitäten zu überprüfen und jede Veränderung in den Protokollen mit einer Bibliothek von Angriffssignaturen oder Benutzerprofilen zu vergleichen. Die hostbasierten IPS können auch Schlüsselsystemdateien und ausführbare Dateien auf unerwartete Veränderungen hin abrufen. Die hostbasierten IPS werden als solche bezeichnet, weil sich die IPS- Dienstprogramme auf dem System befinden, dem sie zugeordnet sind, um dasselbe zu schützen. Die hostbasierten IPS verwenden typischerweise Überwachungstechniken auf Anwendungsebene, die Anwendungsprotokolle untersuchen, die durch verschiedene Anwendungen unterhalten werden. Zum Beispiel kann ein hostbasiertes IPS eine Datenbankmaschine, die gescheiterte Zugriffsversuche und/oder Modifizierungen auf Systemkonfigurationen registriert, überwachen. Alarme können an einen Verwaltungsknoten nach der Identifizierung von Ereignissen geliefert werden, die von dem Datenbankprotokoll gelesen wurden, die als auffällig identifiziert worden sind. Hostbasierte IPS erzeugen allgemein sehr wenig falsche Positive. Hostbasierte IPS, wie Protokollwächter, sind jedoch allgemein auf ein Identifizieren von Einbrüchen beschränkt, die bereits stattgefunden haben, und sind auch auf Ereignisse beschränkt, die sich auf dem einzelnen Host ereignen. Weil sich die Protokollwächter auf ein Überwachen von Anwendungsprotokollen stützen, werden Schäden, die aus dem registrierten Angriff resultieren, allgemein bis zu dem Zeitpunkt, als der Angriff durch das IPS identifiziert worden ist, bereits stattgefunden haben. Einige hostbasierte IPS können einbruchspräventive Funktionen, wie "Einhaken" (Hooking) oder "Auffangen" (Intercepting) von Betriebssystems-Anwendungsprogrammierschnittstellen, ausführen, um die Ausführung von präventiven Operationen durch ein IPS basierend auf einer Anwendungsschichtaktivität, die einbruchsbezogen zu sein scheint, ausführen. Weil ein Einbruch, der in dieser Weise erfaßt wird, bereits ein beliebiges IPS auf unterer Ebene umgangen hat, stellt ein hostbasiertes IPS eine letzte Schicht der Verteidigung gegen eine Netzausbeutung dar. Die hostbasierten IPS sind jedoch zum Erfassen von Netzereignissen auf einer unteren Ebene, wie z.B. Protokollereignisse, nicht nützlich.
  • Die knotenbasierten IPS wenden die Einbruchserfassung und/oder Präventionstechnologie auf dem System an, das geschützt wird. Ein Beispiel von knotenbasierten IPS- Technologien ist die Reihen-Einbruchserfassung (Inline- Einbruchserfassung). Ein knotenbasiertes IPS kann an jedem Knoten des Netzes, der geschützt werden soll, implementiert sein. Die Reihen-IPS (Inline-IPS) weisen Einbruchserfassungstechnologien auf, die in dem Protokollstapel des geschützten Netzknotens eingebettet sind. Weil das Reihen- IPS innerhalb des Protokollstapels eingebettet ist, bewegen sich sowohl eingehende als auch ausgehende Daten durch das Reihen-IPS und sind einer Überwachung durch dasselbe unterworfen. Ein Reihen-IPS überwindet viele der Schwächen, die netzbasierten Lösungen eigen sind. Wie vorstehend erwähnt ist, sind die netzbasierten Lösungen allgemein ineffektiv beim Überwachen von Hochgeschwindigkeitsnetzen aufgrund der Tatsache, daß die netzbasierten Lösungen versuchen, den gesamten Netzverkehr auf einer gegebenen Verknüpfung zu überwachen. Die Reihen-Einbruchspräventionssysteme überwachen jedoch nur den Verkehr, der an den Knoten gerichtet ist, auf dem das Reihen-IPS installiert ist. So können die Angriffspakete ein Reihen-IPS auf einer ins Ziel gefaßten Maschine nicht physisch umgehen, weil sich das Paket durch den Protokollstapel der ins Ziel gefaßten Vorrichtung bewegen muß. Eine beliebige Umgebung eines Reihen-IPS durch ein anderes Paket muß vollständig durch "logisches" Umgehen des IPS erfolgen, d.h. ein Angriffspaket, das ein Reihen- IPS vermeidet, muß dies in einer Weise tun, die bewirkt, daß das Reihen-IPS das Angriffspaket nicht oder nicht ordnungsgemäß identifiziert. Zusätzlich versehen die Reihen-IPS die Hostknoten mit Überwachungs- und Erfassungsfähigkeiten einer unteren Ebene, die jenen eines Netz-IPS ähneln, und können eine Protokollanalyse und Signaturübereinstimmung oder eine andere Überwachung oder Filterung des Hostverkehrs auf unterer Ebene liefern. Der wichtigste Vorteil, den die Reihen-IPS-Technologien bieten, ist, daß die Angriffe erfaßt werden, während sie geschehen. Während die hostbasierten IPS Angriffe durch Überwachen von Systemprotokollen bestimmen, involviert eine Reihen- Einbruchserfassung das Überwachen eines Netzverkehrs und das Isolieren jener Pakete, bei denen festgestellt wurde, daß sie Teil eines Angriffs gegen den Hostserver sind, und so ein Ermöglichen, daß das Reihen-IPS tatsächlich verhindert, daß der Angriff erfolgreich verläuft. Wenn bestimmt worden ist, daß ein Paket Teil eines Angriffs ist, kann die Reihen-IPS-Schicht das Paket aussortieren und somit verhindern, daß das Paket die obere Schicht des Protokollstapels erreicht, wo das Angriffspaket einen Schaden verursachen kann - ein Effekt, der im wesentlichen eine lokale Brandmauer für den Server erzeugt, der das Reihen-IPS hostet und dasselbe vor Bedrohungen schützt, die entweder aus einem externen Netz, wie dem Internet, oder aus dem Inneren des Netzes kommen. Ferner kann die Reihen-IPS-Schicht innerhalb des Protokollstapels bei einer Schicht eingebettet sein, wo die Pakete so verschlüsselt worden sind, daß das Reihen-IPS effektiv auf einem Netz mit verschlüsselten Verknüpfungen arbeitet. Zusätzlich kann das Reihen-IPS den ausgehenden Verkehr überwachen, weil sich sowohl der eingehende als auch der ausgehende Verkehr, der jeweils für einen Server bestimmt ist und von demselben entstammt, der das Reihen- IPS hostet, durch den Protokollstapel bewegen muß.
  • Obwohl die Vorteile der Reihen-IPS-Technologien zahlreich sind, bestehen bei der Implementierung eines solchen Systems einige Nachteile. Die Reihen-Einbruchserfassung ist allgemein prozessorintensiv und kann das Verhalten des Knotens, der das Erfassungsdienstprogramm hostet, beeinträchtigen. Zusätzlich können die Reihen-IPS zahlreiche falschpositive Angriffsdiagnosen erzeugen. Ferner können die Reihen-IPS ein systematisches Sondieren eines Netzes erfassen, wie ein solches, das durch Wiedererkennungsangriffs-Dienstprogramme ausgeführt wird, weil nur der Verkehr am lokalen Server, der das Reihen-IPS hostet, dadurch überwacht wird.
  • Jede der netzbasierten, hostbasierten und reihenbasierten IPS-Technologien weist jeweilige Vorteile, die vorstehend beschrieben sind, auf. Idealerweise umfaßt ein Einbruchpräventionssystem alle zuvor erwähnten Einbruchserfassungsstrategien. Zusätzlich kann ein IPS einen oder mehrere Ereigniserzeugungsmechanismen aufweisen, die identifizierbare Ereignisse an eine oder mehrere Verwaltungseinrichtungen berichten. Ein Ereignis kann eine identifizierbare Serie von System- oder Netzbedingungen aufweisen oder sie kann eine einzelne identifizierte Bedingung aufweisen. Ein IPS kann auch einen Analysemechanismus oder ein Modul aufweisen und kann Ereignisse analysieren, die durch den einen oder mehrere Ereigniserzeugungsmechanismus erzeugt werden.
  • Ein Speicherungsmodul kann innerhalb eines IPS zum Speichern von Daten umfaßt sein, die den einbruchsbezogenen Ereignissen zugeordnet sind. Ein Gegenmaßnahmenmechanismus kann auch innerhalb des IPS zum Ausführen einer Maßnahme umfaßt sein, die eine erfaßte Ausbeutung vereiteln oder verweigern kann.
  • Typische IPS sind besonders für Ausbeutungen des Bandbreitenverbrauchstyps wie verteilte Dienstverweigerungsangriffe anfällig. Diese Ausbeutungen überfluten das ins Ziel gefaßte System in einem Versuch, alle verfügbaren Betriebsmittel zu verbrauchen und das Betriebssystem und/oder das IPS lahmzulegen. Typische Bandbreitenverbrauchsangriffe nehmen die Form eines verteilten koordinierten Angriffs von vielen Maschinen an, die den Angriff auf einen einzelnen ins Ziel gefaßten Knoten richten. Selbst ein IPS, das den Angriff erkennen kann, häufig nicht in der Lage ist, das ins Ziel gefaßte System vor einem solchen Angriff zu verteidigen, da der Angreifer einfach die Anzahl von Systemen erhöhen kann, die in dem verteilten Angriff umfaßt sind, bis der Betrag der Verarbeitung, die durch das ins Ziel gefaßte System zum Verwalten einer einbruchsbezogenen Ereignisverarbeitung erforderlich ist, den Knoten überwältigt.
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein Verfahren und ein computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisungen während einer Netzausbeutung zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1 und ein computerlesbares Medium gemäß Anspruch 6 gelöst.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird ein Verfahren zum Analysieren von Rahmen an einem Knoten eines Netzes durch ein Einbruchspräventionssystem, das durch den Knoten ausgeführt wird, das ein Lesen eines Rahmens durch das Einbruchspräventionssystem, ein Vergleichen des Rahmens mit einer maschinenlesbaren Signaturdatei, ein Bestimmen, ob der Rahmen eine Rahmensignatur aufweist, die der maschinenlesbaren Signaturdatei entspricht, und ein Bestimmen, ob die maschinenlesbare Signaturdatei einen zugeordneten Rauschunterdrücker (Squelch) aufweist, der eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsdauer aufweist, geschaffen.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein computerlesbares Medium, auf dem ein Satz von Instruktionen, die ausgeführt werden sollen, gespeichert ist, wobei der Satz von Instruktionen, der, wenn sie durch einen Prozessor ausgeführt werden, bewirken, daß der Prozessor ein Computerverfahren zum Lesen eines Rahmens, zum Vergleichen des Rahmens mit einer maschinenlesbaren Signaturdatei, zum Bestimmen, ob der Rahmen eine Rahmensignatur aufweist, die der maschinenlesbaren Signaturdatei entspricht, und zum Bestimmen, ob die maschinenlesbare Signaturdatei einen zugeordneten Rauschunterdrücker aufweist, der eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsdauer aufweist, geschaffen.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig. 1 eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung gemäß dem Stand der Technik;
  • Fig. 2 ein umfassendes Einbruchspräventionssystem, das netzbasierte und hybrid-hostbasierte und knotenbasierte Einbrucherfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt;
  • Fig. 3 einen exemplarischen Netzprotokollstapel gemäß dem Stand der Technik;
  • Fig. 4 einen Netzknoten, der ein Beispiel (Instanz) einer Einbruchsschutzsystem-Anwendung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung betreiben kann;
  • Fig. 5 einen exemplarischen Netzknoten, der als ein Verwaltungsknoten innerhalb eines Netzes arbeiten kann, das durch das Einbruchsschutzsystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung geschützt ist;
  • Fig. 6 einen exemplarischen Protokollstapel mit einem Einbruchspräventionssystem, das in denselben eingebracht ist und in dem ein Signaturanalyseprozeß gemäß einem Ausführungsbeispiel der vorliegenden Erfindung verwendet werden kann; und
  • Fig. 7 ein Flußdiagramm einer Signaturanalyseprozedur gemäß einem Ausführungsbeispiel der vorliegenden Erfindung.
  • Das bevorzugte Ausführungsbeispiel der vorliegenden Erfindung und seine Vorteile werden unter Bezugnahme auf Fig. 1 bis 7 der Zeichnungen, wo identische Bezugszeichen für identische und entsprechende Teile der verschiedenen Zeichnungen verwendet werden, am besten verständlich.
  • In Fig. 1 ist eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung dargestellt, wobei das dargestellte Beispiel eine vereinfachte Anordnung des verteilten Einbruchsnetzes 40 zeigt, die typisch für verteilte Systemangriffe ist, die auf eine Zielmaschine 30 gerichtet sind. Eine Angriffsmaschine 10 kann eine Ausführung eines verteilten Angriffs durch eine beliebige Anzahl von Angreiferangriffsagenten 20A-20N durch eine von zahlreichen Techniken, wie einer Fernsteuerung durch die IRC-Roboteranwendungen, anweisen. Die Angriffsagenten 20A-20N, die auch als "Zombies" und "Angriffsagenten" bezeichnet werden, sind allgemein Computer, die zur öffentlichen Nutzung verfügbar sind oder die so beeinträchtigt worden sind, daß ein verteilter Angriff im Anschluß an einen Befehl einer Angriffsmaschine 10 gestartet werden kann. Zahlreiche Typen von verteilten Angriffen können gegen eine Zielmaschine 30 gestartet werden. Die Zielmaschine 30 kann einen umfassenden Schaden durch gleichzeitige Angriffe durch die Angriffsagenten 20A-20N erleiden, und die Angriffsagenten 20A-20N können durch die Client- Angriffsanwendung ebenso beschädigt werden. Ein verteiltes Einbruchsnetz kann eine zusätzliche Schicht von Maschinen aufweisen, die in einen Angriff zwischen der Angriffsmaschine 10 und den Angriffsagenten 20A-20N involviert sind. Diese Zwischenmaschinen werden allgemein als "Handhabungseinrichtungen" ("Handler") bezeichnet und jede Handhabungseinrichtung kann einen oder mehrere Angriffsagenten 20A-20N steuern. Die Anordnung, die zum Ausführen einer Computersystembeeinträchtigung gezeigt ist, ist nur illustrativ und kann zahlreiche Anordnungen beeinträchtigen, die so einfach sind wie eine einzelne Angriffsmaschine 10, die eine Zielmaschine 30 durch z.B. Senden eines bösartigen Sondierungspakets oder anderer Daten, die die Zielmaschine 30 beeinträchtigen sollen, angreift. Die Zielmaschine kann mit einem größeren Netz verbunden sein und ist dies auch häufig, und ein Angriff auf dieselbe durch die Angriffsmaschine 10 kann einen Schaden an einer großen Ansammlung von Computersystemen bewirken, die sich häufig innerhalb des Netzes befinden.
  • In Fig. 2 ist ein umfassendes Einbruchspräventionssystem dargestellt, das netzbasierte und hybridhostbasierte/knotenbasierte Einbruchserfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt. Ein oder mehrere Netze 100 können mit dem Internet 50 über einen Router 45 oder eine andere Vorrichtung schnittstellenmäßig verbunden sein. Bei dem veranschaulichenden Beispiel weist das Netz 100 zwei Ethernet-Netze 55 und 56 auf. Das Ethernet-Netz 55 weist einen Webinhaltsserver 270A und einen Dateitransport-Protokollinhaltsserver 270B auf. Das Ethernet-Netz 56 weist einen Domain-Namenserver 270C, einen Mail-Server 270D, einen Datenbank-Server 270E und einen Dateiserver 270F auf. Ein Brandmauer-/Proxy-Router 60, der zwischen den Ethernets 55 und 56 angeordnet ist, liefert für die verschiedenen Systeme des Netzes 56 eine Sicherheits- und Adreßauflösung. Eine netzbasierte IPS- Vorrichtung 80 und 81 ist jeweils auf beiden Seiten des Brandmauer-/Proxy-Routers 60 implementiert, um die Überwachung von versuchten Angriffen auf ein oder mehrere Elemente der Ethernet-Netze 55 und 56 zu erleichtern und um eine Aufzeichnung von erfolgreichen Angriffen zu erleichtern, die den Brandmauer-/Proxy-Router 60 erfolgreich durchdringen. Die netzbasierten IPS-Vorrichtungen 80 und 81 können jeweils eine Datenbank 80A und 81A der bekannten Angriffssignaturen oder Regeln aufweisen (oder alternativ mit derselben verbunden sein), mit denen die Netzrahmen, die dadurch erfaßt wurden, verglichen werden können. Alternativ kann eine einzelne Datenbank (nicht gezeigt) innerhalb eines Netzes 100 zentral angeordnet sein, und netzbasierte IPS-Vorrichtungen 80 und 81 können auf dieselbe zugreifen. Dementsprechend kann die netzbasierte IPS-Vorrichtung 80 alle Pakete, die vom Internet 50 in das Netz 100 eingehen und am Ethernet-Netz 55 ankommen, überwachen. Desgleichen kann eine netzbasierte IPS-Vorrichtung 81 alle Pakete, die durch den Brandmauer-/Proxy-Router 60 zur Auslieferung an das Ethernet-Netz 56 passiert werden, überwachen und vergleichen. Ein IPS-Verwaltungsknoten 85 kann auch Teil des Netzes 100 sein, um die Konfiguration und Verwaltung der IPS-Komponenten im Netz 100 zu erleichtern.
  • Angesichts der vorstehend angemerkten Unzulänglichkeiten der netzbasierten Einbruchspräventionssysteme ist vorzugsweise ein hybrid-hostbasiertes und knotenbasiertes Einbruchspräventionssystem innerhalb eines jeden der verschiedenen Knoten, wie den Servern 270A-270N (die hierin auch als "Knoten" bezeichnet werden), des Ethernet-Netzes 55 und 56 im gesicherten Netz 100 implementiert. Der Verwaltungsknoten 85 kann Alarmmitteilungen von den jeweiligen Knoten innerhalb des Netzes 100 nach der Erfassung eines Einbruchsereignisses durch eine beliebige der netzbasierten IPS-Vorrichtungen 80 und 81 sowie einen beliebigen der Knoten des Netzes 100, auf dem ein hybrid-agentenbasiertes und knotenbasiertes IPS implementiert ist, empfangen. Zusätzlich kann jeder Knoten 270A-270F ein lokales Dateisystem zum Archivieren von einbruchsbezogenen Ereignissen, zum Erzeugen von einbruchsbezogenen Meldungen und zum Speichern von Signaturdateien, im Vergleich zu denen die lokalen Netzrahmen und/oder Pakete untersucht werden, nutzen.
  • Vorzugsweise sind die netzbasierten IPS-Vorrichtungen 80 und 81 dedizierte Entitäten zum Überwachen des Netzverkehrs auf den zugeordneten Ethernets 55 und 56 des Netzes 100. Um die Einbruchserfassung bei Hochgeschwindigkeitsnetzen zu erleichtern, weisen die netzbasierten IPS-Vorrichtungen 80 und 81 vorzugsweise einen großen Erfassungs-RAM zum Erfassen von Paketen auf, da diese auf den jeweiligen Ethernet- Netzen 55 und 56 ankommen. Zusätzlich wird bevorzugt, daß die netzbasierten IPS-Vorrichtungen 80 und 81 jeweils hardwarebasierte Filter zum Filtern des Netzverkehrs aufweisen, obwohl ein IPS-Filtern durch die netzbasierten IPS- Vorrichtungen 80 und 81 in einer Software implementiert sein kann. Außerdem können die netzbasierten IPS- Vorrichtungen 80 und 81 z.B. durch Anforderung des IPS- Verwaltungsknotens 85 konfiguriert sein, um eine oder mehrere spezifische Vorrichtungen und nicht alle Vorrichtungen auf einem gemeinsamen Netz zu überwachen. Zum Beispiel kann eine netzbasierten IPS-Vorrichtung 80 angewiesen werden, nur den Netzdatenverkehr zu überwachen, der an den Webserver 270A adressiert ist.
  • Die hybrid-hostbasierten/knoten-basierten Einbruchspräventionssystemtechnologien können auf allen Knoten 270A-270N auf den Ethernet-Netzen 55 und 56 implementiert sein, die durch einen Netzangriff ins Ziel gefaßt werden können. Allgemein besteht jeder Knoten aus einem umprogrammierbaren Computer mit einer CPU (CPU = central processing unit = zentrale Verarbeitungseinheit), einem Speichermodul, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU wiedergewinnbar und ausführbar ist, und kann ferner verschiedene Peripherievorrichtungen, wie einen Anzeigemonitor, eine Tastatur, eine Maus und eine andere Vorrichtung, die mit demselben verbunden sind, aufweisen. Ein Speicherungsmedium, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die zum Speichern von Daten betreibbar ist, kann mit dem Speichermodul verbunden sein und dadurch zugreifbar sein und kann eine oder mehrere Datenbanken zum Archivieren von lokalen Einbruchsereignissen und Einbruchsereignisberichten liefern. Ein Betriebssystem kann in das Speichermodul, z.B. nach dem Booten des jeweiligen Knotens, geladen werden und eine Instanz eines Protokollstapels sowie verschiedene Softwaremodule der unteren Ebene aufweisen, die für Aufgaben, wie ein schnittstellenmäßiges Verbinden mit einer Peripheriehardware, ein Planen von Aufgaben, eine Zuweisung der Speicherung sowie anderer Systemaufgaben, erforderlich sind. Jeder Knoten, der durch das hybrid-hostbasierte und knoten-basierte IPS der vorliegenden Erfindung geschützt ist, weist dementsprechend eine IPS-Softwareanwendung auf, die innerhalb des Knotens beibehalten wird, wie in einer magnetischen Festplatte, die durch das Betriebssystem wiedergewinnbar und durch die zentrale Verarbeitungseinheit ausführbar ist. Zusätzlich weist jeder Knoten, der eine Instanz der IPS-Vorrichtung ausführt, eine lokale Datenbank auf, von der aus Signaturbeschreibungen von dokumentierten Angriffen vom Speicher geholt und mit einem Paket oder Rahmen von Daten verglichen werden können, um eine Entsprechung zwischen denselben zu erfassen. Die Erfassung einer Entsprechung zwischen einem Paket oder Rahmen an einem IDS- Server kann zur Ausführung von einer beliebigen oder mehreren von verschiedenen Sicherheitsprozeduren führen.
  • Das unter Bezugnahme auf Fig. 2 beschriebene IPS kann auf einer beliebigen Anzahl von Plattformen implementiert sein. Jede hybrid-hostbasierte/knoten-basierte Instanz der IPS- Vorrichtung, die hierin beschrieben ist, ist vorzugsweise auf einem Netzknoten, wie einem Webserver 270A, implementiert, der unter Steuerung eines Betriebssystems, wie Windows NT 4.0 betrieben wird, das in einem Hauptspeicher gespeichert ist und auf einer zentralen Verarbeitungseinheit arbeitet, und versucht, Angriffe, die auf den Hostknoten gerichtet sind, zu erfassen. Das spezielle Netz 100, das in Fig. 2 dargestellt ist, ist nur exemplarisch und kann eine beliebige Anzahl von Netzknoten, wie Netzserver oder Computer aufweisen. Firmen- und/oder andere Großnetze können typischerweise zahlreiche individuelle Systeme aufweisen, die ähnliche Dienste anbieten. Zum Beispiel kann ein Firmennetz Hunderte von einzelnen Webservern, Mailservern, FTP-Servern und anderen Systemen aufweisen, die gemeinsame Datendienste anbieten.
  • Jedes Betriebssystem eines Knotens, der eine Instanz einer IPS-Vorrichtung umfaßt, weist zusätzlich einen Netzprotokollstapel 90 auf, der in Fig. 3 dargestellt ist, der den Eingangspunkt für Rahmen definiert, die durch einen ins Ziel gefaßten Knoten aus dem Netz, z.B. dem Internet oder Intranet, empfangen werden. Der dargestellte Netzstapel 90 stellt den hinreichend bekannten Windows-NT- (TM)-Systemnetzprotokollstapel dar und ist so ausgewählt worden, um die Erörterung und das Verständnis der Erfindung zu erleichtern. Es wird jedoch darauf hingewiesen, daß die Erfindung nicht auf eine spezifische Implementierung des dargestellten Netzstapels 90 beschränkt ist, sondern vielmehr auf den Stapel 90, der beschrieben ist, um das Verständnis der Erfindung zu erleichtern. Der Netzstapel 90 weist eine TDI (TDI = transport driver interface = Transporttreiberschnittstelle) 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber (MAC = media access control = Medienzugriffssteuerung) 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden. Dementsprechend ermöglicht die TDI 125 den Betriebssystemtreibern, wie den Netzumleitern, eine Sitzung zu aktivieren oder an den entsprechenden Protokolltreiber 135 zu binden. Folglich kann ein Umleiter auf das entsprechende Protokoll, z.B. ein UDP, TCP, NetBEUI oder anderes Netz- oder Transportschichtprotokoll, zugreifen, wodurch der Umleiter protokollunabhängig gemacht wird. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90 hastet, auf einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Typische Protokolle, die durch einen NT-Netzprotokollstapel unterstützt werden, weisen NetBEUI, TCP/IP, NWLink, DLC (DLC = data link control = Datenverknüpfungssteuerung) und AppleTalk auf, obwohl andere Transport- und/oder Netzprotokolle unterstützt werden können. Ein MAC-Treiber 145, z.B. ein Ethernet-Treiber, ein Token-Ring-Treiber oder ein anderer Netzbetriebstreiber, ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit dem physischen Medium 101, wie einem Koaxialkabel oder einem anderen Übertragungsmedium.
  • Die Fähigkeiten des hostbasierten IPS weisen die Anwendungsüberwachung von Dateisystemereignissen; einem Registrierzugriff; von erfolgreichen Sicherheitsereignissen; gescheiterten Sicherheitsereignissen und einer auffälligen Prozeßüberwachung auf. Bei Netzzugriffsanwendungen, wie einem Microsoft-IIS- und SQL-Server, können Prozesse, die auf dieselben bezogen sind, ebenfalls überwacht werden.
  • Einbrüche können auf einem speziellen IPS-Host durch Implementieren von knotenbasierten Reihenüberwachungstechnologien (Inline-Überwachungstechnologien) verhindert werden. Das Reihen-IPS (Inline-IPS) ist vorzugsweise als Teil eines hybrid-hostbasierten/knoten-basierten IPS umfaßt, obwohl es unabhängig von einem beliebigen hostbasierten IPS-System implementiert sein kann. Das Reihen-IPS analysiert die Pakete, die am Hostknoten empfangen werden, und führt eine Signaturanalyse derselben gegenüber einer Datenbank von bekannten Signaturen durch ein Netzschichtfiltern aus.
  • In Fig. 4 ist ein Netzknoten 270 dargestellt, der eine Instanz einer IPS-Vorrichtung 91 betreiben kann und so als ein IPS-Server operieren kann. Die IPS-Vorrichtung 91 kann als eine dreischichtige IPS, wie in einer ebenfalls anhängigen US-Anmeldung mit dem Titel "Method, Computer Readable Medium, and Node for a Three-Layered Intrusion Prevention System for Detecting Network Exploits", die gleichzeitig mit der Anmeldung, deren Priorität hierin beansprucht wird, eingereicht wurde und auf die gleiche Inhaberin übertragen wurde, beschrieben ist, implementiert sein und kann eine Serveranwendung und/oder eine Client-Anwendung aufweisen. Der Netzknoten 270 weist allgemein eine CPU 272 und ein Speichermodul 274 auf, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit einem Speichermodul 274 verbunden sein und dadurch durch den Bus ebenso zugreifbar sein. Ein Betriebssystem 275 kann in das Speichermodul 274, z.B. nach dem Booten des Knotens 270, geladen werden und eine Instanz des Protokollstapels 90 aufweisen und bewirken, daß eine Einbruchspräventionssystemanwendung 91 vom Speicherungsmedium 276 geladen wird. Eine oder mehrere Netzausbeutungsregeln, eine exemplarische Form, die in der ebenfalls anhängigen Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in a Network Exploit", die gleichzeitig hiermit eingereicht wird, beschrieben ist, kann zu maschinenlesbaren Signaturen kompiliert und innerhalb einer Datenbank 277 gespeichert sein, die in das Speichermodul 274 ladbar ist, und kann durch die IPS-Vorrichtung 91 zum Erleichtern einer Analyse von Netzrahmen und/oder Paketen wiedergewonnen werden.
  • In Fig. 5 ist ein exemplarischer Netzknoten dargestellt, der als ein Verwaltungsknoten 85 des IPS eines Netzes 100 arbeiten kann. Der Verwaltungsknoten 85 weist allgemein eine zentrale Verarbeitungseinheit 272 und ein Speichermodul 274 auf, die betreibbar sind, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit dem Speichermodul 274 verbunden sein und ist dadurch auch durch den Bus zugreifbar. Ein Betriebssystem 275 kann in das Speichermodul 274, z.B. nach dem Booten des Knotens 85, geladen werden und eine Instanz des Protokollstapels 90 aufweisen. Das Betriebssystem 275 ist betreibbar, um eine IPS- Verwaltungsanwendung 279 vom Speicherungsmedium 276 zu holen und die Verwaltungsanwendung 279 in das Speichermodul 274 zu laden, wo sie durch die CPU 272 ausgeführt wird. Der Knoten 85 weist vorzugsweise eine Eingabevorrichtung 281, wie eine Tastatur, und eine Ausgabevorrichtung 282, wie einen Monitor, der mit demselben verbunden ist, auf.
  • Ein Operator des Verwaltungsknotens 85 kann eine oder mehrere Textdateien 277A-277N über die Eingabevorrichtung 281 eingeben. Jede Textdatei 277A-277N kann eine netzbasierte Ausbeutung definieren und eine logische Beschreibung einer Angriffssignatur sowie IPS-Anweisungen zum Ausführen nach einer IPS-Auswertung eines einbruchsbezogenen Ereignisses, das der beschriebenen Angriffssignatur zugeordnet ist, aufweisen. Jede Textdatei 277A-277N kann in einer Datenbank 278A auf einem Speicherungsmedium 276 gespeichert sein und durch einen Kompilierer 280 in eine jeweilige maschinenlesbare Signaturdatei 281A-281N kompiliert werden, die in einer Datenbank 278B gespeichert ist. Jede der maschinenlesbaren Signaturdateien 281A-281N weist einen binären logischen Stellvertreter der Angriffssignatur, die in der jeweiligen zugeordneten Textdatei 277A-277N beschrieben ist, auf. Ein Operator des Verwaltungsknotens 85 kann den Verwaltungsknoten 85 durch Interaktion mit einer Client-Anwendung der IPS-Vorrichtung 279 über eine Eingabevorrichtung 281 periodisch anweisen, eine oder mehrere maschinenlesbare Signaturdateien (die hierin auch allgemein als "Signaturdateien" bezeichnet werden), die in der Datenbank 278B gespeichert sind, an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Alternativ können die Signaturdateien 281A-281N in einem computerlesbaren Medium, wie einer Kompaktdisk, einer Magnet-Diskette oder einer anderen tragbaren Speicherungsvorrichtung, gespeichert sein und auf dem Knoten 270 des Netzes 100 installiert sein. Die Anwendung 279 ist vorzugsweise betreibbar, um alle solchen Signaturdateien 281A-281N oder einen oder mehrere Teilsätze derselben an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Vorzugsweise stellt die IPS-Vorrichtung 279 eine graphische Benutzerschnittstelle auf der Ausgabevorrichtung 282 zum Erleichtern der Eingabe von Befehlen in dieselbe durch einen Operator des Knotens 85 bereit.
  • In Fig. 6 ist ein exemplarischer Protokollstapel 90A dargestellt, in den ein Einbruchsschutzsystem eingebracht ist und in dem ein Signaturanalyseprozeß der vorliegenden Erfindung genutzt werden kann. Der Netzstapel 90A weist eine TDI 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden und ermöglicht den Betriebssystemtreibern, sich an einen entsprechenden Protokolltreiber 135 zu binden. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90A hostet, an einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Der MAC-Treiber 145 ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit den physischen Medien 101. Der Netzstapel 90A kann zusätzlich eine dynamisch verknüpfte Bibliothek 115 aufweisen, die einer Mehrzahl von Teilroutinen ermöglicht, daß Anwendungen 105, die einen IPS-Server aufweisen, in der Anwendungsschicht 112 des Netzstapels 90A auf sie zugreifen können, und erleichtert dadurch ein Verknüpfen mit anderen Anwendungen. Die dynamisch verknüpfte Bibliothek 115 kann alternativ ausgelassen sein, und die Funktionalität derselben kann in den Betriebssystemkern, wie in der Technik verständlich ist, eingebaut sein.
  • Ein Einbruchspräventionssystem-Netzfilterdienstanbieter 140 ist über dem physischen Medientreiber 145, wie ein Ethernet-Treiber, Token-Ring-Treiber etc., installiert und an denselben gebunden. Der Einbruchspräventionssystem- Netzfilterdienstanbieter 140 ist vorzugsweise ebenfalls an den Protokolltreiber 135 gebunden. So können alle maschinenlesbaren Signaturdateien, die in der Datenbank 277 unterhalten werden, dadurch gegenüber den eingehenden und ausgehenden Rahmen validiert werden. Der IPS- Netzfilterdienstanbieter 140 liefert ein Filtern auf unterer Ebene, um die Unterdrückung von Netzangriffen zu erleichtern, die "atomare" Netzangriffe, Netzprotokollebeneangriffe, ein IP-Portfiltern aufweisen, jedoch nicht auf dieselben beschränkt sind, und dient auch dazu, ein Sammeln von Netzstatistiken zu erleichtern. Folglich beobachtet das IPS durch Implementieren eines Filterdienstanbieters 140 des IPS an der Netzschicht des Netzstapels 90A identische Daten, die der Netzstapel verarbeitet, und ist in der Lage, eingehende und/oder ausgehende Daten an der Netzschicht zu unterdrücken. Folglich kann der Filterdienstanbieter 140 die Ausführung von IPS-Diensten basierend auf einem Verarbeitungsverhalten des Netzstapels auswerten.
  • Eine übliche Angriffstechnik zum Umgehen eines IPS umfaßt ein beabsichtigtes Starten einer Serie von Angriffspaketen an einem Knoten, die jeweils eine Signaturdatei desselben verletzen, um zu bewirken, daß das IPS eine Reihe von Einbruchsberichtsrahmen erzeugt, oder um zu bewirken, daß das IPS eine beliebige Anzahl von prozessorintensiven Gegenmaßnahmen ausführt, so daß das IPS überlastet und deaktiviert werden kann - eine Angriffstechnik, die im allgemeinen als Bandbreitenverbrauchsangriff bezeichnet wird. Da ein IPS-Netzfilterdienstanbieter 140 z.B. ein einbruchsbezogenes Ereignis umfaßt, z.B. eine Entsprechung zwischen einem Netzrahmen, der durch denselben analysiert wird, und einer Signaturdatei, wie einer oder mehrerer Signaturdateien 281A-281N, die in der Datenbank 277 gespeichert sind, kann ein Berichtsrahmen durch den IPS- Netzfilterdienstanbieter 140 erzeugt und an einen IPS- Server geleitet werden, der auf der Anwendungsschicht 112 arbeitet, wo er analysiert, archiviert, beim Erzeugen einer Einbruchsmeldung verwendet, zum Auslösen einer Gegenmaßnahme oder zum Aktivieren einer weiteren Sicherheitsmaßnahme verwendet wird. Die Erzeugung eines Berichtsrahmens und die anschließenden Prozesse, die aus derselben resultieren, verbrauchen Prozessorbetriebsmittel am Knoten, der das IPS betreibt. Die IPS-Vorrichtungen des Stands der Technik erzeugen einen Bericht und übertragen den Bericht an den Verwaltungsknoten 85 oder an ein lokales Archiv jedesmal, wenn eine Netzausbeutungsregel bei den IPS des Stands der Technik verletzt wird. Wie beschrieben, ist ein Angreifer oft in der Lage, die Berichtserzeugungsmechanismen, die implementiert sind, um die Sperrung eines IPS des Stands der Technik zu erleichtern, auszunutzen. Der Angreifer kann dann eine Anzahl von Angriffen auf den ins Ziel gefaßten Knoten beginnen.
  • Gemäß der vorliegenden Erfindung können die Signaturdateien, die von den Netzausbeutungsregeln erzeugt werden, in Echtzeit analysiert werden und sind mit einem Unterdrückungszählwert und einem Unterdrückungsintervall konfiguriert, um den Mehraufwand des Registrierens von Netzausbeutungsereignissen zu verhindern, wenn das System schnell angegriffen und die Systembetriebsmittel begrenzt sind.
  • Fig. 7 zeigt ein Flußdiagramm eines Signaturanalyseverfahrens gemäß einem Ausführungsbeispiel der Erfindung. Eine Rauschunterdrückungsroutine kann in der IPS-Vorrichtung 91 implementiert sein. Die Rauschunterdrückungsroutinenverarbeitung, die durch das Flußdiagramm von Fig. 7 dargestellt ist, erleichtert eine Reduktion von falschpositiven Berichten und eine Ausbeutungsereignisberichterzeugung, die ansonsten verwendet werden kann, um ein IPS bei einer Bandbreitenverbrauchsausbeutung zu sperren. Wie vorstehend beschrieben ist, können eine oder mehrere IPS-Anweisungen in einer gegebenen Signaturdatei umfaßt sein, die eine Maßnahme logisch definiert, die das IPS nach dem Erfassen eines Einbruchsereignisses, das auf die Signaturdatei bezogen ist, auszuführen. Eine Rauschunterdrückung ist vorzugsweise in einer Signaturdatei definiert und weist eine Rauschunterdrückungsperiode und eine Rauschunterdrückungsschwelle auf. Ein Rahmenzähler wird durch den Knoten, der den Signaturanalyseprozeß der Erfindung betreibt, unterhalten und kann jedesmal, wenn eine Signaturregel verletzt wird, d.h. jedesmal, wenn ein analysierter Rahmen oder Paket erfaßt wird, die eine Signatur entsprechend einer maschinenlesbaren Signaturdatei 281A-281N aufweisen, inkrementiert werden. Ereignisregistrierungs- und andere Verwaltungsprozeduren- oder Anweisungen, die in der Signaturdatei definiert sind, wie die Erzeugung von Ausbeutungsereignisberichten durch den ins Ziel gefaßten Knoten und die Übertragung der Ausbeutungsereignisberichte an den Verwaltungsknoten 85, die durch das IPS nach dem Erfassen eines Einbruchsereignisses oder einer Signaturverletzung ausgeführt werden sollen, können aufgehoben werden, wenn der Rahmenzähler eine spezifizierte Rauschunterdrückungsschwelle während eines vordefinierten Zeitintervalls oder einer Rauschunterdrückungsperiode überschreitet. Die Rauschunterdrückung kann allgemein so bezeichnet sein, daß die Verletzung einer beliebigen Regel von allen Signaturen, die durch das IPS erkennbar sind, zu einer Inkrementierung des Rahmenzählers führt. Alternativ kann jede Signaturdatei eine individuell bezeichnete Rauschunterdrückungsschwelle und eine derselben zugeordnete Rauschunterdrückungsperiode aufweisen.
  • Obgleich der Signaturanalyseprozeß von Fig. 7 unter Bezugnahme auf die Rahmensignaturanalyse beschrieben ist, wird darauf hingewiesen, daß die Paketsignaturanalyse durch dieselbe ersetzt werden kann. Der Signaturanalyseprozeß der Erfindung beginnt, wenn ein Rahmen durch das IPS (Schritt 151) gelesen wird. Eine Signaturdatei kann durch das IPS verarbeitet werden und eine Auswertung, ob die Signaturdatei freigegeben ist, wird vorgenommen (Schritt 152). Wenn die Signaturdatei gesperrt ist, eine exemplarische Technik derselben, die in der ebenfalls anhängigen Anmeldung mit dem Titel "Node, Method and Computer Readable Medium for Optimizing Performance of Signature Rule Matching in a Network" beschrieben ist und hiermit gleichzeitig eingereicht wird, kehrt der Signaturanalyseprozeß zurück, um ein Lesen des nächsten Rahmens zu erwarten. Nach der Auswertung, daß die Signaturdatei freigegeben ist, wird eine Bestimmung der Verletzung der Signaturdatei vorgenommen, d.h. eine Auswertung einer Entsprechung zwischen dem Rahmenlesen und einer Signaturdatei wird z.B. durch einen Musterübereinstimmungsalgorithmus oder eine andere Signaturvergleichstechnik ausgeführt (Schritt 153). Nach der Bestätigung, daß eine aktive Signaturdatei verletzt worden ist, wird eine Analyse der Signaturdatei vorgenommen, um zu bestimmen, ob die Signaturdatei eine freigebebene Rauschunterdrückung aufweist, die derselben zugeordnet ist (Schritt 154). Die Auswertung einer nicht freigegebenen Rauschunterdrückung führt zur Ausführung der Anweisungen der Signaturdatei (Schritt 155), und der Signaturanalyseprozeß kehrt zurück, um das Lesen des nächsten Rahmens zu erwarten. Eine affirmative Auswertung einer freigegebenen Rauschunterdrückung einer aktiven Signaturdatei führt zu einer Analyse der definierten Rauschunterdrückungsperiode, um zu bestimmen, ob die Rauschunterdrückungsperiode verstrichen ist (Schritt 156). Eine neue Rauschunterdrückungsperiode wird initiiert, wenn die Rauschunterdrückungsperiode seit der vorhergehenden Identifizierung eines Rahmens, der als mit der Signaturdatei übereinstimmend identifiziert wurde, verstrichen ist (Schritt 158). Wen jedoch die Rauschunterdrückungsperiode nicht verstrichen ist, wird eine Analyse vorgenommen, um zu bestimmen, ob die Rauschunterdrückungsschwelle durch den Rahmenzähler, der jedesmal inkrementiert wird, wenn eine gegebene Signaturdatei durch eine analysierte Signatur eines gelesenen Rahmens verletzt worden ist, überschritten worden ist. Die Signaturdateianweisungen werden in dem Fall ausgeführt, wenn die Rauschunterdrückungsschwelle nicht durch den Rahmenzähler überschritten worden ist (Schritt 155). Die Bestätigung einer überschrittenen Rauschunterdrückungsschwelle führt zu einer Unterdrückung, d.h. Ablehnung, der Ausführung von einer oder mehreren Signaturdateianweisungen, wie der Übertragung eines Ausbeutungsberichtrahmens und/oder der Ablehnung einer weiteren prozessorintensiven Sicherheitsmaßnahme, wie dem Registrieren des Ausbeutungsrahmens (Schritt 159), so daß eine Reduktion des Betrags einer einbruchsbezogenen Ereignisregistrierung erreicht wird, ohne die Beeinträchtigung der Sicherheitspolitik des IPS 91 zu beeinträchtigen, d.h. das IPS 91 kann mit dem Filtern nach einbruchsbezogenen Paketen und/oder Rahmen fortfahren, während ein Prozessorgesamtaufwand verringert wird, der ansonsten durch die Ausführung von Anweisungen, wie dem Registrieren von einbruchsbezogenen Daten, erfordert wird. Der Rahmenzähler wird in jedem Fall, wenn die Rauschunterdrückungsperiode verstrichen ist oder nicht (Schritt 160), inkrementiert (Schritt 160), um das Auftreten der Entsprechung zwischen dem gelesenen Rahmen und der Signaturdatei aufzuzeichnen. Die Signaturanalyseroutine wertet dann aus, ob mehr Signaturdateien zum Vergleich mit dem gelesenen Rahmen verbleiben (Schritt 162), wie in der Datenbank 277, und der Prozeß wird nach einer affirmativen Auswertung zurückgesendet, um zu bestimmen, ob die verbleibenden Signaturdateien aktiv sind (Schritt 152). Wenn keine Signaturdateien zum Vergleichen mit dem gelesenen Rahmen verbleiben, kehrt der Prozeß zurück, um auf das Lesen des nächsten Rahmens zu warten. Dementsprechend, sobald der Unterdrückungszählwert erreicht worden ist, können Ausbeutungsberichte oder die Ausführung von anderen Signaturdateianweisungen, die durch den angegriffenen Knoten erzeugt werden, unterdrückt werden, so daß verhindert wird, daß eine Überflutung an Ereignisbenachrichtigungen die Systembetriebsmittel verbraucht.
  • Der beschriebene Signaturanalyseprozeß kann in einem maschinenlesbaren Code implementiert sein und kann durch einen beliebigen Knoten des Netzes 100 mit einem Prozessor, der betreibbar ist, um den maschinenlesbaren Code zu lesen und auszuführen, implementiert sein. Der maschinenlesbare Code, der eine Logik aufweist, um zu bewirken, daß der Signaturanalyseprozeß, durch einen Prozessor ausgeführt wird, kann elektronisch an denselben geliefert oder auf einem computerlesbaren Medium, wie einer Magnetplatte, optischen Platte oder einem anderen Medium, das zur Speicherung und Lieferung von maschinenlesbaren Instruktionssätzen geeignet ist, getragen werden.

Claims (10)

1. Verfahren zum Analysieren von Rahmen an einem Knoten (270) eines Netzes (100) durch ein Einbruchspräventionssystem (91), das durch den Knoten (270) ausgeführt wird, wobei das Verfahren folgende Schritte aufweist:
Lesen (151) des Rahmens durch das Einbruchspräventionssystem (91);
Vergleichen (153) des Rahmens mit einer maschinenlesbaren Signaturdatei (281A-281N);
Bestimmen, ob der Rahmen eine Rahmensignatur aufweist, die der maschinenlesbaren Signaturdatei (281A-281N) entspricht; und
Bestimmen, ob die maschinenlesbare Signaturdatei (281A-281N) eine zugeordnete Rauschunterdrückung aufweist, die eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsperiode aufweist.
2. Verfahren gemäß Anspruch 1, das ferner ein Sperren (159) einer Ausführung einer Anweisung der maschinenlesbaren Signaturdatei (281A-281N) aufweist, wenn ein Rahmenzähler die Rauschunterdrückungsschwelle überschreitet.
3. Verfahren gemäß Anspruch 1 oder 2, das ferner ein Inkrementieren (160) eines Rahmenzählers nach einem Bestimmen, ob die Rahmensignatur der maschinenlesbaren Signaturdatei (281A-281N) entspricht, aufweist.
4. Verfahren gemäß einem der Ansprüche 1 bis 3, das ferner ein Bestimmen (157) aufweist, ob die Rauschunterdrückungsschwelle durch den Rahmenzähler überschritten worden ist.
5. Verfahren gemäß einem der Ansprüche 2 bis 4, bei dem ein Deaktivieren der Ausführung einer Anweisung der Signaturdatei (281A-281N) ferner ein Unterdrücken der Ausführung einer Berichtserzeugung aufweist, die der Bestimmung zugeordnet ist, ob die Rahmensignatur der maschinenlesbaren Signaturdatei (281A-281N) entspricht.
6. Computerlesbares Medium, wobei auf demselben ein Satz von Instruktionen gespeichert ist, die ausgeführt werden sollen, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren ausführt, das folgende Schritte aufweist:
Lesen (151) eines Rahmens;
Vergleichen (153) des Rahmens mit einer maschinenlesbaren Signaturdatei (281A-281N);
Bestimmen, ob der Rahmen eine Rahmensignatur aufweist, die der maschinenlesbaren Signaturdatei (281A-281N) entspricht; und
Bestimmen, ob die maschinenlesbare Signaturdatei (281A-281N) eine zugeordnete Rauschunterdrückung aufweist, die eine Rauschunterdrückungsschwelle und eine Rauschunterdrückungsperiode aufweist.
7. Computerlesbares Medium gemäß Anspruch 6, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch den Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum periodischen Inkrementieren eines Rauschunterdrückungsperioden-Zeitgebers ausführt, der der maschinenlesbaren Signaturdatei (281A-281N) zugeordnet ist.
8. Computerlesbares Medium gemäß Anspruch 7, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch den Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Bestimmen (156), ob der Rauschunterdrückungsperioden-Zeitgeber gleich der Rauschunterdrückungsperiode ist oder dieselbe überschreitet, ausführt.
9. Computerlesbares Medium gemäß einem der Ansprüche 6 bis 8, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch den Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Bestimmen (157), ob ein Rahmenzähler die Rauschunterdrückungsschwelle überschreitet, ausführt.
10. Computerlesbares Medium gemäß Anspruch 9, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch den Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Unterdrücken (159) der Ausführung einer Anweisung der Signaturdatei (281A-281N) nach der Bestimmung ausführt, daß die Rauschunterdrückungsschwelle durch den Rahmenzähler überschritten worden ist.
DE10249843A 2001-10-31 2002-10-25 Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung Withdrawn DE10249843A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/003,501 US20030084344A1 (en) 2001-10-31 2001-10-31 Method and computer readable medium for suppressing execution of signature file directives during a network exploit

Publications (1)

Publication Number Publication Date
DE10249843A1 true DE10249843A1 (de) 2003-05-28

Family

ID=21706166

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10249843A Withdrawn DE10249843A1 (de) 2001-10-31 2002-10-25 Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung

Country Status (3)

Country Link
US (1) US20030084344A1 (de)
DE (1) DE10249843A1 (de)
GB (1) GB2381722B (de)

Families Citing this family (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7140041B2 (en) * 2002-04-11 2006-11-21 International Business Machines Corporation Detecting dissemination of malicious programs
FI20030104A0 (fi) * 2003-01-23 2003-01-23 Stonesoft Oyj Ilkivaltaisten yhteyksien ilmaisu ja estäminen
WO2005047862A2 (en) 2003-11-12 2005-05-26 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for identifying files using n-gram distribution of data
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US9419981B2 (en) 2005-10-31 2016-08-16 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for securing communications between a first node and a second node
WO2007062004A2 (en) 2005-11-22 2007-05-31 The Trustees Of Columbia University In The City Of New York Methods, media, and devices for moving a connection from one point of access to another point of access
US20080010680A1 (en) * 2006-03-24 2008-01-10 Shenyang Neusoft Co., Ltd. Event detection method
US7913304B2 (en) * 2006-03-24 2011-03-22 Neusoft Corporation Event detection method and device
US10528705B2 (en) * 2006-05-09 2020-01-07 Apple Inc. Determining validity of subscription to use digital content
US8626844B2 (en) * 2007-03-26 2014-01-07 The Trustees Of Columbia University In The City Of New York Methods and media for exchanging data between nodes of disconnected networks
US8464346B2 (en) * 2007-05-24 2013-06-11 Iviz Techno Solutions Pvt. Ltd Method and system simulating a hacking attack on a network
US8812878B2 (en) * 2009-06-30 2014-08-19 Intel Corporation Limiting false wakeups of computing device components coupled via links
US8656465B1 (en) * 2011-05-09 2014-02-18 Google Inc. Userspace permissions service
US10038715B1 (en) * 2017-08-01 2018-07-31 Cloudflare, Inc. Identifying and mitigating denial of service (DoS) attacks

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6477651B1 (en) * 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6826697B1 (en) * 1999-08-30 2004-11-30 Symantec Corporation System and method for detecting buffer overflow attacks
US7028179B2 (en) * 2001-07-03 2006-04-11 Intel Corporation Apparatus and method for secure, automated response to distributed denial of service attacks

Also Published As

Publication number Publication date
US20030084344A1 (en) 2003-05-01
GB0224567D0 (en) 2002-12-04
GB2381722B (en) 2004-12-29
GB2381722A (en) 2003-05-07

Similar Documents

Publication Publication Date Title
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
Helmer et al. Intelligent agents for intrusion detection
US8245297B2 (en) Computer security event management system
US8904529B2 (en) Automated deployment of protection agents to devices connected to a computer network
US7039950B2 (en) System and method for network quality of service protection on security breach detection
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20070300300A1 (en) Statistical instrusion detection using log files
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
CN108768917A (zh) 一种基于网络日志的僵尸网络检测方法及系统
EP3451624A1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
CN117614717A (zh) 一种基于网络安全告警事件全流程处置系统及方法
Efe et al. Comparison of the host based intrusion detection systems and network based intrusion detection systems
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
US8528077B1 (en) Comparing events from multiple network security devices

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8130 Withdrawal