DE10249887A1 - Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen - Google Patents

Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen

Info

Publication number
DE10249887A1
DE10249887A1 DE10249887A DE10249887A DE10249887A1 DE 10249887 A1 DE10249887 A1 DE 10249887A1 DE 10249887 A DE10249887 A DE 10249887A DE 10249887 A DE10249887 A DE 10249887A DE 10249887 A1 DE10249887 A1 DE 10249887A1
Authority
DE
Germany
Prior art keywords
network
layer
node
ips
prevention system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10249887A
Other languages
English (en)
Inventor
Richard Paul Tarquini
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10249887A1 publication Critical patent/DE10249887A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring

Abstract

Ein Knoten eines Netzes, der eine zentrale Verarbeitungseinheit, ein Speichermodul zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedergewinnung und Auführung durch die zentrale Verarbeitungseinheit und ein Betriebssystem aufweist, das einen Netzstapel, der einen Protokolltreiber, einen Medienzugriffs-Steuerungstreiber aufweist, wobei das Speichermodul eine Instanz einer Einbruchschutzsystemanwendung speichert, die betreibbar ist, um die Anwendungsschichtdaten und eine Einbruchpräventationssystem-Transportdienstanbieterschicht zu überwachen, und wobei das Betriebssystem einen Einbruchpräventationssystem-Netzfilterdienstanbieter aufweist, der an den Medienzugriffs-Steuerungstreiber und den Protokolltreiber gebunden ist, wird geschaffen.

Description

  • Diese Erfindung bezieht sich auf Netztechnologien und spezieller auf ein Verfahren und ein computerlesbares Medium zum Liefern eines dreischichtigen Einbruchspräventionssystems.
  • Netzwerkausbeutungs-Angriffswerkzeuge, wie DoS-Angriffsdienstprogramme (DoS = denial-of-service = Dienstverweigerung) werden technisch immer ausgereifter, und aufgrund der sich entwickelnden Technologien sind sie einfach auszuführen. Technisch relativ ungebildete Angreifer können Computersystembeeinträchtigungen arrangieren oder in dieselben involviert sein, die auf eine oder mehrere ins Ziel gefaßte Einrichtungen gerichtet sind. Ein Netzsystemangriff (der hierin auch als Eindringen bezeichnet wird) ist eine unautorisierte oder böswillige Verwendung eines Computers oder eines Computernetzes und kann Hunderte oder Tausende von ungeschützten oder anderweitig beeinträchtigte Internetknoten zusammen in einem koordinierten Angriff auf ein oder mehrere ausgewählte Ziele umfassen.
  • Netzangriffswerkzeuge basierend auf dem Client- /Servermodell sind zu einem bevorzugten Mechanismus zum Ausführen von Netzangriffen auf ins Ziel gefaßte Netze oder Vorrichtungen geworden. Hochkapazitätsmaschinen in Netzen, die über eine unzureichende Sicherheit verfügen, werden von Angreifern gerne genutzt, um verteilte Angriffe von denselben zu starten. Universitätsserver weisen typischerweise eine hohe Konnektivität und Kapazität, jedoch eine relativ mittelmäßige Sicherheit auf. Solche Netze haben auch häufig unerfahrene oder überarbeite Netzwerkadministratoren, die die Netze für die Involvierung in Netzangriffe sogar noch anfälliger machen.
  • Netzausbeutungs-Angriffswerkzeuge, die feindliche Angriffsanwendungen wie DoS-Dienstprogramme aufweisen, die zum Übertragen von Daten über ein Netzmedium verantwortlich sind, weisen häufig eine unterscheidbare "Signatur" oder ein erkennbares Muster innerhalb der übertragenen Daten auf. Die Signatur kann eine erkennbare Sequenz von speziellen Paketen und/oder erkennbaren Daten aufweisen, die innerhalb von einem oder mehreren Paketen enthalten sind. Eine Signaturanalyse wird häufig durch ein Netz-IPS (IPS - intrusion prevention system = Einbruchpräventionssystem) ausgeführt und kann als ein Musterübereinstimmungsalgorithmus implementiert sein und kann andere Signaturerkennungsfähigkeiten sowie Anwendungsüberwachungs-Dienstprogramme einer höheren Ebene aufweisen. Ein einfacher Signaturanalysealgorithmus kann nach einer speziellen Zeichenfolge suchen, die als einer feindlichen Anordnung zugeordnet identifiziert worden ist. Sobald die Zeichenfolge innerhalb eines Netzdatenstroms identifiziert worden ist, können das eine oder die mehreren Pakete, die die Zeichenfolge tragen, als "feindlich" oder ausbeutend identifiziert werden, und das IPS kann dann eine beliebige oder mehrere von einer Anzahl von Maßnahmen, wie Registrieren der Identifizierung des Rahmens, Ausführen einer Gegenmaßnahme oder Ausführen einer weiteren Datenarchivierungs- oder Schutzmaßnahme, ausführen.
  • Die IPS umfassen eine Technologie, die versucht, Ausbeutungen gegenüber einem Computersystem oder Netz von Computersystemen zu identifizieren. Zahlreiche Typen von IPS existieren und sind jeweils allgemein als entweder ein netzbasiertes, hostbasiertes oder knotenbasiertes IPS klassifiziert.
  • Die netzbasierten IPS-Vorrichtungen sind typischerweise dedizierte (bzw. zweckgebundene) Systeme, die an strategischen Stellen auf einem Netz plaziert sind, um Datenpakete zu untersuchen, um zu bestimmen, ob sie mit bekannten Angriffssignaturen übereinstimmen. Um Pakete mit bekannten Angriffssignaturen zu vergleichen, nutzen die netzwerkbasierten IPS-Vorrichtungen einen Mechanismus, der als eine passive Protokollanalyse bezeichnet wird, um den gesamten Verkehr auf einem Netz unauffällig zu überwachen oder zu durchschnüffeln und um Ereignisse auf einer unteren Ebene, die von einem rohen Netzverkehr unterschieden werden können, zu erfassen. Die Netzausbeutungen können durch Identifizieren von Mustern oder andere beobachtbare Charakteristika von Netzrahmen erfaßt werden. Die netzbasierten IPS- Vorrichtungen untersuchen den Inhalt von Datenpaketen durch syntaktisches Analysieren von Netzrahmen und Paketen und Analysieren individueller Pakete basierend auf den Protokollen, die auf dem Netz verwendet werden. Eine netzbasierte IPS-Vorrichtung überwacht auf unauffällige Weise den Netzverkehr, d. h. andere Netzknoten können sich des Vorhandenseins der netzbasierten IPS-Vorrichtung nicht bewußt sein und tun dies auch häufig nicht. Eine passive Überwachung wird normalerweise durch eine netzbasierte IPS- Vorrichtung durch Implementieren eines "Wahllos-Modus"- Zugriffs von einer Netzschnittstellenvorrichtung ausgeführt. Eine Netzschnittstellenvorrichtung, die in dem wahllosen Modus arbeitet, kopiert Pakete direkt von dem Netzmedium, wie einem Koaxialkabel, einem 100baseT- oder anderem Übertragungsmedium, ungeachtet des Bestimmungsknotens, an den das Paket adressiert ist. Folglich ist kein einfaches Verfahren zum Übertragen von Daten über das Netzübertragungsmedium vorhanden, ohne daß die netzbasierte IPS- Vorrichtung dasselbe untersucht, und so kann die netzbasierte IPS-Vorrichtung den gesamten Netzverkehr, dem sie ausgesetzt ist, erfassen und analysieren. Nach der Identifizierung eines auffälligen Pakets, d. h. eines Pakets, das Attribute aufweist, die einer bekannten Angriffssignatur entsprechen, die auf ein Erscheinen durch die netzbasierte IPS-Vorrichtung überwacht wird, kann ein Alarm dadurch erzeugt werden und an ein Verwaltungsmodul des IPS übertragen werden, so daß ein Netzexperte Sicherheitsmaßnahmen umsetzen kann. Die netzbasierten IPS-Vorrichtungen haben den zusätzlichen Vorteil, daß sie in Echtzeit arbeiten und so einen Angriff, während dieser geschieht, erfassen können. Außerdem ist eine netzbasierte IPS-Vorrichtung ideal zur Implementierung einer statusbasierten IPS- Sicherheitsmaßnahme, die eine Anhäufung und Speicherung von identifizierten auffälligen Paketen von Angriffen erfordert, die nicht "atomar" identifiziert werden können, d. h. durch ein einzelnes Netzpaket. Zum Beispiel sind TCP- (TCP = transmission control protocol = Übertragungssteuerungsprotokoll) SYN- (SYN = synchronization = Synchronisierung) Flutattacken nicht durch ein einzelnes TCP-SYN-Paket identifizierbar, sondern werden allgemein vielmehr durch ein Anhäufen eines Zählwerts von TCP-SYN-Paketen identifiziert, die eine vordefinierte Schwelle über einen definierten Zeitraum überschreiten. Eine netzbasierte IPS-Vorrichtung ist daher eine ideale Plattform zum Implementieren einer statusbasierten Signaturerfassung, weil die netzbasierte IPS-Vorrichtung alle diese TCP-SYN-Pakete sammeln kann, die sich über das lokale Netzmedium bewegen, und kann daher die Häufigkeit von solchen Ereignissen ordnungsgemäß archivieren und analysieren.
  • Die netzbasierten IPS-Vorrichtungen können jedoch häufig eine große Anzahl von "falschen Positiven", d. h. unrichtigen Diagnosen eines Angriffs, erzeugen. Falsche Positivdiagnosen durch netzbasierte IPS-Vorrichtungen ergeben sich teilweise durch Fehler, die während einer passiven Analyse des Netzverkehrs erzeugt werden, die durch das IPS erfaßt werden, die in einer beliebigen Anzahl von netzunterstützten Protokollen verschlüsselt und formatiert werden können. Ein inhaltsmäßiges Abtasten durch ein netzbasiertes IPS ist auf einer verschlüsselten Verknüpfung nicht möglich, obwohl die Signaturanalyse basierend auf Protokollanfangsblöcken ungeachtet dessen ausgeführt werden kann, ob die Verknüpfung verschlüsselt ist oder nicht. Zusätzlich sind die netzbasierten IPS-Vorrichtungen bei Hochgeschwindigkeitsnetzen häufig uneffektiv. Da Hochgeschwindigkeitsnetze immer üblicher werden, werden die software-basierten, netzbasierten IPS-Vorrichtungen, die versuchen, alle Pakete auf einer Verknüpfung zu durchschnüffeln, immer weniger zuverlässig. Am bedeutsamsten ist die Tatsache, daß die netzbasierten IPS-Vorrichtungen keine Angriffe verhindern können, es sei denn, sie sind in ein Brandmauerschutzsystem integriert und werden in Verbindung mit demselben betrieben.
  • Hostbasierte IPS erfassen Einbrüche durch Überwachen von Anwendungsschichtdaten. Hostbasierte IPS verwenden intelligente Agenten, um Computerprüfprotokolle auf auffällige Aktivitäten zu überprüfen und jede Veränderung in den Protokollen mit einer Bibliothek von Angriffssignaturen oder Benutzerprofilen zu vergleichen. Die hostbasierten IPS können auch Schlüsselsystemdateien und ausführbare Dateien auf unerwartete Veränderungen hin abrufen. Die hostbasierten IPS werden als solche bezeichnet, weil sich die IPS- Dienstprogramme auf dem System befinden, dem sie zugeordnet sind, um dasselbe zu schützen. Die hostbasierten IPS verwenden typischerweise Überwachungstechniken auf Anwendungsebene, die Anwendungsprotokolle untersuchen, die durch verschiedene Anwendungen unterhalten werden. Zum Beispiel kann ein hostbasiertes IPS eine Datenbankmaschine, die gescheiterte Zugriffsversuche und/oder Modifizierungen auf Systemkonfigurationen registriert, überwachen. Alarme können an einen Verwaltungsknoten nach der Identifizierung von Ereignissen geliefert werden, die von dem Datenbankprotokoll gelesen wurden, die als auffällig identifiziert worden sind. Hostbasierte IPS erzeugen allgemein sehr wenig falsche Positive. Hostbasierte IPS, wie Protokollwächter, sind jedoch allgemein auf ein Identifizieren von Einbrüchen beschränkt, die bereits stattgefunden haben, und sind auch auf Ereignisse beschränkt, die sich auf dem einzelnen Host ereignen. Weil sich die Protokollwächter auf ein Überwachen von Anwendungsprotokollen stützen, werden Schäden, die aus dem registrierten Angriff resultieren, allgemein bis zu dem Zeitpunkt, als der Angriff durch das IPS identifiziert worden ist, bereits stattgefunden haben. Einige hostbasierte IPS können einbruchspräventive Funktionen, wie "Einhaken" (Hooking) oder "Auffangen" (Intercepting) von Betriebssystems-Anwendungsprogrammierschnittstellen, ausführen, um die Ausführung von präventiven Operationen durch ein IPS basierend auf einer Anwendungsschichtaktivität, die einbruchsbezogen zu sein scheint, ausführen. Weil ein Einbruch, der in dieser Weise erfaßt wird, bereits ein beliebiges IPS auf unterer Ebene umgangen hat, stellt ein hostbasiertes IPS eine letzte Schicht der Verteidigung gegen eine Netzausbeutung dar. Die hostbasierten IPS sind jedoch zum Erfassen von Netzereignissen auf einer unteren Ebene, wie z. B. Protokollereignisse, nicht nützlich.
  • Die knotenbasierten IPS wenden die Einbruchserfassung und/oder Präventionstechnologie auf dem System an, das geschützt wird. Ein Beispiel von knotenbasierten IPS- Technologien ist die Reihen-Einbruchserfassung (Inline- Einbruchserfassung). Ein knotenbasiertes IPS kann an jedem Knoten des Netzes, der geschützt werden soll, implementiert sein. Die Reihen-IPS (Inline-IPS) weisen Einbruchserfassungstechnologien auf, die in dem Protokollstapel des geschützten Netzknotens eingebettet sind. Weil das Reihen-IPS innerhalb des Protokollstapels eingebettet ist, bewegen sich sowohl eingehende als auch ausgehende Daten durch das Reihen-IPS und sind einer Überwachung durch dasselbe unterworfen. Ein Reihen-IPS überwindet viele der Schwächen, die netzbasierten Lösungen eigen sind. Wie vorstehend erwähnt ist, sind die netzbasierten Lösungen allgemein ineffektiv beim Überwachen von Hochgeschwindigkeitsnetzen aufgrund der Tatsache, daß die netzbasierten Lösungen versuchen, den gesamten Netzverkehr auf einer gegebenen Verknüpfung zu überwachen. Die Reihen-Einbruchspräventionssysteme überwachen jedoch nur den Verkehr, der an den Knoten gerichtet ist, auf dem das Reihen-IPS installiert ist. So können die Angriffspakete ein Reihen-IPS auf einer ins Ziel gefaßten Maschine nicht physisch umgehen, weil sich das Paket durch den Protokollstapel der ins Ziel gefaßten Vorrichtung bewegen muß. Eine beliebige Umgebung eines Reihen-IPS durch ein anderes Paket muß vollständig durch "logisches" Umgehen des IPS erfolgen, d. h. ein Angriffspaket, das ein Reihen-IPS vermeidet, muß dies in einer Weise tun, die bewirkt, daß das Reihen-IPS das Angriffspaket nicht oder nicht ordnungsgemäß identifiziert. Zusätzlich versehen die Reihen-IPS die Hostknoten mit Überwachungs- und Erfassungsfähigkeiten einer unteren Ebene, die jenen eines Netz-IPS ähneln, und können eine Protokollanalyse und Signaturübereinstimmung oder eine andere Überwachung oder Filterung des Hostverkehrs auf unterer Ebene liefern. Der wichtigste Vorteil, den die Reihen-IPS-Technologien bieten, ist, daß die Angriffe erfaßt werden, während sie geschehen. Während die hostbasierten IPS Angriffe durch Überwachen von Systemprotokollen bestimmen, involviert eine Reihen- Einbruchserfassung das Überwachen eines Netzverkehrs und das Isolieren jener Pakete, bei denen festgestellt wurde, daß sie Teil eines Angriffs gegen den Hostserver sind, und so ein Ermöglichen, daß das Reihen-IPS tatsächlich verhindert, daß der Angriff erfolgreich verläuft. Wenn bestimmt worden ist, daß ein Paket Teil eines Angriffs ist, kann die Reihen-IPS-Schicht das Paket aussortieren und somit verhindern, daß das Paket die obere Schicht des Protokollstapels erreicht, wo das Angriffspaket einen Schaden verursachen kann - ein Effekt, der im wesentlichen eine lokale Brandmauer für den Server erzeugt, der das Reihen-IPS hostet und dasselbe vor Bedrohungen schützt, die entweder aus einem externen Netz, wie dem Internet, oder aus dem Inneren des Netzes kommen. Ferner kann die Reihen-IPS-Schicht innerhalb des Protokollstapels bei einer Schicht eingebettet sein, wo die Pakete so verschlüsselt worden sind, daß das Reihen-IPS effektiv auf einem Netz mit verschlüsselten Verknüpfungen arbeitet. Zusätzlich kann das Reihen-IPS den ausgehenden Verkehr überwachen, weil sich sowohl der eingehende als auch der ausgehende Verkehr, der jeweils für einen Server bestimmt ist und von demselben entstammt, der das Reihen- IPS hostet, durch den Protokollstapel bewegen muß.
  • Obwohl die Vorteile der Reihen-IPS-Technologien zahlreich sind, bestehen bei der Implementierung eines solchen Systems einige Nachteile. Die Reihen-Einbruchserfassung ist allgemein prozessorintensiv und kann das Verhalten des Knotens, der das Erfassungsdienstprogramm hostet, beeinträchtigen. Zusätzlich können die Reihen-IPS zahlreiche falschpositive Angriffsdiagnosen erzeugen. Ferner können die Reihen-IPS ein systematisches Sondieren eines Netzes erfassen, wie ein solches, das durch Wiedererkennungsangriffs- Dienstprogramme ausgeführt wird, weil nur der Verkehr am lokalen Server, der das Reihen-IPS hostet, dadurch überwacht wird.
  • Jede der netzbasierten, hostbasierten und reihenbasierten IPS-Technologien weist jeweilige Vorteile, die vorstehend beschrieben sind, auf. Idealerweise umfaßt ein Einbruchpräventionssystem alle zuvor erwähnten Einbruchserfassungsstrategien. Zusätzlich kann ein IPS einen oder mehrere Ereigniserzeugungsmechanismen aufweisen, die identifizierbare Ereignisse an eine oder mehrere Verwaltungseinrichtungen berichten. Ein Ereignis kann eine identifizierbare Serie von System- oder Netzbedingungen aufweisen oder sie kann eine einzelne identifizierte Bedingung aufweisen. Ein IPS kann auch einen Analysemechanismus oder ein Modul aufweisen und kann Ereignisse analysieren, die durch den einen oder mehrere Ereigniserzeugungsmechanismus erzeugt werden.
  • Ein Speicherungsmodul kann innerhalb eines IPS zum Speichern von Daten umfaßt sein, die den einbruchsbezogenen Ereignissen zugeordnet sind. Ein Gegenmaßnahmenmechanismus kann auch innerhalb des IPS zum Ausführen einer Maßnahme umfaßt sein, die eine erfaßte Ausbeutung vereiteln oder verweigern kann.
  • Typische Computernetzangriffe involvieren drei allgemeine Angriffsstufen: Wiedererkennungsangriffe, den tatsächlichen Netzangriff, und ein Ausradieren von elektronischen Fußabdrücken des Angriffs. Ein Wiedererkennungsangriff wird vor der Ausführung des tatsächlichen Netzangriffs gestartet. Ein Wiedererkennungsangriff wird ausgeführt, um Informationen auf dem Netz zu sammeln, die später verwendet werden, um den tatsächlichen Netzangriff zu erleichtern. Allgemein versucht ein Wiedererkennungsangriff, Informationen bezüglich des DNS und des Web-Servers, der ACLs (ACL = access control list = Zugriffssteuerungsliste), der IPS- Informationen, der internen Netzkonfiguration, der Vertrauensbeziehungen, der Betriebssysteme, der Anwendungen, die auf spezifischen Knoten arbeiten, sowie andere allgemeine Netzinformationen zu bestimmen, die dem Angreifer helfen können, die Netzsicherheitsschwächen in einem Angriff auf dasselbe auszubeuten. Zum Beispiel ist ein übliches Netzwerkzeug, das durch einen Angreifer während Wiedererkennungsangriffen verwendet wird, ein NMAP. Das NMAP ist ein Netzwerkzeug, das zum Erhalten von Informationen über Hosts auf einem Netz durch Ausgeben einer Serie von Abfragen oder Sondierungen an den Protokollstapel des Hosts verwendet wird. Das NMAP ist häufig in der Lage, welches Betriebssystem ein Host betreibt und welche Netzports offen sind sowie andere Informationen durch die spezielle Antwort zu bestimmen, die durch den sondierten Host zurückgesendet wird. Bekannte Sicherheitslücken können dann durch den Angreifer nach dem Erwerben dieser Informationen ausgebeutet werden.
  • Zahlreiche Netzangriffe existieren und sind hinreichend dokumentiert, und neue Angriffe werden kontinuierlich durch die Angreifer entwickelt. Die Netzangriffe beuten typischerweise bekannte Sicherheitslücken aus und führen zu einer Reduktion oder einem totalen Verlust des Netzsystemverhaltens, einem Schaden am Netz und/oder einer Knotensoftware und/oder den Hardwarekomponenten. Geübte Angreifer können dann einen Angriff durch Ausradieren von elektronischen Fußabdrücken des Angriffs vollenden, wodurch eine forentische Analyse und Diagnostik durch die Netzadministratoren oder das Netzsicherheitspersonal verhindert wird.
  • Wie vorstehend erwähnt ist, weist jeder Typ von IPS Schwächen auf, die demselben zugeordnet sind. Zum Beispiel können netzbasierte und hostbasierte IPSs keine Angriffe verhindern, wohingegen knotenbasierte Systeme nicht in der Lage sind, zustandsbasierte Sicherheitsmaßnahmen zu implementieren. Ferner sind die IPS des Stands der Technik beim Verhindern, daß ein geschützter Knoten an einem Angriff teilnimmt, nicht wirksam.
  • Es ist eine Aufgabe der vorliegenden Erfindung ein Verfahren, ein computerlesbares Medium und einen Knoten für ein dreischichtiges Einbruchspräventionssystem zum Erfassen von Netzwerkausbeutungen zu schaffen.
  • Diese Aufgabe wird durch ein Verfahren gemäß Anspruch 1, ein computerlesbares Medium gemäß Anspruch 6 oder einen Knoten gemäß Anspruch 10 gelöst.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird ein Verfahren zum Verhindern von Einbrüchen auf einem Knoten eines Netzes geschaffen, das ein Überwachen durch eine erste Schicht eines Einbruchspräventionssystems von Anwendungsdaten von Anwendungen, die auf dem Knoten arbeiten, ein Überwachen durch eine zweite Schicht des Einbruchspräventionssystems von Transportschichtdaten des Knotens und ein Überwachen durch eine dritte Schicht des Einbruchspräventionssystems von Netzschichtdaten des Knotens aufweist.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein computerlesbares Medium geschaffen, auf dem ein Satz von Instruktionen, die ausgeführt werden sollen, gespeichert ist, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor ausgeführt werden, bewirkt, daß der Prozessor ein Computerverfahren zum Überwachen von Anwendungsschichtdaten durch eine erste Schicht eines Einbruchspräventionssystems, die aus den Instruktionen, einem Knotens von einem Netz besteht, wobei der Knoten den Prozessor aufweist, zum Überwachen von Transportschichtdaten durch eine zweite Schicht des Einbruchspräventionssystems des Knotens des Netzes und zum Überwachen von Netzschichtdaten durch eine dritte Schicht eines Einbruchspräventionssystems des Knotens des Netzes ausführt.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein Knoten eines Netzes geschaffen, der eine zentrale Verarbeitungseinheit, ein Speichermodul zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedergewinnung und Ausführung durch die zentrale Verarbeitungseinheit und ein Betriebssystem aufweist, das einen Netzstapel, der einen Protokolltreiber, einen Medienzugriffs-Steuerungstreiber, wobei das Speichermodul ein Exemplar (Instanz) einer Einbruchsschutzsystemanwendung speichert, das betreibbar ist, um Anwendungsschichtdaten zu überwachen, und eine Einbruchpräventionssystems- Transportdienstanbieterschicht aufweist, und wobei das Betriebssystem einen Einbruchspräventionssystem- Netzfilterdienst-Anbieter aufweist, der an den Medienzugriffs-Steuerungstreiber und den Protokolltreiber gebunden ist.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig. 1 eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung gemäß dem Stand der Technik;
  • Fig. 2 ein umfassendes Einbruchspräventionssystem, das netzbasierte und hybrid-hostbasierte und knotenbasierte Einbrucherfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt;
  • Fig. 3 einen exemplarischen Netzprotokollstapel gemäß dem Stand der Technik;
  • Fig. 4 einen Netzknoten, der ein Beispiel (Instanz) einer Einbruchsschutzsystem-Anwendung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung betreiben kann;
  • Fig. 5 einen exemplarischen Netzknoten, der als ein Verwaltungsknoten innerhalb eines Netzes arbeiten kann, das durch das Einbruchsschutzsystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung geschützt ist;
  • Fig. 6 ein dreischichtiges Einbruchspräventionssystem dar, das in einem exemplarischen Protokollstapel gemäß einem Ausführungsbeispiel der vorliegenden Erfindung installiert ist.
  • Das bevorzugte Ausführungsbeispiel der vorliegenden Erfindung und seine Vorteile werden unter Bezugnahme auf Fig. 1 bis 6 der Zeichnungen, wo identische Bezugszeichen für identische und entsprechende Teile der verschiedenen Zeichnungen verwendet werden, am besten verständlich.
  • In Fig. 1 ist eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung dargestellt, wobei das dargestellte Beispiel eine vereinfachte Anordnung des verteilten Einbruchsnetzes 40 zeigt, die typisch für verteilte Systemangriffe ist, die auf eine Zielmaschine 30 gerichtet sind. Eine Angriffsmaschine 10 kann eine Ausführung eines verteilten Angriffs durch eine beliebige Anzahl von Angreiferangriffsagenten 20A-20N durch eine von zahlreichen Techniken, wie einer Fernsteuerung durch die IRC- Roboteranwendungen, anweisen. Die Angriffsagenten 20A-20N, die auch als "Zombies" und "Angriffsagenten" bezeichnet werden, sind allgemein Computer, die zur öffentlichen Nutzung verfügbar sind oder die so beeinträchtigt worden sind, daß ein verteilter Angriff im Anschluß an einen Befehl einer Angriffsmaschine 10 gestartet werden kann. Zahlreiche Typen von verteilten Angriffen können gegen eine Zielmaschine 30 gestartet werden. Die Zielmaschine 30 kann einen umfassenden Schaden durch gleichzeitige Angriffe durch die Angriffsagenten 20A-20N erleiden, und die Angriffsagenten 20A-20N können durch die Client- Angriffsanwendung ebenso beschädigt werden. Ein verteiltes Einbruchsnetz kann eine zusätzliche Schicht von Maschinen aufweisen, die in einen Angriff zwischen der Angriffsmaschine 10 und den Angriffsagenten 20A-20N involviert sind. Diese Zwischenmaschinen werden allgemein als "Handhabungseinrichtungen" ("Handler") bezeichnet und jede Handhabungseinrichtung kann einen oder mehrere Angriffsagenten 20A-20N steuern. Die Anordnung, die zum Ausführen einer Computersystembeeinträchtigung gezeigt ist, ist nur illustrativ und kann zahlreiche Anordnungen beeinträchtigen, die so einfach sind wie eine einzelne Angriffsmaschine 10, die eine Zielmaschine 30 durch z. B. Senden eines bösartigen Sondierungspakets oder anderer Daten, die die Zielmaschine 30 beeinträchtigen sollen, angreift. Die Zielmaschine kann mit einem größeren Netz verbunden sein und ist dies auch häufig, und ein Angriff auf dieselbe durch die Angriffsmaschine 10 kann einen Schaden an einer großen Ansammlung von Computersystemen bewirken, die sich häufig innerhalb des Netzes befinden.
  • In Fig. 2 ist ein umfassendes Einbruchspräventionssystem dargestellt, das netzbasierte und hybrid-hostbasierte/knotenbasierte Einbruchserfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt. Ein oder mehrere Netze 100 können mit dem Internet 50 über einen Router 45 oder eine andere Vorrichtung schnittstellenmäßig verbunden sein. Bei dem veranschaulichenden Beispiel weist das Netz 100 zwei Ethernet-Netze 55 und 56 auf. Das Ethernet- Netz 55 weist einen Webinhaltsserver 270A und einen Dateitransport-Protokollinhaltsserver 270B auf. Das Ethernet- Netz 56 weist einen Domain-Namenserver 270C, einen Mail- Server 270D, einen Datenbank-Server 270E und einen Dateiserver 270F auf. Ein Brandmauer-/Proxy-Router 60, der zwischen den Ethernets 55 und 56 angeordnet ist, liefert für die verschiedenen Systeme des Netzes 56 eine Sicherheits- und Adreßauflösung. Eine netzbasierte IPS-Vorrichtung 80und 81 ist jeweils auf beiden Seiten des Brandmauer-/Proxy- Routers 60 implementiert, um die Überwachung von versuchten Angriffen auf ein oder mehrere Elemente der Ethernet-Netze 55 und 56 zu erleichtern und um eine Aufzeichnung von erfolgreichen Angriffen zu erleichtern, die den Brandmauer- /Proxy-Router 60 erfolgreich durchdringen. Die netzbasierten IPS-Vorrichtungen 80 und 81 können jeweils eine Datenbank 80A und 81A der bekannten Angriffssignaturen oder Regeln aufweisen (oder alternativ mit derselben verbunden sein), mit denen die Netzrahmen, die dadurch erfaßt wurden, verglichen werden können. Alternativ kann eine einzelne Datenbank (nicht gezeigt) innerhalb eines Netzes 100 zentral angeordnet sein, und netzbasierte IPS-Vorrichtungen 80 und 81 können auf dieselbe zugreifen. Dementsprechend kann die netzbasierte IPS-Vorrichtung 80 alle Pakete, die vom Internet 50 in das Netz 100 eingehen und am Ethernet-Netz 55 ankommen, überwachen. Desgleichen kann eine netzbasierte IPS- Vorrichtung 81 alle Pakete, die durch den Brandmauer- /Proxy-Router 60 zur Auslieferung an das Ethernet-Netz 56 passiert werden, überwachen und vergleichen. Ein IPS- Verwaltungsknoten 85 kann auch Teil des Netzes 100 sein, um die Konfiguration und Verwaltung der IPS-Komponenten im Netz 100 zu erleichtern.
  • Angesichts der vorstehend angemerkten Unzulänglichkeiten der netzbasierten Einbruchspräventionssysteme ist vorzugsweise ein hybrid-hostbasiertes und knotenbasiertes Einbruchspräventionssystem innerhalb eines jeden der verschiedenen Knoten, wie den Servern 270A-270N (die hierin auch als "Knoten" bezeichnet werden), des Ethernet-Netzes 55 und 56 im gesicherten Netz 100 implementiert. Der Verwaltungsknoten 85 kann Alarmmitteilungen von den jeweiligen Knoten innerhalb des Netzes 100 nach der Erfassung eines Einbruchsereignisses durch eine beliebige der netzbasierten IPS-Vorrichtungen 80 und 81 sowie einen beliebigen der Knoten des Netzes 100, auf dem ein hybrid-agentenbasiertes und knotenbasiertes IPS implementiert ist, empfangen. Zusätzlich kann jeder Knoten 270A-270F ein lokales Dateisystem zum Archivieren von einbruchsbezogenen Ereignissen, zum Erzeugen von einbruchsbezogenen Meldungen und zum Speichern von Signaturdateien, im Vergleich zu denen die lokalen Netzrahmen und/oder Pakete untersucht werden, nutzen.
  • Vorzugsweise sind die netzbasierten IPS-Vorrichtungen 80 und 81 dedizierte Entitäten zum Überwachen des Netzverkehrs auf den zugeordneten Ethernets 55 und 56 des Netzes 100. Um die Einbruchserfassung bei Hochgeschwindigkeitsnetzen zu erleichtern, weisen die netzbasierten IPS-Vorrichtungen 80 und 81 vorzugsweise einen großen Erfassungs-RAM zum Erfassen von Paketen auf, da diese auf den jeweiligen Ethernet- Netzen 55 und 56 ankommen. Zusätzlich wird bevorzugt, daß die netzbasierten IPS-Vorrichtungen 80 und 81 jeweils hardwarebasierte Filter zum Filtern des Netzverkehrs aufweisen, obwohl ein IPS-Filtern durch die netzbasierten IPS- Vorrichtungen 80 und 81 in einer Software implementiert sein kann. Außerdem können die netzbasierten IPS- Vorrichtungen 80 und 81 z. B. durch Anforderung des IPS- Verwaltungsknotens 85 konfiguriert sein, um eine oder mehrere spezifische Vorrichtungen und nicht alle Vorrichtungen auf einem gemeinsamen Netz zu überwachen. Zum Beispiel kann eine netzbasierten IPS-Vorrichtung 80 angewiesen werden, nur den Netzdatenverkehr zu überwachen, der an den Webserver 270A adressiert ist.
  • Die hybrid-hostbasierten/knoten-basierten Einbruchspräventionssystemtechnologien können auf allen Knoten 270A-270N auf den Ethernet-Netzen 55 und 56 implementiert sein, die durch einen Netzangriff ins Ziel gefaßt werden können. Allgemein besteht jeder Knoten aus einem umprogrammierbaren Computer mit einer CPU (CPU = central processing unit = zentrale Verarbeitungseinheit), einem Speichermodul, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU wiedergewinnbar und ausführbar ist, und kann ferner verschiedene Peripherievorrichtungen, wie einen Anzeigemonitor, eine Tastatur, eine Maus und eine andere Vorrichtung, die mit demselben verbunden sind, aufweisen. Ein Speicherungsmedium, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die zum Speichern von Daten betreibbar ist, kann mit dem Speichermodul verbunden sein und dadurch zugreifbar sein und kann eine oder mehrere Datenbanken zum Archivieren von lokalen Einbruchsereignissen und Einbruchsereignisberichten liefern. Ein Betriebssystem kann in das Speichermodul, z. B. nach dem Booten des jeweiligen Knotens, geladen werden und eine Instanz eines Protokollstapels sowie verschiedene Softwaremodule der unteren Ebene aufweisen, die für Aufgaben, wie ein schnittstellenmäßiges Verbinden mit einer Peripheriehardware, ein Planen von Aufgaben, eine Zuweisung der Speicherung sowie anderer Systemaufgaben, erforderlich sind. Jeder Knoten, der durch das hybrid-hostbasierte und knotenbasierte IPS der vorliegenden Erfindung geschützt ist, weist dementsprechend eine IPS-Softwareanwendung auf, die innerhalb des Knotens beibehalten wird, wie in einer magnetischen Festplatte, die durch das Betriebssystem wiedergewinnbar und durch die zentrale Verarbeitungseinheit ausführbar ist. Zusätzlich weist jeder Knoten, der eine Instanz der IPS-Vorrichtung ausführt, eine lokale Datenbank auf, von der aus Signaturbeschreibungen von dokumentierten Angriffen vom Speicher geholt und mit einem Paket oder Rahmen von Daten verglichen werden können, um eine Entsprechung zwischen denselben zu erfassen. Die Erfassung einer Entsprechung zwischen einem Paket oder Rahmen an einem IDS- Server kann zur Ausführung von einer beliebigen oder mehreren von verschiedenen Sicherheitsprozeduren führen.
  • Das unter Bezugnahme auf Fig. 2 beschriebene IPS kann auf einer beliebigen Anzahl von Plattformen implementiert sein. Jede hybrid-hostbasierte/knoten-basierte Instanz der IPS- Vorrichtung, die hierin beschrieben ist, ist vorzugsweise auf einem Netzknoten, wie einem Webserver 270A, implementiert, der unter Steuerung eines Betriebssystems, wie Windows NT 4.0 betrieben wird, das in einem Hauptspeicher gespeichert ist und auf einer zentralen Verarbeitungseinheit arbeitet, und versucht, Angriffe, die auf den Hostknoten gerichtet sind, zu erfassen. Das spezielle Netz 100, das in Fig. 2 dargestellt ist, ist nur exemplarisch und kann eine beliebige Anzahl von Netzservern aufweisen. Firmen- und/oder andere Großnetze können typischerweise zahlreiche individuelle Systeme aufweisen, die ähnliche Dienste anbieten. Zum Beispiel kann ein Firmennetz Hunderte von einzelnen Webservern, Mailservern, FTP-Servern und anderen Systemen aufweisen, die gemeinsame Datendienste anbieten.
  • Jedes Betriebssystem eines Knotens, der eine Instanz einer IPS-Vorrichtung umfaßt, weist zusätzlich einen Netzprotokollstapel 90 auf, der in Fig. 3 dargestellt ist, der den Eingangspunkt für Rahmen definiert, die durch einen ins Ziel gefaßten Knoten aus dem Netz, z. B. dem Internet oder Intranet, empfangen werden. Der dargestellte Netzstapel 90 stellt den hinreichend bekannten Windows-NT-(TM)- Systemnetzprotokollstapel dar und ist so ausgewählt worden, um die Erörterung und das Verständnis der Erfindung zu erleichtern. Es wird jedoch darauf hingewiesen, daß die Erfindung nicht auf eine spezifische Implementierung des dargestellten Netzstapels 90 beschränkt ist, sondern vielmehr auf den Stapel 90, der beschrieben ist, um das Verständnis der Erfindung zu erleichtern. Der Netzstapel 90 weist eine TDI (TDI = transport driver interface = Transporttreiberschnittstelle) 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber (MAC = media access control = Medienzugriffssteuerung) 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden. Dementsprechend ermöglicht die TDI 125 den Betriebssystemtreibern, wie den Netzumleitern, eine Sitzung zu aktivieren oder an den entsprechenden Protokolltreiber 135 zu binden. Folglich kann ein Umleiter auf das entsprechende Protokoll, z. B. ein UDP, TCP, NetBEUI oder anderes Netz- oder Transportschichtprotokoll, zugreifen, wodurch der Umleiter protokollunabhängig gemacht wird. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90 hastet, auf einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Typische Protokolle, die durch einen NT-Netzprotokollstapel unterstützt werden, weisen NetBEUI, TCP/IP, NWLink, DLC (DLC = data link control = Datenverknüpfungssteuerung) und AppleTalk auf, obwohl andere Transport- und/oder Netzprotokolle unterstützt werden können. Ein MAC-Treiber 145, z. B. ein Ethernet-Treiber, ein Token-Ring-Treiber oder ein anderer Netzbetriebstreiber, ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit dem physischen Medium 101, wie einem Koaxialkabel oder einem anderen Übertragungsmedium.
  • Die Fähigkeiten des hostbasierten IPS weisen die Anwendungsüberwachung von Dateisystemereignissen; einem Registrierzugriff; von erfolgreichen Sicherheitsereignissen; gescheiterten Sicherheitsereignissen und einer auffälligen Prozeßüberwachung auf. Bei Netzzugriffsanwendungen, wie einem Microsoft-IIS- und SQL-Server, können Prozesse, die auf dieselben bezogen sind, ebenfalls überwacht werden.
  • Einbrüche können auf einem speziellen IPS-Host durch Implementieren von knotenbasierten Reihenüberwachungstechnologien (Inline-Überwachungstechnologien) verhindert werden. Das Reihen-IPS (Inline-IPS) ist vorzugsweise als Teil eines hybrid-hostbasierten/knoten-basierten IPS umfaßt, obwohl es unabhängig von einem beliebigen hostbasierten IPS-System implementiert sein kann. Das Reihen-IPS analysiert die Pakete, die am Hostknoten empfangen werden, und führt eine Signaturanalyse derselben gegenüber einer Datenbank von bekannten Signaturen durch ein Netzschichtfiltern aus.
  • In Fig. 4 ist ein Netzknoten 270 dargestellt, der eine Instanz einer IPS-Vorrichtung 91 betreiben kann und so als ein IPS-Server operieren kann. Die IPS-Vorrichtung 91 kann als eine dreischichtige IPS gemäß einem Ausführungsbeispiel der vorliegenden Erfindung implementiert sein und kann eine Server-Anwendung und/oder eine Client-Anwendung aufweisen. Der Netzknoten 270 weist allgemein eine CPU 272 und ein Speichermodul 274 auf, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit einem Speichermodul 274 verbunden sein und dadurch durch den Bus ebenso zugreifbar sein. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 270, geladen werden und eine Instanz des Protokollstapels 90 aufweisen und bewirken, daß eine Einbruchspräventionssystemanwendung 91 vom Speicherungsmedium 276 geladen wird. Eine oder mehrere Netzausbeutungsregeln, eine exemplarische Form, die in der ebenfalls anhängigen Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in a Network Exploit", beschrieben ist, kann zu maschinenlesbaren Signaturen kompiliert und innerhalb einer Datenbank 277 gespeichert sein, die in das Speichermodul 274 ladbar ist, und kann durch die IPS-Vorrichtung 91 zum Erleichtern einer Analyse von Netzrahmen und/oder Paketen wiedergewonnen werden.
  • In Fig. 5 ist ein exemplarischer Netzknoten dargestellt, der als ein Verwaltungsknoten 85 des IPS eines Netzes 100 arbeiten kann. Der Verwaltungsknoten 85 weist allgemein eine zentrale Verarbeitungseinheit 272 und ein Speichermodul 274 auf, die betreibbar sind, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit dem Speichermodul 274 verbunden sein und ist dadurch auch durch den Bus zugreifbar. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 85, geladen werden und eine Instanz des Protokollstapels 90 aufweisen. Das Betriebssystem 275 ist betreibbar, um eine IPS- Verwaltungsanwendung 279 vom Speicherungsmedium 276 zu holen und die Verwaltungsanwendung 279 in das Speichermodul 274 zu laden, wo sie durch die CPU 272 ausgeführt wird. Der Knoten 85 weist vorzugsweise eine Eingabevorrichtung 281, wie eine Tastatur, und eine Ausgabevorrichtung 282, wie einen Monitor, der mit demselben verbunden ist, auf.
  • Ein Operator des Verwaltungsknotens 85 kann eine oder mehrere Textdateien 277A-277N über die Eingabevorrichtung 281 eingeben. Jede Textdatei 277A-277N kann eine netzbasierte Ausbeutung definieren und eine logische Beschreibung einer Angriffssignatur sowie IPS-Anweisungen zum Ausführen nach einer IPS-Auswertung eines einbruchsbezogenen Ereignisses, das der beschriebenen Angriffssignatur zugeordnet ist, aufweisen. Jede Textdatei 277A-277N kann in einer Datenbank 278A auf einem Speicherungsmedium 276 gespeichert sein und durch einen Kompilierer 280 in eine jeweilige maschinenlesbare Signaturdatei 281A-281N kompiliert werden, die in einer Datenbank 278B gespeichert ist. Jede der maschinenlesbaren Signaturdateien 281A-281N weist einen binären logischen Stellvertreter der Angriffssignatur, die in der jeweiligen zugeordneten Textdatei 277A-277N beschrieben ist, auf. Ein Operator des Verwaltungsknotens 85 kann den Verwaltungsknoten 85 durch Interaktion mit einer Client-Anwendung der IPS-Vorrichtung 279 über eine Eingabevorrichtung 281 periodisch anweisen, eine oder mehrere maschinenlesbare Signaturdateien (die hierin auch allgemein als "Signaturdateien" bezeichnet werden), die in der Datenbank 278B gespeichert sind, an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Alternativ können die Signaturdateien 281A-281N in einem computerlesbaren Medium, wie einer Kompaktdisk, einer Magnet-Diskette oder einer anderen tragbaren Speicherungsvorrichtung, gespeichert sein und auf dem Knoten 270 des Netzes 100 installiert sein. Die Anwendung 279 ist vorzugsweise betreibbar, um alle solchen Signaturdateien 281A-281N oder einen oder mehrere Teilsätze derselben an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Vorzugsweise stellt die IPS-Vorrichtung 279 eine graphische Benutzerschnittstelle auf der Ausgabevorrichtung 282 zum Erleichtern der Eingabe von Befehlen in dieselbe durch einen Operator des Knotens 85 bereit.
  • In Fig. 6 ist ein dreischichtiges IPS 300 dargestellt, das in einem exemplarischen Protokollstapel gemäß einem Ausführungsbeispiel der Erfindung installiert ist. Das IPS 300 kann in einem Netzstapel von jedem Knoten des Netzes 100 installiert sein, das durch das IPS 300 geschützt ist, sowie in einem IPS-Verwaltungsknotens 85 und/oder einer oder mehreren netzbasierten IPS-Anwendungen 81 und 81.
  • Eine Angriffsbedrohungsanalyse wird an drei separaten Schichten ausgeführt. Eine IPS- Anwendungsdienstanbieterschicht 110, die auch als ein IPS- Server bezeichnet wird, liefert eine Systemintegrität über eine Basislinienanalyse z. B. zum Betreiben von Programmen, Dateisystemen, Benutzerprofil-Verwaltungsanwendungen, zum Überwachen von Anwendungsprotokollen, um zu bestimmen, wann ein Angriff aufgetreten ist, zum Netzausnutzungsüberwachen und für andere Protokollbeobachtungsmaßnahmen und zum Überwachen von der Anwendungsschicht 108. Die IPS- Anwendungsdienstanbieterschicht 110 erleichtert den Betrieb einer IPS-Transportdienst-Anbieterschicht 120 und eines Netzfilterdienstanbieters 140, der an der Netzschicht als ein Zwischentreiber des Netzstapels installiert ist. Die Dienstanbieterschicht 110 ist allgemein als ein hostbasiertes Sicherheitssystem implementiert und kann für eine Verwaltungskonsole nach dem Erfassen einer Verletzung auf Anwendungsebene Alarme erzeugen. Der IPS- Anwendungsdienstanbieter 110 kann auch mit einem lokalen Dateisystem 184 interagieren, das eine Ereignisdatenbank 405 und/oder eine Berichtsdatenbank 416 zum Archivieren von einbruchsbezogenen Ereignissen durch das IPS 300 aufweisen kann, die durch das IPS 300 erfaßt wurden, und das eine Analyse von Einbruchsereignissen lokal an einem Netzknoten, der auf dem IPS 300 arbeitet, erleichtern kann. Die IPS Dienstanbieterschicht 110 kann ein Erfassen von Netzausbeutungen durch Überwachen oder Filtern von Anwendungsebenedaten liefern. Zum Beispiel kann die IPS- Dienstanbieterschicht 110 mit einem Anwendungsfilter, wie einer ISAPI-Einsteckstelle (ISAPI = internet server application programming interface = Internetserver- Anwendungsprogrammierschnittstelle), die ein URL-Filtern für einen Mikrosoft-Internet-Informationsserver ausführt, schnittstellenmäßig verbunden sein. Der IPS- Verwaltungsknoten 85 kann mit dem IPS 300 interagieren, wie z. B. Ereignis- und Berichtsabfragen an denselben über eine IPS-Clientanwendung, die am Verwaltungsknoten 85 arbeitet, der mit dem IPS-Server 110 in eine Kommunikationssitzung eingreifen kann, liefern.
  • Eine IPS-Transportdienstanbieterschicht 120 richtet eine Basisleitung von Netzports-, Sockeln und einer Netzanwendungsausnutzung ein. Die Transportdienstanbieterschicht 120 ist vorzugsweise über der Netzverschlüsselungsschicht wie z. B. IPSec, LAN-Emulation oder beliebige Tunnelprotokolle, so daß dadurch auf die Anwendungsdaten eine Inhaltsabtastung ausgeführt werden kann, bevor die Anwendungsdaten durch den Protokolltreiber 135 zur Übertragung über das Netz 100 eingekapselt werden. Der IPS- Transportdienstanbieter 120 kann eine Netzausbeutungserfassung auf der Transportschichtebene liefern. Zum Beispiel kann der IPS-Transportdienstanbieter 120 geschichtete, bediente Anbieterfilter aufweisen, um ein Filtern auf Sockelebene durch Umfassen von geschichteten, bedienten Anbieterfiltern innerhalb einer IPS-Transportdienstanbieterschicht 120 zu erleichtern. Die IPS-Anwendung 91 kann Rahmen am Knoten des Netzes 100 filtern, nachdem die erneute Zusammensetzung der zusammengehörigen Netzpakete und die Entschlüsselung derselben durch Umfassen eines IPS- Transportdienstanbieters 120 in die IPS-Anwendung 91 ausgeführt worden ist. Folglich kann die IPS- Transportdienstanbieterschicht 120 Angriffe wie Multirahmenangriffe und fragmentierte Angriffe erfassen, die keine Signaturen aufweisen, die ohne weiteres über ein einzelnes Paket oder eine Serie von Paketen erkennbar sind, jedoch durch Filtern eines ausbeuterischen Rahmens erfaßt werden können, der aus zusammengesetzten und verschlüsselten zusammengehörigen Paketen besteht.
  • Eine Netzfilterdienst-Anbieterschicht 140 ist an einen MAC- Treiber 145 (MAC = media access control = Medienzugriffssteuerung) und einen Protokolltreiber 135 an der Netzschicht des Protokollstapels 90 gebunden und kann so ein Filtern auf unterer Ebene ausführen, das ein Filtern nach atomaren Netzangriffen, Netzprotokollebene-Angriffen, einem IP-Filtern, einem Port-Filtern und einem Sammeln von Netzstatistiken in sowohl eingehenden als auch ausgehenden Richtungen aufweist. Der Netzfilterdienstanbieter 140 liefert ein dynamisches Echtzeitfiltern von Netzausbeutungsregeln und eine Signaturübereinstimmung von eingehenden und ausgehenden Daten. Der Netzfilterdienstanbieter 140 kann eine assoziative Prozeßmaschine aufweisen, wie in der ebenfalls anhängigen Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in a Network Exploit", die gleichzeitig hiermit eingereicht wird, beschrieben ist, und ein dynamisches Filtern kann dadurch so ausgeführt werden, daß das IPS 300 ohne eine Neuinitialisierung des Netzstapels 90 dynamisch aktualisiert werden kann. Die Netzausbeutungen können an der Netzschicht durch den Netzfilterdienstanbieter 140, den IPS- Transportdienstanbieter 120 und die IPS- Dienstanbieterschicht 110 der beschriebenen dreischichtigen IPS-Anwendung 91 identifiziert werden. Folglich kann verhindert werden, daß die eingehenden Ausbeutungen, die auf den Knoten gerichtet sind, der die IPS-Anwendung 300 betreibt, die oberen Schichten des Netzstapels 90 erreichen, indem die Rahmen, die auf der Netzschicht als auffällig oder einbruchsbezogen identifiziert wurden, aussortiert werden, und es kann verhindert werden, daß Ausbeutungen, die dem Knoten entstammen, der eine IPS-Anwendung 300betreibt, wie z. B. die ausbeuterischen Daten, die anhand einer trojanischen Anwendung erzeugt werden, die an der Anwendungsschicht 108 angeordnet ist, aus dem Knoten, der das IPS 300 betreibt, übertragen werden, wodurch verhindert wird, daß der Knoten, der das IPS 300 betreibt, als ein Zombiesystem bei einem Netzangriff verwendet wird. Die Netzausbeutungen, die den Netzfilterdienstanbieter 140 umgehen, z. B. indem sie Signaturanalysetechniken umgehen, die durch dieselben über Multirahmen- oder fragmentierte Angriffe oder andere Einrichtungen verwendet werden, können durch den IPS-Transportdienstanbieter 120 erfaßt werden, der ein Transportebenefiltern ausführen kann. Die Anwendungsebeneangriffe können durch die IPS- Dienstanbieterschicht 110 erfaßt werden. Eine textbasierte Ausbeutungssignaturbeschreibungs-Sprache kann verwendet werden, um eine Datenbank 277 der maschinenlesbaren Signaturdateien zu erzeugen, die dem Netzfilterdienstanbieter 140 durch den IPS-Server 110 zugeführt werden. Folglich kann die Datenbank 277 mit den Systemdienstpaketen aktualisiert werden, so daß das IPS 300 dynamisch aktualisiert wird, ohne eine Uminitialisierung des Netzfilterdienstanbieters 140 zu erfordern, wodurch der Bedarf an einem erneuten Booten des Systems vermieden wird, jedesmal wenn das IPS 300, z. B. durch eine Installation von neuen Signaturdateien in der Datenbank 277, aktualisiert wird.

Claims (10)

1. Verfahren zum Verhindern von Einbrüchen auf einen Knoten (270) eines Netzes (100), wobei das Verfahren folgende Schritte aufweist:
Überwachen, durch eine erste Schicht (110) eines Einbruchspräventionssystems, von Anwendungsdaten von Anwendungen, die auf dem Knoten (270) laufen;
Überwachen, durch eine zweite Schicht (120) des Einbruchspräventionssystems, von Transportschichtdaten des Knotens (270); und
Überwachen, durch eine dritte Schicht (140) des Einbruchspräventionssystems, von Netzschichtdaten des Knotens (270).
2. Verfahren gemäß Anspruch 1, das ferner ein schnittstellenmäßiges Verbinden der ersten Schicht (110) des Einbruchspräventionssystems mit einem Dateisystem (184) aufweist.
3. Verfahren gemäß Anspruch 2, bei dem ein schnittstellenmäßiges Verbinden der ersten Schicht (110) des Einbruchspräventionssystems mit einem Dateisystem (184) ferner ein schnittstellenmäßiges Verbinden der ersten Schicht (110) des Einbruchspräventionssystems mit einem Dateisystem (184) aufweist, das zumindest entweder eine Ereignisdatenbank (405) zum Archivieren von einbruchsbezogenen Ereignissen, die durch das Einbruchspräventionssystem erfaßt werden, eine Berichtsdatenbank (416) zum Speichern von Berichten, die sich auf die einbruchsbezogenen Ereignisse beziehen, die durch das Einbruchspräventionssystem erfaßt werden, und eine Signaturdatei-Datenbank (277) aufweist.
4. Verfahren gemäß Anspruch 3, das ferner ein Bereitstellen, durch die erste Schicht (110) des Einbruchspräventionssystems, von einer oder mehreren Signaturdateien (281A-281N), die in der Signaturdateidatenbank (277) gehalten werden, an die dritte Schicht (140) des Einbruchspräventionssystems aufweist.
5. Verfahren gemäß einem der Ansprüche 1 bis 4, das ferner ein Einrichten einer Kommunikationssitzung zwischen der ersten Schicht (110) des Einbruchspräventionssystems und eines Verwaltungs-Clients (279) eines Einbruchpräventionssystems aufweist, das auf einem zweiten Knoten (85) des Netzes (100) läuft.
6. Computerlesbares Medium, auf dem ein Satz von Instruktionen gespeichert ist, die ausgeführt werden sollen, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirkt, daß der Prozessor (272) ein Computerverfahren ausführt, das folgende Schritte aufweist:
Überwachen von Anwendungsschichtdaten, durch eine erste Schicht (110) eines Einbruchspräventionssystems, das aus den Instruktionen besteht, eines Knotens (270) eines Netzes (100), wobei der Knoten (270) den Prozessor (272) aufweist;
Überwachen von Transportschichtdaten, durch eine zweite Schicht (120) des Einbruchspräventionssystems, des Knotens (270) des Netzes (100); und
Überwachen von Netzschichtdaten, durch eine dritte Schicht (140) eines Einbruchspräventionssystems, des Knotens (270) des Netzes (100).
7. Computerlesbares Medium gemäß Anspruch 6, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Binden der dritten Schicht (140) an einen Medienzugriffs-Steuerungstreiber (145) und einen Protokolltreiber (135) einer Instanz eines Netzstapels (90), der auf dem Knoten (270) läuft, ausführt.
8. Computerlesbares Medium gemäß Anspruch 6 oder 7, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Binden der zweiten Schicht (120) an eine Transporttreiberschnittstelle (125) eines Exemplars eines Netzstapels (90) ausführt, der auf dem Knoten (270) läuft.
9. Computerlesbares Medium gemäß einem der Ansprüche 6 bis 8, das ferner einen Satz von Instruktionen aufweist, die, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirken, daß der Prozessor (272) ein Computerverfahren zum Kommunizieren, durch die erste Schicht (110), mit einer Verwaltungsanwendung (279), die auf einem zweiten Knoten (85) des Netzes (100) läuft, ausführt.
10. Knoten (270) eines Netzes (100), wobei der Knoten folgende Merkmale aufweist:
eine zentrale Verarbeitungseinheit (272);
ein Speichermodul (274) zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedergewinnung und Ausführung durch die zentrale Verarbeitungseinheit (272); und
ein Betriebssystem (275), das einen Netzstapel (90) aufweist, der einen Protokolltreiber (135), einen Medienzugriffs-Steuerungstreiber (145), wobei das Speichermodul (274) ein Exemplar einer Einbruchsschutzsystemanwendung (91) speichert, die betreibbar ist, um die Anwendungsschichtdaten zu überwachen, und eine Einbruchspräventionssystem-Transportdienstanbieterschicht (125) aufweist, und wobei das Betriebssystem (275) einen Einbruchpräventionssystem- Netzfilterdienstanbieter (140) aufweist, der an den Medienzugriffs-Steuerungstreiber (145) und den Protokolltreiber (135) gebunden ist.
DE10249887A 2001-10-31 2002-10-25 Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen Withdrawn DE10249887A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/003,747 US7197762B2 (en) 2001-10-31 2001-10-31 Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits

Publications (1)

Publication Number Publication Date
DE10249887A1 true DE10249887A1 (de) 2003-05-28

Family

ID=21707384

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10249887A Withdrawn DE10249887A1 (de) 2001-10-31 2002-10-25 Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen

Country Status (3)

Country Link
US (1) US7197762B2 (de)
DE (1) DE10249887A1 (de)
GB (1) GB2382283B (de)

Families Citing this family (78)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7231606B2 (en) 2000-10-31 2007-06-12 Software Research, Inc. Method and system for testing websites
US7461403B1 (en) * 2001-08-03 2008-12-02 Mcafee, Inc. System and method for providing passive screening of transient messages in a distributed computing environment
US20030105957A1 (en) * 2001-12-05 2003-06-05 International Business Machines Corporation Kernel-based security implementation
US7246233B2 (en) * 2001-12-05 2007-07-17 International Business Machines Corporation Policy-driven kernel-based security implementation
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US20030196123A1 (en) * 2002-03-29 2003-10-16 Rowland Craig H. Method and system for analyzing and addressing alarms from network intrusion detection systems
CN1643876B (zh) * 2002-03-29 2010-09-29 思科技术公司 用于降低网络入侵检测系统的误报率的方法和系统
US7327690B2 (en) * 2002-08-12 2008-02-05 Harris Corporation Wireless local or metropolitan area network with intrusion detection features and related methods
US7437760B2 (en) * 2002-10-10 2008-10-14 International Business Machines Corporation Antiviral network system
US20040123142A1 (en) * 2002-12-18 2004-06-24 Dubal Scott P. Detecting a network attack
US7150044B2 (en) * 2003-03-10 2006-12-12 Mci, Llc Secure self-organizing and self-provisioning anomalous event detection systems
US20070192867A1 (en) * 2003-07-25 2007-08-16 Miliefsky Gary S Security appliances
US7346922B2 (en) * 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
IL158309A (en) * 2003-10-08 2011-06-30 Ammon Yacoby Centralized network control
US7805762B2 (en) * 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US7797752B1 (en) * 2003-12-17 2010-09-14 Vimal Vaidya Method and apparatus to secure a computing environment
US8613091B1 (en) 2004-03-08 2013-12-17 Redcannon Security, Inc. Method and apparatus for creating a secure anywhere system
FR2868230B1 (fr) * 2004-03-25 2012-06-08 Netasq Dispositif et procede de detection et de prevention d'intrusion dans un reseau informatique
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US7343599B2 (en) * 2005-01-03 2008-03-11 Blue Lane Technologies Inc. Network-based patching machine
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7827608B2 (en) * 2005-02-08 2010-11-02 International Business Machines Corporation Data leak protection system, method and apparatus
WO2006095334A2 (en) * 2005-03-09 2006-09-14 Beefence Ltd Method, system and computer readable medium for intrusion control
US9692725B2 (en) 2005-05-26 2017-06-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9621666B2 (en) 2005-05-26 2017-04-11 Citrix Systems, Inc. Systems and methods for enhanced delta compression
US8943304B2 (en) * 2006-08-03 2015-01-27 Citrix Systems, Inc. Systems and methods for using an HTTP-aware client agent
US9407608B2 (en) 2005-05-26 2016-08-02 Citrix Systems, Inc. Systems and methods for enhanced client side policy
US7782767B1 (en) * 2005-07-20 2010-08-24 Tektronix, Inc. Method and system for calculating burst bit rate for IP interactive applications
JP4743911B2 (ja) * 2005-09-07 2011-08-10 インターナショナル・ビジネス・マシーンズ・コーポレーション 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
US20070168696A1 (en) * 2005-11-15 2007-07-19 Aternity Information Systems, Ltd. System for inventing computer systems and alerting users of faults
US8352589B2 (en) * 2005-11-15 2013-01-08 Aternity Information Systems Ltd. System for monitoring computer systems and alerting users of faults
US7716729B2 (en) * 2005-11-23 2010-05-11 Genband Inc. Method for responding to denial of service attacks at the session layer or above
CA2634913A1 (en) * 2005-12-22 2007-07-05 Telchemy, Incorporated Distributed system and method for diagnosing network problems
US20070177615A1 (en) * 2006-01-11 2007-08-02 Miliefsky Gary S Voip security
US7774459B2 (en) * 2006-03-01 2010-08-10 Microsoft Corporation Honey monkey network exploration
EP2008188B1 (de) * 2006-03-24 2017-05-31 AVG Netherlands B.V. Schutz von software-schwachstellen vor ausnutzung
US20070266421A1 (en) * 2006-05-12 2007-11-15 Redcannon, Inc. System, method and computer program product for centrally managing policies assignable to a plurality of portable end-point security devices over a network
US20080098478A1 (en) * 2006-10-20 2008-04-24 Redcannon, Inc. System, Method and Computer Program Product for Administering Trust Dependent Functional Control over a Portable Endpoint Security Device
US7672336B2 (en) * 2006-12-01 2010-03-02 Sonus Networks, Inc. Filtering and policing for defending against denial of service attacks on a network
US7940657B2 (en) 2006-12-01 2011-05-10 Sonus Networks, Inc. Identifying attackers on a network
EP1954005A1 (de) 2007-02-02 2008-08-06 Koninklijke KPN N.V. Verfahren und System zur Verarbeitung von Netzkommunikation
US20080226069A1 (en) * 2007-03-14 2008-09-18 Encrypted Shields Pty Ltd Apparatus and Method for Providing Protection from Malware
US8209748B1 (en) * 2007-03-27 2012-06-26 Amazon Technologies, Inc. Protecting network sites during adverse network conditions
US8984504B2 (en) * 2007-06-22 2015-03-17 Red Hat, Inc. Method and system for determining a host machine by a virtual machine
US8336108B2 (en) * 2007-06-22 2012-12-18 Red Hat, Inc. Method and system for collaboration involving enterprise nodes
US8191141B2 (en) * 2007-06-22 2012-05-29 Red Hat, Inc. Method and system for cloaked observation and remediation of software attacks
US8539570B2 (en) 2007-06-22 2013-09-17 Red Hat, Inc. Method for managing a virtual machine
US9727440B2 (en) 2007-06-22 2017-08-08 Red Hat, Inc. Automatic simulation of virtual machine performance
US9354960B2 (en) 2010-12-27 2016-05-31 Red Hat, Inc. Assigning virtual machines to business application service groups based on ranking of the virtual machines
US9678803B2 (en) 2007-06-22 2017-06-13 Red Hat, Inc. Migration of network entities to a cloud infrastructure
US8429748B2 (en) * 2007-06-22 2013-04-23 Red Hat, Inc. Network traffic analysis using a dynamically updating ontological network description
US8949827B2 (en) * 2007-06-22 2015-02-03 Red Hat, Inc. Tracking a virtual machine
US9569330B2 (en) 2007-06-22 2017-02-14 Red Hat, Inc. Performing dependency analysis on nodes of a business application service group
US9495152B2 (en) 2007-06-22 2016-11-15 Red Hat, Inc. Automatic baselining of business application service groups comprised of virtual machines
US20090199298A1 (en) * 2007-06-26 2009-08-06 Miliefsky Gary S Enterprise security management for network equipment
US8286219B2 (en) * 2008-02-16 2012-10-09 Xencare Software Inc. Safe and secure program execution framework
US7516220B1 (en) 2008-05-15 2009-04-07 International Business Machines Corporation Method and system for detecting and deterring robot access of web-based interfaces by using minimum expected human response time
US8954725B2 (en) * 2009-05-08 2015-02-10 Microsoft Technology Licensing, Llc Sanitization of packets
US8782787B2 (en) 2009-10-28 2014-07-15 Hewlett-Packard Development Company, L.P. Distributed packet flow inspection and processing
US20110106937A1 (en) * 2009-10-29 2011-05-05 Fluke Corporation Mixed-mode analysis
US8307418B2 (en) * 2010-03-16 2012-11-06 Genband Inc. Methods, systems, and computer readable media for providing application layer firewall and integrated deep packet inspection functions for providing early intrusion detection and intrusion prevention at an edge networking device
CA2712542C (en) 2010-08-25 2012-09-11 Ibm Canada Limited - Ibm Canada Limitee Two-tier deep analysis of html traffic
CN102185858B (zh) * 2011-05-06 2014-03-19 山东中创软件商用中间件股份有限公司 一种应用于应用层的web入侵防御方法及系统
US10701097B2 (en) * 2011-12-20 2020-06-30 Micro Focus Llc Application security testing
CN102438026B (zh) * 2012-01-12 2014-05-07 冶金自动化研究设计院 工业控制网络安全防护方法及系统
EP2807583B1 (de) * 2012-01-24 2018-07-25 Varonis Systems, Inc. Verfahren und vorrichtung zur authentifizierung von dateileseereignissen
US20140337926A1 (en) * 2013-05-10 2014-11-13 Matthew Martin Shannon Systems and methods for on-demand provisioning of user access to network-based computer applications and programs
US9148418B2 (en) * 2013-05-10 2015-09-29 Matthew Martin Shannon Systems and methods for remote access to computer data over public and private networks via a software switch
US10397186B2 (en) 2017-10-06 2019-08-27 Stealthpath, Inc. Methods for internet communication security
US10630642B2 (en) 2017-10-06 2020-04-21 Stealthpath, Inc. Methods for internet communication security
US10361859B2 (en) 2017-10-06 2019-07-23 Stealthpath, Inc. Methods for internet communication security
US10367811B2 (en) 2017-10-06 2019-07-30 Stealthpath, Inc. Methods for internet communication security
US10375019B2 (en) 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security
US10374803B2 (en) 2017-10-06 2019-08-06 Stealthpath, Inc. Methods for internet communication security
US11558423B2 (en) 2019-09-27 2023-01-17 Stealthpath, Inc. Methods for zero trust security with high quality of service
CN111580486A (zh) * 2020-05-28 2020-08-25 安徽工程大学 一种基于物联网的智能工厂数据管理系统及其处理方法
CN113222048B (zh) * 2021-05-26 2023-02-17 郑州轻工业大学 一种基于人工免疫的疫苗接种与疫苗数据融合方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5968176A (en) 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor

Also Published As

Publication number Publication date
GB0224542D0 (en) 2002-11-27
US20030084329A1 (en) 2003-05-01
US7197762B2 (en) 2007-03-27
GB2382283B (en) 2005-01-12
GB2382283A (en) 2003-05-21

Similar Documents

Publication Publication Date Title
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
Pilli et al. Network forensic frameworks: Survey and research challenges
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
Lakkaraju et al. NVisionIP: netflow visualizations of system state for security situational awareness
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
Ren et al. Distributed agent-based real time network intrusion forensics system architecture design
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
US8528077B1 (en) Comparing events from multiple network security devices
Kvarnström A survey of commercial tools for intrusion detection
EP1464150B1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
Ahmet et al. Comparison of the host based intrusion detection systems and network based intrusion detection systems
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
Mishra et al. Artificial intelligent firewall

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8130 Withdrawal