DE10249888A1 - Knoten, Verfahren und computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in einen Netzstapel - Google Patents

Knoten, Verfahren und computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in einen Netzstapel

Info

Publication number
DE10249888A1
DE10249888A1 DE10249888A DE10249888A DE10249888A1 DE 10249888 A1 DE10249888 A1 DE 10249888A1 DE 10249888 A DE10249888 A DE 10249888A DE 10249888 A DE10249888 A DE 10249888A DE 10249888 A1 DE10249888 A1 DE 10249888A1
Authority
DE
Germany
Prior art keywords
network
node
ips
driver
access control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
DE10249888A
Other languages
English (en)
Other versions
DE10249888B4 (de
Inventor
Richard Paul Tarquini
Richard Louis Schertz
George Simon Gales
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10249888A1 publication Critical patent/DE10249888A1/de
Application granted granted Critical
Publication of DE10249888B4 publication Critical patent/DE10249888B4/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/325Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the network layer [OSI layer 3], e.g. X.25
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Ein Knoten eines Netzes, das ein Einbrucherfassungssystem betreibt, umfaßt eine Verarbeitungseinheit, ein Speichermodul zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedgewinnung und Ausführung durch die zentrale Verarbeitungseinheit, eine Datenbank zum Speichern einer Mehrzahl von maschinenlesbaren Netzausbeutungssignaturen, ein Betriebssystem, das einen Netzstapel aufweist, der einen Protokolltreiber, einen Medienzugriff-Steuerungstreiber und ein Exemplar des Einbrucherfassungssystems aufweist, das als ein Zwischentreiber implementiert ist und an den Protokolltreiber und den Medienzugriff-Steuerungstreiber gebunden ist.

Description

  • Diese Erfindung bezieht sich auf Netztechnologien und spezieller auf einen Knoten, ein Verfahren und ein computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in das Netz.
  • Netzwerkausbeutungs-Angriffswerkzeuge, wie DoS-Angriffsdienstprogramme (DoS = denial-of-service = Dienstverweigerung) werden technisch immer ausgereifter, und aufgrund der sich entwickelnden Technologien sind sie einfach auszuführen. Technisch relativ ungebildete Angreifer können Computersystembeeinträchtigungen arrangieren oder in dieselben involviert sein, die auf eine oder mehrere ins Ziel gefaßte Einrichtungen gerichtet sind. Ein Netzsystemangriff (der hierin auch als Eindringen bezeichnet wird) ist eine unautorisierte oder böswillige Verwendung eines Computers oder eines Computernetzes und kann Hunderte oder Tausende von ungeschützten oder anderweitig beeinträchtigte Internetknoten zusammen in einem koordinierten Angriff auf ein oder mehrere ausgewählte Ziele umfassen.
  • Netzangriffswerkzeuge basierend auf dem Client-/Servermodell sind zu einem bevorzugten Mechanismus zum Ausführen von Netzangriffen auf ins Ziel gefaßte Netze oder Vorrichtungen geworden. Hochkapazitätsmaschinen in Netzen, die über eine unzureichende Sicherheit verfügen, werden von Angreifern gerne genutzt, um verteilte Angriffe von denselben zu starten. Universitätsserver weisen typischerweise eine hohe Konnektivität und Kapazität, jedoch eine relativ mittelmäßige Sicherheit auf. Solche Netze haben auch häufig unerfahrene oder überarbeite Netzwerkadministratoren, die die Netze für die Involvierung in Netzangriffe sogar noch anfälliger machen.
  • Netzausbeutungs-Angriffswerkzeuge, die feindliche Angriffsanwendungen wie DoS-Dienstprogramme aufweisen, die zum Übertragen von Daten über ein Netzmedium verantwortlich sind, weisen häufig eine unterscheidbare "Signatur" oder ein erkennbares Muster innerhalb der übertragenen Daten auf. Die Signatur kann eine erkennbare Sequenz von speziellen Paketen und/oder erkennbaren Daten aufweisen, die innerhalb von einem oder mehreren Paketen enthalten sind. Eine Signaturanalyse wird häufig durch ein Netz-IPS (IPS = intrusion prevention system = Einbruchpräventionssystem) ausgeführt und kann als ein Musterübereinstimmungsalgorithmus implementiert sein und kann andere Signaturerkennungsfähigkeiten sowie Anwendungsüberwachungs-Dienstprogramme einer höheren Ebene aufweisen. Ein einfacher Signaturanalysealgorithmus kann nach einer speziellen Zeichenfolge suchen, die als einer feindlichen Anordnung zugeordnet identifiziert worden ist. Sobald die Zeichenfolge innerhalb eines Netzdatenstroms identifiziert worden ist, können das eine oder die mehreren Pakete, die die Zeichenfolge tragen, als "feindlich" oder ausbeutend identifiziert werden, und das IPS kann dann eine beliebige oder mehrere von einer Anzahl von Maßnahmen, wie Registrieren der Identifizierung des Rahmens, Ausführen einer Gegenmaßnahme oder Ausführen einer weiteren Datenarchivierungs- oder Schutzmaßnahme, ausführen.
  • Die IPS umfassen eine Technologie, die versucht, Ausbeutungen gegenüber einem Computersystem oder Netz von Computersystemen zu identifizieren. Zahlreiche Typen von IPS existieren und sind jeweils allgemein als entweder ein netzbasiertes, host-basiertes oder knotenbasiertes IPS klassifiziert.
  • Die netzbasierten IPS-Vorrichtungen sind typischerweise dedizierte (bzw. zweckgebundene) Systeme, die an strategischen Stellen auf einem Netz plaziert sind, um Datenpakete zu untersuchen, um zu bestimmen, ob sie mit bekannten Angriffssignaturen übereinstimmen. Um Pakete mit bekannten Angriffssignaturen zu vergleichen, nutzen die netzwerkbasierten IPS-Vorrichtungen einen Mechanismus, der als eine passive Protokollanalyse bezeichnet wird, um den gesamten Verkehr auf einem Netz unauffällig zu überwachen oder zu durchschnüffeln und um Ereignisse auf einer unteren Ebene, die von einem rohen Netzverkehr unterschieden werden können, zu erfassen. Die Netzausbeutungen können durch Identifizieren von Mustern oder andere beobachtbare Charakteristika von Netzrahmen erfaßt werden. Die netzbasierten IPS- Vorrichtungen untersuchen den Inhalt von Datenpaketen durch syntaktisches Analysieren von Netzrahmen und Paketen und Analysieren individueller Pakete basierend auf den Protokollen, die auf dem Netz verwendet werden. Eine netzbasierte IPS-Vorrichtung überwacht auf unauffällige Weise den Netzverkehr, d. h. andere Netzknoten können sich des Vorhandenseins der netzbasierten IPS-Vorrichtung nicht bewußt sein und tun dies auch häufig nicht. Eine passive Überwachung wird normalerweise durch eine netzbasierte IPS- Vorrichtung durch Implementieren eines "Wahllos-Modus"- Zugriffs von einer Netzschnittstellenvorrichtung ausgeführt. Eine Netzschnittstellenvorrichtung, die in dem wahllosen Modus arbeitet, kopiert Pakete direkt von dem Netzmedium, wie einem Koaxialkabel, einem 100baseT- oder anderem Übertragungsmedium, ungeachtet des Bestimmungsknotens, an den das Paket adressiert ist. Folglich ist kein einfaches Verfahren zum Übertragen von Daten über das Netzübertragungsmedium vorhanden, ohne daß die netzbasierte IPS- Vorrichtung dasselbe untersucht, und so kann die netzbasierte IPS-Vorrichtung den gesamten Netzverkehr, dem sie ausgesetzt ist, erfassen und analysieren. Nach der Identifizierung eines auffälligen Pakets, d. h. eines Pakets, das Attribute aufweist, die einer bekannten Angriffssignatur entsprechen, die auf ein Erscheinen durch die netzbasierte IPS-Vorrichtung überwacht wird, kann ein Alarm dadurch erzeugt werden und an ein Verwaltungsmodul des IPS übertragen werden, so daß ein Netzexperte Sicherheitsmaßnahmen umsetzen kann. Die netzbasierten IPS-Vorrichtungen haben den zusätzlichen Vorteil, daß sie in Echtzeit arbeiten und so einen Angriff, während dieser geschieht, erfassen können.
  • Die netzbasierten IPS-Vorrichtungen können jedoch häufig eine große Anzahl von "falschen Positiven", d. h. unrichtigen Diagnosen eines Angriffs, erzeugen. Falsche Positivdiagnosen durch netzbasierte IPS-Vorrichtungen ergeben sich teilweise durch Fehler, die während einer passiven Analyse des Netzverkehrs erzeugt werden, die durch das IPS erfaßt werden, die in einer beliebigen Anzahl von netzunterstützten Protokollen verschlüsselt und formatiert werden können. Ein inhaltsmäßiges Abtasten durch ein netzbasiertes IPS ist auf einer verschlüsselten Verknüpfung nicht möglich, obwohl die Signaturanalyse basierend auf Protokollanfangsblöcken ungeachtet dessen ausgeführt werden kann, ob die Verknüpfung verschlüsselt ist oder nicht. Zusätzlich sind die netzbasierten IPS-Vorrichtungen bei Hochgeschwindigkeitsnetzen häufig uneffektiv. Da Hochgeschwindigkeitsnetze immer üblicher werden, werden die software-basierten, netzbasierten IPS-Vorrichtungen, die versuchen, alle Pakete auf einer Verknüpfung zu durchschnüffeln, immer weniger zuverlässig. Am bedeutsamsten ist die Tatsache, daß die netzbasierten IPS-Vorrichtungen keine Angriffe verhindern können, es sei denn, sie sind in ein Brandmauerschutzsystem integriert und werden in Verbindung mit demselben betrieben.
  • Hostbasierte IPS erfassen Einbrüche durch Überwachen von Anwendungsschichtdaten. Hostbasierte IPS verwenden intelligente Agenten, um Computerprüfprotokolle auf auffällige Aktivitäten zu überprüfen und jede Veränderung in den Protokollen mit einer Bibliothek von Angriffssignaturen oder Benutzerprofilen zu vergleichen. Die hostbasierten IPS können auch Schlüsselsystemdateien und ausführbare Dateien auf unerwartete Veränderungen hin abrufen. Die hostbasierten IPS werden als solche bezeichnet, weil sich die IPS- Dienstprogramme auf dem System befinden, dem sie zugeordnet sind, um dasselbe zu schützen. Die hostbasierten IPS verwenden typischerweise Überwachungstechniken auf Anwendungsebene, die Anwendungsprotokolle untersuchen, die durch verschiedene Anwendungen unterhalten werden. Zum Beispiel kann ein hostbasiertes IPS eine Datenbankmaschine, die gescheiterte Zugriffsversuche und/oder Modifizierungen auf Systemkonfigurationen registriert, überwachen. Alarme können an einen Verwaltungsknoten nach der Identifizierung von Ereignissen geliefert werden, die von dem Datenbankprotokoll gelesen wurden, die als auffällig identifiziert worden sind. Hostbasierte IPS erzeugen allgemein sehr wenig falsche Positive. Hostbasierte IPS, wie Protokollwächter, sind jedoch allgemein auf ein Identifizieren von Einbrüchen beschränkt, die bereits stattgefunden haben, und sind auch auf Ereignisse beschränkt, die sich auf dem einzelnen Host ereignen. Weil sich die Protokollwächter auf ein Überwachen von Anwendungsprotokollen stützen, werden Schäden, die aus dem registrierten Angriff resultieren, allgemein bis zu dem Zeitpunkt, als der Angriff durch das IPS identifiziert worden ist, bereits stattgefunden haben. Einige hostbasierte IPS können einbruchspräventive Funktionen, wie "Einhaken" (Hooking) oder "Auffangen" (Intercepting) von Betriebssystems-Anwendungsprogrammierschnittstellen, ausführen, um die Ausführung von präventiven Operationen durch ein IPS basierend auf einer Anwendungsschichtaktivität, die einbruchsbezogen zu sein scheint, ausführen. Weil ein Einbruch, der in dieser Weise erfaßt wird, bereits ein beliebiges IPS auf unterer Ebene umgangen hat, stellt ein hostbasiertes IPS eine letzte Schicht der Verteidigung gegen eine Netzausbeutung dar. Die hostbasierten IPS sind jedoch zum Erfassen von Netzereignissen auf einer unteren Ebene, wie z. B. Protokollereignisse, nicht nützlich.
  • Knotenbasierte IPS wenden die Einbruchserfassung und/oder Präventionstechnologie auf dem System an, das geschützt wird. Ein Beispiel von knotenbasierten IPS-Technologien ist die Reihen-Einbruchserfassung (Inline-Einbruchserfassung). Ein knotenbasiertes IPS kann an jedem Knoten des Netzes, der geschützt werden soll, implementiert sein. Die Reihen- IPS (Inline-IPS) weisen Einbruchserfassungstechnologien auf, die in dem Protokollstapel des geschützten Netzknotens eingebettet sind. Weil das Reihen-IPS innerhalb des Protokollstapels eingebettet ist, bewegen sich sowohl eingehende als auch ausgehende Daten durch das Reihen-IPS und sind einer Überwachung durch dasselbe unterworfen. Ein Reihen-IPS überwindet viele der Schwächen, die netzbasierten Lösungen eigen sind. Wie vorstehend erwähnt ist, sind die netzbasierten Lösungen allgemein ineffektiv beim Überwachen von Hochgeschwindigkeitsnetzen aufgrund der Tatsache, daß die netzbasierten Lösungen versuchen, den gesamten Netzverkehr auf einer gegebenen Verknüpfung zu überwachen. Die Reihen- Einbruchspräventionssysteme überwachen jedoch nur den Verkehr, der an den Knoten gerichtet ist, auf dem das Reihen- IPS installiert ist. So können die Angriffspakete ein Reihen-IPS auf einer ins Ziel gefaßten Maschine nicht physisch umgehen, weil sich das Paket durch den Protokollstapel der ins Ziel gefaßten Vorrichtung bewegen muß. Eine beliebige Umgebung eines Reihen-IPS durch ein anderes Paket muß vollständig durch "logisches" Umgehen des IPS erfolgen, d. h. ein Angriffspaket, das ein Reihen-IPS vermeidet, muß dies in einer Weise tun, die bewirkt, daß das Reihen-IPS das Angriffspaket nicht oder nicht ordnungsgemäß identifiziert. Zusätzlich versehen die Reihen-IPS die Hostknoten mit Überwachungs- und Erfassungsfähigkeiten einer unteren Ebene, die jenen eines Netz-IPS ähneln, und können eine Protokollanalyse und Signaturübereinstimmung oder eine andere Überwachung oder Filterung des Hostverkehrs auf unterer Ebene liefern. Der wichtigste Vorteil, den die Reihen-IPS- Technologien bieten, ist, daß die Angriffe erfaßt werden, während sie geschehen. Während die hostbasierten IPS Angriffe durch Überwachen von Systemprotokollen bestimmen, involviert eine Reihen-Einbruchserfassung das Überwachen eines Netzverkehrs und das Isolieren jener Pakete, bei denen festgestellt wurde, daß sie Teil eines Angriffs gegen den Hostserver sind, und so ein Ermöglichen, daß das Reihen-IPS tatsächlich verhindert, daß der Angriff erfolgreich verläuft. Wenn bestimmt worden ist, daß ein Paket Teil eines Angriffs ist, kann die Reihen-IPS-Schicht das Paket aussortieren und somit verhindern, daß das Paket die obere Schicht des Protokollstapels erreicht, wo das Angriffspaket einen Schaden verursachen kann - ein Effekt, der im wesentlichen eine lokale Brandmauer für den Server erzeugt, der das Reihen-IPS hostet und dasselbe vor Bedrohungen schützt, die entweder aus einem externen Netz, wie dem Internet, oder aus dem Inneren des Netzes kommen. Ferner kann die Reihen-IPS-Schicht innerhalb des Protokollstapels bei einer Schicht eingebettet sein, wo die Pakete so verschlüsselt worden sind, daß das Reihen-IPS effektiv auf einem Netz mit verschlüsselten Verknüpfungen arbeitet. Zusätzlich kann das Reihen-IPS den ausgehenden Verkehr überwachen, weil sich sowohl der eingehende als auch der ausgehende Verkehr, der jeweils für einen Server bestimmt ist und von demselben entstammt, der das Reihen-IPS hostet, durch den Protokollstapel bewegen muß.
  • Obwohl die Vorteile der Reihen-IPS-Technologien zahlreich sind, bestehen bei der Implementierung eines solchen Systems einige Nachteile. Die Reihen-Einbruchserfassung ist allgemein prozessorintensiv und kann das Verhalten des Knotens, der das Erfassungsdienstprogramm hostet, beeinträchtigen. Zusätzlich können die Reihen-IPS zahlreiche falschpositive Angriffsdiagnosen erzeugen. Ferner können die Reihen-IPS ein systematisches Sondieren eines Netzes erfassen, wie ein solches, das durch Wiedererkennungsangriffs- Dienstprogramme ausgeführt wird, weil nur der Verkehr am lokalen Server, der das Reihen-IPS hostet, dadurch überwacht wird.
  • Jede der netzbasierten, hostbasierten und reihenbasierten IPS-Technologien weist jeweilige Vorteile, die vorstehend beschrieben sind, auf. Idealerweise umfaßt ein Einbruchpräventionssystem alle zuvor erwähnten Einbruchserfassungsstrategien. Zusätzlich kann ein IPS einen oder mehrere Ereigniserzeugungsmechanismen aufweisen, die identifizierbare Ereignisse an eine oder mehrere Verwaltungseinrichtungen berichten. Ein Ereignis kann eine identifizierbare Serie von System- oder Netzbedingungen aufweisen oder sie kann eine einzelne identifizierte Bedingung aufweisen. Ein IPS kann auch einen Analysemechanismus oder ein Modul aufweisen und kann Ereignisse analysieren, die durch den einen oder mehrere Ereigniserzeugungsmechanismus erzeugt werden. Ein Speicherungsmodul kann innerhalb eines IPS zum Speichern von Daten umfaßt sein, die den einbruchsbezogenen Ereignissen zugeordnet sind. Ein Gegenmaßnahmenmechanismus kann auch innerhalb des IPS zum Ausführen einer Maßnahme umfaßt sein, die eine erfaßte Ausbeutung vereiteln oder verweigern kann.
  • Die IPS sind häufig anfällig für eine Art von Angriff, die allgemein als "polymorpher Angriff" bezeichnet wird. Polymorphe Angriffe erzeugen anormale oder bösartige Ströme eines Netzverkehrs, um den Angriff vor dem IPS-System zu verbergen. Polymorphe Angriffe nehmen allgemein eine von zwei Formen an: einen Einbringungsangriff (Insertion Attck) oder einen Vermeidungsangriff (Evasion Attack). Ein Einbringungsangriff umfaßt ein Senden von zusätzlichen Daten an das IPS-System, das der angegriffene Host nicht akzeptiert. Inhalts-Scanner werden auf diese Weise häufig umgangen. Ein Vermeidungsangriff bewirkt, daß ein IPS-System Daten durch eine Anzahl von Verfahren, die ein Erzeugen von Fragmentierungsfehlern, TTL-Manipulations- (TTL = time-to-live = Zeit-zu-live) und/oder andere Protokollverzerrungstechniken umfassen können, fallen läßt. Sowohl der Vermeidungs- als auch der Einbringungsangriff, und polymorphe Angriffe allgemein, haben die Charakteristik gemein, daß ein IPS dazu "verleitet" werden kann, daß es die Verhaltensantwort eines Netzstapels ansprechend auf verdächtige Daten, die durch denselben erhalten werden, falsch bewertet. Folglich kann ein Angriff auf einen ins Ziel gefaßten Knoten gerichtet werden, ohne daß das IPS darüber Bescheid weiß, wodurch die Sicherheitsverfahren umgangen werden, die durch das netzbasierte IPS ausgeführt werden können, und einem Angriff ermöglicht wird, die Sicherheitsschwächen des ins Ziel gefaßten Knotens auszubeuten.
  • Es ist eine Aufgabe der vorliegenden Erfindung, einen Knoten, ein Verfahren und ein computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in einen Netzstapel zu schaffen.
  • Diese Aufgabe wird durch einen Knoten gemäß Anspruch 1, ein Verfahren gemäß Anspruch 6 oder ein computerlesbares Medium gemäß Anspruch 9 gelöst.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird ein Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, wobei der Knoten eine zentrale Verarbeitungseinheit, ein Speichermodul zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedergewinnung und Ausführung durch die zentrale Verarbeitungseinheit, eine Datenbank zum Speichern einer Mehrzahl von maschinenlesbaren Netzausbeutungssignaturen, ein Betriebssystem, das einen Netzstapel aufweist, der einen Protokolltreiber, einen Medienzugriffs-Steuerungstreiber und eine Instanz des Einbruchserfassungssystems aufweist, das als ein Zwischentreiber implementiert ist und an den Protokolltreiber und den Medienzugriffs-Steuerungstreiber gebunden ist, geschaffen. Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein Verfahren zum Filtern von Daten an einem Knoten eines Netzes, das ein direktes Binden eines Einbruchspräventionssystems an einen Medienzugriffs- Steuerungstreiber eines Netzstapels eines Knotens des Netzes aufweist, geschaffen. Gemäß einem noch weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein computerlesbares Medium, auf dem eine Mehrzahl von Instruktionen gespeichert ist, die einen Satz von Instruktionen zum Filtern von Netzdaten, die ausgeführt werden sollen, umfassen, wobei der Satz von Instruktionen, wenn derselbe durch einen Prozessor ausgeführt wird, bewirkt, daß der Prozessor ein Computerverfahren zum Binden eines Einbruchspräventionssystems mit einem Medienzugriffs-Steuerungstreiber nach einer Initialisierung eines Betriebssystems des Computers ausführt, geschaffen.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig. 1 eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung gemäß dem Stand der Technik;
  • Fig. 2 ein umfassendes Einbruchspräventionssystem, das netzbasierte und hybrid-hostbasierte und knotenbasierte Einbrucherfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt;
  • Fig. 3 einen exemplarischen Netzprotokollstapel gemäß dem Stand der Technik;
  • Fig. 4 einen Netzknoten, der ein Beispiel (Instanz) einer Einbruchsschutzsystem-Anwendung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung betreiben kann;
  • Fig. 5 einen exemplarischen Netzknoten, der als ein Verwaltungsknoten innerhalb eines Netzes arbeiten kann, das durch das Einbruchsschutzsystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung geschützt ist;
  • Fig. 6 einen exemplarischen Netzstapel mit einem Einbruchsschutzsystem, das in denselben an der Netzschicht eingeführt ist, um polymorphe Angriffe gemäß einem Ausführungsbeispiel der vorliegenden Erfindung zu verhindern.
  • Das bevorzugte Ausführungsbeispiel der vorliegenden Erfindung und seine Vorteile werden unter Bezugnahme auf Fig. 1 bis 6 der Zeichnungen, wo identische Bezugszeichen für identische und entsprechende Teile der verschiedenen Zeichnungen verwendet werden, am besten verständlich.
  • In Fig. 1 ist eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung dargestellt, wobei das dargestellte Beispiel eine vereinfachte Anordnung des verteilten Einbruchsnetzes 40 zeigt, die typisch für verteilte Systemangriffe ist, die auf eine Zielmaschine 30 gerichtet sind. Eine Angriffsmaschine 10 kann eine Ausführung eines verteilten Angriffs durch eine beliebige Anzahl von Angreiferangriffsagenten 20A-20N durch eine von zahlreichen Techniken, wie einer Fernsteuerung durch die IRC- Roboteranwendungen, anweisen. Die Angriffsagenten 20A- 20N, die auch als "Zombies" und "Angriffsagenten" bezeichnet werden, sind allgemein Computer, die zur öffentlichen Nutzung verfügbar sind oder die so beeinträchtigt worden sind, daß ein verteilter Angriff im Anschluß an einen Befehl einer Angriffsmaschine 10 gestartet werden kann. Zahlreiche Typen von verteilten Angriffen können gegen eine Zielmaschine 30 gestartet werden. Die Zielmaschine 30 kann einen umfassenden Schaden durch gleichzeitige Angriffe durch die Angriffsagenten 20A-20N erleiden, und die Angriffsagenten 20A-20N können durch die Client- Angriffsanwendung ebenso beschädigt werden. Ein verteiltes Einbruchsnetz kann eine zusätzliche Schicht von Maschinen aufweisen, die in einen Angriff zwischen der Angriffsmaschine 10 und den Angriffsagenten 20A-20N involviert sind. Diese Zwischenmaschinen werden allgemein als "Handhabungseinrichtungen" ("Handler") bezeichnet und jede Handhabungseinrichtung kann einen oder mehrere Angriffsagenten 20A-20N steuern. Die Anordnung, die zum Ausführen einer Computersystembeeinträchtigung gezeigt ist, ist nur illustrativ und kann zahlreiche Anordnungen beeinträchtigen, die so einfach sind wie eine einzelne Angriffsmaschine 10, die eine Zielmaschine 30 durch z. B. Senden eines bösartigen Sondierungspakets oder anderer Daten, die die Zielmaschine 30 beeinträchtigen sollen, angreift. Die Zielmaschine kann mit einem größeren Netz verbunden sein und ist dies auch häufig, und ein Angriff auf dieselbe durch die Angriffsmaschine 10 kann einen Schaden an einer großen Ansammlung von Computersystemen bewirken, die sich häufig innerhalb des Netzes befinden.
  • Eine oder mehrere von drei allgemeinen Techniken sind typischerweise implementiert, um ein System zu schützen, das bei einer Computersystembeeinträchtigung ins Ziel gefaßt werden kann: netzbasierte Einbruchspräventionssysteme, hostbasierte Einbruchspräventionssysteme und knotenbasierte Einbruchspräventionssysteme, wie vorstehend beschrieben ist. Die netzbasierten IPS-Vorrichtungen sind typischerweise IPS-dedizierte Komponenten, die an strategischen Positionen auf einem Netz plaziert sind, um Netzrahmen in einem Versuch, zu bestimmen, ob sie mit bekannten Angriffssignaturen zusammenfallen, zu untersuchen. Um Pakete mit bekannten Angriffssignaturen zu vergleichen, nutzen netzbasierte IPS-Vorrichtungen einen Mechanismus, der als eine passive Protokollanalyse bezeichnet wird, um den gesamten Verkehr auf einem Netz unauffällig zu überwachen oder zu durchstöbern und um Ereignisse auf einer unteren Ebene, die vom rohen Netzverkehr unterschieden werden können, zu erfassen. Netzausbeutungen können durch Identifizieren von Mustern oder anderen beobachtbaren Charakteristika von Netzrahmen erfaßt werden. Die netzbasierten IPS untersuchen den Inhalt von Datenpaketen durch syntaktisches Analysieren von Netzrahmen und Paketen und Analysieren individueller Pakete basierend auf den Protokollen, die auf dem Netz verwendet werden. Eine netzbasierte IPS-Vorrichtung überwacht den Netzverkehr typischerweise unauffällig, d. h., daß sich andere Netzknoten über das Vorhandensein der netzbasierten IPS-Vorrichtung nicht bewußt sein können und dies auch häufig sind. Die passive Überwachung wird normalerweise durch eine netzbasierte IPS-Vorrichtung durch Implementierung eines "Wahllos-Modus"-Zugriffs auf eine Netzeschnittstellenvorrichtung ausgeführt. Eine Netzeschnittstellenvorrichtung, die im wahllosen Modus arbeitet, kopiert die Pakete direkt vom Netzmedium, wie einem Koaxialkabel, einem 100baseT- oder einem anderen Übertragungsmedium, ungeachtet der Bestimmungsvorrichtung, an die das Paket adressiert ist. Folglich gibt es kein einfaches Verfahren zum Übertragen von Daten über das Netzübertragungsmedium, ohne daß die netzbasierte IPS-Vorrichtung dieselben untersucht, und so kann die netzbasierte IPS-Vorrichtung den gesamten Netzverkehr, dem sie ausgesetzt ist, erfassen und analysieren. Nach der Identifizierung eines auffälligen Paketes, d. h. eines Paketes, das Attribute aufweist, die einer bekannten Angriffssignatur entsprechen, die die netzbasierte IPS- Vorrichtung auf ihr Erscheinen hin überwacht, kann ein Alarm durch die netzbasierte IPS-Vorrichtung erzeugt werden und an einen Verwaltungsknoten des IPS übertragen werden, wo Sicherheitsmaßnahmen ausgeführt werden können oder ein Netzexperte eine Sicherheitsmaßnahme ausführen kann. Die netzbasierten IPS-Vorrichtungen weisen den zusätzlichen Vorteil des Arbeitens in Echtzeit auf und können so Angriffe erfassen, während sich die Angriffe gerade ereignen, und können abhängig von der Plazierung der netzbasierten IPS- Vorrichtung verhindern, daß der Angriff den ins Ziel gefaßten Knoten erreicht. Die netzbasierten Einbruchspräventionssystem-Anwendungen versuchen Angriffe zu erfassen, die einem externen Netz wie dem Internet entstammen, indem Daten, die für den Eingang in das Netz bestimmt sind, analysiert werden, und können mit einer Netzbrandmauer zusammen angeordnet sein. Die Netzrahmen können gesammelt und mit einer Datenbank von verschiedenen Angriffssignaturen verglichen werden. Ein Alarm kann dann erzeugt und an einen Verwaltungsknoten, der eine korrektive Maßnahme ausführt und/oder der einen Netzadministrator über den erfaßten Angriff informiert, der dann eine korrektive Maßnahme wie das Schließen eines Kommunikationsports einer Brandmauer oder Ausführen einer anderen Sicherheitsprozedur vornehmen kann, übertragen werden. Die automatisierten Sicherheitsmaßnahmen können auch nach dem Erfassen eines Angriffs durch eine netzbasierte IPS-Vorrichtung ausgeführt werden, wenn die Anwendung in eine Brandmauer integriert ist oder in Verbindung mit derselben arbeitet. Typischerweise sind die netzbasierten Einbruchspräventionssystem-Anwendungen an oder nahe der Grenze des Netzes, das geschützt wird, plaziert. Außerdem ist eine netzbasierte IPS-Vorrichtung ideal zur Implementierung einer statusbasierten IPS- Sicherheitsmaßnahme, die eine Anhäufung und Speicherung von identifizierten, auffälligen Angriffspaketen, die nicht "atomar" identifiziert werden können, d. h. durch ein einzelnes Netzpaket, erfordert. Zum Beispiel sind TCP-SYN- Flutangriffe nicht durch ein einzelnes TCP-SYN-Paket identifizierbar, sondern werden vielmehr allgemein durch Anhäufen eines Zählwerts von TCP-SYN-Paketen identifiziert, die eine vordefinierte Schwelle gegenüber einem definierten Zeitraum überschreiten. Eine netzbasierte IPS-Vorrichtung ist daher eine ideale Plattform zum Implementieren einer statusbasierten Signaturerfassung, weil die netzbasierte IPS-Vorrichtung alle solchen TCP-SYN-Pakete sammeln kann, die sich über das lokale Netzmedium bewegen, und so die Häufigkeit von solchen Ereignissen ordnungsgemäß archivieren und analysieren kann.
  • Die hostbasierten Einbruchspräventionssysteme, die auch als "Protokollwächter" bezeichnet werden, erfassen Einbrüche durch Überwachen von Systemprotokollen. Allgemein befinden sich die hostbasierten Einbruchssysteme auf dem System, das geschützt werden soll. Die hostbasierten Einbruchspräventionssysteme können Einbrüche auf der Anwendungsebene erfassen, wie z. B. eine Analyse von Datenbankmaschinen- Zugriffsversuchen und Veränderungen an den Systemkonfigurationen.
  • Die knotenbasierten Einbruchspräventionssysteme umfassen ein Überwachen einer Netzaktivität an einem spezifischen Knoten auf dem Netz von einem beliebigen anderen Knoten aus durch die Analyse von Rahmen, die dadurch empfangen werden, die in einen Angriff involviert sein können. Das IPS-System der vorliegenden Erfindung muß vorzugsweise ein Hybrid-IPS der knotenbasierten Reihen-Einbruchserfassung und einer hostbasierten Einbruchserfassung an jedem Knoten eines Netzes, das durch das IPS geschützt ist.
  • In Fig. 2 ist ein umfassendes Einbruchspräventionssystem dargestellt, das netzbasierte und hybridhostbasierte/knotenbasierte Einbruchserfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt. Ein oder mehrere Netze 100 können mit dem Internet 50 über einen Router 45 oder eine andere Vorrichtung schnittstellenmäßig verbunden sein. Bei dem veranschaulichenden Beispiel weist das Netz 100 zwei Ethernet-Netze 55 und 56 auf. Das Ethernet-Netz 55 weist einen Webinhaltsserver 270A und einen Dateitransport-Protokollinhaltsserver 270B auf. Das Ethernet-Netz 56 weist einen Domain-Namenserver 270C, einen Mail-Server 270D, einen Datenbank-Server 270E und einen Dateiserver 270F auf. Ein Brandmauer-/Proxy-Router 60, der zwischen den Ethernets 55 und 56 angeordnet ist, liefert für die verschiedenen Systeme des Netzes 56 eine Sicherheits- und Adreßauflösung. Eine netzbasierte IPS- Vorrichtung 80 und 81 ist jeweils auf beiden Seiten des Brandmauer-/Proxy-Routers 60 implementiert, um die Überwachung von versuchten Angriffen auf ein oder mehrere Elemente der Ethernet-Netze 55 und 56 zu erleichtern und um eine Aufzeichnung von erfolgreichen Angriffen zu erleichtern, die den Brandmauer-/Proxy-Router 60 erfolgreich durchdringen. Die netzbasierten IPS-Vorrichtungen 80 und 81 können jeweils eine Datenbank 80A und 81A der bekannten Angriffssignaturen oder Regeln aufweisen (oder alternativ mit derselben verbunden sein), mit denen die Netzrahmen, die dadurch erfaßt wurden, verglichen werden können. Alternativ kann eine einzelne Datenbank (nicht gezeigt) innerhalb eines Netzes 100 zentral angeordnet sein, und netzbasierte IPS-Vorrichtungen 80 und 81 können auf dieselbe zugreifen. Dementsprechend kann die netzbasierte IPS-Vorrichtung 80 alle Pakete, die vom Internet 50 in das Netz 100 eingehen und am Ethernet-Netz 55 ankommen, überwachen. Desgleichen kann eine netzbasierte IPS-Vorrichtung 81 alle Pakete, die durch den Brandmauer-/Proxy-Router 60 zur Auslieferung an das Ethernet-Netz 56 passiert werden, überwachen und vergleichen. Ein IPS-Verwaltungsknoten 85 kann auch im Netz 100 umfaßt sein, um die Konfiguration und Verwaltung der IPS-Komponenten, die im Netz 100 umfaßt sind, zu erleichtern. Angesichts der vorstehend angemerkten Unzulänglichkeiten der netzbasierten Einbruchspräventionssysteme ist vorzugsweise ein hybrid-hostbasiertes und knotenbasiertes Einbruchspräventionssystem innerhalb eines jeden der verschiedenen Knoten, wie den Servern 270A-270N (die hierin auch als "Knoten" bezeichnet werden), des Ethernet-Netzes 55 und 56 im gesicherten Netz 100 implementiert. Der Verwaltungsknoten 85 kann Alarmmitteilungen von den jeweiligen Knoten innerhalb des Netzes 100 nach der Erfassung eines Einbruchsereignisses durch eine beliebige der netzbasierten IPS-Vorrichtungen 80 und 81 sowie einen beliebigen der Knoten des Netzes 100, auf dem ein hybrid-agentenbasiertes und knotenbasiertes IPS implementiert ist, empfangen. Zusätzlich kann jeder Knoten 270A-270F ein lokales Dateisystem zum Archivieren von einbruchsbezogenen Ereignissen, zum Erzeugen von einbruchsbezogenen Meldungen und zum Speichern von Signaturdateien, im Vergleich zu denen die lokalen Netzrahmen und/oder Pakete untersucht werden, nutzen.
  • Vorzugsweise sind die netzbasierten IPS-Vorrichtungen 80 und 81 dedizierte Entitäten zum Überwachen des Netzverkehrs auf den zugeordneten Ethernets 55 und 56 des Netzes 100. Um die Einbruchserfassung bei Hochgeschwindigkeitsnetzen zu erleichtern, weisen die netzbasierten IPS-Vorrichtungen 80 und 81 vorzugsweise einen großen Erfassungs-RAM zum Erfassen von Paketen auf, da diese auf den jeweiligen Ethernet- Netzen 55 und 56 ankommen. Zusätzlich wird bevorzugt, daß die netzbasierten IPS-Vorrichtungen 80 und 81 jeweils hardwarebasierte Filter zum Filtern des Netzverkehrs aufweisen, obwohl ein IPS-Filtern durch die netzbasierten IPS- Vorrichtungen 80 und 81 in einer Software implementiert sein kann. Außerdem können die netzbasierten IPS- Vorrichtungen 80 und 81 z. B. durch Anforderung des IPS- Verwaltungsknotens 85 konfiguriert sein, um eine oder mehrere spezifische Vorrichtungen und nicht alle Vorrichtungen auf einem gemeinsamen Netz zu überwachen. Zum Beispiel kann eine netzbasierten IPS-Vorrichtung 80 angewiesen werden, nur den Netzdatenverkehr zu überwachen, der an den Webserver 270A adressiert ist.
  • Die hybrid-hostbasierten/knoten-basierten Einbruchspräventionssystemtechnologien können auf allen Knoten 270A- 270N auf den Ethernet-Netzen 55 und 56 implementiert sein, die durch einen Netzangriff ins Ziel gefaßt werden können. Allgemein besteht jeder Knoten aus einem umprogrammierbaren Computer mit einer CPU (CPU = central processing unit = zentrale Verarbeitungseinheit), einem Speichermodul, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU wiedergewinnbar und ausführbar ist, und kann ferner verschiedene Peripherievorrichtungen, wie einen Anzeigemonitor, eine Tastatur, eine Maus und eine andere Vorrichtung, die mit demselben verbunden sind, umfassen. Ein Speicherungsmedium, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die zum Speichern von Daten betreibbar ist, kann mit dem Speichermodul verbunden sein und dadurch zugreifbar sein und kann eine oder mehrere Datenbanken zum Archivieren von lokalen Einbruchsereignissen und Einbruchsereignisberichten liefern. Ein Betriebssystem kann in das Speichermodul, z. B. nach dem Booten des jeweiligen Knotens, geladen werden und eine Instanz eines Protokollstapels sowie verschiedene Softwaremodule der unteren Ebene aufweisen, die für Aufgaben, wie ein schnittstellenmäßiges Verbinden mit einer Peripheriehardware, ein Planen von Aufgaben, eine Zuweisung der Speicherung sowie anderer Systemaufgaben, erforderlich sind. Jeder Knoten, der durch das hybrid-hostbasierte und knotenbasierte IPS der vorliegenden Erfindung geschützt ist, weist dementsprechend eine IPS-Softwareanwendung auf, die innerhalb des Knotens beibehalten wird, wie in einer magnetischen Festplatte, die durch das Betriebssystem wiedergewinnbar und durch die zentrale Verarbeitungseinheit ausführbar ist. Zusätzlich weist jeder Knoten, der eine Instanz der IPS-Vorrichtung ausführt, eine lokale Datenbank auf, von der aus Signaturbeschreibungen von dokumentierten Angriffen vom Speicher geholt und mit einem Paket oder Rahmen von Daten verglichen werden können, um eine Entsprechung zwischen denselben zu erfassen. Die Erfassung einer Entsprechung zwischen einem Paket oder Rahmen an einem IDS- Server kann zur Ausführung von einer beliebigen oder mehreren von verschiedenen Sicherheitsprozeduren führen.
  • Das unter Bezugnahme auf Fig. 2 beschriebene IPS kann auf einer beliebigen Anzahl von Plattformen implementiert sein. Jede hybrid-hostbasierte/knoten-basierte Instanz der IPS- Vorrichtung, die hierin beschrieben ist, ist vorzugsweise auf einem Netzknoten, wie einem Webserver 270A, implementiert, der unter Steuerung eines Betriebssystems, wie Windows NT 4.0 betrieben wird, das in einem Hauptspeicher gespeichert ist und auf einer zentralen Verarbeitungseinheit arbeitet, und versucht, Angriffe, die auf den Hostknoten gerichtet sind, zu erfassen. Das spezielle Netz 100, das in Fig. 2 dargestellt ist, ist nur exemplarisch und kann eine beliebige Anzahl von Netzservern aufweisen. Firmen- und/oder andere Großnetze können typischerweise zahlreiche individuelle Systeme aufweisen, die ähnliche Dienste anbieten. Zum Beispiel kann ein Firmennetz Hunderte von einzelnen Webservern, Mailservern, FTP-Servern und anderen Systemen aufweisen, die gemeinsame Datendienste anbieten.
  • Jedes Betriebssystem eines Knotens, der eine Instanz einer IPS-Vorrichtung umfaßt, weist zusätzlich einen Netzstapel 90 auf, der in Fig. 3 dargestellt ist, der den Eingangspunkt für Rahmen definiert, die durch einen ins Ziel gefaßten Knoten aus dem Netz, z. B. dem Internet oder Intranet, empfangen werden. Der dargestellte Netzstapel 90 stellt den hinreichend bekannten Windows-NT-(TM)-Systemnetzprotokollstapel dar und ist so ausgewählt worden, um die Erörterung und das Verständnis der Erfindung zu erleichtern. Es wird jedoch darauf hingewiesen, daß die Erfindung nicht auf eine spezifische Implementierung des dargestellten Netzstapels 90 beschränkt ist, sondern vielmehr auf den Stapel 90, der beschrieben ist, um das Verständnis der Erfindung zu erleichtern. Der Netzstapel 90 weist eine TDI (TDI = transport driver interface = Transporttreiberschnittstelle) 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber (MAC = media access control = Medienzugriffssteuerung) 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden. Dementsprechend ermöglicht die TDI 125 den Betriebssystemtreibern, wie den Netzumleitern, eine Sitzung zu aktivieren oder an den entsprechenden Protokolltreiber 135 zu binden. Folglich kann ein Umleiter auf das entsprechende Protokoll, z. B. ein UDP, TCP, NetBEUI oder anderes Netz- oder Transportschichtprotokoll, zugreifen, wodurch der Umleiter protokollunabhängig gemacht wird. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90 hostet, auf einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Typische Protokolle, die durch einen NT-Netzprotokollstapel unterstützt werden, weisen NetBEUI, TCP/IP, NWLink, DLC (DLC = data link control = Datenverknüpfungssteuerung) und AppleTalk auf, obwohl andere Transport- und/oder Netzprotokolle unterstützt werden können. Ein MAC-Treiber 145, z. B. ein Ethernet-Treiber, ein Token- Ring-Treiber oder ein anderer Netzbetriebstreiber, ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit dem physischen Medium 101, wie einem Koaxialkabel oder einem anderen Übertragungsmedium.
  • Die Fähigkeiten des hostbasierten IPS weisen die Anwendungsüberwachung von Dateisystemereignissen; einem Registrierzugriff; von erfolgreichen Sicherheitsereignissen; gescheiterten Sicherheitsereignissen und einer auffälligen Prozeßüberwachung auf. Bei Netzzugriffsanwendungen, wie einem Microsoft-IIS- und SQL-Server, können Prozesse, die auf dieselben bezogen sind, ebenfalls überwacht werden.
  • Einbrüche können auf einem speziellen IPS-Host durch Implementieren von knotenbasierten Reihenüberwachungstechnologien (Inline-Überwachungstechnologien) verhindert werden. Das Reihen-IPS (Inline-IPS) ist vorzugsweise als Teil eines hybrid-hostbasierten/knoten-basierten IPS umfaßt, obwohl es unabhängig von einem beliebigen hostbasierten IPS-System implementiert sein kann. Das Reihen-IPS analysiert die Pakete, die am Hostknoten empfangen werden, und führt eine Signaturanalyse derselben gegenüber einer Datenbank von bekannten Signaturen durch ein Netzschichtfiltern aus.
  • In Fig. 4 ist ein Netzknoten 270 dargestellt, der eine Instanz einer IPS-Vorrichtung 91 betreiben kann und so als ein IPS-Server operieren kann. Die IPS-Vorrichtung 91 kann als eine dreischichtige IPS, wie in einer ebenfalls anhängigen US-Anmeldung mit dem Titel "Method, Computer Readable Medium, and Node for a Three-Layered Intrusion Prevention System for Detecting Network Exploits", die gleichzeitig mit der Anmeldung, deren Priorität hierin beansprucht wird, eingereicht wurde und auf die gleiche Inhaberin übertragen wurde, beschrieben ist, implementiert sein und kann eine Serveranwendung und/oder eine Client-Anwendung aufweisen. Der Netzknoten 270 weist allgemein eine CPU 272 und ein Speichermodul 274 auf, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit einem Speichermodul 274 verbunden sein und dadurch durch den Bus ebenso zugreifbar sein. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 270, geladen werden und eine Instanz des Protokollstapels 90 aufweisen und bewirken, daß eine Einbruchspräventionssystemanwendung 91 vom Speicherungsmedium 276 geladen wird.
  • Eine oder mehrere Netzausbeutungsregeln, eine exemplarische Form, die in der ebenfalls anhängigen Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in a Network Exploit", die gleichzeitig hiermit eingereicht wird, beschrieben ist, kann zu maschinenlesbaren Signaturen kompiliert und innerhalb einer Datenbank 277 gespeichert sein, die in das Speichermodul 274 ladbar ist, und kann durch die IPS-Vorrichtung 91 zum Erleichtern einer Analyse von Netzrahmen und/oder Paketen wiedergewonnen werden.
  • In Fig. 5 ist ein exemplarischer Netzknoten dargestellt, der als ein Verwaltungsknoten 85 des IPS eines Netzes 100 arbeiten kann. Der Verwaltungsknoten 85 weist allgemein eine zentrale Verarbeitungseinheit 272 und ein Speichermodul 274 auf, die betreibbar sind, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit dem Speichermodul 274 verbunden sein und ist dadurch auch durch den Bus zugreifbar. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 85, geladen werden und eine Instanz des Protokollstapels 90 aufweisen. Das Betriebssystem 275 ist betreibbar, um eine IPS- Verwaltungsanwendung 279 vom Speicherungsmedium 276 zu holen und die Verwaltungsanwendung 279 in das Speichermodul 274 zu laden, wo sie durch die CPU 272 ausgeführt wird. Der Knoten 85 weist vorzugsweise eine Eingabevorrichtung 281, wie eine Tastatur, und eine Ausgabevorrichtung 282, wie einen Monitor, der mit demselben verbunden ist, auf.
  • Ein Operator des Verwaltungsknotens 85 kann eine oder mehrere Textdateien 277A-277N über die Eingabevorrichtung 281 eingeben. Jede Textdatei 277A-277N kann eine netzbasierte Ausbeutung definieren und eine logische Beschreibung einer Angriffssignatur sowie IPS-Anweisungen zum Ausführen nach einer IPS-Auswertung eines einbruchsbezogenen Ereignisses, das der beschriebenen Angriffssignatur zugeordnet ist, aufweisen. Jede Textdatei 277A-277N kann in einer Datenbank 278 A auf einem Speicherungsmedium 276 gespeichert sein und durch einen Kompilierer 280 in eine jeweilige maschinenlesbare Signaturdatei 281A-281N kompiliert werden, die in einer Datenbank 278B gespeichert ist. Jede der maschinenlesbaren Signaturdateien 281A-281N weist einen binären logischen Stellvertreter der Angriffssignatur, die in der jeweiligen zugeordneten Textdatei 277A-277N beschrieben ist, auf. Ein Operator des Verwaltungsknotens 85 kann den Verwaltungsknoten 85 durch Interaktion mit einer Client-Anwendung der IPS-Vorrichtung 279 über eine Eingabevorrichtung 281 periodisch anweisen, eine oder mehrere maschinenlesbare Signaturdateien (die hierin auch allgemein als "Signaturdateien" bezeichnet werden, die in der Datenbank 278B gespeichert sind, an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Alternativ können die Signaturdateien 281A-281N in einem computerlesbaren Medium, wie einer Kompaktdisk, einer Magnet-Diskette oder einer anderen tragbaren Speicherungsvorrichtung, gespeichert sein und auf dem Knoten 270 des Netzes 100 installiert sein. Die Anwendung 279 ist vorzugsweise betreibbar, um alle solchen Signaturdateien 281A-281N oder einen oder mehrere Teilsätze derselben an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Vorzugsweise stellt die IPS-Vorrichtung 279 eine graphische Benutzerschnittstelle auf der Ausgabevorrichtung 282 zum Erleichtern der Eingabe von Befehlen in dieselbe durch einen Operator des Knotens 85 bereit.
  • Wie vorstehend erwähnt ist, ist eine IPS-Vorrichtung häufig für einen polymorphen Angriff anfällig. Die IPS identifizieren feindliche Pakete basierend auf einer vordefinierten Signatur, und aufgrund der Tatsache, daß die vordefinierte Signatur einem unerwünschten Effekt, wie einem Verlust der Rechenfazilitäten, einem Gewähren eines unautorisierten Zugriffs oder einem anderen zu beanstandenden Systemverhalten zugeordnet ist, können polymorphe Angriffe als Angriffe betrachtet werden, die im wesentlichen die IPS-Wahrnehmung der Antwort des ins Ziel gefaßten Systems auf die Daten, die durch das IPS vom Netzstapel des ins Ziel gefaßten Knotens gesammelt wurden, ändern. Wenn ein IPS-Vorrichtung 91 in einer netzbasierten IPS-Vorrichtung implementiert ist, wird eine passive Überwachung typischerweise verwendet, da die netzbasierte IPS-Vorrichtung im allgemeinen den Netzzugriff im Falle eines Netz-IPS-Ausfalls nicht sperrt. Daher ist ein ins Ziel fassen einer netzbasierten IPS- Vorrichtung bei einem Angriff häufig für einen Angreifer wünschenswert - wenn die netzbasierte IPS-Vorrichtung angegriffen und gesperrt werden kann, ist die Netzsicherheit zumindest wesentlich reduziert und stellt ein viel anfälligeres System für zusätzliche Angriffe bereit.
  • Die polymorphen Angriffe, die sowohl Einbringungs- als auch Vermeidungsangriffe umfassen, versuchen, die Protokoll- oder Signatur-Analysekomponente des Netz-IPS dazu zu bringen, die Verhaltensantwort des Netzstapels auf die Daten, die (eingehend oder ausgehend) durch denselben empfangen werden, falsch zu ermitteln. Ein Einbringungsangriff umfaßt allgemein ein Übertragen von ungültigen Paketen in das Netz. Ein Vermeidungsangriff involviert ein Ausbeuten von Unterschieden zwischen der Signaturanalyse des IPS und funktionalen Unterschieden des ins Ziel gefaßten Systems, um die Pakete an der netzbasierten IPS-Vorrichtung ohne eine ordnungsgemäße Analyse derselben vorbeizuleiten. Zum Beispiel bewertet ein IPS häufig die erwartete Antwort auf ein spezielles Paket oder einen Netzrahmen eines ins Ziel gefaßten Systems basierend auf veröffentlichten Protokollstandards, die ein spezifiziertes Verhalten eines standardisierten Netzstapels 90 definieren. In Wirklichkeit fertigen zahlreiche Hersteller verschiedene Betriebssysteme, die Variationen des standardisierten Netzstapels 90 verwenden, und jedes System kann verschiedene Abweichungen von den veröffentlichten Standards erzeugen. So kann eine IPS- Vorrichtung 91 eine Entscheidung bezüglich einer Behandlung eines empfangenen Pakets oder Netzrahmens basierend auf einem erwarteten Netzstapelverhalten des Systems, das eine IPS-Vorrichtung 91 betreibt, vornehmen. Der Netzstapel 90, der auf einem ins Ziel gefaßten System arbeitet, kann jedoch Verhaltensabweichungen aufweisen, die durch die IPS- Vorrichtung 91 nicht bewertet werden. Das IPS ist daher nicht in der Lage, eine präzise Entscheidung bezüglich des tatsächlichen Verhaltens des Netzstapels 91 zu fällen, und so können Angreifer das Wissen über die Sicherheitsmaßnahmen des IPS basierend auf Diskrepanzen zwischen dem erwarteten Verhalten des Netzstapels 90 des IPS und dem tatsächlichen Verhalten desselben ausbeuten.
  • In Fig. 6 ist ein exemplarischer Protokollstapel 90A dargestellt, in den ein Einbruchsschutzsystem eingebracht ist, um polymorphe Angriffe gemäß einem Ausführungsbeispiel der Erfindung zu verhindern. Der Netzstapel 90A weist eine TDI 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden und ermöglicht den Betriebssystemtreibern, sich an einen entsprechenden Protokolltreiber 135 zu binden. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90A hostet, an einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Der MAC-Treiber 145, z. B. ein Ethernet-Treiber, ein Token-Ring-Treiber oder ein anderer Netztreiber, ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit dem physischen Medium 101, wie einem Koaxialkabel, einem Kupferpaar oder einem anderen Übertragungsmedium. Der Netzstapel 90A kann zusätzlich eine dynamisch verknüpfte Bibliothek 115 aufweisen, die einer Mehrzahl von Teilroutinen ermöglicht, daß Anwendungen 110 in der Anwendungsschicht 112 des Netzstapels 90A auf sie zugreifen können, und erleichtert dadurch ein Verknüpfen mit anderen Anwendungen. Die dynamisch verknüpfte Bibliothek 115 kann alternativ ausgelassen sein, und die Funktionalität derselben kann in den Betriebssystemkern, wie in der Technik verständlich ist, eingebaut sein.
  • Ein Einbruchspräventionssystem-Netzfilterdienstanbieter 140, der als ein Zwischentreiber implementiert ist, ist über dem physischen Medientreiber 145, wie dem Ethernet- Treiber, Token-Ring-Treiber etc., installiert und an denselben gebunden. Der Einbruchspräventionssystem- Netzfilterdienstanbieter 140 ist vorzugsweise ebenfalls an den Protokolltreiber 135 gebunden. So können alle maschinenlesbaren Signaturdateien, die in der Datenbank 277 unterhalten werden, dadurch gegenüber den eingehenden und ausgehenden Rahmen validiert werden. Der Einbruchspräventionssystem-Netzfilterdienstanbieter 140 wird vorzugsweise an sowohl an den Medienzugriffs-Steuerungstreiber 145 als auch den Protokolltreiber 135 bei der Systeminitialisierung oder dem Booten des Betriebssystems des Knotens, der den IPS- Filterdienstanbieter 140 hostet, gebunden. Der IPS- Netzfilterdienstanbieter 140 liefert ein Filtern auf unterer Ebene, um die Unterdrückung von Netzangriffen zu erleichtern, die "atomare" Netzangriffe, Netzprotokollebeneangriffe, ein IP-Portfiltern aufweisen, jedoch nicht auf dieselben beschränkt sind, und dient auch dazu, ein Sammeln von Netzstatistiken zu erleichtern. Folglich beobachtet das IPS durch Implementieren eines Filterdienstanbieters 140 des IPS an der Netzschicht des Netzstapels 90A identische Daten, die der Netzstapel verarbeitet. Folglich kann der Filterdienstanbieter 140 die Ausführung von IPS-Diensten basierend auf einem Verarbeitungsverhalten des Netzstapels auswerten.

Claims (10)

1. Knoten (270) eines Netzes (100), das ein Einbruchserfassungssystem (91) betreibt, wobei der Knoten (270) folgende Merkmale aufweist:
eine zentrale Verarbeitungseinheit (272);
ein Speichermodul (274) zum Speichern von Daten in einem maschinenlesbaren Format zur Wiedergewinnung und Ausführung durch die zentrale Verarbeitungseinheit (272);
eine Datenbank (277) zum Speichern einer Mehrzahl von maschinenlesbaren Netzausbeutungssignaturen (281A- 281N);
ein Betriebssystem (275), das einen Netzstapel (90A) aufweist, der einen Protokolltreiber (135), einen Medienzugriffs-Steuerungstreiber (145) und ein Exemplar des Einbruchserfassungssystems (91) aufweist, das als ein Zwischentreiber (140) implementiert ist und an den Protokolltreiber (135) und den Medienzugriffs- Steuerungstreiber (145) gebunden ist.
2. Knoten (270) gemäß Anspruch 1, bei dem ein Rahmen, der auf einem Netzmedium (101), das mit dem Knoten (270) verbunden ist, empfangen wird, durch den Medienzugriffs-Steuerungstreiber (145) verarbeitet wird, wobei das Einbruchserfassungssystem (140) den verarbeiteten Rahmen direkt vom Medienzugriffs- Steuerungstreiber (145) empfängt.
3. Knoten (270) gemäß Anspruch 2, bei dem das Einbruchserfassungssystem (140), das den verarbeiteten Rahmen empfängt, betreibbar ist, um den verarbeiteten Rahmen an den Protokolltreiber (135) zu leiten.
4. Knoten (270) gemäß Anspruch 2, bei dem das Einbruchserfassungssystem (140), das den verarbeiteten Rahmen empfängt, den verarbeiteten Rahmen verwirft.
5. Knoten (270) gemäß einem der Ansprüche 1 bis 4, bei dem ein Datagramm, das durch den Knoten (270) erzeugt wird, durch das Einbruchserfassungssystem (140) empfangen wird.
6. Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten (270) eines Netzes (100), wobei das Verfahren folgende Schritte aufweist:
Binden eines Netzfilter-Dienstanbieters (140) an einen Medienzugriffs-Steuerungstreiber (145) eines Netzstapels (90A) des Knotens (270); und
Binden des Netzfilter-Dienstanbieters (140) an einen Protokolltreiber (135) des Netzstapels (90A) des Knotens (270).
7. Verfahren gemäß Anspruch 6, das ferner ein Filtern durch den Netzfilter-Dienstanbieter (140) von allen Daten, die durch den Medienzugriffs-Steuerungstreiber (145) empfangen werden, vor dem Leiten der Daten an den Protokolltreiber (135) aufweist.
8. Verfahren gemäß Anspruch 6 oder 7, das ferner ein Filtern durch den Netzfilter-Dienstanbieter (140) von allen Daten, die durch den Protokolltreiber (135) empfangen wurden, vor dem Leiten der Daten an den Medienzugriffs-Steuerungstreiber (145), aufweist.
9. Computerlesbares Medium, auf dem ein Satz von Instruktionen, die ausgeführt werden sollen, gespeichert ist, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirkt, daß der Prozessor (272) ein Computerverfahren ausführt, wobei das Verfahren folgende Schritte aufweist:
Binden eines Netzfilter-Dienstanbieters (140) an einen Medienzugriffs-Steuerungstreiber (145) eines Netzstapels (90A) eines Betriebsystems (275); und
Binden des Netzfilter-Dienstanbieters (140) an einen Protokolltreiber (135) des Netzstapels (90A) des Betriebssystems (275).
10. Computerlesbares Medium gemäß Anspruch 9, bei dem das Binden des Netzfilter-Dienstanbieters (140) an den Medienzugriffs-Steuerungstreiber (145) und an den Protokolltreiber (135) auf die Initialisierung des Betriebssystems (275) hin erfolgt.
DE10249888A 2001-10-31 2002-10-25 Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium Expired - Fee Related DE10249888B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/001445 2001-10-31
US10/001,445 US20030084319A1 (en) 2001-10-31 2001-10-31 Node, method and computer readable medium for inserting an intrusion prevention system into a network stack

Publications (2)

Publication Number Publication Date
DE10249888A1 true DE10249888A1 (de) 2003-05-28
DE10249888B4 DE10249888B4 (de) 2005-03-17

Family

ID=21696042

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10249888A Expired - Fee Related DE10249888B4 (de) 2001-10-31 2002-10-25 Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium

Country Status (3)

Country Link
US (1) US20030084319A1 (de)
DE (1) DE10249888B4 (de)
GB (1) GB2382261B (de)

Families Citing this family (49)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US8209756B1 (en) * 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7058796B2 (en) 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US8140660B1 (en) 2002-07-19 2012-03-20 Fortinet, Inc. Content pattern recognition language processor and methods of using the same
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US7782784B2 (en) * 2003-01-10 2010-08-24 Cisco Technology, Inc. Port analyzer adapter
US7899048B1 (en) 2003-01-15 2011-03-01 Cisco Technology, Inc. Method and apparatus for remotely monitoring network traffic through a generic network
US7467201B2 (en) * 2003-08-22 2008-12-16 International Business Machines Corporation Methods, systems and computer program products for providing status information to a device attached to an information infrastructure
US7474666B2 (en) 2003-09-03 2009-01-06 Cisco Technology, Inc. Switch port analyzers
US8165136B1 (en) 2003-09-03 2012-04-24 Cisco Technology, Inc. Virtual port based SPAN
JP4662944B2 (ja) 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
US7421737B1 (en) * 2004-05-04 2008-09-02 Symantec Corporation Evasion detection
US7529187B1 (en) 2004-05-04 2009-05-05 Symantec Corporation Detecting network evasion and misinformation
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US7941856B2 (en) * 2004-12-06 2011-05-10 Wisconsin Alumni Research Foundation Systems and methods for testing and evaluating an intrusion detection system
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US7571483B1 (en) * 2005-08-25 2009-08-04 Lockheed Martin Corporation System and method for reducing the vulnerability of a computer network to virus threats
WO2007053708A2 (en) 2005-10-31 2007-05-10 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for securing communications between a first node and a second node
WO2007062004A2 (en) 2005-11-22 2007-05-31 The Trustees Of Columbia University In The City Of New York Methods, media, and devices for moving a connection from one point of access to another point of access
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US20080276302A1 (en) * 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US7882560B2 (en) * 2005-12-16 2011-02-01 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
US8495743B2 (en) * 2005-12-16 2013-07-23 Cisco Technology, Inc. Methods and apparatus providing automatic signature generation and enforcement
US9286469B2 (en) * 2005-12-16 2016-03-15 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic signature generation
US8413245B2 (en) * 2005-12-16 2013-04-02 Cisco Technology, Inc. Methods and apparatus providing computer and network security for polymorphic attacks
FI20065179A0 (fi) * 2006-03-20 2006-03-20 Nixu Sofware Oy Kokonaisuudeksi koottu nimipalvelin
US7788719B1 (en) * 2006-03-23 2010-08-31 Symantec Corporation Graph buffering
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US8230505B1 (en) 2006-08-11 2012-07-24 Avaya Inc. Method for cooperative intrusion prevention through collaborative inference
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
WO2008118976A1 (en) * 2007-03-26 2008-10-02 The Trustees Of Culumbia University In The City Of New York Methods and media for exchanging data between nodes of disconnected networks
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
WO2009132047A2 (en) * 2008-04-21 2009-10-29 Zytron Corp. Collaborative and proactive defense of networks and information systems
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
US8954725B2 (en) * 2009-05-08 2015-02-10 Microsoft Technology Licensing, Llc Sanitization of packets
US8694624B2 (en) * 2009-05-19 2014-04-08 Symbol Technologies, Inc. Systems and methods for concurrent wireless local area network access and sensing
WO2014059037A2 (en) 2012-10-09 2014-04-17 Cupp Computing As Transaction security systems and methods
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
US9762614B2 (en) 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US9342415B2 (en) 2014-07-14 2016-05-17 International Business Machines Corporation Run-to-completion thread model for software bypass fail open for an inline intrusion protection system
US9860273B2 (en) 2015-10-09 2018-01-02 T-Mobile Usa, Inc. Logging encrypted data communications for QOE analysis
US11159549B2 (en) * 2016-03-30 2021-10-26 British Telecommunications Public Limited Company Network traffic threat identification
US11194901B2 (en) 2016-03-30 2021-12-07 British Telecommunications Public Limited Company Detecting computer security threats using communication characteristics of communication protocols
US11153338B2 (en) * 2019-06-03 2021-10-19 International Business Machines Corporation Preventing network attacks

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2317539B (en) * 1996-09-18 2001-03-28 Secure Computing Corp Generalized security policy management system and method
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6282546B1 (en) * 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6578147B1 (en) * 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US6826697B1 (en) * 1999-08-30 2004-11-30 Symantec Corporation System and method for detecting buffer overflow attacks
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor

Also Published As

Publication number Publication date
DE10249888B4 (de) 2005-03-17
GB2382261B (en) 2004-07-14
US20030084319A1 (en) 2003-05-01
GB0224537D0 (en) 2002-11-27
GB2382261A (en) 2003-05-21

Similar Documents

Publication Publication Date Title
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
Pilli et al. Network forensic frameworks: Survey and research challenges
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
EP2975801A1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
CN111970300A (zh) 一种基于行为检查的网络入侵防御系统
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
Kazienko et al. Intrusion Detection Systems (IDS) Part I-(network intrusions; attack symptoms; IDS tasks; and IDS architecture)
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Kvarnström A survey of commercial tools for intrusion detection
EP1464150A1 (de) Verfahren, datenträger, computersystem und computerprogrammprodukt zur erkennung und abwehr von angriffen auf serversysteme von netzwerk-diensteanbietern und -betreibern
Mishra et al. Artificial intelligent firewall
Khan et al. Comparative study of intrusion detection system and its recovery mechanism
Mirpuryan et al. A comprehensive network intrusion detection and prevention system architecture

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8327 Change in the person/name/address of the patent owner

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee