DE112018004408B4 - Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie - Google Patents

Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie Download PDF

Info

Publication number
DE112018004408B4
DE112018004408B4 DE112018004408.4T DE112018004408T DE112018004408B4 DE 112018004408 B4 DE112018004408 B4 DE 112018004408B4 DE 112018004408 T DE112018004408 T DE 112018004408T DE 112018004408 B4 DE112018004408 B4 DE 112018004408B4
Authority
DE
Germany
Prior art keywords
latency
connection
network
packets
processor
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE112018004408.4T
Other languages
English (en)
Other versions
DE112018004408T5 (de
Inventor
Chun-Shuo Lin
Cheng-Ta Lee
Yin Lee
Chih-Hung Chou
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of DE112018004408T5 publication Critical patent/DE112018004408T5/de
Application granted granted Critical
Publication of DE112018004408B4 publication Critical patent/DE112018004408B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Abstract

Computerumgesetztes Verfahren in einem Datenverarbeitungssystem aufweisend einen Prozessor und einen Arbeitsspeicher aufweisend Anweisungen, die durch den Prozessor ausgeführt werden, um den Prozessor zu veranlassen, ein System zum Netzwerkschutz umzusetzen, wobei das Verfahren aufweist:ein Berechnen, durch eine analysierende Einheit des Systems zum Netzwerkschutz, einer Latenzverteilung einer oder mehrerer Verbindungen zu jeder IP-Adresse in einem Netzwerk;ein Festlegen, durch die analysierende Einheit, einer Auslöselatenz auf Grundlage der Latenzverteilung;ein Bestimmen, durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als die Auslöselatenz ist;wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, ein Melden, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung;ein Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, durch die analysierende Einheit, ob ein Angriff derzeit läuft;wenn der Angriff läuft, ein Injizieren, durch die analysierende Einheit, mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz.

Description

  • Technisches Gebiet
  • Die vorliegende Anmeldung betrifft allgemein ein System und Verfahren, das verwendet werden kann, um Angriffsströme zu identifizieren, die mehrere Verbindungen einbeziehen, wie besonders mehrschichtige Netzwerktopologien betreffend.
  • HINTERGRUND
  • In einer mehrschichtigen Netzwerktopologie ist es ein Dilemma für Sicherheitsadministratoren, Angriffsströme zu identifizieren, wenn mehrere Verbindungen einbezogen sind. Typische Antworten auf Angriffe, die einen Paketverlust oder ein Zurücksetzen von Verbindungen umfassen, können den Administratoren nicht helfen, die Angriffe zur Eindringungsquelle zurückzuverfolgen, sondern können stattdessen den Angriff nur in seinen endgültigen Stufen stoppen. Sicherheitsinformations- und Ereignisverwaltungsprodukte (Security information and event management (SIEM) products) können helfen, Verbindungen auf Grundlage ihres Zeitstempels zu korrelieren, dies erfordert jedoch, dass der Administrator den gesamten Datenverkehr innerhalb der Umgebung protokolliert, dann große Mengen von Hintergrunddatenverkehr filtert, um die Beziehung zwischen Verbindungen zu finden, ein ressourcenaufwändiger Prozess, der letztendlich nicht nachhaltig ist.
  • 1 veranschaulicht die klassische Unfähigkeit, die gesamte Situation eines Ost-West-Angriffs zu identifizieren Wie gezeigt kann ein Hacker schädliche Nutzdaten mit SQL-Injektion über das TLS-Protokoll an eine Webseite senden. Da der Datenverkehr verschlüsselt ist, wird der Angriff nicht in der Lage sein, gefunden und blockiert zu werden, bis der Anwendungsserver (APP-Server) versucht, den Datenbankserver (DB-Server) abzufragen. Sicherheitssysteme des Standes der Technik veranlassen ein Ereignis und identifizieren irrtümlich, dass der Angriff von einem internen Anwendungsserver zu einem anderen Datenbankserver erzeugt wurde. Der Systemadministrator weiß jedoch nicht, von wo der Angriff stammt, und ist nicht in der Lage, ihn zur Quelle der Eindringung zurückzuverfolgen.
  • Bestehende Lösungen fügen entweder eine spezielle Signatur in einem L3/L4-Header hinzu oder hängen vollständig vom Anwendungsrahmenwerk ab. Diese Verfahren sind in der realen Welt nicht praktikabel, sobald irgendein Knoten auf dem Pfad eine neue Verbindung zur nächsten Entität herstellt. Aufgrund der Ausgeklügeltheit von Cyber-Angriffen muss eine Ausbreitung des Angriffsanzeigers (indicator of attacks (IOA)) unabhängig von der Anwendungsschicht sein, andernfalls werden die Informationen in der Mitte abgeschnitten und eine Identifikation der Quelle wird unmöglich.
  • Die Druckschrift US 9 762 610 B1 betrifft Techniken zur latenzbasierten Richtlinienaktivierung. Ein System zur latenzbasierten Richtlinienaktivierung umfasst: Sammeln einer Vielzahl von Latenzmessungen, die mit überwachten Netzwerkkommunikationen verknüpft sind; Korrelieren der Vielzahl von Latenzmessungen, die mit den überwachten Netzwerkkommunikationen verknüpft sind, um eine anomale Netzwerkaktivität auf der Grundlage eines Profils zu erkennen; und Durchführen einer Schadensbegrenzungsreaktion auf die anomale Netzwerkaktivität auf der Grundlage einer Richtlinie.
  • Die Druckschrift US 2016 / 0 127 262 A1 betrifft Verfahren, Vorrichtungen, Systeme und Herstellungsgegenstände zum Drosseln eines Ressourcenzugriffs durch Webcrawler. Ein Beispielverfahren umfasst: Erhalten einer Medienanforderungsnachricht für Medien, die von dem Server gehostet werden, an einem Server, wobei die Medienanforderungsnachricht den Zugriff auf die Medien anfordert, das Charakterisieren einer Medienanforderungsquelle, die mit der Medienanforderungsnachricht verbunden ist; und Einfügen einer Zeitverzögerung in eine Medienantwortnachricht an die Medienanforderungsquelle basierend auf der Charakterisierung.
  • KURZDARSTELLUNG
  • Die Erfindung betrifft computerumgesetzte Verfahren, Computerprogrammprodukte und System zum Bereitstellen von Netzwerkschutz, deren Merkmale in den entsprechenden Hauptansprüchen angegeben sind. Ausführungsformen der Erfindung sind in den abhängigen Patentansprüchen angegeben.
  • In einem Beispiel wird ein computerumgesetztes Verfahren in einem Datenverarbeitungssystem bereitstellen, aufweisend einen Prozessor und einen Arbeitsspeicher aufweisend Anweisungen, die durch den Prozessor ausgeführt werden, um den Prozessor zu veranlassen, ein System für einen Netzwerkschutz umzusetzen, wobei das Verfahren ein Bestimmen durch die analysierende Einheit aufweist, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine falsche Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer als die Auslöselatenz ist, ein Berichten, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; ein Bestimmen durch die analysierende Einheit, ob ein Angriff derzeit läuft; und wenn der Angriff derzeit läuft, ein Injizieren durch die analysierende Einheit mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder eines oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  • In einem weiteren Beispiel wird ein Computerprogrammprodukt zum Bereitstellen von Netzwerkschutz bereitgestellt, wobei das Computerprodukt ein computerlesbares Datenspeichermedium mit damit ausgeführten Programmanweisungen aufweist, wobei die Programmanweisungen durch einen Prozessor ausführbar sind, um den Prozessor zu veranlassen zu: einem Bestimmen durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine falsche Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer als die Auslöselatenz ist, einem Berichten, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen durch die analysierende Einheit, ob ein Angriff derzeit läuft; und wenn der Angriff derzeit läuft, ein Injizieren durch die analysierende Einheit mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder eines oder mehrerer Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  • In einem weiteren Beispiel wird ein System zum Bereitstellen von Netzwerkschutz bereitgestellt, aufweisend: einen Netzwerkanalyseprozessor, konfiguriert zu: einem Bestimmen, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine falsche Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer als die Auslöselatenz ist, einem Berichten der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen, ob ein Angriff derzeit läuft; und wenn der Angriff derzeit läuft, einem Injizieren mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder eines oder mehrerer Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt, ferner aufweisend ein Berechnen, durch eine analysierende Einheit, einer Latenzverteilung einer oder mehrerer Verbindungen für jede IP-Adresse in einem Netzwerk; und ein Festlegen, durch die analysierende Einheit, der Auslöselatenz.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt, ferner aufweisend ein Profilieren, durch die analysierende Einheit, einer maximalen Latenz; ein Aktualisieren, durch die analysierende Einheit, der maximalen Latenz auf Grundlage einer oder mehrerer berichteter verdächtiger Verbindungen; und ein Festlegen, durch die analysierende Einheit, der Auslöselatenz als größer als die maximale Latenz.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt, ferner aufweisend ein Injizieren, durch die analysierende Einheit, des mindestens einen des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz größer als die maximale Latenz.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt ferner aufweisend ein Erfassen, durch eine Schutzeinheit, eines Antreffens einer externen Verbindung mit einer abnormalen Latenz; und ein Durchführen, durch die Schutzeinheit, mindestens eines von unter Quarantäne stellen der externen Verbindung, Zurücksetzen der abnormalen Verbindung, Umleiten der abnormalen Verbindung zu einem Honigtopf oder Bereitstellen weiterer Informationen für einen Ereignissammler.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt, ferner aufweisend ein Bestimmen, durch ein DDOS-Schutzmodul, ob jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten ist; ein Bestimmen, durch das DDOS-Schutzmodul, ob das System in der Lage ist, jede der einen oder mehreren Verbindungen weiterzuleiten, aufweisend: ein Bestimmen, durch das DDOS-Schutzmodul, einer letzten Zeit, zu der eine vorherige Verbindung weitergeleitet wurde; ein Vergleichen, durch das DDOS-Schutzmodul, der letzten Zeit, zu der die vorherige Verbindung weitergeleitet wurde, mit einer vorbestimmten Verzögerungszeit; wenn die letzte Zeit, zu der die vorherige Verbindung weitergeleitet wurde, die vorbestimmte Verzögerungszeit überschreitet, durch das DDOS-Schutzmodul erlauben, dass die Verbindung in das Netzwerk weitergeleitet wird.
  • In einem weiteren Beispiel wird ein Verfahren bereitgestellt, ferner aufweisend ein Einstellen, durch das DDOS-Schutzmodul, der falschen Latenz auf Grundlage der vorbestimmten Verzögerungszeit.
  • In einem weiteren Beispiel wird ein Computerprogrammprodukt bereitgestellt, das ein von Computern verwendbares oder lesbares Medium mit einem computerlesbaren Programm aufweist. Das computerlesbare Programm veranlasst bei Ausführen auf einem Prozessor den Prozessor dazu, vielfältige sowie Kombinationen der oben erläuterten Operationen in Hinblick auf die veranschaulichende Ausführungsform des Verfahrens durchzuführen.
  • In noch einem weiteren Beipsiel wird ein System bereitgestellt. Das System kann eines oder mehrere von einem Netzwerkanalyseprozessor, einem Netzwerkschutzprozessor und einem DDOS-Schutzprozessor aufweisen, die konfiguriert sind, vielfältige sowie Kombinationen der oben erläuterten Operationen in Hinblick auf die veranschaulichende Ausführungsform des Verfahrens durchzuführen.
  • Zusätzliche Merkmale und Vorteile dieser Offenbarung werden aus der folgenden detaillierten Beschreibung veranschaulichender Ausführungsformen ersichtlich, die unter Bezugnahme auf die begleitenden Zeichnungen fortschreitet.
  • Figurenliste
  • Nun werden in lediglich beispielhafter Weise und unter Bezugnahme auf die folgenden Zeichnungen bevorzugte Ausführungsformen der vorliegenden Erfindung beschrieben:
    • 1 veranschaulicht eine Identifikation eines Netzwerkangriffs des Standes der Technik;
    • 2 veranschaulicht einen Ablaufplan, der die Erfassung eines Angriffs unter Verwendung des vorliegenden Netzwerkschutzsystems gemäß hierin beschriebener Ausführungsformen da rstel lt;
    • 3 veranschaulicht die Funktionalität des Netzwerkschutzsystems während eines DDOS-Angriffs gemäß hierin beschriebener Ausführungsformen;
    • 4 veranschaulicht einen Ablaufplan, der die Funktionalität des Netzwerkschutzsystems gemäß hierin beschriebener Ausführungsformen darstellt;
    • 5 stellt ein Blockschaubild dar, das gemäß hierin beschriebener Ausführungsformen die Komponenten eines Netzwerkschutzsystems veranschaulicht, wenn es mit einem Netzwerk integriert ist;
    • 6 ist ein Blockschaubild eines Beispieldatenverarbeitungssystems, in dem Aspekte der veranschaulichenden Ausführungsformen umgesetzt sein können.
  • DETAILLIERTE BESCHREIBUNG BEISPIELHAFTER AUSFÜHRUNGSFORMEN
  • Im Gegensatz zum Stand der Technik, der lediglich Pakete fallenlässt oder Verbindungen zurücksetzt, kann die vorliegende Erfindung den Anzeiger von Angriffen (IOA) vorzugsweise durch mehrere Entitäten weiterleiten, die an dem Angriff beteiligt sind. Eine Zeittaktung ist das einzige Attribut, dass durch mehrere Knoten laufen kann, ungeachtet der Anwendungslogik und des Netzwerkprotokolls. Somit kann die vorliegende Erfindung vorzugsweise einen neuen Mechanismus erzeugen, um eine spezielle Latenz in einer Verbindung hinzuzufügen, wenn ein IOA identifiziert wird.
  • Durch Hinzufügen von Latenz zu den Paketen in einer bestimmten Verbindung kann die vorliegende Erfindung vorzugsweise den Anzeiger eines Angriffs weiterleiten und die zugehörigen Verbindungen identifizieren, was die Komplexität für SIEM-Produkte enorm verringern kann, um die Angriffsströme unter all dem Ost-West-Datenverkehr zu analysieren, wenn der Ost-West-Datenverkehr Datenverkehr innerhalb eines Datenzentrums aufweist, im Gegensatz zu Client-Server-Datenverkehr. Nach einem Analysieren der verdächtigen Kandidaten kann ein Netzwerkschutzprodukt am Rande des Netzwerks einen Patienten Null identifizieren (d.h. die Quelle des Angriffs) und die durch die Angreifer hergestellte Verbindung zurücksetzen. Die vorliegende Erfindung kann dann vorzugsweise die Quellen-IP-Adresse von Eindringlingen unter Quarantäne stellen. Ein Identifizieren einer Linkaffinität ist ein schwieriges Problem in SIEM-Produkten und im gesamten Bereich der Cybersicherheit. Die vorliegende Erfindung kann vorzugsweise die Komplexität des Identifizierens von Angriffsströmen bei den meisten Arten von Anwendungsarchitektur verringern, ohne dass eine Modifikation oder Kenntnis von der Anwendung selbst erforderlich ist.
  • 2 veranschaulicht einen Ablaufplan, der die Erfassung eines Angriffs unter Verwendung des vorliegenden Netzwerkschutzsystems gemäß hierin beschriebener Ausführungsformen darstellt. Allgemein wird ein Angreifer 200 schädliche Nutzdaten 201 in ein Netzwerk einbringen, wo ein normaler Eintrittspunkt der Lastausgleicher 203 ist. Bestimmte schädliche Nutzdaten 201 können eine bestimmte Anwendung 205 angreifen, die in einem Anwendungsserver 204 laufen kann. Durch die Infektion einer Anwendung 205 können die Anwendungen mit Datenbankservern 206 interagieren, die eine oder mehrere Datenbanken 207 enthalten, sowie einem oder mehreren Servern 208, die eine oder mehrere Dateien 209 enthalten. Herkömmlicherweise wurde der erfasste Angriffsstrom 210 zuvor nur irrtümlicherweise zwischen der Interaktion der Anwendung 205 mit einer bestimmten Datenbank 207 erfasst, auf die zugegriffen wird. Durch die Injektion einer falschen Latenz Δt 202 in die angreifende Verbindung durch einen Injektionsmechanismus einer falschen Latenz kann jedoch ein Anzeiger eines Angriffs bereitgestellt werden, der es entsprechenden SIEM-Produkten erlaubt, die schädlichen Nutzdaten 201 zurück zum ursprünglichen Angreifer 200 und ihrem Ursprungspunkt zu verfolgen, was eine raschere und effektivere Beendigung des Angriffs erlaubt. Dieses Verfahren kann verwendet werden, um eine Störung der Anwendungslogik bei einer fehlenden IOA-Antwortlogik zu verhindern, die in der Anwendung vorhanden ist. In dem Ausmaß, in dem die Anwendung eine Logik besitzt, die fähig ist, auf einen IOA zu antworten, kann die Anwendung die IOA-Informationen durch die Anwendungsschicht der Verbindung weiterleiten.
  • Um einen verteilten Denial-of-Service-Angriff (distributed denial-of-service (DDOS) attack) zu vermeiden, wird der Injektionsmechanismus einer falschen Latenz aufgrund der großen Anzahl von Angriffen, die als Teil eines DDOS-Angriffs auftreten, möglicherweise nicht jedes Mal ausgelöst, wenn ein Angriff erfasst wird. Das Netzwerkschutzsystem kann auch eine Prozedur bereitstellen, um einen DDOS-Angriff zu vermeiden, so dass die Injektion einer falschen Latenz nur ein oder mehrere Male in einem konfigurierbaren Zeitfenster ausgelöst werden kann.
  • 3 veranschaulicht die Funktionalität des Netzwerkschutzsystems während eines DDOS-Angriffs gemäß hierin beschriebener Ausführungsformen. Bei Empfang eines eingehenden Paketes 301 kann das System das Paket inspizieren, um die Eigenschaften des Pakets zu bestimmen und um zu bestimmen, ob das Paket Teil der schädlichen Nutzdaten oder des DDOS-Angriffs 302 ist. Auf Grundlage der Inspektion des Pakets 302 kann das System entscheiden, ob die Verbindung in das Netzwerk 303 weitergeleitet werden soll. Wenn das System auswählt, die Verbindung nicht in das Netzwerk weiterzuleiten, kann das System das Paket in das Netzwerk ablehnen.
  • Wenn das System auswählt, die Verbindung in das Netzwerk weiterzuleiten, kann das System bestimmen, ob das System in der Lage ist, die Verbindung 304 weiterzuleiten. Das System kann diese Bestimmung vornehmen, indem die letzte Zeit, zu der eine Verbindung weitergeleitet wurde 307, gegenüber einer vorbestimmten Verzögerungszeit 308 bestimmt wird. Wenn die letzte Weiterleitungszeit 307 kleiner ist als die vorbestimmte Verzögerungszeit 308, darf die Verbindung nicht weitergeleitet werden, und das System kann eine oder mehrere der ursprünglichen Aktionen vornehmen 306, was ein Zurücksetzen der Verbindung, Modifizieren der Nutzdaten (oder Pakete) oder ein Erlauben oder Ablehnen des Pakets in das Netzwerk umfassen kann. Wenn die letzte Weiterleitungszeit 307 mehr als die vorbestimmte Verzögerungszeit 308 beträgt, kann die Verbindung weitergeleitet werden, sobald das System durch die Verwendung eines Injektionsmechanismus einer falschen Latenz 305 eine falsche Latenzverzögerung und/oder eine Signatur in das Paket injiziert hat, was ein Verzögern der Weiterleitung des Pakets in das Netzwerk (d.h. Injizieren einer falschen Latenz) umfassen kann. Das modifizierte Paket kann dann eine oder mehrere ursprünglichen Aktionen daran ausführen 306, was das Erlauben des modifizierten Pakets durch das Netzwerk umfasst.
  • Bevor irgendwelche ursprünglichen Aktionen vorgenommen werden 306, wie beispielsweise Zurücksetzen von Verbindungen, Modifizieren von Nutzdaten oder Erlauben eines Pakets, kann das System eine falsche Latenz injizieren, wenn es erforderlich ist. Ohne komplett von dem erfassten Angriff/den erfassten Ereignissen abhängen zu müssen, kann das Netzwerkschutzsystem auch die letzte Weiterleitungszeit und das Zeitfenster berücksichtigen. Mit diesem Mechanismus kann das Netzwerkschutzsystem einen DDOS-Angriff vermeiden. In einer Ausführungsform kann die injizierte falsche Latenz Δt einstellbar durch die Umgebung und die vorbestimmte Verzögerungszeit berechnet werden, was keine signifikanten Dienstauswirkungen besitzt, da ein Administrator normalen Datenverkehr leicht filtern kann.
  • 4 veranschaulicht einen Ablaufplan, der die Funktionalität des Netzwerkschutzsystems gemäß hierin beschriebener Ausführungsformen darstellt. Eine Umsetzung des Netzwerkschutzsystems kann aus zwei Teilen zusammengesetzt sein, wobei der erste eine Schutzeinheit 401 bei jeder Arbeitslast ist, und der zweite eine analysierende Einheit 400 ist, die sich auf einem zentralen Server befinden kann, wie beispielsweise ein SIEM-Produkt. In einer Ausführungsform kann die analysierende Einheit 400 die falsche Latenzverteilung von Gesamtverbindungen zu jeder IP-Adresse unter Verwendung eines Profiliermechanismus und Ablaufdaten berechnen und kann eine maximale Latenz Δu 402 profilieren. Die analysierende Einheit 400 kann dann eine Auslöselatenz festlegen, die größer sein kann als die maximal erlaubte Latenz Δu. In einer Ausführungsform kann die Auslöselatenz größer sein als die maximale Latenz Δu in dem gegebenen Zeitfenster. Die analysierende Einheit 400 kann dann bestimmen, ob irgendeine eingehende Verbindung eine falsche Latenz größer als die Auslöselatenz 403 besitzt. Falls ja, kann die analysierende Einheit 400 die verdächtige Verbindung über die Ablaufdaten 407 melden. Falls nicht, kann die analysierende Einheit 400 die maximale Latenz Δu über die Ablaufdaten 404 aktualisieren. Die analysierende Einheit 400 kann dann erfassen, ob derzeit ein Angriff läuft 405. Falls nicht, kann die analysierende Einheit 400 die maximale Latenz Δu neu profilieren 402 und die vorherigen Prozesse wiederholen.
  • Im Falle eines Angriffs kann die analysierende Einheit 400 in die schädlichen Nutzdaten eine falsche Latenz Δt injizieren 408. Die Injektion der falschen Latenz kann ein Verzögern der Pakete mit der falschen Latenz um Δt einbeziehen. In einer Ausführungsform kann Δt größer als Δu sein. In einer Ausführungsform kann die Injektion der falschen Latenz Δt auf der Verbindung auftreten, bevor andere Aktionen vorgenommen werden, wie beispielsweise Zurücksetzen/Beenden der Verbindung. Die Hinzufügung der falschen Latenz erzeugt eine abnormale Verbindung, was abnormale Latenzen für andere Komponenten in der Netzwerk-Cloud verursachen kann, was den Fehler mit der abnormalen Latenzspitze leicht weiterleiten und ein detaillierteres Verfolgen erlauben kann.
  • Wenn die Schutzeinheit 401 am Rand auf irgendeine externe Verbindung mit abnormaler Latenz trifft, die durch die analysierende Einheit 400 erfasst wurde, kann sie die Verbindung unter Quarantäne stellen 409, die Verbindung zurücksetzen 410, die Verbindung zu einem Honigtopf für die Quelle weiterlenken 411 oder einem Ereignissammler 412, wie beispielsweise einem SIEM-Produkt, weitere Informationen zur weiteren Analyse bereitstellen.
  • 5 stellt ein Blockschaubild dar, das gemäß hierin beschriebener Ausführungsformen die Komponenten eines Netzwerkschutzsystems veranschaulicht, wenn es in ein Netzwerk einbezogen ist. Beim Vermitteln der klassischen Interaktion zwischen einem zentralen Server 500 und einem Client 501 kann das Netzwerkschutzsystem ein Berechnungsmodul einer falschen Latenz 502 umfassen, das auf dem zentralen Server 500 untergebracht ist, sowie ein Server-DDOS-Verhinderungsmodul 503, das auf dem zentralen Server 500 untergebracht ist. Auf Grundlage der Stromdaten, API oder Anforderungsprofile und/oder etwaiger Sicherheitsereignisantworten kann der Client 501 eine Injektion einer falschen Latenz 504 in einen bestimmten Netzwerkdatenstrom einfügen, der durch das Berechnungsmodul einer falschen Latenz 502 verwendet werden kann, um den Pfad und die Quelle des Angriffs zu bestimmen, wie oben beschrieben. Zusätzlich kann ein Client-DDOS-Verhinderungsmodul 505 innerhalb des Client 501 eingebettet sein, um im Falle eines clientseitigen DDOS-Angriffs zusätzlichen DDOS-Schutz bereitzustellen. Das Berechnungsmodul einer falschen Latenz 502 und das Server-DDOS-Verhinderungsmodul 503 kann Latenzwerte und Anti-DDOS-Materialien, wie beispielsweise die vorbestimmte Zeitverzögerung, von dem zentralen Server 500 zu dem Client 501 weiterleiten, damit das Netzwerk eine Angriffsvermittlungsfähigkeit besitzt.
  • 6 ist ein Blockschaubild eines Beispieldatenverarbeitungssystems 600, in dem Aspekte der veranschaulichenden Ausführungsformen, wie beispielsweise der Benutzeragent, der Berechtigungsprüfer und/oder der Berechtigungsprüfungsserver umgesetzt sein können. Das Datenverarbeitungssystem 600 stellt ein Beispiel für einen Computer, wie beispielsweise einen Server oder Client dar, in dem sich von Computern verwendbarer Code oder Anweisungen befinden können, die den Prozess für veranschaulichende Ausführungsformen der vorliegenden Erfindung umsetzen. In einer bestimmten Ausführungsform stellt 6 eine Serverdatenverarbeitungseinheit, wie beispielsweise einen Server dar, der das hierin beschriebene Netzwerkschutzsystem umsetzt.
  • Im abgebildeten Beispiel kann das Datenverarbeitungssystem 600 eine Knotenpunkt-Architektur (hub architecture) einschließlich einer „north bridge and memory controller hub“ (NB/MCH) 601 (Northbrigde und Knotenpunkt für Speichersteuereinheiten) und einer „south bridge and input/output (I/O) controller hub“ (SB/ICH) 602 (Southbridge und Knotenpunkt für Eingabe/Ausgabe(E/A)-Steuereinheiten) verwenden. Eine Verarbeitungseinheit 603, ein Hauptarbeitsspeicher 604 und ein Grafikprozessor 605 können mit der NB/MCH 601 verbunden sein. Der Grafikprozessor 605 kann über einen beschleunigten Grafikanschluss (accelerated graphics port (AGP)) mit der NB/MCH 202 verbunden sein.
  • Im abgebildeten Beispiel ist der Netzwerkadapter 606 mit der SB/ICH 602 verbunden. Der Audioadapter 607, ein Tastatur- und Mausadapter 608, ein Modem 609, ein Nur-Lese-Speicher (read only memory (ROM)) 610, ein Festplattenlaufwerk (hard disk drive (HDD)) 611, ein optisches Laufwerk (CD oder DVD) 612, Anschlüsse für einen universellen seriellen Bus (universal serial bus (USB)) und weitere Kommunikationsanschlüsse 613 sowie PCI/PCIe-Einheiten 614 können über ein Bussystem 616 mit der SB/ICH 602 verbunden sein. Die PCI/PCIe-Einheiten 614 können Ethernet-Adapter, Erweiterungskarten (add-in cards) und PC-Karten für Notebook-Computer umfassen. Beim ROM 610 kann es sich zum Beispiel um ein Flash-Basisdaten-Austauschsystem (flash basic input/output system) (BIOS) handeln. Die HDD 611 und das optische Laufwerk 612 können eine integrierte Laufwerkelektronik (integrated drive electronics (IDE)) oder eine Anbindungsschnittstelle mit fortschrittlicher serieller Technologie (serial advanced technology attachment (SATA) interface) verwenden. Die Super-E/A-Einheit (Super I/O (SIO) device) 615 kann mit der SB/ICH verbunden sein.
  • Ein Betriebssystem kann auf der Verarbeitungseinheit 603 laufen. Das Betriebssystem kann eine Steuerung vielfältiger Komponenten innerhalb des Datenverarbeitungssystems 600 koordinieren und bereitstellen. Als ein Client kann es sich bei dem Betriebssystem um ein kommerziell verfügbares Betriebssystem handeln. Ein objektorientiertes Programmiersystem, wie beispielsweise das Java™-Programmiersystem kann in Verbindung mit dem Betriebssystem laufen und Aufrufe des Betriebssystems aus den objektorientierten Programmen oder Anwendungen bereitstellen, die auf dem Datenverarbeitungssystem 600 ausgeführt werden. Als ein Server kann es sich bei dem Datenverarbeitungssystem 600 um ein „IBM® eServer™ System p®“ handeln, welches das Betriebssystem „Advanced Interactive Executive“ oder das Betriebssystem „Linux“ ausführt. Bei dem Datenverarbeitungssystem 600 kann es sich um ein symmetrisches Mehrfachprozessorsystem (symmetric multiprocessor (SMP) system) handeln, das eine Mehrzahl von Prozessoren in der Verarbeitungseinheit 603 umfassen kann. Alternativ kann ein Einzelprozessorsystem verwendet werden.
  • Anweisungen für das Betriebssystem, das objektorientierte Programmiersystem sowie Anwendungen oder Programme befinden sich auf Datenspeichereinheiten, wie beispielsweise der HDD 611, und werden zur Ausführung durch die Verarbeitungseinheit 603 in den Hauptarbeitsspeicher 604 geladen. Die Prozesse für Ausführungsformen des Netzwerkschutzsystems können durch die Verarbeitungseinheit 603 unter Verwendung von computerverwendbarem Programmcode durchgeführt werden, der sich in einem Arbeitsspeicher wie zum Beispiel dem Hauptarbeitsspeicher 604, dem ROM 610 oder in einer oder mehreren Peripherieeinheiten befinden kann.
  • Ein Bussystem 616 kann aus einem oder mehreren Bussen zusammengesetzt sein. Das Bussystem 616 kann unter Verwendung jedes beliebigen Typs von Kommunikationsnetz (communications fabric) oder Architekturtyps ausgeführt sein, der eine Übertragung von Daten zwischen unterschiedlichen Komponenten oder Einheiten bereitstellen kann, die an das Netz oder die Architektur angebunden sind. Eine Kommunikationseinheit, wie beispielsweise das Modem 609 oder der Netzwerkadapter 606 können eine oder mehrere Einheiten umfassen, die verwendet werden können, um Daten zu senden und empfangen.
  • Für den Fachmann ist ersichtlich, dass die in 6 dargestellte Hardware abhängig von der Umsetzung variieren kann. Weitere interne Hardware oder Peripherieeinheiten, wie beispielsweise Flash-Arbeitsspeicher, entsprechender nichtflüchtiger Arbeitsspeicher oder optische Festplattenlaufwerke können zusätzlich zu oder anstelle der dargestellten Hardware verwendet werden. Darüber hinaus kann das Datenverarbeitungssystem 600 die Form einer beliebigen Anzahl unterschiedlicher Datenverarbeitungssysteme einschließlich, ohne darauf beschränkt zu sein, Client-Recheneinheiten, Server-Recheneinheiten, eines Tablet-Computers, eines Laptop-Computers, eines Telefons oder anderen Kommunikationseinheiten, persönlicher digitaler Assistenten und Ähnlichem annehmen. Im Wesentlichen kann es sich bei dem Datenverarbeitungssystem 600 um jedes beliebige bekannte oder später entwickelte Datenverarbeitungssystem ohne architektonische Einschränkung handeln.
  • Die vorliegende Beschreibung und die vorliegenden Ansprüche können die Begriffe „ein“, „mindestens eines“ und „ein oder mehrere von“ in Hinsicht auf bestimmte Merkmale und Elemente der veranschaulichenden Ausführungsformen nutzen. Es sollte ersehen werden, dass diese Begriffe und Ausdrücke angeben sollen, dass mindestens eines des bestimmten Merkmals oder Elements in der bestimmten veranschaulichenden Ausführungsform vorhanden ist, aber dass auch mehr als eines vorhanden sein können. Das heißt, diese Begriffe/Ausdrücke sollen die Beschreibung oder Ansprüche nicht auf ein einziges vorhandenes Merkmal/Element beschränken oder erfordern, dass eine Mehrzahl solcher Merkmale/Elemente vorhanden ist. Im Gegenteil erfordern diese Begriffe/Ausdrücke nur mindestens ein einziges Merkmal/Element mit der Möglichkeit, dass eine Mehrzahl solcher Merkmale/Elemente innerhalb in dem Umfang der Beschreibung und Ansprüche liegt.
  • Zusätzlich sollte ersehen werden, dass die folgende Beschreibung eine Mehrzahl vielfältiger Beispiele für vielfältige Elemente der veranschaulichenden Ausführungsformen verwendet, um Beispielumsetzungen der veranschaulichenden Ausführungsformen weiter zu veranschaulichen und um beim Verständnis der Mechanismen der veranschaulichenden Ausführungsformen zu helfen. Diese Beispiele sollen nicht einschränkend sein und sind nicht erschöpfend für die vielfältigen Möglichkeiten zum Umsetzen der Mechanismen der veranschaulichenden Ausführungsformen. Es wird für den Fachmann angesichts der vorliegenden Beschreibung ersichtlich sein, dass es viele andere alternative Umsetzungen für diese vielfältigen Elemente gibt, die zusätzlich zu oder als Ersatz für das hierin bereitgestellte Beispiel verwendet werden können, ohne vom Geist und Umfang der vorliegenden Erfindung abzuweichen
  • Bei der vorliegenden Erfindung kann es sich um ein System, ein Verfahren und/oder ein Computerprogrammprodukt handeln. Das Computerprogrammprodukt kann (ein) durch einen Computer lesbare(s) Speichermedium (oder -medien) umfassen, auf dem/denen durch einen Computer lesbare Programmanweisungen gespeichert ist/sind, um einen Prozessor dazu zu veranlassen, Aspekte der vorliegenden Erfindung auszuführen.
  • Bei dem durch einen Computer lesbaren Speichermedium kann es sich um eine physische Einheit handeln, die Anweisungen zur Verwendung durch eine Einheit zur Ausführung von Anweisungen behalten und speichern kann. Bei dem durch einen Computer lesbaren Speichermedium kann es sich zum Beispiel um eine elektronische Speichereinheit, eine magnetische Speichereinheit, eine optische Speichereinheit, eine elektromagnetische Speichereinheit, eine Halbleiterspeichereinheit oder jede geeignete Kombination daraus handeln, ohne auf diese beschränkt zu sein. Zu einer nicht erschöpfenden Liste spezifischerer Beispiele des durch einen Computer lesbaren gehören die Folgenden: eine tragbare Computerdiskette, eine Festplatte, ein Direktzugriffsspeicher (random access memory (RAM)), ein Nur-Lese-Speicher (read-only memory (ROM)), ein löschbarer programmierbarer Nur-Lese-Speicher (erasable programmable read-only memory (EPROM)oder Flash-Speicher), ein statischer Direktzugriffsspeicher (static random access memory (SRAM)), ein tragbarer Kompaktspeicherplatte-Nur-Lese-Speicher (CD-ROM), eine DVD (digital versatile disc), ein Speicher-Stick, eine Diskette, eine mechanisch kodierte Einheit wie beispielsweise Lochkarten oder erhabene Strukturen in einer Rille, auf denen Anweisungen gespeichert sind, und jede geeignete Kombination des Vorhergehenden. Ein durch einen Computer lesbares Speichermedium soll in der Verwendung hierin nicht als flüchtige Signale an sich aufgefasst werden, wie beispielsweise Funkwellen oder andere sich frei ausbreitende elektromagnetische Wellen, elektromagnetische Wellen, die sich durch einen Wellenleiter oder ein anderes Übertragungsmedium ausbreiten (z.B. durch ein Glasfaserkabel geleitete Lichtimpulse) oder durch einen Draht übertragene elektrische Signale.
  • Hierin beschriebene, durch einen Computer lesbare Programmanweisungen können von einem durch einen Computer lesbaren Speichermedium auf jeweilige Datenverarbeitungs-/Verarbeitungseinheiten oder über ein Netzwerk wie zum Beispiel das Internet, ein lokales Netzwerk (local area network (LAN)), ein Weitverkehrsnetzwerk (wide area network (WAN)) und/oder ein drahtloses Netzwerk auf einen externen Computer oder eine externe Speichereinheit heruntergeladen werden. Das Netzwerk kann Kupferübertragungskabel, Lichtwellenübertragungsleiter, drahtlose Übertragung, Leitwegrechner, Firewalls, Vermittlungseinheiten, Gateway-Computer und/oder Edge-Server aufweisen. Eine Netzwerkadapterkarte oder Netzwerkschnittstelle in jeder Datenverarbeitungs-/Verarbeitungseinheit empfängt durch einen Computer lesbare Programmanweisungen aus dem Netzwerk und leitet die durch einen Computer lesbaren Programmanweisungen zur Speicherung in einem durch einen Computer lesbaren Speichermedium innerhalb der entsprechenden Datenverarbeitungs-/Verarbeitungseinheit weiter.
  • Bei durch einen Computer lesbaren Programmanweisungen zum Ausführen von Arbeitsschritten der vorliegenden Erfindung kann es sich um Assembler-Anweisungen, ISA-Anweisungen (Instruction-Set-Architecture), Maschinenanweisungen, maschinenabhängige Anweisungen, Mikrocode, Firmware-Anweisungen, zustandssetzende Daten oder entweder Quellcode oder Objektcode handeln, die in einer beliebigen Kombination aus einer oder mehreren Programmiersprachen geschrieben werden, darunter eine objektorientierte Programmiersprache wie Java, Smalltalk, C++ o.ä. sowie herkömmliche prozedurale Programmiersprachen wie die Programmiersprache „C“ oder ähnliche Programmiersprachen. Die durch einen Computer lesbaren Programmanweisungen können vollständig auf dem Computer des Benutzers, teilweise auf dem Computer des Benutzers, als eigenständiges Software-Paket, teilweise auf dem Computer des Benutzers und teilweise auf einem fernen Computer oder vollständig auf dem fernen Computer oder Server ausgeführt werden. In letzterem Fall kann ferne Computer mit dem Computer des Benutzers durch eine beliebige Art Netzwerk verbunden sein, darunter LAN oder WAN, oder die Verbindung kann mit einem externen Computer hergestellt werden (zum Beispiel über das Internet unter Verwendung eines Internet-Dienstanbieters). In einigen Ausführungsformen kann elektronische Schaltungstechnik, darunter zum Beispiel programmierbare Logikschaltungstechnik, im Feld programmierbare Gatter-Anordnungen (FPGA, field programmable gate arrays) oder programmierbare Logikanordnungen (PLA, programmable logic arrays) die durch einen Computer lesbaren Programmanweisungen ausführen, indem sie Zustandsinformationen der durch einen Computer lesbaren Programmanweisungen nutzen, um die elektronische Schaltungstechnik zu personalisieren, um Aspekte der vorliegenden Erfindung durchzuführen.
  • Aspekte der vorliegenden Erfindung sind hierin unter Bezugnahme auf Ablaufpläne und/oder Blockschaltbilder und/oder Schaubilder von Verfahren, Vorrichtungen (Systemen) und Computerprogrammprodukten gemäß Ausführungsformen der Erfindung beschrieben. Es wird darauf hingewiesen, dass jeder Block der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder sowie Kombinationen von Blöcken in den Ablaufplänen und/oder den Blockschaltbildern bzw. Schaubildern mittels durch einen Computer lesbare Programmanweisungen umgesetzt werden können.
  • Diese durch einen Computer lesbaren Programmanweisungen können einem Prozessor eines Universalcomputers, eines Spezialcomputers oder einer anderen programmierbaren Datenverarbeitungsvorrichtung bereitgestellt werden, um eine Maschine zu erzeugen, so dass die über den Prozessor des Computers oder der anderen programmierbaren Datenverarbeitungsvorrichtung ausgeführten Anweisungen ein Mittel zum Umsetzen der in dem Block bzw. den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte erzeugen. Diese durch einen Computer lesbaren Programmanweisungen können auch auf einem durch einen Computer lesbaren Speichermedium gespeichert sein, das einen Computer, eine programmierbare Datenverarbeitungsvorrichtung und/oder andere Einheiten so steuern kann, dass sie auf eine bestimmte Art funktionieren, so dass das durch einen Computer lesbare Speichermedium, auf dem Anweisungen gespeichert sind, ein Herstellungsprodukt aufweist, darunter Anweisungen, welche Aspekte der/des in dem Block bzw. den Blöcken des Ablaufplans und/oder der Blockschaltbilder bzw. Schaubilder angegebenen Funktion/Schritts umsetzen.
  • Die durch einen Computer lesbaren Programmanweisungen können auch auf einen Computer, eine andere programmierbare Datenverarbeitungsvorrichtung oder eine andere Einheit geladen werden, um ein Durchführen einer Reihe von Prozessschritten auf dem Computer, der anderen programmierbaren Vorrichtung oder anderen Einheit zu verursachen, um einen auf einem Computer umgesetzten Prozess zu erzeugen, so dass die auf dem Computer, einer anderen programmierbaren Vorrichtung oder einer anderen Einheit ausgeführten Anweisungen die in dem Block oder den Blöcken der Ablaufpläne und/oder der Blockschaltbilder bzw. Schaubilder festgelegten Funktionen/Schritte umsetzen.
  • Die Ablaufpläne und die Blockschaltbilder bzw. Schaubilder in den Figuren veranschaulichen die Architektur, die Funktionalität und den Betrieb möglicher Umsetzungen von Systemen, Verfahren und Computerprogrammprodukten gemäß verschiedenen Ausführungsformen der vorliegenden Erfindung. In dieser Hinsicht kann jeder Block in den Ablaufplänen oder Blockschaltbildern bzw. Schaubildern ein Modul, ein Segment oder einen Teil von Anweisungen darstellen, die eine oder mehrere ausführbare Anweisungen zum Umsetzen der bestimmten logischen Funktionen aufweisen. In einigen alternativen Umsetzungen können die in den Blöcken angegebenen Funktionen in einer anderen Reihenfolge als in den Figuren gezeigt stattfinden. Zwei nacheinander gezeigte Blöcke können zum Beispiel in Wirklichkeit im Wesentlichen gleichzeitig ausgeführt werden, oder die Blöcke können manchmal je nach entsprechender Funktionalität in umgekehrter Reihenfolge ausgeführt werden. Es ist ferner anzumerken, dass jeder Block der Blockschaltbilder bzw. Schaubilder und/oder der Ablaufpläne sowie Kombinationen aus Blöcken in den Blockschaltbildern bzw. Schaubildern und/oder den Ablaufplänen durch spezielle auf Hardware beruhende Systeme umgesetzt werden können, welche die festgelegten Funktionen oder Schritte durchführen, oder Kombinationen aus Spezial-Hardware und Computeranweisungen ausführen.
  • Das System und die Prozesse der Figuren sind nicht erschöpfend. Andere Systeme, Prozesse und Menüs können gemäß den Grundgedanken von hierin beschriebenen Ausführungsformen angeleitet werden, um dieselben Ziele zu erreichen. Es sollte verstanden werden, dass die hierin gezeigten und beschriebenen Ausführungsformen und Variationen nur Veranschaulichungszwecken dienen. Modifikationen an der aktuellen Gestaltung können durch den Fachmann umgesetzt werden, ohne vom Umfang der Ausführungsformen abzuweichen. Wie hierin beschrieben, können die vielfältigen Systeme, Teilsysteme, Agenten, Verwalter und Prozesse unter Verwendung von Hardware-Komponenten, Software-Komponenten und/oder Kombinationen davon umgesetzt werden. Kein Anspruchselement hierin ist unter den Vorschriften von 35 U.S.C. 112, Paragraph sechs aufzufassen, es sei denn das Element ist ausdrücklich unter Verwendung des Ausdrucks „Mittel für“ angeführt.
  • Obwohl die Erfindung unter Bezugnahme auf beispielhafte Ausführungsformen beschrieben worden ist, ist sie nicht darauf beschränkt. Der Fachmann versteht, dass zahlreiche Änderungen und Modifikationen an den bevorzugten Ausführungsformen der Erfindung vorgenommen werden können, und dass solche Änderungen und Modifikationen vorgenommen werden können, ohne vom wahren Geist der Erfindung abzuweichen. Es ist daher beabsichtigt, dass die angehängten Ansprüche so aufzufassen sind, dass sie alle solchen äquivalenten Variationen wie sie unter den wahren Geist und Umfang der Erfindung fallen abdecken.

Claims (18)

  1. Computerumgesetztes Verfahren in einem Datenverarbeitungssystem aufweisend einen Prozessor und einen Arbeitsspeicher aufweisend Anweisungen, die durch den Prozessor ausgeführt werden, um den Prozessor zu veranlassen, ein System zum Netzwerkschutz umzusetzen, wobei das Verfahren aufweist: ein Berechnen, durch eine analysierende Einheit des Systems zum Netzwerkschutz, einer Latenzverteilung einer oder mehrerer Verbindungen zu jeder IP-Adresse in einem Netzwerk; ein Festlegen, durch die analysierende Einheit, einer Auslöselatenz auf Grundlage der Latenzverteilung; ein Bestimmen, durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als die Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, ein Melden, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; ein Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, durch die analysierende Einheit, ob ein Angriff derzeit läuft; wenn der Angriff läuft, ein Injizieren, durch die analysierende Einheit, mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  2. Verfahren nach Anspruch 1, ferner aufweisend: ein Profilieren, durch die analysierende Einheit, einer maximalen Latenz; ein Aktualisieren, durch die analysierende Einheit, der maximalen Latenz auf Grundlage einer oder mehrerer verdächtiger Verbindungen; und ein Festlegen, durch die analysierende Einheit, der Auslöselatenz als größer als die maximale Latenz.
  3. Verfahren nach Anspruch 2, ferner aufweisend: ein Injizieren, durch die analysierende Einheit, des mindestens einen des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz größer als die maximale Latenz.
  4. Verfahren nach Anspruch 1, ferner aufweisend: ein Erfassen, durch eine Schutzeinheit, eines Antreffens einer externen Verbindung mit einer abnormalen Latenz, die größer als die Auslöselatenz; und ein Durchführen, durch die Schutzeinheit, mindestens eines von unter Quarantäne stellen der externen Verbindung mit der abnormalen Latenz, Zurücksetzen der externen Verbindung mit der abnormalen Latenz, Umleiten der externen Verbindung mit der abnormalen Latenz zu einem Honigtopf oder Bereitstellen weiterer Informationen für einen Ereignissammler.
  5. Computerumgesetztes Verfahren in einem Datenverarbeitungssystem aufweisend einen Prozessor und einen Arbeitsspeicher aufweisend Anweisungen, die durch den Prozessor ausgeführt werden, um den Prozessor zu veranlassen, ein System zum Netzwerkschutz umzusetzen, wobei das Verfahren aufweist: ein Bestimmen, durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, ein Melden, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; ein Bestimmen anhand einer Analyse der verdächtigen Verbindung, durch die analysierende Einheit, ob ein Angriff derzeit läuft; wenn der Angriff läuft, ein Injizieren, durch die analysierende Einheit, mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz; ein Bestimmen, durch ein DDOS-Schutzmodul, ob jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten ist; ein Bestimmen, durch ein DDOS-Schutzmodul, ob das System in der Lage ist, jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten, aufweisend; ein Bestimmen, durch das DDOS-Schutzmodul, einer letzten Zeit, zu der eine vorherige Verbindung weitergeleitet wurde; ein Vergleichen, durch das DDOS-Schutzmodul, der letzten Zeit, zu der die vorherige Verbindung weitergeleitet wurde, mit einer vorbestimmten Verzögerungszeit; wenn die letzte Zeit, zu der die vorherige Verbindung weitergeleitet wurde, die vorbestimmte Verzögerungszeit überschreitet, ein Erlauben, durch das DDOS-Schutzmodul, der Verbindung, in das Netzwerk weitergeleitet zu werden.
  6. Verfahren nach Anspruch 5, ferner aufweisend: ein Einstellen, durch das DDOS-Schutzmodul, der falschen Latenz auf Grundlage der vorbestimmten Verzögerungszeit.
  7. Computerprogrammprodukt zum Bereitstellen von Netzwerkschutz, wobei das Computerprogrammprodukt ein computerlesbares Datenspeichermedium mit damit ausgebildeten Programmanweisungen aufweist, wobei die Programmanweisungen durch einen Prozessor ausführbar sind, um den Prozessor zu veranlassen zu: einem Berechnen, durch eine analysierende Einheit eines Systems zum Netzwerkschutz, einer Latenzverteilung einer oder mehrerer Verbindungen zu jeder IP-Adresse in einem Netzwerk; einem Profilieren, durch die analysierende Einheit, einer Auslöselatenz auf Grundlage der Latenzverteilung; einem Bestimmen, durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als die Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, einem Melden, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, durch die analysierende Einheit, ob ein Angriff derzeit läuft; und wenn der Angriff läuft, einem Injizieren, durch die analysierende Einheit, mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  8. Computerprogrammprodukt nach Anspruch 7, wobei der Prozessor ferner konfiguriert ist zu: einem Profilieren, durch die analysierende Einheit, einer maximalen Latenz; einem Aktualisieren, durch die analysierende Einheit, der maximalen Latenz auf Grundlage einer oder mehrerer berichteter verdächtiger Verbindungen; und einem Festlegen, durch die analysierende Einheit, der Auslöselatenz als größer als die maximale Latenz.
  9. Computerprogrammprodukt nach Anspruch 8, wobei der Prozessor ferner konfiguriert ist zu: einem Injizieren, durch die analysierende Einheit, des mindestens einen des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz größer als die maximale Latenz.
  10. Computerprogrammprodukt nach Anspruch 7, wobei der Prozessor ferner konfiguriert ist zu: einem Erfassen eines Antreffens einer externen Verbindung mit einer abnormalen Latenz, die größer als die Auslöselatenz; und einem Durchführen mindestens eines von unter Quarantäne stellen der externen Verbindung mit der abnormalen Latenz, Zurücksetzen der externen Verbindung mit der abnormalen Latenz, Umleiten der externen Verbindung mit der abnormalen Latenz zu einem Honigtopf oder Bereitstellen weiterer Informationen für einen Ereignissammler.
  11. Computerprogrammprodukt zum Bereitstellen von Netzwerkschutz, wobei das Computerprogrammprodukt ein computerlesbares Datenspeichermedium mit damit ausgebildeten Programmanweisungen aufweist, wobei die Programmanweisungen durch einen Prozessor ausführbar sind, um den Prozessor zu veranlassen zu: einem Bestimmen, durch die analysierende Einheit, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, einem Melden, durch die analysierende Einheit, der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, durch die analysierende Einheit, ob ein Angriff derzeit läuft; wenn der Angriff läuft, einem Injizieren, durch die analysierende Einheit, mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz; einem Bestimmen, durch ein DDOS-Schutzmodul, ob jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten ist; einem Bestimmen, durch ein DDOS-Schutzmodul, ob das System in der Lage ist, jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten, aufweisend; ein Bestimmen, durch das DDOS-Schutzmodul, einer letzten Zeit, zu der eine vorherige Verbindung weitergeleitet wurde; ein Vergleichen, durch das DDOS-Schutzmodul, der letzten Zeit, zu der die vorherige Verbindung weitergeleitet wurde, mit einer vorbestimmten Verzögerungszeit; wenn die letzte Zeit, zu der die vorherige Verbindung weitergeleitet wurde, die vorbestimmte Verzögerungszeit überschreitet, ein Erlauben, durch das DDOS-Schutzmodul, der Verbindung, in das Netzwerk weitergeleitet zu werden.
  12. Computerprogrammprodukt nach Anspruch 11, wobei der Prozessor ferner konfiguriert ist zu: einem Einstellen, durch das DDOS-Schutzmodul, der falschen Latenz auf Grundlage der vorbestimmten Verzögerungszeit.
  13. System zum Bereitstellen von Netzwerkschutz, aufweisend: einen Netzwerkanalyseprozessor, konfiguriert zu: einem Berechnen einer Latenzverteilung einer oder mehrerer Verbindungen zu jeder IP-Adresse in einem Netzwerk; einem Profilieren einer Auslöselatenz auf Grundlage der Latenzverteilung; einem Bestimmen, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als die Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, einem Melden der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, ob ein Angriff derzeit läuft; und wenn der Angriff läuft, einem Injizieren mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz.
  14. System nach Anspruch 13, wobei der Netzwerkanalyseprozessor ferner konfiguriert ist zu: einem Profilieren einer maximalen Latenz; einem Aktualisieren der maximalen Latenz auf Grundlage einer oder mehrerer gemeldeter verdächtiger Verbindungen; und einem Festlegen der Auslöselatenz als größer als die maximale Latenz.
  15. System nach Anspruch 14, wobei der Netzwerkanalyseprozessor ferner konfiguriert ist zu: einem Injizieren des mindestens einen des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz größer als die maximale Latenz.
  16. System nach Anspruch 13, ferner aufweisend: einen Netzwerkschutzprozessor, konfiguriert zu: einem Erfassen eines Antreffens einer externen Verbindung mit einer abnormalen Latenz, die größer als die Auslöselatenz; und einem Durchführen mindestens eines von unter Quarantäne stellen der externen Verbindung mit der abnormalen Latenz, Zurücksetzen der externen Verbindung mit der abnormalen Latenz, Umleiten der externen Verbindung mit der abnormalen Latenz zu einem Honigtopf oder Bereitstellen weiterer Informationen für einen Ereignissammler.
  17. System zum Bereitstellen von Netzwerkschutz, aufweisend: einen Netzwerkanalyseprozessor, konfiguriert zu: einem Bestimmen, ob eine eingehende Verbindung, die ein oder mehrere Pakete aufweist, eine Latenz besitzt, die größer als eine Auslöselatenz ist; wenn die Latenz der eingehenden Verbindung größer ist als die Auslöselatenz, einem Melden der eingehenden Verbindung als eine verdächtige Verbindung; einem Bestimmen auf Grundlage einer Analyse der verdächtigen Verbindung, ob ein Angriff derzeit läuft; wenn der Angriff läuft, einem Injizieren mindestens eines des einen oder der mehreren Pakete der eingehenden Verbindung oder des einen oder der mehreren Pakete einer ausgehenden Verbindung mit einer falschen Latenz; wobei das System ferner einen DDOS-Schutzprozessor aufweist, konfiguriert zu: einem Bestimmen, ob jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten ist; einem Bestimmen, ob das System in der Lage ist, jede der einen oder mehreren Verbindungen in das Netzwerk weiterzuleiten, aufweisend: ein Bestimmen einer letzten Zeit, zu der eine vorherige Verbindung weitergeleitet wurde; ein Vergleichen der letzten Zeit, zu der die vorherige Verbindung weitergeleitet wurde, mit einer vorbestimmten Verzögerungszeit; wenn die letzte Zeit, zu der die vorherige Verbindung weitergeleitet wurde, die vorbestimmte Verzögerungszeit überschreitet, ein Erlauben der Verbindung, in das Netzwerk weitergeleitet zu werden.
  18. System nach Anspruch 17, wobei der DDOS-Schutzprozessor konfiguriert ist zu: einem Einstellen, durch das DDOS-Schutzmodul, der falschen Latenz auf Grundlage der vorbestimmten Verzögerungszeit.
DE112018004408.4T 2017-10-18 2018-10-11 Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie Active DE112018004408B4 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15/787,505 2017-10-18
US15/787,505 US10609068B2 (en) 2017-10-18 2017-10-18 Identification of attack flows in a multi-tier network topology
PCT/IB2018/057875 WO2019077444A1 (en) 2017-10-18 2018-10-11 IDENTIFICATION OF ATTACK FLOW IN MULTI-LEVEL NETWORK TOPOLOGY

Publications (2)

Publication Number Publication Date
DE112018004408T5 DE112018004408T5 (de) 2020-05-20
DE112018004408B4 true DE112018004408B4 (de) 2023-02-09

Family

ID=66097133

Family Applications (1)

Application Number Title Priority Date Filing Date
DE112018004408.4T Active DE112018004408B4 (de) 2017-10-18 2018-10-11 Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie

Country Status (6)

Country Link
US (2) US10609068B2 (de)
JP (1) JP7002647B2 (de)
CN (1) CN111226426B (de)
DE (1) DE112018004408B4 (de)
GB (1) GB2579758B (de)
WO (1) WO2019077444A1 (de)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2413699B1 (de) 2009-04-01 2019-11-20 Tearscience, Inc. Osi-apparat zur abbildung eines augentränenfilms
ES2901406T3 (es) 2013-05-03 2022-03-22 Tearscience Inc Sistemas y métodos de iluminación de párpados para imagenología de las glándulas de Meibomio para análisis de las glándulas de Meibomio
EP3712721A1 (de) * 2019-03-19 2020-09-23 Siemens Aktiengesellschaft Sicherheitsrelevante diagnosemeldungen
US20220174087A1 (en) * 2019-03-28 2022-06-02 Nec Corporation Analysis system, method, and program
CN111885034B (zh) * 2020-07-15 2022-09-13 杭州安恒信息技术股份有限公司 物联网攻击事件追踪方法、装置和计算机设备

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160127262A1 (en) 2014-10-31 2016-05-05 The Nielsen Company (Us), Llc Method and apparatus to throttle media access by web crawlers
US9762610B1 (en) 2015-10-30 2017-09-12 Palo Alto Networks, Inc. Latency-based policy activation

Family Cites Families (60)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7653706B2 (en) * 2000-07-19 2010-01-26 Akamai Technologies, Inc. Dynamic image delivery system
US9525696B2 (en) * 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US7895431B2 (en) 2004-09-10 2011-02-22 Cavium Networks, Inc. Packet queuing, scheduling and ordering
US7468981B2 (en) * 2005-02-15 2008-12-23 Cisco Technology, Inc. Clock-based replay protection
JP4602158B2 (ja) * 2005-05-25 2010-12-22 三菱電機株式会社 サーバ装置保護システム
US20090030870A1 (en) 2007-07-27 2009-01-29 Microsoft Corporation Error propagation in object-relational mapping platform
WO2009148021A1 (ja) * 2008-06-03 2009-12-10 株式会社日立製作所 パケット解析装置
WO2011109420A1 (en) * 2010-03-01 2011-09-09 Silver Tail Systems System and method for network security including detection of attacks through partner websites
US9483292B2 (en) * 2010-11-29 2016-11-01 Biocatch Ltd. Method, device, and system of differentiating between virtual machine and non-virtualized device
US8826437B2 (en) * 2010-12-14 2014-09-02 General Electric Company Intelligent system and method for mitigating cyber attacks in critical systems through controlling latency of messages in a communications network
US8789158B2 (en) * 2011-02-17 2014-07-22 Ebay Inc. Using clock drift, clock slew, and network latency to enhance machine identification
US8549645B2 (en) * 2011-10-21 2013-10-01 Mcafee, Inc. System and method for detection of denial of service attacks
US8683592B1 (en) 2011-12-30 2014-03-25 Emc Corporation Associating network and storage activities for forensic analysis
US9282116B1 (en) * 2012-09-27 2016-03-08 F5 Networks, Inc. System and method for preventing DOS attacks utilizing invalid transaction statistics
CN102882884B (zh) * 2012-10-13 2014-12-24 国家电网公司 信息化生产环境下基于蜜网的风险预警系统及方法
US10348767B1 (en) * 2013-02-26 2019-07-09 Zentera Systems, Inc. Cloud over IP session layer network
WO2014199687A1 (ja) * 2013-06-13 2014-12-18 日立オートモティブシステムズ株式会社 ネットワーク装置およびネットワークシステム
US9178899B2 (en) * 2013-08-28 2015-11-03 Bank Of America Corporation Detecting automated site scans
US9208335B2 (en) 2013-09-17 2015-12-08 Auburn University Space-time separated and jointly evolving relationship-based network access and data protection system
CA2929304C (en) * 2013-11-04 2020-08-18 Amazon Technologies, Inc. Centralized networking configuration in distributed systems
EP2879343A1 (de) * 2013-11-29 2015-06-03 Nederlandse Organisatie voor toegepast- natuurwetenschappelijk onderzoek TNO System zum Schutz gegen DDoS-Angriffe
US10091238B2 (en) * 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US9660895B1 (en) * 2014-03-04 2017-05-23 Amazon Technologies, Inc. Geolocation routing and simulation of network conditions
CN103916387B (zh) 2014-03-18 2017-06-06 汉柏科技有限公司 一种防护ddos攻击的方法及系统
US9497215B2 (en) * 2014-07-23 2016-11-15 Cisco Technology, Inc. Stealth mitigation for simulating the success of an attack
US9800592B2 (en) * 2014-08-04 2017-10-24 Microsoft Technology Licensing, Llc Data center architecture that supports attack detection and mitigation
US9912681B1 (en) * 2015-03-31 2018-03-06 Fireeye, Inc. Injection of content processing delay in an endpoint
US10084642B2 (en) * 2015-06-02 2018-09-25 ALTR Solutions, Inc. Automated sensing of network conditions for dynamically provisioning efficient VPN tunnels
US10095878B2 (en) * 2015-06-02 2018-10-09 ALTR Solutions, Inc. Internal controls engine and reporting of events generated by a network or associated applications
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) * 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US9912678B2 (en) * 2015-06-24 2018-03-06 Verisign, Inc. Techniques for automatically mitigating denial of service attacks via attack pattern matching
US9462010B1 (en) * 2015-07-07 2016-10-04 Accenture Global Services Limited Threat assessment level determination and remediation for a cloud-based multi-layer security architecture
JP6028839B1 (ja) * 2015-07-16 2016-11-24 日本電気株式会社 通信装置、通信処理方法、プログラム
US10181986B2 (en) * 2015-11-02 2019-01-15 International Business Machines Corporation Action records in virtual space
CN105490882B (zh) 2015-12-11 2018-10-23 上海大学 可抵御膨胀攻击的网络物理带宽测量方法
US10129125B2 (en) * 2015-12-18 2018-11-13 Mcafee, Llc Identifying a source device in a software-defined network
US9917775B2 (en) * 2015-12-22 2018-03-13 Mcafee, Llc Intelligent devices in a software-defined network
US10735438B2 (en) * 2016-01-06 2020-08-04 New York University System, method and computer-accessible medium for network intrusion detection
CN105743880A (zh) 2016-01-12 2016-07-06 西安科技大学 一种数据分析系统
US10701076B2 (en) * 2016-01-14 2020-06-30 Arbor Networks, Inc. Network management device at network edge for INS intrusion detection based on adjustable blacklisted sources
US9942253B2 (en) * 2016-01-15 2018-04-10 Kentlik Technologies, Inc. Network monitoring, detection, and analysis system
US10958414B2 (en) * 2016-02-23 2021-03-23 Google Llc Clock period randomization for defense against cryptographic attacks
US10296748B2 (en) * 2016-02-25 2019-05-21 Sas Institute Inc. Simulated attack generator for testing a cybersecurity system
US20170295200A1 (en) * 2016-04-11 2017-10-12 Taric Mirza Distributed Denial Of Service Attack Protection
US10305807B2 (en) * 2016-05-03 2019-05-28 Citrix Systems, Inc. Systems and methods to choose an optimal path from multiple high latency links
US20170364794A1 (en) * 2016-06-20 2017-12-21 Telefonaktiebolaget Lm Ericsson (Publ) Method for classifying the payload of encrypted traffic flows
US10397247B2 (en) * 2016-08-16 2019-08-27 International Business Machines Corporation Smart intrusion prevention policy
EP3293937A1 (de) * 2016-09-12 2018-03-14 Vectra Networks, Inc. Verfahren und system zum erkennen von bösartigen nutzdaten
US9692784B1 (en) * 2016-10-25 2017-06-27 Fortress Cyber Security, LLC Security appliance
US9756061B1 (en) * 2016-11-18 2017-09-05 Extrahop Networks, Inc. Detecting attacks using passive network monitoring
US20180159894A1 (en) * 2016-12-01 2018-06-07 Cisco Technology, Inc. Automatic threshold limit configuration for internet of things devices
US11122129B2 (en) * 2016-12-31 2021-09-14 Intel Corporation Virtual network function migration
US10757161B2 (en) * 2017-01-09 2020-08-25 Citrix Systems, Inc. Learning technique for QoS based classification and prioritization of SAAS applications
US10609054B2 (en) * 2017-04-07 2020-03-31 Keysight Technologies Singapore (Sales) Pte. Ltd. Methods, systems, and computer readable media for monitoring, adjusting, and utilizing latency associated with accessing distributed computing resources
US10904288B2 (en) * 2017-04-18 2021-01-26 Perspecta Labs Inc. Identifying and deceiving adversary nodes and maneuvers for attack deception and mitigation
US10762201B2 (en) * 2017-04-20 2020-09-01 Level Effect LLC Apparatus and method for conducting endpoint-network-monitoring
US10484418B2 (en) * 2017-05-26 2019-11-19 ShieldX Networks, Inc. Systems and methods for updating security policies for network traffic
US10862921B2 (en) * 2017-07-31 2020-12-08 Cisco Technology, Inc. Application-aware intrusion detection system
US10116671B1 (en) * 2017-09-28 2018-10-30 International Business Machines Corporation Distributed denial-of-service attack detection based on shared network flow information

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160127262A1 (en) 2014-10-31 2016-05-05 The Nielsen Company (Us), Llc Method and apparatus to throttle media access by web crawlers
US9762610B1 (en) 2015-10-30 2017-09-12 Palo Alto Networks, Inc. Latency-based policy activation

Also Published As

Publication number Publication date
CN111226426A (zh) 2020-06-02
US11122077B2 (en) 2021-09-14
US10609068B2 (en) 2020-03-31
US20200153857A1 (en) 2020-05-14
DE112018004408T5 (de) 2020-05-20
US20190116203A1 (en) 2019-04-18
GB202006906D0 (en) 2020-06-24
CN111226426B (zh) 2022-09-13
GB2579758A (en) 2020-07-01
GB2579758B (en) 2021-02-24
WO2019077444A1 (en) 2019-04-25
JP7002647B2 (ja) 2022-01-20
JP2021500640A (ja) 2021-01-07

Similar Documents

Publication Publication Date Title
DE112018004408B4 (de) Identifikation von angriffsströmen in einer mehrschichtigen netzwerktopologie
US11297088B2 (en) System and method for comprehensive data loss prevention and compliance management
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
Nikolai et al. Hypervisor-based cloud intrusion detection system
DE112014001229B4 (de) Verfahren, Datenverarbeitungssystem und Computerprogrammprodukt zum Verarbeiten einer Datenbank-Client-Anforderung
DE112010003454B4 (de) Bedrohungserkennung in einem Datenverarbeitungssystem
CN106790091B (zh) 一种云安全防护系统以及流量清洗方法
DE102016203565B4 (de) Identifizieren von bösartigen Web-Infrastrukturen
DE112011101831B4 (de) Schutz vor websiteübergreifenden Scripting-Attacken
DE112019004913T5 (de) Erfassen von unangemessener aktivität in anwesenheit von nicht authentifizierten api-anforderungen unter verwendung von künstlicher intelligenz
DE112011103273B4 (de) Verfahren, Computerprogrammprodukt und Vorrichtung zur Weitergabe von Identitäten über Anwendungsebenen unter Verwendung von kontextabhängiger Zuordnung und gesetzten Werten
DE202011111121U1 (de) System zum Erfassen komplexer Schadsoftware
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE112017000937B4 (de) Persistente Datenflusserkennungen, die verteilte Anwendungen ermöglichen
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE112014002789T5 (de) Netzwerksicherheitssystem
DE112012000279T5 (de) Ermitteln der Anfälligkeit von Computer-Software-Anwendungen gegenüber Rechteausweitungsangriffen
DE112014000578T5 (de) System und Verfahren zum Erkennen eines kompromittierten Computersystems
DE112019000594T5 (de) Injizieren von Abfangcode in einen Ausführungspfad eines ein Programm ausführenden Prozesses, um einen Abfangadressbereich zu erzeugen, um möglichen schädlichen Programmcode zu erkennen
DE102015107073A1 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks
DE102020112592A1 (de) Anwendungsverhaltensbezogene Fingerabdrücke
DE112022003368T5 (de) Verschlüsselungsüberwachungsregister und -system
EP3655876B1 (de) Ein-chip-system, verfahren zum betrieb eines ein-chip-systems und kraftfahrzeug
DE112021000455T5 (de) Deep packet analyse
EP3824612B1 (de) Penetrationstestverfahren, computerprogramm und vorrichtung zur datenverarbeitung

Legal Events

Date Code Title Description
R012 Request for examination validly filed
R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0029060000

Ipc: H04L0012260000

R079 Amendment of ipc main class

Free format text: PREVIOUS MAIN CLASS: H04L0012260000

Ipc: H04L0043000000

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R084 Declaration of willingness to licence
R020 Patent grant now final