DE60114181T2 - Prozessteuerungssystem mit intelligenter rückkopplungsschleife - Google Patents

Prozessteuerungssystem mit intelligenter rückkopplungsschleife Download PDF

Info

Publication number
DE60114181T2
DE60114181T2 DE60114181T DE60114181T DE60114181T2 DE 60114181 T2 DE60114181 T2 DE 60114181T2 DE 60114181 T DE60114181 T DE 60114181T DE 60114181 T DE60114181 T DE 60114181T DE 60114181 T2 DE60114181 T2 DE 60114181T2
Authority
DE
Germany
Prior art keywords
data
packets
information
certain
receiving device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60114181T
Other languages
English (en)
Other versions
DE60114181D1 (de
Inventor
Pittman Susan DARK
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Deep Nines Inc
Original Assignee
Deep Nines Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=24286392&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE60114181(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Deep Nines Inc filed Critical Deep Nines Inc
Publication of DE60114181D1 publication Critical patent/DE60114181D1/de
Application granted granted Critical
Publication of DE60114181T2 publication Critical patent/DE60114181T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/08Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
    • H04L43/0876Network utilisation, e.g. volume of load or congestion level
    • H04L43/0882Utilisation of link capacity
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Feedback Control In General (AREA)

Description

  • TECHNISCHES GEBIET
  • Die Erfindung betrifft Netzwerkkontrollsysteme und spezieller ein System und Verfahren zum Detektieren und Verhindern von Systemunterbrechung, was durch bestimmte Datenverkehrszustände hervorgerufen wird.
  • HINTERGRUND
  • Das Problem, dass wir ansprechen liegt in der Funktion des Internets, siehe z.B. US-A-5 787 253 oder jedem Kommunikationsnetzwerk.
  • Solche Netzwerke sind inhärent anfällig gegenüber wenigstens zwei Typen von Angriffen, welcher die Funktion von Netzwerkdiensten unterbricht oder unverfügbar macht. Zwei allgemeine Typen von Problemen werden Überflutungsangriff und Schemaangriffe (pattern attacks) genannt. Überflutungsangriffe treten typischerweise auf beim Herauffahren des Datenverkehrsvolumens in einer speziellen Internetleitung. Die Angreifer fahren das Volumen hoch durch Erzeugen von Situationen, welche zahlreiche Computer veranlassen, gleichzeitig zusammenzuwirken, um einen riesigen Informationsflut zu erzeugen, der an eine einzige Quelle gerichtet wird. Dies ist ein Vorgang, der häufig ermöglicht wird durch Verwendung von "Drittparteiopfer"-Computern, so dass die Computer an legitimen unschuldigen Orten verwendet werden in einer Vielzahl, um ein hohes Volumen und eine Vielzahl von Anfragen an einen Zielort zu erzeugen, der dem Opfers unbekannt ist.
  • Es gibt andere Typen von Volumenangriffen. Verschiedene Programme werden verwendet, um Adressen zu betrügen, was bedeutet, dass ein Angreifer Pakete erzeugt und Nachrichten in den Paketen platziert, um sie erscheinen zu lassen, als ob das Paket von einer speziellen Adresse kommt, während tatsächlich es nicht von dieser Adresse kommt. Zum Beispiel könnte Person "A" einen Brief verschicken und die Absenderadresse der Person "B" auf dem Brief platzieren. Dies klingt unschuldig genug, aber wenn es die Rückverfolgung dieser Volumenattacken angeht, wird es schwierig. Daher haben diese Angriffe nicht nur das Vermögen, dass Volumen hochzufahren sondern haben auch die Fähigkeit, sich selbst zu verstecken, was ihnen endlose Möglichkeiten gibt, dies wieder und wieder zu tun.
  • Ein allgemeiner Angriffstyp ist, was zum Teil Muster- oder Formatierungsangriff genannt wird. Ein Formatierungsangriff hat nicht so viel mit Volumen zu tun sondern hat eher mit der Qualität der Information zu tun, die über die Leitung kommt. Ein Angreifer kann ein Paket in solch einer Weise formatieren, dass es entweder 1) den Server verwirren kann, so dass der Server nicht weiß, was zu tun ist, um die Anfrage zu bedienen; oder 2) kann es den Server dazu veranlassen, in Schleifen zu gehen oder endlose Resourcen zu verschwenden, indem er versucht die einzelne Anfrage zu bedienen. Dies kann in gewisser Weise angesehen werden als Empfang einer Schwindlernachricht durch die Mail, wo der Absender vorgibt, eine hochrangige Amtsperson zu sein. Der Empfänger könnte dann in Aufregung versetzt werden und versuchen, Information zusammen mit einer Antwort auf die Schwindleranfrage zu bekommen, tatsächlich aber war die Anfrage keineswegs offiziell. Falsch gebildete Pakete können dieselbe Reaktion hervorrufen. Der Empfänger ist nicht in der Lage die "Glaubwürdigkeit" der Anfrage zu bestimmen oder ist nicht in der Lage einen Schlüsselteil des Paketes zu validieren oder zu erkennen, wobei eine "Verwirrungszustands"-Schleife erzeugt wird.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Diese und andere Gegenstände, Merkmale und technische Vorteile werden erzielt durch ein System und Verfahren, welches Angriffe an einem Ort in einem Kommunikationsnetzwerk detektiert.
  • Ein Konzept der Erfindung ist es, eine intelligente Echoschleife zu verwenden, die inhärente Empfindlichkeit des Internets erkennt und arbeitet, um bestimmte eingehende oder ausgehende Datenpakete zurückzuleiten oder zu blockieren. Das erfinderische System und Verfahren in einer Ausführung ist angeordnet am Perimeter des Systems, das zu schützen ist und ermöglicht die Installation von Hardware und Softwarekonfigurationen, um sowohl Volumenangriffe als auch Formatierungsangriffe anzugehen. Das System kontrolliert die Datenmenge, welcher erlaubt wird, einzufließen (oder auszufließen) und kontrolliert die Qualität der Daten, welche zu den Servern laufen.
  • Das System und Verfahren erkennt Probleme in den frühen Zuständen, wenn sie beginnen aufzutreten und kommuniziert mit einem Systemrouter, um im Wesentlichen den Fluss jeglicher Kommunikation in ein geschütztes System hinein oder heraus zu kontrollieren (wie eine Eingangstür eines Gebäudes). Das System erkennt Nachrichten, welche adressiert sind für den geschützten Ort und lässt nur bestimmte Daten hinein. Die zugelassenen Daten müssen bestimmte Tests durchlaufen. Alternativ werden alle Daten hineingelassen bis ein "Alarm"-Zustand detektiert wird und dann werden Daten blockiert. Die blockierten Daten können allgemein oder herkunftsortspezifisch sein.
  • Das System wird angeordnet, um dynamisches "Redlining" zuzulassen (ein vorbestimmtes Niveau von Datenflusszustand, welcher eine Systemüberlastung hervorruft) und die Betreiberkontrolle von Variablen, welche verwendet werden, um Redlinesituationen zu checken. Redlinesituationen können kundenspezifisch angepasst werden für jeden Ort am Anwenderende und für die Server des Endanwenders u.a. abhängig von der Kapazität dieser Server.
  • Man bemerke auch, dass die physikalischen Hardwareresourcen an verschiedenen Orten innerhalb eines Landes oder an verschiedenen Teilen in der Welt angeordnet sein können und verschiedene Kommunikationswege verwendet werden können, um den Verkehr zu vervollständigen, insbesondere wenn der Verkehr als legitim vermutet wird. Dies bedeutet, dass der Kunde den Verkehr zurückleiten kann zu wechselnden Orten, um den Durchsatz und die Systemleistung zu optimieren. Auf diese Weise kann hoher Verkehr über das Netzwerk verteilt werden und selbst zu einem robusteren System (schneller, passender, sicherer, usw.) zur Handhabung geleitet werden. Das System (oder Systeme), an welches Verkehr zurückgeleitet wird, kann unter einer Vielzahl von Unternehmen geteilt werden und kann als ein Backup für solche Unternehmen dienen.
  • Ein Merkmal der Erfindung ist es, einem Enduser mit dem Vermögen zu versehen, die Logistik seines Schutzes zu überwachen und zu kontrollieren, d.h. wo sie physikalisch angeordnet ist.
  • Ein anderes Merkmal der Erfindung ist es, Vorwarnung bei einer imminenten Zusammenbruchsituation zu ergeben, was dem Anwender des Ortes ermöglicht, Handlungen vorzunehmen, um Ausfallzeiten zu vermeiden.
  • Eines der Merkmale der Erfindung ist es, eine schnelle Verbreitung von Angriffserkennung zu ergeben und Wiederherstellungslösungen zu liefern, wenn immer ein neuer Angriff erkannt wird.
  • Ein anderes wichtiges Merkmal der Erfindung ist es, dass Mustererkennung verwendet wird, um andere Ausrüstung online schnell zum Minimieren der Ausfallzeit des Internets zu bringen.
  • Obiges hat eher grob Merkmale und technische Vorteile der vorliegenden Erfindung skizziert, damit die detaillierte Beschreibung der Erfindung, welche folgt, besser verstanden werden kann. Zusätzliche Merkmale und Vorteile der Erfindung werden hiernach beschrieben, welche den Gegenstand der Ansprüche der Erfindung bilden. Es sollte von Fachleuten geschätzt werden, dass die Planung und spezifische Ausführung, welche offenbart sind, direkt als Basis zur Modifikation oder zum Planen anderer Strukturen zum Ausführen derselben Zwecke der vorliegenden Erfindung verwendet werden können. Es sollte auch von Fachleuten bemerkt werden, dass solche äquivalenten Konstruktionen nicht von der Idee und Reichweite der Erfindung wie in den anliegenden Ansprüchen dargelegt, wegführen. Neue Merkmale, welche als charakteristisch für die Erfindung vermutet werden, sowohl für ihre Organisation als auch Arbeitsverfahren, zusammen mit anderen Gegenständen und Vorteilen werden besser verstanden aus der folgenden Beschreibung, wenn in Zusammenhang mit den anliegenden Figuren betrachtet. Es wird ausdrücklich hingegen verstanden, dass jede der Figuren zum Zwecke der Veranschaulichung und Beschreibung angegeben ist und nicht als Definition der Grenzen der vorliegenden Erfindung vorgesehen ist.
  • KURZE BESCHREIBUNG DER ZEICHNUNGEN
  • Für ein vollständigeres Verständnis der vorliegenden Erfindung und Vorteile davon wird nun Bezug genommen auf die folgenden Beschreibungen, die zusammengenommen sind mit der begleitenden Zeichnung, in welcher:
  • 1 eine Gesamtansicht eines Netzwerks zeigt, das die Erfindung verwendet; und
  • 2 Details der Konfiguration und/oder Detektions-/Benachrichtigungsservern zeigt.
  • DETAILLIERTE BESCHREIBUNG
  • Jetzt zu 1 übergehend zeigt System 10 einen Teil von Internetbetrieb 11 (oder jedem Kommunikationsnetzwerk), wo Daten in oder aus einem Internetserviceprovider (ISP) 12 fließen. Daten vom Internet 11 würden typischerweise einen Adressort, welcher durch einen Router wie einen Gatewayrouter (bzw. Gatewayverteiler) 13 übersetzt würde. In einer typischen Situation haben die Vorrichtungen, welche aus dem Internet zugänglich sind, welche in einem Datenspeicher 101 angeordnet sind, Adressen wie "www.anything." Diese Adresse wird übersetzt durch Gatewayrouter 13, so dass Anfragen an "www.anything" gerichtet, an Prozessor 101-1 im Datenspeicher 101 über Gateway 14 und Firewall 15 geleitet werden.
  • Wir bemerken, dass während das Netzwerk als das Internet festgelegt ist, jedes Kommunikationssystem arbeiten wird, vorausgesetzt, dass es einen Mechanismus an irgendeinem Punkt des Netzwerkes zum Zurücksenden von Kommunikationsverbindungen beim Leiten aus einer externen Quelle gibt. Im Internet wie es heute bekannt ist, werden Daten in Paketen verteilt, wobei jedes Paket einen Teil einer Datennachricht enthält und jedes Paket einen Adressteil sowie die Nachricht und ggf. andere Teile enthält. Router entlang des Netzwerkes dienen dazu, jedes Paket an den richtigen Ort zu leiten. Das Internet ist ein temporäres Netzwerk in welchem ein Strom von Paketen von einem Ort zum anderen nicht entlang eines bestimmten Weges fließen muss, sondern tatsächlich eine Vielzahl verschiedener Wege zwischen Orten nehmen kann. Oft hingegen können vollständige Datenströme den gleichen Weg nehmen, die alle vom Verkehr und anderen Bedingungen abhängen wie kontrolliert durch Netzwerkverteiler. Das Internet ist ein wechselndes Netzwerk und die Erfindung, die hier diskutiert ist, ist nicht begrenzt auf das Internet und es wird erwartet, dass, wenn das Internet wechselt, es die genaue Implementierung dieser Erfindung ebenfalls tun wird; hingegen werden die beschriebenen und beanspruchten Konzepte hierin verstanden als Fachleute so anzuleiten, dass sie solche Konzepte an eine sich entwickelnden Technologie anpassen können ohne den Geist und Bereich dieser Erfindung zu verlassen.
  • Es sollte weiterhin angemerkt werden, dass die Leitungsgeschwindigkeiten (1,544 Mbit zwischen Gatewayrouter 13 und Kundengateway 14 und 10 Mbit zwischen Kundengateway 14 Firewall 15) nur zur Veranschaulichung sind und jegliche gewünschte Geschwindigkeiten verwendet werden können. Bemerke auch, dass Kundengateway 14 optional ist und nicht in einigen Konfigurationen vorliegen kann und Router 13 direkt zur Firewall 15 verbinden kann oder wenn es keine Firewall gibt, dann direkt zum Server 21.
  • Wie hiernach diskutiert werden wird, ist Detektions/Benachrichtigungsserver 21 der Kommunikationsweg zwischen Firewall 15, welcher jeder bekannte Firewall wie ein UNIX basierter Computer und Datenspeicher 101 zum Zwecke des Schützens des Systems vor ungewünschten Angriffen anzeigen kann.
  • Das Verfahren wird hiernach detaillierter in Bezug auf 2 diskutiert.
  • Fortfahrend in 1 kann das private Netzwerk 103 (welches ein internes Firmennetzwerk ist) eine Anzahl von Terminals bzw. Endgeräten, S1–SN, Prozessoren 103-2, 103-N und Speichervorrichtungen wie 103-1 und jede andere Anzahl von Vorrichtungen umfassen, welche miteinander in einem internen Privatnetzwerk wechselwirken oder welche Firewall 15 verwenden, um in das Internet 11 in einer wohlbekannten Weise zu gehen.
  • Die eingehenden Pakete werden verteilt vom Gatewayrouter 13 (oder ggf. von einem drahtlosen Netzwerk (nicht gezeigt)) an Firewall 15, gehen dann zu Detektions-/Benachrichtigungsserver 21, welcher (wie es hiernach detailliert werden wird) die Qualität und Menge von eingehenden Anfragen erforscht sowie andere Faktoren und bestimmt, ob eine "Redline" definiert als ein Zustand (wo ungewöhnliche Handlung ausgeführt werden sollte, um die Lebensfähigkeit des Kommunikationssystems zu schützen) oder andere potentielle Problemsituationen vorliegen. Wenn ein Problem vorliegt sendet Detektions-/Benachrichtigungsserver 21 einen Befehl über Modem 16 zu Modem 17 an Konfigurationsserver 22, um den Server 22 anzuweisen, eine Handlung in Bezug auf Gatewayrouter 13 vorzunehmen. Diese Handlung dient dazu, Angriffe durch Herunterdrosseln des angreifenden Volumens durch Stoppen oder Verbinden von Paketfluss durch Router 13 anzugehen. Zusätzlich beschriftet Detektions-/Benachrichtigungsserver 21 die Qualität von Daten oder die Formationstypangriffe durch Untersuchen des Formats der eingehenden Daten und bestimmen, ob das Format für die Prozessoren im Datenspeicher 101 verträglich ist. Man bemerke, das Modem 16 und 17 im Wesentlichen als Bodenkabel-Telekommunikationsmodem gezeigt sind, aber jede Form von Kommunikation sein könnten oder Kombinationen verwendet werden können, einschließlich drahtloser, einem privaten Internet unabhängigen Unternetzwerk oder sogar das Internet selbst. Da das Internet an diesem Zeitpunkt überladen werden könnten und ohne das "spezielle" außer Kraft gesetzte Daten verwendet werden können, würde hingegen Kommunikation außerhalb des Internets (wie z.B. eine Telefonverbindung oder eine drahtlose Seitennachricht) eingesetzt werden. Während die Kommunikation als zum Gatewayrouter 13 gehend gezeigt wird, welcher der nächste am Kundengateway ist, könnten auch Kommunikationen (entweder gleichzeitig oder seriell) an mehrere entfernte Router gesendet werden, um den Vorgang der Neuordnung der gesamten Netzwerkstruktur zu starten, so dass die Information, welche an den "www.anything" gekommen wäre oder an jede andere Internetadresse, die mit diesen Kunden verbunden ist, vollständig oder teilweise zu irgendeinem anderen entfernten Ort geleitet würde. Der wechselnde Ort kann ein Backupprozessor an einem entfernten Ort oder ein Problembearbeitungszentrum sein, wodurch Telekommunikationskapazität an Ort 101 freigesetzt wird.
  • Nun in Bezug auf 2 wird ein System 20 gezeigt, welches im Wesentlichen aus Detektions-/Benachrichtigungsserver 21 und Konfigurationsserver 22 besteht. Informationspakete kommen in den Detektions-/Benachrichtigungsserver aus Firewall 15 über Kommunikationsschnittstelle 210 und werden abgefangen durch diese Schnittstelle und in einen Mikroprozessor 211 eingegeben. Mikroprozessor 211 lädt gleichzeitig Programme aus dem RAM 212, welche im Plattenspeicher 213 gespeichert waren. Diese Programme sind das, was logisch die eingehenden Daten in dem RAM abfängt. Die Programme arbeiten, um eingehende Daten zu untersuchen und machen Bestimmungen, ob die Daten ohne Kommentar weiterzuleiten sind; leiten die Daten weiter und führen andere Einwirkungen aus oder blockieren den Datenstrom. Einige der anderen Einwirkungen, die genommen werden können, umfassen aber sind nicht begrenzt auf zählen von Paketen gegenüber der Zeit, zählen von Paketen gegenüber der Quelle, einleiten von Kommunikation mit Konfigurationsserver 22; Erkennen von schlecht gebildeten Paketen; erkennen von verdächtigen oder schädlichen Verkehrsmuster; auslösen von Kommunikationen mit Datenservern 101-1, 101-2 und dergleichen und auslösen verschiedener Notifikationsfunktionen wie Pager- und Handybenachrichtigung.
  • Daten werden angesammelt und gehalten in einem Plattenspeicher 213 in Verbindung mit RAM 212. Wenn kein Problem vorliegt, wird das Paket über RAM 212 zu Kommunikationsschnittstelle 215 über Port 101 zu Servern weitergeleitet, wo deren Fragen angehängt werden durch Server im Datenspeicher 101. Wenn eine Problemsituation vorzuliegen scheint, führt Server 21 eine oder mehrere Handlungen aus, abhängend vom Zustand. Wenn der Zustand so ist, dass eingehende Daten unrichtig formatiert sind, dann werden die Daten nicht über Datenspeicher 101 weitergeleitet sondern werden entweder gehalten, zurückgeschickt oder gelöscht und die Tatsache davon wird im Plattenspeicher als zukünftige Referenz festgehalten werden. Aufzeichnungen werden beibehalten für jegliche vorgenommene Handlung und Problemaktivitäten. Wenn einerseits ein Redlinevorgang erkannt wird wie ein Volumenfehler oder ein Überschwemmungszustand, dann wird Mikroprozessor 211 angewiesen, Software aus Plattenspeicher 213 zu laden, der Kommunikationsschnittstelle 214 aktivieren wird, wodurch die Verknüpfung durch Modem 16 und 17 aktiviert wird, um ein Kommando zu Konfigurationsserver 22 zu senden. Das Kommando läuft dann durch Schrittstelle 220, um Programme zu aktivieren, die im RAM 222 oder Speicher 223 gespeichert sind unter Kontrolle von Mikroprozessor 221. Dies aktiviert im Gegenzug Kommunikationsschnittstelle 224 an Gatewayrouter 13, um den Router zu veranlassen, eine Handlung auszuführen, um den Betrieb herunterzudrosseln, welcher beginnen wird, den Überschwemmungsvorgang zu begrenzen, um zu helfen, die Redlinesituation zu lösen.
  • Die Module, die in Speicher 213 vorliegen, sind 218-1 über 218-N und stellen die Softwaremodule dar, welche die Logik des Systems umfassen. Durch Wechseln der Programme, Parameter und Algorithmen im Speicher 213 kann der Systemvorgang gewechselt und für verschiedene Angriffstypen aufgerüstet werden. Diese Systemänderungen, geladen auf Platte 213 können manuell (aus Station 24) oder ferngesteuert über das Internet oder über jeden anderen Weg sein wie drahtlose oder direkte Verbindungen (nicht gezeigt) und können zusammen mit Angriffen an anderen Systemen auftreten. Workstation 24 arbeitet als Benutzerschnittstelle in das Vorgangskontrollsystem und ermöglicht es Technikern, die Module im Plattenspeicher 213 zu aktivieren, Dinge zu tun wie die Aufzeichnungen über Drucker 23 anzusehen und zu drucken, um verschiedene Einstellungen anzusprechen, welche die Parameter umfassen, die diese Module aktivieren. Diese Parameter sind einige der Programmfaktoren, die den Mikroprozessor anweisen, was zu tun ist, was letztlich zu intelligenten Handlungen von Datenspeicher 101, Detektions-/Benachrichtigungsserver 21 oder Konfigurationsserver 22 führen wird. All diese getrennten Module arbeiten zusammen, um miteinander in logischer Reihenfolge zu aktivieren wie hiernach beschrieben werden wird.
  • Nun auf 1 zurückkommend, haben eingehende Datenpakete, die zu Detektions/Benachrichtigungsserver 21 kommen in ihnen Anfragen und diese Anfragen sind Anfragen von Prozessoren im Datenspeicherbereich 101. Es ist die Bearbeitung dieser Anfragen, die tatsächlich den größten Zeitbedarf in dem Verfahren von 1 hat, wenn immer etwas anfängt, schief zu laufen, ist es gewöhnlich deshalb, weil Prozessoren im Datenspeicher 101 überladen werden entweder durch einen Volumenangriff oder durch eine Formatsituation. Die Menge an Zeit, die der Detektions-/Benachrichtigungsserver 21 braucht, um mit eingehenden Nachrichten umzugehen, ist relativ unbedeutend in Bezug zur Bearbeitungszeit von Datenspeicher 101, so dass wenig Verzögerung unwichtig ist.
  • Daten, die in Server 21 von Firewall 15 fließen, können gepuffert werden für einen Zeitraum, um Mikroprozessor 211 zu erlauben, die Daten zu bearbeiten. Es wird hingegen erwartet, dass solches Puffern nicht erforderlich ist und, dass die Daten, wenn gültig, direkt ohne wesentlichen Zeitverlust durchgeleitet werden. Wenn die Daten als ungültig bestimmt werden, werden die Daten fallen gelassen (d.h. entfernt aus dem Datenverkehr insgesamt), zerstört, zurückgeschickt oder andernfalls bearbeitet in Übereinstimmung mit den erfinderischen Konzepten. Man bemerke auch, dass nicht jedes Paket überwacht werden muss und der Überwachungsgrad dynamisch herauf- oder heruntergefahren werden kann, abhängig von den gefundenen Ergebnissen. Wenn ein Angriff aufgespürt wird, kann daher die Überwachung erhöht werden und der eingehende Gateway (wenn gewünscht) verlangsamt werden, um Datensicherung zuzulassen
    System 10 hat verschiedene gleichzeitige Vorgänge am laufen, welche nun detailliert beschrieben werden. Diese gleichzeitigen Vorgänge sind:
  • Figure 00110001
  • Das System hat auch abrufbare Vorgänge wie folgt:
  • Figure 00110002
  • Die folgenden Verfahren sind betreibbar im Konfigurationsserver 22:
  • Systemanfahrvorgang (SSP)
    • 1. Startet alle gleichlaufenden Vorgänge und zeichnet Informationen über die Vorgänge auf wie verwendete Sockets bzw. Steckplätze, usw.
    • 2. Erstellt einen Informationsblock im Speicher für Vorgang CDM. Der Informationsblock enthält alle notwendige Verfahrensinformation.
    • 3. Beendet den Vorgang.
  • Gleichlaufende Information mit dem Detektions-/Benachrichtigungsserver (D/N)
    • 1. Wenn ein Informationsblock vom Vorgang SSP empfangen wird, wird er an D/N-Server 21 (1) über Modems 17 und 16 geschickt.
    • 2. Konfigurationsserver 22 hört danach Kommunikation vom D/N-Server. Wenn ein "Blockieren", "Entblockieren" oder ähnliches Kommando für eine Verteilerwirkung die Nachricht ist, wird ein geeigneter Kommandoblock für das Verfahren CR hergestellt. Wenn eine "Anfahr"-Nachricht empfangen wird, wird die Information über den D/N-Server aufgezeichnet. Aufzeichnungswirkung.
    • 3. Konfigurationsserver 22 hört auf Bestätigungsanfragen von dem D/N-Server. Die Anfragen werden gemäß einem spezifischen Zeitfenster gesendet. Wenn Bestätigungen nicht empfangen werden oder nur teilweise empfangen werden, baut der Konfigurationsserver einen geeigneten Block für Vorgang NF auf und startet geeignete Aktionen. Aufzeichnungswirkung.
    • 4. Der Server kompiliert und sendet Bestätigungen aus allen angefragten Verfahren an Detektions-/Benachrichtigungsserver.
  • Gleichlaufender Vorgang CR (Kommunikation mit Routern)
    • 1. Der Konfigurationsserver hört auf einen Kommandoblock von Vorgang CDM und sendet das Kommando an den Router (die Router) und Registriert die Aktivität.
    • 2. Der Server empfängt optional Bestätigungen von dem Gatewayrouter(n) 13. Wenn solche Bestätigungen wenn erwartet abwesend sind, erzeugt der Konfigurationsserver eine Aufzeichnung für Verfahren NF und nimmt andere geeignete Handlungen vor und Registriert die Aktivität.
  • Gleichläufiges Verfahren SA (Systemadministration)
    • 1. Anzeigen von Menü und Informationsnachrichten; Akzeptieren einer Betreibereingabe.
    • 2. Prüft Zustände, welche eine Betreiberantwort erfordern wie: die Systemfilegrößen sind kritisch geworden; wichtige Parameter sind zurückgesetzt worden; eine Bestätigung wird benötigt, Zeitverzögerungen (nach außen und innen gerichtet) sind außerhalb einer festgelegten (oder variablen) Grenze.
    • 3. Das System wird (unter anderen Funktionen) Aufzeichnungen anzeigen oder drucken, Daten leeren oder archivieren und Systeminformation festsetzen wie Benachrichtigungsnummern, autorisierte Nummern und Detektions/Benachrichtigungsserver ansprechen und ggf. andere Ausrüstung.
  • Gleichläufiger Vorgang NF (Benachrichtigungsfunktionen)
    • 1. Hört Befehle von anderen Vorgängen. Wenn solche Befehle empfangen werden, ausführen geeigneter Wirkungen auf die Kommandos wie aktivieren von Seiten, aktivieren von Anrufen an Telefone und aktivieren anderer Alarmmechanismen.
  • Die folgenden Vorgänge sind betreibbar im Detektions/Benachrichtigungsserver 21:
  • Systemanfahrvorgang (SSP)
    • 1. Startet alle gleichläufigen Vorgänge und zeichnet Information über die Vorgänge auf wie verwendete Sockets usw.
    • 2. Baut einen Informationsblock für Vorgang CCS mit sämtlicher Vorgangsinformation auf. Registrieraktivität.
    • 3. Beendet Vorgang.
  • Gleichlaufender Vorgang Paketformat- und Mustererkennung (FPR)
    • 1. Prüft die Konfigurationsserver (den Konfigurationsserver). Wenn einer off-line ist, wird eine Benachrichtigung für Vorgang NF erzeugt und für einen "Redline"-Zustand (kritisch) beim Datenverkehrsfluss geprüft; wenn einer vorliegt, wird geeignete Einwirkung vorgenommen wie fallenlassen des eingehenden Pakets. Registrieraktivität.
    • 2. Überprüft das Format eingehender Pakete. Nimmt geeignete Einwirkung vor, wenn der Bestätigungstest versagt, wie Fallenlassen des Pakets oder zurückleiten des Pakets an einen anderen Ort.
    • 3. Prüft Pakete für Verkehrsmusterverletzungen. Wenn der Test versagt, wird es die Ernstheit bemerken. Wenn ein "Redline"-Zustand vorliegt, nimmt der Server eine geeignete Einwirkung vor wie Fallenlassen des Pakets oder erzeugen eines Befehls an den CCS-Vorgang, spezifischen Verkehr zu blockieren. Vorgang NF kann auch aufgerufen werden. Registrieraktivität.
    • 4. Wenn ein Paket nicht fallengelassen wird, wird es zum Vorgang P.S.C. geleitet.
  • Gleichlaufender Vorgang Paket- und Ursprungszähler (P.S.C.)
    • 1. Aktualisiert Verkehrsansammlungen mit Information von eingehendem Verkehr und zählt Gesamtpakete pro Zeitfenster. Pakete werden auch gemäß Quelle, Zeitfenster, Typ und jeden anderen gewünschten Parametern Registriert.
    • 2. Setzt einen Zeiger, wenn eine "Redline" oder ein Warnniveau erreicht worden ist. Wenn ein "Redline"-Zustand vorliegt, wird ein Befehlspaket für Vorgänge CCS und NF erzeugt.
    • 3. Das Paket wird an Verfahren CDS weitergegeben.
  • Gleichlaufender Vorgang Kommunikation mit Konfigurationsserver(n) (CCS)
    • 1. Hört auf Kommunikation von Konfigurationsservern. Wenn eine "Anfahr"-Nachricht empfangen wird, zeichnet es die Information über die Konfigurationsvorgänge auf. Wenn Bestätigungsnachrichten nicht innerhalb eines spezifischen Zeitfensters empfangen worden sind, wird eine Aufzeichnung erzeugt für Vorgang NF und andere geeignete Handlung vorgenommen.
    • 2. Wenn eine Bestätigungsnachricht von einem Konfigurationsserver empfangen wird, wird eine Bestätigung für jedes gleichlaufende Verfahren erzeugt am Detektions/Benachrichtigungsserver und diese Bestätigung wird an den Konfigurationsserver gesendet. Der Server kompiliert Anfragen zur Bestätigung für jeden gleichlaufenden Vorgang und sendet sie.
    • 3. Der "Abhör"-Vorgang wird aktiviert, um geeignete Anworten vom Konfigurationsserver(n) zu erwarten.
    • 4. Wenn eine Nachricht aus dem Vorgang FPR empfangen wird, wird ein geeigneter Befehlsblock aufgebaut und zum Konfigurationsserver geschickt. Eine Aufzeichnung für Vorgang NF wird hergestellt. Registriere Aktivität.
    • 5. Prüft die Zeitüberschreitung bei einer "Verkehrsblockier"-Situation für verschiedene Quellen. Wenn erforderlich baut der Server ein "Entblockier"-Kommando auf und sendet es zu den Konfigurationsservern. Registrieraktivität.
    • 6. Wenn ein Informationsblock vom Vorgang S.S.P. empfangen wird, wird diese Information zum Konfigurationsserver geschickt.
  • Gleichlaufende Vorgangsbenachrichtigungsfunktionen (NF)
    • 1. Der Server hört auf Befehle von anderen Vorgängen. Wenn ein Befehl empfangen wird, führt der Server Handlungen aus, die geeignet sind für den Befehl wie aktivieren von Pagern; aktivieren von Telefonanrufen und/oder aktivieren anderer Alarmmechanismen. Registrieraktivität.
  • Gleichlaufende Vorgangskommunikation mit Datenserver(n) (CDS)
    • 1. Wenn immer ein Paket von einem anderen gleichlaufenden Vorgang empfangen worden ist, wird es zum derzeitigen auslaufenden Kommunikationsport geschickt;
    • 2. der Server hört Nachrichten von den Datenserver(n) ab. Wenn solche Nachrichten empfangen werden, werden Zustandsparameter durch den P.S.C.-Vorgang zurückgesetzt, um "Redline"- oder andere Warnzustände auf Basis von Verkehrsniveaus einzustellen;
    • 3. Registriert Aktivität.
  • Gleichläufiger Vorgangssystemadministration (SA)
    • 1. Zeigt ein Menü und Informationsnachrichten und akzeptiert Betreibereingaben;
    • 2. prüft auf Zustände, die Betreiberantwort erfordern wie wenn Systemdateigrößen kritisch geworden sind, wichtige Parameter zurückgesetzt worden sind und eine Bestätigung benötigt wird.
    • 3. Ergibt eine Vielzahl von Funktionen wie Anzeige- oder Druckaufzeichnungen; leeren oder archivieren von Daten; setzt Systeminformation fest wie Benachrichtigungsnummern, autorisierte Nummern und Adressen von Konfigurationsservern und dergleichen.
  • Der folgende Vorgang ist betreibbar im Datenspeicher (Webservern) 101:
  • Gleichlaufiender Vorgang Kommunikation mit Detektions/Benachrichtigungsserver (D/N-Server)
  • 1. Sammelt Statistik- und/oder Benachrichtigungsnachrichten, einschließlich Warnungen und sendet diese an den (die) D/N-Server.
  • Wenn die Erfindung beschrieben worden ist zum Betrieb mit Hinblick auf ein Endgerät oder Knotenpunkt in einem Kommunikationsnetzwerk, können die Konzepte dieser Erfindung an einen oder mehreren Netzwerkknoten oder -verteilerpunkten über das Netzwerk verwendet werden, um dabei zu helfen, Angriffe von entweder dem Netzwerk oder Endgeräte, die mit dem Netzwerk verbunden sind, zu verhindern.
  • Man bemerke auch, dass es viele verschiedene Verfahren zum Bestimmen einer Variation von einem "Normal"-Zustand geben kann. Wie diskutiert kann eine Grundlinie von erwartetem Betrieb in der Datenbank entweder auf einem Fenster auf Zeitbasis wie einer Minute, Stunde, Tag usw. beibehalten werden oder es kann eine Vorhersage von erwartetem Verhalten basierend auf vorheriger Erfahrung, erwartete Erfahrung geben (entweder handgesteuert oder automatisch entwickelt basierend auf Parametern, die dem System verfügbar sind) oder durch Laden bestimmter "Auslöser" (wie Virusauslöser, Codewörter, Aktivitätsmustern oder dergleichen). Beispielsweise kann relevante Information für diese Bestimmung umfassen: die Anzahl eingehender Pakete in einem bestimmten Zeitintervall; der Typ von Anfragen, die in bestimmten Paketen enthalten sind; die Natur des Informationsgehalts der Pakete; die Sendeidentität der Pakete; das Antwortziel der Pakete; die Verkehrsmuster, die durch die Pakete aus spezifischen Quellen gebildet sind; die Anzahl ankommender Pakete aus spezifischen Quellen; bestimmte Daten, die in einer oder mehreren Nachrichten enthalten sind; und der Typ von Datei, der an eine Nachricht angehängt ist. Wenn ein spezielles Stück an Code oder Namensverlängerung oder Anhang vermutet wird als ein Problem, würde daher das System alle (oder ein ausgewähltes Unterset) der Daten filtern, die ankommen, um zu bestimmen, ob der Problemcode (Name, Verlängerung, Anhang, usw.) vorliegt.
  • Das System und Verfahren werden entworfen, um Handlungen vorzunehmen abhängig von der Variation eines ausgewählten oder überwachten "Normal"-Zustandes. Die Wirkung kann abgestuft werden, um für den Angriff zu passen, oder könnte dieselbe sein unabhängig von der Ernstheit. Jede Anzahl von Verfahren kann verwendet werden, um aktuelles gewöhnliches Verhalten des Firmensystems gegenüber erwartetem Verhalten zu vergleichen, oder Datenstrom hin (oder heraus) dem Unternehmenssystem gegen ein Muster von Verhalten zu vergleichen, das als potentielles Problem identifiziert worden ist.
  • Obwohl die vorliegende Erfindung und ihre Vorteile im Detail beschrieben worden sind, sollte es verstanden werden, dass verschiedene Änderungen, Ersetzungen und Wechsel hierin vorgenommen werden können, ohne den Rahmen der Erfindung zu verlassen, wie er in den anliegenden Ansprüchen definiert ist.

Claims (37)

  1. Kommunikationssystem, in welchem Nachrichtenpakete von irgendeiner von einer Vielzahl von Sendevorrichtungen zu einer oder mehreren Vorrichtungen geleitetet werden können, wobei die Empfangsvorrichtungen zum Empfang solcher Nachrichtenpakete und zur Antwort darauf ausgelegt sind, wobei das System umfasst: ein Netzwerk, über welches jedes Paket wandern kann, wobei das Netzwerk zeitweise für jedes Paket verfügbar ist und gemäß der in jedem solchen Paket enthaltenen Adressinformation definiert, wobei das Paket entlang des temporären Netzwerks durch Verteiler (Router) verteilt wird, die unter partieller Kontrolle von Paketadressinformation arbeiten; wenigstens eine Empfangsvorrichtung, die in Verbindung mit wenigstens einem Gatewayrouter (Eingangsverteiler) angeordnet ist, wobei der Gatewayrouter dazu dient, nur solche Pakete zu leiten, die die Adressinformation der verbundenen Empfangsvorrichtung an die verbundene Empfangsvorrichtung enthält; ein Überwachungssystem zum Betreiben in Verbindung mit der Empfangsvorrichtung zum Sammeln von Informationen, die zum Betrieb der Empfangsvorrichtung gehören; und ein Echonetzwerk zum Modifizieren der Betriebscharakteristiken des Gatewayrouters, abhängig von der gesammelten Information.
  2. Die Erfindung nach Anspruch, 1, worin die gesammelte Information gewählt ist aus der Liste, welche enthält: eine Anzahl ankommender Pakete in einem bestimmten Zeitintervall; der Typ von Anfragen, der in vorgegebenen Paketen enthalten ist; die Natur des Informationsgehalts der Pakete Sendeidentität der Pakete; das Antwortziel der Pakete; die durch die Pakete aus verschiedenen Quellen gebildeten Verkehrsmuster; die Anzahl ankommender Pakete von spezifischen Quellen; bestimmte Daten, die eine oder mehrere Nachrichten enthalten; und der an eine Nachricht angehängte Dateityp.
  3. Erfindung nach Anspruch 1, worin das Echonetzwerk eingerichtet ist, um die gesammelte Information mit bestimmten voretablierten Kriterien zu vergleichen und Grenzen zu setzen und worin die Betriebscharakteristiken des Gatewayrouters in Übereinstimmung mit den gesetzten Grenzen modifiziert sind.
  4. Erfindung nach Anspruch 3, worin die Grenzen dynamisch veränderbar sind.
  5. Erfindung nach Anspruch 3, worin die Grenzen manuell verändert werden.
  6. Erfindung nach Anspruch 1, worin die gesammelte Information mit Statistiken verglichen wird, die aus der Empfangsvorrichtung über einen bestimmten Zeitraum erzeugt werden.
  7. Erfindung nach Anspruch 6, worin die Statistiken gesammelt werden, um normales Empfangsvorrichtungs-Verhalten über einen bestimmten Zeitraum zu reflektieren.
  8. Erfindung nach Anspruch 1, worin die gesammelte Information dynamisch veränderbar ist.
  9. Erfindung nach Anspruch 1, worin das Änderungsverhalten des Gatewayrouters ausgewählt ist aus einem oder mehreren aus der folgenden Liste: Blockieren bestimmter Pakete, daran die Empfangsvorrichtung zu erreichen. Blockieren aller Pakete daran, die Empfangsvorrichtung zu erreichen; Rückverteilung bestimmter Pakete zu einer anderen Empfangsvorrichtung; Modifizieren des Informationsgehalts von bestimmten der Pakete; Entblockieren von bestimmten hierzu blockierten Paketen auf der Basis bestimmter Parameter und Modifizieren des Informationsgehalts von bestimmten der Pakete.
  10. Erfindung nach Anspruch 1, worin das Echonetzwerk eingerichtet ist, um Informationen zu speichern, die zu den Empfangenen der Pakete gehören.
  11. Erfindung nach Anspruch 1, weiterhin umfassend: ein System zur Überwachung von Paketen, die die Empfangsvorrichtung verlassen und worin das Echonetzwerk weiterhin betreibbar ist, um selektiv die Betriebscharakteristiken des Gatewayrouters im Hinblick auf die ausgehenden Pakete zu modifizieren.
  12. Erfindung nach Anspruch 1, worin das Überwachungssystem weiterhin eingerichtet ist, um Informationen zu sammeln, die zu bestimmten der Datenpakete gehören; wobei die zuletzt erwähnten gesammelten Daten verwendbar sind, um Informationen über die Geschichte bestimmter Pakete zu liefern.
  13. Erfindung nach Anspruch 12, worin die zuletzt erwähnten gesammelten Daten zur sofortigen Verwendung gespeichert wurden.
  14. Erfindung nach Anspruch 12, worin bestimmte Daten gemäß einem Parameter-Set gewählt werden, das zu dem Betrieb der Empfangsvorrichtung gehört.
  15. Erfindung nach Anspruch 1, worin das Echonetzwerk weiterhin zum Modifizieren von Betriebscharakteristika in dem Kommunikationssystem fern von dem Verteiler bzw. Router betreibbar ist.
  16. Erfindung nach Anspruch 1, worin das Überwachungssystem und das Echonetzwerk wenigstens teilweise als ein von dem Eingangs-Router bedientes Enterprise System betreibbar ist.
  17. Erfindung nach Anspruch 1, worin das Überwachungssystem umfasst: wenigstens ein System zum Verfolgen der Datenstromsituationen innerhalb eines bestimmten Orts, umfassend eine Empfangsvorrichtung, wobei die Datenstromsituationen ausgewählt sind aus einer oder mehreren der folgenden Liste: Menge ankommender Daten in einem bestimmten Zeitintervall; Typ von Abfragen, die in vorgegebenen Daten enthalten sind; Natur des Informationsgehalts der Daten; Senden der Datenidentität; Antwortziel der Daten; Verkehrsmuster, die von Daten der spezifischen Quellen gebildet werden; Menge ankommender Daten aus spezifischen Quellen; und Identifizieren eines spezifischen Datenmusters; und worin das Verfolgungssystem eingerichtet ist, um Anweisungen von Zeit zu Zeit an den Gatewayrouter zu schicken, um den Datenstrom an einem bestimmten Ort zu beeinträchtigen.
  18. Erfindung nach Anspruch 17, worin die Anweisungen von dem Verfolgungssystem teilweise abhängig sind von einem Vergleich der nachverfolgten Datenstromsituationen mit einem voretablierten Parameter-Set.
  19. Erfindung nach Anspruch 18, worin das Datenstrom-Verfolgungssystem Mittel zum Sammeln von Informationen umfasst, die bestimmten der an einem bestimmten Ort ankommenden Daten angehören; wobei die zu sammelnden Daten nützlich zum Liefern von Information über die Geschichte der Daten sind.
  20. Erfindung nach Anspruch 17, worin der Datenstrom durch Kontrollieren von Daten über einen oder zwei Flaschenhälse durchgeführt wird, die entfernt von den speziellen Orten sind.
  21. Erfindung nach Anspruch 1, worin das Überwachungssystem umfasst: Mittel zur Echtzeit-Ansicht von bestimmten Parametern, die zu Daten gehören, die zwischen Flaschenhälsen des Netzwerks fließen; Mittel zum Vergleichen der überwachten Parameter gegenüber abgespeicherten Kriterien; und Mittel zum Einfüllen von Datenverkehr, der Signale beeinträchtigt, an einem oder mehreren der Flaschenhälse und unter wenigstens teilweiser Kontrolle der Vergleichsmittel;
  22. Erfindung nach Anspruch 21, weiterhin umfassend: Mittel zum Speichern bestimmter der überwachten Parameter für einen Zeitraum, wobei wenigstens einige der gespeicherten Parameter nützlich beim Bestimmen wenigstens eines Teils der Kommunikationsgeschichte der überwachten Daten ist.
  23. Verfahren zum Kontrollieren von Datenstrom in einem Kommunikationssystem, in welchem Nachrichtenpakete von jeder aus einer Vielzahl von Sendevorrichtungen zu einer oder mehreren Empfangsvorrichtungen geleitet werden können, wobei Empfangsvorrichtungen zum Empfang solcher Nachrichtenpakete und zum Antworten darauf ausgelegt sind, wobei das Verfahren die Schritte umfasst von: Empfangen von Paketnachrichten über ein Netzwerk, wobei jedes solche Paket zu definierten Orten gemäß der in jedem solchen Paket enthaltenen Adress-Information wandern kann und worin jedes Paket entlang temporären Pfaden durch Router verteilt wird, die unter partieller Kontrolle der Adress-Information in Einzelpaketen an einem bestimmten Ort in dem Netzwerk arbeiten; Sammeln von Informationen, die zum Betrieb des speziellen Orts gehören; und Modifizieren des Datenstroms im Bezug zu dem bestimmten Ort, abhängig von der gesammelten Information.
  24. Erfindung nach Anspruch 23, worin die gesammelte Information gewählt ist aus der Liste, die enthält: eine Anzahl ankommender Pakete in einem bestimmten Zeitintervall; der Typ von Anfragen, die in vorgegebenen Paketen enthalten ist; die Natur des Informationsgehalts der Pakete, Sendeidentität der Pakete; das Antwortziel der Pakete; die durch die Pakete aus verschiedenen Quellen gebildeten Verkehrsmuster; die Anzahl ankommender Pakete von spezifischen Quellen; bestimmte Daten, die eine oder mehrere Nachrichten enthalten; und der an eine Nachricht angehängte Dateityp.
  25. Erfindung nach Anspruch 23, worin der Sammelschritt den Schritt umfasst des: Sammelns von Informationen basierend auf bestimmten voretablierten Kriterien.
  26. Erfindung nach Anspruch 25, worin die voretablierten Kriterien dynamisch veränderbar sind.
  27. Erfindung nach Anspruch 25, worin die voretablierten Kriterien manuell verändert werden.
  28. Erfindung nach Anspruch 23, worin der Sammelschritt die Schritte umfasst des: Vergleichens der gesammelten Information mit Statistiken, die aus der Empfangsvorrichtung über einen bestimmten Zeitraum erzeugt werden.
  29. Erfindung nach Anspruch 28, worin die Statistiken gesammelt werden, um normales Empfangsvorrichtungs-Verhalten über einen bestimmten Zeitraum zu reflektieren.
  30. Erfindung nach Anspruch 28, worin der Sammelschritt umfasst den Schritt des: Vergleichens der gesammelten Informationen mit den Erwartungsparametern des bestimmten Orts.
  31. Erfindung nach Anspruch 23, worin die Datenstrommodifikation gewählt ist aus der folgenden Liste: Blockieren bestimmter Pakete, daran die Empfangsvorrichtung zu erreichen. Blockieren aller Pakete daran, die Empfangsvorrichtung zu erreichen; Rückverteilung bestimmter Pakete zu einer anderen Empfangsvorrichtung; Modifizieren des Informationsgehalts von bestimmten der Pakete; Entblockieren von bestimmten hierzu blockierten Paketen auf der Basis bestimmter Parameter und Modifizieren des Informationsgehalts von bestimmten der Pakete.
  32. Erfindung nach Anspruch 23, worin der Sammelschritt den Schritt umfasst des: Speicherns von Informationen, die zu den empfangenen der Pakete gehören.
  33. Erfindung nach Anspruch 23, worin der Sammelschritt umfasst: Überwachen von Paketen, die den speziellen Ort verlassen.
  34. Erfindung nach Anspruch 31, worin das Modifizieren an einem Gatewayrouter auftritt, der mit dem speziellen Ort verbunden ist.
  35. Erfindung nach Anspruch 31, worin das Modifizieren an einem Router entfernt von dem speziellen Ort auftritt.
  36. Erfindung nach Anspruch 23, worin die gesammelten Daten nützlich sind, um Informationen über die Geschichte der Pakete zu liefern.
  37. Erfindung nach Anspruch 36, worin das Verfahren die Schritte umfasst des: Speicherns der gesammelten Daten.
DE60114181T 2000-05-17 2001-05-09 Prozessteuerungssystem mit intelligenter rückkopplungsschleife Expired - Fee Related DE60114181T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US572112 2000-05-17
US09/572,112 US7058976B1 (en) 2000-05-17 2000-05-17 Intelligent feedback loop process control system
PCT/US2001/015108 WO2001089146A2 (en) 2000-05-17 2001-05-09 Intelligent feedback loop process control system

Publications (2)

Publication Number Publication Date
DE60114181D1 DE60114181D1 (de) 2006-03-02
DE60114181T2 true DE60114181T2 (de) 2006-07-13

Family

ID=24286392

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60114181T Expired - Fee Related DE60114181T2 (de) 2000-05-17 2001-05-09 Prozessteuerungssystem mit intelligenter rückkopplungsschleife

Country Status (7)

Country Link
US (2) US7058976B1 (de)
EP (1) EP1282954B1 (de)
JP (1) JP2003533941A (de)
AT (1) ATE307439T1 (de)
AU (1) AU2001261379A1 (de)
DE (1) DE60114181T2 (de)
WO (1) WO2001089146A2 (de)

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6728885B1 (en) 1998-10-09 2004-04-27 Networks Associates Technology, Inc. System and method for network access control using adaptive proxies
US7058976B1 (en) * 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
IL165288A0 (en) * 2002-05-22 2005-12-18 Lucid Security Corp Adaptive intrusion detection system
US20040146006A1 (en) * 2003-01-24 2004-07-29 Jackson Daniel H. System and method for internal network data traffic control
US7900254B1 (en) * 2003-01-24 2011-03-01 Mcafee, Inc. Identifying malware infected reply messages
US7895649B1 (en) 2003-04-04 2011-02-22 Raytheon Company Dynamic rule generation for an enterprise intrusion detection system
US7356585B1 (en) * 2003-04-04 2008-04-08 Raytheon Company Vertically extensible intrusion detection system and method
US7293238B1 (en) 2003-04-04 2007-11-06 Raytheon Company Graphical user interface for an enterprise intrusion detection system
US7607010B2 (en) * 2003-04-12 2009-10-20 Deep Nines, Inc. System and method for network edge data protection
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
JP4174392B2 (ja) * 2003-08-28 2008-10-29 日本電気株式会社 ネットワークへの不正接続防止システム、及びネットワークへの不正接続防止装置
US20050086524A1 (en) * 2003-10-16 2005-04-21 Deep Nines Incorporated Systems and methods for providing network security with zero network footprint
JP4662944B2 (ja) 2003-11-12 2011-03-30 ザ トラスティーズ オブ コロンビア ユニヴァーシティ イン ザ シティ オブ ニューヨーク 正常データのnグラム分布を用いてペイロード異常を検出するための装置、方法、及び媒体
EP1828919A2 (de) * 2004-11-30 2007-09-05 Sensoy Networks Inc. Vorrichtung und verfahren zur beschleunigung von sicherheitsanwendungen durch vorfilterung
US20070039051A1 (en) * 2004-11-30 2007-02-15 Sensory Networks, Inc. Apparatus And Method For Acceleration of Security Applications Through Pre-Filtering
US8572733B1 (en) 2005-07-06 2013-10-29 Raytheon Company System and method for active data collection in a network security system
EP1917778A2 (de) * 2005-08-03 2008-05-07 Calyptix Security Systeme und verfahren zum dynamischen erfahren von netzwerkumgebungen zur erzielung adaptiver sicherheit
US7950058B1 (en) 2005-09-01 2011-05-24 Raytheon Company System and method for collaborative information security correlation in low bandwidth environments
US8224761B1 (en) 2005-09-01 2012-07-17 Raytheon Company System and method for interactive correlation rule design in a network security system
US7352280B1 (en) 2005-09-01 2008-04-01 Raytheon Company System and method for intruder tracking using advanced correlation in a network security system
US7849185B1 (en) 2006-01-10 2010-12-07 Raytheon Company System and method for attacker attribution in a network security system
US8069482B2 (en) * 2006-02-27 2011-11-29 Sentrigo Inc. Device, system and method of database security
US8201243B2 (en) * 2006-04-20 2012-06-12 Webroot Inc. Backwards researching activity indicative of pestware
US8190868B2 (en) 2006-08-07 2012-05-29 Webroot Inc. Malware management through kernel detection
US8811156B1 (en) 2006-11-14 2014-08-19 Raytheon Company Compressing n-dimensional data
US8286244B2 (en) * 2007-01-19 2012-10-09 Hewlett-Packard Development Company, L.P. Method and system for protecting a computer network against packet floods
WO2010088550A2 (en) * 2009-01-29 2010-08-05 Breach Security, Inc. A method and apparatus for excessive access rate detection
US20100251355A1 (en) * 2009-03-31 2010-09-30 Inventec Corporation Method for obtaining data for intrusion detection
US11489857B2 (en) 2009-04-21 2022-11-01 Webroot Inc. System and method for developing a risk profile for an internet resource
US8938534B2 (en) 2010-12-30 2015-01-20 Ss8 Networks, Inc. Automatic provisioning of new users of interest for capture on a communication network
US9058323B2 (en) 2010-12-30 2015-06-16 Ss8 Networks, Inc. System for accessing a set of communication and transaction data associated with a user of interest sourced from multiple different network carriers and for enabling multiple analysts to independently and confidentially access the set of communication and transaction data
US8972612B2 (en) 2011-04-05 2015-03-03 SSB Networks, Inc. Collecting asymmetric data and proxy data on a communication network
US9350762B2 (en) 2012-09-25 2016-05-24 Ss8 Networks, Inc. Intelligent feedback loop to iteratively reduce incoming network data for analysis
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US20150101050A1 (en) * 2013-10-07 2015-04-09 Bank Of America Corporation Detecting and measuring malware threats
US9830593B2 (en) 2014-04-26 2017-11-28 Ss8 Networks, Inc. Cryptographic currency user directory data and enhanced peer-verification ledger synthesis through multi-modal cryptographic key-address mapping
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9823998B2 (en) * 2015-12-02 2017-11-21 International Business Machines Corporation Trace recovery via statistical reasoning
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
CN111355929B (zh) * 2020-03-09 2021-10-26 江苏经贸职业技术学院 一种基于广告机的信息传输方法
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents

Family Cites Families (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5319776A (en) 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
US5649095A (en) 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5414650A (en) 1993-03-24 1995-05-09 Compression Research Group, Inc. Parsing information onto packets using context-insensitive parsing rules based on packet characteristics
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
JP3499621B2 (ja) 1994-12-27 2004-02-23 株式会社東芝 アドレス管理装置およびアドレス管理方法
US5828846A (en) * 1995-11-22 1998-10-27 Raptor Systems, Inc. Controlling passage of packets or messages via a virtual connection or flow
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5787253A (en) 1996-05-28 1998-07-28 The Ag Group Apparatus and method of analyzing internet activity
US5799002A (en) 1996-07-02 1998-08-25 Microsoft Corporation Adaptive bandwidth throttling for network services
US6222856B1 (en) 1996-07-02 2001-04-24 Murali R. Krishnan Adaptive bandwidth throttling for individual virtual services supported on a network server
US6119236A (en) 1996-10-07 2000-09-12 Shipley; Peter M. Intelligent network security device and method
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5913041A (en) 1996-12-09 1999-06-15 Hewlett-Packard Company System for determining data transfer rates in accordance with log information relates to history of data transfer activities that independently stored in content servers
US6263444B1 (en) 1997-03-11 2001-07-17 National Aerospace Laboratory Of Science & Technology Agency Network unauthorized access analysis method, network unauthorized access analysis apparatus utilizing the method, and computer-readable recording medium having network unauthorized access analysis program recorded thereon
US6098172A (en) 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6119165A (en) 1997-11-17 2000-09-12 Trend Micro, Inc. Controlled distribution of application programs in a computer network
US6205551B1 (en) 1998-01-29 2001-03-20 Lucent Technologies Inc. Computer security using virus probing
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6298445B1 (en) 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US6711127B1 (en) 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6615358B1 (en) * 1998-08-07 2003-09-02 Patrick W. Dowd Firewall for processing connection-oriented and connectionless datagrams over a connection-oriented network
EP1106003A1 (de) 1998-08-18 2001-06-13 Madge Networks Limited Verfahren und system zur prioritäts-überlastregelung in einem netzwerkschaltknotenpunkt
US6219786B1 (en) 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
US6370648B1 (en) * 1998-12-08 2002-04-09 Visa International Service Association Computer network intrusion detection
US6550012B1 (en) * 1998-12-11 2003-04-15 Network Associates, Inc. Active firewall system and methodology
US6301668B1 (en) 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6415321B1 (en) * 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US6598034B1 (en) * 1999-09-21 2003-07-22 Infineon Technologies North America Corp. Rule based IP data processing
US6611869B1 (en) * 1999-10-28 2003-08-26 Networks Associates, Inc. System and method for providing trustworthy network security concern communication in an active security management environment
US7215637B1 (en) * 2000-04-17 2007-05-08 Juniper Networks, Inc. Systems and methods for processing packets
US7058976B1 (en) * 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities

Also Published As

Publication number Publication date
DE60114181D1 (de) 2006-03-02
WO2001089146A3 (en) 2002-05-16
US7058976B1 (en) 2006-06-06
EP1282954A2 (de) 2003-02-12
JP2003533941A (ja) 2003-11-11
AU2001261379A1 (en) 2001-11-26
WO2001089146A2 (en) 2001-11-22
ATE307439T1 (de) 2005-11-15
EP1282954B1 (de) 2005-10-19
US20040131056A1 (en) 2004-07-08

Similar Documents

Publication Publication Date Title
DE60114181T2 (de) Prozessteuerungssystem mit intelligenter rückkopplungsschleife
DE69911188T2 (de) Nachrichtenumleiteinrichtung mit direktem durchschalter
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE69727447T2 (de) Übertragungstrennung und Ebene-3-Netzwerk-Vermittlung
DE68919872T2 (de) Verfahren und Vorrichtung zur Verbindung von SNA-Endgeräten mit einem SNA-Hostrechner über ein paketvermitteltes Nachrichtennetz.
DE68920057T2 (de) Verfahren und Vorrichtung zur Verbindung eines SNA-Hostrechners mit einem entfernten SNA-Hostrechner über ein paketvermitteltes Nachrichtennetz.
DE69823368T2 (de) Verfahren und system zur identifizierung und unterdrückung von ausführbaren objekten
DE60114942T2 (de) Verfahren und System für das Verwenden eines Kernnetz-Protokolls zur Verbesserung der Netzleistung
US6026442A (en) Method and apparatus for surveillance in communications networks
DE60111511T2 (de) Verfahren zum blockieren der benutzung eines dienstes in einem telekommunikationssystem
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
US7266602B2 (en) System, method and computer program product for processing accounting information
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE10054923B4 (de) Verfahren zum Auffangen von Netzwerkpaketen in einem Computersystem, Computersystem zum Handhaben von Netzwerkpaketen sowie Paketauffängermodul zum Auffangen von Netzwerkpaketen in einem Computersystem
US6484200B1 (en) Distinguished name scoping system for event filtering
DE69722266T2 (de) Anit-virus-agent zur verwendung mit datenbanken und postserver
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE10249888A1 (de) Knoten, Verfahren und computerlesbares Medium zum Einbringen eines Einbruchspräventionssystems in einen Netzstapel
DE69937630T2 (de) Intelligente netzwerkdienste im paketvermittelten netz
DE102007060522B4 (de) Aufrechterhaltung der Kommunikation zwischen Netzknoten, die eine Paketattacke erfahren
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
EP1117236A2 (de) Behandlung ankommender Telefonanrufe während einer Online-Datennetzwerk-Sitzung
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
DE60316419T2 (de) Serialisierung von eine Verteiltenapplikation einer Router
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee