DE60220214T2 - Methode und System zum Entdecken von Eindringlingen - Google Patents

Methode und System zum Entdecken von Eindringlingen Download PDF

Info

Publication number
DE60220214T2
DE60220214T2 DE60220214T DE60220214T DE60220214T2 DE 60220214 T2 DE60220214 T2 DE 60220214T2 DE 60220214 T DE60220214 T DE 60220214T DE 60220214 T DE60220214 T DE 60220214T DE 60220214 T2 DE60220214 T2 DE 60220214T2
Authority
DE
Germany
Prior art keywords
pointer
traffic
fingerprint
stack
traffic stream
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60220214T
Other languages
English (en)
Other versions
DE60220214D1 (de
Inventor
Daavid Hentunen
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Stonesoft Corp
Original Assignee
Stonesoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Stonesoft Corp filed Critical Stonesoft Corp
Publication of DE60220214D1 publication Critical patent/DE60220214D1/de
Application granted granted Critical
Publication of DE60220214T2 publication Critical patent/DE60220214T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

  • Die vorliegende Erfindung betrifft Methoden und Systeme zur Entdeckung von Eindringlingen.
  • Eindringlingsentdeckungssysteme (IDS) sind Systeme, die bei versuchtem oder erfolgreichem Eindringen in ein Informationssystem oder Netz versuchen, dieses zu entdecken oder zu alarmieren, in den Fällen also, in denen das Eindringen als eine nicht autorisierte oder unerwünschte Aktivität im Hinblick auf dieses System oder Netz zu betrachten ist.
  • Pufferüberläufe (BOFs) bei pufferspeicherabhängigen Benutzereingaben sind zu einem der größten Sicherheitsprobleme im Internet und ganz allgemein der modernen Computeranwendung geworden. Dies ist darauf zurückzuführen, daß ein derartiger Fehler leicht beim Programmieren gemacht werden kann, und obgleich ein solcher Fehler für den Benutzer, der den Quellencode nicht versteht oder nicht handhaben kann, unsichtbar ist, können viele solche Fehler leicht ausgenutzt werden.
  • Das Prinzip der Ausnutzung eines Pufferüberlaufs ist, die Teile des Speichers zu überschreiben, von denen angenommen wird, daß sie durch eine willkürliche Eingabe überschrieben werden, und den Rechner zu veranlassen, diesen Code auszuführen. Um zu sehen, wie und wo ein Überlauf stattfindet, wollen wir zunächst betrachten, wie ein Speicher organisiert ist.
  • Im folgenden wird eine Art eines BOF-Angriffs im Einzelnen erläutert. Es wird jedoch darauf hingewiesen, daß dies nur ein Beispiel ist und daß die Details des Angriffs sich von einem Angriff zum anderen ändern können. So kann beispielsweise die Hinweismarke eine gewisse andere Marke sein als die für den Stapeladressenraum. (Unten wird der Ausdruck "Stapelhinweismarke" verwendet, der sich auf eine Hinweismarke für den Stapeladressenraum bezieht.) Speicheradressen können physikalische Adressen des Speichers oder virtuell/logische Adresse sein, die für die in einem Computer ablaufenden Prozesse benutzt werden. Eine Seite ist ein Teil des Speichers, der seine eigene relative Adressierung verwendet, was bedeutet, daß der Kern den ursprünglichen Speicher für den Prozeß zuteilt, zu dem dann Zutritt gewährt wird, ohne zu wissen, wo der Speicher physikalisch im RAM angeordnet ist. Der Prozeßspeicher besteht aus drei Teilen: der Adressenraum der Prozesse ist in wenigstens drei Bereiche unterteilt: Code, Daten und Stapel. Die Daten im Codesegment sind Maschineninstruktionen, die der Prozessor ausgibt. Die Codeausgabe ist nicht linear, sie kann überspringen, springen und unter bestimmten Bedingungen Funktionen aufrufen. Es gibt daher einen Zeiger, genannt EIP oder Instruktionszeiger. Die Adresse, bei der der EIP anzeigt, enthält immer den Code, der als nächstes ausgeführt wird. Der Datenbereich ist ein Speicherraum für verschiedene und dynamische Puffer. In diesem Bereich werden statische Variable gespeichert. Der Stapel ist ein durchgehender Block von Speicherdaten und möglicherweise auch gewissen ausführbaren Codes. Der Boden des Stapels ist an einer festen Adresse und eine feste Größe des Speichers ist dem Stapel zugeordnet. Wieviel von diesem Speicherraum benutzt wird, wird dynamisch durch den Kern unter Laufzeit eingestellt. In Abhängigkeit von den Einsatzbedingungen nimmt der Stapel entweder ab (in Richtung auf niedrige Speicheradressen) oder zu. Der Stapel hat die Eigenschaft, daß das letzte Objekt, das auf dem Stapel abgelegt wird, das erste Objekt ist, das entfernt wird. Diese Eigenschaft wird gewöhnlich mit letzte Schlangeneingabe, erste Schlangenausgabe oder mit LIFO bezeichnet. Der Stapel besteht aus logischen Stapelrahmen, die angestoßen werden, sobald eine Funktion verlangt wird und bei der Rückkehr weggeschoben werden. Ein Stapelrahmen enthält Parameter für eine Funktion, seine lokalen Variablen und die Daten, die zur Wiedererlangung des früheren Stapelrahmens erforderlich sind, einschließlich des Wertes des Instruktionszeigers zur Zeit der Funktionsrufadresse nach dem Stapel. Die CPU liefert Befehle zum Aufschieben auf den Stapel und Wegschieben vom Stapel. Das Aufschieben führt dazu, daß ein Element oben auf dem Stapel hinzugefügt wird. Das Wegschieben verringert im Gegensatz dazu die Stapelgröße um eine Element, indem das letzte Element am Kopf des Stapels entfernt wird. Ein Zählwerk, genannt Stapelzeiger (SP) zeigt zum Kopf des Stapels. Der Stapelzeiger (SP) ist ebenfalls einsatzabhängig. Er kann zu der letzten Adresse auf dem Stapel zeigen oder zu der nächsten freien, verfügbaren Adresse nach dem Stapel.
  • Ein Puffer ist einfach ein durchgehender Block des Computerspeichers, der viele Fälle desselben Datentyps enthält. Ein Pufferüberlauf ergibt sich, wenn mehr Daten in einen Puffer gestopft werden, als dieser handhaben kann, d. h. es kommt zum Überlaufen, Füllen über das obere Ende, den Rand oder Bund. Pufferüberlauf (BOF) ist auch ein Ausdruck, der als Programmierfehler Verwendung findet, wel cher die Fehlbenutzung eines Programms in der Weise ermöglicht, daß das Programm gewisse Daten in den Speicher überschreibt. Ein Pufferüberlaufangriff (BOF-Angriff) ist eine Möglichkeit, BOF-Schwäche im Programm auszunutzen, um einen willkürlichen Code abzusetzen oder den Steuerfluß in einem Zielsystem, in dem der Code läuft, in arglistiger Weise zu ändern.
  • Der Mantelcode betrifft einfache Maschineninstruktionen, die auf den Stapel geschrieben werden und dann die Rückadresse zur Rückführung zum Stapel ändern. Wenn diese Methode benutzt wird, läßt sich ein Code in einen ungeschützten Prozeß einführen und dann direkt auf den Stapel ansetzen. Die Rückadresse läßt sich ändern, um auf einen Mantelcode auf dem Stapel hinzuweisen, beispielsweise durch Hinzufügung von gewissen NOP (no Operation) Instruktionen vor dem Stapel. Infolgedessen bedarf es keiner 100%igen Genauigkeit in Bezug auf die Vorhersage des exakten Beginns des Mantelcodes im Speicher (oder sogar gewaltsames Eingreifen). Die Funktion kehrt irgendwo vor dem Mantelcode auf den Speicher zurück und arbeitet sich durch die NOPs zur neuen Rückadresse durch und bedient den Code auf dem Stapel.
  • In den meisten Eindringsystemen, die Fingerabdruck als eine von ihren Methoden zum Entdecken von Eindringlingen verwenden, wird der allgemeine Fingerabdruck benutzt. Er ist gewöhnlich ein einfaches Muster, der zu Recherchen nach einem gewissen Teil eines öffentlich bekannten Angriffs paßt (Teile des Mantelcodes oder gesamter Angriffscode). Diese bekannten IDS-Methoden weisen gewisse Schwächen auf. Zunächst besteht die Möglichkeit, einen BOF-Angriff (Mantelcode- und NOP-Teil des BOF-Angriffs) für auf viele Weisen nutzbaren Service zu schreiben (BOF-Angriffe sind nicht einander ähnlich), wobei der allgemeine Fingerabdruck keine ausreichende Methode zur Entdeckung von BOF-Angriffen ist. Darüber hinaus ist es schwer, überaus große Datenmengen zu bearbeiten, die analysiert werden müssen, und zwar aufgrund der großen Abmessung des Fingerabdrucks. Bei den bekannten Methoden wurde eine Bit-Sequenz im Datenpaket mit einer großen Anzahl langer Fingerabdruckmuster verglichen. Andererseits bestand aufgrund der langen Fingerabdruckmuster typischerweise nicht die Notwendigkeit, die Fingerabdrücke mit "vielen Punkten" im Bitstrom des Datenpakets zu vergleichen. Da jedoch die Anzahl der unterschiedlichen Fingerabdrücke, die überprüft werden muß, sehr hoch ist (gleich der unterschiedlichen bekannten Angriffstypen), wurde erhebliche Prozeßkapazität gebunden. Somit ergibt sich die Notwendigkeit für eine bessere Technik, um sowohl öffentlich bekannte als auch bis jetzt unbekannte BOF-Angriffe in einem TCP-Strom aufzufinden.
  • Die US 5 511 163 offenbart einen Netzadapter zur Erkennung von Virussignaturen. Individuelle Dateipakete, die im Netz zirkulieren, werden in einer einzigen Datei gesammelt und für Virussignaturen gescannt. Die Virussignaturen sind Versionen des vollständigen Programmcodes der Viren. Die US 6 219 706 beschreibt eine Firewall zur Steuerung des Verkehrs zu oder von einem lokalen Netz. Einer der Firewallprozesse besteht darin, Eindringversuche festzustellen, und zwar durch Vergleichen von Paketnutzlasten mit gut bekannten Eindringsignaturen.
  • Eine Aufgabe der Erfindung besteht darin, ein neues Verfahren und System zum Entdecken von Eindringlingen zu schaffen, das zur Entdeckung von BOF-Angriffen brauchbar ist.
  • Diese Aufgabe wird erfindungsgemäß gelöst, wie in den beigefügten unabhängigen Ansprüchen offenbart. Vorteilhafte Ausführungsformen der Erfindung sind in den Unteransprüchen beschrieben.
  • Die grundlegende Idee der vorliegenden Erfindung besteht darin, nach einem speziellen Strom von Bits zu suchen, der in allen arbeitenden, generellen BOF-Angriffen enthalten sein muß. Ein allgemeiner BOF-Angriff läßt sich dahingehend beschreiben, daß der NOP (no Operation) Teil beiseite gelassen wird und nur die Rückadresse nach dem Mantelcodeteil berücksichtigt wird. Auch kann ein Mantelcodeteil auf mehrere unterschiedliche Weisen geschrieben werden. Das einzige, was von einem BOF-Angriff zum anderen übrig bleiben muß, ist ein kleiner Teil der Rückadresse. Somit ist der spezielle Bit-Strom, nach dem in der vorliegenden Erfindung geforscht wird, eine spezielle Rückadresse oder ein Teil davon, d. h. ein Zeiger oder ein Teil des Zeigers. Dieser wird hier Zeigerfingerabdruck genannt. Der Zeigerfingerabdruck kann zusätzlich zu dem relevanten Zeiger auch eine Anzahl Extra/Stopf-Bits aufweisen, die keine Bedeutung im Suchprozeß haben. Der Zeigerfingerabdruck, der recherchiert wird, ist kürzer als die bekannten Fingerabdrücke, beispielsweise etwa 8–12 Bits lang. Dies hat den Nachteil, daß ein Zeigerfingerabdruck mit verschiedenen Punkten im Bitstrom innerhalb eines Datenpakets verglichen werden muß. Andererseits kann die Anzahl der Zeigerfingerabdruckmuster erheblich geringer sein als bei den bekannten Methoden, beispielsweise eines für jedes Betriebssystem. D. h., es ist kosteneffizient, nach dem Fingerabdruck aus den Daten zu suchen, die analysiert werden müssen. Des gerabdruck aus den Daten zu suchen, die analysiert werden müssen. Des weiteren und noch wesentlicher, als daß der Zeigerfingerabdruck in den meisten BOF-Angriffen vorliegen muß, ist die Tatsache, daß er auch zur Ermittlung unbekannter Angriffe benutzt werden kann. Bei den bekannten Methoden ist es erforderlich, zunächst einen neuen Angriff zu beobachten, bevor es möglich gewesen ist, dafür einen Fingerabdruck zu definieren.
  • Die Erfindung läßt sich für jede Art von Zeigern verwenden. Die allgemeinen BOF-Angriffe benutzen Stapelzeiger. Modernere BOF-Angriffe, so beispielsweise Massenüberläufe und Ein-Byte-Überläufe, verwenden beispielsweise bibliothekarische c-Funktions-Zeiger (libc) und Zeiger für eine globale Offsettabelle (GOT). Auch andere Zeiger lassen sich in BOF-Angriffen benutzen. Somit können die Zeiger, nach denen gesucht wird, wahlweise oder alternativ auch gewisse libc-Funktionszeiger und Zeiger für GOT aufweisen. Es wird darauf hingewiesen, daß die Zeiger zwischen unterschiedlichen Betriebssystemen und Rechnern variieren.
  • Die Zeigerfingerabdrücke gemäß der Erfindung können für jedes beliebige Datenformat recherchiert werden. Die Daten können beispielsweise ein binärer oder hexadezimaler Code sein oder in einem verschlüsselten Format vorliegen, beispielsweise in UTF-8 verschlüsseltem Format. Ein Fingerabdruck in vielfach parallelen Formaten läßt sich gleichzeitig bei der Analyse verwenden.
  • Der oder die Zeigerfingerabdrücke lassen sich in dem gesamten Verkehr suchen. Bei der bevorzugten Ausführungsform der Erfindung werden nur spezielle Typen von Paketen oder Datenströmen gemäß einem speziellen Protokoll oder speziellen Protokollen nach Zeigerfingerabdrücken überwacht. Derartige Datenpakete oder Datenströme werden vorzugsweise so ausgewählt, daß sie normalerweise keine Zeiger enthalten. Wenn ein Zeigerfingerabdruck in einem solchen Datenpaket oder Datenstrom gefunden wird, kann davon ausgegangen werden, daß ein BOF-Angriff vorliegt. Es können Einrichtungen vorhanden sein, mit denen festgestellt wird, welche Datenpakete oder Datenströme keine Zeiger enthalten sollten, und die Suche wird dann in diesen ermittelten Paketen oder Strömen durchgeführt.
  • Bei einer weiteren Ausführungsform der Erfindung werden die Teile des Verkehrs, die nicht gemäß einem speziellen Protokoll benutzt werden, zuerst erkannt, und daraufhin wird die Zeigerfingerabdruckmethode zur Ermittlung eines BOF-Angriffs in diesen erkannten Teilen eingesetzt.
  • Bei einer noch anderen Ausführungsform der Erfindung können der oder die Zeigerfingerabdrücke vom gesamten Verkehr recherchiert werden, und, falls ein Zeigerfingerabdruck gefunden wird, dann wird dieser daraufhin analysiert, ob das Vorhandensein eines Zeigers an diesem speziellen Punkt im Verkehr zulässig oder nicht zulässig ist. Falls das Vorhandensein des Zeigers nicht zulässig ist, wird ein BOF-Angriff vermutet, der festzustellen ist.
  • Die Zeigerfingerabdruckmethode gemäß der Erfindung läßt sich besonders vorteilhaft mit anderen IDS-Methoden einsetzen, um die bestmögliche Ermittlung zu erreichen.
  • Die bevorzugten Ausführungsformen der Erfindung werden unter Bezug auf die beigefügten Zeichnungen beschrieben, in denen
  • 1 ein Netzwerk darstellt, in dem die vorliegende Erfindung Anwendung findet; und
  • 2, 3 und 4 Fließdiagramme sind, die unterschiedliche Ausführungsformen der Erfindung zeigen.
  • System und Verfahren gemäß der vorliegenden Erfindung zum Entdecken von Eindringlingen (IDS) können auf jedes beliebige Netzwerkelement Anwendung finden. Physikalisch gesehen ist ein derartiges Netzwerkelement eine Maschine mit geeigneter Software, um die ihr zugedachten Aufgaben zu erfüllen. Sie kann ein Router, ein Personalcomputer (PC), ein Server oder was auch immer sein, die für derartige Zwecke Verwendung finden. Nach Angriffen läßt sich vom Verkehr an vielen Punkten in einem Datensystem oder Netz recherchieren. Die Auswahl des Ortes des IDS in einem Netz kann beispielsweise auf der Grundlage der Bearbeitungskapazität der zur Verfügung stehenden Netzeinrichtungen in Bezug auf den Umfang des Netzverkehrs oder einem Wunsch erfolgen, nur einen speziellen Verkehr zu überprüfen, beispielsweise den im Intranet auftretenden Verkehr. In 1 sind einige mögliche Orte in einem Informationsnetz für eine Netzeinrichtung IDS X gezeigt, die eine Zeigerfingerabdruckanalyse gemäß der vorliegenden Erfindung (oder im allgemeinen eine beliebe Fingerabdruckanalyse) durchführt.
  • Ein lokales Datennetz LAN (beispielsweise Intranet) einer Gesellschaft ist über eine Firewall 3 und einen Schalter 2 mit dem Internet 1 verbunden. Das LAN weist Server X und Y sowie Arbeitsplätze 4 und 5 auf. Der Verkehr innerhalb des LAN wird durch die Vermittlungsstelle 6 vermittelt. Es sei darauf hingewiesne, daß diese Netzarchitektur nur präsentiert wird, um zu zeigen, wie das IDS in einem Datennetz angeordnet werden kann. Eine Netzarchitektur, wie die benutzte, ist nicht für die vorliegende Erfindung relevant, und die Erfindung soll nicht auf irgendeinen speziellen Netztyp oder eine spezielle Netzarchitektur beschränkt werden.
  • Das System zum Entdecken von Eindringlingen IDS A ist an einem "Portmonitor"-Zugang eines Schalters 2 angeordnet, der sich außerhalb des Firewalls 3 der Gesellschaft befindet. Auf einem Portmonitor-Zugang ist es möglich, den durch den Schalter 2 laufenden Verkehr zu überwachen. An diesem Ort des IDS A ist es möglich, beispielsweise solche Angriffe auf die Gesellschaft zu überwachen oder festzustellen, deren Fortschreiten an dem Firewall 3 blockiert wird. Der Nachteil dieses Ortes ist zumindest das hohe Verkehrsaufkommen. Infolge dessen kann normalerweise der gesamte Verkehr nicht ohne eine spezielle Anordnung analysiert werden. Diese Art einer speziellen Anordnung besteht beispielsweise darin, daß mehrere Parallelcomputer oder Einrichtungen mit einer gewissen speziellen Last kombiniert werden, die die Lösung im Gleichgewicht hält. Der Vorteil ist darin zu sehen, daß dann, wenn die Bearbeitungskapazität ausreicht, man in der Lage ist, sogar alle versuchten Angriffe auf das Netz der Gesellschaft zu beobachten, die nicht durch die Firewall 3 hindurch in das interne Datennetz gelangen.
  • Das System zum Entdecken von Eindringlingen IDS B befindet sich für das Gesellschaftsnetz innerhalb der Firewall. Im einzelnen heißt das, das IDS B ist an dem Portmonitor-Zugang des Schalters 6 gelegen. Somit analysiert das IDS B nur den Verkehr innerhalb des Gesellschaftsnetzes und den das Gesellschaftsnetz verlassenden Verkehr, ist jedoch nicht in der Lage, den Verkehr zu überwachen, der die Firewall nicht passiert hat. An dieser Stelle sind mehr Informationen über die Art des Verkehrs vorhanden und daher ist es leichter, die Anaylsen auf eine spezielle Art des Verkehrs zu beschränken.
  • Das System zum Entdecken von Eindringlingen IDS C ist am Server Y angeordnet. An diesem Platz arbeitet das IDS C zwischen dem Server Y und dem verblei benden Gesellschaftsnetz und ist in der Lage, nur den Verkehr zu überwachen, der zum und vom Server Y stattfindet.
  • Das System zum Entdecken von Eindringlingen IDS D ist an der Firewall 3 gelegen. An diesem Ort führt das IDS D die Analysen in der Firewall 3 hinsichtlich des Verkehrs aus, der durch die Firewall 3 hindurchgeht.
  • Dazu kommt, daß ein IDS-System auch am Ende der Benutzer-Arbeitsplätze 4 oder 5 liegen kann und den Verkehr dieser besonderen Station analysiert (IDS auf Hostbasis).
  • Gemäß der vorliegenden Erfindung werden die Angriffe durch Recherchen von Zeigerfingerabdrücken festgestellt, d. h. Zeigern oder ein Teil von ihnen. Die Zeiger, die hier interessieren, sind Stapelzeiger, gewisse libc-Funktionszeiger und Zeiger für GOT. All diese variieren zwischen unterschiedlichen Betriebssystemen und Rechnern.
  • Im allgemeinen verwenden Pufferüberlauf (BOF) Angriffe Stapelzeiger. Weiterentwickelte Angriffe benutzen beispielsweise Massenüberläufe oder Ein-Byte-Überläufe. Auch können libc-Funktionen und GOT ausgenutzt werden. Libc-Funktions-Adressen und GOT-Zeiger sind konstant (sie variieren jedoch zwischen unterschiedlichen Bibliotheksversionen, Betriebssystemen und Rechnern), so daß alle ihre 32 Bits Fingerabdrücke von Netzströmen sein können.
  • Typische Basisstapeladressen für einige Betriebssysteme (Kerne) sind (in Abhängigkeit von beispielsweise der aktuellen Übersetzung des Betriebssystems können auch andere existieren):
    Das IDS-System gemäß der vorliegenden Erfindung überwacht die Verkehrsströme und die Suche nach Zeigerfingerabdrücken, d. h. besonderen Zeigern oder vorbestimmten Teilen solcher Zeiger. Der Fingerabdruck, der gesucht wird, kann ein konstanter Teil eines Stapelzeigers sein, der in allen arbeitenden Stapelzeigern vorhanden ist. Der konstante Teil kann auf der Grundlage der Startadresse des Stapels bestimmt werden. Es soll nun ein Beispiel für die Berechnung des konstanten Stapelfingerabdrucks geprüft werden.
  • Es wird angenommen, daß Programme gewöhnlich nicht mehr als zwei Megabyte einer lokalen variablen Größe zuteilen. Es wird auch angenommen, daß die Umweltveränderlichen keinen zu großen Stapelraum (< 60 Kb) einnehmen. Werden diese beiden Faktoren addiert, so erhält man den maximalen (schlechtester Fall) Stapelraum, der für den laufenden Benutzerprozeß zugeteilt ist. Man kann dann den konstanten Teil der Basisstapeladresse auf folgende Weise berechnen (in der Annahme, daß 221 + 60 Kb annähernd 221 ist): Zunächst ist der Stapel, der den lokalen Veränderlichen zugeteilt ist, 3 MB, was bedeutet binär 221 und 0×001FFFFF in hexadezimalen Zahlen.
  • Die bedeutet ferner, daß 21 weniger bedeutende Bits von Zeiger zu Zeiger variieren können. Wenn daher ein Zeiger 32 Bit lang ist, sind die wesentlichsten 11 Bits (32 – 21 = 11 Bits) in allen geltenden Stapelzeigern, die das Programm benutzt, konstant.
  • So kann beispielsweise der konstante Teil des Stapelzeigers für das Linuxprogramm dadurch berechnet werden, daß der lokale variable Adressenraum 0×001FFFFF von der Basisstapeladresse von Linux 0×BFFFFFFF subtrahiert wird. In anderen Worten, der konstante Teile des beispielsweisen Linuxprogramms ist
    Basisstapeladresse = 0×BFFFFFFF = in binär 10111111 11111111 11111111 11111111.
    Lokale Variablen = 0×001FFFFF = in binär 00000000 00011111 11111111 11111111.
    Konstanter Teil = 0×BFE00000 = in binär 10111111 11100000 00000000 00000000.
  • Als ein Beispiel für mögliche Fingerabdrücke dienen 11-Bit-Fingerabdruckmasken für die obigen Adressen (so ausgebildet, daß die Zahl der Bits im Fingerabdruck durch 8 teilbar ist), nämlich
    Solaris 2.6 (Intel) O×EF E0
    Redhat Linux 6.x (Intel) O×BF E0
    Solaris 7.0 (Intel) O×FF A0
    OptenBSD 2.5 (Intel) O×EF A0
    FreeBSD 3.2 ()ntel) O×BF A0
  • Beispiele von Codesegmentadressen, für die auch ein Fingerabdruck berechnet warden kann, sind:
    Redhat Linux 6.x (Intel) 0×08 00 00 00
    Debian Linux 2.4 (Intel) 0×08 00 00 00
    Digital Unix 4.0D (Alpha) 0×00 00 00 01 20??????
  • Beispielsweise können folgende Fingerabdrücke zur Ermittlung von Ausbeuten der obigen Codesegmentadressen dienen:
    Redhat Linux 6.x (Intel) 0×08 00
    Debian Linux 2.4 (Intel) 0×08 00
    Digital Unix 4.0D (Alpha) 0×01 20
  • Bei der Suche nach positiven Kennzeichen für Angriffe mit Hilfe der obigen Fingerabdrücke wird daran erinnert, daß nur die ersten 11 Bits des Fingerabdrucks den Daten, die eingesehen werden, zu vergleichen sind und nicht die ganzen 2 Bytes. D. h., die letzten 5 Bits des Fingerabdruckbitmusters bleiben außer Betracht, wenn der Fingerabdruck mit dem Verkehrsfluß verglichen wird.
  • Es ist festzustellen, daß auch weniger als 11 Bits verwendet werden können. Beispielsweise können 8 bis 11 Bits ausreichen. Die Erfindung ist nicht auf irgendeinen speziellen Stapelfingerabdruck beschränkt. In der vorliegenden Erfindung bedeutet der Stapelfingerabdruck ein beliebiges Muster, das zur Suche eines Stückes der Plattform und des Rechners in Abhängigkeit von den Startadressenbits paßt, die bei allen generellen Pufferüberflußangriffen vorhanden sein müssen.
  • Das IDS-System A, B, C und D überwacht den Verkehr und die Recherchen nach Zeigerfingerabdrücken, d. h. vorbestimmten Zeigern oder vorbestimmten Teilen von Zeigern bezüglich des Datenstroms. Der zu überwachende Verkehr hängt von Einzelheiten bei jeder speziellen Anwendung ab. Es ist möglich, den gesamten Verkehr zu überwachen oder nur eine spezielle Art von Paketen oder Datenströmen gemäß einem speziellen Protokoll, usw. Wenn der Zeigerfingerabdruck in einem solchen Teil des Datenstroms gefunden wurde, wo er nicht zu dem normalen (legalen) Verkehr gehört, kann angenommen werden, daß ein BOF-Angriff vorliegt. Um also in der Lage zu sein, die aktuellen Angriffe zu erkennen, muß das IDS-System irgendwie die Teile des Stapelstroms kennen, in denen das Vorhandensein von Stapelzeigern zulässig ist.
  • Daher wird bei der bevorzugten Ausführungsform der Erfindung nach Zeigerfingerabdrücken gesucht, die sich hauptsächlich im Verkehr gemäß einem speziellen Protokoll befinden, weil legaler Protokollverkehr keine Stapelzeiger enthalten sollte, wie durch die Schritte 200, 201 und 202 in dem Fließbild von 2 gezeigt ist. So wird beispielsweise in dem FTP-Protokoll die Zeigerfingerabdrucktechnik gemäß der vorliegenden Erfindung vorzugsweise ein Kontrollverbindung angewendet, nicht jedoch auf die Datenverbindung, da der Datenverbindungsverkehr legale Stapelzeiger enthalten kann. Die einfachste Art und Weise, die FTP-Datenverbindung von der FTP-Kontrollverbindung zu unterscheiden, bietet das Zugangsfeld in den Datenpaketen. Die FTP-Kontrollverbindung ist gewöhnlich auf den Zugang 21 adressiert und die Datenverbindung auf den Zugang 20.
  • In ähnlicher Weise wird das Verfahren gemäß der Erfindung nicht vorzugsweise zur Prüfung des Inhalts einer e-Mail in dem SMTP-Protokoll benutzt. Durch Überwachung des Verkehrs gemäß dem SMTP-Protokoll besteht die Möglichkeit, den Teil des Verkehrs zu erkennen, der den e-Mail-Inhalt übermittelt.
  • Wenn der Verkehr gemäß dem Protokoll nur "vom Menschen wahrnehmbare" Daten enthält, in anderen Worten alphanumerische Symbole, die zusätzlich im US-ASCII-Format (7 Bits pro Symbol) vorliegen, kann der Zeigerfingerabdruck auf eine Länge von einem Bit schrumpfen. Dies ist darauf zurückzuführen, daß, da die alphanumerischen Symbole 7-Bit-Symbole sind, jedes 8. Bit im Datenstrom 0 ist, wenn der Verkehr ein legaler Verkehr ist. Falls jedes 8. Bit im Verkehrsstrom nicht 0 ist, kann angenommen werden, daß der Stapelzeiger gefunden wird und möglicherweise ein BOF-Angriff vorliegt, da das höchste Bit in den Stapelzeigern gewöhnlich 1 ist.
  • Bei einer weiteren Ausführungsform der Erfindung werden die Teile des Verkehrs, die nicht mit einem speziellen eingesetzten Protokoll übereinstimmen, zuerst festgestellt, und danach wird die Zeigerfingerabdruckmethode zur Ermittlung eines BOF-Angriffs in diesen festgestellten Teilen eingesetzt. Es besteht auch die Möglichkeit, anormale Verwendung von Befehlen gemäß einem speziellen Protokoll zu erkennen und die Zeigerfingerabdruckmethode zur Ermittlung eines BOF-Angriffs auf die Teile des Verkehrs einzusetzen, wo ein derartiger anormaler Gebrauch erkannt wird. Beispielsweise können viele aufeinanderfolgende Authentifizierungsaufforderungen als anormal betrachtet werden, da üblicherweise eine erfolgreiche Authentifizierung ausreicht. Diese Ausführungsform ist durch die Schritte 300, 301, 302, 303 und 304 im Fließdiagramm von 3 dargestellt.
  • Bei einer weiteren Ausführungsform der Erfindung kann nach Zeigerfingerabdrücken im gesamten Verkehr gesucht werden, und wenn der Zeigerfingerabdruck gefunden wird, wird dann analysiert, ob das Vorhandensein eines Zeigers an der speziellen Stelle im Verkehr zulässig ist oder nicht. Falls das Vorhandensein des Zeigers nicht zulässig ist, wird ein festgestellter BOF-Angriff angenommen. Wenn beispielsweise der Verkehr ein FTP-Verkehr ist, kann nach dem Zeigerfingerabdruck zunächst im gesamten Verkehr gesucht werden, und falls ein Zeigerfingerabdruck im Verkehr gefunden wird, wird daraufhin analysiert, ob der spezielle Teil des Verkehrs eine Kontrollverbindung oder eine Datenverbindung ist. Falls der spezielle Teil des Verkehrs eine Kontrollverbindung ist, wird ein Angriff festgestellt, und falls der spezielle Teil eine Datenverbindung ist, wird der Zeiger als Teil des gültigen Verkehrs und nicht als vorliegender Angriff betrachtet. Diese Ausführungsform ist durch die Schritte 400, 401, 402 und 403 in dem Fließdiagramm von 4 dargestellt.
  • Das IDS gemäß der vorliegenden Erfindung registriert gewöhnlich nur den festgestellten BOF-Angriff und gibt einen Alarm an einen Systemoperator ab. Mit anderen Worten, die vorliegende Erfindung ist hauptsächlich darauf gerichtet, die Anschläge festzustellen und die festgestellten Anschläge an eine gewisse andere Instanz zu melden, wie dies durch die Schritte 202, 304 und 403 in den 2, 3 bzw. 4 dargestellt ist.
  • Die Betriebsweise des Systems zum Entdecken von Eindringlingen gemäß der vorliegenden Erfindung wird nun an einem Beispiel dargestellt. Wie aus 1 ersichtlich, hat das System B zur Entdeckung von Eindringlingen Kenntnis des Verkehrsprofils im internen Netz der Gesellschaft, d. h. das IDS B weiß, welcher Verkehr in dem Gesellschaftsnetz und zu welchem Ziel zulässig ist. Es wird nun ferner angenommen, daß der zu überwachende Netzverkehr auf den Verkehr zu und von einem speziellen Server beschränkt ist, beispielsweise dem Server X in 1. Außerdem wird angenommen, daß der zu überwachende Server X FTP, e-Mail (beispielsweise SMTP) und DNS (Domainnamenservice) Dienstleistungen bietet.
  • Das IDS B hat Kenntnis von den speziellen Protokollen FTP, SMTP und DNS. Die Kenntnis der Protokolle ermöglicht es, daß das IDS B die Zeigerfingerabdruckana lysen für das Protokoll selbst ausführen kann, anstelle die Analysen für die möglicherweise beliebigen Daten durchzuführen, die in dem Protokoll befördert werden, beispielsweise dem Inhalt der e-Mail oder einem Datenstrom eines durch das FTP übertragenen Protokolls und dadurch eine große Zahl unnötiger Alarme vermieden werden kann.
  • Infolge dessen sind die Bitmuster bekannt, die in den Protokollen zulässig sind sowie die Bitmuster der Zeigerfingerabdrücke. In jenen Fällen, in denen die beiden Muster in irgendeiner legalen Situation nicht einander gleich sind, wird eine Zeigerfingerabdruckanalyse für einen speziellen Teil des Verkehrs durchgeführt. Falls die Analysen anzeigen, daß das Bitmuster des Zeigerfingerabdrucks mit einem Bitmuster im Verkehr übereinstimmt, wurde ein Verkehr gefunden, der nicht dem Protokoll entspricht und daher möglicherweise ein versuchter BOF-Angriff ist. Wenn andererseits ein Verkehr festgestellt wird, der dem Protokoll entspricht, jedoch kein Bitmuster des Zeigerfingerabdrucks von dem betreffenden Verkehr gefunden werden kann, kann mit ziemlicher Sicherheit gefolgert werden, daß in diesem Fall kein BOF-Angriff vorliegt (zumindest kein erfolgreicher).
  • Die folgende Auflistung zeigt eine normale Verbindung des FTP-Protokolls vom Start bis zur Authentifizierung:
    S: "220 xyz.abc.com FTP server (Version x.x) ready.
    U: "USER mike"
    S: "331 Password required for mike."
    U: "PASS secret"
    S: "230 Login mike ok."
    U:...
    S:...
  • In diesem Fall wird aufgrund der Kenntnis des FTP-Protokolls das IDS B erwarten, daß nach "USER <Benutzername>" ein Paßwortbefehl "PASS <Paßwort>" gemäß dem Protokoll erforderlich ist. Wenn jedoch das IDS B anstelle des Paßwortbefehls etwas anderes findet und dieses etwas anderes zu gewissen Zeigerfingerabdruckmustern, die dem IDS B bekannt sind, paßt, ist wahrscheinlich ein BOF-Angriff festgestellt worden.
  • Im folgenden wird ein Beispiel für einen möglichen Angriff in den oben beschriebenen Teil des FTP-Protokolls dargestellt. Ein Stapel Zeigerfingerabdruck für ein spezielles Linux-Betriebssystem in einem Intel-Prozessor ist 0×bfe. Dann könnte ein FTP-Protokollverkehr, der einen Angriff aufweist, lauten:
    S: "220 xyz.abc.com FTP server (Version x.x) ready.
    U: "USER mike"
    S: "331 Password required for mike."
    U:... "\×BF\×EF\×C0\×23" ...
    S:...
  • Es ist zu erkennen, daß sich ein Zeigerfingerabdruck in dem Protokollverkehr nach dem Paßwortbefehl befindet, d. h. an einer Stelle, an der normalerweise kein Stapelzeiger vorhanden sein sollte. Wenn daher ein Zeigerfingerabdruck 0×BFE in diesem Teil des Protokolls festgestellt wird, läßt sich annehmen, daß ein BOF-Angriff versucht worden ist.
  • Es versteht sich für den auf diesem Gebiet tätigen Fachmann, daß die oben beschriebenen Ausführungsformen nur Beispiele sind und daß vielfältige Änderungen vorgenommen werden können, die im Schutzbereich der Erfindung liegen, der durch die beigefügten Ansprüche definiert wird.

Claims (8)

  1. Methode zum Entdecken von Eindringlingen in ein Datensystem, wobei nach wenigstens einem vorgegebenen Muster in einem Verkehrsstrom gesucht wird (200, 302, 400) und ein potentieller Angriff festgestellt wird, wenn das besagte wenigstens eine bevorzugte Muster in dem Verkehrsstrom (201, 303, 401) ermittelt wird, dadurch gekennzeichnet, daß das besagte wenigstens eine vorbestimmte Muster ein Zeigerfingerabdruck ist, der wenigstens einem Teil einer Rückkehradresse eines Betriebssystempuffers gleicht, wobei der Zeigerfingerabdruck dadurch ein potentieller Zeiger für einen Rückkehradressenraum des Betriebssystempuffers wird, daß dieser Zeigerfingerabdruck in Teilen des Verkehrs gesucht (200, 302) wird, die nicht mit einem bestimmten benutzten Protokoll übereinstimmen und/oder in speziellen Datenpakettypen oder Datenströmen gemäß einem bestimmten Protokoll, das normalerweise keine Zeiger enthält, und daß als Folge der Ermittlung des Zeigerfingerabdrucks in dem Verkehrsstrom festgestellt wird, daß der Verkehrsstrom einen potentiellen Pufferüberflußangriff gegen den Betriebssystempuffer enthält.
  2. Methode nach Anspruch 1, dadurch gekennzeichnet, daß der vorbestimmte Strom von Bits von einem Stapel Zeiger kommt.
  3. Methode nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß der vorbestimmte Bit-Strom von einer Bibliothek eines c (libc)-Funktionszeigers oder eines Zeigers für eine globale Offset-Tabelle (GOT) kommt.
  4. Computerlesbares Medium mit einer Computersoftware, die bei der Anwendung in einem Computer bewirkt, daß der Computer Schritte nach einem der Ansprüche 1 bis 3 ausführt.
  5. Computersoftwareprodukt, das, wenn es in einem Computer angewendet wird, bewirkt, daß der Computer die Schritte nach einem der vorhergehenden Ansprüche 1 bis 4 ausübt.
  6. System zum Entdecken von Eindringlingen, mit einer Sucheinrichtung (200, 302, 400) nach wenigstens einem vorgegebenen Muster in einem Verkehrs strom, einer Einrichtung zum Ermitteln (201, 303, 401) eines potentiellen Angriffs, falls das besagte wenigstens eine vorbestimmte Muster in dem Verkehrsstrom gefunden wird, dadurch gekennzeichnet, daß wenigstens ein vorbestimmtes Muster ein Zeigerfingerabdruck ist, der wenigstens einem Teil einer Rückadresse eines Betriebsystempuffers gleicht, daß der Zeigerfingerabdruck dadurch ein potentieller Zeiger für ein Rückadressenraum des Betriebsystempuffers wird, daß die Entdeckungseinrichtung (201, 303, 401) so angeordnet wird, daß sie den Zeigerfingerabdruck in Teilen des Verkehrs überprüft, die nicht mit einem speziellen benutzten Protokoll übereinstimmen oder mit speziellen Arten der Datenpakete oder Datenströme gemäß einem speziellen Protokoll, das normalerweise keine Zeiger enthält, und daß die Entdeckungseinrichtung (201, 303, 401) zur Entdeckung des Zeigerfingerabdrucks in dem Verkehrsstrom dient, um festzustellen, daß der Verkehrsstrom einen potentiellen Pufferüberflußangriff gegen den genannten Betriebssystempuffer aufweist.
  7. System nach Anspruch 6, dadurch gekennzeichnet, daß der vorbestimmte Bitstrom von einem Stapelzeiger kommt.
  8. System nach Anspruch 6 oder 7, dadurch gekennzeichnet, daß der vorbestimmte Bitstrom von einer Bibliothek des c (libc)-Funktionszeigers oder eines Zeigers für eine globale Offset-Tabelle (GOT) kommt.
DE60220214T 2001-06-29 2002-06-12 Methode und System zum Entdecken von Eindringlingen Expired - Lifetime DE60220214T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
FI20011409 2001-06-29
FI20011409 2001-06-29

Publications (2)

Publication Number Publication Date
DE60220214D1 DE60220214D1 (de) 2007-07-05
DE60220214T2 true DE60220214T2 (de) 2008-01-24

Family

ID=8561541

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60220214T Expired - Lifetime DE60220214T2 (de) 2001-06-29 2002-06-12 Methode und System zum Entdecken von Eindringlingen

Country Status (3)

Country Link
US (1) US7260843B2 (de)
EP (1) EP1271283B1 (de)
DE (1) DE60220214T2 (de)

Families Citing this family (55)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040073617A1 (en) * 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7331061B1 (en) 2001-09-07 2008-02-12 Secureworks, Inc. Integrated computer security management system and method
US20030084318A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically correlating data for an intrusion protection system
US20030084340A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically displaying data for an intrusion protection system
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) * 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US20060015942A1 (en) * 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US7870203B2 (en) * 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US8561167B2 (en) * 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7096498B2 (en) 2002-03-08 2006-08-22 Cipher Trust, Inc. Systems and methods for message threat management
US8132250B2 (en) * 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7903549B2 (en) * 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
EP1593228B8 (de) 2003-02-14 2017-09-20 McAfee, LLC Netzwerk-audit-richtliniensicherstellungssystem
US7251735B2 (en) * 2003-07-22 2007-07-31 Lockheed Martin Corporation Buffer overflow protection and prevention
KR100586500B1 (ko) * 2004-03-18 2006-06-07 학교법인고려중앙학원 버퍼 오버플로우 공격들을 감지하고 복구하는 방법 및 그장치
US8201257B1 (en) 2004-03-31 2012-06-12 Mcafee, Inc. System and method of managing network security risks
US8881282B1 (en) * 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US7650640B1 (en) * 2004-10-18 2010-01-19 Symantec Corporation Method and system for detecting IA32 targeted buffer overflow attacks
US8635690B2 (en) * 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7937480B2 (en) * 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US8266697B2 (en) * 2006-03-04 2012-09-11 21St Century Technologies, Inc. Enabling network intrusion detection by representing network activity in graphical form utilizing distributed data sensors to detect and transmit activity data
US7818799B2 (en) * 2006-05-30 2010-10-19 Microsoft Corporation Tamper response mechanism
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8179798B2 (en) * 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7779156B2 (en) * 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8763114B2 (en) * 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8185930B2 (en) * 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) * 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US20090125980A1 (en) * 2007-11-09 2009-05-14 Secure Computing Corporation Network rating
US7991726B2 (en) * 2007-11-30 2011-08-02 Bank Of America Corporation Intrusion detection system alerts mechanism
US8160975B2 (en) * 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
EP2222048A1 (de) * 2009-02-24 2010-08-25 BRITISH TELECOMMUNICATIONS public limited company Detektion von böswilligem Verhalten in einem Computernetzwerk
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
EP2458890B1 (de) * 2010-11-29 2019-01-23 Nagravision S.A. Verfahren zur verfolgung von videoinhalt, der von einem decodierer verarbeitet wird
US9160539B1 (en) * 2011-09-30 2015-10-13 Emc Corporation Methods and apparatus for secure, stealthy and reliable transmission of alert messages from a security alerting system
US8997230B1 (en) * 2012-06-15 2015-03-31 Square, Inc. Hierarchical data security measures for a mobile device
US9977897B2 (en) * 2014-07-16 2018-05-22 Leviathan Security Group, Inc. System and method for detecting stack pivot programming exploit
US10733594B1 (en) 2015-05-11 2020-08-04 Square, Inc. Data security measures for mobile devices
US10546302B2 (en) 2016-06-30 2020-01-28 Square, Inc. Logical validation of devices against fraud and tampering
US10373167B2 (en) 2016-06-30 2019-08-06 Square, Inc. Logical validation of devices against fraud
US10496993B1 (en) 2017-02-15 2019-12-03 Square, Inc. DNS-based device geolocation
US10552308B1 (en) 2017-06-23 2020-02-04 Square, Inc. Analyzing attributes of memory mappings to identify processes running on a device
US10715536B2 (en) 2017-12-29 2020-07-14 Square, Inc. Logical validation of devices against fraud and tampering
CN108696713B (zh) * 2018-04-27 2021-08-24 苏州科达科技股份有限公司 码流的安全测试方法、装置及测试设备
JP7060800B2 (ja) * 2018-06-04 2022-04-27 日本電信電話株式会社 感染拡大攻撃検知システム及び方法、並びに、プログラム
US11507958B1 (en) 2018-09-26 2022-11-22 Block, Inc. Trust-based security for transaction payments
US11494762B1 (en) 2018-09-26 2022-11-08 Block, Inc. Device driver for contactless payments

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DK170490B1 (da) * 1992-04-28 1995-09-18 Multi Inform As Databehandlingsanlæg
US5949973A (en) * 1997-07-25 1999-09-07 Memco Software, Ltd. Method of relocating the stack in a computer system for preventing overrate by an exploit program
US6006329A (en) * 1997-08-11 1999-12-21 Symantec Corporation Detection of computer viruses spanning multiple data streams
US6219706B1 (en) * 1998-10-16 2001-04-17 Cisco Technology, Inc. Access control for networks
US6301699B1 (en) * 1999-03-18 2001-10-09 Corekt Security Systems, Inc. Method for detecting buffer overflow for computer security
JP3552627B2 (ja) * 2000-02-04 2004-08-11 インターナショナル・ビジネス・マシーンズ・コーポレーション スタック保護システム、コンピュータシステム、コンパイラ、スタック保護方法および記憶媒体
US6971019B1 (en) * 2000-03-14 2005-11-29 Symantec Corporation Histogram-based virus detection

Also Published As

Publication number Publication date
DE60220214D1 (de) 2007-07-05
EP1271283A3 (de) 2003-09-03
US7260843B2 (en) 2007-08-21
EP1271283B1 (de) 2007-05-23
US20030014664A1 (en) 2003-01-16
EP1271283A2 (de) 2003-01-02

Similar Documents

Publication Publication Date Title
DE60220214T2 (de) Methode und System zum Entdecken von Eindringlingen
DE69818232T2 (de) Verfahren und system zur verhinderung des herunterladens und ausführens von ausführbaren objekten
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE69817176T2 (de) Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
DE60123672T2 (de) Computersystemschutz
DE60015821T2 (de) System zur Verwaltung von Benutzercharakterisierenden Protokollkopfteilen
DE69724356T2 (de) Verfahren und Apparat für die Darstellung von Information im Bezug auf jeden einzelnen von mehreren Hyperlinks
DE112010004940B4 (de) Automatisches Erkennen von Adressbereichen für IP-Netzwerke
DE10024715B4 (de) Verfahren und Vorrichtung zum Einrichten einer Zwei-Wege-Übertragung zwischen einem Host-System und einer Vorrichtung
DE112019001121B4 (de) Auf einem computer implementiertes verfahren zum identifizieren von malware und system hierfür
DE10394008T5 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
WO2016005273A1 (de) Verfahren zum erkennen eines angriffs auf eine mit einem kommunikationsnetzwerk verbundene arbeitsumgebung
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
EP2362321A1 (de) Verfahren und System zum Erkennen einer Schadsoftware
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
DE60217729T2 (de) Verfahren zum erkennen eines elektronischen geräts in einem mehrfachsteuersystem
DE112021000455T5 (de) Deep packet analyse
DE112014006880T5 (de) Analysevorrichtung, Analyseverfahren und computerlesbares Speichermedium
WO2016169646A1 (de) System und verfahren zur überwachung der integrität einer von einem serversystem an ein clientsystem ausgelieferten komponente
DE10241974A1 (de) Überwachung von Datenübertragungen
EP1374041A2 (de) Serverüberwachung
DE10046437A1 (de) Identifizierungsverfahren in einem Rechnernetzwerk

Legal Events

Date Code Title Description
8364 No opposition during term of opposition