DE69929206T2 - System zur analyse der informationssicherheit - Google Patents

System zur analyse der informationssicherheit Download PDF

Info

Publication number
DE69929206T2
DE69929206T2 DE69929206T DE69929206T DE69929206T2 DE 69929206 T2 DE69929206 T2 DE 69929206T2 DE 69929206 T DE69929206 T DE 69929206T DE 69929206 T DE69929206 T DE 69929206T DE 69929206 T2 DE69929206 T2 DE 69929206T2
Authority
DE
Germany
Prior art keywords
data
network
tool
information
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE69929206T
Other languages
English (en)
Other versions
DE69929206D1 (de
Inventor
P. Michael MALONEY
M. John SUIT
J. Christopher SCOTT
M. Francis WOODUS
Rich Rubel
Joseph Karolchik
Holly D. Dontas
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CA Inc
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Publication of DE69929206D1 publication Critical patent/DE69929206D1/de
Application granted granted Critical
Publication of DE69929206T2 publication Critical patent/DE69929206T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Description

  • TECHNISCHES GEBIET DER ERFINDUNG
  • Die vorliegende Erfindung bezieht sich auf ein Informationssicherheit-Analysesystem zur Schadensminderung von Internetsicherheitsbelangen, Visualisierungsproblemen von Computerquellen- und ausführbarem Code. Ferner bezieht sich die Erfindung auf ein Informationssicherheit-Analysesystem zur offensiven und defensiven Internetanalyse und zum Schutz von kommerziellen und nationalen Infrastrukturen.
  • ALLGEMEINER STAND DER TECHNIK
  • Die weltweite Benutzung des Internets nimmt weiterhin in phänomalem Maße zu. Benutzer wie Regierungen, Institutionen, Unternehmen und Einzelpersonen haben alle einen Internetanschluss zum Zwecke der Durchführung ihrer täglichen Aktivitäten. Leider hat jedoch die Entwicklung und Implementierung von Sicherheitsmaßnahmen, die darauf ausgerichtet sind, den Internetanschluss zu einem sicheren Kommunikationsmittel zu machen, nicht Schritt gehalten mit den technologischen Fortschritten in der Expansion der Netzwerkentwicklung und Interkonnektivität. Folglich sind Internetbenutzer und Netzwerke dem Risiko ausgesetzt, dass ihre Information durch Hacker und böswillige Benutzer kompromittiert wird, die andauernd Wege finden, Netzwerke und Daten zu interminieren und aus ihnen Kapital zu schlagen.
  • Bei richtigem Einsatz können Feuerwandtechnologien dazu beitragen, die „Haustür" von Firmen-Intranets zu sichern, diese Technologien haben jedoch Probleme, den Anwendungen, Diensten und der Sicherheit gerecht zu werden, die von Benutzern verlangt wird. Obwohl viele Produkte entwickelt wurden, die die Entdeckung von Netzwerktopologie erleichtern, sind nur wenige davon fähig, passiv zu wirken.
  • Intranet-Sicherheits- und Überwachungsbedürfnisse steigen sowohl in der staatlichen wie auch der privaten Industrie immer weiter. Dies lässt sich fast täglich der Fachpresse und den Internet-Nachrichtengruppen entnehmen. Konkretere Beweise dafür liefern die staatlichen Ausschreibungen zur Unterbreitung von Angeboten, in denen zunehmend mehr sicherheitsbezogene Fähigkeiten gefordert werden. Sowohl staatliche als auch private Industrien verwenden sehr viel Zeit und Geld darauf, die Abbildung, Überwachung, Detektion von Eindringung und die Computersicherheit des Intranets zu adressieren. Dies hat dazu geführt, dass eine ideenreiche Anzahl von Organisationen Intranet-Computersicherheitsdienste, Analyse-Tools und damit verknüpfte Produkte anbietet.
  • KURZDARSTELLUNG DER ERFINDUNG
  • Gemäß der vorliegenden Erfindung wird vorgesehen:
    Ein Verfahren nach Anspruch 1; eine Vorrichtung nach Anspruch 18; und ein Computerprogrammprodukt nach Anspruch 45.
  • Das System der vorliegenden Erfindung wirkt passiv und stellt eine Methodologie zur Durchführung einer detaillierten Analyse von Daten bereit, die während einer Überwachungssitzung erfasst werden.
  • Ohne zusätzlichen Verkehr in einem Netzwerk zu erzeugen, erstellt das erfindungsgemäße System ein virtuelles Bild der Netzwerknutzung und der Netzwerkschwächen. Durch Ordnen der Eingaben vieler Erfassungs-Tools zu visuellen schematischen Darstellungen werden die Sicherheitsverwalter aktiv in der Beurteilung von Netzwerkschwächen und in der Identifizierung optimaler Standorte zur Implementierung von Sicherheitsmaßnahmen. Anhand der vom erfindungsgemäßen System aufgedeckten Information können Sicherheitsverwalter potentielle Verkehrsengpässe identifizieren, das Vorhandensein von Hintertüren feststellen, Bandbreitennutzung reduzieren, Benutzerprofile entwickeln und unzulässige Aktivitäten genau aufzeigen.
  • Das erfindungsgemäße Softwaresystem enthält vier miteinander verbundene Module: passive Netzwerkentdeckung, Netzwerkdatenaufzeichnung, Netzwerkdatenparsing und Netzwerkdaten-Analyse-Tools.
  • Netzwerkdatenvisualisierungfähigkeiten sind in den passiven Netzwerkentdeckungs- und Netzwerkdatenanalyse-Modulen enthalten. Das Softwaresystem ermöglicht Computercodeanalyse und die 3-D-Visualisierung und Animation von Netzwerkverkehr und -stuktur. Durch optionale Plug-ins werden die Softwarefähigkeiten weiter ausgedehnt und verbessert, so dass das Softwaresystem fähig ist, ungeachtet der Netzwerkentwicklung auf dem letzten Stand zu bleiben.
  • Das erfindungsgemäße System ermöglicht einem Systemverwalter, das Netzwerk abzubilden, normale und abnormale Nutzungsmuster zu bestimmen, Virusattacken festzustellen, die Netzwerkzuweisung zu managen und das Netzwerk anzuzeigen.
  • Technisch gesehen, ist das Analysesystem eine Sammlung, Konfiguration und Integration von Softwareprogrammen, die auf mehreren miteinander verbundenen Computerplattformen residieren. Die Software, ohne die Computerbetriebssysteme, ist eine Kombination aus Sensor-, Analyse-, Datenumwandlungs- und Visualisierungs-Softwareprogrammen, Datendateien und Visualisierungsprogrammen über ein Lokalbereichsnetzwerk (LAN). Diese Sammlung und Integration von Software und die Abwanderung auf eine einzige Computerplattform ist es, aus der sich eine Möglichkeit zur LAN/WAN-Überwachung im passiven und/oder aktiven Modus ergibt. Zum Beispiel können Router- und Feuerwandsoftware in Fast-Echtzeit überwacht werden, um zu bestimmen, ob der Code ungeachtet der Sicherheitsvorkehrungen funktionell geändert wurde. LAN/WAN-Daten, die in den Protokollen der Datenlink- bis Präsentationsschichten im OSI-Modell enthalten sind, stehen zusammen mit entsprechenden Anzeigen im zwei- oder dreidimensionalen Raum zur Analyse zur Verfügung.
  • Die Architektur ermöglicht ferner die digitale Dateneingabe über externe Sensoren zur Analyse, Anzeige und Korrelation mit Daten und Anzeigen, die von vier hauptsächlichen Softwaregruppen abgeleitet sind. Dies sind: Viruscomputercodenachweis; Analyse von Computerquellen- und ausführbarem Code; dynamische Überwachung von Datenkommunikationsnetzwerken, 3-D-Visualisierung und Animation von Daten.
  • Das vorliegende Analysesystem erzeugt eine Schablone und eine Anzeige von Viruscomputercode in einem grafischen funktionellen Modus. Derzeitige Techniken verlassen sich auf Bitströme oder Echtzeitüberwachung, um einen Computervirus im Hostcomputer nachzuweisen. Der Ansatz des erfindungsgemäßen Analysesystems untersucht die Funktionalität von verdächtigem Code, um zu bestimmen, ob ein Computervirus vor seiner Ausführung im Hostcomputer existiert. Der Ansatz kann als Ableitung einer genetischen Struktur betrachtet werden, wonach zu bestimmen ist, ob diese Struktur zum Beispiel in einem Computerprogramm, einer Datei oder in Email-Anlagen vorhanden ist.
  • Des Weiteren werden vom erfindungsgemäßen Analysesystem Vergleiche zwischen gleichen Typen von Computerquellencode und ausführbarem Code im mehrdimensionalen Raum grafisch angezeigt und durchgeführt, um zu bestimmen, ob der Code einmal oder mehrmals funktionell geändert wurde. Das Analysesystem ermöglicht grafische Analyse, Codesequenzialisierung und den Vergleich zwischen zwei oder mehr ähnlichen Quellen- und/oder ausführbaren Computerpro grammen, um das Ausmaß der funktionellen Änderung zu bestimmen. Dadurch kann die Funktionalität in einem einzigen Computerquellen- oder ausführbaren Programm dokumentiert, grafisch dargestellt, animiert dargestellt, dynamisch untersucht und bestimmt werden. Das erfindungsgemäße System ist ferner fähig, Quellencode und ausführbaren Code nach Sprache zu sortieren und die Ergebnisse in einem grafischen funktionellen Format anzuzeigen. Zum Beispiel kann die Filtertabellendatei eines Routers periodisch überwacht werden, um zu bestimmen, ob die Datei ungeachtet der aktuellen Standardsicherzeitsvorkehrungen funktionell geändert wurde.
  • Das erfindungsgemäße Analysesystem entdeckt passiv die physischen und virtuellen Eigenschaften von digitalen Datenkommunikationsnetzwerken und zeigt verschiedene digitale Kommunikationsnetzwerke in interaktiver Weise an. Virtuelle Entdeckung wird als die Fähigkeit definiert zu bestimmen, wie das digitale Datennetzwerk von seinen Teilnehmern benutzt wird, und wer sich an wen zu jedem beliebigen Zeitpunkt anschließt. Dieser Prozess bestimmt auch die Konfigurationsänderungen in einem digitalen Datenkommunikationsnetzwerk über wählbare Zeitintervalle. Die physische Präsenz des erfindungsgemäßen Analysesystems im passiven Modus auf einem LAN/WAN-System ist mit konventionellen Techniken nicht entdeckbar, erfordert keine Benutzerprivilegien, verbraucht keine Netzwerkbandbreite und stört nicht die Kommunikationen auf LAN/WAN-Systemen. Das Analysesystem kann schnell Subnetze abbilden und komplette Netzwerke aufbauen, wenn die Terminalaktivität zunimmt. Jedes aktive Terminalziel im Netzwerk wird zusammen mit angehängter Information abgebildet und angezeigt. Die angezeigte Information zeigt sowohl physische als auch virtuelle Beziehungen und auch Netzwerkdarstellungen. Das Analysesystem kann auch für die entfernte Überwachung, Kollaboration und Entdeckung von LAN-Systemen mit Netzwerksonden kombiniert werden. In diesem Szenario fungiert ein Terminal als Master-Einheit, die ihre Eingaben von den entfernten Sonden erhält. In diesem Betriebsmodus kann ein passiver Betriebsmodus aufhören oder nicht aufhören, je nachdem ob die Kollaboration innerhalb des Bandes und/oder außerhalb des Bandes stattfindet.
  • Von dem erfindungsgemäßen Analysesystem werden alle Daten dynamisch angezeigt, gedreht und animiert dargestellt, die es von den drei hauptsächlichen Softwaregruppen in drei oder mehr Dimensionen empfängt. Gleichzeitiges Betrachten verschiedener Typen von digitalen Daten in physischen und/oder virtuellen Bereichen ist verfügbar.
  • Gemäß der vorliegenden Erfindung wird die Konnektivität und Funktionalität für jeden Typ von digitalen Daten angezeigt. Die Daten von jeder der drei hauptsächlichen Softwaregruppen kann angezeigt und um jede Achse in zwei oder mehr separaten, aber angeschlossenen visuellen Ebenen gedreht werden. Der Prozess zeigt ferner die Konnektivität zwischen verschiedenen Typen von Daten der drei hauptsächlichen Softwaregruppen einschließlich Dateneingaben von externen Sensoren an. Die Visualisierungssoftware kann benutzerdefinierbare Symbole anhängen, um dem Bedienenden oder Analytiker das Verständnis zu erleichtern. Die Software wirkt mittels eines „Mausklicks" mit einem Knoten zusammen, wobei sie Information, die sich auf den Knoten bezieht, der von den drei hauptsächlichen Softwaregruppen dargestellt wird, dynamisch abruft, dekodiert und anzeigt. Für den Fall, dass die 3-D Knotendiagramme unübersichtlich werden, zieht der Analytiker mehrere Knoten zu einzelnen gemeinsamen miteinander verbundenen Knoten zusammen. Diese Fähigkeit stellt eine übersichtliche Darstellung des ursprünglichen Diagramms für den Analytiker bei Aufrechterhaltung der Funktionalität der einzelnen zusammengezogenen Knoten bereit.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Ein vollständigeres Verständnis der vorliegenden Erfindung wird beim Durchlesen der folgenden ausführlichen Beschreibung unter Bezugnahme auf die beiliegenden Zeichnungen erreicht, in denen:
  • 1 ein Blockdiagramm eines erfindungsgemäßen Informationssicherheit-Analysesystems für passive Netzwerkdatenentdeckung, Visualisierung und Analyse ist;
  • 2 ein Anwendungsflussdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems von 1 ist;
  • 3 ein Blockdiagramm ist, welches die Architektur für ein Entdeckungs-Tool zum Einsatz mit dem Informationssicherheit-Analysesystem von 1 zeigt;
  • 4 schematisch eine typische Informationsstruktur für das in 3 dargestellte Entdeckungs-Tool darstellt;
  • 5 ein Blockdiagramm des 3-D Visualisierungsmoduls des Informationssicherheit-Analysesystems von 1 ist;
  • 6 ein Blockdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems darstellt, das als Eindringungsdetektor benutzt wird;
  • 7 ein Blockdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems darstellt, das als offensives Tool zum Prüfen auf eine Knotenattacke oder ein Informations-Hijacking verwendet wird; und
  • 8 eine typische Anzeige darstellt, die eine erfindungsgemäße objektorientierte Netzwerkvisualisierung veranschaulicht.
  • AUSFÜHRLICHE BESCHREIBUNG DER ERFINDUNG
  • Bezugnehmend auf 1 ist ein Informationssicherheit-Analysesystem 10 dargestellt, welches ein Entdeckungs-Tool 12 zur aktiven oder passiven Überwachung eines Lokalbereichnetzwerks (LAN) mittels eines Datenkanals 14 enthält. Das Entdeckungs-Tool 12 umfasst folgende Funktionen: Sensormanagement, passive Netzwerkentdeckung (Netzwerk-Viewer, Netzwerktopologie), Paket-Analyser, Wissensbank-Viewing, sowie Warnung und Berichterstattung. Ferner sammelt das Entdeckungs-Tool 12 Verkehrs- und Nutzungsdaten und bildet die Netzwerkkonnektivität ab. Die vom Entdeckungs-Tool 12 gesammelten Daten werden Teil einer im Speicher aufbewahrten Wissensbank 16. Die Daten werden nach hauptsächlichen Kategorien geordnet, wie folgt: Adresse, Host, LM-Host, Domaine, LM-Domaine, SubNet, IP-Adresse, WWW, MAC-Adresse, NetwareHost, NetwareNetwork, NetwareStation, Alert, NetwareServer-Typ, Anwendung, BS, WWW-Browser, WWW-Server, HTTP-Server, NNTP-Server, Protokoll, User, POP3-User, FTP-User, SMTP-Sender, SMTP-Empfänger, POP3-Passwort, FTP-Passwort, Router und Lieferant geordnet.
  • Daten in der Wissensbank 16 werden einem Parsing-Tool zur Verfügung gestellt, welches die erfassten Netzwerkdaten des Entdeckungs-Tools 12 in eine Form umwandelt, die von den stromabwärtigen Programmen des Systems benutzt werden können. Die vom Parsing-Tool 18 abgerufenen Daten stehen nun der Analytical Engine 20 zur Verfügung, um die vom Entdeckungs-Tool 12 erfassten Daten zu analysieren, dabei wird das Zusammenlegen von mehreren Datendateien sowie die Entwicklung von und der Vergleich zwischen Netzwerknutzungsmustern unterstützt. Die Analytical Engine 20 kann durch Software von i2 Inc., die unter dem Markennamen "Analyst's Notebook" vermarktet wird, implementiert werden. Eine zweite Analytical Engine 20 des Verteidigungsministeriums (Department of Defence) namens PROPELLER ist ebenfalls verfügbar. Die vorliegende Erfindung ist ferner fähig, weitere Analytical Engines, so wie sie verfügbar werden, zu benutzen. Die Analytical Engines 20 sind ein dynamischer Satz von Grafik-Tools zur Erfassung und Anzeige einer Vielfalt von relationalen Datengruppen in einem als "Link Chart" (Link-Diagramm) bezeichneten Format. Bei Einsatz der Analytical Engine 20, wie dem "Analyst's Notebook", können erfasste Daten dazu verwendet werden, Netzwerkeigenschaften zu kennzeichnen und zu dokumentieren und/oder mögliche Netzwerkeindringlinge zu finden. Nach dem Erfassen und Ordnen von Daten kann die Analytical Engine 20 dazu benutzt werden, Verknüpfungen zwischen einer Anzahl von verschiedenen Datendiagrammen herzustellen, um Korrelation oder Differenzierung zu bestimmen. Nun stehen Beziehungen zwischen einer Reihe von Datenquellen zur Verfügung, um Hypothesen zu verifizieren, Beziehungen zwischen mehreren Datengruppen zu korrelieren und Zieldaten innerhalb einer großen Datengruppe zu identifizieren. Netzwerkdaten müssen analysiert werden, um Wissensbankdaten zu Sitzungsdaten, Paketdaten und Warnungsdaten (Alerts) in Beziehung zu setzen. Diese Beziehungen helfen bei der Bestimmung, wer mit wem gesprochen hat, sowie der Bestimmung des Inhalts spezifischer Protokolle (HTP, HTTP, NNTP, POP3, SMTP, TELNET und IMAP). Im Zuge der Analysierung von Netzwerkdaten wird eine Bestimmung bezüglich der IP- und/oder MAC-Adressen getroffen, die einem oder mehreren Datengruppen gemeinsam sind. Bei Kennzeichnen des Netzwerks auf diese Weise muss periodisch ein Schnappschuss der über einen Zeitraum erfassten Daten gemacht werden. Der Durchschnitt der vorhandenen IP- und MAC-Adressen wird dazu benutzt, ein "Link-Diagramm" des Verkehrs zwischen jeder Gruppe von Adressen zu erstellen. Der gleiche Prozess kennzeichnet entweder einen Teil des Netzwerks oder das ganze Netzwerk.
  • Bei Einsatz der Analytical Engines 20 können allgemein wiederholt benutzte Ressourcen durch Verwendung einer Stichprobentechnik bestimmt werden. Ein interessierender Zeitraum wird identifiziert, der allgemeine Nutzung aufdeckt, und die Daten werden während dieses Zeitraums erfasst. Um zum Beispiel das Volumen des Email-Verkehrs zwischen 11.00 und 13.00 Uhr zu bestimmen, würde jeden Tag eine Stichprobennahme über mehrere Wochen hinweg stattfinden, bis Ähnlichkeiten in der Herkunft und den Zielorten des Verkehrs augenscheinlich sind. Nach Abschluss der Stichprobennahme können die Analytical Engines 20 ein Diagramm erstellen, in welchem alle IP- und/oder MAC-Adressen verzeichnet sind, die in der Stichprobennahme identifiziert wurden.
  • Mehrere Optionen stehen zur Anzeige der analysierten Daten zur Verfügung, einschließlich einer 2-D-Anzeige 22 und einer 3-D-Anzeige 24. Jedes der Tools 12 und 18, die Analytical Engine 20 und die Anzeigen 22 und 24 sind funktionsmäßig miteinander und mit einer Bedienungssoftwareschnittstelle verbunden, um Anweisungen von einem Bediener des Informationssicherheit-Analysesystems 10 zu empfangen.
  • Das System von 1 akzeptiert externe Sensordaten (d.h. biometrische Information, Fakturierungsdaten, SS7, PBX, Paging-Information) in digitalen Formaten. Wenn die externen Daten mit Netzwerkentdeckungs-Tools und Analyse-Tools kombiniert werden, entsteht ein klares Bild des gesamten Kommunikationssicherheitsprozesses. Somit kombiniert das erfindungsgemäße System physische Sicherheitsbedürfnisse mit elektronischen Kommunikationssystemen und IS/IT/CIO-Abteilungen zur Erstellung eines kompletten Überwachungspakets.
  • Gemäß Bedieneranweisungen werden ausgewählte Teile der gespeicherten Datenbank zur Analyse der Tatsachen und Visualisierung in zwei oder drei Dimensionen vom System aufgezeichnet und zurückgespielt. Dies lässt sich an externe Sensor- und/oder Eindringungsdetektionsdaten anpassen.
  • Ferner kann das System von 1 FTP-, HTTP- und TELNET-, POP3-, SMTP-, NNTP- und IMAP-Sitzungen in Fast-Echtzeit und/oder nach dem Geschehen dekodieren. Die modulare Architektur der vorliegenden Erfindung gestattet das Hinzufügen von Plug-in-Modulen, um Protokolldekodierungen weiter zu verbessern und auszuweiten einschließlich der Rekonstruktion einer Sitzung. Dieses Merkmal erlaubt dem Analysesystem 10, automatisch den Kontext von Information im Intranet zu bestimmen. Diese Information wird dann in Knoten-Diagramme eingegeben, damit das Netzwerksicherheitspersonal bestimmen kann, welche Information weiteren Schutz erfordert. Diese Information kann auch zur Beantwortung von Fragen benutzt werden, wie zum Beispiel: werden illegale Geschäfte innerhalb des Intranets getätigt; was ist, wenn ein Angestellter eine andere Person belästigt; wo verbringen Angestellte ihre Zeit im World-Wide-Web.
  • In einer Implementierung des Informationssicherheit-Analysesystems 10 wurde ein Pentium-basierter PC mit einer Zentraleinheit von 166 MHz Minimum zum Betrieb des Betriebssystems WindowsNT 4.0 benutzt. Des Weiteren wies das Analysesystem 10 64 Megabyte echtes RAM, ein 1-Gigabyte-Festplattenlaufwerk und einen 17-Inch-Monitor auf. Der verbesserte Betrieb des Informationssicherheit-Analysesystems 10 wird durch Verwendung eines Pentium II/300 oder besser mit 128 Megabyte echtem RAM, einem 4-Gigabyte-Festplattenlaufwerk und einem 21-Inch-Monitor erzielt.
  • In 2 ist ein Flussdiagramm einer Anwendung des Informationssicherheit-Analysesystems 10 von 1 darge stellt. Eine passive Datenentdeckungsmaschine (Entdeckungs-Tool 12) dient zum Sammeln von Daten betreffend ein Netzwerk, wobei die Daten nach dem Entdecken in eine Wissensbank 16 eingefügt werden. Insbesondere sammelt das Entdeckungs-Tool 12 Daten zur Erfassung von Quellencode und ausführbaren Code kleiner Computer in einem Knotendiagramm im zwei- oder dreidimensionalen Raum. Die Sammlung dieser Daten ermöglicht Skalieren und Anzeigen großer Computercode-Knotendiagramme, so dass eine Analyse genügend flexibel ist, innerhalb einer großen Codemenge die Zusammenschaltungen für Computerausrüstungen, die digitale Datenkommunikationsnetzwerke unterstützen, zu betrachten und zu beobachten. Das Sammeln von Computerquellencode und ausführbarem Code durch das Entdeckungs-Tool 12 ermöglicht dem erfindungsgemäßen System ferner, ein Programm für kleinen Computerquellencode und ausführbaren Code synthetisch zu simulieren, während darauf bezogene Knotendiagramme im 3-D-Raum betrachtet werden. Die ermöglicht die Bestimmung eines Ortes, an dem ein böswilliger Code innerhalb eines Programms residieren kann, die Identifierung von Speicherorten, an denen die Daten nach Ausführung eines Programms residieren, und grafische Vektoren als Schablonen dazu benutzen, nach spezifischen Typen von Codemodulen (d.h. Viren, Verschlüsselungsalgorithmen) zu suchen. Ferner sammelt das Entdeckungs-Tool 12 Daten auf Intranets (d.h. LAN, WAN) zur gleichzeitigen Anzeige der physischen und virtuellen Netzwerkdiagramme in zwei Dimensionen. Dies ermöglicht der Systemanalyse, sofort physische Ausrüstungsnetzanschlüsse eines Datenkommunikationsnetzwerks anzuzeigen. Beispielsweise ist ein Systemanalytiker durch Implementierung einer Summen- und Differenzroutine in der Lage zu bestimmen, wenn neue Terminals und/oder Konfigurationen zum Netzwerk hinzugefügt oder aus diesem entfernt wurden, einschließlich der möglichen Idsentifizierung von Intranet-"Hintertüren". Das Sammeln dieser Daten über Intranets ermöglicht das Erstellen virtueller Intranet-Diagramme und somit eine Echtzeitanalyse über die Art der Nutzung des Netzwerks, wer mit wem kommuniziert, Bestimmung potentieller Stauungspunkte und Schwächen, begrenzte Routenverfolgungsrekonstruktion und Typen angeforderter World-Wide-Web-Dienste.
  • Des Weiteren sammelt die Entdeckungsmaschine Information über die Struktur des Netzwerks, seine Betriebsweise und die der Netzwerkbenutzer. Eine typische Entdeckungsmaschine koordiniert die Information vieler Sensoren, um ein in die Tiefe gehendes Bild der Netzwerkdaten bereitzustellen. Ferner sammelt die Entdeckungsmaschine Daten über eine Betriebssitzung des Netzwerks zusätzlich zu Metadatenpaketen, die sämtlich zusammen mit der Wissensbank als "Flache Dateien" erstellt wurden. Außer dem Sammeln und Analysieren des Ethernet-LAN-Verkehrs kann die Entdeckungsmaschine auch auf das Sammeln und Analysieren anderer Netzwerkverkehrstypen einschließlich ATM-, WAN-Protokollen und zellularer Kommunikationen eingerichtet werden.
  • Die Entdeckungsmaschine (Entdeckungs-Tool 12) erzeugt eine Wissensbank der über ein Netzwerk erfassten Daten, wobei diese Daten in einer entsprechend benannten Datei in einem gespeicherten Datenverzeichnis des Entdeckungs-Tools 12 aufbewahrt werden. Das Format der "flachen Textdatei" der Entdeckungsmaschine wird jetzt verarbeitet zur weiteren Verwendung durch das Informationssicherheit-Analysesystem 10.
  • Diese flache Wissensbank-Textdatei wird von dem Parsing-Tool 18 mit Hilfe einer Schlüsselwortsuche der Wissensbankdatei verarbeitet, um Daten in verschiedenen Kategorien zu erzeugen. Zum Beispiel werden die Daten in verschiedene Kategorien eingeteilt, wie folgt: eindeutige Benutzerkennung, Host, LM-Host, Domaine, LM-Domaine, SubNet, IP-Adresse, WWW, MAC-Adresse, NetWare Host, NetWare Netzwerk, NetWare Station und verschiedene andere verfügbare Kategorien.
  • Außer der Gliederung der Wissensbank 16 in verschiedene Kategorien kann das Parsing-Tool auch Hash-Ausgabedateien erzeugen.
  • Nach dem Parsen der Wissensbank 16 spricht die Analytical Engine 20 auf die Daten an, um sie nach Vorbereitung in vektor-basierte Knotendiagramme umzuwandeln. Typisch erstellt die Analytical Engine 20 Verknüpfungen zwischen einer Anzahl verschiedener Tabellen, um zu bestimmen, ob diese Datentabellen korrelieren oder differenzieren. Beziehungen zwischen einer Reihe von Datenquellen dienen zur Verifizierung von Hypothesen, zur Korrelierung von Beziehungen unter mehreren Datengruppen und zur Identifizierung von Zieldaten innerhalb einer großen Datengruppe. Auf der Basis dieser Analyse ermöglicht das Informationssicherheit-Analysesystem die Entwicklung von Ressourcen, um ein Netzwerk zu managen.
  • Die Analytical Engine 20 analysiert Netzwerkdaten, um Wissensbankdaten auf Sitzungsdaten, Paketdaten und Warndaten zu beziehen, da anhand dieser Beziehungen bestimmt wird, wer mit wem gesprochen hat, und was der Inhalt des Verkehrs für spezifische Protokolle ist.
  • Im Zuge des Prozesses der Analysierung von Netzwerkdaten, die vom Entdeckungs-Tool 12 (Entdeckungsmaschine) empfangen wurden, muss auch bestimmt werden, was für Kommunikationen in mehr als einer Datengruppe existieren. Bei Kennzeichnen der Daten auf diese Weise muss periodisch ein Schnappschuss der über einen Zeitraum erfassten Daten gemacht werden. Der Durchschnitt der existierenden Beziehungen wird dazu benutzt, ein "Link-Diagramm" des Verkehrs zwischen den Datengruppen zu erstellen.
  • 3 zeigt die Architektur eines typischen Entdeckungs-Tools 12 von 1, wie in dem Anwendungsflussdiagramm von 2 veranschaulicht. Ein oder mehrere Sensoren werden mit Hilfe eines spezialisierten Sensors gesteuert, um Setup, Sammeln und Übertragungssteuerung bereitzustellen. Für das lokale Ethernet ist über der NDIS-Schicht ein Ethernet-Treiber für die Bereitstellung von Netzwerkdaten-Rohpaketen vorgesehen. Pakete von Daten werden von einem Sensor-Manager 32 in die Warteschlange gesetzt und dann für alle Tools in einer Tool-Suite 34 bereitgestellt. Eine interne Paketverarbeitungsmaschine 36 dekodiert Datenpakete und wandelt die Rohdaten in Informationselemente um, die allen Tools in einer Tool-Suite zur Verfügung stehen. Ferner filtert eine Script-Maschine 38 besonders interessante Information und gibt das Wissen in die Wissensbank 16 ein. Diese Datenbank steht ebenfalls allen Tools der Tool-Suite 34 zur Verfügung.
  • Das Entdeckungs-Tool 12 enthält ferner außer der Steuerung eines spezialisierten Sensors die Steuerung des entfernten Sensors 42. Der entfernte Manager 40 fragt den entfernten Sensor, zum Beispiel einen web-basierten Monitor und ein Abfrage-Tool, ab, der allen Tools in der Tool-Suite 34 zur Verfügung zu stellen ist.
  • Wie in 3 dargestellt, besteht das Entdeckungs-Tool 12 aus einem eng gekoppelten Sensor/Prozessor, der auf einer Suite von interoperablen Tools basiert. Diese Tools stellen Visualisierung, Abbildung und Analyse der eingehenden Daten und des verarbeiteten Wissens bereit. Das Sensor-Manager-Tool 80 dient zur Konfiguration und Steuerung der Sensoren (lokale oder entfernte Sensoren) innerhalb des Entdeckungs-Tools 12, wodurch das Sammeln von Daten ohne Übertragung an das Entdeckungs-Tool 12 ermöglicht wird. Zu verschiedenen Aspekten des Sensor-Manager-Tools 80 gehört die Anzeige von Sensoren, die in einer obersten Schicht entsprechend des Host sortiert sind, das Sammeln aller Sensordaten innerhalb einer Kategorie, die Möglichkeit der Übertragung von Daten von Sensoren zum Entdeckungs-Tool, wiederum nach ausge wählter Kategorie, die Möglichkeit der Kommunikation von einem entfernten Sensor zum Entdeckungs-Tool, das Hinzufügen eines neuen (entfernten) Hosts und damit verknüpfter Sensoren zur Steuerung des Sensor-Management-Tools.
  • Das Netzwerk-Viewer-Tool 82 stellt automatische Entdeckung, automatisches Layout und automatische Visualisierung von Netzwerkknoten und Verknüpfungen bereit. Knoten sind Quellen von Computerverkehr, sie beinhalten Server, Hosts und Clients. Verknüpfungen sind Darstellungen von Ende-zu-Ende-Verkehr und können auf Höherebenen-Netzwerkelemente (wie Router) übertragen werden. Das Netzwerk-Viewer Tool 82 liest Paketinformation und stellt ein physisches Bild eines oder mehrerer logischer Netzwerke bereit. Das logische Bild zeigt Knoten- und Verknüpfungsinformation an und liefert ein physisches Bild eines oder mehrerer logischer Netzwerke. Das logische Bild zeigt summierte Knoten- und Verknüpfungsinformation über mehrere Pakete an. Insoweit als Netzwerkverkehr (Knoten und Verknüpfungen) auf vielen Instanzen des OSI-Netzwerkmodells (Datenverknüpfung, usw.) existiert, findet eine wirksame Visualisierung durch Untersuchen des Quellennetzwerks auf vielen verschiedenen Schichten statt. In einer Ausführungsform des Netzwerk-Viewer-Tools 82 stellen Kreise in einem Grafikfenster Knoten und Linien Kommunikationsverknüpfungen dar. Mit der automatischen Entdeckung von mehr Knoten durch das Entdeckungs-Tool 12 erscheint eine Zählung für jedes Netzwerk im Grafikfenster zusammen mit einer Netzwerk-Markierung. Da die Knotendarstellung baum-basiert ist, ist die Zählung das Aggregat aller Knoten unter dem Bezugsknoten. Information, die relevant für einen Knoten aus der Wissensbank 16 ist, wird im Fenster des Objekt-Viewer-Tools 84 angezeigt.
  • Das Objekt-Viewer-Tool 84 ist mit dem Netzwerk-Viewer-Tool 82, dem Topologie-Anzeige-Tool 90 und dem Abfrage-Konsolen-Tool 94 integriert. Das Objekt-Viewer-Tool 84 aktiviert die Anzeige von Information betreffend alle transitiven (nicht address-basierten) Beziehungen, die für ein Objekt erstellt werden können. Wenn zum Beispiel eine IP-Adresse mit dem Benutzer und ein Benutzer mit einer Hostadresse verknüpft ist, sind diese ein Teil der Objekt-Viewer-Tool-Anzeige. Wenn jedoch die Hostadresse ferner mit einer weiteren IP-Adresse verknüpft ist, wird diese transitive Verknüpfung wegen der möglichen Verwechslung bei Interpretierung der Beziehungen nicht angezeigt. Da Knoten Objekte und Verknüpfungen Beziehungen sind, erstellt das Objekt-Viewer-Tool 84 eine Liste von Objekten, die nach Klasse sortiert angezeigt werden.
  • Eine Analyse der Datenpakete und der Datenpaketstruktur wird durch Aktivierung des Paket-Viewer-Tools 86 bereitgestellt. Hiermit wird die Struktur der, oder die Information innerhalb der, Netzwerkpakete bereitgestellt, und ferner dient es der Erkennung und dem Verständnis neuer, ungewöhnlicher und/oder proprietärer Protokolle. Wenn das Paket-Viewer-Tool 86 aktiviert wird, ist zu Anfang ein (nicht dargestelltes) Paketfilter auf die Erfassung aller aktualisierten Pakete eingestellt. Wenn ein Benutzer an bestimmten Pakettypen interessiert ist, ermöglicht das Paket-Viewer-Tool 86 dem Benutzer, bestimmte Paket-Untergruppen über einen Paketfilter-Setup-Dialog auszuwählen. Während das Paket-Viewer-Tool 86 nützlich für Protokoll-Austesten und Entwicklung ist, lässt sich die Funktionalität dieses Tools auch für die Suche nach neuen Pakettypen einsetzen.
  • Als Nächstes soll das Kenntnis-Browser-Tool 88 besprochen werden, welches eine visuelle Schnittstelle für die Wissensbank 16 ist und einen baum-basierten Ansatz zum Suchen nach Objekten in Klassen innerhalb der Wissensbank darstellt und außerdem Verknüpfungsinformation zum Verfolgen von Posten und Information bereitstellt, die im Netzwerk passiv vom Entdeckungs-Tool entdeckt wurden. Das Kenntnis-Browser-Tool 88 ermöglicht das Erfassen, Ordnen und Kategorisieren von Netzwerkinformation, von Aufgaben, die sowohl Automatisierung zur Vereinfachung als auch Anpassung zum leichteren Zugriff durch den Benutzer erfordern.
  • Grundsätzlich ist eine Klasse, die durch das Kenntnis-Browser-Tool 88 durchsucht wird, ein Element in der kategorisierte Information enthaltenden Wissensbank 16 und kann Unterklassen, Objekte oder beides enthalten. Beispiele von Klassen sind IP-ADDR, MAC-ADDR, und SMPT-Sender. Ein Objekt im Sinne der vorliegenden Erfindung ist ein Mitglied einer Klasse, und ist ein Element in der Wissensbank 16 mit netzwerkspezifischer Information.
  • Das Entdeckungs-Tool 12 enthält die (als separater Thread laufende) Script-Maschine 38 zur Verarbeitung von Informationselementen innerhalb empfangener Protokolle, um Informationen über Objekte innerhalb eines Netzwerks zu sammeln. Zu Standardobjekttypen gehören Benutzer, Hosts, Domainen, Anwendungen und Adressen, aufgrund der Ontologie-Spezifikation können jedoch neue Objekte hinzugefügt werden. Unter Einsatz von Einweg- oder Zweiwegbindungen zur Weitergabe von Information (zum Beispiel Host und Benutzer) werden Verknüpfungen erstellt, wobei Informationselemente über mehrere Protokoll-/Objekttypen hinweg verwendet werden. Im Wesentlichen wird gemäß der Funktion der vorliegenden Erfindung aus einem Netzwerk eine im mehrdimensionalen Raum enthaltene verknüpfte Grafik, wobei Beziehungen als Verknüpfungen zwischen Vektoren innerhalb dieses Raums gespeichert werden.
  • Als Nächstes wird das Topologie-Anzeige-Tool 90 besprochen, welches eine kompakte, automatisch erzeugte Ansicht der Elemente eines vom Entdeckungs-Tool 12 identifizierten Netzwerks bereitstellt. 8 zeigt eine typische Fensteranzeige nach Aktivierung des Topologie-Anzeige-Tools 90. Auf Basis der in der Wissensbank 16 enthaltenen Infor mation zeigt das Topologie-Anzeige-Tool 90 Router, SubNets und Benutzerknoten an. Des Weiteren kann diese Ansicht mit einer Untergruppe von Klassen innerhalb der Wissensbank 16 überlagert werden. Zum Beispiel können Hostnamen und Schwächen gezeigt werden.
  • Das Sitzungsaufzeichnungs-Tool 92 ermöglicht erneute Paketzusammenstellung, TCP/IP-Sitzungsmanagement und Kenntnis-Entdeckung. Das Tool ist ein Mechanismus zur Beobachtung mehrerer, auf Paketebene nur schwer zu handhabender Sitzungstypen wie beispielsweise HTTP, POP3, SMTP, SNMP, TELNET, NNTP und IMAP. Durch erneute Zusammenstellung von Paketen und der Suche nach wichtigen Informationsaspekten in den neu zusammengestellten Paketen bietet das Sitzungsaufzeichnungs-Tool die Möglichkeit, Anwendungsebenen-Entitäten im Netzwerk zu beobachten und Kenntnisse über sie zu sammeln.
  • Im Betrieb stellt das Sitzungsaufzeichnungs-Tool 92 erneut verbindungsorientierte Flüsse oder Sitzungen zusammen. Diese Schicht-4-Sitzungen (zum Beispiel TCP) und darüberliegenden Sitzungen bestehen aus mehreren Paketen, die wieder zusammengestellt und geparst werden müssen, um Information auf Anwendungsebene freizulegen. Paket- und Zellenrekonstruktionstechniken versorgen den Benutzer mit Zustandsinformation (zum Beispiel Anrufabwicklung und Sitzungsüberwachung) sowie mit Information auf Anwendungsebene (zum Beispiel Emailadressen). Durch Verwendung von Sitzungsuchtechniken innerhalb des Sitzungsaufzeichnungs-Tools 92 in Kombination mit Warnungsverarbeitung können Fähigkeiten (wie zum Beispiel Erkennen, wenn ein bestimmter Benutzer Email erhält) flexibel konstruiert werden. In einer Implementierung eines Sitzungsaufzeichnungs-Tools 92 können folgende Sitzungen angezeigt werden: HTTP, POP3, TELNET, FTP, SMTP, NNTP und IMAP. Während das Sitzungsaufzeichnungs-Tool 92 läuft, können Daten zur Wissensbank 16 hinzugefügt werden, während das Tool Sitzungen für ver schiedene Informationsteile entdeckt, verarbeitet und scannt.
  • Das Abfragekonsolen-Tool 94 stellt eine textbasierte Schnittstelle für eine Wissensbank bereit. Bei Verwendung des Abfragekonsolen-Tools 94 kann ein Benutzer bestimmen, ob die Wissensbank 16 ein Objekt (zum Beispiel eine individuelle IP-Adresse) enthält, oder den Satz von Objekten bestimmen, die zu einer Klasse der Wissensbank 16 gehören (zum Beispiel IP-ADDR). In einer Implementierung des Abfragekonsolen-Tools 94 wurde die Wissensbank 16 auf Namen der obersten Ebenenklasse, zu einer gegebenen Klasse gehörende Objekte und spezifische Klassenobjekte abgefragt.
  • Außer der Tool-Suite 34 enthält das Entdeckungs-Tool 12 ein Wissensbank-Parsing-Toolset 96, wie in 3 dargestellt. Nach Entdeckung der Daten des Netzwerks, welches analysiert wird, werden die Daten nun auf das richtige Format zum Einsatz durch die Analytical Engine 20 eingerichtet. Das Wissensbank-Parsing-Toolset 96 hat die Funktion, die gesammelten Daten zu nehmen und sie zum Einsatz durch die Analytical Engine 20 auf das richtige Format einzurichten. Individuelle Tools im Wissensbank-Parsing-Toolset 96 stehen zum Parsen von Daten aus der Wissensbank 16 und zum Extrahieren von Information aus gespeicherten Protokolldateien und neu zusammengestellten Sitzungsdateien zur Verfügung. Das Wissensbank-Parsing-Toolset 96 umfasst acht Tools: KB-Parsing, Email-Extraktion, Sitzungsverbindung, Web-Extraktion, Grafik-Extraktion, KB-Summierung, Dateimanipulation und Spaltenteilung.
  • Das Netzwerkentdeckungs-Tool erzeugt die Wissensbank 16 der über ein Netzwerk zusammengestellten Daten. Diese Daten werden in einer flachen Textdatei aufbewahrt und zum Wiedereinsatz durch das Entdeckungs-Tool 12 zur Anzeige eines Netzwerks gespeichert. Das Format des Textes ist jedoch nicht nützlich zur nachfolgenden Verarbeitung. Das KB-Parsing-Tool parst die Daten, die zur Anzeige in einer Spaltendatei ausgegeben, in eine Datenbank oder in die Analytical Engines 20 importiert werden sollen. Ferner stellt das KB-Parsing-Tool eine Schlüsselwortsuche bereit, um Daten in verschiedenen Kategorien zu erzeugen.
  • Wie erklärt, ist das Sitzungsaufzeichnungs-Tool 92 ein Mechanismus zur Beobachtung mehrerer Sitzungstypen und Erzeugung von Dateien, die erneut zusammengestellte Sitzungsdaten enthalten. Die Anzahl Dateien, die während eines einzelnen Sammelns von Daten erstellt werden, kann zum Beispiel 10.000 überschreiten. Das Email-Extraktions-Tool eines Wissensbank-Tools im Toolset 96 sorgt für das Ordnen von POP3- und SMTP-Dateien in summarische Bezeichnungen. Die summarischen Bezeichnungen werden dann in eine Datenbank oder in die Analytical Engine 20 importiert. Das Email-Extraktions-Tool enthält einen Schlüsselwortsuchmechanismus sowie andere Daten-Parsing-Typen.
  • Wie erwähnt, erzeugt das Entdeckungs-Tool 12 eine Wissensbank von über ein Netzwerk gesammelten flachen Dateidaten. Das Web-Extraktions-Tool eines Wissensbank-Toosets 96 ermöglicht das Parsen und Formatieren von Daten aus flachen HTML-Dateien, die anschließend in eine Datenbank oder in die Analytical Engine 20 importiert werden. Das Web-Extraktions-Tool enthält einen Kennzeichen-Suchmechanismus (ähnlich eines Schlüsselworts) sowie andere Typen von Datenverarbeitungs-Algorithmen.
  • Das Grafik-Extraktions-Tool des Wissensbank-Toolsets 96 dient zur erneuten Zusammenstellung von Bilddateien aus einem aufgezeichneten Format. Die Anzeige des Sitzungsaufzeichnungs-Tools 92 dient zur Aufzeichnung von HTTP-Sitzungen. Diese Sitzungsdateien enthalten eine Kopfzeile, die die Sitzung und die mit der Sitzung verknüpften Daten beschreibt. Wenn ein JPG- oder GIF-Bild heruntergeladen wird, werden die Daten in der Sitzung neu zusammengestellt.
  • Diese Daten können jedoch in dem aufzeichneten Format nicht angezeigt werden. Das Grafik-Extraktions-Tool wandelt die neu zusammengestellte, JPG- und GIF-Daten enthaltende HTTP-Sitzungsdatei um und erstellt eine neue Protokolldatei, die Namen und Bilder enthält.
  • Daten, die unter Einsatz des Entdeckungs-Tools 12 in der flachen Textdatei aufbewahrt wurden, werden vom KB-Summierungs-Tool des Wissensbank-Toolsets 96 dazu benutzt, eine statistische Matrix der in den Paket- und Sitzungsprotokollen enthaltenen Daten zu erstellen. Zum Beispiel kann die Instanz eines Protokolls als Y-Achse und die IP-Quellenadresse als X-Achse benutzt werden. Nach erfolgter Auswahl des Paket- oder Sitzungsprotokolls prüft das KB-Summierungs-Tool die entsprechende Protokolldatei und zeigt verfügbare Zugriffskriterien an, um eine Grafik zu erstellen. In der Analyse eines typischen Netzwerks wird eine große Anzahl von Dateien erzeugt. Das Dateimanupulations-Tool des Wissensbank-Toolsets 96 stellt eine Schnittstelle zur Reduzierung des Volumens der erzeugten Dateien bereit, die zu durchsuchen sind. Es ermöglicht das Löschen oder Verschieben von Dateien nach Dateigröße, Dateityp oder Dateiinhalt zum Zwecke der Verbesserung der nachfolgenden Verarbeitung. Erzeugte Dateien werden gemäß der gewählten Kriterien für alle Dateien in einer Gruppe verarbeitet.
  • Aufgezeichnete Sitzungen des Entdeckungs-Tools 12 werden gelegentlich abgebrochen und als neue Sitzung wiederhergestellt. Diese abgebrochenen Sitzungen werden vor der Anzeige vorzugsweise erneut zusammengestellt. Das Sitzungsverbindungs-Tool des Wissensbank-Toolsets 96 verbindet alle abgebrochenen Sitzungen zu abgeschlossenen Transaktionen.
  • Im Wissensbank-Toolset 96 ist ferner ein Datenspaltenteilungs-Tool enthalten. Dieses Tool dient zum Entfernen unerwünschter Datenspalten aus Protokolldateien.
  • In 4 ist eine Strukturierung der Information in der Wissensbank 26 dargestellt. Die Definition und Struktur des Wissens wird in Betracht gezogen, um es vor der Verarbeitung der Netzwerkinformation besser verstehen zu können. 4 ist ein organisatorisches Diagramm von Informationskategorien, die vom Entdeckungs-Tool 12 in der Wissensbank zusammengestellt wurden. Die Wissensbank ist eine objektorientierte relationale Entität, die als flache Textdatei aufbewahrt wird und aus Information besteht, die aus Paketen im Datenkanal 14 gesammelt wurde.
  • In 5 ist ein Blockdiagramm der 3-D-Anzeige 25 einschließlich eines Visualisierungs-Vorprozessors 100 dargestellt, der ASCI-Rohdaten von der Analytical Engine 20 empfängt. Ferner wird in den Visualisierungs-Vorprozessor 100 über eine Softwareverbindung 108 eine Visualisierungs-Setup-Datei 102, eine Verbindungsinformationsdatei 104 und eine Feldschlüsseldatei 106 eingegeben. Nach dem Verarbeiten der Daten von der Analytical Engine 20 überträgt der Visualisierungs-Vorprozessor 100 die verarbeiteten Daten an eine 3-D-Rendering-Engine 110. Die Rendering-Engine 110, ein kommerzielles standardmäßiges Softwarepaket, formatiert die Information gemäß Benutzeranweisungen von einem Eingabegerät 114 und bereitet die Information auf die Eingabe in einer Anzeige 112 vor.
  • Durch den Einsatz kopfmontierter Anzeigetechnologie und eines 6-Grad-Freiheit-Verfolgungssystems, das Daten vom Vorprozessor 108 empfängt, kann sich der Benutzer ganz in die Betrachtung des durch die Daten in der Wissensbank 16 identifizierten Netzwerks versenken. Diese Technologie bietet dem Benutzer die weitere Fähigkeit, im Gegensatz zu einer traditionellen flachen Anzeige mit der Netzwerkdatenanzeige zusammenzuwirken und zu verhandeln.
  • Wiederum bezugnehmend auf 1 fügt die 3-D-Anzeige 25 eine dritte Dimension zu allen vom Entdeckungs-Tool 12 gesammelten Daten hinzu, um komplexe Knotendiagramme im 3-D-Raum zu betrachten, animiert darzustellen und zu analysieren. Dies ist erforderlich, weil die Rohdatendatei nur zwei Dimensionen enthält. Wenn die Daten von den Analytical Engines drei oder mehr Dimensionen ausgäben, wäre die 3-D-Anzeige nicht erforderlich, um eine dritte Dimension hinzuzufügen. Durch Hinzufügung eines dritten Vektors ist die gleichzeitige Betrachtung großer komplexer Diagramme auf zusammengeschalteten Ebenen gemäß Benutzeranweisungen vom Eingabegerät 94 möglich. Die Anzeige von 5 erlaubt einem Analytiker, das Diagramm um jede beliebige Achse zu drehen, so dass Beziehungen betrachtet werden können, die sonst, in zwei-dimensionalen Ebenen betrachtet, nicht erkennbar wären.
  • In 6 ist eine representative Ausführungsform des erfindungsgemäßen Analysesystems 10 von 1 dargestellt. Das Analysesystem 10 wird auf einem Terminal 46 als Teil eines Netzwerks einschließlich Terminals 48, 50 und 52 betrieben. Das Netzwerk einschließlich der Terminals 46, 48, 50 und 52 ist über die Feuerwand 54 zusammengeschaltet. Die Feuerwand 54 weist eine Schnittstelle mit einem Netzwerk 56 auf, die einen Netzwerk-Analyser 58 umfasst. Der Analyser 58 analysiert den eingehenden Verkehr zu den Terminals und passt auf, ob "Metadaten" ankommen, die mit einem im Netzwerk ankommenden Eindringling verknüpft sind. Typisch richtet der Analyser 68 spezifische Metadaten ein, die mit einer ankommenden Eindringung verknüpft sind. Wie in 6 veranschaulicht, ist das Netzwerk 56 an ein Gateway 60 und ein Terminal 62 gekoppelt, das einen entfernten Eindringling darstellt, der Terminal 48 zum Ziel hat.
  • Im vorliegenden Beispiel wird angenommen, dass der entfernte Eindringling an Terminal 60 versucht, eine Email an das Zielterminal 48 hinter der Feuerwand 54 zu schicken. Das auf Terminal 46 laufende, erfindungsgemäße Analyse system 10 überwacht eingehende Emails auf Ethernetebene durch das Entdeckungs-Tool 12. Das Analysesystem 10 zeichnet eingehenden Email-Verkehr als Teil der Wissensbank 16 auf, wie zum Beispiel Postprotokoll Version 3 (POP3) und das einfache Mail-Übertragungsprotokol (SMTP). Darüber hinaus untersucht das Analysesystem 10 mit eingehenden Emails verknüpfte Metadaten und ferner SMTP/POP3 Pakete, die am Zielterminal 48 eingehen. Identifizierte SMTP/POP3-Pakete, die zum Zielterminal 48 gehen, durchlaufen die Analytical Engine 20 zur Analyse. Wie an früherer Stelle erklärt, importiert die Analytical Engine 20 die Metadaten, die ihr vom Entdeckungs-Tool 12 zur Analyse und Anzeige zugeschickt wurden.
  • Bezugnehmend auf 7 ist eine Ausführungsform des erfindungsgemäßen Analysesystems 10 in der Umgebung eines Mehrknotennetzwerks dargestellt. Wie dargestellt, umfasst das Netzwerk Knoten 64, 66 und 68. An den Knoten 68 ist ein Terminal 70 angeschlossen, auf dem das Analysesystem 10 von 1 läuft. Ferner ist an den Knoten 68 ein Netzwerk-Analyser 72 angeschlossen. Jeder der Knoten 64, 66 und 68 ist an eine Feuerwand 74 angeschlossen. Die Feuerwand 74 wiederum liegt hinter einer zusätzlichen Feuerwand 76, die an ein (nicht dargestelltes) Weitbereichsnetz angeschlossen ist.
  • In diesem Beispiel überwacht das auf Terminal 70 laufende Analysesystem 10 die Intranetverkehrsebene und zeichnet Datenpakete von jedem der Terminals der verschiedenen Knoten auf. Für ein angegriffenes Terminal, wie Terminal 64a, richtet das Analysesystem eine Ziel-Quellen-Paketstruktur ein und könnte mittels der erfindungsgemäßen Analytical Engine 20 modifiziert werden, um ein angegriffenes Terminal zu schließen.
  • Es versteht sich, dass 6 und 7 lediglich zwei beispielhafte Ausführungsformen des Analysesystems 10 dar stellen. Zu weiteren Einsätzen des Informationssicherheit-Analysesystems 10 gehört offensive und defensive Informationsbetrachtung, Kontextknoten-Visualisierung gleichzeitiger Emails, FTP- und TELNET-Sitzungen, grafisches Playback von gefiltertem Knotenverkehr, Analysieren von Computerquellencode und ausführbarem Code, passive und dynamische Entdeckung von physischer und virtueller LAN- oder WAN-Netzwerk-Konnektivität, sowohl interne als auch externe Entdeckung der Eindringung in ein LAN- oder WAN-Netzwerk, wie zum Beispiel mit Bezug auf 6 beschrieben, automatisches Warnen und Ergreifen korrektiver Maßnahmen, wenn ein Netzwerk angegriffen wird (7) und Entdecken von Computerviren.
  • Obwohl die Erfindung mit Bezug auf eine bevorzugte Ausführungsform beschrieben wurde, ist nicht beabsichtigt, den Geltungsbereich der Erfindung auf die beschriebene bestimmte Form zu beschränken, sondern es ist im Gegensatz dazu beabsichtigt, Alternativen, Modifikationen und Äquivalente in den in den Ansprüchen definierten Geltungsbereich der Erfindung aufzunehmen.

Claims (45)

  1. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks (14), umfassend: Sammeln von Information über die physischen und virtuellen Eigenschaften eines Datenkommunikationsnetzwerks (14); Erzeugen einer Wissensbank (16) der gesammelten Information; Parsen der Information in der erstellten Wissensbank (16), um Daten in ausgewählten Kategorien in lesbarem Format zu erzeugen; Analysieren der Daten in den ausgewählten Kategorien, um Verknüpfungen zu erstellen, die kennzeichnend für das Datenkommunikationsnetzwerk (14) sind; und Visualisieren der analysierten Daten, um die Teilnehmernutzung des Datenkommunikationsnetzwerks zu bestimmen.
  2. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Erzeugen einer Wissensbank (16) die Konstruktion eines Knotennetzwerk-Diagramms umfasst.
  3. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Erzeugen einer Wissensbank (16) das Bestimmen interner und externer Eindringungsversuche umfasst.
  4. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Erzeugen einer Wissensbank (16) das Dokumentieren und Ordnen der Daten in einer funktionalen Netzwerkkonfiguration umfasst.
  5. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Erzeugen einer Wissensbank das Erzeugen von Paketen und Teilpaketen der gesammelten Information umfasst.
  6. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Sammeln von Information das Sammeln von Information zur Bestimmung der Teilnehmernutzung des Kommunikationsnetzwerks (14) zu einem gegebenen Zeitpunkt umfasst.
  7. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 6, wobei das Sammeln von Information das Sammeln von Information über Konfigurationsänderungen im Kommunikationswerk (14) über ausgewählte Zeitintervalle hinweg umfasst.
  8. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Analysieren der Daten das Umwandeln der erzeugten Daten in vektor-basierte Knoten-Diagramme umfasst.
  9. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Analysieren der Daten das Inbezugsetzen der Daten der Wissensbank (16) zu Sitzungsdaten und Paketdaten des Kommunikationsnetzwerks (14) umfasst.
  10. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei das Visualisieren der analysierten Daten umfasst: Speichern einer Visualisierungs-Setup-Datendatei (102) zur Lieferung von Information und Daten zur Verarbeitung; Speichern einer auf das Kommunikationswerk bezogenen Netzwerkverknüpfungsdatendatei (104); Aufrufen jeder der gespeicherten Dateien auf einer selektiven Basis; Übertragen der aufgerufenen Dateidaten auf einen Visualisierungsprozessor (100); und Verarbeiten der aufgerufenen Dateidaten und der analysierten Daten zur Bestimmung der Teilnehmernutzung des Datenkommunikationsnetzwerks (14).
  11. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, wobei die analysierten Daten auf die Kommunikationsnetzwerke bezogene Konnektivitäts- und Funktionalitätsdaten umfassen, und wobei: Visualisieren der analysierten Daten das Übertragen der Konnektivitäts- und Funktionalitätsdaten an den Visualisierungsprozessor (100) umfasst; Verarbeiten der aufgerufenen Dateidaten, der Konnektivitäts- und Funktionalitätsdaten, um Netzwerkdatensignale zur Anzeige zu erzeugen; und Verarbeiten der erzeugten Netzwerkdatensignale in einer 3D-Rendering Engine (110), um Netzwerk-Konnektivitäts- und Funktionalitätsanzeigesignale auszugeben.
  12. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 12, wobei das Visualisieren der analysierten Daten ferner umfasst: Erzeugen von Benutzereingabedaten zur Steuerung der 3D-Rendering Engine (110); Übertragen der Benutzereingabedaten an die 3D-Rendering-Engine (110); und Verarbeiten der Benutzereingabedaten und der erzeugten Netzwerkdatensignale in der 3D-Rendering-Engine, um Netzwerk-Konnektivitäts- und Funktionalitätsanzeigesignale gemäß den Benutzereingabedaten auszugeben.
  13. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 1, weiterhin umfassend: Sammeln von Information über die physischen und virtuellen Eigenschaften jedes einer Mehrzahl von Datenkommunikationsnetzwerken; Erzeugen einer Wissensbank (16) anhand der für jede der Mehrzahl von Datenkommunikationsnetzwerken gesammelten Information; Parsen der Information in der erzeugten Wissensbank (16), um Daten in ausgewählten Kategorien in lesbarem Format zu erzeugen; Analysieren der Daten in den ausgewählten Kategorien zur Erstellung von Verknüpfungen und dadurch Kennzeichnen jeder der Mehrzahl von Datenkommunikationsnetzwerken; und Visualisieren der analysierten Daten zur Bestimmung der Nutzung und der Zusammenwirkung jeder der Mehrzahl von Datenkommunikationsnetzwerken durch Teilnehmer zu jedem beliebigen Zeitpunkt.
  14. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 13, wobei das Analysieren der Daten die entfernte Überwachung, Zusammenarbeit und Entdeckung von Netzwerksystemen beinhaltet.
  15. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 13, wobei das Visualisieren der analysierten Daten die gleichzeitige Anzeige eines oder mehrerer Kommunikationsnetzwerke in einer interaktiven Konfiguration umfasst.
  16. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 13, wobei das Analysieren der Daten das Abbilden von Teilnetzen zum Neukonfigurieren von Netzwerken bei zunehmender Terminalaktivität in einem Netzwerk umfasst.
  17. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 13, wobei das Visualisieren der analysierten Daten das Anzeigen jedes aktiven Terminals in einem Netzwerk zusammen mit Knoten und Links und angehängter Information umfasst.
  18. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks (14), umfassend: ein Entdeckungs-Tool (12) zum Sammeln von Information über die physischen und virtuellen Eigenschaften eines Datenkommunikationsnetzwerks (14); eine Wissensbank (16) zum Speichern der über die physischen und virtuellen Eigenschaften eines Datenkommunikationsnetzwerks (14) gesammelten Information; ein Daten-Parsing Tool (18), das auf die Information in der Wissensbank (16) anspricht, um Daten in ausgewählten Kategorien in lesbarem Format zu erzeugen; eine Analytical Engine (analytische Maschine) (20), die die Daten in den ausgewählten Kategorien empfängt, um Verknüpfungen zu erstellen, die kennzeichnend für das Datenkommunikationsnetzwerk (14) sind; und eine Anzeige (22, 24), die auf die Ausgaben der Analytical Engine (20) anspricht, um die analysierten Daten zu visualisieren und dadurch die Teilnehmernutzung des Datenkommunikationsnetzwerks (14) zu bestimmen.
  19. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 18, weiterhin umfassend: eine Tool-Suite (34); und einen Sensor-Manager (32), um an die Tools in der Tool-Suite (34) zu liefernde Datenpakete in eine Warteschlange zu setzen.
  20. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 19, weiterhin umfassend: eine interne Paketverarbeitungsmaschine (36) zum Dekodieren von Datenpaketen und Umwandeln von rohen Datenkommunikationsnetzwerks-daten in Informations elemente, auf die Tools in der Tool-Suite (34) zugreifen können.
  21. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 20, weiterhin umfassend eine Script-Maschine (38) zum Filtern von bestimmter Information zur Eingabe in die Wissensbank.
  22. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 18, wobei das Entdeckungs-Tool (12) umfasst: eine Tool-Suite (34) interoperabler Tools, um Visualisierung, Abbildung und Analyse eingehender Daten und verarbeiteter Kenntnisse bereitzustellen.
  23. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 22, wobei die Tool-Suite (34) umfasst: ein Sensor-Manager-Tool (80) zur Konfiguration und Steuerung von Sensoren innerhalb des Entdeckungs-Tools, um das Sammeln von Daten zu ermöglichen; ein Netzwerk-Viewer-Tool (82), um Entdeckung, Layout und Visualisierung von Netzwerkknoten und Verknüpfungen bereitzustellen; ein mit dem Netzwerk-Viewer-Tool integriertes Objekt-Viewer-Tool (84), um die Anzeige von Knoteninformation zu aktivieren; ein Datenpaket-Viewer-Tool (86) zur Analyse der Datenpakete und Datenpaketstruktur; ein Kenntnis-Browser-Tool (88) zum Durchblättern von Objekten nach Klasse innerhalb der Wissensbank; und ein Topologie-Anzeige-Tool (90) zum Aktivieren der Anzeige zur Visualisierung von Elementen des Kommunikationsnetzwerks.
  24. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 23, wobei das Netzwerk-Viewer-Tool (82) weiterhin das Lesen von Paketinformation umfasst, um ein physisches Bild eines oder mehrerer logischer Netzwerke bereitzustellen.
  25. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 23, wobei das Objekt-Viewer-Tool (84) die Anzeige aktiviert, um Information über transivitive Beziehungen zu präsentieren und eine Liste von nach Klasse sortierten Objekten zu erstellen.
  26. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 23, wobei das Kenntnis-Browser-Tool (88) Verknüpfungsinformation zum Verfolgen von Posten und Information, die passiv im Kommunikationsnetzwerk entdeckt wurden, bereitstellt.
  27. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 26, wobei das Kenntnis-Browser-Tool (88) weiterhin die Akquisition, Organisation und Kategorisierung von Kommunikationsnetzwerkinformation ermöglicht.
  28. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 22, wobei die Tool-Suite (34) weiterhin umfasst: ein Sitzungsaufzeichnungs-Tool (92) für Paketzusammenstellung, TCP/IP-Sitzungsmanagement und Kenntnis-Ent deckung, um Anwendungsebenen-Entitäten im Kommunikationsnetzwerk zu beobachten und zu identifizieren.
  29. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 22, wobei die Tool-Suite (34) weiterhin umfasst: ein Abfragekonsolen-Tool (94), welches eine textbasierte Schnittstelle für eine Wissensbank bereitstellt, um die Anwesenheit eines Objekts im Kommunikationsnetzwerk zu bestimmen.
  30. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 18, weiterhin umfassend: ein Parsing Tool (18), welches die Information von der Wissensbank (16) empfängt, um Daten in ausgewählten Kategorien in lesbarem Format zu empfangen, wobei das Parsing Tool (18) Information von der Wissensbank (16) empfängt und Daten in ausgewählten Kategorien in lesbarem Format erzeugt, und das Parsing Tool (18) ein KB Parsing Tool, ein Email-Extraktions-Tool, ein Sitzungsverbindungs-Tool, ein Web-Extraktions-Tool, ein Grafik-Extraktions-Tool, ein KB Summier-Tool, ein Dateimanipulations-Tool und ein Spaltenteilungs-Tool umfasst.
  31. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 30, wobei das KB Parsing Tool die Kommunikationssnetzwerkdaten parsiert (analysiert), um sie zur Anzeige in einer kolumnaren Datei auszugeben, oder in eine Datenbank oder in die Analytical Engine zu importieren.
  32. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 31, wobei das KB Parsing Tool eine Schlüsselwortsuche bereitstellt, um Kommunikationsnetzwerk-daten in verschiedenen Kategorien zu erzeugen.
  33. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 30, wobei das Email-Extraktions-Tool für das Ordnen von Dateien in Form zusammenfassender Beschreibungen sorgt.
  34. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 30, wobei das Web-Extraktions-Tool Parsen und Formatieren von Daten aus flachen Dateien ermöglicht, um sie in eine Datenbank oder die Analytical Engine zu importieren.
  35. Vorrichtung zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach Anspruch 30, wobei das KB Summier-Tool eine statistische Matrix von in Paketen und Sitzungsprotokollen enthaltenen Daten erstellt.
  36. Verfahren zur dynamischen Überwachung eines Datenkommunikationsnetzwerks nach einem der Ansprüche 1 bis 17, weiterhin umfassend: Abrufen von netzwerkbezogenen Daten zur Visualisierung und Animation eines digitalen Kommunikationsnetzwerks; Übertragen der abgerufenen Netzwerkdaten an einen Visualisierungsprozessor (100); Übertragen einer Visualisierungs-Setup-Datei (102) an den Visualisierungsprozessor (100); Übertragen einer Verknüpfungsinformationsdatei (104) an den Visualisierungsprozessor (100); Verarbeiten der Netzwerkdaten, des Visualisierungs-Setups und der Verknüpfungsinformation im Visualisierungsprozessor, um Netzwerkdatensignale zur Anzeige zu erzeugen; Übertragen der erzeugten Netzwerkdatensignale an eine Rendering Engine (110); und Verarbeiten der erzeugten Netzwerkdatensignale in der Rendering Engine (110) zur Ausgabe von Netzwerkanzeigesignalen.
  37. Verfahren nach Anspruch 36, weiterhin umfassend: Speichern einer Visualisierungs-Setup-Datei (102) zur Lieferung von Information und Daten für die Verarbeitung; Aufrufen der gespeicherten Visualisierungs-Setup-Datei (102) auf einer selektiven Basis; Übertragen der aufgerufenen Dateidaten an einen Visualisierungsprozessor (100); Abrufen netzwerkbezogener Daten zur Visualisierung und Animation eines digitalen Kommunikationsnetzwerks; Übertragen der abgerufenen netzwerkbezogenen Daten an den Visualisierungsprozessor (100); Verarbeiten der aufgerufenen Dateidaten und netzwerkbezogenen Daten, um Netzwerkdatensignale zur Anzeige zu erzeugen; Übertragen der erzeugten Netzwerkdatensignale an eine 3D Rendering Engine (110); und Verarbeiten der erzeugten Netzwerkdatensignale in der 3D Rendering Engine, um netzwerkbezogene Anzeigesignale auszugeben.
  38. Verfahren nach Anspruch 37, weiterhin umfassend das Erzeugen von Benutzereingabedaten zur Steuerung der 3D Rendering Engine (110); und wobei das Verarbeiten, in der 3D Rendering Engine (110), das Verarbeiten der Benutzereingabedaten und der erzeugten Netzwerkdatensignale umfasst, um netzwerkbezogene Anzeigesignale gemäß den Benutzereingabedaten auszugeben.
  39. Verfahren nach Anspruch 37 oder 38, weiterhin umfassend: Speichern einer Feldschlüsseldatei (106) zur anschließenden Verarbeitung; und wobei das Aufrufen auf einer selektiven Basis das Aufrufen der Visualisierung-Setup-Datendatei (102) und der Feldschlüsseldatei (106) umfasst.
  40. Verfahren nach Anspruch 36, weiterhin umfassend: Speichern einer Visualisierungs-Setup-Datei (102) zur Lieferung von Information und Daten für die Verarbeitung; Speichern einer Netzwerkverknüpfungsdatendatei (104), die sich auf jede einer Mehrzahl von digitalen Kommunikationsnetzwerken bezieht; Speichern einer Feldschlüsseldatei (106) für die anschließende Verarbeitung; Aufrufen jeder der gespeicherten Dateien auf einer selektiven Basis; Übertragen der aufgerufenen Dateidaten an einen Visualisierungsprozessor (100); Abrufen der auf jede der Mehrzahl von digitalen Kommunikationsnetzwerken bezogenen Daten; Übertragen der abgerufenen Daten an den Visualisierungsprozessor (100); Verarbeiten der aufgerufenen Dateidaten, der Konnektivitäts- und Funktionalitätsdaten, um Netzwerkdatensignale zur Anzeige zu erzeugen; Erzeugen von Benutzereingabedaten zur Steuerung einer 3D Rendering Engine (110); Übertragen der erzeugten Netzwerkdatensignale an die 3D Rendering Engine (110); und Verarbeiten der Benutzereingabedaten und der erzeugten Netzwerkdatensignale in der 3D Rendering Engine (110), um Netzwerkkonnektivitäts- und Funktionalitäts-Anzeigesignale gemäß den Benutzereingabedaten auszugeben.
  41. Verfahren nach Anspruch 36, 37 oder 40, wobei das Abrufen von netzwerkbezogenen Daten das Abrufen von Konnektivitäts- und Funktionalitätsdaten umfasst, und wobei durch das Verarbeiten der erzeugten Netzwerkdatensignale Netzwerkkonnektivitäts- und Funktionalitäts-Anzeigesignale ausgegeben werden.
  42. Verfahren nach Anspruch 36, 37 oder 40, wobei das Abrufen von netzwerkbezogenen Daten das Abrufen von physischen und virtuellen charakteristischen Daten des Kommunikationsnetzwerks umfasst, und wobei durch das Verarbeiten der erzeugten Netzwerkdatensignale physische und virtuelle charakteristische Netzwerkanzeigesignale ausgegeben werden.
  43. Verfahren nach Anspruch 36, 37 oder 40, wobei das Abrufen von netzwerkbezogenen Daten das Abrufen von Quellencodedaten und ausführbaren Codenetzwerkdaten umfasst, und wobei durch das Verarbeiten der erzeugten Netzwerkdatensignale Netzwerk-Quellencode- und ausführbare Codeanzeigesignale ausgegeben werden.
  44. Verfahren nach Anspruch 36, 37 oder 40, wobei das Abrufen von netzwerkbezogenen Daten abgerufene Information von einem Hostcomputer auf dem Bitstrom des Computercodes vor der Ausführung durch den Hostcomputer umfasst, und wobei durch das Verarbeiten der erzeugten Netzwerkdatensignale Computercode-Anzeigesignale ausgegeben werden.
  45. Computerprogrammprodukt, umfassend Anweisungen und Daten, die bei Ausführung durch einen geeigneten Computer bewirken, dass der Computer das Verfahren eines der Ansprüche 1 bis 17 oder 36 bis 44 durchführt.
DE69929206T 1998-07-21 1999-07-20 System zur analyse der informationssicherheit Expired - Lifetime DE69929206T2 (de)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US9355498P 1998-07-21 1998-07-21
US93554P 1998-07-21
PCT/US1999/012394 WO2000005852A1 (en) 1998-07-21 1999-07-20 Information security analysis system

Publications (2)

Publication Number Publication Date
DE69929206D1 DE69929206D1 (de) 2006-02-02
DE69929206T2 true DE69929206T2 (de) 2006-08-24

Family

ID=22239569

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69929206T Expired - Lifetime DE69929206T2 (de) 1998-07-21 1999-07-20 System zur analyse der informationssicherheit

Country Status (13)

Country Link
EP (1) EP1097554B1 (de)
JP (1) JP2002521919A (de)
KR (1) KR100513911B1 (de)
AT (1) ATE314777T1 (de)
AU (1) AU757353B2 (de)
BR (1) BR9912193A (de)
CA (1) CA2338265A1 (de)
DE (1) DE69929206T2 (de)
MX (1) MXPA01000775A (de)
NO (1) NO20010338L (de)
NZ (1) NZ509607A (de)
TW (1) TW498220B (de)
WO (1) WO2000005852A1 (de)

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6535227B1 (en) * 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
DK1297440T3 (da) 2000-05-12 2008-12-15 Niksun Inc Sikkerhedskamera til et netværk
KR100383224B1 (ko) * 2000-05-19 2003-05-12 주식회사 사이젠텍 리눅스 기반의 네트워크 통합 보안 시스템 및 그의 방법과이를 장착한 반도체 장치
IL136324A0 (en) * 2000-05-24 2001-05-20 Softcom Computers Ltd Method of surveilling internet communication
KR20000054521A (ko) * 2000-06-09 2000-09-05 김상돈 해킹 로봇 프로그램의 공격 차단 시스템 및 그 방법
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
FI20010256A0 (fi) 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
US6906709B1 (en) 2001-02-27 2005-06-14 Applied Visions, Inc. Visualizing security incidents in a computer network
US7010696B1 (en) 2001-03-30 2006-03-07 Mcafee, Inc. Method and apparatus for predicting the incidence of a virus
US7000250B1 (en) 2001-07-26 2006-02-14 Mcafee, Inc. Virtual opened share mode system with virus protection
DE10214306A1 (de) * 2002-03-28 2003-10-23 Daniela Lindenblatt Verfahren zur Überwachung von Datenbewegungen
FR2838535B1 (fr) * 2002-04-12 2004-07-23 Intranode Sa Procede et dispositif d'un audit de securite dans un reseau de telecommunication, plate forme et systeme correspondants
CN100518166C (zh) * 2003-12-16 2009-07-22 鸿富锦精密工业(深圳)有限公司 资安护照产生及发行系统及方法
KR100614931B1 (ko) * 2004-04-13 2006-08-25 한국전자통신연구원 웹 응용프로그램의 취약점 분석 장치 및 방법
JP3921216B2 (ja) * 2004-10-08 2007-05-30 日立電子サービス株式会社 コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム
KR100901696B1 (ko) * 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
US10481999B2 (en) * 2016-12-05 2019-11-19 Microsoft Technology Licensing, Llc Partial process recording

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5958010A (en) * 1997-03-20 1999-09-28 Firstsense Software, Inc. Systems and methods for monitoring distributed applications including an interface running in an operating system kernel

Also Published As

Publication number Publication date
CA2338265A1 (en) 2000-02-03
NO20010338D0 (no) 2001-01-19
KR100513911B1 (ko) 2005-09-13
DE69929206D1 (de) 2006-02-02
AU757353B2 (en) 2003-02-20
AU5080599A (en) 2000-02-14
WO2000005852A1 (en) 2000-02-03
EP1097554A1 (de) 2001-05-09
TW498220B (en) 2002-08-11
BR9912193A (pt) 2001-09-25
ATE314777T1 (de) 2006-01-15
NZ509607A (en) 2002-12-20
NO20010338L (no) 2001-03-05
KR20010079562A (ko) 2001-08-22
MXPA01000775A (es) 2002-04-24
EP1097554B1 (de) 2005-12-28
JP2002521919A (ja) 2002-07-16

Similar Documents

Publication Publication Date Title
DE69929206T2 (de) System zur analyse der informationssicherheit
AU756407B2 (en) Information security analysis system
US6549208B2 (en) Information security analysis system
US6253337B1 (en) Information security analysis system
US7047423B1 (en) Information security analysis system
DE60112044T2 (de) Vorrichtung und verfahren zur beurteilung der verletzlichkeit des netzsicherheit
US7921459B2 (en) System and method for managing security events on a network
DE60121917T2 (de) System zur sicherheitsbeurteilung von einem netzwerk
US5787253A (en) Apparatus and method of analyzing internet activity
CN103026345B (zh) 用于事件监测优先级的动态多维模式
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
US20020026507A1 (en) Browser proxy client application service provider (ASP) interface
DE102012220716A1 (de) Verfahren, Datenverarbeitungsvorrichtung und Programm zum Identifizieren vertraulicher Daten
AU2002311381B2 (en) Information security analysis system
Mansmann Visual analysis of network traffic: Interactive monitoring, detection, and interpretation of security threats
Zage et al. Intrusion detection system visualization of network alerts
DE68929549T2 (de) Verwaltungssystem für verbundene Einheiten
Erbacher et al. Intrusion Detection Visualization and Software Architecture For the Detection of Competent Attacks
Hooi-Ten Wong et al. An automated algorithm in data visualization for large network data: A review and an initial study
Timonen Improving Situational Awareness of Critical Infrastructure with Common Cyber Picture
EP2685391A1 (de) Computernetzwerksystem, Server Computer, Service Provider Computer, computerimplementiertes Verfahren und Computerprogrammprodukt zur automatischen Weiterleitung auf eine benutzerspezifische Webseite eines Service Provider Computers bei Anruf einer Webseite eines Provider Computers durch einen Benutzer

Legal Events

Date Code Title Description
8364 No opposition during term of opposition