-
TECHNISCHES
GEBIET DER ERFINDUNG
-
Die
vorliegende Erfindung bezieht sich auf ein Informationssicherheit-Analysesystem
zur Schadensminderung von Internetsicherheitsbelangen, Visualisierungsproblemen
von Computerquellen- und ausführbarem
Code. Ferner bezieht sich die Erfindung auf ein Informationssicherheit-Analysesystem zur
offensiven und defensiven Internetanalyse und zum Schutz von kommerziellen
und nationalen Infrastrukturen.
-
ALLGEMEINER
STAND DER TECHNIK
-
Die
weltweite Benutzung des Internets nimmt weiterhin in phänomalem
Maße zu.
Benutzer wie Regierungen, Institutionen, Unternehmen und Einzelpersonen
haben alle einen Internetanschluss zum Zwecke der Durchführung ihrer
täglichen
Aktivitäten.
Leider hat jedoch die Entwicklung und Implementierung von Sicherheitsmaßnahmen,
die darauf ausgerichtet sind, den Internetanschluss zu einem sicheren
Kommunikationsmittel zu machen, nicht Schritt gehalten mit den technologischen
Fortschritten in der Expansion der Netzwerkentwicklung und Interkonnektivität. Folglich
sind Internetbenutzer und Netzwerke dem Risiko ausgesetzt, dass
ihre Information durch Hacker und böswillige Benutzer kompromittiert
wird, die andauernd Wege finden, Netzwerke und Daten zu interminieren
und aus ihnen Kapital zu schlagen.
-
Bei
richtigem Einsatz können
Feuerwandtechnologien dazu beitragen, die „Haustür" von Firmen-Intranets zu sichern, diese
Technologien haben jedoch Probleme, den Anwendungen, Diensten und der
Sicherheit gerecht zu werden, die von Benutzern verlangt wird. Obwohl
viele Produkte entwickelt wurden, die die Entdeckung von Netzwerktopologie
erleichtern, sind nur wenige davon fähig, passiv zu wirken.
-
Intranet-Sicherheits-
und Überwachungsbedürfnisse
steigen sowohl in der staatlichen wie auch der privaten Industrie
immer weiter. Dies lässt
sich fast täglich
der Fachpresse und den Internet-Nachrichtengruppen entnehmen. Konkretere
Beweise dafür
liefern die staatlichen Ausschreibungen zur Unterbreitung von Angeboten,
in denen zunehmend mehr sicherheitsbezogene Fähigkeiten gefordert werden. Sowohl
staatliche als auch private Industrien verwenden sehr viel Zeit
und Geld darauf, die Abbildung, Überwachung,
Detektion von Eindringung und die Computersicherheit des Intranets
zu adressieren. Dies hat dazu geführt, dass eine ideenreiche
Anzahl von Organisationen Intranet-Computersicherheitsdienste, Analyse-Tools
und damit verknüpfte
Produkte anbietet.
-
KURZDARSTELLUNG
DER ERFINDUNG
-
Gemäß der vorliegenden
Erfindung wird vorgesehen:
Ein Verfahren nach Anspruch 1; eine
Vorrichtung nach Anspruch 18; und ein Computerprogrammprodukt nach
Anspruch 45.
-
Das
System der vorliegenden Erfindung wirkt passiv und stellt eine Methodologie
zur Durchführung
einer detaillierten Analyse von Daten bereit, die während einer Überwachungssitzung
erfasst werden.
-
Ohne
zusätzlichen
Verkehr in einem Netzwerk zu erzeugen, erstellt das erfindungsgemäße System
ein virtuelles Bild der Netzwerknutzung und der Netzwerkschwächen. Durch
Ordnen der Eingaben vieler Erfassungs-Tools zu visuellen schematischen
Darstellungen werden die Sicherheitsverwalter aktiv in der Beurteilung
von Netzwerkschwächen und
in der Identifizierung optimaler Standorte zur Implementierung von
Sicherheitsmaßnahmen.
Anhand der vom erfindungsgemäßen System
aufgedeckten Information können
Sicherheitsverwalter potentielle Verkehrsengpässe identifizieren, das Vorhandensein von
Hintertüren
feststellen, Bandbreitennutzung reduzieren, Benutzerprofile entwickeln
und unzulässige
Aktivitäten
genau aufzeigen.
-
Das
erfindungsgemäße Softwaresystem
enthält
vier miteinander verbundene Module: passive Netzwerkentdeckung,
Netzwerkdatenaufzeichnung, Netzwerkdatenparsing und Netzwerkdaten-Analyse-Tools.
-
Netzwerkdatenvisualisierungfähigkeiten
sind in den passiven Netzwerkentdeckungs- und Netzwerkdatenanalyse-Modulen
enthalten. Das Softwaresystem ermöglicht Computercodeanalyse
und die 3-D-Visualisierung und Animation von Netzwerkverkehr und
-stuktur. Durch optionale Plug-ins werden die Softwarefähigkeiten
weiter ausgedehnt und verbessert, so dass das Softwaresystem fähig ist,
ungeachtet der Netzwerkentwicklung auf dem letzten Stand zu bleiben.
-
Das
erfindungsgemäße System
ermöglicht einem
Systemverwalter, das Netzwerk abzubilden, normale und abnormale
Nutzungsmuster zu bestimmen, Virusattacken festzustellen, die Netzwerkzuweisung
zu managen und das Netzwerk anzuzeigen.
-
Technisch
gesehen, ist das Analysesystem eine Sammlung, Konfiguration und
Integration von Softwareprogrammen, die auf mehreren miteinander verbundenen
Computerplattformen residieren. Die Software, ohne die Computerbetriebssysteme,
ist eine Kombination aus Sensor-, Analyse-, Datenumwandlungs- und
Visualisierungs-Softwareprogrammen, Datendateien und Visualisierungsprogrammen über ein
Lokalbereichsnetzwerk (LAN). Diese Sammlung und Integration von
Software und die Abwanderung auf eine einzige Computerplattform
ist es, aus der sich eine Möglichkeit
zur LAN/WAN-Überwachung
im passiven und/oder aktiven Modus ergibt. Zum Beispiel können Router-
und Feuerwandsoftware in Fast-Echtzeit überwacht werden, um zu bestimmen,
ob der Code ungeachtet der Sicherheitsvorkehrungen funktionell geändert wurde.
LAN/WAN-Daten, die in den Protokollen der Datenlink- bis Präsentationsschichten
im OSI-Modell enthalten sind, stehen zusammen mit entsprechenden
Anzeigen im zwei- oder dreidimensionalen Raum zur Analyse zur Verfügung.
-
Die
Architektur ermöglicht
ferner die digitale Dateneingabe über externe Sensoren zur Analyse, Anzeige
und Korrelation mit Daten und Anzeigen, die von vier hauptsächlichen
Softwaregruppen abgeleitet sind. Dies sind: Viruscomputercodenachweis;
Analyse von Computerquellen- und ausführbarem Code; dynamische Überwachung
von Datenkommunikationsnetzwerken, 3-D-Visualisierung und Animation von
Daten.
-
Das
vorliegende Analysesystem erzeugt eine Schablone und eine Anzeige
von Viruscomputercode in einem grafischen funktionellen Modus. Derzeitige
Techniken verlassen sich auf Bitströme oder Echtzeitüberwachung,
um einen Computervirus im Hostcomputer nachzuweisen. Der Ansatz
des erfindungsgemäßen Analysesystems
untersucht die Funktionalität
von verdächtigem
Code, um zu bestimmen, ob ein Computervirus vor seiner Ausführung im Hostcomputer
existiert. Der Ansatz kann als Ableitung einer genetischen Struktur
betrachtet werden, wonach zu bestimmen ist, ob diese Struktur zum
Beispiel in einem Computerprogramm, einer Datei oder in Email-Anlagen
vorhanden ist.
-
Des
Weiteren werden vom erfindungsgemäßen Analysesystem Vergleiche
zwischen gleichen Typen von Computerquellencode und ausführbarem Code
im mehrdimensionalen Raum grafisch angezeigt und durchgeführt, um
zu bestimmen, ob der Code einmal oder mehrmals funktionell geändert wurde.
Das Analysesystem ermöglicht
grafische Analyse, Codesequenzialisierung und den Vergleich zwischen
zwei oder mehr ähnlichen
Quellen- und/oder ausführbaren
Computerpro grammen, um das Ausmaß der funktionellen Änderung
zu bestimmen. Dadurch kann die Funktionalität in einem einzigen Computerquellen-
oder ausführbaren
Programm dokumentiert, grafisch dargestellt, animiert dargestellt,
dynamisch untersucht und bestimmt werden. Das erfindungsgemäße System
ist ferner fähig,
Quellencode und ausführbaren
Code nach Sprache zu sortieren und die Ergebnisse in einem grafischen funktionellen
Format anzuzeigen. Zum Beispiel kann die Filtertabellendatei eines
Routers periodisch überwacht
werden, um zu bestimmen, ob die Datei ungeachtet der aktuellen Standardsicherzeitsvorkehrungen
funktionell geändert
wurde.
-
Das
erfindungsgemäße Analysesystem
entdeckt passiv die physischen und virtuellen Eigenschaften von
digitalen Datenkommunikationsnetzwerken und zeigt verschiedene digitale
Kommunikationsnetzwerke in interaktiver Weise an. Virtuelle Entdeckung
wird als die Fähigkeit
definiert zu bestimmen, wie das digitale Datennetzwerk von seinen
Teilnehmern benutzt wird, und wer sich an wen zu jedem beliebigen
Zeitpunkt anschließt.
Dieser Prozess bestimmt auch die Konfigurationsänderungen in einem digitalen
Datenkommunikationsnetzwerk über
wählbare
Zeitintervalle. Die physische Präsenz
des erfindungsgemäßen Analysesystems
im passiven Modus auf einem LAN/WAN-System ist mit konventionellen Techniken
nicht entdeckbar, erfordert keine Benutzerprivilegien, verbraucht
keine Netzwerkbandbreite und stört
nicht die Kommunikationen auf LAN/WAN-Systemen. Das Analysesystem
kann schnell Subnetze abbilden und komplette Netzwerke aufbauen,
wenn die Terminalaktivität
zunimmt. Jedes aktive Terminalziel im Netzwerk wird zusammen mit angehängter Information
abgebildet und angezeigt. Die angezeigte Information zeigt sowohl
physische als auch virtuelle Beziehungen und auch Netzwerkdarstellungen.
Das Analysesystem kann auch für
die entfernte Überwachung,
Kollaboration und Entdeckung von LAN-Systemen mit Netzwerksonden
kombiniert werden. In diesem Szenario fungiert ein Terminal als
Master-Einheit, die ihre Eingaben von den entfernten Sonden erhält. In diesem
Betriebsmodus kann ein passiver Betriebsmodus aufhören oder
nicht aufhören,
je nachdem ob die Kollaboration innerhalb des Bandes und/oder außerhalb
des Bandes stattfindet.
-
Von
dem erfindungsgemäßen Analysesystem
werden alle Daten dynamisch angezeigt, gedreht und animiert dargestellt,
die es von den drei hauptsächlichen
Softwaregruppen in drei oder mehr Dimensionen empfängt. Gleichzeitiges
Betrachten verschiedener Typen von digitalen Daten in physischen und/oder
virtuellen Bereichen ist verfügbar.
-
Gemäß der vorliegenden
Erfindung wird die Konnektivität
und Funktionalität
für jeden
Typ von digitalen Daten angezeigt. Die Daten von jeder der drei hauptsächlichen
Softwaregruppen kann angezeigt und um jede Achse in zwei oder mehr
separaten, aber angeschlossenen visuellen Ebenen gedreht werden.
Der Prozess zeigt ferner die Konnektivität zwischen verschiedenen Typen
von Daten der drei hauptsächlichen
Softwaregruppen einschließlich
Dateneingaben von externen Sensoren an. Die Visualisierungssoftware
kann benutzerdefinierbare Symbole anhängen, um dem Bedienenden oder
Analytiker das Verständnis
zu erleichtern. Die Software wirkt mittels eines „Mausklicks" mit einem Knoten
zusammen, wobei sie Information, die sich auf den Knoten bezieht,
der von den drei hauptsächlichen
Softwaregruppen dargestellt wird, dynamisch abruft, dekodiert und
anzeigt. Für
den Fall, dass die 3-D Knotendiagramme unübersichtlich werden, zieht
der Analytiker mehrere Knoten zu einzelnen gemeinsamen miteinander
verbundenen Knoten zusammen. Diese Fähigkeit stellt eine übersichtliche
Darstellung des ursprünglichen
Diagramms für
den Analytiker bei Aufrechterhaltung der Funktionalität der einzelnen
zusammengezogenen Knoten bereit.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
Ein
vollständigeres
Verständnis
der vorliegenden Erfindung wird beim Durchlesen der folgenden ausführlichen
Beschreibung unter Bezugnahme auf die beiliegenden Zeichnungen erreicht,
in denen:
-
1 ein
Blockdiagramm eines erfindungsgemäßen Informationssicherheit-Analysesystems
für passive
Netzwerkdatenentdeckung, Visualisierung und Analyse ist;
-
2 ein
Anwendungsflussdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems
von 1 ist;
-
3 ein
Blockdiagramm ist, welches die Architektur für ein Entdeckungs-Tool zum
Einsatz mit dem Informationssicherheit-Analysesystem von 1 zeigt;
-
4 schematisch
eine typische Informationsstruktur für das in 3 dargestellte
Entdeckungs-Tool darstellt;
-
5 ein
Blockdiagramm des 3-D Visualisierungsmoduls des Informationssicherheit-Analysesystems
von 1 ist;
-
6 ein
Blockdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems
darstellt, das als Eindringungsdetektor benutzt wird;
-
7 ein
Blockdiagramm des erfindungsgemäßen Informationssicherheit-Analysesystems
darstellt, das als offensives Tool zum Prüfen auf eine Knotenattacke
oder ein Informations-Hijacking verwendet wird; und
-
8 eine
typische Anzeige darstellt, die eine erfindungsgemäße objektorientierte
Netzwerkvisualisierung veranschaulicht.
-
AUSFÜHRLICHE
BESCHREIBUNG DER ERFINDUNG
-
Bezugnehmend
auf 1 ist ein Informationssicherheit-Analysesystem 10 dargestellt,
welches ein Entdeckungs-Tool 12 zur aktiven oder passiven Überwachung
eines Lokalbereichnetzwerks (LAN) mittels eines Datenkanals 14 enthält. Das
Entdeckungs-Tool 12 umfasst folgende Funktionen: Sensormanagement,
passive Netzwerkentdeckung (Netzwerk-Viewer, Netzwerktopologie),
Paket-Analyser, Wissensbank-Viewing, sowie Warnung und Berichterstattung.
Ferner sammelt das Entdeckungs-Tool 12 Verkehrs- und Nutzungsdaten
und bildet die Netzwerkkonnektivität ab. Die vom Entdeckungs-Tool 12 gesammelten
Daten werden Teil einer im Speicher aufbewahrten Wissensbank 16.
Die Daten werden nach hauptsächlichen
Kategorien geordnet, wie folgt: Adresse, Host, LM-Host, Domaine, LM-Domaine,
SubNet, IP-Adresse, WWW, MAC-Adresse,
NetwareHost, NetwareNetwork, NetwareStation, Alert, NetwareServer-Typ,
Anwendung, BS, WWW-Browser, WWW-Server,
HTTP-Server, NNTP-Server, Protokoll, User, POP3-User, FTP-User, SMTP-Sender, SMTP-Empfänger, POP3-Passwort,
FTP-Passwort, Router und Lieferant geordnet.
-
Daten
in der Wissensbank 16 werden einem Parsing-Tool zur Verfügung gestellt,
welches die erfassten Netzwerkdaten des Entdeckungs-Tools 12 in eine
Form umwandelt, die von den stromabwärtigen Programmen des Systems
benutzt werden können. Die
vom Parsing-Tool 18 abgerufenen Daten stehen nun der Analytical
Engine 20 zur Verfügung,
um die vom Entdeckungs-Tool 12 erfassten Daten zu analysieren,
dabei wird das Zusammenlegen von mehreren Datendateien sowie die
Entwicklung von und der Vergleich zwischen Netzwerknutzungsmustern
unterstützt.
Die Analytical Engine 20 kann durch Software von i2 Inc.,
die unter dem Markennamen "Analyst's Notebook" vermarktet wird,
implementiert werden. Eine zweite Analytical Engine 20 des
Verteidigungsministeriums (Department of Defence) namens PROPELLER
ist ebenfalls verfügbar.
Die vorliegende Erfindung ist ferner fähig, weitere Analytical Engines, so
wie sie verfügbar
werden, zu benutzen. Die Analytical Engines 20 sind ein
dynamischer Satz von Grafik-Tools zur Erfassung und Anzeige einer
Vielfalt von relationalen Datengruppen in einem als "Link Chart" (Link-Diagramm)
bezeichneten Format. Bei Einsatz der Analytical Engine 20,
wie dem "Analyst's Notebook", können erfasste
Daten dazu verwendet werden, Netzwerkeigenschaften zu kennzeichnen und
zu dokumentieren und/oder mögliche
Netzwerkeindringlinge zu finden. Nach dem Erfassen und Ordnen von
Daten kann die Analytical Engine 20 dazu benutzt werden,
Verknüpfungen
zwischen einer Anzahl von verschiedenen Datendiagrammen herzustellen,
um Korrelation oder Differenzierung zu bestimmen. Nun stehen Beziehungen
zwischen einer Reihe von Datenquellen zur Verfügung, um Hypothesen zu verifizieren,
Beziehungen zwischen mehreren Datengruppen zu korrelieren und Zieldaten
innerhalb einer großen
Datengruppe zu identifizieren. Netzwerkdaten müssen analysiert werden, um
Wissensbankdaten zu Sitzungsdaten, Paketdaten und Warnungsdaten
(Alerts) in Beziehung zu setzen. Diese Beziehungen helfen bei der
Bestimmung, wer mit wem gesprochen hat, sowie der Bestimmung des
Inhalts spezifischer Protokolle (HTP, HTTP, NNTP, POP3, SMTP, TELNET
und IMAP). Im Zuge der Analysierung von Netzwerkdaten wird eine
Bestimmung bezüglich
der IP- und/oder MAC-Adressen getroffen, die einem oder mehreren
Datengruppen gemeinsam sind. Bei Kennzeichnen des Netzwerks auf
diese Weise muss periodisch ein Schnappschuss der über einen
Zeitraum erfassten Daten gemacht werden. Der Durchschnitt der vorhandenen
IP- und MAC-Adressen wird dazu benutzt, ein "Link-Diagramm" des Verkehrs zwischen jeder Gruppe
von Adressen zu erstellen. Der gleiche Prozess kennzeichnet entweder
einen Teil des Netzwerks oder das ganze Netzwerk.
-
Bei
Einsatz der Analytical Engines 20 können allgemein wiederholt benutzte
Ressourcen durch Verwendung einer Stichprobentechnik bestimmt werden.
Ein interessierender Zeitraum wird identifiziert, der allgemeine
Nutzung aufdeckt, und die Daten werden während dieses Zeitraums erfasst.
Um zum Beispiel das Volumen des Email-Verkehrs zwischen 11.00 und
13.00 Uhr zu bestimmen, würde
jeden Tag eine Stichprobennahme über
mehrere Wochen hinweg stattfinden, bis Ähnlichkeiten in der Herkunft
und den Zielorten des Verkehrs augenscheinlich sind. Nach Abschluss
der Stichprobennahme können
die Analytical Engines 20 ein Diagramm erstellen, in welchem
alle IP- und/oder MAC-Adressen
verzeichnet sind, die in der Stichprobennahme identifiziert wurden.
-
Mehrere
Optionen stehen zur Anzeige der analysierten Daten zur Verfügung, einschließlich einer
2-D-Anzeige 22 und einer 3-D-Anzeige 24. Jedes der
Tools 12 und 18, die Analytical Engine 20 und
die Anzeigen 22 und 24 sind funktionsmäßig miteinander und
mit einer Bedienungssoftwareschnittstelle verbunden, um Anweisungen
von einem Bediener des Informationssicherheit-Analysesystems 10 zu
empfangen.
-
Das
System von 1 akzeptiert externe Sensordaten
(d.h. biometrische Information, Fakturierungsdaten, SS7, PBX, Paging-Information)
in digitalen Formaten. Wenn die externen Daten mit Netzwerkentdeckungs-Tools
und Analyse-Tools
kombiniert werden, entsteht ein klares Bild des gesamten Kommunikationssicherheitsprozesses.
Somit kombiniert das erfindungsgemäße System physische Sicherheitsbedürfnisse
mit elektronischen Kommunikationssystemen und IS/IT/CIO-Abteilungen
zur Erstellung eines kompletten Überwachungspakets.
-
Gemäß Bedieneranweisungen
werden ausgewählte
Teile der gespeicherten Datenbank zur Analyse der Tatsachen und
Visualisierung in zwei oder drei Dimensionen vom System aufgezeichnet und
zurückgespielt.
Dies lässt
sich an externe Sensor- und/oder Eindringungsdetektionsdaten anpassen.
-
Ferner
kann das System von 1 FTP-, HTTP- und TELNET-, POP3-,
SMTP-, NNTP- und IMAP-Sitzungen in Fast-Echtzeit und/oder nach dem Geschehen
dekodieren. Die modulare Architektur der vorliegenden Erfindung
gestattet das Hinzufügen von
Plug-in-Modulen, um Protokolldekodierungen weiter zu verbessern
und auszuweiten einschließlich der
Rekonstruktion einer Sitzung. Dieses Merkmal erlaubt dem Analysesystem 10,
automatisch den Kontext von Information im Intranet zu bestimmen. Diese
Information wird dann in Knoten-Diagramme eingegeben, damit das
Netzwerksicherheitspersonal bestimmen kann, welche Information weiteren Schutz
erfordert. Diese Information kann auch zur Beantwortung von Fragen
benutzt werden, wie zum Beispiel: werden illegale Geschäfte innerhalb
des Intranets getätigt;
was ist, wenn ein Angestellter eine andere Person belästigt; wo
verbringen Angestellte ihre Zeit im World-Wide-Web.
-
In
einer Implementierung des Informationssicherheit-Analysesystems 10 wurde
ein Pentium-basierter PC mit einer Zentraleinheit von 166 MHz Minimum
zum Betrieb des Betriebssystems WindowsNT 4.0 benutzt. Des Weiteren
wies das Analysesystem 10 64 Megabyte echtes RAM, ein 1-Gigabyte-Festplattenlaufwerk
und einen 17-Inch-Monitor auf. Der verbesserte Betrieb des Informationssicherheit-Analysesystems 10 wird
durch Verwendung eines Pentium II/300 oder besser mit 128 Megabyte
echtem RAM, einem 4-Gigabyte-Festplattenlaufwerk und einem 21-Inch-Monitor
erzielt.
-
In 2 ist
ein Flussdiagramm einer Anwendung des Informationssicherheit-Analysesystems 10 von 1 darge stellt.
Eine passive Datenentdeckungsmaschine (Entdeckungs-Tool 12)
dient zum Sammeln von Daten betreffend ein Netzwerk, wobei die Daten
nach dem Entdecken in eine Wissensbank 16 eingefügt werden.
Insbesondere sammelt das Entdeckungs-Tool 12 Daten zur
Erfassung von Quellencode und ausführbaren Code kleiner Computer
in einem Knotendiagramm im zwei- oder dreidimensionalen Raum. Die
Sammlung dieser Daten ermöglicht Skalieren
und Anzeigen großer
Computercode-Knotendiagramme, so dass eine Analyse genügend flexibel
ist, innerhalb einer großen
Codemenge die Zusammenschaltungen für Computerausrüstungen,
die digitale Datenkommunikationsnetzwerke unterstützen, zu
betrachten und zu beobachten. Das Sammeln von Computerquellencode
und ausführbarem Code
durch das Entdeckungs-Tool 12 ermöglicht dem erfindungsgemäßen System
ferner, ein Programm für
kleinen Computerquellencode und ausführbaren Code synthetisch zu
simulieren, während darauf
bezogene Knotendiagramme im 3-D-Raum betrachtet
werden. Die ermöglicht
die Bestimmung eines Ortes, an dem ein böswilliger Code innerhalb eines
Programms residieren kann, die Identifierung von Speicherorten,
an denen die Daten nach Ausführung
eines Programms residieren, und grafische Vektoren als Schablonen
dazu benutzen, nach spezifischen Typen von Codemodulen (d.h. Viren,
Verschlüsselungsalgorithmen)
zu suchen. Ferner sammelt das Entdeckungs-Tool 12 Daten
auf Intranets (d.h. LAN, WAN) zur gleichzeitigen Anzeige der physischen
und virtuellen Netzwerkdiagramme in zwei Dimensionen. Dies ermöglicht der
Systemanalyse, sofort physische Ausrüstungsnetzanschlüsse eines Datenkommunikationsnetzwerks
anzuzeigen. Beispielsweise ist ein Systemanalytiker durch Implementierung
einer Summen- und Differenzroutine in der Lage zu bestimmen, wenn
neue Terminals und/oder Konfigurationen zum Netzwerk hinzugefügt oder
aus diesem entfernt wurden, einschließlich der möglichen Idsentifizierung von
Intranet-"Hintertüren". Das Sammeln dieser
Daten über
Intranets ermöglicht das
Erstellen virtueller Intranet-Diagramme
und somit eine Echtzeitanalyse über
die Art der Nutzung des Netzwerks, wer mit wem kommuniziert, Bestimmung
potentieller Stauungspunkte und Schwächen, begrenzte Routenverfolgungsrekonstruktion
und Typen angeforderter World-Wide-Web-Dienste.
-
Des
Weiteren sammelt die Entdeckungsmaschine Information über die
Struktur des Netzwerks, seine Betriebsweise und die der Netzwerkbenutzer. Eine
typische Entdeckungsmaschine koordiniert die Information vieler
Sensoren, um ein in die Tiefe gehendes Bild der Netzwerkdaten bereitzustellen.
Ferner sammelt die Entdeckungsmaschine Daten über eine Betriebssitzung des
Netzwerks zusätzlich
zu Metadatenpaketen, die sämtlich
zusammen mit der Wissensbank als "Flache Dateien" erstellt wurden. Außer dem Sammeln und Analysieren
des Ethernet-LAN-Verkehrs kann die Entdeckungsmaschine auch auf
das Sammeln und Analysieren anderer Netzwerkverkehrstypen einschließlich ATM-, WAN-Protokollen
und zellularer Kommunikationen eingerichtet werden.
-
Die
Entdeckungsmaschine (Entdeckungs-Tool 12) erzeugt eine
Wissensbank der über ein
Netzwerk erfassten Daten, wobei diese Daten in einer entsprechend
benannten Datei in einem gespeicherten Datenverzeichnis des Entdeckungs-Tools 12 aufbewahrt
werden. Das Format der "flachen
Textdatei" der Entdeckungsmaschine
wird jetzt verarbeitet zur weiteren Verwendung durch das Informationssicherheit-Analysesystem 10.
-
Diese
flache Wissensbank-Textdatei wird von dem Parsing-Tool 18 mit
Hilfe einer Schlüsselwortsuche
der Wissensbankdatei verarbeitet, um Daten in verschiedenen Kategorien
zu erzeugen. Zum Beispiel werden die Daten in verschiedene Kategorien
eingeteilt, wie folgt: eindeutige Benutzerkennung, Host, LM-Host,
Domaine, LM-Domaine, SubNet, IP-Adresse,
WWW, MAC-Adresse, NetWare Host, NetWare Netzwerk, NetWare Station
und verschiedene andere verfügbare
Kategorien.
-
Außer der
Gliederung der Wissensbank 16 in verschiedene Kategorien
kann das Parsing-Tool auch Hash-Ausgabedateien erzeugen.
-
Nach
dem Parsen der Wissensbank 16 spricht die Analytical Engine 20 auf
die Daten an, um sie nach Vorbereitung in vektor-basierte Knotendiagramme
umzuwandeln. Typisch erstellt die Analytical Engine 20 Verknüpfungen
zwischen einer Anzahl verschiedener Tabellen, um zu bestimmen, ob
diese Datentabellen korrelieren oder differenzieren. Beziehungen
zwischen einer Reihe von Datenquellen dienen zur Verifizierung von
Hypothesen, zur Korrelierung von Beziehungen unter mehreren Datengruppen
und zur Identifizierung von Zieldaten innerhalb einer großen Datengruppe.
Auf der Basis dieser Analyse ermöglicht
das Informationssicherheit-Analysesystem die Entwicklung von Ressourcen,
um ein Netzwerk zu managen.
-
Die
Analytical Engine 20 analysiert Netzwerkdaten, um Wissensbankdaten
auf Sitzungsdaten, Paketdaten und Warndaten zu beziehen, da anhand
dieser Beziehungen bestimmt wird, wer mit wem gesprochen hat, und
was der Inhalt des Verkehrs für
spezifische Protokolle ist.
-
Im
Zuge des Prozesses der Analysierung von Netzwerkdaten, die vom Entdeckungs-Tool 12 (Entdeckungsmaschine)
empfangen wurden, muss auch bestimmt werden, was für Kommunikationen
in mehr als einer Datengruppe existieren. Bei Kennzeichnen der Daten
auf diese Weise muss periodisch ein Schnappschuss der über einen
Zeitraum erfassten Daten gemacht werden. Der Durchschnitt der existierenden
Beziehungen wird dazu benutzt, ein "Link-Diagramm" des Verkehrs zwischen den Datengruppen
zu erstellen.
-
3 zeigt
die Architektur eines typischen Entdeckungs-Tools 12 von 1,
wie in dem Anwendungsflussdiagramm von 2 veranschaulicht.
Ein oder mehrere Sensoren werden mit Hilfe eines spezialisierten
Sensors gesteuert, um Setup, Sammeln und Übertragungssteuerung bereitzustellen.
Für das lokale
Ethernet ist über
der NDIS-Schicht ein Ethernet-Treiber für die Bereitstellung von Netzwerkdaten-Rohpaketen
vorgesehen. Pakete von Daten werden von einem Sensor-Manager 32 in
die Warteschlange gesetzt und dann für alle Tools in einer Tool-Suite 34 bereitgestellt.
Eine interne Paketverarbeitungsmaschine 36 dekodiert Datenpakete
und wandelt die Rohdaten in Informationselemente um, die allen Tools
in einer Tool-Suite zur Verfügung
stehen. Ferner filtert eine Script-Maschine 38 besonders interessante
Information und gibt das Wissen in die Wissensbank 16 ein.
Diese Datenbank steht ebenfalls allen Tools der Tool-Suite 34 zur
Verfügung.
-
Das
Entdeckungs-Tool 12 enthält ferner außer der
Steuerung eines spezialisierten Sensors die Steuerung des entfernten
Sensors 42. Der entfernte Manager 40 fragt den
entfernten Sensor, zum Beispiel einen web-basierten Monitor und
ein Abfrage-Tool, ab, der allen Tools in der Tool-Suite 34 zur Verfügung zu
stellen ist.
-
Wie
in 3 dargestellt, besteht das Entdeckungs-Tool 12 aus
einem eng gekoppelten Sensor/Prozessor, der auf einer Suite von
interoperablen Tools basiert. Diese Tools stellen Visualisierung,
Abbildung und Analyse der eingehenden Daten und des verarbeiteten
Wissens bereit. Das Sensor-Manager-Tool 80 dient zur Konfiguration
und Steuerung der Sensoren (lokale oder entfernte Sensoren) innerhalb
des Entdeckungs-Tools 12,
wodurch das Sammeln von Daten ohne Übertragung an das Entdeckungs-Tool 12 ermöglicht wird.
Zu verschiedenen Aspekten des Sensor-Manager-Tools 80 gehört die Anzeige
von Sensoren, die in einer obersten Schicht entsprechend des Host
sortiert sind, das Sammeln aller Sensordaten innerhalb einer Kategorie,
die Möglichkeit
der Übertragung
von Daten von Sensoren zum Entdeckungs-Tool, wiederum nach ausge wählter Kategorie,
die Möglichkeit
der Kommunikation von einem entfernten Sensor zum Entdeckungs-Tool,
das Hinzufügen
eines neuen (entfernten) Hosts und damit verknüpfter Sensoren zur Steuerung
des Sensor-Management-Tools.
-
Das
Netzwerk-Viewer-Tool 82 stellt automatische Entdeckung,
automatisches Layout und automatische Visualisierung von Netzwerkknoten
und Verknüpfungen
bereit. Knoten sind Quellen von Computerverkehr, sie beinhalten
Server, Hosts und Clients. Verknüpfungen
sind Darstellungen von Ende-zu-Ende-Verkehr
und können
auf Höherebenen-Netzwerkelemente
(wie Router) übertragen
werden. Das Netzwerk-Viewer Tool 82 liest Paketinformation
und stellt ein physisches Bild eines oder mehrerer logischer Netzwerke
bereit. Das logische Bild zeigt Knoten- und Verknüpfungsinformation
an und liefert ein physisches Bild eines oder mehrerer logischer
Netzwerke. Das logische Bild zeigt summierte Knoten- und Verknüpfungsinformation über mehrere Pakete
an. Insoweit als Netzwerkverkehr (Knoten und Verknüpfungen)
auf vielen Instanzen des OSI-Netzwerkmodells (Datenverknüpfung, usw.) existiert,
findet eine wirksame Visualisierung durch Untersuchen des Quellennetzwerks
auf vielen verschiedenen Schichten statt. In einer Ausführungsform
des Netzwerk-Viewer-Tools 82 stellen
Kreise in einem Grafikfenster Knoten und Linien Kommunikationsverknüpfungen
dar. Mit der automatischen Entdeckung von mehr Knoten durch das
Entdeckungs-Tool 12 erscheint eine Zählung für jedes Netzwerk im Grafikfenster
zusammen mit einer Netzwerk-Markierung. Da die Knotendarstellung
baum-basiert ist, ist die Zählung
das Aggregat aller Knoten unter dem Bezugsknoten. Information, die
relevant für
einen Knoten aus der Wissensbank 16 ist, wird im Fenster
des Objekt-Viewer-Tools 84 angezeigt.
-
Das
Objekt-Viewer-Tool 84 ist mit dem Netzwerk-Viewer-Tool 82,
dem Topologie-Anzeige-Tool 90 und dem Abfrage-Konsolen-Tool 94 integriert.
Das Objekt-Viewer-Tool 84 aktiviert die Anzeige von Information
betreffend alle transitiven (nicht address-basierten) Beziehungen,
die für
ein Objekt erstellt werden können.
Wenn zum Beispiel eine IP-Adresse mit dem Benutzer und ein Benutzer
mit einer Hostadresse verknüpft
ist, sind diese ein Teil der Objekt-Viewer-Tool-Anzeige. Wenn jedoch
die Hostadresse ferner mit einer weiteren IP-Adresse verknüpft ist, wird diese transitive
Verknüpfung
wegen der möglichen Verwechslung
bei Interpretierung der Beziehungen nicht angezeigt. Da Knoten Objekte
und Verknüpfungen
Beziehungen sind, erstellt das Objekt-Viewer-Tool 84 eine Liste von Objekten,
die nach Klasse sortiert angezeigt werden.
-
Eine
Analyse der Datenpakete und der Datenpaketstruktur wird durch Aktivierung
des Paket-Viewer-Tools 86 bereitgestellt. Hiermit wird
die Struktur der, oder die Information innerhalb der, Netzwerkpakete
bereitgestellt, und ferner dient es der Erkennung und dem Verständnis neuer,
ungewöhnlicher
und/oder proprietärer
Protokolle. Wenn das Paket-Viewer-Tool 86 aktiviert wird,
ist zu Anfang ein (nicht dargestelltes) Paketfilter auf die Erfassung
aller aktualisierten Pakete eingestellt. Wenn ein Benutzer an bestimmten
Pakettypen interessiert ist, ermöglicht
das Paket-Viewer-Tool 86 dem Benutzer, bestimmte Paket-Untergruppen über einen
Paketfilter-Setup-Dialog auszuwählen.
Während
das Paket-Viewer-Tool 86 nützlich für Protokoll-Austesten und Entwicklung ist, lässt sich
die Funktionalität
dieses Tools auch für
die Suche nach neuen Pakettypen einsetzen.
-
Als
Nächstes
soll das Kenntnis-Browser-Tool 88 besprochen werden, welches
eine visuelle Schnittstelle für
die Wissensbank 16 ist und einen baum-basierten Ansatz
zum Suchen nach Objekten in Klassen innerhalb der Wissensbank darstellt
und außerdem
Verknüpfungsinformation
zum Verfolgen von Posten und Information bereitstellt, die im Netzwerk
passiv vom Entdeckungs-Tool entdeckt wurden. Das Kenntnis-Browser-Tool 88 ermöglicht das
Erfassen, Ordnen und Kategorisieren von Netzwerkinformation, von
Aufgaben, die sowohl Automatisierung zur Vereinfachung als auch
Anpassung zum leichteren Zugriff durch den Benutzer erfordern.
-
Grundsätzlich ist
eine Klasse, die durch das Kenntnis-Browser-Tool 88 durchsucht
wird, ein Element in der kategorisierte Information enthaltenden Wissensbank 16 und
kann Unterklassen, Objekte oder beides enthalten. Beispiele von
Klassen sind IP-ADDR, MAC-ADDR, und SMPT-Sender. Ein Objekt im Sinne der vorliegenden
Erfindung ist ein Mitglied einer Klasse, und ist ein Element in
der Wissensbank 16 mit netzwerkspezifischer Information.
-
Das
Entdeckungs-Tool 12 enthält die (als separater Thread
laufende) Script-Maschine 38 zur Verarbeitung von Informationselementen
innerhalb empfangener Protokolle, um Informationen über Objekte
innerhalb eines Netzwerks zu sammeln. Zu Standardobjekttypen gehören Benutzer,
Hosts, Domainen, Anwendungen und Adressen, aufgrund der Ontologie-Spezifikation können jedoch
neue Objekte hinzugefügt
werden. Unter Einsatz von Einweg- oder Zweiwegbindungen zur Weitergabe
von Information (zum Beispiel Host und Benutzer) werden Verknüpfungen
erstellt, wobei Informationselemente über mehrere Protokoll-/Objekttypen
hinweg verwendet werden. Im Wesentlichen wird gemäß der Funktion der
vorliegenden Erfindung aus einem Netzwerk eine im mehrdimensionalen
Raum enthaltene verknüpfte Grafik,
wobei Beziehungen als Verknüpfungen
zwischen Vektoren innerhalb dieses Raums gespeichert werden.
-
Als
Nächstes
wird das Topologie-Anzeige-Tool 90 besprochen, welches
eine kompakte, automatisch erzeugte Ansicht der Elemente eines vom Entdeckungs-Tool 12 identifizierten
Netzwerks bereitstellt. 8 zeigt eine typische Fensteranzeige nach
Aktivierung des Topologie-Anzeige-Tools 90. Auf Basis der
in der Wissensbank 16 enthaltenen Infor mation zeigt das
Topologie-Anzeige-Tool 90 Router, SubNets und Benutzerknoten
an. Des Weiteren kann diese Ansicht mit einer Untergruppe von Klassen
innerhalb der Wissensbank 16 überlagert werden. Zum Beispiel
können
Hostnamen und Schwächen
gezeigt werden.
-
Das
Sitzungsaufzeichnungs-Tool 92 ermöglicht erneute Paketzusammenstellung,
TCP/IP-Sitzungsmanagement und Kenntnis-Entdeckung. Das Tool ist ein Mechanismus
zur Beobachtung mehrerer, auf Paketebene nur schwer zu handhabender
Sitzungstypen wie beispielsweise HTTP, POP3, SMTP, SNMP, TELNET,
NNTP und IMAP. Durch erneute Zusammenstellung von Paketen und der
Suche nach wichtigen Informationsaspekten in den neu zusammengestellten
Paketen bietet das Sitzungsaufzeichnungs-Tool die Möglichkeit,
Anwendungsebenen-Entitäten
im Netzwerk zu beobachten und Kenntnisse über sie zu sammeln.
-
Im
Betrieb stellt das Sitzungsaufzeichnungs-Tool 92 erneut
verbindungsorientierte Flüsse oder
Sitzungen zusammen. Diese Schicht-4-Sitzungen (zum Beispiel TCP)
und darüberliegenden
Sitzungen bestehen aus mehreren Paketen, die wieder zusammengestellt
und geparst werden müssen,
um Information auf Anwendungsebene freizulegen. Paket- und Zellenrekonstruktionstechniken
versorgen den Benutzer mit Zustandsinformation (zum Beispiel Anrufabwicklung
und Sitzungsüberwachung)
sowie mit Information auf Anwendungsebene (zum Beispiel Emailadressen).
Durch Verwendung von Sitzungsuchtechniken innerhalb des Sitzungsaufzeichnungs-Tools 92 in
Kombination mit Warnungsverarbeitung können Fähigkeiten (wie zum Beispiel
Erkennen, wenn ein bestimmter Benutzer Email erhält) flexibel konstruiert werden.
In einer Implementierung eines Sitzungsaufzeichnungs-Tools 92 können folgende
Sitzungen angezeigt werden: HTTP, POP3, TELNET, FTP, SMTP, NNTP
und IMAP. Während
das Sitzungsaufzeichnungs-Tool 92 läuft, können Daten zur Wissensbank 16 hinzugefügt werden,
während
das Tool Sitzungen für
ver schiedene Informationsteile entdeckt, verarbeitet und scannt.
-
Das
Abfragekonsolen-Tool 94 stellt eine textbasierte Schnittstelle
für eine
Wissensbank bereit. Bei Verwendung des Abfragekonsolen-Tools 94 kann ein
Benutzer bestimmen, ob die Wissensbank 16 ein Objekt (zum
Beispiel eine individuelle IP-Adresse) enthält, oder den Satz von Objekten
bestimmen, die zu einer Klasse der Wissensbank 16 gehören (zum Beispiel
IP-ADDR). In einer Implementierung des Abfragekonsolen-Tools 94 wurde
die Wissensbank 16 auf Namen der obersten Ebenenklasse,
zu einer gegebenen Klasse gehörende
Objekte und spezifische Klassenobjekte abgefragt.
-
Außer der
Tool-Suite 34 enthält
das Entdeckungs-Tool 12 ein Wissensbank-Parsing-Toolset 96, wie
in 3 dargestellt. Nach Entdeckung der Daten des Netzwerks,
welches analysiert wird, werden die Daten nun auf das richtige Format
zum Einsatz durch die Analytical Engine 20 eingerichtet.
Das Wissensbank-Parsing-Toolset 96 hat die Funktion, die
gesammelten Daten zu nehmen und sie zum Einsatz durch die Analytical
Engine 20 auf das richtige Format einzurichten. Individuelle
Tools im Wissensbank-Parsing-Toolset 96 stehen zum Parsen
von Daten aus der Wissensbank 16 und zum Extrahieren von
Information aus gespeicherten Protokolldateien und neu zusammengestellten
Sitzungsdateien zur Verfügung.
Das Wissensbank-Parsing-Toolset 96 umfasst acht Tools:
KB-Parsing, Email-Extraktion, Sitzungsverbindung,
Web-Extraktion,
Grafik-Extraktion, KB-Summierung, Dateimanipulation und Spaltenteilung.
-
Das
Netzwerkentdeckungs-Tool erzeugt die Wissensbank 16 der über ein
Netzwerk zusammengestellten Daten. Diese Daten werden in einer flachen
Textdatei aufbewahrt und zum Wiedereinsatz durch das Entdeckungs-Tool 12 zur
Anzeige eines Netzwerks gespeichert. Das Format des Textes ist jedoch
nicht nützlich
zur nachfolgenden Verarbeitung. Das KB-Parsing-Tool parst die Daten,
die zur Anzeige in einer Spaltendatei ausgegeben, in eine Datenbank
oder in die Analytical Engines 20 importiert werden sollen.
Ferner stellt das KB-Parsing-Tool eine Schlüsselwortsuche bereit, um Daten
in verschiedenen Kategorien zu erzeugen.
-
Wie
erklärt,
ist das Sitzungsaufzeichnungs-Tool 92 ein Mechanismus zur
Beobachtung mehrerer Sitzungstypen und Erzeugung von Dateien, die
erneut zusammengestellte Sitzungsdaten enthalten. Die Anzahl Dateien,
die während
eines einzelnen Sammelns von Daten erstellt werden, kann zum Beispiel
10.000 überschreiten.
Das Email-Extraktions-Tool
eines Wissensbank-Tools im Toolset 96 sorgt für das Ordnen
von POP3- und SMTP-Dateien in summarische Bezeichnungen. Die summarischen Bezeichnungen
werden dann in eine Datenbank oder in die Analytical Engine 20 importiert.
Das Email-Extraktions-Tool enthält
einen Schlüsselwortsuchmechanismus
sowie andere Daten-Parsing-Typen.
-
Wie
erwähnt,
erzeugt das Entdeckungs-Tool 12 eine Wissensbank von über ein
Netzwerk gesammelten flachen Dateidaten. Das Web-Extraktions-Tool
eines Wissensbank-Toosets 96 ermöglicht das Parsen und Formatieren
von Daten aus flachen HTML-Dateien, die anschließend in eine Datenbank oder
in die Analytical Engine 20 importiert werden. Das Web-Extraktions-Tool
enthält
einen Kennzeichen-Suchmechanismus (ähnlich eines Schlüsselworts)
sowie andere Typen von Datenverarbeitungs-Algorithmen.
-
Das
Grafik-Extraktions-Tool des Wissensbank-Toolsets 96 dient
zur erneuten Zusammenstellung von Bilddateien aus einem aufgezeichneten
Format. Die Anzeige des Sitzungsaufzeichnungs-Tools 92 dient
zur Aufzeichnung von HTTP-Sitzungen.
Diese Sitzungsdateien enthalten eine Kopfzeile, die die Sitzung
und die mit der Sitzung verknüpften
Daten beschreibt. Wenn ein JPG- oder GIF-Bild heruntergeladen wird,
werden die Daten in der Sitzung neu zusammengestellt.
-
Diese
Daten können
jedoch in dem aufzeichneten Format nicht angezeigt werden. Das Grafik-Extraktions-Tool
wandelt die neu zusammengestellte, JPG- und GIF-Daten enthaltende
HTTP-Sitzungsdatei
um und erstellt eine neue Protokolldatei, die Namen und Bilder enthält.
-
Daten,
die unter Einsatz des Entdeckungs-Tools 12 in der flachen
Textdatei aufbewahrt wurden, werden vom KB-Summierungs-Tool des Wissensbank-Toolsets 96 dazu
benutzt, eine statistische Matrix der in den Paket- und Sitzungsprotokollen
enthaltenen Daten zu erstellen. Zum Beispiel kann die Instanz eines
Protokolls als Y-Achse und die IP-Quellenadresse als X-Achse benutzt werden. Nach
erfolgter Auswahl des Paket- oder Sitzungsprotokolls prüft das KB-Summierungs-Tool
die entsprechende Protokolldatei und zeigt verfügbare Zugriffskriterien an,
um eine Grafik zu erstellen. In der Analyse eines typischen Netzwerks
wird eine große
Anzahl von Dateien erzeugt. Das Dateimanupulations-Tool des Wissensbank-Toolsets 96 stellt
eine Schnittstelle zur Reduzierung des Volumens der erzeugten Dateien
bereit, die zu durchsuchen sind. Es ermöglicht das Löschen oder
Verschieben von Dateien nach Dateigröße, Dateityp oder Dateiinhalt
zum Zwecke der Verbesserung der nachfolgenden Verarbeitung. Erzeugte
Dateien werden gemäß der gewählten Kriterien
für alle
Dateien in einer Gruppe verarbeitet.
-
Aufgezeichnete
Sitzungen des Entdeckungs-Tools 12 werden gelegentlich
abgebrochen und als neue Sitzung wiederhergestellt. Diese abgebrochenen
Sitzungen werden vor der Anzeige vorzugsweise erneut zusammengestellt.
Das Sitzungsverbindungs-Tool des Wissensbank-Toolsets 96 verbindet
alle abgebrochenen Sitzungen zu abgeschlossenen Transaktionen.
-
Im
Wissensbank-Toolset 96 ist ferner ein Datenspaltenteilungs-Tool
enthalten. Dieses Tool dient zum Entfernen unerwünschter Datenspalten aus Protokolldateien.
-
In 4 ist
eine Strukturierung der Information in der Wissensbank 26 dargestellt.
Die Definition und Struktur des Wissens wird in Betracht gezogen, um
es vor der Verarbeitung der Netzwerkinformation besser verstehen
zu können. 4 ist
ein organisatorisches Diagramm von Informationskategorien, die vom
Entdeckungs-Tool 12 in der Wissensbank zusammengestellt
wurden. Die Wissensbank ist eine objektorientierte relationale Entität, die als
flache Textdatei aufbewahrt wird und aus Information besteht, die
aus Paketen im Datenkanal 14 gesammelt wurde.
-
In 5 ist
ein Blockdiagramm der 3-D-Anzeige 25 einschließlich eines
Visualisierungs-Vorprozessors 100 dargestellt, der ASCI-Rohdaten
von der Analytical Engine 20 empfängt. Ferner wird in den Visualisierungs-Vorprozessor 100 über eine
Softwareverbindung 108 eine Visualisierungs-Setup-Datei 102,
eine Verbindungsinformationsdatei 104 und eine Feldschlüsseldatei 106 eingegeben.
Nach dem Verarbeiten der Daten von der Analytical Engine 20 überträgt der Visualisierungs-Vorprozessor 100 die verarbeiteten
Daten an eine 3-D-Rendering-Engine 110. Die Rendering-Engine 110,
ein kommerzielles standardmäßiges Softwarepaket,
formatiert die Information gemäß Benutzeranweisungen
von einem Eingabegerät 114 und
bereitet die Information auf die Eingabe in einer Anzeige 112 vor.
-
Durch
den Einsatz kopfmontierter Anzeigetechnologie und eines 6-Grad-Freiheit-Verfolgungssystems,
das Daten vom Vorprozessor 108 empfängt, kann sich der Benutzer
ganz in die Betrachtung des durch die Daten in der Wissensbank 16 identifizierten
Netzwerks versenken. Diese Technologie bietet dem Benutzer die weitere
Fähigkeit,
im Gegensatz zu einer traditionellen flachen Anzeige mit der Netzwerkdatenanzeige
zusammenzuwirken und zu verhandeln.
-
Wiederum
bezugnehmend auf 1 fügt die 3-D-Anzeige 25 eine
dritte Dimension zu allen vom Entdeckungs-Tool 12 gesammelten
Daten hinzu, um komplexe Knotendiagramme im 3-D-Raum zu betrachten, animiert darzustellen
und zu analysieren. Dies ist erforderlich, weil die Rohdatendatei
nur zwei Dimensionen enthält.
Wenn die Daten von den Analytical Engines drei oder mehr Dimensionen
ausgäben,
wäre die
3-D-Anzeige nicht
erforderlich, um eine dritte Dimension hinzuzufügen. Durch Hinzufügung eines
dritten Vektors ist die gleichzeitige Betrachtung großer komplexer
Diagramme auf zusammengeschalteten Ebenen gemäß Benutzeranweisungen vom Eingabegerät 94 möglich. Die
Anzeige von 5 erlaubt einem Analytiker,
das Diagramm um jede beliebige Achse zu drehen, so dass Beziehungen
betrachtet werden können,
die sonst, in zwei-dimensionalen Ebenen betrachtet, nicht erkennbar
wären.
-
In 6 ist
eine representative Ausführungsform
des erfindungsgemäßen Analysesystems 10 von 1 dargestellt.
Das Analysesystem 10 wird auf einem Terminal 46 als
Teil eines Netzwerks einschließlich
Terminals 48, 50 und 52 betrieben. Das Netzwerk
einschließlich
der Terminals 46, 48, 50 und 52 ist über die
Feuerwand 54 zusammengeschaltet. Die Feuerwand 54 weist
eine Schnittstelle mit einem Netzwerk 56 auf, die einen
Netzwerk-Analyser 58 umfasst. Der Analyser 58 analysiert
den eingehenden Verkehr zu den Terminals und passt auf, ob "Metadaten" ankommen, die mit
einem im Netzwerk ankommenden Eindringling verknüpft sind. Typisch richtet der
Analyser 68 spezifische Metadaten ein, die mit einer ankommenden
Eindringung verknüpft
sind. Wie in 6 veranschaulicht, ist das Netzwerk 56 an ein
Gateway 60 und ein Terminal 62 gekoppelt, das einen
entfernten Eindringling darstellt, der Terminal 48 zum
Ziel hat.
-
Im
vorliegenden Beispiel wird angenommen, dass der entfernte Eindringling
an Terminal 60 versucht, eine Email an das Zielterminal 48 hinter
der Feuerwand 54 zu schicken. Das auf Terminal 46 laufende,
erfindungsgemäße Analyse system 10 überwacht
eingehende Emails auf Ethernetebene durch das Entdeckungs-Tool 12.
Das Analysesystem 10 zeichnet eingehenden Email-Verkehr
als Teil der Wissensbank 16 auf, wie zum Beispiel Postprotokoll Version 3 (POP3)
und das einfache Mail-Übertragungsprotokol
(SMTP). Darüber
hinaus untersucht das Analysesystem 10 mit eingehenden
Emails verknüpfte
Metadaten und ferner SMTP/POP3 Pakete, die am Zielterminal 48 eingehen.
Identifizierte SMTP/POP3-Pakete,
die zum Zielterminal 48 gehen, durchlaufen die Analytical
Engine 20 zur Analyse. Wie an früherer Stelle erklärt, importiert
die Analytical Engine 20 die Metadaten, die ihr vom Entdeckungs-Tool 12 zur
Analyse und Anzeige zugeschickt wurden.
-
Bezugnehmend
auf 7 ist eine Ausführungsform des erfindungsgemäßen Analysesystems 10 in
der Umgebung eines Mehrknotennetzwerks dargestellt. Wie dargestellt,
umfasst das Netzwerk Knoten 64, 66 und 68.
An den Knoten 68 ist ein Terminal 70 angeschlossen,
auf dem das Analysesystem 10 von 1 läuft. Ferner
ist an den Knoten 68 ein Netzwerk-Analyser 72 angeschlossen.
Jeder der Knoten 64, 66 und 68 ist an
eine Feuerwand 74 angeschlossen. Die Feuerwand 74 wiederum
liegt hinter einer zusätzlichen
Feuerwand 76, die an ein (nicht dargestelltes) Weitbereichsnetz
angeschlossen ist.
-
In
diesem Beispiel überwacht
das auf Terminal 70 laufende Analysesystem 10 die
Intranetverkehrsebene und zeichnet Datenpakete von jedem der Terminals
der verschiedenen Knoten auf. Für
ein angegriffenes Terminal, wie Terminal 64a, richtet das Analysesystem
eine Ziel-Quellen-Paketstruktur ein und könnte mittels der erfindungsgemäßen Analytical Engine 20 modifiziert
werden, um ein angegriffenes Terminal zu schließen.
-
Es
versteht sich, dass 6 und 7 lediglich
zwei beispielhafte Ausführungsformen
des Analysesystems 10 dar stellen. Zu weiteren Einsätzen des
Informationssicherheit-Analysesystems 10 gehört offensive
und defensive Informationsbetrachtung, Kontextknoten-Visualisierung
gleichzeitiger Emails, FTP- und TELNET-Sitzungen, grafisches Playback
von gefiltertem Knotenverkehr, Analysieren von Computerquellencode
und ausführbarem
Code, passive und dynamische Entdeckung von physischer und virtueller
LAN- oder WAN-Netzwerk-Konnektivität, sowohl
interne als auch externe Entdeckung der Eindringung in ein LAN-
oder WAN-Netzwerk,
wie zum Beispiel mit Bezug auf 6 beschrieben,
automatisches Warnen und Ergreifen korrektiver Maßnahmen,
wenn ein Netzwerk angegriffen wird (7) und Entdecken
von Computerviren.
-
Obwohl
die Erfindung mit Bezug auf eine bevorzugte Ausführungsform beschrieben wurde,
ist nicht beabsichtigt, den Geltungsbereich der Erfindung auf die
beschriebene bestimmte Form zu beschränken, sondern es ist im Gegensatz
dazu beabsichtigt, Alternativen, Modifikationen und Äquivalente in
den in den Ansprüchen
definierten Geltungsbereich der Erfindung aufzunehmen.