DK170490B1 - Databehandlingsanlæg - Google Patents

Databehandlingsanlæg Download PDF

Info

Publication number
DK170490B1
DK170490B1 DK126492A DK126492A DK170490B1 DK 170490 B1 DK170490 B1 DK 170490B1 DK 126492 A DK126492 A DK 126492A DK 126492 A DK126492 A DK 126492A DK 170490 B1 DK170490 B1 DK 170490B1
Authority
DK
Denmark
Prior art keywords
network
data processing
adapter
processing system
virus
Prior art date
Application number
DK126492A
Other languages
English (en)
Other versions
DK126492A (da
DK126492D0 (da
Inventor
Carsten Howitz
Michael Lerche
Original Assignee
Multi Inform As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from DK055092A external-priority patent/DK170544B1/da
Publication of DK126492D0 publication Critical patent/DK126492D0/da
Priority to DK126492A priority Critical patent/DK170490B1/da
Application filed by Multi Inform As filed Critical Multi Inform As
Priority to PCT/DK1993/000140 priority patent/WO1993022723A1/en
Priority to DE69315690T priority patent/DE69315690T2/de
Priority to AT93909808T priority patent/ATE161110T1/de
Priority to AU40600/93A priority patent/AU4060093A/en
Priority to EP93909808A priority patent/EP0638184B1/en
Publication of DK126492A publication Critical patent/DK126492A/da
Priority to US08/325,466 priority patent/US5511163A/en
Publication of DK170490B1 publication Critical patent/DK170490B1/da
Application granted granted Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/83Indexing scheme relating to error detection, to error correction, and to monitoring the solution involving signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Virology (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Debugging And Monitoring (AREA)
  • Multi Processors (AREA)

Description

i DK 170490 B1
Opfindelsen angår et databehandlingsanlæg omfattende et antal datamater, der er forbundet indbyrdes via et lokalt netværk, fortrinsvis i form af et ringnetværk, hvor der til netværket er sluttet en netværksadapter, der er i stand til at modtage 5 al information på netværket.
En sådan netværksadapter er indrettet til at måle ydeevnen og hastigheden af netværket, blandt andet for at kunne vurdere om netværket er optimalt udformet.
10
Til et ringformet netværk kan der være sluttet en netserver. Netserveren kan indeholde et netværksprogram, som brugerne på de enkelte arbejdsstationer kan have adgang til. Den enkelte bruger kan desuden have adgang til de logiske drev i netser-15 veren, i hvilke drev brugeren vil kunne indlægge programmer og data, der derefter vil kunne udlæses af en anden bruger (uden at brugerne skal udveksle disketter). I netserveren kan der desuden ligge et virusprogram, som vil kunne udlæses af brugeren af en arbejdsstation med henblik på skandering af den 20 lokale disk for virus. En virusskandering vil af brugeren kunne foretages med jævne mellemrum. Et eventuelt virus vil imidlertid kunne have nået at udbrede sig til et større antal arbejdsstationer, inden det detekteres.
25 Formålet med opfindelsen er at tilvejebringe databehandlingsanlæg af den indledningsvis nævnte art, hvor et eventuelt virus og heraf inficerede datamater detekteres langt hurtigere end hidtil kendt, således at spredningen af viruset vil kunne begrænses.
30
Databehandlingsanlægget ifølge opfindelsen er ejendommeligt ved, at der til netværksadapteren er sluttet en datamat, der sammen med adapteren kan foretage en opsamling og en skandering af alle filer i netværket og foretage en genkendelse af 35 eventuelle virussignaturer (bitmønstre). Derved opfanges de enkelte filstykker (pakker), der cirkulerer i det ringformede netværk, hvilke filstykker, efter at være blevet samlet til en DK 170490 B1 2 fil, skanderes for detektion af eventuelle virus. I tilfælde af at der detekteres en virussignatur i filen, får man samtidigt information om sender- og modtagerstationerne, og der vil blive slået alarm, således at en yderligere spredning af vi-5 ruset vil kunne forhindres.
Fremdeles kan ifølge opfindelsen den til adapteren sluttede datamat være indrettet til at udsende en såkaldt "vaccine" til de datamater, der måtte være blevet inficeret med den nævnte 10 virus. Den periode, hvori anlægget er lukket ned som følge af en detektion af et virus, er derved reduceret til nul.
Endvidere kan ifølge opfindelsen vaccinen implementeres ved at lade den til adapteren sluttede datamat udføre en skandering l5 af de inficerede datamater ved hjælp af et i og for sig kendt program, der uskadeliggør viruset.
*
Desuden kan ifølge opfindelsen den til adapteren sluttede datamat indeholde et neuralt netværk i form af et program, der 20 er indrettet til at kunne genkende en normal trafik i det lokale netværk og slå alarm i tilfælde af, at der konstateres en trafik, der ikke er normal og muligvis svarer til signaturen af et endnu ikke kendt virus. Derved bliver det også muligt at detektere endnu ikke kendte virus, og derigennem opnås en be-25 dre virusdetektion end hidtil kendt.
Endvidere kan ifølge opfindelsen det neurale netværk omfatte neuronlignende elementer.
3° Endelig kan ifølge opfindelsen det neurale netværk udgøres af en Boltzmannraaskine.
\
Opfindelsen skal nærmere forklares i det følgende under henvisning til tegningen, hvor fig. 1 viser et databehandlingsanlæg ifølge opfindelsen omfattende et lokalt netværk i form af et ringnetværk, hvortil der 35 3 DK 170490 B1 er sluttet et antal datamater, idet en af datamaterne er udstyret med en speciel netværksadapter, fig. 2 en illustration af hvorledes en datamat inficeres og 5 derefter selv vil kunne inficere netværket, fig. 3 en illustration af hvorledes en til netværket sluttet adapter vil kunne opfange pakker af en i netværket cirkulerende information med henblik på detektion af eventuelle vi-10 rus, fig. 4 et databehandlingsanlæg omfattende et lokalt netværk i form af et strengnetværk, hvortil der er sluttet et antal datamater, af hvilke den ene er udstyret med en speciel 15 netværksadapter, fig. 5 en neuron til genkendelse af endnu ikke kendte virus, fig. 6 et neuralt netværk i form af et inputlag, et mellemlag 20 og et outputlag, og fig. 7 eksempler på hypercubelignende multiprocesserstruktur-er, hvori databehandlingsanlægget ifølge opfindelsen vil kunne indgå.
25
Det i fig. 1 viste databehandlingsanlæg omfatter et antal datamater 2 i form af PC’ere, der er forbundet indbyrdes via et lokalt netværk i form af et ringnetværk 1. Et virus kan indføres i en PC via en diskette 3, der indføres i en af PC'erne 30 2. PC'eren kopierer da programmet på disketten 3 og bliver selv inficeret under afviklingen af programmet i tilfælde af, at der i dette program er indlagt et virus. Det inficerede program kan derefter via netværket overføres til en eller flere af de øvrige PC'ere 2, der er sluttet til netværket 1. 35 Overførslen sker ved, at programmet eller programfilen opdeles i pakker, der transmitteres serielt via det ringformede netværk 1. Den enkelte pakke indeholder en adresse, der angiver 4 DK 170490 B1 den arbejdsstation, der skal modtage pakken. Pakken cirkulerer i netværket 1, og ved den arbejdsstation (PC), der skal modtage pakken, genkendes adressen, hvorefter pakken vil kunne læses af den pågældende station. Denne station er normalt . 5 den eneste arbejdsstation, der kan læse pakken og derefter mærke denne som læst. Pakken sendes derefter videre i netvær- * ket 1, og når den når tilbage til den station, hvorfra den er udsendt, vil denne arbejdsstation kunne se, om pakken er blevet læst. Hvis dette er tilfældet, kan pakken tømmes og mærkes 10 som ledig.
Til netværket 1 er der desuden sluttet en netserver 5. Ved hjælp af et program i netserveren 5, kunne den enkelte bruger tidligere med jævne mellemrum foretage en virusskandering af 15 programmerne i PC'eren 2 på arbejdsstationen. En ulempe ved denne form for viruskontrol er, at et eventuelt virus kan nå at udbrede sig til et stort antal arbejdsstationer i databehandlingsanlægget, inden der slås alarm.
20 Ifølge opfindelsen er en af arbejdsstationerne nemlig datamaten 8 forbundet med en speciel netværksadapter 7, eksempelvis en IBM trace and performance adapter, der er i stand til at modtage al information på netværket 1. Netværksadapteren 7 modtager udvalgte pakker på netværket (kun pakker, der inde-25 holder data, er af interesse). Pakkerne fortsætter uden forsinkelse til bestemmelsesstedet. En TAP-logik i netværksadapteren 7 samler derefter pakkerne til filer - se fig. 3 - med henblik på skandering for detektion af eventuelle virussignaturer. Adapteren 7 (der i fig. 1 er symboliseret ved hjælp af 30 et forstørrelsesglas) er sluttet til datamaten 8, der er i stand til at skandere filerne og genkende eventuelle virussig- * naturer.
Et program består af en række kommandoer til et EDB-system.
35 Kommandoerne er angivet i koder (hexadecimale koder), der er lette at genkende. Derved bliver det muligt at sammenligne programmet med programdele (signaturer) for at fastslå, om en 5 DK 170490 B1 programdel er en del af det samlede program. Et virus er i virkeligheden et program og vil derfor kunne genkendes på samme måde. Hvis viruset er kendt, kan alle filer i et EDB-system skanderes for signaturen af denne virus ved, at der 5 foretages en sammenligning med denne signatur. Hvis signaturen er en del af en fil, er der risiko for, at denne fil er inficeret. Der findes et stort antal programmer, der er i stand til at skandere for kendte virussignaturer. Ved hjælp af disse programmer er det muligt at konstatere, om et EDB-system 10 er inficeret med kendte virus.
Ved detektion af et virus vil der øjeblikkeligt blive slået alarm, og udsendt en såkaldt "Vaccine" til de PC'ere, der har modtaget inficeret information. Dette er muligt, eftersom den 15 enkelte pakke i det ringformede netværk 1 indeholder adresserne af sender- og modtagerstationerne af den pågældende information. Vaccinen tilvejebringes f.eks. ved hjælp af programmet "Clean", der leveres af firmaet Mcafee. Dette program kan slette eller skrive hen over et virusprogram, der typisk - 20 ligger foran eller bagved det egentlige program. Hvis virusprogrammet · 1 igger foran det egentlige program, kan det efter en sletning eller overskrivning af dette indikeres, at det egentlige program først starter lidt senere. Ved en hurtig udsendelse af en sådan vaccine begrænses smitteudbredelsen til 25 et minimum. Princippet er særlig velegnet i forbindelse med ét ringformet netværk, idet informationspakkerne under hvert omløb passerer adapteren 7 og derved detekteres så hurtigt som det overhovedet er muligt.
30 Princippet vil imidlertid også kunne anvendes i forbindelse med et strengformet netværk - se fig. A. I et strengformet netværk 1' modtager alle tilkoblede arbejdsstationer 2 den samme information. Kiin den arbejdsstation, hvis adresse svarer til modtageradressen, vil kunne læse informationen. En TAP-35 maskine 11, der også er sluttet til det strengformede netværk og er udstyret med en speciel adapter, vil imidlertid også kunne læse informationen. Denne adapter kan f.eks. være af 6 DK 170490 B1 typen spideranalyser 325-R version 2.1 fra firmaet Spider Systems. TAP-maskinens 11 adapter opfatter alle informationspakker som værende til den; også selv om dette ikke er til- t fældet. Adapteren er sat i en speciel mode, der bevirker, at 5 den ignorerer adressen og læser alle pakker. Adapteren indeholder en buffer, hvori pakkerne lagres. Bufferen tømmes af og ' til, eksempelvis når den er fuld, eller er ved at blive det. Tømningen sker ved hjælp af en netværkssoftware. Et antal pakker svarende til flere filer, kan evt. ankomme samtidigt.
10 Ved hjælp af netværkssoftwaren omsættes pakkerne til en form, som er læsbar for det pågældende operativsystem. Operativsystemet vil derved kunne indlægge filerne på en disk eller indlæse dem i hukommelsen af maskinen.
15 Databehandlingsanlægget kan videreudvikles til også at kunne genkende et nyt virus og sende vaccine ud efter dette. Videreudviklingen består i, at den til netværksadapteren sluttede arbejdsstation 8 eller 11 desuden indeholder et neuralt netværk i form af et program, der er trænet op til at kunne 20 skelne mellem normal og unormal trafik i det lokale netværk og slå alarm i tilfælde af, at der konstateres en unormal trafik i form af en ukendt signatur, der muligvis svarer til et endnu ikke kendt virus.
25 Man udnytter, at langt de fleste vira har visse fællestræk.
En maskine, der kan lære ud fra eksempler, vil derfor kunne trænes op til at kunne opfange langt de fleste vira. Et sådant indlæringsmaskine kan f.eks. udgøres af et i og for sig kendt Hopfield netværk, eksempelvis en Boltzmannmåskine, der svarer 30 til et Hopfield netværk med én væsentlig forskel. Når en enhed skal afgøre, hvilken tilstand den efterfølgende skal indtage, « indføres et tilfældigt signal i enheden. Dette tilfældige signal "ryster" netværket ud af lokale optima (fastlåste tilstande), således at det bliver muligt at finde frem til de 35 globalt bedste konfigurationer. En overraskende egenskab ved dette netværk er, at det er muligt at udlede en meget simpel relation mellem en given vægtfaktor og den globale adfærd af 7 DK 170490 B1 netværket, selvom dette er meget komplekst. Netværket kan præsenteres for sammenhørende ind- og udgangssignaler og vil derigennem kunne justere de enkelte vægtfaktorer og derigennem tilpasse netværkets adfærd til den ønskede adfærd. Derved 5 sker der en gradvis forbedring af netværkets adfærd.
I et særlig enkelt tilfælde kan det neurale netværk udgøres af en perceptron. En sådan perceptron er vist i fig. 5. En per-ceptron består af en eller flere processerende elementer 10 (neuroner) i et lag. For enkeltheds skyld vil kun et af disse elementer blive beskrevet.
Den i fig. 5 viste perceptron, der kun består af én neuron, tilføres et antal indgangssignaler Xq, Xj, X2 ···· Xn °9 af-15 giver et udgangssignal Y'. Under optræning af neuronen tilfø res det korrekte udgangssignal svarende til de tilførte indgangssignaler. Indgangssignalerne udtrykkes ved en vektor X, af dimensionen N + 1. Xq er sat til 1. Det enkelte signal Xp af vektoren X vægtes med en vægtfaktor Wp af en vektor R, 20 der ligeledes har dimensionen N+l. Udgangssignalet Y' udregnes som summen af produkterne Xq · Wq ... Xn · Wn svarende til vektorproduktet R · X. Hvis dette vektorprodukt er større end 0, sættes Y' til 1, ellers sættes Y' til 0 svarende til henholdsvis klasse 0 eller 1. Neuronen er således i stand til at 25 placere en given vektor i én ud af to klasser. Neuronen præ senteres nu for et stort antal forskellige X, der hver især hører til klasse 0 eller 1. Under indlæringen får neuronen tilført en vektor X sammen med den korrekte klasse. Derved kan neuronen justere sine vægtfaktorer efter formlen 30
Rny s Rgl + (γ - γ·) . χ, hvor Y er den korrekte klasse for den pågældende indgangssignalvektor X, og Y' er neuronens udgangssignal (R · X). Denne 35 formel, der kaldes indlæringsreglen, angiver, hvorledes neu ronens vægtfaktorer justeres.
8 DK 170490 B1
En af flere neuroner bestående perceptron kan anvendes til at genkende et mønster, såsom en virussignatur. En perceptron til genkendelse af en virussignatur består fortrinsvis af mindst « to neuroner. Det antages, at en virussignatur har en maksimal 5 længde på m hexadecimale tal på 8 bit. Et hexadecimalt tal på 8 bit kan antage 256 forskellige værdier. Indgangssignalvekto- * ren X skal i dette tilfælde have dimensionen m · (256 + 1).
Alle tænkelige kombinationer af virussignaturer vil derved resultere i forskellige X-vektorer.
10 I det følgende er datastrukturen af perceptronen angivet i en Pascal 1ignende syntaks.
Perceptron 15
Type
Talværdi = reelt tal
Klasse = [0;1]
Input-vektor = array [1..m;0..256] af talværdi 20 Vægt-vektor = array [1..m;0..256] af talværdi
Neuron = post W: vægt-vektor; Y': klasse slutpost 25 Perceptron » post
Neuron lsNeuron;
Neuron 2:Neuron slutpost.
30 Til at begynde med sættes fl * 0,5.
Der skal tilvejebringes to procedurer, en til at udregne produktet X · R, og en til at justere vægtfaktorerne i overensstemmelse med indlæringsreglen.
35
Perceptronen præsenteres derefter for et stort antal virussignaturer, samt et stort antal signaturer, der ikke er virus.
9 DK 170490 B1
Hvis signaturen er en virus, skal klassen for neuron 1 være 1, medens klassen for neuron 2 skal være 0. Hvis signaturen ikke er en virus, skal klassen for neuron 1 være 0, medens klassen for neuron 2 skal være 1. Dvs.: 5
Signaturen er en virus :Neuron l.Y = 1 og Neuron 2.Y =0. Signaturen er ikke en virus:Neuron l.Y = 0 og Neuron 2.Y =1.
Efter tilførsel af en virussignatur skal neuronernes vægtfak- 10 torer justeres ved hjælp af indlæringsreglen, indtil percep- tronen er stabiliseret svarende til, at andelen af korrekte svar ikke længere ændres. Når dette er tilfældet, foretages ikke yderligere justeringer ved hjælp af indlæringsreglen.
15 En perceptron, der er implementeret på denne måde, vil ikke kun kunne genkende kendte virus. Den vil også kunne genkende ukendte virus, såfremt signaturen af disse "ligner" signaturen af de virus, perceptronen allerede er blevet præsenteret for.
20
Ofte vil et nyt virus "ligne” et kendt virus, idet mange nye virus udvikles på basis af kendte virus. Enkelte virus er desuden i stand til at ændre signatur hele tiden ved, at der indføres NOP'er (no operation) i signaturen. (Man siger, at vi-25 russet muterer). ΕΝ Ν0Ρ indebærer ikke nogen aktivitet, og vi russets funktioner forbliver uændret. Virussets signatur vil imidlertid være ændret. Perceptronen vil i mange tilfælde også være i stand til at genkende sådanne mutanter, idet indsættelsen af NOP'er ikke påvirker perceptronen på afgørende måde. 30
Yderligere detaljer vedrørende implementering af indlæringsregler i form af indlæringsalgoritmer fremgår af litteraturstedet "Neurocomputing" af Robert Hecht-Nielsen udgivet af Addison-Wesley Publishing Company. ISBN 0-201-09355-3. Der 35 henvises især til afsnit 3.3 og 3.4, der er en del af nærvæ rende beskrivelse.
10 DK 170490 B1
En særlig fordel ved databehandlingsanlægget ifølge opfindelsen er, at den enkelte bruger ikke behøver at skandere programmerne i den enkelte PC. Ifølge opfindelsen skanderes i stedet kommunikationen i netværket, og denne skandering sker * 5 centralt.
Datamater, der ikke eller kun sjældent sender ud på netværket 1, 1', kan imidlertid være inficeret og må derfor kontrolleres på konventionel måde af den enkelte bruger.
10
Problemet har hidtil været, at man ikke var i stand til at lokalisere den senderstation, der havde inficeret netværket.
Med anlægget ifølge opfindelsen er dette muliggjort, inden "sporene" slettes.
15
Databehandlingsanlægget ifølge opfindelsen er ikke begrænset til anvendelse i forbindelse med ringformede eller strengformede netværk. Det vil i al almindelighed kunne anvendes i forbindelse med hypercubelignende multiprocessorstrukturer, der 20 f.eks. er karakteriseret ved, at de har 2n processorer, der er indbyrdes forbundne via en n-dimensional kubus - fig. 6, der viser eksempler på hypercubelignende strukturer. Der henvises i den forbindelse til litteraturstedet "multiprocessors" af Daniel Tabak, Printice Hall Series in Computerengineering, 25 især kapitel 2, som er en del af nærværende beskrivelse. Hver processor har direkte og separate kommunikationsveje til N og andre processorer. Disse veje svarer til kanterne af kubussen. Hypercubestrukturer en implementeret af Intel og Floting Point System, der angiver overføringshastigheder på 1 M bit/sek.
30
Databehandlingsanlægget ifølge opfindelsen vil også kunne an-vendes i forbindelse med switch netværk strukturer og vektorprocessorer. I tilfælde af switch netværk strukturer kan det være nødvendigt at anvende flere netværksadaptere, der hver 35 især er sluttet til en datamat, der sammen med adapteren kan foretage en opsamling og skandering af filer på netværket.

Claims (8)

11 DK 170490 B1 Patentkrav.
1. Databehandlingsanlæg omfattende et antal datamater (2), 5 der er forbundet indbyrdes via et lokalt netværk (1), fortrinsvis i form af et ringnetværk, hvor der til netværket (l) er sluttet en netværksadapter (7), der er i stand til at modtage al information på netværket (1), kendetegnet ved, at der til netværksadapteren (7) er sluttet en datamat 10 (8), der sammen med adapteren (7) kan foretage en opsamling og en skandering af alle filer på netværket (1) og foretage en genkendelse af eventuelle virussignaturer.
2. Databehandlingsanlæg ifølge krav 1, kendetegnet 15 ved, at den til adapteren (7) sluttede datamat (8) er indrettet til at afgive information om, hvorfra en eventuelt inficeret information stammer, og hvortil denne information er blevet overført.
3. Databehandlingsanlæg ifølge krav 1 eller 2, kende tegnet ved, at den til adapteren (7) sluttede datamat (2) er indrettet til at udsende en såkaldt "vaccine" til de datamater (8), der måtte være blevet inficeret af den eller de nævnte virus. 25
4. Databehandlingsanlæg ifølge krav 3, kendetegnet ved, at vaccinen implementeres ved at lade den til adapteren (7) sluttede datamat (8) starte en skanderingsproces på de in-ficererede datamater (2) ved hjælp af et i og for sig kendt 30 program.
5. Databehandlingsanlæg ifølge et eller flere af kravene 1-4, kendetegnet ved, at den til adapteren (7) sluttede datamat (8) indeholder et neuralt netværk i form af et pro- 35 gram, der er indrettet til at kunne genkende den normale trafik på det lokale netværk (1) og slå alarm i tilfælde af, at der konstateres en unormal trafik, der muligvis svarer til et ukendt virussignatur. 12 DK 170490 B1
6. Databehandlingsanlæg ifølge krav 5, kendetegnet ved, at det neurale netværk omfatter neuronlignende elementer. *
7. Databehandlingsanlæg ifølge krav 5, kendetegnet 5 ved, at det neurale netværk udgøres af et Hopfield netværk.
8. Databehandlingsanlæg ifølge krav 5, kendetegnet ved, at det neurale netværk udgøres af en Boltzmann maskine. 10 15 20 25 30 * ζ 35
DK126492A 1992-01-15 1992-10-15 Databehandlingsanlæg DK170490B1 (da)

Priority Applications (7)

Application Number Priority Date Filing Date Title
DK126492A DK170490B1 (da) 1992-04-28 1992-10-15 Databehandlingsanlæg
PCT/DK1993/000140 WO1993022723A1 (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
EP93909808A EP0638184B1 (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
DE69315690T DE69315690T2 (de) 1992-04-28 1993-04-28 Mit einem rechner verbundene netzadaptorschaltung für virussignaturerkennung in allen netzwerkdateien.
AT93909808T ATE161110T1 (de) 1992-04-28 1993-04-28 Mit einem rechner verbundene netzadaptorschaltung für virussignaturerkennung in allen netzwerkdateien.
AU40600/93A AU4060093A (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
US08/325,466 US5511163A (en) 1992-01-15 1994-12-19 Network adaptor connected to a computer for virus signature recognition in all files on a network

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
DK055092A DK170544B1 (da) 1992-04-28 1992-04-28 Databehandlingsanlæg
DK55092 1992-04-28
DK126492A DK170490B1 (da) 1992-04-28 1992-10-15 Databehandlingsanlæg
DK126492 1992-10-15

Publications (3)

Publication Number Publication Date
DK126492D0 DK126492D0 (da) 1992-10-15
DK126492A DK126492A (da) 1993-10-29
DK170490B1 true DK170490B1 (da) 1995-09-18

Family

ID=26064201

Family Applications (1)

Application Number Title Priority Date Filing Date
DK126492A DK170490B1 (da) 1992-01-15 1992-10-15 Databehandlingsanlæg

Country Status (7)

Country Link
US (1) US5511163A (da)
EP (1) EP0638184B1 (da)
AT (1) ATE161110T1 (da)
AU (1) AU4060093A (da)
DE (1) DE69315690T2 (da)
DK (1) DK170490B1 (da)
WO (1) WO1993022723A1 (da)

Families Citing this family (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2283341A (en) 1993-10-29 1995-05-03 Sophos Plc Central virus checker for computer network.
FR2715788B1 (fr) * 1994-02-01 1996-03-29 Dassault Automatismes Telecomm Communication sur réseau numérique, avec anti-virus.
US5675711A (en) * 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
ATE183592T1 (de) * 1994-06-01 1999-09-15 Quantum Leap Innovations Inc Computervirenfalle
US6279128B1 (en) * 1994-12-29 2001-08-21 International Business Machines Corporation Autonomous system for recognition of patterns formed by stored data during computer memory scrubbing
GB2303947A (en) * 1995-07-31 1997-03-05 Ibm Boot sector virus protection in computer systems
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US5826013A (en) * 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
EP0815510B1 (en) * 1995-12-28 2000-11-08 InDefense, Inc. Method for protecting executable software programs against infection by software viruses
US5745679A (en) * 1996-03-06 1998-04-28 Micron Technology, Inc. Method and device for file transfer by cascade release
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5951698A (en) * 1996-10-02 1999-09-14 Trend Micro, Incorporated System, apparatus and method for the detection and removal of viruses in macros
US5948104A (en) * 1997-05-23 1999-09-07 Neuromedical Systems, Inc. System and method for automated anti-viral file update
DE19734585C2 (de) * 1997-08-09 2002-11-07 Brunsch Hans Verfahren und Vorrichtung zur Überwachung von Informationsflüssen in Computersystemen
US6088804A (en) * 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6751761B1 (en) * 1998-02-16 2004-06-15 Fujitsu Limited Method and apparatus for testing network, and recording medium
US6763467B1 (en) 1999-02-03 2004-07-13 Cybersoft, Inc. Network traffic intercepting method and system
US7389540B2 (en) 1999-02-03 2008-06-17 Cybersoft, Inc. Apparatus and methods for intercepting, examining and controlling code, data and files and their transfer
US7917744B2 (en) * 1999-02-03 2011-03-29 Cybersoft, Inc. Apparatus and methods for intercepting, examining and controlling code, data and files and their transfer in instant messaging and peer-to-peer applications
US6314469B1 (en) * 1999-02-26 2001-11-06 I-Dns.Net International Pte Ltd Multi-language domain name service
US6954858B1 (en) 1999-12-22 2005-10-11 Kimberly Joyce Welborn Computer virus avoidance system and mechanism
US6842861B1 (en) 2000-03-24 2005-01-11 Networks Associates Technology, Inc. Method and system for detecting viruses on handheld computers
US9213836B2 (en) 2000-05-28 2015-12-15 Barhon Mayer, Batya System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
GB2411747B (en) * 2000-05-28 2005-10-19 Secureol System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US6611925B1 (en) * 2000-06-13 2003-08-26 Networks Associates Technology, Inc. Single point of entry/origination item scanning within an enterprise or workgroup
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
GB0016835D0 (en) * 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
US7404212B2 (en) * 2001-03-06 2008-07-22 Cybersoft, Inc. Apparatus and methods for intercepting, examining and controlling code, data and files and their transfer
US6981280B2 (en) 2001-06-29 2005-12-27 Mcafee, Inc. Intelligent network scanning system and method
EP1271283B1 (en) * 2001-06-29 2007-05-23 Stonesoft Corporation An intrusion detection method and system
EP1280298A1 (en) * 2001-07-26 2003-01-29 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus of detecting network activity
US7657935B2 (en) 2001-08-16 2010-02-02 The Trustees Of Columbia University In The City Of New York System and methods for detecting malicious email transmission
US7302706B1 (en) 2001-08-31 2007-11-27 Mcafee, Inc Network-based file scanning and solution delivery in real time
US7007302B1 (en) 2001-08-31 2006-02-28 Mcafee, Inc. Efficient management and blocking of malicious code and hacking attempts in a network environment
US7310818B1 (en) * 2001-10-25 2007-12-18 Mcafee, Inc. System and method for tracking computer viruses
US9306966B2 (en) 2001-12-14 2016-04-05 The Trustees Of Columbia University In The City Of New York Methods of unsupervised anomaly detection using a geometric framework
US7761605B1 (en) * 2001-12-20 2010-07-20 Mcafee, Inc. Embedded anti-virus scanner for a network adapter
US8185943B1 (en) 2001-12-20 2012-05-22 Mcafee, Inc. Network adapter firewall system and method
US7225343B1 (en) 2002-01-25 2007-05-29 The Trustees Of Columbia University In The City Of New York System and methods for adaptive model generation for detecting intrusions in computer systems
WO2003067514A2 (de) * 2002-02-05 2003-08-14 Siemens Aktiengesellschaft Verfahren zum klassifizieren der verkehrsdynamik einer netzkommunikation unter verwendung eines gepulste neuronen enthaltenden netzes
CA2493787A1 (en) * 2002-08-07 2004-02-19 British Telecommunications Public Limited Company Server for sending electronics messages
US7418730B2 (en) 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
KR100551421B1 (ko) 2002-12-28 2006-02-09 주식회사 팬택앤큐리텔 바이러스치료기능을 가진 이동통신 시스템
US7386888B2 (en) 2003-08-29 2008-06-10 Trend Micro, Inc. Network isolation techniques suitable for virus protection
EP1528452A1 (en) * 2003-10-27 2005-05-04 Alcatel Recursive virus detection, protection and disinfecting of nodes in a data network
US20050259678A1 (en) * 2004-05-21 2005-11-24 Gaur Daniel R Network interface controller circuitry
US20060047826A1 (en) * 2004-08-25 2006-03-02 International Business Machines Corp. Client computer self health check
US20060253908A1 (en) * 2005-05-03 2006-11-09 Tzu-Jian Yang Stateful stack inspection anti-virus and anti-intrusion firewall system
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
US8272058B2 (en) 2005-07-29 2012-09-18 Bit 9, Inc. Centralized timed analysis in a network security system
US7844829B2 (en) * 2006-01-18 2010-11-30 Sybase, Inc. Secured database system with built-in antivirus protection
US7971257B2 (en) * 2006-08-03 2011-06-28 Symantec Corporation Obtaining network origins of potential software threats
US20080071770A1 (en) * 2006-09-18 2008-03-20 Nokia Corporation Method, Apparatus and Computer Program Product for Viewing a Virtual Database Using Portable Devices
US7979906B2 (en) 2007-10-05 2011-07-12 Research In Motion Limited Method and system for multifaceted scanning
EP2053530A1 (en) * 2007-10-05 2009-04-29 Research In Motion Limited Method and system for multifaceted scanning
US8832459B2 (en) * 2009-08-28 2014-09-09 Red Hat, Inc. Securely terminating processes in a cloud computing environment
US9143517B2 (en) * 2013-01-31 2015-09-22 Hewlett-Packard Development Company, L.P. Threat exchange information protection
TWI599905B (zh) * 2016-05-23 2017-09-21 緯創資通股份有限公司 惡意碼的防護方法、系統及監控裝置
US11057411B2 (en) * 2016-06-23 2021-07-06 Nippon Telegraph And Telephone Corporation Log analysis device, log analysis method, and log analysis program

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4933846A (en) * 1987-04-24 1990-06-12 Network Systems Corporation Network communications adapter with dual interleaved memory banks servicing multiple processors
US4874963A (en) * 1988-02-11 1989-10-17 Bell Communications Research, Inc. Neuromorphic learning networks
US4975950A (en) * 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
GB9003890D0 (en) * 1990-02-21 1990-04-18 Rodime Plc Method and apparatus for controlling access to and corruption of information in computer systems
US5065339A (en) * 1990-05-22 1991-11-12 International Business Machines Corporation Orthogonal row-column neural processor

Also Published As

Publication number Publication date
DE69315690T2 (de) 1998-07-02
US5511163A (en) 1996-04-23
AU4060093A (en) 1993-11-29
DK126492A (da) 1993-10-29
EP0638184B1 (en) 1997-12-10
DK126492D0 (da) 1992-10-15
ATE161110T1 (de) 1997-12-15
DE69315690D1 (de) 1998-01-22
WO1993022723A1 (en) 1993-11-11
EP0638184A1 (en) 1995-02-15

Similar Documents

Publication Publication Date Title
DK170490B1 (da) Databehandlingsanlæg
US5568471A (en) System and method for a workstation monitoring and control of multiple networks having different protocols
CN100487664C (zh) 在并行计算机数据通信网络中定位硬件故障的方法和设备
US7703138B2 (en) Use of application signature to identify trusted traffic
CN102821002B (zh) 网络流量异常检测方法和系统
US6697870B1 (en) Method and apparatus for real-time protocol analysis using an auto-throttling front end process
US5898826A (en) Method and apparatus for deadlock-free routing around an unusable routing component in an N-dimensional network
US4692918A (en) Reliable local data network arrangement
US5634009A (en) Network data collection method and apparatus
US8359378B2 (en) Network system and method of administrating networks
US20090248895A1 (en) Determining A Path For Network Traffic Between Nodes In A Parallel Computer
WO2016081520A1 (en) Method and system for detecting threats using metadata vectors
DE19680539T1 (de) Vorrichtung zum Erfassen und Entfernen von Viren für Computernetzwerke
JP6810339B2 (ja) 空き帯域測定プログラム、空き帯域測定方法、および空き帯域測定装置
CN106210172B (zh) 以太网络数据ip地址高速分类装置
CN104125214A (zh) 一种实现软件定义安全的安全架构系统及安全控制器
KR20190080300A (ko) 비정상 제어데이터 탐지 시스템
Preamthaisong et al. Enhanced DDoS detection using hybrid genetic algorithm and decision tree for SDN
CN113630301B (zh) 基于智能决策的数据传输方法、装置、设备及存储介质
US4831512A (en) System and method of message communication capable of checking consistency among data
US20230067096A1 (en) Information processing device, computer program product, and information processing system
US6959352B1 (en) System and method for allowing non-trusted processors to interrupt a processor safely
KR102282843B1 (ko) 스위칭 장치를 이용하는 비정상 제어데이터 탐지시스템
DK170544B1 (da) Databehandlingsanlæg
CN108848093B (zh) 路由计算单元和网络节点设备

Legal Events

Date Code Title Description
A0 Application filed