DK170544B1 - Databehandlingsanlæg - Google Patents

Databehandlingsanlæg Download PDF

Info

Publication number
DK170544B1
DK170544B1 DK055092A DK55092A DK170544B1 DK 170544 B1 DK170544 B1 DK 170544B1 DK 055092 A DK055092 A DK 055092A DK 55092 A DK55092 A DK 55092A DK 170544 B1 DK170544 B1 DK 170544B1
Authority
DK
Denmark
Prior art keywords
network
adapter
virus
data processing
processing system
Prior art date
Application number
DK055092A
Other languages
English (en)
Other versions
DK55092D0 (da
DK55092A (da
Inventor
Carsten Howitz
Michale Lerche
Original Assignee
Multi Inform As
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Multi Inform As filed Critical Multi Inform As
Publication of DK55092D0 publication Critical patent/DK55092D0/da
Priority to DK055092A priority Critical patent/DK170544B1/da
Priority to DK126492A priority patent/DK170490B1/da
Priority to AU40600/93A priority patent/AU4060093A/en
Priority to PCT/DK1993/000140 priority patent/WO1993022723A1/en
Priority to EP93909808A priority patent/EP0638184B1/en
Priority to AT93909808T priority patent/ATE161110T1/de
Priority to DE69315690T priority patent/DE69315690T2/de
Publication of DK55092A publication Critical patent/DK55092A/da
Priority to US08/325,466 priority patent/US5511163A/en
Application granted granted Critical
Publication of DK170544B1 publication Critical patent/DK170544B1/da

Links

Landscapes

  • Computer And Data Communications (AREA)

Description

i DK 170544 B1
Opfindelsen angår et databehandl ingsanlæg omfattende et antal datamater, der er forbundet indbyrdes via et lokalt netværk, fortrinsvis i form af et ringnetværk, hvor der til netværket er sluttet en netværksadapter, der er i stand til at modtage 5 al information på netværket.
En sådan netværksadapter er indrettet til at måle hastighed og ydeevne på netværket, bl.a. for at kunne vurdere om netværket er optimalt udformet.
10
Til et ringformet netværk kan der desuden været sluttet en såkaldt server. I serveren kan være indlagt et netværksprogram, som alle brugere har adgang til. Derved kan den enkelte bruger også have adgang til logiske drev på serveren, i hvilke drev 15 brugeren vil kunne indlægge programmer og data, der derefter vil kunne udtages af en anden bruger (uden at brugerne skal udveksle disketter). Der kan foretages en viruskontrol af datamaten på den enkelte arbejdsplads ved, at brugeren på den pågældende arbejdsplads starter et virusprogram for at skanne 20 den lokale disk for virus. Selve virusprogrammet kan imidlertid ligge på serveren og hentes fra denne. En virusskandering vil af brugeren kunne foretages med jævne mellemrum. Et eventuelt virus vil imidlertid kunne have udbredt sig til alle datamater inden det detekteres.
25
Formålet med opfindelsen er at tilvejebringe et databehandlingsanlæg af den indledningsvis nævnte art, hvor et eventuelt virus og heraf inficerede datamater detekteres langt hurtigere end hidtil kendt, således at spredni ngen af vi ruset vil kunne 30 begrænses.
Databehandlingsanlægget ifølge opfindelsen er ejendommeligt ved, at der til netværksadapteren er sluttet en datamat, der sammen med adapteren kan håndtere en opsamling og skandering 35 af alle filer på netværket og foretage en genkendelse af eventuelle virussignaturer (bitmønstre). Derved opfanges de enkelte filstykker (pakker), der cirkulerer i det ringformede DK 170544 B1 2 netværk, hvilke filstykker efter at være samlet til en fil skanderes for detektion af eventuelle virus. I tilfælde af at „ der detekteres en virussignatur i filen, får man samtidig et information om sender- og modtagerenhederne, og der vil blive 5 slået alarm. Derved undgås en yderligere spredning af viruset.
Fremdeles kan ifølge opfindelsen den til adapteren sluttede datamat være indrettet til at udsende en såkaldt "vaccine" til de datamater, der måtte være blevet inficeret med den nævnte 10 virus. Den periode, hvori anlægget er lukket ned som følge af en detektion af et virus, er derved reduceret til nul.
Endvidere kan ifølge opfindelsen vaccinen implementeres ved at lade den til adapteren sluttede datamat starte en skanderings-15 proces på de inficerede datamater ved hjælp af et i og for sig kendt program, som uskadeliggør viruset.
Endelig kan ifølge opfindelsen den til adapteren sluttede datamat indeholde et neuralt netværk i form af et program, der 20 er indrettet til at kunne genkende den normale trafik på det lokale netværk og slå alarm i tilfælde af, at der konstateres en unormal trafik, der muligvis svarer til et ukendt virussignatur. Derved bliver det også muligt at detektere endnu ikke kendte virus og derigennem opnå en bedre virusdetektion 25 end hidtil kendt.
Opfindelsen skal nærmere forklares i det følgende under henvisning til tegningen, hvor 30 fig. i viser et databehandlingsanlæg ifølge opfindelsen omfattende et lokalt netværk i form af et ringnetværk, hvortil der er sluttet et antal datamater, idet en af datamaterne er udstyret med en speciel netværksadapter, 35 fig. 2 en illustration af, hvorledes en datamat inficeres og. derefter selv vil kunne inficere netværket, »t 3 DK 170544 B1 fig. 3 en illustration af hvorledes en til netværket sluttet adapter vil kunne opfange pakker af den i netværket cirkulerende information med henblik på detektion af eventuelle virus, og 5 fig. 4 et databehandlingsanlæg omfattende et lokalt netværk i form af et strengnetværk, hvortil der er sluttet et antal datamater og en af datamaterne er udstyret med en speciel netværksadapter .
10
Det i fig. 1 viste databehandlingsanlæg omfatter et antal datamater 2 i form af PC'ere, der er forbundet indbyrdes via et lokalt netværk i form af et ringnetværk 1. Et virus 1 kan indføres via en diskette 3, der indføres i en af PC'erne 2. 15 PC'erne kopierer programmet på disketten 3 og bliver derved selv inficeret i tilfælde af, at der i programmet er indlagt et virus. Det inficerede program kan derefter via netværket 1 overføres til en eller flere af de øvrige PC'ere 2, der er sluttet til netværket. Overførslen sker ved, at programmet el-20 ler programfilen opdeles i pakker, der transmitteres serielt via det ringformede netværk 1. Den enkelte pakke indeholder en adresse, der angiver modtagerenheden. Pakken cirkulerer i netværket 1, og når den når modtagerenheden (en PC) genkender den adressen, og modtagerenheden vil kunne læse pakken. Den an-25 givne modtagerenhed er normalt den eneste enhed, der kan læse pakken, og derefter mærke denne som læst. Pakken kører derefter videre i netværket, og når den kommer tilbage til senderenheden, kan denne se, om pakken er blevet læst. Hvis dette er tilfældet, kan pakken tømmes og mærkes som ledig.
30
Ved hjælp af et program i en server 5, der også er sluttet til netværket 1, kunne den enkelte bruger tidligere med jævne mellemrum foretage en virusskandering af programmerne i PC'eren 2 på arbejdspladsen. En ulempe ved denne form for vi ruskontrol 35 er, at et eventuelt virus kan nå at udbrede sig til hele data behandlingsanlægget inden, der slås alarm.
4 DK 170544 B1
Ifølge opfindelsen er en af datamaterne nemlig datamaten 8 forbundet med en speciel netværksadapter 7 eksempelvis en IBM trace and performanence adapter, der er i stand til at modtage al information på netværket 1. Adapteren 7 modtager udvalgte 5 pakker på netværket (kun pakker, der indeholder data, er af interesse). Pakkerne fortsætter til bestemmelsesstedet uden forsinkelse. En TAP-logik i netværksadapteren 7 samler derefter pakkerne til filer - se fig. 3 - med henblik på skandering for detektion af eventuelle virussignaturer. Adapteren 7 (der 10 i fig. 1 er symboliseret ved hjælp af et forstørrelsesglas) er sluttet til datamaten 8, der er i stand til at udføre skanderingen af filerne og foretage en genkendelse af eventuelle virussignaturer .
15 Et program består af en række kommandoer til et EDB-system.
Kommandoerne er repræsenteret ved en række koder (hexadecimale koder), der er lette at genkende. Det er derved muligt at sammenligne programmet med programdele (signaturer) for at fastslå, om en programdel er en del af en del af af det sam-20 lede program. Et virus der i virkeligheden er et program vil kunne genkendes på samme måde. Viruset, dvs. signaturen på viruset, må nødvendigvis være kendt. Derved kan alle filer på et EDB-system skanderes for denne signatur ved, at filerne sammenlignes med signaturen. Hvis signaturen er en del af en fil, 25 er der risiko for, at filen er inficeret. Der findes et stort antal programmer til at skandere filer for kendte virussignaturer. Disse programmer er i stand til at konstatere, om et givet EDB-system er smittet med kendte virus.
30 i tilfælde af, at der detekteres et virus, der i virkeligheden er et program, vil der øjeblikkeligt blive slået alarm og umiddelbart derefter vil der blive udsendt en såkaldt "vaccine" til de PC'ere 2, der har modtaget inficeret information.
Dette er muligt, eftersom den enkelte pakke i det ringformede 35 netværk 1 indeholder adresserne af sender- og modtagerenhederne af den pågældende information. Vaccinen implementeres % f.eks. ved hjælp af programmet "Clean", der sælges af firmaet 5 DK 170544 B1
Mcafee. Dette program virker på den måde, at det simpelthen sletter eller skriver hen over virusprogrammet, der typisk ligger foran eller bagved det egentlige program. Hvis virusprogrammet ligger foran det egentlige program, kan det efter 5 en sletning eller overskrivning af dette indikeres, at det egentlige program først starter lidt senere. Ved en hurtig udsendelse af en sådan vaccine begrænses smitteudbredelsen til et minimum. Princippet er særlig velegnet i forbindelse med et ringformet netværk, idet informationspakkerne under hvert om-10 løb passerer adapteren 7 og derved detekteres så hurtigt som det overhovedet er muligt.
Princippet vil også kunne anvendes i forbindelse med et strengformet netværk - se fig. 4. I det strengformede netværk 15 1' modtager alle tilkoblede datamater 2 de samme data. Den da tamat, hvis adresse svarer til modtageradressen, vil modtage informationen. En TAP-maskine 11, der er udstyret med en speciel adapter, vil imidlertid også modtage informationen. Denne adapter er f.eks. af typen speeder analyser 325-R version 2.1 20 fra firmaet Speeder Systems. TAP-maskinen 11 opfatter informationspakkerne som værende til den; også selv om dette ikke er tilfældet. TAP-maskinens adapter læser simpelthen alle pakker. Koden er så at sige slået fra, idet adapteren kan sættes i en speciel mode, således at den simpelthen ignorerer adressen og 25 læser alt ind. På netværksadapteren ligger også en hukommelse bestående af RAM-kredsløb, hvor informationspakkerne indlæses og indlægges i en buffer, som er en del af RAM-kredsløbet. Denne buffer tømmes af og til, eksempelvis når den er fuld, eller er ved at blive det. Den tømmes ved hjælp af en net-30 værkssoftware. Pakkerne kan godt komme flere filer ad gangen. Netværkssoftwaren behandler og omsætter den til noget som operativsystemet kan forstå, som gør det muligt for operativsystemet at indlægge filerne på en disk eller indlæse dem i hukommelsen .
35
Databehandlingsanlægget kan imidlertid videreudvikles til også at kunne genkende et nyt virus og sende vaccine ud efter dette 6 DK 170544 B1 nye virus. Dette kan ske ved, at den til netværksadapteren sluttede datamat 8 henholdsvis 11 desuden indeholder et neu- * ralt netværk i form af et program, der er trænet op til at kunne genkende al normal trafik på det lokale netværk og slå 5 alarm i tilfælde af, at der konstateres en ukendt signatur, der muligvis svarer til et endnu ikke kendt virus.
Datastrukturen for et neuralt netværk kan f.eks. være således: 10 Netværket består af et antal neuroner. Hver neuron er en post med information om neuronens tærskelværdi (den værdi der afgør om neuronen skal "fyre") samt en række pegere til andre neuroner i et underliggende lag. Disse pegere er tilknyttet en kendt styrke (værdi), der benyttes i forbindelse med påvirk-15 ningen af de øvrige neuroners tærskelværdi. Endvidere anvendes en temporær variabel til at udregne påvirkningen af den enkelte neuron.
Herunder vises en datastruktur i pseudokode: 20
Type
Neuron = post Værdi: Talværdi ;Påvirkningen fra andre neuroner 25 Tærskel: Talværdi {Tærskelværdien
Styrker: Liste af talværider {Styrken på påvirkning til andre neuroner post slut
Neuronlag = liste af Neuron 30
Et typisk neuralt netværk til signaturgenkendelse vil kunne implementeres ved hjælp af 3 neuronlag (input-, mellem- og outputlag).
r 35 Inputlaget påtrykkes en signatur. Inputlagets værdier multipliceres med de relevante styrker til påvirkningen af mellemlaget. Herefter afgøres om mellemlagets neuroner skal 7 DK 170544 B1 "fyre" ved at sammenligne den samlede påvirkning på hver neuron med neuronens tærskelværdi (simpel talsammenligning). Herefter påvirkes outputlaget på tilsvarende måde. Outputlaget giver hermed et svar, der aflæses i værdivariablen.
5
Hvis outputlaget f.eks. består af to neuroner kan et svar være Ja, hvis neuron[l].værdi>neuron[2].værdi (omvendt for svaret Nej). Hvis netværket svarer forkert ændres styrkerne og tærsklerne i hele nettet, således at svaret er "mere korrekt" 10 (dvs. det går i den rigtige retning). Hvis netværket svarer korrekt ændres ingenting. Denne process gentages utallige gange indtil netværket svarer korrekt hele tiden (netværket er i ndlært).
15 Yderligere detaljer vedrørende implementering og indlæringsal goritmer fremgår af litteraturstedet Neurocomputing af Robert Hecht-Nielsen. Udgivet af Addison-Wesley Publishing Company. ISBN 0-201-09355-3. Der henvises i sær til afsnit 3.3 og 3.4, der er en del af nærværende beskrivelse.
20
En særlig fordel ved databehandlingsanlægget ifølge opfindelsen er, at den enkelte bruger ikke behøver at foretage en skandering af programmerne i den enkelte PC. Ifølge opfindelsen skanderes i stedet kommunikationen i netværket og denne 25 skandering sker centralt.
Datamater, der aldrig sender ud på netværket 1, 1', kan imidlertid være inficeret og må derfor tjekkes på konventionel måde af den enkelte bruger.
30
Problemet har hidtil været, at man ikke var i stand til at lokalisere en senderenhed, der havde inficeret et netværk. Med anlægget ifølge opfindelsen er dette nu muliggjort inden "sporene" slettes.
35

Claims (5)

8 DK 170544 B1 Patentkrav.
1. Databehandlingsanlæg omfattende et antal datamater (2), der 5 er indbyrdes forbundet via et lokalt netværk (1), fortrinsvis i form af et ringnetværk, hvor der til netværket (1) er sluttet en netværksadapter (7), der er i stand til at modtage al information på netværket (1), kendetegnet ved, at der til netværksadapteren (7) er sluttet en datamat (8), der 10 sammen med adapteren (7) kan håndtere en opsamling og skandering af alle filer på netværket (1) og foretage en genkendelse af signaturer af eventuelle virus.
2. Databehandlingsanlæg ifølge krav i, kendetegnet 15 ved, at den til adapteren (7) sluttede datamat (8) desuden er indrettet til at afgive information om, hvorfra en eventuelt inficeret information stammer, og hvortil denne information er blevet overført.
3. Databehandlingsanlæg ifølge krav 1 eller 2, kende tegnet ved, at den til adapteren (7) sluttede datamet (2) er indrettet til at udsende en såkaldt "vaccine" til de datamater (8), der måtte være blvet inficeret af den eller de nævnte virus. 25
4. Databehandlingsanlæg ifølge krav 3, kendetegnet ved, at vaccinen implementeres ved at lade den til adapteren (7) sluttede datamat (8) starte en skanderingsproces på de in-ficererede datamater (2) ved hjælp af et i og for sig kendt 30 program.
5. Databehandlingsanlæg ifølge et eller flere af kravene 1-4, kendetegnet ved, at den til adapteren (7) sluttede datamat (8) indeholder et neuralt netværk i form af et pro- 35 gram, der er indrettet til at kunne genkende den normale trafik på det lokale netværk (1) og slå alarm i tilfælde af, at der konstateres en unormal trafik, der formentlig svarer til et ukendt virussignatur.
DK055092A 1992-01-15 1992-04-28 Databehandlingsanlæg DK170544B1 (da)

Priority Applications (8)

Application Number Priority Date Filing Date Title
DK055092A DK170544B1 (da) 1992-04-28 1992-04-28 Databehandlingsanlæg
DK126492A DK170490B1 (da) 1992-04-28 1992-10-15 Databehandlingsanlæg
EP93909808A EP0638184B1 (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
PCT/DK1993/000140 WO1993022723A1 (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
AU40600/93A AU4060093A (en) 1992-04-28 1993-04-28 Network adaptor connected to a computer for virus signature recognition in all files on a network
AT93909808T ATE161110T1 (de) 1992-04-28 1993-04-28 Mit einem rechner verbundene netzadaptorschaltung für virussignaturerkennung in allen netzwerkdateien.
DE69315690T DE69315690T2 (de) 1992-04-28 1993-04-28 Mit einem rechner verbundene netzadaptorschaltung für virussignaturerkennung in allen netzwerkdateien.
US08/325,466 US5511163A (en) 1992-01-15 1994-12-19 Network adaptor connected to a computer for virus signature recognition in all files on a network

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DK55092 1992-04-28
DK055092A DK170544B1 (da) 1992-04-28 1992-04-28 Databehandlingsanlæg

Publications (3)

Publication Number Publication Date
DK55092D0 DK55092D0 (da) 1992-04-28
DK55092A DK55092A (da) 1993-10-29
DK170544B1 true DK170544B1 (da) 1995-10-16

Family

ID=8094818

Family Applications (1)

Application Number Title Priority Date Filing Date
DK055092A DK170544B1 (da) 1992-01-15 1992-04-28 Databehandlingsanlæg

Country Status (1)

Country Link
DK (1) DK170544B1 (da)

Also Published As

Publication number Publication date
DK55092D0 (da) 1992-04-28
DK55092A (da) 1993-10-29

Similar Documents

Publication Publication Date Title
DK170490B1 (da) Databehandlingsanlæg
CN101291323B (zh) 使用部分确定性有限自动模式匹配来进行网络攻击检测
WO2016132717A1 (ja) ログ分析システム、ログ分析方法およびプログラム記録媒体
CN102821039B (zh) 基于名称的网络系统中防止待定兴趣表溢出的设备和方法
US7774845B2 (en) Computer security system
US20170091461A1 (en) Malicious code analysis method and system, data processing apparatus, and electronic apparatus
US7334264B2 (en) Computer virus generation detection apparatus and method
WO2009135396A1 (zh) 网络攻击处理方法、处理装置及网络分析监控中心
US20060070130A1 (en) System and method of identifying the source of an attack on a computer network
CN109684835A (zh) 使用机器学习来检测恶意文件的系统和方法
JP2019057268A (ja) マルウェア検出モデルの機械学習のシステムおよび方法
JP2008104027A (ja) パケット情報収集装置およびパケット情報収集プログラム
JP2007242002A (ja) ネットワーク管理装置及びネットワーク管理方法及びプログラム
CN106055976A (zh) 文件检测方法及沙箱控制器
CN106713335A (zh) 恶意软件的识别方法及装置
CN103248609A (zh) 一种端到端的数据检测系统、装置和方法
JP4170301B2 (ja) DoS攻撃検出方法、DoS攻撃検出システム、およびDoS攻撃検出プログラム
CN101719906B (zh) 一种基于蠕虫传播行为的蠕虫检测方法
DK170544B1 (da) Databehandlingsanlæg
CN108476151A (zh) 用于捕捉和显示在本地控制网络(lcn)中的分组和其他消息的系统和方法
CN112291239B (zh) 一种面向scada系统的网络物理模型及其入侵检测方法
RU2647616C1 (ru) Способ обнаружения атак перебора на веб-сервис
CN108198326B (zh) 用于纸币数据的传输方法、装置、电子设备及存储介质
JP2019216305A (ja) 通信装置、パケット処理方法及びプログラム
JP4050253B2 (ja) コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム

Legal Events

Date Code Title Description
A0 Application filed
PBP Patent lapsed