ES2309364T3 - Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. - Google Patents

Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. Download PDF

Info

Publication number
ES2309364T3
ES2309364T3 ES03772624T ES03772624T ES2309364T3 ES 2309364 T3 ES2309364 T3 ES 2309364T3 ES 03772624 T ES03772624 T ES 03772624T ES 03772624 T ES03772624 T ES 03772624T ES 2309364 T3 ES2309364 T3 ES 2309364T3
Authority
ES
Spain
Prior art keywords
response
data
network
signatures
signature
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES03772624T
Other languages
English (en)
Inventor
Paolo Abeni
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Telecom Italia SpA
Original Assignee
Telecom Italia SpA
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Telecom Italia SpA filed Critical Telecom Italia SpA
Application granted granted Critical
Publication of ES2309364T3 publication Critical patent/ES2309364T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Selective Calling Equipment (AREA)

Abstract

Un sistema de detección de intrusos (6, 22) para detectar usos no autorizados de una red (2, 20), incluyendo: - un analizador de protocolos (14) para la capturación de datos que se transmiten en dicha red; - un motor de coincidencia de patrones (16) que recibe los datos capturados por dicho analizador de protocolos (14) y compara dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y al menos una firma de ataque, coincidiendo dichos datos capturados con al menos una de dichas firmas de ataque e identificando un ordenador potencialmente atacado, está caracterizado por el hecho de que dicho sistema también incluye: - una base de datos de firmas de respuesta que incluye un grupo de firmas de respuestas concreto para cada firma de ataque; - un motor de análisis de respuesta (18), desencadenado por dicho suceso, adecuado para: - seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente; - comparar los datos que se transmiten en dicha red desde dicho ordenador potencialmente atacado con firmas de respuesta en dicho grupo seleccionado, y - correlacionar los resultados de dichas comparaciones con firmas de ataque y de respuesta para generar una alarma.

Description

Procedimiento y sistema de detección de una utilización no autorizada de una red de comunicaciones.
Campo de la invención
La presente invención se refiere a un procedimiento y sistema de detección de intrusos en una red de comunicación, y concretamente a un sistema de detección de intrusos basado en las técnicas de coincidencia de patrones.
Un Sistema de Detección de Intrusos o IDS, es un sistema capaz de detectar en una red o en un ordenador central datos anómalos o dudosos que pueden considerarse no autorizados y, por tanto, potencialmente peligrosos. Este sistema captura e examina todo el tráfico y, según los contenidos, es capaz de generar una alarma.
Un sistema de detección de intrusos que opera en una red se conoce generalmente como un Sistema de Detección de Intrusos en una Red o NIDS, mientras que un sistema de detección de intrusos pensado para proteger una sola máquina (por ejemplo Host, Server) se conoce como Sistema de Detección de Intrusos en un Host o HIDS. La misma técnica que utilizan los sistemas NIDS para detectar actividades anómalas, también la utilizan algunos componentes de los sistemas HIDS para controlar la actividad de la red enviada y recibida desde el ordenador central.
Antecedentes de la técnica
Una solución habitual para la detección de intrusos es la denominada técnica de análisis del protocolo. El análisis del protocolo utiliza la conocida estructura de los protocolos de comunicación para rastrear todas las conexiones de una red protegida. Para cada conexión el sistema vuelve a trazar el nivel de flujo de la aplicación y estimula el comportamiento de una posible víctima. La alarma se genera cuando el sistema detecta la ejecución de operaciones por alguien que infringe o fuerza la naturaleza del protocolo utilizado. Un sistema de detección de intrusos basado en técnicas de análisis del protocolo se pone de manifiesto, por ejemplo, en el documento US2003/0004688A1. El sistema mostrado resulta bastante complejo porque la técnica de análisis del protocolo requiere una capacidad de procesamiento alta, ya que es necesario tener un conocimiento exhaustivo de la red protegida para volver a trazar de forma eficaz el comportamiento de todos los ordenadores protegidos.
El documento EP 1 330 095 incluye un sistema de seguridad que supervisa el flujo de una secuencia de datos que viaja entre un cliente y un sistema del servidor, en especial para dichos protocolos de comunicación que llevan datos representativos por encima de algún nivel de protocolo orientado a la conexión. La secuencia de datos que viaja desde el servidor hasta un cliente se analiza con el objetivo de identificar al menos un descriptor de respuesta, los descriptores de respuesta identificados se guardan en un grupo de estados disponibles para dicho cliente, y más tarde la secuencia de datos que viaja desde el cliente hasta el servidor se analiza para identificar como mínimo un descriptor de petición. Los descriptores de petición identificados se comparan con un grupo de estados disponibles para dicho cliente y se genera un resultado de supervisión.
El análisis estadístico es otra técnica habitual utilizada en los sistemas de detección de intrusos. Dichos sistemas tratan de detectar las anomalías estadísticas y generan una alarma cuando detectan una desviación de los valores estadísticos. Los valores estadísticos pueden incluir, por ejemplo, el número de conexiones abiertas simultáneamente, el tráfico desde o hacia un ordenador en particular o la duración de las conexiones. La potencia del ordenador no es muy importante en tales sistemas, aunque la identificación de los parámetros que son realmente sintomáticos para determinar el estado de la red y los tipos de variaciones que se pueden detectar es un proceso sumamente complicado. Un ejemplo de sistema de detección de intrusos basado en el análisis estadístico se muestra en el documento WO 02/45380.
Otra de las técnicas utilizadas ampliamente en los sistemas de detección de intrusos es la técnica de coincidencia de patrones, que intenta detectar la presencia de una firma de ataque en un paquete de red. Diversas firmas de ataque (una firma de ataque es una cadena o grupo de bytes) buscan cada paquete que se encuentra en la red, comparando el grupo de bytes tomado desde el paquete en cuestión con diversas firmas de ataque conocidas.
Según la opción de detectar el algoritmo y la frecuencia con la que se aplica, la técnica de coincidencia de patrones puede convertirse en un cuello de botella que afecta al rendimiento. El problema de racionalizar las técnicas de coincidencia de patrones se trata, por ejemplo, en los documentos US 5,179,632 y US 5,495,409, que muestran algunos procedimientos para aumentar el rendimiento de los sistemas de coincidencia de patrones, aunque no están directamente relacionados con los sistemas de detección de intrusos en la red.
Un sistema de detección de intrusos mejorado se muestra en el US 6,477,651, que muestra un sistema con firmas cargadas dinámicamente. La solución propuesta simplifica la modificación del sistema para adaptarlo a las nuevas vulnerabilidades, de modo que el sistema pueda soportar actualizaciones de forma dinámica sin cerrar el sistema de detección.
Otro intento de mejorar la fiabilidad de los sistemas de detección de intrusos basados en técnicas de coincidencia de patrones se muestra en el documento US 6,499,107. El procedimiento consta de la supervisión del tráfico de datos de red y el análisis de dicho tráfico para evaluar la información de red; se da prioridad a un grupo de tareas de análisis basándose en la información de red y las tareas de análisis se realizan sobre el tráfico supervisado para identificar los ataques a la red. Por tanto, cada firma tiene un valor de prioridad asociado, que utiliza el sistema para regularizar la actuación de la tarea de análisis correspondiente.
Dichos sistemas identifican como un ataque cualquier dato que reproduzca una firma conocida, ya sea porque se corresponde eficazmente con un intento de atacar a un ordenador o un servicio vulnerable, o bien porque se dirige a una destinación que no existe o que sin embargo no es sensible a ese tipo de ataques, o incluso en el caso de que la coincidencia la causen datos legítimos en cierto modo similares a una firma de ataque conocida.
Como consecuencia, los sistemas de detección de intrusos basados en técnicas de coincidencia de patrones tienden a generar demasiados falsos positivos como por ejemplo, avisos de falsa alarma. Los falsos positivos se dan cuando una secuencia de bytes de un paquete coincide con una firma de patrón, pero en realidad la secuencia no es ningún ataque.
El solicitante ha abordado el problema de la reducción del número de falsos positivos mediante un sistema de detección de intrusos basado en técnicas de coincidencia de patrones.
El solicitante observa que el número de falsos positivos puede ser tan elevado que el propio sistema pierde su utilidad, incluyendo las alarmas reales entre miles de avisos inútiles.
El solicitante opina que un sistema de detección de intrusos con coincidencia de patrones convencional no es capaz de determinar el significado real y el efecto fundamental de un patrón detectado, provocando así un número excesivo de falsos positivos.
En vista de lo que se ha descrito anteriormente, el objeto de esta invención es proporcionar un sistema de detección de intrusos basado en técnicas de coincidencia de patrones y que sea capaz de filtrar los avisos de alarma mediante una reducción drástica de los falsos positivos.
\vskip1.000000\baselineskip
Resumen de la invención
La invención se define en las reivindicaciones independientes 1 y 13.
Según la invención, se consigue un objeto mediante un procedimiento y un sistema para detectar el uso no autorizado de una red, que está provisto de un motor de coincidencia de patrones para buscar firmas de ataque en los paquetes de datos, y de un motor de análisis de respuesta para detectar las firmas de respuesta en los paquetes de datos devueltos por el ordenador/red atacada. Cuando se detecta una firma sospechosa en un paquete, el sistema entra en un estado de alarma, que comienza con un proceso de supervisión de los paquetes devueltos por la red/ordenador potencialmente atacado. Se genera una alarma solo en el caso de que el análisis de los paquetes de respuesta produzcan también un resultado positivo.
El solicitante ha verificado que el sistema de detección de intrusos conforme a la invención es mucho menos proclive a los falsos positivos y a los diagnósticos erróneos que el sistema de detección de intrusos con coincidencia de patrones convencional.
La presente invención también se refiere a un programa de ordenador que se puede cargar en la memoria de al menos un ordenador y que incluye una porción de código de software para llevar a cabo el procedimiento de la invención cuando el producto se ejecuta en un ordenador.
\vskip1.000000\baselineskip
Breve descripción de los dibujos
La figura 1 muestra un diagrama de bloques de una primera realización de un entorno de red que incluye un sistema de detección de intrusos conforme a la presente invención;
La figura 2 muestra un diagrama de bloques de una segunda realización de un entorno de red que incluye un sistema de detección de intrusos conforme a la presente invención;
La figura 3 muestra un diagrama de bloques de un sistema de detección de intrusos conforme a la presente invención;
La figura 4 muestra un diagrama de flujo de un proceso de análisis de respuesta implementado en el sistema de la figura 3; y
La figura 5 muestra un diagrama de flujo de un proceso de comprobación desencadenado por el proceso de análisis de la respuesta de la figura 4.
Descripción detallada de las realizaciones preferidas
En referencia a la figura 1, una red de área local 2 (LAN), protegida por un sistema de detección de intrusos en la red 6 (NIDS), conectada a una red pública, la red Internet 4 y, por tanto, potencialmente accesible por un atacante externo 8 o Hacker. Un grupo de estaciones de trabajo o servidores 10 están conectados a la red de área local 2 para intercambiar datos y recursos compartidos y para acceder a la red Internet 4.
Entre la LAN 2 e Internet 4, un cortafuegos 12, mostrado en la figura 1 con una línea discontinua, se puede utilizar para limitar el acceso externo a los recursos de la red de área local 2 y proteger tales recursos de un uso no autorizado.
El sistema de detección de intrusos 6 está emparejado con la red de área local 2 para que pueda detectar y capturar los datos que se transmiten por la red. El sistema de detección de intrusos 6 incluye un analizador de protocolos 14 para capturar los datos de la red 2, un motor de coincidencia de patrones 16 que recibe los datos capturados por el analizador de protocolos 14 y un motor de análisis de respuestas 18 desencadenado por un suceso generado a su vez por el motor de coincidencia de patrones 16.
Un analizador de protocolos es un programa que supervisa el tráfico de la red y se puede utilizar para capturar los datos que se transmiten en una red. Gracias al analizador de protocolos 16, el sistema de detección de intrusos 6 puede leer cualquier paquete de datos transferido a la red para determinar las direcciones de origen y destino del paquete y analizar, como se detalla a continuación, el contenido de los datos.
En la figura 2 se muestra una segunda realización de un entorno de red que incluye un sistema de detección de intrusos conforme a la presente invención. Un ordenador central 20, como una red o un servidor web, se conecta a una red Internet 4 y, por tanto, cualquier ordenador externo puede acceder a él, como por ejemplo el atacante externo 8.
El ordenador central 20 incluye un sistema de detección de intrusos en un Host 22 (HIDS), cuya operación es equivalente a la del sistema de detección de intrusos en la red 6 de la figura 1.
El sistema de detección de intrusos 22 está incluye un analizador de protocolos 14 para capturar los datos en la red 2, un motor de coincidencia de patrones 16 que recibe los datos capturados por el analizador de protocolos 14 y un motor de análisis de respuesta 18 desencadenado por un suceso generado a su vez por el motor de coincidencia de patrones 16.
El sistema 22, en caso de peligro por ataque externo, interviene directamente en el ordenador central 20 protegiendo sus recursos de usos no autorizados.
Ambas realizaciones mostradas en las figuras 1 y 2 incluyen un sistema de detección de intrusos, NIDS 6 o HIDS 22, que funciona según el esquema común que muestra la figura 3. El analizador de procesos presente en el sistema 6 o 22 captura todos los paquetes de datos que están en tránsito en la red 2, como por ejemplo, el paquete 30 que muestra la figura 3. El paquete capturado 30 se trasfiere al motor de coincidencia de patrones 16, que compara los datos del paquete con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y alguna firma de ataque. Se considera que los expertos en la materia son conocedores absolutos de los principios y criterios operacionales básicos del motor de coincidencia de patrones 16 (como justifican, por ejemplo, US 6,477,651 o US 6,499,107).
Cuando se identifica un paquete sospechoso en un paquete de datos, por ejemplo, en un suceso generado por el motor de coincidencia de patrones 16, se comienza una nueva tarea de análisis del tráfico de red particular. La nueva tarea utiliza el analizador de protocolos 14 para capturar los paquetes de datos que se generan como respuesta a los paquetes de datos sospechosos. El término "tarea" no indica necesariamente una nueva tarea o línea de ejecución, sino un flujo de ejecución que se ejecuta al mismo tiempo en el motor de coincidencia de patrones.
Los paquetes de respuesta se seleccionan mediante la realización de un análisis de la dirección de IP de origen (la dirección del supuesto ordenador atacante) o mediante el análisis de las direcciones IP tanto de origen como de destino de los paquetes (las direcciones de los supuestos ordenadores atacante y atacado). También se puede realizar la selección de paquetes mediante el análisis de la información del nivel de transporte en los propios paquetes (puertos TCP/UDP).
Con el objetivo de determinar con mayor precisión el estado del supuesto ataque que está en proceso, el sistema es capaz de enviar paquetes de datos hacia el ordenador atacante y al atacado por medio del propio analizador de protocolos 14. Dichos paquetes estimulan una respuesta en el ordenador de destino y el sistema analiza dicha respuesta por medio de, por ejemplo, técnicas de coincidencia de patrones, para determinar un estado de alarma.
Los paquetes capturados por la nueva tarea mencionada anteriormente son, por ejemplo, paquetes generados como respuesta a paquetes de datos sospechosos y se transmiten al motor de análisis de respuesta 18, que compara dichos datos con un grupo de firmas de respuesta, y analiza el resultado de dicha comparación y generar así una alarma.
Las firmas de respuesta, que tienen una estructura equivalente a la de las firmas de ataque, se recogen en una base de datos y se distribuyen en dos categorías. Las firmas de respuesta de "Tipo A" identifican a un tráfico sospechoso o ilícito, mientras que las de "Tipo B" identifican a tráficos no sospechosos o legítimos. Las firmas de respuesta, así como las firmas de ataque, se pueden generar manualmente gracias a la experiencia de ingenieros de sistema o, en ocasiones, de forma automática siguiendo unas sencillas reglas.
Tales reglas determinan la forma de las firmas de respuesta como una función de la tipología del ataque considerado y de la aplicación/protocolo atacado. Un grupo concreto de firmas de respuestas se asigna a cada firma de ataque (o a un grupo de firmas de ataque), de modo que las firmas de respuesta utilizadas por el motor de análisis de respuesta 18 dependen del tipo de ataque potencial revelado.
Los siguientes ejemplos muestran cómo se puede generar un grupo de firmas de respuesta para un ataque concreto.
Los posibles ataques se deben clasificar en categorías uniformes, como DoS (Denegación de Servicio), desbordamiento del búfer, transversal de directorio, etc., y se debe conocer el protocolo de red utilizado.
Por ejemplo, en el caso de un ataque de desbordamiento del búfer, la firma de respuesta generada es de tipo B e interpreta las respuestas habituales del protocolo atacado durante un funcionamiento normal.
En el caso de un desbordamiento del búfer dirigido a un servidor POP3, la firma de respuesta aparece en forma "+OK" or "-ERR",
y reconoce una situación en la que el ataque sospechoso no tuvo éxito.
Otro ejemplo se da cuando, en el caso de un ataque transversal de directorio, la firma de respuesta generada es de tipo A e interpreta las respuestas indicando un ataque con éxito. La firma generada como consecuencia de la ejecución de un comando shell:
"GET /cgi-bin/../../../cmd.exe HTPP/1.1"
es
"HTTP/1.1 200 OK"
que reconoce efectivamente una intrusión.
La figura 4 muestra detalladamente el funcionamiento del motor de análisis de respuesta 18.
El proceso comienza en el bloque 40, cuando el motor de coincidencia de patrones 16 ha individualizado un paquete sospechoso. La actividad se registra en un archivo de registro, el bloque 42, para analizar estadísticamente los datos posteriormente. Una variable num_pos_match se inicia (num_pos_match = 0) y se activa un tiempo de espera 64.
El sistema captura un paquete que proviene de la dirección del ordenador atacado y/o dirigido al atacante 8, bloque 44.
Se hacen coincidir los datos del paquete con las firmas de respuesta correspondientes a la firma (o firmas) de ataque coincidentes. Si una firma coincidente identifica un tráfico ilícito, una firma de tipo A, una condición verificada en el bloque 46, se genera una alarma en el bloque 54 y el proceso del motor de análisis de respuesta termina, bloque 62.
Si el proceso de análisis captura un paquete proveniente del ordenador atacado y dirigido al atacante indicando que se ha establecido una nueva conexión de red, distinta a la conexión que provocó el proceso de análisis, condición verificada en el bloque 48, se genera una alarma en el bloque 56 y el proceso del motor de análisis de respuesta termina, bloque 62. Esta condición indica que el ataque se ha realizado correctamente y que el atacante, después de tomar el control de la víctima (ordenador atacado), ha generado una conexión nueva.
Si la firma coincidente identifica un tráfico legítimo, una firma de tipo B, una condición verificada en el bloque 50, la situación no es un ataque real, o se ha realizado eficazmente en el ordenador de destino previsto, y la variable num_pos_match, que representa el número de paquetes de respuesta ya analizados, se incrementa en el bloque 58 (función Incr(num_pos_match)). En el bloque condicional 60 la variable num_pos_match se compara con un número predeterminado de coincidencia de firmas de respuesta (req(signatures)), de modo que el proceso puede funcionar con un número predeterminado de paquetes, volviendo al bloque 44, o terminando en el bloque 62. El valor de la variable req(signature) se puede ajustar a nuestra voluntad, por ejemplo, según las preferencias del administrador de la red.
La iteración del proceso de análisis de respuesta en el caso de coincidencias de firmas de tipo B se realiza para reconocer aquellas situaciones en las que, tras un ataque con éxito, el tráfico de respuesta desde el servidor es temporalmente lícito, antes de pasar a ser ilícito.
El proceso que muestra la figura 4 termina en el bloque 62 si el tiempo de espera 64, activado al principio, no ha transcurrido. Por el contrario, cuando finalice el tiempo de espera 64, se inicia una tarea de comprobación 52, cuyo funcionamiento se detalla en la figura 5. La tarea de comprobación 52 permite que el sistema pueda decidir si se debe generar una alarma, en caso de que el proceso de análisis de la respuesta no recopile suficiente información para tomar dicha decisión.
La tarea de comprobación, iniciada en el bloque 70, verifica inicialmente si se ha detectado tráfico desde el supuesto ordenador atacado durante el proceso de análisis de firmas de respuesta, bloque 72. Si se ha detectado algún tráfico, la ejecución pasa al bloque condicional 74, donde se analiza la naturaleza de las firmas de respuesta que se han utilizado previamente. Si se han utilizado firmas de respuesta de "tipo A" o de "tipo A" y "tipo B", la flecha 75 del diagrama de flujo de la figura 5, la tarea de comprobación 52 termina sin generar ninguna alarma, bloque final 82. Dicha situación indica que, durante el proceso de análisis terminado con la finalización del tiempo de espera 64, los paquetes de datos de respuesta se han comparado con firmas que indicaban tráfico ilícito (tipo A) o ambos tipos de firmas (legítimas e ilícitas), sin ninguna coincidencia positiva.
Por el contrario, en el caso de firmas de respuesta de "tipo B", flecha 77, se genera una alarma en el bloque 78 y termina la tarea de comprobación 52. La situación posterior indica que los paquetes de datos de respuesta se han comparado de forma exclusiva con firmas que indicaban tráfico legítimo (tipo B), indicando dicha condición de no coincidencia una situación potencialmente peligrosa.
Si no se ha detectado tráfico entre el ordenador atacado y el atacante durante el proceso de análisis de las firmas de respuesta, flecha 73, se realiza una prueba del ordenador atacado (o aplicación/protocolo) en el bloque 76. La prueba del bloque 76 es un intento para realizar una conexión al supuesto ordenador/aplicación/protocolo atacado. Si la conexión falla, se puede deducir que el ataque estaba orientado a un destino inexistente, flecha 79, y la tarea de comprobación termina sin generar ninguna alarma, bloque 82. Por el contrario, flecha 81, si el supuesto ordenador/aplicación/protocolo atacado está activo, se puede deducir que el ataque se hizo con éxito y, antes de terminar la tarea en el bloque 82, se genera una alarma en el bloque 80.
El sistema también es capaz de ejecutar más de un motor de análisis de respuesta en un entorno con múltiples tareas, para supervisar más de un ordenador/aplicación/protocolo al mismo tiempo y en la misma red. Los distintos procesos se pueden ejecutar al mismo tiempo en el mismo sistema de detección de intrusos, implicando distintos entidades o nodos de red.
\vskip1.000000\baselineskip
Referencias citadas en la descripción
Esta lista de referencias citadas por el solicitante está prevista únicamente para ayudar al lector y no forma parte del documento de patente europea. Aunque se ha puesto el máximo cuidado en su realización, no se pueden excluir errores u omisiones y la OEP declina cualquier responsabilidad en este respecto.
Documentos de patente citados en la descripción
\bullet US 20030004688 A1 [0004]
\bullet EP 1330095 A [0005]
\bullet WO 0245380 A [0006]
\bullet US 5179632 A [0008]
\bullet US 5495409 [0008]
\bullet US 6477651 B [0009] [0030]
\bullet US 6499107 B [0010] [0030]

Claims (24)

1. Un sistema de detección de intrusos (6, 22) para detectar usos no autorizados de una red (2, 20), incluyendo:
-
un analizador de protocolos (14) para la capturación de datos que se transmiten en dicha red;
-
un motor de coincidencia de patrones (16) que recibe los datos capturados por dicho analizador de protocolos (14) y compara dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y al menos una firma de ataque, coincidiendo dichos datos capturados con al menos una de dichas firmas de ataque e identificando un ordenador potencialmente atacado,
está caracterizado por el hecho de que dicho sistema también incluye:
-
una base de datos de firmas de respuesta que incluye un grupo de firmas de respuestas concreto para cada firma de ataque;
-
un motor de análisis de respuesta (18), desencadenado por dicho suceso, adecuado para:
-
seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente;
-
comparar los datos que se transmiten en dicha red desde dicho ordenador potencialmente atacado con firmas de respuesta en dicho grupo seleccionado, y
-
correlacionar los resultados de dichas comparaciones con firmas de ataque y de respuesta para generar una alarma.
2. El sistema según la reivindicación 1, donde dichos datos que se están transmitiendo en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque son capturados por el analizador de protocolos (14) mediante la realización de un análisis de la dirección IP de origen en paquetes de datos transmitidos en dicha red.
3. El sistema según la reivindicación 1, donde dichos datos que se están transmitiendo en dicha red como respuesta a la coincidencia de dichos datos con dicha firma de ataque son capturados por el analizador de protocolos (14) mediante el análisis de las direcciones IP de origen y destino en los paquetes de datos transmitidos.
4. El sistema según la reivindicación 1, donde dichos datos que se están transmitiendo en dicha red como respuesta a la coincidencia de dichos datos con dicha firma de ataque son capturados por dicho analizador de protocolos (14) mediante el análisis de la información del nivel de transporte en los paquetes de datos transmitidos en dicha red.
5. El sistema según la reivindicación 1, donde dicho motor de análisis de respuesta (18) genera una alarma cuando dichos datos que se están transmitiendo en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque, indica que se ha establecido una nueva conexión de red.
6. El sistema según la reivindicación 1, donde dichas firmas de respuesta están repartidas en dos categorías, las firmas de respuesta de tipo A que identifican el tráfico ilícito, y las firmas de respuesta de tipo B que identifican el tráfico legítimo.
7. El sistema según la reivindicación 6, donde dicho motor de análisis de respuesta (18) genera una alarma cuando se encuentra alguna coincidencia entre los datos capturados y una firma de respuesta que identifique tráfico ilícito (tipo A).
8. El sistema según la reivindicación 6, donde dicho motor de análisis de respuesta (18) está formado por un contador (num_pos_match) que aumenta siempre que se encuentre alguna coincidencia entre los datos capturados y una firma de respuesta que identifique tráfico ilegítimo (tipo B).
9. El sistema según la reivindicación 8, donde, cuando dicho contador (num_pos_match) alcanza un valor predeterminado (req(signatures)), dicho motor de análisis de respuesta (18) finaliza sin generar ninguna alarma (62).
10. El sistema según la reivindicación 1, donde dicho motor de análisis de respuesta (18) incluye un sistema de tiempo de espera (64) desencadenado por dicho suceso, para comenzar una tarea de comprobación (52).
11. Un sistema según la reivindicación 10, donde dicha tarea de comprobación (52) verifica si se han detectado datos en dicha red como respuesta a la coincidencia de dichos datos con dicha firma de ataque y, si se verifica dicha condición:
-
generar una alarma en el caso de que dicho motor de análisis de respuesta (18) solo haya utilizado firmas de respuesta indicadoras de tráfico legítimo (tipo B); o
-
finalizar la tarea de comprobación (82) en el que caso de que dicho motor de análisis de respuesta (18) solo haya utilizado firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tanto tráfico legítimo (tipo B) como de tráfico ilícito (tipo A).
12. El sistema según la reivindicación 11, donde, si no se verifica dicha condición, dicha tarea de comprobación (52) intenta realizar una conexión (76) a un supuesto ordenador atacado, para generar una alarma (80) si dicho intento se realiza con éxito o para finalizar la tarea de comprobación (82) si el intento no se realiza con éxito.
13. Un procedimiento para detectar el uso no autorizado de una red incluye los siguientes pasos:
-
capturar los datos que se están transmitiendo en dicha red;
-
comparar dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y como mínimo una firma de ataque, coincidiendo dichos datos capturados con como mínimo dicha firma de ataque que identifica un ordenador potencialmente atacado, está caracterizado por el hecho de que incluye los siguientes pasos:
-
proporcionar una base de datos de firmas de respuesta formadas por un grupo concreto de firmas de respuesta para cada firma de ataque y, en el caso de que se genere dicho suceso:
-
seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente;
-
comparar los datos que se están transmitiendo en dicha red desde dicho ordenador potencialmente atacado con las firmas de respuesta en dicho grupo seleccionado;
-
correlacionar los resultados de dichas comparaciones con las firmas de ataque y respuesta para generar una alarma.
\vskip1.000000\baselineskip
14. El procedimiento según la reivindicación 13, donde dichos datos que se están transmitiendo en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque son capturados mediante la realización de un análisis de la dirección IP de origen en los paquetes de datos transmitidos en dicha red.
15. El procedimiento según la reivindicación 13, donde dichos datos que se están transmitiendo en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque son capturados mediante la realización de un análisis de las direcciones IP tanto de origen como de destino en los paquetes de datos transmitidos en dicha red.
16. El procedimiento según la reivindicación 13, donde dichos datos que se están transmitiendo en dicha red como repuesta a dicha coincidencia de datos con dicha firma de ataque son capturados mediante el análisis de la información del nivel de transporte en los paquetes de datos trasmitidos en dicha red.
17. El procedimiento según la reivindicación 13, que incluye el paso de generar una alarma cuando dichos datos se están transmitiendo en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque indica que se ha establecido una nueva conexión de red.
18. El procedimiento según la reivindicación 7.3, donde dichas firmas de respuesta están distribuidas en dos categorías, las firmas de respuesta de tipo A que identifican tráfico ilícito y las firmas de respuesta de tipo B que identifican tráfico legítimo.
19. El procedimiento según la reivindicación 18, que incluye el paso de generar una alarma cuando se encuentra una coincidencia entre los datos capturados y una firma de respuesta que identifica tráfico ilícito (tipo A).
20. El procedimiento según la reivindicación 18, que incluye el paso de aumentar un contador (num_pos_match) cuando se encuentra una coincidencia entre los datos capturados y una firma de respuesta que identifique tráfico legítimo (tipo B).
21. El procedimiento según la reivindicación 20, donde dicho paso de comparar los datos con las firmas de respuesta se finaliza cuando dicho contador (num_pos:match) alcanza un valor predeterminado (req(signatures)).
22. El procedimiento según la reivindicación 13, que incluye el paso de proporcionar un sistema de tiempo de espera (64), desencadenado por dicho suceso, para comenzar una tarea de comprobación (52).
23. El procedimiento según la reivindicación 22, que incluye el paso de comprobar si se han detectado datos en dicha red como respuesta a dicha coincidencia de datos con dicha firma de ataque y, si se comprueba dicha condición:
-
generar una alarma en el caso de que se solo se hayan utilizado firmas indicadoras de tráfico legítimo (tipo B); o
-
finalizar dicha tarea de comprobación (82) en el caso de que solo se hayan utilizado firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tanto tráfico legítimo (tipo B) como tráfico ilícito (tipo A).
24. Un programa de ordenador que se puede cargar en la memoria de al menos un ordenador y que incluye porciones de código de software para realizar el procedimiento de cualquiera de las reivindicaciones de la 13 a la 24 cuando el producto se ejecuta en un ordenador.
ES03772624T 2003-08-11 2003-08-11 Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. Expired - Lifetime ES2309364T3 (es)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/IT2003/000505 WO2005015370A1 (en) 2003-08-11 2003-08-11 Method and system for detecting unauthorised use of a communication network

Publications (1)

Publication Number Publication Date
ES2309364T3 true ES2309364T3 (es) 2008-12-16

Family

ID=34131154

Family Applications (1)

Application Number Title Priority Date Filing Date
ES03772624T Expired - Lifetime ES2309364T3 (es) 2003-08-11 2003-08-11 Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.

Country Status (9)

Country Link
US (1) US8006302B2 (es)
EP (1) EP1654608B1 (es)
AT (1) ATE400016T1 (es)
AU (1) AU2003279517A1 (es)
BR (1) BR0318459A (es)
CA (1) CA2533853C (es)
DE (1) DE60321972D1 (es)
ES (1) ES2309364T3 (es)
WO (1) WO2005015370A1 (es)

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8352400B2 (en) 1991-12-23 2013-01-08 Hoffberg Steven M Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore
US8574074B2 (en) 2005-09-30 2013-11-05 Sony Computer Entertainment America Llc Advertising impression determination
US7904187B2 (en) 1999-02-01 2011-03-08 Hoffberg Steven M Internet appliance system and method
WO2007130681A2 (en) 2006-05-05 2007-11-15 Sony Computer Entertainment America Inc. Advertisement rotation
US8751310B2 (en) 2005-09-30 2014-06-10 Sony Computer Entertainment America Llc Monitoring advertisement impressions
ES2309364T3 (es) * 2003-08-11 2008-12-16 Telecom Italia S.P.A. Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.
US7503071B1 (en) * 2003-10-01 2009-03-10 Symantec Corporation Network traffic identification by waveform analysis
WO2005099214A1 (en) 2004-03-30 2005-10-20 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product
US7966658B2 (en) * 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
US7660999B2 (en) 2004-06-22 2010-02-09 Microsoft Corporation MIME handling security enforcement
US8763157B2 (en) 2004-08-23 2014-06-24 Sony Computer Entertainment America Llc Statutory license restricted digital media playback on portable devices
US7936682B2 (en) * 2004-11-09 2011-05-03 Cisco Technology, Inc. Detecting malicious attacks using network behavior and header analysis
US8010685B2 (en) * 2004-11-09 2011-08-30 Cisco Technology, Inc. Method and apparatus for content classification
GB2422507A (en) * 2005-01-21 2006-07-26 3Com Corp An intrusion detection system using a plurality of finite state machines
WO2006100613A1 (en) 2005-03-24 2006-09-28 International Business Machines Corporation Network attack detection
US8626584B2 (en) 2005-09-30 2014-01-07 Sony Computer Entertainment America Llc Population of an advertisement reference list
US8676900B2 (en) 2005-10-25 2014-03-18 Sony Computer Entertainment America Llc Asynchronous advertising placement based on metadata
US20070118425A1 (en) 2005-10-25 2007-05-24 Podbridge, Inc. User device agent for asynchronous advertising in time and space shifted media network
US11004089B2 (en) 2005-10-25 2021-05-11 Sony Interactive Entertainment LLC Associating media content files with advertisements
US10657538B2 (en) 2005-10-25 2020-05-19 Sony Interactive Entertainment LLC Resolution of advertising rules
US8510596B1 (en) * 2006-02-09 2013-08-13 Virsec Systems, Inc. System and methods for run time detection and correction of memory corruption
US20140373144A9 (en) 2006-05-22 2014-12-18 Alen Capalik System and method for analyzing unauthorized intrusion into a computer network
US8429746B2 (en) 2006-05-22 2013-04-23 Neuraliq, Inc. Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems
US8209738B2 (en) * 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
US8769558B2 (en) 2008-02-12 2014-07-01 Sony Computer Entertainment America Llc Discovery and analytics for episodic downloaded media
US8763090B2 (en) 2009-08-11 2014-06-24 Sony Computer Entertainment America Llc Management of ancillary content delivery and presentation
US9106697B2 (en) 2010-06-24 2015-08-11 NeurallQ, Inc. System and method for identifying unauthorized activities on a computer system using a data structure model
US8789189B2 (en) 2010-06-24 2014-07-22 NeurallQ, Inc. System and method for sampling forensic data of unauthorized activities using executability states
US9043912B2 (en) * 2013-03-15 2015-05-26 Mehdi Mahvi Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets
JP2016534479A (ja) 2013-09-12 2016-11-04 ヴァーセック・システムズ・インコーポレーテッドVirsec Systems,Inc. マルウェアのランタイム中の自動検出
KR101732889B1 (ko) * 2013-11-04 2017-05-08 한국전자통신연구원 임베디드 시스템에서 쉘 커맨드의 안전 실행 보장 장치 및 방법
US9584492B2 (en) * 2014-06-23 2017-02-28 Vmware, Inc. Cryptographic proxy service
AU2015279920B2 (en) 2014-06-24 2018-03-29 Virsec Systems, Inc. Automated root cause analysis of single or N-TIERED applications
AU2015279923B9 (en) 2014-06-24 2018-01-25 Virsec Systems, Inc. System and methods for automated detection of input and output validation and resource management vulnerability
US10075467B2 (en) * 2014-11-26 2018-09-11 Verisign, Inc. Systems, devices, and methods for improved network security
EP3243313B1 (en) 2015-01-07 2020-09-16 GoSecure Inc. System and method for monitoring a computer system using machine interpretable code
RU2601148C1 (ru) * 2015-06-30 2016-10-27 Закрытое акционерное общество "Лаборатория Касперского" Система и способ выявления аномалий при подключении устройств
EP3122016B1 (de) * 2015-07-22 2020-01-08 Siemens Aktiengesellschaft Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen
WO2017218872A1 (en) 2016-06-16 2017-12-21 Virsec Systems, Inc. Systems and methods for remediating memory corruption in a computer application
US11216554B2 (en) 2017-07-12 2022-01-04 Nippon Telegraph And Telephone Corporation Determining apparatus, determining method, and determining program
US10592372B2 (en) * 2017-07-18 2020-03-17 Vmware, Inc. Confidence-controlled sampling methods and systems to analyze high-frequency monitoring data and event messages of a distributed computing system
US10826919B2 (en) * 2018-10-29 2020-11-03 Acronis International Gmbh Methods and cloud-based systems for protecting devices from malwares
US11126713B2 (en) * 2019-04-08 2021-09-21 Microsoft Technology Licensing, Llc Detecting directory reconnaissance in a directory service

Family Cites Families (23)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2536567B2 (ja) * 1987-12-17 1996-09-18 株式会社日立製作所 双方向推論の高速処理方式
JP2994926B2 (ja) * 1993-10-29 1999-12-27 松下電器産業株式会社 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6477651B1 (en) * 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6381242B1 (en) * 2000-08-29 2002-04-30 Netrake Corporation Content processor
EP1338130B1 (en) 2000-11-30 2006-11-02 Lancope, Inc. Flow-based detection of network intrusions
US7301899B2 (en) * 2001-01-31 2007-11-27 Comverse Ltd. Prevention of bandwidth congestion in a denial of service or other internet-based attack
US7246376B2 (en) * 2001-05-03 2007-07-17 Nortel Networks Limited Method and apparatus for security management in a networked environment
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
US20030101353A1 (en) * 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
DE60210408T2 (de) 2002-01-18 2006-10-19 Stonesoft Corp. Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
CA2479504C (en) * 2002-03-29 2010-07-13 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US7437760B2 (en) * 2002-10-10 2008-10-14 International Business Machines Corporation Antiviral network system
KR100456634B1 (ko) * 2002-10-31 2004-11-10 한국전자통신연구원 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법
US6898632B2 (en) * 2003-03-31 2005-05-24 Finisar Corporation Network security tap for use with intrusion detection system
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US8220052B2 (en) * 2003-06-10 2012-07-10 International Business Machines Corporation Application based intrusion detection
ES2309364T3 (es) * 2003-08-11 2008-12-16 Telecom Italia S.P.A. Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.
WO2005099214A1 (en) * 2004-03-30 2005-10-20 Telecom Italia S.P.A. Method and system for network intrusion detection, related network and computer program product
US7624448B2 (en) * 2006-03-04 2009-11-24 21St Century Technologies, Inc. Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data
WO2007110093A1 (en) * 2006-03-27 2007-10-04 Telecom Italia S.P.A. A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor

Also Published As

Publication number Publication date
US8006302B2 (en) 2011-08-23
EP1654608B1 (en) 2008-07-02
EP1654608A1 (en) 2006-05-10
BR0318459A (pt) 2006-09-12
CA2533853A1 (en) 2005-02-17
CA2533853C (en) 2013-01-08
ATE400016T1 (de) 2008-07-15
US20060242703A1 (en) 2006-10-26
AU2003279517A1 (en) 2005-02-25
WO2005015370A1 (en) 2005-02-17
DE60321972D1 (de) 2008-08-14

Similar Documents

Publication Publication Date Title
ES2309364T3 (es) Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones.
US8418252B2 (en) Intelligent network interface controller
KR101890272B1 (ko) 보안이벤트 자동 검증 방법 및 장치
KR101236822B1 (ko) Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체
JP2021510478A (ja) 車両内ネットワークにセキュリティを提供するシステム及び方法
JP4581104B2 (ja) ネットワークセキュリティシステム
US7810158B2 (en) Methods and systems for deceptively trapping electronic worms
Manna et al. Review of syn-flooding attack detection mechanism
CN110417717A (zh) 登录行为的识别方法及装置
US8763121B2 (en) Mitigating multiple advanced evasion technique attacks
KR101308085B1 (ko) 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법
CN112231679B (zh) 一种终端设备验证方法、装置及存储介质
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
WO2005026872A2 (en) Internal lan perimeter security appliance composed of a pci card and complementary software
US8220052B2 (en) Application based intrusion detection
US20170346844A1 (en) Mitigating Multiple Advanced Evasion Technique Attacks
JP2005284523A (ja) 不正侵入検出システム及び方法並びに不正侵入検出用プログラム
KR100545677B1 (ko) 네트워크 인프라 장애 방지 시스템 및 방법
KR100862321B1 (ko) 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치
Kishore et al. Intrusion Detection System a Need
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
Mittal et al. A Study of Different Intrusion Detection and Prevension System
Rahim et al. Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS)
KR20030087583A (ko) 개인용 컴퓨터의 침입탐지시스템