ES2309364T3 - Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. - Google Patents
Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. Download PDFInfo
- Publication number
- ES2309364T3 ES2309364T3 ES03772624T ES03772624T ES2309364T3 ES 2309364 T3 ES2309364 T3 ES 2309364T3 ES 03772624 T ES03772624 T ES 03772624T ES 03772624 T ES03772624 T ES 03772624T ES 2309364 T3 ES2309364 T3 ES 2309364T3
- Authority
- ES
- Spain
- Prior art keywords
- response
- data
- network
- signatures
- signature
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Selective Calling Equipment (AREA)
Abstract
Un sistema de detección de intrusos (6, 22) para detectar usos no autorizados de una red (2, 20), incluyendo: - un analizador de protocolos (14) para la capturación de datos que se transmiten en dicha red; - un motor de coincidencia de patrones (16) que recibe los datos capturados por dicho analizador de protocolos (14) y compara dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y al menos una firma de ataque, coincidiendo dichos datos capturados con al menos una de dichas firmas de ataque e identificando un ordenador potencialmente atacado, está caracterizado por el hecho de que dicho sistema también incluye: - una base de datos de firmas de respuesta que incluye un grupo de firmas de respuestas concreto para cada firma de ataque; - un motor de análisis de respuesta (18), desencadenado por dicho suceso, adecuado para: - seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente; - comparar los datos que se transmiten en dicha red desde dicho ordenador potencialmente atacado con firmas de respuesta en dicho grupo seleccionado, y - correlacionar los resultados de dichas comparaciones con firmas de ataque y de respuesta para generar una alarma.
Description
Procedimiento y sistema de detección de una
utilización no autorizada de una red de comunicaciones.
La presente invención se refiere a un
procedimiento y sistema de detección de intrusos en una red de
comunicación, y concretamente a un sistema de detección de intrusos
basado en las técnicas de coincidencia de patrones.
Un Sistema de Detección de Intrusos o IDS, es un
sistema capaz de detectar en una red o en un ordenador central
datos anómalos o dudosos que pueden considerarse no autorizados y,
por tanto, potencialmente peligrosos. Este sistema captura e
examina todo el tráfico y, según los contenidos, es capaz de generar
una alarma.
Un sistema de detección de intrusos que opera en
una red se conoce generalmente como un Sistema de Detección de
Intrusos en una Red o NIDS, mientras que un sistema de detección de
intrusos pensado para proteger una sola máquina (por ejemplo Host,
Server) se conoce como Sistema de Detección de Intrusos en un Host o
HIDS. La misma técnica que utilizan los sistemas NIDS para detectar
actividades anómalas, también la utilizan algunos componentes de
los sistemas HIDS para controlar la actividad de la red enviada y
recibida desde el ordenador central.
Una solución habitual para la detección de
intrusos es la denominada técnica de análisis del protocolo. El
análisis del protocolo utiliza la conocida estructura de los
protocolos de comunicación para rastrear todas las conexiones de
una red protegida. Para cada conexión el sistema vuelve a trazar el
nivel de flujo de la aplicación y estimula el comportamiento de una
posible víctima. La alarma se genera cuando el sistema detecta la
ejecución de operaciones por alguien que infringe o fuerza la
naturaleza del protocolo utilizado. Un sistema de detección de
intrusos basado en técnicas de análisis del protocolo se pone de
manifiesto, por ejemplo, en el documento US2003/0004688A1. El
sistema mostrado resulta bastante complejo porque la técnica de
análisis del protocolo requiere una capacidad de procesamiento
alta, ya que es necesario tener un conocimiento exhaustivo de la
red protegida para volver a trazar de forma eficaz el comportamiento
de todos los ordenadores protegidos.
El documento EP 1 330 095 incluye un sistema de
seguridad que supervisa el flujo de una secuencia de datos que
viaja entre un cliente y un sistema del servidor, en especial para
dichos protocolos de comunicación que llevan datos representativos
por encima de algún nivel de protocolo orientado a la conexión. La
secuencia de datos que viaja desde el servidor hasta un cliente se
analiza con el objetivo de identificar al menos un descriptor de
respuesta, los descriptores de respuesta identificados se guardan en
un grupo de estados disponibles para dicho cliente, y más tarde la
secuencia de datos que viaja desde el cliente hasta el servidor se
analiza para identificar como mínimo un descriptor de petición. Los
descriptores de petición identificados se comparan con un grupo de
estados disponibles para dicho cliente y se genera un resultado de
supervisión.
El análisis estadístico es otra técnica habitual
utilizada en los sistemas de detección de intrusos. Dichos sistemas
tratan de detectar las anomalías estadísticas y generan una alarma
cuando detectan una desviación de los valores estadísticos. Los
valores estadísticos pueden incluir, por ejemplo, el número de
conexiones abiertas simultáneamente, el tráfico desde o hacia un
ordenador en particular o la duración de las conexiones. La
potencia del ordenador no es muy importante en tales sistemas,
aunque la identificación de los parámetros que son realmente
sintomáticos para determinar el estado de la red y los tipos de
variaciones que se pueden detectar es un proceso sumamente
complicado. Un ejemplo de sistema de detección de intrusos basado en
el análisis estadístico se muestra en el documento WO 02/45380.
Otra de las técnicas utilizadas ampliamente en
los sistemas de detección de intrusos es la técnica de coincidencia
de patrones, que intenta detectar la presencia de una firma de
ataque en un paquete de red. Diversas firmas de ataque (una firma
de ataque es una cadena o grupo de bytes) buscan cada paquete que se
encuentra en la red, comparando el grupo de bytes tomado desde el
paquete en cuestión con diversas firmas de ataque conocidas.
Según la opción de detectar el algoritmo y la
frecuencia con la que se aplica, la técnica de coincidencia de
patrones puede convertirse en un cuello de botella que afecta al
rendimiento. El problema de racionalizar las técnicas de
coincidencia de patrones se trata, por ejemplo, en los documentos US
5,179,632 y US 5,495,409, que muestran algunos procedimientos para
aumentar el rendimiento de los sistemas de coincidencia de patrones,
aunque no están directamente relacionados con los sistemas de
detección de intrusos en la red.
Un sistema de detección de intrusos mejorado se
muestra en el US 6,477,651, que muestra un sistema con firmas
cargadas dinámicamente. La solución propuesta simplifica la
modificación del sistema para adaptarlo a las nuevas
vulnerabilidades, de modo que el sistema pueda soportar
actualizaciones de forma dinámica sin cerrar el sistema de
detección.
Otro intento de mejorar la fiabilidad de los
sistemas de detección de intrusos basados en técnicas de
coincidencia de patrones se muestra en el documento US 6,499,107. El
procedimiento consta de la supervisión del tráfico de datos de red
y el análisis de dicho tráfico para evaluar la información de red;
se da prioridad a un grupo de tareas de análisis basándose en la
información de red y las tareas de análisis se realizan sobre el
tráfico supervisado para identificar los ataques a la red. Por
tanto, cada firma tiene un valor de prioridad asociado, que utiliza
el sistema para regularizar la actuación de la tarea de análisis
correspondiente.
Dichos sistemas identifican como un ataque
cualquier dato que reproduzca una firma conocida, ya sea porque se
corresponde eficazmente con un intento de atacar a un ordenador o un
servicio vulnerable, o bien porque se dirige a una destinación que
no existe o que sin embargo no es sensible a ese tipo de ataques, o
incluso en el caso de que la coincidencia la causen datos legítimos
en cierto modo similares a una firma de ataque conocida.
Como consecuencia, los sistemas de detección de
intrusos basados en técnicas de coincidencia de patrones tienden a
generar demasiados falsos positivos como por ejemplo, avisos de
falsa alarma. Los falsos positivos se dan cuando una secuencia de
bytes de un paquete coincide con una firma de patrón, pero en
realidad la secuencia no es ningún ataque.
El solicitante ha abordado el problema de la
reducción del número de falsos positivos mediante un sistema de
detección de intrusos basado en técnicas de coincidencia de
patrones.
El solicitante observa que el número de falsos
positivos puede ser tan elevado que el propio sistema pierde su
utilidad, incluyendo las alarmas reales entre miles de avisos
inútiles.
El solicitante opina que un sistema de detección
de intrusos con coincidencia de patrones convencional no es capaz
de determinar el significado real y el efecto fundamental de un
patrón detectado, provocando así un número excesivo de falsos
positivos.
En vista de lo que se ha descrito anteriormente,
el objeto de esta invención es proporcionar un sistema de detección
de intrusos basado en técnicas de coincidencia de patrones y que sea
capaz de filtrar los avisos de alarma mediante una reducción
drástica de los falsos positivos.
\vskip1.000000\baselineskip
La invención se define en las reivindicaciones
independientes 1 y 13.
Según la invención, se consigue un objeto
mediante un procedimiento y un sistema para detectar el uso no
autorizado de una red, que está provisto de un motor de coincidencia
de patrones para buscar firmas de ataque en los paquetes de datos,
y de un motor de análisis de respuesta para detectar las firmas de
respuesta en los paquetes de datos devueltos por el ordenador/red
atacada. Cuando se detecta una firma sospechosa en un paquete, el
sistema entra en un estado de alarma, que comienza con un proceso de
supervisión de los paquetes devueltos por la red/ordenador
potencialmente atacado. Se genera una alarma solo en el caso de que
el análisis de los paquetes de respuesta produzcan también un
resultado positivo.
El solicitante ha verificado que el sistema de
detección de intrusos conforme a la invención es mucho menos
proclive a los falsos positivos y a los diagnósticos erróneos que el
sistema de detección de intrusos con coincidencia de patrones
convencional.
La presente invención también se refiere a un
programa de ordenador que se puede cargar en la memoria de al menos
un ordenador y que incluye una porción de código de software para
llevar a cabo el procedimiento de la invención cuando el producto
se ejecuta en un ordenador.
\vskip1.000000\baselineskip
La figura 1 muestra un diagrama de bloques de
una primera realización de un entorno de red que incluye un sistema
de detección de intrusos conforme a la presente invención;
La figura 2 muestra un diagrama de bloques de
una segunda realización de un entorno de red que incluye un sistema
de detección de intrusos conforme a la presente invención;
La figura 3 muestra un diagrama de bloques de un
sistema de detección de intrusos conforme a la presente
invención;
La figura 4 muestra un diagrama de flujo de un
proceso de análisis de respuesta implementado en el sistema de la
figura 3; y
La figura 5 muestra un diagrama de flujo de un
proceso de comprobación desencadenado por el proceso de análisis de
la respuesta de la figura 4.
En referencia a la figura 1, una red de área
local 2 (LAN), protegida por un sistema de detección de intrusos en
la red 6 (NIDS), conectada a una red pública, la red Internet 4 y,
por tanto, potencialmente accesible por un atacante externo 8 o
Hacker. Un grupo de estaciones de trabajo o servidores 10 están
conectados a la red de área local 2 para intercambiar datos y
recursos compartidos y para acceder a la red Internet 4.
Entre la LAN 2 e Internet 4, un cortafuegos 12,
mostrado en la figura 1 con una línea discontinua, se puede
utilizar para limitar el acceso externo a los recursos de la red de
área local 2 y proteger tales recursos de un uso no autorizado.
El sistema de detección de intrusos 6 está
emparejado con la red de área local 2 para que pueda detectar y
capturar los datos que se transmiten por la red. El sistema de
detección de intrusos 6 incluye un analizador de protocolos 14 para
capturar los datos de la red 2, un motor de coincidencia de patrones
16 que recibe los datos capturados por el analizador de protocolos
14 y un motor de análisis de respuestas 18 desencadenado por un
suceso generado a su vez por el motor de coincidencia de patrones
16.
Un analizador de protocolos es un programa que
supervisa el tráfico de la red y se puede utilizar para capturar
los datos que se transmiten en una red. Gracias al analizador de
protocolos 16, el sistema de detección de intrusos 6 puede leer
cualquier paquete de datos transferido a la red para determinar las
direcciones de origen y destino del paquete y analizar, como se
detalla a continuación, el contenido de los datos.
En la figura 2 se muestra una segunda
realización de un entorno de red que incluye un sistema de detección
de intrusos conforme a la presente invención. Un ordenador central
20, como una red o un servidor web, se conecta a una red Internet 4
y, por tanto, cualquier ordenador externo puede acceder a él, como
por ejemplo el atacante externo 8.
El ordenador central 20 incluye un sistema de
detección de intrusos en un Host 22 (HIDS), cuya operación es
equivalente a la del sistema de detección de intrusos en la red 6 de
la figura 1.
El sistema de detección de intrusos 22 está
incluye un analizador de protocolos 14 para capturar los datos en
la red 2, un motor de coincidencia de patrones 16 que recibe los
datos capturados por el analizador de protocolos 14 y un motor de
análisis de respuesta 18 desencadenado por un suceso generado a su
vez por el motor de coincidencia de patrones 16.
El sistema 22, en caso de peligro por ataque
externo, interviene directamente en el ordenador central 20
protegiendo sus recursos de usos no autorizados.
Ambas realizaciones mostradas en las figuras 1 y
2 incluyen un sistema de detección de intrusos, NIDS 6 o HIDS 22,
que funciona según el esquema común que muestra la figura 3. El
analizador de procesos presente en el sistema 6 o 22 captura todos
los paquetes de datos que están en tránsito en la red 2, como por
ejemplo, el paquete 30 que muestra la figura 3. El paquete
capturado 30 se trasfiere al motor de coincidencia de patrones 16,
que compara los datos del paquete con firmas de ataque, para generar
un suceso cuando se encuentre una coincidencia entre los datos
capturados y alguna firma de ataque. Se considera que los expertos
en la materia son conocedores absolutos de los principios y
criterios operacionales básicos del motor de coincidencia de
patrones 16 (como justifican, por ejemplo, US 6,477,651 o US
6,499,107).
Cuando se identifica un paquete sospechoso en un
paquete de datos, por ejemplo, en un suceso generado por el motor
de coincidencia de patrones 16, se comienza una nueva tarea de
análisis del tráfico de red particular. La nueva tarea utiliza el
analizador de protocolos 14 para capturar los paquetes de datos que
se generan como respuesta a los paquetes de datos sospechosos. El
término "tarea" no indica necesariamente una nueva tarea o
línea de ejecución, sino un flujo de ejecución que se ejecuta al
mismo tiempo en el motor de coincidencia de patrones.
Los paquetes de respuesta se seleccionan
mediante la realización de un análisis de la dirección de IP de
origen (la dirección del supuesto ordenador atacante) o mediante el
análisis de las direcciones IP tanto de origen como de destino de
los paquetes (las direcciones de los supuestos ordenadores atacante
y atacado). También se puede realizar la selección de paquetes
mediante el análisis de la información del nivel de transporte en
los propios paquetes (puertos TCP/UDP).
Con el objetivo de determinar con mayor
precisión el estado del supuesto ataque que está en proceso, el
sistema es capaz de enviar paquetes de datos hacia el ordenador
atacante y al atacado por medio del propio analizador de protocolos
14. Dichos paquetes estimulan una respuesta en el ordenador de
destino y el sistema analiza dicha respuesta por medio de, por
ejemplo, técnicas de coincidencia de patrones, para determinar un
estado de alarma.
Los paquetes capturados por la nueva tarea
mencionada anteriormente son, por ejemplo, paquetes generados como
respuesta a paquetes de datos sospechosos y se transmiten al motor
de análisis de respuesta 18, que compara dichos datos con un grupo
de firmas de respuesta, y analiza el resultado de dicha comparación
y generar así una alarma.
Las firmas de respuesta, que tienen una
estructura equivalente a la de las firmas de ataque, se recogen en
una base de datos y se distribuyen en dos categorías. Las firmas de
respuesta de "Tipo A" identifican a un tráfico sospechoso o
ilícito, mientras que las de "Tipo B" identifican a tráficos no
sospechosos o legítimos. Las firmas de respuesta, así como las
firmas de ataque, se pueden generar manualmente gracias a la
experiencia de ingenieros de sistema o, en ocasiones, de forma
automática siguiendo unas sencillas reglas.
Tales reglas determinan la forma de las firmas
de respuesta como una función de la tipología del ataque
considerado y de la aplicación/protocolo atacado. Un grupo concreto
de firmas de respuestas se asigna a cada firma de ataque (o a un
grupo de firmas de ataque), de modo que las firmas de respuesta
utilizadas por el motor de análisis de respuesta 18 dependen del
tipo de ataque potencial revelado.
Los siguientes ejemplos muestran cómo se puede
generar un grupo de firmas de respuesta para un ataque
concreto.
Los posibles ataques se deben clasificar en
categorías uniformes, como DoS (Denegación de Servicio),
desbordamiento del búfer, transversal de directorio, etc., y se debe
conocer el protocolo de red utilizado.
Por ejemplo, en el caso de un ataque de
desbordamiento del búfer, la firma de respuesta generada es de tipo
B e interpreta las respuestas habituales del protocolo atacado
durante un funcionamiento normal.
En el caso de un desbordamiento del búfer
dirigido a un servidor POP3, la firma de respuesta aparece en forma
"+OK" or "-ERR",
y reconoce una situación en la que el ataque
sospechoso no tuvo éxito.
Otro ejemplo se da cuando, en el caso de un
ataque transversal de directorio, la firma de respuesta generada es
de tipo A e interpreta las respuestas indicando un ataque con éxito.
La firma generada como consecuencia de la ejecución de un comando
shell:
- "GET /cgi-bin/../../../cmd.exe HTPP/1.1"
es
- "HTTP/1.1 200 OK"
que reconoce efectivamente una intrusión.
La figura 4 muestra detalladamente el
funcionamiento del motor de análisis de respuesta 18.
El proceso comienza en el bloque 40, cuando el
motor de coincidencia de patrones 16 ha individualizado un paquete
sospechoso. La actividad se registra en un archivo de registro, el
bloque 42, para analizar estadísticamente los datos posteriormente.
Una variable num_pos_match se inicia (num_pos_match = 0) y se activa
un tiempo de espera 64.
El sistema captura un paquete que proviene de la
dirección del ordenador atacado y/o dirigido al atacante 8, bloque
44.
Se hacen coincidir los datos del paquete con las
firmas de respuesta correspondientes a la firma (o firmas) de
ataque coincidentes. Si una firma coincidente identifica un tráfico
ilícito, una firma de tipo A, una condición verificada en el bloque
46, se genera una alarma en el bloque 54 y el proceso del motor de
análisis de respuesta termina, bloque 62.
Si el proceso de análisis captura un paquete
proveniente del ordenador atacado y dirigido al atacante indicando
que se ha establecido una nueva conexión de red, distinta a la
conexión que provocó el proceso de análisis, condición verificada
en el bloque 48, se genera una alarma en el bloque 56 y el proceso
del motor de análisis de respuesta termina, bloque 62. Esta
condición indica que el ataque se ha realizado correctamente y que
el atacante, después de tomar el control de la víctima (ordenador
atacado), ha generado una conexión nueva.
Si la firma coincidente identifica un tráfico
legítimo, una firma de tipo B, una condición verificada en el
bloque 50, la situación no es un ataque real, o se ha realizado
eficazmente en el ordenador de destino previsto, y la variable
num_pos_match, que representa el número de paquetes de respuesta ya
analizados, se incrementa en el bloque 58 (función
Incr(num_pos_match)). En el bloque condicional 60 la variable
num_pos_match se compara con un número predeterminado de
coincidencia de firmas de respuesta (req(signatures)), de
modo que el proceso puede funcionar con un número predeterminado de
paquetes, volviendo al bloque 44, o terminando en el bloque 62. El
valor de la variable req(signature) se puede ajustar a
nuestra voluntad, por ejemplo, según las preferencias del
administrador de la red.
La iteración del proceso de análisis de
respuesta en el caso de coincidencias de firmas de tipo B se
realiza para reconocer aquellas situaciones en las que, tras un
ataque con éxito, el tráfico de respuesta desde el servidor es
temporalmente lícito, antes de pasar a ser ilícito.
El proceso que muestra la figura 4 termina en el
bloque 62 si el tiempo de espera 64, activado al principio, no ha
transcurrido. Por el contrario, cuando finalice el tiempo de espera
64, se inicia una tarea de comprobación 52, cuyo funcionamiento se
detalla en la figura 5. La tarea de comprobación 52 permite que el
sistema pueda decidir si se debe generar una alarma, en caso de que
el proceso de análisis de la respuesta no recopile suficiente
información para tomar dicha decisión.
La tarea de comprobación, iniciada en el bloque
70, verifica inicialmente si se ha detectado tráfico desde el
supuesto ordenador atacado durante el proceso de análisis de firmas
de respuesta, bloque 72. Si se ha detectado algún tráfico, la
ejecución pasa al bloque condicional 74, donde se analiza la
naturaleza de las firmas de respuesta que se han utilizado
previamente. Si se han utilizado firmas de respuesta de "tipo
A" o de "tipo A" y "tipo B", la flecha 75 del diagrama
de flujo de la figura 5, la tarea de comprobación 52 termina sin
generar ninguna alarma, bloque final 82. Dicha situación indica
que, durante el proceso de análisis terminado con la finalización
del tiempo de espera 64, los paquetes de datos de respuesta se han
comparado con firmas que indicaban tráfico ilícito (tipo A) o ambos
tipos de firmas (legítimas e ilícitas), sin ninguna coincidencia
positiva.
Por el contrario, en el caso de firmas de
respuesta de "tipo B", flecha 77, se genera una alarma en el
bloque 78 y termina la tarea de comprobación 52. La situación
posterior indica que los paquetes de datos de respuesta se han
comparado de forma exclusiva con firmas que indicaban tráfico
legítimo (tipo B), indicando dicha condición de no coincidencia una
situación potencialmente peligrosa.
Si no se ha detectado tráfico entre el ordenador
atacado y el atacante durante el proceso de análisis de las firmas
de respuesta, flecha 73, se realiza una prueba del ordenador atacado
(o aplicación/protocolo) en el bloque 76. La prueba del bloque 76
es un intento para realizar una conexión al supuesto
ordenador/aplicación/protocolo atacado. Si la conexión falla, se
puede deducir que el ataque estaba orientado a un destino
inexistente, flecha 79, y la tarea de comprobación termina sin
generar ninguna alarma, bloque 82. Por el contrario, flecha 81, si
el supuesto ordenador/aplicación/protocolo atacado está activo, se
puede deducir que el ataque se hizo con éxito y, antes de terminar
la tarea en el bloque 82, se genera una alarma en el bloque 80.
El sistema también es capaz de ejecutar más de
un motor de análisis de respuesta en un entorno con múltiples
tareas, para supervisar más de un ordenador/aplicación/protocolo al
mismo tiempo y en la misma red. Los distintos procesos se pueden
ejecutar al mismo tiempo en el mismo sistema de detección de
intrusos, implicando distintos entidades o nodos de red.
\vskip1.000000\baselineskip
Esta lista de referencias citadas por el
solicitante está prevista únicamente para ayudar al lector y no
forma parte del documento de patente europea. Aunque se ha puesto
el máximo cuidado en su realización, no se pueden excluir errores u
omisiones y la OEP declina cualquier responsabilidad en este
respecto.
\bullet US 20030004688 A1 [0004]
\bullet EP 1330095 A [0005]
\bullet WO 0245380 A [0006]
\bullet US 5179632 A [0008]
\bullet US 5495409 [0008]
\bullet US 6477651 B [0009] [0030]
\bullet US 6499107 B [0010] [0030]
Claims (24)
1. Un sistema de detección de intrusos (6, 22)
para detectar usos no autorizados de una red (2, 20),
incluyendo:
- -
- un analizador de protocolos (14) para la capturación de datos que se transmiten en dicha red;
- -
- un motor de coincidencia de patrones (16) que recibe los datos capturados por dicho analizador de protocolos (14) y compara dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y al menos una firma de ataque, coincidiendo dichos datos capturados con al menos una de dichas firmas de ataque e identificando un ordenador potencialmente atacado,
está caracterizado por el hecho de que
dicho sistema también incluye:
- -
- una base de datos de firmas de respuesta que incluye un grupo de firmas de respuestas concreto para cada firma de ataque;
- -
- un motor de análisis de respuesta (18), desencadenado por dicho suceso, adecuado para:
- -
- seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente;
- -
- comparar los datos que se transmiten en dicha red desde dicho ordenador potencialmente atacado con firmas de respuesta en dicho grupo seleccionado, y
- -
- correlacionar los resultados de dichas comparaciones con firmas de ataque y de respuesta para generar una alarma.
2. El sistema según la reivindicación 1, donde
dichos datos que se están transmitiendo en dicha red como respuesta
a dicha coincidencia de datos con dicha firma de ataque son
capturados por el analizador de protocolos (14) mediante la
realización de un análisis de la dirección IP de origen en paquetes
de datos transmitidos en dicha red.
3. El sistema según la reivindicación 1, donde
dichos datos que se están transmitiendo en dicha red como respuesta
a la coincidencia de dichos datos con dicha firma de ataque son
capturados por el analizador de protocolos (14) mediante el
análisis de las direcciones IP de origen y destino en los paquetes
de datos transmitidos.
4. El sistema según la reivindicación 1, donde
dichos datos que se están transmitiendo en dicha red como respuesta
a la coincidencia de dichos datos con dicha firma de ataque son
capturados por dicho analizador de protocolos (14) mediante el
análisis de la información del nivel de transporte en los paquetes
de datos transmitidos en dicha red.
5. El sistema según la reivindicación 1, donde
dicho motor de análisis de respuesta (18) genera una alarma cuando
dichos datos que se están transmitiendo en dicha red como respuesta
a dicha coincidencia de datos con dicha firma de ataque, indica que
se ha establecido una nueva conexión de red.
6. El sistema según la reivindicación 1, donde
dichas firmas de respuesta están repartidas en dos categorías, las
firmas de respuesta de tipo A que identifican el tráfico ilícito, y
las firmas de respuesta de tipo B que identifican el tráfico
legítimo.
7. El sistema según la reivindicación 6, donde
dicho motor de análisis de respuesta (18) genera una alarma cuando
se encuentra alguna coincidencia entre los datos capturados y una
firma de respuesta que identifique tráfico ilícito (tipo A).
8. El sistema según la reivindicación 6, donde
dicho motor de análisis de respuesta (18) está formado por un
contador (num_pos_match) que aumenta siempre que se encuentre alguna
coincidencia entre los datos capturados y una firma de respuesta
que identifique tráfico ilegítimo (tipo B).
9. El sistema según la reivindicación 8, donde,
cuando dicho contador (num_pos_match) alcanza un valor
predeterminado (req(signatures)), dicho motor de análisis de
respuesta (18) finaliza sin generar ninguna alarma (62).
10. El sistema según la reivindicación 1, donde
dicho motor de análisis de respuesta (18) incluye un sistema de
tiempo de espera (64) desencadenado por dicho suceso, para comenzar
una tarea de comprobación (52).
11. Un sistema según la reivindicación 10, donde
dicha tarea de comprobación (52) verifica si se han detectado datos
en dicha red como respuesta a la coincidencia de dichos datos con
dicha firma de ataque y, si se verifica dicha condición:
- -
- generar una alarma en el caso de que dicho motor de análisis de respuesta (18) solo haya utilizado firmas de respuesta indicadoras de tráfico legítimo (tipo B); o
- -
- finalizar la tarea de comprobación (82) en el que caso de que dicho motor de análisis de respuesta (18) solo haya utilizado firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tanto tráfico legítimo (tipo B) como de tráfico ilícito (tipo A).
12. El sistema según la reivindicación 11,
donde, si no se verifica dicha condición, dicha tarea de
comprobación (52) intenta realizar una conexión (76) a un supuesto
ordenador atacado, para generar una alarma (80) si dicho intento se
realiza con éxito o para finalizar la tarea de comprobación (82) si
el intento no se realiza con éxito.
13. Un procedimiento para detectar el uso no
autorizado de una red incluye los siguientes pasos:
- -
- capturar los datos que se están transmitiendo en dicha red;
- -
- comparar dichos datos con firmas de ataque, para generar un suceso cuando se encuentre una coincidencia entre los datos capturados y como mínimo una firma de ataque, coincidiendo dichos datos capturados con como mínimo dicha firma de ataque que identifica un ordenador potencialmente atacado, está caracterizado por el hecho de que incluye los siguientes pasos:
- -
- proporcionar una base de datos de firmas de respuesta formadas por un grupo concreto de firmas de respuesta para cada firma de ataque y, en el caso de que se genere dicho suceso:
- -
- seleccionar el grupo de firmas de respuesta asignadas a dicha firma de ataque coincidente;
- -
- comparar los datos que se están transmitiendo en dicha red desde dicho ordenador potencialmente atacado con las firmas de respuesta en dicho grupo seleccionado;
- -
- correlacionar los resultados de dichas comparaciones con las firmas de ataque y respuesta para generar una alarma.
\vskip1.000000\baselineskip
14. El procedimiento según la reivindicación 13,
donde dichos datos que se están transmitiendo en dicha red como
respuesta a dicha coincidencia de datos con dicha firma de ataque
son capturados mediante la realización de un análisis de la
dirección IP de origen en los paquetes de datos transmitidos en
dicha red.
15. El procedimiento según la reivindicación 13,
donde dichos datos que se están transmitiendo en dicha red como
respuesta a dicha coincidencia de datos con dicha firma de ataque
son capturados mediante la realización de un análisis de las
direcciones IP tanto de origen como de destino en los paquetes de
datos transmitidos en dicha red.
16. El procedimiento según la reivindicación 13,
donde dichos datos que se están transmitiendo en dicha red como
repuesta a dicha coincidencia de datos con dicha firma de ataque son
capturados mediante el análisis de la información del nivel de
transporte en los paquetes de datos trasmitidos en dicha red.
17. El procedimiento según la reivindicación 13,
que incluye el paso de generar una alarma cuando dichos datos se
están transmitiendo en dicha red como respuesta a dicha coincidencia
de datos con dicha firma de ataque indica que se ha establecido una
nueva conexión de red.
18. El procedimiento según la reivindicación
7.3, donde dichas firmas de respuesta están distribuidas en dos
categorías, las firmas de respuesta de tipo A que identifican
tráfico ilícito y las firmas de respuesta de tipo B que identifican
tráfico legítimo.
19. El procedimiento según la reivindicación 18,
que incluye el paso de generar una alarma cuando se encuentra una
coincidencia entre los datos capturados y una firma de respuesta que
identifica tráfico ilícito (tipo A).
20. El procedimiento según la reivindicación 18,
que incluye el paso de aumentar un contador (num_pos_match) cuando
se encuentra una coincidencia entre los datos capturados y una firma
de respuesta que identifique tráfico legítimo (tipo B).
21. El procedimiento según la reivindicación 20,
donde dicho paso de comparar los datos con las firmas de respuesta
se finaliza cuando dicho contador (num_pos:match) alcanza un valor
predeterminado (req(signatures)).
22. El procedimiento según la reivindicación 13,
que incluye el paso de proporcionar un sistema de tiempo de espera
(64), desencadenado por dicho suceso, para comenzar una tarea de
comprobación (52).
23. El procedimiento según la reivindicación 22,
que incluye el paso de comprobar si se han detectado datos en dicha
red como respuesta a dicha coincidencia de datos con dicha firma de
ataque y, si se comprueba dicha condición:
- -
- generar una alarma en el caso de que se solo se hayan utilizado firmas indicadoras de tráfico legítimo (tipo B); o
- -
- finalizar dicha tarea de comprobación (82) en el caso de que solo se hayan utilizado firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tráfico ilícito (tipo A) o firmas de respuesta indicadoras de tanto tráfico legítimo (tipo B) como tráfico ilícito (tipo A).
24. Un programa de ordenador que se puede cargar
en la memoria de al menos un ordenador y que incluye porciones de
código de software para realizar el procedimiento de cualquiera de
las reivindicaciones de la 13 a la 24 cuando el producto se ejecuta
en un ordenador.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
PCT/IT2003/000505 WO2005015370A1 (en) | 2003-08-11 | 2003-08-11 | Method and system for detecting unauthorised use of a communication network |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2309364T3 true ES2309364T3 (es) | 2008-12-16 |
Family
ID=34131154
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES03772624T Expired - Lifetime ES2309364T3 (es) | 2003-08-11 | 2003-08-11 | Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. |
Country Status (9)
Country | Link |
---|---|
US (1) | US8006302B2 (es) |
EP (1) | EP1654608B1 (es) |
AT (1) | ATE400016T1 (es) |
AU (1) | AU2003279517A1 (es) |
BR (1) | BR0318459A (es) |
CA (1) | CA2533853C (es) |
DE (1) | DE60321972D1 (es) |
ES (1) | ES2309364T3 (es) |
WO (1) | WO2005015370A1 (es) |
Families Citing this family (43)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8352400B2 (en) | 1991-12-23 | 2013-01-08 | Hoffberg Steven M | Adaptive pattern recognition based controller apparatus and method and human-factored interface therefore |
US8574074B2 (en) | 2005-09-30 | 2013-11-05 | Sony Computer Entertainment America Llc | Advertising impression determination |
US7904187B2 (en) | 1999-02-01 | 2011-03-08 | Hoffberg Steven M | Internet appliance system and method |
WO2007130681A2 (en) | 2006-05-05 | 2007-11-15 | Sony Computer Entertainment America Inc. | Advertisement rotation |
US8751310B2 (en) | 2005-09-30 | 2014-06-10 | Sony Computer Entertainment America Llc | Monitoring advertisement impressions |
ES2309364T3 (es) * | 2003-08-11 | 2008-12-16 | Telecom Italia S.P.A. | Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. |
US7503071B1 (en) * | 2003-10-01 | 2009-03-10 | Symantec Corporation | Network traffic identification by waveform analysis |
WO2005099214A1 (en) | 2004-03-30 | 2005-10-20 | Telecom Italia S.P.A. | Method and system for network intrusion detection, related network and computer program product |
US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
US7660999B2 (en) | 2004-06-22 | 2010-02-09 | Microsoft Corporation | MIME handling security enforcement |
US8763157B2 (en) | 2004-08-23 | 2014-06-24 | Sony Computer Entertainment America Llc | Statutory license restricted digital media playback on portable devices |
US7936682B2 (en) * | 2004-11-09 | 2011-05-03 | Cisco Technology, Inc. | Detecting malicious attacks using network behavior and header analysis |
US8010685B2 (en) * | 2004-11-09 | 2011-08-30 | Cisco Technology, Inc. | Method and apparatus for content classification |
GB2422507A (en) * | 2005-01-21 | 2006-07-26 | 3Com Corp | An intrusion detection system using a plurality of finite state machines |
WO2006100613A1 (en) | 2005-03-24 | 2006-09-28 | International Business Machines Corporation | Network attack detection |
US8626584B2 (en) | 2005-09-30 | 2014-01-07 | Sony Computer Entertainment America Llc | Population of an advertisement reference list |
US8676900B2 (en) | 2005-10-25 | 2014-03-18 | Sony Computer Entertainment America Llc | Asynchronous advertising placement based on metadata |
US20070118425A1 (en) | 2005-10-25 | 2007-05-24 | Podbridge, Inc. | User device agent for asynchronous advertising in time and space shifted media network |
US11004089B2 (en) | 2005-10-25 | 2021-05-11 | Sony Interactive Entertainment LLC | Associating media content files with advertisements |
US10657538B2 (en) | 2005-10-25 | 2020-05-19 | Sony Interactive Entertainment LLC | Resolution of advertising rules |
US8510596B1 (en) * | 2006-02-09 | 2013-08-13 | Virsec Systems, Inc. | System and methods for run time detection and correction of memory corruption |
US20140373144A9 (en) | 2006-05-22 | 2014-12-18 | Alen Capalik | System and method for analyzing unauthorized intrusion into a computer network |
US8429746B2 (en) | 2006-05-22 | 2013-04-23 | Neuraliq, Inc. | Decoy network technology with automatic signature generation for intrusion detection and intrusion prevention systems |
US8209738B2 (en) * | 2007-05-31 | 2012-06-26 | The Board Of Trustees Of The University Of Illinois | Analysis of distributed policy rule-sets for compliance with global policy |
US8769558B2 (en) | 2008-02-12 | 2014-07-01 | Sony Computer Entertainment America Llc | Discovery and analytics for episodic downloaded media |
US8763090B2 (en) | 2009-08-11 | 2014-06-24 | Sony Computer Entertainment America Llc | Management of ancillary content delivery and presentation |
US9106697B2 (en) | 2010-06-24 | 2015-08-11 | NeurallQ, Inc. | System and method for identifying unauthorized activities on a computer system using a data structure model |
US8789189B2 (en) | 2010-06-24 | 2014-07-22 | NeurallQ, Inc. | System and method for sampling forensic data of unauthorized activities using executability states |
US9043912B2 (en) * | 2013-03-15 | 2015-05-26 | Mehdi Mahvi | Method for thwarting application layer hypertext transport protocol flood attacks focused on consecutively similar application-specific data packets |
JP2016534479A (ja) | 2013-09-12 | 2016-11-04 | ヴァーセック・システムズ・インコーポレーテッドVirsec Systems,Inc. | マルウェアのランタイム中の自動検出 |
KR101732889B1 (ko) * | 2013-11-04 | 2017-05-08 | 한국전자통신연구원 | 임베디드 시스템에서 쉘 커맨드의 안전 실행 보장 장치 및 방법 |
US9584492B2 (en) * | 2014-06-23 | 2017-02-28 | Vmware, Inc. | Cryptographic proxy service |
AU2015279920B2 (en) | 2014-06-24 | 2018-03-29 | Virsec Systems, Inc. | Automated root cause analysis of single or N-TIERED applications |
AU2015279923B9 (en) | 2014-06-24 | 2018-01-25 | Virsec Systems, Inc. | System and methods for automated detection of input and output validation and resource management vulnerability |
US10075467B2 (en) * | 2014-11-26 | 2018-09-11 | Verisign, Inc. | Systems, devices, and methods for improved network security |
EP3243313B1 (en) | 2015-01-07 | 2020-09-16 | GoSecure Inc. | System and method for monitoring a computer system using machine interpretable code |
RU2601148C1 (ru) * | 2015-06-30 | 2016-10-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ выявления аномалий при подключении устройств |
EP3122016B1 (de) * | 2015-07-22 | 2020-01-08 | Siemens Aktiengesellschaft | Automatisierungsnetzwerk und verfahren zur überwachung der sicherheit der übertragung von datenpaketen |
WO2017218872A1 (en) | 2016-06-16 | 2017-12-21 | Virsec Systems, Inc. | Systems and methods for remediating memory corruption in a computer application |
US11216554B2 (en) | 2017-07-12 | 2022-01-04 | Nippon Telegraph And Telephone Corporation | Determining apparatus, determining method, and determining program |
US10592372B2 (en) * | 2017-07-18 | 2020-03-17 | Vmware, Inc. | Confidence-controlled sampling methods and systems to analyze high-frequency monitoring data and event messages of a distributed computing system |
US10826919B2 (en) * | 2018-10-29 | 2020-11-03 | Acronis International Gmbh | Methods and cloud-based systems for protecting devices from malwares |
US11126713B2 (en) * | 2019-04-08 | 2021-09-21 | Microsoft Technology Licensing, Llc | Detecting directory reconnaissance in a directory service |
Family Cites Families (23)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2536567B2 (ja) * | 1987-12-17 | 1996-09-18 | 株式会社日立製作所 | 双方向推論の高速処理方式 |
JP2994926B2 (ja) * | 1993-10-29 | 1999-12-27 | 松下電器産業株式会社 | 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法 |
US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6477651B1 (en) * | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6381242B1 (en) * | 2000-08-29 | 2002-04-30 | Netrake Corporation | Content processor |
EP1338130B1 (en) | 2000-11-30 | 2006-11-02 | Lancope, Inc. | Flow-based detection of network intrusions |
US7301899B2 (en) * | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
US7246376B2 (en) * | 2001-05-03 | 2007-07-17 | Nortel Networks Limited | Method and apparatus for security management in a networked environment |
US7308715B2 (en) * | 2001-06-13 | 2007-12-11 | Mcafee, Inc. | Protocol-parsing state machine and method of using same |
US20030101353A1 (en) * | 2001-10-31 | 2003-05-29 | Tarquini Richard Paul | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto |
US7257630B2 (en) * | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
DE60210408T2 (de) | 2002-01-18 | 2006-10-19 | Stonesoft Corp. | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
CA2479504C (en) * | 2002-03-29 | 2010-07-13 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
US7437760B2 (en) * | 2002-10-10 | 2008-10-14 | International Business Machines Corporation | Antiviral network system |
KR100456634B1 (ko) * | 2002-10-31 | 2004-11-10 | 한국전자통신연구원 | 정책기반 침입 탐지 및 대응을 위한 경보 전달 장치 및 방법 |
US6898632B2 (en) * | 2003-03-31 | 2005-05-24 | Finisar Corporation | Network security tap for use with intrusion detection system |
US7681235B2 (en) * | 2003-05-19 | 2010-03-16 | Radware Ltd. | Dynamic network protection |
US8220052B2 (en) * | 2003-06-10 | 2012-07-10 | International Business Machines Corporation | Application based intrusion detection |
ES2309364T3 (es) * | 2003-08-11 | 2008-12-16 | Telecom Italia S.P.A. | Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. |
WO2005099214A1 (en) * | 2004-03-30 | 2005-10-20 | Telecom Italia S.P.A. | Method and system for network intrusion detection, related network and computer program product |
US7624448B2 (en) * | 2006-03-04 | 2009-11-24 | 21St Century Technologies, Inc. | Intelligent intrusion detection system utilizing enhanced graph-matching of network activity with context data |
WO2007110093A1 (en) * | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor |
-
2003
- 2003-08-11 ES ES03772624T patent/ES2309364T3/es not_active Expired - Lifetime
- 2003-08-11 CA CA2533853A patent/CA2533853C/en not_active Expired - Lifetime
- 2003-08-11 US US10/567,752 patent/US8006302B2/en active Active
- 2003-08-11 AU AU2003279517A patent/AU2003279517A1/en not_active Abandoned
- 2003-08-11 BR BRPI0318459-5A patent/BR0318459A/pt not_active IP Right Cessation
- 2003-08-11 AT AT03772624T patent/ATE400016T1/de not_active IP Right Cessation
- 2003-08-11 WO PCT/IT2003/000505 patent/WO2005015370A1/en active IP Right Grant
- 2003-08-11 EP EP03772624A patent/EP1654608B1/en not_active Expired - Lifetime
- 2003-08-11 DE DE60321972T patent/DE60321972D1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
US8006302B2 (en) | 2011-08-23 |
EP1654608B1 (en) | 2008-07-02 |
EP1654608A1 (en) | 2006-05-10 |
BR0318459A (pt) | 2006-09-12 |
CA2533853A1 (en) | 2005-02-17 |
CA2533853C (en) | 2013-01-08 |
ATE400016T1 (de) | 2008-07-15 |
US20060242703A1 (en) | 2006-10-26 |
AU2003279517A1 (en) | 2005-02-25 |
WO2005015370A1 (en) | 2005-02-17 |
DE60321972D1 (de) | 2008-08-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2309364T3 (es) | Procedimiento y sistema de deteccion de una utilizacion no autorizada de una red de comunicaciones. | |
US8418252B2 (en) | Intelligent network interface controller | |
KR101890272B1 (ko) | 보안이벤트 자동 검증 방법 및 장치 | |
KR101236822B1 (ko) | Arp록킹 기능을 이용한 arp스푸핑 공격 탐지 방법과 그 방법을 실행하기 위한 프로그램이 기록된 기록매체 | |
JP2021510478A (ja) | 車両内ネットワークにセキュリティを提供するシステム及び方法 | |
JP4581104B2 (ja) | ネットワークセキュリティシステム | |
US7810158B2 (en) | Methods and systems for deceptively trapping electronic worms | |
Manna et al. | Review of syn-flooding attack detection mechanism | |
CN110417717A (zh) | 登录行为的识别方法及装置 | |
US8763121B2 (en) | Mitigating multiple advanced evasion technique attacks | |
KR101308085B1 (ko) | 관계형 공격 패턴을 이용하는 침입 차단 시스템 및 방법 | |
CN112231679B (zh) | 一种终端设备验证方法、装置及存储介质 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
KR20020072618A (ko) | 네트워크 기반 침입탐지 시스템 | |
WO2005026872A2 (en) | Internal lan perimeter security appliance composed of a pci card and complementary software | |
US8220052B2 (en) | Application based intrusion detection | |
US20170346844A1 (en) | Mitigating Multiple Advanced Evasion Technique Attacks | |
JP2005284523A (ja) | 不正侵入検出システム及び方法並びに不正侵入検出用プログラム | |
KR100545677B1 (ko) | 네트워크 인프라 장애 방지 시스템 및 방법 | |
KR100862321B1 (ko) | 시그니처를 사용하지 않는 네트워크 공격 탐지 및 차단방법 및 장치 | |
Kishore et al. | Intrusion Detection System a Need | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
Mittal et al. | A Study of Different Intrusion Detection and Prevension System | |
Rahim et al. | Improving the security of Internet of Things (IoT) using Intrusion Detection System (IDS) | |
KR20030087583A (ko) | 개인용 컴퓨터의 침입탐지시스템 |