JP2002521919A - 情報セキュリティ解析システム - Google Patents

情報セキュリティ解析システム

Info

Publication number
JP2002521919A
JP2002521919A JP2000561736A JP2000561736A JP2002521919A JP 2002521919 A JP2002521919 A JP 2002521919A JP 2000561736 A JP2000561736 A JP 2000561736A JP 2000561736 A JP2000561736 A JP 2000561736A JP 2002521919 A JP2002521919 A JP 2002521919A
Authority
JP
Japan
Prior art keywords
data
network
communication network
knowledge base
analysis
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000561736A
Other languages
English (en)
Inventor
マイケル ピー. マロニー
ジョン エム. スート
クリストファー ジェイ. スコット
フランシス エム. ウッダス
リッチ ラベル
ジョゼフ キャロルチック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Raytheon Co
Original Assignee
Raytheon Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Raytheon Co filed Critical Raytheon Co
Publication of JP2002521919A publication Critical patent/JP2002521919A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Maintenance And Management Of Digital Transmission (AREA)

Abstract

(57)【要約】 解析システムは、多重相互接続されたコンピュータプラットフォームに備えられたされたソフトウェアプログラムの集合、構成及び統合である。前記ソフトウェアは、コンピュータオペレーティングシステムを除き、センサー、解析、データ変換及び視覚化プログラムの結合である。ハードウェアプラットフォームは、相互接続された種々の異なるタイプのコンピュータを備え、該コンピュータはローカルエリアネットワーク(LAN)を介して前記ソフトウェアプログラム、データファイル及び視覚化プログラムを共有する。このソフトウェアの集合及び統合、且つ単一コンピュータプラットフォームへの移植は、パッシブかつ/又はアクティブモードにおけるLAN/WANモニタリングへのアプローチにつながる。アーキテクチャは、外部センサーからのディジタルデータが、4つの主要なソフトウェアコンセプトグループから導出されたデータ及び表示を解析し、表示し、及び相関付けることを可能にする。これらは、ウイルスコンピュータコード検出、コンピュータソース及び実行コードの解析、データ通信ネットワークの動的監視、データの3次元的視覚化及びアニメーションである。

Description

【発明の詳細な説明】
(発明の技術分野) 本発明は、インターネットセキュリティやコンピュータソースの流出や実行可
能なコードの視覚化の問題を緩和するための情報セキュリティ解析システムに関
する。加えて、本発明は、攻撃的及び防御的な情報解析、商業上及び国家のイン
フラストラクチャー(基幹施設)のための情報セキュリティ解析システムに関す
る。
【0001】 (発明の背景) 世界中のインターネット利用は、驚くべき速度で成長を続けている。ユーザー
は、政府、公的機関、一般企業、及び個人を含み、それらの全てが、日々の営み
を処理する目的のためにインターネットに接続している。残念ながら、インター
ネット接続をコミュニケーションの安全な手段とするために要望されているセキ
ュリティ手段の発展及び手段は、ネットワークの発展及び相互接続の拡大におけ
るテクノロジーの進歩と歩調を合わせていない。その結果、インターネットユー
ザー及びネットワークの有する情報は、ネットワーク及びデータを搾取し滅亡さ
せる方法を探し続けているハッカーや悪意者によって、障害を生じさせられた。
【0002】 適正に使用されていたファイアウォール(firewall)技術は、共通イントラネ
ットの“正面ドア”を安全にすることを補助することができるが、これらの技術
は、ユーザーが求めるアプリケーション、サービス及びセキュリティと歩調を揃
えているという問題を有している。ネットワークテクノロジーの発見を促進する
多くの製品が開発されてきたが、これらは、受動的に実行し得るものがほとんど
ない。
【0003】 インターネットのセキュリティ及びモニタリングの必要性は、政府と一般企業
の双方において増え続けている。このことは、殆ど毎日、業界紙やインターネッ
トニュースグループにおいて実証されている。そのより具体的な証拠は、政府か
らの提案要求に概説された技術に関連付けられたセキュリティために増える要求
にある。政府及び一般企業は、インターネットアドレス変換、モニタリング、侵
入検知、及びコンピュータセキュリティに、かなり多くの時間と資金を費やして
いる。これは、インターネットコンピュータセキュリティサービス、解析ツール
、及び関連付けられた製品を提供することを提案する豊富な組織を誘発してきた
【0004】 (発明の概要) 本発明に係るシステムは、受動的に実行し、モニタリングセッション中に観測
されたデータの詳細な解析を行うためのシステム体系を提供する。
【0005】 1つのネットワーク上にトラフィックを付加せずに、本発明システムは、ネッ
トワーク利用法及びネットワークの攻撃されやすいところの仮想画像を作り出す
。集めた複数のツールを視覚的図解にインプットすることを組織化することによ
り、セキュリティ管理者は、ネットワークの弱点を評価し、セキュリティ手段を
実行するための最適なロケーションを割り出して、先を見越した行動をとるよう
になる。その情報が本発明システムによって明らかにされれば、セキュリティ管
理者は、可能性のあるトラフィックのボトルネックを割り出し、不正侵入の存在
する位置を突きとめ、帯域利用を減らし、ユーザーのプロフィールを明らかにし
、不正な行動を正確に指摘する。
【0006】 本発明のソフトウェアシステムは、4つの相互接続モジュール、即ち、受動ネ
ットワーク検知、ネットワークデータレコーディング、ネットワークデータパー
ジング、ネットワークデータ解析ツールを含んでいる。ネットワークデータの視
覚化能力は、受動ネットワーク検知及びネットワークデータ解析モジュールに含
まれている。前記ソフトウェアシステムは、コンピュータのコード解析、及びネ
ットワークトラフィックとネットワーク構造の3次元視覚化及びアニメーション
を可能にする。さらにオプションのプラグインが、ソフトウェアの能力を拡張さ
せることにより、該ソフトウェアシステムをネットワークの進化に係わらず通用
するものとし得る。
【0007】 本発明システムでは、システム管理者が、ネットワークをマップし、規則的又
は不規則な利用パターンを決定し、ウイルスの攻撃場所を見つけ出し、ネットワ
ーク割り当てを処理し、そのネットワークを画像表示する。
【0008】 より技術的には、この解析システムは、複数が相互接続されたコンピュータプ
ラットフォーム上に存在するソフトウェアプログラムの集合であり、構成であり
、統合である。このソフトウェアは、コンピュータオペレーションシステムを除
く、センサープログラム、解析プログラム、データ変換プログラム、及び視覚化
プログラムの結合である。ハードウェアプラットフォームは、幾つかの異なるタ
イプの相互接続されたコンピュータからなり、前記ソフトウェアプログラム、デ
ータファイル、及び視覚化プログラムをローカルエリアネットワーク(LAN)を
介して共有する。このようなソフトウェアの集合及び統合と、単一のコンピュー
タプラットフォームへの移植は、パッシブ及び/又はアクティブモードにおける
LAN/WANモニタリングへのアプローチにつながる結果となる。例えば、ル
ーター及びファイアウォールソフトウェアは、セキュリティの警戒中にもかかわ
らずコードが機能的に変更されたかを確認するために、ほぼリアルタイムでモニ
ター可能である。OSIモデルでのデータリンクからプレゼンテーションレイヤ
へのプロトコルに含まれたLAN/WANデータは、2-D又は3-D空間での共
通のディスプレイを用いた解析に利用できる。
【0009】 アーキテクチャもまた、解析、画像表示、及び、4つの主要ソフトウェアグル
ープから得られたデータの対比のために、外部センサーからのデジタルデータ入
力を可能とする。これらは、ウイルスコンピュータコードの検出、コンピュータ
ソース及び実行コードの解析、データ通信ネットワークの動的監視、データの3
次元的視覚化及びアニメーションである。
【0010】 この解析システムは、ウイルスコンピュータコードを、グラフィカルな作動モ
ードでテンプレートし、表示する。最近の技術は、ビットストリームまたはリア
ルタイムの監視を、ホストコンピュータでコンピュータウイルスを検出するよう
にしている。本発明の解析システムのアプローチでは、コンピュータウイルスが
、検査を行う前にホストコンピュータ内に存在するかを判断するために、疑わし
いコードについて機能性を調査する。このアプローチは、発生源のストラクチャ
が分かり、また、例えばコンピュータプログラム、ファイルや電子メールアタッ
チメントの中に発生源のストラクチャが存在するかを判断できるように、調査さ
れる。
【0011】 さらに、本発明の解析システムは、グラフィカルに表示され、また、そのコー
ドがひとつまたは複数の機能について変質を受けたかを判断するために、好まし
いタイプのコンピュータソースと多次元空間の検査コードとの間の比較を行う。
この解析システムは、グラフィカルな解析と、コード順列と、2つまたはそれ以
上の同様なソースおよび/または検査可能なコンピュータプログラムに、機能の
変質の程度を判断させることを可能にする。このシステムは、ひとつのコンピュ
ータソースまたは検査することができるプログラムにおける機能性について、文
書化し、グラフ化し、アニメ化することができ、また、動的に調査し判断するこ
とができる。さらに、本発明のシステムは、ソースと検査可能なコードを言語に
よって分類すること、その結果をグラフィカルな機能様式で表示することが可能
である。例えば、ルーターのフィルタテーブルファイルを定期的に監視し、その
ファイルが最近の標準的なセキュリティ予防策にもかかわらず、機能上変化した
か否かを判断することができる。
【0012】 本発明の解析システムは、受動的に、デジタルデータ通信ネットワークの物理
的、仮想的な特性を発見し、また同時に相互作用の形で、異なったデジタル通信
ネットワークを検知する。仮想的な検知は、デジタルデータネットワークがそれ
に関与する人によってどのように使われているか、誰がその時のあるポイントに
いる人に接続しているかを判断する能力に限定される。このプロセスは、選択可
能な時間間隔に関するデジタルデータ通信ネットワークにおける構成変更も判断
する。従来の技術を用いることが、ユーザの特典を要求せず、ネットワークバン
ド幅を消費せず、LAN/WANシステムにおける通信と干渉しない場合には、LAN/WAN
システムにおける受動モードでの本発明の解析システムの物理的な存在は検出不
能である。この解析システムは、サブネットを速やかに写し出し、端末装置のア
クティビティが増加するように、完全なネットワークを構築することができる。
ネットワークにおけるそれぞれのアクティブな端末装置のターゲットは、付加さ
れた情報とともに、マップされ、表示される。表示された情報は、ネットワーク
表示と同様に、物理的な関係と仮想的な関係の両者を示す。この解析システムは
、LANシステムのリモートモニタリング、コラボレイション及びディスカバリを
形成するために、ネットワークプローブに接続することもできる。このシナリオ
において、端末装置は、リモートプローブからの入力に関するマスターユニット
としての役割を果たす。この操作モードでは、受動的な操作モードは、コラボレ
ーションがバンド内および/またはバンド外かどうかに依存するかもしれないし
、そうでないかもしれないということになる。
【0013】 本発明の解析システムは、3ないしそれ以上の次元における3つの主要なソフ
トウエアグループから受け取るあらゆるデータを、動的に表示し、循環させ、ア
ニメ化する。物理的および/または仮想的領域における異なったタイプのデジタ
ルデータを同時に見るという利用方法もある。
【0014】 本発明によれば、それぞれのタイプのデジタルデータに対する接続性と機能性
が表示される。3つの主要なソフトウエアグループそれぞれからのデータは、表
示可能であり、2又はそれ以上に分割され、しかし、ビジュアルプレーンに接続
されたどの軸中心でも回転させることができる。このプロセスは、外部のセンサ
からの入力データを含む、3つの主要なソフトウエアグループからの異なったタ
イプのデータ間の接続性も表示する。視覚化ソフトウエアには、オペレータ又は
解析者がより容易に理解することができるように、ユーザが規定することができ
るシンボルを追加してもよい。このソフトウエアは、「マウスクリック」を介し
たノードと相互作用し、3つの主要なソフトウエアグループによって示されたノ
ードに関係する情報を、動的に検索し、復号し、表示する。3次元ノーダルダイ
アグラムが混雑(clutter)してきた場合には、解析者は、いくつかのノードを、
一つの相互接続共有ノードに絞り込む。この性能は、個々の縮小されたノードの
機能を維持する間、オリジナルダイアグラムが混雑していないことの解析者に対
する表示を提供する。
【0015】 本発明は、次の詳細な説明と添付された図面とを参照することによって、より
完全に理解される。
【0016】 (本発明の詳細な説明) 図1に関して、データチャンネル14によりローカルアクセスネットワーク(LAN)
を能動的に又は受動的にモニターするための検知ツール12を含むインフォメーシ
ョンセキュリティ解析システム10が説明されている。機能上、検知ツール12は:
センサーマネージメント、受動ネットワーク検知(ネットワークビューア、ネッ
トワークトポロジー);パケットアナライザー、知識ベースビューイング、及び
アラーティング及びレポーティングを含む。さらに、検知ツール12はトラフィッ
ク及びユーセッジデータを集め、ネットワークの接続性をマッピングする。検知
ツール12により集められたデータは、メモリーに記憶された知識ベース16の部分
になる。データは、次のような主なカテゴリーによりオーガナイズされる:アド
レス、ホスト、LM-ホスト、ドメイン、LM-ドメイン、サブネット、IP-アドレス
、WWW、MAC-アドレス、ネットウェアホスト、ネットウェアネットワーク、ネッ
トウェアステーション、アラート、ネットウェアサーバータイプ、アプリケーシ
ョン、OS、WWW-ブラウザー、WWW-サーバー、HTTP-サーバー、NNTP-サーバー、プ
ロトコル、ユーザー、POP3-ユーザー、FTP-ユーザー、SMTP-センダー、SMTP-レ
シーバー、POP3-パスワード、FTP-パスワード、ルーターー、及びベンダー。
【0017】 知識ベース16におけるデータは、検知ツール12からシステムのダウンストリー
ムプログラムへ、キャプチャーされたネットワークデータを変換する、構文解析
ツール18に対して利用できるようになる。それから、構文解析ツール18によりア
クセスされたデータは、検知ツール12によりキャプチャーされたデータを解析す
るための解析エンジン20に利用可能であり、いくつかのデータファイルのマージ
ング及びネットワークユーセッジパターンの展開(development)及び比較をサポ
ートする。解析エンジン20は、i2Inc.からのソフトウェアにより実施され、“An
alyst’s Notebook”という商標で市場に出されている。プロペラ(PROPELLER)
と呼ばれる国防総省からの、第2の解析エンジン20も利用できる。また本発明は
、追加の解析エンジンを利用できるようになるので、そのような解析エンジンを
利用することも可能である。解析エンジン20は“リンクチャート”と呼ばれるフ
ォーマットで様々な関連データセットをキャプチャ及びディスプレイするための
、グラフィックツールのダイナミックセットである。“Analyst’s Notebook”
のような解析エンジン20を使用することにより、集められたデータは、ネットワ
ーク特性を特徴づけて記録する、及び/又は可能なネットワーク侵入者を見つけ
るのに活用されることができる。データを収集及びオーガナイズした後、解析エ
ンジン20は機能性や区別を確定するために、多くの異なるデータチャート間のア
ソシエーションを形成するのに使用されることができる。それから、多くのデー
タソース間の関係は、仮定を立証し、複数のデータセット間の相互関係を明らか
にし、及び大きなデータセット内のターゲットデータを識別するために利用でき
る。ネットワークデータは、知識ベースデータをセッションデータ、パケットデ
ータ、及びアラートデータと関連付けるために解析される必要がある。これらの
関係は、特定のプロトコル(HTP、HTTP、NNTP、POP3、SMTP、TELENET、及びIMAP)
に対するトラフィックの内容だけでなく、誰が誰に話していたかを識別するのを
手伝う。ネットワークデータを解析するプロセスにおいて、どんなIP及び/又はM
ACアドレスが、1つ以上のデータセットに対して一般的であるかに関して識別さ
れる。この様にネットワークを特徴付けることには、キャプチャされたデータの
周期的なスナップショットがタイムピリオドにわたり要求される。どんなIP及び
MACアドレスが存在するかのアベレージは、それぞれのアドレスセット間のトラ
フィックを表すリンクチャートを作るのに使用される。この同じプロセスはネッ
トワークの一部かネットワーク全体かのどちらかを特徴付ける。
【0018】 解析エンジン20のオペレーションにより、一般に再利用されたリソースはサン
プリング技術を用いることにより識別され得る。一般のユーセッジを明らかにす
るだろうインタレスト(interest)の時間は識別され、データはその時間の間にキ
ャプチャーされる。例えば、午前11時から午後1時間の電子メールトラフィック
のボリュームを測定するために、トラフィックソース及びデスティネーションに
おける類似性が明らかになるまで数週間、毎日サンプリングが起こる。サンプリ
ングの完了後、解析エンジン20は、サンプリング中に識別されてきたIP及び/又
はMACアドレスの全ての目録を作るチャートを作ることができる。
【0019】 2-Dディスプレイ22及び3-Dディスプレイ24を含む解析データをディスプレイす
るためにいくつかのオプションが利用できる。それぞれのツール12及び18、解析
エンジン20及ディスプレイ22及び24は、機能上、インフォメーションセキュリテ
ィ解析システム10のオペレーターから指示を受け取るための、オペレーターソフ
トウェアインターフェイスに接続されている。
【0020】 図1のシステムは、デジタルフォーマットで、外部センサーデータ(すなわち
、バイオメトリックインフォメーション、ビリングデータ、SS7、RBX、ペイジン
グインフォメーション)を受け入れる。外部データがネットワーク検知及び解析
ツールと組み合わされる時、全コミュニケーションセキュリティプロセスの明確
な状況が提供される。このように、本発明のシステムは、実際的セキュリティニ
ーズを電子コミュニケーションシステム及びIS/IT/CIOデパートメントと組合せ
、完全な監視パッケージにする。
【0021】 オペレータインストラクションに従って、該システムは、事後の2又は3次元に
おける解析及び視覚化(visualization)のために、蓄積されたデータベースの選
択された部分を記録及び再生する。これは外部センサー及び/又は侵入者発見デ
ータに適用できる。
【0022】 さらに、図1のシステムは、FTP、HTTP及びTELENET、POP3、SMTP、NNTP、及び
IMAPセッションをほぼリアルタイムで及び/又は事後、デコードし得る。本発明
のモジュラーアーキテクチャにより、セッションリコンストラクションを含む、
プロトコルデコードをさらに高め広げるためにプラグインモジュールを加えるこ
とができるようになる。この特性のため、該解析システム10は自動的にイントラ
ネット上を行き来するインフォメーションの状況を識別することができる。それ
からこのインフォメーションは、どのインフォメーションがさらなる保護を必要
とするかを識別するために、ネットワーク保安要員のためのノーダルダイアグラ
ム中に置かれる。また次のような質問に答えるために使用されることもできる:
不法なビジネスがイントラネット内で行われているか;もしある従業員からもう
一人の個人に対して何らかの嫌がらせが行われていたらどうなるか;従業員はワ
ールドワイドウェブのどこで時間を過ごしているか。
【0023】 インフォメーションセキュリティ解析システム10の1つの実施において、ウィ
ンドウズNT(登録商標) 4.0オペレーティングシステムを作動する166 MHz CPU の最小限度で、ペンティアム(登録商標)ベースのPCが使用された。さらに、解 析システム10は64メガバイトのリアルRAM、1ギガバイトのハードドライブ及び17 インチモニターを含む。インフォメーションセキュリティ解析システム10の改善 されたオペレーションは、128メガバイトのリアルRAM、4ギガバイトのハードド ライブ及び21インチのモニター.G13を有するペンティアムII/300又はより良いも ので達成された。
【0024】 図2に関して、図1のインフォメーションセキュリティ解析システム10のある応
用のフローチャートが示されている。能動データ検知エンジン(検知ツール12)
が、ネットワークに関するデータを集めるために使用され、いったんデータが発
見されれば、該データは知識ベース16の中に挿入される。具体的に、検知ツール
12は小さなコンピュータソース及び2又は3次元空間における実行可能コードノー
ダルダイアグラムを得るために、データを集める。このデータの収集により、大
きなコンピュータコードノーダルダイアグラムをスケーリング及び表示すること
が可能になり、それによって、デジタルデータ通信ネットワークをサポートする
コンピュータ設備のための大きなボディのコード内での相互接続を調べて観察す
るための柔軟性を解析に与える。また、コンピュータソース及び実行可能なコー
ドを検知ツール12により集めることで、本発明のシステムは、関連するノーダル
ダイアグラムを3-D空間で見る一方で、小さなコンピュータソース及び実行可能
なコードプログラムを合成的にシミュレートすることができる。このことが、プ
ログラム内のどこに有害コードが存在し得るか割り出すことを可能にし、プログ
ラムの実行を終えた後のデータが存在するモリーの場所を確認し、及び、コード
モジュールの具体的なタイプ(つまり、ウイルス、暗号化アルゴリズム)を見つ
けるためのテンプレートとしてグラフィックベクターを使用することになる。さ
らに、検知ツール12は、2次元における実際的及びバーチャルネットワークダイ
アグラムの同時ディスプレイのために、イントラネット上のデータ(つまり、LA
N/WAN)を集める。このことで、該システム解析は、データコミュニケーション
ネットワークの実際的設備ネットコネクションを即座にディスプレイすることが
可能となる。実施例の方法により、サム(sum)及び異なるルーティンを実行する
ことにより、システム解析は、イントラネット“バックドア”の可能な識別を含
むために、ネットワークからいつ新しい端末及び/又はコンフィギュレーション
が加えられ又は取り除かれたかを割り当てることができる。インターネット上の
このデータの収集は、バーチャルイントラネットダイアグラムを可能にし、それ
によって、どのようにネットワークが使用されているか、誰が誰とコミュニケー
トしているか、というリアルタイムの解析、ポテンシャルチョークポイント及び
脆弱性、制限された“トレースルート(trace route)”のリコンストラクション
及び要求されるワールドワイドウェブサービスのタイプの割り出しを可能にする
【0025】 さらに、検知エンジンはネットワーク上のストラクチャーインフォメーション
、ネットワーク及びネットワークユーザーのオペレーション方法を集める。典型
的な検知エンジンは、ネットワークデータの詳細なピクチャーを提供するために
、マルチプルセンサーからインフォメーションをコーディネートする。さらに、
検知エンジンは全て“フラットファイル”として知識ベースと共に作られたメタ
データのパケットに加えネットワークのオペレーティングセッション上のデータ
を集める。イーサネット(登録商標)LANトラフィックの収集及び解析に加え、 検知エンジンは、ATM、WANプロトコル、及びセルラーコミュニケーションを含む 他のタイプのネットワークトラフィック上のデータを収集及び解析するようにも 作られ得る。
【0026】 検知エンジン(検知ツール12)はネットワークについて学習したデータの知識
ベースを作り出し、このデータは、検知ツール12の蓄積されたデータディレクト
リ中の、適切に命名されたファイル中に蓄積される。検知エンジンからのフラッ
トテキストファイルのフォーマットは現在、インフォメーションセキュリティ解
析システム10によるさらなる利用のため、プロセスされている。
【0027】 このテキスト知識ベースフラットファイルは、様々なカテゴリーにおけるデー
タを作るために、知識ベースファイルのキーワード検索を利用するデータ構文解
析ツール18によりプロセスされる。例えば、次のような様々なカテゴリーにおい
てデータはオーガナイズされる:ユニークユーザーアイデンティフィケーション
、ホスト、LM-ホスト、ドメイン、LM-ドメイン、サブネット、IP-アドレス、WWW
、MAC-アドレス、ネットウェアホスト、ネットウェアネットワーク、ネットウェ
アステーション及び様々な他の利用できるカテゴリー。
【0028】 知識ベース16を様々なカテゴリーにオーガナイズすることに加え、構文解析ツ
ールはハッシュ出力ファイルも作り出し得る。
【0029】 知識ベース16の構文解析に続いて、解析エンジン20はベクターベースの調製及
びノーダルダイアグラムへの変換のためのデータに対して応答する。通常、解析
エンジン20は、その様なデータチャートが相関又は区別するかどうか割り出すた
めに、多くの異なるチャート間のアソーシエーションを作り出す。多くのデータ
ソース間の関係は仮定を立証し、マルチプルデータセット間の関係を相関させ、
及び大きいデータセット内のターゲットデータを識別するために使用される。こ
の解析に基づいてインフォメーションセキュリティ解析システムは、ネットワー
クのマネージメントのためのリソースの発展を可能にする。
【0030】 解析エンジン20は、知識ベースデータをセッションデータ、パケットデータ、
及びアラートデータに関連付けるためにネットワークデータを解析する。という
のは、これらの関係が特定なプロトコルに対するトラフィックの状況だけでなく
、誰が誰に話しているかを割り出すために使用されるからである。
【0031】 検知ツール12(検知エンジン)により受け取られたネットワークデータを解析
するプロセスにおいて、1つ以上のデータセットにどんなコミュニケーションが
存在するかということに関しても割り出されなければならない。この様にしてデ
ータを特徴付けることは、時間にわたり周期的にキャプチャーされたデータを速
写することを利用している。それから、データセット間のトラフィックを表すリ
ンクチャートを作り出すために、どんな関係が存在するかの平均が出される。
【0032】 図3を参照すると、図2のアプリケーションフロー図中に示されるような図1
の代表的検知ツール12のアーキテクチャーが示される。1種以上のセンサーが
、特殊なセンサーによりコントロールされ、セットアップ、コレクション、およ
び伝達コントロールを提供する。ローカルなイーサネットセンサーのために、イ
ーサネットドライバーが、ネットワークデータの生パケット(raw packet)を提供
するように、コントロールされる。ローカルなイーサネットセンサーのために、
イーサネットドライバーは、NDIS層上にあって、ネットワークデータの生パケッ
トを提供する。データのパケットは、センサーマネジャー32により列に並べら
れ、続いて、ツール一式34中の全てのツールに提供される。内部パケットプロ
セッシングエンジン36は、データパケットを解読し、生データを、ツール一式
34中の全てのツールにアクセス可能である情報エレメントに転換する。さらに
、スクリプトエンジン38は、特に興味ある情報をフィルターし、知識を知識ベ
ース16に入れる。このデータベースはまた、ツール一式34中の全てのツール
によりアクセス可能である。
【0033】 特殊なセンサーに加えて、検知ツール12は、リモートセンサー42のコント
ロールを含む。リモートマネージャー40は、リモートセンサー、例えば、ウェ
ブに基づくモニターおよびクエリーツールを、ツール一式34中の全てのツール
に設けるよう列に並べる。
【0034】 図3に示されるように、検知ツール12は、内部操作可能なツールの一式に基
づく強固に結合したセンサー/プロセッサーとして編成される。これらのツール
は、流入データおよびプロセスされた知識の視覚化、マッピング、および解析を
もたらす。センサーマネージャーツール80は、検知ツール12に移すことなし
に、データを集約(ローカルまたはリモートセンサー)可能にする検知ツール12
内でセンサーのコンフィギュレーションおよびコントロールを提供する。センサ
ーマネージャーツール80の様々な側面は、ホストに従いトップレベルでソート
されたセンサーのビュー、カテゴリー内の全てのセンサーデータの集約を提供す
ることを包含し、リモートセンサーから検知ツールに再び選択されたカテゴリー
によってデータを移すことを可能にし、リモートセンサーから検知ツールへのコ
ミュニケーションを可能にし、新しい(リモート)ホストおよび関連センサーをセ
ンサーマネージメントコントロールに加える。
【0035】 ネットワークビューワツール82は、オート検知、オートレイアウト、および
ネットワークのノードおよびリンクの自動視覚化を提供する。ノードは、コンピ
ュータートラフィックのソースであり、サーバー、ホストおよびクライアントを
含む。リンクは、末端から末端へのトラフィックの代表であり、より高いレベル
のネットワークエレメント(ルーターのような)に移し得る。ネットワークビュー
ワツール82は、パケット情報を読み、1種以上のロジカルネットワークのフィ
ジカルピクチャーを提供する。ロジカルピクチャーは、ノードおよびリンク情報
を表示し、1種以上のロジカルネットワークのフィジカルピクチャーを提供する
。ロジカルピクチャーは、多重パケットに関して集約されたノードおよびリンク
情報を表示する。ネットワークトラフィック(ノードおよびリンク)が、OSIネッ
トワークモデル(データリンクなど)の多くの例で存在する限り、効果的な視覚化
は、多くの異なる層でソースネットワークを検査することによって起こる。ネッ
トワークビューワの実施態様において、グラフウィンドウ上のツール82サーク
ルは、ノードを示し、ラインは、コミュニケーションリンクを示す。検知ツール
12は、より多いノードを自動的に発見するので、それぞれのネットワークに関
するカウントは、ネットワークラベルと共にグラフウィンドウ上に現れる。ノー
ド表示はツリーに基づくので、カウントは、リファレンスノード下の全てのノー
ドの集合体である。知識ベース16からのノードに関連する情報は、オブジェク
トビューワツール84のウィンドウ中で表示される。
【0036】 オブジェクトビューワツール84は、ネットワークビューワツール82、トポ
ロジーディスプレイツール90、およびクエリーコンソールツール94とともに
統合される。オブジェクトビューワツール84は、オブジェクトに関して作成さ
れ得る全ての移動リレーション(アドレスに基づくものではない)に関する情報の
ディスプレイを作動させる。例えば、IP-アドレスがユーザーと関連し、ユーザ
ーがホストアドレスと関連する場合、これらは、オブジェクトビューワツールデ
ィスプレイの一部となる。しかしながら、ホストアドレスは、さらに他のIP-ア
ドレスと関連する場合、この移行リレーションは、解釈リレーションを生じ得る
混乱故に、表示されない。ノードがオブジェクトであり、リンクがリレーション
である場合、オブジェクトビューワツール84は、クラスによるソート中で表示
されるオブジェクトのリストを作成する。
【0037】 データパケットおよびデータパケット構造の解析は、パケットビューワツール
86の活性化によりもたらされる。これは、ネットワークパケット以内の構造ま
たは情報をもたらし、さらに、新しく、一般的でない及び/又は所有のプロトコ
ルを確定し理解するのを助ける。パケットビューワツール86が活性化されると
き、パケットフィルター(図示せず)は、全ての更新されたパケットが補足される
のを可能にするよう、最初にセットされる。ユーザーが、特定のパケットタイプ
に興味あるとき、パケットビューワツール86は、パケットフィルターセットア
ップダイアログを介して、ユーザーにパケットの特定のセットアップを選択可能
にする。パケットビューワツール86は、プロトコールのデバッグおよび開発に
役に立つけれども、このツールの機能性も、新しいパケットタイプのためにブラ
ウジングするのに役立つ。
【0038】 次に、知識ブラウザツール88に戻ると、このツールは、知識ベース16のた
めの視覚的インターフェースであり、知識ベース内のクラス中のブラウジングオ
ブジェクトにツリーに基づくアプローチを提供し、さらに、トレーシングアイテ
ムに関するリンケージ情報および、検知ツールによるネットワーク上で受動的に
発見された情報を提供する。知識ブラウザーツール88は、単純さに関する自動
化およびユーザーアクセス可能性に関する注文生産の両方を要求するタスクのネ
ットワーク情報の取得、組織化、およびカテゴリー化を可能にする。
【0039】 漠然と、知識ブラウザーツール88によりブラウジングされたクラスは、カテ
ゴリー化された情報を含む知識ベース16中のアイテムであり、サブクラス、オ
ブジェクト、または両方を含み得る。本発明に関連して考慮されるオブジェクト
は、クラスのメンバーであり、ネットワーク特異的情報を有する知識ベース16
中のアイテムである。
【0040】 検知ツール12は、受けられたプロトコール内のプロセシング情報エレメント
が、ネットワーク内のオブジェクトに関するインテリジェンスを集めるように、
スクリプトエンジン38(別のスレッドとしてランする)を含む。標準的なオブジ
ェクトタイプは、ユーザー、ホスト、ドメイン、アプリケーションおよびアドレ
スを含む、しかしながら、オントロジー仕様書は、新しいオブジェクトが加えら
れるのを可能にする。リレー情報(例えば、ホストおよびユーザー)へのワンウェ
イまたはツーウェイ結合を用いて、アソシエーションは、複数のプロトコール/
オブジェクトタイプを介する情報エレメントを用いて作成される。本質的には、
本発明の機能に従い、ネットワークは多次元スペース中に含まれるリンクされた
グラフになり、そこでは、リレーションシップは、このスペース内のベクター間
のリンクとして貯蔵される。
【0041】 次に、トポロジーディスプレイツール90を考慮すると、このツールは、検知
ツール12で同定されるネットワークのエレメントのコンパクトで、自動的に作
成されるビューを提供する。図8は、トポロジーディスプレイツール90の活性
化による、代表的なウィンドウディスプレイを示す。知識ベース16内に含まれ
る情報に基づき、トポロジーディスプレイツール90は、ルーター、SubNets、
およびユーザーノードを示す。更に、知識ベース16内のクラスのサブセットは
、このビューのトップ上にオーバーレイされ得る。例えば、ホストのネームおよ
び脆弱性が示され得る。
【0042】 セッションレコーダツール92は、パケットの再アセンブリーを可能にする。
TCP/IPセッションのマネージメント、および知識検知である。このツール
は、パケットレベルで容易に扱われ得ない複数のセッションタイプを観察するた
めのメカニズム、例えば、HTTP、POP3、SMTP、SNMP、TELNET、NNTP、およびIMAP
である。パケットを再アセンブリーし、再アセンブリーされたバケットを介して
情報のキーアスペクトを探すことによって、セッションレコーダツール92は、
ネットワーク上にアプリケーションレベルエンティティーについての観察および
学習のための能力を提供する。
【0043】 オペレーションにおいて、セッションレコーダツール92は、コネクション指
向型フロー、またはセッションを再アセンブリーする。これらの層−4(例えば
、TCP)および上記のセッションは、再アセンブリーされ、アプリケーション−レ
ベル情報を露出するよう解剖される複数パケットからなる。パケットおよびセル
再構築技術は、ユーザーに、状態情報(例えば、コールプログレスおよびセッシ
ョンモニタリング)、並びにアプリケーション層情報(例えば、電子メールアドレ
ス)を提供する。アラートプロセッシングと組合せて、セッションレコーダツー
ル92内で、セッションサーチ技術を利用すると、能力(特定のユーザーがe-メ
ールを得るときに見るような)は、フレキシブルに構築され得る。セッションレ
コーダツール92の1つの実施では、次のセッション:HTTP、POP3、TELNET、FT
P、SMTP、NNTP、およびIMAPが提供される。セッションレコーダツール92のオ
ペレーションの間、ツールは情報の様々な断片に関するセッションを検出し、プ
ロセスし、スキャンするので、データは知識ベース16に加えられ得る。
【0044】 クエリーコンソールツール94は、知識ベース16にテキストに基づくインタ
ーフェースを提供する。クエリーコンソールツール94の利用により、ユーザー
は、知識ベース16が、オブジェクト(例えば、個々のIPアドレス)を含み、1ク
ラスの知識ベース16(例えば、IP-ADDR)に属するオブジェクトのセットを決定
するかどうか決定し得る。クエリーコンソールツール94の1つの実施において
、知識ベース16は、トップレベルのクラス名、所与のクラスに属するオブジェ
クトおよび特殊なクラスのオブジェクトに関して質問される。
【0045】 ツール一式34に加えて、検知ツール12は、図3に示されるように、知識ベ
ース構文解析ツールセット96を含む。解析下にあるネットワークからのデータ
の発見の後、続いて、データは、解析エンジン20による使用のために好適にフ
ォーマットされる。知識ベース構文解析ツールセット96は、集約されたデータ
を採るように機能し、それを、解析エンジン20による使用のための好適なフォ
ーマットに入れる。知識ベース構文解析ツールセット96中の個々のツールは、
知識ベース16からの構文解析データに利用可能であり、セーブされたログファ
イルおよび再アセンブリーされたセッションファイルから情報を抽出する。知識
ベース構文解析ツールセット96は、8つのツール:知識ベース構文解析、電子
メール抽出、セッションジョイニング、ウェブ抽出、グラフィックス抽出、知識
ベースサミング、ファイルマニピュレーション、およびカラムスプリッティング
を含む。
【0046】 ネットワーク検知ツールは、ネットワークに関してアセンブリーされたデータ
の知識ベース16を作成する。このデータは、フラットテキストファイル中に貯
蔵され、ネットワークの表示のための検知ツール12による再使用のためにセー
ブされる。しかしながら、テキストのフォーマットは、プロセッシング上のフォ
ローには有用でない。知識ベース構文解析ツールは、データを、カラムファイル
中のディスプレイのためにアウトプットされるよう、データベース、または解析
エンジン20に輸送されるように、解剖する。さらに、知識ベース構文解析ツー
ルは、様々なカテゴリー中でデータを作成するキーワードサーチとして、利用さ
れる。
【0047】 説明されたように、セッションレコーダツール92は、複数のセッションタイ
プを観察するためのメカニズムであり、再アセンブリーされるセッションデータ
を含むファイルを作成する。シングルデータ収集の間に作成されたファイルの数
は、例えば、10,000を超え得る。ツールセット96中の知識ベースツールのため
の電子メール抽出ツールは、POP3およびSMTPファイルをサマリーディスクリプシ
ョンに編成することを提供する。サマリーデスクリプションは、続いて、データ
ベースまたは解析エンジン20に輸送される。電子メール抽出ツールは、キーワ
ードサーチメカニズム並びに他のタイプのデータ構文解析を含む。
【0048】 言及したように、検知ツール12は、ネットワークについて集約されたフラッ
トファイルデータの知識ベースを作成する。知識ベースツールセット96のウェ
ブ抽出ツールは、HTMLフラットファイルからのデータの構文解析およびフォーマ
ットを促進し、それらは、続いて、データベースまたは解析エンジン20に輸送
される。ウェブ抽出ツールは、タグ(キーワードに類似する)サーチメカニズム並
びに他のタイプのデータプロセッシングアルゴリズムを含む。
【0049】 知識ベースツールセット96のグラフィックス抽出ツールは、記録されたフォ
ーマットからの再アセンブリーファイルを提供する。セッションレコーダツール
92のディスプレイは、HTTPセッションのレコーディングをもたらす。これらの
セッションファイルは、セッションおよびセッションに関連するデータを記載す
るヘッダーを含む。JPGまたはGIFイメージがダウンロードされるとき、データは
、セッション中に再アセンブリーされる。しかしながら、このデータは、記録さ
れたフォーマット中でディスプレイ可能でない。グラフィック抽出ツールは、JP
GおよびGIFデータを含む再アセンブリーされたHTTPセッションファイルをコンバ
ートし、ネームおよびイメージを含む新しいログファイルを作成する。
【0050】 検知ツール12のオペレーションによりフラットテキストファイル中に貯蔵さ
れたデータは、知識ベースツールセット96の知識ベース要約ツールにより利用
され、パケットおよびセッションログ中に含まれるデータの統計的マトリックス
を作成する。例えば、プロトコールの例は、Yアクセスとして使用されおよび、
ソースIPアドレスは、Xアクセスとして使用され得る。パケットまたはセクショ
ンログの選択が為された後、知識ベース要約ツールは、好適なログファイルをス
クリーンし、利用可能なアクセス基準を表示し、グラフを作成する。代表的なネ
ットワークの解析において、多数のファイルが作成される。知識ベースツールセ
ット96のファイルマニピュレーションツールは、ソートされなければならない
作成されたファイルのボリュームを減少させるインターフェースを提供する。そ
れは、ファイルを、後続のプロセッシングを増強する目的で、ファイルサイズ、
タイプ、またはコンテンツに基づき、除去または移動可能にする。作成されたフ
ァイルは、グループ中の全てのファイルに関する選択された基準に従い、プロセ
スされる。
【0051】 検知ツール12の記録されたセッションは、新しいセッションとして、時とし
て切断され及び貯蔵される。これらの切断されたセッションは、好ましくは、ビ
ューイング前に、再アセンブリーされる。知識ベースツールセット96のセッシ
ョンジョイニングツールは、全ての切断されたセッションを、完了したトランス
アクションに接続する。
【0052】 知識ベースツールキット96に含まれるものは、また、スプリットデータカラ
ムツールである。このツールは、データの望ましくないカラムをログファイルか
ら除去するのに使用される。
【0053】 図4を参照すると、知識ベース16中での、情報の構築が示される。知識の同
定および構造は、ネットワーク情報をプロセッシングする前に知識を理解する能
力を改善するように、考慮される。図4は、検知ツール12により知識ベース中
にアセンブリーされた情報のカテゴリーの編成可能なチャートである。知識ベー
スは、フラットテキストファイルとして貯蔵される目的指向型リレーショナルエ
ンティティであり、データチャネル14上のパケットから集約された情報である
【0054】 図5を参照すると、解析エンジン20から生のASCIIデータを受ける視覚化プ
リプロセッサを含む3−Dディスプレイのブロック図が示される。ソフトウェア
リンク108を介して視覚化プリプロセッサにインプットされるのは、また、視
覚化セットアップファイル102、リンキング情報ファイル104およびフィー
ルドキーファイル106である。解析エンジン20からデータをプロセッシング
した後、視覚化プリプロセッサ100は、プロセスされたデータを3−Dレンダ
リングエンジン110に移送する。レンダリングエンジン110は、市販のシェ
ルフソフトウェアパッケージであり、インプットデバイス114からのユーザー
の指示に従い情報をフォーマットし、表示装置112にインプットするために情
報をアレンジする。
【0055】 ヘッド搭載ディスプレイ技術およびプレプロセッサー108からのデータを受
けるフリーダムトラッキングシステムの6段階の使用により、ユーザーは、知識
ベース16中のデータで同定されるネットワーク中の充分なビューイングイマー
ジョンを経験する。この技術は、慣用されているフラットディスプレイとは反対
のネットワークデータディスプレイにより、ユーザーに、互いに交流し合い交渉
する更なる能力を与える。
【0056】 図1を再度参照すると、3−Dディスプレイ24は、3−Dスペース中の複雑
なノード図をビューし、アニメートし、および解析する検知ツール12によって
集められた任意のデータに、3番目のディメンションを加える。生データファイ
ルは、2つの次元を含むのみであるので、これが要求される。解析エンジンから
のデータが3以上の次元をアウトプットした場合、3−Dディスプレイは、3番
目のディメンションを加えるために要求されないだろう。第3ベクターの付加は
、インプットデバイス94からのユーザーインストラクションに従い、インター
コネクトされた平面上に大きな複雑な図の同時的ビューイングを可能にする。図
5のディスプレイは、解析者に、任意の軸上に図を回転させ、そうでなければ2
次元平面上にビューされると不明確となるリレーションをビューさせる。
【0057】 図6を参照すると、図1に示されたような本発明の解析システム10の代表的
な使用例が図示されている。解析システム10は、ターミナル48、50、及び
52を含むネットワークの一部としてのターミナル46で、作動する。ターミナ
ル46、48、50、及び52を含むネットワークは、ファイアウォール54に
より相互に接続されている。ファイアウォール54は、ネットワークアナライザ
58を有するネットワーク56にインターフェース接続されている。アナライザ
58は、ターミナルへの着信トラフィックを解析し、さらに、ネットワークへの
侵入者着信に関連した「メタデータ」をモニタリングする。アナライザ58は、
着信侵入に関する特定のメタデータを確立するのが典型的である。図6に図示さ
れているように、ネットワーク56は、ゲートウェイ60と、例えばターゲット
としてのターミナル48に対してリモートイントルーダとして機能するターミナ
ル62とに連結されている。
【0058】 本実施形態において、ターミナルのリモートイントルーダ60は、電子メール
をファイアウォール54の先のターゲットターミナル48へ送信することを企図
していることは、当然だと分かるだろう。本発明のターミナル46で走る解析シ
ステム10は、検査ツール12により、イーサネットレベルの着信電子メールを
モニタリングする。解析システム10は、ポストオフィスプロトコルバージョン
3(POP3)及びシンプルメールトランスファプロトコル(SMTP)などの
情報ベース16の一部として着信電子メールトラフィックを記録する。さらに、
解析システム10は、着信電子メールに関するメタデータを検査し、また、ター
ゲットターミナル48に着信したSMTP/POP3を検査する。特定されたタ
ーゲットターミナル48向けの着信したSMTP/POP3パケットは、解析エ
ンジン20へ進み解析される。前に説明した通り、解析エンジン20は、進んで
きたメタデータを検査ツール12によりインポートし、解析及び画面表示する。
【0059】 図7を参照すると、マルチノードネットワーク環境における本発明の解析シス
テム10の実施形態が図示されている。図示したように、ネットワークは、ノー
ド64、66、及び68を含む。ノード68へ相互連結されているのが、図1に
図示した解析システム10を走るターミナル70である。さらに、ノード68に
相互連結されているのが、ネットワークアナライザ72である。各ノード64、
66、及び68は、ファイアウォール74に相互連結されている。ファイアウォ
ール74は、広域ネットワーク(図示せず)に相互連結されたさらに別のファイ
アウォール76の次に位置する。
【0060】 本実施形態において、ターミナル70でランする解析システム10は、イント
ラネットレベルのトラフィックをモニタリングし、種々のノードの各ターミナル
からのパケットデータを記録する。ターミナル64aなどの攻撃を受けているタ
ーミナルについては、解析システムがターゲットソースパケット構造を確立して
、本発明の解析エンジン20により、攻撃を受けているターゲットをシャットダ
ウンするように変更できるだろう。
【0061】 図6及び7は、解析システム10の2つの実施形態に過ぎないことが理解され
るべきである。情報セキュリティ解析システムのさらに別の実施形態は、攻撃及
び防衛情報検査、同時電子メールのコンテキストノード検査、FTP及びTEL
NETセッション、フィルタリングされたノードトラフィックのグラフィック再
生、コンピュータソース及び実行可能なコードの解析、構内ネットワークまたは
広域ネットワークが物理的及び実際的に連結できるかどうかの受動的及び動的な
検出、図6に関して記述したような、構内ネットワークまたは広域ネットワーク
への内外双方からの侵入検査、図7において、ネットワークが攻撃を受けてコン
ピュータウイルスが検出された際の自動的な警告及び補正アクションを含む。
【0062】 本発明では、好ましい実施形態について記述してきたが、本発明の範囲を設定
した特定の形態に限定するものではなく、逆に、添付の特許請求項で限定された
ような本発明の精神及び範囲内とすることができるような、別の実施形態、変形
実施形態、相当する実施形態をカバーするものである。
【図面の簡単な説明】
【図1】 図1は、本発明に係る受動的ネットワークデータのディスカバリと視覚化と解
析に関する情報セキュリティ解析システムのブロック図である。
【図2】 図2は、図1に示した情報セキュリティ解析システムに関するアプリケーショ
ンフロー図である。
【図3】 図3は、図1に示した情報セキュリティ解析システムとともに用いられるディ
スカバリツールの構成を説明するためのブロック図である。
【図4】 図4は、図3に示したディスカバリツールの代表的な情報構造を模式的に示す
図である。
【図5】 図5は、図1に示した情報セキュリティ解析システムの3-D視覚化モジュール
のブロック図である。
【図6】 図6は、侵入検出器として利用された本発明の情報セキュリティ解析システム
のブロック図である。
【図7】 図7は、ノードアタックまたは情報ハイジャッキングのテストに用いる攻撃ツ
ールとしての本発明の情報セキュリティ解析システムを示すブロック図である。
【図8】 図8は、本発明に係るオブジェクト−オリエンテッドネットワーク視覚化を説
明する代表的な図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,UG,ZW),E A(AM,AZ,BY,KG,KZ,MD,RU,TJ ,TM),AE,AL,AM,AT,AU,AZ,BA ,BB,BG,BR,BY,CA,CH,CN,CU, CZ,DE,DK,EE,ES,FI,GB,GD,G E,GH,GM,HR,HU,ID,IL,IN,IS ,JP,KE,KG,KP,KR,KZ,LC,LK, LR,LS,LT,LU,LV,MD,MG,MK,M N,MW,MX,NO,NZ,PL,PT,RO,RU ,SD,SE,SG,SI,SK,SL,TJ,TM, TR,TT,UA,UG,UZ,VN,YU,ZA,Z W (72)発明者 スコット クリストファー ジェイ. アメリカ合衆国 ペンシルベニア プレザ ント ギャップ スティープルチェイス ドライブ 265 (72)発明者 ウッダス フランシス エム. アメリカ合衆国 21117 メリーランド オウイングズ ミル シャーウッド ファ ーム ロード 9733 (72)発明者 ラベル リッチ アメリカ合衆国 21061 メリーランド グレン バーニー フォックス リッジ コート 205 (72)発明者 キャロルチック ジョゼフ アメリカ合衆国 21797−8762 メリーラ ンド ウッドバイン ジ オールド ステ ーション コート 890 Fターム(参考) 5B089 GB02 HA06 HA10 JA36 JB16 KA17 KB03 KB13 MC02 5K030 GA15 GA18 HA08 HC01 HC14 JA10 KA06 KA07 KA13 LD19 MA04 MC08 【要約の続き】 元的視覚化及びアニメーションである。

Claims (21)

    【特許請求の範囲】
  1. 【請求項1】 データ通信ネットワークの物理的及び仮想的特性に関する情
    報を収集するステップと、 該収集された情報の知識ベースを生成するステップと、 前記生成された知識ベースの情報を構文解析して、選択されたカテゴリー内の
    データを読み取り可能な形式で生成するステップと、 前記選択されたカテゴリー内の前記データを解析して、前記データ通信ネット
    ワークを特徴付ける関係を生成するステップと、 参加者の前記データ通信ネットワークの使用を決定するために前記解析データ
    を視覚化するステップとを含むことを特徴とするデータ通信ネットワークの動的
    モニタリング方法。
  2. 【請求項2】 知識ベースを生成するステップは、モードネットワークダイ
    アグラムを生成するステップを含む、請求項1に記載のデータ通信ネットワーク
    の動的モニタリング方法。
  3. 【請求項3】 知識ベースを生成するステップは、内部及び外部の進入の試
    みを判定するステップを含む、請求項1に記載のデータ通信ネットワークの動的
    モニタリング方法。
  4. 【請求項4】 知識ベースを生成するステップは、ネットワークの機能的コ
    ンフィギュレーションにおけるデータを文書化し且つ編成するステップを含む、
    請求項1に記載のデータ通信ネットワークの動的モニタリング方法。
  5. 【請求項5】 知識ベースを生成するステップは、前記収集された情報のパ
    ケット及びサブパケットを生成するステップを含む、請求項1に記載のデータ通
    信ネットワークの動的モニタリング方法。
  6. 【請求項6】 情報を収集するステップは、時間内の所定のポイントにおけ
    る参加者の通信ネットワークの使用を決定するために情報を収集するステップを
    含む、請求項1に記載のデータ通信ネットワークの動的モニタリング方法。
  7. 【請求項7】 情報を収集するステップは、選択可能な時間間隔で前記通信
    ネットワークにおけるコンフィギュレーションの変化に関する情報を収集するス
    テップをさらに含む、請求項6に記載のデータ通信ネットワークの動的モニタリ
    ング方法。
  8. 【請求項8】 前記データを解析するステップは、前記生成されたデータを
    ベクトルベースのノードダイアグラムに変換するステップを含む、請求項1に記
    載のデータ通信ネットワークの動的モニタリング方法。
  9. 【請求項9】 前記データを解析するステップは、知識ベースデータを前記
    通信ネットワークのセッション及びパケットデータに関連付けるステップを含む
    、請求項1に記載のデータ通信ネットワークの動的モニタリング方法。
  10. 【請求項10】 データ通信ネットワークにおけるノード及びリンクの物理
    的及び仮想的特性に関する情報を受動的に収集するステップと、 該受動的に収集された情報の知識ベースを生成するステップと、 前記生成された知識ベースの情報を構文解析して、選択されたカテゴリー内の
    データを読み取り可能な形式で生成するステップと、 前記選択されたカテゴリー内の前記データを解析して、ノード及びリンクの関
    係を生成し、それによって前記データ通信ネットワークを特徴付けるステップと
    、 参加者の前記データ通信ネットワークの使用を決定するために前記解析データ
    を視覚化するステップとを含むことを特徴とするデータ通信ネットワークの動的
    モニタリング方法。
  11. 【請求項11】 解析データを視覚化するステップは、処理のための情報及
    びデータを供給する視覚化セットアップデータファイルを格納するステップと、 前記通信ネットワークに関連するネットワークリンキングデータファイルを格
    納するステップと、 前記格納されたそれぞれのファイルの選択に基づいてアクセスするステップと
    、 前記アクセスされたファイルデータを視覚化プロセッサに移送するステップと
    、 参加者の前記データ通信ネットワークの使用を決定するために前記アクセスフ
    ァイルデータ及び解析データを処理するステップとを含む、請求項10に記載の
    データ通信ネットワークの動的モニタリング方法。
  12. 【請求項12】 前記解析データは、前記通信ネットワークに関連する接続
    性及び機能性データを備えており、 前記接続性及び機能性データの前記視覚化プロセッサへの移送を含む前記解析
    データを視覚化するステップと、 表示用のネットワークデータ信号を生成するために、前記アクセスファイルデ
    ータ、前記接続性データ及び前記機能性データを処理するステップと、 3次元レンダリングエンジンにおいて、ネットワーク接続性及び機能性表示信
    号を出力するために、前記生成ネットワークデータ信号を処理するステップとを
    含む、請求項10に記載のデータ通信ネットワークの動的モニタリング方法。
  13. 【請求項13】 解析データを視覚化するステップは、 前記3次元レンダリングエンジンの制御のためのユーザ入力データを生成する
    ステップと、 前記ユーザ入力データを前記3次元レンダリングエンジンに移送するステップ
    と、 前記3次元レンダリングエンジンにおいて、前記ユーザ入力データに従ってネ
    ットワーク接続性及び機能性表示信号を出力するために、前記ユーザ入力データ
    及び前記生成ネットワークデータの信号を処理するステップとをさらに含む、請
    求項12に記載のデータ通信ネットワークの動的モニタリング方法。
  14. 【請求項14】 知識ベースを生成するステップは、内部及び外部の進入の
    試みを判定するステップを含む、請求項10に記載のデータ通信ネットワークの
    動的モニタリング方法。
  15. 【請求項15】 情報を収集するステップは、選択可能な時間間隔で前記通
    信ネットワークにおけるコンフィギュレーションの変化に関する情報を収集する
    ステップをさらに含む、請求項10に記載のデータ通信ネットワークの動的モニ
    タリング方法。
  16. 【請求項16】 解析データを視覚化するステップは、前記解析データにユ
    ーザを定義可能なシンボルを付加するステップを含む、請求項10に記載のデー
    タ通信ネットワークの動的モニタリング方法。
  17. 【請求項17】 複数のデータ通信ネットワークにおけるそれぞれの物理的
    及び仮想的特性に関する情報を収集するステップと、 該収集された情報の知識ベースを生成するステップと、 前記生成された知識ベースの情報を構文解析して、選択されたカテゴリー内の
    データを読み取り可能な形式で生成するステップと、 前記選択されたカテゴリー内の前記データを解析して、前記データ通信ネット
    ワークを特徴付ける関係を生成するステップと、 時間内のいずれかのポイントにおける参加者の前記データ通信ネットワークの
    利用及びインターアクションを決定するために前記解析データを視覚化するステ
    ップとを含むことを特徴とする複数のデータ通信ネットワークの動的モニタリン
    グ方法。
  18. 【請求項18】 前記データを解析するステップは、遠隔モニタリング、コ
    ラボレーション及びネットワークシステムの検知のステップを含む、請求項17
    に記載の複数のデータ通信ネットワークの動的モニタリング方法。
  19. 【請求項19】 前記解析データを視覚化するステップは、インターアクテ
    ィブコンフィギュレーションにおける1又は2以上の前記通信ネットワークを同
    時に表示するステップを含む、請求項17に記載の複数のデータ通信ネットワー
    クの動的モニタリング方法。
  20. 【請求項20】 前記データを解析するステップは、ネットワークの増加に
    おいて、ネットワークをターミナルアクティビティとしてリコンフィギュアする
    ためにサブネットをマッピングするステップを含む、請求項17に記載の複数の
    データ通信ネットワークの動的モニタリング方法。
  21. 【請求項21】 前記解析データを視覚化するステップは、ノード及びリン
    クを加えたネットワークにおける各アクティブターミナルと付加された情報を表
    示するステップを含む、請求項17に記載の複数のデータ通信ネットワークの動
    的モニタリング方法。
JP2000561736A 1998-07-21 1999-07-20 情報セキュリティ解析システム Pending JP2002521919A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US9355498P 1998-07-21 1998-07-21
US60/093,554 1998-07-21
PCT/US1999/012394 WO2000005852A1 (en) 1998-07-21 1999-07-20 Information security analysis system

Publications (1)

Publication Number Publication Date
JP2002521919A true JP2002521919A (ja) 2002-07-16

Family

ID=22239569

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000561736A Pending JP2002521919A (ja) 1998-07-21 1999-07-20 情報セキュリティ解析システム

Country Status (13)

Country Link
EP (1) EP1097554B1 (ja)
JP (1) JP2002521919A (ja)
KR (1) KR100513911B1 (ja)
AT (1) ATE314777T1 (ja)
AU (1) AU757353B2 (ja)
BR (1) BR9912193A (ja)
CA (1) CA2338265A1 (ja)
DE (1) DE69929206T2 (ja)
MX (1) MXPA01000775A (ja)
NO (1) NO20010338L (ja)
NZ (1) NZ509607A (ja)
TW (1) TW498220B (ja)
WO (1) WO2000005852A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003523030A (ja) * 2000-02-08 2003-07-29 ハリス コーポレイション ネットワークのセキュリティ態勢を評価し、グラフィカルユーザインタフェースを有するシステム及び方法
JP2006109354A (ja) * 2004-10-08 2006-04-20 Hitachi Electronics Service Co Ltd コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20010103201A (ko) * 2000-05-06 2001-11-23 조용학 해킹 및 바이러스의 침투방지 시스템
KR20010105490A (ko) * 2000-05-10 2001-11-29 이영아 해커감지 및 추적시스템
ATE498270T1 (de) * 2000-05-12 2011-02-15 Niksun Inc Sicherheitskamera für ein netzwerk
KR100383224B1 (ko) * 2000-05-19 2003-05-12 주식회사 사이젠텍 리눅스 기반의 네트워크 통합 보안 시스템 및 그의 방법과이를 장착한 반도체 장치
IL136324A0 (en) * 2000-05-24 2001-05-20 Softcom Computers Ltd Method of surveilling internet communication
KR20000054521A (ko) * 2000-06-09 2000-09-05 김상돈 해킹 로봇 프로그램의 공격 차단 시스템 및 그 방법
GB0016835D0 (en) 2000-07-07 2000-08-30 Messagelabs Limited Method of, and system for, processing email
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20020078382A1 (en) * 2000-11-29 2002-06-20 Ali Sheikh Scalable system for monitoring network system and components and methodology therefore
FI20010256A0 (fi) * 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
US6906709B1 (en) 2001-02-27 2005-06-14 Applied Visions, Inc. Visualizing security incidents in a computer network
US7010696B1 (en) 2001-03-30 2006-03-07 Mcafee, Inc. Method and apparatus for predicting the incidence of a virus
US7000250B1 (en) 2001-07-26 2006-02-14 Mcafee, Inc. Virtual opened share mode system with virus protection
DE10214306A1 (de) * 2002-03-28 2003-10-23 Daniela Lindenblatt Verfahren zur Überwachung von Datenbewegungen
FR2838535B1 (fr) * 2002-04-12 2004-07-23 Intranode Sa Procede et dispositif d'un audit de securite dans un reseau de telecommunication, plate forme et systeme correspondants
CN100518166C (zh) * 2003-12-16 2009-07-22 鸿富锦精密工业(深圳)有限公司 资安护照产生及发行系统及方法
KR100614931B1 (ko) * 2004-04-13 2006-08-25 한국전자통신연구원 웹 응용프로그램의 취약점 분석 장치 및 방법
KR100901696B1 (ko) * 2007-07-04 2009-06-08 한국전자통신연구원 보안 이벤트의 컨텐츠에 기반한 보안 이벤트 샘플링 장치및 방법
US10481999B2 (en) * 2016-12-05 2019-11-19 Microsoft Technology Licensing, Llc Partial process recording

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5958010A (en) * 1997-03-20 1999-09-28 Firstsense Software, Inc. Systems and methods for monitoring distributed applications including an interface running in an operating system kernel

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003523030A (ja) * 2000-02-08 2003-07-29 ハリス コーポレイション ネットワークのセキュリティ態勢を評価し、グラフィカルユーザインタフェースを有するシステム及び方法
JP2006109354A (ja) * 2004-10-08 2006-04-20 Hitachi Electronics Service Co Ltd コンフィギュレーション情報管理システム及びコンフィギュレーション情報収集プログラム

Also Published As

Publication number Publication date
NZ509607A (en) 2002-12-20
ATE314777T1 (de) 2006-01-15
KR20010079562A (ko) 2001-08-22
AU757353B2 (en) 2003-02-20
AU5080599A (en) 2000-02-14
WO2000005852A1 (en) 2000-02-03
TW498220B (en) 2002-08-11
MXPA01000775A (es) 2002-04-24
BR9912193A (pt) 2001-09-25
NO20010338D0 (no) 2001-01-19
CA2338265A1 (en) 2000-02-03
EP1097554B1 (en) 2005-12-28
NO20010338L (no) 2001-03-05
EP1097554A1 (en) 2001-05-09
KR100513911B1 (ko) 2005-09-13
DE69929206T2 (de) 2006-08-24
DE69929206D1 (de) 2006-02-02

Similar Documents

Publication Publication Date Title
JP2002521748A (ja) 情報セキュリティ解析システム
US7047423B1 (en) Information security analysis system
US6253337B1 (en) Information security analysis system
US6549208B2 (en) Information security analysis system
JP2002521919A (ja) 情報セキュリティ解析システム
US7694115B1 (en) Network-based alert management system
US7185366B2 (en) Security administration server and its host server
US8849993B2 (en) Method and apparatus for rate limiting
US20040015579A1 (en) Method and apparatus for enterprise management
Xin et al. Fuzzy feature extraction and visualization for intrusion detection
Mansmann et al. Interactive exploration of data traffic with hierarchical network maps
US8176169B2 (en) Method for network visualization
CN115437874A (zh) 一种基于网络资产的信息安全风险分析与监控系统
AU2002311381B2 (en) Information security analysis system
Inoue et al. NetADHICT: A Tool for Understanding Network Traffic.
Mei et al. PEC: Post Event Correlation Tools for Network-Based Intrusion Detection
Panjaitan et al. Wireshark Packet Capture: The technology accounting information system perspective

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20050930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20051005

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060104

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060120

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20060531