JP2003228552A - 不正侵入検出を提供するモバイル通信ネットワークのためのモバイル機器 - Google Patents
不正侵入検出を提供するモバイル通信ネットワークのためのモバイル機器Info
- Publication number
- JP2003228552A JP2003228552A JP2002304068A JP2002304068A JP2003228552A JP 2003228552 A JP2003228552 A JP 2003228552A JP 2002304068 A JP2002304068 A JP 2002304068A JP 2002304068 A JP2002304068 A JP 2002304068A JP 2003228552 A JP2003228552 A JP 2003228552A
- Authority
- JP
- Japan
- Prior art keywords
- network
- ips
- mobile device
- application
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
- 238000001514 detection method Methods 0.000 title claims abstract description 33
- 238000012545 processing Methods 0.000 claims abstract description 12
- 238000010295 mobile communication Methods 0.000 claims description 13
- 238000000034 method Methods 0.000 description 32
- 238000007726 management method Methods 0.000 description 24
- 239000002609 medium Substances 0.000 description 24
- 230000002265 prevention Effects 0.000 description 14
- 238000012544 monitoring process Methods 0.000 description 13
- 239000003795 chemical substances by application Substances 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 11
- 238000004458 analytical method Methods 0.000 description 10
- 230000008569 process Effects 0.000 description 7
- 230000008901 benefit Effects 0.000 description 6
- 230000005540 biological transmission Effects 0.000 description 6
- 210000004027 cell Anatomy 0.000 description 6
- 238000012546 transfer Methods 0.000 description 6
- 238000004891 communication Methods 0.000 description 5
- 230000001360 synchronised effect Effects 0.000 description 5
- 230000009471 action Effects 0.000 description 4
- 210000004271 bone marrow stromal cell Anatomy 0.000 description 4
- 230000006870 function Effects 0.000 description 4
- 230000007246 mechanism Effects 0.000 description 4
- 238000001914 filtration Methods 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 230000004913 activation Effects 0.000 description 2
- 238000013500 data storage Methods 0.000 description 2
- 230000007123 defense Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 230000008685 targeting Effects 0.000 description 2
- 101100454433 Biomphalaria glabrata BG01 gene Proteins 0.000 description 1
- 241000209202 Bromus secalinus Species 0.000 description 1
- 241000406668 Loxodonta cyclotis Species 0.000 description 1
- 241000699670 Mus sp. Species 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 238000013103 analytical ultracentrifugation Methods 0.000 description 1
- 230000002155 anti-virotic effect Effects 0.000 description 1
- 230000010267 cellular communication Effects 0.000 description 1
- 230000001413 cellular effect Effects 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 238000010586 diagram Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 238000007689 inspection Methods 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 235000011962 puddings Nutrition 0.000 description 1
- 230000033764 rhythmic process Effects 0.000 description 1
- 239000000523 sample Substances 0.000 description 1
- 238000000926 separation method Methods 0.000 description 1
- 238000001356 surgical procedure Methods 0.000 description 1
- 230000009897 systematic effect Effects 0.000 description 1
- 239000002023 wood Substances 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】
【課題】不正侵入検出を提供するモバイル通信ネットワ
ークのためのモバイル機器を提供する。 【解決手段】モバイル通信ネットワーク(300)にお
いて動作可能なモバイル機器(355)であって、中央
演算処理装置(272)による検索および実行のために
マシン読み取り可能フォーマットでデータを格納するメ
モリモジュール(274)と、該メモリモジュール(2
74)に格納される不正侵入検出アプリケーション(9
1)を実行するように動作可能なオペレーティングシス
テム(275)と、を備える。
ークのためのモバイル機器を提供する。 【解決手段】モバイル通信ネットワーク(300)にお
いて動作可能なモバイル機器(355)であって、中央
演算処理装置(272)による検索および実行のために
マシン読み取り可能フォーマットでデータを格納するメ
モリモジュール(274)と、該メモリモジュール(2
74)に格納される不正侵入検出アプリケーション(9
1)を実行するように動作可能なオペレーティングシス
テム(275)と、を備える。
Description
【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワーク技術
に関し、特に、不正侵入検出を提供するモバイル通信ネ
ットワークのためのノードおよびモバイル機器に関す
る。 【0002】関連出願の相互参照 本特許出願は、2001年10月31日付で出願され本
願と共に譲渡された「METHOD AND COMPUTER READABLE M
EDIUM FOR SUPPRESSING EXECUTION OF SIGNATURE FILE
DIRECTIVES DURING A NETWORK EXPLOIT」と題する同時
係属中の米国特許出願第10/003,501号、20
01年10月31日付で出願され本願と共に譲渡された
「SYSTEM AND METHOD OF DEFINING THE SECURITY CONDI
TION OFA COMPUTER SYSTEM」と題する米国特許出願第1
0/001,431号、2001年10月31日付で出
願され本願と共に譲渡された「SYSTEM AND METHOD OF D
EFINING THE SECURITY VULNERABILITIES OF A COMPUTER
SYSTEM」と題する米国特許出願第10/001,41
0号、2001年10月31日付で出願され本願と共に
譲渡された「SYSTEM AND METHOD OF DEFINING UNAUTHOR
IZED INTRUSIONSON A COMPUTER SYSTEM」と題する米国
特許出願第10/002,695号、2001年10月
31日付で出願され本願と共に譲渡された「NETWORK IN
TRUSION DETECTION SYSTEM AND METHOD」と題する米国
特許出願第10/002,423号、2001年10月
31日付で出願され本願と共に譲渡された「NODE,METHO
D AND COMPUTER READABLE MEDIUM FOR INSERTING AN IN
TRUSION PREVENTION SYSTEMINTO A NETWORK STACK」と
題する米国特許出願第10/001,445号、200
1年10月31日付で出願され本願と共に譲渡された
「METHOD,COMPUTER-READABLE MEDIUM,AND NODE FOR DET
ECTING EXPLOITS BASED ON AN INBOUND SIGNATURE OF T
HE EXPLOIT AND AN OUTBOUND SIGNATURE IN RESPONSE T
HERETO」と題する米国特許出願第10/003,815
号、2001年10月31日付で出願され本願と共に譲
渡された「NETWORK,METHOD AND COMPUTER READABLE MED
IUM FOR DISTRIBUTED SECURITY UPDATES TO SELECT NOD
ES ON A NETWORK」と題する米国特許出願第10/00
1,446号、2001年10月31日付で出願され本
願と共に譲渡された「METHOD,COMPUTER READABLE MEDIU
M,AND NODE FOR A THREE-LAYERED INTRUSION PREVENTIO
N SYSTEM FOR DETECTING NETWORK EXPLOITS」と題する
米国特許出願第10/003,747号、2001年1
0月31日付で出願され本願と共に譲渡された「SYSTEM
AND METHOD OF AN OS-INTEGRATED INTRUSION DETECTIO
N AND ANTI-VIRUS SYSTEM」と題する米国特許出願第1
0/002,072号、2001年10月31日付で出
願され本願と共に譲渡された「METHOD,NODE,AND COMPUT
ER READABLE MEDIUM FOR IDENTIFYING DATA IN A NETWO
RK EXPLOIT」と題する米国特許出願第10/002,6
97号、2001年10月31日付で出願され本願と共
に譲渡された「NODE,METHOD AND COMPUTER READABLE ME
DIUMFOR OPTIMIZING PERFORMANCE OF SIGNATURE RULE M
ATCHING IN A NETWORK」と題する米国特許出願第10/
003,820号、2001年10月31日付で出願さ
れ本願と共に譲渡された「METHOD,NODE AND COMPUTER R
EADABLE MEDIUM FORPERFORMING MULTIPLE SIGNATURE MA
TCHING IN AN INTRUSION PREVENTION SYSTEM」と題する
米国特許出願第10/003,819号、2001年1
0月31日付で出願され本願と共に譲渡された「USER I
NTERFACE FOR PRESENTING DATA FORAN INTRUSION PROTE
CTION SYSTEM」と題する米国特許出願第10/002,
694号、2001年10月31日付で出願され本願と
共に譲渡された「METHOD AND COMPUTER-READABLE MEDIU
M FOR INTEGRATING A DECODE ENGINE WITH AN INTRUSIO
N DETECTION SYSTEM」と題する米国特許出願第10/0
03,510号、2001年10月31日付で出願され
本願と共に譲渡された「SYSTEM AND METHODOF GRAPHICA
LLY DISPLAYING DATA FOR AN INTRUSION PROTECTION SY
STEM」と題する米国特許出願第10/002,064
号、および2001年10月31日付で出願され本願と
共に譲渡された「SYSTEM AND METHOD OF GRAPHICALLY C
ORRELATING DATA FOR AN INTRUSION PROTECTION SYSTE
M」と題する米国特許出願第10/001,350号に
関連する。 【0003】 【従来の技術】サービス拒否(DoS)攻撃ユーティリ
ティ等ネットワーク不正攻撃ツールはますます精巧にな
ってきており、また技術の進展により実行が簡単になっ
てきている。比較的単純な攻撃者は、1つまたは複数の
標的とする設備に向けたコンピュータシステム毀損(com
promises)をアレンジする、またはこれに関わることが
できる。ネットワークシステム攻撃(本明細書では不正
侵入とも称する)は、コンピュータまたはコンピュータ
ネットワークの不正また悪意を持った使用であり、1つ
または複数の選ばれた標的に対する連係攻撃において数
百または数千ものプロテクトされていない、あるいは毀
損されたインターネットノードが一緒に関わる可能性が
ある。 【0004】クライアント/サーバモデルに基づくネッ
トワーク攻撃ツールは、標的としたネットワークまたは
機器に対するネットワーク攻撃の実行に好ましいメカニ
ズムになった。セキュリティに欠陥のあるネットワーク
における大容量マシンは、分散攻撃の踏み台として攻撃
者により望まれることが多い。大学のサーバは通常、高
い接続性および大容量を有するが、比較的平凡なセキュ
リティを有することを特徴とする。このようなネットワ
ークはまた、ネットワーク攻撃への関与に対してネット
ワークをさらに脆弱にする経験の浅いまたは仕事の負荷
が重過ぎるネットワーク管理者を有することが多い。 【0005】ネットワーク媒体を介してのデータ伝送を
拠り所とするサービス拒否ユーティリティ等悪意を持っ
た攻撃アプリケーションを含むネットワーク攻略攻撃ツ
ールは、伝送データ中に特徴的な「シグネチャ(signat
ure)」または認識可能パターンを有することが多い。
シグネチャは、1つまたは複数のパケットに含まれる認
識可能なシーケンスの特定のパケットおよび/または認
識可能なデータを含みうる。シグネチャ解析がネットワ
ーク不正侵入防御システム(IPS)によって行われる
ことが多く、これは、パターンマッチングアルゴリズム
として実施することができ、他のシグネチャ認識能力な
らびにより高いレベルのアプリケーション監視ユーティ
リティを含むことができる。単純なシグネチャ解析アル
ゴリズムは、悪意のあるアプリケーションに関連するも
のと識別されている特定のストリングを探索することが
できる。ストリングがネットワークデータストリーム内
で識別されると、そのストリングを搬送する1つまたは
複数のパケットを「悪意のある」または攻略性のあるも
のと識別することができ、次いでIPSが、フレームの
識別の記録、対策の実行、または別のデータ保存または
保護対策の実行等、複数のアクションの任意の1つまた
は複数を実行することができる。 【0006】不正侵入防御システム(IPS)は、コン
ピュータシステムまたはコンピュータシステムネットワ
ークに対する攻略の識別を試みる技術を包含する。多く
の種類のIPSが存在し、それぞれは概してネットワー
クベース、ホストベース、あるいはノードベースのIP
Sのいずれかに分類される。 【0007】ネットワークベースのIPS機器は通常、
データパケットを検査して既知の攻撃シグネチャと一致
するかどうかを判定するために、ネットワーク上の戦略
的な場所に配置される専用システムである。パケットを
既知の攻撃シグネチャと比較するため、ネットワークベ
ースのIPS機器は、受動的なプロトコル解析と呼ばれ
るメカニズムを利用して、ネットワーク上のすべてのト
ラヒックを目立たないように監視、すなわち「スニッフ
ィング(sniff)」し、未処理のネットワークトラヒッ
クから見分けることのできる低レベルのイベントを検出
する。ネットワーク攻略はパターンまたは、ネットワー
クフレームの他の観察可能な特徴を識別することによっ
て検出することもできる。ネットワークベースのIPS
機器は、ネットワークフレームおよびパケットをパーズ
し、ネットワークで使用されるプロトコルに基づいて個
々のパケットを解析することによってデータパケットの
コンテンツを検査する。ネットワークベースのIPS機
器は、ネットワークトラヒックを目立たないように監視
する。すなわち、他のネットワークノードは、ネットワ
ークベースのIPS機器の存在に気付かなくてもよく、
多くの場合は気付かない。受動的な監視は通常、ネット
ワークインタフェース機器の「プロミスキャスモード」
アクセスの実施によりネットワークベースのIPS機器
によって実行される。プロミスキャスモードで動作中の
ネットワークインタフェース機器は、パケットがアドレ
ス指定された宛先ノードに関係なく、同軸ケーブル、1
00BASE−T、または他の伝送媒体等ネットワーク
媒体から直接パケットを複製する。したがって、ネット
ワークベースのIPS機器がデータを検査することなく
ネットワーク伝送媒体を介してデータを伝送する単純な
方法はないため、ネットワークベースのIPS機器は、
IPS機器が曝されるすべてのネットワークトラヒック
を取り込み解析する。疑いのあるパケット、すなわちネ
ットワークベースのIPS機器により発生を監視される
既知の攻撃シグネチャに対応する属性を有するパケット
が識別されると、これによって警告を生成し、ネットワ
ーキングの専門家がセキュリティ対策を講じることがで
きるように、IPSの管理モジュールに伝送することが
できる。ネットワークベースのIPS機器は、リアルタ
イムで動作するというさらなる利点を有するため、発生
時に攻撃を検出することが可能である。さらに、ネット
ワークベースのIPS機器は、単一ネットワークパケッ
トである「最小単位(atomically)」で識別することの
できない、疑いがあると識別された攻撃パケットの蓄積
および格納が必要な状態ベースのIPSセキュリティ対
策の実施に理想的なものである。たとえば、伝送制御プ
ロトコル(TCP)同期(SYN)フラッド攻撃は、単
一のTCP SYNパケットで識別することは不可能で
あり、概して定義された時間期間にわたり予め定義され
た閾値を超えるTCP SYNパケットのカウントを蓄
積することによって識別される。したがって、ネットワ
ークベースのIPS機器は、ローカルネットワーク媒体
を渡るこのようなTCP SYNパケットをすべて収集
し、よってかかるイベントを適宜保存しその頻度を解析
することができるため、状態ベースのシグネチャ検出の
実施に理想的なプラットフォームである。 【0008】しかし、ネットワークベースのIPS機器
はしばしば、大量の「誤検知」、すなわち誤った攻撃診
断を発生する。ネットワークベースのIPS機器による
誤検知診断は、部分的に、暗号化され、任意の数のネッ
トワークがサポートするプロトコルにフォーマットされ
うるIPSによって取り込まれるすべてのネットワーク
トラヒックの受動的な解析中に生じるエラーに起因す
る。ネットワークベースのIPSによるコンテンツスキ
ャンは、暗号化されたリンクに対しては不可能である
が、プロトコルヘッダに基づくシグネチャ解析は、リン
クが暗号化されているか否かに関わらず実行することが
できる。加えて、ネットワークベースのIPS機器は、
高速ネットワークでは効果的ではないことが多い。高速
ネットワークがより一般的になるため、リンク上のすべ
てのパケットのスニッフィングを試みるソフトウェアベ
ースネットワークベースのIPS機器の信頼性は低くな
ろう。最も重要なことに、ネットワークベースのIPS
機器は、ファイアウォール保護システムと一体化し、こ
れと共に動作しなければ、攻撃を阻止することができな
い。 【0009】ホストベースのIPSは、アプリケーショ
ンレイヤデータを監視することによって不正侵入を検出
する。ホストベースのIPSは、インテリジェントエー
ジェントを採用して、疑いのあるアクティビティについ
てコンピュータ鑑査ログを連続して調べ、ログにおける
各変化を攻撃シグネチャまたはユーザプロファイルのラ
イブラリと比較する。ホストベースのIPSはまた、予
期せぬ変化について主要なシステムファイルおよび実行
可能ファイルをポーリングすることもできる。ホストベ
ースのIPSは、IPSユーティリティが保護するよう
に割り当てられたシステム上に常駐することからそう呼
ばれる。ホストベースのIPSは通常、各種アプリケー
ションが維持するアプリケーションログを検査するアプ
リケーションレベルの監視技法を採用する。たとえば、
ホストベースのIPSは、失敗したアクセス試行および
/またはシステム構成への変更を記録するデータベース
エンジンを監視する。疑いがあると識別されたデーベー
スログから読み出されるイベントが識別されると、警告
を管理ノードに提供することができる。ホストベースの
IPSでの誤検知は、概して非常に少ない。しかし、l
og−watcher等ホストベースのIPSは概し
て、すでに行われた不正侵入の識別に限定され、かつ単
一ホストに発生したイベントに限定される。log−w
atcherはアプリケーションログの監視に頼るた
め、記録された攻撃に起因するあらゆるダメージは概し
て、IPSにより攻撃が識別されるときには発生してし
まっている。ホストベースのIPSによっては、「フッ
キング(hooking)」または「傍受」オペレーティング
システムアプリケーションプログラミングインタフェー
ス等不正侵入防御機能を実行して、不正侵入に関連する
と見られるアプリケーションレイヤアクティビティに基
づく、IPSによる防御動作の実行を促進するものもあ
る。このようにして検出される不正侵入はすでに任意の
より低いレベルのIPSにバイパスされているため、ホ
ストベースのIPSは、ネットワーク攻略に対抗する防
護の最後の砦を表す。しかし、ホストベースのシステム
は、プロトコルイベント等低レベルのネットワークイベ
ントの検出にはほとんど役に立たない。 【0010】ノードベースのIPSは、不正侵入検出お
よび/または保護技術を保護中のシステムに適用する。
ノードベースのIPS技術の例は、インライン不正侵入
検出である。ノードベースのIPSは、保護したいネッ
トワークの各ノードにおいて実施することができる。イ
ンラインIPSは、保護されたネットワークノードのプ
ロトコルスタックに組み込まれる不正侵入検出技術を含
む。インラインIPSはプロトコルスタックに組み込ま
れるため、インバウンドデータおよびアウトバウンドデ
ータの双方が通過し、インラインIPSによる監視の対
象となる。インラインIPSは、ネットワークベースの
ソリューションに固有の欠点の多くを克服する。上述し
たように、ネットワークベースのソリューションは概し
て、所与のリンク上のネットワークトラヒックをすべて
監視しようとするため、高速ネットワークを監視する場
合には効果的ではない。しかし、インライン不正侵入防
御システムは、インラインIPSがインストールされた
ノードに向けられたトラヒックしか監視しない。したが
って、攻撃パケットは、標的とする機器のプロトコルス
タックを通過しなければならないため、標的とするマシ
ン上のインラインIPSを物理的に迂回することができ
ない。攻撃パケットによるインラインIPSのあらゆる
迂回は、全体的にIPSを「論理的に」迂回することに
よって行わなければならず、すなわち、インラインIP
Sを避ける攻撃パケットは、インラインIPSがその攻
撃パケットを識別することができないか、または不適切
に識別することになるようにしなければならない。加え
て、インラインIPSは、ネットワークIPSと同様に
ホストノードには低レベルの監視および検出能力を提供
し、プロトコル解析およびシグネチャマッチング、また
は他のホストトラヒックの低レベルの監視またはフィル
タリングを提供することができる。インラインIPS技
術によって提供される最も重要な利点は、攻撃が発生す
る際に検出されることである。ホストベースのIPS
は、システムログの監視により攻撃を判断するが、イン
ライン不正侵入検出は、ネットワークトラヒックの監視
およびホストサーバに対する攻撃の一部であると判断さ
れたパケットの分離を含むため、インラインIPSが攻
撃の進行を実際に防御することが可能である。パケット
が攻撃の一部であると判断される場合、インラインIP
Sレイヤはそのパケットを破棄し、よってそのパケット
が、攻撃パケットによってダメージが生じうるプロトコ
ルスタックの上位レイヤに到達しないようにし、その効
果は、インラインIPSをホストするサーバのローカル
ファイアウォールを本質的に創り出し、インターネット
等外部ネットワークあるいはネットワーク内からの脅威
からサーバを保護することである。さらに、インライン
IPSレイヤは、インラインIPSが暗号化リンクを使
用するネットワーク上で効果的に動作するように、パケ
ットが暗号化されていないレイヤにおけるプロトコルス
タック内に組み込むことができる。加えて、インライン
IPSは、インラインIPSをホストするサーバに向け
られたインバウンドトラヒックおよびそのサーバから発
せされるアウトバウンドトラヒックそれぞれがプロトコ
ルスタックを通過しなければならないため、出て行くト
ラヒックを監視することが可能である。 【0011】インラインIPS技術の利点は数多いが、
かかるシステムの実施には欠点がある。インライン不正
侵入検出は概して、プロセッサ集約的であり、検出ユー
ティリティをホストするノードのパフォーマンスに悪影
響を及ぼしうる。加えて、インラインIPSは、多くの
誤検知攻撃診断を発生しうる。さらに、インラインIP
Sは、インラインIPSをホストするローカルサーバに
おけるトラヒックしか監視しないため、偵察攻撃ユーテ
ィリティによって行われるものなどのネットワークの系
統的なプロービングを検出することができない。 【0012】ネットワークベース、ホストベース、およ
びインラインベースのIPS技術それぞれは、上述した
それぞれの利点を有する。理想的には、不正侵入防御シ
ステムは、上記不正侵入検出戦略をすべて組み込む。加
えて、IPSは、識別可能なイベントを1つまたは複数
の管理設備に報告する1つまたは複数のイベント発生メ
カニズムを含む。イベントは、識別可能な一連のシステ
ムまたはネットワーク状況を含んでも、また単一の識別
された状況を含んでもよい。IPSはまた、解析メカニ
ズムまたはモジュールも含み、1つまたは複数のイベン
ト発生メカニズムにより生成されたイベントを解析する
ことができる。不正侵入関連イベントに関連するデータ
を格納する格納モジュールをIPS内に備えることがで
きる。検出された攻略の阻止または無効化を意図するア
クションを実行する対策メカニズムもIPS内に備える
ことができる。 【0013】セキュリティシステムの実施において無視
されてきた特定の領域は、モバイルコンピュータの領域
である。セルラ通信システムは概して固有のものであ
り、固有のアーキテクチャが過去に毀損され攻略されて
きた。さらに、MicrosoftのWindowsCE(登録
商標)およびPalm ComputingのPalmOS(登録商
標)等、いくつかのモバイル機器オペレーティングシス
テムのドキュメントは公開されている。したがって、ト
ロイの木馬型アプリケーションをこれらプラットフォー
ムに書き込むことは簡単なことである。多くの既存のア
プリケーションが、脆弱性を含むMicrosoftのWind
owsCE(登録商標)に移植されてきた。 【0014】 【発明が解決しようとする課題】トロイの木馬アプリケ
ーションがモバイル機器に一旦インストールされると、
機器中のデータの複製または破壊、モバイル機器を使用
しての他のシステムに対する攻撃の開始、または他の悪
意を持った形態での機器の使用は簡単なことである。モ
バイルコンピュータ機器のコンピュータ能力が増大し、
市販の無線機器の帯域が拡大し続ける場合、モバイル機
器を標的とし、かつ/またはモバイル機器を含むネット
ワークベースの攻撃がより一般的になる可能性が高い。 【0015】 【課題を解決するための手段】本発明の実施形態によれ
ば、モバイル通信ネットワークにおいて動作可能なモバ
イル機器であって、中央演算処理装置による検索および
実行のためにマシン読み取り可能フォーマットでデータ
を格納するメモリモジュールと、メモリモジュールに格
納される不正侵入検出アプリケーションを実行するよう
に動作可能なオペレーティングシステムと、を備えるモ
バイル機器が提供される。 【0016】本発明の別の実施形態によれば、不正侵入
検出システムを管理するネットワークのノードであっ
て、中央演算処理装置と、中央演算処理装置による検索
および実行のためにマシン読み取り可能フォーマットで
データを格納するメモリモジュールと、プロトコルドラ
イバおよび媒体アクセス制御ドライバを備えるネットワ
ークスタックを備え、不正侵入保護システム管理アプリ
ケーションを実行するように動作可能なオペレーティン
グシステムと、を備え、前記管理アプリケーションは、
ネットワーク攻略ルールを定義するテキストファイル入
力を受信し、テキストファイル入力を、攻略シグネチャ
を表すマシン読み取り可能ロジックを含むシグネチャフ
ァイルに変換するように動作可能であり、ノードは、無
線周波数リンクを介して前記シグネチャファイルをモバ
イル機器に伝送するように動作可能であるノードが提供
される。 【0017】本発明、本発明の目的および利点のより完
全な理解のために、次に添付図面と併せて行われる以下
の説明を参照する。 【0018】 【発明の実施の形態】本発明の好ましい実施形態および
本発明の利点は、同様の符号は各種図面の同様の対応す
る部分に使用される図面の図1ないし図6を参照するこ
とによって最もよく理解される。 【0019】図1に、コンピュータシステム毀損を実行
する例示的な構成を示す。図示の例は、標的とするマシ
ン30に向けられた分散システム攻撃に典型的な、簡略
化された分散不正侵入ネットワーク40構成を示す。攻
撃マシン10は、IRC「ロボット」アプリケーション
による遠隔制御等多くの技術のうちの1つによる任意の
数の攻撃エージェント20Aないし20Nによる分散ア
タックの実行を指示することができる。「ゾンビ」およ
び「攻撃エージェント」とも称される攻撃エージェント
20Aないし20Nは概して、公開使用に利用可能であ
る、または攻撃マシン10のコマンドにより分散攻撃を
起動することができるように毀損されているコンピュー
タである。多くの種類の分散攻撃を標的マシン30に対
して開始することができる。標的マシン30は、攻撃エ
ージェント20Aないし20Nによる同時攻撃からの広
範囲のダメージを受けることがあり、攻撃エージェント
20Aないし20Nはクライアント攻撃アプリケーショ
ンからも同様にダメージを受けうる。分散不正侵入ネッ
トワークは、攻撃マシン10と攻撃エージェント20A
ないし20Nの間にある攻撃に関与するさらなるマシン
の層を含んでもよい。これら中間マシンは一般に「ハン
ドラ」と呼ばれ、各ハンドラは、1つまたは複数の攻撃
エージェント20Aないし20Nを制御することができ
る。コンピュータシステム毀損の実行について図示する
構成は、例示のみを目的とするものであり、たとえば、
悪意のあるプローブパケットまたは標的とするマシン3
0の毀損を意図する他のデータを送信することにより、
標的マシン30を攻撃する単一の攻撃マシン10という
単純な多数の構成を毀損してもよい。標的マシンは、よ
り大きなネットワークに接続することができ、またそう
することが多く、攻撃マシン10による標的マシンへの
アクセスにより、ネットワーク内に通常あるコンピュー
タシステムの大きな集まりにダメージをもたらしうる。 【0020】図2には、本発明の実施形態によるネット
ワークベースと、ホストベース/ノードベース混成の不
正侵入検出技術を採用した総合的な不正侵入防御システ
ムを示す。1つまたは複数のネットワーク100は、ル
ータ45または他のデバイスを介してインターネット5
0とインタフェースすることができる。図示の例では、
2つのイーサネット(登録商標)ネットワーク55および
56がネットワーク100に含まれる。イーサネット
(登録商標)ネットワーク55は、ウェブコンテンツサー
バ270Aおよびファイル転送プロトコルコンテンツサ
ーバ270Bを含む。イーサネット(登録商標)ネットワ
ーク56は、ドメイン名サーバ270C、メールサーバ
270D、データベースサーバ270E、およびファイ
ルサーバ270Fを含む。イーサネット(登録商標)55
と56の中間に配置されるファイアウォール/プロキシ
ルータ60は、セキュリティおよびアドレス解決をネッ
トワーク56の各種システムに提供する。ネットワーク
ベースのIPS機器80および81はそれぞれ、ファイ
アウォール/プロキシルータ60の両側で実施され、イ
ーサネット(登録商標)55および56の1つまたは複数
のエレメントに対して試みられる攻撃の監視を促進し、
またファイアウォール/プロキシルータ60の侵入に成
功した成功攻撃の記録を促進する。ネットワークベース
のIPS機器80および81はそれぞれ、取り込んだネ
ットワークフレームを比較することのできる既知の攻撃
シグネチャまたはルールのデータベース80Aおよび8
1Aをそれぞれ備える(か、あるいは、接続される)。
あるいは、単一データベース(図示せず)をネットワー
ク100内の中央に配置し、ネットワークベースのIP
S機器80および81がこれにアクセスしてもよい。し
たがって、ネットワークベースのIPS機器80は、イ
ンターネット50からネットワーク100へのインバウ
ンドでイーサネット(登録商標)ネットワーク55に到来
するすべてのパケットを監視することができる。同様
に、ネットワークベースのIPS機器81は、イーサネ
ット(登録商標)ネットワーク56への送出について、フ
ァイアウォール/プロキシルータ60によって渡される
すべてのパケットを監視し比較することができる。IP
S管理ノード85もまたネットワーク100の一部であ
ることができ、ネットワーク100におけるIPSコン
ポーネントの構成および管理を促進する。 【0021】上記ネットワークベースの不正侵入防御シ
ステムの欠点を鑑みて、ホストベースとノードベース混
成の不正侵入防御システムが、安全なネットワーク10
0におけるイーサネット(登録商標)ネットワーク55お
よび56の、サーバ270Aないし270N(本明細書
では「ノード」とも称される)等各種ノードそれぞれ内
で実施することが好ましい。管理ノード85は、ネット
ワークベースのIPS機器80および81のいずれか1
つ、ならびに実施されるエージェントベースとノードベ
ース混成のIPSを有する、ネットワーク100のノー
ドのいずれかにより不正侵入イベントが検出されると、
ネットワーク100内の各ノードから警告を受信する。
加えて、各ノード270Aないし270Fはそれぞれ、
不正侵入関連イベントを保存し、不正侵入関連報告を生
成し、ローカルネットワークフレームおよび/またはパ
ケットを検査するためのシグネチャファイルを格納する
ローカルファイルシステムを採用しうる。 【0022】好ましくは、ネットワークベースのIPS
機器80および81は、ネットワーク100の関連イー
サネット(登録商標)55および56上のネットワークト
ラヒックの監視専用のエンティティである。高速ネット
ワークでの不正侵入検出を促進するために、ネットワー
クベースのIPS機器80および81は、好ましくは、
各イーサネット(登録商標)ネットワーク55および56
に到来するときにパケットを取り込むために容量の大き
なキャプチャRAMを備える。加えて、ネットワークベ
ースのIPS機器80および81はそれぞれ、ネットワ
ークトラヒックをフィルタリングするためにハードウェ
アベースのフィルタを備えることが好ましいが、ネット
ワークベースのIPS機器80および81によるIPS
フィルタリングはソフトウェアで実施してもよい。さら
に、ネットワークベースのIPS機器80および81
は、例えば、IPS管理ノード85の要求により、共通
ネットワーク上のすべての機器ではなく1つまたは複数
の特定の機器を監視するように構成してもよい。たとえ
ば、ウェブサーバ270Aにアドレス指定されたネット
ワークデータトラヒックのみを監視するようにネットワ
ークベースのIPS機器80に指示してもよい。 【0023】ホストベース/ノードベース混成の不正侵
入防御システム技術は、ネットワーク攻撃の標的となり
うるイーサネット(登録商標)ネットワーク55および5
6上のすべてのノード270Aないし270Nに実施す
ることができる。概して、各ノードは、中央演算処理装
置(CPU)と、CPUにより検索および実行されるマ
シン読み取り可能コードを格納するように動作可能なメ
モリモジュールと、を備える再プログラム可能なコンピ
ュータを備えると共に、接続されるディスプレイモニ
タ、キーボード、マウス、または別の機器等各種周辺機
器をさらに備えることができる。磁気ディスク、光ディ
スク、またはデータを格納するように動作可能な別のコ
ンポーネント等格納媒体は、メモリモジュールに接続
し、メモリモジュールによりアクセス可能であり、ロー
カル不正侵入イベントおよび不正侵入イベント報告を保
存する1つまたは複数のデータベースを提供することも
できる。たとえば、各ノードのブートアップ時にオペレ
ーティングシステムをメモリモジュールにロードするこ
とができ、オペレーティングシステムは、プロトコルス
タックのインスタンスならびに周辺ハードウェアとのイ
ンタフェース、タスクのスケジューリング、記憶割り当
て、ならびに他のシステムタスク等タスクに必要な各種
低レベルソフトウェアモジュールを含む。したがって、
本発明のホストベースとノードベース混成のIPSによ
って保護される各ノードは、磁気ハードディスク中など
ノード内に維持され、オペレーティングシステムによっ
て検索可能であり、中央演算処理装置によって実行可能
なIPSソフトウェアアプリケーションを有する。加え
て、IPSアプリケーションのインスタンスを実行する
各ノードは、ドキュメント化された攻撃のシグネチャ記
述を格納構成からフェッチし、データのパケットまたは
フレームと比較してその間の対応を検出するローカルデ
ータベースを有する。IDSサーバにおけるパケットま
たはフレーム間で対応が検出されると、各種セキュリテ
ィ手順の任意の1つまたは複数を実行することができ
る。 【0024】図2を参照して述べるIPSは、任意の数
のプラットフォームで実施することができる。本明細書
に述べるホストベース/ノードベース混成のIPSアプ
リケーションの各インスタンスは、好ましくは、主記憶
構成に格納され、中央演算処理装置上で実行され、ホス
トノードを標的とする攻撃を検出しようとするWind
owsNT(登録商標)4.0等オペレーティングシステ
ムの制御下で動作するウェブサーバ270A等、ネット
ワークノード上で実施される。図2に示す特定のネット
ワーク100は、例示のみを目的とし、任意の数のネッ
トワークサーバを含みうる。企業および他の大規模ネッ
トワークは通常、同様のサービスを提供する個々のシス
テムを多く含む。たとえば、企業ネットワークは、数百
の個々のウェブサーバ、メールサーバ、FTPサーバ、
および共通のデータサービスを提供する他のシステムを
含む。 【0025】IPSアプリケーションのインスタンスを
組み込んだノードの各オペレーティングシステムは、図
3に示すように、ネットワーク、たとえばインターネッ
トまたはイントラネットから標的ノードが受信するフレ
ームのエントリポイントを定義するネットワークプロト
コルスタック90をさらに含む。図示のネットワークス
タック90は、既知のWindowsNT(登録商標)
システムネットワークプロトコルスタックを表し、本発
明の考察および理解を容易にするために選択されたもの
である。しかし、本発明は、図示のネットワークスタッ
ク90の特定の実施に限定されず、スタック90は本発
明の理解を容易にするために述べられることを理解され
たい。ネットワークスタック90は、転送ドライバイン
タフェース(TDI)125、転送ドライバ130、プ
ロトコルドライバ135、および物理的な媒体101と
インタフェースする媒体アクセス制御(MAC)ドライ
バ145を含む。転送ドライバインタフェース125
は、転送ドライバ130とより上位のファイルシステム
ドライバとをインタフェースするように機能する。した
がって、TDI125は、ネットワークリダイレクタ
(redirector)等オペレーティングシステムドライバが
適切なプロトコルドライバ135とのセッションを起動
する、またはバインディングできるようにする。したが
って、リダイレクタは、適切なプロトコル、たとえばU
DP、TCP、NetBEUI、または他のネットワー
ク、またはトランスポートレイヤプロトコル、にアクセ
スすることができ、これによりリダイレクタがプロトコ
ルから独立したものになる。プロトコルドライバ135
は、物理的な媒体101を介してネットワークプロトコ
ルスタック90をホストするコンピュータからネットワ
ーク上の別のコンピュータまたは機器もしくは別のネッ
トワークに送信されるデータパケットを作成する。NT
ネットワークプロトコルスタックによりサポートされる
典型的なプロトコルは、NetBEUI、TCP/I
P、NWリンク、データリンク制御(DLC)、および
AppleTalkを含むが、別の転送および/または
ネットワークプロトコルも含みうる。MACドライバ1
45、たとえばイーサネット(登録商標)ドライバ、トー
クンリングドライバ、または他のネットワーキングドラ
イバは、適切なフォーマットおよび同軸ケーブルまたは
別の伝送媒体等物理的な媒体101とのインタフェース
を提供する。 【0026】ホストベースのIPSの能力は、ファイル
システムイベント、レジストリアクセス、成功したセキ
ュリティイベント、失敗したセキュリティイベント、お
よび疑いのあるプロセスのアプリケーション監視を含
む。MicrosoftIISおよびSQLサーバ等ネ
ットワークアクセスアプリケーションは、関連するプロ
セスも監視することができる。 【0027】本発明の実施形態によるインライン、ノー
ドベースの監視技術の実施により、特定のIPSホスト
における不正侵入を防御することができる。インライン
IPSは、好ましくは、ホストベース/ノードベース混
成のIPSの一部として含まれるが、任意のホストベー
スのIPSシステムから独立して実施してもよい。イン
ラインIPSは、ホストノードで受信するパケットを解
析し、ネットワークレイヤフィルタリングにより既知の
シグネチャのデータベースに対してシグネチャ解析を実
行する。 【0028】図4には、IPSアプリケーション91の
インスタンスを実行し、したがってIPSサーバとして
動作しうるネットワークノード270を示す。IPSア
プリケーション91は、本出願の対応米国出願と同時出
願された「Method,ComputerReadable Medium,and Node
for a Three-Layered Intrusion Prevention Systemfor
Detecting Network Exploits」と題する同時係属中の
米国出願に記載の三層IPSとして実施してもよく、ま
たサーバアプリケーションおよび/またはクライアント
アプリケーションを含んでもよい。ネットワークノード
270は概して、中央演算処理装置(CPU)272
と、バス(図示せず)を介してCPU272により検索
可能であり実行可能なマシン読み取り可能コードを格納
するように動作可能なメモリモジュール274と、を備
える。磁気ディスク、光ディスク、またはデータを格納
するように動作可能な別のコンポーネント等格納媒体2
76は、メモリモジュール274に接続することがで
き、同様にバスによりアクセス可能である。たとえば、
ノード270のブートアップ時にオペレーティングシス
テム275をメモリモジュール274にロードすること
ができ、オペレーティングシステム275は、プロトコ
ルスタック90のインスタンスを含むことができ、また
格納媒体276からロードされる不正侵入防御システム
アプリケーション91を有しうる。本出願の対応米国出
願と同時出願された「Method,Node andComputer Readab
le Medium for Identifying Data in a Network Exploi
t」と題する同時継続中の米国出願に記載の例示的な形
態の1つまたは複数のネットワーク攻略ルールをマシン
読み取り可能シグネチャにコンパイルし、メモリモジュ
ール274にロード可能なデータベース277内に格納
され、ネットワークフレームおよび/またはパケットの
解析を促進するために、IPSアプリケーション91の
モジュール、たとえばIPSアプリケーション91のイ
ンライン不正侵入検出モジュールの結合プロセスエンジ
ンによって検索することができる。結合プロセスエンジ
ンを含みうるインライン不正侵入検出アプリケーション
およびIPSアプリケーション91に組み込むことので
きる入出力制御レイヤの例示的な構成は、本出願の対応
米国出願と同時出願された「Method,Node and Computer
Readable Medium for Inline Intrusion Detection on
a Network Stack」と題する同時継続中の米国出願に記
載されている。 【0029】図5には、ネットワーク100のIPSの
管理ノード85として動作しうる例示的なネットワーク
ノードを示す。管理ノード85は概して、CPU272
と、バス(図示せず)を介してCPU272により検索
可能であり実行可能なマシン読み取り可能コードを格納
するように動作可能なメモリモジュール274と、を備
える。磁気ディスク、光ディスク、またはデータを格納
するように動作可能な別のコンポーネント等格納媒体2
76は、メモリモジュール274に接続することがで
き、同様にバスによりアクセス可能である。たとえば、
ノード85のブートアップ時にオペレーティングシステ
ム275をメモリモジュール274にロードすることが
でき、オペレーティングシステム275は、プロトコル
スタック90のインスタンスを含む。オペレーティング
システム275は、IPS管理アプリケーション279
を格納媒体276からフェッチし、管理アプリケーショ
ン279を、CPU272による実行が可能なメモリモ
ジュール274にロードするように動作可能である。ノ
ード85は、好ましくは、接続されたキーボード等入力
装置281と、モニタ等出力装置282とを有する。 【0030】管理ノード85の操作者は、入力装置28
1を介して1つまたは複数のテキストファイル277A
ないし277Nを入力することができる。各テキストフ
ァイル277Aないし277Nは、ネットワークベース
の攻略を定義し、IPSアプリケーション91が識別さ
れたパケットおよび/またはフレームをデータベースに
記録させる命令、識別されたパケットおよび/またはフ
レームをドロップする命令、および/またはIPSが記
述された攻撃シグネチャと関連する不正侵入関連イベン
トを評価したときに他のセキュリティ対策を実行する指
示等、攻撃シグネチャならびにIPS指示の論理的な記
述を含む。各テキストファイル277Aないし277N
は、格納媒体276上のデータベース278Aに格納
し、コンパイラ280により、データベース278Bに
格納される各マシン読み取り可能シグネチャファイル2
81Aないし281Nにコンパイルすることができる。
各マシン読み取り可能シグネチャファイル281Aない
し281Nは、関連する各テキストファイル277Aな
いし277Nに記述される攻撃シグネチャを表す二値論
理を含み、各テキストファイルに含まれる1つまたは複
数の指示を表す論理を含むことができる。管理ノード8
5の操作者は、入力装置281を介してのIPSアプリ
ケーション279のクライアントアプリケーションとの
対話を通して、データベース278Bに格納されている
1つまたは複数のマシン読み取り可能シグネチャファイ
ル(本明細書では概して「シグネチャファイル」とも称
される)をネットワーク100中の1つまたは複数のノ
ードに伝送するように、管理ノード85に周期的に指示
しうる。あるいは、シグネチャファイル281Aないし
281Nは、コンパクトディスク、磁気フレキシブルデ
ィスク、または別のポータブル格納媒体等コンピュータ
読み取り可能媒体に格納し、ネットワーク100中のノ
ード270にインストールしてもよい。アプリケーショ
ン279は、好ましくは、このようなシグネチャファイ
ル281Aないし281Nすべてまたはその1つまたは
複数のサブセットをネットワーク100中の1つまたは
複数のノードに伝送するように動作可能である。好まし
くは、IPSアプリケーション279は、ノード85の
操作者によるコマンドの入力を促進するために、出力装
置282上でグラフィカルユーザインタフェースを提供
する。 【0031】図6には、本発明のモバイル機器にサービ
ス提供しうるモバイル通信システム(MTS)300を
示す。例示的なモバイル通信システム300について、
GSM(Global System for Mobile communications)
規格の一般的なインフラストラクチャおよび名称に従っ
て説明するが、本発明はかかるシステムでの用途に限定
されず、説明は例示のみを目的とする。MTS300は
概して、1つまたは複数の交換システム(SS)305
ないし306と、モバイル通信サービスを1つまたは複
数のモバイル機器355に提供する基地局サブシステム
(BSS)340ないし341とを含む。モバイル機器
355は、モバイル端末として機能しうる、無線モデム
を備えたモバイルラップトップコンピュータ、無線個人
情報端末、ページャ、データ可能セルラ電話、または他
の無線通信装置等各種形態をとることができる。モバイ
ル機器355は、各BSS340ないし341内に含ま
れる1つまたは複数の送受信基地局(BTS)352A
ないし352Cおよび353Aないし353Cと直接通
信する。各BSS、たとえばBSS340は通常、1つ
または複数の地理的に多様なBTS、たとえばBTS3
52Aないし352Cを含む。1つのBTSグループ、
たとえばBTSグループ352ないし353の1つは、
各BSS340ないし341内に含まれ、無線ネットワ
ークコントローラとも呼ばれる基地局コントローラ(B
SC)345ないし346によって管理される。各BS
S340ないし341は、交換システム305ないし3
06内に含まれる各モバイルサービス交換センタ(MS
C)310ないし311と通信し、これによって制御さ
れる。個々のBTS352Aないし352Cおよび35
3Aないし353Cはそれぞれ、無線チャネルセットに
対して動作する無線セルを画定し、それによって1つま
たは複数のモバイル機器355にサービスを提供する。
したがって、各BSC345ないし346は、これによ
って制御される複数のBTS352Aないし352Cお
よび353Aないし353Cそれぞれに対応する複数の
セルを有する。 【0032】交換システム305ないし306はそれぞ
れ、各種ハードウェアおよびソフトウェアで実施される
複数の機能ユニットを含む。概して、各SS305ない
し306はそれぞれ、MSC310ないし311、ビジ
ターロケーションレジスタ(VLR)375ないし37
6、ホームロケーションレジスタ(HLR)370ない
し371、認証センタ381ないし382、および機器
識別レジスタ385ないし386を含む。MTS300
内で動作可能なモバイル機器355は、ホームレジスタ
と指定されるレジスタを有する。本例では、また以下に
提供する例では、HLR371がモバイル機器355の
ホームレジスタを表す。HLR371は、ホームレジス
タと指定されたHLR371を有するモバイル機器のプ
ロファイルを含むデータベースである。HLR371に
おけるモバイル機器355のプロファイル内に含まれる
情報は、各種加入者情報、たとえば国際移動局機器識別
(IMEI)、電子シリアルナンバー(ESN)、およ
び認証能力パラメータ等認証パラメータ、ならびに加入
に含まれるサービスを定義するアクセスポイント名(A
PN)等加入サービスパラメータを含む。加えて、モバ
イル機器355のHLR371プロファイルは、MTS
300内の現在、または最後にわかっているモバイルデ
バイス355のロケーションに関連するデータ、たとえ
ばロケーションエリア識別子を含む。モバイル機器35
5に関連するHLR371内に含まれるロケーションデ
ータは、動的性質のものである。すなわち、モバイル機
器355がMTS300を通して移動するにつれて変化
する。各MSC310ないし311は、2つ以上のBS
C345ないし346を制御することができ、通常はそ
うすることを理解されたい。図6では、本発明の説明を
簡明にするために、1つのみの各BSC345ないし3
46がMSC310ないし311によって制御されて示
される。 【0033】VLR375ないし376は、関連するM
SC310ないし311によって現在サービス提供され
ているすべてのモバイル機器355についての情報を含
むデータベースである。たとえば、VLR376は、M
SC311によってサービス提供されている各モバイル
機器に関連する情報を含み、したがって関連するBSC
346によって制御されるBTS353Aないし353
Cによって現在サービス提供されているすべてのモバイ
ル機器に関連する情報を含む。モバイル機器355が、
別のMSCにより制御されるBTSのセルカバレージエ
リアに入る、たとえばモバイル機器355が、BTS3
52Cによって提供されるカバレージエリアにローミン
グすると、BTS352Cに関連するSS305のVL
R375が、モバイル機器355に関連する加入者情報
について、モバイル機器355のHLR371に問い合
わせる。次いで、この情報がVLR375に転送され
る。同時に、VLR375が、モバイル機器355の新
しい位置を示すロケーション情報をHLR371に伝送
する。次いで、モバイル機器355に関連するHLRプ
ロファイルが、モバイル機器355の位置を適宜示すよ
うに更新される。このロケーション情報は概して、ロケ
ーションエリア識別子に限られる。ローミング中のモバ
イルデバイス355に関連するVLR375に伝送され
る情報により概して、たとえばモバイル機器355の認
証および加入サービスパラメータについて、HLR37
1にさらに問い合わせることなく、呼のセットアップお
よびモバイル機器355の処理が可能である。このよう
に、モバイル機器355が、呼、たとえばデータ呼を実
行するか受信しようとするときに、SS305は、モバ
イル機器355に適宜サービス提供するように、セット
アップを実行し、サービス機能を切り換えるために必要
な情報を有する。加えて、VLR375は通常、HLR
371よりも正確なモバイル機器355についての情報
を含み、たとえば、VLR375は、モバイル機器35
5にサービス提供している特定のBSCを示すBSC識
別子を含みうる。 【0034】各SS305ないし306は、各SS30
5ないし306のHLR370ないし371に接続され
る認証センタ(AUC)381ないし382も備えう
る。AUC381ないし382は、モバイル機器355
ないし356を認証するために、認証パラメータをHL
R370ないし371に提供する。AUC381ないし
382は、モバイル機器355との通信を安全にするた
めに使用される暗号鍵を生成することもできる。加え
て、SS305ないし306は、1つまたは複数のモバ
イル機器を一意に識別するために使用される国際移動局
機器識別を含む機器識別レジスタ(EIR)385ない
し386データベースも備える。EIR385ないし3
86は、MTS300におけるサービス要求するモバイ
ル機器355を検証するために使用される。 【0035】たとえばインターネットサービスを提供す
るために、GPRS(General packet radio service
s)をMTS300に備えることができる。GPRS
は、回線交換ではなくパケット交換のデータサービスで
ある。パケットデータネットワーク360に接続して無
線インターネットサービス等GPRSにアクセスするた
めに、ゲートウェイGPRSサポートノード(GGS
N)330が通常MTS300に含められる。たとえば
パケットデータプロトコル(PDP)セッションの管
理、ならびにモバイル機器の認証、識別、およびIME
I問い合わせ等管理機能の実行等、1つまたは複数のサ
ービス提供GPRSサポートノード(SGSN)320
ないし321が、モバイル機器355にGPRSサービ
スへのアクセスを提供するために、MTS300に含め
られる。したがって、GGSN330は、パケットデー
タネットワーク360へのモバイル通信システム300
のインタフェースを提供し、一方、SGSN320ない
し321は、モバイル機器355が、モバイル通信シス
テム300インフラストラクチャを介してGGSN33
0、ひいてはパケットデータネットワーク360と通信
できるようにする。 【0036】GPRS可能モバイル機器は、まず接続手
順を実行することによりパケットデータネットワークに
アクセスしてもよい。大まかに言えば、接続手順は、モ
バイル機器にサービス提供しているSGSNに接続要求
メッセージを送信することによって開始される。例示的
な本例では、モバイル機器355が現在BSS341に
より提供されているセル内にある。SGSN321は、
通信チャネルによりBSS341に接続され、したがっ
てモバイル機器355にGPRSサービスを提供する責
任を担う。次いで、SGSN321は、モバイル機器3
55を識別し認証した後に、ロケーション更新メッセー
ジをHLR371に送信する。モバイル機器の認証は、
モバイル機器のホームレジスタを有するSS306にお
ける各種モジュールのSGSN321による問い合わせ
を含んでもよい。たとえば、SGSNは、AUC382
またはEIR386に問い合わせる。これに応答して、
HLR371が加入者情報ならびにロケーション更新の
承認をSGSN321に送信する。 【0037】パケット通信に携わるために、接続された
モバイル機器355は次いで、起動手順、たとえばPD
P起動を実行しなければならない。概して、起動要求メ
ッセージがモバイル機器355からSGSN321に伝
送される。次いで、SGSN321がGGSN330に
コンタクトをとり、PDP起動を要求する。GGSN3
30は、データネットワーク360からのパケットデー
タをモバイル機器355に適宜ルーティングすることが
できるように、モバイル機器355にサービス提供して
いるSGSN321のアドレスの記録を維持する。次い
で、GGSN330は、モバイル機器が別のSGSNに
よってサービス提供されるBTSにより提供されるセル
にローミングするときは常に、たとえばモバイル機器3
55がSGSN320によってサービス提供されるBT
S352Cにより提供されるセルにローミングすると
き、SGSNアドレスを更新する。 【0038】本発明のモバイル機器は、ネットワーク3
00との通信の送受信を促進するために、ネットワーク
スタック90のインスタンスまたはその変形を維持する
ことができる。本発明の無線実施では、ネットワーク媒
体101は、モバイル機器355と、BTS352Aな
いし352Cおよび/または353Aないし353Cの
1つとで終端する無線周波数リンクを含みうる。モバイ
ル機器355は、ネットワークノード270の要素、す
なわちCPU272、メモリモジュール274を組み込
み、またモバイル機器355がIPSアプリケーション
91を実行するように動作可能なように格納媒体276
も備えることができる。上述したように、IPSアプリ
ケーション91は、クライアントおよび/またはサーバ
アプリケーションを含みうる。クライアントアプリケー
ションは、好ましくは、モバイル機器355で維持され
実行される。サーバアプリケーションは、モバイル機器
355で実行しても、あるいは例えばSS306により
ネットワーク300上で実行し、モバイル機器355と
の無線通信に携わってもよく、IPSアプリケーション
91のクライアントアプリケーションの動作を促進す
る。たとえば、モバイル機器355において不正侵入関
連イベントを検出するように、IPSアプリケーション
91が利用するマシン読み取り可能シグネチャファイル
をモバイル機器355に提供する。管理ノード85の機
能性は、SS305および306内の管理アプリケーシ
ョン279を実行するCPUを含むことにより交換シス
テムに組み込むことができる。したがって、モバイル機
器355に向けられるネットワーク攻撃を検出し阻止す
ることができる。 【0039】本発明の態様を以下に例示する。 【0040】1.モバイル通信ネットワーク(300)
において動作可能なモバイル機器(355)であって、
中央演算処理装置(272)による検索および実行のた
めにマシン読み取り可能フォーマットでデータを格納す
るメモリモジュール(274)と、該メモリモジュール
(274)に格納される不正侵入検出アプリケーション
(91)を実行するように動作可能なオペレーティング
システム(275)と、を備えるモバイル機器。 【0041】2.前記オペレーティングシステム(27
5)は、プロトコルドライバ(135)と、媒体アクセ
ス制御ドライバ(145)と、を備えるネットワークス
タック(90)をさらに備え、前記不正侵入検出アプリ
ケーション(91)は、前記プロトコルドライバ(13
5)と前記媒体アクセス制御ドライバ(145)とに結
び付けられた中間ドライバを備える、上記1記載のモバ
イル機器。 【0042】3.前記不正侵入検出アプリケーション
(91)は、結合プロセスエンジンと、入出力制御レイ
ヤと、をさらに備え、前記入出力制御レイヤは、シグネ
チャファイル(281Aないし281N)を受信し、該
シグネチャファイル(281Aないし281N)を前記
結合プロセスエンジンに渡すように動作可能であり、前
記結合プロセスエンジンは、前記シグネチャファイル
(281Aないし281N)を使用してデータパケット
を解析するように動作可能である、上記1または2記載
のモバイル機器。 【0043】4.格納媒体(276)をさらに備え、該
格納媒体(276)は、複数のシグネチャファイル(2
81Aないし281N)のデータベース(277)を維
持するように動作可能である、上記1ないし3のいずれ
か一項記載のモバイル機器。 【0044】5.前記不正侵入検出アプリケーション
(91)は、前記シグネチャファイル(281Aないし
281N)とデータパケットの間の対応を識別し、該対
応が識別されると、前記データパケットが不正侵入に関
連するものであるという判断が行われる、上記3または
4記載のモバイル機器。 【0045】6.前記シグネチャファイル(281Aな
いし281N)は、前記データパケットが不正侵入に関
連するものであると決定されると、前記プロセッサ(2
72)が実行すべきプロセスを定義する指示を含む、上
記3ないし5のいずれか一項記載のモバイル機器。 【0046】7.前記不正侵入検出アプリケーション
(91)は、前記モバイル機器(355)の不正侵入に
関連するイベントを識別するように動作可能であり、前
記モバイル機器(355)は、不正侵入に関連するイベ
ントデータを前記ネットワーク(300)の管理ノード
(85)に提供するように動作可能である、上記1ない
し6のいずれか一項記載のモバイル機器。 【0047】8.前記管理ノード(85)は、モバイル
通信ネットワーク交換システム(305ないし306)
である、上記7記載のモバイル機器。 【0048】9.不正侵入検出システムを管理するネッ
トワーク(300)のノード(85)であって、中央演
算処理装置(272)による検索および実行のためにマ
シン読み取り可能フォーマットでデータを格納するメモ
リモジュール(274)と、プロトコルドライバ(13
5)および媒体アクセス制御ドライバ(145)を備え
るネットワークスタック(90)を備え、不正侵入保護
システム管理アプリケーション(279)を実行するよ
うに動作可能なオペレーティングシステム(275)
と、を備え、前記管理アプリケーション(279)は、
ネットワーク攻略ルールを定義するテキストファイル入
力(277Aないし277N)を受信し、前記テキスト
ファイル入力(277Aないし277N)を、攻略シグ
ネチャを表すマシン読み取り可能ロジックを含むシグネ
チャファイル(281Aないし281N)に変換するよ
うに動作可能であり、前記ノード(85)は、無線周波
数リンクを介して前記シグネチャファイル(281Aな
いし281N)をモバイル機器(355)に伝送するよ
うに動作可能である、ノード。 【0049】10.前記無線周波数リンクは、モバイル
機器(355)およびモバイル通信ネットワーク(30
0)の送受信基地局(352Aないし352C、353
Aないし353C)で終端する、上記9記載のノード。
に関し、特に、不正侵入検出を提供するモバイル通信ネ
ットワークのためのノードおよびモバイル機器に関す
る。 【0002】関連出願の相互参照 本特許出願は、2001年10月31日付で出願され本
願と共に譲渡された「METHOD AND COMPUTER READABLE M
EDIUM FOR SUPPRESSING EXECUTION OF SIGNATURE FILE
DIRECTIVES DURING A NETWORK EXPLOIT」と題する同時
係属中の米国特許出願第10/003,501号、20
01年10月31日付で出願され本願と共に譲渡された
「SYSTEM AND METHOD OF DEFINING THE SECURITY CONDI
TION OFA COMPUTER SYSTEM」と題する米国特許出願第1
0/001,431号、2001年10月31日付で出
願され本願と共に譲渡された「SYSTEM AND METHOD OF D
EFINING THE SECURITY VULNERABILITIES OF A COMPUTER
SYSTEM」と題する米国特許出願第10/001,41
0号、2001年10月31日付で出願され本願と共に
譲渡された「SYSTEM AND METHOD OF DEFINING UNAUTHOR
IZED INTRUSIONSON A COMPUTER SYSTEM」と題する米国
特許出願第10/002,695号、2001年10月
31日付で出願され本願と共に譲渡された「NETWORK IN
TRUSION DETECTION SYSTEM AND METHOD」と題する米国
特許出願第10/002,423号、2001年10月
31日付で出願され本願と共に譲渡された「NODE,METHO
D AND COMPUTER READABLE MEDIUM FOR INSERTING AN IN
TRUSION PREVENTION SYSTEMINTO A NETWORK STACK」と
題する米国特許出願第10/001,445号、200
1年10月31日付で出願され本願と共に譲渡された
「METHOD,COMPUTER-READABLE MEDIUM,AND NODE FOR DET
ECTING EXPLOITS BASED ON AN INBOUND SIGNATURE OF T
HE EXPLOIT AND AN OUTBOUND SIGNATURE IN RESPONSE T
HERETO」と題する米国特許出願第10/003,815
号、2001年10月31日付で出願され本願と共に譲
渡された「NETWORK,METHOD AND COMPUTER READABLE MED
IUM FOR DISTRIBUTED SECURITY UPDATES TO SELECT NOD
ES ON A NETWORK」と題する米国特許出願第10/00
1,446号、2001年10月31日付で出願され本
願と共に譲渡された「METHOD,COMPUTER READABLE MEDIU
M,AND NODE FOR A THREE-LAYERED INTRUSION PREVENTIO
N SYSTEM FOR DETECTING NETWORK EXPLOITS」と題する
米国特許出願第10/003,747号、2001年1
0月31日付で出願され本願と共に譲渡された「SYSTEM
AND METHOD OF AN OS-INTEGRATED INTRUSION DETECTIO
N AND ANTI-VIRUS SYSTEM」と題する米国特許出願第1
0/002,072号、2001年10月31日付で出
願され本願と共に譲渡された「METHOD,NODE,AND COMPUT
ER READABLE MEDIUM FOR IDENTIFYING DATA IN A NETWO
RK EXPLOIT」と題する米国特許出願第10/002,6
97号、2001年10月31日付で出願され本願と共
に譲渡された「NODE,METHOD AND COMPUTER READABLE ME
DIUMFOR OPTIMIZING PERFORMANCE OF SIGNATURE RULE M
ATCHING IN A NETWORK」と題する米国特許出願第10/
003,820号、2001年10月31日付で出願さ
れ本願と共に譲渡された「METHOD,NODE AND COMPUTER R
EADABLE MEDIUM FORPERFORMING MULTIPLE SIGNATURE MA
TCHING IN AN INTRUSION PREVENTION SYSTEM」と題する
米国特許出願第10/003,819号、2001年1
0月31日付で出願され本願と共に譲渡された「USER I
NTERFACE FOR PRESENTING DATA FORAN INTRUSION PROTE
CTION SYSTEM」と題する米国特許出願第10/002,
694号、2001年10月31日付で出願され本願と
共に譲渡された「METHOD AND COMPUTER-READABLE MEDIU
M FOR INTEGRATING A DECODE ENGINE WITH AN INTRUSIO
N DETECTION SYSTEM」と題する米国特許出願第10/0
03,510号、2001年10月31日付で出願され
本願と共に譲渡された「SYSTEM AND METHODOF GRAPHICA
LLY DISPLAYING DATA FOR AN INTRUSION PROTECTION SY
STEM」と題する米国特許出願第10/002,064
号、および2001年10月31日付で出願され本願と
共に譲渡された「SYSTEM AND METHOD OF GRAPHICALLY C
ORRELATING DATA FOR AN INTRUSION PROTECTION SYSTE
M」と題する米国特許出願第10/001,350号に
関連する。 【0003】 【従来の技術】サービス拒否(DoS)攻撃ユーティリ
ティ等ネットワーク不正攻撃ツールはますます精巧にな
ってきており、また技術の進展により実行が簡単になっ
てきている。比較的単純な攻撃者は、1つまたは複数の
標的とする設備に向けたコンピュータシステム毀損(com
promises)をアレンジする、またはこれに関わることが
できる。ネットワークシステム攻撃(本明細書では不正
侵入とも称する)は、コンピュータまたはコンピュータ
ネットワークの不正また悪意を持った使用であり、1つ
または複数の選ばれた標的に対する連係攻撃において数
百または数千ものプロテクトされていない、あるいは毀
損されたインターネットノードが一緒に関わる可能性が
ある。 【0004】クライアント/サーバモデルに基づくネッ
トワーク攻撃ツールは、標的としたネットワークまたは
機器に対するネットワーク攻撃の実行に好ましいメカニ
ズムになった。セキュリティに欠陥のあるネットワーク
における大容量マシンは、分散攻撃の踏み台として攻撃
者により望まれることが多い。大学のサーバは通常、高
い接続性および大容量を有するが、比較的平凡なセキュ
リティを有することを特徴とする。このようなネットワ
ークはまた、ネットワーク攻撃への関与に対してネット
ワークをさらに脆弱にする経験の浅いまたは仕事の負荷
が重過ぎるネットワーク管理者を有することが多い。 【0005】ネットワーク媒体を介してのデータ伝送を
拠り所とするサービス拒否ユーティリティ等悪意を持っ
た攻撃アプリケーションを含むネットワーク攻略攻撃ツ
ールは、伝送データ中に特徴的な「シグネチャ(signat
ure)」または認識可能パターンを有することが多い。
シグネチャは、1つまたは複数のパケットに含まれる認
識可能なシーケンスの特定のパケットおよび/または認
識可能なデータを含みうる。シグネチャ解析がネットワ
ーク不正侵入防御システム(IPS)によって行われる
ことが多く、これは、パターンマッチングアルゴリズム
として実施することができ、他のシグネチャ認識能力な
らびにより高いレベルのアプリケーション監視ユーティ
リティを含むことができる。単純なシグネチャ解析アル
ゴリズムは、悪意のあるアプリケーションに関連するも
のと識別されている特定のストリングを探索することが
できる。ストリングがネットワークデータストリーム内
で識別されると、そのストリングを搬送する1つまたは
複数のパケットを「悪意のある」または攻略性のあるも
のと識別することができ、次いでIPSが、フレームの
識別の記録、対策の実行、または別のデータ保存または
保護対策の実行等、複数のアクションの任意の1つまた
は複数を実行することができる。 【0006】不正侵入防御システム(IPS)は、コン
ピュータシステムまたはコンピュータシステムネットワ
ークに対する攻略の識別を試みる技術を包含する。多く
の種類のIPSが存在し、それぞれは概してネットワー
クベース、ホストベース、あるいはノードベースのIP
Sのいずれかに分類される。 【0007】ネットワークベースのIPS機器は通常、
データパケットを検査して既知の攻撃シグネチャと一致
するかどうかを判定するために、ネットワーク上の戦略
的な場所に配置される専用システムである。パケットを
既知の攻撃シグネチャと比較するため、ネットワークベ
ースのIPS機器は、受動的なプロトコル解析と呼ばれ
るメカニズムを利用して、ネットワーク上のすべてのト
ラヒックを目立たないように監視、すなわち「スニッフ
ィング(sniff)」し、未処理のネットワークトラヒッ
クから見分けることのできる低レベルのイベントを検出
する。ネットワーク攻略はパターンまたは、ネットワー
クフレームの他の観察可能な特徴を識別することによっ
て検出することもできる。ネットワークベースのIPS
機器は、ネットワークフレームおよびパケットをパーズ
し、ネットワークで使用されるプロトコルに基づいて個
々のパケットを解析することによってデータパケットの
コンテンツを検査する。ネットワークベースのIPS機
器は、ネットワークトラヒックを目立たないように監視
する。すなわち、他のネットワークノードは、ネットワ
ークベースのIPS機器の存在に気付かなくてもよく、
多くの場合は気付かない。受動的な監視は通常、ネット
ワークインタフェース機器の「プロミスキャスモード」
アクセスの実施によりネットワークベースのIPS機器
によって実行される。プロミスキャスモードで動作中の
ネットワークインタフェース機器は、パケットがアドレ
ス指定された宛先ノードに関係なく、同軸ケーブル、1
00BASE−T、または他の伝送媒体等ネットワーク
媒体から直接パケットを複製する。したがって、ネット
ワークベースのIPS機器がデータを検査することなく
ネットワーク伝送媒体を介してデータを伝送する単純な
方法はないため、ネットワークベースのIPS機器は、
IPS機器が曝されるすべてのネットワークトラヒック
を取り込み解析する。疑いのあるパケット、すなわちネ
ットワークベースのIPS機器により発生を監視される
既知の攻撃シグネチャに対応する属性を有するパケット
が識別されると、これによって警告を生成し、ネットワ
ーキングの専門家がセキュリティ対策を講じることがで
きるように、IPSの管理モジュールに伝送することが
できる。ネットワークベースのIPS機器は、リアルタ
イムで動作するというさらなる利点を有するため、発生
時に攻撃を検出することが可能である。さらに、ネット
ワークベースのIPS機器は、単一ネットワークパケッ
トである「最小単位(atomically)」で識別することの
できない、疑いがあると識別された攻撃パケットの蓄積
および格納が必要な状態ベースのIPSセキュリティ対
策の実施に理想的なものである。たとえば、伝送制御プ
ロトコル(TCP)同期(SYN)フラッド攻撃は、単
一のTCP SYNパケットで識別することは不可能で
あり、概して定義された時間期間にわたり予め定義され
た閾値を超えるTCP SYNパケットのカウントを蓄
積することによって識別される。したがって、ネットワ
ークベースのIPS機器は、ローカルネットワーク媒体
を渡るこのようなTCP SYNパケットをすべて収集
し、よってかかるイベントを適宜保存しその頻度を解析
することができるため、状態ベースのシグネチャ検出の
実施に理想的なプラットフォームである。 【0008】しかし、ネットワークベースのIPS機器
はしばしば、大量の「誤検知」、すなわち誤った攻撃診
断を発生する。ネットワークベースのIPS機器による
誤検知診断は、部分的に、暗号化され、任意の数のネッ
トワークがサポートするプロトコルにフォーマットされ
うるIPSによって取り込まれるすべてのネットワーク
トラヒックの受動的な解析中に生じるエラーに起因す
る。ネットワークベースのIPSによるコンテンツスキ
ャンは、暗号化されたリンクに対しては不可能である
が、プロトコルヘッダに基づくシグネチャ解析は、リン
クが暗号化されているか否かに関わらず実行することが
できる。加えて、ネットワークベースのIPS機器は、
高速ネットワークでは効果的ではないことが多い。高速
ネットワークがより一般的になるため、リンク上のすべ
てのパケットのスニッフィングを試みるソフトウェアベ
ースネットワークベースのIPS機器の信頼性は低くな
ろう。最も重要なことに、ネットワークベースのIPS
機器は、ファイアウォール保護システムと一体化し、こ
れと共に動作しなければ、攻撃を阻止することができな
い。 【0009】ホストベースのIPSは、アプリケーショ
ンレイヤデータを監視することによって不正侵入を検出
する。ホストベースのIPSは、インテリジェントエー
ジェントを採用して、疑いのあるアクティビティについ
てコンピュータ鑑査ログを連続して調べ、ログにおける
各変化を攻撃シグネチャまたはユーザプロファイルのラ
イブラリと比較する。ホストベースのIPSはまた、予
期せぬ変化について主要なシステムファイルおよび実行
可能ファイルをポーリングすることもできる。ホストベ
ースのIPSは、IPSユーティリティが保護するよう
に割り当てられたシステム上に常駐することからそう呼
ばれる。ホストベースのIPSは通常、各種アプリケー
ションが維持するアプリケーションログを検査するアプ
リケーションレベルの監視技法を採用する。たとえば、
ホストベースのIPSは、失敗したアクセス試行および
/またはシステム構成への変更を記録するデータベース
エンジンを監視する。疑いがあると識別されたデーベー
スログから読み出されるイベントが識別されると、警告
を管理ノードに提供することができる。ホストベースの
IPSでの誤検知は、概して非常に少ない。しかし、l
og−watcher等ホストベースのIPSは概し
て、すでに行われた不正侵入の識別に限定され、かつ単
一ホストに発生したイベントに限定される。log−w
atcherはアプリケーションログの監視に頼るた
め、記録された攻撃に起因するあらゆるダメージは概し
て、IPSにより攻撃が識別されるときには発生してし
まっている。ホストベースのIPSによっては、「フッ
キング(hooking)」または「傍受」オペレーティング
システムアプリケーションプログラミングインタフェー
ス等不正侵入防御機能を実行して、不正侵入に関連する
と見られるアプリケーションレイヤアクティビティに基
づく、IPSによる防御動作の実行を促進するものもあ
る。このようにして検出される不正侵入はすでに任意の
より低いレベルのIPSにバイパスされているため、ホ
ストベースのIPSは、ネットワーク攻略に対抗する防
護の最後の砦を表す。しかし、ホストベースのシステム
は、プロトコルイベント等低レベルのネットワークイベ
ントの検出にはほとんど役に立たない。 【0010】ノードベースのIPSは、不正侵入検出お
よび/または保護技術を保護中のシステムに適用する。
ノードベースのIPS技術の例は、インライン不正侵入
検出である。ノードベースのIPSは、保護したいネッ
トワークの各ノードにおいて実施することができる。イ
ンラインIPSは、保護されたネットワークノードのプ
ロトコルスタックに組み込まれる不正侵入検出技術を含
む。インラインIPSはプロトコルスタックに組み込ま
れるため、インバウンドデータおよびアウトバウンドデ
ータの双方が通過し、インラインIPSによる監視の対
象となる。インラインIPSは、ネットワークベースの
ソリューションに固有の欠点の多くを克服する。上述し
たように、ネットワークベースのソリューションは概し
て、所与のリンク上のネットワークトラヒックをすべて
監視しようとするため、高速ネットワークを監視する場
合には効果的ではない。しかし、インライン不正侵入防
御システムは、インラインIPSがインストールされた
ノードに向けられたトラヒックしか監視しない。したが
って、攻撃パケットは、標的とする機器のプロトコルス
タックを通過しなければならないため、標的とするマシ
ン上のインラインIPSを物理的に迂回することができ
ない。攻撃パケットによるインラインIPSのあらゆる
迂回は、全体的にIPSを「論理的に」迂回することに
よって行わなければならず、すなわち、インラインIP
Sを避ける攻撃パケットは、インラインIPSがその攻
撃パケットを識別することができないか、または不適切
に識別することになるようにしなければならない。加え
て、インラインIPSは、ネットワークIPSと同様に
ホストノードには低レベルの監視および検出能力を提供
し、プロトコル解析およびシグネチャマッチング、また
は他のホストトラヒックの低レベルの監視またはフィル
タリングを提供することができる。インラインIPS技
術によって提供される最も重要な利点は、攻撃が発生す
る際に検出されることである。ホストベースのIPS
は、システムログの監視により攻撃を判断するが、イン
ライン不正侵入検出は、ネットワークトラヒックの監視
およびホストサーバに対する攻撃の一部であると判断さ
れたパケットの分離を含むため、インラインIPSが攻
撃の進行を実際に防御することが可能である。パケット
が攻撃の一部であると判断される場合、インラインIP
Sレイヤはそのパケットを破棄し、よってそのパケット
が、攻撃パケットによってダメージが生じうるプロトコ
ルスタックの上位レイヤに到達しないようにし、その効
果は、インラインIPSをホストするサーバのローカル
ファイアウォールを本質的に創り出し、インターネット
等外部ネットワークあるいはネットワーク内からの脅威
からサーバを保護することである。さらに、インライン
IPSレイヤは、インラインIPSが暗号化リンクを使
用するネットワーク上で効果的に動作するように、パケ
ットが暗号化されていないレイヤにおけるプロトコルス
タック内に組み込むことができる。加えて、インライン
IPSは、インラインIPSをホストするサーバに向け
られたインバウンドトラヒックおよびそのサーバから発
せされるアウトバウンドトラヒックそれぞれがプロトコ
ルスタックを通過しなければならないため、出て行くト
ラヒックを監視することが可能である。 【0011】インラインIPS技術の利点は数多いが、
かかるシステムの実施には欠点がある。インライン不正
侵入検出は概して、プロセッサ集約的であり、検出ユー
ティリティをホストするノードのパフォーマンスに悪影
響を及ぼしうる。加えて、インラインIPSは、多くの
誤検知攻撃診断を発生しうる。さらに、インラインIP
Sは、インラインIPSをホストするローカルサーバに
おけるトラヒックしか監視しないため、偵察攻撃ユーテ
ィリティによって行われるものなどのネットワークの系
統的なプロービングを検出することができない。 【0012】ネットワークベース、ホストベース、およ
びインラインベースのIPS技術それぞれは、上述した
それぞれの利点を有する。理想的には、不正侵入防御シ
ステムは、上記不正侵入検出戦略をすべて組み込む。加
えて、IPSは、識別可能なイベントを1つまたは複数
の管理設備に報告する1つまたは複数のイベント発生メ
カニズムを含む。イベントは、識別可能な一連のシステ
ムまたはネットワーク状況を含んでも、また単一の識別
された状況を含んでもよい。IPSはまた、解析メカニ
ズムまたはモジュールも含み、1つまたは複数のイベン
ト発生メカニズムにより生成されたイベントを解析する
ことができる。不正侵入関連イベントに関連するデータ
を格納する格納モジュールをIPS内に備えることがで
きる。検出された攻略の阻止または無効化を意図するア
クションを実行する対策メカニズムもIPS内に備える
ことができる。 【0013】セキュリティシステムの実施において無視
されてきた特定の領域は、モバイルコンピュータの領域
である。セルラ通信システムは概して固有のものであ
り、固有のアーキテクチャが過去に毀損され攻略されて
きた。さらに、MicrosoftのWindowsCE(登録
商標)およびPalm ComputingのPalmOS(登録商
標)等、いくつかのモバイル機器オペレーティングシス
テムのドキュメントは公開されている。したがって、ト
ロイの木馬型アプリケーションをこれらプラットフォー
ムに書き込むことは簡単なことである。多くの既存のア
プリケーションが、脆弱性を含むMicrosoftのWind
owsCE(登録商標)に移植されてきた。 【0014】 【発明が解決しようとする課題】トロイの木馬アプリケ
ーションがモバイル機器に一旦インストールされると、
機器中のデータの複製または破壊、モバイル機器を使用
しての他のシステムに対する攻撃の開始、または他の悪
意を持った形態での機器の使用は簡単なことである。モ
バイルコンピュータ機器のコンピュータ能力が増大し、
市販の無線機器の帯域が拡大し続ける場合、モバイル機
器を標的とし、かつ/またはモバイル機器を含むネット
ワークベースの攻撃がより一般的になる可能性が高い。 【0015】 【課題を解決するための手段】本発明の実施形態によれ
ば、モバイル通信ネットワークにおいて動作可能なモバ
イル機器であって、中央演算処理装置による検索および
実行のためにマシン読み取り可能フォーマットでデータ
を格納するメモリモジュールと、メモリモジュールに格
納される不正侵入検出アプリケーションを実行するよう
に動作可能なオペレーティングシステムと、を備えるモ
バイル機器が提供される。 【0016】本発明の別の実施形態によれば、不正侵入
検出システムを管理するネットワークのノードであっ
て、中央演算処理装置と、中央演算処理装置による検索
および実行のためにマシン読み取り可能フォーマットで
データを格納するメモリモジュールと、プロトコルドラ
イバおよび媒体アクセス制御ドライバを備えるネットワ
ークスタックを備え、不正侵入保護システム管理アプリ
ケーションを実行するように動作可能なオペレーティン
グシステムと、を備え、前記管理アプリケーションは、
ネットワーク攻略ルールを定義するテキストファイル入
力を受信し、テキストファイル入力を、攻略シグネチャ
を表すマシン読み取り可能ロジックを含むシグネチャフ
ァイルに変換するように動作可能であり、ノードは、無
線周波数リンクを介して前記シグネチャファイルをモバ
イル機器に伝送するように動作可能であるノードが提供
される。 【0017】本発明、本発明の目的および利点のより完
全な理解のために、次に添付図面と併せて行われる以下
の説明を参照する。 【0018】 【発明の実施の形態】本発明の好ましい実施形態および
本発明の利点は、同様の符号は各種図面の同様の対応す
る部分に使用される図面の図1ないし図6を参照するこ
とによって最もよく理解される。 【0019】図1に、コンピュータシステム毀損を実行
する例示的な構成を示す。図示の例は、標的とするマシ
ン30に向けられた分散システム攻撃に典型的な、簡略
化された分散不正侵入ネットワーク40構成を示す。攻
撃マシン10は、IRC「ロボット」アプリケーション
による遠隔制御等多くの技術のうちの1つによる任意の
数の攻撃エージェント20Aないし20Nによる分散ア
タックの実行を指示することができる。「ゾンビ」およ
び「攻撃エージェント」とも称される攻撃エージェント
20Aないし20Nは概して、公開使用に利用可能であ
る、または攻撃マシン10のコマンドにより分散攻撃を
起動することができるように毀損されているコンピュー
タである。多くの種類の分散攻撃を標的マシン30に対
して開始することができる。標的マシン30は、攻撃エ
ージェント20Aないし20Nによる同時攻撃からの広
範囲のダメージを受けることがあり、攻撃エージェント
20Aないし20Nはクライアント攻撃アプリケーショ
ンからも同様にダメージを受けうる。分散不正侵入ネッ
トワークは、攻撃マシン10と攻撃エージェント20A
ないし20Nの間にある攻撃に関与するさらなるマシン
の層を含んでもよい。これら中間マシンは一般に「ハン
ドラ」と呼ばれ、各ハンドラは、1つまたは複数の攻撃
エージェント20Aないし20Nを制御することができ
る。コンピュータシステム毀損の実行について図示する
構成は、例示のみを目的とするものであり、たとえば、
悪意のあるプローブパケットまたは標的とするマシン3
0の毀損を意図する他のデータを送信することにより、
標的マシン30を攻撃する単一の攻撃マシン10という
単純な多数の構成を毀損してもよい。標的マシンは、よ
り大きなネットワークに接続することができ、またそう
することが多く、攻撃マシン10による標的マシンへの
アクセスにより、ネットワーク内に通常あるコンピュー
タシステムの大きな集まりにダメージをもたらしうる。 【0020】図2には、本発明の実施形態によるネット
ワークベースと、ホストベース/ノードベース混成の不
正侵入検出技術を採用した総合的な不正侵入防御システ
ムを示す。1つまたは複数のネットワーク100は、ル
ータ45または他のデバイスを介してインターネット5
0とインタフェースすることができる。図示の例では、
2つのイーサネット(登録商標)ネットワーク55および
56がネットワーク100に含まれる。イーサネット
(登録商標)ネットワーク55は、ウェブコンテンツサー
バ270Aおよびファイル転送プロトコルコンテンツサ
ーバ270Bを含む。イーサネット(登録商標)ネットワ
ーク56は、ドメイン名サーバ270C、メールサーバ
270D、データベースサーバ270E、およびファイ
ルサーバ270Fを含む。イーサネット(登録商標)55
と56の中間に配置されるファイアウォール/プロキシ
ルータ60は、セキュリティおよびアドレス解決をネッ
トワーク56の各種システムに提供する。ネットワーク
ベースのIPS機器80および81はそれぞれ、ファイ
アウォール/プロキシルータ60の両側で実施され、イ
ーサネット(登録商標)55および56の1つまたは複数
のエレメントに対して試みられる攻撃の監視を促進し、
またファイアウォール/プロキシルータ60の侵入に成
功した成功攻撃の記録を促進する。ネットワークベース
のIPS機器80および81はそれぞれ、取り込んだネ
ットワークフレームを比較することのできる既知の攻撃
シグネチャまたはルールのデータベース80Aおよび8
1Aをそれぞれ備える(か、あるいは、接続される)。
あるいは、単一データベース(図示せず)をネットワー
ク100内の中央に配置し、ネットワークベースのIP
S機器80および81がこれにアクセスしてもよい。し
たがって、ネットワークベースのIPS機器80は、イ
ンターネット50からネットワーク100へのインバウ
ンドでイーサネット(登録商標)ネットワーク55に到来
するすべてのパケットを監視することができる。同様
に、ネットワークベースのIPS機器81は、イーサネ
ット(登録商標)ネットワーク56への送出について、フ
ァイアウォール/プロキシルータ60によって渡される
すべてのパケットを監視し比較することができる。IP
S管理ノード85もまたネットワーク100の一部であ
ることができ、ネットワーク100におけるIPSコン
ポーネントの構成および管理を促進する。 【0021】上記ネットワークベースの不正侵入防御シ
ステムの欠点を鑑みて、ホストベースとノードベース混
成の不正侵入防御システムが、安全なネットワーク10
0におけるイーサネット(登録商標)ネットワーク55お
よび56の、サーバ270Aないし270N(本明細書
では「ノード」とも称される)等各種ノードそれぞれ内
で実施することが好ましい。管理ノード85は、ネット
ワークベースのIPS機器80および81のいずれか1
つ、ならびに実施されるエージェントベースとノードベ
ース混成のIPSを有する、ネットワーク100のノー
ドのいずれかにより不正侵入イベントが検出されると、
ネットワーク100内の各ノードから警告を受信する。
加えて、各ノード270Aないし270Fはそれぞれ、
不正侵入関連イベントを保存し、不正侵入関連報告を生
成し、ローカルネットワークフレームおよび/またはパ
ケットを検査するためのシグネチャファイルを格納する
ローカルファイルシステムを採用しうる。 【0022】好ましくは、ネットワークベースのIPS
機器80および81は、ネットワーク100の関連イー
サネット(登録商標)55および56上のネットワークト
ラヒックの監視専用のエンティティである。高速ネット
ワークでの不正侵入検出を促進するために、ネットワー
クベースのIPS機器80および81は、好ましくは、
各イーサネット(登録商標)ネットワーク55および56
に到来するときにパケットを取り込むために容量の大き
なキャプチャRAMを備える。加えて、ネットワークベ
ースのIPS機器80および81はそれぞれ、ネットワ
ークトラヒックをフィルタリングするためにハードウェ
アベースのフィルタを備えることが好ましいが、ネット
ワークベースのIPS機器80および81によるIPS
フィルタリングはソフトウェアで実施してもよい。さら
に、ネットワークベースのIPS機器80および81
は、例えば、IPS管理ノード85の要求により、共通
ネットワーク上のすべての機器ではなく1つまたは複数
の特定の機器を監視するように構成してもよい。たとえ
ば、ウェブサーバ270Aにアドレス指定されたネット
ワークデータトラヒックのみを監視するようにネットワ
ークベースのIPS機器80に指示してもよい。 【0023】ホストベース/ノードベース混成の不正侵
入防御システム技術は、ネットワーク攻撃の標的となり
うるイーサネット(登録商標)ネットワーク55および5
6上のすべてのノード270Aないし270Nに実施す
ることができる。概して、各ノードは、中央演算処理装
置(CPU)と、CPUにより検索および実行されるマ
シン読み取り可能コードを格納するように動作可能なメ
モリモジュールと、を備える再プログラム可能なコンピ
ュータを備えると共に、接続されるディスプレイモニ
タ、キーボード、マウス、または別の機器等各種周辺機
器をさらに備えることができる。磁気ディスク、光ディ
スク、またはデータを格納するように動作可能な別のコ
ンポーネント等格納媒体は、メモリモジュールに接続
し、メモリモジュールによりアクセス可能であり、ロー
カル不正侵入イベントおよび不正侵入イベント報告を保
存する1つまたは複数のデータベースを提供することも
できる。たとえば、各ノードのブートアップ時にオペレ
ーティングシステムをメモリモジュールにロードするこ
とができ、オペレーティングシステムは、プロトコルス
タックのインスタンスならびに周辺ハードウェアとのイ
ンタフェース、タスクのスケジューリング、記憶割り当
て、ならびに他のシステムタスク等タスクに必要な各種
低レベルソフトウェアモジュールを含む。したがって、
本発明のホストベースとノードベース混成のIPSによ
って保護される各ノードは、磁気ハードディスク中など
ノード内に維持され、オペレーティングシステムによっ
て検索可能であり、中央演算処理装置によって実行可能
なIPSソフトウェアアプリケーションを有する。加え
て、IPSアプリケーションのインスタンスを実行する
各ノードは、ドキュメント化された攻撃のシグネチャ記
述を格納構成からフェッチし、データのパケットまたは
フレームと比較してその間の対応を検出するローカルデ
ータベースを有する。IDSサーバにおけるパケットま
たはフレーム間で対応が検出されると、各種セキュリテ
ィ手順の任意の1つまたは複数を実行することができ
る。 【0024】図2を参照して述べるIPSは、任意の数
のプラットフォームで実施することができる。本明細書
に述べるホストベース/ノードベース混成のIPSアプ
リケーションの各インスタンスは、好ましくは、主記憶
構成に格納され、中央演算処理装置上で実行され、ホス
トノードを標的とする攻撃を検出しようとするWind
owsNT(登録商標)4.0等オペレーティングシステ
ムの制御下で動作するウェブサーバ270A等、ネット
ワークノード上で実施される。図2に示す特定のネット
ワーク100は、例示のみを目的とし、任意の数のネッ
トワークサーバを含みうる。企業および他の大規模ネッ
トワークは通常、同様のサービスを提供する個々のシス
テムを多く含む。たとえば、企業ネットワークは、数百
の個々のウェブサーバ、メールサーバ、FTPサーバ、
および共通のデータサービスを提供する他のシステムを
含む。 【0025】IPSアプリケーションのインスタンスを
組み込んだノードの各オペレーティングシステムは、図
3に示すように、ネットワーク、たとえばインターネッ
トまたはイントラネットから標的ノードが受信するフレ
ームのエントリポイントを定義するネットワークプロト
コルスタック90をさらに含む。図示のネットワークス
タック90は、既知のWindowsNT(登録商標)
システムネットワークプロトコルスタックを表し、本発
明の考察および理解を容易にするために選択されたもの
である。しかし、本発明は、図示のネットワークスタッ
ク90の特定の実施に限定されず、スタック90は本発
明の理解を容易にするために述べられることを理解され
たい。ネットワークスタック90は、転送ドライバイン
タフェース(TDI)125、転送ドライバ130、プ
ロトコルドライバ135、および物理的な媒体101と
インタフェースする媒体アクセス制御(MAC)ドライ
バ145を含む。転送ドライバインタフェース125
は、転送ドライバ130とより上位のファイルシステム
ドライバとをインタフェースするように機能する。した
がって、TDI125は、ネットワークリダイレクタ
(redirector)等オペレーティングシステムドライバが
適切なプロトコルドライバ135とのセッションを起動
する、またはバインディングできるようにする。したが
って、リダイレクタは、適切なプロトコル、たとえばU
DP、TCP、NetBEUI、または他のネットワー
ク、またはトランスポートレイヤプロトコル、にアクセ
スすることができ、これによりリダイレクタがプロトコ
ルから独立したものになる。プロトコルドライバ135
は、物理的な媒体101を介してネットワークプロトコ
ルスタック90をホストするコンピュータからネットワ
ーク上の別のコンピュータまたは機器もしくは別のネッ
トワークに送信されるデータパケットを作成する。NT
ネットワークプロトコルスタックによりサポートされる
典型的なプロトコルは、NetBEUI、TCP/I
P、NWリンク、データリンク制御(DLC)、および
AppleTalkを含むが、別の転送および/または
ネットワークプロトコルも含みうる。MACドライバ1
45、たとえばイーサネット(登録商標)ドライバ、トー
クンリングドライバ、または他のネットワーキングドラ
イバは、適切なフォーマットおよび同軸ケーブルまたは
別の伝送媒体等物理的な媒体101とのインタフェース
を提供する。 【0026】ホストベースのIPSの能力は、ファイル
システムイベント、レジストリアクセス、成功したセキ
ュリティイベント、失敗したセキュリティイベント、お
よび疑いのあるプロセスのアプリケーション監視を含
む。MicrosoftIISおよびSQLサーバ等ネ
ットワークアクセスアプリケーションは、関連するプロ
セスも監視することができる。 【0027】本発明の実施形態によるインライン、ノー
ドベースの監視技術の実施により、特定のIPSホスト
における不正侵入を防御することができる。インライン
IPSは、好ましくは、ホストベース/ノードベース混
成のIPSの一部として含まれるが、任意のホストベー
スのIPSシステムから独立して実施してもよい。イン
ラインIPSは、ホストノードで受信するパケットを解
析し、ネットワークレイヤフィルタリングにより既知の
シグネチャのデータベースに対してシグネチャ解析を実
行する。 【0028】図4には、IPSアプリケーション91の
インスタンスを実行し、したがってIPSサーバとして
動作しうるネットワークノード270を示す。IPSア
プリケーション91は、本出願の対応米国出願と同時出
願された「Method,ComputerReadable Medium,and Node
for a Three-Layered Intrusion Prevention Systemfor
Detecting Network Exploits」と題する同時係属中の
米国出願に記載の三層IPSとして実施してもよく、ま
たサーバアプリケーションおよび/またはクライアント
アプリケーションを含んでもよい。ネットワークノード
270は概して、中央演算処理装置(CPU)272
と、バス(図示せず)を介してCPU272により検索
可能であり実行可能なマシン読み取り可能コードを格納
するように動作可能なメモリモジュール274と、を備
える。磁気ディスク、光ディスク、またはデータを格納
するように動作可能な別のコンポーネント等格納媒体2
76は、メモリモジュール274に接続することがで
き、同様にバスによりアクセス可能である。たとえば、
ノード270のブートアップ時にオペレーティングシス
テム275をメモリモジュール274にロードすること
ができ、オペレーティングシステム275は、プロトコ
ルスタック90のインスタンスを含むことができ、また
格納媒体276からロードされる不正侵入防御システム
アプリケーション91を有しうる。本出願の対応米国出
願と同時出願された「Method,Node andComputer Readab
le Medium for Identifying Data in a Network Exploi
t」と題する同時継続中の米国出願に記載の例示的な形
態の1つまたは複数のネットワーク攻略ルールをマシン
読み取り可能シグネチャにコンパイルし、メモリモジュ
ール274にロード可能なデータベース277内に格納
され、ネットワークフレームおよび/またはパケットの
解析を促進するために、IPSアプリケーション91の
モジュール、たとえばIPSアプリケーション91のイ
ンライン不正侵入検出モジュールの結合プロセスエンジ
ンによって検索することができる。結合プロセスエンジ
ンを含みうるインライン不正侵入検出アプリケーション
およびIPSアプリケーション91に組み込むことので
きる入出力制御レイヤの例示的な構成は、本出願の対応
米国出願と同時出願された「Method,Node and Computer
Readable Medium for Inline Intrusion Detection on
a Network Stack」と題する同時継続中の米国出願に記
載されている。 【0029】図5には、ネットワーク100のIPSの
管理ノード85として動作しうる例示的なネットワーク
ノードを示す。管理ノード85は概して、CPU272
と、バス(図示せず)を介してCPU272により検索
可能であり実行可能なマシン読み取り可能コードを格納
するように動作可能なメモリモジュール274と、を備
える。磁気ディスク、光ディスク、またはデータを格納
するように動作可能な別のコンポーネント等格納媒体2
76は、メモリモジュール274に接続することがで
き、同様にバスによりアクセス可能である。たとえば、
ノード85のブートアップ時にオペレーティングシステ
ム275をメモリモジュール274にロードすることが
でき、オペレーティングシステム275は、プロトコル
スタック90のインスタンスを含む。オペレーティング
システム275は、IPS管理アプリケーション279
を格納媒体276からフェッチし、管理アプリケーショ
ン279を、CPU272による実行が可能なメモリモ
ジュール274にロードするように動作可能である。ノ
ード85は、好ましくは、接続されたキーボード等入力
装置281と、モニタ等出力装置282とを有する。 【0030】管理ノード85の操作者は、入力装置28
1を介して1つまたは複数のテキストファイル277A
ないし277Nを入力することができる。各テキストフ
ァイル277Aないし277Nは、ネットワークベース
の攻略を定義し、IPSアプリケーション91が識別さ
れたパケットおよび/またはフレームをデータベースに
記録させる命令、識別されたパケットおよび/またはフ
レームをドロップする命令、および/またはIPSが記
述された攻撃シグネチャと関連する不正侵入関連イベン
トを評価したときに他のセキュリティ対策を実行する指
示等、攻撃シグネチャならびにIPS指示の論理的な記
述を含む。各テキストファイル277Aないし277N
は、格納媒体276上のデータベース278Aに格納
し、コンパイラ280により、データベース278Bに
格納される各マシン読み取り可能シグネチャファイル2
81Aないし281Nにコンパイルすることができる。
各マシン読み取り可能シグネチャファイル281Aない
し281Nは、関連する各テキストファイル277Aな
いし277Nに記述される攻撃シグネチャを表す二値論
理を含み、各テキストファイルに含まれる1つまたは複
数の指示を表す論理を含むことができる。管理ノード8
5の操作者は、入力装置281を介してのIPSアプリ
ケーション279のクライアントアプリケーションとの
対話を通して、データベース278Bに格納されている
1つまたは複数のマシン読み取り可能シグネチャファイ
ル(本明細書では概して「シグネチャファイル」とも称
される)をネットワーク100中の1つまたは複数のノ
ードに伝送するように、管理ノード85に周期的に指示
しうる。あるいは、シグネチャファイル281Aないし
281Nは、コンパクトディスク、磁気フレキシブルデ
ィスク、または別のポータブル格納媒体等コンピュータ
読み取り可能媒体に格納し、ネットワーク100中のノ
ード270にインストールしてもよい。アプリケーショ
ン279は、好ましくは、このようなシグネチャファイ
ル281Aないし281Nすべてまたはその1つまたは
複数のサブセットをネットワーク100中の1つまたは
複数のノードに伝送するように動作可能である。好まし
くは、IPSアプリケーション279は、ノード85の
操作者によるコマンドの入力を促進するために、出力装
置282上でグラフィカルユーザインタフェースを提供
する。 【0031】図6には、本発明のモバイル機器にサービ
ス提供しうるモバイル通信システム(MTS)300を
示す。例示的なモバイル通信システム300について、
GSM(Global System for Mobile communications)
規格の一般的なインフラストラクチャおよび名称に従っ
て説明するが、本発明はかかるシステムでの用途に限定
されず、説明は例示のみを目的とする。MTS300は
概して、1つまたは複数の交換システム(SS)305
ないし306と、モバイル通信サービスを1つまたは複
数のモバイル機器355に提供する基地局サブシステム
(BSS)340ないし341とを含む。モバイル機器
355は、モバイル端末として機能しうる、無線モデム
を備えたモバイルラップトップコンピュータ、無線個人
情報端末、ページャ、データ可能セルラ電話、または他
の無線通信装置等各種形態をとることができる。モバイ
ル機器355は、各BSS340ないし341内に含ま
れる1つまたは複数の送受信基地局(BTS)352A
ないし352Cおよび353Aないし353Cと直接通
信する。各BSS、たとえばBSS340は通常、1つ
または複数の地理的に多様なBTS、たとえばBTS3
52Aないし352Cを含む。1つのBTSグループ、
たとえばBTSグループ352ないし353の1つは、
各BSS340ないし341内に含まれ、無線ネットワ
ークコントローラとも呼ばれる基地局コントローラ(B
SC)345ないし346によって管理される。各BS
S340ないし341は、交換システム305ないし3
06内に含まれる各モバイルサービス交換センタ(MS
C)310ないし311と通信し、これによって制御さ
れる。個々のBTS352Aないし352Cおよび35
3Aないし353Cはそれぞれ、無線チャネルセットに
対して動作する無線セルを画定し、それによって1つま
たは複数のモバイル機器355にサービスを提供する。
したがって、各BSC345ないし346は、これによ
って制御される複数のBTS352Aないし352Cお
よび353Aないし353Cそれぞれに対応する複数の
セルを有する。 【0032】交換システム305ないし306はそれぞ
れ、各種ハードウェアおよびソフトウェアで実施される
複数の機能ユニットを含む。概して、各SS305ない
し306はそれぞれ、MSC310ないし311、ビジ
ターロケーションレジスタ(VLR)375ないし37
6、ホームロケーションレジスタ(HLR)370ない
し371、認証センタ381ないし382、および機器
識別レジスタ385ないし386を含む。MTS300
内で動作可能なモバイル機器355は、ホームレジスタ
と指定されるレジスタを有する。本例では、また以下に
提供する例では、HLR371がモバイル機器355の
ホームレジスタを表す。HLR371は、ホームレジス
タと指定されたHLR371を有するモバイル機器のプ
ロファイルを含むデータベースである。HLR371に
おけるモバイル機器355のプロファイル内に含まれる
情報は、各種加入者情報、たとえば国際移動局機器識別
(IMEI)、電子シリアルナンバー(ESN)、およ
び認証能力パラメータ等認証パラメータ、ならびに加入
に含まれるサービスを定義するアクセスポイント名(A
PN)等加入サービスパラメータを含む。加えて、モバ
イル機器355のHLR371プロファイルは、MTS
300内の現在、または最後にわかっているモバイルデ
バイス355のロケーションに関連するデータ、たとえ
ばロケーションエリア識別子を含む。モバイル機器35
5に関連するHLR371内に含まれるロケーションデ
ータは、動的性質のものである。すなわち、モバイル機
器355がMTS300を通して移動するにつれて変化
する。各MSC310ないし311は、2つ以上のBS
C345ないし346を制御することができ、通常はそ
うすることを理解されたい。図6では、本発明の説明を
簡明にするために、1つのみの各BSC345ないし3
46がMSC310ないし311によって制御されて示
される。 【0033】VLR375ないし376は、関連するM
SC310ないし311によって現在サービス提供され
ているすべてのモバイル機器355についての情報を含
むデータベースである。たとえば、VLR376は、M
SC311によってサービス提供されている各モバイル
機器に関連する情報を含み、したがって関連するBSC
346によって制御されるBTS353Aないし353
Cによって現在サービス提供されているすべてのモバイ
ル機器に関連する情報を含む。モバイル機器355が、
別のMSCにより制御されるBTSのセルカバレージエ
リアに入る、たとえばモバイル機器355が、BTS3
52Cによって提供されるカバレージエリアにローミン
グすると、BTS352Cに関連するSS305のVL
R375が、モバイル機器355に関連する加入者情報
について、モバイル機器355のHLR371に問い合
わせる。次いで、この情報がVLR375に転送され
る。同時に、VLR375が、モバイル機器355の新
しい位置を示すロケーション情報をHLR371に伝送
する。次いで、モバイル機器355に関連するHLRプ
ロファイルが、モバイル機器355の位置を適宜示すよ
うに更新される。このロケーション情報は概して、ロケ
ーションエリア識別子に限られる。ローミング中のモバ
イルデバイス355に関連するVLR375に伝送され
る情報により概して、たとえばモバイル機器355の認
証および加入サービスパラメータについて、HLR37
1にさらに問い合わせることなく、呼のセットアップお
よびモバイル機器355の処理が可能である。このよう
に、モバイル機器355が、呼、たとえばデータ呼を実
行するか受信しようとするときに、SS305は、モバ
イル機器355に適宜サービス提供するように、セット
アップを実行し、サービス機能を切り換えるために必要
な情報を有する。加えて、VLR375は通常、HLR
371よりも正確なモバイル機器355についての情報
を含み、たとえば、VLR375は、モバイル機器35
5にサービス提供している特定のBSCを示すBSC識
別子を含みうる。 【0034】各SS305ないし306は、各SS30
5ないし306のHLR370ないし371に接続され
る認証センタ(AUC)381ないし382も備えう
る。AUC381ないし382は、モバイル機器355
ないし356を認証するために、認証パラメータをHL
R370ないし371に提供する。AUC381ないし
382は、モバイル機器355との通信を安全にするた
めに使用される暗号鍵を生成することもできる。加え
て、SS305ないし306は、1つまたは複数のモバ
イル機器を一意に識別するために使用される国際移動局
機器識別を含む機器識別レジスタ(EIR)385ない
し386データベースも備える。EIR385ないし3
86は、MTS300におけるサービス要求するモバイ
ル機器355を検証するために使用される。 【0035】たとえばインターネットサービスを提供す
るために、GPRS(General packet radio service
s)をMTS300に備えることができる。GPRS
は、回線交換ではなくパケット交換のデータサービスで
ある。パケットデータネットワーク360に接続して無
線インターネットサービス等GPRSにアクセスするた
めに、ゲートウェイGPRSサポートノード(GGS
N)330が通常MTS300に含められる。たとえば
パケットデータプロトコル(PDP)セッションの管
理、ならびにモバイル機器の認証、識別、およびIME
I問い合わせ等管理機能の実行等、1つまたは複数のサ
ービス提供GPRSサポートノード(SGSN)320
ないし321が、モバイル機器355にGPRSサービ
スへのアクセスを提供するために、MTS300に含め
られる。したがって、GGSN330は、パケットデー
タネットワーク360へのモバイル通信システム300
のインタフェースを提供し、一方、SGSN320ない
し321は、モバイル機器355が、モバイル通信シス
テム300インフラストラクチャを介してGGSN33
0、ひいてはパケットデータネットワーク360と通信
できるようにする。 【0036】GPRS可能モバイル機器は、まず接続手
順を実行することによりパケットデータネットワークに
アクセスしてもよい。大まかに言えば、接続手順は、モ
バイル機器にサービス提供しているSGSNに接続要求
メッセージを送信することによって開始される。例示的
な本例では、モバイル機器355が現在BSS341に
より提供されているセル内にある。SGSN321は、
通信チャネルによりBSS341に接続され、したがっ
てモバイル機器355にGPRSサービスを提供する責
任を担う。次いで、SGSN321は、モバイル機器3
55を識別し認証した後に、ロケーション更新メッセー
ジをHLR371に送信する。モバイル機器の認証は、
モバイル機器のホームレジスタを有するSS306にお
ける各種モジュールのSGSN321による問い合わせ
を含んでもよい。たとえば、SGSNは、AUC382
またはEIR386に問い合わせる。これに応答して、
HLR371が加入者情報ならびにロケーション更新の
承認をSGSN321に送信する。 【0037】パケット通信に携わるために、接続された
モバイル機器355は次いで、起動手順、たとえばPD
P起動を実行しなければならない。概して、起動要求メ
ッセージがモバイル機器355からSGSN321に伝
送される。次いで、SGSN321がGGSN330に
コンタクトをとり、PDP起動を要求する。GGSN3
30は、データネットワーク360からのパケットデー
タをモバイル機器355に適宜ルーティングすることが
できるように、モバイル機器355にサービス提供して
いるSGSN321のアドレスの記録を維持する。次い
で、GGSN330は、モバイル機器が別のSGSNに
よってサービス提供されるBTSにより提供されるセル
にローミングするときは常に、たとえばモバイル機器3
55がSGSN320によってサービス提供されるBT
S352Cにより提供されるセルにローミングすると
き、SGSNアドレスを更新する。 【0038】本発明のモバイル機器は、ネットワーク3
00との通信の送受信を促進するために、ネットワーク
スタック90のインスタンスまたはその変形を維持する
ことができる。本発明の無線実施では、ネットワーク媒
体101は、モバイル機器355と、BTS352Aな
いし352Cおよび/または353Aないし353Cの
1つとで終端する無線周波数リンクを含みうる。モバイ
ル機器355は、ネットワークノード270の要素、す
なわちCPU272、メモリモジュール274を組み込
み、またモバイル機器355がIPSアプリケーション
91を実行するように動作可能なように格納媒体276
も備えることができる。上述したように、IPSアプリ
ケーション91は、クライアントおよび/またはサーバ
アプリケーションを含みうる。クライアントアプリケー
ションは、好ましくは、モバイル機器355で維持され
実行される。サーバアプリケーションは、モバイル機器
355で実行しても、あるいは例えばSS306により
ネットワーク300上で実行し、モバイル機器355と
の無線通信に携わってもよく、IPSアプリケーション
91のクライアントアプリケーションの動作を促進す
る。たとえば、モバイル機器355において不正侵入関
連イベントを検出するように、IPSアプリケーション
91が利用するマシン読み取り可能シグネチャファイル
をモバイル機器355に提供する。管理ノード85の機
能性は、SS305および306内の管理アプリケーシ
ョン279を実行するCPUを含むことにより交換シス
テムに組み込むことができる。したがって、モバイル機
器355に向けられるネットワーク攻撃を検出し阻止す
ることができる。 【0039】本発明の態様を以下に例示する。 【0040】1.モバイル通信ネットワーク(300)
において動作可能なモバイル機器(355)であって、
中央演算処理装置(272)による検索および実行のた
めにマシン読み取り可能フォーマットでデータを格納す
るメモリモジュール(274)と、該メモリモジュール
(274)に格納される不正侵入検出アプリケーション
(91)を実行するように動作可能なオペレーティング
システム(275)と、を備えるモバイル機器。 【0041】2.前記オペレーティングシステム(27
5)は、プロトコルドライバ(135)と、媒体アクセ
ス制御ドライバ(145)と、を備えるネットワークス
タック(90)をさらに備え、前記不正侵入検出アプリ
ケーション(91)は、前記プロトコルドライバ(13
5)と前記媒体アクセス制御ドライバ(145)とに結
び付けられた中間ドライバを備える、上記1記載のモバ
イル機器。 【0042】3.前記不正侵入検出アプリケーション
(91)は、結合プロセスエンジンと、入出力制御レイ
ヤと、をさらに備え、前記入出力制御レイヤは、シグネ
チャファイル(281Aないし281N)を受信し、該
シグネチャファイル(281Aないし281N)を前記
結合プロセスエンジンに渡すように動作可能であり、前
記結合プロセスエンジンは、前記シグネチャファイル
(281Aないし281N)を使用してデータパケット
を解析するように動作可能である、上記1または2記載
のモバイル機器。 【0043】4.格納媒体(276)をさらに備え、該
格納媒体(276)は、複数のシグネチャファイル(2
81Aないし281N)のデータベース(277)を維
持するように動作可能である、上記1ないし3のいずれ
か一項記載のモバイル機器。 【0044】5.前記不正侵入検出アプリケーション
(91)は、前記シグネチャファイル(281Aないし
281N)とデータパケットの間の対応を識別し、該対
応が識別されると、前記データパケットが不正侵入に関
連するものであるという判断が行われる、上記3または
4記載のモバイル機器。 【0045】6.前記シグネチャファイル(281Aな
いし281N)は、前記データパケットが不正侵入に関
連するものであると決定されると、前記プロセッサ(2
72)が実行すべきプロセスを定義する指示を含む、上
記3ないし5のいずれか一項記載のモバイル機器。 【0046】7.前記不正侵入検出アプリケーション
(91)は、前記モバイル機器(355)の不正侵入に
関連するイベントを識別するように動作可能であり、前
記モバイル機器(355)は、不正侵入に関連するイベ
ントデータを前記ネットワーク(300)の管理ノード
(85)に提供するように動作可能である、上記1ない
し6のいずれか一項記載のモバイル機器。 【0047】8.前記管理ノード(85)は、モバイル
通信ネットワーク交換システム(305ないし306)
である、上記7記載のモバイル機器。 【0048】9.不正侵入検出システムを管理するネッ
トワーク(300)のノード(85)であって、中央演
算処理装置(272)による検索および実行のためにマ
シン読み取り可能フォーマットでデータを格納するメモ
リモジュール(274)と、プロトコルドライバ(13
5)および媒体アクセス制御ドライバ(145)を備え
るネットワークスタック(90)を備え、不正侵入保護
システム管理アプリケーション(279)を実行するよ
うに動作可能なオペレーティングシステム(275)
と、を備え、前記管理アプリケーション(279)は、
ネットワーク攻略ルールを定義するテキストファイル入
力(277Aないし277N)を受信し、前記テキスト
ファイル入力(277Aないし277N)を、攻略シグ
ネチャを表すマシン読み取り可能ロジックを含むシグネ
チャファイル(281Aないし281N)に変換するよ
うに動作可能であり、前記ノード(85)は、無線周波
数リンクを介して前記シグネチャファイル(281Aな
いし281N)をモバイル機器(355)に伝送するよ
うに動作可能である、ノード。 【0049】10.前記無線周波数リンクは、モバイル
機器(355)およびモバイル通信ネットワーク(30
0)の送受信基地局(352Aないし352C、353
Aないし353C)で終端する、上記9記載のノード。
【図面の簡単な説明】
【図1】従来技術によるコンピュータシステム毀損を実
行する例示的な構成を示す。 【図2】本発明の実施形態によるネットワークベース
と、ホストベースおよびノードベース混成の不正侵入検
出技術を採用した総合的な不正侵入防御システムを示
す。 【図3】従来技術による例示的なネットワークプロトコ
ルスタックである。 【図4】本発明の実施形態による不正侵入保護システム
アプリケーションのインスタンスを実行しうるネットワ
ークノードを示す。 【図5】本発明の実施形態による不正侵入保護システム
によって保護されるネットワーク内の管理ノードとして
動作しうる例示的なネットワークノードを示す。 【図6】本発明の実施形態によるモバイル機器にサービ
スを提供しうるモバイル通信システムの模式図である。 【符号の説明】 90 ネットワークスタック 91 不正侵入検出アプリケーション 275 オペレーティングシステム
行する例示的な構成を示す。 【図2】本発明の実施形態によるネットワークベース
と、ホストベースおよびノードベース混成の不正侵入検
出技術を採用した総合的な不正侵入防御システムを示
す。 【図3】従来技術による例示的なネットワークプロトコ
ルスタックである。 【図4】本発明の実施形態による不正侵入保護システム
アプリケーションのインスタンスを実行しうるネットワ
ークノードを示す。 【図5】本発明の実施形態による不正侵入保護システム
によって保護されるネットワーク内の管理ノードとして
動作しうる例示的なネットワークノードを示す。 【図6】本発明の実施形態によるモバイル機器にサービ
スを提供しうるモバイル通信システムの模式図である。 【符号の説明】 90 ネットワークスタック 91 不正侵入検出アプリケーション 275 オペレーティングシステム
─────────────────────────────────────────────────────
フロントページの続き
(72)発明者 リチャード・ルイス・シェルツ
アメリカ合衆国27607ノース・カロライナ
州ローリー、プリンウッド・コート 117
(72)発明者 ジョージ・サイモン・ゲイルズ
アメリカ合衆国75025テキサス州プラノ、
クリア・フィールド・ドライヴ 2456
Fターム(参考) 5B085 AA08 BE04 BG01 BG02 BG07
Claims (1)
- 【特許請求の範囲】 【請求項1】 モバイル通信ネットワークにおいて動作
可能なモバイル機器であって、 中央演算処理装置による検索および実行のためにマシン
読み取り可能フォーマットでデータを格納するメモリモ
ジュールと、 該メモリモジュールに格納される不正侵入検出アプリケ
ーションを実行するように動作可能なオペレーティング
システムと、を備えるモバイル機器。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/001,728 US20030084321A1 (en) | 2001-10-31 | 2001-10-31 | Node and mobile device for a mobile telecommunications network providing intrusion detection |
| US10/001,728 | 2001-10-31 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003228552A true JP2003228552A (ja) | 2003-08-15 |
| JP2003228552A5 JP2003228552A5 (ja) | 2005-12-02 |
Family
ID=21697529
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002304068A Withdrawn JP2003228552A (ja) | 2001-10-31 | 2002-10-18 | 不正侵入検出を提供するモバイル通信ネットワークのためのモバイル機器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US20030084321A1 (ja) |
| JP (1) | JP2003228552A (ja) |
| GB (1) | GB2382755B (ja) |
| SE (1) | SE524963C2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
| JP2007018044A (ja) * | 2005-07-05 | 2007-01-25 | Hitachi Ltd | 自己再組織化システム |
| JP2011517804A (ja) * | 2008-03-07 | 2011-06-16 | クゥアルコム・インコーポレイテッド | 計算装置への不許可アクセスを検出するためのおよびそのような不許可アクセスについての情報を安全に伝えるための方法および装置 |
| JP2011134323A (ja) * | 2009-12-24 | 2011-07-07 | Intel Corp | 複数モバイル装置上での協働的なマルウェア検出および防止 |
| JP2012502392A (ja) * | 2008-09-11 | 2012-01-26 | クゥアルコム・インコーポレイテッド | 危険にさらされたコンピュータデバイスの位置についての情報を安全に通信するための方法 |
Families Citing this family (101)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8370936B2 (en) * | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| WO2003077572A1 (en) * | 2002-03-13 | 2003-09-18 | Adjungo Networks Ltd. | Accessing cellular networks from non-native local networks |
| JP2004005419A (ja) * | 2002-03-25 | 2004-01-08 | Canon Inc | インストール処理装置、処理方法及び記憶媒体ならびにプログラム |
| US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
| US7367055B2 (en) * | 2002-06-11 | 2008-04-29 | Motorola, Inc. | Communication systems automated security detection based on protocol cause codes |
| US20030232598A1 (en) * | 2002-06-13 | 2003-12-18 | Daniel Aljadeff | Method and apparatus for intrusion management in a wireless network using physical location determination |
| US7277718B2 (en) * | 2002-07-22 | 2007-10-02 | Cingular Wireless Ii, Llc | Methods and apparatus for formatting information for a communication |
| US6986161B2 (en) * | 2002-08-12 | 2006-01-10 | Harris Corporation | Mobile ad-hoc network with intrusion detection features and related methods |
| GB0227777D0 (en) * | 2002-11-28 | 2003-01-08 | Nokia Corp | Performing authentication |
| US7386887B2 (en) * | 2003-07-01 | 2008-06-10 | International Business Machines Corporation | System and method for denying unauthorized access to a private data processing network |
| JP4051020B2 (ja) * | 2003-10-28 | 2008-02-20 | 富士通株式会社 | ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置 |
| US20050108324A1 (en) * | 2003-10-30 | 2005-05-19 | David Stritzinger | Serialized inventory control system and method |
| US7949329B2 (en) * | 2003-12-18 | 2011-05-24 | Alcatel-Lucent Usa Inc. | Network support for mobile handset anti-virus protection |
| US7523499B2 (en) * | 2004-03-25 | 2009-04-21 | Microsoft Corporation | Security attack detection and defense |
| US7506799B2 (en) * | 2004-07-30 | 2009-03-24 | Nokia Corporation | Method for the monitoring of system security in electronic devices |
| US7562389B1 (en) | 2004-07-30 | 2009-07-14 | Cisco Technology, Inc. | Method and system for network security |
| US7555774B2 (en) * | 2004-08-02 | 2009-06-30 | Cisco Technology, Inc. | Inline intrusion detection using a single physical port |
| US20060037077A1 (en) * | 2004-08-16 | 2006-02-16 | Cisco Technology, Inc. | Network intrusion detection system having application inspection and anomaly detection characteristics |
| US7725938B2 (en) * | 2005-01-20 | 2010-05-25 | Cisco Technology, Inc. | Inline intrusion detection |
| US7676217B2 (en) * | 2005-01-31 | 2010-03-09 | Theta Networks, Inc. | Method for malicious traffic recognition in IP networks with subscriber identification and notification |
| US20060174001A1 (en) * | 2005-01-31 | 2006-08-03 | Shouyu Zhu | Responding to malicious traffic using separate detection and notification methods |
| US7975300B2 (en) * | 2005-04-15 | 2011-07-05 | Toshiba America Research, Inc. | Secure isolation and recovery in wireless networks |
| US7724717B2 (en) * | 2005-07-22 | 2010-05-25 | Sri International | Method and apparatus for wireless network security |
| US8249028B2 (en) * | 2005-07-22 | 2012-08-21 | Sri International | Method and apparatus for identifying wireless transmitters |
| US9191396B2 (en) * | 2005-09-08 | 2015-11-17 | International Business Machines Corporation | Identifying source of malicious network messages |
| WO2007110093A1 (en) * | 2006-03-27 | 2007-10-04 | Telecom Italia S.P.A. | A method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor |
| US8281392B2 (en) | 2006-08-11 | 2012-10-02 | Airdefense, Inc. | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection |
| CA2701689C (en) * | 2006-10-06 | 2016-09-06 | Smobile Systems, Inc. | System and method of malware sample collection on mobile networks |
| WO2008043109A2 (en) * | 2006-10-06 | 2008-04-10 | Smobile Systems, Inc. | System and method of reporting and visualizing malware on mobile networks |
| CA2706721C (en) * | 2006-11-27 | 2016-05-31 | Smobile Systems, Inc. | Wireless intrusion prevention system and method |
| WO2008075891A1 (en) * | 2006-12-19 | 2008-06-26 | Kt Corporation | Intrusion protection device and intrusion protection method for point-to-point tunneling protocol |
| US8205255B2 (en) * | 2007-05-14 | 2012-06-19 | Cisco Technology, Inc. | Anti-content spoofing (ACS) |
| KR100889670B1 (ko) * | 2007-08-08 | 2009-03-19 | 삼성에스디에스 주식회사 | 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법 |
| DE102007052128A1 (de) * | 2007-10-31 | 2009-05-14 | Concept04 Gmbh | Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung |
| US7917085B2 (en) * | 2007-11-09 | 2011-03-29 | Research In Motion Limited | System and method for blocking devices from a carrier network |
| US8671438B2 (en) * | 2008-04-04 | 2014-03-11 | Cello Partnership | Method and system for managing security of mobile terminal |
| US8391834B2 (en) | 2009-01-28 | 2013-03-05 | Headwater Partners I Llc | Security techniques for device assisted services |
| US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
| US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
| US8635335B2 (en) | 2009-01-28 | 2014-01-21 | Headwater Partners I Llc | System and method for wireless network offloading |
| US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
| US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
| US8675507B2 (en) | 2009-01-28 | 2014-03-18 | Headwater Partners I Llc | Service profile management with user preference, adaptive policy, network neutrality and user privacy for intermediate networking devices |
| US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
| US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
| US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
| US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
| US11985155B2 (en) | 2009-01-28 | 2024-05-14 | Headwater Research Llc | Communications device with secure data path processing agents |
| US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
| US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
| US12452377B2 (en) | 2009-01-28 | 2025-10-21 | Headwater Research Llc | Service design center for device assisted services |
| US9858559B2 (en) | 2009-01-28 | 2018-01-02 | Headwater Research Llc | Network service plan design |
| US8745191B2 (en) | 2009-01-28 | 2014-06-03 | Headwater Partners I Llc | System and method for providing user notifications |
| US12388810B2 (en) | 2009-01-28 | 2025-08-12 | Headwater Research Llc | End user device that secures an association of application to service policy with an application certificate check |
| US9578182B2 (en) | 2009-01-28 | 2017-02-21 | Headwater Partners I Llc | Mobile device and service management |
| US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
| US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
| US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US12389218B2 (en) | 2009-01-28 | 2025-08-12 | Headwater Research Llc | Service selection set publishing to device agent with on-device service selection |
| US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
| US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
| US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
| US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
| US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
| US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
| US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
| US9755842B2 (en) | 2009-01-28 | 2017-09-05 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US9557889B2 (en) | 2009-01-28 | 2017-01-31 | Headwater Partners I Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
| US11973804B2 (en) | 2009-01-28 | 2024-04-30 | Headwater Research Llc | Network service plan design |
| US12432130B2 (en) | 2009-01-28 | 2025-09-30 | Headwater Research Llc | Flow tagging for service policy implementation |
| US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
| US9253663B2 (en) | 2009-01-28 | 2016-02-02 | Headwater Partners I Llc | Controlling mobile device communications on a roaming network based on device state |
| US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
| US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
| US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
| US12543031B2 (en) | 2009-01-28 | 2026-02-03 | Headwater Research Llc | Adapting network policies based on device service processor configuration |
| US9647918B2 (en) | 2009-01-28 | 2017-05-09 | Headwater Research Llc | Mobile device and method attributing media services network usage to requesting application |
| US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
| US12166596B2 (en) | 2009-01-28 | 2024-12-10 | Disney Enterprises, Inc. | Device-assisted services for protecting network capacity |
| US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
| US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
| US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
| US9351193B2 (en) | 2009-01-28 | 2016-05-24 | Headwater Partners I Llc | Intermediate networking devices |
| US9571559B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners I Llc | Enhanced curfew and protection associated with a device group |
| US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
| US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
| US8793758B2 (en) | 2009-01-28 | 2014-07-29 | Headwater Partners I Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
| US9202049B1 (en) | 2010-06-21 | 2015-12-01 | Pulse Secure, Llc | Detecting malware on mobile devices |
| US20130185795A1 (en) * | 2012-01-12 | 2013-07-18 | Arxceo Corporation | Methods and systems for providing network protection by progressive degradation of service |
| US9306861B2 (en) * | 2013-09-26 | 2016-04-05 | Red Hat Israel, Ltd. | Automatic promiscuous forwarding for a bridge |
| US10255554B2 (en) * | 2015-07-28 | 2019-04-09 | Futurewei Technologies, Inc. | Anomaly detection apparatus, method, and computer program using a probabilistic latent semantic analysis |
| US10148675B1 (en) | 2016-03-30 | 2018-12-04 | Amazon Technologies, Inc. | Block-level forensics for distributed computing systems |
| US10320750B1 (en) | 2016-03-30 | 2019-06-11 | Amazon Technologies, Inc. | Source specific network scanning in a distributed environment |
| US10142290B1 (en) | 2016-03-30 | 2018-11-27 | Amazon Technologies, Inc. | Host-based firewall for distributed computer systems |
| US10079842B1 (en) * | 2016-03-30 | 2018-09-18 | Amazon Technologies, Inc. | Transparent volume based intrusion detection |
| US10333962B1 (en) | 2016-03-30 | 2019-06-25 | Amazon Technologies, Inc. | Correlating threat information across sources of distributed computing systems |
| US10178119B1 (en) | 2016-03-30 | 2019-01-08 | Amazon Technologies, Inc. | Correlating threat information across multiple levels of distributed computing systems |
| US10142794B1 (en) | 2017-07-10 | 2018-11-27 | International Business Machines Corporation | Real-time, location-aware mobile device data breach prevention |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| DE19628668A1 (de) * | 1996-07-16 | 1998-01-22 | Mci Les Miroirs | Vorrichtung und Verfahren zur Herstellung von Flachplatten |
| US6578147B1 (en) * | 1999-01-15 | 2003-06-10 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
| US6725377B1 (en) * | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
| US6826697B1 (en) * | 1999-08-30 | 2004-11-30 | Symantec Corporation | System and method for detecting buffer overflow attacks |
| US6678734B1 (en) * | 1999-11-13 | 2004-01-13 | Ssh Communications Security Ltd. | Method for intercepting network packets in a computing device |
| US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
| JP4020576B2 (ja) * | 2000-09-14 | 2007-12-12 | 株式会社東芝 | パケット転送方法、移動端末装置及びルータ装置 |
| EP1430377A1 (en) * | 2001-09-28 | 2004-06-23 | BRITISH TELECOMMUNICATIONS public limited company | Agent-based intrusion detection system |
-
2001
- 2001-10-31 US US10/001,728 patent/US20030084321A1/en not_active Abandoned
-
2002
- 2002-09-16 SE SE0202730A patent/SE524963C2/sv not_active IP Right Cessation
- 2002-10-18 JP JP2002304068A patent/JP2003228552A/ja not_active Withdrawn
- 2002-10-22 GB GB0224549A patent/GB2382755B/en not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006060306A (ja) * | 2004-08-17 | 2006-03-02 | Nec Corp | パケットフィルタリング方法およびパケットフィルタ装置 |
| JP2007018044A (ja) * | 2005-07-05 | 2007-01-25 | Hitachi Ltd | 自己再組織化システム |
| JP2011517804A (ja) * | 2008-03-07 | 2011-06-16 | クゥアルコム・インコーポレイテッド | 計算装置への不許可アクセスを検出するためのおよびそのような不許可アクセスについての情報を安全に伝えるための方法および装置 |
| US8839460B2 (en) | 2008-03-07 | 2014-09-16 | Qualcomm Incorporated | Method for securely communicating information about the location of a compromised computing device |
| US8850568B2 (en) | 2008-03-07 | 2014-09-30 | Qualcomm Incorporated | Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access |
| JP2012502392A (ja) * | 2008-09-11 | 2012-01-26 | クゥアルコム・インコーポレイテッド | 危険にさらされたコンピュータデバイスの位置についての情報を安全に通信するための方法 |
| JP2014222890A (ja) * | 2008-09-11 | 2014-11-27 | クゥアルコム・インコーポレイテッドQualcomm Incorporated | 危険にさらされたコンピュータデバイスの位置についての情報を安全に通信するための方法 |
| JP2011134323A (ja) * | 2009-12-24 | 2011-07-07 | Intel Corp | 複数モバイル装置上での協働的なマルウェア検出および防止 |
Also Published As
| Publication number | Publication date |
|---|---|
| US20030084321A1 (en) | 2003-05-01 |
| GB2382755B (en) | 2005-03-23 |
| SE0202730D0 (sv) | 2002-09-16 |
| SE524963C2 (sv) | 2004-11-02 |
| SE0202730L (sv) | 2003-05-01 |
| GB0224549D0 (en) | 2002-11-27 |
| GB2382755A (en) | 2003-06-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2003228552A (ja) | 不正侵入検出を提供するモバイル通信ネットワークのためのモバイル機器 | |
| CN110719291B (zh) | 一种基于威胁情报的网络威胁识别方法及识别系统 | |
| CN114145004B (zh) | 用于使用dns消息以选择性地收集计算机取证数据的系统及方法 | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| EP2850803B1 (en) | Integrity monitoring to detect changes at network device for use in secure network access | |
| US7197762B2 (en) | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits | |
| US7444679B2 (en) | Network, method and computer readable medium for distributing security updates to select nodes on a network | |
| CN101714931B (zh) | 一种未知恶意代码的预警方法、设备和系统 | |
| US20030084326A1 (en) | Method, node and computer readable medium for identifying data in a network exploit | |
| US11290484B2 (en) | Bot characteristic detection method and apparatus | |
| US20050278779A1 (en) | System and method for identifying the source of a denial-of-service attack | |
| US20060015715A1 (en) | Automatically protecting network service from network attack | |
| JP2006119754A (ja) | ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム | |
| CN1553293A (zh) | 基于分布式数据挖掘的协同入侵检测系统 | |
| CN105516189A (zh) | 基于大数据平台的网络安全实施系统及方法 | |
| GB2381722A (en) | intrusion detection (id) system which uses signature and squelch values to prevent bandwidth (flood) attacks on a server | |
| Teng et al. | A cooperative intrusion detection model for cloud computing networks | |
| Mendonça et al. | Fuzzing wi-fi drivers to locate security vulnerabilities | |
| Seo et al. | Abnormal behavior detection to identify infected systems using the APChain algorithm and behavioral profiling | |
| Zhong et al. | Research on DDoS Attacks in IPv6 | |
| Chen et al. | An Internet-worm early warning system | |
| Prabhu et al. | Network intrusion detection system | |
| Saiyod et al. | Improving intrusion detection on snort rules for botnet detection | |
| Gao et al. | Security tests and attack experimentations of ProtoGENI | |
| CN114666129A (zh) | 网络安全认证方法、系统、计算机设备、存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20051018 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20051018 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20061201 |