JP2003524925A - ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 - Google Patents

ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置

Info

Publication number
JP2003524925A
JP2003524925A JP2000587259A JP2000587259A JP2003524925A JP 2003524925 A JP2003524925 A JP 2003524925A JP 2000587259 A JP2000587259 A JP 2000587259A JP 2000587259 A JP2000587259 A JP 2000587259A JP 2003524925 A JP2003524925 A JP 2003524925A
Authority
JP
Japan
Prior art keywords
network
node
event
article
manufacture
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2000587259A
Other languages
English (en)
Other versions
JP4501280B2 (ja
JP2003524925A5 (ja
Inventor
ロバート ディー. グラハム,
Original Assignee
ネットワーク アイス コーポレイション
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ネットワーク アイス コーポレイション filed Critical ネットワーク アイス コーポレイション
Publication of JP2003524925A publication Critical patent/JP2003524925A/ja
Publication of JP2003524925A5 publication Critical patent/JP2003524925A5/ja
Application granted granted Critical
Publication of JP4501280B2 publication Critical patent/JP4501280B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Abstract

(57)【要約】 ネットワーク侵入検出および応答システム(115)とその方法が、ネットワークリソースの悪用を検出し、防ぐために開示される。さらに詳細には、本システムおよび方法は動的に自己調整し、複数の警告レベルを用いてネットワーク活動において変化する。それぞれの高度な警告レベルが、悪用されているネットワークコンピュータ(125)からの対応する高度なセキュリティ応答を引き起こす。これらの高度な警告レベルがシステム(各ノード)およびネットワークレベルの両方に組み込まれる。

Description

【発明の詳細な説明】
【0001】 (優先権) 本出願は、12/9/98に出願された米国仮出願第60/111,638号
の利益を主張する。
【0002】 (発明の背景) (発明の分野) 本発明は、データネットワーク管理に関する。より詳細には、本発明は、デー
タネットワークリソースの非認証の使用を検出し、それを防止する改良されたシ
ステムおよび方法に関する。
【0003】 (関連技術の説明) 会社および民間の団体の両方によるデータネットワークの急速な使用の増加に
より、改良されたセキュリティおよびネットワーク管理技術の必要性が生じてい
る。今日、団体は、業務上の秘密、販売戦略、金融書類、および機密技術情報を
含む相当量の秘密情報をネットワークサーバおよびワークステーションに格納す
る。このような情報の一般への露見は、多くの場合、その団体へ深刻なダメージ
をもたらすことになる。
【0004】 機密の情報がネットワークから読み出される危険性に加え、好ましくない情報
がネットワークに記載される危険性もある。例えば、現在利用可能なセキュリテ
ィシステムを回避する方法の実務上の知識をもった、コンピューターハッカー(
例えば、権限のないユーザー)は、ネットワークサーバーおよびワークステーシ
ョンをクラッシュさせたり、価値のあるデータを破壊したり、ネットワークにコ
ンピュータウィルスをアップロードしたりできる。従って、この種のデータネッ
トワーク侵入を防ぐために、企業は年を追って、数百万ドルも費やすことを強い
られる。
【0005】 ある種のネットワークの誤用に対処する、ひとつのシステムは、一般に「ファ
イアウォール(firewall)」といわれる。一般に、ファイアウォールは
ローカルエリアネットワーク(以後「LAN」)と他の外部のネットワークすべ
て(例えば、インターネット)との間に置かれる。ファイアウォールは、内部お
よび外部からのデジタル情報すべてを分析し、その情報を、通過させるべきか捨
てるべきかを判断する。ファイアウォールは、この分析を行うネットワーク管理
者によって用意された一つ以上のアルゴリズムを使用する。例えば、ネットワー
ク管理者は受け入れ可能なソースおよびネットワークトラフィックの目的アドレ
スをリストアップしたテーブルを構成してもよい。リストアップされないソース
または目的地までをアドレス化されたトラフィックは、ファイアウォールによっ
てフィルタリングされ、捨てられる。
【0006】 ファイアウォールは種々の理由のために、コンピュータハッカーに対して防御
が十分ではない。一つの主な理由は、コンピュータハッカーによって起こされる
脅威は、単に外部のみではないが、ファイアウォールは外部の世界から複数のL
ANのみを防御するということである。実際、潜在的なコンピュータハッカーの
大多数は、内部のコンピュータユーザである。彼らの大半は、すでにLANへの
アクセス権を持っている。個人ユーザは、通常、LANリソースへの限定された
アクセス権のみ提供されるが、ユーザーは他のユーザーのパスワードを流用する
こと(または他の公知のコンピューターハッキング技術を使用すること)により
、さらなるリソースへのアクセス権を不正に得ることができる。
【0007】 ファイアーウォールに関連する2番目の問題は、それらは、本質的に静止して
いるということであり、適切に動作するために、ネットワーク管理者による継続
的なアップデートが必要である。もし、コンピューターハッカーがファイアーウ
ォールを突破するのに必要な情報(すなわち、合法的なソースから生じたデータ
としてハッカーのデータを偽るのに必要とされる情報)を得るなら、コンピュー
タハッカーは、LANのリソースへのアクセス権を得る。ファイアーウォールの
持つ、もうひとつの重大な問題は、それらは、あまりにも単純化した様式でデー
タを排除するということである。データは通過するまたは破棄されるかのどちら
かである。入ってくるまたは出て行くデータについては、データの作成者−ファ
イアーウォールに対し偽っている可能性のある者−がLANへのリソースを誤用
しようと試みているかどうかを決定するためのさらなる分析は実行されない。
【0008】 ファイアーウォールによって提供される限られた防御範囲を増強するために使
用されてきた一つの技術は、「誤用検出(misuse detection)
」と呼ばれている。誤用検出はネットワークコンピュータ上の非認証または不適
切な動きをモニターし、レポートするプロセスである。例えば、米国特許No.
5,557,742のSmaha(以後「Smaha」と呼ぶ)は、所定の(誤
用サイン「misuse signatures」)を適用することにより、誤
用条件を検出し、ネットワークにつながれたコンピュータの既知の誤用を識別プ
ロセスを開示する。誤用サインの一例は、ネットワークコンピュータへ、4回ロ
グインを失敗した後、ログインに成功する(Smahaのコラム12の12−1
3行を参照)というものである。
【0009】 この種のシステムの一つの限界は、それ(ファイアウォールのような)は、本
質的に静止しており、連続的なアップデートを必要とするということである。し
たがって、新たな「誤用サイン」が発見されると、プログラマーまたはネットワ
ーク管理者が、頻繁に検出システムにそれらを組み込まなけれなければならない
。新たな「誤用サイン」の手動的な組込みを必要とするということは、非効率で
あり、経験を積んだコンピュータハッカーに、ハッカー特有の「誤用サイン」が
判断されるまでネットワークリソースへのアクセスを許すことになる。
【0010】 例えば、Smahaのような従来技術の誤用検出システムが持つさらなる問題
は、一度潜在的な誤用条件が認められると、ネットワークは、その条件に応じる
ように性能が限られるということである。例えば、上記に記載されたように、一
度潜在的なハッカーが4回、ネットワークに繋がれたコンピュータにログインし
ようとして失敗すると、ネットワークに繋がれたコンピュータは、そのハッカー
に、そのリソースへのアクセス権を単純に拒否するだけで、むしろ、そのハッカ
ーについてのさらなる情報を取得する行動を取り、そのハッカーについてネット
ワーク上の他のコンピュータに警告はしない。逆に、4回ではなく、3回のログ
イン失敗(その後、1回のログイン成功)が検出されるなら、Smahaは、強
固にされたセキュリティレベル(つまり、中間レベル)(ここでは、ネットワー
クコンピュータにアクセス権を提供する前に、そのシステムにさらなる情報が潜
在的なハッカーから集められること)にシステムを引き上げるメカニズムを開示
しない。
【0011】 例えば、Smahaのような従来技術の誤用検出システムが持つさらなる問題
は、自動化システムが疑いのあるような動作を識別しうるのみであり、最終的に
、意図的な誤用の試みまたはアクシデント(例えば、ユーザのパスワード誤入力
)または通常の出来事(例えば、ネットワーク管理者が、ネットワークパフォー
マンスをモニタするためにpingを使用)を区別できないということである。
このように、従来技術の誤用検出システムは、疑いのあるイベント全てを記録し
、顕著な記録を発見するには、「偽陽性(false−positives)」
を通り抜けるオペレータの知識に頼っている。
【0012】 (発明の要旨) 製造品は、コンピュータ読み出し可能媒体に記憶された命令のシーケンスを含
むことを開示される。そして、ネットワークノードによって実行された時、ネッ
トワークノードは次の動作、疑いノードから生じたデータ転送に基づく警告変数
の変更、前述の可変変数が第1の所定の閾値レベルに達する時、第1のレスポン
スをトリガーとし、前述の可変変数が第2の所定の閾値レベルに達する時、第2
のレスポンスをトリガーとするようにする。
【0013】 添付の図面を参照しながら、以下の詳細な説明を考慮することにより、本発明
が、より良く理解される。
【0014】 (好適な実施形態の詳細な説明) ネットワークリソースの悪用を検出し、防止するネットワーク管理を助ける改
良されたシステムおよび方法が必要とされる。より具体的には、ネットワーク動
作の変化に合わせて、自身をダイナミックに調節する総合的な侵入検出および応
答システムが必要とされる。また、順次高くなる各警告レベルが、悪用されてい
るネットワークコンピュータからの、対応する高められたセキュリティー応答を
引き起こす、複数の警告レベルを実現する侵入検出および応答システムも、必要
とされる。また、システムおよびネットワークレベルの両方について、このよう
な高められた警告レベルを組み込むシステムも必要とされる。また、低コストで
実現され得、現行のハードウェアおよびソフトウェア(すなわち、ネットワーク
コンピュータ)を用いる侵入検出および応答システムも必要とされる。また、擬
陽性を積極的にフィルタリングし、かつ、攻撃を識別するために必要な情報を記
録する侵入検出および応答システムも必要とされる。
【0015】 (一般的なネットワーク構成) 図1は、概して、複数のノード(例えば、110、125)が、通信に用いる
ローカルエリアネットワーク(以下「LAN」と呼ぶ)105を表す。LAN1
05のノードには、サーバ125、複数のワークステーション110、114、
116および118、ならびにファイヤーウォール115が含まれる。LAN1
05は、ゲートウェイ120を介して、より大きいネットワーク130(例えば
、インターネット)と通信する。1つの実施形態におけるゲートウェイ120は
、必要に応じて、LAN105およびネットワーク130の異なるネットワーク
プロトコル間で変換する。
【0016】 第2のLAN145および複数のノード140が、第2のゲートウェイ135
を介して、ネットワーク130と通信しているところを示す。インターネットサ
ービスプロバイダ(以下、「ISP」と呼ぶ)150が、ネットワーク130を
介して通信しているところを示す。ノード155は、例えば、標準電話接続、あ
るいはISDNまたはケーブルモデム接続を含む様々な方法で、ISP150と
通信し得る。
【0017】 LAN105の、各ワークステーション110、114、116、および11
8、ならびにサーバ125は、本明細書中で記述されている侵入検出システムの
機能を実現するソフトウェアが実行される際に用いられるプロセッサおよびメモ
リを備えるコンピュータである。このようなコンピュータシステムは、磁気ディ
スク、ランダムアクセスメモリ、リードオンリーメモリ、搬送波、信号などのよ
うな機械読み取り可能媒体を用いるコードおよびデータを格納し、(内部で、ま
たはネットワークを介して他のコンピュータシステムと)通信する。さらに、本
発明の一部がソフトウェアにおいて実現される1つの実施形態が説明されるが、
代替的な実施形態は、ソフトウェア、ファームウェア、および/またはハードウ
ェアの任意の組合せを用いるこれらの部分を1つ以上実現し得る。
【0018】 また、各ワークステーション110、114、116、および118、ならび
にサーバ125は、ネットワーク化されたコンピュータ110、114、116
、および118、ならびにサーバ125の各々がLAN105でデータを送信す
ることを可能にする、ハードウェアおよび/またはソフトウェアからなるネット
ワークインターフェース112を含む。1つの実施形態において、ネットワーク
インターフェース112のハードウェア部分は、ネットワーク化されたコンピュ
ータ110のI/Oバスに接続されたネットワークインターフェースカードであ
る。
【0019】 (悪化レベル) (A.ターゲット悪化) 本明細書中で用いられる、「事象」は、ネットワークノードによる、特定のタ
イプのデータ伝送の受信のことである。データは、以下で「ターゲットノード」
または「ターゲット」と呼ばれるネットワークノード(例えば、ワークステーシ
ョン110、114、116、118、サーバ125、ファイヤーウォール11
5、ゲートウェイ120、ISP150など)によって受信される。データ送信
は、以下で「容疑対象ノード(suspect node)」または「容疑対象
(suspect)」と呼ばれる他のネットワークノードから発生する。特定の
タイプの事象は、システムセキュリティーの観点からは、本質的に疑わしい。例
えば、容疑対象ノードから、ターゲットノードへの無効のユーザIDまたはパス
ワードの送信は、認証されていないユーザがターゲットノードにアクセスしよう
と試みていることを示し得る。さらに、比較的短い時間の間にログイン失敗が続
くと、1回のログイン失敗と比較すると、実質的により大きな容疑対象ノードの
疑いを生じさせる。なぜなら、1回のログイン失敗は、概して、認証されたユー
ザが、容疑対象ノードから、ユーザIDまたはパスワードを誤ってタイプした結
果である。しかし、連続的な無効ログインのそれぞれの試みでは、容疑対象ノー
ドのユーザが単に間違ったという可能性が実質的に低くなり、ユーザが、ターゲ
ットノードへの認証されていないアクセスをしようと試みている可能性が高くな
る。
【0020】 この問題に対処するために、本システムの1つの実施形態において、各ターゲ
ットノードについて、自己修正警告レベルが提供される。本明細書中で「悪化レ
ベル」と呼ばれる警告レベルは、ターゲットノードに到達する事象、およびター
ゲットノードに以前に到達した事象の履歴に応答して、ダイナミックに変化する
。ターゲットノードは、自身の現在の悪化レベルに、異なるように依存する新た
な事象に対して反応し得る。
【0021】 例えば、図3は、本システムの1つの実施形態におけるターゲットノードの悪
化レベルが、複数の閾値レベル310〜350を通じてどのように変化するかを
示すグラフである。以下の説明のために、図3において、時間が増加(x軸に沿
って右方向)するにつれて、ターゲットノードが、1つ以上の容疑対象ノードか
ら、連続的な無効ログイン事象を受け取ることが仮定される。各閾値は、何らか
のアクションを取るトリガーである。例えば、曲線360で示すように、悪化レ
ベルが増大するにつれて、第1の悪化閾値は、閾値310に達する。1つの実施
形態において、閾値310で、ターゲットノードは、全ての流入事象について受
動的走査を開始する。例えば、ターゲットノードは、事象ログファイルに、同時
の流入事象の記録を開始し得、侵入の実態が識別され得る。事象の例には、ウェ
ブサーバの「ヒット」(ファイルアクセス)、メールコマンド、ポートスキャン
、および容疑対象からターゲットへのpingが含まれる。
【0022】 次の悪化閾値、閾値320で、1つの実施形態のターゲットノードは、容疑対
象ノードについての識別情報を入手する試みにおいて、事象の原因となる容疑対
象ノードの走査を能動的に開始する。能動的走査の一例は、「フィンガー」コマ
ンドである。フィンガーコマンドは、他の情報の中でも、容疑対象ノードのネッ
トワークアドレスおよび容疑対象ノードに現在ログインしているユーザの識別情
報を戻す。この悪化閾値において、ターゲットもまた、新たな事象について自身
の受動的走査を増大させ得る。従って、悪化閾値320で、ターゲットは、容疑
対象についての情報を能動的に入手することを開始し得、新たな事象に関連する
ログインも増大させ得る。
【0023】 ターゲットが1つ以上の容疑対象からログイン失敗を受け取り続ける場合、自
身の悪化レベルは、閾値330に達する。ここで、1つの実施形態のターゲット
は、より攻撃的な容疑対象の能動的走査を開始する。例えば、「追跡ルート」コ
マンドを用いて、ターゲットは、容疑対象から発生したデータが取った完全なネ
ットワークルートを確かめることを試み得る。従って、再度図1を参照すると、
ターゲットノードが、LAN105上のノード110であり、容疑対象ノードが
LAN145上のノード140である場合、追跡ルートコマンドは、ネットワー
ク130を介して、容疑対象とターゲットとの間の通信経路をトレースする(す
なわち、間にある全てのルーターのネットワークアドレスを報告する)。さらに
、ターゲットは、シンプルネットワーク管理プロトコル(「SNMP」)を用い
る容疑対象のデータリンクアドレス(別名、媒体アクセスコントロールアドレス
)について、容疑対象のローカルゲートウェイ、この実施例においては、ゲート
ウェイ135をクエリし得る。より具体的には、SNMPを介しての識別は、i
fEntryフィールドの表の「次を入手」掃引からなり得る。
【0024】 ターゲットの悪化が、閾値340に達するので、1つの実施形態におけるター
ゲットは、さらなる工程をとって、認証されていない容疑対象に自身のリソース
へのアクセスを提供しないことを確実にする。この閾値レベルで、ターゲットは
、容疑対象にアクセスを提供する前に、容疑対象からのさらなる認証情報を要求
し得る。例えば、容疑対象が、適切なログイン情報(すなわち、適切なユーザI
Dおよびパスワード)をターゲットに伝送する場合、ターゲットは、「無効ログ
イン」応答を容疑対象に初期的に返信し得る。容疑対象が、適切なログイン情報
を再度伝送する場合のみ、ターゲットは、容疑対象にアクセスを提供する。この
様式で二重ログオンを強制することによって、ターゲットは、容疑対象が、自動
ログインスクリプト、すなわち、ユーザIDおよび/またはパスワードの連続を
実行して、有効な組合せを判定しようとするスクリプトを用いることによって、
認証されていないアクセスを得ることを防止する。
【0025】 最も高い悪化閾値、閾値350で、ターゲットは、多くの連続的なログイン失
敗事象を受信し、認証されていない容疑対象がリソースへアクセスしようと試み
ている可能性が過度に高くなる。従って、この悪化レベルで、ターゲットは、(
例えば、全てのもの、LANの外部にある全てのもの、所与のセットの容疑対象
などからの)流入事象をブロックする最終工程をとって、全ての容疑対象に対し
て、リソースへのアクセスを拒否し得る。また、ターゲットは、単なる識別を超
えて、能動的走査測定、例えば、容疑対象をシャットダウンするために、「pi
ng−of−death」を送信することを決定し得る。
【0026】 上記の説明を通じて、所定の悪化閾値レベルでの特定のターゲットノード反応
を説明した。しかし、本発明の代替的な実施形態は、本発明の基礎をなす原理か
ら逸脱することなく、より高いタイプ、より低いタイプ、および異なるタイプの
閾値および閾値反応などを用い得る。例えば、上記の実施形態が、閾値320で
「フィンガー」コマンド、および閾値330で「追跡ルート」コマンドを用いる
が、任意の代替的/さらなる能動的走査技術(例えば、「identd」または
「ping」コマンド)が、本発明の範囲から逸脱することなく、この段階で実
現され得る。さらに、ターゲットノード反応の異なる組合せが、同様に、採用さ
れ得る。例えば、容疑対象からのトラヒックの全てのバイトのログを取る、完全
パケット捕捉のような、能動的走査技術と共に、閾値レベル310〜340の各
々で、さらなる受動的走査技術が実現され得る。
【0027】 さらに、上記の様々な閾値レベルは、異なる数式を用いて、計算され得る。例
えば、新たな事象がターゲットノードに到達する場合、事象「A1」に関連する
悪化の値は、A1+A>Tの場合にのみ閾値が引き起こすように、ターゲット「
A」の現在の悪化に単に加えられる。あるいは、0.5A1+2A>0.75T
のような式は、現在のターゲット悪化レベルを2倍するように加えられる事象悪
化レベルの半分をとり、結果を閾値レベルの4分の3と比較する。
【0028】 さらに、図3の曲線370によって示すように、異なるタイプの事象は、時間
が経つにつれて、異なるターゲット反応を引き起こし得る。例えば、ターゲット
悪化レベルは、一連のログイン失敗が連続する間、最大閾値350より高い値を
維持するが、例えば、一連の「ping」が連続する間にわたって、低減し得る
。「パケットインターネットグローパー(Packet Internet G
roper)」の短縮形である「ping」は、特定のネットワークアドレスの
ノードがオンラインであるかどうか判定するために用いられるコマンドである。
従って、パケットを送信し、応答を待つことによって、ネットワークをテストま
たはデバッグするために、しばしば用いられる。本システムの1つの実施形態に
おいて、ターゲットに向けられる一連のpingは、容疑対象が、ターゲットの
セキュリティーシステムをかわすか、ディセーブルするように試みる前に、ター
ゲットのネットワークアドレスを照合するようにターゲットをpingし得るの
で、ターゲットの悪化レベルを初期的に増大させる。
【0029】 従って、曲線370に示すように、ターゲットは、初期的には、ログイン失敗
を受け取る場合と同じ悪化で反応し得る(すなわち、曲線360および370は
、初期的には重なる)。しかし、時間が経つにつれて、ターゲットがpingを
受け取り続けても、悪化レベルは低減され得る。これは、時間が経つにつれて、
ターゲットをpingする容疑対象が、ターゲットに認証されていないアクセス
をしようと試みている可能性が次第に低くなるからである。例えば、容疑対象は
、実行中のネットワーク管理ソフトウェアであり、数分ごとにpingを送るこ
とによって、ターゲットノードの応答時間を単に監視しているだけであり得る。
あるいは、ネットワーク管理者は、ネットワーク上の様々なノードをpingし
て、ネットワークの一部の問題解決を行う。このように、容疑対象が、延長され
た期間にわたって、ターゲットをpingする場合、容疑対象は、正当な目的の
ためにターゲットをpingする可能性が高い。
【0030】 さらに、曲線360および370は、異なるタイプの事象について同じ速度で
悪化レベルが変化する場合の一例を示すが、代替的な実施形態は、事象のタイプ
に基づいて、変化の速度が変動し得る。
【0031】 (B.ネットワーク悪化) ネットワーク上の個別のターゲットノードの各々についての悪化レベルを維持
することに加えて、悪化レベルは、ネットワーク全体についても維持され得る(
以下、「ネットワーク悪化レベル」という)。例えば、システムは、サーバ12
5が各ターゲットの現在の悪化レベルを受け取るように構成され得る。特に、サ
ーバ125は、所定の時間間隔で、LAN105上のターゲットノード110、
114、116、およおび118の各々にクエリして、各ターゲットの現在の悪
化レベルを記録するように構成され得る。あるいは、または、さらに、各ターゲ
ットは、現在の悪化レベルを、所定の時間間隔で、またはターゲットの悪化レベ
ルが1つの閾値から他の閾値に遷移する場合、(サーバ125からまずリクエス
トを受け取ることなしに)サーバ125に能動的に通信し得る。
【0032】 ネットワーク悪化レベルは、個別のターゲット悪化レベルを単に平均すること
によって、計算され得る。あるいは、ターゲット悪化レベルとのいくつかの他の
数学的関係を生みだし得る。例えば、個別のターゲット悪化(容疑対象がターゲ
ットに対する攻撃を開始することを示し得る)におけるかなり短い期間の変化の
み応答するように構成される。
【0033】 ネットワーク悪化レベルがどのように計算されるかに関わらず、複数の異なる
様式で用いられ得る。例えば、第1のネットワーク悪化閾値は、LAN105上
の全てのターゲットノードに、二重ログインを(上記したように)要求すること
を強制させ得る。第2のネットワーク悪化閾値は、ネットワークトラヒックをブ
ロックするように設定され得る。例えば、ネットワーク悪化レベルが、特定の閾
値に達する場合、サーバ125は、ゲートウェイ120に全ての流入トラヒック
をディセーブルさせ得る。この実施形態において、サーバ125は、内部の容疑
対象(すなわち、LAN105上に存在する)および外部の容疑対象(すなわち
、ネットワーク130にわたって存在する)から得られるターゲット悪化との間
に差を付けるように構成され得る。これを達成するため、サーバ125は、内部
ネットワーク悪化レベルおよび外部ネットワーク悪化レベルを維持し得る。この
実施形態におけるサーバは、外部の容疑対象悪化レベルが特定の閾値に達する場
合のみ、ゲートウェイ120を通じてデータトラヒックをディセーブルする。
【0034】 (C.容疑対象特定および全体のターゲット悪化) 他の実施形態において、LAN105上の各ターゲットノード(すなわち、ワ
ークステーション110および/またはサーバ125)は、通信する(すなわち
、事象が起こる)各容疑対象ノードについて、一意的な悪化レベルを維持する。
この悪化レベルは、本明細書中で、「容疑対象特定悪化」といわれる。各個別の
容疑対象ノードについて、容疑対象特定悪化を維持することに加えて、ターゲッ
トノードは、本明細書中で「ターゲット悪化」または「全体のターゲット悪化」
と呼ばれる、全体の悪化レベルをも維持し得る。
【0035】 ある特定の時間の間、様々な容疑対象特定悪化レベルと、全体の悪化レベルと
の間に相関が存在するが、この相関は常に存在するわけではない。より具体的に
は、全体のターゲット悪化は、主に新たな事象に対して反応し、容疑対象特定悪
化は、新たな事象および古い事象の両方に反応する。
【0036】 1つの実施形態の2つの異なる悪化の間の関係を、図4を参照しながら、次に
説明する。図4に示すように、容疑対象Aが、ターゲットノードへの一連の不成
功なログインの試みを時間t=0で開始する場合、容疑対象Aに向けられるター
ゲットの悪化レベル(曲線410で示す)は、不成功の試みごとに増大する。容
疑対象Aについて、ターゲットの容疑対象特定悪化は、(図3を参照しながら、
上で説明したように)1つ以上の閾値450〜455を通じ、ほぼ悪化値460
で最大値(100%の悪化を表す)を示して水平になる。容疑対象Aに向けられ
るターゲットの悪化は、容疑対象Aから連続的なログイン失敗を受け取る限り、
このレベルで維持される。実際に、容疑対象Aからのログイン失敗がなくなった
後も、1つの実施形態における容疑対象特定悪化は、ターゲットがネットワーク
管理者または自動リセットメカニズムによってリセットされるまで、100%で
維持される。
【0037】 図4に、全体のターゲット悪化を表す曲線420も示す。一般的なターゲット
悪化を表す全体のターゲット悪化は、全ての容疑対象からの流入事象に対して反
応する。さらに、全体のターゲット悪化閾値(例えば、450、454、および
455)によって、(容疑対象特定閾値の場合における特定の容疑対象ではなく
)、全ての容疑対象に向けられる異なる反応タイプが生じ得る。従って、容疑対
象Aが、ターゲットへログインすることを不成功に連続的に試みる場合、全体の
ターゲット悪化は、容疑対象Aの容疑対象特定悪化に沿って、初期的に増大する
。従って、全体のターゲット悪化(曲線420)が、悪化閾値450に達する場
合、ターゲットは、(特定の容疑対象から発生される事象を単に走査するだけで
なく)、全ての流入事象の受動的走査を行い得る。同様に、全体のターゲット悪
化が、閾値454に達する場合、ターゲットは、全ての容疑対象からの増大した
認証を要求し得、ターゲットは、閾値455で、全ての容疑対象との通信をブロ
ックし得る。
【0038】 従って、470で、第2の容疑対象、容疑対象Bが、ターゲットノードを初期
的にpingする場合、ターゲットノードは、ターゲットの全体の悪化レベルが
閾値455より高いので、pingに応答し得ない(すなわち、ターゲットは、
全ての容疑対象との通信をブロックしている)。容疑対象Bがターゲットを最初
にpingする時点なので、この時点では、容疑対象Bについての容疑対象特定
悪化レベル430が低いことに留意されたい。
【0039】 しかしながら、結果として、全体のターゲット悪化レベルは、低減し始める。
上述したように、全体のターゲット悪化は、長い期間にわたって連続的に観察さ
れていない事象によって、より影響を受けるが、容疑対象特定悪化は、長期およ
び短期事象の両方に対して反応する。この動作の背後にある論理としては、延長
された期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって
、ターゲットが悪化する場合、ターゲットは、全ての容疑対象について疑う必要
はなく、悪化を起こす容疑対象のみを疑えばよい。
【0040】 さらに、容疑対象Aに向けられるターゲットの特定悪化が閾値455を超えて
いるので、ターゲットは、容疑対象Aとの通信をブロックする工程をとる。従っ
て、ログイン失敗の原因となる1つの容疑対象がブロックアウトされているので
、ターゲットが高められた全体のターゲット悪化を維持する必要はもはやない。
【0041】 容疑対象Bがターゲットを(480で)pingする第2の時点で、全体のタ
ーゲット悪化は、十分低いので、ここで、ターゲットはpingに応答し得る。
曲線430および440に示すように、容疑対象Bの両方のpingは、ターゲ
ットの容疑対象Bに向けられる容疑対象特定悪化、および全体のターゲット悪化
レベル420を増大させる。悪化レベルにおける増大は、ターゲット悪化レベル
に関連し得る。事象470は、システムがより高感度な状態なので、事象480
より悪化させ得る。
【0042】 図5は、本発明の他の実施形態による、全体のターゲット悪化応答および容疑
対象特定ターゲット悪化応答を示すグラフである。図4と図5との間の主な違い
は、ターゲットの容疑対象Aに向けられる容疑対象特定悪化の動作(曲線510
で示す)である。この実施例における容疑対象Aは、連続的にログイン失敗を起
こすのではなく、ターゲットを連続的にpingする。従って、容疑対象から一
連のpingを受け取ることと、容疑対象から一連の無効ログインを受け取るこ
と(図2に関してより詳細に上述されている)との異なる意味合いに起因して、
ターゲットの容疑対象Aに向けられる容疑対象特定悪化は、時間が経つにつれて
、全体のターゲット悪化に沿って結果的に低減する。
【0043】 (D.容疑対象特定および全体のネットワーク悪化) 1つの実施形態における個別のターゲットの各々が、全体のターゲット悪化レ
ベル、および1つ以上の容疑対象特定ターゲット悪化レベルを維持するように、
1つの実施形態におけるサーバ125は、「全体のネットワーク悪化」レベルお
よび別個の「容疑対象特定ネットワーク悪化」レベルを維持する。
【0044】 図6のグラフに、容疑対象特定ネットワーク悪化レベル(曲線600)が、無
効ログインおよび容疑対象AからLAN105上のターゲットノード110、1
14、116および118に向けられるpingに対してどのように反応し得る
かを示す。605で、容疑対象Aは、ターゲット110をpingする。結果と
して、ターゲット110の容疑対象Aに向けられる容疑対象特定悪化は、初期的
には、容疑対象Aに向けられる容疑対象特定ネットワーク悪化レベル(曲線60
0)と一致する曲線610が示すように増大する。容疑対象Aのpingによっ
て、容疑対象特定ネットワーク悪化レベルが閾値660を越える。
【0045】 上述したように、閾値660は、サーバ125ならびに/あるいはターゲット
ノード110、114、116、および118からの任意の数の応答を引き起こ
すように設定され得る。例えば、この閾値で、サーバ125は、LAN105ま
たはネットワーク130の全ての容疑対象の受動的走査を開始し得る。他の実施
形態において、サーバ125は、容疑対象A自身の任意の受動的走査を行わない
。むしろ、特定の容疑対象についての容疑対象特定ネットワーク悪化レベルが、
受動的走査を要求する特定の閾値に達する場合、サーバ125は、LAN105
上の全てのターゲットノードに、それぞれ、容疑対象Aに向けられる容疑対象特
定悪化を増大させる必要があることを知らせる。
【0046】 615で、容疑対象Aは、ターゲット114をpingし、曲線620で示す
ように、ターゲット114の容疑対象Aの容疑対象特定悪化が増大する。容疑対
象Aによるこの2度目のpingに応答して、容疑対象Aに向けられる容疑対象
特定ネットワーク悪化は、曲線600に沿って、第2の閾値661を通って増大
する。同様に、625で、容疑対象Aがターゲット116にログインしようと不
成功に試みる場合、ターゲット116の容疑対象特定ネットワーク悪化は増大し
(曲線630)、この事象は、容疑対象Aに向けられる容疑対象特定ネットワー
ク悪化に寄与する。635および645で、容疑対象Aがpingし続ける場合
、および/またはログイン失敗を起こし続ける場合、容疑対象特定ネットワーク
悪化は、また、曲線600に示すように、増大する。
【0047】 この処理を通じて、いくつかの閾値661〜664が越えられ得る。様々なタ
ーゲット悪化レベルを参照しながら上述された、同じおよび/または異なるタイ
プの閾値応答は、ネットワーク全体についても実現され得る。従って、閾値66
1で、LAN105上の1つ以上のノード(例えば、サーバ125)は、容疑対
象Aの能動的走査を開始して、ネットワーク全体に代わって、容疑対象Aについ
てのさらなる情報を入手し得る。閾値662で、サーバ125は、より広範囲に
わたる能動的走査を開始し、容疑対象Aの受動的走査も増大させ得る。閾値66
3で、サーバ125は、LAN105(例えば、二重ログオン)上の任意のター
ゲットノードにアクセスする増大した認証を容疑対象Aが提供することを要求し
得る。最終的に、最大閾値664で、サーバ125は、LAN105を介する容
疑対象Aとの全ての通信をブロックし得る。サーバ125は、ゲートウェイ12
0およびファイヤーウォール115と直接通信することか、またはLAN105
における全てのターゲットに信号を送信することのいずれかによってこれを達成
して、容疑対象Aとの通信を個別にブロックし得る。
【0048】 図6に示す、容疑対象特定悪化応答の1つの重要な特徴は、容疑対象Aから発
生される全てのネットワークにわたる事象に基づいて増大することである。従っ
て、容疑対象Aに向けられる容疑対象特定ターゲット悪化(曲線610、620
、630、640、および650)は、それぞれ、低く維持され、これらの事象
の各々に対する容疑対象特定ネットワーク悪化応答は、累積効果を有し、容疑対
象Aが疑わしいノードとして適切に識別される。
【0049】 容疑対象特定ネットワーク悪化は、様々な様式で計算され得る。1つの実施形
態においては、容疑対象Aについての全ての容疑対象特定ターゲット悪化レベル
の合計に過ぎない。他の実施形態においては、全ての容疑対象A容疑対象特定タ
ーゲット悪化レベルの平均である。さらに別の実施形態においては、容疑対象特
定ネットワーク悪化は、個別の容疑対象特定ターゲット悪化レベルから独立して
、計算される。この実施形態は、多数のターゲットノードを有するLANについ
て特に有用であり得る。
【0050】 例えば、LAN105に250個のターゲットノードが存在する場合、容疑対
象Aは、第1のターゲットへの認証されていないアクセスをしようとする試みを
1度だけ行い、その後、残りの249個のターゲットの各々について1度だけ試
みることに移る。容疑対象Aが、第1のターゲットに再度試みようと準備する時
には、容疑対象Aについての第1のターゲットの容疑対象特定ターゲット悪化レ
ベルは、ログイン失敗の間の時間経過に起因して、非常に低いので、閾値はトリ
ガされない。しかし、LAN105の中央貯蔵所(例えば、サーバ125)が、
容疑対象Aの動作を、ネットワーク全体にわたって追っている場合、容疑対象A
についての容疑対象特定ネットワーク悪化レベルが非常に高くなるはずである。
実際、容疑対象Aが、250個のターゲット全てに不成功にログインすることを
試みる場合、容疑対象Aについての容疑対象特定ネットワーク悪化レベルは、最
大閾値を超え、容疑対象Aとの全てのネットワーク通信が、上述したようにブロ
ックされなければならない。
【0051】 個別のターゲットの各々が、一般的にターゲットの悪化を表す「全体のターゲ
ット悪化」を維持し得るように、サーバ125(または、LAN105上の他の
ノード)は、一般的にネットワーク悪化を表す「全体のネットワーク悪化」を維
持し得る。同様に、全体のターゲット悪化応答が主に新たな事象に応答するよう
に、本実施形態における「全体のネットワーク悪化」は、主に新たなネットワー
クにわたる事象に応答する。
【0052】 従って、上記の例における容疑対象Aが、250個の個別のターゲットノード
の各々にログインしようと試みて、LAN105をわたって、1つのターゲット
から次のターゲットに移るように、全体のネットワーク悪化レベルは、容疑対象
Aに向けられる容疑対象特定ネットワーク悪化に沿って、初期的に増大する。し
かし、時間が経ち、容疑対象AがLAN105にわたってログイン失敗を起こし
続けるにつれて、全体のネットワーク悪化は、減少し得る。この動作の論理は、
全体のターゲット悪化についての論理と類似する。ネットワークが、延長された
期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって悪化す
る場合、ネットワークが全ての容疑対象について疑う必要はなく、悪化を起こす
容疑対象のみを疑えばよい。さらに、上記の例において容疑対象Aに向けられる
容疑対象特定ネットワーク悪化は、最大閾値を超えるので、ネットワークは、容
疑対象Aとの通信をブロックする工程を取る。
【0053】 全体のネットワーク悪化は、全ての全体のターゲット悪化レベルの平均を取る
ことによって、計算され得る。従って、1つの実施形態において、全体のネット
ワーク悪化レベルを維持するノード(例えば、サーバ125)は、所定の時間間
隔で、ネットワーク上のターゲットの各々をクエリし得る。あるいは、各ターゲ
ットは、全体の悪化レベルが閾値を通じて通過する場合、悪化レベルをサーバ1
25に自動的に通信する。他の実施形態において、全体のネットワーク悪化は、
全体のターゲット悪化から独立して計算される。
【0054】 上記の説明を通じて、所定の悪化閾値でのネットワークレベル反応の特定の実
現について説明した。しかし、特定の構成に依存して、本発明の基礎をなす原理
から逸脱することなく、異なる実現が採用され得る。例えば、上記の実施形態は
、ネットワーク悪化レベルを計算し、格納する中央貯蔵所として、サーバ125
を用いるが、LAN105上の任意のノードが、本発明の範囲から逸脱すること
なく、同じ機能を提供し得る。
【0055】 さらに、異なる数式を用いて、様々な閾値トリガーが計算され得る。1つの実
施形態において、閾値レベルは、複数の悪化変数を組み合わせることによって、
計算される。例えば、式A1+0.75Aターケ゛ット+0.25Aネットワーク>Tが用い られて、全体のターゲット悪化レベルの3つの部分、全体のネットワーク悪化レ
ベルの1つの部分を用い、ターゲットに到達する新たな事象に関連する悪化レベ
ルにこれらの値を加える、有効な悪化レベルが計算される。
【0056】 さらに、各流入事象は、式の無限数に基づいて、上述した異なる悪化レベルの
各々を増大させ得る。例えば、1つの実施形態において、式A=S*Countl og 2は、事象タイプ「S」の重大性および現在の事象数「Count」に基づい
て、悪化レベル「A」を調節する。
【0057】 上記の説明を通じて、ネットワークサーバ(例えば、125)および/または
1つ以上のネットワークワークステーション(例えば、110)上で実現される
、本システムの特定の実施形態を説明した。しかし、特定の構成に依存して、本
発明の基礎をなす原理から逸脱することなく、異なる実現が採用され得る。例え
ば、サーバおよび検出能力は、ハブ、スイッチ、ファイヤーウォール(例えば、
115)、ゲートウェイ(例えば、120)、または乱雑モード捕捉デバイス(
例えば、乱雑モードにおけるアダプターを有するノード118)に結合され得る
。この実施形態において、検出システムは、実現されている1つのターゲットの
みを追跡するのではなく、デバイスを通じていることを観察するトラヒックに従
って、複数のターゲットを同時に追跡し得る。この実現において、ネットワーク
悪化レベルは、デバイスによって監視されるターゲットから計算される。
【0058】 (パケットレベル分析および濾過) 本システムの1つの実施形態のワークステーション110およびサーバ125
によるLAN105にわたるデータ伝送を、データが通過する異なるネットワー
クプロトコル層を示す図2Aを参照しながら、説明する。LAN105上のワー
クステーション110またはサーバ125が、LAN105上の他のワークステ
ーション114またはサーバ125に、あるいはネットワーク130を介してL
AN145上のノード140にデータを伝送する場合、データは、図2Aに示す
各伝送層を通過する。
【0059】 図2Aに示す第1の伝送層は、物理層210である。物理層210は、生のデ
ジタルネットワークトラヒックが流れる実際の媒体を表す。例えば、LAN10
5上のワークステーション110およびサーバ125は、同軸ケーブル、撚線対
ケーブル(例えば、「10Base−T」)、光ファイバケーブルを含む、多く
の異なるタイプの媒体を用いて、物理的に接続され得る。あるいは、ワークステ
ーションおよびサーバは、ワイヤレス伝送システム(すなわち、RFまたは赤外
線伝送システム)を介して接続され得る。物理層210のすぐ上にある層は、デ
ータリンク層(別名「媒体アクセス」層)220と呼ばれる。データリンク層2
20は、物理層をわたるエラーのない伝送の提供を行うプロトコルを提供する。
これは、伝送されるデータ(すなわち、ネットワーク層225から受信されるデ
ータ)を、データフレームに組み込み、フレームを物理層210を介して連続的
に伝送することによって達成される。「イーサネット(登録商標)」および「ト
ークンリング」が、データリンクプロトコルの周知の例のうちの2つである。
【0060】 ネットワーク層225は、データリンク層220のすぐ上にあり、伝送される
データについてのネットワークアドレスを(特に)提供する。データは、ネット
ワーク層225でネットワーク「パケット」に組み込まれ、各パケットは、ヘッ
ダにソースおよび宛先アドレスを含む。インターネットプロトコルとしても公知
である、TCP/IPの「IP」部分が、周知のネットワーク層プロトコルのう
ちの1つである。
【0061】 従って、ワークステーション110またはサーバ125が、LAN105で伝
送されたデータを受信する場合、ワークステーション110またはサーバ125
は、データリンク層フレーム内のデータを受信し、各フレームは、1つ以上のネ
ットワーク層パケットを含む。その後、データリンクフレームからネットワーク
パケットを取り除き、パケットを、アプリケーション層232(データをリクエ
ストするか、または他のノードからデータをリクエストされるアプリケーション
プログラムがある)まで、残りのプロトコル層を介して伝送する。
【0062】 次に、図2Bを参照すると、侵入検出および応答システムの一部を含む分析モ
ジュール250およびフィルタモジュール260が、示されている。分析モジュ
ール250は、本発明の悪化レベル機能を提供する。分析モジュール250は、
流入ネットワークパケットを受信し、伝送されたデータおよびパケットに含まれ
るタイプのデータの原因(例えば、ping、ログインリクエストなど)を判定
する。その後、分析モジュール250は、ターゲットおよびネットワークの現在
の悪化レベルに基づいて、流入するデータをどのように処理するかを決定する。
【0063】 例えば、再度図4を参照すると、容疑対象Aに向けられる容疑対象特定ターゲ
ット悪化レベルが閾値450より上である(分析モジュール250が、容疑対象
Aからの最新の事象を含むデータパケットを受信した後)場合、分析モジュール
250は、容疑対象Aの受動的走査を開始し得る。容疑対象Aから受け取られた
新たな事象が、分析モジュールに、容疑対象Aに向けられる容疑対象特定ターゲ
ット悪化レベルを閾値451または452より上になるように高めさせる場合、
分析モジュール250は、容疑対象Aの能動的走査を開始し得る。容疑対象Aに
ついての容疑対象特定ターゲット悪化レベルが閾値455に達する場合、分析モ
ジュールは、ターゲットのリソースへのアクセスを容疑対象Aに提供する前に、
容疑対象Aからの増大した認証を要求し得る。
【0064】 最終的に、容疑対象Aに向けられる容疑対象特定ターゲット悪化は、最大閾値
レベル、例えば、閾値455より上であり、分析モジュール250は、フィルタ
モジュール260を適用して、容疑対象Aから受信したデータパケット全てを、
選択的にフィルタリングする。上記の説明は、容疑対象特定ターゲット悪化レベ
ルに焦点が当てられていたが、分析モジュール250は、上述したレベルとは異
なる、任意の他の悪化レベル(例えば、全体のターゲット悪化、全体のネットワ
ーク悪化、容疑対象特定ネットワーク悪化)に基づく新たな事象にも反応し得る
ことに留意されたい。
【0065】 分析モジュール250およびフィルタモジュール260は、パケットレベルで
、ネットワークプロトコルスタックに、(すなわち、ネットワーク層とデータリ
ンクプロトコル層との間に)挿入されることに留意されたい。従って、全てのデ
ータパケットは、分析モジュール250およびフィルタモジュール260がある
コンピュータに通過する前に、分析される。このように、「秘密」事象(転送層
230および/またはアプリケーション232層でのログをかわすように設計さ
れる事象)でさえも分析される。
【0066】 上記の説明を通じて、パケットレベル分析の特有の実施形態を説明した。しか
し、特定の構成に依存して、本発明の基礎をなす原理から逸脱することなく、異
なる実現が採用され得る。例えば、上記の実施形態は、パケット情報からのネッ
トワークおよび転送層接続事象を分析するが、代わりに、転送スタックから、同
じ情報を読み出すことを選択し得る。同様に、ログイン失敗パケットを記録する
代わりに、システムは、アプリケーション層ログおよび監査システムから、それ
らのイベントを読み出し得る。従って、パケットレベル情報は、本発明の範囲か
ら逸脱することなく、ターゲット上の他のログ、監査、および監視サブシステム
から再構成され得る。
【0067】 (イベントタイムロールアップ) 本明細書中で用いられる「イベント」は、特定の容疑対象から特定のターゲッ
トに送信される、特定のタイプのデータ通信(例えば、ping)のことをいう
。イベントデータ構造800を、図8に示す。イベント構造は、イベントタイプ
フィールド810(例えば、ping)、容疑対象識別フィールド820、ター
ゲット識別フィールド830、カウンタフィールド840、間隔フィールド85
0、およびウィンドウサイズフィールド860を含む。上記の1つ以上の悪化レ
ベルが所定の閾値レベルを超えているため、ターゲットノードまたはサーバが受
動的走査を開始する場合、ターゲットノードまたはサーバは、流入するイベント
全ての記録をログ(例えば、ハードディスクに格納)し始める。メモリを節約す
るため、多くのイベントが1つのイベント構造に結合され得る。本明細書中で「
イベントタイムロールアップ」と呼ぶこの手順を、次に、図7を参照しながら説
明する。
【0068】 時系列線710に示すように、時間Tのウィンドウサイズ860は、各イベン
トを初期的に囲む。時系列線720に示すように、2つの連続的なイベントのウ
ィンドウがオーバーラップする場合、2つのイベントは、1つのイベントデータ
オブジェクト700に結合される。従って、第2のイベントが、図中720のt 2 で到達する場合、イベントデータ構造800は、カウントデータフィールドを
1から2に増大させ、オーバーラップする2つの連続的なイベントがあることを
示す。いくつかのイベントを1つのデータオブジェクトに結合するこの方法は、
メモリを節約し、容疑対象が、ターゲットのハードドライブを大量のイベントデ
ータで充填することによってターゲットをディセーブルしようと試みる、容疑対
象による特定のタイプの攻撃を防止するためにも行われる。
【0069】 さらに、1つの実施形態のイベントウィンドウは、ダイナミックに拡大および
縮小され得る。例えば、イベントが、時系列線730に示すように、ゆっくりと
到達する場合、イベントウィンドウは、同じ時間間隔T1で分割される将来のイ
ベントが同じデータ構造800に結合されるように、拡大され得る。例えば、新
たなウィンドウは、時間間隔T1を2倍するように拡大され得る。従って、第1
および第2のイベントが、10分間隔で分割され、デフォルトウィンドウTが1
5分である場合、ウィンドウは、20分まで拡大される。さらに、イベント速度
がゆっくりと低減する場合、ウィンドウは、維持するために、拡大し続ける。
【0070】 イベントウィンドウサイズに影響を与え得る他の変数は、上記の1つ以上の悪
化レベルである。概して、より深刻であると分類されるイベント(すなわち、1
つ以上の悪化レベルに基づいて容疑対象によって攻撃される可能性が高いイベン
ト)は、イベントウィンドウが拡大する原因となる。従って、概して、ログイン
失敗イベントについてのデフォルトウィンドウサイズは、pingイベントにつ
いてのデフォルトウィンドウより大きい。
【0071】 1つの実施形態において、1つのデータオブジェクトに連続的なイベントを含
むかどうか判定する場合に考慮される唯一のウィンドウは、現在流入しているイ
ベント(例えば、720のt2でのイベントおよび730のt3でのイベント)に
関連するウィンドウである。この実施形態において、唯一の問題は、以前のイベ
ント(例えば、720および730のt1で発生する)が、新たなイベントのウ
ィンドウの範囲内にはいるかどうかである。従って、この実施形態において、新
たなイベント(例えば、t2でのイベント)についての現在のウィンドウは、概
して、t1を囲むウィンドウがもはや要因ではなくなるので、同じ効果を生み出
すためには大きくなる必要がある。
【0072】 (差異報告) さらに、所定の期間に起こる全ての新たなイベントをまとめる周期的報告が発
生され得る。例えば、図9に、一連のイベント930〜960が起こる、2つの
期間910および920を示す。期間910は、報告がすでに発生された期間を
表す。図9に示すように、第1のイベントシリーズA930は、間隔IAで分割
された2つ以上のイベントのシリーズを表す。イベントシリーズA930に含ま
れるイベントは、全て、同じタイプ、容疑対象、およびターゲットのイベントで
ある。これらのイベントは、イベントシリーズAが両方の期間で起こるイベント
を含むので、第2の期間920の終わりに発生される差異報告には含まれない。
【0073】 同様に、同じタイプ、容疑対象およびターゲットのイベントが期間910およ
び920の両方で起こるので、イベントシリーズB940および945は記録さ
れない。従って、1つの実施形態において、差異報告の作成における第1の工程
は、問題のイベントのシリーズが、2つの期間の間でオーバーラップするかどう
か判定することである。イベントシリーズがオーバーラップする場合、差異報告
には含まれない。オーバーラップしない場合、以前の期間内のイベントデータオ
ブジェクトは、検索されて、同じタイプ、容疑対象、およびターゲットのイベン
トのうち1つが記録されているかどうか判定される。このようなイベントデータ
オブジェクトが見受けられる場合、イベントは、差異報告には含まれない。従っ
て、差異報告は、2つのイベントが(イベントロールアップ方法を用いて)1つ
のより長期間のイベントに結合されたのか、または、2つの別個のイベントとし
て結合されていないままなのかどうか、同じ結果を生成する。
【0074】 対照的に、イベントC950は、第2の期間の間にのみ起こり、従って、第2
の期間920の終わりに発生される差異報告に表れる。イベントシリーズDがこ
の期間の間に起こらないので、イベントシリーズDは、第2の期間920の後に
発生された差異報告には含まれない。イベントシリーズDについて差異報告が発
生される場合、第1の期間910の終わりに発生される。
【0075】 新たなイベント(すなわち、同じタイプ、容疑対象、および被害者のイベント
)のみを記録する理由は、擬陽性の(すなわち、疑わしいと識別すべきでない場
合にイベントを疑わしいと識別する)問題を軽減するからである。すなわち、期
間ごとに起こるイベントは、概して、疑わしいとは考えられない。
【図面の簡単な説明】
【図1】 図1は、概して、本発明の1つの実施形態による、より大きなネットワークを
介して通信する、2つのローカルエリアネットワークおよびインターネットサー
ビスプロバイダ(「ISP」)を示す図である。
【図2A】 図2Aは、本発明の1つの実施形態による、OSIプロトコルスタックの部分
を示す図である。
【図2B】 図2Bは、本発明の1つの実施形態による、OSIスタックのデータリンク層
とネットワーク層との間で実現される、分析およびフィルタシステムを示す図で
ある。
【図3】 図3は、本発明の1つの実施形態による、悪化応答を示すグラフである。
【図4】 図4は、本発明の1つの実施形態による、全体のターゲット悪化応答および容
疑対象特定ターゲット悪化応答を示すグラフである。
【図5】 図5は、本発明の他の実施形態による、全体のターゲット悪化応答および容疑
対象特定ターゲット悪化応答を示すグラフである。
【図6】 図6は、本発明の他の実施形態による、容疑対象特定ネットワーク悪化応答を
示すグラフである。
【図7】 図7は、本発明の1つの実施形態による、イベントオーバーラップの動作を示
すグラフである。
【図8】 図8は、本発明の1つの実施形態による、イベントデータオブジェクトを示す
グラフである。
【図9】 図9は、差異報告を計算するために用いられる2つの期間を示す図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C R,CU,CZ,DE,DK,DM,EE,ES,FI ,GB,GD,GE,GH,GM,HR,HU,ID, IL,IN,IS,JP,KE,KG,KP,KR,K Z,LC,LK,LR,LS,LT,LU,LV,MA ,MD,MG,MK,MN,MW,MX,NO,NZ, PL,PT,RO,RU,SD,SE,SG,SI,S K,SL,TJ,TM,TR,TT,TZ,UA,UG ,US,UZ,VN,YU,ZA,ZW Fターム(参考) 5B085 AC01 AC11 AE00 AE06 5B089 GA12 GA21 GA31 GB02 HA10 JB10 KA12 5K030 GA15 HA08

Claims (40)

    【特許請求の範囲】
  1. 【請求項1】 コンピュータ読み出し可能媒体に格納される一連の命令を含
    む製造物であって、ネットワークノードにより実行される場合、該ネットワーク
    ノードに 1つ以上の容疑対象ノードから生成するデータ伝送に基く警告変数を修正する
    動作と、 該警告変数が第1の所定の閾値レベルに達する場合に第1の応答を引き起こす
    動作と、 該警告変数が第2の所定の閾値レベルに達する場合に第2の応答を引き起こす
    動作と、 を実行させる製造物。
  2. 【請求項2】 前記警告変数が1つ以上のさらなる閾値レベルに達する場合
    に、さらなる応答を引き起こす工程をさらに含む、請求項1に記載される製造物
  3. 【請求項3】 前記引き起こされる応答の内の1つが、1つ以上の前記容疑
    対象ノードの受動的走査を含む、請求項1に記載される製造物。
  4. 【請求項4】 前記受動的走査が、ログファイルにデータ伝送を記録する工
    程を含む、請求項3に記載される製造物。
  5. 【請求項5】 前記引き起こされる応答の内の1つが、1つ以上の容疑対象
    ノードの能動的走査を含む、請求項1に記載される製造物。
  6. 【請求項6】 前記能動的走査が、前記容疑対象ノードのネットワークアド
    レスを含む1つ以上の該容疑対象ノードに関する情報を検索する工程を含む、請
    求項5に記載される製造物。
  7. 【請求項7】 前記能動的走査が、1つ以上の前記容疑対象ノードから生成
    するデータが用いるネットワークルートを決定する工程を含む、請求項5に記載
    される製造物。
  8. 【請求項8】 前記引き起こされる応答の内の1つが、リソ−スにアクセス
    する以前に他の任意のノードからの増加した認証を要求する前記ネットワークノ
    ードを含む、請求項1に記載される製造物。
  9. 【請求項9】 前記ソ−スにアクセスする以前に、前記増加した認証が2つ
    以上のログインを課す工程を含む、請求項8に記載される製造物。
  10. 【請求項10】 前記引き起こされる応答の内の1つが、流入するデータ伝
    送をブロックする工程を含む、請求項1に記載される製造物。
  11. 【請求項11】 前記警告変数が、特定のデータ伝送のタイプに時間をかけ
    て異なる応答をする、請求項1に記載される製造物。
  12. 【請求項12】 特定のデータ伝送のタイプの連続する受信に応答して、前
    記警告変数が、所定の値に達するまで連続して増加する、請求項11に記載され
    る製造物。
  13. 【請求項13】 前記容疑対象ノードから生成する前記特定のデータ伝送の
    タイプが無効なログイン試行である、請求項12に記載される製造物。
  14. 【請求項14】 特定のデータ伝送のタイプの連続する受信に応答して前記
    警告変数が最初に増加し、次に該特定のデータ伝送のタイプの連続する受信に応
    答して減少する、請求項11に記載される製造物。
  15. 【請求項15】 前記容疑対象ノードから生成する前記特定のデータ伝送の
    タイプが、前記ネットワークノード(例えば、「ping」コマンド)に関する
    情報を検索する伝送である、請求項14に記載される製造物。
  16. 【請求項16】 前記データ伝送が、ネットワークパケットレベルで前記ネ
    ットワークノードにより分析される、請求項1に記載される製造物。
  17. 【請求項17】 前記データ伝送が、ネットワークパケットレベルで前記ネ
    ットワークノードによりフィルタリングされる、請求項16に記載される製造物
  18. 【請求項18】 コンピュータ読み出し可能媒体に格納される一連の命令を
    含む製造物であって、該ネットワークノードにより実行される場合、該ネットワ
    ークノードに 第1の容疑対象ノードから生成するデータ伝送に基く第1の容疑対象特定の警
    告変数を修正する動作と、 第2の容疑対象ノードから生成するデータ伝送に基く第2の容疑対象特定の警
    告変数を修正する動作と、 該容疑対象特定の警告変数のどちらかが所定の閾値レベルに達する場合に容疑
    対象特定の応答を引き起こす動作と、 を実行させる製造物。
  19. 【請求項19】 前記容疑対象特定の警告変数のどちらかがさらなる所定の
    閾値レベルに達する場合に、さらなる容疑対象特定の応答を引き起こす動作を含
    む、請求項18に記載される製造物。
  20. 【請求項20】 前記容疑対象ノードの各々から生成する前記データ伝送に
    基く全警告変数を修正する動作を含む、請求項18に記載される製造物。
  21. 【請求項21】 前記全警告変数が所定の閾値レベルに達する場合に、複数
    の前記容疑対象ノードそれぞれへの応答を引き起こす動作を含む、請求項20に
    記載される製造物。
  22. 【請求項22】 前記全警告変数は、前記ネットワークノードで以前受信し
    たデータ伝送に対してよりも新しいタイプのデータ伝送に対してより応答性であ
    る、請求項20に記載される製造物。
  23. 【請求項23】 特定の容疑対象ノードから生成するデータ伝送に応答して
    前記警告変数を初めに増加させ、次に該特定の容疑対象ノードから前記データ伝
    送を連続して受信するときに該全警告変数を減少させる動作を含む、請求項22
    に記載される製造物。
  24. 【請求項24】 前記容疑対象特定の警告変数のそれぞれをサーバノード上
    に常駐するネットワークデータベースと通信させる動作を含む、請求項18に記
    載される製造物。
  25. 【請求項25】 前記全警告変数をサーバノード上に常駐するネットワーク
    データベースと通信させる動作を含む、請求項20に記載される製造物。
  26. 【請求項26】 コンピュータ読み出し可能媒体に格納される一連の命令を
    含む製造物であって、ネットワークサーバノードにより実行される場合、該ネッ
    トワークサーバノードに 複数のネットワークノードについて複数の容疑対象特定の警告変数を格納する
    動作と、 該複数の容疑対象特定の警告変数の各値に基くネットワーク警告変数を修正す
    る動作と、 該ネットワーク警告変数が所定の閾値レベルに達する場合にネットワーク応答
    を引き起こす動作と、 を実行させる製造物。
  27. 【請求項27】 前記ネットワーク応答が複数のネットワークノードのそれ
    ぞれに、該複数のネットワークのそれぞれが特定の容疑対象ノードへの自身の容
    疑対象特定の警告変数をそれぞれ増加すべきであることを通知する動作を含む、
    請求項26に記載される製造物。
  28. 【請求項28】 前記ネットワーク応答が、特定の容疑対象ノードの受動的
    走査を開始する前記ネットワークサーバノードの動作を含む、請求項27に記載
    される製造物。
  29. 【請求項29】 前記ネットワーク応答が、特定の容疑対象ノードの能動的
    走査を開始する前記ネットワークサーバノードの動作を含む、請求項27に記載
    される製造物。
  30. 【請求項30】 前記ネットワーク応答が、前記容疑対象ノードと前記複数
    のネットワークノードとの間の全通信をブロックする動作を含む、請求項29に
    記載される製造物。
  31. 【請求項31】 コンピュータ読み出し可能媒体に格納される一連の命令を
    含む製造物であって、ネットワークサーバノードにより実行される場合、該ネッ
    トワークサーバノードに、 複数のネットワークノードについて複数の全警告変数を格納する動作と、 該複数の全警告変数の各値に基くネットワーク警告変数を修正する動作と、 該ネットワーク警告変数が所定の閾値レベルに達する場合にネットワーク応答
    を引き起こす動作と、 を実行させる製造物。
  32. 【請求項32】 容疑対象ノードからの第1の事象を受信する工程と、 事象カウント値を有する第1のデータ構造に該第1の事象を記録する工程と、 該容疑対象ノードから第2の事象を受信する工程であって、該第2の事象が該
    第1の事象を同じタイプの事象である、工程と、 該第2の事象が、該第1の事象後に所定の時間のウインドウ内で生じる場合、
    該第2の事象を該第1のデータ構造に記録し、該カウント値を増加させる工程と
    、 を包含する方法。
  33. 【請求項33】 前記第2の事象が、前記第1の事象後に前記所定の時間の
    ウインドウの外側で生じる場合、該第2の事象をカウント値を有する第2のデー
    タ構造に記録する工程をさらに包含する、請求項32に記載される方法。
  34. 【請求項34】 前記第2の事象が前記所定の時間のウインドウの外側で生
    じることに応答して、該所定の時間のウインドウが増加する、請求項33に記載
    される方法。
  35. 【請求項35】 前記第1または第2の事象のタイプに基いて、前記所定の
    時間のウインドウが修正される、請求項32に記載される方法。
  36. 【請求項36】 前記時間のウインドウが、より重大な事象のタイプに対し
    て増加し、あまり重大でない事象のタイプに対して減少する、請求項35に記載
    される方法。
  37. 【請求項37】 前記事象タイプが無効なログインである、請求項36に記
    載される方法。
  38. 【請求項38】 前記事象タイプがpingである、請求項36に記載され
    る方法。
  39. 【請求項39】 所定時間期間にわたって生じる新しい事象全てのレポート
    を作成する工程をさらに包含する、請求項32に記載される方法。
  40. 【請求項40】 事象が前記所定の時間期間より前の時間期間に受信された
    1つ以上の以前の事象を備える単一データ構造に含まれるかどうかを判定する工
    程と、 該事象が、1つ以上の以前の事象を備える該単一データ構造に含まれない場合
    、該所定の時間期間の前の所定の該時間期間の間に生成される全データ構造を検
    索する工程と、 該事象が、該所定の時間期間の前の該時間期間の間に生成されるいかなるデー
    タ構造においても認識されない場合、該レポートに該事象を含む工程と、 により該事象が新しい事象として認識される、請求項39に記載される方法。
JP2000587259A 1998-12-09 1999-12-03 ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 Expired - Fee Related JP4501280B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11163898P 1998-12-09 1998-12-09
US60/111,638 1998-12-09
US44750099A 1999-11-23 1999-11-23
US09/447,500 1999-11-23
PCT/US1999/028717 WO2000034867A1 (en) 1998-12-09 1999-12-03 A method and apparatus for providing network and computer system security

Publications (3)

Publication Number Publication Date
JP2003524925A true JP2003524925A (ja) 2003-08-19
JP2003524925A5 JP2003524925A5 (ja) 2007-02-01
JP4501280B2 JP4501280B2 (ja) 2010-07-14

Family

ID=26809096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000587259A Expired - Fee Related JP4501280B2 (ja) 1998-12-09 1999-12-03 ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置

Country Status (6)

Country Link
US (1) US7934254B2 (ja)
EP (1) EP1149339A1 (ja)
JP (1) JP4501280B2 (ja)
AU (1) AU2164700A (ja)
IL (1) IL143573A0 (ja)
WO (1) WO2000034867A1 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
JP2006345014A (ja) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> 攻撃トラヒック防御システムおよび方法
JP2008512970A (ja) * 2004-09-09 2008-04-24 アバイア テクノロジー コーポレーション ネットワーク・トラフィックのセキュリティのための方法およびシステム
WO2009119049A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
JP2010039749A (ja) * 2008-08-05 2010-02-18 Nippon Telegr & Teleph Corp <Ntt> アクセス先スコアリング方法およびそのプログラム

Families Citing this family (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
US7380272B2 (en) 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US7917393B2 (en) 2000-09-01 2011-03-29 Sri International, Inc. Probabilistic alert correlation
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US20110219035A1 (en) * 2000-09-25 2011-09-08 Yevgeny Korsunsky Database security via data flow processing
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US20100042565A1 (en) * 2000-09-25 2010-02-18 Crossbeam Systems, Inc. Mezzazine in-depth data analysis facility
US9800608B2 (en) * 2000-09-25 2017-10-24 Symantec Corporation Processing data flows with a data flow processor
US20110231564A1 (en) * 2000-09-25 2011-09-22 Yevgeny Korsunsky Processing data flows with a data flow processor
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US20020133603A1 (en) * 2001-03-13 2002-09-19 Fujitsu Limited Method of and apparatus for filtering access, and computer product
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7715819B2 (en) * 2001-08-03 2010-05-11 The Boeing Company Airborne security manager
US20030033541A1 (en) * 2001-08-07 2003-02-13 International Business Machines Corporation Method and apparatus for detecting improper intrusions from a network into information systems
EP1315066A1 (en) * 2001-11-21 2003-05-28 BRITISH TELECOMMUNICATIONS public limited company Computer security system
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
CA2479789A1 (en) * 2002-03-28 2003-10-09 British Telecommunications Public Limited Company Method and apparatus for network security
EP1355468A1 (en) * 2002-04-19 2003-10-22 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for network security
CA2479628A1 (en) 2002-03-28 2003-10-09 British Telecommunications Public Limited Company Method and apparatus for network security
TWI235580B (en) * 2002-05-03 2005-07-01 Ke-Cheng Fang Network security system and method for recording and resisting hacker
WO2004028121A2 (en) 2002-09-23 2004-04-01 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection
WO2005116797A1 (en) 2004-05-19 2005-12-08 Computer Associates Think, Inc. Method and system for isolating suspicious email
US9256740B2 (en) 2005-02-22 2016-02-09 International Business Machines Corporation Method and system for analysis of security events in a managed computer network
US7831522B1 (en) * 2006-09-28 2010-11-09 Symantec Corporation Evaluating relying parties
US7835348B2 (en) * 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
EP2009865A1 (en) * 2007-06-25 2008-12-31 Alcatel Lucent Method of providing an access control system
US9032514B1 (en) * 2007-08-21 2015-05-12 Mcafee, Inc. Potential data leakage reporting system, method, and computer program product
US8326987B2 (en) * 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
US8631080B2 (en) * 2009-03-12 2014-01-14 Microsoft Corporation Email characterization
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US9705899B2 (en) * 2010-01-26 2017-07-11 Bae Systems Information And Electronic Systems Integration Inc. Digital filter correlation engine
US8776226B2 (en) * 2010-01-26 2014-07-08 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting SSH login attacks
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9117074B2 (en) 2011-05-18 2015-08-25 Microsoft Technology Licensing, Llc Detecting a compromised online user account
US20130018965A1 (en) * 2011-07-12 2013-01-17 Microsoft Corporation Reputational and behavioral spam mitigation
US9087324B2 (en) 2011-07-12 2015-07-21 Microsoft Technology Licensing, Llc Message categorization
US9065826B2 (en) 2011-08-08 2015-06-23 Microsoft Technology Licensing, Llc Identifying application reputation based on resource accesses
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
CN102664876A (zh) * 2012-04-10 2012-09-12 星云融创(北京)科技有限公司 网络安全检测方法及系统
CN102868685B (zh) * 2012-08-29 2015-04-15 北京神州绿盟信息安全科技股份有限公司 一种判定自动扫描行为的方法及装置
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
CN103347074A (zh) * 2013-07-01 2013-10-09 中山司南物联网科技有限公司 一种多级物联网连接服务系统
US9684354B2 (en) * 2013-07-31 2017-06-20 Conduent Business Services, Llc Remote customer relationship management activity workspace
US9325735B1 (en) 2013-10-31 2016-04-26 Palo Alto Networks, Inc. Selective sinkholing of malware domains by a security device via DNS poisoning
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
CN105095726B (zh) * 2014-05-08 2018-05-11 阿里巴巴集团控股有限公司 生成验证码的方法及装置
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
PL3095034T3 (pl) 2014-10-21 2019-11-29 Ironnet Cybersecurity Inc Układ zabezpieczeń cybernetycznych
US9495865B2 (en) * 2014-11-24 2016-11-15 At&T Intellectual Property I, L.P. Power-line communications
US20160171415A1 (en) 2014-12-13 2016-06-16 Security Scorecard Cybersecurity risk assessment on an industry basis
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
US10193929B2 (en) * 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
CN104753948B (zh) * 2015-04-03 2019-01-15 西安邮电大学 一种基于三重实值否定选择的入侵检测方法
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
US10476891B2 (en) * 2015-07-21 2019-11-12 Attivo Networks Inc. Monitoring access of network darkspace
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
ES2728337T3 (es) 2016-07-14 2019-10-23 Ironnet Cybersecurity Inc Simulación y realidad virtual basada en sistemas de comportamiento cibernético
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US10367846B2 (en) 2017-11-15 2019-07-30 Xm Cyber Ltd. Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign
EP3643040A4 (en) 2017-08-08 2021-06-09 SentinelOne, Inc. METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING
US11050780B2 (en) * 2017-12-06 2021-06-29 International Business Machines Corporation Methods and systems for managing security in computing networks
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US10469521B1 (en) * 2018-11-04 2019-11-05 Xm Cyber Ltd. Using information about exportable data in penetration testing
US11283827B2 (en) 2019-02-28 2022-03-22 Xm Cyber Ltd. Lateral movement strategy during penetration testing of a networked system
US11206281B2 (en) 2019-05-08 2021-12-21 Xm Cyber Ltd. Validating the use of user credentials in a penetration testing campaign
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US10880326B1 (en) 2019-08-01 2020-12-29 Xm Cyber Ltd. Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic
US11729134B2 (en) 2019-09-30 2023-08-15 Palo Alto Networks, Inc. In-line detection of algorithmically generated domains
US11005878B1 (en) 2019-11-07 2021-05-11 Xm Cyber Ltd. Cooperation between reconnaissance agents in penetration testing campaigns
US11575700B2 (en) 2020-01-27 2023-02-07 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
US11582256B2 (en) 2020-04-06 2023-02-14 Xm Cyber Ltd. Determining multiple ways for compromising a network node in a penetration testing campaign
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05327691A (ja) * 1992-05-25 1993-12-10 Toshiba Corp 不正ユーザアクセス防止システム
JPH06152699A (ja) * 1992-11-04 1994-05-31 Fujitsu Ltd ポリシング・ユーザ・インタフェース方式
JPH06350698A (ja) * 1993-03-31 1994-12-22 American Teleph & Telegr Co <Att> 通信ネットワーク利用モニタ方法
JPH09128336A (ja) * 1995-11-06 1997-05-16 Hitachi Ltd ネットワークセキュリティシステム
JPH10210033A (ja) * 1997-01-28 1998-08-07 Hitachi Ltd ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
JPH11502982A (ja) * 1995-03-30 1999-03-09 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー 通信サービスの不正使用の検出

Family Cites Families (221)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4223380A (en) 1978-04-06 1980-09-16 Ncr Corporation Distributed multiprocessor communication system
JPS55112651A (en) 1979-02-21 1980-08-30 Fujitsu Ltd Virtual computer system
US4672609A (en) 1982-01-19 1987-06-09 Tandem Computers Incorporated Memory system with operation error detection
US4773028A (en) 1984-10-01 1988-09-20 Tektronix, Inc. Method and apparatus for improved monitoring and detection of improper device operation
US4819234A (en) 1987-05-01 1989-04-04 Prime Computer, Inc. Operating system debugger
CA1314101C (en) 1988-02-17 1993-03-02 Henry Shao-Lin Teng Expert system for security inspection of a digital computer system in a network environment
US5121345A (en) 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
US4975950A (en) 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US5347450A (en) 1989-01-18 1994-09-13 Intel Corporation Message routing in a multiprocessor computer system
US5353393A (en) 1989-06-14 1994-10-04 Sunwest Trading Corporation Apparatus and method for manipulating scanned documents in a computer aided design system
US5347579A (en) 1989-07-05 1994-09-13 Blandford Robert R Personal computer diary
US5204966A (en) 1990-03-09 1993-04-20 Digital Equipment Corporation System for controlling access to a secure system by verifying acceptability of proposed password by using hashing and group of unacceptable passwords
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5032979A (en) 1990-06-22 1991-07-16 International Business Machines Corporation Distributed security auditing subsystem for an operating system
US5210704A (en) 1990-10-02 1993-05-11 Technology International Incorporated System for prognosis and diagnostics of failure and wearout monitoring and for prediction of life expectancy of helicopter gearboxes and other rotating equipment
JPH04310188A (ja) 1991-03-01 1992-11-02 Internatl Business Mach Corp <Ibm> 文書/画像ライブラリのためのライブラリサービス方法
US5274824A (en) 1991-03-01 1993-12-28 Bull Hn Information Systems Inc. Keyring metaphor for user's security keys on a distributed multiprocess data system
EP0510244A1 (en) 1991-04-22 1992-10-28 Acer Incorporated Method and apparatus for protecting a computer system from computer viruses
US5774727A (en) 1991-06-27 1998-06-30 Digital Equipment Corporation Parallel processing system for virtual processor implementation of machine-language instructions
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5309562A (en) 1991-08-19 1994-05-03 Multi-Tech Systems, Inc. Method and apparatus for establishing protocol spoofing from a modem
US5454074A (en) 1991-09-18 1995-09-26 The Boeing Company Electronic checklist system
US5649095A (en) 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
US5311593A (en) 1992-05-13 1994-05-10 Chipcom Corporation Security system for a network concentrator
US5359659A (en) 1992-06-19 1994-10-25 Doren Rosenthal Method for securing software against corruption by computer viruses
US5371852A (en) 1992-10-14 1994-12-06 International Business Machines Corporation Method and apparatus for making a cluster of computers appear as a single host on a network
US5345595A (en) * 1992-11-12 1994-09-06 Coral Systems, Inc. Apparatus and method for detecting fraudulent telecommunication activity
JP2501771B2 (ja) 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5440723A (en) 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5586260A (en) 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
GB9303527D0 (en) 1993-02-22 1993-04-07 Hewlett Packard Ltd Network analysis method
CN1055596C (zh) 1993-02-23 2000-08-16 英国电讯有限公司 对长途通信网中警报信号自动处理的网络管理系统及方法
US5630061A (en) 1993-04-19 1997-05-13 International Business Machines Corporation System for enabling first computer to communicate over switched network with second computer located within LAN by using media access control driver in different modes
US5398196A (en) 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
KR100195076B1 (ko) * 1993-09-16 1999-06-15 윤종용 용융탄산염 연료전지용 양전극의 제조방법
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5515508A (en) 1993-12-17 1996-05-07 Taligent, Inc. Client server system and method of operation including a dynamically configurable protocol stack
US5974457A (en) 1993-12-23 1999-10-26 International Business Machines Corporation Intelligent realtime monitoring of data traffic
US5557742A (en) 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5522026A (en) 1994-03-18 1996-05-28 The Boeing Company System for creating a single electronic checklist in response to multiple faults
US5675711A (en) 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
DE69511556D1 (de) 1994-06-01 1999-09-23 Quantum Leap Innovations Inc Computervirenfalle
US5999711A (en) 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US6006016A (en) 1994-11-10 1999-12-21 Bay Networks, Inc. Network fault correlation
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
CA2138302C (en) 1994-12-15 1999-05-25 Michael S. Fortinsky Provision of secure access to external resources from a distributed computing environment
US5590331A (en) 1994-12-23 1996-12-31 Sun Microsystems, Inc. Method and apparatus for generating platform-standard object files containing machine-independent code
JPH08242229A (ja) 1995-03-01 1996-09-17 Fujitsu Ltd ネットワーク監視における状態整合処理システム
US5696486A (en) 1995-03-29 1997-12-09 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
US5749066A (en) 1995-04-24 1998-05-05 Ericsson Messaging Systems Inc. Method and apparatus for developing a neural network for phoneme recognition
US5734697A (en) 1995-04-28 1998-03-31 Mci Corporation Method and apparatus for improving telecommunications system performance
US5790799A (en) 1995-05-17 1998-08-04 Digital Equipment Corporation System for sampling network packets by only storing the network packet that its error check code matches with the reference error check code
US6061795A (en) 1995-07-31 2000-05-09 Pinnacle Technology Inc. Network desktop management security system and method
US6477585B1 (en) 1995-08-18 2002-11-05 International Business Machines Corporation Filter mechanism for an event management service
US6144961A (en) 1995-08-31 2000-11-07 Compuware Corporation Method and system for non-intrusive measurement of transaction response times on a network
US5878420A (en) 1995-08-31 1999-03-02 Compuware Corporation Network monitoring and management system
US5623600A (en) 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US5854916A (en) 1995-09-28 1998-12-29 Symantec Corporation State-based cache for antivirus software
US5826013A (en) 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5765030A (en) 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US6067410A (en) 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5696822A (en) 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US5745692A (en) 1995-10-23 1998-04-28 Ncr Corporation Automated systems administration of remote computer servers
US5838903A (en) 1995-11-13 1998-11-17 International Business Machines Corporation Configurable password integrity servers for use in a shared resource environment
US5832211A (en) 1995-11-13 1998-11-03 International Business Machines Corporation Propagating plain-text passwords from a main registry to a plurality of foreign registries
US5764887A (en) 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
GB9526129D0 (en) 1995-12-21 1996-02-21 Philips Electronics Nv Machine code format translation
JP3165366B2 (ja) 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
JPH09214493A (ja) 1996-02-08 1997-08-15 Hitachi Ltd ネットワークシステム
US5761504A (en) 1996-02-16 1998-06-02 Motorola, Inc. Method for updating a software code in a communication system
US5950012A (en) 1996-03-08 1999-09-07 Texas Instruments Incorporated Single chip microprocessor circuits, systems, and methods for self-loading patch micro-operation codes and patch microinstruction codes
US5964839A (en) 1996-03-29 1999-10-12 At&T Corp System and method for monitoring information flow and performing data collection
US5822517A (en) 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US6377994B1 (en) 1996-04-15 2002-04-23 International Business Machines Corporation Method and apparatus for controlling server access to a resource in a client/server system
US6014645A (en) 1996-04-19 2000-01-11 Block Financial Corporation Real-time financial card application system
US5881236A (en) 1996-04-26 1999-03-09 Hewlett-Packard Company System for installation of software on a remote computer system over a network using checksums and password protection
US6104783A (en) 1996-05-01 2000-08-15 Instant Alert Security, Llc Method and apparatus for securing a site utilizing a security apparatus in cooperation with telephone systems
US5884033A (en) 1996-05-15 1999-03-16 Spyglass, Inc. Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions
US5798706A (en) 1996-06-18 1998-08-25 Raptor Systems, Inc. Detecting unauthorized network communication
US5857191A (en) 1996-07-08 1999-01-05 Gradient Technologies, Inc. Web application server with secure common gateway interface
US5787177A (en) 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US5828833A (en) 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US5864665A (en) 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5845067A (en) 1996-09-09 1998-12-01 Porter; Jack Edward Method and apparatus for document management utilizing a messaging system
US5892903A (en) 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5983350A (en) 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5899999A (en) 1996-10-16 1999-05-04 Microsoft Corporation Iterative convolution filter particularly suited for use in an image classification and retrieval system
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6167520A (en) 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6154844A (en) 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5848233A (en) 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US5974237A (en) 1996-12-18 1999-10-26 Northern Telecom Limited Communications network monitoring
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US5875296A (en) 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US6085224A (en) 1997-03-11 2000-07-04 Intracept, Inc. Method and system for responding to hidden data and programs in a datastream
US5983270A (en) 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US5925126A (en) 1997-03-18 1999-07-20 Memco Software, Ltd. Method for security shield implementation in computer system's software
US5987606A (en) 1997-03-19 1999-11-16 Bascom Global Internet Services, Inc. Method and system for content filtering information retrieved from an internet computer network
US6477648B1 (en) 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
US5893091A (en) * 1997-04-11 1999-04-06 Immediata Corporation Multicasting with key words
US5964889A (en) 1997-04-16 1999-10-12 Symantec Corporation Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator
JP3028783B2 (ja) 1997-04-25 2000-04-04 日本電気株式会社 ネットワークの監視方法と装置
US6314525B1 (en) 1997-05-13 2001-11-06 3Com Corporation Means for allowing two or more network interface controller cards to appear as one card to an operating system
US5922051A (en) * 1997-05-14 1999-07-13 Ncr Corporation System and method for traffic management in a network management system
US6119234A (en) 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US6073172A (en) 1997-07-14 2000-06-06 Freegate Corporation Initializing and reconfiguring a secure network interface
KR19990011713A (ko) 1997-07-25 1999-02-18 윤종용 시나리오형 사용자 인터페이스에 의한 문자 정보 전송
EP0898245B1 (en) 1997-08-05 2004-04-14 Canon Kabushiki Kaisha Image processing method and apparatus
US5919257A (en) 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US5978917A (en) 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6275938B1 (en) 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6009467A (en) 1997-08-29 1999-12-28 International Business Machines Corporation System for checking status of supported functions of communication platforms at preselected intervals in order to allow hosts to obtain updated list of all supported functions
US6016553A (en) 1997-09-05 2000-01-18 Wild File, Inc. Method, software and apparatus for saving, using and recovering data
IL126149A (en) 1997-09-09 2003-07-31 Sanctum Ltd Method and system for protecting operations of trusted internal networks
US5983348A (en) 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US5961644A (en) 1997-09-19 1999-10-05 International Business Machines Corporation Method and apparatus for testing the integrity of computer security alarm systems
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US5991856A (en) 1997-09-30 1999-11-23 Network Associates, Inc. System and method for computer operating system protection
US6003132A (en) 1997-10-22 1999-12-14 Rvt Technologies, Inc. Method and apparatus for isolating a computer system upon detection of viruses and similar data
US6081894A (en) 1997-10-22 2000-06-27 Rvt Technologies, Inc. Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data
US6035323A (en) 1997-10-24 2000-03-07 Pictra, Inc. Methods and apparatuses for distributing a collection of digital media over a network with automatic generation of presentable media
US6041347A (en) 1997-10-24 2000-03-21 Unified Access Communications Computer system and computer-implemented process for simultaneous configuration and monitoring of a computer network
JP2001521250A (ja) 1997-10-27 2001-11-06 マサチューセッツ・インスティチュート・オブ・テクノロジー 情報の検索および検索システム
US6070244A (en) 1997-11-10 2000-05-30 The Chase Manhattan Bank Computer network security management system
US6119165A (en) 1997-11-17 2000-09-12 Trend Micro, Inc. Controlled distribution of application programs in a computer network
US6108799A (en) 1997-11-21 2000-08-22 International Business Machines Corporation Automated sample creation of polymorphic and non-polymorphic marcro viruses
US6026442A (en) * 1997-11-24 2000-02-15 Cabletron Systems, Inc. Method and apparatus for surveillance in communications networks
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6021510A (en) 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6118940A (en) 1997-11-25 2000-09-12 International Business Machines Corp. Method and apparatus for benchmarking byte code sequences
IL122314A (en) 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6052709A (en) 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6088803A (en) 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6035423A (en) 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US6029256A (en) 1997-12-31 2000-02-22 Network Associates, Inc. Method and system for allowing computer programs easy access to features of a virus scanning engine
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6122738A (en) 1998-01-22 2000-09-19 Symantec Corporation Computer file integrity verification
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6195687B1 (en) 1998-03-18 2001-02-27 Netschools Corporation Method and apparatus for master-slave control in a educational classroom communication network
US6628824B1 (en) 1998-03-20 2003-09-30 Ken Belanger Method and apparatus for image identification and comparison
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6161109A (en) 1998-04-16 2000-12-12 International Business Machines Corporation Accumulating changes in a database management system by copying the data object to the image copy if the data object identifier of the data object is greater than the image identifier of the image copy
US6298445B1 (en) 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6070190A (en) 1998-05-11 2000-05-30 International Business Machines Corporation Client-based application availability and response monitoring and reporting for distributed computing environments
US6173413B1 (en) 1998-05-12 2001-01-09 Sun Microsystems, Inc. Mechanism for maintaining constant permissions for multiple instances of a device within a cluster
US6397242B1 (en) 1998-05-15 2002-05-28 Vmware, Inc. Virtualization system including a virtual machine monitor for a computer with a segmented architecture
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6347374B1 (en) 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
CA2335600A1 (en) 1998-06-22 1999-12-29 Charles T. Gambetta Virtual data storage (vds) system
US6185689B1 (en) 1998-06-24 2001-02-06 Richard S. Carson & Assoc., Inc. Method for network self security assessment
US6324656B1 (en) 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6282546B1 (en) 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US6661904B1 (en) 1998-07-15 2003-12-09 Personalogo Method and system for automated electronic conveyance of hidden data
US6453346B1 (en) 1998-07-17 2002-09-17 Proactivenet, Inc. Method and apparatus for intelligent storage and reduction of network information
US6711127B1 (en) 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6429952B1 (en) 1998-08-31 2002-08-06 Sharp Laboratories Of America Browser interface to scanner
DE69817176T2 (de) 1998-09-09 2004-06-24 International Business Machines Corp. Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
US6271840B1 (en) 1998-09-24 2001-08-07 James Lee Finseth Graphical search engine visual index
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
US6230288B1 (en) 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6530024B1 (en) 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6517587B2 (en) 1998-12-08 2003-02-11 Yodlee.Com, Inc. Networked architecture for enabling automated gathering of information from Web servers
US6266774B1 (en) 1998-12-08 2001-07-24 Mcafee.Com Corporation Method and system for securing, managing or optimizing a personal computer
US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6574737B1 (en) 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6205552B1 (en) 1998-12-31 2001-03-20 Mci Worldcom, Inc. Method and apparatus for checking security vulnerability of networked devices
US6266773B1 (en) 1998-12-31 2001-07-24 Intel. Corp. Computer security system
US6477651B1 (en) 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6578147B1 (en) 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6438600B1 (en) 1999-01-29 2002-08-20 International Business Machines Corporation Securely sharing log-in credentials among trusted browser-based applications
US6647139B1 (en) 1999-02-18 2003-11-11 Matsushita Electric Industrial Co., Ltd. Method of object recognition, apparatus of the same and recording medium therefor
US6510523B1 (en) 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
US6839850B1 (en) 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6725377B1 (en) 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6434615B1 (en) 1999-04-30 2002-08-13 Compaq Information Technologies Group, L.P. Method and apparatus for remote computer management using HTML in a web browser application and an internet server extension on an internet server API-compliant web server
JP2000322573A (ja) 1999-05-06 2000-11-24 Canon Inc 画像処理方法及びその装置
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7096499B2 (en) 1999-05-11 2006-08-22 Cylant, Inc. Method and system for simplifying the structure of dynamic execution profiles
US6445822B1 (en) 1999-06-04 2002-09-03 Look Dynamics, Inc. Search method and apparatus for locating digitally stored content, such as visual images, music and sounds, text, or software, in storage devices on a computer network
US6397245B1 (en) 1999-06-14 2002-05-28 Hewlett-Packard Company System and method for evaluating the operation of a computer over a computer network
US6519647B1 (en) 1999-07-23 2003-02-11 Microsoft Corporation Methods and apparatus for synchronizing access control in a web server
US6563959B1 (en) 1999-07-30 2003-05-13 Pixlogic Llc Perceptual similarity image retrieval method
US6691232B1 (en) 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
US6647400B1 (en) 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US6405364B1 (en) 1999-08-31 2002-06-11 Accenture Llp Building techniques in a development architecture framework
US6324647B1 (en) 1999-08-31 2001-11-27 Michel K. Bowman-Amuah System, method and article of manufacture for security management in a development architecture framework
JP2001092972A (ja) 1999-09-24 2001-04-06 Mamoru Minami 画像認識方法
US6601190B1 (en) 1999-10-28 2003-07-29 Hewlett-Packard Development Company, L.P. Automatic capture and reporting of computer configuration data
US6606744B1 (en) 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US6584454B1 (en) 1999-12-31 2003-06-24 Ge Medical Technology Services, Inc. Method and apparatus for community management in remote system servicing
US6535227B1 (en) 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US6792144B1 (en) 2000-03-03 2004-09-14 Koninklijke Philips Electronics N.V. System and method for locating an object in an image using models
US6775780B1 (en) 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
WO2001073553A1 (en) 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US6718383B1 (en) 2000-06-02 2004-04-06 Sun Microsystems, Inc. High availability networking with virtual IP address failover
US8341743B2 (en) 2000-07-14 2012-12-25 Ca, Inc. Detection of viral code using emulation of operating system functions
US6353385B1 (en) 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system
US7124440B2 (en) 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US20020035698A1 (en) 2000-09-08 2002-03-21 The Regents Of The University Of Michigan Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time
US20020083331A1 (en) 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US7290283B2 (en) 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
AU2002320191A1 (en) 2001-06-27 2003-03-03 Arbor Networks Method and system for monitoring control signal traffic over a computer network
US6546493B1 (en) 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
US6721806B2 (en) 2002-09-05 2004-04-13 International Business Machines Corporation Remote direct memory access enabled network interface controller switchover and switchback support

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05327691A (ja) * 1992-05-25 1993-12-10 Toshiba Corp 不正ユーザアクセス防止システム
JPH06152699A (ja) * 1992-11-04 1994-05-31 Fujitsu Ltd ポリシング・ユーザ・インタフェース方式
JPH06350698A (ja) * 1993-03-31 1994-12-22 American Teleph & Telegr Co <Att> 通信ネットワーク利用モニタ方法
JPH11502982A (ja) * 1995-03-30 1999-03-09 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー 通信サービスの不正使用の検出
JPH09128336A (ja) * 1995-11-06 1997-05-16 Hitachi Ltd ネットワークセキュリティシステム
JPH10210033A (ja) * 1997-01-28 1998-08-07 Hitachi Ltd ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003309607A (ja) * 2002-04-17 2003-10-31 Ntt Data Corp アンチプロファイリング装置およびアンチプロファイリングプログラム
JP2008512970A (ja) * 2004-09-09 2008-04-24 アバイア テクノロジー コーポレーション ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2011065653A (ja) * 2004-09-09 2011-03-31 Avaya Inc ネットワーク・トラフィックのセキュリティのための方法およびシステム
JP2006345014A (ja) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> 攻撃トラヒック防御システムおよび方法
WO2009119049A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
JPWO2009119049A1 (ja) * 2008-03-25 2011-07-21 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
US8438402B2 (en) 2008-03-25 2013-05-07 Panasonic Corporation Electronic terminal, control method, computer program and integrated circuit
JP2010039749A (ja) * 2008-08-05 2010-02-18 Nippon Telegr & Teleph Corp <Ntt> アクセス先スコアリング方法およびそのプログラム

Also Published As

Publication number Publication date
IL143573A0 (en) 2002-04-21
EP1149339A1 (en) 2001-10-31
WO2000034867A1 (en) 2000-06-15
JP4501280B2 (ja) 2010-07-14
AU2164700A (en) 2000-06-26
US7934254B2 (en) 2011-04-26
US20070022090A1 (en) 2007-01-25

Similar Documents

Publication Publication Date Title
JP2003524925A (ja) ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
US9917857B2 (en) Logging attack context data
EP1889443B1 (en) Computer network intrusion detection system and method
Hu et al. Accurate real-time identification of IP prefix hijacking
US7237264B1 (en) System and method for preventing network misuse
EP2194677B1 (en) Network monitoring device, network monitoring method, and network monitoring program
US7757283B2 (en) System and method for detecting abnormal traffic based on early notification
US7051369B1 (en) System for monitoring network for cracker attack
US9628508B2 (en) Discovery of suspect IP addresses
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US20070056020A1 (en) Automated deployment of protection agents to devices connected to a distributed computer network
US20100251370A1 (en) Network intrusion detection system
JP2010508598A (ja) ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
CN110611682A (zh) 一种网络访问系统及网络接入方法和相关设备
EP1720315B1 (en) Network management and administration by monitoring network traffic and vulnerability scanning
FR2852754A1 (fr) Systeme et methode de protection d&#39;un reseau de transmission ip contre les attaques de deni de service
Vykopal et al. Network-based dictionary attack detection
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
Xiaobing et al. Detection and protection against network scanning: IEDP
Hashim et al. Computer network intrusion detection software development
Singh et al. Detection of Spoofing attacks in Wireless network and their Remedies
Perez Practical SIEM tools for SCADA environment
Horn Understanding ip prefix hijacking and its detection

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061201

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061201

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20070523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070523

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090807

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090807

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20090807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100312

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100406

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20100406

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100412

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees