JP2003524925A - ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 - Google Patents
ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置Info
- Publication number
- JP2003524925A JP2003524925A JP2000587259A JP2000587259A JP2003524925A JP 2003524925 A JP2003524925 A JP 2003524925A JP 2000587259 A JP2000587259 A JP 2000587259A JP 2000587259 A JP2000587259 A JP 2000587259A JP 2003524925 A JP2003524925 A JP 2003524925A
- Authority
- JP
- Japan
- Prior art keywords
- network
- node
- event
- article
- manufacture
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
Abstract
Description
の利益を主張する。
タネットワークリソースの非認証の使用を検出し、それを防止する改良されたシ
ステムおよび方法に関する。
より、改良されたセキュリティおよびネットワーク管理技術の必要性が生じてい
る。今日、団体は、業務上の秘密、販売戦略、金融書類、および機密技術情報を
含む相当量の秘密情報をネットワークサーバおよびワークステーションに格納す
る。このような情報の一般への露見は、多くの場合、その団体へ深刻なダメージ
をもたらすことになる。
がネットワークに記載される危険性もある。例えば、現在利用可能なセキュリテ
ィシステムを回避する方法の実務上の知識をもった、コンピューターハッカー(
例えば、権限のないユーザー)は、ネットワークサーバーおよびワークステーシ
ョンをクラッシュさせたり、価値のあるデータを破壊したり、ネットワークにコ
ンピュータウィルスをアップロードしたりできる。従って、この種のデータネッ
トワーク侵入を防ぐために、企業は年を追って、数百万ドルも費やすことを強い
られる。
イアウォール(firewall)」といわれる。一般に、ファイアウォールは
ローカルエリアネットワーク(以後「LAN」)と他の外部のネットワークすべ
て(例えば、インターネット)との間に置かれる。ファイアウォールは、内部お
よび外部からのデジタル情報すべてを分析し、その情報を、通過させるべきか捨
てるべきかを判断する。ファイアウォールは、この分析を行うネットワーク管理
者によって用意された一つ以上のアルゴリズムを使用する。例えば、ネットワー
ク管理者は受け入れ可能なソースおよびネットワークトラフィックの目的アドレ
スをリストアップしたテーブルを構成してもよい。リストアップされないソース
または目的地までをアドレス化されたトラフィックは、ファイアウォールによっ
てフィルタリングされ、捨てられる。
が十分ではない。一つの主な理由は、コンピュータハッカーによって起こされる
脅威は、単に外部のみではないが、ファイアウォールは外部の世界から複数のL
ANのみを防御するということである。実際、潜在的なコンピュータハッカーの
大多数は、内部のコンピュータユーザである。彼らの大半は、すでにLANへの
アクセス権を持っている。個人ユーザは、通常、LANリソースへの限定された
アクセス権のみ提供されるが、ユーザーは他のユーザーのパスワードを流用する
こと(または他の公知のコンピューターハッキング技術を使用すること)により
、さらなるリソースへのアクセス権を不正に得ることができる。
いるということであり、適切に動作するために、ネットワーク管理者による継続
的なアップデートが必要である。もし、コンピューターハッカーがファイアーウ
ォールを突破するのに必要な情報(すなわち、合法的なソースから生じたデータ
としてハッカーのデータを偽るのに必要とされる情報)を得るなら、コンピュー
タハッカーは、LANのリソースへのアクセス権を得る。ファイアーウォールの
持つ、もうひとつの重大な問題は、それらは、あまりにも単純化した様式でデー
タを排除するということである。データは通過するまたは破棄されるかのどちら
かである。入ってくるまたは出て行くデータについては、データの作成者−ファ
イアーウォールに対し偽っている可能性のある者−がLANへのリソースを誤用
しようと試みているかどうかを決定するためのさらなる分析は実行されない。
用されてきた一つの技術は、「誤用検出(misuse detection)
」と呼ばれている。誤用検出はネットワークコンピュータ上の非認証または不適
切な動きをモニターし、レポートするプロセスである。例えば、米国特許No.
5,557,742のSmaha(以後「Smaha」と呼ぶ)は、所定の(誤
用サイン「misuse signatures」)を適用することにより、誤
用条件を検出し、ネットワークにつながれたコンピュータの既知の誤用を識別プ
ロセスを開示する。誤用サインの一例は、ネットワークコンピュータへ、4回ロ
グインを失敗した後、ログインに成功する(Smahaのコラム12の12−1
3行を参照)というものである。
質的に静止しており、連続的なアップデートを必要とするということである。し
たがって、新たな「誤用サイン」が発見されると、プログラマーまたはネットワ
ーク管理者が、頻繁に検出システムにそれらを組み込まなけれなければならない
。新たな「誤用サイン」の手動的な組込みを必要とするということは、非効率で
あり、経験を積んだコンピュータハッカーに、ハッカー特有の「誤用サイン」が
判断されるまでネットワークリソースへのアクセスを許すことになる。
は、一度潜在的な誤用条件が認められると、ネットワークは、その条件に応じる
ように性能が限られるということである。例えば、上記に記載されたように、一
度潜在的なハッカーが4回、ネットワークに繋がれたコンピュータにログインし
ようとして失敗すると、ネットワークに繋がれたコンピュータは、そのハッカー
に、そのリソースへのアクセス権を単純に拒否するだけで、むしろ、そのハッカ
ーについてのさらなる情報を取得する行動を取り、そのハッカーについてネット
ワーク上の他のコンピュータに警告はしない。逆に、4回ではなく、3回のログ
イン失敗(その後、1回のログイン成功)が検出されるなら、Smahaは、強
固にされたセキュリティレベル(つまり、中間レベル)(ここでは、ネットワー
クコンピュータにアクセス権を提供する前に、そのシステムにさらなる情報が潜
在的なハッカーから集められること)にシステムを引き上げるメカニズムを開示
しない。
は、自動化システムが疑いのあるような動作を識別しうるのみであり、最終的に
、意図的な誤用の試みまたはアクシデント(例えば、ユーザのパスワード誤入力
)または通常の出来事(例えば、ネットワーク管理者が、ネットワークパフォー
マンスをモニタするためにpingを使用)を区別できないということである。
このように、従来技術の誤用検出システムは、疑いのあるイベント全てを記録し
、顕著な記録を発見するには、「偽陽性(false−positives)」
を通り抜けるオペレータの知識に頼っている。
むことを開示される。そして、ネットワークノードによって実行された時、ネッ
トワークノードは次の動作、疑いノードから生じたデータ転送に基づく警告変数
の変更、前述の可変変数が第1の所定の閾値レベルに達する時、第1のレスポン
スをトリガーとし、前述の可変変数が第2の所定の閾値レベルに達する時、第2
のレスポンスをトリガーとするようにする。
が、より良く理解される。
良されたシステムおよび方法が必要とされる。より具体的には、ネットワーク動
作の変化に合わせて、自身をダイナミックに調節する総合的な侵入検出および応
答システムが必要とされる。また、順次高くなる各警告レベルが、悪用されてい
るネットワークコンピュータからの、対応する高められたセキュリティー応答を
引き起こす、複数の警告レベルを実現する侵入検出および応答システムも、必要
とされる。また、システムおよびネットワークレベルの両方について、このよう
な高められた警告レベルを組み込むシステムも必要とされる。また、低コストで
実現され得、現行のハードウェアおよびソフトウェア(すなわち、ネットワーク
コンピュータ)を用いる侵入検出および応答システムも必要とされる。また、擬
陽性を積極的にフィルタリングし、かつ、攻撃を識別するために必要な情報を記
録する侵入検出および応答システムも必要とされる。
ローカルエリアネットワーク(以下「LAN」と呼ぶ)105を表す。LAN1
05のノードには、サーバ125、複数のワークステーション110、114、
116および118、ならびにファイヤーウォール115が含まれる。LAN1
05は、ゲートウェイ120を介して、より大きいネットワーク130(例えば
、インターネット)と通信する。1つの実施形態におけるゲートウェイ120は
、必要に応じて、LAN105およびネットワーク130の異なるネットワーク
プロトコル間で変換する。
を介して、ネットワーク130と通信しているところを示す。インターネットサ
ービスプロバイダ(以下、「ISP」と呼ぶ)150が、ネットワーク130を
介して通信しているところを示す。ノード155は、例えば、標準電話接続、あ
るいはISDNまたはケーブルモデム接続を含む様々な方法で、ISP150と
通信し得る。
8、ならびにサーバ125は、本明細書中で記述されている侵入検出システムの
機能を実現するソフトウェアが実行される際に用いられるプロセッサおよびメモ
リを備えるコンピュータである。このようなコンピュータシステムは、磁気ディ
スク、ランダムアクセスメモリ、リードオンリーメモリ、搬送波、信号などのよ
うな機械読み取り可能媒体を用いるコードおよびデータを格納し、(内部で、ま
たはネットワークを介して他のコンピュータシステムと)通信する。さらに、本
発明の一部がソフトウェアにおいて実現される1つの実施形態が説明されるが、
代替的な実施形態は、ソフトウェア、ファームウェア、および/またはハードウ
ェアの任意の組合せを用いるこれらの部分を1つ以上実現し得る。
にサーバ125は、ネットワーク化されたコンピュータ110、114、116
、および118、ならびにサーバ125の各々がLAN105でデータを送信す
ることを可能にする、ハードウェアおよび/またはソフトウェアからなるネット
ワークインターフェース112を含む。1つの実施形態において、ネットワーク
インターフェース112のハードウェア部分は、ネットワーク化されたコンピュ
ータ110のI/Oバスに接続されたネットワークインターフェースカードであ
る。
イプのデータ伝送の受信のことである。データは、以下で「ターゲットノード」
または「ターゲット」と呼ばれるネットワークノード(例えば、ワークステーシ
ョン110、114、116、118、サーバ125、ファイヤーウォール11
5、ゲートウェイ120、ISP150など)によって受信される。データ送信
は、以下で「容疑対象ノード(suspect node)」または「容疑対象
(suspect)」と呼ばれる他のネットワークノードから発生する。特定の
タイプの事象は、システムセキュリティーの観点からは、本質的に疑わしい。例
えば、容疑対象ノードから、ターゲットノードへの無効のユーザIDまたはパス
ワードの送信は、認証されていないユーザがターゲットノードにアクセスしよう
と試みていることを示し得る。さらに、比較的短い時間の間にログイン失敗が続
くと、1回のログイン失敗と比較すると、実質的により大きな容疑対象ノードの
疑いを生じさせる。なぜなら、1回のログイン失敗は、概して、認証されたユー
ザが、容疑対象ノードから、ユーザIDまたはパスワードを誤ってタイプした結
果である。しかし、連続的な無効ログインのそれぞれの試みでは、容疑対象ノー
ドのユーザが単に間違ったという可能性が実質的に低くなり、ユーザが、ターゲ
ットノードへの認証されていないアクセスをしようと試みている可能性が高くな
る。
ットノードについて、自己修正警告レベルが提供される。本明細書中で「悪化レ
ベル」と呼ばれる警告レベルは、ターゲットノードに到達する事象、およびター
ゲットノードに以前に到達した事象の履歴に応答して、ダイナミックに変化する
。ターゲットノードは、自身の現在の悪化レベルに、異なるように依存する新た
な事象に対して反応し得る。
化レベルが、複数の閾値レベル310〜350を通じてどのように変化するかを
示すグラフである。以下の説明のために、図3において、時間が増加(x軸に沿
って右方向)するにつれて、ターゲットノードが、1つ以上の容疑対象ノードか
ら、連続的な無効ログイン事象を受け取ることが仮定される。各閾値は、何らか
のアクションを取るトリガーである。例えば、曲線360で示すように、悪化レ
ベルが増大するにつれて、第1の悪化閾値は、閾値310に達する。1つの実施
形態において、閾値310で、ターゲットノードは、全ての流入事象について受
動的走査を開始する。例えば、ターゲットノードは、事象ログファイルに、同時
の流入事象の記録を開始し得、侵入の実態が識別され得る。事象の例には、ウェ
ブサーバの「ヒット」(ファイルアクセス)、メールコマンド、ポートスキャン
、および容疑対象からターゲットへのpingが含まれる。
象ノードについての識別情報を入手する試みにおいて、事象の原因となる容疑対
象ノードの走査を能動的に開始する。能動的走査の一例は、「フィンガー」コマ
ンドである。フィンガーコマンドは、他の情報の中でも、容疑対象ノードのネッ
トワークアドレスおよび容疑対象ノードに現在ログインしているユーザの識別情
報を戻す。この悪化閾値において、ターゲットもまた、新たな事象について自身
の受動的走査を増大させ得る。従って、悪化閾値320で、ターゲットは、容疑
対象についての情報を能動的に入手することを開始し得、新たな事象に関連する
ログインも増大させ得る。
身の悪化レベルは、閾値330に達する。ここで、1つの実施形態のターゲット
は、より攻撃的な容疑対象の能動的走査を開始する。例えば、「追跡ルート」コ
マンドを用いて、ターゲットは、容疑対象から発生したデータが取った完全なネ
ットワークルートを確かめることを試み得る。従って、再度図1を参照すると、
ターゲットノードが、LAN105上のノード110であり、容疑対象ノードが
LAN145上のノード140である場合、追跡ルートコマンドは、ネットワー
ク130を介して、容疑対象とターゲットとの間の通信経路をトレースする(す
なわち、間にある全てのルーターのネットワークアドレスを報告する)。さらに
、ターゲットは、シンプルネットワーク管理プロトコル(「SNMP」)を用い
る容疑対象のデータリンクアドレス(別名、媒体アクセスコントロールアドレス
)について、容疑対象のローカルゲートウェイ、この実施例においては、ゲート
ウェイ135をクエリし得る。より具体的には、SNMPを介しての識別は、i
fEntryフィールドの表の「次を入手」掃引からなり得る。
ゲットは、さらなる工程をとって、認証されていない容疑対象に自身のリソース
へのアクセスを提供しないことを確実にする。この閾値レベルで、ターゲットは
、容疑対象にアクセスを提供する前に、容疑対象からのさらなる認証情報を要求
し得る。例えば、容疑対象が、適切なログイン情報(すなわち、適切なユーザI
Dおよびパスワード)をターゲットに伝送する場合、ターゲットは、「無効ログ
イン」応答を容疑対象に初期的に返信し得る。容疑対象が、適切なログイン情報
を再度伝送する場合のみ、ターゲットは、容疑対象にアクセスを提供する。この
様式で二重ログオンを強制することによって、ターゲットは、容疑対象が、自動
ログインスクリプト、すなわち、ユーザIDおよび/またはパスワードの連続を
実行して、有効な組合せを判定しようとするスクリプトを用いることによって、
認証されていないアクセスを得ることを防止する。
敗事象を受信し、認証されていない容疑対象がリソースへアクセスしようと試み
ている可能性が過度に高くなる。従って、この悪化レベルで、ターゲットは、(
例えば、全てのもの、LANの外部にある全てのもの、所与のセットの容疑対象
などからの)流入事象をブロックする最終工程をとって、全ての容疑対象に対し
て、リソースへのアクセスを拒否し得る。また、ターゲットは、単なる識別を超
えて、能動的走査測定、例えば、容疑対象をシャットダウンするために、「pi
ng−of−death」を送信することを決定し得る。
を説明した。しかし、本発明の代替的な実施形態は、本発明の基礎をなす原理か
ら逸脱することなく、より高いタイプ、より低いタイプ、および異なるタイプの
閾値および閾値反応などを用い得る。例えば、上記の実施形態が、閾値320で
「フィンガー」コマンド、および閾値330で「追跡ルート」コマンドを用いる
が、任意の代替的/さらなる能動的走査技術(例えば、「identd」または
「ping」コマンド)が、本発明の範囲から逸脱することなく、この段階で実
現され得る。さらに、ターゲットノード反応の異なる組合せが、同様に、採用さ
れ得る。例えば、容疑対象からのトラヒックの全てのバイトのログを取る、完全
パケット捕捉のような、能動的走査技術と共に、閾値レベル310〜340の各
々で、さらなる受動的走査技術が実現され得る。
えば、新たな事象がターゲットノードに到達する場合、事象「A1」に関連する
悪化の値は、A1+A>Tの場合にのみ閾値が引き起こすように、ターゲット「
A」の現在の悪化に単に加えられる。あるいは、0.5A1+2A>0.75T
のような式は、現在のターゲット悪化レベルを2倍するように加えられる事象悪
化レベルの半分をとり、結果を閾値レベルの4分の3と比較する。
が経つにつれて、異なるターゲット反応を引き起こし得る。例えば、ターゲット
悪化レベルは、一連のログイン失敗が連続する間、最大閾値350より高い値を
維持するが、例えば、一連の「ping」が連続する間にわたって、低減し得る
。「パケットインターネットグローパー(Packet Internet G
roper)」の短縮形である「ping」は、特定のネットワークアドレスの
ノードがオンラインであるかどうか判定するために用いられるコマンドである。
従って、パケットを送信し、応答を待つことによって、ネットワークをテストま
たはデバッグするために、しばしば用いられる。本システムの1つの実施形態に
おいて、ターゲットに向けられる一連のpingは、容疑対象が、ターゲットの
セキュリティーシステムをかわすか、ディセーブルするように試みる前に、ター
ゲットのネットワークアドレスを照合するようにターゲットをpingし得るの
で、ターゲットの悪化レベルを初期的に増大させる。
を受け取る場合と同じ悪化で反応し得る(すなわち、曲線360および370は
、初期的には重なる)。しかし、時間が経つにつれて、ターゲットがpingを
受け取り続けても、悪化レベルは低減され得る。これは、時間が経つにつれて、
ターゲットをpingする容疑対象が、ターゲットに認証されていないアクセス
をしようと試みている可能性が次第に低くなるからである。例えば、容疑対象は
、実行中のネットワーク管理ソフトウェアであり、数分ごとにpingを送るこ
とによって、ターゲットノードの応答時間を単に監視しているだけであり得る。
あるいは、ネットワーク管理者は、ネットワーク上の様々なノードをpingし
て、ネットワークの一部の問題解決を行う。このように、容疑対象が、延長され
た期間にわたって、ターゲットをpingする場合、容疑対象は、正当な目的の
ためにターゲットをpingする可能性が高い。
悪化レベルが変化する場合の一例を示すが、代替的な実施形態は、事象のタイプ
に基づいて、変化の速度が変動し得る。
することに加えて、悪化レベルは、ネットワーク全体についても維持され得る(
以下、「ネットワーク悪化レベル」という)。例えば、システムは、サーバ12
5が各ターゲットの現在の悪化レベルを受け取るように構成され得る。特に、サ
ーバ125は、所定の時間間隔で、LAN105上のターゲットノード110、
114、116、およおび118の各々にクエリして、各ターゲットの現在の悪
化レベルを記録するように構成され得る。あるいは、または、さらに、各ターゲ
ットは、現在の悪化レベルを、所定の時間間隔で、またはターゲットの悪化レベ
ルが1つの閾値から他の閾値に遷移する場合、(サーバ125からまずリクエス
トを受け取ることなしに)サーバ125に能動的に通信し得る。
によって、計算され得る。あるいは、ターゲット悪化レベルとのいくつかの他の
数学的関係を生みだし得る。例えば、個別のターゲット悪化(容疑対象がターゲ
ットに対する攻撃を開始することを示し得る)におけるかなり短い期間の変化の
み応答するように構成される。
様式で用いられ得る。例えば、第1のネットワーク悪化閾値は、LAN105上
の全てのターゲットノードに、二重ログインを(上記したように)要求すること
を強制させ得る。第2のネットワーク悪化閾値は、ネットワークトラヒックをブ
ロックするように設定され得る。例えば、ネットワーク悪化レベルが、特定の閾
値に達する場合、サーバ125は、ゲートウェイ120に全ての流入トラヒック
をディセーブルさせ得る。この実施形態において、サーバ125は、内部の容疑
対象(すなわち、LAN105上に存在する)および外部の容疑対象(すなわち
、ネットワーク130にわたって存在する)から得られるターゲット悪化との間
に差を付けるように構成され得る。これを達成するため、サーバ125は、内部
ネットワーク悪化レベルおよび外部ネットワーク悪化レベルを維持し得る。この
実施形態におけるサーバは、外部の容疑対象悪化レベルが特定の閾値に達する場
合のみ、ゲートウェイ120を通じてデータトラヒックをディセーブルする。
ークステーション110および/またはサーバ125)は、通信する(すなわち
、事象が起こる)各容疑対象ノードについて、一意的な悪化レベルを維持する。
この悪化レベルは、本明細書中で、「容疑対象特定悪化」といわれる。各個別の
容疑対象ノードについて、容疑対象特定悪化を維持することに加えて、ターゲッ
トノードは、本明細書中で「ターゲット悪化」または「全体のターゲット悪化」
と呼ばれる、全体の悪化レベルをも維持し得る。
の間に相関が存在するが、この相関は常に存在するわけではない。より具体的に
は、全体のターゲット悪化は、主に新たな事象に対して反応し、容疑対象特定悪
化は、新たな事象および古い事象の両方に反応する。
説明する。図4に示すように、容疑対象Aが、ターゲットノードへの一連の不成
功なログインの試みを時間t=0で開始する場合、容疑対象Aに向けられるター
ゲットの悪化レベル(曲線410で示す)は、不成功の試みごとに増大する。容
疑対象Aについて、ターゲットの容疑対象特定悪化は、(図3を参照しながら、
上で説明したように)1つ以上の閾値450〜455を通じ、ほぼ悪化値460
で最大値(100%の悪化を表す)を示して水平になる。容疑対象Aに向けられ
るターゲットの悪化は、容疑対象Aから連続的なログイン失敗を受け取る限り、
このレベルで維持される。実際に、容疑対象Aからのログイン失敗がなくなった
後も、1つの実施形態における容疑対象特定悪化は、ターゲットがネットワーク
管理者または自動リセットメカニズムによってリセットされるまで、100%で
維持される。
悪化を表す全体のターゲット悪化は、全ての容疑対象からの流入事象に対して反
応する。さらに、全体のターゲット悪化閾値(例えば、450、454、および
455)によって、(容疑対象特定閾値の場合における特定の容疑対象ではなく
)、全ての容疑対象に向けられる異なる反応タイプが生じ得る。従って、容疑対
象Aが、ターゲットへログインすることを不成功に連続的に試みる場合、全体の
ターゲット悪化は、容疑対象Aの容疑対象特定悪化に沿って、初期的に増大する
。従って、全体のターゲット悪化(曲線420)が、悪化閾値450に達する場
合、ターゲットは、(特定の容疑対象から発生される事象を単に走査するだけで
なく)、全ての流入事象の受動的走査を行い得る。同様に、全体のターゲット悪
化が、閾値454に達する場合、ターゲットは、全ての容疑対象からの増大した
認証を要求し得、ターゲットは、閾値455で、全ての容疑対象との通信をブロ
ックし得る。
的にpingする場合、ターゲットノードは、ターゲットの全体の悪化レベルが
閾値455より高いので、pingに応答し得ない(すなわち、ターゲットは、
全ての容疑対象との通信をブロックしている)。容疑対象Bがターゲットを最初
にpingする時点なので、この時点では、容疑対象Bについての容疑対象特定
悪化レベル430が低いことに留意されたい。
上述したように、全体のターゲット悪化は、長い期間にわたって連続的に観察さ
れていない事象によって、より影響を受けるが、容疑対象特定悪化は、長期およ
び短期事象の両方に対して反応する。この動作の背後にある論理としては、延長
された期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって
、ターゲットが悪化する場合、ターゲットは、全ての容疑対象について疑う必要
はなく、悪化を起こす容疑対象のみを疑えばよい。
いるので、ターゲットは、容疑対象Aとの通信をブロックする工程をとる。従っ
て、ログイン失敗の原因となる1つの容疑対象がブロックアウトされているので
、ターゲットが高められた全体のターゲット悪化を維持する必要はもはやない。
ーゲット悪化は、十分低いので、ここで、ターゲットはpingに応答し得る。
曲線430および440に示すように、容疑対象Bの両方のpingは、ターゲ
ットの容疑対象Bに向けられる容疑対象特定悪化、および全体のターゲット悪化
レベル420を増大させる。悪化レベルにおける増大は、ターゲット悪化レベル
に関連し得る。事象470は、システムがより高感度な状態なので、事象480
より悪化させ得る。
対象特定ターゲット悪化応答を示すグラフである。図4と図5との間の主な違い
は、ターゲットの容疑対象Aに向けられる容疑対象特定悪化の動作(曲線510
で示す)である。この実施例における容疑対象Aは、連続的にログイン失敗を起
こすのではなく、ターゲットを連続的にpingする。従って、容疑対象から一
連のpingを受け取ることと、容疑対象から一連の無効ログインを受け取るこ
と(図2に関してより詳細に上述されている)との異なる意味合いに起因して、
ターゲットの容疑対象Aに向けられる容疑対象特定悪化は、時間が経つにつれて
、全体のターゲット悪化に沿って結果的に低減する。
ベル、および1つ以上の容疑対象特定ターゲット悪化レベルを維持するように、
1つの実施形態におけるサーバ125は、「全体のネットワーク悪化」レベルお
よび別個の「容疑対象特定ネットワーク悪化」レベルを維持する。
効ログインおよび容疑対象AからLAN105上のターゲットノード110、1
14、116および118に向けられるpingに対してどのように反応し得る
かを示す。605で、容疑対象Aは、ターゲット110をpingする。結果と
して、ターゲット110の容疑対象Aに向けられる容疑対象特定悪化は、初期的
には、容疑対象Aに向けられる容疑対象特定ネットワーク悪化レベル(曲線60
0)と一致する曲線610が示すように増大する。容疑対象Aのpingによっ
て、容疑対象特定ネットワーク悪化レベルが閾値660を越える。
ノード110、114、116、および118からの任意の数の応答を引き起こ
すように設定され得る。例えば、この閾値で、サーバ125は、LAN105ま
たはネットワーク130の全ての容疑対象の受動的走査を開始し得る。他の実施
形態において、サーバ125は、容疑対象A自身の任意の受動的走査を行わない
。むしろ、特定の容疑対象についての容疑対象特定ネットワーク悪化レベルが、
受動的走査を要求する特定の閾値に達する場合、サーバ125は、LAN105
上の全てのターゲットノードに、それぞれ、容疑対象Aに向けられる容疑対象特
定悪化を増大させる必要があることを知らせる。
ように、ターゲット114の容疑対象Aの容疑対象特定悪化が増大する。容疑対
象Aによるこの2度目のpingに応答して、容疑対象Aに向けられる容疑対象
特定ネットワーク悪化は、曲線600に沿って、第2の閾値661を通って増大
する。同様に、625で、容疑対象Aがターゲット116にログインしようと不
成功に試みる場合、ターゲット116の容疑対象特定ネットワーク悪化は増大し
(曲線630)、この事象は、容疑対象Aに向けられる容疑対象特定ネットワー
ク悪化に寄与する。635および645で、容疑対象Aがpingし続ける場合
、および/またはログイン失敗を起こし続ける場合、容疑対象特定ネットワーク
悪化は、また、曲線600に示すように、増大する。
ーゲット悪化レベルを参照しながら上述された、同じおよび/または異なるタイ
プの閾値応答は、ネットワーク全体についても実現され得る。従って、閾値66
1で、LAN105上の1つ以上のノード(例えば、サーバ125)は、容疑対
象Aの能動的走査を開始して、ネットワーク全体に代わって、容疑対象Aについ
てのさらなる情報を入手し得る。閾値662で、サーバ125は、より広範囲に
わたる能動的走査を開始し、容疑対象Aの受動的走査も増大させ得る。閾値66
3で、サーバ125は、LAN105(例えば、二重ログオン)上の任意のター
ゲットノードにアクセスする増大した認証を容疑対象Aが提供することを要求し
得る。最終的に、最大閾値664で、サーバ125は、LAN105を介する容
疑対象Aとの全ての通信をブロックし得る。サーバ125は、ゲートウェイ12
0およびファイヤーウォール115と直接通信することか、またはLAN105
における全てのターゲットに信号を送信することのいずれかによってこれを達成
して、容疑対象Aとの通信を個別にブロックし得る。
生される全てのネットワークにわたる事象に基づいて増大することである。従っ
て、容疑対象Aに向けられる容疑対象特定ターゲット悪化(曲線610、620
、630、640、および650)は、それぞれ、低く維持され、これらの事象
の各々に対する容疑対象特定ネットワーク悪化応答は、累積効果を有し、容疑対
象Aが疑わしいノードとして適切に識別される。
態においては、容疑対象Aについての全ての容疑対象特定ターゲット悪化レベル
の合計に過ぎない。他の実施形態においては、全ての容疑対象A容疑対象特定タ
ーゲット悪化レベルの平均である。さらに別の実施形態においては、容疑対象特
定ネットワーク悪化は、個別の容疑対象特定ターゲット悪化レベルから独立して
、計算される。この実施形態は、多数のターゲットノードを有するLANについ
て特に有用であり得る。
象Aは、第1のターゲットへの認証されていないアクセスをしようとする試みを
1度だけ行い、その後、残りの249個のターゲットの各々について1度だけ試
みることに移る。容疑対象Aが、第1のターゲットに再度試みようと準備する時
には、容疑対象Aについての第1のターゲットの容疑対象特定ターゲット悪化レ
ベルは、ログイン失敗の間の時間経過に起因して、非常に低いので、閾値はトリ
ガされない。しかし、LAN105の中央貯蔵所(例えば、サーバ125)が、
容疑対象Aの動作を、ネットワーク全体にわたって追っている場合、容疑対象A
についての容疑対象特定ネットワーク悪化レベルが非常に高くなるはずである。
実際、容疑対象Aが、250個のターゲット全てに不成功にログインすることを
試みる場合、容疑対象Aについての容疑対象特定ネットワーク悪化レベルは、最
大閾値を超え、容疑対象Aとの全てのネットワーク通信が、上述したようにブロ
ックされなければならない。
ット悪化」を維持し得るように、サーバ125(または、LAN105上の他の
ノード)は、一般的にネットワーク悪化を表す「全体のネットワーク悪化」を維
持し得る。同様に、全体のターゲット悪化応答が主に新たな事象に応答するよう
に、本実施形態における「全体のネットワーク悪化」は、主に新たなネットワー
クにわたる事象に応答する。
の各々にログインしようと試みて、LAN105をわたって、1つのターゲット
から次のターゲットに移るように、全体のネットワーク悪化レベルは、容疑対象
Aに向けられる容疑対象特定ネットワーク悪化に沿って、初期的に増大する。し
かし、時間が経ち、容疑対象AがLAN105にわたってログイン失敗を起こし
続けるにつれて、全体のネットワーク悪化は、減少し得る。この動作の論理は、
全体のターゲット悪化についての論理と類似する。ネットワークが、延長された
期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって悪化す
る場合、ネットワークが全ての容疑対象について疑う必要はなく、悪化を起こす
容疑対象のみを疑えばよい。さらに、上記の例において容疑対象Aに向けられる
容疑対象特定ネットワーク悪化は、最大閾値を超えるので、ネットワークは、容
疑対象Aとの通信をブロックする工程を取る。
ことによって、計算され得る。従って、1つの実施形態において、全体のネット
ワーク悪化レベルを維持するノード(例えば、サーバ125)は、所定の時間間
隔で、ネットワーク上のターゲットの各々をクエリし得る。あるいは、各ターゲ
ットは、全体の悪化レベルが閾値を通じて通過する場合、悪化レベルをサーバ1
25に自動的に通信する。他の実施形態において、全体のネットワーク悪化は、
全体のターゲット悪化から独立して計算される。
現について説明した。しかし、特定の構成に依存して、本発明の基礎をなす原理
から逸脱することなく、異なる実現が採用され得る。例えば、上記の実施形態は
、ネットワーク悪化レベルを計算し、格納する中央貯蔵所として、サーバ125
を用いるが、LAN105上の任意のノードが、本発明の範囲から逸脱すること
なく、同じ機能を提供し得る。
施形態において、閾値レベルは、複数の悪化変数を組み合わせることによって、
計算される。例えば、式A1+0.75Aターケ゛ット+0.25Aネットワーク>Tが用い られて、全体のターゲット悪化レベルの3つの部分、全体のネットワーク悪化レ
ベルの1つの部分を用い、ターゲットに到達する新たな事象に関連する悪化レベ
ルにこれらの値を加える、有効な悪化レベルが計算される。
各々を増大させ得る。例えば、1つの実施形態において、式A=S*Countl og 2は、事象タイプ「S」の重大性および現在の事象数「Count」に基づい
て、悪化レベル「A」を調節する。
1つ以上のネットワークワークステーション(例えば、110)上で実現される
、本システムの特定の実施形態を説明した。しかし、特定の構成に依存して、本
発明の基礎をなす原理から逸脱することなく、異なる実現が採用され得る。例え
ば、サーバおよび検出能力は、ハブ、スイッチ、ファイヤーウォール(例えば、
115)、ゲートウェイ(例えば、120)、または乱雑モード捕捉デバイス(
例えば、乱雑モードにおけるアダプターを有するノード118)に結合され得る
。この実施形態において、検出システムは、実現されている1つのターゲットの
みを追跡するのではなく、デバイスを通じていることを観察するトラヒックに従
って、複数のターゲットを同時に追跡し得る。この実現において、ネットワーク
悪化レベルは、デバイスによって監視されるターゲットから計算される。
によるLAN105にわたるデータ伝送を、データが通過する異なるネットワー
クプロトコル層を示す図2Aを参照しながら、説明する。LAN105上のワー
クステーション110またはサーバ125が、LAN105上の他のワークステ
ーション114またはサーバ125に、あるいはネットワーク130を介してL
AN145上のノード140にデータを伝送する場合、データは、図2Aに示す
各伝送層を通過する。
ジタルネットワークトラヒックが流れる実際の媒体を表す。例えば、LAN10
5上のワークステーション110およびサーバ125は、同軸ケーブル、撚線対
ケーブル(例えば、「10Base−T」)、光ファイバケーブルを含む、多く
の異なるタイプの媒体を用いて、物理的に接続され得る。あるいは、ワークステ
ーションおよびサーバは、ワイヤレス伝送システム(すなわち、RFまたは赤外
線伝送システム)を介して接続され得る。物理層210のすぐ上にある層は、デ
ータリンク層(別名「媒体アクセス」層)220と呼ばれる。データリンク層2
20は、物理層をわたるエラーのない伝送の提供を行うプロトコルを提供する。
これは、伝送されるデータ(すなわち、ネットワーク層225から受信されるデ
ータ)を、データフレームに組み込み、フレームを物理層210を介して連続的
に伝送することによって達成される。「イーサネット(登録商標)」および「ト
ークンリング」が、データリンクプロトコルの周知の例のうちの2つである。
データについてのネットワークアドレスを(特に)提供する。データは、ネット
ワーク層225でネットワーク「パケット」に組み込まれ、各パケットは、ヘッ
ダにソースおよび宛先アドレスを含む。インターネットプロトコルとしても公知
である、TCP/IPの「IP」部分が、周知のネットワーク層プロトコルのう
ちの1つである。
送されたデータを受信する場合、ワークステーション110またはサーバ125
は、データリンク層フレーム内のデータを受信し、各フレームは、1つ以上のネ
ットワーク層パケットを含む。その後、データリンクフレームからネットワーク
パケットを取り除き、パケットを、アプリケーション層232(データをリクエ
ストするか、または他のノードからデータをリクエストされるアプリケーション
プログラムがある)まで、残りのプロトコル層を介して伝送する。
ジュール250およびフィルタモジュール260が、示されている。分析モジュ
ール250は、本発明の悪化レベル機能を提供する。分析モジュール250は、
流入ネットワークパケットを受信し、伝送されたデータおよびパケットに含まれ
るタイプのデータの原因(例えば、ping、ログインリクエストなど)を判定
する。その後、分析モジュール250は、ターゲットおよびネットワークの現在
の悪化レベルに基づいて、流入するデータをどのように処理するかを決定する。
ット悪化レベルが閾値450より上である(分析モジュール250が、容疑対象
Aからの最新の事象を含むデータパケットを受信した後)場合、分析モジュール
250は、容疑対象Aの受動的走査を開始し得る。容疑対象Aから受け取られた
新たな事象が、分析モジュールに、容疑対象Aに向けられる容疑対象特定ターゲ
ット悪化レベルを閾値451または452より上になるように高めさせる場合、
分析モジュール250は、容疑対象Aの能動的走査を開始し得る。容疑対象Aに
ついての容疑対象特定ターゲット悪化レベルが閾値455に達する場合、分析モ
ジュールは、ターゲットのリソースへのアクセスを容疑対象Aに提供する前に、
容疑対象Aからの増大した認証を要求し得る。
レベル、例えば、閾値455より上であり、分析モジュール250は、フィルタ
モジュール260を適用して、容疑対象Aから受信したデータパケット全てを、
選択的にフィルタリングする。上記の説明は、容疑対象特定ターゲット悪化レベ
ルに焦点が当てられていたが、分析モジュール250は、上述したレベルとは異
なる、任意の他の悪化レベル(例えば、全体のターゲット悪化、全体のネットワ
ーク悪化、容疑対象特定ネットワーク悪化)に基づく新たな事象にも反応し得る
ことに留意されたい。
、ネットワークプロトコルスタックに、(すなわち、ネットワーク層とデータリ
ンクプロトコル層との間に)挿入されることに留意されたい。従って、全てのデ
ータパケットは、分析モジュール250およびフィルタモジュール260がある
コンピュータに通過する前に、分析される。このように、「秘密」事象(転送層
230および/またはアプリケーション232層でのログをかわすように設計さ
れる事象)でさえも分析される。
し、特定の構成に依存して、本発明の基礎をなす原理から逸脱することなく、異
なる実現が採用され得る。例えば、上記の実施形態は、パケット情報からのネッ
トワークおよび転送層接続事象を分析するが、代わりに、転送スタックから、同
じ情報を読み出すことを選択し得る。同様に、ログイン失敗パケットを記録する
代わりに、システムは、アプリケーション層ログおよび監査システムから、それ
らのイベントを読み出し得る。従って、パケットレベル情報は、本発明の範囲か
ら逸脱することなく、ターゲット上の他のログ、監査、および監視サブシステム
から再構成され得る。
トに送信される、特定のタイプのデータ通信(例えば、ping)のことをいう
。イベントデータ構造800を、図8に示す。イベント構造は、イベントタイプ
フィールド810(例えば、ping)、容疑対象識別フィールド820、ター
ゲット識別フィールド830、カウンタフィールド840、間隔フィールド85
0、およびウィンドウサイズフィールド860を含む。上記の1つ以上の悪化レ
ベルが所定の閾値レベルを超えているため、ターゲットノードまたはサーバが受
動的走査を開始する場合、ターゲットノードまたはサーバは、流入するイベント
全ての記録をログ(例えば、ハードディスクに格納)し始める。メモリを節約す
るため、多くのイベントが1つのイベント構造に結合され得る。本明細書中で「
イベントタイムロールアップ」と呼ぶこの手順を、次に、図7を参照しながら説
明する。
トを初期的に囲む。時系列線720に示すように、2つの連続的なイベントのウ
ィンドウがオーバーラップする場合、2つのイベントは、1つのイベントデータ
オブジェクト700に結合される。従って、第2のイベントが、図中720のt 2 で到達する場合、イベントデータ構造800は、カウントデータフィールドを
1から2に増大させ、オーバーラップする2つの連続的なイベントがあることを
示す。いくつかのイベントを1つのデータオブジェクトに結合するこの方法は、
メモリを節約し、容疑対象が、ターゲットのハードドライブを大量のイベントデ
ータで充填することによってターゲットをディセーブルしようと試みる、容疑対
象による特定のタイプの攻撃を防止するためにも行われる。
縮小され得る。例えば、イベントが、時系列線730に示すように、ゆっくりと
到達する場合、イベントウィンドウは、同じ時間間隔T1で分割される将来のイ
ベントが同じデータ構造800に結合されるように、拡大され得る。例えば、新
たなウィンドウは、時間間隔T1を2倍するように拡大され得る。従って、第1
および第2のイベントが、10分間隔で分割され、デフォルトウィンドウTが1
5分である場合、ウィンドウは、20分まで拡大される。さらに、イベント速度
がゆっくりと低減する場合、ウィンドウは、維持するために、拡大し続ける。
化レベルである。概して、より深刻であると分類されるイベント(すなわち、1
つ以上の悪化レベルに基づいて容疑対象によって攻撃される可能性が高いイベン
ト)は、イベントウィンドウが拡大する原因となる。従って、概して、ログイン
失敗イベントについてのデフォルトウィンドウサイズは、pingイベントにつ
いてのデフォルトウィンドウより大きい。
むかどうか判定する場合に考慮される唯一のウィンドウは、現在流入しているイ
ベント(例えば、720のt2でのイベントおよび730のt3でのイベント)に
関連するウィンドウである。この実施形態において、唯一の問題は、以前のイベ
ント(例えば、720および730のt1で発生する)が、新たなイベントのウ
ィンドウの範囲内にはいるかどうかである。従って、この実施形態において、新
たなイベント(例えば、t2でのイベント)についての現在のウィンドウは、概
して、t1を囲むウィンドウがもはや要因ではなくなるので、同じ効果を生み出
すためには大きくなる必要がある。
生され得る。例えば、図9に、一連のイベント930〜960が起こる、2つの
期間910および920を示す。期間910は、報告がすでに発生された期間を
表す。図9に示すように、第1のイベントシリーズA930は、間隔IAで分割
された2つ以上のイベントのシリーズを表す。イベントシリーズA930に含ま
れるイベントは、全て、同じタイプ、容疑対象、およびターゲットのイベントで
ある。これらのイベントは、イベントシリーズAが両方の期間で起こるイベント
を含むので、第2の期間920の終わりに発生される差異報告には含まれない。
び920の両方で起こるので、イベントシリーズB940および945は記録さ
れない。従って、1つの実施形態において、差異報告の作成における第1の工程
は、問題のイベントのシリーズが、2つの期間の間でオーバーラップするかどう
か判定することである。イベントシリーズがオーバーラップする場合、差異報告
には含まれない。オーバーラップしない場合、以前の期間内のイベントデータオ
ブジェクトは、検索されて、同じタイプ、容疑対象、およびターゲットのイベン
トのうち1つが記録されているかどうか判定される。このようなイベントデータ
オブジェクトが見受けられる場合、イベントは、差異報告には含まれない。従っ
て、差異報告は、2つのイベントが(イベントロールアップ方法を用いて)1つ
のより長期間のイベントに結合されたのか、または、2つの別個のイベントとし
て結合されていないままなのかどうか、同じ結果を生成する。
の期間920の終わりに発生される差異報告に表れる。イベントシリーズDがこ
の期間の間に起こらないので、イベントシリーズDは、第2の期間920の後に
発生された差異報告には含まれない。イベントシリーズDについて差異報告が発
生される場合、第1の期間910の終わりに発生される。
)のみを記録する理由は、擬陽性の(すなわち、疑わしいと識別すべきでない場
合にイベントを疑わしいと識別する)問題を軽減するからである。すなわち、期
間ごとに起こるイベントは、概して、疑わしいとは考えられない。
介して通信する、2つのローカルエリアネットワークおよびインターネットサー
ビスプロバイダ(「ISP」)を示す図である。
を示す図である。
とネットワーク層との間で実現される、分析およびフィルタシステムを示す図で
ある。
疑対象特定ターゲット悪化応答を示すグラフである。
対象特定ターゲット悪化応答を示すグラフである。
示すグラフである。
すグラフである。
グラフである。
Claims (40)
- 【請求項1】 コンピュータ読み出し可能媒体に格納される一連の命令を含
む製造物であって、ネットワークノードにより実行される場合、該ネットワーク
ノードに 1つ以上の容疑対象ノードから生成するデータ伝送に基く警告変数を修正する
動作と、 該警告変数が第1の所定の閾値レベルに達する場合に第1の応答を引き起こす
動作と、 該警告変数が第2の所定の閾値レベルに達する場合に第2の応答を引き起こす
動作と、 を実行させる製造物。 - 【請求項2】 前記警告変数が1つ以上のさらなる閾値レベルに達する場合
に、さらなる応答を引き起こす工程をさらに含む、請求項1に記載される製造物
。 - 【請求項3】 前記引き起こされる応答の内の1つが、1つ以上の前記容疑
対象ノードの受動的走査を含む、請求項1に記載される製造物。 - 【請求項4】 前記受動的走査が、ログファイルにデータ伝送を記録する工
程を含む、請求項3に記載される製造物。 - 【請求項5】 前記引き起こされる応答の内の1つが、1つ以上の容疑対象
ノードの能動的走査を含む、請求項1に記載される製造物。 - 【請求項6】 前記能動的走査が、前記容疑対象ノードのネットワークアド
レスを含む1つ以上の該容疑対象ノードに関する情報を検索する工程を含む、請
求項5に記載される製造物。 - 【請求項7】 前記能動的走査が、1つ以上の前記容疑対象ノードから生成
するデータが用いるネットワークルートを決定する工程を含む、請求項5に記載
される製造物。 - 【請求項8】 前記引き起こされる応答の内の1つが、リソ−スにアクセス
する以前に他の任意のノードからの増加した認証を要求する前記ネットワークノ
ードを含む、請求項1に記載される製造物。 - 【請求項9】 前記ソ−スにアクセスする以前に、前記増加した認証が2つ
以上のログインを課す工程を含む、請求項8に記載される製造物。 - 【請求項10】 前記引き起こされる応答の内の1つが、流入するデータ伝
送をブロックする工程を含む、請求項1に記載される製造物。 - 【請求項11】 前記警告変数が、特定のデータ伝送のタイプに時間をかけ
て異なる応答をする、請求項1に記載される製造物。 - 【請求項12】 特定のデータ伝送のタイプの連続する受信に応答して、前
記警告変数が、所定の値に達するまで連続して増加する、請求項11に記載され
る製造物。 - 【請求項13】 前記容疑対象ノードから生成する前記特定のデータ伝送の
タイプが無効なログイン試行である、請求項12に記載される製造物。 - 【請求項14】 特定のデータ伝送のタイプの連続する受信に応答して前記
警告変数が最初に増加し、次に該特定のデータ伝送のタイプの連続する受信に応
答して減少する、請求項11に記載される製造物。 - 【請求項15】 前記容疑対象ノードから生成する前記特定のデータ伝送の
タイプが、前記ネットワークノード(例えば、「ping」コマンド)に関する
情報を検索する伝送である、請求項14に記載される製造物。 - 【請求項16】 前記データ伝送が、ネットワークパケットレベルで前記ネ
ットワークノードにより分析される、請求項1に記載される製造物。 - 【請求項17】 前記データ伝送が、ネットワークパケットレベルで前記ネ
ットワークノードによりフィルタリングされる、請求項16に記載される製造物
。 - 【請求項18】 コンピュータ読み出し可能媒体に格納される一連の命令を
含む製造物であって、該ネットワークノードにより実行される場合、該ネットワ
ークノードに 第1の容疑対象ノードから生成するデータ伝送に基く第1の容疑対象特定の警
告変数を修正する動作と、 第2の容疑対象ノードから生成するデータ伝送に基く第2の容疑対象特定の警
告変数を修正する動作と、 該容疑対象特定の警告変数のどちらかが所定の閾値レベルに達する場合に容疑
対象特定の応答を引き起こす動作と、 を実行させる製造物。 - 【請求項19】 前記容疑対象特定の警告変数のどちらかがさらなる所定の
閾値レベルに達する場合に、さらなる容疑対象特定の応答を引き起こす動作を含
む、請求項18に記載される製造物。 - 【請求項20】 前記容疑対象ノードの各々から生成する前記データ伝送に
基く全警告変数を修正する動作を含む、請求項18に記載される製造物。 - 【請求項21】 前記全警告変数が所定の閾値レベルに達する場合に、複数
の前記容疑対象ノードそれぞれへの応答を引き起こす動作を含む、請求項20に
記載される製造物。 - 【請求項22】 前記全警告変数は、前記ネットワークノードで以前受信し
たデータ伝送に対してよりも新しいタイプのデータ伝送に対してより応答性であ
る、請求項20に記載される製造物。 - 【請求項23】 特定の容疑対象ノードから生成するデータ伝送に応答して
前記警告変数を初めに増加させ、次に該特定の容疑対象ノードから前記データ伝
送を連続して受信するときに該全警告変数を減少させる動作を含む、請求項22
に記載される製造物。 - 【請求項24】 前記容疑対象特定の警告変数のそれぞれをサーバノード上
に常駐するネットワークデータベースと通信させる動作を含む、請求項18に記
載される製造物。 - 【請求項25】 前記全警告変数をサーバノード上に常駐するネットワーク
データベースと通信させる動作を含む、請求項20に記載される製造物。 - 【請求項26】 コンピュータ読み出し可能媒体に格納される一連の命令を
含む製造物であって、ネットワークサーバノードにより実行される場合、該ネッ
トワークサーバノードに 複数のネットワークノードについて複数の容疑対象特定の警告変数を格納する
動作と、 該複数の容疑対象特定の警告変数の各値に基くネットワーク警告変数を修正す
る動作と、 該ネットワーク警告変数が所定の閾値レベルに達する場合にネットワーク応答
を引き起こす動作と、 を実行させる製造物。 - 【請求項27】 前記ネットワーク応答が複数のネットワークノードのそれ
ぞれに、該複数のネットワークのそれぞれが特定の容疑対象ノードへの自身の容
疑対象特定の警告変数をそれぞれ増加すべきであることを通知する動作を含む、
請求項26に記載される製造物。 - 【請求項28】 前記ネットワーク応答が、特定の容疑対象ノードの受動的
走査を開始する前記ネットワークサーバノードの動作を含む、請求項27に記載
される製造物。 - 【請求項29】 前記ネットワーク応答が、特定の容疑対象ノードの能動的
走査を開始する前記ネットワークサーバノードの動作を含む、請求項27に記載
される製造物。 - 【請求項30】 前記ネットワーク応答が、前記容疑対象ノードと前記複数
のネットワークノードとの間の全通信をブロックする動作を含む、請求項29に
記載される製造物。 - 【請求項31】 コンピュータ読み出し可能媒体に格納される一連の命令を
含む製造物であって、ネットワークサーバノードにより実行される場合、該ネッ
トワークサーバノードに、 複数のネットワークノードについて複数の全警告変数を格納する動作と、 該複数の全警告変数の各値に基くネットワーク警告変数を修正する動作と、 該ネットワーク警告変数が所定の閾値レベルに達する場合にネットワーク応答
を引き起こす動作と、 を実行させる製造物。 - 【請求項32】 容疑対象ノードからの第1の事象を受信する工程と、 事象カウント値を有する第1のデータ構造に該第1の事象を記録する工程と、 該容疑対象ノードから第2の事象を受信する工程であって、該第2の事象が該
第1の事象を同じタイプの事象である、工程と、 該第2の事象が、該第1の事象後に所定の時間のウインドウ内で生じる場合、
該第2の事象を該第1のデータ構造に記録し、該カウント値を増加させる工程と
、 を包含する方法。 - 【請求項33】 前記第2の事象が、前記第1の事象後に前記所定の時間の
ウインドウの外側で生じる場合、該第2の事象をカウント値を有する第2のデー
タ構造に記録する工程をさらに包含する、請求項32に記載される方法。 - 【請求項34】 前記第2の事象が前記所定の時間のウインドウの外側で生
じることに応答して、該所定の時間のウインドウが増加する、請求項33に記載
される方法。 - 【請求項35】 前記第1または第2の事象のタイプに基いて、前記所定の
時間のウインドウが修正される、請求項32に記載される方法。 - 【請求項36】 前記時間のウインドウが、より重大な事象のタイプに対し
て増加し、あまり重大でない事象のタイプに対して減少する、請求項35に記載
される方法。 - 【請求項37】 前記事象タイプが無効なログインである、請求項36に記
載される方法。 - 【請求項38】 前記事象タイプがpingである、請求項36に記載され
る方法。 - 【請求項39】 所定時間期間にわたって生じる新しい事象全てのレポート
を作成する工程をさらに包含する、請求項32に記載される方法。 - 【請求項40】 事象が前記所定の時間期間より前の時間期間に受信された
1つ以上の以前の事象を備える単一データ構造に含まれるかどうかを判定する工
程と、 該事象が、1つ以上の以前の事象を備える該単一データ構造に含まれない場合
、該所定の時間期間の前の所定の該時間期間の間に生成される全データ構造を検
索する工程と、 該事象が、該所定の時間期間の前の該時間期間の間に生成されるいかなるデー
タ構造においても認識されない場合、該レポートに該事象を含む工程と、 により該事象が新しい事象として認識される、請求項39に記載される方法。
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11163898P | 1998-12-09 | 1998-12-09 | |
US60/111,638 | 1998-12-09 | ||
US44750099A | 1999-11-23 | 1999-11-23 | |
US09/447,500 | 1999-11-23 | ||
PCT/US1999/028717 WO2000034867A1 (en) | 1998-12-09 | 1999-12-03 | A method and apparatus for providing network and computer system security |
Publications (3)
Publication Number | Publication Date |
---|---|
JP2003524925A true JP2003524925A (ja) | 2003-08-19 |
JP2003524925A5 JP2003524925A5 (ja) | 2007-02-01 |
JP4501280B2 JP4501280B2 (ja) | 2010-07-14 |
Family
ID=26809096
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000587259A Expired - Fee Related JP4501280B2 (ja) | 1998-12-09 | 1999-12-03 | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 |
Country Status (6)
Country | Link |
---|---|
US (1) | US7934254B2 (ja) |
EP (1) | EP1149339A1 (ja) |
JP (1) | JP4501280B2 (ja) |
AU (1) | AU2164700A (ja) |
IL (1) | IL143573A0 (ja) |
WO (1) | WO2000034867A1 (ja) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003309607A (ja) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | アンチプロファイリング装置およびアンチプロファイリングプログラム |
JP2006345014A (ja) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃トラヒック防御システムおよび方法 |
JP2008512970A (ja) * | 2004-09-09 | 2008-04-24 | アバイア テクノロジー コーポレーション | ネットワーク・トラフィックのセキュリティのための方法およびシステム |
WO2009119049A1 (ja) * | 2008-03-25 | 2009-10-01 | パナソニック株式会社 | 電子端末、制御方法、コンピュータプログラム及び集積回路 |
JP2010039749A (ja) * | 2008-08-05 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | アクセス先スコアリング方法およびそのプログラム |
Families Citing this family (98)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US7574740B1 (en) | 2000-04-28 | 2009-08-11 | International Business Machines Corporation | Method and system for intrusion detection in a computer network |
US7380272B2 (en) | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
US7917393B2 (en) | 2000-09-01 | 2011-03-29 | Sri International, Inc. | Probabilistic alert correlation |
US8010469B2 (en) * | 2000-09-25 | 2011-08-30 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
US20110213869A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US20110238855A1 (en) * | 2000-09-25 | 2011-09-29 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US20110219035A1 (en) * | 2000-09-25 | 2011-09-08 | Yevgeny Korsunsky | Database security via data flow processing |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
US20110214157A1 (en) * | 2000-09-25 | 2011-09-01 | Yevgeny Korsunsky | Securing a network with data flow processing |
US20100042565A1 (en) * | 2000-09-25 | 2010-02-18 | Crossbeam Systems, Inc. | Mezzazine in-depth data analysis facility |
US9800608B2 (en) * | 2000-09-25 | 2017-10-24 | Symantec Corporation | Processing data flows with a data flow processor |
US20110231564A1 (en) * | 2000-09-25 | 2011-09-22 | Yevgeny Korsunsky | Processing data flows with a data flow processor |
US9027121B2 (en) | 2000-10-10 | 2015-05-05 | International Business Machines Corporation | Method and system for creating a record for one or more computer security incidents |
US20020133603A1 (en) * | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Method of and apparatus for filtering access, and computer product |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US7715819B2 (en) * | 2001-08-03 | 2010-05-11 | The Boeing Company | Airborne security manager |
US20030033541A1 (en) * | 2001-08-07 | 2003-02-13 | International Business Machines Corporation | Method and apparatus for detecting improper intrusions from a network into information systems |
EP1315066A1 (en) * | 2001-11-21 | 2003-05-28 | BRITISH TELECOMMUNICATIONS public limited company | Computer security system |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
CA2479789A1 (en) * | 2002-03-28 | 2003-10-09 | British Telecommunications Public Limited Company | Method and apparatus for network security |
EP1355468A1 (en) * | 2002-04-19 | 2003-10-22 | BRITISH TELECOMMUNICATIONS public limited company | Method and apparatus for network security |
CA2479628A1 (en) | 2002-03-28 | 2003-10-09 | British Telecommunications Public Limited Company | Method and apparatus for network security |
TWI235580B (en) * | 2002-05-03 | 2005-07-01 | Ke-Cheng Fang | Network security system and method for recording and resisting hacker |
WO2004028121A2 (en) | 2002-09-23 | 2004-04-01 | Wimetrics Corporation | System and method for wireless local area network monitoring and intrusion detection |
WO2005116797A1 (en) | 2004-05-19 | 2005-12-08 | Computer Associates Think, Inc. | Method and system for isolating suspicious email |
US9256740B2 (en) | 2005-02-22 | 2016-02-09 | International Business Machines Corporation | Method and system for analysis of security events in a managed computer network |
US7831522B1 (en) * | 2006-09-28 | 2010-11-09 | Symantec Corporation | Evaluating relying parties |
US7835348B2 (en) * | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
EP2009865A1 (en) * | 2007-06-25 | 2008-12-31 | Alcatel Lucent | Method of providing an access control system |
US9032514B1 (en) * | 2007-08-21 | 2015-05-12 | Mcafee, Inc. | Potential data leakage reporting system, method, and computer program product |
US8326987B2 (en) * | 2008-11-12 | 2012-12-04 | Lin Yeejang James | Method for adaptively building a baseline behavior model |
US8631080B2 (en) * | 2009-03-12 | 2014-01-14 | Microsoft Corporation | Email characterization |
US8489685B2 (en) | 2009-07-17 | 2013-07-16 | Aryaka Networks, Inc. | Application acceleration as a service system and method |
US9705899B2 (en) * | 2010-01-26 | 2017-07-11 | Bae Systems Information And Electronic Systems Integration Inc. | Digital filter correlation engine |
US8776226B2 (en) * | 2010-01-26 | 2014-07-08 | Bae Systems Information And Electronic Systems Integration Inc. | Method and apparatus for detecting SSH login attacks |
US9191327B2 (en) | 2011-02-10 | 2015-11-17 | Varmour Networks, Inc. | Distributed service processing of network gateways using virtual machines |
US9117074B2 (en) | 2011-05-18 | 2015-08-25 | Microsoft Technology Licensing, Llc | Detecting a compromised online user account |
US20130018965A1 (en) * | 2011-07-12 | 2013-01-17 | Microsoft Corporation | Reputational and behavioral spam mitigation |
US9087324B2 (en) | 2011-07-12 | 2015-07-21 | Microsoft Technology Licensing, Llc | Message categorization |
US9065826B2 (en) | 2011-08-08 | 2015-06-23 | Microsoft Technology Licensing, Llc | Identifying application reputation based on resource accesses |
US8856936B2 (en) | 2011-10-14 | 2014-10-07 | Albeado Inc. | Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security |
CN102664876A (zh) * | 2012-04-10 | 2012-09-12 | 星云融创(北京)科技有限公司 | 网络安全检测方法及系统 |
CN102868685B (zh) * | 2012-08-29 | 2015-04-15 | 北京神州绿盟信息安全科技股份有限公司 | 一种判定自动扫描行为的方法及装置 |
US8938796B2 (en) | 2012-09-20 | 2015-01-20 | Paul Case, SR. | Case secure computer architecture |
CN103347074A (zh) * | 2013-07-01 | 2013-10-09 | 中山司南物联网科技有限公司 | 一种多级物联网连接服务系统 |
US9684354B2 (en) * | 2013-07-31 | 2017-06-20 | Conduent Business Services, Llc | Remote customer relationship management activity workspace |
US9325735B1 (en) | 2013-10-31 | 2016-04-26 | Palo Alto Networks, Inc. | Selective sinkholing of malware domains by a security device via DNS poisoning |
US9973472B2 (en) | 2015-04-02 | 2018-05-15 | Varmour Networks, Inc. | Methods and systems for orchestrating physical and virtual switches to enforce security boundaries |
US10091238B2 (en) | 2014-02-11 | 2018-10-02 | Varmour Networks, Inc. | Deception using distributed threat detection |
US10264025B2 (en) | 2016-06-24 | 2019-04-16 | Varmour Networks, Inc. | Security policy generation for virtualization, bare-metal server, and cloud computing environments |
CN105095726B (zh) * | 2014-05-08 | 2018-05-11 | 阿里巴巴集团控股有限公司 | 生成验证码的方法及装置 |
US9710648B2 (en) | 2014-08-11 | 2017-07-18 | Sentinel Labs Israel Ltd. | Method of malware detection and system thereof |
US11507663B2 (en) | 2014-08-11 | 2022-11-22 | Sentinel Labs Israel Ltd. | Method of remediating operations performed by a program and system thereof |
PL3095034T3 (pl) | 2014-10-21 | 2019-11-29 | Ironnet Cybersecurity Inc | Układ zabezpieczeń cybernetycznych |
US9495865B2 (en) * | 2014-11-24 | 2016-11-15 | At&T Intellectual Property I, L.P. | Power-line communications |
US20160171415A1 (en) | 2014-12-13 | 2016-06-16 | Security Scorecard | Cybersecurity risk assessment on an industry basis |
US9591022B2 (en) | 2014-12-17 | 2017-03-07 | The Boeing Company | Computer defenses and counterattacks |
US10193929B2 (en) * | 2015-03-13 | 2019-01-29 | Varmour Networks, Inc. | Methods and systems for improving analytics in distributed networks |
US10009381B2 (en) | 2015-03-30 | 2018-06-26 | Varmour Networks, Inc. | System and method for threat-driven security policy controls |
US9380027B1 (en) | 2015-03-30 | 2016-06-28 | Varmour Networks, Inc. | Conditional declarative policies |
CN104753948B (zh) * | 2015-04-03 | 2019-01-15 | 西安邮电大学 | 一种基于三重实值否定选择的入侵检测方法 |
US9917852B1 (en) | 2015-06-29 | 2018-03-13 | Palo Alto Networks, Inc. | DGA behavior detection |
US10476891B2 (en) * | 2015-07-21 | 2019-11-12 | Attivo Networks Inc. | Monitoring access of network darkspace |
US10191758B2 (en) | 2015-12-09 | 2019-01-29 | Varmour Networks, Inc. | Directing data traffic between intra-server virtual machines |
US9762599B2 (en) | 2016-01-29 | 2017-09-12 | Varmour Networks, Inc. | Multi-node affinity-based examination for computer network security remediation |
US9680852B1 (en) | 2016-01-29 | 2017-06-13 | Varmour Networks, Inc. | Recursive multi-layer examination for computer network security remediation |
US9521115B1 (en) | 2016-03-24 | 2016-12-13 | Varmour Networks, Inc. | Security policy generation using container metadata |
US10755334B2 (en) | 2016-06-30 | 2020-08-25 | Varmour Networks, Inc. | Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors |
ES2728337T3 (es) | 2016-07-14 | 2019-10-23 | Ironnet Cybersecurity Inc | Simulación y realidad virtual basada en sistemas de comportamiento cibernético |
US11616812B2 (en) | 2016-12-19 | 2023-03-28 | Attivo Networks Inc. | Deceiving attackers accessing active directory data |
US11695800B2 (en) | 2016-12-19 | 2023-07-04 | SentinelOne, Inc. | Deceiving attackers accessing network data |
US10367846B2 (en) | 2017-11-15 | 2019-07-30 | Xm Cyber Ltd. | Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign |
EP3643040A4 (en) | 2017-08-08 | 2021-06-09 | SentinelOne, Inc. | METHODS, SYSTEMS AND DEVICES FOR DYNAMIC MODELING AND GROUPING OF END POINTS FOR EDGE NETWORKING |
US11050780B2 (en) * | 2017-12-06 | 2021-06-29 | International Business Machines Corporation | Methods and systems for managing security in computing networks |
US11470115B2 (en) | 2018-02-09 | 2022-10-11 | Attivo Networks, Inc. | Implementing decoys in a network environment |
US10469521B1 (en) * | 2018-11-04 | 2019-11-05 | Xm Cyber Ltd. | Using information about exportable data in penetration testing |
US11283827B2 (en) | 2019-02-28 | 2022-03-22 | Xm Cyber Ltd. | Lateral movement strategy during penetration testing of a networked system |
US11206281B2 (en) | 2019-05-08 | 2021-12-21 | Xm Cyber Ltd. | Validating the use of user credentials in a penetration testing campaign |
EP3973427A4 (en) | 2019-05-20 | 2023-06-21 | Sentinel Labs Israel Ltd. | SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION |
US11863580B2 (en) | 2019-05-31 | 2024-01-02 | Varmour Networks, Inc. | Modeling application dependencies to identify operational risk |
US11290494B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Reliability prediction for cloud security policies |
US11310284B2 (en) | 2019-05-31 | 2022-04-19 | Varmour Networks, Inc. | Validation of cloud security policies |
US11575563B2 (en) | 2019-05-31 | 2023-02-07 | Varmour Networks, Inc. | Cloud security management |
US11711374B2 (en) | 2019-05-31 | 2023-07-25 | Varmour Networks, Inc. | Systems and methods for understanding identity and organizational access to applications within an enterprise environment |
US11290493B2 (en) | 2019-05-31 | 2022-03-29 | Varmour Networks, Inc. | Template-driven intent-based security |
US10880326B1 (en) | 2019-08-01 | 2020-12-29 | Xm Cyber Ltd. | Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic |
US11729134B2 (en) | 2019-09-30 | 2023-08-15 | Palo Alto Networks, Inc. | In-line detection of algorithmically generated domains |
US11005878B1 (en) | 2019-11-07 | 2021-05-11 | Xm Cyber Ltd. | Cooperation between reconnaissance agents in penetration testing campaigns |
US11575700B2 (en) | 2020-01-27 | 2023-02-07 | Xm Cyber Ltd. | Systems and methods for displaying an attack vector available to an attacker of a networked system |
US11582256B2 (en) | 2020-04-06 | 2023-02-14 | Xm Cyber Ltd. | Determining multiple ways for compromising a network node in a penetration testing campaign |
US11579857B2 (en) | 2020-12-16 | 2023-02-14 | Sentinel Labs Israel Ltd. | Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach |
US11876817B2 (en) | 2020-12-23 | 2024-01-16 | Varmour Networks, Inc. | Modeling queue-based message-oriented middleware relationships in a security system |
US11818152B2 (en) | 2020-12-23 | 2023-11-14 | Varmour Networks, Inc. | Modeling topic-based message-oriented middleware within a security system |
US11777978B2 (en) | 2021-01-29 | 2023-10-03 | Varmour Networks, Inc. | Methods and systems for accurately assessing application access risk |
US11734316B2 (en) | 2021-07-08 | 2023-08-22 | Varmour Networks, Inc. | Relationship-based search in a computing environment |
US11899782B1 (en) | 2021-07-13 | 2024-02-13 | SentinelOne, Inc. | Preserving DLL hooks |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05327691A (ja) * | 1992-05-25 | 1993-12-10 | Toshiba Corp | 不正ユーザアクセス防止システム |
JPH06152699A (ja) * | 1992-11-04 | 1994-05-31 | Fujitsu Ltd | ポリシング・ユーザ・インタフェース方式 |
JPH06350698A (ja) * | 1993-03-31 | 1994-12-22 | American Teleph & Telegr Co <Att> | 通信ネットワーク利用モニタ方法 |
JPH09128336A (ja) * | 1995-11-06 | 1997-05-16 | Hitachi Ltd | ネットワークセキュリティシステム |
JPH10210033A (ja) * | 1997-01-28 | 1998-08-07 | Hitachi Ltd | ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法 |
JPH11502982A (ja) * | 1995-03-30 | 1999-03-09 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | 通信サービスの不正使用の検出 |
Family Cites Families (221)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4223380A (en) | 1978-04-06 | 1980-09-16 | Ncr Corporation | Distributed multiprocessor communication system |
JPS55112651A (en) | 1979-02-21 | 1980-08-30 | Fujitsu Ltd | Virtual computer system |
US4672609A (en) | 1982-01-19 | 1987-06-09 | Tandem Computers Incorporated | Memory system with operation error detection |
US4773028A (en) | 1984-10-01 | 1988-09-20 | Tektronix, Inc. | Method and apparatus for improved monitoring and detection of improper device operation |
US4819234A (en) | 1987-05-01 | 1989-04-04 | Prime Computer, Inc. | Operating system debugger |
CA1314101C (en) | 1988-02-17 | 1993-03-02 | Henry Shao-Lin Teng | Expert system for security inspection of a digital computer system in a network environment |
US5121345A (en) | 1988-11-03 | 1992-06-09 | Lentz Stephen A | System and method for protecting integrity of computer data and software |
US4975950A (en) | 1988-11-03 | 1990-12-04 | Lentz Stephen A | System and method of protecting integrity of computer data and software |
US5347450A (en) | 1989-01-18 | 1994-09-13 | Intel Corporation | Message routing in a multiprocessor computer system |
US5353393A (en) | 1989-06-14 | 1994-10-04 | Sunwest Trading Corporation | Apparatus and method for manipulating scanned documents in a computer aided design system |
US5347579A (en) | 1989-07-05 | 1994-09-13 | Blandford Robert R | Personal computer diary |
US5204966A (en) | 1990-03-09 | 1993-04-20 | Digital Equipment Corporation | System for controlling access to a secure system by verifying acceptability of proposed password by using hashing and group of unacceptable passwords |
EP0449242A3 (en) * | 1990-03-28 | 1992-10-28 | National Semiconductor Corporation | Method and structure for providing computer security and virus prevention |
US5032979A (en) | 1990-06-22 | 1991-07-16 | International Business Machines Corporation | Distributed security auditing subsystem for an operating system |
US5210704A (en) | 1990-10-02 | 1993-05-11 | Technology International Incorporated | System for prognosis and diagnostics of failure and wearout monitoring and for prediction of life expectancy of helicopter gearboxes and other rotating equipment |
JPH04310188A (ja) | 1991-03-01 | 1992-11-02 | Internatl Business Mach Corp <Ibm> | 文書/画像ライブラリのためのライブラリサービス方法 |
US5274824A (en) | 1991-03-01 | 1993-12-28 | Bull Hn Information Systems Inc. | Keyring metaphor for user's security keys on a distributed multiprocess data system |
EP0510244A1 (en) | 1991-04-22 | 1992-10-28 | Acer Incorporated | Method and apparatus for protecting a computer system from computer viruses |
US5774727A (en) | 1991-06-27 | 1998-06-30 | Digital Equipment Corporation | Parallel processing system for virtual processor implementation of machine-language instructions |
US5577209A (en) | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
US5309562A (en) | 1991-08-19 | 1994-05-03 | Multi-Tech Systems, Inc. | Method and apparatus for establishing protocol spoofing from a modem |
US5454074A (en) | 1991-09-18 | 1995-09-26 | The Boeing Company | Electronic checklist system |
US5649095A (en) | 1992-03-30 | 1997-07-15 | Cozza; Paul D. | Method and apparatus for detecting computer viruses through the use of a scan information cache |
US5278901A (en) * | 1992-04-30 | 1994-01-11 | International Business Machines Corporation | Pattern-oriented intrusion-detection system and method |
US5311593A (en) | 1992-05-13 | 1994-05-10 | Chipcom Corporation | Security system for a network concentrator |
US5359659A (en) | 1992-06-19 | 1994-10-25 | Doren Rosenthal | Method for securing software against corruption by computer viruses |
US5371852A (en) | 1992-10-14 | 1994-12-06 | International Business Machines Corporation | Method and apparatus for making a cluster of computers appear as a single host on a network |
US5345595A (en) * | 1992-11-12 | 1994-09-06 | Coral Systems, Inc. | Apparatus and method for detecting fraudulent telecommunication activity |
JP2501771B2 (ja) | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
US5440723A (en) | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
US5586260A (en) | 1993-02-12 | 1996-12-17 | Digital Equipment Corporation | Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms |
GB9303527D0 (en) | 1993-02-22 | 1993-04-07 | Hewlett Packard Ltd | Network analysis method |
CN1055596C (zh) | 1993-02-23 | 2000-08-16 | 英国电讯有限公司 | 对长途通信网中警报信号自动处理的网络管理系统及方法 |
US5630061A (en) | 1993-04-19 | 1997-05-13 | International Business Machines Corporation | System for enabling first computer to communicate over switched network with second computer located within LAN by using media access control driver in different modes |
US5398196A (en) | 1993-07-29 | 1995-03-14 | Chambers; David A. | Method and apparatus for detection of computer viruses |
KR100195076B1 (ko) * | 1993-09-16 | 1999-06-15 | 윤종용 | 용융탄산염 연료전지용 양전극의 제조방법 |
US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5835726A (en) | 1993-12-15 | 1998-11-10 | Check Point Software Technologies Ltd. | System for securing the flow of and selectively modifying packets in a computer network |
US5515508A (en) | 1993-12-17 | 1996-05-07 | Taligent, Inc. | Client server system and method of operation including a dynamically configurable protocol stack |
US5974457A (en) | 1993-12-23 | 1999-10-26 | International Business Machines Corporation | Intelligent realtime monitoring of data traffic |
US5557742A (en) | 1994-03-07 | 1996-09-17 | Haystack Labs, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US5522026A (en) | 1994-03-18 | 1996-05-28 | The Boeing Company | System for creating a single electronic checklist in response to multiple faults |
US5675711A (en) | 1994-05-13 | 1997-10-07 | International Business Machines Corporation | Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses |
DE69511556D1 (de) | 1994-06-01 | 1999-09-23 | Quantum Leap Innovations Inc | Computervirenfalle |
US5999711A (en) | 1994-07-18 | 1999-12-07 | Microsoft Corporation | Method and system for providing certificates holding authentication and authorization information for users/machines |
US6006016A (en) | 1994-11-10 | 1999-12-21 | Bay Networks, Inc. | Network fault correlation |
US5623601A (en) | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5764890A (en) | 1994-12-13 | 1998-06-09 | Microsoft Corporation | Method and system for adding a secure network server to an existing computer network |
CA2138302C (en) | 1994-12-15 | 1999-05-25 | Michael S. Fortinsky | Provision of secure access to external resources from a distributed computing environment |
US5590331A (en) | 1994-12-23 | 1996-12-31 | Sun Microsystems, Inc. | Method and apparatus for generating platform-standard object files containing machine-independent code |
JPH08242229A (ja) | 1995-03-01 | 1996-09-17 | Fujitsu Ltd | ネットワーク監視における状態整合処理システム |
US5696486A (en) | 1995-03-29 | 1997-12-09 | Cabletron Systems, Inc. | Method and apparatus for policy-based alarm notification in a distributed network management environment |
US5749066A (en) | 1995-04-24 | 1998-05-05 | Ericsson Messaging Systems Inc. | Method and apparatus for developing a neural network for phoneme recognition |
US5734697A (en) | 1995-04-28 | 1998-03-31 | Mci Corporation | Method and apparatus for improving telecommunications system performance |
US5790799A (en) | 1995-05-17 | 1998-08-04 | Digital Equipment Corporation | System for sampling network packets by only storing the network packet that its error check code matches with the reference error check code |
US6061795A (en) | 1995-07-31 | 2000-05-09 | Pinnacle Technology Inc. | Network desktop management security system and method |
US6477585B1 (en) | 1995-08-18 | 2002-11-05 | International Business Machines Corporation | Filter mechanism for an event management service |
US6144961A (en) | 1995-08-31 | 2000-11-07 | Compuware Corporation | Method and system for non-intrusive measurement of transaction response times on a network |
US5878420A (en) | 1995-08-31 | 1999-03-02 | Compuware Corporation | Network monitoring and management system |
US5623600A (en) | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
US5854916A (en) | 1995-09-28 | 1998-12-29 | Symantec Corporation | State-based cache for antivirus software |
US5826013A (en) | 1995-09-28 | 1998-10-20 | Symantec Corporation | Polymorphic virus detection module |
US5765030A (en) | 1996-07-19 | 1998-06-09 | Symantec Corp | Processor emulator module having a variable pre-fetch queue size for program execution |
US6067410A (en) | 1996-02-09 | 2000-05-23 | Symantec Corporation | Emulation repair system |
US5696822A (en) | 1995-09-28 | 1997-12-09 | Symantec Corporation | Polymorphic virus detection module |
US5745692A (en) | 1995-10-23 | 1998-04-28 | Ncr Corporation | Automated systems administration of remote computer servers |
US5838903A (en) | 1995-11-13 | 1998-11-17 | International Business Machines Corporation | Configurable password integrity servers for use in a shared resource environment |
US5832211A (en) | 1995-11-13 | 1998-11-03 | International Business Machines Corporation | Propagating plain-text passwords from a main registry to a plurality of foreign registries |
US5764887A (en) | 1995-12-11 | 1998-06-09 | International Business Machines Corporation | System and method for supporting distributed computing mechanisms in a local area network server environment |
GB9526129D0 (en) | 1995-12-21 | 1996-02-21 | Philips Electronics Nv | Machine code format translation |
JP3165366B2 (ja) | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
JPH09214493A (ja) | 1996-02-08 | 1997-08-15 | Hitachi Ltd | ネットワークシステム |
US5761504A (en) | 1996-02-16 | 1998-06-02 | Motorola, Inc. | Method for updating a software code in a communication system |
US5950012A (en) | 1996-03-08 | 1999-09-07 | Texas Instruments Incorporated | Single chip microprocessor circuits, systems, and methods for self-loading patch micro-operation codes and patch microinstruction codes |
US5964839A (en) | 1996-03-29 | 1999-10-12 | At&T Corp | System and method for monitoring information flow and performing data collection |
US5822517A (en) | 1996-04-15 | 1998-10-13 | Dotan; Eyal | Method for detecting infection of software programs by memory resident software viruses |
US6377994B1 (en) | 1996-04-15 | 2002-04-23 | International Business Machines Corporation | Method and apparatus for controlling server access to a resource in a client/server system |
US6014645A (en) | 1996-04-19 | 2000-01-11 | Block Financial Corporation | Real-time financial card application system |
US5881236A (en) | 1996-04-26 | 1999-03-09 | Hewlett-Packard Company | System for installation of software on a remote computer system over a network using checksums and password protection |
US6104783A (en) | 1996-05-01 | 2000-08-15 | Instant Alert Security, Llc | Method and apparatus for securing a site utilizing a security apparatus in cooperation with telephone systems |
US5884033A (en) | 1996-05-15 | 1999-03-16 | Spyglass, Inc. | Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions |
US5798706A (en) | 1996-06-18 | 1998-08-25 | Raptor Systems, Inc. | Detecting unauthorized network communication |
US5857191A (en) | 1996-07-08 | 1999-01-05 | Gradient Technologies, Inc. | Web application server with secure common gateway interface |
US5787177A (en) | 1996-08-01 | 1998-07-28 | Harris Corporation | Integrated network security access control system |
US5828833A (en) | 1996-08-15 | 1998-10-27 | Electronic Data Systems Corporation | Method and system for allowing remote procedure calls through a network firewall |
US5864665A (en) | 1996-08-20 | 1999-01-26 | International Business Machines Corporation | Auditing login activity in a distributed computing environment |
US5832208A (en) | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US5845067A (en) | 1996-09-09 | 1998-12-01 | Porter; Jack Edward | Method and apparatus for document management utilizing a messaging system |
US5892903A (en) | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
US5983350A (en) | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
US5899999A (en) | 1996-10-16 | 1999-05-04 | Microsoft Corporation | Iterative convolution filter particularly suited for use in an image classification and retrieval system |
US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
US6167520A (en) | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
US6154844A (en) | 1996-11-08 | 2000-11-28 | Finjan Software, Ltd. | System and method for attaching a downloadable security profile to a downloadable |
US5991881A (en) * | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5796942A (en) | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
US5848233A (en) | 1996-12-09 | 1998-12-08 | Sun Microsystems, Inc. | Method and apparatus for dynamic packet filter assignment |
US5974237A (en) | 1996-12-18 | 1999-10-26 | Northern Telecom Limited | Communications network monitoring |
US5987611A (en) | 1996-12-31 | 1999-11-16 | Zone Labs, Inc. | System and methodology for managing internet access on a per application basis for client computers connected to the internet |
US5875296A (en) | 1997-01-28 | 1999-02-23 | International Business Machines Corporation | Distributed file system web server user authentication with cookies |
US6085224A (en) | 1997-03-11 | 2000-07-04 | Intracept, Inc. | Method and system for responding to hidden data and programs in a datastream |
US5983270A (en) | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US5925126A (en) | 1997-03-18 | 1999-07-20 | Memco Software, Ltd. | Method for security shield implementation in computer system's software |
US5987606A (en) | 1997-03-19 | 1999-11-16 | Bascom Global Internet Services, Inc. | Method and system for content filtering information retrieved from an internet computer network |
US6477648B1 (en) | 1997-03-23 | 2002-11-05 | Novell, Inc. | Trusted workstation in a networked client/server computing system |
US5893091A (en) * | 1997-04-11 | 1999-04-06 | Immediata Corporation | Multicasting with key words |
US5964889A (en) | 1997-04-16 | 1999-10-12 | Symantec Corporation | Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator |
JP3028783B2 (ja) | 1997-04-25 | 2000-04-04 | 日本電気株式会社 | ネットワークの監視方法と装置 |
US6314525B1 (en) | 1997-05-13 | 2001-11-06 | 3Com Corporation | Means for allowing two or more network interface controller cards to appear as one card to an operating system |
US5922051A (en) * | 1997-05-14 | 1999-07-13 | Ncr Corporation | System and method for traffic management in a network management system |
US6119234A (en) | 1997-06-27 | 2000-09-12 | Sun Microsystems, Inc. | Method and apparatus for client-host communication over a computer network |
US6073172A (en) | 1997-07-14 | 2000-06-06 | Freegate Corporation | Initializing and reconfiguring a secure network interface |
KR19990011713A (ko) | 1997-07-25 | 1999-02-18 | 윤종용 | 시나리오형 사용자 인터페이스에 의한 문자 정보 전송 |
EP0898245B1 (en) | 1997-08-05 | 2004-04-14 | Canon Kabushiki Kaisha | Image processing method and apparatus |
US5919257A (en) | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US5978917A (en) | 1997-08-14 | 1999-11-02 | Symantec Corporation | Detection and elimination of macro viruses |
US6275938B1 (en) | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
US6009467A (en) | 1997-08-29 | 1999-12-28 | International Business Machines Corporation | System for checking status of supported functions of communication platforms at preselected intervals in order to allow hosts to obtain updated list of all supported functions |
US6016553A (en) | 1997-09-05 | 2000-01-18 | Wild File, Inc. | Method, software and apparatus for saving, using and recovering data |
IL126149A (en) | 1997-09-09 | 2003-07-31 | Sanctum Ltd | Method and system for protecting operations of trusted internal networks |
US5983348A (en) | 1997-09-10 | 1999-11-09 | Trend Micro Incorporated | Computer network malicious code scanner |
US5961644A (en) | 1997-09-19 | 1999-10-05 | International Business Machines Corporation | Method and apparatus for testing the integrity of computer security alarm systems |
US6357008B1 (en) | 1997-09-23 | 2002-03-12 | Symantec Corporation | Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases |
US5991856A (en) | 1997-09-30 | 1999-11-23 | Network Associates, Inc. | System and method for computer operating system protection |
US6003132A (en) | 1997-10-22 | 1999-12-14 | Rvt Technologies, Inc. | Method and apparatus for isolating a computer system upon detection of viruses and similar data |
US6081894A (en) | 1997-10-22 | 2000-06-27 | Rvt Technologies, Inc. | Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data |
US6035323A (en) | 1997-10-24 | 2000-03-07 | Pictra, Inc. | Methods and apparatuses for distributing a collection of digital media over a network with automatic generation of presentable media |
US6041347A (en) | 1997-10-24 | 2000-03-21 | Unified Access Communications | Computer system and computer-implemented process for simultaneous configuration and monitoring of a computer network |
JP2001521250A (ja) | 1997-10-27 | 2001-11-06 | マサチューセッツ・インスティチュート・オブ・テクノロジー | 情報の検索および検索システム |
US6070244A (en) | 1997-11-10 | 2000-05-30 | The Chase Manhattan Bank | Computer network security management system |
US6119165A (en) | 1997-11-17 | 2000-09-12 | Trend Micro, Inc. | Controlled distribution of application programs in a computer network |
US6108799A (en) | 1997-11-21 | 2000-08-22 | International Business Machines Corporation | Automated sample creation of polymorphic and non-polymorphic marcro viruses |
US6026442A (en) * | 1997-11-24 | 2000-02-15 | Cabletron Systems, Inc. | Method and apparatus for surveillance in communications networks |
US6094731A (en) | 1997-11-24 | 2000-07-25 | Symantec Corporation | Antivirus accelerator for computer networks |
US6021510A (en) | 1997-11-24 | 2000-02-01 | Symantec Corporation | Antivirus accelerator |
US6118940A (en) | 1997-11-25 | 2000-09-12 | International Business Machines Corp. | Method and apparatus for benchmarking byte code sequences |
IL122314A (en) | 1997-11-27 | 2001-03-19 | Security 7 Software Ltd | Method and system for enforcing a communication security policy |
US6052709A (en) | 1997-12-23 | 2000-04-18 | Bright Light Technologies, Inc. | Apparatus and method for controlling delivery of unsolicited electronic mail |
US6088803A (en) | 1997-12-30 | 2000-07-11 | Intel Corporation | System for virus-checking network data during download to a client device |
US6035423A (en) | 1997-12-31 | 2000-03-07 | Network Associates, Inc. | Method and system for providing automated updating and upgrading of antivirus applications using a computer network |
US6029256A (en) | 1997-12-31 | 2000-02-22 | Network Associates, Inc. | Method and system for allowing computer programs easy access to features of a virus scanning engine |
US6088804A (en) | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US6122738A (en) | 1998-01-22 | 2000-09-19 | Symantec Corporation | Computer file integrity verification |
US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
US6279113B1 (en) | 1998-03-16 | 2001-08-21 | Internet Tools, Inc. | Dynamic signature inspection-based network intrusion detection |
US6195687B1 (en) | 1998-03-18 | 2001-02-27 | Netschools Corporation | Method and apparatus for master-slave control in a educational classroom communication network |
US6628824B1 (en) | 1998-03-20 | 2003-09-30 | Ken Belanger | Method and apparatus for image identification and comparison |
US6725378B1 (en) * | 1998-04-15 | 2004-04-20 | Purdue Research Foundation | Network protection for denial of service attacks |
US6161109A (en) | 1998-04-16 | 2000-12-12 | International Business Machines Corporation | Accumulating changes in a database management system by copying the data object to the image copy if the data object identifier of the data object is greater than the image identifier of the image copy |
US6298445B1 (en) | 1998-04-30 | 2001-10-02 | Netect, Ltd. | Computer security |
US6408391B1 (en) | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
US6070190A (en) | 1998-05-11 | 2000-05-30 | International Business Machines Corporation | Client-based application availability and response monitoring and reporting for distributed computing environments |
US6173413B1 (en) | 1998-05-12 | 2001-01-09 | Sun Microsystems, Inc. | Mechanism for maintaining constant permissions for multiple instances of a device within a cluster |
US6397242B1 (en) | 1998-05-15 | 2002-05-28 | Vmware, Inc. | Virtualization system including a virtual machine monitor for a computer with a segmented architecture |
US6275942B1 (en) | 1998-05-20 | 2001-08-14 | Network Associates, Inc. | System, method and computer program product for automatic response to computer system misuse using active response modules |
US6347374B1 (en) | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
CA2335600A1 (en) | 1998-06-22 | 1999-12-29 | Charles T. Gambetta | Virtual data storage (vds) system |
US6185689B1 (en) | 1998-06-24 | 2001-02-06 | Richard S. Carson & Assoc., Inc. | Method for network self security assessment |
US6324656B1 (en) | 1998-06-30 | 2001-11-27 | Cisco Technology, Inc. | System and method for rules-driven multi-phase network vulnerability assessment |
US6282546B1 (en) | 1998-06-30 | 2001-08-28 | Cisco Technology, Inc. | System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment |
US6661904B1 (en) | 1998-07-15 | 2003-12-09 | Personalogo | Method and system for automated electronic conveyance of hidden data |
US6453346B1 (en) | 1998-07-17 | 2002-09-17 | Proactivenet, Inc. | Method and apparatus for intelligent storage and reduction of network information |
US6711127B1 (en) | 1998-07-31 | 2004-03-23 | General Dynamics Government Systems Corporation | System for intrusion detection and vulnerability analysis in a telecommunications signaling network |
US6429952B1 (en) | 1998-08-31 | 2002-08-06 | Sharp Laboratories Of America | Browser interface to scanner |
DE69817176T2 (de) | 1998-09-09 | 2004-06-24 | International Business Machines Corp. | Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen |
US6271840B1 (en) | 1998-09-24 | 2001-08-07 | James Lee Finseth | Graphical search engine visual index |
US6338141B1 (en) | 1998-09-30 | 2002-01-08 | Cybersoft, Inc. | Method and apparatus for computer virus detection, analysis, and removal in real time |
US6460141B1 (en) | 1998-10-28 | 2002-10-01 | Rsa Security Inc. | Security and access management system for web-enabled and non-web-enabled applications and content on a computer network |
US6230288B1 (en) | 1998-10-29 | 2001-05-08 | Network Associates, Inc. | Method of treating whitespace during virus detection |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6530024B1 (en) | 1998-11-20 | 2003-03-04 | Centrax Corporation | Adaptive feedback security system and method |
US6517587B2 (en) | 1998-12-08 | 2003-02-11 | Yodlee.Com, Inc. | Networked architecture for enabling automated gathering of information from Web servers |
US6266774B1 (en) | 1998-12-08 | 2001-07-24 | Mcafee.Com Corporation | Method and system for securing, managing or optimizing a personal computer |
US6226372B1 (en) | 1998-12-11 | 2001-05-01 | Securelogix Corporation | Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities |
US6574737B1 (en) | 1998-12-23 | 2003-06-03 | Symantec Corporation | System for penetrating computer or computer network |
US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6415321B1 (en) | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
US6205552B1 (en) | 1998-12-31 | 2001-03-20 | Mci Worldcom, Inc. | Method and apparatus for checking security vulnerability of networked devices |
US6266773B1 (en) | 1998-12-31 | 2001-07-24 | Intel. Corp. | Computer security system |
US6477651B1 (en) | 1999-01-08 | 2002-11-05 | Cisco Technology, Inc. | Intrusion detection system and method having dynamically loaded signatures |
US6578147B1 (en) | 1999-01-15 | 2003-06-10 | Cisco Technology, Inc. | Parallel intrusion detection sensors with load balancing for high speed networks |
US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
US6438600B1 (en) | 1999-01-29 | 2002-08-20 | International Business Machines Corporation | Securely sharing log-in credentials among trusted browser-based applications |
US6647139B1 (en) | 1999-02-18 | 2003-11-11 | Matsushita Electric Industrial Co., Ltd. | Method of object recognition, apparatus of the same and recording medium therefor |
US6510523B1 (en) | 1999-02-22 | 2003-01-21 | Sun Microsystems Inc. | Method and system for providing limited access privileges with an untrusted terminal |
US6839850B1 (en) | 1999-03-04 | 2005-01-04 | Prc, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US6405318B1 (en) | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
US6725377B1 (en) | 1999-03-12 | 2004-04-20 | Networks Associates Technology, Inc. | Method and system for updating anti-intrusion software |
US6434615B1 (en) | 1999-04-30 | 2002-08-13 | Compaq Information Technologies Group, L.P. | Method and apparatus for remote computer management using HTML in a web browser application and an internet server extension on an internet server API-compliant web server |
JP2000322573A (ja) | 1999-05-06 | 2000-11-24 | Canon Inc | 画像処理方法及びその装置 |
US6681331B1 (en) | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
US7096499B2 (en) | 1999-05-11 | 2006-08-22 | Cylant, Inc. | Method and system for simplifying the structure of dynamic execution profiles |
US6445822B1 (en) | 1999-06-04 | 2002-09-03 | Look Dynamics, Inc. | Search method and apparatus for locating digitally stored content, such as visual images, music and sounds, text, or software, in storage devices on a computer network |
US6397245B1 (en) | 1999-06-14 | 2002-05-28 | Hewlett-Packard Company | System and method for evaluating the operation of a computer over a computer network |
US6519647B1 (en) | 1999-07-23 | 2003-02-11 | Microsoft Corporation | Methods and apparatus for synchronizing access control in a web server |
US6563959B1 (en) | 1999-07-30 | 2003-05-13 | Pixlogic Llc | Perceptual similarity image retrieval method |
US6691232B1 (en) | 1999-08-05 | 2004-02-10 | Sun Microsystems, Inc. | Security architecture with environment sensitive credential sufficiency evaluation |
US6647400B1 (en) | 1999-08-30 | 2003-11-11 | Symantec Corporation | System and method for analyzing filesystems to detect intrusions |
US6405364B1 (en) | 1999-08-31 | 2002-06-11 | Accenture Llp | Building techniques in a development architecture framework |
US6324647B1 (en) | 1999-08-31 | 2001-11-27 | Michel K. Bowman-Amuah | System, method and article of manufacture for security management in a development architecture framework |
JP2001092972A (ja) | 1999-09-24 | 2001-04-06 | Mamoru Minami | 画像認識方法 |
US6601190B1 (en) | 1999-10-28 | 2003-07-29 | Hewlett-Packard Development Company, L.P. | Automatic capture and reporting of computer configuration data |
US6606744B1 (en) | 1999-11-22 | 2003-08-12 | Accenture, Llp | Providing collaborative installation management in a network-based supply chain environment |
US6584454B1 (en) | 1999-12-31 | 2003-06-24 | Ge Medical Technology Services, Inc. | Method and apparatus for community management in remote system servicing |
US6535227B1 (en) | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
US6792144B1 (en) | 2000-03-03 | 2004-09-14 | Koninklijke Philips Electronics N.V. | System and method for locating an object in an image using models |
US6775780B1 (en) | 2000-03-16 | 2004-08-10 | Networks Associates Technology, Inc. | Detecting malicious software by analyzing patterns of system calls generated during emulation |
WO2001073553A1 (en) | 2000-03-27 | 2001-10-04 | Network Security Systems, Inc. | Internet/network security method and system for checking security of a client from a remote facility |
US6519703B1 (en) | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US6718383B1 (en) | 2000-06-02 | 2004-04-06 | Sun Microsystems, Inc. | High availability networking with virtual IP address failover |
US8341743B2 (en) | 2000-07-14 | 2012-12-25 | Ca, Inc. | Detection of viral code using emulation of operating system functions |
US6353385B1 (en) | 2000-08-25 | 2002-03-05 | Hyperon Incorporated | Method and system for interfacing an intrusion detection system to a central alarm system |
US7124440B2 (en) | 2000-09-07 | 2006-10-17 | Mazu Networks, Inc. | Monitoring network traffic denial of service attacks |
US20020035698A1 (en) | 2000-09-08 | 2002-03-21 | The Regents Of The University Of Michigan | Method and system for protecting publicly accessible network computer services from undesirable network traffic in real-time |
US20020083331A1 (en) | 2000-12-21 | 2002-06-27 | 802 Systems, Inc. | Methods and systems using PLD-based network communication protocols |
US7290283B2 (en) | 2001-01-31 | 2007-10-30 | Lancope, Inc. | Network port profiling |
AU2002320191A1 (en) | 2001-06-27 | 2003-03-03 | Arbor Networks | Method and system for monitoring control signal traffic over a computer network |
US6546493B1 (en) | 2001-11-30 | 2003-04-08 | Networks Associates Technology, Inc. | System, method and computer program product for risk assessment scanning based on detected anomalous events |
US6721806B2 (en) | 2002-09-05 | 2004-04-13 | International Business Machines Corporation | Remote direct memory access enabled network interface controller switchover and switchback support |
-
1999
- 1999-12-03 WO PCT/US1999/028717 patent/WO2000034867A1/en not_active Application Discontinuation
- 1999-12-03 EP EP99965988A patent/EP1149339A1/en not_active Withdrawn
- 1999-12-03 AU AU21647/00A patent/AU2164700A/en not_active Abandoned
- 1999-12-03 JP JP2000587259A patent/JP4501280B2/ja not_active Expired - Fee Related
- 1999-12-03 IL IL14357399A patent/IL143573A0/xx unknown
-
2006
- 2006-09-27 US US11/535,975 patent/US7934254B2/en not_active Expired - Lifetime
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH05327691A (ja) * | 1992-05-25 | 1993-12-10 | Toshiba Corp | 不正ユーザアクセス防止システム |
JPH06152699A (ja) * | 1992-11-04 | 1994-05-31 | Fujitsu Ltd | ポリシング・ユーザ・インタフェース方式 |
JPH06350698A (ja) * | 1993-03-31 | 1994-12-22 | American Teleph & Telegr Co <Att> | 通信ネットワーク利用モニタ方法 |
JPH11502982A (ja) * | 1995-03-30 | 1999-03-09 | ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー | 通信サービスの不正使用の検出 |
JPH09128336A (ja) * | 1995-11-06 | 1997-05-16 | Hitachi Ltd | ネットワークセキュリティシステム |
JPH10210033A (ja) * | 1997-01-28 | 1998-08-07 | Hitachi Ltd | ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法 |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2003309607A (ja) * | 2002-04-17 | 2003-10-31 | Ntt Data Corp | アンチプロファイリング装置およびアンチプロファイリングプログラム |
JP2008512970A (ja) * | 2004-09-09 | 2008-04-24 | アバイア テクノロジー コーポレーション | ネットワーク・トラフィックのセキュリティのための方法およびシステム |
JP2011065653A (ja) * | 2004-09-09 | 2011-03-31 | Avaya Inc | ネットワーク・トラフィックのセキュリティのための方法およびシステム |
JP2006345014A (ja) * | 2005-06-07 | 2006-12-21 | Nippon Telegr & Teleph Corp <Ntt> | 攻撃トラヒック防御システムおよび方法 |
WO2009119049A1 (ja) * | 2008-03-25 | 2009-10-01 | パナソニック株式会社 | 電子端末、制御方法、コンピュータプログラム及び集積回路 |
JPWO2009119049A1 (ja) * | 2008-03-25 | 2011-07-21 | パナソニック株式会社 | 電子端末、制御方法、コンピュータプログラム及び集積回路 |
US8438402B2 (en) | 2008-03-25 | 2013-05-07 | Panasonic Corporation | Electronic terminal, control method, computer program and integrated circuit |
JP2010039749A (ja) * | 2008-08-05 | 2010-02-18 | Nippon Telegr & Teleph Corp <Ntt> | アクセス先スコアリング方法およびそのプログラム |
Also Published As
Publication number | Publication date |
---|---|
IL143573A0 (en) | 2002-04-21 |
EP1149339A1 (en) | 2001-10-31 |
WO2000034867A1 (en) | 2000-06-15 |
JP4501280B2 (ja) | 2010-07-14 |
AU2164700A (en) | 2000-06-26 |
US7934254B2 (en) | 2011-04-26 |
US20070022090A1 (en) | 2007-01-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2003524925A (ja) | ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 | |
US9917857B2 (en) | Logging attack context data | |
EP1889443B1 (en) | Computer network intrusion detection system and method | |
Hu et al. | Accurate real-time identification of IP prefix hijacking | |
US7237264B1 (en) | System and method for preventing network misuse | |
EP2194677B1 (en) | Network monitoring device, network monitoring method, and network monitoring program | |
US7757283B2 (en) | System and method for detecting abnormal traffic based on early notification | |
US7051369B1 (en) | System for monitoring network for cracker attack | |
US9628508B2 (en) | Discovery of suspect IP addresses | |
US20030084319A1 (en) | Node, method and computer readable medium for inserting an intrusion prevention system into a network stack | |
US20030097557A1 (en) | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system | |
US20070056020A1 (en) | Automated deployment of protection agents to devices connected to a distributed computer network | |
US20100251370A1 (en) | Network intrusion detection system | |
JP2010508598A (ja) | ストリング分析を利用する1つまたは複数のパケット・ネットワークでの望まれないトラフィックを検出する方法および装置 | |
US20040083388A1 (en) | Method and apparatus for monitoring data packets in a packet-switched network | |
CN110611682A (zh) | 一种网络访问系统及网络接入方法和相关设备 | |
EP1720315B1 (en) | Network management and administration by monitoring network traffic and vulnerability scanning | |
FR2852754A1 (fr) | Systeme et methode de protection d'un reseau de transmission ip contre les attaques de deni de service | |
Vykopal et al. | Network-based dictionary attack detection | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
Xiaobing et al. | Detection and protection against network scanning: IEDP | |
Hashim et al. | Computer network intrusion detection software development | |
Singh et al. | Detection of Spoofing attacks in Wireless network and their Remedies | |
Perez | Practical SIEM tools for SCADA environment | |
Horn | Understanding ip prefix hijacking and its detection |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20061201 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061201 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A712 Effective date: 20070523 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20070523 |
|
A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20071127 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20090710 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090721 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090807 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090807 |
|
RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20090807 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20090807 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100308 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100312 Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100312 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100405 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100406 |
|
RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20100406 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100412 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130430 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |