JP2003527793A - ネットワークにおける、自動的な侵入検出及び偏向のための方法 - Google Patents
ネットワークにおける、自動的な侵入検出及び偏向のための方法Info
- Publication number
- JP2003527793A JP2003527793A JP2001540933A JP2001540933A JP2003527793A JP 2003527793 A JP2003527793 A JP 2003527793A JP 2001540933 A JP2001540933 A JP 2001540933A JP 2001540933 A JP2001540933 A JP 2001540933A JP 2003527793 A JP2003527793 A JP 2003527793A
- Authority
- JP
- Japan
- Prior art keywords
- network
- unauthorized
- communication
- earmark
- source
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
- Burglar Alarm Systems (AREA)
- Small-Scale Networks (AREA)
- Load-Engaging Elements For Cranes (AREA)
- Air Conditioning Control Device (AREA)
Abstract
Description
し、特にネットワークをアタックするさらなる試みから、侵入者をブロックする
ことができた後に、侵入者の存在を検知するためにマークを使用する方法に関す
る。
々送信される。学術的なツールとしての起源に恐らく起因して、インターネット
は、ネットワーク上のノードのセキュリティというよりむしろ、1つのエンドポ
イントから1つ又はそれ以上のエンドポイントへのデータの効率的な転送に、よ
り適応されている。 したがって、無権限ユーザあるいは「ハッカー」は、インターネットによって
ネットワーク上のノードと同様にネットワークへの比較的容易なアクセスを残念
ながら獲得している。そのような多くの無権限ユーザが犯罪の意図を持っている
わけではないが、プライバシーに侵入し、コンピュータ・システムを分裂させ、
ウェブサイトを「損なう」ことにより損害を与えている。 所有者の情報が窃盗及び/又は改ざんされ、商用情報が盗まれるかもしれず、
その後、売られるかもしれず、誤用されるかもしれないというような、より深刻
なアタックが結果としてより深刻な損害となるかもしれない。 さらに、無権限使用によって与えられた、コンピュータ・システムの損害が破
損の修理の必要を生じることもある。この状況が、ファイアウォール及び侵入検
出システム(IDS)のような、保護方法及び装置を生じた。 残念ながら、知識のある攻撃者はしばしばファイアウォールの裏をかくことが
でき、また、IDSのファイアウォールはヒューリスティック・ベースのため、
かなり不正確となる傾向がある。IDSの不正確さは、高い割合での偽警報をも
たらし有用性を危うくする。 これらの問題は、一般にネットワーク及びインターネットのインフラから生じ
る。インターネットでは、データ資源をホストするコンピュータ・サイトとユー
ザのコンピュータ間の通信がTCP/IP通信プロトコル・スイートによって実
行される。 このプロトコルによれば、ハンドシェイク手順は、容易に検討され、次に、模
倣することができる段階のあるセットに続く。したがって、ネットワーク用の有
用なセキュリティ保護方法は、ハンドシェイク手順及びネットワークの周辺に関
して情報が集積される段階を検知し、次に、情報収集段階で検知された無権限ユ
ーザによる、どのように試みられた活動もブロックする。そのようなセキュリテ
ィ保護方法は現時点では利用可能ではない。
キュリティを保護する、ネットワーク上のノードへのアクセスを獲得し、かつア
クセスを試みる無権限ユーザの識別、好ましくは、その後の無権限ユーザのアク
セスの試みを積極的にブロックする、方法が必要であり、また、持つことは有用
である。
無権限ユーザを少なくとも識別すること、好ましくは無権限ユーザのさらなる活
動をブロックして、ネットワークにセキュリティを供給する方法及びシステムで
ある。検知は、「イヤーマーク」を運ぶ無権限ユーザによって促進される。 イヤーマークは、アタックの前に実行される情報収集段階中に無権限ユーザが
集める、本発明の範囲内で作成される、特に巧妙に作られた偽データである。 イヤーマークは、このような偽データを使う無権限ユーザによるどのような試
みも、即座に敵として無権限ユーザを識別するようデザインされていて、ネット
ワークの侵入が試みられていることを指し示す。好ましくはその後、ネットワー
クへのさらなるアクセスは、ネットワークへの損害なしで無権限ユーザの活動を
含むことができる安全ゾーンへトラフィックを転送することによりブロックされ
る。
方法が提供され、方法は(a)無権限ソースからの通信を受け取ること、(b)
情報集積手順を検出するための通信を分析すること、(c)もし情報集積手順が
検出されたなら、侵入者ソース・アドレスとして通信のアドレスを示すこと、(
d)通信の無権限ソースにイヤーマークを返すこと、(e)イヤーマークの存在
のために、各後の通信を分析すること、(f)もしイヤーマークが存在するなら
ば、通信のソース・アドレスを、侵入者ソース・アドレスとして示すこと、及び
(g)もしソース・アドレスが侵入者ソース・アドレスならば、侵入者ソース・
アドレスからの通信に対処すること、からなる。
検知し、対処するためのシステムが提供され、システムは(a)通信がネットワ
ークに達するためにエントリー・ポイントを通り抜けるための、ネットワークへ
のエントリー・ポイント、(b)無権限ソースに送るためにイヤーマークを準備
するためのイヤーマーク提供モジュール、(c)通信を分析するための、及び通
信のイヤーマークを検出するための侵入検知モジュール、及び(d)イヤーマー
クが侵入検出モジュールによって検出される場合に、通信に対処する侵入対処モ
ジュール、からなる。
、通信はパケットの形式を取る。
上、あるいはより多くのコンピュータ間での接続を指す。以下、用語「ノード」
は特に装置、特に特定のネットワークに接続される、コンピュータを指す。
特定のソフトウェア・オペレーティング・システムの組み合わせを指す。そのよ
うなハードウェア・システムの例は、任意のタイプの適切なデータ処理装置を備
えたものを含む。 以下、用語「コンピュータ」は、DOS、Windows(登録商標)、OS/2(登録商標
)、Linuxのようなオペレーティング・システムを持つパーソナル・コンピュー
タ、オペレーティング・システムとしてJAVA(登録商標)OSを持つMacintosh(
登録商標)、Sun Microsystems(登録商標)及びSilicon Graphics(登録商標)
のコンピュータのようなグラフィカル・ワークステーション、Sun Microsystems
(登録商標)のAIX(登録商標)あるいはSORALIS(登録商標)のような、ユニッ
クス・オペレーティング・システムのあるバージョンを持つ他のコンピュータ、
Palm(登録商標)PDA、PalmPC(登録商標)、あるいは他のどのようなハンド
ヘルド機器、あるいは他の既知の及び入手できるオペレーティング・システムを
含むが、これらに限定されない。 以下、用語「Windows(登録商標)」はWindows(登録商標)95、xが1のよう
な整数であるWindows (登録商標)3.x、Windows (登録商標)NT、Windows (
登録商標)98、Windows (登録商標)CE及びマイクロソフト社(米国)によるこ
れらオペレーティング・システムのアップグレード・バージョンを含むが、これ
らに限定されない。
択できる、実質的に、任意の適切なプログラミング言語で書くことができる。選
択されたプログラミング言語は、ソフトウェア・アプリケーションが実行される
コンピュータ、特にそのコンピュータのオペレーティング・システムと両立でき
るべきである。プログラミング言語の適切な例はC、C++及びJava(登録
商標)を含むがこれらに限定されない。 さらに、方法のための一連の段階として記述されるとき、本発明の機能は、本
発明がソフトウェア、ファームウェア、ハードウェアあるいはこれらの組み合わ
せとして実施されるようにデータ・プロセッサーによって操作されるためのソフ
トウェア計測として実施できる。
情報を集めるために、無権限ユーザによって行われる情報収集段階を指す。
限ユーザを認識し、好ましくは、無権限ユーザの更なる活動を活発にブロックす
ることによって、ネットワークに安全性を提供するための方法及びシステムによ
るものである。検出はイヤーマークか、アタックの前の情報収集段階で無権限ユ
ーザが集める特別精巧にできた偽データを提供することによって、促進される。
情報収集段階は、ネットワークの無防備性や弱点に関する情報を収集するため、
ネットワークを厳密に調べる過程を通常は含んでいる。イヤーマークは、無権限
ユーザがそのような偽データを使おうとどんなに試みても、その無権限ユーザを
敵として識別する結果となるよう設定されていて、ネットワークへの侵入が試み
られていることを指し示す。
明の方法の受動的な実施形態において、システム・アドミニストレータかその他
の責任ある個人に知らされるが、更なる行動は自動的には何一つとられない。本
発明の方法の能動的で好ましい実施形態においては、無権限ユーザによる更なる
活動はブロックされる。さらに好ましいことに、無権限ユーザによってコントロ
ールされるソースからのトラフィックはネットワークの安全ゾーンに転送され、
そこでは侵入者は実際のダメージを引き起こせない。
関して、これらの図面が図解的目的のみによって与えられるものであり、限定を
意味するものではないと理解されることで、より一層理解されるかもしれない。
次の記述はパケット交換ネットワークに集中しており、そこにおいては通信が実
行され、データがパケットの形式で送信するのであるが、本発明は別タイプのネ
ットワークでも実施可能なので、これは記述のみのためであり、限定の意図はな
いと理解される。
施形態の以下の詳細な記述からより理解されるであろう。 さて、図面を参照すると、図1は本発明に基いたシステムの略ブロック図であ
る。システム10はエントリー・ポイント14で被保護ネットワーク12を特色
とする。好ましくは、被保護ネットワーク12にはエントリー・ポイント14が
複数存在するが、被保護ネットワーク12に入ってくる全トラフィックがエント
リー・ポイント14を通過しなければならないようにすべきである。エントリー
・ポイント14はルータ及び/又は例えばファイーヤーウオールとして付加的に
導入されている。ネットワーク・トラフィック、主としてパケットが、一旦エン
トリー・ポイント14を通過したら、トラフィックはその後、被保護ネットワー
ク12に繋がるひとつかそれ以上のノード16に送信する。被保護ネットワーク
12の構造が明瞭さを追求して単純化され、どのような方面への限定も意図しな
いと理解される。
がっている。例えば、エントリー・ポイント14は、公共ネットワーク18に加
えて、もしくはその代わりにダイアルアップ・アクセス・ポイントにも繋がって
いると理解されている。無権限ソース20は、無権限ユーザの実施する公共のネ
ットワーク18に繋がっていることを示している。無権限ソース20は1つしか
示されていないが、単一の無権限ユーザが操作しているときでさえ、そのような
複数の無権限ソースが可能なので、これは記述だけの目的であり、限定の意図を
持たないと理解される。例えば、無権限ソース20は、コンピュータ、代替的に
ユーザのコンピュータに加えて1つかそれ以上の付加的ネットワークを含む。無
権限ユーザは被保護ネットワーク12にアクセスするよう試みて、例えば保護さ
れたネットワーク12に対する命令や指示を内包するパケットを送ることによっ
て無権限ソースをコントロールする。
又は、情報を求めてエントリー・ポイント14を通過して出たり入ったりするト
ラフィックのエラー検出修正を含む、保護されたネットワーク12の情報収集段
階を実行する。無権限ユーザはその後、アタックに着手するため保護されたネッ
トワーク12の無防備性と弱さについて収集した情報を使う。
色とし、それは無権限ユーザが被保護ネットワーク14にエントリーするのを防
ぐため、入ってくるネットワーク・トラフィックをフィルターにかけようと試み
たものであった。しかしながら、無権限ユーザは、しばしばエントリー・ポイン
ト14にインストールされたそのようなファイヤーウォールか別の保護策の裏を
かく。
或いはそれに加えて、被保護ネットワーク12、好ましくはエントリー・ポイン
ト14に、一つかそれ以上の安全モジュールがインストールされる。そのような
安全モジュールは、一つのユニットとして、或いは複数のそのようなユニットと
して導入され、先に記述された理由で、ソフトウェア、ファームウェア、ハード
ウェア、或いはコンビネーションとして導入されるかもしれない。本発明の実施
形態において、三つのそのようなモジュールが被保護ネットワーク12にインス
トールされる:イヤーマーク提供モジュール22、侵入検出モジュール24、及
び付加的に、侵入者転送モジュール26。後者のモジュールはエントリー・ポイ
ント14にインストールされるのが好ましい。本発明の受動的な実施形態にとっ
ては、この具体化では無権限ソース20からのトラフィックに対し、何の直接的
アクションもとられないので、イヤーマーク提供モジュール22及び侵入検出モ
ジュール24だけが必要とされる。本発明の能動的な実施形態にとっては、以下
でより詳細に説明されるように、侵入者転送モジュール26は、積極的にそのよ
うなトラフィックをブロックするために、無権限モジュール20からのトラフィ
ックを転送する事も要求される。
権限ユーザに提供する。もし侵入試行されても、偽情報はイヤーマークとして役
割を果たしまた無権限ソース20からもしくは異なる無権限ソース(図示せず)
からさえのトラフィックを後ほど識別されることを可能にする。好ましくは、偽
情報は、イヤーマーク提供モジュール22によってあたかも応答が被保護ネット
ワーク12における現実のノードによって発生させられたような“探知”のエミ
ュレート応答を与えられるが、そのようなノードは実際には存在しないのである
。以下の図2に関連してより詳細に記述されるように、情報を集める無権限ユー
ザによって使用された探知方法と適合する技術によると、イヤーマーク提供モジ
ュール22はこの情報を提供する。しかし、イヤーマークもしくは偽情報は、後
に無権限ユーザを識別するための識別子をも含む。好ましくは、認可ユーザを無
権限であるとして間違って識別することをさけるため、容易に及び好ましくは独
自に識別されることができる数値データを識別子はイヤーマークを特色とする。
付随的及び代替的に、イヤーマーク提供モジュール22はエントリー・ポイント
14でインストールされないが、エントリー・ポイント14と通信することがで
きる。
与えることを、それぞれ可能にするために、侵入検出モジュール24及び付随的
な侵入変換モジュール26はエントリー・ポイント14に個別インストールされ
る。侵入検出モジュール24は、エントリー・ポイント14に到達するパケット
を検査及び解析することで操作を行う。そして侵入検出モジュール24は、偽“
イヤーマーク”情報を識別するための識別子を含む偽情報のイヤーマーク・デー
タベース28へ流入するパケット内で発見された情報と一致させる。例えば、一
度無権限ソース20からのパケット内で一致が発見されれば、無権限ソース20
は、無権限ソース20もしくは要素を識別する他の侵入者のソース・アドレスを
含む侵入者データベース30に登録される。イヤーマーク・データベース28及
び侵入者データベース30は、付随的に単一データベースで導入され、しかしそ
の個別の機能を図示するために分離するような図1に示されることを記しておく
。
ような侵入識別要素を特色とする全てのパケットを付随的に捕獲する。そして、
受信パケットは好ましく書き換えられる。より好ましくは、そのような書き換え
は、被保護ネットワーク12内で安全ゾーン32へと書き換えられるように実施
される。第1に、受信パケットの宛先アドレスは安全ゾーン32内での特定ノー
ド16の安全アドレスへ付随的に変更される。次に、ソース・アドレスは侵入転
送モジュール26へ割り当てられた侵入変換アドレスへと変えられる。
である。本発明内では、安全ゾーン32内でのノード16からの好ましい全ての
応答パケットが侵入転送モジュール26を通過する。そして、侵入転送モジュー
ル26は、各応答パケットのソース・アドレスを無権限ソース20から受信され
たとするパケットの元の宛先アドレスへ、また、各応答パケットの宛先アドレス
を無権限ソース20のそれとして元の形に戻す。無権限ソース20によって各応
答パケットを受け取ると、パケットの解析は、パケットがはっきりと処理される
とともに被保護ネットワーク12の意図された宛先ノード16によって送られた
ことを示す。実際に、勿論、パケットの内容の決定を含む応答パケット送信の全
体的な工程は侵入送信モジュール26によって制御され管理される。この工程の
更なる詳細な説明は以下の図3に提供されている。
入転送モジュール24は、無権限ソース20から例での侵入者の宛先の通知をシ
ステム・アドミニストレーター若しくは他の責任ある個人に送る。この代替的、
受動的実施形態によるとシステム10によって更なる行動は起こされない。
である。探知及び侵入検出の方法は、ネットワーク上での無防備なサービスを検
索するために探知“スキャン”の特定型の検出に関して以下に記述される。スキ
ャン探知は、本発明による検出及び処理される探知の1つの型の例にすぎない。
以下のより詳細な記述により、本発明により、スキャン検出に関しての例がどの
ような方法においても制限されることは意図しないように、探知の他の型も検出
されまた処理される。
は受信される。次に、ステップ2においてパケットはスキャン検出のために分析
される。この場合での“スキャン”は、ネットワークでの可能な無防備なサービ
スのための探知をするために“ハッカー”若しくは無権限ユーザにより使用され
た情報収集の方法である。このサービスは特別に設計されたツールを使う無権限
ユーザによってスキャンされる。一度無防備なサービスが発見されれば、サービ
スが実際に存在するかどうかを決定するために、無権限ユーザはネットワーク内
でパケットをノードに送信する原因となる。スキャン検出は、本発明により発見
的なパケット基準の手順によって付随的に実施される。正規パケットの行動の範
囲枠を決定するために、手順は、パケット及び全てのソースからの発生するパケ
ット伝送の性質に関する統計を保持することによって操作される。もし特定のソ
ースからの通信がこれらの範囲内で行動しなければ、そうすれば、手順の出力は
、そのソースによってスキャンが実施されたかどうかの可能性を表示する。付随
的に及び更に好ましくは、スキャンが実施される最小限必要とされる可能性は、
スキャンが進行中と決定されるところの限定をセットするために、前もって計算
される。
スは侵入者データ・ベースに加えられる。段階5で、イヤーマークはパケットの
無権限ソースに返される。好ましくは、イヤーマークは、非存在でネットワーク
外のコンピューターに通告されない1つあるいはそれ以上のサービスのエミュレ
ートにより、スキャン・アタックに供給される。例えばTCP/IPネットワー
クについては、本発明によるイヤーマークは、随意で無権限ユーザによる探知に
応じて非存在ホストのためのIPアドレスを含む。あるいはまたイヤーマークは
、IPアドレスおよびポート番号からなるタプルを含む。
は宛先アドレスがイヤーマーク・データ・ベースの中にあるかどうか確かめるた
めに検査される。パケットの宛先アドレスがイヤーマーク・データ・ベースにあ
る場合、その後パケットのソース・アドレスは、随意に他の情報識別で、段階7
a中の侵入者データ・ベースに加えられる。好ましくは、イヤーマーク・データ
・ベースは各エントリーが「IPアドレス、ポート番号」の形式を持つように組
み立てられる。そのようなエントリーはネットワーク上で存在しない偽ネットワ
ーク・サービスを表す。したがってそのようなネットワーク・サービスへのアク
セスは、侵入者の存在を示し、正当なユーザならそのサービスにアクセスしない
であろう敵であるとみなされる。
が侵入者データ・ベース中で発見されるかどうか確かめるために検査される。ソ
ース・アドレスが、侵入者データ・ベースそして次に段階8bに格納されない場
合、パケットはネットワークにパスされる。
るいはソース・アドレスが段階7a中の侵入者データ・ベースに加えられる場合
、パケットの無権限ソースは図3に関して詳述されるように処理される。好まし
くは、無権限ソースからのさらなるパケットはネットワーク自体に入ることから
阻害され、さらに好ましくは安全なゾーンにこれらのパケットを含むことにより
阻害される。あるいはまた、例えばシステム管理者あるいは他の信頼できる個人
に通知される。またあるいは、さらにパケットは単にドロップされる。
ャートである。したがって侵入に対処する方法は、スキャンである図2の特別タ
イプの探知に関して以下詳述される。図2に関しては、本発明によって検出され
処理される探知タイプのただの1例である。より詳細に以下詳述されるように、
他のタイプの探知および侵入はまた、スキャン検出の探知に関する例がいかなる
方法にも制限されないように意図され、本発明に従って探知され処理される。
られる。段階2では後続のパケットの宛先アドレスは、宛先アドレスおよびさら
にポート番号がイヤーマーク・データ・ベースの中にあるか確かめるために検査
される。宛先アドレスおよびポート番号が、イヤーマーク・データ・ベースに含
まれる場合、その後段階3でACK送信手順が実行される。本発明によるACK
送信手順は既存のネットワーク・サービスを模倣するパケットの送信を含む。含
まれる実際の段階は、ネットワーク・タイプのような変数に依存する。例えばT
CP/IPネットワークについては、ACK送信手順は、無権限侵入者ソースで
ある先導ホストとパケットの宛先間の繋がりを確立するために多くのパケットを
送信することを含む。無権限ソースはこのようにネットワーク上の実際のサービ
スというよりもむしろ、模倣の偽ネットワーク・サービスのセッションに含まれ
る。
あるいは段階4に含まれない場合、イヤーマーク・データ・ベースは宛先アドレ
スのみが存在するかどうか確かめるために検査される。もしそうであるならば、
その後段階5でパケットに存在しないネットワーク・サービスを模倣するパケッ
トを送信するRESET送信手順が実行される。上述されたACK送信手順に関
しては、含まれた実際の段階はネットワークのタイプのような変数に依存する。
例えばTCP/IPネットワークについては、RESET送信手順は単一パケッ
トを送信することにより遂行される。
、パケットはドロップされるかあるいは認識の送信なしに廃棄される。このよう
な見せかけは、無権限ソースには意図した宛先ホストがあたかも存在しないかの
ように見える。
され、他のそのような方法もまた実行できうることが意図される。これらの方法
の意図は無権限ソースのパケットのアクセスを、好ましくは通信が成功したとい
う偽印象を与える一方でネットワークの限られた部分に限定することである。
これらに限定されないがDNS(ドメインネーム・サービス)ゾーン転送、「フィ
ンガー」探知、NetBIOSに基づく探知、NIS/LDAP尋問およびネッ
トワーク・エラー検出修正を含む。これらの異なる探知手順のいくつかを検出す
る方法は、より詳細に以下詳述される。これらの探知手順は以前にスキャン探知
のために詳述されたように処理される。
を受理するためにDNSサーバーの尋問を含む。この方法に対するイヤーマーク
は、DNSサーバーにおけるネットワーク内の非存在ホストの名前およびアドレ
スを定めることにより準備されている。このようなイヤーマークに関連づけられ
た識別子は非存在ホストのIPアドレスである。
「フィンガー」サービスを持つ能動的ユーザのために、ネットワーク上のノード
であるホスト・コンピューターの尋問により実行される。非存在ユーザ(複数可)
の名前でその尋問に答えることは、この方法にイヤーマークを提供する。イヤー
マークは「IPアドレス、ユーザ名」の形式であり、この組み合わせがいかなる
後続の侵入行為をも検出する識別子を供給するようになっている。
にネットワークを越えたアクセス方法を提供する、NIS及び/又はLDAPデータベー
スを意味する。このデータベースが保護されない限り、無権限ユーザがこれらの
データベースに遠くから問い合わせをすることができ、ユーザ名、暗号化された
パスワード、ネットワーク・ノード(コンピュータ)名及びアドレス、及びその
ようなものの情報を引き出すことができる。この探知方法に対するイヤーマーク
は、イヤーマークとして前に記述された情報項目のいくらかを包含する、みせか
けのNISおよび/またはLDAPのデータベースを構築することによって準備される
。
ーク“エラー検出修正”方法はネットワークの中でのネットワーク活動を記録す
ることを必要とする。ネットワーク上のセッションに含まれるユーザ名及びパス
ワードの記録を促進するソフトウェア・ツールが存在する。この探知方法に対す
るイヤーマークは、ネットワーク上でのセッションをシミュレートし、これらの
“セッション”の間ににせのユーザ名及びパスワードを含むことによって供給さ
れる。イヤーマークは<IPアドレス、ユーザ名、パスワード>の形式を持ってい
る。
ーク・ノード或いはサイト上でアタックを試みそうであることが過去に示された
。上述されたようなアタックの識別は、一旦上述の“イヤーマーク”過程を経て
実行され検証されてしまえば、他のネットワーク・サイトに対する早期警告とし
て使われることができ、この警告はそれらのサイトに対する事前警告(“ヘッド
‐アップ”)を供給する。本発明の外延は、中央のエンタープライズ‐ワイド或
いはインターネット‐ワイド、自動警戒集合体及び再配分システムである。組織
において或いはインターネットの全体に渡って分配される、上述されたような検
出システムは、本発明を使うことによって活発な侵入ソースを一旦見つけると、
その識別されたアタック及び組織での中央サービス・ポイント或いは中央インタ
ーネット‐ワイドのサービス・ポイントに対するアタック・ソースと通信を行う
。このサービス・ポイントは情報を受け取り、それを処理するとともにそれを他
のそのような検出システム(“受け取りシステム”)に自動的に分配する。これ
は、特別な受け取りシステムがアタックされるか或いは探知される前でも、予め
定義されたネットワーク防御ルーチンを実行するシステムを自動的に受け取るこ
とを可能にする。
実施形態が本発明の範囲及び精神の範囲内で可能である。
る。
Claims (18)
- 【請求項1】 ネットワーク上の無権限ソースからの通信を検出及び対処する
方法であり、 (a)無権限ソースからの通信を受け取ること; (b)情報集積手順を検出するための通信を分析すること; (c)もし情報集積手順が検出されたなら、侵入者ソース・アドレスとして通信
のソース・アドレスを示すこと; (d)通信の無権限ソースにイヤーマークを返すこと; (e)前記イヤーマークの存在のために、各後の通信を分析すること; (f)もし前記イヤーマークが存在するならば、通信の前記ソース・アドレスを
、前記侵入者ソース・アドレスとして示すこと;及び (g)もし前記ソース・アドレスが前記侵入者ソース・アドレスならば、前記侵
入者ソース・アドレスからの通信に対処すること、 の段階からなる。 - 【請求項2】 通信が複数のパケットで行われることを特徴とする、請求項1
の方法。 - 【請求項3】 さらに、 (h)もし前記侵入手順が検出されなければ、前記宛先アドレスが、イヤーマー
ク宛先アドレスかどうかを決定するために各パケットの宛先アドレスを調査する
こと;及び (i)もし前記宛先アドレスが、イヤーマーク宛先アドレスならば、前記パケッ
トの前記ソース・アドレスを、前記侵入者ソース・アドレスとしてマークを付け
ること、 の段階からなる、請求項2の方法。 - 【請求項4】 更に、 (j)もし前記アドレスが前記特徴宛先アドレスでなければ、前記ソース
・アドレスが前記侵入ソース・アドレスであるかどうか決定するために前期パケ
ットの前記ソース・アドレスを検査すること、及び、 (k)もし前記パケットの前記ソース・アドレスが前記侵入ソース・アド
レスでなければ、前記パケットをネットワークへ送信すること、 のステップからなる請求項3の方法。 - 【請求項5】 ステップ(g)がシステム・アドミニストレーターに警報する
ことによって実施されることを特徴とする請求項1の方法。 - 【請求項6】 ステップ(g)が通信をドロップすることによって実施される
ことを特徴とする請求項1の方法。 - 【請求項7】 ステップ(g)がネットワークの安全ゾーンへの通信に宛先を
書き換えることによって実施されることを特徴とする請求項1の方法。 - 【請求項8】 更に、ネットワークの前記安全ゾーンからの無権限ソースへ応
答を返すステップからなることを特徴とする請求項7の方法。 - 【請求項9】 前記情報集積手順が、スキャン、DNS(ドメイン・ネーム・サ
ービス)ゾーン転送、“フィンガー”探知、NIS/LDAP尋問及びエラー検出修正か
らなる群から選択されることを特徴とする請求項8の方法。 - 【請求項10】 段階(b)がさらに、 (i)前記多数のノードからの多数のパケットを分析すること、 (ii)正当なパケット動作の範囲のプロフィールを決定すること、 (iii)無権限ソースからの少なくとも1つのパケットが前記範囲の外にある
場合、前記スキャンが実行される可能性を決定すること の段階からさらになるように、通信が多くのパケットで実行され、ネットワーク
が多くのノードを特色とし、前記侵入手順が前記スキャンであることを特徴とす
る請求項9の方法。 - 【請求項11】 前記可能性が最小限に必要とされるスキャンが実行される可能
性を上回る場合、前記スキャンが検出されることを特徴とする請求項10の方法
。 - 【請求項12】 前記イヤーマークが非存在サービスのエミュレーションを含む
ことを特徴とする請求項11の方法。 - 【請求項13】 前記エミュレーションが非存在ホストのためのIPアドレ
スを含むことを特徴とする請求項12の方法。 - 【請求項14】 前記エミュレーションがさらにポート番号を含むことを特徴と
する請求項13の方法。 - 【請求項15】 (a)通信がネットワークへ到達するために前記エントリー・
ポイントを通るようなネットワークへのエントリー・ポイント、 (b)前記無権限ソースに送信するためのイヤーマークを準備するためのイヤー
マーク供給モジュール、 (c)通信を分析し通信内の前記イヤーマークを検出するための侵入検出モジュ
ール、 (d)前記イヤーマークが前記侵入検出モジュールによって検出される場合、通
信に対処するための侵入対処モジュール、 からなるネットワーク上の無権限ソースからの通信を検出し処理するためのシス
テム。 - 【請求項16】 通信が、多くのパケットで実行されることを特徴とする、請求
項15のシステム。 - 【請求項17】 ネットワーク上の無権限ソースからの通信を検出し処理するた
めの多数のシステムによって得られた情報を集めるためのシステムであり、 (a)ネットワーク上の無権限ユーザからの通信を検出して処理するための前記
システムが、識別されたアタック及びアタック・ソースについての情報を通信す
る、ネットワークのための中央サービス・ポイント、 (b)そのようなネットワーク・アタック及びアタック・ソースに対する早期警
告として、識別されたアタック及びアタック・ソースについての前記情報を、ネ
ットワーク上の無権限ソースからの通信を検出し処理するための前記システムに
対して通信する分配システム、からなる。 - 【請求項18】 前記ネットワークは、システムが組織のコンピュータ・ネット
ワークの中に存在するような組織のネットワークである、請求項17のシステム
。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/449,531 | 1999-11-29 | ||
US09/449,531 US6363489B1 (en) | 1999-11-29 | 1999-11-29 | Method for automatic intrusion detection and deflection in a network |
PCT/IL2000/000801 WO2001039379A2 (en) | 1999-11-29 | 2000-11-29 | Method for automatic intrusion detection and deflection in a network |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2003527793A true JP2003527793A (ja) | 2003-09-16 |
Family
ID=23784510
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2001540933A Pending JP2003527793A (ja) | 1999-11-29 | 2000-11-29 | ネットワークにおける、自動的な侵入検出及び偏向のための方法 |
Country Status (8)
Country | Link |
---|---|
US (1) | US6363489B1 (ja) |
EP (1) | EP1244967B1 (ja) |
JP (1) | JP2003527793A (ja) |
AT (1) | ATE406727T1 (ja) |
AU (1) | AU1728301A (ja) |
DE (1) | DE60040092D1 (ja) |
IL (1) | IL149594A0 (ja) |
WO (1) | WO2001039379A2 (ja) |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005050935A1 (ja) * | 2003-11-21 | 2005-06-02 | Mitsubishi Denki Kabushiki Kaisha | 侵入検知装置およびその方法 |
JP2008501296A (ja) * | 2004-05-25 | 2008-01-17 | ポスティーニ インク | 電子メッセージソース評判情報システム |
Families Citing this family (161)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7240368B1 (en) * | 1999-04-14 | 2007-07-03 | Verizon Corporate Services Group Inc. | Intrusion and misuse deterrence system employing a virtual network |
US7073198B1 (en) | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US7062782B1 (en) * | 1999-12-22 | 2006-06-13 | Uunet Technologies, Inc. | Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks |
US6957348B1 (en) | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US7197563B2 (en) * | 2001-05-31 | 2007-03-27 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
US7089303B2 (en) * | 2000-05-31 | 2006-08-08 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
US20040073617A1 (en) | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
WO2002013486A2 (en) * | 2000-08-07 | 2002-02-14 | Xacct Technologies Limited | System and method for processing network accounting information |
WO2002017594A2 (en) * | 2000-08-18 | 2002-02-28 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
US9280667B1 (en) | 2000-08-25 | 2016-03-08 | Tripwire, Inc. | Persistent host determination |
US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
US7043759B2 (en) | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
US7278159B2 (en) * | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
US6985947B1 (en) * | 2000-09-14 | 2006-01-10 | Microsoft Corporation | Server access control methods and arrangements |
US6714970B1 (en) * | 2000-10-26 | 2004-03-30 | International Business Machines Corporation | Protecting open world wide web sites from known malicious users by diverting requests from malicious users to alias addresses for the protected sites |
US7213265B2 (en) * | 2000-11-15 | 2007-05-01 | Lockheed Martin Corporation | Real time active network compartmentalization |
US7225467B2 (en) * | 2000-11-15 | 2007-05-29 | Lockheed Martin Corporation | Active intrusion resistant environment of layered object and compartment keys (airelock) |
US7185368B2 (en) * | 2000-11-30 | 2007-02-27 | Lancope, Inc. | Flow-based detection of network intrusions |
JP3723076B2 (ja) * | 2000-12-15 | 2005-12-07 | 富士通株式会社 | 不正侵入防御機能を有するip通信ネットワークシステム |
CA2436710C (en) * | 2001-01-31 | 2011-06-14 | Lancope, Inc. | Network port profiling |
DE60121133T2 (de) * | 2001-02-14 | 2007-02-01 | Mitsubishi Denki K.K. | Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten |
US8271678B2 (en) * | 2001-04-03 | 2012-09-18 | Arbor Networks, Inc. | Independent detection and filtering of undesirable packets |
US7007169B2 (en) * | 2001-04-04 | 2006-02-28 | International Business Machines Corporation | Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access |
KR100422802B1 (ko) * | 2001-09-05 | 2004-03-12 | 한국전자통신연구원 | 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법 |
US7644151B2 (en) * | 2002-01-31 | 2010-01-05 | Lancope, Inc. | Network service zone locking |
US7895326B2 (en) * | 2002-03-25 | 2011-02-22 | Lancope, Inc. | Network service zone locking |
US7475426B2 (en) * | 2001-11-30 | 2009-01-06 | Lancope, Inc. | Flow-based detection of network intrusions |
US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
US10129273B2 (en) | 2001-11-30 | 2018-11-13 | Cisco Technology, Inc. | System and methods for computer network security involving user confirmation of network connections |
US20030110395A1 (en) * | 2001-12-10 | 2003-06-12 | Presotto David Leo | Controlled network partitioning using firedoors |
US8087083B1 (en) * | 2002-01-04 | 2011-12-27 | Verizon Laboratories Inc. | Systems and methods for detecting a network sniffer |
US7249383B1 (en) * | 2002-01-30 | 2007-07-24 | Mccully Timothy R | Method of detecting piracy of proprietary material |
US7213264B2 (en) | 2002-01-31 | 2007-05-01 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
US8132250B2 (en) * | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
US7693947B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for graphically displaying messaging traffic |
US7903549B2 (en) * | 2002-03-08 | 2011-03-08 | Secure Computing Corporation | Content-based policy compliance systems and methods |
US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
US6941467B2 (en) * | 2002-03-08 | 2005-09-06 | Ciphertrust, Inc. | Systems and methods for adaptive message interrogation through multiple queues |
US7124438B2 (en) | 2002-03-08 | 2006-10-17 | Ciphertrust, Inc. | Systems and methods for anomaly detection in patterns of monitored communications |
US7694128B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for secure communication delivery |
US8561167B2 (en) * | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
US7870203B2 (en) | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
US20030172291A1 (en) | 2002-03-08 | 2003-09-11 | Paul Judge | Systems and methods for automated whitelisting in monitored communications |
US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
US7379857B2 (en) * | 2002-05-10 | 2008-05-27 | Lockheed Martin Corporation | Method and system for simulating computer networks to facilitate testing of computer network security |
US20040162994A1 (en) * | 2002-05-13 | 2004-08-19 | Sandia National Laboratories | Method and apparatus for configurable communication network defenses |
US20040148521A1 (en) * | 2002-05-13 | 2004-07-29 | Sandia National Laboratories | Method and apparatus for invisible network responder |
US7346057B2 (en) * | 2002-07-31 | 2008-03-18 | Cisco Technology, Inc. | Method and apparatus for inter-layer binding inspection to prevent spoofing |
US20040024864A1 (en) * | 2002-07-31 | 2004-02-05 | Porras Phillip Andrew | User, process, and application tracking in an intrusion detection system |
KR100426317B1 (ko) * | 2002-09-06 | 2004-04-06 | 한국전자통신연구원 | 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법 |
US7467408B1 (en) * | 2002-09-09 | 2008-12-16 | Cisco Technology, Inc. | Method and apparatus for capturing and filtering datagrams for network security monitoring |
US6823383B2 (en) * | 2002-09-10 | 2004-11-23 | Capital One Financial Corporation | Stealth network |
US7469418B1 (en) | 2002-10-01 | 2008-12-23 | Mirage Networks, Inc. | Deterring network incursion |
US8819285B1 (en) | 2002-10-01 | 2014-08-26 | Trustwave Holdings, Inc. | System and method for managing network communications |
US7506360B1 (en) | 2002-10-01 | 2009-03-17 | Mirage Networks, Inc. | Tracking communication for determining device states |
US20040068559A1 (en) * | 2002-10-04 | 2004-04-08 | Shaw Terry D. | Method for detection of unauthorized computer system usage |
US20070061884A1 (en) * | 2002-10-29 | 2007-03-15 | Dapp Michael C | Intrusion detection accelerator |
US20040083466A1 (en) * | 2002-10-29 | 2004-04-29 | Dapp Michael C. | Hardware parser accelerator |
US7080094B2 (en) * | 2002-10-29 | 2006-07-18 | Lockheed Martin Corporation | Hardware accelerated validating parser |
US7146643B2 (en) | 2002-10-29 | 2006-12-05 | Lockheed Martin Corporation | Intrusion detection accelerator |
US8479057B2 (en) * | 2002-11-04 | 2013-07-02 | Riverbed Technology, Inc. | Aggregator for connection based anomaly detection |
US7363656B2 (en) * | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
US8504879B2 (en) * | 2002-11-04 | 2013-08-06 | Riverbed Technology, Inc. | Connection based anomaly detection |
US7660980B2 (en) * | 2002-11-18 | 2010-02-09 | Liquidware Labs, Inc. | Establishing secure TCP/IP communications using embedded IDs |
JP2006510328A (ja) | 2002-11-18 | 2006-03-23 | トラスティッド ネットワーク テクノロジーズ インコーポレイテッド | ネットワーク通信における識別情報を用いたシステム及び装置 |
US7591001B2 (en) * | 2004-05-14 | 2009-09-15 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US7549159B2 (en) * | 2004-05-10 | 2009-06-16 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto |
US7359930B2 (en) * | 2002-11-21 | 2008-04-15 | Arbor Networks | System and method for managing computer networks |
US20040103314A1 (en) * | 2002-11-27 | 2004-05-27 | Liston Thomas F. | System and method for network intrusion prevention |
US20040123141A1 (en) * | 2002-12-18 | 2004-06-24 | Satyendra Yadav | Multi-tier intrusion detection system |
CN100470480C (zh) * | 2003-02-28 | 2009-03-18 | 洛克希德马丁公司 | 分析程序加速器装置以及更新其的方法 |
US7281270B2 (en) * | 2003-04-01 | 2007-10-09 | Lockheed Martin Corporation | Attack impact prediction system |
US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
US7516487B1 (en) | 2003-05-21 | 2009-04-07 | Foundry Networks, Inc. | System and method for source IP anti-spoofing security |
US7562390B1 (en) | 2003-05-21 | 2009-07-14 | Foundry Networks, Inc. | System and method for ARP anti-spoofing security |
US20040255154A1 (en) * | 2003-06-11 | 2004-12-16 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus |
US7260833B1 (en) * | 2003-07-18 | 2007-08-21 | The United States Of America As Represented By The Secretary Of The Navy | One-way network transmission interface unit |
US7463590B2 (en) * | 2003-07-25 | 2008-12-09 | Reflex Security, Inc. | System and method for threat detection and response |
US7876772B2 (en) * | 2003-08-01 | 2011-01-25 | Foundry Networks, Llc | System, method and apparatus for providing multiple access modes in a data communications network |
JP4229013B2 (ja) * | 2003-09-01 | 2009-02-25 | 株式会社デンソー | 交流発電機 |
US7735114B2 (en) * | 2003-09-04 | 2010-06-08 | Foundry Networks, Inc. | Multiple tiered network security system, method and apparatus using dynamic user policy assignment |
KR100744530B1 (ko) * | 2003-09-17 | 2007-08-01 | 한국전자통신연구원 | 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법 |
US7774833B1 (en) | 2003-09-23 | 2010-08-10 | Foundry Networks, Inc. | System and method for protecting CPU against remote access attacks |
US7523484B2 (en) * | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
US7464158B2 (en) * | 2003-10-15 | 2008-12-09 | International Business Machines Corporation | Secure initialization of intrusion detection system |
US7743420B2 (en) * | 2003-12-02 | 2010-06-22 | Imperva, Inc. | Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications |
US8528071B1 (en) | 2003-12-05 | 2013-09-03 | Foundry Networks, Llc | System and method for flexible authentication in a data communications network |
EP1712064A1 (en) * | 2004-01-20 | 2006-10-18 | Intrusic, Inc | Systems and methods for monitoring data transmissions to detect a compromised network |
US20050193429A1 (en) * | 2004-01-23 | 2005-09-01 | The Barrier Group | Integrated data traffic monitoring system |
US7577996B1 (en) | 2004-02-06 | 2009-08-18 | Extreme Networks | Apparatus, method and system for improving network security |
US7310664B1 (en) | 2004-02-06 | 2007-12-18 | Extreme Networks | Unified, configurable, adaptive, network architecture |
US7823199B1 (en) | 2004-02-06 | 2010-10-26 | Extreme Networks | Method and system for detecting and preventing access intrusion in a network |
US20050203921A1 (en) * | 2004-03-11 | 2005-09-15 | Newman Aaron C. | System for protecting database applications from unauthorized activity |
US8566946B1 (en) * | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
RU2006143768A (ru) * | 2004-05-12 | 2008-06-20 | Алькатель (Fr) | Ароматическое ограничение сетевого нарушителя |
US20050268342A1 (en) * | 2004-05-14 | 2005-12-01 | Trusted Network Technologies, Inc. | System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II |
US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
US7929534B2 (en) * | 2004-06-28 | 2011-04-19 | Riverbed Technology, Inc. | Flow logging for connection-based anomaly detection |
US8151348B1 (en) * | 2004-06-30 | 2012-04-03 | Cisco Technology, Inc. | Automatic detection of reverse tunnels |
US7748040B2 (en) * | 2004-07-12 | 2010-06-29 | Architecture Technology Corporation | Attack correlation using marked information |
US20060015715A1 (en) * | 2004-07-16 | 2006-01-19 | Eric Anderson | Automatically protecting network service from network attack |
US7957372B2 (en) * | 2004-07-22 | 2011-06-07 | International Business Machines Corporation | Automatically detecting distributed port scans in computer networks |
US20060026273A1 (en) * | 2004-08-02 | 2006-02-02 | Forescout Inc. | System and method for detection of reconnaissance activity in networks |
US7760653B2 (en) * | 2004-10-26 | 2010-07-20 | Riverbed Technology, Inc. | Stackable aggregation for connection based anomaly detection |
US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
US8195952B2 (en) | 2004-12-14 | 2012-06-05 | International Business Machines Corporation | System and method of facilitating the identification of a computer on a network |
US7860006B1 (en) * | 2005-04-27 | 2010-12-28 | Extreme Networks, Inc. | Integrated methods of performing network switch functions |
US7937480B2 (en) * | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
US20070011732A1 (en) * | 2005-07-05 | 2007-01-11 | Yang-Hung Peng | Network device for secure packet dispatching via port isolation |
US7590733B2 (en) * | 2005-09-14 | 2009-09-15 | Infoexpress, Inc. | Dynamic address assignment for access control on DHCP networks |
US20070079366A1 (en) * | 2005-10-03 | 2007-04-05 | Microsoft Corporation | Stateless bi-directional proxy |
US8255996B2 (en) * | 2005-12-30 | 2012-08-28 | Extreme Networks, Inc. | Network threat detection and mitigation |
JP4984531B2 (ja) * | 2006-01-06 | 2012-07-25 | 富士通株式会社 | サーバ監視プログラム、中継装置、サーバ監視方法 |
US8077708B2 (en) * | 2006-02-16 | 2011-12-13 | Techguard Security, Llc | Systems and methods for determining a flow of data |
US20070192500A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Network access control including dynamic policy enforcement point |
US20070192858A1 (en) * | 2006-02-16 | 2007-08-16 | Infoexpress, Inc. | Peer based network access control |
US8069482B2 (en) * | 2006-02-27 | 2011-11-29 | Sentrigo Inc. | Device, system and method of database security |
US7773540B1 (en) * | 2006-06-01 | 2010-08-10 | Bbn Technologies Corp. | Methods, system and apparatus preventing network and device identification |
US8179798B2 (en) * | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
US7949716B2 (en) | 2007-01-24 | 2011-05-24 | Mcafee, Inc. | Correlation and analysis of entity attributes |
US8214497B2 (en) * | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
US7779156B2 (en) * | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
WO2008099403A2 (en) * | 2007-02-16 | 2008-08-21 | Forescout Technologies | A method and device for determining network device status |
US8295188B2 (en) * | 2007-03-30 | 2012-10-23 | Extreme Networks, Inc. | VoIP security |
US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
US8045458B2 (en) * | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
US20090144446A1 (en) * | 2007-11-29 | 2009-06-04 | Joseph Olakangil | Remediation management for a network with multiple clients |
US8160975B2 (en) * | 2008-01-25 | 2012-04-17 | Mcafee, Inc. | Granular support vector machine with random granularity |
US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
US8196204B2 (en) | 2008-05-08 | 2012-06-05 | Lawrence Brent Huston | Active computer system defense technology |
US8239668B1 (en) * | 2009-04-15 | 2012-08-07 | Trend Micro Incorporated | Computer security threat data collection and aggregation with user privacy protection |
US8626691B2 (en) | 2009-12-19 | 2014-01-07 | At&T Intellectual Property I, L.P. | Methods, systems, and products for estimating answers to questions |
US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
US9516059B1 (en) * | 2011-06-28 | 2016-12-06 | EMC IP Holding Company LLC | Using mock tokens to protect against malicious activity |
JP4896278B1 (ja) * | 2011-06-30 | 2012-03-14 | 三菱電機株式会社 | Ipアドレス配布システム |
US8677495B1 (en) * | 2012-05-24 | 2014-03-18 | Trend Micro Incorporated | Dynamic trap for detecting malicious applications in computing devices |
US9485276B2 (en) | 2012-09-28 | 2016-11-01 | Juniper Networks, Inc. | Dynamic service handling using a honeypot |
US9961096B1 (en) | 2013-09-17 | 2018-05-01 | Cisco Technology, Inc. | Distributed behavior based anomaly detection |
US20160180087A1 (en) * | 2014-12-23 | 2016-06-23 | Jonathan L. Edwards | Systems and methods for malware detection and remediation |
US9553885B2 (en) | 2015-06-08 | 2017-01-24 | Illusive Networks Ltd. | System and method for creation, deployment and management of augmented attacker map |
US10382484B2 (en) | 2015-06-08 | 2019-08-13 | Illusive Networks Ltd. | Detecting attackers who target containerized clusters |
US10257226B2 (en) * | 2016-03-24 | 2019-04-09 | 802 Secure, Inc. | Identifying and trapping wireless based attacks on networks using deceptive network emulation |
US10003598B2 (en) | 2016-04-15 | 2018-06-19 | Bank Of America Corporation | Model framework and system for cyber security services |
US9948652B2 (en) | 2016-05-16 | 2018-04-17 | Bank Of America Corporation | System for resource-centric threat modeling and identifying controls for securing technology resources |
US9832201B1 (en) | 2016-05-16 | 2017-11-28 | Bank Of America Corporation | System for generation and reuse of resource-centric threat modeling templates and identifying controls for securing technology resources |
US11824880B2 (en) | 2016-10-31 | 2023-11-21 | Armis Security Ltd. | Detection of vulnerable wireless networks |
US10511620B2 (en) | 2016-10-31 | 2019-12-17 | Armis Security Ltd. | Detection of vulnerable devices in wireless networks |
US10339309B1 (en) | 2017-06-09 | 2019-07-02 | Bank Of America Corporation | System for identifying anomalies in an information system |
US10498758B1 (en) | 2017-06-28 | 2019-12-03 | Armis Security Ltd. | Network sensor and method thereof for wireless network vulnerability detection |
US10505967B1 (en) | 2017-06-28 | 2019-12-10 | Armis Security Ltd. | Sensor-based wireless network vulnerability detection |
US11736497B1 (en) * | 2018-03-19 | 2023-08-22 | Bedrock Automation Platforms Inc. | Cyber security platform and method |
US10333976B1 (en) | 2018-07-23 | 2019-06-25 | Illusive Networks Ltd. | Open source intelligence deceptions |
US10404747B1 (en) | 2018-07-24 | 2019-09-03 | Illusive Networks Ltd. | Detecting malicious activity by using endemic network hosts as decoys |
US10382483B1 (en) | 2018-08-02 | 2019-08-13 | Illusive Networks Ltd. | User-customized deceptions and their deployment in networks |
US10333977B1 (en) | 2018-08-23 | 2019-06-25 | Illusive Networks Ltd. | Deceiving an attacker who is harvesting credentials |
US10432665B1 (en) | 2018-09-03 | 2019-10-01 | Illusive Networks Ltd. | Creating, managing and deploying deceptions on mobile devices |
US11889392B2 (en) | 2019-06-14 | 2024-01-30 | The Boeing Company | Aircraft network cybersecurity apparatus and methods |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09218837A (ja) * | 1996-02-08 | 1997-08-19 | Hitachi Ltd | ネットワークセキュリティシステム |
JPH09266475A (ja) * | 1996-03-28 | 1997-10-07 | Hitachi Ltd | アドレス情報管理装置およびネットワークシステム |
JPH09307580A (ja) * | 1996-05-10 | 1997-11-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正パケット防止方法およびブリッジ装置 |
JPH10107795A (ja) * | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
JPH10271154A (ja) * | 1997-03-21 | 1998-10-09 | Nec Eng Ltd | 不正アクセス防止方法およびシステム |
JP2001514819A (ja) * | 1997-03-13 | 2001-09-11 | ノキア テレコミュニカシオンス オサケ ユキチュア | テレコミュニケーションシステムのサービスデータを処理するシステム |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5991881A (en) * | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US5796942A (en) * | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
US6098093A (en) * | 1998-03-19 | 2000-08-01 | International Business Machines Corp. | Maintaining sessions in a clustered server environment |
US6405318B1 (en) * | 1999-03-12 | 2002-06-11 | Psionic Software, Inc. | Intrusion detection system |
AU3759600A (en) * | 1999-03-17 | 2000-10-04 | Charles E. II Moore | Internet, intranet and other network communication security systems utilizing entrance and exit keys |
-
1999
- 1999-11-29 US US09/449,531 patent/US6363489B1/en not_active Expired - Lifetime
-
2000
- 2000-11-29 AT AT00979907T patent/ATE406727T1/de not_active IP Right Cessation
- 2000-11-29 AU AU17283/01A patent/AU1728301A/en not_active Abandoned
- 2000-11-29 JP JP2001540933A patent/JP2003527793A/ja active Pending
- 2000-11-29 EP EP00979907A patent/EP1244967B1/en not_active Expired - Lifetime
- 2000-11-29 DE DE60040092T patent/DE60040092D1/de not_active Expired - Lifetime
- 2000-11-29 IL IL14959400A patent/IL149594A0/xx active IP Right Grant
- 2000-11-29 WO PCT/IL2000/000801 patent/WO2001039379A2/en active IP Right Grant
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH09218837A (ja) * | 1996-02-08 | 1997-08-19 | Hitachi Ltd | ネットワークセキュリティシステム |
JPH09266475A (ja) * | 1996-03-28 | 1997-10-07 | Hitachi Ltd | アドレス情報管理装置およびネットワークシステム |
JPH09307580A (ja) * | 1996-05-10 | 1997-11-28 | Nippon Telegr & Teleph Corp <Ntt> | 不正パケット防止方法およびブリッジ装置 |
JPH10107795A (ja) * | 1996-09-30 | 1998-04-24 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
JP2001514819A (ja) * | 1997-03-13 | 2001-09-11 | ノキア テレコミュニカシオンス オサケ ユキチュア | テレコミュニケーションシステムのサービスデータを処理するシステム |
JPH10271154A (ja) * | 1997-03-21 | 1998-10-09 | Nec Eng Ltd | 不正アクセス防止方法およびシステム |
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2005050935A1 (ja) * | 2003-11-21 | 2005-06-02 | Mitsubishi Denki Kabushiki Kaisha | 侵入検知装置およびその方法 |
JP2008501296A (ja) * | 2004-05-25 | 2008-01-17 | ポスティーニ インク | 電子メッセージソース評判情報システム |
Also Published As
Publication number | Publication date |
---|---|
DE60040092D1 (de) | 2008-10-09 |
WO2001039379A3 (en) | 2002-01-31 |
ATE406727T1 (de) | 2008-09-15 |
EP1244967A4 (en) | 2005-08-10 |
AU1728301A (en) | 2001-06-04 |
IL149594A0 (en) | 2004-08-31 |
WO2001039379A2 (en) | 2001-05-31 |
US6363489B1 (en) | 2002-03-26 |
EP1244967B1 (en) | 2008-08-27 |
EP1244967A2 (en) | 2002-10-02 |
WO2001039379A9 (en) | 2002-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2003527793A (ja) | ネットワークにおける、自動的な侵入検出及び偏向のための方法 | |
US8042182B2 (en) | Method and system for network intrusion detection, related network and computer program product | |
US8931099B2 (en) | System, method and program for identifying and preventing malicious intrusions | |
US20170257339A1 (en) | Logical / physical address state lifecycle management | |
US7725936B2 (en) | Host-based network intrusion detection systems | |
JP4742144B2 (ja) | Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム | |
CN105915532B (zh) | 一种失陷主机的识别方法及装置 | |
US20030188190A1 (en) | System and method of intrusion detection employing broad-scope monitoring | |
US20040073800A1 (en) | Adaptive intrusion detection system | |
CN102035793B (zh) | 僵尸网络检测方法、装置以及网络安全防护设备 | |
KR20010090014A (ko) | 네트워크 보호 시스템 | |
US7596808B1 (en) | Zero hop algorithm for network threat identification and mitigation | |
JP2000261483A (ja) | ネットワーク監視システム | |
KR101045331B1 (ko) | 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법 | |
US7469418B1 (en) | Deterring network incursion | |
KR101045330B1 (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
JP4159814B2 (ja) | 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム | |
KR101186873B1 (ko) | 시그니쳐 기반 무선 침입차단시스템 | |
CN109274638A (zh) | 一种攻击源接入自动识别处理的方法和路由器 | |
WO2021181391A1 (en) | System and method for finding, tracking, and capturing a cyber-attacker | |
JP2003186763A (ja) | コンピュータシステムへの不正侵入の検知と防止方法 | |
KR101045556B1 (ko) | 네트워크 기반의 irc 봇넷 탐지 방법 | |
Xiaobing et al. | Detection and protection against network scanning: IEDP | |
Hashim et al. | Computer network intrusion detection software development | |
IL149594A (en) | Method for automatically detecting and removing network intrusion |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070615 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20091120 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091130 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100223 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100302 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100326 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100614 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20101110 |