JP2003527793A - ネットワークにおける、自動的な侵入検出及び偏向のための方法 - Google Patents

ネットワークにおける、自動的な侵入検出及び偏向のための方法

Info

Publication number
JP2003527793A
JP2003527793A JP2001540933A JP2001540933A JP2003527793A JP 2003527793 A JP2003527793 A JP 2003527793A JP 2001540933 A JP2001540933 A JP 2001540933A JP 2001540933 A JP2001540933 A JP 2001540933A JP 2003527793 A JP2003527793 A JP 2003527793A
Authority
JP
Japan
Prior art keywords
network
unauthorized
communication
earmark
source
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2001540933A
Other languages
English (en)
Inventor
コメイ オデッド
シクモニ ドロン
イェシュルン イェヘツケイ
アミアー オデッド
Original Assignee
フォアスカウト テクノロジース インコポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=23784510&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=JP2003527793(A) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by フォアスカウト テクノロジース インコポレーテッド filed Critical フォアスカウト テクノロジース インコポレーテッド
Publication of JP2003527793A publication Critical patent/JP2003527793A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Burglar Alarm Systems (AREA)
  • Small-Scale Networks (AREA)
  • Load-Engaging Elements For Cranes (AREA)
  • Air Conditioning Control Device (AREA)

Abstract

(57)【要約】 少なくともネットワーク上のノードにアクセスを試みている無権限ユーザを識別すること、より好ましくは積極的にその無権限ユーザの更なる活動を阻止することにより、ネットワークに対するセキュリティを提供するための方法及びシステムである。検出は、“イヤーマーク”を供給する無権限ユーザ、或いは、アタックの前の情報収集段階において無権限ユーザが集めた特に巧妙に作られた偽のデータによって促進される。その“イヤーマーク”は、そのような偽のデータを使用する無権限ユーザによるいかなる試みも、無権限ユーザを敵として即座に識別させるようにデザインされ、そしてネットワークの侵入が試みられるということを示す。好ましくは、ネットワークへの更なるアクセスは、そのときトラフィックを無権限ユーザから、ネットワークにダメージを与えることなく無権限ユーザの活動を抑えることができる安全なゾーンへ転送することによって阻止される。

Description

【発明の詳細な説明】
【0001】 (本発明の分野及び背景) 本発明は、ネットワークにおける、自動的な侵入を検知及び偏向する方法に関
し、特にネットワークをアタックするさらなる試みから、侵入者をブロックする
ことができた後に、侵入者の存在を検知するためにマークを使用する方法に関す
る。
【0002】 大量のデータがコンピュータ・ネットワーク、特にインターネットを通して日
々送信される。学術的なツールとしての起源に恐らく起因して、インターネット
は、ネットワーク上のノードのセキュリティというよりむしろ、1つのエンドポ
イントから1つ又はそれ以上のエンドポイントへのデータの効率的な転送に、よ
り適応されている。 したがって、無権限ユーザあるいは「ハッカー」は、インターネットによって
ネットワーク上のノードと同様にネットワークへの比較的容易なアクセスを残念
ながら獲得している。そのような多くの無権限ユーザが犯罪の意図を持っている
わけではないが、プライバシーに侵入し、コンピュータ・システムを分裂させ、
ウェブサイトを「損なう」ことにより損害を与えている。 所有者の情報が窃盗及び/又は改ざんされ、商用情報が盗まれるかもしれず、
その後、売られるかもしれず、誤用されるかもしれないというような、より深刻
なアタックが結果としてより深刻な損害となるかもしれない。 さらに、無権限使用によって与えられた、コンピュータ・システムの損害が破
損の修理の必要を生じることもある。この状況が、ファイアウォール及び侵入検
出システム(IDS)のような、保護方法及び装置を生じた。 残念ながら、知識のある攻撃者はしばしばファイアウォールの裏をかくことが
でき、また、IDSのファイアウォールはヒューリスティック・ベースのため、
かなり不正確となる傾向がある。IDSの不正確さは、高い割合での偽警報をも
たらし有用性を危うくする。 これらの問題は、一般にネットワーク及びインターネットのインフラから生じ
る。インターネットでは、データ資源をホストするコンピュータ・サイトとユー
ザのコンピュータ間の通信がTCP/IP通信プロトコル・スイートによって実
行される。 このプロトコルによれば、ハンドシェイク手順は、容易に検討され、次に、模
倣することができる段階のあるセットに続く。したがって、ネットワーク用の有
用なセキュリティ保護方法は、ハンドシェイク手順及びネットワークの周辺に関
して情報が集積される段階を検知し、次に、情報収集段階で検知された無権限ユ
ーザによる、どのように試みられた活動もブロックする。そのようなセキュリテ
ィ保護方法は現時点では利用可能ではない。
【0003】 無権限ユーザによって情報が集められる段階での検知によるネットワークのセ
キュリティを保護する、ネットワーク上のノードへのアクセスを獲得し、かつア
クセスを試みる無権限ユーザの識別、好ましくは、その後の無権限ユーザのアク
セスの試みを積極的にブロックする、方法が必要であり、また、持つことは有用
である。
【0004】 (発明の要約) 本発明は、ネットワーク上のノードへのアクセスを獲得することを試みている
無権限ユーザを少なくとも識別すること、好ましくは無権限ユーザのさらなる活
動をブロックして、ネットワークにセキュリティを供給する方法及びシステムで
ある。検知は、「イヤーマーク」を運ぶ無権限ユーザによって促進される。 イヤーマークは、アタックの前に実行される情報収集段階中に無権限ユーザが
集める、本発明の範囲内で作成される、特に巧妙に作られた偽データである。 イヤーマークは、このような偽データを使う無権限ユーザによるどのような試
みも、即座に敵として無権限ユーザを識別するようデザインされていて、ネット
ワークの侵入が試みられていることを指し示す。好ましくはその後、ネットワー
クへのさらなるアクセスは、ネットワークへの損害なしで無権限ユーザの活動を
含むことができる安全ゾーンへトラフィックを転送することによりブロックされ
る。
【0005】 本発明によれば、ネットワーク上の無権限ソースからの通信を検知し対処する
方法が提供され、方法は(a)無権限ソースからの通信を受け取ること、(b)
情報集積手順を検出するための通信を分析すること、(c)もし情報集積手順が
検出されたなら、侵入者ソース・アドレスとして通信のアドレスを示すこと、(
d)通信の無権限ソースにイヤーマークを返すこと、(e)イヤーマークの存在
のために、各後の通信を分析すること、(f)もしイヤーマークが存在するなら
ば、通信のソース・アドレスを、侵入者ソース・アドレスとして示すこと、及び
(g)もしソース・アドレスが侵入者ソース・アドレスならば、侵入者ソース・
アドレスからの通信に対処すること、からなる。
【0006】 本発明の他の実施形態によれば、ネットワーク上の無権限ソースからの通信を
検知し、対処するためのシステムが提供され、システムは(a)通信がネットワ
ークに達するためにエントリー・ポイントを通り抜けるための、ネットワークへ
のエントリー・ポイント、(b)無権限ソースに送るためにイヤーマークを準備
するためのイヤーマーク提供モジュール、(c)通信を分析するための、及び通
信のイヤーマークを検出するための侵入検知モジュール、及び(d)イヤーマー
クが侵入検出モジュールによって検出される場合に、通信に対処する侵入対処モ
ジュール、からなる。
【0007】 好ましくは、他のタイプのネットワーク通信は本発明の範囲内で可能であるが
、通信はパケットの形式を取る。
【0008】 以下、用語「ネットワーク」は、通信することが可能な、2台もしくはそれ以
上、あるいはより多くのコンピュータ間での接続を指す。以下、用語「ノード」
は特に装置、特に特定のネットワークに接続される、コンピュータを指す。
【0009】 以下、用語「コンピュータ」は特定のコンピュータ・ハードウェアシステムと
特定のソフトウェア・オペレーティング・システムの組み合わせを指す。そのよ
うなハードウェア・システムの例は、任意のタイプの適切なデータ処理装置を備
えたものを含む。 以下、用語「コンピュータ」は、DOS、Windows(登録商標)、OS/2(登録商標
)、Linuxのようなオペレーティング・システムを持つパーソナル・コンピュー
タ、オペレーティング・システムとしてJAVA(登録商標)OSを持つMacintosh(
登録商標)、Sun Microsystems(登録商標)及びSilicon Graphics(登録商標)
のコンピュータのようなグラフィカル・ワークステーション、Sun Microsystems
(登録商標)のAIX(登録商標)あるいはSORALIS(登録商標)のような、ユニッ
クス・オペレーティング・システムのあるバージョンを持つ他のコンピュータ、
Palm(登録商標)PDA、PalmPC(登録商標)、あるいは他のどのようなハンド
ヘルド機器、あるいは他の既知の及び入手できるオペレーティング・システムを
含むが、これらに限定されない。 以下、用語「Windows(登録商標)」はWindows(登録商標)95、xが1のよう
な整数であるWindows (登録商標)3.x、Windows (登録商標)NT、Windows (
登録商標)98、Windows (登録商標)CE及びマイクロソフト社(米国)によるこ
れらオペレーティング・システムのアップグレード・バージョンを含むが、これ
らに限定されない。
【0010】 本発明のための、ソフトウェア・アプリケーションは当業者によって容易に選
択できる、実質的に、任意の適切なプログラミング言語で書くことができる。選
択されたプログラミング言語は、ソフトウェア・アプリケーションが実行される
コンピュータ、特にそのコンピュータのオペレーティング・システムと両立でき
るべきである。プログラミング言語の適切な例はC、C++及びJava(登録
商標)を含むがこれらに限定されない。 さらに、方法のための一連の段階として記述されるとき、本発明の機能は、本
発明がソフトウェア、ファームウェア、ハードウェアあるいはこれらの組み合わ
せとして実施されるようにデータ・プロセッサーによって操作されるためのソフ
トウェア計測として実施できる。
【0011】 以下、用語「探知」は実質的にネットワークへの侵入を開始する手助けとして
情報を集めるために、無権限ユーザによって行われる情報収集段階を指す。
【0012】 (発明の詳細な叙述) 本発明は、少なくともネットワークのノードにアクセスできるよう試みる無権
限ユーザを認識し、好ましくは、無権限ユーザの更なる活動を活発にブロックす
ることによって、ネットワークに安全性を提供するための方法及びシステムによ
るものである。検出はイヤーマークか、アタックの前の情報収集段階で無権限ユ
ーザが集める特別精巧にできた偽データを提供することによって、促進される。
情報収集段階は、ネットワークの無防備性や弱点に関する情報を収集するため、
ネットワークを厳密に調べる過程を通常は含んでいる。イヤーマークは、無権限
ユーザがそのような偽データを使おうとどんなに試みても、その無権限ユーザを
敵として識別する結果となるよう設定されていて、ネットワークへの侵入が試み
られていることを指し示す。
【0013】 無権限ユーザが一旦敵として識別されると、二、三の可能性が得られる。本発
明の方法の受動的な実施形態において、システム・アドミニストレータかその他
の責任ある個人に知らされるが、更なる行動は自動的には何一つとられない。本
発明の方法の能動的で好ましい実施形態においては、無権限ユーザによる更なる
活動はブロックされる。さらに好ましいことに、無権限ユーザによってコントロ
ールされるソースからのトラフィックはネットワークの安全ゾーンに転送され、
そこでは侵入者は実際のダメージを引き起こせない。
【0014】 本発明に基いた方法やシステムの原理や操作は、図面とそれに付随する記述に
関して、これらの図面が図解的目的のみによって与えられるものであり、限定を
意味するものではないと理解されることで、より一層理解されるかもしれない。
次の記述はパケット交換ネットワークに集中しており、そこにおいては通信が実
行され、データがパケットの形式で送信するのであるが、本発明は別タイプのネ
ットワークでも実施可能なので、これは記述のみのためであり、限定の意図はな
いと理解される。
【0015】 前述及び他の目的、見地、及び利点は、図面を参照して発明のより好ましい実
施形態の以下の詳細な記述からより理解されるであろう。 さて、図面を参照すると、図1は本発明に基いたシステムの略ブロック図であ
る。システム10はエントリー・ポイント14で被保護ネットワーク12を特色
とする。好ましくは、被保護ネットワーク12にはエントリー・ポイント14が
複数存在するが、被保護ネットワーク12に入ってくる全トラフィックがエント
リー・ポイント14を通過しなければならないようにすべきである。エントリー
・ポイント14はルータ及び/又は例えばファイーヤーウオールとして付加的に
導入されている。ネットワーク・トラフィック、主としてパケットが、一旦エン
トリー・ポイント14を通過したら、トラフィックはその後、被保護ネットワー
ク12に繋がるひとつかそれ以上のノード16に送信する。被保護ネットワーク
12の構造が明瞭さを追求して単純化され、どのような方面への限定も意図しな
いと理解される。
【0016】 エントリー・ポイント14は、公共のネットワーク18、インターネットに繋
がっている。例えば、エントリー・ポイント14は、公共ネットワーク18に加
えて、もしくはその代わりにダイアルアップ・アクセス・ポイントにも繋がって
いると理解されている。無権限ソース20は、無権限ユーザの実施する公共のネ
ットワーク18に繋がっていることを示している。無権限ソース20は1つしか
示されていないが、単一の無権限ユーザが操作しているときでさえ、そのような
複数の無権限ソースが可能なので、これは記述だけの目的であり、限定の意図を
持たないと理解される。例えば、無権限ソース20は、コンピュータ、代替的に
ユーザのコンピュータに加えて1つかそれ以上の付加的ネットワークを含む。無
権限ユーザは被保護ネットワーク12にアクセスするよう試みて、例えば保護さ
れたネットワーク12に対する命令や指示を内包するパケットを送ることによっ
て無権限ソースをコントロールする。
【0017】 加えて、無権限ユーザは、通常は、エントリー・ポイント14への通信及び/
又は、情報を求めてエントリー・ポイント14を通過して出たり入ったりするト
ラフィックのエラー検出修正を含む、保護されたネットワーク12の情報収集段
階を実行する。無権限ユーザはその後、アタックに着手するため保護されたネッ
トワーク12の無防備性と弱さについて収集した情報を使う。
【0018】 背景となる技術において、エントリー・ポイント14はファイヤーウォールを特
色とし、それは無権限ユーザが被保護ネットワーク14にエントリーするのを防
ぐため、入ってくるネットワーク・トラフィックをフィルターにかけようと試み
たものであった。しかしながら、無権限ユーザは、しばしばエントリー・ポイン
ト14にインストールされたそのようなファイヤーウォールか別の保護策の裏を
かく。
【0019】 本発明において、背景となる技術として知られるファイヤーウォールの代わり、
或いはそれに加えて、被保護ネットワーク12、好ましくはエントリー・ポイン
ト14に、一つかそれ以上の安全モジュールがインストールされる。そのような
安全モジュールは、一つのユニットとして、或いは複数のそのようなユニットと
して導入され、先に記述された理由で、ソフトウェア、ファームウェア、ハード
ウェア、或いはコンビネーションとして導入されるかもしれない。本発明の実施
形態において、三つのそのようなモジュールが被保護ネットワーク12にインス
トールされる:イヤーマーク提供モジュール22、侵入検出モジュール24、及
び付加的に、侵入者転送モジュール26。後者のモジュールはエントリー・ポイ
ント14にインストールされるのが好ましい。本発明の受動的な実施形態にとっ
ては、この具体化では無権限ソース20からのトラフィックに対し、何の直接的
アクションもとられないので、イヤーマーク提供モジュール22及び侵入検出モ
ジュール24だけが必要とされる。本発明の能動的な実施形態にとっては、以下
でより詳細に説明されるように、侵入者転送モジュール26は、積極的にそのよ
うなトラフィックをブロックするために、無権限モジュール20からのトラフィ
ックを転送する事も要求される。
【0020】 イヤーマーク提供モジュール22は偽情報を無権限ソース20及びそれ故に無
権限ユーザに提供する。もし侵入試行されても、偽情報はイヤーマークとして役
割を果たしまた無権限ソース20からもしくは異なる無権限ソース(図示せず)
からさえのトラフィックを後ほど識別されることを可能にする。好ましくは、偽
情報は、イヤーマーク提供モジュール22によってあたかも応答が被保護ネット
ワーク12における現実のノードによって発生させられたような“探知”のエミ
ュレート応答を与えられるが、そのようなノードは実際には存在しないのである
。以下の図2に関連してより詳細に記述されるように、情報を集める無権限ユー
ザによって使用された探知方法と適合する技術によると、イヤーマーク提供モジ
ュール22はこの情報を提供する。しかし、イヤーマークもしくは偽情報は、後
に無権限ユーザを識別するための識別子をも含む。好ましくは、認可ユーザを無
権限であるとして間違って識別することをさけるため、容易に及び好ましくは独
自に識別されることができる数値データを識別子はイヤーマークを特色とする。
付随的及び代替的に、イヤーマーク提供モジュール22はエントリー・ポイント
14でインストールされないが、エントリー・ポイント14と通信することがで
きる。
【0021】 全ての流入及び流出トラフィックを管理、もしくは流入トラフィックに影響を
与えることを、それぞれ可能にするために、侵入検出モジュール24及び付随的
な侵入変換モジュール26はエントリー・ポイント14に個別インストールされ
る。侵入検出モジュール24は、エントリー・ポイント14に到達するパケット
を検査及び解析することで操作を行う。そして侵入検出モジュール24は、偽“
イヤーマーク”情報を識別するための識別子を含む偽情報のイヤーマーク・デー
タベース28へ流入するパケット内で発見された情報と一致させる。例えば、一
度無権限ソース20からのパケット内で一致が発見されれば、無権限ソース20
は、無権限ソース20もしくは要素を識別する他の侵入者のソース・アドレスを
含む侵入者データベース30に登録される。イヤーマーク・データベース28及
び侵入者データベース30は、付随的に単一データベースで導入され、しかしそ
の個別の機能を図示するために分離するような図1に示されることを記しておく
【0022】 侵入転送モジュール26は、例えば、無権限ソース20のソース・アドレスの
ような侵入識別要素を特色とする全てのパケットを付随的に捕獲する。そして、
受信パケットは好ましく書き換えられる。より好ましくは、そのような書き換え
は、被保護ネットワーク12内で安全ゾーン32へと書き換えられるように実施
される。第1に、受信パケットの宛先アドレスは安全ゾーン32内での特定ノー
ド16の安全アドレスへ付随的に変更される。次に、ソース・アドレスは侵入転
送モジュール26へ割り当てられた侵入変換アドレスへと変えられる。
【0023】 この書き換え工程は実際にはNAT(ネットワーク・アドレス変換)工程の種類
である。本発明内では、安全ゾーン32内でのノード16からの好ましい全ての
応答パケットが侵入転送モジュール26を通過する。そして、侵入転送モジュー
ル26は、各応答パケットのソース・アドレスを無権限ソース20から受信され
たとするパケットの元の宛先アドレスへ、また、各応答パケットの宛先アドレス
を無権限ソース20のそれとして元の形に戻す。無権限ソース20によって各応
答パケットを受け取ると、パケットの解析は、パケットがはっきりと処理される
とともに被保護ネットワーク12の意図された宛先ノード16によって送られた
ことを示す。実際に、勿論、パケットの内容の決定を含む応答パケット送信の全
体的な工程は侵入送信モジュール26によって制御され管理される。この工程の
更なる詳細な説明は以下の図3に提供されている。
【0024】 もし侵入転送モジュールがシステム10に無ければ、そうすれば代替的に、侵
入転送モジュール24は、無権限ソース20から例での侵入者の宛先の通知をシ
ステム・アドミニストレーター若しくは他の責任ある個人に送る。この代替的、
受動的実施形態によるとシステム10によって更なる行動は起こされない。
【0025】 図2は、本発明による探知及び侵入検出の為の模範的な方法のフローチャート
である。探知及び侵入検出の方法は、ネットワーク上での無防備なサービスを検
索するために探知“スキャン”の特定型の検出に関して以下に記述される。スキ
ャン探知は、本発明による検出及び処理される探知の1つの型の例にすぎない。
以下のより詳細な記述により、本発明により、スキャン検出に関しての例がどの
ような方法においても制限されることは意図しないように、探知の他の型も検出
されまた処理される。
【0026】 例えば、ステップ1においては、図1の侵入転送モジュールによってパケット
は受信される。次に、ステップ2においてパケットはスキャン検出のために分析
される。この場合での“スキャン”は、ネットワークでの可能な無防備なサービ
スのための探知をするために“ハッカー”若しくは無権限ユーザにより使用され
た情報収集の方法である。このサービスは特別に設計されたツールを使う無権限
ユーザによってスキャンされる。一度無防備なサービスが発見されれば、サービ
スが実際に存在するかどうかを決定するために、無権限ユーザはネットワーク内
でパケットをノードに送信する原因となる。スキャン検出は、本発明により発見
的なパケット基準の手順によって付随的に実施される。正規パケットの行動の範
囲枠を決定するために、手順は、パケット及び全てのソースからの発生するパケ
ット伝送の性質に関する統計を保持することによって操作される。もし特定のソ
ースからの通信がこれらの範囲内で行動しなければ、そうすれば、手順の出力は
、そのソースによってスキャンが実施されたかどうかの可能性を表示する。付随
的に及び更に好ましくは、スキャンが実施される最小限必要とされる可能性は、
スキャンが進行中と決定されるところの限定をセットするために、前もって計算
される。
【0027】 一旦スキャンが検出されると、段階4でスキャン用パケットのソース・アドレ
スは侵入者データ・ベースに加えられる。段階5で、イヤーマークはパケットの
無権限ソースに返される。好ましくは、イヤーマークは、非存在でネットワーク
外のコンピューターに通告されない1つあるいはそれ以上のサービスのエミュレ
ートにより、スキャン・アタックに供給される。例えばTCP/IPネットワー
クについては、本発明によるイヤーマークは、随意で無権限ユーザによる探知に
応じて非存在ホストのためのIPアドレスを含む。あるいはまたイヤーマークは
、IPアドレスおよびポート番号からなるタプルを含む。
【0028】 段階6で、スキャンが検出されない場合、好ましくはパケットの宛先アドレス
は宛先アドレスがイヤーマーク・データ・ベースの中にあるかどうか確かめるた
めに検査される。パケットの宛先アドレスがイヤーマーク・データ・ベースにあ
る場合、その後パケットのソース・アドレスは、随意に他の情報識別で、段階7
a中の侵入者データ・ベースに加えられる。好ましくは、イヤーマーク・データ
・ベースは各エントリーが「IPアドレス、ポート番号」の形式を持つように組
み立てられる。そのようなエントリーはネットワーク上で存在しない偽ネットワ
ーク・サービスを表す。したがってそのようなネットワーク・サービスへのアク
セスは、侵入者の存在を示し、正当なユーザならそのサービスにアクセスしない
であろう敵であるとみなされる。
【0029】 そうでなければ、段階7bでパケットのソース・アドレスはソース・アドレス
が侵入者データ・ベース中で発見されるかどうか確かめるために検査される。ソ
ース・アドレスが、侵入者データ・ベースそして次に段階8bに格納されない場
合、パケットはネットワークにパスされる。
【0030】 あるいはまた、ソース・アドレスが侵入者データ・ベースで見つかる場合、あ
るいはソース・アドレスが段階7a中の侵入者データ・ベースに加えられる場合
、パケットの無権限ソースは図3に関して詳述されるように処理される。好まし
くは、無権限ソースからのさらなるパケットはネットワーク自体に入ることから
阻害され、さらに好ましくは安全なゾーンにこれらのパケットを含むことにより
阻害される。あるいはまた、例えばシステム管理者あるいは他の信頼できる個人
に通知される。またあるいは、さらにパケットは単にドロップされる。
【0031】 図3は図2の例に続き、本発明による侵入に対処する典型的な方法のフローチ
ャートである。したがって侵入に対処する方法は、スキャンである図2の特別タ
イプの探知に関して以下詳述される。図2に関しては、本発明によって検出され
処理される探知タイプのただの1例である。より詳細に以下詳述されるように、
他のタイプの探知および侵入はまた、スキャン検出の探知に関する例がいかなる
方法にも制限されないように意図され、本発明に従って探知され処理される。
【0032】 段階1では図2にまた詳述されるように、イヤーマークは無権限ソースに与え
られる。段階2では後続のパケットの宛先アドレスは、宛先アドレスおよびさら
にポート番号がイヤーマーク・データ・ベースの中にあるか確かめるために検査
される。宛先アドレスおよびポート番号が、イヤーマーク・データ・ベースに含
まれる場合、その後段階3でACK送信手順が実行される。本発明によるACK
送信手順は既存のネットワーク・サービスを模倣するパケットの送信を含む。含
まれる実際の段階は、ネットワーク・タイプのような変数に依存する。例えばT
CP/IPネットワークについては、ACK送信手順は、無権限侵入者ソースで
ある先導ホストとパケットの宛先間の繋がりを確立するために多くのパケットを
送信することを含む。無権限ソースはこのようにネットワーク上の実際のサービ
スというよりもむしろ、模倣の偽ネットワーク・サービスのセッションに含まれ
る。
【0033】 宛先アドレスおよびポート番号がイヤーマーク・データ・ベース、そしてまた
あるいは段階4に含まれない場合、イヤーマーク・データ・ベースは宛先アドレ
スのみが存在するかどうか確かめるために検査される。もしそうであるならば、
その後段階5でパケットに存在しないネットワーク・サービスを模倣するパケッ
トを送信するRESET送信手順が実行される。上述されたACK送信手順に関
しては、含まれた実際の段階はネットワークのタイプのような変数に依存する。
例えばTCP/IPネットワークについては、RESET送信手順は単一パケッ
トを送信することにより遂行される。
【0034】 段階6では、宛先アドレスがイヤーマーク・データ・ベースに含まれない場合
、パケットはドロップされるかあるいは認識の送信なしに廃棄される。このよう
な見せかけは、無権限ソースには意図した宛先ホストがあたかも存在しないかの
ように見える。
【0035】 無権限ソースからのパケットを処理するこれらの方法はただ例としてのみ意図
され、他のそのような方法もまた実行できうることが意図される。これらの方法
の意図は無権限ソースのパケットのアクセスを、好ましくは通信が成功したとい
う偽印象を与える一方でネットワークの限られた部分に限定することである。
【0036】 本発明により随意で検出され処理される異なるタイプの探知手順の他の例は、
これらに限定されないがDNS(ドメインネーム・サービス)ゾーン転送、「フィ
ンガー」探知、NetBIOSに基づく探知、NIS/LDAP尋問およびネッ
トワーク・エラー検出修正を含む。これらの異なる探知手順のいくつかを検出す
る方法は、より詳細に以下詳述される。これらの探知手順は以前にスキャン探知
のために詳述されたように処理される。
【0037】 DNSゾーン転送探知は、ネットワーク中のホスト名およびアドレスのリスト
を受理するためにDNSサーバーの尋問を含む。この方法に対するイヤーマーク
は、DNSサーバーにおけるネットワーク内の非存在ホストの名前およびアドレ
スを定めることにより準備されている。このようなイヤーマークに関連づけられ
た識別子は非存在ホストのIPアドレスである。
【0038】 「フィンガー」探知は、UNIX(登録商標)オペレーティング・システムの
「フィンガー」サービスを持つ能動的ユーザのために、ネットワーク上のノード
であるホスト・コンピューターの尋問により実行される。非存在ユーザ(複数可)
の名前でその尋問に答えることは、この方法にイヤーマークを提供する。イヤー
マークは「IPアドレス、ユーザ名」の形式であり、この組み合わせがいかなる
後続の侵入行為をも検出する識別子を供給するようになっている。
【0039】 NIS/LDAP尋問は、部位特異的な情報を格納するためにしばしば使用されるととも
にネットワークを越えたアクセス方法を提供する、NIS及び/又はLDAPデータベー
スを意味する。このデータベースが保護されない限り、無権限ユーザがこれらの
データベースに遠くから問い合わせをすることができ、ユーザ名、暗号化された
パスワード、ネットワーク・ノード(コンピュータ)名及びアドレス、及びその
ようなものの情報を引き出すことができる。この探知方法に対するイヤーマーク
は、イヤーマークとして前に記述された情報項目のいくらかを包含する、みせか
けのNISおよび/またはLDAPのデータベースを構築することによって準備される
【0040】 無権限ユーザがネットワークに入って高水準の特権を獲得したあとに、ネットワ
ーク“エラー検出修正”方法はネットワークの中でのネットワーク活動を記録す
ることを必要とする。ネットワーク上のセッションに含まれるユーザ名及びパス
ワードの記録を促進するソフトウェア・ツールが存在する。この探知方法に対す
るイヤーマークは、ネットワーク上でのセッションをシミュレートし、これらの
“セッション”の間ににせのユーザ名及びパスワードを含むことによって供給さ
れる。イヤーマークは<IPアドレス、ユーザ名、パスワード>の形式を持ってい
る。
【0041】 ネットワーク侵入者が1つの侵入“セッション”において、1つ以上のネットワ
ーク・ノード或いはサイト上でアタックを試みそうであることが過去に示された
。上述されたようなアタックの識別は、一旦上述の“イヤーマーク”過程を経て
実行され検証されてしまえば、他のネットワーク・サイトに対する早期警告とし
て使われることができ、この警告はそれらのサイトに対する事前警告(“ヘッド
‐アップ”)を供給する。本発明の外延は、中央のエンタープライズ‐ワイド或
いはインターネット‐ワイド、自動警戒集合体及び再配分システムである。組織
において或いはインターネットの全体に渡って分配される、上述されたような検
出システムは、本発明を使うことによって活発な侵入ソースを一旦見つけると、
その識別されたアタック及び組織での中央サービス・ポイント或いは中央インタ
ーネット‐ワイドのサービス・ポイントに対するアタック・ソースと通信を行う
。このサービス・ポイントは情報を受け取り、それを処理するとともにそれを他
のそのような検出システム(“受け取りシステム”)に自動的に分配する。これ
は、特別な受け取りシステムがアタックされるか或いは探知される前でも、予め
定義されたネットワーク防御ルーチンを実行するシステムを自動的に受け取るこ
とを可能にする。
【0042】 上の記述は例として供給されることのみを意図されたものであって、多くの他の
実施形態が本発明の範囲及び精神の範囲内で可能である。
【図面の簡単な説明】
【図1】 図1は、本発明による代表的なシステムの概要ブロック図である。
【図2】 図2は、本発明による厳密な侵入検出方法の代表的なもののフローチャートであ
る。
【図3】 図3は、本発明による侵入対処の方法の代表的なもののフローチャートである。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE,TR),OA(BF ,BJ,CF,CG,CI,CM,GA,GN,GW, ML,MR,NE,SN,TD,TG),AP(GH,G M,KE,LS,MW,MZ,SD,SL,SZ,TZ ,UG,ZW),EA(AM,AZ,BY,KG,KZ, MD,RU,TJ,TM),AE,AG,AL,AM, AT,AU,AZ,BA,BB,BG,BR,BY,B Z,CA,CH,CN,CR,CU,CZ,DE,DK ,DM,DZ,EE,ES,FI,GB,GD,GE, GH,GM,HR,HU,ID,IL,IN,IS,J P,KE,KG,KP,KR,KZ,LC,LK,LR ,LS,LT,LU,LV,MA,MD,MG,MK, MN,MW,MX,MZ,NO,NZ,PL,PT,R O,RU,SD,SE,SG,SI,SK,SL,TJ ,TM,TR,TT,TZ,UA,UG,US,UZ, VN,YU,ZA,ZW (72)発明者 イェヘツケイ イェシュルン イスラエル ギバタイム 53464 ゴロ ム・ストリート50 (72)発明者 オデッド アミアー イスラエル テル・アビブ 69057 バー リナー・ストリート8 Fターム(参考) 5B085 AC03 AC11 AE23 BC01 BG02 CA02 5B089 GB02 KA17 KB06 KB13 KC47 MC01 5K030 GA15 HA08 HD10 KA07 LB05 MC08

Claims (18)

    【特許請求の範囲】
  1. 【請求項1】 ネットワーク上の無権限ソースからの通信を検出及び対処する
    方法であり、 (a)無権限ソースからの通信を受け取ること; (b)情報集積手順を検出するための通信を分析すること; (c)もし情報集積手順が検出されたなら、侵入者ソース・アドレスとして通信
    のソース・アドレスを示すこと; (d)通信の無権限ソースにイヤーマークを返すこと; (e)前記イヤーマークの存在のために、各後の通信を分析すること; (f)もし前記イヤーマークが存在するならば、通信の前記ソース・アドレスを
    、前記侵入者ソース・アドレスとして示すこと;及び (g)もし前記ソース・アドレスが前記侵入者ソース・アドレスならば、前記侵
    入者ソース・アドレスからの通信に対処すること、 の段階からなる。
  2. 【請求項2】 通信が複数のパケットで行われることを特徴とする、請求項1
    の方法。
  3. 【請求項3】 さらに、 (h)もし前記侵入手順が検出されなければ、前記宛先アドレスが、イヤーマー
    ク宛先アドレスかどうかを決定するために各パケットの宛先アドレスを調査する
    こと;及び (i)もし前記宛先アドレスが、イヤーマーク宛先アドレスならば、前記パケッ
    トの前記ソース・アドレスを、前記侵入者ソース・アドレスとしてマークを付け
    ること、 の段階からなる、請求項2の方法。
  4. 【請求項4】 更に、 (j)もし前記アドレスが前記特徴宛先アドレスでなければ、前記ソース
    ・アドレスが前記侵入ソース・アドレスであるかどうか決定するために前期パケ
    ットの前記ソース・アドレスを検査すること、及び、 (k)もし前記パケットの前記ソース・アドレスが前記侵入ソース・アド
    レスでなければ、前記パケットをネットワークへ送信すること、 のステップからなる請求項3の方法。
  5. 【請求項5】 ステップ(g)がシステム・アドミニストレーターに警報する
    ことによって実施されることを特徴とする請求項1の方法。
  6. 【請求項6】 ステップ(g)が通信をドロップすることによって実施される
    ことを特徴とする請求項1の方法。
  7. 【請求項7】 ステップ(g)がネットワークの安全ゾーンへの通信に宛先を
    書き換えることによって実施されることを特徴とする請求項1の方法。
  8. 【請求項8】 更に、ネットワークの前記安全ゾーンからの無権限ソースへ応
    答を返すステップからなることを特徴とする請求項7の方法。
  9. 【請求項9】 前記情報集積手順が、スキャン、DNS(ドメイン・ネーム・サ
    ービス)ゾーン転送、“フィンガー”探知、NIS/LDAP尋問及びエラー検出修正か
    らなる群から選択されることを特徴とする請求項8の方法。
  10. 【請求項10】 段階(b)がさらに、 (i)前記多数のノードからの多数のパケットを分析すること、 (ii)正当なパケット動作の範囲のプロフィールを決定すること、 (iii)無権限ソースからの少なくとも1つのパケットが前記範囲の外にある
    場合、前記スキャンが実行される可能性を決定すること の段階からさらになるように、通信が多くのパケットで実行され、ネットワーク
    が多くのノードを特色とし、前記侵入手順が前記スキャンであることを特徴とす
    る請求項9の方法。
  11. 【請求項11】 前記可能性が最小限に必要とされるスキャンが実行される可能
    性を上回る場合、前記スキャンが検出されることを特徴とする請求項10の方法
  12. 【請求項12】 前記イヤーマークが非存在サービスのエミュレーションを含む
    ことを特徴とする請求項11の方法。
  13. 【請求項13】 前記エミュレーションが非存在ホストのためのIPアドレ
    スを含むことを特徴とする請求項12の方法。
  14. 【請求項14】 前記エミュレーションがさらにポート番号を含むことを特徴と
    する請求項13の方法。
  15. 【請求項15】 (a)通信がネットワークへ到達するために前記エントリー・
    ポイントを通るようなネットワークへのエントリー・ポイント、 (b)前記無権限ソースに送信するためのイヤーマークを準備するためのイヤー
    マーク供給モジュール、 (c)通信を分析し通信内の前記イヤーマークを検出するための侵入検出モジュ
    ール、 (d)前記イヤーマークが前記侵入検出モジュールによって検出される場合、通
    信に対処するための侵入対処モジュール、 からなるネットワーク上の無権限ソースからの通信を検出し処理するためのシス
    テム。
  16. 【請求項16】 通信が、多くのパケットで実行されることを特徴とする、請求
    項15のシステム。
  17. 【請求項17】 ネットワーク上の無権限ソースからの通信を検出し処理するた
    めの多数のシステムによって得られた情報を集めるためのシステムであり、 (a)ネットワーク上の無権限ユーザからの通信を検出して処理するための前記
    システムが、識別されたアタック及びアタック・ソースについての情報を通信す
    る、ネットワークのための中央サービス・ポイント、 (b)そのようなネットワーク・アタック及びアタック・ソースに対する早期警
    告として、識別されたアタック及びアタック・ソースについての前記情報を、ネ
    ットワーク上の無権限ソースからの通信を検出し処理するための前記システムに
    対して通信する分配システム、からなる。
  18. 【請求項18】 前記ネットワークは、システムが組織のコンピュータ・ネット
    ワークの中に存在するような組織のネットワークである、請求項17のシステム
JP2001540933A 1999-11-29 2000-11-29 ネットワークにおける、自動的な侵入検出及び偏向のための方法 Pending JP2003527793A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US09/449,531 1999-11-29
US09/449,531 US6363489B1 (en) 1999-11-29 1999-11-29 Method for automatic intrusion detection and deflection in a network
PCT/IL2000/000801 WO2001039379A2 (en) 1999-11-29 2000-11-29 Method for automatic intrusion detection and deflection in a network

Publications (1)

Publication Number Publication Date
JP2003527793A true JP2003527793A (ja) 2003-09-16

Family

ID=23784510

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001540933A Pending JP2003527793A (ja) 1999-11-29 2000-11-29 ネットワークにおける、自動的な侵入検出及び偏向のための方法

Country Status (8)

Country Link
US (1) US6363489B1 (ja)
EP (1) EP1244967B1 (ja)
JP (1) JP2003527793A (ja)
AT (1) ATE406727T1 (ja)
AU (1) AU1728301A (ja)
DE (1) DE60040092D1 (ja)
IL (1) IL149594A0 (ja)
WO (1) WO2001039379A2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
JP2008501296A (ja) * 2004-05-25 2008-01-17 ポスティーニ インク 電子メッセージソース評判情報システム

Families Citing this family (161)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7240368B1 (en) * 1999-04-14 2007-07-03 Verizon Corporate Services Group Inc. Intrusion and misuse deterrence system employing a virtual network
US7073198B1 (en) 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7062782B1 (en) * 1999-12-22 2006-06-13 Uunet Technologies, Inc. Overlay network for tracking denial-of-service floods in unreliable datagram delivery networks
US6957348B1 (en) 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
US6519703B1 (en) * 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US7197563B2 (en) * 2001-05-31 2007-03-27 Invicta Networks, Inc. Systems and methods for distributed network protection
US7089303B2 (en) * 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
WO2002013486A2 (en) * 2000-08-07 2002-02-14 Xacct Technologies Limited System and method for processing network accounting information
WO2002017594A2 (en) * 2000-08-18 2002-02-28 Invicta Networks, Inc. Systems and methods for distributed network protection
US9280667B1 (en) 2000-08-25 2016-03-08 Tripwire, Inc. Persistent host determination
US7181769B1 (en) * 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US7043759B2 (en) 2000-09-07 2006-05-09 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US7278159B2 (en) * 2000-09-07 2007-10-02 Mazu Networks, Inc. Coordinated thwarting of denial of service attacks
US6985947B1 (en) * 2000-09-14 2006-01-10 Microsoft Corporation Server access control methods and arrangements
US6714970B1 (en) * 2000-10-26 2004-03-30 International Business Machines Corporation Protecting open world wide web sites from known malicious users by diverting requests from malicious users to alias addresses for the protected sites
US7213265B2 (en) * 2000-11-15 2007-05-01 Lockheed Martin Corporation Real time active network compartmentalization
US7225467B2 (en) * 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
US7185368B2 (en) * 2000-11-30 2007-02-27 Lancope, Inc. Flow-based detection of network intrusions
JP3723076B2 (ja) * 2000-12-15 2005-12-07 富士通株式会社 不正侵入防御機能を有するip通信ネットワークシステム
CA2436710C (en) * 2001-01-31 2011-06-14 Lancope, Inc. Network port profiling
DE60121133T2 (de) * 2001-02-14 2007-02-01 Mitsubishi Denki K.K. Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
US8271678B2 (en) * 2001-04-03 2012-09-18 Arbor Networks, Inc. Independent detection and filtering of undesirable packets
US7007169B2 (en) * 2001-04-04 2006-02-28 International Business Machines Corporation Method and apparatus for protecting a web server against vandals attacks without restricting legitimate access
KR100422802B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
US7644151B2 (en) * 2002-01-31 2010-01-05 Lancope, Inc. Network service zone locking
US7895326B2 (en) * 2002-03-25 2011-02-22 Lancope, Inc. Network service zone locking
US7475426B2 (en) * 2001-11-30 2009-01-06 Lancope, Inc. Flow-based detection of network intrusions
US7512980B2 (en) * 2001-11-30 2009-03-31 Lancope, Inc. Packet sampling flow-based detection of network intrusions
US10129273B2 (en) 2001-11-30 2018-11-13 Cisco Technology, Inc. System and methods for computer network security involving user confirmation of network connections
US20030110395A1 (en) * 2001-12-10 2003-06-12 Presotto David Leo Controlled network partitioning using firedoors
US8087083B1 (en) * 2002-01-04 2011-12-27 Verizon Laboratories Inc. Systems and methods for detecting a network sniffer
US7249383B1 (en) * 2002-01-30 2007-07-24 Mccully Timothy R Method of detecting piracy of proprietary material
US7213264B2 (en) 2002-01-31 2007-05-01 Mazu Networks, Inc. Architecture to thwart denial of service attacks
US8132250B2 (en) * 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7903549B2 (en) * 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8561167B2 (en) * 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7379857B2 (en) * 2002-05-10 2008-05-27 Lockheed Martin Corporation Method and system for simulating computer networks to facilitate testing of computer network security
US20040162994A1 (en) * 2002-05-13 2004-08-19 Sandia National Laboratories Method and apparatus for configurable communication network defenses
US20040148521A1 (en) * 2002-05-13 2004-07-29 Sandia National Laboratories Method and apparatus for invisible network responder
US7346057B2 (en) * 2002-07-31 2008-03-18 Cisco Technology, Inc. Method and apparatus for inter-layer binding inspection to prevent spoofing
US20040024864A1 (en) * 2002-07-31 2004-02-05 Porras Phillip Andrew User, process, and application tracking in an intrusion detection system
KR100426317B1 (ko) * 2002-09-06 2004-04-06 한국전자통신연구원 패킷 워터마크 삽입 기법을 이용한 실시간 공격 연결역추적 시스템 및 그 구현 방법
US7467408B1 (en) * 2002-09-09 2008-12-16 Cisco Technology, Inc. Method and apparatus for capturing and filtering datagrams for network security monitoring
US6823383B2 (en) * 2002-09-10 2004-11-23 Capital One Financial Corporation Stealth network
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US20040068559A1 (en) * 2002-10-04 2004-04-08 Shaw Terry D. Method for detection of unauthorized computer system usage
US20070061884A1 (en) * 2002-10-29 2007-03-15 Dapp Michael C Intrusion detection accelerator
US20040083466A1 (en) * 2002-10-29 2004-04-29 Dapp Michael C. Hardware parser accelerator
US7080094B2 (en) * 2002-10-29 2006-07-18 Lockheed Martin Corporation Hardware accelerated validating parser
US7146643B2 (en) 2002-10-29 2006-12-05 Lockheed Martin Corporation Intrusion detection accelerator
US8479057B2 (en) * 2002-11-04 2013-07-02 Riverbed Technology, Inc. Aggregator for connection based anomaly detection
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US8504879B2 (en) * 2002-11-04 2013-08-06 Riverbed Technology, Inc. Connection based anomaly detection
US7660980B2 (en) * 2002-11-18 2010-02-09 Liquidware Labs, Inc. Establishing secure TCP/IP communications using embedded IDs
JP2006510328A (ja) 2002-11-18 2006-03-23 トラスティッド ネットワーク テクノロジーズ インコーポレイテッド ネットワーク通信における識別情報を用いたシステム及び装置
US7591001B2 (en) * 2004-05-14 2009-09-15 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection
US7386889B2 (en) * 2002-11-18 2008-06-10 Trusted Network Technologies, Inc. System and method for intrusion prevention in a communications network
US7549159B2 (en) * 2004-05-10 2009-06-16 Liquidware Labs, Inc. System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto
US7359930B2 (en) * 2002-11-21 2008-04-15 Arbor Networks System and method for managing computer networks
US20040103314A1 (en) * 2002-11-27 2004-05-27 Liston Thomas F. System and method for network intrusion prevention
US20040123141A1 (en) * 2002-12-18 2004-06-24 Satyendra Yadav Multi-tier intrusion detection system
CN100470480C (zh) * 2003-02-28 2009-03-18 洛克希德马丁公司 分析程序加速器装置以及更新其的方法
US7281270B2 (en) * 2003-04-01 2007-10-09 Lockheed Martin Corporation Attack impact prediction system
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US7516487B1 (en) 2003-05-21 2009-04-07 Foundry Networks, Inc. System and method for source IP anti-spoofing security
US7562390B1 (en) 2003-05-21 2009-07-14 Foundry Networks, Inc. System and method for ARP anti-spoofing security
US20040255154A1 (en) * 2003-06-11 2004-12-16 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus
US7260833B1 (en) * 2003-07-18 2007-08-21 The United States Of America As Represented By The Secretary Of The Navy One-way network transmission interface unit
US7463590B2 (en) * 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7876772B2 (en) * 2003-08-01 2011-01-25 Foundry Networks, Llc System, method and apparatus for providing multiple access modes in a data communications network
JP4229013B2 (ja) * 2003-09-01 2009-02-25 株式会社デンソー 交流発電機
US7735114B2 (en) * 2003-09-04 2010-06-08 Foundry Networks, Inc. Multiple tiered network security system, method and apparatus using dynamic user policy assignment
KR100744530B1 (ko) * 2003-09-17 2007-08-01 한국전자통신연구원 연결 재설정 기법을 이용한 실시간 연결 역추적 장치 및그 방법
US7774833B1 (en) 2003-09-23 2010-08-10 Foundry Networks, Inc. System and method for protecting CPU against remote access attacks
US7523484B2 (en) * 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US7464158B2 (en) * 2003-10-15 2008-12-09 International Business Machines Corporation Secure initialization of intrusion detection system
US7743420B2 (en) * 2003-12-02 2010-06-22 Imperva, Inc. Dynamic learning method and adaptive normal behavior profile (NBP) architecture for providing fast protection of enterprise applications
US8528071B1 (en) 2003-12-05 2013-09-03 Foundry Networks, Llc System and method for flexible authentication in a data communications network
EP1712064A1 (en) * 2004-01-20 2006-10-18 Intrusic, Inc Systems and methods for monitoring data transmissions to detect a compromised network
US20050193429A1 (en) * 2004-01-23 2005-09-01 The Barrier Group Integrated data traffic monitoring system
US7577996B1 (en) 2004-02-06 2009-08-18 Extreme Networks Apparatus, method and system for improving network security
US7310664B1 (en) 2004-02-06 2007-12-18 Extreme Networks Unified, configurable, adaptive, network architecture
US7823199B1 (en) 2004-02-06 2010-10-26 Extreme Networks Method and system for detecting and preventing access intrusion in a network
US20050203921A1 (en) * 2004-03-11 2005-09-15 Newman Aaron C. System for protecting database applications from unauthorized activity
US8566946B1 (en) * 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
RU2006143768A (ru) * 2004-05-12 2008-06-20 Алькатель (Fr) Ароматическое ограничение сетевого нарушителя
US20050268342A1 (en) * 2004-05-14 2005-12-01 Trusted Network Technologies, Inc. System, apparatuses, methods and computer-readable media for determining security status of computer before establishing network connection second group of embodiments-claim set II
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
US7929534B2 (en) * 2004-06-28 2011-04-19 Riverbed Technology, Inc. Flow logging for connection-based anomaly detection
US8151348B1 (en) * 2004-06-30 2012-04-03 Cisco Technology, Inc. Automatic detection of reverse tunnels
US7748040B2 (en) * 2004-07-12 2010-06-29 Architecture Technology Corporation Attack correlation using marked information
US20060015715A1 (en) * 2004-07-16 2006-01-19 Eric Anderson Automatically protecting network service from network attack
US7957372B2 (en) * 2004-07-22 2011-06-07 International Business Machines Corporation Automatically detecting distributed port scans in computer networks
US20060026273A1 (en) * 2004-08-02 2006-02-02 Forescout Inc. System and method for detection of reconnaissance activity in networks
US7760653B2 (en) * 2004-10-26 2010-07-20 Riverbed Technology, Inc. Stackable aggregation for connection based anomaly detection
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US8195952B2 (en) 2004-12-14 2012-06-05 International Business Machines Corporation System and method of facilitating the identification of a computer on a network
US7860006B1 (en) * 2005-04-27 2010-12-28 Extreme Networks, Inc. Integrated methods of performing network switch functions
US7937480B2 (en) * 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US20070011732A1 (en) * 2005-07-05 2007-01-11 Yang-Hung Peng Network device for secure packet dispatching via port isolation
US7590733B2 (en) * 2005-09-14 2009-09-15 Infoexpress, Inc. Dynamic address assignment for access control on DHCP networks
US20070079366A1 (en) * 2005-10-03 2007-04-05 Microsoft Corporation Stateless bi-directional proxy
US8255996B2 (en) * 2005-12-30 2012-08-28 Extreme Networks, Inc. Network threat detection and mitigation
JP4984531B2 (ja) * 2006-01-06 2012-07-25 富士通株式会社 サーバ監視プログラム、中継装置、サーバ監視方法
US8077708B2 (en) * 2006-02-16 2011-12-13 Techguard Security, Llc Systems and methods for determining a flow of data
US20070192500A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Network access control including dynamic policy enforcement point
US20070192858A1 (en) * 2006-02-16 2007-08-16 Infoexpress, Inc. Peer based network access control
US8069482B2 (en) * 2006-02-27 2011-11-29 Sentrigo Inc. Device, system and method of database security
US7773540B1 (en) * 2006-06-01 2010-08-10 Bbn Technologies Corp. Methods, system and apparatus preventing network and device identification
US8179798B2 (en) * 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) * 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) * 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
WO2008099403A2 (en) * 2007-02-16 2008-08-21 Forescout Technologies A method and device for determining network device status
US8295188B2 (en) * 2007-03-30 2012-10-23 Extreme Networks, Inc. VoIP security
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) * 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US20090144446A1 (en) * 2007-11-29 2009-06-04 Joseph Olakangil Remediation management for a network with multiple clients
US8160975B2 (en) * 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8196204B2 (en) 2008-05-08 2012-06-05 Lawrence Brent Huston Active computer system defense technology
US8239668B1 (en) * 2009-04-15 2012-08-07 Trend Micro Incorporated Computer security threat data collection and aggregation with user privacy protection
US8626691B2 (en) 2009-12-19 2014-01-07 At&T Intellectual Property I, L.P. Methods, systems, and products for estimating answers to questions
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US9516059B1 (en) * 2011-06-28 2016-12-06 EMC IP Holding Company LLC Using mock tokens to protect against malicious activity
JP4896278B1 (ja) * 2011-06-30 2012-03-14 三菱電機株式会社 Ipアドレス配布システム
US8677495B1 (en) * 2012-05-24 2014-03-18 Trend Micro Incorporated Dynamic trap for detecting malicious applications in computing devices
US9485276B2 (en) 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
US9961096B1 (en) 2013-09-17 2018-05-01 Cisco Technology, Inc. Distributed behavior based anomaly detection
US20160180087A1 (en) * 2014-12-23 2016-06-23 Jonathan L. Edwards Systems and methods for malware detection and remediation
US9553885B2 (en) 2015-06-08 2017-01-24 Illusive Networks Ltd. System and method for creation, deployment and management of augmented attacker map
US10382484B2 (en) 2015-06-08 2019-08-13 Illusive Networks Ltd. Detecting attackers who target containerized clusters
US10257226B2 (en) * 2016-03-24 2019-04-09 802 Secure, Inc. Identifying and trapping wireless based attacks on networks using deceptive network emulation
US10003598B2 (en) 2016-04-15 2018-06-19 Bank Of America Corporation Model framework and system for cyber security services
US9948652B2 (en) 2016-05-16 2018-04-17 Bank Of America Corporation System for resource-centric threat modeling and identifying controls for securing technology resources
US9832201B1 (en) 2016-05-16 2017-11-28 Bank Of America Corporation System for generation and reuse of resource-centric threat modeling templates and identifying controls for securing technology resources
US11824880B2 (en) 2016-10-31 2023-11-21 Armis Security Ltd. Detection of vulnerable wireless networks
US10511620B2 (en) 2016-10-31 2019-12-17 Armis Security Ltd. Detection of vulnerable devices in wireless networks
US10339309B1 (en) 2017-06-09 2019-07-02 Bank Of America Corporation System for identifying anomalies in an information system
US10498758B1 (en) 2017-06-28 2019-12-03 Armis Security Ltd. Network sensor and method thereof for wireless network vulnerability detection
US10505967B1 (en) 2017-06-28 2019-12-10 Armis Security Ltd. Sensor-based wireless network vulnerability detection
US11736497B1 (en) * 2018-03-19 2023-08-22 Bedrock Automation Platforms Inc. Cyber security platform and method
US10333976B1 (en) 2018-07-23 2019-06-25 Illusive Networks Ltd. Open source intelligence deceptions
US10404747B1 (en) 2018-07-24 2019-09-03 Illusive Networks Ltd. Detecting malicious activity by using endemic network hosts as decoys
US10382483B1 (en) 2018-08-02 2019-08-13 Illusive Networks Ltd. User-customized deceptions and their deployment in networks
US10333977B1 (en) 2018-08-23 2019-06-25 Illusive Networks Ltd. Deceiving an attacker who is harvesting credentials
US10432665B1 (en) 2018-09-03 2019-10-01 Illusive Networks Ltd. Creating, managing and deploying deceptions on mobile devices
US11889392B2 (en) 2019-06-14 2024-01-30 The Boeing Company Aircraft network cybersecurity apparatus and methods

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09218837A (ja) * 1996-02-08 1997-08-19 Hitachi Ltd ネットワークセキュリティシステム
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
JPH09307580A (ja) * 1996-05-10 1997-11-28 Nippon Telegr & Teleph Corp <Ntt> 不正パケット防止方法およびブリッジ装置
JPH10107795A (ja) * 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
JPH10271154A (ja) * 1997-03-21 1998-10-09 Nec Eng Ltd 不正アクセス防止方法およびシステム
JP2001514819A (ja) * 1997-03-13 2001-09-11 ノキア テレコミュニカシオンス オサケ ユキチュア テレコミュニケーションシステムのサービスデータを処理するシステム

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6098093A (en) * 1998-03-19 2000-08-01 International Business Machines Corp. Maintaining sessions in a clustered server environment
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
AU3759600A (en) * 1999-03-17 2000-10-04 Charles E. II Moore Internet, intranet and other network communication security systems utilizing entrance and exit keys

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09218837A (ja) * 1996-02-08 1997-08-19 Hitachi Ltd ネットワークセキュリティシステム
JPH09266475A (ja) * 1996-03-28 1997-10-07 Hitachi Ltd アドレス情報管理装置およびネットワークシステム
JPH09307580A (ja) * 1996-05-10 1997-11-28 Nippon Telegr & Teleph Corp <Ntt> 不正パケット防止方法およびブリッジ装置
JPH10107795A (ja) * 1996-09-30 1998-04-24 Hitachi Software Eng Co Ltd ネットワーク管理システム
JP2001514819A (ja) * 1997-03-13 2001-09-11 ノキア テレコミュニカシオンス オサケ ユキチュア テレコミュニケーションシステムのサービスデータを処理するシステム
JPH10271154A (ja) * 1997-03-21 1998-10-09 Nec Eng Ltd 不正アクセス防止方法およびシステム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2005050935A1 (ja) * 2003-11-21 2005-06-02 Mitsubishi Denki Kabushiki Kaisha 侵入検知装置およびその方法
JP2008501296A (ja) * 2004-05-25 2008-01-17 ポスティーニ インク 電子メッセージソース評判情報システム

Also Published As

Publication number Publication date
DE60040092D1 (de) 2008-10-09
WO2001039379A3 (en) 2002-01-31
ATE406727T1 (de) 2008-09-15
EP1244967A4 (en) 2005-08-10
AU1728301A (en) 2001-06-04
IL149594A0 (en) 2004-08-31
WO2001039379A2 (en) 2001-05-31
US6363489B1 (en) 2002-03-26
EP1244967B1 (en) 2008-08-27
EP1244967A2 (en) 2002-10-02
WO2001039379A9 (en) 2002-09-12

Similar Documents

Publication Publication Date Title
JP2003527793A (ja) ネットワークにおける、自動的な侵入検出及び偏向のための方法
US8042182B2 (en) Method and system for network intrusion detection, related network and computer program product
US8931099B2 (en) System, method and program for identifying and preventing malicious intrusions
US20170257339A1 (en) Logical / physical address state lifecycle management
US7725936B2 (en) Host-based network intrusion detection systems
JP4742144B2 (ja) Tcp/ipプロトコル・ベースのネットワーク内への侵入を試行するデバイスを識別する方法およびコンピュータ・プログラム
CN105915532B (zh) 一种失陷主机的识别方法及装置
US20030188190A1 (en) System and method of intrusion detection employing broad-scope monitoring
US20040073800A1 (en) Adaptive intrusion detection system
CN102035793B (zh) 僵尸网络检测方法、装置以及网络安全防护设备
KR20010090014A (ko) 네트워크 보호 시스템
US7596808B1 (en) Zero hop algorithm for network threat identification and mitigation
JP2000261483A (ja) ネットワーク監視システム
KR101045331B1 (ko) 네트워크 기반의 irc 및 http 봇넷 행위 분석 방법
US7469418B1 (en) Deterring network incursion
KR101045330B1 (ko) 네트워크 기반의 http 봇넷 탐지 방법
JP4159814B2 (ja) 双方向型ネットワーク侵入検知システムおよび双方向型侵入検知プログラム
KR101186873B1 (ko) 시그니쳐 기반 무선 침입차단시스템
CN109274638A (zh) 一种攻击源接入自动识别处理的方法和路由器
WO2021181391A1 (en) System and method for finding, tracking, and capturing a cyber-attacker
JP2003186763A (ja) コンピュータシステムへの不正侵入の検知と防止方法
KR101045556B1 (ko) 네트워크 기반의 irc 봇넷 탐지 방법
Xiaobing et al. Detection and protection against network scanning: IEDP
Hashim et al. Computer network intrusion detection software development
IL149594A (en) Method for automatically detecting and removing network intrusion

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070615

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20091120

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091130

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20100223

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20100302

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100326

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100614

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20101110