JP2006509283A - コンピュータ侵入に対応するための方法及びシステム - Google Patents
コンピュータ侵入に対応するための方法及びシステム Download PDFInfo
- Publication number
- JP2006509283A JP2006509283A JP2004556507A JP2004556507A JP2006509283A JP 2006509283 A JP2006509283 A JP 2006509283A JP 2004556507 A JP2004556507 A JP 2004556507A JP 2004556507 A JP2004556507 A JP 2004556507A JP 2006509283 A JP2006509283 A JP 2006509283A
- Authority
- JP
- Japan
- Prior art keywords
- intrusion
- current
- script
- response
- computer
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/30—Authentication, i.e. establishing the identity or authorisation of security principals
- G06F21/31—User authentication
- G06F21/316—User authentication by observing the pattern of computer usage, e.g. typical user behaviour
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/556—Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
Abstract
【課題】検出された侵入に対応する際に、好ましくは自動的又は半自動的に、セキュリティ管理者を支援する方法及びシステムを提供すること。
【解決手段】過去の既知の侵入における侵入パターンを図形表示し、次いで既知の侵入における侵入パターンを現在の侵入と比較することによって、コンピュータへの侵入を管理するための方法及びシステムである。侵入パターンは、侵入の効果若しくは侵入のタイプのシグニチャを与える活動である、侵入イベントに基づくものか、又は侵入によって影響を受けるハードウェア・トポロジーに基づくもののいずれかとすることができる。侵入パターンは、スクリプト応答と共に図形表示され、スクリプト応答は、好ましい実施形態においては、侵入パターンの各々のノードと関連付けられたポップアップ・ウィンドウに提示される。あるいは、侵入に対する応答は、過去の既知の侵入における侵入パターンと現在の侵入の侵入パターンとの共通点の所定の割合に基づいて、自動的に行うことができる。
【解決手段】過去の既知の侵入における侵入パターンを図形表示し、次いで既知の侵入における侵入パターンを現在の侵入と比較することによって、コンピュータへの侵入を管理するための方法及びシステムである。侵入パターンは、侵入の効果若しくは侵入のタイプのシグニチャを与える活動である、侵入イベントに基づくものか、又は侵入によって影響を受けるハードウェア・トポロジーに基づくもののいずれかとすることができる。侵入パターンは、スクリプト応答と共に図形表示され、スクリプト応答は、好ましい実施形態においては、侵入パターンの各々のノードと関連付けられたポップアップ・ウィンドウに提示される。あるいは、侵入に対する応答は、過去の既知の侵入における侵入パターンと現在の侵入の侵入パターンとの共通点の所定の割合に基づいて、自動的に行うことができる。
Description
本発明は、一般に、データ処理の分野に関し、具体的には、侵入の効果の図形表示を用いて悪意のある侵入に対応するための改善されたデータ処理システム及び方法に関する。
最新のエンタープライズ・ネットワークは、典型的にはインターネットを介して遠隔ユーザがアクセスするための手段を含む。このアクセスは、許可されたユーザが、電子商取引、コンテンツの共有、及び他の電子的な活動などを目的としてネットワークと対話することができるように設計される。これらのネットワークは、許可されたユーザが容易にアクセスすることができるように設計されるため、許可されていないユーザ、特に悪意をもってネットワークにアクセスしようとするユーザによってもアクセスされやすい。この悪意は、ユーザによる「侵入」の形で現れる。侵入は、ネットワーク又はネットワーク内のコンピュータに対する悪意のある電子的アクセスと定義される。侵入の例として、ウイルス、無許可のデータ・マイニング(「ファイルのハッキング」と呼ばれることもある)、及び、侵入によってコンピュータ・システムが過負荷になり実際の作業が実施できなくなる分散サービス妨害(DDOS)攻撃が挙げられる。
侵入イベントは、侵入の結果(効果)と定義される。侵入イベントの例は、データ・ファイルが破壊されるか又は違法コピーされること、システム/コンピュータがクラッシュすること、及び、システム/コンピュータの速度が低下することである。
侵入に対抗することは、典型的には、リスク管理ソフトウェアの助けを借りてコンピュータ・システムへの侵入を監視する情報技術の専門家であるセキュリティ管理者の仕事である。侵入及び侵入イベントを検出するための多くの既知の方法が存在するが、侵入に対する応答を管理するのは極めて複雑である。すなわち、イベントの検出はよく知られており、自動的に行うことができるが、管理及び応答アクションは、典型的には、手動で行われる。侵入の複雑な性質のため、セキュリティ管理者が、どんなタイプの侵入が発生しており、適切に対応するにはどうすればよいかを評価するのは困難である。
したがって、検出された侵入に対応する際に、好ましくは自動的又は半自動的に、セキュリティ管理者を支援する方法及びシステムについての必要性が存在する。
本発明は、過去の既知の侵入における侵入パターンを図形表示し、次いで現在の侵入の侵入パターンを過去の侵入と比較することによって、コンピュータへの侵入を管理するための方法及びシステムに向けられる。既知の侵入と現在の侵入とが、一部又はすべてが共通する結果(侵入イベント又は共通する影響を受けたハードウェア)を有する場合には、セキュリティ管理者は、スクリプト応答を実行して、現在の侵入が引き起こした損傷を修復するか、又は少なくとも現在の侵入がそれ以上損傷を引き起こすのを防止することができる。
侵入パターンは、侵入の効果若しくは侵入のタイプについての痕跡を与える活動である、侵入イベントに基づくものか、又は侵入によって影響を受けるハードウェア・トポロジーに基づくもののいずれかである。
侵入パターンは、スクリプト応答を実行することによって対応することができるセキュリティ管理者に図形で示され、スクリプト応答は、好ましい実施形態においては、侵入パターンの各々のノードと関連付けられたポップアップ・ウィンドウに提示される。あるいは、侵入に対する応答は、過去の既知の侵入及び現在の侵入の侵入パターンにおける共通点の所定の割合に基づいて、自動的に行うことができる。
本発明の上記の及び付加的な目的、特徴、及び利点は、以下の詳細な説明において明らかとなるであろう。
本発明の好ましい実施形態が、添付の図面を参照して、例示のみの目的で詳細に説明されることになる。
ここで図を、特に図1を参照すると、本発明の好ましい実施形態に従って、ネットワーク(図示せず)と通信することができるデータ処理システム100が示される。データ処理システム100は、例えば、ニューヨーク州アーモンク所在のInternational Business Mchines Corporationから入手可能なパーソナル・コンピュータ又はサーバの型式の1つとすることができる。データ処理システム100は、単一のプロセッサのみを含むものとするか、又は、複数のプロセッサを含むマルチプロセッサ(MP)システムとすることができる。図示された例では、単一プロセッサ・システムが示される。別個のL2キャッシュを持つか、又はL2キャッシュ108をプロセッサ102と共用する第2のプロセッサ(図示せず)を、図示されたシステムに追加してもよい。プロセッサ102は、内部に別個の1次(L1)命令キャッシュ104及びデータ・キャッシュ106を含むスーパースカラー縮小命令セットコンピューティング(RISC)プロセッサとすることができる。
プロセッサ102は、2次(L2)キャッシュ108に接続される。L2キャッシュ108は、データ処理システム100のシステム・バス110に接続される。システム・メモリ112もシステム・バス110に接続され、入出力(I/O)バス・ブリッジ114も同様である。I/Oバス・ブリッジ114は、I/Oバス118をシステム・バス110に連結し、データ・トランザクションを一方のバスから他方のバスに中継及び/又は変換する。ユーザ・インターフェース情報をディスプレイ124に与えるメモリーマップ・グラフィックス・アダプタ116などの他の装置も、システム・バス110に接続される。
I/Oバス・ブリッジ114はI/Oバス118に接続され、I/Oバス118は、従来型のマウス、トラックボール、キーボード、又は同様の装置とすることができる入力装置126、及び、ハード・ドライブ、コンパクト・ディスク読み取り専用メモリ(CD−ROM)ドライブ、デジタル・ビデオ・ディスク(DVD)ドライブ、又は同様の記憶装置などの不揮発性記憶装置122といった他の様々な装置に接続することができる。
I/Oバス118には、ネットワーク・アダプタ120も接続され、このネットワーク・アダプタは、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、インターネット、又は、データ処理システム100とネットワーク内の他のコンピュータとの通信を可能にする他のネットワークとすることができるネットワークとの論理インターフェースを提供する。
図1に示される例示的な実施形態は、本発明の好ましい実施形態を説明する目的でのみ提供されるものであり、当業者であれば、形態及び機能の両方に関して多くの変更が可能であることを認識するであろう。例えば、データ処理システム100は、サウンド・カード及びオーディオ・スピーカと、他のI/O装置及び通信ポートと、多数の他の構成要素とを含むことができる。
ここで、図2aを参照すると、多くの異なる侵入によって引き起こされる可能性のある侵入イベントが示される。侵入イベントは、侵入によって開始される効果又は活動と定義される。ツリー形式で図示されているが、これらの侵入イベントは、例示された侵入イベントの相互の関連付けを行うことによって最もよく理解される。例えば、侵入Aによって引き起こされる(太線の円で示される)侵入イベントを図示する侵入経路200を考える。例として挙げると「Code Red」などのウイルスの場合がある侵入Aは、多数のホスト202にホスト・コンピュータ206への分散サービス妨害204を生成させる侵入である。侵入Aは、IPネットワーク上で実時間トラフィック分析とパケット・ロギングとを行うことが可能な、例示的な侵入検出システムであるスノート(Snort)208によって検出されるものとして示される。スノート208は、プロトコル分析及びコンテンツ検索/照合を行うことが可能であり、バッファ・オーバーフロー、ステルス・ポート・スキャン、コモン・ゲートウェイ・インターフェース(CGI)攻撃、サーバ・メッセージ・ブロック(SMB)・プローブ、オペレーティング・システム(OS)指紋採取試行などといった様々な攻撃及びプローブを検出するのに用いることができる
侵入Aは、侵入検出システム(IDS)210からの応答をトリガすることもあり、侵入検出システムは、インバウンド及びアウトバウンドのすべてのネットワーク活動を検査し、システムに割り込むか又はシステムを脅かそうとする者によるネットワーク又はシステム攻撃を示す不審なパターンを特定する。IDS210は、システム全体によって特定され、システム全体に影響を与える侵入イベント214の一類型の、本例では侵入Aであるネットワーク・イベント212を検出した。
侵入経路200によって示されるように、侵入Aは、コンピュータ・システムの他の部分にも影響を与えることに留意されたい。すなわち、侵入Aはまた、システム・レベル218においてメモリ・イベント220と許可イベント222の両方に影響を与えるホスト・イベント216を生成する。さらに、侵入Aは、周辺イベント224を生成し、これは、スキャン・イベント228として、かつ、データの不良パケット230を有するものとして、ファイアーウォール226によって検出される。不良パケット230は、図示されるように、通信制御プロトコル(TCP)不正形式プロトコル・パケット232である。
このように、黒くした太い境界線を有する侵入経路200によって示されるパターンは、侵入Aについての固有シグニチャ侵入パターンである。ここで図2bを参照すると、現在の未知の侵入の侵入イベントに基づく侵入経路201が示されている。現在の侵入の原因は、当初は不明である。しかしながら、侵入パターンが図2aの侵入Aのパターンと同一であるため、侵入されたコンピュータ・ネットワーク又はコンピュータのセキュリティ管理者は、現在の侵入が侵入Aと同じであるか、又は少なくとも侵入Aと同じように振る舞うものと認識することができる。
本発明の好ましい実施形態においては、サービス妨害イベント204と関連付けられたスクリプト応答204aのように、スクリプト応答が各々のノードに関連付けられる。スクリプト応答は、侵入イベントを処理するための事前に書かれたコードである。例えば、スクリプト応答204aは、コンピュータ・システムを過負荷状態にしている侵入を隔離し、次いでその侵入を無効にするように設計されたプログラムとすることができる。スクリプト応答は、各々のイベント記述ノードと関連付けて図示されており、マウス又は同様のポインティング装置によりクリックするだけでスクリプト応答を開始する、ポップアップ・ウィンドウのようなアクティブ・ウィンドウ内にあることが好ましい。スクリプト応答は単一の項目として図示されているが、代替的な好ましい実施形態においては、多数の推奨スクリプト応答のリストが、侵入経路201のノードの1つ又はすべてにおいて図示され、アクティブにされる。多数のスクリプト応答は、それらのうちの1つが最上位にランクされるような、当該スクリプト応答を用いた成功の履歴、侵入の危険度、又は、侵入を評価するためのリスク管理プログラムを開発するときにセキュリティ管理者によって決定された他の因子に基づくランキングと共に、図示されることが好ましい。例えば、リスク管理プログラムは、隔離することによってコンピュータ・システムの影響を受けていない部分が停止したとしても、ミッション・クリティカルなデータを攻撃するあらゆる侵入を確実に隔離しなければならない旨を決定することができる。このような場合には、最上位の推奨応答は、コンピュータ・システムの多くの領域を停止させるためのものであり、最上位の応答として推奨されることになる。
侵入に対する対応の仕方に関する情報をセキュリティ管理者に提供するためには、侵入経路が同一である必要はないことに留意されたい。すなわち、既知の侵入と未知の侵入とが、それらの侵入経路に一定の共通点を有する場合には、セキュリティ管理者は、現在の未知の侵入による悪影響の、すべてではないが大部分を修復することになる応答を開始することができる。
本発明の一実施形態においては、各々のスクリプト応答は、侵入経路201の各々のノードについて、セキュリティ管理者が手動で選択する。あるいは、図3のフロー・チャートで説明されるように、すべてのノードについて最上位の推奨応答を侵入に応答して自動的に開始するように、設定を選択することができる。ブロック302に記載されるように、現在の侵入は、好ましくは侵入の特性に従って侵入を検出することができるリスク・マネージャによって、検出される。こうした特性には、悪意のあるヘッダー情報又は他の受信データの既知のパケット、ネットワーク内のすべてのコンピュータでインターネット・プロトコル(IP)アドレスをスキャンするというような、侵入のコンピュータ・システム特性に関してソフトウェア又はハードウェアがとるアクション、突然のコンピュータ性能低下又はCPUの使用、及び、同様のイベント又は条件が含まれる。ブロック304に記載されるように、現在の侵入の侵入イベントは、既知の侵入の侵入イベントと比較される。クエリ・ブロック306に示されるように、現在の未知の侵入とこれまでの既知の侵入の両方で所定の割合の共通イベント・ノードが見出されるかどうかに関して、判断が行われる。すなわち、既知の侵入の侵入経路と現在の侵入の侵入経路とが比較される。過去の既知の侵入と現在の未知の侵入とが多数の共通イベント・ノードを有する場合には、ブロック310に記載されるように、すべてのノードについてのスクリプト応答が自動的に実行される。既知の侵入と未知の侵入との間に十分な共通イベント・ノードが存在しない場合には、セキュリティ管理者は、各々のイベント・ノードについてのスクリプト応答を手動で選択するように指示される。
すべてのスクリプト応答を自動的に実行するという決定は、侵入を分類して自動応答をアクティブにすべきかどうかを判断するコンピュータ・システム上のリスク管理プログラムが行うこともできる。例えば、リスク管理プログラムは、現在の侵入が既知の分類型のものであるか、又はシステム全体をクラッシュさせる可能性があると知られている重大度のものであると判断した場合には、自動スクリプト応答を開始することができる。好ましい実施形態においては、侵入の重大度は、スクリプト応答の結果の重大度と関連付けられる。すなわち、重大な侵入は、システムの一部を強制的に停止させるといった重大な影響をシステムに及ぼす場合があるスクリプト応答と関連付けられるが、侵入の重大度、及び侵入によって生じることがある潜在的な損害によって、この重大な影響を正当化することができる。
同じように、セキュリティ管理者が対応するまでの予想応答時間が非常に長くなりそうなため、セキュリティ管理者が対応する前にシステムに深刻な損傷が生じることを理解するようにリスク管理プログラムが設計されている場合には、自動スクリプト応答を開始することができる。同様に、特定の侵入経路が、特定のスクリプト応答を何回も(又は、一度だけ)実行させた履歴をもつものである場合には、リスク管理プログラムは、この履歴に基づいてスクリプト応答の実行を自動的に開始することができる。
共通イベント・パターンに加えて、図2a及び図2bに示されるように、侵入は、ハードウェア・トポロジーのどのハードウェアが影響を受けたかに関するシグニチャをも有する。ここで図4aを参照すると、侵入によって影響を受ける場合があるハードウェアが示されている。図において太い境界線のボックスで識別される侵入経路400は、上の図2aで説明された侵入Aの影響を受けるコンピュータ・システムのハードウェア・トポロジーを特定した。このように、侵入Aは、内部のローカル・エリア・ネットワーク(LAN)A404の影響を受けるエンタープライズ・コンピュータ・システムのイントラネット402に異常を引き起こす。LAN A404の内部では、サーバ406、パーソナル・コンピュータ(PC)408、及び侵入検出システム(IDS)ハードウェア410が影響を受ける。サーバ406の内部ではウェブ・サーバ416が影響を受け、そのポータルB418も、侵入Aの影響を受ける。同じように、ウィンドウズ(商標)ベースのオペレーティング・システムが作動するすべてのPCが影響を受け、ウィンドウズ(商標)ベース414PCとして示される。同様に、スノート対応ハードウェア412が作動するIDSハードウェア410は、侵入Aが検出されたというイベントを登録する。このように、ハードウェアは、上の図2a及び図2bで説明された侵入イベントの侵入パターンと類似した形で、シグニチャ侵入パターンを示す。
ここで、図4bを参照すると、ハードウェア・トポロジー侵入経路401は、侵入Aによって引き起こされた侵入パターンを示す。現在の未知の侵入が、ハードウェア・トポロジー侵入経路401によって示されるものと同一又は類似のパターンを持った状態で発生したときは、セキュリティ管理者は、上述の侵入イベントの侵入パターンについての説明と同様に対応する。このように、ハードウェア・トポロジー侵入経路401の各々のイベント・ノードは、図2a及び図2bの説明に際して上述したものと類似のスクリプト応答を含む、関連付けされたアクティブ・ウィンドウを含む。侵入イベントについてのスクリプト応答と同様に、ハードウェア・トポロジー侵入経路401に記載されるスクリプト応答は、図示されるような単一のものとするか、又は推奨スクリプト応答のリストとすることができ、このリストは、最上位のスクリプト応答が支持されるようにスコアを付けることが好ましい。スクリプト応答は、侵入イベントの侵入経路について上述したものと類似した形で、手動又は自動で開始することができる。
図2a及び図2bを用いて上述され、図示された侵入イベントの図形表示と同様に、侵入に対する対応の仕方に関する情報をセキュリティ管理者に提供するためには、既知の侵入の侵入経路と未知の侵入の侵入経路とが同一である必要はない。すなわち、既知の侵入と未知の侵入とが、それらの侵入経路に一定の共通点を有する場合には、セキュリティ管理者は、現在の未知の侵入による悪影響の、すべてではないが大部分を修復することになる応答を開始することができる。
侵入に対するスクリプト応答は、通知に応答して、セキュリティ管理者が局所的に又は遠隔的に開始することができる。例えば、セキュリティ管理者は、侵入イベントを該セキュリティ管理者に知らせる携帯電話又は携帯情報端末(PDA)で通知を受け取ることができる。次いで、セキュリティ管理者は、PDAの対話ウィンドウをクリックすることによって、スクリプト応答の一部又はすべてを電子的にアクティブにすることができ、その結果、その入力がコンピュータ・システムのリスク管理プログラムによって認識され、要求されたスクリプト応答が開始される。
上述の好ましい実施形態は、コンピュータ・システムのリスク管理プログラムにとって既知の場合も未知の場合もある現在の侵入と比較するために、既知の侵入の侵入パターンを生成し、図形表示する方法及び手段を与えるものである。現在の侵入が、図形表示されたそのシグニチャ侵入経路に従って特定された後で、侵入に対応し、侵入を制御するために、スクリプト応答が開始される。スクリプト応答は、既知の侵入についての履歴データに基づくものとすることができる。既知の侵入と現在の侵入とは、同一であるか又は異なる場合があり、推奨スクリプト応答は、現在の侵入によって影響を受ける侵入経路のイベント・ノード又ハードウェア・ノードの幾つか又はすべてに関連して、図形的に提示される。スクリプト応答は、侵入経路のイベント/ハードウェア・ノードの各々について単一の選択肢とするか、又はランク付けされた推奨スクリプト応答のリストから選択することができる。
好ましい実施形態の機能を定めるプログラムを、様々な信号担持媒体を介してデータ記憶システム又はコンピュータ・システムに送達することができ、これらの信号担持媒体として、書き込み不可能な記憶媒体(例えば、CD−ROM)、書き込み可能な記憶媒体(例えば、フレキシブル・ディスク、ハード・ディスク・ドライブ、読み取り/書き込みCD−ROM、光媒体)、及び、イーサネット(商標)を含むコンピュータ及び電話ネットワークといった通信媒体を挙げることができるが、これらに限定されるものではない。こうした信号担持媒体は、本発明の方法機能を命令するコンピュータ読み取り可能命令を伝達又はエンコードするときは、本発明の代替的な実施形態になる。
Claims (10)
- コンピュータへの侵入を管理するための方法であって、
既知の侵入の侵入パターンを、侵入経路のノードにおけるスクリプト応答を含めて図形表示し、
コンピュータの現在の侵入を、前記既知の侵入及び前記現在の侵入の侵入経路における少なくとも1つの共通の特徴に従って、前記既知の侵入の図形表示と照合し、
前記既知の侵入と前記現在の侵入との照合に応じて、前記現在の侵入に対応することが可能なスクリプト応答を開始する、
方法。 - 前記侵入パターンは侵入イベントに基づくものである、請求項1に記載の方法。
- 前記侵入パターンは、前記既知の侵入によって影響を受けるハードウェア・トポロジーに基づくものである、請求項1に記載の方法。
- 前記現在の侵入についての前記スクリプト応答は、前記既知の侵入についての履歴データに基づくものである、請求項1に記載の方法。
- 前記スクリプト応答を手動で開始するための予想応答時間と、
前記スクリプト応答の重大度レベルに該当する、前記現在の侵入の重大度と、
前記現在の侵入の分類型と、
のうちの1つに従って請求項1に記載の方法を自動的に実行する、請求項1に記載の方法。 - コンピュータへの侵入を管理するためのシステムであって、
既知の侵入の侵入パターンを、侵入経路のノードにおけるスクリプト応答を含めて図形表示するための手段と、
コンピュータの現在の侵入を、前記既知の侵入及び前記現在の侵入の侵入経路における少なくとも1つの共通の特徴に従って、前記既知の侵入の図形表示と照合するための手段と、
前記既知の侵入と前記現在の侵入との照合に従って、前記現在の侵入についてのスクリプト応答を開始するための手段と、
を含むシステム。 - 前記侵入パターンは、前記既知の侵入によって影響を受けるハードウェア・トポロジーに基づくものである、請求項6に記載のシステム。
- 前記現在の侵入についてのスクリプト応答は、前記既知の侵入についての履歴データに基づくものである、請求項6に記載のシステム。
- 前記スクリプト応答を手動で開始するための予想応答時間と、
前記スクリプト応答の重大度レベルに該当する、前記現在の侵入の重大度と、
前記現在の侵入の分類型と、
のうちの1つに従って請求項1に記載の方法を自動的に実施するための手段をさらに含む、請求項6に記載のシステム。 - コンピュータへの侵入を管理するためのコンピュータ使用可能媒体であって、
既知の侵入の侵入パターンを、侵入経路のノードにおけるスクリプト応答を含めて図形表示するためのコンピュータ・プログラム・コードと、
コンピュータの現在の侵入を、前記既知の侵入及び前記現在の侵入の侵入経路における少なくとも1つの共通の特徴に従って、前記既知の侵入の図形表示と照合するためのコンピュータ・プログラム・コードと、
前記既知の侵入と前記現在の侵入との照合に従って、前記現在の侵入についてのスクリプト応答を開始するためのコンピュータ・プログラム・コードと、
を含むコンピュータ使用可能媒体。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/313,732 US7941854B2 (en) | 2002-12-05 | 2002-12-05 | Method and system for responding to a computer intrusion |
| PCT/GB2003/005219 WO2004051441A2 (en) | 2002-12-05 | 2003-11-28 | Method, system and computer software product for responding to a computer intrusion |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006509283A true JP2006509283A (ja) | 2006-03-16 |
| JP4283228B2 JP4283228B2 (ja) | 2009-06-24 |
Family
ID=32468329
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004556507A Expired - Fee Related JP4283228B2 (ja) | 2002-12-05 | 2003-11-28 | コンピュータ侵入に対応するための方法及びシステム |
Country Status (10)
| Country | Link |
|---|---|
| US (1) | US7941854B2 (ja) |
| EP (1) | EP1567926B1 (ja) |
| JP (1) | JP4283228B2 (ja) |
| KR (1) | KR100734732B1 (ja) |
| CN (1) | CN100518174C (ja) |
| AT (1) | ATE341024T1 (ja) |
| AU (1) | AU2003285563A1 (ja) |
| DE (1) | DE60308722T2 (ja) |
| TW (1) | TWI234707B (ja) |
| WO (1) | WO2004051441A2 (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152769A (ja) * | 2006-11-28 | 2008-07-03 | Avaya Technology Llc | 自動セキュリティ・プラットフォーム |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7941854B2 (en) | 2002-12-05 | 2011-05-10 | International Business Machines Corporation | Method and system for responding to a computer intrusion |
| US7483972B2 (en) * | 2003-01-08 | 2009-01-27 | Cisco Technology, Inc. | Network security monitoring system |
| US8201249B2 (en) * | 2003-05-14 | 2012-06-12 | Northrop Grumman Systems Corporation | Steady state computer intrusion and misuse detection |
| US6985920B2 (en) * | 2003-06-23 | 2006-01-10 | Protego Networks Inc. | Method and system for determining intra-session event correlation across network address translation devices |
| US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
| US7644365B2 (en) * | 2003-09-12 | 2010-01-05 | Cisco Technology, Inc. | Method and system for displaying network security incidents |
| US8347375B2 (en) * | 2003-10-03 | 2013-01-01 | Enterasys Networks, Inc. | System and method for dynamic distribution of intrusion signatures |
| US20050076236A1 (en) * | 2003-10-03 | 2005-04-07 | Bryan Stephenson | Method and system for responding to network intrusions |
| US8839417B1 (en) | 2003-11-17 | 2014-09-16 | Mcafee, Inc. | Device, system and method for defending a computer network |
| US20050198530A1 (en) * | 2003-12-12 | 2005-09-08 | Chess David M. | Methods and apparatus for adaptive server reprovisioning under security assault |
| US7225468B2 (en) * | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
| US8850565B2 (en) * | 2005-01-10 | 2014-09-30 | Hewlett-Packard Development Company, L.P. | System and method for coordinating network incident response activities |
| US7882262B2 (en) | 2005-08-18 | 2011-02-01 | Cisco Technology, Inc. | Method and system for inline top N query computation |
| US20070195776A1 (en) * | 2006-02-23 | 2007-08-23 | Zheng Danyang R | System and method for channeling network traffic |
| US8233388B2 (en) | 2006-05-30 | 2012-07-31 | Cisco Technology, Inc. | System and method for controlling and tracking network content flow |
| CN101286850B (zh) * | 2007-04-10 | 2010-12-15 | 深圳职业技术学院 | 路由器安全防御装置及防御系统和方法 |
| US9843596B1 (en) * | 2007-11-02 | 2017-12-12 | ThetaRay Ltd. | Anomaly detection in dynamically evolving data and systems |
| US8732829B2 (en) * | 2008-04-14 | 2014-05-20 | Tdi Technologies, Inc. | System and method for monitoring and securing a baseboard management controller |
| KR101190559B1 (ko) | 2010-12-24 | 2012-10-16 | 한국인터넷진흥원 | 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법 |
| CN104348795B (zh) * | 2013-07-30 | 2019-09-20 | 深圳市腾讯计算机系统有限公司 | 通用网关接口业务入侵防护的方法及装置 |
| US11165812B2 (en) | 2014-12-03 | 2021-11-02 | Splunk Inc. | Containment of security threats within a computing environment |
| US20160180078A1 (en) * | 2014-12-23 | 2016-06-23 | Jasmeet Chhabra | Technologies for enhanced user authentication using advanced sensor monitoring |
| US10552615B2 (en) | 2016-02-18 | 2020-02-04 | Swimlane Llc | Threat response systems and methods |
| CA3079913A1 (en) * | 2017-11-06 | 2019-05-09 | Cyber Defence Qcd Corporation | Methods and systems for monitoring cyber-events |
| KR102062718B1 (ko) * | 2019-07-29 | 2020-01-07 | 주식회사 에프원시큐리티 | 패킷 가상화를 이용한 IoT 허니넷 시스템 |
| FR3104776B1 (fr) | 2019-12-17 | 2023-07-07 | Commissariat Energie Atomique | Procédé de détermination d’une réaction en réponse à une anomalie dans un réseau informatique |
| AT523933B1 (de) * | 2020-11-18 | 2022-01-15 | Ait Austrian Inst Tech Gmbh | Verfahren zur Klassifizierung von anomalen Betriebszuständen eines Computernetzwerks |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024831A (ja) * | 2000-07-10 | 2002-01-25 | Casio Comput Co Ltd | 指紋認証装置及び指紋認証システム |
| JP2002342276A (ja) * | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
Family Cites Families (36)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5542024A (en) * | 1992-07-09 | 1996-07-30 | Johnson & Johnson | Graphically used expert system tool background of the invention |
| JP2501771B2 (ja) * | 1993-01-19 | 1996-05-29 | インターナショナル・ビジネス・マシーンズ・コーポレイション | 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置 |
| JPH06282527A (ja) | 1993-03-29 | 1994-10-07 | Hitachi Software Eng Co Ltd | ネットワーク管理システム |
| US5546507A (en) * | 1993-08-20 | 1996-08-13 | Unisys Corporation | Apparatus and method for generating a knowledge base |
| US5414833A (en) * | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
| US5557742A (en) * | 1994-03-07 | 1996-09-17 | Haystack Labs, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
| US6144961A (en) * | 1995-08-31 | 2000-11-07 | Compuware Corporation | Method and system for non-intrusive measurement of transaction response times on a network |
| US6178509B1 (en) * | 1996-06-13 | 2001-01-23 | Intel Corporation | Tamper resistant methods and apparatus |
| US5892903A (en) * | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
| US6119236A (en) * | 1996-10-07 | 2000-09-12 | Shipley; Peter M. | Intelligent network security device and method |
| US6802028B1 (en) * | 1996-11-11 | 2004-10-05 | Powerquest Corporation | Computer virus detection and removal |
| US5850516A (en) * | 1996-12-23 | 1998-12-15 | Schneier; Bruce | Method and apparatus for analyzing information systems using stored tree database structures |
| US6618074B1 (en) * | 1997-08-01 | 2003-09-09 | Wells Fargo Alarm Systems, Inc. | Central alarm computer for video security system |
| US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
| US6347374B1 (en) * | 1998-06-05 | 2002-02-12 | Intrusion.Com, Inc. | Event detection |
| WO2000019324A1 (en) * | 1998-09-28 | 2000-04-06 | Argus Systems Group, Inc. | Trusted compartmentalized computer operating system |
| US6321338B1 (en) * | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
| US6609205B1 (en) * | 1999-03-18 | 2003-08-19 | Cisco Technology, Inc. | Network intrusion detection signature analysis using decision graphs |
| US6681331B1 (en) * | 1999-05-11 | 2004-01-20 | Cylant, Inc. | Dynamic software system intrusion detection |
| US7020697B1 (en) * | 1999-10-01 | 2006-03-28 | Accenture Llp | Architectures for netcentric computing systems |
| US6678734B1 (en) * | 1999-11-13 | 2004-01-13 | Ssh Communications Security Ltd. | Method for intercepting network packets in a computing device |
| US6775657B1 (en) * | 1999-12-22 | 2004-08-10 | Cisco Technology, Inc. | Multilayered intrusion detection system and method |
| US6535227B1 (en) * | 2000-02-08 | 2003-03-18 | Harris Corporation | System and method for assessing the security posture of a network and having a graphical user interface |
| US7089428B2 (en) * | 2000-04-28 | 2006-08-08 | Internet Security Systems, Inc. | Method and system for managing computer security information |
| US20030159070A1 (en) * | 2001-05-28 | 2003-08-21 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| US7007301B2 (en) * | 2000-06-12 | 2006-02-28 | Hewlett-Packard Development Company, L.P. | Computer architecture for an intrusion detection system |
| US7093239B1 (en) * | 2000-07-14 | 2006-08-15 | Internet Security Systems, Inc. | Computer immune system and method for detecting unwanted code in a computer system |
| WO2002023808A2 (en) | 2000-09-15 | 2002-03-21 | Cymtec Systems, Inc. | Network management system |
| US20020161929A1 (en) * | 2001-04-30 | 2002-10-31 | Longerbeam Donald A. | Method and apparatus for routing data through a computer network |
| US6931552B2 (en) * | 2001-05-02 | 2005-08-16 | James B. Pritchard | Apparatus and method for protecting a computer system against computer viruses and unauthorized access |
| US7624444B2 (en) * | 2001-06-13 | 2009-11-24 | Mcafee, Inc. | Method and apparatus for detecting intrusions on a computer system |
| US6907430B2 (en) * | 2001-10-04 | 2005-06-14 | Booz-Allen Hamilton, Inc. | Method and system for assessing attacks on computer networks using Bayesian networks |
| US6801940B1 (en) * | 2002-01-10 | 2004-10-05 | Networks Associates Technology, Inc. | Application performance monitoring expert |
| US20030208616A1 (en) * | 2002-05-01 | 2003-11-06 | Blade Software, Inc. | System and method for testing computer network access and traffic control systems |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US7941854B2 (en) | 2002-12-05 | 2011-05-10 | International Business Machines Corporation | Method and system for responding to a computer intrusion |
-
2002
- 2002-12-05 US US10/313,732 patent/US7941854B2/en not_active Expired - Fee Related
-
2003
- 2003-11-28 CN CNB2003801007455A patent/CN100518174C/zh not_active Expired - Fee Related
- 2003-11-28 KR KR1020057008221A patent/KR100734732B1/ko not_active IP Right Cessation
- 2003-11-28 AT AT03778561T patent/ATE341024T1/de not_active IP Right Cessation
- 2003-11-28 JP JP2004556507A patent/JP4283228B2/ja not_active Expired - Fee Related
- 2003-11-28 DE DE60308722T patent/DE60308722T2/de not_active Expired - Lifetime
- 2003-11-28 EP EP03778561A patent/EP1567926B1/en not_active Expired - Lifetime
- 2003-11-28 AU AU2003285563A patent/AU2003285563A1/en not_active Abandoned
- 2003-11-28 WO PCT/GB2003/005219 patent/WO2004051441A2/en active IP Right Grant
- 2003-12-02 TW TW092133851A patent/TWI234707B/zh not_active IP Right Cessation
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2002024831A (ja) * | 2000-07-10 | 2002-01-25 | Casio Comput Co Ltd | 指紋認証装置及び指紋認証システム |
| JP2002342276A (ja) * | 2001-05-17 | 2002-11-29 | Ntt Data Corp | ネットワーク侵入検知システムおよびその方法 |
Non-Patent Citations (2)
| Title |
|---|
| 安藤 類央、外1名: "ニューラルネットワークを用いた学習型NIDSの開発", 情報処理学会研究報告, vol. 第2002巻,第12号, JPN6008050894, 15 February 2002 (2002-02-15), pages 145 - 150, ISSN: 0001150745 * |
| 帆場 英次、外1名: "セキュリティ対策講座(2) セキュリティ技術を学ぶルータセキュリティ実践講座 第11回 IDSを使っ", N+I NETWORK GUIDE, vol. 第2巻,第9号, JPN6008050891, 1 September 2002 (2002-09-01), pages 84 - 87, ISSN: 0001150744 * |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008152769A (ja) * | 2006-11-28 | 2008-07-03 | Avaya Technology Llc | 自動セキュリティ・プラットフォーム |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4283228B2 (ja) | 2009-06-24 |
| US20040111637A1 (en) | 2004-06-10 |
| EP1567926A2 (en) | 2005-08-31 |
| CN1695365A (zh) | 2005-11-09 |
| AU2003285563A8 (en) | 2004-06-23 |
| DE60308722T2 (de) | 2007-08-16 |
| TWI234707B (en) | 2005-06-21 |
| WO2004051441A3 (en) | 2004-08-26 |
| KR100734732B1 (ko) | 2007-07-04 |
| DE60308722D1 (de) | 2006-11-09 |
| CN100518174C (zh) | 2009-07-22 |
| WO2004051441A2 (en) | 2004-06-17 |
| AU2003285563A1 (en) | 2004-06-23 |
| US7941854B2 (en) | 2011-05-10 |
| TW200424845A (en) | 2004-11-16 |
| EP1567926B1 (en) | 2006-09-27 |
| KR20050086445A (ko) | 2005-08-30 |
| ATE341024T1 (de) | 2006-10-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4283228B2 (ja) | コンピュータ侵入に対応するための方法及びシステム | |
| US10282548B1 (en) | Method for detecting malware within network content | |
| US10587647B1 (en) | Technique for malware detection capability comparison of network security devices | |
| US11153341B1 (en) | System and method for detecting malicious network content using virtual environment components | |
| US7845007B1 (en) | Method and system for intrusion detection in a computer network | |
| US9021595B2 (en) | Asset risk analysis | |
| US11374964B1 (en) | Preventing lateral propagation of ransomware using a security appliance that dynamically inserts a DHCP server/relay and a default gateway with point-to-point links between endpoints | |
| US20050278178A1 (en) | System and method for intrusion decision-making in autonomic computing environments | |
| CN113660224B (zh) | 基于网络漏洞扫描的态势感知防御方法、装置及系统 | |
| KR20070065306A (ko) | 엔드 유저 위험 관리 | |
| US8392998B1 (en) | Uniquely identifying attacked assets | |
| US20210409446A1 (en) | Leveraging network security scanning to obtain enhanced information regarding an attack chain involving a decoy file | |
| Sequeira | Intrusion prevention systems: security's silver bullet? | |
| US9069964B2 (en) | Identification of malicious activities through non-logged-in host usage | |
| US7856573B2 (en) | WPAR halted attack introspection stack execution detection | |
| KR100241361B1 (ko) | 감사 자료의 실시간 분석기 및 분석방법 | |
| WO2020255185A1 (ja) | 攻撃グラフ加工装置、方法およびプログラム | |
| US20200382552A1 (en) | Replayable hacktraps for intruder capture with reduced impact on false positives | |
| TWI764618B (zh) | 網路資安威脅防護系統及相關的前攝性可疑網域示警系統 | |
| US20230316192A1 (en) | Systems and methods for generating risk scores based on actual loss events | |
| WO2023192215A1 (en) | Systems and methods for generating risk scores based on actual loss events | |
| TauficEffandi et al. | NETWORK INTRUSION DETECTION SYSTEM |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060323 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20081007 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20081020 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20081020 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081218 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090303 |
|
| RD14 | Notification of resignation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7434 Effective date: 20090303 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090318 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120327 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120327 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130327 Year of fee payment: 4 |
|
| LAPS | Cancellation because of no payment of annual fees |