JP2009516266A - ネットワーク発見情報を用いた侵入イベント相関方法およびシステム - Google Patents
ネットワーク発見情報を用いた侵入イベント相関方法およびシステム Download PDFInfo
- Publication number
- JP2009516266A JP2009516266A JP2008540218A JP2008540218A JP2009516266A JP 2009516266 A JP2009516266 A JP 2009516266A JP 2008540218 A JP2008540218 A JP 2008540218A JP 2008540218 A JP2008540218 A JP 2008540218A JP 2009516266 A JP2009516266 A JP 2009516266A
- Authority
- JP
- Japan
- Prior art keywords
- network
- information
- event
- policy
- intrusion
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ポリシーコンポーネントは、ポリシー構成情報からなる。ポリシー構成情報は、一または複数の規則を含む。各々の規則とそのグループは、応答動作のセット(25)に関連付けできる。監視したネットワーク(40)上のノードが変更されるか、または侵入イベントがネットワーク上において導入されると、ネットワーク変更イベントまたは侵入イベント(22)が生成される。ポリシーコンポーネントは、ネットワーク変更イベントまたは侵入イベントのいずれか1つをネットワークマップ(15)情報に相関付ける。ネットワークマップ(15)は、ネットワークトポロジ、サービスおよびネットワーク装置の情報を含む。特定の条件が相関に基づき満たされる場合、ポリシー違反イベントが、アラート(35)または修復(30)をもたらすシステムによって発行可能である。
Description
本発明の実施形態は、コンピュータネットワークの特性を判定するためのシステムと方法に関する。特に、本発明の実施形態は、自動的且つ受動的にコンピュータネットワークのホスト構成を判定することに関する。
コンピュータとこのようなコンピュータに接続するコンピュータネットワークは、現代社会において極めて重要な構成要素である。残念ながら、このようなコンピュータネットワークは、内部と外部の敵意あるソースから攻撃を受易い。このような攻撃を防ぐために侵入検出システム(IDS)が使用される。従来の侵入検出システムは、トラフィックに関してネットワークトラフィックを分析することによって機能する。しかし、侵入検出システムは、ネットワークトラフィックのエンドポイントを認識しない。エンドポイントとは、発信元と受信者のメッセージトラフィックのことである。たとえばこのようなエンドポイントとしては、クライアントやサーバが挙げられる。エンドポイントを分析することによって、ホストアドレスやサービスなどネットワークに関してコンテキスト情報が分かる。これらのエンドポイントを考慮に入れないと、ネットワークに関してコンテキスト情報の極めて重要な部分が失われる。この結果、コンピュータネットワークトラフィックのエンドポイントに関する情報を提供する技術がとても必要である。
侵入検出システムは、監視しているコンピュータネットワークに関してコンテキスト情報を持たないため、実際よりも効果が小さい。たとえばコンテキスト情報がなければ、侵入検出システムは、検出回避として知られるコンピュータネットワーク攻撃を受け易い。コンテキスト情報の欠如は、侵入検出システム(IDS)を更に攻撃され易くするだけでなく、侵入検出システムの効率も低下させる。このような1つの非効率として、コンテキスト情報がなければ、侵入検出システムは攻撃が害を及ぼすか否か見分けできない。攻撃は、ターゲットホスト上において実行される特定のサービスに向けられることができる。ターゲットホストにおいて実行されるサービスに関する情報なしに、侵入検出システムは、狙われているサービスをホストが実行していなくても攻撃を誤って検出することがある。つまり侵入検出システムは、攻撃が無害であっても警告を発行する。このようなイベントは、誤検出と呼ばれる。多数の誤検出は、ネットワーク上のホストを害する本当の攻撃を見つけることを一層困難にし、高コストにする。
コンテキスト情報を侵入検出システムに提供する従来の技術が幾つか知られている。このような技術の1つは、人が手動で各々のホストを監視して、すべての希望するコンテキスト情報を収集するものである。この手動方式は、時間が掛かる、エラーが生じ易い、メンテナンスが困難であるなどの短所が数多くある。これらの欠点の1つの理由は、現実的にネットワークが動的であるということである。コンピュータネットワークのホストコンピュータは、追加されたり、取外されたり、再構成されたりする。これらの修正が細部に至るまで正確に記載されていなければ、コンテキスト情報が最新のものであるか確認するためにネットワーク上の各々のコンピュータを定期的に巡回しなければならない。
コンテキスト情報を侵入検出システムに提供する別の従来の方式は、自動発見システムである。従来の自動発見システムは、アクティブスキャンシステムであり、コンピュータネットワーク上のエンドホストをアクティブに調査し、エンドホストにおいて刺激応答テストを実施して、エンドホストに存在する脆弱性を見つけ出して記録する。手動ではないが、スキャンシステムは様々な問題を抱える。1つの問題は、アクティブスキャンがネットワークに対して有害であるということである。脆弱性のテストにおいて、スキャンシス
テムによってルータとサーバの両方が誤動作を引き起こしたり、機能を停止したりすることがある。別の問題は、多くの例において、アクティブスキャナが提供する情報と、侵入検出システムが使用できる情報との間に1対1のマッピングが存在しないため、スキャンシステムが有益な情報を侵入検出システムに提供できないことである。別の問題は、スキャンが実施されるときにアクティブスキャナだけがネットワークのスナップショットを提供することにある。ホストは、脆弱なサービスを一時的に実行可能であるため、このスナップショットには問題がある。このような場合、脆弱なサービスを実行していないときにアクティブスキャンを実行する場合もある。この結果、脆弱性の一時的性質にも拘わらず、アクティブスキャンはアラームを発行しない。
テムによってルータとサーバの両方が誤動作を引き起こしたり、機能を停止したりすることがある。別の問題は、多くの例において、アクティブスキャナが提供する情報と、侵入検出システムが使用できる情報との間に1対1のマッピングが存在しないため、スキャンシステムが有益な情報を侵入検出システムに提供できないことである。別の問題は、スキャンが実施されるときにアクティブスキャナだけがネットワークのスナップショットを提供することにある。ホストは、脆弱なサービスを一時的に実行可能であるため、このスナップショットには問題がある。このような場合、脆弱なサービスを実行していないときにアクティブスキャンを実行する場合もある。この結果、脆弱性の一時的性質にも拘わらず、アクティブスキャンはアラームを発行しない。
自動的且つ受動的にホストの構成を判定する利点がある一方で、受動的に判定したマップに役立つ情報が組込まれていない場合が存在することもある。前述を鑑みると、コンピュータネットワークの自動的且つ受動的に判定したホスト構成を修正するためのユーザインタフェースを効率的に提供できるシステムと方法の必要性が実質的にあることを十分理解できる。
本発明の実施形態は、たとえばポリシーコンポーネントによってネットワークマップに記憶されたネットワーク特性を用いて、侵入検出システムイベントのようなイベントに相互に関連付けることによって誤検出を最小限にする。この方法において、ポリシーコンポーネントにおける誤検出を低減できる。
本発明の一実施形態は、ポリシー構成情報が一または複数の規則からなるポリシーコンポーネントにおけるポリシー構成情報の使用を含むネットワークの特性を自動的且つ受動的に判定する方法を含む。イベントは、ネットワーク上において識別される。このイベントとの関連付けは、IPアドレスまたはMACアドレス(メディアアクセスコントロールアドレス)などのネットワークアドレスである。このイベントは、この処理のポリシーコンポーネントにおける一または複数の規則に基づき評価される。この処理の一部として、ポリシーコンポーネントは、ネットワークマップにアクセスし、イベント情報が相関処理の一部として一または複数の基準に一致するか否か判定する。またこのイベントは、一または複数の基準に一致するという判定に基づきポリシー違反イベントを生成する。たとえば侵入イベント情報は、ポリシーコンポーネントの一または複数の規則に関連付けたクエリに応答するために、ネットワークマップ情報に相関付けられることが可能である。
本発明の別の実施形態は、自動的且つ受動的にネットワークの特性を判定するシステムを含む。前記システムは、ネットワークマップ記憶装置とポリシーコンポーネントを含む。ネットワークマップ記憶装置は、ネットワーク装置アドレス、サービス、およびネットワークトポロジ情報を含む。ポリシーコンポーネントは、侵入イベントを受信して一または複数のネットワーク構成規則を実行する。しかもポリシーコンポーネントは、侵入情報に関連付けられた装置アドレスによって提供されるリンクを通じてネットワークマップ記憶装置内の情報にアクセスし、一または複数の規則を評価することの一部として、侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する。イベントの評価が完了すると、たとえばイベントが許可されたものでないと判定した場合、ポリシー違反が生成可能である。ポリシー違反イベントの開始に際して、システムによって修復またはアラートの実行が可能である。装置アドレスは、IPアドレスまたはメディアアクセスコントロールアドレスを含む通信またはコンピュータの任意のタイプのアドレスとすることが可能である。侵入イベントは、ネットワーク上の一または複数のパケットの受信、復号、および解析に基づき識別可能である。
一または複数のポリシーに基づいたネットワークイベントを処理するシステムと方法の実施形態は、本発明のこの詳細な説明において記述される。この詳細な説明によれば、説明を目的として、多くの特有の詳細が、本発明の実施形態を完全に理解できるように示されている。しかし、当然のことながら、当業者は、これらの詳細が示されていなくても、本発明の実施形態を実施できる。他の例においては、ブロック図の形態で構造と装置が示されている。更に当業者は、方法を提示して実施される特定の順序が実例であることを容易に理解でき、この順序は、修正されることも可能であり、また本発明の実施形態の精神と範囲は、維持されたままであると考えられる。
図1は、本発明の実施形態にかかる侵入イベント情報をネットワーク発見情報に相関付ける例示的なシステム5を示す。一または複数のセキュリティ装置20は、攻撃の識別を実行し、イベントを生成する。一または複数のセキュリティ装置20は、侵入検出システム(IDS)、ネットワーク侵入検出システム(NID)、ネットワーク管理システム(NMS)、ネットワークセンサ、ホスト侵入検出システム(HID)、ルータ、ファイアウォール、およびシステムロガーを具備できる。図1の実施形態は、ターゲットネットワーク装置に関する公知の前から存在するホストとサービスの情報を、イベント情報に相関付けることによって、侵入検出システムの誤検出を減少できる。
本システムの一実施形態では、単一のコンピュータは、ポリシーコンポーネント10、ネットワークマップ15、セキュリティ装置20、および応答コンポーネント25を具備できる。他の実施形態では、複数のコンピュータは、別々に各々のコンピュータを収容すること、または上記のコンポーネントの組合せを具備できる。たとえばポリシーコンポーネント10は、任意の伝送媒体を通じて、別のコンピュータに記憶されているネットワークマップ15に通信できる。単一のコンポーネントは、複数の装置に亘って分散可能である。たとえばポリシーコンポーネント10は、複数のコンピュータに亘って分散可能である。ポリシーコンポーネント10とネットワークマップ15は、RAM、ROM、EPROM、EEPROM、フラッシュROM、または取外可能な記憶装置を含む揮発性または不揮発性の記憶装置に記憶可能である。図1に示すネットワークは、インターネット、イントラネット、LAN、オンライン情報ネットワーク、ワイヤレスネットワーク、プライベートネットワークまたはパブリックネットワーク(たとえばPSTN)、音声またはデータネットワークのいずれか1つ、またはケーブルとdBS(直接放送衛星)を含む一または複数のネットワークを表わすことがある。
以下で詳細に説明するように、ネットワークのネットワーク構成と使用ポリシーは、ネットワークに対して定義付けられ、ポリシーエンジン10に適用できる。ユーザはポリシーを構成する。ポリシーは、規則のリストと規則のグループによって構成される。各々の規則と規則のグループは、応答動作のセットに関連付けできる。アクティブポリシーの一部となるように各々の規則をアクティブにできる。監視しているネットワーク上のノードが変更されると、その変更を反映するためイベントが生成される。たとえばホスト上において新しいサービスが検出された場合、新しいサービス情報を含むイベントが生成される。イベントとイベントに含まれるデータは、現在アクティブになっているポリシーに基づき評価される。誤検出を低減させる助けとなるように、イベントと前記イベントに含まれるデータは、ネットワークマップ15の情報に相関付けられる。イベントまたはイベントに含まれるデータが規則を起動する場合、一または複数の構成応答を開始するイベント22が生成される。
図1を参照して、ネットワークマップの現在のスナップショットを維持するようにネットワークマップ15を構成できる。ネットワークマップ15は、たとえば以下で詳細に説
明するように、ホスト、ネットワークトポロジ、サービス、および脆弱性に関する情報を包含できる。
明するように、ホスト、ネットワークトポロジ、サービス、および脆弱性に関する情報を包含できる。
ポリシーエンジン10は、ネットワークマップ15に対して新しいイベントをマッピングし、以下で説明するような任意のポリシーイベントが存在しているか否か判定する。ポリシー違反が存在していれば、図1に示すように、一または複数の修復30を実行するか、またはアラート35を出力できる。
[イベントの検出]
一または複数のセキュリティ装置20たとえば侵入検出システムによって生成されたイベントは、収集され、ポリシーコンポーネント10に送信される。この方法の別の実施形態においては、イベントは収集され、第1のイベントはデータベースに記憶され、ポリシーコンポーネント10に送信される。
一または複数のセキュリティ装置20たとえば侵入検出システムによって生成されたイベントは、収集され、ポリシーコンポーネント10に送信される。この方法の別の実施形態においては、イベントは収集され、第1のイベントはデータベースに記憶され、ポリシーコンポーネント10に送信される。
侵入イベントは、多数の異なる方法論によって一または複数のセキュリティ装置20からの侵入イベントを判定できる。本発明の実施形態は、受動的に判定されるネットワークマップまたは特性データベースに適用できる。これらのシステムは、ネットワーク間を移動するパケットを検査するために受動的である。つまりこれらのシステムは、能動スキャンを実行しない。これらのシステムは、殆どまたは全く人の介入を必要としないために自動的である。このような受動的システムは、(1)ネットワーク上においてネットワーク装置を識別すること、(2)オペレーティングシステムとネットワーク装置上において動作するサービスを識別すること、(3)ネットワーク上において生じる変更をリアルタイムに記録すること、および(4)ネットワーク報告メカニズムによって使用できる形式でこの情報を収集することを含む機能の実行によって動作する。例示的なネットワーク報告メカニズムは、侵入検出システムとネットワーク管理システム(NMS)を含む。
図1に示すように、セキュリティ装置20は、ネットワークに送信されるトラフィック40を受動的に収集し、データを復号化し、次にそのデータを、確定したオペレーティングシステムおよびサービスフィンガープリントと比較する。またセキュリティ装置20は、少なくとも1つの監視したホストが関わるネットワークセッションからデータを収集する。
図1に示すセキュリティ装置20を再び参照することによって、ネットワーク報告メカニズムは、ネットワークに関する特性情報について、リアルタイムでネットワーク40間を移動するパケットを調べることができる。特性情報の1つのこのようなタイプは、ネットワーク上のネットワーク装置またはホストに関する情報である。当業者は、ネットワーク装置がネットワーク接続を備えた任意の装置であると理解できる。ネットワーク装置は、ホスト、サーバ、ゲートウェイ、ブリッジ、コンピュータ、プリンタ、スイッチ、ゲーム機、ワイヤレス装置、携帯電話、ネットワーク化テレビ、PDA、およびルータを包含できるが、これらに限定されない。
[ネットワークマップ]
図1を参照して、ネットワークマップ15は、ホスト、サービス、ネットワークトポロジ、および脆弱性を含むデータベースである。幾つかの実施形態では、データベースは、ホストまたは他のネットワーク装置のIPアドレスに連携する。この方法において、ネットワークマップに対するクエリは、IPアドレスまたは他のタイプのアドレスを使用して識別可能である。ネットワークマップは、各々のホスト、ブリッジまたはルータ、サービスのプロファイル、およびネットワーク上の各々のRNAセンサの脆弱性を提供する。ネットワークマップを使用することによって、特定ホストのホストプロファイルを表示できる。ホストプロファイルは、ホスト、実行中のサービス、特定ホストの脆弱性に関する詳
細な情報を包含できる。見出されたホストとサービスは、ネットワークのネットワークマップ表現でマッピングできる。
図1を参照して、ネットワークマップ15は、ホスト、サービス、ネットワークトポロジ、および脆弱性を含むデータベースである。幾つかの実施形態では、データベースは、ホストまたは他のネットワーク装置のIPアドレスに連携する。この方法において、ネットワークマップに対するクエリは、IPアドレスまたは他のタイプのアドレスを使用して識別可能である。ネットワークマップは、各々のホスト、ブリッジまたはルータ、サービスのプロファイル、およびネットワーク上の各々のRNAセンサの脆弱性を提供する。ネットワークマップを使用することによって、特定ホストのホストプロファイルを表示できる。ホストプロファイルは、ホスト、実行中のサービス、特定ホストの脆弱性に関する詳
細な情報を包含できる。見出されたホストとサービスは、ネットワークのネットワークマップ表現でマッピングできる。
ネットワークマップは、ネットワーク上に常駐するホスト、ネットワーク上のブリッジ(ハブ、ルータ、またはスイッチを含むことが可能である)、ネットワーク上において実行されるサービス、オペレーティングシステム、またはネットワーク上の脆弱性のいずれかの点からネットワークトポロジを表示できる。ユーザは、慣れたユーザインタフェースを介して上記のいずれかを表示できる。ネットワークマップは、以下のコンポーネントに分割できる。つまりネットワークマップは、ホストマップ(コンピュータ、プリンタなどのネットワーク装置を表示)、ブリッジマップ(ネットワーク上において検出されたブリッジ、スイッチ、またはルータを表示)、サービスマップ(ネットワーク上において検出されたサービスを表示)、および脆弱性マップ(ネットワーク上において検出された脆弱性を表示)に分割できる。
ネットワークマップの情報は、一または複数のセンサから送られてくる。一または複数のセンサが存在する場合、このデータは、複合ネットワークマップに相関付けできる。複数のセンサが同一のホストまたはサービスからイベントを生成する場合、この情報は所定のプロトコルによって各々のセンサから前記ホストまたはサービスの複合表現に組合わせされる。
ネットワークマップは、特定のホストのホストプロファイルを包含できる。ホストプロファイルは、ホスト、実行中のサービス、特定ホストの脆弱性に関する情報を含む。1つの例示的なホストプロファイルは、以下の一または複数の、ホスト名、ホストを検出したセンサからのネットワークホップの距離、オペレーティングシステム、ホストタイプ、このホストの重要度レベル(自動またはユーザ指定のもの)、ホストに関わるイベントに対するリンク、ホストがソースIPまたは宛先IPのいずれかである場合の侵入イベントに対するリンク、ホストによって使用されるプロトコル、ホスト上において実行されるサービス、攻撃を受ける可能性があるホストの脆弱性を含むことが可能である。ホストプロファイルは、ユーザインタフェースを介してユーザによって表示可能である。
ネットワークマップのブリッジ部は、ネットワークの1つのセグメントを別のセグメントに接続するネットワークブリッジとルータの情報を含む。ブリッジ部は、ユーザインタフェースを通じてユーザによって表示可能である。
ネットワークマップのサービス部は、ネットワーク上において実行されているサービス、各々のサービスのベンダおよびバージョン、ならびに各々のサービスを実行するホストの表示を提供する。ユーザは、ホストのサービスと各々のサービスを実行するリストを表示するために、ユーザインタフェースを介してネットワークマップにアクセス可能である。
ネットワークトラフィックに応答して、ネットワーク装置のID(識別データ)が記録される。IDは、たとえばファイルまたはデータベースにデータ構造として記憶される。パケットは、以前に記録されているネットワーク装置を識別する場合、現在の情報と以前の情報が比較され、いずれの修正も記録される。修正が見つからない場合、新しい情報は記録されない。いずれにしても次のパケットが読取られる。
図2は、本発明の実施形態によってネットワーク特性を自動的且つ受動的に判定するための例示的な方法100を示すフローチャートである。
方法100のステップ110において、ネットワーク上を転送されるパケットが読取られる。ステップ120においてネットワーク装置は、パケットを用いて識別される。ネッ
トワーク装置としてはコンピュータ、プリンタ、およびルータがあるが、これらに限定されない。当業者は、ネットワーク装置がホストとも呼ばれることを十分に認識している。ステップ130では、ネットワーク装置のIDが記録される。IDは、たとえばファイルまたはデータベースにデータ構造として格納される。パケットが以前に記録されたネットワーク装置を識別する場合、現在の情報が以前の情報と比較され、修正点が記録される。修正が見つからなければ、新たな情報は記録されない。いずれの場合でも、次のパケットを読取るために方法100はステップ110に戻る。
方法100のステップ110において、ネットワーク上を転送されるパケットが読取られる。ステップ120においてネットワーク装置は、パケットを用いて識別される。ネッ
トワーク装置としてはコンピュータ、プリンタ、およびルータがあるが、これらに限定されない。当業者は、ネットワーク装置がホストとも呼ばれることを十分に認識している。ステップ130では、ネットワーク装置のIDが記録される。IDは、たとえばファイルまたはデータベースにデータ構造として格納される。パケットが以前に記録されたネットワーク装置を識別する場合、現在の情報が以前の情報と比較され、修正点が記録される。修正が見つからなければ、新たな情報は記録されない。いずれの場合でも、次のパケットを読取るために方法100はステップ110に戻る。
更にたとえばネットワーク装置のオペレーティングシステム、ルータ、ネットワーク装置上において実行されているサービス、ネットワーク上の伝送制御プロトコルまたはサブセットは、2004年5月12日に出願された「ネットワーク特性を判定し、脆弱性を解析するためのシステムおよび方法」という発明の名称の米国特許出願第10/843,459号に記載されるような任意の方法によって判定でき、参照によってその全体をここに援用する。更に2つのサブネット間の距離を判定するための、ネットワーク上の推測されるサブネットを生成するための、および脆弱性をネットワーク装置に割当てるための方法が米国特許出願第10/843,459号に示される。
図3は、ネットワーク装置情報またはホスト情報を格納する例示的なデータ構造である。このデータ構造は、ホストの代表的データ構造である。限定されない例として、ホスト情報に、イニシエータIP(インターネットプロトコル)アドレス、各々のメディアアクセスコントロールアドレス(MACアドレス)用の有効期限(TTL)パラメータを持ったメディアアクセスコントロールアドレスのリスト、オペレーティングシステムのリスト、ネットワークプロトコルのリスト、トランスポートプロトコルのリスト、通信制御プロトコル(TCP)サービスデータ構造、ユーザデータグラムプロトコル(UDP)サービスデータ構造のリスト、仮想LAN(VLAN)タグ、および最終確認日時を含めることができる。ネットワーク上の少なくとも1つのネットワーク装置のIPアドレス、メディアアクセスコントロールアドレス、およびTTLパラメータは、通常、ネットワーク上を転送される各々のパケットに含まれる。この結果、ホスト情報のこれらの一部は、各々のパケットのネットワークプロトコルフィールドと転送プロトコルフィールドを直接的に構文解析することによって得られる。
[ポリシーエンジン]
図1を再び参照して、ポリシーエンジン10は、一または複数のポリシーからなる。ポリシーは、規則のリストと規則のグループによって構成される。各々の規則は、アクティブポリシーの一部となるようにアクティブにできる。監視されているネットワーク上のノードが修正されると、イベントが、その修正を反映するために生成される。ホスト上において新しいサービスが検出される場合、新しいサービス情報を含むイベントが生成される。イベントとこのイベントに含まれるデータは、現在アクティブになっているポリシーに基づき評価される。イベントまたは前記イベントに含まれるデータが規則を機能させなくする場合、構成応答を起動するイベント22が生成される。
図1を再び参照して、ポリシーエンジン10は、一または複数のポリシーからなる。ポリシーは、規則のリストと規則のグループによって構成される。各々の規則は、アクティブポリシーの一部となるようにアクティブにできる。監視されているネットワーク上のノードが修正されると、イベントが、その修正を反映するために生成される。ホスト上において新しいサービスが検出される場合、新しいサービス情報を含むイベントが生成される。イベントとこのイベントに含まれるデータは、現在アクティブになっているポリシーに基づき評価される。イベントまたは前記イベントに含まれるデータが規則を機能させなくする場合、構成応答を起動するイベント22が生成される。
別の実施形態では、ネットワーク上において受動的に発見された情報は、ネットワーク構成と使用ポリシーを実施するために使用される。この処理の一部として、ポリシーコンポーネントは、ネットワークマップにアクセスし、イベント情報が定義済みの範囲または値に一致するか否か判定する。使用ポリシーが阻害される場合、動作が実行される。例示的な動作は、発見された情報のタイプに基づき、またはこの情報が発見された場合のユーザへの警告とネットワークアクセスの拒否を包含できる。
1つの例示的な使用ポリシーは、オペレーティングシステムの未許可の使用を防止できる。発見されたオペレーティングシステムが、指定IPアドレスの容認可能なオペレーテ
ィングシステムに一致しない場合、動作が開始される。たとえばユーザは、Window(登録商標)2000とWindows(登録商標)XPのみが、ネットワーク上において使用可能であることを指定する。他のオペレーティングシステムを持つホストが検出された場合、アラートが生成され、害を及ぼすホストは、ファイアウォールによって阻止される。この処理の一部として、ポリシーコンポーネントはネットワークマップにアクセスし、オペレーティングシステム特性またはネットワーク装置特性が定義済みの範囲または値に一致するか否か判定する。
ィングシステムに一致しない場合、動作が開始される。たとえばユーザは、Window(登録商標)2000とWindows(登録商標)XPのみが、ネットワーク上において使用可能であることを指定する。他のオペレーティングシステムを持つホストが検出された場合、アラートが生成され、害を及ぼすホストは、ファイアウォールによって阻止される。この処理の一部として、ポリシーコンポーネントはネットワークマップにアクセスし、オペレーティングシステム特性またはネットワーク装置特性が定義済みの範囲または値に一致するか否か判定する。
別の例示的な使用ポリシーは、未許可のサービス使用を防止する。禁止されているサービスが検出された場合、動作が開始される。たとえばユーザは、サービスAがサブネットXにおいて許可されないように指定する。サービスAがサブネットXにおいて検出された場合、アラートが生成される。再びこの処理の一部としてポリシーコンポーネントは、イベントをネットワークマップに関連付けるためにネットワークマップにアクセスし、サービスイベントに関連する情報が定義済みの範囲または値に一致するか否か判定する。たとえば特定のIPアドレスが、特定のサービスまたはアプリケーションを有することが許可されているか否か判定するために、ネットワークマップが照会可能である。別の例では、ネットワークマップは、Linux(登録商標)がサブネットZのために唯一許可されたオペレーティングシステムであることを示唆可能である。更に唯一許可されたサービスは、セキュアシェル(SSH)とセキュアソケットレイヤ(SSL)である。例外は、ホストXが、追加的にHTTPを実行可能なことである。またホストYは、サービスの制約条件を設けずにWindows(登録商標)2003サーバを実行可能である。このポリシーのいかなる違反も、ポリシー違反イベント(PVE)を生成する。
別の例示的な使用ポリシーは、イベントの制限である。アラートの重要度は、複数のソースから収集された情報に基づき調整される。たとえばIIS(インターネットインフォメーションサービス(登録商標))だけに影響を及ぼす攻撃が検出され、ホストがIISを実行するWindows(登録商標)システムである場合、重要度アラートを生成する。IISだけに影響を及ぼす攻撃が検出され、ホストがIISを実行できないLinux(登録商標)システムである場合、情報アラートが生成される。
別の例示的な使用ポリシーは、単一イベントの閾値を定義付けることである。指定時間内に同一タイプのイベントが複数検出されると、動作が開始される。たとえば10回の単一サービスへの不成功ログイン試行が30秒以内に検出された場合、アラートは、強制的なログイン試行を示すように生成される。別の例では、次に成功ログインが続く15回の単一サービスへの不成功ログイン試行が55秒以内に検出された場合、アラートが強制的な成功ログインを示すように生成され、クライアントシステムはファイアウォールによってブロックされる。
別の例示的な使用ポリシーは、侵入検出システムイベントのシーケンスの検出である。指定時間内に指定のシーケンスにおいて複数のイベントが検出されると、動作が開始される。たとえば単一のホストに向けられたイベントE、F、およびGのシーケンスは、ホストの妥協が正常であることの表示である。個々としてはイベントは重要でないと考えられ、無視される。しかし、順次60秒以内に起こる場合、イベントは重要なイベントであることを表わし、重要なアラートを生成する。
別の例では、バッファオーバーフロー攻撃はホストに対して検出され、また5秒以内に新しいテルネットサーバがホストによって検出される。重要なアラートが生成され、ファイアウォールはホストとの間でやり取りされるトラフィックをブロックする。
別の実施形態では、使用ポリシーは一時的な制約条件を維持する。禁止時間中に確立さ
れたセッションが検出されると、動作が開始される。たとえば通常のバーチャルプライベートネットワーク(VPN)接続は、東部標準時間の午前7時30分から午後9時までの間に行われる。午前2時から始まった接続は、アラートを生成する。別の例示的なポリシーは、統計学的な制約条件を維持する。正常なオペレーティングパラメータからの逸脱を検出されると、動作が開始される。たとえば、通常1時間当たり30000回のヒットを処理するウェブサーバは、現在1時間当たり5回のヒットを処理する。アラートが生成される。
れたセッションが検出されると、動作が開始される。たとえば通常のバーチャルプライベートネットワーク(VPN)接続は、東部標準時間の午前7時30分から午後9時までの間に行われる。午前2時から始まった接続は、アラートを生成する。別の例示的なポリシーは、統計学的な制約条件を維持する。正常なオペレーティングパラメータからの逸脱を検出されると、動作が開始される。たとえば、通常1時間当たり30000回のヒットを処理するウェブサーバは、現在1時間当たり5回のヒットを処理する。アラートが生成される。
追加ポリシー応答動作は、ローカルデータベース45に記録するイベントとサービスメッセージを記録し、シンプルネットワーク管理プロトコル(SNMP)トラップを実行し、電子メールメッセージを生成し、ネットワーク装置を制御し(たとえばファイアウォールを呼出すか、またはネットワークスイッチポートを無効にする)、侵入検出システムイベントの優先順位を上げるかまたは下げるシステムを含む。ノードがWindows(登録商標)オペレーティングシステムに変更され、Windows(登録商標)オペレーティングシステムを禁止することが書込まれたポリシーが電子メール応答動作によって実施するよう構成される場合、電子メールメッセージは、イベントデータと規則IDを含むように生成される。
更にポリシー解析は、2004年5月12日に出願された「ネットワーク特性を判定し、脆弱性を解析するためのシステムおよび方法」という発明の名称の米国特許出願第10/843,398号に記載されており、参照によってその全体をここに援用する。
図4は、本発明の実施形態にかかる受動的ネットワーク検出システムを使用するオペレーティングシステムに基づき、ネットワーク構成と使用ポリシーを実行するための方法2600を示すフローチャートである。方法2600のステップ2605において、オペレーティングシステムに対するネットワーク構成と使用ポリシーは、予め定義される。ステップ2610において、ネットワーク上においてネットワーク装置によって使用されるオペレーティングシステムは、ネットワークに送信されるパケットの読取、復号、解析によって判定される。ステップ2615において、オペレーティングシステムに対するネットワーク構成と使用ポリシーによって識別される動作が実行される。
図5は、本発明の実施形態にかかる受動的ネットワーク検出システムを使用するサービスに基づき、ネットワーク構成と使用ポリシーを実行する方法2700を示すフローチャートである。方法2700のステップ2705において、サービスに対するネットワーク構成と使用ポリシーは、予め定義される。ステップ2710において、ネットワーク上においてネットワーク装置によって使用されるサービスは、ネットワークに送信されるパケットの読取、復号、および解析によって判定される。ステップ2715において、サービスに対するネットワーク構成と使用ポリシーによって識別される動作が実行される。
[オペレーション]
図6は、本発明の実施形態にかかるポリシー違反イベント(PVE)を判定する例示的な方法のステップを示すフローチャートである。方法600のステップ610において、ネットワーク構成と使用ポリシーは、ネットワークに対して定義される。ステップ620において、新しいサービスのような新しい侵入イベントが、ネットワークに送信されるパケットの読取、復号、および解析によってネットワーク上のネットワーク装置に加えられるか否か判定する。たとえば侵入検出システムは、侵入イベントを識別可能である。ステップ630において、識別されたIPアドレスに関連付けられた新しいイベントは、ネットワークマップに報告される。たとえば識別されたサービスが新しい場合、新しいエントリがネットワークマップに生成される。イベントに関連付けられた情報が新しくなくて単なる更新である場合、ネットワークマップは新しい情報によって更新される。ステップ6
40においてポリシーエンジンは、ポリシーエンジンにおける一または複数の規則に対してイベント情報を評価する。この評価の一部として、ステップ650においてネットワークマップは、侵入イベントに関連付けられた識別IPアドレスを使用してアクセスされ、イベント情報が特定の基準に一致するか否か判定される。IPアドレスは、ネットワークマップにおけるホスト情報または他のネットワーク装置情報にリンクするように使用される。たとえばIPアドレスが、Windows(登録商標)オペレーティングシステムで動作することを判定できる。ステップ660において、この処理は、新しいサービスなどのイベントが一または複数の前述の規則の起動に基づき許可されているか否か判定する。新しいイベントが許可されていない場合、ポリシー違反イベント(PVE)が発行される。ポリシー違反イベントに基づき、修復またはアラートはシステムによって起動可能である。一実施形態において、ポリシー違反イベントは、データベース45に記録される。この方法において、ポリシー違反イベントは、任意のイベントタイプで生成でき、またトリガイベントのIPアドレスに基づきクエリが発行されるホスト情報などのネットワークマップ情報を用いて制約条件を設けることができる。
図6は、本発明の実施形態にかかるポリシー違反イベント(PVE)を判定する例示的な方法のステップを示すフローチャートである。方法600のステップ610において、ネットワーク構成と使用ポリシーは、ネットワークに対して定義される。ステップ620において、新しいサービスのような新しい侵入イベントが、ネットワークに送信されるパケットの読取、復号、および解析によってネットワーク上のネットワーク装置に加えられるか否か判定する。たとえば侵入検出システムは、侵入イベントを識別可能である。ステップ630において、識別されたIPアドレスに関連付けられた新しいイベントは、ネットワークマップに報告される。たとえば識別されたサービスが新しい場合、新しいエントリがネットワークマップに生成される。イベントに関連付けられた情報が新しくなくて単なる更新である場合、ネットワークマップは新しい情報によって更新される。ステップ6
40においてポリシーエンジンは、ポリシーエンジンにおける一または複数の規則に対してイベント情報を評価する。この評価の一部として、ステップ650においてネットワークマップは、侵入イベントに関連付けられた識別IPアドレスを使用してアクセスされ、イベント情報が特定の基準に一致するか否か判定される。IPアドレスは、ネットワークマップにおけるホスト情報または他のネットワーク装置情報にリンクするように使用される。たとえばIPアドレスが、Windows(登録商標)オペレーティングシステムで動作することを判定できる。ステップ660において、この処理は、新しいサービスなどのイベントが一または複数の前述の規則の起動に基づき許可されているか否か判定する。新しいイベントが許可されていない場合、ポリシー違反イベント(PVE)が発行される。ポリシー違反イベントに基づき、修復またはアラートはシステムによって起動可能である。一実施形態において、ポリシー違反イベントは、データベース45に記録される。この方法において、ポリシー違反イベントは、任意のイベントタイプで生成でき、またトリガイベントのIPアドレスに基づきクエリが発行されるホスト情報などのネットワークマップ情報を用いて制約条件を設けることができる。
図6は、未許可のサービスがネットワーク装置に導入されているか否か判定するための例示的な処理を図示する。一方、同一または同様の方法論を使用して、たとえば以下のイベントを含む任意のイベントを判定できる。前記イベントは、指定IPアドレスに対する許可されないまたは許可されたオペレーティングシステム、イベントの制限、侵入検出システムイベントシーケンスの検出、バッファオーバーフローの検出、禁止時間中に確立されたセッションの検出、ネットワーク装置の許されない制御などを含む。
図7は、新しいサービスイベントを処理する例示的な方法を示す。この方法は、以下の仮説に基づき記述される。つまり未許可のサービスは、10.4.0.0の範囲内に入り、また80,8080または443として識別されたポート上において実行されるIPアドレスによって識別されるネットワーク装置上において開始される。ステップ700において、ネットワーク上の一または複数のパケットの解析に基づき、新しいサービスが侵入検出システムによって検出される。ステップ720において、新たに検出されたサービスイベントは、ネットワーク装置のIPアドレス(またはその他の識別子)に関連付けられたレコードに追加される。次に、サービスイベントと関連IPアドレスは、ステップ730においてポリシーエンジンに報告される。このポリシーエンジンは、イベント情報を一または複数の規則と比較する。ステップ740において、ポリシーエンジンは、IPアドレスが特定のカテゴリまたはクラスの範囲内に入るか否か判定する。たとえば特定のカテゴリは、10.4.0/16とすることも可能である。アドレスがこのカテゴリの範囲内に入らない場合、処理が違反なく完了される。しかし、IPアドレスが10.4.0/16の範囲内に入る場合、ポリシーエンジンは、ネットワークマップに通信して、ステップ750においてIPアドレスがWindows(登録商標)オペレーティングシステムに関連付けられているか否か判定する。この方法において、侵入イベント情報は、ネットワークマップにおいて現在のネットワーク特性に相関付けられる。次にステップ760において、ポリシーエンジンは、サービスイベントポートが特定の範囲内に入っているか、または80,8080または443などの特定値を持つか否か判定する。上記に該当する場合、ポリシー違反イベントは、ステップ770において発行される。この実施形態においては、修復が修復コンポーネントによって実施されるか、またはアラートがシステムによって発行される。
[修復とアラート]
ポリシーエンジンによって示されるように、コンプライアンスポリシーが阻害される場合、修復は、実施形態において実行されるプログラムを包含できる。修復モジュールは、違反を起動して特定の動作を実行したポリシー違反イベント(PVE)によって与えられる情報を使用できる。ポリシー違反が起動される場合、本発明の実施形態は、デフォルト
定義済みの修復モジュールと特定のタスクを実行するユーザカスタマイズ修復モジュールを包含できる。或る実施形態は、ユーザがポリシー違反イベントに応答するためにカスタム修復モジュールを生成し、アップロードすることを可能にするフレキシブルアプリケーションプログラミングインタフェース(API)を包含できる。
ポリシーエンジンによって示されるように、コンプライアンスポリシーが阻害される場合、修復は、実施形態において実行されるプログラムを包含できる。修復モジュールは、違反を起動して特定の動作を実行したポリシー違反イベント(PVE)によって与えられる情報を使用できる。ポリシー違反が起動される場合、本発明の実施形態は、デフォルト
定義済みの修復モジュールと特定のタスクを実行するユーザカスタマイズ修復モジュールを包含できる。或る実施形態は、ユーザがポリシー違反イベントに応答するためにカスタム修復モジュールを生成し、アップロードすることを可能にするフレキシブルアプリケーションプログラミングインタフェース(API)を包含できる。
たとえばネットワークがLinux(登録商標)ベースのファイアウォールを実行している場合、修復モジュールは、Linux(登録商標)サーバ上においてIPテーブルを動的に更新でき、その結果、コンプライアンスポリシーに違反するトラフィックがブロックされる。他の可能な修復は、ファイアウォールまたはルータまたは他のネットワーク装置の再構成またはシャットダウンを含む。更に修復は、コンプライアンスポリシーに違反するIPアドレスまたはネットワークに送られるトラフィックの動的な阻止を含むことが可能である。
一実施形態において、複数の実例が各々のモジュールに対して生成でき、そのうちの幾つかは、特定のネットワーク装置への接続を表わすことが可能である。たとえばサブネットが修復のために送付を必要とするルータを4つ備える場合、4つの実例がそのモジュールに対して構成されるべきである。実例が生成される場合、構成情報は、ネットワーク発見システムがネットワーク装置との接続を確立できるように指定される。次に、構成された実例に対して、ポリシーの違反が生じると、ネットワーク装置に実行させたい一または複数の動作を記述した修復が追加可能である。一実施形態において、このシステムが修復を実行する場合、前記システムは、イベントをメモリに記録する。イベントに関連付けられることは、修復名、そして修復を起動したポリシーと規則に関する情報を含む。一実施形態において、ユーザは、従来のユーザインタフェースを通じて修復ステータスを表示できる。
ポリシー違反イベントは、システムアラートを生じさせることも可能である。アラートは、電子メール、システムログ、SNMPトラップアラート、SMSメッセージ、テキストメッセージング、IM、ボイスメールなどを含む任意のメカニズムによって送出可能である。たとえばアクティブアラートが、本発明の実施形態にかかる生成されたポリシー違反イベント(PVE)に割当てられる場合、そのアクティブアラートが立ち上げられることも可能である。
本発明の実施形態によれば、本方法を実行するプロセッサによって実行される命令は、コンピュータ読取可能な媒体に記憶される。コンピュータ読取可能な媒体は、デジタル情報を記憶する装置であることができる。たとえばコンピュータ読取可能な媒体は、ソフトウェアを記憶するために本技術分野で周知のように、読取専用メモリ(たとえばコンパクトディスク−ROMつまりCD−ROM)を含む。もう1つの方法として、コンピュータ読取可能な媒体は、リードアクセスメモリ(RAM)、EPROM、フラッシュROM、DVD、CDまたはその他のタイプのコンピュータメモリであること可能である。コンピュータ読取可能な媒体は、実行される命令を実行するのに適したプロセッサによってアクセスできる。
本発明の実施形態は、一または複数のネットワーク上のデータ通信に関する。データ通信は、一または複数のネットワークの一または複数通信チャネルによって実行できる。ネットワークは、有線通信リンク(たとえば同軸ケーブル、銅線、光ファイバ、それらの組合せなど)、無線通信リンク(たとえば衛星通信リンク、地上無線通信リンク、衛星対地上通信リンク、それらの組合せなど)、またはそれらの組合せを包含できる。通信リンクは、通信チャネルが通信を伝搬する一または複数の通信チャネルを包含できる。
ここに開示する本発明の実施形態にかかるシステムと方法は、コンピュータネットワー
クに関するコンテキスト情報を与えることによって、既存の侵入検出システムまたはリアルタイムネットワーク報告メカニズムを有利に改善できる。このようなシステムと方法は、情報が自動的に更新される点において手動の方法に比べて特に有利である。ポリシーコンポーネントによって誤検出を減少させる本発明の機能は、従来のネットワーク検出システムに比べて重要な利点である。
クに関するコンテキスト情報を与えることによって、既存の侵入検出システムまたはリアルタイムネットワーク報告メカニズムを有利に改善できる。このようなシステムと方法は、情報が自動的に更新される点において手動の方法に比べて特に有利である。ポリシーコンポーネントによって誤検出を減少させる本発明の機能は、従来のネットワーク検出システムに比べて重要な利点である。
前述の詳細な説明において、本発明の実施形態にかかるシステムと方法は、特定の例示的な実施形態を引用して記述されている。従って、本仕様と図は、限定的なものではなく例示とみなされるべきである。本発明の範囲は、請求の範囲によって、且つそれらの均等物によって、更に理解されるべきである。
Claims (21)
- ネットワークの特性を自動的且つ受動的に判定する方法であって、前記方法は、
一または複数の規則からなるポリシー構成情報をポリシーコンポーネントに記憶することと、
関連付けた装置アドレスを含む情報からなる侵入イベントを検出することと、
サービスとネットワークトポロジ情報を含むネットワークマップをメモリに記憶することと、
前記関連付けた装置アドレスによって前記侵入イベント情報を前記ネットワークマップ情報にリンクさせることと、および
前記ポリシーコンポーネントにおける前記一または複数の規則に関連付けられたクエリに応えるために、前記侵入イベント情報を前記ネットワークマップ情報に相関付けることと
を含む、方法。 - 前記方法は更にポリシー違反イベントを生成することを含む、請求項1記載の方法。
- 前記装置アドレスはインターネットプロトコルアドレスである、請求項1記載の方法。
- 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項1記載の方法。
- 前記ポリシー違反イベントは、ネットワーク装置上の未許可サービスイベントの識別に基づき生成される、請求項2記載の方法。
- 前記方法は更に修復を開始することを含む、請求項2記載の方法。
- 前記方法は更にアラートを開始することを含む、請求項2記載の方法。
- 前記方法は更に、前記侵入イベントがポリシー違反イベントではないことを判定することを含む、請求項1記載の方法。
- 前記ネットワークに送信される一または複数のパケットは、前記侵入イベントを識別するために使用される、請求項1記載の方法。
- ネットワークの特性を自動的且つ受動的に判定するシステムであって、前記システムは、
装置アドレス、サービス、およびネットワークトポロジ情報を含むネットワークマップ記憶装置と、
前記ネットワークマップ記憶装置に動作可能に通信するポリシーコンポーネントであって、前記ポリシーコンポーネントは侵入イベントを受信し、一または複数のネットワーク構成規則を実施することと
を備え、
前記ポリシーコンポーネントは、前記侵入情報に関連付けられた前記装置アドレスを使用して前記ネットワークマップ記憶装置内の情報にアクセスし、一または複数の規則を評価することの一部として、前記侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する、システム。 - 前記システムは更に応答コンポーネントを備え、前記ポリシー違反イベントは前記応答コンポーネントによって生成される、請求項10記載のシステム。
- 前記システムは更に侵入検出装置を備え、前記侵入検出装置は前記侵入イベントを検出する、請求項10記載のシステム。
- 前記装置アドレスはインターネットプロトコルアドレスである、請求項10記載のシステム。
- 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項10記載のシステム。
- 前記システムは更に応答コンポーネントを備え、アラートは前記応答コンポーネントによって生成される、請求項10記載のシステム。
- ネットワークの特性を自動的且つ受動的に判定するシステムであって、前記システムは、
装置アドレス、サービス、およびネットワークトポロジ情報を含むネットワークマップ記憶手段と、
前記ネットワークマップ記憶手段に動作可能に通信するポリシーコンポーネント記憶手段であって、前記ポリシーコンポーネント記憶手段は侵入イベントを受信し、一または複数のネットワーク構成規則を実施することと
を備え、
前記ポリシーコンポーネント記憶手段は、前記侵入イベントに関連付けられた前記装置アドレスを使用して前記ネットワークマップ記憶手段内の情報にアクセスし、一または複数の規則を評価することの一部として、前記侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する、システム。 - 前記システムは更に応答コンポーネントを備え、前記ポリシー違反イベントは前記応答コンポーネントによって生成される、請求項16記載のシステム。
- 前記システムは更に侵入検出装置を備え、前記侵入検出装置は前記侵入イベントを検出する、請求項16記載のシステム。
- 前記装置アドレスはインターネットプロトコルアドレスである、請求項16記載のシステム。
- 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項16記載のシステム。
- 前記システムは更に応答コンポーネントを備え、アラートは前記応答コンポーネントによって生成される、請求項16記載のシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/272,035 US8046833B2 (en) | 2005-11-14 | 2005-11-14 | Intrusion event correlation with network discovery information |
PCT/US2006/043820 WO2007058952A2 (en) | 2005-11-14 | 2006-11-09 | Intrusion event correlation with network discovery information |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2009516266A true JP2009516266A (ja) | 2009-04-16 |
Family
ID=38049168
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008540218A Withdrawn JP2009516266A (ja) | 2005-11-14 | 2006-11-09 | ネットワーク発見情報を用いた侵入イベント相関方法およびシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US8046833B2 (ja) |
EP (1) | EP1949235A4 (ja) |
JP (1) | JP2009516266A (ja) |
CA (1) | CA2629723A1 (ja) |
WO (1) | WO2007058952A2 (ja) |
Families Citing this family (67)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1315065B1 (en) * | 2001-11-23 | 2007-10-10 | Protegrity Research & Development | Method for intrusion detection in a database system |
US7730175B1 (en) | 2003-05-12 | 2010-06-01 | Sourcefire, Inc. | Systems and methods for identifying the services of a network |
US7539681B2 (en) * | 2004-07-26 | 2009-05-26 | Sourcefire, Inc. | Methods and systems for multi-pattern searching |
US7733803B2 (en) | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
US9294477B1 (en) * | 2006-05-04 | 2016-03-22 | Sprint Communications Company L.P. | Media access control address security |
US9715675B2 (en) | 2006-08-10 | 2017-07-25 | Oracle International Corporation | Event-driven customizable automated workflows for incident remediation |
US8522304B2 (en) * | 2006-09-08 | 2013-08-27 | Ibahn General Holdings Corporation | Monitoring and reporting policy compliance of home networks |
US20080184368A1 (en) * | 2007-01-31 | 2008-07-31 | Coon James R | Preventing False Positive Detections in an Intrusion Detection System |
US8874159B2 (en) * | 2007-05-10 | 2014-10-28 | Cisco Technology, Inc. | Method and system for handling dynamic incidents |
US20090038014A1 (en) * | 2007-07-31 | 2009-02-05 | Paul Force | System and method for tracking remediation of security vulnerabilities |
US20100332641A1 (en) * | 2007-11-09 | 2010-12-30 | Kulesh Shanmugasundaram | Passive detection of rebooting hosts in a network |
US8707385B2 (en) * | 2008-02-11 | 2014-04-22 | Oracle International Corporation | Automated compliance policy enforcement in software systems |
US8655950B2 (en) * | 2008-08-06 | 2014-02-18 | International Business Machines Corporation | Contextual awareness in real time collaborative activity alerts |
WO2010045089A1 (en) | 2008-10-08 | 2010-04-22 | Sourcefire, Inc. | Target-based smb and dce/rpc processing for an intrusion detection system or intrusion prevention system |
US8010085B2 (en) * | 2008-11-19 | 2011-08-30 | Zscaler, Inc. | Traffic redirection in cloud based security services |
FR2946209A1 (fr) * | 2009-06-02 | 2010-12-03 | Alcatel Lucent | Procede de protection d'un reseau de telecommunication et routeur securise mettant en oeuvre un tel procede. |
US8261355B2 (en) * | 2009-07-24 | 2012-09-04 | Cisco Technology, Inc. | Topology-aware attack mitigation |
JP5809238B2 (ja) | 2010-04-16 | 2015-11-10 | シスコ テクノロジー,インコーポレイテッド | 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法 |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
US9461878B1 (en) | 2011-02-01 | 2016-10-04 | Palo Alto Networks, Inc. | Blocking download of content |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
US8849770B2 (en) * | 2011-05-16 | 2014-09-30 | Business Objects Software Limited | Event auditing framework |
US8607049B1 (en) | 2011-08-02 | 2013-12-10 | The United States Of America As Represented By The Secretary Of The Navy | Network access device for a cargo container security network |
US8855311B1 (en) | 2011-08-02 | 2014-10-07 | The United States Of America As Represented By The Secretary Of The Navy | Advanced container security device network protocols |
US9648029B2 (en) * | 2012-07-30 | 2017-05-09 | Newegg Inc. | System and method of active remediation and passive protection against cyber attacks |
US9197498B2 (en) * | 2012-08-31 | 2015-11-24 | Cisco Technology, Inc. | Method for automatically applying access control policies based on device types of networked computing devices |
US9542650B2 (en) | 2013-03-01 | 2017-01-10 | RedOwl Analytics, Inc. | Analyzing behavior in light of social time |
WO2014134630A1 (en) | 2013-03-01 | 2014-09-04 | RedOwl Analytics, Inc. | Modeling social behavior |
US10462004B2 (en) | 2014-04-15 | 2019-10-29 | Splunk Inc. | Visualizations of statistics associated with captured network data |
US10523521B2 (en) | 2014-04-15 | 2019-12-31 | Splunk Inc. | Managing ephemeral event streams generated from captured network data |
US9762443B2 (en) | 2014-04-15 | 2017-09-12 | Splunk Inc. | Transformation of network data at remote capture agents |
US10693742B2 (en) | 2014-04-15 | 2020-06-23 | Splunk Inc. | Inline visualizations of metrics related to captured network data |
US11281643B2 (en) | 2014-04-15 | 2022-03-22 | Splunk Inc. | Generating event streams including aggregated values from monitored network data |
US10127273B2 (en) * | 2014-04-15 | 2018-11-13 | Splunk Inc. | Distributed processing of network data using remote capture agents |
US10419457B2 (en) | 2014-04-30 | 2019-09-17 | Hewlett Packard Enterprise Development Lp | Selecting from computing nodes for correlating events |
US12028208B1 (en) | 2014-05-09 | 2024-07-02 | Splunk Inc. | Selective event stream data storage based on network traffic volume |
US9602525B2 (en) | 2015-02-27 | 2017-03-21 | Cisco Technology, Inc. | Classification of malware generated domain names |
US20170331690A1 (en) * | 2016-05-12 | 2017-11-16 | Iboss, Inc. | Applying network policies to devices based on their current access network |
US10771479B2 (en) * | 2016-09-26 | 2020-09-08 | Splunk Inc. | Configuring modular alert actions and reporting action performance information |
US10999296B2 (en) | 2017-05-15 | 2021-05-04 | Forcepoint, LLC | Generating adaptive trust profiles using information derived from similarly situated organizations |
US11888859B2 (en) | 2017-05-15 | 2024-01-30 | Forcepoint Llc | Associating a security risk persona with a phase of a cyber kill chain |
US10609081B1 (en) * | 2017-06-20 | 2020-03-31 | Cisco Technology, Inc. | Applying computer network security policy using domain name to security group tag mapping |
US10318729B2 (en) | 2017-07-26 | 2019-06-11 | Forcepoint, LLC | Privacy protection during insider threat monitoring |
US10803178B2 (en) | 2017-10-31 | 2020-10-13 | Forcepoint Llc | Genericized data model to perform a security analytics operation |
US10666681B2 (en) * | 2017-12-31 | 2020-05-26 | Rapid7, Inc. | Detecting malicious actors |
US11314787B2 (en) | 2018-04-18 | 2022-04-26 | Forcepoint, LLC | Temporal resolution of an entity |
US11755584B2 (en) | 2018-07-12 | 2023-09-12 | Forcepoint Llc | Constructing distributions of interrelated event features |
US11810012B2 (en) | 2018-07-12 | 2023-11-07 | Forcepoint Llc | Identifying event distributions using interrelated events |
US10949428B2 (en) | 2018-07-12 | 2021-03-16 | Forcepoint, LLC | Constructing event distributions via a streaming scoring operation |
US11436512B2 (en) | 2018-07-12 | 2022-09-06 | Forcepoint, LLC | Generating extracted features from an event |
US11811799B2 (en) | 2018-08-31 | 2023-11-07 | Forcepoint Llc | Identifying security risks using distributions of characteristic features extracted from a plurality of events |
US11025659B2 (en) | 2018-10-23 | 2021-06-01 | Forcepoint, LLC | Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors |
US11171980B2 (en) | 2018-11-02 | 2021-11-09 | Forcepoint Llc | Contagion risk detection, analysis and protection |
RU2739864C1 (ru) * | 2019-07-17 | 2020-12-29 | Акционерное общество "Лаборатория Касперского" | Система и способ корреляции событий для выявления инцидента информационной безопасности |
US11489862B2 (en) | 2020-01-22 | 2022-11-01 | Forcepoint Llc | Anticipating future behavior using kill chains |
US11630901B2 (en) | 2020-02-03 | 2023-04-18 | Forcepoint Llc | External trigger induced behavioral analyses |
US11080109B1 (en) | 2020-02-27 | 2021-08-03 | Forcepoint Llc | Dynamically reweighting distributions of event observations |
US11836265B2 (en) | 2020-03-02 | 2023-12-05 | Forcepoint Llc | Type-dependent event deduplication |
US11429697B2 (en) | 2020-03-02 | 2022-08-30 | Forcepoint, LLC | Eventually consistent entity resolution |
US11080032B1 (en) | 2020-03-31 | 2021-08-03 | Forcepoint Llc | Containerized infrastructure for deployment of microservices |
US11568136B2 (en) | 2020-04-15 | 2023-01-31 | Forcepoint Llc | Automatically constructing lexicons from unlabeled datasets |
US11516206B2 (en) | 2020-05-01 | 2022-11-29 | Forcepoint Llc | Cybersecurity system having digital certificate reputation system |
US11544390B2 (en) | 2020-05-05 | 2023-01-03 | Forcepoint Llc | Method, system, and apparatus for probabilistic identification of encrypted files |
US11895158B2 (en) | 2020-05-19 | 2024-02-06 | Forcepoint Llc | Cybersecurity system having security policy visualization |
US11704387B2 (en) | 2020-08-28 | 2023-07-18 | Forcepoint Llc | Method and system for fuzzy matching and alias matching for streaming data sets |
US11190589B1 (en) | 2020-10-27 | 2021-11-30 | Forcepoint, LLC | System and method for efficient fingerprinting in cloud multitenant data loss prevention |
Family Cites Families (151)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPS59195179A (ja) * | 1983-04-20 | 1984-11-06 | Uro Denshi Kogyo Kk | 侵入警報器 |
US4550436A (en) * | 1983-07-26 | 1985-10-29 | At&T Bell Laboratories | Parallel text matching methods and apparatus |
JPH0797373B2 (ja) * | 1985-08-23 | 1995-10-18 | 株式会社日立製作所 | 文書フアイリングシステム |
JPH0786537B2 (ja) * | 1987-09-26 | 1995-09-20 | 松下電工株式会社 | 人体検出装置 |
US4857912A (en) * | 1988-07-27 | 1989-08-15 | The United States Of America As Represented By The Secretary Of The Navy | Intelligent security assessment system |
JP2790466B2 (ja) * | 1988-10-18 | 1998-08-27 | 株式会社日立製作所 | 文字列検索方法及び装置 |
US5193192A (en) * | 1989-12-29 | 1993-03-09 | Supercomputer Systems Limited Partnership | Vectorized LR parsing of computer programs |
US5404488A (en) * | 1990-09-26 | 1995-04-04 | Lotus Development Corporation | Realtime data feed engine for updating an application with the most currently received data from multiple data feeds |
US5222081A (en) * | 1991-06-28 | 1993-06-22 | Universal Data Systems, Inc. | Method of performing an autobaud function using a state flow machine |
US5430842A (en) | 1992-05-29 | 1995-07-04 | Hewlett-Packard Company | Insertion of network data checksums by a network adapter |
US5497463A (en) * | 1992-09-25 | 1996-03-05 | Bull Hn Information Systems Inc. | Ally mechanism for interconnecting non-distributed computing environment (DCE) and DCE systems to operate in a network system |
JP2994926B2 (ja) * | 1993-10-29 | 1999-12-27 | 松下電器産業株式会社 | 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法 |
GB9326476D0 (en) * | 1993-12-24 | 1994-02-23 | Newbridge Networks Corp | Network |
US5459841A (en) * | 1993-12-28 | 1995-10-17 | At&T Corp. | Finite state machine with minimized vector processing |
US5666293A (en) * | 1994-05-27 | 1997-09-09 | Bell Atlantic Network Services, Inc. | Downloading operating system software through a broadcast channel |
US5995153A (en) * | 1995-11-02 | 1999-11-30 | Prime Image, Inc. | Video processing system with real time program duration compression and expansion |
JPH09198398A (ja) * | 1996-01-16 | 1997-07-31 | Fujitsu Ltd | パターン検索装置 |
US5870554A (en) | 1996-04-01 | 1999-02-09 | Advanced Micro Devices, Inc. | Server selection method where a client selects a server according to address, operating system and found frame for remote booting |
US5995963A (en) | 1996-06-27 | 1999-11-30 | Fujitsu Limited | Apparatus and method of multi-string matching based on sparse state transition list |
US5901307A (en) * | 1996-07-22 | 1999-05-04 | International Business Machines Corporation | Processor having a selectively configurable branch prediction unit that can access a branch prediction utilizing bits derived from a plurality of sources |
US5796942A (en) * | 1996-11-21 | 1998-08-18 | Computer Associates International, Inc. | Method and apparatus for automated network-wide surveillance and security breach intervention |
US6477648B1 (en) | 1997-03-23 | 2002-11-05 | Novell, Inc. | Trusted workstation in a networked client/server computing system |
US5999937A (en) | 1997-06-06 | 1999-12-07 | Madison Information Technologies, Inc. | System and method for converting data between data sets |
US5919257A (en) | 1997-08-08 | 1999-07-06 | Novell, Inc. | Networked workstation intrusion detection system |
US5987473A (en) | 1997-09-09 | 1999-11-16 | Beologic A/S | Interactive configuration via network |
US6321337B1 (en) * | 1997-09-09 | 2001-11-20 | Sanctum Ltd. | Method and system for protecting operations of trusted internal networks |
US6002427A (en) | 1997-09-15 | 1999-12-14 | Kipust; Alan J. | Security system with proximity sensing for an electronic device |
US8225408B2 (en) | 1997-11-06 | 2012-07-17 | Finjan, Inc. | Method and system for adaptive rule-based content scanners |
US6141686A (en) * | 1998-03-13 | 2000-10-31 | Deterministic Networks, Inc. | Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control |
JP3364207B2 (ja) * | 1998-04-27 | 2003-01-08 | 株式会社デジタル | 制御システム、表示装置、および、データ伝送方法、並びに、そのプログラムが記録された記録媒体 |
EP0954139B1 (en) | 1998-05-01 | 2005-04-06 | Hewlett-Packard Company, A Delaware Corporation | Methods of altering dynamic decision trees |
US6334121B1 (en) | 1998-05-04 | 2001-12-25 | Virginia Commonwealth University | Usage pattern based user authenticator |
US6684332B1 (en) * | 1998-06-10 | 2004-01-27 | International Business Machines Corporation | Method and system for the exchange of digitally signed objects over an insecure network |
US6324656B1 (en) | 1998-06-30 | 2001-11-27 | Cisco Technology, Inc. | System and method for rules-driven multi-phase network vulnerability assessment |
US6973455B1 (en) | 1999-03-03 | 2005-12-06 | Emc Corporation | File server system providing direct data sharing between clients with a server acting as an arbiter and coordinator |
US6590885B1 (en) * | 1998-07-10 | 2003-07-08 | Malibu Networks, Inc. | IP-flow characterization in a wireless point to multi-point (PTMP) transmission system |
US6711127B1 (en) * | 1998-07-31 | 2004-03-23 | General Dynamics Government Systems Corporation | System for intrusion detection and vulnerability analysis in a telecommunications signaling network |
US6343362B1 (en) | 1998-09-01 | 2002-01-29 | Networks Associates, Inc. | System and method providing custom attack simulation language for testing networks |
US6219786B1 (en) * | 1998-09-09 | 2001-04-17 | Surfcontrol, Inc. | Method and system for monitoring and controlling network access |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6499107B1 (en) | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
US6415321B1 (en) * | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
US6393474B1 (en) * | 1998-12-31 | 2002-05-21 | 3Com Corporation | Dynamic policy management apparatus and method using active network devices |
US6487666B1 (en) | 1999-01-15 | 2002-11-26 | Cisco Technology, Inc. | Intrusion detection signature analysis using regular expressions and logical operators |
US6754826B1 (en) * | 1999-03-31 | 2004-06-22 | International Business Machines Corporation | Data processing system and method including a network access connector for limiting access to the network |
US6539381B1 (en) * | 1999-04-21 | 2003-03-25 | Novell, Inc. | System and method for synchronizing database information |
US6894608B1 (en) * | 1999-07-22 | 2005-05-17 | Altra Technologies Incorporated | System and method for warning of potential collisions |
US6587876B1 (en) * | 1999-08-24 | 2003-07-01 | Hewlett-Packard Development Company | Grouping targets of management policies |
US7073198B1 (en) * | 1999-08-26 | 2006-07-04 | Ncircle Network Security, Inc. | Method and system for detecting a vulnerability in a network |
US7065657B1 (en) * | 1999-08-30 | 2006-06-20 | Symantec Corporation | Extensible intrusion detection system |
US7310688B1 (en) | 1999-08-30 | 2007-12-18 | Ciena Corporation | Relative addressing for network elements |
US6789202B1 (en) * | 1999-10-15 | 2004-09-07 | Networks Associates Technology, Inc. | Method and apparatus for providing a policy-driven intrusion detection system |
US6678824B1 (en) * | 1999-11-02 | 2004-01-13 | Agere Systems Inc. | Application usage time limiter |
US6678734B1 (en) | 1999-11-13 | 2004-01-13 | Ssh Communications Security Ltd. | Method for intercepting network packets in a computing device |
US6990591B1 (en) | 1999-11-18 | 2006-01-24 | Secureworks, Inc. | Method and system for remotely configuring and monitoring a communication device |
US6957348B1 (en) | 2000-01-10 | 2005-10-18 | Ncircle Network Security, Inc. | Interoperability of vulnerability and intrusion detection systems |
US7315801B1 (en) * | 2000-01-14 | 2008-01-01 | Secure Computing Corporation | Network security modeling system and method |
US6851061B1 (en) * | 2000-02-16 | 2005-02-01 | Networks Associates, Inc. | System and method for intrusion detection data collection using a network protocol stack multiplexor |
US20010034847A1 (en) | 2000-03-27 | 2001-10-25 | Gaul,Jr. Stephen E. | Internet/network security method and system for checking security of a client from a remote facility |
JP2001285400A (ja) * | 2000-03-29 | 2001-10-12 | Kddi Corp | トラヒック統計情報収集方法 |
US7134141B2 (en) | 2000-06-12 | 2006-11-07 | Hewlett-Packard Development Company, L.P. | System and method for host and network based intrusion detection and response |
US8661539B2 (en) * | 2000-07-10 | 2014-02-25 | Oracle International Corporation | Intrusion threat detection |
US20020087716A1 (en) | 2000-07-25 | 2002-07-04 | Shakeel Mustafa | System and method for transmitting customized multi priority services on a single or multiple links over data link layer frames |
US6772196B1 (en) * | 2000-07-27 | 2004-08-03 | Propel Software Corp. | Electronic mail filtering system and methods |
US6766320B1 (en) | 2000-08-24 | 2004-07-20 | Microsoft Corporation | Search engine with natural language-based robust parsing for user query and relevance feedback learning |
US7181769B1 (en) * | 2000-08-25 | 2007-02-20 | Ncircle Network Security, Inc. | Network security system having a device profiler communicatively coupled to a traffic monitor |
US7032114B1 (en) * | 2000-08-30 | 2006-04-18 | Symantec Corporation | System and method for using signatures to detect computer intrusions |
US20020035639A1 (en) * | 2000-09-08 | 2002-03-21 | Wei Xu | Systems and methods for a packet director |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US20020066034A1 (en) | 2000-10-24 | 2002-05-30 | Schlossberg Barry J. | Distributed network security deception system |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US20020083344A1 (en) * | 2000-12-21 | 2002-06-27 | Vairavan Kannan P. | Integrated intelligent inter/intra networking device |
US6792269B2 (en) * | 2000-12-22 | 2004-09-14 | Bellsouth Intellectual Property Corporation | System, method and apparatus for tracking deployment of cellular telephone network sites |
JP3672242B2 (ja) * | 2001-01-11 | 2005-07-20 | インターナショナル・ビジネス・マシーンズ・コーポレーション | パターン検索方法、パターン検索装置、コンピュータプログラム及び記憶媒体 |
US7058821B1 (en) | 2001-01-17 | 2006-06-06 | Ipolicy Networks, Inc. | System and method for detection of intrusion attacks on packets transmitted on a network |
US20020165707A1 (en) | 2001-02-26 | 2002-11-07 | Call Charles G. | Methods and apparatus for storing and processing natural language text data as a sequence of fixed length integers |
US7308715B2 (en) | 2001-06-13 | 2007-12-11 | Mcafee, Inc. | Protocol-parsing state machine and method of using same |
FI114416B (fi) * | 2001-06-15 | 2004-10-15 | Nokia Corp | Menetelmä elektroniikkalaitteen varmistamiseksi, varmistusjärjestelmä ja elektroniikkalaite |
US7096503B1 (en) * | 2001-06-29 | 2006-08-22 | Mcafee, Inc. | Network-based risk-assessment tool for remotely detecting local computer vulnerabilities |
US6978223B2 (en) * | 2001-09-06 | 2005-12-20 | Bbnt Solutions Llc | Systems and methods for network performance measurement using packet signature collection |
US7406526B2 (en) * | 2001-09-28 | 2008-07-29 | Uri Benchetrit | Extended internet protocol network address translation system |
US6999998B2 (en) * | 2001-10-04 | 2006-02-14 | Hewlett-Packard Development Company, L.P. | Shared memory coupling of network infrastructure devices |
WO2003036914A1 (en) * | 2001-10-25 | 2003-05-01 | General Dynamics Government Systems Corporation | A method and system for modeling, analysis and display of network security events |
US7472167B2 (en) * | 2001-10-31 | 2008-12-30 | Hewlett-Packard Development Company, L.P. | System and method for uniform resource locator filtering |
US20030101353A1 (en) * | 2001-10-31 | 2003-05-29 | Tarquini Richard Paul | Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto |
US20030083847A1 (en) * | 2001-10-31 | 2003-05-01 | Schertz Richard L. | User interface for presenting data for an intrusion protection system |
US6546493B1 (en) * | 2001-11-30 | 2003-04-08 | Networks Associates Technology, Inc. | System, method and computer program product for risk assessment scanning based on detected anomalous events |
EP1461707A1 (en) * | 2001-12-31 | 2004-09-29 | Citadel Security Software Inc. | Automated computer vulnerability resolution system |
US6993706B2 (en) * | 2002-01-15 | 2006-01-31 | International Business Machines Corporation | Method, apparatus, and program for a state machine framework |
US7257630B2 (en) * | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
US7152105B2 (en) | 2002-01-15 | 2006-12-19 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
JP4152108B2 (ja) * | 2002-01-18 | 2008-09-17 | 株式会社コムスクエア | 脆弱点監視方法及びシステム |
US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
US7174566B2 (en) * | 2002-02-01 | 2007-02-06 | Intel Corporation | Integrated network intrusion detection |
US7769997B2 (en) * | 2002-02-25 | 2010-08-03 | Network Resonance, Inc. | System, method and computer program product for guaranteeing electronic transactions |
US20030229726A1 (en) | 2002-03-18 | 2003-12-11 | Daseke Michael J. | Default device configuration system and method for thin devices |
WO2003084181A1 (en) * | 2002-03-29 | 2003-10-09 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
JP4047053B2 (ja) * | 2002-04-16 | 2008-02-13 | 富士通株式会社 | 繰り返しを含む順序パターンを用いた検索装置および方法 |
US7383577B2 (en) * | 2002-05-20 | 2008-06-03 | Airdefense, Inc. | Method and system for encrypted network management and intrusion detection |
WO2003100617A1 (en) * | 2002-05-22 | 2003-12-04 | Lucid Security Corporation | Adaptive intrusion detection system |
US6983323B2 (en) * | 2002-08-12 | 2006-01-03 | Tippingpoint Technologies, Inc. | Multi-level packet screening with dynamically selected filtering criteria |
US7069438B2 (en) * | 2002-08-19 | 2006-06-27 | Sowl Associates, Inc. | Establishing authenticated network connections |
US20040064726A1 (en) | 2002-09-30 | 2004-04-01 | Mario Girouard | Vulnerability management and tracking system (VMTS) |
US20040093582A1 (en) | 2002-11-01 | 2004-05-13 | Segura Tim E. | Method for allowing a computer to be used as an information kiosk while locked |
US7363656B2 (en) * | 2002-11-04 | 2008-04-22 | Mazu Networks, Inc. | Event detection/anomaly correlation heuristics |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
KR100456635B1 (ko) * | 2002-11-14 | 2004-11-10 | 한국전자통신연구원 | 분산 서비스 거부 공격 대응 시스템 및 방법 |
US7350077B2 (en) * | 2002-11-26 | 2008-03-25 | Cisco Technology, Inc. | 802.11 using a compressed reassociation exchange to facilitate fast handoff |
US7353533B2 (en) * | 2002-12-18 | 2008-04-01 | Novell, Inc. | Administration of protection of data accessible by a mobile device |
US20040193943A1 (en) * | 2003-02-13 | 2004-09-30 | Robert Angelino | Multiparameter network fault detection system using probabilistic and aggregation analysis |
US7536456B2 (en) * | 2003-02-14 | 2009-05-19 | Preventsys, Inc. | System and method for applying a machine-processable policy rule to information gathered about a network |
WO2004079571A2 (en) * | 2003-02-28 | 2004-09-16 | Lockheed Martin Corporation | Hardware accelerator state table compiler |
US7706378B2 (en) * | 2003-03-13 | 2010-04-27 | Sri International | Method and apparatus for processing network packets |
US7185015B2 (en) * | 2003-03-14 | 2007-02-27 | Websense, Inc. | System and method of monitoring and controlling application files |
US8127359B2 (en) * | 2003-04-11 | 2012-02-28 | Samir Gurunath Kelekar | Systems and methods for real-time network-based vulnerability assessment |
US7305708B2 (en) | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7644275B2 (en) * | 2003-04-15 | 2010-01-05 | Microsoft Corporation | Pass-thru for client authentication |
WO2004100011A1 (en) | 2003-04-29 | 2004-11-18 | Threatguard, Inc. | System and method for network security scanning |
US20040221176A1 (en) | 2003-04-29 | 2004-11-04 | Cole Eric B. | Methodology, system and computer readable medium for rating computer system vulnerabilities |
US7349400B2 (en) | 2003-04-29 | 2008-03-25 | Narus, Inc. | Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network |
US7317693B1 (en) * | 2003-05-12 | 2008-01-08 | Sourcefire, Inc. | Systems and methods for determining the network topology of a network |
US7089383B2 (en) | 2003-06-06 | 2006-08-08 | Hewlett-Packard Development Company, L.P. | State machine and system for data redundancy |
US7636917B2 (en) | 2003-06-30 | 2009-12-22 | Microsoft Corporation | Network load balancing with host status information |
US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
US7346922B2 (en) * | 2003-07-25 | 2008-03-18 | Netclarity, Inc. | Proactive network security system to protect against hackers |
US7133916B2 (en) | 2003-07-28 | 2006-11-07 | Etelemetry, Inc. | Asset tracker for identifying user of current internet protocol addresses within an organization's communications network |
US20050114700A1 (en) * | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
US7467202B2 (en) | 2003-09-10 | 2008-12-16 | Fidelis Security Systems | High-performance network content analysis platform |
US8417673B2 (en) * | 2003-10-07 | 2013-04-09 | International Business Machines Corporation | Method, system, and program for retaining versions of files |
US7725936B2 (en) * | 2003-10-31 | 2010-05-25 | International Business Machines Corporation | Host-based network intrusion detection systems |
US7581249B2 (en) | 2003-11-14 | 2009-08-25 | Enterasys Networks, Inc. | Distributed intrusion response system |
EP1549012A1 (en) | 2003-12-24 | 2005-06-29 | DataCenterTechnologies N.V. | Method and system for identifying the content of files in a network |
GB2410647A (en) * | 2004-01-31 | 2005-08-03 | Hewlett Packard Development Co | Identifying and Patching Vulnerabilities in a Network |
US20050188079A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring usage of a server application |
US7313695B2 (en) | 2004-03-23 | 2007-12-25 | Sourcefire, Inc. | Systems and methods for dynamic threat assessment |
US7761918B2 (en) * | 2004-04-13 | 2010-07-20 | Tenable Network Security, Inc. | System and method for scanning a network |
US7366728B2 (en) | 2004-04-27 | 2008-04-29 | International Business Machines Corporation | System for compressing a search tree structure used in rule classification |
WO2005114541A2 (en) | 2004-05-19 | 2005-12-01 | Computer Associates Think, Inc. | Systems and methods for minimizing security logs |
US20050268331A1 (en) | 2004-05-25 | 2005-12-01 | Franck Le | Extension to the firewall configuration protocols and features |
US8074277B2 (en) | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
US7480245B2 (en) * | 2004-12-11 | 2009-01-20 | International Business Machines Corporation | Segmenting data packets for over-network transmission at adjustable fragment boundary |
US10015140B2 (en) * | 2005-02-03 | 2018-07-03 | International Business Machines Corporation | Identifying additional firewall rules that may be needed |
US7454790B2 (en) | 2005-05-23 | 2008-11-18 | Ut-Battelle, Llc | Method for detecting sophisticated cyber attacks |
US20060294588A1 (en) | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
US20070027913A1 (en) * | 2005-07-26 | 2007-02-01 | Invensys Systems, Inc. | System and method for retrieving information from a supervisory control manufacturing/production database |
US8077718B2 (en) * | 2005-08-12 | 2011-12-13 | Microsoft Corporation | Distributed network management |
US7873025B2 (en) * | 2006-02-23 | 2011-01-18 | Cisco Technology, Inc. | Network device that determines application-level network latency by monitoring option values in a transport layer message |
GB2432933B (en) | 2006-03-14 | 2008-07-09 | Streamshield Networks Ltd | A method and apparatus for providing network security |
US7958227B2 (en) | 2006-05-22 | 2011-06-07 | Mcafee, Inc. | Attributes of captured objects in a capture system |
US7930747B2 (en) * | 2007-01-08 | 2011-04-19 | Trend Micro Incorporated | Host intrusion prevention server |
US7936794B2 (en) * | 2007-08-07 | 2011-05-03 | Avaya Inc. | Clock management between two end points |
-
2005
- 2005-11-14 US US11/272,035 patent/US8046833B2/en active Active
-
2006
- 2006-11-09 WO PCT/US2006/043820 patent/WO2007058952A2/en active Application Filing
- 2006-11-09 JP JP2008540218A patent/JP2009516266A/ja not_active Withdrawn
- 2006-11-09 EP EP06837345.5A patent/EP1949235A4/en not_active Withdrawn
- 2006-11-09 CA CA002629723A patent/CA2629723A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
US20080244741A1 (en) | 2008-10-02 |
EP1949235A2 (en) | 2008-07-30 |
CA2629723A1 (en) | 2007-05-24 |
WO2007058952A2 (en) | 2007-05-24 |
EP1949235A4 (en) | 2014-09-03 |
WO2007058952A3 (en) | 2009-05-07 |
US8046833B2 (en) | 2011-10-25 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2009516266A (ja) | ネットワーク発見情報を用いた侵入イベント相関方法およびシステム | |
US7467205B1 (en) | Systems and methods for identifying the client applications of a network | |
US7949732B1 (en) | Systems and methods for determining characteristics of a network and enforcing policy | |
US7237267B2 (en) | Policy-based network security management | |
US8176544B2 (en) | Network security system having a device profiler communicatively coupled to a traffic monitor | |
US8839442B2 (en) | System and method for enabling remote registry service security audits | |
US8918875B2 (en) | System and method for ARP anti-spoofing security | |
US20060203815A1 (en) | Compliance verification and OSI layer 2 connection of device using said compliance verification | |
US20040083388A1 (en) | Method and apparatus for monitoring data packets in a packet-switched network | |
Al Sukkar et al. | Address resolution protocol (ARP): Spoofing attack and proposed defense | |
CN114172881B (zh) | 基于预测的网络安全验证方法、装置及系统 | |
Cisco | Configuring the Global Policy Override Settings for Policy Enforcement Points | |
JP3880530B2 (ja) | 動的アドレス付与サーバを利用したクライアントの安全性検診システム | |
JP4710889B2 (ja) | 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム | |
Deri et al. | Improving network security using Ntop | |
CN117499267B (zh) | 网络设备的资产测绘方法、设备及存储介质 | |
KR100730966B1 (ko) | 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템 | |
JP2006074363A (ja) | 排他的ネットワーク管理システム及びその管理方法 | |
Deri et al. | Ntop: a lightweight open-source network ids | |
CA2500511A1 (en) | Compliance verification and osi layer 2 connection of device using said compliance verification |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A300 | Application deemed to be withdrawn because no request for examination was validly filed |
Free format text: JAPANESE INTERMEDIATE CODE: A300 Effective date: 20100202 |