JP2009516266A - ネットワーク発見情報を用いた侵入イベント相関方法およびシステム - Google Patents

ネットワーク発見情報を用いた侵入イベント相関方法およびシステム Download PDF

Info

Publication number
JP2009516266A
JP2009516266A JP2008540218A JP2008540218A JP2009516266A JP 2009516266 A JP2009516266 A JP 2009516266A JP 2008540218 A JP2008540218 A JP 2008540218A JP 2008540218 A JP2008540218 A JP 2008540218A JP 2009516266 A JP2009516266 A JP 2009516266A
Authority
JP
Japan
Prior art keywords
network
information
event
policy
intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008540218A
Other languages
English (en)
Inventor
グスタフソン、エリック
ピー. リッターマン、ブライアン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sourcefire LLC
Original Assignee
Sourcefire LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sourcefire LLC filed Critical Sourcefire LLC
Publication of JP2009516266A publication Critical patent/JP2009516266A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

ポリシーコンポーネントは、ポリシー構成情報からなる。ポリシー構成情報は、一または複数の規則を含む。各々の規則とそのグループは、応答動作のセット(25)に関連付けできる。監視したネットワーク(40)上のノードが変更されるか、または侵入イベントがネットワーク上において導入されると、ネットワーク変更イベントまたは侵入イベント(22)が生成される。ポリシーコンポーネントは、ネットワーク変更イベントまたは侵入イベントのいずれか1つをネットワークマップ(15)情報に相関付ける。ネットワークマップ(15)は、ネットワークトポロジ、サービスおよびネットワーク装置の情報を含む。特定の条件が相関に基づき満たされる場合、ポリシー違反イベントが、アラート(35)または修復(30)をもたらすシステムによって発行可能である。

Description

本発明の実施形態は、コンピュータネットワークの特性を判定するためのシステムと方法に関する。特に、本発明の実施形態は、自動的且つ受動的にコンピュータネットワークのホスト構成を判定することに関する。
コンピュータとこのようなコンピュータに接続するコンピュータネットワークは、現代社会において極めて重要な構成要素である。残念ながら、このようなコンピュータネットワークは、内部と外部の敵意あるソースから攻撃を受易い。このような攻撃を防ぐために侵入検出システム(IDS)が使用される。従来の侵入検出システムは、トラフィックに関してネットワークトラフィックを分析することによって機能する。しかし、侵入検出システムは、ネットワークトラフィックのエンドポイントを認識しない。エンドポイントとは、発信元と受信者のメッセージトラフィックのことである。たとえばこのようなエンドポイントとしては、クライアントやサーバが挙げられる。エンドポイントを分析することによって、ホストアドレスやサービスなどネットワークに関してコンテキスト情報が分かる。これらのエンドポイントを考慮に入れないと、ネットワークに関してコンテキスト情報の極めて重要な部分が失われる。この結果、コンピュータネットワークトラフィックのエンドポイントに関する情報を提供する技術がとても必要である。
侵入検出システムは、監視しているコンピュータネットワークに関してコンテキスト情報を持たないため、実際よりも効果が小さい。たとえばコンテキスト情報がなければ、侵入検出システムは、検出回避として知られるコンピュータネットワーク攻撃を受け易い。コンテキスト情報の欠如は、侵入検出システム(IDS)を更に攻撃され易くするだけでなく、侵入検出システムの効率も低下させる。このような1つの非効率として、コンテキスト情報がなければ、侵入検出システムは攻撃が害を及ぼすか否か見分けできない。攻撃は、ターゲットホスト上において実行される特定のサービスに向けられることができる。ターゲットホストにおいて実行されるサービスに関する情報なしに、侵入検出システムは、狙われているサービスをホストが実行していなくても攻撃を誤って検出することがある。つまり侵入検出システムは、攻撃が無害であっても警告を発行する。このようなイベントは、誤検出と呼ばれる。多数の誤検出は、ネットワーク上のホストを害する本当の攻撃を見つけることを一層困難にし、高コストにする。
コンテキスト情報を侵入検出システムに提供する従来の技術が幾つか知られている。このような技術の1つは、人が手動で各々のホストを監視して、すべての希望するコンテキスト情報を収集するものである。この手動方式は、時間が掛かる、エラーが生じ易い、メンテナンスが困難であるなどの短所が数多くある。これらの欠点の1つの理由は、現実的にネットワークが動的であるということである。コンピュータネットワークのホストコンピュータは、追加されたり、取外されたり、再構成されたりする。これらの修正が細部に至るまで正確に記載されていなければ、コンテキスト情報が最新のものであるか確認するためにネットワーク上の各々のコンピュータを定期的に巡回しなければならない。
コンテキスト情報を侵入検出システムに提供する別の従来の方式は、自動発見システムである。従来の自動発見システムは、アクティブスキャンシステムであり、コンピュータネットワーク上のエンドホストをアクティブに調査し、エンドホストにおいて刺激応答テストを実施して、エンドホストに存在する脆弱性を見つけ出して記録する。手動ではないが、スキャンシステムは様々な問題を抱える。1つの問題は、アクティブスキャンがネットワークに対して有害であるということである。脆弱性のテストにおいて、スキャンシス
テムによってルータとサーバの両方が誤動作を引き起こしたり、機能を停止したりすることがある。別の問題は、多くの例において、アクティブスキャナが提供する情報と、侵入検出システムが使用できる情報との間に1対1のマッピングが存在しないため、スキャンシステムが有益な情報を侵入検出システムに提供できないことである。別の問題は、スキャンが実施されるときにアクティブスキャナだけがネットワークのスナップショットを提供することにある。ホストは、脆弱なサービスを一時的に実行可能であるため、このスナップショットには問題がある。このような場合、脆弱なサービスを実行していないときにアクティブスキャンを実行する場合もある。この結果、脆弱性の一時的性質にも拘わらず、アクティブスキャンはアラームを発行しない。
自動的且つ受動的にホストの構成を判定する利点がある一方で、受動的に判定したマップに役立つ情報が組込まれていない場合が存在することもある。前述を鑑みると、コンピュータネットワークの自動的且つ受動的に判定したホスト構成を修正するためのユーザインタフェースを効率的に提供できるシステムと方法の必要性が実質的にあることを十分理解できる。
本発明の実施形態は、たとえばポリシーコンポーネントによってネットワークマップに記憶されたネットワーク特性を用いて、侵入検出システムイベントのようなイベントに相互に関連付けることによって誤検出を最小限にする。この方法において、ポリシーコンポーネントにおける誤検出を低減できる。
本発明の一実施形態は、ポリシー構成情報が一または複数の規則からなるポリシーコンポーネントにおけるポリシー構成情報の使用を含むネットワークの特性を自動的且つ受動的に判定する方法を含む。イベントは、ネットワーク上において識別される。このイベントとの関連付けは、IPアドレスまたはMACアドレス(メディアアクセスコントロールアドレス)などのネットワークアドレスである。このイベントは、この処理のポリシーコンポーネントにおける一または複数の規則に基づき評価される。この処理の一部として、ポリシーコンポーネントは、ネットワークマップにアクセスし、イベント情報が相関処理の一部として一または複数の基準に一致するか否か判定する。またこのイベントは、一または複数の基準に一致するという判定に基づきポリシー違反イベントを生成する。たとえば侵入イベント情報は、ポリシーコンポーネントの一または複数の規則に関連付けたクエリに応答するために、ネットワークマップ情報に相関付けられることが可能である。
本発明の別の実施形態は、自動的且つ受動的にネットワークの特性を判定するシステムを含む。前記システムは、ネットワークマップ記憶装置とポリシーコンポーネントを含む。ネットワークマップ記憶装置は、ネットワーク装置アドレス、サービス、およびネットワークトポロジ情報を含む。ポリシーコンポーネントは、侵入イベントを受信して一または複数のネットワーク構成規則を実行する。しかもポリシーコンポーネントは、侵入情報に関連付けられた装置アドレスによって提供されるリンクを通じてネットワークマップ記憶装置内の情報にアクセスし、一または複数の規則を評価することの一部として、侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する。イベントの評価が完了すると、たとえばイベントが許可されたものでないと判定した場合、ポリシー違反が生成可能である。ポリシー違反イベントの開始に際して、システムによって修復またはアラートの実行が可能である。装置アドレスは、IPアドレスまたはメディアアクセスコントロールアドレスを含む通信またはコンピュータの任意のタイプのアドレスとすることが可能である。侵入イベントは、ネットワーク上の一または複数のパケットの受信、復号、および解析に基づき識別可能である。
一または複数のポリシーに基づいたネットワークイベントを処理するシステムと方法の実施形態は、本発明のこの詳細な説明において記述される。この詳細な説明によれば、説明を目的として、多くの特有の詳細が、本発明の実施形態を完全に理解できるように示されている。しかし、当然のことながら、当業者は、これらの詳細が示されていなくても、本発明の実施形態を実施できる。他の例においては、ブロック図の形態で構造と装置が示されている。更に当業者は、方法を提示して実施される特定の順序が実例であることを容易に理解でき、この順序は、修正されることも可能であり、また本発明の実施形態の精神と範囲は、維持されたままであると考えられる。
図1は、本発明の実施形態にかかる侵入イベント情報をネットワーク発見情報に相関付ける例示的なシステム5を示す。一または複数のセキュリティ装置20は、攻撃の識別を実行し、イベントを生成する。一または複数のセキュリティ装置20は、侵入検出システム(IDS)、ネットワーク侵入検出システム(NID)、ネットワーク管理システム(NMS)、ネットワークセンサ、ホスト侵入検出システム(HID)、ルータ、ファイアウォール、およびシステムロガーを具備できる。図1の実施形態は、ターゲットネットワーク装置に関する公知の前から存在するホストとサービスの情報を、イベント情報に相関付けることによって、侵入検出システムの誤検出を減少できる。
本システムの一実施形態では、単一のコンピュータは、ポリシーコンポーネント10、ネットワークマップ15、セキュリティ装置20、および応答コンポーネント25を具備できる。他の実施形態では、複数のコンピュータは、別々に各々のコンピュータを収容すること、または上記のコンポーネントの組合せを具備できる。たとえばポリシーコンポーネント10は、任意の伝送媒体を通じて、別のコンピュータに記憶されているネットワークマップ15に通信できる。単一のコンポーネントは、複数の装置に亘って分散可能である。たとえばポリシーコンポーネント10は、複数のコンピュータに亘って分散可能である。ポリシーコンポーネント10とネットワークマップ15は、RAM、ROM、EPROM、EEPROM、フラッシュROM、または取外可能な記憶装置を含む揮発性または不揮発性の記憶装置に記憶可能である。図1に示すネットワークは、インターネット、イントラネット、LAN、オンライン情報ネットワーク、ワイヤレスネットワーク、プライベートネットワークまたはパブリックネットワーク(たとえばPSTN)、音声またはデータネットワークのいずれか1つ、またはケーブルとdBS(直接放送衛星)を含む一または複数のネットワークを表わすことがある。
以下で詳細に説明するように、ネットワークのネットワーク構成と使用ポリシーは、ネットワークに対して定義付けられ、ポリシーエンジン10に適用できる。ユーザはポリシーを構成する。ポリシーは、規則のリストと規則のグループによって構成される。各々の規則と規則のグループは、応答動作のセットに関連付けできる。アクティブポリシーの一部となるように各々の規則をアクティブにできる。監視しているネットワーク上のノードが変更されると、その変更を反映するためイベントが生成される。たとえばホスト上において新しいサービスが検出された場合、新しいサービス情報を含むイベントが生成される。イベントとイベントに含まれるデータは、現在アクティブになっているポリシーに基づき評価される。誤検出を低減させる助けとなるように、イベントと前記イベントに含まれるデータは、ネットワークマップ15の情報に相関付けられる。イベントまたはイベントに含まれるデータが規則を起動する場合、一または複数の構成応答を開始するイベント22が生成される。
図1を参照して、ネットワークマップの現在のスナップショットを維持するようにネットワークマップ15を構成できる。ネットワークマップ15は、たとえば以下で詳細に説
明するように、ホスト、ネットワークトポロジ、サービス、および脆弱性に関する情報を包含できる。
ポリシーエンジン10は、ネットワークマップ15に対して新しいイベントをマッピングし、以下で説明するような任意のポリシーイベントが存在しているか否か判定する。ポリシー違反が存在していれば、図1に示すように、一または複数の修復30を実行するか、またはアラート35を出力できる。
[イベントの検出]
一または複数のセキュリティ装置20たとえば侵入検出システムによって生成されたイベントは、収集され、ポリシーコンポーネント10に送信される。この方法の別の実施形態においては、イベントは収集され、第1のイベントはデータベースに記憶され、ポリシーコンポーネント10に送信される。
侵入イベントは、多数の異なる方法論によって一または複数のセキュリティ装置20からの侵入イベントを判定できる。本発明の実施形態は、受動的に判定されるネットワークマップまたは特性データベースに適用できる。これらのシステムは、ネットワーク間を移動するパケットを検査するために受動的である。つまりこれらのシステムは、能動スキャンを実行しない。これらのシステムは、殆どまたは全く人の介入を必要としないために自動的である。このような受動的システムは、(1)ネットワーク上においてネットワーク装置を識別すること、(2)オペレーティングシステムとネットワーク装置上において動作するサービスを識別すること、(3)ネットワーク上において生じる変更をリアルタイムに記録すること、および(4)ネットワーク報告メカニズムによって使用できる形式でこの情報を収集することを含む機能の実行によって動作する。例示的なネットワーク報告メカニズムは、侵入検出システムとネットワーク管理システム(NMS)を含む。
図1に示すように、セキュリティ装置20は、ネットワークに送信されるトラフィック40を受動的に収集し、データを復号化し、次にそのデータを、確定したオペレーティングシステムおよびサービスフィンガープリントと比較する。またセキュリティ装置20は、少なくとも1つの監視したホストが関わるネットワークセッションからデータを収集する。
図1に示すセキュリティ装置20を再び参照することによって、ネットワーク報告メカニズムは、ネットワークに関する特性情報について、リアルタイムでネットワーク40間を移動するパケットを調べることができる。特性情報の1つのこのようなタイプは、ネットワーク上のネットワーク装置またはホストに関する情報である。当業者は、ネットワーク装置がネットワーク接続を備えた任意の装置であると理解できる。ネットワーク装置は、ホスト、サーバ、ゲートウェイ、ブリッジ、コンピュータ、プリンタ、スイッチ、ゲーム機、ワイヤレス装置、携帯電話、ネットワーク化テレビ、PDA、およびルータを包含できるが、これらに限定されない。
[ネットワークマップ]
図1を参照して、ネットワークマップ15は、ホスト、サービス、ネットワークトポロジ、および脆弱性を含むデータベースである。幾つかの実施形態では、データベースは、ホストまたは他のネットワーク装置のIPアドレスに連携する。この方法において、ネットワークマップに対するクエリは、IPアドレスまたは他のタイプのアドレスを使用して識別可能である。ネットワークマップは、各々のホスト、ブリッジまたはルータ、サービスのプロファイル、およびネットワーク上の各々のRNAセンサの脆弱性を提供する。ネットワークマップを使用することによって、特定ホストのホストプロファイルを表示できる。ホストプロファイルは、ホスト、実行中のサービス、特定ホストの脆弱性に関する詳
細な情報を包含できる。見出されたホストとサービスは、ネットワークのネットワークマップ表現でマッピングできる。
ネットワークマップは、ネットワーク上に常駐するホスト、ネットワーク上のブリッジ(ハブ、ルータ、またはスイッチを含むことが可能である)、ネットワーク上において実行されるサービス、オペレーティングシステム、またはネットワーク上の脆弱性のいずれかの点からネットワークトポロジを表示できる。ユーザは、慣れたユーザインタフェースを介して上記のいずれかを表示できる。ネットワークマップは、以下のコンポーネントに分割できる。つまりネットワークマップは、ホストマップ(コンピュータ、プリンタなどのネットワーク装置を表示)、ブリッジマップ(ネットワーク上において検出されたブリッジ、スイッチ、またはルータを表示)、サービスマップ(ネットワーク上において検出されたサービスを表示)、および脆弱性マップ(ネットワーク上において検出された脆弱性を表示)に分割できる。
ネットワークマップの情報は、一または複数のセンサから送られてくる。一または複数のセンサが存在する場合、このデータは、複合ネットワークマップに相関付けできる。複数のセンサが同一のホストまたはサービスからイベントを生成する場合、この情報は所定のプロトコルによって各々のセンサから前記ホストまたはサービスの複合表現に組合わせされる。
ネットワークマップは、特定のホストのホストプロファイルを包含できる。ホストプロファイルは、ホスト、実行中のサービス、特定ホストの脆弱性に関する情報を含む。1つの例示的なホストプロファイルは、以下の一または複数の、ホスト名、ホストを検出したセンサからのネットワークホップの距離、オペレーティングシステム、ホストタイプ、このホストの重要度レベル(自動またはユーザ指定のもの)、ホストに関わるイベントに対するリンク、ホストがソースIPまたは宛先IPのいずれかである場合の侵入イベントに対するリンク、ホストによって使用されるプロトコル、ホスト上において実行されるサービス、攻撃を受ける可能性があるホストの脆弱性を含むことが可能である。ホストプロファイルは、ユーザインタフェースを介してユーザによって表示可能である。
ネットワークマップのブリッジ部は、ネットワークの1つのセグメントを別のセグメントに接続するネットワークブリッジとルータの情報を含む。ブリッジ部は、ユーザインタフェースを通じてユーザによって表示可能である。
ネットワークマップのサービス部は、ネットワーク上において実行されているサービス、各々のサービスのベンダおよびバージョン、ならびに各々のサービスを実行するホストの表示を提供する。ユーザは、ホストのサービスと各々のサービスを実行するリストを表示するために、ユーザインタフェースを介してネットワークマップにアクセス可能である。
ネットワークトラフィックに応答して、ネットワーク装置のID(識別データ)が記録される。IDは、たとえばファイルまたはデータベースにデータ構造として記憶される。パケットは、以前に記録されているネットワーク装置を識別する場合、現在の情報と以前の情報が比較され、いずれの修正も記録される。修正が見つからない場合、新しい情報は記録されない。いずれにしても次のパケットが読取られる。
図2は、本発明の実施形態によってネットワーク特性を自動的且つ受動的に判定するための例示的な方法100を示すフローチャートである。
方法100のステップ110において、ネットワーク上を転送されるパケットが読取られる。ステップ120においてネットワーク装置は、パケットを用いて識別される。ネッ
トワーク装置としてはコンピュータ、プリンタ、およびルータがあるが、これらに限定されない。当業者は、ネットワーク装置がホストとも呼ばれることを十分に認識している。ステップ130では、ネットワーク装置のIDが記録される。IDは、たとえばファイルまたはデータベースにデータ構造として格納される。パケットが以前に記録されたネットワーク装置を識別する場合、現在の情報が以前の情報と比較され、修正点が記録される。修正が見つからなければ、新たな情報は記録されない。いずれの場合でも、次のパケットを読取るために方法100はステップ110に戻る。
更にたとえばネットワーク装置のオペレーティングシステム、ルータ、ネットワーク装置上において実行されているサービス、ネットワーク上の伝送制御プロトコルまたはサブセットは、2004年5月12日に出願された「ネットワーク特性を判定し、脆弱性を解析するためのシステムおよび方法」という発明の名称の米国特許出願第10/843,459号に記載されるような任意の方法によって判定でき、参照によってその全体をここに援用する。更に2つのサブネット間の距離を判定するための、ネットワーク上の推測されるサブネットを生成するための、および脆弱性をネットワーク装置に割当てるための方法が米国特許出願第10/843,459号に示される。
図3は、ネットワーク装置情報またはホスト情報を格納する例示的なデータ構造である。このデータ構造は、ホストの代表的データ構造である。限定されない例として、ホスト情報に、イニシエータIP(インターネットプロトコル)アドレス、各々のメディアアクセスコントロールアドレス(MACアドレス)用の有効期限(TTL)パラメータを持ったメディアアクセスコントロールアドレスのリスト、オペレーティングシステムのリスト、ネットワークプロトコルのリスト、トランスポートプロトコルのリスト、通信制御プロトコル(TCP)サービスデータ構造、ユーザデータグラムプロトコル(UDP)サービスデータ構造のリスト、仮想LAN(VLAN)タグ、および最終確認日時を含めることができる。ネットワーク上の少なくとも1つのネットワーク装置のIPアドレス、メディアアクセスコントロールアドレス、およびTTLパラメータは、通常、ネットワーク上を転送される各々のパケットに含まれる。この結果、ホスト情報のこれらの一部は、各々のパケットのネットワークプロトコルフィールドと転送プロトコルフィールドを直接的に構文解析することによって得られる。
[ポリシーエンジン]
図1を再び参照して、ポリシーエンジン10は、一または複数のポリシーからなる。ポリシーは、規則のリストと規則のグループによって構成される。各々の規則は、アクティブポリシーの一部となるようにアクティブにできる。監視されているネットワーク上のノードが修正されると、イベントが、その修正を反映するために生成される。ホスト上において新しいサービスが検出される場合、新しいサービス情報を含むイベントが生成される。イベントとこのイベントに含まれるデータは、現在アクティブになっているポリシーに基づき評価される。イベントまたは前記イベントに含まれるデータが規則を機能させなくする場合、構成応答を起動するイベント22が生成される。
別の実施形態では、ネットワーク上において受動的に発見された情報は、ネットワーク構成と使用ポリシーを実施するために使用される。この処理の一部として、ポリシーコンポーネントは、ネットワークマップにアクセスし、イベント情報が定義済みの範囲または値に一致するか否か判定する。使用ポリシーが阻害される場合、動作が実行される。例示的な動作は、発見された情報のタイプに基づき、またはこの情報が発見された場合のユーザへの警告とネットワークアクセスの拒否を包含できる。
1つの例示的な使用ポリシーは、オペレーティングシステムの未許可の使用を防止できる。発見されたオペレーティングシステムが、指定IPアドレスの容認可能なオペレーテ
ィングシステムに一致しない場合、動作が開始される。たとえばユーザは、Window(登録商標)2000とWindows(登録商標)XPのみが、ネットワーク上において使用可能であることを指定する。他のオペレーティングシステムを持つホストが検出された場合、アラートが生成され、害を及ぼすホストは、ファイアウォールによって阻止される。この処理の一部として、ポリシーコンポーネントはネットワークマップにアクセスし、オペレーティングシステム特性またはネットワーク装置特性が定義済みの範囲または値に一致するか否か判定する。
別の例示的な使用ポリシーは、未許可のサービス使用を防止する。禁止されているサービスが検出された場合、動作が開始される。たとえばユーザは、サービスAがサブネットXにおいて許可されないように指定する。サービスAがサブネットXにおいて検出された場合、アラートが生成される。再びこの処理の一部としてポリシーコンポーネントは、イベントをネットワークマップに関連付けるためにネットワークマップにアクセスし、サービスイベントに関連する情報が定義済みの範囲または値に一致するか否か判定する。たとえば特定のIPアドレスが、特定のサービスまたはアプリケーションを有することが許可されているか否か判定するために、ネットワークマップが照会可能である。別の例では、ネットワークマップは、Linux(登録商標)がサブネットZのために唯一許可されたオペレーティングシステムであることを示唆可能である。更に唯一許可されたサービスは、セキュアシェル(SSH)とセキュアソケットレイヤ(SSL)である。例外は、ホストXが、追加的にHTTPを実行可能なことである。またホストYは、サービスの制約条件を設けずにWindows(登録商標)2003サーバを実行可能である。このポリシーのいかなる違反も、ポリシー違反イベント(PVE)を生成する。
別の例示的な使用ポリシーは、イベントの制限である。アラートの重要度は、複数のソースから収集された情報に基づき調整される。たとえばIIS(インターネットインフォメーションサービス(登録商標))だけに影響を及ぼす攻撃が検出され、ホストがIISを実行するWindows(登録商標)システムである場合、重要度アラートを生成する。IISだけに影響を及ぼす攻撃が検出され、ホストがIISを実行できないLinux(登録商標)システムである場合、情報アラートが生成される。
別の例示的な使用ポリシーは、単一イベントの閾値を定義付けることである。指定時間内に同一タイプのイベントが複数検出されると、動作が開始される。たとえば10回の単一サービスへの不成功ログイン試行が30秒以内に検出された場合、アラートは、強制的なログイン試行を示すように生成される。別の例では、次に成功ログインが続く15回の単一サービスへの不成功ログイン試行が55秒以内に検出された場合、アラートが強制的な成功ログインを示すように生成され、クライアントシステムはファイアウォールによってブロックされる。
別の例示的な使用ポリシーは、侵入検出システムイベントのシーケンスの検出である。指定時間内に指定のシーケンスにおいて複数のイベントが検出されると、動作が開始される。たとえば単一のホストに向けられたイベントE、F、およびGのシーケンスは、ホストの妥協が正常であることの表示である。個々としてはイベントは重要でないと考えられ、無視される。しかし、順次60秒以内に起こる場合、イベントは重要なイベントであることを表わし、重要なアラートを生成する。
別の例では、バッファオーバーフロー攻撃はホストに対して検出され、また5秒以内に新しいテルネットサーバがホストによって検出される。重要なアラートが生成され、ファイアウォールはホストとの間でやり取りされるトラフィックをブロックする。
別の実施形態では、使用ポリシーは一時的な制約条件を維持する。禁止時間中に確立さ
れたセッションが検出されると、動作が開始される。たとえば通常のバーチャルプライベートネットワーク(VPN)接続は、東部標準時間の午前7時30分から午後9時までの間に行われる。午前2時から始まった接続は、アラートを生成する。別の例示的なポリシーは、統計学的な制約条件を維持する。正常なオペレーティングパラメータからの逸脱を検出されると、動作が開始される。たとえば、通常1時間当たり30000回のヒットを処理するウェブサーバは、現在1時間当たり5回のヒットを処理する。アラートが生成される。
追加ポリシー応答動作は、ローカルデータベース45に記録するイベントとサービスメッセージを記録し、シンプルネットワーク管理プロトコル(SNMP)トラップを実行し、電子メールメッセージを生成し、ネットワーク装置を制御し(たとえばファイアウォールを呼出すか、またはネットワークスイッチポートを無効にする)、侵入検出システムイベントの優先順位を上げるかまたは下げるシステムを含む。ノードがWindows(登録商標)オペレーティングシステムに変更され、Windows(登録商標)オペレーティングシステムを禁止することが書込まれたポリシーが電子メール応答動作によって実施するよう構成される場合、電子メールメッセージは、イベントデータと規則IDを含むように生成される。
更にポリシー解析は、2004年5月12日に出願された「ネットワーク特性を判定し、脆弱性を解析するためのシステムおよび方法」という発明の名称の米国特許出願第10/843,398号に記載されており、参照によってその全体をここに援用する。
図4は、本発明の実施形態にかかる受動的ネットワーク検出システムを使用するオペレーティングシステムに基づき、ネットワーク構成と使用ポリシーを実行するための方法2600を示すフローチャートである。方法2600のステップ2605において、オペレーティングシステムに対するネットワーク構成と使用ポリシーは、予め定義される。ステップ2610において、ネットワーク上においてネットワーク装置によって使用されるオペレーティングシステムは、ネットワークに送信されるパケットの読取、復号、解析によって判定される。ステップ2615において、オペレーティングシステムに対するネットワーク構成と使用ポリシーによって識別される動作が実行される。
図5は、本発明の実施形態にかかる受動的ネットワーク検出システムを使用するサービスに基づき、ネットワーク構成と使用ポリシーを実行する方法2700を示すフローチャートである。方法2700のステップ2705において、サービスに対するネットワーク構成と使用ポリシーは、予め定義される。ステップ2710において、ネットワーク上においてネットワーク装置によって使用されるサービスは、ネットワークに送信されるパケットの読取、復号、および解析によって判定される。ステップ2715において、サービスに対するネットワーク構成と使用ポリシーによって識別される動作が実行される。
[オペレーション]
図6は、本発明の実施形態にかかるポリシー違反イベント(PVE)を判定する例示的な方法のステップを示すフローチャートである。方法600のステップ610において、ネットワーク構成と使用ポリシーは、ネットワークに対して定義される。ステップ620において、新しいサービスのような新しい侵入イベントが、ネットワークに送信されるパケットの読取、復号、および解析によってネットワーク上のネットワーク装置に加えられるか否か判定する。たとえば侵入検出システムは、侵入イベントを識別可能である。ステップ630において、識別されたIPアドレスに関連付けられた新しいイベントは、ネットワークマップに報告される。たとえば識別されたサービスが新しい場合、新しいエントリがネットワークマップに生成される。イベントに関連付けられた情報が新しくなくて単なる更新である場合、ネットワークマップは新しい情報によって更新される。ステップ6
40においてポリシーエンジンは、ポリシーエンジンにおける一または複数の規則に対してイベント情報を評価する。この評価の一部として、ステップ650においてネットワークマップは、侵入イベントに関連付けられた識別IPアドレスを使用してアクセスされ、イベント情報が特定の基準に一致するか否か判定される。IPアドレスは、ネットワークマップにおけるホスト情報または他のネットワーク装置情報にリンクするように使用される。たとえばIPアドレスが、Windows(登録商標)オペレーティングシステムで動作することを判定できる。ステップ660において、この処理は、新しいサービスなどのイベントが一または複数の前述の規則の起動に基づき許可されているか否か判定する。新しいイベントが許可されていない場合、ポリシー違反イベント(PVE)が発行される。ポリシー違反イベントに基づき、修復またはアラートはシステムによって起動可能である。一実施形態において、ポリシー違反イベントは、データベース45に記録される。この方法において、ポリシー違反イベントは、任意のイベントタイプで生成でき、またトリガイベントのIPアドレスに基づきクエリが発行されるホスト情報などのネットワークマップ情報を用いて制約条件を設けることができる。
図6は、未許可のサービスがネットワーク装置に導入されているか否か判定するための例示的な処理を図示する。一方、同一または同様の方法論を使用して、たとえば以下のイベントを含む任意のイベントを判定できる。前記イベントは、指定IPアドレスに対する許可されないまたは許可されたオペレーティングシステム、イベントの制限、侵入検出システムイベントシーケンスの検出、バッファオーバーフローの検出、禁止時間中に確立されたセッションの検出、ネットワーク装置の許されない制御などを含む。
図7は、新しいサービスイベントを処理する例示的な方法を示す。この方法は、以下の仮説に基づき記述される。つまり未許可のサービスは、10.4.0.0の範囲内に入り、また80,8080または443として識別されたポート上において実行されるIPアドレスによって識別されるネットワーク装置上において開始される。ステップ700において、ネットワーク上の一または複数のパケットの解析に基づき、新しいサービスが侵入検出システムによって検出される。ステップ720において、新たに検出されたサービスイベントは、ネットワーク装置のIPアドレス(またはその他の識別子)に関連付けられたレコードに追加される。次に、サービスイベントと関連IPアドレスは、ステップ730においてポリシーエンジンに報告される。このポリシーエンジンは、イベント情報を一または複数の規則と比較する。ステップ740において、ポリシーエンジンは、IPアドレスが特定のカテゴリまたはクラスの範囲内に入るか否か判定する。たとえば特定のカテゴリは、10.4.0/16とすることも可能である。アドレスがこのカテゴリの範囲内に入らない場合、処理が違反なく完了される。しかし、IPアドレスが10.4.0/16の範囲内に入る場合、ポリシーエンジンは、ネットワークマップに通信して、ステップ750においてIPアドレスがWindows(登録商標)オペレーティングシステムに関連付けられているか否か判定する。この方法において、侵入イベント情報は、ネットワークマップにおいて現在のネットワーク特性に相関付けられる。次にステップ760において、ポリシーエンジンは、サービスイベントポートが特定の範囲内に入っているか、または80,8080または443などの特定値を持つか否か判定する。上記に該当する場合、ポリシー違反イベントは、ステップ770において発行される。この実施形態においては、修復が修復コンポーネントによって実施されるか、またはアラートがシステムによって発行される。
[修復とアラート]
ポリシーエンジンによって示されるように、コンプライアンスポリシーが阻害される場合、修復は、実施形態において実行されるプログラムを包含できる。修復モジュールは、違反を起動して特定の動作を実行したポリシー違反イベント(PVE)によって与えられる情報を使用できる。ポリシー違反が起動される場合、本発明の実施形態は、デフォルト
定義済みの修復モジュールと特定のタスクを実行するユーザカスタマイズ修復モジュールを包含できる。或る実施形態は、ユーザがポリシー違反イベントに応答するためにカスタム修復モジュールを生成し、アップロードすることを可能にするフレキシブルアプリケーションプログラミングインタフェース(API)を包含できる。
たとえばネットワークがLinux(登録商標)ベースのファイアウォールを実行している場合、修復モジュールは、Linux(登録商標)サーバ上においてIPテーブルを動的に更新でき、その結果、コンプライアンスポリシーに違反するトラフィックがブロックされる。他の可能な修復は、ファイアウォールまたはルータまたは他のネットワーク装置の再構成またはシャットダウンを含む。更に修復は、コンプライアンスポリシーに違反するIPアドレスまたはネットワークに送られるトラフィックの動的な阻止を含むことが可能である。
一実施形態において、複数の実例が各々のモジュールに対して生成でき、そのうちの幾つかは、特定のネットワーク装置への接続を表わすことが可能である。たとえばサブネットが修復のために送付を必要とするルータを4つ備える場合、4つの実例がそのモジュールに対して構成されるべきである。実例が生成される場合、構成情報は、ネットワーク発見システムがネットワーク装置との接続を確立できるように指定される。次に、構成された実例に対して、ポリシーの違反が生じると、ネットワーク装置に実行させたい一または複数の動作を記述した修復が追加可能である。一実施形態において、このシステムが修復を実行する場合、前記システムは、イベントをメモリに記録する。イベントに関連付けられることは、修復名、そして修復を起動したポリシーと規則に関する情報を含む。一実施形態において、ユーザは、従来のユーザインタフェースを通じて修復ステータスを表示できる。
ポリシー違反イベントは、システムアラートを生じさせることも可能である。アラートは、電子メール、システムログ、SNMPトラップアラート、SMSメッセージ、テキストメッセージング、IM、ボイスメールなどを含む任意のメカニズムによって送出可能である。たとえばアクティブアラートが、本発明の実施形態にかかる生成されたポリシー違反イベント(PVE)に割当てられる場合、そのアクティブアラートが立ち上げられることも可能である。
本発明の実施形態によれば、本方法を実行するプロセッサによって実行される命令は、コンピュータ読取可能な媒体に記憶される。コンピュータ読取可能な媒体は、デジタル情報を記憶する装置であることができる。たとえばコンピュータ読取可能な媒体は、ソフトウェアを記憶するために本技術分野で周知のように、読取専用メモリ(たとえばコンパクトディスク−ROMつまりCD−ROM)を含む。もう1つの方法として、コンピュータ読取可能な媒体は、リードアクセスメモリ(RAM)、EPROM、フラッシュROM、DVD、CDまたはその他のタイプのコンピュータメモリであること可能である。コンピュータ読取可能な媒体は、実行される命令を実行するのに適したプロセッサによってアクセスできる。
本発明の実施形態は、一または複数のネットワーク上のデータ通信に関する。データ通信は、一または複数のネットワークの一または複数通信チャネルによって実行できる。ネットワークは、有線通信リンク(たとえば同軸ケーブル、銅線、光ファイバ、それらの組合せなど)、無線通信リンク(たとえば衛星通信リンク、地上無線通信リンク、衛星対地上通信リンク、それらの組合せなど)、またはそれらの組合せを包含できる。通信リンクは、通信チャネルが通信を伝搬する一または複数の通信チャネルを包含できる。
ここに開示する本発明の実施形態にかかるシステムと方法は、コンピュータネットワー
クに関するコンテキスト情報を与えることによって、既存の侵入検出システムまたはリアルタイムネットワーク報告メカニズムを有利に改善できる。このようなシステムと方法は、情報が自動的に更新される点において手動の方法に比べて特に有利である。ポリシーコンポーネントによって誤検出を減少させる本発明の機能は、従来のネットワーク検出システムに比べて重要な利点である。
前述の詳細な説明において、本発明の実施形態にかかるシステムと方法は、特定の例示的な実施形態を引用して記述されている。従って、本仕様と図は、限定的なものではなく例示とみなされるべきである。本発明の範囲は、請求の範囲によって、且つそれらの均等物によって、更に理解されるべきである。
侵入イベント情報をネットワーク発見情報に相関付ける実施形態のブロック図。 ネットワークの特性を自動的且つ受動的に判定するための方法例のフローチャート。 ネットワーク装置情報またはホスト情報を格納する例のデータ構造の図。 ネットワーク構成と利用ポリシーを実行するための例示的な方法のフローチャート。 受動的なネットワーク検出システムを利用してネットワーク構成と利用ポリシーを実行するための例示的な方法のフローチャート。 ポリシー違反イベントを判別するための例示的な方法のフローチャート。 新しいサービスイベントを処理するための例示的な方法のフローチャート。

Claims (21)

  1. ネットワークの特性を自動的且つ受動的に判定する方法であって、前記方法は、
    一または複数の規則からなるポリシー構成情報をポリシーコンポーネントに記憶することと、
    関連付けた装置アドレスを含む情報からなる侵入イベントを検出することと、
    サービスとネットワークトポロジ情報を含むネットワークマップをメモリに記憶することと、
    前記関連付けた装置アドレスによって前記侵入イベント情報を前記ネットワークマップ情報にリンクさせることと、および
    前記ポリシーコンポーネントにおける前記一または複数の規則に関連付けられたクエリに応えるために、前記侵入イベント情報を前記ネットワークマップ情報に相関付けることと
    を含む、方法。
  2. 前記方法は更にポリシー違反イベントを生成することを含む、請求項1記載の方法。
  3. 前記装置アドレスはインターネットプロトコルアドレスである、請求項1記載の方法。
  4. 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項1記載の方法。
  5. 前記ポリシー違反イベントは、ネットワーク装置上の未許可サービスイベントの識別に基づき生成される、請求項2記載の方法。
  6. 前記方法は更に修復を開始することを含む、請求項2記載の方法。
  7. 前記方法は更にアラートを開始することを含む、請求項2記載の方法。
  8. 前記方法は更に、前記侵入イベントがポリシー違反イベントではないことを判定することを含む、請求項1記載の方法。
  9. 前記ネットワークに送信される一または複数のパケットは、前記侵入イベントを識別するために使用される、請求項1記載の方法。
  10. ネットワークの特性を自動的且つ受動的に判定するシステムであって、前記システムは、
    装置アドレス、サービス、およびネットワークトポロジ情報を含むネットワークマップ記憶装置と、
    前記ネットワークマップ記憶装置に動作可能に通信するポリシーコンポーネントであって、前記ポリシーコンポーネントは侵入イベントを受信し、一または複数のネットワーク構成規則を実施することと
    を備え、
    前記ポリシーコンポーネントは、前記侵入情報に関連付けられた前記装置アドレスを使用して前記ネットワークマップ記憶装置内の情報にアクセスし、一または複数の規則を評価することの一部として、前記侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する、システム。
  11. 前記システムは更に応答コンポーネントを備え、前記ポリシー違反イベントは前記応答コンポーネントによって生成される、請求項10記載のシステム。
  12. 前記システムは更に侵入検出装置を備え、前記侵入検出装置は前記侵入イベントを検出する、請求項10記載のシステム。
  13. 前記装置アドレスはインターネットプロトコルアドレスである、請求項10記載のシステム。
  14. 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項10記載のシステム。
  15. 前記システムは更に応答コンポーネントを備え、アラートは前記応答コンポーネントによって生成される、請求項10記載のシステム。
  16. ネットワークの特性を自動的且つ受動的に判定するシステムであって、前記システムは、
    装置アドレス、サービス、およびネットワークトポロジ情報を含むネットワークマップ記憶手段と、
    前記ネットワークマップ記憶手段に動作可能に通信するポリシーコンポーネント記憶手段であって、前記ポリシーコンポーネント記憶手段は侵入イベントを受信し、一または複数のネットワーク構成規則を実施することと
    を備え、
    前記ポリシーコンポーネント記憶手段は、前記侵入イベントに関連付けられた前記装置アドレスを使用して前記ネットワークマップ記憶手段内の情報にアクセスし、一または複数の規則を評価することの一部として、前記侵入イベントに関連付けられた情報がネットワークマップ情報に一致するか否か判定する、システム。
  17. 前記システムは更に応答コンポーネントを備え、前記ポリシー違反イベントは前記応答コンポーネントによって生成される、請求項16記載のシステム。
  18. 前記システムは更に侵入検出装置を備え、前記侵入検出装置は前記侵入イベントを検出する、請求項16記載のシステム。
  19. 前記装置アドレスはインターネットプロトコルアドレスである、請求項16記載のシステム。
  20. 前記装置アドレスはメディアアクセスコントロールアドレスである、請求項16記載のシステム。
  21. 前記システムは更に応答コンポーネントを備え、アラートは前記応答コンポーネントによって生成される、請求項16記載のシステム。
JP2008540218A 2005-11-14 2006-11-09 ネットワーク発見情報を用いた侵入イベント相関方法およびシステム Withdrawn JP2009516266A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/272,035 US8046833B2 (en) 2005-11-14 2005-11-14 Intrusion event correlation with network discovery information
PCT/US2006/043820 WO2007058952A2 (en) 2005-11-14 2006-11-09 Intrusion event correlation with network discovery information

Publications (1)

Publication Number Publication Date
JP2009516266A true JP2009516266A (ja) 2009-04-16

Family

ID=38049168

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008540218A Withdrawn JP2009516266A (ja) 2005-11-14 2006-11-09 ネットワーク発見情報を用いた侵入イベント相関方法およびシステム

Country Status (5)

Country Link
US (1) US8046833B2 (ja)
EP (1) EP1949235A4 (ja)
JP (1) JP2009516266A (ja)
CA (1) CA2629723A1 (ja)
WO (1) WO2007058952A2 (ja)

Families Citing this family (65)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP1315065B1 (en) * 2001-11-23 2007-10-10 Protegrity Research & Development Method for intrusion detection in a database system
US7730175B1 (en) 2003-05-12 2010-06-01 Sourcefire, Inc. Systems and methods for identifying the services of a network
US7539681B2 (en) * 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7733803B2 (en) 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US9294477B1 (en) * 2006-05-04 2016-03-22 Sprint Communications Company L.P. Media access control address security
US9715675B2 (en) * 2006-08-10 2017-07-25 Oracle International Corporation Event-driven customizable automated workflows for incident remediation
US8522304B2 (en) * 2006-09-08 2013-08-27 Ibahn General Holdings Corporation Monitoring and reporting policy compliance of home networks
US20080184368A1 (en) * 2007-01-31 2008-07-31 Coon James R Preventing False Positive Detections in an Intrusion Detection System
US8874159B2 (en) * 2007-05-10 2014-10-28 Cisco Technology, Inc. Method and system for handling dynamic incidents
US20090038014A1 (en) * 2007-07-31 2009-02-05 Paul Force System and method for tracking remediation of security vulnerabilities
US20100332641A1 (en) * 2007-11-09 2010-12-30 Kulesh Shanmugasundaram Passive detection of rebooting hosts in a network
US8707385B2 (en) * 2008-02-11 2014-04-22 Oracle International Corporation Automated compliance policy enforcement in software systems
US8655950B2 (en) * 2008-08-06 2014-02-18 International Business Machines Corporation Contextual awareness in real time collaborative activity alerts
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
US8010085B2 (en) * 2008-11-19 2011-08-30 Zscaler, Inc. Traffic redirection in cloud based security services
FR2946209A1 (fr) * 2009-06-02 2010-12-03 Alcatel Lucent Procede de protection d'un reseau de telecommunication et routeur securise mettant en oeuvre un tel procede.
US8261355B2 (en) * 2009-07-24 2012-09-04 Cisco Technology, Inc. Topology-aware attack mitigation
CA2789824C (en) 2010-04-16 2018-11-06 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US9461878B1 (en) * 2011-02-01 2016-10-04 Palo Alto Networks, Inc. Blocking download of content
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US8849770B2 (en) * 2011-05-16 2014-09-30 Business Objects Software Limited Event auditing framework
US8855311B1 (en) 2011-08-02 2014-10-07 The United States Of America As Represented By The Secretary Of The Navy Advanced container security device network protocols
US8607049B1 (en) 2011-08-02 2013-12-10 The United States Of America As Represented By The Secretary Of The Navy Network access device for a cargo container security network
US9648029B2 (en) * 2012-07-30 2017-05-09 Newegg Inc. System and method of active remediation and passive protection against cyber attacks
WO2014134630A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Modeling social behavior
US20140250049A1 (en) 2013-03-01 2014-09-04 RedOwl Analytics, Inc. Visualizing social behavior
US10127273B2 (en) * 2014-04-15 2018-11-13 Splunk Inc. Distributed processing of network data using remote capture agents
US10523521B2 (en) 2014-04-15 2019-12-31 Splunk Inc. Managing ephemeral event streams generated from captured network data
US9762443B2 (en) 2014-04-15 2017-09-12 Splunk Inc. Transformation of network data at remote capture agents
US10693742B2 (en) 2014-04-15 2020-06-23 Splunk Inc. Inline visualizations of metrics related to captured network data
US11281643B2 (en) 2014-04-15 2022-03-22 Splunk Inc. Generating event streams including aggregated values from monitored network data
US10462004B2 (en) 2014-04-15 2019-10-29 Splunk Inc. Visualizations of statistics associated with captured network data
US10419457B2 (en) 2014-04-30 2019-09-17 Hewlett Packard Enterprise Development Lp Selecting from computing nodes for correlating events
US9602525B2 (en) 2015-02-27 2017-03-21 Cisco Technology, Inc. Classification of malware generated domain names
US20170331690A1 (en) * 2016-05-12 2017-11-16 Iboss, Inc. Applying network policies to devices based on their current access network
US10771479B2 (en) 2016-09-26 2020-09-08 Splunk Inc. Configuring modular alert actions and reporting action performance information
US10999296B2 (en) 2017-05-15 2021-05-04 Forcepoint, LLC Generating adaptive trust profiles using information derived from similarly situated organizations
US11888859B2 (en) 2017-05-15 2024-01-30 Forcepoint Llc Associating a security risk persona with a phase of a cyber kill chain
US10609081B1 (en) * 2017-06-20 2020-03-31 Cisco Technology, Inc. Applying computer network security policy using domain name to security group tag mapping
US10318729B2 (en) 2017-07-26 2019-06-11 Forcepoint, LLC Privacy protection during insider threat monitoring
US10803178B2 (en) 2017-10-31 2020-10-13 Forcepoint Llc Genericized data model to perform a security analytics operation
US10666681B2 (en) * 2017-12-31 2020-05-26 Rapid7, Inc. Detecting malicious actors
US11314787B2 (en) 2018-04-18 2022-04-26 Forcepoint, LLC Temporal resolution of an entity
US11810012B2 (en) 2018-07-12 2023-11-07 Forcepoint Llc Identifying event distributions using interrelated events
US10949428B2 (en) 2018-07-12 2021-03-16 Forcepoint, LLC Constructing event distributions via a streaming scoring operation
US11755584B2 (en) 2018-07-12 2023-09-12 Forcepoint Llc Constructing distributions of interrelated event features
US11436512B2 (en) 2018-07-12 2022-09-06 Forcepoint, LLC Generating extracted features from an event
US11811799B2 (en) 2018-08-31 2023-11-07 Forcepoint Llc Identifying security risks using distributions of characteristic features extracted from a plurality of events
US11025659B2 (en) 2018-10-23 2021-06-01 Forcepoint, LLC Security system using pseudonyms to anonymously identify entities and corresponding security risk related behaviors
US11171980B2 (en) 2018-11-02 2021-11-09 Forcepoint Llc Contagion risk detection, analysis and protection
RU2739864C1 (ru) * 2019-07-17 2020-12-29 Акционерное общество "Лаборатория Касперского" Система и способ корреляции событий для выявления инцидента информационной безопасности
US11223646B2 (en) 2020-01-22 2022-01-11 Forcepoint, LLC Using concerning behaviors when performing entity-based risk calculations
US11630901B2 (en) 2020-02-03 2023-04-18 Forcepoint Llc External trigger induced behavioral analyses
US11080109B1 (en) 2020-02-27 2021-08-03 Forcepoint Llc Dynamically reweighting distributions of event observations
US11429697B2 (en) 2020-03-02 2022-08-30 Forcepoint, LLC Eventually consistent entity resolution
US11836265B2 (en) 2020-03-02 2023-12-05 Forcepoint Llc Type-dependent event deduplication
US11080032B1 (en) 2020-03-31 2021-08-03 Forcepoint Llc Containerized infrastructure for deployment of microservices
US11568136B2 (en) 2020-04-15 2023-01-31 Forcepoint Llc Automatically constructing lexicons from unlabeled datasets
US11516206B2 (en) 2020-05-01 2022-11-29 Forcepoint Llc Cybersecurity system having digital certificate reputation system
US11544390B2 (en) 2020-05-05 2023-01-03 Forcepoint Llc Method, system, and apparatus for probabilistic identification of encrypted files
US11895158B2 (en) 2020-05-19 2024-02-06 Forcepoint Llc Cybersecurity system having security policy visualization
US11704387B2 (en) 2020-08-28 2023-07-18 Forcepoint Llc Method and system for fuzzy matching and alias matching for streaming data sets
US11190589B1 (en) 2020-10-27 2021-11-30 Forcepoint, LLC System and method for efficient fingerprinting in cloud multitenant data loss prevention

Family Cites Families (151)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59195179A (ja) 1983-04-20 1984-11-06 Uro Denshi Kogyo Kk 侵入警報器
US4550436A (en) 1983-07-26 1985-10-29 At&T Bell Laboratories Parallel text matching methods and apparatus
JPH0797373B2 (ja) 1985-08-23 1995-10-18 株式会社日立製作所 文書フアイリングシステム
JPH0786537B2 (ja) 1987-09-26 1995-09-20 松下電工株式会社 人体検出装置
US4857912A (en) 1988-07-27 1989-08-15 The United States Of America As Represented By The Secretary Of The Navy Intelligent security assessment system
JP2790466B2 (ja) 1988-10-18 1998-08-27 株式会社日立製作所 文字列検索方法及び装置
US5193192A (en) 1989-12-29 1993-03-09 Supercomputer Systems Limited Partnership Vectorized LR parsing of computer programs
US5404488A (en) 1990-09-26 1995-04-04 Lotus Development Corporation Realtime data feed engine for updating an application with the most currently received data from multiple data feeds
US5222081A (en) 1991-06-28 1993-06-22 Universal Data Systems, Inc. Method of performing an autobaud function using a state flow machine
US5430842A (en) 1992-05-29 1995-07-04 Hewlett-Packard Company Insertion of network data checksums by a network adapter
US5497463A (en) 1992-09-25 1996-03-05 Bull Hn Information Systems Inc. Ally mechanism for interconnecting non-distributed computing environment (DCE) and DCE systems to operate in a network system
JP2994926B2 (ja) 1993-10-29 1999-12-27 松下電器産業株式会社 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法
GB9326476D0 (en) 1993-12-24 1994-02-23 Newbridge Networks Corp Network
US5459841A (en) 1993-12-28 1995-10-17 At&T Corp. Finite state machine with minimized vector processing
US5666293A (en) 1994-05-27 1997-09-09 Bell Atlantic Network Services, Inc. Downloading operating system software through a broadcast channel
US5995153A (en) * 1995-11-02 1999-11-30 Prime Image, Inc. Video processing system with real time program duration compression and expansion
JPH09198398A (ja) 1996-01-16 1997-07-31 Fujitsu Ltd パターン検索装置
US5870554A (en) 1996-04-01 1999-02-09 Advanced Micro Devices, Inc. Server selection method where a client selects a server according to address, operating system and found frame for remote booting
US5995963A (en) 1996-06-27 1999-11-30 Fujitsu Limited Apparatus and method of multi-string matching based on sparse state transition list
US5901307A (en) 1996-07-22 1999-05-04 International Business Machines Corporation Processor having a selectively configurable branch prediction unit that can access a branch prediction utilizing bits derived from a plurality of sources
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6477648B1 (en) 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
US5999937A (en) 1997-06-06 1999-12-07 Madison Information Technologies, Inc. System and method for converting data between data sets
US5919257A (en) 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US6199181B1 (en) 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
US5987473A (en) 1997-09-09 1999-11-16 Beologic A/S Interactive configuration via network
US6002427A (en) 1997-09-15 1999-12-14 Kipust; Alan J. Security system with proximity sensing for an electronic device
US8225408B2 (en) 1997-11-06 2012-07-17 Finjan, Inc. Method and system for adaptive rule-based content scanners
US6141686A (en) 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
KR100397760B1 (ko) 1998-04-27 2003-09-13 가부시끼가이샤 디지탈 제어시스템, 표시장치 및 제어용 호스트 컴퓨터 및 데이터전송방법
DE69829645T2 (de) 1998-05-01 2006-03-09 Hewlett-Packard Development Co., L.P., Houston Verfahren zur Änderung von dynamischen Entscheidungsbäume
US6334121B1 (en) 1998-05-04 2001-12-25 Virginia Commonwealth University Usage pattern based user authenticator
US6684332B1 (en) 1998-06-10 2004-01-27 International Business Machines Corporation Method and system for the exchange of digitally signed objects over an insecure network
US6973455B1 (en) 1999-03-03 2005-12-06 Emc Corporation File server system providing direct data sharing between clients with a server acting as an arbiter and coordinator
US6324656B1 (en) 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6590885B1 (en) 1998-07-10 2003-07-08 Malibu Networks, Inc. IP-flow characterization in a wireless point to multi-point (PTMP) transmission system
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6343362B1 (en) 1998-09-01 2002-01-29 Networks Associates, Inc. System and method providing custom attack simulation language for testing networks
US6219786B1 (en) 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) * 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6393474B1 (en) 1998-12-31 2002-05-21 3Com Corporation Dynamic policy management apparatus and method using active network devices
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6754826B1 (en) 1999-03-31 2004-06-22 International Business Machines Corporation Data processing system and method including a network access connector for limiting access to the network
US6539381B1 (en) 1999-04-21 2003-03-25 Novell, Inc. System and method for synchronizing database information
US6894608B1 (en) * 1999-07-22 2005-05-17 Altra Technologies Incorporated System and method for warning of potential collisions
US6587876B1 (en) 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US7073198B1 (en) 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7310688B1 (en) 1999-08-30 2007-12-18 Ciena Corporation Relative addressing for network elements
US7065657B1 (en) 1999-08-30 2006-06-20 Symantec Corporation Extensible intrusion detection system
US6789202B1 (en) 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US6678824B1 (en) 1999-11-02 2004-01-13 Agere Systems Inc. Application usage time limiter
US6678734B1 (en) 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6990591B1 (en) 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6957348B1 (en) 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7315801B1 (en) 2000-01-14 2008-01-01 Secure Computing Corporation Network security modeling system and method
US6851061B1 (en) 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
AU2001249471A1 (en) 2000-03-27 2001-10-08 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
JP2001285400A (ja) 2000-03-29 2001-10-12 Kddi Corp トラヒック統計情報収集方法
US7134141B2 (en) 2000-06-12 2006-11-07 Hewlett-Packard Development Company, L.P. System and method for host and network based intrusion detection and response
US8661539B2 (en) 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US20020087716A1 (en) 2000-07-25 2002-07-04 Shakeel Mustafa System and method for transmitting customized multi priority services on a single or multiple links over data link layer frames
US6772196B1 (en) 2000-07-27 2004-08-03 Propel Software Corp. Electronic mail filtering system and methods
US6766320B1 (en) 2000-08-24 2004-07-20 Microsoft Corporation Search engine with natural language-based robust parsing for user query and relevance feedback learning
US7181769B1 (en) 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US7032114B1 (en) 2000-08-30 2006-04-18 Symantec Corporation System and method for using signatures to detect computer intrusions
US20020035639A1 (en) 2000-09-08 2002-03-21 Wei Xu Systems and methods for a packet director
US20070192863A1 (en) 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20020066034A1 (en) 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6792269B2 (en) 2000-12-22 2004-09-14 Bellsouth Intellectual Property Corporation System, method and apparatus for tracking deployment of cellular telephone network sites
JP3672242B2 (ja) 2001-01-11 2005-07-20 インターナショナル・ビジネス・マシーンズ・コーポレーション パターン検索方法、パターン検索装置、コンピュータプログラム及び記憶媒体
US7058821B1 (en) 2001-01-17 2006-06-06 Ipolicy Networks, Inc. System and method for detection of intrusion attacks on packets transmitted on a network
US20020165707A1 (en) 2001-02-26 2002-11-07 Call Charles G. Methods and apparatus for storing and processing natural language text data as a sequence of fixed length integers
US7234168B2 (en) 2001-06-13 2007-06-19 Mcafee, Inc. Hierarchy-based method and apparatus for detecting attacks on a computer system
FI114416B (fi) * 2001-06-15 2004-10-15 Nokia Corp Menetelmä elektroniikkalaitteen varmistamiseksi, varmistusjärjestelmä ja elektroniikkalaite
US7096503B1 (en) 2001-06-29 2006-08-22 Mcafee, Inc. Network-based risk-assessment tool for remotely detecting local computer vulnerabilities
US6978223B2 (en) 2001-09-06 2005-12-20 Bbnt Solutions Llc Systems and methods for network performance measurement using packet signature collection
US7406526B2 (en) 2001-09-28 2008-07-29 Uri Benchetrit Extended internet protocol network address translation system
US6999998B2 (en) 2001-10-04 2006-02-14 Hewlett-Packard Development Company, L.P. Shared memory coupling of network infrastructure devices
AU2002348415B2 (en) * 2001-10-25 2007-05-24 General Dynamics C4 Systems, Inc A method and system for modeling, analysis and display of network security events
US7472167B2 (en) 2001-10-31 2008-12-30 Hewlett-Packard Development Company, L.P. System and method for uniform resource locator filtering
US20030083847A1 (en) 2001-10-31 2003-05-01 Schertz Richard L. User interface for presenting data for an intrusion protection system
US20030101353A1 (en) 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US6546493B1 (en) * 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
KR20040069324A (ko) 2001-12-31 2004-08-05 시타델 시큐리티 소프트웨어, 인크. 컴퓨터 취약성 자동 해결 시스템
US6993706B2 (en) 2002-01-15 2006-01-31 International Business Machines Corporation Method, apparatus, and program for a state machine framework
US7257630B2 (en) * 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
JP4152108B2 (ja) 2002-01-18 2008-09-17 株式会社コムスクエア 脆弱点監視方法及びシステム
US7076803B2 (en) 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7769997B2 (en) 2002-02-25 2010-08-03 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US20030229726A1 (en) 2002-03-18 2003-12-11 Daseke Michael J. Default device configuration system and method for thin devices
EP1491019B1 (en) * 2002-03-29 2010-09-29 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
JP4047053B2 (ja) 2002-04-16 2008-02-13 富士通株式会社 繰り返しを含む順序パターンを用いた検索装置および方法
US7383577B2 (en) * 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
WO2003100617A1 (en) * 2002-05-22 2003-12-04 Lucid Security Corporation Adaptive intrusion detection system
US6983323B2 (en) 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7069438B2 (en) 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
US20040064726A1 (en) 2002-09-30 2004-04-01 Mario Girouard Vulnerability management and tracking system (VMTS)
US20040093582A1 (en) 2002-11-01 2004-05-13 Segura Tim E. Method for allowing a computer to be used as an information kiosk while locked
US7363656B2 (en) 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
KR100456635B1 (ko) * 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US20040193943A1 (en) 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US7624422B2 (en) 2003-02-14 2009-11-24 Preventsys, Inc. System and method for security information normalization
CA2521576A1 (en) 2003-02-28 2004-09-16 Lockheed Martin Corporation Hardware accelerator state table compiler
US7706378B2 (en) 2003-03-13 2010-04-27 Sri International Method and apparatus for processing network packets
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US8127359B2 (en) 2003-04-11 2012-02-28 Samir Gurunath Kelekar Systems and methods for real-time network-based vulnerability assessment
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7644275B2 (en) 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
WO2004100011A1 (en) 2003-04-29 2004-11-18 Threatguard, Inc. System and method for network security scanning
US20040221176A1 (en) 2003-04-29 2004-11-04 Cole Eric B. Methodology, system and computer readable medium for rating computer system vulnerabilities
US7349400B2 (en) 2003-04-29 2008-03-25 Narus, Inc. Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network
US7317693B1 (en) 2003-05-12 2008-01-08 Sourcefire, Inc. Systems and methods for determining the network topology of a network
US7089383B2 (en) 2003-06-06 2006-08-08 Hewlett-Packard Development Company, L.P. State machine and system for data redundancy
US7636917B2 (en) 2003-06-30 2009-12-22 Microsoft Corporation Network load balancing with host status information
US7596807B2 (en) 2003-07-03 2009-09-29 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
US7346922B2 (en) 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US7133916B2 (en) 2003-07-28 2006-11-07 Etelemetry, Inc. Asset tracker for identifying user of current internet protocol addresses within an organization's communications network
US20050114700A1 (en) 2003-08-13 2005-05-26 Sensory Networks, Inc. Integrated circuit apparatus and method for high throughput signature based network applications
US7467202B2 (en) 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
US8417673B2 (en) 2003-10-07 2013-04-09 International Business Machines Corporation Method, system, and program for retaining versions of files
US7725936B2 (en) 2003-10-31 2010-05-25 International Business Machines Corporation Host-based network intrusion detection systems
US7581249B2 (en) 2003-11-14 2009-08-25 Enterasys Networks, Inc. Distributed intrusion response system
EP1549012A1 (en) 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
GB2410647A (en) 2004-01-31 2005-08-03 Hewlett Packard Development Co Identifying and Patching Vulnerabilities in a Network
US20050188079A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring usage of a server application
US7313695B2 (en) 2004-03-23 2007-12-25 Sourcefire, Inc. Systems and methods for dynamic threat assessment
US7761918B2 (en) * 2004-04-13 2010-07-20 Tenable Network Security, Inc. System and method for scanning a network
US7366728B2 (en) 2004-04-27 2008-04-29 International Business Machines Corporation System for compressing a search tree structure used in rule classification
US20050273673A1 (en) 2004-05-19 2005-12-08 Paul Gassoway Systems and methods for minimizing security logs
US20050268331A1 (en) 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8074277B2 (en) 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
US7480245B2 (en) 2004-12-11 2009-01-20 International Business Machines Corporation Segmenting data packets for over-network transmission at adjustable fragment boundary
US10015140B2 (en) 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US7454790B2 (en) 2005-05-23 2008-11-18 Ut-Battelle, Llc Method for detecting sophisticated cyber attacks
US20060294588A1 (en) 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US20070027913A1 (en) 2005-07-26 2007-02-01 Invensys Systems, Inc. System and method for retrieving information from a supervisory control manufacturing/production database
US8077718B2 (en) * 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
US7873025B2 (en) 2006-02-23 2011-01-18 Cisco Technology, Inc. Network device that determines application-level network latency by monitoring option values in a transport layer message
GB2432933B (en) 2006-03-14 2008-07-09 Streamshield Networks Ltd A method and apparatus for providing network security
US7958227B2 (en) 2006-05-22 2011-06-07 Mcafee, Inc. Attributes of captured objects in a capture system
US7930747B2 (en) 2007-01-08 2011-04-19 Trend Micro Incorporated Host intrusion prevention server
US7936794B2 (en) 2007-08-07 2011-05-03 Avaya Inc. Clock management between two end points

Also Published As

Publication number Publication date
WO2007058952A2 (en) 2007-05-24
CA2629723A1 (en) 2007-05-24
US20080244741A1 (en) 2008-10-02
WO2007058952A3 (en) 2009-05-07
US8046833B2 (en) 2011-10-25
EP1949235A2 (en) 2008-07-30
EP1949235A4 (en) 2014-09-03

Similar Documents

Publication Publication Date Title
JP2009516266A (ja) ネットワーク発見情報を用いた侵入イベント相関方法およびシステム
US7467205B1 (en) Systems and methods for identifying the client applications of a network
US7949732B1 (en) Systems and methods for determining characteristics of a network and enforcing policy
US7237267B2 (en) Policy-based network security management
US8176544B2 (en) Network security system having a device profiler communicatively coupled to a traffic monitor
US8839442B2 (en) System and method for enabling remote registry service security audits
US8918875B2 (en) System and method for ARP anti-spoofing security
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
US20040083388A1 (en) Method and apparatus for monitoring data packets in a packet-switched network
Al Sukkar et al. Address resolution protocol (ARP): Spoofing attack and proposed defense
Cisco Configuring the Global Policy Override Settings for Policy Enforcement Points
JP3880530B2 (ja) 動的アドレス付与サーバを利用したクライアントの安全性検診システム
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
Deri et al. Improving Network Security Using Ntop
CN117499267B (zh) 网络设备的资产测绘方法、设备及存储介质
KR100730966B1 (ko) 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템
JP2006074363A (ja) 排他的ネットワーク管理システム及びその管理方法
Deri et al. Ntop: a lightweight open-source network ids
CA2500511A1 (en) Compliance verification and osi layer 2 connection of device using said compliance verification

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100202