JP4072150B2 - ホストベースのネットワーク侵入検出システム - Google Patents

ホストベースのネットワーク侵入検出システム Download PDF

Info

Publication number
JP4072150B2
JP4072150B2 JP2004313993A JP2004313993A JP4072150B2 JP 4072150 B2 JP4072150 B2 JP 4072150B2 JP 2004313993 A JP2004313993 A JP 2004313993A JP 2004313993 A JP2004313993 A JP 2004313993A JP 4072150 B2 JP4072150 B2 JP 4072150B2
Authority
JP
Japan
Prior art keywords
malicious
network
data packet
application
determined
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004313993A
Other languages
English (en)
Other versions
JP2005135420A (ja
Inventor
プラディプタ・クマル・バネルジー
アナント・ナラヤン・マヴィナカヤナハリー・グルラジャ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2005135420A publication Critical patent/JP2005135420A/ja
Application granted granted Critical
Publication of JP4072150B2 publication Critical patent/JP4072150B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/326Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the transport layer [OSI layer 4]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level

Description

本発明は、一般にネットワーク・セキュリティの分野に関し、詳細には、通信ネットワークにおける侵入およびセキュリティ違反を検出するコンピュータ・ソフトウェアに関する。
一般に通信ネットワーク・セキュリティ、具体的にはコンピュータ・ネットワーク・セキュリティはしばしば、ハッカーを含む無許可の侵入者による巧妙なアタックの対象となる。そのようなネットワークへの侵入者は、ネットワークの弱点を利用してアクセスおよび無許可特権を得ることにますます熟達してきており、そのようなアタックを検出し追跡することが難しくなっている。さらに、ウィルスやワームなどのセキュリティ脅威は人間の指示を必要とせず、複製し、他のネットワーク・システムに移動することができる。こうした侵入は、コンピュータ・システムに損傷を与える可能性があり、影響を受けるネットワークに関連するエンティティの主要部分に悪影響を及ぼす可能性がある。
プタセク,トーマス・エイチ(Ptacek, Thomas H.)およびニューシャム,ティモシー・エヌ(Newsham,Timothy N.)、「挿入、回避、およびサービス妨害:ネットワーク侵入検出の回避(Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection)」、(http://secinf.net/info/ids/idspaper/idspaper.html)には、ネットワーク侵入検出を含む詳細が説明されている。
プタセク,トーマス・エイチ(Ptacek, Thomas H.)およびニューシャム,ティモシー・エヌ(Newsham,Timothy N.)、「挿入、回避、およびサービス妨害:ネットワーク侵入検出の回避(Insertion, Evasion and Denial of Service: Eluding Network Intrusion Detection)」、(http://secinf.net/info/ids/idspaper/idspaper.html)
既存のネットワーク侵入検出システム(NIDS)は、そのようなNIDSのアーキテクチャに固有の問題のために、ネットワーク中のあらゆるホスト上に配置するには不適切である。NIDSは、無差別モード・キャプチャおよび分析を使用し、それによってシステム上で著しいオーバヘッドを引き起こし、挿入および回避アタックに対して脆弱となる。
本発明の一態様によれば、通信ネットワークにおける侵入を検出する方法が提供される。この方法は、シグニチャのリポジトリからのシグニチャを使用して、通信ネットワークに関連するネットワーク・プロトコルのトランスポート層で処理されるデータ・パケットをスキャンするステップと、スキャンしたデータ・パケットが悪意のあるものであるか否かを判定するステップと、何らかのデータ・パケットが悪意があると判定した場合、少なくとも1つのアクションを取るステップとを含む。
かかるアクションは、悪意があると判定した任意のデータ・パケットの、ネットワーク・プロトコルのアプリケーション層への伝送を中断すること、悪意があると判定した任意のデータ・パケットに関するエラーのログを取ること、何らかのデータ・パケットが悪意があると判定した場合にホスト・コンピュータのファイアウォール規則を変更すること、何らかのデータ・パケットが悪意があると判定されたことをネットワーク管理者に通知すること、悪意があると判定した任意のデータ・パケットに関する既存の接続をトランスポート層が終了するように通知すること、悪意があると判定した任意のデータ・パケットのソースへのネットワーク・アクセスをブロックすること、何らかのデータ・パケットが悪意があると判定した場合、アプリケーション層のアプリケーションを終了すること、および何らかのデータ・パケットが悪意があると判定した場合、アプリケーション層のアプリケーションに通知することのうち少なくとも1つを含むことができる。
この方法は、悪意がないと判定した任意のデータ・パケットをアプリケーション層に送るステップをさらに含むことができる。
この方法は、トランスポート層からのデータ・パケットを処理するステップをさらに含むことができる。
この方法は、プロトコルが監視されているか否かを判定するステップをさらに含むことができる。
スキャンするステップおよび判定するステップは、スキャン・モジュールを使用して実施することができる。
少なくとも1つのアプリケーション受信キュー(ARQ)は、トランスポート層とアプリケーション層との間で機能することができる。スキャンするステップは、トランスポート層と少なくとも1つのアプリケーション受信キュー(ARQ)の間で実施することができる。
この方法は、少なくとも1つのアプリケーション受信キュー(ARQ)からデータを得るステップをさらに含むことができる。この少なくとも1つのアプリケーション受信キューは、トランスポート層とアプリケーション層との間で直接機能することができる。スキャンするステップは、この少なくとも1つのアプリケーション受信キュー(ARQ)内のデータ・パケットに対して実施することができる。
この方法は、プロトコルを監視する場合、スキャンのために1つまたは複数のハンドラにデータ・パケットをディスパッチするステップをさらに含むことができる。
スキャンするステップおよび判定するステップは、スキャン・デーモンを使用して実施することができる。
この方法は、偽応答を生成するステップをさらに含むことができる。
本発明の別の態様によれば、上記の検出する方法を実施する、通信ネットワークにおける侵入を検出するシステムと、通信ネットワークにおける侵入を検出するように構成されたプログラム式命令を含むコンピュータ可読媒体とが開示される。
図面を参照しながら本発明の少数の実施形態を以下で説明する。
通信ネットワークにおける侵入を検出する方法、システム、およびコンピュータ・プログラム製品が開示される。さらに、通信ネットワークにおける侵入を防止する方法、システム、およびコンピュータ・プログラム製品が開示される。以下の説明では、ネットワーク構成、ネットワーク・プロトコル、プログラミング言語などを含む多数の特定の詳細を説明する。しかし、この開示から、本発明の範囲および精神から逸脱することなく、修正または置換あるいはその両方を行えることは当業者には明らかであろう。他の環境では、本発明を不明瞭にしないように、特定の詳細を省略することがある。
通信ネットワークにおける侵入を検出する方法はモジュールとして実装することができる。同様に、通信ネットワークにおける侵入を防止する方法はソフトウェアとして実装することができる。モジュール、特にモジュールの機能は、ハードウェアまたはソフトウェアとして実装することができる。ソフトウェアの意味では、モジュールは、特定の機能または関係する機能を通常実施するプロセス、プログラム、またはその一部である。このようなソフトウェアは、例えばJava(登録商標)、C、C++、Fortranとして実装することができるが、任意の数の他のプログラミング言語/システム、またはその組合せとして実装することもできる。ハードウェアの意味では、モジュールは、他の構成要素またはモジュールと共に使用するように設計された機能ハードウェア・ユニットである。例えば、モジュールは離散的電子構成部品を使用して実装することができ、またはモジュールは、フィールド・プログラマブル・ゲート・アレイ(FPGA)、特定用途向け集積回路(ASIC)などの電子回路全体の一部を形成することができる。物理的実装はまた、例えばFPGAに関する構成データ、またはASICに関するレイアウトも含むことができる。さらに、物理的実装の記述は、EDIF netlisting言語、構造VHDL、構造Verilogなどでよい。多数のその他の可能性も存在する。システムをハードウェア・モジュールとソフトウェア・モジュールの組合せとして実装できることを当業者は理解されよう。
ネットワーク内のあらゆるホスト上にネットワーク侵入検出システム(NIDS)を配置することにより、ネットワーク全体のセキュリティが大幅に向上する。本発明の実施形態は、HNIDSアーキテクチャが無差別モード・キャプチャを使用する受動プロトコル解析に対して機能せず、それによってネットワーク内のあらゆるホスト上でNIDSを使用することが容易になるという点で既存のNIDSアーキテクチャとは異なるアーキテクチャを開示する。以下で提示する実施形態は、本発明の可能な実施形態の完全なリストとなるよう意図されておらず、またはそのようにみなすべきではない。
概説
本発明の実施形態は、ネットワーク内の各ホストがアンチウィルス・ソフトウェアと類似の方式でネットワーク侵入検出ソフトウェアを実行することを可能にする「ホストベースのネットワーク侵入検出システム」(HNIDS)を開示する。このアーキテクチャにより、ネットワーク上のあらゆるシステムが、侵入を検出および管理する際に自律エンティティとして振る舞うことが可能となる。
ネットワークを介して通信することができるあらゆるシステムは、通信プロトコル(例えばTCP/IPプロトコルが一般的かつ広範に使用されている)を使用しなければならない。ネットワーク層(TCP/IPプロトコルの場合にはIP)は断片化を処理し、通信プロトコルのトランスポート層(TCP/IPプロトコルの場合にはTCPおよびUDP)は、必要に応じてパケットの並び換えおよび再組立てを処理する。この処理が完了すると、データがアプリケーション層にサブミットされる。ネットワーク層およびトランスポート層がデータの処理を完了した後、HNIDSは、プロトコル・スタックの挙動を活用し、悪意のあるコンテンツを求めてデータをスキャンする。したがって、HNIDSは、データ全体に対して働き、それによって挿入および回避アタックの問題ならびに既存のNIDSに関連する待ち時間およびオーバヘッドが緩和される。HNIDSは、HNIDSを使用するシステムに向かうデータだけをスキャンし、受動プロトコル解析および無差別モード・キャプチャを使用しない。
このアーキテクチャの詳細をさらに説明するため、2つの異なるHNIDSの実施形態を説明する。一実施形態では、HNIDSは、データがトランスポート層でアプリケーションにサブミットされる前にデータをスキャンする。論理的には、HNIDSは、通信プロトコル(例えばTCP/IP)のトランスポート層とアプリケーション層の間に位置する。別の実施形態では、HNIDSは、着信データを求めてアプリケーション受信キュー(ARQ)を監視し、データが到着したとき、悪意のあるコンテンツを求めてデータをスキャンする。
HNIDSは、先を見越して侵入を防止するための機能を有し、それによって「侵入防止システム」として動作する。このことは、「アイドル時間」の概念を導入し、それによってネットワーク・インターフェースがアイドル時間の満了後に使用不能にされることによって達成される。アイドル時間は、システムからパケットが送信されない期間である。インターフェースが使用不能にされるので、システムはネットワークからのどんなパケットも処理しない。実質上、このことは、システムをネットワークから取り除き、誰もシステムを使用していない閑散時の間(例えば夜間)に、侵入に関係する活動を防止することと同じである。ユーザが存在し、何らかのネットワーク関係の活動を実施していることを示す、ネットワークに送信すべきパケットが存在するとき、ネットワーク・インターフェースが再び使用可能にされる。結果として得られる「アイドル時間」機能を有するシステムは、「ホストベースのネットワーク侵入検出/防止システム」とも呼ぶことができる。
最近では、(アタッカをわなに誘い込むように)偽サービスを使用することが重要となりつつある。HNIDSは、偽サービスをセットアップするための備えも有することができる。
本発明の実施形態は、無差別モード・キャプチャおよび受動プロトコル解析に関連する問題に対処するHNIDSアーキテクチャを含む。
このアーキテクチャは、
1)「挿入」および「回避」アタックの防止、
2)パケットごとの解析、および悪意のあるコンテンツの検出時の応答、
3)ユーザの意図を判断するために欺瞞機構(deception mechanisms)を使用することを容易にすること、および
4)ネットワークのセキュリティ全体の改善を実現する。
一般的概念
図1は、本発明の実施形態によるHNIDS100の機能ブロック図である。HNIDS100は、ネットワークに結合されたホスト・コンピュータ上で動作するスキャン・モジュール(SM)101およびアイドル時間処理モジュール(ITPM)102を含む。スキャン・モジュール(SM)はスキャン・デーモン(SD)でよい。SMおよびSDの詳細を、図2および図3を参照しながらより詳細に説明する。図9にITPMに関する流れ図を示す。モジュール101および102は、別々の機能を有する独立なモジュールである。
ITPMモジュールはアイドル時間機能を担う。HNIDSはこれなしで機能することができる。ITPMは侵入防止機能を提供する。
HNIDS100がシステムにとってローカルであるので、HNIDS100は外部世界とは直接インターフェースしない。
HNIDS100は、ホスト上にインストールされる別個のアプリケーションでよく、またはHNIDS100はホストのネットワーク実装の一部でよい。
ITPM102は、ネットワーク・インターフェースを使用可能および使用不能にするためのプログラム・コードを含むことができる。アイドル時間が満了したとき、ITPM102はネットワーク・インターフェースを使用不能にする。インターフェースは、ネットワークにパケットを送信する必要があるときに使用可能にされる。ネットワーク・インターフェースを使用可能および使用不能にすることは、当技術分野で周知である。図面には、ネットワーク・インターフェース(物理的アダプタ)を図示していない。ITPM102は、ネットワーク・インターフェースを使用可能/使用不能にするためのコードを含む。この作業を実施する方法は、当業者にとって周知である。
このことは、ネットワーク・ドライバ・ソフトウェアでインターフェース(IOCTL−入出力制御エントリポイントなど)を設け、ネットワーク・インターフェースを使用可能/使用不能にすることによって実施することができる。
一実施形態
図2に、スキャン・モジュール(SM)200をより詳細に示す。スキャン・モジュール200は、スキャニング・エンジン202、シグニチャ・データベース201、およびログ・データベース203を含む。
シグニチャ・データベース201は、周知のアタック・シグニチャのリストを含む。これは、アンチウィルス・システムで使用されるウィルス・シグニチャ・データベースと類似している。スキャニング・エンジン202は、シグニチャ・データベース201中のシグニチャを使用して侵入を検出する。シグニチャ・データベース201は、シグニチャのリストを含むプレーンASCIIファイルでよいが、その他のファイル・フォーマットも実施することができる。シグニチャはarachNIDSデータベースから取得することができる。
シグニチャの例を表1に与える。ただし、バイト・コード・フォーマットの2進データを囲むのに「|」を使用する。
Figure 0004072150
シグニチャ・データベース201の設計は、記載の実施形態通りに限定されるのではなく、どんな適切な実施形態も使用することができる。例えば、プレーンASCIIファイルの代わりに、Microsoft Excel(商標)ファイルおよびMySQL(商標)やPostgreSQL(商標)などのデータベースのうち1つまたは複数にシグニチャを格納することもできる。
スキャニング・エンジン202は、シグニチャ・データベース201を使用して、シグニチャの存在を求めてデータをスキャンし、何らかのシグニチャが見つかった場合に適切なアクションを取るためのプログラム・コードを含む。図2の実施形態では、関係する詳細をログ・データベース203に記録することができる。悪意のあるデータの発見後に取るべきアクションは、エラーの記録だけに限定されない。他の可能なアクションには、デスクトップ・ファイアウォール規則の変更、およびリモート管理者への通知が含まれる。さらに、他のアクションを単独で、または組み合わせて実施することができる。
図3に、スキャン・デーモン(SD)300を示す。アプリケーション受信キュー(ARQ)は、アプリケーションがアプリケーションのデータを取得するキューである。スキャン・デーモン300は、データを求めてARQを監視し、その後にデータを解析するためのプログラム・コード302を含む。通常、コード302は、異なるアプリケーション・プロトコルに対応するプロトコル・ハンドラ302a...302nを含む。ハンドラ302a...302nは、監視するように構成されたプロトコル・ポートに関してのみ活動化される。例えば、HTTP302aおよびFTP302bが監視するように構成された場合、これらのプロトコルに関するハンドラ302a、302bだけが活動化される。これらのハンドラ302a、302bは、シグニチャ・データベース301を使用してデータをスキャンする。合致が見つかった場合、ログ・データベース303に適切なエラーを記録することができる。
図3の実施形態は、スキャン・デーモン300に関して可能な唯一の実施形態ではない。行われる他のアクションには、例えばファイアウォール規則を変更して問題のホストからパケットを受信することを防止すること、および既存の接続を切断するようにトランスポート層に通知することを含めることができる。
図4に、プロトコル・スタック400の上方に向かうパケットの流れを示す。単に例示の目的で、TCP/IPプロトコル・スタックを示す。実施することのできるその他のプロトコル・スタックには、トランスポート層とアプリケーション層の間に明確な区分を有する階層化モデルに従う任意のプロトコル・スタックが含まれる。
物理媒体410は、リンク層412にパケットを与え、リンク層412は、パケットをネットワーク層処理414に与える。そこから、パケットはトランスポート層処理416に進む。トランスポート層416は、データをアプリケーション受信キュー418にコピーする。アプリケーション受信キュー418は通常はソケット・キューである。次いでアプリケーション層420が、ARQ418からデータをコピーし、データを使用する。
図5に、本発明の実施形態を示す。物理媒体510、リンク層512、ネットワーク層514、およびトランスポート層516は、それぞれ図4の機能410、412、414、および416に対応する。リンク層512は、イーサネット(商標)、トークン・リング、ワイヤレス・ネットワーク、およびその他の適切なネットワークでよく、イーサネット(商標)およびトークン・リングは単に例示のために挙げたに過ぎない。リンク層は、通常はそうであるが、ネットワーク実装のトランスポート層とアプリケーション層が明確に区分されることを条件として、いくつかのネットワークのいずれでもよい。ネットワーク層514はIPでよい。トランスポート層516はTCP/UDPでよい。ホストベースのネットワーク侵入検出システム(HNIDS)530は、トランスポート層516とアプリケーション層520の間で機能する。HNIDS530は、この実施形態では図2のスキャン・モジュール(SM)200を使用する。HNIDS530は、トランスポート層516とARQ518の間をインターフェースすることが好ましい。
図6は、図5の実施形態に関するプロセス600を要約する流れ図である。ステップ601では、HNIDS530により、トランスポート層516からパケットを受信する。ステップ602では、HNIDS530は、ネットワーク・プロトコルを監視するか否かを検証する。プロトコルを監視しない場合(NO)、ステップ603で、HNIDS530は対応するアプリケーション520にデータを渡す。プロトコルを監視する場合(YES)、ステップ604で、スキャニング・エンジン202が、シグニチャ・データベース201を使用してデータをスキャンする。判定ステップ605では、データが悪意のあるものか否かについてチェックを行う。データが悪意のあるものである場合(YES)、データはアプリケーション520に渡されず(データはARQにプットされない)、ステップ606で、関連する接続をドロップし、エラーを記録する。接続をドロップすることは、リモート・ホストとのネットワーク接続を終了することを意味する。このシステムは、他の既存の/新しい接続に対する要求を引き続きサービスすることができる。しかし、ステップ606において、これらは、データが悪意のあるものと判明したときに取ることができる唯一の可能なアクションではない。他の可能なアクションには、攻撃側ホストへのアクセスのブロック、攻撃側ホストからのネットワーク・アクセスのブロック、システム管理者への通知が含まれる。さらに別のアクションも実施することができる。データが悪意のあるものでない場合(NO)、ステップ607で、対応するアプリケーション520にデータを渡す。
別の実施形態
図7に別の実施形態を示す。図7の物理的媒体710および層712、714、716は、それぞれ図4の媒体410および層412、414、416に対応する。データは、アプリケーション層720に渡される前に、トランスポート層716からアプリケーション受信キュー(ARQ)718に渡される。この別の実施形態のHNIDS730は、HNIDS730とARQ718の間の矢印で示すように、アプリケーション受信キュー(ARQ)718を監視する。HNIDS730からトランスポート層716への矢印は、HNIDS730が、望ましい場合、リモート・ホストとの接続を終了する(または何らかの他の適切なアクションを開始する)ようにトランスポート層716に通知/命令できることを示す。HNIDS730からアプリケーション層720への矢印は、HNIDS730が、必要ならパケットを処理しないように、特定の悪意のある接続に関連する資源をリセット/解放するように、さらにはアプリケーション720をキルするようにアプリケーション720に通知/命令できることを示す。HNIDS730は、この実施形態では図3のスキャン・デーモン300を使用する。
図8は、上記の実施形態によるプロセス800を要約する流れ図である。ステップ801では、データが到着したとき、HNIDS730は、ARQ718からデータをピックアップし、データを解析する。判定ステップ802では、HNIDS730は、プロトコルを監視するか否かを判定する。プロトコルを監視しない場合(NO)、HNIDS730は、ステップ803では何も行わない。プロトコルを監視する場合(YES)、ステップ804では、スキャニング・デーモン300が、適切なプロトコル・ハンドラ302a...302nをディスパッチして、シグニチャ・データベース301を使用してデータをスキャンする。判定ステップ805では、データが悪意のあるものか否かを判定するチェックを行う。データが悪意のあるものでない場合(NO)、ハンドラは、ステップ806では何も行わない。すなわちステップ806ではアクションは不要である。データが悪意のあるものである場合(YES)、ステップ807で、プロトコル・ハンドラは、適切な接続を終了する、アプリケーションをキルする、アプリケーションに通知する、攻撃側ホストからネットワーク・アクセスをブロックする、関連する詳細を記録するなどの適切なアクションを取る。こうしたアクションのうち任意の1つまたは複数を実施することができる。他のアクションを実施することもできる。
アイドル時間処理モジュール
図9は、図1のアイドル時間処理モジュール102に関するプロセス900を要約する流れ図である。ステップ901でアイドル時間が満了したとき、ステップ902でネットワーク・インターフェースを使用不能にする。判定ステップ903では、送信すべきパケットが存在するか否かを判定するためにチェックを行う。送信すべきパケットについての指示がある場合(YES)、ステップ904で、ネットワーク・インターフェースを再び使用可能にする。ネットワーク・インターフェースを使用可能および使用不能にすることは当技術分野で周知である。そうではなく、ステップ903で送信すべきパケットが存在しない場合(NO)、処理はステップ903に戻る。
ITPMとスキャン・モジュールは別々のモジュールである。ITPMはアイドル時間機能を担う。HNIDSはこれなしで機能することができる。ITPMは侵入防止機能を提供する。
ITPMモジュールは、HNIDS内の侵入防止機能を提供する任を担うHNIDSの別個の構成要素である。システムからかなりの期間パケットが送信されない場合、ITPMはホストをオフラインにする。
別の実施形態
図10は、サービスを装う能力を有するHNIDS1000の機能ブロック図である。HNIDS1000は、アイドル時間処理モジュール1001、スキャン・モジュール(SM)またはスキャン・デーモン(SD)1002、および偽サービスデーモン(FSD)1003を含む。モジュール1001、1002、および1003は、それ自体の特定の機能を有する独立なモジュールである。モジュール1001および1002は、図1に関して説明したのと同じものである。
FSD1003は、サービスを装うためのプログラム・コードを含む。フェークする必要があるサービスは構成可能である。構成する偽サービスに応じて、FSD1003は適切なハンドラを作成する。こうしたハンドラは、実際には、接続要求に関する適切なポートをリスンする偽デーモンである。こうしたデーモンは、完全なアプリケーションではないが、アタッカをだまし、関係する詳細を記録するための偽応答を生成するのに使用される。一例を挙げると、HTTPサーバを偽サービスとして構成することができる。FSD1003は、偽HTTPデーモンを作成し、偽HTTPデーモンは、HTTPポート(80)上の接続要求をリスンする。接続要求がこのポート上に到着したとき、ソースIPアドレス、ハードウェア・アドレスなどの関連する詳細を記録し、(偽)応答を要求側ホストに送信する。
本発明の少数の実施形態を詳細に説明したが、その他の実施形態も可能である。
コンピュータ実装
本発明の実施形態はコンピュータを使用して実装することができる。具体的には、上記で説明し、図1〜10に示した処理または機能は、コンピュータ上で実行されるソフトウェアまたはコンピュータ・プログラムとして実装することができる。通信ネットワークにおける侵入を検出するための開示の方法またはプロセス・ステップは、コンピュータによって実施されるソフトウェア中の命令で実施される。同様に、通信ネットワークにおける侵入を防止するための開示の方法またはプロセス・ステップは、コンピュータで実施されるソフトウェア中の命令で実施することができる。ソフトウェアは、プロセス・ステップを実施するための1つまたは複数のモジュールとして実装することができる。モジュールは、特定の機能または関係する機能を通常は実施するコンピュータ・プログラムの一部である。さらに、モジュールは、他の構成要素またはモジュールと共に使用するためのパッケージ化機能ハードウェア・ユニットでよい。
具体的には、ソフトウェアは、以下で説明する記憶装置を含むコンピュータ可読媒体に格納することができる。ソフトウェアは、コンピュータ可読媒体からコンピュータにロードされ、次いでコンピュータによって実施されることが好ましい。コンピュータ・プログラム製品は、コンピュータ・プログラム製品によって実施することができる媒体上に記録されたこのようなソフトウェアまたはコンピュータ・プログラムを有するコンピュータ可読媒体を含む。好ましくは、コンピュータでのコンピュータ・プログラム製品の使用は、本発明の実施形態に従って通信ネットワークにおける侵入を検出する有利なシステムを実施する。同様に、通信ネットワークにおける侵入を防止するシステムも実装することができる。
コンピュータ・システムは、モデム通信経路、コンピュータ・ネットワークなどの適切な通信チャネルを使用して、通信インターフェースを介して1つまたは複数の他のコンピュータに接続することができる。コンピュータ・ネットワークは、ローカル・エリア・ネットワーク(LAN)、広域ネットワーク(WAN)、イントラネット、またはインターネット、あるいはそれらの組合せを含むことができる。コンピュータは、中央演算処理装置(以下では単にプロセッサと呼ぶ)、ランダム・アクセス・メモリ(RAM)および読取り専用メモリ(ROM)を含むことができるメモリ、入出力(IO)インターフェース、ビデオ・インターフェース、および1つまたは複数の記憶装置を含むことができる。記憶装置は、フロッピィ・ディスク、ハード・ディスク・ドライブ、光磁気ディスク・ドライブ、CD−ROM、DVD、磁気テープ、または当業者にとって周知のその他のいくつかの不揮発性記憶装置のうち1つまたは複数を含むことができる。通信ネットワークにおける侵入を検出するプログラムは、そのような記憶装置上に記録することができ、コンピュータによってメモリ内に読み込むことができる。同じことが、このような侵入を防止するプログラムにも当てはまる。コンピュータの各構成要素は通常、バスを介して他の装置のうち1つまたは複数に接続される。バスは、データ・バス、アドレス・バス、および制御バスを含むことができる。プロセッサを使用するシステムを説明したが、本発明の範囲および精神から逸脱することなく、データを処理することができ、演算を実施することのできるその他の処理装置を代わりに使用できることを当業者は理解されよう。HNIDS100のアイドル時間処理モジュール102およびスキャン・モジュール101は、このようなコンピュータを使用して実装することができる。
記載のコンピュータ・システムは単に例示的目的で与えたに過ぎず、本発明の範囲および精神から逸脱することなく、その他の構成も利用することができる。実施形態を実施することができるコンピュータには、IBM−PC/ATまたはその互換機、PCのMacintosh(商標)ファミリの1つ、Sun Sparcstation(商標)、ワークステーションなどが含まれる。上記は、本発明の実施形態を実施することができるコンピュータのタイプの単なる例に過ぎない。通常、以下で説明する実施形態のプロセスは、ハード・ディスク・ドライブ上にコンピュータ可読媒体として記録されたソフトウェアまたはプログラムとして常駐し、プロセッサを使用して読み取られ、制御される。プログラムおよび中間データおよびネットワークから取り出された任意のデータの中間記憶は、恐らくはハード・ディスク・ドライブと協働する半導体メモリを使用して実施される。
ある場合には、CD−ROMまたはフロッピィ・ディスク上に符号化されたコンピュータ・プログラムをユーザに供給することができ、あるいはコンピュータ・プログラムは、例えばコンピュータに接続されたモデム装置を介してユーザがネットワークから読み取ることもできる。さらに、ソフトウェアは、磁気テープ、ROMまたは集積回路、光磁気ディスク、コンピュータと他の装置間の無線/赤外線伝送チャネル、PCMCIAカードなどのコンピュータ可読カード、Eメール送信やウェブ・サイト上に記録された情報を含むインターネットおよびイントラネットなどを含む他のコンピュータ可読媒体からコンピュータ・システムにロードすることもできる。上記は、関連するコンピュータ可読媒体の一例に過ぎない。本発明の範囲および精神から逸脱することなく、他のコンピュータ可読媒体も実施することができる。
上記のように、通信ネットワークにおける侵入を検出する方法、システム、およびコンピュータ・プログラム製品を開示した。さらに、通信ネットワークにおける侵入を防止する方法、システム、およびコンピュータ・プログラム製品も開示した。この詳細な説明は、単に好ましい例示的実施形態を与えたに過ぎず、本発明の範囲、適用可能性、または構成、あるいはそれらの組合せを限定することを意図するものではない。むしろ、好ましい例示的実施形態の詳細な説明は、本発明の好ましい例示的実施形態を実施することができる説明を当業者に与えるものである。添付の特許請求の範囲に記載の本発明の範囲および精神から逸脱することなく、要素の機能および構成に様々な変更または置換あるいはその両方を行えることを理解されたい。
ホストベースのネットワーク侵入検出システム(HNIDS)の機能ブロック図である。 図1のスキャン・モジュール(SM)の機能ブロック図である。 図1のスキャン・デーモン(SD)の機能ブロック図である。 プロトコル・スタックの上方に向かうパケットの通常の流れと、各層で行われる処理とを示す図である。 HNIDSがトランスポート層とアプリケーション層の間に位置する、プロトコル・スタックの上方に向かうパケットの通常の流れを示す図である。 図5の実施形態に関するプロセスを示す流れ図である。 図5と同様であるが、HNIDSがアプリケーション受信キュー(ARQ)を監視する図である。 図7に示す実施形態に関するプロセスを示す流れ図である。 図1のアイドル時間処理モジュール(ITPM)に関するプロセスを示す流れ図である。 偽サービスを備えるHNIDSの機能ブロック図である。
符号の説明
100 HNIDS
101 スキャン・モジュール(SM)
102 アイドル時間処理モジュール(ITPM)
200 スキャン・モジュール(SM)
201 シグニチャ・データベース
202 スキャニング・エンジン
203 ログ・データベース
300 スキャン・デーモン(SD)
302 プログラム・コード
302a HTTP
302b FTP
303 ログ・データベース
400 プロトコル・スタック
410 物理媒体
412 リンク層
414 ネットワーク層処理
416 トランスポート層
418 アプリケーション受信キュー
420 アプリケーション層
510 物理媒体
512 リンク層
514 ネットワーク層
516 トランスポート層
518 ARQ
520 アプリケーション
530 HNIDS
1000 HNIDS
1001 アイドル時間処理モジュール
1002 スキャン・モジュール(SM)またはスキャン・デーモン(SD)
1003 偽サービスデーモン(FSD)

Claims (4)

  1. 通信ネットワーク内のホスト・コンピュータ上で動作するホストベースのネットワーク侵入検出システムであって、
    前記ホスト・コンピュータ内の処理装置に対するデータおよび命令を格納する前記ホスト・コンピュータ内の記憶装置と、
    前記記憶装置に結合された前記処理装置であって、シグニチャのリポジトリからのシグニチャを使用して、前記通信ネットワークに関連するネットワーク・プロトコルのトランスポート層で処理されるデータ・パケットをスキャンし、前記スキャンしたデータ・パケットが悪意のあるものであるか否かを判定し、前記スキャンしたデータ・パケットが悪意がないと判定した場合は、悪意がないと判定した前記データ・パケットを前記トランスポート層と前記ネットワーク・プロトコルのアプリケーション層との間で機能する少なくとも1つのアプリケーション受信キュー(ARQ)に書き込むことにより、悪意がないと判定した前記データ・パケットを前記アプリケーション層に渡し、前記スキャンしたデータ・パケットが悪意があると判定した場合は、少なくとも1つのアクションを取るようにプログラムされた処理装置とを備え、
    前記少なくとも1つのアクションが、
    悪意があると判定した前記データ・パケットを前記少なくとも1つのアプリケーション受信キュー(ARQ)に書き込まないことにより、悪意があると判定した前記データ・パケットを前記アプリケーション層に渡さないこと、
    悪意があると判定した前記データ・パケットに関するエラーのログを取ること、および
    悪意があると判定した前記データ・パケットに関する既存の接続を前記トランスポート層が終了するように通知することを含むネットワーク侵入検出システム。
  2. 通信ネットワーク内のホスト・コンピュータ上で動作するホストベースのネットワーク侵入検出システムであって、
    前記ホスト・コンピュータ内の処理装置に対するデータおよび命令を格納する前記ホスト・コンピュータ内の記憶装置と、
    前記記憶装置に結合された前記処理装置であって、シグニチャのリポジトリからのシグニチャを使用して、前記通信ネットワークに関連するネットワーク・プロトコルのトランスポート層で処理され且つ前記トランスポート層と前記ネットワーク・プロトコルのアプリケーション層との間で機能する少なくとも1つのアプリケーション受信キュー(ARQ)に書き込まれたデータ・パケットをスキャンし、前記スキャンしたデータ・パケットが悪意のあるものであるか否かを判定し、前記スキャンしたデータ・パケットが悪意がないと判定した場合は、悪意がないと判定した前記データ・パケットを前記少なくとも1つのアプリケーション受信キュー(ARQ)から前記アプリケーション層に渡し、前記スキャンしたデータ・パケットが悪意があると判定した場合は、少なくとも1つのアクションを取るようにプログラムされた処理装置とを備え、
    前記少なくとも1つのアクションが、
    悪意があると判定した前記データ・パケットに関するエラーのログを取ること、
    悪意があると判定した前記データ・パケットに関する既存の接続を前記トランスポート層が終了するように通知すること、
    前記ホスト・コンピュータのファイアウォール規則を変更することにより、悪意があると判定した前記データ・パケットのソースへのネットワーク・アクセスをブロックすること、
    前記アプリケーション層のアプリケーションを終了すること、および
    前記スキャンしたデータ・パケットが悪意があると判定されたことを前記アプリケーション層のアプリケーションに通知することを含むネットワーク侵入検出システム。
  3. 前記プロトコルを監視する場合、前記処理装置が、スキャンのために1つまたは複数のハンドラに前記少なくとも1つのアプリケーション受信キュー(ARQ)に書き込まれたデータ・パケットをディスパッチするようにプログラムされる請求項2に記載のネットワーク侵入検出システム。
  4. 前記処理装置が、偽応答を生成するようにプログラムされる請求項1又は請求項2に記載のネットワーク侵入検出システム。
JP2004313993A 2003-10-31 2004-10-28 ホストベースのネットワーク侵入検出システム Expired - Fee Related JP4072150B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/698,197 US7725936B2 (en) 2003-10-31 2003-10-31 Host-based network intrusion detection systems

Publications (2)

Publication Number Publication Date
JP2005135420A JP2005135420A (ja) 2005-05-26
JP4072150B2 true JP4072150B2 (ja) 2008-04-09

Family

ID=34573264

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004313993A Expired - Fee Related JP4072150B2 (ja) 2003-10-31 2004-10-28 ホストベースのネットワーク侵入検出システム

Country Status (3)

Country Link
US (2) US7725936B2 (ja)
JP (1) JP4072150B2 (ja)
CN (1) CN1612532B (ja)

Families Citing this family (74)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7392234B2 (en) * 1999-05-18 2008-06-24 Kom, Inc. Method and system for electronic file lifecycle management
US8234477B2 (en) 1998-07-31 2012-07-31 Kom Networks, Inc. Method and system for providing restricted access to a storage medium
US9361243B2 (en) 1998-07-31 2016-06-07 Kom Networks Inc. Method and system for providing restricted access to a storage medium
US7885190B1 (en) 2003-05-12 2011-02-08 Sourcefire, Inc. Systems and methods for determining characteristics of a network based on flow analysis
US8407792B2 (en) * 2004-05-19 2013-03-26 Ca, Inc. Systems and methods for computer security
WO2005114955A1 (en) * 2004-05-21 2005-12-01 Computer Associates Think, Inc. Systems and methods of computer security
US7539681B2 (en) * 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) * 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
CN1328638C (zh) * 2005-08-04 2007-07-25 西安交通大学 Windows环境下的主机入侵检测方法
US20070043857A1 (en) * 2005-08-16 2007-02-22 Anchiva Systems, Inc. Method and System to Accelerate Data Processing for Mal-ware Detection and Elimination In a Data Network
CN100386993C (zh) * 2005-09-05 2008-05-07 北京启明星辰信息技术有限公司 网络入侵事件风险评估方法及系统
US8621604B2 (en) * 2005-09-06 2013-12-31 Daniel Chien Evaluating a questionable network communication
US9015090B2 (en) 2005-09-06 2015-04-21 Daniel Chien Evaluating a questionable network communication
US9912677B2 (en) 2005-09-06 2018-03-06 Daniel Chien Evaluating a questionable network communication
US9674145B2 (en) 2005-09-06 2017-06-06 Daniel Chien Evaluating a questionable network communication
US7333481B1 (en) 2005-10-11 2008-02-19 Airtight Networks, Inc. Method and system for disrupting undesirable wireless communication of devices in computer networks
US8079080B2 (en) * 2005-10-21 2011-12-13 Mathew R. Syrowik Method, system and computer program product for detecting security threats in a computer network
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
US7733803B2 (en) * 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
WO2007106902A2 (en) * 2006-03-15 2007-09-20 Daniel Chien Identifying unauthorized access to a network resource
US8898787B2 (en) * 2006-03-24 2014-11-25 AVG Netherlands, B.V. Software vulnerability exploitation shield
US8601064B1 (en) * 2006-04-28 2013-12-03 Trend Micro Incorporated Techniques for defending an email system against malicious sources
US7948988B2 (en) * 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US7701945B2 (en) 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
CA2672908A1 (en) * 2006-10-06 2008-04-17 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
EP1954005A1 (en) * 2007-02-02 2008-08-06 Koninklijke KPN N.V. Method and system for processing network communication
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
US8127353B2 (en) * 2007-04-30 2012-02-28 Sourcefire, Inc. Real-time user awareness for a computer network
US9042401B1 (en) * 2007-07-18 2015-05-26 Marvell International Ltd. Application-layer mechanism to enable power enhancements in multi-access scenarios
US8286243B2 (en) * 2007-10-23 2012-10-09 International Business Machines Corporation Blocking intrusion attacks at an offending host
US8474043B2 (en) * 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
CN101588358B (zh) * 2009-07-02 2012-06-27 西安电子科技大学 基于危险理论和nsa的主机入侵检测系统及检测方法
CN102812431A (zh) 2010-03-22 2012-12-05 Lrdc系统有限公司 用于识别与保护一组源数据的完整性的方法
WO2011130510A1 (en) 2010-04-16 2011-10-20 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8346077B1 (en) * 2010-04-22 2013-01-01 Lockheed Martin Corporation Multi-domain systems and methods for fail secure information transfer
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US20120311715A1 (en) * 2011-05-30 2012-12-06 Yaron Tal System and method for protecting a website from hacking attacks
US8856330B2 (en) 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration
US9539158B2 (en) 2013-06-19 2017-01-10 American Innotek, Inc. Liquid sequestration bag with pinch closure
US10084791B2 (en) 2013-08-14 2018-09-25 Daniel Chien Evaluating a questionable network communication
CN105681274B (zh) * 2015-12-18 2019-02-01 北京神州绿盟信息安全科技股份有限公司 一种原始告警信息处理的方法及装置
US10542006B2 (en) 2016-11-22 2020-01-21 Daniel Chien Network security based on redirection of questionable network access
US10382436B2 (en) 2016-11-22 2019-08-13 Daniel Chien Network security based on device identifiers and network addresses
US10970395B1 (en) 2018-01-18 2021-04-06 Pure Storage, Inc Security threat monitoring for a storage system
US11010233B1 (en) 2018-01-18 2021-05-18 Pure Storage, Inc Hardware-based system monitoring
US11188622B2 (en) 2018-09-28 2021-11-30 Daniel Chien Systems and methods for computer security
US10826912B2 (en) 2018-12-14 2020-11-03 Daniel Chien Timestamp-based authentication
US10848489B2 (en) 2018-12-14 2020-11-24 Daniel Chien Timestamp-based authentication with redirection
US11641365B2 (en) 2019-10-10 2023-05-02 Honeywell International Inc. Hybrid intrusion detection model for cyberattacks in avionics internet gateways using edge analytics
US11687418B2 (en) 2019-11-22 2023-06-27 Pure Storage, Inc. Automatic generation of recovery plans specific to individual storage elements
US11720692B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Hardware token based management of recovery datasets for a storage system
US11645162B2 (en) 2019-11-22 2023-05-09 Pure Storage, Inc. Recovery point determination for data restoration in a storage system
US11615185B2 (en) 2019-11-22 2023-03-28 Pure Storage, Inc. Multi-layer security threat detection for a storage system
US11657155B2 (en) 2019-11-22 2023-05-23 Pure Storage, Inc Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system
US11720714B2 (en) 2019-11-22 2023-08-08 Pure Storage, Inc. Inter-I/O relationship based detection of a security threat to a storage system
US11675898B2 (en) 2019-11-22 2023-06-13 Pure Storage, Inc. Recovery dataset management for security threat monitoring
US11651075B2 (en) 2019-11-22 2023-05-16 Pure Storage, Inc. Extensible attack monitoring by a storage system
US11500788B2 (en) 2019-11-22 2022-11-15 Pure Storage, Inc. Logical address based authorization of operations with respect to a storage system
US11341236B2 (en) 2019-11-22 2022-05-24 Pure Storage, Inc. Traffic-based detection of a security threat to a storage system
US11625481B2 (en) 2019-11-22 2023-04-11 Pure Storage, Inc. Selective throttling of operations potentially related to a security threat to a storage system
US11520907B1 (en) 2019-11-22 2022-12-06 Pure Storage, Inc. Storage system snapshot retention based on encrypted data
US11755751B2 (en) 2019-11-22 2023-09-12 Pure Storage, Inc. Modify access restrictions in response to a possible attack against data stored by a storage system
US11677754B2 (en) 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11438145B2 (en) 2020-05-31 2022-09-06 Daniel Chien Shared key generation based on dual clocks
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
US11386197B1 (en) 2021-01-11 2022-07-12 Bank Of America Corporation System and method for securing a network against malicious communications through peer-based cooperation
US11641366B2 (en) 2021-01-11 2023-05-02 Bank Of America Corporation Centralized tool for identifying and blocking malicious communications transmitted within a network
DE102021107336A1 (de) * 2021-03-24 2022-09-29 Infineon Technologies Ag VORRICHTUNGEN, SYSTEME, UND VERFAHREN FÜR PCIe ENDPUNKT INTERRUPT
CN114422248A (zh) * 2022-01-20 2022-04-29 深信服科技股份有限公司 一种攻击处理方法、系统、网络安全设备及存储介质

Family Cites Families (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR970010634B1 (ko) * 1994-10-25 1997-06-28 삼성전자 주식회사 네트워크 하이버네이션 시스템
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6279113B1 (en) * 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6499107B1 (en) * 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6732190B1 (en) * 1999-03-09 2004-05-04 Intel Corporation Method and apparatus for conserving power consumed by a network interface device in packet filtering mode
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
JP3687782B2 (ja) 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
ATE344573T1 (de) * 2000-11-30 2006-11-15 Lancope Inc Flussbasierte erfassung eines eindringens in ein netzwerk
US7007302B1 (en) * 2001-08-31 2006-02-28 Mcafee, Inc. Efficient management and blocking of malicious code and hacking attempts in a network environment
KR100422802B1 (ko) * 2001-09-05 2004-03-12 한국전자통신연구원 네트워크간의 침입에 대응하기 위한 보안 시스템 및 그 방법
US20030084322A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of an OS-integrated intrusion detection and anti-virus system
US20030101353A1 (en) * 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7269752B2 (en) * 2002-06-04 2007-09-11 Lucent Technologies Inc. Dynamically controlling power consumption within a network node
US7511861B2 (en) * 2002-08-30 2009-03-31 Hewlett-Packard Development Company, L.P. Multi-page facsimile method and device
CN1203641C (zh) * 2002-10-11 2005-05-25 北京启明星辰信息技术有限公司 网络入侵监测的方法和系统
US7194642B2 (en) * 2003-08-04 2007-03-20 Intel Corporation Technique to coordinate servicing of multiple network interfaces
US7436770B2 (en) * 2004-01-21 2008-10-14 Alcatel Lucent Metering packet flows for limiting effects of denial of service attacks
US7441272B2 (en) * 2004-06-09 2008-10-21 Intel Corporation Techniques for self-isolation of networked devices
US20060143709A1 (en) * 2004-12-27 2006-06-29 Raytheon Company Network intrusion prevention

Also Published As

Publication number Publication date
US7797436B2 (en) 2010-09-14
US20050108393A1 (en) 2005-05-19
CN1612532B (zh) 2013-01-23
US7725936B2 (en) 2010-05-25
CN1612532A (zh) 2005-05-04
JP2005135420A (ja) 2005-05-26
US20080046563A1 (en) 2008-02-21

Similar Documents

Publication Publication Date Title
JP4072150B2 (ja) ホストベースのネットワーク侵入検出システム
US7007302B1 (en) Efficient management and blocking of malicious code and hacking attempts in a network environment
US10068091B1 (en) System and method for malware containment
US7610375B2 (en) Intrusion detection in a data center environment
EP2432188B1 (en) Systems and methods for processing data flows
US8010469B2 (en) Systems and methods for processing data flows
US8402540B2 (en) Systems and methods for processing data flows
US7979368B2 (en) Systems and methods for processing data flows
US8806635B2 (en) Server based malware screening
US20160366160A1 (en) Systems and Methods for Processing Data Flows
US8204984B1 (en) Systems and methods for detecting encrypted bot command and control communication channels
US9800608B2 (en) Processing data flows with a data flow processor
TWI362196B (en) Network isolation techniques suitable for virus protection
US7461403B1 (en) System and method for providing passive screening of transient messages in a distributed computing environment
US20030084322A1 (en) System and method of an OS-integrated intrusion detection and anti-virus system
US20080229415A1 (en) Systems and methods for processing data flows
US20110214157A1 (en) Securing a network with data flow processing
US20110219035A1 (en) Database security via data flow processing
US20110213869A1 (en) Processing data flows with a data flow processor
US20110231564A1 (en) Processing data flows with a data flow processor
US20110238855A1 (en) Processing data flows with a data flow processor
US20050028013A1 (en) Active network defense system and method
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US7930745B2 (en) Network security system and method
JP2005193590A (ja) 印刷装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070123

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070406

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20071002

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071105

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080118

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110125

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120125

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130125

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140125

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees