JP4501280B2 - ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 - Google Patents

ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 Download PDF

Info

Publication number
JP4501280B2
JP4501280B2 JP2000587259A JP2000587259A JP4501280B2 JP 4501280 B2 JP4501280 B2 JP 4501280B2 JP 2000587259 A JP2000587259 A JP 2000587259A JP 2000587259 A JP2000587259 A JP 2000587259A JP 4501280 B2 JP4501280 B2 JP 4501280B2
Authority
JP
Japan
Prior art keywords
suspect
network
event
node
target
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2000587259A
Other languages
English (en)
Other versions
JP2003524925A5 (ja
JP2003524925A (ja
Inventor
ロバート ディー. グラハム,
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2003524925A publication Critical patent/JP2003524925A/ja
Publication of JP2003524925A5 publication Critical patent/JP2003524925A5/ja
Application granted granted Critical
Publication of JP4501280B2 publication Critical patent/JP4501280B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
(優先権)
本出願は、12/9/98に出願された米国仮出願第60/111,638号の利益を主張する。
【0002】
(発明の背景)
(発明の分野)
本発明は、データネットワーク管理に関する。より詳細には、本発明は、データネットワークリソースの非認証の使用を検出し、それを防止する改良されたシステムおよび方法に関する。
【0003】
(関連技術の説明)
会社および民間の団体の両方によるデータネットワークの急速な使用の増加により、改良されたセキュリティおよびネットワーク管理技術の必要性が生じている。今日、団体は、業務上の秘密、販売戦略、金融書類、および機密技術情報を含む相当量の秘密情報をネットワークサーバおよびワークステーションに格納する。このような情報の一般への露見は、多くの場合、その団体へ深刻なダメージをもたらすことになる。
【0004】
機密の情報がネットワークから読み出される危険性に加え、好ましくない情報がネットワークに記載される危険性もある。例えば、現在利用可能なセキュリティシステムを回避する方法の実務上の知識をもった、コンピューターハッカー(例えば、権限のないユーザー)は、ネットワークサーバーおよびワークステーションをクラッシュさせたり、価値のあるデータを破壊したり、ネットワークにコンピュータウィルスをアップロードしたりできる。従って、この種のデータネットワーク侵入を防ぐために、企業は年を追って、数百万ドルも費やすことを強いられる。
【0005】
ある種のネットワークの誤用に対処する、ひとつのシステムは、一般に「ファイアウォール(firewall)」といわれる。一般に、ファイアウォールはローカルエリアネットワーク(以後「LAN」)と他の外部のネットワークすべて(例えば、インターネット)との間に置かれる。ファイアウォールは、内部および外部からのデジタル情報すべてを分析し、その情報を、通過させるべきか捨てるべきかを判断する。ファイアウォールは、この分析を行うネットワーク管理者によって用意された一つ以上のアルゴリズムを使用する。例えば、ネットワーク管理者は受け入れ可能なソースおよびネットワークトラフィックの目的アドレスをリストアップしたテーブルを構成してもよい。リストアップされないソースまたは目的地までをアドレス化されたトラフィックは、ファイアウォールによってフィルタリングされ、捨てられる。
【0006】
ファイアウォールは種々の理由のために、コンピュータハッカーに対して防御が十分ではない。一つの主な理由は、コンピュータハッカーによって起こされる脅威は、単に外部のみではないが、ファイアウォールは外部の世界から複数のLANのみを防御するということである。実際、潜在的なコンピュータハッカーの大多数は、内部のコンピュータユーザである。彼らの大半は、すでにLANへのアクセス権を持っている。個人ユーザは、通常、LANリソースへの限定されたアクセス権のみ提供されるが、ユーザーは他のユーザーのパスワードを流用すること(または他の公知のコンピューターハッキング技術を使用すること)により、さらなるリソースへのアクセス権を不正に得ることができる。
【0007】
ファイアーウォールに関連する2番目の問題は、それらは、本質的に静止しているということであり、適切に動作するために、ネットワーク管理者による継続的なアップデートが必要である。もし、コンピューターハッカーがファイアーウォールを突破するのに必要な情報(すなわち、合法的なソースから生じたデータとしてハッカーのデータを偽るのに必要とされる情報)を得るなら、コンピュータハッカーは、LANのリソースへのアクセス権を得る。ファイアーウォールの持つ、もうひとつの重大な問題は、それらは、あまりにも単純化した様式でデータを排除するということである。データは通過するまたは破棄されるかのどちらかである。入ってくるまたは出て行くデータについては、データの作成者−ファイアーウォールに対し偽っている可能性のある者−がLANへのリソースを誤用しようと試みているかどうかを決定するためのさらなる分析は実行されない。
【0008】
ファイアーウォールによって提供される限られた防御範囲を増強するために使用されてきた一つの技術は、「誤用検出(misuse detection)」と呼ばれている。誤用検出はネットワークコンピュータ上の非認証または不適切な動きをモニターし、レポートするプロセスである。例えば、米国特許No.5,557,742のSmaha(以後「Smaha」と呼ぶ)は、所定の(誤用サイン「misuse signatures」)を適用することにより、誤用条件を検出し、ネットワークにつながれたコンピュータの既知の誤用を識別プロセスを開示する。誤用サインの一例は、ネットワークコンピュータへ、4回ログインを失敗した後、ログインに成功する(Smahaのコラム12の12−13行を参照)というものである。
【0009】
この種のシステムの一つの限界は、それ(ファイアウォールのような)は、本質的に静止しており、連続的なアップデートを必要とするということである。したがって、新たな「誤用サイン」が発見されると、プログラマーまたはネットワーク管理者が、頻繁に検出システムにそれらを組み込まなけれなければならない。新たな「誤用サイン」の手動的な組込みを必要とするということは、非効率であり、経験を積んだコンピュータハッカーに、ハッカー特有の「誤用サイン」が判断されるまでネットワークリソースへのアクセスを許すことになる。
【0010】
例えば、Smahaのような従来技術の誤用検出システムが持つさらなる問題は、一度潜在的な誤用条件が認められると、ネットワークは、その条件に応じるように性能が限られるということである。例えば、上記に記載されたように、一度潜在的なハッカーが4回、ネットワークに繋がれたコンピュータにログインしようとして失敗すると、ネットワークに繋がれたコンピュータは、そのハッカーに、そのリソースへのアクセス権を単純に拒否するだけで、むしろ、そのハッカーについてのさらなる情報を取得する行動を取り、そのハッカーについてネットワーク上の他のコンピュータに警告はしない。逆に、4回ではなく、3回のログイン失敗(その後、1回のログイン成功)が検出されるなら、Smahaは、強固にされたセキュリティレベル(つまり、中間レベル)(ここでは、ネットワークコンピュータにアクセス権を提供する前に、そのシステムにさらなる情報が潜在的なハッカーから集められること)にシステムを引き上げるメカニズムを開示しない。
【0011】
例えば、Smahaのような従来技術の誤用検出システムが持つさらなる問題は、自動化システムが疑いのあるような動作を識別しうるのみであり、最終的に、意図的な誤用の試みまたはアクシデント(例えば、ユーザのパスワード誤入力)または通常の出来事(例えば、ネットワーク管理者が、ネットワークパフォーマンスをモニタするためにpingを使用)を区別できないということである。このように、従来技術の誤用検出システムは、疑いのあるイベント全てを記録し、顕著な記録を発見するには、「偽陽性(false−positives)」を通り抜けるオペレータの知識に頼っている。
【0012】
(発明の要旨)
製造品は、コンピュータ読み出し可能媒体に記憶された命令のシーケンスを含むことを開示される。そして、ネットワークノードによって実行された時、ネットワークノードは次の動作、疑いノードから生じたデータ転送に基づく警告変数の変更、前述の可変変数が第1の所定の閾値レベルに達する時、第1のレスポンスをトリガーとし、前述の可変変数が第2の所定の閾値レベルに達する時、第2のレスポンスをトリガーとするようにする。
【0013】
添付の図面を参照しながら、以下の詳細な説明を考慮することにより、本発明が、より良く理解される。
【0014】
(好適な実施形態の詳細な説明)
ネットワークリソースの悪用を検出し、防止するネットワーク管理を助ける改良されたシステムおよび方法が必要とされる。より具体的には、ネットワーク動作の変化に合わせて、自身をダイナミックに調節する総合的な侵入検出および応答システムが必要とされる。また、順次高くなる各警告レベルが、悪用されているネットワークコンピュータからの、対応する高められたセキュリティー応答を引き起こす、複数の警告レベルを実現する侵入検出および応答システムも、必要とされる。また、システムおよびネットワークレベルの両方について、このような高められた警告レベルを組み込むシステムも必要とされる。また、低コストで実現され得、現行のハードウェアおよびソフトウェア(すなわち、ネットワークコンピュータ)を用いる侵入検出および応答システムも必要とされる。また、擬陽性を積極的にフィルタリングし、かつ、攻撃を識別するために必要な情報を記録する侵入検出および応答システムも必要とされる。
【0015】
(一般的なネットワーク構成)
図1は、概して、複数のノード(例えば、110、125)が、通信に用いるローカルエリアネットワーク(以下「LAN」と呼ぶ)105を表す。LAN105のノードには、サーバ125、複数のワークステーション110、114、116および118、ならびにファイヤーウォール115が含まれる。LAN105は、ゲートウェイ120を介して、より大きいネットワーク130(例えば、インターネット)と通信する。1つの実施形態におけるゲートウェイ120は、必要に応じて、LAN105およびネットワーク130の異なるネットワークプロトコル間で変換する。
【0016】
第2のLAN145および複数のノード140が、第2のゲートウェイ135を介して、ネットワーク130と通信しているところを示す。インターネットサービスプロバイダ(以下、「ISP」と呼ぶ)150が、ネットワーク130を介して通信しているところを示す。ノード155は、例えば、標準電話接続、あるいはISDNまたはケーブルモデム接続を含む様々な方法で、ISP150と通信し得る。
【0017】
LAN105の、各ワークステーション110、114、116、および118、ならびにサーバ125は、本明細書中で記述されている侵入検出システムの機能を実現するソフトウェアが実行される際に用いられるプロセッサおよびメモリを備えるコンピュータである。このようなコンピュータシステムは、磁気ディスク、ランダムアクセスメモリ、リードオンリーメモリ、搬送波、信号などのような機械読み取り可能媒体を用いるコードおよびデータを格納し、(内部で、またはネットワークを介して他のコンピュータシステムと)通信する。さらに、本発明の一部がソフトウェアにおいて実現される1つの実施形態が説明されるが、代替的な実施形態は、ソフトウェア、ファームウェア、および/またはハードウェアの任意の組合せを用いるこれらの部分を1つ以上実現し得る。
【0018】
また、各ワークステーション110、114、116、および118、ならびにサーバ125は、ネットワーク化されたコンピュータ110、114、116、および118、ならびにサーバ125の各々がLAN105でデータを送信することを可能にする、ハードウェアおよび/またはソフトウェアからなるネットワークインターフェース112を含む。1つの実施形態において、ネットワークインターフェース112のハードウェア部分は、ネットワーク化されたコンピュータ110のI/Oバスに接続されたネットワークインターフェースカードである。
【0019】
(悪化レベル)
(A.ターゲット悪化)
本明細書中で用いられる、「事象」は、ネットワークノードによる、特定のタイプのデータ伝送の受信のことである。データは、以下で「ターゲットノード」または「ターゲット」と呼ばれるネットワークノード(例えば、ワークステーション110、114、116、118、サーバ125、ファイヤーウォール115、ゲートウェイ120、ISP150など)によって受信される。データ送信は、以下で「容疑対象ノード(suspect node)」または「容疑対象(suspect)」と呼ばれる他のネットワークノードから発生する。特定のタイプの事象は、システムセキュリティーの観点からは、本質的に疑わしい。例えば、容疑対象ノードから、ターゲットノードへの無効のユーザIDまたはパスワードの送信は、認証されていないユーザがターゲットノードにアクセスしようと試みていることを示し得る。さらに、比較的短い時間の間にログイン失敗が続くと、1回のログイン失敗と比較すると、実質的により大きな容疑対象ノードの疑いを生じさせる。なぜなら、1回のログイン失敗は、概して、認証されたユーザが、容疑対象ノードから、ユーザIDまたはパスワードを誤ってタイプした結果である。しかし、連続的な無効ログインのそれぞれの試みでは、容疑対象ノードのユーザが単に間違ったという可能性が実質的に低くなり、ユーザが、ターゲットノードへの認証されていないアクセスをしようと試みている可能性が高くなる。
【0020】
この問題に対処するために、本システムの1つの実施形態において、各ターゲットノードについて、自己修正警告レベルが提供される。本明細書中で「悪化レベル」と呼ばれる警告レベルは、ターゲットノードに到達する事象、およびターゲットノードに以前に到達した事象の履歴に応答して、ダイナミックに変化する。ターゲットノードは、自身の現在の悪化レベルに、異なるように依存する新たな事象に対して反応し得る。
【0021】
例えば、図3は、本システムの1つの実施形態におけるターゲットノードの悪化レベルが、複数の閾値レベル310〜350を通じてどのように変化するかを示すグラフである。以下の説明のために、図3において、時間が増加(x軸に沿って右方向)するにつれて、ターゲットノードが、1つ以上の容疑対象ノードから、連続的な無効ログイン事象を受け取ることが仮定される。各閾値は、何らかのアクションを取るトリガーである。例えば、曲線360で示すように、悪化レベルが増大するにつれて、第1の悪化閾値は、閾値310に達する。1つの実施形態において、閾値310で、ターゲットノードは、全ての流入事象について受動的走査を開始する。例えば、ターゲットノードは、事象ログファイルに、同時の流入事象の記録を開始し得、侵入の実態が識別され得る。事象の例には、ウェブサーバの「ヒット」(ファイルアクセス)、メールコマンド、ポートスキャン、および容疑対象からターゲットへのpingが含まれる。
【0022】
次の悪化閾値、閾値320で、1つの実施形態のターゲットノードは、容疑対象ノードについての識別情報を入手する試みにおいて、事象の原因となる容疑対象ノードの走査を能動的に開始する。能動的走査の一例は、「フィンガー」コマンドである。フィンガーコマンドは、他の情報の中でも、容疑対象ノードのネットワークアドレスおよび容疑対象ノードに現在ログインしているユーザの識別情報を戻す。この悪化閾値において、ターゲットもまた、新たな事象について自身の受動的走査を増大させ得る。従って、悪化閾値320で、ターゲットは、容疑対象についての情報を能動的に入手することを開始し得、新たな事象に関連するログインも増大させ得る。
【0023】
ターゲットが1つ以上の容疑対象からログイン失敗を受け取り続ける場合、自身の悪化レベルは、閾値330に達する。ここで、1つの実施形態のターゲットは、より攻撃的な容疑対象の能動的走査を開始する。例えば、「追跡ルート」コマンドを用いて、ターゲットは、容疑対象から発生したデータが取った完全なネットワークルートを確かめることを試み得る。従って、再度図1を参照すると、ターゲットノードが、LAN105上のノード110であり、容疑対象ノードがLAN145上のノード140である場合、追跡ルートコマンドは、ネットワーク130を介して、容疑対象とターゲットとの間の通信経路をトレースする(すなわち、間にある全てのルーターのネットワークアドレスを報告する)。さらに、ターゲットは、シンプルネットワーク管理プロトコル(「SNMP」)を用いる容疑対象のデータリンクアドレス(別名、媒体アクセスコントロールアドレス)について、容疑対象のローカルゲートウェイ、この実施例においては、ゲートウェイ135をクエリし得る。より具体的には、SNMPを介しての識別は、ifEntryフィールドの表の「次を入手」掃引からなり得る。
【0024】
ターゲットの悪化が、閾値340に達するので、1つの実施形態におけるターゲットは、さらなる工程をとって、認証されていない容疑対象に自身のリソースへのアクセスを提供しないことを確実にする。この閾値レベルで、ターゲットは、容疑対象にアクセスを提供する前に、容疑対象からのさらなる認証情報を要求し得る。例えば、容疑対象が、適切なログイン情報(すなわち、適切なユーザIDおよびパスワード)をターゲットに伝送する場合、ターゲットは、「無効ログイン」応答を容疑対象に初期的に返信し得る。容疑対象が、適切なログイン情報を再度伝送する場合のみ、ターゲットは、容疑対象にアクセスを提供する。この様式で二重ログオンを強制することによって、ターゲットは、容疑対象が、自動ログインスクリプト、すなわち、ユーザIDおよび/またはパスワードの連続を実行して、有効な組合せを判定しようとするスクリプトを用いることによって、認証されていないアクセスを得ることを防止する。
【0025】
最も高い悪化閾値、閾値350で、ターゲットは、多くの連続的なログイン失敗事象を受信し、認証されていない容疑対象がリソースへアクセスしようと試みている可能性が過度に高くなる。従って、この悪化レベルで、ターゲットは、(例えば、全てのもの、LANの外部にある全てのもの、所与のセットの容疑対象などからの)流入事象をブロックする最終工程をとって、全ての容疑対象に対して、リソースへのアクセスを拒否し得る。また、ターゲットは、単なる識別を超えて、能動的走査測定、例えば、容疑対象をシャットダウンするために、「ping−of−death」を送信することを決定し得る。
【0026】
上記の説明を通じて、所定の悪化閾値レベルでの特定のターゲットノード反応を説明した。しかし、本発明の代替的な実施形態は、本発明の基礎をなす原理から逸脱することなく、より高いタイプ、より低いタイプ、および異なるタイプの閾値および閾値反応などを用い得る。例えば、上記の実施形態が、閾値320で「フィンガー」コマンド、および閾値330で「追跡ルート」コマンドを用いるが、任意の代替的/さらなる能動的走査技術(例えば、「identd」または「ping」コマンド)が、本発明の範囲から逸脱することなく、この段階で実現され得る。さらに、ターゲットノード反応の異なる組合せが、同様に、採用され得る。例えば、容疑対象からのトラヒックの全てのバイトのログを取る、完全パケット捕捉のような、能動的走査技術と共に、閾値レベル310〜340の各々で、さらなる受動的走査技術が実現され得る。
【0027】
さらに、上記の様々な閾値レベルは、異なる数式を用いて、計算され得る。例えば、新たな事象がターゲットノードに到達する場合、事象「A1」に関連する悪化の値は、A1+A>Tの場合にのみ閾値が引き起こすように、ターゲット「A」の現在の悪化に単に加えられる。あるいは、0.5A1+2A>0.75Tのような式は、現在のターゲット悪化レベルを2倍するように加えられる事象悪化レベルの半分をとり、結果を閾値レベルの4分の3と比較する。
【0028】
さらに、図3の曲線370によって示すように、異なるタイプの事象は、時間が経つにつれて、異なるターゲット反応を引き起こし得る。例えば、ターゲット悪化レベルは、一連のログイン失敗が連続する間、最大閾値350より高い値を維持するが、例えば、一連の「ping」が連続する間にわたって、低減し得る。「パケットインターネットグローパー(Packet Internet Groper)」の短縮形である「ping」は、特定のネットワークアドレスのノードがオンラインであるかどうか判定するために用いられるコマンドである。従って、パケットを送信し、応答を待つことによって、ネットワークをテストまたはデバッグするために、しばしば用いられる。本システムの1つの実施形態において、ターゲットに向けられる一連のpingは、容疑対象が、ターゲットのセキュリティーシステムをかわすか、ディセーブルするように試みる前に、ターゲットのネットワークアドレスを照合するようにターゲットをpingし得るので、ターゲットの悪化レベルを初期的に増大させる。
【0029】
従って、曲線370に示すように、ターゲットは、初期的には、ログイン失敗を受け取る場合と同じ悪化で反応し得る(すなわち、曲線360および370は、初期的には重なる)。しかし、時間が経つにつれて、ターゲットがpingを受け取り続けても、悪化レベルは低減され得る。これは、時間が経つにつれて、ターゲットをpingする容疑対象が、ターゲットに認証されていないアクセスをしようと試みている可能性が次第に低くなるからである。例えば、容疑対象は、実行中のネットワーク管理ソフトウェアであり、数分ごとにpingを送ることによって、ターゲットノードの応答時間を単に監視しているだけであり得る。あるいは、ネットワーク管理者は、ネットワーク上の様々なノードをpingして、ネットワークの一部の問題解決を行う。このように、容疑対象が、延長された期間にわたって、ターゲットをpingする場合、容疑対象は、正当な目的のためにターゲットをpingする可能性が高い。
【0030】
さらに、曲線360および370は、異なるタイプの事象について同じ速度で悪化レベルが変化する場合の一例を示すが、代替的な実施形態は、事象のタイプに基づいて、変化の速度が変動し得る。
【0031】
(B.ネットワーク悪化)
ネットワーク上の個別のターゲットノードの各々についての悪化レベルを維持することに加えて、悪化レベルは、ネットワーク全体についても維持され得る(以下、「ネットワーク悪化レベル」という)。例えば、システムは、サーバ125が各ターゲットの現在の悪化レベルを受け取るように構成され得る。特に、サーバ125は、所定の期間間隔で、LAN105上のターゲットノード110、114、116、および118の各々にクエリして、各ターゲットの現在の悪化レベルを記録するように構成され得る。あるいは、または、さらに、各ターゲットは、現在の悪化レベルを、所定の期間間隔で、またはターゲットの悪化レベルが1つの閾値から他の閾値に遷移する場合、(サーバ125からまずリクエストを受け取ることなしに)サーバ125に能動的に通信し得る。
【0032】
ネットワーク悪化レベルは、個別のターゲット悪化レベルを単に平均することによって、計算され得る。あるいは、ターゲット悪化レベルとのいくつかの他の数学的関係を生みだし得る。例えば、個別のターゲット悪化(容疑対象がターゲットに対する攻撃を開始することを示し得る)におけるかなり短い期間の変化のみ応答するように構成される。
【0033】
ネットワーク悪化レベルがどのように計算されるかに関わらず、複数の異なる様式で用いられ得る。例えば、第1のネットワーク悪化閾値は、LAN105上の全てのターゲットノードに、二重ログインを(上記したように)要求することを強制させ得る。第2のネットワーク悪化閾値は、ネットワークトラヒックをブロックするように設定され得る。例えば、ネットワーク悪化レベルが、特定の閾値に達する場合、サーバ125は、ゲートウェイ120に全ての流入トラヒックをディセーブルさせ得る。この実施形態において、サーバ125は、内部の容疑対象(すなわち、LAN105上に存在する)および外部の容疑対象(すなわち、ネットワーク130にわたって存在する)から得られるターゲット悪化との間に差を付けるように構成され得る。これを達成するため、サーバ125は、内部ネットワーク悪化レベルおよび外部ネットワーク悪化レベルを維持し得る。この実施形態におけるサーバは、外部の容疑対象悪化レベルが特定の閾値に達する場合のみ、ゲートウェイ120を通じてデータトラヒックをディセーブルする。
【0034】
(C.容疑対象特定および全体のターゲット悪化)
他の実施形態において、LAN105上の各ターゲットノード(すなわち、ワークステーション110および/またはサーバ125)は、通信する(すなわち、事象が起こる)各容疑対象ノードについて、一意的な悪化レベルを維持する。この悪化レベルは、本明細書中で、「容疑対象特定悪化」といわれる。各個別の容疑対象ノードについて、容疑対象特定悪化を維持することに加えて、ターゲットノードは、本明細書中で「ターゲット悪化」または「全体のターゲット悪化」と呼ばれる、全体の悪化レベルをも維持し得る。
【0035】
ある特定の時間の間、様々な容疑対象特定悪化レベルと、全体の悪化レベルとの間に相関が存在するが、この相関は常に存在するわけではない。より具体的には、全体のターゲット悪化は、主に新たな事象に対して反応し、容疑対象特定悪化は、新たな事象および古い事象の両方に反応する。
【0036】
1つの実施形態の2つの異なる悪化の間の関係を、図4を参照しながら、次に説明する。図4に示すように、容疑対象Aが、ターゲットノードへの一連の不成功なログインの試みを時間t=0で開始する場合、容疑対象Aに向けられるターゲットの悪化レベル(曲線410で示す)は、不成功の試みごとに増大する。容疑対象Aについて、ターゲットの容疑対象特定悪化は、(図3を参照しながら、上で説明したように)1つ以上の閾値450〜455を通じ、ほぼ悪化値460で最大値(100%の悪化を表す)を示して水平になる。容疑対象Aに向けられるターゲットの悪化は、容疑対象Aから連続的なログイン失敗を受け取る限り、このレベルで維持される。実際に、容疑対象Aからのログイン失敗がなくなった後も、1つの実施形態における容疑対象特定悪化は、ターゲットがネットワーク管理者または自動リセットメカニズムによってリセットされるまで、100%で維持される。
【0037】
図4に、全体のターゲット悪化を表す曲線420も示す。一般的なターゲット悪化を表す全体のターゲット悪化は、全ての容疑対象からの流入事象に対して反応する。さらに、全体のターゲット悪化閾値(例えば、450、454、および455)によって、(容疑対象特定閾値の場合における特定の容疑対象ではなく)、全ての容疑対象に向けられる異なる反応タイプが生じ得る。従って、容疑対象Aが、ターゲットへログインすることを不成功に連続的に試みる場合、全体のターゲット悪化は、容疑対象Aの容疑対象特定悪化に沿って、初期的に増大する。従って、全体のターゲット悪化(曲線420)が、悪化閾値450に達する場合、ターゲットは、(特定の容疑対象から発生される事象を単に走査するだけでなく)、全ての流入事象の受動的走査を行い得る。同様に、全体のターゲット悪化が、閾値454に達する場合、ターゲットは、全ての容疑対象からの増大した認証を要求し得、ターゲットは、閾値455で、全ての容疑対象との通信をブロックし得る。
【0038】
従って、470で、第2の容疑対象、容疑対象Bが、ターゲットノードを初期的にpingする場合、ターゲットノードは、ターゲットの全体の悪化レベルが閾値455より高いので、pingに応答し得ない(すなわち、ターゲットは、全ての容疑対象との通信をブロックしている)。容疑対象Bがターゲットを最初にpingする時点なので、この時点では、容疑対象Bについての容疑対象特定悪化レベル430が低いことに留意されたい。
【0039】
しかしながら、結果として、全体のターゲット悪化レベルは、低減し始める。上述したように、全体のターゲット悪化は、長い期間にわたって連続的に観察されていない事象によって、より影響を受けるが、容疑対象特定悪化は、長期および短期事象の両方に対して反応する。この動作の背後にある論理としては、延長された期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって、ターゲットが悪化する場合、ターゲットは、全ての容疑対象について疑う必要はなく、悪化を起こす容疑対象のみを疑えばよい。
【0040】
さらに、容疑対象Aに向けられるターゲットの特定悪化が閾値455を超えているので、ターゲットは、容疑対象Aとの通信をブロックする工程をとる。従って、ログイン失敗の原因となる1つの容疑対象がブロックアウトされているので、ターゲットが高められた全体のターゲット悪化を維持する必要はもはやない。
【0041】
容疑対象Bがターゲットを(480で)pingする第2の時点で、全体のターゲット悪化は、十分低いので、ここで、ターゲットはpingに応答し得る。曲線430および440に示すように、容疑対象Bの両方のpingは、ターゲットの容疑対象Bに向けられる容疑対象特定悪化、および全体のターゲット悪化レベル420を増大させる。悪化レベルにおける増大は、ターゲット悪化レベルに関連し得る。事象470は、システムがより高感度な状態なので、事象480より悪化させ得る。
【0042】
図5は、本発明の他の実施形態による、全体のターゲット悪化応答および容疑対象特定ターゲット悪化応答を示すグラフである。図4と図5との間の主な違いは、ターゲットの容疑対象Aに向けられる容疑対象特定悪化の動作(曲線510で示す)である。この実施例における容疑対象Aは、連続的にログイン失敗を起こすのではなく、ターゲットを連続的にpingする。従って、容疑対象から一連のpingを受け取ることと、容疑対象から一連の無効ログインを受け取ること(図2に関してより詳細に上述されている)との異なる意味合いに起因して、ターゲットの容疑対象Aに向けられる容疑対象特定悪化は、時間が経つにつれて、全体のターゲット悪化に沿って結果的に低減する。
【0043】
(D.容疑対象特定および全体のネットワーク悪化)
1つの実施形態における個別のターゲットの各々が、全体のターゲット悪化レベル、および1つ以上の容疑対象特定ターゲット悪化レベルを維持するように、1つの実施形態におけるサーバ125は、「全体のネットワーク悪化」レベルおよび別個の「容疑対象特定ネットワーク悪化」レベルを維持する。
【0044】
図6のグラフに、容疑対象特定ネットワーク悪化レベル(曲線600)が、無効ログインおよび容疑対象AからLAN105上のターゲットノード110、114、116および118に向けられるpingに対してどのように反応し得るかを示す。605で、容疑対象Aは、ターゲット110をpingする。結果として、ターゲット110の容疑対象Aに向けられる容疑対象特定悪化は、初期的には、容疑対象Aに向けられる容疑対象特定ネットワーク悪化レベル(曲線600)と一致する曲線610が示すように増大する。容疑対象Aのpingによって、容疑対象特定ネットワーク悪化レベルが閾値660を越える。
【0045】
上述したように、閾値660は、サーバ125ならびに/あるいはターゲットノード110、114、116、および118からの任意の数の応答を引き起こすように設定され得る。例えば、この閾値で、サーバ125は、LAN105またはネットワーク130の全ての容疑対象の受動的走査を開始し得る。他の実施形態において、サーバ125は、容疑対象A自身の任意の受動的走査を行わない。むしろ、特定の容疑対象についての容疑対象特定ネットワーク悪化レベルが、受動的走査を要求する特定の閾値に達する場合、サーバ125は、LAN105上の全てのターゲットノードに、それぞれ、容疑対象Aに向けられる容疑対象特定悪化を増大させる必要があることを知らせる。
【0046】
615で、容疑対象Aは、ターゲット114をpingし、曲線620で示すように、ターゲット114の容疑対象Aの容疑対象特定悪化が増大する。容疑対象Aによるこの2度目のpingに応答して、容疑対象Aに向けられる容疑対象特定ネットワーク悪化は、曲線600に沿って、第2の閾値661を通って増大する。同様に、625で、容疑対象Aがターゲット116にログインしようと不成功に試みる場合、ターゲット116の容疑対象特定ネットワーク悪化は増大し(曲線630)、この事象は、容疑対象Aに向けられる容疑対象特定ネットワーク悪化に寄与する。635および645で、容疑対象Aがpingし続ける場合、および/またはログイン失敗を起こし続ける場合、容疑対象特定ネットワーク悪化は、また、曲線600に示すように、増大する。
【0047】
この処理を通じて、いくつかの閾値661〜664が越えられ得る。様々なターゲット悪化レベルを参照しながら上述された、同じおよび/または異なるタイプの閾値応答は、ネットワーク全体についても実現され得る。従って、閾値661で、LAN105上の1つ以上のノード(例えば、サーバ125)は、容疑対象Aの能動的走査を開始して、ネットワーク全体に代わって、容疑対象Aについてのさらなる情報を入手し得る。閾値662で、サーバ125は、より広範囲にわたる能動的走査を開始し、容疑対象Aの受動的走査も増大させ得る。閾値663で、サーバ125は、LAN105(例えば、二重ログオン)上の任意のターゲットノードにアクセスする増大した認証を容疑対象Aが提供することを要求し得る。最終的に、最大閾値664で、サーバ125は、LAN105を介する容疑対象Aとの全ての通信をブロックし得る。サーバ125は、ゲートウェイ120およびファイヤーウォール115と直接通信することか、またはLAN105における全てのターゲットに信号を送信することのいずれかによってこれを達成して、容疑対象Aとの通信を個別にブロックし得る。
【0048】
図6に示す、容疑対象特定悪化応答の1つの重要な特徴は、容疑対象Aから発生される全てのネットワークにわたる事象に基づいて増大することである。従って、容疑対象Aに向けられる容疑対象特定ターゲット悪化(曲線610、620、630、640、および650)は、それぞれ、低く維持され、これらの事象の各々に対する容疑対象特定ネットワーク悪化応答は、累積効果を有し、容疑対象Aが疑わしいノードとして適切に識別される。
【0049】
容疑対象特定ネットワーク悪化は、様々な様式で計算され得る。1つの実施形態においては、容疑対象Aについての全ての容疑対象特定ターゲット悪化レベルの合計に過ぎない。他の実施形態においては、全ての容疑対象A容疑対象特定ターゲット悪化レベルの平均である。さらに別の実施形態においては、容疑対象特定ネットワーク悪化は、個別の容疑対象特定ターゲット悪化レベルから独立して、計算される。この実施形態は、多数のターゲットノードを有するLANについて特に有用であり得る。
【0050】
例えば、LAN105に250個のターゲットノードが存在する場合、容疑対象Aは、第1のターゲットへの認証されていないアクセスをしようとする試みを1度だけ行い、その後、残りの249個のターゲットの各々について1度だけ試みることに移る。容疑対象Aが、第1のターゲットに再度試みようと準備する時には、容疑対象Aについての第1のターゲットの容疑対象特定ターゲット悪化レベルは、ログイン失敗の間の時間経過に起因して、非常に低いので、閾値はトリガされない。しかし、LAN105の中央貯蔵所(例えば、サーバ125)が、容疑対象Aの動作を、ネットワーク全体にわたって追っている場合、容疑対象Aについての容疑対象特定ネットワーク悪化レベルが非常に高くなるはずである。実際、容疑対象Aが、250個のターゲット全てに不成功にログインすることを試みる場合、容疑対象Aについての容疑対象特定ネットワーク悪化レベルは、最大閾値を超え、容疑対象Aとの全てのネットワーク通信が、上述したようにブロックされなければならない。
【0051】
個別のターゲットの各々が、一般的にターゲットの悪化を表す「全体のターゲット悪化」を維持し得るように、サーバ125(または、LAN105上の他のノード)は、一般的にネットワーク悪化を表す「全体のネットワーク悪化」を維持し得る。同様に、全体のターゲット悪化応答が主に新たな事象に応答するように、本実施形態における「全体のネットワーク悪化」は、主に新たなネットワークにわたる事象に応答する。
【0052】
従って、上記の例における容疑対象Aが、250個の個別のターゲットノードの各々にログインしようと試みて、LAN105をわたって、1つのターゲットから次のターゲットに移るように、全体のネットワーク悪化レベルは、容疑対象Aに向けられる容疑対象特定ネットワーク悪化に沿って、初期的に増大する。しかし、時間が経ち、容疑対象AがLAN105にわたってログイン失敗を起こし続けるにつれて、全体のネットワーク悪化は、減少し得る。この動作の論理は、全体のターゲット悪化についての論理と類似する。ネットワークが、延長された期間にわたって、1つの容疑対象(または少数の容疑対象)のみによって悪化する場合、ネットワークが全ての容疑対象について疑う必要はなく、悪化を起こす容疑対象のみを疑えばよい。さらに、上記の例において容疑対象Aに向けられる容疑対象特定ネットワーク悪化は、最大閾値を超えるので、ネットワークは、容疑対象Aとの通信をブロックする工程を取る。
【0053】
全体のネットワーク悪化は、全ての全体のターゲット悪化レベルの平均を取ることによって、計算され得る。従って、1つの実施形態において、全体のネットワーク悪化レベルを維持するノード(例えば、サーバ125)は、所定の時間間隔で、ネットワーク上のターゲットの各々をクエリし得る。あるいは、各ターゲットは、全体の悪化レベルが閾値を通じて通過する場合、悪化レベルをサーバ125に自動的に通信する。他の実施形態において、全体のネットワーク悪化は、全体のターゲット悪化から独立して計算される。
【0054】
上記の説明を通じて、所定の悪化閾値でのネットワークレベル反応の特定の実現について説明した。しかし、特定の構成に依存して、本発明の基礎をなす原理から逸脱することなく、異なる実現が採用され得る。例えば、上記の実施形態は、ネットワーク悪化レベルを計算し、格納する中央貯蔵所として、サーバ125を用いるが、LAN105上の任意のノードが、本発明の範囲から逸脱することなく、同じ機能を提供し得る。
【0055】
さらに、異なる数式を用いて、様々な閾値トリガーが計算され得る。1つの実施形態において、閾値レベルは、複数の悪化変数を組み合わせることによって、計算される。例えば、式A1+0.75Aターゲット+0.25Aネットワーク>Tが用いられて、全体のターゲット悪化レベルの3つの部分、全体のネットワーク悪化レベルの1つの部分を用い、ターゲットに到達する新たな事象に関連する悪化レベルにこれらの値を加える、有効な悪化レベルが計算される。
【0056】
さらに、各流入事象は、式の無限数に基づいて、上述した異なる悪化レベルの各々を増大させ得る。例えば、1つの実施形態において、式A=S*Countlog2は、事象タイプ「S」の重大性および現在の事象数「Count」に基づいて、悪化レベル「A」を調節する。
【0057】
上記の説明を通じて、ネットワークサーバ(例えば、125)および/または1つ以上のネットワークワークステーション(例えば、110)上で実現される、本システムの特定の実施形態を説明した。しかし、特定の構成に依存して、本発明の基礎をなす原理から逸脱することなく、異なる実現が採用され得る。例えば、サーバおよび検出能力は、ハブ、スイッチ、ファイヤーウォール(例えば、115)、ゲートウェイ(例えば、120)、または乱雑モード捕捉デバイス(例えば、乱雑モードにおけるアダプターを有するノード118)に結合され得る。この実施形態において、検出システムは、実現されている1つのターゲットのみを追跡するのではなく、デバイスを通じていることを観察するトラヒックに従って、複数のターゲットを同時に追跡し得る。この実現において、ネットワーク悪化レベルは、デバイスによって監視されるターゲットから計算される。
【0058】
(パケットレベル分析および濾過)
本システムの1つの実施形態のワークステーション110およびサーバ125によるLAN105にわたるデータ伝送を、データが通過する異なるネットワークプロトコル層を示す図2Aを参照しながら、説明する。LAN105上のワークステーション110またはサーバ125が、LAN105上の他のワークステーション114またはサーバ125に、あるいはネットワーク130を介してLAN145上のノード140にデータを伝送する場合、データは、図2Aに示す各伝送層を通過する。
【0059】
図2Aに示す第1の伝送層は、物理層210である。物理層210は、生のデジタルネットワークトラヒックが流れる実際の媒体を表す。例えば、LAN105上のワークステーション110およびサーバ125は、同軸ケーブル、撚線対ケーブル(例えば、「10Base−T」)、光ファイバケーブルを含む、多くの異なるタイプの媒体を用いて、物理的に接続され得る。あるいは、ワークステーションおよびサーバは、ワイヤレス伝送システム(すなわち、RFまたは赤外線伝送システム)を介して接続され得る。物理層210のすぐ上にある層は、データリンク層(別名「媒体アクセス」層)220と呼ばれる。データリンク層220は、物理層をわたるエラーのない伝送の提供を行うプロトコルを提供する。これは、伝送されるデータ(すなわち、ネットワーク層225から受信されるデータ)を、データフレームに組み込み、フレームを物理層210を介して連続的に伝送することによって達成される。「イーサネット(登録商標)」および「トークンリング」が、データリンクプロトコルの周知の例のうちの2つである。
【0060】
ネットワーク層225は、データリンク層220のすぐ上にあり、伝送されるデータについてのネットワークアドレスを(特に)提供する。データは、ネットワーク層225でネットワーク「パケット」に組み込まれ、各パケットは、ヘッダにソースおよび宛先アドレスを含む。インターネットプロトコルとしても公知である、TCP/IPの「IP」部分が、周知のネットワーク層プロトコルのうちの1つである。
【0061】
従って、ワークステーション110またはサーバ125が、LAN105で伝送されたデータを受信する場合、ワークステーション110またはサーバ125は、データリンク層フレーム内のデータを受信し、各フレームは、1つ以上のネットワーク層パケットを含む。その後、データリンクフレームからネットワークパケットを取り除き、パケットを、アプリケーション層232(データをリクエストするか、または他のノードからデータをリクエストされるアプリケーションプログラムがある)まで、残りのプロトコル層を介して伝送する。
【0062】
次に、図2Bを参照すると、侵入検出および応答システムの一部を含む分析モジュール250およびフィルタモジュール260が、示されている。分析モジュール250は、本発明の悪化レベル機能を提供する。分析モジュール250は、流入ネットワークパケットを受信し、伝送されたデータおよびパケットに含まれるタイプのデータの原因(例えば、ping、ログインリクエストなど)を判定する。その後、分析モジュール250は、ターゲットおよびネットワークの現在の悪化レベルに基づいて、流入するデータをどのように処理するかを決定する。
【0063】
例えば、再度図4を参照すると、容疑対象Aに向けられる容疑対象特定ターゲット悪化レベルが閾値450より上である(分析モジュール250が、容疑対象Aからの最新の事象を含むデータパケットを受信した後)場合、分析モジュール250は、容疑対象Aの受動的走査を開始し得る。容疑対象Aから受け取られた新たな事象が、分析モジュールに、容疑対象Aに向けられる容疑対象特定ターゲット悪化レベルを閾値451または452より上になるように高めさせる場合、分析モジュール250は、容疑対象Aの能動的走査を開始し得る。容疑対象Aについての容疑対象特定ターゲット悪化レベルが閾値455に達する場合、分析モジュールは、ターゲットのリソースへのアクセスを容疑対象Aに提供する前に、容疑対象Aからの増大した認証を要求し得る。
【0064】
最終的に、容疑対象Aに向けられる容疑対象特定ターゲット悪化は、最大閾値レベル、例えば、閾値455より上であり、分析モジュール250は、フィルタモジュール260を適用して、容疑対象Aから受信したデータパケット全てを、選択的にフィルタリングする。上記の説明は、容疑対象特定ターゲット悪化レベルに焦点が当てられていたが、分析モジュール250は、上述したレベルとは異なる、任意の他の悪化レベル(例えば、全体のターゲット悪化、全体のネットワーク悪化、容疑対象特定ネットワーク悪化)に基づく新たな事象にも反応し得ることに留意されたい。
【0065】
分析モジュール250およびフィルタモジュール260は、パケットレベルで、ネットワークプロトコルスタックに、(すなわち、ネットワーク層とデータリンクプロトコル層との間に)挿入されることに留意されたい。従って、全てのデータパケットは、分析モジュール250およびフィルタモジュール260があるコンピュータに通過する前に、分析される。このように、「秘密」事象(転送層230および/またはアプリケーション232層でのログをかわすように設計される事象)でさえも分析される。
【0066】
上記の説明を通じて、パケットレベル分析の特有の実施形態を説明した。しかし、特定の構成に依存して、本発明の基礎をなす原理から逸脱することなく、異なる実現が採用され得る。例えば、上記の実施形態は、パケット情報からのネットワークおよび転送層接続事象を分析するが、代わりに、転送スタックから、同じ情報を読み出すことを選択し得る。同様に、ログイン失敗パケットを記録する代わりに、システムは、アプリケーション層ログおよび監査システムから、それらのイベントを読み出し得る。従って、パケットレベル情報は、本発明の範囲から逸脱することなく、ターゲット上の他のログ、監査、および監視サブシステムから再構成され得る。
【0067】
(イベントタイムロールアップ)
本明細書中で用いられる「イベント」は、特定の容疑対象から特定のターゲットに送信される、特定のタイプのデータ通信(例えば、ping)のことをいう。イベントデータ構造800を、図8に示す。イベント構造は、イベントタイプフィールド810(例えば、ping)、容疑対象識別フィールド820、ターゲット識別フィールド830、カウンタフィールド840、間隔フィールド850、およびウィンドウサイズフィールド860を含む。上記の1つ以上の悪化レベルが所定の閾値レベルを超えているため、ターゲットノードまたはサーバが受動的走査を開始する場合、ターゲットノードまたはサーバは、流入するイベント全ての記録をログ(例えば、ハードディスクに格納)し始める。メモリを節約するため、多くのイベントが1つのイベント構造に結合され得る。本明細書中で「イベントタイムロールアップ」と呼ぶこの手順を、次に、図7を参照しながら説明する。
【0068】
時系列線710に示すように、時間Tのウィンドウサイズ860は、各イベントを初期的に囲む。時系列線720に示すように、2つの連続的なイベントのウィンドウがオーバーラップする場合、2つのイベントは、1つのイベントデータオブジェクト700に結合される。従って、第2のイベントが、図中720のt2で到達する場合、イベントデータ構造800は、カウントデータフィールドを1から2に増大させ、オーバーラップする2つの連続的なイベントがあることを示す。いくつかのイベントを1つのデータオブジェクトに結合するこの方法は、メモリを節約し、容疑対象が、ターゲットのハードドライブを大量のイベントデータで充填することによってターゲットをディセーブルしようと試みる、容疑対象による特定のタイプの攻撃を防止するためにも行われる。
【0069】
さらに、1つの実施形態のイベントウィンドウは、ダイナミックに拡大および縮小され得る。例えば、イベントが、時系列線730に示すように、ゆっくりと到達する場合、イベントウィンドウは、同じ時間間隔T1で分割される将来のイベントが同じデータ構造800に結合されるように、拡大され得る。例えば、新たなウィンドウは、時間間隔T1を2倍するように拡大され得る。従って、第1および第2のイベントが、10分間隔で分割され、デフォルトウィンドウTが15分である場合、ウィンドウは、20分まで拡大される。さらに、イベント速度がゆっくりと低減する場合、ウィンドウは、維持するために、拡大し続ける。
【0070】
イベントウィンドウサイズに影響を与え得る他の変数は、上記の1つ以上の悪化レベルである。概して、より深刻であると分類されるイベント(すなわち、1つ以上の悪化レベルに基づいて容疑対象によって攻撃される可能性が高いイベント)は、イベントウィンドウが拡大する原因となる。従って、概して、ログイン失敗イベントについてのデフォルトウィンドウサイズは、pingイベントについてのデフォルトウィンドウより大きい。
【0071】
1つの実施形態において、1つのデータオブジェクトに連続的なイベントを含むかどうか判定する場合に考慮される唯一のウィンドウは、現在流入しているイベント(例えば、720のt2でのイベントおよび730のt3でのイベント)に関連するウィンドウである。この実施形態において、唯一の問題は、以前のイベント(例えば、720および730のt1で発生する)が、新たなイベントのウィンドウの範囲内にはいるかどうかである。従って、この実施形態において、新たなイベント(例えば、t2でのイベント)についての現在のウィンドウは、概して、t1を囲むウィンドウがもはや要因ではなくなるので、同じ効果を生み出すためには大きくなる必要がある。
【0072】
(差異報告)
さらに、所定の期間に起こる全ての新たなイベントをまとめる周期的報告が発生され得る。例えば、図9に、一連のイベント930〜960が起こる、2つの期間910および920を示す。期間910は、報告がすでに発生された期間を表す。図9に示すように、第1のイベントシリーズA930は、間隔IAで分割された2つ以上のイベントのシリーズを表す。イベントシリーズA930に含まれるイベントは、全て、同じタイプ、容疑対象、およびターゲットのイベントである。これらのイベントは、イベントシリーズAが両方の期間で起こるイベントを含むので、第2の期間920の終わりに発生される差異報告には含まれない。
【0073】
同様に、同じタイプ、容疑対象およびターゲットのイベントが期間910および920の両方で起こるので、イベントシリーズB940および945は記録されない。従って、1つの実施形態において、差異報告の作成における第1の工程は、問題のイベントのシリーズが、2つの期間の間でオーバーラップするかどうか判定することである。イベントシリーズがオーバーラップする場合、差異報告には含まれない。オーバーラップしない場合、以前の期間内のイベントデータオブジェクトは、検索されて、同じタイプ、容疑対象、およびターゲットのイベントのうち1つが記録されているかどうか判定される。このようなイベントデータオブジェクトが見受けられる場合、イベントは、差異報告には含まれない。従って、差異報告は、2つのイベントが(イベントロールアップ方法を用いて)1つのより長期間のイベントに結合されたのか、または、2つの別個のイベントとして結合されていないままなのかどうか、同じ結果を生成する。
【0074】
対照的に、イベントC950は、第2の期間の間にのみ起こり、従って、第2の期間920の終わりに発生される差異報告に表れる。イベントシリーズDがこの期間の間に起こらないので、イベントシリーズDは、第2の期間920の後に発生された差異報告には含まれない。イベントシリーズDについて差異報告が発生される場合、第1の期間910の終わりに発生される。
【0075】
新たなイベント(すなわち、同じタイプ、容疑対象、および被害者のイベント)のみを記録する理由は、擬陽性の(すなわち、疑わしいと識別すべきでない場合にイベントを疑わしいと識別する)問題を軽減するからである。すなわち、期間ごとに起こるイベントは、概して、疑わしいとは考えられない。
【図面の簡単な説明】
【図1】 図1は、概して、本発明の1つの実施形態による、より大きなネットワークを介して通信する、2つのローカルエリアネットワークおよびインターネットサービスプロバイダ(「ISP」)を示す図である。
【図2A】 図2Aは、本発明の1つの実施形態による、OSIプロトコルスタックの部分を示す図である。
【図2B】 図2Bは、本発明の1つの実施形態による、OSIスタックのデータリンク層とネットワーク層との間で実現される、分析およびフィルタシステムを示す図である。
【図3】 図3は、本発明の1つの実施形態による、悪化応答を示すグラフである。
【図4】 図4は、本発明の1つの実施形態による、全体のターゲット悪化応答および容疑対象特定ターゲット悪化応答を示すグラフである。
【図5】 図5は、本発明の他の実施形態による、全体のターゲット悪化応答および容疑対象特定ターゲット悪化応答を示すグラフである。
【図6】 図6は、本発明の他の実施形態による、容疑対象特定ネットワーク悪化応答を示すグラフである。
【図7】 図7は、本発明の1つの実施形態による、イベントオーバーラップの動作を示すグラフである。
【図8】 図8は、本発明の1つの実施形態による、イベントデータオブジェクトを示すグラフである。
【図9】 図9は、差異報告を計算するために用いられる2つの期間を示す図である。

Claims (35)

  1. 複数の警告レベルを実現するネットワーク管理方法であって、
    ネットワークノードに、
    1つ以上の容疑対象ノードから生成するデータ伝送を分析するステップと、
    前記分析に基づき警告レベルを修正するステップと、
    該警告レベルが第1の所定の閾値レベルに達する場合に第1の応答を引き起こすステップと、
    該警告レベルが第2の所定の閾値レベルに達する場合に第2の応答を引き起こすステップと
    を実行させ、前記引き起こされる応答のうちの1つが、1つ以上の前記容疑対象ノードの受動的走査若しくは能動的走査、又は前記ネットワークノードがリソースにアクセスする以前に他の任意のノードからの増加した認証を要求することを含む、前記方法。
  2. 前記ネットワークノードに、
    前記警告レベルが第3の閾値レベルに達する場合に第3の応答を引き起こすステップをさらに実行させることを含む、請求項1に記載の方法。
  3. 前記受動的走査が、ログファイルにデータ伝送を記録することを含む、請求項に記載の方法。
  4. 前記能動的走査が1つ以上の該容疑対象ノードに関する情報を検索することを含み、当該情報が前記容疑対象ノードのネットワークアドレスを含む、請求項に記載の方法。
  5. 前記能動的走査が、1つ以上の前記容疑対象ノードから生成するデータによって用いられるネットワークルートを決定することを含む、請求項に記載の方法。
  6. 前記増加した認証が、前記ソースにアクセスする以前に2つ以上のログインを課すステップを含む、請求項に記載の方法。
  7. 前記引き起こされる応答のうちの1つが、流入するデータ伝送をブロックすることを含む、請求項1に記載の方法。
  8. 前記警告レベルが、特定のタイプのデータ伝送に時間をかけて異なる応答をする、請求項1に記載の方法。
  9. 特定のタイプのデータ伝送の連続する受信に応答して、前記警告レベルが、所定の値に達するまで連続して増加する、請求項に記載の方法。
  10. 前記容疑対象ノードから生成する前記特定のタイプのデータ伝送が無効なログイン試行である、請求項に記載の方法。
  11. 前記警告レベルが、特定のタイプのデータ伝送の連続する受信に応答して最初に増加し、次に当該特定のタイプのデータ伝送の連続する受信に応答して減少する、請求項に記載の方法。
  12. 前記容疑対象ノードから生成する前記特定のタイプのデータ伝送が、前記ネットワークノードに関する情報を検索するデータ伝送である、請求項11に記載の方法。
  13. 前記データ伝送が、ネットワークパケットレベルで前記ネットワークノードにより分析される、請求項1に記載の方法。
  14. 前記データ伝送が、ネットワークパケットレベルで前記ネットワークノードによりフィルタリングされる、請求項13に記載の方法。
  15. 複数の警告レベルを実現するネットワーク管理方法であって、
    ネットワークノードに、
    1つ以上の容疑対象ノードから生成するデータ伝送を分析するステップと、
    第1の容疑対象ノードから生成するデータ伝送の前記分析に基づき第1の容疑対象特定の警告レベルを修正するステップと、
    第2の容疑対象ノードから生成するデータ伝送の前記分析に基づき第2の容疑対象特定の警告レベルを修正するステップと、
    前記第1及び第2の容疑対象特定の警告レベルのいずれかが所定の閾値レベルに達する場合に容疑対象特定の第1の応答を引き起こすステップであって、前記第1の応答のうちの1つが、1つ以上の前記容疑対象ノードの受動的走査若しくは能動的走査、又は前記ネットワークノードがリソースにアクセスする以前に他の任意のノードからの増加した認証を要求することを含む、前記引き起こすステップ
    を実行させる、前記方法。
  16. 前記ネットワークノードに、
    前記第1及び第2の容疑対象特定の警告レベルのいずれかがさらなる所定の閾値レベルに達する場合に容疑対象特定の第2の応答を引き起こすステップをさらに実行させることを含む、請求項15に記載の方法。
  17. 前記ネットワークノードに、
    前記容疑対象ノードの各々から生成する前記データ伝送に基く全警告レベルを修正するステップをさらに実行させることを含む、請求項15に記載の方法。
  18. 前記全警告レベルが所定の閾値レベルに達する場合に、複数の前記容疑対象ノードそれぞれへの応答を引き起こす動作を含む、請求項17に記載の方法。
  19. 前記全警告レベルは、前記ネットワークノードで以前受信したデータ伝送に対してよりも新しいタイプのデータ伝送に対してより応答性である、請求項17に記載の方法。
  20. 前記ネットワークノードに、
    特定の容疑対象ノードから生成するデータ伝送に応答して前記警告レベルを初めに増加させ、次に該特定の容疑対象ノードから前記データ伝送を連続して受信するときに該全警告レベルを減少させるステップを実行させることを含む、請求項19に記載の方法。
  21. 前記ネットワークノードに、
    前記容疑対象特定の警告レベルのそれぞれをサーバノード上に常駐するネットワークデータベースと通信させるステップをさらに実行させることを含む、請求項15に記載の方法。
  22. 前記ネットワークノードに、
    前記全警告レベルをサーバノード上に常駐するネットワークデータベースと通信させるステップをさらに実行させることを含む、請求項17に記載の方法。
  23. 複数の警告レベルを実現するネットワーク管理方法であって、
    ネットワークノードに、
    複数のネットワークノードについての複数の容疑対象特定の警告レベルを格納するステップと、
    該複数の容疑対象特定の警告レベルの各値に基づきネットワーク警告レベルを修正するステップと、
    該ネットワーク警告レベルが所定の閾値レベルに達する場合にネットワーク応答を引き起こすステップであって、前記ネットワーク応答が複数のネットワークのそれぞれが特定の容疑対象ノードへの自身の容疑対象特定の警告レベルをそれぞれ増加すべきであることを複数のネットワークノードのそれぞれに通知すること、及び特定の容疑対象ノードの能動的走査を開始することを含む、前記引き起こすステップと
    を実行させることを含む、前記方法。
  24. 前記ネットワーク応答が、前記ネットワークノードが特定の容疑対象ノードの受動的走査を開始することを含む、請求項23に記載の方法。
  25. 前記ネットワークノードに、
    前記ネットワーク応答が、前記容疑対象ノードと前記複数のネットワークノードとの間の全通信をブロックするステップをさらに実行させることを含む、請求項23に記載の方法。
  26. 複数の警告レベルを実現するネットワーク管理方法であって、
    ネットワークノードに、
    容疑対象ノードからの第1の事象を受信するステップと、
    事象カウント値を有する第1のデータ構造に前記受信した第1の事象を記録するステップと、
    前記容疑対象ノードから第2の事象を受信するステップであって、当該第2の事象が前記第1の事象同じタイプの事象である、前記受信するステップと、
    前記受信した第2の事象が、前記第1の事象後に所定の期間のウィンドウ内で生じる場合、当該第2の事象を前記第1のデータ構造に記録し、そして該カウント値を増加させるステップと
    を実行させることを含む、前記方法。
  27. 前記ネットワークノードに、
    前記第2の事象が、前記第1の事象後に前記所定の期間のウィンドウ外で生じる場合、当該第2の事象を、事象カウント値を有する第2のデータ構造に記録するステップをさらに実行させることを含む、請求項26に記載の方法。
  28. 前記第2の事象が前記所定の期間のウィンドウの外で生じることに応答して、当該所定の期間のウィンドウが増加させる、請求項27に記載の方法。
  29. 前記第1の事象又は前記第2の事象のタイプに基づいて、前記所定の期間のウィンドウが修正される、請求項26に記載の方法。
  30. 前記所定の期間のウィンドウが、より重大な事象のタイプに対して増加し、あまり重大でない事象のタイプに対して減少する、請求項29に記載の方法。
  31. 前記事象タイプが無効なログインである、請求項30に記載の方法。
  32. 前記事象タイプがpingである、請求項30に記載の方法。
  33. 前記ネットワークノードに、
    所定の期間にわたって生じる新しい事象全てのレポートを作成するステップをさらに実行させることを含む、請求項26に記載の方法。
  34. 事象が前記所定の期間より前の期間において受信された1つ以上の以前の事象を備える単一データ構造に含まれるかどうかを判定するステップと、
    前記事象が前記単一データ構造に含まれない場合、該所定の期間に生成される全データ構造を検索するステップと、
    前記事象が該所定の期間に生成されるいかなるデータ構造においても認識されない場合、該レポートに当該事象を含ませるステップと
    によって前記事象が新しい事象として認識される、請求項33に記載の方法。
  35. ネットワークノードに、請求項1〜34のいずれか1項に記載の方法の各ステップを実行させるプログラムを記録したコンピュータ読み出し可能な記録媒体。
JP2000587259A 1998-12-09 1999-12-03 ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置 Expired - Fee Related JP4501280B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US11163898P 1998-12-09 1998-12-09
US60/111,638 1998-12-09
US44750099A 1999-11-23 1999-11-23
US09/447,500 1999-11-23
PCT/US1999/028717 WO2000034867A1 (en) 1998-12-09 1999-12-03 A method and apparatus for providing network and computer system security

Publications (3)

Publication Number Publication Date
JP2003524925A JP2003524925A (ja) 2003-08-19
JP2003524925A5 JP2003524925A5 (ja) 2007-02-01
JP4501280B2 true JP4501280B2 (ja) 2010-07-14

Family

ID=26809096

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000587259A Expired - Fee Related JP4501280B2 (ja) 1998-12-09 1999-12-03 ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置

Country Status (6)

Country Link
US (1) US7934254B2 (ja)
EP (1) EP1149339A1 (ja)
JP (1) JP4501280B2 (ja)
AU (1) AU2164700A (ja)
IL (1) IL143573A0 (ja)
WO (1) WO2000034867A1 (ja)

Families Citing this family (104)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US7574740B1 (en) 2000-04-28 2009-08-11 International Business Machines Corporation Method and system for intrusion detection in a computer network
US7380272B2 (en) 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
AU2001295016A1 (en) 2000-09-01 2002-03-13 Sri International, Inc. Probabilistic alert correlation
US20110231564A1 (en) * 2000-09-25 2011-09-22 Yevgeny Korsunsky Processing data flows with a data flow processor
US20100042565A1 (en) * 2000-09-25 2010-02-18 Crossbeam Systems, Inc. Mezzazine in-depth data analysis facility
US20110214157A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Securing a network with data flow processing
US9800608B2 (en) * 2000-09-25 2017-10-24 Symantec Corporation Processing data flows with a data flow processor
US8010469B2 (en) * 2000-09-25 2011-08-30 Crossbeam Systems, Inc. Systems and methods for processing data flows
US20110238855A1 (en) * 2000-09-25 2011-09-29 Yevgeny Korsunsky Processing data flows with a data flow processor
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20110213869A1 (en) * 2000-09-25 2011-09-01 Yevgeny Korsunsky Processing data flows with a data flow processor
US20110219035A1 (en) * 2000-09-25 2011-09-08 Yevgeny Korsunsky Database security via data flow processing
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
US9027121B2 (en) 2000-10-10 2015-05-05 International Business Machines Corporation Method and system for creating a record for one or more computer security incidents
US20020133603A1 (en) * 2001-03-13 2002-09-19 Fujitsu Limited Method of and apparatus for filtering access, and computer product
US6513122B1 (en) 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US7715819B2 (en) * 2001-08-03 2010-05-11 The Boeing Company Airborne security manager
US20030033541A1 (en) * 2001-08-07 2003-02-13 International Business Machines Corporation Method and apparatus for detecting improper intrusions from a network into information systems
EP1315066A1 (en) * 2001-11-21 2003-05-28 BRITISH TELECOMMUNICATIONS public limited company Computer security system
US7174566B2 (en) * 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
EP1488300A1 (en) 2002-03-28 2004-12-22 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for network security
EP1355468A1 (en) * 2002-04-19 2003-10-22 BRITISH TELECOMMUNICATIONS public limited company Method and apparatus for network security
US7512983B2 (en) 2002-03-28 2009-03-31 British Telecommunications Plc Method and apparatus for network security
JP3986871B2 (ja) * 2002-04-17 2007-10-03 株式会社エヌ・ティ・ティ・データ アンチプロファイリング装置およびアンチプロファイリングプログラム
TWI235580B (en) * 2002-05-03 2005-07-01 Ke-Cheng Fang Network security system and method for recording and resisting hacker
AU2003279071A1 (en) 2002-09-23 2004-04-08 Wimetrics Corporation System and method for wireless local area network monitoring and intrusion detection
US7832012B2 (en) 2004-05-19 2010-11-09 Computer Associates Think, Inc. Method and system for isolating suspicious email
EP1790131B1 (en) * 2004-09-09 2012-12-05 Avaya Inc. Methods of and systems for network traffic security
US9256740B2 (en) 2005-02-22 2016-02-09 International Business Machines Corporation Method and system for analysis of security events in a managed computer network
JP2006345014A (ja) * 2005-06-07 2006-12-21 Nippon Telegr & Teleph Corp <Ntt> 攻撃トラヒック防御システムおよび方法
US7831522B1 (en) 2006-09-28 2010-11-09 Symantec Corporation Evaluating relying parties
US7835348B2 (en) * 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
EP2009865A1 (en) * 2007-06-25 2008-12-31 Alcatel Lucent Method of providing an access control system
US9032514B1 (en) * 2007-08-21 2015-05-12 Mcafee, Inc. Potential data leakage reporting system, method, and computer program product
WO2009119049A1 (ja) * 2008-03-25 2009-10-01 パナソニック株式会社 電子端末、制御方法、コンピュータプログラム及び集積回路
JP5121622B2 (ja) * 2008-08-05 2013-01-16 日本電信電話株式会社 アクセス先スコアリング方法およびそのプログラム
US8326987B2 (en) * 2008-11-12 2012-12-04 Lin Yeejang James Method for adaptively building a baseline behavior model
US8631080B2 (en) * 2009-03-12 2014-01-14 Microsoft Corporation Email characterization
US8489685B2 (en) 2009-07-17 2013-07-16 Aryaka Networks, Inc. Application acceleration as a service system and method
US9705899B2 (en) * 2010-01-26 2017-07-11 Bae Systems Information And Electronic Systems Integration Inc. Digital filter correlation engine
US8776226B2 (en) * 2010-01-26 2014-07-08 Bae Systems Information And Electronic Systems Integration Inc. Method and apparatus for detecting SSH login attacks
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9117074B2 (en) 2011-05-18 2015-08-25 Microsoft Technology Licensing, Llc Detecting a compromised online user account
US20130018965A1 (en) * 2011-07-12 2013-01-17 Microsoft Corporation Reputational and behavioral spam mitigation
US9087324B2 (en) 2011-07-12 2015-07-21 Microsoft Technology Licensing, Llc Message categorization
US9065826B2 (en) 2011-08-08 2015-06-23 Microsoft Technology Licensing, Llc Identifying application reputation based on resource accesses
US8856936B2 (en) 2011-10-14 2014-10-07 Albeado Inc. Pervasive, domain and situational-aware, adaptive, automated, and coordinated analysis and control of enterprise-wide computers, networks, and applications for mitigation of business and operational risks and enhancement of cyber security
CN102664876A (zh) * 2012-04-10 2012-09-12 星云融创(北京)科技有限公司 网络安全检测方法及系统
CN102868685B (zh) * 2012-08-29 2015-04-15 北京神州绿盟信息安全科技股份有限公司 一种判定自动扫描行为的方法及装置
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
CN103347074A (zh) * 2013-07-01 2013-10-09 中山司南物联网科技有限公司 一种多级物联网连接服务系统
US9684354B2 (en) * 2013-07-31 2017-06-20 Conduent Business Services, Llc Remote customer relationship management activity workspace
US9325735B1 (en) 2013-10-31 2016-04-26 Palo Alto Networks, Inc. Selective sinkholing of malware domains by a security device via DNS poisoning
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
CN105095726B (zh) * 2014-05-08 2018-05-11 阿里巴巴集团控股有限公司 生成验证码的方法及装置
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US9306965B1 (en) 2014-10-21 2016-04-05 IronNet Cybersecurity, Inc. Cybersecurity system
US9495865B2 (en) * 2014-11-24 2016-11-15 At&T Intellectual Property I, L.P. Power-line communications
US20160171415A1 (en) 2014-12-13 2016-06-16 Security Scorecard Cybersecurity risk assessment on an industry basis
US9591022B2 (en) 2014-12-17 2017-03-07 The Boeing Company Computer defenses and counterattacks
US10193929B2 (en) * 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
CN104753948B (zh) * 2015-04-03 2019-01-15 西安邮电大学 一种基于三重实值否定选择的入侵检测方法
US9917852B1 (en) 2015-06-29 2018-03-13 Palo Alto Networks, Inc. DGA behavior detection
US10476891B2 (en) * 2015-07-21 2019-11-12 Attivo Networks Inc. Monitoring access of network darkspace
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
EP3338205B1 (en) 2016-07-14 2019-05-01 Ironnet Cybersecurity, Inc. Simulation and virtual reality based cyber behavioral system
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US10367846B2 (en) 2017-11-15 2019-07-30 Xm Cyber Ltd. Selectively choosing between actual-attack and simulation/evaluation for validating a vulnerability of a network node during execution of a penetration testing campaign
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
US11050780B2 (en) * 2017-12-06 2021-06-29 International Business Machines Corporation Methods and systems for managing security in computing networks
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
WO2020089698A1 (en) * 2018-11-04 2020-05-07 Xm Cyber Ltd. Using information about exportable data in penetration testing
US11283827B2 (en) 2019-02-28 2022-03-22 Xm Cyber Ltd. Lateral movement strategy during penetration testing of a networked system
US11206281B2 (en) 2019-05-08 2021-12-21 Xm Cyber Ltd. Validating the use of user credentials in a penetration testing campaign
JP7278423B2 (ja) 2019-05-20 2023-05-19 センチネル ラブス イスラエル リミテッド 実行可能コード検出、自動特徴抽出及び位置独立コード検出のためのシステム及び方法
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US10880326B1 (en) 2019-08-01 2020-12-29 Xm Cyber Ltd. Systems and methods for determining an opportunity for node poisoning in a penetration testing campaign, based on actual network traffic
US11729134B2 (en) 2019-09-30 2023-08-15 Palo Alto Networks, Inc. In-line detection of algorithmically generated domains
US11005878B1 (en) 2019-11-07 2021-05-11 Xm Cyber Ltd. Cooperation between reconnaissance agents in penetration testing campaigns
US11575700B2 (en) 2020-01-27 2023-02-07 Xm Cyber Ltd. Systems and methods for displaying an attack vector available to an attacker of a networked system
US11582256B2 (en) 2020-04-06 2023-02-14 Xm Cyber Ltd. Determining multiple ways for compromising a network node in a penetration testing campaign
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US12050693B2 (en) 2021-01-29 2024-07-30 Varmour Networks, Inc. System and method for attributing user behavior from multiple technical telemetry sources
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks

Family Cites Families (227)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4223380A (en) 1978-04-06 1980-09-16 Ncr Corporation Distributed multiprocessor communication system
JPS55112651A (en) 1979-02-21 1980-08-30 Fujitsu Ltd Virtual computer system
US4672609A (en) 1982-01-19 1987-06-09 Tandem Computers Incorporated Memory system with operation error detection
US4773028A (en) 1984-10-01 1988-09-20 Tektronix, Inc. Method and apparatus for improved monitoring and detection of improper device operation
US4819234A (en) 1987-05-01 1989-04-04 Prime Computer, Inc. Operating system debugger
CA1314101C (en) 1988-02-17 1993-03-02 Henry Shao-Lin Teng Expert system for security inspection of a digital computer system in a network environment
US4975950A (en) 1988-11-03 1990-12-04 Lentz Stephen A System and method of protecting integrity of computer data and software
US5121345A (en) 1988-11-03 1992-06-09 Lentz Stephen A System and method for protecting integrity of computer data and software
US5347450A (en) 1989-01-18 1994-09-13 Intel Corporation Message routing in a multiprocessor computer system
US5353393A (en) 1989-06-14 1994-10-04 Sunwest Trading Corporation Apparatus and method for manipulating scanned documents in a computer aided design system
US5347579A (en) 1989-07-05 1994-09-13 Blandford Robert R Personal computer diary
US5204966A (en) 1990-03-09 1993-04-20 Digital Equipment Corporation System for controlling access to a secure system by verifying acceptability of proposed password by using hashing and group of unacceptable passwords
EP0449242A3 (en) * 1990-03-28 1992-10-28 National Semiconductor Corporation Method and structure for providing computer security and virus prevention
US5032979A (en) 1990-06-22 1991-07-16 International Business Machines Corporation Distributed security auditing subsystem for an operating system
US5210704A (en) 1990-10-02 1993-05-11 Technology International Incorporated System for prognosis and diagnostics of failure and wearout monitoring and for prediction of life expectancy of helicopter gearboxes and other rotating equipment
JPH04310188A (ja) 1991-03-01 1992-11-02 Internatl Business Mach Corp <Ibm> 文書/画像ライブラリのためのライブラリサービス方法
US5274824A (en) 1991-03-01 1993-12-28 Bull Hn Information Systems Inc. Keyring metaphor for user's security keys on a distributed multiprocess data system
EP0510244A1 (en) 1991-04-22 1992-10-28 Acer Incorporated Method and apparatus for protecting a computer system from computer viruses
US5774727A (en) 1991-06-27 1998-06-30 Digital Equipment Corporation Parallel processing system for virtual processor implementation of machine-language instructions
US5577209A (en) 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5309562A (en) 1991-08-19 1994-05-03 Multi-Tech Systems, Inc. Method and apparatus for establishing protocol spoofing from a modem
US5454074A (en) 1991-09-18 1995-09-26 The Boeing Company Electronic checklist system
US5649095A (en) 1992-03-30 1997-07-15 Cozza; Paul D. Method and apparatus for detecting computer viruses through the use of a scan information cache
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
US5311593A (en) 1992-05-13 1994-05-10 Chipcom Corporation Security system for a network concentrator
JP3483583B2 (ja) * 1992-05-25 2004-01-06 株式会社東芝 不正ユーザアクセス防止システム
US5359659A (en) 1992-06-19 1994-10-25 Doren Rosenthal Method for securing software against corruption by computer viruses
US5371852A (en) 1992-10-14 1994-12-06 International Business Machines Corporation Method and apparatus for making a cluster of computers appear as a single host on a network
JP3171962B2 (ja) * 1992-11-04 2001-06-04 富士通株式会社 ポリシング・ユーザ・インタフェース方式
US5345595A (en) * 1992-11-12 1994-09-06 Coral Systems, Inc. Apparatus and method for detecting fraudulent telecommunication activity
US5440723A (en) 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
JP2501771B2 (ja) 1993-01-19 1996-05-29 インターナショナル・ビジネス・マシーンズ・コーポレイション 不所望のソフトウェア・エンティティの複数の有効なシグネチャを得る方法及び装置
US5586260A (en) 1993-02-12 1996-12-17 Digital Equipment Corporation Method and apparatus for authenticating a client to a server in computer systems which support different security mechanisms
GB9303527D0 (en) 1993-02-22 1993-04-07 Hewlett Packard Ltd Network analysis method
CA2154585C (en) 1993-02-23 1999-08-10 Andrew Grace Event correlation
TW225623B (en) 1993-03-31 1994-06-21 American Telephone & Telegraph Real-time fraud monitoring system
US5630061A (en) 1993-04-19 1997-05-13 International Business Machines Corporation System for enabling first computer to communicate over switched network with second computer located within LAN by using media access control driver in different modes
US5398196A (en) 1993-07-29 1995-03-14 Chambers; David A. Method and apparatus for detection of computer viruses
KR100195076B1 (ko) * 1993-09-16 1999-06-15 윤종용 용융탄산염 연료전지용 양전극의 제조방법
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5835726A (en) 1993-12-15 1998-11-10 Check Point Software Technologies Ltd. System for securing the flow of and selectively modifying packets in a computer network
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5515508A (en) 1993-12-17 1996-05-07 Taligent, Inc. Client server system and method of operation including a dynamically configurable protocol stack
US5974457A (en) 1993-12-23 1999-10-26 International Business Machines Corporation Intelligent realtime monitoring of data traffic
US5557742A (en) 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5522026A (en) 1994-03-18 1996-05-28 The Boeing Company System for creating a single electronic checklist in response to multiple faults
US5675711A (en) 1994-05-13 1997-10-07 International Business Machines Corporation Adaptive statistical regression and classification of data strings, with application to the generic detection of computer viruses
CA2191205A1 (en) 1994-06-01 1995-12-07 John Schnurer Computer virus trap
US5999711A (en) 1994-07-18 1999-12-07 Microsoft Corporation Method and system for providing certificates holding authentication and authorization information for users/machines
US6006016A (en) 1994-11-10 1999-12-21 Bay Networks, Inc. Network fault correlation
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5764890A (en) 1994-12-13 1998-06-09 Microsoft Corporation Method and system for adding a secure network server to an existing computer network
CA2138302C (en) 1994-12-15 1999-05-25 Michael S. Fortinsky Provision of secure access to external resources from a distributed computing environment
US5590331A (en) 1994-12-23 1996-12-31 Sun Microsystems, Inc. Method and apparatus for generating platform-standard object files containing machine-independent code
JPH08242229A (ja) 1995-03-01 1996-09-17 Fujitsu Ltd ネットワーク監視における状態整合処理システム
US5696486A (en) 1995-03-29 1997-12-09 Cabletron Systems, Inc. Method and apparatus for policy-based alarm notification in a distributed network management environment
CN1171433C (zh) 1995-03-30 2004-10-13 碧蓝方案有限公司 检测通信网络的可能的非法使用的方法及系统
US5749066A (en) 1995-04-24 1998-05-05 Ericsson Messaging Systems Inc. Method and apparatus for developing a neural network for phoneme recognition
US5734697A (en) 1995-04-28 1998-03-31 Mci Corporation Method and apparatus for improving telecommunications system performance
US5790799A (en) 1995-05-17 1998-08-04 Digital Equipment Corporation System for sampling network packets by only storing the network packet that its error check code matches with the reference error check code
US6061795A (en) 1995-07-31 2000-05-09 Pinnacle Technology Inc. Network desktop management security system and method
US6477585B1 (en) 1995-08-18 2002-11-05 International Business Machines Corporation Filter mechanism for an event management service
US5878420A (en) 1995-08-31 1999-03-02 Compuware Corporation Network monitoring and management system
US6144961A (en) 1995-08-31 2000-11-07 Compuware Corporation Method and system for non-intrusive measurement of transaction response times on a network
US5623600A (en) 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US5854916A (en) 1995-09-28 1998-12-29 Symantec Corporation State-based cache for antivirus software
US5696822A (en) 1995-09-28 1997-12-09 Symantec Corporation Polymorphic virus detection module
US5826013A (en) 1995-09-28 1998-10-20 Symantec Corporation Polymorphic virus detection module
US5765030A (en) 1996-07-19 1998-06-09 Symantec Corp Processor emulator module having a variable pre-fetch queue size for program execution
US6067410A (en) 1996-02-09 2000-05-23 Symantec Corporation Emulation repair system
US5745692A (en) 1995-10-23 1998-04-28 Ncr Corporation Automated systems administration of remote computer servers
JPH09128336A (ja) * 1995-11-06 1997-05-16 Hitachi Ltd ネットワークセキュリティシステム
US5832211A (en) 1995-11-13 1998-11-03 International Business Machines Corporation Propagating plain-text passwords from a main registry to a plurality of foreign registries
US5838903A (en) 1995-11-13 1998-11-17 International Business Machines Corporation Configurable password integrity servers for use in a shared resource environment
US5764887A (en) 1995-12-11 1998-06-09 International Business Machines Corporation System and method for supporting distributed computing mechanisms in a local area network server environment
GB9526129D0 (en) 1995-12-21 1996-02-21 Philips Electronics Nv Machine code format translation
JP3165366B2 (ja) 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
JPH09214493A (ja) 1996-02-08 1997-08-15 Hitachi Ltd ネットワークシステム
US5761504A (en) 1996-02-16 1998-06-02 Motorola, Inc. Method for updating a software code in a communication system
US5950012A (en) 1996-03-08 1999-09-07 Texas Instruments Incorporated Single chip microprocessor circuits, systems, and methods for self-loading patch micro-operation codes and patch microinstruction codes
US5964839A (en) 1996-03-29 1999-10-12 At&T Corp System and method for monitoring information flow and performing data collection
US5822517A (en) 1996-04-15 1998-10-13 Dotan; Eyal Method for detecting infection of software programs by memory resident software viruses
US6377994B1 (en) 1996-04-15 2002-04-23 International Business Machines Corporation Method and apparatus for controlling server access to a resource in a client/server system
US6014645A (en) 1996-04-19 2000-01-11 Block Financial Corporation Real-time financial card application system
US5881236A (en) 1996-04-26 1999-03-09 Hewlett-Packard Company System for installation of software on a remote computer system over a network using checksums and password protection
US6104783A (en) 1996-05-01 2000-08-15 Instant Alert Security, Llc Method and apparatus for securing a site utilizing a security apparatus in cooperation with telephone systems
US5884033A (en) 1996-05-15 1999-03-16 Spyglass, Inc. Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions
US5798706A (en) 1996-06-18 1998-08-25 Raptor Systems, Inc. Detecting unauthorized network communication
US5857191A (en) 1996-07-08 1999-01-05 Gradient Technologies, Inc. Web application server with secure common gateway interface
US5787177A (en) 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US5828833A (en) 1996-08-15 1998-10-27 Electronic Data Systems Corporation Method and system for allowing remote procedure calls through a network firewall
US5864665A (en) 1996-08-20 1999-01-26 International Business Machines Corporation Auditing login activity in a distributed computing environment
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5845067A (en) 1996-09-09 1998-12-01 Porter; Jack Edward Method and apparatus for document management utilizing a messaging system
US5892903A (en) 1996-09-12 1999-04-06 Internet Security Systems, Inc. Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system
US5983350A (en) 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5899999A (en) 1996-10-16 1999-05-04 Microsoft Corporation Iterative convolution filter particularly suited for use in an image classification and retrieval system
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US6167520A (en) 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US6154844A (en) 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US5848233A (en) 1996-12-09 1998-12-08 Sun Microsystems, Inc. Method and apparatus for dynamic packet filter assignment
US5974237A (en) 1996-12-18 1999-10-26 Northern Telecom Limited Communications network monitoring
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
JP3737594B2 (ja) * 1997-01-28 2006-01-18 株式会社日立コミュニケーションテクノロジー ネットワーク管理システム、セキュリティ管理装置およびセキュリティ管理方法
US5875296A (en) 1997-01-28 1999-02-23 International Business Machines Corporation Distributed file system web server user authentication with cookies
US5983270A (en) 1997-03-11 1999-11-09 Sequel Technology Corporation Method and apparatus for managing internetwork and intranetwork activity
US6085224A (en) 1997-03-11 2000-07-04 Intracept, Inc. Method and system for responding to hidden data and programs in a datastream
US5925126A (en) 1997-03-18 1999-07-20 Memco Software, Ltd. Method for security shield implementation in computer system's software
US5987606A (en) 1997-03-19 1999-11-16 Bascom Global Internet Services, Inc. Method and system for content filtering information retrieved from an internet computer network
US6477648B1 (en) 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
US5893091A (en) * 1997-04-11 1999-04-06 Immediata Corporation Multicasting with key words
US5964889A (en) 1997-04-16 1999-10-12 Symantec Corporation Method to analyze a program for presence of computer viruses by examining the opcode for faults before emulating instruction in emulator
JP3028783B2 (ja) 1997-04-25 2000-04-04 日本電気株式会社 ネットワークの監視方法と装置
US6314525B1 (en) 1997-05-13 2001-11-06 3Com Corporation Means for allowing two or more network interface controller cards to appear as one card to an operating system
US5922051A (en) * 1997-05-14 1999-07-13 Ncr Corporation System and method for traffic management in a network management system
US6119234A (en) 1997-06-27 2000-09-12 Sun Microsystems, Inc. Method and apparatus for client-host communication over a computer network
US6073172A (en) 1997-07-14 2000-06-06 Freegate Corporation Initializing and reconfiguring a secure network interface
KR19990011713A (ko) 1997-07-25 1999-02-18 윤종용 시나리오형 사용자 인터페이스에 의한 문자 정보 전송
EP0898245B1 (en) 1997-08-05 2004-04-14 Canon Kabushiki Kaisha Image processing method and apparatus
US5919257A (en) 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US5978917A (en) 1997-08-14 1999-11-02 Symantec Corporation Detection and elimination of macro viruses
US6275938B1 (en) 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6009467A (en) 1997-08-29 1999-12-28 International Business Machines Corporation System for checking status of supported functions of communication platforms at preselected intervals in order to allow hosts to obtain updated list of all supported functions
US6016553A (en) 1997-09-05 2000-01-18 Wild File, Inc. Method, software and apparatus for saving, using and recovering data
US6199181B1 (en) 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
US5983348A (en) 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US5961644A (en) 1997-09-19 1999-10-05 International Business Machines Corporation Method and apparatus for testing the integrity of computer security alarm systems
US6357008B1 (en) 1997-09-23 2002-03-12 Symantec Corporation Dynamic heuristic method for detecting computer viruses using decryption exploration and evaluation phases
US5991856A (en) 1997-09-30 1999-11-23 Network Associates, Inc. System and method for computer operating system protection
US6081894A (en) 1997-10-22 2000-06-27 Rvt Technologies, Inc. Method and apparatus for isolating an encrypted computer system upon detection of viruses and similar data
US6003132A (en) 1997-10-22 1999-12-14 Rvt Technologies, Inc. Method and apparatus for isolating a computer system upon detection of viruses and similar data
US6035323A (en) 1997-10-24 2000-03-07 Pictra, Inc. Methods and apparatuses for distributing a collection of digital media over a network with automatic generation of presentable media
US6041347A (en) 1997-10-24 2000-03-21 Unified Access Communications Computer system and computer-implemented process for simultaneous configuration and monitoring of a computer network
EP1025517A1 (en) 1997-10-27 2000-08-09 Massachusetts Institute Of Technology Image search and retrieval system
US6070244A (en) 1997-11-10 2000-05-30 The Chase Manhattan Bank Computer network security management system
US6119165A (en) 1997-11-17 2000-09-12 Trend Micro, Inc. Controlled distribution of application programs in a computer network
US6108799A (en) 1997-11-21 2000-08-22 International Business Machines Corporation Automated sample creation of polymorphic and non-polymorphic marcro viruses
US6021510A (en) 1997-11-24 2000-02-01 Symantec Corporation Antivirus accelerator
US6026442A (en) * 1997-11-24 2000-02-15 Cabletron Systems, Inc. Method and apparatus for surveillance in communications networks
US6094731A (en) 1997-11-24 2000-07-25 Symantec Corporation Antivirus accelerator for computer networks
US6118940A (en) 1997-11-25 2000-09-12 International Business Machines Corp. Method and apparatus for benchmarking byte code sequences
IL122314A (en) 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
US6052709A (en) 1997-12-23 2000-04-18 Bright Light Technologies, Inc. Apparatus and method for controlling delivery of unsolicited electronic mail
US6088803A (en) 1997-12-30 2000-07-11 Intel Corporation System for virus-checking network data during download to a client device
US6035423A (en) 1997-12-31 2000-03-07 Network Associates, Inc. Method and system for providing automated updating and upgrading of antivirus applications using a computer network
US6029256A (en) 1997-12-31 2000-02-22 Network Associates, Inc. Method and system for allowing computer programs easy access to features of a virus scanning engine
US6088804A (en) 1998-01-12 2000-07-11 Motorola, Inc. Adaptive system and method for responding to computer network security attacks
US6122738A (en) 1998-01-22 2000-09-19 Symantec Corporation Computer file integrity verification
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
US6279113B1 (en) 1998-03-16 2001-08-21 Internet Tools, Inc. Dynamic signature inspection-based network intrusion detection
US6195687B1 (en) 1998-03-18 2001-02-27 Netschools Corporation Method and apparatus for master-slave control in a educational classroom communication network
US6628824B1 (en) 1998-03-20 2003-09-30 Ken Belanger Method and apparatus for image identification and comparison
US6725378B1 (en) * 1998-04-15 2004-04-20 Purdue Research Foundation Network protection for denial of service attacks
US6161109A (en) 1998-04-16 2000-12-12 International Business Machines Corporation Accumulating changes in a database management system by copying the data object to the image copy if the data object identifier of the data object is greater than the image identifier of the image copy
US6298445B1 (en) 1998-04-30 2001-10-02 Netect, Ltd. Computer security
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6070190A (en) 1998-05-11 2000-05-30 International Business Machines Corporation Client-based application availability and response monitoring and reporting for distributed computing environments
US6173413B1 (en) 1998-05-12 2001-01-09 Sun Microsystems, Inc. Mechanism for maintaining constant permissions for multiple instances of a device within a cluster
US6397242B1 (en) 1998-05-15 2002-05-28 Vmware, Inc. Virtualization system including a virtual machine monitor for a computer with a segmented architecture
US6275942B1 (en) 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
US6347374B1 (en) 1998-06-05 2002-02-12 Intrusion.Com, Inc. Event detection
BR9911409A (pt) 1998-06-22 2001-09-04 Colin Constable Sistema virtual para armazenamento de dados (vds)
US6185689B1 (en) 1998-06-24 2001-02-06 Richard S. Carson & Assoc., Inc. Method for network self security assessment
US6282546B1 (en) 1998-06-30 2001-08-28 Cisco Technology, Inc. System and method for real-time insertion of data into a multi-dimensional database for network intrusion detection and vulnerability assessment
US6324656B1 (en) 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6661904B1 (en) 1998-07-15 2003-12-09 Personalogo Method and system for automated electronic conveyance of hidden data
US6453346B1 (en) 1998-07-17 2002-09-17 Proactivenet, Inc. Method and apparatus for intelligent storage and reduction of network information
US6711127B1 (en) 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6429952B1 (en) 1998-08-31 2002-08-06 Sharp Laboratories Of America Browser interface to scanner
DE69817176T2 (de) 1998-09-09 2004-06-24 International Business Machines Corp. Verfahren und Vorrichtung zur Eindringdetektion in Rechnern und Rechnernetzen
US6271840B1 (en) 1998-09-24 2001-08-07 James Lee Finseth Graphical search engine visual index
US6338141B1 (en) 1998-09-30 2002-01-08 Cybersoft, Inc. Method and apparatus for computer virus detection, analysis, and removal in real time
US6460141B1 (en) 1998-10-28 2002-10-01 Rsa Security Inc. Security and access management system for web-enabled and non-web-enabled applications and content on a computer network
US6230288B1 (en) 1998-10-29 2001-05-08 Network Associates, Inc. Method of treating whitespace during virus detection
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6530024B1 (en) 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6517587B2 (en) 1998-12-08 2003-02-11 Yodlee.Com, Inc. Networked architecture for enabling automated gathering of information from Web servers
US6266774B1 (en) 1998-12-08 2001-07-24 Mcafee.Com Corporation Method and system for securing, managing or optimizing a personal computer
US6226372B1 (en) 1998-12-11 2001-05-01 Securelogix Corporation Tightly integrated cooperative telecommunications firewall and scanner with distributed capabilities
US6574737B1 (en) 1998-12-23 2003-06-03 Symantec Corporation System for penetrating computer or computer network
US6301668B1 (en) * 1998-12-29 2001-10-09 Cisco Technology, Inc. Method and system for adaptive network security using network vulnerability assessment
US6415321B1 (en) 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6266773B1 (en) 1998-12-31 2001-07-24 Intel. Corp. Computer security system
US6205552B1 (en) 1998-12-31 2001-03-20 Mci Worldcom, Inc. Method and apparatus for checking security vulnerability of networked devices
US6477651B1 (en) 1999-01-08 2002-11-05 Cisco Technology, Inc. Intrusion detection system and method having dynamically loaded signatures
US6578147B1 (en) 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6438600B1 (en) 1999-01-29 2002-08-20 International Business Machines Corporation Securely sharing log-in credentials among trusted browser-based applications
US6647139B1 (en) 1999-02-18 2003-11-11 Matsushita Electric Industrial Co., Ltd. Method of object recognition, apparatus of the same and recording medium therefor
US6510523B1 (en) 1999-02-22 2003-01-21 Sun Microsystems Inc. Method and system for providing limited access privileges with an untrusted terminal
US6839850B1 (en) 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US6405318B1 (en) 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6725377B1 (en) 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6434615B1 (en) 1999-04-30 2002-08-13 Compaq Information Technologies Group, L.P. Method and apparatus for remote computer management using HTML in a web browser application and an internet server extension on an internet server API-compliant web server
JP2000322573A (ja) 1999-05-06 2000-11-24 Canon Inc 画像処理方法及びその装置
US6681331B1 (en) 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US7096499B2 (en) 1999-05-11 2006-08-22 Cylant, Inc. Method and system for simplifying the structure of dynamic execution profiles
US6445822B1 (en) 1999-06-04 2002-09-03 Look Dynamics, Inc. Search method and apparatus for locating digitally stored content, such as visual images, music and sounds, text, or software, in storage devices on a computer network
US6397245B1 (en) 1999-06-14 2002-05-28 Hewlett-Packard Company System and method for evaluating the operation of a computer over a computer network
US6519647B1 (en) 1999-07-23 2003-02-11 Microsoft Corporation Methods and apparatus for synchronizing access control in a web server
US6563959B1 (en) 1999-07-30 2003-05-13 Pixlogic Llc Perceptual similarity image retrieval method
US6691232B1 (en) 1999-08-05 2004-02-10 Sun Microsystems, Inc. Security architecture with environment sensitive credential sufficiency evaluation
US6647400B1 (en) 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
US6324647B1 (en) 1999-08-31 2001-11-27 Michel K. Bowman-Amuah System, method and article of manufacture for security management in a development architecture framework
US6405364B1 (en) 1999-08-31 2002-06-11 Accenture Llp Building techniques in a development architecture framework
JP2001092972A (ja) 1999-09-24 2001-04-06 Mamoru Minami 画像認識方法
US6601190B1 (en) 1999-10-28 2003-07-29 Hewlett-Packard Development Company, L.P. Automatic capture and reporting of computer configuration data
US6606744B1 (en) 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US6584454B1 (en) 1999-12-31 2003-06-24 Ge Medical Technology Services, Inc. Method and apparatus for community management in remote system servicing
US6535227B1 (en) 2000-02-08 2003-03-18 Harris Corporation System and method for assessing the security posture of a network and having a graphical user interface
US6792144B1 (en) 2000-03-03 2004-09-14 Koninklijke Philips Electronics N.V. System and method for locating an object in an image using models
US6775780B1 (en) 2000-03-16 2004-08-10 Networks Associates Technology, Inc. Detecting malicious software by analyzing patterns of system calls generated during emulation
CA2375206A1 (en) 2000-03-27 2001-10-04 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
US6519703B1 (en) 2000-04-14 2003-02-11 James B. Joyce Methods and apparatus for heuristic firewall
US6718383B1 (en) 2000-06-02 2004-04-06 Sun Microsystems, Inc. High availability networking with virtual IP address failover
US8341743B2 (en) 2000-07-14 2012-12-25 Ca, Inc. Detection of viral code using emulation of operating system functions
US6353385B1 (en) 2000-08-25 2002-03-05 Hyperon Incorporated Method and system for interfacing an intrusion detection system to a central alarm system
US7124440B2 (en) 2000-09-07 2006-10-17 Mazu Networks, Inc. Monitoring network traffic denial of service attacks
US20020032793A1 (en) 2000-09-08 2002-03-14 The Regents Of The University Of Michigan Method and system for reconstructing a path taken by undesirable network traffic through a computer network from a source of the traffic
US20020083331A1 (en) 2000-12-21 2002-06-27 802 Systems, Inc. Methods and systems using PLD-based network communication protocols
US7290283B2 (en) 2001-01-31 2007-10-30 Lancope, Inc. Network port profiling
AU2002320191A1 (en) 2001-06-27 2003-03-03 Arbor Networks Method and system for monitoring control signal traffic over a computer network
US6546493B1 (en) 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
US6721806B2 (en) 2002-09-05 2004-04-13 International Business Machines Corporation Remote direct memory access enabled network interface controller switchover and switchback support

Also Published As

Publication number Publication date
AU2164700A (en) 2000-06-26
EP1149339A1 (en) 2001-10-31
JP2003524925A (ja) 2003-08-19
US7934254B2 (en) 2011-04-26
US20070022090A1 (en) 2007-01-25
WO2000034867A1 (en) 2000-06-15
IL143573A0 (en) 2002-04-21

Similar Documents

Publication Publication Date Title
JP4501280B2 (ja) ネットワークおよびコンピュータシステムセキュリティを提供する方法および装置
US7467410B2 (en) System and method for preventing network misuse
KR101038387B1 (ko) 원치 않는 트래픽 검출 방법 및 장치
EP1889443B1 (en) Computer network intrusion detection system and method
US9325725B2 (en) Automated deployment of protection agents to devices connected to a distributed computer network
Gula Correlating ids alerts with vulnerability information
KR et al. Intrusion detection tools and techniques–a survey
US20060015715A1 (en) Automatically protecting network service from network attack
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
JP2009504104A (ja) ネットワーク環境を動的に学習して適応型セキュリティを実現するシステムおよび方法
US20060203736A1 (en) Real-time mobile user network operations center
EP1720315B1 (en) Network management and administration by monitoring network traffic and vulnerability scanning
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
US8087083B1 (en) Systems and methods for detecting a network sniffer
Allan Intrusion Detection Systems (IDSs): Perspective
Hashim et al. Computer network intrusion detection software development
Deri et al. Improving network security using Ntop
Alsaleh et al. Revisiting network scanning detection using sequential hypothesis testing
WO2005116798A1 (en) Method and systems for computer security
Perez Practical SIEM tools for SCADA environment
CN118200016A (zh) 一种基于设备指纹的资产监控方法
Asarcıklı Firewall monitoring using intrusion detection systems
KR100730966B1 (ko) 네트워크상의 비인가 우회경로 탐지 방법 및 그 시스템
Mulge Intrusion Detection
Deri et al. Ntop: a lightweight open-source network ids

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20061201

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20061201

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20070523

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070523

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20071127

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20090710

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090721

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090807

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090807

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20090807

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090807

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100308

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100312

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100312

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100405

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20100406

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20100406

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100412

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130430

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees