JP5191492B2 - コンピュータネットワークのセキュリティを支援するために、変化する状態データを追跡するための技術 - Google Patents

コンピュータネットワークのセキュリティを支援するために、変化する状態データを追跡するための技術 Download PDF

Info

Publication number
JP5191492B2
JP5191492B2 JP2009534869A JP2009534869A JP5191492B2 JP 5191492 B2 JP5191492 B2 JP 5191492B2 JP 2009534869 A JP2009534869 A JP 2009534869A JP 2009534869 A JP2009534869 A JP 2009534869A JP 5191492 B2 JP5191492 B2 JP 5191492B2
Authority
JP
Japan
Prior art keywords
session
query
time
time stamp
session table
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009534869A
Other languages
English (en)
Other versions
JP2010511210A (ja
JP2010511210A5 (ja
Inventor
シングラ,アヌラグ
サウラブ,クマール
ティドウェル,ケニー,シー.
Original Assignee
アークサイト,インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アークサイト,インク. filed Critical アークサイト,インク.
Publication of JP2010511210A publication Critical patent/JP2010511210A/ja
Publication of JP2010511210A5 publication Critical patent/JP2010511210A5/ja
Application granted granted Critical
Publication of JP5191492B2 publication Critical patent/JP5191492B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/22Indexing; Data structures therefor; Storage structures
    • G06F16/2228Indexing structures
    • G06F16/2264Multidimensional index structures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04KSECRET COMMUNICATION; JAMMING OF COMMUNICATION
    • H04K1/00Secret communication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2455Query execution
    • G06F16/24553Query execution of query operations
    • G06F16/24554Unary operations; Data partitioning operations
    • G06F16/24557Efficient disk access during query execution
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/20Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
    • G06F16/24Querying
    • G06F16/245Query processing
    • G06F16/2458Special types of queries, e.g. statistical queries, fuzzy queries or distributed queries
    • G06F16/2477Temporal data queries
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/35Network arrangements, protocols or services for addressing or naming involving non-standard use of addresses for implementing network functionalities, e.g. coding subscription information within the address or functional addressing, i.e. assigning an address to a function
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/142Managing session states for stateless protocols; Signalling session states; State transitions; Keeping-state mechanisms

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computational Linguistics (AREA)
  • Software Systems (AREA)
  • Fuzzy Systems (AREA)
  • Mathematical Physics (AREA)
  • Probability & Statistics with Applications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Communication Control (AREA)

Description

関連出願の説明
本出願は、2006年10月25日に出願された米国特許仮出願No.60/862,932および2007年10月24日に出願された米国特許出願No.11/932,502(これらは、その出典を記載することによって本明細書の一部とする)の優先権を主張するものである。
本発明は、セキュリティ情報/イベント管理(SIMまたはSIEM)に関し、特に、セキュリティ情報/イベントとともに状態データが使用可能なよう状態データを追跡する技術に関する。
セキュリティ情報/イベント管理(SIMまたはSIEM)の分野は、概ね、1)ネットワークおよびネットワーク装置から、ネットワーク動作および/または前記装置の動作を示すデータを収集すること、ならびに、2)セキュリティを向上させるために前記データを分析することに関係している。例えば、前記データは、前記ネットワークまたはネットワーク装置に対するアタック(攻撃)を特定し、どのユーザまたはマシーンに責任があるのかを判定するために分析されることができる。前記アタックが継続中である場合、前記アタックを阻止する、または、該アタックによる損害を軽減するための対策が実行可能である。前記収集されるデータは、一般的に、ネットワーク装置によって発生される(イベント、警報もしくは警告等の)メッセージ、または、ログファイルへの入力項目に由来するものである。典型的なネットワーク装置は、ファイアウォール、侵入検出システムおよびサーバを含む。通常、前記メッセージまたは入力項目は、当該ネットワーク行為が発生した時刻を示すタイムスタンプを含む。
前記収集されたデータのみを使用してアタックを特定して詳細に調べることが可能であるが、ネットワークの状態等の追加的な情報を有することがしばしば有用である。前記ネットワークの状態には、例えば、前記ネットワークにおける様々な装置、および、これらの装置がどのように接続されているか(すなわち、ネットワークのトポロジー)が含まれる。該ネットワークの状態は、ハードウエア属性(例えば、装置の媒体アクセス制御(MAC)アドレス)、論理属性(例えば、装置に割り当てられたインターネットプロトコル(IP)アドレス)、オーナーシップ属性(例えば、その装置を所有する人または事業体)、地理的属性(例えば、装置の物理的位置)、ソフトウエア属性(例えば、装置にインストールされているオペレーティングシステム)、ログイン属性(例えば、装置に現在ログインしているユーザ)、処理属性(例えば、装置で現在実行されている処理)、および、ネットワーク属性(例えば、装置のアクティブ状態にあるネットワーク接続)を含む。
ここで、アタックの一部と識別されたメッセージについて説明する。該メッセージに含まれる情報が、(該アタックのソース(出所)装置を(例えば、該装置のIPアドレスによって)示すことがある。前記IPアドレスは、その後、前記同じアタックの一部である他のメッセージを識別するために使用されることができる。しかし、(例えば、前記装置のMACアドレスまたはホスト名によって)前記IPアドレスがどの装置に割り当てられているのかを知ることも有用である。このような装置とIPアドレスとの対が既知である場合、前記IPアドレスの言及から装置を突きとめることができる。その装置にログインしたユーザが既知である場合、該装置からを該ユーザを突きとめることができる。前記ユーザの役割が既知である場合、該ユーザからその役割を突きとめることができ、該役割は、受領されたメッセージと該メッセージが記述する行為と併せて考察され得る。
しかしながら、不幸にも、任意の時点におけるネットワークの状態を検出するのは容易ではない。これは、前記状態が一定ではないため、すなわち、時間的に変化するからである。特に、各装置の状態は時間的に変化する。例えば、装置に割り当てられたIPアドレスは、異なる動的ホスト構成プロトコル(DHCP)リース、使用されている異なる仮想プライベートネットワーク(VPN)またはネットワークアドレス変換(NAT: National Address Translation)により、時間的に変化する可能性がある。他の例として、様々な人がログインしログアウトするのに伴い、ある装置へのログインユーザは時間的に変化する。このため、ネットワークの現在の状態のみならず過去の状態を知ることは有用である。特定の装置の属性は変化する可能性があるので、ある時点における正しい属性を知ることは、同じマシーンまたはユーザに係るイベントを相互に関連付けるために有用である。
第1のマシーンのユーザが第2のマシーンにログインしようとしている場合について説明する。ユーザが5分間に10回ログインを試みたもののすべてログインに失敗した場合、このような出来事はアタックを意味する可能性があるので、検討のために該出来事をフラグで示すべきである。ここで、失敗した各ログインが前記第1のマシーンのIPアドレスを含むメッセージを発生するものと仮定する。前記第1のマシーンが失敗した10回ログインのすべてについて同じIPアドレスを有する場合、アタックであると認定される。一方、前記第1のマシーンがアタック中にIPアドレスを変更した場合、いくつかのメッセージは第1のIPアドレスを示し、他のメッセージは第2のIPアドレスを示すものとなる。どのIPアドレスも10回ログインのすべてについて使用されたものではない場合、検討のためのフラグ指示はなされない。これは、見逃し(false negative)と呼ばれている。
このような状況下において、アタック(アタックと思われる試み)時におけるネットワークの状態を知ることは有用である。例えば、各失敗したログインメッセージ発生時において、前記IPアドレスがどの装置(例えば、MACアドレスまたはホスト名に基づく)に割り当てられているかを知ることは有用である。これが知られている場合、たとえ前記失敗したログインが異なるIPアドレスからのものであったとしても、該IPアドレスから同一の装置を突きとめることができ、アタックが特定され得る。これは、MACアドレスおよびホスト名がIPアドレスほど変化しないという事実によって可能になる。換言すれば、IPアドレスは、MACアドレスおよびホスト名より変化しやすい。
なお、IPアドレスは変更は誤認警報を生じることもある。上記の例と同様な考え方で、1つのソース装置から4回の失敗したログインがあり、他のソース装置から6回の失敗したログインがあり、各前記ログインが5分間の期間に同一のマシーンに対して行われた場合を説明する。これらのソース装置は異なるものであり、同時に同一のIPアドレスを有したものではないが、各前記ソース装置はログイン失敗を生じたときに同じIPアドレスを有していた。この同じIPアドレスは10個の失敗したログインのすべてに存在したので、この出来事は検討のためにフラグで示される。これは誤検出(false positive)と呼ばれている。
従って、従来より要求されているのは、状態データがセキュリティ情報/イベントと共にリアルタイムに使用可能なよう、効率的に、変化する状態データを維持し、該状態データに対してクエリーを行う方法である。
ネットワークの状態は時間と共に変化する。特に、各装置の状態は時間と共に変化する。(インターネットプロトコル(IP)アドレス)のような状態属性が時間と共に変化すると、その属性の特定の値が、“セッション”と称される特定の期間有効になる。一般的に、セッションは、特定の期間有効な2つの要素(例えば、装置とIPアドレス、または、人とアセット)間の関連付けとして考えられ得る。
セッション情報は、単独で、または、他の情報(例えば、データストアまたはネットワークおよび/またはネットワーク装置から収集されたセキュリティ情報/イベント)と共には使用可能である。セッション情報は、相関、会計検査、動作とユーザとの関連付け、ユーザとビジネス上の役割、装置間の識別、ユーザおよび/または役割に基づく会社方針の実行、イベントのフィルタリング、報告等に使用されることができる。アタックまたは特異な挙動を特定するためのルールに従って、セッション情報とその他の情報と相関させることができる。上述のように、セキュリティ情報/イベントは、ネットワーク動作が発生した時を示すタイムスタンプを含む。これらのイベントがセッション情報と相関させられるとき、該セッション情報は、前記タイムスタンプの時点で有効であったセッションを示す。セッションの各種類ごとに、セッションテーブルが維持される。セッションテーブルは1つまたは複数の記録を含み、各前記記録はセッションを示す。
これらのフィールドは、セッション記録情報のスキーマ(schema)を構成する。各スキーマは、3種類のフィールド、すなわち、キーフィールド、値フィールドおよびタイムスタンプフィールドを含む。セッション情報は、問い合わせすなわちクエリー(query)/検索処理をサポートするために、キーおよび値として記述されている。
セッションテーブルは、フィルタと関連付けられる。該フィルタは、前記セッションテーブルによって管理されるデータ(例えば、該テーブルに記憶された記録について使用可能な1組のキー)を定義する1組の条件を記述する。セッション情報の不必要な検索が除去されるので、該フィルタを使用することによって、利用可能なセッション情報に対してイベントを評価するのに必要な時間を減少することができる。
セッションテーブルにデータを格納する1つの方法は、セキュリティ情報/イベントに含まれるデータを使用する方法である。セッション情報に関係するイベントを特定し、セッション情報を抽出し、(例えば、セッション記録を作成し、修正しまたは終了することによって)該セッション情報を使用してセッションテーブルを修正するためのルールが作成される。セッションを開始して終了するイベントに頼ると、不正確なセッションテーブルが作成される恐れがある。これらの問題は、ルールを使用して受け取り済みのイベントに基づいて黙示的にセッションの境界を決定することによって対処可能である。
セッションが開始または終了する時とこの情報がセッションテーブルに記録される時との間に遅延が起こり得る。ときどき、このような遅延は小さい。この状況において、セキュリティイベントを該セッションイベントと相関させようと試みる前に待つことが有用であることがある。遅延が大きいこともある。この場合、その時間インターバルのセッション情報と様々なセキュリティイベントとの間の相関が既に試みられているので、セッション情報は"遅れて"到着することになろう。一実施の形態によると、このような状況において、遅れて受け取られた前記セッション情報を活用するために、再び相関が行われる。
セッションテーブルは、各セッションテーブルパーティションにおける記録数が減少させられるよう区分(パーティション)される。これにより、各クエリーを実行するために必要とされる資源の量が減少する。処理中のセッションが現在のパーティションに移動されるよう、セッションテーブルが定期的に処理される。“セッションロールアップ”と呼ばれるこの特徴は、セッションが処理中である場合、その記録が現在のパーティションに位置することを保証する。換言すれば、ライブセッション情報は、該情報が現在のパーティションですぐ利用可能なよう前のパーティションから現在のパーティションへ(上述の如く揮発性メモリに格納される)“ロールアップ”させられる。セッションロールアップは、現在のパーティションのみがクエリーされればよいので、セッションロールアップは、処理中のセッションにアクセスするのに必要とされる資源の量を減少させる。
図1は、互いに異なる種類のセッション情報についてのスキーマの例を示す。
この図は実施の形態を例示するものであり、以下の説明から、ここで例示する構成および方法の他の実施の形態が本発明の原理から逸脱することなく採用されてよいことが容易に当業者に理解されよう。
本発明のシステムを様々な図示例を参照して説明するが、これらの例は本発明のより広い精神および範囲を制限するよう解釈されるべきではない。例えば、ここで示される例は、セキュリティ情報/イベント、セッションテーブルおよび記録について説明しているが、これらは本発明の一実施の形態にすぎない。本発明の一般概念および範囲は、はるかにより広いものであり、コンピュータに基づくまたはネットワークに基づくセキュリティシステムにも及ぶ。また、本発明をさらに説明するために、本システムの構成要素に対して授受されるメッセージの一例、および、本システムの構成要素によって使用されるデータ・スキーマの一例が説明されているが、これらは本発明のすべてを含む包括的な例ではない。
以下の詳細な説明のいくつかの部分は、コンピュータメモリ内のデータについての処理のアルゴリズムおよび記号表現についてなされている。これらのアルゴリズムおよび記号表現は、コンピュータサイエンスの当業者がかれらの作業内容を他の当業者に最も効果的に伝えるために使用される手段である。ここでは、また、一般的には、アルゴリズムとは、所望の結果に至る首尾一貫したシーケンスである。ステップとは、物理的数量の物理的操作を必要とする工程である。必ずしもそうではないが、通常、これらの数量は、記憶され、伝送され、組合せられ、比較されおよびその他の方法で操作されることが可能な電気的または磁気的な信号の形態をとる。これらの信号をビット、数値、文字、用語、番号等として言及することは、主に一般的な用法上の理由で、折にふれて便利であることが知られている。しかしながら、これらの用語およびこれらに類似した用語は、適当な物理的数量に対応付けられるものであり、これらの数量に適用される単に便利なラベルである。特にそうでないと明記する場合を除き、本発明の説明全体を通じて、“処理”、“計算”、“算出”、“判定”、“指示内容”等の用語の使用は、コンピュータシステムのレジスタおよびメモリ内において物理的(電子的)数量として表現されているデータを操作して、コンピュータシステムのメモリもしくはレジスタ、または、その他の情報記憶装置、伝送装置もしくは表示装置内における同様に物理的数量として表現されるその他のデータに変換するコンピュータシステムまたはこれと同様な電子計算装置の動作および処理を意味する。
上述の如く、本発明の一実施の形態はコンピュータによって読み取り可能な命令であるコンピュータソフトウエアとして実現され、該コンピュータソフトウエアは、1つまたは複数のコンピュータプロセッサ/システムによって実行された場合、該プロセッサ/システムに対して指定された動作を行うよう指示する。このようなコンピュータソフトウエアは、例えば、ハードドライブ、CD-ROM、DVD-ROM、読み取り専用メモリ、読み書きメモリ等の1つまたは複数のコンピュータによって読み取り可能な媒体に常駐される。このようなソフトウエアは、1つまたは複数のコンピュータによって読み取り可能な媒体に分散されてよく、1つまたは複数のコンピュータネットワーク(例えば、インターネット)を介してダウンロードできるようにされてもよい。その形態に関わらず、ここで説明されているコンピュータプログラミング、レンダリングおよびプロセシング技術は、本発明の特徴を実現するために使用可能な各種プログラミング、レンダリングおよびプロセシングの単なる一例である。これらの例は本発明の範囲を制限するものではなく、以下の説明に続く特許請求の範囲を参照することにより最もよく理解される。
セッションの序説
上述のように、ネットワークの状態は、一定ではなく、時間とともに変化する。特に、各装置の状態は時間とともに変化する。(インターネットプロトコル(IP)アドレス等の)状態属性が時間とともに変化すると、該属性の特定の値が特定の期間有効となるが、これを“セッション”と言う。セッションに関連する情報(“セッション”情報)は、例えば、該セッションの開始を示す第1のタイムスタンプと、(該セッションが終わった場合)該セッションの終了を示す第2のタイムスタンプと、セッション記録(後で説明する)の作成を示す第3のタイムスタンプと、該セッションの期間中に有効な1または複数のデータとを含む。
ここで、ダイナミックホストコンフィギュレーションプロトコル(DHCP)リースを介してIPアドレスを受け取った装置について説明する。前記1または複数のデータは、a) IPアドレス(および、該IPアドレスが全世界的にユニークすなわち唯一ではない場合には、該IPアドレスを含むネットワークゾーン)、ならびに、b) 該IPアドレスが割り当てられた装置の指示内容(例えば、該装置のホスト名および/または媒体アクセス制御(MAC)アドレス)を含む。(ネットワークゾーンはネットワークの一部分である。ラベルは、ネットワークゾーンを示すものであり、プライベートアドレス間の識別をするために使用される)。同様に、仮想プライベートネットワーク(VPN)ログインを介してIPアドレスを受け取った装置について説明する。前記1または複数のデータは、上記a)およびb)に加えて、VPNログインを開始するために使用されたユーザ名を含むことがある。その他の例として、ネットワークアドレス変換(NAT)を介してIPアドレスによって特徴付けられた装置について説明する。ここでは、前記1または複数のデータは、a) IPアドレス(および、該IPアドレスが全世界的に固有または唯一ではない場合には、該IPアドレスを含むネットワークゾーン)、ならびに、b) 該IPアドレスが変換によって割り当てられた装置の指示内容(例えば、該装置のホスト名および/または実際のIPアドレスならびにソースポート)を含む。
セッションを使用して、その他の装置状態属性がモデル化され得る。他のユーザが第2の装置(“ソース装置”)からログインすることを可能にする第1の装置(“デスティネーション装置”) について説明する。前記1または複数のデータは、a) IPアドレス(および、場合によっては、ネットワークゾーン)、b) 前記ソース装置の指示内容(例えば、該ソース装置のホスト名および/またはIPアドレスならびにネットワークゾーン)、ならびに、c) その他のログイン情報(例えば、前記ソース装置で使用されるユーザ名および/または前記デスティネーション装置で使用されるユーザ名)を含む。
上述のセッション情報はネットワーキングに関するものであるが、多くの異なる種類の情報が、特定の期間有効となり、従って、セッションを使用してモデル化され得る。アセット(例えばコンピュータ)は、人または構成要素によって所有されまたは該人または構成要素に割り当てられることができる。人は、物理的位置に存在可能である。人には電話番号が割り当て可能である。これらの状態の各々は、一時的なものであり、セッションを使用してモデル化され得る。
一般的に、セッションとは、特定の期間有効である2つの構成要素(例えば、装置とIPアドレス、または、人とアセット)の間の関係として考えることができる。セッション情報は、単独で、または、他の情報(例えば、ネットワークおよび/またはネットワーク装置から収集された他のデータストアまたはセキュリティ情報/イベント)と共には使用可能である。セッション情報は、相関、会計検査、動作とユーザとの関連付け、ユーザとビジネス上の役割、装置間の識別、ユーザおよび/または役割に基づく会社方針の実行、イベントのフィルタリング、報告等に使用されることができる。例えば、従業員が事務所に入ったり出たりするときに彼らのIDカードを機械に通すことが義務付けられている場合、従業員の平均的な勤務時間および従業員が事務所に入ったり出たりする時間パターンのような報告が作成され得る。
その他の例として、アタックまたは特異な挙動を特定するためのルールに従って、セッション情報とその他の情報と相関させることができる。上述のように、セキュリティ情報/イベントは、ネットワーク動作が発生した時を示すタイムスタンプを含む。これらのイベントがセッション情報と相関させられるとき、該セッション情報は、前記タイムスタンプの時点で有効であったセッションを示す。前記相関の例としては以下のものがある。
a) 特定の人に関連付けられたイベントを特定する。装置/人セッションテーブルは、どの装置が該人によって所有され、または、該人に割り当てられているのかを判定する。ログインセッション情報は、どの装置が該人の装置によってログインされたのか、および、どの装置がそれらの装置からログインされたのか、等を判定する。それらの装置から発生したイベントが特定される。
b) 前記人の位置以外の位置から開始されたログインを特定する。ログインセッションテーブルは、どのユーザ名およびソース装置がターゲット装置にログインしたのかを判定する。データストアは、どの実際の人が前記ユーザ名に対応するのか、および、ソース装置がどこに位置するのかを判定する。位置/人セッションテーブルは、(例えば、部屋または建物にアクセスするためのバッジまたはIDカードの最近の機械通過に基づいて)実際の人がどこに位置するのかを判定する。該実際の人の位置は前記ソース装置の位置と比較される。
c) VPNを介してネットワークにアクセスしているマシーンからのアタックの移動平均を求める。該アタックに関するメッセージに含まれるIPアドレスは、VPNセッションテーブルに格納されたIPアドレスと比較される。
d) VPNを介してネットワークにアクセスしているユーザからのアタックの移動平均を求める。該アタックに関するメッセージに含まれるIPアドレスは、VPNセッションテーブルに格納されたIPアドレスと比較される。該記録において一致するユーザ名が求められる。
e) マシーンがアタックを開始した時にマシーンにログインしたユーザを特定する。該アタックに関するメッセージは、該アタックを開始した装置の指示内容および該アタックの開始を示すタイムスタンプを含む。ログインセッションテーブルは、どのユーザネームがその時点でその装置にログインしたのかを判定する。
一実施の形態において、ルールは、集合、グループ分けおよび要因等のその他の構成要素と任意に組み合わされた1組の簡単なまたは複雑な条件からなる。ルールは、特定の条件およびパターンについての入力イベントを評価すること、アクティブリスト、セッションリストおよび脅威レベル計算のような構成要素のみならずルール相関を使用して、互いに異なるイベントからの情報を相関させること、イベントの意義についての意味を推論すること、イベントに応じてリアルタイム動作を開始する等の多くの態様で使用可能である。
上述のような相関およびルールについては、2002年12月2日に出願された米国特出願No.10/308,415に詳細に説明されており、該米国特出願No.10/308,415は、その出典を記載することによって本明細書の一部とする。
セッションデータを記憶するためのフレームワーク
セッションの各種類ごとに、セッションテーブルが維持される。例えば、1つのセッションテーブルは装置およびIPアドレスに関するセッション情報を維持し、他1つのセッションテーブルは人およびアセットに関するセッション情報を含む。セッションテーブルは1つまたは複数の記録を含み、各前記記録はセッションを示す。例えば、装置/IPアドレスセッションは、特定の装置に特定のIPアドレスが割り当てられた期間を記述する。この記録は、装置/IPアドレスセッションテーブルに記憶される。一実施の形態において、セッションテーブルはセッションリスト(Session List)に類似しており、該セッションリストは、(カルフォルニア州CupertinoのArcSight, Inc.から入手可能な) ArcSight (商標) Enterprise Security Manager (ESM)4.0の特徴である。
上述の如く、セッションテーブルは、例えば、セッションの開始を示す第1のタイムスタンプと、(該セッションが終わった場合)該セッションの終了を示す第2のタイムスタンプと、セッション記録(後で説明する)の作成を示す第3のタイムスタンプと、該セッションの期間中に有効な1または複数のデータとを含む。この情報はセッション記録に記憶される。なお、ネットワークの待ち時間(レイテンシー)は、セッションの開始と該セッションに対応する記録の作成との間に時間ギャップを起こすおそれがある。
セッション記録情報は、様々なフィールドに記憶される。これらのフィールドは、該セッション記録情報のスキーマを構成する。互いに異なる種類のセッション情報は、互いに異なるスキーマを有することができる。図1は、互いに異なる種類のセッション情報についてのスキーマの例を示す。図1に例示したスキーマは、DHCP、VPN、NAT、ログイン、アセット所有(Asset Ownership)である。図1において、各矩形はフィールドを示す。
各スキーマは、3種類のフィールド、すなわち、キーフィールド、値フィールドおよびタイムスタンプフィールドを含む。一実施の形態において、セッション情報は、問い合わせすなわちクエリー(query)/検索処理をサポートするために、キーおよび値として記述されている。(クエリー処理は、セッションテーブルに記憶されている情報にアクセスするために使用されるものであるが、後で詳述する)。この実施の形態において、各セッションテーブルは、キー(“キーフィールド”)として使用される1または複数の記録フィールドを指定する。1または複数の他の記録フィールドは、値(“値フィールド”)として使用される。例えば、装置/IPアドレスセッションテーブルにおいて、IPアドレス(および、おそらく、ネットワークゾーン)はキーとして使用可能であり、他のセッション情報は数値として使用可能である。
タイムスタンプフィールドは、開始時刻(Start Time)フィールドと、終了時刻(End Time)フィールドおよび作成時点(Creation Time)フィールドとを含み、これらのフィールドの各々は、上述のようなタイムスタンプを含む(ただし、該セッションが終わっていないときには、終了時刻フィールドは空き状態となる)。前記開始時刻フィールドの値および終了時刻フィールドの値は、任意の時間インスタンスにおける任意のキーについての有効なセッションを特定するために使用される。例えば、ある1つのキーおよび特定のタイムスタンプについて説明すると、該キーが数組の値フィールドにマッピングされている場合、これらの値フィールドのうちの適当な値フィールドは、その開始時刻および終了時刻が当該タイムスタンプを囲む値フィールドである。
図1は、各スキーマごとのキーフィールド、タイムスタンプフィールドおよび値フィールドを示す。1または複数のキーフィールドの指示内容は、セッションフィールドスキーマの一部でもある。
このようにして、前記セッションテーブルは、キーを数値にマッピングまたは結び付けるキー数値マッピングとして機能する。例えば、セッションクエリーは1または複数のキー(クエリーキー)を含み、クエリー結果は、前記1または複数のキーに結び付けられた1または複数の値を含む。セッションは、2つの要素間の関連付けとして考えられ得るので、1つの要素は前記キーによって示され、他の要素は前記値によって示される。
いくつかのフィールドに含まれる情報は、互いに異なるセッション(故に互いに異なる記録)間で同じであることがある。例えば、ある日に1つの装置に第1のIPアドレスが割り当てられ、他の日に第2のIPアドレスが割り当てられた場合、各セッション記録は、該装置について同じの情報(例えば、該装置のMACアドレスまたはホスト名)を含むことになる。同様に、ある日にIPアドレスが第1の装置に割り当てられ、他の日に第2の装置に割り当てられた場合、該IPアドレスについて同じの情報を含むことになる。2つの記録が同じフィールド情報を含み、このフィールド情報がキーを決定する場合、その1つのキーは、2つの異なる情報組(各セッションごとに1組)にマッピングされる必要がある。この機能は、例えば、前記情報組をリストに入れて前記キーの数値をそのリストに入れることによって実現可能である。前記開始時刻フィールドの数値と終了時刻フィールドの数値は、任意の時間インスタンスにおいてどのセッション情報組が有効であるかを特定するために使用される。一実施の形態において、前記セッション情報組は、各セッションの開始時刻に従って、前記リスト内でソートされる。このようにして、検索を行うために必要な時間を減少させられる。
一実施の形態において、セッションテーブルはハッシュマップ(hashmap)として実現され、検索のために使用されるキーは、すべてのキーフィールドのハッシュコードに基づいて決定されるハッシュコードである。この実施の形態において、ハッシュマップのキーは、キーフィールド値の組(tuple)として考えられ得る。
ハッシュマップの数値は、1または複数のセッション情報組のリストを示すデータ構造(“SessionIntervalDataStructure”)である。これは、連鎖(chained)ハッシュテーブル技術に類似している。一実施の形態において、該データ構造内の記入項目(エントリ:これらの各々は1組のセッション情報である)は、区間木(interval tree)は、区間を保持するために使用される整列したツリーデータ構造である。区間木は、特定の区間またはポイントと重なるすべての区間を効率的に検出することを可能にする。
ここで、エントリの区間は、そのセッションの開始時刻および終了時刻をエンドポイントとして使用する。セキュリティイベントをセッションテーブルに記憶された情報と相関させるためには、先ず、当該セッションが特定されなければならない。一実施の形態において、前記終了時刻は、前記セキュリティイベントに適用可能な適当なエントリ(セッション)を選択するために前記区間を合わせるために使用される。エントリがオープンエンドである(すなわち、当該セッションが未だ終了していない)場合、最大時間が区間終了時間として使用される。区間木を示すために使用されるデータ構造は変化可能である。一実施の形態において、テーブルごとおよびキー組ごとに予想されるエントリの数が制限されている場合、アレイに基づく手段が使用される。
セッションテーブルを記憶するために必要されるメモリは、該テーブルにおける記録の数に比例する。換言すると、メモリ要件はO(n)に従って増大し、この場合、nは前記セッションテーブルについてメモリにロードされた記録の数を示す。検索時間に関して、mが前記セッションテーブルにおける(キーフィールド組に基づく)ユニークなキーの数を示し、pはユニークなキーごとの平均的なエントリ数を示す場合、検索を実行するために必要な時間はO (logp)であり、ここで、m * p = O (n)である。
セッションテーブルについて実行される共通の処理およびそれらの時間順序複雑度は次の通りである。(例えば、所与のイベントと相関させるために)セッション値フィールドに対するクエリーの実行はO (logp)である。記録の終了時刻の更新はO (logp)である。新たな記録の挿入はO (logp)である。これらの低い時間順序複雑度は、セッション情報が相関等に使用されるためにリアルタイムに入手可能なよう、セッションテーブルがリアルタイムにクエリーされて維持されることを可能にする。
特定のセキュリティイベントに適用可能なセッション情報を読み出すために、従属変数関数が定義される。一実施の形態において、この定義は、前記従属変数の名前、前記セッション情報を読み出すために使用されるセッションテーブル、および、該セッションテーブルにおけるキーフィールドに対するイベントフィールドのマッピングを含む。この定義に基づき、前記セッションテーブルにおいて対応するエントリが特定され、相関に使用されるよう利用可能になる。
互いに異なるソースからセッション情報にアクセスするために、従属変数は連鎖されることができる。ユーザは、情報を検索する多数のデータソースのみならず、これらのデータソースが使用されるべき順序を指定できる。例えば、ユーザは、DHCP情報およびVPN情報の両方が利用可能な場合、これらの情報のいずれか一方からMACアドレスが読み出され、しかる後、異種のソースからの情報と組み合わされて相関に使用される。
一実施の形態において、セッションテーブルがフィルタと関連付けられる。該フィルタは、前記セッションテーブルによって管理されるデータ(例えば、該テーブルに記憶された記録について使用可能な1組のキー)を定義する1組の条件を記述する。例えば、前記テーブルがDHCP情報を記憶しており、前記キーがIPアドレスである場合、前記フィルタは、IPアドレスの範囲(例えば、DHCPサーバによって割り当て可能なIPアドレス)を記述することができる。セッション情報の不必要な検索が除去されるので、該フィルタを使用することによって、利用可能なセッション情報に対してイベントを評価するのに必要な時間を減少することができる。該フィルタは、セッション情報が利用可能ではないイベントについてのセッションテーブルに対してクエリーを実行することを回避する。このようにして、フィルタは、テーブルに対するクエリーに関する門番として機能する。
一実施の形態において、フィルタは次のようにして実現される。セッションテーブルの検索が所望される或るイベントが特定される。該イベント内に記憶されたデータに基づいて、クエリーキーが決定される。前記検索が実行される前に、前記クエリーキーは前記テーブルのフィルタに対して照合されることによってテストされる。該クエリーキーが前記テストで合格した場合、所望のデータが前記テーブルに記憶されているかもしれず検索が実行される。一方、該クエリーキーが前記テストで失格となった場合(例えば、IPアドレスキーが前記フィルタのIPアドレス範囲内ではない場合)、所望のデータは前記テーブルに記憶されておらず、前記検索は実行されない。
セッションテーブルには、様々な方法でデータが格納されてよい。1つの方法は、アーカイブのようなファイルからデータをインポートする方法である。任意のネットワーク装置上に存在することが可能なファイルは、任意のフォーマット(例えば、コンマ区切り形式(CSV))で任意種類の情報を含むことができる。例えば、前記ファイルは、セキュリティ情報/イベントと相関させられることが望まれている情報を含むデータストアによって出力されたものであってよい。組織内の従業員およびかれらの役割等の人的資源 (HR) 情報を含むデータベースについて説明する。このHRデータを前記データベースからファイルにエクスポートし、その後、該ファイルをセッションテーブルにインポートすることによって、前記データを相関等のためにリアルタイムに利用可能にすることができる。このデータは、例えば、装置またはIPアドレスではなく、ユーザのビジネス上の役割に基づくネットワークアクセス方針を実行するために使用可能である。
セッションテーブルにデータを格納するその他の方法は、ディレクトリサービスを使用してデータストアからデータを読み出す方法である。これらのディレクトリサービスは、Lightweight Directory Access Protocol (LDAP)またはX.500等の様々なプロトコルを介してアクセスされ得る。
さらにその他の方法は、1または複数のソフトウエアエージェント(例えば、ArcSight, Inc.から入手可能なSmartConnectors)を使用して、イベントの形態の所望のデータを送る。その後、1または複数のルールを使用して前記イベントを処理することができる。具体的には、前記ルールは、前記イベントからセッションデータを抽出し、該セッションデータをセッションテーブルに格納することができる。
さらにその他の方法は、前記セッションリストの根拠をなすデータ構造に前記セッションデータを直接に入力する方法である。例えば、前記セッションリストがデータベース(後述する)に格納されている場合、前記セッションデータは前記データベースに直接に入力されることができる。
セッションテーブルにデータを格納するさらにその他の方法は、セキュリティ情報/イベントに含まれるデータを使用する方法である。セッション情報に関係するイベントを特定し、セッション情報を抽出し、(例えば、セッション記録を作成し、修正しまたは終了することによって)該セッション情報を使用してセッションテーブルを修正することである。前記ルールは、イベントが発生する際に該イベントについて実行(“ライブモード”)、または、格納済みの過去のイベントについて実行(“バッチモード”)されることができる。
イベントに基づいてセッションテーブルにデータを格納する一例はDHCPスヌーピング (snooping) であり、該DHCPスヌーピングでは、DHCP情報(例えば、リース割り当てイベント)を使用してDHCPセッションテーブルを作成する。例えば、DHCP確認メッセージにより、ルールがセッションを作成して、開始する(すなわち、DHCPセッションテーブルに記録を追加する)。また、DHCPリリースメッセージにより、ルールがセッションを終了する(すなわち、前記DHCPセッションテーブルにおける既存の記録に終了時刻を追加する)。
セッションを開始して終了するイベントに頼ると、不正確なセッションテーブルが作成される恐れがある。例えば、ネットワークの待ち時間(レイテンシー)により、イベントが遅くおよび/または順序が狂って到着する恐れがある。さらに、任意のものであるDHCPリリースメッセージ等のいくつかのイベントが、全く到着しないこともある。これらの問題は、ルールを使用して受け取り済みのイベントに基づいて黙示的にセッションの境界を決定することによって対処可能である。一実施の形態において、セッションの境界は、重複していないセッション情報について決定される。
セッション情報は、関連する情報の種類に基づいて、重複していたり、重複していなかつたりすることがある。セッション情報が重複していない場合、これは、任意の時間インスタンスにおいて、ある特定のキーについて、ただ1つの有効セッションのみが存在し、(従って、ただ1つの有効セッション記録のみが存在する)ことを意味する。DHCP情報は、重複していないセッション情報の一例である。これは、ある特定のネットワークゾーンについては、任意の時間インスタンスにおいて、DHCPサーバによって、IPアドレス(キー)がただ1つの装置(数値)のみに割り当て可能であるからである。この割り当てはその後にその他の装置に可能であるが、その時までには、先の装置は同じIPアドレスをリリースしているであろう。VPN情報は、重複していないセッション情報のその他の例である。VPNソフトウエアは、任意の時間インスタンスにおいて、そのコンフィギュレーションに基づいて、ただ1つのユーザ/マシーンにのみIPアドレスを割り当てる。
セッション情報が重複している場合、これは、任意の時間インスタンスにおいて、ある特定のキーについて、多数の有効セッションのみが存在し、(従って、多数の有効セッション記録が存在する可能性がある)ことを意味する。ログイン情報は、重複しているセッション情報の一例である。これは、ある特定のネットワークゾーンについては、任意の時間インスタンスにおいて、多数の装置(値)によってログインされ得るからである。
セッション情報の重複してる/重複していないという特徴は、セッションテーブルが必要とされるとき、どのような種類の値が返されるのかに影響する。セッションテーブルが重複していない情報を含む場合、キー/タイムスタンプの対に基づく成功した検索は、ただ1組のセッション情報のみを返す。一方、セッションテーブルが重複している情報を含む場合、キー/タイムスタンプの対に基づく成功した検索は、多数組のセッション情報(例えば、上述の如くその記入項目が複数組のセッション情報であるリスト)を返す。
セッション境界の黙示的な決定は、黙示的なセッションの終了および黙示的なセッションの分割という2つの形態で行われる。黙示的なセッションの終了は、既存のセッションが実際にセッション終了イベントを受け取ることなく終了したと判定することからなる。既存のセッションについてのキーを含むセッション開始イベントが到着した場合、該キーの前のセッションが終了され、前記セッション開始イベントに含まれる情報を使用して新たなセッションが作成され、開始される。(“ライブ”または“進行中”のセッションとも呼ばれる処理中のセッション)は、その記録中に終了時刻タイムスタンプを含まないセッションである。)DHCPサーバはリース満了イベントを記録しないので、この種の到着するセッション開始イベントは、通常、DHCPセッション情報と共に発生する。
一実施の形態において、黙示的なセッションの終了は次のように行われる。セッション開始イベントが到着すると、そのキーフィールドが検出され、ハッシュコードを発生するために使用される。そして、当該セッションテーブルに、該ハッシュコードに対応する、前から存在する処理中のセッションが在るか否かがチェックされる。前から存在する処理中のセッションが見つかった場合、セッション情報は重複できないので、このセッションは終了させられなければならない。前記前から存在する処理中のセッションは、前記セッション記録の終了時刻フィールドにタイムスタンプを入力することによって終了させられる。そして、前記セッション開始イベントの情報を使用して、(前記ハッシュコードに対応する)新たなセッションが作成され、開始される。
黙示的なセッションの終了の例:
セッションテーブル内の記録に従って、2007年10月12日午後10時において、特定のネットワークゾーン(キー)内のIPアドレスが、特定のホステ名およびMACアドレス
(192.168.0.1, Internal Zone 1) => (hostname1, 11:11:11:11:11:11) に割り当てられる。2007年10月12日午後11時において、同一ゾーン(キー)における同一IPアドレスを異なる装置
(192.168.0.1, Internal Zone 1) => (hostname2, 22:22:22:22:22:22) にマッピングするセッション開始イベントが到着する。このセッション開始イベントにより、(2007年10月12日午後11時の終了時とともに) 第1のセッションが終了させられ、(2007年10月12日午後11時の開始時とともに) 第2のセッションが作成され、開始させられる。
黙示的なセッション分割は2つの形態で行われる。第1の形態において、既に終了したセッションについてセッション終了イベントが到着する。新たに到着したイベントにおけるセッション終了時刻が対応するセッション記録に現在格納されている終了時刻より早い場合、該新たなセッション終了時刻が前記セッション記録に格納される。例えば、その前のセッション終了時刻が黙示的なセッション終了を使用して得られたものである場合、このシナリオが発生し得る。
黙示的なセッションの分割の例 (第1の形態) :
セッションテーブル内の記録によると、2007年10月12日午後11時にセッションが終了した。このセッション記録に対応し、2007年10月12日午後10時30分の終了時刻を示すセッション終了イベントが到着する。該セッション記録における終了時刻は、2007年10月12日午後11時から2007年10月12日午後10時30分に変更させられる。
黙示的なセッションの分割の第2の形態において、そのタイムスタンプが既存のセッションに対応するセッション開始イベントまたはセッション終了イベントが到着する。この既存のセッションは、進行中のセッションまたは終了したセッションであり得る。前記既存のセッションに格納された値が前記イベントに格納された値とは異なる場合、前記既存のセッションが分割され、新たなセッションが作成され、その途中から開始させられる。
黙示的なセッションの分割の例 (第2の形態) :
セッションテーブル内の記録によると、セッションS1が、2008年1月1日午後1時に開始し、2008年1月1日午後10時に終了し、そして、セッションS2が、2008年1月1日午後11時に開始するよう、作動中である。2008年1月1日午後6時に開始するセッションS3の存在を示すイベントが到着する。セッションS1は、2008年1月1日午後1時に開始し、2008年1月1日午後6時に終了するよう分割される。セッションS3は、2008年1月1日午後6時に開始し、2008年1月1日午後11時に終了するよう作成される。セッションS2は、2008年1月1日午後11時に開始する作動中のセッションのままである。
セッションが開始または終了する時とこの情報がセッションテーブルに記録される時との間に遅延が起こり得る。ときどき、このような遅延は小さい。例えば、セッション開始イベントが日本における装置によって発生させられると、該イベントが米国において収集され、処理されるのに1秒またはそれ以上要することがある。この場合、セキュリティイベントを該セッションイベントと相関させようと試みる前に待つことが有用であることがある。前記相関を行う試みが早すぎると、該セッションのデータは、失効していたり、存在しないことさえあるかもしれない。セキュリティイベントを相関させるのを待つことを、該セキュリティイベントを“パーキングする”という。一実施の形態において、セッションデータが存在する場合、セキュリティイベントは、最小の待ち時間だけパーキングさせられる。該セッションデータは、(必要な場合)前記待ち時間の間に更新され、相関のために利用可能になることが望ましい。一実施の形態において、セッションデータが存在しない場合、セキュリティイベントは、最大の待ち時間パーキングさせられる。セッションデータが前記待ち時間の間にロードされ、相関のために利用可能になることが望ましい。
前記遅延が大きいことがある。例えば、従業員識別システムからのセッション情報は、リアルタイムにロードされる代わりに、(バッチ処理により)毎夜インポートされることがある。これらの状況において、その時間インターバルのセッション情報と様々なセキュリティイベントとの間の相関が既に試みられているので、セッション情報は"遅れて"到着することになろう。一実施の形態によると、このような状況において、遅れて受け取られた前記セッション情報を活用するために、再び相関が行われる。例えば、過去のセキュリティイベント(例えば、過去2時間に受け取られたセキュリティイベント)のウィンドウ上において、相関ルールが再実行され得る。相関ルールが再実行されるべき状況(およびどのイベントについて再実行されるべきか)は、設定によって可変である。
実施の詳細
上述の如く、セッションデータはセッションテーブルに格納される。具体的には、セッションデータは各種類ごとに、異なるセッションテーブルに格納される(DHCPセッションについて1つのセッションテーブル、ログインセッションデータについて1つのセッションテーブル)。セッションデータを後で参照できるようにされるために、前記セッションテーブルは、ハードドライブのような持続的で不揮発性の記憶装置に格納される。一実施の形態において、前記セッションテーブルは、リレーショナルデータベースのようなデータベースに格納される。
セッションテーブルにおける記録数は時間の経過と共にかなり増加し、セッションテーブルは極めて大規模なものになることがある。大規模なテーブルについてクエリーを実行することは、小規模なテーブルについてクエリーを実行することよりも、(プロセッサ時間のようなコンピュータ資源に関して)はるかにコスト高となる。一実施の形態において、セッションテーブルは、各セッションテーブルパーティションにおける記録数が減少させられるよう区分(パーティション)される。これにより、各クエリーを実行するために必要とされる資源の量が減少する。
一実施の形態において、前記セッションテーブルは、セッション開始時刻に基づいてパーティション区分される。なお、セッションテーブルにおける各記録は開始時刻タイムスタンプを含む。このタイムスタンプの値は、当該記録がどのパーティションに格納されるのかを決める。一実施の形態において、各パーティションは、24時間の期間を示す。例えば、第1のパーティションは、2007年1月1日午前12時から2007年1月1日午後11時59分までを示し、第2のパーティションは、2007年1月2日午前12時から2007年1月2日午後11時59分までを示す。この実施の形態において、1年分のセッションデータは、1つの巨大なセッションテーブルではなく、365個のパーティションに格納される。
相関は、バッチモードまたはリアルタイムモードで実行可能である。バッチモードにおいては、セキュリティ情報/イベントが受け取られたとき、該セキュリティ情報/イベントが格納される。その後、このようにして格納された該セキュリティ情報/イベントは、セッション情報(具体的には、当該イベントのタイムスタンプで有効なセッション情報)と相関させられる。
リアルタイムモードにおいては、セキュリティ情報/イベントが受け取られたとき、該セキュリティ情報/イベントは、リアルタイムまたは略リアルタイムにセッション情報と相関させられる。この相関が略リアルタイムに行われるためには、セッションデータが、リアルタイムに維持されなければならず、且つ、リアルタイムクエリーをサポートしていなくてはならない。毎秒数千ものイベントが発生され、各イベントはセッション情報に対する1または複数の参照(例えば、IPアドレスが割り当てられたMACアドレスを特定するために使用される1または複数のIPアドレス、および、ホストにログインしたユーザを特定するために使用される1または複数のホスト名)を含むことがあるので、これを実現するのは大変難しい。例えば、5,000イベント/秒のイベント発生率で2つのセッション参照/イベントの場合、10,000セッション参照/秒となる。
一実施の形態においてアップデートおよび/またはクエリーのためにより速いアクセスをサポートするために、セッションテーブルの一部は揮発性メモリ(例えば、キャッシュまたはランダムアクセスメモリ(RAM))にも維持される。例えば、前記セッションテーブルが長期記憶装置において区分されている場合、現在のパーティション(またはその一部分)は、揮発性メモリにも格納される。一般的に、揮発性メモリにおけるセッションテーブルの一部分は、処理中のセッション、および、おそらくは、最近(例えば、最近10分以内に)終了させられたセッションを含む。ほとんどのリアルタイムアップデートおよびクエリーは処理中のセッションおよびクエリーに関するものなので、これらのセッションを揮発性メモリに格納することは、各リアルタイムアップデートおよびクエリーを実行するために必要とされる資源の量を減少させることになる。一実施の形態において、揮発性メモリに維持されるセッションテーブルの一部分は、当初、長期記憶装置からロードされる。揮発性メモリに格納される記録の数は、設定によって可変である。
長期記憶装置におけるセッションテーブルの整合性を維持するために、アップデート版が収集され、バッチ処理として定期的に前記セッションテーブルに適用される。例えば、アップデート版が1分の期間にわたって収集され、その後、バッチ処理として長期記憶装置内の前記セッションテーブルに適用される。
セッションテーブルがパーティション区分されている場合であっても、特定のセッションを探すことは依然として高くつく。例えば、セッションの開始時刻が未知である場合、各パーティションは見つかるまで探されなければならない。一実施の形態において、処理中のセッションが現在のパーティションに移動されるよう、セッションテーブルが定期的に処理される。“セッションロールアップ”と呼ばれるこの特徴は、セッションが処理中である場合、その記録が現在のパーティションに位置することを保証する。換言すれば、ライブセッション情報は、該情報が現在のパーティションですぐ利用可能なようにする前のパーティションから現在のパーティションへ(上述の如く揮発性メモリに格納される)の“ロールアップ”である。セッションロールアップは、現在のパーティションのみがクエリーされればよいので、セッションロールアップは、処理中のセッションにアクセスするのに必要とされる資源の量を減少させる。
セッションロールアップの後、過去のパーティションは終了したセッション(例えば、その記録が終了時刻タイムスタンプを含むセッション)のみを含むことになる。過去のパーティションはライブセッションデータを含まないので、これらのパーティションを除去または保存するのは容易である。
一実施の形態において、セッションロールアップは、スケジュールされたタスクを介して実現される。該タスクは、定期的に(例えば、前記パーティションが時間に基づくものである場合、各パーティション境界毎に)実行されるようスケジュールされる。具体的な期間は設定によって可変である。(パーティションが日付に基づいていることにより、且つ、セッションが2つの異なる日付においてライブであることによって)セッションが1つのパーティションから他のパーティションに延びている場合、該セッションはパーティション境界に基づいて多数のセッションに分割され、各セッションは異なるパーティションに格納される。
第1のパーティションは、2007年1月1日午前12時から2007年1月1日午後11時59分までを示し、第2のパーティションは、2007年1月2日午前12時から2007年1月2日午後11時59分までを示す。セッションロールアップは前記セッションを2つのセッション、すなわち、a) 2007年1月1日午後11時から2007年1月1日午後11時59分まで、および、b) 2007年1月2日午前12時から2007年1月2日午前1時に分ける。セッション(a)は終了したセッションとして前記第1のパーティションに格納され、セッション(b)は(これも終了したセッションとして)前記第2のパーティションに格納される。当該セッションがDHCP情報に関するものある場合、ある特定のIPアドレスおよびネットワークゾーンは、セッション分割に関わらず、2007年1月1日午後11時と2007年1月2日午前1時との間のタイムスタンプを有するすべてのイベントについての同一のホスト名およびMACアドレスに一致することになる。
他の例として、2007年10月1日午後2時に開始し2007年10月5日現在進行中のセッションに説明する。2007年10月5日にセッションロールアップを実行すると、前記セッションは5つのセッション(10月1日のもの、10月2日のもの、10月3日のもの、10月4日のもの、10月5日のもの)に分割される。最初の4つのセッションは、それぞれのパーティションに終了したものとして格納され、第5のセッション(10月5日)は、進行中のものとして処理中のパーティションに格納されることになる。
一実施の形態において、セッションロールアップは次のものを含む。最後のセッションロールアップ以後に開始したセッション(または、前のパーティションの間に開始したセッション)(これらのうちの早い方)について、どのセッションが処理中であるかを判定する。これらのセッションの各々について、パーティション境界に基づいて該セッションを多数のセッションに分割する。ある1つのセッションの終了した部分について、パーティション境界時刻に終了するよう、該部分を過去の部分に追加する。ある1つのセッションの進行中の部分について、パーティション境界時刻に開始するよう、該部分を現在のパーティションに追加する。
ある1つのセッション全体の長さを決定するために、前記分割されたセッションは組合せされることができる。具体的には、ある1つのセッションが特定の境界時刻に終了し、次のパーティションが前記特定の境界時刻に開始する同一のキーおよび値を有するセッションを含む場合、これらのセッションは互いに対応する。これらのセッションの持続時間は、全体的な(すなわち、分割されていない)セッションのー持続時間を特定するために組み合わせ可能である。
一実施の形態例において、多数のセッション部分に分割される場合、各セッション部分は、それがより大きなセッションの一部であることを示すために、なんらかの方法で注釈がつけられる。これは、例えば、全体的な(すなわち、分割されていない)セッションの持続時間を特定するとき、セッション部分同士を識別するのに役立つ。例えば、各セッション部分にフラグが付加される。その他の例として、全体的な(すなわち、分割されていない)セッションの開始時刻が各セッション部分の記録に付加される。この例において、対応するセッション部分は、同一のキーおよび値に加えて、前記全体的なセッションについての同一の開始時刻を有することになる。
以上本発明の好ましい実施の形態の動作について説明したが、ここでの説明は本発明の範囲を制限するものではない。本発明は、次の特許請求の範囲によってのみ限定されるものである。上記の説明から、本発明の精神および範囲に包含される多くの変更が可能であることが当業者に明らかであろう。

Claims (22)

  1. セッションテーブルを使用して状態情報を維持する方法であって、前記セッションテーブルが1または複数のセッション記録からなり、各セッション記録が、1または複数のキーフィールド、1または複数のタイムスタンプフィールドおよび1または複数の値フィールドからなり、前記方法は、
    タイムスタンプとネットワーク装置の動作についての情報とからなるセキュリティイベントを特定するステップと、
    前記セキュリティイベントの1または複数のフィールドに基づいてクエリーキーを特定するステップと、
    前記セッションテーブルに関連付けられたフィルタを用いて前記クエリーキーをフィルタし、該クエリーキーによってクエリーされるセッションテーブルを絞り込むステップと、
    前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行うステップと、
    クエリー結果を返すステップと、
    を具備した方法。
  2. 前記セッション記録が、イベントから抽出された情報を含む請求項1に記載の方法。
  3. 前記1または複数のキーフィールドが、インターネットプロトコルアドレス(IP)を含む請求項1に記載の方法。
  4. 前記1または複数の値フィールドが、ホスト名および媒体アクセス制御(MAC)アドレスの一方を含む請求項1に記載の方法。
  5. 前記ネットワーク装置が、ファイアウォール、侵入検出システムおよびサーバのうちの1を含む請求項1に記載の方法。
  6. 前記クエリーキーが、ハッシュコードからなる請求項1に記載の方法。
  7. 前記セッション記録が、開始時刻を示す第1のタイムスタンプフィールド、および、終了時刻を示す第2のタイムスタンプフィールドからなる請求項1に記載の方法。
  8. 前記終了時刻が、セッション開始イベントに基づいて黙示的に特定される請求項7に記載の方法。
  9. 前記開始時刻が、セッション終了イベントに基づいて黙示的に特定される請求項7に記載の方法。
  10. 前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う前記ステップが、その開始時刻が前記タイムスタンプより早く、その終了時刻が前記タイムスタンプより遅いセッション記録を特定することからなる請求項7に記載の方法。
  11. 前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う前記ステップが、最小の時間量だけ待つことからなる請求項1に記載の方法。
  12. 前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う前記ステップが、最大の時間量だけ待つことからなる請求項1に記載の方法。
  13. 前記セッション記録が、該セッション記録の作成時刻を示すタイムスタンプフィールドからなる請求項1に記載の方法。
  14. 前記セッションテーブルがパーティション区切りされている請求項1に記載の方法。
  15. 前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う前記ステップが、前記タイムスタンプおよびクエリーキーを使用して前記セッションテーブルの或るパーティションに対してクエリーを行うことをからなる請求項14に記載の方法。
  16. パーティションの境界を横切って延びるセッションを記述するセッション記録は、多数のセッション記録に分割される請求項14に記載の方法。
  17. 前記多数のセッション記録の各々が、該記録がより大きなセッションの一部分であることを示す注釈を含む請求項16に記載の方法。
  18. 前記注釈が、フラグおよび全体的なセッションの開始時刻を示すタイムスタンプの一方からなる請求項17に記載の方法。
  19. 前記セッションテーブルがセッション開始時刻によってパーティション区切りされており、
    前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う前記ステップが、
    前記タイムスタンプに基づいて前記セッションテーブルのパーティションを特定することと、
    前記タイムスタンプおよびクエリーキーを使用して前記特定されたパーティションに対してクエリーを行こと
    からなる請求項1に記載の方法。
  20. セッションテーブルを使用して状態情報を維持するためのコンピュータプログラであって、前記セッションテーブルが1または複数のセッション記録からなり、各セッション記録が、1または複数のキーフィールド、1または複数のタイムスタンプフィールドおよび1または複数の値フィールドからなり、コンピュータに
    タイムスタンプとネットワーク装置の動作についての情報とからなるセキュリティイベントを特定する手順と、
    前記セキュリティイベントの1または複数のフィールドに基づいてクエリーキーを特定する手順と、
    前記セッションテーブルに関連付けられたフィルタを用いて前記クエリーキーをフィルタし、該クエリーキーによってクエリーされるセッションテーブルを絞り込む手順と、
    前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行う手順と、
    クエリー結果を返す手順と、
    実行させるためのコンピュータプログラ
  21. セッションテーブルを使用して状態情報を維持するための装置であって、前記セッションテーブルが1または複数のセッション記録からなり、各セッション記録が、1または複数のキーフィールド、1または複数のタイムスタンプフィールドおよび1または複数の値フィールドからなり、前記装置は、
    タイムスタンプとネットワーク装置の動作についての情報とからなるセキュリティイベントを特定するよう構成されたセキュリティイベントモジュールと、
    前記セキュリティイベントの1または複数のフィールドに基づいてクエリーキーを特定するよう構成されたクエリーキーモジュールと、
    前記セッションテーブルに関連付けられたフィルタを用いて前記クエリーキーをフィルタし、該クエリーキーによってクエリーされるセッションテーブルを絞り込むように構成されたフィルタモジュールと、
    前記タイムスタンプおよび前記フィルタされたクエリーキーを使用して前記セッションテーブルに対してクエリーを行うよう構成されたクエリーモジュールと、
    クエリー結果を返す結果モジュールと、
    を具備した装置。
  22. 前記セッションテーブルがセッション開始時刻によってパーティション区切りされており、
    前記クエリーモジュールが、
    前記タイムスタンプに基づいて前記セッションテーブルのパーティションを特定し、
    前記タイムスタンプおよびクエリーキーを使用して前記特定されたパーティションに対してクエリーを行う、
    ように構成されていることを特徴とする請求項21に記載の装置。
JP2009534869A 2006-10-25 2007-10-25 コンピュータネットワークのセキュリティを支援するために、変化する状態データを追跡するための技術 Expired - Fee Related JP5191492B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US86293206P 2006-10-25 2006-10-25
US60/862,932 2006-10-25
US11/923,502 US9824107B2 (en) 2006-10-25 2007-10-24 Tracking changing state data to assist in computer network security
US11/923,502 2007-10-24
PCT/US2007/082560 WO2008052133A2 (en) 2006-10-25 2007-10-25 Tracking changing state data to assist in computer network security

Publications (3)

Publication Number Publication Date
JP2010511210A JP2010511210A (ja) 2010-04-08
JP2010511210A5 JP2010511210A5 (ja) 2013-01-17
JP5191492B2 true JP5191492B2 (ja) 2013-05-08

Family

ID=39325437

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009534869A Expired - Fee Related JP5191492B2 (ja) 2006-10-25 2007-10-25 コンピュータネットワークのセキュリティを支援するために、変化する状態データを追跡するための技術

Country Status (11)

Country Link
US (1) US9824107B2 (ja)
EP (1) EP2076993A4 (ja)
JP (1) JP5191492B2 (ja)
KR (1) KR101519936B1 (ja)
AU (1) AU2007308828A1 (ja)
CA (1) CA2660847A1 (ja)
IL (1) IL197460A0 (ja)
NZ (1) NZ574567A (ja)
RU (1) RU2425449C2 (ja)
SG (1) SG175678A1 (ja)
WO (1) WO2008052133A2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019186231A1 (en) * 2018-03-27 2019-10-03 Pratik Sharma Events manager for a machine

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US9100422B1 (en) 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) * 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
CA2688265C (en) * 2007-06-08 2021-02-16 Wake Forest University Health Sciences Selective cell therapy for the treatment of renal failure
US8848924B2 (en) * 2008-06-27 2014-09-30 University Of Washington Privacy-preserving location tracking for devices
US9037554B2 (en) * 2009-06-30 2015-05-19 Oracle America, Inc. Bloom bounders for improved computer system performance
US9292547B1 (en) * 2010-01-26 2016-03-22 Hewlett Packard Enterprise Development Lp Computer data archive operations
WO2011149773A2 (en) * 2010-05-25 2011-12-01 Hewlett-Packard Development Company, L.P. Security threat detection associated with security events and an actor category model
EP2577545A4 (en) * 2010-05-25 2014-10-08 Hewlett Packard Development Co SAFETY EVENTS ASSOCIATED SAFETY IDENTIFICATION DETECTION AND ACTUATOR CATEGORY MODEL
CN102143136B (zh) * 2010-08-20 2013-12-04 华为技术有限公司 接入业务批发网络的方法、设备、服务器和系统
JP5364671B2 (ja) * 2010-10-04 2013-12-11 アラクサラネットワークス株式会社 ネットワーク認証における端末接続状態管理
US8661456B2 (en) 2011-06-01 2014-02-25 Hewlett-Packard Development Company, L.P. Extendable event processing through services
US10356106B2 (en) * 2011-07-26 2019-07-16 Palo Alto Networks (Israel Analytics) Ltd. Detecting anomaly action within a computer network
JP5765123B2 (ja) * 2011-08-01 2015-08-19 富士通株式会社 通信装置、通信方法、通信プログラム及び通信システム
WO2013032911A1 (en) * 2011-08-26 2013-03-07 Hewlett-Packard Development Company, L.P. Multidimension clusters for data partitioning
US9806940B1 (en) * 2011-10-13 2017-10-31 Comscore, Inc. Device metering
US9531755B2 (en) * 2012-05-30 2016-12-27 Hewlett Packard Enterprise Development Lp Field selection for pattern discovery
US20140208217A1 (en) 2013-01-22 2014-07-24 Splunk Inc. Interface for managing splittable timestamps across event records
US9753909B2 (en) 2012-09-07 2017-09-05 Splunk, Inc. Advanced field extractor with multiple positive examples
US8682906B1 (en) 2013-01-23 2014-03-25 Splunk Inc. Real time display of data field values based on manual editing of regular expressions
US8751963B1 (en) * 2013-01-23 2014-06-10 Splunk Inc. Real time indication of previously extracted data fields for regular expressions
US9098177B2 (en) * 2012-12-13 2015-08-04 Google Technology Holdings LLC Apparatus and methods for facilitating context handoff between devices in a cloud based wireless personal area network
US9659085B2 (en) * 2012-12-28 2017-05-23 Microsoft Technology Licensing, Llc Detecting anomalies in behavioral network with contextual side information
EP2946332B1 (en) 2013-01-16 2018-06-13 Palo Alto Networks (Israel Analytics) Ltd Automated forensics of computer systems using behavioral intelligence
US9152929B2 (en) * 2013-01-23 2015-10-06 Splunk Inc. Real time display of statistics and values for selected regular expressions
US9240996B1 (en) * 2013-03-28 2016-01-19 Emc Corporation Method and system for risk-adaptive access control of an application action
US9430509B2 (en) 2013-09-16 2016-08-30 Axis Ab Event timeline generation
AU2015244230A1 (en) * 2014-04-07 2016-09-22 Marklogic Corporation Apparatus and method for management of bitemporal objects
GB2528479A (en) * 2014-07-23 2016-01-27 Gamma Telecom Ltd Session handling in a communications network
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10075461B2 (en) 2015-05-31 2018-09-11 Palo Alto Networks (Israel Analytics) Ltd. Detection of anomalous administrative actions
US10476891B2 (en) * 2015-07-21 2019-11-12 Attivo Networks Inc. Monitoring access of network darkspace
CN108701176B (zh) 2016-02-17 2022-10-14 开利公司 系统和凭证数据的授权时间流逝视图
US10686829B2 (en) 2016-09-05 2020-06-16 Palo Alto Networks (Israel Analytics) Ltd. Identifying changes in use of user credentials
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
CN107247749B (zh) 2017-05-25 2020-08-25 创新先进技术有限公司 一种数据库状态确定方法、一致性验证方法及装置
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US11240275B1 (en) * 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US10999304B2 (en) 2018-04-11 2021-05-04 Palo Alto Networks (Israel Analytics) Ltd. Bind shell attack detection
US11316872B2 (en) 2019-01-30 2022-04-26 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using port profiles
US11184376B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Port scan detection using destination profiles
US11184378B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Scanner probe detection
US11070569B2 (en) 2019-01-30 2021-07-20 Palo Alto Networks (Israel Analytics) Ltd. Detecting outlier pairs of scanned ports
US11184377B2 (en) 2019-01-30 2021-11-23 Palo Alto Networks (Israel Analytics) Ltd. Malicious port scan detection using source profiles
US11170012B2 (en) * 2019-02-11 2021-11-09 ColorTokens, Inc. Determining session count of unique sessions for requested time periods
WO2020236981A1 (en) 2019-05-20 2020-11-26 Sentinel Labs Israel Ltd. Systems and methods for executable code detection, automatic feature extraction and position independent code detection
US11012492B1 (en) 2019-12-26 2021-05-18 Palo Alto Networks (Israel Analytics) Ltd. Human activity detection in computing device transmissions
US11509680B2 (en) 2020-09-30 2022-11-22 Palo Alto Networks (Israel Analytics) Ltd. Classification of cyber-alerts into security incidents
US11675771B1 (en) * 2020-10-29 2023-06-13 Splunk Inc. Identity resolution
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US20220337572A1 (en) * 2021-04-16 2022-10-20 Paypal, Inc. Communication between server systems in different network regions
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
US11799880B2 (en) 2022-01-10 2023-10-24 Palo Alto Networks (Israel Analytics) Ltd. Network adaptive alert prioritization system

Family Cites Families (47)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5907621A (en) 1996-11-15 1999-05-25 International Business Machines Corporation System and method for session management
US6615258B1 (en) 1997-09-26 2003-09-02 Worldcom, Inc. Integrated customer interface for web based data management
US20020065912A1 (en) * 2000-11-30 2002-05-30 Catchpole Lawrence W. Web session collaboration
US6973494B2 (en) 2000-12-29 2005-12-06 Bellsouth Intellectual Property Corporation System and method for bi-directional mapping between customer identity and network elements
JP2002330177A (ja) 2001-03-02 2002-11-15 Seer Insight Security Inc セキュリティ管理サーバおよびこれと連携して動作するホストサーバ
US7117504B2 (en) 2001-07-10 2006-10-03 Microsoft Corporation Application program interface that enables communication for a network software platform
US7111162B1 (en) 2001-09-10 2006-09-19 Cisco Technology, Inc. Load balancing approach for scaling secure sockets layer performance
EP1449062B1 (en) 2001-11-01 2018-05-16 Verisign, Inc. High speed non-concurrency controlled database
JP4357801B2 (ja) 2002-06-25 2009-11-04 日鉄鉱業株式会社 高活性光触媒およびその製造方法
JP2004118699A (ja) * 2002-09-27 2004-04-15 Ntt Comware Corp 不正アクセス検出装置、不正アクセス検出方法、コンピュータプログラム及びコンピュータプログラムを記録した記録媒体
US7376969B1 (en) 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8176527B1 (en) 2002-12-02 2012-05-08 Hewlett-Packard Development Company, L. P. Correlation engine with support for time-based rules
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7788722B1 (en) 2002-12-02 2010-08-31 Arcsight, Inc. Modular agent for network security intrusion detection system
US7219239B1 (en) 2002-12-02 2007-05-15 Arcsight, Inc. Method for batching events for transmission by software agent
US7650638B1 (en) 2002-12-02 2010-01-19 Arcsight, Inc. Network security monitoring system employing bi-directional communication
US7899901B1 (en) 2002-12-02 2011-03-01 Arcsight, Inc. Method and apparatus for exercising and debugging correlations for network security system
JP2005005854A (ja) 2003-06-10 2005-01-06 Nippon Telegr & Teleph Corp <Ntt> 通信経路設定方法
JP4131203B2 (ja) 2003-06-25 2008-08-13 日本電気株式会社 セキュリティゲートウェイルータ装置およびセッションテーブル管理方法
US7565425B2 (en) 2003-07-02 2009-07-21 Amazon Technologies, Inc. Server architecture and methods for persistently storing and serving event data
US7260844B1 (en) 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US7644365B2 (en) 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US8015604B1 (en) 2003-10-10 2011-09-06 Arcsight Inc Hierarchical architecture in a network security system
US9027120B1 (en) 2003-10-10 2015-05-05 Hewlett-Packard Development Company, L.P. Hierarchical architecture in a network security system
US7333999B1 (en) 2003-10-30 2008-02-19 Arcsight, Inc. Expression editor
US7565696B1 (en) 2003-12-10 2009-07-21 Arcsight, Inc. Synchronizing network security devices within a network security system
US8191139B2 (en) 2003-12-18 2012-05-29 Honeywell International Inc. Intrusion detection report correlator and analyzer
US7197502B2 (en) 2004-02-18 2007-03-27 Friendly Polynomials, Inc. Machine-implemented activity management system using asynchronously shared activity data objects and journal data items
JP4320603B2 (ja) 2004-02-26 2009-08-26 日本電気株式会社 加入者回線収容装置およびパケットフィルタリング方法
JP2005276165A (ja) 2004-02-27 2005-10-06 Sony Corp 情報処理装置、ネットワークシステム状況呈示方法およびコンピュータプログラム
US8528077B1 (en) 2004-04-09 2013-09-03 Hewlett-Packard Development Company, L.P. Comparing events from multiple network security devices
FI20040583A0 (fi) 2004-04-26 2004-04-26 Nokia Corp Sijainninseurantatiedon toimittaminen palvelujen valvontaa varten datapakettitietoon perustuvassa tietoliikenneverkossa
US7509677B2 (en) 2004-05-04 2009-03-24 Arcsight, Inc. Pattern discovery in a network security system
JP2006023966A (ja) * 2004-07-08 2006-01-26 Yokogawa Electric Corp 監査証跡の記録方法、および監査証跡の記録装置
US7644438B1 (en) 2004-10-27 2010-01-05 Arcsight, Inc. Security event aggregation at software agent
US9100422B1 (en) 2004-10-27 2015-08-04 Hewlett-Packard Development Company, L.P. Network zone identification in a network security system
DE602004004152T2 (de) 2004-11-05 2007-10-11 Research In Motion Ltd., Waterloo Steuerung der Wiederversuchsfunktion von Packetdatensitzungen einer mobilen Funkstation in einem drahtlosen Packetdatennetzwerk
US7809131B1 (en) 2004-12-23 2010-10-05 Arcsight, Inc. Adjusting sensor time in a network security system
US7647632B1 (en) 2005-01-04 2010-01-12 Arcsight, Inc. Object reference in a system
US8850565B2 (en) 2005-01-10 2014-09-30 Hewlett-Packard Development Company, L.P. System and method for coordinating network incident response activities
US7844999B1 (en) 2005-03-01 2010-11-30 Arcsight, Inc. Message parsing in a network security system
JP4952022B2 (ja) * 2005-07-11 2012-06-13 富士通株式会社 関連付けプログラム、関連付け方法、および関連付け装置
US7882262B2 (en) * 2005-08-18 2011-02-01 Cisco Technology, Inc. Method and system for inline top N query computation
US7437359B2 (en) 2006-04-05 2008-10-14 Arcsight, Inc. Merging multiple log entries in accordance with merge properties and mapping properties
US8418243B2 (en) * 2006-08-21 2013-04-09 Citrix Systems, Inc. Systems and methods of providing an intranet internet protocol address to a client on a virtual private network
US8108550B2 (en) 2006-10-25 2012-01-31 Hewlett-Packard Development Company, L.P. Real-time identification of an asset model and categorization of an asset to assist in computer network security
TWI434190B (zh) 2006-12-28 2014-04-11 Hewlett Packard Development Co 在支持查詢時有效地儲存記錄資料以協助電腦網路安全

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019186231A1 (en) * 2018-03-27 2019-10-03 Pratik Sharma Events manager for a machine

Also Published As

Publication number Publication date
JP2010511210A (ja) 2010-04-08
CA2660847A1 (en) 2008-05-02
US20080104046A1 (en) 2008-05-01
IL197460A0 (en) 2009-12-24
EP2076993A4 (en) 2014-07-02
RU2009107162A (ru) 2010-09-10
WO2008052133A2 (en) 2008-05-02
NZ574567A (en) 2012-05-25
AU2007308828A1 (en) 2008-05-02
EP2076993A2 (en) 2009-07-08
KR101519936B1 (ko) 2015-05-13
WO2008052133A3 (en) 2008-09-04
RU2425449C2 (ru) 2011-07-27
US9824107B2 (en) 2017-11-21
KR20090067138A (ko) 2009-06-24
SG175678A1 (en) 2011-11-28

Similar Documents

Publication Publication Date Title
JP5191492B2 (ja) コンピュータネットワークのセキュリティを支援するために、変化する状態データを追跡するための技術
US11647043B2 (en) Identifying security actions based on computing asset relationship data
US7904456B2 (en) Security monitoring tool for computer network
US8949418B2 (en) Firewall event reduction for rule use counting
US8090693B2 (en) System, method, and article of manufacture for maintaining and accessing a whois database
JP2008516308A (ja) 複数のコンピュータ化された装置を問い合わせる方法および装置
EP3338436B1 (en) Lock-free updates to a domain name blacklist
US9847968B2 (en) Method and system for generating durable host identifiers using network artifacts
EP2671360B1 (en) Correlating input and output requests between client and server components in a multi-tier application
CN104239353B (zh) 一种web分类控制和日志审计的方法
US9264399B1 (en) Lock-free updates to a domain name blacklist
CN108055273B (zh) 一种内网服务器发现方法、系统及网络安全审计系统
US11811587B1 (en) Generating incident response action flows using anonymized action implementation data
CN113839940B (zh) 基于url模式树的防御方法、装置、电子设备和可读存储介质
US8055682B1 (en) Security information repository system and method thereof
US20210334406A1 (en) Intelligent and reversible data masking of computing environment information shared with external systems
US11218487B1 (en) Predictive entity resolution
US20230030246A1 (en) Utilizing progress identifiers to rewrite an event query
WO2019237539A1 (zh) 一种监控数据的处理方法、服务器及计算机可读存储介质
US20230121331A1 (en) Remote attack surface discovery and management
CN116011568A (zh) 安全资产知识图谱的构建方法及装置
TW200837585A (en) Tracking changing state data to assist in computer network security
CN118199908A (zh) 一种网络安全威胁处理方法、装置及电子设备
CN115333951A (zh) 网络资产信息的生成方法、装置及电子设备
CN116346488A (zh) 一种越权访问的检测方法、装置及存储介质

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20100924

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120619

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120914

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120924

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20121019

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20121026

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121119

A524 Written submission of copy of amendment under article 19 pct

Free format text: JAPANESE INTERMEDIATE CODE: A524

Effective date: 20121119

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130115

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130129

R150 Certificate of patent or registration of utility model

Ref document number: 5191492

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20160208

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R370 Written measure of declining of transfer procedure

Free format text: JAPANESE INTERMEDIATE CODE: R370

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R360 Written notification for declining of transfer of rights

Free format text: JAPANESE INTERMEDIATE CODE: R360

R371 Transfer withdrawn

Free format text: JAPANESE INTERMEDIATE CODE: R371

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees