MXPA01000774A - Sistema de analisis de seguridad de informacion. - Google Patents

Sistema de analisis de seguridad de informacion.

Info

Publication number
MXPA01000774A
MXPA01000774A MXPA01000774A MXPA01000774A MXPA01000774A MX PA01000774 A MXPA01000774 A MX PA01000774A MX PA01000774 A MXPA01000774 A MX PA01000774A MX PA01000774 A MXPA01000774 A MX PA01000774A MX PA01000774 A MXPA01000774 A MX PA01000774A
Authority
MX
Mexico
Prior art keywords
data
computer
source
analysis
executable code
Prior art date
Application number
MXPA01000774A
Other languages
English (en)
Inventor
Michael P Maloney
Original Assignee
Raytheon Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Raytheon Co filed Critical Raytheon Co
Publication of MXPA01000774A publication Critical patent/MXPA01000774A/es

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/14Digital output to display device ; Cooperation and interconnection of the display device with other functional units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G5/00Control arrangements or circuits for visual indicators common to cathode-ray tube indicators and other visual indicators
    • GPHYSICS
    • G09EDUCATION; CRYPTOGRAPHY; DISPLAY; ADVERTISING; SEALS
    • G09GARRANGEMENTS OR CIRCUITS FOR CONTROL OF INDICATING DEVICES USING STATIC MEANS TO PRESENT VARIABLE INFORMATION
    • G09G2370/00Aspects of data communication
    • G09G2370/10Use of a protocol of communication by packets in interfaces along the display data pipeline

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Marketing (AREA)
  • Operations Research (AREA)
  • Development Economics (AREA)
  • Game Theory and Decision Science (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Educational Administration (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Human Computer Interaction (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

El sistema de analisis es una recoleccion, configuracion e integracion de programas de software, que reside en plataformas de computadoras multiples interconectadas. El software, excepto los sistemas operativos de las computadoras, es una combinacion de sensor, analisis, conversion de datos y programas de visualizacion. Las plataformas de hardware consisten de varios tipos diferentes de computadoras interconectadas, las cuales comparten los programas de software, archivos de datos, y programas de visualizacion, mediante una red de area local (LAN). Esta recoleccion e integracion del software y la migracion a una sola plataforma de computadora da como resultado, un metodo para monitoreo LAN / WAN, ya sea de un modo pasivo y/o activo. La arquitectura permite el ingreso de datos digitales provenientes de sensores externos para el analisis, despliegue en pantalla y correlacion, derivandose los datos y el despliegue en pantalla de cuatro grupos principales del concepto del software. Estos son: Deteccion de la Codigo del Virus de Computadora; Analisis de la Fuente y Codigo Ejecutable de la Computadora; Monitoreo Dinamico de Redes de Comunicacion de Datos y Visualizacion y Animacion de Datos en 3-D.

Description

SISTEMA DE ANÁLISIS DE SEGURIDAD DE INFORMACIÓN Campo del Invento La presente invención se refiere a un sistema de análisis de seguridad de información para mitigar los problemas de seguridad de la Internet y los problemas de visualización de la fuente de computadora y código ejecutable. En particular, la presente invención se refiere a un sistema de análisis de seguridad de la información para el despliegue en pantalla pasivo de las características físicas y virtuales de las Intranets y las fuentes de computadoras pequeñas y códigos ejecutables .
Antecedentes del Invento. El uso de la Internet mundial continúa creciendo a un ritmo fenomenal. Los usuarios incluyen gobiernos, instituciones, negocios y personas, y todos aquellos se han conectado a la Internet con el propósito de realizar sus actividades diarias. Desgraciadamente, el desarrollo e implementación de medidas de seguridad diseñadas para hacer de la conexión a Internet un medio seguro de comunicación, no ha mantenido el paso con los avances tecnológicos en la expansión del desarrollo de la red y la interconectividad. Como resultado, los usuarios de Internet y los riesgos de las redes tienen su propia información comprometida por piratas y usuarios malévolos quienes continúan encontrando medios para explotar y corromper las redes y los datos . Usadas de una manera apropiada, las tecnologías de paredes de fuego pueden ayudar para asegurar la "puerta frontal" de las Intranets corporativas, pero estas tecnologías tienen problemas para mantener el paso con las aplicaciones, servicios y seguridad que demandan los usuarios. Aunque se han desarrollado muchos productos que facilitan el descubrimiento de la topología de la red, pocos de estos están en la posibilidad de actuar de una manera pasiva. Se necesita aumentar de manera continua la seguridad y monitoreo de la Intranet tanto en la industria gubernamental como en la privada. Esto es substanciado casi diariamente en las publicaciones comerciales y los nuevos grupos de Internet. Una prueba más concreta de esto, reside en los requerimientos aumentados de seguridad relacionados con las capacidades señaladas en las solicitudes de propuestas del gobierno. Tanto el gobierno, como la industria privada, están invirtiendo cantidades significativas de tiempo y dinero para dirigir la elaboración de mapas de Intranet, el monitoreo, la detección de las intromisiones, y la seguridad de las computadoras. Esto es llevado a una cantidad prolífica de organizaciones, que ofrecen proporcionar servicios de seguridad de computadoras en Intranet, herramientas de análisis y productos asociados.
Sumario del Invento El sistema de la presente invención actúa pasivamente y proporciona una metodología para realizar un análisis detallado de los datos observados durante una sesión de monitoreo. Sin introducir tráfico adicional en una red, el sistema de la presente invención produce un panorama virtual del uso de la red y las vulnerabilidades de la red. Organizando las entradas de las herramientas de colección múltiple en esquemas visuales, los Administradores de Seguridad se han vuelto proactivos para evaluar las debilidades de la red y para identificar las ubicaciones óptimas para implementar las medidas de seguridad. Con la información revelada por el sistema de la presente invención, los Administradores de Seguridad pueden identificar los cuellos de botella potenciales de tráfico, localizar la existencia de puertas clandestinas, reducir el uso del ancho de banda, desarrollar perfiles de usuarios y señalar actividades ilícitas.
El sistema del software de la presente invención incluye cuatro módulos interconectados : descubrimiento de la red pasiva, registro de los datos de la red, análisis de los datos de la red, y herramientas de análisis de datos. Las capacidades de la visualización de los datos de la red están contenidas dentro de los módulos del descubrimiento de la red pasiva y análisis de datos de la red. El sistema del software hace posible el análisis del código de la computadora y la visualización en 3-D y animación del tráfico de la red y estructura. Los enchufes opcionales expanden adicionalmente y mejoran las capacidades del software, permitiendo de este modo que el sistema del software permanezca actualizado independientemente de la evolución de la red. El sistema de la presente invención hace posible que un administrador del sistema elabore un mapa de la red, determine los patrones de uso normal y anormal, ataca los virus localizados, la distribución del manejo de la red, y el despliegue en pantalla de la red. Hablando de una manera más técnica, el sistema de análisis es una colección, configuración e integración de programas de software que residen en plataformas de computadoras múltiples interconectadas. El software, excepto los sistemas operativos de la computadora, son una combinación de programas de sensor, análisis, conversión de datos y visualización. Las plataformas de hardware consisten de varios tipos diferentes de computadoras interconectadas que comparten los programas del software, los archivos de datos y los programas de visualización mediante la Red del rea Local (LAN) . Es esta recolección e integración del software y la migración a una sola plataforma de computadora que da como resultado un método para monitorear LAN/WAN de una modalidad ya sea pasiva y/o activa. Por ejemplo, el software del enrutador y el muro a prueba de incendios pueden ser monitoreados en un tiempo real cercano para determinar si el código ha sido cambiado de manera funcional independientemente de las precauciones de seguridad. Los datos LAN/WAN contenidos en los protocolos del Enlace de Datos para las capas de Presentación en el modelo OSI están disponibles para el análisis con los despliegues en pantallas asociados en espacio bidireccional y tridimensional. La arquitectura también hace posible la entrada de datos digitales provenientes de sensores externos para el análisis, despliegue en pantalla y correlación con los datos y despliegues en pantalla derivados de cuatro grupos de software principales. Estos son: Detección del Código del Virus de la Computadora; Análisis de la Fuente de la Computadora y el Código Ejecutable; onitoreo Dinámico de las Redes de Comunicación de Datos; Visualización y Animación de Datos en 3-D. El sistema de análisis de la presente invención elabora las plantillas y despliega los códigos del virus de la computadora en un modo funcional gráfico. Las técnicas actuales dependen de las corrientes de bits o el monitoreo en tiempo real para detectar un virus de computadora en la computadora central . El método del sistema de análisis de la presente invención examina la funcionalidad del código sospechoso para determinar si está presente un virus de computadora antes de su ejecución en la computadora central. El método puede ser visto como que deriva una estructura genética y posteriormente determina si la estructura genética es residente, por ejemplo, en un programa de computadora, archivo, o anexos de e-mail. Además, el sistema de análisis de la presente invención despliega de una manera gráfica y realiza comparaciones entre tipos similares de fuentes de computadora y códigos ejecutables en un espacio multi -dimensional para determinar si el código ha pasado por alteraciones funcionales simples o múltiples. El sistema de análisis hace posible el análisis gráfico, la ordenación de códigos, y la comparación de dos o más fuentes similares y/o programas ejecutables de computadora para determinar el grado de la alteración funcional. Esto puede documentar, elaborar gráficas, animar, explorar dinámicamente y determinar la funcionalidad en una sola fuente de computadora o programa ejecutable. El sistema de la presente invención, también tiene la capacidad para clasificar las fuentes y los códigos ejecutables por lenguaje y mostrar en pantalla los resultados en un formato gráfico funcional. Por ejemplo, un archivo de tabla de filtro de enrutador puede ser monitoreado periódicamente para determinar si el archivo ha sido cambiado funcionalmente independientemente de las precauciones de seguridad estándar actuales. El sistema de análisis de la presente invención, descubre de manera pasiva las características físicas y virtuales de las redes de comunicación de datos digitales y simultáneamente muestra en pantallas diferentes redes de comunicación digitales de una manera interactiva. El descubrimiento virtual es definido como la capacidad para determinar como está siendo usada la red de datos digitales por sus participantes y quién se está conectando con quién en cualquier punto del tiempo. Este proceso determina también los cambios de configuración en ' la red digital de comunicación de datos en intervalos de tiempo que se pueden seleccionar. La presencia física del sistema de análisis de la presente invención, en el modo pasivo, en un sistema LAN/WAN no es detectable cuando se usan técnicas convencionales, no requiere privilegios del usuario, no consume ancho de banda de la red, y no interfiere con las comunicaciones en los sistemas LAN/WAN. El sistema de análisis puede trazar rápidamente sus redes y construir redes completas conforme aumenta la actividad de la terminal. Cada objetivo de terminal activado en la red es trazado y mostrado en pantalla junto con su información adjunta. La información mostrada en pantalla muestra las relaciones tanto físicas como virtuales, así como las representaciones de la red. El análisis del sistema también puede ser combinado con sondas de la red para formar un monitoreo remoto, colaboración y descubrimiento de los sistemas LAN. En este escenario, la terminal actúa como una unidad maestra con entrada de sondas remotas. En esta modalidad de operación, un modo pasivo de operación puede, o puede no cesar, dependiendo de si la colaboración se encuentra en la banda y/o fuera de la banda . El sistema de análisis de la presente invención, muestra en pantalla dinámicamente, hace girar, y anima cualesquiera datos que recibe de los tres grupos de software principales en tres o más dimensiones. Está disponible la visión simultánea de varios tipos diferentes de datos digitales ya sea en los reinos físicos y/o virtuales. De acuerdo con la presente invención, la conectividad y funcionalidad de cada tipo de datos digitales es mostrada en pantalla. Los datos de cada uno de los tres grupos de software principales pueden ser mostrados en pantalla y hacerlos girar sobre cualquier eje en dos o más planos visuales separados pero conectados. El proceso también muestra en pantalla la conectividad entre los diferentes tipos de datos provenientes de los tres grupos principales de software para incluir la entrada de datos provenientes de los sensores externos. El software de visualización puede adjuntar símbolos definibles del usuario para un entendimiento más fácil por parte de un operador o analista. El software interactúa con un nodo mediante un "clic del Mouse" y recupera dinámicamente, decodifica y muestra en pantalla la información relacionada con el nodo que es representado por los tres grupos principales del software. En el caso de que los diagramas del nodo de 3-D se llegaran a obstruir, el analista contrata varios nodos dentro de un solo nodo común de interconexión. Esta capacidad proporciona una representación no obstruida del diagrama original para el analista, mientras que mantiene la funcionalidad de los nodos individuales contratados .
Breve Descripción de los Dibujos Se puede tener un entendimiento más claro de la presente invención, haciendo referencia a la siguiente descripción detallada del invento cuando es tomada en conjunto con los dibujos que la acompañan en donde: La Figura 1, es un diagrama de bloque de un sistema de análisis de seguridad de información para el descubrimiento, visualización y análisis de datos pasivos de la red de acuerdo con la presente invención; La Figura 2, es un diagrama de flujo de aplicación del sistema de análisis de seguridad de información de la Figura 1; La Figura 3, es un diagrama de bloque que ilustra la arquitectura de una herramienta de descubrimiento para usarse con el sistema de análisis de seguridad de información de la Figura 1; La Figura 4, representa de manera esquemática una estructura típica de información para la herramienta de descubrimiento ilustrada en la Figura 3; La Figura 5, es un diagrama de bloque del módulo de visualización en 3-D del sistema de análisis de seguridad de información de la Figura 1; La Figura 6, es un diagrama de bloque del sistema de análisis de seguridad de información de la presente invención utilizado en un detector de intromisión; La Figura 7, es un diagrama de bloque del sistema de análisis de seguridad de información de la presente invención, como una herramienta ofensiva para probar el ataque de un nodo o la piratería de información; y La Figura 8, es una pantalla típica que ilustra una visualización de la red orientada al objeto de acuerdo con la presente invención.
Descripción Detallada del Invento Haciendo referencia a la Figura 1, se ilustra un sistema de análisis de seguridad de información 10 que incluye una herramienta de descubrimiento 12 para monitorear de manera activa o pasiva una red de acceso local (LAN) por medio de un canal de datos 14. Funcionalmente, la herramienta de descubrimiento 12 comprende: un administrador del sensor, descubrimiento pasivo de la red (visor de la red, topología de la red) ; un analizador de paquete, la visión del conocimiento de la base, y las funciones de avisos y reportes. Además, la herramienta de descubrimiento 12 recolecta los datos de tráfico y uso, y traza mapas de la conectividad de la red. Los datos recabados por la herramienta de descubrimiento 12 se convierten en parte de la base de instrucciones 16 almacenada en la memoria. Los datos son organizados por categorías principales de la manera siguiente: Dirección, Computadora Central, Computadora Central-LM, Campo, Campo-LM, Subred, Dírección-IP, WWW, Dirección-MAC, Computadora Central Netware, Red Netware, Estación Netware, Aviso, Tipo de Servidor de la Netware, Aplicación, OS, Buscador de WWW, Servidor de WWW, Servidor HTTP, Servidor NNTP, Protocolo, Usuario, Usuario-POP3, Usuario-FTP, Emisor SMTP, Receptor SMTP, Contraseña POP3 , Contraseña FTP, Enrutador y Proveedor. Los datos que se encuentran en la base de instrucciones 16 se ponen a la disposición en una herramienta de análisis de datos 18 que convierte los datos capturados de la red provenientes de la herramienta de descubrimiento 12 en una forma que se puede usar por los programas descendentes del sistema. Los datos accesados por la herramienta de análisis 18 entonces están disponibles para la máquina analítica 20 para analizar los datos capturados por la herramienta de descubrimiento 12 y apoya la fusión de varios archivos de datos y el desarrollo y comparación de los patrones de uso de la red. La máquina analítica 20 puede ser implementada por medio de un software de i2 Inc. y comercializado bajo la marca comercial "Analyst's Notebook" . Una segunda máquina analítica 20 del Departamento de Defensa llamado PROPELLER también está disponible. La presente invención también tiene la capacidad para utilizar máquinas analíticas adicionales conforme estén disponibles dichas máquinas. Las máquinas analíticas 20 son un conjunto dinámico de herramientas de gráficas para capturar y mostrar en pantalla una variedad de conjuntos de datos de relación en un formato al que nos referimos como "gráfica de enlace" . Por medio del uso del motor analítico 20, tal como el "Analyst's Notebook", los datos recolectados pueden ser extraídos para caracterizar y documentar las características de la red y/o localizar los posibles intrusos de la red. Después de recolectar y organizar los datos, la máquina analítica 20 puede ser usada para hacer asociaciones entre un número diferente de gráficas de datos para determinar la correlación o diferenciación de los mismos. Las relaciones entre una matriz de fuente de datos entonces están disponibles para verificar la hipótesis, para correlacionar las relaciones entre los conjuntos múltiples de datos y para identificar datos objetivos dentro de un conjunto de datos grande. Los datost de la red necesitan ser analizados con el objeto de relacionar los datos de la base de instrucciones con los datos de sesión, datos de paquete, y datos de aviso. Estas relaciones ayudan en la determinación de quién estuvo hablando con quién, así como el contenido del tráfico para los protocolos específicos (HTP, HTTP, NNTP, P0P3 , SMTP, TELNET, e IMAP) . En este proceso de análisis de los datos de la red, se hace una determinación con respecto a qué direcciones IP y/o MAC son comunes para más de un conjunto de datos. La caracterización de la red de esta manera, requiere tomar una instantánea periódica de los datos capturados por un período de tiempo. El promedio de direcciones que existen de IP y MAC es usado para crear una gráfica de enlace que representa el tráfico entre cada conjunto de direcciones. Este mismo proceso caracteriza ya sea una porción de una red o la red completa. Por medio de la operación de la máquina analítica 20, los recursos que generalmente se vuelven a usar pueden ser determinados por el uso de una técnica de muestreo. Se identifica un período de tiempo de interés que revelará el uso común y los datos son capturados durante dicho período. Por ejemplo, para determinar el volumen de tráfico de e-mail entre las 11:00 a.m. y la 1:00 p.m., debe ocurrir un muestreo diariamente durante varias semanas hasta que se puedan apreciar similitudes en la fuente de tráfico y destinos. Al terminar el muestreo, los motores analíticos 20 pueden crear una gráfica que hace un inventario de todas las direcciones IP y/o MAC que han sido identificadas en dicho muestreo.
Están disponibles varias opciones para mostrar en pantalla los datos analizados incluyendo una pantalla en 2-D 22 y una pantalla en 3-D 24. Cada una de las herramientas 12 y 18, la máquina analítica 20 y las pantallas 22 y 24 están interconectadas de manera funcional a una interface del operador del software para recibir instrucciones provenientes de un operador del sistema de análisis de seguridad de información 10. El sistema de la Figura 1, acepta los datos del sensor externo (por ejemplo, información biométrica, datos de facturación, SS7, PBX, información de mensajes) en formatos digitales. Cuando los datos externos son combinados con las herramientas de descubrimiento de la red y análisis, se proporciona un panorama claro del proceso total de seguridad de la comunicación. De este modo, el sistema de la presente invención combina las necesidades físicas de seguridad con los sistemas electrónicos de comunicación y los departamentos IS/IT/CIO en un paquete completo de vigilancia. De acuerdo con las instrucciones del operador, el sistema registra y reproduce porciones seleccionadas de la base de datos almacenada para el análisis posterior de los hechos y la visualización en dos y tres dimensiones.
Esto se puede adaptar para el sensor externo y/o los datos de detección de intromisión. Además, el sistema de la Figura 1, puede decodificar sesiones FTP, HTTP, y TELNET, P0P3 , SMTP, NNTP, e IMAP en un tiempo real cercano y/o después del hecho. La arquitectura modular de la presente invención, permite enchufar módulos que van a ser agregados para mejorar adicionalmente y el protocolo de expansión decodifica para incluir la reconstrucción de las sesiones. Esta característica permite que el sistema de análisis 10, determine de manera automática el contexto de la información que viaja en una Intranet. Esta información entonces es puesta en diagramas de nodos para el personal de Seguridad de la Red para determinar qué información necesita una protección adicional. También puede ser usado para responder a preguntas tales como: se están realizando negocios ilegales dentro de la Intranet; qué hostigamiento, si lo hay, está ocurriendo de un empleado a otra persona; y en dónde están perdiendo los empleados su tiempo en la Red Mundial. En una implementación del sistema de análisis de seguridad de información 10, se utilizó una PC basada en un procesador Pentium con un mínimo de 166 MHz, operando el CPU del sistema operativo WindowsNT 4.0. Además, el sistema de análisis 10 incluyó una memoria RAM real de 64 megabytes, un disco duro de 1 gigabyte y un monitor de 17 pulgadas. La operación mejorada del sistema de análisis de seguridad de la información 10 es lograda por medio de la utilización de un procesador Pentium 11/300 ó mejor con una memoria RAM real de 128 megabytes, un disco duro de 4 gigabytes y un monitor G.13 de 21 pulgadas. Haciendo referencia a la Figura 2, se ilustra un diagrama de flujo de una aplicación del sistema de análisis de seguridad de información 10 de la Figura 1. Se utiliza una máquina de descubrimiento pasivo de datos (herramientas de descubrimiento 12) para recopilar los datos con respecto a una red y una vez que se han descubierto los datos son insertados en la base de instrucciones 16. Específicamente, la herramienta de descubrimiento 12 recolecta datos para descubrir una fuente de computadora pequeña y un diagrama nodal de código ejecutable en espacios de dos y tres dimensiones. La recolección de estos datos hace posible el escalamiento y la exhibición en pantalla de diagramas nodales de códigos grandes de computadora, permitiendo de este modo un análisis de la flexibilidad para ver y observar las interconexiones dentro de un cuerpo grande de códigos para equipos de computadoras que apoyan las redes de comunicación digitales de datos. La recolección de fuentes de computadora y códigos ejecutables por parte de la herramienta de descubrimiento 12 también hace posible que el sistema de la presente invención simule de una manera sintética pequeñas fuentes de computadora y programas de códigos ejecutables mientras que se visualizan los diagramas nodales relacionados en espacios de 3-D. Esto hace posible la determinación de dónde podría residir un código delictivo dentro de un programa, identificar las localizaciones en la memoria en donde residen los datos después de que un programa ha terminado la ejecución, y utilizar vectores gráficos como plantillas para encontrar tipos específicos de módulos de códigos (esto es, virus, algoritmos de encriptación). Además la herramienta de descubrimiento 12, recolecta datos en las Intranets (esto es, en LAN/WAN) para mostrar en pantalla simultáneamente en dos dimensiones los diagramas físicos y virtuales de la red. Esto hace posible que el análisis del sistema muestre en pantalla instantáneamente la conexión física del equipo de la red de una red de comunicaciones de datos. A modo de ejemplo, implementando una rutina de suma y diferencia, el analista del sistema puede determinar cuándo se agregaron o removieron terminales nuevas y/o configuraciones de la red para incluir la identificación posible de "puertas clandestinas" en la Intranet. La recolección de estos datos en las Intranets hace posible los diagramas virtuales de Intranet permitiendo de este modo el análisis en tiempo real de cómo está siendo usada la red, quién se está comunicando con quién, determinación de puntos de obstrucción potenciales y vulnerabilidades, la reconstrucción limitada de "rutas de traza" y tipos de servicios de la red mundial solicitados . Además, la máquina de descubrimiento reúne la información de la estructura en la red, el método de operación de la red y los usuarios de la red. Una máquina de descubrimiento típica coordina la información proveniente de sensores múltiples para proporcionar un panorama a profundidad de los datos de la red. Además, la máquina de descubrimiento recolecta datos en una sesión de operación de una red además de los paquetes de metadatos creados, todos junto con la base de instrucciones como "archivos planos" . Además de recolectar y analizar el tráfico LAN Ethernet la máquina de descubrimiento también puede ser configurada para reunir y analizar datos en otros tipos de tráfico de red incluyendo protocolos ATM, WAN y comunicaciones celulares . La máquina de descubrimiento (herramienta de descubrimiento 12) genera una base de instrucciones de datos aprendidos acerca de una red y estos datos son almacenados en un archivo denominado de manera apropiada en un directorio de datos almacenados de la herramienta de descubrimiento 12. El formato del archivo plano de texto de la máquina de descubrimiento ahora es procesado para una utilización adicional por el sistema de análisis de seguridad de información 10. Este archivo plano de texto de la base de instrucciones es procesado por la herramienta de análisis de datos 18 utilizando la búsqueda de una contraseña del archivo de la base de instrucciones para generar los datos en varias categorías. Por ejemplo, los datos son organizados en varias categorías de la manera siguiente: identificación de usuario único, computadora central, computadora central-LM, campo, campo-LM, Subred, dirección-IP, WWW, dirección-MAC, Computadora Central Netware, red Netware, estación Netware y varias otras categorías disponibles. Además de organizar la base de instrucciones 16 en varias categorías, la herramienta de análisis también puede crear archivos de salida revueltos. Después del análisis de la base de instrucciones 16, el motor analítico 20 responde a los datos para la preparación y conversión en diagramas nodales basados en vectores. Generalmente la máquina analítica 20 crea asociaciones entre un número de gráficas diferentes para determinar si dicha gráfica de datos se correlacionan o son diferentes. Las relaciones entre una matriz de fuente de datos son utilizadas para verificar hipótesis, para correlacionar relaciones entre conjuntos múltiples de datos, y para identificar datos objetivos dentro de un conjunto grande de datos. Basado en este análisis, el sistema de análisis de seguridad de información hace posible el desarrollo de recursos para la administración de una red. La máquina analítica 20 analiza los datos de la red para relacionar los datos de la base de instrucciones con los datos de sesión, datos de paquete, y datos de aviso conforme son utilizadas estas relaciones para determinar quién ha estado hablando con quién así como el contenido del tráfico de los protocolos específicos. En el proceso del análisis de datos de la red recibidos por la herramienta de descubrimiento 12 (máquina de descubrimiento) también se puede hacer una determinación con respecto a qué comunicación existe en más de un conjunto de datos. La caracterización de los datos de esta manera utiliza la toma de una instantánea periódica de los datos capturados en un período de tiempo. Entonces se sacan los promedios de qué relaciones existen para crear una gráfica de enlace que representa el tráfico entre los conjuntos de datos.
Haciendo referencia a la Figura 3, se ilustra la arquitectura de la herramienta de descubrimiento típica 12 de la Figura 1, tal y como fue ilustrada en el diagrama de flujo de aplicación de la Figura 2. Uno o más sensores son controlados por medio de un sensor especializado para proporcionar el ajuste, recolección y control de transmisión. Para el sensor local de Ethernet, se asienta un operador de Ethernet arriba de la capa NDIS para proporcionar paquetes naturales de datos de la red. Los paquetes de datos entonces son formados en filas por un administrador del sensor 32 y luego proporcionados a todas las herramientas en el compartimento de herramientas 34. El motor de procesamiento de paquete interno 36 decodifica a los paquetes de datos y convierte los datos originales a elementos de información que son accesibles para todas las herramientas en el compartimento de herramientas 34. Además, una máquina de escritura 38 filtra la información particularmente interesante e ingresa información dentro de la base de instrucciones 16. Esta base de datos también es accesible por todas las herramientas en el compartimento de herramientas 34. Además de un sensor especializado, la herramienta de descubrimiento 12 incluye también un sensor de control remoto 42. El administrador remoto 40 pregunta al sensor remoto, por ejemplo, un monitor basado en la web y una herramienta de consulta, para ser suministrada a todas las herramientas en el compartimento de herramientas 34. Tal y como se ilustra en la Figura 3, la herramienta de descubrimiento 12 está organizada en la forma de un sensor/procesador conectados estrechamente que está basada en un compartimento de herramientas inter operables. Estas herramientas proporcionan la visualización, trazado de mapas y análisis de los datos entrantes y los conocimientos procesados. La herramienta del administrador del sensor 80 proporciona configuración y control de los sensores dentro de la herramienta de descubrimiento 12, que permite que los datos sean recolectados (sensores locales o remotos) sin ser transmitidos a la herramienta de descubrimiento. Varios aspectos de la herramienta de administración del sensor 80 incluyen, proporcionar una vista de los sensores clasificados en un nivel superior de acuerdo con la computadora central, la recolección de todos los datos del sensor dentro de una categoría, posibilita la transmisión de datos de los sensores de la herramienta de descubrimiento seleccionado nuevamente por categorías, hace posible la comunicación desde un sensor remoto a una herramienta de descubrimiento, agrega una nueva computadora central (remotas) y los sensores asociados con el control de la herramienta de administración del sensor . La herramienta del visor de la red 82 proporciona visualización automática, de autodescubrimiento, y autodistribución de los nodos y enlaces de la red. Los nodos son fuentes de tráfico de la computadora e incluyen servidores, computadoras centrales y clientes. Los enlaces son representaciones de un tráfico de extremo a extremo, y pueden transferir elementos de red a un nivel más alto (tales como enrutadores) . La herramienta del visor de la red 82 lee la información del paquete y proporciona un panorama físico de una o más redes lógicas. El panorama lógico muestra en pantalla la información de los nodos y enlaces y proporciona un panorama físico de uno o más redes lógicas . El panorama lógico muestra en pantalla la información de los nodos y enlaces agregada para paquetes múltiples. En vista de que existe un tráfico de red (nodos y enlaces) en muchos casos del modelo de red OSI (enlace de datos, etc.), ocurre la visualización efectiva examinando la red fuente en muchas capas diferentes. En una modalidad de la herramienta de visor de red 82, los círculos en una ventana gráfica representan los nodos y las líneas representan enlaces de comunicación. Conforme la herramienta de descubrimiento 12 descubre automáticamente más nodos, la cuenta de cada red aparece en la ventana de la gráfica junto con la marca de la red. Como la representación de los nodos está basada en un árbol, la cuenta es un agregado de todos los nodos abajo del nodo de referencia. La información que es relevante para un nodo proveniente de la base de instrucciones 16 será mostrada en pantalla en la ventana de la herramienta del visor del objeto 84. La herramienta del visor del objeto 84 está integrada con la herramienta del visor de la red 82, la herramienta de la topología de pantalla 90, y la herramienta de consulta de pregunta 94. La herramienta del visor del objeto 84 activa la pantalla de información con respecto a todas las relaciones de transición (que no están basadas en una dirección) que puedan hacerse con respecto a un objeto. Por ejemplo, si una dirección IP está asociada con el usuario, y un usuario está asociado con. una dirección de computadora central, entonces todas estas serán parte de la pantalla de la herramienta del visor del objeto. Sin embargo, si la dirección de la computadora central está asociada adicionalmente con otra dirección IP, esta asociación transitoria no es mostrada en pantalla debido a la confusión que podría resultar al interpretar las relaciones. Siendo objetos los nodos y siendo relación en los enlaces, la herramienta del visor del objeto 84 crea una lista de objetos mostrados en pantalla en una clasificación por clase. El análisis de los paquetes de datos y la estructura de datos del paquete se proporciona mediante la activación de la herramienta del visor del paquete 86. Esto proporciona la estructura de ó la información dentro de los paquetes de red y puede ayudar también para discernir y entender nuevos protocolos no patentados y/o no usuales. Cuando la herramienta del visor del paquete está activada, el filtro del paquete (no mostrado) es ajustado inicialmente para permitir que todos los paquetes actualizados sean capturados. Cuando un usuario está interesado en ciertos tipos de paquetes, entonces la herramienta del visor del paquete 86 permite que el usuario seleccione ciertos subconjuntos del paquete mediante el diálogo de ajuste del filtro del paquete. Aunque la herramienta del visor del paquete 86 es útil para la depuración y desarrollo del protocolo, la funcionalidad de esta herramienta también es útil para buscar nuevos tipos de paquete. Regresando ahora a la herramienta del buscador de conocimiento 88, esta herramienta es una interface visual de la base de instrucciones 16 y proporciona un método basado en un árbol para buscar objetos en las clases dentro de una base de instrucciones, y además proporciona información de enlace, siendo partidas e información descubierta pasivamente en la red por la herramienta de descubrimiento. Esta herramienta de buscador de conocimiento 88 hace posible la adquisición, organización y la clasificación por categorías de la información de la red de las tareas que requieren tanto la automatización con objetos de simplicidad como el diseño a la medida para la accesibilidad al usuario. De una manera independiente, una clase buscada por la herramienta del buscador de conocimiento 88 es una partida en la base de instrucciones 16 que contiene información categorizada y pueden contener subclases, objetos, o ambos. Los ejemplos de las clases son dirección IP, dirección MAC, y emisor SMTP. Un objeto, como se considera en el contexto de la presente invención, es un miembro de una clase, y es una partida en la base de instrucciones 16 que tiene una información específica de la red. La herramienta de descubrimiento 12 incluye una máquina de escritura 38 (operando como un enlace separado) para procesar elementos de información dentro de los protocolos recibidos para reunir la inteligencia acerca de los objetos dentro de una red. Los tipos estándar de objetos incluyen usuarios, computadoras centrales, campos, aplicaciones y direcciones, sin embargo, y la especificación de la ontología permite que se agreguen nuevos objetos. Utilizando los enlaces de una vía o dos vías para relacionar la información (por ejemplo, de computadoras centrales y usuario), se hacen asociaciones utilizando elementos de información en tipos múltiples de protocolo/objeto. Esencialmente, de acuerdo con la función de la presente invención, una red se convierte en una gráfica enlazada contenida en un espacio multi-dimensional , en donde son almacenadas las relaciones como enlaces entre los vectores dentro de este espacio . Luego, considerando la herramienta de topología de la pantalla 90, esta herramienta proporciona una visión compacta y generada automáticamente de los elementos de la red identificada por la herramienta de descubrimiento 12. La Figura 8 muestra la pantalla de ventana típica en la activación de la herramienta de pantalla de topología 90. Basada en la información contenida dentro de la base de instrucciones 16, la herramienta de topología de pantalla 90 muestra enrutadores, Subredes, y nodos de usuarios. Además, un subconjunto de clases dentro de la base de instrucciones 16 puede ser recubierto en la parte superior de esta vista. Por ejemplo, se pueden mostrar los nombres de computadoras centrales y las vulnerabilidades.
La herramienta de grabador de sesión 92 hace posible el nuevo ensamble de los paquetes, la administración de sesión TCP/IP y el descubrimiento de conocimiento. Esta herramienta es un mecanismo para observar tipos de sesiones múltiples las cuales no pueden ser manejadas fácilmente en el nivel de paquete, por ejemplo: HTTP, P0P3, SMTP, SNMP, TELNET, NNTP, e IMAP. Volviendo a ensamblar los paquetes y mirando los aspectos claves de información en los paquetes nuevamente ensamblados, la herramienta de grabador de sesión 92 proporciona la capacidad para observar y aprender acerca de las entidades de nivel de aplicación en la red. En la operación, la herramienta del grabador de sesión 92 vuelve a ensamblar flujos o sesiones de conexión orientada. Estas sesiones de 4 capas (por ejemplo, TCP) y mayores consisten de paquetes múltiples que se van a ensamblar nuevamente y van a ser analizados para exponer la información en el ámbito de aplicación. Las técnicas de reconstrucción de paquetes y células proporcionan al usuario una información del estado (por ejemplo, progreso de la llamada, y monitoreo de la sesión) , así como una información de la aplicación de la capa (por ejemplo, direcciones de e-mail) . Utilizando las técnicas de búsqueda de sesión dentro de la herramienta del grabador de sesión 92, combinado con las capacidades de procesamiento de aviso (tal como son vistas cuando un cierto usuario recibe un e-mail) pueden ser construidas de manera flexible. En una implementación de la herramienta del grabador de sesión 92 se proporciona la capacidad de ver las siguientes sesiones: HTTP, P0P3, TELNET, FTP, SMTP, NNTP, e IMAP. Durante ía operación de la herramienta del grabador de sesión 92 se pueden agregar datos a la base de instrucciones 16 conforme la herramienta detecta, procesa y explora las sesiones de diferentes piezas de información. La herramienta de consulta de preguntas 94 proporciona una interface basada en el texto a la base de instrucciones 16. Por medio de la utilización de la herramienta de consulta de preguntas 94, un usuario puede determinar si la base de instrucciones 16 contiene un objeto (por ejemplo, dirección IP individual) o determinar el conjunto de objetos que pertenecen a una clase de la base de instrucciones 16 (por ejemplo, Dirección IP) . En una implementación de la herramienta de consulta de preguntas 94, se le preguntó a la base de instrucciones 16 los nombres de las clases de nivel superior, los objetos que pertenecen a una clase determinada y objetos de una clase específica. Además del compartimento de herramientas 34, la herramienta de descubrimiento 12 incluye un conjunto de herramientas de análisis de la base de instrucciones 96 tal y como se ilustra en la Figura 3. Siguiendo el descubrimiento de los datos provenientes de la red que se está analizando, los datos entonces son formateados de manera apropiada para ser usados por la máquina analítica 20. El conjunto de herramientas de análisis de la base de instrucciones 36 funciona para tomar los datos recolectados y ponerlos dentro de un formato apropiado para ser usados por la máquina analítica 20. Están disponibles herramientas individuales en el conjunto de herramientas de análisis de la base de instrucciones 96 para analizar datos provenientes de la base de instrucciones 16 y extraer información de los archivos de registros guardados y los archivos de sesión nuevamente ensamblados. El conjunto de herramientas de análisis de base de instrucciones 96 comprende ocho herramientas: análisis KB, extracción de e-mail, unión de sesiones, extracción de lá web, extracción de gráficos, suma de KB, manipulación de archivos, y división en columnas. La herramienta de descubrimiento de la red genera de la base de instrucciones 16 de datos ensamblados acerca de la red. Estos datos son guardados en archivos de texto planos y salvados para volver a ser usados por la herramienta de descubrimiento 12 para la pantalla de una red. Sin embargo el formato del texto, no es útil para seguir en el procesamiento. La herramienta de análisis KB, analiza los datos que van a ser producidos por la pantalla en un archivo de columnas, para ser importados a una base de datos, o para las máquinas analíticas 20. Además, la herramienta de análisis KB es utilizada como una búsqueda de palabras clave para generar datos en varias categorías. Tal y como se explicó, la herramienta del grabador de sesión 92, es un mecanismo para observar tipos de sesiones múltiples, y los archivos generados que contienen datos de sesión ensamblados de nuevo. El número de archivos creados durante una sola recolección de datos puede, por ejemplo, exceder de 10,000. La herramienta de extracción de e-mail de una herramienta de base de instrucciones en el conjunto de herramientas 96, proporciona la organización de los archivos POP3 y SMTP en descripciones del resumen. Las descripciones del resumen entonces son importadas a una base de datos o a la máquina analítica 20. La herramienta de extracción de e-mail, contiene un mecanismo de búsqueda de una palabra clave así como otros tipos de análisis de datos. Tal y como se mencionó anteriormente, la herramienta de descubrimiento 12 genera una base de instrucciones de datos de archivo plano recolectados a cerca de una red. La herramienta de extracción de la web de un conjunto de herramientas de base de instrucciones 96, facilita el análisis y formateo de los datos provenientes de los archivos planos HTML que entonces, son importados a una base de datos o a la máquina analítica 20. La herramienta de extracción de la web contiene un mecanismo de búsqueda de marca (similar a una palabra clave) así como otros tipos de algoritmos de procesamiento de datos. La herramienta de extracción de gráficos del conjunto de herramientas de la base de instrucciones 96, proporciona archivos de imagen para un nuevo ensamble proveniente del formato registrado. La pantalla de la herramienta del grabador de sesión 92 proporciona la grabación de las sesiones HTTP. Estos archivos de sesión contienen un encabezado que describe la sesión y los datos asociados con la sesión. Cuando una imagen JPG o GIF es descargada, los datos se vuelven a ensamblar en la sesión. Sin embargo estos datos no se pueden mostrar en pantalla en el formato registrado. La herramienta de extracción de gráficos convierte el archivo de la sesión HTTP, ensamblado de nuevo los datos que contiene JPG y GIF y crea un nuevo archivo de registro que contiene los nombres y las imágenes. Los datos almacenados en un archivo de texto plano por la operación de la herramienta de descubrimiento 12, son utilizados por la herramienta de suma KB del conjunto de herramientas de base de instrucciones 96, para crear una matriz estadística de los datos contenidos en los registros de paquete y sesión. Por ejemplo, en el caso de un protocolo, puede ser usado como el acceso Y, y la dirección IP puede ser usada como el acceso X. Después de que se ha hecho la selección del registro de paquete o sesión, la herramienta de suma KB selecciona el archivo de registro apropiado y muestra en pantalla los criterios de acceso disponibles para crear una gráfica. En el análisis de una red típica, generará un gran número de archivos . La herramienta de manipulación de archivos del conjunto de la herramienta de la base de instrucciones 96, proporciona una interface para reducir el volumen de archivos generados que deben de ser clasificados. Esto hace posible que los archivos sean borrados o movidos basados en el tamaño, tipo, o contenido del archivo para propósitos de mejorar el procesamiento subsecuente. Los archivos generados son procesados de acuerdo con los criterios seleccionados para todos los archivos de un grupo . Las sesiones gravadas en la herramienta de descubrimiento 12, son truncadas ocasionalmente y restauradas como una nueva sesión. Estas sesiones truncadas son ensambladas de nuevo preferentemente antes de verlas. La herramienta de unión de sesión del conjunto de herramientas de la base de instrucciones 96, conecta todas las sesiones truncadas entre transacciones completas . También está incluido en el juego de herramientas de la base de instrucciones 96 una herramienta de división de datos en columnas. Esta herramienta es usada para eliminar las columnas de datos no deseadas de los archivos de registro. Haciendo referencia a la Figura 4, se ilustra una estructuración de la información en la base de instrucciones 16. La definición y estructura del conocimiento, es tomada en consideración para mejorar la capacidad para entender el conocimiento antes de procesar la información en la red. La Figura 4, es una gráfica de organización de las categorías de la información ensamblada en la base de instrucciones por la herramienta de descubrimiento 12. La base de instrucciones es una entidad de relación orientada al objeto que es almacenado como un archivo de texto plano y es la información recolectada de los paquetes en el canal de datos 14. Haciendo referencia a la Figura 5, se ilustra un diagrama de bloque de una pantalla de 3-D 24, que incluye un pre-procesador de visualización 100 que recibe datos ASCII originales de la máquina analítica 20. También el ingreso al pre-procesador de visualización 100 a través de un enlace de software 108, es un archivo de ajuste de visualización 102, un archivo de información de enlace 104 y un archivo de clave de campo 106. Siguiendo el procesamiento de los datos provenientes de la máquina analítica 20, el pre-procesador de visualización 100 transfiere los datos procesados a una máquina de producción de 3-D 110. La máquina de producción 110 y un paquete de software comercial que no se vende en los almacenes, formatea la información de acuerdo con las instrucciones del usuario de un dispositivo de entrada 114 y acomoda la información para el ingreso a la pantalla 112. A través del uso de la tecnología de pantalla montada en la parte superior, y un sistema de rastreo de libertad de seis grados que recibe datos del procesador 108, un usuario experimentará una inmersión de visión completa dentro de una red identificada con los datos en la base de instrucciones 16. Esta tecnología proporciona al usuario una capacidad adicional para interactuar y negociar con la pantalla de datos de la red, opuesto a la pantalla plana tradicional. Haciendo referencia nuevamente a la Figura 1, la pantalla de 3-D 24, agrega una tercera dimensión a cualquiera de los datos recolectados por la herramienta de descubrimiento 12 que se van a ver, animar, y analizar los diagramas complejos de los nodos en un espacio de 3-D. Esto es requerido debido a que los archivos de datos originales solo contienen dos dimensiones. Si los datos provenientes de las máquinas analíticas son producidos en tres o más dimensiones, no se le requerirá a la pantalla de 3-D que agregue una tercera dimensión. La adición de un tercer vector permite la visión simultánea de diagramas complejos grandes en planos interconectados de acuerdo con las instrucciones del usuario desde el dispositivo de entrada 94. La pantalla de la Figura 5, permite que un analista gire el diagrama sobre cualquier eje, viendo de este modo las relaciones que de otro modo serían vistas de una manera obscura en un plano de dos dimensiones . Haciendo referencia a la Figura 6, se ilustra una utilización representativa del sistema de análisis 10, de la presente invención tal y como se ilustró en la Figura 1. El sistema de análisis 10, es operado en una terminal 46 como parte de una red que incluye las terminales 48, 50 y 52. La red que incluye las terminales 46, 48, 50 y 52 está interconectada a través de una pared de fuego 54. La pared de fuego 54 hace interface con una red 56 que incluye un analizador de la red 58. El analizador de la red 58, analiza el tráfico interior a las terminales y también monitorea los "metadatos" asociados con un intromisor interior a la red. Generalmente, el analizador 58 establece metadatos específicos asociados con una intromisión interior. Tal y como se ilustra en la Figura 6, la red 56 que está conectada a una puerta 60, y a una terminal 62 que representa a un intruso remoto para, por ejemplo, la terminal 48 como objetivo. En el presente ejemplo, se supondrá que el intruso remoto en la terminal 60 está intentando enviar un e-mail a la terminal objetivo 48 detrás de la pared de fuego 54. El sistema de análisis 10 de la presente invención operando en la terminal 46, monitorea a través de la herramienta de descubrimiento 12 el e-mail interior en el nivel Ethernet. El análisis del sistema 10 registra el tráfico de e-mail interior como parte de la base de instrucciones 16 tal como el protocolo de la oficina postal versión 3 (POP3) y el protocolo de transferencia simple de correo (SMTP) . Además, el sistema de análisis 10 examina los metadatos asociados con el e-mail en su interior, y examina adicionalmente en el interior de los paquetes SMTP/POP3 que irán la terminal 48. Los paquetes SMTP/POPS identificados en el interior para la terminal objetiva 48, son pasados a la máquina analítica 20 para su análisis. Como se explicó anteriormente, la máquina analítica 20 importa los metadatos pasados por la herramienta de descubrimiento 12 para análisis y despliegue en pantalla. Haciendo referencia a la Figura 7, se ilustra una utilización del sistema de análisis 10 de la presente invención en un ambiente de una red de nodos múltiples. Tal y como se ilustró, la red incluye los nodos 64, 66 y 68. Una terminal 70 está interconectada al nodo 68 operando el sistema de análisis 10 tal y como se ilustra la Figura 1. También un analizador de res 72, está interconectado al nodo 68. Cada uno de los nodos 64, 66 y 68 están interconectados a una pared de fuego 74. La pared de fuego 74 a la vez está atrás de una pared de fuego 76 adicional que es interconectada con una red de área extensa (no mostrada) . En este ejemplo, el sistema de análisis 10 como está operando en la terminal 70, monitorea el nivel de tráfico de Intranet y registra los paquetes de datos de cada una de las terminales de los diferentes nodos. Para una terminal que está bajo el ataque, tal como la terminal 64a, el sistema de análisis establece una estructura objetivo del paquete fuente y por medio de la máquina analítica 20 de la presente invención, podría ser modificado para cerrar el objetivo que está bajo ataque.
Deberá quedar entendido que en las Figuras 6 y 7 solamente son dos ejemplos de la utilización del sistema de análisis 10. Los usos adicionales del sistema de análisis de seguridad de la información 10 incluyen, la visión de la información ofensiva y defensiva, la visualización en el contexto nodal de e-mails simultáneos, sesiones de FTP y TELNET, reproducción gráfica del tráfico nodal filtrado analizando a partir de la computadora fuente y el código ejecutable, la conectividad virtual y física el descubrimiento pacífico y dinámico de las redes de área local y las redes de área extensa, la detección de intromisiones tanto internas como locales a una red de área local o una red de área extensa tales como las que se describieron con referencia a la Figura 6, y avisa automáticamente y toma la acción correctiva, cuando una red está bajo ataque, y en la Figura 7, se realiza la detección de virus de la computadora . Aunque la presente invención ha sido descrita con relación a las modalidades preferidas, no se tiene la intensión de limitar el alcance de la presente invención a una forma particular estipulada, al contrario, se tiene la intensión de cubrir alternativas, modificaciones y todos los equivalentes que puedan estar incluidos dentro del espíritu y alcance de la presente invención tal y como se define en las reivindicaciones adjuntas.

Claims (17)

NOVEDAD DE LA INVENCIÓN Habiendo descrito la presente invención, se considera como novedad y por lo tanto, se reclama como propiedad lo contenido en las siguientes: REIVINDICACIONES ;
1. Un método para el despliegue en pantalla gráfico y el análisis de la fuente de computadora y código ejecutable de una red de comunicaciones de datos, el cual comprende: recolección de información sobre los tipos del código de fuente de computadora y el código ejecutable incluyendo el lenguaje de ambos el código de fuente y el código ejecutable para una pluralidad de programas de computadora ; generación de una base de instrucciones de la información recolectada sobre los tipos de fuente de computadora y código ejecutable; análisis de la información de la base de instrucciones generada con el objeto de generar datos en categorías seleccionadas en formato de lectura; análisis de los datos de las categorías seleccionadas para crear alteraciones funcionales entre dos o más códigos de fuente y/o códigos ejecutables similares para programas de computadora; visualización de los datos analizados para el análisis gráfico, y comparación de dos o más códigos de fuente y/o códigos ejecutables similares para programas de computadora para determinar el grado de alteración funcional .
2. El método para desplegar en pantalla gráficamente y analizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 1, caracterizado porque el análisis de los datos comprende la clasificación del código de fuente ejecutable por lenguaje; y la visualización de los datos analizados comprende el despliegue en pantalla de los resultados en el análisis en un formato gráfico funcional .
3. El método para desplegar en pantalla gráficamente y analizar el código de fuente de computadora y código ejecutable tal y como se describe en la reivindicación 1, caracterizado porque la visualización de los datos analizados comprende el despliegue en pantalla gráfico de la comparación de dos o más códigos de fuente y/o códigos ejecutables similares en un espacio multi-dimensional para determinar si el código ha sufrido alteraciones simples o multifuncionales .
4. El método para el despliegue en pantalla gráfico y el análisis de la fuente de computadora y el código ejecutable tal como se describe en la reivindicación 1, caracterizado porque la visualización de los datos analizados comprende la organización de los códigos para la comparación de dos códigos de fuente y/o códigos ejecutables similares para programas de computadora .
5. El método para desplegar en pantalla gráficamente y analizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 1, caracterizado porque comprende además el paso de adjuntar a los datos generados símbolos definibles del usuario.
6. El método para desplegar en pantalla gráficamente y analizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 1, caracterizado porque el análisis de los datos incluye la identificación de los identificadores del usuario de la computadora y los identificadores de la computadora central .
7. El método para desplegar en pantalla gráficamente y analizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 1, caracterizado porque la recolección de información comprende la recolección pasiva de datos y la recolección de datos proveniente de sensores externos .
8. Un método para el análisis y visualización de la fuente de computadora y código ejecutable de una red de comunicación de datos, el cual comprende: recolección de información sobre los tipos del código de fuente de computadora y el código ejecutable; la generación de una base de instrucciones de la información recolectada sobre los tipos de fuente de computadora y código ejecutable; análisis de la información en la base de instrucciones generada para generar datos en categorías seleccionadas en formato de lectura; análisis de los datos de las categorías seleccionadas para crear la alteración funcional entre dos o más códigos de fuente y/o códigos ejecutables similares para programas de computadora; y visualización de los datos analizados para la comparación de dos o más códigos de fuente y/o códigos ejecutables similares para programas de computadora para determinar el grado de alteración funcional.
9. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizada porque se genera una base de instrucciones que incluye la documentación y organización del código de fuente y el código ejecutable en una relación funcional.
10. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque el análisis de datos comprende la clasificación del código de fuente y ejecutable por lenguaje; y la visualización de los datos analizados comprende el despliegue en pantalla de los resultados del análisis en un formato gráfico funcional.
11. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque la visualización de los datos analizados comprende el despliegue en pantalla de manera gráfica de la comparación de dos o más códigos de fuente y/o códigos ejecutables similares en el espacio multi-dimensional para determinar si el código ha padecido de una sola o alteración o de alteraciones funcionales múltiples.
12. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque la visualización de los datos analizados comprende ordenar los códigos para comparación de dos o más códigos de fuente y/o códigos ejecutables similares para programas de computadora.
13. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque comprende adicionalmente la inclusión de los datos generados de los símbolos definibles del usuario.
14. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque el análisis de datos incluye la identificación de los identificadores del usuario de la computadora y los identificadores de la computadora central.
15. El método para analizar y visualizar la fuente de computadora y el código ejecutable tal y como se describe en la reivindicación 8, caracterizado porque la recolección de información comprende la recolección pasiva de información y la recolección de información proveniente de sensores externos.
16. Un método para desplegar en pantalla gráficamente y analizar la fuente de la computadora y el código ejecutable de una red de comunicaciones de datos el cual comprende : la recolección de información sobre los tipos de código de fuente de computadora y código ejecutable que incluyen el lenguaje de ambos el código de fuente y el código ejecutable para por lo menos un programa de computadora; generación de una base de instrucciones de la información recolectada sobre los tipos de fuente de computadora y código ejecutable; análisis de la información de la base de instrucciones generadas para generar datos en categorías seleccionadas en formato de lectura; análisis de los datos de las categorías seleccionadas para crear alteraciones funcionales entre dos o más códigos de fuente y/o códigos ejecutables similares para por lo menos un programa de computadora; el despliegue en pantalla de los datos analizados para el análisis gráfico, y comparación de dos o más códigos de fuente y/o códigos ejecutables similares para determinar el grado de alteración funcional.
17. El método para el despliegue en pantalla gráfico y el análisis de fuente de computadora y código ejecutable tal y como se describe en la reivindicación 16, caracterizado porque el análisis de datos comprende la clasificación del código de fuente y el código ejecutable por lenguaje; y el despliegue en pantalla de los datos analizados comprende el despliegue en pantalla del código de fuente y el código ejecutable clasificados por lenguaje en un formato gráfico funcional.
MXPA01000774A 1998-07-21 1999-07-20 Sistema de analisis de seguridad de informacion. MXPA01000774A (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US9355998P 1998-07-21 1998-07-21
PCT/US1999/016467 WO2000005651A1 (en) 1998-07-21 1999-07-20 Information security analysis system

Publications (1)

Publication Number Publication Date
MXPA01000774A true MXPA01000774A (es) 2002-04-24

Family

ID=22239608

Family Applications (1)

Application Number Title Priority Date Filing Date
MXPA01000774A MXPA01000774A (es) 1998-07-21 1999-07-20 Sistema de analisis de seguridad de informacion.

Country Status (12)

Country Link
US (1) US6269447B1 (es)
EP (1) EP1097420A1 (es)
JP (1) JP2002521748A (es)
KR (1) KR100545465B1 (es)
AU (1) AU756407B2 (es)
BR (1) BR9912192A (es)
CA (1) CA2338393A1 (es)
MX (1) MXPA01000774A (es)
NO (1) NO20010339L (es)
NZ (1) NZ509606A (es)
TW (1) TW476204B (es)
WO (1) WO2000005651A1 (es)

Families Citing this family (102)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US6687750B1 (en) * 1999-04-14 2004-02-03 Cisco Technology, Inc. Network traffic visualization
US7016951B1 (en) 1999-04-30 2006-03-21 Mantech Ctx Corporation System and method for network security
EP1212686A4 (en) * 1999-05-26 2009-04-01 Fujitsu Ltd SYSTEM FOR MANAGING NETWORK ELEMENTS
US7117532B1 (en) * 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
AU5935400A (en) * 1999-07-14 2001-01-30 Recourse Technologies, Inc. System and method for protecting a computer network against denial of service attacks
US7073198B1 (en) 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7203962B1 (en) 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6826697B1 (en) * 1999-08-30 2004-11-30 Symantec Corporation System and method for detecting buffer overflow attacks
US7065657B1 (en) * 1999-08-30 2006-06-20 Symantec Corporation Extensible intrusion detection system
US8074256B2 (en) * 2000-01-07 2011-12-06 Mcafee, Inc. Pdstudio design system and method
US6779120B1 (en) * 2000-01-07 2004-08-17 Securify, Inc. Declarative language for specifying a security policy
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7096502B1 (en) * 2000-02-08 2006-08-22 Harris Corporation System and method for assessing the security posture of a network
US20020093527A1 (en) * 2000-06-16 2002-07-18 Sherlock Kieran G. User interface for a security policy system and method
US7917647B2 (en) * 2000-06-16 2011-03-29 Mcafee, Inc. Method and apparatus for rate limiting
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7636945B2 (en) * 2000-07-14 2009-12-22 Computer Associates Think, Inc. Detection of polymorphic script language viruses by data driven lexical analysis
US9280667B1 (en) 2000-08-25 2016-03-08 Tripwire, Inc. Persistent host determination
US7181769B1 (en) * 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
WO2002088968A1 (en) * 2001-04-30 2002-11-07 Ctx Corporation Apparatus and method for network analysis
US20100027430A1 (en) * 2001-04-30 2010-02-04 Netwitness Corporation Apparatus and Method for Network Analysis
KR20010070729A (ko) * 2001-06-02 2001-07-27 유진영 시큐어 캅
US7096503B1 (en) * 2001-06-29 2006-08-22 Mcafee, Inc. Network-based risk-assessment tool for remotely detecting local computer vulnerabilities
US7000250B1 (en) * 2001-07-26 2006-02-14 Mcafee, Inc. Virtual opened share mode system with virus protection
US6892241B2 (en) * 2001-09-28 2005-05-10 Networks Associates Technology, Inc. Anti-virus policy enforcement system and method
US7310818B1 (en) * 2001-10-25 2007-12-18 Mcafee, Inc. System and method for tracking computer viruses
US20030084318A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically correlating data for an intrusion protection system
US20030084340A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. System and method of graphically displaying data for an intrusion protection system
KR100432421B1 (ko) * 2001-12-21 2004-05-22 한국전자통신연구원 공격에 대한 연관성 분석방법 및 이를 위한 기록매체
US9652613B1 (en) 2002-01-17 2017-05-16 Trustwave Holdings, Inc. Virus detection by executing electronic message code in a virtual machine
US7607171B1 (en) 2002-01-17 2009-10-20 Avinti, Inc. Virus detection by executing e-mail code in a virtual machine
US6839852B1 (en) * 2002-02-08 2005-01-04 Networks Associates Technology, Inc. Firewall system and method with network mapping capabilities
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US7870203B2 (en) 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US20030188190A1 (en) * 2002-03-26 2003-10-02 Aaron Jeffrey A. System and method of intrusion detection employing broad-scope monitoring
CA2381605A1 (en) * 2002-04-12 2003-10-12 Ibm Canada Limited-Ibm Canada Limitee Dynamic generation of program execution trace files in a standard markup language
US7359962B2 (en) * 2002-04-30 2008-04-15 3Com Corporation Network security system integration
CA2486695A1 (en) * 2002-05-22 2003-12-04 Lucid Security Corporation Adaptive intrusion detection system
TWI244297B (en) * 2002-06-12 2005-11-21 Thomson Licensing Sa Apparatus and method adapted to communicate via a network
US20040049698A1 (en) * 2002-09-06 2004-03-11 Ott Allen Eugene Computer network security system utilizing dynamic mobile sensor agents
WO2004025496A1 (en) * 2002-09-16 2004-03-25 The Trustees Of Columbia University In The City Of New York System and method for document collection, grouping and summarization
US7469418B1 (en) 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US7131113B2 (en) 2002-12-12 2006-10-31 International Business Machines Corporation System and method on generating multi-dimensional trace files and visualizing them using multiple Gantt charts
US8141159B2 (en) * 2002-12-31 2012-03-20 Portauthority Technologies Inc. Method and system for protecting confidential information
US7409721B2 (en) * 2003-01-21 2008-08-05 Symantac Corporation Network risk analysis
US20040162781A1 (en) * 2003-02-14 2004-08-19 Kennsco, Inc. Monitoring and alert systems and methods
US8024795B2 (en) 2003-05-09 2011-09-20 Q1 Labs, Inc. Network intelligence system
AU2004270666B2 (en) * 2003-09-03 2009-05-14 H.B. Fuller Company Composition and method relating to a hot melt adhesive
EP1712064A1 (en) * 2004-01-20 2006-10-18 Intrusic, Inc Systems and methods for monitoring data transmissions to detect a compromised network
US20060282494A1 (en) * 2004-02-11 2006-12-14 Caleb Sima Interactive web crawling
US7765597B2 (en) * 2004-02-11 2010-07-27 Hewlett-Packard Development Company, L.P. Integrated crawling and auditing of web applications and web content
WO2005077118A2 (en) * 2004-02-11 2005-08-25 Spi Dynamics, Inc. System and method for testing web applications with recursive discovery and analysis
US7752671B2 (en) 2004-10-04 2010-07-06 Promisec Ltd. Method and device for questioning a plurality of computerized devices
US8635690B2 (en) 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
JPWO2006077666A1 (ja) * 2004-12-28 2008-06-19 国立大学法人京都大学 観測データ表示装置、観測データ表示方法、観測データ表示プログラムおよびそれを記録したコンピュータ読み取り可能な記録媒体
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
CN1937628B (zh) * 2005-09-21 2010-04-07 国际商业机器公司 用于管理数据处理目标实体的方法和系统
US8266272B2 (en) * 2005-11-07 2012-09-11 Hewlett-Packard Development Company, L.P. Methods for IT network representation and associated computer program products
US8301767B1 (en) 2005-12-21 2012-10-30 Mcafee, Inc. System, method and computer program product for controlling network communications based on policy compliance
US20080086473A1 (en) * 2006-10-06 2008-04-10 Prodigen, Llc Computerized management of grouping access rights
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US8402529B1 (en) 2007-05-30 2013-03-19 M86 Security, Inc. Preventing propagation of malicious software during execution in a virtual machine
US8176169B2 (en) * 2007-09-07 2012-05-08 Emc Corporation Method for network visualization
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US7792922B2 (en) * 2008-03-05 2010-09-07 Caterpillar Inc. Systems and methods for managing health of a client system
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
US8438270B2 (en) 2010-01-26 2013-05-07 Tenable Network Security, Inc. System and method for correlating network identities and addresses
US8302198B2 (en) 2010-01-28 2012-10-30 Tenable Network Security, Inc. System and method for enabling remote registry service security audits
US8707440B2 (en) * 2010-03-22 2014-04-22 Tenable Network Security, Inc. System and method for passively identifying encrypted and interactive network sessions
US8549650B2 (en) * 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US9916147B2 (en) * 2010-08-17 2018-03-13 International Business Machines Corporation Deployment of a tool for testing migrated applications
KR101190559B1 (ko) 2010-12-24 2012-10-16 한국인터넷진흥원 봇의 행위 모니터링 정보 및 봇넷 정보의 시각화 방법
US9075911B2 (en) 2011-02-09 2015-07-07 General Electric Company System and method for usage pattern analysis and simulation
US9367707B2 (en) 2012-02-23 2016-06-14 Tenable Network Security, Inc. System and method for using file hashes to track data leakage and document propagation in a network
US9165142B1 (en) * 2013-01-30 2015-10-20 Palo Alto Networks, Inc. Malware family identification using profile signatures
US20160127412A1 (en) * 2014-11-05 2016-05-05 Samsung Electronics Co., Ltd. Method and system for detecting execution of a malicious code in a web based operating system
ES2832999T3 (es) * 2015-12-14 2021-06-14 Siemens Ag Sistema y procedimiento para la evaluación pasiva de la seguridad perimetral industrial
US9800607B2 (en) * 2015-12-21 2017-10-24 Bank Of America Corporation System for determining effectiveness and allocation of information security technologies
US11159538B2 (en) 2018-01-31 2021-10-26 Palo Alto Networks, Inc. Context for malware forensics and detection
US10764309B2 (en) 2018-01-31 2020-09-01 Palo Alto Networks, Inc. Context profiling for malware detection
US11956212B2 (en) 2021-03-31 2024-04-09 Palo Alto Networks, Inc. IoT device application workload capture

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5410648A (en) 1991-08-30 1995-04-25 International Business Machines Corporation Debugging system wherein multiple code views are simultaneously managed
US5553235A (en) * 1992-10-23 1996-09-03 International Business Machines Corporation System and method for maintaining performance data in a data processing system
US5555419A (en) * 1993-01-06 1996-09-10 Digital Equipment Corporation Correlation system
US5440723A (en) 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5781778A (en) * 1994-09-29 1998-07-14 International Business Machines Corporation Method and system for debugging parallel and distributed applications
US5537540A (en) 1994-09-30 1996-07-16 Compaq Computer Corporation Transparent, secure computer virus detection method and apparatus
JPH08265367A (ja) * 1995-03-20 1996-10-11 Fujitsu Ltd ネットワーク管理・情報収集方式
US5608854A (en) 1995-04-25 1997-03-04 Motorola, Inc. Method and apparatus for displaying information in a communication system
JPH09171460A (ja) 1995-12-20 1997-06-30 Hitachi Ltd 計算機の診断システム
US5796951A (en) * 1995-12-22 1998-08-18 Intel Corporation System for displaying information relating to a computer network including association devices with tasks performable on those devices
JP3472026B2 (ja) * 1996-03-26 2003-12-02 富士通株式会社 ログ情報採取解析装置
US5923849A (en) * 1996-05-07 1999-07-13 International Network Services Method of auditing communication traffic
US5845081A (en) * 1996-09-03 1998-12-01 Sun Microsystems, Inc. Using objects to discover network information about a remote network having a different network protocol
US5832208A (en) 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5991881A (en) * 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5960170A (en) 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US5958010A (en) 1997-03-20 1999-09-28 Firstsense Software, Inc. Systems and methods for monitoring distributed applications including an interface running in an operating system kernel
US6067106A (en) * 1997-04-16 2000-05-23 Canon Kabushiki Kaisha Scanning optical apparatus
US6043825A (en) * 1997-06-19 2000-03-28 The United States Of America As Represented By The National Security Agency Method of displaying 3D networks in 2D with out false crossings
US6026442A (en) * 1997-11-24 2000-02-15 Cabletron Systems, Inc. Method and apparatus for surveillance in communications networks

Also Published As

Publication number Publication date
BR9912192A (pt) 2001-09-25
AU756407B2 (en) 2003-01-09
AU5117499A (en) 2000-02-14
KR20010079561A (ko) 2001-08-22
CA2338393A1 (en) 2000-02-03
TW476204B (en) 2002-02-11
NO20010339L (no) 2001-03-06
KR100545465B1 (ko) 2006-01-24
EP1097420A1 (en) 2001-05-09
US6269447B1 (en) 2001-07-31
WO2000005651A1 (en) 2000-02-03
NO20010339D0 (no) 2001-01-19
NZ509606A (en) 2003-01-31
JP2002521748A (ja) 2002-07-16

Similar Documents

Publication Publication Date Title
US6269447B1 (en) Information security analysis system
US6253337B1 (en) Information security analysis system
US6549208B2 (en) Information security analysis system
US7047423B1 (en) Information security analysis system
EP1097554B1 (en) Information security analysis system
Goodall et al. Preserving the big picture: Visual network traffic analysis with tnv
US7694115B1 (en) Network-based alert management system
Mansmann et al. Visual support for analyzing network traffic and intrusion detection events using TreeMap and graph representations
CN113259356A (zh) 大数据环境下的威胁情报与终端检测响应方法及系统
Conti et al. Visual exploration of malicious network objects using semantic zoom, interactive encoding and dynamic queries
US8176169B2 (en) Method for network visualization
AU2002311381B2 (en) Information security analysis system
Inoue et al. NetADHICT: A Tool for Understanding Network Traffic.
Kang et al. Network forensic analysis using visualization effect
Burke et al. Tracking botnets on Nation Research and Education Network
Jin Visualization of network traffic to detect malicious network activity
Buck Anomaly Detection in Data Network Traffic with Machine Learning
Gebregiorgis URI's NetFlow Traffic Logs' Behavioral Analysis and Monitoring Visualization Tool
Musa Visualising network security attacks with multiple 3D visualisation and false alert classification
Dias et al. 3D network traffic monitoring based on an automatic attack classifier
Oline Exploring three-dimensional visualization of intrusion detection system alerts and network statistics
Lutters et al. Preserving the Big Picture: Visual Network Traffic Analysis with TNV

Legal Events

Date Code Title Description
FG Grant or registration
GB Transfer or rights