SE524963C2 - Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering - Google Patents

Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering

Info

Publication number
SE524963C2
SE524963C2 SE0202730A SE0202730A SE524963C2 SE 524963 C2 SE524963 C2 SE 524963C2 SE 0202730 A SE0202730 A SE 0202730A SE 0202730 A SE0202730 A SE 0202730A SE 524963 C2 SE524963 C2 SE 524963C2
Authority
SE
Sweden
Prior art keywords
network
mobile device
node
ips
intrusion
Prior art date
Application number
SE0202730A
Other languages
English (en)
Other versions
SE0202730D0 (sv
SE0202730L (sv
Inventor
Richard Paul Tarquini
Richard Louis Schertz
George Simon Gales
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of SE0202730D0 publication Critical patent/SE0202730D0/sv
Publication of SE0202730L publication Critical patent/SE0202730L/sv
Publication of SE524963C2 publication Critical patent/SE524963C2/sv

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

30 35 u I " :'I. 1 : .ung ---1 nu ou o ann; 1 o 1 n o n u u a' ' ' ' ' '° ' "."... .. ..:° - - - u - I »o u . : ,' 0 : u ' ' ' ' w f nu ~ . . n 2 BOUND SIGNATURE OF THE EXPLOIT AND AN OUTBOUND SIGNATURE IN RESPONSE THERETO", 2001, samöverlàten härmed; US-patentansökning, serienummer , med titeln ”NETWORK, METHOD AND COMPUTER READABLE MEDIUM FOR DISTRIBUTED SECURITY UPDATES TO SELECT NODES ON A NETWORK", 2001, samöverläten härmed; US-patentansökning, serie- nummer , med titeln ”METHOD, COMPUTER READABLE MEDIUM, AND NODE FOR A THREE-LAYERED INTRUSION PREVENTION SYSTEM FOR DETECTING NETWORK EXPLOITS”, oktober, 2001, samöverlàten härmed; US-patentansökning, serienummer , ”SYSTEM AND METHOD OF AN OS-INTEGRATED INTRUSION DETECTION AND ANTI-VIRUS SYSTEM", 2001, med; US-patentansökning, serienummer , titeln ”METHOD, NODE AND COMPUTER READABLE MEDIUM FOR IDENTIFYING DATA IN A NETWORK EXPLOIT", oktober, 2001, samöverlàten härmed; US-patentansökning, serienummer , med titeln "NODE, METHOD AND COMPUTER READABLE MEDIUM FOR OPTIMIZING PERFORMANCE OF SIGNATURE RULE MATCHING IN A NETWORK", oktober, 2001, samöverláten härmed; US-patentansökning, serienummer , med titeln ”METHOD, NODE AND COMPUTER READABLE MEDIUM FOR PERFORMING MULTIPLE SIGNA- TURE MATCHING IN AN INTRUSION PREVENTION SYSTEM", nad den 31 oktober, 2001, samöverlàten härmed; US-patent- ansökning, med titeln ”USER INTERFACE FOR PRESENTING DATA FOR AN INTRUSION PROTECTION SYSTEM", 2001, med; US-patentansökning, serienummer , titeln ”METHOD AND COMPUTER-READABLE MEDIUM FOR INTEGRA- TING A DECODE ENGINE WITH AN INTRUSION DETECTION SYSTEM", 200l, serienummer , inlämnad den 31 oktober, inlämnad den 31 oktober, inlämnad den 31 med titeln inlämnad den 31 oktober, samöverlàten här- med inlämnad den 31 inlämnad den 31 inläm- serienummer , samöverläten här- inlämnad den 31 oktober, med inlämnad den 31 oktober, samöverlàten härmed; US- patentansökning, med titeln ”SYSTEM AND METHOD OF GRAPHICALLY DISPLAYING DATA FOR AN INTRUSION PROTECTION SYSTEM", 2001, samöverlàten härmed; och US-patentansökning, serie- inlämnad den 31 oktober, a»un~u a po-.- lO 15 20 25 30 35 u vu -1 01' 524 963 --.-» I -n.- n on, ac.- . - 3 nummer , med titeln ”SYSTEM AND METHOD OF GRAPHICALLY CORRELATING DATA FOR AN INTRUSION PROTECTION SYSTEM", 2001, med. inlämnad den 31 oktober, samöverlàten här- Uppfinningens bakgrund (”network-exploit (DoS- blir avan- Nätverksutnyttjandeattackverktyg attack tools”), sàsom blockeringsattackhjälpmedel attackhjälpmedel) cerade i allt högre grad och, p g a utvecklingstekniker, (DoS - ”denial-of-service”), enkla att exekvera. Relativt enkla attackerare kan anord- na, eller vara involverade i, datorsystemsäkerhetsattack- er (”computer system compromises”) som är riktade mot en eller flera màlutsedda resurser. En nätverkssystemattack (häri också benämnd ett intrång) är en obehörig eller maliciös användning av en dator eller ett datornätverk och kan involvera hundratals eller tusentals oskyddade, eller alternativt säkerhetsäventyrade (”compromised”), Internetnoder tillsammans i en koordinerad attack mot ett eller flera valda màl.
Nätverksattackverktyg som är baserade pà klient-/servermodellen har blivit en föredragen mekanism för att exekvera nätverksattacker mot màlutsedda nätverk eller anordningar. Högkapacitetsmaskiner i nätverk som har bristande säkerhet är ofta önskvärda för attackerare för att starta distribuerade attacker därifrån. Universi- tetsservrar uppvisar typiskt hög anslutningsbarhet och kapacitet men relativt medioker säkerhet. Sådana nätverk har också ofta oerfarna eller utarbetade nätverksadmini- stratörer som gör dem ännu mer sårbara för inblandning i nätverksattacker.
Nätverksutnyttjandeattackverktyg, innefattande fientliga attacktillämpningar sàsom blockeringshjälp- medel, som svarar för överföring av data över ett nät- verksmedium kommer ofta att ha en utmärkande ”signatur” eller ett igenkännligt mönster i nämnda överförda data.
Signaturen kan innefatta en igenkännlig sekvens av sär- skilda datapaket och/eller igenkännliga data som innefat- ooøßøv -uu-nu lO 15 20 25 30 35 524 963 4 tas i ett eller flera datapaket. Signaturanalys utförs ofta med hjälp av ett nätverksintràngsförhindrande system (IPS - ”intrusion prevention system”) och kan implemen- teras som en mönstermatchningsalgoritm och kan innefatta andra signaturigenkänningsmöjligheter såväl som tillämp- ningsövervakningshjälpmedel på högre nivà. En enkel sig- naturanalysalgoritm kan söka efter en särskild sträng som har identifierats som associerad med en fientlig tillämp- ning. När strängen identifieras i en nätverksdataström kan det eller de datapaket som innehåller strängen iden- tifieras som ”fientligt/fientliga”, eller utnyttjande, och nämnda IPS kan då utföra nägon eller nägra av ett antal åtgärder, sàsom loggning av ramens identifiering, utförande av en motàtgärd, eller utförande av en annan dataarkiverings- eller dataskyddsàtgärd.
Intràngsförhindrande system (IPS) omfattar teknik som försöker identifiera utnyttjanden av ett datorsystem eller ett nätverk av datorsystem. Många typer av IPS exi- sterar och vart och ett klassificeras i allmänhet som an- tingen ett nätverksbaserat, värdbaserat eller nodbaserat IPS.
Anordningar för ett nätverksbaserat IPS (”network- based IPS appliances”) är typiskt dedicerade system som är placerade pà strategiska ställen i ett nätverk för att undersöka datapaket för att bestämma om de stämmer över- ens med kända attacksignaturer. För att jämföra datapaket med kända attacksignaturer utnyttjar anordningar för ett nätverksbaserat IPS en mekanism som benämns passiv proto- all trafik pà ett nätverk och för att detektera làgnivàhänd- kollanalys för att obemärkt övervaka, eller ”sniffa”, elser som kan utskiljas fràn rä nätverkstrafik. Nätverks- utnyttjanden kan detekteras genom identifiering av mön- ster eller andra observerbara egenskaper hos nätverks- ramar. Anordningar för ett nätverksbaserat IPS undersöker innehållet i datapaket genom parsning av nätverksramar och datapaket och analys av individuella datapaket base- rat pà protokollen som används i nätverket. En anordning 10 15 20 25 30 35 v - n . | - . . » .1 för ett nätverksbaserat IPS övervakar obemärkt nätverks- trafik, d v s, andra nätverksnoder kan vara, och är ofta, omedvetna om närvaron av nämnda anordning för ett nät- verksbaserat IPS. Passiv övervakning utförs normalt med hjälp av en anordning för ett nätverksbaserat IPS genom implementering av en ”promiscuous mode”-åtkomst för en nätverksgränssnittsanordning. En nätverksgränssnitts- anordning som arbetar i ”promiscuous mode” kopierar data- paket direkt från nätverksmediet, såsom en koaxialkabel, lOObaseT eller annat transmissionsmedium, oberoende av destinationsnoden till vilken datapaketet är adresserat.
Därför finns det inget enkelt förfarande för att överföra data över nätverkstransmissionsmediet utan att nämnda anordning för ett nätverksbaserat IPS undersöker de, och kan således nämnda anordning för ett nätverksbaserat IPS fånga och analysera all nätverkstrafik för vilken den exponeras. Vid identifiering av ett suspekt datapaket, d v s ett datapaket som har attribut svarande mot en känd attacksignatur som övervakas för förekomst med hjälp av nämnda anordning för ett nätverksbaserat IPS, kan en larmsignal genereras därigenom och överföras till en styrmodul för nämnda IPS så att en nätverksexpert kan implementera säkerhetsåtgärder. Anordningar för ett nät- verksbaserat IPS har den ytterligare fördelen att de arbetar i realtid och således kan detektera en attack när den inträffar. En anordning för ett nätverksbaserat IPS är dessutom idealisk för implementering av en tillstånds- baserad IPS-säkerhetsåtgärd som erfordrar ackumulering och lagring av identifierade suspekta datapaket för attacker som inte kan identifieras ”atomiskt”, d v s genom ett enda nätverksdatapaket. Till exempel är TCP- synkroniseringsflödesattacker (TCP-SYN-flödesattacker) (TCP - ”transmission control protocol”, SYN - ”synchroni- zation”) inte identifierbara genom ett enda TCP-SYN-data- paket utan identifieras vanligen snarare genom att acku- mulera en räkning av TCP-SYN-datapaket som överstiger en fördefinierad tröskel över en definierad tidsperiod. En 10 15 20 25 30 35 524 963 - . - v a u - . . ., 6 anordning för ett nätverksbaserat IPS är därför en idealisk plattform för implementering av tillstàndsbaser- ad signaturdetektering eftersom nämnda anordning för ett nätverksbaserat IPS kan samla alla sådana TCP-SYN-data- paket som passerar över det lokala nätverksmediet och således ordentligt kan arkivera och analysera frekvensen av sådana händelser.
Anordningar för ett nätverksbaserat IPS kan emeller- tid ofta generera ett stort antal "falska positiver", d v s felaktiga diagnoser på en attack. Diagnoser av falska positiver med hjälp av anordningar för ett nät- verksbaserat IPS uppkommer, delvis, p g a fel som gene- reras under passiv analys av all den nätverkstrafik som fångas av nämnda IPS som kan krypteras och formateras i något antal nätverksstödda protokoll. Innehållsscanning med hjälp av ett nätverksbaserat IPS är inte möjligt på en krypterad länk även om signaturanalys baserat på protokollhuvuden kan utföras oberoende av om länken är krypterad eller inte. Anordningar för ett nätverksbaserat IPS är dessutom ofta ineffektiva i höghastighetsnätverk.
När höghastighetsnätverk blir mer vardagliga kommer mjuk- varubaserade anordningar för ett nätverksbaserat IPS som försöker sniffa alla datapaket på en länk att bli mindre tillförlitliga. Mest kritiskt är att anordningar för ett nätverksbaserat IPS inte kan förhindra attacker om de inte är integrerade med, och hanteras i samverkan med, ett brandväggsskyddssystem.
Värdbaserade IPS detekterar intrång genom att över- vaka tillämpningsskiktdata. Värdbaserade IPS använder in- telligenta agenter för att kontinuerligt granska dator- revisionsloggningar för suspekt aktivitet och jämföra varje ändring i loggningarna med ett bibliotek med attacksignaturer eller användarprofiler. Värdbaserade IPS kan också avfråga nyckelsystemfiler och exekverbara filer om oväntade ändringar. Värdbaserade IPS benämns som så- dana eftersom IPS-hjälpmedlen tillhör det system som de är tilldelade att skydda. Värdbaserade IPS använder 10 15 20 25 30 35 - : u u u. 524 965 I I I . n. u 1 ~ | | | I | - | »- 7 typiskt tillåmpningsnivåövervakande tekniker vilka under- söker tillämpningsloggningar som underhålls med hjälp av olika tillämpningar. Ett värdbaserat IPS kan t ex över- vaka en databasmotor som loggar misslyckade åtkomstförsök till, och/eller modifieringar av, systemkonfigurationer.
Larmsignaler kan tillhandahållas åt en styrnod vid iden- tifiering av händelser lästa från databasloggningen som har identifierats som suspekta. Värdbaserade IPS generer- ar i allmänhet mycket få falska positiver. Värdbaserade IPS, såsom loggbevakare, är emellertid vanligen begrän- sade till identifiering av intrång som redan har ägt rum och är också begränsade till händelser som äger rum på den enskilda värden. Eftersom loggbevakare förlitar sig på övervakning av tillämpningsloggningar kommer all skada som resulterar från den loggade attacken vanligen ha ägt rum vid den tidpunkt då attacken har identifierats med hjälp av nämnda IPS. Några värdbaserade IPS kan utföra intràngsförhindrande funktioner såsom ”haknings”- eller ”uppfångnings”-operativsystemtillämpningsprogramgräns- snitt för att underlätta exekvering av förhindrande ope- rationer med hjälp av ett IPS baserat på tillämpnings- skiktsaktivitet som förefaller vara intràngsrelaterad.
Eftersom ett intrång som detekteras på detta sätt redan har kringgàtt alla IPS på lägre nivå, representerar ett värdbaserat IPS ett sista skikt av försvar mot nätverks- utnyttjanden. Värdbaserade system är emellertid till liten användning för detektering av lågnivànätverkshän- delser, såsom protokollhändelser.
Nodbaserade IPS tillämpar intrångsdetekteringen och/eller den förhindrande tekniken på det system som skyddas. Ett exempel på tekniker för ett nodbaserat IPS är ”inline” intrångsdetektering. Ett nodbaserat IPS kan implementeras vid varje nod för det nätverk som önskas skyddas. ”Inline” IPS innefattar intràngsdetekteringstek- niker som är inbäddade i protokollstacken för den skyd- dade nätverksnoden. Eftersom nämnda ”inline” IPS är in- bäddat i protokollstacken kommer både ingående och ut- lO l5 20 25 30 35 524 963 . - ø . - . v - | . .. 8 gående data att passera igenom och utsättas för övervak- ning av nämnda ”inline” IPS. Ett ”inline” IPS övervinner många av de inneboende svagheterna hos nätverksbaserade lösningar. Nätverksbaserade lösningar är, som nämns här ovan, i allmänhet ineffektiva vid övervakning av hög- hastighetsnätverk p g a det faktum att nätverksbaserade lösningar försöker övervaka all nätverkstrafik pà en giv- en länk. ”Inline” intrångsförhindrande system övervakar emellertid endast trafik som är riktad mot den nod på vilken nämnda ”inline” IPS är installerat. Attackdata- paket kan därför inte fysiskt kringgå ett ”inline” IPS pà en màlutsedd maskin eftersom datapaketet mäste passera genom protokollstacken för den målutsedda anordningen.
Alla kringgåenden av ett ”inline” IPS av ett attackdata- paket màste göras helt och hållet genom att ”logiskt” kringgå nämnda IPS, d v s ett attackdatapaket som undgàr ett ”inline” IPS måste göra så på ett sätt som får nämnda IPS att misslyckas med att identifiera, eller attackdatapaketet. ”inline” att felaktigt identifiera, ”Inline” IPS förser dessutom värdnoden med làgnivåövervaknings- och detekteringsmöjligheter som liknar de för ett nät- verks-IPS och kan tillhandahålla protokollanalys och signaturmatchning och annan làgnivàövervakning eller filtrering av värdtrafik. Den mest signifikanta fördelen IPS är att Medan värdbaserade som erbjuds genom tekniker för ”inline” attacker detekteras när de inträffar.
IPS fastställer attacker genom att övervaka systemlogg- ningar involverar ”inline” intràngsdetektering övervak- ning av nätverkstrafik och isolering av de datapaket som attack mot värdservern, var- IPS att att lyckas. När ett data- fastställs vara en del av en vid det således blir möjligt för nämnda ”inline” verkligen förhindra attacken paket fastställs vara en del av en attack kan skiktet för IPS förkasta paketet således förhindras att nå det övre skiktet av nämnda ”inline” datapaketet, varvid data- protokollstacken där skada kan förorsakas av attackdata- paketet - en effekt som väsentligen skapar en lokal 10 15 20 25 30 35 uuu nu brandvägg för den server som är värd för nämnda ”inline” IPS och skyddar det från hot som kommer antingen från ett eller inifrån nätverket. externt nätverk, såsom Internet, Skiktet för nämnda ”inline” IPS kan vidare vara inbäddat i protokollstacken vid ett skikt där datapaket har de- krypterats så att nämnda ”inline” IPS är verksamt och IPS kan dessutom övervaka avgående trafik eftersom både ingå- arbetar i ett nätverk med krypterade länkar. ”Inline” ende och utgående trafik ämnad för, respektive här- stammande från, en server som är värd för nämnda ”inline” IPS måste passera genom protokollstacken. Även om fördelarna med tekniker för ”inline” IPS är många föreligger det nackdelar med att implementera ett sådant system. ”Inline” intrångsdetektering är vanligen processorintensiv och kan negativt påverka nodens pre- standa att vara värd för detekteringshjälpmedlet. ”In- line” IPS kan dessutom generera många attackdiagnoser av IPS kan vidare inte detektera falska positiver. ”Inline” systematisk sondering av ett nätverk, sådan som utförs med hjälp av rekognosceringsattackhjälpmedel, eftersom endast trafik vid den lokala servern som är värd för nämnda ”inline” IPS övervakas därigenom.
Var och en av teknikerna för ett nätverksbaserat, ett värdbaserat och ett ”inline”-baserat IPS har res- pektive fördelar som beskrivs ovan. Idealiskt kommer ett intrångsförhindrande system att omfatta alla de förut- nämnda intrångsdetekteringsstrategierna_ Ett IPS kan dessutom innefatta en eller flera händelsegenererings- mekanismer som rapporterar identifierbara händelser till en eller flera styrresurser. En händelse kan innefatta en identifierbar följd av system- eller nätverkstillstånd eller kan den innefatta ett enda identifierat tillstånd.
Ett IPS kan också innefatta en analysmekanism eller ana- lysmodul och kan analysera händelser som genereras med hjälp av de en eller flera händelsegenereringsmekanism- erna. En lagringsmodul kan vara innefattad i ett IPS för lagring av data som är associerade med intrångsrelaterade 10 15 20 25 30 35 » n n v .u oc' un 10 händelser. En motåtgärdsmekanism kan också vara innefatt- ad i nämnda IPS för exekvering av en åtgärd som är avsedd att hindra, eller motverka, ett detekterat utnyttjande.
En särskild arena som har försummats vid implemente- ring av säkerhetssystem däri är mobildatabehandlingsaren- an. Även om mobiltelekommunikationssystem i allmänhet är privatägda har privatägda arkitekturer tidigare blivit säkerhetsäventyrade och utnyttjade. Flera operativsystem för mobila anordningar är vidare offentligt dokumentera- de, (TM) Pa1mOS (TM). Det är således en enkel sak för tillämpning- ar av typen trojansk häst att skrivas för dessa platt- såsom Microsofts Windows CE och Palm Computings formar. Många befintliga tillämpningar har portats till Microsofts Windows CE som innehåller sårbara delar.
När en tillämpning av typen trojansk häst har in- stallerats på en mobil anordning är det en enkel sak att kopiera eller förvanska data i anordningen, använda den mobila anordningen för att starta attacker mot andra sy- stem, eller använda anordningen i andra maliciösa former.
Givet ökningen i datoreffekt för mobila databehandlings- anordningar och fortsatt utbredning av kommersiellt till- gänglig bandbredd för trådlösa anordningar är det sanno- likt att nätverksbaserade attacker som har mobila anord- ningar som mål och/eller innefattar mobila anordningar kommer att bli mer vanliga.
Sammanfattning av uppfinningen I enlighet med en utföringsform av föreliggande upp- finning tillhandahålls en mobil anordning vilken är man- övrerbar i ett mobiltelekommunikationsnätverk innefattan- de en minnesmodul för lagring av data i maskinläsbart format för hämtning och exekvering med hjälp av en cen- tralenhet och ett operativsystem som kan fås att exekvera en intrångsdetekteringstillämpning som är lagrad i minnesmodulen.
I enlighet med en annan utföringsform av föreliggan- de uppfinning tillhandahålls en nod för ett nätverk för styrning av ett intrångsdetekteringssystem innefattande l0 15 20 25 30 35 a ~ v v ,, 524 96: rezwfë a » o ø nu ll en centralenhet, en minnesmodul för lagring av data i maskinläsbart format för hämtning och exekvering med hjälp av centralenheten, och ett operativsystem innefat- tande en nätverksstack som innefattar ett protokollstyr- program och ett medieàtkomststyrprogram och som kan fås att exekvera en intrångsskyddssystemstyrtillämpning, var- vid styrtillämpningen kan fås att ta emot en textfilin- matning som definierar en regel för nätverksutnyttjande och omvandla textfilinmatningen till en signaturfil inne- fattande maskinläsbar logik som representerar en ut- nyttjandesignatur, varvid noden kan fås att överföra sig- naturfilen till en mobil anordning via en radiofrekvens- länk.
Kort beskrivning av ritningarna För en mer fullständig förståelse av föreliggande uppfinning och ändamàlen samt fördelarna därmed görs nu en hänvisning till den följande beskrivningen tillsammans med de bifogade ritningarna i vilka: Fig l åskådliggör en typisk uppställning för att exekvera en datorsystemsäkerhetsattack i enlighet med den kända tekniken; Fig 2 åskådliggör ett övergripande intràngsförhind- rande system som använder nätverksbaserade och en hybrid mellan värdbaserade och nodbaserade intrångsdetekterings- tekniker i enlighet med en utföringsform av uppfinningen; Fig 3 är en typisk nätverksprotokollstack i enlighet med den kända tekniken; Fig 4 åskådliggör en nätverksnod som kan köra en instans av en tillämpning för ett intràngsskyddssystem i enlighet med en utföringsform av föreliggande uppfinning; Fig 5 åskådliggör en typisk nätverksnod som kan fun- gera som en styrnod i ett nätverk som skyddas av in- trångsskyddssystemet i enlighet med en utföringsform av föreliggande uppfinning; och Fig 6 är en skiss över ett mobiltelekommunikations- system i vilket en mobil anordning i enlighet med en utföringsform av föreliggande uppfinning kan betjänas. lO 15 20 25 30 35 nu» 12 Detaljerad beskrivning av ritningarna De föredragna utföringsformerna av föreliggande upp- finning och dess fördelar inses bäst genom hänvisning till fig 1-6 pà ritningarna, varvid lika hänvisningsbe- teckningar används för lika och motsvarande delar pà de olika ritningarna.
I fig 1 àskàdliggörs en typisk uppställning för att exekvera en datorsystemsäkerhetsattack - varvid det àskàdliggjorda exemplet visar en förenklad uppställning för ett distribuerat intràngsnätverk 40 vilken är typisk för distribuerade systemattacker som är riktade mot en màlmaskin 30. En attackmaskin 10 kan rikta exekvering av en distribuerad attack genom något antal attackagenter 20A-20N med en av många tekniker, sàsom fjärrstyrning med hjälp av IRC-”robot”-tillämpningar. Attackagenterna 20A-20N, också benämnda ”zombies” och ”attackagenter”, är i allmänhet datorer som är tillgängliga för allmän an- vändning eller som har säkerhetsàventyrats så att en dis- tribuerad attack kan startas pà kommando av en attack- maskin 10. Många typer av distribuerade attacker kan startas mot en màlmaskin 30. Màlmaskinen 30 kan få om- fattande skador av samtidig attack av attackagenterna 20A-20N, och attackagenterna 20A-20N kan likaså skadas av klientattacktillämpningen. Ett distribuerat intràngsnät- verk kan innefatta ytterligare ett skikt av maskiner som är involverade i en attack och som ligger mellan attack- maskinen 10 och attackagenterna 20A-2ON. Dessa mellan- liggande maskiner benämns vanligen ”hanterare” och varje hanterare kan styra en eller flera attackagenter 20A-2ON.
Den uppställning som visas för att exekvera en dator- systemsäkerhetsattack tjänar bara som illustration och kan innefatta många uppställningar som är så enkla som en enda attackmaskin 10 som attackerar en mälmaskin 30 genom att t ex skicka maliciösa sonderingsdatapaket eller andra data som är avsedda att säkerhetsäventyra màlmaskinen 30.
V ansluten till ett Màlmaskinen kan vara, och är ofta, större nätverk, och åtkomst därtill av attackmaskinen 10 l0 15 20 25 30 35 13 kan orsaka skada på en stor samling datorsystem som gemensamt är lokaliserade inom nätverket.
I fig 2 áskàdliggörs ett övergripande intràngsför- hindrande system som använder nätverksbaserade och en hybrid mellan värdbaserade/nodbaserade intràngsdetekte- ringstekniker i enlighet med en utföringsform av upp- finningen. Ett eller flera nätverk 100 kan samverka med Internet 50 via en router 45 eller annan anordning. I det illustrativa exemplet innefattas tvà Ethernet-nätverk 55 och 56 i nätverket 100. Ethernet-nätverket 55 innefattar en webbinnehàllsserver 27OA och en filtransportprotokoll- innehàllsserver 270B. Ethernet-nätverket 56 innefattar en domännamnsserver 270C, en mailserver 270D, en databasser- ver 270E och en filserver 270F. En brandväggs-/proxy- router 60, vilken är anordnad mellan nämnda Ethernet 55 och 56, tillhandahåller säkerhets- och adressupplösning àt de olika systemen i nätverket 56. En respektive anord- ning 80 och 81 för ett nätverksbaserat IPS är implemen- terad pà bàda sidor av brandväggs-/proxyroutern 60 för att underlätta övervakning av försök till attacker mot ett eller flera element av nämnda Ethernet 55 och 56 och för att underlätta registrering av lyckade attacker som framgångsrikt penetrerar brandväggs-/proxyroutern 60. I Nämnda anordningar 80 och 81 för ett nätverksbaserat IPS kan var för sig innefatta (eller alternativt vara anslut- na till) en databas 80A och 81A med kända attacksignatur- er, eller regler, mot vilka nätverksramar som därvid fångas kan jämföras. Alternativt kan en enda databas (visas inte) vara centralt placerad i nätverket 100 och kan anropas genom nämnda anordningar 80 och 81 för ett nätverksbaserat IPS. I enlighet därmed kan nämnda anord- ning 80 för ett nätverksbaserat IPS övervaka alla ingå- ende datapaket från Internet 50 till nätverket 100 som kommer fram till nämnda Ethernet-nätverk 55. Pà liknande sätt kan nämnda anordning 81 för ett nätverksbaserat IPS övervaka och jämföra alla datapaket som förmedlas genom brandväggs-/proxyroutern 60 för leverans till nämnda 10 l5 20 25 30 35 14 Ethernet-nätverk 56. En IPS-styrnod 85 kan också vara en del av nätverket 100 för att underlätta konfiguration och styrning av IPS-komponenterna i nätverket 100.
På grund av de ovan noterade bristerna hos nätverks- baserade intrångsförhindrande system implementeras före- trädesvis en hybrid mellan ett värdbaserat och ett nodba- av de också be- och 56 i emot larm- vid detek- serat intrångsförhindrande system i var och en olika noderna, såsom servrarna 27OA-270N (häri nämnda ”noder”) för nämnda Ethernet-nätverk 55 det säkrade nätverket 100. Styrnoden 85 kan ta signaler från respektive noder i nätverket 100 tering av en intrångshändelse med hjälp av någon av nämnda anordningar 80 och 81 för ett nätverksbaserat IPS såväl som någon av noderna för nätverket 100 som har en hybrid mellan ett agentbaserat och ett nodbaserat IPS implementerad därpå. Varje nod 270A-270F kan dessutom var för sig använda ett lokalt filsystem för att arkivera intràngsrelaterade händelser, generera intràngsrelaterade rapporter, och lagra signaturfiler mot vilka lokala nät- verksramar och/eller datapaket undersöks.
Nämnda anordningar 80 och 81 för ett nätverksbaserat IPS är företrädesvis dedicerade enheter för att övervaka nätverkstrafik på nämnda associerade Ethernet 55 och 56 för nätverket 100. För att underlätta intrångsdetektering i höghastighetsnätverk innefattar nämnda anordningar 80 och 81 för ett nätverksbaserat IPS företrädesvis ett stort fångst-RAM för att fånga datapaket när de kommer fram på nämnda respektive Ethernet-nätverk 55 och 56. Det är dessutom föredraget att nämnda anordningar 80 respek- tive 81 för ett nätverksbaserat IPS innefattar hårdvaru- baserade filter för att filtrera nätverkstrafik, även om IPS-filtrering med hjälp av nämnda anordningar 80 och 81 för ett nätverksbaserat IPS kan implementeras i mjukvara.
Nämnda anordningar 80 och 81 för ett nätverksbaserat IPS kan vidare vara konfigurerade, t ex på begäran av IPS- styrnoden 85, att övervaka en eller flera specifika anordningar snarare än alla anordningar på ett gemensamt 10 15 20 25 30 35 U III In 4....- . ~v"' . . ...- .. n nu n u . . , v - 524 963 Q q u wo-u . n ~ou.o. a ' w - n . oo ou 15 nätverk. Nämnda anordning 80 för ett nätverksbaserat IPS kan t ex vara anvisad att övervaka endast nätverksdata- trafik som är adresserad till webbservern 27OA.
En hybrid mellan tekniker för ett värdbaserat/ett nodbaserat intrångsförhindrande system kan implementeras pà alla noderna 27OA-27ON pà nämnda Ethernet-nätverk 55 och 56 som kan vara mälutsedda för en nätverksattack. I allmänhet innefattar varje nod en omprogrammerbar dator som har en centralenhet (CPU - ”central processing unit”), en minnesmodul vilken kan fås att lagra maskin- läsbar kod som kan hämtas och exekveras med hjälp av nämnda CPU, och kan vidare innefattande olika kring- såsom en visningsmonitor, ett tangentbord, Ett utrustningar, en mus eller en annan anordning, anslutna därtill. lagringsmedium, såsom en magnetisk skiva, en optisk skiva eller en annan komponent som kan fås att lagra data, kan vara kopplat till minnesmodulen och åtkomligt därigenom och kan tillhandahålla en eller flera databaser för att arkivera lokala intràngshändelser och intràngshändelse- rapporter. Ett operativsystem kan laddas i minnesmodulen, t ex vid autostart av den respektive noden, och innefatt- ar en instans av en protokollstack såväl som olika låg- nivàmjukvarumoduler som erfordras för uppgifter såsom samverkan med kringutrustningshårdvara, planering av upp- gifter, allokering av lagringsutrymme såväl som andra systemuppgifter. Varje nod som skyddas av hybriden mellan ett värdbaserat och ett nodbaserat IPS enligt föreliggan- de uppfinning har i enlighet därmed en IPS-mjukvaru- tillämpning som underhålls i noden, såsom på en magnetisk hårddisk, och exekveras med hjälp av centralenheten. Varje nod som som kan hämtas med hjälp av operativsystemet exekverar en instans av IPS-tillämpningen har dessutom en lokal databas från vilken signaturbeskrivningar för doku- menterade attacker kan hämtas från lagringsutrymmet och jämföras med ett datapaket eller en dataram för att detektera en överensstämmelse däremellan. Detektering av en överensstämmelse mellan ett datapaket eller en ram vid nosa.. . lO 15 20 25 30 35 l6 en IDS-server kan resultera i exekvering av en eller flera av olika säkerhetsprocedurer.
Nämnda IPS som beskrivs med hänvisning till fig 2 kan implementeras på vilket antal plattformar som helst.
Varje hybrid mellan en värdbaserad/en nodbaserad instans av IPS-tillämpningen som beskrivs häri implementeras företrädesvis pà en nätverksnod, såsom webbservern 27OA vilken manövreras under styrning av ett operativsystem, såsom Windows NT 4.0 som är lagrat i ett huvudminne och kör på en centralenhet, och försöker detektera attacker som är riktade mot värdnoden. Det särskilda nätverket 100 som àskàdliggörs i fig 2 är endast ett exempel och kan innefatta vilket antal nätverksservrar som helst. Gemen- samma nätverk, och andra storskalenätverk, kan typiskt innefatta många individuella system som tillhandahåller lika tjänster. Ett gemensamt nätverk kan t ex innefatta hundratals individuella webbservrar, mailservrar, FTP- servrar och andra system som tillhandahåller gemensamma datatjänster.
Varje operativsystem för en nod som omfattar en in- stans av en IPS-tillämpning innefattar dessutom en nät- verksprotokollstack 90, såsom àskàdliggörs i fig 3, vilken definierar ingångspunkten för ramar som tas emot av en màlutsedd nod från nätverket, t ex Internet eller ett intranät. Nätverksstacken 90 som àskàdliggörs repre- senterar den välkända systemnätverksprotokollstacken för Windows NT (TM) och är så vald för att underlätta dis- kussion och förståelse av uppfinningen. Det skall emellertid inses att uppfinningen inte är begränsad till en specifik implementering av den åskådliggjorda nät- verksstacken 90, varvid stacken 90 snarare beskrivs för att underlätta förståelse av uppfinningen. Nätverksstack- en 90 innefattar ett transportstyrprogramgränssnitt (TDI - ”transport driver interface”) 125, ett transportstyr- program 130, ett protokollstyrprogram 135 och ett medie- åtkomststyrprogram (MAC-program) (MAC - ”media access control”) 145 som samverkar med det fysiska mediet 101. - .-«- 10 15 20 25 30 35 963 17 Transportstyrprogramgränssnittet 125 verkar för att få transportstyrprogrammet 130 att samverka med filsystem- styrprogram på högre nivå. I enlighet därmed möjliggör nämnda TDI 125 för operativsystemsstyrprogram, såsom nätverksomdirigeringsenheter, att aktivera en session, eller förbindas, med det lämpliga protokollstyrprogrammet 135. I enlighet därmed kan en omdirigeringsenhet anropa t ex UDP, TCP, NetBEUI eller annat nätverks- eller transportskiktsprotokoll, varvid det lämpliga protokollet, omdirigeringsenheten därigenom görs protokolloberoende.
Protokollstyrprogrammet 135 skapar datapaket som skickas från den dator som är värd för nätverksprotokollstacken 90 till en annan dator eller anordning på nätverket eller ett annat nätverk via det fysiska mediet 101. Typiska protokoll som stöds av en NT-nätverksprotokollstack inne- fattar NetBEUI, TCP/IP, NWLink, Data Link Control (DLC) och AppleTalk, även om andra transport- och/eller nät- verksprotokoll kan innefattas. Mac-programmet 145, t ex ett Ethernet-styrprogram, ett Token Ring-styrprogram eller annat nätverksstyrprogram, tillhandahåller lämplig formatering och samverkan med det fysiska mediet 101, såsom i en koaxialkabel eller ett annat transmissions- medium.
Möjligheterna hos nämnda värdbaserade IPS innefattar tillämpningsövervakning av: filsystemhändelser; register- åtkomst; lyckade säkerhetshändelser; misslyckade säker- hetshändelser och övervakning av suspekta processer.
Nätverksåtkomsttillämpningar, såsom Microsoft IIS och SQL-server, kan också ha processer relaterade därtill övervakade.
Intrång kan förhindras på en särskild IPS-värd genom implementering av tekniker för ”inline” nodbaserad över- vakning i enlighet med en utföringsform av föreliggande uppfinning. Nämnda ”inline”-IPS innefattas företrädesvis som en del av en hybrid mellan ett värdbaserat/ett nod- baserat IPS även om det kan vara implementerat oberoende av något värdbaserat IPS-system. Nämnda ”inline”-IPS 10 15 20 25 30 35 524 963 18 kommer att analysera datapaket som tas emot vid värdnoden och utföra signaturanalys därav mot en databas med kända signaturer med hjälp av nätverksskiktsfiltrering.
I fig 4 åskådliggörs en nätverksnod 270 som kan köra en instans av en IPS-tillämpning 91 och således fungera som en IPS-server. IPS-tillämpningen 91 kan implementeras som ett treskiktat IPS som beskrivs i den samtidigt löp- ande ansökningen som har titeln ”Method, Computer Read- able Medium, and Node for a Three-Layered Intrusion Pre- vention System for Detecting Network Exploits” och är in- lämnad samtidigt härmed, och kan innefatta en server- tillämpning och/eller en klienttillämpning. Nätverksnoden (CPU - ”central processing unit”) 272 och en minnesmodul 274 som 270 innefattar i allmänhet en centralenhet kan fås att lagra maskinläsbar kod som kan hämtas och exekveras med hjälp av nämnda CPU 272 via en buss (visas inte). Ett lagringsmedium 276, såsom en magnetisk skiva, en optisk skiva eller en annan komponent som kan fås att lagra data, kan vara ansluten till minnesmodulen 274 och likaså genom bussen vara åtkomlig därigenom. Ett opera- tivsystem 275 kan laddas i minnesmodulen 274, t ex vid autostart av noden 270, och innefattar en instans av protokollstacken 90 och kan ha en tillämpning 91 för ett intrångsförhindrande system laddad fràn lagringsmediet 276. En eller flera regler för nätverksutnyttjande, var- vid en typisk form beskrivs i den samtidigt löpande an- sökningen som har titeln ”Method, Node and Computer Read- able Medium for Identifying Data in a Network Exploit” och är inlämnad samtidigt härmed, kan kompileras till en maskinläsbar signatur(er) och lagras i en databas 277 som kan laddas i minnesmodulen 274 och kan hämtas med hjälp av en modul i IPS-tillämpningen 91, t ex en associativ processmotor för en ”inline” intrångsdetekteringsmodul i IPS-tillämpningen 91, för att underlätta analys av nät- verksramar och/eller nätverksdatapaket. En typisk upp- ställning för en ”inline” intrångsdetekteringstillämpning som kan innefatta en associativ processmotor och ett 10 15 20 25 30 35 a .nu ... . .. H . :t :a _ z z _. . -. . u .. .I of fl-U. .. . . n!! .'. I '. :': ,|, : z z I: o no u u n 1 u u - g .
J \ .. .. . . - . . . . . . .. - .- 524 19 inmatnings-/utmatningsstyrskikt som kan vara innefattat i IPS-tillämpningen 91 beskrivs i den samtidigt löpande ansökningen som har titeln ”Method, Node and Computer Readable Medium for Inline Intrusion Detection on a Network Stack” och är inlämnad samtidigt härmed.
I fig 5 åskådliggörs en typisk nätverksnod som kan fungera som en styrnod 85 för nämnda IPS för ett nätverk 100. Styrnoden 85 innefattar i allmänhet en CPU 272 och en minnesmodul 274 som kan fås att lagra maskinläsbar kod som kan hämtas och exekveras med hjälp av nämnda CPU 272 via en buss (visas inte). Ett lagringsmedium 276, såsom en magnetisk skiva, en optisk skiva eller en annan kom- ponent som kan fås att lagra data, kan vara ansluten till en minnesmodul 274 och likaså genom bussen vara àtkomlig därigenom. Ett operativsystem 275 kan laddas i minnes- modulen 274, t ex vid autostart av noden 85, och innefat- tar en instans av protokollstacken 90. Operativsystemet 275 kan fås att hämta en IPS-styrtillämpning 279 från lagringsmediet 276 och ladda styrtillämpningen 279 i minnesmodulen 274 där den kan exekveras med hjälp av nämnda CPU 272. Noden 85 har företrädesvis en inmatnings- anordning 281, sàsom ett tangentbord, och en utmatnings- anordning 282, såsom en monitor, ansluten därtill.
En operatör för styrnoden 85 kan mata in en eller flera textfiler 277A-277N via inmatningsanordningen 281.
Varje textfil 277A-277N kan definiera ett nätverksbaserat utnyttjande och innefatta en logisk beskrivning av en attacksignatur såväl som IPS-direktiv, såsom instruktio- ner för IPS-tillämpningen 91 att logga det identifierade datapaketet och/eller den identifierade dataramen i en databas, instruktioner för att släppa det identifierade datapaketet och/eller den identifierade dataramen, och/eller anvisningar för andra säkerhetsåtgärder som skall exekveras vid en IPS-värdering av en intrångsrela- terad händelse som är associerad med den beskrivna attacksignaturen. Varje textfil 277A-277N kan vara lagrad i en databas 278A på lagringsmediet 276 och kompileras 10 15 20 25 30 35 . - ~ u -n 20 med hjälp av en kompilator 280 till en respektive maskin- läsbar signaturfil 28lA-281N som lagras i en databas 278B. Var och en av de maskinläsbara signaturfilerna 28lA-281N innefattar binär logik som representerar attacksignaturen som beskrivs i den respektive associera- de textfilen 277A-277N och kan innefatta logik som repre- senterar en eller flera anvisningar som innefattas i den respektive textfilen. En operatör för styrnoden 85 kan periodiskt anvisa styrnoden 85, genom samverkan med en klienttillämpning för IPS-tillämpningen 279 via inmat- ningsanordningen 281, att överföra en eller flera maskin- läsbara signaturfiler (häri också allmänt benämnda ”signaturfiler”) vilka är lagrade i databasen 278B till en nod, eller ett flertal noder, i nätverket 100. Alter- nativt kan signaturfilerna 28lA-281N lagras pà ett dator- läsbart medium, sàsom en CD, magnetisk diskett eller en annan bärbar lagringsanordning, och installeras pà noden 270 för nätverket 100. Tillämpningen 279 kan företrädes- vis fås att överföra alla sàdana signaturfiler 28lA-281N, eller en eller flera deluppsättningar därav, till en nod, eller ett flertal noder, i nätverket 100. IPS-tillämp- ningen 279 tillhandahåller företrädesvis ett grafiskt an- vändargränssnitt till utmatningsanordningen 282 för att underlätta inmatning av kommandon därtill genom en opera- tör för noden 85.
I fig 6 àskàdliggörs ett mobiltelekommunikationssys- tem (MTS) 300 i vilket en mobil anordning enligt förelig- gande uppfinning kan betjänas. Det typiska mobiltelekom- munikationssystemet 300 beskrivs i enlighet med den all- männa infrastrukturen och nomenklaturen för standarderna för ”Global System for Mobile communications” (GSM) även om föreliggande uppfinning inte är begränsad till tillämpning i ett sàdant system, och beskrivning därav endast är illustrativ. Nämnda MTS 300 innefattar i all- mänhet ett eller flera omkopplingssystem (SSS - "switch- ing systems”) 305-306 och basstationsdelsystem (BSSS - ”base station subsystems”) 340-341 som tillhandahåller 10 15 20 25 30 35 u u u | .q LH ba $> wê CN 04 21 mobiltelekommunikationstjänster till en eller flera mobi- la anordningar 355. Den mobila anordningen 355 kan anta olika former, såsom en mobil laptop-dator med ett tråd- löst modem med kapacitet för mobila avslutningar, en trådlös handdator, en sökare, en dataaktiverad mobiltele- fon, eller annan trådlös kommunikationsanordning. Den mo- bila anordningen 355 kommunicerar direkt med en eller flera bassändtagarstationer (BTSs - ”base transceiver stations”) 352A-352C och 353A-353C vilka är innefattade i respektive BSSs 340-341. Varje BSS, t ex BSS 340, kommer typiskt att innefatta en eller flera geografiskt skilda BTSs, t ex BTSs 352A-352C. En grupp av BTSs, t ex en av en BTS-grupp 352-353, styrs med hjälp av en basstations- styrenhet (BSC - ”base station controller”) 345-346, ock- så benämnd radionätverksstyrenhet, som är innefattad i ett respektive BSS 340-341. Varje BSS 340-341 kommunicer- ar med, och styrs av, en respektive mobiltjänsteomkopp- lingscentral (MSC - ”mobile services switching center”) 310-311 vilken är innefattad i ett omkopplingssystem 305- 306. Varje individuell BTS 352A-352C och 353A-353C defi- nierar en radiocell som verkar på en uppsättning radio- kanaler, varvid tjänster därigenom tillhandahålls ät en eller flera mobila anordningar 355. I enlighet därmed kommer varje BSC 345-346 att ha ett antal celler svarande mot det respektive antalet BTSs 352A-352C och 353A-353C som styrs därigenom.
Omkopplingssystemen 305-306 innehåller var för sig ett antal funktionsenheter som är implementerade i olika slags hårdvara och mjukvara. Varje SS 305-306 innehåller var för sig i allmänhet en MSC 310-311, ett besökarläges- register (VLR - ”Visitor Location Register”) 375-376, ett hemlägesregister (HLR - ”Home Location Register”) 370- 371, en autenticeringcentral 381-382, och ett utrust- ningsidentitetsregister 385-86. Den mobila anordningen 355 som är manövrerbar i nämnda MTS 300 har ett register utsett som ett hemregister. I föreliggande illustration, och i de här nedan tillhandahållna exemplen, representer- 10 15 20 25 30 35 22 ar nämnda HLR 371 hemregistret för den mobila anordningen 355. Nämnda HLR 371 är en databas vilken innehåller pro- filer för mobila anordningar som har nämnda HLR 371 ut- sett som hemregister. Den information som finns i den mobila anordningens 355 profil i nämnda HLR 371 innefatt- ar olika slags abonnentinformation, t ex autenticerings- parametrar såsom internationell mobilstationsutrustnings- identitet (IMEI - ”international mobile station equipment identity”), ett elektroniskt serienummer (ESN) och en autenticeringskapacitetsparameter såväl som abonnemangs- tjänsteparametrar, såsom ett åtkomstpunktnamn (APN - ”access point name”) som definierar de tjänster som inne- fattas i abonnemanget. Den mobila anordningens 355 profil i nämnda HLR 371 innefattar dessutom data relaterad till det aktuella, eller sist kända, läget för den mobila anordningen 355 i nämnda MTS 300, t ex en lägesområdes- identifierare. De lägesdata som finns i nämnda HLR 371 som är associerade med den mobila anordningen 355 är dynamiska till sin natur, d v s de ändras när den mobila anordningen 355 rör sig genom nämnda MTS 300. Det skall inses att varje MSC 310-311 kan styra, och typiskt styr, fler än en BSC 345-346. I fig 6 visas endast en respek- tive BSC 345-346 som styrs av nämnda MSC 310-311 för att förenkla diskussion om uppfinningen.
Nämnda VLR 375-376 är en databas vilken innehåller information om alla mobila anordningar 355 som för när- varande betjänas av nämnda MSC 310-311 som är associerad därmed. Nämnda VLR 376 kommer t ex att innefatta informa- tion som hänför sig till varje mobil anordning som be- tjänas med hjälp av nämnda MSC 311 och innefattar således information vilken är associerad med alla mobila anord- ningar som för närvarande betjänas av nämnda BTSs 353A-353C vilka styrs med hjälp av nämnda associerade BSC 346. När den mobila anordningen 355 kommer in i ett cell- täckningsområde för en BTS som styrs med hjälp av en annan MSC, t ex när den mobila anordningen 355 strövar ("roams”) in i det täckningsomràde som tillhandahålls av 10 15 20 25 30 35 nu oss w o ....'. nu or.. ..
LH :J $> \_Q gm (JJ 23 nämnda BTS 352C, kommer nämnda VLR 375 för nämnda SS 305 som är associerat med nämnda BTS 352C att utfràga den mobila anordningens 355 HLR 371 efter abonnentinformation som hänför sig till den mobila anordningen 355. Denna information överförs sedan till nämnda VLR 375. Pà samma gäng överför nämnda VLR 375 lägesinformation till nämnda HLR 371 som indikerar den mobila anordningens 355 nya position. HLR-profilen som är associerad med den mobila anordningen 355 uppdateras dà för att pà rätt sätt indi- kera den mobila anordningens 355 position. Denna läges- information är i allmänhet begränsad till en läges- omràdesidentifierare. Den information som överförs till nämnda VLR 375 som är associerad med den strövande mobila anordningen 355 möjliggör i allmänhet anropsuppkopplingar och anropsbehandling för den mobila anordningen 355 utan vidare utfrågning av nämnda HLR 371, t ex den mobila an- ordningens 355 autenticering och abonnemangstjänstepara- metrar. När den mobila anordningen 355 försöker utföra eller ta emot ett anrop, t ex ett dataanrop, har nämnda SS 305 således den erforderliga informationen för att ut- föra funktionerna för uppkoppling och omkoppling för att pà rätt sätt betjäna den mobila anordningen 355. Nämnda VLR 375 kommer dessutom typiskt att innefatta mer precis lägesinformation om den mobila anordningen 355 än nämnda HLR 371, varvid nämnda VLR 375 t ex kan innehålla en BSC- identifierare som indikerar den särskilda BSC som betjän- ar den mobila anordningen 355.
Varje SS 305-306 kan också innefatta en autentice- ringscentral (AUC) 381-382 som är ansluten till nämnda HLR 370-371 för nämnda respektive SS 305-306. Nämnda AUC 381-382 tillhandahåller autenticeringsparametrar àt nämn- da HLR 370-371 för autenticering av den mobila anordning- en 355-356. Nämnda AUC 381-382 kan också generera chiff- ernycklar som används för att säkra kommunikationer med den mobila anordningen 355. Nämnda SS 305-306 kan dess- utom också innefatta en databas för utrustningsidenti- tetsregister (EIR - ”equipment identity register”) 385- lO 15 20 25 30 35 CN PJ Jäs \O CW LN o 1 n | | .o 386 som innehåller den internationella mobilstations- utrustningsidentiteten som används för att entydigt iden- tifiera en eller flera mobila anordningar. Nämnda EIR 385-386 används för att validera den mobila anordningen 355 som begär betjäning i nämnda MTS 300.
Allmänna datapaketradiotjänster (GPRS - ”general packet radio services”) kan tillhandahållas i nämnda MTS 300 för tillhandahållande av t ex Internettjänster däràt.
GPRS är en datapaketkopplad, snarare än kretskopplad, datatjänst. För anslutning till ett paketdatanätverk 360 för att anropa allmänna datapaketradiotjänster, såsom tjänster för trådlöst Internet, är en nätports-GPRS-stöd- nod (GGSN - ”gateway GPRS support node”) 330 typiskt innefattad i nämnda MTS 300. En eller flera betjänings- GPRS-stödnoder (SGSN - ”serving GPRS support nodes”) 320- 321 är innefattade i nämnda MTS 300 för tillhandahållande av åtkomst för den mobila anordningen 355 åt nämnda GPRS- tjänster, t ex administration av paketdataprotokoll- sessioner (PDP-sessioner) såväl som utförande av styr- funktioner, såsom autenticering, identifiering och IMEI- utfrågningar av mobila anordningar. Nämnda GGSN 330 till- handahåller således ett gränssnitt för mobiltelekommuni- kationssystemet 300 till paketdatanätverket 360 medan nämnda SGSN 320-321 möjliggör för den mobila anordningen och således paketdatanätverket 360, via infrastrukturer för mobil- 355 att kommunicera med nämnda GGSN 330, telekommunikationssystemet 300.
En mobil anordning med GPRS-egenskaper kan anropa ett paketdatanätverk genom att först utföra en anslut- ningsprocedur. I allmänna termer initieras anslutnings- proceduren genom överföring av ett meddelande om anslut- ningsbegäran till nämnda SGSN som betjänar den mobila an- ordningen. I föreliggande illustrativa exempel är den mo- bila anordningen 355 för närvarande lokaliserad i en cell som tillhandahålls med hjälp av nämnda BSS 341. Nämnda SGSN 321 är ansluten till nämnda BSS 341 genom en kommu- nikationskanal och svarar således för tillhandahållande 10 15 20 25 30 35 u s n v nu u (D PJ -D- vfi O\ LN 25 av GPRS-tjänster åt den mobila anordningen 355. Nämnda SGSN 321 identifierar och autenticerar sedan den mobila anordningen 355 efter vilket ett uppdateringslägesmeddel- ande överförs till nämnda HLR 371. Autenticering av den mobila anordningen kan innefatta utfrågning med hjälp av nämnda SGSN 321 av olika moduler i nämnda SS 306 som har den mobila anordningens hemregister däri, varvid nämnda SGSN t ex kan utfràga nämnda AUC 382 eller nämnda EIR 386. till nämnda SGSN 321 sàväl som en bekräftelse pà läges- Som svar skickar nämnda HLR 371 abonnentinformation uppdateringen.
För deltagande i datapaketkommunikation mäste en ansluten mobil anordning 355 sedan utföra en aktiverings- procedur, t ex en PDP-aktivering. Ett meddelande om aktiveringsbegäran överförs vanligen fràn den mobila anordningen 355 till nämnda SGSN 321. Nämnda SGSN 321 kontaktar då nämnda GGSN 330 och begär en PDP-aktivering.
Nämnda GGSN 330 upprätthåller ett register över adressen för nämnda SGSN 321 som betjänar den mobila anordningen 355 så att paketdata fràn datanätverket 360 pà lämpligt sätt kan dirigeras till den mobila anordningen 355.
Nämnda GGSN 330 kommer dà att uppdatera SGSN-adressen varje gäng den mobila anordningen strövar in i en cell som tillhandahålls med hjälp av en BTS som betjänas av en annan SGSN, t ex när den mobila anordningen 355 strövar in i den cell som tillhandahålls med hjälp av nämnda BTS 352C som betjänas av nämnda SGSN 320.
En mobil anordning enligt föreliggande uppfinning kan underhålla en instans av en nätverksstack 90, eller en variation därav, för att underlätta utsändning och mottagning vid kommunikation med nätverket 300. I en trådlös implementering av uppfinningen kan nätverksmediet 101 innefatta en radiofrekvenslänk som avslutas med den mobila anordningen 355 och en av nämnda BTSs 352A-352C och/eller 353A-353C. Den mobila anordningen 355 kan inne- fatta nätverksnodens 270 element, nämligen nämnda CPU 272, minnesmodulen 274 och kan innefatta ett lagrings- 10 15 20 ~ w - v « - . n - v. 26 medium 276 så att den mobila anordningen 355 kan fås att exekvera en IPS-tillämpning 91. IPS-tillämpningen 91 kan, som förut nämnts, innefatta en klienttillämpning och/eller servertillämpning. En klienttillämpning under- hälls och körs företrädesvis pà en mobil anordning 355.
En servertillämpning kan också köras pà en mobil anord- ning 355 eller kan alternativt köras pà nätverket 300, t ex med hjälp av nämnda SS 306, och delta i trådlös kommunikation med den mobila anordningen 355 för att underlätta funktionen för klienttillämpningen för IPS- tillämpningen 91, t ex för att förse den mobila anord- ningen 355 med maskinläsbara signaturfiler som utnyttjas av IPS-tillämpningen 91 för att detektera intràngsrelate- rade händelser vid den mobila anordningen 355. Styrnodens 85 funktion kan vara innefattad i ett omkopplingssystem genom innefattande av en CPU för exekvering av styr- tillämpningen 279 i nämnda SSs 305 och 306. Nätverks- attacker riktade mot en mobil anordning 355 kan således detekteras och förhindras.

Claims (10)

10 15 20 25 30 35 UW m) $> D C,\ L'v 27 PATENTKRAV
1. Mobil anordning (355) vilken är manövrerbar i ett mobiltelekommunikationsnätverk (300), (274) för lagring av data i maskin- läsbart format för hämtning och exekvering med hjälp av (272); ett operativsystem (275) innefattande: en minnesmodul en centralenhet och som kan fås att exekvera en intrångsdetekteringstillämpning (91) som är lagrad i minnesmodulen (274), varvid intrångsdetekteringstillämp- (28lA-281N) för att detektera ett intrång i den mobila anordningen (355).
2. Mobil anordning (275) innefattande ett protokollstyrprogram (135), ett ningen är anordnad att anropa en signaturfil (355) vidare innefattar en nätverksstack enligt krav 1, varvid ope- rativsystemet (90) medieåtkomststyrprogram (145), varvid intràngsdetekte- (91) innefattar ett mellanliggande styrprogram som är förbundet med protokollstyrprogrammet (135) och medieåtkomststyrprogrammet (145). (355) varvid intrångsdetekteringstillämpningen (91) vidare ringstillämpningen
3. Mobil anordning enligt något av krav 1-2, innefattar en associativ processmotor och ett inmat- nings-/utmatningsstyrskikt, varvid inmatnings-/utmat- ningsstyrskiktet kan fås att ta emot signaturfilen (28lA- 281N) (28lA-281N) till den associativa processmotorn, varvid den associativa pro- cessmotorn kan fås att analysera ett datapaket med (28lA-281N). (355) enligt något av krav 1-3, vidare innefattande ett lagringsmedium (276), varvid lag- (276) (277) med ett flertal signaturfiler (281A-281N) (355) enligt något av krav 3-4, varvid intrångsdetekteringstillämpningen (91) identifie- rar en överensstämmelse mellan signaturfilen (281A-281N) och ett datapaket, varvid en bestämning av att datapake- och skicka signaturfilen signaturfilen
4. Mobil anordning ringsmediet kan fås att underhålla en databas däri.
5. Mobil anordning Ûfiê-GE-02 14:50 V:\_NGOrganiSatiOn\HEWLETT-PÄCKÄRD COMPANY LEGAL EEPÅRTMENT IP ECTIGN\PATENTä_NoFamily\SE\2021975\2G21975 ApplitationtextToInstructor ABT 2ÜG3-G1-08 crsion 2.doc U) |\) N 10 15 20 25 30 35 524 90 3 28 tet är intrångsrelaterat görs vid identifiering av över- ensstämmelsen.
6. Mobil anordning (355) enligt något av krav 3-5, varvid signaturfilen (28lA-28lN) innefattar ett direktiv som definierar en process som skall exekveras med hjälp av processorn (272) vid en bestämning av att datapaketet är intrångsrelaterat.
7. Mobil anordning (355) enligt något av kraven 1-6, varvid intrångsdetekteringstillämpningen (91) kan fås att identifiera en händelse som är relaterad till intrànget i den mobila anordningen (355), varvid den mobila anord- (355) kan fås att tillhandahålla händelsedata som är relaterade till intrànget åt en styrnod (85) för nät- verket (300).
8. Mobil anordning (355) enligt krav 7, varvid styr- ningen noden (85) är ett mobiltelekommunikationsnätverksomkopp- lingssystem (305-306).
9. Nod (85) (300) ett intrângsdetekteringssystem, varvid noden (85) inne- fattar: för ett nätverk för styrning av en minnesmodul (274) för lagring av data i maskin- läsbart format för hämtning och exekvering med hjälp av en centralenhet (272); och ett operativsystem (275) innefattande en nätverks- stack (90) som innefattar ett protokollstyrprogram (135) och ett medieåtkomststyrprogram (145) och som kan fås att exekvera en intràngsskyddssystemstyrtillämpning (279), varvid styrtillämpningen (279) kan fås att ta emot en textfilinmatning (277A-277N) som definierar en regel för nätverksutnyttjande och omvandla textfilinmatningen (277A-277N) (28lA-28lN) innefattande maskinläsbar logik som representerar en utnyttjandesigna- till en signaturfil tur, varvid noden (85) kan fås att överföra signaturfilen (28lA-281N) till en mobil anordning (355) via en radio- frekvenslänk.
10. Nod (85) enligt krav 9, varvid radiofrekvenslän- ken avslutas med den mobila anordningen (355) och en bas- 2004-Üfl-Ü2 14250 V:\ LEGÄL 7 NGC JPATENT “a Nolïamfš. 3, 'I . de: sändtagarstation (352A-352C, 353A-353C) för ett mobilkom- munikationsnätverk (300). “ ?:\ NøOrg '\ ä0Fami1y\SE1¿"*=
SE0202730A 2001-10-31 2002-09-16 Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering SE524963C2 (sv)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/001,728 US20030084321A1 (en) 2001-10-31 2001-10-31 Node and mobile device for a mobile telecommunications network providing intrusion detection

Publications (3)

Publication Number Publication Date
SE0202730D0 SE0202730D0 (sv) 2002-09-16
SE0202730L SE0202730L (sv) 2003-05-01
SE524963C2 true SE524963C2 (sv) 2004-11-02

Family

ID=21697529

Family Applications (1)

Application Number Title Priority Date Filing Date
SE0202730A SE524963C2 (sv) 2001-10-31 2002-09-16 Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering

Country Status (4)

Country Link
US (1) US20030084321A1 (sv)
JP (1) JP2003228552A (sv)
GB (1) GB2382755B (sv)
SE (1) SE524963C2 (sv)

Families Citing this family (100)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8370936B2 (en) * 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
WO2003077572A1 (en) * 2002-03-13 2003-09-18 Adjungo Networks Ltd. Accessing cellular networks from non-native local networks
JP2004005419A (ja) * 2002-03-25 2004-01-08 Canon Inc インストール処理装置、処理方法及び記憶媒体ならびにプログラム
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7367055B2 (en) * 2002-06-11 2008-04-29 Motorola, Inc. Communication systems automated security detection based on protocol cause codes
US20030232598A1 (en) * 2002-06-13 2003-12-18 Daniel Aljadeff Method and apparatus for intrusion management in a wireless network using physical location determination
US7277718B2 (en) * 2002-07-22 2007-10-02 Cingular Wireless Ii, Llc Methods and apparatus for formatting information for a communication
US6986161B2 (en) * 2002-08-12 2006-01-10 Harris Corporation Mobile ad-hoc network with intrusion detection features and related methods
GB0227777D0 (en) * 2002-11-28 2003-01-08 Nokia Corp Performing authentication
US7386887B2 (en) * 2003-07-01 2008-06-10 International Business Machines Corporation System and method for denying unauthorized access to a private data processing network
JP4051020B2 (ja) * 2003-10-28 2008-02-20 富士通株式会社 ワーム判定プログラム、ワーム判定プログラムを記憶したコンピュータ読み取り可能な記憶媒体、ワーム判定方法およびワーム判定装置
US20050108324A1 (en) * 2003-10-30 2005-05-19 David Stritzinger Serialized inventory control system and method
US7949329B2 (en) * 2003-12-18 2011-05-24 Alcatel-Lucent Usa Inc. Network support for mobile handset anti-virus protection
US7523499B2 (en) * 2004-03-25 2009-04-21 Microsoft Corporation Security attack detection and defense
US7506799B2 (en) * 2004-07-30 2009-03-24 Nokia Corporation Method for the monitoring of system security in electronic devices
US7562389B1 (en) 2004-07-30 2009-07-14 Cisco Technology, Inc. Method and system for network security
US7555774B2 (en) * 2004-08-02 2009-06-30 Cisco Technology, Inc. Inline intrusion detection using a single physical port
US20060037077A1 (en) * 2004-08-16 2006-02-16 Cisco Technology, Inc. Network intrusion detection system having application inspection and anomaly detection characteristics
JP2006060306A (ja) * 2004-08-17 2006-03-02 Nec Corp パケットフィルタリング方法およびパケットフィルタ装置
US7725938B2 (en) * 2005-01-20 2010-05-25 Cisco Technology, Inc. Inline intrusion detection
US7676217B2 (en) * 2005-01-31 2010-03-09 Theta Networks, Inc. Method for malicious traffic recognition in IP networks with subscriber identification and notification
US20060174001A1 (en) * 2005-01-31 2006-08-03 Shouyu Zhu Responding to malicious traffic using separate detection and notification methods
US7975300B2 (en) * 2005-04-15 2011-07-05 Toshiba America Research, Inc. Secure isolation and recovery in wireless networks
JP4528680B2 (ja) * 2005-07-05 2010-08-18 株式会社日立製作所 自己再組織化システム
US8249028B2 (en) * 2005-07-22 2012-08-21 Sri International Method and apparatus for identifying wireless transmitters
US7724717B2 (en) * 2005-07-22 2010-05-25 Sri International Method and apparatus for wireless network security
US9191396B2 (en) 2005-09-08 2015-11-17 International Business Machines Corporation Identifying source of malicious network messages
US8443446B2 (en) 2006-03-27 2013-05-14 Telecom Italia S.P.A. Method and system for identifying malicious messages in mobile communication networks, related network and computer program product therefor
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
CA2701689C (en) * 2006-10-06 2016-09-06 Smobile Systems, Inc. System and method of malware sample collection on mobile networks
WO2008043109A2 (en) * 2006-10-06 2008-04-10 Smobile Systems, Inc. System and method of reporting and visualizing malware on mobile networks
CA2706721C (en) * 2006-11-27 2016-05-31 Smobile Systems, Inc. Wireless intrusion prevention system and method
WO2008075891A1 (en) * 2006-12-19 2008-06-26 Kt Corporation Intrusion protection device and intrusion protection method for point-to-point tunneling protocol
US8205255B2 (en) * 2007-05-14 2012-06-19 Cisco Technology, Inc. Anti-content spoofing (ACS)
KR100889670B1 (ko) * 2007-08-08 2009-03-19 삼성에스디에스 주식회사 모바일 디바이스상에서 tcp 기반의 서비스거부 공격의 차단 방법
DE102007052128A1 (de) * 2007-10-31 2009-05-14 Concept04 Gmbh Mobilfunkendgerät mit Filtereinrichtung und Netzwerkelement zur Konfiguration der Filtereinrichtung
US7917085B2 (en) * 2007-11-09 2011-03-29 Research In Motion Limited System and method for blocking devices from a carrier network
US8839460B2 (en) * 2008-03-07 2014-09-16 Qualcomm Incorporated Method for securely communicating information about the location of a compromised computing device
US8850568B2 (en) * 2008-03-07 2014-09-30 Qualcomm Incorporated Method and apparatus for detecting unauthorized access to a computing device and securely communicating information about such unauthorized access
US8671438B2 (en) * 2008-04-04 2014-03-11 Cello Partnership Method and system for managing security of mobile terminal
US8626115B2 (en) 2009-01-28 2014-01-07 Headwater Partners I Llc Wireless network service interfaces
US8832777B2 (en) 2009-03-02 2014-09-09 Headwater Partners I Llc Adapting network policies based on device service processor configuration
US8275830B2 (en) 2009-01-28 2012-09-25 Headwater Partners I Llc Device assisted CDR creation, aggregation, mediation and billing
US8635335B2 (en) 2009-01-28 2014-01-21 Headwater Partners I Llc System and method for wireless network offloading
US8346225B2 (en) 2009-01-28 2013-01-01 Headwater Partners I, Llc Quality of service for device assisted services
US8406748B2 (en) 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US8391834B2 (en) 2009-01-28 2013-03-05 Headwater Partners I Llc Security techniques for device assisted services
US8583781B2 (en) 2009-01-28 2013-11-12 Headwater Partners I Llc Simplified service network architecture
US8589541B2 (en) 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US8340634B2 (en) 2009-01-28 2012-12-25 Headwater Partners I, Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US8402111B2 (en) 2009-01-28 2013-03-19 Headwater Partners I, Llc Device assisted services install
US8548428B2 (en) 2009-01-28 2013-10-01 Headwater Partners I Llc Device group partitions and settlement platform
US10798252B2 (en) 2009-01-28 2020-10-06 Headwater Research Llc System and method for providing user notifications
US11218854B2 (en) 2009-01-28 2022-01-04 Headwater Research Llc Service plan design, user interfaces, application programming interfaces, and device management
US9351193B2 (en) 2009-01-28 2016-05-24 Headwater Partners I Llc Intermediate networking devices
US10841839B2 (en) 2009-01-28 2020-11-17 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9565707B2 (en) 2009-01-28 2017-02-07 Headwater Partners I Llc Wireless end-user device with wireless data attribution to multiple personas
US9572019B2 (en) 2009-01-28 2017-02-14 Headwater Partners LLC Service selection set published to device agent with on-device service selection
US9270559B2 (en) 2009-01-28 2016-02-23 Headwater Partners I Llc Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow
US9647918B2 (en) 2009-01-28 2017-05-09 Headwater Research Llc Mobile device and method attributing media services network usage to requesting application
US9253663B2 (en) 2009-01-28 2016-02-02 Headwater Partners I Llc Controlling mobile device communications on a roaming network based on device state
US10326800B2 (en) 2009-01-28 2019-06-18 Headwater Research Llc Wireless network service interfaces
US10200541B2 (en) 2009-01-28 2019-02-05 Headwater Research Llc Wireless end-user device with divided user space/kernel space traffic policy system
US9392462B2 (en) 2009-01-28 2016-07-12 Headwater Partners I Llc Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy
US9980146B2 (en) 2009-01-28 2018-05-22 Headwater Research Llc Communications device with secure data path processing agents
US9755842B2 (en) 2009-01-28 2017-09-05 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9955332B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Method for child wireless device activation to subscriber account of a master wireless device
US8745191B2 (en) 2009-01-28 2014-06-03 Headwater Partners I Llc System and method for providing user notifications
US9706061B2 (en) 2009-01-28 2017-07-11 Headwater Partners I Llc Service design center for device assisted services
US11985155B2 (en) 2009-01-28 2024-05-14 Headwater Research Llc Communications device with secure data path processing agents
US10237757B2 (en) 2009-01-28 2019-03-19 Headwater Research Llc System and method for wireless network offloading
US10064055B2 (en) 2009-01-28 2018-08-28 Headwater Research Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US10248996B2 (en) 2009-01-28 2019-04-02 Headwater Research Llc Method for operating a wireless end-user device mobile payment agent
US11973804B2 (en) 2009-01-28 2024-04-30 Headwater Research Llc Network service plan design
US10057775B2 (en) 2009-01-28 2018-08-21 Headwater Research Llc Virtualized policy and charging system
US10779177B2 (en) 2009-01-28 2020-09-15 Headwater Research Llc Device group partitions and settlement platform
US9858559B2 (en) 2009-01-28 2018-01-02 Headwater Research Llc Network service plan design
US10715342B2 (en) 2009-01-28 2020-07-14 Headwater Research Llc Managing service user discovery and service launch object placement on a device
US9954975B2 (en) 2009-01-28 2018-04-24 Headwater Research Llc Enhanced curfew and protection associated with a device group
US9557889B2 (en) 2009-01-28 2017-01-31 Headwater Partners I Llc Service plan design, user interfaces, application programming interfaces, and device management
US8793758B2 (en) 2009-01-28 2014-07-29 Headwater Partners I Llc Security, fraud detection, and fraud mitigation in device-assisted services systems
US9571559B2 (en) 2009-01-28 2017-02-14 Headwater Partners I Llc Enhanced curfew and protection associated with a device group
US10484858B2 (en) 2009-01-28 2019-11-19 Headwater Research Llc Enhanced roaming services and converged carrier networks with device assisted services and a proxy
US10492102B2 (en) 2009-01-28 2019-11-26 Headwater Research Llc Intermediate networking devices
US9578182B2 (en) 2009-01-28 2017-02-21 Headwater Partners I Llc Mobile device and service management
US10264138B2 (en) 2009-01-28 2019-04-16 Headwater Research Llc Mobile device and service management
US10783581B2 (en) 2009-01-28 2020-09-22 Headwater Research Llc Wireless end-user device providing ambient or sponsored services
US20110161452A1 (en) * 2009-12-24 2011-06-30 Rajesh Poornachandran Collaborative malware detection and prevention on mobile devices
US9202049B1 (en) 2010-06-21 2015-12-01 Pulse Secure, Llc Detecting malware on mobile devices
US20130185795A1 (en) * 2012-01-12 2013-07-18 Arxceo Corporation Methods and systems for providing network protection by progressive degradation of service
WO2014159862A1 (en) 2013-03-14 2014-10-02 Headwater Partners I Llc Automated credential porting for mobile devices
US9306861B2 (en) * 2013-09-26 2016-04-05 Red Hat Israel, Ltd. Automatic promiscuous forwarding for a bridge
US10255554B2 (en) * 2015-07-28 2019-04-09 Futurewei Technologies, Inc. Anomaly detection apparatus, method, and computer program using a probabilistic latent semantic analysis
US10148675B1 (en) 2016-03-30 2018-12-04 Amazon Technologies, Inc. Block-level forensics for distributed computing systems
US10320750B1 (en) 2016-03-30 2019-06-11 Amazon Technologies, Inc. Source specific network scanning in a distributed environment
US10142290B1 (en) 2016-03-30 2018-11-27 Amazon Technologies, Inc. Host-based firewall for distributed computer systems
US10333962B1 (en) 2016-03-30 2019-06-25 Amazon Technologies, Inc. Correlating threat information across sources of distributed computing systems
US10178119B1 (en) 2016-03-30 2019-01-08 Amazon Technologies, Inc. Correlating threat information across multiple levels of distributed computing systems
US10079842B1 (en) * 2016-03-30 2018-09-18 Amazon Technologies, Inc. Transparent volume based intrusion detection
US10142794B1 (en) 2017-07-10 2018-11-27 International Business Machines Corporation Real-time, location-aware mobile device data breach prevention

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE19628668A1 (de) * 1996-07-16 1998-01-22 Mci Les Miroirs Vorrichtung und Verfahren zur Herstellung von Flachplatten
US6578147B1 (en) * 1999-01-15 2003-06-10 Cisco Technology, Inc. Parallel intrusion detection sensors with load balancing for high speed networks
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6826697B1 (en) * 1999-08-30 2004-11-30 Symantec Corporation System and method for detecting buffer overflow attacks
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
JP4020576B2 (ja) * 2000-09-14 2007-12-12 株式会社東芝 パケット転送方法、移動端末装置及びルータ装置
EP1430377A1 (en) * 2001-09-28 2004-06-23 BRITISH TELECOMMUNICATIONS public limited company Agent-based intrusion detection system

Also Published As

Publication number Publication date
SE0202730D0 (sv) 2002-09-16
JP2003228552A (ja) 2003-08-15
GB2382755A (en) 2003-06-04
US20030084321A1 (en) 2003-05-01
GB2382755B (en) 2005-03-23
SE0202730L (sv) 2003-05-01
GB0224549D0 (en) 2002-11-27

Similar Documents

Publication Publication Date Title
SE524963C2 (sv) Nod och mobil anordning för ett mobiltelekommunikationsnätverk som tillhandahåller intrångsdetektering
US7197762B2 (en) Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US7444679B2 (en) Network, method and computer readable medium for distributing security updates to select nodes on a network
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030097557A1 (en) Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
EP1319285B1 (en) Monitoring network activity
US20030084319A1 (en) Node, method and computer readable medium for inserting an intrusion prevention system into a network stack
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US6968377B1 (en) Method and system for mapping a network for system security
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
JP4327698B2 (ja) ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的系统及方法
EP3297248B1 (en) System and method for generating rules for attack detection feedback system
US20050182950A1 (en) Network security system and method
KR20060013491A (ko) 어택 서명 생성 방법, 서명 생성 애플리케이션 적용 방법, 컴퓨터 판독 가능 기록 매체 및 어택 서명 생성 장치
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
US20160110544A1 (en) Disabling and initiating nodes based on security issue
US20030084344A1 (en) Method and computer readable medium for suppressing execution of signature file directives during a network exploit
CN112383573B (zh) 一种基于多个攻击阶段的安全入侵回放设备
KR20020072618A (ko) 네트워크 기반 침입탐지 시스템
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
Kim et al. Abnormal traffic detection mechanism for protecting IIoT environments
CN116996238A (zh) 一种网络异常访问的处理方法以及相关装置
Ghaleb et al. A framework architecture for agentless cloud endpoint security monitoring
JP2006330926A (ja) ウィルス感染検知装置

Legal Events

Date Code Title Description
NUG Patent has lapsed