TWI234707B

TWI234707B - Method and system for responding to a computer intrusion

Info

Publication number: TWI234707B
Application number: TW092133851A
Authority: TW
Inventors: Paul T Baffes; John Michael Garrison; Michael Gilfix; Allan Hsu; Tyron Jerrod Stading
Original assignee: Ibm
Priority date: 2002-12-05
Filing date: 2003-12-02
Publication date: 2005-06-21
Also published as: JP2006509283A; JP4283228B2; US20040111637A1; EP1567926A2; CN1695365A; AU2003285563A8; DE60308722T2; WO2004051441A3; KR100734732B1; DE60308722D1; CN100518174C; WO2004051441A2; AU2003285563A1; US7941854B2; TW200424845A; EP1567926B1; KR20050086445A; ATE341024T1

Description

1234707 玖、發明說明：【發明所屬之技術領域】本發明概言之係關於資料處理領域，詳言之，係關於— 種用於使用一惡意入侵影響之圖形表示來因應該入侵之經改良之資料處理系統及方法。【先前技術】大多數現代企業網路包括供遠端使用者通常經由網際網路存取之構件。此種存取設計用於使經授權之使用者爲諸如電子商務、共享内容及其他電子活動等目的與網路互動。由於該等網路被設計爲可供經授權之使用者輕易存取，因而其亦易於受到未經授權之使用者尤其係彼等懷有惡意存取該網路之意圖之使用者存取，此種惡意體現爲使用者之入知形式。入侵被定義爲對網路或網路中之電腦之惡意電子存取。入侵之實例包括：病毒、未經授權之資料採擷（有時稱作，，檔案遭駭客入侵（hacking of fiies)”）、及分散式阻絕服務（DD0S)攻擊’其中在分散式阻絕服務 (DD0S)攻擊中，電腦系統因遭該入侵而超載，從而無法再執行實際工作。入侵事件被定義爲入侵之結果（影響）。入侵事件之實例係··資料檔案遭到破壞或非法複製，系統/電腦當機及系統 /電腦減速。抵制入侵通常係安全管理員之工作，安全管理員係借助風險管理軟體監控一電腦有無遭到入知之資訊技術專家。儘管目前存在衆多用於偵測入侵及入侵事件之習知方法，

O:\89\89732.DOC 1234707 然而，管理對入侵之因應卻極其複雜。換言之，儘管事件偵測已衆所習知且可自動實施’但通常需手動採二理及因應措施。由於人侵之複雜性f，安全管理M很難評估當前所發生之入侵係何種類型及如何正確因應。田安全因此，需要-種較佳以-自動或半自動方式來辅助管理員因應所偵測入侵之方法及系統。【發明内容】本發明係關於-種管理電腦入侵之方法及系統，其方式為：以圖形形式表示一已知先前入侵之入侵模式；缺後比較-當前入侵之入侵模式與該先前入侵。若該已知入侵與當前入侵具有某些共同結果（人侵事件或共同受到影響之硬體)或結果皆相同，則安全管理員可執行指令碼因庫，以修復由當前人侵所致之損壞，或至少防止“人侵造成進一步損壞。事件係由入侵或各種之影響），亦可基於受入侵模式既可基於入侵事件（入侵可提供一入侵類型簽章之活動所造成到入侵影響之硬體拓撲。入侵模式以圖形形式- μ a _ — 式顯不給安全管理員，安全管理員可藉由執行指令碼因應而作出 ^ ^ _ 、 … 下出因應，在一較佳實施例中，該寺才日令碼因應顯示於與入 _ ^权式中母一郎點相關聯的各快 ‘員視ij中。或者，亦可美 a义土於* W入侵與已知先前入侵之入铋杈式中共有特徵之— 了具疋百分比來自動因應入侵。在下文洋細書面說明中 T 本發明之上述及其他目的、特徵及優點將變得一目了然。符

O:\89\89732.DOC 1234707 【實施方式】現在參照附圖，尤其係參照附圖丨，其中展示一能夠與一網路（未圖不）通信之本發明較佳實施例之資料處理系統 100。舉例而言，該資料處理系統i 〇〇係可自位於Arm〇nk，、、丑約的國際商業機器公司（Internati〇nal Business Machines Corporation)購得的其中一種型號的個人電腦或伺服器。該資料處理系統1〇〇既可僅包括一單處理器系統，亦可係一包括複數個處理器之多處理器（MP)系統。在所示實例中係展不一單處理器系統。亦可增設一第二處理器（未圖示）至所示系統，違弟一處理器既可具有一單獨的L2快取亦可與處理器102共享L2快取1〇8。處理器1〇2可係一包含單獨的一階 (L1)指令1〇4及資料快取1〇6於該處理器中之超純量精簡指令集計算（RISC)處理器。處理器102連接至二階（L2)快取108。L2快取1〇8連接至資料處理系統100之系統匯流排110。系統記憶體112亦連接至系統匯流排110，就如輸入/輸出（1/⑺匯流排橋接器114一樣。I/O匯流排橋接器114耦合I/O匯流排11 8至系統匯流排 110，以將資料處理自其中一匯流排中繼及/或轉換至另一匯流排。亦可連接其他裝置至系統匯流排11 〇，例如記憶體對映圖形配接器116，該記憶體對映圖形配接器可提供使用者介面資訊至一顯示器12 4。 I/O匯流排橋接器114連接至I/O匯流排11 8，而該I/Q匯流排118可連接至衆多其他裝置，例如一輸入裝置126(其可係一習知滑鼠、一軌跡球、一鍵盤或類似裝置）及一非揮發性

O:\89\89732.DOC 1234707 儲存杰122(例如-硬碟機、一唯讀光碟記憶體（⑶七⑽）光碟機、-數位視訊光碟（DVD)光碟機或類似儲存裝置）。 I/O匯流排118亦連接有—網路配接器12()，該網路配接器 UO提ί、；ί接-網路之邏輯介面，該網路可係、—區域網路 (LAN)、廣域網路（WAN)、網際網路或其他能使資料處理系統1 〇〇與該網路中其他電腦通信的網路。 ▲圖1所示實例性實_僅提供歸_本發明之目的，且熟習此項技術者應可瞭解，可在形式及功能上作出衆多修改。舉例而言’資料處理系統1〇〇可包括-音效卡及聲頻揚聲器、其他I/O裝置及通信埠、及衆多其他元件。所有此等修改皆應被視爲仍歸屬於本發明之範疇及主旨内。、現在筝妝圖2a，該圖展示由衆多不同入侵所致的可能入侵事件。言亥等入侵事件被定義爲由入侵激發之活動或影響。儘管該圖係以一樹狀結構展示該等入侵事件，然而，涊識到所不該等入侵事件相互關聯可最佳地理解該等入侵事件。舉例而言，考量一入侵路徑2〇〇，該入侵路徑展示由一入知A所致入侵事件（示於粗圓圈中）。入侵a(爲例示之目的，其可係一諸如，’紅色警戒（Red c〇de)，，等病毒）係一種以在主私細206中產生一分散式阻絕服務204之方式來影響夕個主機202之入侵。該圖顯示由一 Snort 208偵測到該入侵 A，该Sn〇rt 208係一能夠對IP網路執行即時流量分析及封包曰心己錄之灵例性入侵债測系統。Sn〇rt 208可執行協定分析、内容搜尋/比對並可用於偵測衆多種攻擊及探查，例如緩衝器溢位、隱形埠掃描、共用閘道介面（CGI)攻擊、伺服

O:\89\89732.DOC 1234707 器訊息塊（SMB)探查、作業系統（OS)辨識企圖及諸如此類。入侵A亦可自一入侵偵測系統（IDS)2 10觸發一因應，該入侵偵測系統（IDS)210檢查所有傳入及傳出網路活動並識別可指示一由某一企圖侵入或損害系統之人所作網路或系統攻擊的可疑模式。IDS 210偵測到一網路事件212，在本實例中該網路事件212係入侵A，其係一種由整個系統識別並影響整個系統之入侵事件214。應注意’如入侵路徑200所示，入侵a亦影響電腦系統之其他部分。換言之，入侵A亦造成一主機事件216，該主機事件216在系統層21 8處影響一記憶體事件220及一使用權限事件222。此外，入侵A造成一外圍事件224，該外圍事件 224被防火牆226偵測爲一掃描事件228且亦具有一不正確的貧料封包230。如圖所示，該不正確的封包23〇係一傳輸控制協定（tcp)格式錯誤的協定封包232。因此，由加黑粗線條邊界之入侵路徑2〇〇所示之模式係入侵A獨有之特徵入侵模式。現在參見圖几，該圖展示一入侵路仏2(Π ’该入侵路徑基於一未知當前入侵之入侵事件。最初亚不知曉當前入侵之動機，然而，由於該入侵模式與圖 2a所不入侵a之入侵模式相㈤，因此，已遭入侵之電腦網路或私恥之女全官理員可認定當前入侵與入侵A相同或至少以相同方式作用。在本毛明之較佳貫施例中，每一節點皆與一指令碼因 :相關％例如指令碼因應204a與阻絕服務事件204相關 ^ 1令碼因應係一用於對付入侵事件之預編指令碼。舉

O:\89\89732.DOC -10- 1234707 例而5，指令碼因應2〇4a可係一設計用於隔離正在破壞電腦系統之入侵然後使該入侵失效之程式。所示該等指令碼口應與每一事件描述節點相關聯，且較佳位於一現用視窗 (例如一快顯視窗）中，該現用視窗僅需使用一滑鼠或類似指標褒置點擊即可啓動指令碼因應。儘管該等指令碼因應被展不爲單一項目，然而，在一替代較佳實施例中，展示了歹j於清單中的多個建議指令碼因應且該等因應可於入侵路L201中的一或所有節點處皆處於有效狀態。較佳以多個階層展示該等多個指令碼因m依據使用指令碼因應之成功歷史資料、入侵之危急度、或安全管理員在開發風險管理程式時所決定用於評估人侵之其他因素，該等指令碼因應之-具有最高階^舉例㈣，—風險管理程式可確定：必須確保隔離任何攻擊任務關鍵資料之人侵，即使該種隔離會卸下電腦系統中未受影響之部分。在此一情況下，最高建議因應將卸下該電腦系統中之許多區域，並將被推薦作爲最高建議因應。應注意’並非在入侵路;^必％ a 又峪仅必須元全相同時，方對安全管理員提供關於如何因應入侵之資又貝甙捵a之，若已知入侵及未知入侵之入侵路徑具有一旦另疋數里之共同點，安全管理員即可啓動一因應來糾正當前去 1 π i田月丨』禾知入侵之大部分（若部）有害影響。一 P，一 π )抑砥擇入侵冯徑201中每一節點之每一指令可和7碼因應。或者，如圖3所示访程圖所述，可選擇一設定來變廡 λ ^ ^ Α ^ 又疋木警應一入侵而自動啓動一用於

O:\89\89732.DOC -11 - 1234707 所有即點之取咼建議因應。如方塊3〇2所述，較佳由一能夠根據入知之特徵偵測該入侵之風險管理器來偵測一當前一二*匕等特欲可包括：接收到已知有害標頭資訊或其他 /貝料封包、電腦系統中之軟體或硬體採取具有遭到入侵特，的措施（例如掃描_網路中所有電腦以查找網際網路協二（ip)地址、驟然出現電腦效能降級或〇?1；使用方式）、及 T似事件或狀態。如方塊3〇4所述，將當前入侵之入侵事件 :、已去入仏之彼等入侵事件相比較。如詢問塊306所闡釋’：丨定是否在未知當前入侵與已知先前入侵二者中發現者預疋百分比的共有事件節點。換言之，比較已知入侵與當：：侵之入侵路徑。若已知先前入侵與未知當前入侵具有車乂大數里之共有事件節點，則如方塊31〇所述自動執行所有即點之指令碼因應。而若在已知入侵與未知入侵之間不2在足夠之共有事件節點，則安全管理員立即爲每一事件節點手動選擇一指令碼因應。亦可由電腦系統上的_風險管理程式作出自動執行所有 ^令碼因應之判定，該風时理料將人❹類，以判定 ::應啓動-自動因應。舉例而t，若該風險管理程式判定當前入侵係一已知分類類型，或具有可致使整個系統當 :,已知嚴重性，則可啓動-自動指令碼因應。在-較：灵知例中，比對人侵之嚴重性與_指令碼因應結果之嚴重性。換言之，比對一嚴重入侵與一可能會對系統産生嚴重例如搶先卸下該系統之—部分）之指令碼因應，然而，由於名種入知之嚴重性質及該種入侵可能造成之潛在損

O:\89\89732.DOC -12- 1234707 害：該嚴重影響仍可能較爲合算。同樣’若已將風險管理程，执因應入侵之式3又什舄，可仔知安全管理員之前即合對έ从、、了此過長以致在安全管理員因應應。同樣，若㈣才日“馬因執行特定和人叉路控已在先前多次（或僅一次）引發動戍μ ”碼因應，則風險管理程式可根據該歷史來自動啓動執行該等指令喝因應。所示μ有事件模式外’人侵亦具有關於一硬體拓撲中何種硬體受到影響之特徵。現在參照圖4a，該圖展示可能受到一入侵影響之硬體。一入侵路徑4〇〇(在该圖中由粗體邊框方框標識)示出一受到如上述圖2a中的入侵A影響之電腦系統之硬體拓撲。由此可見，人侵A在一 =業電腦系統之内部網路術中引起異常，該内部網路4〇2 文到内部網路402中一區域網路（LAN)A 404影響。在LAN A 404内，伺服器406、個人電腦（pc)4〇8及入侵偵測系統（ids) 硬體410皆受到影響。其中在伺服器4〇6内具有一受到影響的網站伺服器416，該網站伺服器416之入口 B 418亦受到入知A之衫響。類似地，所有執行window®作業系統之pc：皆受到影響並在該圖中示爲基於Window⑧之PC 414。同樣，執行具備Snort功能型硬體412之IDS硬體410記錄一表示已债測到入侵A的事件。因此，該硬體以一類似於上文結合圖2a 及圖2b所述入侵事件入侵模式之方式展示一特徵入侵模式。現在參照圖4b，硬體拓撲入侵路徑401展示由入侵a所造 O:\89\89732.DOC -13 - 1234707 成之权4田所出現的當前未知入侵具有與硬體拓撲入侵路徑401所不模式相同或相似之模式時，安全管理員以一種類似於針對上文入侵事件入侵模式所述之方式作出因應。因此’硬體拓撲入侵路徑4〇1中每一事件節點皆包括一相關的包含指令碼因應之現用視窗，該（等）指令碼因應與上文在闡述圖2a及圖2b時所述之彼等指令碼因應相似。如同入侵事件之指令碼因應-樣，示於硬體拓撲人侵路徑如中的^ 令碼因應既可如圖所示係單一指令碼因應，亦可係一建^ 指令碼因應清單，較佳地對該清單實施記分以給出一最: 指令碼因應。可採用一類似於上文針對入侵事件入侵路: 所述之方式自動啓動或手動啓動該等指令碼因應。如同上文結合圖2a及圖㈣述及所示之入侵事件圖形顯不，並非在已知入侵與未知入侵之入侵路徑完全相同時，，方對安全管理員提供關於如何因應人侵之資訊。換古之，若已知入侵與未知入侵之入侵路徑具有一定數量：點，安全管理員即可啓動一因應來糾正當前未知入侵:大部分（若非全部）有害影響。 =安全管理員響應—通知而就地或遠程啓動應對 :曰令碼因應。舉例而言，安全管理員可藉由-行動電， ^固人數位助理（PDA)接收-告知其該人侵事件之通知。L ^方:全官理員可藉由點擊PDA中的—互動式視窗， =切動某些或所有指令瑪因應，以使由電腦系統的一 :啦式辨識該輸入’從而啓動所請求之指令碼因應。大此’本發明提供—種用於建置並以圖形方式表示—已

0\89\89732.DOC •14- 1234707 之入侵模式’以供比較一，當前入侵相之方法及裝置’該當前入侵可爲電腦系統之風險管理程式所已知或可爲其所未知。在根據以圖形方式表示的當前入侵之特徵入路杈辨識該當前入侵後，啓動指令碼因應來因應並控制該入侵。該等指令碼因應可基於已知入侵之歷史資料。已知入侵與當前入侵既可相同亦可不同，且建議指令碼因應係以圖形形式與受當前入侵影響之入侵路徑中某些或所有事件節點或硬體節點一起顯現。對於入侵路徑中的每一事件節點/硬體節點而言，指令碼因應可係一單一選項，或者可選自一階層式建議指令碼因應清單。 k S上文已根據_資料處理系統及伺服器群闡述了本發日:之態樣，然而應瞭解，至少本發明之某些態樣亦可構建 2 一與一資料儲存系統或電腦系統共同使用之程式產品。疋義本發明功能之程式可藉由衆多種信號攜載媒體傳送至貝料儲存系統或電腦系統，該等信號攜載媒體包括(但不限於）·1可寫式儲存媒體（例如CD-ROM)、可寫式儲存媒體（例如軟碟片、硬碟機、讀/寫式CD-ROM、光學媒體）、及諸如包括乙太網路在内的電腦及電話網路等通信媒體。因此應瞭解’此等信號攜載媒體在載送或編碼用於導出本毛明方法功能之電腦可讀指令時，即代表本發明之替代實施例。此外，庫勝 …瞭解，可由一具有本文所述硬體、軟體、或軟體與硬體$ _ 、、且a或其等價物形式之裝置之系統來實施本發明。 -15- 1 根據一車父佳實施例詳細展示並闡述本發明

O:\89\89732.DOC 1234707 然而，熟習此項技術者應瞭解，可對其中之形式及細節作出各種修改且並不背離本發明之精神及範轉。【圖式簡單說明】據信爲本發明所特有之新穎特徵闡述於隨附申請專利範圍中。然而，結合附圖閱讀本文對一闡釋性實施例之詳細說明，將會最佳瞭解本發明本身及一較佳使用模式、其2 目的及優點，附圖中：、圖1係一方塊圖，其展示一可用於實施本發明之資料詹理；圖2a展示一入侵模式，該入侵模式基於包括一 ◦夭σ先前入侵在内之衆多不同入侵之入侵事件；圖2b展示一入侵模式，該入侵模式基於一與_已知先a 入侵之入侵模式相匹配之未知當前入侵之入侵事件· 圖3係一流程圖，其展示一用於自動執行對一未知者前知之指令碼因應之本發明較佳實施例；圖4 a展示一入侵模式，該入侵模式基於受到包括— 已知先前入侵在内的衆多不同入侵影響的硬體拓撲；圖4b展示一入侵模式，該入侵模式基於受到一盘— —已知先前入侵之入侵模式相匹配之未知當前入侵影響的硬體抬撲0 【圖式代表符號說明】 100 資料處理系統 102 處理器 104 一階指令 O:\89\89732.DOC -16-

資料快取 L2快取系統匯流排系統記憶體 I/O匯流排橋接器圖形配接器 I/O匯流排網路配接器非揮發性儲存器顯示器輸入裝置入侵路徑多個主機阻絕服務主機 Snort IDS 網路事件入侵事件主機事件系統層記憶體使用權限事件外圍事件 -17- 1234707

226 防火牆 228 掃描事件 230 不正確的封包 232 TCP格式錯誤的協定 201 入侵路徑 202a 指令碼因應 204a 指令碼因應 206a 指令碼因應 208a 指令碼因應 210a 指令碼因應 212a 指令碼因應 214a 指令碼因應 216a 指令碼因應 218a 指令碼因應 220a 指令碼因應 222a 指令碼因應 224a 指令碼因應 226a 指令碼因應 228a 指令碼因應 230a 指令碼因應 232a 指令碼因應 400 入侵路徑 402 内部網路 404 LAN A O:\89\89732.DOC -18- 1234707 406 伺服器 408 PC 410 IDS 412 Snort 414 基於Window之PC 416 網站伺服器 418 入口 B 401 硬體拓撲入fe路徑 402a 指令碼因應 404a 指令碼因應 406a 指令碼因應 408a 指令碼因應 410a 指令碼因應 412a 指令碼因應 414a 指令碼因應 416a 指令碼因應 418a 指令碼因應 O:\89\89732.DOC - 19 _

Claims

1234707 拾、申請專利範圍： 1 · 一種官理電腦入侵之方法，該方法包括：以圖形形式表示一已知入侵之入侵路徑，該圖形表示包括一位於該入侵路徑中一節點處之指令碼因應；依據該電腦之一當前入侵與該已知入侵之入侵路徑中的至少一共有特徵來比對該當前入侵與該已知入侵之圖形表不；及響應於該已知入侵與該當前入侵之比對，啓動能夠因應該當前入侵之該指令碼因應。 2 ·根據申睛專利範圍第丨項之方法，其中該入侵模式係基於入侵事件。 3 ·根據申清專利範圍第1項之方法，其中該入侵模式係基於受到該已知入侵影響之硬體拓撲。 4_根據申請專利範圍第丨項之方法，其中該已知入侵與該當鈾入k相同’且其中用於因應該當前入侵之該指令碼因應係基於該已知入侵之歷史資料。 5·根據申請專利範圍第1項之方法，其中該已知入侵與該當鈾入杈相異，且其中用於因應該當前入侵之該指令碼因應係基於該已知入侵之歷史資料。 6 ·根據申请專利範圍第1項之方法，進一步包括：使一建議指令碼因應清單與該入侵路徑圖形表示中之每一節點相關聯；及爲S入知路從圖形表不中之每/節點選取該等建議才t 令碼因應之一。 O:\89\89732.DOC 1234707 根據申請專利範圍第6項之徑圖形表示中之每—節’广—乂包括爲該入侵路根據申請專利範圍第7項之方：隶高建議指令碼因應。徑圖形表示中之所有節 f:進-步包括爲該入侵路應。 5吩璉取該最高建議指令碼因 9. 根據申請專利範圍第7項之方法，進—步包括. 根據一爲該入侵路徑高建議因應的歷史模式自:表執:=節點選取所有最述之方法。執仃申％專利範圍第7項所 !〇·根據申請專利範圍第丨根據—用於手動啓料；^ ^括：動執杆… 動令碼因應之預期因應時間自動執仃申睛專利範圍第1項所述之方法。 "·根據申請專利範圍第1項之方法，進-步包括：根據該當前入侵的一嚴重 1項所述之方本甘士自動執仃申請專利範圍第 …會心、、中該指令碼因應係處於-與該當前入仏之嚴重性相稱之嚴重性等級。 12. 根據申請專利範圍第1項之方法，進—步包括：根據該當前入侵的一類型第丨項所述之方法。刀類自動執订申請專利範圍 13. 根據申請專利範圍第丨項之方法，進一步包括：對一遠端接收器通知該當前入侵；及響應當前入侵之遠程通知，遠程啓動該指令碼因應。 H.根據申請專利範圍第13項之方法，其中該遠端接收器係 O:\89\89732.DOC -2- 1234707 一無線裝置。， 1 5 · 一種管理電腦入侵之系統，該系統包括：一圖形表示構件，其用於以圖形形式表示一已知入侵之入知模式’該圖形表示包括一位於該入侵路徑中一節點處之指令碼因應；比對構件，其用於依據該電腦之一當前入侵與該已知入钕之入侵路徑中的至少一個共有特徵來比對該當前入侵與該已知入侵之圖形表示；及一啓動構件，其用於根據該已知入侵與該當前入侵之比對來啓動一用於因應該當前入侵之指令碼因應。 16·根據申請專利範圍第15項之系統，其中該入侵模式係基於入侵事件。 1 7·根據申凊專利範圍第丨5項之系統，其中該入侵模式係基於一受到該已知入侵影響之硬體拓撲。 18. 根據申請專利範圍第15項之系統，其中該已知入侵與該當前入侵基本相同，且其中用於因應該#前人侵之該指令碼因應係基於該已知入侵之歷史資料。 19. 根據中請專利範圍第15項之系統，其中該已知人侵與該當前入侵相異，且其中用於因應該當前人侵之該指令碼因應係基於該已知入侵之歷史資料。 20. 根據申請專利範圍第15項之系統，進〜步包括：一建立關聯構件，其用於使一建議指令碼因應清單與該入侵路徑中之每一節點相關聯；及込取構件，其用於爲母一節點選取該等建議指令碼 O:\89\89732.DOC 1234707 因應之一。 21. 根據申請專利範圍第2〇項之系統，進一步包括用於爲每一即點選取一最高建議指令碼因應之構件。 22. 根據申請專利範圍第以項之系統，進一步包括用於爲所有節點同時選取該最高建議指令碼因應之構件。 23. 根據申凊專利範圍第2〇項之系統，進一步包括·· η :自動執行構件，其用於根據一爲所有節點選取所有取同建議因應的歷史模式自動執行申請專利範圍第所述之方法。 Λ 24. 根據申請專利範圍第㈣之系統，進一步包括：冑執仃構件，其用於根據—手動啓動該指令碼因心之預期因應時間自動執行中請專利1¾圍第15項所述之 25.根射請專利範圍第㈣之系統，進—步包括：白I:動執行構件，其用於根據該當前入侵的-嚴重性自動執行φ 士主击μ 嚴里Γ生申明專利範圍第15項所述之方法，复碼因應係虛Μ Λ ^ /、肀忒才曰令級。與該#前人侵之嚴重性相稱之嚴重性等 26·根據申請衰士月專利乾圍第15項之系統，進一步包括·· 一自動執行構件，其用於根據類來自動勃一 + /田月丨』入钕的一類型分勠執订申請專利範圍第15項所述 27·根據申請裒制〜丨Κ万法。月專利乾圍第15項之系統，進一牛勺一通知嫌AL 乂匕括· 侵；及，其用於對一遠端接收器通知該當前入 O:\89\89732.DOC 1234707 一啓動構件，其用於響應該關於該當前入侵之遠程通知’遠程啓動該指令碼因應。 28.根據申請專利範圍第27項之系統，其中該遠端接收器係一無線裝置。 29· —種官理電腦入侵之電腦可用媒體，該電腦可用媒體包括：笔月自私式碼’其用於以圖形形式表示一已知入侵之入"ί又权式，e亥圖形表不包括一位於入侵路徑中一節點處之指令碼因應；一電腦程式碼，其用於依據該電腦之一當前入侵與該已知入侵之入侵路徑中的至少一個共有特徵來比對該當前入侵與該已知入侵之圖形表示；及一電腦程式碼，其用於根據該已知入侵與該當前入侵之比對來啓動一用於因應該當前入侵之指令碼因應。 30.根據申請專利範圍第29項之電腦可用媒體，其中該入侵权式係基於入侵事件。 31_根據申請專利範圍第29項之電腦可用媒體，其中該入侵模式係基於一受到該已知入侵影響之硬體拓撲。 3 2.根據申請專利範圍第29項之電腦可用媒體，其中該已知入侵與該當前入侵基本相同，且其中用於因應該當前入侵之該指令碼因應係基於該已知入侵之歷史資料。 33.根據申請專利範圍第29項之電腦可用媒體，其中該已知入侵與該當前入侵相異，且其中用於因應該當前入侵之該指令碼因應係基於該已知入侵之歷史資料。 O:\89\89732.DOC 1234707 34·根據申請專利範圍貝电月自，可用媒體，進一步包括·· 一琶腦程式石馬，1用於佶_ _ , 〃、吏~建議指令碼因應清單與該入“徑中之每一節點相關聯；及 I & a式碼’其用於爲每—節點選取該等建議指令碼因應之一。 35.根據申請專利範圍第一国乐貝之包腦可用媒體，進一步包括用於爲每一節點選取一最高取冋遷識指令碼因應之電腦程式碼。 3 6.根據申請專利範圍第3 帝一固矛w項之甩細可用媒體，進一步包括用於爲所有節點同瞎選百兮曰^ 、 J ^取違取向建議指令碼因應之電腦式碼。 37.根據申睛專利乾圍第36項之電腦可用媒體，進一步包括：私月®私式碼，其用於根據一爲所有節點選取所有最高建議因應的歷史模式自動執行申請專利範圍第％項所述之電腦可用媒體。 38·根據申請專利範圍第29項之電腦可用媒體，進一步包括：一電腦程式碼，其用於根據一手動啓動該指令碼因應之預期因應時間自動執行申請專利範圍第29項所述之電腦可用媒體。 3 9·根據申請專利範圍第29項之電腦可用媒體，進一步包括：一電腦程式碼’其用於根據該當前入侵的一嚴重性自動執行申請專利範圍第29項所述之電腦可用媒體，其中該指令碼因應係處於一與該當前入侵之嚴重性相稱之嚴重性等級。 O:\89\89732.DOC 1234707 4〇.根據申請專利範圍第29項之電腦可用媒體，進一 + -電腦程式碼，其用於根據該當前：步包括: 來自動執行申請專利範圍第29項所述之電腦―頌型分類礼根據申請專利範圍第29項之電腦可用媒體，進―用^某體。一電腦程式碼，苴^ ΛΟ, XiL V包括：侵；及 ”用於對…接收器通知該當前入一電腦程4，其用於響應該關於該當前通知，遠程啓動該指令碼因應。之您程 4 2 ·根據申請專利筋圖楚圍弟41項之電腦可用媒體，其中該遠端接收器係一無線裝置。 O:\89\89732.DOC