DE102008010790B4 - Real-time virus protection procedure for unencrypted and encrypted data - Google Patents

Real-time virus protection procedure for unencrypted and encrypted data Download PDF

Info

Publication number
DE102008010790B4
DE102008010790B4 DE102008010790.5A DE102008010790A DE102008010790B4 DE 102008010790 B4 DE102008010790 B4 DE 102008010790B4 DE 102008010790 A DE102008010790 A DE 102008010790A DE 102008010790 B4 DE102008010790 B4 DE 102008010790B4
Authority
DE
Germany
Prior art keywords
data
module
message
port
messages
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE102008010790.5A
Other languages
German (de)
Other versions
DE102008010790A1 (en
Inventor
Prof. Dr. Rozek Werner
Dipl.-Ing. Rozek Thomas
Jan Rozek
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ROZEK, WERNER, PROF. DR.-ING. DIPL.-ING., DE
Original Assignee
Fachhochschule Schmalkalden
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fachhochschule Schmalkalden filed Critical Fachhochschule Schmalkalden
Priority to DE102008010790.5A priority Critical patent/DE102008010790B4/en
Publication of DE102008010790A1 publication Critical patent/DE102008010790A1/en
Application granted granted Critical
Publication of DE102008010790B4 publication Critical patent/DE102008010790B4/en
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/564Static detection by virus signature recognition

Abstract

Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten, bei dem Scannersoftware auf der Basis bekannter Virensignaturen eingesetzt werden, ist dadurch gekennzeichnet, – dass eine Einheit unverschlüsselte Daten vor der Verschlüsselung auf Infizierung prüft, bei Infizierung die Daten säubert, die nicht infizierten Daten in Datenpakete zerlegt, dessen Hashwerte oder Prüfsummen bildet, diese den Datenpaketen zuordnet, sie anschließend verschlüsselt sowie mit mindestens einer Nachricht verknüpft, – dass die Einheit verschlüsselte Daten anhand der Nachricht oder der Nachrichten erkennt, daraufhin die Daten entschlüsselt, Hashwerte oder Prüfsummen errechnet, diese mit den übertragenen Hashwerten oder Prüfsummen vergleicht und anhand dessen auf Infizierung entscheidet, – dass die Einheit aus mindestens einem Modul besteht, das lokal vor dem Datennutzungsbereich geschaltet ist, – dass das Modul aus den an einem Port eintreffenden Daten Teildaten herausschneidet und diese an einen separaten Port bereitstellt, – dass ein anderes Modul die bereitgestellten Teildaten vom separaten Port liest und sie nach mindestens einer vordefinierten Nachricht untersucht, – dass das Nachrichten untersuchende Modul beim Vorfinden der Nachricht oder Nachrichten das Teildaten bereitstellende Modul zur Bereitstellung aller weiteren Daten am separaten Port auffordert, wobei daraufhin das Teildaten bereitstellende Modul alle weiteren Daten am separaten Port bereitstellt, – dass das Nachrichten untersuchende Modul bei vorgefundener Nachricht oder vorgefundenen Nachrichten die Daten entschlüsselt, aus den Daten mindestens eine Prüfsumme oder einen Hashwert berechnet, mindestens einen Hashwert- oder Prüfsummenvergleich zwischen berechneter und dem Datenstrom enthaltender Prüfsumme oder enthaltenen Hashwert vornimmt und anhand des Vergleichsergebnisses bzw. der Vergleichsergebnisse die Infizierung der Daten erkennt, – dass das Nachrichten untersuchende Modul bei nicht infizierten Daten die Daten unverschlüsselt oder verschlüsselt an ein separaten Port bereitstellt, – dass das Teildaten bereitstellende Modul oder ein weiteres Modul die, vom Nachrichten untersuchenden Modul bereitgestellten, nicht infizierte Daten vom separaten Port liest und diese über ein weiteren Port ausgibt, – dass beim Nichtvorfinden der vordefinierten Nachricht oder Nachrichten durch das Nachrichten untersuchende Modul das Teildaten bereitstellende Modul oder ein weiteres Modul alle eintreffende Daten auf Infizierung überprüft, bei Infizierung die Daten säubert und die gesäuberten oder nicht infizierten Daten an ein separaten Port ausgibt.A method for real-time virus protection of unencrypted and encrypted data, in which scanner software based on known virus signatures are used, is characterized in that - a unit checks unencrypted data for infection before encryption, cleans the data during infection, breaks down the uninfected data into data packets, whose hash values or checksums are formed, these are then assigned to the data packets, then encrypted and linked to at least one message, - the unit recognizes encrypted data based on the message or messages, then decrypts the data, calculates hashes or checksums, these with the transmitted hash values or checksums and on the basis of which it decides on infection - that the unit consists of at least one module that is switched locally before the data usage area, - that the module derives from the data arriving at a port partial data and that delivers them to a separate port, that another module reads the provided partial data from the separate port and examines it for at least one predefined message, that the message-examining module, upon finding the message or messages, the sub-data-providing module for providing all others Data on the separate port requests, in which case the sub-data providing module provides all other data on the separate port, - that the message-scanning module decrypt the data found, found from the data at least one checksum or hash value, at least one hash value for found message or found messages - or checksum comparison between calculated and the data stream containing checksum or contained hash value and based on the comparison result or the comparison results detects the infection of the data, - that the messages under for uninfected data, the data unencrypted or encrypted provides the data to a separate port, that the sub-data providing module or another module reads the uninfected data provided by the message-scanning module from the separate port and outputs it via another port; - If, in the absence of the predefined message or messages by the module examining messages, the subdata providing module or another module checks all incoming data for infection, cleans the data upon infection and outputs the cleaned or uninfected data to a separate port.

Description

Die vorliegende Erfindung betrifft ein Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten.The present invention relates to a method for real-time virus protection of unencrypted and encrypted data.

Bekannte technische Lösungen wie z. B. McAfee basieren auf im eigenen PC implementierter Scannersoftware. Des Weiteren gibt es Virenschutz außerhalb des eigenen PC, den so genannten Online-Virenschutz. Ein Vertreter dieser Schutzart ist SaferSurf.com. SaferSurf.com bietet eine Dienstleistung im Internet an, die den PC schon beim Surfen und Mailen vor dem Infizieren schützt. Anforderungen des den Dienst in Anspruch nehmenden PC und Daten die aus dem Internet abgefragt werden, werden zum Dienstanbieter umgelenkt. Dort werden die Daten in Echtzeit auf Viren, Würmern, Trojanern, Spyware und Dialer untersucht und gesäubert.Known technical solutions such. B. McAfee are based on scanner software implemented in their own PC. Furthermore, there is virus protection outside of your own PC, the so-called online virus protection. A representative of this type of protection is SaferSurf.com. SaferSurf.com offers a service on the Internet that protects your PC from being infected while surfing and mailing. Requirements of the PC using the service and data requested from the Internet are redirected to the service provider. There, the data is examined and cleaned in real time for viruses, worms, Trojans, spyware and dialers.

Danach werden sie dem anfordernden PC zugesandt. Der Vorteil dieser Lösung zur Scannersoftware McAffee ist, dass ein aktueller Schutz ohne Installation und Pflege einer Anti-Virensoftware vorhanden ist. Ein Nachteil dieser Lösung besteht darin, dass Viren in codierten Daten nur durch Dekodierung erkannt werden können. Alle Daten liegen dem Dienstanbieter vor und sind somit beim Dienstanbieter abhörbar.After that, they will be sent to the requesting PC. The advantage of this McAffee scanner software solution is that it provides up-to-date protection without the installation and maintenance of antivirus software. A disadvantage of this solution is that viruses in coded data can only be recognized by decoding. All data are available to the service provider and are therefore audible to the service provider.

In DE60010220T2 sind ein Verfahren und eine Vorrichtung zur Erzeugung und Verwendung eines virenfreien Dateizertifikats beschrieben. Vom Client-Arbeitsplatzrechner benötigte Dateien sind in Verbindung mit je einem zugeordneten Zertifikat auf einem Web-/Dateiserver gespeichert. Das zugeordnete Zertifikat signalisiert die Virusfreiheit einer geprüften Datei und wird von einem Virusfrei-Zertifizierungsstellenserver bei Anforderung durch den Dateiserver bereitgestellt.In DE60010220T2 For example, a method and apparatus for creating and using a virus-free file certificate is described. Files required by the client workstation are stored in association with each associated certificate on a web / file server. The associated certificate signals virus freedom of a validated file and is provided by a virus-free certification authority server when requested by the file server.

Der Client-Arbeitsplatzrechner lädt Datei und zugeordnetes Zertifikat in ein Verzeichnis und veranlasst die Datei-Virusprüfung. Das dabei verwendete Anti-Virus-Programm prüft anhand des Zertifikats die Virusfreiheit der Datei.The client workstation loads the file and associated certificate into a directory and initiates file virus scanning. The used anti-virus program uses the certificate to check the virus freedom of the file.

Druckschrift DE60303753T2 offenbart ein Verfahren und ein System zum Erkennen von Schadcode in Computerdateien anhand von alten und neuen Hashwerten. Das System enthält ein Selektionsmodul, Hash-Generator und eine Datenbank. Zwecks Erkennung eines Virus kommuniziert das Selektionsmodul mit Hash-Generator und Datenbank, um den neuen Hashwert eines kritischen Zielbereiches zu erhalten und vergleicht diesen mit dem voran ermittelten Hashwert des gleichen kritischen Zielbereiches.pamphlet DE60303753T2 discloses a method and system for detecting malicious code in computer files based on old and new hash values. The system contains a selection module, hash generator and a database. In order to detect a virus, the selection module communicates with hash generator and database to obtain the new hash value of a critical target area and compares this with the previously determined hash value of the same critical target area.

Aus DE69407812T2 sind weiterhin „ein Verfahren und eine Vorrichtung zum Überprüfen der Gültigkeit von Daten in einem Datenverarbeitungsnetzwerk bekannt.” Im Einzelnen prüft das Verfahren zum einen Daten auf Viren und zum anderen die Autorisierung der Datenverwendung im jeweiligen Netzwerk.Out DE69407812T2 Furthermore, "a method and a device for verifying the validity of data in a data processing network known." In detail, the method checks on the one hand data on viruses and on the other hand, the authorization of the data usage in the respective network.

Eine Workstation berechnet eine Datei-charakteristische verschlüsselte Prüfsumme und vergleicht diese mit gespeicherten Prüfsummen, um die Datengültigkeit (Virenfreiheit) zu prüfen.A workstation computes a file-characteristic encrypted checksum and compares this with stored checksums to verify data validity (virus-free).

US5983348A bezieht sich auf einen Java-Applet-Scanner in Form eines HTTP-Proxy-Servers, der statische Scanüberwachung und Laufzeitüberwachung beim Scannen kombiniert, um bösartigen Schadcode aufzuspüren. Zum dynamischen Aufspüren des Schadcodes wird jeweils eine Vorfilterung bzw. ein Postfilterung durchgeführt. US5983348A refers to a Java proxy HTTP proxy server that combines static scan monitoring and runtime scanning scanning to detect malicious malicious code. For the dynamic detection of the malicious code, a prefiltering or a postfiltering is carried out in each case.

Ein Malware-Erkennungssystem ist aus der Druckschrift US7257842B2 bekannt.A malware detection system is from the publication US7257842B2 known.

Die Identifizierung von Malware mit Computerviren, Würmern, Trojanern oder anderen Schadbestandteilen wird anhand von Dateinamen, Dateigrößen und Speicherorten sowie Prüfsummen durchgeführt. Bei Unkorrektheit der zugeordneten Prüfsumme wird ein Virenscan ausgeführt sonst nicht.The identification of malware with computer viruses, worms, Trojans or other malicious components is performed on the basis of file names, file sizes and storage locations as well as checksums. If the assigned checksum is incorrect, a virus scan will be executed otherwise.

All diese Lösungen besitzen den schon benannten Nachteil, dass Viren in codierten Daten nur durch Dekodierung erkannt werden können. Um dekodieren zu können, müssen auch die Schlüssel beim Dienstanbieter vorliegen.All of these solutions have the already mentioned disadvantage that viruses in coded data can only be recognized by decoding. In order to be able to decode, the keys must also be available from the service provider.

Die Aufgabe der Erfindung besteht darin, ein lokal agierendes Echtzeitvirenschutzverfahren zuschaffen, mit dem unverschlüsselte und verschlüsselte Daten auf Viren, Würmer, Trojaner, Dialer und Spyware ohne Preisgabe der Schlüssel an Dritten untersucht werden können. Ziel ist es, dass der PC-Nutzer von jeglichen Installationen und jeglicher Pflege einer Antivirensoftware befreit wird. Warnungen an den PC-Nutzer über Viren, Würmer, Trojaner u. a. m. sind somit überflüssig.The object of the invention is to provide a locally acting real-time virus protection method with which unencrypted and encrypted data on viruses, worms, Trojans, dialers and spyware can be examined without disclosing the keys to third parties. The goal is to free the PC user from any installation or maintenance of antivirus software. Warnings to PC users about viruses, worms, Trojans, etc. a. m. are therefore superfluous.

Erfindungsgemäß wird die Aufgabe durch die in den Ansprüchen dargestellte Lehre gelöst.According to the invention the object is achieved by the teaching presented in the claims.

Im Folgenden wird die Erfindung beispielhaft anhand der in den 1 und 2 dargestellten Einheiten 4 und 5 erläutert. 1 zeigt eine Einheit 4, bestehend aus den drei Modulen 1, 2 und 3. Modul 1 (embedded PC1) enthält mindestens die Ethernetschnittstellen 1.1 und 1.2, ein Port 1.3, serielle Interface 1.4, ein separaten Port 2.1 und ein Switch 1.5. Das Modul 2 (embedded PC2) beinhaltet mindestens ein separaten Port 2.1 und ein separaten Port 2.3. Das Modul 3 (embedded PC3) enthält mindestens die Ethernetschnittstellen 3.1 und 3.2, ein Port 1.3, serielle Interface 3.4, ein separaten Port 2.3 und ein Switch 3.3. Modul 1 und Modul 3 stehen über ihre Ports 1.3 in Verbindung. Modul 1 und Modul 2 sind durch ihre Ports 2.1 und über eine Steuerleitung 2.2 verbunden. Modul 2 und 3 sind über ihre Ports 2.3 und über eine Steuerleitung 2.4 miteinander verschaltet.In the following, the invention will be described by way of example with reference to FIGS 1 and 2 represented units 4 and 5 explained. 1 shows a unit 4 , consisting of the three modules 1 . 2 and 3 , module 1 (embedded PC1) contains at least the Ethernet interfaces 1.1 and 1.2 , a port 1.3 , serial interface 1.4 , a separate port 2.1 and a switch 1.5 , The module 2 (embedded PC2) contains at least one separate port 2.1 and a separate port 2.3 , The module 3 (embedded PC3) contains at least the Ethernet interfaces 3.1 and 3.2 , a port 1.3 , serial interface 3.4 , a separate port 2.3 and a switch 3.3 , module 1 and module 3 stand over their ports 1.3 in connection. module 1 and module 2 are through their ports 2.1 and via a control line 2.2 connected. module 2 and 3 are over their ports 2.3 and via a control line 2.4 interconnected with each other.

Werden Daten aus dem Internet geladen, so treffen die Daten am Ethernetport 1.1 des Moduls 1 ein. Aus den eintreffenden Daten entnimmt das Modul in der Regel erste Teildaten und stellt sie dem Modul am separaten Port 2.1 für das Modul 2 bereit. Modul 2 liest die Teildaten an seinem Port 2.1 und untersucht die Teildaten auf das Vorhandensein vordefinierter Nachrichten (Kennzeichen). Findet das Modul 2 die vordefinierten Nachrichten, so fordert Modul 2 das Modul 1 zur Bereitstellung aller weiteren Daten am separaten Port 2.1 auf. Das Modul 1 stellt daraufhin alle weiteren Daten am separaten Port 2.1 bereit. Modul 2 liest alle bereitgestellte Daten am Port 2.1 und entschlüsselt sie. Es berechnet mindestens eine Prüfsumme und vergleicht diese mit der entsprechenden Prüfsumme im Datenstrom. Vorteilhaft sind die Daten in Datenpakete gepackt, wobei jedes Datenpaket mit einer Datenpaketprüfsumme versehen ist. Ist einer der Prüfsummenvergleiche fehlerhaft, so werden die Daten als infiziert angesehen und verworfen. Bei nicht infizierten Daten stellt das Modul die Daten unverschlüsselt oder verschlüsselt an den separaten Port 2.3 bereit. Modul 3 entnimmt an seinem Port 2.3 die bereitgestellten Daten und gibt sie über die Intranetschnittstelle 3.1 oder über die Security Intranetschnittstelle 3.2 oder über ein serielles Interface 3.4 aus. Ein der seriellen Interface könnte eine USB-Schnittstelle sein, an der ein Massenspeicher angeschaltet ist.If data is loaded from the Internet, the data will hit the Ethernet port 1.1 of the module 1 one. As a rule, the module extracts first partial data from the incoming data and places it on the separate port of the module 2.1 for the module 2 ready. module 2 reads the part data at its port 2.1 and examines the partial data for the presence of predefined messages (indicator). Find the module 2 the predefined messages, so module calls 2 the module 1 to provide all other data on the separate port 2.1 on. The module 1 then sets all other data on the separate port 2.1 ready. module 2 reads all provided data at the port 2.1 and decrypt it. It calculates at least one checksum and compares them with the corresponding checksum in the data stream. Advantageously, the data is packed in data packets, each data packet being provided with a data packet checksum. If one of the checksum comparisons fails, the data is considered infected and discarded. For uninfected data, the module places the data unencrypted or encrypted on the separate port 2.3 ready. module 3 takes off at his port 2.3 the data provided and gives it via the intranet interface 3.1 or via the security intranet interface 3.2 or via a serial interface 3.4 out. One of the serial interfaces could be a USB interface to which a mass storage device is connected.

Findet das Modul 2 in den ersten bereitgestellten Teildaten die vordefinierte Nachricht bzw. die vordefinierten Nachrichten nicht, so fordert Modul 2 das Modul 1 nicht zur weiteren Bereitstellungen von Daten auf. Daraufhin übernimmt das Modul 1 oder das Modul 3 die Prüfung der Daten auf Infizierung. Die Prüfung erfolgt mit Hilfe einer Scannersoftware anhand von Signaturen der Infizierungen. Die Scannersoftware und alle Signaturen werden von einem zentralen Dienstanbieter ohne Mitwirkung des Nutzers der Einheit 4 über das Internet bereitgestellt.Find the module 2 module does not request the predefined message or messages in the first partial data provided 2 the module 1 not for further provision of data. Then the module takes over 1 or the module 3 checking the data for infection. The check is carried out with the help of a scanner software based on signatures of the infections. The scanner software and all signatures are provided by a central service provider without the involvement of the user of the unit 4 provided via the internet.

Unverschlüsselte Daten, die über das Intranet oder über ein serielles Interface in die Einheit 4 eingelesen werden, werden von einem der Module 1 und 3 auf Infizierung geprüft, bei Infizierung von der Infizierung befreit und an dem jeweilig separaten Port 2.1 oder 2.3 für das Modul 2 bereitgestellt. Modul 2 übernimmt die nicht infizierten Daten, packt die Daten in Datenpakete, bestimmt deren Prüfsummen, integriert diese in die Datenpakete, verschlüsselt diese Datenpakete und fügt mindestens eine Nachricht (Kennzeichen) hinzu. Die mit mindestens einer Nachricht versehenen, verschlüsselten Daten werden vom Modul an einen der separaten Ports 2.3 oder 2.1 bereitgestellt. Eines der Module 3 oder 1 liest die Daten vom Port 2.3 oder 2.1 und gibt diese über ein serielles Interface oder über den Intranetport oder über den Internetport aus. Werden die Daten von einem der Ports 3.1, 3.4, 1.4 gelesen und werden die Daten an einem der Ports 1.4, 3.1, 3.4 ausgegeben, so trennt das Modul 2 über die Steuerleitung 2.2 und dem Switch 1.5 die Einheit 4 vom Internet. Werden die Daten vom Port 1.4 gelesen und am Port 3.4 ausgegeben oder invers, so trennt das Modul 2 über beide Steuerleitungen 2.2, 2.4 und beide Switch 1.5, 3.3 die Einheit 4 von dem Internet und dem Intranet.Unencrypted data sent to the unit via the intranet or via a serial interface 4 are read by one of the modules 1 and 3 Checked for infection, free from infection in case of infection and at the respective separate port 2.1 or 2.3 for the module 2 provided. module 2 Adopts the uninfected data, packs the data into data packets, determines their checksums, integrates them into the data packets, encrypts these data packets and adds at least one message (tag). The encrypted data provided with at least one message is sent from the module to one of the separate ports 2.3 or 2.1 provided. One of the modules 3 or 1 reads the data from the port 2.3 or 2.1 and outputs them via a serial interface or via the intranet port or the internet port. Will the data be from one of the ports 3.1 . 3.4 . 1.4 read and read the data on one of the ports 1.4 . 3.1 . 3.4 output, so the module disconnects 2 over the control line 2.2 and the switch 1.5 the unit 4 by the Internet. Will the data from the port 1.4 read and at the port 3.4 output or inverse, so the module disconnects 2 over both control lines 2.2 . 2.4 and both switch 1.5 . 3.3 the unit 4 from the internet and the intranet.

2 zeigt eine zweite Ausführungsvariante für die Realisierung des erfindungsgemäßen Verfahrens. Eine Einheit 5 enthält mindestens die drei Ethernetschnittstellen 5.1, 5.3, 5.4, eine optionale Ethernetschnittstelle 5.2, die zwei Switch 5.5, 5.6, ein Modul 2 und ein Modul 6. Das Modul 2 (embedded PC2) beinhaltet mindestens ein separaten Port 2.1 und ein separaten Port 2.3. Das Modul 6 (embedded PC6) enthält mindestens die Ethernetschnittstellen 6.1, 6.2, serielle Interface 6.3, ein separaten Port 2.1 und ein separaten Port 2.3. Modul 2 und 6 sind über die separaten Ports 2.1 und 2.3 miteinander verbunden. Über die Steuerleitungen 2.2 und 2.4 werden die Switch 5.5 und 5.6 gesteuert. 2 shows a second embodiment variant for the realization of the method according to the invention. One unity 5 Contains at least the three Ethernet interfaces 5.1 . 5.3 . 5.4 , an optional Ethernet interface 5.2 that two switch 5.5 . 5.6 , a module 2 and a module 6 , The module 2 (embedded PC2) contains at least one separate port 2.1 and a separate port 2.3 , The module 6 (embedded PC6) contains at least the Ethernet interfaces 6.1 . 6.2 , serial interface 6.3 , a separate port 2.1 and a separate port 2.3 , module 2 and 6 are over the separate ports 2.1 and 2.3 connected with each other. About the control lines 2.2 and 2.4 become the switch 5.5 and 5.6 controlled.

Die Abläufe der Infizierungsprüfung durch die Module 2 und 6 entsprechen den, in der ersten Ausführungsvariante, dargestellten Abläufen zur Infizierungsprüfung, wobei die Aufgaben der Module 1 und 3 durch das Modul 6 vollständig übernommen werden. Die Abläufe von Modul 2 der zweiten Ausführungsvariante (2) stimmen vollständig mit den Abläufen des Moduls 2 der ersten Ausführungsvariante (1) überein.The processes of the infection test by the modules 2 and 6 correspond to the, in the first embodiment variant, shown procedures for Infizierungsprüfung, the tasks of the modules 1 and 3 through the module 6 be completely taken over. The processes of Modul 2 the second embodiment ( 2 ) completely agree with the procedures of the module 2 the first embodiment ( 1 ) match.

Mit den beschriebenen Verschaltungsmöglichkeiten kann das Infizieren über tragbare Datenträger ebenfalls verhindert werden, so dass ein am Intranet angeschlossener ungeschützter PC durch die Einheit 4 oder 5 vor Ansteckung geschützt ist.With the described Verschaltungsmöglichkeiten infection via portable data carriers can also be prevented, so that connected to the intranet unprotected PC through the unit 4 or 5 protected against infection.

Die Implementierung des Scannmechanismus in die Einheit 4 oder 5 und die ständigen automatischen Aktualisierungen der Virensignaturen stellen einen wirksamen laientauglichen Schutz dar. Spezialisten der Dienstanbieter pflegen rund um die Uhr den Scannmechanismus. Die Einheit 4 oder die Einheit 5 schützt den Heimcomputer vor Viren, Würmer, Trojaner, Spyware und Dialer bevor sie ihn erreichen. Dieser Schutz wird erlangt, ohne dass die Daten zum Dienstanbieter gesandt werden müssen. Damit erhält der Dienstanbieter keinerlei Kenntnis über den Inhalt der Daten. Das Übertragen der Virenschutzfunktion auf eine der Einheiten 4 oder 5 löst gleichzeitig die Probleme herkömmlicher Antivirensoftware bei zeitkritischen Anwendungen bzw. Datenbankanwendungen im angeschlossenen Computer.The implementation of the scanning mechanism in the unit 4 or 5 and the constant automatic updates of the virus signatures represent effective protection suitable for the laity. Specialists of the service providers maintain the scanning mechanism around the clock. The unit 4 or the unit 5 protects the home computer from viruses, worms, trojans, spyware and dialers before they reach it. This protection is obtained without the data having to be sent to the service provider. This gives the service provider no knowledge of the content of the data. Transferring the anti-virus function to one of the units 4 or 5 simultaneously solves the problems of traditional antivirus software in time-critical applications or database applications in the connected computer.

Claims (7)

Verfahren zum Echtzeitvirenschutz unverschlüsselter und verschlüsselter Daten, bei dem Scannersoftware auf der Basis bekannter Virensignaturen eingesetzt werden, ist dadurch gekennzeichnet, – dass eine Einheit unverschlüsselte Daten vor der Verschlüsselung auf Infizierung prüft, bei Infizierung die Daten säubert, die nicht infizierten Daten in Datenpakete zerlegt, dessen Hashwerte oder Prüfsummen bildet, diese den Datenpaketen zuordnet, sie anschließend verschlüsselt sowie mit mindestens einer Nachricht verknüpft, – dass die Einheit verschlüsselte Daten anhand der Nachricht oder der Nachrichten erkennt, daraufhin die Daten entschlüsselt, Hashwerte oder Prüfsummen errechnet, diese mit den übertragenen Hashwerten oder Prüfsummen vergleicht und anhand dessen auf Infizierung entscheidet, – dass die Einheit aus mindestens einem Modul besteht, das lokal vor dem Datennutzungsbereich geschaltet ist, – dass das Modul aus den an einem Port eintreffenden Daten Teildaten herausschneidet und diese an einen separaten Port bereitstellt, – dass ein anderes Modul die bereitgestellten Teildaten vom separaten Port liest und sie nach mindestens einer vordefinierten Nachricht untersucht, – dass das Nachrichten untersuchende Modul beim Vorfinden der Nachricht oder Nachrichten das Teildaten bereitstellende Modul zur Bereitstellung aller weiteren Daten am separaten Port auffordert, wobei daraufhin das Teildaten bereitstellende Modul alle weiteren Daten am separaten Port bereitstellt, – dass das Nachrichten untersuchende Modul bei vorgefundener Nachricht oder vorgefundenen Nachrichten die Daten entschlüsselt, aus den Daten mindestens eine Prüfsumme oder einen Hashwert berechnet, mindestens einen Hashwert- oder Prüfsummenvergleich zwischen berechneter und dem Datenstrom enthaltender Prüfsumme oder enthaltenen Hashwert vornimmt und anhand des Vergleichsergebnisses bzw. der Vergleichsergebnisse die Infizierung der Daten erkennt, – dass das Nachrichten untersuchende Modul bei nicht infizierten Daten die Daten unverschlüsselt oder verschlüsselt an ein separaten Port bereitstellt, – dass das Teildaten bereitstellende Modul oder ein weiteres Modul die, vom Nachrichten untersuchenden Modul bereitgestellten, nicht infizierte Daten vom separaten Port liest und diese über ein weiteren Port ausgibt, – dass beim Nichtvorfinden der vordefinierten Nachricht oder Nachrichten durch das Nachrichten untersuchende Modul das Teildaten bereitstellende Modul oder ein weiteres Modul alle eintreffende Daten auf Infizierung überprüft, bei Infizierung die Daten säubert und die gesäuberten oder nicht infizierten Daten an ein separaten Port ausgibt.A method for real-time virus protection of unencrypted and encrypted data, in which scanner software based on known virus signatures are used, is characterized in that - a unit checks unencrypted data for infection before encryption, cleans the data during infection, breaks down the uninfected data into data packets, whose hash values or checksums are formed, these are then assigned to the data packets, then encrypted and linked to at least one message, - the unit recognizes encrypted data based on the message or messages, then decrypts the data, calculates hashes or checksums, these with the transmitted hash values or checksums and on the basis of which it decides on infection - that the unit consists of at least one module that is switched locally before the data usage area, - that the module derives from the data arriving at a port partial data and that delivers them to a separate port, that another module reads the provided partial data from the separate port and examines it for at least one predefined message, that the message-examining module, upon finding the message or messages, the sub-data-providing module for providing all others Data on the separate port requests, in which case the sub-data providing module provides all other data on the separate port, - that the message-scanning module decrypt the data found in the message or found messages from the data computes at least one checksum or hash value, at least one hash value - or checksum comparison between calculated and the data stream containing checksum or contained hash value and based on the comparison result or the comparison results detects the infection of the data, - that the messages under for uninfected data, the data unencrypted or encrypted provides the data to a separate port, that the sub-data providing module or another module reads the uninfected data provided by the message-scanning module from the separate port and outputs it via another port; - If, in the absence of the predefined message or messages by the module examining messages, the subdata providing module or another module checks all incoming data for infection, cleans the data upon infection and outputs the cleaned or uninfected data to a separate port. Verfahren nach dem obigen Anspruch dadurch gekennzeichnet, – dass die an einem Port eines Moduls eintreffenden Daten unverschlüsselte Daten sind, die vom Modul auf Infizierungen geprüft, bei Infizierung durch das Modul gesäubert, die gesäuberten oder nicht infizierten Daten an einem separaten Port für das Nachrichten untersuchende Modul bereitgestellt werden, – dass das Nachrichten untersuchende Modul die nicht infizierten und unverschlüsselten Daten vom separaten Port liest, eine oder mehrere Prüfsummen oder einen oder mehrere Hashwerte bildet, diese mit den Daten verschlüsselt, – dass das Nachrichten untersuchende Modul die verschlüsselten mit Prüfsumme oder Hashwerten versehenden Daten mit einer Nachricht oder mehreren Nachrichten versieht und die mit den Nachrichten versehenen verschlüsselten Daten an ein separaten Port bereitstellt, wo sie vom, auf Infizierungen, untersuchenden Modul oder einen weiteren Modul gelesen und über ein Port ausgegeben werden.A method according to the preceding claim, characterized in that - the data arriving at a port of a module is unencrypted data checked by the module for infections, cleaned on infection by the module, cleaned or uninfected data on a separate port for the message inspector Module - that the message-inspecting module reads the uninfected and unencrypted data from the separate port, forms one or more checksums or one or more hash values, encrypts them with the data, - that the message-examining module encrypted the hashes or hashes providing one or more messages to the providing data and providing the encrypted data provided with the messages to a separate port where they are read by, on infections, examining module or another module and output via a port. Verfahren nach den obigen Ansprüchen dadurch gekennzeichnet, dass die Nachrichten Anschriftdaten und/oder ein Datum und dessen Duplikat oder mehrere Daten und deren Duplikate sind.Method according to the above claims, characterized in that the messages are address data and / or a date and its duplicate or several data and their duplicates. Verfahren nach den Ansprüchen 1 und 2 dadurch gekennzeichnet, dass die Prüfung auf Infizierung der Daten anhand von Signaturen der Infizierungen erfolgt, die dem, die Infizierung, untersuchenden Modul von einem Dienstanbieter ohne Mitwirkung eines Nutzers zur Verfügung gestellt werden.Method according to claims 1 and 2, characterized in that the examination for infecting the data takes place on the basis of signatures of the infections which are made available to the, the infection, examining module of a service provider without the participation of a user. Verfahren nach dem Anspruch 1 dadurch gekennzeichnet, dass die eintreffenden Daten über ein Internetport in das Teildaten bereitstellende Modul eintritt, dass das Teildaten bereitstellende Modul oder das weitere Modul die am separaten Port gelesenen nicht infizierten Daten verschlüsselt oder unverschlüsselt über ein Intranetport oder über ein serielles Interface ausgibt.Method according to claim 1, characterized in that the incoming data via an Internet port enters the sub-data providing module, that the sub-data providing module or the further module encrypts the non-infected data read on the separate port or unencrypted via an intranet port or via a serial interface outputs. Verfahren nach den Ansprüchen 1 und 2 dadurch gekennzeichnet, dass die eintreffenden Daten über ein Intranetport oder über ein serielles Interface in das Teildaten bereitstellende Modul eintritt, dass das Teildaten bereitstellende Modul oder das weitere Modul die am separaten Port gelesenen nicht infizierten Daten verschlüsselt oder unverschlüsselt über ein Internetport oder über ein serielles Interface ausgibt.Method according to claims 1 and 2, characterized in that the incoming data via an intranet port or via a serial interface enters the sub-data providing module, that the sub-data providing module or the further module encrypts the non-infected data read on the separate port or unencrypted over an Internet port or via a serial interface outputs. Verfahren nach den Ansprüchen 1 und 6 dadurch gekennzeichnet, dass bei Ausgabe der nicht infizierten Daten über das serielle Interface die Einheit vor und während der Ausgabe vom Internet getrennt ist.Method according to Claims 1 and 6, characterized in that, when the uninfected data is output via the serial interface, the Unit is disconnected before and during the output from the Internet.
DE102008010790.5A 2008-02-22 2008-02-22 Real-time virus protection procedure for unencrypted and encrypted data Expired - Fee Related DE102008010790B4 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE102008010790.5A DE102008010790B4 (en) 2008-02-22 2008-02-22 Real-time virus protection procedure for unencrypted and encrypted data

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
DE102008010790.5A DE102008010790B4 (en) 2008-02-22 2008-02-22 Real-time virus protection procedure for unencrypted and encrypted data

Publications (2)

Publication Number Publication Date
DE102008010790A1 DE102008010790A1 (en) 2009-08-27
DE102008010790B4 true DE102008010790B4 (en) 2015-09-10

Family

ID=40896685

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102008010790.5A Expired - Fee Related DE102008010790B4 (en) 2008-02-22 2008-02-22 Real-time virus protection procedure for unencrypted and encrypted data

Country Status (1)

Country Link
DE (1) DE102008010790B4 (en)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69407812T2 (en) * 1993-10-29 1998-07-16 Sophos Plc VALIDITY CHECK
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
DE60010220T2 (en) * 2000-01-06 2005-04-28 International Business Machines Corp. Method and apparatus for creating and using a virus-free file certificate
DE60303753T2 (en) * 2002-10-07 2006-12-28 Symantec Corp., Cupertino Selective recognition of malicious computer code
US7257842B2 (en) * 2003-07-21 2007-08-14 Mcafee, Inc. Pre-approval of computer files during a malware detection

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE69407812T2 (en) * 1993-10-29 1998-07-16 Sophos Plc VALIDITY CHECK
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
DE60010220T2 (en) * 2000-01-06 2005-04-28 International Business Machines Corp. Method and apparatus for creating and using a virus-free file certificate
DE60303753T2 (en) * 2002-10-07 2006-12-28 Symantec Corp., Cupertino Selective recognition of malicious computer code
US7257842B2 (en) * 2003-07-21 2007-08-14 Mcafee, Inc. Pre-approval of computer files during a malware detection

Also Published As

Publication number Publication date
DE102008010790A1 (en) 2009-08-27

Similar Documents

Publication Publication Date Title
DE10394008B4 (en) System and method for detecting and tracking denial of service attacks
DE102011056502A1 (en) Method and apparatus for automatically generating virus descriptions
US20070214503A1 (en) Correlation engine for detecting network attacks and detection method
DE102007057900A1 (en) Authenticate suspicious data using keytables
CN108234453A (en) A kind of web safety defense methods of rule-based Java
EP3251012B1 (en) Checking system for checking a computer of a computer system in a checking network
US20160294848A1 (en) Method for protection of automotive components in intravehicle communication system
CN106506726A (en) A kind of method of verification DNS real users
DE102014107783B4 (en) Routing procedure for forwarding task instructions between computer systems, computer network infrastructure and computer program product
DE102014107793B9 (en) Method of routing data between computer systems, computer network infrastructure and computer program product
EP2362321A1 (en) Method and system for detecting malware
EP3734930A1 (en) Attack detection on comptersystems
DE102008010790B4 (en) Real-time virus protection procedure for unencrypted and encrypted data
DE10046437B4 (en) Identification method in a computer network
CN115567237A (en) Network security assessment method based on knowledge graph
DE102019129253B4 (en) Method and computer system for defending against an attack by malicious software via electronic messages
DE102018217432A1 (en) Check the integrity of embedded devices
RU2271613C1 (en) Method for protecting computer networks against unauthorized attack
AT525753B1 (en) Computer-implemented method for preventing unwanted connections and data transfers from programs on a client to a network
DE10102979C2 (en) Process for securing computers connected to a network for the purpose of checking network connections
EP2017758A1 (en) Computer-assisted system and computer-assisted method for content verification
DE102005061999A1 (en) Data transmitting method, involves inputting data to be transmitted to data processing device e.g. computer, using input mask that is decrypted by optical filter and transmitting data to data processing device e.g. server
DE102020133567A1 (en) GATEWAY, DEDICATED TO OT NETWORKS
WO2002056153A2 (en) Device for the forgery-proof identification, verification and authorisation of network applications
Mizutani et al. Behavior rule based intrusion detection

Legal Events

Date Code Title Description
8122 Nonbinding interest in granting licences declared
8120 Willingness to grant licences paragraph 23
R012 Request for examination validly filed

Effective date: 20121017

R016 Response to examination communication
R018 Grant decision by examination section/examining division
R020 Patent grant now final
R081 Change of applicant/patentee

Owner name: ROZEK, WERNER, PROF. DR.-ING. DIPL.-ING., DE

Free format text: FORMER OWNER: FACHHOCHSCHULE SCHMALKALDEN, 98574 SCHMALKALDEN, DE

R119 Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee