DE10249842A1 - Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz - Google Patents

Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz

Info

Publication number
DE10249842A1
DE10249842A1 DE10249842A DE10249842A DE10249842A1 DE 10249842 A1 DE10249842 A1 DE 10249842A1 DE 10249842 A DE10249842 A DE 10249842A DE 10249842 A DE10249842 A DE 10249842A DE 10249842 A1 DE10249842 A1 DE 10249842A1
Authority
DE
Germany
Prior art keywords
network
nodes
ips
node
update message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
DE10249842A
Other languages
English (en)
Inventor
Richard Paul Tarquini
George Simon Gales
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of DE10249842A1 publication Critical patent/DE10249842A1/de
Withdrawn legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1458Denial of Service
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/06Management of faults, events, alarms or notifications

Abstract

Ein Netz wird geschaffen, das ein Einbruchschutzsystem aufweist, das ein Netzmedium (200B), einen Verwaltungsknoten, der mit dem Netzmedium verbunden ist und eine Einbruchpräventationssystemverwaltungs-Anwendung betreibt, und eine Mehrzahl von Knoten, die mit dem Netzmedium verbunden sind und eine Instanz einer Einbruchschutzsystemanwendung betreiben, aufweist, wobei zumindest einer der Knoten eine Identifizierung aufweist, die demselben zugeordnet ist, basierend auf einer logischen Zuordnung, die einen oder mehrere der Mehrzahl von Knoten gruppiert, wobei jeder Knoten die Identifizierung teilt, die allgemein für zumindest eine Netzausbeutung anfällig ist.

Description

  • Diese Erfindung bezieht sich auf Netztechnologien und spezieller auf eine Technik zum Verteilen von Befehls- und Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz.
  • Netzausbeutungs-Angriffswerkzeuge, wie DoS-Angriffsdienstprogramme (DoS = denial-of-service = Dienstverweigerung) werden technisch immer ausgereifter, und aufgrund der sich entwickelnden Technologien sind sie einfach auszuführen. Technisch relativ ungebildete Angreifer können Computersystembeeinträchtigungen arrangieren oder in dieselben involviert sein, die auf eine oder mehrere ins Ziel gefaßte Einrichtungen gerichtet sind. Ein Netzsystemangriff (der hierin auch als Eindringen bezeichnet wird) ist eine unautorisierte oder böswillige Verwendung eines Computers oder eines Computernetzes und kann Hunderte oder Tausende von ungeschützten oder anderweitig beeinträchtigte Internetknoten zusammen in einem koordinierten Angriff auf ein oder mehrere ausgewählte Ziele umfassen.
  • Netzangriffswerkzeuge basierend auf dem Client- /Servermodell sind zu einem bevorzugten Mechanismus zum Ausführen von Netzangriffen auf ins Ziel gefaßte Netze oder Vorrichtungen geworden. Hochkapazitätsmaschinen in Netzen, die über eine unzureichende Sicherheit verfügen, werden von Angreifern gerne genutzt, um verteilte Angriffe von denselben zu starten. Universitätsserver weisen typischerweise eine hohe Konnektivität und Kapazität, jedoch eine relativ mittelmäßige Sicherheit auf. Solche Netze haben auch häufig unerfahrene oder überarbeite Netzadministratoren, die die Netze für die Involvierung in Netzangriffe sogar noch anfälliger machen.
  • Netzausbeutungs-Angriffswerkzeuge, die feindliche Angriffsanwendungen wie DoS-Dienstprogramme aufweisen, die zum Übertragen von Daten über ein Netzmedium verantwortlich sind, weisen häufig eine unterscheidbare "Signatur" oder ein erkennbares Muster innerhalb der übertragenen Daten auf. Die Signatur kann eine erkennbare Sequenz von speziellen Paketen und/oder erkennbaren Daten aufweisen, die innerhalb von einem oder mehreren Paketen enthalten sind. Eine Signaturanalyse wird häufig durch ein Netz-IPS (IPS = intrusion prevention system = Einbruchpräventionssystem) ausgeführt und kann als ein Musterübereinstimmungsalgorithmus implementiert sein und kann andere Signaturerkennungsfähigkeiten sowie Anwendungsüberwachungs-Dienstprogramme einer höheren Ebene aufweisen. Ein einfacher Signaturanalysealgorithmus kann nach einer speziellen Zeichenfolge suchen, die als einer feindlichen Anordnung zugeordnet identifiziert worden ist. Sobald die Zeichenfolge innerhalb eines Netzdatenstroms identifiziert worden ist, können das eine oder die mehreren Pakete, die die Zeichenfolge tragen, als "feindlich" oder ausbeutend identifiziert werden, und das IPS kann dann eine beliebige oder mehrere von einer Anzahl von Maßnahmen, wie Registrieren der Identifizierung des Rahmens, Ausführen einer Gegenmaßnahme oder Ausführen einer weiteren Datenarchivierungs- oder Schutzmaßnahme, ausführen.
  • Die IPS umfassen eine Technologie, die versucht, Ausbeutungen gegenüber einem Computersystem oder Netz von Computersystemen zu identifizieren. Zahlreiche Typen von IPS existieren und sind jeweils allgemein als entweder ein netzbasiertes, hostbasiertes oder knotenbasiertes IPS klassifiziert.
  • Die netzbasierten IPS-Vorrichtungen sind typischerweise dedizierte (bzw. zweckgebundene) Systeme, die an strategischen Stellen auf einem Netz plaziert sind, um Datenpakete zu untersuchen, um zu bestimmen, ob sie mit bekannten Angriffssignaturen übereinstimmen. Um Pakete mit bekannten Angriffssignaturen zu vergleichen, nutzen die netzbasierten IPS-Vorrichtungen einen Mechanismus, der als eine passive Protokollanalyse bezeichnet wird, um den gesamten Verkehr auf einem Netz unauffällig zu überwachen oder zu durchschnüffeln und um Ereignisse auf einer unteren Ebene, die von einem rohen Netzverkehr unterschieden werden können, zu erfassen. Die Netzausbeutungen können durch Identifizieren von Mustern oder andere beobachtbare Charakteristika von Netzrahmen erfaßt werden. Die netzbasierten IPS- Vorrichtungen untersuchen den Inhalt von Datenpaketen durch syntaktisches Analysieren von Netzrahmen und Paketen und Analysieren individueller Pakete basierend auf den Protokollen, die auf dem Netz verwendet werden. Eine netzbasierte IPS-Vorrichtung überwacht auf unauffällige Weise den Netzverkehr, d. h. andere Netzknoten können sich des Vorhandenseins der netzbasierten IPS-Vorrichtung nicht bewußt sein und tun dies auch häufig nicht. Eine passive Überwachung wird normalerweise durch eine netzbasierte IPS- Vorrichtung durch Implementieren eines "Wahllos-Modus"- Zugriffs von einer Netzschnittstellenvorrichtung ausgeführt. Eine Netzschnittstellenvorrichtung, die in dem wahllosen Modus arbeitet, kopiert Pakete direkt von dem Netzmedium, wie einem Koaxialkabel, einem 100baseT- oder anderem Übertragungsmedium, ungeachtet des Bestimmungsknotens, an den das Paket adressiert ist. Folglich ist kein einfaches Verfahren zum Übertragen von Daten über das Netzübertragungsmedium vorhanden, ohne daß die netzbasierte IPS- Vorrichtung dasselbe untersucht, und so kann die netzbasierte IPS-Vorrichtung den gesamten Netzverkehr, dem sie ausgesetzt ist, erfassen und analysieren. Nach der Identifizierung eines auffälligen Pakets, d. h. eines Pakets, das Attribute aufweist, die einer bekannten Angriffssignatur entsprechen, die auf ein Erscheinen durch die netzbasierte IPS-Vorrichtung überwacht wird, kann ein Alarm dadurch erzeugt werden und an ein Verwaltungsmodul des IPS übertragen werden, so daß ein Netzexperte Sicherheitsmaßnahmen umsetzen kann. Die netzbasierten IPS-Vorrichtungen haben den zusätzlichen Vorteil, daß sie in Echtzeit arbeiten und so einen Angriff, während dieser geschieht, erfassen können. Außerdem ist eine netzbasierte IPS-Vorrichtung ideal zur Implementierung einer statusbasierten IPS- Sicherheitsmaßnahme, die eine Anhäufung und Speicherung von identifizierten auffälligen Paketen von Angriffen erfordert, die nicht "atomar" identifiziert werden können, d. h. durch ein einzelnes Netzpaket. Zum Beispiel sind TCP- (TCP = transmission control protocol = Übertragungssteuerungsprotokoll) SYN- (SYN = synchronization = Synchronisierung) Flutattacken nicht durch ein einzelnes TCP-SYN-Paket identifizierbar, sondern werden allgemein vielmehr durch ein Anhäufen eines Zählwerts von TCP-SYN-Paketen identifiziert, die eine vordefinierte Schwelle über einen definierten Zeitraum überschreiten. Eine netzbasierte IPS-Vorrichtung ist daher eine ideale Plattform zum Implementieren einer statusbasierten Signaturerfassung, weil die netzbasierte IPS-Vorrichtung alle diese TCP-SYN-Pakete sammeln kann, die sich über das lokale Netzmedium bewegen, und kann daher die Häufigkeit von solchen Ereignissen ordnungsgemäß archivieren und analysieren.
  • Die netzbasierten IPS-Vorrichtungen können jedoch häufig eine große Anzahl von "falschen Positiven", d. h. unrichtigen Diagnosen eines Angriffs, erzeugen. Falsche Positivdiagnosen durch netzbasierte IPS-Vorrichtungen ergeben sich teilweise durch Fehler, die während einer passiven Analyse des Netzverkehrs erzeugt werden, die durch das IPS erfaßt werden, die in einer beliebigen Anzahl von netzunterstützten Protokollen verschlüsselt und formatiert werden können. Ein inhaltsmäßiges Abtasten durch ein netzbasiertes IPS ist auf einer verschlüsselten Verknüpfung nicht möglich, obwohl die Signaturanalyse basierend auf Protokollanfangsblöcken ungeachtet dessen ausgeführt werden kann, ob die Verknüpfung verschlüsselt ist oder nicht. Zusätzlich sind die netzbasierten IPS-Vorrichtungen bei Hochgeschwindigkeitsnetzen häufig uneffektiv. Da Hochgeschwindigkeitsnetze immer üblicher werden, werden die software-basierten, netzbasierten IPS-Vorrichtungen, die versuchen, alle Pakete auf einer Verknüpfung zu durchschnüffeln, immer weniger zuverlässig. Am bedeutsamsten ist die Tatsache, daß die netzbasierten IPS-Vorrichtungen keine Angriffe verhindern können, es sei denn, sie sind in ein Brandmauerschutzsystem integriert und werden in Verbindung mit demselben betrieben.
  • Hostbasierte IPS erfassen Einbrüche durch Überwachen von Anwendungsschichtdaten. Hostbasierte IPS verwenden intelligente Agenten, um Computerprüfprotokolle auf auffällige Aktivitäten zu überprüfen und jede Veränderung in den Protokollen mit einer Bibliothek von Angriffssignaturen oder Benutzerprofilen zu vergleichen. Die hostbasierten IPS können auch Schlüsselsystemdateien und ausführbare Dateien auf unerwartete Veränderungen hin abrufen. Die hostbasierten IPS werden als solche bezeichnet, weil sich die IPS- Dienstprogramme auf dem System befinden, dem sie zugeordnet sind, um dasselbe zu schützen. Die hostbasierten IPS verwenden typischerweise Überwachungstechniken auf Anwendungsebene, die Anwendungsprotokolle untersuchen, die durch verschiedene Anwendungen unterhalten werden. Zum Beispiel kann ein hostbasiertes IPS eine Datenbankmaschine, die gescheiterte Zugriffsversuche und/oder Modifizierungen auf Systemkonfigurationen registriert, überwachen. Alarme können an einen Verwaltungsknoten nach der Identifizierung von Ereignissen geliefert werden, die von dem Datenbankprotokoll gelesen wurden, die als auffällig identifiziert worden sind. Hostbasierte IPS erzeugen allgemein sehr wenig falsche Positive. Hostbasierte IPS, wie Protokollwächter, sind jedoch allgemein auf ein Identifizieren von Einbrüchen beschränkt, die bereits stattgefunden haben, und sind auch auf Ereignisse beschränkt, die sich auf dem einzelnen Host ereignen. Weil sich die Protokollwächter auf ein Überwachen von Anwendungsprotokollen stützen, werden Schäden, die aus dem registrierten Angriff resultieren, allgemein bis zu dem Zeitpunkt, als der Angriff durch das IPS identifiziert worden ist, bereits stattgefunden haben. Einige hostbasierte IPS können einbruchspräventive Funktionen, wie "Einhaken" (Hooking) oder "Auffangen" (Intercepting) von Betriebssystems-Anwendungsprogrammierschnittstellen, ausführen, um die Ausführung von präventiven Operationen durch ein IPS basierend auf einer Anwendungsschichtaktivität, die einbruchsbezogen zu sein scheint, ausführen. Weil ein Einbruch, der in dieser Weise erfaßt wird, bereits ein beliebiges IPS auf unterer Ebene umgangen hat, stellt ein hostbasiertes IPS eine letzte Schicht der Verteidigung gegen eine Netzausbeutung dar. Die hostbasierten IPS sind jedoch zum Erfassen von Netzereignissen auf einer unteren Ebene, wie z. B. Protokollereignisse, nicht nützlich.
  • Die knotenbasierten IPS wenden die Einbruchserfassung und/oder Präventionstechnologie auf dem System an, das geschützt wird. Ein Beispiel von knotenbasierten IPS- Technologien ist die Reihen-Einbruchserfassung (Inline- Einbruchserfassung). Ein knotenbasiertes IPS kann an jedem Knoten des Netzes, der geschützt werden soll, implementiert sein. Die Reihen-IPS (Inline-IPS) weisen Einbruchserfassungstechnologien auf, die in dem Protokollstapel des geschützten Netzknotens eingebettet sind. Weil das Reihen-IPS innerhalb des Protokollstapels eingebettet ist, bewegen sich sowohl eingehende als auch ausgehende Daten durch das Reihen-IPS und sind einer Überwachung durch dasselbe unterworfen. Ein Reihen-IPS überwindet viele der Schwächen, die netzbasierten Lösungen eigen sind. Wie vorstehend erwähnt ist, sind die netzbasierten Lösungen allgemein ineffektiv beim Überwachen von Hochgeschwindigkeitsnetzen aufgrund der Tatsache, daß die netzbasierten Lösungen versuchen, den gesamten Netzverkehr auf einer gegebenen Verknüpfung zu überwachen. Die Reihen-Einbruchspräventionssysteme überwachen jedoch nur den Verkehr, der an den Knoten gerichtet ist, auf dem das Reihen-IPS installiert ist. So können die Angriffspakete ein Reihen-IPS auf einer ins Ziel gefaßten Maschine nicht physisch umgehen, weil sich das Paket durch den Protokollstapel der ins Ziel gefaßten Vorrichtung bewegen muß. Eine beliebige Umgebung eines Reihen-IPS durch ein anderes Paket muß vollständig durch "logisches" Umgehen des IPS erfolgen, d. h. ein Angriffspaket, das ein Reihen-IPS vermeidet, muß dies in einer Weise tun, die bewirkt, daß das Reihen-IPS das Angriffspaket nicht oder nicht ordnungsgemäß identifiziert. Zusätzlich versehen die Reihen-IPS die Hostknoten mit Überwachungs- und Erfassungsfähigkeiten einer unteren Ebene, die jenen eines Netz-IPS ähneln, und können eine Protokollanalyse und Signaturübereinstimmung oder eine andere Überwachung oder Filterung des Hostverkehrs auf unterer Ebene liefern. Der wichtigste Vorteil, den die Reihen-IPS-Technologien bieten, ist, daß die Angriffe erfaßt werden, während sie geschehen. Während die hostbasierten IPS Angriffe durch Überwachen von Systemprotokollen bestimmen, involviert eine Reihen- Einbruchserfassung das Überwachen eines Netzverkehrs und das Isolieren jener Pakete, bei denen festgestellt wurde, daß sie Teil eines Angriffs gegen den Hostserver sind, und so ein Ermöglichen, daß das Reihen-IPS tatsächlich verhindert, daß der Angriff erfolgreich verläuft. Wenn bestimmt worden ist, daß ein Paket Teil eines Angriffs ist, kann die Reihen-IPS-Schicht das Paket aussortieren und somit verhindern, daß das Paket die obere Schicht des Protokollstapels erreicht, wo das Angriffspaket einen Schaden verursachen kann - ein Effekt, der im wesentlichen eine lokale Brandmauer für den Server erzeugt, der das Reihen-IPS hostet und dasselbe vor Bedrohungen schützt, die entweder aus einem externen Netz, wie dem Internet, oder aus dem Inneren des Netzes kommen. Ferner kann die Reihen-IPS-Schicht innerhalb des Protokollstapels bei einer Schicht eingebettet sein, wo die Pakete so verschlüsselt worden sind, daß das Reihen-IPS effektiv auf einem Netz mit verschlüsselten Verknüpfungen arbeitet. Zusätzlich kann das Reihen-IPS den ausgehenden Verkehr überwachen, weil sich sowohl der eingehende als auch der ausgehende Verkehr, der jeweils für einen Server bestimmt ist und von demselben entstammt, der das Reihen- IPS hostet, durch den Protokollstapel bewegen muß.
  • Obwohl die Vorteile der Reihen-IPS-Technologien zahlreich sind, bestehen bei der Implementierung eines solchen Systems einige Nachteile. Die Reihen-Einbruchserfassung ist allgemein prozessorintensiv und kann das Verhalten des Knotens, der das Erfassungsdienstprogramm hastet, beeinträchtigen. Zusätzlich können die Reihen-IPS zahlreiche falschpositive Angriffsdiagnosen erzeugen. Ferner können die Reihen-IPS ein systematisches Sondieren eines Netzes erfassen, wie ein solches, das durch Wiedererkennungsangriffs- Dienstprogramme ausgeführt wird, weil nur der Verkehr am lokalen Server, der das Reihen-IPS hostet, dadurch überwacht wird.
  • Jede der netzbasierten, hostbasierten und reihenbasierten IPS-Technologien weist jeweilige Vorteile, die vorstehend beschrieben sind, auf. Idealerweise umfaßt ein Einbruchpräventionssystem alle zuvor erwähnten Einbruchserfassungsstrategien. Zusätzlich kann ein IPS einen oder mehrere Ereigniserzeugungsmechanismen aufweisen, die identifizierbare Ereignisse an eine oder mehrere Verwaltungseinrichtungen berichten. Ein Ereignis kann eine identifizierbare Serie von System- oder Netzbedingungen aufweisen oder sie kann eine einzelne identifizierte Bedingung aufweisen. Ein IPS kann auch einen Analysemechanismus- oder Modul aufweisen und kann Ereignisse analysieren, die durch den einen oder mehrere Ereigniserzeugnismechanismen erzeugt werden. Ein IPS kann ein Speicherungsmodul aufweisen, um Daten zu speichern, die den einbruchsbezogenen Ereignissen zugeordnet sind. Das IPS kann auch einen Gegenmaßnahmemechanismus aufweisen, um eine Maßnahme auszuführen, die eine erfaßte Ausbeutung vereiteln oder abwehren soll.
  • Die Steuerung und Verwaltung eines IPS, das zum Schützen eines großen Firmen- oder anderen Großnetzes konzipiert ist, erfordert Mechanismen zum Verteilen von Befehls- und Sicherheitsaktualisierungen von einem oder mehreren Verwaltungsknoten an verschiedene IPS-Server, die sich im Netz befinden. Da zum Beispiel neue Angriffe entwickelt und Signaturen und Gegenmaßnahmen dafür definiert sind, müssen die neu definierten Signaturen und Gegenmaßnahmen in die Knoten des Netzes, die durch den neuen Angriff ins Ziel gefaßt werden können, integriert werden. Tausende von Systemen können in einem Netz umfaßt und durch ein IPS geschützt sein. Die relativ häufige Einführung von neuen Angriffen erfordert Angriffsregeln, die zum Filtern eines Netzverkehrs, der routinemäßig aktualisiert werden soll, verwendet werden. Bekannte Systeme zur Verteilung von Befehls- und Sicherheitsaktualisierungen in einem IPS-geschützten Netz umfassen ausgestrahlte (broadcast-mäßig) Aktualisierungen von einem zentralen Verwaltungsknoten und eine Installation von Sicherheitsaktualisierungen individuell an jedem Knoten, der IPS-Fähigkeiten aufweist. Das Ausstrahlen von Befehls- und Sicherheitsaktualisierungen erlaubt dem IPS- System netzweit von einer einzelnen Position aktualisiert zu werden, erfordert jedoch aber kostspielige hohe Bandbreitenverarbeitungsfähigkeiten am Verwaltungsknoten, der im Verhältnis zur Netzgröße skaliert. Das Aktualisieren von Angriffsregeln auf einer netzweiten Basis verbraucht wertvolle Netzbandbreite und erfordert eine entsprechend große Bandbreitenkapazität der Netzknoten. Die individuelle Installation von Sicherheitsaktualisierungen und eines jedes Knoten des Netzes ist aufgrund der erforderlichen Zeit und Arbeit, die zur vollen Aktualisierung des IPS erforderlich ist, unerwünscht.
  • Es ist eine Aufgabe der vorliegenden Erfindung, ein Netz, ein Verfahren und ein computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz zu schaffen, die mit geringeren Bandbreitenanforderungen auskommen.
  • Diese Aufgabe wird durch ein Netz gemäß Anspruch 1, ein Verfahren gemäß Anspruch 6 oder ein computerlesbares Medium gemäß Anspruch 10 gelöst.
  • Gemäß einem Ausführungsbeispiel der vorliegenden Erfindung wird ein Netz mit einem Einbruchsschutzsystem geschaffen, das ein Netzmedium, einen Verwaltungsknoten, der mit dem Netzmedium verbunden ist und eine Einbruchpräventionssystem-Verwaltungsanwendung betreibt, aufweist, und eine Mehrzahl von Knoten, die mit dem Netzmedium verbunden sind und eine Instanz (bzw. Exemplar) einer Einbruchsschutzsystem-Anwendung betreiben, aufweist, wobei zumindest einer der Knoten eine Identifizierung aufweist, die demselben zugeordnet ist, basierend auf einer logischen Zuordnung, die einen oder mehrere der Mehrzahl von Knoten gruppiert, wobei jeder Knoten die Identifizierung teilt, die allgemein für zumindest eine Netzausbeutung anfällig ist.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein Verfahren zum Übertragen einer Befehls- und Sicherheitsaktualisierungsnachricht an einen Teilsatz von Knoten einer Mehrzahl von Netzknoten geschaffen, das ein Erzeugen einer Aktualisierungsnachricht durch einen Verwaltungsknoten des Netzes, ein Adressieren der Aktualisierungsnachricht an eine Netzadresse, die durch den Teilsatz von Knoten geteilt wird, ein Übertragen der Aktualisierungsnachricht und ein Empfangen und Verarbeiten der Aktualisierungsnachricht durch den Teilsatz von Knoten aufweist.
  • Gemäß einem weiteren Ausführungsbeispiel der vorliegenden Erfindung wird ein computerlesbares Medium geschaffen, auf dem ein Satz von Instruktionen, die ausgeführt werden sollen, gespeichert ist, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor ausgeführt werden, bewirken, daß der Prozessor ein Computerverfahren zum Erzeugen, durch den Computer, einer Nachricht, die an einen Teilsatz von Knoten auf einem Netz adressiert ist, zum Übertragen der Nachricht auf einem Netzmedium des Netzes an den Teilsatz von Knoten, zum Empfangen der Nachricht durch einen Router, der am Netzmedium endet, und zum Weiterleiten, durch den Router, der Nachricht an beliebige Knoten, die in dem Teilsatz von Knoten auf einem zweiten Netzmedium enthalten sind, das durch den Router beendet wird, ausführt.
  • Bevorzugte Ausführungsbeispiele der vorliegenden Erfindung werden nachfolgend Bezug nehmend auf die beiliegenden Zeichnungen näher erläutert. Es zeigen:
  • Fig. 1 eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung gemäß dem Stand der Technik;
  • Fig. 2 ein umfassendes Einbruchspräventionssystem, das netzbasierte und hybrid-hostbasierte und knotenbasierte Einbrucherfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt;
  • Fig. 3 einen exemplarischen Netzprotokollstapel gemäß dem Stand der Technik;
  • Fig. 4 einen Netzknoten, der ein Beispiel (Instanz) einer Einbruchsschutzsystem-Anwendung gemäß einem Ausführungsbeispiel der vorliegenden Erfindung betreiben kann;
  • Fig. 5 einen exemplarischen Netzknoten, der als ein Verwaltungsknoten innerhalb eines Netzes arbeiten kann, das durch das Einbruchsschutzsystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung geschützt ist;
  • Fig. 6 eine vereinfachte Darstellung eines Netzes, das ein Unternehmens-Einbruchpräventionssystem gemäß einem Ausführungsbeispiel der vorliegenden Erfindung, die auf demselben eingesetzt werden kann, aufweist; und
  • Fig. 7 eine logische Gruppierung von Knoten, die in einem Netz angeordnet sind, die einen Gruppensenden (Multicast) von Befehls- und Sicherheitsaktualisierungen von einem Verwaltungsknoten gemäß einem Ausführungsbeispiel der vorliegenden Erfindung erleichtert.
  • Das bevorzugte Ausführungsbeispiel der vorliegenden Erfindung und seine Vorteile werden unter Bezugnahme auf Fig. 1 bis 7 der Zeichnungen, wo identische Bezugszeichen für identische und entsprechende Teile der verschiedenen Zeichnungen verwendet werden, am besten verständlich.
  • In Fig. 1 ist eine exemplarische Anordnung zum Ausführen einer Computersystembeeinträchtigung dargestellt, wobei das dargestellte Beispiel eine vereinfachte Anordnung des verteilten Einbruchsnetzes 40 zeigt, die typisch für verteilte Systemangriffe ist, die auf eine Zielmaschine 30 gerichtet sind. Eine Angriffsmaschine 10 kann eine Ausführung eines verteilten Angriffs durch eine beliebige Anzahl von Angreiferangriffsagenten 20A-20N durch eine von zahlreichen Techniken, wie einer Fernsteuerung durch die IRC- Roboteranwendungen, anweisen. Die Angriffsagenten 20A-20N, die auch als "Zombies" und "Angriffsagenten" bezeichnet werden, sind allgemein Computer, die zur öffentlichen Nutzung verfügbar sind oder die so beeinträchtigt worden sind, daß ein verteilter Angriff im Anschluß an einen Befehl einer Angriffsmaschine 10 gestartet werden kann. Zahlreiche Typen von verteilten Angriffen können gegen eine Zielmaschine 30 gestartet werden. Die Zielmaschine 30 kann einen umfassenden Schaden durch gleichzeitige Angriffe durch die Angriffsagenten 20A-20N erleiden, und die Angriffsagenten 20A-20N können durch die Client- Angriffsanwendung ebenso beschädigt werden. Ein verteiltes Einbruchsnetz kann eine zusätzliche Schicht von Maschinen aufweisen, die in einen Angriff zwischen der Angriffsmaschine 10 und den Angriffsagenten 20A-20N involviert sind. Diese Zwischenmaschinen werden allgemein als "Handhabungseinrichtungen" ("Handler") bezeichnet und jede Handhabungseinrichtung kann einen oder mehrere Angriffsagenten 20A-20N steuern. Die Anordnung, die zum Ausführen einer Computersystembeeinträchtigung gezeigt ist, ist nur illustrativ und kann zahlreiche Anordnungen beeinträchtigen, die so einfach sind wie eine einzelne Angriffsmaschine 10, die eine Zielmaschine 30 durch z. B. Senden eines bösartigen Sondierungspakets oder anderer Daten, die die Zielmaschine 30 beeinträchtigen sollen, angreift. Die Zielmaschine kann mit einem größeren Netz verbunden sein und ist dies auch häufig, und ein Angriff auf dieselbe durch die Angriffsmaschine 10 kann einen Schaden an einer großen Ansammlung von Computersystemen bewirken, die sich häufig innerhalb des Netzes befinden.
  • In Fig. 2 ist ein umfassendes Einbruchspräventionssystem dargestellt, das netzbasierte und hybridhostbasierte/knotenbasierte Einbruchserfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung nutzt. Ein oder mehrere Netze 100 können mit dem Internet 50 über einen Router 45 oder eine andere Vorrichtung schnittstellenmäßig verbunden sein. Bei dem veranschaulichenden Beispiel weist das Netz 100 zwei Ethernet-Netze 55 und 56 auf. Das Ethernet-Netz 55 weist einen Webinhaltsserver 270A und einen Dateitransport-Protokollinhaltsserver 270B auf. Das Ethernet-Netz 56 weist einen Domain-Namenserver 270C, einen Mail-Server 270D, einen Datenbank-Server 270E und einen Dateiserver 270F auf. Ein Brandmauer-/Proxy-Router 60, der zwischen den Ethernets 55 und 56 angeordnet ist, liefert für die verschiedenen Systeme des Netzes 56 eine Sicherheits- und Adreßauflösung. Eine netzbasierte IPS- Vorrichtung 80 und 81 ist jeweils auf beiden Seiten des Brandmauer-/Proxy-Routers 60 implementiert, um die Überwachung von versuchten Angriffen auf ein oder mehrere Elemente der Ethernet-Netze 55 und 56 zu erleichtern und um eine Aufzeichnung von erfolgreichen Angriffen zu erleichtern, die den Brandmauer-/Proxy-Router 60 erfolgreich durchdringen. Die netzbasierten IPS-Vorrichtungen 80 und 81 können jeweils eine Datenbank 80A und 81A der bekannten Angriffssignaturen oder Regeln aufweisen (oder alternativ mit derselben verbunden sein), mit denen die Netzrahmen, die dadurch erfaßt wurden, verglichen werden können. Alternativ kann eine einzelne Datenbank (nicht gezeigt) innerhalb eines Netzes 100 zentral angeordnet sein, und netzbasierte IPS-Vorrichtungen 80 und 81 können auf dieselbe zugreifen. Dementsprechend kann die netzbasierte IPS-Vorrichtung 80 alle Pakete, die vom Internet 50 in das Netz 100 eingehen und am Ethernet-Netz 55 ankommen, überwachen. Desgleichen kann eine netzbasierte IPS-Vorrichtung 81 alle Pakete, die durch den Brandmauer-/Proxy-Router 60 zur Auslieferung an das Ethernet-Netz 56 passiert werden, überwachen und vergleichen. Ein IPS-Verwaltungsknoten 85 kann auch Teil des Netzes 100 sein, um die Konfiguration und Verwaltung der IPS-Komponenten im Netz 100 zu erleichtern.
  • Angesichts der vorstehend angemerkten Unzulänglichkeiten der netzbasierten Einbruchspräventionssysteme ist vorzugsweise ein hybrid-hostbasiertes und knotenbasiertes Einbruchspräventionssystem innerhalb eines jeden der verschiedenen Knoten, wie den Servern 270A-270N (die hierin auch als "Knoten" bezeichnet werden), des Ethernet-Netzes 55 und 56 im gesicherten Netz 100 implementiert. Der Verwaltungsknoten 85 kann Alarmmitteilungen von den jeweiligen Knoten innerhalb des Netzes 100 nach der Erfassung eines Einbruchsereignisses durch eine beliebige der netzbasierten IPS-Vorrichtungen 80 und 81 sowie einen beliebigen der Knoten des Netzes 100, auf dem ein hybrid-agentenbasiertes und knotenbasiertes IPS implementiert ist, empfangen. Zusätzlich kann jeder Knoten 270A-270F ein lokales Dateisystem zum Archivieren von einbruchsbezogenen Ereignissen, zum Erzeugen von einbruchsbezogenen Meldungen und zum Speichern von Signaturdateien, im Vergleich zu denen die lokalen Netzrahmen und/oder Pakete untersucht werden, nutzen.
  • Vorzugsweise sind die netzbasierten IPS-Vorrichtungen 80 und 81 dedizierte Entitäten zum Überwachen des Netzverkehrs auf den zugeordneten Ethernets 55 und 56 des Netzes 100. Um die Einbruchserfassung bei Hochgeschwindigkeitsnetzen zu erleichtern, weisen die netzbasierten IPS-Vorrichtungen 80 und 81 vorzugsweise einen großen Erfassungs-RAM zum Erfassen von Paketen auf, da diese auf den jeweiligen Ethernet- Netzen 55 und 56 ankommen. Zusätzlich wird bevorzugt, daß die netzbasierten IPS-Vorrichtungen 80 und 81 jeweils hardwarebasierte Filter zum Filtern des Netzverkehrs aufweisen, obwohl ein IPS-Filtern durch die netzbasierten IPS- Vorrichtungen 80 und 81 in einer Software implementiert sein kann. Außerdem können die netzbasierten IPS- Vorrichtungen 80 und 81 z. B. durch Anforderung des IPS- Verwaltungsknotens 85 konfiguriert sein, um eine oder mehrere spezifische Vorrichtungen und nicht alle Vorrichtungen auf einem gemeinsamen Netz zu überwachen. Zum Beispiel kann eine netzbasierten IPS-Vorrichtung 80 angewiesen werden, nur den Netzdatenverkehr zu überwachen, der an den Webserver 270A adressiert ist.
  • Die hybrid-hostbasierten/knoten-basierten Einbruchspräventionssystemtechnologien können auf allen Knoten 270A-270N auf den Ethernet-Netzen 55 und 56 implementiert sein, die durch einen Netzangriff ins Ziel gefaßt werden können. Allgemein besteht jeder Knoten aus einem umprogrammierbaren Computer mit einer CPU (CPU = central processing unit zentrale Verarbeitungseinheit), einem Speichermodul, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU wiedergewinnbar und ausführbar ist, und kann ferner verschiedene Peripherievorrichtungen, wie einen Anzeigemonitor, eine Tastatur, eine Maus und eine andere Vorrichtung, die mit demselben verbunden sind, aufweisen. Ein Speicherungsmedium, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die zum Speichern von Daten betreibbar ist, kann mit dem Speichermodul verbunden sein und dadurch zugreifbar sein und kann eine oder mehrere Datenbanken zum Archivieren von lokalen Einbruchsereignissen und Einbruchsereignisberichten liefern. Ein Betriebssystem kann in das Speichermodul, z. B. nach dem Booten des jeweiligen Knotens, geladen werden und eine Instanz eines Protokollstapels sowie verschiedene Softwaremodule der unteren Ebene aufweisen, die für Aufgaben, wie ein schnittstellenmäßiges Verbinden mit einer Peripheriehardware, ein Planen von Aufgaben, eine Zuweisung der Speicherung sowie anderer Systemaufgaben, erforderlich sind. Jeder Knoten, der durch das hybrid-hostbasierte und knotenbasierte IPS der vorliegenden Erfindung geschützt ist, weist dementsprechend eine IPS-Softwareanwendung auf, die innerhalb des Knotens beibehalten wird, wie in einer magnetischen Festplatte, die durch das Betriebssystem wiedergewinnbar und durch die zentrale Verarbeitungseinheit ausführbar ist. Zusätzlich weist jeder Knoten, der eine Instanz der IPS-Vorrichtung ausführt, eine lokale Datenbank auf, von der aus Signaturbeschreibungen von dokumentierten Angriffen vom Speicher geholt und mit einem Paket oder Rahmen von Daten verglichen werden können, um eine Entsprechung zwischen denselben zu erfassen. Die Erfassung einer Entsprechung zwischen einem Paket oder Rahmen an einem IDS- Server kann zur Ausführung von einer beliebigen oder mehreren von verschiedenen Sicherheitsprozeduren führen.
  • Das unter Bezugnahme auf Fig. 2 beschriebene IPS kann auf einer beliebigen Anzahl von Plattformen implementiert sein. Jede hybrid-hostbasierte/knoten-basierte Instanz der IPS- Vorrichtung, die hierin beschrieben ist, ist vorzugsweise auf einem Netzknoten, wie einem Webserver 270A, implementiert, der unter Steuerung eines Betriebssystems, wie Windows NT 4.0 betrieben wird, das in einem Hauptspeicher gespeichert ist und auf einer zentralen Verarbeitungseinheit arbeitet, und versucht, Angriffe, die auf den Hostknoten gerichtet sind, zu erfassen. Das spezielle Netz 100, das in Fig. 2 dargestellt ist, ist nur exemplarisch und kann eine beliebige Anzahl von Netzknoten, wie Netzserver oder Computer aufweisen. Firmen- und/oder andere Großnetze können typischerweise zahlreiche individuelle Systeme aufweisen, die ähnliche Dienste anbieten. Zum Beispiel kann ein Firmennetz Hunderte von einzelnen Webservern, Mailservern, FTP-Servern und anderen Systemen aufweisen, die gemeinsame Datendienste anbieten.
  • Jedes Betriebssystem eines Knotens, der eine Instanz einer IPS-Vorrichtung umfaßt, weist zusätzlich einen Netzprotokollstapel 90 auf, der in Fig. 3 dargestellt ist, der den Eingangspunkt für Rahmen definiert, die durch einen ins Ziel gefaßten Knoten aus dem Netz, z. B. dem Internet oder Intranet, empfangen werden. Der dargestellte Netzstapel 90 stellt den hinreichend bekannten Windows-NT-(TM)- Systemnetzprotokollstapel dar und ist so ausgewählt worden, um die Erörterung und das Verständnis der Erfindung zu erleichtern. Es wird jedoch darauf hingewiesen, daß die Erfindung nicht auf eine spezifische Implementierung des dargestellten Netzstapels 90 beschränkt ist, sondern vielmehr auf den Stapel 90, der beschrieben ist, um das Verständnis der Erfindung zu erleichtern. Der Netzstapel 90 weist eine TDI (TDI = transport driver interface = Transporttreiberschnittstelle) 125, einen Transporttreiber 130, einen Protokolltreiber 135 und einen MAC-Treiber (MAC = media access control = Medienzugriffssteuerung) 145 auf, der mit dem physischen Medium 101 schnittstellenmäßig verbunden ist. Die Transporttreiberschnittstelle 125 funktioniert, um den Transporttreiber 130 mit den Dateisystemtreibern einer höheren Ebene schnittstellenmäßig zu verbinden. Dementsprechend ermöglicht die TDI 125 den Betriebssystemtreibern, wie den Netzumleitern, eine Sitzung zu aktivieren oder an den entsprechenden Protokolltreiber 135 zu binden. Folglich kann ein Umleiter auf das entsprechende Protokoll, z. B. ein UDP, TCP, NetBEUI oder anderes Netz- oder Transportschichtprotokoll, zugreifen, wodurch der Umleiter protokollunabhängig gemacht wird. Der Protokolltreiber 135 erzeugt Datenpakete, die vom Computer, der den Netzprotokollstapel 90 hostet, auf einen anderen Computer oder eine andere Vorrichtung auf dem Netz oder einem anderen Netz über das physische Medium 101 gesendet werden. Typische Protokolle, die durch einen NT-Netzprotokollstapel unterstützt werden, weisen NetBEUI, TCP/IP, NWLink, DLC (DLC = data link control = Datenverknüpfungssteuerung) und AppleTalk auf, obwohl andere Transport- und/oder Netzprotokolle umfaßt sein können. Ein MAC-Treiber 145, z. B. ein Ethernet-Treiber, ein Token- Ring-Treiber oder ein anderer Netzbetriebstreiber, ermöglicht ein entsprechendes Formatieren und schnittstellenmäßiges Verbinden mit dem physischen Medium 101, wie einem Koaxialkabel oder einem anderen Übertragungsmedium.
  • Die Fähigkeiten des hostbasierten IPS weisen die Anwendungsüberwachung von Dateisystemereignissen; einem Registrierzugriff; von erfolgreichen Sicherheitsereignissen; gescheiterten Sicherheitsereignissen und einer auffälligen Prozeßüberwachung auf. Bei Netzzugriffsanwendungen, wie einem Microsoft-IIS- und SQL-Server, können Prozesse, die auf dieselben bezogen sind, ebenfalls überwacht werden.
  • Einbrüche können auf einem speziellen IPS-Host durch Implementieren von knotenbasierten Reihenüberwachungstechnologien (Inline-Überwachungstechnologien) verhindert werden. Das Reihen-IPS (Inline-IPS) ist vorzugsweise als Teil eines hybrid-hostbasierten/knoten-basierten IPS umfaßt, obwohl es unabhängig von einem beliebigen hostbasierten IPS-System implementiert sein kann. Das Reihen-IPS analysiert die Pakete, die am Hostknoten empfangen werden, und führt eine Signaturanalyse derselben gegenüber einer Datenbank von bekannten Signaturen durch ein Netzschichtfiltern aus.
  • In Fig. 4 ist ein Netzknoten 270 dargestellt, der eine Instanz einer IPS-Vorrichtung 91 betreiben kann und so als ein IPS-Server operieren kann. Die IPS-Vorrichtung 91 kann als eine dreischichtige IPS, wie in einer ebenfalls anhängigen US-Anmeldung mit dem Titel "Method, Computer Readable Medium, and Node for a Three-Layered Intrusion Prevention System for Detecting Network Exploits", die gleichzeitig mit der Anmeldung, deren Priorität hierin beansprucht wird, eingereicht wurde und auf die gleiche Inhaberin übertragen wurde, beschrieben ist, implementiert sein und kann eine Serveranwendung und/oder eine Client-Anwendung aufweisen. Der Netzknoten 270 weist allgemein eine CPU 272 und ein Speichermodul 274 auf, das betreibbar ist, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit einem Speichermodul 274 verbunden sein und dadurch durch den Bus ebenso zugreifbar sein. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 270, geladen werden und eine Instanz des Protokollstapels 90 aufweisen und bewirken, daß eine Einbruchspräventionssystemanwendung 91 vom Speicherungsmedium 276 geladen wird. Eine oder mehrere Netzausbeutungsregeln, eine exemplarische Form, die in der ebenfalls anhängigen Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in a Network Exploit", die gleichzeitig hiermit eingereicht wird, beschrieben ist, kann zu maschinenlesbaren Signaturen kompiliert und innerhalb einer Datenbank 277 gespeichert sein, die in das Speichermodul 274 ladbar ist, und kann durch die IPS-Vorrichtung 91 zum Erleichtern einer Analyse von Netzrahmen und/oder Paketen wiedergewonnen werden.
  • In Fig. 5 ist ein exemplarischer Netzknoten dargestellt, der als ein Verwaltungsknoten 85 des IPS eines Netzes 100 arbeiten kann. Der Verwaltungsknoten 85 weist allgemein eine zentrale Verarbeitungseinheit 272 und ein Speichermodul 274 auf, die betreibbar sind, um einen maschinenlesbaren Code zu speichern, der durch die CPU 272 über einen Bus (nicht gezeigt) wiedergewinnbar und ausführbar ist. Ein Speicherungsmedium 276, wie eine Magnetplatte, eine optische Platte oder eine andere Komponente, die betreibbar ist, um Daten zu speichern, kann mit dem Speichermodul 274 verbunden sein und ist dadurch auch durch den Bus zugreifbar. Ein Betriebssystem 275 kann in das Speichermodul 274, z. B. nach dem Booten des Knotens 85, geladen werden und eine Instanz des Protokollstapels 90 aufweisen. Das Betriebssystem 275 ist betreibbar, um eine IPS- Verwaltungsanwendung 279 vom Speicherungsmedium 276 zu holen und die Verwaltungsanwendung 279 in das Speichermodul 274 zu laden, wo sie durch die CPU 272 ausgeführt wird. Der Knoten 85 weist vorzugsweise eine Eingabevorrichtung 281, wie eine Tastatur, und eine Ausgabevorrichtung 282, wie einen Monitor, der mit demselben verbunden ist, auf.
  • Ein Operator des Verwaltungsknotens 85 kann eine oder mehrere Textdateien 277A-277N über die Eingabevorrichtung 281 eingeben. Jede Textdatei 277A-277N kann eine netzbasierte Ausbeutung definieren und eine logische Beschreibung einer Angriffssignatur sowie IPS-Anweisungen zum Ausführen nach einer IPS-Auswertung eines einbruchsbezogenen Ereignisses, das der beschriebenen Angriffssignatur zugeordnet ist, aufweisen. Jede Textdatei 277A-277N kann in einer Datenbank 278A auf einem Speicherungsmedium 276 gespeichert sein und durch einen Kompilierer 280 in eine jeweilige maschinenlesbare Signaturdatei 281A-281N kompiliert werden, die in einer Datenbank 278B gespeichert ist. Jede der maschinenlesbaren Signaturdateien 281A-281N weist einen binären logischen Stellvertreter der Angriffssignatur, die in der jeweiligen zugeordneten Textdatei 277A-277N beschrieben ist, auf. Ein Operator des Verwaltungsknotens 85 kann den Verwaltungsknoten 85 durch Interaktion mit einer Client-Anwendung der IPS-Vorrichtung 279 über eine Eingabevorrichtung 281 periodisch anweisen, eine oder mehrere maschinenlesbare Signaturdateien (die hierin auch allgemein als "Signaturdateien" bezeichnet werden), die in der Datenbank 278B gespeichert sind, an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Alternativ können die Signaturdateien 281A-281N in einem computerlesbaren Medium, wie einer Kompaktdisk, einer Magnet-Diskette oder einer anderen tragbaren Speicherungsvorrichtung, gespeichert sein und auf dem Knoten 270 des Netzes 100 installiert sein. Die Anwendung 279 ist vorzugsweise betreibbar, um alle solchen Signaturdateien 281A-281N oder einen oder mehrere Teilsätze derselben an einen Knoten oder eine Mehrzahl von Knoten im Netz 100 zu übertragen. Vorzugsweise stellt die IPS-Vorrichtung 279 eine graphische Benutzerschnittstelle auf der Ausgabevorrichtung 282 zum Erleichtern der Eingabe von Befehlen in dieselbe durch einen Operator des Knotens 85 bereit.
  • Während neue Angriffe entwickelt und Signaturen und Gegenmaßnahmen dafür definiert werden, müssen die neu definierten Signaturen und Gegenmaßnahmen in das IPS, das innerhalb der geschützten Knoten des Netzes implementiert ist, die durch den neuen Angriff ins Ziel gefaßt werden können, und/oder in die netzbasierte IPS-Vorrichtungen integriert werden, die zugeordnet sein können, um das Netz zu schützen. Folglich erfordert die Steuerung und Verwaltung eines IPS, das zum Schützen eines großen Firmen- oder anderen Großnetzes konzipiert ist, Mechanismen zum Verteilen von Befehls- und Sicherheitsaktualisierungen von einem oder mehreren Verwaltungsknoten an verschiedene IPS-Server, die im Netz positioniert sind.
  • Die vorliegende Erfindung schafft einen Mechanismus zum Reduzieren der erforderlichen Bandbreitenkapazität einer Verwaltungskonsole und erleichtert eine Reduktion der Netzbandbreite, die verbraucht wird, wenn die Befehls- und Sicherheitsaktualisierungen von einer Verwaltungskonsole innerhalb eines Netzes verteilt werden, indem einem Teilsatz von ausgewählten Knoten ermöglicht wird, von einer zentralen Verwaltungskonsole in einer Weise aktualisiert zu werden, die unnotwendige Aktualisierungen umgeht, die auf den Knoten ausgeführt werden, die durch eine Sicherheitsaktualisierung nachteilig beeinträchtigt werden können.
  • Unter Bezugnahme auf Fig. 6 ist ein vereinfachtes Netz 200 dargestellt, das ein Unternehmens-Einbruchpräventionssystem aufweisen kann, das vorzugsweise netzbasierte und hybridhostbasierte und knotenbasierte Einbrucherfassungstechnologien gemäß einem Ausführungsbeispiel der Erfindung vorzugsweise verwendet. Ein geschütztes Netz 200 kann ein oder mehrere Teilnetze wie die Ethernet-Netze 200A-200N umfassen, die mit jeweiligen Routern 106A-106M schnittstellenmäßig verbunden sind. Das Netz 200 kann mit dem Internet 50über einen Router 40 schnittstellenmäßig verbunden sein. Das beispielhafte Ethernet 200A umfaßt eine Mehrzahl von Web-Servern 201A-201L, eine Mehrzahl von FTP-Servern 203A-203M und eine Mehrzahl von Datenbankservern 207A-207N. Eine netzbasierte IPS-Vorrichtung 180 ist vorzugsweise mit dem Ethernet 200A über eine Netzschnittstellenkarte (nicht gezeigt) verbunden, die in einem "wahllosen Modus" arbeitet und betreibbar ist, um auffällige Netzrahmen, die auf dem Ethernet 200A empfangen werden, zu scannen und zu identifizieren. Ein Brandmauer-/Proxyrouter 160A kann das Ethernet 200A mit dem Ethernet 200B schnittstellenmäßig verbinden und erleichtert ein Weiterleiten von Paketen zwischen denselben und liefert Sicherheitsmaßnahmen und/oder Proxy- Dienste, um den Zugriff auf das Internet 50 für die Knoten auf den Ethernet-Netzen 200B-200N zu erleichtern. Das beispielhafte Ethernet 200B umfaßt einen Domain-Namenserver 170, eine Mehrzahl von Dateiservern 205A-205Q, eine Mehrzahl von Datenbankservern 208A-208P und eine Mehrzahl von Mailservern 210A-210R. Das Ethernet 200B kann eine netzbasierte IPS-Vorrichtung 181 aufweisen, die betreibbar ist, um auffällige Netzrahmen, die über das Ethernet 200B übertragen werden, zu überwachen und zu identifizieren. Eine Mehrzahl von anderen Netzen 200C-200M (nicht gezeigt) kann mit dem Netz 200 verbunden sein oder in demselben umfaßt sein. Ein exemplarisches finales Ethernet 200N kann mit anderen Ethernet-Netzen 200A-200M über einen Brandmauer- /Proxyrouter 160M schnittstellenmäßig verbunden sein. Das beispielhafte Ethernet 200N umfaßt eine Mehrzahl von Webservern 202A-202T, eine Mehrzahl von FTP-Servern 204A-204U, eine Mehrzahl von Dateiservern 206A-206V, eine Mehrzahl von Datenbankservern 209A-209W und eine Mehrzahl von Mailservern 211A-211X sowie eine netzbasierte IPS-Vorrichtung 182, die betreibbar ist, um auffällige Netzrahmen, die über das Ethernet 200N übertragen werden, zu überwachen und zu identifizieren. Zusätzlich sind ein oder mehrere IPS- Verwaltungsknoten 85 mit dem Netz 200 verbunden und können Alarmnachrichten von den jeweiligen Knoten innerhalb des Netzes 200 nach einer Erfassung eines Einbruchsereignisses empfangen sowie eine Verteilung der Befehls- und Sicherheitsaktualisierungen an verschiedene IPS-Server hervorbringen, die auf einem beliebigen der verschiedenen Knoten des Netzes 200 gemäß einem Ausführungsbeispiel der Erfindung arbeiten. Jeder Server oder Knoten 201A-201L, 202A-202T, 203A-203M, 204A-204U, 205A-205Q, 206A-206V, 207A-207N, 208A-208P, 209A-209W, 210A-210R und 211A-211X ist vorzugsweise mit der allgemeinen Beschreibung des Knotens 270, der vorstehend beschrieben ist, konform, und jeder Knoten betreibt vorzugsweise eine Instanz der IPS- Vorrichtung 91 und unterhält eine jeweilige Datenbank 277 von Signaturdateien, die durch den jeweiligen Knoten gefiltert werden können. Der Inhalt der Instanz der Datenbank 277 kann sich von Knoten zu Knoten unterscheiden, und die maschinenlesbaren Signaturen, die in demselben gespeichert sind, können periodisch modifiziert, gelöscht oder erweitert werden.
  • Gemäß einem Reduzieren der erforderlichen Bandbreitenkapazität des IPS-Verwaltungsknoten 85 können die Knoten, die eine IPS-Vorrichtung 91 betreiben, logische Gruppenbezeichnungen aufweisen, die denselben zugeordnet sind, auf die gemeinsame Sicherheitsvorschriften angewendet werden können. Zum Beispiel können die Mailserver 210A-211X einander logisch zugeordnet sein, weil sie, aufgrund der Gemeinsamkeit ihrer Dienste, durch identische Angriffe ins Ziel gefaßt werden können, die keine anderen Knoten beeinträchtigen, die andere Netzdienste liefern. So wird eine Sicherheitsaktualisierung, wie Signaturdateien, die maschinenlesbare Angriffssignaturen aufweisen, die auf einen SMTP- Angriff (SMTP = simple mail transfer protocol = einfaches Mail-Übertragungsprotokoll) bezogen sind, die durch das Netz ausgestrahlt wird, durch alle Knoten empfangen, die eine IPS-Instanz aufweisen, die auf denselben ungeachtet der Tatsache, ob der zugeordnete Knoten für einen solchen Angriff anfällig ist oder nicht, installiert ist. Neben dem Erfordernis einer Verarbeitungs- und Übertragungsbandbreite, die im wesentlichen am Verwaltungsknoten 85verschwendet wird, der zum Erzeugen und Übertragen der Sicherheitsaktualisierung verantwortlich ist, kann eine Netzbandbreite in ineffizienter Weise zum Ausstrahlen der Aktualisierungsnachricht an die Knoten verwendet werden, die keinen Schutz vor der Sicherheitsmaßnahme, die durch die ausgestrahlte Nachricht geliefert wird, erfordern. Zusätzlich installieren übliche IPS all diese Sicherheitsaktualisierungen und setzen die Verarbeitung der Signaturen fort, die somit jedesmal geliefert werden, wenn ein Rahmen oder ein Paket durch das IPS analysiert wird. Im Laufe der Zeit kann ein gegebener Knoten zahlreiche Sicherheitsaktualisierungen zusammentragen, die Sicherheitsmaßnahmen liefern, die den Angriffen zugeordnet sind, die auf den Knoten nicht zutreffen. Die Verarbeitung solcher Sicherheitsmaßnahmen ist ineffizient und kann zu Betriebsverlusten und Ineffizienzen der IPS-Vorrichtung 91 sowie zu Betriebsverlusten des hostenden Knotens führen.
  • Unter Bezugnahme auf Fig. 7 ist eine logische Gruppierung von Knoten dargestellt, die im Netz 200 angeordnet ist, die eine Gruppensendung von Befehls- und Sicherheitsaktualisierungen vom Verwaltungsknoten 85 gemäß einem Ausführungsbeispiel der vorliegenden Erfindung erleichtert. Die Webserver 201A-202T können durch einen Verwaltungsknoten 85 basierend auf der Gemeinsamkeit der Dienste, die jeweils durch denselben bereitgestellt werden, logisch zugeordnet sein. Folglich kann eine Identifizierung der Logische- Zuordnungsgruppierungs-Webserver 201A-201T zugeordnet und unter den Webservern 201A-201T aufgeteilt werden, so daß die Befehls- und Sicherheitsaktualisierungen, wie Angriffssignaturen, die Signaturen von Angriffen definieren, die an einen Webinhalts-Server gerichtet werden können, im allgemeinen adressiert und nur an jene Knoten verteilt werden können, die dadurch eventuell betroffen sind, d. h. die Identifizierung der logischen Zuordnung dient dazu, einen oder mehrere Knoten des Netzes 200 in logische Gruppen zu gruppieren, wobei jeder Knoten in einer Gruppe im allgemeinen für eine spezielle Ausbeutung anfällig ist. Bei einem exemplarischen Ausführungsbeispiel ist die Identifizierung vorzugsweise als ein IP-Gruppensenden-Gruppen-ID implementiert. Folglich ist der Gruppensenden-Gruppen-ID A vorzugsweise eine 28-Bit-Gruppensenden-Identifizierung, und die Server 201A-202T weisen so eine Host-Gruppe 215 auf. Andere Server können der Host-Gruppe 215 hinzugefügt werden, die aus Webservern 201A-202T besteht, und die Server, die in der Host-Gruppe 215 umfaßt sind, können aus derselben durch hinreichend bekannte Mechanismen wie IGMP-Berichte (IGMP = Internet group management protocol = Internetgruppenverwaltungsprotokoll) entfernt werden. Andere Gruppensenden- Mechanismen, wie UDP-Gruppensenden-Mechanismen (UDP = user datagram protocol = Benutzerdatagrammprotokoll) können an deren Stelle eingesetzt werden. Um das Gruppensenden über separate Netze 200A-200N zu realisieren, sind die Router 160A-106M vorzugsweise gruppensendefähig, so daß die Gruppensenden-Nachrichten Adressen aufweisen können, die über den verschiedenen Netzen 200A-200N, die Hosts aufweisen, die den gemeinsamen Gruppensenden-Gruppen angehören, aufgelöst werden können.
  • In ähnlicher Weise können die FTP-Server 203A-204U logisch zugeordnet sein und eine FTP-Hostgruppe 216 aufweisen und eine Gruppensenden-Gruppen-ID B aufweisen, der denselben durch den Verwaltungsknoten 85 zugeordnet wird. Desgleichen können die Dateiserver 205A-206V eine Gruppensenden- Gruppen-ID C, die denselben zugeordnet ist, aufweisen und eine Dateiserver-Hostgruppe 217 aufweisen, die Datenbankserver 207A-207W können einen Gruppensenden-Gruppen-ID D, der denselben zugeordnet ist, aufweisen und eine Datenbankserver-Rostgruppe 218 aufweisen, und die Mailserver 210A-211X können einen Gruppensenden-Gruppen-ID Z, der denselben zugeordnet ist, aufweisen und eine Mailserver-Hostgruppe 219 aufweisen.
  • Folglich kann der Verwaltungsknoten 85 Befehls- und Sicherheitsaktualisierungen an die Server von einer oder mehreren Rostgruppen über eine Gruppensendung synchronisieren. Das erforderliche Betriebsmittel und die Bandbreite des Verwaltungsknotens 85 wird so reduziert. Vorzugsweise werden die Befehls- und Sicherheitsaktualisierungen, die über eine Gruppensenden-Nachricht geliefert werden, zwischen dem Verwaltungsknoten 85 und der adressierten Gruppensenden-Gruppe verschlüsselt. So kann die Datenintegrität durch Validieren der Netzrahmenanfangsblöcke gegenüber einem Integritätsalgorithmus, der an jedem Knoten ausgeführt wird, der in einer Hostgruppe umfaßt ist, beibehalten werden. Die Kommunikationsauthentifizierung kann durch Einrichtung und Authentifizieren einer Sitzung ausgeführt werden, die zum Ausführen der Aktualisierungen verwendet wird. Die Sicherheitsaktualisierungen, die durch einen Knoten des Netzes 200 gemäß der vorstehend beschriebenen Verteilungstechnik empfangen werden, können dann in der Datenbank 277 gespeichert und einer beispielhaften assoziativen Prozeßmaschine zugeführt werden, die zum Filtern von Netzpaketen und/oder Rahmen durch die mitanhängige Anmeldung mit dem Titel "Method, Node and Computer Readable Medium for Identifying Data in an Network Exploit" beschrieben und hiermit gleichzeitig eingereicht wird.
  • Es wird darauf hingewiesen, daß die Miteinbeziehung eines Knotens in eine Hostgruppe 215-219 nicht die Einbeziehung des Knotens innerhalb einer anderen Hostgruppe ausschließt, sondern vielmehr kann ein gegebener Knoten innerhalb mehrerer Hostgruppen 215-219 umfaßt sein. Zusätzlich können die netzbasierten IPS-Vorrichtungen 180-182 innerhalb einer oder mehrerer Hostgruppen 215-219 umfaßt sein.

Claims (10)

1. Netz (200) mit einem Einbruchschutzsystem, das folgende Merkmale aufweist:
ein Netzmedium (200B);
einen Verwaltungsknoten (85), der mit dem Netzmedium (200B) verbunden ist und eine Einbruchpräventionssystem-Verwaltungsanwendung (279) betreibt; und
eine Mehrzahl von Knoten (215-219), die mit dem Netzmedium (200B) verbunden ist und ein Exemplar einer Einbruchschutzsystem-Anwendung (91) betreiben, wobei zumindest einer der Knoten eine Identifizierung aufweist, die demselben zugeordnet ist, basierend auf einer logischen Zuordnung, die einen oder mehrere der Mehrzahl von Knoten (215-219) gruppiert, wobei alle Knoten, die eine Identifizierung gemeinsam verwenden, gemeinsam für zumindest eine Netzausbeutung anfällig sind.
2. Netz (200) gemäß Anspruch 1, bei dem der Verwaltungsknoten (85) betreibbar ist, um eine Sicherheitsaktualisierung zu verursachen, die an jeden Knoten übertragen wird, der die Identifizierung gemeinsam verwendet, wobei beliebige verbleibende Knoten, die die Identifizierung nicht gemeinsam verwenden, von einem Empfangen der Aktualisierung ausgeschlossen sind.
3. Netz (200) gemäß Anspruch 1 oder 2, bei dem eine Mehrzahl von Identifizierungen jeweils einem oder mehreren der Mehrzahl von Knoten (215-219) zugeordnet ist.
4. Netz (200) gemäß einem der Ansprüche 1 bis 3, das ferner folgende Merkmale aufweist:
eine Mehrzahl von Netzmedien (200A-200N); und
zumindest einen Router (160A-160M), wobei jeder des Verwaltungsknotens (85) und der Mehrzahl von Knoten (215-219) jeweils einem der Mehrzahl von Netzmedien (200A-200N) im Netz (200) zugeordnet ist, wobei der Router (160A-160M) zwischen der Mehrzahl von Netzmedien (200A-200N) angeordnet ist und betreibbar ist, um die Sicherheitsaktualisierung von dem Netzmedium (200B), mit dem der Verwaltungsknoten (85) verbunden ist, an alle Knoten weiterzuleiten, die mit den verbleibenden Netzmedien (200A, 200C-200N) verbunden sind und die Identifizierung gemeinsam verwenden.
5. Netz (200) gemäß Anspruch 4, bei dem der Router (160A-160M) bestimmt, ob ein beliebiger der Mehrzahl von Knoten (215-219), die mit den verbleibenden Netzmedien verbunden sind, die Identifizierung durch die Implementierung des Internet-Gruppenverwaltungsprotokolls gemeinsam verwendet.
6. Verfahren zum Übertragen einer Aktualisierungsnachricht an einen Teilsatz von Knoten (215-219) einer Mehrzahl von Netzknoten, wobei das Verfahren folgende Schritte aufweist:
Erzeugen der Aktualisierungsnachricht durch einen Verwaltungsknoten (85) des Netzes (200);
Adressieren der Aktualisierungsnachricht an eine Netzadresse, die durch den Teilsatz von Knoten (215-219) des Netzes (200) gemeinsam verwendet wird;
Übertragen der Aktualisierungsnachricht; und
Empfangen und Verarbeiten der Aktualisierungsnachricht durch den Teilsatz von Knoten (215-219).
7. Verfahren gemäß Anspruch 6, bei dem ein Adressieren der Aktualisierungsnachricht an eine Netzadresse, die durch den Teilsatz von Knoten (215-219) gemeinsam verwendet wird, ferner ein Adressieren der Aktualisierungsnachricht an eine Internetprotokoll- Gruppensenden-Gruppenidentifizierung aufweist, wobei der Teilsatz von Knoten (215-219) einer Hostgruppe angehört, die der Gruppensenden-Gruppenidentifizierung zugeordnet ist.
8. Verfahren gemäß Anspruch 6 oder 7, bei dem das Übertragen der Aktualisierungsnachricht durch das Netz (200) ferner folgende Schritte aufweist:
Übertragen der Aktualisierungsnachricht auf einem Netzmedium (200B), auf dem der Verwaltungsknoten (85) verbunden ist;
Empfangen der Aktualisierungsnachricht durch einen Router (160A-160M), der das Netzmedium (200B), auf dem der Verwaltungsknoten (85) verbunden ist, abschließt; und
Weiterleiten, durch den Router (160A, 160C), der Aktualisierungsnachricht an alle Knoten, die in dem Teilsatz von Knoten (215-219) auf einem zweiten Netzmedium (200A, 200C-200N), das durch den Router (160A-160M) geschlossen ist, umfaßt sind.
9. Verfahren gemäß einem der Ansprüche 6 bis 8, bei dem das Übertragen der Aktualisierungsnachricht an einen Teilsatz von Knoten (215-219) ferner ein Übertragen der Aktualisierungsnachricht an entweder zumindest einen Einbruchschutzsystemknoten oder eine netzbasierte Einbruchschutzsystemvorrichtung (180-182) aufweist.
10. Computerlesbares Medium, auf dem ein Satz von Instruktionen gespeichert ist, die ausgeführt werden sollen, wobei der Satz von Instruktionen, wenn dieselben durch einen Prozessor (272) ausgeführt werden, bewirkt, daß der Prozessor (272) ein Computerverfahren ausführt, das folgende Schritte aufweist:
Erzeugen, durch den Computer, einer Nachricht, die an einen Teilsatz von Knoten (215-219) auf einem Netz (200) adressiert ist;
Übertragen der Nachricht auf einem Netzmedium (200B) des Netzes (200) an den Teilsatz von Knoten (215-219); Empfangen der Nachricht durch einen Router (160A-160M), der das Netzmedium abschließt; und
Weiterleiten, durch den Router, der Nachricht an alle Knoten, die in dem Teilsatz von Knoten (215-219) auf einem zweiten Netzmedium (200A, 200C-200M) umfaßt sind, das durch den Router (160A-160M) abgeschlossen ist.
DE10249842A 2001-10-31 2002-10-25 Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz Withdrawn DE10249842A1 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US10/001,446 US7444679B2 (en) 2001-10-31 2001-10-31 Network, method and computer readable medium for distributing security updates to select nodes on a network

Publications (1)

Publication Number Publication Date
DE10249842A1 true DE10249842A1 (de) 2003-05-28

Family

ID=21696049

Family Applications (1)

Application Number Title Priority Date Filing Date
DE10249842A Withdrawn DE10249842A1 (de) 2001-10-31 2002-10-25 Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz

Country Status (3)

Country Link
US (1) US7444679B2 (de)
DE (1) DE10249842A1 (de)
GB (1) GB2382754B (de)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004012835B4 (de) * 2003-07-25 2010-02-11 Hewlett-Packard Development Co., L.P., Houston Verfahren und System zum Verwalten der Nutzung von Netzwerkeindringerfassungssystemen in einem dynamischen Datenzentrum

Families Citing this family (92)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6773769B1 (en) * 1999-05-18 2004-08-10 3M Innovative Properties Company Macroporous ink receiving media
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7904454B2 (en) * 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7694128B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for secure communication delivery
US20060015942A1 (en) 2002-03-08 2006-01-19 Ciphertrust, Inc. Systems and methods for classification of messaging entities
US8132250B2 (en) 2002-03-08 2012-03-06 Mcafee, Inc. Message profiling systems and methods
US7903549B2 (en) 2002-03-08 2011-03-08 Secure Computing Corporation Content-based policy compliance systems and methods
US8561167B2 (en) 2002-03-08 2013-10-15 Mcafee, Inc. Web reputation scoring
US7124438B2 (en) 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US7870203B2 (en) * 2002-03-08 2011-01-11 Mcafee, Inc. Methods and systems for exposing messaging reputation to an end user
US6941467B2 (en) * 2002-03-08 2005-09-06 Ciphertrust, Inc. Systems and methods for adaptive message interrogation through multiple queues
US20030172291A1 (en) 2002-03-08 2003-09-11 Paul Judge Systems and methods for automated whitelisting in monitored communications
US7693947B2 (en) 2002-03-08 2010-04-06 Mcafee, Inc. Systems and methods for graphically displaying messaging traffic
US8578480B2 (en) 2002-03-08 2013-11-05 Mcafee, Inc. Systems and methods for identifying potentially malicious messages
CN1643876B (zh) * 2002-03-29 2010-09-29 思科技术公司 用于降低网络入侵检测系统的误报率的方法和系统
US20030196123A1 (en) * 2002-03-29 2003-10-16 Rowland Craig H. Method and system for analyzing and addressing alarms from network intrusion detection systems
US7353539B2 (en) * 2002-11-04 2008-04-01 Hewlett-Packard Development Company, L.P. Signal level propagation mechanism for distribution of a payload to vulnerable systems
US8230497B2 (en) * 2002-11-04 2012-07-24 Hewlett-Packard Development Company, L.P. Method of identifying software vulnerabilities on a computer system
US8122498B1 (en) 2002-12-12 2012-02-21 Mcafee, Inc. Combined multiple-application alert system and method
US8312535B1 (en) 2002-12-12 2012-11-13 Mcafee, Inc. System, method, and computer program product for interfacing a plurality of related applications
US8990723B1 (en) 2002-12-13 2015-03-24 Mcafee, Inc. System, method, and computer program product for managing a plurality of applications via a single interface
US8239941B1 (en) * 2002-12-13 2012-08-07 Mcafee, Inc. Push alert system, method, and computer program product
US7418730B2 (en) * 2002-12-17 2008-08-26 International Business Machines Corporation Automatic client responses to worm or hacker attacks
US10110632B2 (en) * 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
US8266699B2 (en) 2003-07-01 2012-09-11 SecurityProfiling Inc. Multiple-path remediation
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9100431B2 (en) 2003-07-01 2015-08-04 Securityprofiling, Llc Computer program product and apparatus for multi-path remediation
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118710B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc System, method, and computer program product for reporting an occurrence in different manners
US9118711B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9350752B2 (en) 2003-07-01 2016-05-24 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US7805762B2 (en) * 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US8239687B2 (en) 2003-11-12 2012-08-07 The Trustees Of Columbia University In The City Of New York Apparatus method and medium for tracing the origin of network transmissions using n-gram distribution of data
GB2410647A (en) * 2004-01-31 2005-08-03 Hewlett Packard Development Co Identifying and Patching Vulnerabilities in a Network
US7426512B1 (en) * 2004-02-17 2008-09-16 Guardium, Inc. System and methods for tracking local database access
US7523499B2 (en) * 2004-03-25 2009-04-21 Microsoft Corporation Security attack detection and defense
US20060005063A1 (en) * 2004-05-21 2006-01-05 Bea Systems, Inc. Error handling for a service oriented architecture
US20060031431A1 (en) * 2004-05-21 2006-02-09 Bea Systems, Inc. Reliable updating for a service oriented architecture
US7653008B2 (en) 2004-05-21 2010-01-26 Bea Systems, Inc. Dynamically configurable service oriented architecture
US7665119B2 (en) 2004-09-03 2010-02-16 Secure Elements, Inc. Policy-based selection of remediation
US20060075481A1 (en) * 2004-09-28 2006-04-06 Ross Alan D System, method and device for intrusion prevention
US20060095520A1 (en) * 2004-10-27 2006-05-04 Berg Douglass J Method and apparatus for managing computer systmes in multiple remote devices
US8635690B2 (en) * 2004-11-05 2014-01-21 Mcafee, Inc. Reputation based message processing
US7855974B2 (en) 2004-12-23 2010-12-21 Solera Networks, Inc. Method and apparatus for network packet capture distributed storage system
US20100195538A1 (en) * 2009-02-04 2010-08-05 Merkey Jeffrey V Method and apparatus for network packet capture distributed storage system
US7827608B2 (en) * 2005-02-08 2010-11-02 International Business Machines Corporation Data leak protection system, method and apparatus
US7487408B2 (en) * 2005-04-29 2009-02-03 International Business Machines Corporation Deferring error reporting for a storage device to align with staffing levels at a service center
US7937480B2 (en) 2005-06-02 2011-05-03 Mcafee, Inc. Aggregation of reputation data
US7970788B2 (en) * 2005-08-02 2011-06-28 International Business Machines Corporation Selective local database access restriction
EP1934743A4 (de) * 2005-09-07 2012-02-22 Ibm Automatisierter einsatz von schutzagenten für mit einem verteilten computernetz verbundene einrichtungen
US9419981B2 (en) * 2005-10-31 2016-08-16 The Trustees Of Columbia University In The City Of New York Methods, media, and systems for securing communications between a first node and a second node
US7933923B2 (en) 2005-11-04 2011-04-26 International Business Machines Corporation Tracking and reconciling database commands
WO2007062004A2 (en) 2005-11-22 2007-05-31 The Trustees Of Columbia University In The City Of New York Methods, media, and devices for moving a connection from one point of access to another point of access
US8392996B2 (en) * 2006-08-08 2013-03-05 Symantec Corporation Malicious software detection
US8141100B2 (en) 2006-12-20 2012-03-20 International Business Machines Corporation Identifying attribute propagation for multi-tier processing
US8214497B2 (en) 2007-01-24 2012-07-03 Mcafee, Inc. Multi-dimensional reputation scoring
US8763114B2 (en) 2007-01-24 2014-06-24 Mcafee, Inc. Detecting image spam
US8179798B2 (en) 2007-01-24 2012-05-15 Mcafee, Inc. Reputation based connection throttling
US7779156B2 (en) 2007-01-24 2010-08-17 Mcafee, Inc. Reputation based load balancing
US7949716B2 (en) 2007-01-24 2011-05-24 Mcafee, Inc. Correlation and analysis of entity attributes
US8495367B2 (en) 2007-02-22 2013-07-23 International Business Machines Corporation Nondestructive interception of secure data in transit
US20080226069A1 (en) * 2007-03-14 2008-09-18 Encrypted Shields Pty Ltd Apparatus and Method for Providing Protection from Malware
WO2008118976A1 (en) * 2007-03-26 2008-10-02 The Trustees Of Culumbia University In The City Of New York Methods and media for exchanging data between nodes of disconnected networks
US8185930B2 (en) 2007-11-06 2012-05-22 Mcafee, Inc. Adjusting filter or classification control settings
US8045458B2 (en) 2007-11-08 2011-10-25 Mcafee, Inc. Prioritizing network traffic
US8160975B2 (en) 2008-01-25 2012-04-17 Mcafee, Inc. Granular support vector machine with random granularity
US8589503B2 (en) 2008-04-04 2013-11-19 Mcafee, Inc. Prioritizing network traffic
EP2112803B1 (de) * 2008-04-22 2013-12-18 Alcatel Lucent Angriffsschutz für paketbasierte Netzwerke
US8261326B2 (en) 2008-04-25 2012-09-04 International Business Machines Corporation Network intrusion blocking security overlay
US8521732B2 (en) 2008-05-23 2013-08-27 Solera Networks, Inc. Presentation of an extracted artifact based on an indexing technique
US8625642B2 (en) 2008-05-23 2014-01-07 Solera Networks, Inc. Method and apparatus of network artifact indentification and extraction
US8769373B2 (en) 2010-03-22 2014-07-01 Cleon L. Rogers, JR. Method of identifying and protecting the integrity of a set of source data
US8621638B2 (en) 2010-05-14 2013-12-31 Mcafee, Inc. Systems and methods for classification of messaging entities
US8849991B2 (en) 2010-12-15 2014-09-30 Blue Coat Systems, Inc. System and method for hypertext transfer protocol layered reconstruction
US8666985B2 (en) 2011-03-16 2014-03-04 Solera Networks, Inc. Hardware accelerated application-based pattern matching for real time classification and recording of network traffic
US8881258B2 (en) * 2011-08-24 2014-11-04 Mcafee, Inc. System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
WO2014051555A1 (en) * 2012-09-26 2014-04-03 Hewlett Packard Development Company, L.P. Multicast message update
US9686140B2 (en) * 2014-07-02 2017-06-20 Verizon Patent And Licensing Inc. Intelligent network interconnect
CN105656907B (zh) * 2016-01-25 2019-08-16 上海斐讯数据通信技术有限公司 一种路由器管理密码恢复方法和恢复系统
KR102440948B1 (ko) * 2016-02-11 2022-09-05 삼성전자주식회사 반도체 장치 및 반도체 장치의 동작 방법
US10382208B2 (en) * 2016-04-29 2019-08-13 Olympus Sky Technologies, S.A. Secure communications using organically derived synchronized processes
US20180234407A1 (en) * 2017-02-14 2018-08-16 Quanta Computer Inc. Method for securely exchanging link discovery information
US11144570B2 (en) * 2018-01-26 2021-10-12 Vmware, Inc. Data ingestion by distributed-computing systems
US10860576B2 (en) 2018-01-26 2020-12-08 Vmware, Inc. Splitting a query into native query operations and post-processing operations
US11016972B2 (en) 2018-01-26 2021-05-25 Vmware, Inc. Splitting a time-range query into multiple sub-queries for serial execution
US11016971B2 (en) 2018-01-26 2021-05-25 Vmware, Inc. Splitting a time-range query into multiple sub-queries for parallel execution
US10812332B2 (en) 2018-02-28 2020-10-20 Vmware Inc. Impartial buffering in stream processing
US11178213B2 (en) 2018-02-28 2021-11-16 Vmware, Inc. Automated configuration based deployment of stream processing pipeline
US10824623B2 (en) 2018-02-28 2020-11-03 Vmware, Inc. Efficient time-range queries on databases in distributed computing systems
US11444961B2 (en) * 2019-12-20 2022-09-13 Intel Corporation Active attack detection in autonomous vehicle networks

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4007450A (en) 1975-06-30 1977-02-08 International Business Machines Corporation Data sharing computer network
EP0092895B1 (de) 1982-04-28 1988-05-11 International Computers Limited Datenverarbeitungsanlage
US5905859A (en) * 1997-01-09 1999-05-18 International Business Machines Corporation Managed network device security method and apparatus
US6408391B1 (en) 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6304973B1 (en) * 1998-08-06 2001-10-16 Cryptek Secure Communications, Llc Multi-level security network system
US7565692B1 (en) 2000-05-30 2009-07-21 At&T Wireless Services, Inc. Floating intrusion detection platforms
WO2002027443A2 (en) 2000-09-25 2002-04-04 Itt Manufacturing Enterprises, Inc. Global computer network intrusion detection system
EP1259026A1 (de) 2001-05-15 2002-11-20 Motorola, Inc. Verfahren und Vorrichtung zur Verwaltung von mobilen Knoten
EP1430377A1 (de) 2001-09-28 2004-06-23 BRITISH TELECOMMUNICATIONS public limited company Eindringdetektionssystem auf agentenbasis

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
DE102004012835B4 (de) * 2003-07-25 2010-02-11 Hewlett-Packard Development Co., L.P., Houston Verfahren und System zum Verwalten der Nutzung von Netzwerkeindringerfassungssystemen in einem dynamischen Datenzentrum
US8296847B2 (en) 2003-07-25 2012-10-23 Hewlett-Packard Development Company, L.P. Method of managing utilization of network intrusion detection systems in a dynamic data center

Also Published As

Publication number Publication date
GB0224543D0 (en) 2002-11-27
GB2382754B (en) 2005-01-12
US20030084320A1 (en) 2003-05-01
US7444679B2 (en) 2008-10-28
GB2382754A (en) 2003-06-04

Similar Documents

Publication Publication Date Title
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
US20030084326A1 (en) Method, node and computer readable medium for identifying data in a network exploit
US20030101353A1 (en) Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US20030084328A1 (en) Method and computer-readable medium for integrating a decode engine with an intrusion detection system
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE112019000485T5 (de) System und verfahren zum bereitstellen der sicherheit für einfahrzeuginternes netzwerk
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
EP3192226B1 (de) Vorrichtung und verfahren zur steuerung eines kommunikationsnetzwerks
DE102015001024A1 (de) Verfahren und Systeme zum Erkennen von Extrusion und Intrusion in einer Cloud-Computer-Umgebung, welche Netzwerkkommunikationsgeräte verwendet
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
US7836503B2 (en) Node, method and computer readable medium for optimizing performance of signature rule matching in a network
EP3152884B1 (de) Verfahren zur weiterleitung von daten zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102014107783B4 (de) Routing-Verfahren zur Weiterleitung von Task-Anweisungen zwischen Computersystemen, Computernetz-Infrastruktur sowie Computerprogramm-Produkt
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
Einwechter An introduction to distributed intrusion detection systems
US8528077B1 (en) Comparing events from multiple network security devices
EP3152660A1 (de) Verfahren zur verteilung von tasks zwischen computersystemen, computernetz-infrastruktur sowie computerprogramm-produkt
DE102012208290B4 (de) Netzübergangskomponente mit anfrage/antwort-zuordnung und überwachung
DE102015107071B3 (de) Vorrichtung und Verfahren zur Steuerung eines Kommunikationsnetzwerks

Legal Events

Date Code Title Description
OP8 Request for examination as to paragraph 44 patent law
8127 New person/name/address of the applicant

Owner name: HEWLETT-PACKARD DEVELOPMENT CO., L.P., HOUSTON, TE

8130 Withdrawal