DE60016613T2 - Abschreckungssystem gegen aufschaltung und missbrauch - Google Patents

Abschreckungssystem gegen aufschaltung und missbrauch Download PDF

Info

Publication number
DE60016613T2
DE60016613T2 DE60016613T DE60016613T DE60016613T2 DE 60016613 T2 DE60016613 T2 DE 60016613T2 DE 60016613 T DE60016613 T DE 60016613T DE 60016613 T DE60016613 T DE 60016613T DE 60016613 T2 DE60016613 T2 DE 60016613T2
Authority
DE
Germany
Prior art keywords
network
change log
intruder
packet
virtual network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60016613T
Other languages
English (en)
Other versions
DE60016613D1 (de
Inventor
F. Martin ROESCH
J. Ronald GULA
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Verizon Corporate Services Group Inc
Genuity Inc
Original Assignee
Verizon Corporate Services Group Inc
Genuity Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Verizon Corporate Services Group Inc, Genuity Inc filed Critical Verizon Corporate Services Group Inc
Application granted granted Critical
Publication of DE60016613D1 publication Critical patent/DE60016613D1/de
Publication of DE60016613T2 publication Critical patent/DE60016613T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Description

  • Die vorliegende Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere ein System zum Identifizieren von Eindringlingen in einem Computernetzwerk.
  • Die Verbreitung des Internet hat dazu geführt, dass die größte und vielfältigste Sammlung von Informationen entstanden ist, die die Welt bisher kannte. Menschen wickeln heutzutage Transaktionen über das Internet ab, die früher intensive persönliche Interaktion erforderlich machten. Mit dieser Verbreitung einher geht eine schnelle Zunahme der Übertragung von vertraulichen Informationen über diese Netzwerke. Daher besteht ein dringender Bedarf nach verbesserten Verfahren, mit denen die Vertraulichkeit privater Informationen gewährleistet wird, die über Computernetzwerke laufen.
  • Herkömmliche Systeme zum Erfassen von Eindringen, sogenannte Intrusion Detection Systems (IDS), schützen Netzwerke vor Eindringlingen, indem sie den Inhalt jedes Paketes bzw. jeder Nachricht oder Meldung prüfen, die in das Netzwerk gelangt, und auf Basis von Mustervergleich (pattern matching) und einer Gruppe allgemeiner Regeln feststellen, ob sie verdächtig ist oder nicht. Mit zunehmender Größe der Netzwerke ergeben sich bei diesem Verfahren der Untersuchung jedes Paketes eine Reihe von Nachteilen. Eine Einschränkung besteht in der Geschwindigkeit, mit der das IDS die Informationen verarbeiten kann, die in den Millionen von Paketen enthalten sind, die jeden Tag stündlich die Netzwerkgrenzen überschreiten. Da die Netze schneller werden, hat das IDS noch weniger Zeit Feststellungen hinsichtlich der Pakete zu treffen, die es prüft, ohne Pakete auszulassen oder die Leistung des Systems zu beeinträchtigen.
  • Als Beispiel soll das internet-basierte (Client/Server)-Netzwerk 10 dienen, das in 1 dargestellt ist. Netzwerk 10 enthält einen Router 20, mehrere Clients 30 (beispielsweise die Clients 30a–e), von denen jeder einen Personalcomputer oder einen Arbeitsplatzrechner (Workstation) umfasst. In einem typischen Internet-Netzwerk kann jeder Client 30 so konfiguriert sein, dass er bestimmte Funktionen erfüllt. Client 30a kann beispielsweise als ein Web-Server konfiguriert sein, Client 30b kann ein Name-Server (Domain Name Server – DNS) sein, Client 30c kann ein Mail-Server sein, Client 30d kann eine Firewall sein, und Client 30e kann ein herkömmliches IDS sein.
  • Ein Web-Server (Client 30a) ist, um einen Hintergrund zu vermitteln, ein Computer im Internet, auf dem Software zur Abwicklung von Hypertext-Datenübertragung läuft. Menschliche Bediener leiten unter Verwendung von einzigartigen alphanumerischen Host-Namen, die jedem Server entsprechen, Zugriffsanforderungen zu Netzwerkvorrichtungen. Die eigentliche Weiterleitung von Informationen wird über den Einsatz von Internet-Protokoll (IP)-Adressen durchgeführt. Eine IP-Adresse ist nichtsymbolische Zahl aus 32 Bits (Format mit vier Achtergruppen), die die einzigartige Adresse einer Vorrichtung darstellt, die mit dem Internet verbunden ist. Die IP-Adressen mit den dazugehörigen alphanumerischen Host-Namen und Netzwerkpositionen sind in Web-Server 30a gespeichert.
  • Global einzigartige IP-Adressen werden an Unternehmen von einer zentralen Behörde ausgegeben, die als die Internet Assigned Number Authority ("IANA") bekannt ist. Die IANA gibt diese Adressen in einer von drei normalerweise verwendeten Klassen aus. IP-Adressen der Klasse "A" verwenden ihre erste Achtergruppe als Netzwerk-Identifikationsnummer (Net-ID) und ihre verbleibenden drei Achtergruppen als eine Host-Identifikationsnummer (Host-ID). Die Net-ID identifiziert das Unternehmens-Netzwerk, und die Host-ID identifiziert einen bestimmten Host in diesem Netzwerk. Da drei Achtergruppen zur Verfügung stehen, um einen Host anzugeben, verfügt ein Unernehmen mit Adressen der Klasse "A" über nahezu 17 Millionen Adressen zur Verwendung mit möglichen Hosts. Bei Adressen der Klasse "B" werden die zwei ersten Achtergruppen verwendet, um ein Netzwerk zu identifizieren (Net-ID), und die zweiten zwei Achtergruppen zur Identifizierung eines Host (Host-ID). So kann ein Unternehmen mit Adressen der Klasse "B" diese Adressen für nahezu 64000 Hosts verwenden. Bei Adressen der Klasse "C" schließlich werden ihre ersten drei Achtergruppen als ein Net-ID verwendet, und ihre letzte Achtergruppe als ein Host-ID. Für Unternehmen mit Adressen der Klasse "C" stehen lediglich 254 Host-Adressen zur Verfügung.
  • Wenn Pakete über Router 20 zu Netzwerk 10 geleitet werden, werden sie zu Web-Server 30a übertragen, der feststellt, ob sich der Empfänger in Netzwerk 10 befindet. Dann werden sie zu IDS 30e übertragen, das dann den Inhalt, den Absender und den Empfänger jedes Paketes auswertet, um festzustellen, ob es sich bei dem Paket um einen Eindringling handelt. Wenn IDS 30e feststellt, dass das Paket zulässig ist, kann es zu Firewall 30d geleitet werden, die erneut Absender, Inhalt und Empfänger des Paketes auswertet, um festzustellen, ob das Paket ordnungsgemäß zu Intranet 40 geleitet werden kann. Da die Netzwerke weiter wachsen und die Anzahl von Paketen, die typische Netzwerke durchlaufen, weiter sprunghaft ansteigt, nimmt auch die Verarbeitungszeit zu, die IDS 30e zugewiesen werden muss.
  • Ein weiteres Problem bei gegenwärtigen Systemen zum Erfassen von Eindringen besteht in ihrer Fähigkeit, zwischen zulässigem Gebrauch und unzulässigem Gebrauch zu unterscheiden. Die Pakete, die von IDS 30e erfasst werden, werden auf Basis fester Muster in der Mustervergleichsbibliothek und einer Gruppe allgemeiner Regeln geprüft. Wenn neuartige Angriffsstrategien entwickelt werden, sind diese Regeln und Muster veraltet, und dem IDS entgehen die neuartigen Angriffsstrategien vollständig. Aufgrund von Paketprüfungs-Zeitbeschränkungen, die den Netzwerken durch den Grad der Bandbreite auferlegt werden, gibt es auch eine Grenze hinsichtlich der Anzahl von Regeln, die jeweils in das System geladen werden können.
  • Der Gesamteffekt ist der, dass die Ausgabe von herkömmlichen IDS unzuverlässig und umfangreich ist und daher vom Sicherheitspersonal häufig ignoriert wird. Obwohl klar ist, dass bisher zahlreiche Verfahren zum Schützen von Netzwerken gegen unautorisierten Zugriff vorgeschlagen worden sind, sind diese Verfahren im Allgemeinen unausgereift, ineffizient und nicht in der Lage, ein Netzwerk gegen die Angriffe heutiger Hacker wirkungsvoll zu schützen. Des Weiteren sind gegenwärtige IDS aufgrund der Verarbeitungsbelastung für den Einsatz mit den größeren schnelleren Netzwerken, in denen sie zweifellos am meisten benötigt werden, nicht praktikabel.
  • Daher besteht ein Bedarf nach einer verbesserten Vorrichtung und einem verbesserten Verfahren, mit denen die Mängel herkömmlicher IDS überwunden werden.
  • Der Beitrag von Amoroso E. et al. unter dem Titel "A selection criteria for intrusion detection systems", (Computer Security Applications Conference, 1998, Protokoll, 14. Jahrgang, Phoenix, AZ, USA, 7. bis 11. Dezember 1998, Los Alamitos, CA, USA, IEEE Comput. Soc, US, 7. Dezember 1998, Seite 280 bis 288) offenbart ein Auswahlkriterium zum Vergleichen und Bewerten von Systemen zum Erfassen von Eindringen.
  • Die Aufgabe der vorliegenden Erfindung besteht darin, verbesserte Verfahren und Systeme zum Identifizieren von Eindringlingen zu schaffen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen.
  • Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche 1, 2, 9 und 10 gelöst.
  • Bevorzugte Ausführungen sind Gegenstand der abhängigen Ansprüche.
  • Systeme und Verfahren gemäß einem Aspekt der vorliegenden Erfindung verbessern die Sicherheit von Computernetzwerken durch den Einsatz eines Systems zum Abschrecken von Eindringen und Missbrauch (Intrusion and Misuse Deterrence System – IMDS), das passiv Netzwerk-Eindringlinge auf eine Weise erfasst, die wenig zusätzlichen Verarbeitungsaufwand in einem Computernetzwerk mit sich bringt, anpassungsfähig ist und in Netzwerken beliebiger Größe einfach implementiert werden kann. Das IMDS erzeugt ein vollständiges synthetisches Netzwerk mit synthetischen Hosts und Routern. In Funktion überwacht das IMDS Paketfluss in einem Unternehmen, bis es feststellt, dass ein Paket für das synthetische Netzwerk bestimmt ist. Da es in dem synthetischen bzw. virtuellen Netzwerk keine legitimen Benutzer gibt, identifiziert das IMDS die Herkunft des Paketes und informiert einen System-Administrator über das Vorhandensein eines Netzwerk-Eindringlings. Das IMDS identifiziert ebenfalls Netzwerk-Eindringlinge, indem es Änderungsprotokolle überwacht, die mit dem virtuellen Netzwerk verknüpft sind, und einen System-Administrator benachrichtigt, wenn es eine Veränderung der Größe des Änderungsprotokolls bemerkt. Zusätzlich zur Benachrichtigung eines System-Administrators benachrichtigt das IMDS auch andere Netzwerk-Zugriffssteuervorrichtungen (beispielsweise Router, Firewalls usw.), wenn es das Vorhandensein eines Eindringlings erfasst.
  • Weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung sind in der folgenden Beschreibung aufgeführt, gehen aus der Beschreibung hervor oder werden bei der Ausführung der Erfindung ersichtlich. Sowohl die obenstehende allgemeine Be schreibung als auch die folgende ausführliche Beschreibung sind beispielhaft und erläuternd und dienen der weitergehenden Erläuterung der Erfindung, wie sie beansprucht wird.
  • 1 ist ein Netzwerkschema eines herkömmlichen Client/Server-Netzwerks;
  • 2 ist ein Netzwerkschema eines Client/Server-Netzwerks gemäß der vorliegenden Erfindung;
  • 3 ist ein detailliertes Blockschema eines Computersystems, wie es in 1 und 2 dargestellt ist;
  • 4 ist ein Blockschema eines Datenpaketes gemäß der vorliegenden Erfindung;
  • 5 ist ein detailliertes Blockschema der Software-Module zum Durchführen des Erfassens von Eindringen gemäß der vorliegenden Erfindung;
  • 6 ist ein detailliertes Blockschema der Schnittstelle zwischen den virtuellen Clients und dem System zum Abschrecken von Eindringen und Missbrauch gemäß der vorliegenden Erfindung;
  • 7 ist ein detailliertes Blockschema der Schnittstelle zwischen der Administrator-Mailbox und dem System zum Abschrecken von Eindringen und Missbrauch der vorliegenden Erfindung; und
  • 8 ist ein detailliertes Flussdiagramm des Prozesses zum Identifizieren eines Eindringlings gemäß der vorliegenden Erfindung.
  • In der folgenden ausführlichen Beschreibung der bevorzugten Ausführung wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil derselben bilden und in denen zur Veranschaulichung eine spezielle Ausführung dargestellt ist, in der die Erfindung umgesetzt werden kann. Diese Ausführung wird ausreichend detailliert beschrieben, um den Fachmann in die Lage zu versetzen, die Erfindung zu praktizieren, und es versteht sich, dass andere Ausführungen genutzt werden können und strukturelle Ver änderungen vorgenommen werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist daher nicht einschränkend zu verstehen.
  • Ein System gemäß einem Aspekt der vorliegenden Erfindung umfasst einen Netzwerk-Server mit dazugehöriger Anwendungssoftware, der für einen Netzwerk-Eindringling ein legitimer Bestandteil eines realen Netzwerkes zu sein scheint. Das IMDS animiert daher zur Nachforschung und führt den Eindringling von dem realen Netzwerk weg. Simulierte Dienst sind so konfiguriert, dass sie auf virtuellen Clients mit global einzigartigen IP-Adressen der Klasse "C" zu laufen scheinen. Zugelassene Netzwerkbenutzer kennen das virtuelle Netzwerk und seinen Zweck. Daher gibt es keine legitimen Benutzer des virtuellen Netzwerkes, und so müssen alle derartigen Aktivitäten unzulässig sein und können als solche behandelt werden. Die Fähigkeit des IMDS, unzulässige Aktivität lediglich auf Basis des Ziels von Netzwerkverkehr zu erfassen, bringt zwei große Vorteile mit sich. Der eine besteht darin, dass alle Transaktionen eines Eindringlings erfasst und identifiziert werden können, und nicht nur die Transaktionen, die mit einem vordefinierten Angriffsprofil übereinstimmen. Zweitens werden, da das System unabhängig von der Art des Angriffs arbeitet, neuartige Aktionen und Angriffe genauso effektiv gehandhabt wie bekannte Angriffe, wodurch Angriffsverfahren besser identifiziert werden und neue Angriffsstrategien besser identifiziert und analysiert werden. Mit dem IMDS fällt auch die Bandbreiteneinschränkung weg, unter der herkömmliche IDS leiden. Das IMDS muss nicht den gesamten Verkehr auf einem Netzwerksegment überwachen, sondern sich nur dem Verkehr widmen, der an seine simulierten Hosts gerichtet ist. Dadurch wird das Problem der Überwachung von Netzwerken mit ständig zunehmender Bandbreite entschärft. Das IMDS hat darüber hinaus die zusätzliche Wirkung, dass Angreifer von den realen Hosts abgelenkt werden, die es schützt.
  • Was zunächst die Terminologie der Patentbeschreibung angeht, so hält sich die ausführliche Beschreibung weitgehend an Prozesse und symbolische Darstellungen von Operationen, die von herkömmlichen Computerkomponenten durchgeführt werden, einschließlich einer zentralen Verarbeitungseinheit (Central Processing Unit – CPU), Speichervorrichtungen für die CPU und damit verbundener Anzeigevorrichtungen auf Pixel-Basis. Diese Operationen schließen die Verarbeitung von Datenbits durch die CPU und das Halten dieser Bits in Datenstrukturen ein, die in einer oder mehreren der Speicher vorrichtungen stehen. Diese Datenstrukturen verleihen der Ansammlung von Datenbits, die in dem Computerspeicher gespeichert sind, eine physische Ordnung und stellen spezielle elektrische oder magnetische Elemente dar. Diese symbolischen Darstellungen sind die Einrichtungen, die vom Fachmann auf dem Gebiet der Computerprogrammierung und der Computerkonstruktion verwendet werden, um anderen Fachleuten Lehren und Entdeckungen möglichst effektiv zu vermitteln.
  • Für die Zwecke der vorliegenden Erläuterung ist ein Prozess im Allgemeinen als eine Abfolge von durch Computer ausgeführten Schritten zu verstehen, die zu einem gewünschten Ergebnis führen. Diese Schritte machen im Allgemeinen physikalische Manipulationen von physikalischen Größen erforderlich. Diese Größen haben, auch wenn dies nicht zwangsläufig so ist, die Form elektrischer, magnetischer oder optischer Signale, die gespeichert, übertragen, kombiniert, verglichen oder anderweitig verarbeitet werden können. Der Fachmann bezeichnet diese Signale herkömmlicherweise als Bits, Werte, Elemente, Symbole, Zeichen, Ausdrücke, Objekte, Zahlen, Einträge, Dateien oder dergleichen. Es sollte jedoch beachtet werden, dass diese und ähnliche Ausdrücke mit geeigneten physikalischen Größen für Computeroperationen verknüpft werden sollten, und dass diese Ausdrücke lediglich herkömmliche Bezeichnungen sind, die für physikalische Größen verwendet werden, die innerhalb und während des Betriebs des Computers vorhanden sind.
  • Es versteht sich des Weiteren, dass Verarbeitungsvorgänge in dem Computer häufig mit Begriffen wie beispielsweise Addieren, Vergleichen, Verschieben usw. bezeichnet werden, die häufig mit manuellen Vorgängen verknüpft sind, die von einer menschlichen Bedienungsperson durchgeführt werden. Es versteht sich, dass bei der vorliegenden Erfindung kein derartiges Eingreifen einer menschlichen Bedienungsperson erforderlich oder wünschenswert ist. Die hier beschriebenen Operationen sind maschinelle Operationen, die in Verbindung mit einer menschlichen Bedienungsperson bzw. einem Benutzer durchgeführt werden, der in Interaktion mit dem Computer ist. Die Maschinen, die zum Durchführen des Vorgangs der vorliegenden Erfindung eingesetzt werden, schließen digitale Mehrzweckcomputer oder andere Rechenvorrichtungen ein.
  • Des Weiteren versteht sich, dass die Programme, Prozesse, Verfahren usw., die hier beschrieben sind, sich nicht auf einen speziellen Computer oder eine spezielle Vorrich tung beziehen oder darauf beschränkt sind. Statt dessen können verschiedenartige Mehrzweckmaschinen mit Programmen verwendet werden, die entsprechend den hier beschriebenen Lehren aufgebaut sind. Desgleichen kann es sich als vorteilhaft erweisen, spezielle Vorrichtungen herzustellen, um die hier beschriebenen Verfahrensschritte mit speziellen Computersystemen mit fest verdrahteter Logik oder Programmen durchzuführen, die in einem nichtflüchtigen Speicher, wie beispielsweise einem ROM, gespeichert sind.
  • Die Betriebsumgebung, in der die vorliegende Erfindung eingesetzt wird, schließt allgemeine verteilte Computersysteme ein, in denen Mehrzweckcomputer, Workstations oder Personalcomputer über verschiedenartige Datenübertragungsverbindungen verbunden sind. In einer Client-Server-Anordnung stehen Programme und Daten, viele in Form von Objekten, verschiedenen Mitgliedern des Systems zur Verfügung.
  • Ein System gemäß der vorliegenden Erfindung ist in 2 dargestellt. Wie das herkömmliche Netzwerk, das in 1 dargestellt ist, besteht das Netzwerk 10 in 2 aus einer Vielzahl von Netzwerk-Computern 30. Zusätzlich zu den Netzwerk-Computern, die in 1 dargestellt sind, besteht Netzwerk 10 in 2 aus einem System zum Abschrecken von Eindringen und Missbrauch (Intrusion and Misuse Deterrence System – IMDS) 65. Die unterbrochenen Linien 35, die sich von IMDS 65 aus erstrecken, stellen die Struktur eines virtuellen Netzwerkes 60 der Klasse "C" dar, das auf IMDS 65 läuft. Das heißt, das virtuelle Netzwerk 60 ist keine Ansammlung physischer Computer, sondern ein Programm, das auf IMDS 65 läuft und für Netzwerkbenutzer eine Ansammlung von ungefähr 254 physischen Computern simuliert.
  • Ein detaillierteres Blockschema jedes Netzwerk-Computers (Clients 30a–e und IMDS 65), die in Netzwerk 10 arbeiten, ist in 3 dargestellt. Jeder Netzwerk-Computer umfasst einen zentralen Prozessor 101, einen Hauptspeicher 102, eine Eingabe/Ausgabe-Steuerung 103, eine Eingabevorrichtung (beispielsweise eine Tastatur) 104, eine Zeigevorrichtung 105 (beispielsweise Maus, Trackball, Stiftvorrichtung oder dergleichen), eine Anzeige bzw. Bildschirmvorrichtung 106, einen Massenspeicher 107 (eine Festplatte, eine herausnehmbare Diskette, eine optische Platte, eine magnetooptische Platte oder einen Flash-Speicher), eine Netzwerk-Schnittstellenkarte bzw. einen Controller 111 (beispielsweise Ethernet) und ein Modem 112 (beispielsweise ein 56K-Baud-Modem o der ein ISDN-Modem). Die verschiedenen Komponenten jedes Netzwerk-Computers kommunizieren, wie dargestellt, über einen Systembus 110 oder eine ähnliche Architektur. Jeder Computer kommuniziert mit anderen Systemen über eine Netzwerk-Schnittstellenkarte 111 und/oder ein Modem 112.
  • 4 zeigt den Aufbau eines typischen Datenpaketes 31, das Netzwerk 10 durchläuft. User Datagram Protocol/Internet Protocol (UDP/IP)- und Transmission Control Protocol/Internet protocol (TCP/IP)-Pakettransportmechanismen gewährleisten Datentransport, wobei die Übertragung digitaler Netzwerkdaten für den Benutzer transparent oder unsichtbar ist. Obwohl die vorliegende Patentbeschreibung das System unter Bezugnahme auf das TCP/IP-Protokoll beschreibt, ist es wichtig klarzustellen, dass die vorliegende Erfindung mit beiden Protokollen arbeiten kann. Jedes Protokoll 31 weist Nutzerdaten-Bytes 32 auf, die nacheinander in einen TCP-Umschlag, der mit einem TCP-Header 34 beginnt, einen IP-Umschlag, der mit einem IP-Header 36 beginnt, einen Sicherungs-Umschlag, der mit einem Sicherungs-Header 38 beginnt, und einen Bitübertragungs-Umschlag 39 eingekapselt werden. Der IP-Header 36 enthält eine IP-Zieladresse 44 und eine IP-Herkunftsadresse 46. Der TCP-Header 34 enthält einen TCP-Zielport 48, eine TCP-Herkunftsadresse 50 und einen Pakettyp 52.
  • Gemäß dem TCP/IP-Protokoll und anderen verbindungsorientierten Protokollen beginnt eine Vorrichtung außerhalb von Netzwerk 10, die mit einem Client (20, 30a–e und 65) in Netzwerk 10 kommunizieren will, die Kommunikation, indem sie ein Paket 31 sendet, das die Kennung eines Clients in Netzwerk 10 in seinem TCP-Zielport-Feld 48 aufweist. Das Paket 31 gelangt über Router 20 zu seinem gewünschten Ziel. Wenn eine Vorrichtung in Netzwerk 10 mit der fremden Vorrichtung kommunizieren will, antwortet sie mit einem SYN (Synchronize)-Paket, um eine Verbindung herzustellen. Anschließende Pakete können dann über den Router 20 ungehindert hin und hergesendet werden. Der Router 20 kann einen Komparator enthalten, der in CPU 101 läuft und feststellt, ob der Sicherungs-Header-Typ 52 eines Paketes sich in einer Protokolltabelle befindet, die eine vorgespeicherte Liste von Protokollen (beispielsweise TCP/IP) enthält, die für die Verwendung in Netzwerk 10 gültig sind. Ein zweiter Komparator kann feststellen, ob die IP-Zieladresse 44 des Paketes und in einigen Fällen der TCP-Zielport 48 in einer Zieladressen-Tabelle sind, die eine vorgespeicherte Liste von Adressen enthält, die für Netzwerk 10 gültig sind. Der Router 20 kann des Weiteren einen dritten Komparator aufwei sen, der feststellt, ob die IP-Ursprungsadresse 46 des Paketes und die TCP-Ursprungsadresse 50 in einer Ursprungsadressen-Tabelle sind, die eine vorgespeicherte Liste von Ursprungsadressen enthält, die nicht mit Vorrichtungen in Netzwerk 10 kommunizieren dürfen. Wenn ein Paket das richtige Protokoll aufweist und annehmbare Ziel- und Ursprungsadressen hat, lässt der Router 20 es zu Netzwerk 10 durch. Diese Vergleiche werden für alle Datenpakete unabhängig von ihrem Ursprung oder ihrem Ziel durchgeführt. Eine ähnliche Verarbeitung kann von Router 20 unter Verwendung ähnlicher Komparatoren und Tabellen für Pakete durchgeführt werden, die aus dem Netzwerk 10 gelangen. Da er Pakete überwacht, die zwischen Netzwerken fließen, ist Router 20 ein Beispiel für eine Netzwerk-Zugriffssteuervorrichtung.
  • Firewall 30d ist ein weiteres Beispiel für eine Netzwerk-Zugriffssteuervorrichtung, die einen Paketstrom auf etwas andere Weise steuert. Firewall 30d ist über Verbindung 24 mit Intranet 40 verbunden, wie dies in der 2 dargestellt ist. Firewall 30d ist andererseits über Verbindung 22 mit Router 20 verbunden. Statt eine direkte Verbindung für Paketfluss zwischen Netzwerken zu ermöglichen (wie Router 20), werden Datenübertragungen zwischen Netzwerk 10 und Intranet 40 abgewickelt, indem zwei unabhängige TCP/IP-Verbindungen eingerichtet werden, eine, die von Netzwerk 10 hergestellt wird, und die andere, die von Intranet 40 hergestellt wird. Normalerweise wird, wenn ein ankommendes Paket von außerhalb von Netzwerk 10 Firewall 30d erreicht, dieses von einem Regel-Prozessor geprüft, der feststellt, ob die Informationen in dem Paket Regeln entsprechen, die in einer Zulassungsregeltabelle und einer Verweigerungsregeltabelle enthalten sind, die in CPU 101 in Firewall 30d ausgeführt wird. Diese Regeln werden verwendet, um Informationen zu prüfen, die in jedem Paket enthalten sind, sowie Systeminformationen, wie beispielsweise die Tageszeit, um festzustellen, ob die Herstellung von Verbindungen für Paketübertragung zwischen dem Absender und dem Empfänger zugelassen oder abgelehnt wird. Die Regeln können für Herkunftsbenutzer und Zielbenutzer angeben: 1. die Zeit- und Datumsintervalle, zu denen eine Regel gelten soll; 2. die zugelassenen Dienstarten; 3. spezielle zugelassene Dienste; 4. Authentisierungs-Typen und 5. Warn-Schwellenwerte, die die Anzahl versuchter Zugriffe unter Verletzung der Regel pro Zeiteinheit vor Erzeugung einer Warnmeldung definieren. Der Regel-Prozessor verwendet die Zulassungs- und Verweigerungsregeln zusammen, um beispielsweise einer Klasse von Benutzern Zugriff zu gewähren, einem bestimmten Benutzer oder bestimmten Benutzern, denen ansonsten durch die Zulassungsregeln Zugriff gewährt wird, Zugriff zu verweigern. Der Regel-Prozessor wendet die Zulassungsregeln und die Verweigerungsregeln auf Verbindungs-Pakate an, die zu der Firewall 30d gelangen. Wenn die Regeln erfüllt sind und die zwei Verbindungen hergestellt sind, können andere Nichtverbindungs-Verwaltungspakete ohne ausführliche Regelprüfung von einer Verbindung zur anderen kopiert werden.
  • Eine IMDS-Zugriffssteuervorrichtung gemäß der vorliegenden Erfindung ist in 2 dargestellt. IMDS 65 ist auf ähnliche Weise wie die Clients 30a–e und Router 20 mit Netzwerk 10 gekoppelt. Es ist daher für Netzwerk-Nutzer sichtbar, und da es eine eigene Gruppe von anscheinend realen und angreifbaren Clients verwaltet, ist es für einen Eindringling interessanter. Router 20 ist so eingestellt, dass jedes Paket 31 mit einer Zieladresse, die nicht in dem virtuellen Netzwerk 60 vorhanden ist, zu Firewall 30d weitergeleitet wird. Jedes beliebige Paket mit einer Zieladresse 44 in dem virtuellen Netzwerk 60 wird zu IMDS 65 weitergeleitet. Das virtuelle Netzwerk 60, das auf IMDS 65 läuft, dient dazu, Eindringlinge anzuziehen und ihre Aktivität zu protokollieren. Es ist in einzelne virtuelle bzw. synthetische Hosts unterteilt, die jeweils ihre eigene IP-Adresse haben. Diese Hosts werden durch eine Gruppe von software-basierten Dienstsimulationen oder "Fassaden" erzeugt. Die Fassadendienste, die mit einem virtuellen Client verknüpft sind, entsprechen dem Typ Host, der simuliert wird. Das heißt, ein virtueller DNS-Host weist glaubwürdige Zuordnungen zwischen virtuellen alphanumerischen Host-Namen und numerischen IP-Adressen auf, während ein virtueller Mail-Server glaubhafte Beispiele von E-Mail-Dateien speichert.
  • IMDS 65 erfüllt drei Funktionen: Erfassung von Eindringen, Benachrichtigung über Eindringen und System-Administration. Erfassung von Eindringen wird über eine Gruppe von Softwarepaketen erreicht, wie sie in 5 dargestellt ist, die einen Netzwerk-Adressübersetzer (Network Address Translator – NAT) 70, ein Paket-Filter 72, einen Internetz-Dienst-Daemon (inetd) 74 und geschichtete Fassadendienste 76 enthalten. NAT 70 wirkt als eine Schnittstelle zwischen dem physikalischen Netzwerk 10 und dem virtuellen Netzwerk 60. In dem physikalischen Netzwerk 10 ist NAT 70 über Verbindung 22 mit einem Router 20 verbunden. Router 20 hingegen wirkt als eine Schnittstelle zwischen IMDS 65 und Internet-Zielen außerhalb von Netzwerk 10. Im Inneren von IMDS 65 ist NAT 70 mit Paket-Filter 72 verbunden, der seinerseits mit inetd 74 und den geschichteten Fassadendiensten 76 verbunden ist.
  • Der Ablauf einer Funktion zum Erfassen von Eindringen gemäß der vorliegenden Erfindung wird am besten anhand eines Beispiels erläutert. Gehen wir davon aus, dass eine Entität, die außerhalb von Netzwerk 10 arbeitet, Paket 31 über das Internet zu Router 20 sendet. Paket 31 ist, wie von IP-Header 36 angezeigt, für IMDS 65 bestimmt. Das heißt, Zieladresse 44 entspricht einer Zieladresse in dem virtuellen Netzwerk 60. Beim Empfangen von Paket 31 leitet Router 20 Paket 31 über Verbindung 22 zu IMDS 65. Bis zu diesem Punkt verhält sich das System entsprechend den meisten herkömmlichen Netzwerkverbindungsprotokollen. Da Paket 31 jedoch eine Zieladresse 44 enthält, die kein tatsächlicher Netzwerk-Client ist, muss NAT 70 das Paket zu einem Port 75 in IMDS 65 weiterleiten. IMDS 65 besteht, wie in 6 dargestellt, des Weiteren aus einer Vielzahl virtueller Clients 60a–c mit entsprechenden IMDS-Ports 75a–i. IMDS 75 enthält einen Port 75 für alle oder eine Teilgruppe aller IP-Herkunftsadressen der globalen Klasse "C", die dem virtuellen Netzwerk 60 zugewiesen sind. Obwohl die vorliegende Beschreibung IMDS 65 als ein virtuelles Netzwerk der Klasse "C" beschreibt, versteht sich, dass das Netzwerk auch ein Netzwerk der Klasse "A" oder der Klasse "B" sein kann. Wenn IMDS 65 eine Anforderung zum Zugriff auf Port 23 (dem Standard-Telnet-Port) an dem virtuellen Client 60a empfängt, ordnet NAT 70 die Anforderung Port 75c an IMDS 65 zu.
  • NAT 70 kann gleichzeitig bis zu 254 (Netzwerk der Klasse "C") Anforderungen zum Zugriff auf verschiedene Ports von IMDS 65 zuordnen. Nachdem NAT 70 den richtigen Weg für Paket 31 bestimmt hat, sendet er das Paket zu Paket-Filter 72. Paket-Filter 72 dient dazu, gleichzeitigen Zugriff auf einen der Ports 75 zu verhindern, die tatsächlich von IMDS 65 verwendet werden. Er dient auch dazu, Zugriff auf die administrativen Ports aus der Liste administrativer Workstations zuzulassen, die während der Installation konfiguriert werden, wie dies weiter unter erläutert wird. Paket 31 wird dann zu inetd 74 geleitet, der so konfiguriert ist, dass er auf Basis des Ziel-Ports, der von NAT 70 angegeben wird, den richtigen Fassadendienst 76 ausführt. Der Fassadendienst 76 antwortet dann entsprechend auf Paket 31 und leitet das Antwortpaket zu der ursprünglichen Netzwerk-Entität zurück. Nachdem die Sitzung abgeschlossen ist, kann die IMDS-Port 75 für eine andere Netzwerk-Entität verfügbar gemacht werden. Obwohl die vorliegende Patentbeschreibung das System so beschreibt, dass die Verarbeitung seriell ausgeführt wird, ist wichtig anzumerken, dass in einer bevorzugten Ausführung mehrere gleichzeitige Portverbindungen möglich sind.
  • Wenn IMDS 65 feststellt, dass ein Element auf Fassadendienste 76 zugegriffen hat, verhält es sich, als ob das Element ein Eindringling wäre. Dies ist eine zulässige Annahme, da definitionsgemäß alle Aktivitäten auf IMDS 65 von verdächtiger Herkunft sind. Die Elemente von IMDS 65, die einen Eindringling identifizieren und einen System-Administrator benachrichtigen, sind in 7 dargestellt. Das heißt, das System zum Identifizieren eines Eindringlings und zum Benachrichtigen besteht aus Cron-Daemon 78, Benachrichtigungs-Routine 80, Benachrichtigungsliste 82, Änderungsprotokollen 84, Sendmail-Routine 86 und wenigstens einer Administrator-Mailbox 88. Cron-Daemon 78 überwacht Anwendungen, die bei ihm registriert sind, und ruft die Benachrichtigungs-Routine 80 auf, wenn Änderungen bemerkt werden. Benachrichtigungsliste 82 enthält eine Liste aller Netzwerkpositionen. Änderungsprotokolle 84 speichern Datensätze für jedes Netzwerk-Zugriffsereignis. Das heißt, jedes Mal, wenn eine Entität versucht, auf einen IMDS-Port 75 zuzugreifen, erzeugt Änderungsprotokoll 84 einen Datensatz, der die Transaktion identifiziert, und speichert ihn. Die aufgezeichneten Änderungen umfassen Pakete verarbeiteter Informationen, die normalerweise von System-Administratoren verwendet werden, um elektronische Logbücher zu erzeugen, sowie zur Fehlerbeseitigung und für Operationen zum Rückgängigmachen. Da sie die Herkunft des Paketes identifizieren, können diese Datensätze auch verwendet werden, um einen Netzwerk-Eindringling zu identifizieren. Sendmail-Routine 86 stellt E-Mail-Mitteilungen zusammen und leitet die Mitteilungen unter Verwendung von Informationen, die von Benachrichtigungs-Routine 80 empfangen werden, zu Mailboxen 88 weiter. In Funktion führt der Prozess zum Identifizieren von Eindringlingen und zum Benachrichtigen, der mit IMDS 65 verknüpft ist, Befehle aus, die sich in "crontab"-Dateien finden, die sich in Cron-Daemon 78 befinden. Diese Befehle geben die durchzuführenden Operationen und die Netzwerk-Entitäten an, die zu benachrichtigen sind, wenn ein Eindringling erfasst wird.
  • Die Funktion des Systems zum Identifizieren von Eindringlingen und zum Benachrichtigen beginnt, wie in 8 dargestellt, in Schritt 810, in dem Cron-Daemon 78 eine vordefinierte Gruppe virtueller Netzwerk-Clients 60 überwacht. Dies tut er, indem er die vorhandenen Änderungsprotokolle 84 und ihre Größe beobachtet. Wenn neue Protokolle 84 erzeugt werden (Schritt 820) oder sich die Größe von Protokollen ändert (Schritt 830), ruft Cron-Daemon 78 in Schritt 840 die Benachrichtigungs-Routine 80 auf. In Schritt 850 greift Benachrichtigungs-Routine 80 auf Benachrichtigungsliste 82 zu und ruft Kennungen für zu benachrichtigende Mailboxen ab. Sie ruft des Weiteren in Schritt 860 die veränderten Informationen aus Änderungsprotokollen 84 ab. Benachrichtigungs-Routine 80 leitet dann in Schritt 870 Informationen zu Sendmail-Routine 86 (in 7 dargestellt). In Schritt 880 erzeugt Sendmail-Routine dann E-Mail-Meldungen unter Verwendung der von Benachrichtigungs-Routine 80 empfangenen Informationen. Die E-Mail-Meldungen werden dann in Schritt 890 zu den Empfängern geleitet, für die sie bestimmt sind. In einer bevorzugten Ausführung wird der Benachrichtigungsprozess alle 10 Minuten durchgeführt, die Häufigkeit kann jedoch je nach der empfundenen Bedrohung für das Netzwerk erhöht oder verringert werden. Obwohl die vorliegende Patentbeschreibung das System zum Identifizieren von Eindringlingen und zum Benachrichtigen als eines beschreibt, bei dem E-Mail-Meldungen eingesetzt werden, um das Vorhandensein von Eindringlingen anzuzeigen, kann jedes beliebige Verfahren einschließlich der Echtzeit-Benachrichtigung über eine Systemmeldung oder durch Protokollieren des Eindringens in einer Datei zum späteren Abrufen durch einen System-Administrator verwendet werden. Wenn ein Eindringling identifiziert ist, kann IMDS 65 auch die Herkunftsadresse des Paketes 31 extrahieren und Komparatoren bzw. Verweigerungsregeltabellen dazugehöriger Router und Firewalls aktualisieren. Es kann des Weiteren Verweigerungsregeltabellen aktualisieren, die in IMDS 65 gespeichert sind, um zu verhindern, dass der Eindringling erneut auf IMDS 65 zugreift.
  • Aus der obenstehenden Beschreibung wird ersichtlich, dass die vorliegende Erfindung ein effizientes System sowie ein Verfahren zum Erhöhen der Sicherheit von Computer-Netzwerken über den Einsatz eines IMDS schafft, das in einem Computer-Netzwerk arbeitet. Die vorliegende Erfindung ist im Zusammenhang mit speziellen Ausführungen beschrieben worden, die in jeder Hinsicht veranschaulichend und nicht einschränkend sein sollen. Für den Fachmann liegt auf der Hand, dass viele verschiedene Kombinationen von Hardware zum Umsetzen der vorliegenden Erfindung geeignet sind. Für alle oben beschriebenen Komponenten sind viele Ersatzlösungen erhältlich, die jeweils unterschiedliche Kosten und Leistungseigenschaften haben können.
  • Obwohl Aspekte der vorliegenden Erfindung als im Speicher resident beschrieben sind, liegt für den Fachmann auf der Hand, dass diese Aspekte auch auf anderen Typen computerlesbarer Medien gespeichert oder von ihnen gelesen werden können, so beispielsweise sekundären Speichervorrichtungen, wie z.B. Festplatten, Disketten oder CR-ROMs, einem Träger aus dem Internet oder anderen Formen von RAM oder ROM.
  • Desgleichen kann das Verfahren der vorliegenden Erfindung praktischerweise in Programmmodulen implementiert werden, die auf dem Flussdiagramm in 8 basieren. Es ist keine spezielle Programmiersprache zum Ausführen der verschiedenen oben beschriebenen Prozeduren dargestellt worden, da davon ausgegangen wird, dass die Operationen, Schritte und Prozeduren, die oben beschrieben und in den beigefügten Zeichnungen dargestellt sind, ausreichend offenbart wurden, um dem Fachmann zu ermöglichen, die vorliegende Erfindung zu praktizieren. Des Weiteren gibt es viele Computer und Betriebssysteme, die bei der Umsetzung der vorliegenden Erfindung eingesetzt werden können, und daher konnte kein detailliertes Computerprogramm bereitgestellt werden, das für diese vielen verschiedenen Systeme einsetzbar wäre. Jeder Benutzer eines bestimmten Computers kennt die Sprache und die Werkzeuge, die sich für die Bedürfnisse und Zwecke dieses Benutzers am besten eignen.

Claims (22)

  1. Verfahren zum Identifizieren von Eindringlingen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen, das wenigstens ein reales Netzwerk (40), einen Router (20) und ein virtuelles Netzwerk (60) umfasst, wobei das Verfahren die folgenden Schritte umfasst: Erfassen eines Eingangspaketes (31), das bei dem Unternehmen ankommt; Feststellen, ob das Eingangspaket (31) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; und Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen, wobei das Verfahren dadurch gekennzeichnet ist, dass der Benachrichtigungsschritt des Weiteren aus dem Schritt des Aktualisierens eines in dem Router (20) gespeicherten Komparators mit einer Netzwerk-Kennung des Eindringlings besteht.
  2. Verfahren zum Identifizieren von Eindringlingen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen, das wenigstens ein reales Netzwerk (40), eine Firewall (30d) und ein virtuelles Netzwerk (60) umfasst, wobei das Verfahren die folgenden Schritte umfasst: Erfassen eines Eingangspaketes (31), das bei dem Unternehmen ankommt; Feststellen, ob das Eingangspaket (31) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; und Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen, wobei das Verfahren dadurch gekennzeichnet ist, dass: der Benachrichtigungsschritt des Weiteren aus dem Schritt des Aktualisierens einer in der Firewall (30d) gespeicherten Verweigerungsregeltabelle mit einer Netzwerk-Kennung des Eindringlings besteht.
  3. Verfahren nach Anspruch 1 oder 2, wobei der Feststellschritt des Weiteren aus den folgenden Schritten besteht: Extrahieren einer globalen IP-Zieladresse (44) aus dem Eingangspaket (31); und Ermitteln, ob die globale IP-Zieladresse (44) einem einer Vielzahl von Clients entspricht, die in dem virtuellen Netzwerk (60) stehen.
  4. Verfahren nach Anspruch 3, wobei der Ermittlungsschritt des Weiteren aus den folgenden Schritten besteht: Identifizieren eines Server-Zugangsports, der der globalen IP-Zieladresse (44) entspricht, Leiten des Eingangspaketes (31) zu dem Server-Zugangsport, wenn festgestellt wird, dass der Zugangsport verfügbar ist; und Ausführen eines Dienstes, der mit dem Zugangsport verbunden ist, entsprechend dem Eingangspaket (31).
  5. Verfahren nach Anspruch 4, wobei der Ermittlungsschritt des Weiteren aus dem Schritt des Aktualisierens eines Änderungsprotokolls besteht, um die Ausführung des Dienstes widerzuspiegeln.
  6. Verfahren nach einem der Ansprüche 1 bis 5, wobei der Benachrichtigungsschritt des Weiteren aus den folgenden Schritten besteht: Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; Extrahieren einer Herkunftsadresse (46) aus dem Paket (31); Abrufen eines Änderungsprotokolleintrages aus einem Änderungsprotokoll, der eine Ankunft des Paketes bei dem virtuellen Netzwerk (60) anzeigt; Zusammenstellen einer Eindringlings-Warnmeldung, die die Herkunftsadresse (46) des Paketes und den Änderungsprotokolleintrag umfasst; und Leiten der Eindringlings-Warnmeldung zu dem wenigstens einen Netzwerk-Administrator.
  7. Verfahren nach einem der Ansprüche 1 bis 6, das des Weiteren den folgenden Schritt umfasst: Überwachen eines Änderungsprotokolls von Zugriffsereignissen des virtuellen Netzwerkes, wobei das Änderungsprotokoll einen Datensatz für jedes Zugriffsereignis des virtuellen Netzwerkes umfasst; und der Benachrichtigungsschritt umfasst: Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn das Änderungsprotokoll modifiziert wird.
  8. Verfahren nach Anspruch 7, wobei der Benachrichtigungsschritt des Weiteren aus den folgenden Schritten besteht: Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn das Änderungsprotokoll modifiziert wird; Abrufen eines Änderungsprotokolleintrages aus dem Änderungsprotokoll, der mit der Modifizierung des Änderungsprotokolls verknüpft ist; Extrahieren einer Herkunftsadresse aus dem Änderungsprotokolleintrag; Zusammenstellen einer Eindringlings-Warnmeldung, die die Herkunftsadresse und den Änderungsprotokolleintrag umfasst; und Leiten der Eindringlings-Warnmeldung zu einem Netzwerk-Administrator, der mit der Netzwerk-Administrator-Kennung verknüpft ist.
  9. System zum Betrieb in einem Unternehmen, das wenigstens ein reales Netzwerk (40), einen Router (20) und ein virtuelles Netzwerk (60) umfasst, wobei das System so eingerichtet ist, dass es Eindringlinge identifiziert, die versuchen, sich unautorisierten Zugriff auf das Unternehmen zu verschaffen, wobei das System umfasst: eine Einrichtung, die ein Eingangspaket (31) erfasst, das bei dem Unternehmen ankommt; eine Einrichtung, die ermittelt, ob das Eingangspaket (31) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; und eine Einrichtung, die einen Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen, wobei das System dadurch gekennzeichnet ist, dass es des Weiteren umfasst: eine Einrichtung, die einen in dem Router (20) gespeicherten Komparator mit einer Netzwerk-Kennung des Eindringlings aktualisiert.
  10. System zum Betreiben in einem Unternehmen, das wenigstens ein reales Netzwerk (40), eine Firewall (30d) und ein virtuelles Netzwerk (60) umfasst, wobei das System so eingerichtet ist, dass es Eindringlinge identifiziert, die versuchen, sich nichtautorisierten Zugriff auf das Unternehmen zu verschaffen, wobei das System umfasst: eine Einrichtung, die ein Eingangspaket (31) erfasst, das bei dem Unternehmen ankommt; eine Einrichtung, die feststellt, ob das Eingangspaket (31) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; und eine Einrichtung, die einen Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen, wobei das System dadurch gekennzeichnet ist, dass es des Weiteren umfasst: eine Einrichtung, die eine in der Firewall (30d) gespeicherte Verweigerungsregeltabelle mit einer Netzwerk-Kennung des Eindringlings aktualisiert.
  11. System nach Anspruch 9 oder 10, wobei die Einrichtung zum Feststellen enthält: eine Einrichtung, die eine globale IP-Zieladresse (44) aus dem Eingangspaket (31) extrahiert; und eine Einrichtung, die ermittelt, ob die globale IP-Zieladresse (44) einem einer Vielzahl von Clients entspricht, die in dem virtuellen Netzwerk (60) stehen.
  12. System nach Anspruch 11, wobei die Einrichtung zum Ermitteln enthält: eine Einrichtung, die einen Server-Zugangsport identifiziert, der der globalen IP-Zieladresse (44) entspricht; eine Einrichtung, die das Eingangspaket (31) zu dem Server-Zugangsport leitet, wenn festgestellt wird, dass der Zugangsport verfügbar ist; und eine Einrichtung, die einen Dienst, der mit dem Zugangsport verbunden ist, entsprechend dem Eingangspaket (31) ausführt.
  13. System nach Anspruch 12, wobei die Einrichtung zum Ermitteln eine Einrichtung enthält, die ein Änderungsprotokoll aktualisiert, um die Ausführung des Dienstes widerzuspiegeln.
  14. System nach einem der Ansprüche 9 bis 13, wobei die Einrichtung zum Benachrichtigen enthält: eine Einrichtung, die wenigstens eine Netzwerk-Administrator-Kennung abruft, wenn festgestellt wird, dass das Paket (31) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60) stehen; eine Einrichtung, die eine Herkunftsadresse (46) aus dem Paket extrahiert; eine Einrichtung, die aus einem Änderungsprotokoll einen Änderungsprotokolleintrag abruft, der eine Ankunft des Paketes (31) bei dem virtuellen Netzwerk (60) anzeigt; eine Einrichtung, die eine Eindringlings-Warnmeldung zusammenstellt, die die Herkunftsadresse (46) des Paketes und den Änderungsprotokolleintrag umfasst; und eine Einrichtung, die die Eindringlings-Warnmeldung zu dem wenigstens einem Netzwerk-Administrator leitet.
  15. System nach einem der Ansprüche 9 bis 14, das des Weiteren umfasst: eine Einrichtung, die ein Änderungsprotokoll von Zugriffsereignissen des virtuellen Netzwerkes überwacht, wobei das Änderungsprotokoll einen Datensatz für jedes Zugriffsereignis des virtuellen Netzwerkes umfasst; und wobei die Einrichtung zum Benachrichtigen so eingerichtet ist, dass sie den Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn ein neues Netzwerk-Zugriffsereignis zu dem Änderungsprotokoll hinzugefügt wird.
  16. System nach Anspruch 15, wobei die Einrichtung zum Benachrichtigen enthält: eine Einrichtung zum Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn ein neues Netzwerk-Zugriffsereignis zu dem Änderungsprotokoll hinzugefügt wird; eine Einrichtung, die einen Änderungsprotokolleintrag abruft, der den Netzwerkzugriff anzeigt; eine Einrichtung, die eine Warnmeldung an den wenigstens einen Netzwerk-Administrator zusammenstellt, wobei die Warnmeldung die Identifizierung der Herkunfts- und der Ziel-Netzwerkentitäten und den Änderungsprotokolleintrag umfasst; und eine Einrichtung, die die Warnmeldung zu dem wenigstens einen Netzwerk-Administrator leitet.
  17. Eindringlings-Erfassungssystem nach einem der Ansprüche 9 bis 16, das umfasst; eine Vielzahl von Client-Computern, die mit dem realen Computernetzwerk (40) verbunden sind; einen Server, der mit dem realen Computernetzwerk verbunden ist, wobei der Server so konfiguriert ist, dass er: eine Vielzahl von Client-Computern (60) simuliert; und einen Netzwerk-Administrator benachrichtigt, wenn ein Eindringling versucht, sich Zugriff auf einen der Vielzahl von Client-Computern zu verschaffen.
  18. System nach Anspruch 17, wobei der Server des Weiteren so konfiguriert ist, dass er einen Änderungsprotokolleintrag jedes Server-Zugriffsereignisses aufzeichnet.
  19. System nach Anspruch 17 oder 18, wobei die Vielzahl von Client-Computern ein IP-Netzwerk der Klasse "C" ist.
  20. System nach einem der Ansprüche 17 bis 19, wobei der Server des Weiteren besteht aus: einem Netzwerk-Adressübersetzer; einem IP-Filter; einem Internet-Dienst-Daemon; und einer Vielzahl von Fassadendiensten.
  21. System nach einem der Ansprüche 9 bis 16, das umfasst: einen Speicher mit Programmbefehlen; und einen Prozessor, der so konfiguriert ist, dass er die Programmbefehle verwendet, um eine Vielzahl von Client-Computern zu simulieren, und einen Netzwerk-Administrator zu benachrichtigen, wenn ein Benutzer auf den Server zugreift.
  22. System nach Anspruch 21, wobei der Prozessor des Weiteren so konfiguriert ist, dass er einen Änderungsprotokollsatz jedes Server-Zugriffsereignisses aufzeichnet.
DE60016613T 1999-04-14 2000-04-14 Abschreckungssystem gegen aufschaltung und missbrauch Expired - Lifetime DE60016613T2 (de)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
US12926699P 1999-04-14 1999-04-14
US129266P 1999-04-14
US09/548,547 US7240368B1 (en) 1999-04-14 2000-04-13 Intrusion and misuse deterrence system employing a virtual network
US548547 2000-04-13
PCT/US2000/010179 WO2000062167A1 (en) 1999-04-14 2000-04-14 Intrusion and misuse deterrence system

Publications (2)

Publication Number Publication Date
DE60016613D1 DE60016613D1 (de) 2005-01-13
DE60016613T2 true DE60016613T2 (de) 2005-12-08

Family

ID=26827423

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60016613T Expired - Lifetime DE60016613T2 (de) 1999-04-14 2000-04-14 Abschreckungssystem gegen aufschaltung und missbrauch

Country Status (8)

Country Link
US (3) US7240368B1 (de)
EP (1) EP1218822B1 (de)
AT (1) ATE284557T1 (de)
AU (1) AU4245800A (de)
CA (1) CA2370135C (de)
DE (1) DE60016613T2 (de)
MX (1) MXPA01010420A (de)
WO (1) WO2000062167A1 (de)

Families Citing this family (230)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999066383A2 (en) * 1998-06-15 1999-12-23 Dmw Worldwide, Inc. Method and apparatus for assessing the security of a computer system
FI20010256A0 (fi) 2001-02-12 2001-02-12 Stonesoft Oy Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä
US7603709B2 (en) * 2001-05-03 2009-10-13 Computer Associates Think, Inc. Method and apparatus for predicting and preventing attacks in communications networks
US7845004B2 (en) 2001-07-27 2010-11-30 International Business Machines Corporation Correlating network information and intrusion information to find the entry point of an attack upon a protected computer
US7308714B2 (en) 2001-09-27 2007-12-11 International Business Machines Corporation Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack
EP1326393B1 (de) 2001-12-18 2004-08-11 Stonesoft Corporation Prüfung der Konfiguration einer Firewall
US8209756B1 (en) 2002-02-08 2012-06-26 Juniper Networks, Inc. Compound attack detection in a computer network
TWI235580B (en) * 2002-05-03 2005-07-01 Ke-Cheng Fang Network security system and method for recording and resisting hacker
US7412722B1 (en) * 2002-08-08 2008-08-12 Verizon Laboratories Inc. Detection of softswitch attacks
US8819285B1 (en) 2002-10-01 2014-08-26 Trustwave Holdings, Inc. System and method for managing network communications
US7469418B1 (en) * 2002-10-01 2008-12-23 Mirage Networks, Inc. Deterring network incursion
US7506360B1 (en) 2002-10-01 2009-03-17 Mirage Networks, Inc. Tracking communication for determining device states
US7827607B2 (en) * 2002-11-27 2010-11-02 Symantec Corporation Enhanced client compliancy using database of security sensor data
US7694343B2 (en) * 2002-11-27 2010-04-06 Symantec Corporation Client compliancy in a NAT environment
US20040111642A1 (en) * 2002-12-05 2004-06-10 Amir Peles Content security by network switch
US7657937B1 (en) * 2003-01-02 2010-02-02 Vmware, Inc. Method for customizing processing and response for intrusion prevention
EP1578082B1 (de) * 2004-03-16 2007-04-18 AT&T Corp. Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots
US8006305B2 (en) * 2004-06-14 2011-08-23 Fireeye, Inc. Computer worm defense system and method
US8375444B2 (en) 2006-04-20 2013-02-12 Fireeye, Inc. Dynamic signature creation and enforcement
US9027135B1 (en) 2004-04-01 2015-05-05 Fireeye, Inc. Prospective client identification using malware attack detection
US8584239B2 (en) 2004-04-01 2013-11-12 Fireeye, Inc. Virtual machine with dynamic data flow analysis
US7587537B1 (en) 2007-11-30 2009-09-08 Altera Corporation Serializer-deserializer circuits formed from input-output circuit registers
US8528086B1 (en) 2004-04-01 2013-09-03 Fireeye, Inc. System and method of detecting computer worms
US8566946B1 (en) 2006-04-20 2013-10-22 Fireeye, Inc. Malware containment on connection
US8171553B2 (en) 2004-04-01 2012-05-01 Fireeye, Inc. Heuristic based capture with replay to virtual machine
US8898788B1 (en) 2004-04-01 2014-11-25 Fireeye, Inc. Systems and methods for malware attack prevention
US8549638B2 (en) 2004-06-14 2013-10-01 Fireeye, Inc. System and method of containing computer worms
US8561177B1 (en) 2004-04-01 2013-10-15 Fireeye, Inc. Systems and methods for detecting communication channels of bots
US8793787B2 (en) * 2004-04-01 2014-07-29 Fireeye, Inc. Detecting malicious network content using virtual environment components
US9106694B2 (en) 2004-04-01 2015-08-11 Fireeye, Inc. Electronic message analysis for malware detection
US8881282B1 (en) 2004-04-01 2014-11-04 Fireeye, Inc. Systems and methods for malware attack detection and identification
US8204984B1 (en) 2004-04-01 2012-06-19 Fireeye, Inc. Systems and methods for detecting encrypted bot command and control communication channels
US8539582B1 (en) 2004-04-01 2013-09-17 Fireeye, Inc. Malware containment and security analysis on connection
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
WO2006039208A2 (en) * 2004-09-22 2006-04-13 Cyberdefender Corporation Threat protection network
US8499337B1 (en) * 2004-10-06 2013-07-30 Mcafee, Inc. Systems and methods for delegation and notification of administration of internet access
US7937755B1 (en) 2005-01-27 2011-05-03 Juniper Networks, Inc. Identification of network policy violations
US7809826B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Remote aggregation of network traffic profiling data
US7769851B1 (en) 2005-01-27 2010-08-03 Juniper Networks, Inc. Application-layer monitoring and profiling network traffic
US7810151B1 (en) 2005-01-27 2010-10-05 Juniper Networks, Inc. Automated change detection within a network environment
US7797411B1 (en) 2005-02-02 2010-09-14 Juniper Networks, Inc. Detection and prevention of encapsulated network attacks using an intermediate device
US20060259950A1 (en) * 2005-02-18 2006-11-16 Ulf Mattsson Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior
US7441153B1 (en) * 2005-03-28 2008-10-21 Network Appliance Inc. Method and system for secure and reliable event logging
WO2006131124A1 (en) * 2005-06-10 2006-12-14 Gatesweeper Solutions Inc. Anti-hacker system with honey pot
US7805752B2 (en) * 2005-11-09 2010-09-28 Symantec Corporation Dynamic endpoint compliance policy configuration
CN1863093A (zh) * 2006-04-06 2006-11-15 华为技术有限公司 一种策略执行点及其与入侵检测系统联动的方法
KR100806751B1 (ko) 2006-04-26 2008-02-27 한국전자통신연구원 인터넷 웜 시뮬레이션을 위한 가상 네트워크를 이용한대규모 네트워크 표현 시스템 및 방법
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
US8239915B1 (en) 2006-06-30 2012-08-07 Symantec Corporation Endpoint management using trust rating data
US20080196104A1 (en) * 2007-02-09 2008-08-14 George Tuvell Off-line mms malware scanning system and method
US8055789B2 (en) * 2007-03-27 2011-11-08 Amazon Technologies, Inc. Configuring intercommunications between computing nodes
US8713450B2 (en) * 2008-01-08 2014-04-29 International Business Machines Corporation Detecting patterns of abuse in a virtual environment
US8312511B2 (en) * 2008-03-12 2012-11-13 International Business Machines Corporation Methods, apparatus and articles of manufacture for imposing security measures in a virtual environment based on user profile information
US9264441B2 (en) * 2008-03-24 2016-02-16 Hewlett Packard Enterprise Development Lp System and method for securing a network from zero-day vulnerability exploits
US8856926B2 (en) * 2008-06-27 2014-10-07 Juniper Networks, Inc. Dynamic policy provisioning within network security devices
US8850571B2 (en) 2008-11-03 2014-09-30 Fireeye, Inc. Systems and methods for detecting malicious network content
US8997219B2 (en) 2008-11-03 2015-03-31 Fireeye, Inc. Systems and methods for detecting malicious PDF network content
WO2011002818A1 (en) * 2009-06-29 2011-01-06 Cyberdefender Corporation Systems and methods for operating an anti-malware network on a cloud computing platform
US8832829B2 (en) 2009-09-30 2014-09-09 Fireeye, Inc. Network-based binary file extraction and analysis for malware detection
US8683573B2 (en) 2011-06-27 2014-03-25 International Business Machines Corporation Detection of rogue client-agnostic nat device tunnels
US8898795B2 (en) 2012-02-09 2014-11-25 Harris Corporation Bridge for communicating with a dynamic computer network
US8935780B2 (en) 2012-02-09 2015-01-13 Harris Corporation Mission management for dynamic computer networks
US8819818B2 (en) 2012-02-09 2014-08-26 Harris Corporation Dynamic computer network with variable identity parameters
US9519782B2 (en) 2012-02-24 2016-12-13 Fireeye, Inc. Detecting malicious network content
US9075992B2 (en) 2012-05-01 2015-07-07 Harris Corporation Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques
US8935786B2 (en) 2012-05-01 2015-01-13 Harris Corporation Systems and methods for dynamically changing network states
US9154458B2 (en) 2012-05-01 2015-10-06 Harris Corporation Systems and methods for implementing moving target technology in legacy hardware
US8966626B2 (en) 2012-05-01 2015-02-24 Harris Corporation Router for communicating data in a dynamic computer network
US8959573B2 (en) 2012-05-01 2015-02-17 Harris Corporation Noise, encryption, and decoys for communications in a dynamic computer network
US9130907B2 (en) 2012-05-01 2015-09-08 Harris Corporation Switch for communicating data in a dynamic computer network
US8898782B2 (en) 2012-05-01 2014-11-25 Harris Corporation Systems and methods for spontaneously configuring a computer network
US10572665B2 (en) 2012-12-28 2020-02-25 Fireeye, Inc. System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events
US9009823B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications installed on mobile devices
US9367681B1 (en) 2013-02-23 2016-06-14 Fireeye, Inc. Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application
US9009822B1 (en) 2013-02-23 2015-04-14 Fireeye, Inc. Framework for multi-phase analysis of mobile applications
US8990944B1 (en) 2013-02-23 2015-03-24 Fireeye, Inc. Systems and methods for automatically detecting backdoors
US9824209B1 (en) 2013-02-23 2017-11-21 Fireeye, Inc. Framework for efficient security coverage of mobile software applications that is usable to harden in the field code
US9195829B1 (en) 2013-02-23 2015-11-24 Fireeye, Inc. User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications
US9176843B1 (en) 2013-02-23 2015-11-03 Fireeye, Inc. Framework for efficient security coverage of mobile software applications
US9159035B1 (en) 2013-02-23 2015-10-13 Fireeye, Inc. Framework for computer application analysis of sensitive information tracking
US9104867B1 (en) 2013-03-13 2015-08-11 Fireeye, Inc. Malicious content analysis using simulated user interaction without user involvement
US9626509B1 (en) 2013-03-13 2017-04-18 Fireeye, Inc. Malicious content analysis with multi-version application support within single operating environment
US9565202B1 (en) 2013-03-13 2017-02-07 Fireeye, Inc. System and method for detecting exfiltration content
US9355247B1 (en) 2013-03-13 2016-05-31 Fireeye, Inc. File extraction from memory dump for malicious content analysis
US9430646B1 (en) 2013-03-14 2016-08-30 Fireeye, Inc. Distributed systems and methods for automatically detecting unknown bots and botnets
US9311479B1 (en) 2013-03-14 2016-04-12 Fireeye, Inc. Correlation and consolidation of analytic data for holistic view of a malware attack
US9413781B2 (en) 2013-03-15 2016-08-09 Fireeye, Inc. System and method employing structured intelligence to verify and contain threats at endpoints
US10713358B2 (en) 2013-03-15 2020-07-14 Fireeye, Inc. System and method to extract and utilize disassembly features to classify software intent
US9251343B1 (en) 2013-03-15 2016-02-02 Fireeye, Inc. Detecting bootkits resident on compromised computers
US9495180B2 (en) 2013-05-10 2016-11-15 Fireeye, Inc. Optimized resource allocation for virtual machines within a malware content detection system
US9635039B1 (en) 2013-05-13 2017-04-25 Fireeye, Inc. Classifying sets of malicious indicators for detecting command and control communications associated with malware
US9536091B2 (en) 2013-06-24 2017-01-03 Fireeye, Inc. System and method for detecting time-bomb malware
US10133863B2 (en) 2013-06-24 2018-11-20 Fireeye, Inc. Zero-day discovery system
US9888016B1 (en) 2013-06-28 2018-02-06 Fireeye, Inc. System and method for detecting phishing using password prediction
US9300686B2 (en) 2013-06-28 2016-03-29 Fireeye, Inc. System and method for detecting malicious links in electronic messages
US9294503B2 (en) 2013-08-26 2016-03-22 A10 Networks, Inc. Health monitor based distributed denial of service attack mitigation
US9628507B2 (en) 2013-09-30 2017-04-18 Fireeye, Inc. Advanced persistent threat (APT) detection center
US9171160B2 (en) 2013-09-30 2015-10-27 Fireeye, Inc. Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses
US10089461B1 (en) 2013-09-30 2018-10-02 Fireeye, Inc. Page replacement code injection
US10515214B1 (en) 2013-09-30 2019-12-24 Fireeye, Inc. System and method for classifying malware within content created during analysis of a specimen
US10192052B1 (en) 2013-09-30 2019-01-29 Fireeye, Inc. System, apparatus and method for classifying a file as malicious using static scanning
US9294501B2 (en) 2013-09-30 2016-03-22 Fireeye, Inc. Fuzzy hash of behavioral results
US9690936B1 (en) 2013-09-30 2017-06-27 Fireeye, Inc. Multistage system and method for analyzing obfuscated content for malware
US9736179B2 (en) 2013-09-30 2017-08-15 Fireeye, Inc. System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection
US9503324B2 (en) 2013-11-05 2016-11-22 Harris Corporation Systems and methods for enterprise mission management of a computer network
US9921978B1 (en) 2013-11-08 2018-03-20 Fireeye, Inc. System and method for enhanced security of storage devices
US9264496B2 (en) 2013-11-18 2016-02-16 Harris Corporation Session hopping
US9338183B2 (en) 2013-11-18 2016-05-10 Harris Corporation Session hopping
US9189627B1 (en) 2013-11-21 2015-11-17 Fireeye, Inc. System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection
US10122708B2 (en) 2013-11-21 2018-11-06 Harris Corporation Systems and methods for deployment of mission plans using access control technologies
US9747446B1 (en) 2013-12-26 2017-08-29 Fireeye, Inc. System and method for run-time object classification
US9756074B2 (en) 2013-12-26 2017-09-05 Fireeye, Inc. System and method for IPS and VM-based detection of suspicious objects
US9292686B2 (en) 2014-01-16 2016-03-22 Fireeye, Inc. Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment
US9262635B2 (en) 2014-02-05 2016-02-16 Fireeye, Inc. Detection efficacy of virtual machine-based analysis with application specific events
KR101468601B1 (ko) * 2014-03-13 2014-12-03 한국전자통신연구원 웹 서버/웹 어플리케이션 서버 보안 관리 장치 및 방법
US9241010B1 (en) 2014-03-20 2016-01-19 Fireeye, Inc. System and method for network behavior detection
US10242185B1 (en) 2014-03-21 2019-03-26 Fireeye, Inc. Dynamic guest image creation and rollback
US9591015B1 (en) 2014-03-28 2017-03-07 Fireeye, Inc. System and method for offloading packet processing and static analysis operations
US9223972B1 (en) 2014-03-31 2015-12-29 Fireeye, Inc. Dynamically remote tuning of a malware content detection system
US9432389B1 (en) 2014-03-31 2016-08-30 Fireeye, Inc. System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object
US9973531B1 (en) 2014-06-06 2018-05-15 Fireeye, Inc. Shellcode detection
US9438623B1 (en) 2014-06-06 2016-09-06 Fireeye, Inc. Computer exploit detection using heap spray pattern matching
US9594912B1 (en) 2014-06-06 2017-03-14 Fireeye, Inc. Return-oriented programming detection
US10084813B2 (en) 2014-06-24 2018-09-25 Fireeye, Inc. Intrusion prevention and remedy system
US9398028B1 (en) 2014-06-26 2016-07-19 Fireeye, Inc. System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers
US10805340B1 (en) 2014-06-26 2020-10-13 Fireeye, Inc. Infection vector and malware tracking with an interactive user display
US10002252B2 (en) 2014-07-01 2018-06-19 Fireeye, Inc. Verification of trusted threat-aware microvisor
US9363280B1 (en) 2014-08-22 2016-06-07 Fireeye, Inc. System and method of detecting delivery of malware using cross-customer data
US9756071B1 (en) 2014-09-16 2017-09-05 A10 Networks, Inc. DNS denial of service attack protection
US10671726B1 (en) 2014-09-22 2020-06-02 Fireeye Inc. System and method for malware analysis using thread-level event monitoring
US9773112B1 (en) 2014-09-29 2017-09-26 Fireeye, Inc. Exploit detection of malware and malware families
US10027689B1 (en) 2014-09-29 2018-07-17 Fireeye, Inc. Interactive infection visualization for improved exploit detection and signature generation for malware and malware families
US9537886B1 (en) 2014-10-23 2017-01-03 A10 Networks, Inc. Flagging security threats in web service requests
US9690933B1 (en) 2014-12-22 2017-06-27 Fireeye, Inc. Framework for classifying an object as malicious with machine learning for deploying updated predictive models
US10075455B2 (en) 2014-12-26 2018-09-11 Fireeye, Inc. Zero-day rotating guest image profile
US9934376B1 (en) 2014-12-29 2018-04-03 Fireeye, Inc. Malware detection appliance architecture
US9584318B1 (en) 2014-12-30 2017-02-28 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack defense
US9838417B1 (en) 2014-12-30 2017-12-05 Fireeye, Inc. Intelligent context aware user interaction for malware detection
US9900343B1 (en) 2015-01-05 2018-02-20 A10 Networks, Inc. Distributed denial of service cellular signaling
US9848013B1 (en) 2015-02-05 2017-12-19 A10 Networks, Inc. Perfect forward secrecy distributed denial of service attack detection
US10063591B1 (en) 2015-02-14 2018-08-28 A10 Networks, Inc. Implementing and optimizing secure socket layer intercept
US10148693B2 (en) 2015-03-25 2018-12-04 Fireeye, Inc. Exploit detection system
US9690606B1 (en) 2015-03-25 2017-06-27 Fireeye, Inc. Selective system call monitoring
US9438613B1 (en) 2015-03-30 2016-09-06 Fireeye, Inc. Dynamic content activation for automated analysis of embedded objects
US10474813B1 (en) 2015-03-31 2019-11-12 Fireeye, Inc. Code injection technique for remediation at an endpoint of a network
US9483644B1 (en) 2015-03-31 2016-11-01 Fireeye, Inc. Methods for detecting file altering malware in VM based analysis
US10417031B2 (en) 2015-03-31 2019-09-17 Fireeye, Inc. Selective virtualization for security threat detection
US9654485B1 (en) 2015-04-13 2017-05-16 Fireeye, Inc. Analytics-based security monitoring system and method
US9594904B1 (en) 2015-04-23 2017-03-14 Fireeye, Inc. Detecting malware based on reflection
US10142353B2 (en) 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US10536357B2 (en) 2015-06-05 2020-01-14 Cisco Technology, Inc. Late data detection in data center
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10454950B1 (en) 2015-06-30 2019-10-22 Fireeye, Inc. Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks
US10715542B1 (en) 2015-08-14 2020-07-14 Fireeye, Inc. Mobile application risk analysis
US10176321B2 (en) 2015-09-22 2019-01-08 Fireeye, Inc. Leveraging behavior-based rules for malware family classification
US10033747B1 (en) 2015-09-29 2018-07-24 Fireeye, Inc. System and method for detecting interpreter-based exploit attacks
US9825989B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Cyber attack early warning system
US9825976B1 (en) 2015-09-30 2017-11-21 Fireeye, Inc. Detection and classification of exploit kits
US10817606B1 (en) 2015-09-30 2020-10-27 Fireeye, Inc. Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic
US10601865B1 (en) 2015-09-30 2020-03-24 Fireeye, Inc. Detection of credential spearphishing attacks using email analysis
US10706149B1 (en) 2015-09-30 2020-07-07 Fireeye, Inc. Detecting delayed activation malware using a primary controller and plural time controllers
US10210329B1 (en) 2015-09-30 2019-02-19 Fireeye, Inc. Method to detect application execution hijacking using memory protection
US10284575B2 (en) 2015-11-10 2019-05-07 Fireeye, Inc. Launcher for setting analysis environment variations for malware detection
US10469594B2 (en) 2015-12-08 2019-11-05 A10 Networks, Inc. Implementation of secure socket layer intercept
US10505984B2 (en) 2015-12-08 2019-12-10 A10 Networks, Inc. Exchange of control information between secure socket layer gateways
US10846117B1 (en) 2015-12-10 2020-11-24 Fireeye, Inc. Technique for establishing secure communication between host and guest processes of a virtualization architecture
US10447728B1 (en) 2015-12-10 2019-10-15 Fireeye, Inc. Technique for protecting guest processes using a layered virtualization architecture
US10108446B1 (en) 2015-12-11 2018-10-23 Fireeye, Inc. Late load technique for deploying a virtualization layer underneath a running operating system
US10565378B1 (en) 2015-12-30 2020-02-18 Fireeye, Inc. Exploit of privilege detection framework
US10621338B1 (en) 2015-12-30 2020-04-14 Fireeye, Inc. Method to detect forgery and exploits using last branch recording registers
US10050998B1 (en) 2015-12-30 2018-08-14 Fireeye, Inc. Malicious message analysis system
US10133866B1 (en) 2015-12-30 2018-11-20 Fireeye, Inc. System and method for triggering analysis of an object for malware in response to modification of that object
US10581874B1 (en) 2015-12-31 2020-03-03 Fireeye, Inc. Malware detection system with contextual analysis
US11552986B1 (en) 2015-12-31 2023-01-10 Fireeye Security Holdings Us Llc Cyber-security framework for application of virtual features
US9824216B1 (en) 2015-12-31 2017-11-21 Fireeye, Inc. Susceptible environment detection system
CN105807631B (zh) * 2016-03-08 2019-02-12 北京工业大学 基于plc仿真的工控入侵检测方法和入侵检测系统
US10476906B1 (en) 2016-03-25 2019-11-12 Fireeye, Inc. System and method for managing formation and modification of a cluster within a malware detection system
US10671721B1 (en) 2016-03-25 2020-06-02 Fireeye, Inc. Timeout management services
US10601863B1 (en) 2016-03-25 2020-03-24 Fireeye, Inc. System and method for managing sensor enrollment
US10785255B1 (en) 2016-03-25 2020-09-22 Fireeye, Inc. Cluster configuration within a scalable malware detection system
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
WO2017189765A1 (en) * 2016-04-26 2017-11-02 Acalvio Technologies, Inc. Tunneling for network deceptions
US10326796B1 (en) 2016-04-26 2019-06-18 Acalvio Technologies, Inc. Dynamic security mechanisms for mixed networks
US10230743B1 (en) 2016-05-12 2019-03-12 Wells Fargo Bank, N.A. Rogue endpoint detection
US10169585B1 (en) 2016-06-22 2019-01-01 Fireeye, Inc. System and methods for advanced malware detection through placement of transition events
US10116634B2 (en) 2016-06-28 2018-10-30 A10 Networks, Inc. Intercepting secure session upon receipt of untrusted certificate
US10462173B1 (en) 2016-06-30 2019-10-29 Fireeye, Inc. Malware detection verification and enhancement by coordinating endpoint and malware detection systems
US10158666B2 (en) 2016-07-26 2018-12-18 A10 Networks, Inc. Mitigating TCP SYN DDoS attacks using TCP reset
US10592678B1 (en) 2016-09-09 2020-03-17 Fireeye, Inc. Secure communications between peers using a verified virtual trusted platform module
US10491627B1 (en) 2016-09-29 2019-11-26 Fireeye, Inc. Advanced malware detection using similarity analysis
US20180096143A1 (en) * 2016-09-30 2018-04-05 Li Xiaoning Secure change log for drive analysis
US10795991B1 (en) 2016-11-08 2020-10-06 Fireeye, Inc. Enterprise search
US10587647B1 (en) 2016-11-22 2020-03-10 Fireeye, Inc. Technique for malware detection capability comparison of network security devices
US10581879B1 (en) 2016-12-22 2020-03-03 Fireeye, Inc. Enhanced malware detection for generated objects
US10552610B1 (en) 2016-12-22 2020-02-04 Fireeye, Inc. Adaptive virtual machine snapshot update framework for malware behavioral analysis
US10523609B1 (en) 2016-12-27 2019-12-31 Fireeye, Inc. Multi-vector malware detection and analysis
US10904286B1 (en) 2017-03-24 2021-01-26 Fireeye, Inc. Detection of phishing attacks using similarity analysis
US10554507B1 (en) 2017-03-30 2020-02-04 Fireeye, Inc. Multi-level control for enhanced resource and object evaluation management of malware detection system
US10902119B1 (en) 2017-03-30 2021-01-26 Fireeye, Inc. Data extraction system for malware analysis
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10855700B1 (en) 2017-06-29 2020-12-01 Fireeye, Inc. Post-intrusion detection of cyber-attacks during lateral movement within networks
US10601848B1 (en) 2017-06-29 2020-03-24 Fireeye, Inc. Cyber-security system and method for weak indicator detection and correlation to generate strong indicators
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US10893068B1 (en) 2017-06-30 2021-01-12 Fireeye, Inc. Ransomware file modification prevention technique
US10747872B1 (en) 2017-09-27 2020-08-18 Fireeye, Inc. System and method for preventing malware evasion
US10805346B2 (en) 2017-10-01 2020-10-13 Fireeye, Inc. Phishing attack detection
US11606263B2 (en) * 2017-10-17 2023-03-14 Science Applications International Corporation Large network simulation
US11108809B2 (en) 2017-10-27 2021-08-31 Fireeye, Inc. System and method for analyzing binary code for malware classification using artificial neural network techniques
US11240275B1 (en) 2017-12-28 2022-02-01 Fireeye Security Holdings Us Llc Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture
US11005860B1 (en) 2017-12-28 2021-05-11 Fireeye, Inc. Method and system for efficient cybersecurity analysis of endpoint events
US11271955B2 (en) 2017-12-28 2022-03-08 Fireeye Security Holdings Us Llc Platform and method for retroactive reclassification employing a cybersecurity-based global data store
US10826931B1 (en) 2018-03-29 2020-11-03 Fireeye, Inc. System and method for predicting and mitigating cybersecurity system misconfigurations
US11003773B1 (en) 2018-03-30 2021-05-11 Fireeye, Inc. System and method for automatically generating malware detection rule recommendations
US11558401B1 (en) 2018-03-30 2023-01-17 Fireeye Security Holdings Us Llc Multi-vector malware detection data sharing system for improved detection
US10956477B1 (en) 2018-03-30 2021-03-23 Fireeye, Inc. System and method for detecting malicious scripts through natural language processing modeling
US11075930B1 (en) 2018-06-27 2021-07-27 Fireeye, Inc. System and method for detecting repetitive cybersecurity attacks constituting an email campaign
US11314859B1 (en) 2018-06-27 2022-04-26 FireEye Security Holdings, Inc. Cyber-security system and method for detecting escalation of privileges within an access token
US11228491B1 (en) 2018-06-28 2022-01-18 Fireeye Security Holdings Us Llc System and method for distributed cluster configuration monitoring and management
US11316900B1 (en) 2018-06-29 2022-04-26 FireEye Security Holdings Inc. System and method for automatically prioritizing rules for cyber-threat detection and mitigation
US11182473B1 (en) 2018-09-13 2021-11-23 Fireeye Security Holdings Us Llc System and method for mitigating cyberattacks against processor operability by a guest process
US11763004B1 (en) 2018-09-27 2023-09-19 Fireeye Security Holdings Us Llc System and method for bootkit detection
US11368475B1 (en) 2018-12-21 2022-06-21 Fireeye Security Holdings Us Llc System and method for scanning remote services to locate stored objects with malware
US11258806B1 (en) 2019-06-24 2022-02-22 Mandiant, Inc. System and method for automatically associating cybersecurity intelligence to cyberthreat actors
US11556640B1 (en) 2019-06-27 2023-01-17 Mandiant, Inc. Systems and methods for automated cybersecurity analysis of extracted binary string sets
US11392700B1 (en) 2019-06-28 2022-07-19 Fireeye Security Holdings Us Llc System and method for supporting cross-platform data verification
US11886585B1 (en) 2019-09-27 2024-01-30 Musarubra Us Llc System and method for identifying and mitigating cyberattacks through malicious position-independent code execution
US11637862B1 (en) 2019-09-30 2023-04-25 Mandiant, Inc. System and method for surfacing cyber-security threats with a self-learning recommendation engine

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5432932A (en) * 1992-10-23 1995-07-11 International Business Machines Corporation System and method for dynamically controlling remote processes from a performance monitor
US5606668A (en) 1993-12-15 1997-02-25 Checkpoint Software Technologies Ltd. System for securing inbound and outbound data packet flow in a computer network
US5557742A (en) * 1994-03-07 1996-09-17 Haystack Labs, Inc. Method and system for detecting intrusion into and misuse of a data processing system
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5802320A (en) 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5793763A (en) 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US5828846A (en) 1995-11-22 1998-10-27 Raptor Systems, Inc. Controlling passage of packets or messages via a virtual connection or flow
KR100317443B1 (ko) * 1996-04-24 2002-01-16 블레이어 에프.모리슨 인터넷프로토콜필터
US5991881A (en) 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US6408391B1 (en) * 1998-05-06 2002-06-18 Prc Inc. Dynamic system defense for information warfare
US6331984B1 (en) * 1998-08-21 2001-12-18 Nortel Networks Limited Method for synchronizing network address translator (NAT) tables using the server cache synchronization protocol
US6625145B1 (en) * 1998-12-30 2003-09-23 Telefonaktiebolaget Lm Ericsson (Publ) Use of lower IP-address bits
US6981155B1 (en) * 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7107347B1 (en) * 1999-11-15 2006-09-12 Fred Cohen Method and apparatus for network deception/emulation
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network
US7412722B1 (en) * 2002-08-08 2008-08-12 Verizon Laboratories Inc. Detection of softswitch attacks

Also Published As

Publication number Publication date
CA2370135A1 (en) 2000-10-19
US7958556B2 (en) 2011-06-07
EP1218822B1 (de) 2004-12-08
MXPA01010420A (es) 2005-10-05
US8955095B2 (en) 2015-02-10
AU4245800A (en) 2000-11-14
EP1218822A4 (de) 2003-01-08
ATE284557T1 (de) 2004-12-15
US20140115687A1 (en) 2014-04-24
DE60016613D1 (de) 2005-01-13
WO2000062167A1 (en) 2000-10-19
EP1218822A1 (de) 2002-07-03
US7240368B1 (en) 2007-07-03
CA2370135C (en) 2008-11-04
US20050177871A1 (en) 2005-08-11

Similar Documents

Publication Publication Date Title
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE102005037968B4 (de) Schutzsystem für eine Netzwerkinformationssicherheitszone
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
US8631496B2 (en) Computer network intrusion detection
DE60124295T2 (de) Flussbasierte erfassung eines eindringens in ein netzwerk
DE10394008B4 (de) System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE60123672T2 (de) Computersystemschutz
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE60308260T2 (de) Verfahren und Vorrichtung zum effizienten Vergleich von Antworten auf vorher vermittelte Anforderungen durch einen Netzknoten
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE112012002054T5 (de) Spoofing-Angriff-Abwehrverfahren unter Verwendung eines Blockierungsservers
DE102015001054A1 (de) Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE10241974B4 (de) Überwachung von Datenübertragungen
DE112021006405T5 (de) System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr
DE60031004T2 (de) Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz
CN115022018B (zh) 一种基于网络实体动态调整举报治理恶意域名的方法

Legal Events

Date Code Title Description
8364 No opposition during term of opposition