DE60016613T2 - Abschreckungssystem gegen aufschaltung und missbrauch - Google Patents
Abschreckungssystem gegen aufschaltung und missbrauch Download PDFInfo
- Publication number
- DE60016613T2 DE60016613T2 DE60016613T DE60016613T DE60016613T2 DE 60016613 T2 DE60016613 T2 DE 60016613T2 DE 60016613 T DE60016613 T DE 60016613T DE 60016613 T DE60016613 T DE 60016613T DE 60016613 T2 DE60016613 T2 DE 60016613T2
- Authority
- DE
- Germany
- Prior art keywords
- network
- change log
- intruder
- packet
- virtual network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1491—Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
Description
- Die vorliegende Erfindung betrifft im Allgemeinen Computernetzwerke und insbesondere ein System zum Identifizieren von Eindringlingen in einem Computernetzwerk.
- Die Verbreitung des Internet hat dazu geführt, dass die größte und vielfältigste Sammlung von Informationen entstanden ist, die die Welt bisher kannte. Menschen wickeln heutzutage Transaktionen über das Internet ab, die früher intensive persönliche Interaktion erforderlich machten. Mit dieser Verbreitung einher geht eine schnelle Zunahme der Übertragung von vertraulichen Informationen über diese Netzwerke. Daher besteht ein dringender Bedarf nach verbesserten Verfahren, mit denen die Vertraulichkeit privater Informationen gewährleistet wird, die über Computernetzwerke laufen.
- Herkömmliche Systeme zum Erfassen von Eindringen, sogenannte Intrusion Detection Systems (IDS), schützen Netzwerke vor Eindringlingen, indem sie den Inhalt jedes Paketes bzw. jeder Nachricht oder Meldung prüfen, die in das Netzwerk gelangt, und auf Basis von Mustervergleich (pattern matching) und einer Gruppe allgemeiner Regeln feststellen, ob sie verdächtig ist oder nicht. Mit zunehmender Größe der Netzwerke ergeben sich bei diesem Verfahren der Untersuchung jedes Paketes eine Reihe von Nachteilen. Eine Einschränkung besteht in der Geschwindigkeit, mit der das IDS die Informationen verarbeiten kann, die in den Millionen von Paketen enthalten sind, die jeden Tag stündlich die Netzwerkgrenzen überschreiten. Da die Netze schneller werden, hat das IDS noch weniger Zeit Feststellungen hinsichtlich der Pakete zu treffen, die es prüft, ohne Pakete auszulassen oder die Leistung des Systems zu beeinträchtigen.
- Als Beispiel soll das internet-basierte (Client/Server)-Netzwerk
10 dienen, das in1 dargestellt ist. Netzwerk10 enthält einen Router20 , mehrere Clients30 (beispielsweise die Clients30a–e ), von denen jeder einen Personalcomputer oder einen Arbeitsplatzrechner (Workstation) umfasst. In einem typischen Internet-Netzwerk kann jeder Client30 so konfiguriert sein, dass er bestimmte Funktionen erfüllt. Client30a kann beispielsweise als ein Web-Server konfiguriert sein, Client30b kann ein Name-Server (Domain Name Server – DNS) sein, Client30c kann ein Mail-Server sein, Client30d kann eine Firewall sein, und Client30e kann ein herkömmliches IDS sein. - Ein Web-Server (Client
30a ) ist, um einen Hintergrund zu vermitteln, ein Computer im Internet, auf dem Software zur Abwicklung von Hypertext-Datenübertragung läuft. Menschliche Bediener leiten unter Verwendung von einzigartigen alphanumerischen Host-Namen, die jedem Server entsprechen, Zugriffsanforderungen zu Netzwerkvorrichtungen. Die eigentliche Weiterleitung von Informationen wird über den Einsatz von Internet-Protokoll (IP)-Adressen durchgeführt. Eine IP-Adresse ist nichtsymbolische Zahl aus 32 Bits (Format mit vier Achtergruppen), die die einzigartige Adresse einer Vorrichtung darstellt, die mit dem Internet verbunden ist. Die IP-Adressen mit den dazugehörigen alphanumerischen Host-Namen und Netzwerkpositionen sind in Web-Server30a gespeichert. - Global einzigartige IP-Adressen werden an Unternehmen von einer zentralen Behörde ausgegeben, die als die Internet Assigned Number Authority ("IANA") bekannt ist. Die IANA gibt diese Adressen in einer von drei normalerweise verwendeten Klassen aus. IP-Adressen der Klasse "A" verwenden ihre erste Achtergruppe als Netzwerk-Identifikationsnummer (Net-ID) und ihre verbleibenden drei Achtergruppen als eine Host-Identifikationsnummer (Host-ID). Die Net-ID identifiziert das Unternehmens-Netzwerk, und die Host-ID identifiziert einen bestimmten Host in diesem Netzwerk. Da drei Achtergruppen zur Verfügung stehen, um einen Host anzugeben, verfügt ein Unernehmen mit Adressen der Klasse "A" über nahezu 17 Millionen Adressen zur Verwendung mit möglichen Hosts. Bei Adressen der Klasse "B" werden die zwei ersten Achtergruppen verwendet, um ein Netzwerk zu identifizieren (Net-ID), und die zweiten zwei Achtergruppen zur Identifizierung eines Host (Host-ID). So kann ein Unternehmen mit Adressen der Klasse "B" diese Adressen für nahezu 64000 Hosts verwenden. Bei Adressen der Klasse "C" schließlich werden ihre ersten drei Achtergruppen als ein Net-ID verwendet, und ihre letzte Achtergruppe als ein Host-ID. Für Unternehmen mit Adressen der Klasse "C" stehen lediglich 254 Host-Adressen zur Verfügung.
- Wenn Pakete über Router
20 zu Netzwerk10 geleitet werden, werden sie zu Web-Server30a übertragen, der feststellt, ob sich der Empfänger in Netzwerk10 befindet. Dann werden sie zu IDS30e übertragen, das dann den Inhalt, den Absender und den Empfänger jedes Paketes auswertet, um festzustellen, ob es sich bei dem Paket um einen Eindringling handelt. Wenn IDS30e feststellt, dass das Paket zulässig ist, kann es zu Firewall30d geleitet werden, die erneut Absender, Inhalt und Empfänger des Paketes auswertet, um festzustellen, ob das Paket ordnungsgemäß zu Intranet40 geleitet werden kann. Da die Netzwerke weiter wachsen und die Anzahl von Paketen, die typische Netzwerke durchlaufen, weiter sprunghaft ansteigt, nimmt auch die Verarbeitungszeit zu, die IDS30e zugewiesen werden muss. - Ein weiteres Problem bei gegenwärtigen Systemen zum Erfassen von Eindringen besteht in ihrer Fähigkeit, zwischen zulässigem Gebrauch und unzulässigem Gebrauch zu unterscheiden. Die Pakete, die von IDS
30e erfasst werden, werden auf Basis fester Muster in der Mustervergleichsbibliothek und einer Gruppe allgemeiner Regeln geprüft. Wenn neuartige Angriffsstrategien entwickelt werden, sind diese Regeln und Muster veraltet, und dem IDS entgehen die neuartigen Angriffsstrategien vollständig. Aufgrund von Paketprüfungs-Zeitbeschränkungen, die den Netzwerken durch den Grad der Bandbreite auferlegt werden, gibt es auch eine Grenze hinsichtlich der Anzahl von Regeln, die jeweils in das System geladen werden können. - Der Gesamteffekt ist der, dass die Ausgabe von herkömmlichen IDS unzuverlässig und umfangreich ist und daher vom Sicherheitspersonal häufig ignoriert wird. Obwohl klar ist, dass bisher zahlreiche Verfahren zum Schützen von Netzwerken gegen unautorisierten Zugriff vorgeschlagen worden sind, sind diese Verfahren im Allgemeinen unausgereift, ineffizient und nicht in der Lage, ein Netzwerk gegen die Angriffe heutiger Hacker wirkungsvoll zu schützen. Des Weiteren sind gegenwärtige IDS aufgrund der Verarbeitungsbelastung für den Einsatz mit den größeren schnelleren Netzwerken, in denen sie zweifellos am meisten benötigt werden, nicht praktikabel.
- Daher besteht ein Bedarf nach einer verbesserten Vorrichtung und einem verbesserten Verfahren, mit denen die Mängel herkömmlicher IDS überwunden werden.
- Der Beitrag von Amoroso E. et al. unter dem Titel "A selection criteria for intrusion detection systems", (Computer Security Applications Conference, 1998, Protokoll, 14. Jahrgang, Phoenix, AZ, USA, 7. bis 11. Dezember 1998, Los Alamitos, CA, USA, IEEE Comput. Soc, US, 7. Dezember 1998, Seite 280 bis 288) offenbart ein Auswahlkriterium zum Vergleichen und Bewerten von Systemen zum Erfassen von Eindringen.
- Die Aufgabe der vorliegenden Erfindung besteht darin, verbesserte Verfahren und Systeme zum Identifizieren von Eindringlingen zu schaffen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen.
- Diese Aufgabe wird durch den Gegenstand der unabhängigen Ansprüche 1, 2, 9 und 10 gelöst.
- Bevorzugte Ausführungen sind Gegenstand der abhängigen Ansprüche.
- Systeme und Verfahren gemäß einem Aspekt der vorliegenden Erfindung verbessern die Sicherheit von Computernetzwerken durch den Einsatz eines Systems zum Abschrecken von Eindringen und Missbrauch (Intrusion and Misuse Deterrence System – IMDS), das passiv Netzwerk-Eindringlinge auf eine Weise erfasst, die wenig zusätzlichen Verarbeitungsaufwand in einem Computernetzwerk mit sich bringt, anpassungsfähig ist und in Netzwerken beliebiger Größe einfach implementiert werden kann. Das IMDS erzeugt ein vollständiges synthetisches Netzwerk mit synthetischen Hosts und Routern. In Funktion überwacht das IMDS Paketfluss in einem Unternehmen, bis es feststellt, dass ein Paket für das synthetische Netzwerk bestimmt ist. Da es in dem synthetischen bzw. virtuellen Netzwerk keine legitimen Benutzer gibt, identifiziert das IMDS die Herkunft des Paketes und informiert einen System-Administrator über das Vorhandensein eines Netzwerk-Eindringlings. Das IMDS identifiziert ebenfalls Netzwerk-Eindringlinge, indem es Änderungsprotokolle überwacht, die mit dem virtuellen Netzwerk verknüpft sind, und einen System-Administrator benachrichtigt, wenn es eine Veränderung der Größe des Änderungsprotokolls bemerkt. Zusätzlich zur Benachrichtigung eines System-Administrators benachrichtigt das IMDS auch andere Netzwerk-Zugriffssteuervorrichtungen (beispielsweise Router, Firewalls usw.), wenn es das Vorhandensein eines Eindringlings erfasst.
- Weitere Aufgaben, Merkmale und Vorteile der vorliegenden Erfindung sind in der folgenden Beschreibung aufgeführt, gehen aus der Beschreibung hervor oder werden bei der Ausführung der Erfindung ersichtlich. Sowohl die obenstehende allgemeine Be schreibung als auch die folgende ausführliche Beschreibung sind beispielhaft und erläuternd und dienen der weitergehenden Erläuterung der Erfindung, wie sie beansprucht wird.
-
1 ist ein Netzwerkschema eines herkömmlichen Client/Server-Netzwerks; -
2 ist ein Netzwerkschema eines Client/Server-Netzwerks gemäß der vorliegenden Erfindung; -
3 ist ein detailliertes Blockschema eines Computersystems, wie es in1 und2 dargestellt ist; -
4 ist ein Blockschema eines Datenpaketes gemäß der vorliegenden Erfindung; -
5 ist ein detailliertes Blockschema der Software-Module zum Durchführen des Erfassens von Eindringen gemäß der vorliegenden Erfindung; -
6 ist ein detailliertes Blockschema der Schnittstelle zwischen den virtuellen Clients und dem System zum Abschrecken von Eindringen und Missbrauch gemäß der vorliegenden Erfindung; -
7 ist ein detailliertes Blockschema der Schnittstelle zwischen der Administrator-Mailbox und dem System zum Abschrecken von Eindringen und Missbrauch der vorliegenden Erfindung; und -
8 ist ein detailliertes Flussdiagramm des Prozesses zum Identifizieren eines Eindringlings gemäß der vorliegenden Erfindung. - In der folgenden ausführlichen Beschreibung der bevorzugten Ausführung wird auf die beigefügten Zeichnungen Bezug genommen, die einen Teil derselben bilden und in denen zur Veranschaulichung eine spezielle Ausführung dargestellt ist, in der die Erfindung umgesetzt werden kann. Diese Ausführung wird ausreichend detailliert beschrieben, um den Fachmann in die Lage zu versetzen, die Erfindung zu praktizieren, und es versteht sich, dass andere Ausführungen genutzt werden können und strukturelle Ver änderungen vorgenommen werden können, ohne vom Schutzumfang der vorliegenden Erfindung abzuweichen. Die folgende ausführliche Beschreibung ist daher nicht einschränkend zu verstehen.
- Ein System gemäß einem Aspekt der vorliegenden Erfindung umfasst einen Netzwerk-Server mit dazugehöriger Anwendungssoftware, der für einen Netzwerk-Eindringling ein legitimer Bestandteil eines realen Netzwerkes zu sein scheint. Das IMDS animiert daher zur Nachforschung und führt den Eindringling von dem realen Netzwerk weg. Simulierte Dienst sind so konfiguriert, dass sie auf virtuellen Clients mit global einzigartigen IP-Adressen der Klasse "C" zu laufen scheinen. Zugelassene Netzwerkbenutzer kennen das virtuelle Netzwerk und seinen Zweck. Daher gibt es keine legitimen Benutzer des virtuellen Netzwerkes, und so müssen alle derartigen Aktivitäten unzulässig sein und können als solche behandelt werden. Die Fähigkeit des IMDS, unzulässige Aktivität lediglich auf Basis des Ziels von Netzwerkverkehr zu erfassen, bringt zwei große Vorteile mit sich. Der eine besteht darin, dass alle Transaktionen eines Eindringlings erfasst und identifiziert werden können, und nicht nur die Transaktionen, die mit einem vordefinierten Angriffsprofil übereinstimmen. Zweitens werden, da das System unabhängig von der Art des Angriffs arbeitet, neuartige Aktionen und Angriffe genauso effektiv gehandhabt wie bekannte Angriffe, wodurch Angriffsverfahren besser identifiziert werden und neue Angriffsstrategien besser identifiziert und analysiert werden. Mit dem IMDS fällt auch die Bandbreiteneinschränkung weg, unter der herkömmliche IDS leiden. Das IMDS muss nicht den gesamten Verkehr auf einem Netzwerksegment überwachen, sondern sich nur dem Verkehr widmen, der an seine simulierten Hosts gerichtet ist. Dadurch wird das Problem der Überwachung von Netzwerken mit ständig zunehmender Bandbreite entschärft. Das IMDS hat darüber hinaus die zusätzliche Wirkung, dass Angreifer von den realen Hosts abgelenkt werden, die es schützt.
- Was zunächst die Terminologie der Patentbeschreibung angeht, so hält sich die ausführliche Beschreibung weitgehend an Prozesse und symbolische Darstellungen von Operationen, die von herkömmlichen Computerkomponenten durchgeführt werden, einschließlich einer zentralen Verarbeitungseinheit (Central Processing Unit – CPU), Speichervorrichtungen für die CPU und damit verbundener Anzeigevorrichtungen auf Pixel-Basis. Diese Operationen schließen die Verarbeitung von Datenbits durch die CPU und das Halten dieser Bits in Datenstrukturen ein, die in einer oder mehreren der Speicher vorrichtungen stehen. Diese Datenstrukturen verleihen der Ansammlung von Datenbits, die in dem Computerspeicher gespeichert sind, eine physische Ordnung und stellen spezielle elektrische oder magnetische Elemente dar. Diese symbolischen Darstellungen sind die Einrichtungen, die vom Fachmann auf dem Gebiet der Computerprogrammierung und der Computerkonstruktion verwendet werden, um anderen Fachleuten Lehren und Entdeckungen möglichst effektiv zu vermitteln.
- Für die Zwecke der vorliegenden Erläuterung ist ein Prozess im Allgemeinen als eine Abfolge von durch Computer ausgeführten Schritten zu verstehen, die zu einem gewünschten Ergebnis führen. Diese Schritte machen im Allgemeinen physikalische Manipulationen von physikalischen Größen erforderlich. Diese Größen haben, auch wenn dies nicht zwangsläufig so ist, die Form elektrischer, magnetischer oder optischer Signale, die gespeichert, übertragen, kombiniert, verglichen oder anderweitig verarbeitet werden können. Der Fachmann bezeichnet diese Signale herkömmlicherweise als Bits, Werte, Elemente, Symbole, Zeichen, Ausdrücke, Objekte, Zahlen, Einträge, Dateien oder dergleichen. Es sollte jedoch beachtet werden, dass diese und ähnliche Ausdrücke mit geeigneten physikalischen Größen für Computeroperationen verknüpft werden sollten, und dass diese Ausdrücke lediglich herkömmliche Bezeichnungen sind, die für physikalische Größen verwendet werden, die innerhalb und während des Betriebs des Computers vorhanden sind.
- Es versteht sich des Weiteren, dass Verarbeitungsvorgänge in dem Computer häufig mit Begriffen wie beispielsweise Addieren, Vergleichen, Verschieben usw. bezeichnet werden, die häufig mit manuellen Vorgängen verknüpft sind, die von einer menschlichen Bedienungsperson durchgeführt werden. Es versteht sich, dass bei der vorliegenden Erfindung kein derartiges Eingreifen einer menschlichen Bedienungsperson erforderlich oder wünschenswert ist. Die hier beschriebenen Operationen sind maschinelle Operationen, die in Verbindung mit einer menschlichen Bedienungsperson bzw. einem Benutzer durchgeführt werden, der in Interaktion mit dem Computer ist. Die Maschinen, die zum Durchführen des Vorgangs der vorliegenden Erfindung eingesetzt werden, schließen digitale Mehrzweckcomputer oder andere Rechenvorrichtungen ein.
- Des Weiteren versteht sich, dass die Programme, Prozesse, Verfahren usw., die hier beschrieben sind, sich nicht auf einen speziellen Computer oder eine spezielle Vorrich tung beziehen oder darauf beschränkt sind. Statt dessen können verschiedenartige Mehrzweckmaschinen mit Programmen verwendet werden, die entsprechend den hier beschriebenen Lehren aufgebaut sind. Desgleichen kann es sich als vorteilhaft erweisen, spezielle Vorrichtungen herzustellen, um die hier beschriebenen Verfahrensschritte mit speziellen Computersystemen mit fest verdrahteter Logik oder Programmen durchzuführen, die in einem nichtflüchtigen Speicher, wie beispielsweise einem ROM, gespeichert sind.
- Die Betriebsumgebung, in der die vorliegende Erfindung eingesetzt wird, schließt allgemeine verteilte Computersysteme ein, in denen Mehrzweckcomputer, Workstations oder Personalcomputer über verschiedenartige Datenübertragungsverbindungen verbunden sind. In einer Client-Server-Anordnung stehen Programme und Daten, viele in Form von Objekten, verschiedenen Mitgliedern des Systems zur Verfügung.
- Ein System gemäß der vorliegenden Erfindung ist in
2 dargestellt. Wie das herkömmliche Netzwerk, das in1 dargestellt ist, besteht das Netzwerk10 in2 aus einer Vielzahl von Netzwerk-Computern30 . Zusätzlich zu den Netzwerk-Computern, die in1 dargestellt sind, besteht Netzwerk10 in2 aus einem System zum Abschrecken von Eindringen und Missbrauch (Intrusion and Misuse Deterrence System – IMDS)65 . Die unterbrochenen Linien35 , die sich von IMDS65 aus erstrecken, stellen die Struktur eines virtuellen Netzwerkes60 der Klasse "C" dar, das auf IMDS65 läuft. Das heißt, das virtuelle Netzwerk60 ist keine Ansammlung physischer Computer, sondern ein Programm, das auf IMDS65 läuft und für Netzwerkbenutzer eine Ansammlung von ungefähr 254 physischen Computern simuliert. - Ein detaillierteres Blockschema jedes Netzwerk-Computers (Clients
30a–e und IMDS65 ), die in Netzwerk10 arbeiten, ist in3 dargestellt. Jeder Netzwerk-Computer umfasst einen zentralen Prozessor101 , einen Hauptspeicher102 , eine Eingabe/Ausgabe-Steuerung103 , eine Eingabevorrichtung (beispielsweise eine Tastatur)104 , eine Zeigevorrichtung105 (beispielsweise Maus, Trackball, Stiftvorrichtung oder dergleichen), eine Anzeige bzw. Bildschirmvorrichtung106 , einen Massenspeicher107 (eine Festplatte, eine herausnehmbare Diskette, eine optische Platte, eine magnetooptische Platte oder einen Flash-Speicher), eine Netzwerk-Schnittstellenkarte bzw. einen Controller111 (beispielsweise Ethernet) und ein Modem112 (beispielsweise ein 56K-Baud-Modem o der ein ISDN-Modem). Die verschiedenen Komponenten jedes Netzwerk-Computers kommunizieren, wie dargestellt, über einen Systembus110 oder eine ähnliche Architektur. Jeder Computer kommuniziert mit anderen Systemen über eine Netzwerk-Schnittstellenkarte111 und/oder ein Modem112 . -
4 zeigt den Aufbau eines typischen Datenpaketes31 , das Netzwerk10 durchläuft. User Datagram Protocol/Internet Protocol (UDP/IP)- und Transmission Control Protocol/Internet protocol (TCP/IP)-Pakettransportmechanismen gewährleisten Datentransport, wobei die Übertragung digitaler Netzwerkdaten für den Benutzer transparent oder unsichtbar ist. Obwohl die vorliegende Patentbeschreibung das System unter Bezugnahme auf das TCP/IP-Protokoll beschreibt, ist es wichtig klarzustellen, dass die vorliegende Erfindung mit beiden Protokollen arbeiten kann. Jedes Protokoll31 weist Nutzerdaten-Bytes32 auf, die nacheinander in einen TCP-Umschlag, der mit einem TCP-Header34 beginnt, einen IP-Umschlag, der mit einem IP-Header36 beginnt, einen Sicherungs-Umschlag, der mit einem Sicherungs-Header38 beginnt, und einen Bitübertragungs-Umschlag39 eingekapselt werden. Der IP-Header36 enthält eine IP-Zieladresse44 und eine IP-Herkunftsadresse46 . Der TCP-Header34 enthält einen TCP-Zielport48 , eine TCP-Herkunftsadresse50 und einen Pakettyp52 . - Gemäß dem TCP/IP-Protokoll und anderen verbindungsorientierten Protokollen beginnt eine Vorrichtung außerhalb von Netzwerk
10 , die mit einem Client (20 ,30a–e und65 ) in Netzwerk10 kommunizieren will, die Kommunikation, indem sie ein Paket31 sendet, das die Kennung eines Clients in Netzwerk10 in seinem TCP-Zielport-Feld48 aufweist. Das Paket31 gelangt über Router20 zu seinem gewünschten Ziel. Wenn eine Vorrichtung in Netzwerk10 mit der fremden Vorrichtung kommunizieren will, antwortet sie mit einem SYN (Synchronize)-Paket, um eine Verbindung herzustellen. Anschließende Pakete können dann über den Router20 ungehindert hin und hergesendet werden. Der Router20 kann einen Komparator enthalten, der in CPU101 läuft und feststellt, ob der Sicherungs-Header-Typ52 eines Paketes sich in einer Protokolltabelle befindet, die eine vorgespeicherte Liste von Protokollen (beispielsweise TCP/IP) enthält, die für die Verwendung in Netzwerk10 gültig sind. Ein zweiter Komparator kann feststellen, ob die IP-Zieladresse44 des Paketes und in einigen Fällen der TCP-Zielport48 in einer Zieladressen-Tabelle sind, die eine vorgespeicherte Liste von Adressen enthält, die für Netzwerk10 gültig sind. Der Router20 kann des Weiteren einen dritten Komparator aufwei sen, der feststellt, ob die IP-Ursprungsadresse46 des Paketes und die TCP-Ursprungsadresse50 in einer Ursprungsadressen-Tabelle sind, die eine vorgespeicherte Liste von Ursprungsadressen enthält, die nicht mit Vorrichtungen in Netzwerk10 kommunizieren dürfen. Wenn ein Paket das richtige Protokoll aufweist und annehmbare Ziel- und Ursprungsadressen hat, lässt der Router20 es zu Netzwerk10 durch. Diese Vergleiche werden für alle Datenpakete unabhängig von ihrem Ursprung oder ihrem Ziel durchgeführt. Eine ähnliche Verarbeitung kann von Router20 unter Verwendung ähnlicher Komparatoren und Tabellen für Pakete durchgeführt werden, die aus dem Netzwerk10 gelangen. Da er Pakete überwacht, die zwischen Netzwerken fließen, ist Router20 ein Beispiel für eine Netzwerk-Zugriffssteuervorrichtung. - Firewall
30d ist ein weiteres Beispiel für eine Netzwerk-Zugriffssteuervorrichtung, die einen Paketstrom auf etwas andere Weise steuert. Firewall30d ist über Verbindung24 mit Intranet40 verbunden, wie dies in der2 dargestellt ist. Firewall30d ist andererseits über Verbindung22 mit Router20 verbunden. Statt eine direkte Verbindung für Paketfluss zwischen Netzwerken zu ermöglichen (wie Router20 ), werden Datenübertragungen zwischen Netzwerk10 und Intranet40 abgewickelt, indem zwei unabhängige TCP/IP-Verbindungen eingerichtet werden, eine, die von Netzwerk10 hergestellt wird, und die andere, die von Intranet40 hergestellt wird. Normalerweise wird, wenn ein ankommendes Paket von außerhalb von Netzwerk10 Firewall30d erreicht, dieses von einem Regel-Prozessor geprüft, der feststellt, ob die Informationen in dem Paket Regeln entsprechen, die in einer Zulassungsregeltabelle und einer Verweigerungsregeltabelle enthalten sind, die in CPU101 in Firewall30d ausgeführt wird. Diese Regeln werden verwendet, um Informationen zu prüfen, die in jedem Paket enthalten sind, sowie Systeminformationen, wie beispielsweise die Tageszeit, um festzustellen, ob die Herstellung von Verbindungen für Paketübertragung zwischen dem Absender und dem Empfänger zugelassen oder abgelehnt wird. Die Regeln können für Herkunftsbenutzer und Zielbenutzer angeben: 1. die Zeit- und Datumsintervalle, zu denen eine Regel gelten soll; 2. die zugelassenen Dienstarten; 3. spezielle zugelassene Dienste; 4. Authentisierungs-Typen und 5. Warn-Schwellenwerte, die die Anzahl versuchter Zugriffe unter Verletzung der Regel pro Zeiteinheit vor Erzeugung einer Warnmeldung definieren. Der Regel-Prozessor verwendet die Zulassungs- und Verweigerungsregeln zusammen, um beispielsweise einer Klasse von Benutzern Zugriff zu gewähren, einem bestimmten Benutzer oder bestimmten Benutzern, denen ansonsten durch die Zulassungsregeln Zugriff gewährt wird, Zugriff zu verweigern. Der Regel-Prozessor wendet die Zulassungsregeln und die Verweigerungsregeln auf Verbindungs-Pakate an, die zu der Firewall30d gelangen. Wenn die Regeln erfüllt sind und die zwei Verbindungen hergestellt sind, können andere Nichtverbindungs-Verwaltungspakete ohne ausführliche Regelprüfung von einer Verbindung zur anderen kopiert werden. - Eine IMDS-Zugriffssteuervorrichtung gemäß der vorliegenden Erfindung ist in
2 dargestellt. IMDS65 ist auf ähnliche Weise wie die Clients30a–e und Router20 mit Netzwerk10 gekoppelt. Es ist daher für Netzwerk-Nutzer sichtbar, und da es eine eigene Gruppe von anscheinend realen und angreifbaren Clients verwaltet, ist es für einen Eindringling interessanter. Router20 ist so eingestellt, dass jedes Paket31 mit einer Zieladresse, die nicht in dem virtuellen Netzwerk60 vorhanden ist, zu Firewall30d weitergeleitet wird. Jedes beliebige Paket mit einer Zieladresse44 in dem virtuellen Netzwerk60 wird zu IMDS65 weitergeleitet. Das virtuelle Netzwerk60 , das auf IMDS65 läuft, dient dazu, Eindringlinge anzuziehen und ihre Aktivität zu protokollieren. Es ist in einzelne virtuelle bzw. synthetische Hosts unterteilt, die jeweils ihre eigene IP-Adresse haben. Diese Hosts werden durch eine Gruppe von software-basierten Dienstsimulationen oder "Fassaden" erzeugt. Die Fassadendienste, die mit einem virtuellen Client verknüpft sind, entsprechen dem Typ Host, der simuliert wird. Das heißt, ein virtueller DNS-Host weist glaubwürdige Zuordnungen zwischen virtuellen alphanumerischen Host-Namen und numerischen IP-Adressen auf, während ein virtueller Mail-Server glaubhafte Beispiele von E-Mail-Dateien speichert. - IMDS
65 erfüllt drei Funktionen: Erfassung von Eindringen, Benachrichtigung über Eindringen und System-Administration. Erfassung von Eindringen wird über eine Gruppe von Softwarepaketen erreicht, wie sie in5 dargestellt ist, die einen Netzwerk-Adressübersetzer (Network Address Translator – NAT)70 , ein Paket-Filter72 , einen Internetz-Dienst-Daemon (inetd)74 und geschichtete Fassadendienste76 enthalten. NAT70 wirkt als eine Schnittstelle zwischen dem physikalischen Netzwerk10 und dem virtuellen Netzwerk60 . In dem physikalischen Netzwerk10 ist NAT70 über Verbindung22 mit einem Router20 verbunden. Router20 hingegen wirkt als eine Schnittstelle zwischen IMDS65 und Internet-Zielen außerhalb von Netzwerk10 . Im Inneren von IMDS65 ist NAT70 mit Paket-Filter72 verbunden, der seinerseits mit inetd74 und den geschichteten Fassadendiensten76 verbunden ist. - Der Ablauf einer Funktion zum Erfassen von Eindringen gemäß der vorliegenden Erfindung wird am besten anhand eines Beispiels erläutert. Gehen wir davon aus, dass eine Entität, die außerhalb von Netzwerk
10 arbeitet, Paket31 über das Internet zu Router20 sendet. Paket31 ist, wie von IP-Header36 angezeigt, für IMDS65 bestimmt. Das heißt, Zieladresse44 entspricht einer Zieladresse in dem virtuellen Netzwerk60 . Beim Empfangen von Paket31 leitet Router20 Paket31 über Verbindung22 zu IMDS65 . Bis zu diesem Punkt verhält sich das System entsprechend den meisten herkömmlichen Netzwerkverbindungsprotokollen. Da Paket31 jedoch eine Zieladresse44 enthält, die kein tatsächlicher Netzwerk-Client ist, muss NAT70 das Paket zu einem Port75 in IMDS65 weiterleiten. IMDS65 besteht, wie in6 dargestellt, des Weiteren aus einer Vielzahl virtueller Clients60a–c mit entsprechenden IMDS-Ports75a–i . IMDS75 enthält einen Port75 für alle oder eine Teilgruppe aller IP-Herkunftsadressen der globalen Klasse "C", die dem virtuellen Netzwerk60 zugewiesen sind. Obwohl die vorliegende Beschreibung IMDS65 als ein virtuelles Netzwerk der Klasse "C" beschreibt, versteht sich, dass das Netzwerk auch ein Netzwerk der Klasse "A" oder der Klasse "B" sein kann. Wenn IMDS65 eine Anforderung zum Zugriff auf Port23 (dem Standard-Telnet-Port) an dem virtuellen Client60a empfängt, ordnet NAT70 die Anforderung Port75c an IMDS65 zu. - NAT
70 kann gleichzeitig bis zu 254 (Netzwerk der Klasse "C") Anforderungen zum Zugriff auf verschiedene Ports von IMDS65 zuordnen. Nachdem NAT70 den richtigen Weg für Paket31 bestimmt hat, sendet er das Paket zu Paket-Filter72 . Paket-Filter72 dient dazu, gleichzeitigen Zugriff auf einen der Ports75 zu verhindern, die tatsächlich von IMDS65 verwendet werden. Er dient auch dazu, Zugriff auf die administrativen Ports aus der Liste administrativer Workstations zuzulassen, die während der Installation konfiguriert werden, wie dies weiter unter erläutert wird. Paket31 wird dann zu inetd74 geleitet, der so konfiguriert ist, dass er auf Basis des Ziel-Ports, der von NAT70 angegeben wird, den richtigen Fassadendienst76 ausführt. Der Fassadendienst76 antwortet dann entsprechend auf Paket31 und leitet das Antwortpaket zu der ursprünglichen Netzwerk-Entität zurück. Nachdem die Sitzung abgeschlossen ist, kann die IMDS-Port75 für eine andere Netzwerk-Entität verfügbar gemacht werden. Obwohl die vorliegende Patentbeschreibung das System so beschreibt, dass die Verarbeitung seriell ausgeführt wird, ist wichtig anzumerken, dass in einer bevorzugten Ausführung mehrere gleichzeitige Portverbindungen möglich sind. - Wenn IMDS
65 feststellt, dass ein Element auf Fassadendienste76 zugegriffen hat, verhält es sich, als ob das Element ein Eindringling wäre. Dies ist eine zulässige Annahme, da definitionsgemäß alle Aktivitäten auf IMDS65 von verdächtiger Herkunft sind. Die Elemente von IMDS65 , die einen Eindringling identifizieren und einen System-Administrator benachrichtigen, sind in7 dargestellt. Das heißt, das System zum Identifizieren eines Eindringlings und zum Benachrichtigen besteht aus Cron-Daemon78 , Benachrichtigungs-Routine80 , Benachrichtigungsliste82 , Änderungsprotokollen84 , Sendmail-Routine86 und wenigstens einer Administrator-Mailbox88 . Cron-Daemon78 überwacht Anwendungen, die bei ihm registriert sind, und ruft die Benachrichtigungs-Routine80 auf, wenn Änderungen bemerkt werden. Benachrichtigungsliste82 enthält eine Liste aller Netzwerkpositionen. Änderungsprotokolle84 speichern Datensätze für jedes Netzwerk-Zugriffsereignis. Das heißt, jedes Mal, wenn eine Entität versucht, auf einen IMDS-Port75 zuzugreifen, erzeugt Änderungsprotokoll84 einen Datensatz, der die Transaktion identifiziert, und speichert ihn. Die aufgezeichneten Änderungen umfassen Pakete verarbeiteter Informationen, die normalerweise von System-Administratoren verwendet werden, um elektronische Logbücher zu erzeugen, sowie zur Fehlerbeseitigung und für Operationen zum Rückgängigmachen. Da sie die Herkunft des Paketes identifizieren, können diese Datensätze auch verwendet werden, um einen Netzwerk-Eindringling zu identifizieren. Sendmail-Routine86 stellt E-Mail-Mitteilungen zusammen und leitet die Mitteilungen unter Verwendung von Informationen, die von Benachrichtigungs-Routine80 empfangen werden, zu Mailboxen88 weiter. In Funktion führt der Prozess zum Identifizieren von Eindringlingen und zum Benachrichtigen, der mit IMDS65 verknüpft ist, Befehle aus, die sich in "crontab"-Dateien finden, die sich in Cron-Daemon78 befinden. Diese Befehle geben die durchzuführenden Operationen und die Netzwerk-Entitäten an, die zu benachrichtigen sind, wenn ein Eindringling erfasst wird. - Die Funktion des Systems zum Identifizieren von Eindringlingen und zum Benachrichtigen beginnt, wie in
8 dargestellt, in Schritt810 , in dem Cron-Daemon78 eine vordefinierte Gruppe virtueller Netzwerk-Clients60 überwacht. Dies tut er, indem er die vorhandenen Änderungsprotokolle84 und ihre Größe beobachtet. Wenn neue Protokolle84 erzeugt werden (Schritt820 ) oder sich die Größe von Protokollen ändert (Schritt830 ), ruft Cron-Daemon78 in Schritt840 die Benachrichtigungs-Routine80 auf. In Schritt850 greift Benachrichtigungs-Routine80 auf Benachrichtigungsliste82 zu und ruft Kennungen für zu benachrichtigende Mailboxen ab. Sie ruft des Weiteren in Schritt860 die veränderten Informationen aus Änderungsprotokollen84 ab. Benachrichtigungs-Routine80 leitet dann in Schritt870 Informationen zu Sendmail-Routine86 (in7 dargestellt). In Schritt880 erzeugt Sendmail-Routine dann E-Mail-Meldungen unter Verwendung der von Benachrichtigungs-Routine80 empfangenen Informationen. Die E-Mail-Meldungen werden dann in Schritt890 zu den Empfängern geleitet, für die sie bestimmt sind. In einer bevorzugten Ausführung wird der Benachrichtigungsprozess alle 10 Minuten durchgeführt, die Häufigkeit kann jedoch je nach der empfundenen Bedrohung für das Netzwerk erhöht oder verringert werden. Obwohl die vorliegende Patentbeschreibung das System zum Identifizieren von Eindringlingen und zum Benachrichtigen als eines beschreibt, bei dem E-Mail-Meldungen eingesetzt werden, um das Vorhandensein von Eindringlingen anzuzeigen, kann jedes beliebige Verfahren einschließlich der Echtzeit-Benachrichtigung über eine Systemmeldung oder durch Protokollieren des Eindringens in einer Datei zum späteren Abrufen durch einen System-Administrator verwendet werden. Wenn ein Eindringling identifiziert ist, kann IMDS65 auch die Herkunftsadresse des Paketes31 extrahieren und Komparatoren bzw. Verweigerungsregeltabellen dazugehöriger Router und Firewalls aktualisieren. Es kann des Weiteren Verweigerungsregeltabellen aktualisieren, die in IMDS65 gespeichert sind, um zu verhindern, dass der Eindringling erneut auf IMDS65 zugreift. - Aus der obenstehenden Beschreibung wird ersichtlich, dass die vorliegende Erfindung ein effizientes System sowie ein Verfahren zum Erhöhen der Sicherheit von Computer-Netzwerken über den Einsatz eines IMDS schafft, das in einem Computer-Netzwerk arbeitet. Die vorliegende Erfindung ist im Zusammenhang mit speziellen Ausführungen beschrieben worden, die in jeder Hinsicht veranschaulichend und nicht einschränkend sein sollen. Für den Fachmann liegt auf der Hand, dass viele verschiedene Kombinationen von Hardware zum Umsetzen der vorliegenden Erfindung geeignet sind. Für alle oben beschriebenen Komponenten sind viele Ersatzlösungen erhältlich, die jeweils unterschiedliche Kosten und Leistungseigenschaften haben können.
- Obwohl Aspekte der vorliegenden Erfindung als im Speicher resident beschrieben sind, liegt für den Fachmann auf der Hand, dass diese Aspekte auch auf anderen Typen computerlesbarer Medien gespeichert oder von ihnen gelesen werden können, so beispielsweise sekundären Speichervorrichtungen, wie z.B. Festplatten, Disketten oder CR-ROMs, einem Träger aus dem Internet oder anderen Formen von RAM oder ROM.
- Desgleichen kann das Verfahren der vorliegenden Erfindung praktischerweise in Programmmodulen implementiert werden, die auf dem Flussdiagramm in
8 basieren. Es ist keine spezielle Programmiersprache zum Ausführen der verschiedenen oben beschriebenen Prozeduren dargestellt worden, da davon ausgegangen wird, dass die Operationen, Schritte und Prozeduren, die oben beschrieben und in den beigefügten Zeichnungen dargestellt sind, ausreichend offenbart wurden, um dem Fachmann zu ermöglichen, die vorliegende Erfindung zu praktizieren. Des Weiteren gibt es viele Computer und Betriebssysteme, die bei der Umsetzung der vorliegenden Erfindung eingesetzt werden können, und daher konnte kein detailliertes Computerprogramm bereitgestellt werden, das für diese vielen verschiedenen Systeme einsetzbar wäre. Jeder Benutzer eines bestimmten Computers kennt die Sprache und die Werkzeuge, die sich für die Bedürfnisse und Zwecke dieses Benutzers am besten eignen.
Claims (22)
- Verfahren zum Identifizieren von Eindringlingen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen, das wenigstens ein reales Netzwerk (
40 ), einen Router (20 ) und ein virtuelles Netzwerk (60 ) umfasst, wobei das Verfahren die folgenden Schritte umfasst: Erfassen eines Eingangspaketes (31 ), das bei dem Unternehmen ankommt; Feststellen, ob das Eingangspaket (31 ) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; und Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn festgestellt wird, dass das Paket (31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen, wobei das Verfahren dadurch gekennzeichnet ist, dass der Benachrichtigungsschritt des Weiteren aus dem Schritt des Aktualisierens eines in dem Router (20 ) gespeicherten Komparators mit einer Netzwerk-Kennung des Eindringlings besteht. - Verfahren zum Identifizieren von Eindringlingen, die versuchen, sich unautorisierten Zugriff auf ein Unternehmen zu verschaffen, das wenigstens ein reales Netzwerk (
40 ), eine Firewall (30d ) und ein virtuelles Netzwerk (60 ) umfasst, wobei das Verfahren die folgenden Schritte umfasst: Erfassen eines Eingangspaketes (31 ), das bei dem Unternehmen ankommt; Feststellen, ob das Eingangspaket (31 ) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; und Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn festgestellt wird, dass das Paket (31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen, wobei das Verfahren dadurch gekennzeichnet ist, dass: der Benachrichtigungsschritt des Weiteren aus dem Schritt des Aktualisierens einer in der Firewall (30d ) gespeicherten Verweigerungsregeltabelle mit einer Netzwerk-Kennung des Eindringlings besteht. - Verfahren nach Anspruch 1 oder 2, wobei der Feststellschritt des Weiteren aus den folgenden Schritten besteht: Extrahieren einer globalen IP-Zieladresse (
44 ) aus dem Eingangspaket (31 ); und Ermitteln, ob die globale IP-Zieladresse (44 ) einem einer Vielzahl von Clients entspricht, die in dem virtuellen Netzwerk (60 ) stehen. - Verfahren nach Anspruch 3, wobei der Ermittlungsschritt des Weiteren aus den folgenden Schritten besteht: Identifizieren eines Server-Zugangsports, der der globalen IP-Zieladresse (
44 ) entspricht, Leiten des Eingangspaketes (31 ) zu dem Server-Zugangsport, wenn festgestellt wird, dass der Zugangsport verfügbar ist; und Ausführen eines Dienstes, der mit dem Zugangsport verbunden ist, entsprechend dem Eingangspaket (31 ). - Verfahren nach Anspruch 4, wobei der Ermittlungsschritt des Weiteren aus dem Schritt des Aktualisierens eines Änderungsprotokolls besteht, um die Ausführung des Dienstes widerzuspiegeln.
- Verfahren nach einem der Ansprüche 1 bis 5, wobei der Benachrichtigungsschritt des Weiteren aus den folgenden Schritten besteht: Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn festgestellt wird, dass das Paket (
31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; Extrahieren einer Herkunftsadresse (46 ) aus dem Paket (31 ); Abrufen eines Änderungsprotokolleintrages aus einem Änderungsprotokoll, der eine Ankunft des Paketes bei dem virtuellen Netzwerk (60 ) anzeigt; Zusammenstellen einer Eindringlings-Warnmeldung, die die Herkunftsadresse (46 ) des Paketes und den Änderungsprotokolleintrag umfasst; und Leiten der Eindringlings-Warnmeldung zu dem wenigstens einen Netzwerk-Administrator. - Verfahren nach einem der Ansprüche 1 bis 6, das des Weiteren den folgenden Schritt umfasst: Überwachen eines Änderungsprotokolls von Zugriffsereignissen des virtuellen Netzwerkes, wobei das Änderungsprotokoll einen Datensatz für jedes Zugriffsereignis des virtuellen Netzwerkes umfasst; und der Benachrichtigungsschritt umfasst: Benachrichtigen eines Netzwerk-Administrators über das Vorhandensein eines Netzwerk-Eindringlings, wenn das Änderungsprotokoll modifiziert wird.
- Verfahren nach Anspruch 7, wobei der Benachrichtigungsschritt des Weiteren aus den folgenden Schritten besteht: Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn das Änderungsprotokoll modifiziert wird; Abrufen eines Änderungsprotokolleintrages aus dem Änderungsprotokoll, der mit der Modifizierung des Änderungsprotokolls verknüpft ist; Extrahieren einer Herkunftsadresse aus dem Änderungsprotokolleintrag; Zusammenstellen einer Eindringlings-Warnmeldung, die die Herkunftsadresse und den Änderungsprotokolleintrag umfasst; und Leiten der Eindringlings-Warnmeldung zu einem Netzwerk-Administrator, der mit der Netzwerk-Administrator-Kennung verknüpft ist.
- System zum Betrieb in einem Unternehmen, das wenigstens ein reales Netzwerk (
40 ), einen Router (20 ) und ein virtuelles Netzwerk (60 ) umfasst, wobei das System so eingerichtet ist, dass es Eindringlinge identifiziert, die versuchen, sich unautorisierten Zugriff auf das Unternehmen zu verschaffen, wobei das System umfasst: eine Einrichtung, die ein Eingangspaket (31 ) erfasst, das bei dem Unternehmen ankommt; eine Einrichtung, die ermittelt, ob das Eingangspaket (31 ) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; und eine Einrichtung, die einen Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn festgestellt wird, dass das Paket (31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen, wobei das System dadurch gekennzeichnet ist, dass es des Weiteren umfasst: eine Einrichtung, die einen in dem Router (20 ) gespeicherten Komparator mit einer Netzwerk-Kennung des Eindringlings aktualisiert. - System zum Betreiben in einem Unternehmen, das wenigstens ein reales Netzwerk (
40 ), eine Firewall (30d ) und ein virtuelles Netzwerk (60 ) umfasst, wobei das System so eingerichtet ist, dass es Eindringlinge identifiziert, die versuchen, sich nichtautorisierten Zugriff auf das Unternehmen zu verschaffen, wobei das System umfasst: eine Einrichtung, die ein Eingangspaket (31 ) erfasst, das bei dem Unternehmen ankommt; eine Einrichtung, die feststellt, ob das Eingangspaket (31 ) für einen einer Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; und eine Einrichtung, die einen Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn festgestellt wird, dass das Paket (31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen, wobei das System dadurch gekennzeichnet ist, dass es des Weiteren umfasst: eine Einrichtung, die eine in der Firewall (30d ) gespeicherte Verweigerungsregeltabelle mit einer Netzwerk-Kennung des Eindringlings aktualisiert. - System nach Anspruch 9 oder 10, wobei die Einrichtung zum Feststellen enthält: eine Einrichtung, die eine globale IP-Zieladresse (
44 ) aus dem Eingangspaket (31 ) extrahiert; und eine Einrichtung, die ermittelt, ob die globale IP-Zieladresse (44 ) einem einer Vielzahl von Clients entspricht, die in dem virtuellen Netzwerk (60 ) stehen. - System nach Anspruch 11, wobei die Einrichtung zum Ermitteln enthält: eine Einrichtung, die einen Server-Zugangsport identifiziert, der der globalen IP-Zieladresse (
44 ) entspricht; eine Einrichtung, die das Eingangspaket (31 ) zu dem Server-Zugangsport leitet, wenn festgestellt wird, dass der Zugangsport verfügbar ist; und eine Einrichtung, die einen Dienst, der mit dem Zugangsport verbunden ist, entsprechend dem Eingangspaket (31 ) ausführt. - System nach Anspruch 12, wobei die Einrichtung zum Ermitteln eine Einrichtung enthält, die ein Änderungsprotokoll aktualisiert, um die Ausführung des Dienstes widerzuspiegeln.
- System nach einem der Ansprüche 9 bis 13, wobei die Einrichtung zum Benachrichtigen enthält: eine Einrichtung, die wenigstens eine Netzwerk-Administrator-Kennung abruft, wenn festgestellt wird, dass das Paket (
31 ) für einen der Vielzahl von Clients bestimmt ist, die in dem virtuellen Netzwerk (60 ) stehen; eine Einrichtung, die eine Herkunftsadresse (46 ) aus dem Paket extrahiert; eine Einrichtung, die aus einem Änderungsprotokoll einen Änderungsprotokolleintrag abruft, der eine Ankunft des Paketes (31 ) bei dem virtuellen Netzwerk (60 ) anzeigt; eine Einrichtung, die eine Eindringlings-Warnmeldung zusammenstellt, die die Herkunftsadresse (46 ) des Paketes und den Änderungsprotokolleintrag umfasst; und eine Einrichtung, die die Eindringlings-Warnmeldung zu dem wenigstens einem Netzwerk-Administrator leitet. - System nach einem der Ansprüche 9 bis 14, das des Weiteren umfasst: eine Einrichtung, die ein Änderungsprotokoll von Zugriffsereignissen des virtuellen Netzwerkes überwacht, wobei das Änderungsprotokoll einen Datensatz für jedes Zugriffsereignis des virtuellen Netzwerkes umfasst; und wobei die Einrichtung zum Benachrichtigen so eingerichtet ist, dass sie den Netzwerk-Administrator über das Vorhandensein eines Netzwerk-Eindringlings benachrichtigt, wenn ein neues Netzwerk-Zugriffsereignis zu dem Änderungsprotokoll hinzugefügt wird.
- System nach Anspruch 15, wobei die Einrichtung zum Benachrichtigen enthält: eine Einrichtung zum Abrufen wenigstens einer Netzwerk-Administrator-Kennung, wenn ein neues Netzwerk-Zugriffsereignis zu dem Änderungsprotokoll hinzugefügt wird; eine Einrichtung, die einen Änderungsprotokolleintrag abruft, der den Netzwerkzugriff anzeigt; eine Einrichtung, die eine Warnmeldung an den wenigstens einen Netzwerk-Administrator zusammenstellt, wobei die Warnmeldung die Identifizierung der Herkunfts- und der Ziel-Netzwerkentitäten und den Änderungsprotokolleintrag umfasst; und eine Einrichtung, die die Warnmeldung zu dem wenigstens einen Netzwerk-Administrator leitet.
- Eindringlings-Erfassungssystem nach einem der Ansprüche 9 bis 16, das umfasst; eine Vielzahl von Client-Computern, die mit dem realen Computernetzwerk (
40 ) verbunden sind; einen Server, der mit dem realen Computernetzwerk verbunden ist, wobei der Server so konfiguriert ist, dass er: eine Vielzahl von Client-Computern (60 ) simuliert; und einen Netzwerk-Administrator benachrichtigt, wenn ein Eindringling versucht, sich Zugriff auf einen der Vielzahl von Client-Computern zu verschaffen. - System nach Anspruch 17, wobei der Server des Weiteren so konfiguriert ist, dass er einen Änderungsprotokolleintrag jedes Server-Zugriffsereignisses aufzeichnet.
- System nach Anspruch 17 oder 18, wobei die Vielzahl von Client-Computern ein IP-Netzwerk der Klasse "C" ist.
- System nach einem der Ansprüche 17 bis 19, wobei der Server des Weiteren besteht aus: einem Netzwerk-Adressübersetzer; einem IP-Filter; einem Internet-Dienst-Daemon; und einer Vielzahl von Fassadendiensten.
- System nach einem der Ansprüche 9 bis 16, das umfasst: einen Speicher mit Programmbefehlen; und einen Prozessor, der so konfiguriert ist, dass er die Programmbefehle verwendet, um eine Vielzahl von Client-Computern zu simulieren, und einen Netzwerk-Administrator zu benachrichtigen, wenn ein Benutzer auf den Server zugreift.
- System nach Anspruch 21, wobei der Prozessor des Weiteren so konfiguriert ist, dass er einen Änderungsprotokollsatz jedes Server-Zugriffsereignisses aufzeichnet.
Applications Claiming Priority (5)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12926699P | 1999-04-14 | 1999-04-14 | |
US129266P | 1999-04-14 | ||
US09/548,547 US7240368B1 (en) | 1999-04-14 | 2000-04-13 | Intrusion and misuse deterrence system employing a virtual network |
US548547 | 2000-04-13 | ||
PCT/US2000/010179 WO2000062167A1 (en) | 1999-04-14 | 2000-04-14 | Intrusion and misuse deterrence system |
Publications (2)
Publication Number | Publication Date |
---|---|
DE60016613D1 DE60016613D1 (de) | 2005-01-13 |
DE60016613T2 true DE60016613T2 (de) | 2005-12-08 |
Family
ID=26827423
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE60016613T Expired - Lifetime DE60016613T2 (de) | 1999-04-14 | 2000-04-14 | Abschreckungssystem gegen aufschaltung und missbrauch |
Country Status (8)
Country | Link |
---|---|
US (3) | US7240368B1 (de) |
EP (1) | EP1218822B1 (de) |
AT (1) | ATE284557T1 (de) |
AU (1) | AU4245800A (de) |
CA (1) | CA2370135C (de) |
DE (1) | DE60016613T2 (de) |
MX (1) | MXPA01010420A (de) |
WO (1) | WO2000062167A1 (de) |
Families Citing this family (230)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO1999066383A2 (en) * | 1998-06-15 | 1999-12-23 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
FI20010256A0 (fi) | 2001-02-12 | 2001-02-12 | Stonesoft Oy | Pakettidatayhteystietojen käsittely tietoturvagatewayelementissä |
US7603709B2 (en) * | 2001-05-03 | 2009-10-13 | Computer Associates Think, Inc. | Method and apparatus for predicting and preventing attacks in communications networks |
US7845004B2 (en) | 2001-07-27 | 2010-11-30 | International Business Machines Corporation | Correlating network information and intrusion information to find the entry point of an attack upon a protected computer |
US7308714B2 (en) | 2001-09-27 | 2007-12-11 | International Business Machines Corporation | Limiting the output of alerts generated by an intrusion detection sensor during a denial of service attack |
EP1326393B1 (de) | 2001-12-18 | 2004-08-11 | Stonesoft Corporation | Prüfung der Konfiguration einer Firewall |
US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
TWI235580B (en) * | 2002-05-03 | 2005-07-01 | Ke-Cheng Fang | Network security system and method for recording and resisting hacker |
US7412722B1 (en) * | 2002-08-08 | 2008-08-12 | Verizon Laboratories Inc. | Detection of softswitch attacks |
US8819285B1 (en) | 2002-10-01 | 2014-08-26 | Trustwave Holdings, Inc. | System and method for managing network communications |
US7469418B1 (en) * | 2002-10-01 | 2008-12-23 | Mirage Networks, Inc. | Deterring network incursion |
US7506360B1 (en) | 2002-10-01 | 2009-03-17 | Mirage Networks, Inc. | Tracking communication for determining device states |
US7827607B2 (en) * | 2002-11-27 | 2010-11-02 | Symantec Corporation | Enhanced client compliancy using database of security sensor data |
US7694343B2 (en) * | 2002-11-27 | 2010-04-06 | Symantec Corporation | Client compliancy in a NAT environment |
US20040111642A1 (en) * | 2002-12-05 | 2004-06-10 | Amir Peles | Content security by network switch |
US7657937B1 (en) * | 2003-01-02 | 2010-02-02 | Vmware, Inc. | Method for customizing processing and response for intrusion prevention |
EP1578082B1 (de) * | 2004-03-16 | 2007-04-18 | AT&T Corp. | Verfahrung und Apparatus für die Bereitstellung von mobilen Honeypots |
US8006305B2 (en) * | 2004-06-14 | 2011-08-23 | Fireeye, Inc. | Computer worm defense system and method |
US8375444B2 (en) | 2006-04-20 | 2013-02-12 | Fireeye, Inc. | Dynamic signature creation and enforcement |
US9027135B1 (en) | 2004-04-01 | 2015-05-05 | Fireeye, Inc. | Prospective client identification using malware attack detection |
US8584239B2 (en) | 2004-04-01 | 2013-11-12 | Fireeye, Inc. | Virtual machine with dynamic data flow analysis |
US7587537B1 (en) | 2007-11-30 | 2009-09-08 | Altera Corporation | Serializer-deserializer circuits formed from input-output circuit registers |
US8528086B1 (en) | 2004-04-01 | 2013-09-03 | Fireeye, Inc. | System and method of detecting computer worms |
US8566946B1 (en) | 2006-04-20 | 2013-10-22 | Fireeye, Inc. | Malware containment on connection |
US8171553B2 (en) | 2004-04-01 | 2012-05-01 | Fireeye, Inc. | Heuristic based capture with replay to virtual machine |
US8898788B1 (en) | 2004-04-01 | 2014-11-25 | Fireeye, Inc. | Systems and methods for malware attack prevention |
US8549638B2 (en) | 2004-06-14 | 2013-10-01 | Fireeye, Inc. | System and method of containing computer worms |
US8561177B1 (en) | 2004-04-01 | 2013-10-15 | Fireeye, Inc. | Systems and methods for detecting communication channels of bots |
US8793787B2 (en) * | 2004-04-01 | 2014-07-29 | Fireeye, Inc. | Detecting malicious network content using virtual environment components |
US9106694B2 (en) | 2004-04-01 | 2015-08-11 | Fireeye, Inc. | Electronic message analysis for malware detection |
US8881282B1 (en) | 2004-04-01 | 2014-11-04 | Fireeye, Inc. | Systems and methods for malware attack detection and identification |
US8204984B1 (en) | 2004-04-01 | 2012-06-19 | Fireeye, Inc. | Systems and methods for detecting encrypted bot command and control communication channels |
US8539582B1 (en) | 2004-04-01 | 2013-09-17 | Fireeye, Inc. | Malware containment and security analysis on connection |
US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
WO2006039208A2 (en) * | 2004-09-22 | 2006-04-13 | Cyberdefender Corporation | Threat protection network |
US8499337B1 (en) * | 2004-10-06 | 2013-07-30 | Mcafee, Inc. | Systems and methods for delegation and notification of administration of internet access |
US7937755B1 (en) | 2005-01-27 | 2011-05-03 | Juniper Networks, Inc. | Identification of network policy violations |
US7809826B1 (en) | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Remote aggregation of network traffic profiling data |
US7769851B1 (en) | 2005-01-27 | 2010-08-03 | Juniper Networks, Inc. | Application-layer monitoring and profiling network traffic |
US7810151B1 (en) | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Automated change detection within a network environment |
US7797411B1 (en) | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
US20060259950A1 (en) * | 2005-02-18 | 2006-11-16 | Ulf Mattsson | Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior |
US7441153B1 (en) * | 2005-03-28 | 2008-10-21 | Network Appliance Inc. | Method and system for secure and reliable event logging |
WO2006131124A1 (en) * | 2005-06-10 | 2006-12-14 | Gatesweeper Solutions Inc. | Anti-hacker system with honey pot |
US7805752B2 (en) * | 2005-11-09 | 2010-09-28 | Symantec Corporation | Dynamic endpoint compliance policy configuration |
CN1863093A (zh) * | 2006-04-06 | 2006-11-15 | 华为技术有限公司 | 一种策略执行点及其与入侵检测系统联动的方法 |
KR100806751B1 (ko) | 2006-04-26 | 2008-02-27 | 한국전자통신연구원 | 인터넷 웜 시뮬레이션을 위한 가상 네트워크를 이용한대규모 네트워크 표현 시스템 및 방법 |
US8554536B2 (en) * | 2006-05-24 | 2013-10-08 | Verizon Patent And Licensing Inc. | Information operations support system, method, and computer program product |
US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
US20080196104A1 (en) * | 2007-02-09 | 2008-08-14 | George Tuvell | Off-line mms malware scanning system and method |
US8055789B2 (en) * | 2007-03-27 | 2011-11-08 | Amazon Technologies, Inc. | Configuring intercommunications between computing nodes |
US8713450B2 (en) * | 2008-01-08 | 2014-04-29 | International Business Machines Corporation | Detecting patterns of abuse in a virtual environment |
US8312511B2 (en) * | 2008-03-12 | 2012-11-13 | International Business Machines Corporation | Methods, apparatus and articles of manufacture for imposing security measures in a virtual environment based on user profile information |
US9264441B2 (en) * | 2008-03-24 | 2016-02-16 | Hewlett Packard Enterprise Development Lp | System and method for securing a network from zero-day vulnerability exploits |
US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US8850571B2 (en) | 2008-11-03 | 2014-09-30 | Fireeye, Inc. | Systems and methods for detecting malicious network content |
US8997219B2 (en) | 2008-11-03 | 2015-03-31 | Fireeye, Inc. | Systems and methods for detecting malicious PDF network content |
WO2011002818A1 (en) * | 2009-06-29 | 2011-01-06 | Cyberdefender Corporation | Systems and methods for operating an anti-malware network on a cloud computing platform |
US8832829B2 (en) | 2009-09-30 | 2014-09-09 | Fireeye, Inc. | Network-based binary file extraction and analysis for malware detection |
US8683573B2 (en) | 2011-06-27 | 2014-03-25 | International Business Machines Corporation | Detection of rogue client-agnostic nat device tunnels |
US8898795B2 (en) | 2012-02-09 | 2014-11-25 | Harris Corporation | Bridge for communicating with a dynamic computer network |
US8935780B2 (en) | 2012-02-09 | 2015-01-13 | Harris Corporation | Mission management for dynamic computer networks |
US8819818B2 (en) | 2012-02-09 | 2014-08-26 | Harris Corporation | Dynamic computer network with variable identity parameters |
US9519782B2 (en) | 2012-02-24 | 2016-12-13 | Fireeye, Inc. | Detecting malicious network content |
US9075992B2 (en) | 2012-05-01 | 2015-07-07 | Harris Corporation | Systems and methods for identifying, deterring and/or delaying attacks to a network using shadow networking techniques |
US8935786B2 (en) | 2012-05-01 | 2015-01-13 | Harris Corporation | Systems and methods for dynamically changing network states |
US9154458B2 (en) | 2012-05-01 | 2015-10-06 | Harris Corporation | Systems and methods for implementing moving target technology in legacy hardware |
US8966626B2 (en) | 2012-05-01 | 2015-02-24 | Harris Corporation | Router for communicating data in a dynamic computer network |
US8959573B2 (en) | 2012-05-01 | 2015-02-17 | Harris Corporation | Noise, encryption, and decoys for communications in a dynamic computer network |
US9130907B2 (en) | 2012-05-01 | 2015-09-08 | Harris Corporation | Switch for communicating data in a dynamic computer network |
US8898782B2 (en) | 2012-05-01 | 2014-11-25 | Harris Corporation | Systems and methods for spontaneously configuring a computer network |
US10572665B2 (en) | 2012-12-28 | 2020-02-25 | Fireeye, Inc. | System and method to create a number of breakpoints in a virtual machine via virtual machine trapping events |
US9009823B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications installed on mobile devices |
US9367681B1 (en) | 2013-02-23 | 2016-06-14 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications using symbolic execution to reach regions of interest within an application |
US9009822B1 (en) | 2013-02-23 | 2015-04-14 | Fireeye, Inc. | Framework for multi-phase analysis of mobile applications |
US8990944B1 (en) | 2013-02-23 | 2015-03-24 | Fireeye, Inc. | Systems and methods for automatically detecting backdoors |
US9824209B1 (en) | 2013-02-23 | 2017-11-21 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications that is usable to harden in the field code |
US9195829B1 (en) | 2013-02-23 | 2015-11-24 | Fireeye, Inc. | User interface with real-time visual playback along with synchronous textual analysis log display and event/time index for anomalous behavior detection in applications |
US9176843B1 (en) | 2013-02-23 | 2015-11-03 | Fireeye, Inc. | Framework for efficient security coverage of mobile software applications |
US9159035B1 (en) | 2013-02-23 | 2015-10-13 | Fireeye, Inc. | Framework for computer application analysis of sensitive information tracking |
US9104867B1 (en) | 2013-03-13 | 2015-08-11 | Fireeye, Inc. | Malicious content analysis using simulated user interaction without user involvement |
US9626509B1 (en) | 2013-03-13 | 2017-04-18 | Fireeye, Inc. | Malicious content analysis with multi-version application support within single operating environment |
US9565202B1 (en) | 2013-03-13 | 2017-02-07 | Fireeye, Inc. | System and method for detecting exfiltration content |
US9355247B1 (en) | 2013-03-13 | 2016-05-31 | Fireeye, Inc. | File extraction from memory dump for malicious content analysis |
US9430646B1 (en) | 2013-03-14 | 2016-08-30 | Fireeye, Inc. | Distributed systems and methods for automatically detecting unknown bots and botnets |
US9311479B1 (en) | 2013-03-14 | 2016-04-12 | Fireeye, Inc. | Correlation and consolidation of analytic data for holistic view of a malware attack |
US9413781B2 (en) | 2013-03-15 | 2016-08-09 | Fireeye, Inc. | System and method employing structured intelligence to verify and contain threats at endpoints |
US10713358B2 (en) | 2013-03-15 | 2020-07-14 | Fireeye, Inc. | System and method to extract and utilize disassembly features to classify software intent |
US9251343B1 (en) | 2013-03-15 | 2016-02-02 | Fireeye, Inc. | Detecting bootkits resident on compromised computers |
US9495180B2 (en) | 2013-05-10 | 2016-11-15 | Fireeye, Inc. | Optimized resource allocation for virtual machines within a malware content detection system |
US9635039B1 (en) | 2013-05-13 | 2017-04-25 | Fireeye, Inc. | Classifying sets of malicious indicators for detecting command and control communications associated with malware |
US9536091B2 (en) | 2013-06-24 | 2017-01-03 | Fireeye, Inc. | System and method for detecting time-bomb malware |
US10133863B2 (en) | 2013-06-24 | 2018-11-20 | Fireeye, Inc. | Zero-day discovery system |
US9888016B1 (en) | 2013-06-28 | 2018-02-06 | Fireeye, Inc. | System and method for detecting phishing using password prediction |
US9300686B2 (en) | 2013-06-28 | 2016-03-29 | Fireeye, Inc. | System and method for detecting malicious links in electronic messages |
US9294503B2 (en) | 2013-08-26 | 2016-03-22 | A10 Networks, Inc. | Health monitor based distributed denial of service attack mitigation |
US9628507B2 (en) | 2013-09-30 | 2017-04-18 | Fireeye, Inc. | Advanced persistent threat (APT) detection center |
US9171160B2 (en) | 2013-09-30 | 2015-10-27 | Fireeye, Inc. | Dynamically adaptive framework and method for classifying malware using intelligent static, emulation, and dynamic analyses |
US10089461B1 (en) | 2013-09-30 | 2018-10-02 | Fireeye, Inc. | Page replacement code injection |
US10515214B1 (en) | 2013-09-30 | 2019-12-24 | Fireeye, Inc. | System and method for classifying malware within content created during analysis of a specimen |
US10192052B1 (en) | 2013-09-30 | 2019-01-29 | Fireeye, Inc. | System, apparatus and method for classifying a file as malicious using static scanning |
US9294501B2 (en) | 2013-09-30 | 2016-03-22 | Fireeye, Inc. | Fuzzy hash of behavioral results |
US9690936B1 (en) | 2013-09-30 | 2017-06-27 | Fireeye, Inc. | Multistage system and method for analyzing obfuscated content for malware |
US9736179B2 (en) | 2013-09-30 | 2017-08-15 | Fireeye, Inc. | System, apparatus and method for using malware analysis results to drive adaptive instrumentation of virtual machines to improve exploit detection |
US9503324B2 (en) | 2013-11-05 | 2016-11-22 | Harris Corporation | Systems and methods for enterprise mission management of a computer network |
US9921978B1 (en) | 2013-11-08 | 2018-03-20 | Fireeye, Inc. | System and method for enhanced security of storage devices |
US9264496B2 (en) | 2013-11-18 | 2016-02-16 | Harris Corporation | Session hopping |
US9338183B2 (en) | 2013-11-18 | 2016-05-10 | Harris Corporation | Session hopping |
US9189627B1 (en) | 2013-11-21 | 2015-11-17 | Fireeye, Inc. | System, apparatus and method for conducting on-the-fly decryption of encrypted objects for malware detection |
US10122708B2 (en) | 2013-11-21 | 2018-11-06 | Harris Corporation | Systems and methods for deployment of mission plans using access control technologies |
US9747446B1 (en) | 2013-12-26 | 2017-08-29 | Fireeye, Inc. | System and method for run-time object classification |
US9756074B2 (en) | 2013-12-26 | 2017-09-05 | Fireeye, Inc. | System and method for IPS and VM-based detection of suspicious objects |
US9292686B2 (en) | 2014-01-16 | 2016-03-22 | Fireeye, Inc. | Micro-virtualization architecture for threat-aware microvisor deployment in a node of a network environment |
US9262635B2 (en) | 2014-02-05 | 2016-02-16 | Fireeye, Inc. | Detection efficacy of virtual machine-based analysis with application specific events |
KR101468601B1 (ko) * | 2014-03-13 | 2014-12-03 | 한국전자통신연구원 | 웹 서버/웹 어플리케이션 서버 보안 관리 장치 및 방법 |
US9241010B1 (en) | 2014-03-20 | 2016-01-19 | Fireeye, Inc. | System and method for network behavior detection |
US10242185B1 (en) | 2014-03-21 | 2019-03-26 | Fireeye, Inc. | Dynamic guest image creation and rollback |
US9591015B1 (en) | 2014-03-28 | 2017-03-07 | Fireeye, Inc. | System and method for offloading packet processing and static analysis operations |
US9223972B1 (en) | 2014-03-31 | 2015-12-29 | Fireeye, Inc. | Dynamically remote tuning of a malware content detection system |
US9432389B1 (en) | 2014-03-31 | 2016-08-30 | Fireeye, Inc. | System, apparatus and method for detecting a malicious attack based on static analysis of a multi-flow object |
US9973531B1 (en) | 2014-06-06 | 2018-05-15 | Fireeye, Inc. | Shellcode detection |
US9438623B1 (en) | 2014-06-06 | 2016-09-06 | Fireeye, Inc. | Computer exploit detection using heap spray pattern matching |
US9594912B1 (en) | 2014-06-06 | 2017-03-14 | Fireeye, Inc. | Return-oriented programming detection |
US10084813B2 (en) | 2014-06-24 | 2018-09-25 | Fireeye, Inc. | Intrusion prevention and remedy system |
US9398028B1 (en) | 2014-06-26 | 2016-07-19 | Fireeye, Inc. | System, device and method for detecting a malicious attack based on communcations between remotely hosted virtual machines and malicious web servers |
US10805340B1 (en) | 2014-06-26 | 2020-10-13 | Fireeye, Inc. | Infection vector and malware tracking with an interactive user display |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9363280B1 (en) | 2014-08-22 | 2016-06-07 | Fireeye, Inc. | System and method of detecting delivery of malware using cross-customer data |
US9756071B1 (en) | 2014-09-16 | 2017-09-05 | A10 Networks, Inc. | DNS denial of service attack protection |
US10671726B1 (en) | 2014-09-22 | 2020-06-02 | Fireeye Inc. | System and method for malware analysis using thread-level event monitoring |
US9773112B1 (en) | 2014-09-29 | 2017-09-26 | Fireeye, Inc. | Exploit detection of malware and malware families |
US10027689B1 (en) | 2014-09-29 | 2018-07-17 | Fireeye, Inc. | Interactive infection visualization for improved exploit detection and signature generation for malware and malware families |
US9537886B1 (en) | 2014-10-23 | 2017-01-03 | A10 Networks, Inc. | Flagging security threats in web service requests |
US9690933B1 (en) | 2014-12-22 | 2017-06-27 | Fireeye, Inc. | Framework for classifying an object as malicious with machine learning for deploying updated predictive models |
US10075455B2 (en) | 2014-12-26 | 2018-09-11 | Fireeye, Inc. | Zero-day rotating guest image profile |
US9934376B1 (en) | 2014-12-29 | 2018-04-03 | Fireeye, Inc. | Malware detection appliance architecture |
US9584318B1 (en) | 2014-12-30 | 2017-02-28 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack defense |
US9838417B1 (en) | 2014-12-30 | 2017-12-05 | Fireeye, Inc. | Intelligent context aware user interaction for malware detection |
US9900343B1 (en) | 2015-01-05 | 2018-02-20 | A10 Networks, Inc. | Distributed denial of service cellular signaling |
US9848013B1 (en) | 2015-02-05 | 2017-12-19 | A10 Networks, Inc. | Perfect forward secrecy distributed denial of service attack detection |
US10063591B1 (en) | 2015-02-14 | 2018-08-28 | A10 Networks, Inc. | Implementing and optimizing secure socket layer intercept |
US10148693B2 (en) | 2015-03-25 | 2018-12-04 | Fireeye, Inc. | Exploit detection system |
US9690606B1 (en) | 2015-03-25 | 2017-06-27 | Fireeye, Inc. | Selective system call monitoring |
US9438613B1 (en) | 2015-03-30 | 2016-09-06 | Fireeye, Inc. | Dynamic content activation for automated analysis of embedded objects |
US10474813B1 (en) | 2015-03-31 | 2019-11-12 | Fireeye, Inc. | Code injection technique for remediation at an endpoint of a network |
US9483644B1 (en) | 2015-03-31 | 2016-11-01 | Fireeye, Inc. | Methods for detecting file altering malware in VM based analysis |
US10417031B2 (en) | 2015-03-31 | 2019-09-17 | Fireeye, Inc. | Selective virtualization for security threat detection |
US9654485B1 (en) | 2015-04-13 | 2017-05-16 | Fireeye, Inc. | Analytics-based security monitoring system and method |
US9594904B1 (en) | 2015-04-23 | 2017-03-14 | Fireeye, Inc. | Detecting malware based on reflection |
US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
US10642753B1 (en) | 2015-06-30 | 2020-05-05 | Fireeye, Inc. | System and method for protecting a software component running in virtual machine using a virtualization layer |
US10726127B1 (en) | 2015-06-30 | 2020-07-28 | Fireeye, Inc. | System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer |
US11113086B1 (en) | 2015-06-30 | 2021-09-07 | Fireeye, Inc. | Virtual system and method for securing external network connectivity |
US10454950B1 (en) | 2015-06-30 | 2019-10-22 | Fireeye, Inc. | Centralized aggregation technique for detecting lateral movement of stealthy cyber-attacks |
US10715542B1 (en) | 2015-08-14 | 2020-07-14 | Fireeye, Inc. | Mobile application risk analysis |
US10176321B2 (en) | 2015-09-22 | 2019-01-08 | Fireeye, Inc. | Leveraging behavior-based rules for malware family classification |
US10033747B1 (en) | 2015-09-29 | 2018-07-24 | Fireeye, Inc. | System and method for detecting interpreter-based exploit attacks |
US9825989B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Cyber attack early warning system |
US9825976B1 (en) | 2015-09-30 | 2017-11-21 | Fireeye, Inc. | Detection and classification of exploit kits |
US10817606B1 (en) | 2015-09-30 | 2020-10-27 | Fireeye, Inc. | Detecting delayed activation malware using a run-time monitoring agent and time-dilation logic |
US10601865B1 (en) | 2015-09-30 | 2020-03-24 | Fireeye, Inc. | Detection of credential spearphishing attacks using email analysis |
US10706149B1 (en) | 2015-09-30 | 2020-07-07 | Fireeye, Inc. | Detecting delayed activation malware using a primary controller and plural time controllers |
US10210329B1 (en) | 2015-09-30 | 2019-02-19 | Fireeye, Inc. | Method to detect application execution hijacking using memory protection |
US10284575B2 (en) | 2015-11-10 | 2019-05-07 | Fireeye, Inc. | Launcher for setting analysis environment variations for malware detection |
US10469594B2 (en) | 2015-12-08 | 2019-11-05 | A10 Networks, Inc. | Implementation of secure socket layer intercept |
US10505984B2 (en) | 2015-12-08 | 2019-12-10 | A10 Networks, Inc. | Exchange of control information between secure socket layer gateways |
US10846117B1 (en) | 2015-12-10 | 2020-11-24 | Fireeye, Inc. | Technique for establishing secure communication between host and guest processes of a virtualization architecture |
US10447728B1 (en) | 2015-12-10 | 2019-10-15 | Fireeye, Inc. | Technique for protecting guest processes using a layered virtualization architecture |
US10108446B1 (en) | 2015-12-11 | 2018-10-23 | Fireeye, Inc. | Late load technique for deploying a virtualization layer underneath a running operating system |
US10565378B1 (en) | 2015-12-30 | 2020-02-18 | Fireeye, Inc. | Exploit of privilege detection framework |
US10621338B1 (en) | 2015-12-30 | 2020-04-14 | Fireeye, Inc. | Method to detect forgery and exploits using last branch recording registers |
US10050998B1 (en) | 2015-12-30 | 2018-08-14 | Fireeye, Inc. | Malicious message analysis system |
US10133866B1 (en) | 2015-12-30 | 2018-11-20 | Fireeye, Inc. | System and method for triggering analysis of an object for malware in response to modification of that object |
US10581874B1 (en) | 2015-12-31 | 2020-03-03 | Fireeye, Inc. | Malware detection system with contextual analysis |
US11552986B1 (en) | 2015-12-31 | 2023-01-10 | Fireeye Security Holdings Us Llc | Cyber-security framework for application of virtual features |
US9824216B1 (en) | 2015-12-31 | 2017-11-21 | Fireeye, Inc. | Susceptible environment detection system |
CN105807631B (zh) * | 2016-03-08 | 2019-02-12 | 北京工业大学 | 基于plc仿真的工控入侵检测方法和入侵检测系统 |
US10476906B1 (en) | 2016-03-25 | 2019-11-12 | Fireeye, Inc. | System and method for managing formation and modification of a cluster within a malware detection system |
US10671721B1 (en) | 2016-03-25 | 2020-06-02 | Fireeye, Inc. | Timeout management services |
US10601863B1 (en) | 2016-03-25 | 2020-03-24 | Fireeye, Inc. | System and method for managing sensor enrollment |
US10785255B1 (en) | 2016-03-25 | 2020-09-22 | Fireeye, Inc. | Cluster configuration within a scalable malware detection system |
US10893059B1 (en) | 2016-03-31 | 2021-01-12 | Fireeye, Inc. | Verification and enhancement using detection systems located at the network periphery and endpoint devices |
WO2017189765A1 (en) * | 2016-04-26 | 2017-11-02 | Acalvio Technologies, Inc. | Tunneling for network deceptions |
US10326796B1 (en) | 2016-04-26 | 2019-06-18 | Acalvio Technologies, Inc. | Dynamic security mechanisms for mixed networks |
US10230743B1 (en) | 2016-05-12 | 2019-03-12 | Wells Fargo Bank, N.A. | Rogue endpoint detection |
US10169585B1 (en) | 2016-06-22 | 2019-01-01 | Fireeye, Inc. | System and methods for advanced malware detection through placement of transition events |
US10116634B2 (en) | 2016-06-28 | 2018-10-30 | A10 Networks, Inc. | Intercepting secure session upon receipt of untrusted certificate |
US10462173B1 (en) | 2016-06-30 | 2019-10-29 | Fireeye, Inc. | Malware detection verification and enhancement by coordinating endpoint and malware detection systems |
US10158666B2 (en) | 2016-07-26 | 2018-12-18 | A10 Networks, Inc. | Mitigating TCP SYN DDoS attacks using TCP reset |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10491627B1 (en) | 2016-09-29 | 2019-11-26 | Fireeye, Inc. | Advanced malware detection using similarity analysis |
US20180096143A1 (en) * | 2016-09-30 | 2018-04-05 | Li Xiaoning | Secure change log for drive analysis |
US10795991B1 (en) | 2016-11-08 | 2020-10-06 | Fireeye, Inc. | Enterprise search |
US10587647B1 (en) | 2016-11-22 | 2020-03-10 | Fireeye, Inc. | Technique for malware detection capability comparison of network security devices |
US10581879B1 (en) | 2016-12-22 | 2020-03-03 | Fireeye, Inc. | Enhanced malware detection for generated objects |
US10552610B1 (en) | 2016-12-22 | 2020-02-04 | Fireeye, Inc. | Adaptive virtual machine snapshot update framework for malware behavioral analysis |
US10523609B1 (en) | 2016-12-27 | 2019-12-31 | Fireeye, Inc. | Multi-vector malware detection and analysis |
US10904286B1 (en) | 2017-03-24 | 2021-01-26 | Fireeye, Inc. | Detection of phishing attacks using similarity analysis |
US10554507B1 (en) | 2017-03-30 | 2020-02-04 | Fireeye, Inc. | Multi-level control for enhanced resource and object evaluation management of malware detection system |
US10902119B1 (en) | 2017-03-30 | 2021-01-26 | Fireeye, Inc. | Data extraction system for malware analysis |
US10798112B2 (en) | 2017-03-30 | 2020-10-06 | Fireeye, Inc. | Attribute-controlled malware detection |
US10791138B1 (en) | 2017-03-30 | 2020-09-29 | Fireeye, Inc. | Subscription-based malware detection |
US10855700B1 (en) | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
US10601848B1 (en) | 2017-06-29 | 2020-03-24 | Fireeye, Inc. | Cyber-security system and method for weak indicator detection and correlation to generate strong indicators |
US10503904B1 (en) | 2017-06-29 | 2019-12-10 | Fireeye, Inc. | Ransomware detection and mitigation |
US10893068B1 (en) | 2017-06-30 | 2021-01-12 | Fireeye, Inc. | Ransomware file modification prevention technique |
US10747872B1 (en) | 2017-09-27 | 2020-08-18 | Fireeye, Inc. | System and method for preventing malware evasion |
US10805346B2 (en) | 2017-10-01 | 2020-10-13 | Fireeye, Inc. | Phishing attack detection |
US11606263B2 (en) * | 2017-10-17 | 2023-03-14 | Science Applications International Corporation | Large network simulation |
US11108809B2 (en) | 2017-10-27 | 2021-08-31 | Fireeye, Inc. | System and method for analyzing binary code for malware classification using artificial neural network techniques |
US11240275B1 (en) | 2017-12-28 | 2022-02-01 | Fireeye Security Holdings Us Llc | Platform and method for performing cybersecurity analyses employing an intelligence hub with a modular architecture |
US11005860B1 (en) | 2017-12-28 | 2021-05-11 | Fireeye, Inc. | Method and system for efficient cybersecurity analysis of endpoint events |
US11271955B2 (en) | 2017-12-28 | 2022-03-08 | Fireeye Security Holdings Us Llc | Platform and method for retroactive reclassification employing a cybersecurity-based global data store |
US10826931B1 (en) | 2018-03-29 | 2020-11-03 | Fireeye, Inc. | System and method for predicting and mitigating cybersecurity system misconfigurations |
US11003773B1 (en) | 2018-03-30 | 2021-05-11 | Fireeye, Inc. | System and method for automatically generating malware detection rule recommendations |
US11558401B1 (en) | 2018-03-30 | 2023-01-17 | Fireeye Security Holdings Us Llc | Multi-vector malware detection data sharing system for improved detection |
US10956477B1 (en) | 2018-03-30 | 2021-03-23 | Fireeye, Inc. | System and method for detecting malicious scripts through natural language processing modeling |
US11075930B1 (en) | 2018-06-27 | 2021-07-27 | Fireeye, Inc. | System and method for detecting repetitive cybersecurity attacks constituting an email campaign |
US11314859B1 (en) | 2018-06-27 | 2022-04-26 | FireEye Security Holdings, Inc. | Cyber-security system and method for detecting escalation of privileges within an access token |
US11228491B1 (en) | 2018-06-28 | 2022-01-18 | Fireeye Security Holdings Us Llc | System and method for distributed cluster configuration monitoring and management |
US11316900B1 (en) | 2018-06-29 | 2022-04-26 | FireEye Security Holdings Inc. | System and method for automatically prioritizing rules for cyber-threat detection and mitigation |
US11182473B1 (en) | 2018-09-13 | 2021-11-23 | Fireeye Security Holdings Us Llc | System and method for mitigating cyberattacks against processor operability by a guest process |
US11763004B1 (en) | 2018-09-27 | 2023-09-19 | Fireeye Security Holdings Us Llc | System and method for bootkit detection |
US11368475B1 (en) | 2018-12-21 | 2022-06-21 | Fireeye Security Holdings Us Llc | System and method for scanning remote services to locate stored objects with malware |
US11258806B1 (en) | 2019-06-24 | 2022-02-22 | Mandiant, Inc. | System and method for automatically associating cybersecurity intelligence to cyberthreat actors |
US11556640B1 (en) | 2019-06-27 | 2023-01-17 | Mandiant, Inc. | Systems and methods for automated cybersecurity analysis of extracted binary string sets |
US11392700B1 (en) | 2019-06-28 | 2022-07-19 | Fireeye Security Holdings Us Llc | System and method for supporting cross-platform data verification |
US11886585B1 (en) | 2019-09-27 | 2024-01-30 | Musarubra Us Llc | System and method for identifying and mitigating cyberattacks through malicious position-independent code execution |
US11637862B1 (en) | 2019-09-30 | 2023-04-25 | Mandiant, Inc. | System and method for surfacing cyber-security threats with a self-learning recommendation engine |
Family Cites Families (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5432932A (en) * | 1992-10-23 | 1995-07-11 | International Business Machines Corporation | System and method for dynamically controlling remote processes from a performance monitor |
US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5557742A (en) * | 1994-03-07 | 1996-09-17 | Haystack Labs, Inc. | Method and system for detecting intrusion into and misuse of a data processing system |
US5623601A (en) | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5802320A (en) | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5793763A (en) | 1995-11-03 | 1998-08-11 | Cisco Technology, Inc. | Security system for network address translation systems |
US5828846A (en) | 1995-11-22 | 1998-10-27 | Raptor Systems, Inc. | Controlling passage of packets or messages via a virtual connection or flow |
KR100317443B1 (ko) * | 1996-04-24 | 2002-01-16 | 블레이어 에프.모리슨 | 인터넷프로토콜필터 |
US5991881A (en) | 1996-11-08 | 1999-11-23 | Harris Corporation | Network surveillance system |
US6408391B1 (en) * | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
US6331984B1 (en) * | 1998-08-21 | 2001-12-18 | Nortel Networks Limited | Method for synchronizing network address translator (NAT) tables using the server cache synchronization protocol |
US6625145B1 (en) * | 1998-12-30 | 2003-09-23 | Telefonaktiebolaget Lm Ericsson (Publ) | Use of lower IP-address bits |
US6981155B1 (en) * | 1999-07-14 | 2005-12-27 | Symantec Corporation | System and method for computer security |
US7107347B1 (en) * | 1999-11-15 | 2006-09-12 | Fred Cohen | Method and apparatus for network deception/emulation |
US6363489B1 (en) * | 1999-11-29 | 2002-03-26 | Forescout Technologies Inc. | Method for automatic intrusion detection and deflection in a network |
US7412722B1 (en) * | 2002-08-08 | 2008-08-12 | Verizon Laboratories Inc. | Detection of softswitch attacks |
-
2000
- 2000-04-13 US US09/548,547 patent/US7240368B1/en not_active Expired - Fee Related
- 2000-04-14 AU AU42458/00A patent/AU4245800A/en not_active Abandoned
- 2000-04-14 CA CA002370135A patent/CA2370135C/en not_active Expired - Fee Related
- 2000-04-14 DE DE60016613T patent/DE60016613T2/de not_active Expired - Lifetime
- 2000-04-14 WO PCT/US2000/010179 patent/WO2000062167A1/en active IP Right Grant
- 2000-04-14 AT AT00922241T patent/ATE284557T1/de active
- 2000-04-14 EP EP00922241A patent/EP1218822B1/de not_active Expired - Lifetime
- 2000-04-14 MX MXPA01010420A patent/MXPA01010420A/es active IP Right Grant
-
2004
- 2004-11-01 US US10/978,765 patent/US7958556B2/en not_active Expired - Lifetime
-
2011
- 2011-06-06 US US13/153,541 patent/US8955095B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
CA2370135A1 (en) | 2000-10-19 |
US7958556B2 (en) | 2011-06-07 |
EP1218822B1 (de) | 2004-12-08 |
MXPA01010420A (es) | 2005-10-05 |
US8955095B2 (en) | 2015-02-10 |
AU4245800A (en) | 2000-11-14 |
EP1218822A4 (de) | 2003-01-08 |
ATE284557T1 (de) | 2004-12-15 |
US20140115687A1 (en) | 2014-04-24 |
DE60016613D1 (de) | 2005-01-13 |
WO2000062167A1 (en) | 2000-10-19 |
EP1218822A1 (de) | 2002-07-03 |
US7240368B1 (en) | 2007-07-03 |
CA2370135C (en) | 2008-11-04 |
US20050177871A1 (en) | 2005-08-11 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE60016613T2 (de) | Abschreckungssystem gegen aufschaltung und missbrauch | |
DE602004008055T2 (de) | Intelligente integrierte netzwerksicherheitseinrichtung | |
DE60115615T2 (de) | System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung | |
DE102005037968B4 (de) | Schutzsystem für eine Netzwerkinformationssicherheitszone | |
DE10249888B4 (de) | Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium | |
DE60312235T2 (de) | Verfahren und system zur eindringverhinderung und ablenkung | |
DE10249428B4 (de) | Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems | |
US8631496B2 (en) | Computer network intrusion detection | |
DE60124295T2 (de) | Flussbasierte erfassung eines eindringens in ein netzwerk | |
DE10394008B4 (de) | System und Verfahren zum Detektieren und Nachverfolgen von Denial of Service-Angriffen | |
DE60316543T2 (de) | Adaptive verhaltensbezogene eindringdetektion | |
DE60123672T2 (de) | Computersystemschutz | |
DE10249887A1 (de) | Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen | |
DE60308260T2 (de) | Verfahren und Vorrichtung zum effizienten Vergleich von Antworten auf vorher vermittelte Anforderungen durch einen Netzknoten | |
DE10249427A1 (de) | System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems | |
DE10249842A1 (de) | Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz | |
EP2966828B1 (de) | Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung | |
DE112012002054T5 (de) | Spoofing-Angriff-Abwehrverfahren unter Verwendung eines Blockierungsservers | |
DE102015001054A1 (de) | Verfahren und systeme zum erkennen von extrusion und intrusion in einer cloud-computer-umgebung | |
DE60121133T2 (de) | Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten | |
DE10249843A1 (de) | Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung | |
DE10241974B4 (de) | Überwachung von Datenübertragungen | |
DE112021006405T5 (de) | System und Verfahren zur Eindringungserkennung von Malware-Datenverkehr | |
DE60031004T2 (de) | Elektronisches sicherheitssystem und verfahren für ein kommunikationsnetz | |
CN115022018B (zh) | 一种基于网络实体动态调整举报治理恶意域名的方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition |