DE60121133T2 - Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten - Google Patents

Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten Download PDF

Info

Publication number
DE60121133T2
DE60121133T2 DE60121133T DE60121133T DE60121133T2 DE 60121133 T2 DE60121133 T2 DE 60121133T2 DE 60121133 T DE60121133 T DE 60121133T DE 60121133 T DE60121133 T DE 60121133T DE 60121133 T2 DE60121133 T2 DE 60121133T2
Authority
DE
Germany
Prior art keywords
data
unauthorized access
access data
section
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60121133T
Other languages
English (en)
Other versions
DE60121133D1 (de
Inventor
Akiko Chiyoda-ku Miyagawa
Toru Chiyoda-ku Inada
Shinobu Chiyoda-ku Ushirozawa
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Mitsubishi Electric Corp
Original Assignee
Mitsubishi Electric Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Mitsubishi Electric Corp filed Critical Mitsubishi Electric Corp
Publication of DE60121133D1 publication Critical patent/DE60121133D1/de
Application granted granted Critical
Publication of DE60121133T2 publication Critical patent/DE60121133T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1491Countermeasures against malicious traffic using deception as countermeasure, e.g. honeypots, honeynets, decoys or entrapment

Description

  • HINTERGRUND DER ERFINDUNG
  • 1. Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf ein Steuersystem zum Vorsehen eines Sicherheitsunterstützungslieferanten in einem Computernetzwerk mit einem Mittel zum Ködern eines illegal zugreifenden zu einem Lockserver, auf der Grundlage von Informationen, die von einer Netzwerkeinrichtung des Lieferanten, die einen illegalen Zugriff erfasst gegeben werden.
  • 2. Beschreibung des Standes der Technik
  • Es war bei herkömmlichen Netzwerksystemen weit verbreitet, dass eine Organisation wie ein Unternehmen individuelle Sicherheitsmaßnahmen auf einer Organisationsbasis ergreift durch Verwendung einer Netzwerkkomponentenvorrichtung und einer Steuervorrichtung mit einer Erfassungsfunktion für illegalen Zugriff.
  • Beispielsweise ist in der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. 2000-90031 offenbartes System mit einem Analysesystem für illegalen Zugriff zu einem Netzwerk zwischen Routern vorgesehen zum Abfangen einer Kommunikation zwischen den Kommunikationspartnern, wenn ein illegaler Zugriff bei der Kommunikation erfasst wird. Gemäß einem in der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. 2000-47987 offenbarten System wird, wenn ein illegaler Zugriff erfasst wird, der illegale Zugriff in eine Pseudo-Datenbank gelockt, die speziell neben einer regulären Datenbank vorgesehen ist, wodurch regulären Daten vor einem Herausfließen geschützt werden. Ein in der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. Hei6-6347 offenbartes System ist mit einer Sicherheitssteuervorrichtung versehen, die zu einer Netzwerkkomponentenvorrichtung über einen illegalen Zugriff informiert wird, wenn dieser erfasst wird, wodurch eine zentralisierte Sicherheitssteuerung erhalten wird.
  • Alle diese basieren auf dem Verfahren, dass ein Klient, der ein Netzwerk verwaltet, wie ein Unternehmen, selbst ein System installiert und steuert.
  • Jedoch tritt gemäß dem herkömmlichen Netzwerksystem, wenn die Organisation klein ist, ein Problem auf hinsichtlich des Erwerbs eines Netzwerkverwalters und der Vermittlung von Verwaltungs-Knowhow.
  • Zusätzlich hierzu muss, selbst ein Vollzeit-Netzwerkverwalter verfügbar ist, da der Netzwerkverwalter für die Steuerung aller Netzwerkvorrichtungen und Steuersysteme verantwortlich ist, er große An strengungen zum Einstellen, Modifizieren und Warten der Netzwerkvorrichtungen unternehmen.
  • Weiterhin sind das Modifizieren einer Netzwerkkonfiguration, das Installieren eines neuen Netzwerks gegen einen Versuch eines illegalen Zugriffs und die Verbesserung einer Netzwerkversion kostenaufwendig, und diese wurden nicht sofort durchgeführt.
  • Bei dem in der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. 2000-47987 und der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. Hei6-6347 offenbarten Systemen beispielsweise wird der Verwalter damit betraut, einen illegalen Zugriff zu handhaben, wenn dieser erfasst wird. Insbesondere wird bei dem in der Veröffentlichung der ungeprüften Japanischen Patentanmeldung Nr. 2000-47987 offenbarten System, obgleich das System ausgebildet ist, einen illegal zugreifenden in eine Pseudo-Datenbank zu locken, von der das Netzwerk selbst verwaltenden Organisation erwartet, die Pseudo-Datenbank zu installieren.
  • Auch ist aus dem Stand der Technik (Verwoerd, T.: "Honours Report – Active Network Security", 5. November 1999) ein System zur Erfassung eines Eindringens bekannt, bei dem ein Einbringerfassungssensoren den Netzwerkverkehr überwachen und Resolver, die Verdachtsbereiche von den Sensoren empfangen, Gegenmaßnahmen ergreifen. Die Sensoren und Resolver sind in einem internen Netzwerk vorgesehen. Ein Eindringen umgebende historische Informationen können verwendet werden. In dem System können gemeinsame Eindringalarmprotokolle verwendet werden, die über TCP laufen.
  • Schließlich ist aus dem Stand der Technik (WO 00/72171 A1) auch ein lokales Netzwerk bekannt, das über das Internet mit einem Zentralnetzwerksicherheits-Operationszentrum verbunden ist. Das lokale Netzwerk weist aus der Entfernung konfigurierbare Sicherheitseinheiten auf. Neue und aktualisierte Sicherheitsinstruktionen können von dem Zentralnetzwerksicherheits-Operationszentrum zu den Sicherheitseinheiten übertragen werden, um die Alarmkriterien in den lokalen Sicherheitseinheiten zu rekonfigurieren und zu aktualisieren.
  • ZUSAMMENFASSUNG DER ERFINDUNG
  • Die vorliegende Erfindung ist auf das Lösen der vorgenannten Probleme gerichtet, und es ist eine Aufgabe der vorliegenden Erfindung, ein zentralisiertes Steuersystem für einen Netzwerkbenutzer oder -verwalter zum Verteidigen und Ergreifen von Gegenmaßnahmen gegen illegalen Zugriff vorzusehen.
  • Der ein derartiges zentralisiertes Steuersystem verwendende Servicebenutzer hat einen Vorteil der Herabsetzung der Kosten der Verwaltung des Netzwerks durch Betrauen eines speziellen Dienstproviders mit der Handhabung der Installation eines Lockservers (Pseudoservers), der Protokollanalyse und der Schaffung eines Antwortpakets.
  • Weiterhin wird dem Dienstprovider ermöglicht, dem Servicebenutzer einen prompten Service zu leisten, ohne den Servicebenutzer zu besuchen, da das zentralisierte Steuersystem dem Serviceprovider ermöglicht, den Zustand der Netzwerkvorrichtung des Servicebenutzers die ganze Zeit von einer entfernten Stelle zu erfassen.
  • Diese und andere Aufgaben der Ausführungsbeispiele der vorliegenden 'Erfindung werden durch die vorliegende Erfindung, wie sie durch die angefügten Ansprüche definiert ist, gelöst.
  • Der weitere Bereich der Anwendbarkeit der vorliegenden Erfindung wird augenscheinlich anhand der nachfolgend gegebenen detaillierten Beschreibung.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die vorliegende Erfindung wird besser verstanden anhand der nachfolgend gegebenen detaillierten Beschreibung und der begleitenden Zeichnungen, die nur im Wege der Illustration gegeben sind und somit für die vorliegende Erfindung nicht beschränkend sind, und in denen:
  • 1 ist eine Ansicht der Gesamtstruktur eines Netzwerksystems;
  • 2 zeigt ein funktionelles Blockschaltbild einer Netzwerkvorrichtung;
  • 3 zeigt ein funktionelles Blockschaltbild eines Datenzentrums;
  • 4 ist ein Diagramm, das die Strukturen von Kommunikationspaketen P1 bis P4 illustriert;
  • 5 zeigt ein Diagramm, das einen Vorgang zur Handhabung eines illegalen Zugriffspakets gemäß einem ersten Ausführungsbeispiel illustriert;
  • 6 ist ein Diagramm, das einen Operationsfluss durch die Netzwerkvorrichtung illustriert;
  • 7 ist ein Diagramm, das einen Operationsfluss durch das Datenzentrum illustriert;
  • 8 ist ein Diagramm, das einen Vorgang zur Handhabung eines illegalen Zugriffspakets gemäß einem zweiten Ausführungsbeispiel illustriert;
  • 9 ist ein Diagramm, das die Struktur eines Kommunikationspakets P5 illustriert; und
  • 10 ist ein Diagramm, das die Struktur eines Kommunikationspakets P2H illustriert.
  • DETAILLIERT BESCHREIBUNG DER BEVORZUGTEN
  • AUSFÜHRUNGSBEISPIELE
  • Es wird nun im Einzelnen Bezug auf die vorliegenden bevorzugten Ausführungsbeispiele der Erfindung genommen, von denen Beispiele in den begleitenden Zeichnungen illustriert sind, wobei gleiche Bezugszahlen gleiche Elemente in den mehreren Ansichten anzeigen.
  • Ausführungsbeispiel 1
  • 1 ist eine Ansicht der Gesamtstruktur eines Netzwerksystems enthaltend eine Vorrichtung zur Handhabung von illegalen Zugriffsdaten gemäß der vorliegenden Erfindung.
  • Bezug nehmend auf 1 bezeichnet eine Bezugszahl 1 ein Datenzentrum eines Verwaltungsagenten, der einen Service zur Ergreifung von Gegenmaßnahmen gegen einen illegalen Zugriff liefert. Eine Bezugszahl 11 bezeichnet ein in dem Datenzentrum vorgesehenes Steuersystem. Eine Bezugszahl 12 bezeichnet eine Klienten-Datenbank zum Speichern von Klienteninformationen. Eine Bezugszahl 13 bezeichnet einen Lockserver zum Ködern eines illegal Zugreifenden, um Informationen über den illegal Zugreifenden zu erhalten. Eine Bezugszahl 14 bezeichnet eine Wissensbank, die zum Analysieren von illegalen Zugriffsinformationen über den illegal Zugreifenden zu verwenden ist.
  • eine Bezugszahl 2 bezeichnet das Internet. Eine Bezugszahl 3 bezeichnet eine Netzwerkvorrichtung, die von einem Servicelieferanten für den Service des Ergreifens von Gegenmaßnahmen gegen einen illegalen Zugriff verwendet wird. Eine Bezugszahl 4 bezeichnet ein allgemeines Endgerät, das von dem Servicelieferanten verwendet wird. Eine Bezugszahl 5 bezeichnet einen anzugreifenden Zielserver, den der Servicelieferant besitzt und der das Ziel des illegal Zugreifenden ist. Eine Bezugszahl 6 bezeichnet ein Endgerät eines illegal Zugreifenden.
  • Insbesondere arbeiten das Steuersystem 11 und der Lockserver 13 als Handhabungsvorrichtung für illegale Zugriffsdaten, und die Netzwerkvorrichtung 3 arbeitet als eine Erfassungsvorrichtung für illegale Zugriffsdaten.
  • Weiterhin gehören die Netzwerkvorrichtung 3, das allgemeine Endgerät 4 und der anzugreifende Zielserver 5 zu demselben internen Kommunikationsnetzwerk.
  • 2 zeigt ein funktionelles Blockschaltbild der Netzwerkvorrichtung 3.
  • Die Netzwerkvorrichtung 3 besteht aus einem Datensammlungs-/-übertragungsabschnitt 31 zum Empfangen und Übertragen von Daten, einen Identifikationsinformations-Unterscheidungsabschnitt 32 zum Unterscheiden zwischen einer allgemeinen Kommunikation und einem Lockpaket (Antwortpaket) zu dem Lockserver von Steuersystem 11, einem Erfassungsabschnitt 33 für illegalen Zugriff zum Erfassen eines illegalen Zugriffspakets, einem Paketeinkapselungsabschnitt 34 zum Einkapseln des illegalen Zugriffspakets oder von zu dem Steuersystem 11 zu übertragenden Protokolldaten sowie zum Entkapseln des von dem Steuersystem 11 übertragenen Antwortpakets, und einen Protokollerwerbsabschnitt 35 zum Aufzeichnen von durch die Netzwerkvorrichtung 3 verarbeiteten Daten.
  • 3 zeigt auch ein funktionelles Blockschalbild des Steuersystems.
  • Das Steuersystem 11 besteht aus einem Datenempfangs/-übertragungsabschnitt 111 zum Empfangen und Übertragen von Daten, einem Klientenvergleichsabschnitt 112 zum Einordnen eines empfangenen Pakets, ob es von einem Vertragspartner oder nicht zu übertragen, einen Datentyp-Unterscheidungsabschnitt 113 zum Unterscheiden des Typs von von der Netzwerkvorrichtung 3 empfangenen Daten, einem Paketeinkapselungsabschnitt 114 zum Entkapseln eines verkapselten illegalen Zugriffspakets oder von verkapselten Protokolldaten, die von der Netzwerkvorrichtung 3 übertragen wurden, und zum Einkapseln eines Antwortpakets (Antwortdaten), das zu der Netzwerkvorrichtung 3 zu übertragen ist, und einen Analyseabschnitt 115 für illegale Daten zum Analysieren der Protokolldaten oder des empfangenen il legalen Zugriffspakets.
  • Zusätzlich hierzu ist das Datenzentrum 1 auch mit der Klientendatenbank 12, dem Lockserver 13 und der Wissensbank 14 zum Austausch von Daten mit dem Steuersystem 11 versehen.
  • Noch weiterhin dient der Lockserver 13 als ein Antwortdaten-Erzeugungsabschnitt zum Erzeugen der Antwortdaten (Antwortpaket) auf das illegale Zugriffspaket.
  • 4 zeigt die Strukturen von von der Netzwerkvorrichtung 3 und dem Steuersystem 11 übertragenen und empfangenen Kommunikationspaketen.
  • Ein Paket P1 ist das illegale Zugriffspaket. Das Paket P1 wird von dem Endgerät 6 des illegal Zugreifenden übertragen und von der Netzwerkvorrichtung 3 empfangen.
  • Ein Paket P2 ist ein verkapseltes Paket des Pakets P1 zum Übertragen illegaler Zugriffspaketinformationen enthaltend Identifikationsinformationen. Das Paket P2 wird von der Netzwerkvorrichtung 3 zu dem Steuersystem 11 übertragen.
  • Ein Paket P3 ist ein verkapseltes Antwortpaket zum Übertragen von Antwortpaketinformationen enthaltend die Identifikationsinformationen zu dem illegal Zugreifenden. Das Paket P3 wird von dem Steuersystem 11 zu der Netzwerkvorrichtung 3 übertragen.
  • Ein Paket 4 ist ein entkapseltes Paket des Pakets P3 und es ist das Antwortpaket von dem Lockserver 13, das vorgibt, dass es die Antwort von dem anzugreifen den Zielserver 5 ist. Das Paket P4 hat dieselben Informationen, die als der Inhalt der Antwort von dem anzugreifenden Zielserver 5 gespeichert sind. Normalerweise wird dem Paket P4 nicht ermöglicht, direkt über das Internet übertragen zu werden. Aber wenn es eingekapselt ist, wie in dem Paket P3 gezeigt ist, wird ihm ermöglicht, zu der Netzwerkvorrichtung 3 übertragen zu werden.
  • Die Arbeitsweise des gesamten Netzwerksystems wird nun diskutiert.
  • 5 zeigt einen Operationsfluss zur Handhabung eines illegalen Zugriffs, der von einem illegal Zugreifenden in ein internes Kommunikationsnetzwerk durchgeführt wird.
  • Es wird angenommen, dass das Endgerät 6 des illegal Zugreifenden zuerst das illegale Zugriffspaket P1 so übertragen hat, dass es illegal zu dem Server (dem anzugreifenden Zielserver) 5, der innerhalb des Netzwerks (des internen Kommunikationsnetzwerks) eines Vertragspartners vorgesehen ist, zugreifen soll (Schritt 101).
  • Dann erfasste die Netzwerkvorrichtung 3 das illegale Zugriffspaket P1. Die Netzwerkvorrichtung 3 verkapselt, wenn sie das illegale Zugriffspaket P1 erfasst, das illegale Zugriffspaket P1 (die illegalen Zugriffspaketinformationen), um das Paket P2 zu erzeugen, und überträgt das Paket P2 zu dem Datenzentrum 1 (Schritt 102). Dies ermöglicht der Netzwerkvorrichtung 3, den illegalen Zugriff durch illegale Zugriffspakt P1 zu dem anzugreifenden Zielserver 5 zu verhindern.
  • Nachfolgend empfängt das Steuersystem 11 in dem Datenzentrum 1 das Paket P2 von der Netzwerkvorrichtung 3, analysiert das empfangene Paket P2, verkapselt das Antwortpaket P4 von dem Lockserver 13, das vorgibt, eine Antwort von dem anzugreifenden Zielserver 5 zu sein, um das Paket P3 zu erzeugen, und sendet das Paket P3 zurück zu der Netzwerkvorrichtung 3 Schritt 103).
  • Dann empfängt die Netzwerkvorrichtung 3 das Paket P3 von dem Steuersystem 1, entkapselt das empfangene Paket P3, um das Antwortpaket P4 herauszuziehen, und überträgt das Antwortpaket P4 zu dem Endgerät 6 des illegal Zugreifenden (Schritt 104). Der illegal Zugreifende glaubt, dass das Antwortpaket P4 eine Antwort von dem anzugreifenden Zielserver 5 und beginnt, illegal zu dem Lockserver 13 zuzugreifen.
  • Eine Kommunikation zwischen dem Endgerät 6 des illegal Zugreifenden und dem Lockserver 13 erfolgt jedes Mal gemäß einer Prozedur vom Schritt 101 zum Schritt 104. Eine in dem Lockserver 13 durchgeführte Protokollanalyse stellt den Versuch eines illegalen Zugriffs im Einzelnen dar.
  • Die Arbeitsweise der Netzwerkvorrichtung 3 wird nun diskutiert.
  • 6 ist ein Flussdiagramm, das die Verarbeitung eines Kommunikationspakets in der Netzwerkvorrichtung 3 illustriert.
  • Zuerst unterscheidet die Netzwerkvorrichtung 3 bei Empfang eines Kommunikationspakets durch den Datensammlungs-/-übertragungsabschnitt 31 (Schritt 301) zwischen dem verkapselten Antwortpaket P3, das von dem Steuersystem 11 kommt, und nur einem Übermittlungspaket auf der Grundlage der Identifikationsinformationen des empfangenen Pakets in dem Identifikationsinformations-Unterscheidungsabschnitt 32 (Schritt 302).
  • Als ein Ergebnis dieser Unterscheidung wird, wenn das empfangene Paket das verkapselte Antwortpaket P3, das verkapselte Antwortpaket P3 in dem Paketverkapselungsabschnitt 34 entkapselt (Schritt 103) und dann zu dem Endgerät 6 des illegal Zugreifenden als die Antwort übertragen (Schritt 306).
  • Andererseits wird, wenn das empfangene Paket nur ein Übermittlungspaket ist, das Paket in dem Erfassungsabschnitt 33 für illegalen Zugriff geprüft, ob es das illegale Zugriffspaket P1 ist oder nicht (Schritt 304). Für den Fall, dass das Paket als das illegale Zugriffspaket P1 beurteilt wird, wird das illegale Zugriffspaket P1 in dem Paketverkapselungsabschnitt 34 verkapselt, um das Paket P2 zu haben, damit das illegale Zugriffspaket P1 zu dem Steuersystem 11 übertragen wird (Schritt 305). Dann wird das verkapselte illegale Zugriffspaket P2 durch den Datensammlungs-/-übertragungsabschnitt 31 zu dem Steuersystem übertragen (Schritt 306).
  • Für den Fall, dass das Paket bei der illegalen Zugriffsprüfung im Schritt 304 als ein normales Paket beurteilt wird, wird das Paket von dem Datensammlungs-/-übertragungsabschnitt 31 direkt zu dem Bestimmungsort übertragen (Schritt 306).
  • Die Arbeitsweise des Steuersystems 11 wird nun diskutiert.
  • 7 zeigt einen Operationsfluss in dem Steuersystem 11 zur Handhabung eines empfangenen Pakets von der Netzwerkvorrichtung 3 eines Vertragspartners.
  • Zuerst bezieht sich das Steuersystem 11 bei Empfang eines Kommunikationspakets durch den Datenempfangs-/ -übertragungsabschnitt 111 auf die Klientendatenbank 12 und vergleicht das Kommunikationspaket, um herauszufinden, ob von einem Vertragspartner zu übertragen oder nicht. Ein Paket, das bei diesem Vergleich nicht erfolgreich ist, kann als inkorrekte Daten abgelegt oder für eine andere Aufgabe des Steuersystems gehandhabt werden (außerhalb des Bereichs der vorliegenden Erfindung).
  • Wenn der Vergleich des empfangenen Pakets erfolgreich ist, wird durch den Datentyp-Unterscheidungsabschnitt 113 festgestellt, ob die Daten des von der Netzwerkvorrichtung 3 übertragenen Pakets die Daten des übertragenen illegalen Zugriffspakets (Paket P2) sind oder nicht.
  • Dann wird das empfangene Paket P2, das durch die Netzwerkvorrichtung 3 verkapselt ist, in dem Paketverkapselungsabschnitt 114 entkapselt.
  • Dann wird das illegale Zugriffspaket P1, wenn es in dem Paketverkapselungsabschnitt 114 entkapselt wurde, zu dem Analyseabschnitt 115 für illegale Daten weitergegeben. Der Analyseabschnitt 115 für illegale Daten analysiert das herausgezogene illegale Zugriffspaket P1 durch Bezugnahme auf die Wissensbasis 14. Ein Ergebnis dieser Analyse wird zu der Wissensbasis 14 als ein Beispiel für die Bezugnahme bei künftigen Analysen hinzugefügt. Der Analyseabschnitt 115 für illegale Daten benachrichtigt den Lockserver 13 von einem Analyseergebnis und empfängt das Antwortpaket P4 von dem Lockserver 13. Das Antwortpaket P4 hat dieselben Informationen wie die Informationen, die von dem anzugreifenden Zielserver 5 als Antwort auf das illegale Zugriffspaket P1 ausgegeben würden, wenn der anzugreifende Zielserver 5 das illegale Zugriffspaket P1 empfangen hätte.
  • Um vorzugeben, dass das Antwortpaket P4 ein von dem anzugreifenden Zielserver 5 über die Netzwerkvorrichtung 3 übertragenes Paket ist, wird das Antwortpaket P4 in dem Paketverkapselungsabschnitt 114 so eingekapselt, dass es das Paket P3 ist. Dann wird das Paket P3 durch den Datenempfangs-/-übertragungsabschnitt 111 zu der Netzwerkvorrichtung 3 übertragen.
  • Hiernach entkapselt die Netzwerkvorrichtung 3, wie vorstehend erwähnt, das Paket P3, zieht das Antwortpaket P4 heraus und überträgt das herausgezogene Antwortpakt P4 zu dem Endgerät 6 des illegal Zugreifenden.
  • Wie vorstehend beschrieben ist, wird das von der Netzwerkvorrichtung 3 erfasste illegale Zugriffspakt nicht innerhalb der Netzwerkvorrichtung 3 selbst gehandhabt, sondern sie überträgt das illegal Zugriffspaket zu dem Steuersystem 11, wodurch das Antwortpaket erhalten und der illegal Zugreifende in den innerhalb des Datenzentrums des Agenten vorgesehenen Lockserver gelockt wird. Als eine Folge kann ein von dem Netzwerk eines Klienten unabhängiger Handhabungsservice für illegalen Zugriff erhalten werden.
  • Ausführungsbeispiel 2
  • Bei dem vorstehend diskutierten ersten Ausführungs beispiel wird das illegale Zugriffspaket von dem Endgerät des illegal Zugreifenden von der Netzwerkvorrichtung 3 zu dem Datenzentrum 1 übertragen. Ein anderes Ausführungsbeispiel wird für den Fall diskutiert, dass die Protokollinformationen der Netzwerkvorrichtung 3 zu dem Datenzentrum 1 übertragen werden, um ein illegales Zugriffspaket in einer früheren Stufe zu erfassen.
  • 8 zeigt die Arbeitsweise eines gesamten Netzwerksystems in einem derartigen Fall.
  • In der Figur sind Schritt 101 bis Schritt 104 dieselben wie die bei dem ersten Ausführungsbeispiel diskutierten, und daher werden bei diesem Ausführungsbeispiel Schritt 105 und Schritt 106 diskutiert.
  • Die Netzwerkvorrichtung 3 zeichnet immer die Zugriffsinformationen von außerhalb durch den Protokollerwerbsabschnitt 35 (2) auf. Diese Protokollinformationen (Kommunikationshistorieinformationen) werden verkapselt und als das Paket P5 bei Empfang einer Anweisung von dem Steuersystem 11 oder durch eine reguläre Auslösung der Netzwerkvorrichtung 3 selbst zu dem Steuersystem 11 übertragen (Schritt 105).
  • Insbesondere zeigt 9 die Struktur des Pakets P5. Das Paket P5 ist ein verkapseltes Paket der Protokollinformationen, das zum Übertragen der Protokollinformationen der Netzwerkvorrichtung zu dem Steuersystem verwendet wird.
  • Nachfolgend entkapselt im Steuerzentrum 11 der Paketverkapselungsabschnitt 114 das Paket P5 und der Analyseabschnitt 115 für illegale Daten analysiert die Protokollinformationen. In dieser Stufe überträgt, wenn ein Problem auftritt, und mit anderen Worten in dem Fall, dass ein Paket erfasst wird, das als ein illegales Zugriffspaket verdächtigt wird, das Steuersystem 11 neue Setzinformationen über die Erfassung eines illegalen Zugriffs zu der Netzwerkvorrichtung 3, um die Setzinformationen in dem Erfassungsabschnitt 33 für illegalen Zugriff in der Netzwerkvorrichtung 3 zu aktualisieren (Schritt 106). Insbesondere sind die Setzinformationen über die Erfassung eines illegalen Zugriffs solche Informationen, die die Netzwerkvorrichtung 3 über ein Paket, das als ein illegales Zugriffspaket verdächtigt wird, informieren, und die Netzwerkvorrichtung 3 anweisen, jedes danach von dem Endgerät, das das als ein illegales Zugriffspaket verdächtige Paket überträgt, übertragene Paket als ein illegales Zugriffspaket zu behandeln. Mit anderen Worten, die Setzinformationen über die Erfassung eines illegalen Zugriffs entsprechen Bezeichnungsinformationen über illegale Zugriffsdaten. Die Setzinformationen über die Erfassung eines illegalen Zugriffs werden von dem Analyseabschnitt 115 für illegale Daten erzeugt.
  • Danach wird jeder Zugriff durch die Übertragungsquelle, die der Durchführung eines illegalen Zugriffs verdächtigt wird, durch den Erfassungsabschnitt 33 für illegalen Zugriff in der Netzwerkvorrichtung 3 als ein illegales Zugriffspaket bestimmt. Beispielsweise überträgt das Steuerzentrum 11, wenn bestimmt wird, dass ein Zugriffsprotokoll von dem Endgerät 6 illegal ist, die die Zurückweisung des Zugriffs von dem Endgerät 6 anweisenden Setzinformationen zu der Netzwerkvorrichtung 3. Als eine Folge erfasst die Netzwerkvorrichtung 3 den Zugriff von dem Endgerät 6 (Schritt 101) als ein illegales Zugriffspaket, ver kapselt das Paket von dem Endgerät 6 (P1: illegales Zugriffspaket zur Bildung von P2) und überträgt dann das verkapselte Paket zu dem Steuersystem 11 (Schritt 102). Der nachfolgende Ablauf ist derselbe wie der beim ersten Ausführungsbeispiel diskutierte.
  • Die Arbeitsweise der Netzwerkvorrichtung 3 und des Steuersystems 11 nach diesem Ausführungsbeispiel ist nahezu dieselbe wie die bei dem ersten Ausführungsbeispiel diskutierte.
  • Jedoch beurteilt in dem Steuersystem 11 der in 6 gezeigten Datentyp-Unterscheidungsabschnitt 113, dass das von der Netzwerkvorrichtung 3 empfangene Paket nicht ein verkapseltes illegales Zugriffspaket P2 ist, sondern ein Protokollinformationspaket P5 auf der Grundlage der in den empfangenen Daten enthaltenen Identifikationsinformationen. Dann wird in dem Analyseabschnitt 115 für illegale Daten das Protokollinformationspaket analysiert.
  • Zusätzlich hierzu erzeugt in dem Steuersystem 11 der Analyseabschnitt 115 für illegale Daten, wenn ein als illegales Zugriffspaket verdächtiges Paket erfasst wird, neue Setzinformationen über die Erfassung eines illegalen Zugriffs. Der Datenempfangs-/-übertragungsabschnitt 111 überträgt neue Setzinformationen über die Erfassung eines illegalen Zugriffs zu der Netzwerkvorrichtung 3.
  • Somit wird eine zentralisierte Analyse angefordert durch Übertragen der Protokollinformationen der Netzwerkvorrichtung 3 zu dem Steuersystem 11, und als eine folge wird das Antwortpaket erworben, so dass der illegal Zugreifende in den innerhalb des Datenzentrums des Agenten vorgesehenen Lockserver gelockt wird. Aus diesem Grund kann der Handhabungsservice für illegale Zugriffe unabhängig von dem Netzwerk des Klienten erzielt werden. Zusätzlich hierzu kann das Vermeiden des illegalen Zugriffs eines eines illegalen Zugriffs verdächtigen Pakets, obgleich dies kein direkter Angriff ist, zu einer früheren Erfassung eines illegalen Zugriffs beitragen.
  • Ausführungsbeispiel 3
  • Bei dem ersten und dem zweiten Ausführungsbeispiel, die vorstehend diskutiert werden, wird das Übertragungspaket verkapselt und der Inhalt der Übertragungsdaten wird auf der Grundlage der Identifikationsinformationen unterschieden.
  • Es wird ein anderes Ausführungsbeispiel für den Fall diskutiert, dass Authentifikationsinformationen zu einem von dem Steuersystem 11 und der Netzwerkvorrichtung 3 zu übertragenden/empfangenden Paket hinzugefügt sind.
  • 10 zeigt ein Paket P2H, das als ein Beispiel zu dem Paket P2 hinzugefügte Authentifikationsinformationen hat.
  • Das Paket P2H hat Authentifikationsinformationen wie Kontrollsummeninformationen, die Identifikationsinformationen und die folgenden Daten als einen Eingangswert verwenden, hinzugefügt vor den Identifikationsinformationen.
  • Die Authentifikationsinformationen werden in der Netzwerkvorrichtung 3 hinzugefügt und geprüft in dem Prozess der Verkapselung/Entkapselung durch den Paketverkapselungsabschnitt 34. Die Authentifikation sinformationen werden in dem Steuersystem 11 hinzugefügt und geprüft in dem Prozess der Verkapselung/Entkapselung durch den Paketverkapselungsabschnitt 114.
  • Weiterhin erfolgt in dem vorgenannten Fall die Erläuterung mit dem Paket P2H, das gebildet ist durch Hinzufügen der Authentifikationsinformationen zu dem Paket P2. Jedoch kann ein Paket P3H mit derselben Struktur, das durch Hinzufügen der Authentifikationsinformationen zu dem Paket P3 gebildet ist, ebenfalls übertragen/empfangen werden.
  • Somit hat durch Hinzufügen der Authentifikationsinformationen zu einem Kommunikationspaket die positive Wirkung der Verbesserung der Kommunikationssicherheit zwischen dem Steuersystem und der Netzwerkvorrichtung.
  • Bei dem ersten Ausführungsbeispiel bis dritten Ausführungsbeispiel wurde die Handhabungsvorrichtung für illegale Zugriffsdaten gemäß der vorliegenden Erfindung diskutiert. Zusätzlich hierzu kann auch ein Verfahren zum Handhaben illegaler Zugriffsdaten gemäß der vorliegenden Erfindung erzielt werden durch Verwendung derselben Prozeduren wie denjenigen, die in den vorhergehenden Ausführungsbeispielen diskutiert wurden.
  • Das Folgende ist die Zusammenfassung der Eigenschaften des Systems, das in dem ersten bis dritten Ausführungsbeispiel diskutiert wurde. Das System dient dazu, das Netzwerk eines Unterstützungslieferanten mit einem zentralisierten Netzwerksicherheits-Steuerservice zur Handhabung eines illegalen Zugriffs zu einem Computernetzwerksystem vorzusehen.
  • Als ein Gegenstand des zentralisierten Steuerservice wird ein illegal Zugreifender in den Lockserver des Unterstützungsproviders gelockt.
  • Die Netzwerkvorrichtung des Dienstnutzers fügt, wenn ein illegaler Zugriff erfasst wird, Steuerinformationen (Einkapselung) zu dem illegalen Zugriffspaket hinzu und überträgt dann das illegale Zugriffspaket zu dem Steuersystem in dem Datenzentrum des Serviceproviders. Das Datenzentrum ist mit dem Steuersystem, dem Pseudoserver (hier als Lockserver bezeichnet) und dergleichen versehen. Der Lockserver dient zum Ködern des illegal Zugreifenden, indem er vorgibt, der anzugreifende Zielserver des Servicenutzers zu sein, der das Ziel des illegal Zugreifenden ist, so dass er dieselbe Antwort wie die des anzugreifenden Zielservers zurücksendet. Das Steuersystem trennt die Steuerinformationen von dem übertragenen illegalen Zugriffspaket (Entkapselung) und führt eine Analyse des illegalen Zugriffs durch. Zusätzlich hierzu verkapselt das Steuersystem eine Antwort von dem Lockserver und überträgt die verkapselte Antwort zu der Netzwerkvorrichtung.
  • Die Netzwerkvorrichtung entkapselt bei Empfang des Antwortpakets von dem Steuerzentrum das Antwortpaket und überträgt dann das Paket. Der illegal Zugreifende glaubt, dass dieses Antwortpaket eine Antwort von dem anzugreifenden Zielserver ist, aber kommuniziert tatsächlich mit dem Lockserver des Datenzentrums über die Netzwerkvorrichtung. Somit wird der illegal Zugreifende in den Lockserver gelockt.
  • Das System sieht das Netzwerk eines Unterstützungslieferanten mit dem zentralisierten Netzwerksi cherheits-Steuerservice zur Handhabung eines illegalen Zugriffs zu einem Computernetzwerksystem vor.
  • Ein Gegenstand des zentralisierten Steuerservices ist das Ködern eines illegal Zugreifenden in den Lockserver eines Unterstützungsproviders.
  • Es ist die Eigenschaft des Systems, dass die Netzwerkvorrichtung eines Servicenutzers regulär die Protokollinformationen einkapselt und die Protokollinformationen zu dem Serviceprovider liefert, das Steuersystem des Datenzentrums die Protokollinformationen analysiert, und wenn ein illegaler Zugriff erfasst wird, die Setzinformationen über die Erfassung des illegalen Zugriffs der Netzwerkvorrichtung aktualisiert werden.
  • Es ist die Eigenschaft des Systems, dass der Sicherheitspegel durch den zentralisierten Steuerservice für zu übertragende/empfangende Pakete verbessert wird durch Hinzufügen von Authentifikationsinformationen oder Verschlüsselung.

Claims (10)

  1. Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten, die außerhalb eines gegebenen internen Kommunikationsnetzwerkes (3, 4, 5) anzuordnen ist und ausgebildet ist, unerlaubte Zugriffsdaten (P1) zu empfangen, die von einer Datenkommunikationsvorrichtung (6) übertragen wurden, die außerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordnet ist, für einen Zweck des unerlaubten Zugriffs zu dem internen Kommunikationsnetzwerk dadurch gekennzeichnet, dass die Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten ausgebildet ist zum Empfangen der unerlaubten Zugriffsdaten (P1) von einer Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten, die zu dem internen Kommunikationsnetzwerk (3, 4, 5) und zum Ergreifen von Gegenmaßnahmen gegen die unerlaubten Zugriffsdaten durch Erzeugen von Antwortdaten (P4) auf die unerlaubten Zugriffsdaten (P1), welche Antwortdaten (P4) denselben Inhalt wie denjenigen von Antwortdaten haben, die von einer spezifischen Datenkommunikationsvorrichtung (5) erzeugt würden, die in dem internen Kommunikationsnetzwerk (3, 4, 5) angeordnet ist, als Antwort auf die unerlaubten Zugriffsdaten (P1), wenn die spezifische Datenkommunikationsvorrichtung (5) die unerlaubten Zugriffsdaten (P1) empfangen hätte.
  2. Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 1, bei der die Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten mit der Erfassungsvorrichtung für unerlaubte Zugriffsdaten verbindbar ist für die Weiterleitung einer Datenkommunikation zwischen der Datenkommunikationsvorrichtung, die innerhalb des internen Kommunikationsnetzwerks angeordnet ist, und der Datenkommunikationsvorrichtung, die außerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordnet ist, und für die Erfassung (33) der unerlaubten Zugriffsdaten (P1), und bei der die Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten ausgebildet ist zum Empfangen (102) der unerlaubten Zugriffsdaten (P1) von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten.
  3. Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 1 oder Anspruch 2, welche aufweist: einen Datenempfangsabschnitt (111) zum Empfangen der unerlaubten Zugriffsdaten (P1) von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten; einen Datenanalyseabschnitt (14, 115) zum Analysieren der unerlaubten Zugriffsdaten (P1), die von dem Datenempfangsabschnitt (111) empfangen wurden; einen Antwortdaten-Erzeugungsabschnitt (13) zum Erzeugen von Antwortdaten (P4) auf die unerlaubten Zugriffsdaten (P1) auf der Grundlage eines Analyseergebnisses von dem Datenanalyseabschnitt (115); und einen Datenübertragungsabschnitt (111) zum Über tragen der von dem Antwortdaten-Erzeugungsabschnitt (13) erzeugten Antwortdaten (P4) zu der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten.
  4. Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 3, bei der der Datenempfangsabschnitt (111) ausgebildet ist zum Empfangen von gekapselten unerlaubten Zugriffsdaten (P2), die durch die Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten gekapselt (34) wurden, von der Erfassungsvorrichtung (3) für illegale Zugriffsdaten, wobei die Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten weiterhin einen Kapselungsabschnitt (114) enthält für die Entkapselung der gekapselten unerlaubten Zugriffsdaten (P2), die von dem Datenempfangsabschnitt empfangen wurden, um die unerlaubten Zugriffsdaten (P1) herauszuziehen, und zum Kapseln der Antwortdaten (P4), und wobei der Datenübertragungsabschnitt (111) ausgebildet ist zum Übertragen der durch den Kapselungsabschnitt gekapselten Antwortdaten (P3) zu der Erfassungsvorrichtung für unerlaubte Zugriffsdaten.
  5. Vorrichtung zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 3, bei der der Datenempfangsabschnitt (111) ausgebildet ist zum Empfangen von Kommunikationshistorieinformationen (P5) von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten, die eine Kommunikationshistorie der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten anzeigen, bei der der Datenanalyseabschnitt (14, 115) ausgebildet ist zum Analysieren der von dem Datenempfangsabschnitt (111) empfangenen Kommunikati onshistorieinformationen (P5) und zum Erzeugen von Bezeichnungsinformationen für unerlaubte Zugriffsdaten, die von einer gegebenen Datenkommunikationsvorrichtung, die außerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordnet ist, übertragene Daten als die unerlaubten Zugriffsdaten bezeichnen auf der Grundlage eines Analyseergebnisses der Kommunikationshistorieinformationen (P5), und bei der der Datenübertragungsabschnitt ausgebildet ist zum Übertragen (106) der von dem Datenanalyseabschnitt (14, 115) erzeugten Bezeichnungsinformationen für unerlaubte Zugriffsdaten zu der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten.
  6. Vorrichtung zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 4, bei der der Datenempfangsabschnitt (111) ausgebildet ist zum Empfangen unerlaubter Zugriffsdaten mit an diese angefügten Authentifikationsinformationen, bei der die Authentifikationsinformationen in der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten hinzugefügt sind und für eine Datenauthentifikation von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten verwendet sind, und bei der der Kapselungsabschnitt (114) ausgebildet ist zum Durchführen der Datenauthentifikation für die unerlaubten Zugriffsdaten durch Verwendung der Authentifikationsinformationen.
  7. Vorrichtung zur Behandlung unerlaubter Zugriffsdaten nach Anspruch 6, bei der der Kapselungsabschnitt (114) ausgebildet ist zum Anfügen der für die Datenauthentifikation zu verwendenden Authentifikationsinformationen an die Antwortdaten, und bei der der Datenübertragungsabschnitt (111) ausgebildet ist zum Übertragen der Antwortdaten mit den durch den Kapselungsabschnitt (114) angefügten Authentifikationsinformationen zu der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten.
  8. Verfahren zur Behandlung unerlaubter Zugriffsdaten (P1) außerhalb eines gegebenen internen Kommunikationsnetzwerks (3, 4, 5), welches Verfahren aufweist: Empfangen unerlaubter Zugriffsdaten (P1), die von einer Datenkommunikationsvorrichtung (6), die außerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordnet ist, übertragen wurden für einen Zweck des unerlaubten Zugriffs zu dem internen Kommunikationsnetzwerk (3, 4, 5), dadurch gekennzeichnet, dass die unerlaubten Zugriffsdaten (P1) durch eine Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten, die außerhalb des internen Kommunikationsnetzwerks angeordnet ist, von einer Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten, die zu dem internen Kommunikationsnetzwerk (3, 4, 5) gehört, empfangen werden; und dass Gegenmaßnahmen gegen die empfangenen unerlaubten Zugriffsdaten (P1) in der Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten ergriffen werden durch Erzeugen von Antwortdaten (P4) auf die unerlaubten Zugriffsdaten (P1), welche Antwortdaten (P4) denselben Inhalt wie den von Antwortdaten haben, die durch eine in dem internen Kommunikationsnetzwerk (3, 4, 5) angeordnete spezifische Datenkommunikationsvorrichtung (5) erzeugt würden als Antwort auf die unerlaubten Zugriffsdaten (P1), wenn die spezi fische Datenkommunikationsvorrichtung (5) die unerlaubten Zugriffsdaten (P1) empfangen hätte.
  9. Verfahren nach Anspruch 8, bei dem die Vorrichtung (1) zur Behandlung unerlaubter Zugriffsdaten mit der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten verbunden ist für die Weiterleitung einer Datenkommunikation zwischen der innerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordneten Datenkommunikationsvorrichtung und der außerhalb des internen Kommunikationsnetzwerks (3, 4, 5) angeordneten Datenkommunikationsvorrichtung, und zum Erfassen (304) der unerlaubten Zugriffsdaten (P1); und bei der die unerlaubten Zugriffsdaten (P1) von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten empfangen (102) werden.
  10. Verfahren nach Anspruch 8 oder 9 welches aufweist: Empfangen (102, 111) der unerlaubten Zugriffsdaten (P1) von der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten; Analysieren (14, 115) der durch das Empfangen empfangenen unerlaubten Zugriffsdaten (P1); Erzeugen (13) von Antwortdaten auf die unerlaubten Zugriffsdaten (P1) auf der Grundlage eines Analyseergebnisses des Analysierens; und Übertrager (111) der durch die Erzeugung erzeugten Antwortdaten zur der Erfassungsvorrichtung (3) für unerlaubte Zugriffsdaten.
DE60121133T 2001-02-14 2001-10-22 Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten Expired - Fee Related DE60121133T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
JP2001036436 2001-02-14
JP2001036436 2001-02-14

Publications (2)

Publication Number Publication Date
DE60121133D1 DE60121133D1 (de) 2006-08-10
DE60121133T2 true DE60121133T2 (de) 2007-02-01

Family

ID=18899709

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60121133T Expired - Fee Related DE60121133T2 (de) 2001-02-14 2001-10-22 Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten

Country Status (4)

Country Link
US (1) US7360250B2 (de)
EP (1) EP1244264B1 (de)
CA (1) CA2360147A1 (de)
DE (1) DE60121133T2 (de)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8087083B1 (en) * 2002-01-04 2011-12-27 Verizon Laboratories Inc. Systems and methods for detecting a network sniffer
US7068999B2 (en) * 2002-08-02 2006-06-27 Symbol Technologies, Inc. System and method for detection of a rogue wireless access point in a wireless communication network
US20040078592A1 (en) * 2002-10-16 2004-04-22 At & T Corp. System and method for deploying honeypot systems in a network
US7698738B2 (en) * 2003-05-14 2010-04-13 Northrop Grumman Systems Corporation System and method for real-time network-based recovery following an information warfare attack
EP1748342A1 (de) * 2005-07-29 2007-01-31 H+BEDV Datentechnik GmbH Honigtopf Computersystem zum entdecken von Viren in einem Computernetzwerk
CN100454839C (zh) * 2005-11-24 2009-01-21 华为技术有限公司 一种基于用户防攻击的装置以及方法
JP4780413B2 (ja) * 2007-01-12 2011-09-28 横河電機株式会社 不正アクセス情報収集システム
US8424098B2 (en) * 2008-12-01 2013-04-16 General Electric Company System and method for enhanced data security
JP5326673B2 (ja) * 2009-03-06 2013-10-30 富士通株式会社 制御回路、情報処理装置及び情報処理装置の制御方法
US8949988B2 (en) * 2010-02-26 2015-02-03 Juniper Networks, Inc. Methods for proactively securing a web application and apparatuses thereof
US8650215B2 (en) * 2010-05-04 2014-02-11 Red Hat, Inc. Decoy application servers
US9485276B2 (en) 2012-09-28 2016-11-01 Juniper Networks, Inc. Dynamic service handling using a honeypot
US9152808B1 (en) * 2013-03-25 2015-10-06 Amazon Technologies, Inc. Adapting decoy data present in a network
EP3041190B1 (de) * 2014-12-30 2020-11-25 Juniper Networks, Inc. Dynamische diensthandhabung unter verwendung eines honigtopfes
US10855721B2 (en) 2015-05-27 2020-12-01 Nec Corporation Security system, security method, and recording medium for storing program
US10621341B2 (en) 2017-10-30 2020-04-14 Bank Of America Corporation Cross platform user event record aggregation system
US10721246B2 (en) 2017-10-30 2020-07-21 Bank Of America Corporation System for across rail silo system integration and logic repository
US10728256B2 (en) 2017-10-30 2020-07-28 Bank Of America Corporation Cross channel authentication elevation via logic repository
CN112242984B (zh) * 2019-07-19 2023-05-30 伊姆西Ip控股有限责任公司 检测异常网络请求的方法、电子设备和计算机程序产品

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5124984A (en) 1990-08-07 1992-06-23 Concord Communications, Inc. Access controller for local area network
JPH066347A (ja) 1992-06-23 1994-01-14 Mitsubishi Electric Corp セキュリティ管理システム
US5414833A (en) * 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
JP3688830B2 (ja) 1995-11-30 2005-08-31 株式会社東芝 パケット転送方法及びパケット処理装置
JPH09214543A (ja) 1996-02-05 1997-08-15 Toshiba Corp 通信経路制御方法および通信経路制御装置
US6199181B1 (en) * 1997-09-09 2001-03-06 Perfecto Technologies Ltd. Method and system for maintaining restricted operating environments for application programs or operating systems
JP2000047987A (ja) 1998-07-30 2000-02-18 Fuji Photo Film Co Ltd データ出力方法および装置並びに記録媒体
JP3648520B2 (ja) 1998-09-11 2005-05-18 剛 石井 ネットワーク通信の監視・制御方法及びこれを利用した監視・制御装置並びにネットワーク通信の監視・制御プログラムを記録したコンピュータ読み取り可能な記録媒体
JP3618245B2 (ja) 1999-03-09 2005-02-09 株式会社日立製作所 ネットワーク監視システム
US6678827B1 (en) * 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
WO2000072171A1 (en) * 1999-05-24 2000-11-30 Gregory Perry Method and apparatus for remotely managed local network interface security
US6826697B1 (en) * 1999-08-30 2004-11-30 Symantec Corporation System and method for detecting buffer overflow attacks
US6687833B1 (en) * 1999-09-24 2004-02-03 Networks Associates, Inc. System and method for providing a network host decoy using a pseudo network protocol stack implementation
US6990591B1 (en) * 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6363489B1 (en) * 1999-11-29 2002-03-26 Forescout Technologies Inc. Method for automatic intrusion detection and deflection in a network
US6880090B1 (en) * 2000-04-17 2005-04-12 Charles Byron Alexander Shawcross Method and system for protection of internet sites against denial of service attacks through use of an IP multicast address hopping technique
WO2002017594A2 (en) * 2000-08-18 2002-02-28 Invicta Networks, Inc. Systems and methods for distributed network protection
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system

Also Published As

Publication number Publication date
CA2360147A1 (en) 2002-08-14
DE60121133D1 (de) 2006-08-10
EP1244264A3 (de) 2004-07-28
EP1244264A2 (de) 2002-09-25
US20020112190A1 (en) 2002-08-15
US7360250B2 (en) 2008-04-15
EP1244264B1 (de) 2006-06-28

Similar Documents

Publication Publication Date Title
DE60121133T2 (de) Verfahren und Vorrichtung zur Behandlung von unerlaubten Zugriffsdaten
DE60312235T2 (de) Verfahren und system zur eindringverhinderung und ablenkung
DE10249888B4 (de) Knoten eines Netzes, das ein Einbruchserfassungssystem betreibt, Verfahren zum Ausführen einer Einbruchsprävention an einem Knoten eines Netzes, sowie computerlesbares Medium
DE60115615T2 (de) System, einrichtung und verfahren zur schnellen paketfilterung und -verarbeitung
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE60316543T2 (de) Adaptive verhaltensbezogene eindringdetektion
DE10249428B4 (de) Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
DE602004008055T2 (de) Intelligente integrierte netzwerksicherheitseinrichtung
DE69929268T2 (de) Verfahren und System zur Überwachung und Steuerung der Netzzugriffe
DE69823368T2 (de) Verfahren und system zur identifizierung und unterdrückung von ausführbaren objekten
DE69922857T2 (de) Rechnersicherheit durch Virusuntersuchung
DE10249887A1 (de) Verfahren, computerlesbares Medium und Knoten für ein dreischichtiges Einbruchspräventionssystem zur Erfassung von Netzausbeutungen
DE10249842A1 (de) Netz, Verfahren und computerlesbares Medium zum Verteilen von Sicherheitsaktualisierungen an ausgewählte Knoten auf einem Netz
EP2975801B1 (de) Verfahren zum Erkennen eines Angriffs in einem Computernetzwerk
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE60122033T2 (de) Schutz von Computernetzen gegen böswillige Inhalte
DE60114763T2 (de) Verfahren und Vorrichtung für filtern von Zugriff, und Computerprodukt
DE102012109212B4 (de) Methoden, Vorrichtung und Herstellungsprodukte zur Bereitstellung von Firewalls für Prozesssteuerungssysteme
DE60018094T2 (de) Verfahren und system zum schutz vor dem eindringen in einer kommunikationsvorrichtung
DE602004002198T2 (de) Verfahren und Vorrichtung zur Verhinderung von Angriffen auf einen Call-Server
DE112019005529T5 (de) Fahrzeugseitige Kommunikationsvorrichtung, Kommunikationssteuerverfahren und Kommunikationssteuerprogramm
DE102005046462B4 (de) Netzwerkkomponente für ein Kommunikationsnetzwerk, Kommunikationsnetzwerk und Verfahren zur Bereitstellung einer Datenverbindung
DE10241974B4 (de) Überwachung von Datenübertragungen

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee