CN1894669A - 用于解决对计算机系统的侵入攻击的方法和系统 - Google Patents
用于解决对计算机系统的侵入攻击的方法和系统 Download PDFInfo
- Publication number
- CN1894669A CN1894669A CNA2004800319261A CN200480031926A CN1894669A CN 1894669 A CN1894669 A CN 1894669A CN A2004800319261 A CNA2004800319261 A CN A2004800319261A CN 200480031926 A CN200480031926 A CN 200480031926A CN 1894669 A CN1894669 A CN 1894669A
- Authority
- CN
- China
- Prior art keywords
- attack
- classification
- risk
- grade
- computing machine
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Abstract
根据本发明的一个实施例,一种用于解决对计算机的侵入攻击的计算机化的方法包括接收与所述计算机上的潜在攻击相对应的数据流并计算所述数据流的事件危险性分级。计算所述事件危险性分级的步骤包括确定至少一个组分危险性分级。在一个实施例中,组分危险性分级是:指示在没有关于计算机的知识的情况下潜在攻击将会影响计算机的可能性的签名保真度分级,指示潜在攻击与计算机的相关性的攻击相关性分级;以及指示所感知到的计算机的价值的目标价值分级。该方法还包括基于计算出的危险性分级对潜在攻击作出响应。
Description
技术领域
本发明一般地涉及侵入检测,尤其涉及用于解决对计算机系统的侵入攻击的方法和系统。
背景技术
网络侵入检测系统(“NIDS”)一般被设计成实时监视网络活动以发现可疑的或已知的恶意活动并将这些发现报告给适当的人员。通过持续监视所有活动,NIDS能够相对迅速地就计算机侵入发出警告,并且能够使管理员有时间防护或遏制侵入,或者能够允许NIDS自动地应对和制止攻击。
随着侵入检测市场走向成熟,开始需要侵入预防。当前的技术不允许仅基于签名检测的阻止策略的简单应用。为了使顾客能够应用基于对网络上的潜在恶意活动的检测的预防策略,必须解决假阳性(false positive)或良性触发(benign trigger)的问题。假阳性例如可能发生在检测到已知签名但该签名对于特定计算机系统没有潜在影响之时。
发明内容
根据本发明的一个实施例,用于解决针对计算机的侵入攻击的计算机化的方法包括接收与对计算机的潜在攻击相对应的数据流,并计算该数据流的事件危险性分级。计算事件危险性分级包括确定至少一个组分危险性分级。在一个实施例中,组分危险性分级是:指示在没有关于计算机的知识的情况下潜在攻击会影响计算机的可能性的签名保真度(fidelity)分级,指示潜在攻击与计算机的相关性的攻击相关性分级,以及指示所感知的计算机价值的目标价值分级。该方法还包括基于计算出的危险性分级来对潜在攻击作出响应。
本发明的某些实施例提供了许多技术优点。其他实施例可以实现这些优点中的某些或全部优点,或不实现这些优点。例如,根据一个实施例,计算考虑到除了攻击的潜在严重性之外的其他因素的事件危险性分级。从而,可以更精确地评估攻击的实际危险性,从而允许在解决攻击时区分资源分配的优先级。此外,可以实现用于基于事件危险性分级的级别来对攻击作出响应的策略,从而允许对各种攻击作出有区别的响应。
本领域的技术人员可以容易地从以下附图、描述和权利要求中确定其他优点。
附图说明
为了更全面地理解本发明及其优点,现在结合附图参考以下描述,附图中类似的标号代表类似的部件,其中:
图1是示出根据本发明一个实施例用于解决的计算机系统的侵入攻击的系统的示意图;
图2A是示出图1的侵入检测系统的各种功能性组件的框图;
图2B是示出图2A的侵入检测系统的传感器应用部分的各种功能性组件的框图;
图3是示出用于解决对计算机系统的侵入攻击的方法的流程图;
图4A是示出根据本发明的教导用于确定计算机网络上的任何给定攻击的事件危险性分级的方法的流程图;
图4B是图示根据本发明的教导的事件危险性分级的成分的框图;
图5A是示出可能基于图4的计算出的事件危险性分级的示例性事件动作策略的流程图;以及
图5B是示出基于图4的事件危险性分级的值的示例性事件动作超控(override)的流程图。
具体实施方式
通过参考附图的图1至图5B可以最好地理解本发明的实施例,其中类似的标号用于各附图中的类似和相应的部件。
图1是示出可能受益于本发明的教导的计算机系统100的示意图。在图示实施例中,系统100包括耦合到链路106的侵入检测系统(“NIDS”)108以及链路和网络管理员112,该链路106使无保护网络102与受保护网络104通信地耦合。NIDS 108可以以“并行”方式耦合到无保护网络102和受保护网络104,如图所示,或者可以根据其他拓扑被转换,例如采取“线上(in-line)”方式。
无保护网络102可以是受保护网络104外部的任何适当的网络。无保护网络102的一个示例是因特网。受保护网络104可以是任何适当的网络,例如局域网、广域网、虚拟专用网,或任何其他希望免受无保护网络102的影响的适当的网络。受保护网络可以包括寻求攻击保护的一个或多个计算机。链路106将无保护网络102耦合到受保护网络104,并且可以是任何适当的通信链路或信道。在一个实施例中,通信链路106可操作以用于在无保护网络102和受保护网络104之间以“分组”形式传输数据;但是,通信链路106也可以可操作来以其他适当的形式传输数据。
NIDS 108可以是可操作来分析经由通信链路106传输的数据分组以检测对受保护网络104的任何潜在攻击的任何适当的基于网络的侵入检测系统。NIDS 108可以是硬件、固件和/或软件的任何适当组合。一般而言,网络侵入检测系统包括一个或多个能够监视具有任何适当的数据链路协议的任何适当类型的网络的传感器。此外,某些网络侵入检测系统是网络流量的被动观察者,并不具有其自己的网络地址。
在本发明的特定实施例中,与NIDS 108相关联的传感器可操作来利用任何适当的协议检查IP(“因特网协议”)网络上的数据分组,所述任何适当的协议例如是TCP(“传输控制协议”)、UDP(“用户数据报协议”)和ICMP(“因特网控制消息协议”)。一旦检测到对受保护网络104的潜在攻击,NIDS 108就可操作来将潜在攻击分类为许多已知的攻击签名之一。这种分类允许了确定给定攻击的特性并且作出适当响应。
传统上,可以基于任何给定攻击的特定类型的潜在最坏情形将严重性分级归给该攻击。这种将严重性分级归给特定攻击允许了在解决攻击时对网络管理员112的时间以及计算机资源进行优先级区分。但是,已经发现,这种严重性分级并不提供充分的精度级别。根据本发明的教导,NIDS108基于一个或多个考虑到不同于特定签名的潜在严重性(或除了特定签名的潜在严重性之外)的因素的标准,来生成每个潜在攻击的事件危险性分级。然后这种事件危险性分级可以被NIDS(或其他设备)用于确定对潜在攻击的适当响应。例如,可以基于事件危险性分级规定策略集合。如下文更详细描述的,这些策略可以确定NIDS 108(或某个其他设备)可以采取什么补救动作。
网络管理员112可以是接收来自NIDS 108的信息以便监视对受保护网络104的潜在攻击并且在适当时对其作出响应的任何适当的人员。
图2A是NIDS 108的框图,其中示出了其主要功能性组件。NIDS 108包括传感器应用120和应用支持块122。NIDS 108的与感知和响应对受保护网络104内的计算机的潜在攻击直接相关联的功能中的大部分是由传感器应用120执行的。应用支持块122提供与传感器应用120的功能相关联的辅助应用。这些辅助功能的示例包括提供web服务器、CLI和NAC能力。
图2B是示出传感器应用120的更多细节的框图。在一个实施例中,传感器应用120包括事件动作处理器124、警报信道126、事件动作过滤器128、包括签名分析处理器132的附加处理器130,以及事件动作超控块134。传感器应用120可以经由链路106接收分组136或其他类型的数据流。分组136被签名分析处理器132接收,该签名分析处理器132确定与分组136相关联的事件的签名。在本示例中,“事件”是指嵌入在分组136内的潜在攻击。“签名”是指事件的攻击类型。被检测到的这个签名被提供给事件动作处理器124以及警报信道126和事件动作过滤器128,如标号138所指示。正如下文中更详细描述的,基于归给检测到的事件的事件危险性分级,事件动作处理器可以采取特定动作。这些动作可以包括经由链路106与受保护网络104通信。
事件动作处理器124可操作来采取与各种类型的攻击相关联的多种动作。在一个示例中,这些动作可以包括重置TCP流、IP记录、拒绝分组、拒绝流、拒绝攻击者、避开主机、避开连接、生成SNMP陷阱以及捕捉触发分组。这些类型的活动是计算机安全领域中公知的。
附加处理器130内的某些处理器可以调用通常被称为检查器的签名微引擎分析功能,以执行签名分析。这些检查器可以与警报信道126通信以根据需要产生事件警告。
警报信道126负责处理这些事件并生成与检测到的签名相关联的事件警告。
根据本发明的教导,事件动作过滤器128、事件动作处理器124或者传感器应用120的其他组件基于多个标准中的一个或多个生成事件危险性分级,该事件危险性分级允许响应于对与受保护网络104相关联的计算机的攻击采取更精确的补救动作。该分级被提供给事件动作过滤器128和事件动作超控块134。
正如下文中更详细描述的,事件动作过滤器128实现基于事件危险性分级的值的策略,这些策略影响事件动作处理器124响应于攻击而采取的动作。类似地,事件动作超控块134实现与这些活动相关联的超控策略。
图3是示出用于对侵入检测攻击作出响应的方法的流程图。该方法开始于步骤200处。在步骤202处,为检测到的事件计算事件危险性分级。关于如何生成这种事件危险性分级的一个示例的细节在下文中结合图4A和图4B更详细地描述。在步骤206处,基于所计算出的检测到的事件的事件危险性分级采取特定动作。例如,如果确定事件危险性分级非常高(意指危险性很高),则可以丢弃分组以及流量流,但不给出通知。由于危险性很高,因此执行这些动作不需要交互。在步骤208处方法结束。
图4A是示出用于生成事件危险性分级的一个示例性方法的更多细节的流程图。图4B示出根据本发明的教导的事件危险性分级的成分。方法开始于步骤302处,在步骤304处,潜在攻击被传感器应用120检测和识别为签名,根据一个实施例,潜在攻击被签名分析处理器132检测和识别为签名。图4中的其余动作可以由驻留在事件动作处理器124或警报信道126中的软件或硬件来执行,或者可以在传感器应用120的其他部分中执行,由独立的处理器执行,或者由其他可以用于这种功能的处理器和存储器来执行。在步骤306处,为检测到的事件计算攻击严重性分级320。攻击严重性分级是攻击一旦成功会造成的不利影响的严重程度的量度。在一个实施例中,攻击严重性分级可以是四个可能的整数之一,这四个可能的整数是25、50、75、100,它们分别与以下这些预定的定性签名评估相对应:信息性、低、中和高。但是,也可以使用其他适当的分级系统。从而,基于所预期的成功情况下的攻击严重性级别,为所识别的签名生成数值攻击严重性分级。
在步骤308处,生成签名保真度分级322。签名保真度分级322是与在没有关于目标计算机的特定知识的情况下与检测到的事件相关联的签名的性能相关联的权重。例如,特定签名可能只影响很小一部分操作系统,而不会对其他操作系统造成有害影响。在这种情况下,签名保真度分级将会相对较低。任何给定签名的签名保真度分级可以由签名的作者预定,或者可以根据其他技术来确定。根据一个特定实施例,允许的值是从0到100,其中0指示该签名将不适用于任何计算机,100指示该签名肯定会影响所有计算机。在一个实施例中,可用于向特定签名分配签名保真度分级的因素可以包括:所利用的弱点对目标计算机的操作系统的依赖性,其被表达为操作系统相关性分级(“OSRR”);服务可用性(服务相关性分级(“SRR”));服务应用(服务应用相关性分级([SARR]));以及目标的服务应用版本(服务应用版本相关性分级(“SAVRR”)。
根据一个实施例,这些因素中的每一个的权重为0.95到1.0。此外,基于签名作者过去关于这类签名的经验的任意的一般签名质量分级(“SQR”)的权重为0到1。当分配该值时,作者应当假定目标是易受攻击的系统,并且应当基于他们所认为的在存在正常网络流量的情况下该签名会不奏效的可能性来做出决定。在一个实施例中,当以上四个决定性比例因素会提高签名的置信度的级别时,对于相关联的信息,因素将会始终被赋予值0.95,如果已知信息会如何影响保真度,则这些比例因素将会被赋予值1.0,如果保真度不随信息而增大,则这些比例因素将会被赋予值1.0。在一个实施例中,所得到的签名保真度分级公式如下:
SFR=OSRR×SRR×SARR×SAVRR×SQR×100
例如,如果开发者要为独立于操作系统和独立于服务的“FOO”侦察活动创建新的签名,并且用于识别活动的技术不奏效的可能性大约是25%,则签名的签名保真度分级将会被计算为(1×1×1×1×0.75)×100=75。
如果所开发的签名是用于与特定服务相关联的依赖于操作系统的“BAR”缓冲器溢出的,但所采用的服务应用中的许多服务应用是基于相同的易受攻击代码库的因而应用和应用版本不是因素,并且开发者认为所使用的技术不奏效的可能性少于1%,则计算出的SFR将会是:(0.95×0.95×1.0×1.0×0.99)×100=89。
在步骤310处,确定攻击相关性分级324。攻击相关性分级324是代表成功利用的必要系统条件和关于目标系统的系统条件的知识的相关性的权重。攻击相关性分级324的确定涉及对关于潜在目标的信息的知识。这一知识可以通过被动学习或通过从目标计算机导入主动扫描数据来获得。在一个实施例中,相关信息是目标操作系统、目标服务可用性、在服务端口处运行的目标应用以及在目标服务端口处运行的应用的版本(分别是TOSR、TSR、TSAR和TSAVR)。用于计算ARR的公式如下:
ARR=TOSR×TSR×TSAR×TSAVR×100。
根据一个实施例,ARR可以取从77到127的值,以允许整体事件危险性分级的升级/降级。在一个实施例中,分配给点分级的值由下表给出;但是也可以会用其他值:
| 相关知识 | TOSR | TSR | TSAR | TSAVR |
| 相关 | 1.1 | 1.05 | 1.05 | 1.05 |
| 没有信息可用 | 1 | 1 | 1 | 1 |
| 不相关 | .9 | .95 | .95 | .95 |
在步骤312处,确定目标价值分级326。目标价值分级是与所感知的目标价值相关联的权重。从而,攻击所针对的较重要的计算机将会被赋予比不太重要的计算机更高的优先级。目标价值分级326是想用于允许用户开发对于“有价值的”团体资源更严格而对于不太重要的资源则较宽松的安全性策略。它还允许了在传感器应用120负载不足的情况下为其引入类似服务质量的功能。传感器120可以例如在负载很重时对具有较高价值分级的目标给予深度分组检查优惠,从而允许处于给定目标价值分级以下的目标未经检查地经过,直到负载允许继续开始检查。标题为“Method andSystem for Adaptive Network Security Using Network VulnerabilityAssessment”的美国专利No.6,301,668描述了与此相关的分类机制。
在一个实施例中,目标价值分级326可以具有从90到110的点值。根据一个实施例,目标分级可以采取下表所示的各种值;但是,也可使用其他的值。
| 目标价值分级 | 目标价值点值 |
| 无 | 90 |
| 低 | 95 |
| 中 | 100 |
| 高 | 105 |
| 关键 | 110 |
在步骤314处,基于攻击严重性分级320、签名保真度分级322、攻击相关性分级324和目标价值分级326来计算事件危险性分级328。在一个实施例中,用于该计算的公式为:
ERR=floor(((ASR)*(SFR)*(ARR)*(TVR))/1000000,100)。
在步骤316处方法结束。
虽然说明了用于计算事件危险性分级的特定技术,但是也可采用其他备选方案。例如,可以不使用所有四个组分危险性因素,而只使用这四个因素之一或其子集。
图5A是示出可以基于根据图4生成的事件危险性分级的值而实现的示例性事件动作策略的流程图。该流程图仅仅示出了示例性策略的一个集合;但是,可以基于事件危险性分级328实现任何适当的策略集合。方法开始于步骤402处。如果事件危险性分级328高于某个数字,例如在本示例中是高于80,则动作处理器124丢弃相关联的分组,丢弃数据流,并且不通知工作管理员这些活动。但是,如果事件危险性分级小于80但大于50,则在步骤406处丢弃流但通知网络管理员112。或者,如果事件危险性分级小于50但大于30,则在步骤408处,通知网络管理员潜在的攻击,并且捕捉相应分组,但不采取其他动作。最后,如果事件危险性分级小于30,则只发送警告。在步骤412处方法结束。
从而,基于事件危险性分级328的值,可以适当地设置某些策略,以用于对具有特定严重性分级的事件作出响应。这些策略可以由事件动作过滤器128实现,或者通过其他适当编程来实现。
图5B是示出与响应于根据图3的特定事件危险性分级的确定的事件动作超控相关联的示例性步骤的流程图。这些步骤可以由事件动作超控块134执行,或者通过其他适当编程来执行。提供了特定的示例;但是,也可以实现其他适当的基于事件危险性分级328的值的超控。方法开始于步骤502处。在步骤504处,确定事件危险性分级是否大于10。如果是的话,则发送警告。在步骤506处,额外地确定事件危险性分级是否大于30(在本示例中)。如果是的话,则记录相关联的分组。在步骤508中,额外地确定事件危险性分级是否大于80。如果是的话,则拒绝数据流。在步骤510处方法结束。
提供以上所述的响应于事件危险性分级328的确定可以采取的动作只是用于示例目的,也可以采取其他动作,而不会脱离本发明的范围。
从而,根据本发明的教导,除了给定签名的潜在严重性之外的其他因素可以被用于向特定事件分配危险分级。这允许了对侵入检测事件作出更加适当和具体的响应,并且帮助了考虑到虚假警报以及分配稀缺的资源来解决对计算机系统的攻击的可能性。
虽然是利用若干实施例来描述本发明的,但是可以向本领域的技术人员建议许多的改变、变动、更改、变换和修改,并且希望本发明包括这种改变、变动、更改、变换和修改,因为它们落在所附权利要求书的范围之内。
Claims (25)
1.一种用于解决对计算机的侵入攻击的计算机化的方法,该方法包括:
接收与对所述计算机的潜在攻击相对应的至少一个分组;
通过以下步骤计算所述潜在攻击的危险性分级:
通过将所述潜在攻击的类型与具有多个带有相应的预定数值攻击严重性分级的攻击的存储的信息相比较,来确定指示所述潜在攻击的潜在严重性的攻击严重性分级;
通过将所述潜在攻击的类型与具有多个带有相应的预定数值签名保真度分级的攻击的存储的信息相比较,来确定指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级;
基于所述计算机的操作系统、所述计算机的服务可用性、在所述计算机的服务端口处运行的应用以及所述应用的版本,来确定指示所述潜在攻击与所述计算机的相关性的攻击相关性分级;
确定指示所感知到的所述计算机的价值的目标价值分级;
按照所述攻击严重性分级、所述签名保真度分级、所述攻击相关性分级和所述目标价值分级的函数来计算所述危险性分级,其中所述函数为:
ERR=floor(((ASR)*(SFR)*(ARR)*(TVR))/1000000,100)
其中:
ERR=所述危险性分级;
ASR=所述攻击严重性分级;
SFR=所述签名保真度分级;
ARR=所述攻击相关性分级;以及
TVR=所述目标价值分级;以及
基于所述危险性分级对所述攻击作出响应。
2.如权利要求1所述的计算机化的方法,其中所述相应的预定数值攻击严重性分级是从由数字25、50、75和100组成的群组中选择出来的。
3.如权利要求1所述的计算机化的方法,其中所述相应的预定数值签名保真度分级是基于从由以下因素组成的群组中选择出来的因素中的至少一个因素的:所述计算机的操作系统、服务可用性、服务应用和版本。
4.如权利要求1所述的计算机化的方法,其中所述攻击相关性分级取从77到127的值。
5.如权利要求1所述的计算机化的方法,其中所述目标价值分级是从由90、95、100、105和110组成的群组中选择出来的。
6.如权利要求1所述的计算机化的方法,其中基于所述危险性分级对所述攻击作出响应的步骤包括从由以下动作组成的群组中选择出来的动作中的至少一个动作:
如果所述危险性分级超过第一特定值则提供警告;
如果所述危险性分级超过第二特定值则记录所述至少一个分组;以及
如果所述危险性分级超过第三特定值则拒绝去到所述计算机的数据流。
7.如权利要求1所述的计算机化的方法,其中基于所述危险性分级对所述攻击作出响应的步骤包括基于所述危险性分级执行多个动作集合之一。
8.一种用于解决对计算机的侵入攻击的计算机化的方法,该方法包括:
接收与对所述计算机的潜在攻击相对应的至少一个分组;
通过以下步骤计算所述潜在攻击的危险性分级:
确定指示所述潜在攻击的潜在严重性的攻击严重性分级;
确定指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级;
确定指示所述潜在攻击与所述计算机的相关性的攻击相关性分级;
确定指示所感知到的所述计算机的价值的目标价值分级;以及
按照所述攻击严重性分级、所述签名保真度分级、所述攻击相关性分级和所述目标价值分级的函数来计算所述危险性分级;以及
基于计算得到的危险性分级对所述攻击作出响应。
9.如权利要求8所述的计算机化的方法,其中确定指示所述潜在攻击的潜在严重性的攻击严重性分级的步骤包括:将所述潜在攻击的类型与具有多个带有相应的预定数值攻击严重性分级的攻击的存储的信息相比较。
10.如权利要求8所述的计算机化的方法,其中确定指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级的步骤包括:将所述潜在攻击的类型与具有多个带有相应的预定数值签名保真度分级的攻击的存储的信息相比较。
11.如权利要求8所述的计算机化的方法,其中确定指示所述潜在攻击与所述计算机的相关性的攻击相关性分级的步骤包括:基于所述计算机的操作系统、所述计算机的服务可用性、在所述计算机的服务端口处运行的应用以及所述应用的版本来确定所述攻击相关性分级。
12.如权利要求8所述的计算机化的方法,其中所述函数为:
ERR=floor(((ASR)*(SFR)*(ARR)*(TVR))/1000000,100)
其中:
ERR=所述危险性分级;
ASR=所述攻击严重性分级;
SFR=所述签名保真度分级;
ARR=所述攻击相关性分级;以及
TVR=所述目标价值分级。
13.如权利要求1所述的计算机化的方法,其中基于所述危险性分级对所述攻击作出响应的步骤包括基于所述危险性分级执行多个动作集合之一。
14.一种用于解决对计算机的侵入攻击的计算机化的方法,该方法包括:
接收与对所述计算机的潜在攻击相对应的数据流;
通过以下步骤计算所述潜在攻击的危险性分级:
确定从包括以下组分危险性分级的群组中选择出来的至少一个组分危险性分级:
指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级;
指示所述潜在攻击与所述计算机的相关性的攻击相关性分级;
指示所感知到的所述计算机的价值的目标价值分级;以及
基于所述组分危险性分级中的至少一个计算所述危险性分级;以及
基于计算出的危险性分级对所述攻击作出响应。
15.如权利要求14所述的方法,还包括确定指示所述潜在攻击的潜在严重性的攻击严重性分级,并且其中计算所述危险性分级的步骤包括基于所述至少一个组分危险性分级和所述攻击严重性分级来计算所述危险性分级。
16.如权利要求14所述的方法,其中确定至少一个组分危险性分级的步骤包括确定所述签名保真度分级、所述攻击相关性分级和所述目标价值。
17.如权利要求16所述的方法,其中基于所述至少一个组分危险性分级计算所述危险性分级的步骤包括基于所述签名保真度分级、所述攻击相关性分级和所述目标价值来计算所述危险性分级。
18.如权利要求16所述的计算机化的方法,还包括确定指示所述潜在攻击的潜在严重性的攻击严重性分级,并且其中所述危险性分级是根据以下公式计算的:
ERR=floor(((ASR)*(SFR)*(ARR)*(TVR))/1000000,100)
其中:
ERR=所述危险性分级;
ASR=所述攻击严重性分级;
SFR=所述签名保真度分级;
ARR=所述攻击相关性分级;以及
TVR=所述目标价值分级。
19.如权利要求14所述的计算机化的方法,其中基于所述危险性分级对所述攻击作出响应的步骤包括基于所述危险性分级执行多个动作集合之一。
20.一种用于解决对计算机的侵入攻击的系统,该系统包括:
包含在计算机可读介质中的软件程序,所述软件程序在被处理器执行时可操作以用于:
通过以下步骤计算所述系统接收到的包含潜在攻击的数据流的危险性分级:
确定从包括以下组分危险性分级的群组中选择出来的至少一个组分危险性分级:
指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级;
指示所述潜在攻击与所述计算机的相关性的攻击相关性分级;
指示所感知到的所述计算机的价值的目标价值分级;以及
基于所述组分危险性分级中的至少一个计算所述危险性分级;以及
基于所述危险性分级发起对所述潜在攻击的响应。
21.如权利要求20所述的系统,其中所述软件程序还可操作以用于确定指示所述潜在攻击的潜在严重性的攻击严重性分级,并且至少基于所述至少一个组分危险性分级和所述攻击严重性分级来计算所述危险性分级。
22.如权利要求20所述的系统,其中所述软件程序还可操作以用于基于所述签名保真度分级、所述攻击相关性分级和所述目标价值来计算所述危险性分级。
23.如权利要求22所述的系统,其中所述软件程序还可操作以用于根据以下公式计算所述危险性分级:
ERR=floor(((ASR)*(SFR)*(ARR)*(TVR))/1000000,100)
其中:
ERR=所述危险性分级;
ASR=所述攻击严重性分级;
SFR=所述签名保真度分级;
ARR=所述攻击相关性分级;以及
TVR=所述目标价值分级。
24.如权利要求20所述的系统,其中所述计算机程序还可操作以用于基于所述危险性分级执行多个动作集合之一。
25.一种用于解决对计算机的侵入攻击的系统,该系统包括:
用于接收与对所述计算机的潜在攻击相对应的至少一个分组的装置;
用于通过以下步骤计算所述至少一个分组的危险性分级的装置:
确定指示所述潜在攻击的潜在严重性的攻击严重性分级;
确定指示在没有关于所述计算机的知识的情况下所述潜在攻击将会影响所述计算机的可能性的签名保真度分级;
确定指示所述潜在攻击与所述计算机的相关性的攻击相关性分级;
确定指示所感知到的所述计算机的价值的目标价值分级;以及
按照所述攻击严重性分级、所述签名保真度分级、所述攻击相关性分级和所述目标价值分级的函数来计算所述危险性分级;以及
用于基于计算得到的危险性分级对所述攻击作出响应的装置。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US10/701,653 | 2003-11-05 | ||
| US10/701,653 US7526806B2 (en) | 2003-11-05 | 2003-11-05 | Method and system for addressing intrusion attacks on a computer system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN1894669A true CN1894669A (zh) | 2007-01-10 |
| CN100511159C CN100511159C (zh) | 2009-07-08 |
Family
ID=34551465
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CNB2004800319261A Active CN100511159C (zh) | 2003-11-05 | 2004-10-08 | 用于解决对计算机系统的侵入攻击的方法和系统 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7526806B2 (zh) |
| EP (1) | EP1685458A4 (zh) |
| CN (1) | CN100511159C (zh) |
| AU (1) | AU2004289001B2 (zh) |
| CA (1) | CA2543291C (zh) |
| WO (1) | WO2005048022A2 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107403101A (zh) * | 2016-05-20 | 2017-11-28 | 松下航空电子公司 | 飞行器数据的远程擦除 |
| CN107743701A (zh) * | 2015-02-03 | 2018-02-27 | 思科技术公司 | 基于恶意软件相似性和在线信任度的对事件的全局聚类 |
| CN111936991A (zh) * | 2018-04-10 | 2020-11-13 | 三菱电机株式会社 | 安全装置以及嵌入设备 |
Families Citing this family (38)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7437760B2 (en) * | 2002-10-10 | 2008-10-14 | International Business Machines Corporation | Antiviral network system |
| US7966658B2 (en) * | 2004-04-08 | 2011-06-21 | The Regents Of The University Of California | Detecting public network attacks using signatures and fast content analysis |
| US7225468B2 (en) * | 2004-05-07 | 2007-05-29 | Digital Security Networks, Llc | Methods and apparatus for computer network security using intrusion detection and prevention |
| US8806211B2 (en) * | 2004-05-19 | 2014-08-12 | Ca, Inc. | Method and systems for computer security |
| JP4197311B2 (ja) * | 2004-06-22 | 2008-12-17 | インターナショナル・ビジネス・マシーンズ・コーポレーション | セキュリティポリシー生成方法、セキュリティポリシー生成装置、プログラム、及び記録媒体 |
| US7616764B2 (en) * | 2004-07-07 | 2009-11-10 | Oracle International Corporation | Online data encryption and decryption |
| US7640591B1 (en) * | 2005-04-22 | 2009-12-29 | Sun Microsystems, Inc. | Method and apparatus for limiting denial of service attack by limiting traffic for hosts |
| US8739278B2 (en) * | 2006-04-28 | 2014-05-27 | Oracle International Corporation | Techniques for fraud monitoring and detection using application fingerprinting |
| US9106422B2 (en) * | 2006-12-11 | 2015-08-11 | Oracle International Corporation | System and method for personalized security signature |
| US8006303B1 (en) * | 2007-06-07 | 2011-08-23 | International Business Machines Corporation | System, method and program product for intrusion protection of a network |
| PE20090938A1 (es) * | 2007-08-16 | 2009-08-08 | Boehringer Ingelheim Int | Composicion farmaceutica que comprende un derivado de benceno sustituido con glucopiranosilo |
| US8484746B2 (en) * | 2008-05-09 | 2013-07-09 | International Business Machines Corporation | Method and system for managing electronic messages |
| US8484747B2 (en) * | 2008-05-09 | 2013-07-09 | International Business Machines Corporation | Method and system for managing electronic messages |
| US20090327000A1 (en) * | 2008-06-30 | 2009-12-31 | Davis Trevor A | Managing Change Requests in an Enterprise |
| CA2674327C (en) * | 2008-08-06 | 2017-01-03 | Trend Micro Incorporated | Exploit nonspecific host intrusion prevention/detection methods and systems and smart filters therefor |
| EP2438511B1 (en) | 2010-03-22 | 2019-07-03 | LRDC Systems, LLC | A method of identifying and protecting the integrity of a set of source data |
| US8726376B2 (en) * | 2011-03-11 | 2014-05-13 | Openet Telecom Ltd. | Methods, systems and devices for the detection and prevention of malware within a network |
| US9237127B2 (en) * | 2011-05-12 | 2016-01-12 | Airmagnet, Inc. | Method and apparatus for dynamic host operating system firewall configuration |
| US8898752B2 (en) * | 2012-02-01 | 2014-11-25 | Microsoft Corporation | Efficiently throttling user authentication |
| US9361455B2 (en) * | 2013-01-02 | 2016-06-07 | International Business Machines Corporation | Security management in a networked computing environment |
| US9106693B2 (en) | 2013-03-15 | 2015-08-11 | Juniper Networks, Inc. | Attack detection and prevention using global device fingerprinting |
| US10171483B1 (en) * | 2013-08-23 | 2019-01-01 | Symantec Corporation | Utilizing endpoint asset awareness for network intrusion detection |
| US9015839B2 (en) | 2013-08-30 | 2015-04-21 | Juniper Networks, Inc. | Identifying malicious devices within a computer network |
| GB2520987B (en) * | 2013-12-06 | 2016-06-01 | Cyberlytic Ltd | Using fuzzy logic to assign a risk level profile to a potential cyber threat |
| US9294488B2 (en) | 2013-12-31 | 2016-03-22 | Cisco Technology, Inc. | Control loop control using broadcast channel to communicate with a node under attack |
| US9286473B2 (en) | 2013-12-31 | 2016-03-15 | Cisco Technology, Inc. | Quarantine-based mitigation of effects of a local DoS attack |
| US9398035B2 (en) | 2013-12-31 | 2016-07-19 | Cisco Technology, Inc. | Attack mitigation using learning machines |
| US9870537B2 (en) | 2014-01-06 | 2018-01-16 | Cisco Technology, Inc. | Distributed learning in a computer network |
| US9450978B2 (en) | 2014-01-06 | 2016-09-20 | Cisco Technology, Inc. | Hierarchical event detection in a computer network |
| US9563854B2 (en) | 2014-01-06 | 2017-02-07 | Cisco Technology, Inc. | Distributed model training |
| US10025937B1 (en) * | 2015-06-26 | 2018-07-17 | Symantec Corporation | Practical and dynamic approach to enterprise hardening |
| RU2642403C1 (ru) * | 2016-04-26 | 2018-01-24 | Андрей Алексеевич Панкин | Способ защиты информационно-телекоммуникационной сети от пассивных компьютерных атак |
| WO2019004928A1 (en) * | 2017-06-29 | 2019-01-03 | Certis Cisco Security Pte Ltd | AUTONOMOUS INCREASE SORTING PRIORITIZATION BY PERFORMANCE MODIFIER AND TIME-DECREASING PARAMETERS |
| US10855700B1 (en) * | 2017-06-29 | 2020-12-01 | Fireeye, Inc. | Post-intrusion detection of cyber-attacks during lateral movement within networks |
| WO2020096826A1 (en) * | 2018-11-06 | 2020-05-14 | Carrier Corporation | System and method to build robust classifiers against evasion attacks |
| US11303653B2 (en) | 2019-08-12 | 2022-04-12 | Bank Of America Corporation | Network threat detection and information security using machine learning |
| US11323473B2 (en) | 2020-01-31 | 2022-05-03 | Bank Of America Corporation | Network threat prevention and information security using machine learning |
| US11290480B2 (en) | 2020-05-26 | 2022-03-29 | Bank Of America Corporation | Network vulnerability assessment tool |
Family Cites Families (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6499107B1 (en) * | 1998-12-29 | 2002-12-24 | Cisco Technology, Inc. | Method and system for adaptive network security using intelligent packet analysis |
| US6415321B1 (en) * | 1998-12-29 | 2002-07-02 | Cisco Technology, Inc. | Domain mapping method and system |
| US6301668B1 (en) * | 1998-12-29 | 2001-10-09 | Cisco Technology, Inc. | Method and system for adaptive network security using network vulnerability assessment |
| US6609205B1 (en) * | 1999-03-18 | 2003-08-19 | Cisco Technology, Inc. | Network intrusion detection signature analysis using decision graphs |
| US7096502B1 (en) * | 2000-02-08 | 2006-08-22 | Harris Corporation | System and method for assessing the security posture of a network |
| AU2002243763A1 (en) * | 2001-01-31 | 2002-08-12 | Internet Security Systems, Inc. | Method and system for configuring and scheduling security audits of a computer network |
| US7287280B2 (en) * | 2002-02-12 | 2007-10-23 | Goldman Sachs & Co. | Automated security management |
| AU2002256018A1 (en) * | 2001-03-29 | 2002-10-15 | Accenture Llp | Overall risk in a system |
| US7379993B2 (en) * | 2001-09-13 | 2008-05-27 | Sri International | Prioritizing Bayes network alerts |
| US7076803B2 (en) * | 2002-01-28 | 2006-07-11 | International Business Machines Corporation | Integrated intrusion detection services |
| US6952779B1 (en) * | 2002-10-01 | 2005-10-04 | Gideon Cohen | System and method for risk detection and analysis in a computer network |
| US7437760B2 (en) * | 2002-10-10 | 2008-10-14 | International Business Machines Corporation | Antiviral network system |
| US7409721B2 (en) * | 2003-01-21 | 2008-08-05 | Symantac Corporation | Network risk analysis |
| US7281270B2 (en) * | 2003-04-01 | 2007-10-09 | Lockheed Martin Corporation | Attack impact prediction system |
| US7805762B2 (en) * | 2003-10-15 | 2010-09-28 | Cisco Technology, Inc. | Method and system for reducing the false alarm rate of network intrusion detection systems |
-
2003
- 2003-11-05 US US10/701,653 patent/US7526806B2/en active Active
-
2004
- 2004-10-08 EP EP04794612A patent/EP1685458A4/en not_active Withdrawn
- 2004-10-08 CN CNB2004800319261A patent/CN100511159C/zh active Active
- 2004-10-08 CA CA2543291A patent/CA2543291C/en not_active Expired - Fee Related
- 2004-10-08 WO PCT/US2004/033311 patent/WO2005048022A2/en active Application Filing
- 2004-10-08 AU AU2004289001A patent/AU2004289001B2/en not_active Ceased
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107743701A (zh) * | 2015-02-03 | 2018-02-27 | 思科技术公司 | 基于恶意软件相似性和在线信任度的对事件的全局聚类 |
| CN107403101A (zh) * | 2016-05-20 | 2017-11-28 | 松下航空电子公司 | 飞行器数据的远程擦除 |
| CN111936991A (zh) * | 2018-04-10 | 2020-11-13 | 三菱电机株式会社 | 安全装置以及嵌入设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2005048022A3 (en) | 2006-04-27 |
| AU2004289001A1 (en) | 2005-05-26 |
| EP1685458A4 (en) | 2010-07-07 |
| US7526806B2 (en) | 2009-04-28 |
| EP1685458A2 (en) | 2006-08-02 |
| CA2543291A1 (en) | 2005-05-26 |
| CA2543291C (en) | 2014-04-08 |
| US20050097339A1 (en) | 2005-05-05 |
| CN100511159C (zh) | 2009-07-08 |
| WO2005048022A2 (en) | 2005-05-26 |
| AU2004289001B2 (en) | 2010-04-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN100511159C (zh) | 用于解决对计算机系统的侵入攻击的方法和系统 | |
| AU2011305214B2 (en) | IP prioritization and scoring system for DDoS detection and mitigation | |
| US8209759B2 (en) | Security incident manager | |
| US8549645B2 (en) | System and method for detection of denial of service attacks | |
| US10091229B2 (en) | Systems and methods of network security and threat management | |
| US8479297B1 (en) | Prioritizing network assets | |
| US20090106843A1 (en) | Security risk evaluation method for effective threat management | |
| CN1946077A (zh) | 基于及早通知检测异常业务的系统和方法 | |
| CN113839935B (zh) | 网络态势感知方法、装置及系统 | |
| US20180063170A1 (en) | Network security scoring | |
| KR100639997B1 (ko) | 가입자 네트워크 정보 보호 수준 평가를 위한 방법 및 그장치 | |
| CN108667642B (zh) | 一种基于风险评估的服务器的风险均衡器 | |
| CN114301700A (zh) | 调整网络安全防御方案的方法、装置、系统及存储介质 | |
| CN115632884B (zh) | 基于事件分析的网络安全态势感知方法与系统 | |
| KR101113615B1 (ko) | 네트워크 위험도 종합 분석 시스템 및 그 방법 | |
| CN114301796B (zh) | 预测态势感知的验证方法、装置及系统 | |
| CN112637150B (zh) | 一种基于nginx的蜜罐分析方法及其系统 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
| CN115277173B (zh) | 一种网络安全监测管理系统及方法 | |
| Wu et al. | Automated intrusion response decision based on the analytic hierarchy process | |
| US20230328083A1 (en) | Network vulnerability assessment | |
| KR20090071502A (ko) | 지능형 소프트웨어 로봇의 행동특성을 이용한 위협탐지 방법 및 이를 위한 시스템 | |
| Tayyebi et al. | Cloud Security Framework: VM Features Based Intrusion Detection System | |
| KR20070047997A (ko) | 취약점 진단 스크립트를 이용한 침입탐지 시스템에 대한우회공격 탐지 시스템 설계 | |
| Hramcov et al. | Ways to eliminate DDos attacks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant |