CN101548506B - 用于确定安全性攻击的装置和安全性节点 - Google Patents
用于确定安全性攻击的装置和安全性节点 Download PDFInfo
- Publication number
- CN101548506B CN101548506B CN2007800445465A CN200780044546A CN101548506B CN 101548506 B CN101548506 B CN 101548506B CN 2007800445465 A CN2007800445465 A CN 2007800445465A CN 200780044546 A CN200780044546 A CN 200780044546A CN 101548506 B CN101548506 B CN 101548506B
- Authority
- CN
- China
- Prior art keywords
- security
- level
- related data
- detail
- collected
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000001514 detection method Methods 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 15
- 238000012544 monitoring process Methods 0.000 claims description 10
- 238000000034 method Methods 0.000 claims description 8
- 230000008859 change Effects 0.000 claims description 2
- 230000000630 rising effect Effects 0.000 claims 11
- 230000005540 biological transmission Effects 0.000 claims 8
- 230000000977 initiatory effect Effects 0.000 claims 4
- 230000002596 correlated effect Effects 0.000 claims 2
- 230000006870 function Effects 0.000 description 25
- 238000004891 communication Methods 0.000 description 12
- 238000013500 data storage Methods 0.000 description 4
- 238000004458 analytical method Methods 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000013459 approach Methods 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000010295 mobile communication Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000002547 anomalous effect Effects 0.000 description 1
- 238000013475 authorization Methods 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000015572 biosynthetic process Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000035945 sensitivity Effects 0.000 description 1
- 238000003786 synthesis reaction Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
- H04L41/048—Network management architectures or arrangements comprising network management agents or mobile agents therefor mobile agents
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/16—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks using machine learning or artificial intelligence
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
一种装置,包括:功能体,配置用于针对安全性攻击而监视所述装置;以及报告器,配置用于向安全性节点发送数据,其中发送到所述安全性节点的数据取决于所述装置的安全性级别。
Description
技术领域
本发明涉及用于确定安全性攻击的装置和安全性节点。
背景技术
通信系统是支持两个或更多实体(诸如用户终端设备和/或网络实体)以及与通信系统相关联的其他节点之间的通信的设施。通信例如可以包括语音通信、电子邮件(email)、文本消息、数据、多媒体等。该通信可以由固定线路和/或无线通信接口提供。
无线通信系统的特征在于,它们为其用户提供移动性。提供无线通信的通信系统的示例是公共陆地移动网络(PLMN)。另一示例是无线局域网(WLAN)。固定线路系统的示例是公共交换电话网路(PSTN)。
用户设备,不论是经由有线连接连接到有线网路还是经由无线连接连接到接入点的无线设备,都日益成为计算机安全性相关攻击的目标。例如,病毒和蠕虫可以以用户设备为目标。其他潜在威胁是所谓的“后门程序”,特洛伊木马和入侵攻击。为了解决该问题,用户设备通常配备保护机制,诸如接入控制和授权系统。然而,这不可能总是保证用户设备的安全。之所以这样是因为客户不准备支付与使得用户设备完全安全相关联的费用或因为攻击性质的改变。实际上,因此很难使用户设备不遭受恶意软件或实际攻击者的影响。
参考M.Benattou和K.Tamine的论文,题目为“Intelligent Agentsfor Distributed Intrusion Detection System”,Transactions onEngineering,Computing and Technology,V6,2005年6月,第190-193页。该论文描述了基于专用本地代理和代理的群体概念的分布式入侵检测系统。专用本地代理用于划分监视任务。代理的群体是专用代理的组,其被创建用于收集和分析来自于预定网络节点的所有数据。专用本地代理能够执行预定的动作,并且使用移动代理环境来调查相同群体的其他网络节点。代理的群体合作并且协作以确认预定网络中的入侵。
就此,只要在至少一个网络节点中检测到可疑事物,就向网络节点发送查询代理。提供一种控制结构,以协调包括这些查询代理的系统并且分析和相互关联这些代理。这是基于预定义规则的反应方法。
还参考P.Inverardi等人的“Synthesis of Correct and DistributedAdaptors for Component-Systems:An Automatic Approach”,其讨论使用分布式入侵的检测系统过滤器。其是在架构级的用来检测入侵的基于规范的方法。其是分布式的,其中给出针对整个系统的全局性策略,则其自动生成针对查看感兴趣的本地信息的每个组件的监视过滤器。过滤器继而合适地进行通信,从而以全局策略的实施来对异常行为进行协作检测。
该文件提出了一种将全局规则集合解释为多个本地规则集合的系统,本地规则通过本地动作来维持全局完整性。为了达到该目的,需要指定所有动作(即,通信模式和参与其中的节点)。基于这些规范,全局自动机可以被译为本地自动机集合,本地自动机的组合等于全局自动机。这些定义非常难于定义和维持。它们的完整性和正确性都很难确保。
发明内容
本发明的一些实施方式的目的是解决上述问题。
根据本发明的一个方面,提供一种装置,包括:数据收集器,配置用于从多个设备接收数据;以及功能体,配置用于根据所述接收的数据确定安全性攻击。
根据本发明的第二方面,提供一种方法,包括:从多个设备接收数据;以及根据所述接收的数据确定安全性攻击。
根据另一方面,提供一种装置,包括:功能体,配置用于就安全性攻击而监视所述装置;以及报告器,配置用于向安全性节点发送数据,其中发送到所述安全性节点的数据取决于所述装置的安全性级别。
根据另一方面,提供一种装置,包括:数据收集器,配置用于从多个设备接收数据;相关器,配置用于相关所述接收的数据以过滤所述接收的数据;以及功能体,配置用于根据所述接收的数据来确定安全性攻击。
根据另一方面,提供一种方法,包括:收集安全性相关数据;向安全性节点发送至少一些所述安全性相关数据,发送的数据量取决于安全性级别。
根据另一方面,提供一种方法,包括:从多个设备接收数据;相关所述接收的数据以过滤所述接收的数据;以及根据所述接收的数据来确定安全性攻击。
根据另一方面,提供一种系统,包括:设备,包括配置用于就安全性攻击来监视所述设备的功能体,以及配置用于向安全性节点发送数据的报告器;以及安全性节点,配置用于从所述设备接收数据,所述安全性节点包括配置用于根据所述接收的数据来确定安全性攻击的功能体。
根据另一方面,提供一种计算机可读介质,包括:用于收集安全性相关数据的程序代码;以及用于向安全性节点发送至少一些所述安全性相关数据的程序代码,发送的数据量取决于安全性级别。
根据另一方面,提供一种计算机可读介质,包括:用于从多个设备接收数据的程序代码;用于相关所述接收的数据以过滤所述接收的数据的程序代码;以及用于根据所述接收的数据来确定安全性攻击的程序代码。
根据另一方面,提供一种装置,包括:数据收集单元,用于从多个设备接收数据;相关单元,用于相关所述接收的数据以过滤所述接收的数据;以及用于根据所述接收的数据来确定安全性攻击的单元。
根据另一方面,提供一种装置,包括:用于就安全性攻击来监视所述设备的单元;以及报告单元,用于向安全性节点发送数据,其中发送到所述安全性节点的数据取决于所述装置的安全性级别。
附图说明
为了更好地理解本发明以及本发明可以如何有效的执行,将通过示例的方式仅参考附图,附图中:
图1示意性地示出了可以实现本发明实施方式的网络环境;
图2示意性地示出了实现本发明的用户设备;以及
图3示意性地示出了实现本发明的安全性节点。
具体实施方式
首先参考图1,图1示意性地示出了可以实现本发明实施方式的网络环境。
网络包括用户设备2。在本发明的优选实施方式中,用户设备是无线的,即用户设备例如使用无线频率与接入点进行无线通信。用户设备可以采用任何合适的形式并且例如可以是便携式计算机、移动电话、个人数字助理、组织器等。
在本发明的备选实施方式中,用户设备可以是有线的,即其经由物理线路或导线连接至接入点。在该情况中,用户设备可以采用任何合适的形式并且例如可以是计算机、电话、个人数字助理、组织器等。
虽然在本发明的优选实施方式中,用户设备包括通信设备,但是应该理解,在本发明的备选实施方式中,用户设备例如可以是例如收集数据的节点等以及需要其向一个或多个节点传送数据。
用户设备2连接至网络4。网络可以是局域网,诸如无线局域网以及例如可以是公司的内部网络。可替换地,网络4例如可以是用户已经订制的移动网络。
安全性设备6连接至网络。在本发明的一些实施方式中,安全性设备6可以被认为是网络的一部分。应该理解,在本发明的一些实施方式中,安全性设备可以是分立节点,但在本发明的其他实施方式中,其功能可以与另一网元合并。
在图1示出的配置中,示出了单个安全性设备6。在本发明的备选实施方式中,可以提供不止一个安全性设备6。在提供不止一个安全性设备6的情况中,不同的设备可以配置用于直接或经由网络彼此通信。
本发明的实施方式配置用于提供一种用于在众多移动设备中执行入侵检测的方法。在本文档的上下文中,词语“入侵”用于覆盖任何类型的安全性相关攻击、未授权访问、任何类型的安全性事件或对安全性策略的违反。这可以不论“入侵”是否是故意的。如上所述,本发明的实施方式特别地应用于移动网络中的移动设备,但是还可以应用于组织内部网络中的设备。
在本发明的实施方式中,在用户设备上提供本地入侵检测功能体,并且另一方面,由安全性设备提供网络级入侵检测和警报相关,从而改进入侵检测的灵敏度和有效性。
现在参考图2,图2示意性地示出了实现本发明的用户设备的元素。在本发明的实施方式中,并不是所有由用户设备监视以及记录的安全性事件的细节都被传输到提供网络级安全性监视的安全性设备。这例如从而避免了对带宽和效率约束的不利影响。收集由用户设备获取的所有数据并且将其发送到安全性设备将是低效的,因为在很多环境中,数据量将消耗太多带宽,特别是当待监视的移动设备数量巨大的时候。然而,在其他环境中,可能不存在此类带宽和效率约束,因而,在此类环境中可以采用不同的策略。
用户设备包括入侵检测功能体10,其可以是基于规则的,以提供滥用检测,和/或可以是基于行为简档(behaviour profile-based)的,以提供异常检测。入侵检测功能体10配置用于确保用户设备的行为的关键特征和安全性状态受到监视。入侵检测功能体10配置用于维持安全性级别的测量。特别地,入侵检测功能体确定安全性级别功能体16的安全性级别。入侵检测功能体10因此基于设备的简档和/或本地监视用户设备的检测规则。
安全性级别功能体16配置用于存储合适的安全性级别。该安全性级别是自适应的并且由入侵检测功能体10控制,入侵检测功能体10自己能够对合适的安全性级别进行评估和/或从影响安全性级别的安全性设备接收输入。
用户设备具有本地事件日志库12,其具有对事件的完全细节级别记录功能。日志库12可以是环形文件(ring file),即在该文件中,在达到指定的最大文件大小时,利用新数据覆盖存在的最旧条目。可替换地,该库可以是缓冲器或任何其他合适的存储器设备。
提供报告器14。这具有来自于安全性级别功能体16的输入。安全性级别设置影响报告器14的行为。报告器14被配置用于在日志库12中选择至少一些数据并且将其转发至安全性设备6。由报告器14选择的日志数据的量和类型受安全性级别的影响。例如,如果安全性级别是“正常”,则没有日志数据或仅一些日志数据被发送到安全性设备。另一方面,如果安全性级别高于正常,则将本地库中的更多量的数据或所有数据发送到安全性设备。在可能是最高或另一安全性级别的一个安全性级别中,可以不发送数据。
应该理解,在本发明的一个实施方式中,可以仅存在两个不同的安全性级别。那些安全性级别可以是正常以及更高的安全性级别。然而,在本发明的备选实施方式中,可以存在不止两个的不同安全性级别。
安全性级别可以影响发回安全性设备的数据量和/或报告器向设备端发送的频率。因此,移动设备向安全性设备6发送细节的可变级别的安全性日志数据。在一个实施方式中,如果指示安全性设备为正常,那么可以以相对长的间隔中仅发送短的摘要报告。在更高的安全性级别中,增加细节的量和报告频率,直到将所有日志数据发送到安全性设备的点。
可以包括在安全性日志数据中的数据的示例可以包括以下一个或多个:
状态指示符,诸如:蓝牙状态-是否连接;电池条-“条”的数量指示电池中的电量;背光状态-开还是关,等等...
时间序列:接收的呼叫(h(小时数)、计数(接收的数据数量)):((0 0)(1 0)(2 0)(3 0)(4 0)(5 0)(6 0)(7 1)(8 4)(9 8)(10 3)(11 7)(12 2)(135)...(24 0)),进行的呼叫等
系统日志事件:07:45:21接收的呼叫(长度=3∶14);07:48:35电池耗尽;07:51:43启动;等
应用日志事件:07:52:06GPS(全球定位系统)模块启动(参数1=...参数2=...);
在本发明的一个实施方式中,将由用户设备检测到的本地安全性警报发送到安全性设备。在本发明的实施方式中,入侵检测功能体可以是检测潜在安全性事件以及将警报发送到安全性设备的实体。
在一个实施方式中,附加地或可替换地,安全性设备可能向用户设备发送针对数据的请求。那些请求通常由报告器14接收,该报告器14使用存储在本地事件日志库中的数据制定以及发送对该请求的响应。安全性设备将请求安全性相关的信息。
在一个实施方式中,可选地,记录级别的增加可以包括回溯(backtracking)性质。即,当安全性级别增大到更高的级别,增加的报告不仅应用于来自于实现更高级别的特定时间点的数据,还可以包括安全性级别增大点之前的数据。该数据可以发送到安全性设备。有优势地,这使得安全性设备能够分析潜在引起安全性级别增大的事件。
还可以针对给定的安全性级别发生回溯。在本发明的一些实施方式中,为了进行回溯,不必改变级别。
现在参考图3,图3示意性地示出了安全性设备的元件。该安全性设备包括日志数据收集器30、日志数据相关器32、入侵检测功能体34和日志数据存储装置36。该安全性设备配置用于提供作为整体的移动设备池的安全性的网络级视角。通过移动设备池,意味着用户设备在给定网络中或网络的一部分中操作。
日志数据收集器30配置用于收集从多个不同用户设备接收的日志数据。将该从用户设备接收的数据存储在日志数据存储装置36中。日志数据收集器30还配置用于记录发送到不同用户设备的数据请求。
日志数据相关器32相关由各种用户设备发送的安全性警报和/或安全性日志数据,以识别普通警报模式或引起警报的根。将相关结果用于过滤掉无关警报和/或提供作为对入侵检测功能体34的输入。
入侵检测功能体34监视去往以及来自不同用户设备的业务,来自不同用户设备的安全性警报以及相关功能的结果。因此,入侵检测功能体配置用于从用户设备接收安全性警报以及从日志数据相关器接收相关结果。关于警报指示的信息由入侵检测功能体输出到日志数据相关器,该日志数据相关器使用该信息制定将发送到用户设备的数据请求。则入侵检测功能体还接收来自于旧有(legacy)入侵检测系统和传感器的传感器数据/警报(如果存在的话)。最后,入侵检测功能体还从网络接收业务数据。
因此,可以存在从不同用户设备向安全性设备传递安全性相关数据的推送模式。还可以存在拉挽(pull)类型的信息收集,使得能够提供彻底的安全性分析。在拉挽操作模式中,假设安全性设备具有入侵检测功能体,该入侵检测功能体监视去往以及来自移动设备的业务以及从用户设备接收的的安全性报告和/或警报。基于监视的数据,如果入侵检测功能体在一些用户设备或一组用户设备中确定了可疑活动,则其可以发布安全性警报。基于这些警报,安全性设备可以向由安全性警报潜在影响的用户设备发布日志数据请求。如上所述,用户设备通过提供所请求细节级别的所请求日志数据来响应该请求。基于从用户设备接收的更详细的数据,安全性设备可以执行进一步分析并且发出高级警报或取消原始警报。
可以将警报指示发送到用户设备,该用户设备使用该信息设置安全性级别。可替换地,安全性设备可以配置用于向用户设备发送信息,该信息定义了用户设备操作的安全性级别。
本发明的实施方式具有以下优势,可以减少必须传送到安全性设备的安全性相关数据的量,但仍旧提供针对安全性事件提供全部详细数据分析的可能性。通过仅针对那些被看作具有奇怪行为或被认为处于被攻击的风险中的用户设备来执行全部详细数据传送,可以将分析集中于那些最可能涉及安全性事件的设备。还存在两个安全性级别监视-用户设备中的本地安全性监视以及由安全性设备执行的更高级别安全监视。
因此,本发明的实施方式将从用户设备到安全性设备的安全性数据收集集中于潜在特别感兴趣的数条数据。
在本发明的实施方式中,图2和图3中示出的功能体可以主要由软件实现、主要由硬件实现或由其组合实现。例如,在本发明的一个实施方式中,安全性级别功能体16、入侵检测功能体、报告器14和本地事件日志库的一部分由微处理器中的软件实现。本地事件日志库还可以包括上述类型的数据存储装置部分。
图3的日志数据收集器、日志数据相关器和入侵检测功能体也可以全部由软件来实现,其中日志数据存储装置由合适的存储器来实现。
因而,本发明的实施方式可以由计算机程序实现。
应该理解,本发明的实施方式可以根据任何合适的标准在网络中实现。例如,本发明的实施方式可以用在根据GSM(全球移动通信系统)、3GPP(第三代合作伙伴标准)、CDMA2000(码分多址)或相关的任何其他标准操作的移动通信网络的环境中。本发明的实施方式还可以在诸如902标准的WLAN标准或任何其他合适的标准的环境中操作。
尽管在特定实施方式的环境中进行了描述,但是本领域的技术人员应该理解,对于那些教导可以出现多个修改和各种改变。因此,虽然本发明已经相对于其一个或多个优选实施方式进行了特别地示出以及描述,但是本领域的技术人员将理解,在不脱离本发明的范围和精神的情况下,可以在其中做出形式和形状方面的一些修改或改变。
Claims (13)
1.一种用于确定安全性攻击的装置,包括:
功能体,配置用于针对安全性攻击而监视所述装置,并且配置用于在事件的完全细节记录功能中存储所收集的安全性相关数据;
报告器,配置用于选择并从所述事件的完全细节记录功能向网络安全性节点发送所收集的安全性相关数据中的至少一些,其中选择和发送到所述网络安全性节点的所收集的安全性相关数据的量取决于所述装置的安全性级别,其中所述报告器响应于从所述网络安全性节点接收的安全性警报而可操作在拉挽操作模式中,从而在请求网络安全性节点时,通过所述网络以所请求的细节级别来发送所收集的安全性相关数据;并且其中,响应于在特定时间点处接收到安全性级别从初始安全性级别的上升的通知,所述功能体进一步配置用于操作于回溯模式,从而针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络以上升的细节级别来发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
2.根据权利要求1所述的装置,其中所述安全性级别取决于从所述网络安全性节点接收的信息和所述功能体的输入中的至少一个。
3.根据前述权利要求中任意一项所述的装置,其中在存在较高安全性级别时,向所述网络安全性节点发送比存在较低安全性级别时更多的数据。
4.根据权利要求1所述的装置,其中所述功能体配置用于检测潜在的安全性攻击,并且响应于所述检测使得向所述网络安全性节点传输信息。
5.根据权利要求1所述的装置,其中所述功能体配置用于检测潜在的安全性攻击,并且响应于所述检测使得改变安全性级别。
6.根据前述权利要求中任意一项所述的装置,其中所述功能体是基于规则和基于行为简档中的至少一个。
7.一种用于确定安全性攻击的装置,包括:
数据收集器,配置用于从多个设备接收收集的安全性相关数据,所接收的收集的安全性相关数据的量取决于每个设备的安全性级别,并且存储在由所述多个设备中的每一个所存储的事件的一部分完全细节级别记录功能中;
相关器,配置用于相关所述接收的所收集的安全性相关数据以过滤所述接收的所收集的安全性相关数据;以及
功能体,配置用于根据所述接收的收集的安全性相关数据来确定安全性攻击,并且发送信息以配置所述多个设备的安全性级别;其中所述功能体进一步配置用于响应于发送到所述多个设备中的至少一个设备的安全性警报而将所述至少一个设备操作在拉挽操作模式中,从而在请求所述装置时,通过网络以所请求的细节级别来接收所收集的安全性相关数据;并且其中,所述功能体进一步配置用于,响应于在特定时间点处所述多个设备中选定的至少一个的安全性级别从初始安全性级别的已确定上升,使得所述多个设备中所选择的至少一个操作于回溯模式,从而使得所选择的至少一个设备针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络并且以上升的细节级别来向所述装置发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
8.根据权利要求7所述的装置,其中所述功能体配置用于监视去往和/或来自所述设备的业务。
9.根据权利要求7所述的装置,其中所述功能体配置用于向至少一个设备发送信息,所述信息定义用于所述设备的安全性级别。
10.一种用于确定安全性攻击的方法,包括:
收集安全性相关数据,其存储在事件的完全细节级别记录功能中;
存储所收集的安全性相关数据;
从事件的完全细节级别记录功能中选择至少一些所收集的安全性相关数据;以及
在网络中发送所收集的安全性相关数据中的至少一些到网络安全性节点,其中选择和通过所述网络发送的所收集的安全性相关数据的量取决于安全性级别,其中,在响应于从所述安全性节点接收到的安全性警报而发起的拉挽操作模式中,在请求所述安全性节点时执行对所收集的安全性相关数据中至少一些的发送;并且其中,响应于在特定时间点处接收到安全性级别从初始安全性级别的上升的通知,在回溯模式中,针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络以上升的细节级别来发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
11.一种用于确定安全性攻击的方法,包括:
从多个设备接收收集的安全性相关数据,接收的所收集的安全性相关数据的量取决于每个设备的安全性级别,并且存储在由所述多个设备中的每一个所存储的事件的一部分完全细节级别记录功能中;
将所述接收的所收集的安全性相关数据进行相关以过滤所述接收的所收集的安全性相关数据;
根据所述接收的所收集的安全性相关数据来确定安全性攻击;以及
发送信息以设置所述多个设备的安全性级别,其中,在响应于从安全性节点接收到的安全性警报而发起的拉挽操作模式中,在请求所述安全性节点时执行对所收集的安全性相关数据中至少一些的发送;并且其中,响应于在特定时间点处接收到安全性级别从初始安全性级别的上升的通知,在回溯模式中,针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络以上升的细节级别来发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
12.一种用于确定安全性攻击的设备,包括:
用于收集安全性相关数据的装置,其存储在事件的完全细节级别记录功能中;
用于存储所收集的安全性相关数据的装置;
用于从事件的完全细节级别记录功能中选择至少一些所收集的安全性相关数据的装置;以及
用于在网络中发送所收集的安全性相关数据中的至少一些到网络安全性节点的装置,其中选择和通过所述网络发送的所收集的安全性相关数据的量取决于安全性级别,其中,在响应于从所述安全性节点接收到的安全性警报而发起的拉挽操作模式中,在请求所述安全性节点时执行对所收集的安全性相关数据中至少一些的发送;并且其中,响应于在特定时间点处接收到安全性级别从初始安全性级别的上升的通知,在回溯模式中,针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络以上升的细节级别来发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
13.一种用于确定安全性攻击的设备,包括:
用于从多个设备接收收集的安全性相关数据的装置,接收的所收集的安全性相关数据的量取决于每个设备的安全性级别,并且存储在由所述多个设备中的每一个所存储的事件的一部分完全细节级别记录功能中;
用于将所述接收的所收集的安全性相关数据进行相关以过滤所述接收的所收集的安全性相关数据的装置;
用于根据所述接收的所收集的安全性相关数据来确定安全性攻击的装置;以及
用于发送信息以设置所述多个设备的安全性级别的装置,其中,在响应于从安全性节点接收到的安全性警报而发起的拉挽操作模式中,在请求所述安全性节点时执行对所收集的安全性相关数据中至少一些的发送;并且其中,响应于在特定时间点处接收到安全性级别从初始安全性级别的上升的通知,在回溯模式中,针对所述时间点处的后续时间以及所述时间点处之前的时间来通过所述网络以上升的细节级别来发送所收集的安全性相关数据,所述上升的细节级别相对于初始安全性级别的细节级别。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US11/584,052 | 2006-10-20 | ||
| US11/584,052 US8331904B2 (en) | 2006-10-20 | 2006-10-20 | Apparatus and a security node for use in determining security attacks |
| PCT/EP2007/060950 WO2008046807A1 (en) | 2006-10-20 | 2007-10-15 | Apparatus and a security node for use in determining security attacks |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101548506A CN101548506A (zh) | 2009-09-30 |
| CN101548506B true CN101548506B (zh) | 2013-01-16 |
Family
ID=38870239
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2007800445465A Active CN101548506B (zh) | 2006-10-20 | 2007-10-15 | 用于确定安全性攻击的装置和安全性节点 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US8331904B2 (zh) |
| EP (1) | EP2080317B1 (zh) |
| CN (1) | CN101548506B (zh) |
| WO (1) | WO2008046807A1 (zh) |
Families Citing this family (63)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7305700B2 (en) | 2002-01-08 | 2007-12-04 | Seven Networks, Inc. | Secure transport for mobile communication network |
| US7917468B2 (en) | 2005-08-01 | 2011-03-29 | Seven Networks, Inc. | Linking of personal information management data |
| US8468126B2 (en) | 2005-08-01 | 2013-06-18 | Seven Networks, Inc. | Publishing data in an information community |
| US8438633B1 (en) | 2005-04-21 | 2013-05-07 | Seven Networks, Inc. | Flexible real-time inbox access |
| WO2006136660A1 (en) | 2005-06-21 | 2006-12-28 | Seven Networks International Oy | Maintaining an ip connection in a mobile network |
| US11841770B2 (en) | 2005-09-30 | 2023-12-12 | Pure Storage, Inc. | Storage unit connection security in a storage network and methods for use therewith |
| US9027080B2 (en) * | 2008-03-31 | 2015-05-05 | Cleversafe, Inc. | Proxy access to a dispersed storage network |
| US7769395B2 (en) | 2006-06-20 | 2010-08-03 | Seven Networks, Inc. | Location-based operations and messaging |
| US8881283B2 (en) * | 2006-10-06 | 2014-11-04 | Juniper Networks, Inc. | System and method of malware sample collection on mobile networks |
| WO2008067335A2 (en) * | 2006-11-27 | 2008-06-05 | Smobile Systems, Inc. | Wireless intrusion prevention system and method |
| US8805425B2 (en) | 2007-06-01 | 2014-08-12 | Seven Networks, Inc. | Integrated messaging |
| DE102007046825A1 (de) * | 2007-09-26 | 2009-04-02 | Siemens Ag | Verfahren zum Betreiben eines Kommunikationssystems sowie Teilnehmergerät und Kommunikationssystem |
| US8364181B2 (en) | 2007-12-10 | 2013-01-29 | Seven Networks, Inc. | Electronic-mail filtering for mobile devices |
| US9002828B2 (en) | 2007-12-13 | 2015-04-07 | Seven Networks, Inc. | Predictive content delivery |
| US8862657B2 (en) | 2008-01-25 | 2014-10-14 | Seven Networks, Inc. | Policy based content service |
| US20090193338A1 (en) | 2008-01-28 | 2009-07-30 | Trevor Fiatal | Reducing network and battery consumption during content delivery and playback |
| US8787947B2 (en) | 2008-06-18 | 2014-07-22 | Seven Networks, Inc. | Application discovery on mobile devices |
| US8078158B2 (en) | 2008-06-26 | 2011-12-13 | Seven Networks, Inc. | Provisioning applications for a mobile device |
| US8095112B2 (en) * | 2008-08-21 | 2012-01-10 | Palo Alto Research Center Incorporated | Adjusting security level of mobile device based on presence or absence of other mobile devices nearby |
| US8909759B2 (en) | 2008-10-10 | 2014-12-09 | Seven Networks, Inc. | Bandwidth measurement |
| US8087067B2 (en) * | 2008-10-21 | 2011-12-27 | Lookout, Inc. | Secure mobile platform system |
| US9781148B2 (en) | 2008-10-21 | 2017-10-03 | Lookout, Inc. | Methods and systems for sharing risk responses between collections of mobile communications devices |
| US8806620B2 (en) | 2009-12-26 | 2014-08-12 | Intel Corporation | Method and device for managing security events |
| US8516576B2 (en) * | 2010-01-13 | 2013-08-20 | Microsoft Corporation | Network intrusion detection with distributed correlation |
| US9202049B1 (en) | 2010-06-21 | 2015-12-01 | Pulse Secure, Llc | Detecting malware on mobile devices |
| US9043433B2 (en) | 2010-07-26 | 2015-05-26 | Seven Networks, Inc. | Mobile network traffic coordination across multiple applications |
| US8838783B2 (en) | 2010-07-26 | 2014-09-16 | Seven Networks, Inc. | Distributed caching for resource and mobile network traffic management |
| US8417823B2 (en) | 2010-11-22 | 2013-04-09 | Seven Network, Inc. | Aligning data transfer to optimize connections established for transmission over a wireless network |
| US8484314B2 (en) | 2010-11-01 | 2013-07-09 | Seven Networks, Inc. | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| US8843153B2 (en) | 2010-11-01 | 2014-09-23 | Seven Networks, Inc. | Mobile traffic categorization and policy for network use optimization while preserving user experience |
| WO2012060995A2 (en) | 2010-11-01 | 2012-05-10 | Michael Luna | Distributed caching in a wireless network of content delivered for a mobile application over a long-held request |
| WO2012071384A2 (en) | 2010-11-22 | 2012-05-31 | Michael Luna | Optimization of resource polling intervals to satisfy mobile device requests |
| CN102571475B (zh) * | 2010-12-27 | 2016-03-09 | 中国银联股份有限公司 | 基于数据分析的安全性信息交互监测系统及方法 |
| EP2661697B1 (en) | 2011-01-07 | 2018-11-21 | Seven Networks, LLC | System and method for reduction of mobile network traffic used for domain name system (dns) queries |
| GB2505103B (en) | 2011-04-19 | 2014-10-22 | Seven Networks Inc | Social caching for device resource sharing and management cross-reference to related applications |
| WO2012149434A2 (en) | 2011-04-27 | 2012-11-01 | Seven Networks, Inc. | Detecting and preserving state for satisfying application requests in a distributed proxy and cache system |
| GB2496537B (en) | 2011-04-27 | 2014-10-15 | Seven Networks Inc | System and method for making requests on behalf of a mobile device based on atmoic processes for mobile network traffic relief |
| US9239800B2 (en) | 2011-07-27 | 2016-01-19 | Seven Networks, Llc | Automatic generation and distribution of policy information regarding malicious mobile traffic in a wireless network |
| EP2789138B1 (en) | 2011-12-06 | 2016-09-14 | Seven Networks, LLC | A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation |
| US8934414B2 (en) | 2011-12-06 | 2015-01-13 | Seven Networks, Inc. | Cellular or WiFi mobile traffic optimization based on public or private network destination |
| US9208123B2 (en) | 2011-12-07 | 2015-12-08 | Seven Networks, Llc | Mobile device having content caching mechanisms integrated with a network operator for traffic alleviation in a wireless network and methods therefor |
| US9277443B2 (en) | 2011-12-07 | 2016-03-01 | Seven Networks, Llc | Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol |
| EP2792188B1 (en) | 2011-12-14 | 2019-03-20 | Seven Networks, LLC | Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system |
| GB2499306B (en) | 2012-01-05 | 2014-10-22 | Seven Networks Inc | Managing user interaction with an application on a mobile device |
| US9203864B2 (en) | 2012-02-02 | 2015-12-01 | Seven Networks, Llc | Dynamic categorization of applications for network access in a mobile network |
| US9326189B2 (en) | 2012-02-03 | 2016-04-26 | Seven Networks, Llc | User as an end point for profiling and optimizing the delivery of content and data in a wireless network |
| US8812695B2 (en) | 2012-04-09 | 2014-08-19 | Seven Networks, Inc. | Method and system for management of a virtual network connection without heartbeat messages |
| WO2013155208A1 (en) | 2012-04-10 | 2013-10-17 | Seven Networks, Inc. | Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network |
| US8775631B2 (en) | 2012-07-13 | 2014-07-08 | Seven Networks, Inc. | Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications |
| US20140059113A1 (en) * | 2012-08-21 | 2014-02-27 | Christopher R. Adams | Dynamically Reconfigurable Event Monitor and Method for Reconfiguring an Event Monitor |
| US9161258B2 (en) | 2012-10-24 | 2015-10-13 | Seven Networks, Llc | Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion |
| CN104885427B (zh) * | 2012-12-06 | 2018-03-30 | 波音公司 | 用于威胁检测的情景感知型网络安全监控 |
| US20140177497A1 (en) | 2012-12-20 | 2014-06-26 | Seven Networks, Inc. | Management of mobile device radio state promotion and demotion |
| US9271238B2 (en) | 2013-01-23 | 2016-02-23 | Seven Networks, Llc | Application or context aware fast dormancy |
| US8793207B1 (en) * | 2013-01-24 | 2014-07-29 | Kaspersky Lab Zao | System and method for adaptive control of user actions based on user's behavior |
| US8874761B2 (en) | 2013-01-25 | 2014-10-28 | Seven Networks, Inc. | Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols |
| US8750123B1 (en) | 2013-03-11 | 2014-06-10 | Seven Networks, Inc. | Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network |
| KR102071530B1 (ko) * | 2013-07-12 | 2020-01-30 | 삼성전자주식회사 | 디나이얼 발생시 대응 메뉴얼을 제안하는 전자 장치 및 방법 |
| US9065765B2 (en) | 2013-07-22 | 2015-06-23 | Seven Networks, Inc. | Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network |
| US9749902B2 (en) | 2014-08-19 | 2017-08-29 | Qualcomm Incorporated | Admission control and load balancing |
| US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
| JP6468029B2 (ja) * | 2015-03-30 | 2019-02-13 | 富士通株式会社 | 危険性判定方法、装置、システム及びプログラム |
| US20210109763A1 (en) * | 2019-10-11 | 2021-04-15 | Honeywell International Inc. | Methods, apparatuses and systems for deploying connected devices for control systems |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838671A (zh) * | 2005-03-22 | 2006-09-27 | 国际商业机器公司 | 用于操作数据处理系统的方法和用于处理无线通信的设备 |
Family Cites Families (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6408391B1 (en) * | 1998-05-06 | 2002-06-18 | Prc Inc. | Dynamic system defense for information warfare |
| US6530024B1 (en) * | 1998-11-20 | 2003-03-04 | Centrax Corporation | Adaptive feedback security system and method |
| US7715819B2 (en) * | 2001-08-03 | 2010-05-11 | The Boeing Company | Airborne security manager |
| US20030188190A1 (en) * | 2002-03-26 | 2003-10-02 | Aaron Jeffrey A. | System and method of intrusion detection employing broad-scope monitoring |
| EP1535164B1 (en) * | 2002-08-26 | 2012-01-04 | International Business Machines Corporation | Determining threat level associated with network activity |
| KR100456635B1 (ko) * | 2002-11-14 | 2004-11-10 | 한국전자통신연구원 | 분산 서비스 거부 공격 대응 시스템 및 방법 |
| US20040205419A1 (en) * | 2003-04-10 | 2004-10-14 | Trend Micro Incorporated | Multilevel virus outbreak alert based on collaborative behavior |
| US7712133B2 (en) * | 2003-06-20 | 2010-05-04 | Hewlett-Packard Development Company, L.P. | Integrated intrusion detection system and method |
| US20060174345A1 (en) * | 2004-11-30 | 2006-08-03 | Sensory Networks, Inc. | Apparatus and method for acceleration of malware security applications through pre-filtering |
| GB2424141B (en) | 2005-03-08 | 2009-04-22 | Praesidium Technologies Ltd | Communication system with distributed risk management |
-
2006
- 2006-10-20 US US11/584,052 patent/US8331904B2/en active Active
-
2007
- 2007-10-15 EP EP07821317.0A patent/EP2080317B1/en active Active
- 2007-10-15 WO PCT/EP2007/060950 patent/WO2008046807A1/en active Application Filing
- 2007-10-15 CN CN2007800445465A patent/CN101548506B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1838671A (zh) * | 2005-03-22 | 2006-09-27 | 国际商业机器公司 | 用于操作数据处理系统的方法和用于处理无线通信的设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| US8331904B2 (en) | 2012-12-11 |
| WO2008046807A1 (en) | 2008-04-24 |
| EP2080317A1 (en) | 2009-07-22 |
| CN101548506A (zh) | 2009-09-30 |
| US20080096526A1 (en) | 2008-04-24 |
| EP2080317B1 (en) | 2018-11-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101548506B (zh) | 用于确定安全性攻击的装置和安全性节点 | |
| US11595792B2 (en) | System and method for triggering on platform usage | |
| US11379275B2 (en) | System and method for tagging and tracking events of an application | |
| CN101257678A (zh) | 一种实现移动终端软件安全检测的方法、终端及系统 | |
| US20200389496A1 (en) | Automated identification of security issues | |
| US7367055B2 (en) | Communication systems automated security detection based on protocol cause codes | |
| CN115878932A (zh) | 一种网站安全事件的处理方法、装置、设备及介质 | |
| KR20200054495A (ko) | 보안관제 서비스 방법 및 그를 위한 장치 | |
| RU2834591C1 (ru) | Система контроля безопасности сети передачи данных | |
| JP2006295232A (ja) | セキュリティ監視装置、セキュリティ監視方法、及びプログラム | |
| CN118094532B (zh) | 一种处理存储硬件智能防护方法 | |
| CN119675972A (zh) | 私建互联网出口的检测方法、相关装置及计算机存储介质 | |
| CN116996275A (zh) | 网络安全事件处理方法、设备、装置及可读存储介质 | |
| CN119182613A (zh) | 一种用于云平台实时入侵检测的方法、装置、设备和介质 | |
| CN117155696A (zh) | 网络连接威胁检测方法、装置、设备及存储介质 | |
| Di Mauro et al. | An architecture for threats detection in mobile operators networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| C41 | Transfer of patent application or patent right or utility model | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20160112 Address after: Espoo, Finland Patentee after: Technology Co., Ltd. of Nokia Address before: Espoo, Finland Patentee before: Nokia Oyj |