DE60130902T2 - Verfahren zum Erkennen des Eindringens in ein Datenbanksystem - Google Patents

Verfahren zum Erkennen des Eindringens in ein Datenbanksystem Download PDF

Info

Publication number
DE60130902T2
DE60130902T2 DE60130902T DE60130902T DE60130902T2 DE 60130902 T2 DE60130902 T2 DE 60130902T2 DE 60130902 T DE60130902 T DE 60130902T DE 60130902 T DE60130902 T DE 60130902T DE 60130902 T2 DE60130902 T2 DE 60130902T2
Authority
DE
Germany
Prior art keywords
user
access
query
database
intrusion
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
DE60130902T
Other languages
English (en)
Other versions
DE60130902D1 (de
Inventor
Ulf Stamford Mattsson
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Protegrity Res & Dev
Protegrity Research & Development
Original Assignee
Protegrity Res & Dev
Protegrity Research & Development
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Family has litigation
First worldwide family litigation filed litigation Critical https://patents.darts-ip.com/?family=8179327&utm_source=google_patent&utm_medium=platform_link&utm_campaign=public_patent_search&patent=DE60130902(T2) "Global patent litigation dataset” by Darts-ip is licensed under a Creative Commons Attribution 4.0 International License.
Application filed by Protegrity Res & Dev, Protegrity Research & Development filed Critical Protegrity Res & Dev
Application granted granted Critical
Publication of DE60130902D1 publication Critical patent/DE60130902D1/de
Publication of DE60130902T2 publication Critical patent/DE60130902T2/de
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/552Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6227Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database where protection concerns the structure of data, e.g. records, types, queries
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2101Auditing as a secondary aspect
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2135Metering
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2137Time limited access, e.g. to a computer or data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Description

  • Technisches Gebiet
  • Die vorliegende Erfindung betrifft ein Verfahren zum Erkennen des Eindringens in eine von einem Zugriffskontrollsystem verwaltete Datenbank.
  • Technischer Hintergrund
  • Im Zusammenhang mit der Sicherheit von Datenbanken besteht ein wohlbekanntes Problem darin, Angriffe von Personen zu verhindern, welche sich zu einem gültigen Anmeldename (User-ID) und Passwort Zugang verschafft haben. Solchen Personen kann der Zugang mittels des üblichen Zugriffskontrollsystems nicht verwehrt werden, weil sie tatsächlich in gewissem Umfang zugangsberechtigt sind. Diese Personen können versucht sein, sich unter Umgehung der Sicherheit Zugang zu unzulässigen Datenmengen zu verschaffen. Es wurden bereits verschiedene Lösungen für dieses Problem vorgeschlagen:
  • Netzwerkbasierende Erkennung
  • Ein Netzwerk-Intrusion-Monitor ist mit einem Packet-Filtering-Router oder Packet-Sniffer verbunden, um verdächtiges Verhalten beim Auftreten in einem Netzwerk zu erkennen. Er sucht nach Anzeichen, dass ein Netzwerk für einen Angriff mit einem Port-Scanner ausgeforscht wird, dass Nutzer Opfer von bekannten Fallen, wie .url- oder .lnk-Datei en, werden, oder dass das Netzwerk gerade angegriffen wird, z. B. durch SYN-Flooding oder durch unberechtigte Versuche, sich einen Root-Zugang zu verschaffen (neben anderen Arten von Angriffen). Auf der Basis der Anwenderspezifikationen kann ein solcher Monitor die Sitzung aufzeichnen und den Administrator alarmieren oder – in einigen Fällen – die Verbindung zurücksetzen (Reset). Einige Beispiele solcher Tools umfassen den "NetRanger" von Cisco und den "RealSecure" von ISS sowie mehrere frei zugängliche Produkte, wie "Klaxon", welche auf ein engeres Spektrum von Angriffen fokussiert sind.
  • Serverbasierende Erkennung
  • Derartige Tools analysieren beim Auftreten von Angriffen Protokolldateien (Logdateien), Konfigurationsdateien und Datenbestände von einzelnen Servern, was üblicherweise durch Platzieren eines Programms nach Art eines Agentprogramms auf dem Server geschieht, wobei das Agentprogramm an die Zentralkonsole berichtet. Einige Beispiele solcher Tools umfassen den "OmniGuard Intrusion Detection (ITA)" von Axent, den "Kane Security Monitor" von Security Dynamic und den "eNTrax" von Centrax sowie mehrere frei zugängliche Tools, welche ein deutlich engeres Funktionsspektrum abdecken, wie beispielsweise "Tripwire", der die Datensicherheit überprüft.
  • "Tripwire" ermittelt jegliche Veränderungen an dem Betriebssystem oder an den Benutzerdaten und übermittelt Warnmeldungen an das "RealSecure"-Produkt von ISS. "Real-Secure" führt dann einen anderen Satz von Sicherheitsprüfungen durch, um ein jegliches Eindringen zu überwachen und zu bekämpfen.
  • Sicherheitsabfrage- und Reporting-Tools
  • Diese Tools fragen NOS-Protokolle (NOS-Logs) und andere verwandte Protokolle (Logs) in Bezug auf sicherheitsrelevante Ereignisse ab oder sie machen Protokolle (Logs) für Daten zum Sicherheitsverlauf (Security-Trend-Daten) ausfindig. Folglich arbeiten sie nicht in Echtzeit und verlassen sich auf Nutzer, welche die korrekten Fragen der korrekten Systeme stellen. Eine typische Abfrage kann sein, wie viele fehlgeschlagene Versuche einer Authentifikation auf solchen NT-Servern innerhalb der vergangenen zwei Wochen stattgefunden haben. Einige von ihnen (z. B. "SecurIT") führen Firewall-Protokollanalysen (Firewall-Loganalysen) durch. Einige Beispiels solcher Tools umfassen "EMS/NOS-admin" und "Enterprise Console" von Bindview, "SecureVIEW" von SecureIT und "Kane Security Analyst" von Security Dynamic.
  • Interferenzerkennung
  • Eine Variation der herkömmlichen Eindringerkennung stellt die Ermittlung von spezifischen Mustern des Zugriffs auf Informationen dar, welche für einen Eindringvorgang als signifikant erachtet werden, auch wenn der Nutzer zum Zugriff auf die Informationen berechtigt ist. Ein Verfahren einer solchen Interferenzerkennung, d. h. einer musterorientierten Eindringerkennung, ist in der US 5 278 901 A von Shieh et al. beschrieben. Ein weiteres Verfahren einer profilorientierten Eindringerkennung ist in dem Artikel "An Intrusion-Detection Model" von D. E. Denning beschrieben.
  • Indes ist keine dieser Lösungen vollauf zufriedenstellend. Der grundlegende Nachteil besteht darin, dass sich alle Lösungen auf bereits erfolgten Abfragen konzentrieren, so dass sie allenfalls Informationen dahingehend liefern, dass ein Angriff stattgefunden hat.
  • Zusammenfassung der Erfindung
  • Ein Ziel der vorliegenden Erfindung besteht darin, ein Verfahren und ein System zur Eindringerkennung vorzuschlagen.
  • Erfindungsgemäß werden dieses und weitere Ziele mittels eines Verfahrens gemäß dem Anspruch 1 erreicht.
  • Gemäß diesem Verfahren wird das Ergebnis einer Abfrage ausgewertet, bevor es an den Nutzer übermittelt wird. Dies ermöglicht die Verhinderung eines Eindringens in Echtzeit, bei welcher der Angriff noch bevor er abgeschlossen worden ist unterbunden wird. Dies ist dadurch möglich, indem der Eindringerkennungsprozess direkt mit dem Zugriffskontrollsystem zu kommunizieren vermag und die Zugriffsberechtigung des Nutzers als Ergebnis eines ermittelten Eindringens dynamisch verändern kann.
  • Die Element-Zugriffsraten können auf der Basis der Anzahl an Zeilen definiert werden, auf welche ein Nutzer aus einem Element, z. B. einer Spalte in einer Datenbanktabelle, zu einem Zeitpunkt oder über einen gewissen Zeitraum hinweg zugreifen kann.
  • Gemäß einer bevorzugten Ausführungsform umfasst das Verfahren ferner die Schritte des Speicherns von Ergebnissen durchgeführten Abfragen in einem Datensatz; sowie des Ermittelns, ob die gespeicherten Ergebnisse eine der Element-Zugriffsraten überschreiten. Die Wirkung besteht darin, dass nicht nur eine einzelne Abfrage, welche die zugelassene Grenze überschreitet, verhindert werden kann, sondern auch eine Anzahl an kleineren Abfragen, welche allein jeweils erlaubt, in ihrer Gesamtheit jedoch nicht erlaubt sind.
  • Es sei darauf hingewiesen, dass die akzeptierten Element-Zugriffsraten nicht notwendigerweise auf nur einen Nutzer beschränkt sein müssen. Vielmehr ist es selbstverständlich möglich, dass eine Element-Zugriffsrate einer Gruppe von Nutzern zugeordnet wird, wie beispielsweise solchen Nutzern, welche zu demselben Benutzerkreis (der das Sicherheitsniveau der Nutzer festlegt) gehören oder mit demselben Server verbunden sind. Das Ergebnis besteht darin, dass die Abfragen beschränkt werden, welche von einer Gruppe von Nutzern zu einem Zeitpunkt oder über einen Zeitraum hinweg akzeptiert werden.
  • Bei den Nutzer-, Benutzerkreis- und Server-Einheiten sind weitere Einheiten nicht ausgeschlossen, welche gegebenenfalls von Sicherheitsstrategien profitieren können.
  • Gemäß einer Ausführungsform der Erfindung werden Element-Zugriffsraten unterworfene Elemente in der Datenbank gekennzeichnet, so dass jede Abfrage, welche diese Elemente betrifft, automatisch die Eindringerkennung zu aktivieren vermag. Dies ist insbesondere dann von Vorteil, wenn nur wenige Elemente gegenüber einem Eindringen empfindlich sind, wobei in diesem Fall die meisten Abfragen nicht auf solche Elemente ausgerichtet sind. Die selektive Aktivierung der Eindringerkennung spart dann sowohl Zeit als auch Prozessorleistung.
  • Gemäß einer weiteren Ausführungsform der Erfindung weist die Eindringerkennungsstrategie ferner wenigstens ein Interferenzmuster auf und werden Ergebnisse durchgeführter Abfragen in einem Datensatz gespeichert, welcher mit dem Interferenzmuster verglichen wird, um zu ermitteln, ob eine Kombination von Zugriffen in dem Datensatz mit der Interferenzstrategie übereinstimmt, wobei das Zugriffskontrollsystem in diesem Fall benachrichtigt wird, dass es die Zugriffsberechtigung des Nutzers verändern soll, wodurch die empfangene Abfrage zu einer unberechtigten Abfrage wird, bevor das Ergebnis an den Nutzer übermittelt wird.
  • Die genannte Ausführungsform gewährleistet eine zweite Art der Eindringerkennung auf der Basis von Interferenzmustern, was wiederum zur Verhinderung eines Eindringens in Echtzeit führt.
  • Kurze Beschreibung der Zeichnungen
  • Diese und weitere Aspekte der Erfindung ergeben sich noch deutlicher aus nachfolgend unter Bezugnahme auf die beigefügten Zeichnungen beschriebenen bevorzugten Ausführungsformen der Erfindung. Dabei zeigen:
  • 1 eine Datenbankumgebung, in welcher eine Ausführungsform der vorliegenden Erfindung implementiert ist; und
  • 2 ein schematisches Fließbild einer Ausführungsform des erfindungsgemäßen Verfahrens.
  • Detaillierte Beschreibung von gegenwärtig bevorzugten Ausführungsformen
  • Die vorliegende Erfindung kann in einer Umgebung eines Typs implementiert sein, wie er in 1 dargestellt ist. Die Umgebung umfasst eine Anzahl an Clients 1, welche mit einem Server 2, z. B. einem Secure.DataTM-Server von Protegrity, verbunden sind und den Zugriff auf eine Datenbank 3 mit verschlüsselten Daten 4 gewährleisten. Einige Clients 1 können mit einem zwischengeschalteten Server 5 (einem Proxy-Server) verbunden sein, wobei in diesem Fall eine sogenannte dreischichtige Architektur (3-Tier-Architektur) vorliegt.
  • Die Clients 1 werden von Nutzern 6 benutzt, um auf Informationen 4 in der Datenbank 3 zuzugreifen. Um Zugriffsversuche zu überprüfen und zuzulassen, ist ein Zugriffskontrollsystem (Access Control System, ACS) 7 vorgesehen, beispielsweise Secure.ServerTM von Protegrity.
  • Der Server 2 ist mit einem Eindringerkennungsmodul 10 verbunden, welches Softwarekomponenten 12, 13, 18 zur Durchführung eines Verfahrens gemäß der vorliegenden Erfindung aufweist.
  • Wenngleich das Eindringerkennungsmodul 10 im vorliegenden Fall als ein separates Softwaremodul beschrieben ist, können seine Komponenten auch in der Server-Software 2 enthalten sein, z. B. in einem Sicherheitsadministrationssystem (Security Administration System, SAS) 8, wie Secure.ManagerTM von Protegrity. Es kann sich in der Server-Hardware 16 oder ein einer separaten Hardware-Einheit befinden.
  • Eine erste Komponente 12 des Eindringerkennungsmoduls 10 macht es möglich, einige oder sämtliche Datenelemente (z. B. Spalten in Tabellen) in der Datenbank zu kennzeichnen, wodurch angezeigt wird, dass diese Elemente während des nachstehend beschriebenen Eindringerkennungsprozesses überwacht werden sollen.
  • Eine zweite Komponente 13 des Eindringerkennungsmoduls 10 ist zur Speicherung sämtlicher Ergebnisse von Ab fragen einschließlich gekennzeichneter Elemente ausgebildet, wodurch ein Datensatz 14 mit gespeicherten Zugriffen auf gekennzeichnete Elemente erzeugt wird. Sofern vorteilhaft, kann der Datensatz in einer separaten Protokolldatei (Logdatei) 15 zur Langzeitspeicherung gespeichert werden, so dass die Daten über einen längeren Zeitraum hinweg gesammelt werden.
  • Der Server 2 besitzt darüber hinaus Zugang zu einer Mehrzahl an Sicherheitsstrategien 20, vorzugsweise einer für jeden Nutzer, einer für jede festgelegte Sicherheitsfunktion oder dergleichen. Diese Sicherheitsstrategien können in dem Sicherheitsadministrationssystem 8 gespeichert sein, wobei sie jedoch auch außerhalb des Servers 2 gespeichert sein können. Jede Strategie 20 umfasst eine oder mehrere Element-Zugriffsraten 21 sowie gegebenenfalls ein Interferenzmuster 22.
  • Eine Element-Zugriffsrate 21 legt die maximale Anzahl an Zeilen des ausgewählten Elementes (z. B. der Spalte einer Tabelle) fest, auf welche ein vorgegebener Nutzer, Benutzerkreis oder Server während eines vorgegebenen Zeitraums zugreifen kann. Der Zeitraum kann als eine einzelne Abfrage definiert werden, aber auch eine Gruppe von Abfragen während eines Zeitraums darstellen. Vorzugsweise wird eine separate Element-Zugriffsrate für zumindest jedes solches Element definiert, welches in der Datenbank 3 von der Komponente 12 des Eindringerkennungsmoduls 10 gekennzeichnet worden ist.
  • Ein Interferenzmuster 22 legt eine Mehrzahl an Elementen (Spalten von bestimmten Tabellen) fest, welche nicht autorisierte Informationen preisgeben können, wenn auf sie in Kombination zugegriffen wird. Dies bedeutet, dass ein Versuch eines Nutzers, eines Benutzerkreises oder eines Servers, sich während eines vorgegebenen Zeitraums (z. B. während einer Abfrage) Zugriff auf bestimmte Mengen an Informationen aus Elementen in einem Interferenzmuster zu verschaffen, zur Folge hat, dass ein Eindringvorgang stattfindet, auch wenn die zugehörige Element-Zugriffsrate nicht überschritten worden ist. Hinsichtlich weiterer Informationen in Bezug auf die Eindringerkennung mittels des Interferenzmodells sei auf die US 5 278 901 A verwiesen.
  • Was das Eindringerkennungsmodul 10 betrifft, so ist eine dritte Komponente 18 zum Vergleichen des Ergebnisses einer Abfrage mit der Element-Zugriffsrate 21 sowie mit einem Interferenzmuster 22 ausgebildet. Darüber hinaus kann die Komponente 18 die Zugriffsraten 21 und die Interferenzmuster 22 mit gespeicherten Ergebnissen vergleichen, welche in den Datensätzen 14 oder Protokolldateien (Logdateien) 15 gespeichert sind.
  • Versucht ein Nutzer auf die Datenbank zuzugreifen, so führt das Zugriffskontrollsystem 7 eine Berechtigungsprüfung des Nutzers aus. Dabei können verschiedene Routinen verwendet werden einschließlich automatischer Autorisierung durch Ermittlung der IP-Adresse oder Standard-Anmelderoutinen (Login-Prozeduren). Gemäß einer Ausführungsform besitzt der autorisierte Nutzer nur Zugang zu in seinem Benutzerkreis definierten Elementen, d. h. zu Tabellenspalten, welche für den Nutzer freigegeben worden sind und welche der Nutzer bei seiner Arbeit verwendet. Das Zugriffskontrollsystem 7 überwacht dann fortwährend die Aktivität des Nutzers und verhindert, dass der Nutzer auf Spalten zugreift, welche für ihn nicht freigegeben worden sind. Dieser Prozess ist in der WO 97/49211 A1 detailliert erläutert, wel che hiermit zum Gegenstand der vorliegenden Offenbarung gemacht wird.
  • Die Eindringerkennung gemäß der beschriebenen Ausführungsform der Erfindung ist auf Situationen gerichtet, in welchen ein Nutzer, der zum Zugriff auf bestimmte Elemente berechtigt ist, sich über diese Berechtigung hinwegsetzt und versucht an Informationen zu gelangen, welche die Sicherheitsstrategie des Eigentümers der Datenbank belangen. Die Eindringerkennung ist in zwei verschiedene Stadien unterteilt, in ein Echtzeit-Stadium und in ein Analysestadium posteriori.
  • Echtzeit:
  • Wie aus 2 ersichtlich, empfängt der Server in einem Schritt S1 eine Abfrage, was zur Erzeugung eines Ergebnisses in einem Schritt S2 führt, d. h. zu einer Anzahl an ausgewählten Zeilen aus einer oder mehreren Tabellenspalten. Die Softwarekomponente 12 ermittelt (Schritt S3), ob beliebige Elemente in dem Ergebnis zur Überwachung in der Datenbank gekennzeichnet worden sind. Ist in dem Ergebnis kein gekennzeichnetes Element enthalten, so wird das Ergebnis in standardisierter Weise an den Nutzer kommuniziert (Schritt S4). Sind in dem Ergebnis jedoch gekennzeichnete Elemente enthalten, so speichert die Eindringerkennungskomponente 13 das Abfrageergebnis oder zumindest diejenigen Teile, welche sich auf die gekennzeichneten Elemente beziehen, in einem Datensatz 14 und die Programmsteuerung aktiviert die Eindringerkennung (Schritte S6 bis S10).
  • In einem Schritt S6 vergleicht die Eindringerkennungskomponente 18 zunächst das gegenwärtige Abfrageergebnis und den aktualisierten Datensatz 14 mit der in der Si cherheitsstrategie enthaltenen Element-Zugriffsrate 21, welche dem gegenwärtigen Nutzer, dem Benutzerkreis, dem der Nutzer angehört, oder dem Server, mit dem der Nutzer verbunden ist, zugeordnet ist. Es sei betont, dass nur Element-Zugriffsraten 21 verglichen werden müssen, welche zu gekennzeichneten Elementen gehören, die in dem gegenwärtigen Ergebnis enthalten sind.
  • Enthält das gegenwärtige Abfrageergebnis oder der gespeicherte Datensatz 14 eine Anzahl an Zeilen, welche eine bestimmte Element-Zugriffsrate 21 überschreiten, so wird eine solche Abfrage als ein Eindringen klassifiziert (Schritt S7) und wird das Zugriffskontrollsystem 8 alarmiert (Schritt S10).
  • Des Weiteren vergleicht der Eindringerkennungsprozess in einem Schritt S8 – sofern keine Element-Zugriffsrate überschritten worden ist – das Abfrageergebnis und den gespeicherten Datensatz 14 mit jeglichen Interferenzmustern, welche in der relevanten Sicherheitsstrategie enthalten sind. Enthält das Ergebnis eine Kombination von Elementen, welche mit dem festgelegten Interferenzmuster übereinstimmen, so wird eine solche Abfrage ebenfalls als ein Eindringen klassifiziert (Schritt S9) und wird das Zugriffskontrollsystem alarmiert (Schritt S10).
  • Wird weder im Schritt S7 noch im Schritt S9 ein Eindringen festgestellt, so fährt die Programmsteuerung mit dem Schritt S4 fort und kommuniziert das Ergebnis an den Nutzer.
  • Auf eine Alarmierung des Zugriffskontrollsystems hin (Schritt 10) wird das Zugriffskontrollsystem 7 dazu gebracht, die Zugriffsberechtigung des Nutzers unverzüglich zu verändern, wodurch die vorgebrachte Abfrage zu einer unberechtigten Abfrage gemacht wird. Dies kann auf einfache Weise bewirkt werden, wenn beispielsweise das Zugriffskontrollsystem 7 als Teil des Secure.DataTM-Servers von Protegrity ausgebildet ist.
  • Für den Nutzer erscheint die Abfrage oder zumindest ein Teil der Abfrage, der auf Elemente gerichtet ist, für welche die Element-Zugriffsrate überschritten worden ist, folglich als unbefugt, auch wenn die Zugangsberechtigung ursprünglich durch das Zugriffskontrollsystem 7 vergeben worden ist.
  • Zusätzlich zu der sofortigen und dynamischen Veränderung des Zugriffskontrollsystems 7 können in Abhängigkeit von der Ernsthaftigkeit des Eindringvorgangs weitere Maßnahmen ergriffen werden, wie das Aussenden einer Warnmeldung, z. B. an den Administrator, oder das Abschalten bzw. Herunterfahren der gesamten Datenbank. Die Server-Software 11 kann eine Warnmeldung an einen wartenden Prozess übermitteln, dass eine potentielle Sicherheitslücke vorhanden ist.
  • Langzeitanalyse:
  • Wie weiter oben erwähnt, können die Abfrageergebnisse auch mittels des Eindringerkennungsmoduls in der Protokolldatei (Logdatei) 15 gespeichert werden. Die Protokolldatei (Logdatei) 15, welche folglich gesammelte Abfrageergebnisse von einem festgelegten Zeitraum enthält, kann auch mit den Interferenzmustern 22 in den Sicherheitsprofilen 20 der Nutzer, Benutzerkreise oder Server verglichen werden, was in diesem Fall in Form einer Analyse nachdem das Ereignis bereits stattgefunden hat geschieht.
  • Auch wenn eine solche Analyse das Stattfinden eines Eindringens nicht mehr verhindern kann, so kann sie doch zur Aufklärung und zur Verbesserung der Möglichkeiten bei der Behandlung von Eindringproblemen dienen. Während der Echtzeit-Schutz am wirksamsten ist, was die Verhinderung von Sicherheitslücken betrifft, so kann die Langzeitanalyse tiefergehend und komplexer sein, da die Zeit hier keinen erheblichen Faktor mehr darstellt.
  • Viele dreischichtigen Architekturen (3-Tier-Architekturen; z. B. Verbindungen mit einem Proxy-Server 5) authentifizieren Nutzer in der mittleren Schicht 5, wonach der TP-Monitor oder Anwendungsserver in der mittleren Schicht die Verbindung mit der Datenbank 3 als ein überprivilegierter Nutzer herstellt und sämtliche Aktivitäten im Namen von allen Nutzern 6 durchführt, welche die Clients 1 benutzen. Die Erfindung ist vorzugsweise in einem System, z. B. Secure.DataTM von Protegrity, implementiert, bei welchem die Identität des "echten" Client über die mittlere Schicht erhalten bleibt, was es möglich macht, eine "kleinste Privilegierung" in der mittleren Schicht durchzusetzen. Das Eindringerkennungsmodul 10 kann daher sowohl einen von dem angemeldeten Nutzer, welcher die Verbindung (z. B. auf dem TP-Monitor) hergestellt hat, als auch von dem Nutzer, im Namen dessen Maßnahmen ergriffen werden, angefragten Zugriff überprüfen. Prüfdatensätze erfassen sowohl den Nutzer, welcher Maßnahmen ergreift, als auch den Nutzer, im Namen dessen die Maßnahme ergriffen worden ist. Die Überprüfung von Nutzeraktivitäten dahingehend, ob die Nutzer über eine mittlere Schicht oder direkt mit dem Datenserver verbunden sind, erhöht die Rechenschaftspflicht der Nutzer und folglich die Gesamtsicherheit von mehrschichtigen Architekturen (Multi-Tier-Architekturen). Prüfdatensätze können an Datenbank-Prüfungsprotokolle oder an das Prü fungsprotokoll des Betriebssystems übermittelt werden, sofern das Betriebssystem zum Empfangen derselben in der Lage ist. Diese Möglichkeit sorgt in Verbindung mit der breiten Auswahl von Prüfoptionen sowie der Fähigkeit, die Prüfung an Auslöseereignisse und gespeicherte Prozeduren anzupassen, für eine hohe Flexibilität bei der Einführung eines Prüfungsschemas, welches jeglichen speziellen Anforderungen eines Unternehmens genügt.

Claims (8)

  1. Verfahren zum Erkennen des Eindringens in eine von einem Zugriffskontrollsystem (7) verwaltete Datenbank (3), welches die folgenden Schritte umfasst: – Definieren wenigstens eines Eindringerkennungsprofils (20), welches jeweils wenigstens eine Element-Zugriffsrate (21) umfasst, wobei eine der wenigstens einen Element-Zugriffsraten die Anzahl an Zeilen definiert, auf welche aus einem Datenbankelement innerhalb eines Zeitraums zugegriffen werden kann; – Assoziieren eines jeden Nutzers mit einem der Profile; – Empfangen einer Abfrage von einem Nutzer (Schritt S1); – Ermitteln, ob ein Ergebnis dieser Abfrage eine der Element-Zugriffsraten überschreitet, welche in dem mit dem Nutzer assoziierten Profil definiert ist (Schritt S3), und – in diesem Fall – – Benachrichtigen des Zugriffskontrollsystems, dass es die Zugriffsberechtigung des Nutzers dynamisch verändern soll (Schritt S10), wodurch die empfangene Abfrage zu einer unberechtigten Abfrage wird, bevor das Ergebnis an den Nutzer übermittelt wird.
  2. Verfahren nach Anspruch 1, welches ferner die folgenden Schritte umfasst: – Speichern von Ergebnissen durchgeführten Abfragen in einem Datensatz (15); und – Ermitteln, ob die gespeicherten Ergebnisse eine der Element-Zugriffsraten überschreiten.
  3. Verfahren nach Anspruch 1 oder 2, wobei Element-Zugriffsraten unterworfene Elemente in der Datenbank gekennzeichnet werden, wobei jede Abfrage, welche diese Elemente betrifft, automatisch die Eindringerkennung aktiviert.
  4. Verfahren nach Anspruch 3, wobei der Schritt des Ermittelns, ob eine Element-Zugriffsrate überschritten wird, die folgenden Schritte umfasst: – Ermitteln, ob das Abfrageergebnis Zeilen aus gekennzeichneten Elementen enthält; und – nur in diesem Fall – – Fortsetzen des Eindringerkennungsprozesses.
  5. Verfahren nach Anspruch 1, wobei eine der wenigstens einen Element-Zugriffsraten die Anzahl an Zeilen definiert, auf welche ein Nutzer zu einem Zeitpunkt aus einem Datenbankelement zugreifen kann.
  6. Verfahren nach Anspruch 1, wobei eine der wenigstens einen Element-Zugriffsraten die Anzahl an Zeilen definiert, auf welche eine Gruppe von Nutzern zu einem Zeitpunkt aus einem Datenbankelement zugreifen kann.
  7. Verfahren nach Anspruch 1, wobei eine der wenigstens einen Element-Zugriffsraten die Anzahl an Zeilen definiert, auf welche eine Gruppe von Nutzern über einen Zeitraum hinweg aus einem Datenbankelement zugreifen kann.
  8. Verfahren nach Anspruch 1, wobei das Eindringerkennungsprofil ferner wenigstens ein Interferenzmuster (22) aufweist, wobei das Verfahren ferner die folgenden Schritte umfasst: – Speichern von Ergebnissen durchgeführter Abfragen in einem Datensatz; – Vergleichen des Datensatzes mit dem Interferenzmuster (Schritt S8), um zu ermitteln, ob eine Kombination von Zugriffen in dem Datensatz mit dem Interferenzmuster übereinstimmt; und – in diesem Fall – – Benachrichtigen des Zugriffskontrollsystems, dass es die Zugriffsberechtigung des Nutzers verändern soll, wodurch die empfangene Abfrage zu einer unberechtigten Abfrage wird, bevor das Ergebnis an den Nutzer übermittelt wird.
DE60130902T 2001-11-23 2001-11-23 Verfahren zum Erkennen des Eindringens in ein Datenbanksystem Expired - Lifetime DE60130902T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP01127906A EP1315065B1 (de) 2001-11-23 2001-11-23 Verfahren zur Erkennung von Eindringling in einem Datenbanksystem

Publications (2)

Publication Number Publication Date
DE60130902D1 DE60130902D1 (de) 2007-11-22
DE60130902T2 true DE60130902T2 (de) 2008-07-17

Family

ID=8179327

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60130902T Expired - Lifetime DE60130902T2 (de) 2001-11-23 2001-11-23 Verfahren zum Erkennen des Eindringens in ein Datenbanksystem

Country Status (6)

Country Link
US (3) US7120933B2 (de)
EP (1) EP1315065B1 (de)
AT (1) ATE375567T1 (de)
AU (1) AU2002356699A1 (de)
DE (1) DE60130902T2 (de)
WO (1) WO2003044638A1 (de)

Families Citing this family (134)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH0761340A (ja) * 1993-08-25 1995-03-07 Nippon Denshi Kogyo Kk Abs装置に於ける制御点検出法
US7162636B2 (en) 1998-06-22 2007-01-09 Semtek Innovative Solutions, Inc. Method and apparatus for securing and authenticating encoded data and documents containing such data
US20020039420A1 (en) * 2000-06-12 2002-04-04 Hovav Shacham Method and apparatus for batched network security protection server performance
US20020087884A1 (en) * 2000-06-12 2002-07-04 Hovav Shacham Method and apparatus for enhancing network security protection server performance
US7137143B2 (en) 2000-08-07 2006-11-14 Ingrian Systems Inc. Method and system for caching secure web content
US20040015725A1 (en) * 2000-08-07 2004-01-22 Dan Boneh Client-side inspection and processing of secure content
US20020066038A1 (en) * 2000-11-29 2002-05-30 Ulf Mattsson Method and a system for preventing impersonation of a database user
US7757278B2 (en) * 2001-01-04 2010-07-13 Safenet, Inc. Method and apparatus for transparent encryption
DE60130902T2 (de) 2001-11-23 2008-07-17 Protegrity Research & Development Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
IL163647A0 (en) 2002-02-22 2005-12-18 Iplocks Inc Method and apparatus for monitoring database system
US7797744B2 (en) 2002-06-17 2010-09-14 At&T Intellectual Property Ii, L.P. Method and device for detecting computer intrusion
US7823203B2 (en) * 2002-06-17 2010-10-26 At&T Intellectual Property Ii, L.P. Method and device for detecting computer network intrusions
WO2004019182A2 (en) * 2002-08-24 2004-03-04 Ingrian Networks, Inc. Selective feature activation
JP4161693B2 (ja) * 2002-11-25 2008-10-08 松下電器産業株式会社 マルチキャリア送信装置およびマルチキャリア受信装置ならびにマルチキャリア通信装置
US7568229B1 (en) 2003-07-01 2009-07-28 Symantec Corporation Real-time training for a computer code intrusion detection system
US7406714B1 (en) 2003-07-01 2008-07-29 Symantec Corporation Computer code intrusion detection system based on acceptable retrievals
US20060149962A1 (en) * 2003-07-11 2006-07-06 Ingrian Networks, Inc. Network attached encryption
US7392295B2 (en) * 2004-02-19 2008-06-24 Microsoft Corporation Method and system for collecting information from computer systems based on a trusted relationship
US7584382B2 (en) * 2004-02-19 2009-09-01 Microsoft Corporation Method and system for troubleshooting a misconfiguration of a computer system based on configurations of other computer systems
US20050203881A1 (en) * 2004-03-09 2005-09-15 Akio Sakamoto Database user behavior monitor system and method
US8266177B1 (en) * 2004-03-16 2012-09-11 Symantec Corporation Empirical database access adjustment
US7519835B2 (en) * 2004-05-20 2009-04-14 Safenet, Inc. Encrypted table indexes and searching encrypted tables
JP4643204B2 (ja) * 2004-08-25 2011-03-02 株式会社エヌ・ティ・ティ・ドコモ サーバ装置
US7506812B2 (en) 2004-09-07 2009-03-24 Semtek Innovative Solutions Corporation Transparently securing data for transmission on financial networks
US7356545B2 (en) * 2004-12-22 2008-04-08 Oracle International Corporation Enabling relational databases to incorporate customized intrusion prevention policies
US7310669B2 (en) * 2005-01-19 2007-12-18 Lockdown Networks, Inc. Network appliance for vulnerability assessment auditing over multiple networks
US7810138B2 (en) * 2005-01-26 2010-10-05 Mcafee, Inc. Enabling dynamic authentication with different protocols on the same port for a switch
US8520512B2 (en) 2005-01-26 2013-08-27 Mcafee, Inc. Network appliance for customizable quarantining of a node on a network
US20060164199A1 (en) * 2005-01-26 2006-07-27 Lockdown Networks, Inc. Network appliance for securely quarantining a node on a network
US20060259950A1 (en) * 2005-02-18 2006-11-16 Ulf Mattsson Multi-layer system for privacy enforcement and monitoring of suspicious data access behavior
US20070174271A1 (en) * 2005-02-18 2007-07-26 Ulf Mattsson Database system with second preprocessor and method for accessing a database
US20080022136A1 (en) * 2005-02-18 2008-01-24 Protegrity Corporation Encryption load balancing and distributed policy enforcement
US7444331B1 (en) 2005-03-02 2008-10-28 Symantec Corporation Detecting code injection attacks against databases
US7810142B2 (en) * 2005-03-21 2010-10-05 International Business Machines Corporation Auditing compliance with a hippocratic database
US8046374B1 (en) 2005-05-06 2011-10-25 Symantec Corporation Automatic training of a database intrusion detection system
US7558796B1 (en) 2005-05-19 2009-07-07 Symantec Corporation Determining origins of queries for a database intrusion detection system
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US7774361B1 (en) 2005-07-08 2010-08-10 Symantec Corporation Effective aggregation and presentation of database intrusion incidents
US7690037B1 (en) 2005-07-13 2010-03-30 Symantec Corporation Filtering training data for machine learning
US20070079386A1 (en) * 2005-09-26 2007-04-05 Brian Metzger Transparent encryption using secure encryption device
US20070079140A1 (en) * 2005-09-26 2007-04-05 Brian Metzger Data migration
US8069153B2 (en) * 2005-12-02 2011-11-29 Salesforce.Com, Inc. Systems and methods for securing customer data in a multi-tenant environment
US8386768B2 (en) * 2006-02-08 2013-02-26 Safenet, Inc. High performance data encryption server and method for transparently encrypting/decrypting data
US7958091B2 (en) 2006-02-16 2011-06-07 Ingrian Networks, Inc. Method for fast bulk loading data into a database while bypassing exit routines
US8069482B2 (en) * 2006-02-27 2011-11-29 Sentrigo Inc. Device, system and method of database security
US8209755B2 (en) 2006-05-31 2012-06-26 The Invention Science Fund I, Llc Signaling a security breach of a protected set of files
US8191140B2 (en) * 2006-05-31 2012-05-29 The Invention Science Fund I, Llc Indicating a security breach of a protected set of files
US8640247B2 (en) * 2006-05-31 2014-01-28 The Invention Science Fund I, Llc Receiving an indication of a security breach of a protected set of files
US20070282723A1 (en) * 2006-05-31 2007-12-06 Searete Llc, A Limited Liability Corporation Of The State Of Delaware Monitoring a status of a database by placing a false identifier in the database
US7540766B2 (en) * 2006-06-14 2009-06-02 Itron, Inc. Printed circuit board connector for utility meters
US8826449B2 (en) 2007-09-27 2014-09-02 Protegrity Corporation Data security in a disconnected environment
US20080082837A1 (en) * 2006-09-29 2008-04-03 Protegrity Corporation Apparatus and method for continuous data protection in a distributed computing network
US7730478B2 (en) 2006-10-04 2010-06-01 Salesforce.Com, Inc. Method and system for allowing access to developed applications via a multi-tenant on-demand database service
US8769275B2 (en) 2006-10-17 2014-07-01 Verifone, Inc. Batch settlement transactions system and method
US9361617B2 (en) 2008-06-17 2016-06-07 Verifone, Inc. Variable-length cipher system and method
US9123042B2 (en) 2006-10-17 2015-09-01 Verifone, Inc. Pin block replacement
US8379865B2 (en) * 2006-10-27 2013-02-19 Safenet, Inc. Multikey support for multiple office system
WO2008055263A1 (en) 2006-11-03 2008-05-08 Joanne Walker Systems and methods for computer implemented treatment of behavioral disorders
US8145560B2 (en) * 2006-11-14 2012-03-27 Fmr Llc Detecting fraudulent activity on a network
US20080115213A1 (en) * 2006-11-14 2008-05-15 Fmr Corp. Detecting Fraudulent Activity on a Network Using Stored Information
US8180873B2 (en) * 2006-11-14 2012-05-15 Fmr Llc Detecting fraudulent activity
US7856494B2 (en) 2006-11-14 2010-12-21 Fmr Llc Detecting and interdicting fraudulent activity on a network
US8380841B2 (en) * 2006-12-07 2013-02-19 Microsoft Corporation Strategies for investigating and mitigating vulnerabilities caused by the acquisition of credentials
US8881276B2 (en) * 2007-01-09 2014-11-04 Cisco Technology, Inc. Dynamically generated whitelist for high throughput intrusion prevention system (IPS) functionality
US7885976B2 (en) * 2007-02-23 2011-02-08 International Business Machines Corporation Identification, notification, and control of data access quantity and patterns
US20080288403A1 (en) * 2007-05-18 2008-11-20 Clay Von Mueller Pin encryption device security
US7792779B2 (en) * 2007-06-05 2010-09-07 Intel Corporation Detection of epidemic outbreaks with Persistent Causal-Chain Dynamic Bayesian Networks
US20100031321A1 (en) 2007-06-11 2010-02-04 Protegrity Corporation Method and system for preventing impersonation of computer system user
US8355982B2 (en) 2007-08-16 2013-01-15 Verifone, Inc. Metrics systems and methods for token transactions
US8271642B1 (en) 2007-08-29 2012-09-18 Mcafee, Inc. System, method, and computer program product for isolating a device associated with at least potential data leakage activity, based on user input
US20090132804A1 (en) * 2007-11-21 2009-05-21 Prabir Paul Secured live software migration
US20090144545A1 (en) * 2007-11-29 2009-06-04 International Business Machines Corporation Computer system security using file system access pattern heuristics
US8682470B2 (en) 2008-01-08 2014-03-25 International Business Machines Corporation Data storage drive with target of opportunity recognition
US9349410B2 (en) 2008-01-08 2016-05-24 International Business Machines Corporation Automated data storage library with target of opportunity recognition
US9495561B2 (en) * 2008-01-08 2016-11-15 International Business Machines Corporation Target of opportunity recognition during an encryption related process
US8578176B2 (en) * 2008-03-26 2013-11-05 Protegrity Corporation Method and apparatus for tokenization of sensitive sets of characters
US8225106B2 (en) * 2008-04-02 2012-07-17 Protegrity Corporation Differential encryption utilizing trust modes
US8144940B2 (en) 2008-08-07 2012-03-27 Clay Von Mueller System and method for authentication of data
US8695090B2 (en) * 2008-10-31 2014-04-08 Symantec Corporation Data loss protection through application data access classification
US8251283B1 (en) 2009-05-08 2012-08-28 Oberon Labs, LLC Token authentication using spatial characteristics
US20100305130A1 (en) * 2009-06-01 2010-12-02 PHILLIPS Thomas Nasal spray device and method of use thereof
US8307219B2 (en) 2009-07-13 2012-11-06 Satyam Computer Services Limited Enterprise black box system and method for data centers
US9734037B1 (en) * 2009-09-15 2017-08-15 Symantec Corporation Mobile application sampling for performance and network behavior profiling
US8990585B2 (en) * 2009-12-29 2015-03-24 Cleversafe, Inc. Time based dispersed storage access
US10237281B2 (en) 2009-12-29 2019-03-19 International Business Machines Corporation Access policy updates in a dispersed storage network
US8745094B2 (en) 2010-03-01 2014-06-03 Protegrity Corporation Distributed tokenization using several substitution steps
US8769373B2 (en) 2010-03-22 2014-07-01 Cleon L. Rogers, JR. Method of identifying and protecting the integrity of a set of source data
US8800031B2 (en) 2011-02-03 2014-08-05 International Business Machines Corporation Controlling access to sensitive data based on changes in information classification
US9105009B2 (en) 2011-03-21 2015-08-11 Microsoft Technology Licensing, Llc Email-based automated recovery action in a hosted environment
US10229280B2 (en) 2011-06-14 2019-03-12 International Business Machines Corporation System and method to protect a resource using an active avatar
US8793790B2 (en) * 2011-10-11 2014-07-29 Honeywell International Inc. System and method for insider threat detection
US20130133024A1 (en) * 2011-11-22 2013-05-23 Microsoft Corporation Auto-Approval of Recovery Actions Based on an Extensible Set of Conditions and Policies
US8935802B1 (en) 2012-01-31 2015-01-13 Protegrity Corporation Verifiable tokenization
US20130212019A1 (en) 2012-02-10 2013-08-15 Ulf Mattsson Tokenization of payment information in mobile environments
US9648011B1 (en) 2012-02-10 2017-05-09 Protegrity Corporation Tokenization-driven password generation
US9460303B2 (en) 2012-03-06 2016-10-04 Microsoft Technology Licensing, Llc Operating large scale systems and cloud services with zero-standing elevated permissions
US9459990B2 (en) * 2012-03-27 2016-10-04 International Business Machines Corporation Automatic and transparent application logging
US9202086B1 (en) * 2012-03-30 2015-12-01 Protegrity Corporation Tokenization in a centralized tokenization environment
US8978152B1 (en) 2012-03-30 2015-03-10 Protegrity Corporation Decentralized token table generation
US9785786B2 (en) 2012-09-24 2017-10-10 Protegrity Corporation Privacy preserving data search
US9124621B2 (en) 2012-09-27 2015-09-01 Hewlett-Packard Development Company, L.P. Security alert prioritization
WO2014140698A1 (en) * 2013-03-11 2014-09-18 Indian Institute of Technology Kharagpur Improved resistance to cache timing attacks on block cipher encryption
US9069955B2 (en) 2013-04-30 2015-06-30 International Business Machines Corporation File system level data protection during potential security breach
EP2801925B1 (de) * 2013-05-10 2019-07-17 BlackBerry Limited Verfahren und vorrichtungen zur erkennung von unberechtigtem zugriff auf berechtigungen eines berechtigungsspeichers
US9088556B2 (en) 2013-05-10 2015-07-21 Blackberry Limited Methods and devices for detecting unauthorized access to credentials of a credential store
US9384342B2 (en) 2013-05-10 2016-07-05 Blackberry Limited Methods and devices for providing warnings associated with credentials to be stored in a credential store
US9306957B2 (en) * 2013-06-14 2016-04-05 Sap Se Proactive security system for distributed computer networks
US9794275B1 (en) 2013-06-28 2017-10-17 Symantec Corporation Lightweight replicas for securing cloud-based services
US9514169B2 (en) 2013-09-23 2016-12-06 Protegrity Corporation Columnar table data protection
US9680872B1 (en) 2014-03-25 2017-06-13 Amazon Technologies, Inc. Trusted-code generated requests
US9854001B1 (en) * 2014-03-25 2017-12-26 Amazon Technologies, Inc. Transparent policies
US9780953B2 (en) * 2014-07-23 2017-10-03 Visa International Service Association Systems and methods for secure detokenization
US9298899B1 (en) 2014-09-11 2016-03-29 Bank Of America Corporation Continuous monitoring of access of computing resources
US9749353B1 (en) * 2015-03-16 2017-08-29 Wells Fargo Bank, N.A. Predictive modeling for anti-malware solutions
US9602527B2 (en) 2015-03-19 2017-03-21 Fortinet, Inc. Security threat detection
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
US10693901B1 (en) * 2015-10-28 2020-06-23 Jpmorgan Chase Bank, N.A. Techniques for application security
WO2017074402A1 (en) * 2015-10-29 2017-05-04 Cloudcoffer Llc Methods for preventing computer attacks in two-phase filtering and apparatuses using the same
KR101905771B1 (ko) * 2016-01-29 2018-10-11 주식회사 엔오디비즈웨어 시스템 환경 및 사용자 행동 분석 기반의 자기 방어 보안 서버와 이의 작동 방법
US10574679B2 (en) 2017-02-01 2020-02-25 Cisco Technology, Inc. Identifying a security threat to a web-based resource
US10489584B2 (en) 2017-02-14 2019-11-26 Microsoft Technology Licensing, Llc Local and global evaluation of multi-database system
US10104237B1 (en) * 2017-09-21 2018-10-16 T-Mobile Usa, Inc. Mitigating attacks on emergency telephone services
CN108229157A (zh) * 2017-12-29 2018-06-29 北京潘达互娱科技有限公司 服务器入侵预警方法及设备
GB2580467A (en) * 2018-09-20 2020-07-22 Idera Inc Database access, monitoring, and control system and method for reacting to suspicious database activities
PL3660716T3 (pl) 2018-11-30 2021-05-31 Ovh Infrastruktura usługowa i sposoby przewidywania i wykrywania potencjalnych anomalii w infrastrukturze usługowej
US11405409B2 (en) 2019-04-29 2022-08-02 Hewlett Packard Enterprise Development Lp Threat-aware copy data management
US11457032B2 (en) * 2019-05-23 2022-09-27 Kyndryl, Inc. Managing data and data usage in IoT network
MX2022001051A (es) 2019-07-26 2022-04-20 Indyme Solutions Llc Sistema que otorga un acceso de autoservicio a mercancia resguardada.
US11887131B2 (en) 2019-07-26 2024-01-30 Indyme Solutions, Llc System providing self-service access to locked merchandise
CN110753347B (zh) * 2019-09-11 2024-01-12 上海二三四五网络科技有限公司 一种静默授权的控制方法及控制装置
US11930025B2 (en) 2021-04-15 2024-03-12 Bank Of America Corporation Threat detection and prevention for information systems
US11785025B2 (en) 2021-04-15 2023-10-10 Bank Of America Corporation Threat detection within information systems
US20240086532A1 (en) * 2022-09-14 2024-03-14 Sotero, Inc. Autonomous machine learning methods for detecting and thwarting ransomware attacks

Family Cites Families (56)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB8704882D0 (en) * 1987-03-03 1987-04-08 Hewlett Packard Co Secure messaging systems
US4956769A (en) * 1988-05-16 1990-09-11 Sysmith, Inc. Occurence and value based security system for computer databases
US5265221A (en) * 1989-03-20 1993-11-23 Tandem Computers Access restriction facility method and apparatus
GB9003112D0 (en) 1990-02-12 1990-04-11 Int Computers Ltd Access control mechanism
GB9008374D0 (en) * 1990-04-12 1990-06-13 British Telecomm Communication system
RU2022343C1 (ru) 1990-08-01 1994-10-30 Серпуховское высшее военное командно-инженерное училище ракетных войск им.Ленинского комсомола Устройство защиты памяти
GB2248951B (en) 1990-10-17 1994-04-06 Computer Resources Research Li Retrieval of data from a stored database
US5493668A (en) * 1990-12-14 1996-02-20 International Business Machines Corporation Multiple processor system having software for selecting shared cache entries of an associated castout class for transfer to a DASD with one I/O operation
JPH04270436A (ja) * 1990-12-25 1992-09-25 Fuji Xerox Co Ltd ネットワークシステム
US5438508A (en) * 1991-06-28 1995-08-01 Digital Equipment Corporation License document interchange format for license management system
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
GB9126779D0 (en) * 1991-12-17 1992-02-12 Int Computers Ltd Security mechanism for a computer system
US5278901A (en) * 1992-04-30 1994-01-11 International Business Machines Corporation Pattern-oriented intrusion-detection system and method
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
US5375169A (en) * 1993-05-28 1994-12-20 Tecsec, Incorporated Cryptographic key management method and apparatus
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5343527A (en) * 1993-10-27 1994-08-30 International Business Machines Corporation Hybrid encryption method and system for protecting reusable software components
SE9303984L (sv) 1993-11-30 1994-11-21 Anonymity Prot In Sweden Ab Anordning och metod för lagring av datainformation
GB9402935D0 (en) 1994-02-16 1994-04-06 British Telecomm A method for controlling access to a database
US5572652A (en) * 1994-04-04 1996-11-05 The United States Of America As Represented By The Secretary Of The Navy System and method for monitoring and controlling one or more computer sites
US5751949A (en) * 1995-05-23 1998-05-12 Mci Corporation Data security system and method
US6513060B1 (en) * 1998-08-27 2003-01-28 Internetseer.Com Corp. System and method for monitoring informational resources
US5748884A (en) * 1996-06-13 1998-05-05 Mci Corporation Autonotification system for notifying recipients of detected events in a network environment
SE506853C2 (sv) 1996-06-20 1998-02-16 Anonymity Prot In Sweden Ab Metod för databearbetning
US6678822B1 (en) * 1997-09-25 2004-01-13 International Business Machines Corporation Method and apparatus for securely transporting an information container from a trusted environment to an unrestricted environment
US6336121B1 (en) * 1998-03-24 2002-01-01 Entrust Technologies, Ltd. Method and apparatus for securing and accessing data elements within a database
US6385730B2 (en) * 1998-09-03 2002-05-07 Fiware, Inc. System and method for restricting unauthorized access to a database
US6389414B1 (en) * 1998-09-21 2002-05-14 Microsoft Corporation Internal database validation
JP2000148276A (ja) * 1998-11-05 2000-05-26 Fujitsu Ltd セキュリティ監視装置,セキュリティ監視方法およびセキュリティ監視用プログラム記録媒体
US6405318B1 (en) * 1999-03-12 2002-06-11 Psionic Software, Inc. Intrusion detection system
US6681331B1 (en) * 1999-05-11 2004-01-20 Cylant, Inc. Dynamic software system intrusion detection
US6754664B1 (en) * 1999-07-02 2004-06-22 Microsoft Corporation Schema-based computer system health monitoring
US6647400B1 (en) * 1999-08-30 2003-11-11 Symantec Corporation System and method for analyzing filesystems to detect intrusions
SE9904094D0 (sv) 1999-11-12 1999-11-12 Protegrity Research & Dev Method for reencryption of a database
US6766368B1 (en) * 2000-05-23 2004-07-20 Verizon Laboratories Inc. System and method for providing an internet-based correlation service
US7089303B2 (en) * 2000-05-31 2006-08-08 Invicta Networks, Inc. Systems and methods for distributed network protection
AU2001281401A1 (en) * 2000-08-18 2002-03-04 Invicta Networks, Inc. Systems and methods for distributed network protection
US7111005B1 (en) * 2000-10-06 2006-09-19 Oracle International Corporation Method and apparatus for automatic database encryption
SE517808C2 (sv) 2000-11-16 2002-07-16 Protegrity Res & Dev Kombinerad hårdvaru- och mjukvarubaserad kryptering av databaser
US6963980B1 (en) * 2000-11-16 2005-11-08 Protegrity Corporation Combined hardware and software based encryption of databases
US7325129B1 (en) * 2000-11-16 2008-01-29 Protegrity Corporation Method for altering encryption status in a relational database in a continuous process
SE516452C2 (sv) 2000-11-16 2002-01-15 Protegrity Res & Dev Metod för förändring av krypteringsstatus i en relationsdatabas i kontinuerlig process
SE518166C2 (sv) 2000-11-27 2002-09-03 Protegrity Res & Dev Datatypbevarande kryptering
US7418098B1 (en) * 2000-11-27 2008-08-26 Protegrity Corporation Data type preserving encryption
SE524522C2 (sv) 2000-11-29 2004-08-24 Protegrity Res & Dev Metod och system för förhindrande av att en administratör härmar en databasanvändare
US20020066038A1 (en) * 2000-11-29 2002-05-30 Ulf Mattsson Method and a system for preventing impersonation of a database user
EP1357268B1 (de) * 2001-01-29 2006-03-22 Mitsubishi Jidosha Kogyo Kabushiki Kaisha Auslassausstoss-steuergerät für eine brennkraftmaschine
US20020131590A1 (en) * 2001-02-02 2002-09-19 Henson Kevin M. Key matrix methodology
DE60130902T2 (de) * 2001-11-23 2008-07-17 Protegrity Research & Development Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
CA2416355A1 (en) * 2003-01-14 2004-07-14 Cognos Incorporated Iterative escalation in an event management system
US7051077B2 (en) * 2003-06-30 2006-05-23 Mx Logic, Inc. Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers
US20050015626A1 (en) * 2003-07-15 2005-01-20 Chasin C. Scott System and method for identifying and filtering junk e-mail messages or spam based on URL content
JP2005189996A (ja) * 2003-12-24 2005-07-14 Fuji Electric Holdings Co Ltd ネットワーク侵入検知システム
WO2006044798A2 (en) * 2004-10-15 2006-04-27 Protegrity Corporation Cooperative processing and escalation in a multi-node application-layer security system and method
US20070174271A1 (en) * 2005-02-18 2007-07-26 Ulf Mattsson Database system with second preprocessor and method for accessing a database
US8046833B2 (en) * 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information

Also Published As

Publication number Publication date
EP1315065A1 (de) 2003-05-28
US20070083928A1 (en) 2007-04-12
US7305707B2 (en) 2007-12-04
EP1315065B1 (de) 2007-10-10
AU2002356699A1 (en) 2003-06-10
DE60130902D1 (de) 2007-11-22
US7120933B2 (en) 2006-10-10
ATE375567T1 (de) 2007-10-15
US7594266B2 (en) 2009-09-22
US20030101355A1 (en) 2003-05-29
WO2003044638A1 (en) 2003-05-30
US20070101425A1 (en) 2007-05-03

Similar Documents

Publication Publication Date Title
DE60130902T2 (de) Verfahren zum Erkennen des Eindringens in ein Datenbanksystem
DE60210269T2 (de) Methode und system zur bekämpfung von robots und rogues
EP1285514B1 (de) Verfahren und transaktionsinterface zum gesicherten datenaustausch zwischen unterscheidbaren netzen
DE69832946T2 (de) Verteiltes System und Verfahren zur Steuerung des Zugriffs auf Netzmittel und Ereignismeldungen
DE112004000428B4 (de) Verfahren und Systeme zum Verwalten von Sicherheitsrichtlinien
DE60102555T2 (de) Verhinderung der map-aktivierten modulmaskeradeangriffe
DE10249427A1 (de) System und Verfahren zum Definieren des Sicherheitszustands eines Computersystems
DE69825801T2 (de) Vorrichtung und Verfahren zur Ermöglichung gleichranginger Zugangskontrolle in einem Netz
DE10249428A1 (de) System und Verfahren zum Definieren der Sicherheitsanfälligkeiten eines Computersystems
EP1290530B1 (de) Verschlüsseln von abzuspeichernden daten in einem iv-system
DE60016613T2 (de) Abschreckungssystem gegen aufschaltung und missbrauch
DE69730321T2 (de) Verfahren und vorrichtung zum schützen von daten mit mehreren auf datenelementebene anwendbaren verschlüsselungsstufen
DE60308722T2 (de) Verfahren, vorrichtung und computersoftware-produkt zur reaktion auf computereinbrüche
EP2966828B1 (de) Verfahren zum Erkennen eines Angriffs auf eine mit einem Kommunikationsnetzwerk verbundene Arbeitsumgebung
DE102007025162A1 (de) Alarmgesteuerte Zugriffskontrolle in einem Unternehmensnetz
EP2351320B1 (de) Serversystem und verfahren zur bereitstellung mindestens einer leistung
DE10249843A1 (de) Verfahren und computerlesbares Medium zum Unterdrücken einer Ausführung von Signaturdateianweisung während einer Netzwerkausbeutung
DE69919560T2 (de) Verfahren und system zur vorbeugung von unerwüschten betätigungen von ausführbaren objekten
WO2004028107A2 (de) Überwachung von datenübertragungen
DE10346923A1 (de) Ein Verfahren zum Schützen der Sicherheit von Netzwerkeindringungs-Erfassungssensoren
EP2618226B1 (de) Industrielles Automatisierungssystem und Verfahren zu dessen Absicherung
EP2164021A1 (de) Verfahren zum Erkennen eines unerwünschten Zugriffs und Netz-Servereinrichtung
CH715740A2 (de) Verfahren zur Feststellung von unauthorisiertem Zugriff auf Daten.
DE10249426A1 (de) System und Verfahren zum Definieren von unbefugtem Eindringen auf ein Computersystem
DE102021131272A1 (de) Verfahren zur Steuerung des Zugriffs eines Users auf ein Netzwerk, Netzwerk und Computerprogramm

Legal Events

Date Code Title Description
8364 No opposition during term of opposition