国产精品1024永久观看,大尺度欧美暖暖视频在线观看,亚洲宅男精品一区在线观看,欧美日韩一区二区三区视频,2021中文字幕在线观看

  • <option id="fbvk0"></option>
    1. <rt id="fbvk0"><tr id="fbvk0"></tr></rt>
      <center id="fbvk0"><optgroup id="fbvk0"></optgroup></center>
      <center id="fbvk0"></center>

      <li id="fbvk0"><abbr id="fbvk0"><dl id="fbvk0"></dl></abbr></li>

      響應(yīng)入侵的方法和系統(tǒng)的制作方法

      文檔序號:7597656閱讀:215來源:國知局
      專利名稱:響應(yīng)入侵的方法和系統(tǒng)的制作方法
      技術(shù)領(lǐng)域
      本發(fā)明一般涉及計算機安全,特別涉及響應(yīng)違反計算機安全策略的計算機入侵。
      背景技術(shù)
      在計算機安全領(lǐng)域,“入侵”是一個包括很多不良活動的廣義術(shù)語。入侵的目的可能是獲得個人未被授權(quán)擁有的信息(稱作“信息偷竊”),它可能是通過使網(wǎng)絡(luò)、系統(tǒng)或應(yīng)用不可用來造成商業(yè)損害(稱作“拒絕服務(wù)”),并且/或者,它可能是獲得系統(tǒng)的非授權(quán)使用以作為用于在它處作進一步入侵的踏腳石。入侵會遵循信息收集、嘗試訪問然后是破壞性攻擊的模式。
      一些入侵可以被目標(biāo)系統(tǒng)檢測和化解(neutralize),不過經(jīng)常不是實時的。其他入侵不能被目標(biāo)系統(tǒng)有效化解。入侵還可能利用使得不容易對它們的真實來源進行追蹤的“欺騙”分組。很多入侵現(xiàn)在利用不知情的同伙-也就是,未授權(quán)使用以隱藏入侵者身份的機器或網(wǎng)絡(luò)。由于這些原因,檢測信息收集嘗試、訪問嘗試和入侵同伙行為可以是入侵檢測的一個重要部分。
      如圖1所示,入侵可以由例如位于外部網(wǎng)135(例如,因特網(wǎng))上的入侵者130或者從位于內(nèi)部網(wǎng)115上的入侵者110向內(nèi)部網(wǎng)115上的主機100發(fā)起。防火墻120可以提供一些保護來防止來自外部網(wǎng)的入侵。然而,一旦防火墻“認(rèn)可”了進入到內(nèi)部網(wǎng)115中,它就不能防止入侵,并且當(dāng)入侵從內(nèi)部網(wǎng)115內(nèi)部(例如,入侵者110)發(fā)起時,它不能提供保護。另外,端到端加密會限制可以被諸如防火墻120的中間設(shè)備檢測的入侵類型,因為中間設(shè)備可能不能評估(evaluate)未加密形式的分組以獲得入侵的證據(jù)。
      入侵檢測系統(tǒng)(以下為“IDS”)可以提供多種類型入侵的檢測。參照圖2,IDS可以包括檢查網(wǎng)絡(luò)通信信息(traffic)的嗅探器。嗅探器可以置于網(wǎng)絡(luò)中的關(guān)鍵點,如防火墻220前面的嗅探器210;防火墻220后面的嗅探器230;內(nèi)部網(wǎng)115上的嗅探器240;和/或主機260與內(nèi)部網(wǎng)115之間的嗅探器250所示。嗅探器可以使用“模式匹配”來試圖將通信信息與已知的入侵簽名進行匹配。對所有網(wǎng)絡(luò)通信信息執(zhí)行模式匹配可能需要相當(dāng)多的處理時間,并且可能導(dǎo)致所要分析的通信信息的積壓,從而造成識別入侵的延遲。已知入侵簽名數(shù)目的增長可能增加識別入侵的處理時間和相關(guān)延遲。
      一檢測到入侵,嗅探器就可以向IDS管理系統(tǒng)270報警,IDS管理系統(tǒng)270可以采取行動來停止入侵。例如,嗅探器230和250被示出為將“告警”通知給IDS管理系統(tǒng)270。IDS管理系統(tǒng)270可以是例如IBM的Tivoli Risk Manager system(Tivoli風(fēng)險管理器系統(tǒng))。IDS管理系統(tǒng)270可以相互關(guān)聯(lián)來自若干嗅探器的入侵通知以判定是否發(fā)生了入侵,并且如果是,確定入侵的特征。IDS管理系統(tǒng)270可以響應(yīng)入侵而將通信過濾規(guī)則下載到防火墻220。
      嗅探器還可以或者可以替代地通知提供由IDS組件檢測的安全告警的日志記錄和分析的服務(wù)如IBM的Emergency Response Service(應(yīng)急響應(yīng)服務(wù),ERS)單元200。在所示例子中,防火墻220之前的嗅探器210將告警發(fā)送到應(yīng)急響應(yīng)服務(wù)單元200。

      發(fā)明內(nèi)容
      在本發(fā)明的一些實施例中,計算機通過根據(jù)包括與計算機相關(guān)的信息的局部IDS策略評估通知來選擇性地響應(yīng)來自網(wǎng)絡(luò)可訪問入侵檢測服務(wù)(IDS)管理器的至少一條入侵通知。與計算機相關(guān)的信息可以例如基于計算機是否是用于計算機系統(tǒng)中的其他計算機的信息服務(wù)器、計算機是否受到防火墻的保護以隔離入侵源、計算機與入侵源的鄰近性、計算機中的存儲器利用、和/或計算機中的處理器利用。
      局部IDS策略可以從網(wǎng)絡(luò)可訪問倉庫下載到計算機。IDS策略可以包括根據(jù)來自IDS管理器的入侵通知所要采取的一個或多個響應(yīng)行動。計算機的響應(yīng)行動可以包括終止作為入侵目標(biāo)的應(yīng)用、丟棄通信中的信息和/或中止與通信源的通信。
      從而,IDS管理器可以向計算機通知檢測到入侵。然后,計算機可以根據(jù)局部策略和與計算機相關(guān)的信息決定是否和/或如何它將響應(yīng)通知。因此,在具有眾多計算機的計算機系統(tǒng)中,每臺計算機可以根據(jù)對于每臺計算機已知的局部信息不同地響應(yīng)入侵通知。這樣,局部計算機如何響應(yīng)入侵可以是單獨定制的。這種響應(yīng)局部定制可以使得能夠改善計算機如何響應(yīng)入侵的自動化。


      圖1是遭到安全入侵的根據(jù)現(xiàn)有技術(shù)的計算機連網(wǎng)系統(tǒng)的方框圖。
      圖2是根據(jù)現(xiàn)有技術(shù)的具有入侵檢測組件的計算機連網(wǎng)系統(tǒng)的方框圖。
      圖3是根據(jù)本發(fā)明各個實施例的具有入侵檢測組件的計算機連網(wǎng)系統(tǒng)的方框圖。
      圖4是根據(jù)本發(fā)明各個實施例的具有入侵檢測服務(wù)激活(enabled)應(yīng)用的主計算機的方框圖。
      圖5是示出根據(jù)本發(fā)明各個實施例的用于選擇性地響應(yīng)入侵的操作的流程圖。
      圖6是根據(jù)本發(fā)明實施例的計算機系統(tǒng)的方框圖。
      具體實施例方式
      下面將參照附圖對本發(fā)明進行更全面的描述,其中示出本發(fā)明的示例性實施例。然而,本發(fā)明可以以多種不同形式實施,并且不應(yīng)解釋為受限于在此所述的實施例;而是,提供這些實施例是為了使本公開內(nèi)容透徹和完整并且向本領(lǐng)域的技術(shù)人員全面?zhèn)鬟_本發(fā)明的范圍。相同的標(biāo)號在全文范圍內(nèi)表示相同的單元。
      本領(lǐng)域的技術(shù)人員應(yīng)該理解,本發(fā)明可以作為方法、系統(tǒng)和/或計算機程序產(chǎn)品實施。因此,本發(fā)明可以采取全都統(tǒng)稱作“電路”或“模塊”的完全硬件實施例、完全軟件實施例或者組合軟件和硬件方面的實施例的形式。而且,本發(fā)明可以采取其中實施有計算機可用程序代碼的計算機可用存儲介質(zhì)上的計算機程序產(chǎn)品的形式??梢岳萌魏芜m當(dāng)計算機可讀介質(zhì)包括硬盤、CD-ROM、光學(xué)存儲設(shè)備、傳輸介質(zhì)如支持因特網(wǎng)或內(nèi)部網(wǎng)的傳輸介質(zhì)或者磁性存儲設(shè)備。
      用于執(zhí)行本發(fā)明操作的計算機程序代碼可以采用面向?qū)ο蟮木幊陶Z言如Java、Smalltalk或者C++來編寫。然而,用于執(zhí)行本發(fā)明操作的計算機程序代碼也可以采用傳統(tǒng)過程編程語言如“C”編程語言來編寫。該程序代碼可以完全在用戶計算機上、部分在用戶計算機上、作為單獨軟件包、部分在用戶計算機上且部分在遠程計算機上、或者完全在遠程計算機上執(zhí)行。在后一場景中,遠程計算機可以通過例如局域網(wǎng)(LAN)或廣域網(wǎng)(WAN)連接到用戶計算機,或者可以通過外部計算機(例如,使用因特網(wǎng)服務(wù)提供商通過因特網(wǎng))進行連接。
      下面將參照根據(jù)本發(fā)明實施例的方法、設(shè)備(系統(tǒng))和計算機程序產(chǎn)品的流程圖和/或方框圖描述本發(fā)明。應(yīng)該理解,流程圖和/或方框圖的每塊以及流程圖和/或方框圖的塊組合可以通過計算機程序指令實現(xiàn)。這些計算機程序指令可以提供給通用計算機、專用計算機或者其他可編程數(shù)據(jù)處理設(shè)備的處理器以產(chǎn)生通過計算機或者其他可編程數(shù)據(jù)處理設(shè)備執(zhí)行的機器指令創(chuàng)建裝置,用于實現(xiàn)在流程圖和/或方框圖的一個或多個塊中指定的功能/行為。
      這些計算機程序產(chǎn)品還可以存儲在可以引導(dǎo)計算機或者其他可編程數(shù)據(jù)處理設(shè)備以特定方式操作的計算機可讀存儲器中,從而使存儲在計算機可讀存儲器中的指令產(chǎn)生包括實現(xiàn)在流程圖和/或方框圖的一個或多個塊中指定的功能/行為的指令裝置的制造品。
      計算機程序指令還可以裝載到計算機或其他可編程數(shù)據(jù)處理設(shè)備上以使一系列操作步驟在計算機或其他編程設(shè)備上執(zhí)行以產(chǎn)生計算機實現(xiàn)過程,從而使在計算機或其他編程設(shè)備上執(zhí)行的指令提供用于實現(xiàn)在流程圖和/或方框圖的一個或多個塊中指定的功能/行為的步驟。
      圖3示出根據(jù)本發(fā)明各個實施例的具有入侵檢測組件的計算機連網(wǎng)系統(tǒng)302。計算機連網(wǎng)系統(tǒng)302包括通過內(nèi)部網(wǎng)320連接的至少一臺主計算機300和IDS管理器310。計算機連網(wǎng)系統(tǒng)302還可以包括一個或多個檢測器(sensor)322,配置成檢測可能表示計算機連網(wǎng)系統(tǒng)302中的一個或多個可能入侵的事件并且將事件報告給IDS管理器310。內(nèi)部網(wǎng)320通過防火墻340連接到外部網(wǎng)330(如因特網(wǎng))。計算機連網(wǎng)系統(tǒng)302可以包括其他組件例如附加主計算機和/或附加IDS組件。
      IDS管理器310維護系統(tǒng)的IDS策略,從而形成IDS策略倉庫(repository)。局部IDS策略可以從IDS策略倉庫下載到主計算機300。局部IDS策略可以包括根據(jù)來自IDS管理器310的入侵通知以及對于主計算機300已知的信息可以采取的一個或多個響應(yīng)行動。主計算機300的響應(yīng)可以包括終止作為入侵目標(biāo)的應(yīng)用,丟棄通信中的信息,并且/或者中止與通信源的通信。
      IDS管理器310判定是否發(fā)生了對計算機連網(wǎng)系統(tǒng)302的一個或多個組件的入侵。例如,IDS管理器310可以使用模式匹配來匹配通過內(nèi)部網(wǎng)320傳送的信息與已知的入侵簽名,并且/或者可以相互關(guān)聯(lián)從檢測器322和/或計算機連網(wǎng)系統(tǒng)302中的其他組件報告的事件以判定是否發(fā)生了入侵。當(dāng)判定發(fā)生了入侵時,IDS管理器310通知主計算機300,并且可以通知計算機連網(wǎng)系統(tǒng)302中的其他主計算機和/或其他組件。然后,主計算機300根據(jù)包括與計算機相關(guān)的信息的局部IDS策略決定是否和/或如何它將響應(yīng)來自IDS管理器310的入侵通知。
      與主計算機300相關(guān)的信息可以基于主計算機300是否是用于計算機連網(wǎng)系統(tǒng)302中的其他組件的信息服務(wù)器、主計算機300是否受到防火墻340的保護以隔離入侵源、主計算機300與入侵源的鄰近性、主計算機300中的存儲器利用、和/或主計算機300中的處理器利用。
      從而,主計算機300根據(jù)包括與計算機相關(guān)的信息的局部策略決定是否和/或如何它將響應(yīng)入侵通知。因此,在具有眾多主計算機300的計算機連網(wǎng)系統(tǒng)302中,每臺主計算機300可以根據(jù)對于該主計算機300已知的局部信息不同地響應(yīng)入侵通知。這樣,主計算機300如何響應(yīng)入侵可以是單獨定制的。這種響應(yīng)局部定制可以使得能夠改善主計算機300響應(yīng)入侵的自動化。
      主計算機300可以包括至少一個配置成根據(jù)來自IDS管理器310的入侵通知而響應(yīng)的IDS激活應(yīng)用350。參照圖4,主計算機300可以執(zhí)行一個或多個IDS激活應(yīng)用350、IDS代理360、IDS策略傳輸代理370、網(wǎng)絡(luò)程序如TCP/IP棧380以及管理應(yīng)用、網(wǎng)絡(luò)程序和代理之間的通信的操作系統(tǒng)390。IDS激活應(yīng)用350可以包括應(yīng)用程序、IDS模塊和局部IDS策略,在應(yīng)用程序執(zhí)行期間,其中的一個或多個可以分配給相同或不同邏輯存儲器空間。應(yīng)用程序也可以向例如主機操作員提供與入侵檢測無關(guān)的應(yīng)用功能,并且如下所述,應(yīng)用程序還可以使用局部IDS策略以根據(jù)入侵通知和對于主計算機300已知的信息采取行動。
      IDS激活應(yīng)用350中的局部IDS策略可以從IDS管理器310下載,這可以允許系統(tǒng)中的主機之間更統(tǒng)一的入侵檢測處理。例如,IDS激活應(yīng)用350可以通過應(yīng)用程序以初始化請求調(diào)用IDS模塊來采用局部IDS策略進行初始化。IDS模塊可以使IDS策略傳輸代理370從IDS管理器310讀取可以針對IDS激活應(yīng)用350特定配置的IDS策略,并且將所檢索的IDS策略分配到應(yīng)用程序的局部存儲器空間。由于諸如安全性的各種原因,應(yīng)當(dāng)僅向應(yīng)用程序提供被授權(quán)接收的相關(guān)IDS策略。IDS策略傳輸代理370可以檢查應(yīng)用的授權(quán)以在將所檢索的IDS策略置于應(yīng)用的存儲器空間中之前查看IDS策略。然后,IDS策略傳輸代理370可以向IDS激活應(yīng)用350提供應(yīng)用存儲器空間和/或IDS代理360內(nèi)所檢索IDS策略的句柄(或指針)。
      根據(jù)來自IDS管理器310的入侵通知,應(yīng)用程序可以使用IDS模塊來從局部IDS策略檢索可以由應(yīng)用和/或IDS代理360采取以停止和可能補救入侵影響的適當(dāng)行動。圖5示出可以被執(zhí)行以評估和響應(yīng)入侵通知的操作。在塊500,IDS代理360從IDS管理器310接收入侵通知。在塊510,IDS代理360根據(jù)局部IDS策略和與主計算機300相關(guān)的信息評估入侵通知。評估可以包括評估主計算機300是否是用于計算機連網(wǎng)系統(tǒng)302中的其他組件的信息服務(wù)器(例如,網(wǎng)絡(luò)(web)服務(wù)器、內(nèi)部網(wǎng)應(yīng)用服務(wù)器、后端服務(wù)器)、主計算機300是否是用于計算機連網(wǎng)系統(tǒng)302中的其他組件的防火墻、主計算機300是否受到防火墻340的保護以隔離入侵源、主計算機300與入侵源的鄰近性、主計算機300中的存儲器利用和/或主計算機300中的處理器利用。
      在塊520,決定IDS代理360和/或IDS激活應(yīng)用350是否要響應(yīng)入侵通知而采取行動。當(dāng)要采取響應(yīng)行動時,則在塊530,可以由IDS代理360和/或IDS激活應(yīng)用350采取的響應(yīng)行動可以包括但不限于終止作為入侵目標(biāo)的應(yīng)用、丟棄通信中的信息和/或中止與通信源的通信(例如,中斷與源的連接和/或關(guān)閉接口套接字)。
      圖6示出適于執(zhí)行根據(jù)本發(fā)明一些實施例的例如圖4所示的一個或多個IDS激活應(yīng)用、IDS代理、IDS策略傳輸代理、網(wǎng)絡(luò)程序和操作系統(tǒng)的主計算機系統(tǒng)600的示例性實施例。計算機系統(tǒng)600典型地包括與存儲器620通信的處理器610。計算機系統(tǒng)600可以可選地包括諸如鍵盤或小鍵盤(keypad)的輸入設(shè)備630以及也與處理器610通信的顯示器640(以虛線示出)。計算機系統(tǒng)600還可以包括諸如揚聲器650的可選設(shè)備以及也與處理器610通信的I/O數(shù)據(jù)端口660。I/O數(shù)據(jù)端口660可以用來在計算機系統(tǒng)600與另一個計算機系統(tǒng)或網(wǎng)絡(luò)之間傳輸信息。這些組件可以是諸如用于很多傳統(tǒng)計算機系統(tǒng)中的傳統(tǒng)組件,它們可以配置成如在此所述操作。
      處理器610可以是任何可以買到或者定制的微處理器。存儲器620代表包含用來實現(xiàn)計算機系統(tǒng)600的功能的軟件和數(shù)據(jù)的存儲器設(shè)備的總體分級結(jié)構(gòu)(overall hierarchy)。存儲器620可以包括但不限于下列類型的設(shè)備高速緩沖存儲器、ROM、PROM、EPROM、EEPROM、閃存、SRAM和DRAM。存儲器620可以包括用于計算機系統(tǒng)600中的軟件和數(shù)據(jù)的若干類別操作系統(tǒng);應(yīng)用程序;輸入/輸出(I/O)設(shè)備驅(qū)動程序;以及數(shù)據(jù)。本領(lǐng)域的技術(shù)人員應(yīng)該理解,操作系統(tǒng)可以是適于與計算機系統(tǒng)一起使用的任何操作系統(tǒng),如來自國際商業(yè)機器公司,Armonk,紐約的OS/2、AIX或System390,來自微軟公司,雷蒙德,華盛頓的Windows 95、Windows 98、Windows 2000、Windows NT、Windows ME、Windows XP,UNIX或Linux。I/O設(shè)備驅(qū)動程序典型地包括由應(yīng)用程序通過操作系統(tǒng)訪問以與諸如I/O數(shù)據(jù)端口660的設(shè)備和特定存儲器620組件通信的軟件例程。應(yīng)用程序代表實現(xiàn)計算機系統(tǒng)600的各種特性的程序并且最好包括至少一個支持根據(jù)本發(fā)明實施例的操作的應(yīng)用。最后,數(shù)據(jù)代表由應(yīng)用程序、操作系統(tǒng)、I/O設(shè)備驅(qū)動程序660以及可以駐留在存儲器620中的其他軟件程序使用的靜態(tài)和動態(tài)數(shù)據(jù)。
      在附圖和說明書中,公開了本發(fā)明的實施例,并且雖然采用了特定術(shù)語,但是它們僅以一般性和描述性意義使用,并且不用于限制的目的,本發(fā)明的范圍在所附權(quán)利要求中限定。
      權(quán)利要求
      1.一種響應(yīng)入侵的方法,該方法包括通過計算機根據(jù)包括與入侵通知相關(guān)的信息和與計算機相關(guān)的信息的局部IDS策略評估通知,選擇性地響應(yīng)來自網(wǎng)絡(luò)可訪問入侵檢測服務(wù)(IDS)管理器的至少一條入侵通知。
      2.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機是否是用于計算機系統(tǒng)中的其他計算機的防火墻。
      3.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機是否是用于計算機系統(tǒng)中的其他計算機的信息服務(wù)器。
      4.如權(quán)利要求3所述的方法,還包括評估計算機是否擔(dān)當(dāng)網(wǎng)絡(luò)服務(wù)器、內(nèi)部網(wǎng)應(yīng)用服務(wù)器以及后端服務(wù)器的至少之一。
      5.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機是否受到防火墻的保護以隔離入侵源。
      6.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機中的存儲器利用。
      7.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機中的處理器利用。
      8.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于表示入侵到計算機中的來自IDS管理器以外的信息。
      9.如權(quán)利要求1所述的方法,其中,與計算機相關(guān)的信息基于計算機與入侵源的鄰近性。
      10.如權(quán)利要求1所述的方法,還包括將局部IDS策略從網(wǎng)絡(luò)可訪問倉庫下載到計算機。
      11.如權(quán)利要求1所述的方法,其中,局部IDS策略包括根據(jù)來自網(wǎng)絡(luò)可訪問IDS管理器的入侵通知所要采取的一個或多個響應(yīng)行動。
      12.如權(quán)利要求11所述的方法,其中,響應(yīng)行動包括終止作為攻擊目標(biāo)的應(yīng)用。
      13.如權(quán)利要求11所述的方法,其中,響應(yīng)行動包括丟棄與計算機的通信中的信息。
      14.如權(quán)利要求11所述的方法,其中,響應(yīng)行動包括中止與通信源的通信。
      15.一種響應(yīng)入侵的計算機系統(tǒng),該計算機系統(tǒng)包括多臺計算機,各自包括局部IDS策略;入侵檢測服務(wù)(IDS)管理器,配置成為計算機生成至少一條入侵通知,并且其中計算機中的每一臺配置成根據(jù)局部IDS策略和與計算機相關(guān)的信息來選擇性地響應(yīng)通知。
      16.如權(quán)利要求15所述的計算機系統(tǒng),其中,IDS管理器配置成判定在計算機系統(tǒng)中發(fā)生了入侵,并且配置成根據(jù)判定發(fā)生了入侵來生成通知。
      17.如權(quán)利要求16所述的計算機系統(tǒng),其中,計算機中的至少兩臺不同地響應(yīng)來自IDS管理器的相同入侵通知。
      18.如權(quán)利要求16所述的計算機系統(tǒng),其中,計算機中的至少一臺不同地響應(yīng)在時間上重復(fù)至少一次的相同入侵通知。
      19.如權(quán)利要求15所述的計算機系統(tǒng),還包括多個檢測器,配置成檢測可能表示對計算機系統(tǒng)的一個或多個可能入侵的事件,并且配置成向IDS管理器通知這些事件,并且其中IDS管理器配置成通過相互關(guān)聯(lián)來自檢測器的事件來判定在計算機系統(tǒng)中發(fā)生了入侵。
      20.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機配置成從策略倉庫下載局部IDS策略。
      21.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機中的至少一臺配置成根據(jù)局部IDS策略以及計算機是否是計算機系統(tǒng)中的其他計算機的信息服務(wù)器來選擇性地響應(yīng)通知。
      22.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機中的至少一臺配置成根據(jù)局部IDS策略以及計算機是否受到防火墻的保護以隔離入侵源來選擇性地響應(yīng)通知。
      23.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機中的至少一臺配置成根據(jù)局部IDS策略以及計算機中的存儲器利用和計算機中的處理器利用的至少之一來選擇性地響應(yīng)通知。
      24.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機中的至少一臺配置成根據(jù)局部IDS策略以及與對計算機的可能入侵相關(guān)的信息來選擇性地響應(yīng)通知。
      25.如權(quán)利要求15所述的計算機系統(tǒng),其中,計算機中的至少一臺配置成根據(jù)局部IDS策略以及與計算機與入侵源的鄰近性相關(guān)的信息來選擇性地響應(yīng)通知。
      26.一種用于響應(yīng)入侵的計算機程序產(chǎn)品,該計算機程序產(chǎn)品包括在計算機可讀存儲介質(zhì)中實施的程序代碼,該計算機程序代碼包括配置成根據(jù)局部IDS策略和與計算機相關(guān)的信息來選擇性地響應(yīng)來自網(wǎng)絡(luò)可訪問入侵檢測服務(wù)(IDS)管理器的至少一條入侵通知的程序代碼。
      27.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品,還包括配置成將局部IDS策略從網(wǎng)絡(luò)可訪問倉庫下載到計算機的程序代碼。
      28.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品,還包括配置成根據(jù)通知、局部IDS策略和與計算機相關(guān)的信息執(zhí)行一個或多個響應(yīng)行動的程序代碼。
      29.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品,還包括配置成根據(jù)計算機是否是用于計算機系統(tǒng)中的其他計算機的信息服務(wù)器來選擇性地響應(yīng)通知的程序代碼。
      30.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品,還包括配置成根據(jù)計算機是否受到防火墻的保護以隔離入侵源以及計算機與入侵源的鄰近性的至少之一來選擇性地響應(yīng)通知的程序代碼。
      31.根據(jù)權(quán)利要求26所述的計算機程序產(chǎn)品,還包括配置成根據(jù)計算機中的存儲器利用和計算機中的處理器利用的至少之一來選擇性地響應(yīng)通知的程序代碼。
      全文摘要
      計算機選擇性地響應(yīng)來自網(wǎng)絡(luò)可訪問入侵檢測服務(wù)(IDS)管理器的至少一條入侵通知。計算機根據(jù)包括與計算機相關(guān)的信息的局部IDS策略來選擇性地響應(yīng)入侵通知。與計算機相關(guān)的信息可以基于計算機是否是用于計算機系統(tǒng)中的其他計算機的信息服務(wù)器、計算機是否受到防火墻的保護以隔離入侵源、計算機與入侵源的鄰近性、計算機中的存儲器利用、和/或計算機中的處理器利用。
      文檔編號H04L12/24GK1601973SQ20041007975
      公開日2005年3月30日 申請日期2004年9月16日 優(yōu)先權(quán)日2003年9月22日
      發(fā)明者小林伍德·修·歐弗爾拜 申請人:國際商業(yè)機器公司
      網(wǎng)友詢問留言 已有0條留言
      • 還沒有人留言評論。精彩留言會獲得點贊!
      1