公开(公告)号：US08719943B2

公开(公告)日：2014-05-06

申请号：US13466706

申请日：2012-05-08

申请人： Steven E Noel ,  Sushil Jajodia ,  Eric B Robertson

发明人： Steven E Noel ,  Sushil Jajodia ,  Eric B Robertson

IPC分类号： H04L29/06

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is a system for correlating intrusion events using attack graph distances. The system includes an attack graph generator, an exploit distance calculator, an intrusion detector, an event report/exploit associator, an event graph creator, an event graph distance calculator, a correlation value calculator, and a coordinated attack analyzer. An attack graph is constructed for exploits and conditions in a network. The exploit distance calculator determines exploit distances for exploit pair(s). The intrusion detector generates event. Events are associated with exploits. Event graph distances are calculated. Correlation values are calculated for event pair(s) using event graph distances. The correlation values are analyzed using a correlation threshold to detect coordinated attacks.

摘要翻译： 公开了一种使用攻击图距离来相关入侵事件的系统。 该系统包括攻击图生成器，利用距离计算器，入侵检测器，事件报告/利用关联器，事件图形创建器，事件图距离计算器，相关值计算器和协调攻击分析器。 为网络中的利用和条件构建攻击图。 利用距离计算器确定漏洞利用距离。 入侵检测器生成事件。 事件与漏洞相关联。 计算事件图距离。 使用事件图距离计算事件对的相关值。 使用相关阈值分析相关值以检测协调的攻击。

公开(公告)号：US20100192226A1

公开(公告)日：2010-07-29

申请号：US12758135

申请日：2010-04-12

申请人： Steven E. Noel ,  Eric B. Robertson ,  Sushil Jajodia

发明人： Steven E. Noel ,  Eric B. Robertson ,  Sushil Jajodia

IPC分类号： G06F11/00

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is a system for correlating intrusion events using attack graph distances. The system includes an attack graph generator, an exploit distance calculator, an intrusion detector, an event report/exploit associator, an event graph creator, an event graph distance calculator, a correlation value calculator, and a coordinated attack analyzer. An attack graph is constructed for exploits and conditions in a network. The exploit distance calculator determines exploit distances for exploit pair(s). The intrusion detector generates event. Events are associated with exploits. Event graph distances are calculated. Correlation values are calculated for event pair(s) using event graph distances. The correlation values are analyzed using a correlation threshold to detect coordinated attacks.

摘要翻译： 公开了一种使用攻击图距离来相关入侵事件的系统。 该系统包括攻击图生成器，利用距离计算器，入侵检测器，事件报告/利用关联器，事件图形创建器，事件图距离计算器，相关值计算器和协调攻击分析器。 为网络中的利用和条件构建攻击图。 利用距离计算器确定漏洞利用距离。 入侵检测器生成事件。 事件与漏洞相关联。 计算事件图距离。 使用事件图距离计算事件对的相关值。 使用相关阈值分析相关值以检测协调的攻击。

公开(公告)号：US07627900B1

公开(公告)日：2009-12-01

申请号：US11371930

申请日：2006-03-10

申请人： Steven E. Noel ,  Sushil Jajodia

发明人： Steven E. Noel ,  Sushil Jajodia

IPC分类号： G06F11/00 ,  G06F12/14 ,  G06F12/16

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is framework for aggregating network attack graphs. A network may be represented as a dependency graph. Condition set(s), exploit set(s) and machine set(s) may be generated using information from the dependency graph. Exploit-condition set(s) may be generated using the condition set(s) and the exploit set(s). Machine-exploit set(s) may be generated using the exploit-condition set(s) and machine set(s).

摘要翻译： 披露了用于聚合网络攻击图的框架。 网络可以表示为依赖图。 可以使用来自依赖图的信息来生成条件集合，利用集合和机器集合。 可以使用条件集和漏洞集来生成漏洞利用条件集。 可以使用漏洞利用条件集和机器集来生成机器漏洞集。

公开(公告)号：US08181252B2

公开(公告)日：2012-05-15

申请号：US12758135

申请日：2010-04-12

申请人： Sushil Jajodia ,  Steven E Noel ,  Eric B Robertson

发明人： Sushil Jajodia ,  Steven E Noel ,  Eric B Robertson

IPC分类号： H04L29/06

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is a system for correlating intrusion events using attack graph distances. The system includes an attack graph generator, an exploit distance calculator, an intrusion detector, an event report/exploit associator, an event graph creator, an event graph distance calculator, a correlation value calculator, and a coordinated attack analyzer. An attack graph is constructed for exploits and conditions in a network. The exploit distance calculator determines exploit distances for exploit pair(s). The intrusion detector generates event. Events are associated with exploits. Event graph distances are calculated. Correlation values are calculated for event pair(s) using event graph distances. The correlation values are analyzed using a correlation threshold to detect coordinated attacks.

摘要翻译： 公开了一种使用攻击图距离来相关入侵事件的系统。 该系统包括攻击图生成器，利用距离计算器，入侵检测器，事件报告/利用关联器，事件图形创建器，事件图距离计算器，相关值计算器和协调攻击分析器。 为网络中的利用和条件构建攻击图。 利用距离计算器确定漏洞利用距离。 入侵检测器生成事件。 事件与漏洞相关联。 计算事件图距离。 使用事件图距离计算事件对的相关值。 使用相关阈值分析相关值以检测协调的攻击。

公开(公告)号：US07904962B1

公开(公告)日：2011-03-08

申请号：US11371937

申请日：2006-03-10

申请人： Sushil Jajodia ,  Steven E. Noel ,  Pramod Kalapa ,  Brian C. O'Berry ,  Michael A. Jacobs ,  Eric B. Robertson ,  Robert G. Weierbach

发明人： Sushil Jajodia ,  Steven E. Noel ,  Pramod Kalapa ,  Brian C. O'Berry ,  Michael A. Jacobs ,  Eric B. Robertson ,  Robert G. Weierbach

IPC分类号： G06F12/14 ,  G06F12/16

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is a system for modeling, analyzing, and responding to network attacks. Machines are mapped to components, components are mapped to vulnerabilities, and vulnerabilities are mapped to exploits. Each of the exploits includes at least one precondition mapped to at least one postcondition. An attack graph which defines inter-exploit distances is generated using at least one of the exploits. The attack graph is aggregated. At least one hardening option is determined using the aggregated attack graph. Hardening options include applying at least one corrective measure to at least one initial condition, where the initial condition is the initial state of a precondition.

摘要翻译： 公开了一种用于建模，分析和响应网络攻击的系统。 机器映射到组件，组件映射到漏洞，漏洞映射到漏洞。 每个漏洞包括映射到至少一个后置条件的至少一个前提条件。 使用至少一个漏洞利用生成定义间谍间距的攻击图。 攻击图被聚合。 使用聚合攻击图确定至少一个硬化选项。 加固选项包括将至少一个校正措施应用于至少一个初始条件，其中初始条件是前提条件的初始状态。

公开(公告)号：US20120227108A1

公开(公告)日：2012-09-06

申请号：US13466706

申请日：2012-05-08

申请人： Steven E. Noel ,  Eric B. Robertson ,  Sushil Jajodia

发明人： Steven E. Noel ,  Eric B. Robertson ,  Sushil Jajodia

IPC分类号： G06F21/00

CPC分类号： H04L41/12 ,  H04L63/1425

摘要： Disclosed is a system for correlating intrusion events using attack graph distances. The system includes an attack graph generator, an exploit distance calculator, an intrusion detector, an event report/exploit associator, an event graph creator, an event graph distance calculator, a correlation value calculator, and a coordinated attack analyzer. An attack graph is constructed for exploits and conditions in a network. The exploit distance calculator determines exploit distances for exploit pair(s). The intrusion detector generates event. Events are associated with exploits. Event graph distances are calculated. Correlation values are calculated for event pair(s) using event graph distances. The correlation values are analyzed using a correlation threshold to detect coordinated attacks.

摘要翻译： 公开了一种使用攻击图距离来相关入侵事件的系统。 该系统包括攻击图生成器，利用距离计算器，入侵检测器，事件报告/利用关联器，事件图形创建器，事件图距离计算器，相关值计算器和协调攻击分析器。 为网络中的利用和条件构建攻击图。 利用距离计算器确定漏洞利用距离。 入侵检测器生成事件。 事件与漏洞相关联。 计算事件图距离。 使用事件图距离计算事件对的相关值。 使用相关阈值分析相关值以检测协调的攻击。

公开(公告)号：US20100058456A1

公开(公告)日：2010-03-04

申请号：US12548115

申请日：2009-08-26

申请人： Sushil Jajodia ,  Steven E. Noel

发明人： Sushil Jajodia ,  Steven E. Noel

IPC分类号： G06F15/16

CPC分类号： H04L63/20 ,  G06F21/552

摘要： Embodiments of the present invention identify locations to deploy IDS sensor(s) within a network infrastructure and prioritize IDS alerts using attack graph analysis. An attack graph that describes exploitable vulnerability(ies) within a network infrastructure is aggregated into protection domains. Edge(s) that have exploit(s) between two protection domains are identified. Sets that contain edge(s) serviced by a common network traffic device are defined. Set(s) that collectively contain all of the edge(s) are selected. The common network traffic device(s) that service the selected sets are identified as the location(s) to deploy IDS sensor(s) within the network infrastructure.

摘要翻译： 本发明的实施例识别在网络基础设施内部署IDS传感器的位置，并使用攻击图分析对IDS警报进行优先级排序。 描述网络基础架构内的可利用漏洞的攻击图被聚合到保护域中。 识别在两个保护域之间具有漏洞的边缘。 定义包含由公共网络流量设备服务的边缘的集合。 选择集合包含所有边缘的集合。 为所选集合服务的公共网络流量设备被识别为在网络基础设施内部署IDS传感器的位置。

公开(公告)号：US07555778B2

公开(公告)日：2009-06-30

申请号：US11250449

申请日：2005-10-17

申请人： Steven E. Noel ,  Sushil Jajodia ,  Brian C. O'Berry ,  Michael A. Jacobs

发明人： Steven E. Noel ,  Sushil Jajodia ,  Brian C. O'Berry ,  Michael A. Jacobs

IPC分类号： G06F12/14 ,  G06F7/04 ,  G06F15/173

CPC分类号： H04L63/1433

摘要： Disclosed is a network hardening mechanism. The mechanism: generates a dependency graph from a multitude of exploits; constructs a goal conditions expression which may then be used to determine set(s) of safe network configurations. A subset of these safe network configuration sets may then be selected for implementation using hardening costs as a criterion.

摘要翻译： 公开了一种网络硬化机制。 机制：从多个漏洞生成依赖图; 构建目标条件表达式，然后可以将其用于确定安全网络配置的集合。 然后可以选择这些安全网络配置集的一部分，以使用硬化成本作为标准。

公开(公告)号：US20100054481A1

公开(公告)日：2010-03-04

申请号：US12548975

申请日：2009-08-27

申请人： Sushil Jajodia ,  Witold Litwin ,  Thomas Schwarz

发明人： Sushil Jajodia ,  Witold Litwin ,  Thomas Schwarz

IPC分类号： H04L9/08 ,  G06F12/08

CPC分类号： H04L9/085 ,  H04L9/0897

摘要： Embodiments of the present invention store application data and associated encryption key(s) on at least k+1 remote servers using LH* addressing. At least k+1 buckets are created on separate remote servers. At least k+1 key shares are generated for each of at least one encryption key. Each encryption key has a unique key number. Each key share is stored in a different key share record. Each of the key share records is stored in a different bucket using LH* addressing. Encrypted application data is generated by encrypting the application data with the encryption key(s). The encrypted application data is stored in encrypted data record(s). Each of the encrypted data records is stored in a different bucket among the buckets using LH* addressing.

摘要翻译： 本发明的实施例使用LH *寻址在至少k + 1个远程服务器上存储应用数据和相关联的加密密钥。 在单独的远程服务器上至少创建k + 1个桶。 为至少一个加密密钥中的每一个产生至少k + 1个密钥份额。 每个加密密钥都有唯一的密钥号码。 每个密钥共享存储在不同的密钥共享记录中。 每个密钥共享记录使用LH *寻址存储在不同的存储桶中。 通过使用加密密钥加密应用数据来生成加密的应用数据。 加密的应用数据被存储在加密的数据记录中。 使用LH *寻址将每个加密的数据记录存储在桶中的不同桶中。

公开(公告)号：US08566269B2

公开(公告)日：2013-10-22

申请号：US11831914

申请日：2007-07-31

申请人： Sushil Jajodia ,  Lingyu Wang ,  Anoop Singhal

发明人： Sushil Jajodia ,  Lingyu Wang ,  Anoop Singhal

IPC分类号： G06F21/06 ,  G06F19/28 ,  G06F15/163

CPC分类号： H04L63/1441

摘要： An attack graph analysis tool that includes a network configuration information input module, a domain knowledge input module, a network configuration information storage module, a domain knowledge storage module, and a result generation module. The network configuration information input module inputs network configuration information. The domain knowledge input module inputs domain knowledge for the network. The network configuration information storage module stores network configuration information in a network database table. The domain knowledge storage module stores the domain knowledge in an exploit database table. The result generation module generates a result using the network database table and exploit database table. The result may be generated in response to a query to a database management system that has access to the network database table and exploit database table. The network may be reconfigured to decrease the likelihood of future attacks using the attack information learned from the result.

摘要翻译： 一种攻击图分析工具，包括网络配置信息输入模块，域知识输入模块，网络配置信息存储模块，域知识存储模块和结果生成模块。 网络配置信息输入模块输入网络配置信息。 域知识输入模块为网络输入域知识。 网络配置信息存储模块将网络配置信息存储在网络数据库表中。 领域知识存储模块将领域知识存储在漏洞利用数据库表中。 结果生成模块使用网络数据库表生成结果并利用数据库表。 响应于对具有访问网络数据库表并利用数据库表的数据库管理系统的查询，可以生成结果。 可以重新配置网络，以使用从结果中学习的攻击信息来减少未来攻击的可能性。