A system, method and computer program product for automatic response to
computer system misuse using active response modules (ARMs). ARMs are
tools that allow static intrusion detection system applications the
ability to dynamically increase security levels by allowing real-time
responses to detected instances of computer misuse. Several classes of
ARMs exist which allow them to interface with several types of network
elements found within a computing environment (e.g., firewalls, web
servers, Kerberos severs, certificate authorities, etc.). The ARMs, once
defined, are deployed in a "plug and play" manner into an existing
intrusion detection system within a computing environment. A user (e.g.,
system administrator) may then configure the ARMs by linking them to
specific computer misuses. Upon receipt of an instance of the computer
misuse from the intrusion detection system, each ARM linked to the misuse
collects pertinent data from the intrusion detection system and invokes a
response specified by the ARM class and the collected pertinent data.
Un producto del sistema, del método y del programa de computadora para la respuesta automática al sistema informático emplea mal con los módulos activos de la respuesta (brazos). Los brazos son las herramientas que no prohiben a usos estáticos del sistema de la detección de la intrusión la capacidad de aumentar dinámicamente niveles de la seguridad permitiendo respuestas en tiempo real a los casos detectados del uso erróneo de la computadora. Varias clases de los brazos existen que permiten que interconecten con varios tipos de elementos de la red encontrados dentro de un ambiente que computa (e.g., los cortafuegos, servidores de la tela, Kerberos separan, las autoridades del certificado, etc.). Los brazos, una vez que estén definidos, se despliegan de una manera del "enchufe y del juego" en un sistema existente de la detección de la intrusión dentro de un ambiente que computa. Un usuario (e.g., administrador de sistema) puede entonces configurar los brazos ligándolos a los usos erróneos específicos de la computadora. Sobre recibo de un caso del uso erróneo de la computadora del sistema de la detección de la intrusión, cada BRAZO ligado al uso erróneo recoge datos pertinentes del sistema de la detección de la intrusión e invoca una respuesta especificada por la clase del BRAZO y los datos pertinentes recogidos.
