Method and system for detecting intrusion into and misuse of a data processing system

   
   

Disclosed is a Security Indications and Warning (SI&W) Engine usable in conjunction with an audit agent. The audit agent forwards normalized audits to the SI&W Engine. The SI&W Engine groups the normalized audits into related groupings. Gauges are used to count the number of occurrences of audited events. A statistical engine provides statistical representations of the number of events per user, per session and per node. A predetermined number of criteria are defined a particular gauge or gauge pair. There may be many criteria for a particular network. When a predetermined number of criteria within a criteria set are triggered, an indicator is triggered. More complex indicators can use combinations of lower level indicators to provide further indications of potential security threads. Thus, a hierarchical system of gauges, criteria and indicators is used to measure boundary violations and breaches of different barriers. Advantageously, because there are no predefined scenarios or profiles that must be performed by a potential misuser or intruder, the SI&W Engine of the present invention is capable of indicating that a potential security threat exists in near-real time.

Onthuld wordt de Motor Veiligheid van de Aanwijzingen en van de Waarschuwing van een (SI&W) bruikbaar samen met een controleagent. De forwards genormaliseerde controles van de controleagent aan de Motor SI&W. De Motor SI&W groepeert de genormaliseerde controles in verwante groeperingen. De maten worden gebruikt om het aantal voorkomen van gecontroleerde gebeurtenissen te tellen. Een statistische motor verstrekt statistische vertegenwoordiging van het aantal gebeurtenissen per gebruiker, per zitting en per knoop. Een vooraf bepaald aantal criteria wordt bepaald een bepaald maat of een maatpaar. Er kunnen vele criteria voor een bepaald netwerk zijn. Wanneer een vooraf bepaald aantal criteria binnen bepaalde criteria wordt teweeggebracht, wordt een indicator teweeggebracht. De complexere indicatoren kunnen combinaties lagere vlakke indicatoren gebruiken om verdere aanwijzingen van potentiële veiligheidsdraden te verstrekken. Aldus, wordt een hiërarchisch systeem van maten, criteria en indicatoren gebruikt om grensschendingen en breuken van verschillende barrières te meten. Voordelig, omdat er geen vooraf bepaalde scenario's of profielen zijn die door een potentiële misbruiker of een indringer moeten worden uitgevoerd, kan de Motor SI&W van de onderhavige uitvinding erop wijzen dat een potentiële veiligheidsbedreiging in near-real tijd bestaat.

 
Web www.patentalert.com

< Intelligent signaling scheme for computer-readable medium for H.323 mobility architecture

< System and method for controlling the editing by user action of digital objects created in a document server application

> WTA based over the air management (OTAM) method and apparatus

> Management of multiple non-standard networks and systems with smart agents

~ 00153