对计算机系统的入侵识别技术方案

一种分析设备（111、111

【技术实现步骤摘要】
【国外来华专利技术】对计算机系统的入侵识别


[0001]各种示例一般涉及用于基于对计算机系统的日志消息的分析对所述计算机系统进行入侵识别的技术。各种示例特别是涉及分布式数据库与入侵识别相关联的使用。

技术介绍

[0002]用于入侵识别（英语：Intrusion Detection System，入侵识别系统；IDS）的分析设备是一种监视计算机系统（例如各个计算机或包括多个计算机的网络）并旨在识别攻击的设备。IDS通常使用两种不同的技术来识别攻击。第一种：基于签名（英语：signature
‑
based）的攻击识别使用存储在数据库中的攻击模式来监视活动的计算机系统。通过将来自数据库的攻击签名与主动的系统行为进行比较来识别攻击。如果存储的攻击签名与当前系统行为一致，则IDS推断存在攻击。第二种：基于异常的IDS。该技术试图通过识别计算机系统的系统行为的变化来检测攻击。这意味着IDS在第一步骤中学习/分析计算机系统的正常行为（或值得信赖的第三实体学习所述正常行为），以在第二步骤中将主动的系统行为与先前学习的正常行为进行比较。如果当前行为偏离了先前学习的正常行为，则这可以被评估为异常，并且可能是对计算机系统的攻击或损害的迹象。系统是否偏离正常行为的决定可以借助于统计方法或机器学习算法（英语：Machine Learning）来实现。
[0003]基于主机的IDS（HIDS）安装在计算机系统上并收集关于其操作状态的信息，以便借助于这些信息来识别攻击。基于网络的IDS（英语：network
‑
based Intrusion Detection System，基于网络的入侵识别系统，NIDS）试图通过分析网络流量来发现攻击。典型地，在HIDS和NIDS的情况下都创建当前系统行为的日志消息。日志消息记录系统行为。这些日志消息随后由IDS进行分析和评估。该分析的结果提供了关于攻击者是否活跃的信息。
[0004]这种先前已知的技术具有特定的缺点和限制。控制计算机系统或IDS的攻击者可以操纵对日志消息的分析。具体来说，这意味着：虽然日志消息包含关于攻击者的指示，但分析结果是不正确的，因为攻击者在此期间控制了IDS并且因此结果已被篡改。这意味着已知的IDS可能在抵抗操纵方面具有有限的安全性。

技术实现思路

[0005]因此，需要用于对计算机系统进行入侵识别的改进技术。特别是需要安全有效的入侵识别技术。
[0006]该任务通过独立权利要求的特征解决。从属权利要求的特征定义了实施方式。
[0007]区块链（英语：blockchains）或“分布式账本”技术当前是一项被广泛讨论的技术，其特别是可以实现为分布式数据库系统。除了分布式支付系统的应用（例如比特币）之外，金融行业正在开发新的应用可能性。特别地，公司之间的交易由此可以在没有中介或票据交换所的情况下以防操纵的方式实现。这使得无需可信赖中介的新业务模型成为可能，它降低了交易成本，并且可以灵活地提供新的数字服务，而无需建立专门为此设置的基础设施和信任关系。通过区块链保护的交易数据集（或简称交易）包括例如程序代码，所述程序
代码也可以称为所谓的“智能合约”。
[0008]IDS包括处理器和通信接口。在此，处理器被设置为从存储器加载程序代码并执行所述程序代码，并在此基础上执行以下步骤：经由通信接口与分布式数据库的基础设施的至少一个节点通信，以获得对计算机系统进行入侵识别的授权；以及根据是否获得授权：基于对所述计算机系统的经由所述通信接口从所述计算机系统接收到的日志消息的分析，对所述计算机系统进行入侵识别。
[0009]一种方法包括：与分布式数据库的基础设施的至少一个节点通信以获得对计算机系统进行入侵识别的授权。该方法还包括，根据是否获得授权：基于对计算机系统的从所述计算机系统接收到的日志消息的分析，对所述计算机系统进行入侵识别。
[0010]计算机程序或计算机程序产品或计算机可读存储介质包括程序代码。所述程序代码可由处理器执行。这引起所述处理器执行一种方法，该方法包括：与分布式数据库的基础设施的至少一个节点通信以获得对计算机系统进行入侵识别的授权。该方法还包括，根据是否获得授权：基于对计算机系统的从所述计算机系统接收到的日志消息的分析，对所述计算机系统进行入侵识别。
[0011]分布式数据库的基础设施的节点包括处理器和通信接口。在此，所述处理器被设置为从存储器加载程序代码并执行所述程序代码，并在此基础上执行以下步骤：执行智能合约以获得对应的结果值；根据所述结果值从多个IDS中选择至少一个IDS；以及经由所述通信接口与所述至少一个IDS通信，以授予所述至少一个IDS对计算机系统进行入侵识别的授权。
[0012]一种方法包括：执行智能合约以获得对应的结果值；根据所述结果值从多个IDS中选择至少一个IDS；以及与所述至少一个IDS通信以授予所述至少一个IDS对计算机系统进行入侵识别的授权。
[0013]计算机程序或计算机程序产品或计算机可读存储介质包括程序代码。所述程序代码可由处理器执行。这引起所述处理器执行一种方法，所述方法包括：执行智能合约以获得对应的结果值；根据所述结果值从多个IDS中选择至少一个IDS；以及与所述至少一个IDS通信，以授予所述至少一个IDS对计算机系统进行入侵识别的授权。
[0014]一种计算机系统包括处理器和通信接口，其中所述处理器被设置为从存储器加载程序代码并执行所述程序代码，并在此基础上执行以下步骤：经由所述通信接口从IDS接收注册信息。在此，所述注册信息指示IDS的身份。所述处理器还被设置为触发所述注册信息的验证，例如通过与分布式数据库中的对应条目进行比较。所述处理器还被设置为根据所述验证的结果将所述计算机系统的日志消息经由所述通信接口传输到IDS。
[0015]一种方法包括：从IDS接收注册信息，其中所述注册信息指示IDS的身份；触发对所述注册信息的验证，例如通过与分布式数据库中的对应条目进行比较或通过公钥材料的基础设施（英语：public
‑
key infrastructure，公钥基础设施）；并且根据所述验证的结果：将所述计算机系统的日志消息传输到IDS。
[0016]计算机程序或计算机程序产品或计算机可读存储介质包括程序代码。所述程序代码可由处理器执行。这引起所述处理器执行一种方法，该方法包括：从IDS接收注册信息，其中所述注册信息指示IDS的身份；触发对所述注册信息的验证，例如通过与分布式数据库中的对应条目进行比较；并且根据所述验证的结果：将所述计算机系统的日志消息传输到
IDS。
[0017]除非在以下描述中另有说明，术语“执行”、“计算”、“计算机辅助的”、“确定”、“生成”、“配置”、“重建”等优选地涉及改变和/或产生数据和/或将所述数据转换为其他数据的动作和/或过程和/或处理步骤，其中数据特别是可以作为物理变量表示或存在，例如作为电脉冲。特别是应尽可能广泛地解释表达“计算机”，以特别是涵盖所有具有数据处理特性的电本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种分析设备（111、111
‑
1、111
‑
2、111
‑
3），具有处理器（112）和通信接口（114），其中所述处理器（112）被设置为从存储器（113）加载程序代码并执行所述程序代码，并且在此基础上执行以下步骤：
‑
经由所述通信接口（114）与分布式数据库（200）的基础设施（129）的至少一个节点（121、121
‑
1、121
‑
2、121
‑
3）通信，以获得对计算机系统（101）进行入侵识别的授权（193、214、215），以及
‑
根据是否获得所述授权（193、214、215）：基于对所述计算机系统（101）的经由所述通信接口（114）从所述计算机系统（101）接收到的日志消息（191）的分析，对所述计算机系统（101）进行入侵识别。2.如权利要求1所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述授权（193、214、215）基于由所述至少一个节点（121、121
‑
1、121
‑
2、121
‑
3）执行的智能合约（192、220）的结果值（214）。3.如权利要求2所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述处理器（112）还被设置为基于所述程序代码执行以下步骤：
‑
根据所述结果值（214）申请在所述分布式数据库中存储指示所述分析设备（111、111
‑
1、111
‑
2、111
‑
3）的身份的注册信息。4.如权利要求3所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述处理器（112）还被设置为基于所述程序代码执行以下步骤：
‑
向所述计算机系统（101）发送进行所述入侵识别的请求，所述请求指示所述注册信息。5.如权利要求4所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述请求包括所述分析设备（111、111
‑
1、111
‑
2、111
‑
3）的公共密码密钥材料和/或证书中的至少一个。6.如权利要求3至5中任一项所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述处理器还被设置为基于所述程序代码执行以下步骤：
‑
在所述分布式数据库（200）中查找以获得所述结果值，以及
‑
将所述结果值与所述注册信息进行比较，其中根据所述比较选择性地进行所述申请。7.如前述权利要求中任一项所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述分析基于至少一种算法。8.如权利要求6所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述处理器（112）还被设置为基于所述程序代码执行以下步骤：
‑
基于所述分布式数据库（200）中的对应条目或基于所述授权（193）选择至少一种机器学习算法。9.如前述权利要求中任一项所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中所述处理器（112）还被设置为基于所述程序代码执行以下步骤：
‑
将所述分析的结果存储在所述分布式数据库（200）中。10.如前述权利要求中任一项所述的分析设备（111、111
‑
1、111
‑
2、111
‑
3），其中经由端到端通信通道（302）直接从所述计算机系统（101）接收所述日志消息（191）或经由代理或预
言机接收所述日志消息（191）。11.一种分布式数据库（200）的基础设施（129）的节点（121、121
‑
1、121
‑
2、121
‑
3），所述节点具有处理器（122）和通信接口（124），其中所述处理器（122）被设置为从存储器...

【专利技术属性】
技术研发人员：T，
申请(专利权)人：西门子股份公司，
类型：发明
国别省市：