WO2007076850A2 - Method and device for protecting a constantly changing data configuration - Google Patents

Method and device for protecting a constantly changing data configuration Download PDF

Info

Publication number
WO2007076850A2
WO2007076850A2 PCT/DE2007/000006 DE2007000006W WO2007076850A2 WO 2007076850 A2 WO2007076850 A2 WO 2007076850A2 DE 2007000006 W DE2007000006 W DE 2007000006W WO 2007076850 A2 WO2007076850 A2 WO 2007076850A2
Authority
WO
WIPO (PCT)
Prior art keywords
data
data configuration
data pattern
pattern
configuration
Prior art date
Application number
PCT/DE2007/000006
Other languages
German (de)
French (fr)
Other versions
WO2007076850A3 (en
Inventor
Petri MÄHÖNEN
Pierre-Yves Saintoyant
Original Assignee
Rwth Aachen
European Microsoft Innovation Center Gmbh
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Rwth Aachen, European Microsoft Innovation Center Gmbh filed Critical Rwth Aachen
Priority to DE112007000482T priority Critical patent/DE112007000482A5/en
Publication of WO2007076850A2 publication Critical patent/WO2007076850A2/en
Publication of WO2007076850A3 publication Critical patent/WO2007076850A3/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures

Definitions

  • the invention relates to a method and a device for protecting a constantly changing data configuration stored in a machine-readable memory, in particular an operating system, from undesired changes.
  • data configuration is understood here as a configuration of any type of machine-readable data, which is continuously accessed, for example, during operation of a computer and which is continuously changed.
  • data confi guration can be the operating system of a computer including its continuously changing parameters during operation.
  • protection programs in the form of so-called firewalls and anti-virus programs are known, which are intended to prevent the intrusion of harmful software into a computer system or to remove any malicious software that has entered.
  • the known protection programs must be continuously updated by so-called updating a virus database, as they regularly search for data strings (strings) that have already been recognized as part of malicious software. As a rule, they can not detect completely new viruses, but also systemic errors, since new viruses must first be recognized as viruses and the virus database must be supplemented accordingly.
  • the invention has for its object to provide a method and an apparatus for protecting a constantly changing, stored in a machine-readable memory data configuration, such as in particular an operating system from unwanted changes that are not dependent on constantly updated virus information and rather harmful software, but also detect inherent malfunction, be self-sufficient and can initiate appropriate protective measures to protect the data configuration.
  • the invention is based on the surprising finding that malicious software as well as system inherent misconduct lead to changes in the values of certain parameters characterizing a state of the data configuration and, if the
  • Values in a particular data pattern can be detected by comparing this data pattern with at least one predetermined data pattern, so that appropriate protection operation can be performed.
  • the invention thus advantageously permits the application, for example, of the image processing of known and reliable pattern recognition methods and algorithms, and can easily be self-learning such that a computer system becomes more stable through continued use and becomes more resistant to even completely new types of malicious software not listed in the databases of appropriate anti-virus programs. Further details and advantages of the invention will become apparent from the following, purely exemplary and non-limiting description of preferred embodiments.
  • Step values of certain parameters characterizing a state of the data configuration (step a)).
  • step b) Since modern operating systems include a plurality of parameters that form an N-dimensional parameter space, where N is a large number, different-dimensional vectors for a pattern classification can be easily filtered out of this parameter space, starting with a current data pattern from the values acquired in step a) is generated (step b)).
  • the pattern classification can be viewed as a "dimensional reduction system” because it maps the very high-dimensional "operating system status space” to a limited-sized “action space”.
  • action space is due to the fact that the operating system will perform various actions depending on which classes the detected status was mapped to.
  • the data pattern generated in step b) is then compared to at least one predetermined data pattern (step c)) and based on the comparison of one of at least two different categories, at least one of which corresponds to at least one normal state of the data configuration and at least one other at least an abnormal state of the data configuration corresponding assigned (step d)).
  • the predetermined data model (s) with which the current data pattern is compared can be learned by a normally behaving system by performing steps a) and b) at a time prior to the generation of the current data pattern.
  • the method and corresponding apparatus may also be predicated by the operating system manufacturer.
  • Customization can then be done automatically within the premises of the user.
  • the operating system manufacturer can offer a service that enhances the value of its system, through which new data patterns can be downloaded.
  • feedback messages may be provided such that e.g. a PC on which the method according to the invention is executed, when recognizing problems reports this to the operating system manufacturer or a database operator via a web service interface.
  • the values detected in step a) can be values of at least one of the following parameters: utilization of a central processor unit, number of
  • Read / write accesses to a memory unit in particular a RAM, ROM or CACHE memory, data of a register of an operating system, user data of the data configuration, status variables of a memory controller, status variables of a data connection, status variables of an operating system controller or scheduler and e.g. Values of the temporal variance of the parameters.
  • the parameters used for pattern learning are selected from the system parameters, e.g. from the operating system registration, the process information, the memory usage, the user status variables, the dynamic operating status variables, etc. This information can be in tables.
  • the protection operation may advantageously comprise at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching a
  • the protective operation issuing a warning message and requesting a User input regarding the further course of action, wherein the requested user input may in particular include the reassignment of the current data pattern to a category. This gives the user the option of deciding whether or not to allow him or her to make an unusual change to the configuration of the data, such as when installing a new program on a PC.
  • the data pattern thus assigned to another category can advantageously be automatically added to a database with predetermined data patterns, which makes it possible, on renewed
  • the comparison of the data pattern with at least one predetermined data pattern is preferably carried out using at least one pattern recognition algorithm such as, in particular, a self-organizing topological map and a learning vector quantization and other methods known in particular from image processing which are very mature and operate reliably.
  • at least one pattern recognition algorithm such as, in particular, a self-organizing topological map and a learning vector quantization and other methods known in particular from image processing which are very mature and operate reliably.
  • inventive method unlike most known anti-virus programs also allows a fuzzy classification, so not only knows yes / no divisions, but can decide based on the degree of similarity to a known data pattern, whether executed a protective operation or at least the user should be asked about the further procedure, or whether a data pattern is to be classified as non-hazardous.
  • the user can specify or change the degree of similarity, for example in the form of a percentage itself, for example, can proceed so that the protection of highly sensitive data rather a Will issue a warning message when used as a pure gaming or multimedia computer PCs on which often new software is installed.
  • the method may also be implemented to provide more than two different categories that correspond to at least one normal state of data operation not requiring protection operations and different states of the data configuration requiring different levels of protection operations requiring different protection operations. This then advantageously makes it possible to automatically execute a protection operation optimally adapted to the respective state. For example, if we detect a data configuration critical to system stability, it can automatically switch to a so-called safe mode of operation. When a virus is detected, certain data areas can be locked before read / write accesses and virus removal operations can be performed.
  • the method may be continuous or e.g. be executed at predefined times. Such times may e.g. when used on a PC e.g. be: switching on the computer using the data configuration, entering predetermined boundary conditions such as increased in particular
  • the method is carried out self-learning, ie that it learns automatically by continuous use, eg which data patterns are to be assigned to which category and / or which of the parameters characterizing a state of the data configuration has priority in recognizing abnormal states and / or which Protective operation upon detection of a particular abnormal state is executed.
  • An apparatus for protecting a constantly changing data configuration stored in a machine-readable memory, such as an operating system, from unwanted changes comprises means for acquiring values of certain parameters characterizing a state of the data configuration, means for generating a current data pattern from the ones in FIG Values, means for storing at least one predetermined data pattern, means for comparing the generated data pattern with at least one stored predetermined data pattern, means for assigning the generated data pattern based on the comparison to one of at least two different categories, of which at least one at least one normal state Data configuration and at least one other corresponds to at least one abnormal state of the data configuration, and means for performing at least one protection operation when the generated data mus was assigned to a category corresponding to an abnormal state.
  • the means for comparing the generated data pattern with at least one stored predetermined data pattern may comprise means for executing at least one pattern recognition algorithm such as, in particular, a self-organizing topological map and a learning vector quantification.
  • the means for performing the protection operation may preferably perform at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching an operating system to a safe mode, executing an antivirus program.
  • means are provided for outputting a visual and / or audible warning message and requesting a user input regarding the further procedure, which are activated automatically when the generated data pattern is assigned to a category corresponding to an abnormal state.
  • the means for detecting the values may preferably be designed such that they can detect at least values of one of the following parameters: utilization of a central processor unit, number of read / write accesses to a memory unit, in particular a RAM, ROM or CACHE memory , Data of a register of an operating system, user-specific data of the data configuration, status variables of a memory controller, status variables of a data connection, status variables of an operating system controller or scheduler.
  • the device may advantageously be a computer, in particular a personal computer or a server, and further advantageously coupled via data line means with an external memory for predetermined data configurations.
  • it may be self-learning and automatically learn by continuous use which data patterns are to be assigned to which category and / or which of the parameters characterizing a state of the data configuration has priority in recognizing abnormal states and / or which protection operation is to be performed upon detection of a particular abnormal state ,
  • the invention advantageously allows the use of known cluster and pattern recognition algorithms that operate very fast, include self-learning algorithms and can make very fast pattern recognition decisions, such as self-organizing map neural networks and learning vector quantization.

Abstract

The invention relates to a method and a device for protecting a constantly changing data configuration which is stored in a machine-readable memory, such as especially that of an operating system, from undesired modifications. The method according to the invention comprises the following steps: a) acquiring values of certain parameters that characterize a status of the data configuration, b) generating an actual data pattern from the values acquired in step a), c) comparing the data pattern with at least one given data pattern, d) allocating the generated data pattern from the comparison of step c) to one of at least two categories, one of which corresponds to at least one normal status of the data configuration and one of which corresponds to at least one anomalous status of the data configuration, and e) carrying out at least one protective operation when the generated data pattern was allocated to a category corresponding to an anomalous status.

Description

TITEL DER ERFINDUNG TITLE OF THE INVENTION
Verfahren und Vorrichtung zum Schutz einer sich ständig ändernden DatenkonfigurationMethod and device for protecting a constantly changing data configuration
TECHNISCHES GEBIETTECHNICAL AREA
Die Erfindung betrifft ein Verfahren und eine Vorrichtung zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen.The invention relates to a method and a device for protecting a constantly changing data configuration stored in a machine-readable memory, in particular an operating system, from undesired changes.
Dabei wird unter dem Begriff "Datenkonfiguration" hier eine Konfiguration jeder Art von maschinenlesbaren Daten verstanden, auf die zum Beispiel beim Betrieb eines Computers fortlaufend zugegriffen und die fortlaufend verändert wird. Insbesondere kann es sich bei der Daten konf ig uration um das Betriebssystem eines Computers einschließlich seiner sich im Betrieb fortlaufend ändernden Parameter handeln.Here, the term "data configuration" is understood here as a configuration of any type of machine-readable data, which is continuously accessed, for example, during operation of a computer and which is continuously changed. In particular, the data confi guration can be the operating system of a computer including its continuously changing parameters during operation.
HINTERGRUND DER ERFINDUNG UND STAND DER TECHNIKBACKGROUND OF THE INVENTION AND PRIOR ART
Es ist bekannt, daß insbesondere moderne Betriebssysteme gerade aufgrund ihrer zunehmenden Leistungsfähigkeit und ihrer Vielzahl von Funktionalitäten anfällig sind für verschiedene Viren, Würmer, Softwarefehler, Softwareinkompatibilitäten, unerwünschte Fremdsteuerung z.B. von E-Mail-Programmen und andere schädliche oder auch nur lästige Software und gelegentliches inhärentes Fehlverhalten aufgrund der Komplexität der Betriebsumgebung. Solche schädliche Software, aber auch das genannte Fehlverhalten, kann zu Datenverlusten, Datendiebstahl, Computerabstürzen und größeren wirtschaftlichen Schäden führen.It is well known that modern operating systems are susceptible to various viruses, worms, software errors, software incompatibilities, undesired external control, for example due to their increasing performance and their variety of functionalities. e-mail programs and other harmful or even annoying software and occasional inherent misconduct due to the complexity of the operating environment. Such malicious software, as well as the aforementioned misconduct, can lead to data loss, data theft, computer crashes and major economic damage.
Zur zumindest partiellen Lösung der genannten Probleme sind Schutzprogramme in Form sog. Firewalls und Antivirenprogrammen bekannt, die das Eindringen schädlicher Software in ein Computersystem verhindern bzw. etwaige eingedrungene schädliche Software entfernen sollen. Allerdings müssen die bekannten Schutzprogramme fortlaufend durch sogenanntes Updaten einer Virendatenbank aktualisiert werden, da sie regelmäßig nach Datenstrings (Zeichenketten) suchen, die bereits als Teil schädlicher Software erkannt wurden. Völlig neue Viren, aber auch systeminhärentes Fehlverhalten können sie in der Regel nicht erkennen, da neue Viren zunächst einmal als Viren erkannt und die Virendatenbank entsprechend ergänzt werden muß.For the at least partial solution of the problems mentioned, protection programs in the form of so-called firewalls and anti-virus programs are known, which are intended to prevent the intrusion of harmful software into a computer system or to remove any malicious software that has entered. However, the known protection programs must be continuously updated by so-called updating a virus database, as they regularly search for data strings (strings) that have already been recognized as part of malicious software. As a rule, they can not detect completely new viruses, but also systemic errors, since new viruses must first be recognized as viruses and the virus database must be supplemented accordingly.
ZUSAMMENFASSUNGSUMMARY
Der Erfindung liegt die Aufgabe zugrunde, ein Verfahren und eine Vorrichtung zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen anzugeben, die nicht auf ständig aktualisierte Vireninformationen angewiesen sind und vielmehr schädliche Software, aber auch systeminhärentes Fehlverhalten, autark erkennen und geeignete Schutzmaßnahmen zum Schutz der Datenkonfiguration einleiten können.The invention has for its object to provide a method and an apparatus for protecting a constantly changing, stored in a machine-readable memory data configuration, such as in particular an operating system from unwanted changes that are not dependent on constantly updated virus information and rather harmful software, but also detect inherent malfunction, be self-sufficient and can initiate appropriate protective measures to protect the data configuration.
Die Aufgabe wird von einem Verfahren mit den Merkmalen des Anspruchs 1 bzw. einer Vorrichtung mit den Merkmalen Anspruch 14 gelöst. Vorteilhafte Durchführungsformen und Ausgestaltungen sind Gegenstand der jeweiligen Unteransprüche.The object is achieved by a method having the features of claim 1 and a device having the features of claim 14. Advantageous embodiments and refinements are the subject of the respective subclaims.
Die Erfindung basiert auf der überraschenden Erkenntnis, das schädliche Software wie auch systeminhärentes Fehlverhalten zu Änderungen der Werte bestimmter, einen Zustand der Datenkonfiguration charakterisierender Parameter führen und, wenn dieThe invention is based on the surprising finding that malicious software as well as system inherent misconduct lead to changes in the values of certain parameters characterizing a state of the data configuration and, if the
Werte in einem bestimmten Datenmuster angeordnet werden, durch Vergleich dieses Datenmusters mit wenigstens einem vorgegebenen Datenmuster, erkannt werden können, so daß geeignete Schutzoperation ausgeführt werden können. Die Erfindung erlaubt damit vorteilhaft die Anwendung zum Beispiel aus der Bildverarbeitung bekannter und verläßlicher Mustererkennungsverfahren und -algorithmen und kann leicht derart selbstlernend ausgebildet werden, daß ein Computersystem durch fortwährende Benutzung immer stabiler läuft und resistenter gegen auch völlig neue Arten von schädlicher Software wird, die noch nicht in den Datenbanken entsprechender Virenschutzprogramme verzeichnet sind. Weitere Einzelheiten und Vorteile der Erfindung ergeben sich aus der nachfolgenden, rein beispielhaften und nicht beschränkenden Beschreibung bevorzugter Ausführungsformen.Values in a particular data pattern can be detected by comparing this data pattern with at least one predetermined data pattern, so that appropriate protection operation can be performed. The invention thus advantageously permits the application, for example, of the image processing of known and reliable pattern recognition methods and algorithms, and can easily be self-learning such that a computer system becomes more stable through continued use and becomes more resistant to even completely new types of malicious software not listed in the databases of appropriate anti-virus programs. Further details and advantages of the invention will become apparent from the following, purely exemplary and non-limiting description of preferred embodiments.
DETAILLIERTE BESCHREIBUNG BEVORZUGTER AUSFÜHRUNGSFORMENDETAILED DESCRIPTION OF PREFERRED EMBODIMENTS
Bei einem Verfahren zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen, werden in einem erstenIn a method for protecting a constantly changing data configuration stored in a machine-readable memory, in particular an operating system, from undesired changes, in a first
Schritt Werte bestimmter, einen Zustand der Datenkonfiguration charakterisierender Parameter erfaßt (Schritt a)).Step values of certain parameters characterizing a state of the data configuration (step a)).
Da moderne Betriebssysteme eine Vielzahl von Parametern beinhalten, die einen N-dimensionalen Parameterraum bilden, wobei N eine große Zahl ist, können leicht aus diesem Parameterraum verschiedendimensionale Vektoren für eine Musterklassifikation herausgefiltert werden, wobei zunächst ein aktuelles Datenmuster aus den in Schritt a) erfaßten Werten generiert wird (Schritt b)). Dabei sei bemerkt, daß die Musterklassifikation angesehen werden kann als "Dimensions-Reduktions-System", da sie den sehr hochdimensionalen "Betriebssystemstatusraum" auf einen beschränktdimensionierten "Aktionsraum" kartiert. Der Ausdruck Aktionsraum rührt von der Tatsache her, daß das Betriebssystem verschiedene Aktionen ausführen wird, abhängig davon, in welche Klassen der erkannte Status kartiert wurde.Since modern operating systems include a plurality of parameters that form an N-dimensional parameter space, where N is a large number, different-dimensional vectors for a pattern classification can be easily filtered out of this parameter space, starting with a current data pattern from the values acquired in step a) is generated (step b)). It should be noted that the pattern classification can be viewed as a "dimensional reduction system" because it maps the very high-dimensional "operating system status space" to a limited-sized "action space". The term action space is due to the fact that the operating system will perform various actions depending on which classes the detected status was mapped to.
Das in Schritt b) generierte Datenmuster wird sodann mit wenigstens einem vorgegebenen Datenmuster verglichen (Schritt c)) und auf Basis des Vergleichs einer von wenigstens zwei verschiedenen Kategorien, von denen wenigstens eine wenigstens einem normalem Zustand der Datenkonfiguration entspricht und von denen wenigstens eine andere wenigstens einem anormalen Zustand der Datenkonfiguration entspricht zugeordnet (Schritt d)).The data pattern generated in step b) is then compared to at least one predetermined data pattern (step c)) and based on the comparison of one of at least two different categories, at least one of which corresponds to at least one normal state of the data configuration and at least one other at least an abnormal state of the data configuration corresponding assigned (step d)).
Wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wurde, wird wenigstens eine Schutzoperation ausgeführt. Das oder die vorgegebene(n) Datenmuster, mit denen das aktuelle Datenmuster verglichen wird, kann/können angelernt werden von einem sich normal verhaltenden System durch Ausführen der Schritte a) und b) zu einer Zeit vor der Generierung des aktuellen Datenmusters. Das Verfahren und die entsprechende Vorrichtung können auch durch den Betriebssystemshersteller vorangelernt sein. DieWhen the generated data pattern has been assigned to a category corresponding to an abnormal state, at least one protection operation is performed. The predetermined data model (s) with which the current data pattern is compared can be learned by a normally behaving system by performing steps a) and b) at a time prior to the generation of the current data pattern. The method and corresponding apparatus may also be predicated by the operating system manufacturer. The
Benutzerindividualisierung kann dann automatisch innerhalb der Räumlichkeiten des Benutzers erfolgen. Der Betriebssystemshersteller kann dazu einen den Wert seines Systems steigernden Service anbieten, über den neue Datenmuster heruntergeladen werden können. Auch können Feedback-Meldungen derart vorgesehen werden, daß z.B. ein PC, auf dem das erfindungsgemäße Verfahren ausgeführt wird, bei Erkennen von Problemen diese an den Betriebssystemhersteller oder einen Datenbankbetreiber über eine Web-Service-Schnittstelle meldet.Customization can then be done automatically within the premises of the user. The operating system manufacturer can offer a service that enhances the value of its system, through which new data patterns can be downloaded. Also, feedback messages may be provided such that e.g. a PC on which the method according to the invention is executed, when recognizing problems reports this to the operating system manufacturer or a database operator via a web service interface.
Die in Schritt a) erfaßten Werte können Werte zumindest eines der folgenden > Parameter sein: Auslastung einer zentralen Prozessoreinheit, Anzahl derThe values detected in step a) can be values of at least one of the following parameters: utilization of a central processor unit, number of
Schreib-/Lesezugriffe auf eine Speichereinheit wie insbesondere einen RAM-, ROM- oder CACHE-Speicher, Daten eines Registers eines Betriebssystems, benutzerspezifische Daten der Datenkonfiguration, Statusvariablen eines Speichercontrollers, Statusvariablen einer Datenverbindung, Statusvariablen eines Betriebssystemscontrollers oder -schedulers sowie z.B. Werte der zeitlichen Varianz der Parameter. Handelt es sich bei der Datenkonfiguration um ein Betriebssystem, werden die Parameter, die für die Mustererlernung bzw. Erkennung verwendet werden, aus den Systemparametern gewählt, z.B. aus der Betriebssystemregistrierung, der Prozeß-Information, der Speicherverwendung, den Anwenderstatusvariablen, den dynamischen Betriebsstatusvariablen usw. Diese Informationen können in Tabellen vorliegen.Read / write accesses to a memory unit, in particular a RAM, ROM or CACHE memory, data of a register of an operating system, user data of the data configuration, status variables of a memory controller, status variables of a data connection, status variables of an operating system controller or scheduler and e.g. Values of the temporal variance of the parameters. If the data configuration is an operating system, the parameters used for pattern learning are selected from the system parameters, e.g. from the operating system registration, the process information, the memory usage, the user status variables, the dynamic operating status variables, etc. This information can be in tables.
Die Schutzoperation kann vorteilhaft zumindest eine der folgenden Operationen umfaßt: Reparieren der Datenkonfiguration, Ausgeben einer Warnmeldung, Sperren des Schreib- und/oder Lesezugriffs auf die Datenkonfiguration, Umschalten einesThe protection operation may advantageously comprise at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching a
Betriebssystems in einen abgesicherten Modus, Ausführen eines Antivirenprogramms.Operating system in a safe mode, running an antivirus program.
Bei einer besonders bevorzugten Ausführungsform ist vorgesehen, daß die Schutzoperation das Ausgeben einer Warnmeldung und das Anfordern einer Benutzereingabe bezüglich des weiteren Vorgehens umfaßt, wobei die angeforderte Benutzereingabe insbesondere die Neuzuordnung des aktuellen Datenmusters zu einer Kategorie umfassen kann. Damit erhält der Anwender selbst die Möglichkeit zu entscheiden, ob er eine ungewöhnliche Veränderung der Datenkonfiguration, wie sie zum Beispiel beim Installieren eines neuen Programms auf einem PC vorkommen kann, zuläßt oder nicht.In a particularly preferred embodiment it is provided that the protective operation issuing a warning message and requesting a User input regarding the further course of action, wherein the requested user input may in particular include the reassignment of the current data pattern to a category. This gives the user the option of deciding whether or not to allow him or her to make an unusual change to the configuration of the data, such as when installing a new program on a PC.
Hat der Anwender die Veränderung zugelassen, kann das damit einer anderen Kategorie zugeordnete Datenmuster vorteilhaft automatisch einer Datenbank mit vorgegebenen Datenmustern hinzugefügt werden, was es erlaubt, bei erneutemIf the user has allowed the change, the data pattern thus assigned to another category can advantageously be automatically added to a database with predetermined data patterns, which makes it possible, on renewed
Auftreten eines ähnlichen Musters dieses direkt als "normal" zu klassifizieren.Occurrence of a similar pattern to classify this as "normal".
Um zu verhindern, daß die Datenbank mit Datenmustern zu groß wird und damit Zugriffe auf sie verlangsamt werden, kann sie fortlaufend unter Verwendung wenigstens eines Mustererkennungsalgorithmus komprimiert werden, um ähnlicheIn order to prevent the database of data patterns from becoming too large and thus slowing down accesses to them, it can be continuously compressed using at least one pattern-matching algorithm to produce similar ones
Datenmuster zusammenzufassen.To summarize data patterns.
Bevorzugt erfolgt der Vergleich des Datenmusters mit wenigstens einem vorgegebenen Datenmuster unter Verwendung wenigstens eines Mustererkennungsalgorithmus wie insbesondere einer selbstorganisierenden topologischen Karte und einer lernenden Vektorquantifizierung und anderen insbesondere aus der Bildverarbeitung bekannten Verfahren, die sehr ausgereift sind und zuverlässig arbeiten.The comparison of the data pattern with at least one predetermined data pattern is preferably carried out using at least one pattern recognition algorithm such as, in particular, a self-organizing topological map and a learning vector quantization and other methods known in particular from image processing which are very mature and operate reliably.
Dabei sei an dieser Stelle betont, daß das erfindungsgemäße Verfahren anders als die meisten bekannten Virenschutzprogramme auch eine unscharfe Klassifikation erlaubt, also nicht nur Ja/Nein-Einteilungen kennt, sondern anhand des Grades der Ähnlichkeit zu einem bekannten Datenmuster entscheiden kann, ob eine Schutzoperation ausgeführt oder zumindest beim Benutzer bezüglich des weiteren Vorgehens rückgefragt werden soll, oder ob ein Datenmuster als ungefährlich einzustufen ist.It should be emphasized at this point that the inventive method unlike most known anti-virus programs also allows a fuzzy classification, so not only knows yes / no divisions, but can decide based on the degree of similarity to a known data pattern, whether executed a protective operation or at least the user should be asked about the further procedure, or whether a data pattern is to be classified as non-hazardous.
Dabei kann vorteilhaft vorgesehen sein, daß der Benutzer den Grad der Ähnlichkeit z.B. in Form einer Prozentangabe selbst vorgeben oder verändern kann, wobei z.B. so vorgegangen werden kann, daß zum Schutz hochsensibler Daten eher eine Warnmeldung ausgeben wird, als bei als reinen Spiele- oder Multimediacomputern genutzten PCs, auf denen häufig neue Software installiert wird.It can be advantageously provided that the user can specify or change the degree of similarity, for example in the form of a percentage itself, for example, can proceed so that the protection of highly sensitive data rather a Will issue a warning message when used as a pure gaming or multimedia computer PCs on which often new software is installed.
Visuell kann man sich dies so vorstellen, daß die erfaßten Werte der betrachteten Parameter, wobei die Werte im übrigen stets skalar oder vektoriell sein können, z.B. als Grau- oder Farbstufen in eine Matrix eingetragen werden und das sich so ergebende Muster mit bekannten Mustern verglichen wird, wobei offensichtlich leicht nicht nur Identitäten, sondern auch mehr oder weniger große Ähnlichkeiten festgestellt werden können.Visually, one can visualize this so that the detected values of the considered parameters, which otherwise may always be scalar or vectorial, e.g. are entered as gray or color levels in a matrix and the resulting pattern is compared with known patterns, which obviously not only identities, but also more or less similarities can be found.
Das Verfahren kann auch so durchgeführt werden, daß mehr als zwei verschiedene Kategorien vorgesehen werden, die wenigstens einem normalen, keine Schutzoperationen erfordernden Zustand der Datenoperation und unterschiedlich gestuften, unterschiedliche Schutzoperationen erfordernden anormalen Zuständen der Datenkonfiguration entsprechen. Dies erlaubt es dann vorteilhaft, automatisch eine dem jeweiligen Zustand optimal angepaßte Schutzoperation auszuführen. Wir zum Beispiel eine für die Systemstabilität kritische Datenkonfiguration erkannt, kann automatisch in einen sog. abgesicherten Betriebsmodus umgeschaltet werden. Wird ein Virus erkannt, können bestimmte Datenbereich vor Schreib-/Lesezugriffen gesperrt und Operationen zur Virusentfernung durchgeführt werden.The method may also be implemented to provide more than two different categories that correspond to at least one normal state of data operation not requiring protection operations and different states of the data configuration requiring different levels of protection operations requiring different protection operations. This then advantageously makes it possible to automatically execute a protection operation optimally adapted to the respective state. For example, if we detect a data configuration critical to system stability, it can automatically switch to a so-called safe mode of operation. When a virus is detected, certain data areas can be locked before read / write accesses and virus removal operations can be performed.
Je nach Art der Einsatzumgebung kann das Verfahren kontinuierlich oder z.B. zu vordefinierten Zeitpunkten ausgeführt werden. Solche Zeitpunkte können z.B. bei Anwendung auf einem PC z.B. sein: Einschalten des die Datenkonfiguration nutzenden Computers, Eintreten vorbestimmter Randbedingungen wie insbesondere vermehrtenDepending on the nature of the environment of use, the method may be continuous or e.g. be executed at predefined times. Such times may e.g. when used on a PC e.g. be: switching on the computer using the data configuration, entering predetermined boundary conditions such as increased in particular
Schreib-/Lesezugriffen auf die Datenkonfiguration und/oder einer bestimmten Anzahl von Schreib-/Lesezugriffen auf die Datenkonfiguration, Ablauf eines bestimmten Zeitintervalls.Read / write access to the data configuration and / or a certain number of read / write accesses to the data configuration, expiration of a specific time interval.
Bevorzugt wird das Verfahren selbstlernend ausgeführt, d.h. daß es automatisch durch fortlaufende Benutzung lernt, z.B. welche Datenmuster welcher Kategorie zuzuordnen sind und/oder welchen der einen Zustand der Datenkonfiguration charakterisierenden Parameter Priorität bei der Erkennung anormaler Zustände zukommt und/oder welche Schutzoperation bei Erkennung eines bestimmten anormalen Zustandes auszuführen ist.Preferably, the method is carried out self-learning, ie that it learns automatically by continuous use, eg which data patterns are to be assigned to which category and / or which of the parameters characterizing a state of the data configuration has priority in recognizing abnormal states and / or which Protective operation upon detection of a particular abnormal state is executed.
Eine Vorrichtung zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen, umfaßt Mittel zum Erfassen von Werten bestimmter, einen Zustand der Datenkonfiguration charakterisierender Parameter, Mittel zum Generieren eines aktuellen Datenmusters aus den in erfaßten Werten, Mittel zum Speichern wenigstens eines vorgegebenen Datenmusters, Mittel zum Vergleichen des generierten Datenmusters mit wenigstens einem gespeicherten vorgegebenen Datenmuster, Mittel zum Zuordnen des generierten Datenmusters auf Basis des Vergleichs zu einer von wenigstens zwei verschiedenen Kategorien, von denen wenigstens eine wenigstens einem normalem Zustand der Datenkonfiguration entspricht und von denen wenigstens eine andere wenigstens einem anormalen Zustand der Datenkonfiguration entspricht, und Mittel zum Ausführen wenigstens einer Schutzoperation, wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wurde.An apparatus for protecting a constantly changing data configuration stored in a machine-readable memory, such as an operating system, from unwanted changes, comprises means for acquiring values of certain parameters characterizing a state of the data configuration, means for generating a current data pattern from the ones in FIG Values, means for storing at least one predetermined data pattern, means for comparing the generated data pattern with at least one stored predetermined data pattern, means for assigning the generated data pattern based on the comparison to one of at least two different categories, of which at least one at least one normal state Data configuration and at least one other corresponds to at least one abnormal state of the data configuration, and means for performing at least one protection operation when the generated data mus was assigned to a category corresponding to an abnormal state.
Vorteilhaft können die Mittel zum Vergleichen des generierten Datenmusters mit wenigstens einem gespeicherten vorgegebenen Datenmuster Mittel zum Ausführen wenigstens eines Mustererkennungsalgorithmus wie insbesondere einer selbstorganisierenden topologischen Karte und einer lernenden Vektorquantifizierung umfassen.Advantageously, the means for comparing the generated data pattern with at least one stored predetermined data pattern may comprise means for executing at least one pattern recognition algorithm such as, in particular, a self-organizing topological map and a learning vector quantification.
Die Mittel zum Ausführen der Schutzoperation können bevorzugt zumindest eine der folgenden Operationen ausführen: Reparieren der Datenkonfiguration, Ausgeben einer Warnmeldung, Sperren des Schreib- und/oder Lesezugriffs auf die Datenkonfiguration, Umschalten eines Betriebssystems in einen abgesicherten Modus, Ausführen eines Antivirenprogramms.The means for performing the protection operation may preferably perform at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching an operating system to a safe mode, executing an antivirus program.
Bei einer vorteilhaften Ausführungsform sind Mittel zum Ausgeben einer optischen und/oder akustischen Warnmeldung und Anfordern einer Benutzereingabe bezüglich des weiteren Vorgehens vorgesehen, die automatisch aktiviert werden, wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wird.In an advantageous embodiment, means are provided for outputting a visual and / or audible warning message and requesting a user input regarding the further procedure, which are activated automatically when the generated data pattern is assigned to a category corresponding to an abnormal state.
Die Mittel zum Erfassen der Werte können bevorzugt so ausgebildet sein, daß sie zumindest Werte eines der folgenden Parameter erfassen können: Auslastung einer zentralen Prozessoreinheit, Anzahl der Schreib-/Lesezugriffe auf eine einer Speichereinheit wie insbesondere einen RAM-, ROM- oder CACHE-Speicher, Daten eines Registers eines Betriebssystems, benutzerspezifische Daten der Datenkonfiguration, Statusvariablen eines Speichercontrollers, Statusvariablen einer Datenverbindung, Statusvariablen eines Betriebssystemscontrollers oder -schedulers.The means for detecting the values may preferably be designed such that they can detect at least values of one of the following parameters: utilization of a central processor unit, number of read / write accesses to a memory unit, in particular a RAM, ROM or CACHE memory , Data of a register of an operating system, user-specific data of the data configuration, status variables of a memory controller, status variables of a data connection, status variables of an operating system controller or scheduler.
Die Vorrichtung kann vorteilhaft ein Computer, insbesondere ein Personal-Computer oder ein Server, und weiter vorteilhaft über Datenleitungsmittel mit einem externen Speicher für vorgegebene Datenkonfigurationen gekoppelt sein. Insbesondere kann sie selbstlernend ausgebildet sein und automatisch durch fortlaufende Benutzung lernen, welche Datenmuster welcher Kategorie zuzuordnen sind und/oder welchen der einen Zustand der Datenkonfiguration charakterisierenden Parameter Priorität bei der Erkennung anormaler Zustände zukommt und/oder welche Schutzoperation bei Erkennung eines bestimmten anormalen Zustandes auszuführen ist.The device may advantageously be a computer, in particular a personal computer or a server, and further advantageously coupled via data line means with an external memory for predetermined data configurations. In particular, it may be self-learning and automatically learn by continuous use which data patterns are to be assigned to which category and / or which of the parameters characterizing a state of the data configuration has priority in recognizing abnormal states and / or which protection operation is to be performed upon detection of a particular abnormal state ,
Im Rahmen des Erfindungsgedankens sind zahlreiche Abwandlungen und Weiterbildungen möglich, die sich zum Beispiel auf die Art der zur Klassifizierung des betrachteten Datenmusters, also seiner Zuordnung zu einer Kategorie, beziehen. Ein erfindungswesentlicher Aspekt ist jedenfalls die Idee, zum Schutz einer Datenkonfiguration nicht in der klassischen Weise nach als gefährlich erkanntenWithin the scope of the inventive concept, numerous modifications and developments are possible, which relate, for example, to the type of classification of the data pattern under consideration, that is to say its assignment to a category. In any case, an aspect essential to the invention is the idea that in order to protect a data configuration it did not recognize it as being dangerous in the classical manner
Zeichenketten zu suchen, sondern aus den Werten bestimmter Parameter, die von Anwendung zu Anwendung unterschiedlich sein können, ein Muster zu erzeugen und dieses mit bekannten Mustern zu vergleichen. Der Vorteil einer solchen Mustererkennung ist, daß anstelle des Suchens von bereits bekannten Gefahren die Mustererkennung auch in der Lage ist, die Unterscheidung "ich habe diese Art vonSearch strings, but to generate a pattern from the values of certain parameters, which may vary from application to application, and compare it to known patterns. The advantage of such pattern recognition is that instead of searching for already known hazards, pattern recognition is also capable of distinguishing "I have this type of
Verhalten zuvor noch nicht gesehen" zu machen und dann zum Beispiel beim Benutzer oder, z.B. über das Internet, bei einer externen Stelle rückzufragen, ob das aktuelle Datenmuster als ungefährlich einzustufen ist oder ob bestimmte Schutzoperationen ausgeführt werden sollen. Dazu erlaubt die Erfindung vorteilhaft den Einsatz bekannter Cluster- und Mustererkennungsalgorithmen, die sehr schnell arbeiten, Selbstlernalgorithmen umfassen und sehr schnell Mustererkennungsentscheidungen treffen können, wie zum Beispiel neuronale Netze mit selbstorganisierenden Karten und lernender Vektorquantisierung. Behavior previously not yet seen "and then, for example, at the user or, for example, over the Internet, inquire of an external body, whether the current data pattern is to be classified as non-hazardous or whether certain protective operations should be performed. To this end, the invention advantageously allows the use of known cluster and pattern recognition algorithms that operate very fast, include self-learning algorithms and can make very fast pattern recognition decisions, such as self-organizing map neural networks and learning vector quantization.

Claims

PATENTANSPRÜCHE
1. Verfahren zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen, gekennzeichnet durch die Schritte a) Erfassen von Werten bestimmter, einen Zustand der Datenkonfiguration charakterisierender Parameter, b) Generieren eines aktuellen Datenmusters aus den in Schritt a) erfaßten Werten, c) Vergleichen des Datenmusters mit wenigstens einem vorgegebenenA method for protecting a constantly changing data configuration stored in a machine-readable memory, in particular an operating system, against undesired changes, characterized by the steps a) detecting values of certain parameters characterizing a state of the data configuration, b) generating a current data pattern from the values detected in step a), c) comparing the data pattern with at least one predetermined one
Datenmuster, d) Zuordnen des generierten Datenmusters auf Basis des Vergleichs von Schritt c) zu einer von wenigstens zwei verschiedenen Kategorien, von denen wenigstens eine wenigstens einem normalem Zustand der Datenkonfiguration entspricht und von denen wenigstens eine andere wenigstens einem anormalen Zustand der Datenkonfiguration entspricht und e) Ausführen wenigstens einer Schutzoperation, wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wurde.Data pattern, d) assigning the generated data pattern based on the comparison of step c) to one of at least two different categories, at least one of which corresponds to at least one normal state of the data configuration and at least one other corresponds to at least one abnormal state of the data configuration and e ) Performing at least one protection operation if the generated data pattern has been assigned to a category corresponding to an abnormal state.
2. Verfahren nach Anspruch 1 , dadurch gekennzeichnet, daß dadurch gekennzeichnet, daß wenigstens eines der vorgegebenen Datenmuster wenigstens teilweise durch Ausführen der Schritte a) und b) zu einer Zeit vor der Generierung des aktuellen Datenmusters generiert wurde.2. The method according to claim 1, characterized in that at least one of the predetermined data pattern has been generated at least partially by performing the steps a) and b) at a time prior to the generation of the current data pattern.
3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, daß die Schutzoperation zumindest eine der folgenden Operationen umfaßt: Reparieren der Datenkonfiguration, Ausgeben einer Warnmeldung, Sperren des Schreib- und/oder Lesezugriffs auf die Datenkonfiguration, Umschalten eines Betriebssystems in einen abgesicherten Modus, Ausführen eines Antivirenprogramms.3. The method of claim 1 or 2, characterized in that the protection operation comprises at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching an operating system to a safe mode, Run an antivirus program.
4. Verfahren nach einem der Ansprüche 1 bis 3, dadurch gekennzeichnet, daß die Schutzoperation das Ausgeben einer Warnmeldung und das Anfordern einer Benutzereingabe bezüglich des weiteren Vorgehens umfaßt. 4. The method according to any one of claims 1 to 3, characterized in that the protective operation comprises issuing a warning message and requesting a user input regarding the further course of action.
5. Verfahren nach Anspruch 4, dadurch gekennzeichnet, daß die angeforderte Benutzereingabe die Neuzuordnung des aktuellen Datenmusters zu einer Kategorie umfaßt.5. The method according to claim 4, characterized in that the requested user input comprises the reassignment of the current data pattern to a category.
6. Verfahren nach Anspruch 5, dadurch gekennzeichnet, daß ein aufgrund einer6. The method according to claim 5, characterized in that a due to a
Benutzereingabe einer anderen Kategorie zugeordnetes Datenmuster einer Datenbank mit vorgegebenen Datenmustern hinzugefügt wird.User input is added to a different category associated data pattern of a database with predetermined data patterns.
7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, daß die Datenbank fortlaufend unter Verwendung wenigstens eines Mustererkennungsalgorithmus fortlaufend komprimiert wird, um ähnliche Datenmuster zusammenzufassen.The method of claim 6, characterized in that the database is continuously compressed using at least one pattern recognition algorithm to summarize similar data patterns.
8. Verfahren nach einem der Ansprüche 1 bis 7, dadurch gekennzeichnet, daß der Vergleich des Datenmusters mit wenigstens einem vorgegebenen Datenmuster unter Verwendung wenigstens eines Mustererkennungsalgorithmus wie insbesondere einer selbstorganisierenden topologischen Karte und einer lernenden Vektorquantifizierung erfolgt.8. The method according to any one of claims 1 to 7, characterized in that the comparison of the data pattern with at least one predetermined data pattern using at least one pattern recognition algorithm such as in particular a self-organizing topological map and a learning vector quantization takes place.
9. Verfahren nach einem der Ansprüche 1 bis 8, dadurch gekennzeichnet, daß die in Schritt a) erfaßten Werte zumindest Werte eines der folgenden Parameter sind:9. Method according to one of claims 1 to 8, characterized in that the values detected in step a) are at least values of one of the following parameters:
Auslastung einer zentralen Prozessoreinheit, Anzahl der Schreib-/Lesezugriffe auf eine einer Speichereinheit wie insbesondere einen RAM-, ROM- oder CACHE-Speicher, Daten eines Registers eines Betriebssystems, benutzerspezifische Daten der Datenkonfiguration, Statusvariablen eines Speichercontrollers, Statusvariablen einer Datenverbindung, Statusvariablen eines Betriebssystemscontrollers oder -schedulers.Utilization of a central processor unit, number of read / write accesses to a memory unit, in particular a RAM, ROM or CACHE memory, data of a register of an operating system, user-specific data of the data configuration, status variables of a memory controller, status variables of a data connection, status variables of an operating system controller or -schedulers.
10. Verfahren nach einem Ansprüche 1 bis 9, dadurch gekennzeichnet, daß mehr als zwei verschiedene Kategorien vorgesehen sind, die wenigstens einem normalen, keine Schutzoperationen erfordernden Zustand der Datenoperation und unterschiedlich gestuften, unterschiedliche Schutzoperationen erfordernden anormalen10. The method according to any one of claims 1 to 9, characterized in that more than two different categories are provided, the at least one normal, no protective operations requiring state of the data operation and different levels, different protection operations requiring abnormal
Zuständen der Datenkonfiguration entsprechen.States of the data configuration correspond.
11. Verfahren nach einem der Ansprüche 1 bis 10, dadurch gekennzeichnet, daß es zu vordefinierten Zeitpunkten ausgeführt wird, wie insbesondere: beim Einschalten eines die Datenkonfiguration nutzenden Computers, beim Erfüllen vorbestimmter Randbedingungen wie insbesondere vermehrten Schreib-/Lesezugriffen auf die Datenkonfiguration und/oder einer bestimmten Anzahl von Schreib-/Lesezugriffen auf die Datenkonfiguration, und/oder beim Ablauf eines bestimmten Zeitintervalls.11. The method according to any one of claims 1 to 10, characterized in that it is carried out at predefined times, in particular: when switching a computer using the data configuration, when fulfilling predetermined boundary conditions such as in particular increased read / write accesses to the data configuration and / or a certain number of read / write accesses to the data configuration, and / or at the expiration of a certain time interval.
12. Verfahren nach einem der Ansprüche 1 bis 11 , dadurch gekennzeichnet, daß es selbstlernend ausgeführt wird und insbesondere automatisch durch fortlaufende Benutzung lernt, welche Datenmuster welcher Kategorie zuzuordnen sind und/oder welchen der einen Zustand der Datenkonfiguration charakterisierenden Parameter Priorität bei der Erkennung anormaler Zustände zukommt und/oder welche12. The method according to any one of claims 1 to 11, characterized in that it is self-learning and in particular learns automatically by continuous use, which data patterns are to be assigned to which category and / or which of a state of the data configuration characterizing parameters priority in the detection of abnormal states comes and / or which
Schutzoperation bei Erkennung eines bestimmten anormalen Zustandes auszuführen ist.Protective operation upon detection of a particular abnormal state is executed.
13. Verfahren nach einem der Ansprüche 1 bis 12, dadurch gekennzeichnet, daß das Zuordnen des generierten Datenmusters auf Basis des Vergleichs von Schritt unscharfe Klassifikation erlaubt und anhand des Grades der Ähnlichkeit bzw. Unähnlichkeit automatisch entschieden wird, ob und, wenn ja, welche Schutzoperation ausgeführt wird.13. The method according to any one of claims 1 to 12, characterized in that the assignment of the generated data pattern based on the comparison of step allows fuzzy classification and is automatically determined based on the degree of similarity or dissimilarity, if and, if so, which protective operation is performed.
14. Vorrichtung zum Schutz einer sich ständig ändernden, in einem maschinenlesbaren Speicher gespeicherten Datenkonfiguration, wie insbesondere eines Betriebssystems, vor ungewünschten Veränderungen, dadurch gekennzeichnet, daß Mittel zum Erfassen von Werten bestimmter, einen Zustand der Datenkonfiguration charakterisierender Parameter vorgesehen sind, daß Mittel zum Generieren eines aktuellen Datenmusters aus den in erfaßten Werten vorgesehen sind, daß Mittel zum Speichern wenigstens eines vorgegebenen Datenmusters vorgesehen sind, - daß Mittel zum Vergleichen des generierten Datenmusters mit wenigstens einem gespeicherten vorgegebenen Datenmuster vorgesehen sind, daß Mittel zum Zuordnen des generierten Datenmusters auf Basis des Vergleichs zu einer von wenigstens zwei verschiedenen Kategorien, von denen wenigstens eine wenigstens einem normalem Zustand der Datenkonfiguration entspricht und von denen wenigstens eine andere wenigstens einem anormalen Zustand der Datenkonfiguration entspricht, vorgesehen sind und daß Mittel zum Ausführen wenigstens einer Schutzoperation, wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wurde, vorgesehen sind.14. An apparatus for protecting a constantly changing data configuration stored in a machine-readable memory, in particular an operating system, from undesired changes, characterized in that means are provided for detecting values of certain parameters characterizing a state of the data configuration a current data pattern is provided from the detected values in that means are provided for storing at least one predetermined data pattern, - means for comparing the generated data pattern with at least one stored predetermined data pattern are provided, means for associating the generated data pattern based on the comparison to one of at least two different categories, at least one of which is at least one normal state of the data configuration are provided and at least another of which corresponds to at least one abnormal state of the data configuration, and means are provided for performing at least one protection operation when the generated data pattern has been assigned to a category corresponding to an abnormal state.
15. Vorrichtung nach Anspruch 14, dadurch gekennzeichnet, daß die Mittel zum Vergleichen des generierten Datenmusters mit wenigstens einem gespeicherten vorgegebenen Datenmuster Mittel zum Ausführen wenigstens eines Mustererkennungsalgorithmus wie insbesondere einer selbstorganisierenden topologischen Karte und einer lernenden Vektorquantifizierung umfassen.15. The apparatus according to claim 14, characterized in that the means for comparing the generated data pattern with at least one stored predetermined data pattern comprises means for carrying out at least one pattern recognition algorithm such as in particular a self-organizing topological map and a learning vector quantification.
16. Vorrichtung nach Anspruch 14 oder 15, dadurch gekennzeichnet, daß Mittel zum Ausführen der Schutzoperation zumindest eine der folgenden Operationen ausführen: Reparieren der Datenkonfiguration, Ausgeben einer Warnmeldung, Sperren des Schreib- und/oder Lesezugriffs auf die Datenkonfiguration, Umschalten eines Betriebssystems in einen abgesicherten Modus, Ausführen eines Antivirenprogramms.16. Apparatus according to claim 14 or 15, characterized in that means for performing the protection operation perform at least one of the following operations: repairing the data configuration, issuing a warning message, disabling write and / or read access to the data configuration, switching an operating system into one safe mode, running an antivirus program.
17. Vorrichtung nach einem der Ansprüche 14 bis 16, dadurch gekennzeichnet, daß Mittel zum Ausgeben einer optischen und/oder akustischen Warnmeldung und17. Device according to one of claims 14 to 16, characterized in that means for outputting an optical and / or acoustic warning message and
Anfordern einer Benutzereingabe bezüglich des weiteren Vorgehens vorgesehen sind, die automatisch aktiviert werden, wenn das generierte Datenmuster einer einem anormalen Zustand entsprechenden Kategorie zugeordnet wird.Requesting a user input regarding the further course of action are provided, which are automatically activated when the generated data pattern is assigned to a category corresponding to an abnormal state.
18. Vorrichtung nach einem der Ansprüche 14 bis 17, dadurch gekennzeichnet, daß die Mittel zum Erfassen der Werte zumindest Werte eines der folgenden Parameter erfassen können: Auslastung einer zentralen Prozessoreinheit, Anzahl der Schreib- /Lesezugriffe auf eine einer Speichereinheit wie insbesondere einen RAM-, ROM- oder CACHE-Speicher, Daten eines Registers eines Betriebssystems, benutzerspezifische Daten der Datenkonfiguration, Statusvariablen eines Speichercontrollers,18. Device according to one of claims 14 to 17, characterized in that the means for detecting the values can detect at least values of one of the following parameters: utilization of a central processing unit, number of read / write accesses to a memory unit such as in particular a RAM , ROM or CACHE memory, data of a register of an operating system, user-specific data of the data configuration, status variables of a memory controller,
Statusvariablen einer Datenverbindung, Statusvariablen eines Betriebssystemscontrollers oder -schedulers. Status variables of a data connection, status variables of an operating system controller or scheduler.
19. Vorrichtung nach einem der Ansprüche 14 bis 18, dadurch gekennzeichnet, daß die Vorrichtung ein Computer, insbesondere ein Personal-Computer oder ein Server ist.19. Device according to one of claims 14 to 18, characterized in that the device is a computer, in particular a personal computer or a server.
20. Vorrichtung nach einem der Ansprüche 14 bis 19, dadurch gekennzeichnet, daß die Vorrichtung über Datenleitungsmittel mit einem externen Speicher für vorgegebene Datenkonfigurationen gekoppelt ist.20. Device according to one of claims 14 to 19, characterized in that the device is coupled via data line means with an external memory for predetermined data configurations.
21. Vorrichtung nach einem der Ansprüche 14 bis 20, dadurch gekennzeichnet, daß sie selbstlernend ausgebildet ist und insbesondere automatisch durch fortlaufende21. Device according to one of claims 14 to 20, characterized in that it is self-learning and in particular automatically by continuous
Benutzung lernt, welche Datenmuster welcher Kategorie zuzuordnen sind und/oder welchen der einen Zustand der Datenkonfiguration charakterisierenden Parameter Priorität bei der Erkennung anormaler Zustände zukommt und/oder welche Schutzoperation bei Erkennung eines bestimmten anormalen Zustandes auszuführen ist. Use learns which data patterns are to be assigned to which category and / or which of the parameters characterizing a state of the data configuration has priority in recognizing abnormal states and / or which protection operation is to be performed upon detection of a particular abnormal state.
PCT/DE2007/000006 2005-12-31 2007-01-02 Method and device for protecting a constantly changing data configuration WO2007076850A2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
DE112007000482T DE112007000482A5 (en) 2005-12-31 2007-01-02 Method and device for protecting a constantly changing data configuration

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
DE102005063212.2 2005-12-31
DE102005063212 2005-12-31

Publications (2)

Publication Number Publication Date
WO2007076850A2 true WO2007076850A2 (en) 2007-07-12
WO2007076850A3 WO2007076850A3 (en) 2007-11-22

Family

ID=38228571

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/DE2007/000006 WO2007076850A2 (en) 2005-12-31 2007-01-02 Method and device for protecting a constantly changing data configuration

Country Status (2)

Country Link
DE (1) DE112007000482A5 (en)
WO (1) WO2007076850A2 (en)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5684875A (en) * 1994-10-21 1997-11-04 Ellenberger; Hans Method and apparatus for detecting a computer virus on a computer
WO1999031577A2 (en) * 1997-12-18 1999-06-24 Support.Com, Inc. Automatic configuration generation
GB2350704A (en) * 1999-06-02 2000-12-06 Nicholas Peter Carter Security system
US6477667B1 (en) * 1999-10-07 2002-11-05 Critical Devices, Inc. Method and system for remote device monitoring
US20040059920A1 (en) * 2002-09-19 2004-03-25 International Business Machines Corporation Security health checking tool
US20050132231A1 (en) * 2003-12-11 2005-06-16 Williamson Matthew M. Administration of computing entities in a network

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5684875A (en) * 1994-10-21 1997-11-04 Ellenberger; Hans Method and apparatus for detecting a computer virus on a computer
WO1999031577A2 (en) * 1997-12-18 1999-06-24 Support.Com, Inc. Automatic configuration generation
GB2350704A (en) * 1999-06-02 2000-12-06 Nicholas Peter Carter Security system
US6477667B1 (en) * 1999-10-07 2002-11-05 Critical Devices, Inc. Method and system for remote device monitoring
US20040059920A1 (en) * 2002-09-19 2004-03-25 International Business Machines Corporation Security health checking tool
US20050132231A1 (en) * 2003-12-11 2005-06-16 Williamson Matthew M. Administration of computing entities in a network

Also Published As

Publication number Publication date
WO2007076850A3 (en) 2007-11-22
DE112007000482A5 (en) 2008-11-27

Similar Documents

Publication Publication Date Title
DE112019001121B4 (en) METHOD IMPLEMENTED ON A COMPUTER TO IDENTIFY MALWARE AND THE SYSTEM THEREOF
DE102017106016A1 (en) System and method for detecting instruction sequences of interest
DE102018220711A1 (en) Measuring the vulnerability of AI modules to attempts at deception
EP2362321A1 (en) Method and system for detecting malware
WO2019052798A1 (en) Method and device for detecting an attack on a serial communications system
EP0749613A1 (en) Knowledge-based fuzzy selection for recognition system having several recognition units
DE112020007204T5 (en) Device for creating a communication permission list, method for creating a communication permission list and program
WO2007076850A2 (en) Method and device for protecting a constantly changing data configuration
WO2016169646A1 (en) System and method for monitoring the integrity of a component delivered by a server system to a client system
EP3671576A1 (en) Method and device for determining segments in received time series data of a system component
EP2210241A1 (en) Data processing device and method for operating a data processing device
DE102019127622B4 (en) Defense generator, method for preventing an attack on an AI unit and computer-readable storage medium
DE102021201833A1 (en) Device for processing at least one input data set using a neural network and method
WO2020233991A1 (en) Method for operating a deep neural network
EP3647943B1 (en) Method for determining at least one characteristic of at least a change
WO2021122337A1 (en) Method and apparatus for recognising removal of a sensor data domain from a reference data domain
DE102020209078A1 (en) Automated process monitoring
EP2990941A1 (en) Computer-implemented method for generating a control device program codes and related report management environment
EP4329243A1 (en) Computer implemented method for automated securing of a computer system
DE102005034047A1 (en) Data transmission method and data transmission system
DE102020006267A1 (en) Method for generating a behavior model for a motor vehicle fleet by means of an electronic computing device external to the vehicle, and an electronic computing device external to the vehicle
EP4332807A1 (en) Method for monitoring a control program of at least one functional unit of a machine system, computer program product, computer-readable storage medium and electronic computing device
EP4075220A1 (en) Device and method for identifying changes in a machine arrangement
DE102020212988A1 (en) Safe booting of a computer system
DE102020210874A1 (en) Apparatus, system and method for preventing malicious attacks by program code on a vehicle

Legal Events

Date Code Title Description
REF Corresponds to

Ref document number: 112007000482

Country of ref document: DE

Date of ref document: 20081127

Kind code of ref document: P

WWE Wipo information: entry into national phase

Ref document number: DE

121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 07717684

Country of ref document: EP

Kind code of ref document: A2

122 Ep: pct application non-entry in european phase

Ref document number: 07717684

Country of ref document: EP

Kind code of ref document: A2