1 PATENTKRAV 1. Inntrengningsdeteksjonsmetode for å detektere en inntrengning i datatrafikken på et datakommunikasjonsnettverk, fremgangsmåten omfatter: - parsing (b1) av datatrafikken for å ekstrahere i det minste ett protokollfelt til en protokollmelding i datatrafikken; - å assosiere (b2) det ekstraherte protokollfeltet med en respektiv modell for protokollfeltet, modellen er valgt fra et sett av modeller; - å vurdere (b3) dersom et innhold i det ekstraherte protokollfeltet er i et sikkert område som definert av modellen; og - å generere (b4) et inntrengningsdeteksjonssignal i tilfelle det er fastslått at innholdet i det utpakkede protokollfeltet er utenfor det trygge området, hvor en flerhet av modelltyper er gitt, karakterisert ved at en modelltype for det ekstraherte protokollfeltet er valgt fra flerheten av modelltyper på basis av en karakteristikk av det ekstraherte protokollfeltet, og i det at modellen for det ekstraherte protokollfeltet er bygget på basis av den valgte modelltypen. 2. Inntrengningsdeteksjonsmetode ifølge krav 1, hvor settet av modellene omfatter en modell for et operatørprotokollfelt og en modell for et argument-protokollfelt, assosiering og vurdering blir utført for operatørprotokollfeltet og argumentetprotokollfeltet. 3. Inntrengningsdeteksjonsmetode ifølge krav 2, hvor settet av modellene videre omfatter en modell for et oppstillingsprotokollfelt, assosiering og vurdering utføres 2 videre for oppstillingsprotokollfeltet. 4. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor karakteristikken for protokollfeltet omfatter en datatype av protokoll- feltet, hvor fremgangsmåten omfatter: - å bestemme en datatype for det utpakkede protokollfeltet, og - å velge modelltypen som bruker den bestemte datatypen.
2. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor karakteristikken for protokollfeltet omfatter en semantikk av protokollfeltet, hvor fremgangsmåten omfatter: - å bestemmelse en semantikk av den ekstraherte protokollen felt, og - å velge modelltypen som bruker den bestemte semantikk. 6. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor settet av modellene omfatter en respektiv modell for hvert protokollfelt av settet av protokollfelt. 7. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor modellen for feltet bestemmes i en læringsfase, læringsfasen omfatter: - parsing av datatrafikken for å ekstrahere i det minste ett protokollfelt i protokollen som er anvendt i datatrafikken; - å assosiere det ekstrahert protokollfeltet med modellen for dette protokollfeltet, modellen er valgt fra settet av modeller, og - å oppdatere modellen for det utpakkede protokollfeltet ved å bruke et innhold av det utpakkede protokollfeltet. 8. Inntrengningsdeteksjonsmetode ifølge krav 7, hvor, dersom ingen assosiering kan foretas mellom det ekstraherte protokollfeltet og en av modellene, - å skape en ny modell for det ekstraherte protokollfeltet og legge den nye modellen til settet av modellene. 2 9. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor inntrengningsdeteksjonssignalet ytterligere genereres - når parsing ikke kan etablere at feltet er i samsvar med protokollen, eller - når det utpakkede feltet ikke kan være assosiert med noen av modellene i settet av modeller.. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor protokollen er minst én av en applikasjonslagsprotokoll, en sesjonslagprotokoll, en transportlagsprotokoll eller et lavere-nivå-protokollstakk-protokoll.
3 11. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor modellen for protokollfeltet omfatter minst én av - et sett av akseptable protokollfeltverdier, - en numerisk fordeling av protokollfeltverdier; - en definisjon av et område av akseptable protokollfeltverdier; - en definisjon av akseptable bokstaver, tall, symboler og skrift; og; - et sett av forhåndsdefinerte inntrengingssignaturer. 12. Inntrengningsdeteksjonsmetode ifølge hvilket som helst av de foregående krav, hvor settet av modellene omfatter to modeller for ett protokollfelt, en spesifikk én av de to modellene blir assosiert med det ene protokollfeltet basert på verdien av et annet protokollfelt. 13. Inntrengningsdeteksjonssystem for å detektere en inntrengning i datatrafikk på et datakommunikasjonsnettverk, der systemet omfatter: - en parser (21) for analysering av datatrafikken for å ekstrahere i det minste ett protokollfelt til en protokollmelding i datatrafikken; - en anordning (23) for å assosiere det ekstraherte protokollfeltet med en respektiv modell for dette protokollfeltet, modellen er valgt fra et sett av modeller; - en modell håndterer (24) for å vurdere om et innhold av det ekstraherte protokollfeltet er i et sikkert område som definert av modellen; og 2 - en aktivator (22) for å generere et inntrengningsdeteksjonssignal i tilfelle det er fastslått at innholdet av det ekstraherte protokollfeltet er utenfor det sikre området, hvor en flerhet av modelltyper er gitt, karakterisert ved at systemet er innrettet for å velge en modelltype for det utpakkede protokollfeltet fra flerheten av modelltyper på basis av en karakteristikk av det ekstraherte protokollfeltet, og for å bygge modellen for det ekstraherte protokollfeltet på basis av den valgte modelltypen. 14. Inntrengningsdeteksjonssystem ifølge krav 13, hvor settet av modeller består av en modell for et operatørprotokollfelt og en modell for et argument-protokollfelt, idet
4 anordningen er anordnet for å utføre assosiering og vurdering av operatørprotokollfeltet og argument-protokollfeltet.. Inntrengningsdeteksjonssystem ifølge krav 14, hvor settet av modellene omfatter videre en modell for et oppstillingsprotokollfelt, anordningen er dessuten innrettet for å utføre assosiering og vurdering av oppstillingsprotokollfeltet. 16. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13 -, hvor karakteristikken til protokollfeltet omfatter en datatype til protokollfeltet, systemet er innrettet for: - bestemmelse av en datatype for det utpakkede protokollfeltet, og - valg av modelltype som bruker den bestemte datatypen. 17. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-16, hvor karakteristikken til protokollfeltet omfatter en semantikk av protokollfeltet, systemet er innrettet for: - bestemmelse av en semantikk av det ekstraherte protokollfeltet, og - valg av modelltype som bruker den bestemte semantikk. 18. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-17, hvor settet av modellene omfatter en respektiv modell for hvert protokollfelt av et sett av protokollfelt. 2 19. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-18, videre innrettet for å kunne opereres i en læringsfase, læringsfasen er for læring av i det minste én av modellene, idet modellbehandleren er innrettet for å oppdatere i læringsfasen modellen for det ekstraherte protokollfeltet med et innhold fra det utpakkede protokollfeltet.. Inntrengningsdeteksjonssystem ifølge krav 19, hvor anordningen videre er innrettet for i læringsfasen, dersom ingen assosiering kan foretas mellom det ekstraherte protokollfeltet og en av modellene, å skape en ny modell for det ekstraherte protokollfeltet og å legge den nye modellen til settet av modellene. 3 21. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13 -, hvor aktivatoren videre er anordnet for å generere inntrengningsdeteksjonssignalet
- som svar på en indikasjon fra parser at parser ikke kan etablere om feltet er i samsvar med protokollen, eller - som svar på en indikasjon fra anordningen om at det ekstraherte feltet ikke kan være assosiert med noen av modellene i settet av modellene. 22. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-21, hvor protokollen er minst én av en applikasjonslagprotokoll, en sesjonslagsprotokoll, en transportlagsprotokoll eller en lavere-nivå protokollstakk protokoll. 23. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-22, hvor modellen for protokollfeltet omfatter minst én av - et sett av akseptable protokollfeltverdier, - en numerisk fordeling av protokollfeltverdier; - en definisjon av et område for akseptable protokollfeltverdier; - en definisjon av akseptable bokstaver, tall, symboler og skrift; og - et sett av forhåndsdefinerte inntrengingssignaturer. 24. Inntrengningsdeteksjonssystem ifølge hvilket som helst av kravene 13-23, hvor settet av modellene omfatter to modeller for ett protokollfelt, idet anordningen er anordnet for å assosiere en spesifikk én av de to modellene med en protokollfeltet basert på verdien av et annet protokollfelt.