知財求人 - 知財ポータルサイト「IP Force」
▶ ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツングの特許一覧
特開2024-177084侵入検知システムのセキュリティイベントをフィルタリングおよび適格判定するための方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2024177084
(43)【公開日】2024-12-19
(54)【発明の名称】侵入検知システムのセキュリティイベントをフィルタリングおよび適格判定するための方法
(51)【国際特許分類】
H04L 43/028 20220101AFI20241212BHJP
H04L 12/22 20060101ALI20241212BHJP
【FI】
H04L43/028
H04L12/22
【審査請求】未請求
【請求項の数】13
【出願形態】OL
【外国語出願】
(21)【出願番号】P 2024080193
(22)【出願日】2024-05-16
(31)【優先権主張番号】10 2023 204 621.0
(32)【優先日】2023-05-17
(33)【優先権主張国・地域又は機関】DE
(71)【出願人】
【識別番号】591245473
【氏名又は名称】ロベルト・ボッシュ・ゲゼルシャフト・ミト・ベシュレンクテル・ハフツング
【氏名又は名称原語表記】ROBERT BOSCH GMBH
(74)【代理人】
【識別番号】100118902
【弁理士】
【氏名又は名称】山本 修
(74)【代理人】
【識別番号】100196508
【弁理士】
【氏名又は名称】松尾 淳一
(72)【発明者】
【氏名】ジェレミー・ペータース
(72)【発明者】
【氏名】イェンス・カント
(72)【発明者】
【氏名】マルセル・クナイプ
(57)【要約】
【課題】侵入検知システムのセキュリティイベントをフィルタリングおよび適格判定するための方法を提供すること。
【解決手段】本発明は、データ通信用に接続された複数の計算ユニット(6、7)を備えるコンピュータシステム(2)の侵入検知システム(10)のセキュリティイベントをフィルタリングするための方法であって、侵入検知システム(10)が、セキュリティイベントを検知し、複数のイベントタイプに従って分類するように構成され;各イベントタイプごとにタイプ固有のカウンタが初期化され(100);侵入検知システムによるセキュリティイベントの検知(110)に応答して、それぞれ、検知されたセキュリティイベントに対応するタイプ固有のカウンタが、閾値に達するまで増加され(120)、検知されたセキュリティイベントに対応するタイプ固有のカウンタが閾値に達したとき、検知されたセキュリティイベントが破棄される(140)、方法に関する。
【選択図】図2
【解決手段】本発明は、データ通信用に接続された複数の計算ユニット(6、7)を備えるコンピュータシステム(2)の侵入検知システム(10)のセキュリティイベントをフィルタリングするための方法であって、侵入検知システム(10)が、セキュリティイベントを検知し、複数のイベントタイプに従って分類するように構成され;各イベントタイプごとにタイプ固有のカウンタが初期化され(100);侵入検知システムによるセキュリティイベントの検知(110)に応答して、それぞれ、検知されたセキュリティイベントに対応するタイプ固有のカウンタが、閾値に達するまで増加され(120)、検知されたセキュリティイベントに対応するタイプ固有のカウンタが閾値に達したとき、検知されたセキュリティイベントが破棄される(140)、方法に関する。
【選択図】図2
【特許請求の範囲】
【請求項1】
データ通信用に接続された複数の計算ユニット(6、7)を備えるコンピュータシステム(2)の侵入検知システム(10)のセキュリティイベントをフィルタリングするための方法であって、前記侵入検知システム(10)が、セキュリティイベントを検知し、複数のイベントタイプに従って分類するように構成され、
各イベントタイプごとにタイプ固有のカウンタが初期化され(100)、
前記侵入検知システムによるセキュリティイベントの検知(110)に応答して、それぞれ、
前記検知されたセキュリティイベントに対応する前記タイプ固有のカウンタが、閾値に達するまで増加され(120)、
前記検知されたセキュリティイベントに対応する前記タイプ固有のカウンタが前記閾値に達したとき、前記検知されたセキュリティイベントが破棄される(140)、
方法。
各イベントタイプごとにタイプ固有のカウンタが初期化され(100)、
前記侵入検知システムによるセキュリティイベントの検知(110)に応答して、それぞれ、
前記検知されたセキュリティイベントに対応する前記タイプ固有のカウンタが、閾値に達するまで増加され(120)、
前記検知されたセキュリティイベントに対応する前記タイプ固有のカウンタが前記閾値に達したとき、前記検知されたセキュリティイベントが破棄される(140)、
方法。
【請求項2】
前記タイプ固有のカウンタが、所定の期間の経過後に改めて初期化され、もしくは初期値にリセットされ(170)、および/または、前記タイプ固有のカウンタが、特に前記初期値よりも大きいとき、特定の値だけ定期的に減少される、請求項1に記載の方法。
【請求項3】
前記コンピュータシステム(2)の前記動作が中断された場合、前記タイプ固有のカウンタが、前記中断前に不揮発性メモリに記憶され、前記動作が再開されるときに前記メモリから読み出される、請求項1または2に記載の方法。
【請求項4】
前記コンピュータシステム(2)の前記動作が中断された場合、前記期間の前記経過が中断され、前記期間の前記経過部分を示す値が前記メモリに記憶され、前記動作が再開されるときに前記値が前記メモリから読み出され、前記期間の前記経過が続行される、請求項2に従属する場合の請求項3に記載の方法。
【請求項5】
前記コンピュータシステム(2)の前記動作が開始されるたびに、前記タイプ固有のカウンタが初期化される(100)、請求項1または2に記載の方法。
【請求項6】
前記コンピュータシステム(2)の前記動作が開始されるたびに、前記期間が新たに始められる、請求項2に記載の方法。
【請求項7】
異なるイベントタイプに関して異なる閾値が提供される、請求項1~6のいずれか一項に記載の方法。
【請求項8】
前記検知されたセキュリティイベントに対応する前記タイプ固有のカウンタが前記閾値に達していない、または前記閾値を下回る場合、前記検知されたセキュリティイベントに関してそれぞれ、前記検知されたセキュリティイベントが適格と判定される(150)、請求項1~7のいずれか一項に記載の方法。
【請求項9】
適格として分類されたセキュリティイベントが記憶および/もしくは評価され、ならびに/または、適格として分類されたセキュリティイベントに関連するデータが記憶および/もしくは評価される、請求項8に記載の方法。
【請求項10】
データ通信用に接続された複数の計算ユニット(6、7)を備えるコンピュータシステム(2)においてセキュリティイベントを適格判定するための方法であって、侵入検知システム(10)が提供され、前記侵入検知システム(10)が、セキュリティイベントを検知し、1つまたは複数のイベントタイプに従って分類するように構成され、
前記侵入検知システム(10)によって検知されたセキュリティイベントが、少なくとも1つのフィルタを含むフィルタチェーンに渡され、前記フィルタが、それぞれ検知されたセキュリティイベントを破棄する、または適格として分類するように設定され、適格なセキュリティイベントが、それぞれ前記フィルタチェーン内の次のフィルタに渡され、請求項1から9のいずれか一項に記載の方法が、前記フィルタチェーン内のフィルタを形成し、
前記フィルタチェーンを通過した後に適格として分類されたセキュリティイベントのデータが記憶および/または分析される、
方法。
前記侵入検知システム(10)によって検知されたセキュリティイベントが、少なくとも1つのフィルタを含むフィルタチェーンに渡され、前記フィルタが、それぞれ検知されたセキュリティイベントを破棄する、または適格として分類するように設定され、適格なセキュリティイベントが、それぞれ前記フィルタチェーン内の次のフィルタに渡され、請求項1から9のいずれか一項に記載の方法が、前記フィルタチェーン内のフィルタを形成し、
前記フィルタチェーンを通過した後に適格として分類されたセキュリティイベントのデータが記憶および/または分析される、
方法。
【請求項11】
請求項1~10のいずれか一項に記載の方法のすべての方法ステップを実行するように設計された計算ユニット(7)。
【請求項12】
計算ユニット(7)上で実行されるときに、請求項1~10のいずれか一項に記載の方法のすべての方法ステップを前記計算ユニットに実行させるコンピュータプログラム。
【請求項13】
請求項12に記載のコンピュータプログラムが記憶された機械可読記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、侵入検知システムのセキュリティイベントをフィルタリングするための方法、セキュリティイベントを適格判定するための方法、およびそれらを実行するためのコンピュータプログラムに関する。
【背景技術】
【0002】
コンピュータシステムまたは計算ユニットのネットワークにおいて、侵入検知システム(Intrusion Detection System、IDS)が、コンピュータシステムまたはコンピュータシステムに含まれる計算ユニットへの侵入を検知するために使用されることがある。検知された侵入または侵入の試行は、後で分析するために記憶することができ、または侵入を妨げることを試みることができ、すなわち侵入の試行の成功を妨げる対策を開始することを試みることができる。後者は、例えば侵入防止システム(Intrusion Prevention System、IPS)によって行うことができる。
【先行技術文献】
【非特許文献】
【0003】
【非特許文献1】AUTOSAR規格のバージョンRS22-11の文書「Specification of Intrusion Detection System Protocol(侵入検知システムプロトコルの仕様)」、「Requirements on Intrusion Detection System(侵入検知システムの要件)」、および「Requirements on Security Extract Template(セキュリティ抽出テンプレートの要件)」
【発明の概要】
【課題を解決するための手段】
【0004】
本発明によれば、独立形式請求項の特徴を備える、侵入検知システムのセキュリティイベントをフィルタリングするための方法、セキュリティイベントを適格判定するための方法、ならびにそれらを実行するための計算ユニットおよびコンピュータプログラムが提案される。有利な形態は、引用形式請求項および以下の説明の主題である。
【0005】
本発明は、複数のイベントタイプに対応するセキュリティイベントとして侵入を分類する侵入検知システムに関して、イベントタイプごとにタイプ固有のカウンタを使用し、それぞれのイベントタイプのセキュリティイベントが検知されたときにタイプ固有のカウンタを増加させ、対応するタイプ固有のカウンタが閾値を超えたときにイベントタイプのセキュリティイベントを破棄する手段を使用する。これにより、特定のイベントタイプのセキュリティイベントの頻繁な発生により、別のイベントタイプのセキュリティイベントの記憶および/または分析などのさらなる処理が妨害または阻止されるのを防ぐことができる。特に、例えばより高い危険レベルの別のイベントタイプのセキュリティイベントにつながる侵入を隠蔽するために、例えばより低い危険レベルの特定のイベントタイプの多数のセキュリティイベントが(対応する侵入によって)生成される侵入戦略を防ぐことができる。
【0006】
セキュリティイベントをフィルタリングするための方法は、特にコンピュータ実装方法である。この方法は、データ通信用に接続された複数の計算ユニットを含むコンピュータシステムに関する。車両などの機械では、コンピュータシステムは、例えば、複数の制御デバイス(計算ユニット)と、制御デバイスを相互に接続するバスラインとを含むバスシステム(例えばCANバスシステム)であり得る。
【0007】
コンピュータシステムに対する潜在的な侵入を検知する侵入検知システムが提供されることが前提とされる(「潜在的」とは、一般に、例えばコンピュータシステムでの機能障害時など、実際の侵入が生じていなくても侵入検知システムが侵入を検知するケース(いわゆる偽陽性検知)が発生する可能性があることを表す)。例えば、侵入検知システムは、計算ユニット間のデータトラフィック内、および/または計算ユニット自体内で、侵入を示唆するイベントおよび/またはパターンを検知する。例えば、データ通信で使用されるメッセージ認証手順の枠組でメッセージを認証することができないとき、潜在的な侵入を検知することができる。バスラインでの電圧変動を分析して、侵入者がバスラインに物理的に接続されていることを検知することもできる。
【0008】
より一般的には、侵入検知システムは、いわゆるセキュリティイベントを検知し、複数のイベントタイプに従って分類するように構成される。したがって、検知された各セキュリティイベントは、複数のイベントタイプのうちの特定のイベントタイプを有する。セキュリティイベントは、前述のように(潜在的な)侵入として検知されるイベントであり得る。追加または代替として、セキュリティイベントは、セキュリティチェックが正常に実行された(すなわち潜在的な侵入が検知されなかった)イベントでもよい。これは、例えば、メッセージ認証手順でのメッセージの認証の成功である。侵入検知システムは、複数のセキュリティ機能モジュール(それぞれ、コンピュータプログラムモジュールおよび/またはハードウェアモジュールとして実装することができる)を含むことができ、各セキュリティ機能モジュールは、特定のセキュリティチェックを実行し、それに応じてセキュリティイベントを決定または検知する。セキュリティイベントのイベントタイプは、セキュリティイベントを検知したセキュリティ機能モジュールに対応し、例えば、各セキュリティ機能モジュールにイベントタイプが割り当てられる。
【0009】
そのような侵入検知システム、およびイベントタイプへの分類は、当業者に知られている。例えば、AUTOSAR規格(AUTomotive Open System ARchitecture)では、セキュリティイベントを検知することができるソフトウェアコンポーネントの一部としてセキュリティ機能(いわゆる「セキュリティセンサ」)が記載されている。例えば、AUTOSAR規格のバージョンRS22-11の文書「Specification of Intrusion Detection System Protocol(侵入検知システムプロトコルの仕様)」、「Requirements on Intrusion Detection System(侵入検知システムの要件)」、および「Requirements on Security Extract Template(セキュリティ抽出テンプレートの要件)」を参照されたい。イベントタイプは、例えば、それぞれのセキュリティ機能に対応する、またはそれに基づいて定めることができる。AUTOSAR仕様に記載されている「セキュリティイベント」(略称で「SEv」)は、本出願における「セキュリティイベント」に関する一例を表す。
【0010】
侵入検知システムは、コンピュータプログラムモジュールおよび/またはハードウェアモジュールによって、コンピュータシステムの計算ユニットの1つまたは複数によって実装することができる。追加または代替として、侵入検知システムまたはその一部を実装する別個の計算ユニット(例えばバスラインに接続される)を提供することもできる。特に、本発明によるセキュリティイベントをフィルタリングするための方法は、コンピュータシステムの計算ユニットによって、または別個の計算ユニットによって実行することができる。
【0011】
一実施形態では、タイプ固有のカウンタは、所定の期間の経過後に改めて初期化される、または初期値にリセットされる。これにより、すべてのセキュリティイベントが永久的に破棄または除外されるのではなく、そのために一定の頻度またはレートが必要であることを達成することができる。
【0012】
一実施形態では、タイプ固有のカウンタは、特に初期値よりも大きいとき、特定の値だけ定期的に減少される。定期性は、特に時間的に定義することができ、すなわちタイプ固有のカウンタは、所定の期間の経過後に減少される。また、これにより、すべてのセキュリティイベントが永久的に破棄または除外されるのではなく、そのために一定の頻度またはレートが必要であることを達成することができる。
【0013】
一実施形態では、コンピュータシステムの動作が中断された場合、タイプ固有のカウンタが、中断前に不揮発性メモリに記憶され、動作が再開されるときにメモリから読み出される。これにより、例えばシャットダウンなどの中断の前に発生したセキュリティイベントを、再起動後も引き続き考慮することができる。
【0014】
一実施形態では、コンピュータシステムの動作が開始されるたびに、タイプ固有のカウンタが初期化される。この実施形態では、中断前に発生したセキュリティイベントは、再起動後にはもはや考慮されない。
【0015】
一実施形態では、コンピュータシステムの動作が中断された場合、期間の経過が中断され、期間の経過部分を示す値がメモリに記憶され、動作が再開されるときに値がメモリから読み出され、期間の経過が続行される。これにより、例えばシャットダウンなどの中断前にセキュリティイベントが起こらずにすでに経過した期間を、再起動後も引き続き考慮することができ、これは、この方法をより正確にする。
【0016】
一実施形態では、コンピュータシステムの動作が開始されるたびに、期間が新たに始められる。この実施形態では、中断前にすでに経過した期間は、再起動後にはもはや考慮されない。
【0017】
一実施形態では、異なるイベントタイプに関して異なる閾値が提供される。これにより、本発明はより良く設定可能になる。
一実施形態では、検知されたセキュリティイベントに対応するタイプ固有のカウンタが閾値に達していない、または閾値を下回る場合、検知されたセキュリティイベントが適格として分類される。適格として分類されたセキュリティイベントは、例えば検知されたセキュリティイベントの評価および/または記憶など、特にさらなる通常の処理に送られる。特に、一実施形態では、適格として分類されたセキュリティイベントに関連するデータが記憶および/または評価される。
一実施形態では、検知されたセキュリティイベントに対応するタイプ固有のカウンタが閾値に達していない、または閾値を下回る場合、検知されたセキュリティイベントが適格として分類される。適格として分類されたセキュリティイベントは、例えば検知されたセキュリティイベントの評価および/または記憶など、特にさらなる通常の処理に送られる。特に、一実施形態では、適格として分類されたセキュリティイベントに関連するデータが記憶および/または評価される。
【0018】
さらなる態様によれば、データ通信用に接続された複数の計算ユニットを備えるコンピュータシステムにおいてセキュリティイベントを適格判定するための方法が提案される。コンピュータシステムには、セキュリティイベントを検知し、1つまたは複数のイベントタイプに従って分類するように構成された侵入検知システムが提供される。セキュリティイベントを適格判定するための方法において、侵入検知システムによって検知されたセキュリティイベントが、少なくとも1つのフィルタを含むフィルタチェーンに渡され、フィルタが、それぞれ検知されたセキュリティイベントを破棄する、または適格として分類するように設定され、適格なセキュリティイベントが、それぞれフィルタチェーン内の次のフィルタに渡される。ここで、本発明によるセキュリティイベントをフィルタリングするための方法は、フィルタチェーンのフィルタを形成する。フィルタチェーンを通過した後に適格として分類されたセキュリティイベントのデータが記憶および/または分析される。
【0019】
本発明による計算ユニット、例えば自動車の制御デバイスは、特にプログラミング技術の観点から、本発明による方法を実行するように設計される。
すべての方法ステップを実行するためのプログラムコードを備えるコンピュータプログラムまたはコンピュータプログラム製品の形で本発明による方法を実装することも有利である。これは特に、実行中の制御デバイスがさらなるタスクにも使用される、したがってそもそも存在している場合には特に低コストになるからである。最後に、上述したようなコンピュータプログラムが記憶された機械可読記憶媒体が提供される。コンピュータプログラムを提供するための適切な記憶媒体またはデータキャリアは、特に、ハードディスク、フラッシュメモリ、EEPROM、DVDなどの磁気、光学、および電気記憶装置である。コンピュータネットワーク(インターネットやイントラネットなど)を介するプログラムのダウンロードも可能である。ここで、そのようなダウンロードは、ワイヤ接続もしくはケーブル接続、またはワイヤレス(例えば、WLANネットワーク、3G、4G、5G、もしくは6G接続などを介して)で行うことができる。
すべての方法ステップを実行するためのプログラムコードを備えるコンピュータプログラムまたはコンピュータプログラム製品の形で本発明による方法を実装することも有利である。これは特に、実行中の制御デバイスがさらなるタスクにも使用される、したがってそもそも存在している場合には特に低コストになるからである。最後に、上述したようなコンピュータプログラムが記憶された機械可読記憶媒体が提供される。コンピュータプログラムを提供するための適切な記憶媒体またはデータキャリアは、特に、ハードディスク、フラッシュメモリ、EEPROM、DVDなどの磁気、光学、および電気記憶装置である。コンピュータネットワーク(インターネットやイントラネットなど)を介するプログラムのダウンロードも可能である。ここで、そのようなダウンロードは、ワイヤ接続もしくはケーブル接続、またはワイヤレス(例えば、WLANネットワーク、3G、4G、5G、もしくは6G接続などを介して)で行うことができる。
【0020】
本発明のさらなる利点および形態は、本明細書および添付図面から明らかになる。
本発明は、例示的実施形態を参照して図面に概略的に示されており、以下、図面を参照して述べる。
本発明は、例示的実施形態を参照して図面に概略的に示されており、以下、図面を参照して述べる。
【図面の簡単な説明】
【0021】
【発明を実施するための形態】
【0022】
図1は、本発明の実施形態を実装することができるコンピュータシステム2、特に例えばCANバスシステムなど差動電圧信号に基づくバスシステムの例示的な構造を示す。コンピュータシステム2は、一方ではライン4a、4bを含み、ライン4a、4bを介して電圧信号が伝送され、バスライン4a、4bは、CANバスシステムの例では、バスシステムの中心インピーダンスを表す終端抵抗器5a、5bを介して互いに接続される。コンピュータシステム2は、他方では複数の計算ユニット6、7、すなわちバスサブスクライバを含み、計算ユニット6、7は、バスを介して互いに通信するために2つのバスライン4a、4bに接続される。このために、CANバスシステムでのバスサブスクライバは、例えばトランシーバによって生成されて読み取られる2つのバスライン間の差動電圧を使用する。計算ユニット6、7に関する例は、制御データを伝送する自動車もしくは機械の制御デバイス、および/または例えば制御デバイスにセンサデータを伝送するセンサである。バスサブスクライバのうちの1つ、または計算ユニットのうちの1つの計算ユニット7は、侵入検知システム10または侵入検知システムの少なくとも一部(例えば、上述したようにセキュリティ機能モジュール)を含む。より一般的には、侵入検知システムの一部(例えば、セキュリティイベントの検知)は、他の計算ユニット6および/または別個の計算ユニットによって実装することもできる(図示せず)。例えば、侵入は、ソフトウェアが改竄されたバスサブスクライバの1つに起因することがあり、または、バスシステム内のメッセージを読み取るおよび/もしくは自分でメッセージを送信するためにバスラインへの物理的な接続を確立する外部の侵入者に起因することもある(どちらも図示せず)。
【0023】
図2は、本発明の一実施形態によるセキュリティイベントをフィルタリングするための方法のフローチャートを示す。図1を参照すると、この方法のステップは、例えば、侵入検知システム10またはその一部を実装する計算ユニット7によって実行することができる。セキュリティイベントは、例えば、侵入検知システム10もしくはその一部を実装する計算ユニット7によって検知することができ、および/または、同様に侵入検知システムの部分機能を実装する限り、他の計算ユニット6の1つによって検知することができる(ステップ110)。
【0024】
ステップ100で、タイプ固有のカウンタの初期化が行われる。すなわち、複数のイベントタイプのそれぞれに(タイプ固有の)カウンタが割り当てられ、初期化時、すべてのタイプ固有のカウンタがそれぞれの所定の開始値に設定され、例えばゼロに設定される。
【0025】
ステップ110で、侵入検知システムによってセキュリティイベントが検知される。ステップ120で、検知されたセキュリティイベントのイベントタイプに割り当てられたタイプ固有のカウンタが増加され、例えば1だけ増加される。
【0026】
ステップ130で、検知されたセキュリティイベントのイベントタイプに割り当てられたタイプ固有のカウンタが所定の閾値に達したかどうかがチェックされる。すなわち、検知されたセキュリティイベントのイベントタイプに割り当てられたタイプ固有のカウンタが閾値を下回っているか、それとも閾値以上であるかがチェックされる。異なるイベントタイプが異なる閾値を有することがある。
【0027】
ステップ130で、検知されたセキュリティイベントのイベントタイプに割り当てられたタイプ固有のカウンタが閾値に達した、すなわち閾値以上であると判断された場合、ステップ140で、検知されたセキュリティイベントが破棄される、または不適格として分類される。すなわち、検知されたセキュリティイベントのさらなる評価および/または記憶は行われない。本発明によるセキュリティイベントをフィルタリングするための方法が、フィルタチェーンの要素、すなわち連続する複数のフィルタのうちの1つのフィルタである場合、検知されたセキュリティイベントは、この場合には例えば後続のフィルタに渡されない。
【0028】
ステップ130で、検知されたセキュリティイベントのイベントタイプに割り当てられたタイプ固有のカウンタが閾値に達していない、すなわち閾値未満であると判断された場合、ステップ150で、検知されたセキュリティイベントが適格として分類される。ここで、例えば、検知されたセキュリティイベントの評価および/または記憶を行うことができる。本発明によるセキュリティイベントをフィルタリングするための方法がフィルタチェーンの要素である場合、検知されたセキュリティイベントは、この場合には例えば後続のフィルタに渡される。
【0029】
好ましいステップ160で、タイプ固有のカウンタの初期化から、またはより一般的にはタイプ固有のカウンタをそれぞれの開始値に最後に設定してから所定の期間が経過したかどうかがチェックされる。アプリケーションに応じて(すなわち、特にコンピュータシステムおよび/または侵入検知システムに応じて)、期間は、例えば数秒から数日の範囲に及ぶことがある。期間が経過すると、ステップ170で、タイプ固有のカウンタが、それぞれの開始値または初期値にリセットされる。ステップ160および170の手順は、図示されているのとは反対に、またセキュリティイベントの発生とは無関係に、例えばステップ110、120、130、140、150、および180の実行と並行して実行することもできる。タイプ固有のカウンタをそれぞれの開始値にリセットする代わりに、またはそれに加えて、タイプ固有のカウンタをそれぞれの所定量だけ定期的に減少することも企図され得る。この減少は、好ましくは、タイプ固有のカウンタが開始値よりも大きい値を有するときにのみ行われ、さらに好ましくは、開始値までのみ行われる(すなわち、減少時に開始値を下回ってはならない)。
【0030】
ステップ140もしくはステップ150の後、または場合によってはステップ160もしくはステップ170の後に行われるステップ180では、検知されたセキュリティイベントのフィルタリングが終了され、次のセキュリティイベントのフィルタリングが続行される。すなわち、ステップ110でのセキュリティイベントの検知に戻される。
【0031】
コンピュータシステムの動作が中断された場合、タイプ固有のカウンタの現在の値が不揮発性メモリに記憶され、コンピュータシステムの動作が再開されるときにメモリから読み出され、タイプ固有のカウンタの記憶されている値に基づいて、すなわち初期化せずに方法を続行することができる。同様に、場合によっては期間の経過を中断することができ、中断時にすでにどれだけ期間が経過しているかに関する時間情報をメモリに記憶することができ、コンピュータシステムの動作が再開されるときにメモリから読み出すことができ、時間情報に基づいて、期間の経過をさらに測定することができる。代替として、コンピュータシステムの動作が再起動されるたびに初期化(ステップ100)を行うこともできる。
【符号の説明】
【0032】
2 コンピュータシステム
4a バスライン
4b バスライン
5a 終端抵抗器
5b 終端抵抗器
6 計算ユニット
7 計算ユニット
10 侵入検知システム
4a バスライン
4b バスライン
5a 終端抵抗器
5b 終端抵抗器
6 計算ユニット
7 計算ユニット
10 侵入検知システム
【図1】
【図2】
【外国語明細書】