JP2005251189A - ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法 - Google Patents

ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法 Download PDF

Info

Publication number
JP2005251189A
JP2005251189A JP2005036837A JP2005036837A JP2005251189A JP 2005251189 A JP2005251189 A JP 2005251189A JP 2005036837 A JP2005036837 A JP 2005036837A JP 2005036837 A JP2005036837 A JP 2005036837A JP 2005251189 A JP2005251189 A JP 2005251189A
Authority
JP
Japan
Prior art keywords
security
network
computer
computing device
communication network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2005036837A
Other languages
English (en)
Inventor
Adrian M Chandley
エム.チャンドレイ エイドリアン
Alexander Frank
フランク アレクサンダー
Christopher A Schoppa
エイ.ショッパ クリストファー
Thomas G Phillips
ジー.フィリップス トーマス
William J Westerinen
ジェイ.ウェスターリネン ウィリアム
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Microsoft Corp
Original Assignee
Microsoft Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Microsoft Corp filed Critical Microsoft Corp
Publication of JP2005251189A publication Critical patent/JP2005251189A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F17/00Digital computing or data processing equipment or methods, specially adapted for specific functions
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/567Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Mining & Analysis (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】 通信ネットワークに接続されたコンピューティングデバイスを識別されたセキュリティの脅威から保護するためのネットワークセキュリティシステムを提供する。
【解決手段】 セキュリティサービスは、この通信ネットワーク中のネットワークセキュリティモジュール向けられたセキュリティ情報を発行する。ネットワークセキュリティモジュールは、コンピュータとその通信ネットワークとの間に論理的にまたは物理的に挿入される。このセキュリティ情報は、ネットワークセキュリティモジュールによって実装されるときにこのコンピュータに対する識別されたセキュリティの脅威からこの対応するコンピュータを保護するセキュリティ対策を含む。
【選択図】 図5

Description

本発明は、ネットワークに接続されたコンピューティングデバイスを攻撃から保護するためのコンピュータシステムおよびコンピュータ実装方法に関する。
ますます多くのコンピュータ、および他のコンピューティングデバイスが、インターネットなど、様々なネットワークを介して相互接続されるにつれて、特にネットワーク上または情報ストリームで送付された侵入または攻撃からのコンピュータセキュリティが、ますます重要になってきている。当業者には理解されるように、これらの攻撃は、確かにそれだけには限定されないが、すべてが、非合法的目的のために1つまたは複数のコンピュータシステムのぜい弱性(vulnerability)を悪用した、コンピュータウイルス、コンピュータワーム、システムコンポーネントの置換、サービス拒否攻撃(denial of service attack)、合法的なコンピュータシステム機能の誤用/乱用さえも含めて多数の異なる形式で到来する。様々なコンピュータ攻撃が技術的に互いに異なることが当業者には理解されようが、本発明の目的のため、また説明を簡単にするために、これらの攻撃のすべてを以降では全般的にコンピュータエクスプロイト(computer exploit)、あるいはより簡単にエクスプロイト(exploit)と呼ぶことにする。
コンピュータシステムが、コンピュータエクスプロイトによって攻撃される、または「感染させられる(infected)」ときには、システムデバイスを使用不可能にすること、ファームウェア、アプリケーション、またはデータファイルを消去または破損すること、機密上重要な可能性のあるデータをネットワーク上で別のロケーションへと伝送すること、このコンピュータシステムを遮断すること、あるいはこのコンピュータシステムをクラッシュさせることを含めて、この不利な結果は、いろいろである。必ずしもすべてではないにしても、多くのコンピュータエクスプロイトの別の悪性の様相は、感染したコンピュータシステムが他のコンピュータを感染させるために使用されることである。
図1は、コンピュータエクスプロイトが、一般に出回る例示のネットワーク環境100を示す図である。図1に示すように、この典型的な例示のネットワーク環境100は、すべてがイントラネットなどの通信ネットワーク110を介して、または一般にインターネットと呼ばれるグローバルなTCP/IPネットワークを含むより大規模な通信ネットワークを介して、相互接続された複数台のコンピュータ102〜108を含んでいる。どんな理由であれ、コンピュータ102などこのネットワーク110に接続されたコンピュータ上の悪意のあるパーティは、コンピュータエクスプロイト112を開発し、これをこのネットワーク上に放出する。この放出されたコンピュータエクスプロイト112は、矢印114で示すようにコンピュータ104など1台または複数台のコンピュータによって受信され、そしてこのコンピュータを感染させる。多くのコンピュータエクスプロイトでは一般的なように、感染した後に、矢印116で示すようにコンピュータ104を使用してコンピュータ106など他のコンピュータを感染させ、次にこのコンピュータが、矢印118で示すようにコンピュータ108などさらに他のコンピュータを感染させる。明らかに、これら現代のコンピュータネットワークの速度および到達距離に起因して、コンピュータエクスプロイト112は、指数関数的な割合で「成長」し、速やかにローカルな流行病になり、これがグローバルなコンピュータ流行病へと急速にエスカレートする。
コンピュータエクスプロイト、および特にコンピュータウイルスおよびコンピュータワームに対する従来からの防御機構が、アンチウイルスソフトウェア(anti−virus software)である。一般にアンチウイルスソフトウェアは、知られているコンピュータエクスプロイトに関連する識別可能なパターンを探し求めてネットワーク上から到来する着信データをスキャンする。知られているコンピュータエクスプロイトに関連するパターンを検出すると、このアンチウイルスソフトウェアは、この感染したデータからコンピュータウイルスを除去し、そのデータを隔離し、またはこの「感染した」着信データを削除することによって応答することができる。あいにく、アンチウイルスソフトウェアは、一般に「知られている」識別可能なコンピュータエクスプロイトを扱うものである。しばしば、これは、そのデータ中のパターンをこのエクスプロイトの「シグネチャ(signature)」と呼ばれるものにマッチングさせることによって行われる。このエクスプロイト検出モデルにおける基本的な欠陥の1つは、コンピュータのアンチウイルスソフトウェアが、その新しいコンピュータエクスプロイトを識別し応答するように更新されるまで、未知のコンピュータエクスプロイトが、ネットワーク中で検査されずに伝搬し得ることである。
アンチウイルスソフトウェアが、数千の知られているコンピュータエクスプロイトを認識する上でより高度化され効率的になってきたのにつれて、これらコンピュータエクスプロイトもまた、より高度化されてきている。例えば、多数の最近のコンピュータエクスプロイトは、今や多相(polymorphic)であり、換言すれば、移行中には、アンチウイルスソフトウェアで認識できる識別可能なパターンまたは「シグネチャ」を有さない。これらの多相エクスプロイトは、別のコンピュータシステムに伝搬する前にそれ自体を修正するので、アンチウイルスソフトウェアではしばしば認識可能でないことがある。
今日においてコンピュータエクスプロイトに対して保護する際に一般になっている別の防御機構は、ハードウェアまたはソフトウェアのネットワークファイアウォール(firewall)である。ファイアウォールは、内部ネットワークと外部ネットワークの間での情報の流れを制御することによって外部ネットワークを起源とする許可されていないアクセスから内部ネットワークを保護するセキュリティシステムであることが、当業者には理解されよう。このファイアウォールの外部を起源とするすべての通信は、まずこの通信を検査するプロキシ(proxy)に送信され、この通信をその対象とするターゲットに転送することが安全であり、または許可可能かどうかが判定される。あいにく、許可可能なネットワークアクティビティ(network activity)が禁止されず、許可できないネットワークアクティビティは否定されるように、ファイアウォールを適切に構成することは、高度で複雑なタスクとなる。技術的な複雑さに加えて、ファイアウォールの構成は管理することが難しい。ファイアウォールが不適切に構成されるときには、許可可能なネットワークトラフィック(network traffic)が不注意にもシャットダウンされ、許可できないネットワークトラフィックが通過することが許可されることもあり、この内部ネットワークが危うくする。この理由から、ファイアウォールに対する変更は、一般にはまれに、しかも技術的なネットワーク設計の問題に精通した人々によってしか行われない。
さらなるファイアウォールの制限として、ファイアウォールは内部のネットワークを保護するが、ファイアウォールは、特定のコンピュータについては何ら保護を提供しないことがある。換言すれば、ファイアウォールは、それ自体を特定のコンピュータのニーズに合うようにはしない。そうではなくて、たとえファイアウォールを使用して1台のコンピュータを保護するにしても、ファイアウォールは、やはりファイアウォールの構成に従ってそのコンピュータを保護するのであって、その1台のコンピュータの構成に従って保護するのではない。
ファイアウォールに関連したさらに他の問題は、ファイアウォールは、ファイアウォールが確立する境界内を起源とするコンピュータエクスプロイトからの保護を提供しないことである。換言すれば、エクスプロイトが、ファイアウォールによって保護されるネットワーク中に入ることができた後には、このエクスプロイトは、このファイアウォールによって禁止されないことである。従業員が、ポータブルコンピュータを家庭に(すなわち、企業のファイアウォール保護の外部に)持ち出し、このポータブルコンピュータを家庭であまり保護されていない環境内で使用するときに、この状況は、しばしば起きる。この従業員に知られないまま、このポータブルコンピュータは、そのとき感染する。このポータブルコンピュータがそのファイアウォールの保護の内部にあるその企業ネットワークに再接続されるときには、このエクスプロイトは、そのファイアウォールに検査されずに他のコンピュータをしばしば自由に感染させることがある。
前述のように、コンピュータエクスプロイトはまた、今や合法的なコンピュータシステム機能を攻撃において活用することもある。したがって、ファイアウォール提供業者およびアンチウイルスソフトウェア提供業者以外の多くのパーティが、これらのコンピュータエクスプロイトからコンピュータを守る際に協力する必要がある。例えば、オペレーティングシステム提供業者は、経済的な理由および契約上の理由のために、今では自分たちのオペレーティングシステムファンクションを絶えず解析してコンピュータエクスプロイトが使用することができる弱点またはぜい弱性を識別する必要がある。本考察の目的では、コンピュータエクスプロイトが、コンピュータシステムを攻撃することができるどのような達成のための道のことも、一般にコンピュータシステムのぜい弱性、または単にぜい弱性と呼ぶことにする。
ぜい弱性は、オペレーティングシステム、または他のコンピュータシステムコンポーネント、ドライバ、アプリケーションにおいて、識別され、対処されるので、これらの提供業者は、一般にソフトウェアの更新版をリリースして、そのぜい弱性を修復することになる。しばしばパッチとも呼ばれる、これらの更新版は、コンピュータシステム上にインストールしてこの識別されたぜい弱性からこのコンピュータシステムを保護するべきである。しかし、これらの更新版は、本質的にはこのオペレーティングシステム、デバイスドライバ、またはソフトウェアアプリケーションのコンポーネントに対するコード変更版である。したがって、これらは、アンチウイルスソフトウェア供給業者からのアンチウイルス更新版のように迅速にまた自由にはリリースすることができない。これらの更新版は、コード変更版であるので、このソフトウェアの更新版は、一般の人々にリリースするのに先立ってかなりのインハウステスト(in−house testing)を必要とする。あいにく、インハウステストにおいてさえ、ソフトウェアの更新版は、1つまたは複数の他のコンピュータシステム機能を破壊させ誤動作させることがある。したがって、ソフトウェアの更新は、コンピュータシステムを利用するパーティにとって非常に大きなジレンマを引き起こす。より詳細には、あるパーティが、彼らのコンピュータシステムを更新してぜい弱性からコンピュータシステムを保護し、彼らのコンピュータシステム動作を中断するリスクを冒すか、それともそのパーティが、彼らのコンピュータシステムを更新するのをやめて彼らのコンピュータシステムが感染することもあり得るというリスクを冒すかということになる。
本システム下においては、新しいコンピュータエクスプロイトが、ネットワーク110上で放出されるときと、コンピュータシステムが更新されてそのコンピュータエクスプロイトからコンピュータシステムを保護するときとの間に存在する、以下ではぜい弱性ウィンドウ(vulnerability window)と呼ばれる期間が存在する。この名前が示唆するように、コンピュータがぜい弱である、すなわちその新しいコンピュータエクスプロイトにさらされる期間は、このぜい弱性ウィンドウ中の期間である。図2A〜2Bは、このぜい弱性ウィンドウを示す例示の時系列のブロック図である。時系列に関する以下の考察に関して、重要な時刻またはイベントは、時系列に関するイベントとして識別し称することにする。
図2Aは、今やパブリックネットワーク上に放出されている1つまたは複数の最近の高度なクラスのコンピュータエクスプロイトに関するコンピュータシステムのぜい弱性ウィンドウを示している。以下で説明するように、この新しいクラスのコンピュータエクスプロイトは、システム提供業者のセキュリティ対策を利用してコンピュータシステムのぜい弱性を識別し、その後にコンピュータエクスプロイトを作成し送付する。
図2Aを参照すると、イベント202において、オペレーティングシステム提供業者は、そのリリース済みのオペレーティングシステム中のぜい弱性の存在を識別する。例えば、1つのシナリオでは、リリース済みのオペレーティングシステムのそれ自体の内部解析を実施するこのオペレーティングシステム提供業者が、コンピュータシステムを攻撃するために使用することができる以前には知られなかったぜい弱性を発見する。代替シナリオでは、この以前には知られなかったぜい弱性は、コンピュータシステム上でシステムセキュリティ解析を実施し、このぜい弱性に関する情報をこのオペレーティングシステム提供業者へと取り次ぐ組織を含めてサードパーティが発見する。
このオペレーティングシステム提供業者が、このセキュリティぜい弱性の存在を知った後に、このオペレーティングシステム提供業者は、このぜい弱性に対処を行い、これにより、イベント204において、このオペレーティングシステムを実行するどのようなコンピュータシステムをも保護するパッチの作成とリリースがもたらされる。一般に、オペレーティングシステム提供業者は、すべてのオペレーティングシステムのユーザに対してこのパッチをインストールするようにとの推薦状と共に、システムパッチが使用可能であるという何らかタイプの発表を行うことになる。このパッチは、影響のあるコンピュータシステム上にダウンロードおよびインストレーションを行うためにこのネットワーク110上の知られているロケーションに通常置かれる。
あいにく、頻繁に起こるように、このオペレーティングシステム提供業者が、このパッチをリリースした後、イベント206において、悪意のあるパーティは、このパッチをダウンロードし、何らかのリバースエンジニアリング(reverse engineering)、ならびにこのオペレーティングシステムまたは他のものが公開した任意の情報を使用して、このオペレーティングシステム中の「フィックスされた(fixed)」ぜい弱性に関する詳細を識別する。この情報を使用して、この悪意のあるパーティは、この基礎になっているぜい弱性を攻撃するコンピュータエクスプロイトを作成する。イベント208において、この悪意あるパーティは、このネットワーク110上でこのコンピュータエクスプロイトを放出する。この「フィックス(fix)」としても知られるソフトウェアパッチを発行する目的は、基礎になっているぜい弱性を補正することであるが、この「フィックス」はしばしば、それ自体があいにくにも新しいぜい弱性を作成し、または含む複雑な1組のソフトウエアコードであり、この新たなぜい弱性は、悪意のあるパーティが作成するコンピュータエクスプロイトによって攻撃される可能性がある。したがって、この「フィックス」が補正するものを評価するのに追加して、この「フィックス」は、可能性のあるぜい弱性についても評価される。
「フィックス」が使用可能であるが、この悪意のあるパーティは、前述の理由を含めて様々な理由から必ずしもあらゆるぜい弱性のあるコンピュータシステムが、直ちにアップグレードされることにはならないことに気づいている。したがって、イベント208において、この悪意のあるパーティは、そのコンピュータエクスプロイト112をネットワーク110上に放出する。このコンピュータエクスプロイト112の放出は、前述のように、ぜい弱性ウィンドウ212を開始する、そこでは、ぜい弱なコンピュータシステムは、このコンピュータエクスプロイトの影響を受けやすい。イベント210において、このパッチが、コンピュータシステム上で最終的にインストールされたときに始めて、このぜい弱性ウィンドウ212は、このコンピュータシステムについて終了する。
今日放出される多くのコンピュータエクスプロイトは、図2Aに関して説明したシナリオなどにおける知られているぜい弱性に基づいているが、場合によっては、以前には知られていないぜい弱性を利用したコンピュータエクスプロイトが、ネットワーク110上に放出されることがある。図2Bは、このシナリオの下における時系列220に関するぜい弱性ウィンドウ230を示している。したがって、時系列220上に示すように、イベント222において、悪意のあるパーティが、新しいコンピュータエクスプロイトを放出する。これは新しいコンピュータエクスプロイトであるので、ぜい弱なコンピュータシステムをその攻撃から保護するために使用可能なオペレーティングシステムのパッチもアンチウイルス更新版も存在しない。それに対応して、ぜい弱性ウィンドウ230が、開始される。
この新しいコンピュータエクスプロイトがこのネットワーク110上を循環した後のあるポイントで、イベント224で示されるように、オペレーティングシステム提供業者および/またはアンチウイルスソフトウェア提供業者は、この新しいコンピュータエクスプロイトを検出する。一般に、この新しいコンピュータエクスプロイトの存在がそのオペレーティングシステム提供業者と、アンチウイルスソフトウェア提供業者の両者によって数時間以内に検出されることが当業者には理解されよう。
このコンピュータエクスプロイトが検出された後に、このアンチウイルスソフトウェア提供業者は、パターン、または「シグネチャ」を識別するためのプロセスを開始して、これによりアンチウイルスソフトウェアがこのコンピュータエクスプロイトを認識できるようにすることができる。同様に、このオペレーティングシステム提供業者は、そのプロセスを開始してこのコンピュータエクスプロイトを解析して、このオペレーティングシステムについてパッチをリリースしてこのコンピュータエクスプロイトからこのオペレーティングシステムを保護する必要があるかどうかを判定する。これらの並行した努力の結果、イベント226において、このオペレーティングシステム提供業者および/またはアンチウイルスソフトウェア提供業者は、更新版、すなわちこのオペレーティングシステムへのソフトウェアパッチ、またはアンチウイルスの更新版をリリースし、これがこのコンピュータエクスプロイトに対して対処することになる。その後に、イベント228において、この更新版が、ユーザのコンピュータシステム上でインストールされ、それによってそのコンピュータシステムが保護され、このぜい弱性ウィンドウ230が、終了へと導かれる。
コンピュータエクスプロイトがコンピュータシステムに対してセキュリティの脅威をもたらす可能性のあるあらゆるシナリオの代表にすぎないが、以上の例から分かるように、ぜい弱性ウィンドウは、コンピュータエクスプロイト112がネットワーク110上に放出されたときから、対応する更新版がユーザのコンピュータシステム上にインストールされてそのぜい弱性ウィンドウが終了するときまでの間、存在している。悲しむべきことに、このぜい弱性ウィンドウが、長くても、または短くても、感染したコンピュータは、そのコンピュータの所有者に、少しでも可能である場合には、「ウイルス駆除」し修復するためにかなりの金額の費用を負わせる。この費用は、ネットワーク110に接続される数千、または数十万台のデバイスを有する大会社またはエンティティを取り扱う際には莫大になる可能性がある。このような費用は、かかるエクスプロイトが顧客のデータを改ざんし破壊し、このデータのすべてをトレースし修復することが極めて困難または不可能となり得る可能性によってさらに拡大される。必要なのは、保護を行う更新版が、そのコンピュータシステム上で使用可能および/またはインストール済みとなる以前でさえ、応答的な方法、および個別のコンピュータシステムのニーズに従ってコンピュータエクスプロイトに対してコンピュータシステムを保護するためのシステムおよび方法である。従来技術において見出された以上および他の課題について、本発明では対処している。
本発明の態様によれば、通信ネットワークに接続されたコンピューティングデバイスをセキュリティの脅威から保護するためのネットワークセキュリティシステム(network security system)が提供される。このネットワークセキュリティシステムは、ネットワークセキュリティモジュール(network security module)を含んでいる。このネットワークセキュリティモジュールは、コンピューティングデバイスとその通信ネットワークの間に挿入される。このネットワークセキュリティシステムはまた、セキュリティサービス(security service)を含んでいる。このセキュリティサービスは、ネットワークセキュリティモジュールに対してセキュリティ情報を発行し、このセキュリティ情報は、このネットワークセキュリティモジュールによって実装される際にこのコンピューティングデバイスをそのセキュリティの脅威から保護する。
本発明のさらなる態様によれば、通信ネットワーク中のコンピューティングデバイスをその通信ネットワーク上で送付されるセキュリティの脅威から保護するための方法が、提供される。その通信ネットワーク中のコンピューティングデバイスに対するセキュリティの脅威に関連した情報が、取得される。このセキュリティの脅威に関連したセキュリティ情報は、ネットワークセキュリティモジュールへと発行される。各ネットワークセキュリティモジュールは、コンピューティングデバイスと通信ネットワークの間に挿入される。このセキュリティ情報は、セキュリティ保護対策(protective security measure)を含んでおり、この対策は、ネットワークセキュリティモジュールが実施する際に、コンピューティングデバイスとその通信ネットワークの間の危険な恐れのある(at−risk)ネットワークアクティビティからそのコンピューティングデバイスを保護する。
本発明の前述の態様および付随する利点の多くは、添付図面と併せて以下の詳細な説明に関しての同様な理解が進むにつれ、さらに簡単に理解されよう。
図3Aは、本発明の態様を実装するのに適した例示のネットワーク環境300を示す図である。この例示のネットワーク環境300は、ネットワーク110に接続されたコンピュータ302を含んでいる。本発明は、コンピュータ302などのパーソナルコンピュータに関連して動作する観点で一般的に説明しているが、これは、例証の目的にすぎず、本発明を限定するものと解釈すべきではないことに留意されたい。ほとんどどのようなネットワーク化されたコンピューティングデバイスでもコンピュータエクスプロイトによって攻撃され得ることが当業者には簡単に理解されよう。したがって、本発明を実装して、それだけには限定されないが、パーソナルコンピュータ、タブレットコンピュータ、ノートブックコンピュータ、PDA(personal digital assistant携帯型個人情報端末)、ミニコンピュータおよびメインフレームコンピュータ、(しばしばセル電話と呼ばれる)無線電話、無線電話/PDAの組合せなどのハイブリッドコンピューティングデバイスなどを含めて非常に多くのタイプのコンピュータ、コンピューティングデバイス、またはコンピューティングシステムを保護することができることが有利である。本発明を実装して、ハードウェアデバイス、周辺デバイス、ソフトウェアアプリケーション、デバイスドライバ、オペレーティングシステムなどを保護することができることもまた有利である。
このネットワーク110は、任意数の実際の通信ネットワークを含むことができることを理解されたい。これらの実際の通信ネットワークには、それだけには限定されないが、インターネット、ワイドエリアネットワークおよびローカルエリアネットワーク、イントラネット、セルラネットワーク、IEEE802.11、およびブルートゥース(Bluetooth)無線ネットワークなどが含まれる。したがって、本発明では、コンピュータネットワーク、とりわけインターネットの観点で考察しているが、これは例証の目的にすぎず、本発明を限定するものと解釈すべきではない。
例示のネットワーク環境300は、ネットワークセキュリティモジュール304およびセキュリティサービス306も含んでいる。このネットワークセキュリティモジュール304は、コンピュータ302などのコンピュータとネットワーク110との間に挿入される。このネットワークセキュリティモジュール304は、物理的にまたは論理的にこのコンピュータ302とネットワーク110の間に挿入することができる。このコンピュータ302とネットワーク110の間の通信は、このネットワークセキュリティモジュール304を介して流れる。本発明によれば、このネットワークセキュリティモジュール304は、それだけには限定されないが、すべてがコンピュータシステムのぜい弱性を利用したコンピュータエクスプロイトのターゲットとなる可能性があり得る、コンピュータ302上にインストールされたその特定のオペレーティングシステムのリビジョン、アンチウイルスソフトウェアとそれに対応するシグネチャデータファイルの両方についてのリビジョン情報を含むアンチウイルス情報、インストール済みのアプリケーション、デバイスドライバなどを含めて、このコンピュータの特定の構成に対応するセキュリティ情報に従って、コンピュータ302とネットワーク110の間のネットワークアクティビティを選択的に制御する。
本発明の一実施形態によれば、そのセキュリティサービス306からのセキュリティ情報を定期的に取得するために、ネットワークセキュリティモジュール304は、コンピュータ302のこの特定の特有な構成に対応するセキュリティ情報を求めるセキュリティ情報要求をこのセキュリティサービス306に対して発行する。ネットワークセキュリティモジュール304は、このセキュリティサービス306からのセキュリティ情報を定期的に取得するように構成することができる。例えば、ネットワークセキュリティモジュール304は、毎分ごとにセキュリティサービス306からセキュリティ情報を取得するように構成することができる。あるいは、ネットワークセキュリティモジュール304は、ユーザが指定した期間に従ってセキュリティサービス306からセキュリティ情報を取得するように構成することもできる。
コンピュータの特定の特有な構成に対応するセキュリティ情報を取得することは、数限りない理由からユーザがユーザのコンピュータシステムを更新することを遅延する必要があるときに、重要である。例えば、オペレーティングシステムまたはアンチウイルスソフトウェアを更新するに際しての遅延は、コンピュータがしばらくの間、停止していたために起こることもある。したがって、オペレーティングシステムおよび/またはアンチウイルスソフトウェアの最新リビジョンでは、新たに発見されたコンピュータエクスプロイトからの適切な保護を提供することができるが、あるコンピュータが、「最新状態」になっておらず、したがってそのコンピュータエクスプロイトの影響を受けやすいこともあり、このコンピュータは、そのコンピュータの特定の構成に対応したセキュリティ対策を実装する必要がある。したがって、そのセキュリティ情報要求は、それだけには限定されないが、インストール済みのパッチを含めてこのコンピュータのオペレーティングシステムのリビジョンを識別する情報と、ソフトウェアおよびデータファイルの更新版はもとよりこのコンピュータが使用するその特定のアンチウイルスソフトウェアおよびリビジョンと、電子メールもしくはブラウザの識別子、リビジョン、ファームウェア提供業者、バージョンなどのネットワーク化可能なアプリケーション情報、および他のセキュリティ設定とを含むこともある。
本発明の態様によれば、ネットワークセキュリティモジュール304は、コンピュータシステムコンポーネントを更新する動作の1つとしてこのコンピュータの特定の構成情報を取得する。例えば、ユーザがこのコンピュータ302上にオペレーティングシステムのパッチをインストールする場合に、このオペレーティングシステムのパッチをインストールする動作の1つとして、ネットワークセキュリティモジュール304は、このオペレーティングシステムのその今現在のリビジョンについての通知を受ける。同様に、ネットワーク化可能アプリケーションやアンチウイルスソフトウェアなど他のコンピュータシステムフィーチャは、それらが更新されたときにネットワークセキュリティモジュール304にすべてを通知し、その結果、このネットワークセキュリティモジュールは、その最も正確で十分なセキュリティ情報を取得してこのコンピュータの特定の現行の構成に従ってこのコンピュータ302を保護することができる。
このセキュリティ情報要求中のこのコンピュータの特定の構成情報に基づいて、セキュリティサービス306は、関連するセキュリティ情報を識別して知られている認識されたコンピュータシステムのぜい弱性からこのコンピュータを保護する。関連するセキュリティ情報を識別することについては、以下にさらにかなり詳細に説明している。このセキュリティ情報は、このネットワークセキュリティモジュール304によって実装されるべきセキュリティ保護対策を含んでおり、このセキュリティ保護対策によって、このネットワークセキュリティモジュールが、知られているぜい弱性のコンピュータエクスプロイトからこのコンピュータ302を隔離することが可能になる。このセキュリティ保護対策は、それだけには限定されないが、パッチまたは更新版をインストールするためのセキュリティサービス306やアンチウイルスソフトウェアサービス308などある種の知られている安全なネットワークロケーション間の通信以外のコンピュータ302とネットワーク110の間のすべてのネットワークアクティビティをブロックすること、特定の通信ポートおよびアドレス上のネットワークトラフィックをブロックすること、電子メールアプリケーションやウェブブラウザアプリケーションなどある種のネットワークに関連したアプリケーションへのまたはそのアプリケーションからのあるいはその両方の通信をブロックすること、ならびにコンピュータ302上の特定のハードウェアコンポーネントまたはソフトウェアコンポーネントへのアクセスをブロックすることを含めて任意数のネットワークアクティビティ制御、またはその組合せを含むことができる。したがって、このセキュリティ応答を受信すると、このネットワークセキュリティモジュールは、このセキュリティ対策を実装する。
前述のように、ネットワークセキュリティモジュール304は、コンピュータ302とネットワーク110との間に挿入されており、したがって、このコンピュータとこのネットワークの間のすべてのネットワークアクティビティが、このネットワークセキュリティモジュールを介して流れる必要がある。ネットワークトラフィックが、このネットワークセキュリティモジュール304を介して流れるときに、このネットワークセキュリティモジュールは、このネットワークトラフィックを監視し、知られている安全なロケーションなどの間の通信以外のすべてのネットワークアクセスをブロックするなどこのセキュリティサービス306から受信されるこのセキュリティ保護対策を実装する。
本発明のさらなる態様によれば、セキュリティ応答は、赤色、黄色、緑色のレベルなど指定されたセキュリティレベルを含むこともできる。これらのセキュリティレベルは、このコンピュータ302のユーザに対してネットワークセキュリティモジュール304が実装する保護対策の代表レベルを識別する情報を表す。例えば、赤色のセキュリティレベルは、ネットワークセキュリティモジュール304が、知られている安全なロケーションへのまたはそこからのアクセスを除いて、コンピュータ302とネットワーク110の間のすべてのネットワークアクティビティを現在ブロックしていることを示すことができる。あるいは、黄色のセキュリティレベルは、ネットワークセキュリティモジュール304が、現在、あるセキュリティ保護対策を実装中であるが、さらにこのコンピュータ302は、このネットワーク110と別の方法で依然として情報をやりとりすることができることを示すことができる。さらに、緑色のセキュリティレベルは、このネットワークセキュリティモジュール304が、どのようなセキュリティ保護対策も実装中ではなく、コンピュータ302とネットワーク110の間の通信が制限されていないことを示すことができる。前述のセキュリティレベルに従って、説明する目的のために、赤色のセキュリティレベルは、完全ロックダウン(full rock−down)とも呼ぶことができ、黄色のセキュリティレベルは、部分ロックダウン(partial rock−down)とも呼ぶことができ、緑色のセキュリティレベルは、フリーネットワークアクセス(free network access)とも呼ぶことができる。以上の説明では、3つのセキュリティレベル、また赤色、黄色、および緑色のスキーマを識別しているが、これらは例示的なものであり、本発明を限定するものと解釈すべきではない。ユーザに対する表現についての代替的なスキーマを用いて任意数のセキュリティレベルを実装することができることができることが、当業者には簡単に理解されよう。
ネットワークセキュリティモジュール304は、自動的な方法で、すなわちユーザの介入を必要とせずに動作するので、以上で識別されたセキュリティレベル、ならびにセキュリティレベルの対応する任意の視覚表現は、ユーザ情報の目的のためだけのものである。これらを使用してネットワークセキュリティモジュール304が実装する制約レベルの指示をユーザに提供することができる。この視覚指示は、ユーザが、ネットワーク接続が誤動作しているかどうかを判定し、またはネットワークアクティビティが、現在のネットワークセキュリティの問題によって制約されていることを決定しようと試みているときには特に有用なこともある。
本発明の態様によれば、またセキュリティの追加対策として、ネットワークセキュリティモジュール304が、パワーアップされるときに、このネットワークセキュリティモジュールは、デフォルト状態に入る。このデフォルト状態は、コンピュータ302と信頼されるネットワークロケーションの間のネットワークアクティビティが許容可能なような、セキュリティの最高レベル、すなわち完全ロックダウンに対応する。パワーアップの一部分として、またはセキュリティサービス306との定期的な通信の一部分として、ネットワークセキュリティモジュール304は、最新のセキュリティ情報を取得し、このセキュリティ情報に応じて、より制約の少ないセキュリティ対策を課することができる。ぜい弱性を識別することができており、またはエクスプロイトが、このネットワークセキュリティモジュールがパワーオフされていた時間中にネットワーク110上に放出されているので、明らかに、このネットワークセキュリティモジュール304において完全ロックダウンのデフォルト状態を実装することは、このコンピュータ302にとって有利になる。
本発明の一実施形態によれば、ネットワークセキュリティモジュール304は、コンピュータ302からの情報を要求またはアクセスしない。その代わりに、ネットワークセキュリティモジュール304は、ある種のイベントに関連してコンピュータ302からこのネットワークセキュリティモジュールに伝送される情報に対して動作する。したがって、ネットワークセキュリティモジュールが最初にコンピュータ302とネットワーク110の間に挿入されたときなど、ネットワークセキュリティモジュール304が、最初にコンピュータを保護し始めるときには、このネットワークセキュリティモジュールは、このコンピュータシステムに対応する特定のどのような構成情報ももたないことになる。前述のように、ネットワークセキュリティモジュール304が、コンピュータ302に関する構成情報をもたないとき、またはこのネットワークセキュリティモジュール304がパワーアップされるときには、このネットワークセキュリティモジュールは、そのデフォルト状態、すなわち完全ロックダウンに入る。しかし、前述のように、完全ロックダウンは、このコンピュータ302が知られている安全なロケーションを用いて依然として通信することができるようにすることになる。一例として、これらの知られている安全なロケーションは、オペレーティングシステムの更新が行われる1つまたは複数のロケーションを含んでいる。したがって、コンピュータ302が最新のオペレーティングシステム、アンチウイルスソフトウェア、アプリケーション、およびデバイスドライバの使用可能なリビジョンおよび更新版を用いて構成されるときでさえ、ユーザは、このネットワークセキュリティモジュール304に送信される更新情報をもたらす更新プロセスを実行することができる。あるいは、このコンピュータシステムの現行の構成についてネットワークセキュリティモジュール304に通知する特定のプログラムを提供することができる。
ネットワークセキュリティモジュール304とセキュリティサービス306の間の通信が、信頼できるものであり、壊れていないようにするために、本発明の一実施形態においては、セキュリティ要求やセキュリティ情報などの、このネットワークセキュリティモジュールとこのセキュリティサービスの間の通信は、SSL(Secure Socket Layerセキュアソケットレイヤ)プロトコルを使用したセキュリティ保護された通信など暗号化されセキュリティ保護された通信の形で送付される。同様に、ネットワークセキュリティモジュール304とコンピュータ302との間の通信もまた、同様にしてセキュリティ保護される。
本発明のオプションとしての態様によれば、たとえこのコンピュータがパワーオフされていても、このネットワークセキュリティモジュール304は、動作し続け、すなわちこのコンピュータ302に対応するセキュリティ情報を取得し続ける。例えば、このネットワークセキュリティモジュール304は、このコンピュータがパワーオンされていると想定してこの最新のオペレーティングシステムおよび/またはアンチウイルスソフトウェアのリビジョンデータにすべて従ってこのコンピュータ302についてのセキュリティ情報を取得し続けることができる。一実施形態によれば、このネットワークセキュリティモジュール304は、当業者に知られているように、たとえコンピュータ302がパワーオフされていても周辺デバイスにパワーを供給する、コンピュータのこの補助パワーレール(power rail)に接続されている。さらに、このネットワークセキュリティモジュール304が、このコンピュータ302が動作しているときにしか動作しない場合には、このネットワークセキュリティモジュールが動作を再開するときに、このネットワークセキュリティモジュールは、完全ロックダウンを実装するが、一方でこのネットワークセキュリティモジュールは、このコンピュータの現行の構成に対応する最新のセキュリティ情報を取得する。
本発明の別の実施形態によれば、このネットワークセキュリティモジュール304は、ユーザがオプション的に無効化することができる。これは、ネットワークに対してフルにアクセスする必要性が、コンピュータエクスプロイトからの攻撃のリスクより勝るある種の時間があるときに、有用である。例えば、ネットワーキングの問題/課題を診断しようと試みる際にこのネットワークセキュリティモジュール304を無効化することが必要となり得る。あるいは、E911のVoIP(voice over IPボイスオーバーIP)サービスを使用するなど何らかの緊急事態では、このネットワークセキュリティモジュール304を無効化することが必要になり得る。
本発明の一態様によれば、無効化される際に、このネットワークセキュリティモジュール304は、セキュリティサービス306からのセキュリティ情報を取得し続けるが、このネットワークセキュリティモジュールは、このセキュリティ保護対策を実装することはない。セキュリティ情報を絶えず更新することは、このネットワークセキュリティモジュールが、再有効化される際に、その最新のセキュリティ情報を有することになるので、特にこのネットワークセキュリティモジュール304が一時的にしか無効化されない場合には、そのユーザにとって有利となる。あるいは、ネットワークセキュリティモジュール304が無効化され、絶えず更新することがない場合には、このセキュリティサービス306との通信がない所定の期間の後に、このネットワークセキュリティモジュールは、そのデフォルト状態に、すなわちネットワークアクティビティの完全ロックダウンに戻ることもある。
セキュリティサービス306は、すべてのセキュリティ情報について1つのサーバ/ソースとして、またはその代わりにこのネットワーク110全体にわたって分布するサーバ/ソースの階層として実装することができる。階層的なシステムにおいては、ネットワークセキュリティモジュール304は、最初は、セキュリティサービスにおけるルートのサーバ/サービス、すなわち常に存在することになるものを用いて構成される。しかし、おそらくネットワークセキュリティモジュール304とこのセキュリティサービスの間にある最初の通信において、このセキュリティサービスが戻すそのセキュリティ情報の一部分として、このセキュリティサービスは、このセキュリティサービスのその階層に関する情報を提供する。この情報は、1つまたは複数の範囲のネットワークアドレスとして提供することができ、これらのネットワークアドレスのすべては、このセキュリティサービス階層におけるノードであり、またこのネットワークアドレスは、ネットワークセキュリティモジュール304にこの適切なセキュリティ情報を提供することができる。その後は、ネットワークセキュリティモジュール304は、必ずしもこの最初のノードに問い合わせて情報を取得する必要があるとは限らない。明らかに、階層的な手法で、このセキュリティサービスを実装するための1つの利点は、このセキュリティサービスを簡単にスケールアップまたはスケールダウンして情報を要求するネットワークセキュリティモジュールの数を適応させることができ、このセキュリティサービス階層中のその最初のノードが、ネットワーク中のすべてのネットワークセキュリティモジュールからのセキュリティ情報要求によって圧倒されないようにすることである。ネットワーク110中に分布される階層構造下において、負荷バランシングを行うこともでき、この階層中の1つのノードが失敗する場合に、他のノードが中に入り、このセキュリティ情報を提供するように、冗長度をこのシステム中に構築することができる。
本発明の態様によれば、ネットワークセキュリティモジュール304は、当技術分野においてポートミミッキング(port mimicking)として知られている技法を使用してコンピュータ302およびネットワーク110に対してトランスペアレント(transparent)になる。一般的に言えば、ポートミミッキングを使用すると、ネットワークセキュリティモジュール304は、コンピュータ302にとっては、ネットワーク110のように見え、このネットワーク上のデバイスにとってはコンピュータのように見える。したがって、このネットワークセキュリティモジュールが、オペレーティングシステムの更新またはセキュリティ情報の応答の通知などの、この通信がこのネットワークセキュリティモジュールを対象としていることを決定しない限り、またはこのネットワークセキュリティモジュールがこのセキュリティ保護対策に従ってそのネットワークアクティビティをブロックする必要がない限り、ネットワークアクティビティは、このネットワークセキュリティモジュール304を介してコンピュータ302とネットワーク110の間を自由に流れる。
前述のように、ネットワークセキュリティモジュール304は、問合せの結果として、このセキュリティサービス306からセキュリティ情報を取得する。当業者なら、これをポーリングシステム(poll system)、すなわちセキュリティ情報を求めてセキュリティサービス306をポーリングすることとして認識されよう。しかし、代替実施形態においては、このセキュリティサービス306が、このネットワーク110中のこれらのネットワークセキュリティモジュールに対して重要なセキュリティ情報をブロードキャスト(broadcast)することが有利である。例えば、このネットワーク環境300中のこれらのネットワークセキュリティモジュールが、セキュリティサービス306からセキュリティ情報を取得する時間間隔によっては、特定の悪性のコンピュータエクスプロイトがこのネットワーク110を巡回し始める場合には、ネットワークセキュリティモジュールが重要なセキュリティ情報を要求するのを待つのではなく、このセキュリティサービスは、これらネットワークセキュリティモジュールに対してセキュリティ情報をブロードキャストする。以降でセキュリティブリテン(security bulletin)と称するこのセキュリティ情報は、一般にこのコンピュータエクスプロイトの影響を受けやすいすべての構成、取るべきセキュリティ保護対策、ならびにその対応するセキュリティレベルの指示を含んでいる。本発明の一態様によれば、このセキュリティブリテンは、所定のスキーマに従って構成されるXMLドキュメントである。
情報をリスナにブロードキャストするシステムは、プッシュシステム(push system)と呼ばれる。すなわち、このセキュリティサービス306は、これらのネットワークセキュリティモジュールに重要なセキュリティ情報をプッシュする。本発明の態様によれば、セキュリティブリテンは、「配信保証」サービスを使用してネットワーク110上でブロードキャストされる。配信保証サービスにおいては、セキュリティブリテンは、高優先順位アイテムとして識別され、このネットワークサービス提供業者との契約の中でそうでなければ最初に配信されるはずの他のネットワークトラフィックの配信の前に配信される。
コンピュータ302が通信を行う同じネットワーク110上で、このセキュリティブリテンを配信することに加えて、「帯域外(out of band)」、すなわちこのネットワーク110とは別の第2の通信リンク上で通信を行うことが有利なはずであることがしばしばある。図3Bは、ネットワーク110に接続されたネットワークセキュリティモジュールにセキュリティ情報を配信するための第2の通信リンク314を含む、本発明の態様を実装するための代替構成されたネットワーク環境310を示す図である。
図3Bに示すように、この代替構成されたネットワーク環境310は、コンピュータ302、セキュリティサービス306、およびネットワークセキュリティモジュール304を含めてこのネットワーク環境300に関する前述と同様のコンポーネントを含んでいる。しかし、このセキュリティサービス306はさらに、第2の通信リンク314上でその情報を受信する受信デバイス312に特に適合化したネットワークセキュリティモジュール304に対して、セキュリティ情報および/またはセキュリティブリテンの両者を含めてセキュリティ情報を伝送するように構成されている。本発明の態様によれば、第2の通信リンク314は、セキュリティサービス306とネットワークセキュリティモジュール304の間の衛星通信リンク、無線周波数ブロードキャスト、または他の何らかの第2の通信形態であることもある。任意数の通信チャネルを使用できることが当業者には理解されよう。
本発明の代替実施形態によれば、第2の通信リンク314は、このセキュリティサービス306およびネットワークセキュリティモジュール304からの1方向通信リンク、またはこのセキュリティサービスとこのセキュリティモジュールとの間の通信のための2方向通信リンクとすることができる。さらに、前述のようなソフトウェア更新版またはパッチは、この第2の通信リンク314上でセキュリティサービス306からダウンロードするために使用可能とすることもできる。
このネットワークセキュリティモジュール304は、コンピュータ302とインターネット110の間に挿入されるが、ネットワークセキュリティモジュールの実際の実施形態は多様である。各ケースにおいて、ネットワークセキュリティモジュール304は、信頼されているコンポーネントとしてコンピュータ302によって取り扱われる。一実施形態によれば、ネットワークセキュリティモジュール304は、ネットワーク110およびこのコンピュータに接続された、コンピュータ302の外部の「ドングル(dongle)」と時に呼ばれるハードウェアデバイスとして実装される。あるいは、ネットワークセキュリティモジュール304は、コンピュータ302内に一体化されたハードウェアコンポーネント、またはこのコンピュータのネットワークインターフェース内の一体化されたサブコンポーネントとして実装することができる。コンピュータ302内に、またはこのコンピュータのネットワークインターフェース上のサブコンポーネントとしてネットワークセキュリティモジュール304を一体化することは、コンピュータ302が、無線接続を介してこのネットワーク110に接続されるときに特に有用となり得る。
別の代替実施形態によれば、このネットワークセキュリティモジュールは、それだけには限定されないが、プロセッサ、グラフィックス処理ユニット、ノースブリッジ(north bridge)、またはサウスブリッジ(south bridge)を含めてコンピュータ302のコンポーネント内部のマイクロコーディング(microcoding)またはファームウェアなどのロジックとして実装することができる。さらに他の代替実施形態としては、ネットワークセキュリティモジュール304は、コンピュータ302上にインストールされたそのオペレーティングシステムに関連して、またはその一部分として、あるいは別のアプリケーションとして動作するソフトウェアモジュールとして実装することができる。このソフトウェア実装されたネットワークセキュリティモジュール304は、コンピュータ302中の第2のプロセッサ上で動作することができる。この第2のプロセッサは、このコンピュータの主要プロセッサと非対称的に他のコンピュータシステムタスクを実装していてもよいし、また実装していなくてもよい。したがって、ネットワークセキュリティモジュール304は、特定のどのような実施形態にも限定されるものと解釈すべきではない。
本発明が実現する利点の1つは、このシステムが多くのエクスプロイトの影響を緩和することであることに留意されたい。例えば、サービス拒否(DOS)攻撃とは、そのコンピュータが、そのリソースを使い果たしクラッシュし、またはその代わりに、外部の攻撃/エクスプロイトに対してよりぜい弱なあいまいな状態に誤って入ってしまうようにする目的で、ネットワーク要求を用いてコンピュータを圧倒しようとする試みであることが当業者には理解されよう。しかし、セキュリティ保護対策を実装することによってセキュリティサービス306に応答するネットワークセキュリティモジュール304を用いることにより、圧倒する可能性のあるネットワーク要求を含むかかるエクスプロイトは、コンピュータ302に決して到達しない。
前述のコンポーネントがどのようにしてこのコンピュータ302に対して拡張されたセキュリティを提供するために動作するかをさらに十分に理解するために、対応するイベントを伴う時系列上に示された例示のシナリオについて言及する。図4Aおよび4Bは、本発明のコンポーネントの動作を実証するための例示の時系列を示すブロック図である。より詳細には、図4Aは、ネットワーク110上における新しいコンピュータエクスプロイトの放出に関して本発明がどのようにしてコンピュータ302のぜい弱性ウィンドウ406を最小にするかを実証するための例示の時系列400を示すブロック図である。以下は、コンピュータエクスプロイトがオペレーティングシステムを攻撃するものとして提示されているが、これは例証の目的のためであり、本発明を限定するものと解釈すべきではないことに留意されたい。本発明を利用してコンピュータシステム上におけるコードモジュール、サービス、ハードウェアデバイスでさえ保護することができる。
この時系列400上に示すように、イベント402において、悪意のあるパーティは、ネットワーク110上に新しいコンピュータエクスプロイトを放出する。この新しいコンピュータエクスプロイトの放出は、コンピュータ302など、この新しいコンピュータエクスプロイトがターゲットとする、このネットワーク110に接続されたコンピュータについてのぜい弱性ウィンドウ406を開始する。イベント404において、前述のようにそのオペレーティングシステム提供業者、そのアンチウイルス提供業者、または他の者によってこの新しいコンピュータエクスプロイトの存在が検出される。
この新しいコンピュータエクスプロイトの存在を検出すると、このエクスプロイトの攻撃の性質またはモードが識別される以前でさえ、イベント408においてそのオペレーティングシステム提供業者は、セキュリティサービス306を介してセキュリティ情報を発行する。一般に、コンピュータエクスプロイトが発見され、攻撃のその性質、程度、またはモードがよく知られていないときには、このセキュリティサービスは、すべての明らかに影響を受けるコンピュータシステムについてのこのセキュリティレベルを赤色、すなわち完全ロックダウンに設定することになる。ブロック410において、このネットワークセキュリティモジュール304は、定期的な要求の形で、またはセキュリティブリテンとしてこのセキュリティ情報を取得し、その対応するセキュリティ対策、この場合には完全ロックダウンを実装する。セキュリティサービス306からのセキュリティ対策を実装すると、ターゲットコンピュータのぜい弱性ウィンドウ406が閉じられることが有利である。
図2Bのぜい弱性ウィンドウ230とは対照的に、ぜい弱性ウィンドウ406は、比較的小さく、それによって、この新しいコンピュータエクスプロイトに対するターゲットコンピュータシステムの露出が最小になる。明らかに、ぜい弱性ウィンドウ406など、ぜい弱性ウィンドウが開いている実際の時間長は、少数のファクタに依存する。以上で考察したように、新しいコンピュータエクスプロイトは、一般に放出から15分から数時間以内に検出される。この第1のファクタよりもさらにずっと可変の第2のファクタは、ネットワークセキュリティモジュール304がセキュリティサービス306からセキュリティ情報を取得するためにかかる期間である。このネットワークセキュリティモジュール304が、絶えずセキュリティ情報を取得できると想定すると、このセキュリティ情報を取得し、この対応するセキュリティ対策を実装するためには、数秒しかかからないこともある。しかし、ネットワークセキュリティモジュール304がセキュリティサービス306と絶えず通信できない場合、またはこのセキュリティ情報を取得するためのその定期的な時間フレームが長い場合には、このセキュリティ保護対策を実装することに非常に長い時間がかかることもある。本発明の態様によれば、ネットワークセキュリティモジュール304が、所定の期間、セキュリティサービス306と連絡を取り合っていない場合には、このネットワークセキュリティモジュールは、デフォルトで完全ロックダウン状況の状態になり、このセキュリティサービスからの将来の通信が待ち状態になる。
この初期のセキュリティ情報が発行された後に、このオペレーティングシステム提供業者またはアンチウイルスソフトウェア提供業者は、一般にこのコンピュータエクスプロイトを解析し続けてどのようにしてこのコンピュータエクスプロイトが動作し、かつ/またはどのような特定のコンピュータシステム機能をこのコンピュータエクスプロイトが攻撃するかをより良好に理解する。この解析から、おそらくより制約の少ない第2の組の、ぜい弱なコンピュータシステムがこのコンピュータエクスプロイトに感染しないようにするために取る必要がある保護対策が識別される。したがって、イベント412において、黄色のセキュリティレベルをもち、危険な恐れのあるネットワークアクティビティをブロックする保護対策、すなわち部分ロックダウンを識別する更新されたセキュリティ情報が発行される。例えば、前述したように、このセキュリティ保護対策は、そのソースポートおよび/または宛先ポートを含めて通信ポートの特定の範囲への、およびその特定の範囲からのアクセスを単にブロックすること、あるいは他のネットワークアクティビティが自由に流れることができるようにしながら、保護されたコンピュータシステム上にインストールされたそのオペレーティングシステム、アプリケーション、デバイスドライバ、などを対象とする電子メール通信、ウェブアクセス、または他のネットワークアクティビティを無効化することを含むことができる。そのエクスプロイトが、コンピュータシステムの弱点を攻撃するか、または合法的なコンピュータシステム機能を単に悪用するかのいずれにしても、「危険な恐れのある」ネットワークアクティビティは、エクスプロイトによるコンピューティングシステムへの脅威を表すネットワークアクティビティを含むことを理解されたい。さらに、この「危険な恐れのある」ネットワークアクティビティは、別のデバイスによって一方的に開始される、コンピュータシステムを対象とするネットワークアクティビティを含んでいる。換言すれば、「危険な恐れのある」ネットワークアクティビティは、このネットワークに単に接続されただけのコンピュータシステムを対象とするエクスプロイトのネットワークアクティビティを含んでいる。
イベント414において、この更新されたセキュリティ情報は、ネットワークセキュリティモジュール304によって取得され、この対応するセキュリティ保護対策が実装される。イベント416において、オペレーティングシステム提供業者および/またはアンチウイルス提供業者がソフトウェア更新版を生成し使用可能にした後に、追加の更新されたセキュリティ情報が発行される。そのオペレーティングシステム提供業者、アンチウイルスソフトウェア提供業者、またはアプリケーション提供業者からの更新版などのソフトウェア更新版が、このコンピュータ302上にインストールされるという前提で、この追加の更新されたセキュリティ情報は、セキュリティレベルが緑色であることを識別することができる。その後に、イベント418において、この追加の更新されたセキュリティ情報が取得され、このソフトウェア更新版が、コンピュータ302上にインストールされ、このネットワークセキュリティモジュール304は、自由な、すなわち制約されないネットワークアクセスを有効化する。
図4Bは、ネットワーク110上でのコンピュータエクスプロイト、より詳細にはまったく新しい攻撃ではなくて以前に識別されたぜい弱性を利用したエクスプロイトの放出に関して存在し得るぜい弱性ウィンドウをどのようにして本発明が除去するかを実証するための代替的な例示の時系列420を示すブロック図である。前述のように、以前から知られているぜい弱性の使用は、まったく新しい攻撃よりもさらにずっと一般的である。イベント422において、このオペレーティングシステムプロバイダは、このオペレーティングシステムのこの現行のリリースにおけるぜい弱性の存在を識別する。この識別済みのぜい弱性がもたらすその脅威に応答して、イベント424において、このオペレーティングシステム提供業者は、緩和するセキュリティ情報を発行し、そのセキュリティレベルを設定し、対応するセキュリティ保護対策を識別する。図4Bに示す本実施例においては、このぜい弱性がネットワーク110に接続されたコンピュータに対して重要なリスクをもたらすことを想定して、このオペレーティングシステム提供業者は、完全ロックダウンを実装するセキュリティ対策を伴う、このセキュリティレベルに赤色を設定するセキュリティ情報を発行する。イベント426において、ネットワークセキュリティモジュール304は、最新のセキュリティ情報を取得し、この完全ロックダウンを実装する。パッチまたは「フィックス」が使用可能になる前にコンピュータ302をこの識別されたぜい弱性から保護するセキュリティ対策が実装されることに留意されたい。大部分のコンピュータエクスプロイトは、パッチが訂正するぜい弱性を解析することにより得られる情報から何らかの形で引き出されるので、悪意のあるパーティは、このぜい弱性を攻撃するエクスプロイトを作成する機会を未然に拒否される。したがって、ぜい弱性ウィンドウは、開始されない。明らかに、この結果はこのコンピュータユーザに対する実質的な利点であり、特にこのネットワークセキュリティモジュールがこのセキュリティ対策を実装してはいない場合の図2Aに示す対応する時系列200と対照的である。
しばしば、このコンピュータエクスプロイトのさらなる解析の後に、オペレーティングシステム提供業者は、このネットワークに接続されたこのコンピュータをそのコンピュータエクスプロイトから保護することになる制約のより少ない組の保護対策を決定することができる。したがって図4Bに示すように、イベント428において、そのセキュリティレベルを黄色に設定し、すべての他のネットワークアクティビティを有効化しながら特にこの悪用されたぜい弱性に対処する、対応するセキュリティ保護対策、すなわち部分ロックダウンを含む更新されたセキュリティブリテンが発行される。それに応じて、イベント430において、この更新済みのセキュリティ情報が取得され、ネットワークセキュリティモジュール304は、この部分ロックダウンを実装する。
コンピュータ302上にインストールされる場合には、このぜい弱性をターゲットとするコンピュータエクスプロイトからこのコンピュータを保護するはずであるオペレーティングシステムのパッチまたはアンチウイルス更新版が使用可能となった後に、イベント432において、このオペレーティングシステム提供業者は、この情報を発行し、インストールされた後に、このネットワークセキュリティモジュールが、自由なネットワークアクセスを可能にすることができること、すなわちこのパッチがインストールされた後にそのセキュリティレベルを緑色に設定することを示す。それに応じて、イベント434において、このパッチまたはアンチウイルス更新版がコンピュータ302上にインストールされた後に、このネットワークセキュリティモジュール304は、自由なアクセスを有効にする。
図5は、発行されたセキュリティ情報に従って、コンピュータのネットワークアクセスを動的に制御するための例示のルーチン500を示す流れ図である。図5は、2つの開始ターミナル、すなわちネットワークセキュリティモジュール304の起動に対応する開始ターミナル502と、コンピュータシステム302からの更新通知を受信することに対応する開始ターミナル520とを含んでいる。開始ターミナル502からまず開始し、ブロック504に進むことにより、このネットワークセキュリティモジュール304は、完全ロックダウンに関連したセキュリティ対策を実装する。前述のように、完全ロックダウンにあるときには、このコンピュータは、その最新のセキュリティ状況情報および使用可能な任意の更新版を取得するための、セキュリティサービス306を含めて知られており信頼されているネットワークロケーションにアクセスすることだけに制限される。
ブロック506において、ネットワークセキュリティモジュール304は、このコンピュータの現在の構成に対応する、セキュリティサービス306からの最新のセキュリティ情報を取得する。本発明の態様によれば、ネットワークセキュリティモジュール304は、そのセキュリティサービスに対してその情報を求める要求を発行することによって、そのセキュリティサービスから最新のセキュリティ情報を取得することができる。あるいは、ネットワークセキュリティモジュール304は、セキュリティサービス306からのブロードキャストとして第2の通信リンク上でまたはこのネットワーク上のブロードキャストとしてこの最新のセキュリティ情報を取得することができる。
判断ブロック508において、セキュリティサービス306から得られた最新のセキュリティ情報に基づいてネットワークセキュリティモジュール304は、この現在実装されているセキュリティ対策、および対応するセキュリティレベルがこの取得された情報を用いて最新になっているかどうかを判定する。本発明の一態様によれば、この判定は、このセキュリティサービスがその最新のリビジョンとして発行するものに対する、このネットワークセキュリティモジュールが現在まで記憶している、このコンピュータシステムについてのリビジョン情報の簡単な比較として行われる。
この現在実装されているセキュリティ対策が最新になってない場合には、ブロック510において、ネットワークセキュリティモジュール304は、このネットワークセキュリティモジュールがこのコンピュータシステムに関して記憶している情報に従ってこのコンピュータシステムについてのセキュリティ対策を取得する。その代わりに(図示せず)、このセキュリティ対策は、この取得されたセキュリティ情報と共に含めることもできる。ネットワークセキュリティモジュール304がこのセキュリティ対策を有した後に、ブロック512において、このネットワークセキュリティモジュールは、このセキュリティ対策を実装し、この対応するセキュリティレベルを例えば、赤色、黄色、または緑色に設定する。
このコンピュータシステムについてのセキュリティ対策を実装した後に、または代わりに、現在実装済みのセキュリティ対策がこのコンピュータシステムについて最新になっている場合には、ブロック514において、このネットワークセキュリティモジュール304は、遅延状態に入る。この遅延状態は、ネットワークセキュリティモジュール304が定期的にセキュリティサービス306に照会してその最新のセキュリティ情報を取得する期間に相当する。所定の期間、遅延した後に、このプロセスはブロック506に戻り、ここでセキュリティサービス306からこの最新のセキュリティ情報を取得し、この現在実装済みのセキュリティ対策がこのコンピュータシステムについて最新になっているかどうかを判定し、新しい任意のセキュリティ対策を実装するプロセスが反復される。
図5に示すように、例示のルーチン500は、このルーチンが絶えず動作してコンピュータエクスプロイトからこのコンピュータ302を保護するように設計されているので、終了ターミナルをもたない。しかし、前述のようにネットワークセキュリティモジュール304が、パワーオフされ、この例示のネットワーク環境300から切り離され、あるいはユーザが明示的に無効化する場合には、このルーチン500が終了することになることが当業者には理解されよう。
代替的な開始ターミナル520に関して、このエントリポイントは、ネットワークセキュリティモジュール304がこのコンピュータシステムからの更新通知を受信するときの状況を表す。以前に考察したように、本発明を利用するように適合されたアプリケーションは、このコンピュータシステムを更新するためのステップのうちの1つとしてこのネットワークセキュリティモジュールに現在のリビジョン情報を通知する。例えば、このアンチウイルスソフトウェアを更新しながら、このプロセスの1ステップは、ネットワークセキュリティモジュール304のために意図され、このネットワークセキュリティモジュールに現在のリビジョンについて知らせる通知を発行することになる。したがってブロック522において、このネットワークセキュリティモジュールは、更新通知を受信する。
ブロック524において、この更新通知情報は、この現在の実装済みのセキュリティ対策が最新になっているかどうかを判定する際に後で使用するためにこのネットワークセキュリティモジュールによって記憶される。オペレーティングシステムの更新ならびに他のコードモジュールの更新はまた、このネットワークセキュリティモジュール304に対して通知を提供するように適合させることもでき、その結果、このセキュリティシステムは、所与の任意のコンピュータシステムを保護するために必要な適切なセキュリティ対策についてより詳細な情報を得た上での判定をすることができるようになっている。
この情報を記憶した後に、このルーチン500は、ブロック506へと進み、前述のように、ここでセキュリティサービス306から最新のセキュリティ情報を取得し、この現在実装済みのセキュリティ対策がこのコンピュータシステムについて最新になっているかどうかを判定し、新しい任意のセキュリティ対策を実装するステップが開始される。その代わりとして(図示せず)、ブロック524において、更新されたコンピュータシステム情報を受信した後に、このネットワークセキュリティモジュールは、現在の遅延状態が終了するまでセキュリティ状況情報を取得するために待つこともできる。
図6は、この例示のネットワーク環境300中のネットワークセキュリティモジュール304などのネットワークセキュリティモジュールのためのセキュリティ情報をブロードキャストするための例示のルーチン600を示す流れ図である。ブロック602から開始して、セキュリティサービス306は、様々なソースからセキュリティに関連した情報を取得する。例えば、セキュリティサービス306は一般に、最新のバージョン、パッチ、および使用可能な更新版、ならびにこれら様々なパッチおよび更新版を介して対処されるコンピュータエクスプロイトおよび/またはぜい弱性に関してオペレーティングシステム提供業者、アンチウイルスソフトウェア提供業者から情報を取得するはずである。様々な政府機関、セキュリティ専門家、などを含めて他のソースについても、セキュリティに関連した情報を求めてポーリングすることができる。
ブロック604において、セキュリティサービス306は、ネットワーク110に接続されたこのコンピュータシステムのぜい弱性に関する情報を取得する。この情報は、そのぜい弱性が検出されるときに、オペレーティングシステム提供業者、アンチウイルスソフトウェア提供業者、または他のパーティから到達することもある。ブロック606において、このセキュリティサービス306は、このぜい弱性がもたらす脅威に基づいて、例えば赤色、黄色、または緑色のセキュリティレベル、ならびにネットワークセキュリティモジュール304などのこれらのネットワークセキュリティモジュールが実装すべきセキュリティ保護対策を決定してこのぜい弱性上のコンピュータエクスプロイトによる攻撃からのこれらの影響を受けるコンピュータをセキュリティで保護する。
ブロック606においてセキュリティサービス306は、前述のようにネットワーク110に接続されたこのネットワークセキュリティモジュールに対してこのセキュリティレベルおよび対応するセキュリティ保護対策を含むセキュリティブリテンをブロードキャストする。前述のように、セキュリティサービス306は、すべてのネットワークセキュリティモジュールに対してネットワーク規模(network−wide)のブロードキャストを発行することによってこのセキュリティブリテンをブロードキャストすることができる。このネットワーク規模のブロードキャストは、前述のその配信保証オプションをオプション的に使用してネットワーク110上で行われてもよく、またはこのネットワーク環境300におけるこのネットワークセキュリティデバイスに対して第2の通信リンク314上で行われてもよい。このセキュリティブリテンをブロードキャストした後にこのルーチン600は、終了する。
図7は、ネットワークセキュリティモジュール304からのセキュリティ情報要求を受信し、それに応答するセキュリティサービス306が実装する例示のルーチン700を示す流れ図である。ブロック702から開始して、セキュリティサービス306は、ネットワークセキュリティモジュール304からセキュリティ情報要求を受信する。すでに述べたように、このセキュリティ情報要求は、このコンピュータの現在の構成に対応する情報を含むことができる。
ブロック704においてこのネットワークセキュリティモジュールが提供するこのセキュリティ情報要求中のこの特定のコンピュータの構成情報に従って、セキュリティサービス306は、このセキュリティ情報要求中のこのコンピュータの現在の構成情報に対応する関連したセキュリティ情報を識別する。
一実施形態によれば、セキュリティサービス306は、このコンピュータの構成情報に従ってこのコンピュータ302を保護するために必要なセキュリティ保護対策を決定することによってこの関連したセキュリティ情報を識別する。代替実施形態によれば、セキュリティサービス306は、どのセキュリティ保護対策を実装すべきかを決定するためにこのネットワークセキュリティモジュールによってさらに処理するためのこの特定のコンピュータの構成に対応するすべてのセキュリティ情報を戻すことによってこの関連したセキュリティ情報を識別する。さらなる代替形態としては、セキュリティサービス306は、この特定のコンピュータの構成に対応するすべてのセキュリティ情報を戻すことによってこの関連したセキュリティ情報を識別しており、このセキュリティ情報は次いで、このコンピュータがこのネットワークセキュリティモジュールにどのセキュリティ保護対策を実装すべきかを通知することができるようにこのネットワークセキュリティデバイスからコンピュータ302へと転送される。前述の代替形態の組合せはまた、他のシステムと同様に利用することができる。したがって、本発明は、特定のどの一実施形態にも限定されるものと解釈すべきではない。
ブロック706において、セキュリティサービス306は、この関連したセキュリティ情報をこの要求しているネットワークセキュリティモジュール304に戻す。その後、このルーチン700は、終了する。
図8は、セキュリティサービス306から得られたセキュリティ対策に従ってコンピュータ302とこのネットワークの間のネットワークトラフィックの流れを制御するための、ネットワークセキュリティモジュール304によって実装される例示の方法800を示す流れ図である。ブロック802から開始してネットワークセキュリティモジュール304は、このコンピュータ302に到来するネットワークトラフィックもこのコンピュータを起源とするネットワークトラフィックも含めてネットワークトラフィックを受信する。
判断ブロック804において、このネットワークトラフィックが、このセキュリティサービス、アンチウイルスソフトウェア提供業者、オペレーティングシステム提供業者など、信頼されているネットワークサイトへの、またはそこからのネットワークトラフィックであるかどうかについての判定が行われる。このネットワークトラフィックが、信頼されているネットワークサイトへの、またはそこからのものである場合、このルーチンは、ブロック810へと進み、ここで、このネットワークトラフィックは、ネットワークセキュリティモジュール304を介して流れることが可能になり、その後にこのルーチン800は、終了する。しかし、このネットワークトラフィックが信頼されているネットワークサイトへの、またはそこからのものでない場合には、このルーチンは、判断ブロック806へと進む。
判断ブロック806において、その現在実装済みのセキュリティ対策に従ってこのネットワークトラフィックが制約されるかどうかについての別の判定が行われる。このネットワークトラフィックがその現在実装済みのセキュリティ対策に従って制約を受けない場合、このルーチンは、ブロック810へと進み、ここでこのネットワークトラフィックは、ネットワークセキュリティモジュール304を介して流れることが可能になり、このルーチン800は、その後に終了する。しかし、このネットワークトラフィックがその現在実装済みのセキュリティ対策に従って制約を受ける場合には、このルーチンはブロック808へと進み、ここでは、このネットワークトラフィックは、ネットワークセキュリティモジュール304を介して流れることが許可されない。その後、このルーチン800は終了する。
ネットワークセキュリティモジュール304は、コンピュータ302とインターネット110の間に挿入されるが、このネットワークセキュリティモジュールの実際の実施形態は、いろいろなものになり得る。図3に示す実施形態によれば、このネットワークセキュリティモジュール304は、インターネット110へ、およびコンピュータ302へと接続された、コンピュータ302の外部のハードウェアデバイスとして実装することができる。しかし、本発明は、この実施形態だけに限定されるものと解釈すべきではない。代替形態(図示せず)としては、ネットワークセキュリティモジュール304は、コンピュータ302内のコンポーネントとして、またはこのコンピュータのネットワークインターフェース内のサブコンポーネントとして一体化されたコンポーネントでもよい。これら2つの実施形態は、コンピュータ302がインターネット110に無線接続を経由して接続されるときに、特に有用となり得る。さらに他の代替形態として、このネットワークセキュリティモジュールは、そのオペレーティングシステム内に一体化されたソフトウェアモジュールとして、またはそのコンピュータ302上にインストールされた別のモジュールとして実装することもできる。したがって、ネットワークセキュリティモジュール304は、特定の任意の実施形態だけに限定されるものと解釈すべきではない。
本発明の好ましい実施形態について、例証し説明してきたが、本発明の趣旨および範囲を逸脱することなく様々な変更をこの中で行うことができることが理解されよう。
コンピュータエクスプロイトがその上で一般に配布される、従来技術において見出されるような例示のネットワーク環境を示す図である。 ネットワーク上に放出されるコンピュータエクスプロイトに関する、コンピュータシステムの異なるぜい弱性ウィンドウを実証する例示の時系列を示す1つのブロック図である。 ネットワーク上に放出されるコンピュータエクスプロイトに関する、コンピュータシステムの異なるぜい弱性ウィンドウを実証する例示の時系列を示す1つのブロック図である。 本発明の態様を実装するのに適したネットワーク環境の一例を示す図である。 本発明の態様を実装するのに適したネットワーク環境の一例を示す図である。 本発明が、コンピュータエクスプロイトに関連するぜい弱性ウィンドウをどのようにして最小にするかを実証するための時系列の一例を示す図である。 本発明が、コンピュータエクスプロイトに関連するぜい弱性ウィンドウをどのようにして最小にするかを実証するための時系列の一例を示す図である。 本発明による、発行されたセキュリティ情報に従ってコンピュータシステムのネットワークアクセスを動的に制御するルーチンの一例を示す流れ図である。 本発明による、例示のネットワーク環境中においてネットワークセキュリティモジュールについてのセキュリティ情報を発行するためのセキュリティサービスによって実装されるルーチンの一例を示す流れ図である。 ネットワークセキュリティモジュールからのセキュリティ情報を求める要求を受信し応答するセキュリティサービスによって実装されるルーチンの一例を示す流れ図である。 このセキュリティサービスから得られるセキュリティ対策に従ってコンピュータとそのネットワークの間のネットワークトラフィックの流れを制御するための、ネットワークセキュリティモジュールによって実装される方法の一例を示す流れ図である。

Claims (21)

  1. 通信ネットワークに接続されたコンピューティングデバイスを識別されたセキュリティの脅威から保護するためのネットワークセキュリティシステムであって、
    コンピューティングデバイスと前記通信ネットワークとの間に挿入されたネットワークセキュリティモジュールと、
    ネットワークセキュリティモジュールのための、前記ネットワークセキュリティモジュールによって実装されるときに識別されたセキュリティの脅威から前記対応するコンピューティングデバイスを保護するセキュリティ対策を含むセキュリティ情報を発行するセキュリティサービスと
    を含むことを特徴とするネットワークセキュリティシステム。
  2. 前記セキュリティ対策は、前記コンピューティングデバイスと信頼されている通信ネットワークロケーションとの間のネットワークアクティビティを除いて、前記コンピューティングデバイスと前記通信ネットワークとの間のすべてのネットワークアクセスをブロックするステップを含むことができることを特徴とする請求項1に記載のネットワークセキュリティシステム。
  3. 前記セキュリティ対策は、前記ネットワークアクティビティのソースおよび/または宛先に対応する通信ポートの範囲に関与する、前記コンピューティングデバイスと前記通信ネットワークとの間のネットワークアクティビティを選択的にブロックするステップを含むことができることを特徴とする請求項2に記載のネットワークセキュリティシステム。
  4. 前記セキュリティ対策は、前記コンピューティングデバイス上で実行されるコードモジュールと前記通信ネットワークとの間のネットワークアクティビティをブロックするステップを含むことができることを特徴とする請求項3に記載のネットワークセキュリティシステム。
  5. 前記セキュリティ情報は、セキュリティレベルをさらに含み、前記セキュリティレベルは、前記セキュリティ情報中の前記セキュリティ対策に対応することを特徴とする請求項4に記載のネットワークセキュリティシステム。
  6. 前記セキュリティ情報は、前記コンピューティングデバイスについての最新の使用可能なオペレーティングシステムのリビジョンを識別するオペレーティングシステムリビジョン値をさらに含むことを特徴とする請求項5に記載のネットワークセキュリティシステム。
  7. 前記セキュリティ情報は、前記コンピューティングデバイスについての最新の使用可能なアンチウイルスソフトウェアのリビジョンを識別するアンチウイルスソフトウェアリビジョン値をさらに含むことを特徴とする請求項6に記載のネットワークセキュリティシステム。
  8. 前記セキュリティサービスは、前記コンピューティングデバイス上の前記オペレーティングシステムの現在のリビジョンのオペレーティングシステムリビジョン値を識別するセキュリティ要求に応答して前記コンピューティングデバイス上の前記オペレーティングシステムの現在のリビジョンに従って知られているセキュリティの脅威から前記コンピューティングデバイスを保護するセキュリティ対策を含むセキュリティ応答を戻すことを特徴とする請求項1に記載のネットワークセキュリティシステム。
  9. 前記セキュリティ要求は、さらに前記コンピューティングデバイス上の現在のアンチウイルスソフトウェアのリビジョンのアンチウイルスソフトウェアリビジョン値を識別し、前記セキュリティ応答は、前記コンピューティングデバイス上の前記オペレーティングシステムおよび前記アンチウイルスソフトウェアの現在のリビジョンに従って知られているセキュリティの脅威から前記コンピューティングデバイスを保護するセキュリティ対策を含むことを特徴とする請求項8に記載のネットワークセキュリティシステム。
  10. 前記セキュリティサービスは、前記通信ネットワークに接続された信頼されているロケーション上に前記セキュリティ情報を記憶することによって前記セキュリティ情報を発行することを特徴とする請求項1に記載のネットワークセキュリティシステム。
  11. 前記セキュリティサービスは、第2の通信リンクを介して前記セキュリティ情報をブロードキャストすることによって、前記通信ネットワークから前記セキュリティ情報を発行することを特徴とする請求項1に記載のネットワークセキュリティシステム。
  12. 前記第2の通信リンクは、衛星通信リンクであることを特徴とする請求項11に記載のネットワークセキュリティシステム。
  13. 前記第2の通信リンクは、無線周波数通信リンクであることを特徴とする請求項11に記載のネットワークセキュリティシステム。
  14. 前記セキュリティサービスは、前記通信ネットワーク上で一般的なブロードキャストによって前記セキュリティ情報を発行することを特徴とする請求項1に記載のネットワークセキュリティシステム。
  15. 前記セキュリティサービスは、配信保証サービスを使用して前記通信ネットワーク上で前記セキュリティ情報を発行することを特徴とする請求項1に記載のネットワークセキュリティシステム。
  16. 通信ネットワーク中のコンピューティングデバイスを前記通信ネットワーク上で送付される識別されたセキュリティの脅威から保護するための方法であって、
    前記通信ネットワーク中のコンピューティングデバイスに対する前記識別されたセキュリティの脅威に関連した情報を取得するステップと、
    前記通信ネットワーク中のネットワークセキュリティモジュールに前記識別されたセキュリティの脅威に関連したセキュリティ情報を発行するステップと
    を含み、前記通信ネットワーク中の各ネットワークセキュリティモジュールは、コンピューティングデバイスと前記通信ネットワークとの間に挿入され、前記セキュリティ情報は、ネットワークセキュリティモジュールによって実施される際に前記コンピューティングデバイスと前記通信ネットワークとの間の危険な恐れのあるネットワークアクティビティを前記識別されたセキュリティの脅威から保護するセキュリティ保護対策を含むことを特徴とする方法。
  17. 前記セキュリティ保護対策は、前記コンピューティングデバイスと信頼されている通信ネットワークロケーションとの間のネットワークアクティビティを除いて、前記コンピューティングデバイスと前記通信ネットワークとの間のすべてのネットワークアクセスをブロックするステップを含むことを特徴とする請求項16に記載の方法。
  18. 前記セキュリティ保護対策は、前記ネットワークアクティビティのソースおよび/または宛先に対応する通信ポートの範囲に関与する、前記コンピューティングデバイスと前記通信ネットワークとの間のネットワークアクティビティを選択的にブロックするステップを含むことを特徴とする請求項16に記載の方法。
  19. 前記セキュリティ保護対策は、前記コンピューティングデバイス上で実行されるコードモジュールと前記通信ネットワークの間のネットワークアクティビティをブロックするステップを含むことを特徴とする請求項16に記載の方法。
  20. 実行される際に、通信ネットワーク中のコンピューティングデバイスを前記通信ネットワーク上で送付される識別されたセキュリティの脅威から保護するための方法を実行するコンピュータ実行可能命令を有するコンピュータ読取り可能媒体であって、前記方法は、
    前記通信ネットワーク中のコンピューティングデバイスに対する前記識別されたセキュリティの脅威に関連した情報を取得するステップと、
    前記通信ネットワーク中のネットワークセキュリティモジュールに前記識別されたセキュリティの脅威に関連したセキュリティ情報を発行するステップと
    を含み、前記通信ネットワーク中の各ネットワークセキュリティモジュールは、コンピューティングデバイスと前記通信ネットワークとの間に挿入され、前記セキュリティ情報は、ネットワークセキュリティモジュールによって実施される際に前記コンピューティングデバイスと前記通信ネットワークとの間の危険な恐れのあるネットワークアクティビティを前記識別されたセキュリティの脅威から保護するセキュリティ保護対策を含むことを特徴とするコンピュータ読取り可能媒体。
  21. 通信ネットワークに接続されたコンピューティングデバイスをネットワークで送付されるセキュリティの脅威から保護するためのネットワークセキュリティシステムであって、
    前記コンピューティングデバイスに対するネットワークで送付されるセキュリティの脅威に関連した情報を取得し、実装される場合に、前記コンピューティングデバイスを前記ネットワークで送付されるセキュリティの脅威から保護する、前記コンピューティングデバイスと前記通信ネットワークとの間のネットワークアクティビティに対応するセキュリティ保護対策を含むセキュリティブリテンを発行するセキュリティサービスと、
    前記コンピューティングデバイスと前記通信ネットワークとの間に挿入され、前記セキュリティサービスによって発行されるセキュリティブリテンを取得し、前記セキュリティ保護対策を選択的に実装し、それによって前記ネットワークで送付されるセキュリティの脅威から前記コンピューティングデバイスを保護するネットワークセキュリティモジュールと
    を含むことを特徴とするネットワークセキュリティシステム。
JP2005036837A 2004-02-13 2005-02-14 ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法 Pending JP2005251189A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US54478304P 2004-02-13 2004-02-13
US10/880,049 US7814543B2 (en) 2004-02-13 2004-06-29 System and method for securing a computer system connected to a network from attacks

Publications (1)

Publication Number Publication Date
JP2005251189A true JP2005251189A (ja) 2005-09-15

Family

ID=34841197

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2005036837A Pending JP2005251189A (ja) 2004-02-13 2005-02-14 ネットワークに接続されたコンピュータシステムを攻撃から保護するシステムおよび方法

Country Status (6)

Country Link
US (1) US7814543B2 (ja)
EP (1) EP1564623A1 (ja)
JP (1) JP2005251189A (ja)
KR (1) KR101130385B1 (ja)
CN (2) CN1665201A (ja)
TW (1) TWI369116B (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012133812A (ja) * 2012-03-09 2012-07-12 Toshiba Solutions Corp ソフトウェアモジュール管理装置およびソフトウェアモジュール管理プログラム
JP2013149109A (ja) * 2012-01-19 2013-08-01 Ntt Data Corp セキュリティ設定システム、セキュリティ設定方法およびプログラム

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US8984644B2 (en) 2003-07-01 2015-03-17 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118711B2 (en) * 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US9118708B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Multi-path remediation
US9118709B2 (en) 2003-07-01 2015-08-25 Securityprofiling, Llc Anti-vulnerability system, method, and computer program product
US20070113272A2 (en) 2003-07-01 2007-05-17 Securityprofiling, Inc. Real-time vulnerability monitoring
US7594224B2 (en) * 2003-10-10 2009-09-22 Bea Systems, Inc. Distributed enterprise security system
US7716726B2 (en) * 2004-02-13 2010-05-11 Microsoft Corporation System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
WO2006036763A2 (en) * 2004-09-22 2006-04-06 Cyberdefender Corporation System for distributing information using a secure peer-to-peer network
US7716727B2 (en) * 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US8086615B2 (en) 2005-03-28 2011-12-27 Oracle International Corporation Security data redaction
US7748027B2 (en) * 2005-05-11 2010-06-29 Bea Systems, Inc. System and method for dynamic data redaction
US8667106B2 (en) * 2005-05-20 2014-03-04 At&T Intellectual Property Ii, L.P. Apparatus for blocking malware originating inside and outside an operating system
US8301767B1 (en) 2005-12-21 2012-10-30 Mcafee, Inc. System, method and computer program product for controlling network communications based on policy compliance
US8191145B2 (en) * 2006-04-27 2012-05-29 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US7917956B2 (en) * 2006-04-27 2011-03-29 The Invention Science Fund I, Llc Multi-network virus immunization
US7934260B2 (en) * 2006-04-27 2011-04-26 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8151353B2 (en) 2006-04-27 2012-04-03 The Invention Science Fund I, Llc Multi-network virus immunization with trust aspects
US8966630B2 (en) * 2006-04-27 2015-02-24 The Invention Science Fund I, Llc Generating and distributing a malware countermeasure
US7849508B2 (en) * 2006-04-27 2010-12-07 The Invention Science Fund I, Llc Virus immunization using entity-sponsored bypass network
US8539581B2 (en) * 2006-04-27 2013-09-17 The Invention Science Fund I, Llc Efficient distribution of a malware countermeasure
US8863285B2 (en) * 2006-04-27 2014-10-14 The Invention Science Fund I, Llc Virus immunization using prioritized routing
US9258327B2 (en) 2006-04-27 2016-02-09 Invention Science Fund I, Llc Multi-network virus immunization
US8136162B2 (en) 2006-08-31 2012-03-13 Broadcom Corporation Intelligent network interface controller
US8745703B2 (en) * 2008-06-24 2014-06-03 Microsoft Corporation Identifying exploitation of vulnerabilities using error report
EP2211523B1 (de) 2009-01-23 2016-05-04 Siemens Aktiengesellschaft Kommunikationsnetzwerk und Umsetzermodul
US9177154B2 (en) 2010-10-18 2015-11-03 Todd Wolff Remediation of computer security vulnerabilities
US8973147B2 (en) * 2011-12-29 2015-03-03 Mcafee, Inc. Geo-mapping system security events
TWI476626B (zh) 2012-08-24 2015-03-11 Ind Tech Res Inst 電子裝置之認證方法及密碼設定方法及認證系統
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
CN103856456A (zh) * 2012-12-04 2014-06-11 中山大学深圳研究院 一种网络安全的方法和系统
CN103905265B (zh) * 2012-12-27 2018-03-23 中国移动通信集团公司 一种网络中新增设备的检测方法和装置
US8856330B2 (en) 2013-03-04 2014-10-07 Fmr Llc System for determining whether to block internet access of a portable system based on its current network configuration
CN103561002B (zh) * 2013-10-22 2017-02-15 北京神州泰岳软件股份有限公司 基于防火墙策略的安全访问方法和系统
US9954871B2 (en) * 2015-05-06 2018-04-24 Hand Held Products, Inc. Method and system to protect software-based network-connected devices from advanced persistent threat
CN107204886A (zh) * 2016-03-16 2017-09-26 中兴通讯股份有限公司 一种服务端口管理的方法及装置
EP3373181A1 (de) * 2017-03-09 2018-09-12 Siemens Aktiengesellschaft Verfahren und computer zur steuerung von schutzmassnahmen gegen cyberkriminelle bedrohungen
EP3373180A1 (de) * 2017-03-09 2018-09-12 Siemens Aktiengesellschaft Verfahren und computer mit einer sicherung gegen cyberkriminelle bedrohungen
SG11202108481XA (en) 2019-02-07 2021-09-29 Egress Software Tech Ip Ltd Method and system for processing data packages
US11250138B2 (en) * 2020-02-26 2022-02-15 RiskLens, Inc. Systems, methods, and storage media for calculating the frequency of cyber risk loss within computing systems

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002095543A2 (en) * 2001-02-06 2002-11-28 En Garde Systems Apparatus and method for providing secure network communication
JP2003256370A (ja) * 2002-02-26 2003-09-12 Fumiaki Yamazaki セキュリティ情報配信方法、および、セキュリティ情報配信サーバ
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2005165561A (ja) * 2003-12-01 2005-06-23 Fujitsu Ltd ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置

Family Cites Families (69)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5359659A (en) * 1992-06-19 1994-10-25 Doren Rosenthal Method for securing software against corruption by computer viruses
US6294202B1 (en) * 1994-10-06 2001-09-25 Genzyme Corporation Compositions containing polyanionic polysaccharides and hydrophobic bioabsorbable polymers
JP3502200B2 (ja) * 1995-08-30 2004-03-02 株式会社日立製作所 暗号通信システム
US5987134A (en) * 1996-02-23 1999-11-16 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources
GB2318486B (en) * 1996-10-16 2001-03-28 Ibm Data communications system
JPH10133576A (ja) * 1996-10-31 1998-05-22 Hitachi Ltd 公開鍵暗号方法および装置
US5898842A (en) * 1996-10-31 1999-04-27 Intel Corporation Network controller adapter that prevents loss of data received or transmitted
ZA973608B (en) * 1997-03-21 1998-03-23 Canal Plus Sa Downloading data.
US6243815B1 (en) * 1997-04-25 2001-06-05 Anand K. Antur Method and apparatus for reconfiguring and managing firewalls and security devices
US5987376A (en) * 1997-07-16 1999-11-16 Microsoft Corporation System and method for the distribution and synchronization of data and state information between clients in a distributed processing system
CA2301147C (en) 1997-07-24 2010-07-13 Worldtalk Corporation E-mail firewall with stored key encryption/decryption
US6279110B1 (en) * 1997-11-10 2001-08-21 Certicom Corporation Masked digital signatures
US6088805A (en) * 1998-02-13 2000-07-11 International Business Machines Corporation Systems, methods and computer program products for authenticating client requests with client certificate information
US6308266B1 (en) * 1998-03-04 2001-10-23 Microsoft Corporation System and method for enabling different grades of cryptography strength in a product
US6128738A (en) * 1998-04-22 2000-10-03 International Business Machines Corporation Certificate based security in SNA data flows
US6269099B1 (en) * 1998-07-01 2001-07-31 3Com Corporation Protocol and method for peer network device discovery
US6327652B1 (en) * 1998-10-26 2001-12-04 Microsoft Corporation Loading and identifying a digital rights management operating system
US6233606B1 (en) * 1998-12-01 2001-05-15 Microsoft Corporation Automatic cache synchronization
US6367009B1 (en) * 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6484315B1 (en) * 1999-02-01 2002-11-19 Cisco Technology, Inc. Method and system for dynamically distributing updates in a network
KR100684986B1 (ko) * 1999-12-31 2007-02-22 주식회사 잉카인터넷 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법
US6405290B1 (en) * 1999-06-24 2002-06-11 International Business Machines Corporation Multiprocessor system bus protocol for O state memory-consistent data
US6397303B1 (en) * 1999-06-24 2002-05-28 International Business Machines Corporation Data processing system, cache, and method of cache management including an O state for memory-consistent cache lines
US6832321B1 (en) * 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
AU2001265035A1 (en) 2000-05-25 2001-12-03 Thomas R Markham Distributed firewall system and method
US20040034794A1 (en) * 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
CA2350118C (en) * 2000-06-09 2013-08-13 Certicom Corp. A method for the application of implicit signature schemes
US7013482B1 (en) * 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US6760762B2 (en) * 2000-07-17 2004-07-06 Tele Services Solutions, Inc Intelligent network providing network access services (INP-NAS)
US6941384B1 (en) * 2000-08-17 2005-09-06 International Business Machines Corporation Methods, systems and computer program products for failure recovery for routed virtual internet protocol addresses
JP2002077274A (ja) * 2000-08-31 2002-03-15 Toshiba Corp ホームゲートウェイ装置、アクセスサーバ装置及び通信方法
US20060212572A1 (en) * 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7225467B2 (en) * 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
US7181618B2 (en) 2001-01-12 2007-02-20 Hewlett-Packard Development Company, L.P. System and method for recovering a security profile of a computer system
US6941366B2 (en) * 2001-01-17 2005-09-06 International Business Machines Corporation Methods, systems and computer program products for transferring security processing between processors in a cluster computing environment
US6965928B1 (en) * 2001-03-09 2005-11-15 Networks Associates Technology, Inc. System and method for remote maintenance of handheld computers
US7065587B2 (en) * 2001-04-02 2006-06-20 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith
US7010807B1 (en) * 2001-04-13 2006-03-07 Sonicwall, Inc. System and method for network virus protection
US7272636B2 (en) * 2001-04-24 2007-09-18 Sun Microsystems, Inc. Peer group name server
US20030018701A1 (en) * 2001-05-04 2003-01-23 Gregory Kaestle Peer to peer collaboration for supply chain execution and management
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US6792543B2 (en) * 2001-08-01 2004-09-14 Networks Associates Technology, Inc. Virus scanning on thin client devices using programmable assembly language
US7461403B1 (en) * 2001-08-03 2008-12-02 Mcafee, Inc. System and method for providing passive screening of transient messages in a distributed computing environment
US7093121B2 (en) * 2002-01-10 2006-08-15 Mcafee, Inc. Transferring data via a secure network connection
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US20030149874A1 (en) 2002-02-06 2003-08-07 Xerox Corporation Systems and methods for authenticating communications in a network medium
US6782294B2 (en) * 2002-03-22 2004-08-24 Arecont Intellectual Property Holdings, Llc Internet based distributed control system
US7188365B2 (en) * 2002-04-04 2007-03-06 At&T Corp. Method and system for securely scanning network traffic
US6912622B2 (en) * 2002-04-15 2005-06-28 Microsoft Corporation Multi-level cache architecture and cache management method for peer-to-peer name resolution protocol
US7051102B2 (en) 2002-04-29 2006-05-23 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
US20030236755A1 (en) * 2002-06-03 2003-12-25 Richard Dagelet Enhanced point-of-sale system
US7502945B2 (en) * 2002-06-28 2009-03-10 Microsoft Corporation Using a flexible rights template to obtain a signed rights label (SRL) for digital content in a rights management system
US20050076218A1 (en) * 2002-07-17 2005-04-07 Collie Brown Cryptographic electronic gift certificate cross-reference to related applications
FI20021802A (fi) 2002-10-09 2004-04-10 Tycho Technologies Oy Hajautetun palomuurin hallinta
JP2004172871A (ja) * 2002-11-19 2004-06-17 Fujitsu Ltd ウィルス拡散を防止する集線装置およびそのためのプログラム
AU2003299729A1 (en) 2002-12-18 2004-07-14 Senforce Technologies, Inc. Methods and apparatus for administration of policy based protection of data accessible by a mobile device
JP4517578B2 (ja) * 2003-03-11 2010-08-04 株式会社日立製作所 ピアツーピア通信装置および通信方法
BRPI0410999A (pt) * 2003-06-05 2006-07-04 Intertrust Tech Corp sistemas e métodos interoperáveis para orquestração de serviço peer-to-peer
CA2439582A1 (en) * 2003-09-05 2005-03-05 Webtech Dezine Inc. Method, system and apparatus for internet-based sales generation
WO2005026872A2 (en) 2003-09-16 2005-03-24 Terassic-5 Infosec Ltd Internal lan perimeter security appliance composed of a pci card and complementary software
US7360249B1 (en) * 2004-01-13 2008-04-15 Symantec Corporation Refining behavioral detections for early blocking of malicious code
US20050160291A1 (en) * 2004-01-16 2005-07-21 Sharp Laboratories Of America, Inc. System and method for securing network-connected resources
US20050182928A1 (en) * 2004-02-12 2005-08-18 Chandar Kamalanathan System and method for secure HTML links
CA2457478A1 (en) 2004-02-12 2005-08-12 Opersys Inc. System and method for warranting electronic mail using a hybrid public key encryption scheme
US7716726B2 (en) * 2004-02-13 2010-05-11 Microsoft Corporation System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
US20050182967A1 (en) * 2004-02-13 2005-08-18 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US7603716B2 (en) * 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US7716727B2 (en) * 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002095543A2 (en) * 2001-02-06 2002-11-28 En Garde Systems Apparatus and method for providing secure network communication
JP2005503047A (ja) * 2001-02-06 2005-01-27 エン ガルデ システムズ、インコーポレイテッド 安全なネットワークを供給するための装置と方法
JP2003256370A (ja) * 2002-02-26 2003-09-12 Fumiaki Yamazaki セキュリティ情報配信方法、および、セキュリティ情報配信サーバ
JP2003273936A (ja) * 2002-03-15 2003-09-26 First Trust:Kk ファイアウォールシステム
JP2005165561A (ja) * 2003-12-01 2005-06-23 Fujitsu Ltd ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013149109A (ja) * 2012-01-19 2013-08-01 Ntt Data Corp セキュリティ設定システム、セキュリティ設定方法およびプログラム
JP2012133812A (ja) * 2012-03-09 2012-07-12 Toshiba Solutions Corp ソフトウェアモジュール管理装置およびソフトウェアモジュール管理プログラム

Also Published As

Publication number Publication date
KR20070070287A (ko) 2007-07-04
CN102158489B (zh) 2013-03-27
TWI369116B (en) 2012-07-21
EP1564623A1 (en) 2005-08-17
CN1665201A (zh) 2005-09-07
TW200536327A (en) 2005-11-01
US7814543B2 (en) 2010-10-12
CN102158489A (zh) 2011-08-17
US20050182949A1 (en) 2005-08-18
KR101130385B1 (ko) 2012-03-28

Similar Documents

Publication Publication Date Title
KR101130385B1 (ko) 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
JP4741255B2 (ja) ネットワーク化環境を介し保護された通信で配信されるコンピュータエクスプロイトからコンピューティングデバイスを保護するシステムおよび方法
EP1564964A2 (en) Network security device and method for protecting a computing device in a networked environment
JP6086968B2 (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
US9286469B2 (en) Methods and apparatus providing computer and network security utilizing probabilistic signature generation
US8646089B2 (en) System and method for transitioning to a whitelist mode during a malware attack in a network environment
US7827607B2 (en) Enhanced client compliancy using database of security sensor data
US7600259B2 (en) Critical period protection
JP4684802B2 (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
US8261355B2 (en) Topology-aware attack mitigation
JP2008535053A (ja) パッチが当てられていないマシンの動的な保護
JP2006285983A (ja) コンピュータシステムからナレッジベースをアグリゲートし、コンピュータをマルウェアから事前に保護すること
CN111917705A (zh) 用于自动入侵检测的系统和方法

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20080205

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20101105

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110204

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110225