CN101258470B - 将保护代理自动部署到连接至分布式计算机网络的设备 - Google Patents
将保护代理自动部署到连接至分布式计算机网络的设备 Download PDFInfo
- Publication number
- CN101258470B CN101258470B CN200680032656.5A CN200680032656A CN101258470B CN 101258470 B CN101258470 B CN 101258470B CN 200680032656 A CN200680032656 A CN 200680032656A CN 101258470 B CN101258470 B CN 101258470B
- Authority
- CN
- China
- Prior art keywords
- equipment
- distributed network
- described distributed
- network
- agency
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
监视网络业务以检测所尝试的网络间通信,包括网络内部的设备对与网络外部的资源通信的尝试以及网络外部的设备对建立与网络内部的资源的VPN会话的尝试。在检测到所尝试的网络间通信时,识别负责发起这样的通信的设备。然后,确定所识别的设备是否在运行有效保护代理。如果是这样,则允许所尝试的网络间通信。如果不是,则按照网络安全策略来阻止所尝试的网络间通信,并且提示所识别的设备从指定存储位置下载和安装保护代理或者激活先前安装的保护设备。该提示可以包括用于启动对保护代理的下载的超链接。
Description
相关申请的交叉引用
本申请要求对申请日为2005年9月7日、发明名称为“Systemsand Methods for Downloading Protection Agents in a DistributedComputer Network”(用于在分布式计算机网络中下载保护代理的系统和方法)的美国临时专利申请第60/714,605号的优先权,在此通过引用的方式包含其全部内容。
技术领域
本发明一般地涉及计算机网络安全。具体而言,本发明涉及将保护代理部署到连接至分布式计算机网络的工作站、客户端、服务器和其它设备。
背景技术
专用计算机网络通常互连到其它网络如因特网并且因此容易遭到入侵。出于这一原因,很多专用网络通过某类入侵防御系统来保护。入侵防御系统一般可以描述为用于施加访问控制以保护计算机和其它网络资源免受利用的硬件和/或软件。有若干不同类型的入侵防御系统,包括网络入侵防御系统(“网络IPS”)和基于主机的(host-based)入侵防御系统(“基于主机的IPS”)。
网络IPS通常是设计为分析、检测和报告与安全有关的事件的硬件和软件平台。网络IPS检查业务,并且基于它们的配置和安全策略,可以丢弃恶意业务。网络IPS被设计为符合网络业务流并且实时防御攻击。此外,多数网络IPS具有对某些通信协议如HTTP、FTP和SMTP进行解码的能力,这提供了更强的认知能力。一些网络IPS如佐治亚州亚特兰大市Internet Security Systems公司的Proventia
Network Multi-Function Security(网络多功能安全)(也称为“ProventiaM”)执行多个网络安全功能,包括防火墙、VPN、抗病毒、Web过滤和反垃圾邮件保护。
基于主机的IPS在如客户端、工作站、服务器或者其它设备之类的主机上运行,其中已经对分组进行解密并且可以有粒度地(granularly)和准确地监视文件访问和注册表访问。作为一个例子,ISS的Proventia
Desktop Endpoint Security(桌面端点安全)是如下基于主机的IPS,该IPS被设计为在保持操作运行和加强系统顺应性(system compliance)的同时优先地保护桌面工作站免于遭受病毒、蠕虫和异常活动。作为另一例子,ISS的Proventia
Server IntrusionPrevention System(服务器入侵防御系统)是设计为前摄地停止如下威胁的基于主机的IPS,这些威胁可能危及驻留于网络服务器上的宝贵和关键的应用及固定设备。基于主机的IPS有时称为“桌面代理”或者“保护代理”,因为它们可以部署到各种网络设备并且从中央管理控制台来控制。在一些情况下,网络IPS对于部署到同一网络内的设备上的代理而言也可以作为管理控制台来工作。
连接至专用网络的设备可以在网络内部(即在网络防火墙后面)或者在网络外部(即在网络防火墙以外但是通过虚拟专用网络会话等与内部网络资源通信)。在最优情景中,保护代理将部署到连接至专用网络的各设备。以这一方式,将单独地保护连接至专用网络的各设备免于遭受未授权网络通信,比如入侵和病毒感染。然而,由于对服务器、工作站、客户端以及其它设备和资源进行添加、更换、重新定位和重新设定用途,所以分布式计算机网络的配置可能随时间快速地改变。因此,保证保护代理部署到所有有关网络设备对于网络管理员而言可能既繁琐又耗时。因而,在本领域中需要一种用于将保护代理部署到连接至分布式计算机网络的设备的高效且自动的方法。
发明内容
本发明通过提供用于将保护代理自动部署到连接至分布式网络的设备来满足上述需要。一般而言,本发明涉及到监视网络业务和检测所尝试的网络间通信。所尝试的网络间通信可以包括分布式网络内部的设备对与分布式网络外部的资源通信的尝试以及分布式网络外部的设备对建立与分布式网络内部的资源的虚拟专用网络会话的尝试。可以通过识别采用HTTP或者HTTPS协议的网络业务或者在端口80和端口433中一个或者多个端口上的网络业务来检测分布式网络内部的设备对与分布式网络外部的资源通信的尝试。
响应于检测到所尝试的网络间通信,识别负责发起这样的通信的设备。然后,确定所识别的设备是否在运行有效保护代理。如果是这样,则允许所尝试的网络间通信。如果不是,则阻止所尝试的网络间通信并且提示所识别的设备从指定存储位置下载和安装保护代理或者激活先前安装的保护设备。
可以收集和存储在连接至分布式网络的设备上运行的保护代理所生成的注册信息。确定所识别的设备是否在运行有效保护代理可以涉及到确定所存储的注册信息都不对应于所识别的设备。确定所识别的设备没有运行有效保护代理也可以涉及到确定在指定时间间隔内存储的注册信息都不对应于所识别的设备。提示所识别的设备下载和安装保护代理可以涉及到提供在被激活时将启动从指定存储位置下载保护代理的超链接,该指定存储位置可以是入侵防御系统、网络服务器等。
在考虑对当前认识到的例示用于实施本发明的最佳实施方式的所示实施例的以下具体描述时,本发明的这些和其它方面、特征以及实施例对于本领域技术人员而言将变得明显。
附图说明
图1是图示了用于实施本发明某些示例实施例的适当计算机网络环境100的框图。
图2是图示了根据本发明某些示例实施例的用于将保护代理部署到连接至分布式计算机网络的设备的示例方法的处理流程图。
具体实施方式
本发明提供了用于将保护代理部署到连接至分布式计算机网络的设备的系统和方法。对本发明示例实施例的以下描述将参照附图,在附图中相似的标号在数幅图中通篇地指代相似的单元。图1是图示了用于实施本发明示例实施例的适当计算机网络环境100的框图。示例计算机网络环境100包括至少两个分布式网络,包括专用网络105和公共网络110。专用网络105可以是局域网(“LAN”)、广域网(“WAN”)、其组合或者任何其它内网配置。公共网络110可以是因特网或者任何其它可公共访问的计算机网络。
专用网络105可以包括一个或者多个端点设备,比如服务器120、客户端125和其它计算机或者电子设备。这样的设备可以通过网络接口卡、调制解调器或者用于建立和接收网络通信的其它适当装置连接至专用网络105。客户端125可以是桌上型计算机125a、膝上型计算机125b、手持计算机125c等。远程客户端125d和其它设备(例如移动电话)可以经由虚拟专用网络(“VPN”)165或者其它适当安全通信协议与专用网络105通信。正如在本领域中公知的,可以使用各种安全措施中的一种或者多种措施来建立VPN 165以提供经由公共网络110对专用网络105的安全访问。
也正如在本领域中公知的,能够连接至网络的设备(例如客户端125、服务器120等)一般包括用于执行计算机可执行指令的处理器、用于存储程序模块和数据的系统存储器(即适当存储介质)以及将系统存储器耦合至处理单元的系统总线。系统存储器典型地包括只读存储器(“ROM”)和/或随机存取存储器(“RAM”)。网络设备也可以包括硬盘驱动器、磁盘驱动器(即用于从磁盘进行读取以及向磁盘进行写入)和/或光盘驱动器(即用于从光学介质如CD或者DVD进行读取或者向该光学介质进行写入),这些驱动器各自可以经由适当接口连接至系统总线。这样的驱动器以及它们的关联计算机可读介质为计算机系统提供非易失性存储设备。本领域技术人员将认识到计算机系统可读的其它类型的介质包括磁带、闪存卡、ZIP驱动器、Bernoulli盒等。
多个程序模块可以存储于非易失性存储设备(例如硬盘)、系统存储器(例如RAM)和/或网络设备的其它计算机可读介质中。安装在网络设备上并且由网络设备执行的典型程序模块包括基本输入/输出系统(“BIOS”)、操作系统和一个或者多个应用程序。如这里使用的,术语“程序模块”也旨在于涵盖应用程序的组件,比如可执行文件、DLL等以及任何其它使处理器执行所需功能的计算机可执行指令。可以通过包括用于执行这里所述各种方法的计算机可执行指令的一个或者多个入侵防御系统程序模块和/或保护代理程序模块来实施本发明的某些实施例。
典型专用网络105由在通向公共网络110或者其它外部网络的网关连接处的防火墙115防护。正如在本领域中公知的,防火墙115是用于防止安全策略所禁止的通信的硬件和/或软件。很多专用网络105也受到某类入侵防御系统165保护。类似于防火墙115,入侵防御系统165是用于施加访问控制以保护计算机免受利用的硬件和/或软件。然而,尽管防火墙115典型地基于IP地址或者端口来做出访问控制判决,但是入侵防御系统165基于应用内容来做出访问控制判决。
在一些情况下,IPS功能和防火墙功能可以组合到单个设备或者一组设备中。因而,如这里所用的,术语“入侵防御系统”(或者“IPS”)的意思是广义地指代任何执行或者管理网络IPS功能和/或防火墙功能的硬件和/或软件平台,包括任何关联管理控制台。正如在本领域中公知的,网络IPS功能包括对网络业务流的检查和分析,以及基于安全策略来检测和丢弃恶意业务的能力。如图1中所示,IPS165可以置于防火墙115以外(即在公共网络110与防火墙115之间)和/或置于防火墙115后面。根据本发明,IPS 165也被配置为管理将保护代理170部署到连接至示例专用网络105的客户端125、服务器120和其它设备。
IPS 165可以被配置为监视和分析由分布式计算机网络如示例专用网络105承载的网络业务(有时称为“消息业务”)以检测与其有关的正在执行或者请求的网络间访问活动。例如,IPS 165可以被配置为监视采用HTTP或者HTTPS协议的网络业务,以由此检测专用网络105内部的客户端125a-c或者服务器120对访问专用网络105外部的公共网络110或者其它资源的尝试。除此之外或者取而代之,IPS 165还可以被配置为通过监视在端口80和443上的由专用网络105内部的设备生成的网络业务来检测对访问公共网络110或者其它外部资源的尝试。IPS 165也可以访问标识连接至专用网络105的各客户端125a-c、服务器120或者其它设备的网络配置信息。因而,IPS 165能够识别连接至专用网络105的尝试访问公共网络110或者任何其它外部网络资源的任何特定设备。此外,根据本发明的IPS 165可以被配置为丢弃去往和来自连接至专用网络105的没有运行有效保护代理170的设备的所有网络间业务。
在某些实施例中,使用“PULL”(拉取)模型将保护代理170部署到网络设备,其中该模型依赖于这些网络设备以从IPS 165或者另一指定服务器下载保护代理170以便安装到网络设备上。作为例子,基于网络配置信息,IPS 165可以通过提示安装和/或激活保护代理170a来对客户端125a所尝试的Web浏览活动做出响应。如果保护代理170a尚未安装在客户端125a上,则用户可以通过启动对保护代理170a的下载以便安装在客户端125a上并且由该客户端执行来对提示做出响应。在某些实施例中,IPS 165发出的提示可以包括超链接,其中可以激活该超链接以启动对保护代理170a的下载。
使用超链接以便于下载程序模块在本领域中是公知的,因此这里没有讨论具体实施细节。本领域技术人员将认识到有很多其它的用于有助于下载的方法和编程技术,其中任何方法和编程技术都可以为本发明所用。在某些可选实施例中,也可以使用“PUSH”(推送)模型将保护代理170部署到网络设备。在“PUSH”模型中,IPS 165或者另一指定服务器被配置为递送(或者引起递送)保护代理170到并没有请求这样的递送的设备。
保护代理170可以被配置为一旦在客户端125上安装和激活就联系IPS 165(或者另一注册设备)以完成注册操作。在某些实施例中,注册操作可以向IPS 165提供如下信息,该信息将注册保护代理170与它所安装于其上的设备的标识相链接。换而言之,注册信息包括保护代理170的标识以及对应网络设备的标识。注册信息可以存储于数据库中或者从功能上说耦合到IPS 165或者可由IPS 165访问的另一适当存储介质中。
保护代理170还可以被配置为持续地将注册信息传送到IPS165(或者另一指定注册设备),只要它们正在活跃地运行。例如,保护代理170可以在连续地以离散的间隔使用“心跳”或者“轮询”信号将注册信息转发到IPS 165(或者另一注册设备)。可选地,保护代理170可以以无规律、随机或者伪随机的间隔将注册信息转发到IPS 165(或者另一注册设备)。作为另一例子,IPS 165(或者其它注册设备)可以被配置为查询一个或者多个网络设备以便从安装于其上的任何保护代理170请求注册信息。
当网络设备尝试访问因特网110或者专用网络105外部的任何其它资源时,监视网络业务和其它操作并充当代理管理器的IPS 165确定该设备是否在运行有效保护代理170。基于可以按照网络设备的网络地址、MAC地址或者任何其它适当唯一标识符来确定的网络设备的标识,IPS 165查询所存储的注册信息以确定先前是否已经与该设备相关联地注册了保护代理170。在某些实施例中,如果网络设备在运行在预配置或者可配置的时间间隔内尚未注册的保护代理170,则认为该网络设备没有运行有效保护代理170。
如果IPS 165确定网络设备在运行有效保护代理170,则IPS 165将允许该设备与专用网络105外部的资源通信。另一方面,如果确定网络设备没有运行有效保护代理170,则IPS 165将采取动作以阻止去往和来自该设备的一些或者所有(视应用于IPS 165的安全策略而定)网络间通信。例如,在一些情况下,可能希望阻止去往和来自非顺应(non-compliant)设备的所有网络间通信。在其它情况下,可以允许在非顺应设备与某些可信外部资源之间的网络间通信。
在网络设备处的用户接口显示器可以用来向用户建议IPS 165所采取的任何访问阻止动作。例如,IPS 165可以被配置为响应于检测到没有运行有效保护代理的网络设备尝试网络间通信来向该网络设备发送形式为网页或者其它适当消息的提示。该提示可以向用户建议在允许与专用网络105外部的一些或者所有资源通信之前必须激活先前安装的保护代理170或者必须安装(例如通过激活超链接以启动下载)和激活保护代理170。
正如本领域中已知的,IPS 165也可以包括如下功能,该功能检测外部客户端125d和其它外部设备对借助VPN会话来访问专用网络105的资源的尝试。在本发明的某些实施例中,IPS 165可以被配置为识别任何尝试建立VPN会话的外部设备并且如果必要则将保护代理170部署到该设备。例如,充当代理管理器的IPS 165可以查询所存储的注册信息以确定尝试建立VPN会话的外部客户端125d是否与先前注册的保护代理170d相关联,并且如果是这样,则确定是否在指定时间间隔过程中注册了该保护代理170d。如果确定外部客户端125d在运行有效的(例如已及时注册的)保护代理170d,则IPS 165允许VPN会话继续。另一方面,如果认为外部客户端125d没有运行有效保护代理170d,则IPS 165采取动作以阻止VPN会话(或者根据适用的安全策略而将它限于某些活动)并且可以提示外部客户端125d的用户安装(例如通过选择用以启动下载的超链接)和/或激活保护代理170d。
图2是图示了用于将保护代理170部署到连接至分布式计算机网络的设备的示例方法200的处理流程图。该示例方法始于开始方框201并且继续到步骤202,其中监视去往和来自分布式网络的通信。接着在步骤204检测所尝试的网络间通信。所尝试的网络间通信可以是分布式网络内部的设备对与外部资源通信的尝试。作为另一例子,所尝试的网络间通信可以是分布式网络外部的设备对建立与内部网络资源的VPN会话的尝试。响应于检测到所尝试的网络间通信,在步骤206中识别尝试发起这样的通信的设备。如前所述,该设备可以在分布式网络内部或者外部。
在识别尝试发起网络间通信的设备之后,在步骤208确定所识别的设备是否与注册保护代理170相关联。例如,在连接至分布式网络的设备上运行的保护代理170可以被配置为在定期地生成和提供注册信息给IPS 165(或者其它指定注册设备)。IPS 165(或者其它注册设备)可以在数据库或者其它适当存储介质中存储这样的注册信息并且可以在以后查询该注册信息以确定注册保护代理170是否与识别的设备相关联。如果所识别的设备与注册保护代理170相关联,则可以在步骤210进一步确定是否在指定时间间隔内注册了该保护代理。在某些实施例中,该时间间隔可以由网络管理员指定。这样的可选的进一步确定可以用来保证注册保护代理170保持在设备上活跃地运行。如果在步骤210确定已经在指定时间间隔内注册了该保护代理,则示例方法200进展到步骤212,其中允许所尝试的网络间通信。
如果在步骤208确定所识别的设备不与注册保护代理170相关联,或者如果在步骤210确定没有在指定时间间隔内注册该保护代理,则示例方法200转移到步骤214,其中阻止所尝试的网络间通信。在阻止所尝试的网络间通信之后,在步骤216提示所识别的设备安装和/或激活保护代理。示例方法200从步骤216或者步骤212返回到步骤202并且从步骤202重复,其中监视去往和来自分布式网络的通信。
基于前文,可见本发明提供用于将保护代理部署到连接至分布式网络的设备的系统和方法。本领域技术人员将认识到本发明的方法可以实施为存储于计算机可读介质上的计算机可执行指令并且可以使用这里具体描述的编程技术和/或功能以外的编程技术和/或功能来实施。本发明的很多其它修改、特征和实施例对于本领域技术人员而言将变得不言而喻。另外,选择这里使用的某些词语如术语“网络设备”、“网络间通信”等是为了易于引用,并且这些词语是通过一般性的说明而不是以限制的方式来使用的。
因此,也应当认识到本发明的很多方面在上文中仅通过例子来描述,并且除非另有指明,否则这些方面并非旨在于作为本发明的必需或者基本元素。因而,应当理解前文仅涉及本发明的某些示例实施例,并且在不脱离如所附权利要求限定的本发明的精神和范围的情况下,可以对本发明做出很多变化。还应当理解,本发明不限于所示实施例并且可以在所附权利要求的范围内做出各种其它修改。
Claims (26)
1.一种用于利用入侵防御系统将保护代理自动部署到连接至分布式网络的设备的方法,包括:
监视去往、来自所述分布式网络和在所述分布式网络内的通信;
基于应用内容来检测所述分布式网络内部的设备对与所述分布式网络外部的设备通信的尝试;
确定所述分布式网络内部的所述设备没有运行有效保护代理;以及
响应于所述确定,按照安全策略来阻止所尝试的通信并且提示所述分布式网络内部的所述设备从指定存储位置下载和安装保护代理。
2.根据权利要求1所述的方法,其中检测对与所述分布式网络外部的所述设备通信的尝试包括检测由所述分布式网络内部的所述设备生成的采用HTTP或者HTTPS协议的消息业务。
3.根据权利要求1所述的方法,其中检测对与所述分布式网络外部的所述设备通信的尝试包括检测在端口80和端口443中一个或者多个端口上的由所述分布式网络内部的所述设备生成的消息业务。
4.根据权利要求1所述的方法,还包括以下步骤:定期地接收和存储由在连接至所述分布式网络的设备上运行的保护代理所生成的注册信息;以及
其中确定所述分布式网络内部的所述设备没有运行有效保护代理包括确定所述注册信息都不对应于所述分布式网络内部的所述设备。
5.根据权利要求4所述的方法,其中确定所述分布式网络内部的所述设备没有运行有效保护代理包括确定在指定时间间隔内存储的所述注册信息都不对应于所述分布式网络内部的所述设备。
6.根据权利要求1所述的方法,其中提示所述分布式网络内部的所述设备下载和安装所述保护代理包括提供在被激活时将启动从所述指定存储位置下载所述保护代理的超链接。
7.根据权利要求1所述的方法,其中所述分布式网络内部的所述设备选自于客户端和服务器。
8.根据权利要求1所述的方法,其中阻止所尝试的通信包括阻止在所述分布式网络内部的所述设备与所述分布式网络外部的所述设备之间的网络业务,同时允许在所述分布式网络内部的所述设备与所述分布式网络外部的至少一个其它设备之间的网络业务。
9.一种用于利用入侵防御系统将保护代理自动部署到连接至分布式网络的设备的方法,包括:
监视去往、来自所述分布式网络和在所述分布式网络内的通信;
基于应用内容来检测所述分布式网络外部的设备对建立与所述分布式网络内部的设备的虚拟专用网络会话的尝试;
确定所述分布式网络外部的所述设备没有运行有效保护代理;以及
响应于所述确定,按照安全策略来阻止所尝试的虚拟专用网络会话并且提示所述分布式网络外部的所述设备从指定存储位置下载和安装保护代理。
10.根据权利要求9所述的方法,还包括以下步骤:定期地接收和存储由在连接至所述分布式网络的设备上运行的保护代理所生成的注册信息;以及
其中确定所述分布式网络外部的所述设备没有运行有效保护代理包括确定所述注册信息都不对应于所述分布式网络外部的所述设备。
11.根据权利要求10所述的方法,其中确定所述分布式网络外部的所述设备没有运行有效保护代理包括确定在指定时间间隔内存储的所述注册信息都不对应于所述分布式网络外部的所述设备。
12.根据权利要求9所述的方法,其中提示所述分布式网络外部的所述设备下载和安装所述保护代理包括提供在被激活时将启动从所述指定存储位置下载所述保护代理的超链接。
13.根据权利要求9所述的方法,其中阻止所尝试的虚拟专用网络会话包括针对至少第一活动而阻止所尝试的虚拟专用网络会话,同时针对至少第二活动而允许所尝试的虚拟专用网络会话。
14.一种用于利用入侵防御系统将保护代理自动部署到连接至分布式网络的设备的设备,包括:
监视装置,用于监视去往、来自所述分布式网络和在所述分布式网络内的通信;
检测装置,用于基于应用内容来检测所述分布式网络内部的设备对与所述分布式网络外部的设备通信的尝试;
确定装置,用于确定所述分布式网络内部的所述设备没有运行有效保护代理;以及
阻止和提示装置,用于响应于所述确定而按照安全策略来阻止所尝试的通信,以及用于提示所述分布式网络内部的所述设备从指定存储位置下载和安装保护代理。
15.根据权利要求14所述的设备,其中所述检测装置包括:用于检测由所述分布式网络内部的所述设备生成的采用HTTP或者HTTPS协议的消息业务的装置。
16.根据权利要求14所述的设备,其中所述检测装置包括:用于检测在端口80和端口443中一个或者多个端口上的由所述分布式网络内部的所述设备生成的消息业务的装置。
17.根据权利要求14所述的设备,还包括:接收和存储装置,用于定期地接收和存储由在连接至所述分布式网络的设备上运行的保护代理所生成的注册信息;以及
其中所述确定装置包括:用于确定所述注册信息都不对应于所述分布式网络内部的所述设备的装置。
18.根据权利要求17所述的设备,其中所述确定装置包括:用于确定在指定时间间隔内存储的所述注册信息都不对应于所述分布式网络内部的所述设备的装置。
19.根据权利要求14所述的设备,其中所述阻止和提示装置包括:用于提供在被激活时将启动从所述指定存储位置下载所述保护代理的超链接的装置。
20.根据权利要求14所述的设备,其中所述分布式网络内部的所述设备选自于客户端和服务器。
21.根据权利要求14所述的设备,其中所述阻止和提示装置包括:用于阻止在所述分布式网络内部的所述设备与所述分布式网络外部的所述设备之间的网络业务,同时允许在所述分布式网络内部的所述设备与所述分布式网络外部的至少一个其它设备之间的网络业务的装置。
22.一种用于利用入侵防御系统将保护代理自动部署到连接至分布式网络的设备的设备,包括:
监视装置,用于监视去往、来自所述分布式网络和在所述分布式网络内的通信;
检测装置,用于基于应用内容来检测所述分布式网络外部的设备对建立与所述分布式网络内部的设备的虚拟专用网络会话的尝试;
确定装置,用于确定所述分布式网络外部的所述设备没有运行有效保护代理;以及
阻止和提示装置,用于响应于所述确定而按照安全策略来阻止所尝试的虚拟专用网络会话,以及用于提示所述分布式网络外部的所述设备从指定存储位置下载和安装保护代理。
23.根据权利要求22所述的设备,还包括:接收和存储装置,用于定期地接收和存储由在连接至所述分布式网络的设备上运行的保护代理所生成的注册信息;以及
其中所述确定装置包括:确定所述注册信息都不对应于所述分布式网络外部的所述设备。
24.根据权利要求23所述的设备,其中所述确定装置包括:用于确定在指定时间间隔内存储的所述注册信息都不对应于所述分布式网络外部的所述设备的装置。
25.根据权利要求22所述的设备,其中所述阻止和提示装置包括:用于提供在被激活时将启动从所述指定存储位置下载所述保护代理的超链接的装置。
26.根据权利要求22所述的设备,其中阻止和提示装置包括:用于针对至少第一活动而阻止所尝试的虚拟专用网络会话,同时针对至少第二活动而允许所尝试的虚拟专用网络会话的装置。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US71460505P | 2005-09-07 | 2005-09-07 | |
| US60/714,605 | 2005-09-07 | ||
| PCT/US2006/034665 WO2007030506A2 (en) | 2005-09-07 | 2006-09-07 | Automated deployment of protection agents to devices connected to a distributed computer network |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN101258470A CN101258470A (zh) | 2008-09-03 |
| CN101258470B true CN101258470B (zh) | 2011-08-03 |
Family
ID=37836405
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN200680032656.5A Active CN101258470B (zh) | 2005-09-07 | 2006-09-07 | 将保护代理自动部署到连接至分布式计算机网络的设备 |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US8904529B2 (zh) |
| EP (1) | EP1934743A4 (zh) |
| JP (1) | JP4743911B2 (zh) |
| CN (1) | CN101258470B (zh) |
| WO (1) | WO2007030506A2 (zh) |
Families Citing this family (25)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7581000B2 (en) * | 2005-01-11 | 2009-08-25 | Ricoh Company, Ltd. | Monitoring device having a memory containing data representing access information configured to be used by multiple implementations of protocol access functions to extract information from networked devices |
| US7512681B2 (en) * | 2005-09-26 | 2009-03-31 | Ricoh Company Limited | Database for multiple implementation of HTTP to obtain information from devices |
| US7526546B2 (en) * | 2005-09-26 | 2009-04-28 | Ricoh Company Limited | Method and system for use of abstract classes for script implementation of HTTP to obtain information from devices |
| US20080133639A1 (en) * | 2006-11-30 | 2008-06-05 | Anatoliy Panasyuk | Client Statement of Health |
| US8910275B2 (en) * | 2007-02-14 | 2014-12-09 | Hewlett-Packard Development Company, L.P. | Network monitoring |
| JP2009015432A (ja) * | 2007-07-02 | 2009-01-22 | Nec Soft Ltd | Pc検疫システムを活用したit資産管理システム、その方法及びそのプログラム |
| KR100917601B1 (ko) * | 2007-07-03 | 2009-09-17 | 한국전자통신연구원 | 인증 재전송 공격 방지 방법 및 인증 시스템 |
| US7899849B2 (en) * | 2008-05-28 | 2011-03-01 | Zscaler, Inc. | Distributed security provisioning |
| JP5248445B2 (ja) * | 2009-08-12 | 2013-07-31 | 株式会社野村総合研究所 | 通信エージェント、検疫ネットワークシステム |
| CN102195947B (zh) * | 2010-03-15 | 2014-07-16 | 华为技术有限公司 | 合法监听的方法及装置 |
| JP5567906B2 (ja) | 2010-06-04 | 2014-08-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | 画面の再現を支援する装置及び方法 |
| US9065725B1 (en) * | 2010-09-14 | 2015-06-23 | Symantec Corporation | Techniques for virtual environment-based web client management |
| US8712921B2 (en) | 2011-10-03 | 2014-04-29 | International Business Machines Corporation | Receiving security risk feedback from linked contacts due to a user's system actions and behaviors |
| US8706648B2 (en) * | 2011-10-03 | 2014-04-22 | International Business Machines Corporation | Assessing social risk due to exposure from linked contacts |
| US8832265B2 (en) * | 2012-05-01 | 2014-09-09 | International Business Machines Corporation | Automated analysis system for modeling online business behavior and detecting outliers |
| US8839375B2 (en) * | 2012-05-25 | 2014-09-16 | Microsoft Corporation | Managing distributed operating system physical resources |
| US9455972B1 (en) * | 2013-09-30 | 2016-09-27 | Emc Corporation | Provisioning a mobile device with a security application on the fly |
| US9667635B2 (en) * | 2015-03-26 | 2017-05-30 | Cisco Technology, Inc. | Creating three-party trust relationships for internet of things applications |
| US10349304B2 (en) | 2015-09-23 | 2019-07-09 | Cloudflare, Inc. | Software defined dynamic filtering |
| JP6693114B2 (ja) * | 2015-12-15 | 2020-05-13 | 横河電機株式会社 | 制御装置及び統合生産システム |
| US10257167B1 (en) | 2016-06-21 | 2019-04-09 | Amazon Technologies, Inc. | Intelligent virtual private network (VPN) client configured to manage common VPN sessions with distributed VPN service |
| US10601779B1 (en) * | 2016-06-21 | 2020-03-24 | Amazon Technologies, Inc. | Virtual private network (VPN) service backed by eventually consistent regional database |
| WO2019224911A1 (ja) | 2018-05-22 | 2019-11-28 | 三菱電機株式会社 | 設置場所選定支援装置、設置場所選定支援方法及び設置場所選定支援プログラム |
| US10958557B2 (en) * | 2019-07-31 | 2021-03-23 | International Business Machines Corporation | Automated deployment of a private monitoring network |
| US11496508B2 (en) | 2019-09-24 | 2022-11-08 | Target Brands, Inc. | Centralized security package and security threat management system |
Family Cites Families (45)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3165366B2 (ja) * | 1996-02-08 | 2001-05-14 | 株式会社日立製作所 | ネットワークセキュリティシステム |
| US6453345B2 (en) * | 1996-11-06 | 2002-09-17 | Datadirect Networks, Inc. | Network security and surveillance system |
| US7058822B2 (en) * | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
| US6981146B1 (en) * | 1999-05-17 | 2005-12-27 | Invicta Networks, Inc. | Method of communications and communication network intrusion protection methods and intrusion attempt detection system |
| US6625640B1 (en) * | 1999-09-01 | 2003-09-23 | Inventec Corporation | Modem having embedded network transmission protocols |
| US6701440B1 (en) * | 2000-01-06 | 2004-03-02 | Networks Associates Technology, Inc. | Method and system for protecting a computer using a remote e-mail scanning device |
| US6795835B2 (en) * | 2000-05-19 | 2004-09-21 | Centerbeam, Inc. | Migration of computer personalization information |
| US7168089B2 (en) * | 2000-12-07 | 2007-01-23 | Igt | Secured virtual network in a gaming environment |
| US6959436B2 (en) * | 2000-12-15 | 2005-10-25 | Innopath Software, Inc. | Apparatus and methods for intelligently providing applications and data on a mobile device system |
| US20020095607A1 (en) * | 2001-01-18 | 2002-07-18 | Catherine Lin-Hendel | Security protection for computers and computer-networks |
| US7010807B1 (en) * | 2001-04-13 | 2006-03-07 | Sonicwall, Inc. | System and method for network virus protection |
| US7047562B2 (en) * | 2001-06-21 | 2006-05-16 | Lockheed Martin Corporation | Conditioning of the execution of an executable program upon satisfaction of criteria |
| US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US7590684B2 (en) * | 2001-07-06 | 2009-09-15 | Check Point Software Technologies, Inc. | System providing methodology for access control with cooperative enforcement |
| US20040107360A1 (en) * | 2002-12-02 | 2004-06-03 | Zone Labs, Inc. | System and Methodology for Policy Enforcement |
| US20030097557A1 (en) * | 2001-10-31 | 2003-05-22 | Tarquini Richard Paul | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system |
| US7444679B2 (en) * | 2001-10-31 | 2008-10-28 | Hewlett-Packard Development Company, L.P. | Network, method and computer readable medium for distributing security updates to select nodes on a network |
| US20030083847A1 (en) * | 2001-10-31 | 2003-05-01 | Schertz Richard L. | User interface for presenting data for an intrusion protection system |
| US7197762B2 (en) * | 2001-10-31 | 2007-03-27 | Hewlett-Packard Development Company, L.P. | Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits |
| US7269851B2 (en) | 2002-01-07 | 2007-09-11 | Mcafee, Inc. | Managing malware protection upon a computer network |
| US7269651B2 (en) * | 2002-09-26 | 2007-09-11 | International Business Machines Corporation | E-business operations measurements |
| TW555332U (en) * | 2002-07-31 | 2003-09-21 | Veutron Corp | Scanner carrier lock device having automatic unlock function |
| US7603711B2 (en) * | 2002-10-31 | 2009-10-13 | Secnap Networks Security, LLC | Intrusion detection system |
| US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
| JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
| JP2004246444A (ja) * | 2003-02-12 | 2004-09-02 | Hitachi Ltd | セキュリティ基準検証方法及びその実施装置並びにその処理プログラム |
| US7039950B2 (en) * | 2003-04-21 | 2006-05-02 | Ipolicy Networks, Inc. | System and method for network quality of service protection on security breach detection |
| WO2004097584A2 (en) * | 2003-04-28 | 2004-11-11 | P.G.I. Solutions Llc | Method and system for remote network security management |
| JP4472273B2 (ja) | 2003-05-30 | 2010-06-02 | 富士通株式会社 | クライアント評価方法、クライアント評価装置、サービス提供方法、及び、サービス提供システム |
| US8220052B2 (en) * | 2003-06-10 | 2012-07-10 | International Business Machines Corporation | Application based intrusion detection |
| DE602004022817D1 (de) * | 2003-07-11 | 2009-10-08 | Computer Ass Think Inc | Verfahren und system zum schutz vor computerviren |
| US20050050334A1 (en) * | 2003-08-29 | 2005-03-03 | Trend Micro Incorporated, A Japanese Corporation | Network traffic management by a virus/worm monitor in a distributed network |
| US7509642B1 (en) * | 2003-09-17 | 2009-03-24 | Sprint Communications Company L.P. | Method and system for automatically providing network-transaction-status updates |
| KR100558658B1 (ko) * | 2003-10-02 | 2006-03-14 | 한국전자통신연구원 | 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법 |
| JP2005157968A (ja) * | 2003-11-28 | 2005-06-16 | Nec Soft Ltd | 不正接続検知システム |
| CN100395985C (zh) * | 2003-12-09 | 2008-06-18 | 趋势株式会社 | 强制设置防毒软件的方法及网络系统 |
| JP2005182344A (ja) * | 2003-12-18 | 2005-07-07 | Fuji Photo Film Co Ltd | 院内管理装置及び院内管理プログラム |
| JP2005197815A (ja) | 2003-12-26 | 2005-07-21 | Japan Telecom Co Ltd | ネットワークシステム及びネットワーク制御方法 |
| US7761923B2 (en) * | 2004-03-01 | 2010-07-20 | Invensys Systems, Inc. | Process control methods and apparatus for intrusion detection, protection and network hardening |
| US7760882B2 (en) * | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
| US7360237B2 (en) * | 2004-07-30 | 2008-04-15 | Lehman Brothers Inc. | System and method for secure network connectivity |
| CN1320801C (zh) | 2004-10-09 | 2007-06-06 | 中国工商银行股份有限公司 | 一种计算机辅助安全方法及系统 |
| US7716727B2 (en) * | 2004-10-29 | 2010-05-11 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
| JP2006252256A (ja) | 2005-03-11 | 2006-09-21 | Nec Soft Ltd | ネットワーク管理システム、方法およびプログラム |
| US7647637B2 (en) * | 2005-08-19 | 2010-01-12 | Sun Microsystems, Inc. | Computer security technique employing patch with detection and/or characterization mechanism for exploit of patched vulnerability |
-
2006
- 2006-09-07 EP EP06803027A patent/EP1934743A4/en not_active Withdrawn
- 2006-09-07 CN CN200680032656.5A patent/CN101258470B/zh active Active
- 2006-09-07 JP JP2008530155A patent/JP4743911B2/ja active Active
- 2006-09-07 WO PCT/US2006/034665 patent/WO2007030506A2/en active Application Filing
- 2006-09-07 US US11/517,165 patent/US8904529B2/en active Active
-
2014
- 2014-07-22 US US14/337,825 patent/US9325725B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| WO2007030506A2 (en) | 2007-03-15 |
| JP4743911B2 (ja) | 2011-08-10 |
| WO2007030506A3 (en) | 2007-11-29 |
| EP1934743A4 (en) | 2012-02-22 |
| CN101258470A (zh) | 2008-09-03 |
| JP2009507454A (ja) | 2009-02-19 |
| US20070056020A1 (en) | 2007-03-08 |
| EP1934743A2 (en) | 2008-06-25 |
| US20140337977A1 (en) | 2014-11-13 |
| US8904529B2 (en) | 2014-12-02 |
| US9325725B2 (en) | 2016-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN101258470B (zh) | 将保护代理自动部署到连接至分布式计算机网络的设备 | |
| KR102204143B1 (ko) | 터널 기반 접속성 관리 방법 및 그를 위한 장치 및 시스템 | |
| JP5985756B2 (ja) | モバイルコンピューティング機器のためのデータ損失防止 | |
| US10334083B2 (en) | Systems and methods for malicious code detection | |
| US9843926B2 (en) | System and method for preventing an attack on a networked vehicle | |
| KR101130385B1 (ko) | 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법 | |
| US6892241B2 (en) | Anti-virus policy enforcement system and method | |
| US7600259B2 (en) | Critical period protection | |
| CN100499487C (zh) | 帮助应用穿越防火墙的方法 | |
| JP2008535053A (ja) | パッチが当てられていないマシンの動的な保護 | |
| US20110307936A1 (en) | Network analysis | |
| WO2007069337A1 (ja) | 不正通信プログラムの規制システム及びそのプログラム | |
| KR101088084B1 (ko) | 전자상거래 불법 침입 감시 및 차단 방법과 시스템 | |
| KR20040065674A (ko) | 통합형 호스트 기반의 보안 시스템 및 방법 | |
| KR101592323B1 (ko) | 서버 장애 시 원격 서버 복구 시스템 및 방법 | |
| CN111726328A (zh) | 用于对第一设备进行远程访问的方法、系统以及相关设备 | |
| KR20070008804A (ko) | 호스트 기반의 보안 시스템 및 그를 이용한 보안 서비스제공 방법 | |
| KR101521903B1 (ko) | 링크정보의 악성코드에 대응한 단말기의 로컬환경 보호방법과 보호시스템 | |
| KR101288103B1 (ko) | 전자상거래 불법 거래 탐지 및 차단 방법과 시스템 | |
| US11632400B2 (en) | Network device compliance | |
| KR100757904B1 (ko) | 인터넷 접속을 통한 진단 및 원격지원 서비스 방법 | |
| CN116467709A (zh) | 一种计算机病毒清理方法、系统、装置及电子设备 | |
| KR20140014907A (ko) | 대상 프로그램 제어 시스템 및 그 방법 | |
| CN118157976A (zh) | 网络安全监测和响应方法、装置、电子设备 | |
| KR101526471B1 (ko) | 호스트 보안 장치 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20211103 Address after: USA New York Patentee after: Qindarui Co. Address before: USA New York Patentee before: International Business Machines Corp. |
|
| TR01 | Transfer of patent right |