CN104380657A - 用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法 - Google Patents
用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法 Download PDFInfo
- Publication number
- CN104380657A CN104380657A CN201380017286.8A CN201380017286A CN104380657A CN 104380657 A CN104380657 A CN 104380657A CN 201380017286 A CN201380017286 A CN 201380017286A CN 104380657 A CN104380657 A CN 104380657A
- Authority
- CN
- China
- Prior art keywords
- main frame
- network
- user
- event
- reputation score
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
- G06F21/577—Assessing vulnerabilities and evaluating computer system security
Abstract
示例实施例中的方法包括关联来自专用网络的第一组事件数据,并且基于关联第一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地声誉分数提供给安全节点,其基于主机的本地声誉分数将策略应用到与主机相关的网络通信。在具体实施例中,将主机的本地声誉分数映射到主机的网络地址。在进一步的实施例中,第一组事件数据包括在专用网络中相应表示一个或多个事件的一个或多个事件指示符。在更具体的实施例中,方法包括确定用户的本地声誉分数,并且将用户的本地声誉分数提供给安全节点。
Description
技术领域
本公开一般涉及网络安全的领域,并且更具体地涉及用于确定和使用用户和主机的本地声誉(local reputation)来保护网络环境中的信息的系统和方法。
背景技术
在现今社会,网络安全的领域已变得日益重要和多元化。商业和其它组织常常将机密信息或敏感信息存储在其专用计算机网络中,所述专用计算机网络通常由诸如防火墙之类的各种安全机制来保护。由互联网和由用户对于保护专用网络中的机密信息和敏感信息的需要是复杂的。互联网已实现在全世界不同计算机网络的互联,并且也为恶意运营商为了开采其网络而破坏诸如防火墙之类的安全机制呈现了许多机会。对于一些类型的恶意软件,一旦它感染了主机计算机,则恶意运营商可从远程计算机发布命令以控制恶意软件。软件能够被命令来执行任意数量的恶意动作,诸如从主机计算机发出垃圾邮件或恶意电子邮件、从与主机计算机相关的商业或个人盗取敏感信息,以及传播到其它主机计算机。
专用网络内的授权用户还能够危及网络中的机密信息和敏感信息的安全。不知情的用户能够通过对与网络相关的敏感信息从事风险行为来危害专用网络。常常,风险行为不被检测到,直到网络安全已被破坏。其它授权用户可怀有更险恶的动机,并且能够使用其授权访问来偷窃机密信息或敏感信息而不被网络中的主机或其它资产注意到。因此,有效保护和保持稳定的计算机和系统的能力对于组件制造商、系统设计者和网络运营商继续呈现重大挑战。
附图说明
为提供本公开及其特征和优点的更全面的理解,结合附图参考下面的描述,附图中相同的参考标号表示相同的部件,其中:
图1是按照本说明书能够实现用于确定和使用用户和主机的本地声誉来保护网络信息的系统的网络环境的示例实施例的简化框图。
图2是在示例情境中作为时间的函数的对于专用网络的风险图,以及如何能够使用已知网络安全技术将策略应用到网络中;
图3是按照本说明书的实施例,作为时间的函数的专用网络中的主机或用户的本地声誉分数图,以及如何能够将策略应用到示例情境中;
图4是按照本说明书示出可与网络环境的示例组件相关的附加细节的简化框图;
图5是按照本说明书示出可与系统的实施例相关的示例操作步骤的简化流程图;
图6是按照本说明书示出可与系统的实施例相关的附加示例操作步骤的简化流程图。
具体实施方式
概览
示例实施例中的方法包括关联来自专用网络的第一组事件数据,以及基于关联第一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地声誉分数提供给安全节点,其中安全节点基于主机的本地声誉分数将策略应用到与主机相关的网络通信。在具体实施例中,将主机的本地声誉分数映射到主机的网络地址。在进一步的实施例中,第一组事件数据包括在专用网络中相应表示一个或多个事件的一个或多个事件指示符,并且一个或多个事件的每个与主机的网络地址相关。在更具体的实施例中,方法包括基于关联第二组事件数据来确定用户的本地声誉分数,以及如果网络通信与用户相关,则将用户的本地声誉分数提供给安全节点。
另一示例实施例中的方法包括关联来自专用网络的第一组事件数据,以及基于关联第一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地声誉分数提供给主机,其中基于主机的本地声誉分数来选择策略,并且将策略应用到由主机检测的处理。在具体实施例中,该处理包括将文件复制到连接到主机的离线媒体。在更具体的实施例中,方法包括基于关联第二组事件数据来确定专用网络的用户的本地声誉分数,以及如果用户是该处理的处理拥有者,则将用户的本地声誉分数提供给主机。
示例实施例
图1是能够实现用于确定和使用用户和主机的本地声誉来保护信息的系统的示例网络环境10的简化框图。在图1中所示的示例实施例中,网络环境10能够包括专用网络14、远程网络16和广域网12(例如,互联网),网络环境10提供相应专用网络14和远程网络16之间的通信路径。专用网络14能够包括主机20(1)到20(n)、声誉服务器40、内部网络安全设备30(1)、面向外部网络安全设备30(2)和资产50(1)-50(3)。另外,专用网络14还可包括邮件网关&服务器60和事件数据储存库55。远程网络16能够包括面向外部网络安全设备30(3)和远程资产50(4)。
图1中的网络环境10表示用于接收和传送通过网络环境10传播的信息分组的互联通信路线的一系列点或节点。如本文使用的术语“网络节点”或“节点”意图包括附连到网络的活动电子设备。一般地,节点能够在通信信道上发送、接收或转发信息。但是,一些节点能够是被动的(例如,入侵预防系统(IPS)),并且可能不能够发送分组。另外,透明模式IPS或防火墙可不具有互联网协议(IP)地址。最后,网络环境10提供包括透明模式和被动模式这两种的节点之间的可通信接口。
能够使用专用地址空间以任意适合的形式(例如,内联网或外联网、局域网(LAN)、广域网(WAN)、无线局域网(WLAN)、虚拟局域网(VLAN)等)配置专用网络14。专用网络14和远程网络16能够属于相同的实体(例如,企业、教育组织、政府组织、非赢利组织等),并且能够配置成经由网络业务横跨本地网络和远程网络之间的广域网12来通信。远程网络16还能够以任意适合的形式被配置,并且能够是专用网络14的内联网或外联网的一部分。在其它实施例中,远程网络16能够配置为使用例如虚拟专用网络(VPN)配置经由互联网与专用网络14通信的另一个专用网络。
本文将资产50(1)-50(4)共同称作“网络资产50”,并且资产50(1)-50(4)能够包括以不同的等级由实体评价(例如,最高价值资产50(1)、中等价值资产50(2)和最低价值资产50(3))的诸如包含内容、资源和服务的服务器之类的网络元件。在图1中所示的示例中,由网络安全设备30(1)保护专用网络14中的资产50(1)-50(3),网络安全设备30(1)能够包括诸如网关、防火墙、入侵预防系统(IPS)、或其它适当的安全节点之类的网络元件,以阻止未授权的(例如,从主机20)到资产50的内部通信并且准许授权的内部通信。面向外部网络安全设备30(2)和30(3)还能够包括诸如网关、防火墙或IPS之类的网络元件,以控制在相应网络14和16中节点之间以及可通过广域网12访问的其它网路节点之间的通信。
本文将主机20(1)-20(n)共同称作“主机20”,并且一般能够配置为一种类型的网络节点,其包括但不限于网络中任意类型的终端点,诸如桌面计算机、服务器、膝上型电脑、移动电话、平板、或者可操作成在网络环境中交换信息的任意其它适合的设备、组件、元件或对象,其能够接收或与另一个节点建立连接,并且其具有网络地址(例如,互联网(IP)地址、媒体访问控制(MAC)地址)。
在一个示例实施例中,网络安全设备30、声誉服务器40、资产50和邮件网关&服务器60是网络元件,其是一种类型的网络节点,并且意味着包含网络装置、服务器、路由器、交换机、网关、桥、负载平衡器、防火墙、入侵预防系统(IPS)、处理器、模块或可操作成在网络环境中交换信息的任意其它适合的设备、组件、元件或对象。网络元件和主机可包括促进其操作的任意适合的硬件、软件、组件、模块、接口或对象。这可包括允许有效交换数据或信息的适当的算法和通信协议。
图1的元件可通过采用任意适合的(有线或无线)连接的一个或多个接口互相耦合,其提供用于电子通信的可行途径。另外,这些元件的任意一个或多个可基于具体配置需要被组合或从架构被移除。网络环境10可包括能够用于在网络中电子传送或接收分组的传输控制协议/互联网协议(TCP/IP)通信的配置。网络环境10还可在适当时并且基于具体需要,结合用户数据报协议/IP(UDP/IP)或任意其它适合的协议来操作。
关于本公开的各种实施例本文使用了某些术语。如本文使用的术语“数据”,指任意类型的数字、语音、视频、或手录数据、或任意类型的源代码或目标代码、或可在网络节点和/或网络中从一个点到另一个点被传送的以任意适当形式的任意其它信息。同样,注意到在本说明书中,在“一个实施例”、“示例实施例”、“实施例”、“另一个实施例”、“一些实施例”、“各种实施例”、“其它实施例”、“备选实施例”等中包括的对各种特征(例如,元件、结构、模块、组件、步骤、操作、特征等)的引用意图表示任意这样的特征被包括在本公开的一个或多个实施例中。
为了示出用于确定和使用用户和主机的本地声誉来保护网络资产的系统的操作方面的目的,重要的是理解在已知网络内发生的活动。下面的基本信息可被视作基础,从该基础可适当解释本公开。仅为了解释的目的而提供这样的信息,并且不应因此以任意方式被解释以限制本公开及其潜在应用的广义范围。
由企业或其它实体使用的典型网络环境包括使用例如互联网来访问连接到互联网的服务器上驻留的网页、发送或接收电子邮件(即,email)消息、与连接到互联网的终端用户或服务器交换文件、或者提供或接入连接到互联网的服务器上驻留的服务,与其它网络电子通信的能力。恶意用户连续开发新的手段,其使用互联网来散播恶意软件并且得到对专用网络和机密信息的访问。恶意软件常常被构思来暗中破坏网络内的主机,并且使用其用于诸如信息盗取之类的恶意活动。当然,恶意软件并不是对于网络中存储的信息的唯一风险。已合法访问专用网络的一些个人可能是有危害的,并且故意地违反可适用的法规和/或策略来传送(或尝试传送)信息。其它个人可能没有恶意目的,但是仍然可不经意地或无意中违反这样的法规和策略来传送信息。
对于实体的专用网络的潜在威胁能够在内部(例如,在内联网内)和外部(例如,从互联网)都存在。在外部,互联网能够包括除非信任的网站和潜在恶意网站之外的非信任的用户和潜在恶意用户。在内部,实体的专用网络可由合法的外来者访问,但是可能受限访问内联网,诸如实体的游客和订约人。另外,专用网络通常配置成允许其自己的用户具有访问其资产的不同的等级。至少一些所信任的用户一般可访问网络内的最高价值资产。因此,如果所信任的用户具有恶意动机,则这样的人能够通过简单的访问和公开所信任的、恶意用户被授权访问的危险信息或敏感信息潜在地引起重大的网络安全破坏。但是,甚至没有恶意意图的所信任的用户能够引起安全破坏。这样的用户能够具有危害的主机,和/或能够使用可用的技术犯错误,促进机密信息或敏感信息的不经意的公开。
管理专用网络中的风险能够是标识和评定对于网络的风险的、以及按用户的需要平衡风险以继续对于合法活动访问网络资源的耗时的过程。为了适当管理专用网络中的风险,应用到网络的策略应该基于资产的价值的功能以及在该资产上操作的风险等级。此外,必须按授权用户的需要来平衡策略以访问网络并且在网络中引导合法活动。因此,一些网络安全实现不可配置成触发对于能够被认为是风险的活动的策略违反(例如,在非值勤期间访问最高价值资产、在网络内将机密信息发送电子邮件给他人),而不是结论性的恶意或不合法。在这些类型的风险活动是触发策略违反的其它网络安全实现中,所检测的策略违反可简单导致生成警告,而允许风险活动继续。可将警告记录日志,或者将其发送给管理员以评估和采取适当动作,若被担保的话。因此,在这些情形中,风险的活动可继续,直到管理员认出问题(例如,涉及相同来源的不同类型的策略违反、重复的策略违反等)并且采取适当动作。
监视警告并且关联信息可能是繁重的,尤其是在较大网络中。从而,潜在的问题可能甚至不被标识,直到网络安全已被破坏(例如,公开了机密信息)。例如,可认为专用网络内协作雇员之间的包含机密信息的一封电子邮件是低风险活动,因为活动自身没有在实体外面公开机密信息。因此,这样的活动可简单触发要发送到管理员的警告。但是,包含机密信息的一系列电子邮件能够置实体于较大风险,但是触发警告的策略会一般地被静态地应用并且独立对于每封电子邮件实例。因此,将专用网络内的机密信息发送电子邮件能够继续,允许雇员积累和散布越来越多的机密信息,由此增加对于网络的风险,直到离散的警告被注意到并且依据管理员动作。
在一些网络环境中,在专用网络中管理风险通过指定对于由风险阈值等级表征的不同时间段要应用到网络元件的不同策略来完成。图2用图70示出这种方法,示出在示例网络中,作为时间的函数的网络风险,以及如何在由不同风险的等级表征的不同时间段期间应用不同策略。在图2中,沿着x轴描画的时间段的特征为所增加的效率71(低风险)、以一些代价来保护72(中等风险)、以及以最高代价来保护(高风险)。沿着y轴从高风险到低风险指示网络风险。图线75表示在各种时间段期间总体上对于网络的所确定的风险。因此,当对于网络的风险低时,较少限制的策略(P1)可被应用到网络,并且因此,该时间段由对于所增加的效率71的期望来表征,如允许网络中的用户和主机以最少限制来操作。当网络风险增加时,当对于网络的风险是中等时,可将中等限制的策略(P2)应用到网络,并且因此,该时间段由对于以一些代价来保护72的期望来表征。因此,策略(P2)可包括预防用户和主机执行网络内的某些功能的一些策略。最后,当对于网络的风险高时,在由以高代价来保护73的期望来表征的时间段期间,可将最多限制的策略(P3)应用到网络。因此,在这个时间段期间,策略可显著限制可适用于网络中的用户和主机的网络功能。
但是,用图2中所示方法的一个问题是在高风险时期高限制策略(P3)的应用,由于高限制策略(P3)可影响其应用的网络的所有主机和用户,而不只是产生风险的特定主机和/或用户。例如,如果由于可疑的活动被指示为僵尸网络攻击77(例如,夜间来自网络中的一个主机的许多连接尝试),因此对于网络的风险被确定为高,则最多限制的策略(P3)适用于所有主机及其用户,而不是检测到可疑活动来源的特定主机和/或用户。
用于确定和使用用户和主机的本地声誉来保护(如图1中所示的)网络环境中的信息的系统能够解决许多这些问题。图1示出本地声誉分数能够对于实体的网络的每个主机和/或每个用户被计算,并且能够用于动态选择、并且将策略应用到与主机和/或用户相关的网络通信、过程或两者的一个实施例。包括专门网络安全设备和具有其内并入策略驱动安全应用的主机的多个网络节点能够每个生成包含事件数据的事件通知,该事件数据标识与网络策略被违反的安全事件或者某些可接受的行为的信息事件相关的主机和用户。事件数据还能够包括其它信息,诸如标识触发了策略违反(例如,所采取的动作、由动作影响的信息等)的事件的事件指示符。附加地或备选地,事件数据储存库能够被扫描,被挖掘数据、或者对所记录日志的事件数据可选择地或有规则地抓取(即,所记录日志的、或者以其它方式所存储的、并且是关于专用网络的安全事件或信息事件的数据)。另外,还可对于特定事件数据搜索事件数据储存库。在扫描、数据挖掘、抓取或搜索期间发现的事件数据能够由声誉服务器40提取。能够由声誉服务器40将事件通知、所记录日志的事件数据或者其任意适合的组合进行聚合和关联,声誉服务器40能够随后确定对于每个主机和每个用户的本地声誉分数,所述每个主机和每个用户与所记录日志的事件数据和由事件通知表示的事件相关。声誉服务器40能够将主机和用户的本地声誉分数传送到可配置成保护网络资产50的网络安全设备,或者传送到配置成保护其自身的主机。网络安全设备能够评估与其已经接收的网络通信相关的主机和/或用户的本地声誉分数,并且基于本地声誉分数来动态选择要应用到网络通信的策略。类似地,主机能够评估其自身(或尝试访问第一主机的第二主机)、以及与主机上的处理相关的用户的本地声誉,并且基于本地声誉分数来动态选择要应用到该处理的策略。
图3用图80示出这种方法,描绘作为时间的函数的本地声誉分数,并且示出如何基于其本地声誉分数随时间将策略动态应用到具体主机和/或用户。本地声誉分数能够对于专用网络中与网络通信或主机处理相关的每个主机和/或用户提供历史的和/或行为的风险分数。能够由本地声誉分数表示的风险行为和历史的示例包括网络中涉及风险操作的用户、不遵循公司策略的用户、近来感染恶意软件的主机等。
在图3中,沿着x轴表示时间,并且沿着y轴表示本地声誉分数且范围从坏(低分)到好(高分)。第一图线81表示一段时间上的主机1的本地声誉分数,第二图线82表示相同的时间段上的主机2的本地声誉分数,并且第三图线83表示相同的时间段上的用户1的本地声誉分数。在图80中表示的时间段期间,主机1由第一策略(P1)覆盖,主机2由所有可用的策略(P1、P2和P3)覆盖,并且用户1由第一策略和第二策略(P1和P2)覆盖。随着用户和主机的本地声誉分数下降或上升,改变应用到其的策略。第一策略(P1)能够是当用户和主机的本地声誉分数好时,应用到其的较少限制的策略。第二策略(P2)能够是比第一策略(P1)稍微更多限制的策略,并且当用户1和主机2的本地声誉分数下降并且在好的分数和坏的分数之间时应用到其的策略。第三策略(P3)能够是最多限制的策略,并且当主机2的本地声誉分数下降到坏声誉分数阈值时应用到其的策略。网络安全设备30能够基于本地声誉分数来动态选择和应用策略。为了示出这个,在示例图80中由垂直线84表示的时刻t1时,基于时刻t1时的主机1、用户1和主机2的不同的本地声誉分数,将P1应用到主机1,将P2应用到用户1,并且将P3应用到主机2。
转到图4,图4是示出可与网络环境10的实施例的所选择的组件相关的附加细节的简化框图。图4还示出能够在网络环境10的专用网络14发生的网络通信流程的示例情境。图4包括主机20(1)和20(2)、网络安全设备30、声誉服务器40、网络资产50、事件数据储存库55和邮件网关&服务器60。主机20(1)和20(2)、邮件网关&服务器60、网络安全设备30和声誉服务器40每个包括相应的处理器21a-e和相应的存储器元件22a-e,并且另外可包括各种硬件、固件和/或软件元件以促进本文所述的操作。
更具体地,一些节点能够配置为网络环境10中的“事件检测节点”。在一个示例中,主机20(1)、20(2)、邮件服务器&网关60和网络安全设备30每个能够包括相应的事件代理23a-d和相应的策略模块24a-d以实现事件检测、以及事件通知和/或事件数据日志记录。另外,网络环境10中的一些节点还能够(或备选地)被配置为“安全节点”,诸如例如主机20(1)和网络安全设备30。主机20(1)包括主机保护模块26和本地声誉策略模块28以实现基于主机(包括主机20(1)自身)和用户的本地声誉分数将策略动态应用到主机20(1)上的处理。网络安全设备30能够包括网络保护模块36和本地声誉策略模块38以实现基于主机和用户的本地声誉分数将策略动态应用到网络通信。为了易于说明,仅在主机20(1)中示出主机保护模块26和本地声誉策略模块28。但是,专用网络中的任意主机能够配置有这些组件以由主机将本地声誉分数插入到(例如,网络通信和本地处理器的)策略评估中。类似地,诸如邮件网关&服务器60之类的其它网络元件为了由这些其它网络元件将本地声誉分数插入到(例如,网络通信的)策略评估中能够配置有与网络安全设备30的组件类似的组件。
声誉服务器40能够包括风险关联模块42和本地声誉分数模块44以实现接收包含事件数据的事件通知、从事件数据储存库55提取所记录日志的事件数据、关联在专用网络14中发生的事件的事件数据、以及确定和存储与事件相关的主机和用户的本地声誉分数。资产50表示专用网络14的任意网络资产(例如,最高价值资产50(1)、中等价值资产50(2)、最低价值资产50(3)、远程资产50(4))。由网络安全设备30保护资产50,网络设备30能够是保护专用网络14的资产的任意网络安全设备(例如,网络安全设备30(1)-(3))。
在图4中所示的示例组件中,每个策略模块24a-d能够包含在其关联的专用网络14的网络节点中实现的其自身的策略。在诸如主机20(1)、主机20(2)、邮件网关&服务器60和网络安全设备之类的相应的网络节点中,能够连同策略模块24a-d实现事件代理23a-d。每个事件代理23a-d能够配置成检测事件以标识与事件相关的主机和用户,并且生成包含事件数据的事件通知、并且/或者在事件数据储存库55中将事件数据记录日志。在一些实现中,事件代理23a-d还可确定与能够在事件数据中包括的所检测的事件相关的风险等级。
如本文所使用,“事件”指与专用网络中的主机也可能是用户相关的行为或活动,并且能够包括网络通信(例如,电子邮件、文件传输、访问网络服务器、发送消息、尝试网络连接等)和处理(例如,设置密码、将信息传输到诸如CD-ROM或USB棒之类的离线媒体、运行应用程序、系统处理等)。另外,事件能够是有关安全的或信息事件。当由专用网络中的网络节点(例如,能够使主机自身或另一个节点的事件检测节点)检测到与主机也可能是用户相关的风险行为并且该风险行为违反与网络节点相关的策略(例如,发送机密信息的电子邮件、将机密信息传送到诸如CD-ROM或USB棒之类的离线媒体、设置弱的密码、执行未知应用程序等)时,安全事件发生。风险事件能够同时在网络通信和主机上的处理中发生。当与主机也可能是用户相关的所接受的行为由网络节点(例如,能够是主机自身或另一个节点的事件检测节点)检测到时,信息事件发生,所述可接受的行为可能不被确定成违反网络节点的策略,并且被标识用于跟踪或记录日志。所接受的行为能够同时在网络通信和主机上的处理中发生。与安全事件和信息事件有关的事件数据可(例如,在事件数据储存库55中)被存储或被存档或被发送到特定位置(例如,事件通知被发送到声誉服务器40)。
被监视用于策略违反的专用网络14中的任意网络节点能够配置为事件检测节点,以生成包含事件数据的事件通知、并且/或者将事件数据记录日志。例如,通常被监视用于策略违反的专用网络中的网络节点能够包括主机(例如,台式机、膝上型电脑、服务器、移动电话、平板等)、装置、防火墙、路由器、网关等,并且这些节点的每个能够配置有检测事件的事件代理(例如,事件代理23a-d),以标识与事件相关的主机和用户、并且将事件通知发送到声誉服务器40、并且/或者将与所检测的事件有关的事件数据记录日志。
在示例实施例中,事件代理23a-d能够配置成在其对应的节点上与安全应用(例如,反病毒应用)合作以检测安全事件。例如,如果主机20(1)上的反病毒应用检测到与(例如,从USB棒下载的)程序文件对应的处理的策略违反,随后事件代理23a能够从策略违反检测到事件,标识主机20(1)的网络地址、标识主机上的处理拥有者(例如,登陆到主机20(1)的用户)的用户标识符,并且将事件通知发送到声誉服务器40、并且/或者在事件数据储存库55中将事件数据记录日志。在一些实施例中,事件代理23a还可确定与(例如,由策略模块24a指示的)特定策略违反相关的风险等级,然后在事件通知或在所记录日志的事件数据中包括该风险等级。
专用网络14中的一些事件检测节点可在诸如事件数据储存库55之类的储存库中存储与安全事件和/或信息事件有关的事件数据。事件数据储存库55能够在适合数据存储的任意存储器元件中被配置,并且意图包括分开的节点、附连到网络的存储装置(NAS)、存储区域网络、文件服务器等。事件数据储存库55还可意图包括存储器元件,所述存储器元件作为所记录日志的事件数据的本地储存库集成在事件检测节点中(例如,在主机20中、在邮件网关&服务器60中、在网络安全设备30中等)。具有本地事件数据储存库的事件检测节点可允许对其事件数据的远程访问,诸如来自声誉服务器40的远程访问。在事件数据储存库55中存储的数据能够包括与安全事件、信息事件、或者其任意适合的组合有关的数据,包括例如与特定行为和该行为的事件指示符相关的主机和用户的标识。因此,一些事件检测节点可以不实时传送安全事件和/或信息事件的事件数据,而是,可存储事件数据以由声誉服务器40后续访问。在一个示例实现中,将用于安全事件的事件数据经由事件通知发送到声誉服务器40,而将用于信息事件的事件数据在事件数据储存库55中存储或记录日志,并且后续由声誉服务器40提取。
邮件网关&服务器60能够促进专用网络14的内部和外部的邮件通信。另外,邮件网关&服务器60能够是事件检测节点,其配置有事件代理23c以检测诸如电子邮件消息之类的事件,标识与电子邮件业务相关的主机和用户,并且将事件通知发送到声誉服务器40,并且/或者将事件数据存储在事件数据储存库55中。邮件网关&服务器60还能够配置成使用诸如简单邮件传输协议(SMTP)之类的任意适合的协议。
声誉服务器40能够配置成从事件检测节点接收事件通知,从事件数据储存库提取安全事件数据和/或信息事件数据,或者其任意适合的组合。在一些实施例中,声誉服务器40能够从专用网络14中的多个事件检测节点(例如,主机20、网络安全设备30、邮件网关&服务器60等)实时接收事件通知。事件通知能够包括诸如主机和用户标识、以及引起策略范围的行为的指示符之类的安全事件数据。另外,声誉服务器40能够配置成从能够对于事件监测节点是本地或远程的一个或多个事件数据储存库(例如,事件数据储存库55)提取安全事件数据和/或信息事件数据。提取数据意图包括任意形式的检索、接收、取出或以其它方式获得数据。声誉服务器40能够是基于常规被安排以执行事件数据储存库55的扫描、引导任意适合的数据挖掘技术(例如,评价信息事件以确定它们是否与声誉分析有关)、抓取事件数据储存库、并且提取有关信息事件数据和安全事件数据。另外,能够对于特定信息搜索事件数据储存库55,并且任意这样的信息能够由声誉服务器40提取。例如,在一些情境中,如果风险关联模块42确定事件的可疑模式或潜在地或确定地有风险的活动的指示,则能够执行对于特定信息的事件数据储存库55上的搜索(例如,是否当前登录了特定用户),以证实存在对于网络的风险。如果证实了风险,则可因此调节相关主机和/或用户的本地声誉分数。
风险关联模块42关联与所检测的事件相关的风险以确定对于与该事件相关的每个主机和每个用户的本地声誉分数。能够在本地声誉分数模块44中存储本地声誉分数。在本地声誉分数模块44的一个实施例中,将主机的本地声誉分数映射到该主机的相应的网络地址(例如,IP地址、MAC地址)。类似地,能够将用户的本地声誉分数映射到用户的相应的用户标识符(例如,用户名)。
声誉分数能够表示用于提供对于专用网络中的主机和用户的本地声誉排名或评级机制的各种类型的标记、属性、值范围等。另外,这些分数能够包括绝对和相对的指示符。例如,在一个实施例中,主机或用户的声誉分数能够是在所定义的标度上的整数(例如,1-10)。在另一个实施例中,对于主机或用户的声誉分数能够是与对应主机或用户相关的安全事件和/或信息时间的位映射。因此,提供排名或评级机制的声誉分数的可能类型能够配置有不同的粒度以传达关于已经影响主机或用户的声誉的事件或条件的信息。
能够执行任意类型的关联技术以确定本地声誉分数。在一个实施例中,与专用网络或内联网相关的每个主机和每个用户能够以好的本地声誉分数开始。每次从声誉服务器40接收事件通知时,风险关联模块42能够基于与该事件相关的风险,调节与该事件相关的主机和用户的本地声誉分数。在一些实施例中,与事件相关的风险可以被量化(例如,作为风险等级),并且被包括在发送到声誉服务器40的事件通知的事件数据中、或者适当在事件数据储存库55中存储的事件数据中。在其它实施例中,事件通知能够简单标识事件(例如,事件指示符),然后声誉数据库40能够在接收到事件通知或者提取事件数据之后确定对于事件的风险等级。风险等级能够与分度标对应,使得对于事件的风险等级越大,与该事件相关的主机和用户的本地声誉分数就越低。
在一些实现中,某些类型的事件的事件数据可由声誉服务器40或在数据事件储存库55中随着时间聚合,使得风险关联模块42不基于这些类型的事件的事件数据来减少(或增加)本地声誉分数,直到所聚合的数到达预确定的阈值(例如,访问敏感数据的事件的阈值数),或者直到这些类型的事件与其它具体类型的事件组合(例如,访问敏感信息的事件与将敏感信息传送给他人的事件组合)。重要的是,不由安全应用触发立即补救或预防动作的重复的策略违反可无论如何最终使与这样的重复违反相关的主机和/或用户的本地声誉分数降低到预定义的阈值。一旦本地声誉分数已降低到预定义的阈值,则为了前摄地保护网络及其主机,可由安全节点(例如,网络安全设备30和主机20(1))应用策略以预防某些主机和/或用户的某些活动。
能够提供机制以允许授权用户(例如,网络管理员)随着某些风险行为平息,将用户或主机的本地声誉分数恢复到可接受的等级或者逐渐增加本地声誉分数。例如,能够将已获得坏本地声誉(例如,重复违反某些低风险公司策略),但是已经接收关于这些公司策略的后续培训的用户的本地声誉分数增加到中等本地声誉分数,直到经过某时间段而没有引起用户的本地声誉分数进一步降低的附加的事件数据。如果由重复的策略违反引起不好的本地声誉,则指示所增加的策略服从的动作还可服务于增加声誉。在这个实施例中,事件检测节点的事件代理23a-d可配置成当活动以不好的本地声誉分数与主机和/或用户相关时,检测服从某些策略的活动(网络通信和/或主机处理)。对于这些所检测的服从事件的事件数据可包括策略服从指示符、主机标识和用户标识,其能够被提供给声誉服务器40并且与其它事件数据关联。存在的主机和/或用户的不好的本地声誉分数能够因此被更新(例如,被增加,如果已检测到了服从事件的阈值数的话)。
网络安全设备30能够配置成消耗主机和用户的本地声誉,并且至少部分基于本地声誉来监视或控制网络通信。因此,网络安全设备30能够包括诸如例如,防火墙、入侵保护系统、网关、或者其它节点之类的任意适合的网络元件,配置有网络保护模块36以主动或被动将保护提供给专用网络14的网络资产50。例如,在一些实施例中,网络安全设备30能够被动监视网络通信并且提供事件的通知,其中管理员采取适当手动动作。这样的通知能够适合地被给予,或者被发送到特定位置(例如,声誉服务器40等),或者简单地被存储或被存档,并且/或者适当以任意适当形式被显示。在网络安全设备30配置成主动保护网络资产50的其它实施例中,网络安全设备30能够基于与网络通信相关的主机和/或用户的本地声誉分数,将策略动态应用到它接收的任意网络通信。网络安全设备30可与网络业务在线、或者诸如通过交换机上的镜像端口,拦截或接收网络业务的副本。在这种情况下,网络安全设备30可没有与其相关的网络地址(例如,没有IP地址、以及没有MAC地址)。
与网络通信和处理相关的主机和用户可需要由事件检测节点在检测事件时标识,并且由安全节点在消耗本地声誉作为对策略评价的输入时标识。能够使用各种技术来完成标识与网络通信相关的主机和用户。如果主机的网络地址是网络通信的源地址或目标地址,则主机能够与网络通信相关。因此,与网络通信相关的主机能够由网络地址标识,所述网络地址是网络通信的源地址或目标地址,诸如互联网协议(IP)地址或媒体访问控制(MAC)地址。
与网络通信相关的用户标识符能够由诸如例如由微软公司所拥有的Active目录服务、或远程认证拨入用户服务(RADIUS)之类外部带外机制到目录机制标识。在另一个示例中,用户标识符能够通过经由目录机制或用户的内部列表来强制用户登录以标识其用户名来发现。在又一个示例中,用户标识符能够使用主机防火墙机制被发现,在该主机防火墙机制中,主机代理与诸如防火墙(例如,网络安全设备30)之类的网络网关设备通过使用带外协议、或者通过使用密码安全密隐带内协议(其中信息被嵌入在TCP/IP/ICMP网络业务的冗余区域中)传送信息来共享处理信息(例如,处理拥有者或用户)和主机信息。
还可使用诸如发现网络通信中的用户名而不管加密之类的其它技术来确定用户。例如,文件传输协议(FTP)、超文本传输协议(HTTP)和即时消息传送协议能够具有为了确定与这些网络通信相关的用户能够被扫描的用户名和密码域。另外,即时消息传送、传输层安全(TLS)和安全套接层(SSL)协议能够由客户证书来标识用户。当前或之前网络通信内的密码认证还能够用于标识用户。在其它情境中,为了获得用户标识符能够强制用户登录。一旦被确定,则与网络地址相关的用户还能够用于从相同的网路地址标识后续的通信。
一旦已经确定了与网络通信相关的网络地址和用户标识符,则网络保护模块36能够与声誉服务器40通信以(例如,从本地声誉分数模块44)获得主机和用户的本地声誉分数。一旦接收了本地声誉分数,则网络保护模块36能够基于本地声誉分数来动态选择适当策略以应用到网络通信。不同的方法能够由网络保护模块36实现以基于本地声誉分数来动态选择适当的策略。在一个实施例中,本地声誉策略模块38能够提供策略到本地声誉分数的映射。如果主机和用户本地声誉分数都可适用于特定网络通信,并且分数不同,则在一个实施例中,网络保护模块36能够配置成应用与主机和用户本地声誉分数对应的最多限制的策略。在另一个实施例中,本地声誉策略模块38中的分开的策略规定能够规定用户和主机声誉分数,应用独立于彼此的策略。此外,能够与其它策略考虑评价本地声誉分数以选择要应用的适当的策略。
图4中示出的网络资产50能够包括将信息、资源或服务提供给专用网络14的用户的任意网络元件,并且可具有对于与专用网络相关的实体的不同等级值。例如,对于一些实体,被指定作为最高价值资产的资产(例如,高敏感数据)能够包括工程设计服务器、源代码服务器、财务服务器、公司“秘密武器”(例如,行业秘密信息)和面向外部的内容(即,表示实体并且对于实体的外来者可适用的内容)。在附加的示例中,被指定作为实体的中等价值资产的资产(例如,中等敏感度)能够包括公司电话本、公共文件服务器和公司web服务器(即,用户用于共享或散布诸如公司公告、博客、文件储存库等之类的信息的专用网络内部或内联网的服务器)。在又一个示例中,被指定作为低价值资产的资产能够包括没有被指定为最高价值或中等价值的其它资产,其甚至对于“有风险的”用户提供业务连续性。低价值资产的示例能够包括电子邮件服务器、帮助桌面和“how to”页面。
类似网络安全设备,为了控制或被动监视主机上的活动,主机20还能够配置成消耗主机和用户的本地声誉。例如,主机上的处理、以及由主机发送和接收的网络通信每个能够至少部分基于与主机和用户相关的本地声誉被监视或被控制。主机能够配置有主机保护模块26以提供这些监视和控制功能。主机保护模块26能够检测进入或输出的网络通信,并且能够基于主机自身的本地声誉分数、输出的网络通信的目标主机的本地声誉分数、进入的网络通信的起源主机的本地声誉分数、以及/或者与网络通信相关的用户的本地声誉分数(例如,用户发送或接收网络通信),将策略动态应用到网络通信。主机保护模块26还能够通过使用与该处理相关的主机和/或用户的本地声誉分数来监视或控制主机上的处理,诸如文件访问活动(例如,尝试访问计算机源代码或公司设计的处理)。在另一个示例中,如果与复制相关的主机或用户的本地声誉分数不充足,则主机保护模块26能够监视或控制主机自身内的文件复制、或者到离线媒体(例如,CD-ROM、USB棒等)的文件复制。能够由主机使用本地声誉分数作为输入来控制或监视的其它示例活动,包括对于加密和拒绝显示用于电子邮件的某些文件的要求(例如,在页眉具有“机密”消息的文件或电子邮件,对于显示所选择的特定文件夹等)。
与主机上的处理相关的主机和用户可需要被标识以使主机能够消耗其本地声誉作为到策略评价的输入。处理与该处理正在运行所在的主机相关,并且每个主机能够由网络地址(例如,IP地址或MAC地址)标识。用户还能够与处理相关作为其处理拥有者或者作为登录到主机上的用户。与主机的进入和输出的网络通信相关的主机和用户能够由网络通信的源地址和目标地址、或者如本文之前所述的任意其它适合的技术来标识。
在系统中能够发生的示例情境由图4中的流程线(1)到(10)示出。为了说明的目的,假设初始所有主机和用户以好的本地声誉分数开始。流程(1)表示来自登录到主机20(1)上的用户(“用户A”)的网络通信,以访问网络资产50。在该示例情境中,用户A尝试访问实体的最高价值资产,诸如公司财务服务器。网络安全设备30配置成将事件通知发送到声誉服务器40。在该情境中,用户A可被授权来访问公司财务服务器,但是策略模块24d可包括每次尝试访问最高价值资产之一时触发事件通知的策略。因此,由流程(2)指示,事件代理23d可将事件通知发送到标识用户A(例如,用户标识符)、主机20(1)(例如,网络地址)和事件(例如,事件指示符)的声誉服务器40。
网络安全元件30还可从声誉服务器40请求对于用户A和主机20(1)的本地声誉分数。由流程(3)指示,声誉服务器40将本地声誉分数发送到网络安全设备30。在该首次尝试访问公司财务服务器中,用户A和主机20(1)都具有好的本地声誉分数,并且因此,由流程(4)指示,网络安全设备30允许网络通信访问公司财务服务器。
在该示例情境中,在主机20(1)从公司财务服务器接收回信息之后,用户A通过电子邮件将公司财务信息发送到登录到主机20(2)上的另一个用户(“用户B”)。电子邮件由到电子邮件网关&服务器60的流程(5)表示,其具有用于检测违反其策略的电子邮件的事件代理23c和策略模块24c。如果策略模块24c包括由电子邮件违反的可适用的策略(例如,电子邮件不包含公司财务数据、电子邮件不能够包含来自最高价值资产的信息、用户A不能够发送公司财务数据的电子邮件、用户A不能够发送任意敏感信息的电子邮件、电子邮件必须被加密等),则事件代理23c可确定电子邮件的来源(例如,主机20(1)的网络地址和用户A的用户标识符)。由流程(6)指示,事件代理23c可随后将事件通知发送到声誉服务器40。事件通知能够包括指示主机20(1)、用户A和所检测的事件的事件数据。备选地,事件代理23c能够将事件数据存储在事件数据储存库55中,其能够相对于邮件网关&服务器60被本地或远程配置。
因为该情况中的策略违反不要求补救动作(即,没有阻止电子邮件),所以来自邮件网关&服务器60的流程(7)表示电子邮件被转发到主机20(2)上的用户B。如果用户A和B在项目上合作并且用户A继续从公司财务服务器检索信息并经由电子邮件将财务信息发送到用户B的这种模式,则网络安全设备30和邮件网关&服务器60能够继续将事件通知发送到标识用户A、主机20(1)和所检测的事件的声誉服务器40。在一些情境中,声誉服务器40还可从事件数据储存库55提取安全事件和/或信息事件的事件数据。风险关联模块42可关联在事件通知中被接收的事件数据以及从事件数据储存库55中被提取的事件数据以确定对于主机20(1)和用户A的本地声誉分数。
在接收到足够数的事件通知之后,其指示用户A通过访问机密信息并且内部发送该信息的电子邮件而重复违反数据丢失策略,被映射到主机20(1)的网络地址以及映射到用户A的用户标识符的本地声誉分数可减少足以使网络安全设备30拒绝由用户A和/或由主机20(1)对于公司财务服务器的进一步的访问。因此,如由流程(8)所示,如果用户A将另一个网络通信发送到网络安全设备30,则由流程(9)指示,网络安全设备30能够将另一个事件通知发送到声誉服务器40,并且如由流程(10)所示,声誉服务器40能够将用户A和主机20(1)减少的本地声誉分数发送回网络安全设备30。网络保护模块36可随后确定:本地声誉策略模块38中的策略要求阻止与具有满足某个阈值的本地声誉分数的主机和/或用户相关的网络通信。因此,如果主机20(1)的本地声誉分数,和/或如果用户A的本地声誉分数满足策略的阈值,则在该示例情境中,由流程(8)指示的网络通信可由网络安全设备30阻止。用户A的声誉的减少有助于保护网络,假设在一个情形中已经以风险方式动作的用户还可能以其它方式动作。例如,如果在该活动之后,用户A犯错误并且将其登录证书暴露给恶意用户C,则这些证书将不再有助于暴露公司财务数据。
回到图5,图5示出用于确定和使用用户和主机的本地声誉分数来保护网络环境中的信息的总系统流程500。流程500在502开始,其中专用网络或内联网中的事件代理(例如,主机20(1)、主机20(2)、邮件网关&服务器60和网络安全设备30上相应的事件代理23a-d)检测其相应的事件检测节点上的事件。事件检测节点能够是来自行为起源的主机(“起源主机”)或者从起源主机接收网络通信的节点。事件代理能够在专用网络内的多个网络节点上配置以检测事件,并且由此作为事件检测节点的功能。另外,这些事件代理(例如,事件代理23a-d)能够作为横跨网络的网络通信、作为在起源主机上发生的其它有风险的和可接受的活动、以及作为监视这些网络通信和活动的安全应用同时来操作。
在504,事件代理能够由与所检测的事件相关的网络地址和用户标识符相应地标识主机和用户。在506,具有所检测的事件的事件代理能够将包含事件数据的事件通知发送到声誉服务器40,其中每个事件通知包括主机标识(例如,IP地址、MAC地址),用户标识(例如,用户名)和事件指示符。备选地或者附加地,这些事件代理能够将事件数据存储在事件数据储存库55中。事件指示符能够简单标识关于违反策略的事件。在一些实现中,事件数据能够包括分配到所检测的事件的量化的风险等级。例如,风险等级能够是被映射到事件检测节点的策略模块(例如,策略模块24a-d)中的每个策略。
在508,声誉服务器40可从专用网络中的各种事件检测节点接收事件通知,并且风险关联模块42可按用户和按主机来关联来自事件通知的事件数据。另外,声誉服务器40可提取用于安全事件和/或例如在事件数据储存库55中已由事件检测节点记录日志的信息事件的事件数据。该所提取的事件数据还可被包括在关联中。基于该关联,在510,对于在事件通知中标识的、和/或被关联的事件数据所提取的每个主机和每个用户,在本地声誉分数模块44中相应的本地声誉分数能够被更新。
本地声誉分数能够在专用网络中的网络安全设备上被消耗以控制或被动监视网络通信。在512,网络安全设备30可从专用网络中的主机接收网络通信。在接收到网络通信之后,网络安全设备30的网络保护模块36能够例如从指示网络通信来源的网络通信中的IP地址标识主机。还可例如,如本文之前所述,使用外部频带外机制(例如,Active Directory或Radius)、通过目录机制或内部的用户列表来强制用户登录以标识其用户名的防火墙、或者主机防火墙机制,来标识与网络通信相关的用户的身份。一旦主机和用户被标识,则在514网络安全设备30能够获得对于所标识的主机和用户的本地声誉分数。在516,声誉服务器40提供与网络通信相关的主机和用户的本地声誉分数。在518,网络安全设备30的网络保护模块36能够基于主机和用户的本地声誉分数,动态选择来自本地声誉策略模块38的策略并且将其应用到网络通信。备选地,网络安全设备30能够被动监视网络通信并且提供事件通知,由此允许管理员采取适当手动动作。
本地声誉分数还可由能够控制或监视进入和输出的网络通信和主机处理的主机来消耗,并且还能够将其它策略本地应用到主机。在522,主机20(1)的主机保护模块26可检测处理(例如,数据尝试被写入到USB棒)或进入和输出的网络通信。主机保护模块26能够使用其IP地址或MAC地址来标识主机20(1)作为与该过程相关的主机。还可例如,如本文之前所述,通过标识处理的处理拥有者、通过标识已经登录到主机20(1)的用户、或者通过经由目录机制或内部的用户列表来强制用户登录以标识其用户名,标识与处理相关的用户的身份。可如本文之前所述标识与网络通信相关的主机和用户。一旦主机和用户被标识,则在524,主机20(1)能够获得对于所标识的主机和用户的本地声誉分数。在526,声誉服务器40提供与所检测的处理或网络通信相关的主机和用户的本地声誉分数。在528,网络安全设备30的主机保护模块36能够基于相关主机和用户的本地声誉分数,动态选择来自本地声誉策略模块28的策略并且将其应用到该处理或网络通信。备选地,主机20(1)能够被动监视处理和/或网络通信,并且提供事件通知,由此允许管理员采取适当手动动作。
转到图6,图6示出对于具体主机和用户可在专用网络14的声誉服务器40中执行的操作的更具体的流程600。流程600在602开始,其中声誉服务器40从专用网络14中的事件检测节点的事件代理(例如,事件代理23a-d)接收事件通知。这些事件通知能够从任意数量的网络节点接收,所述任意数量的网络节点配置有包括事件代理和策略模块的安全应用,并且能够包括主机标识、用户标识和事件的事件指示符。在603,声誉服务器40可从一个或多个事件储存库(例如,事件数据储存库55)提取事件数据,其能够基于常规或按需要来执行。此外,声誉服务器40能够通过接收事件通知、通过提取事件数据、或者通过其任意适合的组合来获得对于主机和用户的事件数据。在604,事件数据可按主机和按用户被关联。在606,风险关联模块42随后更新对于用户的本地声誉分数和对于主机的本地声誉分数。
在608,能够做出对于主机或用户的本地声誉分数是否改变的确定。如果本地声誉分数的至少之一已经改变,则流程能够经至610,在此可采取适当动作,例如,将变化记录日志、警告网络管理员该变化,或者报告该变化。一旦已采取了适当动作,或者如果对于用户和主机的本地声誉分数没有变化,则流程能够经至612,在此声誉服务器40从安全节点(例如,网络安全设备30、主机20(1))接收对于主机和/或用户的本地声誉分数的请求。在614,声誉服务器40能够将来自本地声誉分数模块44的适当本地声誉分数发送到请求安全节点。因此,请求安全节点能够使用分数将策略动态应用到网络通信或处理,或者能够被动监视网络通信或处理、并且发送适当警告。
在示例实现中,与本文论述的用于确定和使用用户和主机的本地声誉来保护网络环境中的信息的系统有关的活动的至少一些部分可以以例如事件代理23a-d、风险关联模块42、主机保护模块26和网络保护模块36中的软件来实现。在一些实施例中,为了提供用于确定和使用用户和主机的本地声誉来保护信息的该系统,能够从web服务器接收或下载该软件,或者在计算机可读媒体上提供该软件。在一些实施例中,这些特征的一个或多个可以以在这些元件以外的所提供的硬件来实现,或者以任意适当方式被合并以实现所意图的功能性。
另外,本文所述和所示的系统的实施例还可包括用于在诸如网络环境10之类的网络环境中接收、传送和/或以其它方式传送数据或信息的适合的接口。另外,与各种网络元件相关的一些处理器和存储器元件可被移除,或者以其它方式被合并,使得单个的处理器和单个的存储器位置负责某些活动。备选地,某些处理功能能够被分开,并且分开的处理器和/或物理机器能够实现各种功能性。在一般意义中,图中描绘的布置可以是在其表示中更合乎逻辑的,而物理架构可包括这些元件的各种排列、组合和/或混合。有必要注意,无数可能的设计配置能够用于实现本文论述的操作目标。因此,所相关的基础设施具有千变万化的替代布置、设计机会、设备可能性、硬件配置、软件实现、装备选项等。
在一些示例实施例中,一个或多个存储器元件(例如,存储器元件22a-e)能够存储本文所述的用于信息保护操作的数据。这包括能够存储被执行以实施本说明书中所述的活动的指令(例如,软件、逻辑、代码等)的存储器元件。处理器能够执行与数据相关的任意类型的指令以实现本文详述的操作。在一个示例中,一个或多个处理器(例如,处理器21a-e)能够将元件或物件(例如,数据)从一种状态或东西变换到另一状态或东西。在另一个示例中,本文论述的功能可以以固定逻辑或可编程逻辑(例如,由处理器执行的软件/计算机指令)来实现,并且本文标识的元件能够是一些类型的可编程处理器、可编程数字逻辑(例如,现场可编程门阵列(FPGA)、可擦除可编程只读存储器(EPROM)、电可擦除可编程只读存储器(EEPROM))、包括数字逻辑的ASIC、软件、代码、电子指令、闪存、光盘、CD-ROM、DVD-ROM、磁或光卡、适合存储电子指令的其它类型的机器可读媒体、或其任意组合。
网络环境10的组件(例如,主机20、网络安全设备30、声誉服务器40、资产50、邮件网关&服务器60)可在任意适合类型的存储器(例如,随机访问存储器(RAM)、只读存储器(ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)等)、软件、硬件中,或者在任意其它适合的组件、设备、元件或对象中在适当时且基于具体需要来保留信息。本文所讨论的任意存储器项目(例如,存储器元件22a-e、策略模块24a-d、本地声誉策略模块28、本地声誉分数模块44、本地声誉策略模块38,事件数据储存库55)应被解释为被包含在广义术语“存储器元件”内。由网络环境10读取、使用、跟踪、发送、传送、传输、存储、更新、或者接收的信息能够在任意数据库、寄存器、队列、表、高速缓存、控制列表或其它存储结构中被提供,其全部能够在任意适合的时间框架被引用。任意这样的存储选项可被包括在如本文所使用的广义术语“存储器元件”内。类似地,本说明书所述的任意潜在的处理元件、模块和机器应被解释为被包含在广义术语“处理器”内。
附加的硬件没有在图中示出,其可以以存储器管理单元(MMU)、附加的对称多处理(SMP)元件、物理存储器、外围组件互联(PCI)总线和对应的桥、小型计算机系统接口(SCSI)/电子集成驱动器(IDE)元件等的形式适合耦合到处理器21a-e和其它组件。图1和4的网络元件和主机(例如,主机20(1)-(n),网络安全设备30、声誉服务器40、邮件网关&服务器60)可包括促进其操作的任意附加的适合的硬件、软件、组件、模块、接口或对象。这可包括允许数据的有效保护和通信的适当算法和通信协议。另外,任意适合的操作系统还可在网络元件和主机中配置以适当管理其中硬件组件的操作。
注意到,用本文提供的许多示例,可关于两个、三个、四个或更多网络元件和主机来描述交互。但是,仅为了清晰和示例的目的已完成了本文。应理解,系统能够以任意适合的形式被合并。随着类似的设计备选,任意所示出的图的计算机、模块、组件和元件可以以各种可能的配置被组合,其全部清晰地在本说明书的广义范围内。在某些情形中,(例如,如图4中)它可仅通过参考有限数量的网络元件和主机来更易于描述已知流程组的一个或多个功能性。应理解,如图中所示,用于确定和使用用户和主机的本地声誉来保护网络信息的系统及其教导易于可扩展,并且能够适应大量的组件,以及更复杂/更精密的布置和配置。因此,所提供的示例随着潜在被应用到千变万化的其它架构,不应限定范围或禁止系统的广义教导。
还重要的是注意到,参考前面的图所述的操作和步骤仅示出可由系统或在系统内执行的一些可能的情境。这些操作的一些可在适当时被删除或被移除,或者这些步骤可在不偏离所讨论的概念的范围内被显著地修改或改变。另外,这些操作的时机可显著地被变更,并且仍然实现本公开所教导的结果。为了示例和讨论的目的提供了前面的操作流程。由系统提供基本灵活性,在该系统中可不偏离所讨论的概念的教导提供任意适合的布置、时序、配置和定时机制。
对于本领域的技术人员可分清许多其它变化、替代、变更、备选和修改,并且意图本公开包含所有这些变化、替代、变更、备选和修改作为落到所附权利要求的范围内。
Claims (38)
1.至少一个机器可读媒体,具有存储在其上的指令,所述指令当由处理器执行时,使所述处理器:
关联来自专用网络的第一组事件数据;
基于所述第一组事件数据的关联来确定所述专用网络中的主机的本地声誉分数;并且
将所述主机的本地声誉分数提供给安全节点,
其中,所述安全节点配置成基于所述主机的本地声誉分数将策略应用到与所述主机相关的网络通信。
2.如权利要求1所述的媒体,其中,将所述主机的本地声誉分数映射到所述主机的网络地址。
3.如权利要求2所述的媒体,其中,所述第一组事件数据包括在所述专用网络中相应表示一个或多个事件的一个或多个事件指示符,其中,所述一个或多个事件的每个与所述主机的网络地址相关。
4.如权利要求2所述的媒体,其中,所述主机的网络地址是所述网络通信的源地址和目标地址之一。
5.如权利要求1所述的媒体,其中,所述指令当由所述处理器执行时,还使所述处理器:
基于来自所述专用网络的第二组事件数据的关联来确定用户的本地声誉分数;并且
如果所述网络通信与所述用户相关,则将所述用户的本地声誉分数提供给所述安全节点。
6.如权利要求5所述的媒体,其中,当基于所述主机的本地声誉分数的策略比基于所述用户的本地声誉分数的不同策略更多限制时,将基于所述主机的本地声誉分数的策略应用到所述网络通信。
7.如权利要求5所述的媒体,其中,将所述用户的本地声誉分数映射到所述用户的用户标识符。
8.如权利要求7所述的媒体,其中,所述第二组事件数据包括在所述专用网络中相应表示一个或多个事件的一个或多个事件指示符,其中,所述一个或多个事件的每个与所述用户标识符相关。
9.如权利要求1所述的媒体,其中,所述专用网络包括具有一个或多个远程网络的内联网。
10.如权利要求1所述的媒体,其中,从接收自所述专用网络中的至少一个事件检测节点的一个或多个事件通知来选择所述第一组事件数据的至少一部分。
11.如权利要求1所述的媒体,其中,从所述专用网络中的事件数据储存库提取所述第一组事件数据的至少一部分,其中,一个或多个事件检测节点配置成将所述第一组事件数据存储在所述事件数据储存库中。
12.如权利要求1所述的媒体,其中,所述安全节点是网络安全设备和主机之一。
13.一种方法,包括:
关联来自专用网络的第一组事件数据;
基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数;以及
将所述主机的本地声誉分数提供给安全节点,
其中,所述安全节点基于所述主机的本地声誉分数将策略应用到与所述主机相关的网络通信。
14.如权利要求13所述的方法,其中,将所述主机的本地声誉分数映射到所述主机的网络地址。
15.如权利要求14所述的方法,其中,所述第一组事件数据包括在所述专用网络中相应表示一个或多个事件的一个或多个事件指示符,其中,所述一个或多个事件的每个与所述主机的网络地址相关。
16.如权利要求14所述的方法,其中,所述主机的网络地址是所述网络通信的源地址和目标地址之一。
17.如权利要求13所述的方法,还包括:
基于关联来自所述专用网络的第二组事件数据来确定用户的本地声誉分数;以及
如果所述网络通信与所述用户相关,则将所述用户的本地声誉分数提供给所述安全节点。
18.如权利要求17所述的方法,其中,当基于所述主机的本地声誉分数的策略比基于所述用户的本地声誉分数的不同策略更多限制时,将基于所述主机的本地声誉分数的策略应用到所述网络通信。
19.如权利要求17所述的方法,其中,将所述用户的本地声誉分数映射到所述用户的用户标识符。
20.如权利要求19所述的方法,其中,所述第二组事件数据包括在所述专用网络中相应表示一个或多个事件的一个或多个事件指示符,其中,所述一个或多个事件的每个与所述用户标识符相关。
21.如权利要求13所述的方法,其中,所述专用网络包括具有一个或多个远程网络的内联网。
22.如权利要求13所述的方法,其中,从接收自所述专用网络中的至少一个事件检测节点的一个或多个事件通知来选择所述第一组事件数据的至少一部分。
23.如权利要求13所述的方法,其中,从所述专用网络中的事件数据储存库提取所述第一组事件数据的至少一部分,其中,一个或多个事件检测节点将所述第一组事件数据存储在所述事件数据储存库中。
24.如权利要求13所述的方法,其中,所述安全节点是网络安全设备和主机之一。
25.一种方法,包括:
关联来自专用网络的第一组事件数据;
基于所述关联所述第一组事件数据来确定所述专用网络的用户的本地声誉分数;以及
将所述用户的本地声誉分数提供给安全节点,
其中,所述安全节点基于所述用户的本地声誉分数将策略应用到与所述用户相关的网络通信。
26.如权利要求25所述的方法,其中,将所述用户的本地声誉分数映射到所述用户的用户标识符。
27.如权利要求26所述的方法,其中,所述第一组事件数据包括在所述专用网络中相应表示一个或多个事件的一个或多个事件指示符,其中,所述一个或多个事件的每个与所述用户的用户标识符相关。
28.如权利要求25所述的方法,其中,所述专用网络中的主机上的处理发起了所述网络通信,并且其中,所述处理的处理拥有者与所述用户的用户标识符对应。
29.如权利要求25所述的方法,还包括:
基于关联来自所述专用网络的第二组事件数据来确定所述专用网络中的主机的本地声誉分数;以及
如果所述网络通信与所述主机相关,则将所述主机的本地声誉分数提供给所述安全节点,
其中,将所述主机的本地声誉分数映射到所述主机的网络地址。
30.一种装置,包括:
存储器元件,配置成存储数据;
处理器,可操作以执行与所述数据相关的指令;以及
风险关联模块,配置成与所述存储器元件和所述处理器接口以:
关联来自专用网络的第一组事件数据;
基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数;并且
将所述主机的本地声誉分数提供给安全节点,
其中,所述安全节点配置成基于所述主机的本地声誉分数将策略应用到与所述主机相关的网络通信。
31.如权利要求30所述的装置,其中,将所述主机的本地声誉分数映射到所述主机的网络地址。
32.如权利要求30所述的装置,其中,所述装置还配置成:
基于关联来自所述专用网络的第二组事件数据来确定用户的本地声誉分数;并且
如果所述网络通信与所述用户相关,则将所述用户的本地声誉分数提供给所述网络安全节点。
33.一种方法,包括:
关联来自专用网络的第一组事件数据;
基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数;以及
将所述主机的本地声誉分数提供给所述主机,
其中,基于所述主机的本地声誉分数来选择策略,并且其中,将所述策略应用到由所述主机检测的处理。
34.如权利要求33所述的方法,其中,所述处理包括将文件复制到连接到所述主机的离线媒体。
35.如权利要求33所述的方法,还包括:
基于关联第二组事件数据来确定用户的本地声誉分数;以及
如果所述用户是所述处理的处理拥有者,则将所述用户的本地声誉分数提供给所述主机。
36.如权利要求35所述的方法,其中,当基于所述主机的本地声誉分数的策略比基于所述用户的本地声誉分数的不同策略更多限制时,将基于所述主机的本地声誉分数的策略应用到所述处理。
37.至少一个机器可读媒体,包括指令,所述指令当被执行时,实现如权利要求25-29中任一项所要求的方法。
38.至少一个机器可读媒体,包括指令,所述指令当被执行时,实现如权利要求33-36中任一项所要求的方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/443,865 US8931043B2 (en) | 2012-04-10 | 2012-04-10 | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| US13/443865 | 2012-04-10 | ||
| PCT/US2013/036053 WO2013155239A1 (en) | 2012-04-10 | 2013-04-10 | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN104380657A true CN104380657A (zh) | 2015-02-25 |
Family
ID=49293365
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201380017286.8A Pending CN104380657A (zh) | 2012-04-10 | 2013-04-10 | 用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (2) | US8931043B2 (zh) |
| EP (1) | EP2837131B1 (zh) |
| CN (1) | CN104380657A (zh) |
| WO (1) | WO2013155239A1 (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639566A (zh) * | 2015-03-10 | 2015-05-20 | 四川省宁潮科技有限公司 | 基于带外身份认证的交易授权方法 |
| CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
| CN111404960A (zh) * | 2020-03-26 | 2020-07-10 | 军事科学院系统工程研究院网络信息研究所 | 应用于天地一体化网络接入管控系统的属性提取方法 |
Families Citing this family (153)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
| US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
| US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
| US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
| US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| US8763114B2 (en) | 2007-01-24 | 2014-06-24 | Mcafee, Inc. | Detecting image spam |
| US8776168B1 (en) * | 2009-10-29 | 2014-07-08 | Symantec Corporation | Applying security policy based on behaviorally-derived user risk profiles |
| US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
| US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
| US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| US9106680B2 (en) | 2011-06-27 | 2015-08-11 | Mcafee, Inc. | System and method for protocol fingerprinting and reputation correlation |
| US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
| US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
| US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
| US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| US20130297552A1 (en) * | 2012-05-02 | 2013-11-07 | Whistle Talk Technologies Private Limited | Method of extracting knowledge relating to a node in a distributed network |
| US9055420B2 (en) * | 2012-06-25 | 2015-06-09 | International Business Machines Corporation | Mediation and presentation of communications |
| US8819772B2 (en) * | 2012-06-25 | 2014-08-26 | Appthority, Inc. | In-line filtering of insecure or unwanted mobile device software components or communications |
| US8973146B2 (en) | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
| US9286047B1 (en) | 2013-02-13 | 2016-03-15 | Cisco Technology, Inc. | Deployment and upgrade of network devices in a network environment |
| US9021599B2 (en) * | 2013-03-13 | 2015-04-28 | Google Inc. | Protecting privacy via a gateway |
| EP3537324B1 (en) | 2013-03-15 | 2022-03-16 | Intel Corporation | Technologies for secure storage and use of biometric authentication information |
| WO2014142947A1 (en) | 2013-03-15 | 2014-09-18 | Intel Corporation | Continuous authentication confidence module |
| US9590966B2 (en) | 2013-03-15 | 2017-03-07 | Intel Corporation | Reducing authentication confidence over time based on user history |
| US20140380423A1 (en) * | 2013-06-24 | 2014-12-25 | Avaya Inc. | System and method for dynamically awarding permissions |
| US9335897B2 (en) | 2013-08-08 | 2016-05-10 | Palantir Technologies Inc. | Long click display of a context menu |
| US9578052B2 (en) | 2013-10-24 | 2017-02-21 | Mcafee, Inc. | Agent assisted malicious application blocking in a network environment |
| US10356032B2 (en) | 2013-12-26 | 2019-07-16 | Palantir Technologies Inc. | System and method for detecting confidential information emails |
| US9338013B2 (en) | 2013-12-30 | 2016-05-10 | Palantir Technologies Inc. | Verifiable redactable audit log |
| US8832832B1 (en) * | 2014-01-03 | 2014-09-09 | Palantir Technologies Inc. | IP reputation |
| US10361927B2 (en) * | 2014-01-14 | 2019-07-23 | International Business Machines Corporation | Managing risk in multi-node automation of endpoint management |
| US9342690B2 (en) | 2014-05-30 | 2016-05-17 | Intuit Inc. | Method and apparatus for a scoring service for security threat management |
| US20150304343A1 (en) | 2014-04-18 | 2015-10-22 | Intuit Inc. | Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment |
| US9325726B2 (en) | 2014-02-03 | 2016-04-26 | Intuit Inc. | Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment |
| US9760713B1 (en) * | 2014-02-27 | 2017-09-12 | Dell Software Inc. | System and method for content-independent determination of file-system-object risk of exposure |
| WO2015138506A1 (en) * | 2014-03-11 | 2015-09-17 | Vectra Networks, Inc. | A system and method for detecting intrusions through real-time processing of traffic with extensive historical perspective |
| US9503477B2 (en) * | 2014-03-27 | 2016-11-22 | Fortinet, Inc. | Network policy assignment based on user reputation score |
| US9917851B2 (en) | 2014-04-28 | 2018-03-13 | Sophos Limited | Intrusion detection using a heartbeat |
| US9807182B2 (en) * | 2014-04-28 | 2017-10-31 | Palo Alto Networks, Inc. | Determination of user reputation regarding data object exposure in cloud computing environments |
| US10122753B2 (en) | 2014-04-28 | 2018-11-06 | Sophos Limited | Using reputation to avoid false malware detections |
| US20150341357A1 (en) * | 2014-05-23 | 2015-11-26 | Intuit Inc. | Method and system for access control management using reputation scores |
| US9535974B1 (en) | 2014-06-30 | 2017-01-03 | Palantir Technologies Inc. | Systems and methods for identifying key phrase clusters within documents |
| US9619557B2 (en) | 2014-06-30 | 2017-04-11 | Palantir Technologies, Inc. | Systems and methods for key phrase characterization of documents |
| US9256664B2 (en) | 2014-07-03 | 2016-02-09 | Palantir Technologies Inc. | System and method for news events detection and visualization |
| US9369484B1 (en) * | 2014-07-24 | 2016-06-14 | Rockwell Collins, Inc. | Dynamic security hardening of security critical functions |
| US9848005B2 (en) | 2014-07-29 | 2017-12-19 | Aruba Networks, Inc. | Client reputation driven role-based access control |
| US9419992B2 (en) | 2014-08-13 | 2016-08-16 | Palantir Technologies Inc. | Unwanted tunneling alert system |
| US9537841B2 (en) | 2014-09-14 | 2017-01-03 | Sophos Limited | Key management for compromised enterprise endpoints |
| WO2016038397A1 (en) * | 2014-09-14 | 2016-03-17 | Sophos Limited | Labeling computing objects for improved threat detection |
| US9967282B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling computing objects for improved threat detection |
| US10965711B2 (en) | 2014-09-14 | 2021-03-30 | Sophos Limited | Data behavioral tracking |
| US10122687B2 (en) | 2014-09-14 | 2018-11-06 | Sophos Limited | Firewall techniques for colored objects on endpoints |
| US9967264B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Threat detection using a time-based cache of reputation information on an enterprise endpoint |
| US9965627B2 (en) | 2014-09-14 | 2018-05-08 | Sophos Limited | Labeling objects on an endpoint for encryption management |
| US9992228B2 (en) | 2014-09-14 | 2018-06-05 | Sophos Limited | Using indications of compromise for reputation based network security |
| US9967283B2 (en) * | 2014-09-14 | 2018-05-08 | Sophos Limited | Normalized indications of compromise |
| US9043894B1 (en) | 2014-11-06 | 2015-05-26 | Palantir Technologies Inc. | Malicious software detection in a computing system |
| US9124622B1 (en) | 2014-11-07 | 2015-09-01 | Area 1 Security, Inc. | Detecting computer security threats in electronic documents based on structure |
| IN2014MU04068A (zh) | 2014-12-18 | 2015-06-05 | Cyberoam Technologies Pvt Ltd | |
| DE102014226398A1 (de) * | 2014-12-18 | 2016-06-23 | Siemens Aktiengesellschaft | Verfahren und Vorrichtung zum rückwirkungsfreien Erfassen von Daten |
| US9648036B2 (en) | 2014-12-29 | 2017-05-09 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US9467455B2 (en) | 2014-12-29 | 2016-10-11 | Palantir Technologies Inc. | Systems for network risk assessment including processing of user access rights associated with a network of devices |
| US10944764B2 (en) * | 2015-02-13 | 2021-03-09 | Fisher-Rosemount Systems, Inc. | Security event detection through virtual machine introspection |
| US10848485B2 (en) | 2015-02-24 | 2020-11-24 | Nelson Cicchitto | Method and apparatus for a social network score system communicably connected to an ID-less and password-less authentication system |
| US11122034B2 (en) * | 2015-02-24 | 2021-09-14 | Nelson A. Cicchitto | Method and apparatus for an identity assurance score with ties to an ID-less and password-less authentication system |
| US11171941B2 (en) | 2015-02-24 | 2021-11-09 | Nelson A. Cicchitto | Mobile device enabled desktop tethered and tetherless authentication |
| US10367842B2 (en) * | 2015-04-16 | 2019-07-30 | Nec Corporation | Peer-based abnormal host detection for enterprise security systems |
| US10681060B2 (en) * | 2015-05-05 | 2020-06-09 | Balabit S.A. | Computer-implemented method for determining computer system security threats, security operations center system and computer program product |
| US10374904B2 (en) | 2015-05-15 | 2019-08-06 | Cisco Technology, Inc. | Diagnostic network visualization |
| US9800497B2 (en) | 2015-05-27 | 2017-10-24 | Cisco Technology, Inc. | Operations, administration and management (OAM) in overlay data center environments |
| US10033766B2 (en) * | 2015-06-05 | 2018-07-24 | Cisco Technology, Inc. | Policy-driven compliance |
| US10089099B2 (en) | 2015-06-05 | 2018-10-02 | Cisco Technology, Inc. | Automatic software upgrade |
| US10536357B2 (en) | 2015-06-05 | 2020-01-14 | Cisco Technology, Inc. | Late data detection in data center |
| US9967158B2 (en) | 2015-06-05 | 2018-05-08 | Cisco Technology, Inc. | Interactive hierarchical network chord diagram for application dependency mapping |
| US10142353B2 (en) | 2015-06-05 | 2018-11-27 | Cisco Technology, Inc. | System for monitoring and managing datacenters |
| US9407652B1 (en) | 2015-06-26 | 2016-08-02 | Palantir Technologies Inc. | Network anomaly detection |
| US9456000B1 (en) | 2015-08-06 | 2016-09-27 | Palantir Technologies Inc. | Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications |
| US9537880B1 (en) | 2015-08-19 | 2017-01-03 | Palantir Technologies Inc. | Anomalous network monitoring, user behavior detection and database system |
| US9454564B1 (en) | 2015-09-09 | 2016-09-27 | Palantir Technologies Inc. | Data integrity checks |
| US10193868B2 (en) * | 2015-09-10 | 2019-01-29 | Bae Systems Information And Electronic Systems Integration Inc. | Safe security proxy |
| US9935981B2 (en) | 2015-09-18 | 2018-04-03 | International Business Machines Corporation | Dynamic tuple for intrusion prevention systems |
| US10079835B1 (en) * | 2015-09-28 | 2018-09-18 | Symantec Corporation | Systems and methods for data loss prevention of unidentifiable and unsupported object types |
| US10148694B1 (en) * | 2015-10-01 | 2018-12-04 | Symantec Corporation | Preventing data loss over network channels by dynamically monitoring file system operations of a process |
| US10044745B1 (en) | 2015-10-12 | 2018-08-07 | Palantir Technologies, Inc. | Systems for computer network security risk assessment including user compromise analysis associated with a network of devices |
| US9888039B2 (en) | 2015-12-28 | 2018-02-06 | Palantir Technologies Inc. | Network-based permissioning system |
| US9916465B1 (en) | 2015-12-29 | 2018-03-13 | Palantir Technologies Inc. | Systems and methods for automatic and customizable data minimization of electronic data stores |
| WO2017142799A2 (en) * | 2016-02-15 | 2017-08-24 | Michael Wood | System and method for blocking persistent malware |
| US10108803B2 (en) * | 2016-03-31 | 2018-10-23 | International Business Machines Corporation | Automatic generation of data-centric attack graphs |
| US10498711B1 (en) | 2016-05-20 | 2019-12-03 | Palantir Technologies Inc. | Providing a booting key to a remote system |
| US10171357B2 (en) | 2016-05-27 | 2019-01-01 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10931629B2 (en) | 2016-05-27 | 2021-02-23 | Cisco Technology, Inc. | Techniques for managing software defined networking controller in-band communications in a data center network |
| US10289438B2 (en) | 2016-06-16 | 2019-05-14 | Cisco Technology, Inc. | Techniques for coordination of application components deployed on distributed virtual machines |
| US10084802B1 (en) | 2016-06-21 | 2018-09-25 | Palantir Technologies Inc. | Supervisory control and data acquisition |
| US10182065B1 (en) | 2016-06-29 | 2019-01-15 | Rockwell Collins, Inc. | Distributed vetronics intrustion detection system and device |
| US10291637B1 (en) | 2016-07-05 | 2019-05-14 | Palantir Technologies Inc. | Network anomaly detection and profiling |
| US10708183B2 (en) | 2016-07-21 | 2020-07-07 | Cisco Technology, Inc. | System and method of providing segment routing as a service |
| US10698927B1 (en) | 2016-08-30 | 2020-06-30 | Palantir Technologies Inc. | Multiple sensor session and log information compression and correlation system |
| US10454971B2 (en) | 2016-09-07 | 2019-10-22 | International Business Machines Corporation | Managing privileged system access based on risk assessment |
| US10972388B2 (en) | 2016-11-22 | 2021-04-06 | Cisco Technology, Inc. | Federated microburst detection |
| US10630534B1 (en) | 2016-12-02 | 2020-04-21 | Worldpay, Llc | Systems and methods for subscribing topics and registering computer server event notifications |
| US10114999B1 (en) | 2016-12-02 | 2018-10-30 | Koupon Media, Inc. | Using dynamic occlusion to protect against capturing barcodes for fraudulent use on mobile devices |
| US10728262B1 (en) | 2016-12-21 | 2020-07-28 | Palantir Technologies Inc. | Context-aware network-based malicious activity warning systems |
| US10721262B2 (en) | 2016-12-28 | 2020-07-21 | Palantir Technologies Inc. | Resource-centric network cyber attack warning system |
| US10754872B2 (en) | 2016-12-28 | 2020-08-25 | Palantir Technologies Inc. | Automatically executing tasks and configuring access control lists in a data transformation system |
| US10574679B2 (en) * | 2017-02-01 | 2020-02-25 | Cisco Technology, Inc. | Identifying a security threat to a web-based resource |
| US10708152B2 (en) | 2017-03-23 | 2020-07-07 | Cisco Technology, Inc. | Predicting application and network performance |
| US10523512B2 (en) | 2017-03-24 | 2019-12-31 | Cisco Technology, Inc. | Network agent for generating platform specific network policies |
| US10250446B2 (en) | 2017-03-27 | 2019-04-02 | Cisco Technology, Inc. | Distributed policy store |
| US10764141B2 (en) | 2017-03-27 | 2020-09-01 | Cisco Technology, Inc. | Network agent for reporting to a network policy system |
| US10594560B2 (en) | 2017-03-27 | 2020-03-17 | Cisco Technology, Inc. | Intent driven network policy platform |
| US10873794B2 (en) | 2017-03-28 | 2020-12-22 | Cisco Technology, Inc. | Flowlet resolution for application performance monitoring and management |
| US10027551B1 (en) | 2017-06-29 | 2018-07-17 | Palantir Technologies, Inc. | Access controls through node-based effective policy identifiers |
| US10680887B2 (en) | 2017-07-21 | 2020-06-09 | Cisco Technology, Inc. | Remote device status audit and recovery |
| US10963465B1 (en) | 2017-08-25 | 2021-03-30 | Palantir Technologies Inc. | Rapid importation of data including temporally tracked object recognition |
| US10984427B1 (en) | 2017-09-13 | 2021-04-20 | Palantir Technologies Inc. | Approaches for analyzing entity relationships |
| GB201716170D0 (en) | 2017-10-04 | 2017-11-15 | Palantir Technologies Inc | Controlling user creation of data resources on a data processing platform |
| US10079832B1 (en) | 2017-10-18 | 2018-09-18 | Palantir Technologies Inc. | Controlling user creation of data resources on a data processing platform |
| US10554501B2 (en) | 2017-10-23 | 2020-02-04 | Cisco Technology, Inc. | Network migration assistant |
| US10523541B2 (en) | 2017-10-25 | 2019-12-31 | Cisco Technology, Inc. | Federated network and application data analytics platform |
| US10594542B2 (en) | 2017-10-27 | 2020-03-17 | Cisco Technology, Inc. | System and method for network root cause analysis |
| US10250401B1 (en) | 2017-11-29 | 2019-04-02 | Palantir Technologies Inc. | Systems and methods for providing category-sensitive chat channels |
| US11133925B2 (en) | 2017-12-07 | 2021-09-28 | Palantir Technologies Inc. | Selective access to encrypted logs |
| US10142349B1 (en) | 2018-02-22 | 2018-11-27 | Palantir Technologies Inc. | Verifying network-based permissioning rights |
| US11233821B2 (en) | 2018-01-04 | 2022-01-25 | Cisco Technology, Inc. | Network intrusion counter-intelligence |
| US11765046B1 (en) | 2018-01-11 | 2023-09-19 | Cisco Technology, Inc. | Endpoint cluster assignment and query generation |
| US10574575B2 (en) | 2018-01-25 | 2020-02-25 | Cisco Technology, Inc. | Network flow stitching using middle box flow stitching |
| US10917438B2 (en) | 2018-01-25 | 2021-02-09 | Cisco Technology, Inc. | Secure publishing for policy updates |
| US10999149B2 (en) | 2018-01-25 | 2021-05-04 | Cisco Technology, Inc. | Automatic configuration discovery based on traffic flow data |
| US10826803B2 (en) | 2018-01-25 | 2020-11-03 | Cisco Technology, Inc. | Mechanism for facilitating efficient policy updates |
| US10798015B2 (en) | 2018-01-25 | 2020-10-06 | Cisco Technology, Inc. | Discovery of middleboxes using traffic flow stitching |
| US10873593B2 (en) | 2018-01-25 | 2020-12-22 | Cisco Technology, Inc. | Mechanism for identifying differences between network snapshots |
| US11128700B2 (en) | 2018-01-26 | 2021-09-21 | Cisco Technology, Inc. | Load balancing configuration based on traffic flow telemetry |
| US10878051B1 (en) | 2018-03-30 | 2020-12-29 | Palantir Technologies Inc. | Mapping device identifiers |
| US10255415B1 (en) | 2018-04-03 | 2019-04-09 | Palantir Technologies Inc. | Controlling access to computer resources |
| US11411998B2 (en) * | 2018-05-01 | 2022-08-09 | Cisco Technology, Inc. | Reputation-based policy in enterprise fabric architectures |
| US10949400B2 (en) | 2018-05-09 | 2021-03-16 | Palantir Technologies Inc. | Systems and methods for tamper-resistant activity logging |
| US11244063B2 (en) | 2018-06-11 | 2022-02-08 | Palantir Technologies Inc. | Row-level and column-level policy service |
| WO2019246573A1 (en) * | 2018-06-22 | 2019-12-26 | Avi Networks | A statistical approach for augmenting signature detection in web application firewall |
| US11201855B1 (en) * | 2018-06-22 | 2021-12-14 | Vmware, Inc. | Distributed firewall that learns from traffic patterns to prevent attacks |
| CN112868040A (zh) * | 2018-10-05 | 2021-05-28 | 维萨国际服务协会 | 用于多阶段风险评分的系统、方法和设备 |
| US11128668B2 (en) * | 2018-12-04 | 2021-09-21 | International Business Machines Corporation | Hybrid network infrastructure management |
| GB201820853D0 (en) | 2018-12-20 | 2019-02-06 | Palantir Technologies Inc | Detection of vulnerabilities in a computer network |
| US11140183B2 (en) * | 2019-01-29 | 2021-10-05 | EMC IP Holding Company LLC | Determining criticality of identified enterprise assets using network session information |
| EP3694173B1 (en) | 2019-02-08 | 2022-09-21 | Palantir Technologies Inc. | Isolating applications associated with multiple tenants within a computing platform |
| US11704441B2 (en) | 2019-09-03 | 2023-07-18 | Palantir Technologies Inc. | Charter-based access controls for managing computer resources |
| EP3796165A1 (en) | 2019-09-18 | 2021-03-24 | Palantir Technologies Inc. | Systems and methods for autoscaling instance groups of computing platforms |
| US11539752B2 (en) * | 2020-04-28 | 2022-12-27 | Bank Of America Corporation | Selective security regulation for network communication |
| US20220019671A1 (en) * | 2020-07-15 | 2022-01-20 | International Business Machines Corporation | Remediation of regulatory non-compliance |
| US11683331B2 (en) | 2020-11-23 | 2023-06-20 | Juniper Networks, Inc. | Trust scoring of network entities in networks |
| US20230049749A1 (en) * | 2021-08-13 | 2023-02-16 | People Center, Inc. | Resource Provisioning Based on Estimation of Risk |
| WO2023079319A1 (en) * | 2021-11-05 | 2023-05-11 | Citrix Systems, Inc. | System and method for deriving network address spaces affected by security threats to apply mitigations |
| US20230300150A1 (en) * | 2022-03-16 | 2023-09-21 | Juniper Networks, Inc. | Use of a trust score plan |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090178142A1 (en) * | 2004-07-20 | 2009-07-09 | Jason Lieblich | End user risk management |
| CN101632085A (zh) * | 2007-03-14 | 2010-01-20 | 微软公司 | 企业安全评估共享 |
| CN102301373A (zh) * | 2009-01-29 | 2011-12-28 | 微软公司 | 对网络资源的基于健康状况的访问 |
Family Cites Families (187)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4289930A (en) | 1978-11-30 | 1981-09-15 | The General Electric Company Limited | Electronic apparatus for the display of information received over a line |
| US4386416A (en) | 1980-06-02 | 1983-05-31 | Mostek Corporation | Data compression, encryption, and in-line transmission system |
| US4384325A (en) | 1980-06-23 | 1983-05-17 | Sperry Corporation | Apparatus and method for searching a data base using variable search criteria |
| US4532588A (en) | 1982-11-09 | 1985-07-30 | International Business Machines Corporation | Electronic document distribution network with uniform data stream |
| US4754428A (en) | 1985-04-15 | 1988-06-28 | Express Communications, Inc. | Apparatus and method of distributing documents to remote terminals with different formats |
| US4713780A (en) | 1985-04-15 | 1987-12-15 | Express Communications, Inc. | Electronic mail |
| US4837798A (en) | 1986-06-02 | 1989-06-06 | American Telephone And Telegraph Company | Communication system having unified messaging |
| NL8602418A (nl) | 1986-09-25 | 1988-04-18 | Philips Nv | Inrichting voor het weergeven van een pcm-gemoduleerd signaal, voorzien van een muteschakeling. |
| JP2702927B2 (ja) | 1987-06-15 | 1998-01-26 | 株式会社日立製作所 | 文字列検索装置 |
| EP0298691B1 (en) | 1987-07-08 | 1994-10-05 | Matsushita Electric Industrial Co., Ltd. | Method and apparatus for protection of signal copy |
| US4853961A (en) | 1987-12-18 | 1989-08-01 | Pitney Bowes Inc. | Reliable document authentication system |
| US4951196A (en) | 1988-05-04 | 1990-08-21 | Supply Tech, Inc. | Method and apparatus for electronic data interchange |
| US5008814A (en) | 1988-08-15 | 1991-04-16 | Network Equipment Technologies, Inc. | Method and apparatus for updating system software for a plurality of data processing units in a communication network |
| GB2222899B (en) | 1988-08-31 | 1993-04-14 | Anthony Morris Rose | Securing a computer against undesired write operations or from a mass storage device |
| US5054096A (en) | 1988-10-24 | 1991-10-01 | Empire Blue Cross/Blue Shield | Method and apparatus for converting documents into electronic data for transaction processing |
| US4975950A (en) | 1988-11-03 | 1990-12-04 | Lentz Stephen A | System and method of protecting integrity of computer data and software |
| US5167011A (en) | 1989-02-15 | 1992-11-24 | W. H. Morris | Method for coodinating information storage and retrieval |
| US5210824A (en) | 1989-03-03 | 1993-05-11 | Xerox Corporation | Encoding-format-desensitized methods and means for interchanging electronic document as appearances |
| US5020059A (en) | 1989-03-31 | 1991-05-28 | At&T Bell Laboratories | Reconfigurable signal processor |
| US5144659A (en) | 1989-04-19 | 1992-09-01 | Richard P. Jones | Computer file protection system |
| US5119465A (en) | 1989-06-19 | 1992-06-02 | Digital Equipment Corporation | System for selectively converting plurality of source data structures through corresponding source intermediate structures, and target intermediate structures into selected target structure |
| CA2017974C (en) | 1989-08-07 | 1998-06-16 | Richard Alan Becker | Dynamic graphical analysis of network data |
| GB8918553D0 (en) | 1989-08-15 | 1989-09-27 | Digital Equipment Int | Message control system |
| US5105184B1 (en) | 1989-11-09 | 1997-06-17 | Noorali Pirani | Methods for displaying and integrating commercial advertisements with computer software |
| US5495610A (en) | 1989-11-30 | 1996-02-27 | Seer Technologies, Inc. | Software distribution system to build and distribute a software release |
| DE69031491T2 (de) | 1990-04-10 | 1998-03-26 | Ibm | Hypertextdatenverarbeitungssystem und Verfahren |
| US5319776A (en) | 1990-04-19 | 1994-06-07 | Hilgraeve Corporation | In transit detection of computer virus with safeguard |
| US5210825A (en) | 1990-04-26 | 1993-05-11 | Teknekron Communications Systems, Inc. | Method and an apparatus for displaying graphical data received from a remote computer by a local computer |
| US5144557A (en) | 1990-08-13 | 1992-09-01 | International Business Machines Corporation | Method and system for document distribution by reference to a first group and particular document to a second group of user in a data processing system |
| US5247661A (en) | 1990-09-10 | 1993-09-21 | International Business Machines Corporation | Method and apparatus for automated document distribution in a data processing system |
| US5276869A (en) | 1990-09-10 | 1994-01-04 | International Business Machines Corporation | System for selecting document recipients as determined by technical content of document and for electronically corroborating receipt of document |
| US5239466A (en) | 1990-10-04 | 1993-08-24 | Motorola, Inc. | System for selectively routing and merging independent annotations to a document at remote locations |
| JP3161725B2 (ja) | 1990-11-21 | 2001-04-25 | 株式会社日立製作所 | ワークステーションおよび共同情報処理システム |
| US5283887A (en) | 1990-12-19 | 1994-02-01 | Bull Hn Information Systems Inc. | Automatic document format conversion in an electronic mail system based upon user preference |
| JP3177684B2 (ja) | 1991-03-14 | 2001-06-18 | 株式会社日立製作所 | 電子メールシステム |
| US5424724A (en) | 1991-03-27 | 1995-06-13 | International Business Machines Corporation | Method and apparatus for enhanced electronic mail distribution |
| US5379340A (en) | 1991-08-02 | 1995-01-03 | Betterprize Limited | Text communication system |
| US5367621A (en) | 1991-09-06 | 1994-11-22 | International Business Machines Corporation | Data processing method to provide a generalized link from a reference point in an on-line book to an arbitrary multimedia object which can be dynamically updated |
| US5313521A (en) | 1992-04-15 | 1994-05-17 | Fujitsu Limited | Key distribution protocol for file transfer in the local area network |
| US5485409A (en) | 1992-04-30 | 1996-01-16 | International Business Machines Corporation | Automated penetration analysis system and method |
| US5278901A (en) | 1992-04-30 | 1994-01-11 | International Business Machines Corporation | Pattern-oriented intrusion-detection system and method |
| US5235642A (en) | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| US5418908A (en) | 1992-10-15 | 1995-05-23 | International Business Machines Corporation | System for automatically establishing a link between an electronic mail item and a remotely stored reference through a place mark inserted into the item |
| JP3553987B2 (ja) | 1992-11-13 | 2004-08-11 | 株式会社日立製作所 | クライアント・サーバシステム |
| US5406557A (en) | 1993-02-01 | 1995-04-11 | National Semiconductor Corporation | Interenterprise electronic mail hub |
| US5479411A (en) | 1993-03-10 | 1995-12-26 | At&T Corp. | Multi-media integrated message arrangement |
| JPH06266670A (ja) | 1993-03-11 | 1994-09-22 | Fujitsu Ltd | 暗号化仮想端末初期化装置 |
| US5404231A (en) | 1993-05-24 | 1995-04-04 | Audiofax, Inc. | Sender-based facsimile store and forward facility |
| US5414833A (en) | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
| US5509074A (en) | 1994-01-27 | 1996-04-16 | At&T Corp. | Method of protecting electronically published materials using cryptographic protocols |
| US5416842A (en) | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
| US5481312A (en) | 1994-09-12 | 1996-01-02 | At&T Corp. | Method of and apparatus for the transmission of high and low priority segments of a video bitstream over packet networks |
| US6012144A (en) | 1996-10-08 | 2000-01-04 | Pickett; Thomas E. | Transaction security method and apparatus |
| US5970066A (en) | 1996-12-12 | 1999-10-19 | Paradyne Corporation | Virtual ethernet interface |
| US6073142A (en) | 1997-06-23 | 2000-06-06 | Park City Group | Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments |
| US5987610A (en) | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
| AU4568299A (en) | 1998-06-15 | 2000-01-05 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
| US6151675A (en) | 1998-07-23 | 2000-11-21 | Tumbleweed Software Corporation | Method and apparatus for effecting secure document format conversion |
| US6988199B2 (en) | 2000-07-07 | 2006-01-17 | Message Secure | Secure and reliable document delivery |
| US6460050B1 (en) | 1999-12-22 | 2002-10-01 | Mark Raymond Pace | Distributed content identification system |
| US20020016910A1 (en) | 2000-02-11 | 2002-02-07 | Wright Robert P. | Method for secure distribution of documents over electronic networks |
| US20010037311A1 (en) | 2000-02-18 | 2001-11-01 | Mccoy James | Efficient internet service cost recovery system and method |
| US7039641B2 (en) | 2000-02-24 | 2006-05-02 | Lucent Technologies Inc. | Modular packet classification |
| US7159237B2 (en) | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
| WO2001089174A2 (en) | 2000-05-16 | 2001-11-22 | America Online, Inc. | E-mail sender identification |
| JP2002056176A (ja) | 2000-06-01 | 2002-02-20 | Asgent Inc | セキュリティポリシー構築方法及び装置並びにセキュリティポリシー構築を支援する方法及び装置 |
| US20020023140A1 (en) | 2000-06-08 | 2002-02-21 | Hile John K. | Electronic document delivery system |
| US6901519B1 (en) | 2000-06-22 | 2005-05-31 | Infobahn, Inc. | E-mail virus protection system and method |
| US20020046041A1 (en) | 2000-06-23 | 2002-04-18 | Ken Lang | Automated reputation/trust service |
| US7032031B2 (en) | 2000-06-23 | 2006-04-18 | Cloudshield Technologies, Inc. | Edge adapter apparatus and method |
| US8661539B2 (en) | 2000-07-10 | 2014-02-25 | Oracle International Corporation | Intrusion threat detection |
| US20020013692A1 (en) | 2000-07-17 | 2002-01-31 | Ravinder Chandhok | Method of and system for screening electronic mail items |
| WO2002015518A2 (en) | 2000-08-16 | 2002-02-21 | Filestream, Inc. | End-to-end secure file transfer method and system |
| US7278159B2 (en) | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
| US7043759B2 (en) | 2000-09-07 | 2006-05-09 | Mazu Networks, Inc. | Architecture to thwart denial of service attacks |
| US20020032871A1 (en) | 2000-09-08 | 2002-03-14 | The Regents Of The University Of Michigan | Method and system for detecting, tracking and blocking denial of service attacks over a computer network |
| US7031553B2 (en) | 2000-09-22 | 2006-04-18 | Sri International | Method and apparatus for recognizing text in an image sequence of scene imagery |
| US20020062368A1 (en) | 2000-10-11 | 2002-05-23 | David Holtzman | System and method for establishing and evaluating cross community identities in electronic forums |
| US20020078382A1 (en) | 2000-11-29 | 2002-06-20 | Ali Sheikh | Scalable system for monitoring network system and components and methodology therefore |
| CA2327211A1 (en) | 2000-12-01 | 2002-06-01 | Nortel Networks Limited | Management of log archival and reporting for data network security systems |
| WO2002054325A2 (en) | 2001-01-02 | 2002-07-11 | Trusecure Corporation | Object-oriented method, system and medium for risk management by creating inter-dependency between objects, criteria and metrics |
| EP1225513A1 (en) | 2001-01-19 | 2002-07-24 | Eyal Dotan | Method for protecting computer programs and data from hostile code |
| US6983380B2 (en) | 2001-02-06 | 2006-01-03 | Networks Associates Technology, Inc. | Automatically generating valid behavior specifications for intrusion detection |
| US20020112013A1 (en) | 2001-02-12 | 2002-08-15 | Fiona Walsh | Method for generating commercial email communications while preserving Internet privacy |
| US7281267B2 (en) | 2001-02-20 | 2007-10-09 | Mcafee, Inc. | Software audit system |
| US20020120853A1 (en) | 2001-02-27 | 2002-08-29 | Networks Associates Technology, Inc. | Scripted distributed denial-of-service (DDoS) attack discrimination using turing tests |
| US7681032B2 (en) | 2001-03-12 | 2010-03-16 | Portauthority Technologies Inc. | System and method for monitoring unauthorized transport of digital content |
| US20020143963A1 (en) | 2001-03-15 | 2002-10-03 | International Business Machines Corporation | Web server intrusion detection method and apparatus |
| US20020133365A1 (en) | 2001-03-19 | 2002-09-19 | William Grey | System and method for aggregating reputational information |
| US20020138759A1 (en) | 2001-03-26 | 2002-09-26 | International Business Machines Corporation | System and method for secure delivery of a parcel or document |
| US20020147734A1 (en) | 2001-04-06 | 2002-10-10 | Shoup Randall Scott | Archiving method and system |
| US7124372B2 (en) | 2001-06-13 | 2006-10-17 | Glen David Brin | Interactive communication between a plurality of users |
| US20030028406A1 (en) | 2001-07-24 | 2003-02-06 | Herz Frederick S. M. | Database for pre-screening potentially litigious patients |
| US8438241B2 (en) | 2001-08-14 | 2013-05-07 | Cisco Technology, Inc. | Detecting and protecting against worm traffic on a network |
| US8578480B2 (en) | 2002-03-08 | 2013-11-05 | Mcafee, Inc. | Systems and methods for identifying potentially malicious messages |
| US7096498B2 (en) | 2002-03-08 | 2006-08-22 | Cipher Trust, Inc. | Systems and methods for message threat management |
| US8561167B2 (en) * | 2002-03-08 | 2013-10-15 | Mcafee, Inc. | Web reputation scoring |
| US20060015942A1 (en) | 2002-03-08 | 2006-01-19 | Ciphertrust, Inc. | Systems and methods for classification of messaging entities |
| US7693947B2 (en) | 2002-03-08 | 2010-04-06 | Mcafee, Inc. | Systems and methods for graphically displaying messaging traffic |
| US8132250B2 (en) | 2002-03-08 | 2012-03-06 | Mcafee, Inc. | Message profiling systems and methods |
| US7870203B2 (en) * | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
| US20040047356A1 (en) | 2002-09-06 | 2004-03-11 | Bauer Blaine D. | Network traffic monitoring |
| US8990723B1 (en) | 2002-12-13 | 2015-03-24 | Mcafee, Inc. | System, method, and computer program product for managing a plurality of applications via a single interface |
| JP2005182640A (ja) | 2003-12-22 | 2005-07-07 | Japan Telecom Co Ltd | ファイアウォール装置、及びそれを用いた通信システム、通信方法 |
| US20100223349A1 (en) * | 2004-02-03 | 2010-09-02 | Joel Thorson | System, method and apparatus for message targeting and filtering |
| US8201257B1 (en) * | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| CN101288060B (zh) | 2004-05-25 | 2012-11-07 | 波斯蒂尼公司 | 电子消息源信誉信息系统 |
| US7756930B2 (en) | 2004-05-28 | 2010-07-13 | Ironport Systems, Inc. | Techniques for determining the reputation of a message sender |
| US7870200B2 (en) | 2004-05-29 | 2011-01-11 | Ironport Systems, Inc. | Monitoring the flow of messages received at a server |
| US7680890B1 (en) | 2004-06-22 | 2010-03-16 | Wei Lin | Fuzzy logic voting method and system for classifying e-mail using inputs from multiple spam classifiers |
| US7953814B1 (en) | 2005-02-28 | 2011-05-31 | Mcafee, Inc. | Stopping and remediating outbound messaging abuse |
| US7415727B1 (en) | 2004-06-24 | 2008-08-19 | Mcafee, Inc. | System, method, and computer program product for tailoring security responses for local and remote file open requests |
| US7664819B2 (en) | 2004-06-29 | 2010-02-16 | Microsoft Corporation | Incremental anti-spam lookup and update service |
| US8635690B2 (en) | 2004-11-05 | 2014-01-21 | Mcafee, Inc. | Reputation based message processing |
| US7523092B2 (en) | 2004-12-14 | 2009-04-21 | International Business Machines Corporation | Optimization of aspects of information technology structures |
| US8645513B2 (en) | 2004-12-14 | 2014-02-04 | International Business Machines Corporation | Automation of information technology system development |
| US9160755B2 (en) | 2004-12-21 | 2015-10-13 | Mcafee, Inc. | Trusted communication network |
| US8738708B2 (en) | 2004-12-21 | 2014-05-27 | Mcafee, Inc. | Bounce management in a trusted communication network |
| US20060155553A1 (en) | 2004-12-30 | 2006-07-13 | Brohman Carole G | Risk management methods and systems |
| US7765481B2 (en) | 2005-05-03 | 2010-07-27 | Mcafee, Inc. | Indicating website reputations during an electronic commerce transaction |
| US7562304B2 (en) | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
| US7822620B2 (en) | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
| US8079087B1 (en) | 2005-05-03 | 2011-12-13 | Voltage Security, Inc. | Universal resource locator verification service with cross-branding detection |
| JP5118020B2 (ja) | 2005-05-05 | 2013-01-16 | シスコ アイアンポート システムズ エルエルシー | 電子メッセージ中での脅威の識別 |
| US7937480B2 (en) | 2005-06-02 | 2011-05-03 | Mcafee, Inc. | Aggregation of reputation data |
| US7499412B2 (en) | 2005-07-01 | 2009-03-03 | Net Optics, Inc. | Active packet content analyzer for communications network |
| WO2007005868A2 (en) | 2005-07-01 | 2007-01-11 | Markmonitor, Inc. | Enhanced fraud monitoring systems |
| KR100651841B1 (ko) | 2005-07-19 | 2006-12-01 | 엘지전자 주식회사 | 수신 차단 방법 |
| US20070033408A1 (en) | 2005-08-08 | 2007-02-08 | Widevine Technologies, Inc. | Preventing illegal distribution of copy protected content |
| US20070056035A1 (en) | 2005-08-16 | 2007-03-08 | Drew Copley | Methods and systems for detection of forged computer files |
| JP4509904B2 (ja) | 2005-09-29 | 2010-07-21 | 富士通株式会社 | ネットワークセキュリティ装置 |
| US20070078675A1 (en) | 2005-09-30 | 2007-04-05 | Kaplan Craig A | Contributor reputation-based message boards and forums |
| US8095876B1 (en) | 2005-11-18 | 2012-01-10 | Google Inc. | Identifying a primary version of a document |
| US8051134B1 (en) | 2005-12-21 | 2011-11-01 | At&T Intellectual Property Ii, L.P. | Systems, methods, and programs for evaluating audio messages |
| US7712134B1 (en) | 2006-01-06 | 2010-05-04 | Narus, Inc. | Method and apparatus for worm detection and containment in the internet core |
| US9348930B2 (en) | 2006-02-13 | 2016-05-24 | Junaid Ali | Web-based application or system for managing and coordinating review-enabled content |
| US20080082662A1 (en) * | 2006-05-19 | 2008-04-03 | Richard Dandliker | Method and apparatus for controlling access to network resources based on reputation |
| US7877801B2 (en) | 2006-05-26 | 2011-01-25 | Symantec Corporation | Method and system to detect malicious software |
| US7761912B2 (en) | 2006-06-06 | 2010-07-20 | Microsoft Corporation | Reputation driven firewall |
| US7949992B2 (en) | 2006-06-27 | 2011-05-24 | International Business Machines Corporation | Development of information technology system |
| US8239915B1 (en) | 2006-06-30 | 2012-08-07 | Symantec Corporation | Endpoint management using trust rating data |
| US8396211B2 (en) | 2006-07-11 | 2013-03-12 | Research In Motion Limited | System and method for dynamic modification of allowable electronic message properties |
| US8176178B2 (en) * | 2007-01-29 | 2012-05-08 | Threatmetrix Pty Ltd | Method for tracking machines on a network using multivariable fingerprinting of passively available information |
| US8527592B2 (en) | 2006-10-31 | 2013-09-03 | Watchguard Technologies, Inc. | Reputation-based method and system for determining a likelihood that a message is undesired |
| US9654495B2 (en) | 2006-12-01 | 2017-05-16 | Websense, Llc | System and method of analyzing web addresses |
| US7711684B2 (en) | 2006-12-28 | 2010-05-04 | Ebay Inc. | Collaborative content evaluation |
| US7779156B2 (en) * | 2007-01-24 | 2010-08-17 | Mcafee, Inc. | Reputation based load balancing |
| US8214497B2 (en) | 2007-01-24 | 2012-07-03 | Mcafee, Inc. | Multi-dimensional reputation scoring |
| US8179798B2 (en) | 2007-01-24 | 2012-05-15 | Mcafee, Inc. | Reputation based connection throttling |
| US20080282338A1 (en) | 2007-05-09 | 2008-11-13 | Beer Kevin J | System and method for preventing the reception and transmission of malicious or objectionable content transmitted through a network |
| CN100539555C (zh) | 2007-06-01 | 2009-09-09 | 清华大学 | 基于可扩展消息在线协议和信誉机制的电子邮件传送方法 |
| US8584094B2 (en) * | 2007-06-29 | 2013-11-12 | Microsoft Corporation | Dynamically computing reputation scores for objects |
| CN100574310C (zh) | 2007-08-24 | 2009-12-23 | 中国科学院计算技术研究所 | 一种信誉流量控制方法 |
| JP5046836B2 (ja) | 2007-10-02 | 2012-10-10 | Kddi株式会社 | 不正検知装置、プログラム、および記録媒体 |
| US8185930B2 (en) | 2007-11-06 | 2012-05-22 | Mcafee, Inc. | Adjusting filter or classification control settings |
| US8045458B2 (en) | 2007-11-08 | 2011-10-25 | Mcafee, Inc. | Prioritizing network traffic |
| US8321937B2 (en) * | 2007-11-25 | 2012-11-27 | Trend Micro Incorporated | Methods and system for determining performance of filters in a computer intrusion prevention detection system |
| US20090150236A1 (en) * | 2007-12-10 | 2009-06-11 | Rhapline, Inc. | Digital asset management system and method |
| US8510391B2 (en) | 2007-12-20 | 2013-08-13 | Yahoo! Inc. | Jury system for use in online answers environment |
| US8160975B2 (en) | 2008-01-25 | 2012-04-17 | Mcafee, Inc. | Granular support vector machine with random granularity |
| US8561129B2 (en) | 2008-02-28 | 2013-10-15 | Mcafee, Inc | Unified network threat management with rule classification |
| US8893285B2 (en) * | 2008-03-14 | 2014-11-18 | Mcafee, Inc. | Securing data using integrated host-based data loss agent with encryption detection |
| US8589503B2 (en) | 2008-04-04 | 2013-11-19 | Mcafee, Inc. | Prioritizing network traffic |
| JP5042125B2 (ja) | 2008-06-02 | 2012-10-03 | 株式会社日立製作所 | P2p通信制御システム及び制御方法 |
| WO2010008825A1 (en) | 2008-06-23 | 2010-01-21 | Cloudmark, Inc. | Systems and methods for re-evaluating data |
| US8595282B2 (en) | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
| US9495538B2 (en) | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
| US8341724B1 (en) | 2008-12-19 | 2012-12-25 | Juniper Networks, Inc. | Blocking unidentified encrypted communication sessions |
| US8275899B2 (en) * | 2008-12-29 | 2012-09-25 | At&T Intellectual Property I, L.P. | Methods, devices and computer program products for regulating network activity using a subscriber scoring system |
| US9426179B2 (en) * | 2009-03-17 | 2016-08-23 | Sophos Limited | Protecting sensitive information from a secure data store |
| US8667121B2 (en) | 2009-03-25 | 2014-03-04 | Mcafee, Inc. | System and method for managing data and policies |
| US8381289B1 (en) * | 2009-03-31 | 2013-02-19 | Symantec Corporation | Communication-based host reputation system |
| US9081958B2 (en) | 2009-08-13 | 2015-07-14 | Symantec Corporation | Using confidence about user intent in a reputation system |
| US8285218B2 (en) | 2009-08-31 | 2012-10-09 | The Nielsen Company (Us), Llc | Methods and apparatus to identify wireless carrier performance effects |
| US8621654B2 (en) | 2009-09-15 | 2013-12-31 | Symantec Corporation | Using metadata in security tokens to prevent coordinated gaming in a reputation system |
| US8286253B1 (en) * | 2009-11-23 | 2012-10-09 | Trend Micro Incorporated | Data leakage prevention for resource limited device |
| US8495705B1 (en) * | 2010-04-20 | 2013-07-23 | Symantec Corporation | Systems and methods for reputation-based application of data-loss prevention policies |
| US8850219B2 (en) * | 2010-05-13 | 2014-09-30 | Salesforce.Com, Inc. | Secure communications |
| US20120174219A1 (en) * | 2010-05-14 | 2012-07-05 | Mcafee, Inc. | Identifying mobile device reputations |
| US8621638B2 (en) | 2010-05-14 | 2013-12-31 | Mcafee, Inc. | Systems and methods for classification of messaging entities |
| IL206240A0 (en) | 2010-06-08 | 2011-02-28 | Verint Systems Ltd | Systems and methods for extracting media from network traffic having unknown protocols |
| US8621591B2 (en) | 2010-10-19 | 2013-12-31 | Symantec Corporation | Software signing certificate reputation model |
| US8621618B1 (en) * | 2011-02-07 | 2013-12-31 | Dell Products, Lp | System and method for assessing whether a communication contains an attack |
| US9122877B2 (en) | 2011-03-21 | 2015-09-01 | Mcafee, Inc. | System and method for malware and network reputation correlation |
| US8763072B2 (en) * | 2011-05-09 | 2014-06-24 | Symantec Corporation | Preventing inappropriate data transfers based on reputation scores |
| US9106680B2 (en) | 2011-06-27 | 2015-08-11 | Mcafee, Inc. | System and method for protocol fingerprinting and reputation correlation |
| US8931043B2 (en) | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
-
2012
- 2012-04-10 US US13/443,865 patent/US8931043B2/en active Active
-
2013
- 2013-04-10 EP EP13776221.7A patent/EP2837131B1/en active Active
- 2013-04-10 CN CN201380017286.8A patent/CN104380657A/zh active Pending
- 2013-04-10 WO PCT/US2013/036053 patent/WO2013155239A1/en active Application Filing
-
2014
- 2014-12-22 US US14/580,091 patent/US9516062B2/en active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090178142A1 (en) * | 2004-07-20 | 2009-07-09 | Jason Lieblich | End user risk management |
| CN101632085A (zh) * | 2007-03-14 | 2010-01-20 | 微软公司 | 企业安全评估共享 |
| CN102301373A (zh) * | 2009-01-29 | 2011-12-28 | 微软公司 | 对网络资源的基于健康状况的访问 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104639566A (zh) * | 2015-03-10 | 2015-05-20 | 四川省宁潮科技有限公司 | 基于带外身份认证的交易授权方法 |
| CN106790041A (zh) * | 2016-12-16 | 2017-05-31 | 北京神州绿盟信息安全科技股份有限公司 | 一种网际协议ip信誉库生成方法及装置 |
| CN111404960A (zh) * | 2020-03-26 | 2020-07-10 | 军事科学院系统工程研究院网络信息研究所 | 应用于天地一体化网络接入管控系统的属性提取方法 |
| CN111404960B (zh) * | 2020-03-26 | 2022-02-25 | 军事科学院系统工程研究院网络信息研究所 | 应用于天地一体化网络接入管控系统的属性提取方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP2837131A4 (en) | 2016-01-06 |
| US20150180903A1 (en) | 2015-06-25 |
| US20130268994A1 (en) | 2013-10-10 |
| US9516062B2 (en) | 2016-12-06 |
| EP2837131B1 (en) | 2018-11-14 |
| WO2013155239A1 (en) | 2013-10-17 |
| EP2837131A1 (en) | 2015-02-18 |
| US8931043B2 (en) | 2015-01-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN104380657A (zh) | 用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法 | |
| US11411980B2 (en) | Insider threat management | |
| JP6736657B2 (ja) | 標準化されたフォーマットでサイバー脅威情報を安全に配送し交換するコンピュータ化されたシステム | |
| CN103229185B (zh) | 用于针对恶意软件的本地保护的系统和方法 | |
| US20170195363A1 (en) | System and method to detect and prevent phishing attacks | |
| Yakubu et al. | Security challenges in fog-computing environment: a systematic appraisal of current developments | |
| Kebande et al. | Real-time monitoring as a supplementary security component of vigilantism in modern network environments | |
| CN103283202A (zh) | 用于针对恶意软件的网络级保护的系统和方法 | |
| Mukherjee | Overview of the Importance of Corporate Security in business | |
| Van Niekerk et al. | Risks, controls and governance associated with internet of things technologies on accounting information | |
| KR101998986B1 (ko) | 블록체인을 이용한 랜섬웨어 방지 방법 및 장치 | |
| US10320829B1 (en) | Comprehensive modeling and mitigation of security risk vulnerabilities in an enterprise network | |
| RU2724713C1 (ru) | Система и способ смены пароля учетной записи при наличии угрозы получения неправомерного доступа к данным пользователя | |
| Sibai et al. | Countering network-centric insider threats through self-protective autonomic rule generation | |
| US10313384B1 (en) | Mitigation of security risk vulnerabilities in an enterprise network | |
| Hutchings et al. | Criminals in the cloud: Crime, security threats, and prevention measures | |
| Zhao et al. | Privacy enhancing framework on paas | |
| Dobrian | Are you sitting on a cyber security bombshell? | |
| Alexandrov et al. | Design and security analysis of a fragment of internet of things telecommunication system | |
| Asan | Data security | |
| Zeybek et al. | A study on security awareness in mobile devices | |
| Gheorghică et al. | A new framework for enhanced measurable cybersecurity in computer networks | |
| Bedwell | Finding a new approach to SIEM to suit the SME environment | |
| Jerman-Blažič et al. | Towards the development of a research agenda for cybercrime and cyberterrorism–identifying the technical challenges and missing solutions | |
| Metoui | Privacy-aware risk-based access control systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20150225 |
|
| RJ01 | Rejection of invention patent application after publication |