CN1665201A - 保护连接至网络的计算机系统不受攻击的系统和方法 - Google Patents
保护连接至网络的计算机系统不受攻击的系统和方法 Download PDFInfo
- Publication number
- CN1665201A CN1665201A CN2005100521029A CN200510052102A CN1665201A CN 1665201 A CN1665201 A CN 1665201A CN 2005100521029 A CN2005100521029 A CN 2005100521029A CN 200510052102 A CN200510052102 A CN 200510052102A CN 1665201 A CN1665201 A CN 1665201A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- computer
- computing equipment
- communication network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F17/00—Digital computing or data processing equipment or methods, specially adapted for specific functions
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Data Mining & Analysis (AREA)
- Databases & Information Systems (AREA)
- Mathematical Physics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
给出了一种用于保护连接至通信网络的计算设备不受被识别出的安全威胁的影响的网络安全系统。安全服务将针对网络安全模块的安全信息公布到通信网络中。网络安全模块逻辑上或物理上置于计算机和通信网络之间。安全信息包括安全措施,当由网络安全模块实施时,保护对应的计算机不受到对该计算机的识别出的安全威胁的影响。
Description
相关申请交叉参考
本申请要求2004年2月13日提交的美国临时申请号60/544,884的权益。
技术领域
本发明涉及用于保护连接至网络的计算设备不受攻击的计算机系统和计算机实施的方法。
背景技术
随着越来越多的计算机以及其它计算设备通过诸如因特网之类的各种网络而互相连接,计算机安全变得越来越重要,尤其是防止通过网络或信息流发出的入侵或攻击。如本领域的技术人员将认识到的那样,这些攻击以许多不同的方式出现,包括但不特定地限于:计算机病毒、计算机蠕虫、系统组件替换、决绝服务攻击、甚至是对合法的计算机系统特征的误用/滥用,全部这些都出于非法目的而利用了一个或多个计算机系统弱点。虽然本领域的技术人员将认识到各种计算机攻击在技术上是彼此不同的,但是出于本发明的目的和出于简化说明的目的,在下文中将把所有这些攻击统称为计算机漏洞利用(exploit),或更为简单地称为漏洞利用。
当计算机系统受到计算机漏洞利用的攻击或“影响”时,不利的结果是各种各样的,包括禁用系统设备;擦除或破坏固件、应用程序或数据文件;将可能敏感的数据发送到网络上的另一位置;关闭计算机系统;或引起计算机系统崩溃。许多计算机漏洞利用中(尽管不是全部)还有另一个有害的方面是使用受感染的计算机系统来感染其它计算机。
图1是说明示例性联网环境100的直观图,通常通过该联网环境来散布计算机漏洞利用。如图1所示,典型的示例性联网环境100包括通过诸如内联网之类的通信网络110或通过包含通常称为因特网的全球TCP/IP网络的更大的通信网络而互相连接的多个计算机102-108。出于无论什么原因,诸如计算机104之类的连接至网络110的计算机上的怀有恶意的一方开发了计算机漏洞利用112,并将其释放到网络上。如箭头114所示,诸如计算机104之类的一个或多个计算机接收被释放的计算机漏洞利用112并被感染。如对于许多计算机漏洞利用来说是典型的那样,一旦被感染,如箭头116所示,计算机104就被用于感染诸如计算机106之类的其它计算机,而后者随后又如箭头118所示感染另外的计算机。显然,由于当代计算机网络的速度和作用范围,计算机漏洞利用112能够以指数级的速率“增长”,并迅速变得局部流行,并迅速增长为全球计算机大流行。
对计算机漏洞利用,尤其是对计算机病毒和蠕虫的传统防御措施是防病毒软件。一般而言,防病毒软件对通过网络而到达的进入数据进行扫描,查找与已知的计算机漏洞利用相关联的可识别的模式。一旦检测到与已知计算机漏洞利用相关联的模式,防病毒软件可通过将计算机病毒从受感染的数据中删除,对数据进行隔离,或删除“受感染的”进入数据,来做出响应。不幸的是,防病毒软件一般对“已知的”、可识别的计算机漏洞利用起作用。通常,这是通过将数据中的模式与被称为是漏洞利用的“特征印记”(signature)的特征进行匹配来完成的。这种漏洞利用检测模型中的核心缺陷之一是,未知的计算机漏洞利用可能在网络中以未受抑制的方式进行传播,直到计算机防病毒软件得到更新来识别并响应于该新的计算机漏洞利用为止。
随着防病毒软件在识别成千上万的已知计算机漏洞利用中变得越来越完善和有效,同样,计算机漏洞利用也变得越来越复杂。例如,许多当前的计算机漏洞利用是多形态的,或者换句话说不具有可识别的模式或“特征印记”,而通过所述可识别的模式或特征印记可由防病毒软件在它们的传输过程中将它们识别出。这些多形态的漏洞利用经常是防病毒软件不可识别的,因为它们在传播到另一个计算机系统之前已经对它们自身做出了修改。
当今在防止计算机漏洞利用方面较为通常的另一个防御措施是硬件或软件网络防火墙。如本领域的技术人员将认识到的那样,防火墙是一种安全系统,它通过对内部网络和外部网络之间的信息流进行控制来保护内部网络不受到源自外部网络的未经授权的访问。源自防火墙之外的所有通信都首先发送到代理(proxy),代理对通信进行检查,并确定将通信转送到计划目标是否是安全或可允许的。不幸的是,对防火墙进行适当的配置以使得可允许的网络行为不受禁止而不允许的网络行为被拒绝,这是复杂而棘手的任务。除了在技术上复杂之外,防火墙配置还难于管理。当不适当地配置了防火墙时,可能不经意地关闭可允许的网络通信而允许不可允许的网络通信通过,而损害内部网络。出于这种原因,一般不经常对防火墙做出改变,而仅仅由那些技术网络设计方面精通的人来进行改变。
作为防火墙的又一个局限,虽然防火墙保护了内部网络,但是它不对特定的计算机提供任何保护。换言之,防火墙不会将其适应于特定的计算机的需求。相反,即使防火墙用来保护单个计算机,它仍然根据防火墙的配置而非根据所述单个计算机的配置来保护该计算机。
与防火墙相关的又一个问题是,防火墙不提供对源自防火墙建立的边界内的计算机漏洞利用的保护。换言之,一旦某一漏洞利用能够穿透防火墙所保护的网络,该漏洞利用将不受该防火墙的禁止。当职工将便携式计算机带回家(即脱离公司防火墙保护)并在较不安全的环境下于家中进行使用,则这种情况通常发生。于是,便携式计算机被感染,而职工并不知道。当便携式计算机重新连接至防火墙的保护范围内的公司网络时,漏洞利用通常自由地感染不受防火墙检查的其它计算机。
如上所述,计算机漏洞利用如今还在攻击中影响合法计算机系统特征。从而,除了防火墙和防病毒软件提供商之外的许多方现在必须加入到保护计算机不受这些计算机漏洞利用的行动中。例如,出于经济上和合同上的原因,操作系统提供商如今必须不断地分析他们的操作系统功能,来识别出可能被计算机漏洞利用所利用的缺点或弱点。出于本说明书的目的,将把计算机漏洞利用可能借助来攻击计算机系统的任何途径统称为计算机系统弱点,或简单地称之为弱点。
随着在操作系统或其它计算机系统组件、驱动器、应用程序中识别和定位弱点,提供商一般将发布软件更新以对所述弱点进行补救。这些更新(通常被称为补丁)应当安装在计算机系统上,以便确保计算机系统没有经识别出的弱点。然而,这些更新在本质上是对操作系统、设备驱动器或软件应用程序做出的代码改变。如此,它们就不能与防病毒软件提供商提供的防病毒软件更新那样迅速而自由地得到发布。因为这些更新是代码改变,软件更新要求在向公众发布之前进行充分的内部测试。不幸的是,即使利用内部测试,软件更新也可能引起一个或多个其它计算机系统特征被破坏或发生故障。从而,软件更新对依赖于计算机系统的各方造成了巨大的困难。更为具体地来说,是否某一方更新他们的计算机系统以防止破坏他们的计算机系统运行的弱点或危险,或是不更新他们的计算机系统而冒着他们的计算机可能被干扰的风险?
在本系统下,存在一个时间周期,下文中称为弱点窗口,它存在于新的计算机漏洞利用发布于网络110上的时间与计算机系统得到更新来保护不受该计算机漏洞利用的影响的时间之间。如该名称所暗示的那样,正是在该弱点窗口期间,计算机系统对于所述新的计算机漏洞利用来说是有弱点的或暴露的。图2A-2B是说明该弱点窗口的示例性时间线的框图。对于下面的关于时间线的讨论,将对重要的时间或事件进行识别,并称为关于时间线的事件。
图2A说明了关于如今释放到公众网络上的一个或多个新近的、复杂的计算机漏洞利用类别的计算机系统的弱点窗口。如将要描述的那样,该新的计算机漏洞利用类别利用了系统提供商的前摄的(proactive)安全措施来识别计算机系统弱点,并随后创建和发出计算机漏洞利用。
参考图2A,在事件202处,操作系统提供商识别出所发布的操作系统中的弱点的存在。例如,在一种情况下,操作系统提供商对所发布的操作系统进行自身的内部分析,揭示出可能被用于攻击计算机系统的当前未知的弱点。在另一种情况下,由第三方发现当前未知的弱点,第三方包括对计算机系统进行系统安全分析并向操作系统提供商提供关于弱点的信息的组织。
一旦操作系统提供商意识到存在安全弱点,操作系统提供商就着手解决该弱点,从而在事件204处导致产生和发布补丁,以确保运行该操作系统的任何计算机系统的安全。典型地,操作系统提供商将做出某种类型的通告,告知系统补丁可用,并推荐所有的操作系统用户安装该补丁。该补丁通常放置在网络110上的已知位置上,以用于下载和安装到受影响的计算机系统上。
不幸的是,如通常发生的那样,在操作系统提供商发布补丁之后,在事件206处,恶意方下载该补丁并使用逆向工程以及通过操作系统或其它而公知的任何信息来识别与“经修补”的操作系统中的弱点有关的细节。使用此信息,恶意方创建计算机漏洞利用来攻击潜在的弱点。在事件208处,恶意方将计算机漏洞利用释放到网络110上。虽然发布软件补丁(也称为“修正”(fix))的目的是纠正潜在的弱点,但是“修正”通常是一段复杂的软件代码,不幸的是,它本身可能形成了或包含了可能被恶意方创建的计算机漏洞利用攻击的新的弱点。从而,除了评估“修正”纠正了什么之外,还要对潜在的弱点对上述“修正”进行评估。
虽然“修正”是可用的,但是出于包括上述原因在内的各种原因,恶意方意识到并非每个有弱点的计算机系统会立即更新。从而,在事件208处,恶意方将计算机漏洞利用112释放到网络110上。如上所述,计算机漏洞利用112的释放打开了弱点窗口212,在弱点窗口中,有弱点的计算机系统易受该计算机漏洞利用的影响。仅当在事件210处补丁最终被安装在计算机系统上,对于该计算机系统来说,弱点窗口212才关闭。
虽然如今释放的计算机漏洞利用是基于已知的弱点,例如上述关于图2A所述的情况,但是,有时候利用了当前未知弱点的计算机漏洞利用被释放到网络110上。图2B说明了在该情况下的关于时间线220的漏洞窗口230。从而,如时间线220上所示,在事件222处,恶意方释放新的计算机漏洞利用。由于这是新的计算机漏洞利用,因此既没有操作系统补丁也没有防病毒更新可用于保护有弱点的计算机系统不受攻击。因此,弱点窗口230打开。
在新的计算机漏洞利用传播到网络110上之后的某一点,如事件224所指示出的那样,操作系统提供商和/或防病毒软件提供商检测到该新的计算机漏洞利用。如本领域的技术人员一般将理解的那样,在大约数小时内该新的计算机漏洞利用的存在就被操作系统提供商和防病毒软件提供商检测出。
一旦检测到该计算机漏洞利用,防病毒软件提供商就开始其处理来识别防病毒软件能够借以识别该计算机漏洞利用的模式或“特征印记”。类似地,操作系统提供商开始其处理以分析该计算机漏洞利用,以确定是否必须对操作系统打补丁,以保护不受该计算机漏洞利用的影响。作为这些并行努力的结果,在事件226处,操作系统提供商和/或防病毒软件提供商释放针对于该计算机漏洞利用的更新(即对操作系统的软件补丁)或防病毒更新。随后,在事件228处,该更新安装在用户的计算机系统上,从而保护该计算机系统并使得弱点窗口230关闭。
如从上面的例子中可看出的那样,这些例子仅仅是计算机漏洞利用对计算机系统引起安全威胁的所有可能的情况中的代表性实例,弱点窗口存在于计算机漏洞利用112释放于网络110上的时间和对应的更新被安装在用户的计算机系统上以关闭弱点窗口的时间之间。不幸的是,不管弱点窗口是大还是小,如果是根本可行的化,受感染的计算机使得计算机所有者花费相当多的钱来“杀毒”和修补。当涉及到可能具有成千上万的设备连接于网络110的公司或实体时,这种代价可能是巨大的。这种代价还可能通过这种漏洞利用窜改或破坏用户数据的可能性而加大,所有这些都相当难于或不可能进行跟踪和补救。需要一种即使在保护更新可用和/或安装在计算机系统上之前,也能用于以响应方式并根据各计算机系统的需要来确保计算机系统对抗计算机漏洞利用的安全性的系统和方法。
发明内容
根据本发明的诸方面,给出了一种保护连接至通信网络的计算设备不受安全威胁的影响的网络安全系统。网络安全系统包括网络安全模块。网络安全模块置于计算设备和通信网络之间。网络安全系统还包括安全服务。安全服务将安全信息公布到网络安全模块,通过网络安全模块实施来保护计算设备不受安全威胁的影响。
根据本发明的进一步的方面,提供了一种用于保护通信网络中的计算设备不受通信网络上传播的安全威胁的影响的方法。获得与对通信网络中的计算设备的安全威胁有关的信息。将关于安全威胁的信息公布给网络安全模块。每个网络安全模块置于计算设备和通信网络之间。安全信息包括保护安全措施,通过网络安全模块实施来保护计算设备不受计算设备和网络之间的处于危险中的网络活动的影响。
附图说明
通过连同附图一起参考下面的详细说明,可更容易地并更佳地理解本发明的上述方面以及所伴随的许多优点。
图1是说明现有技术中的示例性联网环境的直观图,通常通过该联网环境来散布计算机漏洞利用;
图2A和2B是说明示范出与释放到网络上的计算机漏洞利用有关的计算机系统的不同弱点窗口的示例性时间线的框图;
图3A和3B是说明适用于实施本发明的诸方面的示例性联网环境的直观图;
图4A和4B是用于示范出本发明如何使与计算机漏洞利用相关联的弱点窗口最小化的示例性时间线的直观图;
图5是根据本发明的用于根据公布的安全信息动态地控制计算机系统的网络访问的示例性例程的流程图;
图6是说明根据本发明的由安全服务实施的用于在示例性联网环境中公布用于网络安全模块的安全信息的示例性例程的流程图;
图7是说明由安全服务实施的用以接收和响应对来自网络安全模块的安全信息的请求的示例性例程的流程图;
图8是说明由网络安全模块实施的用于根据从安全服务获得的安全措施来控制计算机和网络之间的网络通信流的示例性方法的流程图。
具体实施方式
图3A是说明适用于实施本发明的诸方面的示例性联网环境300的直观图。示例性的联网环境300包括连接于网络110的计算机302。应注意,虽然根据连同诸如计算机302之类的个人计算机的操作来总地描述本发明,但是这仅仅是出于说明目的,而不应被解释成对本发明的限制。本领域的技术人员将容易地认识到计算机漏洞利用可能攻击几乎任何联网的计算设备。因此,本发明有利于实施来保护各种类型的计算机、计算设备或计算系统,包括但不限于;个人计算机、平板式计算机、笔记本计算机、个人数字助理(PDA)、小型机和大型机、无线电话机(通常称为蜂窝电话机)、诸如无线电话机/PDA的组合之类的混合计算设备等等。本发明还有利于实施来保护硬件设备、外围设备、软件应用程序、设备驱动器、操作系统等等。
应理解,网络110可包括任何数量的实际通信网络。这些实际通信网络包括但不限于:因特网、广域网和局域网、内联网、蜂窝网、IEEE 802.11和蓝牙无线网络等等。因此,虽然根据计算机网络,尤其是根据因特网来描述本发明,但是这仅仅是出于说明目的,而不应被解释成对本发明的限制。
示例性联网环境300还包括网络安全模块304和安全服务306。网络安全模块304置于诸如计算机302之类的计算机与网络110之间。网络安全模块304可物理上或逻辑上置于计算机302和网络110之间。计算机302和网络110之间的通信流经网络安全模块304。根据本发明,网络安全模块304根据与计算机的具体配置相对应的安全信息来选择性地控制计算机302与网络110之间的网络活动,所述计算机的具体配置包括但不限于:安装在计算机302上的特定操作系统修订版、包括防病毒软件和对应的特征印记数据文件的修订信息的防病毒信息、安装的应用程序、设备驱动器等等,所有这些都可能是计算机漏洞利用的潜在目标以利用计算机系统弱点。
根据本发明的一个实施例,为了周期性地从安全服务306获得安全信息,网络安全模块304周期性地向安全服务306发出对与计算机302的特定的、具体的配置相对应的安全信息的安全信息请求。网络安全模块304可配置成周期性地从安全服务306获得安全信息。例如,网络安全模块304可配置成每分钟从安全服务306获得安全信息。可选地,网络安全模块304可配置成根据用于规定的时间周期从安全服务306获得安全信息。
获得与计算机的特定的、具体的配置相对应的安全信息,这是重要的,因为许多用户出于种种原因必须延迟更新他们的计算机系统。例如,可能因为计算机暂时停用而发生对操作系统或防病毒软件的更新的延迟。从而,虽然操作系统和/或防病毒软件的大多数当前修订可提供对新发现的计算机漏洞利用的足够的保护,但是计算机可能不是“最新的”,从而易受到计算机漏洞利用的影响,必须实施与计算机的特定配置相对应的安全措施。因此,安全信息请求可包括但不限于:识别计算机操作系统修订版本的信息,包括已安装的补丁;计算机使用的特定的防病毒软件和修订版本,以及软件和数据文件更新;以及诸如电子邮件或浏览器标识符、修订版本、固件提供商和版本之类的网络使能的应用程序信息,以及其它安全设置。
根据本发明的诸方面,作为更新计算机系统组件的动作之一,网络安全模块304获得计算机的特定配置信息。例如,当用户在计算机302上安装操作系统补丁时,作为安装操作系统补丁的动作之一,向网络安全模块304通知现在的操作系统的当前修订。类似的,诸如网络使能的应用程序或防病毒软件之类的其它计算机系统特征在它们被更新时通知网络安全模块304,从而,网络安全模块可根据计算机的具体的当前配置而获得最精确且足够的安全信息来保护计算机302。
根据安全信息请求中的计算机的特定配置信息,安全服务306识别相关的安全信息,以保护计算机不受到已知的或已察觉的计算机系统弱点的影响。下面更详细地描述了识别相关的安全信息。安全信息包括保护安全措施,由网络安全模块304来实施,使得网络安全模块使计算机302与已知弱点的计算机漏洞利用相隔离。保护安全措施可包括任何数量的网络活动控制或其组合,包括但不限于:阻止计算机302和网络110之间的所有网络活动,除了确定已知的、安全的网络位置之间的通信之外,例如用于安装补丁或更新的安全服务306或防病毒软件服务308;阻止特定通信端口和地址上的网络通信;阻止前往和/或来自特定的与网络有关的应用程序(如电子邮件或Web浏览器应用程序)的通信;以及阻止对计算机302上的特定硬件或软件组件的访问。从而,一旦接收到安全响应,网络安全模块就实施安全措施。
如上所述,网络安全模块304置于计算机302和网络110之间,如此,计算机和网络之间的所有网络活动必须流经网络安全模块。随着网络通信流经网络安全模块304,网络安全模块监控网络通信,实施从安全服务306接收的保护安全措施,例如阻止除了已知的、安全的位置之间的通信之外的所有网络访问。
根据本发明的进一步的方面,安全响应还可包括指定的安全等级,例如红色等级、黄色等级和绿色等级。安全等级代表了向计算机302的用户标识由网络安全模块304实施的保护措施的代表性等级。例如,红色安全等级可指示出网络安全模块304当前正在阻止除了来往已知的、安全的位置的访问之外的计算机302和网络110之间的所有网络活动。可选地,黄色安全等级可指示出网络安全模块304当前正在实施某些保护安全措施,而计算机302仍然可与网络110通信。又,绿色安全等级可指示出网络安全模块304不实施任何保护安全措施,计算机302和网络110之间的通信不受限制。根据上述的安全等级,以及出于说明的目的,红色安全等级还可被称为是完全锁闭(full lock-down),黄色安全等级还可被称为是部分锁闭,而绿色安全等级还可被称为是自由网络访问。虽然上述说明标识了三种安全等级以及红色、黄色和绿色模式,但是它们仅仅是说明性的,而不应被解释成本发明的限制。本领域的技术人员将容易地认识到可实施任何数量的安全等级,具有对于用户不同的表现形式。
由于网络安全模块304以自主方式工作,即不要求用户的干涉,上述的安全等级以及安全等级的任何对应的视觉表现形式仅仅是用于向用户提供信息。它们可用于向用户提供由网络安全模块304实施的限制等级的指示。在用户试图确定网络连接是否发生故障或网络活动是否由于当前网络安全关系而受到限制时,该视觉指示尤其有用。
根据本发明的诸方面,并且作为附加的安全措施,当网络安全模块304加电时,网络安全模块304进入默认状态。该默认状态对应于最高安全等级,即完全锁闭,使得计算机302和受信任的网络位置之间的网络活动是可允许的。或者作为加电的一部分,或者作为与安全服务306的周期性通信的一部分,网络安全模块304获得最新的安全信息,并根据该安全信息可较不实施较不受限的安全措施。显然,网络安全模块304实施完全锁闭的默认状态,这对于计算机302来说是有利的,因为在网络安全模块断电的期间,可能已经识别出弱点或释放到网络110上的漏洞利用。
根据本发明的一个实施例,网络安全模块304不从计算机302请求或访问信息。相反,网络安全模块304对与某些事件有关的从计算机302向其发送的信息起作用。从而,当网络安全模块304最初开始保护计算机时,例如当网络安全模块最初置于计算机302和网络110之间时,网络安全模块将不具有与计算机系统相对应的任何具体的配置信息。如上所述,当网络安全模块304不具有关于计算机302的配置信息时,或者当网络安全模块304加电时,网络安全模块进入其默认状态,即完全锁闭状态。然而,如上所述,完全锁闭状态仍然允许计算机302与已知的、安全的位置进行通信。作为例子,这些已知的、安全的位置包括操作系统更新所处于的位置。从而,用于可运行更新过程,导致配置信息发送到网络安全模块304,即使计算机302配置了可用的最新的操作系统、防病毒软件、应用程序和设备驱动器修订版本和更新也是如此。可选地,可提供特定的程序来通知网络安全模块304有关计算机系统的当前配置。
为了确保网络安全模块304和安全服务306之间的通信是可信的、未被破坏的,在本发明的一个实施例中,网络安全模块和安全服务之间的通信,例如安全请求和安全信息,适宜加密的安全通信进行传递的,例如使用加密套接字协议层(SSL)的安全通信。类似地,网络安全模块304和计算机302之间的通信也类似的是安全的。
根据本发明的可选方面,网络安全模块304连续工作,即获得对应于计算机302的安全信息,即使当计算机关闭也是如此。例如,网络安全模块304可连续地获得关于计算机302的安全信息,所有信息都是对应于计算机304加电时提供给计算机的最新的操作系统和/或防病毒软件修订版本数据。根据一个实施例,网络安全模块304连接至计算机的辅助电源线,如本领域的技术人员所已知的那样,辅助电源线即使在计算机302关闭的情况下也向外围设备提供电源。此外,如果网络安全模块304仅在计算机302工作时工作,当网络安全模块恢复工作时,网络安全模块实施完全锁闭,同时它获得与计算机的当前配置相对应的最近的安全信息。
根据本发明的另一个实施例,网络安全模块304可由用户任选地禁用。这是有用的,因为存在某些时候有必要安全访问网络,这比冒来自计算机漏洞利用的攻击的风险更为重要。例如,在试图确诊联网困难/问题时,可能必须禁用网络安全模块304。可选地,某些紧急情况,诸如使用E911 IP语音(VoIP),可能需要禁用网络安全模块304。
根据本发明的一个方面,当被禁用时,网络安全模块304继续获得来自安全服务306的安全信息,虽然它并不实施这些保护安全措施。连续地更新安全信息,这对于用户来说是有利的,特别是在网络安全模块304仅仅暂时禁用的情况下更是如此,因为网络安全模块重新被激活时将具有最近的安全信息。可选地,如果网络安全模块304被禁用,并且不继续更新,则在与安全服务306无通信的预定时间周期之后,网络安全模块可回复到其默认状态,即完全锁闭网络活动。
安全服务306可实施为用于所有安全信息的单个服务器/源,或者可选地,可实施为分布在网络110上的分级的服务器/源。在分级系统中,网络安全模块304初始配置有安全服务中的根服务器/服务,它总是存在的。然而,作为由安全服务返回的安全信息的一部分,也可能是在网络安全模块304和安全服务之间的第一次通信中返回的,安全服务提供关于安全服务的分级的信息。该信息可按照一个或多个范围的网络地址来提供,所有这些地址都是安全服务分级中的能够向网络安全模块304提供适当的安全信息的节点。此后,网络安全模块304不必询问原始节点来获得信息。显然,以分级方式实施安全服务的一个优点在于,可容易地缩放安全服务,以适应于请求信息的网络安全模块的数量,并且,安全服务分级中的原始节点将不会被来自网络中的所有网络安全模块的安全信息请求所淹没。在网络110中分布的分级结构下,还会发生负载平衡,并且可将冗余度建立到系统中,使得如果分级中的一个节点发生故障,其它节点可进入并提供安全信息。
根据本发明的诸方面,使用本领域中的已知技术,例如端口模拟(portmimicking),网络安全模块304对于计算机302和网络110来说是透明的。一般来说,使用端口模拟,网络安全模块304表现为网络110到计算机302,以及表现为计算机到网络上的设备。从而,网络活动自由地通过网络安全模块304而在计算机302和网络110之间流动,除非网络安全模块确定通信是针对网络安全模块,例如操作系统更新更新或安全信息响应,或者除非根据保护安全措施网络安全模块必须阻止网络活动。
如上所述,作为询问的结果,网络安全模块304从安全服务306获得安全信息。本领域的技术人员将把它识别为轮询(poll)系统,即向安全服务306轮询安全信息。然而,在可选的实施例中,安全服务306有利地将重要的安全信息广播到网络110中的网络安全模块。例如,根据联网环境300中的网络安全模块从安全服务306获得安全信息的周期间隔,如果某一特定的恶性计算机漏洞利用开始在网络110上的传播,安全服务将安全信息广播到网络安全模块,而不是等待网络安全模块请求重要的安全信息。该安全信息下文中被称为是安全公告,典型地将包括易受到计算机漏洞利用影响的所有配置、要采用的保护安全措施、以及指示出对应的安全等级。根据本发明的一个实施例,安全公报是根据预定的模式组织的XML文档。
将信息向收听者广播的系统被称为是下推系统(push system),即安全服务306将重要的安全信息下推到网络安全模块。根据本发明的诸方面,安全公告是使用“有保证的传递”服务的网络上的广播。在有保证的传递服务中,安全公告被标识为高优先级项目,并且按照网络服务提供者,在传递可能在其它情况下首先传递的其它网络通信之前传递。
除了在计算机302进行通信的同一网络110上传递安全公告之外,很多时候进行“带外”通信是有利的,即通过与网络110分开的第二通信链路。图3B是说明用于实施本发明的诸方面的另外配置的联网环境310的直观图,包括用于将安全信息传递到依附于网络110的网络安全模块的第二通信链路。
如图3B所示,另外配置的联网环境310包括与上述关于联网环境300所述的组件相类似的组件,包括计算机302、安全服务306和网络安全模块304。然而,安全服务306还配置成通过第二通信链路314向网络安全模块304发送包括安全信息和/或安全公告的安全信息。根据本发明的诸方面,第二通信链路314可以是安全服务306和网络安全模块304之间的卫星通信链路、射频广播、或某种其它形式的次级通信。本领域的技术人员将认识到可使用任何数量的通信信道。
根据本发明的可选的方面,第二通信链路314可以是来自安全服务306和网络安全模块304的单向通信链路,或者是安全服务和安全模块之间的双向通信链路。此外,也可在来自安全服务306的第二通信链路314上下载如上所述的软件更新或补丁。
虽然网络安全模块304置于计算机302和因特网110之间,但是网络安全模块的实际实施例是可以变化的。在各种情况下,网络安全模块304被计算机302作为受信任的组件对待。根据一个实施例,网络安全模块304实现为硬件设备,有时称为“dongle”,它位于计算机302的外部,具有连接至网络110和计算机的连接。可选地,网络安全模块304可以实现为集成在计算机302之内的硬件组件,或计算机的网络接口中的集成子组件。将网络安全模块304集成于计算机302中,或作为计算机网络接口上的子组件,这在计算机302通过无线连接连接至网络110的情况下可能是尤其有用的。
根据另一可选的实施例,网络安全模块可实现为计算机302的组件内的逻辑,如微代码或固件,计算机302的组件包括但不限于处理器、图形处理单元、北桥或南桥。作为又一可选的实施例,网络安全模块304可实现为软件模块,连同操作系统一起或作为操作系统的一部分进行工作,或作为安装在计算机302上的单独的应用程序。软件实现的网络安全模块304可工作在计算机302的第二处理器上。第二处理器可以或可以不与计算机的主处理器不对称地实施其它计算机系统任务。因此,网络安全模块304不应被解释成局限于任何特定的实施例。
应该指出的是,本发明所实现的好处之一在于系统减轻了许多漏洞利用的影响。例如,本领域的技术人员将认识到拒绝服务(DOS)攻击是一种利用网络请求淹没计算机的企图,使得计算机耗尽其资源并崩溃,或者,错误地进入更容易受到外部攻击/漏洞利用的攻击的不明确的状态。然而,利用网络安全模块304通过实施保护安全措施来响应安全服务306,这些漏洞利用,包括可能的无法阻止的网络请求就不会到达计算机302。
为了更充分地理解上述组件如何工作来向计算机302提供增强的安全性,参考具有对应事件的时间线上例示出的示例性的情况。图4A和4B是说明用于说明本发明的组件的工作的示例性时间线的框图。更为具体地,图4A是说明用于示范出本发明如何使与网络110上新的计算机漏洞利用的释放有关的计算机302的弱点窗口406最小化的示例性时间线400的直观图。应注意到,虽然按照攻击操作系统的计算机漏洞利用来给出下面的说明,但是这是出于说明目的,而不应被解释成对本发明的限制。本发明可用于保护代码模块、服务、甚至是计算机系统上的硬件设备。
如时间线400所示,在事件402处,恶意方将新的计算机漏洞利用释放到网络110上。新的计算机漏洞利用的释放打开了连接至网络110的作为新的计算机漏洞利用的目标的计算机(如计算机302)的弱点窗口。在事件404,如上所述,通过操作系统提供商、防病毒软件提供商或其它,检测到新的计算机漏洞利用的存在。
一旦检测到新的计算机漏洞利用的存在,即使在识别出漏洞利用的攻击的性质或模式之前,在事件408处,操作系统提供商通过安全服务306公布安全信息。典型地,当发现计算机漏洞利用,而其攻击的性质、外延或模式还未已知的情况下,安全服务将把所有明显受感染的计算机的安全等级设置为红色,即完全锁闭。有利的是,一旦实施来自安全服务306的安全措施,作为目标的计算机的弱点窗口406就关闭。
与图2B所示的弱点窗口230相反,弱点窗口406相对较小,从而将目标计算机系统对新的计算机漏洞利用的暴露降至最低。显然,弱点窗口(例如弱点窗口406)打开的实际时间长度取决于较少数量的因素。一个因素是检测到计算机漏洞利用之前经过的时间量。如上所讨论的那样,一般从新的计算机漏洞利用释放后的十五分钟至数小时内检测到该新的计算机漏洞利用。比第一因素更可变的第二因素是网络安全模块304从安全服务306获得安全信息而花费的时间量。假设网络安全模块304可连续地获得安全信息,它可能只花费几秒就获得安全信息并实施对应的安全措施。然而,如果网络安全模块304不能连续地与安全服务306通信,或者如果用于获得安全信息的周期时间帧长,则实施保护安全措施可能花费很长的时间。根据本发明的诸方面,如果安全模块304与安全服务306失去联系达预定的时间量,则网络安全模块默认为完全锁闭状态,等待来自安全服务的未来通信。
在公布了初始安全信息之后,操作系统提供商护或防病毒软件提供商一般将继续分析计算机漏洞利用,以更好地理解它如何工作和/或它攻击哪些具体的计算机系统特征。通过该分析,就识别出第二组(也许是较不限制性的)保护措施,有弱点的计算机系统必须采用这些保护措施来防止计算机漏洞利用感染这些计算机。因此,在事件412处,以黄色安全等级以及标识出保护措施来公布更新的安全信息,以阻止处于危险中的网络活动,即部分地锁闭。例如,如上所述,保护安全措施可包括简单地阻止来往特定范围的通信端口(包括源和/或目的端口)的访问,或禁用电子邮件通信、Web访问或针对安装在受保护的计算机系统上的操作系统、应用程序、设备驱动器等等的其它网络活动,同时允许其它网络活动自由流通。应理解到“处于危险中的”网络活动包括通过漏洞利用来表示对计算系统的威胁的网络活动,而不管该漏洞利用是攻击计算机系统缺陷还是简单地滥用合法的计算机系统特征。此外,“处于危险中的”网络活动包括针对计算机系统的由另一设备单方面地发起的网络活动。换言之,“处于危险中的”网络活动包括针对仅仅连接至网络的计算机系统的漏洞利用的网络活动。
在事件414处,网络安全模块304获得更新的安全信息,并且对应的保护安全措施被实施。在事件416处,在操作系统提供商和/或防病毒软件提供商产生和做出可用的软件更新之后,公布额外的更新的安全信息。如果诸如来自操作系统提供商、防病毒软件提供商或应用程序提供商的更新之类的软件更新安装在计算机302上,则该额外的更新的安全信息可标识出安全等级是绿色的。接着,在事件418处,获得额外的更新的安全信息,软件更新安装在计算机302上,并且网络安全模块304允许自由的,即无限制的网络访问。
图4B是说明用于示范出本发明如何消除关于网络110上的计算机漏洞利用的释放而存在的弱点窗口的示例性时间线420的直观图,具体来说是利用先前识别出的弱点而非完全新的攻击的漏洞利用。如所述,使用先前已知的弱点比完全新的攻击更为普遍。在事件422处,操作系统提供商识别出在操作系统的当前版本中的弱点的存在。响应于识别出的弱点所形成的威胁,在事件424处,操作系统提供商公布减轻威胁的安全信息,设置安全等级,并标识出对应的保护安全措施。在图4B所示的当前实施例中,假设弱点对连接至网络110的计算机造成了相当大的危险,操作系统提供商公布将安全等级设置为红色并具有实施完全锁闭的安全措施的安全信息。在事件426处,网络安全模块304获得最近的安全信息,并实施完全锁闭。应注意到,实施安全措施以在补丁或“修正”可用之前保护计算机302不受识别出的弱点的影响。由于多数计算机漏洞利用是以某种方式从通过分析补丁所修补的弱点而获得信息中得出的,因此抢先不给予恶意方有机会创建漏洞利用以攻击该弱点。从而,不打开任何弱点窗口。显然,该结果对于计算机用户来说是相当有用的,尤其是当网络安全模块不实施安全措施时与图2A所示的对应的时间线200相反。
通常,在进一步分析计算机漏洞利用之后,操作系统提供商可确定一组较不限制性的保护措施,保护连接至网络的计算机不受计算机漏洞利用的影响。从而,如图4B所示,在事件428处,公布更新的安全公告,该安全公告设置黄色安全等级并包含对应的保护安全措施,即部分锁闭,专门针对被利用的弱点,同时允许所有其它的网络活动。对应地,在事件430处,获得更新的安全信息,网络安全模块304实施部分锁闭。
一旦操作系统补丁或防病毒更新可用,即如果安装在计算机302上将保护计算机不受以所述弱点为目标的计算机漏洞利用的影响,则在事件432处,操作系统提供商公布该信息,并指示出一旦安装,则网络安全模块就可允许自由的网络访问,即一旦安装补丁,则将安全等级设置为绿色。对应地,在事件434处,在计算机302上安装了补丁或防病毒更新之后,网络安全模块304允许自由访问。
图5是说明用于根据公布的安全信息动态地控制计算机的网络访问的示例性例程500的流程图。图5包括两个起始端,起始端502对应于网络安全模块304的启动,起始端520对应于接收来自计算机系统302的更新通知。首先在起始端502开始并进行到块504,网络安全模块304实施与完全锁闭相关的安全措施。如上所述,当处于完全锁闭中时,计算机仅限于访问已知的、受信任的网络位置,包括安全服务306,以便获得最新的安全状态信息和任何可用的更新。
在块506,网络安全模块304从安全服务306获得对应于计算机的当前配置的最新的安全信息。根据本发明的诸方面,网络安全模块304可通过向安全服务发出对信息的请求来获得最新的安全信息。可选地,网络安全模块304可按照安全服务306的广播来获得最新的安全信息,所述广播或者通过第二通信链路或者通过网络上的广播。
在判决块508,根据从安全服务306获得的最新的安全信息,网络安全模块304判断当前实施的安全措施以及对应的安全等级是否是与获得的安全信息保持最新。根据本发明的一个方面,按照网络安全模块当前存储的计算机系统的修订版本信息与安全服务公布作为最新的修订版本信息之间的简单比较,来做出判断。
如果当前实施的安全措施不是最新的,则在块510处,网络安全模块304获得对应于网络安全模块已存储的关于该计算机系统的信息的用于该计算机系统的安全措施。可选地(未示出),安全措施可包含在获得的安全信息中。一旦网络安全模块304具有安全措施,则在块512处,网络安全模块实施该安全措施,并设置对应的安全等级,如红色、黄色或绿色。
在实施了用于该计算机系统的安全措施后,或可选地如果当前实施的安全措施对于该计算机系统来说是最新的,则在块514,网络安全模块304进入延迟状态。该延迟状态对应于网络安全模块304周期性地询问安全服务306以获得最新的安全信息的时间周期。在延迟了预定的时间量之后,过程返回到块506,重复从安全服务306获得最新的安全信息、判断当前实施的安全措施对于计算机系统是否是最新的、以及实施任何新的安全措施的过程。
如图5所示,示例性例程500不具有结束端,因为它被设计成连续工作以保护计算机302不受计算机漏洞利用的影响。然而,本领域的技术人员将认识到,如上所述,如果网络安全模块304关闭、与示例性的联网环境300断开连接、或被用户明确禁用,则例程500将终止。
关于另外的起始端520,该进入点表示网络安全模块304接收来自计算机系统的更新通知的情况。如先前所讨论的那样,作为更新计算机系统的步骤之一,适用于利用本发明的应用程序将通知网络安全模块新的当前修订版本信息。例如,在更新防病毒软件的同时,过程的一个步骤将是发出针对网络安全模块304的通知,通知网络安全模块新的当前修订版本。从而,在块522处,网络安全模块接收更新通知。
在块524,网络安全模块存储更新通知信息,以稍后用于确定当前实施的安全措施是否是最新的。操作系统更新以及其它代码模块更新也可适应于向网络安全模块304提供通知,使得安全系统可做出关于保护任何给定的计算机系统所必须的适当的安全措施的更充分的判决。
在存储了信息之后,例程500进入到块506,如上所述,开始从安全服务306获得最新的安全信息、判断当前实施的安全措施对于计算机系统是否是最新的、以及实施任何新的安全措施的步骤。作为替代(未示出),在块524处接收了更新的计算机系统信息之后,网络安全模块可等待以获得安全状态信息,直到当前延迟状态结束为止。
图6是说明用于在示例性联网环境300中广播用于网络安全模块(如网络安全模块304)的安全信息的示例性例程600的流程图。起始于块602,安全服务306从各种源获得与安全有关的信息。例如,安全服务306一般将从操作系统提供商、防病毒软件提供商获得关于最新的修订版本、补丁、和可用更新的信息,以及通过各种补丁和更新而解决的计算机漏洞利用和/或弱点。也可轮询其它源(包括各种政府机构、安全专家等)关于与安全有关的信息。
在块604,安全服务306获得与连接至网络110的计算机系统的弱点有关的信息。该信息可来自操作系统提供商、防病毒软件提供商或检测到该弱点的其它方。在块606,安全服务306根据弱点所引起的威胁判断安全等级(如红色、黄色或绿色)以及要求网络安全模块(如网络安全模块304)所实施的保护安全措施,以保护受影响的计算机不受关于该弱点的计算机漏洞利用的攻击。
在块606,如上所述,安全服务306向依附于网络110的网络安全模块广播安全公告,包括安全等级和对应的保护安全措施。如上所讨论的那样,安全服务306可通过向所有网络安全模块发出网络范围的广播来广播安全公告。该网络范围的广播可以基于网络110,任选地使用上述的有保证的传递选项,或基于联网环境300中至网络安全设备的第二通信链路314。在广播安全公告之后,例程600终止。
图7是说明由安全服务306实施的用以接收和响应来自网络安全模块304的安全信息请求的示例性例程700的流程图。起始于块702,安全服务306从网络安全设备304接收安全信息请求。如已经描述的那样,安全信息请求可包括对应于计算机的当前配置的信息。
在块704,根据网络安全模块所提供的安全信息请求中的特定计算机的配置信息,安全服务306识别与安全信息请求中的计算机的当前配置信息相对应的相关安全信息。
根据一个实施例,安全服务306通过根据计算机的配置信息确定保护计算机302所需要的保护安全措施来识别相关的安全信息。根据另一实施例,安全服务306通过将对应于特定计算机的配置的所有安全信息返回以用于进一步由网络安全模块处理来确定应当实施的保护安全措施,来识别相关的安全信息。作为又一替代,安全服务306通过返回随后将从网络安全设备转送到计算机302的对应于特定的计算机配置的所有安全信息来识别相关的安全信息,使得计算机能够向网络安全模块要实施哪些保护安全措施。也可使用上述可选方案的组合以及其它系统。因此,本发明不应被解释成局限于任一特定实施例。
在块706,安全服务306将相关的安全信息返回到做出请求的网络安全模块304。此后,例程700终止。
图8是说明由网络安全模块304实施的用于根据从安全服务306获得的安全措施来控制计算机302和网络之间的网络通信流的示例性方法800的流程图。起始于块802,网络安全模块304解说网络通信,包括来到计算机302的网络通信以及源自计算机的网络通信。
在判决块804,做出关于网络通信是否是来自或前往受信任的网络站点(例如安全服务、防病毒软件提供商、操作系统提供商等等)的判决。如果网络通信是来自或前往受信任的网络站点,则例程进行到块810,在块810,允许网络通信流过网络安全模块304,并且例程800接着终止。然而,如果网络通信不是来自或前往受信任的网络站点,则例程进入到判决块806。
在判决块806,做出关于网络通信是否根据当前实施的安全措施而受到限制的另一判断。如果根据当前实施的安全措施,网络通信不受限制,则例程进行到块810,在块810,允许网络通信流过网络安全模块304,并且例程800接着终止。然而,如果根据当前实施的安全措施,网络通信受到限制,责例程进行到块808,在块808,不允许网络通信流过网络安全模块304。此后,例程800终止。
虽然网络安全模块304置于计算机302和因特网110之间,网络安全模块的实际实施例是可变化的。根据图3所例示的实施例,网络安全模块304可实现为计算机302外部的硬件设备,具有对因特网110和计算机302的连接。然而,本发明不应被解释成局限于该实施例。作为一个替代(未示出),网络安全模块304可以是集成作为计算机302内的组件的组件,或作为计算机的网络接口内的子组件。这两个实施例在计算机302通过无线连接连接至因特网110时是尤其有用的。作为又一个替代实施例,网络安全模块304可实现为集成在操作系统内的软件模块,或作为安装在计算机302上的单独的模块。因此,网络安全模块304不应被解释成局限于任何特定的实际的或逻辑的实施例。
虽然已经例示和描述了本发明的较佳实施例,但是应理解可做出各种改变而不背离本发明的精神和范围。
Claims (21)
1.一种用于保护连接至通信网络的计算设备不受经识别出的安全威胁的影响的网络安全系统,其特征在于,所述系统包括:
置于计算设备和通信网络之间的网络安全模块;以及
公布用于网络安全模块的安全信息的安全服务,所述安全信息包括安全措施,当由所述网络安全模块实施时,保护对应的计算设备不受到经识别出的安全威胁的影响。
2.如权利要求1所述的网络安全系统,其特征在于,所述安全措施可包括阻止除了计算设备和受信任的通信网络位置之间的网络活动之外的计算设备和通信网络之间的所有网络活动。
3.如权利要求2所述的网络安全系统,其特征在于,所述安全措施可包括选择性地阻止计算设备和通信网络之间的涉及与网络活动的源和/或目的相对应的某一范围的通信端口的网络活动。
4.如权利要求3所述的网络安全系统,其特征在于,所述安全措施可包括阻止计算设备上执行的代码模块和通信网络之间的网络活动。
5.如权利要求4所述的网络安全系统,其特征在于,所述安全信息还包括安全等级,所述安全等级对应于安全信息中的安全措施。
6.如权利要求5所述的网络安全系统,其特征在于,所述安全信息还包括操作系统修订版本值,所述操作系统修订版本值标识出对于该计算设备最新可用的操作系统修订版本。
7.如权利要求6所述的网络安全系统,其特征在于,所述安全信息还包括防病毒软件修订版本值,所述防病毒软件修订版本值标识出对于该计算设备最新可用的防病毒软件修订版本。
8.如权利要求1所述的网络安全系统,其特征在于,所述安全服务响应于标识出计算设备上的操作系统的当前修订版本的操作系统修订版本值的安全请求,返回包含安全措施的安全响应,用于根据计算设备上的操作系统的当前修订版本来保护计算设备不受已知安全威胁的影响。
9.如权利要求8所述的网络安全系统,其特征在于,所述安全请求还标识出计算设备上的当前防病毒软件修订版本的防病毒软件修订版本值,所述安全响应包括安全措施,用于根据计算设备上的操作系统和防病毒软件的当前修订版本来保护计算设备不受已知安全威胁的影响。
10.如权利要求1所述的网络安全系统,其特征在于,所述安全服务通过将安全信息存储于连接至通信网络的受信任的位置上来公布安全信息。
11.如权利要求1所述的网络安全系统,其特征在于,所述安全服务通过在与通信网络分离的第二通信链路上广播安全信息,来公布安全信息。
12.如权利要求11所述的网络安全系统,其特征在于,所述第二通信链路是卫星通信链路。
13.如权利要求11所述的网络安全系统,其特征在于,所述第二通信链路是射频通信链路。
14.如权利要求1所述的网络安全系统,其特征在于,所述安全服务通过通信网络上的综合广播来公布安全信息。
15.如权利要求1所述的网络安全系统,其特征在于,所述安全服务使用有保证的传递服务来在通信网络上公布安全信息。
16.一种用于保护通信网络中的计算设备不受通信网络上传播的经识别出的安全威胁的影响的方法,其特征在于,所述方法包括:
获得与对通信网络中的计算设备的经识别出的安全威胁有关的信息;以及
在通信网络中向网络安全模块公布与经识别出的安全威胁有关的安全信息,其中通信网络中的每个网络安全模块置于计算设备和通信网络之间,安全信息包括保护安全措施,当由网路安全模块实施时,保护计算设备和通信网络之间的处于危险中的网络活动不受到经识别出的安全威胁的影响。
17.如权利要求16所述的方法,其特征在于,所述保护安全措施包括阻止除了计算设备和受信任的通信网络位置之间的网络活动之外的计算设备和通信网络之间的所有网络活动。
18.如权利要求16所述的方法,其特征在于,所述保护安全措施包括选择性地阻止计算设备和通信网络之间的涉及与网络活动的源和/或目的相对应的某一范围的通信端口的网络活动。
19.如权利要求16所述的方法,其特征在于,所述安全措施包括阻止计算设备上执行的代码模块和通信网络之间的网络活动。
20.一种计算机可读介质,具有计算机可执行指令,当执行时实施一种用于保护通信网络中的计算设备不受通信网络上传播的经识别出的安全威胁的影响的方法,所述方法包括:
获得与对通信网络中的计算设备的经识别出的安全威胁有关的信息;以及
在通信网络中向网络安全模块公布与经识别出的安全威胁有关的安全信息,其中通信网络中的每个网络安全模块置于计算设备和通信网络之间,安全信息包括保护安全措施,当由网路安全模块实施时,保护计算设备和通信网络之间的处于危险中的网络活动不受到经识别出的安全威胁的影响。
21.一种用于保护连接至通信网络的计算设备不受网络传播的安全威胁的影响的网络安全系统,其特征在于,所述网络安全系统包括:
安全服务,所述安全服务获得与对计算设备的网络传播的安全威胁有关的信息,并公布包括与计算设备和通信网络之间的网络活动相对应的保护安全措施的安全公告,如果实施保护安全措施,则保护计算设备不受网络传播的安全威胁的影响;以及
置于计算设备和通信网络之间的网络安全模块,所述网络安全模块获得由安全服务公布的安全公告,并选择性地实施保护安全措施,从而保护计算设备不受网络传播的安全威胁的影响。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US54478304P | 2004-02-13 | 2004-02-13 | |
| US60/544,783 | 2004-02-13 | ||
| US10/880,049 | 2004-06-29 | ||
| US10/880,049 US7814543B2 (en) | 2004-02-13 | 2004-06-29 | System and method for securing a computer system connected to a network from attacks |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100863252A Division CN102158489B (zh) | 2004-02-13 | 2005-02-16 | 保护连接至网络的计算机系统不受攻击的系统和方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN1665201A true CN1665201A (zh) | 2005-09-07 |
Family
ID=34841197
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100863252A Expired - Fee Related CN102158489B (zh) | 2004-02-13 | 2005-02-16 | 保护连接至网络的计算机系统不受攻击的系统和方法 |
| CN2005100521029A Pending CN1665201A (zh) | 2004-02-13 | 2005-02-16 | 保护连接至网络的计算机系统不受攻击的系统和方法 |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN2011100863252A Expired - Fee Related CN102158489B (zh) | 2004-02-13 | 2005-02-16 | 保护连接至网络的计算机系统不受攻击的系统和方法 |
Country Status (6)
| Country | Link |
|---|---|
| US (1) | US7814543B2 (zh) |
| EP (1) | EP1564623A1 (zh) |
| JP (1) | JP2005251189A (zh) |
| KR (1) | KR101130385B1 (zh) |
| CN (2) | CN102158489B (zh) |
| TW (1) | TWI369116B (zh) |
Families Citing this family (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7673323B1 (en) | 1998-10-28 | 2010-03-02 | Bea Systems, Inc. | System and method for maintaining security in a distributed computer network |
| US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
| US9118711B2 (en) * | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
| US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
| US7603547B2 (en) * | 2003-10-10 | 2009-10-13 | Bea Systems, Inc. | Security control module |
| US7716726B2 (en) * | 2004-02-13 | 2010-05-11 | Microsoft Corporation | System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication |
| US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
| US7836506B2 (en) * | 2004-09-22 | 2010-11-16 | Cyberdefender Corporation | Threat protection network |
| US7716727B2 (en) * | 2004-10-29 | 2010-05-11 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
| US8086615B2 (en) | 2005-03-28 | 2011-12-27 | Oracle International Corporation | Security data redaction |
| US7748027B2 (en) * | 2005-05-11 | 2010-06-29 | Bea Systems, Inc. | System and method for dynamic data redaction |
| US8667106B2 (en) * | 2005-05-20 | 2014-03-04 | At&T Intellectual Property Ii, L.P. | Apparatus for blocking malware originating inside and outside an operating system |
| US8301767B1 (en) * | 2005-12-21 | 2012-10-30 | Mcafee, Inc. | System, method and computer program product for controlling network communications based on policy compliance |
| US8966630B2 (en) * | 2006-04-27 | 2015-02-24 | The Invention Science Fund I, Llc | Generating and distributing a malware countermeasure |
| US9258327B2 (en) | 2006-04-27 | 2016-02-09 | Invention Science Fund I, Llc | Multi-network virus immunization |
| US8863285B2 (en) * | 2006-04-27 | 2014-10-14 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US8191145B2 (en) * | 2006-04-27 | 2012-05-29 | The Invention Science Fund I, Llc | Virus immunization using prioritized routing |
| US7849508B2 (en) * | 2006-04-27 | 2010-12-07 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
| US7917956B2 (en) * | 2006-04-27 | 2011-03-29 | The Invention Science Fund I, Llc | Multi-network virus immunization |
| US7934260B2 (en) * | 2006-04-27 | 2011-04-26 | The Invention Science Fund I, Llc | Virus immunization using entity-sponsored bypass network |
| US8539581B2 (en) * | 2006-04-27 | 2013-09-17 | The Invention Science Fund I, Llc | Efficient distribution of a malware countermeasure |
| US8151353B2 (en) | 2006-04-27 | 2012-04-03 | The Invention Science Fund I, Llc | Multi-network virus immunization with trust aspects |
| US8136162B2 (en) | 2006-08-31 | 2012-03-13 | Broadcom Corporation | Intelligent network interface controller |
| US8745703B2 (en) * | 2008-06-24 | 2014-06-03 | Microsoft Corporation | Identifying exploitation of vulnerabilities using error report |
| EP2211523B1 (de) | 2009-01-23 | 2016-05-04 | Siemens Aktiengesellschaft | Kommunikationsnetzwerk und Umsetzermodul |
| WO2012054401A1 (en) * | 2010-10-18 | 2012-04-26 | Board Of Regents Of The University Of Texas System | Remediation of computer security vulnerabilities |
| US8973147B2 (en) * | 2011-12-29 | 2015-03-03 | Mcafee, Inc. | Geo-mapping system security events |
| JP5814138B2 (ja) * | 2012-01-19 | 2015-11-17 | 株式会社エヌ・ティ・ティ・データ | セキュリティ設定システム、セキュリティ設定方法およびプログラム |
| JP5483754B2 (ja) * | 2012-03-09 | 2014-05-07 | 東芝ソリューション株式会社 | ソフトウェアモジュール管理装置およびソフトウェアモジュール管理プログラム |
| TWI476626B (zh) | 2012-08-24 | 2015-03-11 | Ind Tech Res Inst | 電子裝置之認證方法及密碼設定方法及認證系統 |
| US8938796B2 (en) | 2012-09-20 | 2015-01-20 | Paul Case, SR. | Case secure computer architecture |
| CN103856456A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 一种网络安全的方法和系统 |
| CN103905265B (zh) * | 2012-12-27 | 2018-03-23 | 中国移动通信集团公司 | 一种网络中新增设备的检测方法和装置 |
| US8856330B2 (en) | 2013-03-04 | 2014-10-07 | Fmr Llc | System for determining whether to block internet access of a portable system based on its current network configuration |
| CN103561002B (zh) * | 2013-10-22 | 2017-02-15 | 北京神州泰岳软件股份有限公司 | 基于防火墙策略的安全访问方法和系统 |
| US9954871B2 (en) | 2015-05-06 | 2018-04-24 | Hand Held Products, Inc. | Method and system to protect software-based network-connected devices from advanced persistent threat |
| CN107204886A (zh) * | 2016-03-16 | 2017-09-26 | 中兴通讯股份有限公司 | 一种服务端口管理的方法及装置 |
| EP3373180A1 (de) | 2017-03-09 | 2018-09-12 | Siemens Aktiengesellschaft | Verfahren und computer mit einer sicherung gegen cyberkriminelle bedrohungen |
| EP3373181A1 (de) * | 2017-03-09 | 2018-09-12 | Siemens Aktiengesellschaft | Verfahren und computer zur steuerung von schutzmassnahmen gegen cyberkriminelle bedrohungen |
| US11425106B2 (en) | 2019-02-07 | 2022-08-23 | Egress Software Technologies Ip Limited | Method and system for processing data packages |
| US11250138B2 (en) * | 2020-02-26 | 2022-02-15 | RiskLens, Inc. | Systems, methods, and storage media for calculating the frequency of cyber risk loss within computing systems |
| US12061703B2 (en) | 2020-08-14 | 2024-08-13 | Cisco Technology, Inc. | OpenTelemetry security extensions |
Family Cites Families (73)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5359659A (en) * | 1992-06-19 | 1994-10-25 | Doren Rosenthal | Method for securing software against corruption by computer viruses |
| US6294202B1 (en) * | 1994-10-06 | 2001-09-25 | Genzyme Corporation | Compositions containing polyanionic polysaccharides and hydrophobic bioabsorbable polymers |
| JP3502200B2 (ja) * | 1995-08-30 | 2004-03-02 | 株式会社日立製作所 | 暗号通信システム |
| US5987134A (en) * | 1996-02-23 | 1999-11-16 | Fuji Xerox Co., Ltd. | Device and method for authenticating user's access rights to resources |
| GB2318486B (en) * | 1996-10-16 | 2001-03-28 | Ibm | Data communications system |
| US5898842A (en) * | 1996-10-31 | 1999-04-27 | Intel Corporation | Network controller adapter that prevents loss of data received or transmitted |
| JPH10133576A (ja) * | 1996-10-31 | 1998-05-22 | Hitachi Ltd | 公開鍵暗号方法および装置 |
| ATE228747T1 (de) * | 1997-03-21 | 2002-12-15 | Canal Plus Technologies | Verfahren zum fernladen von daten in einen mpeg- empfänger/-dekoder |
| US6243815B1 (en) * | 1997-04-25 | 2001-06-05 | Anand K. Antur | Method and apparatus for reconfiguring and managing firewalls and security devices |
| US5987376A (en) * | 1997-07-16 | 1999-11-16 | Microsoft Corporation | System and method for the distribution and synchronization of data and state information between clients in a distributed processing system |
| JP3932319B2 (ja) | 1997-07-24 | 2007-06-20 | タンブルウィード コミュニケーションズ コーポレイション | 格納された鍵による暗号化/暗号解読を用いた電子メール用ファイアウォール |
| US6279110B1 (en) * | 1997-11-10 | 2001-08-21 | Certicom Corporation | Masked digital signatures |
| US6088805A (en) * | 1998-02-13 | 2000-07-11 | International Business Machines Corporation | Systems, methods and computer program products for authenticating client requests with client certificate information |
| US6308266B1 (en) * | 1998-03-04 | 2001-10-23 | Microsoft Corporation | System and method for enabling different grades of cryptography strength in a product |
| US6128738A (en) * | 1998-04-22 | 2000-10-03 | International Business Machines Corporation | Certificate based security in SNA data flows |
| US6269099B1 (en) * | 1998-07-01 | 2001-07-31 | 3Com Corporation | Protocol and method for peer network device discovery |
| US6327652B1 (en) * | 1998-10-26 | 2001-12-04 | Microsoft Corporation | Loading and identifying a digital rights management operating system |
| US6233606B1 (en) * | 1998-12-01 | 2001-05-15 | Microsoft Corporation | Automatic cache synchronization |
| US6367009B1 (en) * | 1998-12-17 | 2002-04-02 | International Business Machines Corporation | Extending SSL to a multi-tier environment using delegation of authentication and authority |
| US6484315B1 (en) * | 1999-02-01 | 2002-11-19 | Cisco Technology, Inc. | Method and system for dynamically distributing updates in a network |
| KR100684986B1 (ko) * | 1999-12-31 | 2007-02-22 | 주식회사 잉카인터넷 | 온라인상에서의 실시간 유해 정보 차단 시스템 및 방법 |
| US6405290B1 (en) * | 1999-06-24 | 2002-06-11 | International Business Machines Corporation | Multiprocessor system bus protocol for O state memory-consistent data |
| US6397303B1 (en) * | 1999-06-24 | 2002-05-28 | International Business Machines Corporation | Data processing system, cache, and method of cache management including an O state for memory-consistent cache lines |
| US6832321B1 (en) | 1999-11-02 | 2004-12-14 | America Online, Inc. | Public network access server having a user-configurable firewall |
| EP1290852A2 (en) | 2000-05-25 | 2003-03-12 | Secure Computing Corporation | Distributed firewall system and method |
| US20040034794A1 (en) * | 2000-05-28 | 2004-02-19 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| CA2350118C (en) * | 2000-06-09 | 2013-08-13 | Certicom Corp. | A method for the application of implicit signature schemes |
| US7013482B1 (en) * | 2000-07-07 | 2006-03-14 | 802 Systems Llc | Methods for packet filtering including packet invalidation if packet validity determination not timely made |
| US6760762B2 (en) * | 2000-07-17 | 2004-07-06 | Tele Services Solutions, Inc | Intelligent network providing network access services (INP-NAS) |
| US6941384B1 (en) * | 2000-08-17 | 2005-09-06 | International Business Machines Corporation | Methods, systems and computer program products for failure recovery for routed virtual internet protocol addresses |
| JP2002077274A (ja) * | 2000-08-31 | 2002-03-15 | Toshiba Corp | ホームゲートウェイ装置、アクセスサーバ装置及び通信方法 |
| US20060212572A1 (en) * | 2000-10-17 | 2006-09-21 | Yehuda Afek | Protecting against malicious traffic |
| US7225467B2 (en) * | 2000-11-15 | 2007-05-29 | Lockheed Martin Corporation | Active intrusion resistant environment of layered object and compartment keys (airelock) |
| US7181618B2 (en) | 2001-01-12 | 2007-02-20 | Hewlett-Packard Development Company, L.P. | System and method for recovering a security profile of a computer system |
| US6941366B2 (en) * | 2001-01-17 | 2005-09-06 | International Business Machines Corporation | Methods, systems and computer program products for transferring security processing between processors in a cluster computing environment |
| WO2002095543A2 (en) * | 2001-02-06 | 2002-11-28 | En Garde Systems | Apparatus and method for providing secure network communication |
| US6965928B1 (en) * | 2001-03-09 | 2005-11-15 | Networks Associates Technology, Inc. | System and method for remote maintenance of handheld computers |
| US7065587B2 (en) * | 2001-04-02 | 2006-06-20 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith |
| US7010807B1 (en) * | 2001-04-13 | 2006-03-07 | Sonicwall, Inc. | System and method for network virus protection |
| US7272636B2 (en) * | 2001-04-24 | 2007-09-18 | Sun Microsystems, Inc. | Peer group name server |
| US20030018701A1 (en) * | 2001-05-04 | 2003-01-23 | Gregory Kaestle | Peer to peer collaboration for supply chain execution and management |
| US7536715B2 (en) * | 2001-05-25 | 2009-05-19 | Secure Computing Corporation | Distributed firewall system and method |
| US8200818B2 (en) * | 2001-07-06 | 2012-06-12 | Check Point Software Technologies, Inc. | System providing internet access management with router-based policy enforcement |
| US6792543B2 (en) * | 2001-08-01 | 2004-09-14 | Networks Associates Technology, Inc. | Virus scanning on thin client devices using programmable assembly language |
| US7461403B1 (en) * | 2001-08-03 | 2008-12-02 | Mcafee, Inc. | System and method for providing passive screening of transient messages in a distributed computing environment |
| US7093121B2 (en) * | 2002-01-10 | 2006-08-15 | Mcafee, Inc. | Transferring data via a secure network connection |
| US9392002B2 (en) * | 2002-01-31 | 2016-07-12 | Nokia Technologies Oy | System and method of providing virus protection at a gateway |
| US20030149874A1 (en) | 2002-02-06 | 2003-08-07 | Xerox Corporation | Systems and methods for authenticating communications in a network medium |
| JP2003256370A (ja) * | 2002-02-26 | 2003-09-12 | Fumiaki Yamazaki | セキュリティ情報配信方法、および、セキュリティ情報配信サーバ |
| JP2003273936A (ja) * | 2002-03-15 | 2003-09-26 | First Trust:Kk | ファイアウォールシステム |
| US6782294B2 (en) * | 2002-03-22 | 2004-08-24 | Arecont Intellectual Property Holdings, Llc | Internet based distributed control system |
| US7188365B2 (en) * | 2002-04-04 | 2007-03-06 | At&T Corp. | Method and system for securely scanning network traffic |
| US6912622B2 (en) * | 2002-04-15 | 2005-06-28 | Microsoft Corporation | Multi-level cache architecture and cache management method for peer-to-peer name resolution protocol |
| US7051102B2 (en) | 2002-04-29 | 2006-05-23 | Microsoft Corporation | Peer-to-peer name resolution protocol (PNRP) security infrastructure and method |
| US20030236755A1 (en) * | 2002-06-03 | 2003-12-25 | Richard Dagelet | Enhanced point-of-sale system |
| US7502945B2 (en) * | 2002-06-28 | 2009-03-10 | Microsoft Corporation | Using a flexible rights template to obtain a signed rights label (SRL) for digital content in a rights management system |
| US20050076218A1 (en) * | 2002-07-17 | 2005-04-07 | Collie Brown | Cryptographic electronic gift certificate cross-reference to related applications |
| FI20021802A (fi) | 2002-10-09 | 2004-04-10 | Tycho Technologies Oy | Hajautetun palomuurin hallinta |
| JP2004172871A (ja) * | 2002-11-19 | 2004-06-17 | Fujitsu Ltd | ウィルス拡散を防止する集線装置およびそのためのプログラム |
| AU2003299729A1 (en) | 2002-12-18 | 2004-07-14 | Senforce Technologies, Inc. | Methods and apparatus for administration of policy based protection of data accessible by a mobile device |
| JP4517578B2 (ja) * | 2003-03-11 | 2010-08-04 | 株式会社日立製作所 | ピアツーピア通信装置および通信方法 |
| EA015549B1 (ru) * | 2003-06-05 | 2011-08-30 | Интертраст Текнолоджис Корпорейшн | Переносимая система и способ для приложений одноранговой компоновки услуг |
| CA2439582A1 (en) * | 2003-09-05 | 2005-03-05 | Webtech Dezine Inc. | Method, system and apparatus for internet-based sales generation |
| WO2005026872A2 (en) | 2003-09-16 | 2005-03-24 | Terassic-5 Infosec Ltd | Internal lan perimeter security appliance composed of a pci card and complementary software |
| JP2005165561A (ja) * | 2003-12-01 | 2005-06-23 | Fujitsu Ltd | ネットワーク接続制御プログラム、ネットワーク接続制御方法およびネットワーク接続制御装置 |
| US7360249B1 (en) * | 2004-01-13 | 2008-04-15 | Symantec Corporation | Refining behavioral detections for early blocking of malicious code |
| US20050160291A1 (en) * | 2004-01-16 | 2005-07-21 | Sharp Laboratories Of America, Inc. | System and method for securing network-connected resources |
| CA2457478A1 (en) | 2004-02-12 | 2005-08-12 | Opersys Inc. | System and method for warranting electronic mail using a hybrid public key encryption scheme |
| US20050182928A1 (en) * | 2004-02-12 | 2005-08-18 | Chandar Kamalanathan | System and method for secure HTML links |
| US20050182967A1 (en) * | 2004-02-13 | 2005-08-18 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
| US7603716B2 (en) * | 2004-02-13 | 2009-10-13 | Microsoft Corporation | Distributed network security service |
| US7716726B2 (en) * | 2004-02-13 | 2010-05-11 | Microsoft Corporation | System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication |
| US7716727B2 (en) * | 2004-10-29 | 2010-05-11 | Microsoft Corporation | Network security device and method for protecting a computing device in a networked environment |
-
2004
- 2004-06-29 US US10/880,049 patent/US7814543B2/en active Active
-
2005
- 2005-02-05 TW TW094104038A patent/TWI369116B/zh not_active IP Right Cessation
- 2005-02-10 EP EP05100953A patent/EP1564623A1/en not_active Ceased
- 2005-02-14 JP JP2005036837A patent/JP2005251189A/ja active Pending
- 2005-02-14 KR KR1020050011851A patent/KR101130385B1/ko active IP Right Grant
- 2005-02-16 CN CN2011100863252A patent/CN102158489B/zh not_active Expired - Fee Related
- 2005-02-16 CN CN2005100521029A patent/CN1665201A/zh active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1564623A1 (en) | 2005-08-17 |
| CN102158489A (zh) | 2011-08-17 |
| KR101130385B1 (ko) | 2012-03-28 |
| TWI369116B (en) | 2012-07-21 |
| KR20070070287A (ko) | 2007-07-04 |
| CN102158489B (zh) | 2013-03-27 |
| US20050182949A1 (en) | 2005-08-18 |
| US7814543B2 (en) | 2010-10-12 |
| JP2005251189A (ja) | 2005-09-15 |
| TW200536327A (en) | 2005-11-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN1661970B (zh) | 保护联网环境中的计算设备的网络安全设备和方法 | |
| CN1665201A (zh) | 保护连接至网络的计算机系统不受攻击的系统和方法 | |
| JP4741255B2 (ja) | ネットワーク化環境を介し保護された通信で配信されるコンピュータエクスプロイトからコンピューティングデバイスを保護するシステムおよび方法 | |
| US7716727B2 (en) | Network security device and method for protecting a computing device in a networked environment | |
| US7827607B2 (en) | Enhanced client compliancy using database of security sensor data | |
| AU2007261272B2 (en) | Software vulnerability exploitation shield | |
| CN111917705B (zh) | 用于自动入侵检测的系统和方法 | |
| US20070107043A1 (en) | Dynamic endpoint compliance policy configuration | |
| US20050201297A1 (en) | Diagnosis of embedded, wireless mesh networks with real-time, flexible, location-specific signaling | |
| US11197160B2 (en) | System and method for rogue access point detection | |
| CN1871612A (zh) | 适于病毒防护的网络隔离技术 | |
| JP2008535053A (ja) | パッチが当てられていないマシンの動的な保護 | |
| CN1885788A (zh) | 网络安全防护方法及系统 | |
| CN1783879A (zh) | 当网络通信受限时使虚拟网络中的网络设备能够通信 | |
| CA2680231A1 (en) | System and method for providing data and device security between external and host devices |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C12 | Rejection of a patent application after its publication | ||
| RJ01 | Rejection of invention patent application after publication |
Open date: 20050907 |