ES2217537T3 - Metodo y sistema para la identificacion y supresion de objetos ejecutables. - Google Patents

Metodo y sistema para la identificacion y supresion de objetos ejecutables.

Info

Publication number
ES2217537T3
ES2217537T3 ES98903287T ES98903287T ES2217537T3 ES 2217537 T3 ES2217537 T3 ES 2217537T3 ES 98903287 T ES98903287 T ES 98903287T ES 98903287 T ES98903287 T ES 98903287T ES 2217537 T3 ES2217537 T3 ES 2217537T3
Authority
ES
Spain
Prior art keywords
executable
gateway
server
data packets
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
ES98903287T
Other languages
English (en)
Inventor
Doron Elgressy
Asher Jospe
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
CA Inc
Original Assignee
Computer Associates Think Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Computer Associates Think Inc filed Critical Computer Associates Think Inc
Application granted granted Critical
Publication of ES2217537T3 publication Critical patent/ES2217537T3/es
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/34Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters 
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/102Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Radar Systems Or Details Thereof (AREA)
  • Communication Control (AREA)
  • Devices For Executing Special Programs (AREA)

Abstract

Un método para procesar Objetos Ejecutables, que comprende: (a) proporcionar medios de análisis capaces de un análisis sin interferencias de paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP de la red, estando establecida dicha línea de comunicaciones a través de una pasarela; (b) analizar la toma de contacto entre dicho buscador y dicho servidor, para detectar una orden "GET" enviada por el usuario y un código HTTP enviado como respuesta por dicho servidor; (c) cuando se detecta dicho código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador, mediante lo siguiente: (1) proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras; (2) comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear; (3) transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable; (4) proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.

Description

Método y sistema para la identificación y supresión de objetos ejecutables.
Campo de la invención
La presente invención está relacionada con la gestión de seguridad de redes de ordenadores. Más en particular, la invención está relacionada con métodos y sistemas para impedir la descarga y ejecución de Objetos Ejecutables no deseados en una estación de trabajo de una red de ordenadores.
Antecedentes de la invención
Internet se ha desarrollado mucho tanto con respecto a su contenido como a la tecnología empleada, desde que empezó hace unos cuantos años. En los primeros días de Internet, los lugares de la red incluían solamente texto, y tras un tiempo determinado, se introdujeron los gráficos. A medida que se desarrollaba Internet, se desarrollaron muchos estándares de compresión, tales como imágenes, voz y ficheros de vídeo, y con ellos los programas para reproducirlos (llamados "reproductores"). Inicialmente, tales ficheros eran descargados a la estación de trabajo del usuario solamente a petición suya, y eran extraídos solamente por el reproductor apropiado, y tras una orden específica procedente del usuario.
Cuando comenzó, en el curso natural del desarrollo de la World Wide Web (Entramado Mundial de Redes), la búsqueda de una forma de mostrar páginas Web más agradables, interactivas y animadas, Sun Microsystems Inc. desarrolló Java, un lenguaje que permite al administrador de la red escribir un programa, una lista de órdenes (Ejecutables de Red) que serán descargados a la estación de trabajo del usuario sin su conocimiento, y ejecutados por su buscador en su estación de trabajo. Los ejecutables se utilizan, por ejemplo, para proporcionar animación fotográfica y otros gráficos en la pantalla del navegador de red. Tales ejecutables tienen ciertas formas de acercarse a los recursos de la estación de trabajo del usuario, lo que conlleva un gran problema de seguridad. Aunque en el lenguaje Java se definieron algunos niveles de seguridad, pronto se encontró en el lenguaje un enorme agujero de seguridad.
Desde que se desarrolló Java, Microsoft ha desarrollado ActiveX, que es otro formato Ejecutable de Red, también descargado en la estación de trabajo. ActiveX tiene también problemas de seguridad de la misma clase.
Internet se ha inundado de "Ejecutables de Red" que pueden ser descargados (intencionadamente o sin conocimiento de los usuarios) en estaciones de trabajo dentro de las organizaciones. Estos códigos contienen generalmente funciones inofensivas. Aunque normalmente seguras, pueden no reunir la política de seguridad de la organización.
Una vez ejecutados, los códigos pueden atascar la red, originar daños considerables irreversibles a la base de datos local, estaciones de trabajo y servidores, o pueden dar como resultado una recuperación de información no autorizada desde diversos servidores/estaciones de trabajo. Tales elementos pueden aparecer en pequeños programas (applets) de Java, en componentes de ActiveX, en los DLL y en otros códigos de objetos, y su uso está aumentando a un ritmo sin precedentes. La mayoría de estos pequeños programas son descargados en la organización de forma no solicitada y no controlada. La empresa no tiene forma de saber nada sobre su existencia o ejecución y no hay ningún sistema para la detección temprana y la prevención de que se ejecuten los códigos.
El problema de seguridad lo resolvieron parcialmente los fabricantes de buscadores que permiten al usuario inhabilitar el uso de ejecutables. Naturalmente, esta no es una solución razonable, ya que todo el comercio electrónico y la publicidad están basados en el uso de ejecutables. El problema de seguridad es mucho más serio cuando tales ejecutables pueden alcanzar los servidores de la empresa, las bases de datos y otras estaciones de trabajo.
Algunos de estos problemas se discuten en el artículo "Filtrado de pequeños programas", de Sharon Machlis, COMPUTERWORD, vol 31, núm. 6, del 10 de Febrero de 1997, Estados Unidos, páginas 51-52, así como en el artículo de Edwards N. y otros "Servidores y pasarelas de Red de alta seguridad", COMPUTER NETWORKS AND ISDN SYSTEMS, (REDES DE ORDENADORES Y SISTEMAS RDSI), vol. 29, núm. 8-13, Septiembre de 1997, páginas 927-938, XP004095292.
En una solicitud de patente todavía sin conceder del presente solicitante, IL 120420, depositada el 10 de Marzo de 1997, se describe y reivindica un método para la prevención selectiva de la descarga y ejecución de Objetos Ejecutables no deseados en un ordenador, que comprende los pasos de:
(a)
proporcionar uno o más Centros de Control, conectado cada uno de ellos a una o más pasarelas, dando servicio cada una de las pasarelas a uno o más ordenadores de usuario final;
(b)
proporcionar medios acoplados a cada una de dichas pasarelas para detectar Objetos Ejecutables que alcancen dicha pasarela, para analizar la cabecera de cada uno de dichos Objetos Ejecutables, y determinar los recursos del ordenador que necesitan utilizar los Objetos Ejecutables;
(c)
proporcionar medios acoplados a cada una de dichas pasarelas para almacenar la Política de Seguridad de cada usuario final que representan los recursos o combinación de recursos que el administrador permite o no utilizar a un Objeto Ejecutables dentro de su destino, donde la política de seguridad se recibe y/o almacena en cada uno de dichos uno o más Centros de Control;
(d)
cuando se detecta un Objeto Ejecutable en la pasarela:
1.
Analizar la cabecera de dicho Objeto Ejecutable;
2.
Determinar los recursos del ordenador que el Objeto Ejecutable necesita utilizar;
3.
Comparar los recursos del ordenador que el Objeto Ejecutable necesita utilizar con la Política de Seguridad, y;
(i)
si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos permitidos por la Política de Seguridad, permitir al Objeto Ejecutable pasar a través de la pasarela para alcanzar el ordenador que ha iniciado su descarga; y
(ii)
si los recursos del ordenador que necesita utilizar el Objeto Ejecutable necesita utilizar están incluidos en la lista de recursos prohibidos para su uso por la Política de Seguridad, impedir que el Objeto Ejecutable pase a través de la pasarela, impidiendo así que alcance el ordenador que ha iniciado su descarga.
Un Centro de Control (CC) puede ser una unidad central de control, por ejemplo un PC u otro ordenador, que está conectada a una pluralidad de pasarelas y que actualiza los medios de memoria que contienen datos relevantes, por ejemplo la Política de Seguridad. Una vez actualizado el CC, por ejemplo por la adición de una limitación adicional de la política de Seguridad, todas las pasarelas se actualizan al momento. El uso del CC para controlar el funcionamiento de los elementos de seguridad de las pasarelas evita la necesidad (que existe en los sistemas de la técnica anterior) para actualizar cada pasarela cada vez que se hace un cambio en las políticas.
Una LAN (Red de Área Local) puede ser (aunque no está limitado a ello), por ejemplo una red de ordenadores situados en una oficina o edificio. La LAN está conectada típicamente a redes de comunicaciones exteriores, tales como el Entramado Mundial de Redes, o a unas LAN más limitadas, por ejemplo de un cliente o un suministrador, a través de una o más pasarelas. Cuanto mayor es la organización, mayor es el número de pasarelas empleadas con el fin de mantener las comunicaciones con una velocidad razonable.
Generalmente hablando, una LAN puede estar hecha también con una pluralidad de LAN más pequeñas, situadas geográficamente cerca o lejos, pero incluso si se encuentran pequeñas LAN dentro de la misma organización, los requisitos de seguridad pueden variar de un departamento a otro, y puede ser necesario mantener altos niveles de seguridad, incluyendo evitar que los Ejecutables emigren de un departamento a otro, aún dentro de la misma organización.
Los medios acoplados a cada una de dichas pasarelas para detectar Objetos Ejecutables que alcancen dicha pasarela, para analizar la cabecera de cada uno de dichos Objetos Ejecutables y para determinar los recursos del ordenador que necesita utilizar el Objeto Ejecutable, pueden ser de muchos tipos diferentes. Típicamente, el objeto ejecutable es "atrapado" y analizado en la pasarela escuchando el protocolo TCP/IP en la línea de comunicaciones, así como a otros protocolos de transferencia de objetos, tales como SMTP, HTTP, FTP, etc. Engancharse a la línea de comunicaciones y extraer el contenido de la cabecera del objeto ejecutable, son pasos que son entendidos por la persona experta, y que pueden efectuarse por medio de la programación convencional y, por tanto, no se describen aquí con detalle por razones de brevedad.
Una vez que la cabecera del Objeto Ejecutable (EO) ha sido analizada, comparar los recursos del ordenador que el EO necesita utilizar con la política de seguridad puede hacerse fácilmente, por ejemplo, comparándolos con una tabla de consulta proporcionada a la pasarela por el CC, que representa la Política de Seguridad. La comparación también puede llevarse a cabo contra los datos almacenados en el CC, y en tal caso pueden no ser necesarios medios específicos de memoria ni medios de comparación en la pasarela. Sin embargo, las consideraciones de velocidad y rendimiento especificarán a menudo que tales operaciones sean llevadas a cabo en la propia pasarela.
Las soluciones de la técnica anterior proporcionan el análisis de la comunicación que tiene lugar a través de un solo puerto, el Puerto 80, que es el puerto comúnmente empleado para navegar por la red. Sin embargo, hoy día es posible navegar por la red a través de puertos distintos al Puerto 80, mientras que el servidor HTTP del usuario, de acuerdo con la tecnología disponible actualmente, no puede trabajar sobre una pluralidad de puertos. Por tanto, si más de un usuario emplea una pasarela simultáneamente, los sistemas de la técnica anterior son ineficaces, ya que no son adecuados para el análisis simultáneo de la comunicación que tiene lugar a través de otros puertos.
Otro severo inconveniente es que se necesita un servidor HTTP muy robusto para dar servicio a una pluralidad de usuarios, cuando se funciona de acuerdo con el método de la técnica anterior.
La técnica no ha podido, hasta el presente, proporcionar un método eficaz para procesar los EO, que sea independiente del puerto utilizado y que no requiera implantar un servidor extraordinariamente robusto. Es claro, por tanto, que se necesita tal solución, particularmente a la vista del uso constantemente creciente de la red por muchas organizaciones.
Sumario de la invención
Es un objeto de la presente invención proporcionar un método eficaz para procesar Objetos Ejecutables que supere los inconvenientes antes mencionados de los sistemas de la técnica anterior.
Es otro objeto de la invención proporcionar un método tal que sea fácil de implantar y que no requiera cambios de hardware significativos.
Es un objeto adicional de la invención proporcionar un método que permita analizar los ejecutables "al vuelo" y que no entorpezca la descarga y el funcionamiento de ejecutables inofensivos.
Es otro objeto de la invención proporcionar un aparato para llevar a cabo el método de la invención.
Otras ventajas y objetos de la invención quedarán claros a medida que avanza la descripción.
La invención está dirigida, entre otras cosas, a un método para procesar Objetos Ejecutables, que comprende:
(a)
proporcionar medios de análisis capaces de un análisis sin interferencias de los paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP en la red, estando establecida dicha línea de comunicaciones a través de la pasarela;
(b)
analizar la toma de contacto entre dicho buscador y dicho servidor para detectar una orden "GET_" enviada por un usuario y un código HTTP enviado como respuesta por dicho servidor;
(c)
cuando se detecta tal código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador; mediante lo siguiente:
(1)
proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras;
(2)
comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear;
(3)
transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable; y
(4)
proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.
De acuerdo con un modo de realización preferido de la invención, el método comprende además la identificación del usuario que se comunica a través de la pasarela, y el servidor al cual está conectado dicho usuario, y el acoplo de todas las actividades y análisis a dicho usuario. Este procedimiento se necesita a veces cuando más de un usuario se conecta simultáneamente a través de la pasarela. Entonces, una pluralidad de usuarios se conecta a una pluralidad de servidores. Por tanto, es necesario seguir la pista del usuario específico que ha solicitado un Objeto Ejecutable específico desde un servidor específico, de manera que se puedan manejar adecuadamente los paquetes recibidos en la pasarela desde cualquier servidor individualizado.
En otro modo de realización preferido de la invención, el método comprende además el almacenamiento en medios de memoria de sumas de control que representen los Objetos Ejecutables analizados, junto con valores indicativos de si tal Objeto Ejecutable cumple o no con la Política de Seguridad, y la comprobación de cualquier Objeto Ejecutable entrante contra dichos valores almacenados, antes o en paralelo con su análisis, para descartar así cualquier Objeto Ejecutable identificado por ello como que no cumple con la Política de Seguridad, y permitiendo a los Objetos Ejecutables identificados como cumplidores de la Política de Seguridad que pasen por la pasarela y lleguen al usuario. Como será evidente para una persona experta, este procedimiento puede hacer más fluido y rápido el análisis de Objetos Ejecutables, ya que la verificación de una suma de control es un procedimiento que es más rápido y simple que el procedimiento de análisis completo de la cabecera del EO.
Breve descripción de los dibujos
En los dibujos:
La figura 1 es una representación esquemática de un modo de comunicación entre un buscador y un servidor HTTP de la red, a través de una pasarela, incluyendo medios adicionales de análisis, de acuerdo con un modo de realización preferido de la invención; y
La figura 2 ilustra la situación existente en unos medios de análisis de acuerdo con un modo de realización preferido de la invención, con respecto al proceso de paquetes de datos.
Descripción detallada de modos de realización preferidos
A continuación se ilustrará el método de la invención haciendo referencia a un modo de realización preferido de la misma. En la figura 1, se muestra una situación típica en la cual un buscador BR (que se ejecuta en un ordenador de un usuario final) está conectado a la red a través de una pasarela GW. En la figura 1, solamente se muestra un buscador BR, por razones de simplicidad, aunque naturalmente se designa la pasarela GW para dar servicio a una pluralidad de buscadores. De forma similar, la pasarela GW se muestra conectada solamente a un servidor HTTP de la red (designada como "WEB"), aunque naturalmente puede estar conectada a una pluralidad de servidores de la red y la conexión no es una conexión punto a punto.
De acuerdo con este modo de realización preferido de la invención, se proporcionan unos medios L de análisis, que están conectados a la línea de comunicaciones por un lado, y a la pasarela por otro. Los medios L de análisis son medios pasivos, capaces solamente de "escuchar" la conversación llevada a cabo por la línea, entre el buscador BR y el servidor WEB. L es capaz también de enviar una señal a la pasarela GW.
La comunicación de datos entre el buscador y el servidor HTTP se hace en pequeños paquetes, el conjunto de los cuales constituye una entidad, que puede ser o no un Objeto Ejecutable. Los paquetes no son transmitidos necesariamente de forma secuencial, y este hecho hace aún más difícil analizarlos. Los paquetes son transmitidos desde la WEB hasta el BR como resultado de la toma de contacto llevada a cabo entre el buscador y el servidor HTTP. Como resultado de un mensaje enviado por el usuario, que incluye la orden "GET"_, se descarga un objeto ejecutable, cuya orden es retransmitida hacia atrás en la toma de contacto por el servidor HTTP, el cual envía como respuesta un código HTTP que precede al EO solicitado.
Así, de acuerdo con la invención, el primer paso en el proceso de identificación de datos transmitidos como un objeto ejecutable potencialmente dañino es analizar los primeros cuatro bytes transmitidos por el servidor HTTP(WEB), y determinar si contienen una respuesta a la orden "GET_" enviada por el usuario, en forma de un código HTTP. Si es así, el resto de la cadena transmitida debe ser analizada también para determinar si contiene un pequeño programa (applet) de Java u otro EO no deseado. La manera en que se procesan los paquetes será descrita con más detalle a continuación.
Si los medios L de análisis determinan que está implicado un Objeto Ejecutable como se ha descrito anteriormente, deba analizarse la cabecera del EO para comprobar si cumple con la política de seguridad establecida por el usuario. Debe ponerse énfasis nuevamente en que los medios L de análisis solamente "escuchan" pero no interfieren con la transmisión de la cadena.
Los medios de análisis comprenden diferentes elementos funcionales. En la primera parte, los paquetes recibidos son almacenados y ordenados secuencialmente, de manera que pueda analizarse la cabecera de los mismos. Esto se ilustra esquemáticamente en la figura 2, en la cual se observa que los medios L de análisis comprenden medios OM de ordenación que reciben los paquetes como son transmitidos, los ordena, y los pasa en el orden correcto. Por ejemplo, como se observa en el ejemplo de la figura, se observa que se han transmitido seis paquetes en el orden 2, 1, 3, 8, 5, 10. Los paquetes 1, 2, 3 han sido ordenados secuencialmente y enviados al comprobador CH, pero como el paquete 4 no ha sido transmitido todavía, los paquetes restantes (5, 8 y 10) se mantienen en el OM hasta que puedan ser liberados. El paquete 5 será liberado solamente después de que llegue el paquete 4, y el paquete 8 solamente después de que hayan llegado los paquetes 6 y 7, y así sucesivamente. Este retardo que tiene lugar en el OM, debe ser enfatizado una vez más, que no afecta a la transacción que está teniendo lugar entre el buscador BR y el servidor HTTP, WEB, y que todos los paquetes son transmitidos normalmente en su orden no secuencial. Sin embargo, la invención aprovecha el hecho de que, aún cuando se sigan transmitiendo paquetes, el EO no puede funcionar si falta uno de los paquetes o está dañado. Por tanto, es suficiente que la pasarela se encargue de suprimir o dañar un paquete, lo cual efectúa la pasarela una vez que recibe una señal desde el comprobador que indique que la cabecera del EO comprende órdenes que están prohibidas de acuerdo con su política de seguridad. Así, de acuerdo con la invención, la transmisión de los datos no se perturba, el análisis de los paquetes se hace de una manera que no interfiere, y la transmisión solamente está afectada cuando se desea impedir que un EO se ejecute en un ordenador de un usuario final. Otra ventaja del método de la invención es que solamente necesitan ser analizados los datos precedidos por una respuesta a la orden "GET_", y además cualquier cadena necesita ser analizada solamente hasta el punto en que pueda determinarse que no contiene un EO no deseado.
Como se ha afirmado, de acuerdo con un modo de realización preferido de la invención, como ya se ha establecido, si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos permitidos para ser utilizados por la Política de Seguridad, no se toma ningún paso por el sistema para impedir que el Objeto Ejecutable pase a través de la pasarela y alcance el ordenador que ha iniciado su descarga. Sin embargo, si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos prohibidos por la Política de Seguridad, se tomarán los pasos que impidan que el Objeto Ejecutable pase a través de la pasarela. Tales pasos pueden incluir, por ejemplo, eliminar un paquete del EO, o hacer ininteligible parte de él, de manera que lo hagan inoperante, etc.
La invención no está limitada a ningún EO específico. Sin embargo, de acuerdo con un modo de realización preferido de la invención, es deseable analizar los EO que incluyan, entre otros, pequeños programas (applets) de Java, Active-X, OCX, Ejecutables de Win32, DLL u objetos ejecutables similares. Sin embargo, como será evidente para la persona experta, los EO se están desarrollando constantemente, y no se pretende que la invención esté limitada de ninguna manera al uso con EO específicos, y la naturaleza real del EO no es de importancia crítica.
Toda la descripción anterior del modo de realización preferido ha sido proporcionada con fines ilustrativos, y no se pretende limitar la invención en modo alguno, excepto por lo definido en las reivindicaciones. Pueden efectuarse muchas modificaciones en la invención. Por ejemplo, puede ser supervisada una variedad de Objetos Ejecutables, pueden aplicarse distintos medios de ordenación y de análisis, así como métodos de análisis de cabeceras, todo ello sin exceder del alcance de la invención.

Claims (3)

1. Un método para procesar Objetos Ejecutables, que comprende:
(a)
proporcionar medios de análisis capaces de un análisis sin interferencias de paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP de la red, estando establecida dicha línea de comunicaciones a través de una pasarela;
(b)
analizar la toma de contacto entre dicho buscador y dicho servidor, para detectar una orden "GET_" enviada por el usuario y un código HTTP enviado como respuesta por dicho servidor;
(c)
cuando se detecta dicho código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador, mediante lo siguiente:
(1)
proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras;
(2)
comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear;
(3)
transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable;
(4)
proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.
2. Un método según la reivindicación 1, que comprende además la identificación del usuario que se comunica a través de la pasarela, y del servidor al cual está conectado dicho usuario, y acoplar todas las actividades y análisis a dicho usuario.
3. Un método según la reivindicación 1 ó 2, que comprende además el almacenamiento en medio de memoria de sumas de control que representen los Objetos Ejecutables analizados, junto con valores indicativos de si tal Objeto Ejecutable cumple o no con la Política de Seguridad, y la comprobación de cualquier Objeto Ejecutable entrante con-tra dichos valores almacenados, antes de su análisis, para descartar así cualquier Objeto Ejecutable identificado por ello como que no cumple con la Política de Seguridad, y permitiendo a los Objetos Ejecutables identificados por ello como cumplidores de la Política de Seguridad que pasen por la pasarela y lleguen al usuario.
ES98903287T 1997-09-22 1998-02-23 Metodo y sistema para la identificacion y supresion de objetos ejecutables. Expired - Lifetime ES2217537T3 (es)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IL12181597 1997-09-22
IL12181597A IL121815A (en) 1997-09-22 1997-09-22 Method and system for the identification and the suppression of executable objects

Publications (1)

Publication Number Publication Date
ES2217537T3 true ES2217537T3 (es) 2004-11-01

Family

ID=11070660

Family Applications (1)

Application Number Title Priority Date Filing Date
ES98903287T Expired - Lifetime ES2217537T3 (es) 1997-09-22 1998-02-23 Metodo y sistema para la identificacion y supresion de objetos ejecutables.

Country Status (14)

Country Link
US (3) US6336140B1 (es)
EP (2) EP1427168A3 (es)
JP (1) JP2001517899A (es)
KR (1) KR20010030638A (es)
CN (1) CN1135807C (es)
AT (1) ATE265116T1 (es)
AU (1) AU757651B2 (es)
BR (1) BR9812356A (es)
CA (1) CA2304370A1 (es)
DE (1) DE69823368T2 (es)
ES (1) ES2217537T3 (es)
HK (1) HK1028308A1 (es)
IL (1) IL121815A (es)
WO (1) WO1999016225A1 (es)

Families Citing this family (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
IL120420A (en) 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
IL121815A (en) * 1997-09-22 2000-09-28 Security 7 Software Ltd Method and system for the identification and the suppression of executable objects
US6629127B1 (en) 1999-07-26 2003-09-30 Microsoft Corporation Methods and systems for processing HTTP requests
US7072933B1 (en) * 2000-01-24 2006-07-04 Microsoft Corporation Network access control using network address translation
US7925693B2 (en) * 2000-01-24 2011-04-12 Microsoft Corporation NAT access control with IPSec
US6886004B2 (en) * 2000-08-24 2005-04-26 Red Hat, Inc. Method and apparatus for atomic file look-up
US7171487B2 (en) * 2000-09-22 2007-01-30 International Business Machines Corporation Method and system for application specific packet forwarding
US7865752B2 (en) * 2000-12-22 2011-01-04 Intel Corporation Port-based packet filter
US7203722B2 (en) * 2001-05-24 2007-04-10 International Business Machines Corporation Optimistic processing of network frames to reduce latency
KR100821835B1 (ko) * 2001-06-30 2008-04-11 주식회사 케이티 멀티미디어 서버 시스템에서의 실시간 영상정보 정렬 방법
US20040088425A1 (en) * 2002-10-31 2004-05-06 Comverse, Ltd. Application level gateway based on universal parser
CN101668215A (zh) 2003-02-18 2010-03-10 诺基亚有限公司 图像解码方法
JP5068947B2 (ja) 2003-02-18 2012-11-07 ノキア コーポレイション ピクチャの符号化方法
US7107310B2 (en) * 2003-08-11 2006-09-12 Teamon Systems, Inc. Communications system providing enhanced client-server communications and related methods
US20050201471A1 (en) 2004-02-13 2005-09-15 Nokia Corporation Picture decoding method
US8332943B2 (en) * 2004-02-17 2012-12-11 Microsoft Corporation Tiered object-related trust decisions
US7296205B2 (en) 2004-02-18 2007-11-13 Nokia Corporation Data repair
US9124907B2 (en) 2004-10-04 2015-09-01 Nokia Technologies Oy Picture buffering method
US9055093B2 (en) * 2005-10-21 2015-06-09 Kevin R. Borders Method, system and computer program product for detecting at least one of security threats and undesirable computer files
ES2323538T3 (es) * 2005-12-01 2009-07-20 Telefonaktiebolaget Lm Ericsson (Publ) Gestion de llamadas para un usuario registrado en un ims.
EP2036265A4 (en) * 2006-06-30 2013-06-26 Ericsson Telefon Ab L M IMPROVING THE COVER FOR A HSDPA CHANNEL (HSDPA - HIGH SPEED DOWNLINK PACKET ACCESS)
US20080172448A1 (en) * 2007-01-16 2008-07-17 Microsoft Corporation Packetized boot service broadcasting
CN102299958B (zh) * 2011-08-16 2014-10-22 深圳市佳信捷技术股份有限公司 通过ie浏览监控视频的方法、客户端及系统
US20130219383A1 (en) * 2012-02-16 2013-08-22 Israel Hilerio Using an Application Cache to Update Resources of Installed Applications
US10715539B1 (en) * 2016-11-07 2020-07-14 United Services Automobile Association (Usaa) Request header anomaly detection

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5319776A (en) * 1990-04-19 1994-06-07 Hilgraeve Corporation In transit detection of computer virus with safeguard
FR2715788B1 (fr) * 1994-02-01 1996-03-29 Dassault Automatismes Telecomm Communication sur réseau numérique, avec anti-virus.
US5699513A (en) 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5802320A (en) * 1995-05-18 1998-09-01 Sun Microsystems, Inc. System for packet filtering of data packets at a computer network interface
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
GB9616783D0 (en) * 1996-08-09 1996-09-25 Apm Ltd Method and apparatus
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6154844A (en) * 1996-11-08 2000-11-28 Finjan Software, Ltd. System and method for attaching a downloadable security profile to a downloadable
US5974549A (en) * 1997-03-27 1999-10-26 Soliton Ltd. Security monitor
US6742050B1 (en) * 1997-03-31 2004-05-25 Intel Corporation Inter-object messaging
US5940590A (en) 1997-05-31 1999-08-17 International Business Machines Corporation System and method for securing computer-executable program code using task gates
US6134591A (en) 1997-06-18 2000-10-17 Client/Server Technologies, Inc. Network security and integration method and system
US6874151B1 (en) * 1997-07-14 2005-03-29 Microsoft Corp. Interprocess communication mechanism for heterogeneous computer processes
US6275938B1 (en) * 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6158007A (en) * 1997-09-17 2000-12-05 Jahanshah Moreh Security system for event based middleware
IL121815A (en) * 1997-09-22 2000-09-28 Security 7 Software Ltd Method and system for the identification and the suppression of executable objects

Also Published As

Publication number Publication date
BR9812356A (pt) 2000-09-12
JP2001517899A (ja) 2001-10-09
ATE265116T1 (de) 2004-05-15
US20020178384A1 (en) 2002-11-28
IL121815A (en) 2000-09-28
HK1028308A1 (en) 2001-02-09
KR20010030638A (ko) 2001-04-16
EP1018254A1 (en) 2000-07-12
IL121815A0 (en) 1998-02-22
EP1427168A2 (en) 2004-06-09
EP1427168A3 (en) 2005-07-13
AU757651B2 (en) 2003-02-27
DE69823368D1 (de) 2004-05-27
EP1018254B1 (en) 2004-04-21
CA2304370A1 (en) 1999-04-01
US6336140B1 (en) 2002-01-01
WO1999016225A1 (en) 1999-04-01
DE69823368T2 (de) 2005-05-04
US20010049795A1 (en) 2001-12-06
CN1135807C (zh) 2004-01-21
CN1279856A (zh) 2001-01-10
AU6005798A (en) 1999-04-12

Similar Documents

Publication Publication Date Title
ES2217537T3 (es) Metodo y sistema para la identificacion y supresion de objetos ejecutables.
ES2223121T3 (es) Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones.
US10021122B2 (en) Method and an apparatus to perform multiple packet payloads analysis
ES2205448T3 (es) Metodo y sistema para impedir la descarga y la ejecucion de objetos ejecutables.
US5414833A (en) Network security system and method using a parallel finite state machine adaptive active monitor and responder
US20090055930A1 (en) Content Security by Network Switch
CN107592303B (zh) 一种高速镜像网络流量中外发文件的提取方法及装置
CN103023906B (zh) 针对远程过程调用协议进行状态跟踪的方法及系统
KR101005927B1 (ko) 웹 어플리케이션 공격 탐지 방법
US20030208616A1 (en) System and method for testing computer network access and traffic control systems
US20020143991A1 (en) Geographic location determination including inspection of network address
US9356844B2 (en) Efficient application recognition in network traffic
EP1122932B1 (en) Protection of computer networks against malicious content
CN105656765B (zh) 一种基于深度内容解析的smtp协议数据防外泄方法及系统
CN107071034A (zh) 一种数据包传输方法和系统
CN106254353A (zh) 入侵防护策略的更新方法及装置
CN112134893A (zh) 物联网安全防护方法、装置、电子设备及存储介质
CN111182060A (zh) 报文的检测方法及装置
US20050149720A1 (en) Method for speeding up the pass time of an executable through a checkpoint
US20040233849A1 (en) Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture
US11973741B2 (en) Data leakage prevention
US10659353B2 (en) Dynamic scriptable routing
CN110311850A (zh) 一种基于网络的数据处理方法及电子设备
JP2007141084A (ja) パターン照合装置、パターン照合方法、パターン照合プログラム及び記録媒体
CN114866332B (zh) 一种光通信设备的轻量级入侵检测系统及方法