ES2217537T3 - Metodo y sistema para la identificacion y supresion de objetos ejecutables. - Google Patents
Metodo y sistema para la identificacion y supresion de objetos ejecutables.Info
- Publication number
- ES2217537T3 ES2217537T3 ES98903287T ES98903287T ES2217537T3 ES 2217537 T3 ES2217537 T3 ES 2217537T3 ES 98903287 T ES98903287 T ES 98903287T ES 98903287 T ES98903287 T ES 98903287T ES 2217537 T3 ES2217537 T3 ES 2217537T3
- Authority
- ES
- Spain
- Prior art keywords
- executable
- gateway
- server
- data packets
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/34—Network arrangements or protocols for supporting network services or applications involving the movement of software or configuration parameters
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/104—Grouping of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
- H04L63/168—Implementing security features at a particular protocol layer above the transport layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/22—Parsing or analysis of headers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2463/00—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
- H04L2463/102—Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measure for e-commerce
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Storage Device Security (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Radar Systems Or Details Thereof (AREA)
- Communication Control (AREA)
- Devices For Executing Special Programs (AREA)
Abstract
Un método para procesar Objetos Ejecutables, que comprende: (a) proporcionar medios de análisis capaces de un análisis sin interferencias de paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP de la red, estando establecida dicha línea de comunicaciones a través de una pasarela; (b) analizar la toma de contacto entre dicho buscador y dicho servidor, para detectar una orden "GET" enviada por el usuario y un código HTTP enviado como respuesta por dicho servidor; (c) cuando se detecta dicho código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador, mediante lo siguiente: (1) proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras; (2) comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear; (3) transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable; (4) proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.
Description
Método y sistema para la identificación y
supresión de objetos ejecutables.
La presente invención está relacionada con la
gestión de seguridad de redes de ordenadores. Más en particular, la
invención está relacionada con métodos y sistemas para impedir la
descarga y ejecución de Objetos Ejecutables no deseados en una
estación de trabajo de una red de ordenadores.
Internet se ha desarrollado mucho tanto con
respecto a su contenido como a la tecnología empleada, desde que
empezó hace unos cuantos años. En los primeros días de Internet, los
lugares de la red incluían solamente texto, y tras un tiempo
determinado, se introdujeron los gráficos. A medida que se
desarrollaba Internet, se desarrollaron muchos estándares de
compresión, tales como imágenes, voz y ficheros de vídeo, y con
ellos los programas para reproducirlos (llamados
"reproductores"). Inicialmente, tales ficheros eran descargados
a la estación de trabajo del usuario solamente a petición suya, y
eran extraídos solamente por el reproductor apropiado, y tras una
orden específica procedente del usuario.
Cuando comenzó, en el curso natural del
desarrollo de la World Wide Web (Entramado Mundial de Redes), la
búsqueda de una forma de mostrar páginas Web más agradables,
interactivas y animadas, Sun Microsystems Inc. desarrolló Java, un
lenguaje que permite al administrador de la red escribir un
programa, una lista de órdenes (Ejecutables de Red) que serán
descargados a la estación de trabajo del usuario sin su
conocimiento, y ejecutados por su buscador en su estación de
trabajo. Los ejecutables se utilizan, por ejemplo, para proporcionar
animación fotográfica y otros gráficos en la pantalla del navegador
de red. Tales ejecutables tienen ciertas formas de acercarse a los
recursos de la estación de trabajo del usuario, lo que conlleva un
gran problema de seguridad. Aunque en el lenguaje Java se definieron
algunos niveles de seguridad, pronto se encontró en el lenguaje un
enorme agujero de seguridad.
Desde que se desarrolló Java, Microsoft ha
desarrollado ActiveX, que es otro formato Ejecutable de Red, también
descargado en la estación de trabajo. ActiveX tiene también
problemas de seguridad de la misma clase.
Internet se ha inundado de "Ejecutables de
Red" que pueden ser descargados (intencionadamente o sin
conocimiento de los usuarios) en estaciones de trabajo dentro de las
organizaciones. Estos códigos contienen generalmente funciones
inofensivas. Aunque normalmente seguras, pueden no reunir la
política de seguridad de la organización.
Una vez ejecutados, los códigos pueden atascar la
red, originar daños considerables irreversibles a la base de datos
local, estaciones de trabajo y servidores, o pueden dar como
resultado una recuperación de información no autorizada desde
diversos servidores/estaciones de trabajo. Tales elementos pueden
aparecer en pequeños programas (applets) de Java, en componentes de
ActiveX, en los DLL y en otros códigos de objetos, y su uso está
aumentando a un ritmo sin precedentes. La mayoría de estos pequeños
programas son descargados en la organización de forma no solicitada
y no controlada. La empresa no tiene forma de saber nada sobre su
existencia o ejecución y no hay ningún sistema para la detección
temprana y la prevención de que se ejecuten los códigos.
El problema de seguridad lo resolvieron
parcialmente los fabricantes de buscadores que permiten al usuario
inhabilitar el uso de ejecutables. Naturalmente, esta no es una
solución razonable, ya que todo el comercio electrónico y la
publicidad están basados en el uso de ejecutables. El problema de
seguridad es mucho más serio cuando tales ejecutables pueden
alcanzar los servidores de la empresa, las bases de datos y otras
estaciones de trabajo.
Algunos de estos problemas se discuten en el
artículo "Filtrado de pequeños programas", de Sharon Machlis,
COMPUTERWORD, vol 31, núm. 6, del 10 de Febrero de 1997, Estados
Unidos, páginas 51-52, así como en el artículo de
Edwards N. y otros "Servidores y pasarelas de Red de alta
seguridad", COMPUTER NETWORKS AND ISDN SYSTEMS, (REDES DE
ORDENADORES Y SISTEMAS RDSI), vol. 29, núm. 8-13,
Septiembre de 1997, páginas 927-938,
XP004095292.
En una solicitud de patente todavía sin conceder
del presente solicitante, IL 120420, depositada el 10 de Marzo de
1997, se describe y reivindica un método para la prevención
selectiva de la descarga y ejecución de Objetos Ejecutables no
deseados en un ordenador, que comprende los pasos de:
- (a)
- proporcionar uno o más Centros de Control, conectado cada uno de ellos a una o más pasarelas, dando servicio cada una de las pasarelas a uno o más ordenadores de usuario final;
- (b)
- proporcionar medios acoplados a cada una de dichas pasarelas para detectar Objetos Ejecutables que alcancen dicha pasarela, para analizar la cabecera de cada uno de dichos Objetos Ejecutables, y determinar los recursos del ordenador que necesitan utilizar los Objetos Ejecutables;
- (c)
- proporcionar medios acoplados a cada una de dichas pasarelas para almacenar la Política de Seguridad de cada usuario final que representan los recursos o combinación de recursos que el administrador permite o no utilizar a un Objeto Ejecutables dentro de su destino, donde la política de seguridad se recibe y/o almacena en cada uno de dichos uno o más Centros de Control;
- (d)
- cuando se detecta un Objeto Ejecutable en la pasarela:
- 1.
- Analizar la cabecera de dicho Objeto Ejecutable;
- 2.
- Determinar los recursos del ordenador que el Objeto Ejecutable necesita utilizar;
- 3.
- Comparar los recursos del ordenador que el Objeto Ejecutable necesita utilizar con la Política de Seguridad, y;
- (i)
- si los recursos del ordenador que necesita utilizar el Objeto Ejecutable están incluidos en la lista de recursos permitidos por la Política de Seguridad, permitir al Objeto Ejecutable pasar a través de la pasarela para alcanzar el ordenador que ha iniciado su descarga; y
- (ii)
- si los recursos del ordenador que necesita utilizar el Objeto Ejecutable necesita utilizar están incluidos en la lista de recursos prohibidos para su uso por la Política de Seguridad, impedir que el Objeto Ejecutable pase a través de la pasarela, impidiendo así que alcance el ordenador que ha iniciado su descarga.
Un Centro de Control (CC) puede ser una unidad
central de control, por ejemplo un PC u otro ordenador, que está
conectada a una pluralidad de pasarelas y que actualiza los medios
de memoria que contienen datos relevantes, por ejemplo la Política
de Seguridad. Una vez actualizado el CC, por ejemplo por la adición
de una limitación adicional de la política de Seguridad, todas las
pasarelas se actualizan al momento. El uso del CC para controlar el
funcionamiento de los elementos de seguridad de las pasarelas evita
la necesidad (que existe en los sistemas de la técnica anterior)
para actualizar cada pasarela cada vez que se hace un cambio en las
políticas.
Una LAN (Red de Área Local) puede ser (aunque no
está limitado a ello), por ejemplo una red de ordenadores situados
en una oficina o edificio. La LAN está conectada típicamente a redes
de comunicaciones exteriores, tales como el Entramado Mundial de
Redes, o a unas LAN más limitadas, por ejemplo de un cliente o un
suministrador, a través de una o más pasarelas. Cuanto mayor es la
organización, mayor es el número de pasarelas empleadas con el fin
de mantener las comunicaciones con una velocidad razonable.
Generalmente hablando, una LAN puede estar hecha
también con una pluralidad de LAN más pequeñas, situadas
geográficamente cerca o lejos, pero incluso si se encuentran
pequeñas LAN dentro de la misma organización, los requisitos de
seguridad pueden variar de un departamento a otro, y puede ser
necesario mantener altos niveles de seguridad, incluyendo evitar que
los Ejecutables emigren de un departamento a otro, aún dentro de la
misma organización.
Los medios acoplados a cada una de dichas
pasarelas para detectar Objetos Ejecutables que alcancen dicha
pasarela, para analizar la cabecera de cada uno de dichos Objetos
Ejecutables y para determinar los recursos del ordenador que
necesita utilizar el Objeto Ejecutable, pueden ser de muchos tipos
diferentes. Típicamente, el objeto ejecutable es "atrapado" y
analizado en la pasarela escuchando el protocolo TCP/IP en la línea
de comunicaciones, así como a otros protocolos de transferencia de
objetos, tales como SMTP, HTTP, FTP, etc. Engancharse a la línea de
comunicaciones y extraer el contenido de la cabecera del objeto
ejecutable, son pasos que son entendidos por la persona experta, y
que pueden efectuarse por medio de la programación convencional y,
por tanto, no se describen aquí con detalle por razones de
brevedad.
Una vez que la cabecera del Objeto Ejecutable
(EO) ha sido analizada, comparar los recursos del ordenador que el
EO necesita utilizar con la política de seguridad puede hacerse
fácilmente, por ejemplo, comparándolos con una tabla de consulta
proporcionada a la pasarela por el CC, que representa la Política de
Seguridad. La comparación también puede llevarse a cabo contra los
datos almacenados en el CC, y en tal caso pueden no ser necesarios
medios específicos de memoria ni medios de comparación en la
pasarela. Sin embargo, las consideraciones de velocidad y
rendimiento especificarán a menudo que tales operaciones sean
llevadas a cabo en la propia pasarela.
Las soluciones de la técnica anterior
proporcionan el análisis de la comunicación que tiene lugar a través
de un solo puerto, el Puerto 80, que es el puerto comúnmente
empleado para navegar por la red. Sin embargo, hoy día es posible
navegar por la red a través de puertos distintos al Puerto 80,
mientras que el servidor HTTP del usuario, de acuerdo con la
tecnología disponible actualmente, no puede trabajar sobre una
pluralidad de puertos. Por tanto, si más de un usuario emplea una
pasarela simultáneamente, los sistemas de la técnica anterior son
ineficaces, ya que no son adecuados para el análisis simultáneo de
la comunicación que tiene lugar a través de otros puertos.
Otro severo inconveniente es que se necesita un
servidor HTTP muy robusto para dar servicio a una pluralidad de
usuarios, cuando se funciona de acuerdo con el método de la técnica
anterior.
La técnica no ha podido, hasta el presente,
proporcionar un método eficaz para procesar los EO, que sea
independiente del puerto utilizado y que no requiera implantar un
servidor extraordinariamente robusto. Es claro, por tanto, que se
necesita tal solución, particularmente a la vista del uso
constantemente creciente de la red por muchas organizaciones.
Es un objeto de la presente invención
proporcionar un método eficaz para procesar Objetos Ejecutables que
supere los inconvenientes antes mencionados de los sistemas de la
técnica anterior.
Es otro objeto de la invención proporcionar un
método tal que sea fácil de implantar y que no requiera cambios de
hardware significativos.
Es un objeto adicional de la invención
proporcionar un método que permita analizar los ejecutables "al
vuelo" y que no entorpezca la descarga y el funcionamiento de
ejecutables inofensivos.
Es otro objeto de la invención proporcionar un
aparato para llevar a cabo el método de la invención.
Otras ventajas y objetos de la invención quedarán
claros a medida que avanza la descripción.
La invención está dirigida, entre otras cosas, a
un método para procesar Objetos Ejecutables, que comprende:
- (a)
- proporcionar medios de análisis capaces de un análisis sin interferencias de los paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP en la red, estando establecida dicha línea de comunicaciones a través de la pasarela;
- (b)
- analizar la toma de contacto entre dicho buscador y dicho servidor para detectar una orden "GET_" enviada por un usuario y un código HTTP enviado como respuesta por dicho servidor;
- (c)
- cuando se detecta tal código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador; mediante lo siguiente:
- (1)
- proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras;
- (2)
- comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear;
- (3)
- transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable; y
- (4)
- proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.
De acuerdo con un modo de realización preferido
de la invención, el método comprende además la identificación del
usuario que se comunica a través de la pasarela, y el servidor al
cual está conectado dicho usuario, y el acoplo de todas las
actividades y análisis a dicho usuario. Este procedimiento se
necesita a veces cuando más de un usuario se conecta simultáneamente
a través de la pasarela. Entonces, una pluralidad de usuarios se
conecta a una pluralidad de servidores. Por tanto, es necesario
seguir la pista del usuario específico que ha solicitado un Objeto
Ejecutable específico desde un servidor específico, de manera que se
puedan manejar adecuadamente los paquetes recibidos en la pasarela
desde cualquier servidor individualizado.
En otro modo de realización preferido de la
invención, el método comprende además el almacenamiento en medios de
memoria de sumas de control que representen los Objetos Ejecutables
analizados, junto con valores indicativos de si tal Objeto
Ejecutable cumple o no con la Política de Seguridad, y la
comprobación de cualquier Objeto Ejecutable entrante contra dichos
valores almacenados, antes o en paralelo con su análisis, para
descartar así cualquier Objeto Ejecutable identificado por ello como
que no cumple con la Política de Seguridad, y permitiendo a los
Objetos Ejecutables identificados como cumplidores de la Política de
Seguridad que pasen por la pasarela y lleguen al usuario. Como será
evidente para una persona experta, este procedimiento puede hacer
más fluido y rápido el análisis de Objetos Ejecutables, ya que la
verificación de una suma de control es un procedimiento que es más
rápido y simple que el procedimiento de análisis completo de la
cabecera del EO.
En los dibujos:
La figura 1 es una representación esquemática de
un modo de comunicación entre un buscador y un servidor HTTP de la
red, a través de una pasarela, incluyendo medios adicionales de
análisis, de acuerdo con un modo de realización preferido de la
invención; y
La figura 2 ilustra la situación existente en
unos medios de análisis de acuerdo con un modo de realización
preferido de la invención, con respecto al proceso de paquetes de
datos.
A continuación se ilustrará el método de la
invención haciendo referencia a un modo de realización preferido de
la misma. En la figura 1, se muestra una situación típica en la cual
un buscador BR (que se ejecuta en un ordenador de un usuario final)
está conectado a la red a través de una pasarela GW. En la figura 1,
solamente se muestra un buscador BR, por razones de simplicidad,
aunque naturalmente se designa la pasarela GW para dar servicio a
una pluralidad de buscadores. De forma similar, la pasarela GW se
muestra conectada solamente a un servidor HTTP de la red (designada
como "WEB"), aunque naturalmente puede estar conectada a una
pluralidad de servidores de la red y la conexión no es una conexión
punto a punto.
De acuerdo con este modo de realización preferido
de la invención, se proporcionan unos medios L de análisis, que
están conectados a la línea de comunicaciones por un lado, y a la
pasarela por otro. Los medios L de análisis son medios pasivos,
capaces solamente de "escuchar" la conversación llevada a cabo
por la línea, entre el buscador BR y el servidor WEB. L es capaz
también de enviar una señal a la pasarela GW.
La comunicación de datos entre el buscador y el
servidor HTTP se hace en pequeños paquetes, el conjunto de los
cuales constituye una entidad, que puede ser o no un Objeto
Ejecutable. Los paquetes no son transmitidos necesariamente de forma
secuencial, y este hecho hace aún más difícil analizarlos. Los
paquetes son transmitidos desde la WEB hasta el BR como resultado de
la toma de contacto llevada a cabo entre el buscador y el servidor
HTTP. Como resultado de un mensaje enviado por el usuario, que
incluye la orden "GET"_, se descarga un objeto ejecutable, cuya
orden es retransmitida hacia atrás en la toma de contacto por el
servidor HTTP, el cual envía como respuesta un código HTTP que
precede al EO solicitado.
Así, de acuerdo con la invención, el primer paso
en el proceso de identificación de datos transmitidos como un objeto
ejecutable potencialmente dañino es analizar los primeros cuatro
bytes transmitidos por el servidor HTTP(WEB), y determinar si
contienen una respuesta a la orden "GET_" enviada por el
usuario, en forma de un código HTTP. Si es así, el resto de la
cadena transmitida debe ser analizada también para determinar si
contiene un pequeño programa (applet) de Java u otro EO no deseado.
La manera en que se procesan los paquetes será descrita con más
detalle a continuación.
Si los medios L de análisis determinan que está
implicado un Objeto Ejecutable como se ha descrito anteriormente,
deba analizarse la cabecera del EO para comprobar si cumple con la
política de seguridad establecida por el usuario. Debe ponerse
énfasis nuevamente en que los medios L de análisis solamente
"escuchan" pero no interfieren con la transmisión de la
cadena.
Los medios de análisis comprenden diferentes
elementos funcionales. En la primera parte, los paquetes recibidos
son almacenados y ordenados secuencialmente, de manera que pueda
analizarse la cabecera de los mismos. Esto se ilustra
esquemáticamente en la figura 2, en la cual se observa que los
medios L de análisis comprenden medios OM de ordenación que reciben
los paquetes como son transmitidos, los ordena, y los pasa en el
orden correcto. Por ejemplo, como se observa en el ejemplo de la
figura, se observa que se han transmitido seis paquetes en el orden
2, 1, 3, 8, 5, 10. Los paquetes 1, 2, 3 han sido ordenados
secuencialmente y enviados al comprobador CH, pero como el paquete 4
no ha sido transmitido todavía, los paquetes restantes (5, 8 y 10)
se mantienen en el OM hasta que puedan ser liberados. El paquete 5
será liberado solamente después de que llegue el paquete 4, y el
paquete 8 solamente después de que hayan llegado los paquetes 6 y 7,
y así sucesivamente. Este retardo que tiene lugar en el OM, debe ser
enfatizado una vez más, que no afecta a la transacción que está
teniendo lugar entre el buscador BR y el servidor HTTP, WEB, y que
todos los paquetes son transmitidos normalmente en su orden no
secuencial. Sin embargo, la invención aprovecha el hecho de que, aún
cuando se sigan transmitiendo paquetes, el EO no puede funcionar si
falta uno de los paquetes o está dañado. Por tanto, es suficiente
que la pasarela se encargue de suprimir o dañar un paquete, lo cual
efectúa la pasarela una vez que recibe una señal desde el
comprobador que indique que la cabecera del EO comprende órdenes que
están prohibidas de acuerdo con su política de seguridad. Así, de
acuerdo con la invención, la transmisión de los datos no se
perturba, el análisis de los paquetes se hace de una manera que no
interfiere, y la transmisión solamente está afectada cuando se desea
impedir que un EO se ejecute en un ordenador de un usuario final.
Otra ventaja del método de la invención es que solamente necesitan
ser analizados los datos precedidos por una respuesta a la orden
"GET_", y además cualquier cadena necesita ser analizada
solamente hasta el punto en que pueda determinarse que no contiene
un EO no deseado.
Como se ha afirmado, de acuerdo con un modo de
realización preferido de la invención, como ya se ha establecido, si
los recursos del ordenador que necesita utilizar el Objeto
Ejecutable están incluidos en la lista de recursos permitidos para
ser utilizados por la Política de Seguridad, no se toma ningún paso
por el sistema para impedir que el Objeto Ejecutable pase a través
de la pasarela y alcance el ordenador que ha iniciado su descarga.
Sin embargo, si los recursos del ordenador que necesita utilizar el
Objeto Ejecutable están incluidos en la lista de recursos prohibidos
por la Política de Seguridad, se tomarán los pasos que impidan que
el Objeto Ejecutable pase a través de la pasarela. Tales pasos
pueden incluir, por ejemplo, eliminar un paquete del EO, o hacer
ininteligible parte de él, de manera que lo hagan inoperante,
etc.
La invención no está limitada a ningún EO
específico. Sin embargo, de acuerdo con un modo de realización
preferido de la invención, es deseable analizar los EO que incluyan,
entre otros, pequeños programas (applets) de Java,
Active-X, OCX, Ejecutables de Win32, DLL u objetos
ejecutables similares. Sin embargo, como será evidente para la
persona experta, los EO se están desarrollando constantemente, y no
se pretende que la invención esté limitada de ninguna manera al uso
con EO específicos, y la naturaleza real del EO no es de importancia
crítica.
Toda la descripción anterior del modo de
realización preferido ha sido proporcionada con fines ilustrativos,
y no se pretende limitar la invención en modo alguno, excepto por lo
definido en las reivindicaciones. Pueden efectuarse muchas
modificaciones en la invención. Por ejemplo, puede ser supervisada
una variedad de Objetos Ejecutables, pueden aplicarse distintos
medios de ordenación y de análisis, así como métodos de análisis de
cabeceras, todo ello sin exceder del alcance de la invención.
Claims (3)
1. Un método para procesar Objetos Ejecutables,
que comprende:
- (a)
- proporcionar medios de análisis capaces de un análisis sin interferencias de paquetes de datos transmitidos por una línea de comunicaciones entre un buscador y un servidor HTTP de la red, estando establecida dicha línea de comunicaciones a través de una pasarela;
- (b)
- analizar la toma de contacto entre dicho buscador y dicho servidor, para detectar una orden "GET_" enviada por el usuario y un código HTTP enviado como respuesta por dicho servidor;
- (c)
- cuando se detecta dicho código HTTP, analizar los paquetes de datos transmitidos por dicho servidor a dicho buscador, mediante lo siguiente:
- (1)
- proporcionar medios de ordenación para ordenar paquetes de datos recibidos en orden no secuencial, y remitirlos en orden secuencial a medios de comprobación de cabeceras;
- (2)
- comprobar los paquetes de datos para analizar el contenido de la cabecera del Objeto Ejecutable, y para identificar los recursos del sistema que necesita emplear;
- (3)
- transmitir a dicha pasarela datos que representen los recursos del sistema que necesita utilizar el Objeto Ejecutable;
- (4)
- proporcionar medios de supresión de paquetes de datos acoplados a dicha pasarela, de forma tal que si los recursos del sistema que necesita utilizar el Objeto Ejecutable no están permitidos de acuerdo con la política de seguridad establecida por el administrador, se suprima, altere o se dañe al menos un paquete de datos perteneciente al Objeto Ejecutable para impedir la ejecución del mismo por el buscador.
2. Un método según la reivindicación 1, que
comprende además la identificación del usuario que se comunica a
través de la pasarela, y del servidor al cual está conectado dicho
usuario, y acoplar todas las actividades y análisis a dicho
usuario.
3. Un método según la reivindicación 1 ó 2, que
comprende además el almacenamiento en medio de memoria de sumas de
control que representen los Objetos Ejecutables analizados, junto
con valores indicativos de si tal Objeto Ejecutable cumple o no con
la Política de Seguridad, y la comprobación de cualquier Objeto
Ejecutable entrante con-tra dichos valores
almacenados, antes de su análisis, para descartar así cualquier
Objeto Ejecutable identificado por ello como que no cumple con la
Política de Seguridad, y permitiendo a los Objetos Ejecutables
identificados por ello como cumplidores de la Política de Seguridad
que pasen por la pasarela y lleguen al usuario.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
IL12181597 | 1997-09-22 | ||
IL12181597A IL121815A (en) | 1997-09-22 | 1997-09-22 | Method and system for the identification and the suppression of executable objects |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2217537T3 true ES2217537T3 (es) | 2004-11-01 |
Family
ID=11070660
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES98903287T Expired - Lifetime ES2217537T3 (es) | 1997-09-22 | 1998-02-23 | Metodo y sistema para la identificacion y supresion de objetos ejecutables. |
Country Status (14)
Country | Link |
---|---|
US (3) | US6336140B1 (es) |
EP (2) | EP1427168A3 (es) |
JP (1) | JP2001517899A (es) |
KR (1) | KR20010030638A (es) |
CN (1) | CN1135807C (es) |
AT (1) | ATE265116T1 (es) |
AU (1) | AU757651B2 (es) |
BR (1) | BR9812356A (es) |
CA (1) | CA2304370A1 (es) |
DE (1) | DE69823368T2 (es) |
ES (1) | ES2217537T3 (es) |
HK (1) | HK1028308A1 (es) |
IL (1) | IL121815A (es) |
WO (1) | WO1999016225A1 (es) |
Families Citing this family (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
IL120420A (en) | 1997-03-10 | 1999-12-31 | Security 7 Software Ltd | Method and system for preventing the downloading and execution of executable objects |
IL121815A (en) * | 1997-09-22 | 2000-09-28 | Security 7 Software Ltd | Method and system for the identification and the suppression of executable objects |
US6629127B1 (en) | 1999-07-26 | 2003-09-30 | Microsoft Corporation | Methods and systems for processing HTTP requests |
US7072933B1 (en) * | 2000-01-24 | 2006-07-04 | Microsoft Corporation | Network access control using network address translation |
US7925693B2 (en) * | 2000-01-24 | 2011-04-12 | Microsoft Corporation | NAT access control with IPSec |
US6886004B2 (en) * | 2000-08-24 | 2005-04-26 | Red Hat, Inc. | Method and apparatus for atomic file look-up |
US7171487B2 (en) * | 2000-09-22 | 2007-01-30 | International Business Machines Corporation | Method and system for application specific packet forwarding |
US7865752B2 (en) * | 2000-12-22 | 2011-01-04 | Intel Corporation | Port-based packet filter |
US7203722B2 (en) * | 2001-05-24 | 2007-04-10 | International Business Machines Corporation | Optimistic processing of network frames to reduce latency |
KR100821835B1 (ko) * | 2001-06-30 | 2008-04-11 | 주식회사 케이티 | 멀티미디어 서버 시스템에서의 실시간 영상정보 정렬 방법 |
US20040088425A1 (en) * | 2002-10-31 | 2004-05-06 | Comverse, Ltd. | Application level gateway based on universal parser |
CN101668215A (zh) | 2003-02-18 | 2010-03-10 | 诺基亚有限公司 | 图像解码方法 |
JP5068947B2 (ja) | 2003-02-18 | 2012-11-07 | ノキア コーポレイション | ピクチャの符号化方法 |
US7107310B2 (en) * | 2003-08-11 | 2006-09-12 | Teamon Systems, Inc. | Communications system providing enhanced client-server communications and related methods |
US20050201471A1 (en) | 2004-02-13 | 2005-09-15 | Nokia Corporation | Picture decoding method |
US8332943B2 (en) * | 2004-02-17 | 2012-12-11 | Microsoft Corporation | Tiered object-related trust decisions |
US7296205B2 (en) | 2004-02-18 | 2007-11-13 | Nokia Corporation | Data repair |
US9124907B2 (en) | 2004-10-04 | 2015-09-01 | Nokia Technologies Oy | Picture buffering method |
US9055093B2 (en) * | 2005-10-21 | 2015-06-09 | Kevin R. Borders | Method, system and computer program product for detecting at least one of security threats and undesirable computer files |
ES2323538T3 (es) * | 2005-12-01 | 2009-07-20 | Telefonaktiebolaget Lm Ericsson (Publ) | Gestion de llamadas para un usuario registrado en un ims. |
EP2036265A4 (en) * | 2006-06-30 | 2013-06-26 | Ericsson Telefon Ab L M | IMPROVING THE COVER FOR A HSDPA CHANNEL (HSDPA - HIGH SPEED DOWNLINK PACKET ACCESS) |
US20080172448A1 (en) * | 2007-01-16 | 2008-07-17 | Microsoft Corporation | Packetized boot service broadcasting |
CN102299958B (zh) * | 2011-08-16 | 2014-10-22 | 深圳市佳信捷技术股份有限公司 | 通过ie浏览监控视频的方法、客户端及系统 |
US20130219383A1 (en) * | 2012-02-16 | 2013-08-22 | Israel Hilerio | Using an Application Cache to Update Resources of Installed Applications |
US10715539B1 (en) * | 2016-11-07 | 2020-07-14 | United Services Automobile Association (Usaa) | Request header anomaly detection |
Family Cites Families (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5319776A (en) * | 1990-04-19 | 1994-06-07 | Hilgraeve Corporation | In transit detection of computer virus with safeguard |
FR2715788B1 (fr) * | 1994-02-01 | 1996-03-29 | Dassault Automatismes Telecomm | Communication sur réseau numérique, avec anti-virus. |
US5699513A (en) | 1995-03-31 | 1997-12-16 | Motorola, Inc. | Method for secure network access via message intercept |
US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
US5623600A (en) * | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
GB9616783D0 (en) * | 1996-08-09 | 1996-09-25 | Apm Ltd | Method and apparatus |
US6167520A (en) * | 1996-11-08 | 2000-12-26 | Finjan Software, Inc. | System and method for protecting a client during runtime from hostile downloadables |
US6154844A (en) * | 1996-11-08 | 2000-11-28 | Finjan Software, Ltd. | System and method for attaching a downloadable security profile to a downloadable |
US5974549A (en) * | 1997-03-27 | 1999-10-26 | Soliton Ltd. | Security monitor |
US6742050B1 (en) * | 1997-03-31 | 2004-05-25 | Intel Corporation | Inter-object messaging |
US5940590A (en) | 1997-05-31 | 1999-08-17 | International Business Machines Corporation | System and method for securing computer-executable program code using task gates |
US6134591A (en) | 1997-06-18 | 2000-10-17 | Client/Server Technologies, Inc. | Network security and integration method and system |
US6874151B1 (en) * | 1997-07-14 | 2005-03-29 | Microsoft Corp. | Interprocess communication mechanism for heterogeneous computer processes |
US6275938B1 (en) * | 1997-08-28 | 2001-08-14 | Microsoft Corporation | Security enhancement for untrusted executable code |
US5983348A (en) * | 1997-09-10 | 1999-11-09 | Trend Micro Incorporated | Computer network malicious code scanner |
US6158007A (en) * | 1997-09-17 | 2000-12-05 | Jahanshah Moreh | Security system for event based middleware |
IL121815A (en) * | 1997-09-22 | 2000-09-28 | Security 7 Software Ltd | Method and system for the identification and the suppression of executable objects |
-
1997
- 1997-09-22 IL IL12181597A patent/IL121815A/xx not_active IP Right Cessation
-
1998
- 1998-02-23 KR KR1020007002975A patent/KR20010030638A/ko active IP Right Grant
- 1998-02-23 ES ES98903287T patent/ES2217537T3/es not_active Expired - Lifetime
- 1998-02-23 EP EP04003088A patent/EP1427168A3/en not_active Withdrawn
- 1998-02-23 BR BR9812356-4A patent/BR9812356A/pt not_active IP Right Cessation
- 1998-02-23 JP JP2000513393A patent/JP2001517899A/ja active Pending
- 1998-02-23 EP EP98903287A patent/EP1018254B1/en not_active Expired - Lifetime
- 1998-02-23 CA CA002304370A patent/CA2304370A1/en not_active Abandoned
- 1998-02-23 WO PCT/IL1998/000082 patent/WO1999016225A1/en active IP Right Grant
- 1998-02-23 AT AT98903287T patent/ATE265116T1/de not_active IP Right Cessation
- 1998-02-23 AU AU60057/98A patent/AU757651B2/en not_active Ceased
- 1998-02-23 CN CNB988114135A patent/CN1135807C/zh not_active Expired - Fee Related
- 1998-02-23 DE DE69823368T patent/DE69823368T2/de not_active Expired - Lifetime
- 1998-10-30 US US09/183,878 patent/US6336140B1/en not_active Expired - Lifetime
-
2000
- 2000-11-21 HK HK00107431A patent/HK1028308A1/xx not_active IP Right Cessation
-
2001
- 2001-07-17 US US09/907,360 patent/US20010049795A1/en not_active Abandoned
-
2002
- 2002-07-22 US US10/201,041 patent/US20020178384A1/en not_active Abandoned
Also Published As
Publication number | Publication date |
---|---|
BR9812356A (pt) | 2000-09-12 |
JP2001517899A (ja) | 2001-10-09 |
ATE265116T1 (de) | 2004-05-15 |
US20020178384A1 (en) | 2002-11-28 |
IL121815A (en) | 2000-09-28 |
HK1028308A1 (en) | 2001-02-09 |
KR20010030638A (ko) | 2001-04-16 |
EP1018254A1 (en) | 2000-07-12 |
IL121815A0 (en) | 1998-02-22 |
EP1427168A2 (en) | 2004-06-09 |
EP1427168A3 (en) | 2005-07-13 |
AU757651B2 (en) | 2003-02-27 |
DE69823368D1 (de) | 2004-05-27 |
EP1018254B1 (en) | 2004-04-21 |
CA2304370A1 (en) | 1999-04-01 |
US6336140B1 (en) | 2002-01-01 |
WO1999016225A1 (en) | 1999-04-01 |
DE69823368T2 (de) | 2005-05-04 |
US20010049795A1 (en) | 2001-12-06 |
CN1135807C (zh) | 2004-01-21 |
CN1279856A (zh) | 2001-01-10 |
AU6005798A (en) | 1999-04-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2217537T3 (es) | Metodo y sistema para la identificacion y supresion de objetos ejecutables. | |
ES2223121T3 (es) | Procedimiento y sistema para hacer cumplir una politica de seguridad en comunicaciones. | |
US10021122B2 (en) | Method and an apparatus to perform multiple packet payloads analysis | |
ES2205448T3 (es) | Metodo y sistema para impedir la descarga y la ejecucion de objetos ejecutables. | |
US5414833A (en) | Network security system and method using a parallel finite state machine adaptive active monitor and responder | |
US20090055930A1 (en) | Content Security by Network Switch | |
CN107592303B (zh) | 一种高速镜像网络流量中外发文件的提取方法及装置 | |
CN103023906B (zh) | 针对远程过程调用协议进行状态跟踪的方法及系统 | |
KR101005927B1 (ko) | 웹 어플리케이션 공격 탐지 방법 | |
US20030208616A1 (en) | System and method for testing computer network access and traffic control systems | |
US20020143991A1 (en) | Geographic location determination including inspection of network address | |
US9356844B2 (en) | Efficient application recognition in network traffic | |
EP1122932B1 (en) | Protection of computer networks against malicious content | |
CN105656765B (zh) | 一种基于深度内容解析的smtp协议数据防外泄方法及系统 | |
CN107071034A (zh) | 一种数据包传输方法和系统 | |
CN106254353A (zh) | 入侵防护策略的更新方法及装置 | |
CN112134893A (zh) | 物联网安全防护方法、装置、电子设备及存储介质 | |
CN111182060A (zh) | 报文的检测方法及装置 | |
US20050149720A1 (en) | Method for speeding up the pass time of an executable through a checkpoint | |
US20040233849A1 (en) | Methodologies, systems and computer readable media for identifying candidate relay nodes on a network architecture | |
US11973741B2 (en) | Data leakage prevention | |
US10659353B2 (en) | Dynamic scriptable routing | |
CN110311850A (zh) | 一种基于网络的数据处理方法及电子设备 | |
JP2007141084A (ja) | パターン照合装置、パターン照合方法、パターン照合プログラム及び記録媒体 | |
CN114866332B (zh) | 一种光通信设备的轻量级入侵检测系统及方法 |