JP2006518893A - イベントのジャーナル化によるディジタル資産使用アカウンタビリティ - Google Patents
イベントのジャーナル化によるディジタル資産使用アカウンタビリティ Download PDFInfo
- Publication number
- JP2006518893A JP2006518893A JP2006501056A JP2006501056A JP2006518893A JP 2006518893 A JP2006518893 A JP 2006518893A JP 2006501056 A JP2006501056 A JP 2006501056A JP 2006501056 A JP2006501056 A JP 2006501056A JP 2006518893 A JP2006518893 A JP 2006518893A
- Authority
- JP
- Japan
- Prior art keywords
- activity
- event
- journalizing
- events
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims abstract description 57
- 230000008569 process Effects 0.000 claims abstract description 45
- 230000000694 effects Effects 0.000 claims description 34
- 230000009471 action Effects 0.000 claims description 13
- 238000012545 processing Methods 0.000 claims description 7
- 230000002776 aggregation Effects 0.000 claims description 3
- 238000004220 aggregation Methods 0.000 claims description 3
- 238000001914 filtration Methods 0.000 claims description 3
- 230000004931 aggregating effect Effects 0.000 claims 1
- 238000012546 transfer Methods 0.000 abstract description 3
- 238000007726 management method Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 5
- 230000008520 organization Effects 0.000 description 5
- 230000008901 benefit Effects 0.000 description 3
- 230000006399 behavior Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000007639 printing Methods 0.000 description 2
- 230000001737 promoting effect Effects 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 230000004913 activation Effects 0.000 description 1
- 230000003044 adaptive effect Effects 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000013474 audit trail Methods 0.000 description 1
- 230000006835 compression Effects 0.000 description 1
- 238000007906 compression Methods 0.000 description 1
- -1 customer lists Substances 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000011156 evaluation Methods 0.000 description 1
- 239000000284 extract Substances 0.000 description 1
- 230000015654 memory Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 239000010813 municipal solid waste Substances 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 238000012797 qualification Methods 0.000 description 1
- 230000009467 reduction Effects 0.000 description 1
- 201000009032 substance abuse Diseases 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
Abstract
データ・ファイルなどのディジタル資産の使用について、アカウンタビリティの境界を確立する技術に関する。このアカウンタビリティ・モデルは、許可されたユーザによるファイルへのアクセスを追跡するだけでなく、アクセス権の悪用の可能性を示すうる管理されないリムーバブル記憶媒体へのこのようなファイルの通過、またはネットワーク接続などを通じてのファイルの通過を監視する。好ましい実施形態によれば、クライアントのオペレーティング・システムのカーネルのバックグラウンド・プロセスなど、使用点において作動している自律型の独立のエージェント・プロセスが、リソースへのアクセス要求に割り込む。エージェント・プロセスが、低レベル・システム・イベントを検出し、フィルタ処理し、これらを集合させ、ジャーナル・サーバへの報告を作成する。ジャーナル・サーバは、低レベル・イベントの順序を分析して、「ファイル編集」およびネットワーク・ファイル転送などの対象とする集合イベントが生じた時を検出する。レポートを生成して、企業内の個人によってディジタル資産がいかにアクセスされ、使用され、通信されたかの認識を得ることができる。
Description
本出願は、2003年11月18日に出願された米国特許出願第10/716,336号の優先権を主張する継続出願であり、上記出願は、2003年1月23日に出願された「所有する電子情報の適応識別および保護の方法およびシステム(Method and System for Adaptive Identification and Protection of Proprietary Electronic Information)」という名称の米国特許仮出願第60/442,464号の利益を主張している2003年9月4日に出願された米国特許出願第10/655,573号の継続出願である。上記出願の教示の全体は、参照により本明細書に引用したものとする。
データ・セキュリティは、データ処理産業の発足以来、システム管理者が直面する重大な問題となってきた。大部分のコンピュータ・ユーザは、無許可の部外者によるデータの盗用または悪用の可能性を認識している。システムにアクセスしようと試みるそのような部外者を指して、「ハッカー」または「クラッカー」という用語がしばしば用いられるが、彼らは通常は、決して組織の運営に関与しておらず、内部の従業員またはシステムに属するものではない。組織のデータ処理インフラをこの種の脅威から保護するため、多種多様な解決手段がすでに存在している。それらには、物理的なアクセス制御、ファイアウォール、スニファおよび他のネットワーク・モニター、データの暗号化、侵入検知システムおよび他の解決手段が含まれる。これらの解決手段は、ほとんどの場合、それらの意図する目的に対して適切であると、一般に考えられている。
一方で、セキュリティ上の脅威をもたらす第2の種類のコンピュータ・ユーザが存在する。これら権限のない内部の者からの保護には、公知の別の取り組みが必要とされる。ディスクに基づくストレージ・システムの発足以来、一部のユーザについて一部の重要なファイルへのアクセス資格を制限するために、アクセス制御の考え方が適用されてきた。これらの技術を使用し、今やほとんどすべてのオペレーティング・システム(OS)、デスクトップ、および/またはネットワーク・ファイル・サーバの一般的な特徴として、個々のユーザに与えられた許可に応じて、ファイルやディレクトリ構造などに対する読み出し、書き込み、パブリック、プライベート、およびその他の種類のアクセス制限を提供することができる。システム管理者によって、必要事項、およびユーザが属している組織内の部門などに基づいて、ユーザ・アカウントに許可を付与することができる。
しかし、ユーザがシステムの一部だけにしかアクセスできない場合であっても、依然としてさまざまな技術を用いて情報を盗み出し、さらに/あるいは情報に損傷を与えることができる。これらには、ネットワーク中の保全されていない情報の単純な閲覧、および/またはセキュリティの実施が不十分なために利用可能になっている情報の取出しまたは削除が含まれる。より高度な内部不正者は、ネットワーク・パケット・スニファおよび/またはスパイ・ソフトを使用するであろう。集中化された文書およびディジタル権利の管理システム、ネットワーク監査、およびファイル管理ツールなどのさまざまな技法は、場合により、内部者による無許可の使用を抑制する有効なツールになりうる。
例えば、ダニエリ(Danieli)に特許され、マイクロソフト社(Microsoft Corporation)に譲渡された米国特許第6,510,513号には、電子セキュリティ証明を使用するサーバとクライアントとの間の一連のトランザクションを活用するセキュリティおよびポリシー行使システムが記載されている。第1のクライアントが、ダイジェストを含むセキュリティ証明を信頼された審査サーバ(arbitrator server)に提出することによって、データへのアクセス要求を生成する。信頼された審査サーバが、第1のクライアントの資格を証明し、セキュリティ証明を返送する。次いで、データおよびセキュリティ証明が組み合わさ
れて配布され、これが第2のクライアントによって取得される。第2のクライアントは、配布データからセキュリティ証明を抽出し、ダイジェストを生成する。第2のクライアントからのダイジェストが第1のクライアントからのダイジェストと一致する場合、データは正当であると考えられる。証明の種類およびポリシー・レベルに応じて、信頼された審査サーバは、不適切な使用の通知などのサービスを提供できる。
れて配布され、これが第2のクライアントによって取得される。第2のクライアントは、配布データからセキュリティ証明を抽出し、ダイジェストを生成する。第2のクライアントからのダイジェストが第1のクライアントからのダイジェストと一致する場合、データは正当であると考えられる。証明の種類およびポリシー・レベルに応じて、信頼された審査サーバは、不適切な使用の通知などのサービスを提供できる。
インタートラスト・テクノロジ(Intertrust Technologies)社に譲渡された米国特許第6,427,140号は、別の種類のディジタル権利管理システムである。しかし、このようなシステムは、電子商取引や他の電子支援トランザクションなどにおいて、機密データの転送における各種当事者の権利を保護することを目的とするものである。
これらの解決手段はいずれも、権限を与えられた内部の者による情報の悪用の防止にはほとんど役に立たない。この種のユーザは、割り当てられた業務を実行するために重要なデータ・ファイルにアクセスすると考えられるため、信頼された状態にある。したがって、彼らは、このような情報を使用する許可を日々、日常的に与えられている。したがって、彼らが機密に属するデータにアクセスすることは、通常は疑わしいものではない。問題は、この種の信頼されているユーザが、機密情報をコピーして部外者またはその他権限のない人々に配布することによって、信頼を悪用する場合に生じる。このような事態は、不満を有する従業員や離職しようとする従業員が組織に打撃を加えたいと考える場合に、きわめて容易に生じる可能性があり、かつ高い頻度で生じるようになってきている。
従来技術のセキュリティ・システムの欠点は、機密情報へのアクセスがひとたび与えられると、権限を与えられたユーザがこの情報をきわめて容易に多種さまざまな方法で配布できるという事実に対処できないことである。インターネット接続、電子メール、インスタント・メッセージ、コンパクト・ディスク読み書き(CD‐RW)ドライブなどのリムーバブル・メディア記憶装置、ユニバーサル・シリアル・バス(USB)型のメモリおよび記憶装置などの普及が、きわめて大量の情報をほぼ瞬時にコピーすることを簡単な作業にしている。さらに、無線モデム、無線ローカル・ネットワーク・カード、ポータブル・コンピュータ、携帯情報端末(PDA)、およびネットワーク・トンネルなどのその他の周辺機器があまりに便利な伝達手段であるため、権限を与えられたユーザが信頼されたシステム環境の外にファイルのコピーを配布できる。ファイルの内容を印刷するという行為でさえも、打撃を与える事態になることがある。
これは、ファイルへのアクセスを制御し、さらにはファイルの使用を監視するために、高度なファイル管理およびアクセス制御システムが使用されている場合であっても同様である。この問題の根本は、権限を与えられたユーザがひとたびファイルを開くと、その中身はもはや管理されないという事実にある。特に、ファイル内容のコピーを管理下にあるネットワーク環境またはファイル管理システムの「外」にきわめて容易に持ち出すことができる。
本発明は、権限を与えられたユーザが自らの権限を悪用することに起因するセキュリティ問題に、データ・セキュリティのための使用アカウンタビリティ・モデルを提供することによって対処しようとするものである。
詳細には、クライアントのオペレーティング・システム(OS)のカーネルのバックグラウンドで動作するような、自律的な個別のエージェント・プロセスが、リソースへのアクセス要求に割り込む。リソースへのこのようなアクセス要求には、例えば、ファイル読出し要求、ネットワーク接続を開く要求、およびリムーバブル媒体装置の装着要求などを含むことができる。OSカーネル・レベルでアクセスが検出されるので、元来のアクセス
要求が、エンドユーザによって実行されたアプリケーション・プログラムによるものか、ユーザに代って間接的にアプリケーションによって実行されたアプリケーション・プログラムによるものか、あるいはアプリケーション・ソフトウェアとは無関係にシステム要求によって実行されたかにかかわらず、リソース利用の追跡が生じる。
要求が、エンドユーザによって実行されたアプリケーション・プログラムによるものか、ユーザに代って間接的にアプリケーションによって実行されたアプリケーション・プログラムによるものか、あるいはアプリケーション・ソフトウェアとは無関係にシステム要求によって実行されたかにかかわらず、リソース利用の追跡が生じる。
自律的な個別のエージェント・プロセスは、低レベルのシステム・イベントを捕捉するセンサを含む。これらイベントは、ファイル読み出し、ファイル書き込み、ファイルのコピー、クリップボード・カット、クリップボード・コピー、CD‐RWアクセス、TCP/IPネットワーク・メッセージの到着、TCP/IPネットワーク・メッセージの送出などの操作を含むことができる。
次いで、低レベル・イベントは、1つまたは複数のファイル名(ハンドル)に関連付けられ、承認リストに照らしてフィルタ処理される。このようにして、生のイベントをフィルタ処理し、機密アプリケーション・データを含まないオペレーティング・システム・ファイル(.EXEや.DLLなど)などのファイルへの参照を排除する。このようにして、機密データを含む可能性のあるアプリケーション・ファイルに関係するイベントのみが、さらに追跡される。
次いで、フィルタ処理された結果は共に結合され、ジャーナル・サーバに安全に送信される。ジャーナル・サーバは、イベント・リストを分解して、これらをイベント・データベースに格納する。さらに、ジャーナル・サーバは、信頼状態の悪用と考えられる集合イベントを見つけ出すために、一連のイベントを定期的に検査する。次いで、そのような集合イベントも、通常はさらにデータベースに加えられる。
例えば、集合「ファイル編集(FileEdit)」イベントは、ユーザが機密の財務文書を開いて変更し、その後、このユーザがこの文書の名前を変更する前に印刷し、新たに取り付けたUSBハード・ドライブに保存したときに、ジャーナル・サーバによって報告される。したがって、ジャーナル・サーバから報告された集合イベントからレポート一式を作成して、企業内の個々のユーザによっていかにファイルがアクセスされ、使用され、通信されたかについて全体の認識を得ることができる。例えば、要約および傾向レポートによって、流された情報の量および種類、ならびにさまざまな基準にもとづく特定の疑わしいユーザについての集合イベント間の考えられる関連付けを示すことができる。
さらに、アクティビティ・ジャーナル(動作記録)が、ユーザ、ファイル、アプリケーション、ネットワーク接続、および記憶媒体などによって分類される。その結果は、例えばパーソナル電子メール・サーバを通じて送信された電子メールにいずれのファイルが添付されたのか、特定のクライアント・ファイルにいずれのユーザがアクセスしたのか、および最近離職した従業員が先月にいずれの文書をCD‐RWに焼き付け、あるいは家庭のプリンタに出力したのかを決定し、あるいは他の考えられる権限の悪用を見出すための、さまざまな目的に使用できる監査追跡となる。
本発明の前記の目的、特徴および利点、ならびに他の目的、特徴および利点は、添付の図面に示した本発明の好ましい実施形態に関する以下のさらに詳しい説明から、明らかになるであろう。添付の図面においては、異なる図であっても同一参照符号は同一部分を指している。図面は必ずしも縮尺通りではなく、本発明の原理を示すことに重点が置かれている。
図1は一般的なコンピュータ・ネットワーク100の図であり、このコンピュータ・ネットワーク100は、ローカル・エリア・ネットワークおよび/またはLAN間接続設備
を介して接続された、クライアント装置102およびサーバ104からなる。インターネット108などの外部ネットワークへの接続が、ルータまたはゲートウェイ106などの装置を介して実現されている。さらに、インターネット108を介した接続を、信頼できるエクストラネットを構成する外部コンピュータ110との間で行なうことも可能である。
を介して接続された、クライアント装置102およびサーバ104からなる。インターネット108などの外部ネットワークへの接続が、ルータまたはゲートウェイ106などの装置を介して実現されている。さらに、インターネット108を介した接続を、信頼できるエクストラネットを構成する外部コンピュータ110との間で行なうことも可能である。
従来からのセキュリティ・モデルが、保護されているネットワーク100内の装置102および/またはファイル・サーバ104への不信な外部者110によるアクセスを防止するのに用いられる。すなわち、ネットワーク境界120が、通常は、例えばルータ106により、詳細にはファイアウォール107において、ネットワークのアクセス点に用いられている。このようにして、ファイアウォール107は、サーバ104に格納された情報にアクセスしたり、またはローカル・コンピュータ102を操作しようとしたりする外部コンピュータ110の権限のないユーザの企てを阻止することができる。さらに、ファイアウォール107は、例えば制限されあるいは有害であるウェブサイトおよびゲーム・サーバなどを含む一部の望ましくない外部コンピュータ110にアクセスを試みるユーザによるものなど、外部へのアクセスについても境界120を確立できる。
外部の物理的アクセス点においてネットワークに対して境界を確立する以外に、本発明は、ファイルの使用についてのアカウンタビリティの境界を使用点(使用時点および使用場所)において確立する。このアカウンタビリティ・モデルは、ローカル・サーバ104に保存されたファイルにアクセスするコンピュータ102の権限を与えられたユーザを追跡できるだけでなく、さらに重要なことは、そのようなファイルへのアクセスまたは情報を配布もしくは記録する周辺機器へのそのようなファイル移動の企て、または他に生じうる不正なイベントを監視することができる。
このような生じうる不正なイベントが発生するのは、ユーザ・アクセス装置が、ローカル・ファイル・サーバ104またはファイアウォール107により認識できないかまたは制御できないときである。これらのイベントには、CD−RW204、PDA206、USB記憶装置208、無線装置212、またはディジタル・ビデオ記録装置214などの制御不可能な媒体へのファイルの書き込みが含まれ、さらにはファイルの印刷さえも含まれる。他の疑わしいイベントには、外部ピア・トゥ・ピア(P2P)アプリケーション201の実行、外部の電子メール・アプリケーション202を介してのファイルの送信、およびインターネット108を介してのウェブサイトへのファイルのアップロードなどが含まれる。この点から、本発明は、すべてのファイル、アプリケーションおよびネットワークの使用について、企業全体にわたるジャーナル(動作記録)を実現できる。容易に理解されるとおり、このジャーナル化の重要点は、例えばデスクトップ102またはファイル・サーバ104などの使用点において生じるユーザの行為を特徴付けて、高レベルのコンテキスト・ストリーム(contextual stream)から構成される。
次に図2を用いて、アクティビティ・ジャーナル化プロセスをより詳細に説明する。エージェント・プロセス300が、ネットワーク101内のクライアント102および/またはサーバ104上で動作するオペレーティング・システム(OS)301とアプリケーション308の間に置かれている。エージェント・プロセス300は、ファイルの読み出しもしくは書込み操作、またはネットワーク・データ伝送など、ファイル、印刷、クリップボード、およびI/O装置の動作の検出および追跡に使用される。
クライアントは、通常は、ローカル・ネットワーク101への直接の有線(または無線)接続109を有するデスクトップ102−1を含むが、エージェント300は、ラップトップ102−2などの接続されていないクライアント・コンピュータ上で実行されてもよく、イベントの報告は、最終的にネットワーク100への接続がなされたときに行なわ
れる。
れる。
以下で簡単に説明する方法で、エージェント300は、原子イベント350を、通常はアクティビティ・ジャーナル・サーバ104‐2上で動作するアクティビティ・ジャーナル化プロセスに報告する。ジャーナル・サーバ104‐2は、原子イベント・データを処理し、いわゆる集合イベント360に合体させる。集合イベント360は、ある所定の一連の原子イベントが生じたときに検出される。これより、各集合イベント360は、監視すべきアクティビティを表わす所定のパターンに適合する1つまたは複数の原子イベント350で構成される。
集合イベント360を構成する特定の種類および/または一連の原子イベント350については、後で詳細に説明する。しかし、ここでは、報告される特定のイベントおよびそれらの集合の種類が、監視しようとする特定のアクティビティによって決まることを理解すべきである。
ネットワークを完全に保護するため、典型的には、エージェント・プロセス300は、企業ネットワークに接続されているすべてのデスクトップ102およびファイル・サーバ104上に常駐する。アクティビティ・ジャーナル・サーバ104およびエージェント・プロセス300は、マイクロソフト社の「.NET」インフラやその他の安全なネットワーク・システムなど、安全なネットワーク・ベースのアプリケーションを介して通信できる。さらに、管理用コンソール102‐5によって、ジャーナル・サーバ104‐2に保存されたデータベースへのアクセスが可能であり、管理用コンソール102‐5は、特にリスク・コンプライアンス、フォレンジック報告、および同様の報告310をシステムの管理者ユーザに提供するのに使用される。
図3は、クライアント・エージェント300およびジャーナル・サーバ104‐2をさらに詳しく示した図である。詳細には、これらの要素は、1つまたは複数のセンサ500、ファイル・フィルタ520、イベント合体集合530、ネットワーク接続550、データベース560、および高レベル・イベント集合570で構成されている。イベントの検出および集合を実行するために、さらに、エージェント・プロセス300は、規則のリアル・タイム評価および可能性を有する行使を設けてもよい点に注目すべきである。
ジャーナル・サーバ104−2は、通常は、セキュリティ保護された.NETフレームワークを有するウインドウズ2000サーバ(Windows(登録商標) 2000 Server)環境内で動作できる。さらに、ジャーナル・サーバ104‐2は、レコードの保存および取り出しの機能を提供するために、例えばマイクロソフトSQLサーバ2000(Microsoft SQL Server 2000)などのデータベースへのアクセスを有する。なお、当然ながら、本明細書で説明するプロセスは、他の種類のオペレーティング・システム、サーバ・プラットフォーム、データベース・システム、およびセキュリティ保護されたネットワーク環境上で実行できる。
すでに述べたとおり、エージェント300は一般に、クライアントのオペレーティング・システム(OS)においてカーネル・プロセスとして動作する。例えば、エージェント300は、マイクロソフト社のウインドウズ2000(Windows 2000)またはウインドウズXP(Windows XP)のカーネル内で動作できる。エージェント300の自律的な作動によって、クライアント102がネットワーク100から切り離されている場合であっても、原子イベント350の検出が可能になる。このようなイベントはすべて、クライアント102が再度接続されてディジタル・ガーディアン・サーバ104−2と通信できるようになったときに、報告される。
好ましい実施形態においては、悪意のあるユーザによって1つのサービスが停止させられた場合でも、他のサービスが別のプロセスを再開できるように、エージェント300がウインドウズのもとで複数のサービスを実行する。さらに、このプロセスは、完全な保護を保証するために、オペレーティング・システムのタスク・マネージャまたは同様のプロセスから隠されており、セーフモード起動手段においても機能することができる。
エージェント300に注目すると、原子イベント・センサ500は、通常は入力/出力(I/O)ドライバに関連する動作がOSカーネルにおいて捕捉されたとき、出力として原子イベントを提供する。したがって、エージェント・プロセス300は、エンドユーザには透過であり、改ざんされにくい。この捕捉は、例えば、割込み可能カーネルのI/O要求パケット(IRP)において発生する。センサ500は、例えば、ファイル操作センサ502、ネットワーク操作センサ504、印刷待ち行列センサ505、クリップボード・センサ506、アプリケーション・プログラミング・インターフェイス(API)スパイ・センサ508、およびその他のセンサを含むことができる。イベントは、例えばウインドウズサービスおよびカーネル・レベル・ドライバによっても提供できる。
イベントについて集められたデータは、イベントの種類によるが、以下に示すものも含むことができる。
・アプリケーションの呼び出しの場合には、呼出しプロセスの識別、実行可能な名前、開始時間、終了時間、およびプロセス所有者、
・ログオンまたはログオフなどのユーザ操作の場合には、時刻およびユーザの識別子(ID)、
・ファイル操作の場合には、元/先のファイル名、操作の種類(オープン、書き込み、削除、名前の変更、ゴミ箱への移動)、装置の種類、最初と最後のアクセス時刻、
・ネットワーク操作の場合には、発信元/宛先のアドレス、ポートおよびホスト名、開始/終了時刻のスタンプ、送信および受信したバイト数、入力および出力のデータ伝送時間、
・CD‐RWの操作の場合には、ファイル名、開始/終了時刻および転送されたデータ量、
・印刷操作の場合には、フルパスまたはファイル名、イベント開始時刻またはプリント・ジョブ名、
・クリップボード操作の場合には、宛先プロセスID、イベント開始時刻、関係するファイル名のフルパス、
・リムーバブル記憶媒体へのアクセスなどの他の高レベルの操作の場合には、ファイル名、装置ID、日時、転送されたバイト数、など
・アプリケーションの呼び出しの場合には、呼出しプロセスの識別、実行可能な名前、開始時間、終了時間、およびプロセス所有者、
・ログオンまたはログオフなどのユーザ操作の場合には、時刻およびユーザの識別子(ID)、
・ファイル操作の場合には、元/先のファイル名、操作の種類(オープン、書き込み、削除、名前の変更、ゴミ箱への移動)、装置の種類、最初と最後のアクセス時刻、
・ネットワーク操作の場合には、発信元/宛先のアドレス、ポートおよびホスト名、開始/終了時刻のスタンプ、送信および受信したバイト数、入力および出力のデータ伝送時間、
・CD‐RWの操作の場合には、ファイル名、開始/終了時刻および転送されたデータ量、
・印刷操作の場合には、フルパスまたはファイル名、イベント開始時刻またはプリント・ジョブ名、
・クリップボード操作の場合には、宛先プロセスID、イベント開始時刻、関係するファイル名のフルパス、
・リムーバブル記憶媒体へのアクセスなどの他の高レベルの操作の場合には、ファイル名、装置ID、日時、転送されたバイト数、など
承認されたファイル・フィルタ520が、システム・ファイルへの標準の呼出しによって生成される多数の重要度の低いイベントを自動的にフィルタ処理するように動作する。例えば、通常のマイクロソフト・ウインドウズ・アプリケーションの実行において、多種多様な.EXEおよび.DLLオペレーティング・システム・ファイルが開かれて、繰り返しアクセスされることがごく普通である。ジャーナル・サーバ104−2へのデータ・フローを少なくするために、ファイル・フィルタ520は承認ファイル・リスト522を使用して、原子センサ・イベント(生のセンサ・イベント)510をフィルタ処理する。
承認されたファイル・リスト522は、イベントに関連するファイル名のリストとして実装される。しかし、好ましい実施形態においては、公知のMD5アルゴリズムを利用して、各ファイル名に対するハッシュ・コードを生成する。次に、完全なファイル・ハンドルではなく、イベントに関連するファイル名のMD5ハッシュ・コードを承認リスト522と比較して、フィルタ処理プロセスを高速化する。このようにして、非承認のファイルに関するイベントのみが、合体工程530に送られる。
次の工程は、原子イベント510を集合させようとする原子イベント合体工程530である。合体工程530は、エージェント300とディジタル・ガーディアン・サーバ104の間において、単一のユーザ・アクションに対応した、あるいは関連する原子イベント510をさらにフィルタ処理する。一般に、アプリケーションは、ファイル全体を同時に読み出すのではなく、ファイルの小さいチャンクごとを何回にも分けて読み出す。例えば、ユーザが2メガバイト(MB)の表計算ファイルを開くとする。しかし、実際には、OSは、所定の時間に、実際にはこれよりもはるかに小さい、表計算ファイルのチャンク、例えば一度に5または10キロバイト(KB)にのみアクセスする。このように、典型的なアクセスのパターンにおいては、ファイル・オープンの原子イベントに続いて同一ファイルに対する複数回のリード(読み出し)の原子イベントが見られる。このような原子イベントの連続が、同一スレッドIDおよび同一ファイル・ハンドルを有する同一プロセスおよび同一実行可能ファイルから見られた場合には、イベント合体530は、単一の「ファイル・オープン」イベントのみをカウントする。好ましい実施形態においては、イベント合体530に対応する時間属性が存在し、これにより、一般には分単位で測定される時間制限を超えた場合、生のレベルのイベント間に少なくとも1つのイベントが報告される。
次に、合体したイベントは、バンドル540−1、540−2、・・・、540−nにグループ化される。バンドル540は、クライアント300からサーバ104‐2への伝送に好都合なようにグループ化された多数のイベントで構成されている。
好ましくは、エージェント300とジャーナル・サーバ104−2との間の通信は、ハイパー・テキスト転送プロトコル・セキュア(HTTPS)チャンネルなどの耐故障性の暗号化非同期通信チャネル550によってなされる。例えば、RSAセキュリティ社(RSA Security, Inc.)から入手可能な公開鍵インフラ(RSA/PKI)を、対称暗号化に使用できる。エージェント300はサービス証明(サーバ公開鍵)を保持し、これを使用して1つのパケット当たりに、1回限りのセッション鍵を暗号化して、対称暗号法を実行する。
さらに、ネットワーク接続550を介する伝送に先立ち、圧縮およびその他のデータ整理技術をバンドルに適用できる。フィルタ処理522および原子イベント合体530においては、サーバ104−2に通信されるアクティビティ・ジャーナルのサイズは、通常は1日につき1ユーザ当たりわずか約150Kb程度である。
ジャーナル・サーバ104−2に達すると、バンドル540は、復元および復号されて元の状態に戻され、原子イベント・テーブルとしてデータベース560に置かれる。このテーブルは、低レベル合体イベントの逆多重化バージョンを保持しており、これらイベントは単一ストリームとして処理できる。
次に、高レベル・イベント集合プロセス570が、データベース・テーブル560からイベントをストリームとして周期的に読み出し、高レベル集合イベントが発生しているか否かを決定する。これは、データベース560に参照を実行して、一連の原子イベントが前もって定義されているパターンで発生しているか否かを決定することによりなされる。
典型的な高レベル・イベント・パターンの包括的なリストが、図4Aおよび図4Bに示されている。例えば、好ましい実施形態においては、43個の異なるアクションの種類が定義されており、そのいくつかは低レベル原子イベントであり、その他は高レベル集合イベントである。所定のイベントは、おそらくはアクションの種類571、レベル572、イベントのカテゴリ573、イベント名574、イベント・テーブルID575、アクション詳細576、アクション詳細値577、および判別式578を含むデータベース内の複
数のフィールドで構成されている。
数のフィールドで構成されている。
イベント・カテゴリは、各イベント種類に対応する。例えば、イベント・カテゴリ「ファイル(File)」において、イベント名は、ファイル・リード(ファイル読み出し(FileRead))、ファイル・ライト(ファイル書き込み(FileWrite))、ファイル・リライト(ファイル書き換え(FileRewrite))、ファイル・コピー(FileCopy)、ファイル・リネーム(ファイル名変更(FileRename))、ファイル・デリート(ファイル削除(FileDelete))、ファイル・ムーブ(ファイル移動(FileMove))、ファイル・リサイクル(ファイル再利用(FileRecycle))、ファイル・リストア(ファイルの復活(FileRestor))を含む。同様に、ネットワークに関連するイベントは、TCP/IPの到着(TCPIPInbound)、TCP/IPの送出(TCPIPOutbound)、UDPの到着(UDPInbound)などである。
スコープ(scope)も、各イベント種類に対応する。スコープは、スレッド、プロセス、ログイン、マシン、またはすべての種類のスコープのいずれかであるとして定義される。例えば、「プロセス」スコープは、同一プロセス内の高レベル・イベントに統合されるイベントであるが、必ずしも同一スレッドを実行しない。「マシン」は、同じマシン上で生じる2つのイベント間で再起動が生じうることを意味している。
すべての高レベル・イベントに共通に記録される属性は、アクションの種類、イベント・カウント、バイト読み出しカウント、バイト書き込みカウント、イベント開始、イベント終了、およびその他の起こりうるアクションを含む。元および先は、ファイル、パス、プロセス、スレッド、およびイベントを実行したアプリケーションの識別情報を含む他の多数の属性を保持する。
その他の種類のシステム・イベントは、印刷(Print)イベント、CDイベント、クリップボード(Clipboard)、ユーザ(User)およびマシン(Machine)・イベントを含むことができる。低レベル・イベントの最後の種類は、プロセス開始(ProcessStart)およびプロセス終了(ProcessEnd)を含むプロセス・イベントである。
データベース560は、最終的には、ファイル・イベント、ネットワーク・イベント、印刷イベント、CDイベント、ユーザ・イベント、マシン・イベント、プロセス、マシン装置および他のイベントを含む一連のさまざまなイベントを含む。
高レベル集合イベントは、低レベル・イベントの発生の組み合わせを検出することによって生成される。さらに詳細には、高レベル集合イベント(アクション・タイプ26〜43)は、特定の順序で低レベル・イベント(アクション・タイプ1〜25)が見られた後に確定される。例えば、アクション・タイプ26は、「ファイル編集(FileEdited)」と呼ばれる高レベル・イベントである。これは、ファイルが編集されたときに確定される集合イベントである。表が示すとおり、高レベル・イベント集合プロセス570は、特定のプロセス、スレッド、およびファイルが、特定のファイル・ハンドルに対して1つまたは複数の読出しを実行し、続いて同一プロセス、スレッドおよびファイル・ハンドルに書き込み操作が起こったことを検出する。次に、このイベントが集合「ファイル編集」イベントとして確定される。
集合イベントは、図5A〜図5Dにさらに詳しく定義されている。例えば、「ファイルへのクリップボード(ClipboardToFile)」集合イベント510は、クリップボード・カットまたはコピー後に、ファイルへのクリップボード・ペースト操作がなされたことを検出した際に確定される。
同様に、「ファイル焼き付け(BurnFile)」イベントは、CD書込み(CDWrite)の原子イベントに続いてファイル読出し(FileRead)の原子イベントが検出されるものである。このように、1つのファイル・ハンドルから一連のファイル読み出し(FileRead)が検出され、同一プロセスで一連のCD書き込み(CDWrite)イベントが続いた場合、アプリケーションはCD−RWにファイルを書き込んだものと認識される。
他にも多数の集合イベントが可能であり、図5A〜図5Dのリストは、多数の可能性のうちのいくつかを例示しているにすぎない。
図6Aは、集合イベントから生成できる要約レポートの一例である。詳細には、日または週あるいは他の基準に基づいて統計を作成し、ディジタル資産が外部のネットワークまたは非管理環境に移動した時をリストアップする。レポートは、この要約様式で提供でき、あるいは当然のことであるが、部門および特定ユーザによるイベントごとに整理された、図6Bに示すようなより詳細な様式で提供できる。この結果、予期しない行為のパターンをこのようなレポートから明らかにすることができる。
特定のユーザごとに整理された別の詳細事項は、図6Cに示すようなレポートで提供できる。ここでは、特定のユーザであるアルバート・グリムリー(Albert Grimley)が、設計仕様ファイル、販促資料、顧客リスト、製品概要、およびマーケティング・スライドのコピーを行なったことが見られる。例えば、グリムリー氏の職務が技術開発チームの支援であり、マーケティング部門に属してはいない場合など、このような行為がグリムリー氏に許可されているとは通常考えられない場合、顧客リスト、販促資料およびマーケティング・スライドのコピーなどの行為は疑わしいものと考えられ、組織の経営管理者によるさらに進んだ対処を必要とする。
以上、本発明を、本発明の好ましい実施形態を参照して詳細に図示し、説明しきたが、添付の特許請求の範囲に包含される本発明の範囲から逸脱することなく、形態や細部にさまざまな変更が可能であることを、当業者には理解できるであろう。
Claims (22)
- データ処理システムにおけるアクティビティをジャーナル化するシステムであって、
原子レベル・イベントを捕捉するセンサと、
複数の原子レベル・イベントを受け取り、ジャーナル・イベントを生成する集合器とを備えた、アクティビティ・ジャーナル化システム。 - 請求項1において、前記ジャーナル・イベントが特定の実行プロセスに関連する、アクティビティ・ジャーナル化システム。
- 請求項2において、前記実行プロセスが特定のユーザに関連する、アクティビティ・ジャーナル化システム。
- 請求項1において、さらに、
原子レベル・イベントを承認イベント・リストでフィルタ処理するフィルタを備えた、アクティビティ・ジャーナル化システム。 - 請求項4において、前記承認イベント・リストが、承認されたファイル識別子のリストを含む、アクティビティ・ジャーナル化システム。
- 請求項4において、前記ファイル識別子がハッシュ・コードである、アクティビティ・ジャーナル化システム。
- 請求項1において、前記センサがクライアント・エージェント内に配置され、前記集合器がサーバ内に配置されている、アクティビティ・ジャーナル化システム。
- 請求項7において、さらに、
前記センサによる原子イベント出力を前記集合器に入力する前に合体する合体器を備えた、アクティビティ・ジャーナル化システム。 - 請求項8において、合体したイベントのバンドルを生成後、これらを前記エージェントと前記サーバとの間で伝送する、アクティビティ・ジャーナル化システム。
- 請求項8において、バンドルにシーケンス番号が付加される、アクティビティ・ジャーナル化システム。
- 請求項1において、ジャーナル・イベントが、データ・ファイルについての疑わしいアクションとして検出される、アクティビティ・ジャーナル化システム。
- 請求項1において、イベントが、既知の時刻において特定される、既知のユーザ、スレッドおよび/またはアプリケーションに起因する、アクティビティ・ジャーナル化システム。
- 請求項8において、前記合体器が、アクティビティのないタイムアウト期間の後にイベントを報告する、アクティビティ・ジャーナル化システム。
- 請求項1において、ジャーナル・イベントが、前記データ処理システムのセキュリティを制御するのに用いられる、アクティビティ・ジャーナル化システム。
- 請求項1において、システムの使用点においてアカウンタビリティ境界を設けるのに、
前記ジャーナル・イベントが用いられる、アクティビティ・ジャーナル化システム。 - 請求項15において、使用点がユーザのデスクトップであり、アカウンタビリティ境界がデータ・ファイルである、アクティビティ・ジャーナル化システム。
- データ処理システムにおいてアクティビティをジャーナル化する方法であって、
原子レベル・イベントを捕捉する捕捉工程と、
ジャーナル・イベントを生成するように、複数の原子レベル・イベントを集合する集合工程とを備えた、アクティビティ・ジャーナル化方法。 - 請求項17において、さらに、
原子レベル・イベントを承認イベント・リストでフィルタ処理するフィルタ処理工程を備えた、アクティビティ・ジャーナル化方法。 - 請求項18において、前記承認イベント・リストが、承認されたファイル識別子のリストを含む、アクティビティ・ジャーナル化方法。
- 請求項17において、原子レベル・イベントを検出する前記捕捉工程がクライアント・エージェント内に配置され、複数の原子レベル・イベントを集合する前記集合工程がサーバ内で生じる、アクティビティ・ジャーナル化方法。
- 請求項20において、さらに、
前記捕捉工程による原子イベント出力を前記集合工程に提供する前に合体する合体工程を備えた、アクティビティ・ジャーナル化方法。 - 請求項21において、合体したイベントのバンドルを生成後、これらを前記クライアント・エージェントと前記サーバとの間で伝送する、アクティビティ・ジャーナル化方法。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US44246403P | 2003-01-23 | 2003-01-23 | |
| US65557303A | 2003-09-04 | 2003-09-04 | |
| US10/716,336 US7472272B2 (en) | 2003-01-23 | 2003-11-18 | Digital asset usage accountability via event journaling |
| PCT/US2004/001454 WO2004066082A2 (en) | 2003-01-23 | 2004-01-21 | Digital asset usage accountability via event journaling |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006518893A true JP2006518893A (ja) | 2006-08-17 |
| JP4667359B2 JP4667359B2 (ja) | 2011-04-13 |
Family
ID=32777025
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006501056A Expired - Lifetime JP4667359B2 (ja) | 2003-01-23 | 2004-01-21 | イベントのジャーナル化によるディジタル資産使用アカウンタビリティ |
Country Status (5)
| Country | Link |
|---|---|
| US (2) | US7472272B2 (ja) |
| EP (1) | EP1590735A4 (ja) |
| JP (1) | JP4667359B2 (ja) |
| CA (1) | CA2553429C (ja) |
| WO (1) | WO2004066082A2 (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008276723A (ja) * | 2007-04-05 | 2008-11-13 | Hitachi Ltd | 情報資産管理システム、ログ分析サーバ、ログ分析用プログラム、及び可搬媒体 |
| JP2010524105A (ja) * | 2007-04-11 | 2010-07-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ・ストレージ・システムによって処理されたデータを識別するための方法及びシステム |
| US8051204B2 (en) | 2007-04-05 | 2011-11-01 | Hitachi, Ltd. | Information asset management system, log analysis server, log analysis program, and portable medium |
| JP2016162233A (ja) * | 2015-03-02 | 2016-09-05 | キヤノン株式会社 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
| CN110337640A (zh) * | 2017-02-23 | 2019-10-15 | 普雷科格奈兹公司 | 用于问题警报聚合的方法和系统 |
Families Citing this family (53)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7472272B2 (en) | 2003-01-23 | 2008-12-30 | Verdasys, Inc. | Digital asset usage accountability via event journaling |
| US7100047B2 (en) * | 2003-01-23 | 2006-08-29 | Verdasys, Inc. | Adaptive transparent encryption |
| US7814021B2 (en) * | 2003-01-23 | 2010-10-12 | Verdasys, Inc. | Managed distribution of digital assets |
| US20040243920A1 (en) * | 2003-05-29 | 2004-12-02 | Kabushiki Kaisha Toshiba | Document input/output journal management system and method |
| AU2003233838A1 (en) * | 2003-06-04 | 2005-01-04 | Inion Ltd | Biodegradable implant and method for manufacturing one |
| WO2005083620A2 (en) * | 2004-02-26 | 2005-09-09 | Siemens Medical Solutions Health Services Corporation | A system and method for processing audit records |
| US8341649B2 (en) * | 2004-07-06 | 2012-12-25 | Wontok, Inc. | System and method for handling an event in a computer system |
| US7765558B2 (en) * | 2004-07-06 | 2010-07-27 | Authentium, Inc. | System and method for handling an event in a computer system |
| US7552179B2 (en) * | 2004-09-20 | 2009-06-23 | Microsoft Corporation | Envelope e-mail journaling with best effort recipient updates |
| US7496575B2 (en) * | 2004-11-22 | 2009-02-24 | Verdasys, Inc. | Application instrumentation and monitoring |
| US7657624B2 (en) * | 2005-06-22 | 2010-02-02 | Hewlett-Packard Development Company, L.P. | Network usage management system and method |
| US20070168349A1 (en) * | 2005-09-30 | 2007-07-19 | Microsoft Corporation | Schema for template based management system |
| US7899903B2 (en) | 2005-09-30 | 2011-03-01 | Microsoft Corporation | Template based management system |
| US8312552B1 (en) | 2005-12-15 | 2012-11-13 | Emc Corporation | Method and system for rendering watermarked content |
| US8526666B1 (en) * | 2005-12-15 | 2013-09-03 | Emc Corporation | Method and system for rendering watermarked content using a watermark window |
| US20070162417A1 (en) * | 2006-01-10 | 2007-07-12 | Kabushiki Kaisha Toshiba | System and method for selective access to restricted electronic documents |
| JP2007241513A (ja) * | 2006-03-07 | 2007-09-20 | Japan Lucida Co Ltd | 機器監視装置 |
| JP5003131B2 (ja) * | 2006-12-04 | 2012-08-15 | 富士ゼロックス株式会社 | 文書提供システム及び情報提供プログラム |
| US7743140B2 (en) * | 2006-12-08 | 2010-06-22 | International Business Machines Corporation | Binding processes in a non-uniform memory access system |
| US7613888B2 (en) | 2007-04-11 | 2009-11-03 | International Bsuiness Machines Corporation | Maintain owning application information of data for a data storage system |
| JP2009042856A (ja) * | 2007-08-07 | 2009-02-26 | Fuji Xerox Co Ltd | 文書管理装置、文書管理システム及びプログラム |
| US8032497B2 (en) | 2007-09-26 | 2011-10-04 | International Business Machines Corporation | Method and system providing extended and end-to-end data integrity through database and other system layers |
| US8959624B2 (en) * | 2007-10-31 | 2015-02-17 | Bank Of America Corporation | Executable download tracking system |
| KR100985076B1 (ko) * | 2008-04-16 | 2010-10-04 | 주식회사 안철수연구소 | Usb 디바이스 보안 장치 및 방법 |
| US9235705B2 (en) * | 2008-05-19 | 2016-01-12 | Wontok, Inc. | Secure virtualization system software |
| US10387927B2 (en) | 2010-01-15 | 2019-08-20 | Dell Products L.P. | System and method for entitling digital assets |
| US9256899B2 (en) * | 2010-01-15 | 2016-02-09 | Dell Products, L.P. | System and method for separation of software purchase from fulfillment |
| US9235399B2 (en) * | 2010-01-15 | 2016-01-12 | Dell Products L.P. | System and method for manufacturing and personalizing computing devices |
| US8793789B2 (en) * | 2010-07-22 | 2014-07-29 | Bank Of America Corporation | Insider threat correlation tool |
| US8800034B2 (en) | 2010-01-26 | 2014-08-05 | Bank Of America Corporation | Insider threat correlation tool |
| US8782209B2 (en) * | 2010-01-26 | 2014-07-15 | Bank Of America Corporation | Insider threat correlation tool |
| US9038187B2 (en) * | 2010-01-26 | 2015-05-19 | Bank Of America Corporation | Insider threat correlation tool |
| US8170783B2 (en) | 2010-03-16 | 2012-05-01 | Dell Products L.P. | System and method for handling software activation in entitlement |
| US8782794B2 (en) | 2010-04-16 | 2014-07-15 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| US8544100B2 (en) | 2010-04-16 | 2013-09-24 | Bank Of America Corporation | Detecting secure or encrypted tunneling in a computer network |
| US8805847B2 (en) | 2010-05-06 | 2014-08-12 | Ca, Inc. | Journal event consolidation |
| US8099596B1 (en) * | 2011-06-30 | 2012-01-17 | Kaspersky Lab Zao | System and method for malware protection using virtualization |
| US9552201B2 (en) * | 2011-08-31 | 2017-01-24 | Avaya Inc. | System and method for incremental software installation |
| US8452901B1 (en) * | 2011-12-30 | 2013-05-28 | Emc Corporation | Ordered kernel queue for multipathing events |
| EP3416071B1 (en) * | 2012-01-24 | 2021-11-03 | Varonis Systems, Inc. | A method and apparatus for authentication of file read events |
| US10152492B1 (en) * | 2012-03-30 | 2018-12-11 | EMC IP Holding Company LLC | Extended recycle bin for versioning |
| US20130282775A1 (en) * | 2012-04-23 | 2013-10-24 | Abb Technology Ag. | Data manager centralized storage for multiple service applications |
| US9736121B2 (en) | 2012-07-16 | 2017-08-15 | Owl Cyber Defense Solutions, Llc | File manifest filter for unidirectional transfer of files |
| US9779219B2 (en) | 2012-08-09 | 2017-10-03 | Dell Products L.P. | Method and system for late binding of option features associated with a device using at least in part license and unique ID information |
| US10218586B2 (en) | 2013-01-23 | 2019-02-26 | Owl Cyber Defense Solutions, Llc | System and method for enabling the capture and securing of dynamically selected digital information |
| US8776254B1 (en) | 2013-01-23 | 2014-07-08 | Owl Computing Technologies, Inc. | System and method for the secure unidirectional transfer of software and software updates |
| US9306953B2 (en) | 2013-02-19 | 2016-04-05 | Owl Computing Technologies, Inc. | System and method for secure unidirectional transfer of commands to control equipment |
| US9779237B2 (en) * | 2013-03-15 | 2017-10-03 | Netiq Corporation | Detection of non-volatile changes to a resource |
| CN103414698B (zh) * | 2013-07-22 | 2016-08-10 | 北京星网锐捷网络技术有限公司 | 会话流老化方法及装置 |
| US9311329B2 (en) | 2014-06-05 | 2016-04-12 | Owl Computing Technologies, Inc. | System and method for modular and continuous data assurance |
| US10764315B1 (en) * | 2019-05-08 | 2020-09-01 | Capital One Services, Llc | Virtual private cloud flow log event fingerprinting and aggregation |
| US11379421B1 (en) * | 2019-06-25 | 2022-07-05 | Amazon Technologies, Inc. | Generating readable, compressed event trace logs from raw event trace logs |
| US20230300112A1 (en) * | 2022-03-21 | 2023-09-21 | Sophos Limited | Aggregating security events |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1117915A (ja) * | 1997-06-27 | 1999-01-22 | Fuji Xerox Co Ltd | 画像処理装置 |
| JP2001184264A (ja) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置 |
Family Cites Families (44)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US178271A (en) * | 1876-06-06 | Improvement in steam fire-escapes | ||
| US5032979A (en) * | 1990-06-22 | 1991-07-16 | International Business Machines Corporation | Distributed security auditing subsystem for an operating system |
| US5666411A (en) | 1994-01-13 | 1997-09-09 | Mccarty; Johnnie C. | System for computer software protection |
| JP3453842B2 (ja) | 1994-04-26 | 2003-10-06 | 三菱電機株式会社 | セキュアシステム |
| US7165174B1 (en) * | 1995-02-13 | 2007-01-16 | Intertrust Technologies Corp. | Trusted infrastructure support systems, methods and techniques for secure electronic commerce transaction and rights management |
| EP1526472A3 (en) | 1995-02-13 | 2006-07-26 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5897635A (en) * | 1995-06-07 | 1999-04-27 | International Business Machines Corp. | Single access to common user/application information |
| US5692124A (en) | 1996-08-30 | 1997-11-25 | Itt Industries, Inc. | Support of limited write downs through trustworthy predictions in multilevel security of computer network communications |
| US7092914B1 (en) * | 1997-11-06 | 2006-08-15 | Intertrust Technologies Corporation | Methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information |
| US6513155B1 (en) * | 1997-12-12 | 2003-01-28 | International Business Machines Corporation | Method and system for merging event-based data and sampled data into postprocessed trace output |
| US6192403B1 (en) * | 1997-12-23 | 2001-02-20 | At&T Corp | Method and apparatus for adaptive monitor and support system |
| JP4763866B2 (ja) | 1998-10-15 | 2011-08-31 | インターシア ソフトウェア エルエルシー | 2重再暗号化によりデジタルデータを保護する方法及び装置 |
| GB2342734A (en) * | 1998-10-17 | 2000-04-19 | Ibm | Managing timer objects in an event-driven system |
| US6118862A (en) * | 1998-10-23 | 2000-09-12 | Toshiba America Information Systems, Inc. | Computer telephony system and method |
| US6510513B1 (en) * | 1999-01-13 | 2003-01-21 | Microsoft Corporation | Security services and policy enforcement for electronic data |
| US6340977B1 (en) * | 1999-05-07 | 2002-01-22 | Philip Lui | System and method for dynamic assistance in software applications using behavior and host application models |
| US7472349B1 (en) * | 1999-06-01 | 2008-12-30 | Oracle International Corporation | Dynamic services infrastructure for allowing programmatic access to internet and other resources |
| US20020002609A1 (en) * | 1999-12-29 | 2002-01-03 | Chung David W. | Telecommunications operating system |
| JP4177957B2 (ja) * | 2000-03-22 | 2008-11-05 | 日立オムロンターミナルソリューションズ株式会社 | アクセス制御システム |
| IL152502A0 (en) * | 2000-04-28 | 2003-05-29 | Internet Security Systems Inc | Method and system for managing computer security information |
| US6438575B1 (en) * | 2000-06-07 | 2002-08-20 | Clickmarks, Inc. | System, method, and article of manufacture for wireless enablement of the world wide web using a wireless gateway |
| AU2001268674B2 (en) * | 2000-06-22 | 2007-04-26 | Microsoft Technology Licensing, Llc | Distributed computing services platform |
| US6678883B1 (en) * | 2000-07-10 | 2004-01-13 | International Business Machines Corporation | Apparatus and method for creating a trace file for a trace of a computer program based on loaded module information |
| US20020052981A1 (en) * | 2000-08-31 | 2002-05-02 | Fujitsu Limited | Method for suppressing a menu, method for controlling copying and moving of data and computer-readable recording medium recorded with program code for controlling a menu |
| GB0024919D0 (en) * | 2000-10-11 | 2000-11-22 | Sealedmedia Ltd | Method of further securing an operating system |
| US7660902B2 (en) * | 2000-11-20 | 2010-02-09 | Rsa Security, Inc. | Dynamic file access control and management |
| JP2002175210A (ja) | 2000-12-07 | 2002-06-21 | Toyo Commun Equip Co Ltd | データの移動、複製方法及び暗号化、復号方法 |
| US20030051026A1 (en) | 2001-01-19 | 2003-03-13 | Carter Ernst B. | Network surveillance and security system |
| GB0102515D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Network adapter management |
| JP4089171B2 (ja) * | 2001-04-24 | 2008-05-28 | 株式会社日立製作所 | 計算機システム |
| US7231378B2 (en) * | 2001-04-26 | 2007-06-12 | General Electric Company | System and method for managing user profiles |
| US6839896B2 (en) * | 2001-06-29 | 2005-01-04 | International Business Machines Corporation | System and method for providing dialog management and arbitration in a multi-modal environment |
| US7281020B2 (en) | 2001-12-12 | 2007-10-09 | Naomi Fine | Proprietary information identification, management and protection |
| US7398389B2 (en) * | 2001-12-20 | 2008-07-08 | Coretrace Corporation | Kernel-based network security infrastructure |
| US20030169306A1 (en) * | 2002-03-07 | 2003-09-11 | Nokia Corporation | Creating a screen saver from downloadable applications on mobile devices |
| US8463617B2 (en) * | 2002-06-03 | 2013-06-11 | Hewlett-Packard Development Company, L.P. | Network subscriber usage recording system |
| US7281011B1 (en) * | 2002-07-31 | 2007-10-09 | At&T Bls Intellectual Property, Inc. | Computer-readable medium and data structure for defining and communicating a standard operating environment |
| WO2004019186A2 (en) * | 2002-08-26 | 2004-03-04 | Guardednet, Inc. | Determining threat level associated with network activity |
| JP2004126634A (ja) * | 2002-09-30 | 2004-04-22 | Nec Software Chubu Ltd | ファイル保護システム |
| US7100047B2 (en) * | 2003-01-23 | 2006-08-29 | Verdasys, Inc. | Adaptive transparent encryption |
| US7814021B2 (en) | 2003-01-23 | 2010-10-12 | Verdasys, Inc. | Managed distribution of digital assets |
| US7472272B2 (en) | 2003-01-23 | 2008-12-30 | Verdasys, Inc. | Digital asset usage accountability via event journaling |
| US7350186B2 (en) * | 2003-03-10 | 2008-03-25 | International Business Machines Corporation | Methods and apparatus for managing computing deployment in presence of variable workload |
| US7974937B2 (en) * | 2007-05-17 | 2011-07-05 | Rockwell Automation Technologies, Inc. | Adaptive embedded historians with aggregator component |
-
2003
- 2003-11-18 US US10/716,336 patent/US7472272B2/en active Active
-
2004
- 2004-01-21 JP JP2006501056A patent/JP4667359B2/ja not_active Expired - Lifetime
- 2004-01-21 CA CA2553429A patent/CA2553429C/en not_active Expired - Lifetime
- 2004-01-21 WO PCT/US2004/001454 patent/WO2004066082A2/en active Application Filing
- 2004-01-21 EP EP04704027A patent/EP1590735A4/en not_active Ceased
-
2008
- 2008-12-09 US US12/316,125 patent/US7934091B2/en not_active Expired - Lifetime
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1117915A (ja) * | 1997-06-27 | 1999-01-22 | Fuji Xerox Co Ltd | 画像処理装置 |
| JP2001184264A (ja) * | 1999-12-16 | 2001-07-06 | Internatl Business Mach Corp <Ibm> | アクセス制御システム、アクセス制御方法、記憶媒体、及びプログラム伝送装置 |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2008276723A (ja) * | 2007-04-05 | 2008-11-13 | Hitachi Ltd | 情報資産管理システム、ログ分析サーバ、ログ分析用プログラム、及び可搬媒体 |
| US8051204B2 (en) | 2007-04-05 | 2011-11-01 | Hitachi, Ltd. | Information asset management system, log analysis server, log analysis program, and portable medium |
| JP2010524105A (ja) * | 2007-04-11 | 2010-07-15 | インターナショナル・ビジネス・マシーンズ・コーポレーション | データ・ストレージ・システムによって処理されたデータを識別するための方法及びシステム |
| JP2016162233A (ja) * | 2015-03-02 | 2016-09-05 | キヤノン株式会社 | 情報処理方装置、情報処理装置の制御方法、およびコンピュータプログラム |
| US10691809B2 (en) | 2015-03-02 | 2020-06-23 | Canon Kabushiki Kaisha | Information processing apparatus and method for controlling the same |
| CN110337640A (zh) * | 2017-02-23 | 2019-10-15 | 普雷科格奈兹公司 | 用于问题警报聚合的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| EP1590735A4 (en) | 2011-04-20 |
| US20040255160A1 (en) | 2004-12-16 |
| US7472272B2 (en) | 2008-12-30 |
| US20090198765A1 (en) | 2009-08-06 |
| EP1590735A2 (en) | 2005-11-02 |
| CA2553429C (en) | 2017-01-03 |
| WO2004066082A2 (en) | 2004-08-05 |
| JP4667359B2 (ja) | 2011-04-13 |
| WO2004066082A3 (en) | 2005-03-10 |
| CA2553429A1 (en) | 2004-08-05 |
| US7934091B2 (en) | 2011-04-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4667359B2 (ja) | イベントのジャーナル化によるディジタル資産使用アカウンタビリティ | |
| JP4667360B2 (ja) | ディジタル資産の管理された配布 | |
| JP4667361B2 (ja) | 適応的透過暗号化 | |
| US10367851B2 (en) | System and method for automatic data protection in a computer network | |
| US9348984B2 (en) | Method and system for protecting confidential information | |
| EP1977364B1 (en) | Securing data in a networked environment | |
| Phyo et al. | A detection-oriented classification of insider it misuse | |
| RU2622630C2 (ru) | Система и способ восстановления модифицированных данных | |
| Casey et al. | Intrusion investigation | |
| Venables | Report highlights | |
| Rahman | An authentication middleware for prevention of information theft (AMPIT) |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100608 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20100825 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20100901 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101126 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20101221 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110111 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140121 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4667359 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| EXPY | Cancellation because of completion of term |