JP2009507454A - 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 - Google Patents

分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 Download PDF

Info

Publication number
JP2009507454A
JP2009507454A JP2008530155A JP2008530155A JP2009507454A JP 2009507454 A JP2009507454 A JP 2009507454A JP 2008530155 A JP2008530155 A JP 2008530155A JP 2008530155 A JP2008530155 A JP 2008530155A JP 2009507454 A JP2009507454 A JP 2009507454A
Authority
JP
Japan
Prior art keywords
distributed network
network
protection agent
residing
running
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2008530155A
Other languages
English (en)
Other versions
JP4743911B2 (ja
JP2009507454A5 (ja
Inventor
ワード、マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2009507454A publication Critical patent/JP2009507454A/ja
Publication of JP2009507454A5 publication Critical patent/JP2009507454A5/ja
Application granted granted Critical
Publication of JP4743911B2 publication Critical patent/JP4743911B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

ネットワーク・トラフィックを監視して、ネットワークの内部に所在するデバイスによって行われる当該ネットワークの外部に所在するリソースとの通信試行、及び、当該ネットワークの外部に所在するデバイスによって行われる当該ネットワークの内部に所在するリソースとのVPNセッションの確立試行を含む、試行されたインターネットワーク通信を検出する。試行されたインターネットワーク通信が検出されると、そのような通信の開始を担当するデバイスが識別される。次に、識別されたデバイスが有効な保護エージェントを実行しているかどうかが判定される。有効な保護エージェントを実行している場合には、試行されたインターネットワーク通信が許可される。有効な保護エージェントを実行していない場合には、試行されたインターネットワーク通信がネットワーク・セキュリティ・ポリシーに従ってブロックされ、識別されたデバイスは、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促され、又は事前にインストールされた保護デバイスを活動化するよう促される。そのように促すプロンプトとしては、保護エージェントのダウンロードを開始するハイパーリンクを挙げることができる。
【選択図】 図1

Description

(関連出願)
本願は、2005年9月7日に出願された米国仮特許出願第60/714605号(「Systems and Methods for Downloading Protection Agents in a Distributed Computer Network」)の利益を主張するものである。
本発明は一般にコンピュータ・ネットワーク・セキュリティに関するものである。より具体的には、本発明は分散コンピュータ・ネットワークに接続されたワークステーション、クライアント、サーバ、及び他のデバイスへの保護エージェントの配備に関するものである。
私設コンピュータ・ネットワークはインターネットのような他のネットワークと相互接続されることが多いため、侵入を受けやすくなっている。このため、多くの私設ネットワークは、何らかのタイプの侵入防止システムによって保護されている。侵入防止システムは一般に、コンピュータ及び他のネットワーク・リソースを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方として説明されることがある。侵入防止システムには、ネットワーク侵入防止システム(「ネットワークIPS」)及びホスト・ベース侵入防止システム(「ホスト・ベースIPS」)を含めたいくつかの異なるタイプが存在する。
ネットワークIPSは、典型的にはセキュリティ関連イベントを分析し検出し報告するように設計されたハードウェア・プラットフォーム及びソフトウェア・プラットフォームである。ネットワークIPSは、それぞれの構成又はセキュリティ・ポリシーに基づいてトラフィックを検査し、悪意のあるトラフィックを遮断することができる。ネットワークIPSは、ネットワーク・トラフィック・フローに対してインラインで設置され、攻撃を実時間で防止するように設計されている。更に、大部分のネットワークIPSは、益々その認知度が高まるHTTP、FTP、及びSMTPのようないくつかの通信プロトコルをデコードする能力を有する。Internet Security Systems, Inc.(「ISS」)(ジョージア州アトランタ)のProventia(R) Network Multi−Function Security(「Proventia(R) M」とも呼ばれる)のようないくつかのネットワークIPSは、ファイアウォール、VPN、アンチ・ウィルス、ウェブ・フィルタリング、及びアンチ・スパム保護を含めた複数のネットワーク・セキュリティ機能を実行する。
ホスト・ベースIPSは、クライアント、ワークステーション、サーバ、他のデバイス等のホスト上で実行されるものであり、ホスト・ベースIPSでは、パケットが復号化され、ファイル・アクセス及びレジストリ・アクセスを細かい粒度で正確に監視することができる。一例として、ISSのProventia(R) Desktop Endpoint Securityは、各種動作を維持し、システム・コンプライアンスを遵守しながら、デスクトップ・ワークステーションをウィルス、ワーム、及び不適切なアクティビティから予防的に保護するように設計されたホスト・ベースIPSである。別の例として、ISSのProventia(R) Server Intrusion Prevention Systemは、ネットワーク・サーバ上に所在する重要性の高い貴重なアプリケーション及び資産に損害を与える恐れのある諸種の脅威を先見的に食い止めるように設計されたホスト・ベースIPSである。ホスト・ベースIPSは、様々なネットワーク・デバイスに配備することができ、集中管理コンソールから制御することができるため、「デスクトップ・エージェント」又は「保護エージェント」と呼ばれることもある。場合によっては、ネットワークIPSは同一ネットワーク内のデバイスに配備された保護エージェント用の管理コンソールとして機能することもできる。
私設ネットワークに接続されるデバイスには、ネットワークの内部に所在する(即ち、ネットワーク・ファイアウォールの背後に所在する)ものもあれば、ネットワークの外部に所在する(即ち、ネットワーク・ファイアウォールを超えているが、仮想私設ネットワーク・セッション等を利用して内部ネットワーク・リソースと通信する)ものもある。最適のシナリオでは、保護エージェントは、私設ネットワークに接続された各デバイスに配備される。このようにすれば、私設ネットワークに接続された各デバイスが侵入やウィルス感染のような無許可のネットワーク通信から個別に保護されることになる。しかしながら、分散コンピュータ・ネットワークの構成は、サーバ、ソフトウェア、クライアント、及び他のデバイスならびにリソースの追加、置き換え、再配置、及び目的変更が行われることがある故に、時間の経過に伴って急速に変化する可能性がある。そのため、保護エージェントが関連する全てのネットワーク・デバイスに確実に配備されるようにすることは、ネットワーク管理者にとって負担の重い作業となり、多くの時間を要する可能性がある。したがって、当業界では、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに効率的に自動配備する方法が必要とされている。
本発明は、保護エージェントを分散ネットワークに接続されたデバイスに自動的に配備するシステム及び方法を提供することによって上述の必要を満足させるものである。一般的にいえば、本発明は、ネットワーク・トラフィックを監視するステップと、試行されたインターネットワーク通信(attempted inter−network communication)を検出するステップと、を含む。試行されるインターネットワーク通信は、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行と、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行とを含むことができる。前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィック、あるいは80番ポート及び443番ポートのうちの1つ又は複数のポート上のネットワーク・トラフィックを識別することによって検出することができる。
試行されたインターネットワーク通信が検出されたことに応じて、そのような通信の開始を担当するデバイスが識別される。次に、識別された前記デバイスが有効な保護エージェントを実行しているかどうかが判定される。有効な保護エージェントを実行している場合には、試行された前記インターネットワーク通信が許可される。有効な保護エージェントを実行していない場合には、試行された前記インターネットワーク通信がブロックされ、識別されたデバイスは、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促され、又は事前にインストールされた保護デバイスを活動化するよう促される。
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を収集して記憶することができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、記憶済みの登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むことができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、指定の時間間隔内に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むこともできる。識別された前記デバイスに対して、保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含むことができ、前記指定された記憶ロケーションは、侵入防止システムやネットワーク・サーバ等であってもよい。
現時点で最良と考えられる本発明の実施形態を例示する図示の各実施形態に関する以下の詳細な説明を読めば、本発明の上記及び他の態様、特徴、及び実施形態が当業者には理解されるだろう。
本発明は、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備するシステム及び方法を提供する。本発明の例示的な諸実施形態に関する以下の説明では添付図面を参照するが、当該添付図面全体を通じて同様の参照符号は同様の要素を指すものとする。図1は、本発明の例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。例示的なコンピュータ・ネットワーク環境100は、私設ネットワーク105及び公衆ネットワーク110を含む少なくとも2つの分散ネットワークを含んでいる。私設ネットワーク105は、ローカル・エリア・ネットワーク(「LAN」)、ワイド・エリア・ネットワーク(「WAN」)、それらの組合せ、あるいは他の任意のイントラネット構成とすることができる。公衆ネットワーク110は、インターネットあるいは他の任意の公衆利用可能なコンピュータ・ネットワークとすることができる。
私設ネットワーク105は、サーバ120、クライアント125、他のコンピュータ又は電子デバイスのような1つ又は複数のエンドポイント・デバイスを含むことができる。そのようなデバイスは、ネットワーク・インターフェース・カード、モデム、又はネットワーク通信を確立し受信するのに適した他の手段を介して、私設ネットワーク105に接続することができる。クライアント125は、デスクトップ・コンピュータ125a、ラップトップ・コンピュータ125b、ハンドヘルド・コンピュータ125c等とすることができる。リモート・クライアント125d及び他のデバイス(例えば携帯電話)は、仮想私設ネットワーク(「仮想私設ネットワーク」)165又は他の適切なセキュア通信プロトコルを介して私設ネットワーク105と通信することができる。当業界で周知のとおり、VPN 165は、公衆ネットワーク110から私設ネットワーク105への安全なアクセスを実現する様々なセキュリティ対策のうちの1つ又は複数を使用して確立することができる。
また、当業界で周知のとおり、ネットワーク接続可能なデバイス(例えばクライアント125やサーバ120等)は一般に、コンピュータ実行可能な命令を実行するプロセッサと、プログラム・モジュール及びデータを記憶するシステム・メモリ(即ち、適切な記憶媒体)と、当該システム・メモリと処理ユニットとを結合するシステム・バスと、を含む。システム・メモリは、典型的には読取り専用メモリ(「ROM」)又はランダム・アクセス・メモリ(「RAM」)あるいはその両方を含む。また、ネットワーク・デバイスは、それぞれ適切なインターフェースを介してシステム・バスに接続することが可能なハード・ディスク・ドライブ、又は磁気ディスク・ドライブ(即ち、磁気ディスクの読み書きを行うドライブ)、又は光ディスク・ドライブ(即ち、CDやDVDのような光学媒体の読み書きを行うドライブ)、あるいはそれらの全てを含むことができる。そのようなドライブ及びそれらに関連するコンピュータ可読媒体は、コンピュータ・システムの不揮発性ストレージを提供する。コンピュータ・システムに読取り可能な他のタイプの媒体として、磁気カセット、フラッシュ・メモリ・カード、ジップ・ドライブ、ベルヌーイ・カートリッジ等が挙げられることが当業者には理解されるだろう。
いくつかのプログラム・モジュールをネットワーク・デバイス内の不揮発性ストレージ(例えばハード・ディスク)、又はシステム・メモリ(例えばRAM)、又は他のコンピュータ可読媒体、あるいはそれらの全てに記憶することができる。ネットワーク・デバイス上にインストールされ実行される典型的なプログラム・モジュールとしては、基本入出力システム(「BIOS」)、オペレーティング・システム、及び1つ又は複数のアプリケーション・プログラムが挙げられる。また、本明細書で使用する「プログラム・モジュール」という用語は、アプリケーション・プログラムの実行可能ファイルやDLL等の各種コンポーネント、及びプロセッサに所望の機能を実行させる他の任意のコンピュータ実行可能な命令を含むものとする。本発明のいくつかの実施形態は、本明細書に記載の様々な方法を実施するコンピュータ実行可能な命令を含む、1つ又は複数の侵入防止システム・プログラム・モジュール又は保護エージェント・プログラム・モジュールあるいはその両方を利用して実施することができる。
典型的な私設ネットワーク105は、公衆ネットワーク110又は他の外部ネットワークとの間に所在するゲートウェイ接続のファイアウォール115によって保護される。当業界で周知のとおり、ファイアウォール115は、セキュリティ・ポリシーで禁止される通信を防止するハードウェア又はソフトウェアあるいはその両方である。多くの私設ネットワーク105は、何らかのタイプの侵入防止システム165によっても保護される。ファイアウォール115の場合と同様に、侵入防止システム165も、コンピュータを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方である。しかしながら、ファイアウォール115は、典型的にはIPアドレス又はポートに基づいてアクセス制御の判断を下すが、侵入防止システム165は、アプリケーション・コンテンツに基づいてアクセス制御の判断を下す。
場合によっては、IPS機能とファイアウォール機能を単一のデバイスあるいは1組のデバイスに組み合わせることができる。したがって、本明細書で使用する「侵入防止システム」(又は「IPS」)という用語は、広義には、任意の関連管理コンソールを含めて、ネットワークIPS機能又はファイアウォール機能あるいはその両方を実行するハードウェア・プラットフォーム又はソフトウェア・プラットフォームあるいはその両方を意味する。当業界で周知のとおり、ネットワークIPS機能は、ネットワーク・トラフィック・フローの検査及び分析と、セキュリティ・ポリシーに基づいて悪意のあるトラフィックを検出し遮断する能力と、を含む。図1に示されているように、IPS 165は、ファイアウォール115の外側(即ち、公衆ネットワーク110とファイアウォール115の間)、又はファイアウォール115の背後、あるいはその両方に配置することができる。本発明によれば、IPS 165は、例示的な私設ネットワーク105に接続されたクライアント125、サーバ120、及び他のデバイスへの保護エージェント170の配備も管理ように構成されている。
IPS 165は、例示的な私設ネットワーク105のような分散コンピュータ・ネットワークで搬送されるネットワーク・トラフィック(「メッセージ・トラフィック」と呼ばれることもある)の監視及び分析を行って、当該ネットワーク・トラフィックに関して実行又は要求されるインターネットワーク・アクセス・アクティビティを検出するように構成することができる。例えば、IPS 165は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを監視することによって、私設ネットワーク105の内部に所在するクライアント125a〜125c又はサーバ120によって行われる、私設ネットワーク105の外部に所在する公衆ネットワーク110又は他のリソースに対するアクセス試行を検出するように構成することができる。それに加えて又はその代わりに、IPS 165は、私設ネットワーク105の内部に所在するデバイスによって生成される80番ポート及び443番ポート上のネットワーク・トラフィックを監視することによって公衆ネットワーク110又は他の外部リソースに対するアクセス試行を検出するように構成することもできる。IPS 165は、私設ネットワーク105に接続された各クライアント125a〜125c、サーバ120、又は他のデバイスを識別するネットワーク構成情報を利用することもできる。したがって、IPS 165は、公衆ネットワーク110又は他の外部ネットワーク・リソースにアクセスしようと試みる、私設ネットワーク105に接続された任意の特定のデバイスを識別することができる。更に、本発明に係るIPS 165は、有効な保護エージェント170を実行していない、私設ネットワーク105に接続されたデバイスとの間の全てのインターネットワーク・トラフィックを遮断するように構成することもできる。
いくつかの実施形態において、保護エージェント170は、「プル」モデルを使用してネットワーク・デバイスに配備される。「プル」モデルでは、IPS 165又は別の指定サーバから保護エージェント170をネットワーク・デバイスにインストールするためにダウンロードするかどうかがネットワーク・デバイスによって決定される。一例として、IPS 165は、ネットワーク構成情報に基づいて保護エージェント170aのインストール又は活動化あるいはその両方を促すプロンプトを出すことによって、クライアント125aの試行したウェブ・ブラウジング・アクティビティに応答することができる。保護エージェント170aがまだクライアント125a上にインストールされていない場合には、ユーザは、保護エージェント170aをクライアント125a上にインストールして実行するためのダウンロードを開始することによって上記のプロンプトに応答することができる。いくつかの実施形態において、IPS 165によって発行されるプロンプトは、保護エージェント170aのダウンロードを開始するように活動化することが可能なハイパーリンクを含むことができる。
プログラム・モジュールのダウンロードを容易にするハイパーリンクの使用は当業界でよく知られているため、本明細書では具体的な実装について詳細に論じることはしない。当業者なら、ダウンロードを容易にする他の多くの方法及びプログラミング技法が存在し、それらの任意の方法及びプログラミング技法が本発明で採用され得ることを理解するだろう。また、いくつかの代替実施形態では、「プッシュ」モデルを使用して保護エージェント170をネットワーク・デバイスに配備することもできる。「プッシュ」モデルでは、IPS 165又は別の指定サーバは、何らかの理由で保護エージェント170の配信を要求していないデバイスに保護エージェント170を配信するように(又はそのような配信を仕向けるように)構成される。
保護エージェント170は、クライアント125上にインストールされ活動化されると同時にIPS 165(又は別の登録デバイス)と連絡を取りあって登録処理を完了させるように構成することができる。いくつかの実施形態において、上記の登録処理によって、登録中の保護エージェント170と、当該保護エージェント170がインストールされているデバイスのIDとをリンク付けする情報をIPS 165に提供することができる。言い換えれば、登録情報は、保護エージェント170のIDと、対応するネットワーク・デバイスのIDと、を含む。登録情報はデータベースに記憶することも、IPS 165と機能的に結合された又はIPS 165からアクセス可能な別の適切な記憶媒体に記憶することもできる。
保護エージェント170は更に、それぞれが活動化状態で実行されている間、登録情報をIPS 165(又は別の指定登録デバイス)に絶えず通信するように構成することもできる。例えば、保護エージェント170は、「ハートビート」又は「ポーリング」信号を使用して登録情報を離散的な間隔でIPS 165(又は別の登録デバイス)に連続的に転送することができる。別法として、保護エージェント170は、登録情報を不規則なランダム間隔又は擬似ランダム間隔でIPS 165(又は別の登録デバイス)に転送することもできる。別の例として、IPS 165(又は他の登録デバイス)は、1つ又は複数のネットワーク・デバイスを照会してそれらのネットワーク・デバイスにインストールされている保護エージェント170があれば、それらの保護エージェント170に登録情報を要求することができる。
ネットワーク・トラフィック及び他の動作を監視してエージェント・マネージャとして働くIPS 165は、あるネットワーク・デバイスが私設ネットワーク105の外部に所在するインターネット110又は他の任意のリソースにアクセスしようと試みたときに、当該デバイスが有効な保護エージェント170を実行しているかどうかを判定する。IPS 165は、ネットワーク・デバイスのネットワーク・アドレス、MACアドレス、又は他の任意の適切な一意のIDで判定され得る当該ネットワーク・デバイスのIDに基づいて、記憶済みの登録情報を照会して当該デバイスに関連する保護エージェント170が事前に登録されているかどうかを判定する。いくつかの実施形態において、ネットワーク・デバイスは、事前に構成された時間間隔内又は構成可能な時間間隔内に登録されなかった保護エージェント170を実行している場合には、有効な保護エージェント170を実行しているものと見なされないことになる。
IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していると判定した場合には、私設ネットワーク105の外部に所在するリソースと通信することを許可する。一方、IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していないと判定した場合には、当該デバイスとの間のインターネットワーク通信の一部又は全部(IPS 165に適用されるセキュリティ・ポリシーによる)をブロックするための措置を取ることになる。例えば、不適格なデバイスとの間のインターネットワーク通信を全てブロックすることが望ましい場合もある。また、不適格なデバイスと、ある程度信頼される外部リソースとの間のインターネットワーク通信が許可され得る場合もある。
当該ネットワーク・デバイスのユーザ・インターフェース・ディスプレイを使用して、IPS 165によって取られたアクセス・ブロック措置(blocked−access action)があればその旨をユーザに教示することができる。例えば、IPS 165は、有効な保護エージェントを実行していないネットワーク・デバイスによって試行されたインターネットワーク通信が検出されたことに応じて、当該ネットワーク・デバイスにウェブページ又は他の適切なメッセージの形でプロンプトを送信するように構成することができる。このプロンプトは、私設ネットワーク105の外部に所在するリソースの一部又は全部との間の通信が許可されるには、事前にインストールされた保護エージェント170を活動化しなければならないこと、又は(例えばダウンロードを開始するハイパーリンクを活動化することによって)保護エージェント170をインストールし、活動化しなければならないことを、ユーザに教示することができる。
当業界で知られているように、IPS 165は、外部クライアント125d及び他の外部デバイスによってVPNセッションを利用して行われる私設ネットワーク105のリソースに対するアクセス試行を検出する機能も含むことができる。本発明のいくつかの実施形態において、IPS 165は、VPNセッションを確立して保護エージェント170を配備しようと試みる外部デバイスがあればそれを識別するように構成することができる。例えば、エージェント・マネージャとして働くIPS 165は、記憶済みの登録情報を照会して、VPNセッションを確立しようと試みている外部クライアント125dが事前に登録された保護エージェント170dに関連するものかどうかを判定することができ、そうである場合には、当該保護エージェント170dが指定の時間間隔内に登録されたものかどうかを判定することができる。外部クライアント125dが有効な(例えば適時に登録された)保護エージェント170dを実行していると判定された場合には、IPS 165は、当該VPNセッションの継続を許可する。一方、外部クライアント125dが有効な保護エージェント170dを実行していないと判定された場合には、IPS 165は、当該VPNセッションをブロックするための(あるいは、適用可能なセキュリティ・ポリシーにもよるが、当該VPNセッションをいくつかのアクティビティに制限するための)措置を取り、外部クライアント125dのユーザに対して、(例えばダウンロードを開始するハイパーリンクを選択することによる)保護エージェント170dのインストール又は活動化あるいはその両方を促すことができる。
図2は、保護エージェント170を分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法200を示す処理フロー図である。例示的な方法200は、開始ブロック201から始まり、ステップ202に進んで分散ネットワークとの間の通信の監視が行われる。次のステップ204で、試行されたインターネットワーク通信が検出される。そのように試行されるインターネットワーク通信は、分散ネットワークの内部に所在するデバイスによって行われる外部リソースとの通信試行であることもある。別の例として、試行されるインターネットワーク通信は、分散ネットワークの外部に所在するデバイスによって行われるインターナル・ネットワーク・リソースとのVPNセッションの確立試行であることもある。試行されたインターネットワーク通信が検出されたことに応じて、ステップ206で、そのような通信を開始しようと試みているデバイスが識別される。前述したように、当該デバイスは、分散ネットワークの内部に所在することも外部に所在することもある。
インターネットワーク通信を開始しようと試みているデバイスが識別された後は、ステップ208で、識別されたデバイスが登録済みの保護エージェント170に関連するものかどうかが判定される。例えば、分散ネットワークに接続されたデバイス上で実行されている保護エージェント170は、登録情報を生成し、当該登録情報をIPS 165(又は他の指定登録デバイス)に周期的に提供するように構成することができる。IPS 165(又は他の登録デバイス)は、そのような登録情報をデータベース又は他の適切な記憶媒体に記憶することができ、後に当該登録情報を照会して、登録済みの保護エージェント170が識別されたデバイスに関連するものかどうかを判定することができる。識別されたデバイスが登録済みの保護エージェント170に関連するものである場合には、ステップ210で、当該保護エージェント170が指定の時間間隔内に登録されたものかどうかを更に判定することができる。いくつかの実施形態では、当該時間間隔をネットワーク管理者が指定することができる。このような任意選択の更なる判定を使用することにより、登録済みの保護エージェント170が当該デバイスにおいて活動化状態を維持しながら実行されるのを保証することができる。ステップ210で保護エージェント170が指定の時間間隔内に登録されたことが判定された場合には、ステップ212に進んで、試行されたインターネットワーク通信が許可される。
ステップ208で識別されたデバイスが登録済みの保護エージェント170に関連しないものであることが判定された場合、又はステップ210で保護エージェント170が指定の時間間隔内に登録されなかったことが判定された場合には、ステップ214に進んで、試行されたインターネットワーク通信がブロックされる。試行されたインターネットワーク通信がブロックされた後は、ステップ216で、識別されたデバイスは、保護エージェントのインストール又は活動化あるいはその両方を促される。この例示的な方法200は、ステップ216又はステップ212から分散ネットワークとの間の通信の監視が行われるステップ202に戻り、それ以降の各ステップが繰り返されることになる。
上記の説明から、本発明によって保護エージェントを分散ネットワークに接続されたデバイスに配備するシステム及び方法が提供されることが分かるだろう。本発明の各方法は、コンピュータ可読媒体上に記憶されるコンピュータ実行可能な命令として実施することができ、本明細書に具体的に記載されているプログラミング技法及び機能以外のプログラミング技法又は機能あるいはその両方を使用して実施することもできることが当業者には理解されるだろう。本発明に関する他の様々な修正形態、特徴、及び実施形態が当業者には明らかとなるだろう。更に、「ネットワーク・デバイス」や「インターネットワーク通信」等、本明細書で使用されるいくつかの用語は参照の便宜のために選択し、概要説明のために使用したものであって、本発明を限定するものではない。
そのため、上記では本発明の様々な態様を例示的に説明してきたが、それらの態様は、特に明記しない限り、本発明に必要な要素あるいは本発明の本質的な要素として解釈されることは本出願人の意図するところではないことも理解されるだろう。したがって、上記の説明は、本発明のいくつかの例示的な実施形態を示すものに過ぎず、添付の特許請求の範囲で定義される本発明の趣旨及び範囲から逸脱することがなければ、これらの実施形態に様々な変更を施すことができることを理解していただきたい。更に、本発明は図示の各実施形態に限定されるものではなく、添付の特許請求の範囲内で他の様々な修正を施すことができることも理解していただきたい。
本発明のいくつかの例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。 本発明のいくつかの例示的な実施形態に係る、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法を示す処理フロー図である。

Claims (27)

  1. 保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
    前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
    前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するデバイスとの通信試行を検出するステップと、
    前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
    前記判定に応じて、試行された前記通信をブロックし、前記分散ネットワークの内部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
    を含む方法。
  2. 請求項1に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  3. 前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
  4. 前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
  5. 前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
    前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、
    請求項1に記載の方法。
  6. 請求項5に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  7. 前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項4に記載の方法。
  8. 請求項7に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  9. 前記分散ネットワークの内部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項1に記載の方法。
  10. 前記分散ネットワークの内部に所在する前記デバイスは、クライアント及びサーバから成る群から選択される、請求項1に記載の方法。
  11. 試行された前記通信をブロックする前記ステップは、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する少なくとも1つの他のデバイスとの間のネットワーク・トラフィックを許可する一方、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する前記デバイスとの間のネットワーク・トラフィックをブロックするステップを含む、請求項1に記載の方法。
  12. 保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
    前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
    前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するデバイスとの仮想私設ネットワーク・セッションの確立試行を検出するステップと、
    前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
    前記判定に応じて、試行された前記仮想私設ネットワーク・セッションをブロックし、前記分散ネットワークの外部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
    を含む方法。
  13. 請求項12に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  14. 前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
    前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、
    請求項12に記載の方法。
  15. 請求項14に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  16. 前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項15に記載の方法。
  17. 請求項16に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
  18. 前記分散ネットワークの外部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項12に記載の方法。
  19. 試行された前記仮想私設ネットワーク・セッションをブロックする前記ステップは、少なくとも第2のアクティビティに関して試行された前記仮想私設ネットワーク・セッションを許可する一方、少なくとも第1のアクティビティに対して試行された前記仮想私設ネットワーク・セッションをブロックするステップを含む、請求項12に記載の方法。
  20. 保護エージェントを分散ネットワークに接続されたデバイスに自動配備するシステムであって、
    ネットワーク・トラフィックを監視し、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行、及び、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行のうちから選択される、試行されたインターネットワーク通信を検出するネットワーク・トラフィック・モニタと、
    試行されたインターネットワーク通信の開始を担当するデバイスを識別し、
    識別された前記デバイスが有効な保護エージェントを実行していないことを判定し、
    前記判定に応じて、試行された前記インターネットワーク通信をセキュリティ・ポリシーに従ってブロックし、識別された前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促す
    コンピュータ実行可能な命令を実行するプロセッサと、
    を備えるシステム。
  21. 前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを検出することを含む、請求項20に記載のシステム。
  22. 前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出することを含む、請求項20に記載のシステム。
  23. 分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を受信する通信デバイスと、
    前記登録情報を記憶する記憶媒体と、
    を更に備え、
    識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、前記記憶媒体に記憶されている前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、
    請求項20に記載のシステム。
  24. 識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、指定の時間間隔内に前記記憶媒体に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、請求項23に記載のシステム。
  25. 識別された前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促すことは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供することを含む、請求項20に記載のシステム。
  26. 前記指定された記憶ロケーションは、記憶媒体を含む、請求項20に記載のシステム。
  27. 前記指定された記憶ロケーションは、ネットワーク・サーバを含む、請求項20に記載のシステム。
JP2008530155A 2005-09-07 2006-09-07 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備 Active JP4743911B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US71460505P 2005-09-07 2005-09-07
US60/714,605 2005-09-07
PCT/US2006/034665 WO2007030506A2 (en) 2005-09-07 2006-09-07 Automated deployment of protection agents to devices connected to a distributed computer network

Publications (3)

Publication Number Publication Date
JP2009507454A true JP2009507454A (ja) 2009-02-19
JP2009507454A5 JP2009507454A5 (ja) 2009-04-02
JP4743911B2 JP4743911B2 (ja) 2011-08-10

Family

ID=37836405

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008530155A Active JP4743911B2 (ja) 2005-09-07 2006-09-07 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備

Country Status (5)

Country Link
US (2) US8904529B2 (ja)
EP (1) EP1934743A4 (ja)
JP (1) JP4743911B2 (ja)
CN (1) CN101258470B (ja)
WO (1) WO2007030506A2 (ja)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011039850A (ja) * 2009-08-12 2011-02-24 Nomura Research Institute Ltd 通信エージェント、検疫ネットワークシステム
JP2014528600A (ja) * 2011-10-03 2014-10-27 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 関係付けられたコンタクトからの漏洩に起因するソーシャル・リスクの評価方法、情報処理システムおよびコンピュータ・プログラム
KR20150016259A (ko) * 2012-05-25 2015-02-11 마이크로소프트 코포레이션 분산형 운영체제 물리적 자원을 관리하는 기법
US9483575B2 (en) 2010-06-04 2016-11-01 International Business Machines Corporation Reproducing a graphical user interface display
US11991206B2 (en) 2018-05-22 2024-05-21 Mitsubishi Electric Corporation Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7581000B2 (en) * 2005-01-11 2009-08-25 Ricoh Company, Ltd. Monitoring device having a memory containing data representing access information configured to be used by multiple implementations of protocol access functions to extract information from networked devices
US7512681B2 (en) * 2005-09-26 2009-03-31 Ricoh Company Limited Database for multiple implementation of HTTP to obtain information from devices
US7526546B2 (en) * 2005-09-26 2009-04-28 Ricoh Company Limited Method and system for use of abstract classes for script implementation of HTTP to obtain information from devices
US20080133639A1 (en) * 2006-11-30 2008-06-05 Anatoliy Panasyuk Client Statement of Health
US8910275B2 (en) * 2007-02-14 2014-12-09 Hewlett-Packard Development Company, L.P. Network monitoring
JP2009015432A (ja) * 2007-07-02 2009-01-22 Nec Soft Ltd Pc検疫システムを活用したit資産管理システム、その方法及びそのプログラム
KR100917601B1 (ko) * 2007-07-03 2009-09-17 한국전자통신연구원 인증 재전송 공격 방지 방법 및 인증 시스템
US7899849B2 (en) * 2008-05-28 2011-03-01 Zscaler, Inc. Distributed security provisioning
CN102195947B (zh) * 2010-03-15 2014-07-16 华为技术有限公司 合法监听的方法及装置
US9065725B1 (en) * 2010-09-14 2015-06-23 Symantec Corporation Techniques for virtual environment-based web client management
US8712921B2 (en) 2011-10-03 2014-04-29 International Business Machines Corporation Receiving security risk feedback from linked contacts due to a user's system actions and behaviors
US8832265B2 (en) * 2012-05-01 2014-09-09 International Business Machines Corporation Automated analysis system for modeling online business behavior and detecting outliers
US9455972B1 (en) * 2013-09-30 2016-09-27 Emc Corporation Provisioning a mobile device with a security application on the fly
US9667635B2 (en) * 2015-03-26 2017-05-30 Cisco Technology, Inc. Creating three-party trust relationships for internet of things applications
US10349304B2 (en) 2015-09-23 2019-07-09 Cloudflare, Inc. Software defined dynamic filtering
JP6693114B2 (ja) * 2015-12-15 2020-05-13 横河電機株式会社 制御装置及び統合生産システム
US10601779B1 (en) * 2016-06-21 2020-03-24 Amazon Technologies, Inc. Virtual private network (VPN) service backed by eventually consistent regional database
US10257167B1 (en) 2016-06-21 2019-04-09 Amazon Technologies, Inc. Intelligent virtual private network (VPN) client configured to manage common VPN sessions with distributed VPN service
US10958557B2 (en) * 2019-07-31 2021-03-23 International Business Machines Corporation Automated deployment of a private monitoring network
US11496508B2 (en) 2019-09-24 2022-11-08 Target Brands, Inc. Centralized security package and security threat management system

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234378A (ja) * 2003-01-30 2004-08-19 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法
JP2004246444A (ja) * 2003-02-12 2004-09-02 Hitachi Ltd セキュリティ基準検証方法及びその実施装置並びにその処理プログラム
JP2004361996A (ja) * 2003-05-30 2004-12-24 Fujitsu Ltd クライアント評価方法、クライアント評価装置、サービス提供方法、及び、サービス提供システム
JP2005157968A (ja) * 2003-11-28 2005-06-16 Nec Soft Ltd 不正接続検知システム
JP2005197815A (ja) * 2003-12-26 2005-07-21 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3165366B2 (ja) * 1996-02-08 2001-05-14 株式会社日立製作所 ネットワークセキュリティシステム
US6453345B2 (en) * 1996-11-06 2002-09-17 Datadirect Networks, Inc. Network security and surveillance system
US7058822B2 (en) * 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US6981146B1 (en) * 1999-05-17 2005-12-27 Invicta Networks, Inc. Method of communications and communication network intrusion protection methods and intrusion attempt detection system
US6625640B1 (en) * 1999-09-01 2003-09-23 Inventec Corporation Modem having embedded network transmission protocols
US6701440B1 (en) * 2000-01-06 2004-03-02 Networks Associates Technology, Inc. Method and system for protecting a computer using a remote e-mail scanning device
US6795835B2 (en) * 2000-05-19 2004-09-21 Centerbeam, Inc. Migration of computer personalization information
US7168089B2 (en) * 2000-12-07 2007-01-23 Igt Secured virtual network in a gaming environment
US6959436B2 (en) * 2000-12-15 2005-10-25 Innopath Software, Inc. Apparatus and methods for intelligently providing applications and data on a mobile device system
US20020095607A1 (en) * 2001-01-18 2002-07-18 Catherine Lin-Hendel Security protection for computers and computer-networks
US7010807B1 (en) * 2001-04-13 2006-03-07 Sonicwall, Inc. System and method for network virus protection
US7047562B2 (en) * 2001-06-21 2006-05-16 Lockheed Martin Corporation Conditioning of the execution of an executable program upon satisfaction of criteria
US20040107360A1 (en) * 2002-12-02 2004-06-03 Zone Labs, Inc. System and Methodology for Policy Enforcement
US8200818B2 (en) * 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US7590684B2 (en) * 2001-07-06 2009-09-15 Check Point Software Technologies, Inc. System providing methodology for access control with cooperative enforcement
US20030097557A1 (en) * 2001-10-31 2003-05-22 Tarquini Richard Paul Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system
US7444679B2 (en) * 2001-10-31 2008-10-28 Hewlett-Packard Development Company, L.P. Network, method and computer readable medium for distributing security updates to select nodes on a network
US20030083847A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. User interface for presenting data for an intrusion protection system
US7197762B2 (en) * 2001-10-31 2007-03-27 Hewlett-Packard Development Company, L.P. Method, computer readable medium, and node for a three-layered intrusion prevention system for detecting network exploits
US7269851B2 (en) 2002-01-07 2007-09-11 Mcafee, Inc. Managing malware protection upon a computer network
US7269651B2 (en) * 2002-09-26 2007-09-11 International Business Machines Corporation E-business operations measurements
TW555332U (en) * 2002-07-31 2003-09-21 Veutron Corp Scanner carrier lock device having automatic unlock function
US7603711B2 (en) * 2002-10-31 2009-10-13 Secnap Networks Security, LLC Intrusion detection system
US20040103317A1 (en) * 2002-11-22 2004-05-27 Burns William D. Method and apparatus for protecting secure credentials on an untrusted computer platform
US7039950B2 (en) * 2003-04-21 2006-05-02 Ipolicy Networks, Inc. System and method for network quality of service protection on security breach detection
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US8220052B2 (en) * 2003-06-10 2012-07-10 International Business Machines Corporation Application based intrusion detection
ATE441155T1 (de) * 2003-07-11 2009-09-15 Computer Ass Think Inc Verfahren und system zum schutz vor computerviren
US20050050337A1 (en) * 2003-08-29 2005-03-03 Trend Micro Incorporated, A Japanese Corporation Anti-virus security policy enforcement
US7509642B1 (en) * 2003-09-17 2009-03-24 Sprint Communications Company L.P. Method and system for automatically providing network-transaction-status updates
KR100558658B1 (ko) * 2003-10-02 2006-03-14 한국전자통신연구원 인-라인 모드 네트워크 침입 탐지/차단 시스템 및 그 방법
CN100395985C (zh) * 2003-12-09 2008-06-18 趋势株式会社 强制设置防毒软件的方法及网络系统
JP2005182344A (ja) * 2003-12-18 2005-07-07 Fuji Photo Film Co Ltd 院内管理装置及び院内管理プログラム
US7761923B2 (en) * 2004-03-01 2010-07-20 Invensys Systems, Inc. Process control methods and apparatus for intrusion detection, protection and network hardening
WO2006012058A1 (en) * 2004-06-28 2006-02-02 Japan Communications, Inc. Systems and methods for mutual authentication of network
US7360237B2 (en) * 2004-07-30 2008-04-15 Lehman Brothers Inc. System and method for secure network connectivity
CN1320801C (zh) 2004-10-09 2007-06-06 中国工商银行股份有限公司 一种计算机辅助安全方法及系统
US7716727B2 (en) * 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US7647637B2 (en) * 2005-08-19 2010-01-12 Sun Microsystems, Inc. Computer security technique employing patch with detection and/or characterization mechanism for exploit of patched vulnerability

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004234378A (ja) * 2003-01-30 2004-08-19 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法
JP2004246444A (ja) * 2003-02-12 2004-09-02 Hitachi Ltd セキュリティ基準検証方法及びその実施装置並びにその処理プログラム
JP2004361996A (ja) * 2003-05-30 2004-12-24 Fujitsu Ltd クライアント評価方法、クライアント評価装置、サービス提供方法、及び、サービス提供システム
JP2005157968A (ja) * 2003-11-28 2005-06-16 Nec Soft Ltd 不正接続検知システム
JP2005197815A (ja) * 2003-12-26 2005-07-21 Japan Telecom Co Ltd ネットワークシステム及びネットワーク制御方法
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011039850A (ja) * 2009-08-12 2011-02-24 Nomura Research Institute Ltd 通信エージェント、検疫ネットワークシステム
US9483575B2 (en) 2010-06-04 2016-11-01 International Business Machines Corporation Reproducing a graphical user interface display
US9619577B2 (en) 2010-06-04 2017-04-11 International Business Machines Corporation Reproducing a graphical user interface display
JP2014528600A (ja) * 2011-10-03 2014-10-27 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation 関係付けられたコンタクトからの漏洩に起因するソーシャル・リスクの評価方法、情報処理システムおよびコンピュータ・プログラム
US10424026B2 (en) 2011-10-03 2019-09-24 International Business Machines Corporation Assessing social risk due to exposure from linked contacts
KR20150016259A (ko) * 2012-05-25 2015-02-11 마이크로소프트 코포레이션 분산형 운영체제 물리적 자원을 관리하는 기법
KR102117724B1 (ko) * 2012-05-25 2020-06-01 마이크로소프트 테크놀로지 라이센싱, 엘엘씨 분산형 운영체제 물리적 자원을 관리하는 기법
US11991206B2 (en) 2018-05-22 2024-05-21 Mitsubishi Electric Corporation Installation location selection assistance apparatus, installation location selection assistance method, and computer readable medium

Also Published As

Publication number Publication date
US9325725B2 (en) 2016-04-26
US20070056020A1 (en) 2007-03-08
WO2007030506A2 (en) 2007-03-15
CN101258470B (zh) 2011-08-03
EP1934743A4 (en) 2012-02-22
EP1934743A2 (en) 2008-06-25
JP4743911B2 (ja) 2011-08-10
WO2007030506A3 (en) 2007-11-29
CN101258470A (zh) 2008-09-03
US8904529B2 (en) 2014-12-02
US20140337977A1 (en) 2014-11-13

Similar Documents

Publication Publication Date Title
JP4743911B2 (ja) 分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
US11757835B2 (en) System and method for implementing content and network security inside a chip
US11604861B2 (en) Systems and methods for providing real time security and access monitoring of a removable media device
US10839075B2 (en) System and method for providing network security to mobile devices
US11652829B2 (en) System and method for providing data and device security between external and host devices
US9910981B2 (en) Malicious code infection cause-and-effect analysis
US7600259B2 (en) Critical period protection
EP2132643B1 (en) System and method for providing data and device security between external and host devices
US20060203815A1 (en) Compliance verification and OSI layer 2 connection of device using said compliance verification
US20030065793A1 (en) Anti-virus policy enforcement system and method
JP2006146891A (ja) セキュリティポリシーを配布するための方法およびシステム
Shouman et al. Surviving cyber warfare with a hybrid multiagent-based intrusion prevention system
Handler Nachi to the Rescue?
CA2500511A1 (en) Compliance verification and osi layer 2 connection of device using said compliance verification

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090129

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090421

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20110104

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110210

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110210

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20110210

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110214

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110425

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20110426

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20110426

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110509

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140520

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4743911

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250