JP2009516265A - ネットワークマップ属性を修正する方法およびシステム - Google Patents

ネットワークマップ属性を修正する方法およびシステム Download PDF

Info

Publication number
JP2009516265A
JP2009516265A JP2008540215A JP2008540215A JP2009516265A JP 2009516265 A JP2009516265 A JP 2009516265A JP 2008540215 A JP2008540215 A JP 2008540215A JP 2008540215 A JP2008540215 A JP 2008540215A JP 2009516265 A JP2009516265 A JP 2009516265A
Authority
JP
Japan
Prior art keywords
network
vulnerability
host
attribute
parameter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2008540215A
Other languages
English (en)
Inventor
エイ. ボーゲル、ウィリアム
エル. ブラゼック、ディナ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Sourcefire LLC
Original Assignee
Sourcefire LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Sourcefire LLC filed Critical Sourcefire LLC
Publication of JP2009516265A publication Critical patent/JP2009516265A/ja
Withdrawn legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

開示されたシステムと方法は、自動的且つ受動的に判定されたホスト構成データを修正するための、およびホストに関連付けられた他のパラメータを追加または修正するためのユーザインタフェースを提供する。ホストデータテーブルは、特定の脆弱性の適用を含む、ホストの様々なパラメータ記述を格納できる。一または複数のホストが特定の脆弱性に関連しているとは識別されないと判定した場合、グラフィカルユーザインタフェースは脆弱性パラメータを修正するために使用できる。

Description

本発明の実施形態は、コンピュータネットワークの特性を判定するためのシステムと方法に関する。特に、本発明の実施形態は、自動的且つ受動的にコンピュータネットワークのホスト構成を判定し、ホスト構成データを修正するためのユーザインタフェースを提供することに関する。
コンピュータとこのようなコンピュータに接続するコンピュータネットワークは、現代社会において極めて重要な構成要素である。残念ながら、このようなコンピュータネットワークは、内部と外部の敵意あるソースから攻撃を受易い。このような攻撃を防ぐために侵入検出システム(IDS)が使用される。従来の侵入検出システムは、トラフィックに関してネットワークトラフィックを分析することによって機能する。しかし、侵入検出システムは、ネットワークトラフィックのエンドポイントを認識しない。エンドポイントとは、発信元と受信者のメッセージトラフィックのことである。たとえばこのようなエンドポイントとしては、クライアントやサーバが挙げられる。エンドポイントを分析することによって、ホストアドレスやサービスなどネットワークに関してコンテキスト情報が分かる。これらのエンドポイントを考慮に入れないと、ネットワークに関してコンテキスト情報の極めて重要な部分が失われる。この結果、コンピュータネットワークトラフィックのエンドポイントに関する情報を提供する技術がとても必要である。
侵入検出システムは、監視しているコンピュータネットワークに関してコンテキスト情報を持たないため、実際よりも効果が小さい。たとえばコンテキスト情報がなければ、侵入検出システムは、検出回避として知られるコンピュータネットワーク攻撃を受け易い。侵入検出システムが保持していないネットワークエンドポイント情報を攻撃者が使用する場合に検出回避が生じ、侵入検出システムによる検出をうまく切抜ける。公知の方法の検出回避は、インサーションである。様々なサイズのパケットを処理するルーティングインフラストラクチャを備えたネットワークでは、インサーションを使用できる。たとえば装置の一方に最大サイズが1500バイト、他方に500バイトをサポートするネットワークに、ルーティングリンク(ルータまたは他の装置)を装着することも可能である。誰かが装置の他方でホストと通信しようとする場合、送信可能な最大のパケットサイズは500バイトである。この最大限は「Path MTU(最大転送単位)」と呼ばれる。攻撃者がこれを知ると、2つの適切なサイズのパケット間に大きなパケットを送信でき、オーバーサイズのパケットを受信するために侵入検出システムを取得し、ホストで実際に受信されるデータの悪いモデルを侵入検出システムに与える。
コンテキスト情報がないことによって侵入検出システムは、攻撃を受け易くなるだけでなく、侵入検出システムの効率も低下する。1つのこのような無能力は、コンテキスト情報がなければ、侵入検出システムは攻撃が害を及ぼすか否か見分けできないことである。ターゲットホストによって実行される特定のサービスに攻撃を向けることも可能である。ターゲットホストによって実行されるサービスに関する情報がなければ、侵入検出システムは、狙われるサービスをホストが実行していなくても、攻撃を誤って検出することがある。つまり侵入検出システムは、攻撃が無害であっても警告を出す。このようなイベントを誤検出と呼ぶ。多数の誤検出によって、ネットワーク上のホストを害する本当の攻撃を見つけることが困難になり、費用も掛かる。
コンテキスト情報を侵入検出システムに提供する従来の技術が幾つか知られる。このような技術の1つは、人が手動で各々のホストを監視して、すべての希望するコンテキスト
情報を収集するものである。この手動方式は、時間が掛かる、エラーが生じ易い、メンテナンスが困難であるなどの短所が数多くある。これらの欠点の1つの理由は、現実的にネットワークが動的であるということである。コンピュータネットワークのホストコンピュータは、追加されたり、取外されたり、再構成されたりする。これらの修正が細部に至るまで正確に記載されていなければ、コンテキスト情報が最新のものであるか確認するためにネットワーク上の各々のコンピュータを定期的に巡回しなければならない。
コンテキスト情報を侵入検出システムに提供する別の従来の方式は、自動発見システムである。従来の自動発見システムは、アクティブスキャンシステムであり、コンピュータネットワーク上のエンドホストをアクティブに調査し、エンドホストにおいて刺激応答テストを実施して、エンドホストに存在する脆弱性を見つけ出して記録する。手動ではないが、スキャンシステムは様々な問題を抱える。1つの問題は、アクティブスキャンがネットワークに対して有害であるということである。脆弱性のテストにおいて、スキャンシステムによってルータとサーバの両方が誤動作を引き起こしたり、機能を停止したりすることがある。別の問題は、多くの例において、アクティブスキャナが提供する情報と、侵入検出システムが使用できる情報との間に1対1のマッピングが存在しないため、スキャンシステムが有益な情報を侵入検出システムに提供できないことである。別の問題は、スキャンが実施されるときにアクティブスキャナだけがネットワークのスナップショットを提供することにある。ホストは、脆弱なサービスを一時的に実行可能であるため、このスナップショットには問題がある。このような場合、脆弱なサービスを実行していないときにアクティブスキャンを実行する場合もある。この結果、脆弱性の一時的性質にも拘わらず、アクティブスキャンはアラームを発行しない。
自動的且つ受動的にホストの構成を判定する利点がある一方で、受動的に判定したマップに役立つ情報が組込まれていない場合が存在することもある。たとえば特定バージョンのサービスに特定の脆弱性があることが知られる場合もあるが、その一方で別バージョンの同一のサービスが脆弱性でない場合もある。場合によっては、ホストで実行されるサービスにパッチが適用されていて、それによって公知の脆弱性が解消される場合もある。このような場合、インタフェースが提供され、よってユーザは、ネットワークマップに格納されたデータを修正できるという利点がある。更なる利点は、ユーザが都合良いことにグラフィカルユーザインタフェースを利用してネットワークマップデータに注釈を付けることができる。
前述を鑑みると、コンピュータネットワークの自動的且つ受動的に判定したホスト構成を修正するためのユーザインタフェースを効率的に提供できるシステムと方法の必要性が実質的にあることを十分理解できる。
本発明の一実施形態は、ネットワーク上の装置に脆弱性パラメータを割当てる方法を含む。前記方法は、オペレーティングシステムまたはサービスの脆弱性パラメータを定義付け、ネットワーク装置に関連付けたホストマップの脆弱性パラメータを格納し、脆弱性パラメータを表示と修正するためのグラフィカルユーザインタフェースを提供し、前記サービスまたはオペレーティングシステムに関連付けた前記ホストマップにおける修正済み脆弱性パラメータを格納する。
本発明の別の実施形態は、ネットワークの特性を自動的且つ受動的に判定する方法を含む。前記方法は、ネットワーク上に送信された一または複数のパケットを読取り、前記一または複数のパケットを使用して前記ネットワーク上のネットワーク装置を識別し、前記
ネットワーク装置に関連付けたホストマップレコードにおける前記ネットワーク装置の識別を記録し、ユーザからパラメータを受信するためのグラフィカルユーザインタフェースを提供し、前記ネットワーク装置に関連付けた前記ホストマップレコードにおける前記ユーザパラメータを記録する。
本発明の別の実施形態は、ネットワーク上の装置に脆弱性パラメータを割当てるためのシステムである。前記システムは、ネットワーク装置に関連付けたホストマップにおけるオペレーティングシステムまたはサービスの脆弱性パラメータを格納するコンピュータ読取可能な媒体と、前記サービスまたはオペレーティングシステムに割当てられた前記脆弱性パラメータを表示と修正するためのグラフィカルユーザインタフェースを表示するディスプレイと、前記サービスまたはオペレーティングシステムに関連付けた前記ホストシステムにおける前記修正済み脆弱性パラメータを格納するコンピュータ読取可能な媒体とを備える。
本発明の別の実施形態は、ネットワークの特性を自動的且つ受動的に判定するためのシステムである。前記システムは、前記ネットワーク上に送信された一または複数のパケットを受信し、前記一または複数のパケットを使用して前記ネットワーク上の装置を識別する受信器と、ホストマップにおける前記ネットワーク装置の識別を格納するコンピュータ読取可能な媒体と、ユーザからパラメータを受信するためのグラフィカルユーザインタフェースを表示するディスプレイと、前期識別済みのネットワーク装置に関連付けた前記ホストマップに前記ユーザパラメータを格納するコンピュータ読取可能な媒体とを備える。
受動的に判定したネットワーク特性データベースを修正するためのシステムと方法の実施形態が、本発明のこの詳細な説明に記載される。この詳細な説明によれば、説明を目的として、多くの特有の詳細が、本発明の実施形態を完全に理解できるように示される。しかし、当然のことながら、当業者は、これらの詳細が示されていなくても、本発明の実施形態を実施できる。他の例においては、ブロック図の形態で構造と装置が示される。更に当業者は、方法を提示して実施される特定の順序が実例であることを容易に理解でき、この順序は、修正されることも可能であり、また本発明の実施形態の精神と範囲は、維持されたままであると考えられる。
本発明は、マークAノートン(Marc A. Norton)とダニエルJロールカー(Daniel J. Roelker)によって2004年3月8日に出願された「侵入検出の方法およびシステム」という発明の名称の係属中の米国特許出願第10/793,887号に記載されるような侵入検出システムに適用可能であり、参照によってその全体をここに援用する。更に本発明は、マーティンローシュ(Martin Roesch)、ウィリアムアンドリューボーゲル三世(William Andrew Vogel,III)、およびマットウォッチンスキー(Matt Watchinski)によって2004年5月12日に出願された「ネットワーク特性を判定し、脆弱性を分析するためのシステムおよび方法」という発明の名称の係属中の米国特許出願第10/843,353号に記載されるような脆弱性の分析にも適用可能であり、参照によってその全体をここに援用する。
本発明の実施形態は、受動的に判定したネットワークマップまたは特性データベースに適用できる。これらのシステムは、ネットワーク間を移動するパケットを調べるために受動的である。つまりこれらのシステムは、アクティブスキャンを実行しない。これらのシステムは、殆どまたは全く人の介在を必要としないために自動的である。このような受動システムは、(1)ネットワーク上において各々のネットワーク装置を識別すること、(2)各々のネットワーク装置上において実行されるオペレーティングシステムとサービス
を識別すること、(3)ネットワーク上において起こる修正をリアルタイムで記録すること、および(4)ネットワーク報告メカニズムで使用できる形式でこの情報を収集することなどを含む機能を実行することによって動作する。例示的なネットワーク報告メカニズムとしては、侵入検出システムと管理システム(MMS)がある。
ネットワーク報告メカニズムは、ネットワークに関する特性情報について、ネットワーク間を移動するパケットをリアルタイムで調べることができる。特性情報のこのような1つのタイプとしては、ネットワーク上のネットワーク装置またはホストに関連する情報がある。当業者は、ネットワーク装置がネットワーク接続を用いた装置であると十分に理解できる。ネットワーク装置は、コンピュータ、プリンタ、スイッチ、ゲーム機、およびルータに限定されない。
ネットワークトラフィックに応じて、ネットワーク装置のID(識別データ)が記録される。IDは、たとえばファイルまたはデータベースにデータ構造として格納される。パケットが以前に記録されていたネットワーク装置を識別すると、現在の情報が以前の情報と比較され、修正点が記録される。修正が見つからなければ、新たな情報は記録されない。いずれの場合でも、次のパケットが読取られる。
図1は、本発明の実施形態によってネットワーク特性を自動的且つ受動的に判定するための例示的な方法100を示すフローチャートである。
方法100のステップ110において、ネットワーク上を転送されるパケットが読取られる。
ステップ120において、ネットワーク装置は、パケットを用いて識別される。ネットワーク装置としてはコンピュータ、プリンタ、およびルータがあるが、これらに限定されない。当業者は、ネットワーク装置がホストとも呼ばれることを十分に認識している。
ステップ130では、ネットワーク装置のIDが記録される。IDは、たとえばファイルまたはデータベースにデータ構造として格納される。パケットが以前に記録されたネットワーク装置を識別する場合、現在の情報が以前の情報と比較され、修正点が記録される。修正が見つからなければ、新たな情報は記録されない。いずれの場合でも、次のパケットを読取るために方法100はステップ110に戻る。
図2は、ネットワーク装置情報またはホスト情報を格納する例示的なデータ構造である。このデータ構造は、ホストの代表的データ構造である。限定されない例として、ホスト情報に、イニシエータIP(インターネットプロトコル)アドレス、各々のメディアアクセスコントロールアドレス(MACアドレス)用の有効期限(TTL)パラメータを持ったメディアアクセスコントロールアドレスのリスト、オペレーティングシステムのリスト、ネットワークプロトコルのリスト、トランスポートプロトコルのリスト、通信制御プロトコル(TCP)サービスデータ構造、ユーザデータグラムプロトコル(UDP)サービスデータ構造のリスト、仮想LAN(VLAN)タグ、および最終確認日時を含めることができる。ネットワーク上の少なくとも1つのネットワーク装置のIPアドレス、メディアアクセスコントロールアドレス、およびTTLパラメータは、通常、ネットワーク上を転送される各々のパケットに含まれる。この結果、ホスト情報のこれらの一部は、各々のパケットのネットワークプロトコルフィールドと転送プロトコルフィールドを直接的に構文解析することによって得られる。
[脆弱性の分析]
ネットワークモニタリングシステムの中には、脆弱性がネットワーク上において発見されたホストに存在していることもある。脆弱性は、ホストまたはホストサービスに対して
悪意を持ってアクセス権を得たり、ホストまたはホストサービスに悪意を持って攻撃したりする公知の方法である。ホストに存在する脆弱性は、様々なソースから派生したものであり、ネットワーク装置を格納するために上述したデータ構造にこの情報を格納できる。たとえば侵入検出システムは、脆弱性リストを保持できる。
潜在的脆弱性のリストは、脆弱性データベース(VDB)に格納できる。ホストまたはホストサービスが識別されると、脆弱性データベースから一または複数の脆弱性がリアルタイムでホストまたはホストサービスにマッピングされる。その後、これらの脆弱性は、特定のホストまたはサービスに連携したグラフィカルユーザインタフェースによって表示できる。管理者は、パッチ固有のシステムまたはシステムグループに関連してこの情報を使用できる。
場合によっては、発見されたホストを能動的にスキャンし、すべての考えられる脆弱性のリストから中核となる脆弱性の小さな集合に至るこのホストのリストを洗練できる。ターゲットシステム上において既にパッチされている脆弱性、またはサービスの構成のために現在は存在していない脆弱性の優先順位降下に伴う脆弱性の削除によって、管理者は、これらの脆弱性を解決する努力を特定された問題領域に向けることができる。
本発明によって、定義済みまたはユーザ定義の値を用いて定義済み且つユーザ定義済みのホスト属性を作成と修正できる。更に本発明によって、手動的にホストのこれらの属性値をユーザが調整できる。実施形態によっては、アプリケーションプログラムインタフェース(API)を介して提供されるグラフィカルユーザインタフェース(GUI)を利用することによってホスト属性を修正できる。このインタフェースを利用して、ユーザは、グラフィカルユーザインタフェースを介してネットワークマップおよび/またはデータベースを修正できる。非限定的な例として、(a)ネットワークマップからのホストとネットワークサブネットの削除、(b)ネットワークマップからのサービスの削除、(c)「非適用」として脆弱性へのマーキング、(d)ホストエントリの重要度フィールドの修正、および(e)ホストのテキスト注釈のための機能を、ユーザに付与できる。
[「非適用」として脆弱性マッピングの選択的マーキング]
ユーザは、特定ホストの「非適用」として脆弱性を印付けできる。特定のホストまたはサービスに対して無効(または非適用)であることを示すネットワーク装置データベースのデータベースフィールドを用いて、「非適用」である脆弱性にタグを付けることができる。この結果、「非適用」脆弱性をホストプロファイルの個別リストに表示でき、またこれらの脆弱性に基づいてインパクトフラグを設定できる。脆弱性を「非適用」として印付けすれば、ユーザは、脆弱性を再アクティブ化できる。脆弱性の再アクティブ化によってデータベースフラグの設定が解除され、インパクトフラグが再び脆弱性を使用するようになり、またユーザインタフェースの「有効」または「適用」の脆弱性セクションによって脆弱性が表示される。「無効」または「非適用」脆弱性(Vulnerability)を示すユーザ
インタフェースの例を図12に示す。
或る実施形態では、「非適用」と印を付けられた脆弱性が、一または複数の定義済みイベントの発生において「非適用」としてのステータスを失うこともある。たとえばエンティティ上のオペレーティングシステムまたはサービスに修正が生じ、これによって新たな脆弱性の検索が行われると、該当する場合、「妥当な」脆弱性としてエンティティに脆弱性を再マップできる。オペレーティングシステム修正のイベントが発生すると、以前の脆弱性リストを削除して、新たな脆弱性の検索を実行できる。脆弱性がオペレーティングシステムに存在し、オペレーティングシステムの修正イベントの前に「無効」として印が付けられる場合、脆弱性を「有効な」脆弱性として再マップできる。
[複数の脆弱性修正]
或る実施形態では、1つのユーザアクションを持った幾つかのホストについて「非適用」として脆弱性に印を付けることができる。このような実施形態において、特定の脆弱性によってマップされた複数のホストまたはサービスを検索してから識別し、ユーザは、各々のホストまたはサービスを手動で選択する必要がなく、それらすべてに「非適用」として印が付けられる。
[ユーザ定義属性]
本発明の特定の実施形態では、ホストプロファイルに一または複数の属性を作成し、値またはデータタイプをその属性に割当てるためのインタフェースを含めることができる。たとえば属性には、(a)高、中、または低などの値を持った運用重要度属性、(b)「ロックビル」、「サンタクララ」、「ロンドン」のような例示的値を格納するための場所属性、(c)0〜600のような定義済み範囲内で整数値タイプを格納するための部屋番号属性を含めることができる。
[属性タイプ]
ユーザは、以下の一または複数の属性タイプを、グラフィカルユーザインタフェースを利用して編集可能である。
[テキスト属性タイプ]
この属性タイプは、単一のテキスト属性フィールドであって、ホストプロファイルに付加するか、またはホストプロファイルに含めることができる。セキュリティ上の問題を生じる場合がある特殊文字の属性テキスト値からの削除は、自動的に処理できる。例示的テキストまたは注釈フィールドを図17に示す。
[整数範囲タイプ]
この属性タイプは、ユーザ定義最小整数とユーザ定義最大整数の間の整数として定義される。ユーザが整数をこの属性に割当てようとする場合、この属性が定義範囲を外れると、エラーが返される。属性定義が修正されると、定義範囲を外れる任意のホスト属性の設定が削除される。
[値リストタイプ]
この属性タイプは、文字列値のリストと定義される。少なくとも1つの値を定義できる。各々のエントリにIDを含めることができ、属性値がホストに割当てられる場合、このIDを使用して属性値を識別できる。属性が修正され、項目が削除されると、この項目を用いた任意のホスト属性の設定が削除されることもある。たとえば「場所」リスト属性が存在し、またシステムが「ロックビル」位置に割当てられる場合には、「ロックビル」の位置が削除されると、「ロックビル」値を持ったすべてのホストから場所属性が削除される。
[IP割当値リストタイプ]
各々のリスト項目は、ネットワーク定義リスト(IPアドレス/CIDR注釈のネットマスクペア)に関連付けることができる。またホストの属性値は、IPアドレスに基づいて自動的に設定できる場合を除き、この属性タイプは値リストタイプと同じである。特定のリスト項目の値を修正すると、この設定値を持った他のホストは自動的に更新できる。
最大限の仕様から最小限の仕様に至るまでネットワーク定義を評価できる。たとえばネットワーク10.4.0.0/16と10.0.0.0/8が異なるレベルに指定される場合、ホスト10.4.12.68には10.4.0.0/16のネットワークに一致する値を割当てできる。リスト項目のIP範囲が修正されると、ホストの属性値設定値を自
動的に再評価できる。
[ホスト重要度]
ネットワークマップのホストにサーバ重要度フィールドを提供できる。このフィールドは、ホストのデータベースとメモリマップ表現の両方に追加でき、しかも、検索可能フィールドにできる。図3に、この属性を検索するための例示的インタフェースを示す。
1つの例示的な実施形態では、重要度カタログには、無、低、中、および高の4つのレベルを含めることができる。「無」レベルは、デフォルトレベルとして定義できる。新たなホストがネットワークマップに追加されると、新たなホストは、このレベルに自動的に割当てられる。ユーザは、個々のホストのレベルを修正したり、検索結果画面および/またはホストビュー画面からの選択ホストにレベル修正を適用したりできる。重要度フィールドを設定する例示的なインタフェースを図15と図17に示す。以下に詳細に説明するように、一または複数の方針と応答に関連付けられた規則に重要度フィールドを使用できる。
ユーザは、ホストマップのビューから特定のホストを選択可能である。図15に示した例示的なインタフェースによって、ユーザがリンクをクリックすると、ポップアップが表示され、ユーザは、特定ホストの重要度レベルを選択できる。
[ネットワークモニタリングシステムの統合]
属性定義にユニバーサル一義識別子(UUID)を含めることによって、高可用性ピアと管理センサは、ローカル生成属性とリモート生成属性を区別できる。以下で使用されるように、高可用性ピアは、ネットワークマップの第2コピーを格納する第2システムである。或る実施形態では、高可用性のために格納されたネットワークマップを、マップをホスティングする複数のピア間で同期できる。1つのネットワークモニタリングシステム上に値を割当てたホストは、第2ネットワーク高可用性モニタリングシステム上にその値を自動的に割当てできる。或る実施形態では、第2ネットワークエンティティに伝搬される属性を第2エンティティによって修正し、第1エンティティに伝搬し戻すことができる。高可用性ピアを介して、任意の属性および/または妥当性、または以下に記載する適用可能パラメータを活用できる。
ユーザは、すべてのホストプロファイルに適用できる汎用属性を定義できる。ホスト検索において、また方針と応答に関連して属性を使用できる。属性定義の追加、削除、および修正、特定のホストの属性値の設定と削除などの機能は、上記に限定されることはないが、APIを介して実行できる。
属性が生成されると、これらの値を方針と応答の規則ならびに検索制約条件に追加できる。値リスト属性タイプについては、ユーザは、「is」と「is not」演算子を使用できる。整数範囲属性タイプについて、ユーザは、=、<、および>などの算術演算子を使用できる。テキスト属性については、「contains」、「starts with」、および「ends with」などの演算子を使用して正規表現検索を実行できる。
更なる実施形態では、ユーザは、(a)属性と値をホストプロファイルに割当て、(b)属性をホストテーブルビューの一または複数のホストに割当て、(c)IPアドレスに基づいて、ホストが検出されるとき自動的に属性をホストに設定し、ホスト修飾子として方針と応答規則で使用するために定義済みホスト属性を設定し、および(e)ユーザ定義済みホスト属性を管理できるように、インタフェースが提供される。
[グラフィカルユーザインタフェース]
グラフィカルユーザインタフェースによって、ユーザは、脆弱性エディタを使用して一または複数のホストに対して「非適用」として特定の脆弱性の印を付けることができる。或る実施形態では、インタフェースは、選択した脆弱性があるホストの位置を容易にするために、検索フィールドとして「脆弱性ID」を含む検索画面を備えることができる。或る実施形態では、ユーザ定義済みホスト属性をサポートするユーザインタフェースを含めることができる。インタフェースを介してユーザは、一または複数の以下の機能を実行できる。つまり機能としては、(a)属性定義の作成と修正、(b)特定ホストの属性設定の表示ならびに修正、および(c)属性値に基づいたホストディスプレイの体系付けがある。
[既存の属性リスト]
属性リスト画面には、ユーザ定義済み属性が表示される。当初、リストが空になっている場合もある。「生成」リンクの起動によって新規属性を生成するための個別画面が表示できる。既存の属性について、テーブルには、名前、タイプが表示され、また属性の設定を自動的に割当てる。インタフェースは、特定の属性を修正したり削除したりするため、各々の行に2つのリンクを含めることができる。たとえば「編集リンク」は、エントリを編集するためのインタフェースを表示し、「削除」リンクは、選択した項目を削除したり、テーブルディスプレイをリフレッシュしたりできる。1つのこのような例示的インタフェースを図3に示す。
[新たな属性の追加]
新たな属性の追加画面によって、ユーザは、新たな属性を命名し、そのタイプを選択し、更にこのタイプに基づいて設定を構成できる。上記の通り、属性の例示的なタイプには、テキスト、整数、およびリストを含めることができる。或る実施形態では、現在選択されるタイプを構成するための限定された組のグラフィカルユーザインタフェースが表示される。このような1つの例示的インタフェースを図4に示す。
整数範囲タイプのインタフェースは、整数範囲の最小と最大入力フィールドを含む2つの新たな行を表示できる。このような1つの例示的インタフェースを図5に示す。
リストタイプは、複数のリストを表示できる。このような1つの例示的インタフェースを図6に示す。最初のリストは、属性値のリストである。これらの値の1つが選択されると、その値が自動的に割当てられるIP範囲を表示できる。入力フィールドを利用してどちらからのリストに値を追加できる。選択した項目は、各々のリスト領域の右上にある「X」を使用して削除できる。ユーザが新たな属性の構成を終了した場合は、「属性の保存」ボタンが、その属性を追加するために使用できる。ユーザは、「属性リストに戻る」リンクまたはボタンを起動することによって、属性リストに戻ることができる。
[既存の属性の修正]
属性リストにおいて特定の属性の修正リンクをユーザがクリックすると、既存の属性を修正するためのインタフェースを表示できる。このような1つの例示的インタフェースを図7に示す。或る実施形態では、ユーザは、既存属性のタイプを修正できない。このような実施形態では、タイプは、修正可能組合せボックスの代わりにラベルとして表示される。或る実施形態では、新規属性インタフェースに採用された制御を、既存属性インタフェースの修正に使用できる。
[属性のネットワークマップビュー]
属性ビューによって、ユーザは、ユーザ定義済み属性のリストから属性を選択できる。選択した属性の値は、ネットワークマップツリーのトップレベル要素として表示できる。ユーザがこれらの値の1つを増加すると、その属性値が設定されるホストIPのリストを
、子要素として表示できる。これらのホストを1つ選択すると、右端のパネルにホストプロファイルビューが表示される。このような1つの例示的インタフェースを図8に示す。
複数のユーザインタフェースの任意の1つによって、ホストプロファイルデータを表示できる。或る実施形態では、ホスト属性と脆弱性の編集は、別のポップアップウィンドウで実行できる。値が設定される属性は、読取専用のホストプロファイルに表示できる。
[折り畳みサブセクション]
或る実施形態では、サービスと脆弱性などの表示されたサブセクションは拡張または折り畳むことができる。デフォルトとして、表示されたサブセクションは、折り畳まれることができ、ホストプロファイルの負担を軽くし、垂直サイズを小さくできる。折り畳まれたサブセクションは、タイトルバーに総要素数を表示して、各々のセクションを拡張する必要がなく、サブ要素数をユーザに知らせることができる。このような例示的インタフェースの1つを図9に示す。
[属性エディタ]
属性エディタは、テーブルビューの属性の編集に使用できる。エディタは、ポップアップウィンドウ形式であり、これによってユーザは、利用可能な属性を選択し、選択したホストの値を設定できる。ポップアップには、利用可能な属性の表示を含めることができる。属性が選択されたら、この属性の適切な編集フィールドを表示できる。非限定が選択されると、この属性に対して適切な編集フィールドを表示できる。非限定の例として、このフィールドには、テキスト属性のテキスト領域、範囲属性のテキストフィールド、およびリスト属性のボックスを含めることができる。このような1つの例示的インタフェースを図10に示す。
[脆弱性エディタ]
脆弱性エディタによって、ユーザは、現在のホストに適用可能と適用不可である脆弱性を容易に指定できる。一実施形態において、ウィンドウは、リスト間に矢印ボタンが表示された2つの並行する選択リストによって構成できる。一方のリストからもう一方のリストに脆弱性を転送するため、ユーザは、所望の項目を選択し、矢印ボタンの1つをクリックできる。ユーザがリストの配列を終了したら、修正を適用する場合は「保存」ボタンを使用する。このような一実施形態を図11に示す。
[属性テーブルビュー]
属性テーブルビューは属性値の検索、表示、および報告に使用し、またホストとこれらの値に関連付けできる。これらの属性は、ホストテーブルビューまたは個別のテーブルビューに表示できる。このテーブルビューは、属性名、属性が設定されるホストのIPアドレス、およびこれら属性の値の列を表示できる。
属性名、値、および/またはホストIPアドレスに基づいて属性テーブルビューを検索するために、対応する属性検索ページを提供でき提供できる。選択した属性の組に関連付けられた他の情報を見つけるために、選択した属性の属性テーブルビューから他のテーブルビューに至るまでリンクボタンを使用できる。
或る実施形態においては、「属性の設定」ボタンをインタフェースに含めることができる。このボタンの選択によってポップアップウィンドウが表示され、ユーザは、利用可能な属性を選択して、テーブルビューで識別されたホストの値を設定できる。ポップアップには、利用可能な属性のコンボボックスを含めることができ、また属性が選択されたら、テキスト属性のテキスト領域、範囲属性のテキストフィールド、またはリスト属性のコンボボックスなど、この属性に対して適切な編集フィールドを表示できる。
本発明の実施形態によれば、方法を実行するためにプロセッサが実行する命令は、コンピュータ読取可能な媒体に格納され、前記コンピュータ読取可能な媒体は、デジタル情報を格納する装置であることができる。たとえばコンピュータ読取可能な媒体としては、ソフトウェアを格納するための技術として知られる読出専用メモリ(ROM、たとえばコンパクトディスク−ROMすなわちCD−ROM)がある。コンピュータ読取可能な媒体は、実行される命令を実行するのに適したプロセッサによってアクセスが可能である。「実行されるように構成された命令」と「実行される命令」という用語は、プロセッサによって現在の形式(たとえばマシンコード)で容易に実行される命令、または更なるプロセッサによって容易に実行される操作(たとえば編集、復号化、またはアクセスコードなどの提供)を含むということを指している。
本発明の実施形態は、一または複数のネットワークを介するデータ通信に関連する。データ通信は、一または複数のネットワークの一または複数の通信チャネルによって実行できる。ネットワークには、有線通信リンク(たとえば同軸ケーブル、銅線、光ファイバ、それらの組合せなど)、無線通信リンク(たとえば衛星通信リンク、地上無線通信リンク、衛星対地上通信リンク、それらの組合せなど)、またはそれらの組合せを含めることができる。通信リンクには、通信チャネルが通信を伝搬する一または複数の通信チャネルを含めることができる。
以下に開示する本発明の実施形態にかかるシステムと方法には、コンピュータネットワークに関するコンテキスト情報を与えることによって、既存の侵入検出システムまたはリアルタイムネットワーク報告メカニズムを改善させる利点がある。このようなシステムと方法は、情報が自動的に更新される点において手動の方法に比べて特に有利である。サーバとクライアントの両方のオペレーティングシステムを見つける本発明の機能は、従来のネットワーク検出システムに比べて大幅な利点をもたらす。ネットワークに害を及ぼさす、関連する情報を侵入検出システムに提供でき、またその情報は、常に最新のものである点において、アクティブスキャンシステムと比較しても有利である。それは侵入検出システムの機能を強化する情報を提供する、またはネットワークのステータスの連続リアルタイムレポートを提供するために使用できる。それはサーバとクライアント両方のオペレーティングシステムを見つけることができる。
前述の詳細な説明において、本発明の実施形態にかかるシステムと方法は、特定の例示的な実施形態に関して記載される。従って、本明細書と図面は、限定的なものではなく例示とみなされるべきである。本発明の範囲は、請求の範囲によって、且つ、それらの均等物によって、更に理解されるべきである。
ネットワークの特性を自動的且つ受動的に判定するための方法例のフローチャート。 ネットワーク装置情報またはホスト情報を格納するための例のデータ構造の図。 ユーザ定義ホスト属性を表示するための例示的なユーザインタフェースの図。 新たな属性を追加と命名し、そのタイプを選択するための例示的なユーザインタフェースの図。 範囲を用いて整数属性を定義するための例示的なユーザインタフェースの図。 リスト項目を追加または選択するための例示的なユーザインタフェースの図。 属性リストの属性を修正するための例示的なユーザインタフェースの図。 ユーザ定義属性リストから属性を選択するための例示的なインタフェースの図。 折り畳みサブセクションを含む例示的なユーザインタフェースの図。 テーブルビューにおいて属性を編集するための例示的なインタフェースの図。 例示的な脆弱性エディタの図。 「無効」または「非適用」を表示するための例示的なインタフェースの図。 重要度フィールドを検索するための例示的なインタフェースの図。 重要度フィールドを選択するための例示的なインタフェースの図。 ホストの重要度レベルを選択するための例示的なインタフェースの図。 重要度フィールドを設定するための例示的なインタフェースの図。 例示的なテキストまたは注記フィールドの図。

Claims (20)

  1. ネットワーク上の装置に脆弱性パラメータを割当てる方法であって、前記方法は、
    オペレーティングシステムまたはサービスの脆弱性パラメータを定義付けることと、
    ネットワーク装置に関連付けたホストマップの脆弱性パラメータを格納することと、
    脆弱性パラメータを表示と修正するためのグラフィカルユーザインタフェースを提供することと、および
    前記サービスまたはオペレーティングシステムに関連付けた前記ホストマップにおける修正済み脆弱性パラメータを格納することと
    を含む、方法。
  2. 前記脆弱性パラメータは無効または有効である、請求項1記載の方法。
  3. 前記グラフィカルユーザインタフェースは、アプリケーションプログラムインタフェースを通じて提供される、請求項1記載の方法。
  4. 前記グラフィカルユーザインタフェースは、複数の選択されたホストまたはサービスの脆弱性パラメータを設定する機能を提供する、請求項1記載の方法。
  5. 前記脆弱性パラメータはユニバーサル一義識別子に関連付けられ、高可用性ピアに同期される、請求項1記載の方法。
  6. 前記グラフィカルユーザインタフェースは、ネットワークマップからホストを削除する機能を提供する、請求項1記載の方法。
  7. ネットワークの特性を自動的且つ受動的に判定する方法であって、前記方法は、
    ネットワーク上に送信された一または複数のパケットを読取ることと、
    前記一または複数のパケットを使用して前記ネットワーク上のネットワーク装置を識別することと、
    前記ネットワーク装置に関連付けたホストマップレコードにおける前記ネットワーク装置の識別を記録することと、
    ユーザからパラメータを受信するためのグラフィカルユーザインタフェースを提供することと、および
    前記ネットワーク装置に関連付けた前記ホストマップレコードにおける前記パラメータを記録することと
    を含む、方法。
  8. 前記グラフィカルユーザインタフェースは、アプリケーションプログラムインタフェースを通じて提供される、請求項7記載の方法。
  9. 前記パラメータは運用重要度属性である、請求項7記載の方法。
  10. 前記パラメータは場所属性である、請求項7記載の方法。
  11. 前記パラメータはユーザ定義範囲内の整数値である、請求項7記載の方法。
  12. 前記パラメータは文字列値のリストである、請求項7記載の方法。
  13. 前記パラメータはユニバーサル一義識別子に関連付けられ、高可用性ピアに同期される、請求項7記載の方法。
  14. ネットワーク上の装置に脆弱性パラメータを割当てるシステムであって、前記システムは、
    ネットワーク装置に関連付けたホストマップにおけるオペレーティングシステムまたはサービスの脆弱性パラメータを格納するコンピュータ読取可能な媒体と、
    前記サービスまたはオペレーティングシステムに割当てられた前記脆弱性パラメータを表示と修正するためのグラフィカルユーザインタフェースを表示するディスプレイと、
    前記サービスまたはオペレーティングシステムに関連付けた前記ホストシステムにおける前記修正済み脆弱性パラメータを格納するコンピュータ読取可能な媒体と
    を備える、システム。
  15. 前記脆弱性パラメータは無効または有効である、請求項14記載のシステム。
  16. 前記脆弱性パラメータはユニバーサル一義識別子に関連付けられ、高可用性ピアに同期される、請求項14記載のシステム。
  17. ネットワークの特性を自動的且つ受動的に判定するシステムであって、前記システムは、
    前記ネットワーク上に送信された一または複数のパケットを受信し、前記一または複数のパケットを使用して前記ネットワーク上の装置を識別する受信器と、
    ホストマップにおける前記ネットワーク装置の識別を格納するコンピュータ読取可能な媒体と、
    ユーザからパラメータを受信するためのグラフィカルユーザインタフェースを表示するディスプレイと、
    前記識別済みのネットワーク装置に関連付けた前記ホストマップに前記ユーザパラメータを格納するコンピュータ読取可能な媒体と
    を備える、システム。
  18. 前記パラメータはユニバーサル一義識別子に関連付けられ、高可用性ピアに同期される、請求項14記載のシステム。
  19. 前記グラフィカルユーザインタフェースは、アプリケーションプログラムインタフェースを通じて提供される、請求項17記載のシステム。
  20. 前記パラメータは運用重要度属性である、請求項17記載のシステム。
JP2008540215A 2005-11-14 2006-11-09 ネットワークマップ属性を修正する方法およびシステム Withdrawn JP2009516265A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US11/272,034 US7733803B2 (en) 2005-11-14 2005-11-14 Systems and methods for modifying network map attributes
PCT/US2006/043800 WO2007058946A2 (en) 2005-11-14 2006-11-09 Systems and methods for modifying network map attributes

Publications (1)

Publication Number Publication Date
JP2009516265A true JP2009516265A (ja) 2009-04-16

Family

ID=38049167

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2008540215A Withdrawn JP2009516265A (ja) 2005-11-14 2006-11-09 ネットワークマップ属性を修正する方法およびシステム

Country Status (5)

Country Link
US (2) US7733803B2 (ja)
EP (1) EP1949242B1 (ja)
JP (1) JP2009516265A (ja)
CA (1) CA2629719A1 (ja)
WO (1) WO2007058946A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531652A (ja) * 2011-09-07 2014-11-27 マカフィー, インコーポレイテッド コンピュータシステムセキュリティダッシュボード
JP2015501466A (ja) * 2011-10-04 2015-01-15 マイクロソフト コーポレーション データ・エンティティの自動スコーピング
US9852121B2 (en) 2011-10-04 2017-12-26 Microsoft Technology Licensing, Llc Automatic relationship detection for spreadsheet data items

Families Citing this family (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7949732B1 (en) 2003-05-12 2011-05-24 Sourcefire, Inc. Systems and methods for determining characteristics of a network and enforcing policy
US7539681B2 (en) * 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7733803B2 (en) 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US9224179B2 (en) * 2007-05-14 2015-12-29 The University Of Utah Research Foundation Method and system for report generation including extensible data
US8474043B2 (en) 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
WO2011027352A1 (en) * 2009-09-03 2011-03-10 Mcafee, Inc. Network access control
US9532222B2 (en) 2010-03-03 2016-12-27 Duo Security, Inc. System and method of notifying mobile devices to complete transactions after additional agent verification
US9544143B2 (en) 2010-03-03 2017-01-10 Duo Security, Inc. System and method of notifying mobile devices to complete transactions
JP5809238B2 (ja) 2010-04-16 2015-11-10 シスコ テクノロジー,インコーポレイテッド 準リアルタイムネットワーク攻撃検出のためのシステムおよび方法、ならびに検出ルーティングによる統合検出のためのシステムおよび方法
US8769084B2 (en) 2010-06-07 2014-07-01 Novell, Inc. System and method for modeling interdependencies in a network datacenter
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) * 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US9124920B2 (en) 2011-06-29 2015-09-01 The Nielson Company (Us), Llc Methods, apparatus, and articles of manufacture to identify media presentation devices
US9467463B2 (en) 2011-09-02 2016-10-11 Duo Security, Inc. System and method for assessing vulnerability of a mobile device
US9811667B2 (en) * 2011-09-21 2017-11-07 Mcafee, Inc. System and method for grouping computer vulnerabilities
US20140172495A1 (en) * 2012-12-16 2014-06-19 Mcafee, Inc. System and method for automated brand protection
WO2016195847A1 (en) * 2015-06-01 2016-12-08 Duo Security, Inc. Method for enforcing endpoint health standards
US9825982B1 (en) 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US10412113B2 (en) 2017-12-08 2019-09-10 Duo Security, Inc. Systems and methods for intelligently configuring computer security

Family Cites Families (192)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59195179A (ja) * 1983-04-20 1984-11-06 Uro Denshi Kogyo Kk 侵入警報器
US4550436A (en) * 1983-07-26 1985-10-29 At&T Bell Laboratories Parallel text matching methods and apparatus
JPH0797373B2 (ja) * 1985-08-23 1995-10-18 株式会社日立製作所 文書フアイリングシステム
JPH0786537B2 (ja) * 1987-09-26 1995-09-20 松下電工株式会社 人体検出装置
US4857912A (en) * 1988-07-27 1989-08-15 The United States Of America As Represented By The Secretary Of The Navy Intelligent security assessment system
JP2790466B2 (ja) * 1988-10-18 1998-08-27 株式会社日立製作所 文字列検索方法及び装置
US5193192A (en) * 1989-12-29 1993-03-09 Supercomputer Systems Limited Partnership Vectorized LR parsing of computer programs
US5404488A (en) * 1990-09-26 1995-04-04 Lotus Development Corporation Realtime data feed engine for updating an application with the most currently received data from multiple data feeds
US5222081A (en) * 1991-06-28 1993-06-22 Universal Data Systems, Inc. Method of performing an autobaud function using a state flow machine
US5430842A (en) * 1992-05-29 1995-07-04 Hewlett-Packard Company Insertion of network data checksums by a network adapter
US5497463A (en) * 1992-09-25 1996-03-05 Bull Hn Information Systems Inc. Ally mechanism for interconnecting non-distributed computing environment (DCE) and DCE systems to operate in a network system
JP2994926B2 (ja) 1993-10-29 1999-12-27 松下電器産業株式会社 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法
GB9326476D0 (en) * 1993-12-24 1994-02-23 Newbridge Networks Corp Network
US5459841A (en) * 1993-12-28 1995-10-17 At&T Corp. Finite state machine with minimized vector processing
US5666293A (en) 1994-05-27 1997-09-09 Bell Atlantic Network Services, Inc. Downloading operating system software through a broadcast channel
JPH09198398A (ja) * 1996-01-16 1997-07-31 Fujitsu Ltd パターン検索装置
US5870550A (en) * 1996-02-26 1999-02-09 Network Engineering Software Web server employing multi-homed, moldular framework
US5870554A (en) * 1996-04-01 1999-02-09 Advanced Micro Devices, Inc. Server selection method where a client selects a server according to address, operating system and found frame for remote booting
US5995963A (en) * 1996-06-27 1999-11-30 Fujitsu Limited Apparatus and method of multi-string matching based on sparse state transition list
US5901307A (en) * 1996-07-22 1999-05-04 International Business Machines Corporation Processor having a selectively configurable branch prediction unit that can access a branch prediction utilizing bits derived from a plurality of sources
US5881269A (en) 1996-09-30 1999-03-09 International Business Machines Corporation Simulation of multiple local area network clients on a single workstation
US5796942A (en) * 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6477648B1 (en) * 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
US5999937A (en) 1997-06-06 1999-12-07 Madison Information Technologies, Inc. System and method for converting data between data sets
US5919257A (en) * 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US5987473A (en) * 1997-09-09 1999-11-16 Beologic A/S Interactive configuration via network
IL126148A (en) * 1997-09-09 2004-02-19 Sanctum Ltd Method and system for maintaining restricted operating environments for application programs or operating systems
US6002427A (en) 1997-09-15 1999-12-14 Kipust; Alan J. Security system with proximity sensing for an electronic device
US6141686A (en) * 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
EP1091270A4 (en) * 1998-04-27 2007-05-02 Digital Electronics Corp CONTROL SYSTEM, DISPLAY, HOST CONTROL COMPUTER, AND DATA TRANSMISSION METHOD
EP0954139B1 (en) * 1998-05-01 2005-04-06 Hewlett-Packard Company, A Delaware Corporation Methods of altering dynamic decision trees
US6334121B1 (en) 1998-05-04 2001-12-25 Virginia Commonwealth University Usage pattern based user authenticator
US6684332B1 (en) 1998-06-10 2004-01-27 International Business Machines Corporation Method and system for the exchange of digitally signed objects over an insecure network
US6973455B1 (en) 1999-03-03 2005-12-06 Emc Corporation File server system providing direct data sharing between clients with a server acting as an arbiter and coordinator
US6324656B1 (en) * 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6590885B1 (en) * 1998-07-10 2003-07-08 Malibu Networks, Inc. IP-flow characterization in a wireless point to multi-point (PTMP) transmission system
US6711127B1 (en) * 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6343362B1 (en) * 1998-09-01 2002-01-29 Networks Associates, Inc. System and method providing custom attack simulation language for testing networks
US6219786B1 (en) * 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) * 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6393474B1 (en) * 1998-12-31 2002-05-21 3Com Corporation Dynamic policy management apparatus and method using active network devices
US6487666B1 (en) * 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6453354B1 (en) 1999-03-03 2002-09-17 Emc Corporation File server system using connection-oriented protocol and sharing data sets among data movers
US6754826B1 (en) * 1999-03-31 2004-06-22 International Business Machines Corporation Data processing system and method including a network access connector for limiting access to the network
US6539381B1 (en) * 1999-04-21 2003-03-25 Novell, Inc. System and method for synchronizing database information
US6587876B1 (en) * 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US7073198B1 (en) * 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7065657B1 (en) * 1999-08-30 2006-06-20 Symantec Corporation Extensible intrusion detection system
US7310688B1 (en) 1999-08-30 2007-12-18 Ciena Corporation Relative addressing for network elements
US6789202B1 (en) * 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US6678824B1 (en) * 1999-11-02 2004-01-13 Agere Systems Inc. Application usage time limiter
US6678734B1 (en) * 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6990591B1 (en) 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6957348B1 (en) * 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7315801B1 (en) * 2000-01-14 2008-01-01 Secure Computing Corporation Network security modeling system and method
US6851061B1 (en) * 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
AU2001249471A1 (en) * 2000-03-27 2001-10-08 Network Security Systems, Inc. Internet/network security method and system for checking security of a client from a remote facility
JP2001285400A (ja) * 2000-03-29 2001-10-12 Kddi Corp トラヒック統計情報収集方法
US7134141B2 (en) 2000-06-12 2006-11-07 Hewlett-Packard Development Company, L.P. System and method for host and network based intrusion detection and response
US8661539B2 (en) * 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US20020087716A1 (en) * 2000-07-25 2002-07-04 Shakeel Mustafa System and method for transmitting customized multi priority services on a single or multiple links over data link layer frames
US6772196B1 (en) * 2000-07-27 2004-08-03 Propel Software Corp. Electronic mail filtering system and methods
US6766320B1 (en) * 2000-08-24 2004-07-20 Microsoft Corporation Search engine with natural language-based robust parsing for user query and relevance feedback learning
US7181769B1 (en) 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US7032114B1 (en) * 2000-08-30 2006-04-18 Symantec Corporation System and method for using signatures to detect computer intrusions
US20020035639A1 (en) * 2000-09-08 2002-03-21 Wei Xu Systems and methods for a packet director
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20020066034A1 (en) * 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US20020083344A1 (en) * 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6792269B2 (en) * 2000-12-22 2004-09-14 Bellsouth Intellectual Property Corporation System, method and apparatus for tracking deployment of cellular telephone network sites
JP3672242B2 (ja) * 2001-01-11 2005-07-20 インターナショナル・ビジネス・マシーンズ・コーポレーション パターン検索方法、パターン検索装置、コンピュータプログラム及び記憶媒体
US7058821B1 (en) * 2001-01-17 2006-06-06 Ipolicy Networks, Inc. System and method for detection of intrusion attacks on packets transmitted on a network
US20020165707A1 (en) * 2001-02-26 2002-11-07 Call Charles G. Methods and apparatus for storing and processing natural language text data as a sequence of fixed length integers
US7720996B2 (en) 2001-03-27 2010-05-18 Microsoft Corporation Internet protocol (IP) address proximity and application to peer provider location
US20100027430A1 (en) 2001-04-30 2010-02-04 Netwitness Corporation Apparatus and Method for Network Analysis
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
US7308715B2 (en) * 2001-06-13 2007-12-11 Mcafee, Inc. Protocol-parsing state machine and method of using same
US7096503B1 (en) * 2001-06-29 2006-08-22 Mcafee, Inc. Network-based risk-assessment tool for remotely detecting local computer vulnerabilities
US7231665B1 (en) 2001-07-05 2007-06-12 Mcafee, Inc. Prevention of operating system identification through fingerprinting techniques
US6978223B2 (en) * 2001-09-06 2005-12-20 Bbnt Solutions Llc Systems and methods for network performance measurement using packet signature collection
US7406526B2 (en) * 2001-09-28 2008-07-29 Uri Benchetrit Extended internet protocol network address translation system
US6999998B2 (en) * 2001-10-04 2006-02-14 Hewlett-Packard Development Company, L.P. Shared memory coupling of network infrastructure devices
US7472167B2 (en) * 2001-10-31 2008-12-30 Hewlett-Packard Development Company, L.P. System and method for uniform resource locator filtering
US20030083847A1 (en) * 2001-10-31 2003-05-01 Schertz Richard L. User interface for presenting data for an intrusion protection system
US20030101353A1 (en) * 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US6546493B1 (en) 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
EP1461707A1 (en) 2001-12-31 2004-09-29 Citadel Security Software Inc. Automated computer vulnerability resolution system
US7243148B2 (en) 2002-01-15 2007-07-10 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
US6993706B2 (en) 2002-01-15 2006-01-31 International Business Machines Corporation Method, apparatus, and program for a state machine framework
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7664845B2 (en) 2002-01-15 2010-02-16 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
JP4152108B2 (ja) * 2002-01-18 2008-09-17 株式会社コムスクエア 脆弱点監視方法及びシステム
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7769997B2 (en) * 2002-02-25 2010-08-03 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US20030229726A1 (en) 2002-03-18 2003-12-11 Daseke Michael J. Default device configuration system and method for thin devices
CA2479504C (en) * 2002-03-29 2010-07-13 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
JP4047053B2 (ja) * 2002-04-16 2008-02-13 富士通株式会社 繰り返しを含む順序パターンを用いた検索装置および方法
US20030212779A1 (en) * 2002-04-30 2003-11-13 Boyter Brian A. System and Method for Network Security Scanning
US7383577B2 (en) 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
CA2486695A1 (en) * 2002-05-22 2003-12-04 Lucid Security Corporation Adaptive intrusion detection system
US7580370B2 (en) 2002-06-21 2009-08-25 International Business Machines Corporation Method and structure for autoconfiguration of network destinations
US6983323B2 (en) * 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7069438B2 (en) * 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
US20040064726A1 (en) * 2002-09-30 2004-04-01 Mario Girouard Vulnerability management and tracking system (VMTS)
US20040093582A1 (en) * 2002-11-01 2004-05-13 Segura Tim E. Method for allowing a computer to be used as an information kiosk while locked
US7363656B2 (en) * 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7454499B2 (en) * 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20040093408A1 (en) 2002-11-08 2004-05-13 Hirani Harikrishin W. IT asset tracking system
KR100456635B1 (ko) * 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7475142B2 (en) 2002-12-06 2009-01-06 Cisco Technology, Inc. CIFS for scalable NAS architecture
US7353533B2 (en) * 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7365872B2 (en) 2003-01-03 2008-04-29 Microsoft Corporation Client computer system, method and computer readable medium comprising executable instructions for rendering printable documents in a native printer language on the network
US20040193943A1 (en) * 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
JP2006518080A (ja) 2003-02-14 2006-08-03 プリベンシス,インコーポレイティド ネットワーク監査及びポリシー保証システム
US20040172234A1 (en) * 2003-02-28 2004-09-02 Dapp Michael C. Hardware accelerator personality compiler
US7706378B2 (en) * 2003-03-13 2010-04-27 Sri International Method and apparatus for processing network packets
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US8127359B2 (en) * 2003-04-11 2012-02-28 Samir Gurunath Kelekar Systems and methods for real-time network-based vulnerability assessment
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7644275B2 (en) 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
US20040221176A1 (en) 2003-04-29 2004-11-04 Cole Eric B. Methodology, system and computer readable medium for rating computer system vulnerabilities
US7349400B2 (en) 2003-04-29 2008-03-25 Narus, Inc. Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network
AU2003225232A1 (en) * 2003-04-29 2004-11-26 Threatguard, Inc. System and method for network security scanning
US7949732B1 (en) 2003-05-12 2011-05-24 Sourcefire, Inc. Systems and methods for determining characteristics of a network and enforcing policy
US7317693B1 (en) 2003-05-12 2008-01-08 Sourcefire, Inc. Systems and methods for determining the network topology of a network
US7089383B2 (en) 2003-06-06 2006-08-08 Hewlett-Packard Development Company, L.P. State machine and system for data redundancy
US7636917B2 (en) 2003-06-30 2009-12-22 Microsoft Corporation Network load balancing with host status information
US7596807B2 (en) 2003-07-03 2009-09-29 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
US7346922B2 (en) 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US7133916B2 (en) 2003-07-28 2006-11-07 Etelemetry, Inc. Asset tracker for identifying user of current internet protocol addresses within an organization's communications network
US20050114700A1 (en) * 2003-08-13 2005-05-26 Sensory Networks, Inc. Integrated circuit apparatus and method for high throughput signature based network applications
US7467202B2 (en) 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
US8417673B2 (en) 2003-10-07 2013-04-09 International Business Machines Corporation Method, system, and program for retaining versions of files
US7805762B2 (en) 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US7725936B2 (en) * 2003-10-31 2010-05-25 International Business Machines Corporation Host-based network intrusion detection systems
EP1549012A1 (en) 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
GB2410647A (en) * 2004-01-31 2005-08-03 Hewlett Packard Development Co Identifying and Patching Vulnerabilities in a Network
US20050188079A1 (en) * 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring usage of a server application
US7313695B2 (en) 2004-03-23 2007-12-25 Sourcefire, Inc. Systems and methods for dynamic threat assessment
US7519954B1 (en) 2004-04-08 2009-04-14 Mcafee, Inc. System and method of operating system identification
US7761918B2 (en) * 2004-04-13 2010-07-20 Tenable Network Security, Inc. System and method for scanning a network
US7366728B2 (en) * 2004-04-27 2008-04-29 International Business Machines Corporation System for compressing a search tree structure used in rule classification
US7904960B2 (en) 2004-04-27 2011-03-08 Cisco Technology, Inc. Source/destination operating system type-based IDS virtualization
WO2005114541A2 (en) 2004-05-19 2005-12-01 Computer Associates Think, Inc. Systems and methods for minimizing security logs
US20050268331A1 (en) 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8074277B2 (en) 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
US7539681B2 (en) 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US7493388B2 (en) 2004-08-20 2009-02-17 Bdna Corporation Method and/or system for identifying information appliances
WO2006063118A2 (en) * 2004-12-07 2006-06-15 Pure Networks, Inc. Network management
US7480245B2 (en) * 2004-12-11 2009-01-20 International Business Machines Corporation Segmenting data packets for over-network transmission at adjustable fragment boundary
US10015140B2 (en) * 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US7840353B2 (en) 2005-05-17 2010-11-23 The Boards of Trustees of the University of Illinois Method and system for managing a network of sensors
US7454790B2 (en) 2005-05-23 2008-11-18 Ut-Battelle, Llc Method for detecting sophisticated cyber attacks
US7523146B2 (en) * 2005-06-21 2009-04-21 Apple Inc. Apparatus and method for peer-to-peer N-way synchronization in a decentralized environment
US20060294588A1 (en) 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
US20070027913A1 (en) 2005-07-26 2007-02-01 Invensys Systems, Inc. System and method for retrieving information from a supervisory control manufacturing/production database
US8077718B2 (en) 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
US7730011B1 (en) 2005-10-19 2010-06-01 Mcafee, Inc. Attributes of captured objects in a capture system
US7733803B2 (en) 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US8046833B2 (en) 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US7873025B2 (en) 2006-02-23 2011-01-18 Cisco Technology, Inc. Network device that determines application-level network latency by monitoring option values in a transport layer message
GB2432933B (en) 2006-03-14 2008-07-09 Streamshield Networks Ltd A method and apparatus for providing network security
US7958227B2 (en) 2006-05-22 2011-06-07 Mcafee, Inc. Attributes of captured objects in a capture system
US7948988B2 (en) 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US7680929B1 (en) 2006-07-31 2010-03-16 Insecure.Com LLC Operating system determination
US7701945B2 (en) 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
CA2672908A1 (en) 2006-10-06 2008-04-17 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
US20080115213A1 (en) 2006-11-14 2008-05-15 Fmr Corp. Detecting Fraudulent Activity on a Network Using Stored Information
US7930747B2 (en) * 2007-01-08 2011-04-19 Trend Micro Incorporated Host intrusion prevention server
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
US8996681B2 (en) 2007-04-23 2015-03-31 The Mitre Corporation Passively attributing anonymous network events to their associated users
EP2156290B1 (en) 2007-04-30 2020-03-25 Cisco Technology, Inc. Real-time awareness for a computer network
US7936794B2 (en) 2007-08-07 2011-05-03 Avaya Inc. Clock management between two end points
US8041773B2 (en) 2007-09-24 2011-10-18 The Research Foundation Of State University Of New York Automatic clustering for self-organizing grids
US8280905B2 (en) 2007-12-21 2012-10-02 Georgetown University Automated forensic document signatures
US9451036B2 (en) 2008-01-15 2016-09-20 Alcatel Lucent Method and apparatus for fingerprinting systems and operating systems in a network
US8474043B2 (en) 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8352870B2 (en) 2008-04-28 2013-01-08 Microsoft Corporation Conflict resolution
US8336099B2 (en) 2008-05-08 2012-12-18 International Business Machines Corporation Methods, hardware products, and computer program products for implementing introspection data comparison utilizing hypervisor guest introspection data
JP5011234B2 (ja) 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
EP2166725A1 (en) 2008-08-28 2010-03-24 Alcatel, Lucent Control of delivery of digital content, and an apparatus therefor
US8180892B2 (en) 2008-12-22 2012-05-15 Kindsight Inc. Apparatus and method for multi-user NAT session identification and tracking
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014531652A (ja) * 2011-09-07 2014-11-27 マカフィー, インコーポレイテッド コンピュータシステムセキュリティダッシュボード
JP2016095867A (ja) * 2011-09-07 2016-05-26 マカフィー, インコーポレイテッド コンピュータシステムセキュリティダッシュボード
JP2015501466A (ja) * 2011-10-04 2015-01-15 マイクロソフト コーポレーション データ・エンティティの自動スコーピング
US9852121B2 (en) 2011-10-04 2017-12-26 Microsoft Technology Licensing, Llc Automatic relationship detection for spreadsheet data items

Also Published As

Publication number Publication date
EP1949242B1 (en) 2020-04-08
US8289882B2 (en) 2012-10-16
US7733803B2 (en) 2010-06-08
WO2007058946A3 (en) 2007-12-06
US20080198856A1 (en) 2008-08-21
EP1949242A4 (en) 2011-08-17
CA2629719A1 (en) 2007-05-24
US20100205675A1 (en) 2010-08-12
WO2007058946A2 (en) 2007-05-24
EP1949242A2 (en) 2008-07-30

Similar Documents

Publication Publication Date Title
JP2009516265A (ja) ネットワークマップ属性を修正する方法およびシステム
US7467205B1 (en) Systems and methods for identifying the client applications of a network
US7801980B1 (en) Systems and methods for determining characteristics of a network
US7627891B2 (en) Network audit and policy assurance system
US9094434B2 (en) System and method for automated policy audit and remediation management
US9043461B2 (en) Firewall event reduction for rule use counting
US8631496B2 (en) Computer network intrusion detection
US8543710B2 (en) Method and system for controlling network access
US10110437B2 (en) Method and apparatus to detect unidentified inventory
JP4493654B2 (ja) ネットワーク間の通信のためのセキュリティ・チェック・プログラム
JP2009516266A (ja) ネットワーク発見情報を用いた侵入イベント相関方法およびシステム
JP2004304752A (ja) 攻撃防御システムおよび攻撃防御方法
JP2001237895A (ja) ネットワークゲートウェイの解析方法及び装置
US20110010633A1 (en) Systems and methods for monitoring and management of network security systems
JP2019097133A (ja) 通信監視システム及び通信監視方法
US20070107041A1 (en) Information processor, method and program for controlling incident response device
JP5153779B2 (ja) 1つまたは複数のパケット・ネットワーク内で望まれないトラフィックの告発をオーバーライドする方法および装置
Riordan et al. Building and deploying billy goat, a worm detection system
Cisco Cisco Secure Intrusion Detection System Signature Engines Version 3.0
JP3944214B2 (ja) デバイス管理システム、装置および方法
JP4710889B2 (ja) 攻撃パケット対策システム、攻撃パケット対策方法、攻撃パケット対策装置、及び攻撃パケット対策プログラム
CN117499267A (zh) 网络设备的资产测绘方法、设备及存储介质
Riordan et al. Billy Goat, an Accurate Worm-Detection System (Revised Version)

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20100202