JP2011138505A - セキュリティイベントを管理する方法及び装置 - Google Patents

セキュリティイベントを管理する方法及び装置 Download PDF

Info

Publication number
JP2011138505A
JP2011138505A JP2010282624A JP2010282624A JP2011138505A JP 2011138505 A JP2011138505 A JP 2011138505A JP 2010282624 A JP2010282624 A JP 2010282624A JP 2010282624 A JP2010282624 A JP 2010282624A JP 2011138505 A JP2011138505 A JP 2011138505A
Authority
JP
Japan
Prior art keywords
security event
data
security
computing device
mobile computing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2010282624A
Other languages
English (en)
Other versions
JP5350356B2 (ja
Inventor
Stacy P Purcell
ピー. パーセル ステイシー
Alan D Ross
ディー. ロス アラン
Jim S Baca
エス. バカ ジム
Selim Aissi
アッシ セリム
Tobias M Kohlenberg
エム. コーレンバーグ トビアス
Dennis M Morgan
エム. モーガン デニス
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Intel Corp
Original Assignee
Intel Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Intel Corp filed Critical Intel Corp
Publication of JP2011138505A publication Critical patent/JP2011138505A/ja
Application granted granted Critical
Publication of JP5350356B2 publication Critical patent/JP5350356B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

【課題】効果的にセキュリティイベントを管理する方法及び装置を提供すること。
【解決手段】本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
【選択図】図1

Description

本発明は、セキュリティイベントを管理する方法及び装置に関する。
セキュリティイベント管理(SEM)及びセキュリティ情報管理(SIM)システムは、典型的には、複数のセキュリティイベントソースからセキュリティイベントデータを収集、集約及び相関させるよう構成される企業レベルサーバである。標準的なSEM/SIMシステムでは、ユーザのクライアントコンピュータは、レポート、ログ及び他のセキュリティ関連データをSEM/SIMサーバに定期的に送信するよう構成される。SEM/SIMサーバは、セキュリティイベントのレポートを作成するため、クライアントコンピュータやネットワークルータ、ファイアウォール、サービスなどの他の企業装置及びソースから受信するセキュリティデータを集約及び相関させる。典型的には、SEM/SIMサーバは、パッシブであり、セキュリティイベントに自動的には応答しない。セキュリティスタッフが、セキュリティイベントのレポートを確認し、適切なアクションをとる。
従来、企業のセキュリティの境界は、計算装置の大部分が固定されたものであったため、企業の物理的境界(すなわち、企業のある建物など)に関連付けされた。しかしながら、計算装置がより可動的になるに従って、企業のセキュリティ境界は拡大し、いくつかのケースでは完全になくなっている。また、従来のSEM/SIMサーバなどの中央配置されたセキュリティシステムは、企業のセキュリティを全体的に維持しようとし、特に多数のモバイル計算装置に対するセキュリティを維持しようとするものである。
上記問題点に鑑み、本発明の課題は、効果的にセキュリティイベントを管理する方法及び装置を提供することである。
上記課題を解決するため、本発明の一特徴は、モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップとを有する方法に関する。
本発明によると、効果的にセキュリティイベントを管理する方法及び装置を提供することができる。
図1は、モバイル計算装置上で生成されるセキュリティイベントを管理するモバイル計算装置の一実施例の簡単化されたブロック図である。 図2は、図1のモバイル計算装置のソフトウェア環境の簡単化されたブロック図である。 図3は、図1のモバイル計算装置により実行されるセキュリティイベントを管理する方法の一実施例の簡単化されたフロー図である。 図4は、図3の方法に私用されるセキュリティイベントデータを解析する方法の一実施例の簡単化されたフロー図である。
以下、図面に基づいて本発明の実施の形態を説明する。
本開示のコンセプトは様々な改良及び代替的な形態の影響を受けるが、各実施例が図面により図示され、詳細に説明される。しかしながら、本開示のコンセプトを開示された特定の形態に限定することを意図したものでなく、添付した請求項により規定されるような本発明の趣旨及び範囲内に属するすべての改良、均等及び代替をカバーするものである。
以下の説明では、ロジック実現形態、オペコードなどの多数の具体的詳細は、オペランド、リソース分割/共有/複製実現形態、システムコンポーネントのタイプ及び相互関係を特定するものであり、本開示のより完全な理解を提供するため、ロジック分割/統合選択が提供されてもよい。しかしながら、本開示の実施例はこのような特定の詳細なしに実現可能であることが当業者に理解されるであろう。他の例では、制御構成、ゲートレベル回路及び完全なソフトウェア命令シーケンスは、本開示を不明りょうにしないように詳細には示されない。当業者は、この開示によって過度な実験なしに適切な機能を実現することが可能であろう。
明細書における“一実施例”、“実施例”、“一例となる実施例”などの用語は、開示された実施例が特定の機能、構成又は特徴を有することを示すが、すべての実施例が、特定の機能、構成又は特徴を必ずしも有する必要はない。さらに、このような用語は必ずしも同一の実施例を参照しているとは限らない。さらに、特定の機能、構成又は特徴が実施例に関連して説明されるとき、明示されているか否かにかかわらず、このような機能、構成又は特徴を他の実施例に関して実現することは当業者の知識の範囲内である。
本開示のいくつかの実施例は、ハードウェア、ファームウェア、マイクロコード、CPU(Central Processing Unit)命令、ソフトウェア又はこれらの何れかの組み合わせにより実現されてもよい。コンピュータシステムにおいて実現される本開示の実施例は、コンポーネント間の1以上のバスベースインターコネクト及び/又はコンポーネント間の1以上のポイント・ツー・ポイントインターコネクトを有するものであってもよい。本発明の実施例はまた、1以上のプロセッサにより読み込まれ実行される、マシーン可読な有形の媒体に格納される命令として実現されてもよい。マシーン可読な有形媒体は、マシーン(計算装置など)により可読な形態により情報を格納又は送信するための何れかの有形な機構を有するものであってもよい。例えば、マシーン可読な有形媒体は、ROM(Read Only Memory)、RAM(Random Access Memory)、磁気ディスク記憶媒体、光記憶媒体、フラッシュメモリデバイス及び他の有形媒体を含むものであってもよい。
図1を参照して、自装置100上で生成されるセキュリティイベントを管理するよう構成されるモバイル計算装置100は、セキュリティイベントマネージャ(SEM)102と、プロセッサ104と、チップセット106と、メモリ108とを有する。計算装置100は、ここに記載される機能を実行可能な何れかのタイプのポータブルな計算装置として実現されてもよい。例えば、いくつかの実施例では、計算装置100は、携帯電話、PDA(Personal Data Assistant)、携帯コンピュータ、ラップトップコンピュータ、モバイルインターネットデバイス(MID)、又は他のコンピュータベースのモバイル装置として実現される。
セキュリティイベントマネージャ102は、ここでより詳細に説明されるモバイル計算装置100上で生成されるセキュリティイベントを収集、正規化、集約、関連付け及び応答するため協調するハードウェアコンポーネント、ファームウェアコンポーネント及びソフトウェアコンポーネントを含む複数のコンポーネントとして実現されてもよい。また、セキュリティイベントマネージャ102は、装置100のプロセッサ104から独立した専用のハードウェアプロセッサ及び/又は他の回路を有するものであってもよい。さらに、セキュリティイベントマネージャ102は、セキュア化された環境においてセキュリティイベントマネージャを初期化又は“ブート”するよう構成されるファームウェア命令を有してもよい。一部の実施例では、セキュリティイベントマネージャ102は、セキュリティを向上させるため、メインメモリ108から独立したメモリ(図示せず)を有するか、又は通信接続されてもよい。
プロセッサ104は、プロセッサコア110を有するシングルコアプロセッサとして実現される。しかしながら、他の実施例では、プロセッサ104は、複数のプロセッサコア110を有するマルチコアプロセッサとして実現されてもよい。さらに、計算装置100は、1以上のプロセッサコア110を有するさらなるプロセッサ104を有してもよい。プロセッサ104は、いくつかの信号パス112を介しチップセット106に通信接続される。信号パス112は、プロセッサ104とチップセット106との間の通信を実行可能な何れかのタイプの信号パスとして実現されてもよい。例えば、信号パス112は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置などとして実現されてもよい。
メモリ108は、DRAM(Dynamic RAM)、SDRAM(Synchronous DRAM)、DDR(Double−Data Rate) SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。さらに、図1では1つのメモリデバイス108しか示されていないが、他の実施例では、計算装置100はさらなるメモリデバイス108を有してもよい。
チップセット106は、メモリコントローラハブ(MCH)、すなわち、ノースブリッジと、入出力コントローラハブ(ICH)、すなわち、サウスブリッジと、ファームウェアデバイスとを有する。このような実施例では、ファームウェアデバイスは、BIOS(Basic Input/Output System)データ、命令及び/又は他の情報を格納するためのメモリストレージデバイスとして実現されてもよい。チップセット106は、いくつかの信号パス114を介しメモリ108に通信接続される。信号パス112と同様に、信号パス114は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、チップセット106とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
他の実施例では、チップセット106は、プラットフォームコントローラハブ(PCH)として実現されてもよい。このような実施例では、メモリコントローラハブ(MCH)は、プロセッサに搭載されるか、又は関連付けされてもよい。さらに、このような実施例では、メモリ108は、いくつかの信号パス116を介しチップセット106(すなわち、プラットフォームコントローラハブ)でなくプロセッサ104に通信接続されてもよい。信号パス112と同様に、信号パス116は、任意数のバスパス、プリント回路ボードトレース、配線、ビア、仲介装置及び/又は他のインターコネクトなど、プロセッサ104とメモリデバイス108との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
さらなる他の実施例では、計算装置100の2以上のコンポーネントが、単一の集積回路に搭載されてもよい。例えば、いくつかの実施例では、プロセッサ104と、メモリコントローラハブ(MCH)と、入出力コントローラハブ(ICH)と、メモリ108の各部分と、装置100の他のコンポーネントとが、システム・オン・チップ(SoC)集積回路に搭載されてもよい。さらに又は代わりに、このようなコンポーネントの一部がシステム・イン・パッケージ(SiP)集積回路などに搭載されてもよい。また、計算装置100の物理的なレイアウトは図1に図示された実施例に限定されるものでないことが理解されるべきである。
一部の実施例では、計算装置100は、データストレージデバイス118、1以上の周辺デバイス120及び通信回路122を有する。このような実施例では、チップセット106はまた、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102と信号パス124を介し通信接続される。再び、信号パス112と同様に、信号パス124は、任意数の配線、プリント回路ボードトレース、ビア、バス、仲介装置など、チップセット106と、データストレージデバイス118、周辺デバイス120、通信回路122及びセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。
データストレージデバイス118は、メモリデバイス、回路、メモリカード、ハードディスクドライブ、ソリッドステートドライブ、他のデータストレージデバイスなど、データの短期又は長期格納のために構成される何れかの個数及びタイプのデバイスとして実現される。周辺デバイス120は、入力デバイス、出力デバイス及び他のインタフェースデバイスを含む何れかの個数の周辺デバイスを含むものであってもよい。例えば、周辺デバイス120は、モバイル計算装置100のディスプレイスクリーンとキーボードとを有してもよい。周辺デバイス120に含まれるデバイスは、例えば、計算装置の意図した利用などに依存するものであってもよい。
通信回路122は、モバイル計算装置100と1以上のリモートデバイスとの間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。例えば、通信回路122は、ネットワーク160を介し企業のセキュリティイベント管理(SEM)サーバ180との有線又は無線通信を実現するための1以上の有線又は無線ネットワークインタフェースを有してもよい。ネットワーク160は、ローカルエリアネットワーク、ワイドエリアネットワーク、公衆に利用可能なグローバルネットワーク(インターネットなど)又は他のネットワークなどの何れかのタイプの有線及び/又は無線ネットワークとして実現されてもよい。さらに、ネットワーク160は、ルータ、スイッチ、仲介装置など、モバイル計算装置100と企業のSEMサーバ180との間の通信を実現するための何れかの個数のさらなるデバイスを有してもよい。
いくつかの実施例では、モバイル計算装置100はまた、信号パス132を介しセキュリティイベントマネージャ102に通信接続される1以上のセンサ130を有する。信号パス112と同様に、信号パス132は、センサ130とセキュリティイベントマネージャ102との間の通信を実現可能な何れかのタイプの信号パスとして実現されてもよい。センサ130は、モバイル計算装置100のユーザ又は計算装置100自体の状況の1以上のパラメータを決定するよう構成される何れかのタイプのセンサ又はセンサネットワークとして実現されてもよい。例えば、センサ130は、ユーザの位置を決定する位置センサ(GPSセンサなど)、ユーザの生体データを決定する生体センサ、温度センサ、高度センサ、無線識別情報(RFID)、送信機及び/又は受信機、データスキャナ又はリーダ、及び/又はユーザ(又は計算装置100自体)の状況のパラメータを示すデータを検知又は収集するよう構成された他のセンサ及び/又はデバイスとして実現されてもよい。さらに、計算装置100は説明の簡単化のため図1に示されない他のコンポーネント、サブコンポーネント及びデバイスを有してもよいことが理解されるべきである。
企業SEMサーバ180は、何れかのタイプの企業レベルSEMシステム、SIMシステム又はSEIM(Security Event and Information Management)システムとして実現される。サーバ180は、リモートクライアント及び/又は他のセキュリティイベントソースからセキュリティデータを受信し、受信したセキュリティデータを集約し、セキュリティスタッフにより確認のためにセキュリティデータを関連付けるよう構成される1以上のコンピュータサーバマシーンを有してもよい。
企業SEMサーバ180は、プロセッサ182と、メモリ184と、通信回路186とを有する。プロセッサ182は、シングル又はマルチコアプロセッサとして実現される。さらに、企業SEMサーバ180は、1以上のプロセッサコアを有する何れかの個数のさらなるプロセッサ182を有してもよい。メモリ184は、DRAM、SDRAM、DDR SDRAM及び/又は他の揮発性メモリデバイスなどを含む1以上のメモリデバイス又はデータストレージとして実現されてもよい。図1には1つのメモリデバイス184しか示されていないが、他の実施例では、企業SEMサーバ180はさらなるメモリデバイス184を有してもよい。通信回路186は、モバイル計算装置100の通信回路122と同様であってもよく、ネットワーク160を介し企業SEMサーバ180とモバイル計算装置100との間の通信を可能にするための何れかの個数のデバイス及び回路として実現されてもよい。さらに、企業SEMサーバ180は、説明のために図1に示されていない企業SEMサーバに典型的に設けられている他のコンポーネント、サブコンポーネント及びデバイスを有するものであってもよいことが理解されるべきである。
図2を参照して、モバイル計算装置100は、企業SEMサーバ180と通信する必要なくモバイル計算装置100のセキュリティイベント管理を提供するためのローカルセキュリティイベントマネージャ102を有する。上述されるように、セキュリティイベントマネージャ102は、ハードウェア、ファームウェア及び/又はソフトウェアモジュール及びデバイスとして実現される。セキュリティイベントマネージャ102は、モバイル計算装置の1以上のセキュリティイベントソース200からセキュリティイベントデータを収集又は受信するよう構成される。
セキュリティイベントソース200は、セキュリティイベントデータを生成する何れかのファームウェア、ソフトウェア又はハードウェアとして実現されてもよい。例えば、セキュリティイベントソース200は、プロセッサファームウェア、周辺デバイスにより実行されるファームウェア、又は計算装置100の1以上のコンポーネントにより実行される他のファームウェアなど、モバイル計算装置100の1以上のデバイスにより実行されるファームウェア202として実現されてもよい。さらに、セキュリティイベントソース200は、ログ、アクティビティレポートなどのセキュリティイベントデータを生成する1以上のオペレーティングシステム204を有してもよい。セキュリティイベントソース200はさらに、オペレーティングシステム204上で実行されるソフトウェアアプリケーション206を有してもよい。モバイル計算装置100がセンサ130を有する実施例では、セキュリティイベントソース200はまた、センサ130により生成されるセンサデータ208を有する。
セキュリティイベントソース200により生成されるセキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。ソース200からセキュリティイベントデータを受信することに応答して、セキュリティイベントマネージャ102は、以下で詳細に説明されるように、セキュリティイベントが発生したか判断するため、セキュリティイベントデータを正規化、集約及び関連付けるよう構成される。セキュリティイベントが発生したと判断された場合、セキュリティイベントマネージャ102は、このようなセキュリティイベントにアクティブに応答し、及び/又はモバイル計算装置100のユーザインタフェースを介しユーザに情報を提供するよう構成される。
図示された実施例では、セキュリティイベントマネージャ102は、正規化エンジン210と、集約エンジン212と、相関エンジン214とを有する。各エンジン210,212,214は、独立したファームウェア又はソフトウェアモジュールとして実現されてもよいし、又はセキュリティイベントマネージャの単一のファームウェア及び/又はソフトウェアモジュールに搭載されてもよい。上述されるように、セキュリティイベントマネージャ210は、セキュリティイベントソース200からセキュリティイベントデータを受信する。正規化エンジンは、セキュリティイベントソース200から受信するセキュリティイベントデータを正規化するよう構成される。これを実行するため、正規化エンジン210はセキュリティイベントデータを共通する又は所定のデータフォーマットに変換する。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定されてもよい。セキュリティイベントデータが共通のフォーマットに変換されるため、セキュリティイベントデータが解析される効率性及びスピードが向上する。
集約エンジン212は、解析対象の全体的なデータ量を減少させるため、正規化されたセキュリティイベントデータを集約するよう構成される。このようにして、集約エンジン212は、セキュリティイベントデータを概略化する。例えば、セキュリティイベントデータがあるエラーの1000個の別個の事例を含む場合、集約エンジン212は、当該タイプの1000個のエラーが解析タイムウィンドウ内で受信されたことを示す1つのエントリとしてこのようなセキュリティイベントデータを表現するよう構成されてもよい。さらに又は代わりに、集約エンジン212は、上記例において、1000個のエラー事例が単一のエラー事例として表されるように、エラーの1000個の事例を受信したことから生成又は規定される定量的な閾値に基づき、セキュリティイベントデータを表すよう構成されてもよい。
相関エンジン214は、セキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付けるよう構成される。これを実行するため、相関エンジン214は、セキュリティポリシーデータベース220に格納される所定のセキュリティポリシーに基づきセキュリティイベントデータを関連付けする。セキュリティポリシーは、セキュリティイベントデータからセキュリティイベントを特定するのに利用されるセキュリティイベントルールセットを規定する。セキュリティイベントルールは、定量的、時間的、定性的、合成的及び/又は他の基準などのセキュリティイベントを決定するのに利用可能な何れかのタイプの基準に基づくフォーマットを有してもよい。例えば、1つのセキュリティイベントルールは、イベントA及びBが所定の期間内に互いに発生する場合、セキュリティイベントの発生を示すものであってもよい。他のセキュリティイベントルールは、イベントCの個数が所定の閾値に達した場合、セキュリティイベントを示すようにしてもよい。さらに、他の例示的なセキュリティイベントルールは、イベントDがこれまでに発生している場合、セキュリティイベントを示すようにしてもよい。また、セキュリティポリシーは、セキュリティイベントの発生が決定される各種形式を有する何れかの個数のセキュリティポリシーイベントを含むものであってもよい。
いくつかの実施例では、相関エンジン214は、セキュリティポリシーとモバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとに基づき、セキュリティイベントデータを関連付けるよう構成される。コンテクストデータは、モバイル計算装置100及び/又はユーザのコンテクスト(context)、すなわち、状況を規定又は特定する何れかのタイプのデータを含むものであってもよい。例えば、コンテクストデータは、モバイル計算装置100の位置、ユーザにより実行されているアクティビティ、環境的側面、ユーザの生体データ、履歴データ及び/又は他のコンテクストデータを規定するものであってもよい。このようなコンテクストデータは、様々な程度の仕様を有するものであってもよい。例えば、一部の実施例では、モバイル計算装置100の位置は、装置100がある都市、装置100がある建物、又は装置100のGPS座標として規定されてもよい。コンテクストデータのタイプと仕様との関係なく、このようなデータは、セキュリティイベントの発生を決定するため、及び/又は以下で詳細に説明されるようなこのようなイベントへの応答の仕方を決定するため、セキュリティポリシーと共に利用されてもよい。例えば、イベントA及びBの発生しか、モバイル計算装置100がある位置にある場合、セキュリティイベントを規定しないようにしてもよい。
モバイル計算装置100はまた、セキュアなデータベース又は他のメモリストレージ位置に格納される高優先度データ224を有してもよい。このような高優先度データは、特に機密データとして実現されてもよい。高優先度データをセキュリティを向上させるため、セキュリティイベントマネージャ102は、独立したセキュアなバーチャルコンテナに高優先度データを格納するよう構成される。例えば、高優先度データは、セキュアなメモリ位置に格納されてもよい。このようなバーチャルコンテナは、モバイル計算装置100との間の機密データの伝送を可能にする。
いくつかの実施例では、セキュリティイベントマネージャ102は、モバイル計算装置100上に表示されるユーザインタフェースとやりとりするよう構成されてもよい。例えば、セキュリティイベントマネージャ102は、ユーザにセキュリティイベントデータに基づく警告又は更新を表示するようにしてもよい。さらに、ユーザインタフェース230は、ユーザ入力を要求するのに利用されてもよい。例えば、ユーザインタフェース230は、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを更新するためユーザにより利用されてもよい。
上述されるように、いくつかの実施例では、モバイル計算装置100は、ネットワーク160を介し企業SEMサーバ180と通信する。いくつかの実施例では、企業SEMサーバ180は、標準的な企業レベルのSEMモジュール、SIMモジュール及び/又はSEIMモジュールとして実現される企業セキュリティイベントマネージャ250を有する。企業セキュリティイベントマネージャ250は、モバイル計算装置100などのリモート計算装置からセキュリティイベントデータを受信するよう構成される。このようなセキュリティイベントデータは、データベース252に格納される。使用するとき、企業セキュリティイベントマネージャ250は、セキュリティスタッフによる確認のため、各種リモート計算装置から受信されるセキュリティイベントデータを集約及び関連付けするよう構成される。
図3を参照して、モバイル計算装置100上で生成されるセキュリティイベントを管理する方法300は、セキュリティイベントマネージャ102が装置100上で開始されるブロック302から開始される。一部の実施例では、セキュリティイベントマネージャ102は、セキュアな環境において確立される。セキュリティイベントマネージャ102は、計算装置100に電源供給されると、自動的に起動するようにしてもよい。あるいは、他の実施例では、モバイル計算装置100のユーザは、セキュリティイベントマネージャ102を選択的に起動してもよい。さらに、一部の実施例では、セキュリティイベントマネージャ102は、ブロック302において、セキュリティポリシーデータベース220に格納されているセキュリティポリシー及び/又はコンテクストデータベース222に格納されているコンテクストデータを抽出するよう構成されてもよい。
ブロック304において、セキュリティイベントマネージャ102は、モバイル計算装置100の1以上のセキュリティイベントソース200により生成されるセキュリティイベントデータを収集又は受信する。上述されるように、セキュリティイベントデータは、セキュリティイベントの発生が決定される何れかのタイプのデータとして実現されてもよい。例えば、セキュリティイベントデータは、1以上のセキュリティイベントソース200から生成されるイベントログ、アクティビティレポート若しくはログ、エラーレポート/ログ及び/又は他のデータを含むものであってもよい。さらに、いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック306において、モバイル計算装置100のユーザのアクティビティをモニタ及び記録するようにしてもよい。このようなアクティビティログは、企業のRBAC(Role Based Access Control)を確保又はモニタするのに利用されてもよい。セキュリティイベントマネージャ102によりモニタ及びログされるアクティビティは、装置100のアプリケーション及びサービスに関する利用情報など、計算装置100上で実行される何れかのタイプのアクティビティを含むものであってもよい。
ブロック308では、セキュリティイベントマネージャ102は、計算装置100が企業環境内にあるか判断する。例えば、セキュリティイベントマネージャ102は、装置100が企業の物理的位置内(特定の部屋、建物又はエリアなど)にあるか判断してもよい。これを実行するため、セキュリティイベントマネージャ102は、コンテクストデータベース222に格納されているコンテクストデータを利用する。このような決定の仕様は、実現形態に応じて変更されてもよい。例えば、一部の実施例では、ブロック308において、セキュリティイベントマネージャ102は、装置100が物理的位置でなく企業SEMサーバ180に通信接続されているか判断するよう構成される。
セキュリティイベントマネージャ102が、ブロック308においてモバイル計算装置100が企業環境内にあると判断した場合、セキュリティイベントマネージャ102は、ブロック310において、セキュリティイベントデータを企業SEMサーバ180に送信する。一部の実施例では、セキュリティイベントマネージャ102は、ブロック310において、“未処理の”セキュリティイベントデータ(すなわち、セキュリティイベントソース200から受信されるようなセキュリティイベントデータ)をサーバ180に送信してもよい。しかしながら、他の実施例では、セキュリティイベントマネージャ102は、ブロック310において、集約及び正規化されたセキュリティイベントデータをサーバ180に送信するよう構成される。さらに、ブロック312において、セキュリティイベントマネージャ102は、何れかのアクティビティログ又は他のRBACデータをサーバ180に送信する。このようにして、セキュリティイベントデータと多数のリモート装置からの他の情報とが、企業SEMサーバ180により解析される。方法300は、以降にブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントマネージャ102により受信される。
ブロック308に戻って、セキュリティイベントマネージャ102が、モバイル計算装置100が企業環境内にないと判断した場合、ブロック314において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析するか判断する。セキュリティイベントマネージャ102は、定期的に(データが毎時解析される)又は1以上のトリガイベントに基づき(所定量のセキュリティイベントデータが受信されるなど)、セキュリティイベントデータを解析するか判断する。このようなトリガイベントは、例えば、セキュリティポリシーデータベース220に格納されているセキュリティポリシーなどによって規定されてもよい。さらに、他の実施例では、セキュリティイベントマネージャ102は、実質的に連続的にセキュリティイベントソース200から受信されるセキュリティイベントデータを解析するようにしてもよい。このような実施例では、ブロック314はスキップされてもよいし、又は方法300に含まれなくてもよい。
セキュリティイベントマネージャが、セキュリティイベントデータが確認されるべきであると判断した場合、ブロック316において、セキュリティイベントマネージャ102は、セキュリティイベントデータを解析する。これを実行するため、セキュリティイベントマネージャ102は、図4に示されるようなセキュリティイベントデータを解析するための方法400を実行する。方法400は、セキュリティイベントデータが正規化されるブロック402から開始される。上述されるように、セキュリティイベントデータは、セキュリティイベントデータを共通する又は所定のデータフォーマットに変換するため、正規化エンジン210により正規化される。正規化エンジン210により用いられるデータフォーマットは、セキュリティイベントマネージャ102の実現形態及び/又は他の基準に基づき決定される。
ブロック404において、セキュリティイベントマネージャ102の集約エンジン212は、解析対象のデータ量全体が低減されるように、正規化されたセキュリティイベントデータを概略化するため、正規化されたセキュリティイベントデータを集約する。集約エンジン212は、図2に関して上述されたような定量的閾値などに基づくものなど何れか適切な方法を用いてセキュリティイベントデータを集約する。方法300のブロック316において、正規化及び集約処理がセキュリティイベントデータの解析において実現されるが、このような正規化及び集約処理は、他の実施例では方法300の他の処理において実行されてもよい。例えば、一部の実施例では、セキュリティイベントデータは、セキュリティイベントマネージャ102による受信に応答して、定期的に又は所定のトリガイベントに基づき正規化及び集約化される。
方法400のブロック406を参照して、セキュリティイベントマネージャ102の相関エンジン214は、その後にセキュリティイベントの発生を決定するため、集約されたセキュリティイベントデータを関連付ける。上述されるように、相関エンジン214は、セキュリティポリシーデータベース220に格納されてるセキュリティポリシーに基づきセキュリティイベントデータを関連付ける。さらに、一部の実施例では、ブロック408において、相関エンジン214は、モバイル計算装置100のコンテクストデータベース222に格納されているコンテクストデータとセキュリティポリシーとに基づきセキュリティイベントデータを関連付けるよう構成される。また、セキュリティイベントマネージャ102は、コンテクストデータベース222からコンテクストデータを抽出し、当該データとセキュリティポリシーのセキュリティイベントルールとを用いて、セキュリティイベントデータを関連付け、これによりセキュリティイベントが発生したか判断するよう構成される。
いくつかの実施例では、セキュリティイベントマネージャ102は、ブロック410において、セキュリティイベントデータに関するさらなる情報のために、ユーザ及び/又は企業SEMサーバ180を促すよう構成されてもよい。このようなさらなる情報はさらに、セキュリティイベントが発生したか判断するのに利用されてもよい。例えば、あるイベントが1日のある時間に一貫して受信される場合、セキュリティイベントマネージャ102は、このようなイベントがセキュリティの脅威であるか、又は許容されるべきか判断するようユーザを促すものであってもよい。さらに、セキュリティイベントマネージャ102は、同様の又は追加的な情報を取得するため、サーバ180と通信してもよい。
ブロック412において、セキュリティイベントマネージャ102は、ブロック410において受信した追加的な情報に基づき、セキュリティポリシーを更新するよう構成される。例えば、ユーザが、未知のイベントがセキュリティの脅威でないと判断した場合、セキュリティポリシーは、当該時間にそれが発生したとき、そのイベントを無視するよう更新されてもよい(しかしながら、異なる時間にそれが発生した場合には、当該イベントをセキュリティイベントとして分類してもよい)。このようにして、セキュリティポリシー及びセキュリティイベントデータの相関とは、モバイル計算装置100のセキュリティを向上させるため、経時的に変更されてもよい。
図3の方法に戻って、ブロック316においてセキュリティイベントデータを解析した後、セキュリティイベントマネージャ102は、セキュリティイベントがブロック318において発生したか判断する。このような判定は、上述されるように、セキュリティイベントソース200から受信されるセキュリティイベントデータの正規化、集約及び関連付けに基づく。セキュリティイベントが発生していない場合、方法300はブロック304にループバックし、さらなるセキュリティイベントデータがセキュリティイベントソースから受信される。しかしながら、セキュリティイベントマネージャが、セキュリティイベントが発生したと判断した場合、ブロック320において、セキュリティイベントマネージャ102は、セキュリティイベントに応答する。セキュリティイベントマネージャ102は、セキュリティイベントが発生したという判断に応答して、セキュリティイベントの無視、モバイル計算装置100の接続状態の変更、ソフトウェアアプリケーションへのアクセスの変更、モバイル計算装置100のデータフィルタの変更、高優先度データ224などのデータへのアクセスの拒否、モバイル計算装置100のリブート、モバイル計算装置100のオフ、モバイル計算装置100上で実行されるソフトウェアアプリケーション又はサービスの隔離及び/又は1以上の何れかさらなるアクションを含む1以上のアクションを実行する。その後、セキュリティイベントに応答して行われるアクションに応じて、方法300は、さらなるセキュリティイベントデータがセキュリティイベントソース200から受信されるブロック304にループバックする。
本開示が図面と説明により詳細に図示及び説明されたが、このような図示及び説明は、単なる一例であって、限定的なものとみなされるべきでなく、単なる例示的な実施例が図示及び説明され、本開示の趣旨の範囲内のすべての変更及び改良が保護されることが所望されることが理解されるべきである。
以上、本発明の実施例について詳述したが、本発明は上述した特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。
100 モバイル計算装置
160 ネットワーク
180 企業セキュリティイベント管理サーバ

Claims (24)

  1. モバイル計算装置上にセキュリティイベントマネージャを確立するステップと、
    前記セキュリティイベントマネージャによって、セキュリティイベントの発生を決定するためのセキュリティイベントルールセットを規定するセキュリティポリシーデータを抽出するステップと、
    前記セキュリティイベントマネージャによって、前記モバイル計算装置の少なくとも1つのセキュリティイベントソースから生成されるセキュリティイベントデータを受信するステップと、
    前記セキュリティイベントマネージャによって、前記セキュリティイベントデータと前記セキュリティポリシーデータとに基づき、セキュリティイベントの発生を決定するステップと、
    前記セキュリティイベントマネージャによって、前記セキュリティイベントに応答するステップと、
    を有する方法。
  2. 前記セキュリティイベントマネージャを確立するステップは、セキュアなブート環境において前記セキュリティイベントマネージャを確立することからなる、請求項1記載の方法。
  3. 前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
  4. 前記セキュリティイベントデータを受信するステップは、前記モバイル計算装置のファームウェア、前記モバイル計算装置のオペレーティングシステム及び前記モバイル計算装置上で実行されるソフトウェアアプリケーションの少なくとも1つから生成されるセキュリティイベントデータを受信することからなる、請求項1記載の方法。
  5. 前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを所定のデータフォーマットに正規化することを含む、請求項1記載の方法。
  6. 前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約することを含む、請求項1記載の方法。
  7. 前記セキュリティイベントの発生を決定するステップは、前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
  8. 前記セキュリティイベントの発生を決定するステップは、前記モバイル計算装置に関するコンテクストデータと前記セキュリティポリシーとに基づき、セキュリティイベントの発生を決定するため、前記セキュリティイベントデータを関連付ける、請求項1記載の方法。
  9. 前記コンテクストデータは、前記モバイル計算装置のユーザの位置、前記ユーザのアクティビティ、前記ユーザがいる環境の側面及び前記ユーザに関する生体データの少なくとも1つを示すデータを有する、請求項8記載の方法。
  10. 前記セキュリティイベントの発生を決定するステップは、
    所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントデータを正規化するステップと、
    前記正規化されたセキュリティイベントデータを概略する集約されたセキュリティイベントデータを生成するため、前記正規化されたセキュリティイベントデータを集約するステップと、
    前記セキュリティポリシーデータに基づきセキュリティイベントの発生を決定するため、前記集約されたセキュリティイベントデータを関連付けるステップと、
    を含む、請求項1記載の方法。
  11. 前記セキュリティイベントマネージャによって、前記モバイル計算装置上に格納されているコンテクストデータベースからコンテクストデータを抽出するステップをさらに有し、
    前記セキュリティイベントの発生を決定するステップは、前記セキュリティイベントデータと前記コンテクストデータとに基づき、セキュリティイベントの発生を決定する、請求項1記載の方法。
  12. 前記セキュリティイベントに応答するステップは、前記モバイル計算装置の接続状態の変更、前記モバイル計算装置上のソフトウェアアプリケーションへのアクセスの変更、前記セキュリティイベントマネージャのイベントデータフィルタの変更、データへのアクセスの拒絶、前記モバイル計算装置のリブート、前記モバイル計算装置の電力状態の変更、及び前記モバイル計算装置上で実行されるソフトウェアアプリケーション又はサービスの隔離の前記モバイル計算装置上のアクションの少なくとも1つを実行することを含む、請求項1記載の方法。
  13. 前記モバイル計算装置のセンサから生成されるセンサデータを受信するステップと、
    前記モバイル計算装置上に格納されているコンテクストデータベースを前記センサデータによって更新するステップと、
    をさらに有する、請求項1記載の方法。
  14. ユーザ入力データを受信するため、前記モバイル計算装置上にユーザインタフェースを表示するステップと、
    前記ユーザ入力データに基づき前記セキュリティポリシーデータを更新するステップと、
    をさらに有する、請求項1記載の方法。
  15. 企業セキュリティイベントマネージャサーバとのネットワーク通信接続を確立するステップと、
    前記モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信するステップと、
    をさらに有する、請求項1記載の方法。
  16. セキュリティイベントマネージャと、
    プロセッサと、
    複数の命令を格納したメモリデバイスと、
    を有するモバイル計算装置であって、
    前記複数の命令は、前記プロセッサによって実行されると、前記セキュリティイベントマネージャに、
    前記モバイル計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータを受信させ、
    セキュリティイベントの発生を決定するため、前記モバイル計算装置に格納され、前記セキュリティイベントの発生を決定するセキュリティイベントルールセットを規定するセキュリティポリシーに基づき、前記セキュリティイベントデータを関連付け、
    前記セキュリティポリシーに基づき前記セキュリティイベントに応答させるモバイル計算装置。
  17. 前記セキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記セキュリティポリシーの少なくとも1つのセキュリティイベントルールとの所定の関係を有することに応答して、前記セキュリティイベントの発生を決定することを含む、請求項16記載のモバイル計算装置。
  18. 前記複数の命令はさらに、前記セキュリティイベントマネージャに、
    前記セキュリティイベントデータを所定のデータフォーマットに正規化させ、
    前記セキュリティイベントデータを概略化するため、前記セキュリティイベントデータを集約させる、請求項16記載のモバイル計算装置。
  19. 前記複数の命令はさらに、前記セキュリティイベントマネージャに当該モバイル計算装置に格納されているコンテクストデータベースから当該モバイル計算装置のユーザに関するコンテクストデータを抽出させ、
    前記セキュリティイベントデータの関連付けは、セキュリティポリシーと前記コンテクストデータとに基づき前記セキュリティイベントデータを関連付ける、請求項16記載のモバイル計算装置。
  20. センサをさらに有し、
    前記複数の命令はさらに、前記セキュリティイベントマネージャに、
    前記センサから生成されたセンサデータを受信させ、
    前記センサデータによって当該モバイル計算装置に格納されているコンテクストデータベースを更新させる、請求項16記載のモバイル計算装置。
  21. 前記複数の命令はさらに、前記セキュリティイベントマネージャに、
    企業セキュリティイベントマネージャとのネットワーク通信接続を確立させ、
    当該モバイル計算装置から前記企業セキュリティイベントマネージャサーバに前記セキュリティイベントデータを送信させる、請求項16記載のモバイル計算装置。
  22. 複数の命令を有するマシーン可読な有形媒体であって、
    前記複数の命令は、実行されると計算装置に、
    セキュリティイベントマネージャを確立させ、
    前記計算装置の複数のセキュリティイベントソースから生成されるセキュリティイベントデータをセキュリティイベントマネージャに受信させ、
    所定のデータフォーマットを有する正規化されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記セキュリティイベントデータを正規化させ、
    前記正規化されたセキュリティイベントデータを概略化した集約されたセキュリティイベントデータを生成するため、前記セキュリティイベントマネージャを用いて前記正規化されたセキュリティイベントデータを集約させ、
    セキュリティイベントが発生したか判断するため、前記セキュリティイベントマネージャを用いて所定のセキュリティポリシーに基づき前記集約されたセキュリティイベントデータを関連付けさせる有形媒体。
  23. 前記集約されたセキュリティイベントデータの関連付けは、前記セキュリティイベントデータが前記所定のセキュリティポリシーにより規定される少なくとも1つのセキュリティイベントルールとの所定の関係を有するか判断することを含む、請求項22記載の有形媒体。
  24. 前記複数の命令はさらに、前記計算装置に前記所定のセキュリティポリシーに基づきセキュリティイベントに応答させる、請求項22記載の有形媒体。
JP2010282624A 2009-12-26 2010-12-20 セキュリティイベントを管理する方法及び装置 Expired - Fee Related JP5350356B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/647,447 US8806620B2 (en) 2009-12-26 2009-12-26 Method and device for managing security events
US12/647,447 2009-12-26

Publications (2)

Publication Number Publication Date
JP2011138505A true JP2011138505A (ja) 2011-07-14
JP5350356B2 JP5350356B2 (ja) 2013-11-27

Family

ID=43797666

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010282624A Expired - Fee Related JP5350356B2 (ja) 2009-12-26 2010-12-20 セキュリティイベントを管理する方法及び装置

Country Status (5)

Country Link
US (1) US8806620B2 (ja)
EP (1) EP2348448A1 (ja)
JP (1) JP5350356B2 (ja)
KR (2) KR20110074820A (ja)
CN (1) CN102110211B (ja)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8935743B2 (en) * 2011-01-27 2015-01-13 Sap Se Web service security cockpit
US8756301B2 (en) * 2011-05-26 2014-06-17 Monolith Technology Services, Inc. Systems and methods for organic knowledge base runbook automation
US20130074143A1 (en) * 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
KR20140054381A (ko) * 2011-09-30 2014-05-08 인텔 코오퍼레이션 패턴 매칭을 이용한 미디어 콘텐트 등급 관리
WO2013126052A1 (en) * 2012-02-22 2013-08-29 Hewlett-Packard Development Company, L.P. Computer infrastructure security management
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9208325B2 (en) * 2012-07-26 2015-12-08 International Business Machines Corporation Protecting data on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
WO2014126779A1 (en) * 2013-02-15 2014-08-21 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9516041B2 (en) * 2013-07-25 2016-12-06 Bank Of America Corporation Cyber security analytics architecture
US9829335B2 (en) * 2013-10-31 2017-11-28 Intel Corporation Virtual breadcrumbs for indoor location wayfinding
KR101836016B1 (ko) * 2013-11-06 2018-03-07 맥아피, 엘엘씨 콘텍스트 인지 네트워크 포렌식
CN103605597B (zh) * 2013-11-20 2017-01-18 中国科学院数据与通信保护研究教育中心 一种可配置的计算机保护系统及保护方法
KR102208696B1 (ko) * 2014-05-13 2021-01-28 삼성전자주식회사 센서 데이터 획득 방법 및 그 장치
US9426159B2 (en) 2014-09-26 2016-08-23 Intel Corporation Securing sensor data
US10103872B2 (en) 2014-09-26 2018-10-16 Intel Corporation Securing audio communications
US9600670B2 (en) * 2014-12-23 2017-03-21 Intel Corporation Provisioning location-based security policy
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US20160343237A1 (en) * 2015-05-22 2016-11-24 Google Inc. Systems and methods of integrating sensor output of a mobile device with a security system
WO2017034516A1 (en) * 2015-08-21 2017-03-02 Avaya Inc. Secure policy manager
KR102098064B1 (ko) * 2015-11-16 2020-04-07 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
EP3387814B1 (en) * 2015-12-11 2024-02-14 ServiceNow, Inc. Computer network threat assessment
US10003606B2 (en) * 2016-03-30 2018-06-19 Symantec Corporation Systems and methods for detecting security threats
US10003598B2 (en) 2016-04-15 2018-06-19 Bank Of America Corporation Model framework and system for cyber security services
US9832201B1 (en) 2016-05-16 2017-11-28 Bank Of America Corporation System for generation and reuse of resource-centric threat modeling templates and identifying controls for securing technology resources
US9948652B2 (en) 2016-05-16 2018-04-17 Bank Of America Corporation System for resource-centric threat modeling and identifying controls for securing technology resources
US10339309B1 (en) 2017-06-09 2019-07-02 Bank Of America Corporation System for identifying anomalies in an information system
US11212316B2 (en) * 2018-01-04 2021-12-28 Fortinet, Inc. Control maturity assessment in security operations environments
CN108108480A (zh) * 2018-01-04 2018-06-01 华北电力科学研究院有限责任公司 电力行业信息安全教育设备的动态更新的方法以及系统
US10936435B2 (en) * 2018-07-13 2021-03-02 EMC IP Holding Company LLC Automatically setting a dynamic backup policy in a cloud environment
US11336684B2 (en) * 2019-06-07 2022-05-17 Lookout, Inc. Mobile device security using a secure execution context
US11283693B2 (en) * 2019-08-12 2022-03-22 Microsoft Technology Licensing, Llc Summarized event data responsive to a query
CN111125711B (zh) * 2019-12-03 2021-05-07 支付宝(杭州)信息技术有限公司 安全任务处理方法、装置、电子设备及存储介质
US11443320B2 (en) 2020-01-07 2022-09-13 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event using a dashboard
US11238459B2 (en) 2020-01-07 2022-02-01 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event
US11477244B2 (en) * 2020-05-21 2022-10-18 Saudi Arabian Oil Company Method and system for data loss prevention management
US11755738B2 (en) * 2021-06-23 2023-09-12 Dell Products, L.P. Platform framework security state management

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004066085A2 (en) * 2003-01-23 2004-08-05 Verdasys, Inc. Managed distribution of digital assets
JP2005202664A (ja) * 2004-01-15 2005-07-28 Mitsubishi Electric Corp 不正アクセス統合対応システム
JP2007316821A (ja) * 2006-05-24 2007-12-06 Omron Corp セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法
JP2009053824A (ja) * 2007-08-24 2009-03-12 Mitsubishi Electric Corp 情報処理装置及びメッセージ認証方法及びプログラム
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム

Family Cites Families (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351306B1 (ko) 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법
US6947726B2 (en) * 2001-08-03 2005-09-20 The Boeing Company Network security architecture for a mobile network platform
DE60210670D1 (de) * 2001-10-25 2006-05-24 Gen Dynamics Gov Sys Corp Verfahren und system zur modellierung, analyse und anzeige von netzsicherheitsereignissen
US7171689B2 (en) 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
US7669237B2 (en) * 2002-08-27 2010-02-23 Trust Digital, Llc Enterprise-wide security system for computer devices
US20040054896A1 (en) 2002-09-12 2004-03-18 International Business Machines Corporation Event driven security objects
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
US7974416B2 (en) 2002-11-27 2011-07-05 Intel Corporation Providing a secure execution mode in a pre-boot environment
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7607169B1 (en) 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7603112B2 (en) * 2003-04-03 2009-10-13 Nokia Corporation System, mobile station, method and computer program product for managing context-related information
US7472422B1 (en) * 2003-09-10 2008-12-30 Symantec Corporation Security management system including feedback and control
US7207039B2 (en) 2003-12-24 2007-04-17 Intel Corporation Secure booting and provisioning
US20050183143A1 (en) * 2004-02-13 2005-08-18 Anderholm Eric J. Methods and systems for monitoring user, application or device activity
WO2006093917A2 (en) 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
GB2424141B (en) 2005-03-08 2009-04-22 Praesidium Technologies Ltd Communication system with distributed risk management
US8286254B2 (en) * 2005-11-16 2012-10-09 Cisco Technology, Inc. Behavioral learning for interactive user security
US7934253B2 (en) * 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
US8331904B2 (en) 2006-10-20 2012-12-11 Nokia Corporation Apparatus and a security node for use in determining security attacks
US20080307525A1 (en) * 2007-06-05 2008-12-11 Computer Associates Think, Inc. System and method for evaluating security events in the context of an organizational structure
US20090222876A1 (en) * 2008-02-28 2009-09-03 Maor Goldberg Positive multi-subsystems security monitoring (pms-sm)
US8359629B2 (en) * 2009-09-25 2013-01-22 Intel Corporation Method and device for controlling use of context information of a user

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2004066085A2 (en) * 2003-01-23 2004-08-05 Verdasys, Inc. Managed distribution of digital assets
JP2009187587A (ja) * 2003-03-31 2009-08-20 Intel Corp セキュリティポリシーを管理する方法及びシステム
JP2005202664A (ja) * 2004-01-15 2005-07-28 Mitsubishi Electric Corp 不正アクセス統合対応システム
JP2007316821A (ja) * 2006-05-24 2007-12-06 Omron Corp セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法
JP2009053824A (ja) * 2007-08-24 2009-03-12 Mitsubishi Electric Corp 情報処理装置及びメッセージ認証方法及びプログラム

Also Published As

Publication number Publication date
EP2348448A1 (en) 2011-07-27
KR101388319B1 (ko) 2014-04-22
CN102110211A (zh) 2011-06-29
US20110161848A1 (en) 2011-06-30
JP5350356B2 (ja) 2013-11-27
KR20130033407A (ko) 2013-04-03
US8806620B2 (en) 2014-08-12
CN102110211B (zh) 2015-11-25
KR20110074820A (ko) 2011-07-04

Similar Documents

Publication Publication Date Title
JP5350356B2 (ja) セキュリティイベントを管理する方法及び装置
US9922194B2 (en) Provisioning location-based security policy
KR101227707B1 (ko) 콘텍스트 정보 이용 제어 방법, 머신 판독가능한 매체 및 모바일 컴퓨팅 디바이스
US20240054234A1 (en) Methods and systems for hardware and firmware security monitoring
US8621653B2 (en) Secure location collection and analysis service
US20140195066A1 (en) Thermal adjustment using distributed sensors
US9781154B1 (en) Systems and methods for supporting information security and sub-system operational protocol conformance
CN113935025A (zh) 对移动设备上的行为特征的自适应观察
EP3374864A1 (en) Performance monitoring in a distributed storage system
US11656928B2 (en) Detecting datacenter mass outage with near real-time/offline using ml models
US10936324B2 (en) Proactive host device access monitoring and reporting system
CN106575414B (zh) 上下文平台特征推荐
US11243597B2 (en) Microprocessor power logging at a sub-process level
US10153937B1 (en) Layered datacenter components
US11863561B2 (en) Edge attestation for authorization of a computing node in a cloud infrastructure system
US9594721B1 (en) Datacenter event handling
US11669469B2 (en) Platform framework standby operation
CN110046030B (zh) 应用程序处理方法和装置、电子设备、计算机可读存储介质
CN110856173A (zh) 网络接入方法、装置及电子设备
US20230034196A1 (en) Techniques for providing synchronous and asynchronous data processing
CA3000268A1 (en) Ad hoc supply chain community node
JP2024521357A (ja) Mlモデルを用いて準リアルタイムデータ/オフラインデータでデータセンタの大規模な故障の検出

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20121127

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20121204

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130304

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130723

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130821

R150 Certificate of patent or registration of utility model

Ref document number: 5350356

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees