JP2012522295A - フィルタリング方法、システムおよびネットワーク機器 - Google Patents

フィルタリング方法、システムおよびネットワーク機器 Download PDF

Info

Publication number
JP2012522295A
JP2012522295A JP2012502434A JP2012502434A JP2012522295A JP 2012522295 A JP2012522295 A JP 2012522295A JP 2012502434 A JP2012502434 A JP 2012502434A JP 2012502434 A JP2012502434 A JP 2012502434A JP 2012522295 A JP2012522295 A JP 2012522295A
Authority
JP
Japan
Prior art keywords
security level
url
url information
information
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2012502434A
Other languages
English (en)
Other versions
JP5325335B2 (ja
Inventor
スー、バオウ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Huawei Technologies Co Ltd
Original Assignee
Huawei Technologies Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Huawei Technologies Co Ltd filed Critical Huawei Technologies Co Ltd
Publication of JP2012522295A publication Critical patent/JP2012522295A/ja
Application granted granted Critical
Publication of JP5325335B2 publication Critical patent/JP5325335B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

本発明はフィルタリング方法、システムおよびそのためのネットワーク装置を提供する。この方法は、ユーザ端末からインターネットサーバへ送信された要求メッセージをインターセプトしてその要求メッセージからUniform Resource Locator(URL)情報を抽出し、URL情報に従ってURLに対応するセキュリティ水準を判定し、セキュリティ水準に従って要求パケットを処理することを含む。本発明は、アンチウィルスソフトウェアをユーザ端末にインストールする必要がなく、それによるメモリとCPUリソースの消費がなくなり、アンチウィルスソフトウェアを容易にバイパスできる悪意のあるソフトウェアによるリスクを排除する。このように、悪意のソフトウェアの伝搬と攻撃が効果的に停止され、悪意のソフトウェアによるユーザ端末への脅威が低減し、ネットワークの安全性とユーザエクスペリエンスが改善される。

Description

本発明は、通信分野におけるネットワークのセキュリティ技術に関し、特に、フィルタリング方法、システムおよびネットワーク機器に関する。
通信技術の急速な発展に伴い、高機能携帯電話、インターネットプロトコル(IP)電話、パソコンなどのユーザ端末に適用されるオペレーティングシステムは標準化が一段と進められている。その上、それらのオペレーティングシステムは公開性、汎用性などの特徴を備えている。また、ユーザ端末の多くは、Bluetooth(登録商標)機能、赤外線機能、マルチメディアメッセージ、汎用パケット無線通信サービス(GPRS)インターネットアクセス、サイバーサーフィング、無線インターネットアクセスを含む機能を提供する。
対応するユーザ端末はまた、ウィルスやトロイの木馬などのマルウェアに対して実行可能なオープンインターフェースも提供するので、種々のウィルスなどのマルウェアの攻撃をますます受けやすくなってきている。さらに、ウィルスはユーザ端末を通して広く蔓延し得るために、結果的に通信システムの性能が影響を受ける。
現在の処、アンチウィルスソフトをユーザ端末にインストールして、ユーザがウェブページを閲覧、ダウンロードしたり、ファイルを実行する際に、ウィルスのスキャンおよび除去を実行する方法が主として取られている。そうして、ウィルスがユーザ端末へ蔓延し、ユーザ端末を攻撃しようとする場合、アンチウィルスソフトウェアが該当するウィルスプログラムを検出し、その蔓延や攻撃を防止することができる。
本発明を実装するに当たり、従来技術には少なくとも以下の問題があることがわかった。
(1)高機能携帯電話、IP電話、パソコンなどのようなユーザ端末に関して、ハードウェアの処理能力の限界により、アンチウィルス用のソフトウェアをインストールするには大きなメモリスペースと多くのCPUリソースを必要とする。例えば、パソコンにインストールされたアンチウィルスソフトウェアのKaspersky(登録商標)を例に取ると、ソフトウェアのインストールに大きなメモリスペースを必要とし、ときには、CPUの80%までもが占有される。そのためCPUの通常の動作に深刻な影響がもたらされる。
(2)そのようなモードにおいては、マルウェアがバイパスするというリスクもある。現在の処、マルウェアであるトロイの木馬の多くは、ユーザ端末にインストールされたアンチウィルスソフトウェアを識別することができ、ユーザ端末中のアンチウィルスソフトウェアを閉じたり、ユーザ端末中のアンチウィルスソフトウェアによる検出をバイパスしたり(回避したり)することが可能である。そのためユーザ端末はそれらのウィルスを識別できず、結果的にウィルスの蔓延または攻撃を効果的に防止することが出来ない。
本発明は、ウィルスやワームやトロイの木馬などのマルウェアの蔓延と攻撃を防止し、ウィルスなどのマルウェアのユーザへの脅威を低減し、ネットワークの安全性を高めるためのフィルタリング方法とシステムとネットワーク機器を提供しようとするものである。
その目的を達成するために、本発明の実施形態は以下の技術的解決策を提供する。
ネットワーク側機器に適用されるフィルタリング方法が、ユーザ端末からインターネットサーバへ送信された要求パケットをインターセプトし(intercept、傍受し)、要求パケットからUniform Resource Locator(URL)を抽出し、URL情報に従ってURL情報に対応するセキュリティ水準を判定し、セキュリティ水準に従って要求パケットを処理することを含む。
ネットワーク側機器に適用されるフィルタリングシステムが、ユーザ端末からインターネットへ送信された要求パケットをインターセプトするように構成されたインターセプトユニットと、要求パケットからURL情報を抽出し、URL情報を判定ユニットへ送信するように構成された抽出ユニットと、URL情報に従ってそのURL情報に対応するセキュリティ水準を判定するように構成された判定ユニットと、判定ユニットで判定されたセキュリティ水準に従って要求パケットを処理するように構成された処理ユニットと、を備える。
ネットワーク機器が、Uniform Resource Locator(URL)を含む情報を受信するように構成された受信ユニットと、URL情報に従ってそのURL情報に対応するセキュリティ水準を判定するように構成された判定ユニットと、セキュリティ水準に従って要求パケットを処理するように構成された処理ユニットと、を備える。
本発明の実施形態で提供される詳細な実装解決策から以下のことがわかる。
ユーザ端末からインターネットへ送信される要求パケットはインターセプトされて、要求パケットからURL情報が抽出される。URL情報に従ってそのURL情報に対応するセキュリティ水準が判定され、そのセキュリティ水準に従って要求パケットが処理される。従って、アンチウィルスソフトウェアをユーザ端末にインストールすることによってメモリ空間とCPUリソースが占有されるという問題、およびマルウェアによりバイパスされる危険性があるという問題が解決される。このことは、ウィルスなどのマルウェアの蔓延、攻撃を効果的に防止し、ユーザ端末へのウィルスの脅威を低減し、ネットワークの安全性とユーザエクスペリエンスを向上させる。
本発明の実施形態によるフィルタリング方法のフローチャートである。 本発明の実施形態によるフィルタリング方法の詳細な実装のフローチャートである。 本発明の実施形態によるフィルタリングシステムの概略構成図である。 本発明の実施形態によるフィルタリングシステムの詳細な実装の概略構成図である。 本発明の実施形態によるネットワーク機器の概略構成図である。
本発明の目的、技術的解決策及び利点をよりよく理解するために、本発明の実施形態を添付の図面を参照して以下詳細に説明する。
以下で説明する実施形態は、本発明の実施形態のごく一部であり、本発明のすべての実施形態ではないことを明確に理解されたい。本明細書での実施形態に基づいて当業者が創造的努力を要せずに導き得るその他の実施形態はすべて本発明の保護範囲にある。
図1は本発明の一実施形態によるフィルタリング方法のフローチャートである。この方法はネットワーク側機器に適用され、以下のステップを含む。
ステップS100では、ユーザ端末からインターネットサーバに送信された要求パケットがインターセプトされる。
ステップS101では、要求パケットからUniform Resource Locator(URL)情報が抽出される。
ネットワーク機器は、deep packet inspection(DPI)またはその他の手段によって要求パケットからURL情報を抽出してもよい。ネットワーク機器は、サービスルータ(SR)、ブロードバンド・リモートアクセスサーバ(BRAS)、ゲートウェイGPRSサポートノード(GGSN)などの機器の1つまたは任意の組み合わせであってよい。
ステップS102で、URL情報に従ってURL情報に対応するセキュリティ水準が判定される。
ネットワーク機器に接続されたローカルサービス機能エンティティまたは記憶装置またはクラウドセキュリティサーバが、URLデータベースを格納し、URLデータベース内のそれぞれのURL情報が、URL情報に対応するセキュリティ水準指標を有している。
URL情報に対応するセキュリティ水準を判定することは特に以下を含む。
ネットワーク機器にローカルキャッシュされたURLデータベースを検索し、URL情報に対応するセキュリティ水準を判定すること、または、
URL情報に対応しかつローカルサービス機能エンティティにより判定されて返されたセキュリティ水準を受取ること(ここで、URL情報のセキュリティ水準は、ローカルサービス機能エンティティがローカルキャッシュされたURLデータベースをローカルサービス機能エンティティが検索してそのURL情報のセキュリティ水準を判定した後に返されるセキュリティ水準である。)、または、
URL情報に対応しかつクラウドセキュリティサーバにより判定されて返されたセキュリティ水準を受取ること。
上記のセキュリティ水準を取得することは、ネットワーク機器にキャッシャされたURLデータベース、またはネットワーク機器に接続されたローカルサービス機能エンティティにキャッシュされたURLデータベース、またはクラウドセキュリティサーバの任意の機器から、セキュリティ水準を取得することを含む。以下のような場合もまた適用可能である。
ネットワーク機器にローカルキャッシュされたURLデータベースを検索して、URL情報に対応するセキュリティ水準を判定できない場合、またはローカルキャッシュされたURLデータベースをローカルサービス機能エンティティで検索して、URL情報に対応するセキュリティ水準を判定できない場合には、URL情報はクラウドセキュリティサーバに送られて処理される、すなわち、クラウドセキュリティサーバのURLデータベースが検索される。
ステップS104で、セキュリティ水準に応じて要求パケットが処理される。
セキュリティ水準情報には、「安全」、「危険」、「疑わしい」、「不明」の内の1つまたは任意の組み合わせが含まれる。
セキュリティ水準に応じた要求パケットの処理には、「安全」、「危険」、「疑わしい」、「不明」の内の1つまたは任意の組み合わせが含まれる。
セキュリティ水準情報が「安全」である場合には、ユーザ端末からの要求パケットはインターネットへ送信される。
セキュリティ水準情報が「危険」である場合には、要求パケットは破棄され、アラーム情報を含むパケットがユーザ端末へ返されて、ユーザ端末が要求パケットを送信することを禁止する。
セキュリティ水準情報が「疑わしい」である場合には、プロンプト情報がユーザ端末に返され、要求情報が疑わしいことをユーザ端末上に示す。
セキュリティ水準情報が「不明」の場合、セキュリティ水準を判定するためにURL情報を別のネットワーク機器に送信して、返されたセキュリティ水準に従って処理される。
URLデータベースは、クラウドセキュリティサーバを介して定期的に更新される。ここで、クラウドセキュリティサーバは、クラウドセキュリティサーバクラスタまたはクラウドセキュリティエンドとしても知られている。クラウドセキュリティサーバは主として、トロイの木馬や悪意のあるプログラムなどの特徴に従って、ネットワーク情報源(ウェブページなどの)セキュリティ水準を評価するように構成されている機器である。
前述した本発明の実施形態の詳細な実装解決策から、以下のことがわかる。ユーザ端末からインターネットサーバへ送信される要求パケットはインターセプトされ、要求パケットからURL情報が抽出される。URLデータベースが検索され、そのURL情報に対応するセキュリティ水準がURL情報に従って判定される。そして、そのセキュリティ水準に従って要求パケットが処理される。これにより、アンチウィルスソフトウェアをユーザ端末にインストールすることによってメモリ空間とCPUリソースが占有されるという問題、およびマルウェアによりバイパスされる危険性があるという問題が解決される。このことは、ウィルスなどのマルウェアが蔓延、攻撃することを効果的に防止し、ユーザ端末へのウィルスの脅威を低減し、ネットワークの安全性とユーザエクスペリエンスを向上させる。
図2は本発明の一実施形態によるフィルタリング方法の詳細な実装のフローチャートである。フィルタリング方法は様々なネットワーク機器へ適用される。ここでは、図2に示すように、ゲートウェイ機器を例に取ってフィルタリング方法の実装を説明する。
ステップS200で、ユーザ端末が要求パケットをインターネットサーバに送信して、インターネットサーバ上の情報源へのアクセスを要求する。
要求パケットは、“http get packet with a target port 80”という要求パケットであってよい。ただしこの要求パケットに限られるものではない。
ステップS202で、ゲートウェイ機器が要求パケットをインターセプトする。
ステップS203で、ゲートウェイ機器が要求パケットからURL情報を抽出する。
ゲートウェイ機器は、ネットワーク側のルーティング機器であってもよいし、それに限らなくてもよい。ルーティング機器は、SR、BRASおよびゲートウェイGPRS支持ノード(GGSN)などのようなネットワーク機器の1つであってもよいし、その任意の組み合わせであってもよい。以下ではルータを例に取った方法を説明する。
ルータは、deep packet inspection (DPI)またはその他の手段によって要求パケットからURL情報を抽出してもよい。URL情報の取得は、ルータのラインプロセッシングユニット(LPU)で行なわれてもよい。
ステップS204において、ゲートウェイ機器はURL情報に従ってローカルキャッシュされたURLデータベースを検索し、URL情報に対応するセキュリティ水準が存在するかどうかを判断する。セキュリティ水準が存在する場合には、ステップS206が実行される。セキュリティ水準が存在しない場合には、ステップS208が実行される。あるいはまた、ステップS208とS212が実行された後、ステップS206が実行される。
ゲートウェイ機器に接続されたローカルサービス機能エンティティ、またはゲートウェイ機器に接続されたクラウドセキュリティサーバは、URLデータベースを格納し、URLデータベース内のすべてのURL情報は、URL情報に対応するセキュリティ水準指標を有している。
ゲートウェイ機器そのものに格納されたURLデータベース、またはローカルサービス機能エンティティに格納されたURLデータベースは、クラウドセキュリティサーバを介して定期的に更新される。URLデータベース中のセキュリティ情報は常に変化しているので、更新機構が必要である。ゲートウェイ機器そのものに格納されたURLデータベース、またはローカルサービス機能エンティティに格納されたURLデータベースは、一定の時間間隔で更新される。時間間隔は30秒であってもよいし、実際の状況に応じて調節されてもよい。クラウドセキュリティサーバは、1つまたは複数のクラウドセキュリティサーバから成るクラウドセキュリティサーバクラスタであってもよい。URLデータベースには、URL情報とURL情報に対応するセキュリティ水準とが格納される。この対応する関係はURLリストとも呼ばれる。すなわち、URLデータベースにはURLリストが格納され、対応するセキュリティ水準はURLリスト中のURL情報を介して見つけ出される。また、URLリストはエージング機構を通して更新される。ゲートウェイ機器そのものに格納されたURLデータベース、またはローカルサービス機能エンティティに格納されたURLデータベースは、URLリストの情報をキャッシュし続け、その結果ローカルキャッシュされたURLリストには情報がどんどんたまってゆく。しかし、殆ど利用されることがない情報もある。従って、エージング機構が必要となり、ある期間(エージング時間は30分であったり、実条件に合わせて調節されたりする)内に照合が行なわれないURLリスト中の情報は消去する必要がある。こうすることにより、ルータのリソースが節約され、それと同時に照合の効率が向上する。
前述のステップS204の実行は、ルータのマルチサービスユニット(MSU)で行われる。ルータのLPUはURL情報を含む要求パケットを、アクセス制御リスト(ACL)によってMSUへ転送する。MSUはURL情報を、必要に応じた専用インターフェースを介してローカルサービス機能エンティティまたはクラウドセキュリティサーバへ送信する。
ステップS206において、URL情報に対応するセキュリティ水準が検索結果に従って判定され、ゲートウェイ機器に送信される。
ステップ208において、ローカルサービス機能エンティティによりキャッシュされたURLデータベース内で検索が実行され、検索が成功した場合にはステップS206が実行され、そうでない場合にはステップS212が実行される。
URL情報に対応するセキュリティ水準が、ゲートウェイ機器によってローカルに蓄積されたURLデータベース(すなわち、ローカルキャッシュされたURLデータベース)内のURLリスト中に見つからない場合、つまりURL情報に対応するセキュリティ水準が判定できない場合には、ステップS208が実行される。また、ゲートウェイ機器はURL情報をローカルサービス機能エンティティに直接送信することも可能であり、その場合、ローカルサービス機能エンティティがURL情報に従ってセキュリティ水準を判定し、セキュリティ水準をルータへ返す。
ステップS212において、クラウドセキュリティサーバがローカルキャッシュされたURLデータベース中のURLリストを検索し、検索が成功した場合にはS206が実行され、そうでない場合には処理が終了する。
URL情報に対応するセキュリティ水準が、ローカルサービス機能エンティティによりキャッシュされたURLデータベース内のURLリストに見つからない場合、すなわち、URL情報に対応するセキュリティ水準が判定できない場合には、ステップS212が実行される。また、ゲートウェイ機器はURL情報をクラウドセキュリティサーバに直接送信することも可能であり、その場合には、クラウドセキュリティサーバがURL情報に従ってセキュリティ水準を判定し、セキュリティ水準をゲートウェイ機器に返す。クラウドセキュリティサーバは、1つまたは複数のクラウドセキュリティサーバから成るクラウドセキュリティサーバクラスタであってもよい。
前述のステップS204からS214において、URL情報に従ってURLデータベースを検索するステップは、先ず第1にゲートウェイ機器そのものにキャッシュされたURLデータベースを検索し、次いで、URL情報に対応するセキュリティ水準が見つからない場合に、ローカルサービス機能エンティティにキャッシュされたURLデータベースを検索するか、または、最初からローカルサービス機能エンティティにキャッシュされたURLデータベースを検索するか、または、最初からクラウドセキュリティサーバにキャッシュされたURLデータベースを検索して、セキュリティ水準情報をゲートウェイ機器に返すかのいずれかを行う。
ゲートウェイ機器とクラウドセキュリティサーバは、伝送の最適化のために高帯域幅と低遅延リンクを使用して接続されてもよい。
ステップS214で、セキュリティ水準に応じて要求パケットが処理される。
セキュリティ水準情報には、「安全」、「危険」、「疑わしい」、「不明」の内の1つまたは任意の組み合わせが含まれる。セキュリティ水準には、セキュリティ評価水準、および/またはコンテンツ評価水準が含まれる。セキュリティ評価水準は、ユーザの要求に応じて定義されるリスク制御水準に従って分類されてもよい。例えば、ユーザ要求に従って「高」、「中」、「低」のセキュリティ評価水準が構成されてもよく、その後、その構成に従ってフィルタリングが実行されてもよい。コンテンツ評価水準は、ウェブページに含まれるコンテンツに従って、例えば、「アダルトコンテンツ」、「性教育」、「酒/たばこコンテンツ」、「ギャンブル」、「暴力/人種差別」、「銃密売」、「娯楽」、「宗教」、「麻薬」、「禁止薬物」、「ゲーム」、「教育」、「社会性」、「子育て」、「広告」などに分類されてもよい。セキュリティ評価水準は、コンテンツ評価水準の1つの分類または幾つかの組合せと結合させてまとめたセキュリティ水準情報を作成してもよい。例えば、「安全」、「危険」、「疑わしい」、「不明」という4つのタイプのセキュリティ水準情報である。勿論、セキュリティ水準情報のタイプはただ1つであってもよいし、いくつかあってもよい。
セキュリティ水準情報が「安全」である場合、ユーザ端末からの要求パケットはインターネットサーバへ送信される。そして、ユーザ端末はインターネットサーバからの応答パケットを受信する。
セキュリティ水準情報が「危険」である場合には、要求パケットは破棄され、アラーム情報を含むパケットがユーザ端末へ返されて、ユーザ端末が要求パケットを送信することを禁止する。例えば、「危険」であれば、URLによりアドレス指定されたウェブページはマルウェアまたはウィルスを含む可能性があり、要求パケットは直ちに破棄されて、“そのウェブページはウィルスなどの悪意のあるコードを含んでいます。アクセスを禁止します”というページまたは情報をユーザ端末にフィードバックし、ユーザ端末がプロンプトに従って要求を断念するようにさせる。
セキュリティ水準が「疑わしい」である場合、要求された情報は疑わしいので、ユーザ端末はそのページを訪問すべきではないことを促すプロンプトメッセージがユーザ端末に返される。そのプロンプトメッセージにも拘らずユーザ端末が訪問しようとすると、ルータはインターネットへの要求パケットの転送を続ける。しかし、この場合にはある程度の潜在的なリスクが存在する。プロンプトメッセージに従って、ユーザ端末が訪問を継続しないと確定した場合には、ルータがこの要求パケットを直ちに破棄するか、または、ユーザの環境設定に従って要求パケットが直接破棄されてもよい。
セキュリティ水準情報が「不明」である場合には、ユーザ端末に対して2つのモードが利用可能である。第1は、URL情報をクラウドセキュリティサーバクラスタに送信して、クラウドセキュリティサーバクラスタがセキュリティ水準を判定するのを待ち、返されたセキュリティ水準に従って処理を実行するものであり、第2は、ユーザ端末の要求パケットをインターネットへ送信し、検出と処理を実行するものである。
ネットワーク側のルータ等のゲートウェイ機器は、仮想的サービスを提供することができる。すなわち、異なるユーザ端末はそれぞれのフィルタリング戦略を画定することができる、または、ルータは定期的にフィルタリング報告情報を参考としてユーザに提供することが可能である。そうすることによりルータは、ユーザが画定した戦略に従ってフィルタリングを実行し、かつユーザの多様な要求を満足させる。
本発明の実施形態により提供される上記の詳細な実装から、ルータ等のゲートウェイ機器は、クラウドセキュリティサーバクラスタとURL情報をインタラクティブに送信するために利用することが可能であり、また、ローカルサービス機能エンティティ上のローカルキャッシュまたはインタラクティブ送信を利用してユーザエクスペリエンスを向上させ、リソースの利用効率を上げることが可能であるということがわかる。様々な実装モードを通して、ウィルスなどのマルウェアの蔓延または攻撃は効果的に防止され、フィルタリングに要する時間は大幅に短縮される。これは、ユーザエクスペリエンスを向上させ、クラウドエンドとのインタラクションを低減し、同時にネットワークとインターフェースのリソースを節約する。
図3は本発明の一実施形態による、フィルタリングシステムの概略構成図である。
フィルタリングシステムがネットワーク側機器に適用される。このシステムは、インタセプティングユニット300、抽出ユニット301、判定ユニット302、処理ユニット304、送信ユニット306、ローカルサービス機能エンティティ308、およびクラウドセキュリティサーバ310を備えている。
インターセプトユニット300は、ユーザ端末からインターネットサーバへ送信された要求パケットをインターセプトし、そのパケットを抽出ユニット301へ送信するように構成されている。
抽出ユニット301は、要求パケットからURL情報を抽出し、URL情報を判定ユニットへ送信するように構成されている。
判定ユニット302は、抽出ユニット301から送信されたURL情報に従ってURL情報に対応するセキュリティ水準を判定し、そのセキュリティ水準を処理ユニット304へ送信するように構成されている。
処理ユニット304は、判定ユニット302で判定されたセキュリティ水準に従って要求パケットを処理するように構成されている。
セキュリティ水準情報には、「安全」、「危険」、「疑わしい」、「不明」の内の1つまたは任意の組み合わせが含まれる。
要求パケットをセキュリティ水準の異なる組合せまたは構成に従って処理ユニット304で処理することは、以下の1つまたは任意の組み合わせを含んでいる。
(1)セキュリティ水準情報が「安全」である場合、ユーザ端末からの要求パケットはインターネットサーバへ送信される。そしてユーザ端末はインターネットサーバからの応答パケットを受信する。
(2)セキュリティ水準情報が「危険」である場合には、要求パケットは破棄され、アラーム情報を含むパケットがユーザ端末へ返されて、ユーザ端末が要求パケットを送信することを禁止する。例えば、「危険」であれば、URLによりアドレス指定されたウェブページは悪意のあるトロイの木馬ソフトウェアおよび/またはウィルスを含む可能性があり、要求パケットは直ちに破棄されて、“そのウェブページはウィルスなどの悪意のあるコードを含んでいます。アクセスを禁止します。”というページまたは情報をユーザ端末にフィードバックし、ユーザ端末がプロンプトに従ってその要求を断念するようにさせる。
(3)セキュリティ水準が「疑わしい」である場合、要求された情報は疑わしいので、ユーザ端末はそのページを訪問すべきではないことを促すプロンプトメッセージがユーザ端末に返される。そのプロンプトメッセージにも拘らずユーザ端末が訪問しようとすると、ルータが引き続き要求パケットをインターネットへ転送する。しかし、この場合にはある程度の潜在的なリスクが存在する。プロンプトメッセージに従って、ユーザ端末が訪問をやめることにした場合には、ルータがこの要求パケットを直ちに破棄するか、または、ユーザ設定に従って要求パケットが直接破棄される。
(4)セキュリティ水準情報が「不明」である場合には、ユーザ端末に対して2つのモードがある。第1は、URL情報を他のネットワーク機器に送信して、セキュリティ水準を判定し、返されたセキュリティ水準に従って処理を実行する。第2は、ユーザ端末の要求パケットをインターネットへ送信し、その後で検出と処理を実行する。
判定ユニット302が、ローカルキャッシュされたURLデータベース中にURL情報に対応するセキュリティ水準を見つけられない場合、またはローカルサービス機能エンティティからセキュリティ水準を取得することが必要な場合には、システムにはさらに以下のものが含まれる。
URL情報をローカルサービス機能エンティティまたはクラウドセキュリティサーバへ送信し、ローカルサービス機能エンティティまたはクラウドセキュリティサーバから返されたURL情報に対応するセキュリティ水準を判定ユニット302へ送信するように構成された送信ユニット306、および
送信ユニット306に接続され、ローカルキャッシュされたURLデータベースを検索し、URL情報に従ってURL情報のセキュリティ水準を判定し、そのURL情報を判定ユニット302に返すように構成されたローカルサービス機能エンティティ308。
ローカルサービス機能エンティティ308はURLデータベースを格納し、URLデータベース中のそれぞれのURL情報は、URL情報に応じたセキュリティ水準の指標を有している。
ローカルサービス機能エンティティ308が、ローカルキャッシュされたURLデータベース中にURL情報に対応するセキュリティ水準を見つけられない場合、すなわち、URL情報に対応するセキュリティ水準が判定できない場合、またはクラウドセキュリティサーバからセキュリティ水準を直接取得することが必要な場合には、システムにはさらに、クラウドセキュリティサーバに送信されたURL情報を受信するように構成されたクラウドセキュリティサーバ310が含まれる。クラウドセキュリティサーバ310は、ローカルキャッシュされたURLデータベース内のURLリストを検索し、URL情報に対応するセキュリティ水準を判定し、セキュリティ水準を処理ユニット304へ送信する。
URLデータベースは、クラウドセキュリティサーバ310を介して定期的に更新される。URLデータベースにはURL情報とURL情報に対応するセキュリティ水準とが格納される。この対応する関係はURLリストとも呼ばれる。すなわち、URLデータベースにはURLリストが格納され、対応するセキュリティ水準はURLリスト中のURL情報を介して見つけ出される。そしてURLリストはエージング機構を通して更新される。
本発明の実施形態により提供される上記の詳細な解決策から、ユーザ端末からインターネットサーバへ送信された要求パケットはインターセプトユニット300でインターセプトされ、抽出ユニット301によってURL情報が要求パケットから抽出され、判定ユニット302がURL情報に従ってURL情報に対応するセキュリティ水準を判定し、そのセキュリティ水準に従って要求パケットが処理ユニット304により処理されるということがわかる。従って、アンチウィルスソフトウェアをユーザ端末にインストールすることによってメモリ空間とCPUリソースが占有されるという問題、およびマルウェアによりバイパスされる危険性があるという問題が解決される。このことは、ウィルスなどのマルウェアが蔓延、攻撃することを効果的に防止し、ユーザ端末へのウィルスの脅威を低減し、ネットワークの安全性とユーザエクスペリエンスを向上させる。
図4は本発明の実施形態による、フィルタリングシステムの詳細な実装の概略構成図である。
図4は、図3で説明したシステムの詳細な実装を示し、フィルタリングシステムがネットワーク側の機器に適用されている。ここでは、ゲートウェイ機器のルーティング機器を例に取っている。ただし、本発明はルーティング機器に限定されるものではない。
ルーティング機器40は、ラインプロセッシングユニット(LPU)402とマルチサービスユニット(MSU)404とを含む。LPU402とMSU404とは1つのデバイスとして統合されていてもよい。そして1つまたは複数のLPU402と1つまたは複数のMSU404があってもよい。
ルーティング機器は、SR、BRASおよびGGSNなどのようなネットワーク機器の1つであってもよいし、その任意の組み合わせであってもよい。
LPU402は、ユーザ端末からインターネットサーバへ送信された要求パケットをインターセプトし、URL情報をMSU404へ送信するように構成されている。
MSU404は、要求パケットからURL情報を抽出し、URL情報に従ってURL情報に対応するセキュリティ水準を判定し、返されたセキュリティ水準に従って要求パケットを処理する。
ルーティング機器40は、ローカルサービス機能エンティティ406、および/またはクラウドセキュリティサーバ408に接続されている。
異なるエンティティ間の詳細なインタラクションプロセスは以下のとおりである。
LPU402はユーザ端末からインターネットへ送信された要求パケット(例えば、”http get packet with a target port 80”)をインターセプトし、アクセス制御リスト(ACL)を利用して要求パケットをMSU404へリダイレクトする。MSU404は、deep packet inspection(DPI)またはその他の手段によって要求パケットからURL情報を抽出する。
MSU404はローカルキャッシュされたURLデータベース中のURLリストを検索し、URL情報に対応するセキュリティ水準があるかどうかを判断してもよいし、または、ローカルサービス機能エンティティ406またはクラウドセキュリティサーバ408からURL情報に対応するセキュリティ水準を直接取得してもよい。
MSU404が、MSU404のローカルキャッシュされたURLデータベース中を検索してURL情報に対応するセキュリティ水準を見つけられない場合には、MSU404はURL情報をローカルサービス機能エンティティ406に送信する。ローカルサービス機能エンティティ406は、ローカルサービス機能エンティティ406自身のローカルキャッシュされたURLデータベース中を検索する。URL情報に対応するセキュリティ水準が見つかった場合には、セキュリティ水準がMSU404に送信される。そうでない場合には、URL情報が専用インターフェースを介してクラウドセキュリティサーバ408に送られる。クラウドセキュリティサーバ408はローカルキャッシュされたURLデータベースを検索し、URL情報に対応するセキュリティ水準を判定し、MSU404に返す。
ルーティング機器40とクラウドセキュリティサーバ408は、伝送の最適化のための高帯域幅と低遅延リンクを使用して接続されてもよい。
セキュリティ水準情報には、「安全」、「危険」、「疑わしい」、「不明」の内の1つまたは任意の組み合わせが含まれる。セキュリティ水準には、セキュリティ評価水準、および/またはコンテンツ評価水準が含まれる。セキュリティ評価水準は、ユーザの要求に応じて定義されるリスク制御水準に従って分類されてもよい。例えば、ユーザ要求に従って「高」、「中」、「低」のセキュリティ評価水準などが構成されてもよい。その構成に従って後でフィルタリングを実行することができる。コンテンツ評価水準は、ウェブページに含まれているコンテンツに応じて分類することが可能で、例えば、「アダルトコンテンツ」と「子供がアクセスしてよいコンテンツ」等に分類される。セキュリティ評価水準は、コンテンツ評価水準の1つの分類またはその任意の組み合わせと結合させてまとめて、4つのセキュリティ水準情報、具体的には「安全」、「危険」、「疑わしい」、「不明」というセキュリティ水準情報作成してもよい。
セキュリティ水準の異なる組合せまたは構成に従って、MSU404による要求パケットの処理は以下の1つまたは任意の組み合わせを含んでいる。
(1)セキュリティ水準情報が「安全」である場合、ユーザ端末からの要求パケットはインターネットサーバへ送信される。そして、ユーザ端末はインターネットサーバからの応答パケットを受信する。
(2)セキュリティ水準情報が「危険」である場合には、要求パケットは破棄され、アラーム情報を含むパケットがユーザ端末へ返されて、ユーザ端末が要求パケットを送信することを禁止する。例えば、「危険」であれば、URLによりアドレス指定されたウェブページは悪意のあるトロイの木馬ソフトウェアおよび/またはウィルスを含む可能性があり、要求パケットは直ちに破棄されて、“そのウェブページはウィルスなどの悪意のあるコードを含んでいます。アクセスを禁止します。”というページまたは情報をユーザ端末にフィードバックし、ユーザ端末がプロンプトに従ってその要求を断念するようにさせる。
(3)セキュリティ水準が「疑わしい」である場合、要求された情報は疑わしいので、ユーザ端末はそのページを訪問すべきではないことを促すプロンプトメッセージがユーザ端末に返される。そのプロンプトメッセージにも拘らずユーザ端末が訪問しようとすると、ルータが引き続き要求パケットをインターネットへ転送する。しかし、この場合にはある程度の潜在的なリスクが存在する。プロンプトメッセージに従って、ユーザ端末が訪問をやめることにした場合には、ルータがこの要求パケットを直ちに破棄するか、または、ユーザの環境設定に従って要求パケットが直接破棄されてもよい。
(4)セキュリティ水準情報が「不明」である場合には、ユーザ端末に対して2つのモードがある。第1は、URL情報を他のネットワーク機器に送信して、セキュリティ水準を判定し、返されたセキュリティ水準に従って処理を実行する。第2は、ユーザ端末の要求パケットをインターネットサーバへ送信し、そして検出と処理を実行する。
ルーティング機器のローカルキャッシュ内のURLデータベース、およびローカルサービス機能エンティティのローカルキャッシュ内のURLデータベースは、他のネットワーク機器を介して定期的に更新される。ルーティング機器のローカルキャッシュ内のURLデータベースとローカルサービス機能エンティティのローカルキャッシュ内のURLデータベースとにおけるセキュリティ水準情報は常に変化しているので、更新機構が必要である。ルーティング機器のローカルキャッシュ内のURLデータベース、およびローカルサービス機能エンティティのローカルキャッシュ内のURLデータベースは、定期的に更新される。時間間隔は30秒であってもよい。また実際の状況に応じて調節されてもよい。上記の他の機器は、クラウドセキュリティ機器またはローカルサービス機能エンティティであってよい。
URLデータベースはURLリストを格納し、URLリストはURL情報とセキュリティ水準との間の対応関係である。すなわち、URL情報に対応するセキュリティ水準はURLリストにより判定される。URLリストはエージング機構を通して更新される。URLデータベースはURLリスト内の情報を蓄積し続ける。その結果、ローカルキャッシュのURLリスト内にはどんどん情報が増えて行く。しかし、情報のあるものは殆ど利用されることがない。従って、エージング機構が必要となり、ある期間(エージング時間は30分であったり、実条件に合わせて調節されたりする)内に照合が行なわれないURLリスト中の情報は消去する必要がある。こうすることにより、ルータのリソースが節約され、照合の効率が向上する。
本発明の実施形態により提供される詳細な解決策から、ルーティング機器とクラウドセキュリティサーバクラスタとの間にURL情報のインタラクティブ送信が採用されれば、時間は短くて済み、ユーザのブラウジングエクスペリエンスは影響を受けないということがわかる。また、ローカルサービス機能エンティティ上のローカルキャッシュまたはインタラクティブ送信を用いて、ユーザエクスペリエンスが高められ、リソースの利用効率を向上させることができる。前述の様々な実装モードを通して、ウィルスの蔓延または攻撃は効果的に防止され、フィルタリングに要する時間は大幅に短縮される。そうして、ユーザエクスペリエンスは高められ、クラウドエンドとのインタラクションが低減されて、ネットワークとインターフェースのリソースが節約される。
図5は本発明の一実施形態によるネットワーク機器の概略構成図である。
ネットワーク機器が、
URL情報を含む要求パケットを受信するように構成された受信ユニット502と、
要求パケットからURL情報を抽出するように構成された抽出ユニット504と、
URL情報に従ってそのURL情報に対応するセキュリティ水準を判定する判定ユニット506と、
セキュリティ水準に従って要求パケットを処理する処理ユニット508と、を備える。
ネットワーク機器は更に、
URL情報とURL情報に対応するセキュリティ水準とを格納するように構成された格納ユニット512と、
URL情報に従ってURL情報に対応するセキュリティ水準を格納ユニット512の中に格納されたURLデータベースで検索し、セキュリティ水準を判定ユニット506へ送信するように構成された検索ユニット514と、を備える。
ネットワーク機器はマルチサービスユニット(MSU)であってもよい。URL情報に対応するセキュリティ水準が判定されない場合に、処理のためにURL情報をローカルサービス機能エンティティまたはクラウドセキュリティサーバに送信し、ローカルサービス機能エンティティまたはクラウドセキュリティサーバから返されたURL情報に対応するセキュリティ水準を処理のために判定ユニット506に送信するように構成された送信ユニット510を、ネットワーク機器はさらに備える。
ネットワーク機器がMSUである場合、それはラインプロセッシングユニット(LPU)に統合されてもよい。
本発明の上記の実施形態で提供されるネットワーク機器は、アンチウィルスソフトウェアをユーザ端末にインストールすることによってメモリ空間とCPUリソースが占有されるという問題と、マルウェアによりバイパスされる危険性があるという問題を解決する。このことは、ウィルスが蔓延、攻撃することを効果的に防止し、ユーザ端末へのウィルスの脅威を低減し、ネットワークのセキュリティとユーザエクスペリエンスを向上させる。
上記の説明は、単に本発明の例示的実施形態に過ぎず、本発明の保護範囲を制限するものではない。当業者が容易になしうる修正、変更、置き換えは、本発明の範囲内である。従って、本発明の保護範囲は添付の特許請求の範囲に従う。
本願は、2009年3月30日に中国特許庁へ出願された、「フィルタリング方法、システム、及びネットワーク機器」という標題の中国特許出願第200910106362.8号の優先権を主張するものである。参照によりその内容全体がここに組み込まれる。
来技術には少なくとも以下の問題があることがわかった。
上記の説明は、単に本発明の例示的実施形態に過ぎず、本発明の保護範囲を制限するものではない。当業者が容易になしうる修正、変更、置き換えは、本発明の範囲内である。従って、本発明の保護範囲は添付の特許請求の範囲に従う

Claims (16)

  1. ネットワーク側機器に適用されるフィルタリング方法であって、
    ユーザ端末からインターネットサーバへ送信された要求パケットをインターセプトし、
    前記要求パケットからUniform Resource Locator(URL)情報を抽出し、
    前記URL情報に従って該URL情報に対応するセキュリティ水準を判定し、
    前記セキュリティ水準に従って前記要求パケットを処理すること
    を含む方法。
  2. 前記URL情報に対応するセキュリティ水準を判定することが、
    前記ネットワーク側機器にローカルキャッシュされたURLデータベースを検索して、前記URL情報に対応するセキュリティ水準を判定すること、または、
    ローカルサービス機能エンティティにより判定されて返された前記URL情報のセキュリティ水準であって、前記ローカルサービス機能エンティティがローカルキャッシュされたURLデータベースを検索して前記URL情報のセキュリティ水準を判定した後に返したセキュリティ水準である前記URL情報のセキュリティ水準を受信すること、または、
    クラウドセキュリティサーバにより判定されて返された前記URL情報のセキュリティ水準であって、前記クラウドセキュリティサーバがクラウド端末のURLデータベースを検索して前記URL情報のセキュリティ水準を判定した後に返した前記URL情報のセキュリティ水準である前記URL情報のセキュリティ水準を受信すること、または、
    前記ネットワーク側機器にローカルキャッシュされた前記URLデータベースを検索して前記URL情報に対応するセキュリティ水準が見つからない場合、前記ローカルサービス機能エンティティが判定して返したセキュリティ水準であって、前記ローカルサービス機能エンティティがローカルキャッシュされたURLデータベースを検索して前記URL情報のセキュリティ水準を判定した後に返したセキュリティ水準である前記セキュリティ水準を受信すること、または、
    前記ネットワーク側機器にキャッシュされたURLデータベースおよび前記ローカルサービス機能エンティティにキャッシュされたURLデータベースを検索して前記URL情報に対応するセキュリティ水準が見つからない場合、前記クラウドセキュリティサーバが判定して返した前記URLのセキュリティ水準であって、前記クラウドセキュリティサーバがクラウド端末のURLデータベースを検索して前記URL情報のセキュリティ水準を判定した後に返したセキュリティ水準である前記URL情報のセキュリティ水準を受信すること
    を含む請求項1に記載の方法。
  3. 前記セキュリティ水準は、「安全」、「危険」、「疑わしい」、「不明」のうちの1つまたは任意の組み合わせからなる
    請求項1または2に記載の方法。
  4. 前記セキュリティ水準に従って前記要求パケットを処理することが、
    前記セキュリティ水準が「安全」である場合、前記ユーザ端末からの要求パケットを前記インターネットサーバへ送信することと、
    前記セキュリティ水準が危険である場合、前記要求パケットを破棄して前記ユーザ端末による前記URLへの要求を終息させることと、
    前記セキュリティ水準が「疑わしい」場合、プロンプトメッセージを前記ユーザ端末に戻して、前記要求は疑わしいことを前記ユーザ端末に想起させることと、
    前記セキュリティ水準が「不明」の場合、セキュリティ水準を判定するために前記URL情報を別のネットワーク機器に送信して、返されたセキュリティ水準に従って処理することと
    のうちの1つまたは任意の組み合わせを更に含む
    請求項1〜3のいずれか1項に記載の方法。
  5. 前記URLデータベースは、前記クラウドセキュリティサーバを介して定期的に更新される
    請求項2〜4のいずれか1項に記載の方法。
  6. ネットワーク側機器に適用されるフィルタリングシステムであって、
    ユーザ端末からインターネットサーバへ送信された要求パケットをインターセプトし、前記パケットを抽出ユニットへ送信するように構成されたインターセプトユニットと、
    前記要求パケットからUniform Resource Locator(URL)情報を抽出し、前記URL情報を判定ユニットへ送信するように構成された抽出ユニットと、
    前記URL情報に従って前記URL情報に対応するセキュリティ水準を判定するように構成された判定ユニットと、
    前記判定ユニットで判定された前記セキュリティ水準に従って前記要求パケットを処理するように構成された処理ユニットと、
    を備えるフィルタリングシステム。
  7. 前記URL情報をローカルサービス機能エンティティまたはクラウドセキュリティサーバへ送信するように構成された送信ユニットを更に備える
    請求項6に記載のシステム。
  8. 前記送信ユニットにより送信された前記URL情報に従ってローカルキャッシュされたURLデータベースを検索し、前記URL情報のセキュリティ水準を判定し、前記セキュリティ水準を前記判定ユニットに戻すように構成されたローカルサービス機能エンティティを更に備える
    請求項7に記載のシステム。
  9. 前記送信ユニットにより送信された前記URL情報に従ってローカルキャッシュされたURLデータベースを検索し、前記URL情報に対するセキュリティ水準を判定し、前記セキュリティ水準を前記判定ユニットに送信するように構成されたクラウドセキュリティサーバを更に備える
    請求項7に記載のシステム。
  10. 前記URLデータベースは、前記クラウドセキュリティサーバを介して定期的に更新される
    請求項9に記載のシステム。
  11. 前記セキュリティ水準は、「安全」、「危険」、「疑わしい」、「不明」のうちの1つまたは任意の組み合わせからなる
    請求項6〜9のいずれか1項に記載のシステム。
  12. Uniform Resource Locator(URL)情報を含む要求パケットを受信するように構成された受信ユニットと、
    前記要求パケットから前記URL情報を抽出するように構成された抽出ユニットと、
    前記URL情報に従って前記URL情報に対応するセキュリティ水準を判定するように構成された判定ユニットと、
    前記セキュリティ水準に従って前記要求パケットを処理するように構成された処理ユニットと、
    を備えるネットワーク機器。
  13. 前記URL情報と前記URL情報に対応するセキュリティ水準とを格納するように構成された格納ユニットと、
    前記URL情報に従って前記URL情報に対応するセキュリティ水準を前記格納ユニットに格納されたURLデータベースで検索し、前記セキュリティ水準を前記判定ユニットへ送信するように構成された検索ユニットと、
    を更に備える請求項12に記載のネットワーク機器。
  14. 前記URL情報をローカルサービス機能エンティティまたはクラウドセキュリティサーバへ送信し、前記ローカルサービス機能エンティティまたは前記クラウドセキュリティサーバから返された前記URL情報に対応するセキュリティ水準を処理するために前記判定ユニットへ送信するように構成された送信ユニットを更に備える
    請求項13に記載のネットワーク機器。
  15. 前記URLデータベースは、前記クラウドセキュリティサーバを介して定期的に更新される
    請求項14に記載のネットワーク機器。
  16. 前記セキュリティ水準は、「安全」、「危険」、「疑わしい」、「不明」のうちの1つまたは任意の組み合わせからなる
    請求項12〜14のいずれか1項に記載の機器。
JP2012502434A 2009-03-30 2010-03-26 フィルタリング方法、システムおよびネットワーク機器 Active JP5325335B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
CN200910106362.8 2009-03-30
CN200910106362A CN101854335A (zh) 2009-03-30 2009-03-30 一种过滤的方法、系统及网络设备
PCT/CN2010/071361 WO2010111930A1 (zh) 2009-03-30 2010-03-26 一种过滤方法、系统及网络设备

Publications (2)

Publication Number Publication Date
JP2012522295A true JP2012522295A (ja) 2012-09-20
JP5325335B2 JP5325335B2 (ja) 2013-10-23

Family

ID=42805608

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2012502434A Active JP5325335B2 (ja) 2009-03-30 2010-03-26 フィルタリング方法、システムおよびネットワーク機器

Country Status (6)

Country Link
US (1) US20120023588A1 (ja)
EP (1) EP2408166B1 (ja)
JP (1) JP5325335B2 (ja)
CN (1) CN101854335A (ja)
CA (1) CA2757339C (ja)
WO (1) WO2010111930A1 (ja)

Families Citing this family (38)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102467633A (zh) * 2010-11-19 2012-05-23 奇智软件(北京)有限公司 一种安全浏览网页的方法及其系统
CN102694903B (zh) * 2011-03-22 2017-03-01 联想(北京)有限公司 数据通信方法及装置
CN103051596A (zh) * 2011-10-14 2013-04-17 腾讯科技(深圳)有限公司 网络安全识别方法、安全检测服务器、客户端及系统
CN102510563A (zh) * 2011-10-21 2012-06-20 北京西塔网络科技股份有限公司 一种移动互联网恶意软件检测的方法及系统
CN103092832A (zh) * 2011-10-27 2013-05-08 腾讯科技(深圳)有限公司 网址风险检测的处理方法及装置
JP2013134711A (ja) * 2011-12-27 2013-07-08 Nis Plus Co Ltd 医療クラウドシステム
JP5764511B2 (ja) * 2012-03-13 2015-08-19 西日本電信電話株式会社 Urlフィルタリング装置
KR101462311B1 (ko) * 2012-05-18 2014-11-14 (주)이스트소프트 악성 코드 차단 방법
CN103631805A (zh) * 2012-08-24 2014-03-12 腾讯科技(深圳)有限公司 一种搜索结果的显示方法和装置
CN103731818A (zh) * 2012-10-10 2014-04-16 中国移动通信集团江苏有限公司 一种移动终端病毒监测、拦截方法及其装置
CN102938739B (zh) * 2012-11-26 2016-08-24 华为技术有限公司 深度报文检查方法与装置
CN102946449A (zh) * 2012-11-28 2013-02-27 网神信息技术(北京)股份有限公司 Url 的匹配方法、装置及网关
CN103077349B (zh) * 2013-01-05 2016-04-13 北京奇虎科技有限公司 一种浏览器侧提示访问安全信息的方法及装置
US9471533B1 (en) * 2013-03-06 2016-10-18 Amazon Technologies, Inc. Defenses against use of tainted cache
US9398066B1 (en) * 2013-03-06 2016-07-19 Amazon Technologies, Inc. Server defenses against use of tainted cache
US10728287B2 (en) * 2013-07-23 2020-07-28 Zscaler, Inc. Cloud based security using DNS
CN103366019B (zh) * 2013-08-06 2016-09-28 飞天诚信科技股份有限公司 一种基于iOS设备的网页拦截方法和设备
CN103634317A (zh) * 2013-11-28 2014-03-12 北京奇虎科技有限公司 基于云安全对恶意网址信息进行安全鉴定的方法及系统
CN103905436A (zh) * 2014-03-14 2014-07-02 汉柏科技有限公司 一种防护app个人隐私收集的方法及装置
CN103997487A (zh) * 2014-05-04 2014-08-20 绿网天下(福建)网络科技有限公司 一种基于浏览器的安全上网隔离方法
CN103986719A (zh) * 2014-05-26 2014-08-13 厦门美图之家科技有限公司 一种防止应用程序后台流量流失的方法
CN104144170A (zh) * 2014-08-25 2014-11-12 网神信息技术(北京)股份有限公司 网页地址的过滤方法、装置和系统
CN105591997B (zh) * 2014-10-20 2019-04-09 杭州迪普科技股份有限公司 一种url分类过滤方法及装置
CN104378762A (zh) * 2014-11-19 2015-02-25 北京极科极客科技有限公司 一种用户上网流量的监控方法
JP2016148967A (ja) * 2015-02-12 2016-08-18 富士通株式会社 情報処理装置、情報処理方法及びプログラム
CN104780121B (zh) * 2015-04-30 2018-05-08 新华三技术有限公司 一种报文发送方法及装置
US11394737B2 (en) * 2015-08-27 2022-07-19 Pcms Holdings, Inc. Trustworthy cloud-based smart space rating with distributed data collection
CN105938473A (zh) * 2015-12-02 2016-09-14 杭州迪普科技有限公司 保存网页快照的方法及装置
CN105813085A (zh) * 2016-03-08 2016-07-27 联想(北京)有限公司 一种信息处理方法及电子设备
CN107181719B (zh) * 2016-03-10 2021-03-02 阿里巴巴集团控股有限公司 一种木马程序的检测方法和装置
US10330773B2 (en) 2016-06-16 2019-06-25 Texas Instruments Incorporated Radar hardware accelerator
CN107528845A (zh) * 2017-09-01 2017-12-29 华中科技大学 一种基于爬虫技术的智能url过滤系统及其方法
CN107766224B (zh) * 2017-11-07 2020-12-08 百度在线网络技术(北京)有限公司 测试方法和测试装置
CN108966234B (zh) * 2018-05-31 2021-11-30 北京五八信息技术有限公司 恶意信息的处理方法和装置
CN109660499B (zh) * 2018-09-13 2021-07-27 创新先进技术有限公司 攻击拦截方法和装置、计算设备及存储介质
CN110177096B (zh) * 2019-05-24 2021-09-07 网易(杭州)网络有限公司 客户端认证方法、装置、介质和计算设备
CN112202814B (zh) * 2020-11-04 2022-02-08 中国电子科技集团公司第三十研究所 一种路由交换设备内生安全动态防护功能的处理方法
CN112668007A (zh) * 2021-01-05 2021-04-16 浪潮软件股份有限公司 一种软件系统安全加固方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006054A (ja) * 2005-06-23 2007-01-11 Hitachi Ltd パケット中継装置及びパケット中継システム
JP2008282158A (ja) * 2007-05-09 2008-11-20 Ntt Docomo Inc 通信端末、送信制御システム、送信制御プログラム、及び送信制御方法

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040010710A1 (en) * 2002-07-10 2004-01-15 Wen-Hao Hsu Method and system for filtering requests to a web site
JP2005011180A (ja) * 2003-06-20 2005-01-13 Nec Corp Url検索システム及びそれに使用するサーバ並びにurl検索方法
US7752662B2 (en) * 2004-02-20 2010-07-06 Imperva, Inc. Method and apparatus for high-speed detection and blocking of zero day worm attacks
US7606821B2 (en) * 2004-06-30 2009-10-20 Ebay Inc. Method and system for preventing fraudulent activities
US20060064469A1 (en) * 2004-09-23 2006-03-23 Cisco Technology, Inc. System and method for URL filtering in a firewall
US20060168066A1 (en) * 2004-11-10 2006-07-27 David Helsper Email anti-phishing inspector
US7698442B1 (en) * 2005-03-03 2010-04-13 Voltage Security, Inc. Server-based universal resource locator verification service
US8079087B1 (en) * 2005-05-03 2011-12-13 Voltage Security, Inc. Universal resource locator verification service with cross-branding detection
US7562304B2 (en) * 2005-05-03 2009-07-14 Mcafee, Inc. Indicating website reputations during website manipulation of user information
US20090178131A1 (en) * 2008-01-08 2009-07-09 Microsoft Corporation Globally distributed infrastructure for secure content management

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007006054A (ja) * 2005-06-23 2007-01-11 Hitachi Ltd パケット中継装置及びパケット中継システム
JP2008282158A (ja) * 2007-05-09 2008-11-20 Ntt Docomo Inc 通信端末、送信制御システム、送信制御プログラム、及び送信制御方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
CSND200900180003; ボート ジュリー: 'セキュリティ・コストを削減に導く3つのキーワード 「統合」「SaaS」「セキュリティ・サービス」' COMPUTERWORLD 第6巻 第5号 第6巻, 20090319, 第39頁, (株)IDGジャパン *
JPN6013010503; ボート ジュリー: 'セキュリティ・コストを削減に導く3つのキーワード 「統合」「SaaS」「セキュリティ・サービス」' COMPUTERWORLD 第6巻 第5号 第6巻, 20090319, 第39頁, (株)IDGジャパン *

Also Published As

Publication number Publication date
EP2408166A4 (en) 2012-07-11
US20120023588A1 (en) 2012-01-26
JP5325335B2 (ja) 2013-10-23
EP2408166A1 (en) 2012-01-18
CA2757339A1 (en) 2010-10-07
EP2408166B1 (en) 2016-08-31
CA2757339C (en) 2017-09-05
WO2010111930A1 (zh) 2010-10-07
CN101854335A (zh) 2010-10-06

Similar Documents

Publication Publication Date Title
JP5325335B2 (ja) フィルタリング方法、システムおよびネットワーク機器
US20240031400A1 (en) Identifying Malware Devices with Domain Name System (DNS) Queries
CN105940655B (zh) 用于防范DDos攻击的系统
WO2018107784A1 (zh) 检测网页后门的方法和装置
US10015193B2 (en) Methods and devices for identifying the presence of malware in a network
US8726338B2 (en) Dynamic threat protection in mobile networks
WO2018121331A1 (zh) 攻击请求的确定方法、装置及服务器
CN104580216B (zh) 一种对访问请求进行限制的系统和方法
US20130291107A1 (en) System and Method for Mitigating Application Layer Distributed Denial of Service Attacks Using Human Behavior Analysis
WO2015200308A1 (en) Entity group behavior profiling
WO2016025081A1 (en) Collaborative and adaptive threat intelligence for computer security
KR20110089179A (ko) 네트워크 침입 방지
EP2382578A1 (en) Health-based access to network resources
EP3633948B1 (en) Anti-attack method and device for server
US20140013435A1 (en) Social Network Protection System
US20220329609A1 (en) Network Security Protection Method and Protection Device
KR100973076B1 (ko) 분산 서비스 거부 공격 대응 시스템 및 그 방법
Jeyanthi Internet of things (IoT) as interconnection of threats (IoT)
CN104796386B (zh) 一种僵尸网络的检测方法、装置和系统
KR20090093187A (ko) 네트워크 장치를 이용한 유해자료 원천차단 시스템 및 방법
WO2022183794A1 (zh) 一种流量处理方法、及防护系统
US11736528B2 (en) Low latency cloud-assisted network security with local cache
US10757118B2 (en) Method of aiding the detection of infection of a terminal by malware
US10601775B1 (en) Blocking download of content
Yan et al. Anti‐virus in‐the‐cloud service: are we ready for the security evolution?

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20130228

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20130312

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20130610

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20130702

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20130719

R150 Certificate of patent or registration of utility model

Ref document number: 5325335

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250