JP2016506115A - ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法 - Google Patents

ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法 Download PDF

Info

Publication number
JP2016506115A
JP2016506115A JP2015544166A JP2015544166A JP2016506115A JP 2016506115 A JP2016506115 A JP 2016506115A JP 2015544166 A JP2015544166 A JP 2015544166A JP 2015544166 A JP2015544166 A JP 2015544166A JP 2016506115 A JP2016506115 A JP 2016506115A
Authority
JP
Japan
Prior art keywords
computing device
target computing
security
network
network data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2015544166A
Other languages
English (en)
Other versions
JP5985071B2 (ja
Inventor
クーリー・ショーン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NortonLifeLock Inc
Original Assignee
Symantec Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Symantec Corp filed Critical Symantec Corp
Publication of JP2016506115A publication Critical patent/JP2016506115A/ja
Application granted granted Critical
Publication of JP5985071B2 publication Critical patent/JP5985071B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/2866Architectures; Arrangements
    • H04L67/30Profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic

Abstract

ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのコンピュータ実施方法は、(1)ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受する工程と、(2)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別する工程と、(3)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定する工程と、次いで、(4)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対する、所定のセキュリティ基準を満たすセキュリティ分析をネットワークデバイスにおいて実行する工程と、を含んでよい。様々な他の方法、システム、及びコンピュータ可読媒体もまた開示される。

Description

コンピュータネットワークは、同一ネットワークデータパケットに対して実質的に類似のセキュリティ分析を実行する複数のコンピューティングデバイスを含むことが多い。例えば、コンピュータネットワークには、ソースコンピューティングデバイスからターゲットコンピューティングデバイスへのデータパケットの伝送を容易にするゲートウェイデバイスが含まれることがある。この実施例では、ソースコンピューティングデバイスから1つ以上のデータパケットを受信すると、ゲートウェイデバイスは、ターゲットコンピューティングデバイスにデータパケットを転送する前に、このデータパケットに対して1つ以上のセキュリティ分析(侵入検出システム(IDS)分析、侵入防止システム(IPS)分析、アンチウイルス分析、及び/又はファイアウォール分析など)を実行することがある。しかしながら、ゲートウェイデバイスから転送されたデータパケットの受信時に、ターゲットコンピューティングデバイスは、このデータパケットに対して同じセキュリティ分析を重複して実行することがある。
残念ながら、かかる冗長セキュリティ分析は、貴重なネットワークリソースを消費し、コンピュータネットワークが最適なパフォーマンスを実現する妨げになり得る。したがって、ネットワークによって提供されるセキュリティレベルを低下させることなく、コンピュータネットワークに含まれる異なるコンピューティングデバイスによって実行される冗長セキュリティ分析を排除するためのシステム及び方法が必要である。
以下に詳細に記載されるように、本開示は、概して、ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法に関する。一実施例では、ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのコンピュータ実施方法は、(1)ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受する工程と、(2)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別する工程と、(3)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定する工程と、(4)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対する、所定のセキュリティ基準を満たすセキュリティ分析(IDS分析、IPS分析、アンチウイルス分析、及び/又はファイアウォール分析)をネットワークデバイスにおいて実行する工程と、を含んでよい。
一部の実施例では、この方法は、また、ターゲットコンピューティングデバイスを認証し、ターゲットコンピューティングデバイスに関する情報(例えば、ターゲットコンピューティングデバイスにインストールされているセキュリティシステム、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムの現在のステータス、セキュリティシステムが直近で更新されたカレンダー日付、ターゲットコンピューティングデバイスに関連付けられたネットワークアドレス、及び/又はターゲットコンピューティングデバイスの型若しくはモデル)を取得し、次いで、ターゲットコンピューティングデバイスにインストールされているセキュリティを識別するために、ターゲットコンピューティングデバイスに関する情報を記憶してネットワークデバイスがこの情報にアクセスできるようにする、クラウドベースサーバを提供する工程を含んでよい。
一部の実施例では、この方法はまた、ターゲットコンピューティングデバイスのユーザからユーザ資格情報を取得する工程を含んでよい。かかる実施例では、この方法は、クラウドベースサーバに関連付けられた認証データベースでターゲットコンピューティングデバイスのユーザから取得したユーザ資格情報を検索する工程を更に含んでよい。加えて、この方法は、クラウドベースサーバに関連付けられた認証データベースの検索中に、ターゲットコンピューティングデバイスのユーザから取得したユーザ資格情報を識別する工程を含んでよい。
一部の実施例では、この方法はまた、ネットワークデータパケットに関連付けられた宛先アドレスを識別する工程を含んでよい。かかる実施例では、この方法は、宛先アドレスをクラウドベースサーバに記憶された情報で指定されたネットワークアドレスと比較することにより、ネットワークデータパケットがターゲットコンピューティングデバイスを宛先とすることを判定する工程を更に含んでよい。加えて、この方法は、ネットワークデータパケットがターゲットコンピューティングデバイスを宛先とすることを判定すると、クラウドベースサーバに記憶された情報で指定されたセキュリティシステムを識別する工程を含んでよい。
一部の実施例では、この方法はまた、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムに対する少なくとも1つの変更の検出に応じて、クラウドベースサーバに記憶された情報を更新するようにターゲットコンピューティングデバイスに命令するように構成されている認証トークンをターゲットコンピューティングデバイスに提供する工程を含んでよい。かかる実施例では、この方法は、セキュリティシステムに対する変更を識別する更新情報をターゲットコンピューティングデバイスから受信する工程を更に含んでよい。加えて、この方法は、受信した更新情報に少なくとも部分的に基づいて、クラウドベースサーバに記憶された情報を更新してセキュリティシステムに対する変更を説明する工程を含んでよい。
一部の実施例では、この方法はまた、セキュリティ分析に少なくとも部分的に基づいて、ネットワークデータパケットがターゲットコンピューティングデバイスにセキュリティリスクをもたらさないことを判定する工程を含んでよい。かかる実施例では、この方法は、ネットワークデータパケットがターゲットコンピューティングデバイスにセキュリティリスクをもたらさないことを判定すると、ネットワークデバイスからターゲットコンピューティングデバイスへとネットワークデータパケットを転送する工程を更に含んでよい。
一部の実施例では、この方法はまた、セキュリティ分析に少なくとも部分的に基づいて、ネットワークデータパケットがターゲットコンピューティングデバイスにセキュリティリスクをもたらすことを判定する工程を含んでよい。かかる実施例では、この方法は、ネットワークデータパケットがターゲットコンピューティングデバイスにセキュリティリスクをもたらすことを判定すると、(ネットワークデバイスからターゲットコンピューティングデバイスへとネットワークデータパケットを転送するのではなく)ネットワークデータパケットを隔離する工程を更に含んでよい。
一部の実施例では、この方法はまた、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが異なる所定のセキュリティ基準を満たすことを判定する工程を含んでよい。かかる実施例では、この方法は、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが異なる所定のセキュリティ基準を満たすので、ネットワークデータパケットに対して異なる所定のセキュリティ基準を満たすセキュリティ分析を実行せずに、ネットワークデバイスからターゲットコンピューティングデバイスへとネットワークデータパケットを転送する工程を更に含んでよい。
一実施形態では、上述の方法を実施するためのシステムは、(1)ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受するようにプログラムされている傍受モジュールと、(2)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別するようにプログラムされている識別モジュールと、(3)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定するようにプログラムされている判定モジュールと、(4)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対する、所定のセキュリティ基準を満たすセキュリティ分析をネットワークデバイスにおいて実行するようにプログラムされているセキュリティモジュールと、を含んでよい。
一部の実施例では、上述の方法は、非一時的なコンピュータ可読記憶媒体上でコンピュータ可読命令としてコード化され得る。例えば、非一時的なコンピュータ可読記憶媒体は、ネットワークデバイスの少なくとも1つのプロセッサによって実行されるとき、ネットワークデバイスに、(1)ターゲットコンピューティングデバイスを宛先とする少なくとも1つネットワークデータパケットを傍受させ、(2)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別させ、(3)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定させ、次いで、(4)ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対して所定のセキュリティ基準を満たすセキュリティ分析を実行させる、1つ以上のコンピュータで実行可能な命令を含んでよい。
上述の実施形態のいずれかの特徴は、本明細書に記載される一般原理に従って、互いと組み合わせて使用されてもよい。これら及び他の実施形態、特徴、並びに利点は、添付の図面及び特許請求の範囲と併せて以下の発明を実施するための形態を読むことにより、更に十分に理解されるであろう。
以下の図面は、いくつかの例示的な実施形態を示し、本明細書の一部である。以下の説明と共に、これらの図面は、本開示の様々な原理を例証及び説明する。
ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的なシステムのブロック図である。 ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的なシステムのブロック図である。 ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的な方法のフロー図である。 ターゲットコンピューティングデバイスを宛先とする例示的なネットワークデータパケット及びターゲットコンピューティングデバイスに関する例示的な情報の図である。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステムのブロック図である。 本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングネットワークのブロック図である。
図面を通して、同一の参照文字及び説明は、類似だが必ずしも同一ではない要素を示す。本明細書に記載される例示的な実施形態は、様々な修正及び代替的な形態に影響されやすいが、特定の実施形態が例として図面に示され、本明細書に詳細に記載されるであろう。しかしながら、本明細書に記載される例示的な実施形態は、開示される特定の形態に限定されることを意図しない。むしろ、本開示は、添付の特許請求の範囲の範囲に入る全ての修正、等価物、及び代替物を網羅する。
本開示は、概して、ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法を目的とする。以下により詳細に記載されるように、コンピュータネットワークに含まれるコンピューティングデバイスを認証することにより、本明細書に記載の様々なシステム及び方法は、悪意あるネットワーク参加者によって悪用されるリスクなしに、認証されたコンピューティングデバイスがセキュリティ機能及び/又は脆弱性を公開できる、安全なコンピューティング環境をもたらし得る。悪意あるネットワーク参加者によって悪用されるリスクなしに、認証されたコンピューティングデバイスがセキュリティ機能及び/又は脆弱性を公開できる、安全なコンピューティング環境をもたらすことにより、本明細書に記載の様々なシステム及び方法はまた、ネットワークデバイス(ネットワークゲートウェイなど)が、認証されたコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たすかどうかを判定できるようにする。
加えて、ネットワークデバイスが、認証されたコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たすかどうかを判定できるようにすることにより、本明細書に記載のシステム及び方法は、認証されたコンピューティングデバイスを宛先とするネットワークデータパケットに対する冗長セキュリティ分析を排除し得る。更に、認証されたコンピューティングデバイスを宛先とするネットワークデータパケットに対する冗長セキュリティ分析を排除することにより、本明細書に記載のシステム及び方法は、ネットワークリソースの保存及び/又はコンピュータネットワークの全体的なパフォーマンスの向上を支援し得る。
図1〜2を参照して、ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的なシステムを以下に詳述する。対応するコンピュータ実施方法の詳細な説明は、図3に関連して提供される。ターゲットコンピューティングデバイスを宛先とする例示的なネットワークデータパケット及びターゲットコンピューティングデバイスに関する例示的な情報の詳細な説明は、図4に関連して提供される。加えて、本明細書に記載される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明は、図5及び6に関連してそれぞれ提供される。
図1は、ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的なシステム100のブロック図である。この図に例示されるように、例示的なシステム100は、1つ以上のタスクを実行するための1つ以上のモジュール102を含み得る。例えば、以下により詳細に記載されるように、例示的なシステム100は、ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受するようにプログラムされている傍受モジュール104を含んでよい。例示的なシステム100はまた、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別するようにプログラムされている識別モジュール106を含んでよい。
加えて、以下により詳細に記載されるように、例示的なシステム100は、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定するようにプログラムされている判定モジュール108を含んでよい。例示的なシステム100はまた、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対する、所定のセキュリティ基準を満たすセキュリティ分析をネットワークデバイスにおいて実行するようにプログラムされているセキュリティモジュール110を含んでよい。
更に、以下により詳細に記載されるように、例示的なシステム100は、ターゲットコンピューティングデバイスを認証するようにプログラムされている認証モジュール112を含んでよい。例示的なシステム100はまた、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別するために、ターゲットコンピューティングデバイスに関する情報を取得し、この情報を記憶して、ネットワークデバイスがこの情報にアクセスできるようにするようにプログラムされている情報モジュール114を含んでよい。別個の要素として示されるが、図1のモジュール102のうちの1つ以上は、単一モジュール又はアプリケーション(SYMANTECのNETWORK SECURITYなど)の一部を表し得る。
ある実施形態において、図1のモジュール102のうちの1つ以上は、コンピューティングデバイスにより実行されるとき、コンピューティングデバイスに1つ以上のタスクを実行させ得る、1つ以上のソフトウェアアプリケーション又はプログラムを表し得る。例えば、以下により詳細に記載されるように、モジュール102のうちの1つ以上は、図2に例示されるデバイス(例えば、ターゲットコンピューティングデバイス202、クラウドベースサーバ206、及び/又はネットワークデバイス208)、図5のコンピューティングシステム510、及び/又は図6の例示的なネットワークアーキテクチャ600の一部など1つ以上のコンピューティングデバイスで実行されるように記憶及び構成されるソフトウェアモジュールを表し得る。図1のモジュール102のうちの1つ以上はまた、1つ以上のタスクを実行するように構成される、1つ以上の特殊目的のコンピュータの全て又は部分を表し得る。
図1に図示されるように、例示的なシステム100はまた、ネットワークデータパケット118など1つ以上のネットワークデータパケットを含んでよい。例えば、ネットワークデータパケット118は、ファイルの全て又は一部を表すデータを含んでよい。この実施例では、ネットワークデータパケット118は、ペイロード及び/又はメタデータ(ペイロードの送信元及び/又は宛先を識別するデータなど)を含んでよい。加えて、ネットワークデータパケット118は、インターネット又はコンピュータネットワーク(イントラネットなど)に含まれるソースコンピューティングデバイスから送信されてよい。
図1の例示的なシステム100は、多様な方法で実装されてもよい。例えば、例示的なシステム100の全て又は一部分は、図2の例示的なシステム200の部分を表し得る。図2に示されるように、システム200は、ターゲットコンピューティングデバイス202及びクラウドベースサーバ206とネットワーク204を介して通信するネットワークデバイス208を含んでよい。
ネットワークデバイス208は、モジュール102のうちの1つ以上と共にプログラムされてよい、及び/又はターゲットコンピューティングデバイス202を宛先とするネットワークデータパケット118を傍受していてよい。加えて、又は代わりに、クラウドベースサーバ206は、モジュール102のうちの1つ以上と共にプログラムされてよい、並びに/又はターゲットコンピューティングデバイス202及び/若しくはターゲットコンピューティングデバイス202の認証に使用された認証データベース212に関する情報210の全て又は一部を記憶してよい。加えて、又は代わりに、ターゲットコンピューティングデバイス202は、セキュリティシステム216及び/又はクラウドベースサーバ206に記憶された情報210の更新を容易にするために使用される認証トークン214を含んでよい。
一実施形態では、図1のモジュール102の1つ以上は、ネットワークデバイス208の少なくとも1つプロセッサ及び/又はクラウドベースサーバ206によって実行されるとき、ネットワークデバイス208及び/又はクラウドベースサーバ206によるネットワークデータパケットに対する冗長セキュリティ分析の排除を容易にしてよい。例えば、以下により詳細に記載されるように、モジュール102のうちの1つ以上は、ネットワークデバイス208及び/又はクラウドベースサーバ206に、(1)ターゲットコンピューティングデバイス202を宛先とするネットワークデータパケット118を傍受させ、(2)ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216を識別させ、(3)ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準を満たしていないことを判定させ、次いで、(4)ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケット118に対する所定のセキュリティ基準を満たすセキュリティ分析を実行させてよい。
ターゲットコンピューティングデバイス202は、概して、コンピュータで実行可能な命令を読み取ることが可能な任意の種類又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤ、埋め込みシステム、これらの1つ以上の組み合わせ、図5の例示的なコンピューティングシステム510、及び/又は任意の他の好適なコンピューティングデバイスが挙げられるが、これらに限定されない。
クラウドベースサーバ206は、概して、コンピュータネットワークに含まれる他のコンピューティングデバイスを認証できる、及び/又はコンピュータネットワークに含まれる他のコンピューティングデバイスに関する情報を記憶できる、任意の種類又は形態の1つ以上のコンピューティングデバイス群を表す。クラウドベースサーバ206の例としては、特定のソフトウェアアプリケーションを実行する、並びに/又は様々なウェブ、記憶、及び/若しくはデータベースサービスを提供するように構成されている、アプリケーションサーバ、ウェブサーバ、記憶装置サーバ、及び/若しくはデータベースサーバが挙げられるが、これらに限定されない。
ネットワークデバイス208は、概して、傍受できる、転送できる、及び/又は別の方法であるコンピューティングデバイスから別のコンピューティングデバイスへのネットワークデータパケットの伝送を容易にすることができる、任意の種類又は形態のコンピューティングデバイスを表す。ネットワークデバイス208の例としては、ネットワークゲートウェイ、デフォルトゲートウェイ、ルータ、ノード、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤ、組み込みシステム、これらの1つ以上の組み合わせ、図5の例示的なシステム510、及び/又は任意の他のネットワークデバイスが挙げられるが、これらに限定されない。
ネットワーク204は、概して、通信又はデータ転送を容易にすることが可能な任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、イントラネット、TCP/IPネットワーク、広域ネットワーク(WAN)、ローカルエリアネットワーク(LAN)、パーソナルエリアネットワーク(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、グローバルシステムフォーモービルコミュニケーションズ(GSM(登録商標))ネットワーク)、図6の例示的なネットワークアーキテクチャ600などが挙げられるが、これらに限定されない。ネットワーク204は、無線又は有線接続を使用して通信又はデータ転送を容易にし得る。一実施形態では、ネットワーク204は、ネットワークデバイス208、ターゲットコンピューティングデバイス202、及び/又はクラウドベースサーバ206間の通信を促進してよい。
セキュリティシステム216は、概して、潜在的に悪意あるアクティビティに対してコンピューティングデバイスの正常性及び/又はこれに記憶された任意の情報を保護するように構成されている、任意の種類又は形態のセキュリティソフトウェアを表す。セキュリティシステム216の例としては、スタンドアロンのセキュリティシステム、分散型又はクラウドベースのセキュリティシステムに組み込まれたセキュリティクライアント、アンチウイルスセキュリティシステム(例えば、SYMANTECのNORTON ANTIVIRUS)、インターネットセキュリティシステム(例えば、SYMANTECのNORTON INTERNET SECURITY)、ネットワークセキュリティシステム(例えば、SYMANTECのNETWORK SECURITY)、ファイアウォールセキュリティシステム、これらの1つ以上の組み合わせ、及び/又は任意の他の好適なセキュリティシステムが挙げられるが、これらに限定されない。
図3は、ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的なコンピュータ実施方法300のフロー図である。図3に示される工程は、任意の好適なコンピュータで実行可能なコード及び/又はコンピューティングシステムにより実施されてもよい。いくつかの実施形態では、図3に示す工程は、図1におけるシステム100、図2におけるシステム200、図5におけるコンピューティングシステム510、及び/又は図6における例示的なネットワークアーキテクチャ600の一部の1つ以上のコンポーネントよって実行されてもよい。
図3に図示されるように、工程302において、本明細書に記載の様々なシステムのうちの1つ以上は、ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットを傍受してよい。例えば、傍受モジュール104は、ネットワークデバイス208の一部として、ターゲットコンピューティングデバイス202を宛先とするネットワークデータパケット118を傍受してよい。この実施例では、ネットワークデータパケット118は、少なくとも1つのファイルの全て又は一部を表すデータを含んでよい。
本明細書に説明されるシステムは、様々な方法で工程302を実施してもよい。一実施例では、ターゲットコンピューティングデバイス202は、ターゲットコンピューティングデバイスのネットワークの外部のコンピューティングデバイスに記憶された特定のデータを取得する要求を送信してよい。例えば、ターゲットコンピューティングデバイス202は、インターネットを介してアクセス可能なウェブサイトをホストするサーバ(図2に図示なし)から特定のファイルをダウンロードする要求を送信してよい。この実施例では、サーバは、この要求に応じて、ターゲットコンピューティングデバイス202へのネットワークデータパケット118の伝送を開始してよい。ネットワークデータパケット118は、ターゲットコンピューティングデバイス202によって要求された、サーバからのファイルの全て又は一部を表すデータを含んでよい。
図4に図示されるように、ネットワークデータパケット118は、コンピュータネットワークに含まれるターゲットコンピューティングデバイスに関連付けられた宛先アドレス(この実施例では、「A0−88−B4−78−4D−08」)を指定するメタデータと、ターゲットコンピューティングデバイスによってダウンロードされる少なくとも1つのファイルの全て又は一部を表すデータを含むペイロード(この実施例では、「0x1738F12A」〜「0xD128B379」)と、を含んでよい。一実施例では、データパケットのメタデータで識別された宛先アドレスは、ターゲットコンピューティングデバイス202に割り当てられたメディアアクセス制御(MAC)アドレスを含んでよい。
ネットワークデータパケット118が、ターゲットコンピューティングデバイス202に向かう途中でコンピュータネットワークに入るため、傍受モジュール104は、ネットワークデバイス208においてネットワークデータパケット118を傍受してよい。例えば、傍受モジュール104は、ネットワークデータパケット118がターゲットコンピューティングデバイス202に向かって進むときに、ネットワークデバイス208においてネットワークデータパケット118を受信してよい。この実施例では、以下により詳細に記載されるように、ネットワークデバイス208はネットワークデータパケット118を分析し、少なくともターゲットコンピューティングデバイス202のセキュリティ機能が所定のセキュリティ基準を満たすかどうかを判定するまでは、ネットワークデータパケット118がターゲットコンピューティングデバイス202に向かって進まないようにしてよい。
一部の実施例では、ネットワークデバイス208は、ターゲットコンピューティングデバイス202が、同一コンピュータネットワーク又は異なるコンピュータネットワークに含まれる異なるコンピューティングデバイスに記憶されたデータを受信できるようにする、及び/又はこれらにアクセスできるようにするゲートウェイを表し得る。一実施例では、ネットワークデバイス208は、コンピュータネットワークに対するファイアウォールとして機能してよい。加えて、又は代わりに、ネットワークデバイス208は、ターゲットコンピューティングデバイス202を含むコンピュータネットワークとは異なる通信プロトコルを実施するインタフェースとして機能してよい。
図3に図示されるように、工程304において、本明細書に記載の様々なシステムのうちの1つ以上は、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別する。例えば、識別モジュール106は、ネットワークデバイス208の一部として、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216を識別する。この実施例では、セキュリティシステム216は、潜在的に悪意あるアクティビティに対してターゲットコンピューティングデバイス202の正常性及び/又はこれに記憶された情報を保護するように構成されてよい。
本明細書に記載されるシステムは、様々な手法で工程304を実行することができる。一部の実施例では、識別モジュール106は、ターゲットコンピューティングデバイス202に関する情報にアクセスして、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステムを識別してよい。例えば、識別モジュール106は、クラウドベースサーバ206からターゲットコンピューティングデバイス202に関する情報210へのアクセスを要求してよい。この実施例では、クラウドベースサーバ206は、識別モジュール106による情報210へのアクセスを可能にする前に、ネットワークデバイス208がターゲットコンピューティングデバイス202に関する情報にアクセスするのに十分な管理権限を有しているかどうかを確認してよい。ネットワークデバイス208が十分な管理権限を有していることをクラウドベースサーバ206が確認した後で、識別モジュール106は、クラウドベースサーバ206に記憶された情報210にアクセスして、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステムを識別してよい。
図4に図示されるように、情報210は、特定のコンピューティングデバイス(この実施例では、「ターゲットコンピューティングデバイス202」)、このコンピューティングデバイスに割り当てられたネットワークアドレス(この実施例では、「A0−88−B4−78−4D−08」)、このコンピューティングデバイスにインストールされているセキュリティシステム(この実施例では、「SYMANTECのNORTON ANTIVIRUS」)、このコンピューティングデバイスにインストールされているセキュリティシステムの現在のステータス(この実施例では、「オン」)、セキュリティシステムの直近のセキュリティ更新日(この実施例では、「09/15/2012」)、並びにこのコンピューティングデバイスの型及び/又はモデル(この実施例では、「LENOVO THINKPAD T430」)を指定してよい。
一実施例では、識別モジュール106は、ネットワークデータパケットのメタデータで指定された宛先アドレスを識別してよい。例えば、識別モジュール106は、ネットワークデータパケット118に含まれるメタデータを分析し、この分析に少なくとも部分的に基づいて、ネットワークデータパケット118がネットワークアドレス「A0−88−B4−78−4D−08」に関連付けられたコンピューティングデバイスを宛先とすることを判定してよい。この実施例では、識別モジュール106は、ネットワークデータパケットのメタデータで指定された宛先アドレスを情報210で指定されたネットワークアドレス「A0−88−B4−78−4D−08」と比較してよい。次いで、識別モジュール106は、この比較に少なくとも部分的に基づいて、ネットワークデータパケット118がターゲットコンピューティングデバイス202を宛先とすることを判定してよい。
一実施例では、ネットワークデータパケット118がターゲットコンピューティングデバイス202を宛先とすると判定すると、識別モジュール106は、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステムを識別してよい。例えば、識別モジュール106は、情報210でターゲットコンピューティングデバイス202にインストールされているセキュリティシステムを検索してよい。この実施例では、識別モジュール106は、情報210でターゲットコンピューティングデバイス202にインストールされているセキュリティシステムを検索する間に、セキュリティシステム216を識別してよい。
加えて、又は代わりに、識別モジュール106は、現在、ターゲットコンピューティングデバイス202にはセキュリティシステムがインストールされていないことを判定してよい。例えば、ターゲットコンピューティングデバイス202では、まだセキュリティシステムがインストールされていなくてよい。この実施例では、識別モジュール106は、ターゲットコンピューティングデバイス202に関する情報でターゲットコンピューティングデバイス202にインストールされている全てのセキュリティシステムを検索してよい。次いで、識別モジュール106は、ターゲットコンピューティングデバイス202に関する情報を検索する間に、ターゲットコンピューティングデバイス202にインストールされている全てのセキュリティシステムを検索できないことがある。
一部の実施例では、クラウドベースサーバ206は、コンピュータネットワークに含まれる1つ以上のコンピューティングデバイスを認証してよい。例えば、認証モジュール112は、コンピュータネットワークへの参加時に、クラウドベースサーバ206の一部としてターゲットコンピューティングデバイス202及び/又はネットワークデバイス208を認証してよい。クラウドベースサーバ206でターゲットコンピューティングデバイス202及び/又はネットワークデバイス208を認証することにより、認証モジュール112は、悪意あるネットワーク参加者によって悪用されるリスクなしに、ターゲットコンピューティングデバイス202及び/又はネットワークデバイス208のセキュリティ機能及び/又は脆弱性を公開できる安全なコンピューティング環境をコンピュータネットワークが確実に提供できるようにしてよい。
一実施例では、認証モジュール112は、ターゲットコンピューティングデバイス202のユーザからユーザ資格情報を取得してよい。例えば、認証モジュール112は、ターゲットコンピューティングデバイス202のユーザが、コンピュータネットワークに関連付けられたユーザ名及びパスワードを作成できるようにしてよい。この実施例では、認証モジュール112は、次いで、ターゲットコンピューティングデバイス202のユーザによって作成されたユーザ名及びパスワードを認証データベース212に記憶してよい。
一実施例では、認証モジュール112は、(少なくとも1つの機会において)ターゲットコンピューティングデバイス202のユーザのユーザ名及びパスワードを取得して、クラウドベースサーバ206でターゲットコンピューティングデバイス202を認証してよい。例えば、ネットワークデバイス208は、ターゲットコンピューティングデバイス202によるコンピュータネットワークへの参加の試みを検出してよい。この実施例では、ターゲットコンピューティングデバイス202によるコンピュータネットワークへの参加の試みを検出すると、ネットワークデバイス208は、ターゲットコンピューティングデバイス202のユーザのユーザ名及びパスワードを要求してよい。
一実施例では、ネットワークデバイス208は、この要求に応じて、ターゲットコンピューティングデバイス202のユーザのユーザ名及びパスワードを受信してよい。この実施例では、ターゲットコンピューティングデバイス202のユーザのユーザ名及びパスワードを受信すると、ネットワークデバイス208は、認証モジュール112にユーザ名及びパスワードを提供してよい。次いで、認証モジュール112は、認証データベース212でユーザ名及びパスワードを検索し、検索中にこれらを識別することにより、クラウドベースサーバ206でターゲットコンピューティングデバイス202を認証してよい。
類似の実施例では、認証モジュール112は、ネットワークグデバイス208のユーザからユーザ資格情報を取得してよい。例えば、認証モジュール112は、ネットワークデバイス208に関連付けられたネットワーク管理者が、コンピュータネットワークに関連付けられたユーザ名及びパスワードを作成できるようにしてよい。この実施例では、認証モジュール112は、次いで、ネットワーク管理者によって作成されたユーザ名及びパスワードを認証データベース212に記憶してよい。
一実施例では、認証モジュール112は、(少なくとも1つの機会において)ネットワークデバイス208に関連付けられたネットワーク管理者のユーザ名及びパスワードを取得して、クラウドベースサーバ206でネットワークデバイス208を認証してよい。例えば、ネットワーク管理者は、ネットワークデバイス208を起動して、コンピュータネットワーク内でのデータパケットの伝送の促進を開始してよい。この実施例では、起動プロセス中に、ネットワークデバイス208は、ネットワークデバイス208に関連付けられたネットワーク管理者のユーザ名及びパスワードを要求してよい。
一実施例では、ネットワークデバイス208は、この要求に応じて、ネットワーク管理者のユーザのユーザ名及びパスワードを受信してよい。この実施例では、ネットワーク管理者のユーザのユーザ名及びパスワードを受信すると、ネットワークデバイス208は、認証モジュール112にユーザ名及びパスワードを提供してよい。次いで、認証モジュール112は、認証データベース212でユーザ名及びパスワードを検索し、検索中にこれらを識別することにより、クラウドベースサーバ206でネットワークデバイス208を認証してよい。
一部の実施例では、クラウドベースサーバ206は、1人以上のユーザ及び/又はコンピュータネットワークに含まれるコンピューティングデバイスから情報210を取得してよい。例えば、情報モジュール114は、クラウドベースサーバ206の一部として、ターゲットコンピューティングデバイス202に関する情報についてターゲットコンピューティングデバイス202及び/又はネットワークデバイス208にクエリしてよい。加えて、又は代わりに、情報モジュール114は、ターゲットコンピューティングデバイス202に関する情報についてターゲットコンピューティングデバイス202のユーザ及び/又はネットワークデバイス208に関連付けられた管理者にクエリしてよい。かかるクエリに応じて、情報モジュール114は、安全な通信プロトコル(ハイパーテキスト転送プロトコルセキュア(HTTPS))を使用してターゲットコンピューティングデバイス202に関する情報を受信し、この情報を情報210としてクラウドベースサーバ206に記憶してよい。
一部の実施例では、認証モジュール112は、認証プロセス中に、ターゲットコンピューティングデバイス202に認証トークンを提供する。例えば、認証モジュール112は、ターゲットコンピューティングデバイス202に情報210の更新を命令するように構成されている認証トークン214をターゲットコンピューティングデバイス202に提供してよい。一実施例では、認証トークン214は、定期的に(例えば、週に1回)情報210を更新するようにターゲットコンピューティングデバイス202に命令してよい。別の実施例では、認証トークン214は、セキュリティシステム216に対する少なくとも1つの変更(例えば、セキュリティ更新、セキュリティシステムの現在のステータスの変更、及び/又は新しいセキュリティシステム)又はデバイスのネットワークアドレス(例えば、新しいネットワークアドレス)に対する少なくとも1つの変更の検出に応じて情報210を更新するようにターゲットコンピューティングデバイス202に命令してよい。
一実施例では、認証トークン214は、セキュリティシステム216又はデバイスのネットワークアドレスに対する変更を識別する更新情報を認証モジュール112に提供するようにターゲットコンピューティングデバイス202に命令してよい。この実施例では、認証モジュール112は、安全な通信プロトコルを介してターゲットコンピューティングデバイス202から更新情報を受信してよい。次いで、認証モジュール112は、ターゲットコンピューティングデバイス202から受信した更新情報に少なくとも部分的に基づいて、情報210を更新して、セキュリティシステム216又はデバイスのネットワークアドレスに対する変更を説明してよい。
図3に図示されるように、工程306において、本明細書に記載の様々なシステムのうちの1つ以上は、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないことを判定してよい。例えば、判定モジュール108は、ネットワークデバイス208の一部として、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準を満たしていないことを判定してよい。本明細書で使用される場合、「所定のセキュリティ基準」という表現は、概して、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムがネットワークデータパケットに対して特定のキュリティ分析実行できる、任意の種類又は形態の資格又は要件を指す。
本明細書に説明されるシステムは、様々な方法で工程306を実施してもよい。一部の実施例では、判定モジュール108は、コンピュータネットワークによって課せられる所定のセキュリティ基準を識別してよい。かかる実施例では、判定モジュール108は、所定のセキュリティ基準がネットワークデータパケット118に特定のセキュリティ分析を要求することを判定してよい。このセキュリティ分析の例としては、1つ以上の特定のIDS分析、IPS分析、アンチウイルス分析、ファイアウォール分析、評価ベースのセキュリティ分析、ヒューリスティックベースのセキュリティ分析、シグニチャベースのセキュリティ分析、これらの1つ以上の組み合わせ、及び/又は任意の他の好適なセキュリティ分析が挙げられるが、これらに限定されない。
一部の実施例では、判定モジュール108は、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216に関する情報にアクセスして、セキュリティシステム216が所定のセキュリティ基準を満たすかどうかを判定してよい。例えば、判定モジュール108は、ネットワークデバイス208にローカル記憶されているセキュリティシステム216に関する情報にアクセスしてよい。別の例では、判定モジュール108は、クラウドベースサーバ206にリモート記憶されているセキュリティシステム216に関する情報にアクセスしてよい。更なる例では、判定モジュール108は、インターネットを介してセキュリティシステム216に関する情報にアクセスしてよい。
一部の実施例では、セキュリティシステム216に関する情報にアクセスすると、判定モジュール108は、セキュリティシステム216に関する情報を所定のセキュリティ基準と比較して、セキュリティシステム216が、所定のセキュリティ基準で要求されるセキュリティ分析を現在実行できるかどうかを判定してよい。例えば、判定モジュール108は、セキュリティシステム216に関する情報で指定されたものとしてセキュリティシステム216のセキュリティ機能を識別してよい。この実施例では、判定モジュール108は、セキュリティシステム216のセキュリティ機能を所定のセキュリティ基準で要求されるセキュリティ分析と比較してよい。
次いで、判定モジュール108は、この比較に少なくとも部分的に基づいて、セキュリティシステム216が所定のセキュリティ基準で要求されるセキュリティ分析を現在実行できないことを判定してよい。以下により詳細に記載されるように、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準が満たすことを判定することにより、判定モジュール108は、セキュリティモジュール110がネットワークデータパケット118に対して実行される冗長セキュリティ分析を排除できるようにしてよい。
一部の実施例では、判定モジュール108はまた、セキュリティシステム216が異なるセキュリティ基準を満たすことを判定してよい。例えば、判定モジュール108は、コンピュータネットワークによって課せられる、異なるセキュリティ基準を識別してよい。この実施例では、判定モジュール108は、異なる所定のセキュリティ基準がネットワークデータパケット118に異なるセキュリティ分析を要求することを判定してよい。この異なるセキュリティ分析の例としては、1つ以上の特定のIDS分析、IPS分析、アンチウイルス分析、ファイアウォール分析、評価ベースのセキュリティ分析、ヒューリスティックベースのセキュリティ分析、シグニチャベースのセキュリティ分析、これらの1つ以上の組み合わせ、及び/又は任意の他の好適なセキュリティ分析が挙げられるが、これらに限定されない。
一実施例では、判定モジュール108は、セキュリティシステム216に関する情報を異なる所定のセキュリティ基準と比較してよい。この実施例では、判定モジュール108は、この比較に少なくとも部分的に基づいて、セキュリティシステム216が、異なる所定のセキュリティ基準で要求される、異なるセキュリティ分析を現在実行できることを判定してよい。
特定の実施例では、判定モジュール108は、セキュリティシステム216が所定のセキュリティ基準で要求される特定のIDS及びIPS分析を実行できないことを判定してよい(例えば、セキュリティシステム216は、いずれのIDS及びIPS分析も実行しないか、セキュリティシステム216で実行されるIDS及びIPS分析は最新ではないため)。しかしながら、判定モジュール108はまた、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が、異なる所定のセキュリティ基準で要求される特定のアンチウイルス及びファイアウォール分析を実行できることを判定してよい。
図3に図示されるように、工程308において、本明細書に記載の様々なシステムのうちの1つ以上は、ターゲットコンピューティングデバイスにインストールされているセキュリティシステムが所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデータパケットに対して所定のセキュリティ基準を満たすセキュリティ分析を実行する。例えば、セキュリティモジュール110は、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、ネットワークデバイス208の一部として、ネットワークデータパケット118に対する所定のセキュリティ基準を満たすセキュリティ分析を実行してよい。換言すれば、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が、所定のセキュリティ基準で要求されるセキュリティ分析を現在実行できないため、セキュリティモジュール110は、ネットワークデバイス208においてネットワークデータパケット118に対するセキュリティ分析を実行してよい。
本明細書に記載されるシステムは、様々な手法で工程308を実行することができる。一部の実施例では、セキュリティモジュール110は、ネットワークデータパケット118をターゲットコンピューティングデバイス202に転送する前に、このパケットに対するセキュリティ分析を実行してよい。一実施例では、セキュリティモジュール110は、セキュリティ分析に少なくとも部分的に基づいて、ネットワークデータパケット118が既知のセキュリティリスクをターゲットコンピューティングデバイス202にもたらさないことを判定してよい。この実施例では、ネットワークデータパケット118が既知のセキュリティリスクをターゲットコンピューティングデバイス202にもたらさないため、セキュリティモジュール110は、次いで、ネットワークデバイス208からターゲットコンピューティングデバイス202へとネットワークデータパケット118を転送してよい。
別の実施例では、セキュリティモジュール110は、セキュリティ分析に少なくとも部分的に基づいて、ネットワークデータパケット118が既知のセキュリティリスクをターゲットコンピューティングデバイス202にもたらすことを判定してよい。この実施例では、セキュリティモジュール110は、ネットワークデバイス208からターゲットコンピューティングデバイス202へとネットワークデータパケット118を転送するのではなく、次いで、(例えば、ネットワークデータパケット118がターゲットコンピューティングデバイス202に進まないようにすることにより)ネットワークデータパケット118を隔離してよい。
一部の実施例では、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が異なる所定のセキュリティ基準を満たすという判定に応じて、セキュリティモジュール110は、ネットワークデバイス208においてネットワークデータパケット118に対する異なるセキュリティ分析を実行せずに、ネットワークデバイス208からターゲットコンピューティングデバイス202へとネットワークデータパケット118を転送してよい。換言すれば、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216はネットワークデータパケット118に対して異なるセキュリティ分析を実行できるため、セキュリティモジュール110は、異なる所定のセキュリティ基準で要求される、異なるセキュリティ分析をネットワークデータパケット118に対して実行しない。
特定の実施例では、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が所定のセキュリティ基準で要求されるIDS及びIPS分析を実行できないため、セキュリティモジュール110は、かかるIDS及びIPS分析をネットワークデータパケット118に対して実行してよい。その一方、ターゲットコンピューティングデバイス202にインストールされているセキュリティシステム216が、異なる所定のセキュリティ基準で要求される、特定のアンチウイルス及びファイアウォール分析を実行できるため、セキュリティモジュール110は、かかるアンチウイルス及びファイアウォール分析を実行せずに、ターゲットコンピューティングデバイス202にネットワークデータパケット118を転送してよい。
図3の方法300に関連して上述したように、コンピュータネットワークは、認証されたコンピューティングデバイスを宛先とするネットワークデータパケットに対する冗長セキュリティ分析を排除してよい。例えば、コンピュータネットワークは、悪意あるネットワーク参加者によって悪用されるリスクなしに、認証されたコンピューティングデバイスがセキュリティ機能及び/又は脆弱性を公開できる、安全なコンピューティング環境をもたらしてよい。コンピューティングデバイスのユーザがコンピュータネットワークへの参加を試みるとき、ユーザは、ネットワークのクラウドベースサーバでコンピューティングデバイスのワンタイム認証を実行することが必要であり得る。この認証中、ユーザのコンピューティングデバイスは、コンピューティングデバイスに現在インストールされている全てのセキュリティシステムを識別する情報をネットワークのクラウドベースサーバに提供することがある。
クラウドベースサーバは、ユーザのコンピューティングデバイスからこの情報を受信し、次いで、要求に応じて、ネットワークのゲートウェイデバイスにこの情報を提供する。例えば、コンピューティングデバイスのユーザは、インターネットからのファイルのダウンロードを試み得る。ファイルはユーザのコンピューティングデバイスに向かう途中でコンピュータネットワークに入るため、ネットワークのゲートウェイデバイスはファイルを傍受し、ユーザのコンピューティングデバイスにインストールされているセキュリティシステムを識別する情報についてクラウドベースサーバにクエリする。ネットワークのゲートウェイデバイスからのこのクエリに応じて、クラウドベースサーバは、ユーザのコンピューティングデバイスにインストールされているセキュリティシステムを識別する情報をゲートウェイに提供してよい。
ネットワークのゲートウェイデバイスは、クラウドベースサーバから情報を受信し、次いで、この情報を使用して、ユーザのコンピューティングデバイスがコンピュータネットワークによって課せられる所定のセキュリティ基準を満たすかどうかを判定してよい。例えば、ゲートウェイデバイスは、この情報を所定のセキュリティ基準と比較して、ユーザのコンピューティングデバイスにインストールされているセキュリティシステムが、所定のセキュリティ基準で要求される少なくとも1つのセキュリティ分析を現在実行できるかどうかを判定してよい。この実施例では、ゲートウェイデバイスは、この比較に少なくとも部分的に基づいて、セキュリティシステムが所定のセキュリティ基準で要求されるセキュリティ分析を現在実行できないことを判定してよい。セキュリティシステムがセキュリティ分析を現在実行できないと判定されると、ゲートウェイデバイスは、ユーザのコンピューティングデバイスにファイルを転送する前に、ファイルに対するセキュリティ分析を実行してよい。
ユーザのコンピューティングデバイスにインストールされているセキュリティシステムがセキュリティ分析を現在実行できないことを判定することにより、ゲートウェイデバイスは、コンピュータネットワークに含まれる異なるコンピューティングデバイスが、ファイルに対して同じセキュリティ分析を重複して実行しないようにする。加えて、コンピュータネットワークに含まれる異なるコンピューティングデバイスがファイルに対して同一のセキュリティ分析を重複して実行しないようにすることにより、ゲートウェイデバイスは、ネットワークリソースの保存及び/又はネットワーク全体のパフォーマンスの向上を支援し得る。
図5は、本明細書に記載及び/又は図示される実施形態のうちの1つ以上を実装することができる例示的なコンピューティングシステム510のブロック図である。例えば、コンピューティングシステム510の全て又は一部は、単独又は他の要素との組み合わせのいずれかで、傍受、識別、判定、実行、提供、認証、取得、記憶、検索、比較、受信、更新、転送、及び隔離の各工程の1つ以上を実行してよい、及び/又はこれらを実行するための手段であってよい。コンピューティングシステム510の全て又は一部はまた、本明細書に記載及び/若しくは図示される任意の他の工程、方法、又はプロセスを実行し、及び/又はそれらを実行するための手段であり得る。
コンピューティングシステム510は、コンピュータ可読命令を実行することができるあらゆるシングル又はマルチプロセッサのコンピューティングデバイスを広く表す。コンピューティングシステム510の例としては、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は任意の他のコンピューティングシステム若しくはデバイスが挙げられるが、これらに限定されない。その最も基本的な構成では、コンピューティングシステム510は、少なくとも1つのプロセッサ514と、システムメモリ516とを含むことができる。
プロセッサ514は一般的に、データを処理するか、又は命令を解釈及び実行することができるあらゆるタイプ又は形態の処理ユニットを表す。特定の実施形態では、プロセッサ514は、ソフトウェアアプリケーション又はモジュールから命令を受信することができる。これらの命令は、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上の機能をプロセッサ514に実行させることができる。
システムメモリ516は一般的に、データ及び/又は他のコンピュータ可読命令を記憶することができるあらゆるタイプ又は形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ516の例としては、ランダムアクセスメモリ(RAM)、読み出し専用メモリ(ROM)、フラッシュメモリ、又は任意の他の好適なメモリデバイスが挙げられるが、これらに限定されない。必須ではないが、特定の実施形態では、コンピューティングシステム510は、揮発性メモリユニット(例えば、システムメモリ516など)及び不揮発性記憶デバイス(以下に詳細に記載されるように、例えば、一次記憶デバイス532など)の両方を含むことができる。一実施例において、図1のモジュール102のうちの1つ以上は、システムメモリ516にロードされ得る。
特定の実施形態では、例示的なコンピューティングシステム510はまた、プロセッサ514及びシステムメモリ516に加えて、1つ以上の構成要素又は要素を含むことができる。例えば、図5に示されるように、コンピューティングシステム510は、メモリコントローラ518と、入力/出力(I/O)コントローラ520と、通信インタフェース522とを含むことができ、これらの各々は、通信基盤512を介して相互接続され得る。通信基盤512は一般的に、コンピューティングデバイスのうちの1つ以上の構成要素間の通信を容易にすることができるあらゆるタイプ又は形態の基盤を表す。通信インフラストラクチャ512の例としては、非限定的に、通信バス(産業標準構成(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)及びネットワークが挙げられる。
メモリコントローラ518は一般的に、メモリ若しくはデータを処理するか、又はコンピューティングシステム510のうちの1つ以上の構成要素間の通信を制御することができるあらゆるタイプ又は形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ518は、通信基盤512を介してプロセッサ514と、システムメモリ516と、I/Oコントローラ520との間の通信を制御することができる。
I/Oコントローラ520は一般的に、コンピューティングデバイスの入力及び出力関数を調整及び/又は制御することができるあらゆるタイプ又は形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ520は、プロセッサ514、システムメモリ516、通信インタフェース522、ディスプレイアダプタ526、入力インタフェース530、及び記憶インタフェース534など、コンピューティングシステム510のうちの1つ以上の要素間のデータの転送を制御又は容易にすることができる。
通信インタフェース522は、例示的なコンピューティングシステム510及び1つ以上の追加のデバイス間の通信を容易にすることができるあらゆるタイプ又は形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、通信インタフェース522は、コンピューティングシステム510と追加のコンピューティングシステムを含む私的又は公的ネットワークとの間の通信を容易にすることができる。通信インタフェース522の例としては、有線ネットワークインタフェース(ネットワークインタフェースカードなど)、無線ネットワークインタフェース(無線ネットワークインタフェースカードなど)、モデム、及び任意の他の好適なインタフェースが挙げられるが、これらに限定されない。少なくとも1つの実施形態では、通信インタフェース522は、インターネットなどのネットワークへの直接リンクを介してリモートサーバへの直接接続を提供することができる。通信インタフェース522はまた、例えば、ローカルエリアネットワーク(イーサネットネットワーク(「イーサネット」は登録商標、以下同じ)など)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、携帯電話接続、衛星データ接続、又は任意の他の好適な接続を介するかかる接続を間接的に提供することができる。
特定の実施形態では、通信インタフェース522はまた、外部バス又は通信チャネルを介して、コンピューティングシステム510と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成されるホストアダプタを表すことができる。コンピュータ可読記憶媒体の例としては、これらに限定されないが、Small Computer System Interface(SCSI)ホストアダプタ、Universal Serial Bus(USB)ホストアダプタ、Institute of Electrical and Electronics Engineers(IEEE)1394ホストアダプタ、Advanced Technology Attachment(ATA)、Parallel ATA(PATA)、Serial ATA(SATA)、及びExternal SATA(eSATA)ホストアダプタ、ファイバチャネルインタフェースアダプタ、イーサネットアダプタなどが挙げられる。通信インタフェース522はまた、コンピューティングシステム510が分散型又はリモートコンピューティングに関与するのを可能にすることができる。例えば、通信インタフェース522は、リモートデバイスから命令を受信し、実行するためにリモートデバイスに命令を送信することができる。
図5に示されるように、コンピューティングシステム510はまた、ディスプレイアダプタ526を介して通信基盤512に連結された少なくとも1つの表示デバイス524を含むことができる。表示デバイス524は一般的に、ディスプレイアダプタ526によって転送された情報を視覚的に表示することができるあらゆるタイプ又は形態のデバイスを表す。同様に、ディスプレイアダプタ526は一般的に、表示デバイス524に表示するために通信基盤512から(又は当該技術分野において既知であるようにフレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成されるあらゆるタイプ又は形態のデバイスを表す。
図5に示されるように、例示的なコンピューティングシステム510はまた、入力インタフェース530を介して通信基盤512に連結された少なくとも1つの入力デバイス528を含むことができる。入力デバイス528は一般的に、コンピュータ又は人間のいずれかが生成した入力を例示的なコンピューティングシステム510に提供することができるあらゆるタイプ又は形態の入力デバイスを表す。入力デバイス528の例としては、キーボード、ポインティングデバイス、音声認識デバイス、又は任意の他の入力デバイスが挙げられるが、これらに限定されない。
図5に示されるように、例示的なコンピューティングシステム510はまた、記憶インタフェース534を介して通信基盤512に連結された一次記憶デバイス532と、バックアップ記憶デバイス533とを含むことができる。記憶デバイス532及び533は一般的に、データ及び/又は他のコンピュータ可読命令を記憶することができるあらゆるタイプ又は形態の記憶デバイス若しくは媒体を表す。例えば、記憶デバイス532及び533は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ(「フロッピー」は登録商標、以下同じ)、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶インタフェース534は一般的に、記憶デバイス532及び533とコンピューティングシステム510の他の構成要素との間のデータを転送するためのあらゆるタイプ又は形態のインタフェース又はデバイスを表す。一実施例において、図2のデータベース212は、一次記憶デバイス532に記憶されてもよい。
特定の実施形態では、記憶デバイス532及び533は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を記憶するように構成される取り外し可能な記憶ユニットから読み出す、及び/又はそれに書き込むように構成されてもよい。好適な取り外し可能な記憶ユニットの例としては、限定されないが、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス532及び533はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令がコンピューティングシステム510にロードされるのを可能にするために他の類似の構造又はデバイスを含むことができる。例えば、記憶デバイス532及び533は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み出す、及び書き込むように構成されてもよい。記憶デバイス532及び533はまた、コンピューティングシステム510の一部であってもよく、又は他のインタフェースシステムを介してアクセスされた別個のデバイスであってもよい。
多くの他のデバイス又はサブシステムが、コンピューティングシステム510に接続されてもよい。逆に、図5に示される構成要素及びデバイスの全ては、本明細書に記載及び/又は図示される実施形態を実践するために存在する必要はない。上記で言及されたデバイス及びサブシステムはまた、図5に示されるものとは異なる手法で相互接続されてもよい。コンピューティングシステム510はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェア構成を用いることができる。例えば、本明細書に開示される例示的な実施形態のうちの1つ以上は、コンピュータ可読記憶媒体にコンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。句「コンピュータ可読記憶媒体」は一般的に、コンピュータ可読命令を記憶又は実施することができるあらゆる形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読記憶媒体の例としては、これらに限定されないが、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)又はデジタルビデオディスク(DVD))、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時型媒体が挙げられる。
コンピュータプログラムを収容するコンピュータ可読記憶媒体は、コンピューティングシステム510にロードされてもよい。次いで、コンピュータ可読記憶媒体に記憶されたコンピュータプログラムの全て又は一部は、システムメモリ516並びに/又は記憶デバイス532及び533の様々な部分の中に記憶されてもよい。プロセッサ514によって実行されるとき、コンピューティングシステム510にロードされたコンピュータプログラムは、プロセッサ514を実行させ、並びに/又は本明細書に記載及び/若しくは図示される例示的な実施形態のうちの1つ以上の機能を実行するための手段であってもよい。加えて、又は代替的に、本明細書に記載及び/又は図示される例示的な実施形態のうちの1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム510は、本明細書に開示される例示的な実施形態のうちの1つ以上を実装するように適合された特定用途向け集積回路(ASIC)として構成されてもよい。
図6は、クライアントシステム610、620、及び630、並びにサーバ640及び645がネットワーク650に連結され得る例示的なネットワークアーキテクチャ600のブロック図である。上で詳述したように、ネットワークアーキテクチャ600の全て又は一部は、単独又は他の要素との組み合わせのいずれかで、傍受、識別、判定、実行、提供、認証、取得、記憶、検索、比較、受信、更新、転送、及び隔離の各工程の1つ以上を実行してよい、及び/又はこれらを実行するための手段であってよい。ネットワークアーキテクチャ600の全て又は一部はまた、本開示に記載される他の工程及び特徴を実行するための手段を実行するために使用され、及び/又はそれらを実行するための手段であり得る。
クライアントシステム610、620、及び630は一般的に、図5の例示的なコンピューティングシステム510など、あらゆるタイプ又は形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ640及び645は一般的に、様々なデータベースサービスを提供し、及び/又は特定のソフトウェアアプリケーションを実行するように構成されるアプリケーションサーバ又はデータベースサーバなど、コンピューティングデバイス又はシステムを表す。ネットワーク650は、概して、例えば、イントラネット、WAN、LAN、PAN、又はインターネットを含む任意の電気通信又はコンピュータネットワークを表す。一実施例では、クライアントシステム610、620、及び/若しくは630、並びに/又はサーバ640及び/若しくは645は、図1のシステム100の全て又は一部を含むことができる。
図6に示されるように、1つ以上の記憶デバイス660(1)〜(N)は、サーバ640に直接接続されてもよい。同様に、1つ以上の記憶デバイス670(1)〜(N)は、サーバ645に直接接続されてもよい。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は一般的に、データ及び/又は他のコンピュータ可読命令を記憶することができるあらゆるタイプ又は形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)など、様々なプロトコルを使用して、サーバ640及び645と通信するように構成された、ネットワーク接続ストレージ(NAS)デバイスを意味してもよい。
サーバ640及び645はまた、記憶エリアネットワーク(SAN)ファブリック680に接続されてもよい。SANファブリック680は一般的に、複数の記憶デバイス間の通信を容易にすることができるあらゆるタイプ又は形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック680は、サーバ640及び645、複数の記憶デバイス690(1)〜(N)、並びに/又はインテリジェント記憶アレイ695間の通信を容易にすることができる。SANファブリック680はまた、デバイス690(1)〜(N)及びアレイ695がクライアントシステム610、620、及び630へのローカル接続のデバイスとして現れるように、ネットワーク650並びにサーバ640及び645を介して、クライアントシステム610、620、及び630、記憶デバイス690(1)〜(N)、並びに/又はインテリジェント記憶アレイ695間の通信を容易にすることができる。記憶デバイス660(1)〜(N)及び記憶デバイス670(1)〜(N)と同様に、記憶デバイス690(1)〜(N)及びインテリジェント記憶アレイ695は一般的に、データ及び/又は他のコンピュータ可読命令を記憶することができるあらゆるタイプ又は形態の記憶デバイス又は媒体を表す。
特定の実施形態では、図5の例示的なコンピューティングシステム510を参照すると、図5の通信インタフェース522などの通信インタフェースは、各クライアントシステム610、620、及び630、並びにネットワーク650間の接続性を提供するために使用されてもよい。クライアントシステム610、620、及び630は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ640又は645に関する情報にアクセスすることができてもよい。このようなソフトウェアは、クライアントシステム610、620、及び630がサーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、又はインテリジェント記憶アレイ695によってホストされたデータにアクセスするのを可能にすることができる。図6は、データを交換するためのネットワーク(インターネットなど)の使用を示すが、本明細書に記載され、及び/又は図示される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ640、サーバ645、記憶デバイス660(1)〜(N)、記憶デバイス670(1)〜(N)、記憶デバイス690(1)〜(N)、インテリジェント記憶アレイ695、又はこれらの任意の組み合わせにロードされ、それらによって実行されてもよい。本明細書に開示される例示的な実施形態のうちの1つ以上の全て又は一部はまた、サーバ640内に記憶され、サーバ645によって実行され、かつネットワーク650を介してクライアントシステム610、620、及び630に配布されたコンピュータプログラムとしてコード化されてもよい。
上で詳述したように、コンピューティングシステム510及び/又はネットワークアーキテクチャ600の1つ以上の構成要素は、単独又は他の要素との組み合わせのいずれかで、ネットワークデータパケットに対する冗長セキュリティ分析を排除するための例示的な方法の1つ以上の工程を実行してよい、及び/又はこれらを実行するための手段であってよい。
先述の開示は、特定のブロック図、フロー図、及び実施例を使用して様々な実施形態を説明するが、本明細書に記載される及び/又は図示される各ブロック図の構成要素、フロー図の工程、動作、及び/又は構成要素は、個別に及び/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(又はそれらの任意の組み合わせ)構成を使用して、実装され得る。加えて、他の構成要素内に含まれた構成要素のあらゆる開示は、多くの他のアーキテクチャが同じ機能を達成するために実装され得ることにより、本質的に例示的であると考慮されるべきである。
一部の実施例において、図1の例示的なシステム100の全ての又は一部分は、クラウドコンピューティング又はネットワークに基づく環境の部分を表し得る。クラウドコンピューティング環境は、インターネットを介して様々なサービス及びアプリケーションを提供することができる。これらのクラウドに基づくサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインタフェースを通じてアクセス可能であり得る。本明細書に記載される様々な機能は、リモートデスクトップ環境又は他の任意のクラウドに基づくコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100の全ての又は一部分は、クラウドに基づくコンピューティング環境内でマルチテナント機能を容易にし得る。言い換えれば、本明細書に記載されるソフトウェアモジュールは、本明細書に記載の機能の1つ以上のマルチテナント機能を容易にするために、コンピューティングシステム(例えば、サーバ)を構成し得る。例えば、本明細書に記載される1つ以上のソフトウェアモジュールは、サーバ上で実行中のアプリケーションを共有する2つ以上のクライアント(例えば、顧客)を可能にするためにサーバをプログラムし得る。このように、プログラムされたサーバは、複数の顧客(すなわち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又はストレージシステムを共有し得る。本明細書に記載される1つ又は複数のモジュールはまた、1つの顧客が他の顧客のデータ及び/又は構成情報にアクセスすることができないように、各顧客のためのデータ及び/又はマルチテナントアプリケーションの構成情報を分割し得る。
様々な実施形態に従い、図1の例示的なシステム100の全ての又は一部分は、仮想環境内で実装され得る。例えば、本明細書に記載のモジュール及び/又はデータは仮想マシン内で存在し得る、及び/又は実行し得る。本明細書で使用する、句「仮想マシン」は、概して、仮想マシンマネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出された任意のオペレーティングシステム環境を指す。加えて、又は代替的に、本明細書に記載のモジュール及び/又はデータは仮想化層内で存在し得る、及び/又は実行し得る。本明細書で使用する、句「仮想化層」は、概してオペレーティングシステム環境からオーバーレイ及び/又は抽出された任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、下にある基本オペレーティングシステムの一部であるかのように仮想化層を提供するソフトウェアの仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理され得る。例えば、ソフトウェアの仮想化ソリューションは、最初に仮想化層内の場所に、基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しをリダイレクトし得る。
本明細書に記載される及び/又は図示されるプロセスパラメータ及び工程の順序は、単なる例として提供され、所望に応じて変更することができる。例えば、本明細書に図示される及び/又は記載される工程が特定の順序で示される又は考察されるが、これらの工程は、必ずしも図示される又は考察される順序で実施される必要はない。本明細書に記載及び/又は図示される様々な例示的な方法はまた、本明細書に記載及び/又は図示される工程のうちの1つ以上を省略するか、又は開示されるものに加えて追加の工程を含むことができる。
様々な実施形態は、完全に機能的なコンピューティングシステムとの関連で本明細書に記載及び/又は図示されているが、これらの例示的な実施形態のうちの1つ以上は、実際に配布を実行するために使用される特定のタイプのコンピュータ可読記憶媒体にかかわらず、様々な形態でプログラム製品として配布されてもよい。本明細書に開示の実施形態はまた、一定のタスクを実施するソフトウェアモジュールを使用して実装され得る。これらのソフトウェアモジュールは、スクリプト、バッチ、又はコンピュータで読み取り可能な記憶媒体上若しくはコンピューティングシステムに記憶され得る、他の実行可能なファイルを含んでもよい。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態のうちの1つ以上を実行するようにコンピューティングシステムを構成することができる。
加えて、本明細書に記載されるモジュールのうちの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現をある形態から別の形態に変換することができる。例えば、本明細書に詳述されたモジュールの1つ以上は、少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受し、ネットワークデータパケットを変換し、ネットワークデータパケットの変換結果を出力し、変換結果を使用して、ネットワークデータパケットに対して実行される冗長セキュリティ分析を排除してよい。加えて、又は代替的に、本明細書に挙げたモジュールのうちの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイス上にデータを記憶し、かつ/又は別の方法ではコンピュータデバイスと対話することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/若しくは1つの形態から別の形態への物理コンピューティングデバイスの任意の他の部分を変換し得る。
前述の説明は、当業者が本明細書に開示される例示的な実施形態の様々な態様を最良に利用するのを可能にするために提供されている。この例示的な説明は、包括的であるか、又は開示されるあらゆる正確な形態に限定されることを意図しない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないと見なされるべきである。本開示の範囲を決定する際に添付の特許請求の範囲及びその等価物を参照するべきである。
特に記載されない限り、用語「1つ(a)」又は「1つ(an)」は本明細書及び特許請求の範囲に使用される際、「少なくとも1つの(少なくとも1つof)」を意味すると解釈されるべきである。加えて、使いやすさのために、語「含む(including)」及び「有する(having)」は、本明細書及び特許請求の範囲に使用される際、語「含む・備える(comprising)」と同義的であり、それと同じ意味を有する。

Claims (20)

  1. ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのコンピュータ実施方法であって、該方法の少なくとも一部が、少なくとも1つのプロセッサを備えるコンピューティングデバイスによって実行され、
    ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受する工程と、
    前記ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別する工程と、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが所定のセキュリティ基準を満たしていないことを判定する工程と、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが前記所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、前記ネットワークデータパケットに対する、前記所定のセキュリティ基準を満たすセキュリティ分析を前記ネットワークデバイスにおいて実行する工程と、を含む、方法。
  2. 前記ターゲットコンピューティングデバイスを認証し、
    前記ターゲットコンピューティングデバイスに関する情報を取得し、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムを識別するために、前記ターゲットコンピューティングデバイスに関する情報を記憶して、前記ネットワークデバイスが前記情報にアクセスできるようにする、クラウドベースサーバを提供する工程を更に含む、請求項1に記載の方法。
  3. 前記ターゲットコンピューティングデバイスを認証する工程が、
    前記ターゲットコンピューティングデバイスのユーザからユーザ資格情報を取得することと、
    前記クラウドベースサーバに関連付けられた認証データベースで前記ターゲットコンピューティングデバイスの前記ユーザから取得した前記ユーザ資格情報を検索することと、
    前記クラウドベースサーバに関連付けられた前記認証データベースを検索する間に、前記ターゲットコンピューティングデバイスの前記ユーザから取得した前記ユーザ資格情報を識別することと、を含む、請求項2に記載の方法。
  4. 前記ターゲットコンピューティングデバイスに関する前記情報が、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステム、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムの現在のステータス、
    前記セキュリティシステムが直近で更新されたカレンダー日付、
    前記ターゲットコンピューティングデバイスに関連付けられたネットワークアドレス、
    前記ターゲットコンピューティングデバイスの型又はモデル、のうちの少なくとも1つを指定する、請求項2に記載の方法。
  5. 前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムを識別する工程が、
    前記ネットワークデータパケットに関連付けられた宛先アドレスを識別することと、
    前記宛先アドレスを前記クラウドベースサーバに記憶された前記情報で指定された前記ネットワークアドレスと比較することにより、前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスを宛先とすることを判定することと、
    前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスを宛先とすることを判定すると、前記クラウドベースサーバに記憶された前記情報で指定された前記セキュリティシステムを識別することと、を含む、請求項4に記載の方法。
  6. 前記ターゲットコンピューティングデバイスを認証する工程が、前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムに対する少なくとも1つの変更の検出に応じて、前記クラウドベースサーバに記憶された前記情報を更新するように前記ターゲットコンピューティングデバイスに命令するように構成されている認証トークンを前記ターゲットコンピューティングデバイスに提供することを含む、請求項2に記載の方法。
  7. 前記ターゲットコンピューティングデバイスに関する前記情報を取得することが、
    前記セキュリティシステムに対する前記変更を識別する更新情報を前記ターゲットコンピューティングデバイスから受信することと、
    前記受信した更新情報に少なくとも部分的に基づいて、前記クラウドベースサーバに記憶された前記情報を更新して前記セキュリティシステムに対する前記変更を説明することと、を含む、請求項6に記載の方法。
  8. 前記セキュリティ分析に少なくとも部分的に基づいて、前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスにセキュリティリスクをもたらさないことを判定する工程と、
    前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスに前記セキュリティリスクをもたらさないことを判定すると、前記ネットワークデバイスから前記ターゲットコンピューティングデバイスへと前記ネットワークデータパケットを転送する工程と、を更に含む、請求項1に記載の方法。
  9. 前記セキュリティ分析に少なくとも部分的に基づいて、前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスにセキュリティリスクをもたらすことを判定する工程と、
    前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスに前記セキュリティリスクをもたらすことを判定すると、前記ネットワークデバイスから前記ターゲットコンピューティングデバイスへと前記ネットワークデータパケットを転送するのではなく、前記ネットワークデータパケットを隔離する工程と、を更に含む、請求項1に記載の方法。
  10. 前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが異なる所定のセキュリティ基準を満たすことを判定する工程と、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが前記異なる所定のセキュリティ基準を満たすので、前記ネットワークデータパケットに対して前記異なる所定のセキュリティ基準を満たすセキュリティ分析を実行せずに、前記ネットワークデバイスから前記ターゲットコンピューティングデバイスへと前記ネットワークデータパケットを転送する工程と、を更に含む、請求項1に記載の方法。
  11. 前記セキュリティ分析が、
    侵入検出システム(IDS)分析、
    侵入防止システム(IPS)分析、
    アンチウイルス分析、
    ファイアウォール分析、のうちの少なくとも1つを含む、請求項1に記載の方法。
  12. ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステムであって、
    ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットをネットワークデバイスにおいて傍受するようにプログラムされている傍受モジュールと、
    前記ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別するようにプログラムされている識別モジュールと、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが所定のセキュリティ基準を満たしていないことを判定するようにプログラムされている判定モジュールと、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが前記所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、前記ネットワークデータパケットに対する、前記所定のセキュリティ基準を満たすセキュリティ分析を前記ネットワークデバイスにおいて実行するようにプログラムされているセキュリティモジュールと、
    前記傍受モジュール、前記識別モジュール、前記判定モジュール、及び前記セキュリティモジュールを実行するように構成されている、少なくとも1つのプロセッサと、を備える、システム。
  13. 前記ターゲットコンピューティングデバイスを認証するようにプログラムされている認証モジュールと、
    情報モジュールであって、
    前記ターゲットコンピューティングデバイスに関する情報を取得し、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムを識別するために、前記ターゲットコンピューティングデバイスに関する情報を記憶して、前記ネットワークデバイスが前記情報にアクセスできるようにプログラムされている情報モジュールと、を備えるクラウドベースサーバを更に備える、請求項12に記載のシステム。
  14. 前記認証モジュールが、
    前記ターゲットコンピューティングデバイスのユーザからユーザ資格情報を取得し、
    前記クラウドベースサーバに関連付けられた認証データベースで前記ターゲットコンピューティングデバイスの前記ユーザから取得した前記ユーザ資格情報を検索し、
    前記クラウドベースサーバに関連付けられた前記認証データベースを検索する間に、前記ターゲットコンピューティングデバイスの前記ユーザから取得した前記ユーザ資格情報を識別するようにプログラムされている、請求項13に記載のシステム。
  15. 前記ターゲットコンピューティングデバイスに関する前記情報が、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステム、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムの現在のステータス、
    前記セキュリティシステムが直近で更新されたカレンダー日付、
    前記ターゲットコンピューティングデバイスに関連付けられたネットワークアドレス、
    前記ターゲットコンピューティングデバイスの型又はモデル、のうちの少なくとも1つを指定する、請求項13に記載のシステム。
  16. 前記識別モジュールが、
    前記ネットワークデータパケットに関連付けられた宛先アドレスを識別し、
    前記宛先アドレスを前記クラウドベースサーバに記憶された前記情報で指定された前記ネットワークアドレスと比較することにより、前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスを宛先とすることを判定し、
    前記ネットワークデータパケットが前記ターゲットコンピューティングデバイスを宛先とすることを判定すると、前記クラウドベースサーバに記憶された前記情報で指定された前記セキュリティシステムを識別するようにプログラムされている、請求項15に記載のシステム。
  17. 前記認証モジュールが、前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムに対する少なくとも1つの変更の検出に応じて、前記クラウドベースサーバに記憶された前記情報を更新するように前記ターゲットコンピューティングデバイスに命令するように構成されている認証トークンを前記ターゲットコンピューティングデバイスに提供するようにプログラムされている、請求項13に記載のシステム。
  18. 前記情報モジュールが、
    前記セキュリティシステムに対する前記変更を識別する更新情報を前記ターゲットコンピューティングデバイスから受信し、
    前記受信した更新情報に少なくとも部分的に基づいて、前記クラウドベースサーバに記憶された前記情報を更新して前記セキュリティシステムに対する前記変更を説明するようにプログラムされている、請求項17に記載のシステム。
  19. 前記セキュリティ分析が、
    IDS分析、
    IPS分析、
    アンチウイルス分析、
    ファイアウォール分析、のうちの少なくとも1つを含む、請求項12に記載のシステム。
  20. ネットワークデバイスの少なくとも1つのプロセッサによって実行されるとき、前記ネットワークデバイスに、
    ターゲットコンピューティングデバイスを宛先とする少なくとも1つのネットワークデータパケットを傍受させ、
    前記ターゲットコンピューティングデバイスにインストールされているセキュリティシステムを識別させ、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが所定のセキュリティ基準を満たしていないことを判定させ、
    前記ターゲットコンピューティングデバイスにインストールされている前記セキュリティシステムが前記所定のセキュリティ基準を満たしていないという判定に少なくとも部分的に基づいて、前記所定のセキュリティ基準を満たすセキュリティ分析を前記ネットワークデータパケットに対して実行させる、1つ以上のコンピュータで実行可能な命令を含む、非一時的なコンピュータ可読記憶媒体。
JP2015544166A 2012-11-27 2013-11-25 ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法 Active JP5985071B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/686,099 US8955092B2 (en) 2012-11-27 2012-11-27 Systems and methods for eliminating redundant security analyses on network data packets
US13/686,099 2012-11-27
PCT/US2013/071604 WO2014085293A1 (en) 2012-11-27 2013-11-25 Systems and methods for eliminating redundant security analyses on network data packets

Publications (2)

Publication Number Publication Date
JP2016506115A true JP2016506115A (ja) 2016-02-25
JP5985071B2 JP5985071B2 (ja) 2016-09-06

Family

ID=49765681

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015544166A Active JP5985071B2 (ja) 2012-11-27 2013-11-25 ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法

Country Status (5)

Country Link
US (1) US8955092B2 (ja)
EP (1) EP2926523B1 (ja)
JP (1) JP5985071B2 (ja)
CN (1) CN104937897B (ja)
WO (1) WO2014085293A1 (ja)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9424421B2 (en) * 2013-05-03 2016-08-23 Visa International Service Association Security engine for a secure operating environment
CN104125209B (zh) * 2014-01-03 2015-09-09 腾讯科技(深圳)有限公司 恶意网址提示方法和路由器
EP3186921A1 (en) * 2014-08-28 2017-07-05 Hewlett-Packard Enterprise Development LP Distributed detection of malicious cloud actors
US9961105B2 (en) 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US10264020B1 (en) 2015-02-05 2019-04-16 Symantec Corporation Systems and methods for scalable network monitoring in virtual data centers
US10365913B2 (en) * 2016-05-12 2019-07-30 Symantec Corporation Systems and methods for updating network devices
CN112394683B (zh) * 2020-11-24 2022-03-11 桂林电子科技大学 一种利用工控系统的文件传输方法
CN114826916A (zh) * 2021-01-28 2022-07-29 阿里巴巴集团控股有限公司 数据传输方法、设备、系统及计算机存储介质

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004274654A (ja) * 2003-03-12 2004-09-30 Nippon Telegr & Teleph Corp <Ntt> セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体
JP2004533749A (ja) * 2001-04-12 2004-11-04 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー ハイブリッド網
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム
US7076650B1 (en) * 1999-12-24 2006-07-11 Mcafee, Inc. System and method for selective communication scanning at a firewall and a network node
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2008211415A (ja) * 2007-02-26 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> パケット制御命令管理方法
JP2009005122A (ja) * 2007-06-22 2009-01-08 Panasonic Corp 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2009064128A (ja) * 2007-09-05 2009-03-26 Nifty Corp ネットワーク接続制御方法、プログラム及びコンピュータ
JP2011527856A (ja) * 2008-07-08 2011-11-04 マイクロソフト コーポレーション 自動的に分散されるネットワーク保護

Family Cites Families (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5793763A (en) * 1995-11-03 1998-08-11 Cisco Technology, Inc. Security system for network address translation systems
US20020095588A1 (en) * 2001-01-12 2002-07-18 Satoshi Shigematsu Authentication token and authentication system
US7640434B2 (en) 2001-05-31 2009-12-29 Trend Micro, Inc. Identification of undesirable content in responses sent in reply to a user request for content
US20090313682A1 (en) 2004-01-06 2009-12-17 Saeed Rajput Enterprise Multi-interceptor Based Security and Auditing Method and Apparatus
US7437721B2 (en) * 2004-09-29 2008-10-14 Microsoft Corporation Isolating software deployment over a network from external malicious intrusion
US20060250968A1 (en) * 2005-05-03 2006-11-09 Microsoft Corporation Network access protection
US7636938B2 (en) 2005-06-30 2009-12-22 Microsoft Corporation Controlling network access
US7891001B1 (en) 2005-08-26 2011-02-15 Perimeter Internetworking Corporation Methods and apparatus providing security within a network
WO2010054258A1 (en) * 2008-11-06 2010-05-14 Trust Digital System and method for mediating connections between policy source servers, corporate repositories, and mobile devices
TW201227395A (en) * 2010-12-22 2012-07-01 Hon Hai Prec Ind Co Ltd Cloud data security controlling system and method

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7076650B1 (en) * 1999-12-24 2006-07-11 Mcafee, Inc. System and method for selective communication scanning at a firewall and a network node
JP2004533749A (ja) * 2001-04-12 2004-11-04 ブリティッシュ・テレコミュニケーションズ・パブリック・リミテッド・カンパニー ハイブリッド網
JP2004274654A (ja) * 2003-03-12 2004-09-30 Nippon Telegr & Teleph Corp <Ntt> セキュリティ自動設定装置、セキュリティ自動設定方法および記録媒体
JP2005250761A (ja) * 2004-03-03 2005-09-15 Ntt Data Corp アクセス制御システム
JP2006252256A (ja) * 2005-03-11 2006-09-21 Nec Soft Ltd ネットワーク管理システム、方法およびプログラム
JP2007272396A (ja) * 2006-03-30 2007-10-18 Nec Personal Products Co Ltd セキュリティ管理システム、中継装置、プログラム
JP2008211415A (ja) * 2007-02-26 2008-09-11 Nippon Telegr & Teleph Corp <Ntt> パケット制御命令管理方法
JP2009005122A (ja) * 2007-06-22 2009-01-08 Panasonic Corp 不正アクセス検知装置、セキュリティ管理装置およびこれを用いた不正アクセス検知システム
JP2009064128A (ja) * 2007-09-05 2009-03-26 Nifty Corp ネットワーク接続制御方法、プログラム及びコンピュータ
JP2011527856A (ja) * 2008-07-08 2011-11-04 マイクロソフト コーポレーション 自動的に分散されるネットワーク保護

Also Published As

Publication number Publication date
US20140150081A1 (en) 2014-05-29
EP2926523A1 (en) 2015-10-07
JP5985071B2 (ja) 2016-09-06
WO2014085293A1 (en) 2014-06-05
US8955092B2 (en) 2015-02-10
CN104937897A (zh) 2015-09-23
EP2926523B1 (en) 2016-09-21
CN104937897B (zh) 2017-12-12

Similar Documents

Publication Publication Date Title
JP5985071B2 (ja) ネットワークデータパケットに対する冗長セキュリティ分析を排除するためのシステム及び方法
US9654503B1 (en) Systems and methods for evaluating networks
US9330258B1 (en) Systems and methods for identifying uniform resource locators that link to potentially malicious resources
US10348755B1 (en) Systems and methods for detecting network security deficiencies on endpoint devices
US10326733B2 (en) Systems and methods for facilitating single sign-on for multiple devices
JP6596596B2 (ja) ドメイン名サービストラフィック分析を介してマルウェア感染を検出するためのシステム及び方法
US20150278494A1 (en) Systems and methods for validating login attempts based on user location
US9294284B1 (en) Systems and methods for validating application signatures
US10887307B1 (en) Systems and methods for identifying users
US10284564B1 (en) Systems and methods for dynamically validating remote requests within enterprise networks
AU2015374078A1 (en) Systems and methods for automatically applying firewall policies within data center applications
US20170331818A1 (en) Systems and methods for location-restricting one-time passcodes
US10068089B1 (en) Systems and methods for network security
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US11080385B1 (en) Systems and methods for enabling multi-factor authentication for seamless website logins
US9622081B1 (en) Systems and methods for evaluating reputations of wireless networks
US10284556B1 (en) Systems and methods for verifying authentication requests using internet protocol addresses
US10277625B1 (en) Systems and methods for securing computing systems on private networks
WO2017155592A1 (en) Systems and methods for automated classification of application network activity
US11012452B1 (en) Systems and methods for establishing restricted interfaces for database applications
US9882931B1 (en) Systems and methods for detecting potentially illegitimate wireless access points
US9483643B1 (en) Systems and methods for creating behavioral signatures used to detect malware
US9021578B1 (en) Systems and methods for securing internet access on restricted mobile platforms
US9122869B1 (en) Systems and methods for detecting client types
US9832209B1 (en) Systems and methods for managing network security

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160315

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160609

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160705

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160802

R150 Certificate of patent or registration of utility model

Ref document number: 5985071

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250