JP2016532381A - 疑わしいネットワーク通信の評価 - Google Patents
疑わしいネットワーク通信の評価 Download PDFInfo
- Publication number
- JP2016532381A JP2016532381A JP2016534574A JP2016534574A JP2016532381A JP 2016532381 A JP2016532381 A JP 2016532381A JP 2016534574 A JP2016534574 A JP 2016534574A JP 2016534574 A JP2016534574 A JP 2016534574A JP 2016532381 A JP2016532381 A JP 2016532381A
- Authority
- JP
- Japan
- Prior art keywords
- address
- communication
- network
- determining
- white list
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ネットワーク通信から疑わしいネットワークアドレスを識別する。実施形態では、ネットワーク装置は、着信又は発信接続要求、ウェブページ、電子メール又は他のネットワーク通信を受信する。評価モジュールは、対応するネットワークアドレスについてのネットワーク通信を評価し、これは、ネットワーク通信のソース又は宛先についてであってもよい。ネットワークアドレスは、一般的に、IPアドレスを含む。評価モジュールは、時刻、コンテントタイプ、方向性等のようなネットワーク通信の1以上のプロパティを判定する。評価モジュールは、プロパティが、IPアドレスに関連付けられるホワイトリストにおいて特定されるプロパティに基づいて一致する又は許容されるかを判定する。【選択図】図1
Description
本明細書で開示される発明は、ネットワークセキュリティに関し、より具体的には、ハッカー、侵入者、フィシングソース、ウイルス、電子メール送信者及び/又は他の虚偽又は疑わしいソースから受信される疑わしいネットワーク通信を識別及び妨げることに関する。
今日、インターネットのようなネットワークを通じて、侵入者、ハッカー、認証されないユーザ、他のコンピュータ、サーバ、ファイアウォール、ルーター、PDA、携帯電話機、ゲームコンソール、及びネットワークに接続される他の電子デバイスに侵入しようとするプログラムされたデバイスが存在する。例えば、ウェブサイトサーバ、他のデバイス及びユーザは、ウイルス、ワーム、アドウェア、スパイウェア又は他のファイルをネットワーク上の別の電子デバイスへ送信する。ファイルは、他のデバイスに、ウイルスを拡散する、別のウイルスを得る、機密情報を他者へ送信する、及び/又は他の望まれないアクションを行うために、ウェブサーバのような他の装置へのネットワーク接続を開始する一部のマルウェア(例えば、バックドア、ワーム、トロイの木馬等)を実行させる。事件になる前にこれらのアクションを検出及び防ぐことが望まれている。
ファイルは、ウェブベース電子メールシステムのような電子メールによって届けられることが多い。電子メールメッセージは、通常は、“From”フィールドに送信者の識別子を含むが、送信者の識別子が正当であることを確実にすることは困難である。例えば、フィシング電子メールのFromフィールドは、正規の金融機関のメールサーバを示すように見える送信者のドメインネームを有する電子メールアドレスを含む場合がある。ユーザは、送信者の識別子が真正であるかを判定することは困難である。別のケースでは、ネットワークデバイスは、ウェブページ、ポップアップ広告又は他のデータを届けるために、クライアントデバイスへのアクセスを要求する。要求ネットワークデバイスのドメインネームは、正規の金融機関のサーバを示す。一部のセキュリティソフトウェアは、アドレス情報を有するメッセージをユーザへ提供する。ユーザは、要求を受け入れるかどうかを選択する。しかし、多くのユーザは、送信者のアドレス情報が真正であるかを判定することは困難である。
別の望ましくない行動は、フィシングと呼ばれる。用語「フィシング」は、一般的に、非合法又は不正目的に個人及び/又は機密情報を得ようとすることに関連付けられる。典型的には、虚偽の人物又は団体は、ユーザが個人及び/又は機密情報を入力することができるフィシングウェブサイトへのハイパーリンクを含む1以上の電子メールを送信する。インターネットフィシングウェブサイトは、それらが、企業又は他の団体の実際のオフィシャルウェブサイトに入力していると人々に信じさせる。これらのフィシングウェブサイトは、典型的には、オフィシャルウェブサイトのように見えるそれらのウェブサイトを作ることによりこれを遂行する。一般的なユーザは、そして、彼らがフィシングウェブサイトに情報を送信したことを理解せずに個人/機密情報を与えてしまい、そのオペレーターは、非合法又は不正目的の情報を用いる。フィシングウェブサイトは、通常、実際のオフィシャルウェブサイトに非常に類似するドメインネームを有するuniform resource locator(URL)を用いる。ドメインネームは、また、ドメインネームアドレス(domain name address(DNA))とも呼ばれる。例えば、フィシングウェブサイトは、人々がこれをPaypal, Inc.のオフィシャルウェブサイトであると考えるように、www.paypal.billing.comのようなDNAを用いる。オフィシャルに見えるドメインネームの内在するインターネットプロトコル(IP)アドレスは、一般的に、ユーザを、正規の企業のオフィシャルウェブサイトではないフィシングウェブサイトへ転送する。又は、フィシングウェブサイトは、ハイパーリンクについてのオフィシャル企業のドメインネームを用いるが、ハイパーリンクのフィシングウェブサイトIPアドレスを用いる。ユーザが電子メール又はウェブサイトのハイパーリンクをクリックすると、ユーザは、オフィシャルウェブサイトではないフィシングウェブサイトへ向けられる。
インターネット又は他のネットワーク上のリソースは、それらに一意なIPアドレスを有する。企業、民間組織、政府機関等を含む団体は、それら独自の一意なIPアドレス又はIPアドレスの範囲を割り当てられる。フィシングウェブサイトにも同じことが言える。フィシングウェブサイト又は他のネットワークノードは、インターネットIPネットワークルーティングメカニズムによる他の誰かのオフィシャルIPアドレスであるそのIPアドレスを偽装することはできない。フィシングウェブサイトも、フィシングウェブサイトに人々を連れてくるために、その独自のIPアドレスを有する必要がある。本発明は、これら及び他の問題に対して関連するものである。
本発明の非限定的かつ非包括的な実施形態は、以下の図面を参照しながら説明される。図面では、同様の参照番号は、特に言及しないかぎり、各種の図面を通じて同様の部位を示す。
本発明をより良く理解するために、添付の図面と共に以下の発明の詳細な説明が参照される。
ここで、本発明の実施形態は、本明細書の一部を形成し、図示によって、本発明が実施される特定の実施形態を示す添付の図面を参照することで以下により完全に説明される。しかし、本発明は、多くのことなる形態で具現化されてもよく、本明細書に示される実施形態に限定されるものと解釈されるべきではなく、これらの実施形態は、本開示が十分及び完全になるように提供され、本発明の範囲を当業者に十分に伝えるであろう。特に、本発明は、方法又は装置として具現化されてもよい。したがって、本発明は、全体的にハードウェアの実施形態、全体的にソフトウェアの実施形態又はソフトウェアとハードウェアとを組み合わせた態様の実施形態の形式を取ってもよい。したがって、以下の発明の詳細な説明は、限定的な意味として取られない。
発明の詳細な説明及び特許請求の範囲を通して、以下の用語は、特に明確に記されない限り、本明細書に明示的に関連付けられた意味を取る。本明細書で用いられるような用語“一実施形態”又は“一例の実施形態”は、そう思われるかもしれないが、必ずしも同一の実施形態を指さない。更に、本明細書で用いられるような用語“別の実施形態”は、そう思われるかもしれないが、異なる実施形態を指さない。よって、いかに説明されるように、本発明の各種実施形態は、本発明の範囲又は趣旨から逸脱せずに、明示的に組み合わせられてもよい。
また、本明細書で用いられるような、用語“又は(or)”は、特に明確に記されない限り、両立的な“or”演算子であり、用語“及び/又は”と等しい。用語“基づいて(based on)”は、特に明確に記されない限り、排他的ではなく、記載されない追加要素に基づくことを可能にする。また、発明の詳細な説明を通して、“a”、“an”及び“the”の意味は、複数の参照を含む。“in”の意味は、“in”及び“on”を含む。
本明細書では、用語“クライアント”は、コンピュータモジュールのデータ又はサービスのエンドプロセッサとしての一般的役割を指し、用語“サーバ”は、1以上のクライアントへのデータ又はサービスのプロバイダとしてのコンピュータモジュールの役割を指す。通常、コンピュータモジュールは、あるトランザクションのデータ又はサービスを要求し、クライアントとして機能することが可能であり、別のトランザクションのデータ又はサービスを提供するサーバとして機能することが可能であり、よって、その役割をクライアントからサーバへ又はその逆に変化する。
用語“ウェブ”は、一般的に、デバイス、データ及び/又は他のリソースの集合を指す。1以上のプロトコル、フォーマット、シンタックス、及び/又は、パーソナルコンピュータ、ラップトップコンピュータ、ワークステーション、サーバ、ミニコンピュータ、メインフレーム、携帯電話機、パーソナルデジタルアシスタント(PDA)等のようなコンピュータデバイスでの使用を意図される他のコンベンションに基づいてネットワークにアクセス可能である。ウェブプロトコルは、hypertext transfer protocol(HTTP)を含むが、これに限定されない。このようなコンベンションは、hypertext markup language(HTML)及びextensible markup language(XML)を含むが、これに限定されない。用語“ウェブページ”及び“ウェブデータ”は、一般的に、ドキュメント、ファイル、アプリケーション、サービス及び/又はウェブコンベンションを確認し、一般的に、汎用ブラウザのようなアプリケーションを実行するコンピュータデバイスでアクセス可能である他のデータを指す。例示的な汎用ブラウザは、Microsoft CorporationのInternet Explorer(登録商標)、Netscape Communications CorpのNetscape(登録商標)、及びMozilla FoundationのFirefox(登録商標)を含む。ウェブページは、一般的に、ウェブページにアクセス可能であるサーチエンジンによってインデックス化される。例示的なサーチエンジンは、Google, Inc.によるGoogle(登録商標)である。
用語“URL”は、一般的に、uniform resource locatorを指すが、uniform resource identifier及び/又は他のアドレス情報を含んでもよい。URLは、一般的に、hypertext transfer protocol(例えば、“http://”)のようなプロトコル、ホストネーム(例えば、“news.google.com”)又はドメインネーム(例えば、“google.com”)、パス(例えば、“/intl/en/options”)、及び特定のファイル(例えば、“pack_installer.html”)又はクエリ文字列(例えば、“?hl=en”)を識別する。用語“URL”は、名称又はウェブリソースを識別するために用いられる文字列を指す。URLとの組み合わせ、これは、ネットワークにおけるウェブリソースを表す。
つまり、本発明の実施形態は、通信の正当性を立証するための既知の信頼できるアドレスのリストに対するネットワークアドレスを評価する。複数の段階のセキュリティが提供される。一実施形態では、最上位の段階は、IPアドレスであり、第2の段階は、ポート番号であり、第3の段階は、通信ペイロードのプロパティである。他の段階は、通信の他の態様と関連付けられてもよい。1以上の段階は、選択的に実装されうる。各段階は、通信を承認するために必要なユーザ関与のレベルと関連付けられてもよい。
動作環境の実例
図1は、本発明が動作する環境の一実施形態を示す。しかし、これらの構成要素の全てが本発明を実施するために必要ではなく、配置及び構成要素の種類は、本発明の趣旨又は範囲から逸脱しない範囲で変更される。
図1は、本発明が動作する環境の一実施形態を示す。しかし、これらの構成要素の全てが本発明を実施するために必要ではなく、配置及び構成要素の種類は、本発明の趣旨又は範囲から逸脱しない範囲で変更される。
図に示されるように、システム10は、クライアントデバイス12−14と、ネットワーク15と、オンラインサービス16と、オンラインサービスと直接的には関連付けられない疑わしいネットワークノード17と、を含む。ネットワーク15は、クライアントデバイス12−14、オンラインサービス16及び疑わしいネットワークノード17のそれぞれと接続され、通信可能である。オンラインサービス16は、正当なウェブサイト、電子メールサービス、ファイルストレージサービス、ドメインネームアサイメントサービス、ネットワークアドレスアイデンティフィケーションサービス等のための1以上のサーバを備えてもよい。疑わしいネットワークノード17は、不正ユーザのクライアントデバイス、コンピュータウィルスのソース、別のサイトとして装ったウェブサイト用の1以上のサーバ、ハッカーによって不正アクセスされている有効なネットワークノード、又は不正若しくは虚偽目的のために用いられる別のネットワークノードを備えてもよい。各ネットワークノードは、各ネットワークノードに一意なIPアドレスのようなネットワークアドレスを有する。ネットワークアドレスは、また、一般的に、特定の通信セッション、ネットワークノード内の特定のリソース、又はノード間で適切に通信を可能にするためのネットワークアドレスに対する他の改善を識別するためのポート番号を含む。真正なネットワークアドレスは、ネットワークノードへ又はネットワークノードからの通信のために必要とされる。アドレスマスキング、ドメインネームトランスレーション及び他のスキームは、通信経路に沿った各種ポイントでのネットワークアドレスを偽装する。しかし、真正なネットワークアドレスは、いくつかのポイントから生成される、又は通信は、意図したノード間で発生しない。
クライアントデバイス12−14は、ネットワーク15のようなネットワークにおいて、互いに、メッセージをオンラインサービス16のようなコンピュータデバイスへ又はコンピュータデバイスから送受信すること等を可能にするコンピュータデバイスを事実上含んでもよい。このようなデバイスのセットは、通常、一般的なデバイスとみなされ、かつ典型的にはパーソナルコンピュータ、マルチプロセッサシステム、マルチプロセッサベース又はプログラマブルコンシューマエレクトロニクス、ネットワークPC等のような有線通信媒体を用いて接続するデバイスを含んでもよい。このようなデバイスのセットは、また、通常、特化したデバイスとみなされ、かつ携帯電話機、スマートフォン、ページャー、ウォーキートーキー、無線(RF)デバイス、赤外線デバイス、CB、前述のデバイスの1以上を組み合わせた集積デバイス、又はバーチャルなモバイルデバイス等のような無線通信媒体を用いて接続するデバイスを含んでもよい。同様に、クライアントデバイス12−14は、パーソナルデジタルアシスタント(PDA)、POCKET PC、ウェアラブルコンピュータ及び有線及び/又は無線通信媒体に亘って通信するために装備される任意の他のデバイスのような有線又は無線通信媒体を用いて接続可能な任意のデバイスであってもよい。
クライアントデバイス12−14内の各クライアントデバイスは、ユーザが設定を制御可能であり、処理を実行するためにクライアントデバイスに指示可能であるユーザインタフェースを含む。各クライアントデバイスは、また、ウェブページ、ウェブベースメッセージ等を送受信するように構成されるブラウザアプリケーションを含んでもよい。ブラウザアプリケーションは、これらに限定されないが、Standard Generalized Markup Language(SGML)、HyperText Markup Language(HTML)、Extensible Markup Language(XML)、wireless application protocol(WAP)、Handheld Device Markup Language(HDML)、例えば、Wireless Markup Language(WML)、WMLScript、JavaScript(登録商標)等を含む、事実上ウェブベースの言語を用いて、グラフィック、テキスト、マルチメディア等を受信及び表示するように構成されてもよい。クライアントデバイス12−14は、更に、これらに限定されないが、インスタントメッセージング(IM)、ショートメッセージサービス(SMS)メッセージング、マルチメディアメッセージサービス(MMS)メッセージング、インターネットリレーチャット(IRC)、Mardam−Bey’sインターネットリレーチャット(mIRC)、Jabber等を含む、同一又は異なる通信ノードを用いて、クライアントデバイスが他のコンピュータデバイスからメッセージを送受信することを可能にする通信インターフェースで構成されてもよい。
ネットワーク15は、通信可能にするために1つのコンピュータデバイスを別のコンピュータデバイスと結合するように構成される。ネットワーク15は、1つの電子デバイスから別の電子デバイスへ情報を伝えるための任意の形式のメディアを用いることを可能にする。また、ネットワーク15は、インターネットインターフェースのような有線インターフェース、及び/又はセルラーネットワークのような無線インターフェース、加えて、ローカルエリアネットワーク(LAN)、ワイドエリアネットワーク(WAN)、ユニバーサルシリアルバス(USB)ポート、他の形式のコンピュータ可読媒体を通じたダイレクトコネクションへのインターフェース、又はそれらの組み合わせ等を含んでもよい。異なるアーキテクチャ及びプロトコルに基づくものを含むインターコネクトされたLANのセットで、ルーターは、メッセージが一方から他方へ送信されることを可能にするLAN間のリンクとして機能する。また、LAN内の通信リンクは、典型的には、ツイストペア線又は同軸ケーブルを含むが、ネットワーク間の通信リンクは、無線での携帯電話信号、アナログ電話線、T1、T2、T3及びT4を含む全て又は一部の専用デジタル線、Digital Signal level 3(DS3)、Optical Carrier 3(OC3)、OC12、OC48、Asynchronous Transfer Mode(ATM)、Integrated Services Digital Networks(ISDNs)、Digital Subscriber Lines(DSLs)、衛生リンクを含む無線リンク、又は当業者にとって同等及び/又は当業者に知られている他の通信リンクを用いてもよい。更に、リモートコンピュータ及び他の関連する電子デバイスは、モデム及び一時的な電話リンクを介してLAN又はWANとリモート接続されうる。本質的には、ネットワーク15は、クライアントデバイス12−14、オンラインサービス16及び/又は疑わしいネットワークノード17間を伝わる情報による任意の通信方法を含む。ネットワーク15は、transmission control protocol/internet protocol(TCP/IP)、user datagram protocol(UDP)、WAP、code division multiple access(CDMA)、global system for mobile communications(GSM(登録商標))等を含む各種の通信プロトコルでの使用のために構築される。
上述したような通信リンクにおける情報を送信するために用いられるメディアは、一般的に、コンピュータデバイスによってアクセスされうる任意のメディアを含む。コンピュタ可読メディアは、コンピュータストレージメディア、有線及び無線通信メディア、又はそれらの組み合わせを含んでもよい。また、コンピュタ可読メディアは、典型的には、コンピュータ可読命令、データ構造、プログラムモジュール又はプロセッサに提供されうる他のデータを記憶及び/又は搬送する。コンピュタ可読メディアは、搬送波のような変調されたデータ信号、データ信号を送信するための送信メディア又は他の搬送機構及び情報伝達メディアを含んでもよい。用語“変調されたデータ信号(modulated data signal)”及び“搬送波信号(carrier−wave signal)”は、その特徴セットの1以上を有する又は情報、命令、データ等を信号にエンコードするための方法で変更された信号を含む。実施例により、通信メディアは、音響、RF、赤外線及び他の無線メディアのような無線メディア、及びツイストペア線、同軸ケーブル、ファイバーオプティクス、ウェーブガイド及び他の有線メディアのような有線メディアを含む。
電子デバイスの一実施形態は、図2と共に以下に詳細に説明される。説明の目的のために、汎用クライアントコンピュータデバイスが一例として説明される。しかし、サーバデバイス、特化した用途のデバイス(例えば、携帯電話機)、及び/又は他の電子デバイスが本発明の実施形態に用いられてもよい。この例では、クライアントデバイス20は、ユーザが、クライアントデバイス、ポータルサーバ16及び/又は疑わしいネットワークノード17のような他のネットワークリソースと通信することを可能にするために、ネットワーク15との接続を可能にするコンピュータデバイスを含んでもよい。クライアントデバイス20は、図示されるものよりも多数の構成要素を含んでもよい。しかし、図示される構成要素は、本発明を実施するための例示的な実施形態を開示するのに充分である。クライアントデバイス20の構成要素の多くは、また、オンラインサービス16のサーバ、疑わしいネットワークノード17のサーバ、及び/又は他の電子デバイスで重複してもよい。
図に示されるように、クライアントデバイス20は、バス23を介して大容量メモリ24と通信されるプロセッシングユニット22を含む。大容量メモリ24は、一般的に、RAM26、ROM28及び他のストレージ手段を含む。大容量メモリ24は、コンピュータ可読メディアの一種、つまり、コンピュータストレージメディアを示す。コンピュータストレージメディア(“コンピュータ可読媒体”とも呼ばれる)は、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータのような情報の蓄積のための方法又は技術で実行される揮発性及び不揮発性、リムーバブル及びノンリムーバブルメディアを含んでもよい。コンピュータストレージメディアの他の例は、EEPROM、フラッシュメモリ又は他の半導体メモリ技術、CD−ROM、デジタルバーサタイルディスク(DVD)又は他の光学ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又は所望の情報を記憶するために用いられ、コンピュータデバイスによりアクセスされうる他の磁気ストレージデバイス、又は他の媒体を含む。コンピュータストレージメディアは、一時的又は非一時的データ及び/又は信号を記憶してもよい。
大容量メモリ24は、クライアントデバイス20の低レベル処理を制御する基本入/出力システム(“BIOS”)30を記憶する。大容量メモリ24は、また、クライアントデバイス20の処理を制御するオペレーティングシステム31を記憶する。この構成要素は、Windows(登録商標)、UNIX(登録商標)、LINUX(登録商標)のバージョン等のような汎用オペレーティングシステムを含んでもよいことが理解されるであろう。オペレーティングシステムは、また、ハードウェアコンポーネント及び/又はアプリケーションプログラムを介したオペレーティングシステム処理の制御を可能にするバーチャルマシンモジュールを含む又はバーチャルマシンモジュールとインターフェース接続してもよい。
大容量メモリ24は、とりわけ、プログラム34及び/又は他のデータを記憶するためにクライアントデバイス20によって用いられうる1以上のデータストレージユニット32を更に含む。プログラム34は、HTTP通信を送信、受信及び処理するためのHTTPハンドラーアプリケーションを実装するためにクライアントデバイス20によって実行されうるコンピュータ実行可能な命令を含んでもよい。同様に、プログラム34は、安全な手法で外部アプリケーションとの通信を開始するようなセキュアな接続を扱うHTTPSハンドラーアプリケーションを含みうる。アプリケーションプログラムの他の例は、スケジューラー、カレンダー、ウェブサービス、トランスコーダー、データベースプログラム、ワードプロセッシングプログラム、スプレッドシートプログラム等を含む。したがって、プログラム34は、ウェブページ、オーディオ、ビデオを処理し、他の電子デバイスの他のユーザとの通信を可能にする。
また、大容量メモリ24は、メッセージングのための1以上のプログラム及び/又は他のアプリケーションを記憶する。メッセージングクライアントモジュール36は、電子メール、インスタントメッセージング、SMS及び/又は他のメッセージングサービスを可能にするために、オペレーティングシステム31の制御下で実行されるコンピュータ実行可能な命令を含んでもよい。同様に、クライアントデバイス20に酷似して構成されるサーバデバイス(及び/又はクライアントデバイス20自体)は、ルーティング、アクセスコントロール及び/又は他のサーバ側のメッセージングサービスを提供するメッセージングサーバモジュール37を含んでもよい。クライアントデバイス20は、一般的に、有効な送信者、要求及び/又は他のデータのための通信を評価する評価モジュール38を更に含んでもよい。一実施形態では、評価モジュール38は、クライアントデバイス20が、フィッシングウェブサイトのネットワークアドレスを識別することを可能にするために、フィッシングウェブサイトと相互作用し、ネットワークアドレスが非合法なウェブサイトと関連付けられるかどうかを判定するアンチフィッシングモジュールを含んでもよい。別の例の実施形態は、認証モジュールを含み、これは、電子メールメッセージ、ファイルダウンロード、リディレクション及び/又は他の通信をチェックしてもよい。評価モジュール38は、他のアプリケーションとは別に実装されてもよく、別のアプリケーション(例えば、ブラウザ)へのプラグインとして実装されてもよく、別のアプリケーション(例えば、電子メールアプリケーション)内に直接的に実装されてもよく、サーバアプリケーションとして、及び/又は他の形態で実装されてもよい。
クライアントデバイス20は、また、図2に示されないキーボード、マウス、ホイール、ジョイスティック、ロッカースイッチ、キーパッド、プリンター、スキャナー及び/又は他の入力デバイスのような入/出力デバイスと通信するための入/出力インターフェースを含む。クライアントデバイス20のユーザは、オペレーティングシステム31及び/又はプログラム34−38とは別々の又は集積されるユーザインターフェースと相互作用するために入/出力デバイスを使用することができる。ユーザインターフェースとの相互作用は、ディスプレイ及びビデオディスプレイアダプタ42を介したビジュアルインタラクションを含む。
パーソナルコンピュータのような一部のクライアントデバイスについて、クライアントデバイス20は、コンピュータ可読ストレージメディアのためのリムーバブルメディアドライブ44及び/又はパーマネントメディアドライブ46を含んでもよい。リムーバブルメディアドライブ44は、光学ディスクドライブ、フロッピーディスクドライブ及び/又はテープドライブの1以上を備えてもよい。パーマネント又はリムーバブルストレージメディアは、コンピュータ可読命令、データ構造、プログラムモジュール又は他のデータのような情報の蓄積のための方法又は技術で実装される揮発性、不揮発性、リムーバブル及びノンリムーバブルメディアを含んでもよい。コンピュータストレージメディアの例は、CD−ROM45、デジタルバーサタイルディスク(DVD)又は他の光学ストレージ、磁気カセット、磁気テープ、磁気ディスクストレージ又は他の磁気ストレージデバイス、RAM、ROM、EEPROM,フラッシュメモリ又は所望の情報を記憶するために用いられ、コンピュータデバイスによってアクセスされうる他のメモリ技術又は任意の他の媒体を含んでもよい。
ネットワーク通信インターフェースユニット48を介して、クライアントデバイス20は、インターネット、ローカルエリアネットワーク、有線電話ネットワーク、携帯電話ネットワーク又は図1のネットワーク15のような一部の他の通信ネットワークと通信しうる。ネットワーク通信インターフェースユニット48は、時折、トランシーバ、トランシービングデバイス、ネットワークインターフェースカード(NIC)等としても知られている。
例示的な実装
ネットワークアドレスをユーザが覚えやすくするために、www.cnn.comのようなドメインネームは、数字IPアドレスと関連付けられる。ドメインネームは、また、ドメインネームアドレス(domain name address(DNA))とも呼ばれる。追加情報は、マークアップドキュメント、画像、又は他のデータのようなリソースのネットワーク位置を特定する数字のuniform resource locator(URL)と関連付けられるuniform resource identifier(URI)を特定するために、パスのようなドメインネームへ追加されてもよい。セントラルデータベースは、典型的には、IPアドレスと対応するドメインネームとの関連性を維持するために用いられる。一般的に、ドメインネームサーバ(DNS)、インターネットサービスプロバイダ(ISP)又は他のデータベースは、この関連性を維持する。インターネットを含む実施形態の例では、Internet Corporation for Assigned Names and Numbers(ICANN)、Internet Assigned Numbers Authority(IANA)又は他のアサイン団体のような団体は、ドメインネームとIPアドレスとの関連性を維持する。所有者名、国及び/又は他の情報も各IPアドレスと関連付けられる。
ネットワークアドレスをユーザが覚えやすくするために、www.cnn.comのようなドメインネームは、数字IPアドレスと関連付けられる。ドメインネームは、また、ドメインネームアドレス(domain name address(DNA))とも呼ばれる。追加情報は、マークアップドキュメント、画像、又は他のデータのようなリソースのネットワーク位置を特定する数字のuniform resource locator(URL)と関連付けられるuniform resource identifier(URI)を特定するために、パスのようなドメインネームへ追加されてもよい。セントラルデータベースは、典型的には、IPアドレスと対応するドメインネームとの関連性を維持するために用いられる。一般的に、ドメインネームサーバ(DNS)、インターネットサービスプロバイダ(ISP)又は他のデータベースは、この関連性を維持する。インターネットを含む実施形態の例では、Internet Corporation for Assigned Names and Numbers(ICANN)、Internet Assigned Numbers Authority(IANA)又は他のアサイン団体のような団体は、ドメインネームとIPアドレスとの関連性を維持する。所有者名、国及び/又は他の情報も各IPアドレスと関連付けられる。
複数の実施形態は、疑わしいネットワークノードを識別することが可能である。例えば、本発明の実施形態は、フィッシングウェブサイトを識別することができる。以下に限定されないが、2つの例が以下に説明される。
1.フィッシングウェブサイトIPアドレス−フィッシングウェブサイトがそのIPアドレスをクライアントに直接提供する場合、IPアドレスは、ローカルデータベース又はアサイン権限でチェックされる。ローカルアサイメントデータベース又はICANN、IANA又は他のアサイン団体のデータベースに対してウェブサイトのIPアドレスを問い合わせることにより、ウェブサイトの所有者は、識別される。
2.フィッシングウェブサイトドメインネーム−一般的に、IPアドレスは、通常、直接的には提供されない。その代わり、www.cnn.comのようなドメインネームは、通常、提供される。DNSに対してドメインネームを問い合わせることにより、対応するIPアドレスを探すことができる。ローカルアサイメントデータベース又はICANN、IANA又は他のアサイン団体のデータベースに対してIPアドレスを問い合わせることにより、ウェブサイトの所有者は、識別される。当業者は、2つのステップが単一のサービスによってなされてもよいことを理解するであろう。
複数の実施形態は、また、異なるアプリケーションも可能にする。以下に限定されないが、3つの例が以下に説明される。
A)組み込み機能−アプリケーションプログラムは、ドキュメントにおけるリンクを評価する組み込み機能を含む。例えば、電子メールプログラム、IMプログラム又はワードプロセッシングプログラムは、メッセージ又はドキュメントにおけるリンクを評価するための組み込み機能をアクティベートするためにメニューオプション又はボタンを含む。ユーザは、機能をアクティベートする、又は機能は、ドキュメント内にリンクを検出すると自動的に実行してもよい。機能は、IPアドレス及びポート番号に戻るリンクと関連付けられるアドレスにアクセスする。機能は、所有者の名称及び国名を得るために、ローカル又はリモートアサイメントデータベースを問い合わせる。機能は、ユーザが、リンクに及び/又は予め設定された画面位置マウスポインタを配置したとき等に、所有者の名称及び国名を表示してもよい。機能は、追加又は代替的に、所有者の名称及びアドレスを、ドメインネームと関連付けられる既知の所有者のデータベースと比較してもよい。マウスオーバー又は予め設定された画面位置で警告が表示される。
B)ブラウザ表示−ブラウザは、1以上の新たなフィールドを提供するために、直接又はプラグインで変更され、ブラウザで表される現在のURL又はウェブページと関連付けられるIPアドレス及び所有者の名称及び国名を示す。また、ブラウザは、現在のドメインネームの所有者が、ドメインについての既知の所有者及び国名と一致しない場合には、視覚、音響又は他の警告を発してもよい。
C)オンラインサービス−ユーザは、ウェブページフィールドを通じてオンラインクエリサービスへURL又はドメインネームを送信し、ドメインネームの実際の名称及び国名を受信することができる。オンラインサービスは、IPアドレスを取得するためにURLにアクセスするリスクを取る。オンラインサービスは、更なる評価のために送信ユーザのクライアントへIPアドレスをリターンしてもよい。それに代えて、オンラインサービスは、所有者の名称及び国名を判定し、この情報を、送信されたドメインネームに対応する既知の所有者及び国名のデータベースと比較してもよい。オンラインサービスは、その後、所有者の名称及び国名を送信ユーザのクライアントへ送信する。オンラインサービス又はクライアントウェブページは、ドメインネームが、ドメインネームの所有者の実際の名称及び国名と関連付けられていない場合には、ユーザに警告を発する。
ここで、所有者及び国名を判定するための更なる詳細が提供される。IPアドレス(例えば、IP V4又はV6について)は、一般的に、委託されて割り当てられる。ユーザは、ISPによりIPアドレスを割り当てられる。ISPは、一般的に、ローカルインターネットレジストリ(LIR)から、ナショナルインターネットレジストリ(NIR)、又は1以上の適切なリージョナルインターネットレジストリ(RIR)からのIPアドレスのアロケーションを取得する。
AfriNIC(African Network Information Centre)−−アフリカ地域(http ://www.afrinic.net/)
APNIC(Asia Pacific Network Information Centre)−−アジア/太平洋地域(http://www.apnic.net/)
ARIN(American Registry for Internet Numbers)−−北アメリカ地域(http ://www.arin.net/)
LACNIC(Regional Latin− American and Caribbean IP Address Registry)−−ラテンアメリカ及び一部のカリブ海諸島(http://lacnic.net/en/index.html)
RIPE NCC(Reseaux IP Europeens)−−欧州、中東及び中央アジア(http://www.ripe.net/)。
APNIC(Asia Pacific Network Information Centre)−−アジア/太平洋地域(http://www.apnic.net/)
ARIN(American Registry for Internet Numbers)−−北アメリカ地域(http ://www.arin.net/)
LACNIC(Regional Latin− American and Caribbean IP Address Registry)−−ラテンアメリカ及び一部のカリブ海諸島(http://lacnic.net/en/index.html)
RIPE NCC(Reseaux IP Europeens)−−欧州、中東及び中央アジア(http://www.ripe.net/)。
レジストリ団体は、典型的には、ドメインネームとIPアドレスとの関連性を維持するサーバを動作する。このようなサーバは、“whois”サーバとも呼ばれることがある。上記のウェブサイトサーバの1以上に問い合わせることにより、IPアドレスの所有者の名称及び国名が見つけられうる。問い合わせは、HTTP要求を適切なサーバに送信し、応答を得るブラウザを有することにより行われうる。それに代えて、クライアントブラウザデータベースのような1つのローカルデータベース又は他のローカル又はキャッシュデータベースは、より容易かつ速く問い合わせをするために、“whois”サーバの1つ又は全てのデータベースを含みうる。所有者及び/又は国名が識別されると、ユーザ又は自動化された処理は、ウェブサイトが真正であるか又はフィッシングウェブサイトであるかを判定しうる。
同様のDNSデータベース、パブリックwhoisデータベースは、全面的に信頼性できない場合がある。フィッシングウェブサイトの所有者は、所有者自身のレジストリを利用して、whoisレジストリに登録する場合がある。この潜在的な問題に対抗するために、ローカルデータベースは、“whois”サーバからの情報を補う又は置き換えるために用いられてもよく、所有者の名称の解明を促進する。例えば、正規の国名は、“whois”サーバから明示的に認識されない場合がある。補助データベースは、IPアドレスに沿ったこの国名についてのユニークコードのようなより正確な情報を提供することができる。その別の例では、正規の金融機関、企業又は政府機関は、この補助データベースに追加される前に、別々に照合及び認証されうる。
一部の状況では、IPアドレスは、プロキシサーバ、ネットワークアドレストランスレーション(NAT)サーバ、ファイアウォール及び/又は他のネットワーク中継を識別する。可能性のあるフィッシングウェブサイト(又は他の正規のリソース)の真正なIPアドレスを見つけるために、ネットワーク中継デバイス、その所有者又は他の認証されたエントリは、1以上の中継マッピングテーブル、ログファイル及び/又は他のマッピングデータをチェックする。この中継マッピングデータから、認証されたエントリは、タイムスタンプ及び/又はTCPポート番号を内部IPアドレス情報へマッピングする。内部IPアドレスは、名称、位置及び/又は他の内部情報を決定するために内部的に割り当てられた名称に対してチェックされうる。このような内部情報を取得することは、一般的に、インターネットサービスプロバイダから、ネットワーク中継の所有者から、及び/又は他のソースからの協調を含む。この追加内部情報は、ウェブサイトが有効であるか又はフィッシングウェブサイトであるかを判定するために、クライアント又は信頼できる評価サービスへ提供されうる。
一実施形態では、ログファイル又はマッピングデータは、逆引きのための以下の情報を有してもよい。1.タイムスタンプ2.可能性のあるフィッシングウェブサイト、可能性のあるハッカーのアカウント、内部ファイル、及び/又は別の内部リソースへの内部IPアドレスのような内部/ローカルデータ3.インターネットソース及び/又は宛先IPアドレス、ソース及び/又はTCP/UDPポート番号、及び/又は可能性のあるフィッシングウェブサイト、可能性のあるハッカーのアカウント及び/又は別のソースへのマッピング情報を識別する他のデータのような外部ネットワークデータ例えば、中継ゲートウェイログファイルは、スパム送信者が、フィッシングウェブサイトへのリンクを有する電子メールを送信したソースIPアドレス及びソースTCPポート番号を含んでもよい。ログファイルは、また、電子メールメッセージが送信された宛先IPアドレス及び宛先ポート番号を含んでもよい。同様に、ログファイルは、中継ゲートウェイログファイルを含んでもよく、中継ゲートウェイログファイルは、ハッカーが宛先IPアドレス及び宛先ポート番号にアクセスしようとしたソースIPアドレス及びソースTCPポート番号を含んでもよい。頻繁に、ポート番号80又は443が用いられる。これらのポート番号がリターンされない場合、リンクは、フィッシングウェブサイトと関連付けられている可能性がある。逆に、有効なウェブサイトが、80又は443以外のポート番号を用いており、リターンされるポート番号が80又は443である場合、対応するリンクは、フィッシングウェブサイトと関連付けられている可能性がある。
図3は、本発明の一実施形態についてのアーキテクチャ、通信シーケンス及び方法を示す。図示されたモジュールの全てが本発明を実施するために要求されなくてもよい、又は追加のモジュールが別の実施形態に含まれてもよい。各種実施形態では、一部のモジュールは、組み合わせられる一方で、他のモジュールは、複数のモジュールに分割されてもよい。
この例の実施形態では、アーキテクチャは、パブリックインターネット15aを通じて、フィッシングウェブサイトに対応するIPアドレスウェブサーバへ伝えるクライアント20aを含む。クライアント20aは、インターネット15a及びTCP/IPスタック33と接続するオペレーティングシステム31を含む。TCP/IPスタック33は、アンチフィッシングモジュール38aと接続されるウェブブラウザ34aと接続される。アンチフィッシングモジュールは、ネットワークアドレス50と接続され、クライアント20aのローカルデータベースである、又はローカルネットワーク又はインターネット15aを通じて利用可能なネットワークアドレスレジストリデータベースのようなリモートネットワークデータベースであってもよい。ネットワークアドレスデータベース50は、一般的に、IPアドレス及びドメインネームとそれらの所有者との関連性を記憶する。
クライアント20aのユーザは、リンクを含む電子メールを受信する、又はブラウザ34aにより表されるウェブページのリンクを閲覧してもよい。リンクは、有効に見えるが、ユーザは、リンクの有効性を確信していなくてもよい。ユーザは、リンクにマウスポインタを配置する又はリンクを選択してもよい。一実施形態では、ユーザは、リンクのマウスポインタを配置し、マウスの右ボタンを押して、メニューオプションを選択し、リンクをチェックするためにアンチフィッシングモジュール38aを呼び出す。別の実施形態では、ユーザは、単に、リンクを選択してもよい。以下の説明は、ユーザがウェブブラウザ34aを通じてリンクを選択する実施形態を説明する。しかし、当業者は、電子メール及び/又は他のアプリケーションのようなメッセージングサービスが用いられてもよいことを理解するであろう。同様に、当業者は、リンクの受動的なチェックが、右マウスボタンが押されたときに、利用可能なメニューオプションを通じて行われてもよいことを理解するであろう。
この実施形態の例では、ブラウザ34aは、リンクのユーザ選択を検出し、通信ステップ101における対応するウェブページに対する要求を送信する。要求は、先ず、IPアドレスへのリンクURLを解決するためにTCP/IPスタック33へ送信される。URLを解決することは、ネットワークアドレスレジストリデータベース、インターネットサービスプロバイダ(ISP)又はその対応するIPアドレスとURLを関連付ける他のソースへのアクセスを要求してもよい。しかし、このようなソースからのIPアドレスは、マスクされる又は欺かれる場合がある。また、ポート番号は、URLを解決するために取得される必要はない。真正なIPアドレス及びポート番号が取得されることを確実にするために、TCP/IPスタック33は、通信ステップ102において、オペレーティングシステム31aを通じた要求を送信し、オペレーティングシステムは、通信ステップ103において、インターネットを通じて、疑わしいネットワークノード17aへのTCP接続をする。
疑わしいネットワークノード17a(例えば、その対応するサーバ)は、通信ステップ104において、要求されたウェブページをリターンする。また、リターンされるのは、フィッシングウェブサイトの正確なIPアドレス及びポート番号である。クライアントオペレーティングシステム31aは、通信ステップ105において、ウェブページ、アドレス及びポート番号を受信し、この情報をTCP/IPスタック33にパスする。TCP/IPスタックは、通信ステップ106において、ウェブページをブラウザ34aにパスする。通信ステップ107において、ブラウザは、TCP/IPスタックからのIPアドレス及びポート番号を要求する。例えば、ブラウザは、GetlPAddressByNameオブジェクト又はGetHostByNameオブジェクトを呼び出す。TCP/IPスタックは、通信ステップ108において、IPアドレス及びポート番号をブラウザへリターンする。
ブラウザ34aは、通信ステップ109において、その後、IPアドレス、ポート番号及びURL(又はドメインネーム又はホストネーム)をアンチフィッシングモジュール38aへパスする。アンチフィッシングモジュールは、通信ステップ110において、データベース50から所有者名称、国名及び/又は他の識別データを要求するために、この情報を用いる。データベース50は、通信ステップ111において、要求された情報をアンチフィッシングモジュール38aにリターンする。アンチフィッシングモジュール38aは、表示のために、情報をブラウザ34aに直接的にパスする。しかし、一実施形態では、アンチフィッシングモジュール38aは、所有者名称及び国名が、URLのドメインネームについての既知の情報と一致するかを判定する。一致しない場合には、通信ステップ112において、アンチフィッシングモジュールは、警告を表示するために、ブラウザ34aに対して命令を送信する。
図4は、本発明の一実施形態についてのウェブページ200のスクリーンショットを示す。この例では、フィッシングウェブサイトは、Paypal, Inc.のような企業のオフィシャルウェブサイトを装っている。uniform resource locator(URL)202は、ブラウザアドレスフィールドに示される。当該URLは、勝手に送りつけられた電子メールからのハイパーリンクを介してアクセスされた。URLのドメインネームと関連付けられたIPアドレスは、68.142.234.59である。関連付けられたIPアドレスの所有者名称204及び国名206は、ブラウザアドレスフィールドに示されるドメインネームアドレスの近傍に表示される。ユーザ、アンチフィッシングプラグイン及び/又は他の決定モジュールは、真正性を判定するために、所有者の名称及び国名をドメインネームと比較してもよい。一部の比較は、相対的に容易である。例えば、IP所有者名称が不明な団体又は個人名称であり、ドメインネームがよく知られた企業を示す場合ドメインネームの真正な所有者であるIP所有者に対する重み付けされた決定である。同様に、IP所有者が、偽装活動の履歴を有するものである、又は既知の企業の本国から程遠い場合、ドメインネームの真正な所有者であるIP所有者に対する更なる重み付けが存在する。IPアドレスは、また、既知のIPアドレス又は既知の企業のアドレスの範囲と単に比較されてもよい。重み付けされた情報は、IPアドレスが真正なウェブサイトではなく、フィッシングウェブサイトであるということの決定に導く。
図4に示されるように、ウェブページ200は、Paypal, Incのもののように見える。IP所有者202は、正当な企業であるInktomi, Inc.として表示される。しかし、ドメインネームwww.paypay.comと関連付けられるIPアドレスは、216.113.188.67である。大規模団体は、多くのIPアドレスを有する場合があり、そのため、IPアドレスが正当な団体によって所有されるかどうかが不明確である。URLのIPアドレスに関連付けられる国名206は、United Statesであり、正当に見える。よって、追加情報が用いられる。この例では、Paypal, Inc.は、企業Ebay, Inc.によって所有されており、これは、Inktomi, Inc.とは関連付けられていない。よって、示されているウェブサイトは、フィッシングウェブサイトである可能性がある。オプション警告208は、ポップアップウィンドウ又は別の手法で、別のブラウザフィールドに表示される。
別の実装例
インターネットのようなIPネットワークでは、2つのノード間の接続及びセッションは、一般的に、IPアドレス及びTCP/UDPポート番号を用いてなされる。いずれかのノードは、それ自体及び他のノードのIPアドレス及びポート番号を知っている。ポートは、一般的に、ネットワークノードへのエンドポイントである。ポート番号は、典型的には、特定の通信セッション、特定の機能、特定のリソース、又はこのネットワークノード内の他のアイデンティティを表す。ポート番号は、一般的に、3つのレンジに分割される:ウェルノウンポート(Well Known Ports)、登録ポート(Registered Ports)及びダイナミック及び/又はプライベートポート(Dynamic and/or Private Ports)。ウェルノウンポートは、一般的に、IANAのようなアサイメントサービスによって割り当てられる。登録ポートは、所望の目的のために、付加的に登録されてもよい。ダイナミック又はプライベートポートは、一般的に、頻繁に通信を変更する及び/又はプライベート目的のためにネットワークノードによって用いられる。
インターネットのようなIPネットワークでは、2つのノード間の接続及びセッションは、一般的に、IPアドレス及びTCP/UDPポート番号を用いてなされる。いずれかのノードは、それ自体及び他のノードのIPアドレス及びポート番号を知っている。ポートは、一般的に、ネットワークノードへのエンドポイントである。ポート番号は、典型的には、特定の通信セッション、特定の機能、特定のリソース、又はこのネットワークノード内の他のアイデンティティを表す。ポート番号は、一般的に、3つのレンジに分割される:ウェルノウンポート(Well Known Ports)、登録ポート(Registered Ports)及びダイナミック及び/又はプライベートポート(Dynamic and/or Private Ports)。ウェルノウンポートは、一般的に、IANAのようなアサイメントサービスによって割り当てられる。登録ポートは、所望の目的のために、付加的に登録されてもよい。ダイナミック又はプライベートポートは、一般的に、頻繁に通信を変更する及び/又はプライベート目的のためにネットワークノードによって用いられる。
他のノードへのアウトバウンド接続要求のために、クライアントは、他のノードのIPアドレス及びポート番号を用いる。クライアントへのようなインバウンド接続のために、リクエスタは、そのIPアドレス及びポート番号を識別する。中継ノードがインターネットサービスプロバイダサーバ等に用いられる場合、中継ノードは、一般的に、各ノードのIPアドレス及びポート番号を知る。例えば、サーバは、一般的に、要求ノード及びクライアントノードの両方のIPアドレス及びローカルポート番号を知り、中継サーバは、要求ノードとクライアントノードとの通信をリレーすることができる。
同様に、サーバ又はクライアントによって開始されるファイルのダウンロードのために、IPアドレス及びポート番号が知られている。例えば、ダウンロードがウェブサイト又は他のネットワークサービスからである場合、ファイルを提供するIPアドレス及びポート番号は、上述したような、パブリック又はローカルアサイメントデータベースから求められうる。一部の状況では、IPアドレス及びポート番号は、正当な、つまり、信頼できるネットワークノードのものであってもよい。しかし、ハッカーは、信頼できるノードにアクセスし、ウイルス又は他の望まれないファイルを配布させようとする。この場合、本発明の実施形態は、通信のペイロードを評価する。一実施形態では、評価モジュールは、許容データを示すカテゴリ識別子に対してペイロードデータを決定及びチェックするために、パケットのペイロードを評価する。別の実施形態では、評価モジュールは、ファイルがブロックされる及び/又は警告が発せられるべきであるかどうかを判定するために、全体のファイル拡張子、ファイルオーサー、生成日、及び/又は転送されるファイルの他のプロパティを評価する。例えば、信頼できるネットワークノードから新たなドキュメントをダウンロードすることを容認するが、実行可能なコードをダウンロードすることを容認しない。1以上のカテゴリコードは、ペイロードデータ、ダウンロードファイル又は許容される他のデータの種類を示すために、各信頼できるノードのIPアドレス及びポート番号と関連付けられうる。
IPアドレス、ポート番号及びカテゴリコードは、正当及び/又は信頼できるネットワークノード及びファイルを識別するファイル、データベース、及び/又は他のデータソースに記憶される。このようなデータソースは、ホワイトリストとしても本明細書で示されている。ホワイトリストは、一般的に、ブロックされる又は信頼出来ないアドレス、ノード、データソース又は他の情報を具体的に識別するブラックリストとは異なる。例えば、本発明の特定の実施形態に用いられるホワイトリストは、認証されないネットワークノード又は匿名プロキシサーバについてのIPアドレスを含まない。
ホワイトリストは、IANA WHOISデータベースのサブセットであってもよい。これは、正規の金融機関、信頼できるウェブサイト、信頼できるダウンロードウェブサイト、信頼できるアンチウイルス企業ウェブサイト、及び/又は他のサービスプロバイダのみのネットワークノードを識別してもよい。このようなサービスプロバイダは、ISPを含んでもよい。よって、ホワイトリストは、IPアドレス及び1以上のインターネットサービスプロバイダと関連付けられる情報を含むために、インストール時又はそのほかの時に、変更されてもよい。サービスプロバイダは、クライアント設備、クライアントノードがアクセスする必用がある他のインターネットノード、又は特定の機能のために特定のデバイスにアクセスするための許可を有する一部の他のネットワークノードにアクセスするために必要であってもよい。また、ホワイトリストは、アドレス所有者の名称、ドメインネーム、カテゴリコード及び他の情報を含んでもよい。ホワイトリストは、クライアント、ファイルを提供するサーバ、通信の中継ノード、又は2つのノード間の通信のディレクトリパートではないニュートラルノードに記憶されてもよい。複数のホワイトリストは、マスクされたネットワークアドレス、プロキシサーバ等を承諾するために、単一又は複数のノードで使用されてもよい。例えば、複数のホワイトリストは、メッセージ、ウェブページ又は通信経路に沿う他の通信ムーブとして中間チェックを行うために、様々なルーター又は他のノードに分配されてもよい。
本発明の実施形態は、複数の段階のセキュリティを提供するために実装されうる。最上位の段階は、IPアドレスである。第2の段階は、ポート番号である。第3の段階は、カテゴリである。他の段階は、通信の他の態様に関連付けられてもよい。アプリケーション要件に応じて、実施形態は、様々なレベルの評価を適用してもよい。一実施形態は、信頼できるIPアドレスについてのホワイトリストをチェックすることにより第1の段階のみを実行してもよい。更に高いセキュリティのために、実施形態は、3つ全ての段階をチェックしてもよい。アドミニストレータは、評価モジュールにおいて評価のレベルを設定してもよい。
ホワイトリストの他の情報は、セキュリティレーティングを含んでもよく、これは、ユーザインタラクションが必要かどうかを示すために用いられる。例えば、最も高いセキュリティレーティングのために、評価モジュールは、その評価を自動的に行い、全ての決定をなす。別のセキュリティレーティングのために、ユーザインタラクションは、通信、ファイルダウンロード又は疑わしいネットワークノードに関連付けられる他のアクションを可能にするために必要とされてもよい。最も低いレーティングのために、評価モジュールは、自動的に通信、ファイルダウンロード又は他のアクセスをブロックしてもよい。追加又は代替的に、セキュリティレーティングは、通信をチェックしている間に、確認される又は別々に決定されてもよい。例えば、IPアドレス、ポート番号及びカテゴリコードが、ホワイトリストのものと一致した場合には、評価モジュールは、高いセキュリティレーティングを示してもよい。IPアドレス及びポート番号が一致するが、カテゴリコードが一致しない場合には、評価モジュールは、中間のセキュリティレーティングであると決定し、どのように処理するかのユーザ指示を要求する。IPアドレス及びポート番号がホワイトリストのものと一致しない場合には、評価モジュールは、最も低いセキュリティレーティングであると決定する。評価モジュール及び/又は他のアプリケーションは、セキュリティレーティングに応じて、異なるアクションを取りうる。
評価モジュールが高リスクネットワークノードを識別する複数の状況が存在する。以下に限定されないが、いくつかの実施例を含む。
1.ウェブサイト、FTP(File Transfer Protocol)又は他のネットワークノードを訪れるようなアウトバウンド接続要求のために、宛先ノードのIPアドレス及びポート番号は、チェックされる。宛先ノードのIPアドレス及びポート番号がホワイトリストと一致しない、又は高リスクとみなされる場合には、評価モジュールは、接続を妨げる、警告を与える、ユーザ承認を要求する、宛先ノードの追加認証を要求する又は別の予め設定されたアクションを行うことができる。ユーザが接続を承認することの場合、宛先ノードのIPアドレス、ポート番号及び/又は他の情報は、ホワイトリストに追加される。
2.インバウンド接続要求のために、要求ノードのIPアドレス及びローカルデバイスポート番号は、ホワイトリストに対してチェックされる。これは、受信デバイスへのアクセスを得ることから、侵入者、ハッカー又は他の認証されないユーザを止めることができる。受信デバイス(又は中間ノード)は、接続を拒否する、警告を与える、ユーザ承認を要求する、追加認証を要求する又は別の予め設定されたアクションを行うことができる。ユーザが接続を承認することの場合、宛先ノードのIPアドレス、ポート番号及び/又は他の情報は、ホワイトリストに追加される。
3.ファイル転送のために、ソースノードは、ファイルがダウンロードされる前にチェックされうる。逆に、宛先ノードは、ファイルが疑わしいノードへ送信される前にチェックされうる。上述したように、IPアドレス、ポート番号及びファイルタイプは、ホワイトリストに対してチェックされうる。接続状況と同様に、評価モジュールは、ファイル転送を妨げる、ユーザ承認を要求する、要求ノードの追加認証を要求する又は別の予め設定されたアクションを行うことができる。ユーザがファイル転送を承認することの場合、疑わしいノードのIPアドレス、ポート番号及び/又は他の情報は、ホワイトリストに追加される。ファイル拡張子は、また、対応するIPアドレス、ポート番号及び/又は他の情報に沿ってカテゴリとして記憶される。
図5は、本発明の別の実施形態のためのアーキテクチャ、通信シーケンス及び方法を示す。図示されたモジュールの全てが本発明を実施するために要求されなくてもよい、又は追加のモジュールが別の実施形態に含まれてもよい。各種実施形態では、一部のモジュールは、組み合わせられる一方で、他のモジュールは、複数のモジュールに分割されてもよい。実施例の状況は、以下のアーキテクチャに対して説明される。
実施例の実施形態では、アーキテクチャは、ウェブサイト、FTPサイト又は他のインターネットサービスに対応するネットワークノード317のIPアドレスへのパブリックインターネット15bを通じて通信するクライアント20bを含む。クライアント20bは、インターネット15bと通信され、TCP/IPスタック333と通信されるオペレーティングシステム31bを含む。TCP/IPスタック333は、インターネットネットワークアプリケーション34bと通信され、これは、認証モジュール38bと通信される。インターネットネットワークアプリケーション34bは、電子メールアプリケーション、又はハッカー、ウイルス又は他の望まれないエンティティを含む通信を妨げるために用いられうる他のアプリケーションであってもよい。認証モジュールは、ローカルデータベース350と通信され、これは、クライアント20bに含まれてもよく、クライアント20bと通信されてもよい。ローカルデータベース350は、一般的に、IPアドレス、TCP/IPポート番号、カテゴリ、セキュリティレーティング、ドメインネーム、それらの所有者及び/又は他のデータ間の関連性を記憶するホワイトリストを含む。
状況例1:アウトバウンド接続
この実施形態の例では、クライアント20bのユーザは、ウェブサイトのようなインターネット接続を開始する。インターネットネットワークアプリケーション34bは、通信ステップ301において、接続のためのユーザ要求を検出する。要求は、先ず、ドメインネーム又はURLをIPアドレスに変化するために、TCP/IPスタック333へ送信される。変化したドメインネームは、DNSへのアクセスを要求する。しかし、DNSからのIPアドレスは、マスクされる又は欺かれている場合がある。TCP/IPスタック333は、通信ステップ302において、オペレーティングシステム31bを通じて要求を送信し、オペレーティングシステムは、通信ステップ303において、インターネットを通じて、ネットワークノード317へのTCP接続をする。
この実施形態の例では、クライアント20bのユーザは、ウェブサイトのようなインターネット接続を開始する。インターネットネットワークアプリケーション34bは、通信ステップ301において、接続のためのユーザ要求を検出する。要求は、先ず、ドメインネーム又はURLをIPアドレスに変化するために、TCP/IPスタック333へ送信される。変化したドメインネームは、DNSへのアクセスを要求する。しかし、DNSからのIPアドレスは、マスクされる又は欺かれている場合がある。TCP/IPスタック333は、通信ステップ302において、オペレーティングシステム31bを通じて要求を送信し、オペレーティングシステムは、通信ステップ303において、インターネットを通じて、ネットワークノード317へのTCP接続をする。
ネットワークノード317(例えば、ウェブサイトの対応するサーバ)は、通信ステップ304において、要求をリターンする。また、リターンされるのは、ネットワークエンティティの正確なIPアドレス及びポート番号である。クライアントオペレーティングシステム31bは、IPアドレス及びポート番号を受信し、通信ステップ305において、この情報をTCP/IPスタック333へパスする。TCP/IPスタックは、通信ステップ306において、制御をアプリケーション34aへパスする。アプリケーションプログラムは、ネットワークノード317から受信される任意のファイル又は他データのカテゴリコードを決定してもよい。通信ステップ307において、アプリケーションは、TCP/IPスタックからのIPアドレス及びポート番号を要求する。例えば、ネットワークアプリケーションは、GetlPAddressByNameオブジェクト又はGetHostByNameオブジェクトを呼び出してもよい。TCP/IPスタックは、通信ステップ308において、IPアドレス及びポート番号をアプリケーションへリターンする。
ネットワークアプリケーション34bは、その後、通信ステップ309において、IPアドレス、ポート番号、カテゴリコード及び他の情報を認証モジュール38bへパスする。認証モジュールは、データベース350をチェックするために、この情報を用いる。認証モジュールは、通信ステップ310において、IPアドレス、ポート番号、カテゴリコード及び他の情報を有するデータベース350へサーチ要求を送信してもよい。データベース350は、IPアドレス及び他の情報が、信頼できる情報のホワイトリストに含まれるかどうかを判定するためにサーチを行う。データベース350は、また、所有者、国名、セキュリティコード及び/又はIPアドレスに関連付けられる他の情報を判定してもよい。データベース350は、通信ステップ311において、要求された情報を認証モジュール38bへリターンする。認証モジュール38bは、情報をネットワークアプリケーション34bへ直接的にパスしてもよい。IPアドレス及びポート番号がホワイトリストにあるかどうかに基づいて、認証モジュールは、ステップ312において、接続を閉じる、受信された情報を拒否する、警告メッセージを送信する、ユーザ決定を待つ、及び/又は他の予め設定されたアクションを行うために、命令を送信することができる。
状況例2:インバウンド接続
ネットワークノード317は、通信ステップ304において、接続をクライアント20bに要求する。クライアントオペレーティングシステム31bは、この要求を受信し、これは、ネットワークノード317のIPアドレス及びポート番号を含む。要求は、また、一般的に、ネットワークノードが接触することを望むリソースとして、ネットワークアプリケーション34bを識別するために、ネットワークアプリケーション34bのポート番号を含む。要求は、更に、ネットワークノードが望むデータにファイルネーム又は他の情報を含んでもよい。オペレーティングシステムは、通信ステップ305において、この情報をTCP/IPスタック333へパスする。TCP/IPスタックは、通信ステップ306において、この情報をインターネットネットワークアプリケーション34bにパスする。
ネットワークノード317は、通信ステップ304において、接続をクライアント20bに要求する。クライアントオペレーティングシステム31bは、この要求を受信し、これは、ネットワークノード317のIPアドレス及びポート番号を含む。要求は、また、一般的に、ネットワークノードが接触することを望むリソースとして、ネットワークアプリケーション34bを識別するために、ネットワークアプリケーション34bのポート番号を含む。要求は、更に、ネットワークノードが望むデータにファイルネーム又は他の情報を含んでもよい。オペレーティングシステムは、通信ステップ305において、この情報をTCP/IPスタック333へパスする。TCP/IPスタックは、通信ステップ306において、この情報をインターネットネットワークアプリケーション34bにパスする。
ネットワークアプリケーション34bは、その後、通信ステップ309において、IPアドレス、ポート番号及び他の情報を認証モジュール38bへパスする。認証モジュールは、ネットワークノード317によって要求される情報についてのカテゴリコードを決定してもよい。認証モジュールは、データベース350をチェックするために、この情報を用いる。認証モジュールは、通信ステップ310において、IPアドレス、ポート番号、カテゴリコード及び他の情報を有するデータベースへサーチ要求を送信してもよい。データベース350は、IPアドレス及び他の情報が、信頼できる情報のホワイトリストに含まれるかどうかを判定するためにサーチを行う。データベース350は、また、所有者、国名、セキュリティコード及び/又はIPアドレスに関連付けられる他の情報を判定してもよい。データベース350は、通信ステップ311において、要求された情報を認証モジュール38bへリターンする。認証モジュール38bは、情報をネットワークアプリケーション34bへ直接的にパスしてもよい。IPアドレス及びポート番号がホワイトリストにあるかどうかに基づいて、認証モジュールは、ステップ312において、接続を閉じる、受信された情報を拒否する、警告メッセージを送信する、ユーザ決定を待つ、及び/又は他の予め設定されたアクションを行うために、命令を送信することができる。
状況例3:メッセージング
ネットワークアプリケーション34bが、Microsoft Outlook(登録商標)等の電子メールクライアントのようなメッセージングサービスである場合、受信される電子メールヘッダーをチェックすることができる。ヘッダーには、送信電子メールデバイスのIPアドレス及びポート番号を有する“Received From”フィールドが存在する。ヘッダーは、courtesy copy(CC)受領者、受信された電子メールへの添付の表示、及び/又は他のデータと関連付けられたデバイスのIPアドレスのような他の情報を含んでもよい。ネットワークアプリケーション34bは、添付フィルのカテゴリコードを決定してもよい。ネットワークアプリケーションは、その後、通信ステップ309において、IPアドレス、ポート番号及び他の情報を認証モジュール38bへパスする。認証モジュールは、電子メール送信者が信頼できるかをどうかを判定するためにこの情報を用いる。具体的には、認証モジュールは、通信ステップ310において、サーチ要求におけるIPアドレス及びポート番号(及び利用可能な場合にはカテゴリコード)をデータベース350へ送信する。データベースは、ホワイトリストにおけるIPアドレス及びポート番号をチェックする。データベースは、また、ドメインネーム、電子メールファンクションコード、セキュリティレーティング、及び/又は他のデータ(利用可能な場合)を検索してもよい。データベース350は、通信ステップ311において、そのサーチの結果を認証38aへリターンする。認証モジュール38bは、情報を電子メールネットワークアプリケーション34bへ直接的にパスしてもよい。IPアドレス及びポート番号がホワイトリストにあるかどうかに基づいて、認証モジュールは、ステップ312において、電子メールを削除する、電子メールを(例えば、迷惑メールフォルダへ)リダイレクトされる、警告を送信する、ユーザ命令を待つ、及び/又は他のアクションのために命令を送信することができる。
ネットワークアプリケーション34bが、Microsoft Outlook(登録商標)等の電子メールクライアントのようなメッセージングサービスである場合、受信される電子メールヘッダーをチェックすることができる。ヘッダーには、送信電子メールデバイスのIPアドレス及びポート番号を有する“Received From”フィールドが存在する。ヘッダーは、courtesy copy(CC)受領者、受信された電子メールへの添付の表示、及び/又は他のデータと関連付けられたデバイスのIPアドレスのような他の情報を含んでもよい。ネットワークアプリケーション34bは、添付フィルのカテゴリコードを決定してもよい。ネットワークアプリケーションは、その後、通信ステップ309において、IPアドレス、ポート番号及び他の情報を認証モジュール38bへパスする。認証モジュールは、電子メール送信者が信頼できるかをどうかを判定するためにこの情報を用いる。具体的には、認証モジュールは、通信ステップ310において、サーチ要求におけるIPアドレス及びポート番号(及び利用可能な場合にはカテゴリコード)をデータベース350へ送信する。データベースは、ホワイトリストにおけるIPアドレス及びポート番号をチェックする。データベースは、また、ドメインネーム、電子メールファンクションコード、セキュリティレーティング、及び/又は他のデータ(利用可能な場合)を検索してもよい。データベース350は、通信ステップ311において、そのサーチの結果を認証38aへリターンする。認証モジュール38bは、情報を電子メールネットワークアプリケーション34bへ直接的にパスしてもよい。IPアドレス及びポート番号がホワイトリストにあるかどうかに基づいて、認証モジュールは、ステップ312において、電子メールを削除する、電子メールを(例えば、迷惑メールフォルダへ)リダイレクトされる、警告を送信する、ユーザ命令を待つ、及び/又は他のアクションのために命令を送信することができる。
より詳細には、本発明の例示的な実施形態は、simple mail transport protocol(SMTP)を用いるインターネット電子メールシステムを含んでもよい。インターネット電子メールのために、SMTPは、メールを届ける又は検索するために用いられる。これは、一般的には、中継メールサーバを通じて行われる。電子メールを受信するとき、メールサーバは、送信メールクライアントのIPアドレス及びTCP/UDPポート番号を受信する。メールサーバは、送信者のIPアドレスを、電子メールヘッダーの“Received From”フィールドへ追加する。上述したように、IPアドレスは、照合されうる。
このような照合の別の実施形態は、また、電子メール送信者のドメインネームを認証するために、メールサーバによるリバースDNSルックアップを含んでもよい。一部の電子メールサーバは、スパム電子メールをブロックするためにドメイン情報を用いることを留意する。スパムブロッキングは、メールサーバドメイン及び/又はクライアント送信者のドメインをチェックするために、ドメイン情報を用いてもよい。しかし、上述されたように、ドメイン情報は、マスクされる場合がある。DNSルックアップあり又はなしで、本発明の実施形態は、ホワイトリストデータベースに対して電子メールの実際のIPアドレスをチェックすることにより電子メール送信者を照合する。それにもかかわらず、所有者及び国名のような追加情報は、電子メールヘッダー内のIPアドレス情報から取得されるドメイン情報からチェックされうる。追加信頼性は、受信されたIPアドレスが、受信された電子メールアドレスに示されるドメインと関連付けられることを確実にするために、ドメインルックアップを用いることにより取得されうる。例えば、認証モジュールは、ホワイトリスト又はドメインアサイメントサービスをサーチするために電子メールヘッダーからのIPアドレスを用い、IPアドレスに関連付けられるドメインネームを決定してもよい。認証モジュールは、その後、電子メールメッセージの“Received From”フィールドにおいて特定されたドメインネームに対して決定されたドメインネームを比較しうる。ドメインネームが一致しない場合には、メッセージは、正当ではない。メッセージからのIPアドレス及びポート番号が、ホワイトリストのものと一致したとしても、異なるドメインネームは、ハッカーが、信頼できるネットワークノードにアクセスし、スパムメッセージ又は他の望まれない活動のために信頼できるネットワークノードを用いていることを示す。
電子メールが、別のSMTPにより転送/リレーされている場合、その受信者電子メールクライアントは、また、転送/リレーメールサーバが信頼できるかをチェックする。電子メールヘッダーが不十分である場合、又は転送/リレーメールサーバが、送信者を識別するために用いることができない場合、認証モジュールは、電子メールを削除する、又は上述された他のアクションを取ることができる。
また、SMTP電子メールのために、送信者は、xxxx@msn.com.のような電子メールドメインを用いる。ドメインネームだけでは、一般的に、この電子メールが一般的なMSNユーザからである、又はアカウンティング又はアドミニストレーション部門のようなMSN内の重要組織のメンバーからであるかを識別するのは容易ではない。このレベルの詳細を決定することを可能にするのは、金融機関又は他の団体(オーガニゼーション)が手に入れることを望む機能である。
この課題を解決するために、送信電子メールサービスは、特定部門のための複数IPアドレスを実現することができる。一部のIPアドレスは、汎用ユーザのためのものであってもよい。他のIPアドレスは、特別なユーザ及び/又は他の特別な目的のために用いられうる。このようにして、金融機関又は他の団体は、金融情報電子メールをそれらの顧客へ送信しうる。追加又は代替的に、TCP/IPポートは、この機能をサポートするために用いられうる。これは、制限されたIPアドレスがインターネットメールサービスに利用可能である場合に有益である。更に別の実施形態では、サブオーガニゼーションコードは、サブオーガニゼーション又は電子メールの他のカテゴリー化を識別するために、通信に含まれうる、及び/又はホワイトリストデータベースに追加されうる。同様に、機能コードは、通信用の目的を示すために、通信に含まれうる、及び/又はホワイトリストデータベースに追加されうる。顧客のクライアントデバイスは、送信者を認証するために本発明の実施形態を用いることができ、許容できる団体のコード及び/又は機能コードをチェックすることができ、フィッシング電子メールから正当な電子メールを区別する。
フィシングウェブサイトについて警告を表示すると共に、電子メールクライアントは、ディスプレイフィールドを提供しうる。電子メールクライアントは、また、正当性を制御するためにメニューオプションを提供してもよい。ユーザが電子メールを受信したとき、メニューオプション及び/又はディスプレイフィールドは、ユーザが、電子メール送信者、サブオーガニゼーション及び/又は他の機能/データを識別することを可能にする。一実施形態では、受信者電子メールクライアントは、ローカルホワイトリストデータベースに対して送信者のIPアドレス、ポート番号及びドメインネームを自動的に比較する。送信者のIPアドレス(例えば、電子メールのFROM又はRECEIVEDフィールドに基づいて決定されるような)、ポート番号及び/又はドメインネームがデータベースにない、又はデータベース内のエントリのものと異なる場合、ディスプレイフィールドは、電子メールが、電子メールアドレスに示される送信者から実際には来ないことを示すために用いられる。代替的に、ユーザは、このチェックを行う、電子メール又は送信者についての情報を表示する、及び/又は他の動作を実行するために、メニューオプションをアクティベートしてもよい。
一部の実施形態では、ホワイトリストは、よく知られた団体のIPアドレスに加えて、以下の構成の1以上を有する。上述されたホワイトリストの主な利点は、2方向通信(two−way communication)に用いられるIPアドレス(例えば、TCP/IPセッションの一部として)が偽造することが困難又は不可能であることである。攻撃者又は他の相手がパケットのソースIPアドレスになりすますことができるが、このようななりすましは、一般的に、TCP/IPコンテキスト(TCP/IP context)で用いられることができず、ここで、2方向通信は、セッションを実現するために必要である。よって、ネットワークスタックから得られるIPアドレスを用いることにより、上述された技術は、高い信頼度で疑わしいネットワーク通信を識別することができる。
また、ホワイトリストは、疑わしいIPアドレスがブラックリストに追加されると、当該IPアドレスの認証されないユーザが、それらの攻撃を、異なるIPアドレスで動作する異なるコンピュータシステムへ移動しうるだけであるブラックリストに利点を提供する。犯罪組織が、感染したマシンのネットワーク全体を動作する世界では、それらの組織にとってそれらの認証されない活動(例えば、スパムの送信)をあるマシンから別のマシンへシフトすることは些細なことである。
上述された技術は、また、所与のコンピュータシステム内の複数の異なるレベルで機能してもよい。例えば、上述された技術は、オペレーティングシステムカーネル、ネットワークスタック及びアプリケーションから受信又は取得される情報を用いてもよい。例えば、認証モジュール38b(図5)は、アプリケーションレベル(例えば、電子メールクライアントから受信される電子メールヘッダー)、ネットワークレベル(例えば、TCP/IPスタックから受信されるIPアドレス)、及びオペレーティングシステム(例えば、オペレーティングシステムカーネルから受信される許可設定)から受信される情報を用いてもよい
また、上述された技術は、コンピュータシステムの異なるレベルのセキュリティを実装するためのインフラストラクチャ又はフレームワークを提供する。例えば、ホワイトリスト又は類似の構造は、オペレーティングシステム、ネットワークスタック及び1以上のアプリケーションにおけるセキュリティ又は許可機能を実装するために用いられる情報又はプロパティを含んでもよい。
ホワイトリストは、地理的情報と関連付けられるIPアドレスを含んでもよい。ある種の地理的情報は、特定のIPアドレスに割り当てられる地域インターネットレジストリ(regional Internet registry)に基づく。上述されたように、IPアドレスは、ARIN、APNIC、LACNIC、AfriNIC、RIPE NCC等のような地域インターネットレジストリによって割り当てられる。与えられたIPアドレスは、IPアドレスに割り当てられた地域インターネットレジストリを判定することが可能であり、それにより、IPアドレスに関連付けられる地域(例えば、大陸又は国名)を判定する。地域レジストリは、更に、IPアドレスに関連付けられる国名、州又は市のような国名又はより詳細な地理的情報を提供するクエリをサポートしてもよい。地理的情報の他のソースは、国名、州、市、緯度/経度、郵便番号、市外局番等を含むきめ細かい地理的情報を提供するように構成されるwhoisデータベース及び商業的又はパブリックゲオロケーションサービスを含む。
地理的情報は、特定された領域においてユーザにアクセスを制限するために用いられてもよい。例えば、政府は、当該政府の国又は管轄に位置するIPアドレスへのアクセスを制限してもよい。別の例として、特定の地域のためのIPアドレスは、それらの地域からの高レベルのコンピュータ犯罪操作に基づくような危険としてフラグ付されてもよい。別の例として、e−コマースコンピュータシステム(例えば、バンキングシステム、オンラインショッピングシステム)は、顧客が住む同一の地理的地域(例えば、市、州、国)と関連付けられるIPアドレスからの顧客アクセスのみを可能にしてもよい。例えば、特定の顧客がシアトルに住む場合、特定のe−コマースシステムは、ワシントン州又はアメリカ合衆国に割り当てられるIPアドレスからの顧客のアカウントにのみアクセスを可能にしてもよい。また、政府又は軍のような高セキュリティな組織については、当該組織は、特定の地理的位置のみをアクセス可能にし、他の位置(例えば、中華人民共和国)をブロックしてもよい。
ホワイトリストは、異なる実施形態において異なる形態を取ってもよい。ホワイトリストは、パブリックインターネット及び/又はプライベートインターナルネットワークに存在してもよい。ホワイトリストは、パブリックインターネットで採用されるものと同様の手法でプライベートインターナルネットワークに対して生成されうる。例えば、銀行は、顧客インターネットIPアドレスを特定銀行アカウントと関連付けるホワイトリストを有してもよい。顧客側では、銀行アカウント所持者は、銀行のコンピュータシステムの内部IPアドレスを含むホワイトリストを有してもよい。また、複数のリストは、単一デバイスに存在してもよい。例えば、1つはインバウンドトラフィック用のホワイトリストであり、1つはアウトバウンドデータ用のホワイトリストである。また、各ネットワークインターフェースカード(NIC)は、その独自のホワイトリストを有してもよい。また、ホワイトリストは、静的(例えば、予め設定される)又は動的に生成されうる。例えば、ウェブサイトについて、動的リストは、着信IPアドレス情報に基づいて生成されてもよい。後者のアクセスは、その後、リストに基づいて比較されて、疑わしい通信は、ウェブサイトURLが、リストに記憶されるものとは異なるIPアドレスに変化させるとき等に示されうる。
ホワイトリストの実施例は、以下の表1に記載される以下のフィールド又はプロパティの1以上を含んでもよい。フィールドのそれぞれは、通信の許容方向(例えば、アップロード又はダウンロード、送信又は受信)、通信の許容期間(例えば、8AMから1PM)、許容プログラム/プロセス(例えば、Internet Explorer)等のような1以上の許容通信プロパティを表す。別の実施形態では、表は、通信が許可されない期間(例えば、深夜から4AM)、許可されない通信ポート(例えば、HTTPに共通に用いられるポート80)等のような許容しない通信プロパティの指標を含んでもよい。
上記のフィールドは、様々な手法で組み合わせられてもよい。例えば、図1を参照すると、クライアント12、13又は14が、アウトバウンド接続を開始したとき、プロセス名称、アクセス時間ウィンドウ、バッチ/インタラクティブ処理、宛先IPアドレス、適切な場合のURL/URI又はドメインネーム、セキュリティレーティング、アップロード/ダウンロード、カテゴリコード又はペイロードタイプの1以上をチェックしてもよい。一部の実施形態では、これらのアイテムのいずれか1つが、ホワイトリストにおける対応するエントリ/フィールドに一致しない場合には、接続は、許可されない。別の実施形態では、疑わしい通信等を説明するポップアップウィンドウ/ダイアログを表示する、メッセージを送信する等により、ユーザに通知されてもよい。
別の例として、クライアント12、13又は14が、インバウンド接続を受信するとき、リモートデバイスのIPアドレス及びポート番号、この接続(例えば、ポートでのリスニング)を供給しているプログラム、アクセス時間ウィンドウ、バッチ又はインタラクティブ処理、適切な場合のURL/URI又はドメインネーム、カテゴリコード又はペイロードタイプの1以上をチェックしてもよい。
ホワイトリストは、また、良好なセキュリティ行為を有するよく知られた企業のような一般的なセキュリティシステム又はサービスを識別するエントリを含んでもよい。これらのシステムに対して、任意の種類のデータのアクセス、ダウンロード又はアップロードを許可しても安全である。
デバイスが、既に、ウイルスのような悪意のあるコードに感染している場合、上述された技術は、プログラム名称(例えば、プロセス名称)、アクセス時間ウィンドウ、ペイロードタイプ、バッチ又はインタラクティブモードをチェックすることにより、重要な情報をアップロードするために、ウイルスがネットワークへアクセスすることを防ぐことができる。これは、ウイルスが他のデバイスへ広がることを防ぐ。ウイルスが、データを送出するためにオンライン電子メールアカウントにアクセスするための許可プロセスリストに既にあるウェブブラウザのような別のプログラムを開こうとしている場合、アクセス時間ウィンドウ及びバッチモードチェックは、例えば、バッチモードウェブブラウザプログラムの全てを不許可することによって、止めることができる。
悪意のある又は疑わしい電子メールは、一部の実施形態では、以下のような方法で検出されてもよい。先ず、電子メールクライアントと関連付けた認証モジュールは、電子メールヘッダー(例えば、source@hostname.net)におけるFROMフィールドからソース電子メールアドレスを抽出してもよい。悪意のある電子メールでは、ソース電子メールアドレスは、頻繁に偽装され、友人又は他の既知の人から来たように見せる。そして、認証モジュールは、ソース電子メールアドレスから抽出されるホストネーム(例えば、hostname.net)でドメインネームルックアップを行うこと等により、ソース電子メールアドレスに基づいて第1のIPアドレスを決定する。次に、認証モジュールは、電子メールヘッダーにおけるRECEIVEDフィールドから第2のIPアドレスを抽出する。RECEIVEDフィールドは、典型的には、受信者のSMTPサーバによって挿入され、送信者のSMTPサーバの実際のソースIPアドレスを含む。そして、認証モジュールは、一致のために第1及び第2のIPアドレスを比較する。これらが一致する場合、電子メールが真正ではなく、ソース電子メールアドレスに偽装されている可能性があり、ユーザへの通知、電子メールを開くことの拒否、画像、マックアップ言語又はコード等の描画の不許可のような適切なアクションが取られる。
図6は、ネットワーク通信評価処理600を示すフローチャートである。この処理は、コンピュータシステム20(図2)によって実行される評価モジュール38のようなモジュールによって実行されてもよい。
処理は、ブロック602で開始し、信頼できるネットワークアドレスに対する許容通信プロパティを特定するホワイトリストにアクセスする。ホワイトリストへのアクセスは、ホワイトリストを受信、問い合わせ、サーチ又は他の処理を含んでもよい。一部の実施形態では、ホワイトリストは、上記の表1で説明されたもののような、1以上の許容通信プロパティの指標と関連付けられる信頼できるネットワークアドレスをそれぞれ含む行(rows)又はエントリを含む。
ブロック604では、処理は、ネットワーク通信に対応するIPアドレスを決定する。IPアドレスの決定は、TCP/IPスタック又はコンピュータシステムにおける他の通信モジュールからIPアドレスを要求することを含んでもよい。IPアドレスは、ソース又は宛先IPアドレスであってもよい。典型的には、通信がインバウンド接続である場合には、ソースIPアドレスは、チェックされ、通信がアウトバウンドである場合には、宛先IPアドレスは、チェックされる。別の状況では、IPアドレスは、ネットワーク通信と関連付けられたドメインネームでDNSサーバに問い合わせること等により、他の手法で決定されてもよい。ドメインネームは、例えば、URL、電子メールメッセージ、電子メールアドレス等を参照して決定されてもよい。
ブロック606では、処理は、ネットワーク通信と関連付けられる第1の通信プロパティを決定する。第1の通信プロパティを決定することは、例えば、表1に記載されるプロパティの1つを決定することを含む。例えば、処理は、時刻、通信の方向性、データペイロードのタイプ等のようなプロパティを決定してもよい。処理は、例えば、ゲオロケーション(geo−location)情報をIPアドレスに対して問い合わせ、IPアドレスに関連付けられる位置(例えば、市、州、国、郵便番号)の指標に応じて受信することにより、ネットワーク通信と関連付けられる地理的位置を決定してもよい。
ブロック608では、処理は、IPアドレスを有するホワイトリストによって関連付けられる許容通信プロパティである第2の通信プロパティを決定する。第2のプロパティを決定することは、ホワイトリスト内のIPアドレスをルックアップし、IPアドレスと関連付けられ、かつ第1の通信プロパティに対応する通信プロパティを検索することを含んでもよい。例えば、第1の通信プロパティが時刻である場合、処理は、ホワイトリスト内の許容通信時間をルックアップする。第1の通信プロパティが地理的位置である場合、処理は、ホワイトリストにおける許容地理的位置をルックアップする。
ブロック610では、処理は、第1の通信プロパティが第2の通信プロパティによって包含されるかどうかを判定する。第1の通信プロパティが第2の通信プロパティによって包含されるかを判定することは、第2のプロパティが、第1のプロパティを包含する又は含むかを判定することを含む。例えば、第2のプロパティが、許容国(例えば、ワシントン州)である場合、第1のプロパティは、国に包含され、第1のプロパティ(例えば、ワシントン州、シアトル、米国郵便番号)が許容国内と同一又は許容国内に位置する。同様に、第2のプロパティが許容期間(例えば、6AMから11PM)である場合、第1のプロパティ(例えば、10PM)が期間内にあるときに、第1のプロパティは、期間に包含される。
一部の実施形態では、第1のプロパティが第2のプロパティで包含されることを判定することは、2つのプロパティが一致するかどうかを判定することを含む。プロパティの一致は、2つの文字列、数字又は他のデータタイプ間の等式のような等価テストを行うことを含んでもよい。一部の場合には、一致は、厳格な等価テストであってもよく、一方で、他の場合には、in case−insensitive string matchingのような近似で十分な場合もある。
ブロック612では、処理は、ネットワーク通信の許容性の指標を提供する。許容性の指標の提供は、ユーザへの通知(例えば、ダイアログボックス又は他のポップアップウィンドウを介して)、メッセージ(例えば、電子メール)の送信、ログの指標の記録、値を他の処理又はコードブロックにリターンする等を含んでもよい。
一部の実施形態は、追加又は代替的な機能を提供してもよい。一実施形態は、ウェブコンテキストで生じるようなユーザ認証を行う。既存の認証スキームは、ユーザ名/パスワードの組み合わせを用いる。一部の実施形態は、また、ユーザ名/パスワードの組み合わせスキームと共に上述されたような技術の1以上を用いてもよい。例えば、一実施形態は、ユーザ名及びパスワードに加えてIPアドレスをチェックしてもよい。IPアドレスが割り当てられ、ネットワークに固有であるため、それらは、他者に容易に偽装しえない。よって、ハッカーがユーザのユーザ名及びパスワードを盗んだ場合、ハッカーは、正しいIPアドレスを有さないため、アカウントに侵入することができない。ポート番号及び他のプロパティ(例えば、時刻、地理的領域)は、また、認証スキームに含まれてもよい。これらのプロパティの全てが、ユーザの相互作用、介入又は関与なしで決定されるわけではないことを留意する。例えば、IPアドレスは、TCP/IPスタックを直接参照して決定されてもよい。
また、現在のインターネットサービスプロバイダは、多くのユーザが同一のIPアドレスを共有するように、Network Address Translation (NAT)又はプロキシサービスのいずれかを用いてもよい。一実施形態は、NAT/proxyモジュールによって管理される内部IPアドレスに対応する静的TCPポート番号を割り当てるNAT/proxyサービス(例えば、ルーター又はゲートウェイによって提供される)を用いることによりNAT/proxyコンテキストにおいて機能して、各内部IPは、同一のIPアドレスを有するが、固有かつ識別可能なポート番号を有さない。
一実施形態は、以下の追加動作を行うために図6の処理を拡張する:コンピュータシステムのTCP/IPスタックから第1のIPアドレス及びポート番号を受信し、ネットワーク通信と関連付けられるuniform resource locator(URL)/uniform resource identifier(URI)を受信し、所有者名をIPアドレスと関連付けるアサイメントデータベースに対してTCP/IPスタックから受信される第1のIPアドレスを問い合わせることにより、第1のIPアドレスと関連付けられる第1の名称を決定し、所有者名とドメインネームを関連付けるアサイメントデータベースに対してネットワークリソースと関連付けられるURL/URIのドメインネームを問い合わせることにより、URL/URIと関連付けられる第2の名称を決定し、第1のIPアドレス及びポート番号が、信頼できるネットワークアドレスの予め設定されたホワイトリストに含まれているか、及び第1の名称が第2の名称と一致するかに基づいて通信動作が許容される又は許容されないことの指標を設定する。
一部の実施形態は、通信を制御するシステムを提供し、通信を制御するシステムは、TCP/IPスタックを含み、ネットワークリソースと通信する通信インターフェースと、命令を記憶するメモリと、前記通信インターフェース及び前記メモリと通信されるプロセッサと、を備え、前記プロセッサは、認証されないネットワークノードのアドレスを含まず、かつ、信頼できるネットワークアドレスの各々に対して、許容通信プロパティの1以上の指標を含む、信頼できるネットワークアドレスの予め定義されたホワイトリストを受信し、前記ネットワーク通信に対応する第1のインターネットプロトコル(IP)アドレスを決定し、前記ネットワーク通信と関連付けられる第1の通信プロパティを決定し、前記第1のIPアドレスに対応する前記ホワイトリストにおけるエントリにより特定される許容通信プロパティである第2の通信プロパティを決定し、前記第1の通信プロパティが前記第2の通信プロパティで包含されるかどうかを判定することにより、前記ホワイトリストに対して前記ネットワーク通信を評価し、前記第1の通信プロパティが前記第2の通信プロパティで包含されないと判定したことに応じて、前記ネットワーク通信が許容されないことの指標を設定し、前記第1の通信プロパティが前記第2の通信プロパティで包含されると判定したことに応じて、前記ネットワーク通信が許容されることの指標を設定する、ことによってネットワーク通信を評価するように構成される。
本明細書で引用される全ての参照文献は、これに限定されない、以下の関連出願を含み、その全体を参照によって援用する:2007年2月28日に出願された、発明の名称“Evaluating a Questionable Network Communication”の米国特許出願第11/712,648号、米国特許番号8,621,604、2006年9月6日に出願された、発明の名称“Identifying A Network Address Source For Authentication”の米国特許出願第11/470,581号、2005年9月6日に出願された、発明の名称“Identifying A Network Address Source For Authentication”の米国特許仮出願第60/714,889号、及び2006年3月17日に出願された、発明の名称“Identifying A Network Address Source For Authentication”の米国特許仮出願第60/783,446号。
上記の発明の詳細な説明、実施例及びデータは、本発明の製造の完全な説明及び本発明の構成の使用を提供する。例えば、デジタル証明書は、認証のために用いられてもよく、暗号化は、通信のために用いられてもよく、他の構成が含まれてもよい。しかし、他の実施形態は当業者によって明確であろう。本発明の多くの実施形態は、本発明の趣旨及び範囲から逸脱せずになされることができ、本発明は、以下に添付される特許請求の範囲に帰する。
Claims (15)
- 通信を制御するためのコンピュータシステムにおける方法であって、
認証されないネットワークノードのアドレスを含まず、かつ、信頼できるネットワークアドレスの各々に対して、許容通信プロパティの1以上の指標を含む、信頼できるネットワークアドレスの予め定義されたホワイトリストを受信するステップであって、前記許容通信プロパティは、許容地理的位置の指標の指標、許容プログラムの指標、許容アクセス時間の指標、許容ユーザの指標、許容データタイプの指標及び許容アクセスコントロールの指標のうちの複数を含む、ステップと、
ネットワーク通信に対応する第1のインターネットプロトコル(IP)アドレスを決定するステップと、
前記ネットワーク通信と関連付けられる第1の通信プロパティを決定するステップと、
前記第1のIPアドレスに対応する前記ホワイトリストにおけるエントリにより特定される許容通信プロパティである第2の通信プロパティを決定するステップと、
前記第1の通信プロパティが前記第2の通信プロパティで包含されるかどうかを判定することにより、前記ホワイトリストに対して前記ネットワーク通信を評価するステップと、
前記第1の通信プロパティが前記第2の通信プロパティで包含されないと判定したことに応じて、前記ネットワーク通信が許容されないことの指標を設定するステップと、
前記第1の通信プロパティが前記第2の通信プロパティで包含されると判定したことに応じて、前記ネットワーク通信が許容されることの指標を設定するステップと、
により、前記コンピュータシステムにおいて、前記ネットワーク通信を評価することを含む、方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、許容地理的位置の指標を含み、
ゲオロケーション情報プロバイダに問い合わせることにより、前記第1のIPアドレスに関連付けられる地理的位置を決定するステップと、
前記第1のIPアドレスに関連付けられる地理的位置が、前記ホワイトリストのおけるエントリにより許容可能と示される前記地理的位置に一致する又は包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、前記ネットワークアドレスを介して通信可能であるプログラムの指標を含み、前記プログラムの指標は、プログラム名称及び/又はプログラムコードのハッシュを含み、
前記コンピュータシステムで実行しており、かつ前記ネットワーク通信に関与している通信プログラムを判定するステップと、
前記通信プログラムが前記ホワイトリストのおけるエントリにより許容可能と示されるプログラムと一致するか判定するステップと、
を更に備える請求項1に記載の方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、許容アクセス時間の指標を含み、
前記ネットワーク通信が生じている時間を求めるステップと、
前記求められた時間が前記ホワイトリストのおけるエントリにより許容可能と示されるアクセス時間と一致する又は包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、許容ユーザの指標を含み、
前記ネットワーク通信と関連付けられるユーザを決定するステップと、
前記決定されたユーザが前記ホワイトリストのおけるエントリにより許容可能と示されるユーザと一致する又は包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、実行可能なコード、スクリプト、マクロ、オーディオ、ビデオ、画像及びテキストのうちの1つである許容データタイプの指標を含み、
ネットワーク接続を介して転送されるデータに対応するデータタイプを決定するステップと、
前記決定されたデータタイプが前記ホワイトリストのおけるエントリにより許容可能と示されるデータタイプと一致する又は包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、非インタラクティブなプログラムが前記ネットワークアドレスを介して通信可能であるかどうかの指標を含み、
前記コンピュータシステムで実行しており、かつ前記ネットワーク通信に関与している通信プログラムを決定するステップと、
前記通信プログラムがインタラクティブ又は非インタラクティブモードで動作しているかを判定するステップと、
を更に備える請求項1に記載の方法。 - RECEIVEDヘッダフィールドに基づいて前記第1のIPアドレスを決定するステップと、
ソース電子メールアドレスに基づいてドメインネームルックアップを実行することにより第2のIPアドレスを決定するステップと、
前記第1及び第2のIPアドレスが一致するするかどうかを判定し、一致しない場合には、電子メールメッセージが偽のソースアドレスを有することの指標を設定するステップと、
により、受信SMTPサーバにより挿入されるRECEIVEDヘッダフィールド、及び送信者側のシステムにおいて挿入されるソース電子メールアドレスを特定するFROMヘッダフィールドを有する電子メールメッセージの真正性を評価するステップを更に備える請求項1に記載の方法。 - 前記ネットワーク通信は、内部ネットワーク内で生じ、前記第1のIPアドレスは、前記内部ネットワークのIPアドレスである請求項1に記載の方法。
- 前記ネットワーク通信は、着信TCP/IP接続要求を介して開始される請求項1に記載の方法。
- 前記ネットワーク通信は、発信TCP/IP接続要求を介して開始される請求項1に記載の方法。
- 前記ホワイトリストにおける前記許容通信プロパティは、前記ホワイトリストにおけるそれぞれのネットワークアドレスについて、許容ユーザ及びアクセスコントロールの指標を含み、
前記ネットワーク通信と関連付けられるユーザを決定するステップと、
前記ネットワーク通信と関連付けられるユーザアクセスコントロール権限を決定するステップと、
ユーザIPアドレス及び/又はポート番号を決定するステップと、
前記決定されたユーザ、ユーザアクセスコントロール権限及びユーザIPアドレス及び/又はポート番号が前記ホワイトリストのおけるエントリと一致する又は包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 前記第1のIPアドレスは、顧客コンピュータ装置と関連付けられるIPアドレスであり、
前記ネットワーク通信を評価するステップは、
前記第1のIPアドレスが、顧客に対応する識別子を有する前記ホワイトリストにより関連付けられるか判定するステップと、
前記第1のIPアドレスと関連付けられる地理的位置が、前記第1のIPアドレスを有する前記ホワイトリストにより関連付けられる地理的位置に包含されるかを判定するステップと、
を更に備える請求項1に記載の方法。 - 請求項1から13のいずれか一項に記載の方法をコンピュータ装置に実行させる実行可能な命令を含む非一時的なコンピュータ可読媒体。
- 通信を制御するシステムであって、
TCP/IPスタックを含み、ネットワークリソースとの通信のための通信インターフェースと、
命令を記憶するメモリと、
前記通信インターフェース及び前記メモリと通信するプロセッサと、を備え、
前記プロセッサは、請求項1から13のいずれか一項に記載の方法を実行することにより、ネットワーク通信を評価するように構成される、システム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/967,155 | 2013-08-14 | ||
| US13/967,155 US9015090B2 (en) | 2005-09-06 | 2013-08-14 | Evaluating a questionable network communication |
| PCT/US2014/031244 WO2015023316A1 (en) | 2013-08-14 | 2014-03-19 | Evaluating a questionable network communication |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2016532381A true JP2016532381A (ja) | 2016-10-13 |
Family
ID=52468562
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016534574A Pending JP2016532381A (ja) | 2013-08-14 | 2014-03-19 | 疑わしいネットワーク通信の評価 |
Country Status (7)
| Country | Link |
|---|---|
| EP (1) | EP3033865A4 (ja) |
| JP (1) | JP2016532381A (ja) |
| KR (1) | KR20160044524A (ja) |
| CN (1) | CN105580333A (ja) |
| BR (1) | BR112016003033A2 (ja) |
| CA (1) | CA2921345A1 (ja) |
| WO (1) | WO2015023316A1 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018132823A (ja) * | 2017-02-13 | 2018-08-23 | 富士通株式会社 | ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム |
| JP2019125915A (ja) * | 2018-01-17 | 2019-07-25 | 三菱電機株式会社 | ビル管理システム |
| JP2020533906A (ja) * | 2017-09-12 | 2020-11-19 | シナジェクス グループSynergex Group | ファイアウォールにipアドレスを追加するための方法、システム、および媒体 |
| WO2021005758A1 (ja) * | 2019-07-10 | 2021-01-14 | 日本電信電話株式会社 | 国推定装置、国推定方法および国推定プログラム |
| JP2022501727A (ja) * | 2018-09-28 | 2022-01-06 | ダニエル チエン | コンピュータセキュリティのためのシステムおよび方法 |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
| US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6609233B2 (ja) * | 2016-09-20 | 2019-11-20 | 株式会社日立ソリューションズ | 不審通信制御方法、不審通信制御装置及び不審通信制御システム |
| WO2018057008A1 (en) * | 2016-09-23 | 2018-03-29 | Hewlett-Packard Development Company, L.P. | Ip address access based on security level and access history |
| CN110431817B (zh) * | 2017-03-10 | 2022-05-03 | 维萨国际服务协会 | 识别恶意网络设备 |
| CN107154926A (zh) * | 2017-03-22 | 2017-09-12 | 国家计算机网络与信息安全管理中心 | 一种针对伪造发件人的钓鱼邮件的识别方法及系统 |
| JP7148947B2 (ja) * | 2017-06-07 | 2022-10-06 | コネクトフリー株式会社 | ネットワークシステムおよび情報処理装置 |
| US10601866B2 (en) | 2017-08-23 | 2020-03-24 | International Business Machines Corporation | Discovering website phishing attacks |
| CN109714242A (zh) * | 2017-10-25 | 2019-05-03 | 北京二六三企业通信有限公司 | 垃圾邮件的识别方法和装置 |
| US11102207B2 (en) * | 2017-11-21 | 2021-08-24 | T-Mobile Usa, Inc. | Adaptive greylist processing |
| US11606372B2 (en) | 2017-12-19 | 2023-03-14 | T-Mobile Usa, Inc. | Mitigating against malicious login attempts |
| CN108200068B (zh) * | 2018-01-08 | 2020-07-14 | 平安科技(深圳)有限公司 | 端口监控方法、装置、计算机设备及存储介质 |
| CN108777709A (zh) * | 2018-05-31 | 2018-11-09 | 康键信息技术(深圳)有限公司 | 网站访问方法、装置、计算机设备和存储介质 |
| CN110798438A (zh) * | 2018-08-09 | 2020-02-14 | 北京安天网络安全技术有限公司 | 应用内防火墙实现方法、系统及存储介质 |
| US10452868B1 (en) | 2019-02-04 | 2019-10-22 | S2 Systems Corporation | Web browser remoting using network vector rendering |
| US11880422B2 (en) | 2019-02-04 | 2024-01-23 | Cloudflare, Inc. | Theft prevention for sensitive information |
| US10552639B1 (en) | 2019-02-04 | 2020-02-04 | S2 Systems Corporation | Local isolator application with cohesive application-isolation interface |
| US10558824B1 (en) | 2019-02-04 | 2020-02-11 | S2 Systems Corporation | Application remoting using network vector rendering |
| US11363060B2 (en) * | 2019-10-24 | 2022-06-14 | Microsoft Technology Licensing, Llc | Email security in a multi-tenant email service |
| CN110995576B (zh) * | 2019-12-16 | 2022-04-29 | 深信服科技股份有限公司 | 一种邮件检测方法、装置、设备及存储介质 |
| CN112688939B (zh) * | 2020-12-23 | 2023-04-11 | 上海欣方智能系统有限公司 | 非法组织信息的确定方法、装置、电子设备及存储介质 |
| US11962618B2 (en) * | 2020-12-28 | 2024-04-16 | Citrix Systems, Inc. | Systems and methods for protection against theft of user credentials by email phishing attacks |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| JP2007104509A (ja) * | 2005-10-06 | 2007-04-19 | Nippon F Secure Kk | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
| JP2007517305A (ja) * | 2003-12-31 | 2007-06-28 | インカ インターネット カンパニー リミテッド | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 |
| JP2008042642A (ja) * | 2006-08-08 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | ポリシー管理システム、ポリシー管理装置、ポリシー管理方法およびポリシー管理プログラム |
| WO2010125815A1 (ja) * | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | 不正呼検出装置、不正呼検出方法、及び不正呼検出用プログラム |
| JP2011029900A (ja) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | ネットワーク管理システムおよび通信管理サーバ |
| WO2011030455A1 (ja) * | 2009-09-14 | 2011-03-17 | 森清 | セキュア監査システム及びセキュア監査方法 |
| JP2012243317A (ja) * | 2011-05-16 | 2012-12-10 | General Electric Co <Ge> | ネットワーク侵入検出のためのシステム、方法、および装置 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
| US7409202B2 (en) * | 2003-08-12 | 2008-08-05 | Nextel Communications Inc. | Communications restrictions for mobile group communication devices |
| US8065408B2 (en) * | 2004-06-30 | 2011-11-22 | Nokia, Inc. | Method and system for dynamic device address management |
| WO2006018647A1 (en) * | 2004-08-20 | 2006-02-23 | Rhoderick John Kennedy Pugh | Server authentication |
| US7440453B2 (en) * | 2004-11-12 | 2008-10-21 | International Business Machines Corporation | Determining availability of a destination for computer network communications |
| US8423631B1 (en) * | 2009-02-13 | 2013-04-16 | Aerohive Networks, Inc. | Intelligent sorting for N-way secure split tunnel |
| US8751808B2 (en) * | 2009-11-12 | 2014-06-10 | Roy Gelbard | Method and system for sharing trusted contact information |
| US8990356B2 (en) | 2011-10-03 | 2015-03-24 | Verisign, Inc. | Adaptive name resolution |
-
2014
- 2014-03-19 BR BR112016003033A patent/BR112016003033A2/pt not_active IP Right Cessation
- 2014-03-19 JP JP2016534574A patent/JP2016532381A/ja active Pending
- 2014-03-19 CN CN201480052461.1A patent/CN105580333A/zh not_active Withdrawn
- 2014-03-19 EP EP14836161.1A patent/EP3033865A4/en not_active Withdrawn
- 2014-03-19 CA CA2921345A patent/CA2921345A1/en not_active Abandoned
- 2014-03-19 KR KR1020167006706A patent/KR20160044524A/ko not_active Application Discontinuation
- 2014-03-19 WO PCT/US2014/031244 patent/WO2015023316A1/en active Application Filing
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004220120A (ja) * | 2003-01-09 | 2004-08-05 | Nippon Telegr & Teleph Corp <Ntt> | ネットワークセキュリティシステム、アクセス制御方法、認証機構、ファイアウォール機構、認証機構プログラム、ファイアウォール機構プログラム及びその記録媒体 |
| JP2007517305A (ja) * | 2003-12-31 | 2007-06-28 | インカ インターネット カンパニー リミテッド | 信頼できるプロセスを許可する柔軟なネットワークセキュリティシステム及びネットワークセキュリティの方法 |
| JP2007104509A (ja) * | 2005-10-06 | 2007-04-19 | Nippon F Secure Kk | エリアによるパケットフィルタリング方法及びファイヤウォール装置並びにファイヤウォールシステム |
| JP2008042642A (ja) * | 2006-08-08 | 2008-02-21 | Nippon Telegr & Teleph Corp <Ntt> | ポリシー管理システム、ポリシー管理装置、ポリシー管理方法およびポリシー管理プログラム |
| WO2010125815A1 (ja) * | 2009-04-30 | 2010-11-04 | 日本電気株式会社 | 不正呼検出装置、不正呼検出方法、及び不正呼検出用プログラム |
| JP2011029900A (ja) * | 2009-07-24 | 2011-02-10 | Nomura Research Institute Ltd | ネットワーク管理システムおよび通信管理サーバ |
| WO2011030455A1 (ja) * | 2009-09-14 | 2011-03-17 | 森清 | セキュア監査システム及びセキュア監査方法 |
| JP2012243317A (ja) * | 2011-05-16 | 2012-12-10 | General Electric Co <Ge> | ネットワーク侵入検出のためのシステム、方法、および装置 |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2018132823A (ja) * | 2017-02-13 | 2018-08-23 | 富士通株式会社 | ポリシー設定装置、ポリシー設定方法およびポリシー設定プログラム |
| JP2020533906A (ja) * | 2017-09-12 | 2020-11-19 | シナジェクス グループSynergex Group | ファイアウォールにipアドレスを追加するための方法、システム、および媒体 |
| JP2019125915A (ja) * | 2018-01-17 | 2019-07-25 | 三菱電機株式会社 | ビル管理システム |
| JP2022501727A (ja) * | 2018-09-28 | 2022-01-06 | ダニエル チエン | コンピュータセキュリティのためのシステムおよび方法 |
| JP7248219B2 (ja) | 2018-09-28 | 2023-03-29 | ダニエル チエン | コンピュータセキュリティのためのシステムおよび方法 |
| WO2021005758A1 (ja) * | 2019-07-10 | 2021-01-14 | 日本電信電話株式会社 | 国推定装置、国推定方法および国推定プログラム |
| JPWO2021005758A1 (ja) * | 2019-07-10 | 2021-01-14 | ||
| JP7231032B2 (ja) | 2019-07-10 | 2023-03-01 | 日本電信電話株式会社 | 国推定装置、国推定方法および国推定プログラム |
| US11677754B2 (en) | 2019-12-09 | 2023-06-13 | Daniel Chien | Access control systems and methods |
| US11509463B2 (en) | 2020-05-31 | 2022-11-22 | Daniel Chien | Timestamp-based shared key generation |
Also Published As
| Publication number | Publication date |
|---|---|
| WO2015023316A1 (en) | 2015-02-19 |
| EP3033865A4 (en) | 2016-08-17 |
| KR20160044524A (ko) | 2016-04-25 |
| BR112016003033A2 (pt) | 2017-09-12 |
| EP3033865A1 (en) | 2016-06-22 |
| CN105580333A (zh) | 2016-05-11 |
| CA2921345A1 (en) | 2015-02-19 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10084791B2 (en) | Evaluating a questionable network communication | |
| US9912677B2 (en) | Evaluating a questionable network communication | |
| US9674145B2 (en) | Evaluating a questionable network communication | |
| US9015090B2 (en) | Evaluating a questionable network communication | |
| US8621604B2 (en) | Evaluating a questionable network communication | |
| US10382436B2 (en) | Network security based on device identifiers and network addresses | |
| JP2016532381A (ja) | 疑わしいネットワーク通信の評価 | |
| US10542006B2 (en) | Network security based on redirection of questionable network access | |
| US11689559B2 (en) | Anti-phishing | |
| US20070055749A1 (en) | Identifying a network address source for authentication | |
| US20080082662A1 (en) | Method and apparatus for controlling access to network resources based on reputation | |
| US20080147837A1 (en) | System and Method for Detecting and Mitigating Dns Spoofing Trojans | |
| Korczyński et al. | Zone poisoning: The how and where of non-secure DNS dynamic updates | |
| US9083727B1 (en) | Securing client connections | |
| Hudaib et al. | DNS advanced attacks and analysis | |
| JP4693174B2 (ja) | 中間ノード | |
| US11095682B1 (en) | Mitigating phishing attempts | |
| WO2019172947A1 (en) | Evaluating a questionable network communication | |
| US12003537B2 (en) | Mitigating phishing attempts |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20170307 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20180316 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20180410 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20181113 |