JP2016533107A - 有害動作体の自動ブロッキング - Google Patents

有害動作体の自動ブロッキング Download PDF

Info

Publication number
JP2016533107A
JP2016533107A JP2016534773A JP2016534773A JP2016533107A JP 2016533107 A JP2016533107 A JP 2016533107A JP 2016534773 A JP2016534773 A JP 2016534773A JP 2016534773 A JP2016534773 A JP 2016534773A JP 2016533107 A JP2016533107 A JP 2016533107A
Authority
JP
Japan
Prior art keywords
network
potential harmful
harmful
user
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016534773A
Other languages
English (en)
Inventor
グレン トーマス アンダーネール
グレン トーマス アンダーネール
チャールズ アレン コートライト
チャールズ アレン コートライト
Original Assignee
ウォル−マート ストアーズ,インコーポレーティッド
ウォル−マート ストアーズ,インコーポレーティッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ウォル−マート ストアーズ,インコーポレーティッド, ウォル−マート ストアーズ,インコーポレーティッド filed Critical ウォル−マート ストアーズ,インコーポレーティッド
Publication of JP2016533107A publication Critical patent/JP2016533107A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L65/00Network arrangements, protocols or services for supporting real-time applications in data packet communication
    • H04L65/1066Session management
    • H04L65/1101Session protocols
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/30Definitions, standards or architectural aspects of layered protocol stacks
    • H04L69/32Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
    • H04L69/322Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
    • H04L69/329Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Abstract

一態様によれば、本発明の実施形態は、ネットワークへのアクセスを制限するためのシステムであって、複数のネットワークアクセスポイントに結合され、複数のネットワークセキュリティ機器を介したネットワークへの伝送を監視するように構成された監視モジュールと、ブロッキングモジュールとを備え、監視モジュールは、さらに、複数のネットワークアクセスポイントの第1の1つおよび複数のネットワークセキュリティ機器の第1の1つを介した、潜在的な有害動作体からネットワークへの伝送に基づいて、潜在的な有害動作体を特定し、潜在的な有害動作体に関連する情報をブロッキングモジュールに提供するように構成され、ブロッキングモジュールは、潜在的有害動作体がブロックされるべきであることを確認するように、また、それに応答して、潜在的な有害動作体がネットワークにアクセスすることをブロックするように各々のネットワークセキュリティ機器を自動的に構成するように構成される、システムを提供する。【選択図】図1

Description

本発明の態様は、特定された有害動作体がネットワークにアクセスすることを防止するためのシステムおよび方法に関する。
大規模小売業者は、一般に、さまざまな場所の消費者および/またはデバイスがそれによって通信することができるネットワークを運用している。たとえば、小売業者は、ネットワークを利用してさまざまな場所(たとえば、さまざまな店、または管理事務所)にあるデバイス(たとえば、サーバ、ルータ、データベースなど)間で情報を渡すこと、または消費者によってなされた注文を実行することができる。消費者は、ネットワークを利用して複数の店の在庫を検索または発注することができる。そのようなネットワークは、あらゆる数のさまざまなタスクに対して小売業および/または消費者によって利用され得る。有害な動作の実行を意図する(たとえば、情報を盗む、ネットワークに害を与える、小売業者に害を与える、消費者に害を与える、誤った情報をネットワークに投入するなど)第三者がネットワークにアクセスすることを防止することが、大規模小売業者の共通の目標である。
本明細書において説明される実施形態は、特定された有害動作体をネットワークの各々のアクセスポイントにわたって自動的にブロックするためのシステムおよび方法を提供する。有害動作体が特定された後、有害動作体は、ブロックの迂回を防止するためにネットワークの各々のアクセスポイントにおいて自動的にブロックされる。特定されると、有害動作体は、各々のネットワークセキュリティ機器においてネットワークにわたって自動的にブロックされるため、有害動作体をネットワークの各々のアクセスポイントにわたって同時にかつ自動的にブロックすることにより、特定された有害動作体によるブロック迂回に関する問題は低減され得る。したがって、特定された有害動作体を各々の個々のネットワークセキュリティ機器において手動でブロックする時間が無駄に費やされない。
さらに、本明細書において説明される少なくとも1つの実施形態によれば、ブロックがユーザによってネットワークにわたって開始される前、認証されない人がブロックを開始することを防止するために、ブロックを開始するためのユーザ認証が確認される。本明細書において説明される少なくとも1つの他の実施形態によれば、特定された有害動作体のインターネットプロトコル(IP)アドレスが、IPアドレス(たとえば小売業者によって使用される外部または内部IPアドレス)の少なくとも1つのリストと比較されて、特定された有害動作体のIPアドレスが、小売業者によって実際に使用されているかどうかをチェックする。このようにして、小売業者は、小売業者自身または認証された販売業者がネットワークにアクセスすることをブロックすることが防止され得る。本明細書において説明される少なくとも1つの他の実施形態によれば、ブロックが第1のユーザによってネットワークにわたって開始される前、ブロックが適切であることを確実にするために、第2のユーザによるブロックの確認が受け取られなければならない。
本発明の少なくとも1つの実施形態に係る態様は、ネットワークへのアクセスを制限するためのシステムであって、複数のネットワークアクセスポイントと、複数のネットワークアクセスポイントの少なくとも1つとネットワークの間に各々結合された複数のネットワークセキュリティ機器と、複数のネットワークアクセスポイントとネットワークの間に結合され、複数のネットワークセキュリティ機器を介した複数のアクセスポイントとネットワークの間の伝送を監視するように構成された監視モジュールと、監視モジュールおよび複数のネットワークセキュリティ機器に結合されたブロッキングモジュールとを備え、監視モジュールは、さらに、複数のネットワークアクセスポイントの第1の1つおよび複数のネットワークセキュリティ機器の第1の1つを介した潜在的な有害動作体からネットワークへの伝送に基づいて、潜在的な有害動作体を特定し、潜在的な有害動作体に関する情報をブロッキングモジュールに提供するように構成され、ブロッキングモジュールは、潜在的な有害動作体がネットワークにアクセスすることがブロックされるべきであることを確認するように、また、それに応答して、複数のネットワークセキュリティ機器の各々1つを潜在的な有害動作体がネットワークにアクセスすることをブロックするように自動的に構成するように構成される、システムを対象とする。
一実施形態によれば、監視モジュールは、さらに、潜在的な有害動作体からの伝送内で少なくとも1つの所定のトリガを特定することによって潜在的な有害動作体を特定するように構成される。
別の実施形態によれば、複数のネットワークセキュリティ機器の少なくとも1つは、ファイアウォールである。一実施形態では、ブロッキングモジュールは、さらに、潜在的な有害動作体が各々のファイアウォールを介してネットワークにアクセスすることをブロックするために、SHUN命令を複数のネットワークセキュリティ機器内の各々のファイアウォールに伝送するように構成される。
一実施形態によれば、複数のネットワークセキュリティ機器の少なくとも1つは、侵入防止システム(IPS:Intrusion Prevention System)である。一実施形態では、ブロッキングモジュールは、さらに、複数のネットワークセキュリティ機器内の各々のIPSの隔離リストを、潜在的な有害動作体が各々のIPSを介してネットワークにアクセスすることをブロックするよう更新するように構成される。
別の実施形態によれば、システムは、さらに、少なくとも1つのセキュリティ端末を備え、セキュリティ端末は、監視モジュールに結合され、特定された潜在的な有害動作体の表示を第1のユーザに表示するように、また、少なくとも1つのセキュリティ端末における第1のユーザの入力に基づいて、潜在的な有害動作体に関連する情報をブロッキングモジュールに自動的に伝達するよう監視モジュールを駆動するように構成される。一実施形態では、ブロッキングモジュールは、さらに、少なくとも1つのセキュリティ端末を介して、ブロッキングモジュールにアクセスするように第1のユーザが認証されていることを確認するように構成される。別の実施形態では、ブロッキングモジュールは、さらに、少なくとも1つのセキュリティ端末を介して、ブロッキングモジュールにアクセスするように第1のユーザが認証されていることを確認するために、少なくとも1つのセキュリティ端末において2要素認証を求めるように構成される。
一実施形態によれば、システムは、さらに、インターネットプロトコル(IP)アドレスのリストを含む少なくとも1つのセキュリティ端末に結合されたデータベースを備え、この場合、ブロッキングモジュールによって監視モジュールから受け取られた潜在的な有害動作体に関連する情報は、潜在的な有害動作体のIPアドレスを含み、ブロッキングモジュールは、さらに、潜在的な有害動作体のIPアドレスをデータベース内のIPアドレスのリストと比較し、潜在的な有害動作体のIPアドレスとリスト内のIPアドレスの間の一致に応答して、少なくとも1つのセキュリティ端末を介して第1のユーザに通知するように構成される。
別の実施形態によれば、潜在的な有害動作体のIPアドレスとリスト内のIPアドレスの間の一致に応答して、ブロッキングモジュールは、さらに、潜在的な有害動作体のIPアドレスがネットワークにアクセスすることがブロックされることを防止するように構成される。別の実施形態では、ブロッキングモジュールは、さらに、潜在的な有害動作体に関連する情報を少なくとも1つのセキュリティ端末を介して第2のユーザに提供するように、潜在的な有害動作体がネットワークにアクセスすることがブロックされるべきかどうかを確認するよう第2のユーザに促すように、また、潜在的な有害動作体がブロックされるべきであるという第2のユーザからの確認に応答して、潜在的な有害動作体がネットワークにアクセスすることをブロックするように、複数のネットワークセキュリティ機器の各々1つを自動的に構成するように構成される。
本発明の少なくとも1つの実施形態に係る別の態様は、複数のアクセスポイントと、複数のアクセスポイントの少なくとも1つとネットワークの間に各々結合された複数のネットワークセキュリティ機器とを含む、ネットワークへのアクセスを制限するための方法であって、監視モジュールを用いて、複数のアクセスポイントおよび複数のネットワークセキュリティ機器を介した第三者とネットワークの間の伝送を監視することと、監視モジュールを用いて、複数のアクセスポイントの第1の1つおよび複数のネットワークセキュリティ機器の第1の1つを介した潜在的な有害動作体とネットワーク間の伝送に基づいて、潜在的な有害動作体を特定することと、潜在的な有害動作体に関連する情報を監視モジュールからブロッキングモジュールに伝達することと、ブロッキングモジュールを用いて、潜在的な有害動作体が、ネットワークにアクセスすることがブロックされるべきであることを確認することと、潜在的な有害動作体がネットワークにアクセスすることをブロックするように複数のネットワークセキュリティ機器の各々1つを自動的に構成することとを含む、方法を対象とする。
一実施形態によれば、方法は、さらに、監視モジュールによって特定された潜在的な有害動作体に関連する情報を第1のセキュリティ端末を介して第1のユーザに表示することを含み、この場合、伝達することは、第1のセキュリティ端末における第1のユーザからの、潜在的な有害動作体に関連する情報が伝達されるべきであるという表示に応答して、この情報を監視モジュールからブロッキングモジュールに自動的に伝達することを含む。別の実施形態では、方法は、さらに、ブロッキングモジュールを作動させるように第1のユーザが認証されていることを確認することを含む。一実施形態では、潜在的な有害動作体に関連する情報は、潜在的な有害動作体のIPアドレスを含み、この場合、方法は、さらに、潜在的な有害動作体のIPアドレスが、ネットワークによって外部向けに利用されるかどうかを判定することと、潜在的な有害動作体のIPアドレスが、ネットワークによって外部向けに利用されるという判定に応答して、潜在的な有害動作体のIPアドレスがネットワークにアクセスすることがブロックされることを防止することとを含む。
別の実施形態によれば、方法は、さらに、潜在的な有害動作体のIPアドレスが、ネットワークによって内部的に利用されるかどうかを判定することと、潜在的な有害動作体のIPアドレスがネットワークによって内部的に利用されるという判定に応答して、第1のセキュリティ端末を介して、潜在的な有害動作体のIPアドレスがネットワークにアクセスすることがブロックされるべきかどうかを確認するよう第1のユーザに促すこととを含み、この場合、自動的に構成することは、潜在的な有害動作体のIPアドレスが、ネットワークにアクセスすることがブロックされるべきであるという、第1のセキュリティ端末を介した第1のユーザからの表示に応答して、潜在的な有害動作体がネットワークにアクセスすることをブロックするように複数のネットワークセキュリティ機器の各々1つを自動的に構成することを含む。
一実施形態によれば、方法は、さらに、第1のセキュリティ端末を介して、バックアップレビューのために二次ユーザを選択するよう第1のユーザに促すことと、潜在的に有害動作体に関連する情報を、第2のセキュリティ端末を介して、第1のユーザによって選択された第2のユーザに表示することと、第2のセキュリティ端末を介して、潜在的な有害動作体がネットワークにアクセスすることがブロックされるべきかどうかを確認するよう第2のユーザに促すこととを含み、この場合、自動的に構成することは、潜在的な有害動作体のIPアドレスが、ネットワークにアクセスすることがブロックされるべきであるという、第2のセキュリティ端末を介した第2のユーザからの表示に応答して、潜在的な有害動作体がネットワークにアクセスすることをブロックするように複数のネットワークセキュリティ機器の各々1つを自動的に構成することを含む。
別の実施形態によれば、方法は、さらに、潜在的な有害動作体がネットワークにアクセスすることをブロックするように複数のネットワークセキュリティ機器の各々1つを自動的に構成することに応答して、潜在的な有害動作体に関連する情報に基づいて変更管理を生成することを含む。
本発明の少なくとも1つの実施形態に係る一態様は、小売業者ネットワークへのアクセスを制限するためのシステムであって、複数のネットワークアクセスポイントと、複数のネットワークアクセスポイントの少なくとも1つとネットワークの間に各々結合された複数のネットワークセキュリティ機器と、複数のネットワークアクセスポイントとネットワークの間に結合され、複数のネットワークセキュリティ機器を介した複数のアクセスポイントとネットワークの間の伝送を監視するように構成された監視モジュールと、潜在的な有害動作体を特定し、潜在的な有害動作体がネットワークにアクセスすることがブロックされるべきであることを確認し、複数のネットワークセキュリティ機器の各々の1つにおいて特定された有害動作体が、ネットワークにアクセスすることをブロックするための手段とを含む、システムを対象とする。
本発明の少なくとも1つの実施形態に係る別の態様は、複数のネットワークアクセスポイントおよび複数のネットワークセキュリティ機器を含む、ネットワークへのアクセスを制限するためのシステムであって、複数のネットワークアクセスポイントに結合され、複数のネットワークセキュリティ機器を介したネットワークへの伝送を監視するように構成された監視モジュールと、監視モジュールに結合され、複数のネットワークセキュリティ機器に結合されるようにも構成されたブロッキングモジュールとを備え、この場合、監視モジュールは、さらに、複数のネットワークアクセスポイントの第1の1つおよび複数のネットワークセキュリティ機器の第1の1つを介した潜在的な有害動作体からネットワークへの伝送に基づいて、潜在的な有害動作体を特定し、潜在的な有害動作体に関連する情報をブロッキングモジュールに提供するように構成され、ブロッキングモジュールは、潜在的な有害動作体がネットワークにアクセスすることがブロックされるべきであることを確認するように、また、それに応答して、潜在的な有害動作体がネットワークにアクセスすることをブロックするように複数のネットワークセキュリティ機器の各々1つを自動的に構成するように構成される、システムを対象とする。
添付の図は、原寸通りに描かれることを意図しない。図では、さまざまな図に示される各々の同一のまたはほぼ同一の構成要素は、同様の番号によって表される。明確にする目的のため、すべての図においてすべての構成要素が標識付けされない場合がある。
本発明の一態様による小売業者ネットワークを示すブロック図である。 本発明の一実施形態に係る監視モジュールのスクリーンショットの図である。 本発明の一実施形態に係るブロッキングモジュールの認証グラフィカルユーザインターフェース(GUI)のスクリーンショットの図である。 本発明の一実施形態に係るブロッキングモジュールの警告GUIのスクリーンショットの図である。 本発明の一実施形態に係るブロッキングモジュールの補助的なレビュー者選択GUIのスクリーンショットの図である。 本発明の一実施形態に係るブロッキングモジュールの補助的なレビュー者確認GUIのスクリーンショットの図である。 本発明の一実施形態に係るネットワークへのアクセスを制限するためのプロセスのフローチャートである。 本発明のさまざまな実施形態が実装され得る汎用コンピュータシステムのブロック図である。 本発明のさまざまな実施形態が実践され得るコンピュータデータ記憶システムのブロック図である。
本発明の実施形態は、以下の説明において記載または図示される詳細な構造および構成要素の配置に限定されるものではない。本発明の実施形態は、さまざまな方法で実践されまたは実施されることが可能である。また、本明細書において使用される表現法および用語は説明のためであり、限定的とみなされるべきではない。本明細書における「含む」、「備える」、または「有する」、「含有する」、「伴う」、およびそれらのバリエーションは、これ以後にリストされる事項およびその等価物、ならびにさらなる事項を包含することを意味する。
上記で説明されたように、有害動作の実行を意図する第三者(すなわち有害動作体)がネットワークにアクセスすることを防止することは、大規模小売業者の共通の目標である。特定された有害動作体へのネットワークアクセスをブロックするための一般的な手順は、有害動作体が特定されたネットワークのアクセスポイントを介して、その有害動作体がネットワークにアクセスすることを手動でブロックすることを含む。たとえば、第1のファイアウォールを通ってネットワークにアクセスしている第三者が、有害動作を実行しようとしていることを特定すると、セキュリティ管理者は、第三者がネットワークにアクセスすることをブロックするように第1のファイアウォールを手動で構成することができる。しかし、このプロセスは遅くなることがあり、さらに、有害動作体は、別のアクセスポイントからネットワークにアクセスしようと試みる場合がある。セキュリティ管理者は、さらなるファイアウォールを、第三者がネットワークにアクセスすることを防止するように1つずつ手動で構成しようと試み得る。しかし、これは(特に世界規模のネットワーク上では)非常に時間がかかるものになり得、第三者によって実行された有害動作は、セキュリティ管理者が、ネットワークのすべてのアクセスポイントにわたって有害動作体をブロックする機会を得る前に完了してしまう可能性が高い。
長い時間がかかるということに加えて、ネットワークの各々の個々のアクセスポイントにおいて有害動作体を1つずつ手動でブロックするためのそのような一般的な手順はまた、出来事の文書化、変更管理マネージメント、複数のタイプのファイアウォールに対する複数の必要とされる手順、ファイアウォール上にインストールされたブロックの期限満了、サイバー偵察、および外部ソースの脅威ではなく内部アセットの偶発的な標的化に関連する課題を含む。
したがって、本明細書において説明される実施形態は、特定された有害動作体をネットワークの各々のアクセスポイントにわたって自動的にブロックするためのシステムおよび方法を提供する。有害動作体が特定された後、有害動作体は、ブロックの迂回を防止するためにネットワークの各々のアクセスポイントにおいて自動的にブロックされる。ネットワークにわたる有害動作体のそのような自動ブロッキングは、有害動作体がネットワークにアクセスすることを完全にブロックするのに必要とされる時間を大幅に低減することができる。さらに、以下でより詳細に説明されるように、本明細書において説明されるシステムおよび方法はまた、上記で特定された手動のネットワーク上(すなわち1つずつの)ブロッキングに関連付けられるさらなる課題に対して解決策を提供することもできる。
図1は、本発明の一態様による小売業者のネットワーク101を示すブロック図100である。上記で説明されたように、小売業者ネットワーク101は、さまざまなネットワークデバイス102(たとえばサーバ、ルータ、スイッチ、データベース、コンピュータなど)間の通信を可能にするように構成される。一実施形態によれば、ネットワーク101は、ローカルエリアネットワーク(LAN)(たとえばイーサネット(登録商標)ネットワーク)であり、ネットワークデバイス102は、相対的に近接して(たとえば同じ建物内または店内に)配置される。別の実施形態によれば、ネットワーク101は、ワイドエリアネットワーク(WAN)(たとえばインターネット)であり、ネットワークデバイス102は、さまざまな場所(たとえば、さまざまな店、事務所など)に配置されてよい。
これも上記で説明されたように、小売業者ネットワーク101はまた、ネットワークデバイス102とさまざまな第三者106、110、114との間の通信を可能にするように構成される。一実施形態によれば、第三者106、110、114の少なくとも1つは、情報(たとえば製品または在庫情報)をネットワークデバイス102から検索すること、またはネットワーク101を介して発注することを試みる顧客である。別の実施形態では、第三者106、110、114の少なくとも1つは、ネットワーク101またはデバイス(複数可)102の管理者またはオペレータである。別の実施形態では、第三者106、110、114の少なくとも1つは、ネットワーク101、ネットワークデバイス102、または別の第三者に害を与えることを意図する有害動作体である。他の実施形態によれば、第三者は、ネットワーク101およびネットワークに結合された少なくとも1つのネットワークデバイス102にアクセスしようとしている任意の他のタイプのユーザになり得る。
図1に示されるように、さまざまな第三者106、110、114は、ネットワーク101のさまざまなアクセスポイント107、109、113を介して(たとえば、さまざまなルータ、サーバ、リンク、スイッチなどを介して)ネットワーク101にアクセスすることができる。各々のアクセスポイント107、109、113は、ネットワークセキュリティ機器108、112、116を介してネットワーク101に結合される。一実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つは、ファイアウォールである。たとえば、一実施形態では、ネットワークセキュリティ機器108、112、116の少なくとも1つは、カリフォルニア州、サンノゼのCisco System、Inc.によって製造されたファイアウォールであるが、他の実施形態では、任意の他のタイプのファイアウォールが利用されてよい。
別の実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つは、侵入防止システム(IPS)である。たとえば、一実施形態では、ネットワークセキュリティ機器108、112、116の少なくとも1つは、カリフォルニア州、パロアルトのHewlett−Packard Companyによって製造されたTippingPoint IPSであるが、他の実施形態では、任意の他のタイプのIPSが利用されてよい。他の実施形態によれば、アクセスポイント107、109、113は、任意の他のタイプのネットワークセキュリティ機器を介してネットワーク101に結合されてよい。また、少なくとも1つの実施形態によれば、複数の第三者が、同じアクセスポイントおよび/または同じネットワークセキュリティ機器を介してネットワーク101にアクセスすることができる。
一実施形態によれば、ネットワーク101に関連する各々の第三者106、110、114のアクティビティは、各々のアクセスポイント107、109、113とネットワーク101の間に結合されたネットワークアクセス監視モジュール104によって監視される。一実施形態によれば、監視モジュール104は、ネットワークデバイス102(たとえばサーバ、コンピュータ、ルータなど)の少なくとも1つ内で作動される。ネットワークアクセス監視モジュール104は、各々の第三者106、110、114とネットワーク101の間の伝送を監視して潜在的な有害動作体を特定する。一実施形態によれば、監視モジュール104は、潜在的な有害動作体を意味する、伝送内の特定の所定のトリガに基づいて潜在的な有害動作体を特定する。
一実施形態によれば、規定されたトリガは、第三者がネットワーク101にアクセスすることによって達成しようとしているもの(すなわち第三者から受け取られた信号の内容またはペイロード)に基づく。たとえば、一実施形態によれば、ネットワーク101および/またはネットワークデバイス102についての情報を取得することを試みている第三者からの信号は、第三者が潜在的な有害動作体であることを監視モジュール104に特定するトリガである。たとえば、有害動作体であると監視モジュール104に特定する一部の信号は、ほんの数例を挙げると、ネットワークデバイス102のポートスキャン、ネットワーク101のマッピング、ネットワーク101のプロファイルスキャン、構造化照会言語(SQL)インジェクション、またはフィッシング攻撃である。他の実施形態によれば、任意の他のタイプの信号またはアクティビティが、潜在的な有害動作体を監視モジュール104に伝えるトリガとして規定され得る。
一実施形態によれば、ネットワークアクセス監視モジュール104は、カリフォルニア州、パロアルトのHewlett−Packard Companyによって製造されたArcSight Security Intelligence Platformであるが、他の実施形態では、任意の他のタイプのネットワークアクセス監視モジュール104が利用されてよい。
一実施形態によれば、ネットワークアクセス監視モジュール104は、ネットワーク101に関連する第三者106、110、114のアクティビティを監視し、潜在的な有害動作体を特定するとき、特定された潜在的な有害動作体の表示をセキュリティオペレーションセンタ120に提供する。一実施形態によれば、ネットワークアクセス監視モジュール104からの特定された潜在的な有害動作体の表示は、セキュリティオペレーションセンタ120において人によって監視される。たとえば、一実施形態によれば、監視モジュール104からの特定された潜在的な有害動作体の表示は、セキュリティオペレーションセンタ120においてユーザ122(たとえばセキュリティ管理者)によって監視される。一実施形態によれば、各々のユーザ122は、監視モジュール104からの特定された潜在的な有害動作体の表示を(たとえばグラフィカルユーザインターフェース(GUI)を介して)表示する端末124を作動させる。
図2は、セキュリティオペレーションセンタ120内の端末124上に表示されたネットワークアクセス監視モジュールGUI200を示す。GUIは、ネットワークアクセス監視モジュール104によって特定された潜在的な有害動作体のリスト202を含む。一実施形態によれば、リスト202は、任意の数の潜在的な有害動作体を含むことができる。リスト202内の各々の潜在的な有害動作体は、監視モジュール104によって特定された潜在的な有害な動作に関連して表示される。たとえば、一実施形態によれば、リスト202内の各々の潜在的な有害動作体は、有害動作の開始時間204、有害動作の終了時間206、有害動作のタイプ識別子208、有害動作の説明210、潜在的な有害動作体のインターネットプロトコル(IP)アドレス212、潜在的な有害動作体のポート(すなわちアクセスポイント)214、および意図される標的216の名前によって特定される。他の実施形態によれば、リスト212内に含まれる各々の潜在的な有害動作体は、潜在的な有害動作体が、ネットワーク101にアクセスすることがブロックされるべきかどうかを判定する上でユーザ122を助けることができる任意の他のタイプの情報によって特定されてよい。
ユーザ122が端末124を介してGUI200を監視するとき、ユーザは、リスト202内に表示された情報に基づいて、リストされた潜在的な有害動作体の少なくとも1つが、ネットワーク101にアクセスすることがブロックされるべきであると判定することができる。たとえば、図2に示されるように、リスト202の底部にある潜在的な有害動作体218(すなわち、入力218)は、ネットワーク101上の通信制御プロトコル(TCP)スキャンの開始の試みによって、潜在的な有害動作体として監視モジュール104によって特定された。ユーザ122が、TCPスキャンを開始した第三者がネットワーク101にアクセスすることがブロックされるべきであると決定した場合、ユーザ122は、潜在的な有害動作体に関連する情報をネットワークアクセスブロッキングモジュール118に自動的に伝達するようにGUI200を作動させることができる。一実施形態によれば、ブロッキングモジュール118は、ネットワーク101に結合された少なくとも1つのネットワークデバイス102(たとえば、サーバ、コンピュータ、プロセッサなど)内で作動される。
一実施形態によれば、ユーザ122は、リスト202内の所望の入力218を選択することによって、潜在的な有害動作体に関連する情報をネットワークアクセスブロッキングモジュール118に伝達する。一実施形態では、ユーザ122は、端末124のマウスまたはキーパッドを用いて所望の入力218を選択するが、他の実施形態では、リスト202内の入力を選択するための任意の他の適切な技術が利用されてよい。一実施形態によれば、リスト202内の所望の入力218が選択された後、ポップアップウィンドウ220がGUI200内に表示され、選択された入力218に関連してユーザ122がとることができる潜在的アクション221のリストを表示する。潜在的アクション221のリストは、選択された入力218に関連してユーザ122がとることができる任意のタイプまたは数のアクションを含むことができる。一実施形態によれば、アクション221の1つは、「ツール」入力223である。
(端末124のマウスまたはキーパッドを介して)「ツール」入力223を選択すると、第2のポップアップウィンドウ222が表示され、これは、選択された入力218に関連してユーザ221が作動させることができるツールのリスト225を含む。ツールのリスト225は、選択された入力218に関連してユーザ221が利用することができる任意の数のツール225を含むことができる。一実施形態によれば、ツール225の1つは、ネットワークアクセスブロッキングモジュール118である。図2に示されるように、ネットワークアクセスブロッキングモジュール118は、「バンハンマ(BAN HAMMER)」と呼ばれるが、他の実施形態では、ネットワークアクセスブロッキングモジュール118は、任意の他の方法で呼ばれ得る。
一実施形態によれば、ツールのリスト225からネットワークアクセスブロッキングモジュール118を選択すると、ネットワークアクセスブロッキングモジュール118は、ブロッキングモジュール118を選択したユーザ221が、ブロッキングモジュール118を作動させるように認証されていることを確認する。一実施形態によれば、ブロッキングモジュール118は、端末124の現在のユーザ221を、先に進むためにユーザがパスワードを入力することを要請するメッセージによって促す。別の実施形態では、ブロッキングモジュール118は、端末124の現在のユーザ221に、セキュリティトークン(すなわち、ブロッキングモジュール118へのアクセスを認証する小型ハードウェアデバイス(たとえばキー・フォブ))を、端末124に接続するよう促す。一実施形態によれば、ブロッキングモジュール118は、ユーザ221が、ブロッキングモジュール118にアクセスするために2要素認証(たとえば、パスワードおよびセキュリティトークンの使用)を求める。たとえば、図3に示されるように、ネットワークアクセスブロッキングモジュール118は、端末224を介してユーザ221にGUI300を表示することができ、GUI300は、ブロッキングモジュール118へのアクセスを要請しているユーザ221に対して、規定された領域302内にパスワードを入力し、認証されたセキュリティトークンを端末224に(たとえば、有線または無線接続を介して)接続することも求める。他の実施形態によれば、任意の他の適切なタイプのユーザ認証が求められてよい。ブロッキングモジュール118を作動させるようにユーザ221が認証されていることを確かめると、ブロッキングモジュール118が起動される。
別の実施形態によれば、ネットワークアクセスブロッキングモジュール118は、ブロッキングモジュール118へのアクセスを求めているユーザ221が、認証されたユーザであることを確認しない。むしろ、ユーザ221によってツールのリスト225から選択されると、ネットワークアクセスモジュール118はただちに起動される。
ネットワークアクセスブロッキングモジュール118が起動すると、選択された有害動作体に関する(選択された入力218からの)情報は、監視モジュール104からネットワークアクセスブロッキングモジュール118に自動的に渡される。一実施形態によれば、特定された有害動作体のIPアドレス212は、ネットワークアクセスブロッキングモジュール118に自動的に渡されるが、他の実施形態では、有害動作体に関連する任意の他の情報が、ネットワークアクセスブロッキングモジュール118に自動的に渡されてよい。IP情報を監視モジュール140からブロッキングモジュール118に自動的に渡すことにより、通常、有害動作体情報をネットワークセキュリティ機器に手動入力することに伴う人による移行エラー(たとえばタイピングエラー)が回避され得ることが理解される。
一実施形態によれば、有害動作体情報(たとえば有害動作体のIPアドレス)を監視モジュール140から受け取ると、ブロッキングモジュール118は、受け取られた有害動作体のIPアドレスを、ネットワーク101の小売業者オペレータによって利用される外部IPアドレスのリスト(すなわち外部向けIPアドレス)と比較する。一実施形態では、外部IPアドレスのリストは、端末124内のデータベース内に記憶される。別の実施形態では、アドレス付けされた外部IPのリストは、個々の端末124から外部に配置された中央データベース123内に記憶される。
一実施形態によれば、外部IPアドレスのリストは、小売業者によって使用される外部向けIPアドレスを含み、したがって、ネットワーク101および/またはネットワークデバイス102にアクセスすることがブロックされるべきではない。ブロッキングモジュール118が、監視モジュール104から受け取られた有害動作体のIPアドレスがリスト内の外部IPアドレスの1つと一致すると判定した場合、ブロッキングモジュールは、端末224を介して、有害動作体のIPアドレスが、実際には小売業者によって利用される外部IPアドレスであることを示すメッセージをユーザ221に表示する。
一実施形態によれば、有害動作体のIPアドレスが所定の外部IPアドレスと一致すると、ブロッキングモジュール118は、自動的に、一致したIPアドレスがブロックされることを防止し、ユーザ221に対してそのように示す。別の実施形態では、有害動作体のIPアドレスがリスト内の外部IPアドレスと一致すると、ブロッキングモジュール118は、端末124を介して、有害動作体のIPアドレスが、実際には小売業者によって使用される外部IPアドレスであることを示し、外部の一致したIPアドレスをブロックすることをユーザ221が依然として望むかどうかを確認する警告をユーザ221に提供する。
監視モジュール140から受け取られた有害動作体IPアドレスが、所定の外部IPアドレスと一致しない場合、ブロッキングモジュール118は、有害動作体のIPアドレスを、小売業者によって内部的に使用され、かつネットワーク101および/またはネットワークデバイス102にアクセスすることをブロックすることをユーザ121が望まない可能性があるIPアドレスのリストと比較する。一実施形態によれば、IPアドレスのリストは、端末124内に局所的に記憶される。別の実施形態では、内部IPアドレスのリストは、端末124から外部の中央データベース123内に記憶される。ブロッキングモジュール118が、監視モジュール104から受け取られた有害動作体のIPアドレスが、リスト内の内部IPアドレスの1つと一致すると判定した場合、ブロッキングモジュールは、端末224を介して、有害動作体のIPアドレスが、実際には小売業者によって利用される内部IPアドレスであることを示すメッセージをユーザ221に表示する。
一実施形態によれば、有害動作体のIPアドレスがリスト内の内部IPアドレスと一致すると、ブロッキングモジュール118は、有害動作体のIPアドレスが、小売業者によって内部的に使用されることを示し、一致したIPアドレスをブロックすることを進めることをユーザ221が望むかどうかを確認する警告をユーザ221に提供する。たとえば、そのような警告400は、図4に示される。警告400は、有害動作体のIPアドレスが、小売業者IP空間内の内部に見つけられたことをユーザ221に通知し、有害動作体の一致したIPアドレスをブロックすることをユーザ221が進めたいかどうかを確認する。ユーザ221が、一致したIPアドレスがブロックされるべきではないと示した場合、ブロッキングモジュール118は、一致したIPSアドレスがブロックされることを防止する。ユーザ221が、一致したIPアドレスが、内部IPアドレスのリスト内に存在するにも関わらずブロックされるべきであると示した場合、ブロッキングモジュール118は、有害動作体のIPアドレスをブロックするように作用する。
別の実施形態では、有害動作体のIPアドレスが所定の内部IPアドレスと一致すると、ブロッキングモジュール118は、自動的に、一致したIPアドレスがブロックされることを防止し、端末124を介してユーザ221にそのように示す。
一実施形態によれば、有害動作体のIPアドレスは、所定の外部IPアドレスのリストおよび所定の内部IPアドレスのリストと比較される。他の実施形態では、有害動作体のIPアドレスは、所定の外部IPアドレス、所定の内部IPアドレス、または所定の外部および内部のIPアドレスの単一のリストだけと比較され得る。他の実施形態によれば、有害動作体のIPアドレスは、小売業者によって規定された任意の他のタイプの所定のリスト(たとえば、ブラックリスト、承認された試験者リストなど)と比較されてよい。
有害動作体のIPアドレスを、小売業者によって利用される所定の外部および/または内部アドレスのリストに対してチェックすることにより、小売業者がブロックすることを実際には望まないIPアドレス(たとえば、小売業者それ自体、または認証された販売者に関連付けられたIPアドレス)の間違ったブロッキングは、回避され得ることを理解されたい。
一実施形態によれば、有害動作体のアドレスが、小売業者によって利用される所定の外部のまたは内部のIPアドレスのいかなるものにも一致しない場合、ブロッキングモジュール118は、端末124を介して(図5に見られるような)GUI500を表示し、このGUI500は、特定された有害動作体上に置かれようとしているブロックをレビューするために、別のユーザ(すなわち二次またはバックアップユーザ)を選択するようにユーザ221に促す。GUI500は、潜在的な二次ユーザのリスト502を含む。ユーザ221は、保留しているブロックアクションをレビューするために(たとえば端末124のキーボードまたはマウスを介して)二次ユーザ502の1人を選択する。
一実施形態によれば、GUI500はまた、ユーザ221が、保留しているブロックアクションに関連付けられた、ユーザ221が望むテキスト(たとえば、コメント、注記など)を入力することを可能にするテキスト領域504も含む。
ユーザ221が、保留しているブロックアクションのレビューのために(たとえば端末124を介して)リストされた二次ユーザ502の1人を選択した後、特定された有害動作体およびその有害動作体上の保留しているブロックに関する情報が、選択された二次ユーザ502に渡される。一実施形態によれば、選択された二次ユーザ502に渡された情報は、選択された二次ユーザ502によって作動されている別の端末124を介して表示される。別の実施形態によれば、選択された二次ユーザ502は、ブロックが要請された元の端末124上で情報をレビューすることができる。一実施形態によれば、特定された有害動作体およびその有害動作体上の保留しているブロックに関する情報は、ユーザ121が選択された二次ユーザ502を選んだ後、端末124を介して、選択された二次ユーザ502に自動的に表示されるが、別の実施形態では、特定された有害動作体およびその有害動作体上の保留しているブロックに関する情報は、選択された二次ユーザ502による開始または要請時のみ表示される。
一実施形態によれば、ブロッキングモジュール118は、(図6に見られるように)GUI600において、有害動作体および保留しているブロックに関する情報を選択された二次ユーザ502に端末124を介して表示する。一実施形態によれば、GUI600は、選択された二次ユーザ502、元のユーザ221によって入力された有害動作体に関連する任意のコメント、および有害動作体を特定させたトリガを特定する。別の実施形態によれば、GUI600は、有害動作体および有害動作体上の保留しているブロックに関する任意の他の情報を含むことができる。GUI600はまた、ブロッキングモジュール118が、特定された有害動作体をブロックすることを進めることが受け入れられるかどうかを確認するように選択された二次ユーザ502を促す。選択された二次ユーザ502は、GUI600と相互作用して、保留しているブロックが取り消されるべきかまたは進められるべきかを示す。
選択された二次ユーザ502が、ブロッキングモジュール118に対して、端末124において、有害動作体のブロックが進められるべきであると示した場合、ブロッキングモジュール118は、各々のアクセスポイント107、109、113に結合されたネットワークセキュリティ機器108、112、116を構成することによって、ネットワーク101の各々のアクセスポイント107、109、113において有害動作体がネットワーク101にアクセスすることを同時にブロックする。たとえば、一実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つがファイアウォールである場合、命令(たとえば、SHUN命令)が、ブロッキングモジュール118によって、ネットワーク101に結合されたファイアウォール108、112、116の各々1つに送られて、有害動作体のIPアドレスからのネットワークアクセスをブロックする。一実施形態によれば、所定の時間がたった後(たとえば3日)、ユーザ122は、ブロックを取り除き、前にブロックされたIPアドレスからのネットワークへのアクセスを可能にするようにファイアウォール108、112、116を再構成することができる。別の実施形態によれば、ユーザ122は、所定時間後にブロックを取り除かなくてもよい。
別の実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つがIPSである場合、ブロッキングモジュール118は、ネットワーク101に結合された各々のIPS108、112、116の隔離リストを、ブロックされた有害動作体のIPアドレスを含むように更新する。一実施形態によれば、所定時間後、IPS108、112、116は、有害動作体上のブロックを自動的に取り除く。一実施形態によれば、ネットワークセキュリティ機器108、112、116は、ファイアウォール、IPSおよび/または他のタイプのネットワークセキュリティ機器の混合を含む。
一実施形態によれば、ネットワーク101にわたって有害動作体を効果的にブロックすると、ブロッキングモジュール118は、有害動作体上に置かれたばかりの新しいブロックを参照する変更管理(すなわちチケット)を作成する。変更管理は、将来の参照のためにデータベース内に記憶され得る。一実施形態によれば、ブロッキングモジュール118によって生成された変更管理は、検索可能である。
特定されると、有害動作体は、各々のネットワークセキュリティ機器においてネットワークにわたって自動的にブロックされるため、特定された有害動作体をネットワーク101の各々のアクセスポイントにわたって同時にかつ自動的にブロックすることにより、特定された有害動作体によるブロック迂回に関する問題が低減され得ることが理解される。したがって、特定された有害動作体を各々の個々のネットワークセキュリティ機器において手動でブロックする時間が無駄に費やされる必要はない。ブロッキングモジュール118の作動は、以下でより詳細に説明される。
図7は、本明細書において説明される少なくとも1つの実施形態に係る、ネットワーク101にわたって有害動作体を動的にブロックするためのプロセスを示すフローチャート700である。ブロック702では、ユーザ121(たとえばセキュリティ管理者)によって端末124において開始されると、特定された有害動作体に関する情報が、上記で説明されたように、監視モジュール104からブロッキングモジュール118に直接的に転送される。一実施形態によれば、転送された情報は、潜在的な有害動作体の特定されたIPアドレス、潜在的な有害動作体の特定を引き起こした信号のタイプ、標的のIPアドレス、標的のポート(すなわちアクセスポイント)、および/または標的とされたネットワークデバイス102の特定情報を含む。他の実施形態によれば、監視モジュール104からの転送された情報は、特定された有害動作体および対応する有害動作に関連する任意のタイプの情報を含むことができる。
ブロック704では、監視モジュール104から直接的に情報を受け取ると、ブロッキングモジュール118が開始される。ブロック706では、ユーザ121が、ブロッキングモジュール118を作動させるように認証されているかどうかの判定がなされる。たとえば、上記で説明されたように、ブロッキングモジュール118は、ユーザ121に、PIN番号を入力するおよび/またはセキュリティトークンを端末124に結合させるよう求めることによって、ユーザ121を認証することができる。ブロック708では、ユーザ121がブロッキングモジュール118を使用するように認証されていないという判定に応答して、ブロッキングモジュール118は、端末124を介して、ブロッキングモジュール118を利用するのに十分なアクセス権をユーザ121が有していないことを示すポップアップメッセージをユーザ121に表示する。一実施形態によれば、ブロック710では、ブロッキングモジュール118へのアクセスがユーザ121に対して拒否された後、ブロッキングモジュール118は終了される。
ブロッキングモジュール118を使用するようにユーザ121が認証されているという判定に応答して、ブロック712では、ブロッキングモジュールは、(監視モジュール104から受け取られた)潜在的な有害動作体の特定されたIPアドレスが、小売業者によって外部向けに使用されるかどうかを判定する。たとえば、上記で説明された一実施形態では、ブロッキングモジュール118は、特定されたIPアドレスを、小売業者の所定の外部向けに使用されるIPアドレスのリストと比較する。特定されたIPアドレスが、小売業者によって利用される外部IPアドレスと一致する(すなわち外部IPアドレスのリスト内の外部IPアドレスと一致する)という判定に応答して、ブロック714では、ブロッキングモジュール118は、端末124を介して、特定されたIPアドレスが小売業者によって外部向けに使用され、したがってネットワーク101にアクセスすることをブロックすることはできないことを示すポップアップメッセージをユーザ121に表示する。一実施形態によれば、ブロック710では、一致した外部IPアドレスがユーザ121に特定された後、ブロッキングモジュール118は終了される。
特定されたIPアドレスが、小売業者によって外部向けに使用されないという判定に応答して、ブロック716では、ブロッキングモジュール118は、特定されたIPアドレスが、小売業者によって内部的に使用されるかどうかを判定する。たとえば、上記で説明されたような一実施形態によれば、ブロッキングモジュール118は、特定されたIPアドレスを、小売業者の所定の内部的に使用されるIPアドレスのリストと比較する。特定されたIPアドレスが、小売業者によって利用される内部IPアドレスと一致する(すなわち内部IPアドレスのリスト内の内部IPアドレスと一致する)という判定に応答して、ブロック718では、ブロッキングモジュール118は、端末124を介して、特定されたIPアドレスが小売業者によって内部的に使用されることを示すポップアップメッセージをユーザ121に表示する。一実施形態によれば、ポップアップメッセージはまた、特定されたIPアドレスを、小売業者によって内部的に使用されているにも関わらずブロックすることをユーザ121が進めたいかどうかも確認する。特定された内部的に使用されるIPアドレスのブロックがブロックされるべきではないことをユーザ121がブロッキングモジュール118に示すことに応答して、ブロック710において、ブロッキングモジュール118は終了される。
特定されたIPアドレスが小売業者によって内部的に使用されているにも関わらず、そのIPアドレスのブロックを継続すべきであるとユーザ121がブロッキングモジュール118に示したことに応答して、または特定されたIPアドレスが内部的に使用されていないとブロッキングモジュール118が判定したことに応答して、ブロック720では、ブロッキングモジュール118は、有害動作体の特定されたIPアドレスの保留しているブロックのバックアップレビューのために二次ユーザ502を選択するようユーザ121に促す。ブロック722において、ユーザ121はまた、保留しているブロックに関連付けられた、ユーザ121が望むテキスト(たとえばコメント、注記など)を入力することもできる。
ブロック724では、特定された有害動作体、保留しているブロック、および/または任意の関連テキストに関連する情報が、ユーザ121によって選択された二次ユーザ502に提供される。選択された二次ユーザ502は、提供された情報をレビューし、保留しているブロックの取り消しまたは進展を選ぶことができる。選択された二次ユーザ502からの、ブロックが取り消されるべきであるという表示に応答して、ブロック710において、ブロッキングモジュール118は終了される。選択された二次ユーザ502からの、ブロックが進められるべきであるという表示に応答して、ブロック726において、特定された有害動作体(すなわち特定された有害動作体のIPアドレス)上の新しいブロックを参照する閉鎖変更管理(すなわち変更要請またはチケット)が作成される。一実施形態によれば、変更管理は、検索可能なデータベース内に記憶される。一実施形態によれば、変更管理は、テキサス州、ヒューストンのBMC Softwareによって製造された、Remedyなどの情報技術(IT)サービス管理ソフトウェアを用いて生成されるが、他の実施形態では、任意のタイプのITサービス管理ソフトウェアが利用されてよい。
ブロック728では、特定された有害動作体の新しいブロックに関する情報730が、監視モジュール104に戻される(たとえば、ログされるまたはSyslogされる)。一実施形態によれば、監視モジュール104に戻された情報730は、ブロックを引き起こしたアクティビティのタイプ、そのアクティビティが特定された時間、ブロックが開始された時間、有害動作体のIPアドレス、標的アドレス、標的ポート、有害動作体によって標的とされたネットワークデバイス102の名前またはアドレス、ユーザ121の識別、選択された二次ユーザ502の識別、変更管理の特定番号、および/またはユーザ121によって入力された任意のテキストを含む。他の実施形態によれば、情報730は、有害動作体および対応する有害動作に関連する任意の他のタイプの情報を含むことができる。
ブロック732では、ブロッキングモジュール118は、各々のアクセスポイント107、109、113に結合されたネットワークセキュリティ機器108、112、116を構成することによって、ネットワーク101の各々のアクセスポイント107、109、113において有害動作体(すなわち有害動作体のIPアドレス)がネットワーク101にアクセスすることを同時にブロックする。たとえば、一実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つがファイアウォールである場合、命令(たとえば、SHUN命令)が、ブロッキングモジュール118によってネットワーク101に結合されたファイアウォール108、112、116の各々1つに送られて、有害動作体のIPアドレスからのネットワークアクセスをブロックする。別の実施形態によれば、ネットワークセキュリティ機器108、112、116の少なくとも1つがIPSである場合、ブロッキングモジュール118は、ネットワーク101に結合された各々のIPS108、112、116の隔離リストを、ブロックされた有害動作体のIPアドレスを含むように更新する。有害動作体をネットワークの各々のアクセスポイント107、109、113にわたってブロックしたとき、ブロック710において、ブロッキングモジュール118は終了される。
本発明によるさまざまな実施形態は、1つ以上のコンピュータシステムまたは他のデバイス上に実装され得る。コンピュータシステムは、ミニコンピュータ、メインフレーム、サーバ、パーソナルコンピュータ、またはその組み合わせを含むことができる単一のコンピュータでよい。コンピュータシステムは、遠隔コンピューティングオペレーションを実行することができる任意のタイプのシステムを含むことができる(たとえば、携帯電話、PDA、タブレット、スマートホン、セットトップボックス、または他のシステム)。オペレーションを実行するために使用されるコンピュータシステムはまた、システムレベルのタスクを達成するように共働するコンピュータシステムのタイプの任意の組み合わせを含むこともできる。オペレーションを実行するために、複数のコンピュータシステムが使用されてもよい。コンピュータシステムはまた、入力もしくは出力デバイス、ディスプレイ、またはデータ記憶ユニットを含むこともできる。任意のコンピュータシステムまたは複数のシステムが使用されてよく、本発明は、コンピュータシステムのいかなる数、タイプ、または構成にも限定されないことを理解されたい。
これらのコンピュータシステムは、たとえば、Intel PENTIUM(登録商標)−type プロセッサ、Motorola PowerPC(登録商標)、Sun UltraSPARC(登録商標)、Hewlett−Packard PA−RISC(登録商標)プロセッサ、または任意の他のタイプのプロセッサに基づくものなどの汎用コンピュータでよい。任意のタイプのコンピュータシステムの1つ以上が、本発明のさまざまな実施形態に係る、説明されたシステムのオペレーションを部分的または完全に自動化するために使用され得ることを理解されたい。さらに、システムは単一のコンピュータ上に配置されてよく、または通信ネットワークによって取り付けられた複数のコンピュータの中に分散されてよい。
たとえば、本発明のさまざまな態様は、図8に示されるものなどの汎用コンピュータシステム800において実行する特殊なソフトウェアとして実装され得る。コンピュータシステム800は、ディスクドライブ、メモリ、またはデータを記憶するための他のデバイスなどの1つ以上のメモリデバイス(すなわちデータ記憶装置)804に接続されたプロセッサ802を含むことができる。メモリ804は、通常、コンピュータシステム800のオペレーション中、プログラムおよびデータを記憶するために使用される。コンピュータシステム800の構成要素は、(たとえば、同じ機械内に内蔵された構成要素間の)1つ以上のバスおよび/または(たとえば、離れた別個の機械上に位置する構成要素間の)ネットワークを含むことができる相互接続機構806によって結合され得る。相互接続機構806は、通信(たとえばデータ、指令)を、システム800のシステム構成要素間で交換することを可能にする。コンピュータシステム800はまた、1つ以上の入力デバイス808、たとえば、キーボード、マウス、トラックボール、マイクロホン、タッチスクリーンと、1つ以上の出力デバイス810、たとえば、印刷デバイス、ディスプレイスクリーン、および/またはスピーカとを含む。さらに、コンピュータシステム800は、(相互接続機構806に加えて、またはその代替策として)これを通信ネットワークに接続する1つ以上のインターフェース(図示せず)を含むことができる。
図9により詳細に示される記憶システム812は、通常、コンピュータ読み込み可能および書き込み可能な非揮発性記録媒体902を含み、その中に、プロセッサによって実行されるプログラム、またはプログラムによって処理される媒体902上またはその中に記憶された情報を規定する信号が記憶される。媒体は、たとえばディスクまたはフラッシュメモリでよい。通常、オペレーションにおいて、プロセッサは、データを非揮発性記録媒体902から別のメモリ904に読み込ませ、メモリ904は、プロセッサによる、媒体902より速い情報へのアクセスを可能にする。このメモリ904は、通常、ダイナミック・ランダム・アクセス・メモリ(DRAM)またはスタティックメモリ(SRAM)などの揮発性ランダムアクセスメモリである。これは、図示されるように記憶システム812内に配置されてよく、またはメモリシステム804内に配置されてよい。プロセッサ802は、通常、集積回路メモリ804、904内でデータを操作し、次いで、処理が完了した後、データを媒体902にコピーする。媒体902と集積回路メモリ要素804、904間のデータ移動を管理するためのさまざまな機構が知られており、本発明は、これに限定されない。本発明は、特定のメモリシステム804または記憶システム812に限定されない。
コンピュータシステムは、特別にプログラムされた、特殊目的のハードウェア、たとえば、特定用途向け集積回路(ASIC)を含むことができる。本発明の態様は、ソフトウェア、ハードウェア、またはファームウェア、またはその任意の組み合わせ内に実装され得る。さらに、そのような方法、動作、システム、システム要素、およびそれらの構成要素は、上記で説明されたコンピュータシステムの一部として、または独立した構成要素として実装され得る。
コンピュータシステム800は、例として、本発明のさまざまな態様が実践され得る1つのタイプのコンピュータシステムとして示されているが、本発明の態様は、図8に示されるようにコンピュータシステム上に実装されることに限定されないことを理解されたい。本発明のさまざまな態様は、図8に示されるものと異なるアーキテクチャまたは構成要素を有する1つ以上のコンピュータ上で実践され得る。
コンピュータシステム800は、高レベルのコンピュータプログラミング言語を用いてプログラム可能である汎用コンピュータシステムでよい。コンピュータシステム800はまた、特別のプログラムされた、特殊目的のハードウェアを用いて実施されてもよい。コンピュータシステム800では、プロセッサ802は、通常、Intel Corporationから入手可能なよく知られているPentiumクラスのプロセッサなどの市販のプロセッサである。数多くの他のプロセッサが利用可能である。そのようなプロセッサは、通常、たとえば、Microsoft Corporationから入手可能な、Windows(登録商標)95、Windows98、Windows NT、Windows 2000(Windows ME)、Windows XP、Windows Visa、Windows 7、もしくはWindows 8のオペレーティングシステム、Apple Computerから入手可能な、MAC(登録商標) OS System XオペレーティングシステムもしくはiOS オペレーティングシステム、数多くのLinux(登録商標)ベースのオペレーティングシステムディストリビューションの1つ、たとえばRed Hat Inc.から入手可能なEnterprise Linus オペレーティングシステム、またはさまざまなソースから利用可能なUNIX(登録商標)でよいオペレーティングシステムを実行する。数多くの他のオペレーティングシステムが使用され得る。
プロセッサおよびオペレーティングシステムは、一緒になって、高レベルのプログラミング言語のアプリケーションプログラムが書き込まれるコンピュータプラットフォームを定める。本発明は、特定のコンピュータシステムプラットフォーム、プロセッサ、オペレーティングシステム、またはネットワークに限定されないことを理解されたい。また、本発明が、特有のプログラミング言語またはコンピュータシステムに限定されないことは、当業者には明らかなはずである。さらに、他の適切なプログラミング言語および他の適切なコンピュータシステムも使用できることを理解されたい。
コンピュータシステムの1つ以上の部分は、通信ネットワークに結合された1つ以上のコンピュータシステム(図示せず)にわたって分散され得る。これらのコンピュータシステムはまた、汎用コンピュータシステムでもよい。たとえば、本発明のさまざまな態様は、1つ以上のクライアントコンピュータにサービスを提供する(たとえばサーバ)ように、または分散されたシステムの一部としてタスク全般を実行するように構成された1つ以上のコンピュータシステムの中に分散され得る。たとえば、本発明のさまざまな態様は、クライアントサーバシステム上で実行されてよく、このクライアントサーバシステムは、本発明のさまざまな実施形態に係るさまざまな機能を実行する1つ以上のサーバシステムの中に分散された構成要素を含む。これらの構成要素は、通信プロトコル(たとえばTCP/IP)を用いて通信ネットワーク(たとえばインターネット)上で通信する、実行可能な中間コード(たとえばIL)または解釈コード(たとえばJava(登録商標))でよい。
本発明は、任意の特定のシステムまたはシステムのグループ上で実行することに限定されないことを理解されたい。また、本発明は、任意の特定の分散されたアーキテクチャ、ネットワーク、または通信プロトコルに限定されないことを理解されたい。本発明のさまざまな実施形態は、Small Talk、Java、C++、Ada、またはC#(C−Sharp)などのオブジェクト指向プログラミング言語を用いてプログラムされ得る。他のオブジェクト指向プログラミング言語が、使用されてよい。あるいは、機能、スクリプト、および/または論理プログラミング言語が使用されてもよい。本発明のさまざまな態様は、プログラムされない環境(たとえば、HTML、XML、または他の形式、すなわちブラウザプログラムのウィンドウ上で見たとき、グラフィカルユーザインターフェース(GUI)の外観をレンダリングする、または他の機能を実行する形式で作成された文書)において実施され得る。本発明のさまざまな態様は、プログラムされたもしくはプログラムされない要素、または任意のその組み合わせとして実装されてよい。
本明細書で説明されるように、監視モジュール104は、3つの異なる第三者を監視するが、他の実施形態では、監視モジュール104は、任意の数および/またはタイプの第三者を監視することができる。また、これも本明細書において説明されるように、セキュリティオペレーションセンタは、3人のユーザ122(たとえばセキュリティ管理者)を含み、各々は、対応する端末124を有するが、他の実施形態では、セキュリティオペレーションセンタは、任意の数のユーザおよび/または端末を含むことができる。
本明細書において説明されるように、情報をユーザに提供するために、および/または対策を講じるようユーザに促すために、ポップアップウィンドウが利用されるが、他の実施形態では、任意の他のタイプのGUIが、ユーザに情報を提供する、情報を入力するようユーザに促す、選択を行うようユーザに促すなどのために利用されてよい。
本明細書において説明されるように、ブロッキングモジュールは、有害動作体が大規模小売業者のネットワークにアクセスすることをより容易にブロックすると説明されているが、他の実施形態では、ブロッキングモジュールは、いかなるタイプまたはサイズのエンティティによっても使用されることができ、特定された有害動作体がいかなるタイプのネットワークにもアクセスすることを防止することができる。
本明細書において説明される実施形態は、特定された有害動作体をネットワークの各々のアクセスポイントにわたって自動的にブロックするためのシステムおよび方法を提供する。有害動作体が特定された後、有害動作体は、ブロックの迂回を防止するために、ネットワークの各々のアクセスポイントにおいて自動的にブロックされる。特定されると、有害動作体は、各々のネットワークセキュリティ機器においてネットワークにわたって自動的にブロックされるため、有害動作体をネットワークの各々のアクセスポイントにわたって同時にかつ自動的にブロックすることにより、特定された有害動作体によるブロック迂回に関する問題は低減され得る。したがって、特定された有害動作体を各々個々のネットワークセキュリティ機器において手動でブロックする時間が無駄に費やされない。

Claims (21)

  1. ネットワークへのアクセスを制限するためのシステムであって、
    複数のネットワークアクセスポイントと、
    前記複数のネットワークアクセスポイントの少なくとも1つと前記ネットワークとの間に各々結合された複数のネットワークセキュリティ機器と、
    前記複数のネットワークアクセスポイントと前記ネットワークとの間に結合され、前記複数のネットワークセキュリティ機器を介した前記複数のアクセスポイントと前記ネットワークとの間の伝送を監視するように構成された監視モジュールと、
    前記監視モジュールおよび前記複数のネットワークセキュリティ機器に結合されたブロッキングモジュールとを備え、
    前記監視モジュールは、さらに、前記複数のネットワークアクセスポイントの第1の1つおよび前記複数のネットワークセキュリティ機器の第1の1つを介した、潜在的な有害動作体から前記ネットワークへの伝送に基づいて、前記潜在的な有害動作体を特定し、前記潜在的な有害動作体に関連する情報を前記ブロッキングモジュールに提供するように構成され、
    前記ブロッキングモジュールは、前記潜在的な有害動作体が前記ネットワークにアクセスすることがブロックされるべきであることを確認するように、また、それに応答して、前記複数のネットワークセキュリティ機器の各々1つを前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように自動的に構成するように構成される、システム。
  2. 前記監視モジュールが、さらに、前記潜在的な有害動作体からの前記伝送内で少なくとも1つの所定のトリガを特定することによって、前記潜在的な有害動作体を特定するように構成される、請求項1に記載のシステム。
  3. 前記複数のネットワークセキュリティ機器の少なくとも1つが、ファイアウォールである、請求項1に記載のシステム。
  4. 前記ブロッキングモジュールが、さらに、前記潜在的な有害動作体が各々のファイアウォールを介して前記ネットワークにアクセスすることをブロックするために、SHUN命令を前記複数のネットワークセキュリティ機器内の各々のファイアウォールに伝送するように構成される、請求項3に記載のシステム。
  5. 前記複数のネットワークセキュリティ機器の少なくとも1つが、侵入防止システム(IPS)である、請求項1に記載のシステム。
  6. 前記ブロッキングモジュールが、さらに、前記複数のネットワークセキュリティ機器内の各々のIPSの隔離リストを、前記潜在的な有害動作体が各々のIPSを介して前記ネットワークにアクセスすることをブロックするよう更新するように構成される、請求項5に記載のシステム。
  7. さらに、少なくとも1つのセキュリティ端末を備え、前記セキュリティ端末は、前記監視モジュールに結合され、前記特定された潜在的な有害動作体の表示を第1のユーザに表示し、前記少なくとも1つのセキュリティ端末における前記第1のユーザの入力に基づいて、前記潜在的な有害動作体に関連する情報を前記ブロッキングモジュールに自動的に伝達するように前記監視モジュールを駆動するように構成される、請求項1に記載のシステム。
  8. 前記ブロッキングモジュールが、さらに、前記少なくとも1つのセキュリティ端末を介して、前記ブロッキングモジュールにアクセスするように前記第1のユーザが認証されていることを確認するように構成される、請求項7に記載のシステム。
  9. 前記ブロッキングモジュールが、さらに、前記少なくとも1つのセキュリティ端末を介して、前記ブロッキングモジュールにアクセスするように前記第1のユーザが認証されていることを確認するために、前記少なくとも1つのセキュリティ端末において2要素認証を求めるように構成される、請求項8に記載のシステム。
  10. さらに、インターネットプロトコル(IP)アドレスのリストを含む前記少なくとも1つのセキュリティ端末に結合されたデータベースを備え、
    前記ブロッキングモジュールによって前記監視モジュールから受け取られた前記潜在的な有害動作体に関連する情報は、前記潜在的な有害動作体のIPアドレスを含み、
    前記ブロッキングモジュールは、さらに、前記潜在的な有害動作体の前記IPアドレスを前記データベース内のIPアドレスの前記リストと比較し、前記潜在的な有害動作体の前記IPアドレスと前記リスト内のIPアドレスとの間の一致に応答して、前記少なくとも1つのセキュリティ端末を介して前記第1のユーザに通知するように構成される、請求項7に記載のシステム。
  11. 前記潜在的な有害動作体の前記IPアドレスと前記リスト内の前記IPアドレスとの間の一致に応答して、前記ブロッキングモジュールが、さらに、前記潜在的な有害動作体の前記IPアドレスが前記ネットワークにアクセスすることがブロックされることを防止するように構成される、請求項10に記載のシステム。
  12. 前記ブロッキングモジュールが、さらに、前記潜在的な有害動作体に関連する情報を前記少なくとも1つのセキュリティ端末を介して第2のユーザに提供するように、前記潜在的な有害動作体が前記ネットワークにアクセスすることがブロックされるべきかどうかを確認するよう前記第2のユーザに促すように、また、前記潜在的な有害動作体がブロックされるべきであるという前記第2のユーザからの確認に応答して、前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように前記複数のネットワークセキュリティ機器の各々1つを自動的に構成するように構成される、請求項7に記載のシステム。
  13. 複数のアクセスポイントと、前記複数のアクセスポイントの少なくとも1つとネットワークとの間に各々結合された複数のネットワークセキュリティ機器とを含む、前記ネットワークへのアクセスを制限するための方法であって、
    監視モジュールを用いて、前記複数のアクセスポイントおよび前記複数のネットワークセキュリティ機器を介した前記第三者と前記ネットワークとの間の伝送を監視することと、
    前記監視モジュールを用いて、前記複数のアクセスポイントの第1の1つおよび前記複数のネットワークセキュリティ機器の第1の1つを介した、潜在的な有害動作体と前記ネットワークとの間の伝送に基づいて、前記潜在的な有害動作体を特定することと、
    前記潜在的な有害動作体に関連する情報を前記監視モジュールからブロッキングモジュールに伝達することと、
    前記ブロッキングモジュールを用いて、前記潜在的な有害動作体が、前記ネットワークにアクセスすることがブロックされるべきであることを確認することと、
    前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように、前記複数のネットワークセキュリティ機器の各々1つを自動的に構成することとを含む、方法。
  14. さらに、前記監視モジュールによって特定された前記潜在的な有害動作体に関連する情報を第1のセキュリティ端末を介して第1のユーザに表示することを含み、伝達することは、前記第1のセキュリティ端末における前記第1のユーザからの、前記潜在的な有害動作体に関連する情報が伝達されるべきであるという表示に応答して、前記情報を前記監視モジュールから前記ブロッキングモジュールに自動的に伝達することを含む、請求項13に記載の方法。
  15. さらに、前記ブロッキングモジュールを作動させるように前記第1のユーザが認証されていることを確認することを含む、請求項14に記載の方法。
  16. 前記潜在的な有害動作体に関連する前記情報が、前記潜在的な有害動作体のIPアドレスを含み、前記方法は、さらに、
    前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークによって外部向けに利用されるかどうかを判定することと、
    前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークによって外部向けに利用されるという判定に応答して、前記潜在的な有害動作体の前記IPアドレスが前記ネットワークにアクセスすることがブロックされることを防止することとを含む、請求項15に記載の方法。
  17. さらに、
    前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークによって内部的に利用されるかどうかを判定することと、
    前記潜在的な有害動作体の前記IPアドレスが前記ネットワークによって内部的に利用されるという判定に応答して、前記第1のセキュリティ端末を介して、前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークにアクセスすることがブロックされるべきかどうかを確認するよう前記第1のユーザに促すこととを含み、
    自動的に構成することは、前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークにアクセスすることがブロックされるべきであるという、前記第1のセキュリティ端末を介した前記第1のユーザからの表示に応答して、前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように、前記複数のネットワークセキュリティ機器の各々1つを自動的に構成することを含む、請求項14に記載の方法。
  18. さらに、
    前記第1のセキュリティ端末を介して、バックアップレビューのために二次ユーザを選択するよう前記第1のユーザに促すことと、
    前記潜在的な有害動作体に関連する前記情報を、第2のセキュリティ端末を介して、前記第1のユーザによって選択された第2のユーザに表示することと、
    前記第2のセキュリティ端末を介して、前記潜在的な有害動作体が前記ネットワークにアクセスすることがブロックされるべきかどうかを確認するよう前記第2のユーザに促すこととを含み、
    自動的に構成することは、前記潜在的な有害動作体の前記IPアドレスが、前記ネットワークにアクセスすることがブロックされるべきであるという、前記第2のセキュリティ端末を介した前記第2のユーザからの表示に応答して、前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように、前記複数のネットワークセキュリティ機器の各々1つを自動的に構成することを含む、請求項14に記載の方法。
  19. さらに、前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように、前記複数のネットワークセキュリティ機器の各々1つを自動的に構成することに応答して、前記潜在的な有害動作体に関連する前記情報に基づいて変更管理を生成することを含む、請求項14に記載の方法。
  20. 小売業者ネットワークへのアクセスを制限するためのシステムであって、
    複数のネットワークアクセスポイントと、
    前記複数のネットワークアクセスポイントの少なくとも1つと前記ネットワークとの間に各々結合された複数のネットワークセキュリティ機器と、
    前記複数のネットワークアクセスポイントと前記ネットワークとの間に結合され、前記複数のネットワークセキュリティ機器を介した前記複数のアクセスポイントと前記ネットワークとの間の伝送を監視するように構成された監視モジュールと、
    潜在的な有害動作体を特定し、前記潜在的な有害動作体が前記ネットワークにアクセスすることがブロックされるべきであることを確認し、前記複数のネットワークセキュリティ機器の各々の1つにおいて前記特定された有害動作体が前記ネットワークにアクセスすることをブロックするための手段とを含む、システム。
  21. 複数のネットワークアクセスポイントおよび複数のネットワークセキュリティ機器を含む、ネットワークへのアクセスを制限するためのシステムであって、
    前記複数のネットワークアクセスポイントに結合され、前記複数のネットワークセキュリティ機器を介した前記ネットワークへの伝送を監視するように構成された監視モジュールと、
    前記監視モジュールに結合され、前記複数のネットワークセキュリティ機器に結合されるようにも構成されたブロッキングモジュールとを備え、
    前記監視モジュールは、さらに、前記複数のネットワークアクセスポイントの第1の1つおよび前記複数のネットワークセキュリティ機器の第1の1つを介した、潜在的な有害動作体から前記ネットワークへの伝送に基づいて、前記潜在的な有害動作体を特定し、前記潜在的な有害動作体に関連する情報を前記ブロッキングモジュールに提供するように構成され、
    前記ブロッキングモジュールは、前記潜在的な有害動作体が前記ネットワークにアクセスすることがブロックされるべきであることを確認するように、また、それに応答して、前記潜在的な有害動作体が前記ネットワークにアクセスすることをブロックするように前記複数のネットワークセキュリティ機器の各々1つを自動的に構成するように構成される、システム。
JP2016534773A 2013-08-12 2014-08-11 有害動作体の自動ブロッキング Pending JP2016533107A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/964,543 2013-08-12
US13/964,543 US9450970B2 (en) 2013-08-12 2013-08-12 Automatic blocking of bad actors across a network
PCT/US2014/050537 WO2015023584A1 (en) 2013-08-12 2014-08-11 Automatic blocking of bad actors

Publications (1)

Publication Number Publication Date
JP2016533107A true JP2016533107A (ja) 2016-10-20

Family

ID=52449803

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016534773A Pending JP2016533107A (ja) 2013-08-12 2014-08-11 有害動作体の自動ブロッキング

Country Status (7)

Country Link
US (2) US9450970B2 (ja)
JP (1) JP2016533107A (ja)
CN (1) CN105518663B (ja)
CA (1) CA2919699A1 (ja)
GB (1) GB2532373A (ja)
MX (1) MX354401B (ja)
WO (1) WO2015023584A1 (ja)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2019041204A1 (zh) * 2017-08-30 2019-03-07 深圳市云中飞网络科技有限公司 刷量ip地址检测方法及装置
CN114925373B (zh) * 2022-05-17 2023-12-08 南京航空航天大学 基于用户评语的移动应用隐私保护政策漏洞自动识别的方法

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178144A (ja) * 2002-11-26 2004-06-24 Canon Software Inc ワークフローサーバおよびワークフローシステムの制御方法およびプログラムおよび記録媒体
JP2005064280A (ja) * 2003-08-14 2005-03-10 Shin Etsu Polymer Co Ltd 電磁波シールド体及びその製造方法
JP2006301848A (ja) * 2005-04-19 2006-11-02 Casio Comput Co Ltd 決裁者決定装置及び決裁者決定プログラム
JP2007129547A (ja) * 2005-11-04 2007-05-24 Hitachi Ltd 情報処理装置、インシデント対応装置の制御方法、及びプログラム
JP2008283686A (ja) * 2007-05-09 2008-11-20 Symantec Corp ドライブバイ・ファーミングに対するリファラーチェックを介したクライアント側の保護
WO2012164400A2 (en) * 2011-05-27 2012-12-06 Alcatel Lucent Method and system for implementing third-party authentication based on gray list

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20040210479A1 (en) * 1996-10-25 2004-10-21 Ipf, Inc. Internet-based brand marketing communication instrumentation network for deploying, installing and remotely programming brand-building server-side driven multi-mode virtual kiosks on the World Wide Web (WWW), and methods of brand marketing communication between brand marketers and consumers using the same
US7664845B2 (en) * 2002-01-15 2010-02-16 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7523086B1 (en) * 2003-01-28 2009-04-21 Unisys Corporation System for retrieving and processing stability data from within a secure environment
US20040255167A1 (en) * 2003-04-28 2004-12-16 Knight James Michael Method and system for remote network security management
US20060256730A1 (en) * 2005-05-12 2006-11-16 Compton Richard A Intelligent quarantine device
US7870125B1 (en) * 2005-12-27 2011-01-11 Charter Communications Holding Company Integrated media content server system and method for the customization of metadata that is associated therewith
US20070156829A1 (en) * 2006-01-05 2007-07-05 Scott Deboy Messaging system with secure access
US7849507B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for filtering server responses
CN101414997B (zh) * 2007-10-15 2013-06-12 北京瑞星信息技术有限公司 阻止恶意程序访问网络的方法和装置
KR20090038683A (ko) * 2007-10-16 2009-04-21 한국전자통신연구원 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법
US8627060B2 (en) * 2008-04-30 2014-01-07 Viasat, Inc. Trusted network interface
NL2002694C2 (en) * 2009-04-01 2010-10-04 Univ Twente Method and system for alert classification in a computer network.
US20110191581A1 (en) * 2009-08-27 2011-08-04 Telcordia Technologies, Inc. Method and system for use in managing vehicle digital certificates
US20110289432A1 (en) * 2010-05-21 2011-11-24 Lucas Keith V Community-Based Moderator System for Online Content
US8539545B2 (en) * 2010-07-22 2013-09-17 Juniper Networks, Inc. Domain-based security policies
CN102572837A (zh) * 2010-12-22 2012-07-11 中国移动通信集团江苏有限公司 访问网络的控制方法和装置
US8645484B2 (en) * 2011-08-02 2014-02-04 Google Inc. Messaging service using different text messaging channels
CN102916983B (zh) * 2012-11-22 2015-08-05 北京奇虎科技有限公司 网络访问行为的防护系统
US8893230B2 (en) * 2013-02-22 2014-11-18 Duo Security, Inc. System and method for proxying federated authentication protocols

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004178144A (ja) * 2002-11-26 2004-06-24 Canon Software Inc ワークフローサーバおよびワークフローシステムの制御方法およびプログラムおよび記録媒体
JP2005064280A (ja) * 2003-08-14 2005-03-10 Shin Etsu Polymer Co Ltd 電磁波シールド体及びその製造方法
JP2006301848A (ja) * 2005-04-19 2006-11-02 Casio Comput Co Ltd 決裁者決定装置及び決裁者決定プログラム
JP2007129547A (ja) * 2005-11-04 2007-05-24 Hitachi Ltd 情報処理装置、インシデント対応装置の制御方法、及びプログラム
JP2008283686A (ja) * 2007-05-09 2008-11-20 Symantec Corp ドライブバイ・ファーミングに対するリファラーチェックを介したクライアント側の保護
WO2012164400A2 (en) * 2011-05-27 2012-12-06 Alcatel Lucent Method and system for implementing third-party authentication based on gray list

Also Published As

Publication number Publication date
GB201601510D0 (en) 2016-03-09
US20160366098A1 (en) 2016-12-15
CA2919699A1 (en) 2015-02-19
US9450970B2 (en) 2016-09-20
GB2532373A (en) 2016-05-18
US10084749B2 (en) 2018-09-25
MX2016001916A (es) 2016-04-19
WO2015023584A1 (en) 2015-02-19
CN105518663B (zh) 2019-03-01
US20150047008A1 (en) 2015-02-12
MX354401B (es) 2018-02-15
CN105518663A (zh) 2016-04-20

Similar Documents

Publication Publication Date Title
US11503043B2 (en) System and method for providing an in-line and sniffer mode network based identity centric firewall
US10158675B2 (en) Identity security and containment based on detected threat events
US9467475B2 (en) Secure mobile framework
US8266672B2 (en) Method and system for network identification via DNS
BR112020022500A2 (pt) detectar comprometimento de credencial em um recurso em nuvem
CN101227468B (zh) 用于认证用户到网络的方法、设备和系统
US20140281539A1 (en) Secure Mobile Framework With Operating System Integrity Checking
US20070157311A1 (en) Security modeling and the application life cycle
US9009534B2 (en) Runtime configuration checks for composite applications
US10637864B2 (en) Creation of fictitious identities to obfuscate hacking of internal networks
WO2015187716A1 (en) Secure mobile framework with operating system integrity checking
US10848491B2 (en) Automatically detecting a violation in a privileged access session
US9432357B2 (en) Computer network security management system and method
US10084749B2 (en) Automatic blocking of bad actors across a network
KR102486480B1 (ko) Vpn 접속을 처리하기 위한 방법, 장치, 시스템 및 컴퓨터 판독가능 저장매체
US11675920B2 (en) Call location based access control of query to database
CN113194088A (zh) 访问拦截方法、装置、日志服务器和计算机可读存储介质
US20230082633A1 (en) Systems and methods for rapid password compromise evalution
WO2016192765A1 (en) Authentication and authorization based on credentials and ticket

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20170707

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20180424

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20180424

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180706

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180717

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20180921

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20181023