JP2017505942A - インテリジェントファイアウォールアクセスルール - Google Patents
インテリジェントファイアウォールアクセスルール Download PDFInfo
- Publication number
- JP2017505942A JP2017505942A JP2016540033A JP2016540033A JP2017505942A JP 2017505942 A JP2017505942 A JP 2017505942A JP 2016540033 A JP2016540033 A JP 2016540033A JP 2016540033 A JP2016540033 A JP 2016540033A JP 2017505942 A JP2017505942 A JP 2017505942A
- Authority
- JP
- Japan
- Prior art keywords
- real
- dynamic object
- data
- firewall
- network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 claims description 27
- 238000011156 evaluation Methods 0.000 claims description 15
- 230000015654 memory Effects 0.000 claims description 13
- 238000013480 data collection Methods 0.000 claims description 7
- 230000004044 response Effects 0.000 claims description 5
- 230000009471 action Effects 0.000 claims description 3
- 230000001360 synchronised effect Effects 0.000 abstract description 4
- 238000012545 processing Methods 0.000 description 32
- 238000010586 diagram Methods 0.000 description 17
- 238000004891 communication Methods 0.000 description 6
- 238000005516 engineering process Methods 0.000 description 5
- 230000002155 anti-virotic effect Effects 0.000 description 4
- 230000008569 process Effects 0.000 description 4
- 230000006870 function Effects 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 3
- 230000005540 biological transmission Effects 0.000 description 2
- 230000000903 blocking effect Effects 0.000 description 2
- 230000001413 cellular effect Effects 0.000 description 2
- 230000000737 periodic effect Effects 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 230000008859 change Effects 0.000 description 1
- 230000008878 coupling Effects 0.000 description 1
- 238000010168 coupling process Methods 0.000 description 1
- 238000005859 coupling reaction Methods 0.000 description 1
- 238000013500 data storage Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 238000001228 spectrum Methods 0.000 description 1
- 230000003068 static effect Effects 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/28—Databases characterised by their database models, e.g. relational or object models
- G06F16/282—Hierarchical databases, e.g. IMS, LDAP data stores or Lotus Notes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/06—Generation of reports
- H04L43/062—Generation of reports related to network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/12—Network monitoring probes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1095—Replication or mirroring of data, e.g. scheduling or transport for data synchronisation between network nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computing Systems (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Mining & Analysis (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
ファイアウォールは、ファイアウォールルールにおけるダイナミックオブジェクトの利用を可能にすることによって改良されたネットワークセキュリティを提供し、ここで、ダイナミックオブジェクトは可変的なデバイスセットを評価する。ダイナミックオブジェクトは、リアルタイムデータソース及び非リアルタイムインベントリのデータから更新されてもよい。ダイナミックオブジェクトは、ファイアウォールルールにおけるソース及びデスティネーションの何れか又は双方について利用されてもよい。ダイナミックオブジェクトが非リアルタイムデータを含む場合、ダイナミックオブジェクトは、設定可能ベースにより非リアルタイムデータインベントリと同期されてもよい。ダイナミックオブジェクトを利用することによって、ファイアウォールは、ユーザに所有及び制御されたデバイスに対する制御を可能にするためのルールにおけるフレキシビリティを提供可能である。
Description
ここに説明される実施例は、一般にネットワークセキュリティに関し、特に“bring−your−own−device”環境におけるインテリジェントファイアウォールアクセスルールに関する。
従業員は、雇用タスクを実行する際に会社から提供されたデバイスにますます制限されない。ますます多くの従業員が、スマートフォン及びタブレットなどのパーソナルモバイルデバイスを職場に持ち込むと共に、それらをオフィスに接続するために遠隔地において利用するに従って、従来のファイアウォールは、これらのデバイスの企業リソースへのアクセスを制御するためのルールを定義できないことにより苦労してきた。
Bring Your Own Device(BYOD)(Bring Your Own Technology(BYOD)Bring Your Own Phone(BYOP)及びBring Your Own PC(BYOPC)とも呼ばれる)は、従業員が個人的に所有するモバイルデバイス(ラップトップ、タブレット及びスマートフォン)を自分の職場に持ち込み、これらのデバイスを用いて特別に許可された会社情報及びアプリケーションにアクセスすることを許可するポリシーを言う。
あるソースによると、会社のポリシーがBYODを明示的に許可しているか否かに関わらず、ブラジルやロシアなどの高成長市場では約75%の従業員と先進国では44%がすでに職場で自らの技術を利用することによって、BYODは、ビジネスの世界にかなり進出している。一部の者は、BYODが従業員をより生産的にすることに役立ちうると信じている。他の者は、それが自らのデバイスを利用することによって従業員のモラル及び利便性を増加させ、会社をフレキシブルで魅力的な経営者のように見せると言う。ある会社は、BYODは新たな雇用を引き付けるための手段でさえなりうると感じ、それが彼らのデバイスをサポートする場合、求職者の44%が組織をより肯定的に見ることを示す調査結果を示す。
従来のファイアウォールアクセスルール又はポリシーは、“ネットワークYへのIPアドレスXを許可する”及び“ユーザXがインターネットにアクセスすることを拒絶する”などの1次元のアクセスルールに依拠していた。このようなアクセスルールは、BYOD環境では不十分である。
以下の説明では、説明の目的のため、多数の具体的な詳細が発明の完全な理解を提供するため与えられる。しかしながら、本発明がこれらの具体的な詳細なしに実施可能であることは、当業者に明らかであろう。他の例では、本発明を不明瞭にすることを回避するため、構成及びデバイスはブロック図形式で示される。サブスクリプト又はサフィックスなどの数字の参照は、参照された数字に対応する全てのサブスクリプト及びサフィックスのインスタンスを参照することが理解される。さらに、本開示において用いられる言語は、可読性及び教育目的のため主として選択されており、発明の主題を説明又は画定するため選択されたものでなく、このような発明の主題を決定するには請求項に依拠する必要がある。明細書における“一実施例”又は“実施例”という表現は、実施例に関して説明される特定の特徴、構成又は特性が本発明の少なくとも1つの実施例に含まれることを意味し、“一実施例”又は“実施例”という複数の表現は、必ずしも全てが同一の実施例を参照すると理解されるべきでない。
ここで用いられるように、“コンピュータシステム”という用語は、コンピュータシステム上で又はよって実行されるとして説明される機能を実行する単一のコンピュータ又は一緒に作業する複数のコンピュータを言うことができる。同様に、“プログラマブルデバイス”という用語は、プログラマブルデバイス上で又はよって実行されるとして説明される機能を実行する単一のコンピュータ又は一緒に作業する複数のコンピュータを言うことができ、“機械可読媒体”という用語は、機械可読媒体に記憶されるとして説明される物質を記憶する単一の物理的機械可読媒体又は一緒に記憶する複数の物理的機械可読媒体を言うことができる。
BYOD環境は、重要なセキュリティ問題を提供してきた。これらの問題のいくつかは、BYOD環境に固有のものでない。例えば、会社又は従業員が所有するラップトップなどのデバイスが企業データにアクセスするのに利用され、企業データがデバイスに残って、以降に消失又は盗難されたとき、データ違反が発生しうる。BYOD環境では、会社を離れた従業員は、自分のパーソナルデバイスを会社に返す必要はなく、これらのデバイス上のデータの漏洩が生じうる。しかしながら、さらに、何れのデバイスが企業リソースをセキュアにするためにアクセスが許可されるべきかを制御することは、従来のファイアウォールポリシーによって処理することは大変困難であった。
以下に開示されるように、BYODアクセス制御は、ファイアウォールポリシーにおける多次元アクセスルールを介し対処される。例えば、情報技術(IT)管理者は、以下のファイアウォールアクセスルールを介し制御を課すことができる。
・特定のセキュリティソフトウェア(例えば、McAfee(登録商標)、Endpoint Security)を実行するサポートされたモバイルデバイスがネットワークにアクセスすることを許可する(MCAFEEは、McAfee,Incの登録商標である)。
・ヒューマンリソース(HR)ユーザは、Android(登録商標)デバイスを利用することが許可されていない(ANDROIDは、Google,Inc.の登録商標である)。
・スマートフォンは、ピア・ツー・ピア(P2P)アプリケーションを利用することが許可されていない。
・スマートフォン/タブレットは、有線ネットワークからのアクセスが許可されていない(例えば、誰かがホットスポットとして自分のラップトップを利用しようとすることを禁止する)。
・アクティブディレクトリ(登録商標)(AD)ドメインの一部であり、企業により承認されたエンドポイントプロテクションを実行しているマシーンのみが企業リソースにアクセスすることを許可する(ACTIVE DIRECTORYは、Microsoft Corporationの登録商標である)。
・特定のセキュリティソフトウェア(例えば、McAfee(登録商標)、Endpoint Security)を実行するサポートされたモバイルデバイスがネットワークにアクセスすることを許可する(MCAFEEは、McAfee,Incの登録商標である)。
・ヒューマンリソース(HR)ユーザは、Android(登録商標)デバイスを利用することが許可されていない(ANDROIDは、Google,Inc.の登録商標である)。
・スマートフォンは、ピア・ツー・ピア(P2P)アプリケーションを利用することが許可されていない。
・スマートフォン/タブレットは、有線ネットワークからのアクセスが許可されていない(例えば、誰かがホットスポットとして自分のラップトップを利用しようとすることを禁止する)。
・アクティブディレクトリ(登録商標)(AD)ドメインの一部であり、企業により承認されたエンドポイントプロテクションを実行しているマシーンのみが企業リソースにアクセスすることを許可する(ACTIVE DIRECTORYは、Microsoft Corporationの登録商標である)。
後述されるような多次元アクセスルールを許可することによって、BYODアクセスは、企業ファイアウォールに配置された信頼されたルールから管理可能である。
従来のファイアウォールルールは主として1次元であり、典型的には図1のルールセット100に示されるような要素に関する。当該従来技術の図に示されるような画くルールは、ルール属性(110)、ソースインジケータ(120)、デスティネーションインジケータ(130)、アプリケーション(140)、時間(150)、方向(160)及びレスポンス(170)を有する。それぞれの具体値が行180に示される。従って、ソースインジケータ120は、IPバージョン4又はIPバージョン6フォーマットの何れかのインターネットプロトコル(IP)アドレス、ネットワーク、グループ、ユーザ及びグループ、ドメイン名、国などを特定してもよい。同様に、デスティネーションインジケータ130は、IPアドレス、ネットワーク、ドメイン名、国、評判などを特定してもよい。アプリケーション140は、ピア・ツー・ピア(P2P)チャット又はファイルトランスファプロトコル(FTP)などの特定のアプリケーション(例えば、Skype、Facebook)又はアプリケーションタイプを特定してもよい。時間150は、平日、週末、常時、又はカスタム期間など、当該ルールが適用可能な時間を示すものであってもよい。方向160は、ルールが入力又は出力パケット又は双方に適用されるか示すものであってもよい。レスポンス170は、トラフィックの許可、トラフィックのブロック、インタフェースのリセット、トラフィックのレート制限、トラフィックの隔離又はパケットのキャプチャなど、ルールを充足する効果を示すものであってもよい。
従って、例えば、ルール102〜108が確立可能である。ルール102は、24ビットサブネットマスクによるIPv4アドレスを示すIPアドレスのソース10.20.30.0/24、データセンタにおける何れかの場所のデスティネーション、全てのアプリケーションに関すること、任意の日時による双方向のネットワークトラフィックを許可する。ルール104は、ユーザのソース“John D”、平日に行われるインターネットのデスティネーションによる出力チャットトラフィックに適用される。当該トラフィックは許可されるが、レート制限される。ルール106は、アプリケーション及びトラフィックの方向に関わらず、制限ゾーンにおけるソース及びインターネットのデスティネーションによる仕事時間中のトラフィックをブロックする。また、一例となるルール108は、インターネットのソース及びDMZのデスティネーションによる入力FTPトラフィックを常時ブロックする。
従来のファイアウォールルールでは、IPの属性、ユーザ、ドメイン名、位置、評判などが組み込まれる。図1に示されるような従来のルールにおけるコンテクストベースの限定が、エンドポイントセキュリティがインストールされた全てのMicrosoft Windows(登録商標)2008サーバ、又はAndroid3.0又は下位のオペレーティングシステムを実行する全てのモバイルデバイスなどに適用されることができない(WINDOWSは、Microsoft Corporationの登録商標である)。
BYOD及びカスタム化は、労働者が自分のパーソナルデバイスを使用することを可能にし、作業効率を改善することに役立つため、人気のあるトレンドである。従って、ファイアウォール管理者は、デバイス及びユーザに関連する豊富なコンテクスト情報を記載したアクセスポリシーを作成、監視及び実施することが可能であることを望む。
図2は、従来のソース及びデスティネーション属性に加えて、ルールセット200の行210に示されるように、コンテクストベースのダイナミックオブジェクトを含むようソース及びデスティネーション属性を拡張した一実施例によるルールセットを示すテーブルである。従って、例えば、ルール202は、エンドポイントセキュリティソフトウェアがインストールされていない何れかのモバイルデバイスに適用され、アプリケーション、時間又は方向に関わらずデータセンタとの通信をブロックする。ルール204は、Xオペレーティングシステムを実行する人事部において利用される平日のインターネットへの全ての外部アクセスをブロックする。ルール206は、Xオペレーティングシステムを実行するスマートフォンにより仕事時間中の何れかのP2Pアプリケーションによるインターネットへのアクセスをブロックする。ルール208は、アクティブディレクトリの一部であり、アプリケーションに関わらず常時DMZにアクセスするためのアンチウイルスプログラムを実行しているMicrosoft Windowsを実行している何れかのデバイスを許可する。アクティブディレクトリは、WindowsドメインネットワークのためMicrosoftにより実現されるディレクトリサービスである。それは大部分のWindows Serverオペレーティングシステムに含まれる。他のディレクトリサービス又は他のタイプの非リアルタイムデータのソースがルールに指定されてもよい。これらのルールは例示的であり、単なる具体例であり、他のダイナミックオブジェクトが所望されるようなルールセットに実現及び指定可能であり、他のルール属性が所望されるように利用されてもよい。
いくつかの実施例では、ルールセットにおいて利用されるダイナミックオブジェクトは、McAfee Network Security Sensorなど、ネットワークセグメント上のトラフィックを解析する機器によってリアルタイムに作成されてもよい。他の実施例では、ダイナミックオブジェクトは、非リアルタイムデータソースによって維持されるデータと同期されてもよい。ルールセットにおけるダイナミックオブジェクトは、オブジェクトがどのように作成及び維持されるか定義し、BYOD制御のためのフレキシビリティを提供する際、ファイアウォール管理者にフレキシビリティを提供する。ダイナミックオブジェクトは、従来のルールセットと同様に所定のデバイスの静的なセットの代わりに、ダイナミックオブジェクトに対応する可変的なデバイスセットを定義する。
それらがダイナミックオブジェクトであるため、ルールセットに投入されるべき条件を単に定義することは十分でない。ダイナミックオブジェクトは作成され、意味が与えられる必要がある。各種実施例では、ファイアウォール管理者は、ダイナミックオブジェクトを構築するため、各種データソース及び条件を設定してもよい。図3は、ダイナミックオブジェクトを作成する方法を示すブロック図である。
図3において、ブロック310におけるダイナミックオブジェクトの作成は、リアルタイムラーニング(320)及び非リアルタイムデータインベントリ(330)の2つのタイプのソースの一方又は双方からのダイナミックオブジェクトのデータの取得に依存する。リアルタイムラーニング(320)は、ダイナミックオブジェクトをリアルタイムに投入するためにデータをアクティブ又はパッシブに収集することに関する。このようなリアルタイムラーニングは、典型的には、ネットワークセグメント上のトラフィックを解析する機器など、データを取得するハードウェア及びソフトウェアモニタの1つ以上を介し取得される。当該モニタリングは、以下でより詳細に説明されるように、ネットワークフローフィンガープリントを収集するパッシブ(340)であるか、又は有用なデータをアクティブに収集するエンドポイントインテリジェントエージェントによるデータの取得などのアクティブ(350)なものであってもよい。ダイナミックオブジェクトは、作成されると、リアルタイムラーニングが行われるとき、リアルタイムに自動的に更新される。
非リアルタイムデータインベントリ(330)のデータは、ファイアウォールルール作成処理の制御の外部にあってもよいソースから取得されたデータである。典型的な実施例では、当該データはファイアウォールルールの作成以外の理由のため取得され、ダイナミックオブジェクト作成処理によりアクセス可能なデータレポジトリに記憶される。非リアルタイムデータソースは、ファイアウォールを実行する企業により制御されてもよいし、又は所望されるように第三者により制御されてもよい。当該データはダイナミックオブジェクト作成処理の外部で収集及び記憶されるため、ダイナミックオブジェクトを作成及び投入するのに利用されるデータは、周期的などスケジュールベースで抽出されてもよい。ダイナミックオブジェクトが作成されると、非リアルタイムデータインベントリは、非リアルタイムデータインベントリに再アクセスし、非リアルタイムデータインベントリにおける変更に基づき必要に応じてダイナミックオブジェクトを更新することによって、ダイナミックオブジェクトと同期される。非リアルタイムデータインベントリは、テキストファイル360、データベース370、アプリケーションプログラミングインタフェース(API)380又はスクリプト390を含む、何れか所望のタイプのデータソースに依存してもよい。ダイナミックオブジェクトと非リアルタイムデータインベントリとを同期させると、非リアルタイムデータインベントリは所望のデータについてアクセス又はクエリされ、その後、ダイナミックオブジェクト310を投入するため返されてもよい。
例えば、図2の一例となるルール202におけるダイナミックオブジェクトである“mobile_devices_with_security”などのダイナミックオブジェクトを考える。各種実施例は、ファイアウォール管理者により設定されたダイナミックオブジェクトが、図4のブロック図に示されるように投入することを可能にするものであってもよい。
本例では、ダイナミックオブジェクト410“mobile_devices_with_security”は、条件420〜440の組み合わせとして設定されてもよい。条件420において、リアルタイムラーニングが、モバイルデバイスのシグネチャに対応するパターンにデバイスが一致することを発見するのに利用されてもよい。これらのパターンは、ダイナミックオブジェクト作成ソフトウェアに組み込まれてもよいし、又はユーザにより定義されてもよい。本例では、条件はTransmission Control Protocol(TCP)、Dynamic Host Configuration Protocol(DHCP)又はHypertext Transfer Protocol(HTTP)ユーザエージェントネットワークトラフィックのパッシブフィンガープリント処理を利用し、モバイルデバイスに対応するパケットデータを検索することによってテストされてもよい。当該パッシブフィンガープリント処理データソースのリストは例示的であって、単なる一例であり、他のパッシブデータソース及びタイプのネットワークトラフィックが、アクティブに取得されたデータに加えて利用されてもよい。
第2の条件430は、デバイスがセキュリティベンダマネージャサーバとセキュア通信していることを検証するシグネチャに対応するパターンとネットワークトラフィックが一致しているか判定する。第3の条件440は、デバイスのIPアドレスがセキュアに管理されているモバイルデバイスのIPアドレス範囲内にあるか判定する。条件420と条件430又は440の何れかとが充足される場合、モバイルデバイスはセキュリティを備えたモバイルデバイスであるとみなされ、ダイナミックオブジェクトは当該デバイスに対応する情報により投入される。
図4に示されるように、条件440は他のダイナミックオブジェクト、本例では、非リアルタイムデータインベントリオブジェクトである“all_managed_mobile_devices”ネットワークオブジェクト450に依存してもよい。従って、条件440はまた非リアルタイムデータインベントリオブジェクトである。いくつかの実施例では、ダイナミックオブジェクトは任意のダイナミックオブジェクトの階層に基づき定義されてもよいが、階層内の何れかのオブジェクトが非リアルタイムデータインベントリオブジェクトである場合、ダイナミックオブジェクトはまた非リアルタイムデータインベントリオブジェクトとみなされる。
図4に示されるように、“all_managed_mobile_devices”ネットワークオブジェクト450は、モバイルデバイスに対応するため知られているIPアドレス範囲に関する情報を提供する。ブロック460において、ネットワークオブジェクト450は、IPアドレスA.B.C.DのポートXYZにおけるデータベースと名付けられたmobile_IP_addressからのネットワークオブジェクトを投入するための命令を有する。ネットワークオブジェクト450は、120分毎にリモートデータベースと同期するよう定義される。同期の間のmobile_IP_addressデータベースにおいて行われる変更は、次の同期イベントまでダイナミックオブジェクトに反映されない。
図5は、ダイナミックオブジェクトコンフィギュレーションの他の例を示す図であり、本ケースでは、ダイナミックオブジェクト510はアクティブディレクトリの一部である全てのMicrosoft Windowsデバイスを参照し、図2のルール208において利用されるようなアンチウイルスプログラムを実行する。2つの条件がダイナミックオブジェクト510を定義するため利用される。条件520は、アクティブディレクトリユーザの非リアルタイムIPアドレスリストを利用し、デバイスがアクティブディレクトリの一部であるWindowsマシーンであるか判断するため、現在のデバイスのIPアドレスとIPアドレスリストとをマッチングする。条件530は、デバイスがアンチウイルスソフトウェアを実行しているか示すエンドポイントインテリジェンスエージェントソフトウェアを実行するエンドポイントからリアルタイム情報を受信することに依存するリアルタイムラーニング条件である。条件520と530との双方が充足されている場合、現在デバイスはルールセットにおけるダイナミックオブジェクト510に一致する。
図6は、一実施例によるダイナミックオブジェクトを利用するネットワークセキュリティシステムを示すブロック図である。ネットワークセキュリティマネージャ610は、図2に示されるようなルールセットに基づきファイアウォールサービスを提供する。上述されたようなリアルタイムラーニング条件を利用するダイナミックオブジェクトは、ネットワークセキュリティマネージャ610のファイアウォール機能によって利用される。ネットワークセキュリティマネージャ610は、所望されるような他のネットワークセキュリティサービスを提供してもよい。
ネットワークセキュリティセンサ620A,Bはそれぞれ、ネットワーク622A及び622B上のネットワークトラフィックをモニタリングする。BYODデバイス630(Microsoft Windowsデバイス)、640(Linux(登録商標)デバイス)、650(サーバ)及び660(モバイルデバイス)はネットワーク622Aに接続される(LINUXは、Linus Torvaldsの登録商標である)。ネットワークセキュリティセンサ620Aは、ネットワークセキュリティマネージャ610により利用されるルールセットにより利用されるダイナミックオブジェクトのリアルタイムデータを提供するため、ネットワークトラフィックフローデータをキャプチャしてもよい。さらに、Windowsデバイス630は、デバイス630からのアクティブ又はパッシブデータ収集を提供するエージェントソフトウェアをインストールしたものであってもよく、ネットワークセキュリティマネージャ610により利用されるダイナミックオブジェクトを投入するのに利用するため、当該データをリアルタイムにネットワークセキュリティセンサ620Aにわたす。
非リアルタイムデータソースがまた、図6に示されるネットワークセキュリティマネージャ610に利用可能である。これらはアクティブディレクトリ690のためのログオンコレクタ、エンドポイント680のためのモバイルセキュリティマネージャ及び他のネットワークインベントリデータソース670を有してもよい。ネットワークセキュリティマネージャ610は、ネットワークセキュリティマネージャ610のルールセットにより利用されるダイナミックオブジェクトを投入するため、これらの非リアルタイムデータソースから非リアルタイムデータをクエリ又は取得してもよい。何れか所望の通信技術が、ネットワークセキュリティマネージャ610と非リアルタイムデータソース670〜690との間で利用されてもよい。ネットワークセキュリティマネージャ610は、設定可能な周期ベースなどのスケジューリングベースでそれのダイナミックオブジェクトを非リアルタイムデータソース670〜690と同期してもよいし、又は所望されるような非スケジューリングイベントドリブンベースで同期を実行してもよい。
図7は、ダイナミックオブジェクトを用いてファイアウォールルールセットを実現するネットワークセキュリティマネージャ610の一例となるユーザインタフェース700を示す。ファイアウォール管理者ユーザは、ソース又はデスティネーション属性の何れか(又は双方)としてダイナミックオブジェクトを利用可能なルールセットにおけるルールを有効又は無効にしてもよい。本例では、ユーザは、ソース属性がダイナミックオブジェクト710であるルールを定義し、それはMcAfee Antivirusを実行していないスマートフォン及びタブレットに適用されることを指示する。デスティネーション720はデータセンタにおける何れかのデバイスを示し、アプリケーション730は何れかのアプリケーションを示し、レスポンス740は、ルールが充足される場合、ネットワークトラフィックがブロックされることを示す。
ネットワークセキュリティマネージャ610がデバイス、ユーザ及びコンテクストに関するインテリジェンスを有することによって、従来のファイアウォールルールセットにおいて作成できないダイナミックオブジェクトを利用する多数のタイプのルールが作成可能である。例えば、特定のセキュリティソフトウェアを実行するIOSデバイスのみがネットワークにアクセスすることが許可されてもよい。スマートフォン又はタブレットは、有線ネットワーク上では禁止され、自分のモバイルデバイスをホットスポットとして利用しようとする者をストップする。企業セキュリティポリシーは、企業リソース又はネットワークへの適切なセキュリティ保護アクセスを備えたマシーンのみを許可することによって、BYODデバイス上で実施されてもよい。これらは、ファイアウォールのルールセットにおいて利用可能なダイナミックコンテクストアウェアオブジェクトにより提供されるエンハンスされた能力の単なる具体例である。
図7に示されるユーザインタフェースはまた、ファイアウォール管理者が、同期を設定することを可能にすることに加えて、非リアルタイムデータインベントリと同期されるダイナミックオブジェクトの同期状態を閲覧することを可能にするものであってもよい。同期は、好ましくは、ダイナミックオブジェクト単位で設定可能であり、ログファイル又は他の技術は、非リアルタイムデータインベントリデータソースと交換されるデータを示すと共に、何れかの同期失敗を含む同期状態に関する情報を提供するため利用されてもよい。
図8は、ルール評価におけるダイナミックオブジェクトの利用を示すフローチャートである。ルールが複数のダイナミックオブジェクトを利用する場合、当該技術は所望されるようにパラレル又はシーケンスに各ダイナミックオブジェクトについて実行されてもよい。ブロック810において、ルールにより利用されるダイナミックオブジェクトが評価される。ブロック820において、ダイナミックオブジェクトがリアルタイムデータソースからそれのデータを取得したものである場合、ブロック830において、リアルタイムデータがデータソースから抽出され、ブロック840において、ダイナミックオブジェクトには、ダイナミックオブジェクトに対応するデバイスを特定するリアルタイムデータが投入される。何れか所望の技術が、リスト及びルックアップテーブルを含むダイナミックオブジェクトを投入したデータを記憶するのに利用されてもよい。例えば、評価時、ダイナミックオブジェクトは、当該ダイナミックオブジェクトに一致するネットワークに現在あるデバイスのIPアドレスのリストをもたらす。他の実施例では、ダイナミックオブジェクトが評価される際にリアルタイムデータソースからデータを抽出する代わりに、リアルタイムデータソースは、ネットワークセンサ620A,Bがダイナミックオブジェクトに関連する変更を検出するといつでも、ダイナミックオブジェクトを更新するためのデータをネットワークセキュリティマネージャ610に送信してもよい。従って、いくつかの実施例では、ネットワークセンサ620A,Bは、ネットワークセキュリティマネージャ610により管理されるダイナミックオブジェクトを意識してもよく、他の実施例では、ネットワークセンサは、ネットワークセキュリティマネージャ610からのデータに対するリアルタイムリクエストに応答可能であるだけでよい。
ダイナミックオブジェクトがリアルタイムオブジェクトでない場合、又はリアルタイム更新の完了後、ブロック850において、ルールが投入されたダイナミックオブジェクトを用いて評価される。ルールがブロック860において決定されたようなファイアウォールにより考慮されるネットワークトラフィックに適用される場合、ブロック870において、トラフィックをブロックしたり、トラフィックを許可するなどのルールアクションが実行される。
図9は、ダイナミックオブジェクトと非リアルタイムデータインベントリデータソースとの同期を示すフローチャートである。ブロック910において、周期的時間の経過や設定されたイベントの発生など、設定された同期時間が発生した場合、ブロック920において、更新データがダイナミックオブジェクトコンフィギュレーションにおいて特定される非リアルタイムデータインベントリから要求されてもよい。更新データに対するリクエストとして説明されるが、他の実施例では、リクエストが非リアルタイムデータインベントリに対してなされる代わりに、非リアルタイムデータインベントリがデータ伝送を開始してもよい。
ブロック930において、更新データが非リアルタイムデータインベントリから取得されると、リアルタイムダイナミックオブジェクトが上述されるように更新される方法と同様に、更新データがダイナミックオブジェクトを投入するため利用される。一実施例では、ダイナミックオブジェクトに投入されるデータは、ダイナミックオブジェクトがリアルタイムに又は非リアルタイムデータインベントリと同期することによって更新されるか否かに関わらず、同様に記憶される。
投入されたデータオブジェクトは、その後、次の同時時間又はイベントまで同じままであるデータと共にルール評価のために利用されてもよい。
図10は、一実施例による上述されたダイナミックオブジェクトルール技術を実現するファイアウォール1000の要素を示すブロック図である。ファイアウォールは、専用機器デバイスとして実現されてもよいし、又は他のネットワークセキュリティ処理を実行するより広範なネットワークセキュリティマネージャデバイスの要素として実現されてもよい。上記の開示に具体的に関連するファイアウォールの要素のみが図10に示され、当業者は他のファイアウォール要素があってもよいことを理解するであろう。
ネットワークインタフェース1010は、それが保護するネットワークにファイアウォールのためのネットワーク接続性を提供する。複数のネットワークインタフェース1010が所望されるように備えられてもよい。いくつかの実施例では、ファイアウォールはネットワークトラフィックをモニタリングするための1つのネットワークインタフェース1010を利用してもよく、異なるネットワークインタフェースが、ダイナミックオブジェクトを投入するのに利用される非リアルタイムデータを収集するため、非リアルタイムデータインベントリデバイスにアクセスするため利用されてもよい。他の実施例では、同じネットワークインタフェースが双方について利用されてもよい。同様に、ファイアウォールは、ネットワークトラフィックをモニタリングするための1つのネットワークインタフェース1010と、ダイナミックオブジェクトを投入するのに利用されるリアルタイムデータを収集するための異なるネットワークインタフェースとを利用してもよい。
ルールエンジン1020は、何れのトラフィックがファイアウォール1000によってブロック、許可などされるか制御するファイアウォールルールを評価するためのサポートを提供する。一実施例におけるルールエンジン1020は、ファイアウォールルールを評価するルール評価モジュール1021、ルール評価モジュール1021により利用するためダイナミックオブジェクトを評価するよう構成されるダイナミックオブジェクトを評価するダイナミックオブジェクト評価手段1022、ダイナミックオブジェクトを投入するのに利用されるリアルタイムデータを取得するリアルタイムデータを取得するリアルタイムデータ収集手段1023、非リアルタイムデータインベントリソースと同期する非リアルタイムデータ収集手段1024、及びリアルタイムデータ、ダイナミックオブジェクトを作成し、非リアルタイムデータ又は双方と共に投入するダイナミックオブジェクト作成モジュール1025を有する。
ルールデータストア1030は、ルールデータを記憶するのに利用されてもよい。ダイナミックオブジェクトデータを含むルールデータを記憶するための何れか所望の方法が利用されてもよい。ルールデータストア1030は、何れか所望の方式で編成されてもよい。ダイナミックオブジェクト作成モジュールは、ファイアウォールルールと利用するため、ルールデータストア1030にダイナミックオブジェクトを記憶してもよい。
ユーザインタフェース1040は、ダイナミックオブジェクトを含むファイアウォールルールを作成及び編集するため備えられてもよい。このため、ダイナミックオブジェクト定義手段1042が、ルール評価時においてダイナミックオブジェクトに一致するよう充足される必要がある条件を含む、ダイナミックオブジェクトを定義するため備えられてもよい。
ルールエンジン1020及びユーザインタフェース1040は、ハードウェア、ファームウェア、ソフトウェア又はこれらの何れかの組み合わせにより実現されてもよい。
図11を参照して、上述された技術が実現可能な一例となるインフラストラクチャ1100が概略的に示される。インフラストラクチャ1100は、上述されたようなダイナミックオブジェクトによるルールセットをファイアウォールが利用することによって保護可能なコンピュータネットワーク1102を含む。コンピュータネットワーク1102は、インターネット、企業ネットワーク又はローカル・エリア・ネットワーク(LAN)など、今日利用可能な多数の異なるタイプのコンピュータネットワークを含むものであってもよい。これらのネットワークのそれぞれは、有線又は無線プログラマブルデバイスを含み、何れかの数のネットワークプロトコル(例えば、TCP/IP)を利用して実行可能である。ネットワーク1102は、ゲートウェイ及びルータ(1108により表される)、エンドユーザコンピュータ1106及びコンピュータサーバ1104に接続されてもよい。インフラストラクチャ1100はまた、モバイル通信デバイスによる利用のためセルラネットワーク1103を有する。モバイルセルラネットワークは、携帯電話及び多数の他のタイプのデバイスをサポートする。インフラストラクチャ1100におけるモバイルデバイスは、携帯電話1110、ラップトップ112及びタブレット1114として示される。典型的には、BYODデバイスは携帯電話1110、ラップトップ112及びタブレット1114などのモバイルデバイスであるが、図11に示されるデバイスの何れかはBYODデバイスであってもよい。ファイアウォール1120は、コンピュータネットワークとのアクセスを保護する。
図12を参照して、ブロック図は、一実施例による上述された汎用的なアンパッキング技術を利用するプログラマブルデバイス1200を示す。図12に示されるプログラマブルデバイスは、第1の処理要素1270及び第2の処理要素1280を有するマルチプロセッサプログラマブルデバイス1200である。2つの処理要素1270及び1280が示されているが、プログラマブルデバイス1200の実施例はまた、当該処理要素を1つしか有さなくてもよい。
プログラマブルデバイス1200は、第1の処理要素1270及び第2の処理要素1280がポイント・ツー・ポイントインターコネクト1250を介し結合されるポイント・ツー・ポイントインターコネクトシステムとして示される。図12に示されるインターコネクトの何れか又は全ては、ポイント・ツー・ポイントインターコネクトでなくマルチドロップバスとして実現されてもよい。
図12に示されるように、各処理要素1270,1280は、第1及び第2のプロセッサコア(すなわち、プロセッサコア1274a,1274b及びプロセッサコア1284a,1284b)を含むマルチコアプロセッサであってもよい。このようなコア1274a,1274b,1284a,1284bは、図1〜3に関して上述されたものと同様の方式で命令コードを実行するよう構成されてもよい。しかしながら、他の実施例は、所望されるようなシングルコアプロセッサである処理要素を利用してもよい。複数の処理要素1270,1280を備えた実施例では、各処理要素は、所望されるような異なる数のコアにより実現されてもよい。
各処理要素1270,1280は、少なくとも1つの共有キャッシュ1246を有してもよい。共有キャッシュ1246a,1246bはそれぞれ、コア1274a,1274b及び1284a,1284bなどの処理要素の1つ以上のコンポーネントによって利用されるデータ(命令など)を記憶してもよい。例えば、共有キャッシュは、処理要素1270,1280のコンポーネントによるより高速なアクセスのため、メモリ1232,1234に記憶されるデータをローカルにキャッシュしてもよい。1つ以上の実施例では、共有キャッシュ1246a,1246bは、レベル2(L2)、レベル3(L3)、レベル4(L4)又は他のレベルのキャッシュなどの1つ以上のミッドレベルキャッシュ、ラストレベルキャッシュ(LLC)又はこれらの組み合わせを含むものであってもよい。
図12は、図面の簡単化のため2つの処理要素1270,1280によるプログラマブルデバイスを示しているが、本発明の範囲はこれに限定されず、何れかの数の処理要素があってもよい。あるいは、処理要素1270,1280の1つ以上は、グラフィクス処理ユニット(GPU)、デジタル信号処理(DSP)ユニット、フィールドプログラマブルゲートアレイ又は他の何れかのプログラマブル処理要素など、プロセッサ以外の要素であってもよい。処理要素1280は、処理要素1270に対してヘテロジーニアス又はアシンメトリックであってもよい。アーキテクチャ、マイクロアーキテクチャ、熱、電力消費特性などを含むメリットの指標のスペクトルに関して処理要素1270,1280の間には各種相違が存在しうる。これらの相違は、処理要素1270,1280の間の非対称性及び異質性として効果的に明らかにするものであってもよい。いくつかの実施例では、各種処理要素1270,1280は同一のダイパッケージに配置されてもよい。
第1の処理要素1270は更に、メモリコントローラロジック(MC)1272及びポイント・ツー・ポイント(P−P)インターコネクト1276及び1278を有してもよい。同様に、第2の処理要素1280は、MC1282及びP−Pインターコネクト1286,1288を有してもよい。図12に示されるように、MC1272,1282は、各自のプロセッサにローカルに付属されたメインメモリの一部であってもよい各自のメモリ、すなわち、メモリ1232,1234と処理要素1270,1280とを結合する。MCロジック1272,1282は処理要素1270,1280に一体化されるように示されているが、いくつかの実施例では、MCロジックは、一体化されるのでなく、処理要素1270,1280の外部の別のロジックであってもよい。
処理要素1270,1280はそれぞれ、P−Pインターコネクト1276,1286,1284を介しI/Oサブシステム1290に結合されてもよい。図12に示されるように、I/Oサブシステム1290は、P−Pインターコネクト1294,1298を有する。さらに、I/Oサブシステム1290は、I/Oサブシステム1290をハイパフォーマンスグラフィクスエンジン1238に結合するためのインタフェース1292を有する。一実施例では、バス1249は、グラフィクスエンジン1238とI/Oサブシステム1290とを結合するのに利用されてもよい。あるいは、ポイント・ツー・ポイントインターコネクト1239は、これらのコンポーネントを結合してもよい。
さらに、I/Oサブシステム1290は、インタフェース1296を介し第1のリンク1216に結合されてもよい。一実施例では、本発明の範囲はこれに限定されるものでないが、第1のリンク1216は、PCI(Peripheral Component Interconnect)バス、又はPCI Expressバスや他のI/Oインターコネクトバスなどのバスであってもよい。
図12に示されるように、各種I/Oデバイス1214は、第1のリンク1216と共に、第1のリンク1216を第2のリンク1210に結合させるブリッジ1218に結合されてもよい。一実施例では、第2のリンク1220はLPC(Low Pin Count)バスであってもよい。各種デバイスは、例えば、一実施例では、キーボード/マウス1212、通信デバイス1226(さらにコンピュータネットワーク1203と通信してもよい)、及びコード1230を含むディスクドライブ又は他のマスストレージデバイスなどのデータストレージユニット1228などを含む第2のリンク1220に結合されてもよい。コード1230は、上述された技術の1つ以上の実施例を実行するための命令を有してもよい。さらに、オーディオI/O1224が第2のバス1220に結合されてもよい。
他の実施例が想到されることに留意されたい。例えば、図12のポイント・ツー・ポイントアーキテクチャの代わりに、システムはマルチドロップバス又は他の通信技術を実装してもよい。リンク1216,1220は図12においてバスとして示されているが、何れか所望のタイプのリンクが利用可能である。また、図12の要素は、あるいは、図12に示されるものより多数又は少数の集積チップを用いてパーティションされてもよい。
図13を参照して、ブロック図は他の実施例によるプログラマブルデバイス1300を示す。図12の特定の態様は、図13の他の態様を不明瞭にすることを回避するため、図13から省かれてもよい。
図13は、処理要素1370,1380がそれぞれ一体化されたメモリ及びI/Oコントロールロジック(CL)1372,1382を有してもよいことを示す。いくつかの実施例では、CL1372,1382は、図12に関して上述されたものなどのメモリコントロールロジック(MC)を有してもよい。さらに、CL1372,1382はまたI/Oコントロールロジックを有してもよい。図13は、メモリ1332,1334がCL1372,1382に結合されるだけでなく、I/Oデバイス1314がまたコントロールロジック1372,1382に結合されてもよいことを示す。レガシーI/Oデバイス1315がI/Oサブシステム1390に結合されてもよい。
図12及び12に示されるプログラマブルデバイスは、ここに説明された各種実施例を実現するのに利用可能なプログラマブルデバイスの実施例の概略図である。図12及び13に示されるプログラマブルデバイスの各種コンポーネントは、システム・オン・チップ(SoC)アーキテクチャにおいて組み合わせ可能であることが理解されるであろう。
具体例
以下の具体例は更なる実施例に関する。
以下の具体例は更なる実施例に関する。
具体例1は、実行されると、ファイアウォールルールにおいて利用するため、可変的なデバイスグループを定義するダイナミックオブジェクトを作成するステップと、ファイアウォールの外部のソースから受信したデータをダイナミックオブジェクトに投入するステップと、ファイアウォールルールを評価する一部としてダイナミックオブジェクトを評価するステップとをファイアウォールデバイスに実行させる命令が記憶されるマシーン可読媒体である。
具体例2は具体例1の主題を有し、実行されると、ダイナミックオブジェクトに投入するステップをファイアウォール装置に実行させる命令は、リアルタイムデータソースからデバイスデータを受信するステップと、受信したデバイスデータをダイナミックオブジェクトに投入するステップとを含む。
具体例3は具体例2の主題を有し、実行されると、リアルタイムデータソースからデバイスデータを受信するステップをファイアウォール装置に実行させる命令は、ネットワークをモニタリングするネットワークセキュリティデバイスからのデバイスデータをリクエストするステップを含む。
具体例4は具体例1の主題を有し、実行されると、ダイナミックオブジェクトに投入するステップをファイアウォール装置に実行させる命令は、非リアルタイムデータインベントリからデバイスデータを受信するステップと、受信したデバイスデータをダイナミックオブジェクトに投入するステップとを含む。
具体例5は具体例1の主題を有し、実行されると、非リアルタイムデータインベントリからデバイスデータを受信するステップをファイアウォール装置に実行させる命令は、ダイナミックオブジェクトと非リアルタイムデータインベントリとを同期させるステップを含む。
具体例6は具体例1の主題を有し、実行されると、非リアルタイムデータインベントリからデバイスデータを受信するステップをファイアウォール装置に実行させる命令は、デバイス情報について非リアルタイムデータインベントリをクエリするステップを含む。
具体例7は具体例1〜6の主題を有し、実行されると、命令はダイナミックオブジェクトとダイナミックオブジェクトを利用するルールとを定義するためのユーザインタフェースを提供するステップを更にファイアウォールデバイスに実行させる。
具体例8は具体例1の主題を有し、ダイナミックオブジェクトは、可変的なデバイスセットを評価する。
具体例9は具体例1の主題を有し、実行されると、ダイナミックオブジェクトに投入するステップをファイアウォール装置に実行させる命令は、リアルタイムデータソースからデバイスデータを受信するステップと、受信したデバイスデータをダイナミックオブジェクトに投入するステップとを含み、ここで、実行されると、リアルタイムデータソースからデバイスデータを受信するステップをファイアウォール装置に実行させる命令は、任意的には、実行されると、ネットワークをモニタリングするネットワークセキュリティデバイスからのデバイスデータをリクエストするステップをファイアウォール装置に実行させる。
具体例10は具体例1の主題を有し、実行されると、ダイナミックオブジェクトに投入するステップをファイアウォール装置に実行させる命令は、非リアルタイムデータインベントリからデバイスデータを受信するステップと、受信したデバイスデータをダイナミックオブジェクトに投入するステップとを含み、ここで、実行されると、非リアルタイムデータインベントリからデバイスデータを受信するステップをファイアウォール装置に実行させる命令は、任意的には、実行されると、ダイナミックオブジェクトと非リアルタイムデータインベントリとを同期させるステップをファイアウォール装置に実行させる。
具体例11は、ネットワークのファイアウォールを提供する方法であって、対応する可変的なデバイスセットを定義するダイナミックオブジェクトを利用するファイアウォールルールを定義するステップと、リアルタイムデータソースと非リアルタイムデータインベントリとの少なくとも1つを可変的なダイナミックオブジェクトセットに投入するステップと、ファイアウォールルールを評価する一部としてネットワークトラフィックに対応するデバイスとダイナミックオブジェクトとをマッチングするステップとを有する方法である。
具体例12は具体例11の主題を有し、ファイアウォールルールの評価に応答してアクションを実行するステップを更に有する。
具体例13は具体例11〜12の主題を有し、ダイナミックオブジェクトとデバイス情報の非リアルタイムデータインベントリとを同期させるステップを更に有する。
具体例14は具体例13の主題を有し、ダイナミックオブジェクトとデバイス情報の非リアルタイムデータインベントリとを同期させるステップは、非リアルタイムデータインベントリをクエリするステップと、非リアルタイムデータインベントリをクエリすることによって取得された結果によってダイナミックオブジェクトを更新するステップとを含む。
具体例15は具体例11〜12の主題を有し、リアルタイムデバイス情報を取得するステップと、リアルタイムデバイス情報をダイナミックオブジェクトに投入するステップと、を更に有する。
具体例16は具体例15の主題を有し、リアルタイムデバイス情報を取得するステップは、ネットワークフローをパッシブにモニタリングするデバイスからデバイス情報を取得するステップを含む。
具体例17は具体例11乃至16記載の方法を実行するための手段を有するファイアウォール装置である。
具体例18は、ネットワークインタフェースと、ネットワークインタフェースに結合されるルールエンジンと、ルールエンジンに結合されるルールデータストアと、を有するファイアウォールであって、ルールエンジンは、ダイナミックオブジェクトを有するルールを評価するよう構成されるルール評価モジュールと、ルール評価モジュールにより利用されるダイナミックオブジェクトを評価するよう構成されるダイナミックオブジェクト評価モジュールと、リアルタイムデータソースからデータを取得するよう構成されるリアルタイムデータ収集手段と、非リアルタイムデータインベントリからデータを取得するよう構成される非リアルタイムデータ収集手段と、ダイナミックオブジェクトを作成し、リアルタイムデータ及び非リアルタイムデータの1つ以上を投入するよう構成されるダイナミックオブジェクト作成モジュールと、を有するファイアウォールである。
具体例19は具体例18の主題を有し、ユーザインタフェースを更に有し、ユーザインタフェースは、ファイアウォールルールによる利用のためダイナミックオブジェクトを定義するよう構成されるダイナミックオブジェクト定義手段を有する。
具体例20は具体例18〜19の主題を有し、ダイナミックオブジェクトは、リアルタイムデータ又は非リアルタイムデータに関連する1つ以上の条件を有する。
具体例21は具体例18〜19の主題を有し、ダイナミックオブジェクト作成モジュールは、ルールデータストアにダイナミックオブジェクトを記憶する。
具体例22は具体例18の主題を有し、ユーザインタフェースを更に有し、ユーザインタフェースは、ファイアウォールルールによる利用のためダイナミックオブジェクトを定義するよう構成されるダイナミックオブジェクト定義手段を有し、ここで、ダイナミックオブジェクトは、リアルタイムデータ又は非リアルタイムデータに関連する1つ以上の条件を有し、ダイナミックオブジェクト作成モジュールは、ルールデータストアにダイナミックオブジェクトを記憶する。
具体例23は、ファイアウォールによりネットワークを保護するシステムであって、ネットワークデバイスデータのリアルタイムソースと、ネットワークデバイスデータの非リアルタイムソースと、ファイアウォールとを有し、ファイアウォールは、プロセッサと、プロセッサに結合されるファイアウォールルールデータストアと、プロセッサに結合されるメモリとを有し、メモリは、実行されると、ファイアウォールルールにおいて利用するため、可変的なデバイスグループを定義するダイナミックオブジェクトを作成するステップと、ネットワークデバイスデータのリアルタイムソースとネットワークデバイスデータの非リアルタイムソースとの1つ以上から受信したデータをダイナミックオブジェクトに投入するステップと、ダイナミックオブジェクトを利用してファイアウォールルールを評価する一部としてダイナミックオブジェクトを評価するステップと、をプロセッサに実行させるための命令を記憶するシステムである。
具体例24は具体例23の主題を有し、ネットワークデバイスデータのリアルタイムソースは、ネットワークをパッシブにモニタリングするネットワークセキュリティデバイスを有する。
具体例25は具体例23の主題を有し、ネットワークデバイスデータの非リアルタイムソースは、エンドポイントデバイスのモバイルセキュリティマネージャを有する。
具体例26は具体例23の主題を有し、ネットワークデバイスデータの非リアルタイムソースは、ディレクトリサービスのログオン収集手段を有する。
具体例27は具体例23〜26の主題を有し、メモリに記憶される命令は、実行されると、ダイナミックオブジェクトとダイナミックオブジェクトを利用するルールとを定義するためのユーザインタフェースを提供するステップをプロセッサに実行させる命令を更に有する。
具体例28は具体例23〜26の主題を有し、実行されると、プロセッサにダイナミックオブジェクトに投入するステップを実行させる命令は、実行されると、ダイナミックオブジェクトと非リアルタイムソースとを同期させるステップをプロセッサに実行させる命令を有する。
具体例29は、ファイアウォールルールにおいて利用するため、可変的なデバイスグループを定義するダイナミックオブジェクトを作成する手段と、ファイアウォールの外部のソースから受信したデータをダイナミックオブジェクトに投入する手段と、ファイアウォールルールを評価する一部としてダイナミックオブジェクトを評価する手段とを有するファイアウォールデバイスである。
具体例30は具体例29の主題を有し、ダイナミックオブジェクトに投入する手段は、リアルタイムデータソースからデバイスデータを受信する手段と、受信したデバイスデータをダイナミックオブジェクトに投入する手段とを含む。
具体例31は具体例30の主題を有し、リアルタイムデータソースからデバイスデータを受信する手段は、ネットワークをモニタリングするネットワークセキュリティデバイスからのデバイスデータをリクエストする手段を含む。
具体例32は具体例29の主題を有し、ダイナミックオブジェクトに投入する手段は、非リアルタイムデータインベントリからデバイスデータを受信する手段と、受信したデバイスデータをダイナミックオブジェクトに投入する手段とを含む。
具体例33は具体例29の主題を有し、非リアルタイムデータインベントリからデバイスデータを受信する手段は、ダイナミックオブジェクトと非リアルタイムデータインベントリとを同期させる手段を含む。
具体例34は具体例29の主題を有し、非リアルタイムデータインベントリからデバイスデータを受信する手段は、デバイス情報について非リアルタイムデータインベントリをクエリする手段を含む。
具体例35は具体例29〜34の主題を有し、ダイナミックオブジェクトとダイナミックオブジェクトを利用するルールとを定義するためのユーザインタフェースを提供する手段を更に有する。
具体例36は具体例29の主題を有し、ダイナミックオブジェクトは、可変的なデバイスセットを評価する。
上記説明は限定的でなく例示的であると意図されることが理解されるべきである。例えば、上述された実施例は互いに一緒に利用されてもよい。他の多数の実施理恵は、上記説明を参照した当業者に明らかであろう。従って、本発明の範囲は、請求項に与えられる均等の完全な範囲と共に、添付した請求項を参照して決定されるべきである。
Claims (26)
- ファイアウォールルールにおいて利用するため、可変的なデバイスグループを定義するダイナミックオブジェクトを作成するステップと、
ファイアウォールの外部のソースから受信したデータを前記ダイナミックオブジェクトに投入するステップと、
前記ファイアウォールルールを評価する一部として前記ダイナミックオブジェクトを評価するステップと、
をファイアウォールデバイスに実行させるためのプログラム。 - 前記ダイナミックオブジェクトに投入するステップは、
リアルタイムデータソースからデバイスデータを受信するステップと、
前記受信したデバイスデータを前記ダイナミックオブジェクトに投入するステップと、
を含む、請求項1記載のプログラム。 - 前記リアルタイムデータソースからデバイスデータを受信するステップは、ネットワークをモニタリングするネットワークセキュリティデバイスからのデバイスデータをリクエストするステップを含む、請求項2記載のプログラム。
- 前記ダイナミックオブジェクトに投入するステップは、
非リアルタイムデータインベントリからデバイスデータを受信するステップと、
前記受信したデバイスデータを前記ダイナミックオブジェクトに投入するステップと、
を含む、請求項1記載のプログラム。 - 前記非リアルタイムデータインベントリからデバイスデータを受信するステップは、前記ダイナミックオブジェクトと前記非リアルタイムデータインベントリとを同期させるステップを含む、請求項1記載のプログラム。
- 前記非リアルタイムデータインベントリからデバイスデータを受信するステップは、デバイス情報について前記非リアルタイムデータインベントリをクエリするステップを含む、請求項1記載のプログラム。
- ダイナミックオブジェクトとダイナミックオブジェクトを利用するルールとを定義するためのユーザインタフェースを提供するステップを更に前記ファイアウォールデバイスに実行させる、請求項1乃至6何れか一項記載のプログラム。
- 前記ダイナミックオブジェクトは、可変的なデバイスセットを評価する、請求項1記載のプログラム。
- ネットワークのファイアウォールを提供する方法であって、
対応する可変的なデバイスセットを定義するダイナミックオブジェクトを利用するファイアウォールルールを定義するステップと、
リアルタイムデータソースと非リアルタイムデータインベントリとの少なくとも1つを可変的なダイナミックオブジェクトセットに投入するステップと、
前記ファイアウォールルールを評価する一部としてネットワークトラフィックに対応するデバイスと前記ダイナミックオブジェクトとをマッチングするステップと、
を有する方法。 - 前記ファイアウォールルールの評価に応答してアクションを実行するステップを更に有する、請求項9記載の方法。
- 前記ダイナミックオブジェクトとデバイス情報の非リアルタイムデータインベントリとを同期させるステップを更に有する、請求項9又は10記載の方法。
- 前記ダイナミックオブジェクトとデバイス情報の非リアルタイムデータインベントリとを同期させるステップは、
前記非リアルタイムデータインベントリをクエリするステップと、
前記非リアルタイムデータインベントリをクエリすることによって取得された結果によって前記ダイナミックオブジェクトを更新するステップと、
を含む、請求項11記載の方法。 - リアルタイムデバイス情報を取得するステップと、
前記リアルタイムデバイス情報を前記ダイナミックオブジェクトに投入するステップと、
を更に有する、請求項9又は10記載の方法。 - 前記リアルタイムデバイス情報を取得するステップは、ネットワークフローをパッシブにモニタリングするデバイスからデバイス情報を取得するステップを含む、請求項13記載の方法。
- 請求項9乃至14何れか一項記載の方法を実行するための手段を有するファイアウォール装置。
- ネットワークインタフェースと、
前記ネットワークインタフェースに結合されるルールエンジンと、
前記ルールエンジンに結合されるルールデータストアと、
を有するファイアウォールであって、
前記ルールエンジンは、
ダイナミックオブジェクトを有するルールを評価するよう構成されるルール評価モジュールと、
前記ルール評価モジュールにより利用されるダイナミックオブジェクトを評価するよう構成されるダイナミックオブジェクト評価モジュールと、
リアルタイムデータソースからデータを取得するよう構成されるリアルタイムデータ収集手段と、
非リアルタイムデータインベントリからデータを取得するよう構成される非リアルタイムデータ収集手段と、
ダイナミックオブジェクトを作成し、リアルタイムデータ及び非リアルタイムデータの1つ以上を投入するよう構成されるダイナミックオブジェクト作成モジュールと、
を有するファイアウォール。 - ユーザインタフェースを更に有し、
前記ユーザインタフェースは、ファイアウォールルールによる利用のためダイナミックオブジェクトを定義するよう構成されるダイナミックオブジェクト定義手段を有する、請求項16記載のファイアウォール。 - 前記ダイナミックオブジェクトは、リアルタイムデータ又は非リアルタイムデータに関連する1つ以上の条件を有する、請求項16又は17記載のファイアウォール。
- 前記ダイナミックオブジェクト作成モジュールは、前記ルールデータストアにダイナミックオブジェクトを記憶する、請求項16又は17記載のファイアウォール。
- ファイアウォールによりネットワークを保護するシステムであって、
ネットワークデバイスデータのリアルタイムソースと、
ネットワークデバイスデータの非リアルタイムソースと、
ファイアウォールと、
を有し、
前記ファイアウォールは、
プロセッサと、
前記プロセッサに結合されるファイアウォールルールデータストアと、
前記プロセッサに結合されるメモリと、
を有し、
前記メモリは、
ファイアウォールルールにおいて利用するため、可変的なデバイスグループを定義するダイナミックオブジェクトを作成するステップと、
前記ネットワークデバイスデータのリアルタイムソースと前記ネットワークデバイスデータの非リアルタイムソースとの1つ以上から受信したデータを前記ダイナミックオブジェクトに投入するステップと、
前記ダイナミックオブジェクトを利用して前記ファイアウォールルールを評価する一部として前記ダイナミックオブジェクトを評価するステップと、
を前記プロセッサに実行させるためのプログラムを記憶するシステム。 - 前記ネットワークデバイスデータのリアルタイムソースは、ネットワークをパッシブにモニタリングするネットワークセキュリティデバイスを有する、請求項20記載のシステム。
- 前記ネットワークデバイスデータの非リアルタイムソースは、エンドポイントデバイスのモバイルセキュリティマネージャを有する、請求項20記載のシステム。
- 前記ネットワークデバイスデータの非リアルタイムソースは、ディレクトリサービスのログオン収集手段を有する、請求項20記載のシステム。
- 前記プログラムは、ダイナミックオブジェクトとダイナミックオブジェクトを利用するルールとを定義するためのユーザインタフェースを提供するステップを前記プロセッサに更に実行させる、請求項20乃至23何れか一項記載のシステム。
- 前記プログラムは、前記ダイナミックオブジェクトと前記非リアルタイムソースとを同期させるステップを前記プロセッサに更に実行させる、請求項20乃至23何れか一項記載のシステム。
- 請求項1乃至8何れか一項記載のプログラムを記憶するためのコンピュータ可読記憶媒体。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| PCT/US2013/077233 WO2015094372A1 (en) | 2013-12-20 | 2013-12-20 | Intelligent firewall access rules |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2017505942A true JP2017505942A (ja) | 2017-02-23 |
| JP6329267B2 JP6329267B2 (ja) | 2018-05-23 |
Family
ID=53403451
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2016540033A Active JP6329267B2 (ja) | 2013-12-20 | 2013-12-20 | インテリジェントファイアウォールアクセスルール |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US10367787B2 (ja) |
| EP (1) | EP3085013B1 (ja) |
| JP (1) | JP6329267B2 (ja) |
| KR (1) | KR101877655B1 (ja) |
| CN (1) | CN105765901B (ja) |
| WO (1) | WO2015094372A1 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2015094372A1 (en) | 2013-12-20 | 2015-06-25 | Mcafee, Inc. | Intelligent firewall access rules |
| US10193863B2 (en) | 2016-10-07 | 2019-01-29 | Microsoft Technology Licensing, Llc | Enforcing network security policy using pre-classification |
| US10063519B1 (en) * | 2017-03-28 | 2018-08-28 | Verisign, Inc. | Automatically optimizing web application firewall rule sets |
| US10778645B2 (en) | 2017-06-27 | 2020-09-15 | Microsoft Technology Licensing, Llc | Firewall configuration manager |
| US10917384B2 (en) * | 2017-09-12 | 2021-02-09 | Synergex Group | Methods, systems, and media for modifying firewalls based on dynamic IP addresses |
| US11128530B2 (en) | 2018-03-29 | 2021-09-21 | Hewlett Packard Enterprise Development Lp | Container cluster management |
| US10848552B2 (en) * | 2018-03-29 | 2020-11-24 | Hewlett Packard Enterprise Development Lp | Determining whether to perform address translation to forward a service request or deny a service request based on blocked service attributes in an IP table in a container-based computing cluster management system |
| US20200314066A1 (en) * | 2019-03-29 | 2020-10-01 | Cloudflare, Inc. | Validating firewall rules using data at rest |
| RU2746101C2 (ru) * | 2019-09-30 | 2021-04-07 | Акционерное общество "Лаборатория Касперского" | Система и способ определения устройств компьютерной сети с использованием правил инвентаризации |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11168511A (ja) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | パケット検証方法 |
| JP2005071218A (ja) * | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム |
| JP2005260345A (ja) * | 2004-03-09 | 2005-09-22 | Nippon Telegr & Teleph Corp <Ntt> | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ |
| JP2006261937A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
| JP2010520566A (ja) * | 2007-03-05 | 2010-06-10 | ヨギー・セキュリティ・システムズ・リミテッド | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 |
| JP2010528550A (ja) * | 2007-05-30 | 2010-08-19 | ヨギー・セキュリティ・システムズ・リミテッド | 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法 |
Family Cites Families (26)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
| US7159125B2 (en) | 2001-08-14 | 2007-01-02 | Endforce, Inc. | Policy engine for modular generation of policy for a flat, per-device database |
| US7467142B2 (en) * | 2002-07-11 | 2008-12-16 | Oracle International Corporation | Rule based data management |
| US7760882B2 (en) * | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
| EP1866789B8 (en) * | 2005-02-28 | 2020-04-15 | McAfee, LLC | Mobile data security system and methods |
| US8056124B2 (en) | 2005-07-15 | 2011-11-08 | Microsoft Corporation | Automatically generating rules for connection security |
| US20070083924A1 (en) * | 2005-10-08 | 2007-04-12 | Lu Hongqian K | System and method for multi-stage packet filtering on a networked-enabled device |
| GB0620855D0 (en) * | 2006-10-19 | 2006-11-29 | Dovetail Software Corp Ltd | Data processing apparatus and method |
| US7937353B2 (en) | 2007-01-15 | 2011-05-03 | International Business Machines Corporation | Method and system for determining whether to alter a firewall configuration |
| US20100324945A1 (en) * | 2009-05-12 | 2010-12-23 | Ronald Paul Hessing | Data insurance system based on dynamic risk management |
| US9621516B2 (en) * | 2009-06-24 | 2017-04-11 | Vmware, Inc. | Firewall configured with dynamic membership sets representing machine attributes |
| US9047441B2 (en) * | 2011-05-24 | 2015-06-02 | Palo Alto Networks, Inc. | Malware analysis system |
| US8839404B2 (en) * | 2011-05-26 | 2014-09-16 | Blue Coat Systems, Inc. | System and method for building intelligent and distributed L2-L7 unified threat management infrastructure for IPv4 and IPv6 environments |
| US9457927B2 (en) * | 2012-09-29 | 2016-10-04 | ShotWater, Inc. | Multi-chamber beverage container and cap |
| US10277465B2 (en) * | 2013-01-22 | 2019-04-30 | Proofpoint, Inc. | System, apparatus and method for dynamically updating the configuration of a network device |
| US9460417B2 (en) * | 2013-03-15 | 2016-10-04 | Futurewei Technologies, Inc. | Using dynamic object modeling and business rules to dynamically specify and modify behavior |
| US9338134B2 (en) * | 2013-03-27 | 2016-05-10 | Fortinet, Inc. | Firewall policy management |
| WO2014184671A2 (en) * | 2013-04-15 | 2014-11-20 | Tactegic Holdings Pty Limited | Systems and methods for efficient network security adjustment |
| US10341296B2 (en) * | 2013-09-13 | 2019-07-02 | Vmware, Inc. | Firewall configured with dynamic collaboration from network services in a virtual network environment |
| WO2015094372A1 (en) | 2013-12-20 | 2015-06-25 | Mcafee, Inc. | Intelligent firewall access rules |
| US9215213B2 (en) * | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Method and apparatus for distributing firewall rules |
| US9871823B2 (en) * | 2014-12-23 | 2018-01-16 | Intel Corporation | Techniques to deliver security and network policies to a virtual network function |
| US9609023B2 (en) * | 2015-02-10 | 2017-03-28 | International Business Machines Corporation | System and method for software defined deployment of security appliances using policy templates |
| US9787641B2 (en) * | 2015-06-30 | 2017-10-10 | Nicira, Inc. | Firewall rule management |
| US9948679B2 (en) * | 2015-08-21 | 2018-04-17 | Cisco Technology, Inc. | Object-relation user interface for viewing security configurations of network security devices |
| US11457030B2 (en) * | 2018-02-20 | 2022-09-27 | Darktrace Holdings Limited | Artificial intelligence researcher assistant for cybersecurity analysis |
-
2013
- 2013-12-20 WO PCT/US2013/077233 patent/WO2015094372A1/en active Application Filing
- 2013-12-20 JP JP2016540033A patent/JP6329267B2/ja active Active
- 2013-12-20 EP EP13899847.1A patent/EP3085013B1/en active Active
- 2013-12-20 KR KR1020167013252A patent/KR101877655B1/ko active IP Right Grant
- 2013-12-20 US US15/038,388 patent/US10367787B2/en active Active
- 2013-12-20 CN CN201380081054.9A patent/CN105765901B/zh active Active
-
2019
- 2019-07-29 US US16/524,968 patent/US10904216B2/en active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH11168511A (ja) * | 1997-09-12 | 1999-06-22 | Lucent Technol Inc | パケット検証方法 |
| JP2005071218A (ja) * | 2003-08-27 | 2005-03-17 | Nec Fielding Ltd | 不正アクセス防御システム、ポリシ管理装置、不正アクセス防御方法、及びプログラム |
| JP2005260345A (ja) * | 2004-03-09 | 2005-09-22 | Nippon Telegr & Teleph Corp <Ntt> | 移動情報通信対応認証連携型分散ファイアウォールシステム、ファイアウォール装置、セキュリティポリシ管理サーバ、および認証サーバ |
| JP2006261937A (ja) * | 2005-03-16 | 2006-09-28 | Nippon Telegraph & Telephone East Corp | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム |
| JP2010520566A (ja) * | 2007-03-05 | 2010-06-10 | ヨギー・セキュリティ・システムズ・リミテッド | 外部デバイスとホスト・デバイスの間でデータおよびデバイスのセキュリティを提供するためのシステムおよび方法 |
| JP2010528550A (ja) * | 2007-05-30 | 2010-08-19 | ヨギー・セキュリティ・システムズ・リミテッド | 動的アドレス分離によるネットワーク及びコンピュータ・ファイアウォール保護を装置に提供するためのシステム及び方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US10904216B2 (en) | 2021-01-26 |
| US20210152521A1 (en) | 2021-05-20 |
| WO2015094372A1 (en) | 2015-06-25 |
| JP6329267B2 (ja) | 2018-05-23 |
| US10367787B2 (en) | 2019-07-30 |
| EP3085013A1 (en) | 2016-10-26 |
| US20160315911A1 (en) | 2016-10-27 |
| US20190349335A1 (en) | 2019-11-14 |
| KR101877655B1 (ko) | 2018-07-11 |
| KR20160075610A (ko) | 2016-06-29 |
| EP3085013A4 (en) | 2017-06-07 |
| EP3085013B1 (en) | 2020-01-22 |
| CN105765901B (zh) | 2019-11-08 |
| CN105765901A (zh) | 2016-07-13 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP6329267B2 (ja) | インテリジェントファイアウォールアクセスルール | |
| US20220207143A1 (en) | Cloud storage scanner | |
| US9380027B1 (en) | Conditional declarative policies | |
| JP2020039137A (ja) | マルチテナント環境のためのネットワークフローログ | |
| US9471469B2 (en) | Software automation and regression management systems and methods | |
| CN106464686B (zh) | 社交图感知的策略建议引擎 | |
| US9246918B2 (en) | Secure application leveraging of web filter proxy services | |
| US20130239168A1 (en) | Controlling enterprise access by mobile devices | |
| EP2941730B1 (en) | Resource protection on un-trusted devices | |
| GB2507357A (en) | Implementing an Agent-based Application Reputation Security System | |
| CA2914048A1 (en) | Controlling network access based on application detection | |
| US20190392137A1 (en) | Security annotation of application services | |
| US11777978B2 (en) | Methods and systems for accurately assessing application access risk | |
| US10681031B2 (en) | Federating devices to improve user experience with adaptive security | |
| CA2914046C (en) | Controlling network access based on application detection | |
| US20230319115A1 (en) | Systems and methods for validating, maintaining, and visualizing security policies | |
| Morrison et al. | Enforcing {Context-Aware}{BYOD} Policies with {In-Network} Security | |
| Hao et al. | Dbac: Directory-based access control for geographically distributed iot systems | |
| US11997069B2 (en) | Intelligent firewall access rules | |
| EP3644583B1 (en) | Controlling network access based on application detection | |
| US11734316B2 (en) | Relationship-based search in a computing environment | |
| US20230214533A1 (en) | Computer-implemented systems and methods for application identification and authentication | |
| Wang et al. | A mobile botnet model based on android system | |
| Dobos et al. | Challenges of Enterprise Policy Compliance with Smartphone Enablement or an Alternative Solution Based on Behaviour-based User Identification |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20170619 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20170627 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20170922 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20171127 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20180320 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20180419 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 6329267 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |