JP2020511860A - ネットワークから入手可能なデータ変更に基づくトリガースキャン - Google Patents
ネットワークから入手可能なデータ変更に基づくトリガースキャン Download PDFInfo
- Publication number
- JP2020511860A JP2020511860A JP2019551675A JP2019551675A JP2020511860A JP 2020511860 A JP2020511860 A JP 2020511860A JP 2019551675 A JP2019551675 A JP 2019551675A JP 2019551675 A JP2019551675 A JP 2019551675A JP 2020511860 A JP2020511860 A JP 2020511860A
- Authority
- JP
- Japan
- Prior art keywords
- scan
- instructions
- query
- network
- indication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/951—Indexing; Web crawling techniques
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24564—Applying rules; Deductive queries
- G06F16/24565—Triggers; Constraints
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/20—Information retrieval; Database structures therefor; File system structures therefor of structured data, e.g. relational data
- G06F16/24—Querying
- G06F16/245—Query processing
- G06F16/2455—Query execution
- G06F16/24568—Data stream processing; Continuous queries
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/903—Querying
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F16/00—Information retrieval; Database structures therefor; File system structures therefor
- G06F16/90—Details of database functions independent of the retrieved data types
- G06F16/95—Retrieval from the web
- G06F16/958—Organisation or management of web site content, e.g. publishing, maintaining pages or automatic linking
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- General Engineering & Computer Science (AREA)
- Databases & Information Systems (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Data Mining & Analysis (AREA)
- Computer Hardware Design (AREA)
- Computational Linguistics (AREA)
- Software Systems (AREA)
- Computing Systems (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Health & Medical Sciences (AREA)
- Virology (AREA)
- General Health & Medical Sciences (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Abstract
イベント駆動型クエリのためのシステムは、入力インターフェースとプロセッサを含む。入力インターフェースは、外部システムから指示を受信するように構成されている。プロセッサは、この指示に少なくとも部分的に基づいてスキャンクエリを決定し、かつこのスキャンクエリを実行するように構成されている。【選択図】図1
Description
インターネット接続アセット(例えば、コンピュータ、モバイルデバイス、サーバシステム、クライアントシステム、モノのインターネットデバイス、等)は、インターネットと通信するコンピューティングシステムを備える。インターネットに接続されたアセットは、通常1つ以上の公開アドレス指定可能な通信ポートを備え、これによりインターネットに接続された如何なるデバイスもアセットを照会することが可能となる。いくつかのデバイスは、1つ以上の公開アクセス可能なポートを介して、さまざまな接続タイプ(例えば、ハイパーテキスト転送プロトコール(HTTP)接続、セキュア・ハイパーテキスト転送プロトコール(HTTPS)接続、ファイル転送プロトコール(FTP)接続、セキュアファイル転送プロトコール(FTPS)接続、telnet接続、セキュアシェル(SSH)接続、等)を可能にする。インターネット接続されたアセットは、さまざまな構成オプションを備えるさまざまなソフトウェアを実行する種々のタイプのハードウェアデバイスを備えることができるが、これはセキュリティの脆弱性が発生する無数の可能性を生み出す。典型的なシステムアドミニストレータは、監視下にある全てのシステムの全ての詳細に注意を払うことはできないので、システムの脆弱性は検出されずかつそれが修正されないという問題が発生する。システムが変更された場合(例えば、ネットワークから入手可能なデータにより指示されるシステムの変更)、システムアドミニストレータが、変更されたシステムに脆弱性が残っていないこと(例えば、システムの修正が全ての脆弱性の修正において成功したこと、システムの変更が新しい脆弱性を生成しなかったこと、新しく発見された脆弱性が無関係であること、等)に対し完全な確信を得ることは困難である。
本発明は、プロセス、装置、システム、組成物、コンピュータ可読格納媒体上に具現化されたコンピュータプログラム製品、および/またはプロセッサに結合されたメモリに格納されているおよび/またはメモリによって提供される命令を実行するように構成されているプロセッサ、を含む多数の方法で実施することができる。本明細書では、これらの実装、または本発明が取り得る他の形態を、技術と呼ぶ場合がある。一般に、開示されたプロセスのステップの順序は、本発明の範囲内で変更させることができる。特に明記しない限り、タスクを実行するように構成されていると記載されているプロセッサまたはメモリのようなコンポーネントは、特定の時間にタスクを実行するように一時的に構成されている一般的なコンポーネント、またはタスクを実行するように製造されている特定のコンポーネントとして実装することができる。本明細書で使用される「プロセッサ」という用語は、コンピュータプログラム命令のようなデータを処理するように構成されている1つまたは複数のデバイス、回路、および/または処理コアを意味する。
本発明の1つ以上の実施態様の詳細な説明は、以下に、本発明の原理を例示する添付の図と共に提供される。本発明は、そのような実施態様に関連して説明されるが、本発明はいかなる実施態様にも限定されることはない。本発明の権利範囲は、特許請求の範囲によってのみ限定され、本発明は、多数の代替物、修正物、および均等物を包含する。本発明の完全な理解を提供するために、多数の特定の詳細が以下に記載される。これらの詳細は例を説明する目的で提供されていて、そして本発明は、特許請求の範囲に従ってこれらの特定の詳細の一部または全て無しに実施することができる。明確性のために、本発明に関する技術分野において公知である技術事項は、本発明が不必要に不明瞭にならないように、詳細には記載されていない。
イベント駆動型クエリのためのシステムは、クライアントシステムから指示を受信する入力インターフェースと、この指示に少なくとも部分的に基づいてスキャンクエリを決定し、かつこのスキャンクエリを実行するプロセッサとを備える。いくつかの実施態様では、イベント駆動型クエリのためのシステムは、プロセッサに結合されていて、かつこのプロセッサに命令を提供するように構成されているメモリを備える。
いくつかの実施態様では、イベント駆動型クエリのためのシステムは、外部システムからの指示に応じてスキャンを実行するためのシステムを備える。いくつかの実施態様では、外部システムからの指示は、変更の指示を備える。様々な実施態様では、外部システムからの指示は、手動により決定された指示、自動指示、脆弱性の指示、公開されたニュース記事から決定された指示、インターネット投稿から決定された指示、「ゼロデイ」脆弱性または既存のオペレーティングコードに対する深刻な脅威のパブリックリリースまたは開示、「ゼロデイ」脆弱性または既存のオペレーティングコードに対する深刻な脅威の限定的なプライベートリリースまたは開示、ボーダゲートウェイプロトコール(BGP)ルート変更の指示、ドメインネームシステム(DNS)の変更の指示、インターネットプロトコール(IP)アドレスの変更の指示、地域インターネットレジストリ(RIR)の変更の表示、および企業の合併、買収、または売却の指示、変更されたシステム、変更されたサービスの指示、または他の適切な指示を備える。いくつかの実施態様では、イベント駆動型クエリのためのシステムは、外部システムからこの指示を受取り、そしてこの指示に少なくとも部分的に基づいてスキャンクエリを決定する。いくつかの実施態様では、この指示に少なくとも部分的に基づいてスキャンクエリを決定することは、(例えば、アドレス、アドレスのポート、および使用するスキャンタイプを備える)指示によって指示されるスキャンを決定することを備える。いくつかの実施態様では、この指示に少なくとも部分的に基づいてスキャンクエリを決定することは、スキャンクエリを拡張すること(例えば、追加のアドレス、ポート、および/またはスキャンタイプを決定すること)を備える。次に、イベント駆動型クエリのためのシステムが、スキャンを実行する。いくつかの実施態様では、イベント駆動型クエリのためのシステムは、ネットワーク状態の表示を提供する。さまざまな実施態様では、ネットワーク状態の表示は、過去に適切に構成されていたシステム(例えば、この指示が受取られる前に適切に構成されていたことが知られているシステム)、履歴にある脆弱性、スキャンから決定された適切に構成されているシステム、スキャンから決定された脆弱性、または他の適切なネットワーク状態の表示情報を備える。
本発明の様々な実施態様は、以下の詳細な説明および添付の図面に開示されている。
図1は、ネットワークシステムの一実施態様を示すブロック図である。図示されている例では、ネットワークシステムは、インターネットに接続されたアセットをスキャンするためのシステムで構成されている。このネットワークシステムは、ネットワーク100を含む。様々な実施態様では、ネットワーク100は、ローカルエリアネットワーク、ワイドエリアネットワーク、有線ネットワーク、無線ネットワーク、インターネット、イントラネット、ストレージエリアネットワークまたは他の適切な通信ネットワークのうちの1つ以上を備える。アドミニストレータシステム102およびスキャンシステム104は、ネットワーク100を介して通信する。アドミニストレータシステム102は、アドミニストレータ用のシステムを備える。様々な実施態様では、アドミニストレータシステム102は、アドミニストレータが、アプリケーションシステム上のアプリケーションにアクセスする、データベースシステム上のデータにアクセスする、スキャンシステム104にスキャンを実行するよう指示する、スキャンシステム104からデータを受信する、ネットワークシステム(例えば、ネットワークシステム106)を構成する、ネットワークシステムからデータを受信する、または他の適切な目的のためのシステムを備える。いくつかの実施態様では、アドミニストレータシステム102は、クライアントシステム用のアドミニストレータシステムを備える。様々な実施態様では、クライアントシステムは、(例えば、スキャンシステム104に)スキャンを要求するシステム、スキャンを要求するシステムに関連付けられているネットワークシステム、アドミニストレータシステム(例えば、アドミニストレータシステム102)、または他の適切なクライアントシステムを備える。いくつかの実施態様では、アドミニストレータシステム102は、プロセッサとメモリを備える。
スキャンシステム104は、ネットワークシステムをスキャンするためのシステムを備える。いくつかの実施態様では、スキャンシステム104は、アドミニストレータシステム102からのコマンドに応答してネットワークをスキャンするシステムを備える。いくつかの実施態様では、スキャンシステム104は、ネットワークシステムのセット(例えば、ネットワークシステム106、ネットワークシステム108、ネットワークシステム110、ネットワークシステム112、ネットワークシステム114、ネットワークシステム116、ネットワークシステム118、およびネットワークシステム120)をスキャンするシステムを備える。いくつかの実施態様では、ネットワークシステムをスキャンすることは、ペイロードをネットワークシステムに提供し、応答が受信されたか否かを決定することを備える。いくつかの実施態様では、ネットワークシステムをスキャンすることは、受取られた応答に少なくとも部分的に基づいてフォローアッププローブを使用してネットワークシステムをスキャンすることを備える。いくつかの実施態様では、スキャンシステム104は、アクセス可能な全てのポート上のアクセス可能な全てのネットワークシステムにペイロードを提供し、かつより多くの情報がアクセス可能であることを指示する如何なる受信応答に対しても適切なフォローアッププローブでフォローアップするシステムを備える。いくつかの実施態様では、スキャンシステム104は、プロセッサとメモリを備える。図1の各ネットワークシステム(例えば、ネットワークシステム106)は、インターネット接続システム(例えば、デスクトップコンピュータ、ラップトップコンピュータ、スマートフォン、タブレットコンピュータ、サーバシステム、モノのインターネットデバイス、等)を備える。いくつかの実施態様では、ネットワークシステムは、外部システムを備える。いくつかの実施態様では、外部システムは、クライアントシステムの部分ではないネットワークシステムを備える。様々な実施態様では、図1のシステムは、8、13、197、2222、百万、億、または他の適切な数のネットワークシステムを備える。
図2は、ネットワークシステムの一実施態様を示すブロック図である。いくつかの実施態様では、ネットワークシステム200は、図1のネットワークシステム(例えば、ネットワークシステム106)を備える。図示される例では、ネットワークシステム200は、プロセッサ202、データストレージ204、およびネットワークインターフェース206を備える。いくつかの実施態様では、ネットワークシステム200は、インターネット接続アセット(例えば、デスクトップコンピュータ、ラップトップコンピュータ、スマートフォン、タブレットコンピュータ、サーバシステム、モノのインターネットデバイス、または他の適切なインターネット接続アセット)を備える。様々な実施態様では、プロセッサ202は、命令を実行する、データを処理する、コマンドに応答する、等のためのプロセッサを備える。様々な実施態様では、プロセッサ202は、汎用プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または他の適切なプロセッサを備える。様々な実施態様では、データストレージ204は、データを格納するため、プロセッサ202のための命令を格納するため、構成情報を格納するため、または他の適切な情報を格納するためのデータストレージを備える。様々な実施態様では、データストレージ204は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光学メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または他の適切なメモリの1つ以上を備える。ネットワークインターフェース206は、ネットワークと通信するためのネットワークインターフェースを備える。図示の例では、ネットワークインターフェース206は、ネットワーク通信情報208および複数のポート(例えば、ポート210)を備える。様々な実施態様では、ネットワーク通信情報は、ネットワーク通信ソフトウェア、ネットワーク通信設定、ネットワーク通信データ、または他の適切なネットワーク通信情報を備える。複数のポートは、物理ポート(例えば、ネットワークシステム200にケーブルを接続するためのプラグ)または仮想ポート(例えば、仮想ポート番号により識別される仮想通信チャネル)を備える。いくつかの実施態様では、ネットワークインターフェース206は、ネットワークアドレス(例えば、外部ネットワークアドレス指定機関によって割り当てられたネットワークアドレス)を備える。いくつかの実施態様では、ネットワークシステム200との通信は、ポート番号と共にネットワーク200のネットワークアドレスを指示することにより指定される。いくつかの実施態様では、ネットワークインターフェース206のいくつかのポートは通信用に構成され、いくつかは通信に応答しないように構成される。いくつかの実施態様では、いくつかのポートは、1つ以上の特定の通信プロトコール(例えば、HTTP、FTP、SSH、等)に関連付けられている。いくつかの実施態様では、ネットワークインターフェース206は、通信仕様のセットに従って構成されている通信ソフトウェアのセットを実行するネットワークハードウェア(例えば、モデム)のセットを備える。
図3は、スキャンシステムの実施態様を示すブロック図である。いくつかの実施態様では、スキャンシステム300は、図1のスキャンシステム104を備える。いくつかの実施態様では、スキャンシステム300は、サーバシステムを備える。図示される例では、スキャンシステム300は、プロセッサ302、データストレージ304、およびネットワークインターフェース306を備える。様々な実施態様では、プロセッサ302は、命令を実行する、データを処理する、コマンドに応答する、等のためのプロセッサを備える。様々な実施態様では、プロセッサ302は、汎用型プロセッサ、マイクロコントローラ、並列処理システム、プロセッサのクラスタ、または他の適切なプロセッサを備える。いくつかの実施態様では、プロセッサ302は、ネットワークスキャナ308を備える。様々な実施態様では、ネットワークスキャナ308は、階層的スキャンシステム機能を実施するソフトウェアおよび/またはハードウェアを備える。様々な実施態様では、データストレージ304は、データを格納するため、プロセッサ302のための命令を格納するため、構成情報を格納するため、または他の適切な情報を格納するためのデータストレージを備える。様々な実施態様では、データストレージ304は、揮発性メモリ、不揮発性メモリ、磁気メモリ、光学メモリ、相変化メモリ、半導体メモリ、ディスクメモリ、テープメモリ、または他の適切なメモリの1つ以上を備える。図示されている例では、データストレージ304は、ネットワークデバイスに提供されるペイロードを格納するためのペイロードデータベース310を備える。いくつかの実施態様では、ペイロードは、ネットワークデバイスを探って応答を引き出すために小さなデータパケットを備える。データストレージ304は、更に、ネットワークデバイスと対話するためのフォローアッププローブを格納するフォローアッププローブデータベース312を備える。いくつかの実施態様では、追跡プローブは、ネットワークデバイスに関する情報を決定するために、ネットワークデバイスと対話するためのソフトウェアを備える。いくつかの実施態様では、フォローアッププローブデータベース312は、特定の方法でネットワークデバイスと対話して、ネットワークデバイスに関するデータを取得する(例えば、セキュアHTTP(HTTPS)接続を確立しかつ暗号化されたウェブページをダウンロードする)ように設計されたフォローアッププローブのセットを備える。いくつかの実施態様では、フォローアッププローブが、ネットワークデバイスからのデータを受信することに成功する可能性が高いと決定されると、フォローアッププローブは、ネットワークデバイスと対話するために使用される。データストレージ304は、加えて、(例えば、ペイロードまたは追跡プローブを使用して)ネットワークデバイスと対話した結果受信されたネットワーク情報を格納するためのネットワーク情報データベース314を備える。いくつかの実施態様では、ネットワーク情報は、リモートで(例えば、ストレージサーバ上、異なる階層スキャンシステム上、クラウドストレージ上、等に)格納される。図示されている例では、ネットワークインターフェース306は、ネットワークを介してリモートシステムと対話するためのネットワークインターフェースを備える。様々な実施態様では、ネットワークインターフェース306は、ペイロードを提供するため、フォローアッププローブのための通信を実行するため、ネットワーク情報を受信するため、または他の適切な目的のための、ネットワークインターフェースを備える。いくつかの実施態様では、ネットワークインターフェース306は、高帯域幅通信用に構成されているネットワークインターフェースを備える。
図4は、トリガースキャンのプロセスの一実施態様を示すフロー図である。いくつかの実施態様では、図4のプロセスは、図1のスキャンシステム104によって実行される。図示される例では、400で、指示が外部システムから受取られる。いくつかの実施態様では、外部システムから受け取られた指示は、手動により決定された指示(例えば、人により決定されかつ開始された指示)を備える。様々な実施態様では、手動により決定された指示は、脆弱性の指示、公開されたニュース記事から決定された指示、インターネットの投稿から決定された指示、または他の適切な指示を備える。様々な実施態様では、手動により決定された指示は、スキャンシステムユーザ、アドミニストレータシステムユーザ、外部システムユーザ、ネットワークシステムユーザ、または他の適切なシステムユーザによって手動により決定された指示を備える。いくつかの実施態様では、外部システムから受け取られた指示は、自動指示(例えば、外部システム情報から自動プロセスによって決定された指示)を備える。様々な実施態様では、自動指示は、ボーダゲートウェイプロトコール(例えば、BGP)ルートの変更の指示、ドメインネームサーバ(例えば、DNS)の変更の指示、インターネットプロトコール(例えば、IP)の変更の指示または地域インターネットレジストリ(RIR)の変更の指示、企業の合併、併合、または売却の指示、変更されたシステムの指示、変更されたサービスの指示、「ゼロデイ」脆弱性または既存のオペレーティングコードに対する深刻な脅威についての限定的なプライベートリリースまたは開示、または他の適切な自動指示を備える。様々な実施態様では、この指示は、1つ以上のアドレス(例えば、変更が生じたアドレス、問題を引き起こすアドレス、異常な挙動を経験したアドレス、等)、1つ以上のポート(例えば、スキャンを必要とするポート、スキャンを必要とするサービスに関連付けられているポート、等)、1つ以上のスキャンタイプ(スキャンが必要なサービスに関連付けられているスキャンタイプ、等)、または他の適切なスキャン情報を備える。402では、この指示に少なくとも部分的に基づいてスキャンクエリが決定される。例えば、BGPルートの変更がアドバタイズされた場合、高優先度スキャンのために、変更され、アドバタイズされたプレフィックス内のポートの優先リスト全体に渡って全てのIPアドレスを、選択することが出来るであろう。ネットワーク機器の製造業者が合併した場合、これらの企業自体に関連付けられている全てのIPおよび彼らの製品に関連付けられているIPは、再スキャンにより自動的に検出される。「ゼロデイ」脆弱性が限定的なプライベート開示である場合、潜在的にこのゼロデイ脆弱性に脆弱であるシステムに関連付けられている全てのIPが、これらのシステムが、実際に、このゼロデイ脆弱性に対し脆弱であるか否かをテストするために、特定なパラメータにより自動的にスキャンされる。様々な実施態様では、スキャンクエリは、この指示に関連付けられているアドレス、この指示に関連付けられているポート、この指示に関連付けられているスキャンタイプ、または他の適切な指示情報に少なくとも部分的に基づいている。いくつかの実施態様では、この指示に少なくとも部分的に基づいてスキャンクエリを決定することは、クエリを拡張する(例えば、追加アドレス、追加ポートをスキャンすることが含まれる様にクエリを拡張する、またはこの指示内に直接指示されているものを超えて追加スキャンタイプを使用する)ことを備える。例えば、新しい企業が、他の2つ以上の企業の合併によって形成される場合、新しい企業に関連付けられているドメインを持つIPは、ポートとプロトコールの所定のリスト全体に渡って自動的にスキャンされる。ゼロデイ脆弱性が公開されている場合、再スキャンされるべきアドレスのセットは、再帰的にトリガされる。例えば、最初にゼロデイに対して潜在的に脆弱であるIPのセットがスキャンされ、続いて、このゼロデイに対して脆弱であることが判明したIPと公開暗号化キーを共有するIPアドレスの拡張クエリによりスキャンされる。404では、スキャンクエリが実行される(例えば、1つ以上のシステムが、スキャンクエリによって指示されるようにスキャンされる)。406では、クエリ結果が格納される。例えば、スキャンクエリの結果はデー​​タベースに格納される。データベースにはクエリ結果が長期間格納されるため、異なる時間のスキャン結果を比較することが出来る。408では、ネットワーク状態の表示が提供される。いくつかの実施態様では、ネットワーク状態の表示は、ネットワーク脆弱性の表示を備える。一部の実施態様では、ネットワーク状態の表示は、スキャンデータと履歴データとの比較を備える。
図5は、指示に少なくとも部分的に基づいてスキャンクエリを決定するプロセスの実施態様を示すフロー図である。いくつかの実施態様では、図5のプロセスは図4の402を実施する。図示されている例では、500で、この指示に関連付けられているアドレスが決定される。様々な実施態様では、この指示に関連付けられているアドレスは、修正されたシステムのアドレス、問題のあるシステムのアドレス、攻撃を受けているシステムのアドレス、異常なトラフィックを受信するシステムのアドレス、システム作成のアドレス、異常なトラフィック、マルウェアの兆候に関連付けられているシステムのアドレス、または他の適切なアドレスを備える。502では、この指示に関連付けられているポートが決定される。様々な実施態様では、この指示に関連付けられているポートは、修正するよう指示されたポート(例えば、新たに閉じられたポート、新たに開かれたポート、等)、問題のあるサービスに関連付けられているポート、攻撃されていると決定されたポート、異常なトラフィックを受信するポート、異常なトラフィックを作成するポート、または他の適切なポートを備える。504では、この指示に関連付けられているスキャンタイプが決定される。様々な実施態様では、スキャンタイプは、指示された変更に関連付けられているスキャンタイプ、指示されたサービスに関連付けられているスキャンタイプ、広範なスキャンタイプ、マルウェアを識別するためのスキャンタイプ、システム範囲を決定するためのスキャンタイプ、または他の適切なスキャンタイプを備える。506では、この指示に関連付けられているアドレスに少なくとも部分的に基づいて、このスキャンクエリのアドレスのセットが決定される。いくつかの実施態様では、このスキャンクエリのアドレスのセットは、この指示および他のアドレスに関連付けられているアドレスを備える。様々な実施態様では、このスキャンクエリのアドレスのセットは、この指示に関連付けられているアドレスの近くのアドレスのセット、この指示に関連付けられているアドレスと同じネットワーク上のアドレスのセット、この指示に関連付けられているアドレスと同じように構成されているアドレスのセット、または他の適切なアドレスのセットを備える。508で、このスキャンクエリのポートのセットが、この指示に関連付けられているポートに少なくとも部分的に基づいて決定される。いくつかの実施態様では、このスキャンクエリのためのポートのセットは、指示および他のポートに関連付けられているポートを備える。様々な実施態様では、このスキャンクエリのポートのセットは、この指示に関連付けられているポートに関連付けられているポートのセット、この指示に関連付けられているポートに近いポートのセット、この指示に関連付けられているポートのセット、または他の適切なポートのセットを備える。510では、このスキャンクエリのスキャンタイプのセットが、この指示に関連付けられているスキャンタイプに少なくとも部分的に基づいて決定される。いくつかの実施態様では、このスキャンクエリのスキャンタイプのセットは、指示および他のスキャンタイプに関連付けられているスキャンタイプを備える。様々な実施態様では、このスキャンクエリのスキャンタイプのセットは、この指示に関連付けられているポートに関連付けられているスキャンタイプのセット、この指示に関連付けられているスキャンタイプに類似したスキャンタイプのセット、この指示に関連付けられているスキャンタイプのセット、または他の適切なスキャンタイプのセットを備える。
図6は、スキャンクエリを実行するプロセスの一実施態様を示すフロー図である。いくつかの実施態様では、図6のプロセスは、図4の404を実施する。図示されている例では、600で、このスキャンクエリのアドレスが選択される。様々な実施態様では、このアドレスは、第1のアドレス、次のアドレス、ランダムに選択されたアドレス、擬似ランダムに選択されたアドレス、または他の適切なアドレスを備える。602では、このスキャンクエリのポートが選択される。様々な実施態様では、このポートは、第1のポート、次のポート、ランダムに選択されたポート、擬似ランダムに選択されたポート、または他の適切なポートを備える。604では、このスキャンクエリのスキャンタイプが選択される。様々な実施態様では、このスキャンタイプは、第1のスキャンタイプ、次のスキャンタイプ、ランダムに選択されたスキャンタイプ、擬似ランダムに選択されたスキャンタイプ、または他の適切なスキャンタイプを備える。606では、このアドレスのポートがこのスキャンタイプを使用してスキャンされる。いくつかの実施態様では、このスキャンタイプは、階層スキャンを備え、かつスキャン応答がフォローアッププローブを使用するスキャンを指示する場合、フォローアッププローブを使用するスキャンを備える。様々な実施態様では、このスキャンタイプは、アドレスのポート、他のポート、他のアドレス、または他の適切なスキャンターゲットに関する適切な任意の数の通信を備える。608で、スキャンタイプ(例えば、アドレス上のポートをスキャンするためのスキャンクエリのより多くのスキャンタイプ)が、これ以上あるか否かが決定される。スキャンタイプがさらにあると決定された場合、制御は604に移る。スキャンタイプがこれ以上無いと決定された場合、制御は610に移る。610で、(例えば、スキャンするこのアドレスのスキャンクエリの)ポートが、これ以上あるか否かが決定される。ポートがさらにあると決定された場合、制御は602に移る。ポートがこれ以上ないと決定された場合、制御は612に移る。612では、(例えば、このスキャンクエリの)アドレスがさらにあるか否かが決定される。アドレスがさらにあると決定された場合、制御は600に渡される。アドレスがこれ以上ないと決定された場合、プロセスは終了する。
図7は、ネットワーク状態の表示を提供するプロセスの実施態様を示すフロー図である。いくつかの実施態様では、図7のプロセスは、図4の408を実施する。図示される例では、700で、適切に構成されているシステムのセットが、履歴データから決定される。いくつかの実施態様では、履歴データは以前のスキャンを備える。いくつかの実施態様では、適切に構成されているシステムは、脆弱性が検出されていないシステムを備える。様々な実施態様では、適切に構成されているシステムのセットは、クライアントネットワークのサブセット、このスキャンクエリのアドレスのサブセット、全て適切に構成されているシステム、または適切に構成されているシステムの他の適切なセットを備える。702では、脆弱性のセットが履歴データから決定される。様々な実施態様では、脆弱性は、誤って構成されているシステム、アクセスすべきでないアクセス可能なシステム、新たに発見されたシステムの悪用に対する脆弱性、または他の適切な脆弱性を備える。704では、適切に構成されているシステムのセットが、このスキャンクエリから(例えば、最新のスキャンデータから)決定される。706では、脆弱性のセットが、このスキャンクエリから決定される。708では、ネットワーク状態の比較が提供される。いくつかの実施態様では、このネットワーク状態比較は、指示が受取られる前後のネットワーク状態の比較を備える。
上記の実施態様は、理解を明確にする目的である程度詳細に説明されたが、本発明は、提供された詳細に限定されない。本発明の実施には、多くの代替方法がある。開示された実施態様は、例示的なものであり、限定的なものではない。
Claims (21)
- 外部システムから指示を受信するように構成されている入力インターフェースと、
前記指示に少なくとも部分的に基づいてスキャンクエリを決定しそして前記スキャンクエリを実行するように構成されているプロセッサとを
備えるイベント駆動型クエリのためのシステム。 - 前記指示が、手動により決定された指示を備える、請求項1に記載のシステム。
- 前記指示が、脆弱性指示を備える、請求項2に記載のシステム。
- 前記指示が、公開されたニュース記事から決定された公開されたニュース記事指示を備える、請求項2に記載のシステム。
- 前記指示が、インターネット投稿から決定されたインターネット投稿指示を備える、請求項2に記載のシステム。
- 前記指示が、自動指示を備える、請求項1に記載のシステム。
- 前記指示が、BGPルート変更指示を備える、請求項6に記載のシステム。
- 前記指示が、DNS変更指示を備える、請求項6に記載のシステム。
- 前記指示が、IP変更指示を備える、請求項6に記載のシステム。
- 前記スキャンクエリを決定することが、前記指示に関連付けられているアドレスを決定することを備える、請求項1に記載のシステム。
- 前記スキャンクエリを決定することが、前記指示に関連付けられているポートを決定することを備える、請求項1に記載のシステム。
- 前記スキャンクエリを決定することが、前記指示に関連付けられているスキャンタイプを決定することを備える、請求項1に記載のシステム。
- 前記スキャンクエリを決定することが、前記スキャンクエリを拡張することを備える、請求項1に記載のシステム。
- 前記スキャンクエリを拡張することが、前記スキャンクエリにアドレスを追加することを備える、請求項13に記載のシステム。
- 前記スキャンクエリを拡張することが、前記スキャンクエリにポートを追加することを備える、請求項13に記載のシステム。
- 前記スキャンクエリを拡張することが、前記スキャンクエリにスキャンタイプを追加することを備える、請求項13に記載のシステム。
- 前記クエリを実行することが、1つ以上のスキャンタイプを使用して、1つ以上のポートでクライアントシステムの1つ以上のアドレスをスキャンすることを備える、請求項1に記載のシステム。
- 前記プロセッサが、さらに、ネットワーク状態の表示を提供する、請求項1に記載のシステム。
- 前記ネットワーク状態の表示が、前記指示が受取られる前後のネットワーク状態の比較を備える、請求項1に記載のシステム。
- クライアントシステムから指示を受信するステップと、
プロセッサを使用して、指示に少なくとも部分的に基づいてスキャンクエリを決定するステップと、
スキャンクエリを実行するステップと、
を備えるイベント駆動型クエリの方法。 - イベント駆動型クエリ用のコンピュータプログラム製品であって、前記コンピュータプログラム製品が、非一時的なコンピュータ可読格納媒体に組み込まれていて、かつ
クライアントシステムから指示を受信するコンピュータ命令、
前記指示に少なくとも部分的に基づいてスキャンクエリを決定するコンピュータ命令、および
スキャンクエリを実行するコンピュータ命令、
を備える、
イベント駆動型クエリ用のコンピュータプログラム製品。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US15/463,990 | 2017-03-20 | ||
US15/463,990 US10831838B2 (en) | 2017-03-20 | 2017-03-20 | Triggered scanning based on network available data change |
PCT/US2017/065428 WO2018174973A1 (en) | 2017-03-20 | 2017-12-08 | Triggered scanning based on network available data change |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2020511860A true JP2020511860A (ja) | 2020-04-16 |
Family
ID=63520147
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019551675A Pending JP2020511860A (ja) | 2017-03-20 | 2017-12-08 | ネットワークから入手可能なデータ変更に基づくトリガースキャン |
Country Status (8)
Country | Link |
---|---|
US (2) | US10831838B2 (ja) |
EP (1) | EP3602994A4 (ja) |
JP (1) | JP2020511860A (ja) |
KR (1) | KR20200006036A (ja) |
CN (1) | CN110431819A (ja) |
AU (1) | AU2017404748A1 (ja) |
CA (1) | CA3053257A1 (ja) |
WO (1) | WO2018174973A1 (ja) |
Families Citing this family (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111291382B (zh) * | 2020-01-22 | 2022-04-08 | 上海电子信息职业技术学院 | 漏洞扫描系统 |
CN111444392B (zh) * | 2020-03-26 | 2023-04-25 | 杭州迪普科技股份有限公司 | 一种漏洞库的访问方法、装置及设备 |
Family Cites Families (28)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6088804A (en) * | 1998-01-12 | 2000-07-11 | Motorola, Inc. | Adaptive system and method for responding to computer network security attacks |
US6907533B2 (en) | 2000-07-14 | 2005-06-14 | Symantec Corporation | System and method for computer security using multiple cages |
US20030056116A1 (en) | 2001-05-18 | 2003-03-20 | Bunker Nelson Waldo | Reporter |
EP1461927B1 (en) * | 2001-10-25 | 2006-04-12 | General Dynamics Government Systems Corporation | A method and system for modelling, analysis, and display of network security events |
US20030188194A1 (en) * | 2002-03-29 | 2003-10-02 | David Currie | Method and apparatus for real-time security verification of on-line services |
US20030212779A1 (en) * | 2002-04-30 | 2003-11-13 | Boyter Brian A. | System and Method for Network Security Scanning |
US7451488B2 (en) | 2003-04-29 | 2008-11-11 | Securify, Inc. | Policy-based vulnerability assessment |
US7444508B2 (en) | 2003-06-30 | 2008-10-28 | Nokia Corporation | Method of implementing secure access |
US8683031B2 (en) | 2004-10-29 | 2014-03-25 | Trustwave Holdings, Inc. | Methods and systems for scanning and monitoring content on a network |
US7784099B2 (en) * | 2005-02-18 | 2010-08-24 | Pace University | System for intrusion detection and vulnerability assessment in a computer network using simulation and machine learning |
US8806634B2 (en) * | 2005-04-05 | 2014-08-12 | Donald N. Cohen | System for finding potential origins of spoofed internet protocol attack traffic |
US20060291446A1 (en) | 2005-06-24 | 2006-12-28 | Donald Caldwell | Systems, methods, and devices for managing routing |
US8220050B2 (en) | 2008-03-31 | 2012-07-10 | Sophos Plc | Method and system for detecting restricted content associated with retrieved content |
US9009834B1 (en) | 2009-09-24 | 2015-04-14 | Google Inc. | System policy violation detection |
US8549650B2 (en) * | 2010-05-06 | 2013-10-01 | Tenable Network Security, Inc. | System and method for three-dimensional visualization of vulnerability and asset data |
RU2657170C2 (ru) | 2010-07-01 | 2018-06-08 | Онапсис, Инк. | Автоматизированная оценка безопасности критически важных для бизнеса компьютерных систем и ресурсов |
US10043011B2 (en) * | 2011-01-19 | 2018-08-07 | Rapid7, Llc | Methods and systems for providing recommendations to address security vulnerabilities in a network of computing systems |
US8966625B1 (en) * | 2011-05-24 | 2015-02-24 | Palo Alto Networks, Inc. | Identification of malware sites using unknown URL sites and newly registered DNS addresses |
US9049207B2 (en) | 2012-04-11 | 2015-06-02 | Mcafee, Inc. | Asset detection system |
US9015812B2 (en) | 2012-05-22 | 2015-04-21 | Hasso-Plattner-Institut Fur Softwaresystemtechnik Gmbh | Transparent control of access invoking real-time analysis of the query history |
US8756698B2 (en) | 2012-08-10 | 2014-06-17 | Nopsec Inc. | Method and system for managing computer system vulnerabilities |
US20140181975A1 (en) | 2012-11-06 | 2014-06-26 | William Spernow | Method to scan a forensic image of a computer system with multiple malicious code detection engines simultaneously from a master control point |
US9749336B1 (en) * | 2013-02-26 | 2017-08-29 | Palo Alto Networks, Inc. | Malware domain detection using passive DNS |
WO2015142755A1 (en) | 2014-03-17 | 2015-09-24 | Proofpoint, Inc. | Behavior profiling for malware detection |
US9942250B2 (en) * | 2014-08-06 | 2018-04-10 | Norse Networks, Inc. | Network appliance for dynamic protection from risky network activities |
US9699209B2 (en) | 2014-12-29 | 2017-07-04 | Cyence Inc. | Cyber vulnerability scan analyses with actionable feedback |
US10425430B2 (en) * | 2016-04-22 | 2019-09-24 | Expanse, Inc. | Hierarchical scanning of internet connected assets |
US20180097845A1 (en) * | 2016-10-05 | 2018-04-05 | Rapid Focus Security, Llc | Self-Managed Intelligent Network Devices that Protect and Monitor a Distributed Network |
-
2017
- 2017-03-20 US US15/463,990 patent/US10831838B2/en active Active
- 2017-12-08 JP JP2019551675A patent/JP2020511860A/ja active Pending
- 2017-12-08 CA CA3053257A patent/CA3053257A1/en not_active Abandoned
- 2017-12-08 CN CN201780088651.2A patent/CN110431819A/zh active Pending
- 2017-12-08 KR KR1020197027383A patent/KR20200006036A/ko unknown
- 2017-12-08 WO PCT/US2017/065428 patent/WO2018174973A1/en unknown
- 2017-12-08 AU AU2017404748A patent/AU2017404748A1/en not_active Abandoned
- 2017-12-08 EP EP17902345.2A patent/EP3602994A4/en not_active Ceased
-
2020
- 2020-09-15 US US17/021,722 patent/US11526564B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
CN110431819A (zh) | 2019-11-08 |
US20200410016A1 (en) | 2020-12-31 |
EP3602994A1 (en) | 2020-02-05 |
US20180268058A1 (en) | 2018-09-20 |
EP3602994A4 (en) | 2020-10-28 |
KR20200006036A (ko) | 2020-01-17 |
US10831838B2 (en) | 2020-11-10 |
AU2017404748A1 (en) | 2019-09-26 |
WO2018174973A1 (en) | 2018-09-27 |
CA3053257A1 (en) | 2018-09-27 |
US11526564B2 (en) | 2022-12-13 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9473528B2 (en) | Identification of malware sites using unknown URL sites and newly registered DNS addresses | |
US20160164917A1 (en) | Action recommendations for computing assets based on enrichment information | |
US20150326588A1 (en) | System and method for directing malicous activity to a monitoring system | |
US11949697B2 (en) | Hierarchical scanning of internet connected assets | |
US20230269140A1 (en) | Dynamic segmentation management | |
WO2016081561A1 (en) | System and method for directing malicious activity to a monitoring system | |
US11526564B2 (en) | Triggered scanning based on network available data change | |
US11170011B2 (en) | Triggered scanning using provided configuration information | |
EP3602993B1 (en) | Distributed scanning | |
US10749857B2 (en) | Network mapping using a fingerprint | |
US20240176892A1 (en) | Automated application programming interface (api) testing |