JP4733886B2 - アプリケーションのプロトコル特性を抽出するための方法とシステム - Google Patents
アプリケーションのプロトコル特性を抽出するための方法とシステム Download PDFInfo
- Publication number
- JP4733886B2 JP4733886B2 JP2001508692A JP2001508692A JP4733886B2 JP 4733886 B2 JP4733886 B2 JP 4733886B2 JP 2001508692 A JP2001508692 A JP 2001508692A JP 2001508692 A JP2001508692 A JP 2001508692A JP 4733886 B2 JP4733886 B2 JP 4733886B2
- Authority
- JP
- Japan
- Prior art keywords
- message
- server
- protocol
- client
- application
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0254—Stateful filtering
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/08—Protocols for interworking; Protocol conversion
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Computer And Data Communications (AREA)
- Communication Control (AREA)
- Hardware Redundancy (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Description
【0001】
(発明の背景)
本発明は一般にネットワークのセキュリティとプライバシーのシステムに関するものであり、更に詳しくはサーバで動作するアプリケーションプログラムで取ることができる処置を継続的に、そして自動的または半自動的に限定し、更新するための方法とシステムに関するものである。
【0002】
サーバコンピュータにあるデータまたはアプリケーションプログラムのセキュリティまたはプライバシーを危うくする一つの様式は、認められていないコマンドによるものである。すなわち、たとえばインターネットを介してサーバに接続できるクライアントコンピュータは、クライアントが資格を与えられていないデータの検索または命令の実行のための要求を送信することがある。たとえば、販売されている商品を入手できるインターネットでアクセスできるウェブサーバは、購入品目の選択、個人および支払いのデータの入力、更には、前に入力されたデータを検索するためのアプリケーションプログラムの実行、のような処置を許容することがある。しかし、ウェブサーバはあるクライアントが価格データを変更したり、秘密にしておくつもりの他のデータを検索することを許容するべきではなく、また、これらの型の要求はそのクライアントに対して認められていない、または許容されていないと考えるべきである。現在、多くのアプリケーションは、クライアントがこれらの種類の要求を行うのに対する防御手段を含んでいない。
【0003】
現在、サービスプロパイダネットワーク(たとえば、商業サイト、政府の研究所、eコマースサイト等)はファイアウォール・セキュリティ装置またはルータによって防護されることが多い。これらのツールは、低レベルプロトコル(たとえば、TCPまたはUDP)の、そしてFTPまたはTELNETのような一般的なインターネットアプリケーションの弱点に基づいて、攻撃に対する良好なレベルのセキュリティを与える。しかし、これらのプロトコルは、特定のバンキングアプリケーション、料金請求アプリケーション、保険アプリケーション等のような特定のアプリケーションプロトコルの実行を防ぐことができず、またアプリケーションプロトコルの変更または更新に責任を持つことができない。
【0004】
クライアントが許容不可能な処置を取らないようにするために、クライアントとサーバとの間にゲートウェイまたはフィルタの機構を設けて、許容されていない要求を識別して、除去することがある。図1に示すように、フィルタモジュール14がサーバ10とクライアントとの間に配置される。クライアントは、図1では一つだけがクライアント12として示されている。フィルタモジュール14はクライアント12から要求を受け、クライアント12がサーバ10に要求する許容不可能な処置を除去し、要求の残りの許容される部分をサーバ10に送る。フィルタモジュール14は、プロトコルデータベース16に問い合わせることによってどの要求が許容されるか判定する。プロトコルデータベース16はサーバにあるアプリケーションプログラムに対するアプリケーションプロトコルを記憶している。ここで使用されているように、アプリケーションプロトコルはアプリケーションプログラムに対して許容可能な処置の一部または全部を表す。
【0005】
ゲートウェイシステムと関連の構成要素の一例は後記出願番号09/149,911および09/150,112に説明されている。これらの出願はここに引用することにより、本出願の一部として組み入れられる。
【0006】
プロトコルデータベース16を作成するために、開発者はアプリケーションのすべてのプロトコル、および認められた、または許容可能な処置を知っていなければならない。しかし、複雑なプロトコルを利用するアプリケーションの場合、精密なプロトコルを指定するプロセスは長く、冗長なものとなり得る。更に、アプリケーション開発者はプロトコルの完全な仕様を知っていないことさえ多い。プログラマが行う暗黙の仮定は通常、識別するのが極めて難しいからである。更に、開発者はアプリケーションプロトコルの変化を監視して、それに応じてプロトコルデータベースを更新しなければならない。完全で正確なプロトコルデータベースをそなえ損なうと、クライアントがサーバにあるアプリケーションプログラムを充分に利用することができなくなり得る。効果的でないデータベースでは、アプリケーションプログラムの現在のバージョンでは許容不可能な処置をクライアントが取り得ることになってしまう。
【0007】
したがって、オンライン、実時間ベースでサーバにあるアプリケーションに対するアプリケーションプロトコルを少なくとも半自動的に限定するための方法とシステムが求められている。
【0008】
(発明の概要)
本発明の一つの目的は、セキュリティとプライバシーのシステムで前記の問題を解決することである。
本発明のもう一つの目的は、クライアントがサーバに要求することがあり得る、許容可能な処置を限定することである。
本発明のもう一つの目的は、オンライン、実時間ベースでアプリケーションプロトコルを抽出するための機構を提供することである。
【0009】
これらの目的および他の目的は、アプリケーションプロトコルを抽出し、それにより、一組の許容可能な、即ち認められた処置を限定する、抽出コンピュータプログラムによって実現される方法によって達成される。この方法では、サーバからのメッセージを、それが送られる前またはクライアントへ送るのと並行して、受信する。このメッセージはクライアントからのそれに対する特定の要求に応じたものであってもよい。たとえば、クライアントが通常、ブラウザプログラムを介してウェブドキュメントまたはページを要求するワールドワイドウェブの場合には、要求されたウェブページが、クライアントへの送信の前またはそれと並行してさえぎられる。
【0010】
次に、抽出プログラムはサーバメッセージからアプリケーションプロトコルデータを抽出する。サーバメッセージは通常、インターネット通信の場合のTCP/IPのような、クライアントへの送信に必要な一つ以上の通信プロトコルのためのデータを含む。メッセージのコピーに作用して、プログラムはメッセージからの通信データを解析し、この情報の記憶または廃棄を行う。次に、プログラムはメッセージからプロトコル(一つまたは複数)を取り去る。次に、プログラムは残りのメッセージを解析することにより、コマンド、フィールド、またはメッセージに含まれるユーザが選択することができる他のオプションを識別する。これらのアイテムは、メッセージに述べられたようなアプリケーションに対する許容可能な、即ち認められたユーザの処置の組を表す。
【0011】
次に、許容可能なユーザの処置の組は抽出プログラムによって、ゲートウェイまたはフィルタモジュールにアクセスすることができるプロトコルデータベースに記憶される。プロトコルデータはセッションベースでセッションに記憶してもよく、その場合、それをフィルタモジュールが使用することにより、各個別のクライアント/サーバのセッションに対する、かつアプリケーションプログラムの各部分またはセグメントに対するプロトコルポリシーを増強する。このように使用されたとき、プロトコルデータは、任意の与えられた点で許容される処置を表すように継続的に更新と変更を行ってもよい。代わりに、ある期間にわたって多数のセッションからプロトコルデータを集めて記憶することにより、より大きく、より複雑なプロトコルデータベースを作成してもよい。
【0012】
いずれにしても、サーバメッセージからアプリケーションプロトコルを獲得できることにより、進行している実時間ベースで継続的に更新することができ、許容可能な処置の組をより正確に反映するプロトコルデータベースが提供される。
【0013】
(好適実施例の詳細な説明)
次に、図面を参照して本発明の好適実施例を詳細に説明する。
【0014】
図2Aに示すように、インターネット、イントラネット、または他の任意の専用ネットワークのようなコンピュータネツトワークがクライアント12とサーバ10を接続する。クライアントとサーバは各々一つずつしか示していない。サーバ10には、フィルタモジュール14、プロトコルデータベース16、およびプロトコル抽出モジュール18で構成されるセキュリティ・ゲートウェイ・システムが結合されている。これらのモジュールはサーバ10に記憶してもよいし、サーバ10とは分離しているが、サーバ10に接続可能な一つのコンピュータに記憶してもよいし、分離しているが、接続可能な多数のコンピュータに記憶してもよい。
【0015】
フィルタモジュール14はクライアント12からの要求のようなメッセージをさえぎり、プロトコルデータベース16に問い合わせて、要求の中の処置またはコマンドがクライアント12に対して認められたか、または許容されたか判定する。プロトコルデータベース16は、与えられたクライアント/サーバのセッションに対して、アプリケーションプログラムの「ステージ」または部分に対して、または与えられたアプリケーションプログラムに対して許容可能な処置の静的なリストとして、許容可能な処置のリストを含む。
【0016】
いくつかの実施例では、フィルタモジュール14は出願番号09/149,911に説明されているように二つ以上の構成要素で構成され、これらを介してクライアント通信のコマンドおよび他のデータが、セキュリティを付加するための、簡略化されたプロトコルに変換される。図2Bに示されるように、ゲートウェイ14aは、専用の安全な通信バス28を介して接続され、ここではロボットと呼ばれる二つの分離した異なる処理エンティティ24、26を含む。内部ロボット24はサーバ10に接続され、外部ロボット26はインターネットまたは他の外部演算環境を介してクライアント12に接続される。各ロボットは、ここでクリア・インタ・プロトコルすなわちCIP(clear inter−protocol)と呼ばれる簡略化されたプロトコルフォーマツトを使用して、それぞれの環境から受信された通信またはメッセージを簡略化されたメッセージに翻訳またはリダクションし、インタ・ロボットバス28を使用し、ロボット間転送プロトコルすなわちIRP(inter−robot transfer protocol)を使用してCIPメッセージを他方のロボットに送信し、他方のロボットから受信されたこのようなCIPメッセージをそれぞれの環境に対してフォーマツト化されたメッセージに翻訳することができる。これらの3個の要素24、26、28は協同して、保護される内部サーバ10に対してゲートウェイ14aが与える保護を実行する。ロボット24、26は、それぞれのセキュリティ・ゲートウェイのソフトウェアパッケージによって限定されるルーチンを実行する二つの別個の独立した論理プロセスである。ロボット24、26は二つの別個の処理装置に設置してもよいし、保護モードでロボット24、26の一方または両方を動作させる単一の処理装置に設置してもよい。
【0017】
各ロボット24、26はプロトコルマネジャ(図示しない)を含むか、またはプロトコルマネジャにアクセスする。プロトコルマネジャは特定の環境に対してロボットが受信したメッセージをCIPメッセージにリダクションして、他方のロボットに送信し、またCIPフォーマツトで他方のロボットから受信したメッセージをそれぞれの自然環境に対するプロトコルに再翻訳もする。したがって、プロトコルマネジャは、このリダクションと再翻訳のためにCIPコードのデータベースを使用する。図2Bに示されるように、内部ロボット24の中にあるプロトコル抽出モジュール18は、内部ロボット24がサーバ10から受信したメッセージの中のプロトコルを抽出し、ここに説明したようにプロトコルを抽出し、アプリケーションプロトコルデータをロボット26に与える。
【0018】
本発明によれば、プロトコル抽出モジュール18はサーバのメッセージをさえぎり、プロトコルデータベース16に追加するためのアプリケーションプロトコルデータを抽出する。図3を参照して、一実施例による抽出モジュール18の動作を説明する。ステップ30で、サーバ10はクライアント宛てのメッセージを送信する。このメッセージは、サーバ10またはそれに接続されたコンピュータ上にあってランするアプリケーションに関連する情報を含む。このメッセージはクライアントから前に受信された要求に対する応答であってもよい。ステップ32で、サーバのメッセージのコピーまたはメッセージ自体を使用して、アプリケーションプロトコルデータがサーバメッセージから抽出される。後で更に詳しく説明するように、この抽出プロセスは多数の方法で行うことができ、これらの方法には、公知の手法を使用して、TCP/IPのような低レベルプロトコルすなわち通信プロトコルを識別し、IPソースデータのような所要のデータを保持しつつ、このようなプロトコルを取り去り、許容されるコマンドまたは認められた他のユーザの処置があるかメッセージの残りを探索することが含まれる。
【0019】
抽出されると、ステップ34でアプリケーションプロトコルデータがプロトコルデータベース16に記憶される。プロトコルデータは、アプリケーションの現在のバージョンに関連する永久ファイルに追加してもよいし、特定のクライアント/サーバのセッションに対してだけ使用される一時的なセッションベースのファイルに追加してもよいし、特定のサーバメッセージに対してだけ使用された後に上書きされる一時ファイルに追加してもよい。これらのオプションのすべては、アプリケーションの変更に対する自動的な適応を考慮に入れ、また、アプリケーションの異なる部分または段階で許容可能な処置に対して責任をとるためプロトコルデータベースの継続的修正を考慮に入れている。これらのオプションの相違は、前のメッセージからのプロトコルが将来のメッセージに対して適切なままである程度のものである。
【0020】
ステップ36で、サーバメッセージがクライアントに送信される。次にステップ38で、クライアントはサーバ宛ての要求を送信する。クライアントの要求は、サーバメッセージに対する正当な応答であるかも知れないし、あるいはアプリケーションに認められていないコマンドを実行させようとする試みであるかも知れない。ステップ40で、フィルタモジュール14はクライアントの要求をさえぎり、それを読み取って、プロトコルデータベースに問い合わせる。所望のセキュリティとプライバシーに応じて、問い合わせは、クライアント、サーバ、特定のアプリケーション、特定のセッション等を識別する必要があるかも知れない。
【0021】
ステップ42で、要求はアプリケーションプロトコルデータベースと比較されて、その要求が許容されるか否か判定される。ステップ44で、要求が許容される場合には、フィルタモジュール14は要求をサーバに送る。要求がプロトコルデータベース16内のアプリケーションプロトコルの処置のどれとも合致せず、したがって許容不可能と考えられる場合には、ステップ46で、要求はサーバへのアクセスを拒絶され、クライアント12とサーバ10の一方または両方に認められていない要求が試みられたことを通知することができる。
【0022】
ウェブに基づく通信のために使用されるプロトコル抽出方法の一実施例が図5に示されている。ステップ60で、抽出モジュールはウェブドキュメントまたはHTMLページであるサーバメッセージを受信する。ステップ62で、TCP/IPプロトコルデータがドキュメントから抽出され、記憶されることにより、ソースIPアドレスの識別が助けられ、たとえば、メッセージの宛て先のクライアントとのセッションが維持される。ステップ64で、モジュールがHTMLデータを読み取るまで、HTTPのような他の通信データが更にドキュメントから取り去られる。
【0023】
このデータから、モジュールは特定のアプリケーションの設計についての情報を集める。これは、ステップ66でHTMLドキュメントデータを解析し、すべてのタグを突き止めることにより行われる。ステップ68で他のウェブドキュメントへのリンクを定義するアンカーのようなタグの場合、ステップ70でURLとのリンクがプロトコルデータベースに追加される。これはたとえば、サーバ上の他の多くのページへのリンクを含むウェブサーバのホームページに当てはまる、またはShockwave、RealAudio、またはRealVideoのファイルに含まれるような、ある型のマルチメディアの中に埋め込まれたリンクに当てはまる。ステップ72で、抽出モジュールはウェブドキュメントの中の任意の入力フィールドも突き止める。これはたとえば、HTMLフォームの中に配置されているかも知れない。次に、ステップ74で、フィールドの型と長さを含む、このようなフィールドに対するフィールドデータのアイデンティティと性質がプロトコルデータベースに追加される。フィールド長が指定されない場合には、デフォルトフィールド長が使用される。たとえば、クライアント要求の与えられた長さの英数字データを必要とするものとして「ネーム」フィールドがプロトコルデータベースにリストされ、データフォーマット化された英数字データを必要とするものとして日付フィールドがリストされ、「イーメールアドレス」フィールドはイーメールフォーマット化されたデータ、たとえば、a@b.cを必要とする。
【0024】
同様のステップを使用して、プロトコル抽出モジュールは、フォーム、フィールド、固定フィールド、隠れフィールド、メニューオプション、DOMコンポーネント等の検査も行う。これらの要素の各々に対して、プロトコルデータベースはそれらの性質およびそれに課される制約について更新される。たとえば、識別されたすべての隠れフィールドに対して、データベースはそれらの性質およびクライアントはそれらの内容を変更することはできないということについて更新される。
【0025】
ステップ76で、抽出モジュールは更に、ウェブドキュメント内の利用できる他の任意の処置を識別する。これらは、たとえば、HTMLフォームの「サブミット」コマンド、「サーチ」コマンド、または他のアプリケーションレベルのプロトコルを含む。ステップ78で、ウェブドキュメント内のこれらの付加的な処置も抽出されて、プロトコルデータベースに記憶される。
【0026】
ステップ80でゲートウェイまたはフィルタがクライアントの要求を受けると、ステップ82で、それは要求内の各リンク、データ、コマンド、または他の処置をプロトコルデータベースに現在記憶されている対応するエンティティと比較する。このような許容不可能な処置が要求の中にない場合には、ステップ84で、その要求はサーバに送信される。許容不可能な処置が要求の中にある場合には、ステップ86で、プロトコルデータベースの中に含まれていないリンク、データ、またはコマンドが要求から抹消されるか、またはその代わりに、要求全体が拒絶される。
【0027】
次に、図5および6に示すように、いくつかの実施例では、プロトコル抽出モジュールは抽出プロセスを統制的に働かせ、管理するプロトコル・ディスパッチャ100を含む。図5に示されるように、ディスパッチャ100は一度に一つのプロトコル90を抽出し、たとえば、TCP/IP、HTTP、HTML、および他の任意のプロトコルを開始する。ウェブ環境では、メッセージを受信すると、図6のステップ110でディスパッチャ100は変数current_protocolをTCP/IPに初期設定する。次に、ステップ112で、現在のプロトコルからデータが抽出され、次に、ステップ114でメッセージから現在のプロトコルが取り去られる。次に、ステップ116で、現在のプロトコルがプロトコルデータベースに記憶されるか、またはその代わりに、ディスパッチャ100がすべてのプロトコルを通って進んだ後、プロトコルデータベースを更新してもよい。
【0028】
次に、ステップ118で、変数current_protocolがインクリメントされるか、または新しいプロトコルに設定される。ステップ120でcurrent_protocolがナル(NULL)で、抽出すべきプロトコルが無いことを示している場合には、プロセスは完了する。そうでなく、新しい現在のプロトコルに関連するデータがメッセージの中にある場合には、ステップ112でそのデータが抽出され、完了までプロセスが反復される。
【0029】
好適実施例に関連して本発明を説明し、図示してきたが、当業者には明らかなように本発明の趣旨と範囲から逸脱することなく多数の変更と変形を加えることができる。このような変更と変形は発明の範囲内に含まれるように意図されているので、本発明は前記の方法または構成の詳細に限定されるべきではない。
【0030】
(著作権の告知)
この特許文書の開示の一部分は著作権保護を受ける資料を含む。著作権者は、特許登録商標庁の特許ファイルまたはレコードに現れたときに特許文書または特許の開示を誰がファクシミリ複写しても異議を申し立てないが、それ以外の場合には、何であれ、すべての著作権を保留する。
【0031】
(関連出願)
この出願は、1998年9月9日に出願された出願番号09/149,911、「委託された内部ネットワークの動作を保護するための方法とシステム」(METHOD AND SYSTEM FOR PROTECTING OPERATIONS OF TRUSTED INTERNAL NETWORKS)、および1998年9月9日に出願された出願番号09/150,112、「アプリケーションプログラムまたはオペレーティングシステムに対して限定された動作環境を維持するための方法とシステム」(METHOD AND SYSTEM FOR MAINTAINING RESTRICTED OPERATING ENVIRONMENTS FOR APPLICATION PROGRAMS OR OPERATING SYSTEMS)に関連している。これらの関連出願はここに引用することにより、この明細書の一部として組み入れられる。
【図面の簡単な説明】
【図1】 クライアントの要求をフィルタリングするためのゲートウェイをそなえたクライアントサーバシステムのブロック図である。
【図2A】 本発明に従って図1のシステムにプロトコル抽出モジュールを追加して得られたシステムのブロック図である。
【図2B】 ゲートウェイが外部ロボットおよび内部ロボットを含む、図2Aのシステムの一実施例のブロック図である。
【図3】 本発明によりオンラインベースでアプリケーションプロトコル内の許容可能な処置を限定するプロセスを示すフローチャートである。
【図4】 本発明の一実施例によりインターネットを介してウェブサーバから送信されるHTMLファイル内の許容可能な処置を限定するプロセスの一部を示すフローチャートである。
【図5】 本発明の一実施例によりHTMLファイルに作用する図2Aのプロトコル抽出モジュールのプロトコルディスパッチャ構成要素を示すブロック図である。
【図6】 図5のプロトコルディスパッチャ構成要素により遂行されるプロトコル抽出プロセスを示すフローチャートである。
(発明の背景)
本発明は一般にネットワークのセキュリティとプライバシーのシステムに関するものであり、更に詳しくはサーバで動作するアプリケーションプログラムで取ることができる処置を継続的に、そして自動的または半自動的に限定し、更新するための方法とシステムに関するものである。
【0002】
サーバコンピュータにあるデータまたはアプリケーションプログラムのセキュリティまたはプライバシーを危うくする一つの様式は、認められていないコマンドによるものである。すなわち、たとえばインターネットを介してサーバに接続できるクライアントコンピュータは、クライアントが資格を与えられていないデータの検索または命令の実行のための要求を送信することがある。たとえば、販売されている商品を入手できるインターネットでアクセスできるウェブサーバは、購入品目の選択、個人および支払いのデータの入力、更には、前に入力されたデータを検索するためのアプリケーションプログラムの実行、のような処置を許容することがある。しかし、ウェブサーバはあるクライアントが価格データを変更したり、秘密にしておくつもりの他のデータを検索することを許容するべきではなく、また、これらの型の要求はそのクライアントに対して認められていない、または許容されていないと考えるべきである。現在、多くのアプリケーションは、クライアントがこれらの種類の要求を行うのに対する防御手段を含んでいない。
【0003】
現在、サービスプロパイダネットワーク(たとえば、商業サイト、政府の研究所、eコマースサイト等)はファイアウォール・セキュリティ装置またはルータによって防護されることが多い。これらのツールは、低レベルプロトコル(たとえば、TCPまたはUDP)の、そしてFTPまたはTELNETのような一般的なインターネットアプリケーションの弱点に基づいて、攻撃に対する良好なレベルのセキュリティを与える。しかし、これらのプロトコルは、特定のバンキングアプリケーション、料金請求アプリケーション、保険アプリケーション等のような特定のアプリケーションプロトコルの実行を防ぐことができず、またアプリケーションプロトコルの変更または更新に責任を持つことができない。
【0004】
クライアントが許容不可能な処置を取らないようにするために、クライアントとサーバとの間にゲートウェイまたはフィルタの機構を設けて、許容されていない要求を識別して、除去することがある。図1に示すように、フィルタモジュール14がサーバ10とクライアントとの間に配置される。クライアントは、図1では一つだけがクライアント12として示されている。フィルタモジュール14はクライアント12から要求を受け、クライアント12がサーバ10に要求する許容不可能な処置を除去し、要求の残りの許容される部分をサーバ10に送る。フィルタモジュール14は、プロトコルデータベース16に問い合わせることによってどの要求が許容されるか判定する。プロトコルデータベース16はサーバにあるアプリケーションプログラムに対するアプリケーションプロトコルを記憶している。ここで使用されているように、アプリケーションプロトコルはアプリケーションプログラムに対して許容可能な処置の一部または全部を表す。
【0005】
ゲートウェイシステムと関連の構成要素の一例は後記出願番号09/149,911および09/150,112に説明されている。これらの出願はここに引用することにより、本出願の一部として組み入れられる。
【0006】
プロトコルデータベース16を作成するために、開発者はアプリケーションのすべてのプロトコル、および認められた、または許容可能な処置を知っていなければならない。しかし、複雑なプロトコルを利用するアプリケーションの場合、精密なプロトコルを指定するプロセスは長く、冗長なものとなり得る。更に、アプリケーション開発者はプロトコルの完全な仕様を知っていないことさえ多い。プログラマが行う暗黙の仮定は通常、識別するのが極めて難しいからである。更に、開発者はアプリケーションプロトコルの変化を監視して、それに応じてプロトコルデータベースを更新しなければならない。完全で正確なプロトコルデータベースをそなえ損なうと、クライアントがサーバにあるアプリケーションプログラムを充分に利用することができなくなり得る。効果的でないデータベースでは、アプリケーションプログラムの現在のバージョンでは許容不可能な処置をクライアントが取り得ることになってしまう。
【0007】
したがって、オンライン、実時間ベースでサーバにあるアプリケーションに対するアプリケーションプロトコルを少なくとも半自動的に限定するための方法とシステムが求められている。
【0008】
(発明の概要)
本発明の一つの目的は、セキュリティとプライバシーのシステムで前記の問題を解決することである。
本発明のもう一つの目的は、クライアントがサーバに要求することがあり得る、許容可能な処置を限定することである。
本発明のもう一つの目的は、オンライン、実時間ベースでアプリケーションプロトコルを抽出するための機構を提供することである。
【0009】
これらの目的および他の目的は、アプリケーションプロトコルを抽出し、それにより、一組の許容可能な、即ち認められた処置を限定する、抽出コンピュータプログラムによって実現される方法によって達成される。この方法では、サーバからのメッセージを、それが送られる前またはクライアントへ送るのと並行して、受信する。このメッセージはクライアントからのそれに対する特定の要求に応じたものであってもよい。たとえば、クライアントが通常、ブラウザプログラムを介してウェブドキュメントまたはページを要求するワールドワイドウェブの場合には、要求されたウェブページが、クライアントへの送信の前またはそれと並行してさえぎられる。
【0010】
次に、抽出プログラムはサーバメッセージからアプリケーションプロトコルデータを抽出する。サーバメッセージは通常、インターネット通信の場合のTCP/IPのような、クライアントへの送信に必要な一つ以上の通信プロトコルのためのデータを含む。メッセージのコピーに作用して、プログラムはメッセージからの通信データを解析し、この情報の記憶または廃棄を行う。次に、プログラムはメッセージからプロトコル(一つまたは複数)を取り去る。次に、プログラムは残りのメッセージを解析することにより、コマンド、フィールド、またはメッセージに含まれるユーザが選択することができる他のオプションを識別する。これらのアイテムは、メッセージに述べられたようなアプリケーションに対する許容可能な、即ち認められたユーザの処置の組を表す。
【0011】
次に、許容可能なユーザの処置の組は抽出プログラムによって、ゲートウェイまたはフィルタモジュールにアクセスすることができるプロトコルデータベースに記憶される。プロトコルデータはセッションベースでセッションに記憶してもよく、その場合、それをフィルタモジュールが使用することにより、各個別のクライアント/サーバのセッションに対する、かつアプリケーションプログラムの各部分またはセグメントに対するプロトコルポリシーを増強する。このように使用されたとき、プロトコルデータは、任意の与えられた点で許容される処置を表すように継続的に更新と変更を行ってもよい。代わりに、ある期間にわたって多数のセッションからプロトコルデータを集めて記憶することにより、より大きく、より複雑なプロトコルデータベースを作成してもよい。
【0012】
いずれにしても、サーバメッセージからアプリケーションプロトコルを獲得できることにより、進行している実時間ベースで継続的に更新することができ、許容可能な処置の組をより正確に反映するプロトコルデータベースが提供される。
【0013】
(好適実施例の詳細な説明)
次に、図面を参照して本発明の好適実施例を詳細に説明する。
【0014】
図2Aに示すように、インターネット、イントラネット、または他の任意の専用ネットワークのようなコンピュータネツトワークがクライアント12とサーバ10を接続する。クライアントとサーバは各々一つずつしか示していない。サーバ10には、フィルタモジュール14、プロトコルデータベース16、およびプロトコル抽出モジュール18で構成されるセキュリティ・ゲートウェイ・システムが結合されている。これらのモジュールはサーバ10に記憶してもよいし、サーバ10とは分離しているが、サーバ10に接続可能な一つのコンピュータに記憶してもよいし、分離しているが、接続可能な多数のコンピュータに記憶してもよい。
【0015】
フィルタモジュール14はクライアント12からの要求のようなメッセージをさえぎり、プロトコルデータベース16に問い合わせて、要求の中の処置またはコマンドがクライアント12に対して認められたか、または許容されたか判定する。プロトコルデータベース16は、与えられたクライアント/サーバのセッションに対して、アプリケーションプログラムの「ステージ」または部分に対して、または与えられたアプリケーションプログラムに対して許容可能な処置の静的なリストとして、許容可能な処置のリストを含む。
【0016】
いくつかの実施例では、フィルタモジュール14は出願番号09/149,911に説明されているように二つ以上の構成要素で構成され、これらを介してクライアント通信のコマンドおよび他のデータが、セキュリティを付加するための、簡略化されたプロトコルに変換される。図2Bに示されるように、ゲートウェイ14aは、専用の安全な通信バス28を介して接続され、ここではロボットと呼ばれる二つの分離した異なる処理エンティティ24、26を含む。内部ロボット24はサーバ10に接続され、外部ロボット26はインターネットまたは他の外部演算環境を介してクライアント12に接続される。各ロボットは、ここでクリア・インタ・プロトコルすなわちCIP(clear inter−protocol)と呼ばれる簡略化されたプロトコルフォーマツトを使用して、それぞれの環境から受信された通信またはメッセージを簡略化されたメッセージに翻訳またはリダクションし、インタ・ロボットバス28を使用し、ロボット間転送プロトコルすなわちIRP(inter−robot transfer protocol)を使用してCIPメッセージを他方のロボットに送信し、他方のロボットから受信されたこのようなCIPメッセージをそれぞれの環境に対してフォーマツト化されたメッセージに翻訳することができる。これらの3個の要素24、26、28は協同して、保護される内部サーバ10に対してゲートウェイ14aが与える保護を実行する。ロボット24、26は、それぞれのセキュリティ・ゲートウェイのソフトウェアパッケージによって限定されるルーチンを実行する二つの別個の独立した論理プロセスである。ロボット24、26は二つの別個の処理装置に設置してもよいし、保護モードでロボット24、26の一方または両方を動作させる単一の処理装置に設置してもよい。
【0017】
各ロボット24、26はプロトコルマネジャ(図示しない)を含むか、またはプロトコルマネジャにアクセスする。プロトコルマネジャは特定の環境に対してロボットが受信したメッセージをCIPメッセージにリダクションして、他方のロボットに送信し、またCIPフォーマツトで他方のロボットから受信したメッセージをそれぞれの自然環境に対するプロトコルに再翻訳もする。したがって、プロトコルマネジャは、このリダクションと再翻訳のためにCIPコードのデータベースを使用する。図2Bに示されるように、内部ロボット24の中にあるプロトコル抽出モジュール18は、内部ロボット24がサーバ10から受信したメッセージの中のプロトコルを抽出し、ここに説明したようにプロトコルを抽出し、アプリケーションプロトコルデータをロボット26に与える。
【0018】
本発明によれば、プロトコル抽出モジュール18はサーバのメッセージをさえぎり、プロトコルデータベース16に追加するためのアプリケーションプロトコルデータを抽出する。図3を参照して、一実施例による抽出モジュール18の動作を説明する。ステップ30で、サーバ10はクライアント宛てのメッセージを送信する。このメッセージは、サーバ10またはそれに接続されたコンピュータ上にあってランするアプリケーションに関連する情報を含む。このメッセージはクライアントから前に受信された要求に対する応答であってもよい。ステップ32で、サーバのメッセージのコピーまたはメッセージ自体を使用して、アプリケーションプロトコルデータがサーバメッセージから抽出される。後で更に詳しく説明するように、この抽出プロセスは多数の方法で行うことができ、これらの方法には、公知の手法を使用して、TCP/IPのような低レベルプロトコルすなわち通信プロトコルを識別し、IPソースデータのような所要のデータを保持しつつ、このようなプロトコルを取り去り、許容されるコマンドまたは認められた他のユーザの処置があるかメッセージの残りを探索することが含まれる。
【0019】
抽出されると、ステップ34でアプリケーションプロトコルデータがプロトコルデータベース16に記憶される。プロトコルデータは、アプリケーションの現在のバージョンに関連する永久ファイルに追加してもよいし、特定のクライアント/サーバのセッションに対してだけ使用される一時的なセッションベースのファイルに追加してもよいし、特定のサーバメッセージに対してだけ使用された後に上書きされる一時ファイルに追加してもよい。これらのオプションのすべては、アプリケーションの変更に対する自動的な適応を考慮に入れ、また、アプリケーションの異なる部分または段階で許容可能な処置に対して責任をとるためプロトコルデータベースの継続的修正を考慮に入れている。これらのオプションの相違は、前のメッセージからのプロトコルが将来のメッセージに対して適切なままである程度のものである。
【0020】
ステップ36で、サーバメッセージがクライアントに送信される。次にステップ38で、クライアントはサーバ宛ての要求を送信する。クライアントの要求は、サーバメッセージに対する正当な応答であるかも知れないし、あるいはアプリケーションに認められていないコマンドを実行させようとする試みであるかも知れない。ステップ40で、フィルタモジュール14はクライアントの要求をさえぎり、それを読み取って、プロトコルデータベースに問い合わせる。所望のセキュリティとプライバシーに応じて、問い合わせは、クライアント、サーバ、特定のアプリケーション、特定のセッション等を識別する必要があるかも知れない。
【0021】
ステップ42で、要求はアプリケーションプロトコルデータベースと比較されて、その要求が許容されるか否か判定される。ステップ44で、要求が許容される場合には、フィルタモジュール14は要求をサーバに送る。要求がプロトコルデータベース16内のアプリケーションプロトコルの処置のどれとも合致せず、したがって許容不可能と考えられる場合には、ステップ46で、要求はサーバへのアクセスを拒絶され、クライアント12とサーバ10の一方または両方に認められていない要求が試みられたことを通知することができる。
【0022】
ウェブに基づく通信のために使用されるプロトコル抽出方法の一実施例が図5に示されている。ステップ60で、抽出モジュールはウェブドキュメントまたはHTMLページであるサーバメッセージを受信する。ステップ62で、TCP/IPプロトコルデータがドキュメントから抽出され、記憶されることにより、ソースIPアドレスの識別が助けられ、たとえば、メッセージの宛て先のクライアントとのセッションが維持される。ステップ64で、モジュールがHTMLデータを読み取るまで、HTTPのような他の通信データが更にドキュメントから取り去られる。
【0023】
このデータから、モジュールは特定のアプリケーションの設計についての情報を集める。これは、ステップ66でHTMLドキュメントデータを解析し、すべてのタグを突き止めることにより行われる。ステップ68で他のウェブドキュメントへのリンクを定義するアンカーのようなタグの場合、ステップ70でURLとのリンクがプロトコルデータベースに追加される。これはたとえば、サーバ上の他の多くのページへのリンクを含むウェブサーバのホームページに当てはまる、またはShockwave、RealAudio、またはRealVideoのファイルに含まれるような、ある型のマルチメディアの中に埋め込まれたリンクに当てはまる。ステップ72で、抽出モジュールはウェブドキュメントの中の任意の入力フィールドも突き止める。これはたとえば、HTMLフォームの中に配置されているかも知れない。次に、ステップ74で、フィールドの型と長さを含む、このようなフィールドに対するフィールドデータのアイデンティティと性質がプロトコルデータベースに追加される。フィールド長が指定されない場合には、デフォルトフィールド長が使用される。たとえば、クライアント要求の与えられた長さの英数字データを必要とするものとして「ネーム」フィールドがプロトコルデータベースにリストされ、データフォーマット化された英数字データを必要とするものとして日付フィールドがリストされ、「イーメールアドレス」フィールドはイーメールフォーマット化されたデータ、たとえば、a@b.cを必要とする。
【0024】
同様のステップを使用して、プロトコル抽出モジュールは、フォーム、フィールド、固定フィールド、隠れフィールド、メニューオプション、DOMコンポーネント等の検査も行う。これらの要素の各々に対して、プロトコルデータベースはそれらの性質およびそれに課される制約について更新される。たとえば、識別されたすべての隠れフィールドに対して、データベースはそれらの性質およびクライアントはそれらの内容を変更することはできないということについて更新される。
【0025】
ステップ76で、抽出モジュールは更に、ウェブドキュメント内の利用できる他の任意の処置を識別する。これらは、たとえば、HTMLフォームの「サブミット」コマンド、「サーチ」コマンド、または他のアプリケーションレベルのプロトコルを含む。ステップ78で、ウェブドキュメント内のこれらの付加的な処置も抽出されて、プロトコルデータベースに記憶される。
【0026】
ステップ80でゲートウェイまたはフィルタがクライアントの要求を受けると、ステップ82で、それは要求内の各リンク、データ、コマンド、または他の処置をプロトコルデータベースに現在記憶されている対応するエンティティと比較する。このような許容不可能な処置が要求の中にない場合には、ステップ84で、その要求はサーバに送信される。許容不可能な処置が要求の中にある場合には、ステップ86で、プロトコルデータベースの中に含まれていないリンク、データ、またはコマンドが要求から抹消されるか、またはその代わりに、要求全体が拒絶される。
【0027】
次に、図5および6に示すように、いくつかの実施例では、プロトコル抽出モジュールは抽出プロセスを統制的に働かせ、管理するプロトコル・ディスパッチャ100を含む。図5に示されるように、ディスパッチャ100は一度に一つのプロトコル90を抽出し、たとえば、TCP/IP、HTTP、HTML、および他の任意のプロトコルを開始する。ウェブ環境では、メッセージを受信すると、図6のステップ110でディスパッチャ100は変数current_protocolをTCP/IPに初期設定する。次に、ステップ112で、現在のプロトコルからデータが抽出され、次に、ステップ114でメッセージから現在のプロトコルが取り去られる。次に、ステップ116で、現在のプロトコルがプロトコルデータベースに記憶されるか、またはその代わりに、ディスパッチャ100がすべてのプロトコルを通って進んだ後、プロトコルデータベースを更新してもよい。
【0028】
次に、ステップ118で、変数current_protocolがインクリメントされるか、または新しいプロトコルに設定される。ステップ120でcurrent_protocolがナル(NULL)で、抽出すべきプロトコルが無いことを示している場合には、プロセスは完了する。そうでなく、新しい現在のプロトコルに関連するデータがメッセージの中にある場合には、ステップ112でそのデータが抽出され、完了までプロセスが反復される。
【0029】
好適実施例に関連して本発明を説明し、図示してきたが、当業者には明らかなように本発明の趣旨と範囲から逸脱することなく多数の変更と変形を加えることができる。このような変更と変形は発明の範囲内に含まれるように意図されているので、本発明は前記の方法または構成の詳細に限定されるべきではない。
【0030】
(著作権の告知)
この特許文書の開示の一部分は著作権保護を受ける資料を含む。著作権者は、特許登録商標庁の特許ファイルまたはレコードに現れたときに特許文書または特許の開示を誰がファクシミリ複写しても異議を申し立てないが、それ以外の場合には、何であれ、すべての著作権を保留する。
【0031】
(関連出願)
この出願は、1998年9月9日に出願された出願番号09/149,911、「委託された内部ネットワークの動作を保護するための方法とシステム」(METHOD AND SYSTEM FOR PROTECTING OPERATIONS OF TRUSTED INTERNAL NETWORKS)、および1998年9月9日に出願された出願番号09/150,112、「アプリケーションプログラムまたはオペレーティングシステムに対して限定された動作環境を維持するための方法とシステム」(METHOD AND SYSTEM FOR MAINTAINING RESTRICTED OPERATING ENVIRONMENTS FOR APPLICATION PROGRAMS OR OPERATING SYSTEMS)に関連している。これらの関連出願はここに引用することにより、この明細書の一部として組み入れられる。
【図面の簡単な説明】
【図1】 クライアントの要求をフィルタリングするためのゲートウェイをそなえたクライアントサーバシステムのブロック図である。
【図2A】 本発明に従って図1のシステムにプロトコル抽出モジュールを追加して得られたシステムのブロック図である。
【図2B】 ゲートウェイが外部ロボットおよび内部ロボットを含む、図2Aのシステムの一実施例のブロック図である。
【図3】 本発明によりオンラインベースでアプリケーションプロトコル内の許容可能な処置を限定するプロセスを示すフローチャートである。
【図4】 本発明の一実施例によりインターネットを介してウェブサーバから送信されるHTMLファイル内の許容可能な処置を限定するプロセスの一部を示すフローチャートである。
【図5】 本発明の一実施例によりHTMLファイルに作用する図2Aのプロトコル抽出モジュールのプロトコルディスパッチャ構成要素を示すブロック図である。
【図6】 図5のプロトコルディスパッチャ構成要素により遂行されるプロトコル抽出プロセスを示すフローチャートである。
Claims (10)
- サーバに存在するアプリケーションプログラムに対する1組の許容可能な処置を限定するための方法であって、
コンピュータ内のフィルタモジュールが、一つ以上のクライアント宛てにサーバが送信するメッセージを受信するステップと、
前記コンピュータ内の前記フィルタモジュールが、前記サーバメッセージからアプリケーションプロトコルデータを抽出することにより、前記サーバメッセージに応答して取られ得る許容可能な処置の組を検索するステップと、
前記コンピュータ内の前記フィルタモジュールが、抽出された前記アプリケーションプロトコルデータをプロトコルデータベースに記憶するステップと、を備えた方法。 - 請求項1の方法であって、アプリケーションプロトコルデータを抽出する前記ステップが、メッセージから通信プロトコルデータを取り去るステップを更に含む、方法。
- 請求項2の方法であって、アプリケーションプロトコルデータを抽出する前記ステップが、通信プロトコルデータを取り去った後にメッセージを解析することにより、メッセージに含まれるプロトコルを識別するステップを更に含む、方法。
- 請求項2の方法であって、メッセージの宛て先のクライアントからの要求に応答してサーバメッセージが送られ、前記方法はクライアントのアドレスを表す前記取り去られた通信プロトコルデータまたはその一部を記憶するステップを更に含む、方法。
- 請求項4の方法であって、抽出されたアプリケーションプロトコルデータをプロトコルデータベースに記憶する前記ステップが、クライアントアドレスを表す通信プロトコルデータに対応して、前記抽出されたアプリケーションプロトコルデータを記憶することにより、クライアントとのセッションを可能にするステップを更に含む、方法。
- 外部演算環境と内部演算環境との間に挿入されるセキュリティ・ゲートウェイ・システムであって、
前記内部演算環境に存在するアプリケーションプログラムに取り込まれ得る1組の許容可能な処置を記憶するプロトコルデータベースと、
前記外部演算環境から外部メッセージを受信し、前記プロトコルデータベースに問い合わせ、前記プロトコルデータベースに含まれていない前記外部メッセージのどの部分をも前記内部環境に送ることを拒絶するフィルタモジュールと、
前記内部演算環境から内部メッセージを受信し、アプリケーションプロトコルデータを前記内部メッセージから抽出し、抽出された前記アプリケーションプロトコルデータを前記プロトコルデータベースに記憶するプロトコル抽出モジュールと、
を備えたセキュリティ・ゲートウェイ・システム。 - 請求項6のセキュリティ・ゲートウェイ・システムであって、前記フィルタモジュールが、外部環境から一つ以上の外部環境プロトコルで表される内容を含む外部メッセージを受信し、前記外部メッセージの全部または一部を内容の簡略化された表現に写像することにより、前記外部メッセージを一つ以上の外部環境プロトコルで表されるメッセージに含まれる前記内容の一部を含む簡略化されたメッセージに変換し、前記簡略化されたメッセージを送信する第一の処理エンティティを含む、セキュリティ・ゲートウェイ・システム。
- 請求項7のシステムであって、
前記第一の処理エンティティによって送信される前記簡略化されたメッセージを受信し、一つ以上の内部環境プロトコルに従って内容の簡略化された表現を内容の内部表現に写像することにより、簡略化されたメッセージを内部メッセージに変換し、該内部メッセージを前記内部演算環境で動作するアプリケーションに送信する第二の処理エンティティと、
前記簡略化されたメッセージを転送する前記第一の処理エンティティと前記第二の処理エンティティとの間の通信チャネルと
を含むシステム。 - 請求項8のシステムであって、前記プロトコル抽出モジュールが前記第二の処理エンティティの中に含まれている、システム。
- サーバをクライアントに接続することができる通信システムで、サーバに存在する一つ以上のアプリケーションプログラムに対して許容可能な処置にクライアントを限定する方法であって、
一つ以上のクライアント宛てにサーバが送信するメッセージを受信し、
前記サーバメッセージから、前記サーバメッセージの各々に応答して取られ得る許容可能な処置のサーバメッセージ組を得て、
各々の要求がクライアントが要求する一つ以上の処置を含む、サーバ宛ての要求をクライアントから受信し、
前記要求の各々の中の前記一つ以上の処置を、許容可能な処置の前記組の少なくとも一つの組と比較し、
許容可能な処置の前記少なくとも一つの組の中にない要求に含まれるどの処置も許容しないこと、
を備えた方法。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US09/345,920 | 1999-07-01 | ||
| US09/345,920 US6311278B1 (en) | 1998-09-09 | 1999-07-01 | Method and system for extracting application protocol characteristics |
| PCT/IL2000/000378 WO2001002963A1 (en) | 1999-07-01 | 2000-06-29 | Method and system for extracting application protocol characteristics |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008317877A Division JP2009134725A (ja) | 1999-07-01 | 2008-12-15 | アプリケーションのプロトコル特性を抽出するための方法とシステム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2003504723A JP2003504723A (ja) | 2003-02-04 |
| JP4733886B2 true JP4733886B2 (ja) | 2011-07-27 |
Family
ID=23357098
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001508692A Expired - Fee Related JP4733886B2 (ja) | 1999-07-01 | 2000-06-29 | アプリケーションのプロトコル特性を抽出するための方法とシステム |
| JP2008317877A Pending JP2009134725A (ja) | 1999-07-01 | 2008-12-15 | アプリケーションのプロトコル特性を抽出するための方法とシステム |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008317877A Pending JP2009134725A (ja) | 1999-07-01 | 2008-12-15 | アプリケーションのプロトコル特性を抽出するための方法とシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (3) | US6311278B1 (ja) |
| EP (1) | EP1203297B1 (ja) |
| JP (2) | JP4733886B2 (ja) |
| AT (1) | ATE463793T1 (ja) |
| AU (1) | AU5561200A (ja) |
| DE (1) | DE60044133D1 (ja) |
| IL (1) | IL147423A0 (ja) |
| WO (1) | WO2001002963A1 (ja) |
Families Citing this family (107)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
| US7700296B2 (en) * | 1999-07-04 | 2010-04-20 | Mgp Diagnostics As | Diagnostic assay for human Matrix Gla-protein and its use as a biomarker |
| WO2001031415A2 (en) * | 1999-10-25 | 2001-05-03 | Sanctum Ltd. | Method and system for verifying a client request |
| US6950881B1 (en) * | 1999-11-02 | 2005-09-27 | Mshift, Inc. | System for converting wireless communications for a mobile device |
| US6839766B1 (en) * | 2000-01-14 | 2005-01-04 | Cisco Technology, Inc. | Method and apparatus for communicating cops protocol policies to non-cops-enabled network devices |
| AU2001237696A1 (en) * | 2000-03-03 | 2001-09-12 | Sanctum Ltd. | System for determining web application vulnerabilities |
| US20010044849A1 (en) * | 2000-05-16 | 2001-11-22 | Awele Ndili | System for providing network content to wireless devices |
| US6804704B1 (en) * | 2000-08-18 | 2004-10-12 | International Business Machines Corporation | System for collecting and storing email addresses with associated descriptors in a bookmark list in association with network addresses of electronic documents using a browser program |
| GB2408368B (en) * | 2000-08-18 | 2005-07-06 | Smart Media Ltd | Apparatus, system and method for enhancing data security |
| US20020161928A1 (en) * | 2000-10-10 | 2002-10-31 | Awele Ndili | Smart agent for providing network content to wireless devices |
| US20020083342A1 (en) * | 2000-12-21 | 2002-06-27 | Webb Brian T. | Systems, methods and computer program products for accessing devices on private networks via clients on a public network |
| US7185232B1 (en) | 2001-02-28 | 2007-02-27 | Cenzic, Inc. | Fault injection methods and apparatus |
| US7313822B2 (en) * | 2001-03-16 | 2007-12-25 | Protegrity Corporation | Application-layer security method and system |
| US7882555B2 (en) * | 2001-03-16 | 2011-02-01 | Kavado, Inc. | Application layer security method and system |
| US7457858B1 (en) * | 2001-04-02 | 2008-11-25 | Fujitsu Limited | Filtering network management messages |
| US20030051142A1 (en) * | 2001-05-16 | 2003-03-13 | Hidalgo Lluis Mora | Firewalls for providing security in HTTP networks and applications |
| WO2003012576A2 (en) * | 2001-07-27 | 2003-02-13 | Quigo Technologies Inc. | System and method for automated tracking and analysis of document usage |
| US7325026B1 (en) * | 2001-11-12 | 2008-01-29 | Compuware Corporation | Network communications analysis |
| US6970823B1 (en) | 2001-12-14 | 2005-11-29 | Networks Associates Technology, Inc. | System, method and computer program product for monitoring voice application calls over a network |
| US6604139B1 (en) | 2001-12-14 | 2003-08-05 | Networks Associates Technology, Inc. | Voice protocol filtering system and method |
| US6814842B1 (en) | 2001-12-14 | 2004-11-09 | Networks Associates Technology, Inc. | System and method for organizing objects of a voice call in a tree representation |
| US7257630B2 (en) | 2002-01-15 | 2007-08-14 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7543056B2 (en) | 2002-01-15 | 2009-06-02 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7664845B2 (en) * | 2002-01-15 | 2010-02-16 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7243148B2 (en) * | 2002-01-15 | 2007-07-10 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
| US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
| US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
| US8910241B2 (en) | 2002-04-25 | 2014-12-09 | Citrix Systems, Inc. | Computer security system |
| IL149583A0 (en) * | 2002-05-09 | 2003-07-06 | Kavado Israel Ltd | Method for automatic setting and updating of a security policy |
| US20040030788A1 (en) * | 2002-05-15 | 2004-02-12 | Gaetano Cimo | Computer message validation system |
| US7657616B1 (en) | 2002-06-10 | 2010-02-02 | Quest Software, Inc. | Automatic discovery of users associated with screen names |
| US7774832B2 (en) * | 2002-06-10 | 2010-08-10 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
| US20080196099A1 (en) * | 2002-06-10 | 2008-08-14 | Akonix Systems, Inc. | Systems and methods for detecting and blocking malicious content in instant messages |
| US7428590B2 (en) * | 2002-06-10 | 2008-09-23 | Akonix Systems, Inc. | Systems and methods for reflecting messages associated with a target protocol within a network |
| US7664822B2 (en) * | 2002-06-10 | 2010-02-16 | Quest Software, Inc. | Systems and methods for authentication of target protocol screen names |
| US7707401B2 (en) | 2002-06-10 | 2010-04-27 | Quest Software, Inc. | Systems and methods for a protocol gateway |
| US7818565B2 (en) * | 2002-06-10 | 2010-10-19 | Quest Software, Inc. | Systems and methods for implementing protocol enforcement rules |
| US20040024861A1 (en) * | 2002-06-28 | 2004-02-05 | Coughlin Chesley B. | Network load balancing |
| US8041948B2 (en) * | 2002-08-26 | 2011-10-18 | Comverse, Ltd. | Application level gateway for request verification |
| EP1547335B1 (en) * | 2002-10-02 | 2007-05-23 | Telus Communications Company | Rule creation for computer application screening |
| US20040073811A1 (en) * | 2002-10-15 | 2004-04-15 | Aleksey Sanin | Web service security filter |
| US20040260947A1 (en) * | 2002-10-21 | 2004-12-23 | Brady Gerard Anthony | Methods and systems for analyzing security events |
| US7343626B1 (en) * | 2002-11-12 | 2008-03-11 | Microsoft Corporation | Automated detection of cross site scripting vulnerabilities |
| US7624422B2 (en) | 2003-02-14 | 2009-11-24 | Preventsys, Inc. | System and method for security information normalization |
| US20040243852A1 (en) * | 2003-05-28 | 2004-12-02 | Rosenstein Adam H. | Method, system and software for state signing of internet resources |
| US7568229B1 (en) | 2003-07-01 | 2009-07-28 | Symantec Corporation | Real-time training for a computer code intrusion detection system |
| US7406714B1 (en) | 2003-07-01 | 2008-07-29 | Symantec Corporation | Computer code intrusion detection system based on acceptable retrievals |
| US7472413B1 (en) | 2003-08-11 | 2008-12-30 | F5 Networks, Inc. | Security for WAP servers |
| US8539552B1 (en) * | 2003-09-25 | 2013-09-17 | Hewlett-Packard Development Company, L.P. | System and method for network based policy enforcement of intelligent-client features |
| US7519718B2 (en) * | 2004-02-27 | 2009-04-14 | International Business Machines Corporation | Server-side protocol configuration of accessing clients |
| US8266177B1 (en) | 2004-03-16 | 2012-09-11 | Symantec Corporation | Empirical database access adjustment |
| US8201257B1 (en) | 2004-03-31 | 2012-06-12 | Mcafee, Inc. | System and method of managing network security risks |
| US7523088B2 (en) * | 2004-03-31 | 2009-04-21 | International Business Machines Corporation | Method for increasing system resource availability in database management systems |
| US7596803B1 (en) | 2004-07-12 | 2009-09-29 | Advanced Micro Devices, Inc. | Method and system for generating access policies |
| US7715565B2 (en) * | 2004-07-29 | 2010-05-11 | Infoassure, Inc. | Information-centric security |
| US7478429B2 (en) * | 2004-10-01 | 2009-01-13 | Prolexic Technologies, Inc. | Network overload detection and mitigation system and method |
| US20060094413A1 (en) * | 2004-11-01 | 2006-05-04 | Evans Mark S | Application protocol identification |
| US7444331B1 (en) | 2005-03-02 | 2008-10-28 | Symantec Corporation | Detecting code injection attacks against databases |
| JP4575219B2 (ja) * | 2005-04-12 | 2010-11-04 | 株式会社東芝 | セキュリティゲートウェイシステムとその方法およびプログラム |
| US8046374B1 (en) | 2005-05-06 | 2011-10-25 | Symantec Corporation | Automatic training of a database intrusion detection system |
| US7558796B1 (en) | 2005-05-19 | 2009-07-07 | Symantec Corporation | Determining origins of queries for a database intrusion detection system |
| US8051484B2 (en) | 2005-06-14 | 2011-11-01 | Imperva, Inc. | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters |
| JP2007004685A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | 通信情報監視装置 |
| US7774361B1 (en) * | 2005-07-08 | 2010-08-10 | Symantec Corporation | Effective aggregation and presentation of database intrusion incidents |
| US7690037B1 (en) | 2005-07-13 | 2010-03-30 | Symantec Corporation | Filtering training data for machine learning |
| US7746862B1 (en) | 2005-08-02 | 2010-06-29 | Juniper Networks, Inc. | Packet processing in a multiple processor system |
| WO2007056691A2 (en) * | 2005-11-03 | 2007-05-18 | Akonix Systems, Inc. | Systems and methods for remote rogue protocol enforcement |
| US7661136B1 (en) | 2005-12-13 | 2010-02-09 | At&T Intellectual Property Ii, L.P. | Detecting anomalous web proxy activity |
| EP1830253A3 (en) * | 2006-02-08 | 2009-03-18 | Secerno Limited | Method, computer program and apparatus for analysing symbols in a computer system |
| US7983900B2 (en) * | 2006-02-08 | 2011-07-19 | Oracle International Corporation | Method, computer program and apparatus for analysing symbols in a computer system |
| US8458647B2 (en) * | 2006-03-07 | 2013-06-04 | Sap Portals Israel Ltd. | Method and apparatus for graphically constructing applications utilizing information from multiple sources |
| DE102006010535A1 (de) * | 2006-03-07 | 2007-09-13 | Siemens Ag | Verfahren zum Bereitstellen von aktualisierten Protokollen in einem medizinischen Radiologie-Informationssystem |
| US8831011B1 (en) | 2006-04-13 | 2014-09-09 | Xceedium, Inc. | Point to multi-point connections |
| US7540766B2 (en) * | 2006-06-14 | 2009-06-02 | Itron, Inc. | Printed circuit board connector for utility meters |
| ES2446944T3 (es) * | 2007-04-12 | 2014-03-10 | Core Sdi, Incorporated | Sistema, método y medio legible por ordenador para proporcionar pruebas de penetración de red |
| US8782771B2 (en) | 2007-06-19 | 2014-07-15 | Rockwell Automation Technologies, Inc. | Real-time industrial firewall |
| EP2023572B1 (en) * | 2007-08-08 | 2017-12-06 | Oracle International Corporation | Method, computer program and apparatus for controlling access to a computer resource and obtaining a baseline therefor |
| JP2009095071A (ja) * | 2007-10-03 | 2009-04-30 | Tdk-Lambda Corp | 無停電電源装置 |
| US20090119769A1 (en) * | 2007-11-05 | 2009-05-07 | Microsoft Corporation | Cross-site scripting filter |
| US8516539B2 (en) | 2007-11-09 | 2013-08-20 | Citrix Systems, Inc | System and method for inferring access policies from access event records |
| US8990910B2 (en) | 2007-11-13 | 2015-03-24 | Citrix Systems, Inc. | System and method using globally unique identities |
| US9240945B2 (en) | 2008-03-19 | 2016-01-19 | Citrix Systems, Inc. | Access, priority and bandwidth management based on application identity |
| US8943575B2 (en) | 2008-04-30 | 2015-01-27 | Citrix Systems, Inc. | Method and system for policy simulation |
| US8990573B2 (en) | 2008-11-10 | 2015-03-24 | Citrix Systems, Inc. | System and method for using variable security tag location in network communications |
| US8635332B2 (en) * | 2008-11-12 | 2014-01-21 | YeeJang James Lin | System and method for identifying real users behind application servers |
| US8825473B2 (en) | 2009-01-20 | 2014-09-02 | Oracle International Corporation | Method, computer program and apparatus for analyzing symbols in a computer system |
| WO2010114855A1 (en) * | 2009-03-31 | 2010-10-07 | Commvault Systems, Inc. | Information management systems and methods for heterogeneous data sources |
| KR101061255B1 (ko) * | 2009-04-17 | 2011-09-01 | 주식회사 파이오링크 | 웹 서버와 클라이언트 간의 통신을 감시하는 웹 보안 관리 장치 및 방법 |
| US8666731B2 (en) * | 2009-09-22 | 2014-03-04 | Oracle International Corporation | Method, a computer program and apparatus for processing a computer message |
| US10721269B1 (en) | 2009-11-06 | 2020-07-21 | F5 Networks, Inc. | Methods and system for returning requests with javascript for clients before passing a request to a server |
| US11140178B1 (en) * | 2009-11-23 | 2021-10-05 | F5 Networks, Inc. | Methods and system for client side analysis of responses for server purposes |
| JP5381649B2 (ja) * | 2009-11-26 | 2014-01-08 | 富士通株式会社 | 検証対象抽出プログラム、検証対象抽出装置、および検証対象抽出方法 |
| US10296653B2 (en) | 2010-09-07 | 2019-05-21 | F5 Networks, Inc. | Systems and methods for accelerating web page loading |
| US9336396B2 (en) | 2010-10-25 | 2016-05-10 | Radware, Ltd. | Method and system for generating an enforceable security policy based on application sitemap |
| US9501650B2 (en) | 2011-05-31 | 2016-11-22 | Hewlett Packard Enterprise Development Lp | Application security testing |
| CN103562923B (zh) * | 2011-05-31 | 2016-09-07 | 惠普发展公司,有限责任合伙企业 | 应用程序安全测试 |
| US8448233B2 (en) | 2011-08-25 | 2013-05-21 | Imperva, Inc. | Dealing with web attacks using cryptographically signed HTTP cookies |
| US10230566B1 (en) | 2012-02-17 | 2019-03-12 | F5 Networks, Inc. | Methods for dynamically constructing a service principal name and devices thereof |
| WO2013163648A2 (en) | 2012-04-27 | 2013-10-31 | F5 Networks, Inc. | Methods for optimizing service of content requests and devices thereof |
| CN102891795B (zh) * | 2012-10-11 | 2016-12-21 | 上海金自天正信息技术有限公司 | 一种工业安全通信网关 |
| US9953169B2 (en) | 2013-02-28 | 2018-04-24 | Entit Software Llc | Modify execution of application under test so user is power user |
| US10187317B1 (en) | 2013-11-15 | 2019-01-22 | F5 Networks, Inc. | Methods for traffic rate control and devices thereof |
| US9497222B2 (en) * | 2014-05-20 | 2016-11-15 | International Business Machines Corporation | Identification of web form parameters for an authorization engine |
| US10476992B1 (en) | 2015-07-06 | 2019-11-12 | F5 Networks, Inc. | Methods for providing MPTCP proxy options and devices thereof |
| CN106656919B (zh) * | 2015-10-30 | 2019-08-06 | 中国科学院声学研究所 | 一种基于Telnet协议的会话解析方法及系统 |
| CN110896388B (zh) * | 2018-09-12 | 2022-07-05 | 西门子(中国)有限公司 | 网络流量分析方法、装置、计算机可读介质 |
Family Cites Families (59)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS61133454A (ja) * | 1984-12-03 | 1986-06-20 | Hitachi Ltd | 端末制御方式 |
| CA1314101C (en) * | 1988-02-17 | 1993-03-02 | Henry Shao-Lin Teng | Expert system for security inspection of a digital computer system in a network environment |
| US5191611A (en) | 1989-04-03 | 1993-03-02 | Lang Gerald S | Method and apparatus for protecting material on storage media and for transferring material on storage media to various recipients |
| US5257369A (en) * | 1990-10-22 | 1993-10-26 | Skeen Marion D | Apparatus and method for providing decoupling of data exchange details for providing high performance communication between software processes |
| US5557798A (en) * | 1989-07-27 | 1996-09-17 | Tibco, Inc. | Apparatus and method for providing decoupling of data exchange details for providing high performance communication between software processes |
| US5073933A (en) | 1989-12-01 | 1991-12-17 | Sun Microsystems, Inc. | X window security system |
| US5237693A (en) * | 1990-04-04 | 1993-08-17 | Sharp Kabushiki Kaisha | System for accessing peripheral devices connected in network |
| US5224163A (en) | 1990-09-28 | 1993-06-29 | Digital Equipment Corporation | Method for delegating authorization from one entity to another through the use of session encryption keys |
| US5220604A (en) | 1990-09-28 | 1993-06-15 | Digital Equipment Corporation | Method for performing group exclusion in hierarchical group structures |
| US5315657A (en) | 1990-09-28 | 1994-05-24 | Digital Equipment Corporation | Compound principals in access control lists |
| US5166977A (en) * | 1991-05-31 | 1992-11-24 | Encrypto, Inc. | Protocol converter for a secure fax transmission system |
| GB9205774D0 (en) | 1992-03-17 | 1992-04-29 | Int Computers Ltd | Computer security system |
| US5392390A (en) * | 1992-04-10 | 1995-02-21 | Intellilink Corp. | Method for mapping, translating, and dynamically reconciling data between disparate computer platforms |
| US5485409A (en) * | 1992-04-30 | 1996-01-16 | International Business Machines Corporation | Automated penetration analysis system and method |
| WO1994006078A1 (en) * | 1992-08-31 | 1994-03-17 | The Dow Chemical Company | Script-based system for testing a multi-user computer system |
| US5611048A (en) | 1992-10-30 | 1997-03-11 | International Business Machines Corporation | Remote password administration for a computer network among a plurality of nodes sending a password update message to all nodes and updating on authorized nodes |
| US5828893A (en) * | 1992-12-24 | 1998-10-27 | Motorola, Inc. | System and method of communicating between trusted and untrusted computer systems |
| JPH06268650A (ja) | 1993-03-11 | 1994-09-22 | Toshiba Corp | ネットワーク中継装置 |
| US5566326A (en) | 1993-09-28 | 1996-10-15 | Bull Hn Information Systems Inc. | Copy file mechanism for transferring files between a host system and an emulated file system |
| US5699518A (en) * | 1993-11-29 | 1997-12-16 | Microsoft Corporation | System for selectively setting a server node, evaluating to determine server node for executing server code, and downloading server code prior to executing if necessary |
| US5606668A (en) | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
| US5559800A (en) | 1994-01-19 | 1996-09-24 | Research In Motion Limited | Remote control of gateway functions in a wireless data communication network |
| US5629981A (en) | 1994-07-29 | 1997-05-13 | Texas Instruments Incorporated | Information management and security system |
| US5944794A (en) | 1994-09-30 | 1999-08-31 | Kabushiki Kaisha Toshiba | User identification data management scheme for networking computer systems using wide area network |
| US5623601A (en) | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
| CN101359350B (zh) | 1995-02-13 | 2012-10-03 | 英特特拉斯特技术公司 | 用于安全地管理在数据项上的操作的方法 |
| US5892900A (en) | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5793966A (en) * | 1995-12-01 | 1998-08-11 | Vermeer Technologies, Inc. | Computer system and computer-implemented process for creation and maintenance of online services |
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5701451A (en) * | 1995-06-07 | 1997-12-23 | International Business Machines Corporation | Method for fulfilling requests of a web browser |
| US5752022A (en) * | 1995-08-07 | 1998-05-12 | International Business Machines Corp. | Method for creating a hypertext language for a distributed computer network |
| US5941947A (en) | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
| US5657390A (en) | 1995-08-25 | 1997-08-12 | Netscape Communications Corporation | Secure socket layer application program apparatus and method |
| US5724355A (en) * | 1995-10-24 | 1998-03-03 | At&T Corp | Network access to internet and stored multimedia services from a terminal supporting the H.320 protocol |
| CA2242596C (en) | 1996-01-11 | 2012-06-19 | Mrj, Inc. | System for controlling access and distribution of digital property |
| US5805823A (en) * | 1996-01-30 | 1998-09-08 | Wayfarer Communications, Inc. | System and method for optimal multiplexed message aggregation between client applications in client-server networks |
| US5673322A (en) * | 1996-03-22 | 1997-09-30 | Bell Communications Research, Inc. | System and method for providing protocol translation and filtering to access the world wide web from wireless or low-bandwidth networks |
| US5774695A (en) * | 1996-03-22 | 1998-06-30 | Ericsson Inc. | Protocol interface gateway and method of connecting an emulator to a network |
| JP3636399B2 (ja) * | 1996-05-29 | 2005-04-06 | 富士通株式会社 | プロトコル変換システム及びプロトコル変換方法 |
| US5715453A (en) * | 1996-05-31 | 1998-02-03 | International Business Machines Corporation | Web server mechanism for processing function calls for dynamic data queries in a web page |
| US5881232A (en) * | 1996-07-23 | 1999-03-09 | International Business Machines Corporation | Generic SQL query agent |
| US5850388A (en) * | 1996-08-02 | 1998-12-15 | Wandel & Goltermann Technologies, Inc. | Protocol analyzer for monitoring digital transmission networks |
| US5692124A (en) * | 1996-08-30 | 1997-11-25 | Itt Industries, Inc. | Support of limited write downs through trustworthy predictions in multilevel security of computer network communications |
| US5892903A (en) * | 1996-09-12 | 1999-04-06 | Internet Security Systems, Inc. | Method and apparatus for detecting and identifying security vulnerabilities in an open network computer communication system |
| US5870559A (en) * | 1996-10-15 | 1999-02-09 | Mercury Interactive | Software system and associated methods for facilitating the analysis and management of web sites |
| US5908469A (en) | 1997-02-14 | 1999-06-01 | International Business Machines Corporation | Generic user authentication for network computers |
| IT1290935B1 (it) | 1997-02-17 | 1998-12-14 | Algotech Sistemi S R L | Apparecchio e metodo per rilevamento ed interpretazione di protocolli applicativi di sistemi di trasmissione dati su rete. |
| US5983270A (en) | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
| US6286045B1 (en) | 1997-05-19 | 2001-09-04 | Matchlogic, Inc. | Information storage and delivery over a computer network using centralized intelligence to monitor and control the information being delivered |
| IL126149A (en) | 1997-09-09 | 2003-07-31 | Sanctum Ltd | Method and system for protecting operations of trusted internal networks |
| JPH11163947A (ja) | 1997-09-22 | 1999-06-18 | Toshiba Corp | ゲートウェイ装置、無線端末装置、ルータ装置および通信ネットワークのゲートウェイ制御方法 |
| US5870544A (en) | 1997-10-20 | 1999-02-09 | International Business Machines Corporation | Method and apparatus for creating a secure connection between a java applet and a web server |
| US5999932A (en) * | 1998-01-13 | 1999-12-07 | Bright Light Technologies, Inc. | System and method for filtering unsolicited electronic mail messages using data matching and heuristic processing |
| IL138376A (en) | 1998-03-12 | 2005-12-18 | Whale Comm Ltd | Techniques for protection of data communication networks |
| US6865672B1 (en) | 1998-05-18 | 2005-03-08 | Spearhead Technologies, Ltd. | System and method for securing a computer communication network |
| US6185689B1 (en) * | 1998-06-24 | 2001-02-06 | Richard S. Carson & Assoc., Inc. | Method for network self security assessment |
| US6311278B1 (en) | 1998-09-09 | 2001-10-30 | Sanctum Ltd. | Method and system for extracting application protocol characteristics |
| AU9093798A (en) * | 1998-09-10 | 2000-04-03 | Sanctum, Inc. | Method and system for protecting operations of trusted internal networks |
| WO2001031415A2 (en) | 1999-10-25 | 2001-05-03 | Sanctum Ltd. | Method and system for verifying a client request |
-
1999
- 1999-07-01 US US09/345,920 patent/US6311278B1/en not_active Expired - Lifetime
-
2000
- 2000-06-29 WO PCT/IL2000/000378 patent/WO2001002963A1/en active Application Filing
- 2000-06-29 EP EP00940714A patent/EP1203297B1/en not_active Expired - Lifetime
- 2000-06-29 IL IL14742300A patent/IL147423A0/xx active IP Right Grant
- 2000-06-29 AU AU55612/00A patent/AU5561200A/en not_active Abandoned
- 2000-06-29 JP JP2001508692A patent/JP4733886B2/ja not_active Expired - Fee Related
- 2000-06-29 DE DE60044133T patent/DE60044133D1/de not_active Expired - Lifetime
- 2000-06-29 AT AT00940714T patent/ATE463793T1/de not_active IP Right Cessation
-
2001
- 2001-09-14 US US09/974,214 patent/US20020116643A1/en not_active Abandoned
-
2004
- 2004-08-02 US US10/909,645 patent/US7774835B2/en not_active Expired - Fee Related
-
2008
- 2008-12-15 JP JP2008317877A patent/JP2009134725A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| EP1203297A4 (en) | 2004-05-12 |
| US7774835B2 (en) | 2010-08-10 |
| DE60044133D1 (de) | 2010-05-20 |
| JP2009134725A (ja) | 2009-06-18 |
| US6311278B1 (en) | 2001-10-30 |
| WO2001002963A1 (en) | 2001-01-11 |
| US20050044420A1 (en) | 2005-02-24 |
| EP1203297A1 (en) | 2002-05-08 |
| ATE463793T1 (de) | 2010-04-15 |
| IL147423A0 (en) | 2002-08-14 |
| US20020116643A1 (en) | 2002-08-22 |
| JP2003504723A (ja) | 2003-02-04 |
| AU5561200A (en) | 2001-01-22 |
| EP1203297B1 (en) | 2010-04-07 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4733886B2 (ja) | アプリケーションのプロトコル特性を抽出するための方法とシステム | |
| US7373406B2 (en) | Method and system for effectively communicating file properties and directory structures in a distributed file system | |
| US11552936B2 (en) | Management of dynamic credentials | |
| US8051484B2 (en) | Method and security system for indentifying and blocking web attacks by enforcing read-only parameters | |
| US8271636B2 (en) | Rule-based networking device | |
| US7805513B2 (en) | Access control list checking | |
| US8214510B2 (en) | Maintaining state information on a client | |
| US6961759B2 (en) | Method and system for remotely managing persistent state data | |
| US8046495B2 (en) | System and method for modifying web content via a content transform proxy service | |
| US9608975B2 (en) | Challenge-dynamic credential pairs for client/server request validation | |
| US11038851B2 (en) | Tokenizing network appliance and method | |
| US20030187976A1 (en) | Tracking users at a web server network | |
| JP5347429B2 (ja) | ユニフォームリソースロケータ書換方法及び装置 | |
| JP2004520654A (ja) | クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法 | |
| US20030167325A1 (en) | Network based middleware that manipulates media objects | |
| US6968356B1 (en) | Method and apparatus for transferring data between a client and a host across a firewall | |
| CA2510633C (en) | Access control list checking | |
| IL147423A (en) | Method and system for extracting application protocol characteristics | |
| Fuchs et al. | Design & Implementation of a Rewriting Forward Proxy |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20050422 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20051220 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20061225 |
|
| A871 | Explanation of circumstances concerning accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A871 Effective date: 20061225 |
|
| A975 | Report on accelerated examination |
Free format text: JAPANESE INTERMEDIATE CODE: A971005 Effective date: 20070327 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070330 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070702 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070709 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070730 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070806 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20070830 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20070906 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20071001 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20080118 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080418 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080425 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20080519 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20080526 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080718 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20080815 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20081215 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20081219 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20090403 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20101130 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20101203 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110104 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110107 |
|
| A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20110201 |
|
| A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20110204 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110425 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140428 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |