JP4880269B2 - セキュリティポリシーをマージするための方法およびシステム - Google Patents
セキュリティポリシーをマージするための方法およびシステム Download PDFInfo
- Publication number
- JP4880269B2 JP4880269B2 JP2005266838A JP2005266838A JP4880269B2 JP 4880269 B2 JP4880269 B2 JP 4880269B2 JP 2005266838 A JP2005266838 A JP 2005266838A JP 2005266838 A JP2005266838 A JP 2005266838A JP 4880269 B2 JP4880269 B2 JP 4880269B2
- Authority
- JP
- Japan
- Prior art keywords
- rule
- rules
- security
- list
- process setting
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F15/00—Digital computers in general; Data processing equipment in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F1/00—Details not covered by groups G06F3/00 - G06F13/00 and G06F21/00
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2105—Dual mode as a secondary aspect
Description
110 ユーザモード
120 カーネルモード
111 ポリシーマネージャ
112 ポリシーストア
113 ルールジェネレータ
114 プロセス設定テーブル
115 ルールテーブル
121 セキュリティエンジン
122 プロセス/ルールベクトルテーブル
123 ルールエンジン
210 ルールリスト
211 プロセス設定テーブル
212 ルールテーブル
220 プロセス/ルールベクトルマッピング
Claims (19)
- コンピュータシステムにおいてセキュリティポリシーを実施する方法であって、
プロセス設定基準、ならびに、ルールタイプ、条件、およびアクションをそれぞれ有する1つまたは複数のルールを有する複数の異なるセキュリティポリシーを提供することであって、セキュリティポリシーのプロセス設定基準は、セキュリティポリシーのルールが適用されるプロセスの属性を定義し、前記ルールタイプは、グローバルと、アプリケーション固有とを含み、グローバルルールタイプを有するルールは、前記プロセス設定基準を満たすプロセスに適用され、アプリケーション固有ルールタイプを有するルールは、前記プロセス設定基準を満足し、前記ルールにより特に識別されるプロセスに適用され、前記アクションは、許可と、拒否とを含む提供することと、
ユーザモードにおいて、
前記複数のセキュリティポリシーのそれぞれを組み合わせて、組み合わされたルールリストを表現するルールリストを生成することであって、前記ルールリスト内の各ルールは前記ルールを含む前記セキュリティポリシーの前記プロセス設定基準に関連付けられ、前記ルールリストはルールタイプおよび前記ルールタイプ内のアクションによって配列され、前記グローバルルールタイプを有するルールは、前記アプリケーション固有ルールタイプを有するルールより前に配列され、前記拒否アクションを有するルールは、前記許可アクションを有するルールより前に配列される生成することと、
カーネルモードにおいて、
プロセスが開始されると、前記プロセスによって満たされるプロセス設定基準を有する前記ルールリストの前記ルールを識別することと、
前記プロセスに関連するセキュリティイベントが行われると、前記ルールリストの順序で、前記ルールのそれぞれを選択することにより、前記識別されたルールを前記ルールリストの順序で前記セキュリティイベントに適用することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足するかどうかを判定することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足すると判定されると、前記選択されたルールの前記アクションを実行すること、
を含むことを特徴とする方法。 - コンピュータシステムにおいてセキュリティポリシーを実施する方法であって、
プロセス設定基準、ならびに、ルールタイプ、条件、およびアクションをそれぞれ有する1つまたは複数のルールを有する複数の異なるセキュリティポリシーを提供することであって、セキュリティポリシーのプロセス設定基準は、セキュリティポリシーのルールが適用されるプロセスの属性を定義する提供すること、
第1の特権モードで、
前記複数のセキュリティポリシーの前記ルールのそれぞれを含むルールリストを生成することであって、前記ルールリスト内の各ルールは前記ルールを含む前記セキュリティポリシーの前記プロセス設定基準に関連付けられ、前記ルールリストはルールタイプおよびルールタイプ内のアクションによって配列されることと、
第2の特権モードで、
プロセスが開始されると、前記プロセスによって満たされる1つまたは複数のプロセス設定基準を有する前記ルールリストの前記ルールを識別することと、
前記プロセスに関連するセキュリティイベントが行われると、前記ルールリストの順序で、前記ルールのそれぞれを選択することにより、前記識別されたルールを前記ルールリストの順序で前記セキュリティイベントに適用することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足するかどうかを判定することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足すると判定されると、前記選択されたルールの前記アクションを実行し、前記識別されたルールの選択を停止すること、
プロセス設定基準が変更されたとき、
前記第1の特権モードで、
前記ルールリストの前記プロセス設定基準を更新することと、
前記第2の特権モードに通知を提供することと、
前記第2の特権モードで、前記プロセスの前記ルールリストの前記ルールを再識別して、前記プロセスに関連する次のセキュリティイベントが行われると、前記再識別されたルールを適用することができるようにすることと
を含むことを特徴とする方法。 - セキュリティポリシーが変更されたとき、プロセスの前記識別されたルールは動的に更新されることを特徴とする請求項1に記載の方法。
- 前記ルールタイプはグローバル、アプリケーション固有、およびデフォルトの実行範囲を含むことを特徴とする請求項2に記載の方法。
- 前記ルールは、アプリケーション固有の前にグローバル、デフォルトの前にアプリケーション固有という順序で配列されることを特徴とする請求項4に記載の方法。
- 前記アクションは拒否および許可を含み、拒否アクションを有するルールは、各ルールタイプ内に、許可アクションを有するルールの前に配列されることを特徴とする請求項2に記載の方法。
- 前記ルールリストは、前記関連のルールへの各プロセス設定基準のマッピングを含むことを特徴とする請求項1に記載の方法。
- セキュリティポリシーのルールのリストを含むルールリストを受信することであって、それぞれのセキュリティポリシーは、前記セキュリティポリシーが適用されるルールのプロセスの属性を定義するプロセス設定基準を有し、前記ルールリスト内の各ルールは、セキュリティポリシーのプロセス設定基準に関連付けられており、それぞれのルールは、ルールタイプ、条件、およびアクションを有し、前記ルールリストはルールタイプによって配列され、前記セキュリティポリシーは、カーネルモードで実施され、前記ルールリストは、ユーザモードで生成されることを特徴とする受信することと、
プロセスが開始されると、そのプロセス設定基準が前記プロセスによって満たされる前記ルールリストの前記ルールを識別することと、
前記プロセスに関連するセキュリティイベントが行われると、前記ルールリストの順序で、前記ルールのそれぞれを選択することにより、前記識別されたルールを前記ルールリストの順序で前記セキュリティイベントに適用することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足するかどうかを判定することと、
前記セキュリティイベントが、前記選択されたルールの条件を満足すると判定されると、前記選択されたルールの前記アクションを実行し、前記識別されたルールの選択を停止すること、
を含む方法によってセキュリティポリシーを実施するようにコンピュータシステムを制御する命令を含むことを特徴とするコンピュータ可読記録媒体。 - プロセス設定基準が変更されたとき、前記プロセス設定基準が前記プロセスによって満たされたかどうかに前記変更が影響を与えたプロセスの前記ルールリストの前記ルールを識別して、前記プロセスに関連する次のセキュリティイベントが行われると、前記識別されたルールを適用することができるようにすることと
を含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。 - セキュリティポリシーが変更されたとき、プロセスの前記識別されたルールは動的に更新されることを特徴とする請求項8に記載のコンピュータ可読記録媒体。
- 前記ルールタイプはグローバル、アプリケーション固有、およびデフォルトの実行範囲を含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。
- 前記ルールは、アプリケーション固有の前にグローバル、デフォルトの前にアプリケーション固有という順序で配列されることを特徴とする請求項11に記載のコンピュータ可読記録媒体。
- 前記アクションは拒否および許可を含み、拒否アクションを有するルールは、各ルールタイプ内に、許可アクションを有するルールの前に配列されることを特徴とする請求項8に記載のコンピュータ可読記録媒体。
- 前記ルールリストは、前記関連のルールへの各プロセス設定基準のマッピングを含むことを特徴とする請求項8に記載のコンピュータ可読記録媒体。
- プロセッサと
メモリと
を備えるセキュリティポリシーを実施するためのコンピュータシステムであって、
前記メモリには、
複数のセキュリティポリシーのそれぞれを組み合わせて、組み合わされたルールリストを表現するルールリストを生成する第1の特権モードで実行されるマージ構成要素であって、前記ルールリスト内の各ルールは、プロセス設定基準を有しており、前記ルールリストはルールタイプおよびアクションによって配列されるマージ構成要素と、
第2の特権モードで実行される実施構成要素であって、プロセスによって満たされた1つまたは複数のプロセス設定基準に関連付けられている前記ルールリストの前記ルールを識別し、前記ルールリストの順序で前記プロセスのセキュリティイベントに前記識別されたルールを適用する実施構成要素とが記録され、
前記第1の特権モードはユーザモードであり、前記第2の特権モードはカーネルモードであることを特徴とするコンピュータシステム。 - セキュリティポリシーが変更されたとき、プロセスの前記識別されたルールは動的に更新されることを特徴とする請求項15に記載のコンピュータシステム。
- 前記ルールタイプはグローバル、アプリケーション固有、およびデフォルトの実行範囲を含むことを特徴とする請求項15に記載のコンピュータシステム。
- 前記ルールは、アプリケーション固有の前にグローバル、デフォルトの前にアプリケーション固有という順序で配列されることを特徴とする請求項17に記載のコンピュータシステム。
- 前記アクションは拒否および許可を含み、拒否アクションを有するルールは、各ルールタイプ内に、許可アクションを有するルールの前に配列されることを特徴とする請求項17に記載のコンピュータシステム。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US10/966,800 US7739720B2 (en) | 2004-10-14 | 2004-10-14 | Method and system for merging security policies |
US10/966,800 | 2004-10-14 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006114026A JP2006114026A (ja) | 2006-04-27 |
JP4880269B2 true JP4880269B2 (ja) | 2012-02-22 |
Family
ID=35788136
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2005266838A Expired - Fee Related JP4880269B2 (ja) | 2004-10-14 | 2005-09-14 | セキュリティポリシーをマージするための方法およびシステム |
Country Status (5)
Country | Link |
---|---|
US (1) | US7739720B2 (ja) |
EP (1) | EP1650628A3 (ja) |
JP (1) | JP4880269B2 (ja) |
KR (1) | KR101150128B1 (ja) |
CN (1) | CN1760791B (ja) |
Families Citing this family (26)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR100706176B1 (ko) * | 2005-07-12 | 2007-04-12 | 한국전자통신연구원 | 커널 취약요소를 방어하기 위한 커널 패치 방법 및 시스템 |
US7818625B2 (en) * | 2005-08-17 | 2010-10-19 | Microsoft Corporation | Techniques for performing memory diagnostics |
US7984138B2 (en) * | 2006-06-23 | 2011-07-19 | International Business Machines Corporation | Apparatus and methods for activity-based management of computer systems |
US8127336B2 (en) * | 2007-03-01 | 2012-02-28 | Bridgewater Systems Corp. | Systems and methods for policy-based service management |
US8443433B2 (en) * | 2007-06-28 | 2013-05-14 | Microsoft Corporation | Determining a merged security policy for a computer system |
US9043861B2 (en) * | 2007-09-17 | 2015-05-26 | Ulrich Lang | Method and system for managing security policies |
US8484729B2 (en) * | 2007-09-20 | 2013-07-09 | Nec Corporation | Security operation management system, security operation management method, and security operation management program |
US20090222292A1 (en) * | 2008-02-28 | 2009-09-03 | Maor Goldberg | Method and system for multiple sub-systems meta security policy |
KR100966014B1 (ko) * | 2008-09-11 | 2010-06-24 | 현대중공업 주식회사 | 프로그램의 동작 목적에 따른 프로세스 제어기반 파일시스템 제어기 |
CN101364877B (zh) * | 2008-09-28 | 2010-10-27 | 福建星网锐捷网络有限公司 | 安全策略配置方法及其装置 |
US8479256B2 (en) * | 2008-11-26 | 2013-07-02 | Red Hat, Inc. | Merging mandatory access control (MAC) policies in a system with multiple execution containers |
US9767273B2 (en) * | 2008-11-26 | 2017-09-19 | Red Hat, Inc. | Reliably terminating processes in a system with confined execution environments |
US8312043B2 (en) * | 2008-11-26 | 2012-11-13 | Red Hat, Inc. | Isolating an execution container in a system with mandatory access control (MAC) |
US8931033B2 (en) | 2008-12-12 | 2015-01-06 | Microsoft Corporation | Integrating policies from a plurality of disparate management agents |
US8627462B2 (en) * | 2010-05-10 | 2014-01-07 | Mcafee, Inc. | Token processing |
US8756651B2 (en) * | 2011-09-27 | 2014-06-17 | Amazon Technologies, Inc. | Policy compliance-based secure data access |
CN109634198B (zh) * | 2011-10-05 | 2021-06-22 | 奥普唐公司 | 用于监视和/或生成动态环境的方法、装置和系统 |
US8813170B2 (en) | 2011-11-10 | 2014-08-19 | Microsoft Corporation | Testing access policies |
US10255121B1 (en) * | 2012-02-21 | 2019-04-09 | EMC IP Holding Company LLC | Stackable system event clearinghouse for cloud computing |
EP2680138B1 (en) * | 2012-06-28 | 2019-02-27 | RES Software Development B.V. | Dynamic rule management for kernel mode filter drivers |
US9275112B2 (en) * | 2012-11-09 | 2016-03-01 | Microsoft Technology Licensing, Llc | Filtering views with predefined query |
US9495444B2 (en) * | 2014-02-07 | 2016-11-15 | Quixey, Inc. | Rules-based generation of search results |
US9325733B1 (en) | 2014-10-31 | 2016-04-26 | Emc Corporation | Unsupervised aggregation of security rules |
US10628174B2 (en) | 2016-02-17 | 2020-04-21 | Microsoft Technology Licensing, Llc | Transfer of control of configuration sources |
CN108090361B (zh) * | 2016-11-22 | 2020-06-30 | 腾讯科技(深圳)有限公司 | 安全策略更新方法及装置 |
US10944793B2 (en) * | 2017-06-29 | 2021-03-09 | Juniper Networks, Inc. | Rules-based network security policy modification |
Family Cites Families (18)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE69610168D1 (de) * | 1995-06-30 | 2000-10-12 | Ibm | Verfahren und Vorrichtung zur einmaligen Anmeldung in einer Umgebung für verteilte Berechnungen |
US6965999B2 (en) * | 1998-05-01 | 2005-11-15 | Microsoft Corporation | Intelligent trust management method and system |
GB0024919D0 (en) * | 2000-10-11 | 2000-11-22 | Sealedmedia Ltd | Method of further securing an operating system |
GB0102515D0 (en) | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Network adapter management |
US7962950B2 (en) | 2001-06-29 | 2011-06-14 | Hewlett-Packard Development Company, L.P. | System and method for file system mandatory access control |
US7546629B2 (en) | 2002-03-06 | 2009-06-09 | Check Point Software Technologies, Inc. | System and methodology for security policy arbitration |
JP4023654B2 (ja) * | 2001-09-28 | 2007-12-19 | 日立ソフトウエアエンジニアリング株式会社 | アプリケーションの監視方法およびプログラム |
CN100504853C (zh) * | 2001-10-24 | 2009-06-24 | Bea系统公司 | 同步应用程序数据并将该数据部署到远程服务器的方法 |
US20030115476A1 (en) * | 2001-10-31 | 2003-06-19 | Mckee Bret | Hardware-enforced control of access to memory within a computer using hardware-enforced semaphores and other similar, hardware-enforced serialization and sequencing mechanisms |
US6947985B2 (en) * | 2001-12-05 | 2005-09-20 | Websense, Inc. | Filtering techniques for managing access to internet sites or other software applications |
JP2003242123A (ja) * | 2002-02-21 | 2003-08-29 | Hitachi Ltd | 合議型アクセス制御方法 |
JP4400059B2 (ja) * | 2002-10-17 | 2010-01-20 | 株式会社日立製作所 | ポリシー設定支援ツール |
JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
US7853462B2 (en) * | 2003-05-12 | 2010-12-14 | I2 Technologies Us, Inc. | Optimizing an inventory of a supply chain |
US7523200B2 (en) * | 2003-07-02 | 2009-04-21 | International Business Machines Corporation | Dynamic access decision information module |
US7149873B2 (en) * | 2003-10-24 | 2006-12-12 | Hewlett-Packard Development Company, L.P. | Methods and apparatus for a dual address space operating system |
KR100544674B1 (ko) * | 2003-11-11 | 2006-01-23 | 한국전자통신연구원 | 커널 기반의 침입탐지시스템에서의 침입탐지규칙 동적변경 방법 |
US20060005227A1 (en) * | 2004-07-01 | 2006-01-05 | Microsoft Corporation | Languages for expressing security policies |
-
2004
- 2004-10-14 US US10/966,800 patent/US7739720B2/en not_active Expired - Fee Related
-
2005
- 2005-08-25 KR KR1020050078157A patent/KR101150128B1/ko active IP Right Grant
- 2005-09-14 JP JP2005266838A patent/JP4880269B2/ja not_active Expired - Fee Related
- 2005-09-14 CN CN2005101099068A patent/CN1760791B/zh not_active Expired - Fee Related
- 2005-09-26 EP EP05108854A patent/EP1650628A3/en not_active Withdrawn
Also Published As
Publication number | Publication date |
---|---|
CN1760791B (zh) | 2010-05-26 |
US7739720B2 (en) | 2010-06-15 |
CN1760791A (zh) | 2006-04-19 |
KR20060050641A (ko) | 2006-05-19 |
US20060085838A1 (en) | 2006-04-20 |
EP1650628A3 (en) | 2007-12-05 |
JP2006114026A (ja) | 2006-04-27 |
EP1650628A2 (en) | 2006-04-26 |
KR101150128B1 (ko) | 2012-06-21 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4880269B2 (ja) | セキュリティポリシーをマージするための方法およびシステム | |
EP3430556B1 (en) | System and method for process hollowing detection | |
US7509493B2 (en) | Method and system for distributing security policies | |
US8850549B2 (en) | Methods and systems for controlling access to resources and privileges per process | |
JP5985631B2 (ja) | 信頼レベルのアクティブ化 | |
US7591010B2 (en) | Method and system for separating rules of a security policy from detection criteria | |
WO2017160760A1 (en) | System and method for reverse command shell detection | |
US20050188419A1 (en) | Method and system for dynamic system protection | |
US7707619B2 (en) | Method and system for troubleshooting when a program is adversely impacted by a security policy | |
JP2005327239A (ja) | セキュリティ関連プログラミング・インターフェース | |
US8161560B2 (en) | Extensible framework for system security state reporting and remediation | |
Mulliner et al. | Using labeling to prevent cross-service attacks against smart phones | |
EP3791301A1 (en) | Method and system for installing and running untrusted applications | |
US8201253B1 (en) | Performing security functions when a process is created | |
Dai et al. | Roppdroid: Robust permission re-delegation prevention in android inter-component communication | |
US11683329B2 (en) | Detecting malicious activity on an endpoint based on real-time system events | |
Jing et al. | TRIPLEMON: A multi-layer security framework for mediating inter-process communication on Android | |
Nadkarni | Workflow Based Information Flow Control (IFC) in Modern Operating Systems. |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20080916 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110422 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110722 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110809 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111109 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111129 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111201 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4880269 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141209 Year of fee payment: 3 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |