JP5160652B2 - コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム - Google Patents

コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム Download PDF

Info

Publication number
JP5160652B2
JP5160652B2 JP2010543070A JP2010543070A JP5160652B2 JP 5160652 B2 JP5160652 B2 JP 5160652B2 JP 2010543070 A JP2010543070 A JP 2010543070A JP 2010543070 A JP2010543070 A JP 2010543070A JP 5160652 B2 JP5160652 B2 JP 5160652B2
Authority
JP
Japan
Prior art keywords
client
request
computer system
computer
requests
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2010543070A
Other languages
English (en)
Other versions
JP2011512572A (ja
Inventor
ディルク・レオナルト・ベンショップ
ヘンデリック・レイナウト・ベンショップ
Original Assignee
デーエルベー・ファイナンス・アンド・コンサルタンシー・ベー・フェー
ハーイーテーデー・インフォメーション・テクノロジー・ベー・フェー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デーエルベー・ファイナンス・アンド・コンサルタンシー・ベー・フェー, ハーイーテーデー・インフォメーション・テクノロジー・ベー・フェー filed Critical デーエルベー・ファイナンス・アンド・コンサルタンシー・ベー・フェー
Publication of JP2011512572A publication Critical patent/JP2011512572A/ja
Application granted granted Critical
Publication of JP5160652B2 publication Critical patent/JP5160652B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45504Abstract machines for programme code execution, e.g. Java virtual machine [JVM], interpreters, emulators
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • G06F9/485Task life-cycle, e.g. stopping, restarting, resuming execution
    • G06F9/4856Task life-cycle, e.g. stopping, restarting, resuming execution resumption being on a different machine, e.g. task migration, virtual machine migration
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/5044Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering hardware capabilities
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)
  • Hardware Redundancy (AREA)
  • Communication Control (AREA)

Description

本発明は、1つまたは2つ以上のコンピュータ装置を用いた電子通信の分野に関する。
インターネットの拡散でもって、ホスト・システムは、彼らのサービスを多くのクライアント・システムに提供することができ、ホスト及びクライアント・システムの双方は、世界を通して分散されている。適切な接続が一旦創設されると、ホスト・システムとクライアント・システムとの間に自由に情報が流れることができる。
例えば、従来の分散型ネットワークにおいては、複数のホスト・システムまたはサーバが、ネットワークまたはネットワークの集合、例えばインターネット、を介して複数のクライアント・システムと通信する。このような分散型ネットワークのアーキテクチュアは、強度のソース(例えば、多くのシステム間での情報の自由な流れを可能とする)及び脆弱性のソース(例えば、悪意のある攻撃に対して脆弱性を創成する)である。
具体的には、クライアント・システムが、ホスト・システムに、接続、例えばTCP(送信制御プロトコル)接続、を創設することを試みるとき、クライアント及びホストは、メッセージの一組のシーケンスもしくはパケットを交換する。この一般的な方法は、すべてのTCP接続:Web、telnet、email、等、に適用される。接続がセット・アップされると、クライアント・システムは、例えばコンテントのために、ホスト・システムにリクエストを送り得る。
ホスト・システム上でクライアント・システムの悪意のある動作を回避するもしくは減少するために、ファイアウォールが一般的に知られている。ファイアウォールは、それを通過するネットワーク・トラフィックを検査して、一組のルールに基づいて通過を拒否もしくは許容する専用の設備もしくはソフトウェアである。
通信が行われる場所、通信が妨害される場所、及び追跡されている状態、に依存して、ファイアウォールの幾つかの分類がある。パケット・フィルタとも呼ばれるネットワーク層ファイアウォールは、パケットが、創設されたルール・セットと整合しない限り、該パケットがファイアウォールを通過するのを許容しない、TCP/IPプロトコル・スタックの比較的低レベルで動作する。これらのファイアウォールは、パケット属性に基づいてトラフィックをフィルタリングする。ファイアウォールの管理者は、ルールを限定し得、もしくはデフォルト・ルールが適用され得る。ネットワーク層ファイアウォールは、一般に2つのサブカテゴリに分けられる。統制的(stateful)ファイアウォールは、それを横切って移行する(TCPストリーム、UDP通信のような)ネットワーク接続の状態の経過を追うファイアウォールである。該ファイアウォールは、異なった種類の接続に対し適法なパケットを区別するようプログラムされている。既知の接続状態と整合するパケットだけがファイアウォールによって許容され、他のパケットは拒絶される。非統制的(stateless)ファイアウォールは、パケット・フィルタリング能力を有するが、ホスト間の通信がどの段階に到達したかに関する一層複雑な決定を行うことができない。
アプリケーション層ファイアウォールは、TCP/IPスタックのアプリケーション・レベル(すなわち、すべてのブラウザ・トラフィック、もしくはすべてのtelnetまたはftpトラフィック)上で動作し、アプリケーションにまたはアプリケーションから移行するすべてのパケットを妨害する。原理的には、アプリケーション・ファイアウォールは、すべての望まれない外部からのトラフィックが、保護された機械に到達することを阻止する。これらのファイアウォールは、不適切なコンテントに対するパケットを検査する。XMLファイアウォールは、最近の種類のアプリケーション層ファイアウォールの例を挙げている。このようなファイアウォールの例は、EP 1 296 252によって提供される。
ネットワーク層ファイアウォールは、複雑なルール・セットがセット・アップされて維持されなければならない、という点で不利である。他方、アプリケーション層ファイアウォールは、パケットのコンテントのスクリーニング(ふるい分け)が、リソースのかなりの量を必要とする、及び/または時間の相当な量がかかり得る、という点で不利である。
当該技術において、例えばリソースを節約することができる改善されたセキュリティ・システムに対する必要性がある。
クライアントと電子通信するよう構成されたコンピュータ・システムにおけるコンピュータ・アプリケーション・プログラムを制御するコンピュータ履行される方法が提案される。コンピュータ・システムは、コンピュータ・アプリケーション・プログラムの第1のアプリケーション状態に対応する1つまたは2つ以上の許可可能なリクエストの第1のリクエスト・セットへのアクセスを有するように構成される。コンピュータ・アプリケーション・プログラムは、コンピュータ・システムまたは1つまたは2つ以上の他のコンピュータ・システム上で実行し得る。クライアント・リクエストは、コンピュータ・アプリケーション・プログラムのためのコンピュータ・システムにおいて受信される。コンピュータ・アプリケーション・プログラムは、(例えば、クライアント接続を用いて)前記クライアントと関係する第1のアプリケーション状態にある。クライアント・リクエストは、該クライアント・リクエストが、コンピュータ・アプリケーション・プログラムの第1のアプリケーション状態に対応する許可可能なリクエストの1つと整合するか否かを決定するために分析される。コンピュータ・アプリケーション・プログラムは、クライアント・リクエストが第1のリクエスト・セットの許可可能なリクエストと整合する場合にのみクライアント・リクエストを実行するようにこのプログラムに命令することによって制御される。
該方法を実行するためのコンピュータ・プログラム及びこのようなコンピュータ・プログラムを含むコンピュータ読み取り可能媒体も提案される。
コンピュータ・アプリケーション・プログラムを制御するためのコンピュータ・システムも提案される。コンピュータ・アプリケーション・プログラムは、コンピュータ・システムまたは1つまたは2つ以上の他のコンピュータ・システム上にインストールされる。コンピュータ・システムは、少なくとも1つのクライアントに接続するよう構成される。コンピュータ・システムは、前記コンピュータ・アプリケーション・プログラムに向けられたクライアント・リクエストを受信するよう構成されたクライアント・リクエスト受信器を備える。コンピュータ・プログラムは、次に、第1のアプリケーション状態にあり得る。コンピュータ・システムは、また、クライアント・リクエストが第1のリクエスト・セットの許可可能なリクエストと整合するか否かを分析するよう構成されたアナライザ・モジュールをも備える。第1のリクエスト・セットは、前記クライアントと関係するコンピュータ・アプリケーション・プログラムの第1のアプリケーション状態に対応する1つまたは2つ以上の許可可能なリクエストを備える。コンピュータ・システムは、また、クライアント・リクエストが第1のリクエスト・セットの許可可能なリクエストの1つと整合する場合にのみ前記クライアント・リクエストを実行するようにコンピュータ・アプリケーション・プログラムに命令するよう構成された命令モジュールをも備える。
クライアント・リクエストは、例えば、コンピュータ・アプリケーション・プログラムのためのコマンドを含み得る。
許可可能なリクエストの第1のセットは、前記コンピュータ・アプリケーション・プログラムのために有効な(大きい)複数のリクエストの選択を含み得ることを理解すべきである。
提案された方法及びシステムは、増加されたセキュリティを、リソースの減少されたアプリケーションと結合する。一般的に、コンピュータ・アプリケーション・プログラムは、複数のリクエスト、しばしば(非常に)大量のリクエスト、を取り扱うことができる。提案された方法及びシステムは、コンピュータ・プログラムのアプリケーション状態が与えられた場合、許可可能であるこれらのリクエストだけを選択することができる。その状態に対して許可可能なリクエストと整合するリクエストだけが実行され、確実なシステムを提供する。他方、方法及びシステムは、クライアントそれ自体を調査せず、特定の瞬間におけるコンピュータ・プログラムのアプリケーション状態に関係したクライアントから予想され得る一層低レベルのリクエスト(例えば、アプリケーション・レベル・リクエスト)の跡を追う。そうでない場合には、リクエストは、拒絶され、もしくは単に避けられるが実行されない。この方法は、迅速でなおかつ確実なトラフィックのスクリーニング(ふるい分け)を許容する。
当該方法及びコンピュータ・システムは、コンピュータ・アプリケーション・プログラムを実際に実行させる1つまたは2つ以上の他のコンピュータ・システムと通信状態にあり得る。コンピュータ・システムは、次に、ゲートキーパとして作用する。
アプリケーション・プログラムの例は、ウェブ・サーバ、ウェブ・サービス、アプリケーション・サーバ及び特にデータベースを含む。
請求項2及び19の実施形態は、コンピュータ・アプリケーション・プログラムの適用可能なアプリケーション状態に対応するリクエストを動的に構築するという利点を提供する。コンピュータ・システムもしくはもう1つのコンピュータ・システムの通信状態の変更は、請求項3に限定されるアプリケーション・プログラムによるリクエストの実行によって決定され得る。
コンピュータ・アプリケーション・プログラムの特定のアプリケーション状態のための許可可能なリクエストを有する適用可能なリクエスト・セットについてコンピュータ・システムに知らせる種々の方法がある。
請求項20の実施形態は、コンピュータ・アプリケーション・プログラムが、コンピュータ・システムへの特定のクライアント(接続)のためにそのアプリケーション状態を報告するだけであるという利点を有する。コンピュータ・システムは、コンピュータ・アプリケーション・プログラムのこの状態のための適用可能なリクエスト・セットを得るために、検索するために、または更新するために、報告された状態を用いる。
他方、請求項4及び21の実施形態は、アプリケーション・リクエスト・セットが、コンピュータ・アプリケーション・プログラム(または、コンピュータ・システムにコンピュータ・プログラムのアプリケーション状態を報告するよう構成されたもう1つのプログラム)から直接受信されるという利点を有する。
請求項5、6及び22は、実際のコンテントのレベル以下のレベル上のリクエストの実施形態を限定する。このレベル上のスクリーニングは、高速であるが確実である。
請求項7及び23の実施形態は、例えば、統制的(stateful)なファイアウォールのようなそれらの接続によりコンピュータ・システムに接続される複数のクライアントの跡を追うことを可能とする。特に、コンピュータ・システムは、例えば、どのクライアントが接続されたか、及び/またはどのクライアント(接続状態)によりどのクライアント・リクエストが行われているか、を監視する。コンピュータ・アプリケーション・プログラムのアプリケーション状態は、次に、特定の接続状態に関係し得る。
請求項8及び24の実施形態は、悪意のある及び悪意のないクライアント間を識別するのを許容する。ほとんどの組織は、インターネットのようなワイド・エリア・ネットワークからローカル・エリア・ネットワークを分離する一般にプロキシと称されるコンピュータ・システムを用いる。プロキシは、他の機能の中でもとりわけ、ネットワーク・アドレス変換(NAT)を用いる。プロキシによって行われるリクエストの量は、相当なものであるが、これらのリクエストは、ほとんどおそらく悪意のないものである。(内部クライアントから受信されたログイン・リクエストの数の履歴データを用いたローカル・エリア・ネットワークから予想され得るリクエストまたは平均数に例えば基づいて)適切な閾値を設定することにより、悪意のある外部のリクエストが、ローカル・エリア・ネットワークからの悪意のないリクエストから識別され得る。内部のクライアントからのリクエストの頻度は、ログイン・リクエストの数及びアプリケーション・プログラムのフロー、すなわち、コンピュータ・アプリケーション・プログラムのアプリケーション状態のシーケンス、に基づいて推定され得る。外部クライアントからの多数のリクエストは、アタックもしくは攻撃を示し得る。このようなリクエストは、否定され得る。これらのクライアントからのリクエストは、接触履歴、過去の行為及び/または領域に基づいて、監視され、拒絶され、または分析され得る。
請求項9−12及び25−28の実施形態は、リクエストの高い数または同じクライアント・リクエストの高い数を例えば送るクライアントを阻止するもしくは減速(throttling back)するのを許容する。より一般的には、悪意のあるクライアントは、悪意のないクライアントから識別され得、これらのリクエストがコンピュータ・システムに後で到着する場合でさえ、後者は前者の前にサービスされる。これらの実施形態は、一般にセキュリティを追加するけれども、これらの実施形態は、また、請求項1−8に限定された発明とは別に適用され得ることを理解すべきである。
クライアント及びコンピュータ・システムは、単一の装置で履行され得るけれども、請求項13及び29の実施形態が好適である。
可能なリクエストの量は、データベース・コンピュータ・アプリケーション・プログラムに対して特に大きい。請求項14、15、30及び31の実施形態は、これらの場合において特に有利である。
以後、本発明の実施形態をさらに詳細に説明する。しかしながら、これらの実施形態は、本発明の保護の範囲を制限するものとして解釈され得ないことを理解すべきである。
本発明の実施形態によるコンピュータ・システムの使用の種々の状況を示す概略図である。 本発明の実施形態によるコンピュータ・システムの使用の種々の状況を示す概略図である。 本発明の実施形態によるシステムを示す概略図である。 本発明の実施形態によるシステムを示す概略図である。 本発明の実施形態による方法のステップを示す図である。 本発明の実施形態による方法のステップを示す図である。
図1A及び図1Bは、本発明の実施形態によるコンピュータ・システム1の使用の種々の状況を示す概略図である。
図1Aにおいて、クライアント装置2A、2Bは、ネットワーク3を介してコンピュータ・システム1に接続される。コンピュータ・システム1は、しかしながら、クライアント自身を実行することもでき、ディスプレイ4上にクライアントのためのユーザ・インターフェースを提供し得る。コンピュータ・システム1は、また、クライアントのリクエスト(コマンド)が向けられるウェブ・サーバまたはデータベース・アプリケーションのようなコンピュータ・アプリケーション・プログラムをも実行する。クライアント装置は、無線アクセス・ネットワーク5を介してネットワーク3と通信する電話、PDA、ラップトップ・コンピュータ等のような移動無線装置2Aと、デスクトップ・コンピュータ2Bのような結線装置とを含み得る。
図1Bにおいて、クライアント装置2C、2D及び2Eは、第1のネットワーク3を介してコンピュータ・システム1に接続される。コンピュータ・システム1は、クライアントからのリクエストが向けられる特定のコンピュータ・アプリケーション・プログラムを実行するホスト・システムまたはサーバ6のためのゲートキーパとして作用する。複数のこのようなサーバ6が設けられ得る。コンピュータ・システム1は、第2のネットワーク7を介してホスト・システム6に通信的に接続される。ホスト・システム6は、データベース8にアクセスし、データベース8を用いてデータベース・アプリケーションを特に実行し得る。
種々の他の状況が、本発明の範囲から逸脱することなく、コンピュータ・システム1のアプリケーションのために、当業者によって予想され得る。
クライアント・アプリケーション・プログラムは、コンピュータ・システム1、ホスト・システム6または1つまたは2つ以上の他のコンピュータ・システム上にインストールされて実行され得る。コンピュータ・アプリケーション・プログラムは、複数のアプリケーション状態を有する。アプリケーション状態は、アプリケーション・プログラムのための状態の特定の(予め決められた)シーケンスにおける論理ステップを表し得る。コンピュータ・アプリケーション・プログラムのアプリケーション状態は、そのプログラムに対するリクエストの実行に続いて変化し得る。大きい量のリクエストが、これらのアプリケーション状態に対して有効である。しかしながら、アプリケーション状態の各々に対して、大量のリクエストの特定のサブセットだけが許可可能である。
例として、ウェブサイト・ページ上のリンクの活性は、リンクの新しいセットを有するもう1つのウェブ・ページに戻り得る(アプリケーション状態の変化)。ウェブ・サーバに対する多くの可能なリクエストの内、戻されたウェブ・ページ上のリンクの活性だけが、このアプリケーション状態のための許容可能なリクエストのセットに属する。
図2Aにおいて、図1A及び1Bのコンピュータ・システム1が図式的に示されている。コンピュータ・システム1は、プロセッサ10、メモリ11、ネットワーク3を介して装置2A−2Eの1つまたは2つ以上(そしておそらく第2のネットワーク7を介してホスト・システム6)と通信するためのネットワーク・アダプタ12を含む。通常、図1A及び1Bのコンピュータ・システム1は、2つまたは3つ以上のクライアント装置に接続するよう構成されるであろうことが理解されるべきである。
コンピュータ・システム1は、また、コンピュータ・システム1またはホスト・システム6によって実行されるアプリケーション・プログラムの種々のアプリケーション状態のためのリクエスト・セットを有するデータベース13をも収容し得る。データベース13は、コンピュータ・システム1上で実行されるデータベース・アプリケーション・プログラムによっても用いられ得る。
コンピュータ・システム1の特定の機能は、図2Bに図式的に示されており、以下に一層詳細に説明する。その機能は、プロセッサ10上で実行される1つまたは2つ以上のコンピュータ・プログラムのソフトウェア・コード部分として大いに履行され得ることが理解されるべきである。
コンピュータ・システム1は、クライアント装置2A−2Eとの接続を確立するための接続モジュール20を含んでいる。接続モジュールは、クライアント装置との接続をモニタする。接続モジュール20は、コンピュータ・システム1に対するクライアントのための通信状態を決定するよう構成され得る。
コンピュータ・システム1は、クライアント装置2A−2Eまたは内部クライアントからのリクエストを受信する(及びおそらく処理する)よう構成されたクライアント・リクエスト受信器21を含む。クライアント・リクエストは、クライアント・システム1及び/またはホスト・システム6上にインストールされたコンピュータ・アプリケーション・プログラムのためのリクエストまたはコマンドである。クライアント・リクエストは、例えば、特定のウェブ・ページまたはデータベース8、13のためのコマンド上のリンクの活性から帰結するhttp-リクエストであり得る。
コンピュータ・システム1は、また、クライアント・リクエスト受信器21によって受信されたクライアント・リクエストが、該クライアントに関してコンピュータ・アプリケーション・プログラムのアプリケーション状態に対応する1つまたは2つ以上の許可可能なリクエストを含むリクエスト・セットの許可可能なリクエストと整合する場合に分析するよう構成されたアナライザ・モジュール22を有し得る。
コンピュータ・システム1は、また、クライアント・リクエストが前記リクエスト・セットの許可可能なリクエストの1つと整合する場合にのみクライアント・リクエストを実行するために、コンピュータ・システム1及び/またはホスト・システム6のコンピュータ・アプリケーション・プログラムを命令するための命令モジュール23をも含む。
もちろん、クライアント・リクエスト受信器21は、さらなるクライアント・リクエストを受信し得る。アナライザ・モジュール22は、さらなるクライアント・リクエストがさらなる対応のリクエスト・セットの許容可能なリクエストに整合するか否かを分析し得、リクエスト・セットの各々は、コンピュータ・アプリケーション・プログラムの異なったアプリケーション状態に対応する。命令モジュール23は、次に、これらのリクエストが対応のアプリケーション状態の適用可能なリクエスト・セットの許容可能なリクエストに整合する場合にのみさらなるリクエストを実行するようコンピュータ・アプリケーション・プログラムに命令し得る。
コンピュータ・アプリケーション・プログラムの特定のアプリケーション状態に対する許容可能なリクエストを有する適用可能なリクエストについてコンピュータ・システム1に知らせる種々の方法がある。
コンピュータ・システム1は、例えば、コンピュータ・システム1及び/またはホスト・システム6のコンピュータ・アプリケーション・プログラムのアプリケーション状態を検出するために構成されたアプリケーション状態検出器24を含み得る。検出器24がプログラムのアプリケーション状態を検出したならば、リクエスト・セット検索器25が、該特定のアプリケーション状態のためのリクエスト・セットを検索し、取得し、及び/または更新するために設けられる。リクエスト・セットは、例えば、データベース13から検索され得る。
しかしながら、コンピュータ・アプリケーション・プログラムの特定のアプリケーション状態のための許容可能なリクエストの適用可能なリクエスト・セットは、また、コンピュータ・システム1のリクエスト・セット受信器26によって受信され得る。リクエスト・セットは、例えば、コンピュータ・システム1またはサーバ6上で実行しているコンピュータ・アプリケーション・プログラムから、またはもう1つのコンピュータ・プログラムから受信され得る。
コンピュータ・システム1は、また、クライアント・リクエストの閾値量を記憶し得る。コンピュータ・システム1は、時間単位ごとにクライアント・リクエストの閾値量を維持するために構成されている。命令モジュール23は、クライアント・リクエストの量が前記閾値量より小さい場合にのみクライアント・リクエストを実行するようコンピュータ・アプリケーション・プログラムに命令するために構成されている。このような機能性は、例えば、コンピュータ・システム1がプロキシ・サーバで履行されるとき、もしくは多くのクライアントが共通の公共IPアドレスを共有するとき、有利性を立証し得る。
代替的な実施形態において、コンピュータ・システム1は、また、悪意のある及び悪意のないクライアント間を区別するために構成された識別モジュール27をも有し得る。悪意のある及び悪意のないクライアントは、例えば、クライアントから受信されたクライアント・リクエストの数、コンピュータ・システム1とのクライアントの接触履歴、リクエストの内容の種類、及び/または前記クライアントから受信されたリクエストの内容、に基づいて識別され得る。悪意のあるクライアント・リクエストが後にくる悪意のないクライアント・リクエストの待ち行列を得るために悪意のある及び悪意のないクライアントからのクライアント・リクエストをランク付けするために構成されたランキング・モジュール28が設けられる。命令モジュール23は、最初に、前記悪意のないクライアント・リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムを命令するために構成されている。悪意のあるクライアント・リクエストは、適法なリクエストが取り扱われた後、もう1つのアナライザ(分析器)モジュール29によって分析され得、それにより、悪意のあるクライアントを罰する(penalizing)。その結果は、例えば、コンピュータ・システム1と悪意のあるクライアントとの間の接触履歴を更新するために用いられ得る。
コンピュータ・システム1は、クライアントからの接触履歴を記憶するための記憶モジュール30を有し得る。ランキング・モジュール28は、前記接触履歴から知られていないクライアントよりも待ち行列において一層高い前記接触履歴から知られているクライアントをランキング付けするために構成され得る。
次に、コンピュータ・システム1の動作を図3A及び図3Bを参照して説明する。コンピュータ・システム1は、図1Bと一致して、データベース8からデータを検索するためのデータベース・アプリケーション・プログラムを実行するホスト・システム6のためのゲート・キーパとして作用すると仮定する。
クライアント装置2C上にインストールされたクライアントは、通信ネットワーク3を介してホスト・システム6上で実行するコンピュータ・アプリケーション・プログラムの使用を要求する。
ステップ40において、コンピュータ・システム1は、リクエストを傍受し、接続モジュール20を用いて接続を創設する。接続モジュール20は、クライアント装置2Cからのリクエスト及び接続を監視する。開始ページ、例えば、htmlページがクライアント装置2Cに提起される。コンピュータ・アプリケーションを開始する割り当てられた許容可能なリクエストを有する初期アプリケーション状態は適用し得るけれども、コンピュータ・システム1は、初期要求を遮蔽(screen)しない、ということをここでは仮定している。
クライアント装置2Cに提起されたコンピュータ・アプリケーション・プログラムの開始ページは、要求の数が、例えば、http GET要求を為すのを許容する。これらの要求は、コンピュータ・アプリケーション・プログラムの開始ページ(アプリケーション状態)に対応する許容可能なリクエストの第1のリクエスト・セットを構成する。簡単さの理由のために、ここでは有効なリクエストだけが、活性化され得るハイパーリンクのセットによって構成されるということを仮定する。しかしながら、他のリクエストまたはコマンド、例えば、http-postリクエストが可能であるということを理解すべきである。
ステップ41において、http-リクエストは、開始ページからのハイパーリンクの活性化から帰結するクライアント装置2Cから受信される。接続モジュール20は、このリクエストが開始ページからのリクエストを発行したクライアント装置2Cから来るということを監視する。
リクエスト・セット受信器26は、開始ページに対して有効なホスト・システム6上で実行するコンピュータ・アプリケーション・プログラムから第1のリクエスト・セットを受信する。ステップ42において、コンピュータ・システム1のアナライザ・モジュール22は、クライアント装置2Cから受信されたhttp-リクエストが、html開始ページのための受信された第1のリクエスト・セットの許容可能なリクエストと整合するか否かを調べる。
http-リクエストが第1のリクエスト・セットのリクエストによって整合されないならば、命令モジュール23は、http-リクエストを実行することをホスト・システム6上で実行するコンピュータ・アプリケーション・プログラムに命令しないであろう(ステップ43)。クライアント装置の視点から有効であるように見えるリクエストは、このリクエストがアプリケーション・リクエスト・セットの部分でないときに実行されないということが可能であることに注意されたし。
ステップ44において、さらなる動作が実行されないリクエスト上で行われる。これらの動作は、それに制限されるわけではないが、リクエストを棄却する、リクエストを分析する、リクエストを記憶する、リクエスト履歴を構築するためにリクエストからの情報を抽出する、等を含む。
クライアント装置2Cからのhttp-リクエストが開始htmlページの第1のリクエスト・セットの許容可能なリクエストと整合するということをアナライザ・モジュール22が発見したならば、命令モジュール23は、ステップ45において、データベース8上のhttp-リクエストを実行するようコンピュータ・アプリケーション・プログラムに命令する。さらなる動作が、また、これらの実行されたリクエスト上で行われ得るということが注意される。
リクエストの実行は、リクエストに依存した新しいhtmlページを構築するためにデータベースからのアプリケーション・プログラム抽出データを作る。新しいhtmlページは、クライアント装置2Cに送信される。
新しいhtmlページは、コンピュータ・アプリケーション・プログラムの新しいアプリケーション状態に対応する(ステップ46)。クライアント装置2Cとの開いた接続を維持する接続モジュール20は、新しいhtmlページがクライアント装置2Cに送信されたということを登録する。
ステップ47において、さらなるhttp-リクエストがクライアント装置2Cから受信される。
http-リクエストが受信される前または受信されてしまった後、コンピュータ・アプリケーション・プログラムは、新しいアプリケーション状態に対応するリクエスト・セットについてアナライザ・モジュール22に知らせている。さらなるhttp-リクエストを受信すると、アナライザ・モジュール22は、ステップ48において、さらなるhttp-リクエストが新しいアプリケーション状態に対して有効なリクエスト・セットの許容可能なリクエストと整合するか否かを調べる。
最後に、アナライザ・モジュール22による分析の結果に依存して、命令モジュール23は、リクエストを実行するよう(ステップ49)または実行しないよう(ステップ50)いずれかをコンピュータ・アプリケーション・プログラムに命令する。
フローチャートは、クライアント装置2Cのさらなるリクエストのために続くということを理解すべきである。
コンピュータ・システム1は、該コンピュータ・システム1が複数のクライアントからのリクエストを取り扱うために構成されるよう、例えば、各接続ごとのテーブルを有する接続モジュール20を用いて、コンピュータ・システム1が各クライアントごとのアプリケーション状態を追跡するが、これに反して、コンピュータ・アプリケーション・プログラムのアプリケーション状態は、特定の時間の場合において、クライアントの各々ごとに異なり得る、ということも理解すべきである。
クライアントから受信された各リクエストは、例えば、統計的理由のために、ステップ44に従って分析され得るということも理解すべきである。
1 ・・・コンピュータ・システム
2A、2B、2C、2D、2E ・・・クライアント装置
3 ・・・ネットワーク
4 ・・・ディスプレイ
5 ・・・無線アクセス・ネットワーク
6 ・・・サーバ
7 ・・・第2のネットワーク
8 ・・・データベース
10 ・・・プロセッサ
11 ・・・メモリ
12 ・・・ネットワーク・アダプタ
13 ・・・データベース
20 ・・・接続モジュール
21 ・・・クライアント・リクエスト受信器
22 ・・・アナライザ・モジュール
23 ・・・命令モジュール
24 ・・・アプリケーション状態検出器
25 ・・・リクエスト・セット検索器
26 ・・・リクエスト・セット受信器
27 ・・・識別モジュール
28 ・・・ランキング・モジュール
29 ・・・もう1つのアナライザ(分析器)モジュール
30 ・・・記憶モジュール

Claims (26)

  1. クライアントと電子通信するよう構成されたコンピュータ・システム(1)におけるコンピュータ・アプリケーション・プログラムを制御するコンピュータ履行される方法であって、前記コンピュータ・システムは、前記クライアントに関係して前記コンピュータ・システムまたはもう1つのコンピュータ・システム上で実行する前記コンピュータ・アプリケーション・プログラムの第1のアプリケーション状態に対応する1つまたは2つ以上の許可可能なアプリケーション層リクエストの第1のリクエスト・セットに、及び前記コンピュータ・アプリケーション・プログラムの第2のアプリケーション状態に対応する1つまたは2つ以上の許可可能なアプリケーション層リクエストの第2のリクエスト・セットに、アクセスを有し、前記方法は、
    前記第1の所定のアプリケーション状態における前記コンピュータ・アプリケーションプログラムのために前記クライアントからのクライアント・アプリケーション層リクエストを前記コンピュータ・システムにおいて受信する(41)ステップを含む方法において、
    前記クライアント・アプリケーション層リクエストが、前記クライアント・リクエストを受信することに応答して前記許可可能なリクエストの1つと整合するか否かを分析する(42)ステップと、
    前記クライアント・アプリケーション層リクエストが前記第1のリクエスト・セットの前記許可可能なアプリケーション層リクエストの1つと整合する場合にのみ前記クライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令する(45)ステップと、
    前記クライアント・アプリケーション層リクエストが前記第1のリクエスト・セットの前記許可可能なアプリケーション層リクエストの前記1つと整合する場合の前記クライアント・アプリケーション層リクエストの前記実行に応答して、前記第1のアプリケーション状態を、前記コンピュータ・アプリケーション・プログラムの、前記第1のアプリケーション状態とは異なる前記第2のアプリケーション状態に変更する(46)ステップと、
    前記クライアント装置からさらなるクライアント・アプリケーション層リクエストを受信する(47)ステップと、
    前記さらなるクライアント・アプリケーション層リクエストが、前記第2のリクエスト・セットの許可可能なアプリケーション層リクエストと整合するか否かを分析する(48)ステップと、
    前記さらなるクライアント・アプリケーション層リクエストが前記第2のリクエスト・セットの前記許可能なアプリケーション層リクエストの1つと整合する場合にのみ前記さらなるクライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令する(49)ステップと、
    を含むことを特徴とする方法。
  2. 前記第1のリクエスト・セットまたは前記第1のアプリケーション状態の少なくとも一方は、前記コンピュータ・システム(1)または他のコンピュータ・システム上で実行する前記コンピュータ・アプリケーション・プログラムから得られる請求項1に記載の方法。
  3. 前記アプリケーション層リクエストは、ハイパーテキスト・トランスファ・プロトコル(HTTP)リクエスト、ファイル・トランスファ・プロトコル(FTP)リクエスト、シンプル・メール・トランスファ・プロトコル(SMTP)リクエスト及びテルネット(telnet)リクエストの少なくとも1つを含む請求項に記載の方法。
  4. 前記クライアントと前記コンピュータ・システムとの間の接続状態を前記コンピュータ・システム(1)によって決定するステップと、
    前記第1のアプリケーション状態と前記第2のアプリケーション状態を前記接続状態に関係させるステップと、
    をさらに含む請求項1乃至のいずれか1項に記載の方法。
  5. 前記コンピュータ・システム(1)は、時間単位ごとにクライアント・アプリケーション層リクエストの閾値量を維持し、当該方法は、クライアント・アプリケーション層リクエストの量が前記閾値量より小さい場合にのみ前記クライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令するステップを含む請求項1乃至のいずれか1項に記載の方法。
  6. 悪意のある及び悪意のないクライアント間を識別するステップと、
    悪意のないクライアント・アプリケーション層リクエストの後に前記悪意のあるクライアント・アプリケーション層リクエストが続く待ち行列を得るよう、前記悪意のある及び前記悪意のないクライアントからのクライアント・アプリケーション層リクエストをランキング付けするステップと、
    前記悪意のないクライアント・リクエストを最初に実行するよう前記コンピュータ・アプリケーション・プログラムに命令するステップと、
    をさらに含む請求項1乃至のいずれか1項に記載の方法。
  7. すべての悪意のないクライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令した後、前記待ち行列からの前記悪意のあるクライアント・アプリケーション層リクエストを分析するステップをさらに含む請求項に記載の方法。
  8. 前記コンピュータ・システム(1)は、クライアントからの接触履歴を記憶し、さらに、前記接触履歴から知られていないクライアントより高い前記待ち行列における前記接触履歴から知られているクライアントをランク付けするステップを含む請求項6または7に記載の方法。
  9. クライアントから受信されたクライアント・アプリケーション層リクエストの数、前記コンピュータ・システムとのクライアントの接触履歴、アプリケーション層リクエストの内容の種類、前記クライアントから受信されたアプリケーション層リクエストの内容、の少なくとも1つに基づいて前記悪意のある及び悪意のないクライアントを識別するステップをさらに含む請求項6乃至8のいずれか1項に記載の方法。
  10. 前記クライアントは、クライアント装置(2A−2E)において履行され、前記コンピュータ・システム(1)は、前記クライアント装置と電子的に通信するよう少なくとも1つの通信ネットワーク(3)に接続され、当該方法は、前記通信ネットワークを介して前記クライアント・アプリケーション層リクエストを受信するステップを含む請求項1乃至のいずれか1項に記載の方法。
  11. 前記コンピュータ・システム(1)または前記他のコンピュータ・システムは、データベース(8)を含み、前記コンピュータ・アプリケーション・プログラムは、データベース・アプリケーション・プログラムである請求項1乃至10のいずれか1項に記載の方法。
  12. 前記データベース・アプリケーション・プログラムから許可可能なデータベース・リクエストの前記第1のセットを受信するステップと、
    前記クライアント・アプリケーション層リクエストが前記許可可能なデータベース・リクエストの1つと整合する場合にのみ前記データベース(8)の前記データベース・アプリケーション・プログラムのデータベース動作を命令するステップと、
    をさらに含む請求項11に記載の方法。
  13. 電子システムによってインストールされて実行されるときに、請求項1乃至12のいずれか一項に記載の方法を行うように適合されたソフトウェア・コード部分を含むコンピュータ・プログラム。
  14. 請求項13のコンピュータ・プログラムを収容した担体。
  15. 少なくとも1つのクライアントに接続するよう構成されたコンピュータ・システムまたはもう1つのコンピュータ・システム上のコンピュータ・アプリケーション・プログラムを制御するためのコンピュータ・システム(1)であって、
    少なくとも第1のアプリケーション状態及び第2のアプリケーション状態を含む前記コンピュータ・アプリケーション・プログラムに向けられたクライアント・アプリケーション層リクエスト及びさらなるクライアント・アプリケーション層リクエストを受信するよう構成されたクライアント・リクエスト受信器(21)を備え、前記第1及び第2のアプリケーション状態は、クライアント・アプリケーション層リクエストを実行することにより得ることができる異なったアプリケーション状態である、コンピュータ・システムにおいて、
    前記クライアント・アプリケーション層リクエストが、前記クライアントに関して前記コンピュータ・アプリケーション・プログラムの前記第1のアプリケーション状態に対応する1つまたは2つ以上の許可可能なアプリケーション層リクエストを含む第1のリクエスト・セットの許可可能なアプリケーション層リクエストと整合するか否かを、かつ前記さらなるクライアント・アプリケーション層リクエストが、前記クライアントに関して前記コンピュータ・プログラムの、前記第2のアプリケーション状態に対応する1つまたは2つ以上の許可可能なアプリケーション層リクエストの第2のリクエスト・セットの許可可能なアプリケーション層リクエストと整合するか否かを、分析するよう構成されたアナライザ・モジュール(22)と、
    前記第2のアプリケーション状態を得るために前記クライアント・アプリケーション層リクエストが前記第1のリクエスト・セットの前記許可可能なアプリケーション層リクエストの1つと整合する場合のみ前記クライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令するよう、かつ前記さらなるクライアント・アプリケーション層リクエストが前記第2のリクエスト・セットの前記許可可能なアプリケーション層リクエストの1つと整合する場合のみ前記さらなるクライアント・アプリケーション層リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令するよう、構成された命令モジュール(23)と、
    を備えたことを特徴とするコンピュータ・システム。
  16. 前記コンピュータ・システムは、請求項1乃至12に記載の方法を行うように構成された請求項15に記載のコンピュータ・システム(1)
  17. 前記コンピュータ・システムは、前記第1のリクエスト・セット及び前記第2のリクエスト・セットを受信するよう構成されたリクエスト・セット受信器をさらに備える請求項15に記載のコンピュータ・システム。
  18. 前記コンピュータ・システムは、前記クライアントと前記コンピュータ・システムとの間の接続状態を決定するよう構成された接続状態モニタをさらに含み、前記コンピュータ・システムは、前記コンピュータ・アプリケーション・プログラムの前記第1のアプリケーション状態及び第2のアプリケーション状態が前記接続状態に関連されるように構成される請求項15乃至17のいずれか1項に記載のコンピュータ・システム。
  19. 前記コンピュータ・システムは、時間単位ごとにクライアント・リクエストの閾値量を維持するよう構成され、前記命令モジュールは、クライアント・リクエストの量が前記閾値量より小さい場合にのみ前記クライアント・リクエストを実行するよう前記コンピュータ・アプリケーション・プログラムに命令するよう構成されている請求項15乃至18のいずれか1項に記載のコンピュータ・システム。
  20. 前記コンピュータ・システムは、
    悪意のある及び悪意のないクライアント間を識別するよう構成された識別モジュールと、
    悪意のないクライアント・リクエストの後に前記悪意のあるクライアント・リクエストが後続する待ち行列を得るために、前記悪意のある及び前記悪意のないクライアントからのクライアント・リクエストをランキング付けするよう構成されたランキング・モジュールと、
    をさらに備え、前記命令モジュールは、前記悪意のないクライアント・リクエストを最初に実行するよう前記コンピュータ・アプリケーション・プログラムに命令するよう構成された請求項15乃至19のいずれか1項に記載のコンピュータ・システム。
  21. 前記インストレーション・モジュールがすべての悪意のないクライアント・リクエストに命令してしまった後、前記待ち行列からの前記悪意のあるクライアント・リクエストを分析するよう構成された第2のアナライザ・モジュールをさらに備える請求項20に記載のコンピュータ・システム。
  22. クライアントからの接触履歴を記憶するための記憶モジュールと、前記接触履歴から知られていないクライアントよりも前記待ち行列における一層高い前記接触履歴から知られているクライアントをランキングするよう構成されたランキング・モジュールとをさらに備えた請求項20または21に記載のコンピュータ・システム。
  23. 前記識別モジュールは、クライアントから受信されたクライアント・リクエストの数、前記コンピュータ・システムとのクライアントの接触履歴、リクエストの内容の種類、前記クライアントから受信されたリクエストの内容、の少なくとも1つに基づいて前記悪意のある及び悪意のないクライアントを識別するよう構成された請求項20乃至22のいずれか1項に記載のコンピュータ・システム。
  24. 前記コンピュータ・システムは、通信ネットワークを介して前記クライアント・リクエストを受信するよう構成された請求項15乃至23のいずれか1項に記載のコンピュータ・システム。
  25. 前記コンピュータ・アプリケーション・プログラムは、好ましくは、前記他のコンピュータ・システム上にインストールされたデータベース・アプリケーション・プログラムである請求項15乃至24のいずれか1項に記載のコンピュータ・システム。
  26. 前記コンピュータ・システムは、
    前記他のコンピュータ・システムの前記データベース・アプリケーション・プログラムから許可可能なデータベース・リクエストの前記第1のセットを受信するよう構成された受信器、
    を備え、前記命令モジュールは、前記クライアント・リクエストが前記許可可能なデータベース・リクエストの1つと整合する場合にのみデータベース動作を実行するよう前記データベース・アプリケーション・プログラムに命令するよう構成された請求項25に記載のコンピュータ・システム。
JP2010543070A 2008-01-17 2008-01-17 コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム Active JP5160652B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/NL2008/050030 WO2009091241A1 (en) 2008-01-17 2008-01-17 Method and system for controlling a computer application program

Publications (2)

Publication Number Publication Date
JP2011512572A JP2011512572A (ja) 2011-04-21
JP5160652B2 true JP5160652B2 (ja) 2013-03-13

Family

ID=39810298

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010543070A Active JP5160652B2 (ja) 2008-01-17 2008-01-17 コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム

Country Status (11)

Country Link
EP (1) EP2103073B1 (ja)
JP (1) JP5160652B2 (ja)
KR (1) KR101465462B1 (ja)
CN (1) CN101919224B (ja)
AT (1) ATE473584T1 (ja)
AU (1) AU2008348253B2 (ja)
CA (1) CA2711369A1 (ja)
DE (1) DE602008001714D1 (ja)
ES (1) ES2346825T3 (ja)
PL (1) PL2103073T3 (ja)
WO (1) WO2009091241A1 (ja)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
ES2898049T3 (es) * 2016-06-21 2022-03-03 Soreq Nuclear Res Ct Analizador de XRF para identificar una pluralidad de objetos sólidos, sistema de clasificación y un método de clasificación del mismo

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6061738A (en) * 1997-06-27 2000-05-09 D&I Systems, Inc. Method and system for accessing information on a network using message aliasing functions having shadow callback functions
US7313822B2 (en) * 2001-03-16 2007-12-25 Protegrity Corporation Application-layer security method and system
JP4487490B2 (ja) * 2003-03-10 2010-06-23 ソニー株式会社 情報処理装置、およびアクセス制御処理方法、情報処理方法、並びにコンピュータ・プログラム
MXPA05010073A (es) * 2003-03-21 2006-05-17 Axesstel Inc Red inalambrica.
JP3974554B2 (ja) * 2003-05-19 2007-09-12 日本電信電話株式会社 ゲートウェイ
US20050249214A1 (en) * 2004-05-07 2005-11-10 Tao Peng System and process for managing network traffic
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
JP4602158B2 (ja) * 2005-05-25 2010-12-22 三菱電機株式会社 サーバ装置保護システム
KR100695204B1 (ko) 2005-06-17 2007-03-14 에스케이 텔레콤주식회사 이동통신 단말기를 이용하여 애플리케이션 상태를 저장하는 시스템 및 방법

Also Published As

Publication number Publication date
ATE473584T1 (de) 2010-07-15
ES2346825T3 (es) 2010-10-20
JP2011512572A (ja) 2011-04-21
PL2103073T3 (pl) 2010-12-31
KR101465462B1 (ko) 2014-11-26
KR20100117604A (ko) 2010-11-03
CN101919224A (zh) 2010-12-15
DE602008001714D1 (de) 2010-08-19
AU2008348253B2 (en) 2014-01-23
CN101919224B (zh) 2013-11-20
CA2711369A1 (en) 2009-07-23
EP2103073B1 (en) 2010-07-07
AU2008348253A1 (en) 2009-07-23
EP2103073A1 (en) 2009-09-23
WO2009091241A1 (en) 2009-07-23

Similar Documents

Publication Publication Date Title
US10341389B2 (en) Policy based on a requested behavior
EP1817685B1 (en) Intrusion detection in a data center environment
US7359962B2 (en) Network security system integration
US7451489B2 (en) Active network defense system and method
US7774832B2 (en) Systems and methods for implementing protocol enforcement rules
EP2276216B1 (en) Integrated network intrusion detection
US8463921B2 (en) Method and system for controlling a computer application program
US20070289014A1 (en) Network security device and method for processing packet data using the same
KR101553264B1 (ko) 네트워크 침입방지 시스템 및 방법
US8543807B2 (en) Method and apparatus for protecting application layer in computer network system
Khosravifar et al. An experience improving intrusion detection systems false alarm ratio by using honeypot
KR100543664B1 (ko) 네트워크 보호 장치 및 이의 운영 방법
JP5160652B2 (ja) コンピュータ・アプリケーション・プログラムを制御するための方法及びシステム
EP1820293A2 (en) Systems and methods for implementing protocol enforcement rules
KR101196325B1 (ko) 분산서비스거부 공격 탐지장치 및 방법
KR100470918B1 (ko) 네트워크 상의 방화벽 검열 우회 방지 시스템 및 그 방법
KR102401661B1 (ko) DDoS 공격의 탐지 및 방어 시스템 및 그 방법
CN109040054B (zh) 一种url过滤测试方法和装置
FIROJ DESIGN & IMPLEMENTATION OF LAYERED SIGNATURE BASED INTRUSION DETECTION SYSTEM USING SNORT
Shafiq et al. Detection and Prevention of Distributed Denial of Services Attacks on Wide Area Networks by Collaborative Effort of Software Agents.
Scheme III Detection and Prevention of Distributed Denial of Services Attacks on Wide Area Networks by Collaborative Effort of Software Agents M. Omair Shafiq, Arshad Ali, Ejaz Ahmad National University of Sciences and Technology (NUST) NUST Institute of Information Technology

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20120229

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20120403

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20120703

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20120710

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20121003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20121113

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20121212

R150 Certificate of patent or registration of utility model

Ref document number: 5160652

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20151221

Year of fee payment: 3

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S111 Request for change of ownership or part of ownership

Free format text: JAPANESE INTERMEDIATE CODE: R313113

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250