JP5774103B2 - 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 - Google Patents

悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 Download PDF

Info

Publication number
JP5774103B2
JP5774103B2 JP2013521770A JP2013521770A JP5774103B2 JP 5774103 B2 JP5774103 B2 JP 5774103B2 JP 2013521770 A JP2013521770 A JP 2013521770A JP 2013521770 A JP2013521770 A JP 2013521770A JP 5774103 B2 JP5774103 B2 JP 5774103B2
Authority
JP
Japan
Prior art keywords
network
software program
program file
processor
computing device
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013521770A
Other languages
English (en)
Other versions
JP2013539573A (ja
Inventor
リシ バールガーバ,
リシ バールガーバ,
ピー. リース,ジュニア,デービッド
ピー. リース,ジュニア,デービッド
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2013539573A publication Critical patent/JP2013539573A/ja
Application granted granted Critical
Publication of JP5774103B2 publication Critical patent/JP5774103B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/164Implementing security features at a particular protocol layer at the network layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/144Detection or countermeasures against botnets

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Information Transfer Between Computers (AREA)

Description

関連出願情報
本願は、2010年7月28日に出願され「悪意のあるソフトウェアに対するローカル保護をするシステム及び方法(SYSTEM AND METHOD FOR LOCAL PROTECTION AGAINST MALICIOUS SOFTWARE)」と題し、発明者がリシ・バールガーバ(Rishi Bhargava)らである同時係属米国特許出願番号12/844,892(代理人整理番号04796.1052)と関連する。この出願の開示は、本明細書の一部とみなされ、参照によりその全体が本明細書に組み込まれる。
本開示は、一般にネットワーク・セキュリティの分野に関し、より詳細には悪意のあるソフトウェアに対するネットワーク・レベル保護に関する。
ネットワーク・セキュリティの分野は、今日の社会でますます重要になってきている。インターネットは、世界中の様々なコンピュータネットワークの相互接続を可能にした。しかしながら、安定したコンピュータ及びシステムを有効に保護し維持する機能は、部品メーカー、システム設計者及びネットワークオペレータにとって大きな課題となる。この課題は、悪意のあるオペレータによって開発される進化し続ける数々の戦略により更に複雑になる。最近の特別な懸念は、種々様々の悪意のある目的に使用されることがあるボットネットである。悪意のあるソフトウェア・プログラム・ファイル(例えば、ボット)が、一旦ホストコンピュータに感染すると、悪意のあるオペレータが、「指令制御サーバ」からコマンドを出してボットを制御することがある。ボットは、例えば、ホストコンピュータからのスパム又は悪意のある電子メールの送信、ホストコンピュータと関連付けられた企業又は個人からの機密情報の窃盗、他のホストコンピュータへのボットネットの伝播、及び/又は分散型サービス妨害攻撃の支援などのいくつもの悪意のある操作を実行するように指示されることがある。更に、悪意のあるオペレータは、指令制御サーバを介して他の悪意のあるオペレータにボットネットを販売し、その他アクセスを与えることがあり、それにより、ホストコンピュータの搾取が拡大する。
したがって、ボットネットは、悪意のあるオペレータが他のコンピュータにアクセスし、それらのコンピュータを多数の悪意のある目的のために操作する強力な方法を提供する。セキュリティ専門家は、悪意のあるオペレータがコンピュータを搾取することを可能にするような戦略を根絶する革新的ツールを開発する必要がある。
1つの例示的実施態様における方法は、第1の計算装置上のネットワーク・アクセス試行と関係した情報を受け取ることを含み、この情報は、ネットワーク・アクセス試行と関連付けられたソフトウェア・プログラム・ファイルを識別する。方法は、更に、第1の基準を評価してソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックを許可するかどうかを判定することと、ネットワーク・トラフィックが許可されない場合にネットワーク・トラフィックを阻止する制限規則を作成することを含む。第1の基準は、ソフトウェア・プログラム・ファイルの信頼性状態を含む。特定の実施形態では、方法は、制限規則をネットワーク保護装置にプッシュすることを含み、ネットワーク保護装置は、ソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックを遮断し、制限規則をネットワーク・トラフィックに適用する。より特定の実施形態では、方法は、信頼できるソフトウェア・プログラム・ファイルを識別するホワイトリストを検索してソフトウェア・プログラム・ファイルの信頼性状態を判定することを含み、ソフトウェア・プログラム・ファイルの信頼性状態は、ソフトウェア・プログラムがホワイトリストに含まれない場合に、信頼できないと定義され、ネットワーク・トラフィックは、ソフトウェア・プログラム・ファイルの信頼性状態が信頼できないと定義された場合に、許可されない。更に他の特定の実施形態では、ネットワーク・トラフィックと関連付けられたソフトウェア・プログラム・ファイルの信頼性状態が信頼できないと定義された場合に、ネットワーク・トラフィックと関連したイベント・データがログ記録されてもよく、そのようなログ記録は、ネットワーク・トラフィックを阻止する代わりに行われてもよく、又はネットワーク・トラフィックを阻止することに加えて行われてもよい。
本開示及び本開示の特徴及び利点をより完全に理解するために、添付図面と関連して行われる以下の説明が参照され、図面では、類似の参照番号は類似の部品を表す。
本開示により悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムの実施形態を実現することができる代表的なネットワーク環境を表す図である。 本開示の実施形態によりシステムの構成要素を実施することができる例示的なサーバのブロック図である。 本開示の実施形態によりシステムの構成要素を実現することができる例示的な計算装置の概略図である。 本開示の実施形態によりシステムを実現することができるネットワーク環境における例示的なネットワーク保護装置のブロック図である。 本開示によるシステムの実施形態と関連付けられた一連の例示的ステップを示す単純化されたフローチャートである。 本開示の実施形態による図5と関連付けられた信頼判定フローの一連の例示的ステップを示す単純化されたフローチャートである。 本開示の実施形態による図5と関連付けられた信頼判定フローの別の実施形態の一連の例示的ステップを示す単純化されたフローチャートである。 本開示によるシステムの他の実施形態と関連付けられた一連の例示的なステップを示す単純化されたフローチャートである。 本開示の実施形態による図8と関連付けられた信頼判定フローの例示的ステップを示す単純化されたフローチャートである。 本開示の実施形態による図8と関連付けられた別の信頼判定フローの一連の例示的なステップを示す単純化されたフローチャートである。 本開示の実施形態によるシステムと関連付けられた別の一連の例示的ステップを示す単純化されたフローチャートである。 本開示の実施形態によるシステムと関連付けられた更に別の一連の例示的ステップを示す単純化されたフローチャートである。
図1は、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムの実施形態を実現することができる代表的なネットワーク環境100を表す図である。ネットワーク環境100は、インターネット150などの広域ネットワーク(WAN)への電子接続を有するローカル・ネットワーク110を含んでもよい。インターネット150は、多くの他のネットワーク、計算装置及びウェブサービスへのアクセスを提供する。例えば、グローバルサーバ160は、悪意のあるコードがないと評価及び判定されたソフトウェア・プログラム・ファイルを示すグローバル・ホワイトリストを含むデータベース165を提供する。更に、ボットネット・オペレータ175などの悪意のあるユーザは、指令制御サーバ170のほかにインターネット150へのアクセスを有してもよく、指令制御サーバ170は、ボットネット・オペレータ175によって操作されて、ローカル・ネットワーク110などのネットワークを汚染することを試みる悪意のあるソフトウェア(例えば、ボット)を送信しその後制御してもよい。ローカル・ネットワーク110は、中央サーバ130、セカンダリ・サーバ180、及びネットワーク保護装置140に動作的に接続されたホスト120a、120b及び120cを含んでもよい。ホスト120aは、実行可能ソフトウェア122とローカル保護構成要素124とを含んでもよい。参照し易くするため、ホスト120aだけがそのような構成要素と共に示されているが、ローカル・ネットワーク110内の他のホストも、図1のホスト120aに示されたものと類似の構成要素で構成されてもよいことは明らかである。中央保護構成要素135が、中央サーバ130内に提供されてもよく、ネットワーク・レベル取り締まり構成要素145が、ネットワーク保護装置140内に提供されてもよい。中央サーバ130は、また、ログ・イベント・データベース131、中央非信頼ソフトウェア・インベントリ132、内部ホワイトリスト133、及びプロセス・トラフィック・マッピング・データベース134へのアクセスを有してもよい。
例示的実施形態では、ホスト120a上のローカル保護構成要素124、中央サーバ130上の中央保護構成要素135及びネットワーク保護装置140上のネットワーク・レベル取り締まり構成要素145は協力して、悪意のあるソフトウェアと関連付けられたネットワーク・トラフィックに対するネットワーク・レベル保護をするシステムを提供してもよい。ネットワーク・トラフィックは、本明細書で使用されるとき、例えば、ホストから任意のネットワークや他のコンピュータに送られる電子パケット(即ち、アウトバウンド・ネットワーク・トラフィック)と、ホストに任意のネットワークや他のコンピュータから送られる電子パケット(即ち、インバウンド・ネットワーク・トラフィック)など、ネットワーク内のデータを意味する。ネットワーク・トラフィックは、ネットワーク保護装置140が非信頼プログラム・ファイルと関連付けられた適切な制限規則を含む場合に、ネットワーク保護装置140によって阻止され、その他制限されてもよい。
この開示の実施形態によれば、ネットワーク保護装置140は、非信頼プログラム・ファイルが見つかったときにネットワーク・トラフィック用に作成された制限規則を受け取ってもよい。プログラム・ファイルの信頼性状態(即ち、信頼できるか信頼できないか)は、バッチモードで判定されてもよく、ネットワーク・アクセス試行中に実時間で判定されてもよい。本明細書で使用されるようなネットワーク・アクセス試行は、ホスト上の任意のインバウンド又はアウトバウンド・ネットワーク・アクセス試行(例えば、接続要求の受け入れ、接続要求の作成、ネットワークから電子データの受信、ネットワークへの電子データの送信)を含む。バッチモードと実時間モードの両方で、プログラム・ファイルが評価されて、1つ又は複数の信頼評価技術(例えば、ホワイトリスト比較、プログラム・ファイル変更比較、ブラックリスト比較など)を使用して、各プログラム・ファイルの信頼性状態が、信頼できると定義されるか信頼できないと定義されるかが判定される。制限規則を作成するときにポリシーが使用されてもよい。そのようなポリシーは、例えば、ネットワーク・アドレスの指定されたサブネットへのアクセスだけを許可すること、全てのインバウンド及びアウトバウンド・ネットワーク・トラフィックを阻止すること、インバウンド又はアウトバウンド・ネットワーク・トラフィックだけを阻止すること、全てのローカル・ネットワーク・トラフィックを阻止し、インターネット・トラフィックを許可することなどを含んでもよい。非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックが、報告のためにログ記録され、集計されてもよい。
悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムの技術を示すため、所定のネットワーク内で行われるアクティビティを理解することが重要である。以下の基本的な情報は、本開示が適切に説明される基礎とみなすことができる。そのような情報は、単に説明のために提供され、したがって、本開示とその可能な用途の広い範囲を限定するようには決して解釈されるべきではない。更に、この開示の広い範囲は、例えば、実行可能ファイル、ライブラリ・モジュール、オブジェクト・ファイル、他の実行可能モジュール、スクリプト・ファイル、インタープリタ・ファイルなど、コンピュータ上で理解され処理することができる命令を含む任意のソフトウェア・ファイルも包含する「プログラム・ファイル」、「ソフトウェア・プログラム・ファイル」及び「実行可能ソフトウェア」を指すものであることを理解されよう。
組織内又は個人によって使用される典型的なネットワーク環境は、例えばインターネットを使用して他のネットワークと電子的に通信して、インターネットに接続されたサーバ上にホストされたウェブページにアクセスし、電子メール(即ち、email)メッセージを送信あるいは受信し、又はインターネットに接続されたエンドユーザあるいはサーバとファイルを交換する能力を含む。悪意のあるユーザは、インターネットを使用してマルウェアを拡散し、秘密情報へのアクセスを得るための新しい戦略を開発し続けている。
コンピュータ・セキュリティに対する大きな脅威となる戦略は、多くの場合ボットネットを含む。ボットネットは、ある種の悪意のあるソフトウェア(即ち、ボット)がホストコンピュータに置かれて指令制御サーバと通信するクライアントサーバアーキテクチャを使用する。指令制御サーバは、悪意のあるユーザ(例えば、ボットネット・オペレータ)によって制御されてもよい。ボットは、特定の悪意のあるアクティビティを実行するコマンドを指令制御サーバから受け取り、それに応じてそのようなコマンドを実行してもよい。ボットは、任意の結果又は窃盗情報を指令制御サーバに返信してもよい。ボットは、悪意のあるアクティビティを行なうコマンドを受信する他に、典型的には、組織のネットワーク内で拡散し、又は他のネットワークを介して他の組織又は個人に拡散することができる1つ又は複数の伝搬ベクトルを含む。一般的な伝搬ベクトルは、ローカル・ネットワーク内のホスト上の既知の脆弱性を利用して、悪意のあるプログラムが添付され、又は電子メール内に悪意のあるリンクを提供する悪意のある電子メールを送信することを含む。ボットは、例えば、自動ダウンロード、ウィルス、ワーム、トロイの木馬などによりホストコンピュータに感染してもよい。
ボットネットは、様々な攻撃を使用してボットネット・オペレータがコンピュータシステムを危険にさらす強力な方法を提供する。ボットが一旦ホストコンピュータを感染すると、指令制御サーバは、ボットにコマンドを出して様々なタイプの攻撃を行なうことができる。一般に、ボットネットは、大量の電子メールを送信し分散型サービス妨害攻撃を行なうように使用されてきた。しかしながら、最近になって、ボットネットは、企業と個人に標的を絞った攻撃を行なって、知的財産や財務データなどの機密データや他の保護必要情報を得るために使用されようになった。
既存のファイアウォール及びネットワーク侵入防止技術は、一般に、ボットネットを認識しくい止めるには不十分である。ボットは、多くの場合、指令制御サーバと通信を開始し、通常のウェブブラウザトラフィックを偽装するように設計される。ボットは、ボットがウェブサーバに正常なネットワーク接続を行っているかのように見えるようにする指令制御プロトコルによって巧妙に作成されることがある。例えば、ボットは、ウェブサーバと通信するために通常使用されるポートを使用することがある。したがって、そのようなボットは、ウェブ・トラフィックのより詳しいパケット検査を行なわない既存の技術では検出されないことがある。更に、ボットが発見された後、ボットネット・オペレータは、存在し続けるボットによるネットワーク・トラフィックが、正常なウェブ・トラフィックを偽装する別の方法を単に見つけるだけでよい。最近になって、ボットネット・オペレータは、例えばセキュア・ソケット・レイヤー(SSL)などの暗号化プロトコルを使用し、それにより悪意のあるネットワーク・トラフィックを暗号化するボットを巧妙に作成した。そのような暗号化されたトラフィックは、暗号化セッションに関与するエンドポイントだけがデータを復号できるよう、ハイパーテキスト転送プロトコルセキュア(HTTPS)ポートを使用することがある。したがって、既存のファイアウォールや他のネットワーク侵入防止技術は、ウェブ・トラフィックの如何なる有効な検査も実行できない。その結果、ボットは、ネットワーク内のホストコンピュータを汚染し続ける。
無許可のプログラム・ファイルがホストコンピュータ上で実行されるのを防ぐことに焦点を当てた他のソフトウェアセキュリティ技術は、企業又は他の組織的実体のエンドユーザ又は従業員に対して望ましくない副作用を有することがある。ネットワーク又は情報技術(IT)管理者は、望ましく信頼できるネットワーク資源から従業員がソフトウェアや他の電子データを取得できるようにするために、企業実体の全ての側面と関連した広範なポリシーを巧妙に作成する責任を負っていることがある。広範なポリシーが適切でないと、従業員は、そのようなソフトウェアや他のデータが正当で必要な事業活動である場合でも、特に許可されないネットワーク資源からのソフトウェアや他の電子データのダウンロードを妨げられることがある。更に、そのようなシステムは、無許可のソフトウェアがホストコンピュータ上に見つかった場合に、ホストコンピュータアクティビティが延期されてネットワーク管理者の介入が保留されるという大きな制限がある。企業の場合、このタイプのシステムは、正当かつ必要な企業活動を妨げることあり、その結果、労働者の稼働不能時間、収益損失、著しい情報技術(IT)オーバヘッドなどが生じることがある。
図1に概略的に示されたような悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法は、感染したネットワークからのボットネットの伝搬及び悪意のあるアクティビティを減少させることができ、同時にITオーバヘッドをあまり必要とせずに、感染したネットワーク内で正当なアクティビティが継続することを可能にする。1つの例示的実施形態によれば、ホスト120aなどのホスト上のネットワーク・アクセス試行と関連付けられたどのソフトウェア・プログラム・ファイルが危険(即ち、信頼できない)かを判定するシステムが提供される。関連付けられたプログラム・ファイルのそれぞれが危険でない(即ち、信頼できる)場合は、それらのプログラム・ファイルにマッピングされたソフトウェア・プロセスと関連付けられたネットワーク・トラフィックが許可されてもよい。しかしながら、プログラム・ファイルのうちの1つ又は複数が信頼できない場合は、ネットワーク保護装置140が、非信頼プログラム・ファイルにマッピングされたソフトウェア・プロセスと関連付けられたネットワーク・トラフィックを阻止し、その他制限し、かつ/又は、任意の適切なポリシーにしたがって他のネットワーク・トラフィックを阻止し、その他制限できるようにする制限規則が作成されてもよい。そのような阻止又は他の制限は、予想されるボットの伝搬及び悪意のあるアクティビティを防ぐことができる。1つの例示的実施形態では、非信頼プログラム・ファイルが発見されたとき、ホスト120aのインバウンド及びアウトバウンド・ネットワーク・トラフィックは、ポリシーの検討事項に基づいて、指定ネットワーク・サブネット(例えば、安全であることが分かっておりかつ必要な事業活動に要求されるサブネットなど)へのアクセスを選択的に許可されてもよい。これにより、必要な事業活動を中断したり妨げたりすることなく、ボットが指令制御サーバからの指令に応答し伝搬する能力を大幅に低減させることができる。その結果、図1に実現されたようなシステムは、感染ホストがあるネットワーク、及び感染ホストがアクセスを試みる他のネットワークに対してよりよい保護を提供する。
図1のインフラストラクチャに移ると、ローカル・ネットワーク110は、ネットワーク・レベル保護をするシステムを実現することができる例示的なアーキテクチャを表す。ローカル・ネットワーク110は、1つ又は複数のローカル・エリア・ネットワーク(LAN)、他の適切なネットワーク、又はこれらの任意の組み合わせを含むがこれらに限定されない様々な形態で構成されてもよい。インターネット150は、ローカル・ネットワーク110が適切に接続されることがある広域ネットワーク(WAN)を表す。ローカル・ネットワーク110とインターネット150との間の接続は、ネットワーク保護装置140を介して提供されてもよい。ネットワーク保護装置140は、一般的なネットワーク・セキュリティ装置(例えば、ファイアウォール、ルータ、ゲートウェイ、管理スイッチなど)でよい。例示的実施形態では、ホスト120との間の全てのネットワーク・トラフィックは、ネットワーク保護装置140を介して送られる。専用帯域幅を有するインターネット・サービス・プロバイダ(ISP)又はインターネット・サーバは、例えば、デジタル加入者線(DSL)、電話線、T1線、T3線、ワイヤレス、衛星、光ファイバ、ケーブル、 イーサネット(登録商標)など、又はこれらの任意の組み合わせなどの任意の適切な媒体を使用して、インターネット150への接続を提供することができる。追加のゲートウェイ、スイッチ、ルータなどを使用して、ホスト120、中央サーバ130、ネットワーク保護装置140及びインターネット150間の電子通信を容易にしてもよい。ISP又はインターネット・サーバは、ホスト120が伝送制御プロトコル/インターネットプロトコル(TCP/IP)を使用してインターネット上の他のノードと通信できるように構成されてもよく、メールサーバ(図示せず)は、ホスト120が簡易メール転送プロトコル(SMTP)を使用して電子メールメッセージを送受信できるようにしてもよい。
例示的実施形態では、ローカル・ネットワーク110は、組織(例えば、企業、学校、政府実体、家族など)と関連付けられた従業員又は他の個人によって操作されるエンドユーザ・コンピュータを表わすホスト120a、120b及び120cを有する組織のネットワーク環境を表わす。エンドユーザ・コンピュータは、デスクトップ、ラップトップ、可搬型又は携帯型計算装置(例えば、携帯情報端末(PDA)又は携帯電話)などの計算装置、又はローカル・ネットワーク110へのネットワーク・アクセスと関連付けられたソフトウェア・プロセスを実行することができる他の計算装置を含んでもよい。ローカル・ネットワーク110内のホスト120a、120b及び120c、中央サーバ130、セカンダリ・サーバ180、ネットワーク保護装置145、並びに任意の追加の構成要素の間の接続には、例えば、ケーブル、 イーサネット(登録商標)、ワイヤレス(例えば、WiFi、3G、4Gなど)、ATM、光ファイバなどの任意の適切な媒体を含んでもよい。本明細書に示され述べられたネットワーク構成及び相互接続が、単に説明のためのものであることに注意されたい。図1は、例として意図され、本開示におけるアーキテクチャの限定を意味するように解釈されるべきではない。
図1に示された例示的実施形態では、指令制御サーバ170とボットネット・オペレータ175が、インターネット150に動作的に結合される。一例では、指令制御サーバ170は、分散型ボットにコマンドを出すようにボットネット・オペレータ175によって制御又は使用されるウェブサーバでよい。別の例では、指令制御サーバ170は、大企業、教育機関あるいは政府機関のサイトに悪意を持ってインストールされ隠されていてもよい。ボットネット・オペレータ175は、例えば、インターネット150を介して指令制御サーバ170にリモートでアクセスして、ホスト120a、120b又は120cなどの感染ホストコンピュータ上の分散型ボットを制御する命令を出してもよい。多数のボットネット・オペレータと、何百万台ものボットを制御する指令制御サーバが、インターネット150に動作的に接続されてもよい。一例では、ボットが、ホスト120a、120b又は120cのうちの1つに感染すると、ボットネット・オペレータ175は、指令制御サーバ170を介してコマンドを出して、ボットをローカル・ネットワーク110及び/又はの他のネットワークの全体に伝搬させ始める。更に、ボットネット・オペレータ175は、感染ホスト120a、120b又は120cから、スパム電子メール、秘密情報の盗難、分散型サービス妨害攻撃などの悪意のあるアクティビティをボットが試みる命令を出すことがある。
図1は、また、インターネット150に接続されたグローバルサーバ160を示す。多数のサーバがインターネット150に接続されてもよいが、グローバルサーバ160は、リスクが評価されたソフトウェア・プログラム・ファイルに関係する情報を含む1つ又は複数のデータベースを提供するサービスを提供する。例えば、信頼できない(例えば、ウィルス、ワームなどの悪意のあるコードを含む)と評価及び判定されたソフトウェア・プログラム・ファイルが、いわゆる「ブラックリスト」に含まれてもよい。信頼できる(例えば、汚染されていない、悪意のあるコードを含まないなど)と評価及び判定されたソフトウェア・プログラム・ファイルが、いわゆる「ホワイトリスト」に含まれてもよい。ホワイトリストとブラックリストは、別々に実施されてもよいが、各ソフトウェア・プログラム・ファイルが、ホワイトリストファイル又はブラックリストファイルとして識別されるデータベース内で結合されてもよい。
ホワイトリスト及びブラックリストは、各プログラム・ファイルの固有チェックサムが記憶されたチェックサムを使用して実施されてもよく、このチェックサムは、評価されるプログラム・ファイルの計算済みチェックサムと容易に比較することができる。チェックサムは、ソフトウェア・プログラム・ファイルにアルゴリズムを適用することによって導出された数値又はハッシュサム(例えば、番号数字の固定文字列)でよい。アルゴリズムが、第1のソフトウェア・プログラム・ファイルと同一の第2のソフトウェア・プログラム・ファイルに適用された場合は、チェックサムが合致しなければならない。しかしながら、第2のソフトウェア・プログラム・ファイルが異なる場合(例えば、第2のソフトウェア・プログラム・ファイルが、何らかの方法で変更された場合、第1のソフトウェア・プログラム・ファイルの異なるバージョンである場合、全く異なるタイプのソフトウェアである場合など)は、チェックサムは合致しない可能性が極めて高い。
図1のグローバル・ホワイトリスト165などのデータベースは、独立した第三者によって提供されてもよく、消費者が入手可能な信頼できるソフトウェア・プログラム・ファイルの総合リストを提供するように定期的に更新されてもよい。同様に、ブラックリスト(図示せず)は、独立した第三者によって提供されてもよく、信頼できない悪意のあるソフトウェア・プログラム・ファイルの総合リストを提供するように定期的に更新されてもよい。グローバル・ホワイトリスト及びブラックリストは、ローカル・ネットワーク110の外部にあってもよく、インターネット150などの他のネットワークを介して、又はローカル・ネットワーク110とグローバル・ホワイトリスト165との間の電子通信を可能にする任意の他の適切な接続を介してアクセス可能であってもよい。そのようなグローバル・ホワイトリスト及びブラックリストの例には、カリフォルニア州サンタクララのMcAfee社によって提供されるArtemisデータベースと、オレゴン州ポートランドのSignaCert社によって提供されるSignaCert(登録商標)データベースが含まれる。
図1は、また、ローカル・ネットワーク110内に示された内部ホワイトリスト133を含む。内部ホワイトリスト133は、また、リスクが評価されたソフトウェア・プログラム・ファイルに関係する情報を含んでもよく、チェックサムを使用してそのようなソフトウェア・プログラム・ファイルを識別してもよい。内部ホワイトリスト133内で識別されるソフトウェア・プログラム・ファイルは、1つ又は複数のグローバル・ホワイトリストからのソフトウェア・プログラム・ファイルを包含してもよく、かつ/又は選択されたソフトウェア・プログラム・ファイルを提供するようにカスタマイズされてもよい。詳細には、組織内部で開発されたが必ずしも一般大衆が入手できるとは限らないソフトウェア・プログラム・ファイルが、内部ホワイトリスト133内で識別されてもよい。更に、信頼できないと評価及び判定された特定のソフトウェア・プログラム・ファイルを識別するために、内部ブラックリストが提供されてもよい。
図1に示されたローカル・ネットワーク110では、ホスト120aは、実行可能ソフトウェア122とローカル保護構成要素124とで構成されてもよい。実行可能ソフトウェア122は、ホスト120a上の全てのソフトウェア・プログラム・ファイル(例えば、実行可能ファイル、ライブラリ・モジュール、オブジェクト・ファイル、他の実行可能モジュール、スクリプト・ファイル、インタープリタ・ファイルなど)を含んでもよい。ホスト120aがボットに感染した場合は、ボットは、感染ホスト120aの実行可能ソフトウェア122内のプログラム・ファイルとして記憶される可能性がある。ホスト120aのローカル保護構成要素124は、実施形態によって異なる機能を提供することができる。システムの幾つかの実施形態では、ローカル保護構成要素124は、実行可能ソフトウェア122のインベントリ、又はホスト120a上の実行可能ソフトウェア122に対する変更及び追加のインベントリを定期的に提供してもよい。システムの実時間実施形態では、ローカル保護構成要素124は、ネットワーク・アクセス試行を遮断し、ネットワーク・アクセス試行と関係した情報を中央サーバ130に提供してもよい。ローカル保護構成要素124は、所定の長さの時間、又はネットワーク・アクセス試行を解放することを可能にする信号を中央サーバ130から受け取るまで、ネットワーク・アクセス試行を保持してもよい。
ローカル・ネットワーク110内の中央サーバ130は、ホスト120a上のソフトウェア・プログラム・ファイルの信頼性状態を判定し、非信頼ソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックの制限及びログ記録規則を作成し、制限及びログ記録規則をネットワーク保護装置140にプッシュし、及びログ・イベント・データベース131を、非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックと関係したエントリで更新する中央保護構成要素135を含んでもよい。幾つかの実施形態では、中央保護構成要素は、中央非信頼ソフトウェア・インベントリ132を、非信頼ソフトウェア・プログラム・ファイルを識別するエントリで更新してもよい。中央サーバ130は、また、プログラム・ファイル・パス、アドレス(例えば、インターネットプロトコル(IP)アドレス)及び/又はポート番号などの情報を含む、ソフトウェア・プロセスをソフトウェア・プログラム・ファイルにマッピングすることができるプロセス・トラフィック・マッピング・データベース134を含むか又はそのデータベースに対するアクセスを有してもよい。ログ・イベント・データベース131、中央非信頼ソフトウェア・インベントリ132、内部ホワイトリスト133、及びプロセス・トラフィック・マッピング・データベース134は、中央サーバ130にアクセス可能な任意のネットワーク及び装置で提供されてもよい。本明細書で更に述べるように、中央非信頼ソフトウェア・インベントリ132は、システムの幾つかの実施形態では省略されてもよい。ネットワーク保護装置140は、ネットワーク・トラフィック(例えば、ホスト120aにインバウンドし、又はホスト120aからアウトバウンドする電子パケットなど)を遮断し、任意の適切な制限及びログ記録規則を遮断パケットに執行するネットワーク・レベル取り締まり構成要素145を含んでもよい。
図2に移ると、図2は、中央サーバ200及び関連したメモリ構成要素231、232、233及び234の概略図を示す。これは、 図1に示された中央サーバ130及び関連したメモリ構成要素131、132、133及び134の詳細な例である。図2に示された例示的実施形態では、中央サーバ200の中央保護構成要素は、管理保護モジュール220、ポリシー・モジュール230、ポリシー・データベース235、ソフトウェア信頼判定モジュール240、及び規則作成モジュール250を含んでもよい。幾つかの実施形態では、中央保護構成要素は、また、ソフトウェア信頼判定モジュール240からの信頼プログラム・ファイル・キャッシュ・エントリを記憶する中央信頼キャッシュ245を含んでもよい。規則作成モジュール250は、バッチ処理モード実施形態で構成されてもよく、実時間(又は実質的に実時間)処理実施形態で構成されてもよい。規則作成モジュール250のバッチ処理及び実時間処理の両方の実施形態において、非信頼プログラム・ファイルが発見されたときに、ネットワーク制限規則及び/又はログ記録規則が作成されてもよい。中央保護構成要素は、また、プロセス・トラフィック・マッピング・データベース234を、プログラム・ファイル情報、ソース・アドレス及びポート番号、宛先アドレス及びポート番号などのソフトウェア・プロセスと関係した情報で更新するプロセス・トラフィック・マッピング・モジュール260を含んでもよい。
中央サーバ200は、また、例えばログ・イベント・データベース231や内部ホワイトリスト233などの適切なハードウェア及びメモリ要素を含むか又はそれらに対するアクセスを有してもよい。幾つかの実施形態では、中央サーバ200は、また、中央非信頼ソフトウェア・インベントリ232を含むかそれに対するアクセスを有してもよく、他の実施形態では、中央非信頼ソフトウェア・インベントリ232は、システムの必須構成要素でなくてもよい。中央サーバ200には、プロセッサ280やメモリ要素290を含む他のハードウェア要素が含まれてもよい。最後に、認可された人が管理保護モジュール220などの管理構成要素を介してシステムを導入し、構成し、維持するため、管理コンソール210が、中央サーバ200に適切に接続されてもよい。
中央信頼キャッシュ245を使用する実施形態では、キャッシュは、グローバル及び/又は内部ホワイトリストを検索する際に見つかったプログラム・ファイルなど、以前に信頼状態を有すると判定されたプログラム・ファイルを識別するエントリ(例えば、チェックサム)を一時的に記憶するためのメモリのブロックとしてハードウェア内に実現されてもよい。中央信頼キャッシュ245は、以前に信頼性状態が評価されたプログラム・ファイルを示すデータに対する迅速かつ透明なアクセスを提供することができる。これにより、要求されたプログラム・ファイルが中央信頼キャッシュ245内に見つかった場合は、グローバル及び/又は内部ホワイトリストの検索、又は任意の他の信頼評価が行なわれなくてもよいことがある。更に、中央信頼キャッシュ245を使用する実施形態は、中央非信頼ソフトウェア・インベントリ232を維持しなくてもよい。
図3に移ると、図3は、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムを実現することができる、計算装置又はホスト300の一実施形態の概略図と、中央サーバ200のブロック図とを示す。ホスト300は、図1のホスト120aのより詳細な例である。ホスト300は、例えば、プログラム・ファイル1〜nを含む1組の実行可能ソフトウェア340を含む。例えば実時間処理の実施形態などの幾つかの実施形態では、ホスト300内のローカル保護構成要素は、ホスト300上のネットワーク・アクセス試行を遮断し、ホスト・イベント情報(即ち、ネットワーク・アクセス試行及びその関連プログラム・ファイルと関係した情報)を中央サーバ200に送るための、中央サーバ200に対する双方向の流れを有するイベント・フィード330を含んでもよい。また、ネットワーク・アクセス試行を解放する前に、得られたネットワーク制限及び/又はログ記録規則をネットワーク保護装置400にプッシュできるよう、イベント・フィード330は、ネットワーク・アクセス試行を、所定の時間又は中央サーバ200からの信号を受け取るまで保持するように構成されてもよい。
バッチ処理の実施形態や特定の実時間処理の実施形態などのシステムの様々な実施形態において、ローカル保護構成要素は、実行可能ソフトウェア340のインベントリ又は実行可能ソフトウェア340内の新規及び/又は変更されたプログラム・ファイルのインベントリを中央サーバ200にプッシュするため、中央サーバ200へのデータ・フローを有するソフトウェア・プログラム・インベントリ・フィード335を含んでもよい。イベント・フィード330及びソフトウェア・プログラム・インベントリ・フィード335は、ホスト300のユーザ空間内に常駐してもよい。また、ホスト300のユーザ空間内には、実行可能ソフトウェア340のプログラム・ファイルの1つ以上に対応する例示的な実行ソフトウェア・プロセス345が示されている。参照し易くするため、実行可能ソフトウェア340は、ホスト300上のユーザ空間内に示される。しかしながら、実行可能ソフトウェア340は、ホスト300のディスク・スペースなどのメモリ要素に記憶されてもよい。
ホスト300は、また、ネットワーク・インタフェース・カード(NIC)装置370、プロセッサ380、メモリ要素390などのハードウェア構成要素を含んでもよい。伝送制御プロトコル/インターネットプロトコル(TCP/IP)350や他のプロトコル360などの伝送プロトコルは、ホスト300のカーネル空間内に常駐してもよい。
図2と図3には、メモリ管理ユニット(MMU)、付加的対称型マルチプロセッシング(SMP)要素、物理メモリ、 イーサネット(登録商標)、周辺構成要素相互接続(PCI)バス及び対応ブリッジ、小型コンピュータシステムインタフェース(SCSI)/Integrated Drive Electronics(IDE)要素などの形でプロセッサ280及び380に適切に結合されてもよい追加のハードウェアが示されていない。更に、ネットワーク・アクセスを可能にするため、適切なモデム及び/又は追加のネットワーク・アダプタを含んでもよい。中央サーバ200及びホスト300は、意図された機能を適切に実行するのに必要な任意の追加のハードウェア及びソフトウェアを含むことができる。更に、中央サーバ200及びホスト300内に、その中のハードウェア構成要素の動作を適切に管理するため、任意の適切なオペレーティング・システムが構成されてもよい。ハードウェア構成は異なってもよく、示された例がアーキテクチャの限定を意味するものではないことを理解されよう。
図4に移ると、図4は、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム内で使用されることがあるネットワーク保護装置400の概略図を示す。ネットワーク保護装置400は、図1のネットワーク保護装置140の例である。ネットワーク保護装置400のネットワーク・レベル取り締まり構成要素は、フィルタ/ファイアウォール410、ネットワーク規則要素420、及びイベント・ログ430を含んでもよい。ネットワーク保護装置400は、プロセッサ480やメモリ要素490などのハードウェア構成要素を含んでもよい。例示的実施形態では、ネットワーク保護装置140は、一般的なネットワーク・セキュリティ装置(例えば、ファイアウォール、ルータ、ウェブ・ゲートウェイ、メール・ゲートウェイ、管理スイッチなど)であってもよく、必要に応じて意図された機能を実行するための他の適切なハードウェア及びソフトウェア構成要素を含んでもよい。
ネットワーク保護装置400では、フィルタ/ファイアウォール410は、ネットワーク・トラフィック(例えば、ローカル・ネットワーク110からアウトバウンドされ、ローカル・ネットワーク110にインバウンドされ、又はローカル・ネットワーク110内の電子パケット)を遮断してもよく、ネットワーク規則要素420に照会して、ネットワーク・トラフィックの特定の遮断パケットに適用される制限及び/又はログ記録規則があるかどうか判定してもよい。適切な制限規則が見つかった場合は、その制限規則がパケットに適用され、パケットが阻止され、経路変更され、選択的に許可されるなどが行われてもよい。イベント・ログ430は、ネットワーク・トラフィック・イベント・データをログ記録するため、ネットワーク保護装置400内に提供されてもよい。ネットワーク・トラフィック・イベント・データは、例えば、ソース・アドレス及びポート番号、宛先アドレス及びポート番号、日時スタンプ、及び/又は規則ID(即ち、遮断パケットに適用される制限又はログ記録規則を示す識別子)など、ネットワーク保護装置400が受け取った特定のパケットと関係した情報を含んでもよい。そのようなログ記録は、ネットワーク規則要素420が、ネットワーク保護装置400が受け取った特定のパケットに対応するログ記録規則を有する場合、又は、例えば、ネットワーク・トラフィック・イベントに対応するパケットに制限規則が適用されたときにネットワーク・トラフィック・イベントをログ記録するなど、ログ記録がデフォルトで実行される場合に、行われてもよい。
様々な例示的実施形態では、信頼判定、ログ記録、及び規則作成アクティビティは、中央サーバ200の管理保護モジュール220、ポリシー・モジュール230、ソフトウェア信頼判定モジュール240、規則作成モジュール250、及びプロセス・トラフィック・マッピング・モジュール260、並びに、ホスト120aのソフトウェア・プログラム・インベントリ・フィード335及び/又はイベント・フィード330とによって提供されてもよい。信頼判定、ログ記録、及び規則作成アクティビティと関係した情報は、適切に描写され、又は特定の場所(例えば、中央サーバ200、ネットワーク規則要素420など)に送られてもよく、単純に記憶され、又はアーカイブされてもよく(例えば、ログ・イベント・データベース231、中央非信頼ソフトウェア・インベントリ232、ポリシー・データベース235、プロセス・トラフィック・マッピング・データベース234、中央信頼キャッシュ245など)、かつ/又は任意の適切な形式で適切に表示されてもよい(例えば、管理コンソール210などにより)。そのような信頼判定、ログ記録及び規則作成アクティビティの1つ又は複数と関係したセキュリティ技術には、McAfee(登録商標)ソフトウェア(例えば、ePolicy Orchestrator、Application Control、及び/又は Change Control)又は他の類似のソフトウェアの要素が含まれる。したがって、そのような構成要素はいずれも、本明細書で使用されるような用語「管理保護モジュール」、「ポリシー・モジュール」、「ソフトウェア信頼判定モジュール」、「規則作成モジュール」、「プロセス・トラフィック・マッピング・モジュール」、「ソフトウェア・プログラム・インベントリ・フィード」及び「イベント・フィード」の広い範囲に含まれてもよい。ログ・イベント・データベース231、中央非信頼ソフトウェア・インベントリ232、内部ホワイトリスト233、プロセス・トラフィック・マッピング・データベース234、ポリシー・データベース235、中央信頼キャッシュ245、ネットワーク規則要素420、及びイベント・ログ430は、電子データの信頼判定、ログ記録及び規則作成と関係した情報(例えば、プログラム・ファイルの信頼判定、ネットワーク・アクセス試行、ソフトウェア・プロセスの宛先アドレスとポート番号、ソフトウェア・プロセスのソース・アドレスとポート番号、ネットワーク制限規則、ログ記録規則など)を含んでもよく、これらの要素は、ホスト300、中央サーバ200及びネットワーク保護装置400のモジュール及び構成要素と容易に協力し、連携し、その他相互作用することができる。
図5〜図12は、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法の様々な実施形態と関連付けられたフローの例示的実施形態のフローチャートを含む。参照し易くするために、図5〜図12は、本明細書では、図1のネットワーク環境100における特定の構成要素と、サーバ200、ホスト300、ネットワーク保護装置400及びそれらの関連した構成要素、要素、モジュールとを参照して説明されるが、本明細書で示され述べられたシステム及び方法のネットワーク・レベル実施形態を実現するために、様々な他の装置、構成要素、要素、モジュールなどを使用してもよい。
図5に移ると、バッチ処理フロー500は、ネットワーク・レベル保護をするシステムのバッチ処理実施形態のフローを示す。これは、少なくとも部分的に、中央サーバ200の規則作成モジュール250として実施されてもよい。バッチ処理フロー500を実現するシステムの実施形態では、中央サーバ200の中央信頼キャッシュ245も中央非信頼ソフトウェア・インベントリ232も必要ではないことがある。バッチ処理フロー500は、任意の適切な所定の時間間隔で(例えば、1時間ごと、30分ごとなど)実行されてもよい。フローは、実行可能ソフトウェアのインベントリをホスト300などのホストから受け取るステップ520で始まってもよい。中央サーバ200は、ソフトウェア・プログラム・インベントリ・フィード335によって提供されることがあるインベントリをホスト300にポーリングしてもよい。ソフトウェア・プログラム・インベントリ・フィード335は、中央サーバ200に、ホスト300上の完全な更新済みソフトウェア・インベントリ、又はホスト300上のソフトウェア・プログラム・ファイル追加及び/又は変更のインベントリを提供するように構成されてもよい。ソフトウェア・プログラム・インベントリ・フィード335は、例えば、Policy AuditorソフトウェアやApplication Controlソフトウェアなどの既存のセキュリティ・ソフトウェアで実現されてもよく、これらのソフトウェアは両方とも、カリフォルニア州サンタクララのMcAfee社によって製造されている。
ソフトウェア・インベントリを受け取った後で、フローはステップ525に進み、最初のプログラム・ファイルが、ソフトウェア・インベントリから取り出される。次に、フローはステップ530に進み、プログラム・ファイルの信頼性状態(即ち、信頼できるか信頼できないか)を判定する。信頼性状態は、1つ又は複数のソフトウェア信頼判定技術(例えば、内部ホワイトリストの評価、外部ホワイトリストの評価、プログラム・ファイルの状態変更の評価、ブラックリストの評価など)を使用する中央サーバ200のソフトウェア信頼判定モジュール240によって判定されてもよく、これについては、図6と図7に関連して本明細書で更に示され説明される。
ステップ530でプログラム・ファイル信頼性状態が判定された後で、フローはステップ535に進み、プログラム・ファイルが信頼できるかどうかの照会がされる。プログラム・ファイルが信頼できる場合は、フローはステップ580に進んで、ネットワーク制限又はログ記録規則の作成を回避し、ソフトウェア・インベントリ内のループを続け、各プログラム・ファイルを評価する。しかしながら、ステップ535でプログラム・ファイル信頼性状態が信頼できない場合は、フローはステップ540に進み、プロセス・トラフィック・マッピング・データベース234から非信頼プログラム・ファイルに関するプロセス・トラフィック・マッピング情報を得る。プロセス・トラフィック・マッピング情報は、例えば、ネットワーク・トラフィックをログ記録しかつ/又は制限する規則を作成するために使用することができるプログラム・ファイルにマッピングされたソース・アドレス及び宛先ポート番号を含んでもよい。
プログラム・ファイルのプロセス・トラフィック・マッピング情報を取得した後で、ステップ545で、ログ記録が有効かどうかの照会がされる。ステップ545での照会が、ログ記録が有効であることを示す場合は、フローはステップ550に進み、ログ記録規則が作成され、ネットワーク保護装置400にプッシュされてネットワーク規則要素420に記憶される。一例では、ステップ540で取得されたプロセス・トラフィック・マッピング情報からのソース・アドレスと宛先ポート番号は、特定のネットワーク・イベント・データをログ記録する規則を作成するために使用されることがある。この例では、ネットワーク保護装置400によって遮断された電子パケットが、プロセス・トラフィック・マッピング情報と一致するソース・アドレス及び宛先ポートを有するとき、ログ記録規則は、遮断パケットと関係したネットワーク・トラフィック・イベント・データをイベント・ログ430に記憶することを要求することがある。幾つかの実施形態では、ログ記録規則を識別する規則IDは、プロセス・マッピング・データベース234に記憶され、非信頼プログラム・ファイルにマッピングされてもよい。
ステップ550で、ログ記録規則が作成されネットワーク保護装置400にプッシュされた後、又はステップ545でログ記録が有効でない場合、フローはステップ555に進み、取り締まりが有効かどうかの照会がされる。取り締まりが有効でない場合、フローはステップ580に進んで、非信頼プログラム・ファイルのネットワーク制限規則の作成を回避し、ソフトウェア・インベントリ内のループを続け、ソフトウェア・インベントリ内の残りのプログラム・ファイルを評価する。しかしながら、ステップ555で取り締まりが有効である場合は、ステップ560で、ポリシー・データベース235に照会して、構成ポリシーがプログラム・ファイルの非信頼状態を覆し、プログラム・ファイルと関連付けられたネットワーク・トラフィックを許可するかどうかを判定する。例示的実施形態では、中央サーバ200のポリシー・モジュール230は、ネットワーク管理者や他の許可ユーザが、管理コンソール210によってポリシー構成を巧妙に作成し、そのようなポリシーをポリシー・データベース235に記憶することを可能にしてもよい。次に、ステップ560で、非信頼プログラム・ファイルに関連したポリシーがないかポリシー・データベース235に照会してもよい。
ポリシー・データベース235内に、プログラム・ファイルの非信頼状態を覆すポリシーが見つかった場合、フローはステップ580に進み、非信頼プログラム・ファイルのためのネットワーク制限規則の作成を回避し、ソフトウェア・インベントリ内のループを続け、ソフトウェア・インベントリ内の残りのプログラム・ファイルを評価する。しかしながら、ポリシーが、プログラム・ファイルの非信頼状態を覆さない(即ち、ポリシーが何らかのタイプの制限規則を必要とするか、適用できるポリシーがない)場合、フローはステップ570に進み、プロセス・トラフィック・マッピング情報及び/又は任意の適切なポリシーを使用して1つ又は複数のネットワーク制限規則を作成することができる。
ポリシーは、様々なタイプの制限規則を作成するために使用されてもよく、そのようなポリシー構成が、必要に応じて特定のネットワーク所有者によって実施されてもよい。幾つかの例示的実施形態では、ポリシー構成は、全てのインバウンド及びアウトバウンド・ネットワーク・トラフィックを阻止すること、全てのインバウンド・ネットワーク・トラフィックを阻止しアウトバウンド・ネットワーク・トラフィックを許可すること、又はインバウンド・ネットワーク・トラフィックを許可しアウトバウンド・ネットワーク・トラフィックを阻止することなど、1つ又は複数の広範囲にわたる制限を含んでもよい。ローカル・ネットワークへのアウトバウンド・ネットワーク・トラフィックを阻止するがインターネットへのアウトバウンド・ネットワーク・トラフィックを許可すること、ソース・アドレスの指定サブネットからのインバウンド・ネットワーク・トラフィックを許可しかつ/又は宛先アドレスの指定サブネットへのアウトバウンド・ネットワーク・トラフィックを許可することなど、より特定の戦略が使用されてもよい。最後に、ポート上の特定のインバウンド・サービス及び/又は特定のアウトバウンド・サービス(例えば、ドメインネームサービス(DNS)、簡易メール転送プロトコル(SMTP)、インターネット・リレー・チャット(IRC)など)などのより大まかな戦略が使用されてもよい。これらの例示的なポリシー構成は、例示のためのものであり、インバウンド、アウトバウンド、及び/又はローカル・ネットワーク・トラフィック、又はこれらの任意の組み合わせを制限する他のポリシー構成も含むことが意図される。そのようなポリシーは、ネットワーク・レベル保護をするシステムにおいて、構成ポリシーを使用して作成されたネットワーク制限規則を適用するネットワーク保護装置400内にネットワーク・トラフィックを送ることによって実施されてもよい。
特定のポリシー構成は、非信頼ソフトウェアの伝搬及び潜在的に悪意のあるアクティビティを防ぐ必要性や、必要な事業活動を行なう必要性など、競合する関心の間での平衡がとられてもよい。例えば、ホスト・サブネットとサーバ・サブネットを有するネットワークにおいて、非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックがサーバ・サブネットだけにアクセスでき、ホスト・サブネットにはアクセスできないよう、ポリシーを構成してもよい。これは、悪意のあるソフトウェアがネットワーク内の他のホストに伝搬するのを防ぎ、同時にセキュアなサーバ・サブネットに対する各ホストの非遮断アクセスを可能にするので望ましいことがある。別のポリシーは、非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックが、既知のサブネット・ホスティング・ジョブ・クリティカル・サービスを除くインターネットにアクセスするのを阻止してもよい。したがって、選択的なネットワーク・アクセスを許可するポリシーを巧妙に作成することにより、様々な阻止オプションを使用することができる。
ネットワーク・レベル保護をするシステム及び方法の実施形態において、非信頼プログラム・ファイルのためのネットワーク・レベル固有ポリシーが巧妙に作成されてもよい。例えば、非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックをセカンダリ・サーバ180などの別のサーバに転送するポリシーが、巧妙に作成されてもよい。一例では、非信頼プログラム・ファイルと関連付けられた潜在的に悪意のあるネットワーク・トラフィックが、セカンダリ・サーバ180上の追加のファイアウォール、フィルタ、アンチスパム/アンチウイルス・ゲートウェイ、プロキシなどに強制的に通されてもよい。別の例では、セカンダリ・サーバ180が、ネットワーク接続を受け取ったときに1つ又は複数の所定のコマンドで応答するように構成されてもよい。幾つかのボットは、特定のコマンドを受け取ったときに自滅するように設計され、セカンダリ・サーバ180は、ネットワーク接続にそのようなコマンドで応答し、それによりセカンダリ・サーバ180に転送されたボットが破壊されるように構成されてもよい。
別のネットワーク・レベル固有ポリシーは、仮想ローカルエリアネットワーク(VLAN)メンバシップを別のVLANポートに切り換えることを含む。この例では、VLANメンバシップは、非信頼プログラム・ファイルと関連付けられたポートに切り替えられてもよい。VLANメンバシップを別のポートに切り替えると、個々のストリームではなくそのポート上の全てのネットワーク・トラフィックが有効に移動するが、代替のVLANは、ネットワーク・トラフィックを、追加のファイアウォール、フィルタ、アンチスパム及びアンチウイルス・ゲートウェイ、プロキシなどに強制的に通すように構成されてもよい。このタイプの制限は、ネットワーク保護装置400がレイヤー2の管理スイッチとして構成された場合に特に有用なことがある。
別の例示的実施形態では、ネットワーク保護装置400は、より深いパケット検査を行って、複数の会話ストリームが単一ポートを介して転送されているかどうかを判定し、また適切なネットワーク制限及びログ記録規則が適用される非信頼プログラム・ファイルと関連付けられたストリームを識別するように適応されてもよい。したがって、この実施形態では、ポリシーは、ネットワーク制限又はログ記録規則が、非信頼プログラム・ファイルと関連付けられた特定のストリームを選択的に阻止しかつ/又はログ記録し、同時に他のストリームが同じポートを介した接続を継続できるように巧妙に作成されるように構成されてもよい。
図5のステップ570に戻ると、ネットワーク制限規則は、プロセス・トラフィック・マッピング情報及び/又は任意の適切なポリシーを使用して作成され、次にネットワーク保護装置400にプッシュされる。例えば、ポリシーが、非信頼プログラム・ファイルと関連付けられた全てのインバウンド及びアウトバウンド・ネットワーク・トラフィックを阻止することを要求するように構成された場合は、ステップ540で取得されたプロセス・トラフィック・マッピング情報からのソース・アドレス及び宛先ポートを使用して、一致するソース・アドレス及び宛先ポートを有するインバウンド又はアウトバウンド・パケットを阻止する1つ又は複数の制限規則を作成してもよい。ステップ570でネットワーク制限規則が作成された後、ネットワーク制限規則は、ネットワーク保護装置400にプッシュされ、ネットワーク規則要素420に記憶される。次に、フローはステップ580に進み、評価しているプログラム・ファイルがソフトウェア・インベントリ内の最後のプログラム・ファイルであるかどうかが判定される。そのプログラム・ファイルが、最後のプログラム・ファイルの場合、フロー500は終了する。しかしながら、それが最後のプログラム・ファイルでない場合は、ステップ590で、ソフトウェア・インベントリ内の次のプログラム・ファイルが取り出され、フローはステップ530に戻って、新しく取得されたプログラム・ファイルの信頼性状態を判定し、プログラム・ファイルに適したネットワーク制限又はログ記録規則を作成する。
図6〜図7に移ると、例示的なフローは、ネットワーク・レベル保護をするシステムのバッチ処理実施形態におけるプログラム・ファイルの信頼性状態を判定する代替の実施形態を示す。図6又は図7の例示的なステップは、少なくとも部分的に中央サーバ200のソフトウェア信頼判定モジュール240として実施されてもよく、図5のバッチ処理実施形態のステップ530に対応してもよい。図6は、ホワイトリスト評価を使用する信頼判定フロー600を示す。これは、ホスト300から中央サーバ200にプッシュされたソフトウェア・インベントリ内の各プログラム・ファイルについて実行される。フローはステップ610で始まってもよく、現在のプログラム・ファイルが評価されて、それが、図1に示されたグローバル・ホワイトリスト165などの少なくとも1つのグローバル・ホワイトリスト上、及び/又はローカル・ネットワーク110外の他のホワイトリスト上で識別されたかどうかが判定される。本明細書で前に述べたように、プログラム・ファイルを識別するために、ホワイトリスト内でチェックサムが使用されてもよい。ステップ610でプログラム・ファイルがグローバル又は他の外部ホワイトリストのいずれかに見つかった場合は、プログラム・ファイルの信頼性状態が、信頼できると定義されて、フローが終了し、信頼性状態が、図5のステップ530に返される。しかしながら、プログラム・ファイルが、ステップ610でグローバル又は他の外部ホワイトリスト上に見つからなかった場合、フローはステップ620に進み、内部ホワイトリスト133などの1つ又は複数の内部ホワイトリストが、検索されてもよい。組織は、複数のホワイトリスト(例えば、組織全体のホワイトリスト、企業レベルのホワイトリストなど)を使用してもよい。プログラム・ファイルが、内部ホワイトリストのどれかに見つかった場合、プログラム・ファイルの信頼性状態が、信頼できると定義されて、フローが終了し、信頼性状態が、図5のステップ530に返される。
しかしながら、ステップ610及び620で、プログラム・ファイルが内部又は外部ホワイトリストのどれにも見つからなかった場合、プログラム・ファイルは、非信頼状態を有する。次に、フローはステップ630に進んでもよく、プログラム・ファイルが評価されて、プログラム・ファイルを非信頼状態から信頼状態に昇格させることができる既定条件が存在するかどうかが判定されてもよい。そのような既定条件は、例えば、管理者が所有するソフトウェア、ファイル・アクセス制御、ファイル属性(例えば、作成時刻、修正時刻など)などのヒューリスティックな検討事項を含んでもよい。一例では、管理者が所有する非信頼プログラム・ファイルが、信頼状態に昇格され、したがって、フローが終了し、信頼性状態は、図5のステップ530に返されてもよい。しかしながら、ステップ630で、プログラム・ファイルが既定条件をいずれも満たさない場合は、非信頼状態が持続し、その結果、プログラム・ファイルが、信頼できないと定義され、フローが終了し、信頼性状態が、図5のステップ530に返される。
信頼判定フロー600は、また、ホワイトリストに加えてブラックリストを評価する追加の論理(図示せず)を含んでもよい。ブラックリストは、悪意のあることが分かっているソフトウェア・プログラム・ファイルを識別する。ブラックリストは、McAfee社によって提供されるArtemis及びAnti−Virusデータベース、並びにローカル・ネットワーク内にローカルに維持されたブラックリストを含む多数のソースによって提供されてもよい。この実施形態では、プログラム・ファイルが、内部又は外部ブラックリストのどれかに見つかった場合、プログラム・ファイルは、信頼できないと定義される。
図7に移ると、図7は、図5のステップ530に対応する信頼判定フロー700の代替の実施形態を示す。これは、ソフトウェア・インベントリ内の各プログラム・ファイルについて実行されてもよい。フローは、ステップ720で始まり、現在のプログラム・ファイルが評価されて、変化したかどうかが判定される。プログラム・ファイルの現在の状態が、前の状態から変化していない場合、プログラム・ファイルの信頼性状態が、信頼できると定義され、フローが終了し、信頼性状態が、図5のステップ530に返される。しかしながら、プログラム・ファイルの現在の状態が前の状態から変化した場合は、プログラム・ファイルは、非信頼状態を有する。既存の変更追跡製品(例えば、McAfee(登録商標)Change Controlソフトウェア、McAfee(登録商標)Application Controlソフトウェア、McAfee(登録商標)ePolicy Orchestratorソフトウェア、McAfee(登録商標)Policy Auditorソフトウェア、オレゴン州ポートランドのTripwire社によって製造されたTripwire(登録商標)ソフトウェアなど)を使用して、プログラム・ファイルの変更データを調べ、変更が起きたかどうかを判定してもよい。一例では、変更レコードは、中央サーバ200で集中的に総計されてもよく、McAfee(登録商標)ePOソフトウェアが、プログラム・ファイルが変化したかどうかを判定してもよい。
図7のステップ720を再び参照すると、プログラム・ファイルが変化し、したがって非信頼状態を有すると判定された場合、フローはステップ730に進んでもよく、プログラム・ファイルが評価されて、図6に関連して本明細書で前に述べたように、プログラム・ファイルを非信頼状態から信頼状態に昇格できる既定条件が存在するかどうかが判定される。1つ又は複数の既定条件が存在する場合は、プログラム・ファイルが、信頼状態に昇格されてもよい。しかしながら、プログラム・ファイルに適用される既定条件がない場合は、非信頼状態が持続し、プログラム・ファイルは、信頼できないと定義されてもよい。ステップ730で信頼性状態が決定された後で、フローは終了し、プログラム・ファイルの信頼性状態が、図5のステップ530に返される。
プログラム・ファイルを列挙し、信頼性状態を判定する代替の実施態様は、容易に明らかになる。本明細書で前に示され述べられた実施形態は、ホスト300などのネットワーク内の各ホスト上の実行可能ソフトウェアのインベントリを列挙し、ソフトウェア・インベントリを中央サーバ200にプッシュして、インベントリ内の各プログラム・ファイルと関連付けられた信頼性状態を判定することに言及している。しかしながら、代替の実施形態では、ソフトウェア・プログラム・ファイルの信頼判定が各ホストによってローカルに行なわれてもよく、得られた情報が別の場所(例えば、中央サーバ200)にプッシュされ、かつ/又はローカル非信頼ソフトウェア・インベントリ上にローカルに維持されてもよい。
ソフトウェア・プログラム・ファイルの信頼性状態をローカルに判定することは、ホワイトリスト評価、ブラックリスト評価、状態変更評価、又は任意の他の適切な信頼評価技術によって行なわれてもよい。そのような実施形態では、実行可能ソフトウェアのインベントリは、例えば、McAfee(登録商標)ソフトウェア(例えば、Policy Auditor、Application Control、又はChange Control)によって列挙されてもよい。図6に示されたようなホワイトリスト評価を行なうとき、ホストは、ローカル・ネットワーク上の内部ホワイトリスト及び/又はインターネットなどの別のネットワークを介してアクセス可能な外部ホワイトリストにアクセスしてもよい。図7に示されたように、プログラム・ファイル状態変更評価は、プログラム・ファイルの現在と以前の変化状態を評価することによってローカルに行なわれてもよい。例えば、McAfee(登録商標)Change Controlソフトウェアは、一連の変更レコードがホスト上にローカルに維持されることを可能にし、この変更レコードを評価して、特定のホスト上のプログラム・ファイルのどれかが変化したかどうかを判定することができる。更に、この開示の広い範囲により、例えば、ホワイトリスト評価とソフトウェア・プログラム・ファイルの状態変更評価の両方を実行すること、及び/又はソフトウェア・プログラム・ファイルのブラックリスト評価を実行することを含む多数の他の技術を使用して、ソフトウェア・プログラム・ファイルの信頼性状態を判定することができる。
図5〜図7を参照して示され述べられたバッチ処理実施形態を実現することにより、ソフトウェア・インベントリを所定の時間間隔(例えば、1時間ごと、30分ごとなど)で評価することができ、非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックを阻止する制限規則を作成することができる。したがって、ネットワーク保護装置400の構成は、デフォルトで開いている(即ち、ネットワーク・トラフィックは、規則で禁止されない限り許可される)。しかしながら、このデフォルトで開いた手法は、最近ホストに感染したボットが、まだ信頼できないと定義されておらず、したがって、ボットと関連付けられたネットワーク・トラフィックを阻止する制限規則がまだ作成されていないのでローカル又はリモート・ネットワークへのアクセスによって悪意のあるアクティビティを伝搬又は実行する可能性のある時間ウィンドウを作成することがある。しかしながら、幾つかの企業では、この手法は、所定の時間間隔が重要でないか又は代替の手法が正当で必要な企業活動を妨げることがあるので、望ましい場合がある。
他の企業は、より厳格な管理を好む場合があり、代替実施形態でデフォルトで閉じた手法が実現されてもよい。デフォルトで閉じた手法では、ネットワーク保護装置400は、規則によって特定的に許可されない限り全てのネットワーク・トラフィックを阻止するように構成されることがある。ネットワーク保護装置400によって遮断された全ての電子パケットを評価して、ネットワーク規則要素420が、遮断パケットの伝送を特に許可する規則(例えば、許可されたソース・アドレス及びポート番号を有するパケット、許可された宛先アドレス及びポート番号を有するパケットなど)を含むかどうかを判定してもよい。そのような一実施形態では、新しいプログラム・ファイルが信頼状態を有すると判定されたときに、制限規則ではなく許可規則を作成しネットワーク保護装置400にプッシュしてもよい。
図8に移ると、実時間処理フロー800は、図2の規則作成モジュール250として少なくとも部分的に実施されることがあるネットワーク・レベル保護をするシステムの実時間実施形態のフローを示す。フローはステップ810で始まり、中央サーバ200が、ホスト・イベント情報(例えば、ホスト300上のソフトウェア・プロセス345と関連付けられたネットワーク・アクセス試行と関係する情報)を受け取る。例示的実施形態では、ホスト300上のソフトウェア・プロセス345などのソフトウェア・プロセスが、ネットワーク・アクセスを試みるときに、イベント・フィード330が、ホスト・イベント情報を生成し、その情報を中央サーバ200にプッシュする。ネットワーク・アクセス試行は、2010年7月28日に出願され参照によりあらかじめ本明細書に組み込まれた「System and Method for Local Protection Against Malicious Software」と題する同時係属米国特許出願第12/844,892号における様々な実施形態を参照して説明された技術を含む任意の適切な技術を使用して遮断されてもよい。
ネットワーク・アクセス試行が遮断された後で、例えばホスト300のオペレーティング・システム・カーネル内に提供されたプロセス・トラフィック・マッピング要素に照会して、ソフトウェア・プロセス345と関連付けられたネットワーク・アクセス試行にどのプログラム・ファイル(例えば、実行可能ファイル、ライブラリ・モジュール、オブジェクト・ファイル、他の実行可能モジュール、スクリプト・ファイル、インタープリタ・ファイルなど)が対応するかを判定してもよい。この例では、ネットワーク・アクセス試行は、実行ソフトウェア・プロセス345にマッピングされ、実行ソフトウェア・プロセス345のなかにロードされる実行可能ファイル及び1つ又は複数のライブラリ・モジュールにマッピングされることがある。これにより、中央サーバ200にプッシュされたホスト・イベント情報は、1つ又は複数の識別されたプログラム・ファイルのプログラム・ファイル・パス、関連プログラム・ファイル・ハッシュ、ソース・アドレス及びポート、並びに/又はネットワーク・アクセス試行の宛先アドレス及びポートを含んでもよい。
ステップ810で中央サーバ200がホスト・イベント情報を受け取った後、フローはステップ820に進み、ネットワーク・アクセス試行と関連付けられたプログラム・ファイルの信頼性状態を取得する。プログラム・ファイルの信頼性状態の判定は、様々な技術を使用して行うことができ、この技術は、図9の第1の実施形態(即ち、中央非信頼ソフトウェア・インベントリ232を使用した信頼性状態の判定)と図10の別の実施形態(即ち、中央信頼キャッシュ245を使用した信頼性状態の実時間判定)とで詳細に示され述べられる。
ステップ820でネットワーク・アクセス試行と関連付けられた各プログラム・ファイルの信頼性状態を取得した後で、フローはステップ830に進む。これは、少なくとも部分的に中央サーバ200のプロセス・トラフィック・マッピング・モジュール260として実施されてもよい。ステップ830で、プログラム・ファイルのどれかが非信頼状態を有する場合は、ホスト・イベント情報を使用してプロセス・トラフィック・マッピング・データベース234を設定してもよい。例えば、プログラム・ファイルと関連付けられた詳細なポート及びアドレス情報とプログラム・ファイル・パス情報とが、プロセス・トラフィック・マッピング・データベース234に追加される。次にフローはステップ835に進み、ネットワーク・アクセス試行と関連付けられた全てのプログラム・ファイルが信頼状態を有するかどうかが照会され、信頼状態を有する場合、フローは終了し、プログラム・ファイルと関連付けられたネットワーク・トラフィックのログ記録又は制限規則を作成しない。しかしながら、プログラム・ファイルのうちのどれかが非信頼状態を有する場合、フローはステップ845に進み、ログ記録が有効かどうかを判定する。
ログ記録が有効である場合は、フローはステップ850に進み、ログ記録規則が作成され、ネットワーク規則要素420に記憶するため、ネットワーク保護装置400にプッシュされてもよい。一例では、ホスト・イベント情報からのソース・アドレス及びポート番号並びに宛先アドレス及びポート番号を使用して、特定のネットワーク・イベント・データをログ記録する規則を作成してもよい。この例では、ログ記録規則は、遮断パケットがホスト・イベント情報と一致するソース・アドレス、ソース・ポート、宛先アドレス及び宛先ポートを有するときに、ネットワーク保護装置400によって遮断された電子パケットと関係したネットワーク・トラフィック・イベント・データをイベント・ログ430に記憶することを要求してもよい。幾つかの実施形態では、ログ記録規則を識別する規則IDは、プロセス・トラフィック・マッピング・データベース234に記憶され、ネットワーク・アクセス試行と関連付けられたプログラム・ファイルにマッピングされてもよい。
ステップ850で、ログ記録規則が作成されネットワーク保護装置400にプッシュされた後、又はステップ845でログ記録が有効でない場合、フローはステップ855に進み、取り締まりが有効かどうかが判定される。取り締まりが有効でない場合、フローは終了し、1つ又は複数の非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックの制限規則を作成しない。しかしながら、ステップ855で取り締まりが有効である場合は、ステップ860でポリシー・データベース235が照会されて、プログラム・ファイルの非信頼状態を覆し、プログラム・ファイルと関連付けられたネットワーク・トラフィックを許可する構成ポリシーがあるかどうかが判定されてもよい。そのようなポリシーが見つかった場合、フローは終了し、制限規則を作成しない。しかしながら、ポリシーが、プログラム・ファイルの非信頼状態を覆さない(即ち、ポリシーが、何らかのタイプの制限規則を必要とするか、ポリシーが適用できない)場合、フローはステップ870に進み、ホスト・イベント情報及び/又は任意の適切なポリシーを使用して1つ又は複数のネットワーク制限規則を作成し、ネットワーク保護装置400にプッシュすることができる。一例では、ホスト・イベント情報を使用して、ホスト・イベント情報からのソース・アドレス及びポート並びに宛先アドレス及びポートと一致するソース・アドレス及びポート並びに宛先アドレス及びポートを有するインバウンド、アウトバウンド、及び/又はローカルパケットを阻止する制限規則を作成してもよい。制限規則を作成するポリシーの使用及びネットワーク・レベル固有ポリシーを含むそのようなポリシーの例は、図5のバッチ処理フローに関して本明細書で前に述べた。
制限規則が、ホスト・イベント情報及び/又は任意の適切なポリシーを使用して作成された後で、その制限規則は、ネットワーク保護装置400にプッシュされ、ネットワーク規則要素420に記憶され、次にフローは終了する。この実時間実施形態では、ネットワーク・アクセス試行が遮断された後、実時間処理フロー800が、必要な規則を作成しその規則をネットワーク保護装置400にプッシュための十分な時間を設けるため、ホスト300内に時間遅延が設定されてもよい。別の実施形態では、プロセス・トラフィック・マッピング・データベース234をネットワーク・アクセス試行のマッピング情報で更新し、及び/又は任意の得られたログ記録又は制限規則をネットワーク保護装置400にプッシュしたことを、中央サーバ200がホスト300に肯定応答するまで、ネットワーク・アクセス試行はホスト300上に保持されてもよい。この肯定応答は、例えば、ホスト300上のイベント・フィード330への双方向データ・フローによる信号によって遂行されてもよい。
図9〜図10に移ると、例示的なフローは、ネットワーク・レベル保護をするシステムの実時間処理実施形態におけるプログラム・ファイルの信頼性状態を判定する代替実施形態を示す。図9又は図10の例示的なステップは、少なくとも部分的に中央サーバ200のソフトウェア信頼判定モジュール240として実施されてもよく、図8の実時間処理実施形態のステップ820に対応してもよい。
図9は、中央非信頼ソフトウェア・インベントリ232を利用する信頼判定フロー900を示す。この実施形態では、中央非信頼ソフトウェア・インベントリ232は、例えば、引用により本明細書にあらかじめ組み込まれた同時係属米国特許出願番号12/844,892号の図4〜図6に関して述べたように作成され維持されてもよい。ステップ930で、中央非信頼ソフトウェア・インベントリ232を検索して、ネットワーク・アクセス試行と関連付けられた各プログラム・ファイルを探す。プログラム・ファイルが、中央非信頼ソフトウェア・インベントリ232上で識別された場合は、識別されたプログラム・ファイルの信頼性状態は、非信頼である。しかしながら、プログラム・ファイルが中央非信頼ソフトウェア・インベントリ232上に識別されない場合、プログラム・ファイルの信頼性状態は、信頼である。プログラム・ファイルが評価された後で、プログラム・ファイルの信頼性状態が、図8のステップ820に返され、本明細書で前に述べたようにログ記録と制限規則が作成されてもよい。
図10に移ると、図10は、図8のステップ820に対応し、ネットワーク・レベル保護をするシステムの実時間実施形態において実時間の信頼判定を行なう代替の信頼判定フロー1000を示す。中央非信頼ソフトウェア・インベントリ232は、この実施形態から省略されてもよく、その代わりに、中央信頼キャッシュ245を使用して、信頼性状態判定の際のより迅速な取り出しと全体処理のために、信頼プログラム・ファイルの識別(例えば、チェックサム)を記憶してもよい。
ステップ1010で始まり、ネットワーク・アクセス試行と関連付けられた全てのプログラム・ファイルが、中央信頼キャッシュ245内に見つかったかどうかの照会がされる。プログラム・ファイルが全て中央信頼キャッシュ245内に見つかった場合は、全てのプログラム・ファイルが信頼状態を有する。その結果、フローは終わり、信頼性状態が、図8のステップ820に返される。しかしながら、いずれかのプログラム・ファイルが、中央信頼キャッシュ245内に見つからなかった場合、フローはステップ1020に進み、図1に示されたグローバル・ホワイトリスト165などの1つ又は複数のグローバル又は他の外部ホワイトリスト、及び/又は図1に示された内部ホワイトリスト133などの1つ又は複数の内部ホワイトリストを検索して、中央信頼キャッシュ245内に見つからなかった各プログラム・ファイルを探す。プログラム・ファイルがホワイトリストの少なくとも1つに識別された場合は、識別されたプログラム・ファイルの信頼性状態が、信頼できるとして定義されるが、プログラム・ファイルがホワイトリストのどれにも識別されなかった場合、プログラム・ファイルの信頼性状態は、信頼できないと定義される。ホワイトリストが検索された後で、フローはステップ1030に進み、中央信頼キャッシュ245が、信頼性状態を有する(即ち、ホワイトリストの1つで識別された)プログラム・ファイルのチェックサムで更新される。次に、プログラム・ファイルの信頼性状態を図8のステップ820に返すことができる。
実時間信頼判定フロー1000は、どのホワイトリストにも見つからずその結果として非信頼状態を有するプログラム・ファイルを評価して、非信頼プログラム・ファイルを信頼状態に昇格してもよい既定条件が存在するかどうかを判定する追加のロジックを含んでもよい。そのような既定条件は、図6に関して本明細書で前に示し述べたヒューリスティックな検討事項を含んでもよい。1つ又は複数の既定条件が存在する場合は、プログラム・ファイルが、信頼状態に昇格されてもよい。しかしながら、プログラム・ファイルに適用される既定条件がない場合は、非信頼状態が持続し、プログラム・ファイルは、信頼できないと定義されてもよい。実時間信頼判定フロー1000は、やはり本明細書で前に述べたように、ホワイトリストに加えて、ブラックリストを評価する追加のロジック(図示せず)を含んでもよい。
図11に移ると、図11は、ネットワーク・レベル保護をするシステムのバッチ処理実施形態(図5〜図7)と実時間実施形態(図8〜図10)との両方で使用されることがあるネットワーク保護装置400のネットワーク取り締まりフロー1100を示す。フローは、ステップ1110で始まり、ネットワーク保護装置400のフィルタ/ファイアウォール410が、ホスト300上の実行ソフトウェア・プロセス345などのソフトウェア・プロセスと関連付けられたネットワーク・トラフィックを遮断する。例示的実施形態では、TCP/IPネットワーク・トラフィックは、複数の電子パケットの形であってもよい。次に、フローはステップ1120に進み、ログ記録規則が遮断パケットに適用されるかどうかが照会される。これは、ネットワーク規則要素420を検索することによって判定されてもよい。ログ記録規則が適用される場合は、ステップ1130で、イベント・ログ430は、ネットワーク・トラフィックと関係したイベント・データで更新される。イベント・ログ430が更新された後、又はステップ1120での判定によりログ記録規則が適用されない場合、フローはステップ1140に進んで、ネットワーク制限規則が遮断パケットに適用されるかどうかが照会される。この照会は、ネットワーク規則要素420を検索することによって行われてもよい。遮断パケットのネットワーク制限規則が存在しない場合、フローはステップ1190に進み、パケットは、フィルタ/ファイアウォール410を通ってその宛先アドレスへ行くことを許可される。しかしながら、ネットワーク制限規則が遮断パケットに適用される場合、フローはステップ1180に進む。ステップ1180で、ネットワーク制限規則が、パケットに適用され、それによりパケットが制限される(例えば、パケットが阻止される、パケットが別のサーバに転送される、VLANメンバシップが切り替えられる、など)。
図12は、ネットワーク・アクセス試行をログ記録するフロー1200を示す。これは、ネットワーク・レベル保護をするシステムのバッチ処理実施形態(図5〜図7)及び実時間実施形態(図8〜図10)で実現されてもよい。フローはステップ1210で始まり、ログ・レコードが、ネットワーク保護装置400のイベント・ログ430から取得される。例示的実施形態では、新しいログ・レコード(例えば、最後の所定の日時以降にイベント・ログ430に追加されたログ・レコード、ログ・イベント・データベース231が最後に更新されて以降にイベント・ログ430に追加されたログ・レコード、など)だけが取り出される。あるいは、全てのログ・レコードが取り出され処理されてもよく、全てのログ・レコードが取り出されもよく、フロー1200は、ログ・レコードのどれが新しいかを判定する追加の処理を含んでもよい。
ログ・レコードが、ネットワーク保護装置400から取り出された後で、フローはステップ1220に進み、プロセス・トラフィック・マッピング・データベース234から情報が取り出されてもよい。プロセス・トラフィック・マッピング・データベース234は、プログラム・ファイル・パスやホスト識別など、ログ・レコード内のネットワーク・トラフィック・イベント・データに対応するユーザが理解可能な情報を提供してもよい。例えば、ログ・レコードからの宛先アドレス及びポート並びにソース・アドレス及びポートは、プロセス・トラフィック・マッピング・データベース234内の非信頼プログラム・ファイル・パスにマッピングされてもよい。別の例では、プロセス・トラフィック・マッピング・データベース234あるいは他の別個のデータベース又はレコード内で、非信頼プログラム・ファイル・パスへのマッピングを見つけるためにログ・レコードから規則IDが使用されてもよい。
ユーザが理解可能な情報が、プロセス・トラフィック・マッピング・データベース234から取り出された後で、フローはステップ1230に進み、ログ・イベント・データベース231を、ログ・レコードからのネットワーク・トラフィック・イベント・データ及び任意の対応するプロセス・トラフィック・マッピング情報で更新することができる。ログ・イベント・データベース231に記憶されたネットワーク・トラフィック・イベント・データ及び対応するプロセス・トラフィック・マッピング情報の例には、プログラム・ファイル・パス、ホストの識別、日時スタンプ、ソース・アドレス及びポート番号、宛先アドレス及びポート番号などの遮断パケットと関連付けられたデータが含まれる。
バッチ処理実施形態と実時間実施形態との両方の場合、フロー1200は、任意の所定の時間間隔(例えば、1週間ごと、1日ごと、1時間ごとなど)で動作するように構成されてもよい。フロー1200は、幾つかの実施形態では、管理保護モジュール220の一部として実施されてもよい。あるいは、バッチ処理実施形態では、フロー1200は、図5に示されたフロー500の一部として実現されてもよい。管理保護モジュール220は、例えば、管理コンソール210や他の報告機構を介して、ログ・イベント・データベース231内のデータへのアクセスを提供してもよい。ログ・イベント・データベース231内のデータは、ネットワーク保護装置400によって遮断されかつネットワーク内のホスト上の非信頼プログラム・ファイルと関連付けられたネットワーク・トラフィックに関する情報をユーザに提供することができる。本明細書で前に述べたように、そのようなネットワーク・トラフィックは、取り締まりが有効であり、かつ対応する制限規則が作成されネットワーク保護装置400にプッシュされたかどうかによって阻止され、その他制限されてもよいし、されなくてもよい。したがって、そのようなネットワーク・トラフィックに関係したイベント・データのログ記録、及びそれに続くフロー1200でのそのイベント・データの処理は、ネットワーク・トラフィックが阻止され、その他制限されるか否かに関わらず、行われてもよい。
本明細書で概説された操作を達成するソフトウェアは、様々な場所(例えば、企業IT本部、エンドユーザ・コンピュータ、クラウド内の分散サーバなど)に提供することができる。他の実施形態では、このソフトウェアは、悪意のあるソフトウェアに対するネットワーク・レベル保護をするこのシステムを提供するために、(例えば、別個のネットワーク、装置、サーバなどの個別のエンドユーザ・ライセンスを購入する状況で)ウェブサーバから受け取られ、又はダウンロードされてもよい。1つの例示的実施態様では、このソフトウェアは、セキュリティ攻撃から保護しようとする(又は、データの望ましくないか又は無許可の操作から保護された)1つ又は複数のコンピュータ内に常駐する。
他の例では、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムのソフトウェアは、知的所有権下にある要素(例えば、McAfee(登録商標)Application Controlソフトウェア、McAfee(登録商標)Change Controlソフトウェア、McAfee(登録商標)ePolicy Orchestratorソフトウェア、McAfee(登録商標)Policy Auditorソフトウェア、McAfee(登録商標)Artemis Technologyソフトウェア、McAfee(登録商標)Host Intrusion Preventionソフトウェア、McAfee(登録商標)VirusScanソフトウェアなどによるネットワーク・セキュリティ・ソリューションの一部として)を含むことがあり、これらの識別された要素内(又はその近く)に提供されてもよく、任意の他の装置、サーバ、ネットワーク機器、コンソール、ファイアウォール、スイッチ、ルータ、情報技術(IT)装置、分散サーバなどの中に提供されてもよく、相補的ソリューション(例えば、ファイアウォールと関連)として提供されてもよく、ネットワーク内のどこかに提供されてもよい。
図1に示したような例示的なローカル・ネットワーク110では、ホスト120、中央サーバ130、ネットワーク保護装置140及びセカンダリ・サーバ180は、悪意のあるソフトウェアからコンピュータ・ネットワークを保護することを容易にするコンピュータである。本明細書で使用されるとき、用語「コンピュータ」及び「計算装置」は、パーソナルコンピュータ、ネットワーク機器、ルータ、スイッチ、ゲートウェイ、プロセッサ、サーバ、ロードバランサ、ファイアウォール、又はネットワーク環境で電子情報に影響を及ぼすか又は処理するように動作可能な他の適切な装置、構成要素、要素又は物体を包含することを意図する。更に、このコンピュータ又は計算装置は、その動作を容易にする任意の適切なハードウェア、ソフトウェア、構成要素、モジュール、インタフェース、又は物体を含んでもよい。これは、データの有効な保護及び通信を可能にする適切なアルゴリズム及び通信プロトコルを含んでもよい。
特定の例示的な実施態様では、本明細書で概説した悪意のあるソフトウェアに対するネットワーク・レベル保護に関係するアクティビティは、ソフトウェアで実現されてもよい。これは、中央サーバ130(例えば、中央保護構成要素135)、ホスト120(例えば、ローカル保護構成要素124)、ネットワーク保護装置(例えば、ネットワーク・レベル取り締まり構成要素145)、及び/又はセカンダリ・サーバ180内に提供されたソフトウェアを含んでもよい。これらの構成要素、要素及び/又はモジュールは、互いに協力して、本明細書で述べたように、ボットネットなどの悪意のあるソフトウェアに対するネットワーク・レベル保護を提供するアクティビティを実行することができる。他の実施形態では、これらの特徴は、これらの要素の外部に提供されもよく、これらの意図された機能を達成する他の装置に含まれてもよく、任意の適切な方法で統合されてもよい。例えば、保護アクティビティは、更にホスト120内に局在化されるか中央サーバ130内に更に集中されてもよく、図示されたプロセッサの幾つかは、除去され、その他特定のシステム構成に適応するよう統合されてもよい。一般的な意味において、図1に示された機構は、その説明がより論理的であってもよいが、物理的アーキテクチャは、これらの構成要素、要素及びモジュールの様々な順列/組み合わせ/混合物を含んでもよい。
これらの要素(ホスト120、中央サーバ130、ネットワーク保護装置140、及び/又はセカンダリ・サーバ180)は全て、本明細書で概説されたような信頼判定、ログ記録、取り締まり、遮断を含む保護アクティビティを達成するために、連係し、管理し、その他協力することができるソフトウェア(又は、レシプロケーティング・ソフトウェア)を含む。更に、これらの要素の1つ又は全ては、その動作を容易にする任意の適切なアルゴリズム、ハードウェア、ソフトウェア、構成要素、モジュール、インタフェース、又はオブジェクトを含んでもよい。ソフトウェアを含む実施態様において、そのような構成は、1つ又は複数の有形媒体内に符号化されたロジック(例えば、特定用途向け集積回路(ASIC)内に提供された埋込みロジック、デジタル・シグナル・プロセッサ(DSP)命令、プロセッサや他の類似の装置によって実行されるソフトウェア(オブジェクト・コード及びソースコードを含む可能性がある)など)を含んでもよく、有形媒体は持続的媒体を含む。これらの例の幾つかでは、1つ又は複数のメモリ要素(図1、図2、図3及び図4を含む様々な図に示されたような)は、本明細書に記載された操作に使用されるデータを記憶することができる。これは、本明細書に記載されたアクティビティを行うために実行されるソフトウェア、ロジック、コード又はプロセッサ命令を記憶することができるメモリ要素を含む。プロセッサは、本明細書に詳述された操作を達成するためにデータと関連付けられた任意のタイプの命令を実行することができる。一例では、プロセッサ(図2、図3及び図4に示されたような)は、要素又は物品(例えば、データ)をある状態又は物から別の状態又は物に変換することがある。別の例では、本明細書で概説されたアクティビティは、固定ロジック又はプログラマブル・ロジック(例えば、プロセッサによって実行されるソフトウェア/コンピュータ命令)で実現されてもよく、本明細書に識別された要素は、デジタル・ロジック、ソフトウェア、コード、電子命令、又はこれらの任意の適切な組み合わせを含む何らかのタイプのプログラマブル・プロセッサ、プログラマブル・デジタル・ロジック(例えば、フィールド・プログラマブル・ゲートアレイ(FPGA)、消去可能なプログラマブル読み取り専用メモリ(EPROM)、電気的に消去可能なプログラマブル読み取り専用メモリ(EEPROM))、又はASICで実現されてもよい。
これらの要素(例えば、コンピュータ、サーバ、ネットワーク保護装置、ファイアウォール、分散サーバなど)はどれも、本明細書に概説されたような保護アクティビティの達成に使用される情報を記憶するためのメモリ要素を含むことができる。これらの装置は、更に、情報を、必要に応じかつ特定の要求に基づいて、任意の適切なメモリ要素(例えば、ランダムアクセスメモリ(RAM)、ROM、EPROM、EEPROM、ASICなど)、ソフトウェア、ハードウェア、あるいは他の適切な構成要素、装置、要素又はオブジェクト内に維持してもよい。本明細書で述べたメモリ項目(例えば、ログ・イベント・データベース、中央非信頼ソフトウェア・インベントリ、ローカル非信頼ソフトウェア・インベントリ、内部ホワイトリスト、ポリシー・データベース、プロセス・トラフィック・マッピング・データベース、中央信頼キャッシュ、ネットワーク規則要素、イベント・ログなど)はいずれも、幅広い用語「メモリ要素」に包含されるように解釈されるべきである。同様に、本明細書に述べた潜在的な処理要素、モジュール及び機械はいずれも、幅広い用語「プロセッサ」に包含されるように解釈されるべきである。また、コンピュータ、ホスト、ネットワーク保護装置、サーバ、分散サーバなどはそれぞれ、ネットワーク環境でデータ又は情報を受信し、送信し、かつ/又はその他通信するのに適切なインタフェースを含んでもよい。
本明細書に提供された例では、2つ、3つ、4つ、又はこれより多くのネットワーク構成要素に関する相互作用が記述されていることに注意されたい。しかしながら、これは、明瞭さと単なる例のために行われた。悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムは、任意の適切な方法で統合できることを理解されたい。類似の設計選択に沿って、図の示されたコンピュータ、モジュール、構成要素及び要素はいずれも、様々な可能な構成で組み合わされてもよく、これらは全て、本明細書の広い範囲内にあることは明らかである。特定の事例では、限られた数の構成要素又はネットワーク要素だけを参照して所定の組のフローの機能の1つ又は複数について記述する方が容易なことがある。したがって、図1(及びその教示)のシステムが、容易に拡張可能であることを理解されたい。システムは、多数の構成要素、並びにより複雑又は高度な機構及び構成に適応することができる。したがって、提供された例は、範囲を制限せず、また様々な他のアーキテクチャに潜在的に適用されるようなネットワーク・レベル保護をするシステムの幅広い教示を妨げるべきではない。
また、以上の図に関連して述べた操作が、悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステムによって又はそのシステム内で実行される可能性のあるシナリオの一部だけを示すことに注意することが重要である。これらの操作の幾つかは、必要に応じて削除又は除去されてもよく、あるいはこれらの操作は、述べた概念の範囲を逸脱せずに大幅に修正又は変更されてもよい。更に、これらの操作のタイミングは、この開示に教示された結果を達成するように大幅に変更されてもよい。例えば、ホワイトリストを検索することによる信頼判定は、外部又はグローバル・ホワイトリストを検索する前に内部ホワイトリストを検索することによって行なわれてもよい。以上の動作フローは、例示と検討のために提示された。システムは、述べた概念の教示から逸脱することなく任意の適切な機構、時系列、構成及びタイミングが提供されるという点で、実質的な柔軟性を提供する。
100 ネットワーク環境
110 ローカルネットワーク
120 ホスト
122 実行可能ソフトウェア
124 ローカル保護構成要素
130 中央サーバ
131 ログ・イベント・データベース
132 中央非信頼ソフトウェア・インベントリ
133 内部ホワイトリスト
134 プロセス・トラフィック・マッピング・データベース
135 ネットワーク・レベル保護構成要素
140 ネットワーク保護装置
145 ネットワーク・レベル強制構成要素
150 インターネット
160 グローバルサーバ
165 グローバル・ホワイトリスト
170 指令制御サーバ
175 ボットネット・オペレータ
180 セカンダリ・サーバ

Claims (33)

  1. 保護構成要素が、第1の計算装置上のネットワーク・アクセス試行と関係した情報であって、前記ネットワーク・アクセス試行と関連付けられたソフトウェア・プログラム・ファイルを識別する前記情報を受信し
    前記保護構成要素が、前記ソフトウェア・プログラム・ファイルの信頼性状態に基づいて、前記ソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックが許可されるべきか否かを判定
    前記保護構成要素が、前記ネットワーク・トラフィックが許可されるべきでないと判定した場合に、前記ネットワーク・トラフィックに適用されるべき規則を作成する、方法。
  2. 前記保護構成要素が作成する前記規則は、前記ネットワーク・トラフィックを阻止するための制限規則を含む、
    請求項1記載の方法。
  3. 前記保護構成要素が作成する前記規則は、前記ネットワーク・トラフィックと関係したイベント・データをログ記録するためのログ記録規則含む、
    請求項1又は2記載の方法。
  4. 前記保護構成要素が、ネットワーク保護装置が前記ネットワーク・トラフィックに前記ログ記録規則を適用することによってログ記録た前記イベント・データを受信し
    前記保護構成要素が、前記イベント・データから選択したデータを使用してプロセス・トラフィック・マッピング・データベースを検索し、前記ネットワーク・トラフィックと関連付けられた前記ソフトウェア・プログラム・ファイルを探
    前記保護構成要素が、ログ・イベント・メモリ要素を更新して、前記ソフトウェア・プログラム・ファイルを識別するエントリを含むようにす
    請求項記載の方法。
  5. 前記第1の計算装置が、前記第1の計算装置上でプロセスを実行することにより開始された前記ネットワーク・アクセス試行を前記第1の計算装置上で遮断して保持し、
    前記第1の計算装置が、前記第1の計算装置のプロセス・トラフィック・マッピング要素に基づいて、前記プロセスに関連付けられたソフトウェア・プログラム・ファイルを判定し、
    前記保護構成要素が受信する前記情報は、前記第1の計算装置が判定したソフトウェア・プログラム・ファイルを識別する情報である、
    請求項1乃至4いずれか記載の方法。
  6. 前記保護構成要素が受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、実行可能ファイルであり、
    前記プロセス・トラフィック・マッピング要素は、前記第1の計算装置前記実行可能ファイルを実行することにより開始されたロセスに、前記実行可能ファイルを関連付け
    請求項5記載の方法。
  7. 前記保護構成要素が受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、イブラリ・モジュールであり、
    前記プロセス・トラフィック・マッピング要素は、前記ロセスのなかにロードされたライブラリ・モジュールを、前記プロセスに関連付け
    請求項5又は6記載の方法。
  8. 前記保護構成要素は、作成した前記規則をネットワーク保護装置にプッシュし、
    前記第1の計算装置は、前記規則が前記ネットワーク保護装置にプッシュされたのち、保持していた前記ネットワーク・アクセス試行を解放し、
    前記ネットワーク保護装置は、前記プロセスに関連付けられたットワーク・トラフィックを遮断し、プッシュされた前記規則を、遮断した前記ネットワーク・トラフィックに適用する、
    請求項5乃至7いずれか記載の方法。
  9. 前記保護構成要素は、前記プロセスに関連付けられたソフトウェア・プログラム・ファイルの少なくとも1つが、信頼できないという信頼性状態である場合に、前記プロセスに関連付けられたネットワーク・トラフィックが許可されるべきでないと判定する、
    請求項5乃至8いずれか記載の方法。
  10. 前記保護構成要素は、前記第1の計算装置から離れて存在し、前記ソフトウェア・プログラム・ファイルを識別する前記情報を含むイベント情報を、前記第1の計算装置から受信する、
    請求項1乃至9いずれか記載の方法。
  11. 前記保護構成要素は、信頼できるソフトウェア・プログラム・ファイルを識別するためのホワイトリストを検索し、前記ホワイトリストによって前記ソフトウェア・プログラム・ファイルが識別されない場合に、前記ソフトウェア・プログラム・ファイルが信頼できないという信頼性状態であると判定する
    請求項1乃至10いずれか記載の方法。
  12. 形媒体内に符号化されたコンピュータプログラムであって、実行するためのコードを含み、ロセッサによって実行されたとき、
    前記ロセッサが、第1の計算装置上のネットワーク・アクセス試行と関係した情報であって、前記ネットワーク・アクセス試行と関連付けられたソフトウェア・プログラム・ファイルを識別する前記情報を受信し、
    前記ロセッサが、前記ソフトウェア・プログラム・ファイルの信頼性状態に基づいて、前記ソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックが許可されるべきか否かを判定し、
    前記ロセッサが、前記ネットワーク・トラフィックが許可されるべきでないと判定した場合に、前記ネットワーク・トラフィックに適用されるべき規則を作成する、コンピュータプログラム。
  13. 前記ロセッサが作成する前記規則は、前記ネットワーク・トラフィックを阻止するための制限規則を含む、
    請求項12記載のコンピュータプログラム。
  14. 前記ロセッサが作成する前記規則は、前記ネットワーク・トラフィックと関係したイベント・データをログ記録するためのログ記録規則を含む、
    請求項12又は13記載のコンピュータプログラム。
  15. 前記ロセッサが、ネットワーク保護装置が前記ネットワーク・トラフィックに前記ログ記録規則を適用することによってログ記録した前記イベント・データを受信し、
    前記ロセッサが、前記イベント・データから選択したデータを使用してプロセス・トラフィック・マッピング・データベースを検索し、前記ネットワーク・トラフィックと関連付けられた前記ソフトウェア・プログラム・ファイルを探し、
    前記ロセッサが、ログ・イベント・メモリ要素を更新して、前記ソフトウェア・プログラム・ファイルを識別するエントリを含むようにする、
    請求項14記載のコンピュータプログラム。
  16. 前記ネットワーク・アクセス試行は、前記第1の計算装置がプロセスを実行することにより開始されたものであって、前記第1の計算装置によって前記第1の計算装置上で遮断されて保持され、
    前記ロセッサが受信する前記情報は、前記プロセスに関連付けられると前記第1の計算装置のプロセス・トラフィック・マッピング要素に基づいて判定されたソフトウェア・プログラム・ファイルを識別する情報である、
    請求項12乃至15いずれか記載のコンピュータプログラム。
  17. 前記ロセッサが受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、前記第1の計算装置が実行することにより前記プロセスが開始された実行可能ファイルである、
    請求項16記載のコンピュータプログラム。
  18. 前記ロセッサが受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、前記プロセスのなかにロードされたライブラリ・モジュールである、
    請求項16又は17記載のコンピュータプログラム。
  19. 前記ロセッサは、作成した前記規則をネットワーク保護装置にプッシュし、
    前記第1の計算装置に保持されていた前記ネットワーク・アクセス試行は、前記規則が前記ネットワーク保護装置にプッシュされたのちに解放され、
    前記ネットワーク保護装置にプッシュされた規則は、前記プロセスに関連付けられたネットワーク・トラフィックであって、前記ネットワーク保護装置が遮断した前記ネットワーク・トラフィックに適用される、
    請求項16乃至18いずれか記載のコンピュータプログラム。
  20. 前記ロセッサは、前記プロセスに関連付けられたソフトウェア・プログラム・ファイルの少なくとも1つが、信頼できないという信頼性状態である場合に、前記プロセスに関連付けられたネットワーク・トラフィックが許可されるべきでないと判定する、
    請求項16乃至19いずれか記載のコンピュータプログラム。
  21. 前記ロセッサは、前記第1の計算装置から離れて存在し、前記ソフトウェア・プログラム・ファイルを識別する前記情報を含むイベント情報を、前記第1の計算装置から受信する、
    請求項12乃至20いずれか記載のコンピュータプログラム。
  22. 前記ロセッサは、信頼できるソフトウェア・プログラム・ファイルを識別するためのホワイトリストを検索し、前記ホワイトリストによって前記ソフトウェア・プログラム・ファイルが識別されない場合に、前記ソフトウェア・プログラム・ファイルが信頼できないという信頼性状態であると判定する、請求項12乃至21いずれか記載のコンピュータプログラム。
  23. 保護モジュールと、
    前記保護モジュールと関連付けられた命令を実行するように動作可能なロセッサとを含む装置であって、前記ロセッサは、
    第1の計算装置上のネットワーク・アクセス試行と関係した情報であって、前記ネットワーク・アクセス試行と関連付けられたソフトウェア・プログラム・ファイルを識別する前記情報を受信し、
    前記ソフトウェア・プログラム・ファイルの信頼性状態に基づいて、前記ソフトウェア・プログラム・ファイルと関連付けられたネットワーク・トラフィックが許可されるべきか否かを判定し、
    前記ネットワーク・トラフィックが許可されるべきでないと判定した場合に、前記ネットワーク・トラフィックに適用されるべき規則を作成する、装置。
  24. 前記ロセッサが作成する前記規則は、前記ネットワーク・トラフィックを阻止するための制限規則を含む、
    請求項23記載の装置。
  25. 前記ロセッサが作成する前記規則は、前記ネットワーク・トラフィックと関係したイベント・データをログ記録するためのログ記録規則を含む、
    請求項23又は24記載の装置。
  26. 前記ロセッサは、ネットワーク保護装置が前記ネットワーク・トラフィックに前記ログ記録規則を適用することによってログ記録した前記イベント・データを受信し、
    前記ロセッサは、前記イベント・データから選択したデータを使用してプロセス・トラフィック・マッピング・データベースを検索し、前記ネットワーク・トラフィックと関連付けられた前記ソフトウェア・プログラム・ファイルを探し、
    前記ロセッサが、ログ・イベント・メモリ要素を更新して、前記ソフトウェア・プログラム・ファイルを識別するエントリを含むようにする、
    請求項25記載の装置。
  27. 前記ネットワーク・アクセス試行は、前記第1の計算装置がプロセスを実行することにより開始されたものであって、前記第1の計算装置によって前記第1の計算装置上で遮断されて保持され、
    前記ロセッサが受信する前記情報は、前記プロセスに関連付けられると前記第1の計算装置のプロセス・トラフィック・マッピング要素に基づいて判定されたソフトウェア・プログラム・ファイルを識別する情報である、
    請求項23乃至26いずれか記載の装置。
  28. 前記ロセッサが受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、前記第1の計算装置が実行することにより前記プロセスが開始された実行可能ファイルである、
    請求項27記載の装置。
  29. 前記ロセッサが受信する前記情報によって識別されるソフトウェア・プログラム・ファイルの少なくとも1つは、前記プロセスのなかにロードされたライブラリ・モジュールである、
    請求項27又は28記載の装置。
  30. 前記ロセッサは、作成した前記規則をネットワーク保護装置にプッシュし、
    前記第1の計算装置に保持されていた前記ネットワーク・アクセス試行は、前記規則が前記ネットワーク保護装置にプッシュされたのちに解放され、
    前記ネットワーク保護装置にプッシュされた規則は、前記プロセスに関連付けられたネットワーク・トラフィックであって、前記ネットワーク保護装置が遮断した前記ネットワーク・トラフィックに適用される、
    請求項27乃至29いずれか記載の装置。
  31. 前記ロセッサは、前記プロセスに関連付けられたソフトウェア・プログラム・ファイルの少なくとも1つが、信頼できないという信頼性状態である場合に、前記プロセスに関連付けられたネットワーク・トラフィックが許可されるべきでないと判定する、
    請求項27乃至30いずれか記載の装置。
  32. 前記ロセッサは、前記第1の計算装置から離れて存在し、前記ソフトウェア・プログラム・ファイルを識別する前記情報を含むイベント情報を、前記第1の計算装置から受信する、
    請求項23乃至31いずれか記載の装置。
  33. 前記ロセッサは、信頼できるソフトウェア・プログラム・ファイルを識別するためのホワイトリストを検索し前記ホワイトリストによって前記ソフトウェア・プログラム・ファイルが識別されない場合に、前記ソフトウェア・プログラム・ファイルが信頼できないという信頼性状態であると判定する、
    請求項23乃至32いずれか記載の装置。
JP2013521770A 2010-07-28 2011-02-15 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法 Active JP5774103B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US12/844,964 US8938800B2 (en) 2010-07-28 2010-07-28 System and method for network level protection against malicious software
US12/844,964 2010-07-28
PCT/US2011/024869 WO2012015489A1 (en) 2010-07-28 2011-02-15 System and method for network level protection against malicious software

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2015133517A Division JP6080910B2 (ja) 2010-07-28 2015-07-02 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法

Publications (2)

Publication Number Publication Date
JP2013539573A JP2013539573A (ja) 2013-10-24
JP5774103B2 true JP5774103B2 (ja) 2015-09-02

Family

ID=44168104

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2013521770A Active JP5774103B2 (ja) 2010-07-28 2011-02-15 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
JP2015133517A Active JP6080910B2 (ja) 2010-07-28 2015-07-02 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法

Family Applications After (1)

Application Number Title Priority Date Filing Date
JP2015133517A Active JP6080910B2 (ja) 2010-07-28 2015-07-02 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法

Country Status (6)

Country Link
US (2) US8938800B2 (ja)
EP (1) EP2599276B1 (ja)
JP (2) JP5774103B2 (ja)
CN (1) CN103283202B (ja)
AU (1) AU2011283164B2 (ja)
WO (1) WO2012015489A1 (ja)

Families Citing this family (168)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7139565B2 (en) 2002-01-08 2006-11-21 Seven Networks, Inc. Connection architecture for a mobile network
US8468126B2 (en) * 2005-08-01 2013-06-18 Seven Networks, Inc. Publishing data in an information community
US7917468B2 (en) 2005-08-01 2011-03-29 Seven Networks, Inc. Linking of personal information management data
US7853563B2 (en) 2005-08-01 2010-12-14 Seven Networks, Inc. Universal data aggregation
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
US7698744B2 (en) 2004-12-03 2010-04-13 Whitecell Software Inc. Secure system for allowing the execution of authorized computer program code
US7752633B1 (en) 2005-03-14 2010-07-06 Seven Networks, Inc. Cross-platform event engine
US8438633B1 (en) 2005-04-21 2013-05-07 Seven Networks, Inc. Flexible real-time inbox access
WO2006136660A1 (en) 2005-06-21 2006-12-28 Seven Networks International Oy Maintaining an ip connection in a mobile network
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US8381297B2 (en) 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
US20080276302A1 (en) 2005-12-13 2008-11-06 Yoggie Security Systems Ltd. System and Method for Providing Data and Device Security Between External and Host Devices
US8869270B2 (en) 2008-03-26 2014-10-21 Cupp Computing As System and method for implementing content and network security inside a chip
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
US7769395B2 (en) * 2006-06-20 2010-08-03 Seven Networks, Inc. Location-based operations and messaging
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US8555404B1 (en) 2006-05-18 2013-10-08 Mcafee, Inc. Connectivity-based authorization
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US8365272B2 (en) 2007-05-30 2013-01-29 Yoggie Security Systems Ltd. System and method for providing network and computer firewall protection with dynamic address isolation to a device
US8805425B2 (en) 2007-06-01 2014-08-12 Seven Networks, Inc. Integrated messaging
US8693494B2 (en) 2007-06-01 2014-04-08 Seven Networks, Inc. Polling
US8364181B2 (en) 2007-12-10 2013-01-29 Seven Networks, Inc. Electronic-mail filtering for mobile devices
US9002828B2 (en) 2007-12-13 2015-04-07 Seven Networks, Inc. Predictive content delivery
US8862657B2 (en) 2008-01-25 2014-10-14 Seven Networks, Inc. Policy based content service
US20090193338A1 (en) 2008-01-28 2009-07-30 Trevor Fiatal Reducing network and battery consumption during content delivery and playback
US8515075B1 (en) 2008-01-31 2013-08-20 Mcafee, Inc. Method of and system for malicious software detection using critical address space protection
US8615502B2 (en) 2008-04-18 2013-12-24 Mcafee, Inc. Method of and system for reverse mapping vnode pointers
US8787947B2 (en) 2008-06-18 2014-07-22 Seven Networks, Inc. Application discovery on mobile devices
US8078158B2 (en) 2008-06-26 2011-12-13 Seven Networks, Inc. Provisioning applications for a mobile device
US8631488B2 (en) 2008-08-04 2014-01-14 Cupp Computing As Systems and methods for providing security services during power management mode
US8909759B2 (en) 2008-10-10 2014-12-09 Seven Networks, Inc. Bandwidth measurement
WO2010059864A1 (en) 2008-11-19 2010-05-27 Yoggie Security Systems Ltd. Systems and methods for providing real time access monitoring of a removable media device
US8544003B1 (en) 2008-12-11 2013-09-24 Mcafee, Inc. System and method for managing virtual machine configurations
US8341627B2 (en) * 2009-08-21 2012-12-25 Mcafee, Inc. Method and system for providing user space address protection from writable memory area in a virtual environment
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US9552497B2 (en) * 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US10095530B1 (en) * 2010-05-28 2018-10-09 Bromium, Inc. Transferring control of potentially malicious bit sets to secure micro-virtual machine
EP3407673B1 (en) 2010-07-26 2019-11-20 Seven Networks, LLC Mobile network traffic coordination across multiple applications
WO2012018477A2 (en) 2010-07-26 2012-02-09 Seven Networks, Inc. Distributed implementation of dynamic wireless traffic policy
US8838783B2 (en) 2010-07-26 2014-09-16 Seven Networks, Inc. Distributed caching for resource and mobile network traffic management
CA2806557C (en) 2010-07-26 2014-10-07 Michael Luna Mobile application traffic optimization
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8549003B1 (en) 2010-09-12 2013-10-01 Mcafee, Inc. System and method for clustering host inventories
US8903954B2 (en) 2010-11-22 2014-12-02 Seven Networks, Inc. Optimization of resource polling intervals to satisfy mobile device requests
US8166164B1 (en) 2010-11-01 2012-04-24 Seven Networks, Inc. Application and network-based long poll request detection and cacheability assessment therefor
US8843153B2 (en) 2010-11-01 2014-09-23 Seven Networks, Inc. Mobile traffic categorization and policy for network use optimization while preserving user experience
WO2012060995A2 (en) 2010-11-01 2012-05-10 Michael Luna Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
US8484314B2 (en) 2010-11-01 2013-07-09 Seven Networks, Inc. Distributed caching in a wireless network of content delivered for a mobile application over a long-held request
WO2012060996A2 (en) 2010-11-01 2012-05-10 Michael Luna Caching adapted for mobile application behavior and network conditions
WO2012071283A1 (en) 2010-11-22 2012-05-31 Michael Luna Aligning data transfer to optimize connections established for transmission over a wireless network
KR101206095B1 (ko) * 2010-11-30 2012-11-28 엘에스산전 주식회사 보호계전기, 상기 보호계전기를 구비하는 네트워크 시스템 및 네트워크 보안방법
WO2012094675A2 (en) 2011-01-07 2012-07-12 Seven Networks, Inc. System and method for reduction of mobile network traffic used for domain name system (dns) queries
US9075993B2 (en) 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
EP2700021A4 (en) 2011-04-19 2016-07-20 Seven Networks Llc MANAGEMENT OF COMMON RESOURCES AND VIRTUAL RESOURCES IN A NETWORKED ENVIRONMENT
GB2493473B (en) 2011-04-27 2013-06-19 Seven Networks Inc System and method for making requests on behalf of a mobile device based on atomic processes for mobile network traffic relief
US8621075B2 (en) 2011-04-27 2013-12-31 Seven Metworks, Inc. Detecting and preserving state for satisfying application requests in a distributed proxy and cache system
WO2013015994A1 (en) * 2011-07-27 2013-01-31 Seven Networks, Inc. Monitoring mobile application activities for malicious traffic on a mobile device
AU2012294372B2 (en) * 2011-08-08 2016-03-03 Bloomberg Finance Lp System and method for electronic distribution of software and data
KR101326896B1 (ko) * 2011-08-24 2013-11-11 주식회사 팬택 단말기 및 이를 이용하는 어플리케이션의 위험도 제공 방법
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US9407663B1 (en) * 2011-09-28 2016-08-02 Emc Corporation Method and apparatus for man-in-the-middle agent-assisted client filtering
US8694738B2 (en) 2011-10-11 2014-04-08 Mcafee, Inc. System and method for critical address space protection in a hypervisor environment
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US9503460B2 (en) * 2011-10-13 2016-11-22 Cisco Technology, Inc. System and method for managing access for trusted and untrusted applications
US8973144B2 (en) 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8934414B2 (en) 2011-12-06 2015-01-13 Seven Networks, Inc. Cellular or WiFi mobile traffic optimization based on public or private network destination
EP2789138B1 (en) 2011-12-06 2016-09-14 Seven Networks, LLC A mobile device and method to utilize the failover mechanisms for fault tolerance provided for mobile traffic management and network/device resource conservation
GB2498064A (en) 2011-12-07 2013-07-03 Seven Networks Inc Distributed content caching mechanism using a network operator proxy
US9277443B2 (en) 2011-12-07 2016-03-01 Seven Networks, Llc Radio-awareness of mobile device for sending server-side control signals using a wireless network optimized transport protocol
US9832095B2 (en) 2011-12-14 2017-11-28 Seven Networks, Llc Operation modes for mobile traffic optimization and concurrent management of optimized and non-optimized traffic
EP2792188B1 (en) 2011-12-14 2019-03-20 Seven Networks, LLC Mobile network reporting and usage analytics system and method using aggregation of data in a distributed traffic optimization system
US8861354B2 (en) 2011-12-14 2014-10-14 Seven Networks, Inc. Hierarchies and categories for management and deployment of policies for distributed wireless traffic optimization
US8909202B2 (en) 2012-01-05 2014-12-09 Seven Networks, Inc. Detection and management of user interactions with foreground applications on a mobile device in distributed caching
WO2013116856A1 (en) 2012-02-02 2013-08-08 Seven Networks, Inc. Dynamic categorization of applications for network access in a mobile network
US9326189B2 (en) 2012-02-03 2016-04-26 Seven Networks, Llc User as an end point for profiling and optimizing the delivery of content and data in a wireless network
US8291500B1 (en) 2012-03-29 2012-10-16 Cyber Engineering Services, Inc. Systems and methods for automated malware artifact retrieval and analysis
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US8812695B2 (en) 2012-04-09 2014-08-19 Seven Networks, Inc. Method and system for management of a virtual network connection without heartbeat messages
WO2013155208A1 (en) 2012-04-10 2013-10-17 Seven Networks, Inc. Intelligent customer service/call center services enhanced using real-time and historical mobile application and traffic-related statistics collected by a distributed caching system in a mobile network
US9152784B2 (en) 2012-04-18 2015-10-06 Mcafee, Inc. Detection and prevention of installation of malicious mobile applications
US9276819B2 (en) * 2012-05-29 2016-03-01 Hewlett Packard Enterprise Development Lp Network traffic monitoring
WO2014011216A1 (en) 2012-07-13 2014-01-16 Seven Networks, Inc. Dynamic bandwidth adjustment for browsing or streaming activity in a wireless network based on prediction of user behavior when interacting with mobile applications
US9160749B2 (en) * 2012-09-07 2015-10-13 Oracle International Corporation System and method for providing whitelist functionality for use with a cloud computing environment
WO2014059037A2 (en) 2012-10-09 2014-04-17 Cupp Computing As Transaction security systems and methods
US9161258B2 (en) 2012-10-24 2015-10-13 Seven Networks, Llc Optimized and selective management of policy deployment to mobile clients in a congested network to prevent further aggravation of network congestion
US9171151B2 (en) * 2012-11-16 2015-10-27 Microsoft Technology Licensing, Llc Reputation-based in-network filtering of client event information
US9307493B2 (en) 2012-12-20 2016-04-05 Seven Networks, Llc Systems and methods for application management of mobile device radio state promotion and demotion
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
US9241314B2 (en) 2013-01-23 2016-01-19 Seven Networks, Llc Mobile device with application or context aware fast dormancy
US8874761B2 (en) 2013-01-25 2014-10-28 Seven Networks, Inc. Signaling optimization in a wireless network for traffic utilizing proprietary and non-proprietary protocols
US8966637B2 (en) 2013-02-08 2015-02-24 PhishMe, Inc. Performance benchmarking for simulated phishing attacks
US9356948B2 (en) 2013-02-08 2016-05-31 PhishMe, Inc. Collaborative phishing attack detection
US8750123B1 (en) 2013-03-11 2014-06-10 Seven Networks, Inc. Mobile device equipped with mobile network congestion recognition to make intelligent decisions regarding connecting to an operator network
US9130826B2 (en) * 2013-03-15 2015-09-08 Enterasys Networks, Inc. System and related method for network monitoring and control based on applications
US9172627B2 (en) 2013-03-15 2015-10-27 Extreme Networks, Inc. Device and related method for dynamic traffic mirroring
US9323936B2 (en) * 2013-03-15 2016-04-26 Google Inc. Using a file whitelist
US9225736B1 (en) * 2013-06-27 2015-12-29 Symantec Corporation Techniques for detecting anomalous network traffic
US11157976B2 (en) 2013-07-08 2021-10-26 Cupp Computing As Systems and methods for providing digital content marketplace security
CN103414758B (zh) * 2013-07-19 2017-04-05 北京奇虎科技有限公司 日志处理方法及装置
US9065765B2 (en) 2013-07-22 2015-06-23 Seven Networks, Inc. Proxy server associated with a mobile carrier for enhancing mobile traffic management in a mobile network
CN105580023B (zh) 2013-10-24 2019-08-16 迈克菲股份有限公司 网络环境中的代理辅助的恶意应用阻止
US9407602B2 (en) * 2013-11-07 2016-08-02 Attivo Networks, Inc. Methods and apparatus for redirecting attacks on a network
EP3069494B1 (en) * 2013-11-11 2020-08-05 Microsoft Technology Licensing, LLC Cloud service security broker and proxy
US9363282B1 (en) * 2014-01-28 2016-06-07 Infoblox Inc. Platforms for implementing an analytics framework for DNS security
US9871800B2 (en) 2014-01-31 2018-01-16 Oracle International Corporation System and method for providing application security in a cloud computing environment
US10430614B2 (en) * 2014-01-31 2019-10-01 Bromium, Inc. Automatic initiation of execution analysis
US9762614B2 (en) * 2014-02-13 2017-09-12 Cupp Computing As Systems and methods for providing network security using a secure digital device
US10122753B2 (en) 2014-04-28 2018-11-06 Sophos Limited Using reputation to avoid false malware detections
US9917851B2 (en) 2014-04-28 2018-03-13 Sophos Limited Intrusion detection using a heartbeat
WO2015195093A1 (en) 2014-06-17 2015-12-23 Hewlett-Packard Development Company, L. P. Dns based infection scores
EP3178200A4 (en) * 2014-08-07 2018-04-11 Intel IP Corporation Control of traffic from applications when third party servers encounter problems
US11507663B2 (en) 2014-08-11 2022-11-22 Sentinel Labs Israel Ltd. Method of remediating operations performed by a program and system thereof
US9710648B2 (en) 2014-08-11 2017-07-18 Sentinel Labs Israel Ltd. Method of malware detection and system thereof
US10324702B2 (en) 2014-09-12 2019-06-18 Microsoft Israel Research And Development (2002) Ltd. Cloud suffix proxy and a method thereof
EP3210364B8 (en) 2014-10-21 2021-03-10 Proofpoint, Inc. Systems and methods for application security analysis
US9838391B2 (en) 2014-10-31 2017-12-05 Proofpoint, Inc. Systems and methods for privately performing application security analysis
GB201915196D0 (en) 2014-12-18 2019-12-04 Sophos Ltd A method and system for network access control based on traffic monitoring and vulnerability detection using process related information
WO2016113911A1 (ja) 2015-01-16 2016-07-21 三菱電機株式会社 データ判定装置、データ判定方法及びプログラム
US10007515B2 (en) 2015-01-30 2018-06-26 Oracle International Corporation System and method for automatic porting of software applications into a cloud computing environment
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US10298602B2 (en) 2015-04-10 2019-05-21 Cofense Inc. Suspicious message processing and incident response
US9906539B2 (en) 2015-04-10 2018-02-27 PhishMe, Inc. Suspicious message processing and incident response
WO2016164844A1 (en) * 2015-04-10 2016-10-13 PhishMe, Inc. Message report processing and threat prioritization
JP6524789B2 (ja) * 2015-05-13 2019-06-05 富士通株式会社 ネットワーク監視方法、ネットワーク監視プログラム及びネットワーク監視装置
US10127211B2 (en) * 2015-05-20 2018-11-13 International Business Machines Corporation Overlay of input control to identify and restrain draft content from streaming
CN104955123B (zh) * 2015-05-25 2018-09-14 广东欧珀移动通信有限公司 一种移动终端应用的联网限制方法及装置
US9967176B2 (en) * 2015-06-17 2018-05-08 International Business Machines Corporation Determining shortcut rules for bypassing waypoint network device(s)
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
CN105262722B (zh) * 2015-09-07 2018-09-21 深信服网络科技(深圳)有限公司 终端恶意流量规则更新方法、云端服务器和安全网关
US10020941B2 (en) * 2015-09-30 2018-07-10 Imperva, Inc. Virtual encryption patching using multiple transport layer security implementations
US10972490B2 (en) * 2015-10-06 2021-04-06 Nippon Telegraph And Telephone Corporation Specifying system, specifying device, and specifying method
US9800606B1 (en) * 2015-11-25 2017-10-24 Symantec Corporation Systems and methods for evaluating network security
CN105550580B (zh) * 2015-12-09 2019-04-26 珠海豹趣科技有限公司 一种窗口搜索方法和装置
CN106921608B (zh) * 2015-12-24 2019-11-22 华为技术有限公司 一种检测终端安全状况方法、装置及系统
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US10826933B1 (en) * 2016-03-31 2020-11-03 Fireeye, Inc. Technique for verifying exploit/malware at malware detection appliance through correlation with endpoints
US10893059B1 (en) 2016-03-31 2021-01-12 Fireeye, Inc. Verification and enhancement using detection systems located at the network periphery and endpoint devices
US9825982B1 (en) * 2016-04-29 2017-11-21 Ciena Corporation System and method for monitoring network vulnerabilities
US10523635B2 (en) * 2016-06-17 2019-12-31 Assured Information Security, Inc. Filtering outbound network traffic
US10356113B2 (en) * 2016-07-11 2019-07-16 Korea Electric Power Corporation Apparatus and method for detecting abnormal behavior
US11146578B2 (en) 2016-12-16 2021-10-12 Patternex, Inc. Method and system for employing graph analysis for detecting malicious activity in time evolving networks
US11695800B2 (en) 2016-12-19 2023-07-04 SentinelOne, Inc. Deceiving attackers accessing network data
US11616812B2 (en) 2016-12-19 2023-03-28 Attivo Networks Inc. Deceiving attackers accessing active directory data
US10778645B2 (en) 2017-06-27 2020-09-15 Microsoft Technology Licensing, Llc Firewall configuration manager
JP2020530922A (ja) 2017-08-08 2020-10-29 センチネル ラボ, インコーポレイテッドSentinel Labs, Inc. エッジネットワーキングのエンドポイントを動的にモデリングおよびグループ化する方法、システム、およびデバイス
CN109845227B (zh) * 2017-08-24 2020-05-08 思想系统公司 用于网络安全的方法和系统
US10855705B2 (en) * 2017-09-29 2020-12-01 Cisco Technology, Inc. Enhanced flow-based computer network threat detection
US10567156B2 (en) 2017-11-30 2020-02-18 Bank Of America Corporation Blockchain-based unexpected data detection
US11470115B2 (en) 2018-02-09 2022-10-11 Attivo Networks, Inc. Implementing decoys in a network environment
US11151273B2 (en) 2018-10-08 2021-10-19 Microsoft Technology Licensing, Llc Controlling installation of unauthorized drivers on a computer system
US11080416B2 (en) 2018-10-08 2021-08-03 Microsoft Technology Licensing, Llc Protecting selected disks on a computer system
JP2020088716A (ja) * 2018-11-29 2020-06-04 株式会社デンソー 中継装置
CN109309690B (zh) * 2018-12-28 2019-04-02 中国人民解放军国防科技大学 一种基于报文认证码的软件白名单控制方法
EP3973427A4 (en) 2019-05-20 2023-06-21 Sentinel Labs Israel Ltd. SYSTEMS AND METHODS FOR EXECUTABLE CODE DETECTION, AUTOMATIC FEATURE EXTRACTION, AND POSITION-INDEPENDENT CODE DETECTION
US11165804B2 (en) * 2019-05-30 2021-11-02 Microsoft Technology Licensing, Llc Distinguishing bot traffic from human traffic
US11184384B2 (en) * 2019-06-13 2021-11-23 Bank Of America Corporation Information technology security assessment model for process flows and associated automated remediation
CN110620773B (zh) * 2019-09-20 2023-02-10 深圳市信锐网科技术有限公司 一种tcp流量隔离方法、装置及相关组件
US12058026B2 (en) * 2020-09-11 2024-08-06 Ciena Corporation Segment routing traffic engineering (SR-TE) with awareness of local protection
US11579857B2 (en) 2020-12-16 2023-02-14 Sentinel Labs Israel Ltd. Systems, methods and devices for device fingerprinting and automatic deployment of software in a computing network using a peer-to-peer approach
US20220210127A1 (en) * 2020-12-29 2022-06-30 Vmware, Inc. Attribute-based firewall rule enforcement
US11899782B1 (en) 2021-07-13 2024-02-13 SentinelOne, Inc. Preserving DLL hooks
CN114039787B (zh) * 2021-11-15 2023-12-22 厦门服云信息科技有限公司 一种linux系统中反弹shell检测方法、终端设备及存储介质
WO2024174182A1 (zh) * 2023-02-23 2024-08-29 西门子股份公司 一种提高网络安全的方法、电子设备和可读介质

Family Cites Families (368)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4982430A (en) 1985-04-24 1991-01-01 General Instrument Corporation Bootstrap channel security arrangement for communication network
US4688169A (en) 1985-05-30 1987-08-18 Joshi Bhagirath S Computer software security system
US5155847A (en) 1988-08-03 1992-10-13 Minicom Data Corporation Method and apparatus for updating software at remote locations
US5560008A (en) 1989-05-15 1996-09-24 International Business Machines Corporation Remote authentication and authorization in a distributed data processing system
CA2010591C (en) 1989-10-20 1999-01-26 Phillip M. Adams Kernels, description tables and device drivers
US5222134A (en) 1990-11-07 1993-06-22 Tau Systems Corporation Secure system for activating personal computer software at remote locations
US5390314A (en) 1992-10-09 1995-02-14 American Airlines, Inc. Method and apparatus for developing scripts that access mainframe resources that can be executed on various computer systems having different interface languages without modification
US5339261A (en) 1992-10-22 1994-08-16 Base 10 Systems, Inc. System for operating application software in a safety critical environment
US5584009A (en) 1993-10-18 1996-12-10 Cyrix Corporation System and method of retiring store data from a write buffer
JP3777196B2 (ja) 1994-05-10 2006-05-24 富士通株式会社 クライアント/サーバシステム用の通信制御装置
JP3042341B2 (ja) 1994-11-30 2000-05-15 日本電気株式会社 クラスタ結合型マルチプロセッサシステムにおけるローカル入出力制御方法
US6282712B1 (en) 1995-03-10 2001-08-28 Microsoft Corporation Automatic software installation on heterogeneous networked computer systems
US5699513A (en) 1995-03-31 1997-12-16 Motorola, Inc. Method for secure network access via message intercept
US5787427A (en) 1996-01-03 1998-07-28 International Business Machines Corporation Information handling system, method, and article of manufacture for efficient object security processing by grouping objects sharing common control access policies
US5842017A (en) 1996-01-29 1998-11-24 Digital Equipment Corporation Method and apparatus for forming a translation unit
US5907709A (en) 1996-02-08 1999-05-25 Inprise Corporation Development system with methods for detecting invalid use and management of resources and memory at runtime
US5884298A (en) 1996-03-29 1999-03-16 Cygnet Storage Solutions, Inc. Method for accessing and updating a library of optical discs
US5907708A (en) 1996-06-03 1999-05-25 Sun Microsystems, Inc. System and method for facilitating avoidance of an exception of a predetermined type in a digital computer system by providing fix-up code for an instruction in response to detection of an exception condition resulting from execution thereof
US5787177A (en) 1996-08-01 1998-07-28 Harris Corporation Integrated network security access control system
US5926832A (en) 1996-09-26 1999-07-20 Transmeta Corporation Method and apparatus for aliasing memory data in an advanced microprocessor
US5991881A (en) 1996-11-08 1999-11-23 Harris Corporation Network surveillance system
US5987611A (en) 1996-12-31 1999-11-16 Zone Labs, Inc. System and methodology for managing internet access on a per application basis for client computers connected to the internet
US6141698A (en) 1997-01-29 2000-10-31 Network Commerce Inc. Method and system for injecting new code into existing application code
US7821926B2 (en) 1997-03-10 2010-10-26 Sonicwall, Inc. Generalized policy server
US5944839A (en) 1997-03-19 1999-08-31 Symantec Corporation System and method for automatically maintaining a computer system
US6587877B1 (en) 1997-03-25 2003-07-01 Lucent Technologies Inc. Management of time and expense when communicating between a host and a communication network
US6192475B1 (en) 1997-03-31 2001-02-20 David R. Wallace System and method for cloaking software
US6167522A (en) 1997-04-01 2000-12-26 Sun Microsystems, Inc. Method and apparatus for providing security for servers executing application programs received via a network
US6356957B2 (en) 1997-04-03 2002-03-12 Hewlett-Packard Company Method for emulating native object oriented foundation classes on a target object oriented programming system using a template library
US5987557A (en) 1997-06-19 1999-11-16 Sun Microsystems, Inc. Method and apparatus for implementing hardware protection domains in a system with no memory management unit (MMU)
US6073142A (en) 1997-06-23 2000-06-06 Park City Group Automated post office based rule analysis of e-mail messages and other data objects for controlled distribution in network environments
US6275938B1 (en) 1997-08-28 2001-08-14 Microsoft Corporation Security enhancement for untrusted executable code
US6192401B1 (en) 1997-10-21 2001-02-20 Sun Microsystems, Inc. System and method for determining cluster membership in a heterogeneous distributed system
US6393465B2 (en) 1997-11-25 2002-05-21 Nixmail Corporation Junk electronic mail detector and eliminator
US5987610A (en) 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems
KR100621677B1 (ko) 1998-05-06 2006-09-07 마츠시타 덴끼 산교 가부시키가이샤 디지탈데이터 송수신 시스템 및 그 방법
US6795966B1 (en) 1998-05-15 2004-09-21 Vmware, Inc. Mechanism for restoring, porting, replicating and checkpointing computer systems using state extraction
US6442686B1 (en) 1998-07-02 2002-08-27 Networks Associates Technology, Inc. System and methodology for messaging server-based management and enforcement of crypto policies
US6182142B1 (en) 1998-07-10 2001-01-30 Encommerce, Inc. Distributed access management of information resources
US6338149B1 (en) 1998-07-31 2002-01-08 Westinghouse Electric Company Llc Change monitoring system for a computer system
US6546425B1 (en) 1998-10-09 2003-04-08 Netmotion Wireless, Inc. Method and apparatus for providing mobile and other intermittent connectivity in a computing environment
JP3753873B2 (ja) 1998-11-11 2006-03-08 株式会社島津製作所 分光光度計
JP3522141B2 (ja) 1999-01-28 2004-04-26 富士通株式会社 修正プログラムを継承したプログラムの自動生成方法、プログラム自動生成装置及び修正プログラムを継承したプログラムを自動生成するプログラムを記録した記録媒体
US6969352B2 (en) 1999-06-22 2005-11-29 Teratech Corporation Ultrasound probe with integrated electronics
US6453468B1 (en) 1999-06-30 2002-09-17 B-Hub, Inc. Methods for improving reliability while upgrading software programs in a clustered computer system
US6496477B1 (en) 1999-07-09 2002-12-17 Texas Instruments Incorporated Processes, articles, and packets for network path diversity in media over packet applications
US6567857B1 (en) 1999-07-29 2003-05-20 Sun Microsystems, Inc. Method and apparatus for dynamic proxy insertion in network traffic flow
US7340684B2 (en) 1999-08-19 2008-03-04 National Instruments Corporation System and method for programmatically generating a second graphical program based on a first graphical program
US6256773B1 (en) 1999-08-31 2001-07-03 Accenture Llp System, method and article of manufacture for configuration management in a development architecture framework
US6990591B1 (en) 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6321267B1 (en) 1999-11-23 2001-11-20 Escom Corporation Method and apparatus for filtering junk email
US6662219B1 (en) 1999-12-15 2003-12-09 Microsoft Corporation System for determining at subgroup of nodes relative weight to represent cluster by obtaining exclusive possession of quorum resource
US6460050B1 (en) 1999-12-22 2002-10-01 Mark Raymond Pace Distributed content identification system
US7836494B2 (en) 1999-12-29 2010-11-16 Intel Corporation System and method for regulating the flow of information to or from an application
US6769008B1 (en) 2000-01-10 2004-07-27 Sun Microsystems, Inc. Method and apparatus for dynamically altering configurations of clustered computer systems
WO2001069439A1 (en) 2000-03-17 2001-09-20 Filesx Ltd. Accelerating responses to requests made by users to an internet
US6748534B1 (en) 2000-03-31 2004-06-08 Networks Associates, Inc. System and method for partitioned distributed scanning of a large dataset for viruses and other malware
US6941470B1 (en) 2000-04-07 2005-09-06 Everdream Corporation Protected execution environments within a computer system
CA2305078A1 (en) 2000-04-12 2001-10-12 Cloakware Corporation Tamper resistant software - mass data encoding
US7325127B2 (en) 2000-04-25 2008-01-29 Secure Data In Motion, Inc. Security server system
US6377808B1 (en) * 2000-04-27 2002-04-23 Motorola, Inc. Method and apparatus for routing data in a communication system
AU2001262958A1 (en) 2000-04-28 2001-11-12 Internet Security Systems, Inc. Method and system for managing computer security information
US6769115B1 (en) 2000-05-01 2004-07-27 Emc Corporation Adaptive interface for a software development environment
US6847993B1 (en) 2000-05-31 2005-01-25 International Business Machines Corporation Method, system and program products for managing cluster configurations
US6934755B1 (en) 2000-06-02 2005-08-23 Sun Microsystems, Inc. System and method for migrating processes on a network
US6611925B1 (en) 2000-06-13 2003-08-26 Networks Associates Technology, Inc. Single point of entry/origination item scanning within an enterprise or workgroup
US20030061506A1 (en) 2001-04-05 2003-03-27 Geoffrey Cooper System and method for security policy
US6901519B1 (en) 2000-06-22 2005-05-31 Infobahn, Inc. E-mail virus protection system and method
US8204999B2 (en) 2000-07-10 2012-06-19 Oracle International Corporation Query string processing
US7093239B1 (en) 2000-07-14 2006-08-15 Internet Security Systems, Inc. Computer immune system and method for detecting unwanted code in a computer system
US7350204B2 (en) 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
EP1307988B1 (en) 2000-08-04 2004-04-21 Xtradyne Technologies Aktiengesellschaft Method and system for session based authorization and access control for networked application objects
AUPQ968100A0 (en) 2000-08-25 2000-09-21 Telstra Corporation Limited A management system
EP1407576A4 (en) 2000-09-01 2005-07-27 Tut Systems Inc METHOD AND SYSTEM FOR MANAGING NETWORK TRAFFIC BASED ON DIRECTIVES
US20020165947A1 (en) 2000-09-25 2002-11-07 Crossbeam Systems, Inc. Network application apparatus
US7707305B2 (en) 2000-10-17 2010-04-27 Cisco Technology, Inc. Methods and apparatus for protecting against overload conditions on nodes of a distributed network
US7606898B1 (en) 2000-10-24 2009-10-20 Microsoft Corporation System and method for distributed management of shared computers
US7146305B2 (en) 2000-10-24 2006-12-05 Vcis, Inc. Analytical virtual machine
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US6930985B1 (en) 2000-10-26 2005-08-16 Extreme Networks, Inc. Method and apparatus for management of configuration in a network
US6834301B1 (en) 2000-11-08 2004-12-21 Networks Associates Technology, Inc. System and method for configuration, management, and monitoring of a computer network using inheritance
US6766334B1 (en) 2000-11-21 2004-07-20 Microsoft Corporation Project-based configuration management method and apparatus
US20020069367A1 (en) 2000-12-06 2002-06-06 Glen Tindal Network operating system data directory
US6907600B2 (en) 2000-12-27 2005-06-14 Intel Corporation Virtual translation lookaside buffer
JP2002244898A (ja) 2001-02-19 2002-08-30 Hitachi Ltd データベース管理プログラム及びデータベースシステム
US6993012B2 (en) 2001-02-20 2006-01-31 Innomedia Pte, Ltd Method for communicating audio data in a packet switched network
US7739497B1 (en) 2001-03-21 2010-06-15 Verizon Corporate Services Group Inc. Method and apparatus for anonymous IP datagram exchange using dynamic network address translation
WO2002093334A2 (en) 2001-04-06 2002-11-21 Symantec Corporation Temporal access control for computer virus outbreaks
US6918110B2 (en) 2001-04-11 2005-07-12 Hewlett-Packard Development Company, L.P. Dynamic instrumentation of an executable program by means of causing a breakpoint at the entry point of a function and providing instrumentation code
CN1141821C (zh) 2001-04-25 2004-03-10 数位联合电信股份有限公司 可重定向的连接上网系统
US6988101B2 (en) 2001-05-31 2006-01-17 International Business Machines Corporation Method, system, and computer program product for providing an extensible file system for accessing a foreign file system from a local data processing system
US6715050B2 (en) 2001-05-31 2004-03-30 Oracle International Corporation Storage access keys
US6988124B2 (en) 2001-06-06 2006-01-17 Microsoft Corporation Locating potentially identical objects across multiple computers based on stochastic partitioning of workload
US7290266B2 (en) 2001-06-14 2007-10-30 Cisco Technology, Inc. Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy
US7065767B2 (en) 2001-06-29 2006-06-20 Intel Corporation Managed hosting server auditing and change tracking
US7069330B1 (en) * 2001-07-05 2006-06-27 Mcafee, Inc. Control of interaction between client computer applications and network resources
US20030023736A1 (en) 2001-07-12 2003-01-30 Kurt Abkemeier Method and system for filtering messages
US20030014667A1 (en) 2001-07-16 2003-01-16 Andrei Kolichtchak Buffer overflow attack detection and suppression
US6877088B2 (en) 2001-08-08 2005-04-05 Sun Microsystems, Inc. Methods and apparatus for controlling speculative execution of instructions based on a multiaccess memory condition
US7007302B1 (en) 2001-08-31 2006-02-28 Mcafee, Inc. Efficient management and blocking of malicious code and hacking attempts in a network environment
US7010796B1 (en) 2001-09-28 2006-03-07 Emc Corporation Methods and apparatus providing remote operation of an application programming interface
US7278161B2 (en) 2001-10-01 2007-10-02 International Business Machines Corporation Protecting a data processing system from attack by a vandal who uses a vulnerability scanner
US7177267B2 (en) 2001-11-09 2007-02-13 Adc Dsl Systems, Inc. Hardware monitoring and configuration management
EP1315066A1 (en) 2001-11-21 2003-05-28 BRITISH TELECOMMUNICATIONS public limited company Computer security system
US7853643B1 (en) 2001-11-21 2010-12-14 Blue Titan Software, Inc. Web services-based computing resource lifecycle management
US7346781B2 (en) 2001-12-06 2008-03-18 Mcafee, Inc. Initiating execution of a computer program from an encrypted version of a computer program
US7159036B2 (en) 2001-12-10 2007-01-02 Mcafee, Inc. Updating data from a source computer to groups of destination computers
US7039949B2 (en) 2001-12-10 2006-05-02 Brian Ross Cartmell Method and system for blocking unwanted communications
US10033700B2 (en) 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
JP4522705B2 (ja) 2001-12-13 2010-08-11 独立行政法人科学技術振興機構 ソフトウェア安全実行システム
US7398389B2 (en) 2001-12-20 2008-07-08 Coretrace Corporation Kernel-based network security infrastructure
US7096500B2 (en) 2001-12-21 2006-08-22 Mcafee, Inc. Predictive malware scanning of internet data
JP3906356B2 (ja) 2001-12-27 2007-04-18 独立行政法人情報通信研究機構 構文解析方法及び装置
US7743415B2 (en) 2002-01-31 2010-06-22 Riverbed Technology, Inc. Denial of service attacks characterization
US20030167399A1 (en) 2002-03-01 2003-09-04 Yves Audebert Method and system for performing post issuance configuration and data changes to a personal security device using a communications pipe
US6941449B2 (en) 2002-03-04 2005-09-06 Hewlett-Packard Development Company, L.P. Method and apparatus for performing critical tasks using speculative operations
US7600021B2 (en) 2002-04-03 2009-10-06 Microsoft Corporation Delta replication of source files and packages across networked resources
US20070253430A1 (en) 2002-04-23 2007-11-01 Minami John S Gigabit Ethernet Adapter
US7370360B2 (en) 2002-05-13 2008-05-06 International Business Machines Corporation Computer immune system and method for detecting unwanted code in a P-code or partially compiled native-code program executing within a virtual machine
US7823148B2 (en) 2002-05-22 2010-10-26 Oracle America, Inc. System and method for performing patch installation via a graphical user interface
US20030221190A1 (en) 2002-05-22 2003-11-27 Sun Microsystems, Inc. System and method for performing patch installation on multiple devices
US7024404B1 (en) 2002-05-28 2006-04-04 The State University Rutgers Retrieval and display of data objects using a cross-group ranking metric
US8843903B1 (en) 2003-06-11 2014-09-23 Symantec Corporation Process tracking application layered system
US7512977B2 (en) 2003-06-11 2009-03-31 Symantec Corporation Intrustion protection system utilizing layers
US7823203B2 (en) 2002-06-17 2010-10-26 At&T Intellectual Property Ii, L.P. Method and device for detecting computer network intrusions
US7139916B2 (en) 2002-06-28 2006-11-21 Ebay, Inc. Method and system for monitoring user interaction with a computer
US8924484B2 (en) 2002-07-16 2014-12-30 Sonicwall, Inc. Active e-mail filter with challenge-response
US7522906B2 (en) 2002-08-09 2009-04-21 Wavelink Corporation Mobile unit configuration management for WLANs
JP2004078507A (ja) 2002-08-16 2004-03-11 Sony Corp アクセス制御装置及びアクセス制御方法、並びにコンピュータ・プログラム
US20040111461A1 (en) 2002-08-28 2004-06-10 Claudatos Christopher H. Managing and controlling user applications with network switches
US7624347B2 (en) 2002-09-17 2009-11-24 At&T Intellectual Property I, L.P. System and method for forwarding full header information in email messages
US7546333B2 (en) 2002-10-23 2009-06-09 Netapp, Inc. Methods and systems for predictive change management for access paths in networks
US20040088398A1 (en) 2002-11-06 2004-05-06 Barlow Douglas B. Systems and methods for providing autoconfiguration and management of nodes
US7353501B2 (en) 2002-11-18 2008-04-01 Microsoft Corporation Generic wrapper scheme
US7865931B1 (en) 2002-11-25 2011-01-04 Accenture Global Services Limited Universal authorization and access control security measure for applications
US7346927B2 (en) 2002-12-12 2008-03-18 Access Business Group International Llc System and method for storing and accessing secure data
US20040143749A1 (en) 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
US7793346B1 (en) * 2003-01-17 2010-09-07 Mcafee, Inc. System, method, and computer program product for preventing trojan communication
US20040167906A1 (en) 2003-02-25 2004-08-26 Smith Randolph C. System consolidation tool and method for patching multiple servers
US7024548B1 (en) 2003-03-10 2006-04-04 Cisco Technology, Inc. Methods and apparatus for auditing and tracking changes to an existing configuration of a computerized device
US7529754B2 (en) 2003-03-14 2009-05-05 Websense, Inc. System and method of monitoring and controlling application files
WO2004095285A1 (ja) 2003-03-28 2004-11-04 Matsushita Electric Industrial Co.,Ltd. 記録媒体およびこれを用いる記録装置並びに再生装置
US8209680B1 (en) 2003-04-11 2012-06-26 Vmware, Inc. System and method for disk imaging on diverse computers
US7607010B2 (en) 2003-04-12 2009-10-20 Deep Nines, Inc. System and method for network edge data protection
US20050108516A1 (en) 2003-04-17 2005-05-19 Robert Balzer By-pass and tampering protection for application wrappers
US20040230963A1 (en) 2003-05-12 2004-11-18 Rothman Michael A. Method for updating firmware in an operating system agnostic manner
DE10324189A1 (de) 2003-05-28 2004-12-16 Robert Bosch Gmbh Verfahren zur Steuerung des Zugriffs auf eine Ressource einer Applikation in einer Datenverarbeitungseinrichtung
US7657599B2 (en) 2003-05-29 2010-02-02 Mindshare Design, Inc. Systems and methods for automatically updating electronic mail access lists
US20050108562A1 (en) 2003-06-18 2005-05-19 Khazan Roger I. Technique for detecting executable malicious code using a combination of static and dynamic analyses
US7827602B2 (en) 2003-06-30 2010-11-02 At&T Intellectual Property I, L.P. Network firewall host application identification and authentication
US7454489B2 (en) 2003-07-01 2008-11-18 International Business Machines Corporation System and method for accessing clusters of servers from the internet network
US7283517B2 (en) 2003-07-22 2007-10-16 Innomedia Pte Stand alone multi-media terminal adapter with network address translation and port partitioning
US7463590B2 (en) 2003-07-25 2008-12-09 Reflex Security, Inc. System and method for threat detection and response
US7526541B2 (en) 2003-07-29 2009-04-28 Enterasys Networks, Inc. System and method for dynamic network policy management
US7886093B1 (en) 2003-07-31 2011-02-08 Hewlett-Packard Development Company, L.P. Electronic device network supporting compression and decompression in electronic devices
US7925722B1 (en) 2003-08-01 2011-04-12 Avocent Corporation Method and apparatus for discovery and installation of network devices through a network
US7401104B2 (en) 2003-08-21 2008-07-15 Microsoft Corporation Systems and methods for synchronizing computer systems through an intermediary file system share or device
US7464408B1 (en) 2003-08-29 2008-12-09 Solidcore Systems, Inc. Damage containment by translation
US8539063B1 (en) 2003-08-29 2013-09-17 Mcafee, Inc. Method and system for containment of networked application client software by explicit human input
US7386888B2 (en) 2003-08-29 2008-06-10 Trend Micro, Inc. Network isolation techniques suitable for virus protection
US20050065935A1 (en) 2003-09-16 2005-03-24 Chebolu Anil Kumar Client comparison of network content with server-based categorization
US7360097B2 (en) * 2003-09-30 2008-04-15 Check Point Software Technologies, Inc. System providing methodology for securing interfaces of executable files
US20050081053A1 (en) 2003-10-10 2005-04-14 International Business Machines Corlporation Systems and methods for efficient computer virus detection
US7930351B2 (en) 2003-10-14 2011-04-19 At&T Intellectual Property I, L.P. Identifying undesired email messages having attachments
US7280956B2 (en) 2003-10-24 2007-10-09 Microsoft Corporation System, method, and computer program product for file encryption, decryption and transfer
US7814554B1 (en) 2003-11-06 2010-10-12 Gary Dean Ragner Dynamic associative storage security for long-term memory storage devices
US20050114672A1 (en) 2003-11-20 2005-05-26 Encryptx Corporation Data rights management of digital information in a portable software permission wrapper
US20040172551A1 (en) 2003-12-09 2004-09-02 Michael Connor First response computer virus blocking.
US7600219B2 (en) 2003-12-10 2009-10-06 Sap Ag Method and system to monitor software interface updates and assess backward compatibility
US7546594B2 (en) 2003-12-15 2009-06-09 Microsoft Corporation System and method for updating installation components using an installation component delta patch in a networked environment
US7840968B1 (en) 2003-12-17 2010-11-23 Mcafee, Inc. Method and system for containment of usage of language interfaces
JP2005202523A (ja) 2004-01-13 2005-07-28 Sony Corp コンピュータ装置及びプロセス制御方法
US7272654B1 (en) 2004-03-04 2007-09-18 Sandbox Networks, Inc. Virtualizing network-attached-storage (NAS) with a compact table that stores lossy hashes of file names and parent handles rather than full names
JP4480422B2 (ja) 2004-03-05 2010-06-16 富士通株式会社 不正アクセス阻止方法、装置及びシステム並びにプログラム
US7783735B1 (en) 2004-03-22 2010-08-24 Mcafee, Inc. Containment of network communication
JP2005275839A (ja) 2004-03-25 2005-10-06 Nec Corp ソフトウェア利用許可方法及びシステム
US7966658B2 (en) 2004-04-08 2011-06-21 The Regents Of The University Of California Detecting public network attacks using signatures and fast content analysis
EP1745342A2 (en) 2004-04-19 2007-01-24 Securewave S.A. On-line centralized and local authorization of executable files
US20060004875A1 (en) 2004-05-11 2006-01-05 Microsoft Corporation CMDB schema
US7890946B2 (en) 2004-05-11 2011-02-15 Microsoft Corporation Efficient patching
EP1767031B1 (en) 2004-05-24 2009-12-09 Computer Associates Think, Inc. System and method for automatically configuring a mobile device
US7818377B2 (en) 2004-05-24 2010-10-19 Microsoft Corporation Extended message rule architecture
US7506170B2 (en) 2004-05-28 2009-03-17 Microsoft Corporation Method for secure access to multiple secure networks
US20050273858A1 (en) 2004-06-07 2005-12-08 Erez Zadok Stackable file systems and methods thereof
US7624445B2 (en) 2004-06-15 2009-11-24 International Business Machines Corporation System for dynamic network reconfiguration and quarantine in response to threat conditions
JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US7694150B1 (en) 2004-06-22 2010-04-06 Cisco Technology, Inc System and methods for integration of behavioral and signature based security
US20050289538A1 (en) 2004-06-23 2005-12-29 International Business Machines Corporation Deploying an application software on a virtual deployment target
US7203864B2 (en) 2004-06-25 2007-04-10 Hewlett-Packard Development Company, L.P. Method and system for clustering computers into peer groups and comparing individual computers to their peers
US7908653B2 (en) 2004-06-29 2011-03-15 Intel Corporation Method of improving computer security through sandboxing
KR101214326B1 (ko) 2004-07-09 2012-12-21 텔레폰악티에볼라겟엘엠에릭슨(펍) 멀티미디어 통신 시스템에서 여러 서비스를 제공하는 방법및 장치
US20060015501A1 (en) 2004-07-19 2006-01-19 International Business Machines Corporation System, method and program product to determine a time interval at which to check conditions to permit access to a file
US7937455B2 (en) 2004-07-28 2011-05-03 Oracle International Corporation Methods and systems for modifying nodes in a cluster environment
JP2006059217A (ja) 2004-08-23 2006-03-02 Mitsubishi Electric Corp ソフトウェアメモリイメージ生成装置及び組み込み機器ソフトウェア更新システム及びプログラム
US7703090B2 (en) 2004-08-31 2010-04-20 Microsoft Corporation Patch un-installation
US7873955B1 (en) 2004-09-07 2011-01-18 Mcafee, Inc. Solidifying the executable software set of a computer
US7392374B2 (en) 2004-09-21 2008-06-24 Hewlett-Packard Development Company, L.P. Moving kernel configurations
US7561515B2 (en) 2004-09-27 2009-07-14 Intel Corporation Role-based network traffic-flow rate control
US8146145B2 (en) 2004-09-30 2012-03-27 Rockstar Bidco Lp Method and apparatus for enabling enhanced control of traffic propagation through a network firewall
US7685632B2 (en) 2004-10-01 2010-03-23 Microsoft Corporation Access authorization having a centralized policy
US7506364B2 (en) 2004-10-01 2009-03-17 Microsoft Corporation Integrated access authorization
US20060080656A1 (en) 2004-10-12 2006-04-13 Microsoft Corporation Methods and instructions for patch management
US9329905B2 (en) 2004-10-15 2016-05-03 Emc Corporation Method and apparatus for configuring, monitoring and/or managing resource groups including a virtual machine
US7765538B2 (en) 2004-10-29 2010-07-27 Hewlett-Packard Development Company, L.P. Method and apparatus for determining which program patches to recommend for installation
US8099060B2 (en) 2004-10-29 2012-01-17 Research In Motion Limited Wireless/wired mobile communication device with option to automatically block wireless communication when connected for wired communication
US20090328185A1 (en) 2004-11-04 2009-12-31 Eric Van Den Berg Detecting exploit code in network flows
US20060101277A1 (en) 2004-11-10 2006-05-11 Meenan Patrick A Detecting and remedying unauthorized computer programs
US7698744B2 (en) 2004-12-03 2010-04-13 Whitecell Software Inc. Secure system for allowing the execution of authorized computer program code
US8479193B2 (en) 2004-12-17 2013-07-02 Intel Corporation Method, apparatus and system for enhancing the usability of virtual machines
US7765544B2 (en) 2004-12-17 2010-07-27 Intel Corporation Method, apparatus and system for improving security in a virtual machine host
US7607170B2 (en) 2004-12-22 2009-10-20 Radware Ltd. Stateful attack protection
US7752667B2 (en) 2004-12-28 2010-07-06 Lenovo (Singapore) Pte Ltd. Rapid virus scan using file signature created during file write
EP1842354B1 (en) 2005-01-24 2014-11-05 Citrix Systems, Inc. Systems and methods for performing caching of dynamically generated objects in a network
US7302558B2 (en) 2005-01-25 2007-11-27 Goldman Sachs & Co. Systems and methods to facilitate the creation and configuration management of computing systems
US7385938B1 (en) 2005-02-02 2008-06-10 At&T Corp. Method and apparatus for adjusting a network device configuration change distribution schedule
US20130247027A1 (en) 2005-02-16 2013-09-19 Solidcore Systems, Inc. Distribution and installation of solidified software on a computer
US8056138B2 (en) 2005-02-26 2011-11-08 International Business Machines Corporation System, method, and service for detecting improper manipulation of an application
US7836504B2 (en) 2005-03-01 2010-11-16 Microsoft Corporation On-access scan of memory for malware
US7685635B2 (en) 2005-03-11 2010-03-23 Microsoft Corporation Systems and methods for multi-level intercept processing in a virtual machine environment
TW200707417A (en) 2005-03-18 2007-02-16 Sony Corp Reproducing apparatus, reproducing method, program, program storage medium, data delivery system, data structure, and manufacturing method of recording medium
US7552479B1 (en) 2005-03-22 2009-06-23 Symantec Corporation Detecting shellcode that modifies IAT entries
JP2006270894A (ja) 2005-03-25 2006-10-05 Fuji Xerox Co Ltd ゲートウェイ装置、端末装置、通信システムおよびプログラム
US7770151B2 (en) 2005-04-07 2010-08-03 International Business Machines Corporation Automatic generation of solution deployment descriptors
US8590044B2 (en) 2005-04-14 2013-11-19 International Business Machines Corporation Selective virus scanning system and method
US7349931B2 (en) 2005-04-14 2008-03-25 Webroot Software, Inc. System and method for scanning obfuscated files for pestware
US7562385B2 (en) 2005-04-20 2009-07-14 Fuji Xerox Co., Ltd. Systems and methods for dynamic authentication using physical keys
US7603552B1 (en) 2005-05-04 2009-10-13 Mcafee, Inc. Piracy prevention using unique module translation
US7363463B2 (en) 2005-05-13 2008-04-22 Microsoft Corporation Method and system for caching address translations from multiple address spaces in virtual machines
US8001245B2 (en) 2005-06-01 2011-08-16 International Business Machines Corporation System and method for autonomically configurable router
WO2006137057A2 (en) 2005-06-21 2006-12-28 Onigma Ltd. A method and a system for providing comprehensive protection against leakage of sensitive information assets using host based agents, content- meta-data and rules-based policies
US8839450B2 (en) 2007-08-02 2014-09-16 Intel Corporation Secure vault service for software components within an execution environment
CN101218568A (zh) * 2005-07-11 2008-07-09 微软公司 每-用户和系统粒度的审计策略实现
US7739721B2 (en) 2005-07-11 2010-06-15 Microsoft Corporation Per-user and system granular audit policy implementation
US7856661B1 (en) 2005-07-14 2010-12-21 Mcafee, Inc. Classification of software on networked systems
US7984493B2 (en) 2005-07-22 2011-07-19 Alcatel-Lucent DNS based enforcement for confinement and detection of network malicious activities
US7895651B2 (en) 2005-07-29 2011-02-22 Bit 9, Inc. Content tracking in a network security system
JP2009507271A (ja) 2005-07-29 2009-02-19 ビットナイン・インコーポレーテッド ネットワーク・セキュリティ・システムおよび方法
US7962616B2 (en) 2005-08-11 2011-06-14 Micro Focus (Us), Inc. Real-time activity monitoring and reporting
US8327353B2 (en) 2005-08-30 2012-12-04 Microsoft Corporation Hierarchical virtualization with a multi-level virtualization mechanism
US7340574B2 (en) 2005-08-30 2008-03-04 Rockwell Automation Technologies, Inc. Method and apparatus for synchronizing an industrial controller with a redundant controller
US8166474B1 (en) 2005-09-19 2012-04-24 Vmware, Inc. System and methods for implementing network traffic management for virtual and physical machines
US20070074199A1 (en) 2005-09-27 2007-03-29 Sebastian Schoenberg Method and apparatus for delivering microcode updates through virtual machine operations
EP1770915A1 (en) 2005-09-29 2007-04-04 Matsushita Electric Industrial Co., Ltd. Policy control in the evolved system architecture
US7712132B1 (en) 2005-10-06 2010-05-04 Ogilvie John W Detecting surreptitious spyware
US8131825B2 (en) 2005-10-07 2012-03-06 Citrix Systems, Inc. Method and a system for responding locally to requests for file metadata associated with files stored remotely
US7725737B2 (en) 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
US20070169079A1 (en) 2005-11-08 2007-07-19 Microsoft Corporation Software update management
US7836303B2 (en) 2005-12-09 2010-11-16 University Of Washington Web browser operating system
US7856538B2 (en) 2005-12-12 2010-12-21 Systex, Inc. Methods, systems and computer readable medium for detecting memory overflow conditions
US20070143851A1 (en) 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US8296437B2 (en) 2005-12-29 2012-10-23 Logmein, Inc. Server-mediated setup and maintenance of peer-to-peer client computer communications
US20070168861A1 (en) 2006-01-17 2007-07-19 Bell Denise A Method for indicating completion status of user initiated and system created tasks
US20070174429A1 (en) 2006-01-24 2007-07-26 Citrix Systems, Inc. Methods and servers for establishing a connection between a client system and a virtual machine hosting a requested computing environment
US7757269B1 (en) 2006-02-02 2010-07-13 Mcafee, Inc. Enforcing alignment of approved changes and deployed changes in the software change life-cycle
WO2007099273A1 (en) 2006-03-03 2007-09-07 Arm Limited Monitoring values of signals within an integrated circuit
JPWO2007100045A1 (ja) 2006-03-03 2009-07-23 日本電気株式会社 通信制御装置、通信制御システム、通信制御方法、および通信制御用プログラム
US8621433B2 (en) 2006-03-20 2013-12-31 Microsoft Corporation Managing version information for software components
US7895573B1 (en) 2006-03-27 2011-02-22 Mcafee, Inc. Execution environment file inventory
US7752233B2 (en) 2006-03-29 2010-07-06 Massachusetts Institute Of Technology Techniques for clustering a set of objects
KR20070099201A (ko) 2006-04-03 2007-10-09 삼성전자주식회사 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치
US7870387B1 (en) 2006-04-07 2011-01-11 Mcafee, Inc. Program-based authorization
US8015563B2 (en) 2006-04-14 2011-09-06 Microsoft Corporation Managing virtual machines with system-wide policies
US7966659B1 (en) * 2006-04-18 2011-06-21 Rockwell Automation Technologies, Inc. Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like
US8352930B1 (en) 2006-04-24 2013-01-08 Mcafee, Inc. Software modification by group to minimize breakage
US8458673B2 (en) 2006-04-26 2013-06-04 Flexera Software Llc Computer-implemented method and system for binding digital rights management executable code to a software application
US7849502B1 (en) * 2006-04-29 2010-12-07 Ironport Systems, Inc. Apparatus for monitoring network traffic
US8555404B1 (en) 2006-05-18 2013-10-08 Mcafee, Inc. Connectivity-based authorization
US20080082662A1 (en) 2006-05-19 2008-04-03 Richard Dandliker Method and apparatus for controlling access to network resources based on reputation
US8291409B2 (en) 2006-05-22 2012-10-16 Microsoft Corporation Updating virtual machine with patch on host that does not have network access
US20070276950A1 (en) 2006-05-26 2007-11-29 Rajesh Dadhia Firewall For Dynamically Activated Resources
US7761912B2 (en) * 2006-06-06 2010-07-20 Microsoft Corporation Reputation driven firewall
US7809704B2 (en) 2006-06-15 2010-10-05 Microsoft Corporation Combining spectral and probabilistic clustering
US7831997B2 (en) 2006-06-22 2010-11-09 Intel Corporation Secure and automatic provisioning of computer systems having embedded network devices
US20070300215A1 (en) 2006-06-26 2007-12-27 Bardsley Jeffrey S Methods, systems, and computer program products for obtaining and utilizing a score indicative of an overall performance effect of a software update on a software host
US8009566B2 (en) 2006-06-26 2011-08-30 Palo Alto Networks, Inc. Packet classification in a network security device
US7950056B1 (en) 2006-06-30 2011-05-24 Symantec Corporation Behavior based processing of a new version or variant of a previously characterized program
US8365294B2 (en) 2006-06-30 2013-01-29 Intel Corporation Hardware platform authentication and multi-platform validation
US8468526B2 (en) 2006-06-30 2013-06-18 Intel Corporation Concurrent thread execution using user-level asynchronous signaling
US8572721B2 (en) 2006-08-03 2013-10-29 Citrix Systems, Inc. Methods and systems for routing packets in a VPN-client-to-VPN-client connection via an SSL/VPN network appliance
US8495181B2 (en) * 2006-08-03 2013-07-23 Citrix Systems, Inc Systems and methods for application based interception SSI/VPN traffic
US8015388B1 (en) 2006-08-04 2011-09-06 Vmware, Inc. Bypassing guest page table walk for shadow page table entries not present in guest page table
US20080059123A1 (en) 2006-08-29 2008-03-06 Microsoft Corporation Management of host compliance evaluation
EP1901192A1 (en) 2006-09-14 2008-03-19 British Telecommunications Public Limited Company Mobile application registration
US8161475B2 (en) 2006-09-29 2012-04-17 Microsoft Corporation Automatic load and balancing for virtual machines to meet resource requirements
US7769731B2 (en) 2006-10-04 2010-08-03 International Business Machines Corporation Using file backup software to generate an alert when a file modification policy is violated
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US9697019B1 (en) 2006-10-17 2017-07-04 Manageiq, Inc. Adapt a virtual machine to comply with system enforced policies and derive an optimized variant of the adapted virtual machine
US8055904B1 (en) 2006-10-19 2011-11-08 United Services Automobile Assocation (USAA) Systems and methods for software application security management
US7979749B2 (en) 2006-11-15 2011-07-12 International Business Machines Corporation Method and infrastructure for detecting and/or servicing a failing/failed operating system instance
US7689817B2 (en) 2006-11-16 2010-03-30 Intel Corporation Methods and apparatus for defeating malware
US8091127B2 (en) 2006-12-11 2012-01-03 International Business Machines Corporation Heuristic malware detection
US20080155336A1 (en) 2006-12-20 2008-06-26 International Business Machines Corporation Method, system and program product for dynamically identifying components contributing to service degradation
US8336046B2 (en) 2006-12-29 2012-12-18 Intel Corporation Dynamic VM cloning on request from application based on mapping of virtual hardware configuration to the identified physical hardware resources
US7996836B1 (en) 2006-12-29 2011-08-09 Symantec Corporation Using a hypervisor to provide computer security
US8381209B2 (en) 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
US8254568B2 (en) 2007-01-07 2012-08-28 Apple Inc. Secure booting a computing device
US8332929B1 (en) 2007-01-10 2012-12-11 Mcafee, Inc. Method and apparatus for process enforced configuration management
US9424154B2 (en) 2007-01-10 2016-08-23 Mcafee, Inc. Method of and system for computer system state checks
US8380987B2 (en) 2007-01-25 2013-02-19 Microsoft Corporation Protection agents and privilege modes
JP4715774B2 (ja) 2007-03-02 2011-07-06 日本電気株式会社 レプリケーション方法、レプリケーションシステム、ストレージ装置、プログラム
US8276201B2 (en) 2007-03-22 2012-09-25 International Business Machines Corporation Integrity protection in data processing systems
US20080282080A1 (en) 2007-05-11 2008-11-13 Nortel Networks Limited Method and apparatus for adapting a communication network according to information provided by a trusted client
US20080295173A1 (en) 2007-05-21 2008-11-27 Tsvetomir Iliev Tsvetanov Pattern-based network defense mechanism
US7930327B2 (en) 2007-05-21 2011-04-19 International Business Machines Corporation Method and apparatus for obtaining the absolute path name of an open file system object from its file descriptor
US20080301770A1 (en) 2007-05-31 2008-12-04 Kinder Nathan G Identity based virtual machine selector
US20090007100A1 (en) 2007-06-28 2009-01-01 Microsoft Corporation Suspending a Running Operating System to Enable Security Scanning
US8763115B2 (en) 2007-08-08 2014-06-24 Vmware, Inc. Impeding progress of malicious guest software
CN101370004A (zh) 2007-08-16 2009-02-18 华为技术有限公司 一种组播会话安全策略的分发方法及组播装置
US8295306B2 (en) 2007-08-28 2012-10-23 Cisco Technologies, Inc. Layer-4 transparent secure transport protocol for end-to-end application protection
US8332375B2 (en) 2007-08-29 2012-12-11 Nirvanix, Inc. Method and system for moving requested files from one storage location to another
US8250641B2 (en) 2007-09-17 2012-08-21 Intel Corporation Method and apparatus for dynamic switching and real time security control on virtualized systems
US8261265B2 (en) 2007-10-30 2012-09-04 Vmware, Inc. Transparent VMM-assisted user-mode execution control transfer
US8195931B1 (en) 2007-10-31 2012-06-05 Mcafee, Inc. Application change control
JP5238235B2 (ja) 2007-12-07 2013-07-17 株式会社日立製作所 管理装置及び管理方法
US8515075B1 (en) 2008-01-31 2013-08-20 Mcafee, Inc. Method of and system for malicious software detection using critical address space protection
US8788805B2 (en) 2008-02-29 2014-07-22 Cisco Technology, Inc. Application-level service access to encrypted data streams
US8336094B2 (en) 2008-03-27 2012-12-18 Juniper Networks, Inc. Hierarchical firewalls
US8321931B2 (en) 2008-03-31 2012-11-27 Intel Corporation Method and apparatus for sequential hypervisor invocation
US8615502B2 (en) 2008-04-18 2013-12-24 Mcafee, Inc. Method of and system for reverse mapping vnode pointers
US8234709B2 (en) 2008-06-20 2012-07-31 Symantec Operating Corporation Streaming malware definition updates
US8352240B2 (en) 2008-06-20 2013-01-08 Vmware, Inc. Decoupling dynamic program analysis from execution across heterogeneous systems
CA2726310C (en) 2008-08-07 2013-10-08 Serge Nabutovsky Link exchange system and method
US8065714B2 (en) 2008-09-12 2011-11-22 Hytrust, Inc. Methods and systems for securely managing virtualization platform
US8726391B1 (en) 2008-10-10 2014-05-13 Symantec Corporation Scheduling malware signature updates in relation to threat awareness and environmental safety
US9141381B2 (en) 2008-10-27 2015-09-22 Vmware, Inc. Version control environment for virtual machines
JP4770921B2 (ja) 2008-12-01 2011-09-14 日本電気株式会社 ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム
US8544003B1 (en) 2008-12-11 2013-09-24 Mcafee, Inc. System and method for managing virtual machine configurations
US8274895B2 (en) 2009-01-26 2012-09-25 Telefonaktiebolaget L M Ericsson (Publ) Dynamic management of network flows
US8904520B1 (en) 2009-03-19 2014-12-02 Symantec Corporation Communication-based reputation system
US8387046B1 (en) 2009-03-26 2013-02-26 Symantec Corporation Security driver for hypervisors and operating systems of virtualized datacenters
US8060722B2 (en) 2009-03-27 2011-11-15 Vmware, Inc. Hardware assistance for shadow page table coherence with guest page mappings
US20100299277A1 (en) 2009-05-19 2010-11-25 Randy Emelo System and method for creating and enhancing mentoring relationships
US8359422B2 (en) 2009-06-26 2013-01-22 Vmware, Inc. System and method to reduce trace faults in software MMU virtualization
GB2471716A (en) 2009-07-10 2011-01-12 F Secure Oyj Anti-virus scan management using intermediate results
JP2010016834A (ja) 2009-07-16 2010-01-21 Nippon Telegr & Teleph Corp <Ntt> フィルタリング方法
US8381284B2 (en) 2009-08-21 2013-02-19 Mcafee, Inc. System and method for enforcing security policies in a virtual environment
US8341627B2 (en) 2009-08-21 2012-12-25 Mcafee, Inc. Method and system for providing user space address protection from writable memory area in a virtual environment
US8572695B2 (en) 2009-09-08 2013-10-29 Ricoh Co., Ltd Method for applying a physical seal authorization to documents in electronic workflows
US8234408B2 (en) 2009-09-10 2012-07-31 Cloudshield Technologies, Inc. Differentiating unique systems sharing a common address
US9552497B2 (en) 2009-11-10 2017-01-24 Mcafee, Inc. System and method for preventing data loss using virtual machine wrapped applications
US9390263B2 (en) 2010-03-31 2016-07-12 Sophos Limited Use of an application controller to monitor and control software file and application environments
US8875292B1 (en) 2010-04-05 2014-10-28 Symantec Corporation Systems and methods for managing malware signatures
US8813209B2 (en) 2010-06-03 2014-08-19 International Business Machines Corporation Automating network reconfiguration during migrations
US8925101B2 (en) 2010-07-28 2014-12-30 Mcafee, Inc. System and method for local protection against malicious software
US8938800B2 (en) 2010-07-28 2015-01-20 Mcafee, Inc. System and method for network level protection against malicious software
US8549003B1 (en) 2010-09-12 2013-10-01 Mcafee, Inc. System and method for clustering host inventories
EP2622525A1 (en) 2010-09-30 2013-08-07 Hewlett-Packard Development Company, L.P. Virtual machines for virus scanning
US9075993B2 (en) 2011-01-24 2015-07-07 Mcafee, Inc. System and method for selectively grouping and managing program files
US9112830B2 (en) 2011-02-23 2015-08-18 Mcafee, Inc. System and method for interlocking a host and a gateway
US20130247192A1 (en) 2011-03-01 2013-09-19 Sven Krasser System and method for botnet detection by comprehensive email behavioral analysis
US9552215B2 (en) 2011-03-08 2017-01-24 Rackspace Us, Inc. Method and system for transferring a virtual machine
US9122877B2 (en) 2011-03-21 2015-09-01 Mcafee, Inc. System and method for malware and network reputation correlation
US8776234B2 (en) 2011-04-20 2014-07-08 Kaspersky Lab, Zao System and method for dynamic generation of anti-virus databases
US9594881B2 (en) 2011-09-09 2017-03-14 Mcafee, Inc. System and method for passive threat detection using virtual memory inspection
US8694738B2 (en) 2011-10-11 2014-04-08 Mcafee, Inc. System and method for critical address space protection in a hypervisor environment
US8973144B2 (en) 2011-10-13 2015-03-03 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US9069586B2 (en) 2011-10-13 2015-06-30 Mcafee, Inc. System and method for kernel rootkit protection in a hypervisor environment
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8713668B2 (en) 2011-10-17 2014-04-29 Mcafee, Inc. System and method for redirected firewall discovery in a network environment
US8713684B2 (en) 2012-02-24 2014-04-29 Appthority, Inc. Quantifying the risks of applications for mobile devices
US8793489B2 (en) 2012-03-01 2014-07-29 Humanconcepts, Llc Method and system for controlling data access to organizational data maintained in hierarchical
US8739272B1 (en) 2012-04-02 2014-05-27 Mcafee, Inc. System and method for interlocking a host and a gateway
US8931043B2 (en) 2012-04-10 2015-01-06 Mcafee Inc. System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9292688B2 (en) 2012-09-26 2016-03-22 Northrop Grumman Systems Corporation System and method for automated machine-learning, zero-day malware detection
US8973146B2 (en) 2012-12-27 2015-03-03 Mcafee, Inc. Herd based scan avoidance system in a network environment
WO2014143000A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware
WO2014142986A1 (en) 2013-03-15 2014-09-18 Mcafee, Inc. Server-assisted anti-malware client
CN105580023B (zh) 2013-10-24 2019-08-16 迈克菲股份有限公司 网络环境中的代理辅助的恶意应用阻止

Also Published As

Publication number Publication date
EP2599276B1 (en) 2018-12-12
WO2012015489A1 (en) 2012-02-02
CN103283202B (zh) 2017-04-12
US20150200968A1 (en) 2015-07-16
US8938800B2 (en) 2015-01-20
AU2011283164A1 (en) 2013-02-07
JP2015222961A (ja) 2015-12-10
US20120030750A1 (en) 2012-02-02
EP2599276A1 (en) 2013-06-05
US9832227B2 (en) 2017-11-28
AU2011283164B2 (en) 2014-10-09
CN103283202A (zh) 2013-09-04
JP2013539573A (ja) 2013-10-24
JP6080910B2 (ja) 2017-02-15

Similar Documents

Publication Publication Date Title
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
JP6086968B2 (ja) 悪意のあるソフトウェアに対するローカル保護をするシステム及び方法
US11652829B2 (en) System and method for providing data and device security between external and host devices
US10542006B2 (en) Network security based on redirection of questionable network access
US9413785B2 (en) System and method for interlocking a host and a gateway
US7984493B2 (en) DNS based enforcement for confinement and detection of network malicious activities
US8549625B2 (en) Classification of unwanted or malicious software through the identification of encrypted data communication
Mell et al. Guide to malware incident prevention and handling
US20160057166A1 (en) Cyber-security system and methods thereof for detecting and mitigating advanced persistent threats
Raina et al. Security in Networks
Carter et al. Intrusion prevention fundamentals
Harale et al. Network based intrusion detection and prevention systems: Attack classification, methodologies and tools
Ali et al. Unified threat management system approach for securing sme's network infrastructure
Vasile Firewall Technologies
Singh et al. COMPARATIVE ANALYSIS OF DATA SECURITY TECHNIQUES IN NETWORK ENVIRONMENT

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20141113

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20141118

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150203

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150428

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150602

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150630

R150 Certificate of patent or registration of utility model

Ref document number: 5774103

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250