JP5809084B2 - ネットワーク・セキュリティ・システムおよび方法 - Google Patents
ネットワーク・セキュリティ・システムおよび方法 Download PDFInfo
- Publication number
- JP5809084B2 JP5809084B2 JP2012046805A JP2012046805A JP5809084B2 JP 5809084 B2 JP5809084 B2 JP 5809084B2 JP 2012046805 A JP2012046805 A JP 2012046805A JP 2012046805 A JP2012046805 A JP 2012046805A JP 5809084 B2 JP5809084 B2 JP 5809084B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- host
- server
- policy
- value
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F12/00—Accessing, addressing or allocating within memory systems or architectures
- G06F12/02—Addressing or allocation; Relocation
- G06F12/08—Addressing or allocation; Relocation in hierarchically structured memory systems, e.g. virtual memory systems
- G06F12/0802—Addressing of a memory level in which the access to the desired data or data block requires associative addressing means, e.g. caches
Description
中央設定されたパラメータおよびパラメータ・コンテンツ・ポリシー
システム内のセキュリティは、各サーバ内で定義されるポリシーに基づき、プッシュおよび/またはプル技術を介して関連するホストまたはホストのグループに伝播される。これらのポリシーは、読取り、実施、および書込みなど、実行可能およびファイルにより行われることができるもの、それらがホストによって作成また変更された場合に何をするか、走査がどのように実行されるか、追跡記録がどのように行われるか、および多くのその他の機能に関連し、各ポリシー(例えば、新たに決定された実行可能により何の動作が行われ得るか)に関して、(禁止、許可、または許可および記録など)いくつかのポリシーオプションが存在してよい。ポリシーは、ファイル内のコンテンツ(データ)もしくはファイルの名前、またはそれらの組合せに基づいてよい。コンテンツは、1つまたは複数の暗号ハッシュなど、署名によって定義されてよい。サンプルポリシーの非排他的リストは以下を含む。
施をブロック/記録する
2.新しい埋込みコンテンツ(例えば、*.doc内のマクロ)の読取り/実施をブロ
ック/記録する
3.ウェブコンテンツ(*.htmlまたは*.cgiファイル内のコンテンツの変更
)のインストール/修正をブロック/記録する
4.上の(3)などのポリシーに関して更新を許可する
5.2つのウィルス走査を通過したファイルを自動承認する(例えば、対応するファ
イル状態を承認に設定する)
6.管理者によって具体的に禁止されたファイルのインストール/実施をブロック/
記録する
7.感染したファイルをデータで隔離/削除/記録する
8.感染したファイルを名前で隔離/記録する
9.管理上「クラス」と定義された新ファイルの実施をブロック/記録する(例えば
管理者はスクリーンセーバ(*.scr)をブロックすることを望むが、実行可能
(*.exe、*.dll、*.sysなど)のクラス全体をブロックすることは望
まない場合がある)
10.特定されたファイルが取り外し可能媒体に結合された場合、記録する
11.一定のディレクトリを除いて、新の実行可能、スクリプト、および埋込みコン
テンツの実施をブロック/記録する(すなわち、ユーザが特別なディレクトリ内
で新のスクリプトまたは実行可能を作成することを可能にするが、その他のファ
イルシステムは保護する)
12.オフライン、遠隔で接続されるまたは局所的に接続される場合、ホストに関し
て異なるポリシー
13.特定のファイルを含むホスト/経路を日付でまたは名前で列挙する
14.ブロックされた実行可能、スクリプト、および埋込みスクリプトを有するホス
トを列挙する
15.感染したまたは禁止されたファイルを有するホスト/経路を列挙する
16.定義された更新サービスからのファイルを自動承認する(例えば、信頼された
ソースからである場合)
17.特定のホストグループに関して管理者によって具体的に禁止されたファイルの
実行をブロック/記録する(すなわち、1つ以上のグループが存在する)
18.性能の理由および試験のためにホストシステムを完全に非動作化する
19.ある期間後にファイルを自動承認する(ユーザ構成可能)
20.新ファイルが最高でx回までインストール/実施されることを可能にする(ユ
ーザ構成)。承認されるまで、それ以上のインストールおよび/または実施はロ
ックする。
21.書き込まれるとき新ファイルを局所承認する
22.書き込まれるとき新ファイルを中央承認する
サーバは、各ホストグループに関して1つまたは複数のポリシーを維持することができ、各ポリシーは中央設定され、ポリシー用に関してオプションを表示するパラメータに従って可変的に実施される。これらのポリシーとオプションとは、パラメータが、事実上、1つの次元に沿って移動して様々なポリシーに関してオプションを選択する2次元アレイとして論理的に編成されることが可能である。このパラメータは、本明細書でD値と呼ばれる。すべてのホストは、Dに関して1つの値を有してよく、またはホストの論理サブグループは独自のD値を有する。例えば、営業部のホストにはD=1が割り当てられてよく、マーケティング部のホストには同時にD=2が割り当てられてよい。一実施形態では、ホストはサーバを検査(調査)して、Dの値が変更されたかどうかを決定する。各ホストは、Dが変更されたことを探索すると、各々、新しいD値に「移動」し始める。この移動は段階的に行われてよい。これらの調査は、ホストからサーバへのネットワークメッセージとして提供され得る。D値はポリシー動作を制御する。所与のポリシー(例えば、「新実行可能拒否」または「新スクリプト拒否」)に関して、D=2は動作を侵害するポリシー(この場合、「新実行可能」の実施)をブロックする。D=4は警告(サーバに対するサイレント警告)するが許可し、D=6は許可して警告はまったくしない。D=2、4、または6であるかにかかわらず、ホストは、新実行可能が書き込まれると、新実行可能を引き続き通知および記録することが好ましい。本明細書での例は、Dに関して数値を使用するが、Dは文字、言葉、または文字と数字の任意の組合せで表現される「値」を有してよい。
トリガ=(D=2 & ファイル動作=実行 & 状態=ペンディング & ファイル実行クラス=実行可能クラス ここで、実行可能クラス=(*.exe |*.sys |*.dll | ...)
動作=(ブロック&報告&通知(P))であり、「ブロック」は動作を停止し、「報告」はサーバに通知を送り、「通知」はパラメータセットPを用いてユーザに警告する。
(2)ブロック。動作をブロックし、そうでない場合はサイレント。
(3)追跡。動作と(コンテンツがペンディングまたは禁止である場合)結果として生じるコンテンツを追跡し、そうでない場合はサイレント。承認されたコンテンツは一般に追跡されない
(4)報告。サーバに通知を送信する
(5)通知。動作がなぜブロック/割り込みされたのかをホストの終端ユーザに知らせる
(6)自動的な局所承認。局所ホスト状態=ペンディングを有する新ホストファイルおよび/または新コンテンツは、ファイル/コンテンツが作成/変更されると、局所ホスト上だけでホスト状態=承認または状態=局所承認に局所的に設定される。
(7)自動的かつ世界的な承認。局所状態=ペンディングを有する新ホストファイルおよび/または新コンテンツは、ファイル/コンテンツが作成/変更されると、サーバ上でサーバ状態=承認に世界的に設定される。
抗体の導入、ファイルのメタ情報
具体的に図2を参照すると、許可される動作に関して、システム内のサーバは、ファイルの走査履歴と各ファイルに関する承認状態とを追跡するために主に使用される抗体データベース36を含む。抗体は、以下のフィールドの一部またはすべてを含む可能性がある、ファイルに関するデータ(すなわち、メタデータまたはメタ情報)のブロックである。
・初めて参照された時間。ファイルまたはハッシュがホストによって初めて参照され、サーバに報告されたとき。
・ファイルID。MD5、SHA−1、およびOMACなど、コンテンツの1つまたは複数のハッシュを含めて、ファイルに関する独自の識別子。
・ファイルタイプ。ファイルクラス(例えば、実行可能、スクリプト、オフィス文書、アーカイブなど)。これは、初めて参照されたファイル名から、かつファイルコンテンツの分析から導出される。
・状況/状態。承認、ペンディング、または禁止を含めて、現在のファイル状況。
・方法。サーバがファイルについて学習する方法(自動、手動など)。
・ファイル名。初めて参照されて、サーバに報告されたファイルの名前。これはファイルの現在の名前ではなく、ネットワーク上で参照された初めての事例の正に名前である可能性がある。
・ファイル経路。初めて参照されて、サーバに報告されたファイルの経路。
・初めて参照/報告されたときのホストファイル名/経路/拡張子。
・最後に参照/報告されたときのホストファイル名/経路/拡張子。
・初めて参照/報告されたときのホストIPアドレス。
・初めて参照されたホスト。その上でファイルまたはハッシュが初めて参照および報告されたホストの名前。
・分析結果。最後の走査またはその他の分析の結果。
・最初の分析。ファイルの最初の走査/分析の時間。
・最後の分析。ファイルが最後に走査/分析された時間。
・最後の更新。ファイル状態が最後に変更された時間。
・親コンテナ。ファイルに関連したその他のファイルへのリンク。
・親コンテナ属性。ファイル名、初めに決定された時間、初めに決定されたホスト、ファイル経路、製品分類、および1つの関連するコンテナファイルの状態。
・ルートコンテナ。ファイルに関連したその他のファイルへのリンク。ルートコンテナは、もう1つのコンテナ内に含まれないコンテナである。
・ルートコンテナ属性。ファイル名、初めに決定された時間、初めに決定されたホスト、ファイル経路、製品分類、および1つの関連するルートコンテナファイルの状態。
・知られている場合、基準親ファイルコンテナ。これらは、「ハッシュ=xのアーカイブファイル内部でこのハッシュ=yのファイルが観測された」など、包括する関連性を維持するために使用される。
・実行可能、スクリプトファイル、埋込みマクロなど、(コンテンツ分析によって決定される)ファイルコンテンツタイプ。
抗体(AB)追跡の導入
新ファイルが作成されると、または既存のファイルが変更されると、追跡ポリシーがトリガされることが可能であり、それにより、ファイルおよび抗体の分析イベントのチェーンを始める。まず、ホストは一連のステップを実行して、すでに分析されたコンテンツに対応し、それに関して抗体がホストキャッシュ内にすでに記憶されているコンテンツに重要な変更が存在するか否かを決定する。コンテンツの抗体がホストキャッシュ内にない場合、サーバは問合せされて、サーバがすでにそのコンテンツを分析したか否かを決定する。サーバが対応する抗体を有さない場合、コンテンツはさらなる分析のためにサーバにアップロードされる。サーバが状態を確定的に決定できるまで、コンテンツに関連する状態はペンディングに設定される、すなわちまだ決定されない。ペンディングのコンテンツに対するその後のアクセスは限定され得る。サーバは、コンテンツがサーバ上で初めに参照されてからの時間に基づいてコンテンツに関する分析を実行する。分析またはその他の外部決定に基づいて、サーバは状態の変更を確定的に決定することができる。これらの変更は、後の取り出しのためにホストによって表示されることが可能であり、したがって、ホストは変更された状態を用いてその抗体キャッシュを更新することができる。
ホスト抗体追跡
図3を参照すると、ホストは、実施、読取り、名前変更、または書込みを含めて、ファイル動作を傍受して(501)、ステートフルファイル動作フィルタ(502)に動作を提供する(502)。ファイル名がカーネルキャッシュ内になく、カーネルキャッシュの間違いが存在し(510)、可能なファイル修正またはコンテンツ修正が存在する場合(511)、状態は無効にされる。次いで、ファイルは、以下により詳細に説明されるように、縮小ファイルを作成するために動作状態の当該コンテンツを抽出するコンテンツエキストラクタに進み(503)、コンテンツ署名者に縮小ファイルを提供する(504)。コンテンツ署名者は、MD5などの暗号ハッシュを縮小ファイルに応用する。このハッシュはファイルとファイル名とに関連付けられる。ハッシュおよびその他の分析(キャッシュの間違え解決)が完了する間、ファイル動作は遅延/機能停止されてよい。
ファイルコンテンツの追跡
図2に戻ると、傍受/ブロック機能86は、ファイルアクセス要求を傍受して、読み取ることができる。この機能は、ポリシー情報を取得する間に要求を一時停止し、カーネル内のポリシーに基づいて要求をブロックし、ブロックされた要求に関して適切な誤りコードを戻すことができる。機能86は、ファイルアクセス要求から、要求プロセス名と、要求の局所システム時間と、(全経路を含む)要求されたファイルと、要求された動作(例えば、読取り、書込み、または実施)を読み取る。一実施形態では、機能86は、すべてのファイルアクセス要求を「ステートフルフィルタ」88に供給し、フィルタ88が動作はブロックまたは許可されたことを表示するフラグを戻すまで、すべての動作はブロックされる。
カーネルキャッシュの一貫性
ホストエージェントのブート時またはその他の初期化時に、カーネルは、有効なメタ情報を有するすべての知られている既存のホストファイルに関して、ユーザ領域から知られているすべての有効な抗体によりロードされる。いくつかの抗体更新は、サーバから、またはユーザ領域内の分析待ち行列から受信されるとカーネルに送られる。しかし、いくつかの更新は、カーネルキャッシュの失敗の結果である。ポリシーが動作状態であると決定され、抗体状態が必要であり、その状態が利用不可能である場合、カーネルは、しばらくの間、動作を全体的に停止して、カーネルの失敗イベントをユーザ領域に送る。いくつかのイベントは、抗体がすぐに必要でないとしても停止される可能性がある。これは、ポリシーが、ホストユーザがユーザインターフェース(メッセージボックスの出現)と相互作用すること(例えば、ブロックされたペンディング動作を取り消すため、およびしばらくの間、ブロックすることなしに、その後の制限された動作を続けるために「はい」をクリックすること)によって抑制状態(ペンディング)を取り消すことを許可する場合である。
ファイル探索
UNキャッシュとUDキャッシュとは低い待ち時間調査のために最適化されることが好ましいため、これらのキャッシュは、何のホストに何のファイルがあるかの一覧を作成するために、本明細書で「ファイル探索」と呼ばれる、サーバから配信された抗体問合せの一部として使用されることが可能である。ファイル探索要求は、サーバまたはスーパサーバ上でウェブインターフェースを経由してウェブブラウザ書式を提供することによって管理者によって特定されることが可能である。例えば、以下のクオリファイヤ(修飾子)が一緒に特定され得る。
(2)ファイル経路のための正規表現パターン仕様、
(3)ファイルの当該コンテンツのハッシュ、
(4)ファイルに関連するコンテナのハッシュまたはその他のID、
(5)ファイルまたはファイルのハッシュがホストによって初めて参照されたときの時間範囲、
(6)ホストの名前、
(7)ホストのIPアドレス、
(8)ファイルのタイプ、
(9)少なくとも3つの状態、すなわち、承認、禁止、ペンディングの分析のセットからのファイルに関連する1つまたは複数のホストファイル状態。例えば、AI禁止=(名前禁止、ハッシュで禁止)のセット。
(11)ホストグループ。
(2)ファイル経路、
(3)ファイルの当該コンテンツのハッシュ、
(4)ファイルまたはファイルのハッシュがホストによって初めて参照されたときの時間範囲、
(5)ホストの名前、
(6)ホストのIPアドレス、
(7)ファイルのタイプ、
(8)ファイル向けのコンテナ情報、
(9)少なくとも3つの状態、すなわち、承認、禁止、ペンディングの分析のセットからのファイルに関連する1つまたは複数のホストファイル状態、
(10)ある種のファイル動作がそのファイルに関してホストによって実行されているかどうか、そして
(11)ホストグループ。
タイマトリガされた中央分析
図5を参照すると、サーバは、イベントに基づいて分析(例えば、ホストがコンテンツを更新するたびに分析)を行うことができ、またはシステムは、時間に基づいてこれらの分析を行うことができる。上で示されたように、新コンテンツは、サーバにアップロードされることが可能であり、データベース内に記憶されるメタデータまたはメタ情報を作成するために、分析は外部および/または内部の分析エージェントにより実行される。システムは、次いで、例えば、新コンテンツが更新された場合、ファイルの第1の考察に関連して一定時間後に、さらなるスケジュールされた分析に関して検査することができる。サーバとスーパサーバとは、多くのタイプのさらなる時間ベースの分析を実行することが可能である。
(2)サーバ資格証明またはその他の第三者資格証明を用いてコンテンツを認証または署名する。
(4)局所的にまたはもう1つのサーバの問合せを経由して、知られている良いデータベース(ホワイトリスト)に対してハッシュを調査する。
(6)(例えば、MIME添付ファイルとして、FTPまたはSMTPによる)ウィルス走査のためにファイルを送信する、または局所的に実行する。
(8)(4)のようにサイト特定のカスタム分析のためにファイルを送信する、または局所的に実行する。
(10)新ファイルが分析を必要とするというSNMPトラップを送信して、それらの位置を特定する。
(12)もう1つのシステムがファイルを承認したかまたは非承認したかを決定するためにいくつかのディレクトリを検査する。
(14)第1の分析の結果に基づいて調整された第2の分析を自動的に実行する。
(15)外部分析システムからの分析結果を含む認証ネットワークメッセージを受信する。
抗体分析/承認サービス
システムは、新ファイルに焦点を当てるため、外部委託されたファイル分析サービスは実際的かつ有用にされ得る。これらのサービスは、(例えば、SOAP/ウェブサービス呼出しにより)自動化されてよく、または手動(サービスプロバイダのサーバへの認証リンクに従う)であってもよい。局所的にまたは遠隔サーバを使用してオフサイトで実行されることが可能なこれらのサービスは以下を含んでよい。
(3)ハッシュに関連するサプライヤとアプリケーションとを識別する。
コンテンツエキストラクタ(CE)
コンテンツは、通常、コンテンツのグループまたはパッケージを形成する。この例は、実施可能なプログラムおよびジップファイル内のウィルス、またはMicrosoft Office文書内のマクロ(例えば、Word、Excel、およびPowerpointのファイル)もしくはMicrosoft .msiファイルなど、インストールパッケージ内のファイルを含む。図8を参照すると、ファイルが受信されて、コンテンツエキストラクタは埋め込まれたコンテンツタイプ(例えば、Office文書内のマクロ)を探す。コンテンツのかかる「動作」タイプだけが抽出されることが好ましい。
サーバ・ユーザ・インターフェース
サーバのためのユーザインターフェースは、その各々がシステムの異なる態様の構成と管理とを可能にするいくつかの「パネル」を提供する。このセクションでは、用語「ユーザ」は、サーバ・ユーザ・インターフェースへのアクセスを有する管理者を示すために使用される。ユーザインターフェースは、SSL暗号化接続を経由して、標準ウェブブラウザを通じてアクセス可能であってよい。サーバの完全性を維持して、特定のユーザの特権水準を決定するために、認証とアクセス制御とが提供される。
・初めて参照された時間。ファイルまたはハッシュがホストによって初めて参照され、サーバに報告されたとき。
・ファイルID。MD5、SHA−1、およびOMACなど、コンテンツの1つまたは複数のハッシュを含めて、ファイルに関する独自の識別子。
・ファイルタイプ。ファイルクラス(例えば、実行可能、スクリプト、オフィス文書、アーカイブなど)。これは、初めて参照されたファイル名から、およびファイルコンテンツの分析から導出される。
・状況/状態。承認、ペンディング、または禁止を含めて、現在のファイル状況。
・方法。サーバがファイルについて学ぶ方法(自動、手動など)。
・ファイル名。初めて参照されて、サーバに報告されたファイルの名前。これはファイルの現在の名前でなく、ネットワーク上で決定された初めての事例の正に名前である可能性がある。
・ファイル経路。初めて参照されて、サーバに報告されたファイルの経路。
・初めて参照されたホスト。その上でファイルまたはハッシュが初めて参照および報告されたホストの名前。
・分析結果。最後の走査またはその他の分析の結果。
・最初の分析。ファイルの最初の走査/分析の時間。
・最後の分析。ファイルが最後に走査/分析された時間。
・最後の更新。ファイル状態が最後に変更された時間。
・親コンテナ。ファイルに関連したその他のファイルへのリンク。
・親コンテナ属性。ファイル名、初めに決定された時間、初めに決定されたホスト、ファイル経路、製品分類、および1つの関連するコンテナファイルの状態。
・ルートコンテナ。ファイルに関連したその他のファイルへのリンク。ルートコンテナは、もう1つのコンテナ内に含まれないコンテナである。
・ルートコンテナ属性。ファイル名、初めに決定された時間、初めに決定されたホスト、ファイル経路、製品分類、および1つの関連するルートコンテナファイルの状態。
以下の動作は、リストから選択されたファイルに関して実行され得る。
・ファイル詳細。これは、ファイルを承認または禁じたインターフェースユーザと、どこでファイルが初めて参照されたかと、ユーザによって加えられた任意の注釈とを含めて、抗体・データベースからファイルに関する追加の情報を提供する。
・承認。現在選択されたファイルを明示的に承認する。このオプションは、すべてのホストを通してファイルを承認することになるため、このオプションはユーザに十分な警告を提供すべきである。
・非承認。好ましくは、状態をペンディングに遷移して、すでに承認されているファイルを明示的に非承認する
・禁止。ファイルを明示的に禁止する。これはすべてのホスト上でファイルを禁止させる。
・分析/ウィルス走査。選択されたファイルに関して分析/走査のスケジューリングを強要する。
・削除。このファイルに関する情報を除去する。これは次に決定されたときに、サーバに新しいものとしてファイルを扱わせることになる。
・ホスト上のファイルの探索。この動作は、ファイルファインダに連結し、入力されると、選択されたファイル名を提供する。
・コンテナの探索。ファイルに関する可能なコンテナと、それらのコンテナに関する情報とを調査する。
・ルートコンテナの探索。ファイルに関する可能なルートコンテナと、それらのコンテナに関する情報とを調査する。
・ウェブサービス情報の探索。ファイルおよび/またはそのコンテナ/製品に関する追加の情報を見つけ出すために様々なその他のネットワークサーバに問い合わせる。
・新しいグループの追加。
・既存のグループの除去。グループが除去される場合、ホストはサーバのデータベースから除去されないが、規定のグループに再度割り当てられる。
・ホストを1つのグループからもう1つのグループに移動する。
・ホスト。ホストのDNS名。
・独自のID。ホストの独自の識別子。
・IPアドレス。このホストの最後の知られているIPアドレス。
・状態。ホストのオンライン状態。
・最後に参照されたとき。最後にホストがサーバにチェックインしたとき。
・オペレーティングシステム。ホストのオペレーティングシステムのバージョン。
・バージョン。ホスト上のオペレーティングシステムのバージョン。
・実行可能。exe、com、dll、pif、scr、drv、およびocxを含む拡張子。
・スクリプト。vbs、bat、およびcmdを含む拡張子。
・埋込みマクロコンテンツ。doc、dot、xls、xla、xlt、xlw、ppt、pps、およびpotを含む拡張子。
・ウェブコンテンツ。htm、html、asp、およびcgiを含む拡張子。
・新実行可能
・新独立型スクリプト
・新埋込みスクリプト
・新ウェブコンテンツ
・非承認ファイル
・更新エージェントを無視(一定の更新ソース/プロセス/位置からの新コンテンツを自動的に承認)
・ウィルス/スパイウェア感染ファイル
ポリシーが動作不能にされるときはいつでも、そのクラスのファイルの追跡は依然として続くが、影響を受けたホストシステムによって何の処置も取られない。
・動作
・実施ブロック。このファイルクラスの実施はブロックされることになるか。
・書込みブロック。このファイルクラスのファイルへの書込みはブロックされることになるか。この設定は、ウェブコンテンツおよび非承認ファイルだけに使用される。この設定は、厳重に制御されたシステムだけに使用され、通常の動作には使用されない。
・隔離。このクラスのファイルは隔離されるか。ファイルは、個々のディレクトリに移すのではなく、読取りをブロックすることによって隔離されることが可能である。ウィルス感染ファイルの場合、これらは書き込まれてよいが、後に削除される。しかし、この機能性は、当初実施されなくてもよい。
・記録。このクラスのファイルへのアクセスは記録されることになるか。
・承認
・暗黙的な承認。ファイルはこのD水準で暗黙的に承認されることになるか。暗黙的な承認は、適切な走査および待ち時間の後にファイルの承認状態を変更する。
・明示的な承認。ファイルはこのD水準で明示的に承認されることになるか。
通知パラメータ
コンテンツアクセスがブロックされる場合、ホストユーザは通知される。リスト上の各ポリシーに関して、および各ホストグループに関して、以下の設定が利用可能である。
・表示されたメッセージ。ユーザ・インターフェース・ダイアログ上に表示されたテキスト。複数のメッセージがリストボックス内に挙げられる。
・ボタンテキスト。ユーザ・インターフェース・ダイアログ上の単一ボタン上に表示されるテキスト。
・タイムアウト。ダイアログはどのくらい長くユーザに表示されることになるか。ユーザによって受け入れられるまで、ゼロのタイムアウトは示し、ダイアログは無期限に表示し続ける。
・任意選択で、Dの一定値に関して、一時期、コンテンツ制限を取り消すためのボタン。
・ポリシーに関してより多くの情報を有するURLリンク。
年齢走査パラメータ
このセクションは、ユーザが、ファイルが初めて参照されて承認(自動承認走査)される時間と、第2の(承認)走査が実行される時間および第3の(繰返し)走査が発生する時間の間の時間を構成することを可能にする。より多い走査と時間とは、図7で特定されることができる。
保守
保守セクションは、ユーザがサーバ自体に関して世界的な設定を構成することを可能にする。
・システム構成。局所ネットワークおよびホストシステムとのサーバの相互作用に関する設定。
・IPアドレスおよびサブネットマスク。サブネットマスクは、ホストの遠隔タイプと局所タイプへの分類を可能にする。遠隔ホストは、帯域幅を保存するためにより制限された通信を有する。ホストグループは、各接続タイプ、すなわち、遠隔、局所、または切断に関して特定される、異なるポリシーセットとDパラメータ設定とを有する可能性ある。遠隔ホストは、より少ないネットワークトラフィック(例えば、より少ないサーバ報告書)を生成することになる。また遠隔ホストは、サーバに新コンテンツのハッシュを報告するが、コンテンツをアップロードしないことが好ましい。
・パスワード。サーバインターフェースへのアクセスのための設定パスワードまたは再設定パスワード。
・SNMPトラップ選択。どのイベントタイプが、どのトラップを引き起こすか、どのSNMPサーバに対してトラップが送られることになるか(および優先順位が重要、高い、中間、低い、情報など)を選択する。
・NTP時間同期化サーバ。時間同期化に関してサーバのリストを設定する。サーバ上の時間は、起動時にその内部クロックから取得され、次いで、この外部NTP時間ソースにより同期化される。サーバ時間からのホスト偏差は、サーバによって追跡されることになる。
・システム状態(サーバ)
・動作可能時間。最後のシステム再起動からの時間を表示する。
・ディスク領域。サーバに関してローカルディスクと記憶統計とを表示する。
・ウィルス/スパイウェア署名更新
・最後の署名の更新。最後の署名更新の時間。
・スキャナの更新。ウィルス・スキャナ・ソフトウェアを更新する。
・サーバソフトウェア更新
・現在のバージョン。現在のサーバソフトウェアバージョンを表示する。
・新画像のロード。リムーバブル媒体またはネットワーク(例えば、FTP)から新ソフトウェア画像をサーバにロードする。
・外部サービス構成
・コンテンツ走査システム向けのネットワークアドレス、サービスタイプ、および承認権限。
・外部コンテンツ転送向けおよびユーザ定義された分析向けの外部ファイルサーバアドレス、プロトコル、ログイン、およびディレクトリ。
・バックアップ。リムーバブル媒体への(およびネットワークへの)構成のバックアップおよび回復。
・構成とデータベースのロード。(例えば、XMLで)構成と抗体・データベースとをロードする。
Claims (13)
- 複数のホストコンピュータ(ホスト)と前記ホストに関連するサーバを有するコンピュータシステムにおいてファイルのセキュリティを管理する方法であって、
前記サーバはファイル動作に関係するポリシーとポリシーオプションのマスタセットを前記ホストへ伝達し、前記ポリシーオプションは前記ファイル動作が許可されるかまたは禁止されるか、許可されるならば前記ファイル動作が何の条件により許可されるかを少なくとも示し、
前記ポリシーオプションは、前記ファイルに関するメタ情報により指示されるペンディング状態に割り当てられたファイルの実行をブロックすること、または許可すること及び/または読取ることを含み、前記ペンディング状態は前記実行および/または読取り動作がまだ許可されるかまたは禁止されるか決定されていないことを示し、
前記サーバは、前記ホストに値を伝達し、前記伝達された値は、全ホストまたは選択されたグループのホストに与えられ、
前記ホストに記憶された値は、前記ポリシーのマスタセットおよびポリシーオプションからどのポリシーおよびポリシーオプションのサブセットが前記ホスト上で実施されるかを示し、
前記ホストは、前記値により指示された前記ファイル動作のポリシーを実施する、
方法。 - 各ポリシーは、前記ポリシーオプションのひとつを指示する単一の構成パラメータを有し、前記伝達された値は複数のポリシーのそれぞれに対しての前記ポリシーオプションを選択する、請求項1に記載の方法。
- 前記マスタセットはポリシーおよびポリシーオプションのリストを含み、前記伝達された値は前記リストのひとつを選択する、請求項1に記載の方法。
- 前記ホストは、前記同じホストのポリシー報告書に応答して、または前記ホストに実行される命令に応答して自動的に前記値を変更する、請求項1から3のいずれかに記載の方法。
- 前記ポリシーオプションは、前記ファイルに関するメタ情報により指示されている、動作が許可されていることを示す状態に割り当てられたファイルの動作を自動的に許可しまたはブロックし、及び/または読取ることを含む、請求項1から4のいずれかに記載の方法。
- 少なくともいくつかの前記ポリシーおよびポリシーオプションは、ファイルの名前および/またはコンテンツに基づき動作を指示する、請求項1から5のいずれかに記載の方法。
- 前記サーバは、前記ホストにアクセス可能な方法で新しい値を通知することにより前記値を変更し、前記ホストは前記新しい値をアクセスし、前記新しい値を前記ホストが保持している前記値と比較し、そして前記値を前記新しい値に変更する、請求項1から6のいずれかに記載の方法。
- 複数のホストコンピュータ(ホスト)と、
ファイル動作に関係するポリシーとポリシーオプションのマスタセットを前記ホストへ伝達するサーバと、を含み、
前記ポリシーオプションは前記ファイル動作が許可されるかまたは禁止されるか、許可されるならば前記ファイル動作が何の条件により許可されるかを少なくとも示し、
前記ポリシーオプションは、前記ファイルに関するメタ情報により指示されるペンディング状態に割り当てられたファイルの実行をブロックすること、または許可すること及び/または読取ることを含み、前記ペンディング状態は前記実行および/または読取り動作がまだ許可されるかまたは禁止されるか決定されていないことを示し、
前記サーバはさらに、前記ホストの記憶のために前記ホストに値を伝達し、前記伝達された値は、全ホストまたは選択されたグループのホストに与えられ、
前記ホストに記憶された値は、前記ポリシーのマスタセットおよびポリシーオプションからどのポリシーおよびポリシーオプションのサブセットが前記ホスト上で実施されかを示し、
前記ホストは、前記値により指示された前記ファイル動作のポリシーを実施する、
コンピュータシステム。 - 前記サーバにより伝達される情報は、複数の異なるポリシーのそれぞれに対しての前記ポリシーオプションを選択する、請求項8に記載のシステム。
- 前記ホストは複数のホストグループに編成され、前記サーバは1以上ではあるが全てではない前記ホストグループに前記値の変更を伝達する、請求項8または9に記載のシステム。
- 前記ファイル動作は、ファイルへの書込みアクセスおよびファイルの実行を含み、前記オプションは、前記システムのセキュリティ水準を増分的に増加しまたは減少する順序付けされた規制のセットを構成する複数のオプションを含む、請求項8から10に記載のシステム。
- 前記マスタセットはポリシーおよびポリシーオプションのリストを含み、前記サーバは前記リストのひとつを指示する値を含む情報を提供する、請求項8から11に記載のシステム。
- 前記サーバは前記情報が存在するアクセス可能な場所を前記ホストに通知し、前記ホストは前記情報にアクセスして前記ホストの値を更新する、請求項8から12に記載のシステム。
Applications Claiming Priority (10)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US11/194,078 US8984636B2 (en) | 2005-07-29 | 2005-07-29 | Content extractor and analysis system |
US11/193,292 | 2005-07-29 | ||
US11/193,291 | 2005-07-29 | ||
US11/194,075 US20070028291A1 (en) | 2005-07-29 | 2005-07-29 | Parametric content control in a network security system |
US11/193,292 US7895651B2 (en) | 2005-07-29 | 2005-07-29 | Content tracking in a network security system |
US11/193,291 US20070028302A1 (en) | 2005-07-29 | 2005-07-29 | Distributed meta-information query in a network |
US11/193,295 | 2005-07-29 | ||
US11/194,075 | 2005-07-29 | ||
US11/193,295 US8272058B2 (en) | 2005-07-29 | 2005-07-29 | Centralized timed analysis in a network security system |
US11/194,078 | 2005-07-29 |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008524253A Division JP2009507271A (ja) | 2005-07-29 | 2006-07-27 | ネットワーク・セキュリティ・システムおよび方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2012146317A JP2012146317A (ja) | 2012-08-02 |
JP5809084B2 true JP5809084B2 (ja) | 2015-11-10 |
Family
ID=37709277
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008524253A Ceased JP2009507271A (ja) | 2005-07-29 | 2006-07-27 | ネットワーク・セキュリティ・システムおよび方法 |
JP2012046805A Active JP5809084B2 (ja) | 2005-07-29 | 2012-03-02 | ネットワーク・セキュリティ・システムおよび方法 |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2008524253A Ceased JP2009507271A (ja) | 2005-07-29 | 2006-07-27 | ネットワーク・セキュリティ・システムおよび方法 |
Country Status (6)
Country | Link |
---|---|
EP (1) | EP1920338B1 (ja) |
JP (2) | JP2009507271A (ja) |
CN (1) | CN103984891A (ja) |
BR (1) | BRPI0616018A2 (ja) |
CA (1) | CA2617204C (ja) |
WO (1) | WO2007016478A2 (ja) |
Families Citing this family (35)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7698744B2 (en) * | 2004-12-03 | 2010-04-13 | Whitecell Software Inc. | Secure system for allowing the execution of authorized computer program code |
US7757269B1 (en) | 2006-02-02 | 2010-07-13 | Mcafee, Inc. | Enforcing alignment of approved changes and deployed changes in the software change life-cycle |
US7895573B1 (en) | 2006-03-27 | 2011-02-22 | Mcafee, Inc. | Execution environment file inventory |
US9424154B2 (en) | 2007-01-10 | 2016-08-23 | Mcafee, Inc. | Method of and system for computer system state checks |
US8332929B1 (en) | 2007-01-10 | 2012-12-11 | Mcafee, Inc. | Method and apparatus for process enforced configuration management |
JP5126495B2 (ja) * | 2007-11-01 | 2013-01-23 | 日本電気株式会社 | 安全度評価と連動するセキュリティの方針設定装置、そのプログラムおよびその方法 |
US8549625B2 (en) * | 2008-12-12 | 2013-10-01 | International Business Machines Corporation | Classification of unwanted or malicious software through the identification of encrypted data communication |
US8161556B2 (en) * | 2008-12-17 | 2012-04-17 | Symantec Corporation | Context-aware real-time computer-protection systems and methods |
EP2479700A4 (en) * | 2009-09-14 | 2013-05-01 | Mori Kiyoshi | SECURE AUDIT SYSTEM AND SECURE AUDIT PROCEDURE |
US8572740B2 (en) | 2009-10-01 | 2013-10-29 | Kaspersky Lab, Zao | Method and system for detection of previously unknown malware |
WO2011089864A1 (ja) * | 2010-01-21 | 2011-07-28 | 日本電気株式会社 | ファイル群整合性検証システム、ファイル群整合性検証方法およびファイル群整合性検証用プログラム |
US8938800B2 (en) | 2010-07-28 | 2015-01-20 | Mcafee, Inc. | System and method for network level protection against malicious software |
US8925101B2 (en) | 2010-07-28 | 2014-12-30 | Mcafee, Inc. | System and method for local protection against malicious software |
JP5610524B2 (ja) | 2010-09-22 | 2014-10-22 | インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation | 文書の優先度を決定する方法、プログラム及び装置 |
JP5779334B2 (ja) | 2010-11-09 | 2015-09-16 | デジタルア−ツ株式会社 | 出力制御装置、出力制御プログラム、出力制御方法および出力制御システム |
US9112830B2 (en) | 2011-02-23 | 2015-08-18 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US9594881B2 (en) | 2011-09-09 | 2017-03-14 | Mcafee, Inc. | System and method for passive threat detection using virtual memory inspection |
US8800024B2 (en) | 2011-10-17 | 2014-08-05 | Mcafee, Inc. | System and method for host-initiated firewall discovery in a network environment |
US8713668B2 (en) | 2011-10-17 | 2014-04-29 | Mcafee, Inc. | System and method for redirected firewall discovery in a network environment |
EP2788913B1 (en) * | 2011-12-06 | 2019-10-23 | Vertiv IT Systems, Inc. | Data center infrastructure management system incorporating security for managed infrastructure devices |
US20150100669A1 (en) * | 2012-03-18 | 2015-04-09 | Lg Electronics Inc. | Control device and method for operating same, and server and method for operating same |
US8739272B1 (en) | 2012-04-02 | 2014-05-27 | Mcafee, Inc. | System and method for interlocking a host and a gateway |
US8973146B2 (en) * | 2012-12-27 | 2015-03-03 | Mcafee, Inc. | Herd based scan avoidance system in a network environment |
CN105580023B (zh) | 2013-10-24 | 2019-08-16 | 迈克菲股份有限公司 | 网络环境中的代理辅助的恶意应用阻止 |
CN104239797B (zh) * | 2014-10-13 | 2017-07-07 | 北京奇虎科技有限公司 | 主动防御方法及装置 |
US10719608B2 (en) * | 2015-02-06 | 2020-07-21 | Honeywell International Inc. | Patch monitoring and analysis |
CN105320883B (zh) * | 2015-11-11 | 2018-05-15 | 北京奇虎科技有限公司 | 文件安全加载实现方法及装置 |
CN107277037A (zh) * | 2017-07-14 | 2017-10-20 | 北京安数云信息技术有限公司 | 基于插件的任意文件操作检测方法和装置 |
CN109472139B (zh) * | 2017-12-25 | 2022-04-19 | 北京安天网络安全技术有限公司 | 一种防御勒索病毒对主机文档二次加密的方法及系统 |
CN108874416B (zh) * | 2018-05-04 | 2022-10-28 | 天津猎鹰网络技术有限公司 | 策略处理方法、装置、存储介质、处理器 |
US10496842B1 (en) * | 2018-07-16 | 2019-12-03 | Didi Research America, Llc | Multi-pronged file anomaly detection based on violation counts |
CN109672526B (zh) * | 2018-12-17 | 2021-11-09 | 福建联迪商用设备有限公司 | 一种管控可执行程序的方法及系统 |
CN110096877B (zh) * | 2019-04-24 | 2021-06-04 | 厦门网宿有限公司 | 一种文件处理方法及装置 |
TWI734183B (zh) * | 2019-08-30 | 2021-07-21 | 台中商業銀行股份有限公司 | 黑名單資料庫檢索系統及檢索方法 |
CN113973019B (zh) * | 2021-12-27 | 2022-04-01 | 北京安博通科技股份有限公司 | 一种网络病毒检测方法及网络设备 |
Family Cites Families (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2000046963A1 (en) * | 1999-02-04 | 2000-08-10 | Apion Telecoms Limited | A telecommunications gateway |
US20020128935A1 (en) * | 2001-03-12 | 2002-09-12 | Smart Mediary Systems, Llc | Many-to-many mediated commercial electronic publishing |
US6920558B2 (en) * | 2001-03-20 | 2005-07-19 | Networks Associates Technology, Inc. | Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system |
US7203966B2 (en) * | 2001-06-27 | 2007-04-10 | Microsoft Corporation | Enforcement architecture and method for digital rights management system for roaming a license to a plurality of user devices |
US8495227B2 (en) * | 2003-12-11 | 2013-07-23 | International Business Machines Corporation | Method and system to distribute policies |
-
2006
- 2006-07-27 CA CA2617204A patent/CA2617204C/en active Active
- 2006-07-27 CN CN201410112822.9A patent/CN103984891A/zh active Pending
- 2006-07-27 BR BRPI0616018-2A patent/BRPI0616018A2/pt not_active Application Discontinuation
- 2006-07-27 WO PCT/US2006/029714 patent/WO2007016478A2/en active Application Filing
- 2006-07-27 JP JP2008524253A patent/JP2009507271A/ja not_active Ceased
- 2006-07-27 EP EP06788969.1A patent/EP1920338B1/en active Active
-
2012
- 2012-03-02 JP JP2012046805A patent/JP5809084B2/ja active Active
Also Published As
Publication number | Publication date |
---|---|
WO2007016478A3 (en) | 2009-04-16 |
CA2617204C (en) | 2016-07-05 |
EP1920338B1 (en) | 2013-05-15 |
EP1920338A4 (en) | 2009-11-25 |
JP2009507271A (ja) | 2009-02-19 |
CN103984891A (zh) | 2014-08-13 |
WO2007016478A2 (en) | 2007-02-08 |
BRPI0616018A2 (pt) | 2011-06-07 |
EP1920338A2 (en) | 2008-05-14 |
JP2012146317A (ja) | 2012-08-02 |
CA2617204A1 (en) | 2007-02-08 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP5809084B2 (ja) | ネットワーク・セキュリティ・システムおよび方法 | |
US8782800B2 (en) | Parametric content control in a network security system | |
US7895651B2 (en) | Content tracking in a network security system | |
US8272058B2 (en) | Centralized timed analysis in a network security system | |
US8984636B2 (en) | Content extractor and analysis system | |
US11343280B2 (en) | System and method for identifying and controlling polymorphic malware | |
US10951632B2 (en) | Systems and methods for providing security services during power management mode | |
US20070028302A1 (en) | Distributed meta-information query in a network | |
US8474032B2 (en) | Firewall+ storage apparatus, method and system | |
US20090271863A1 (en) | Identifying unauthorized privilege escalations | |
JP2009151751A (ja) | 承認済みファイルと信頼されたドメインのデータベースを作成及び更新する方法及びシステム | |
US20210058412A1 (en) | Computer investigation method and system | |
JP2016513324A (ja) | アプリケーション制御のためのリスクベースの規則のシステム及び方法 | |
US20240086538A1 (en) | Computer investigation method and system for investigating authentication in remote host computers |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120312 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20120402 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20120402 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20121026 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130124 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130129 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20130326 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20130329 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20130517 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20131028 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20150217 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150318 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150604 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150910 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5809084 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
S533 | Written request for registration of change of name |
Free format text: JAPANESE INTERMEDIATE CODE: R313533 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |