JP5925335B2 - ネットワーク安全保護方法、装置及びシステム - Google Patents
ネットワーク安全保護方法、装置及びシステム Download PDFInfo
- Publication number
- JP5925335B2 JP5925335B2 JP2014546295A JP2014546295A JP5925335B2 JP 5925335 B2 JP5925335 B2 JP 5925335B2 JP 2014546295 A JP2014546295 A JP 2014546295A JP 2014546295 A JP2014546295 A JP 2014546295A JP 5925335 B2 JP5925335 B2 JP 5925335B2
- Authority
- JP
- Japan
- Prior art keywords
- web site
- scan
- security
- waf
- safety policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims description 36
- 230000005540 biological transmission Effects 0.000 claims description 6
- 239000000284 extract Substances 0.000 claims description 5
- 238000004590 computer program Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000012545 processing Methods 0.000 description 7
- 230000006870 function Effects 0.000 description 5
- 238000002347 injection Methods 0.000 description 5
- 239000007924 injection Substances 0.000 description 5
- 238000012986 modification Methods 0.000 description 5
- 230000004048 modification Effects 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000012790 confirmation Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000012546 transfer Methods 0.000 description 2
- 238000013475 authorization Methods 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/04—Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Transfer Between Computers (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Computer And Data Communications (AREA)
Description
本出願は、2011年12月16日に中国特許庁に提出された特許出願番号201110424804.0、発明の名称「ネットワーク安全保護方法、装置及びシステム」の優先権の利益を享受し、その全ての内容が本出願において援用される。本発明は、情報安全分野に関し、特に、ネットワーク安全保護方法、装置及びシステムに関する。
ネットワーク技術の継続的な発展に伴い、WEBは、一般的に適用可能なプラットフォームとして、だんだん多く電子政府、電子商取引、オペレータの付加価値サービスのような様々な機構のコアサービスをロードしている。WEBアプリケーションの様々なサービスに対する攻撃も多くなり、攻撃強度も大きくなる。ネットワーク情報が改竄されることを例にすると、WEBサイトの情報に不正コードがロードされるので、当該WEBサイトで公開された情報は、悪質に改竄され、その結果、当該WEBサイトが評判損失、経済的損失を受けてさらに一定の政治的影響を生む。
従来の安全装置(ファイアウォール/侵入防止システム)は、WEBアプリケーションの安全問題を解決する制限が存在する。これは、従来のネットワークファイアウォール自体のソフトウェアに一定のホールが存在し、これらのホールが容易に攻撃ウィンドウとされ、一方では、従来のネットワークファイアウォールがリアルタイムな監視機能を提供できないので、生成された防御ポリシーに遅滞性が存在するためである。
したがって、ネットワーク技術の発展に伴い、ネットワークセキュリティベンダーは、Webアプリケーションファイアウォール(Web Application Firewall:WAF)を導入してWEBサイトを保護する。しかし、従来のWAFが講じる安全保護スキームは、一般的に様々なWEBアプリケーション脅威(例えばSQL注入、盗難防止接続)に基づいて安全ポリシーを配置することにより、保護目的を達成する。しかしながら、様々なWEBアプリケーション脅威の発生は、WEBサイト自体に存在するホールと密接に関連し、WEBサイト自体のホールがWEBサイトのサービス論理と密接に関連している。SQL注入脅威を例にすると、サービスAに対してSQL操作を行う場合、サービス需要に応じて関連するパラメータaを設定し、パラメータaが一定のルールを満たす必要があり、例えばパラメータaに特殊文字が含まれていないことにより、攻撃者によって悪用され、SQL攻撃を引き起こし、WAFに当該ルールを設置して保護する必要がある。サービスB自体は、パラメータaを必要としないので、保護の必要がない。つまり、従来のWAFは、WEBサイトに対して全面的な個別化の保護ポリシーを配置することができない。
本発明の実施形態は、従来のWAFがWEBサイトに対して全面的な個別化の保護ポリシーを配置することができない問題を解決するように、ネットワーク安全保護方法、装置及びシステムを提供する。
ネットワーク安全保護方法は、
スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信するステップと、
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得するステップと、
スキャン結果をWAFに送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示するステップと、を含む。
スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信するステップと、
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得するステップと、
スキャン結果をWAFに送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示するステップと、を含む。
本発明に係るネットワーク安全装置は、スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信することに用いられる受信モジュールと、
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得することに用いられるスキャンモジュールと、
スキャン結果をWebアプリケーションファイアウォール(WAF)に送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示することに用いられる送信モジュールと、を備える。
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得することに用いられるスキャンモジュールと、
スキャン結果をWebアプリケーションファイアウォール(WAF)に送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示することに用いられる送信モジュールと、を備える。
本発明に係るネットワーク安全保護システムは、
スキャンタスクを受信し、そしてスキャンタスクにおけるスキャンすべきWEBサイトのアドレス情報に基づいて前記WEBサイトと接続を確立し、前記WEBサイトのセキュリティホールをスキャンして、スキャン結果を取得してWAFに送信することに用いられるネットワーク安全装置と、
ネットワーク安全装置から送信されたスキャン結果を受信し、そして前記スキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することに用いられるWebアプリケーションファイアウォールと、を備える。
スキャンタスクを受信し、そしてスキャンタスクにおけるスキャンすべきWEBサイトのアドレス情報に基づいて前記WEBサイトと接続を確立し、前記WEBサイトのセキュリティホールをスキャンして、スキャン結果を取得してWAFに送信することに用いられるネットワーク安全装置と、
ネットワーク安全装置から送信されたスキャン結果を受信し、そして前記スキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することに用いられるWebアプリケーションファイアウォールと、を備える。
本発明の有益な効果は、次の通りである。
本発明の実施形態において、ネットワーク安全装置が受信されたスキャンタスクに基づいて、当該スキャンタスクに指定されたWEBサイトに対してセキュリティホールのスキャンを行い、スキャン結果を取得した後、WAFが受信されたスキャン結果に基づいてWEBサイトのために個別化の保護ポリシーを配置するようにスキャン結果をWAFに送信し、これにより、WEBサイトに全面的な個別化の安全配置を行うことができない問題を解決する。
本発明の目的を達成するために、本実施形態は、ネットワーク安全装置が受信されたスキャンタスクに基づいて、当該スキャンタスクに指定されたWEBサイトに対してセキュリティホールのスキャンを行い、スキャン結果を取得した後、WAFが受信されたスキャン結果に基づいてWEBサイトのために個別化の安全ポリシーを配置するようにスキャン結果をWAFに送信し、これによりWAFがWEBサイトに対して全面的な個別化の安全配置を行うことができない問題を克服するネットワーク安全保護方法、装置及びシステムを提供する。
本発明の各実施形態に係るネットワーク安全装置は、WEBサイトのセキュリティホールへの遠隔スキャン機能を備える装置である。前記ネットワーク安全装置は、「クラウドセキュリティ」メカニズムに基づいて、ホールデータベースのリアルタイムな更新を保証することができる。WEBサイトのセキュリティーバグへのスキャン機能を備える装置は、ネットワークセキュリティプラットフォーム(Web,Security Platform:WSP)であってもよく、前記WSPは、WEBサイトにインストールされなく、WAFのトリガによって、WEBサイトに遠隔スキャンサービスを提供することができる。
以下、添付図面を参照して本発明の実施形態を詳しく説明する。
〈実施形態1〉
図1は、本実施形態1のネットワーク安全保護方法のフローチャートである。当該方法は、ステップ101と、ステップ102と、ステップ103と、ステップ104とを含む。以下、ステップごとに説明する。
〈実施形態1〉
図1は、本実施形態1のネットワーク安全保護方法のフローチャートである。当該方法は、ステップ101と、ステップ102と、ステップ103と、ステップ104とを含む。以下、ステップごとに説明する。
ステップ101:ネットワーク安全装置は、スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信する。
このステップ101において、スキャンすべきWEBサイトは、ネットワーク側ローカルのセキュリティーバグをスキャンすることを望む場合、WAFにより、ネットワーク安全装置へスキャンタスクを送信して、当該WEBサイトに対してセキュリティーバグをスキャンするようにネットワーク安全装置に要求する。
ネットワーク安全装置がスキャンタスクを取得する方式は、多様であって、例えば、WAFによりスキャンタスクをネットワーク安全装置に送信する、又は、人工的に送信する方式でスキャンタスクを取得する。そのため、ここではネットワーク安全装置がスキャンタスクを受信する方式を具体的に限定しない。
ネットワーク安全装置により受信されたスキャンタスクにおけるアドレス情報は、WEBサイトからWAFへ送信されるスキャン要求に含まれるアドレスであってもよく、WEBサイトとWAFがシグナリングを交換する場合に、WAFが確定したWEBサイトのアドレス情報、例えばWEBサイトのIPアドレス情報、サイト情報又はユニフォームリソースロケータ(Uniform Resource Locator:URL)などであってもよい。ネットワーク安全装置がスキャンタスクを取得する方式が異なるかもしれないので、本実施形態において他の方式で確定されるWEBサイトのアドレス情報に限られない。
ステップ102:ネットワーク安全装置は、前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのネットワークの安全装置はWEBサイトのセキュリティホールをスキャンして、スキャン結果を取得する。
ステップ102:ネットワーク安全装置は、前記アドレス情報に基づいてセキュリティーバグをスキャンして、スキャン結果を取得する。
このステップ102において、ネットワーク安全装置は、受信されたスキャンタスクに含まれるWEBサイトのアドレス情報に基づいて当該アドレス情報に対応するWEBサイトと接続を確立し、例えばHTTP(Hypertext Transfer Protocol:ハイパーテキスト転送プロトコル)などのネットワーク接続を確立する。
ネットワーク安全装置は、前記WEBサイトと接続を確立した後、WEBサイトに対してセキュリティーバグをスキャンして、スキャン結果を取得することができる。
前記セキュリティーバグは、現在WEBサイトがハードウェア、ソフトウェア、ネットワークプロトコルの具体的な実現又はシステム安全ポリシーに存在する欠陥、又は、現在WEBサイトのコンポーネント、アプリケーションプログラム、またはその他のオンラインリソースに非意図的に残って保護されていないエントリポイントであり、当該保護されないエントリポイントにより、攻撃者が許可されない場合でもシステムにアクセスすること、または損傷を与えることが可能となる。
前記スキャン結果とは、ネットワーク安全装置が現在のWEBサイトに存在するセキュリティーバグをスキャンした後に生成されたスキャンレポートであり、ここで、前記スキャン結果は、
ネットワーク安全装置がセキュリティーバグをスキャンする時間を表すホールスキャン時間、
WEBサイトにセキュリティーバグが発生するアドレス情報を表すホールスキャンアドレス、
ホールスキャンアドレスにおいて存在するセキュリティーバグの属性情報を表すセキュリティーバグ情報を含む。
ネットワーク安全装置がセキュリティーバグをスキャンする時間を表すホールスキャン時間、
WEBサイトにセキュリティーバグが発生するアドレス情報を表すホールスキャンアドレス、
ホールスキャンアドレスにおいて存在するセキュリティーバグの属性情報を表すセキュリティーバグ情報を含む。
SQL注入攻撃を例にすると、生成されたスキャンレポートに2011−11−15、15:30:2、http://www.AAA.com/BBB.html?prodID=x’y’zという情報が含まれ、pordIDパラメータに特殊文字の一重引用符が含まれ、WAFにおいて安全ポリシールールに特定パラメータに対する特殊文字検出ルールが存在し、特定パラメータにpordIDが含まれないので、SQL注入攻撃の脅威があり、即ちWEBサイトにWebページが改竄されるセキュリティーバグがある。
ステップ103:ネットワーク安全装置は、スキャン結果をWAFに送信する。
このステップ103のスキームにおいて、ネットワーク安全装置は、WEBサイトに対するスキャンを完了してスキャン結果を取得した後に、スキャン結果をWAFに能動的に送信することができ、WAFによりネットワーク安全装置のスキャン状態を監視することもでき、ネットワーク安全装置がスキャンを終了したことを確定した場合、WAFが取得結果を取得するようにネットワーク安全装置に要求すると、ネットワーク安全装置は、スキャン結果を生成してWAFに送信する。
ステップ104:WAFは、受信されたスキャン結果に基づいて前記WEBサイトに安全ポリシーを配置する。
前記安全ポリシーとは、現在のWEBに存在するセキュリティーバグに対して、対応する保護ポリシー配置を行ってWEBサイトに現在存在するセキュリティーバグに起因する脅威を防止して、WEBサイトへの安全脅威を低減させる。
このステップ104のスキームにおいて、WAFは、受信されたスキャン結果に記載されたセキュリティーバグ情報に基づいて、前記セキュリティーバグの発生原因を分析し、さらに前記WEBサイトのために対応する安全ポリシーを配置する。SQL注入攻撃例において、WAFは、スキャン結果に基づいて、対応する安全ポリシーを再配置して、prodIDパラメータを、特定パラメータに対して特殊文字を検出するルールに添加する。
本発明の実施形態1のスキームによれば、ネットワーク安全装置は、受信されたスキャンタスクに基づいて、WEBサイトに対してセキュリティホールのスキャンを行い、当該WEBサイトに対するスキャン結果を生成して、WAFが当該スキャン結果に基づいて当該WEBサイトの現在の実際な状態に対する安全ポリシーを配置することが可能になる。つまり、WAFの保護能力とネットワーク安全装置のスキャン能力が統合され、ネットワーク安全装置がより全面的にWEBサイトのセキュリティホールをスキンすることができるので、本発明の実施形態1のスキームにより、WEBサイトに存在するセキュリティホールを全面的にスキャンし、そしてさらにWAFによりスキャン結果に対して安全ポリシーの配置を知的に行って、安全ポリシー(バーチャルパッチと呼ばれてもよい)を生成してWEBサイトを保護することができる。一方で、当該WEBサイトに対して、当該WEBサイトの安全性を大幅に向上し、他方では、当該WEBサイトに所属する顧客に対して、より良いWEB保護体験をもたらす。
〈実施形態2〉
図2は本実施形態2におけるネットワーク安全保護方法のフローチャートである。本実施形態2におけるネットワーク安全装置は、WSPであると仮定する場合、本実施形態2のスキームは、具体的にステップ201と、ステップ202と、ステップ203と、ステップ204と、ステップ205と、ステップ206と、ステップ207と、ステップ208と、ステップ209と、ステップ2010とを含む。以下、ステップごとに詳しく説明する。
図2は本実施形態2におけるネットワーク安全保護方法のフローチャートである。本実施形態2におけるネットワーク安全装置は、WSPであると仮定する場合、本実施形態2のスキームは、具体的にステップ201と、ステップ202と、ステップ203と、ステップ204と、ステップ205と、ステップ206と、ステップ207と、ステップ208と、ステップ209と、ステップ2010とを含む。以下、ステップごとに詳しく説明する。
ステップ201:WAFは、WEBサイトから送信されたスキャン要求を受信する。
ステップ202:WAFは、前記WEBサイトのアドレス情報とスキャンタスク情報をスキャンタスクに含ませて、WSPに送信する。
前記スキャンタスク情報は、スキャン時間とスキャンタスク項目を含む。
前記スキャン時間は、WSPがWEBサイトをスキャンする開始時間を表し、好ましくは、前記スキャン時間は、さらにWEBサイトをスキャンする必要がある周期を含むことができ、WSPが当該開始時間から、WEBサイトを周期的にスキャンするようにする。
前記スキャンタスクは、具体的に、グローバル一意識別子ID、スキャンすべきWEBサイトのドメイン名、WEBサイトにおけるスキャンすべきディスクスペース識別子及びスキャンのためのプラグイン情報などを含むことができる。
ステップ203:WSPは、WAFから送信されたスキャンタスクを受信した後、WAFに予め設定された証明書情報に基づいて、スキャン要求を送信するWAFを認証し、認証が通過した場合、ステップ204を実行し、そうでなければ、ステップ202を実行する。
このステップ230において、通信データ伝送の機密性を保障するために、エンドツーエンド認証メカニズムを導入し、具体的に、このステップ203の実行方式は、次の通りである。
まず、WSPは、初期化する時にセキュアソケットレイヤー(Secure Socket Layer:SSL)証明書(キーKey及びバージョン番号Certを含む)をWAFに予め設定し、WAFから送信されたスキャン要求を受信した場合、受信されたデータの正確性を確保するために、WAFへSSL証明書識別子(例えばSSL証明書のバージョン番号など)が含まれるメッセージを送信する。
次に、WAFは、受信されたSSL証明書識別子に基づいて対応するSSL証明書を検索し、そして検索されたSSL証明書におけるKeyを用いて当該SSL証明書におけるCertを暗号化し、そして暗号化結果をWSPに返す。
最後に、WSPは、ローカルに記憶された前記SSL証明書識別子に対応するSSL証明書識別子におけるKeyに基づいて、受信された暗号化結果を復号化し、そして復号化されたCertが合法的なものであると判断した場合、当該WAFに対する認証を通過する。
また、上述したWSPのWAFに対する認証方式に加えて、WSPは、OAUTHプロトコル認証方式を用いてWAFを認証することができる。
前記OAUTHプロトコルは、ユーザリソースの許可のために安全で、オープンでシンプルな標準を提供する。従来の許可方式と異なる点は、OAUTHの許可により第三者がユーザのアカウント情報(例えばユーザ名とパスワード)に触れることはなく、即ち第三者がユーザのユーザ名とパスワードを用いるこことなく当該ユーザリソースの許可を申請して取得することができることである。したがってOAUTHプロトコルを用いて認証することは安全である。
前記WAFは、ステップ202にWSPに対して上記の認証を行った後に、WSPスキャンタスクを送信することもできると説明すべきである。
ステップ204:WSPは、受信されたスキャンタスク情報に基づいて当該スキャンタスクが新しいタスクであるかどうかを判断し、新しいタスクであれば、ステップ205を実行し、そうでなければ、ステップ202を実行する。
具体的には、WSPは、スキャンタスクを受信した後に、ここでのスキャンタスク情報を識別し、そしてスキャンタスク情報におけるスキャンタスクIDに基づいて、現在実行されるスキャンタスクが新しいタスクであるかどうかを判断する。
ステップ205:WSPは、前記WEBサイトのアドレス情報に基づいて前記WEBサイトと接続を確立し、そして前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティホールをスキャンする。
ステップ203と同様に、このステップ205において、WSPは、WEBサイトとエンドツーエンド認証を行うこともでき、即ちWSPは、ステップ203のスキームに基づいてWEBサイトを認証するとともに、WEBサイトは、自身の安全を保障するためにWSPを認証することもでき、WEBサイトのWSPに対する認証が通過した後、WSPのWEBに対するスキャンを許可する。
具体的には、WEBサイトのWSPに対する認証方式は、次の通りである。
ステップ1:WEBサイトは、WSPへ識別コードとSSL証明書識別子を送信する。
ステップ2:WSPは、受信されたSSL証明書識別子を用いて、対応するSSL証明書(Key及びCertを含む)を検索する。
ステップ3:WSPは、識別コード、検索されたSSL証明書におけるKey及びCertに基づいて暗号化演算を行って、第一の暗号化結果を取得する。
ステップ4:WSPは、第一の暗号化結果を前記WEBサイトに送信する。
ステップ5:WEBサイトは、識別コード、ローカルに記憶されたSSL証明書におけるKey及びCertに基づいて暗号化演算を行って、第二の暗号化結果を取得する。
ステップ6:WEBサイトは、受信された第一の暗号化結果と計算された第二の暗号化結果を比較し、第一の暗号化結果と第二の暗号化結果が一致すると、WSPに対する認証が通過し、それに対するスキャンを許可し、そうでなければ、WSPに対する認証は通過せず、それに対するスキャンを拒否し、そして結果をWAFに通知する。
また、本実施形態2においてOAUTHプロトコル認証方式を用いるのに限定されるものではない。
ステップ206:WAFは、WSPへスキャン終了確認メッセージを送信し、WSPの現在のスキャン状態を確定する。
WSPがWEBサイトをスキャンする過程に、WAFは、WSPへスキャン終了確認メッセージを受信した後に、WSPから返された応答メッセージを受信しない場合、WSPが依然としてWEBサイトをスキャンすることを確定し、WSPから返された応答メッセージを受信した場合、WSPのWEBサイトに対するスキャンが終了することを確定する。
ステップ207:WAFは、WSPが今回のスキャンタスクを完了するかどうかを判断し、完了すれば、ステップ208を実行し、完了しなければ、WSPのスキャン状態を監視し続けて、ステップ206を実行する。
ステップ206とステップ207は、本実施形態の好ましいステップであるが、本実施形態の必須なステップではないと理解すべきである。ステップ206とステップ207は、WAFのWSPスキャンプロセスに対する監視により、スキャン結果レポートをリアルタイムに取得し、さらにWEBサイトのために個別化の安全ポリシーを配置することができる。
ステップ208:WSPは、前記WEBサイトに対するセキュリティホールスキャンを完了して、スキャン結果を取得する。
このステップ208において、WSPは、スキャン結果におけるセキュリティホール情報を解析し、前記セキュリティホール情報の特徴コードを抽出し、そしてスキャンされたセキュリティホールによって引き起こすかもしれないネットワーク脅威結果を確定する。
ステップ209:WSPは、スキャン結果をWAFに送信する。
具体的には、WSPは、取得されたスキャン結果を拡張可能マークアップ言語(Extensible Markup Language:XLM)及び/又はハイパーテキストマークアップ言語(Hyper Text Markup Language:HTML)フォーマットのスキャン結果レポートに変換し、当該スキャン結果レポートに現在のWEBサイトに存在する関連セキュリティホールを示し、ここで、当該スキャン結果レポートの内容がスキャンされたWEBサイトのアドレス情報、スキャンされたセキュリティホールの属性情報、引き起こすかもしれないセキュリティホール脅威結果及び現在のセキュリティホールの表現形態などを含む。
ステップ210:WAFは、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置する。
このステップ210の具体的なスキームは、次の通りである。
まず、WAFは、スキャン結果をデータパケットに圧縮させて、ローカルに当該WEBサイトに配分されたドメインフォルダにダウンロードし、そしてスキャン結果レポートを解凍して生成してWEBサイトにフィードバックする。
WAFは、前記セキュリティホール情報を解析し、前記セキュリティホール情報の特徴コードを抽出し、そしてローカルルールベースに当該特徴コード及び当該特徴コードに対応する安全ポリシーが記憶されるどうかを検索し、具体的に以下の3つの場合を含む。
場合一:WAFは、ルールベースに当該特徴コードを検索した場合、且つ当該特徴コードに対して対応する安全ポリシーを配置した場合、直接ローカルルールベースに記憶された安全ポリシーを前記WEBサイトのために配置された安全ポリシーとすることができる。
受信されたセキュリティホール情報における特徴コードに対して1つの対応する安全ポリシーを記憶する、つまり、当該特徴コードと配置された安全ポリシーが「一対一」の関係である場合、WAFは、ローカルルールベースに記憶された特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとして確定することができ、当該特徴コードに対する安全ポリシーが当該特徴コードと配置された安全ポリシーが「一対一」の関係にあれば、WAFは、上記いずれかの安全ポリシーを、前記WEBサイトのために配置された安全ポリシーとして確定することができる。
好ましくは、WAFは、特徴コードと配置された安全ポリシーが「一対一」の関係であることを確定した場合、ローカルルールベースにおける当該特徴コードを生成する時間と安全ポリシーを配置する時間を検索し、最近の時間に配置された当該特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとして確定することができる。
場合二:WAFは、ローカルルールベースに当該特徴コードを検索したが、当該特徴コードに対して対応する安全ポリシーを配置しない場合、WAFは、確定された特徴コードと保護ルールに基づいて、対応する安全ポリシーを配置し、当該特徴コードに対応して配置された安全ポリシーをローカルルールベースに記憶し、且つ配置された前記安全ポリシーを前記WEBサイトのために配置された安全ポリシーとする。
場合三:WAFは、ローカルルールベースに当該特徴コードを検索しない場合、当該特徴コードをローカルルールに書き込み、且つ保護ルールに基づいて当該特徴コードのために対応する安全ポリシーを配置し、ローカルルールベースを更新し、当該特徴コードと対応する安全ポリシーをローカルルールに記憶し、配置された前記安全ポリシーを前記WEBサイトのために配置された安全ポリシーする。
好ましくは、本実施形態において、WAFは、WEBサイトから送信されたスキャン要求を受信した後に、WEBサイトに対する認証要求(認証方式がステップ203又はステップ205と同じである)を開始し、認証が通過した後、WEBサイトをスキャンし、そしてスキャン結果に基づいてWEBサイトのために対応する安全ポリシーを配置することができる。
好ましくは、WSPのWEBサイトに対するスキャンプロセスに、WAFは、当該WEBサイトをスキャンして、当該WEBサイトに対する並列スキャンを実現することもできる。当然、WAFは、WSPがスキャンする前またはスキャンを完了した後に、当該WEBサイトをスキャンすることもできる。
〈実施形態3〉
図3は本実施形態3におけるネットワーク安全装置の構造を示す図である。当該装置は、送信モジュール31、スキャンモジュール32と送信モジュール33を備える。
図3は本実施形態3におけるネットワーク安全装置の構造を示す図である。当該装置は、送信モジュール31、スキャンモジュール32と送信モジュール33を備える。
受信モジュール31は、スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信することに用いられる。
スキャンモジュール32は、受信モジュール31により受信された前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、前記WEBサイトのセキュリティホールをスキャンして、スキャン結果を取得することに用いられる。
送信モジュール33は、スキャンモジュール32により取得されたスキャン結果をWAFに送信し、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示することに用いられる。
具体的には、前記スキャンモジュール32は、具体的に、前記スキャンタスク情報がスキャン時間とスキャンタスクを含む時に、前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティホールをスキャンすることに用いられる。
好ましくは、当該装置は、認証モジュール34をさらに備える。ここで、認証モジュール34は、前記WEBサイトのセキュリティホールをスキャンする前に、WAFに予め設定された証明書情報に基づいて、スキャンタスクを送信するWAFを認証し、WEBサイトローカルに記憶された証明書情報に基づいて、前記WEBサイトを認証することに用いられる。
〈実施形態4〉
図4は、本実施形態4のネットワーク安全保護システムの構造を示す図である。当該システムは、ネットワーク安全装置41、Webアプリケーションファイアウォール42を備える。
図4は、本実施形態4のネットワーク安全保護システムの構造を示す図である。当該システムは、ネットワーク安全装置41、Webアプリケーションファイアウォール42を備える。
ネットワーク安全装置41は、スキャンタスクを受信し、スキャンタスクにおけるスキャンすべきWEBサイトのアドレス情報に基づいて前記WEBサイトと接続を確立し、前記WEBサイトのセキュリティホールをスキャンし、スキャン結果を取得した後に、スキャン結果を前記Webアプリケーションファイアウォールに送信することに用いられる。
Webアプリケーションファイアウォール42は、ネットワーク安全装置41から送信されたスキャン結果を受信し、前記スキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することに用いられる。
具体的には、前記Webアプリケーションファイアウォール42は、具体的に、受信されたスキャン結果にWEBサイト内に存在するセキュリティホール情報が含まれる場合、前記セキュリティホール情報を解析し、前記セキュリティホール情報の特徴コードを抽出し、そしてローカルルールベースに当該特徴コード及び当該特徴コードに対応する安全ポリシーが記憶されているかどうかを検索し、そうであれば、ローカルルールベースに記憶された特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとし、そうでなければ、抽出されたセキュリティホール情報の特徴コードのために安全ポリシーを配置してローカルルールベースに記憶し、配置された前記安全ポリシーを前記WEBサイトの安全ポリシーとすることに用いられる。
前記ネットワーク安全装置41は、さらに、前記スキャンタスク情報にスキャン時間とスキャンタスク項目が含まれる時に、前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティホールをスキャンすることに用いられる。
当業者は、本発明の実施形態が方法、システム、又はコンピュータプログラム製品として提供されることができると理解すべきである。そのため、本発明は、完全なハードウェアの実施形態、完全なソフトウェアの実施形態、又はソフトウェアとハードウェアを組み合わせた実施形態の形態を用いることができる。且つ、本発明は、コンピュータにおいて使用可能なプログラムコードが含まれる1つ以上のコンピュータにおいて使用可能な記憶媒体(ディスクメモリ、CD-ROM、光メモリなどを含むがこれらに限られない)で実施されるコンピュータプログラム製品の形態を採用することができる。
本発明は、本発明の実施形態による方法、装置(システム)とコンピュータプログラム製品のフローチャート及び/又はブロック図を参照して説明されるものである。コンピュータプログラムの命令によりフローチャート及び/又はブロック図中の各プロセス及び/又はブロック、及びフローチャート及び/又はブロック中のプロセス及び/ブロックの組み合わせを実現することができると理解すべきである。これらのコンピュータプログラムの命令を、汎用コンピュータ、専用コンピュータ、組み込みプロセッサ又は他のプログラム可能なデータ処理装置のプロセッサに提供して1つのマシンを生成することができ、これによりコンピュータ又は他のプログラム可能なデータ処理装置のプロセッサが実行する命令により、フローチャートの1つ以上のプロセス及び/又はブロック図の1つ以上のブロック中に指定された機能を実現するための装置を生成することが可能である。
これらのコンピュータプログラムの命令は、コンピュータ又は他のプログラム可能なデータ処理装置が特定の方式で動作するようにガイドできるコンピュータ読み取り可能なメモリに記憶されることができ、それによって当該コンピュータ読み取り可能なメモリに記憶された命令により、命令装置が含まれる製造品を生成する。当該命令装置は、フローチャートの1つ以上のプロセス及び/ブロック図の1つ以上のブロック中に指定された機能を実現する。
これらのコンピュータプログラムの命令は、コンピュータ又は他のプログラム可能なデータ処理装置にロードされることができ、コンピュータ又はプログラム可能なデータ処理装置で一連の操作ステップを実行して、コンピュータで実現される処理を生成し、それによってコンピュータ又はプログラム可能なデータ処理装置で実行された命令により、フローチャートの1つ以上のプロセス及び/ブロック図の1つ以上のブロック中に指定された機能を実現するためのステップを提供する。
本発明の好ましい実施形態を説明したにもかかわらず、当業者は、一旦基本的な創造性概念を知ると、これらの実施形態に対して別の変更と修正を行うことができる。したがって、添付した特許請求の範囲は、好ましい実施形態及び本発明の範囲に含まれるすべての変更と修正を含むことを意図する。
明らかに、当業者は、本発明の実施形態の精神および範囲から逸脱することなく、本発明の実施形態に対して様々な修正及び変形を行うことができる。このようにして、本発明の実施形態のこれらの修改及び変形が本発明の特許請求及びその同等技術の範囲に含まれると、本発明もこれらの変更及び変形を含むことを意図する。
Claims (9)
- スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信するステップと、
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、かつ前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得するステップと、
スキャン結果をWebアプリケーションファイアウォール(WAF)に送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示するステップと、を含み、
前記スキャン結果に、WEBサイト内に存在するセキュリティーバグ情報が含まれ、
WAFが受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することは、
WAFが前記セキュリティーバグ情報を解析し、前記セキュリティーバグ情報の特徴コードを抽出し、かつローカルルールベースに当該特徴コード及び当該特徴コードに対応する安全ポリシーが記憶されるかどうかを検索し、
そうであれば、WAFがローカルルールベースに記憶された特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとし、
そうでなければ、WAFが抽出されたセキュリティーバグ情報の特徴コードのために安全ポリシーを配置してローカルルールベースに記憶し、配置された前記安全ポリシーを前記WEBサイトのために配置された安全ポリシーとすることを含むことを特徴とするネットワーク安全保護方法。 - 前記スキャンタスクにスキャン時間とスキャンタスク項目がさらに含まれ、
前記WEBサイトのセキュリティーバグをスキャンすることは、具体的に、
前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティーバグをスキャンすることを含むことを特徴とする請求項1に記載の方法。 - 前記WEBサイトのセキュリティーバグをスキャンする前に、前記方法は、
WAFに予め設定された証明書情報に基づいて、スキャン要求を送信するWAFを認証し、WEBサイトローカルに記憶された証明書情報に基づいて、前記WEBサイトを認証するステップをさらに含むことを特徴とする請求項1に記載の方法。 - スキャンすべきWEBサイトのアドレス情報が含まれるスキャンタスクを受信することに用いられる受信モジュールと、
前記アドレス情報に基づいて前記スキャンすべきWEBサイトと接続を確立し、そして前記WEBサイトのセキュリティーバグをスキャンして、スキャン結果を取得することに用いられるスキャンモジュールと、
スキャン結果をWebアプリケーションファイアウォール(WAF)に送信して、受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置するように前記WAFに指示することに用いられる送信モジュールと、を備え、
前記スキャン結果に、WEBサイト内に存在するセキュリティーバグ情報が含まれ、
WAFが受信されたスキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することは、
WAFが前記セキュリティーバグ情報を解析し、前記セキュリティーバグ情報の特徴コードを抽出し、かつローカルルールベースに当該特徴コード及び当該特徴コードに対応する安全ポリシーが記憶されるかどうかを検索し、
そうであれば、WAFがローカルルールベースに記憶された特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとし、
そうでなければ、WAFが抽出されたセキュリティーバグ情報の特徴コードのために安全ポリシーを配置してローカルルールベースに記憶し、配置された前記安全ポリシーを前記WEBサイトのために配置された安全ポリシーとすることを含むことを特徴とするネットワーク安全装置。 - 前記スキャンモジュールは、具体的に、前記スキャンタスク情報にスキャン時間とスキャンタスク項目が含まれる時に、前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティーバグをスキャンすることに用いられることを特徴とする請求項4に記載の装置。
- 前記WEBサイトのセキュリティーバグをスキャンする前に、WAFに予め設定された証明書情報に基づいて、スキャンタスクを送信するWAFを認証し、WEBサイトローカルに記憶された証明書情報に基づいて、前記WEBサイトを認証することに用いられることを特徴とする請求項4に記載の装置。
- 請求項4に記載のネットワーク安全装置と、
ネットワーク安全装置から送信されたスキャン結果を受信し、そして前記スキャン結果に基づいて前記WEBサイトのために安全ポリシーを配置することに用いられるWebアプリケーションファイアウォールと、を備えるネットワーク安全保護システム。 - 前記Webアプリケーションファイアウォールは、受信されたスキャン結果にWEBサイト内に存在するセキュリティーバグ情報が含まれる場合に、前記セキュリティーバグ情報を解析し、前記セキュリティーバグ情報の特徴コードを抽出し、そしてローカルルールベースに当該特徴コード及び当該特徴コードに対応する安全ポリシーが記憶されるかどうかを検索し、そうであれば、ローカルルールベースに記憶された特徴コードに対応する安全ポリシーを前記WEBサイトのために配置された安全ポリシーとし、そうでなければ、抽出されたセキュリティーバグ情報の特徴コードのために安全ポリシーを配置してローカルルールベースに記憶し、配置された前記安全ポリシーを前記WEBサイトの安全ポリシーとすることに用いられることを特徴とする請求項7に記載のシステム。
- 前記ネットワーク安全装置は、さらに前記スキャンタスク情報にスキャン時間とスキャンタスク項目が含まれる時に、前記スキャン時間になる場合、前記スキャンタスク項目に基づいて前記WEBサイトのセキュリティーバグをスキャンすることに用いられることを特徴とする請求項7に記載のシステム。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201110424804.0A CN102523218B (zh) | 2011-12-16 | 2011-12-16 | 一种网络安全防护方法、设备和系统 |
| CN201110424804.0 | 2011-12-16 | ||
| PCT/CN2012/086366 WO2013086968A1 (zh) | 2011-12-16 | 2012-12-11 | 一种网络安全防护方法、设备和系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2015510618A JP2015510618A (ja) | 2015-04-09 |
| JP5925335B2 true JP5925335B2 (ja) | 2016-05-25 |
Family
ID=46294010
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014546295A Active JP5925335B2 (ja) | 2011-12-16 | 2012-12-11 | ネットワーク安全保護方法、装置及びシステム |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9485261B2 (ja) |
| JP (1) | JP5925335B2 (ja) |
| CN (1) | CN102523218B (ja) |
| WO (1) | WO2013086968A1 (ja) |
Families Citing this family (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102523218B (zh) * | 2011-12-16 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
| CN103051613B (zh) * | 2012-12-13 | 2015-08-19 | 北京星网锐捷网络技术有限公司 | 一种报文检测扫描方法、装置及网络安全设备 |
| CN103685258B (zh) * | 2013-12-06 | 2018-09-04 | 北京奇安信科技有限公司 | 一种快速扫描网站漏洞的方法和装置 |
| CN103685274A (zh) * | 2013-12-16 | 2014-03-26 | 北京奇虎科技有限公司 | 网站防护方法及装置 |
| US9405904B1 (en) * | 2013-12-23 | 2016-08-02 | Symantec Corporation | Systems and methods for providing security for synchronized files |
| CN106161362A (zh) * | 2015-04-03 | 2016-11-23 | 阿里巴巴集团控股有限公司 | 一种网络应用防护方法与设备 |
| CN105141573B (zh) * | 2015-06-11 | 2018-12-04 | 杭州安恒信息技术有限公司 | 一种基于web访问合规性审计的安全防护方法和系统 |
| CN107493256B (zh) * | 2016-06-13 | 2020-11-20 | 深信服科技股份有限公司 | 安全事件防御方法及装置 |
| CN106130980A (zh) * | 2016-06-23 | 2016-11-16 | 杭州迪普科技有限公司 | 一种漏洞扫描方法及装置 |
| CN109246134B (zh) * | 2016-08-25 | 2021-04-06 | 杭州数梦工场科技有限公司 | 一种报文控制方法和装置 |
| CN107395593B (zh) * | 2017-07-19 | 2020-12-04 | 深信服科技股份有限公司 | 一种漏洞自动化防护方法、防火墙及存储介质 |
| CN108282489B (zh) * | 2018-02-07 | 2020-01-31 | 网宿科技股份有限公司 | 一种漏洞扫描方法、服务端及系统 |
| CN109819337A (zh) * | 2019-02-02 | 2019-05-28 | 湖南快乐阳光互动娱乐传媒有限公司 | 一种视频文件下载防盗链方法、系统及介质 |
| CN109905731A (zh) * | 2019-02-22 | 2019-06-18 | 湖南快乐阳光互动娱乐传媒有限公司 | 可防通行证盗用的视频文件下载防盗链方法、系统及介质 |
| CN109831452A (zh) * | 2019-03-07 | 2019-05-31 | 北京华安普特网络科技有限公司 | 一种分布式防火墙 |
| CN109818984A (zh) * | 2019-04-10 | 2019-05-28 | 吉林亿联银行股份有限公司 | 漏洞的防御方法及装置 |
| CN112087455B (zh) * | 2020-09-10 | 2022-10-21 | 杭州安恒信息技术股份有限公司 | 一种waf站点防护规则生成方法、系统、设备及介质 |
| CN112583790A (zh) * | 2020-11-05 | 2021-03-30 | 贵州数安汇大数据产业发展有限公司 | 基于多证据实体的安全威胁智能发现方法 |
| CN112565298B (zh) * | 2020-12-25 | 2023-05-02 | 北京知道创宇信息技术股份有限公司 | 漏洞扫描方法、装置和电子设备 |
| CN112532658B (zh) * | 2021-02-08 | 2021-05-07 | 腾讯科技(深圳)有限公司 | 云网络逃逸事件扫描方法、装置及计算机可读存储介质 |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1160899C (zh) * | 2002-06-11 | 2004-08-04 | 华中科技大学 | 分布式网络动态安全保护系统 |
| CN100376092C (zh) * | 2002-12-13 | 2008-03-19 | 联想网御科技(北京)有限公司 | 防火墙与入侵检测系统联动的方法 |
| US7624422B2 (en) * | 2003-02-14 | 2009-11-24 | Preventsys, Inc. | System and method for security information normalization |
| US8250654B1 (en) * | 2005-01-27 | 2012-08-21 | Science Applications International Corporation | Systems and methods for implementing and scoring computer network defense exercises |
| JP2007004685A (ja) * | 2005-06-27 | 2007-01-11 | Hitachi Ltd | 通信情報監視装置 |
| CN100403706C (zh) * | 2006-01-11 | 2008-07-16 | 西安电子科技大学 | 网络安全模拟系统及其仿真方法 |
| EP1992141B1 (en) * | 2006-03-03 | 2016-11-16 | Brocade Communications Systems, Inc. | Distributed web application firewall |
| CN100588206C (zh) * | 2006-04-30 | 2010-02-03 | 飞塔公司 | 一种计算机网络风险评估的装置及其方法 |
| JP2009237807A (ja) * | 2008-03-26 | 2009-10-15 | Nippon Telegr & Teleph Corp <Ntt> | 脆弱性診断実施装置および診断スケジュール作成プログラム |
| CN101631108B (zh) * | 2008-07-16 | 2012-12-12 | 国际商业机器公司 | 为网络服务器的防火墙产生规则文件的方法和系统 |
| US8261342B2 (en) * | 2008-08-20 | 2012-09-04 | Reliant Security | Payment card industry (PCI) compliant architecture and associated methodology of managing a service infrastructure |
| CN101610264B (zh) * | 2009-07-24 | 2011-12-07 | 深圳市永达电子股份有限公司 | 一种防火墙系统、安全服务平台及防火墙系统的管理方法 |
| US9473457B2 (en) * | 2009-10-22 | 2016-10-18 | International Business Machines Corporation | Interactive management of web application firewall rules |
| JP5499805B2 (ja) * | 2010-03-19 | 2014-05-21 | 日本電気株式会社 | 情報処理装置、情報処理システム、情報処理方法並びに情報処理プログラム |
| CN102104601B (zh) * | 2011-01-14 | 2013-06-12 | 无锡市同威科技有限公司 | 一种基于渗透技术的web漏洞扫描方法和漏洞扫描器 |
| CN102523218B (zh) * | 2011-12-16 | 2015-04-08 | 北京神州绿盟信息安全科技股份有限公司 | 一种网络安全防护方法、设备和系统 |
-
2011
- 2011-12-16 CN CN201110424804.0A patent/CN102523218B/zh active Active
-
2012
- 2012-12-11 JP JP2014546295A patent/JP5925335B2/ja active Active
- 2012-12-11 WO PCT/CN2012/086366 patent/WO2013086968A1/zh active Application Filing
- 2012-12-11 US US14/365,601 patent/US9485261B2/en active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN102523218B (zh) | 2015-04-08 |
| JP2015510618A (ja) | 2015-04-09 |
| WO2013086968A1 (zh) | 2013-06-20 |
| US20140373125A1 (en) | 2014-12-18 |
| US9485261B2 (en) | 2016-11-01 |
| CN102523218A (zh) | 2012-06-27 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP5925335B2 (ja) | ネットワーク安全保護方法、装置及びシステム | |
| CN111935169B (zh) | 一种业务数据访问方法、装置、设备及存储介质 | |
| US9992176B2 (en) | Systems and methods for encrypted communication in a secure network | |
| US20200328885A1 (en) | Enhanced monitoring and protection of enterprise data | |
| EP2696557B1 (en) | System and method for accessing third-party applications based on cloud platform | |
| US9608966B2 (en) | Information handling device, information output device, and recording medium | |
| WO2016201352A1 (en) | Code signing system with machine to machine interaction | |
| JP2004288169A (ja) | ネットワーク接続システム | |
| US20160365981A1 (en) | Code signing system with machine to machine interaction | |
| US20110107410A1 (en) | Methods, systems, and computer program products for controlling server access using an authentication server | |
| CN109040079A (zh) | 直播链接地址的组建和验证方法及相应装置 | |
| CN111460410A (zh) | 服务器登录方法、装置、系统与计算机可读存储介质 | |
| JP2006260027A (ja) | 検疫システム、およびvpnとファイアウォールを用いた検疫方法 | |
| CN104811421A (zh) | 基于数字版权管理的安全通信方法及装置 | |
| CN104243171A (zh) | 反馈数据的全文保护、校验方法和装置 | |
| KR101619928B1 (ko) | 이동단말기의 원격제어시스템 | |
| JP4005090B2 (ja) | 通信プロファイル自動配布設定システムおよび方法ならびに管理装置、プログラム | |
| CN111274570A (zh) | 一种加密认证方法、装置、服务器、可读存储介质及空调器 | |
| CN111385258A (zh) | 一种数据通信的方法、装置、客户端、服务器和存储介质 | |
| US9633207B2 (en) | Method for downloading at least one software component onto a computing device, and associated computer program product, computing device and computer system | |
| CN115623013A (zh) | 一种策略信息同步方法、系统及相关产品 | |
| JP5834118B2 (ja) | 情報操作装置、情報出力装置および情報操作プログラム | |
| Balisane et al. | Trusted execution environment-based authentication gauge (TEEBAG) | |
| KR102534012B1 (ko) | 컨텐츠 제공자의 보안등급을 인증하는 시스템 및 그 방법 | |
| Torgilsman et al. | Ethical hacking of a Robot vacuum cleaner |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150715 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150804 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20151016 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160329 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160419 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5925335 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |