JP6046276B2 - ネットワークでのアプリケーションアウェアネスの方法及び装置 - Google Patents

ネットワークでのアプリケーションアウェアネスの方法及び装置 Download PDF

Info

Publication number
JP6046276B2
JP6046276B2 JP2015557980A JP2015557980A JP6046276B2 JP 6046276 B2 JP6046276 B2 JP 6046276B2 JP 2015557980 A JP2015557980 A JP 2015557980A JP 2015557980 A JP2015557980 A JP 2015557980A JP 6046276 B2 JP6046276 B2 JP 6046276B2
Authority
JP
Japan
Prior art keywords
network
application
network socket
context
event request
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015557980A
Other languages
English (en)
Other versions
JP2016514295A5 (ja
JP2016514295A (ja
Inventor
フィローズ、アジーム
チェン、ビンユアン
チョプラ、アミット
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
VMware LLC
Original Assignee
VMware LLC
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by VMware LLC filed Critical VMware LLC
Publication of JP2016514295A publication Critical patent/JP2016514295A/ja
Publication of JP2016514295A5 publication Critical patent/JP2016514295A5/ja
Application granted granted Critical
Publication of JP6046276B2 publication Critical patent/JP6046276B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/44Program or device authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/168Implementing security features at a particular protocol layer above the transport layer
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)

Description

この開示は、ネットワークでのアプリケーションアウェアネスの方法及び装置に関する。
仮想化環境は、ファイアウォールルールに頼ってネットワークを悪意のあるトラフィックから保護する。そのようなファイアウォールルールは、ネットワークソケット情報に基づいて判断を行う。パケットヘッダから抽出されるポート情報が、トラフィックを許可するか、又は拒絶するためのファイアウォールルールの基本であり得る。例えば、ファイアウォールは、慣例によりHTTPトラフィックに割り当てられるネットワークポート、すなわち、ポート80上のトラフィックを遮断又は許可することにより、HTTPトラフィックを許可又は拒絶することができる。この手法は適用が容易であるが、その結果生成されるネットワークファイアウォールは信頼性が低い。例えば、アプリケーションは、HTTPトラフィックに向けてポート80を開放し、誤ってHTTPトラフィックとして識別された悪意のあるトラフィックを許可することがある。代替的には、悪意のないHTTPトラフィックが、ポート80以外のポートを通して発生し、非標準的なポートであることに起因して、悪意のある非HTTPトラフィックとして誤って処理されることがある。さらに、HTTPトラフィックとして正しく識別されるトラフィックであっても、悪意のあるトラフィックであることがある。
ディープパケット検査(DPI)が、ポート遮断への代替である。ポート遮断と比較して、DPIを用いる場合、パケットペイロードを調べて、プロトコルを特定し、様々な技法を使用して悪意のあるコンテンツを検出することができる。したがって、DPIに基づくファイアウォールは、ポート遮断よりもはるかに高い精度で悪意のあるトラフィックを識別し遮断することができる。
不都合なことに、DPIには様々な欠点がある。パケット検査には、ネットワーク待ち時間を増大させ得る大きな処理リソースが必要である。さらに、DPIは、悪意のあるトラフィックを検出するために、生じ得るトラフィックシグネチャのバリエーションの大きさにより、トラフィックシグネチャの巨大なデータベースと、そのデータベースの頻繁な更新とを必要とする。最後に、ネットワークトラフィックが暗号化される場合、DPIは、ネットワークトラフィックの暗号化ペイロードの属性を抽出することができない。SSLプロキシがパケットを復号化し、この後者の欠点を解決する場合であっても、そのようなSSLプロキシはスループットを減少させる。
ネットワークポリシーを実施する方法が、本明細書に記載される。本方法では、第1のコンテキスト内で実行中のアプリケーションからのネットワークソケットイベント要求は、その要求が第1のコンテキスト内のトランスポート層に到達する前に、エージェントによってインターセプトされる。コンテキストとは、仮想化ソフトウェア、物理的コンピュータ、又は仮想化ソフトウェア及び物理的コンピュータの組合せを指す。要求のインターセプトに応答して、エージェントは、ネットワークソケットイベント要求を、第1のコンテキストとは別個の第2のコンテキスト内で実行中のセキュリティサーバに通信することを許可するか拒絶するかについての判断を要求する。判断に対する要求は、アプリケーションの識別情報を含む。次に、エージェントは、セキュリティサーバからネットワークソケットイベント要求の許可又は拒絶の何れかを受信する。この許可又は拒絶は、アプリケーションの識別情報及びセキュリティポリシーに少なくとも部分的に基づく。エージェントは、拒絶がセキュリティサーバから受信される場合、ネットワークソケットイベントがトランスポート層に到達するのを阻止する。一実施形態では、本方法は、コンピュータによって実行可能なソフトウェア命令を実施する機械可読媒体を使用して実施される。
仮想マシンのネットワーク層スタック内で生成されるネットワークソケットイベント要求を示すブロック図である。 複数の仮想マシンであって、間で、ネットワークソケットについての判断に対する要求及び対応する判断が通信される複数の仮想マシンを有するアーキテクチャを示す機能ブロック図である。 アプリケーション識別情報に基づくネットワークソケットイベント要求についての判断を示す、仮想マシンコンテキストでのバウンス図である。 アプリケーション識別情報に基づいてネットワークソケットイベント要求についての判断を示す、非仮想マシンコンテキストでのバウンス図である。 複数の仮想マシンであって、間で、要求されたネットワークソケットを通るデータフローについての統計が通信される複数の仮想マシンを有するアーキテクチャを示す機能ブロック図である。 仮想マシンとのデータフローについての統計の集計を示す、仮想マシンコンテキストでのバウンス図である。 非仮想マシンエージェントとのデータフローについての統計の集計を示す、非仮想マシンコンテキストでのバウンス図である。
図1は、仮想マシンのネットワーク層スタック内で生成されるネットワークソケットイベント要求を発行するプロセスでの仮想マシン20を示すブロック図である。仮想マシン20は、物理的サーバ10aで実行中の仮想化ソフトウェア30aによって管理される。仮想化ソフトウェア30aは、追加の仮想マシンを管理することもできる。仮想化ソフトウェア30aは、ネイティブであってもよく、又はホストされてもよく、1つ又は複数の仮想マシンを管理し、同じコンピュータハードウェアリソースでのオペレーティングシステムの複数の同時インスタンスを可能にする。コンピュータハードウェアリソースは、ネットワーククラウドとして示されるネットワーク2によって相互接続される物理的サーバ10a〜10zを含む。物理的サーバ10a〜10zは、プロセッサと、メモリと、本明細書に記載される技術を実行するコンピュータによって実行可能なコンピュータ可読命令を有する非一時的コンピュータ可読媒体とを含む。任意の数のサーバ10a〜10zがネットワーク2に存在し得、任意の数の仮想マシン20が各物理的サーバ10a〜10zに存在し得る。例えば、仮想化ソフトウェア30yは物理的サーバ10yで実行中であり、物理的サーバ10zは実行中の仮想化ソフトウェアを有さない。サーバ10a〜10zはセキュリティサーバを含み得る。
仮想マシン20内で、複数のネットワーク層をスタックし得、物理層は概念的にスタックの一番下に配置される。物理層は仮想マシンハードウェア28aとして示される。仮想マシンハードウェア28aの上はデータリンク層27aである。データリンク層27aの上はネットワーク層26aである。ネットワーク層26aの上はトランスポート層25aである。トランスポート層25aの上はアプリケーション/プレゼンテーション/セッション層21aである。アプリケーション22aは、アプリケーション/プレゼンテーション/セッション層21a内で実行中であり得る。
アプリケーション22aは、ネットワークソケットイベント要求23aを送信する。ネットワークソケットは、ローカルアドレスと、ローカルポートとを有するエンドポイントである。結果として生成されるネットワーク接続は、ソースIP、ソースポート、プロトコル、宛先IP、及び宛先ポートを含む。TCPソケット等のコネクション指向型ソケットは、コネクション状態を含み得るが、UDPソケット等のコネクションレス型ソケットは、コネクション状態を含まない。ネットワークソケットイベント要求23aは、ネットワークソケットでのステータス変更、例えば、ネットワークオープン、ネットワーククローズ、及びリッスン等の要求されたUDP又はTCPイベントであり得る。
トランスポート層インタフェース24aは、トランスポート層25aとアプリケーション/プレゼンテーション/セッション層21aとの間に位置決めされる。一実施形態では、トランスポート層インタフェース24aは、アプリケーション/プレゼンテーション/セッション層21aからのネットワークソケットイベント要求23aを、ネットワークソケットイベント要求23aがトランスポート層25aに到達する前にインターセプトし得る。
トランスポート層インタフェース24aの例は、トランスポートドライバインタフェース(TDI)及びウィンドウズ(Windows)(登録商標)プラットフォームでのウィンドウズ(Windows)(登録商標)フィルタリングプラットフォーム(WFP)である。他の実施形態では、トランスポート層インタフェース24aは、リナックス(Linux)(登録商標)プラットフォーム、MacOS(登録商標)プラットフォーム、又は他のプラットフォームで提供される。
要求されたネットワークイベントは、以下のように要求側アプリケーションに結び付けることができる。幾つかの実施形態では、afd.sys等のトランスポート層25aの上のTDIクライアントは、TCPIP.sys及びTCPIP6.sys等のTDIトランスポートを有するI/O要求パケット(IRP:I/O request packet)を使用して通信する。IRPはアプリケーション22aのコンテキストで生成されるため、トランスポート層インタフェース24aは、オープン及びリッスン等のネットワーク接続を開始するネットワークソケットイベントのソースとして、アプリケーション22aを識別することができる。例えば、トランスポート層インタフェース24aは、IRPから要求側アプリケーション22aのプロセスIDを識別し、次に、プロセスIDを、プロセスIDへのアプリケーション22aのバイナリイメージにマッピングすることができる。ネットワーク接続の過程中、アプリケーション22aは、送信、受信、及びクローズ等の他のネットワークソケットイベントを生成し得る。TDIクライアントもIRPを使用してこれらのイベントを生成するため、トランスポート層インタフェース24も同様にして、それらのイベントを識別し、要求側アプリケーション22a及びプロセスIDにマッピングすることができる。
トランスポート層インタフェース24aへの代替は、ネットワークソケットイベント要求23aを許可又は遮断し、概念的に、ベースのトランスポートプロバイダの上に存在することができる階層サービスプロバイダである。例えば、ウィンソック(Winsock)又はウィンソック2(Winsock 2)サービスプロバイダインタフェース(SPI)は、基礎となるベースのTCP/IPスタックに頼りながら、ネットワークソケットイベント要求23aを許可又は遮断するモジュールによって実施することができる。
仮想マシン20は、仮想マシン20とは別個の仮想マシン(図2に示されるセキュリティ仮想マシン80等)に頼り、ネットワークソケットイベント要求23aを許可するか、それとも拒絶するかを判断し得る。セキュリティ仮想マシン80は、中央管理し得るポリシーに基づいて判断し得る。幾つかの実施形態では、仮想マシン20内の、図2を参照して後述するエージェント29は、トランスポート層インタフェース24aと通信し、ネットワークソケットイベントを許可するか、それとも拒絶するかについての判断に対する要求をセキュリティ仮想マシン80に送信する。要求は、アプリケーションファイル名、アプリケーション実行可能ハッシュ、アプリケーション識別子、及び/又はアプリケーション22aのユーザ/ドメイン等のアプリケーション22aについての情報を含み得る。エージェント29は、セキュリティ仮想マシン80から判断を受信し、次に、ネットワークソケットイベント要求23aを許可又は拒絶する。
別の実施形態では、ネットワークポリシーは、セキュリティ仮想マシンとは異なる構成要素によって実施し得る。セキュリティ仮想マシンは、ネットワークソケットイベントからのアプリケーション情報を消費し、このアプリケーション情報を用いてネットワークポリシーを評価する。アプリケーション情報がネットワークポリシーの対象となるアプリケーションを識別するような一致が見つかる場合、セキュリティ仮想マシンは1つ又は複数の適切なファイアウォールルールを生成し、このルールは実施エンジンにプッシュされる。実施エンジンは、それ自体の物理的サーバマシンに存在してもよく、又は記載される技術の別の部分と物理的サーバマシンを共有してもよい。
ネットワークソケットイベントを許可するか、それとも拒絶するかについての判断に基づいて、エージェント29は、ネットワークソケットイベント要求23aをトランスポート層25aに転送するか、又は破棄する。エージェント29がネットワークソケットイベント要求23aをトランスポート層25aに転送する場合、ネットワークソケットイベント要求23aは、トランスポート層25a、ネットワーク層26a、データリンク層27a、及び仮想マシンハードウェア28によって層毎に処理され、その後、ネットワーク2を介してネットワーク活動が生成される。
物理的サーバ10zは、実行中の仮想化ソフトウェアを有さない。物理的サーバ10zは、アプリケーション/プレゼンテーション/セッション層21z、アプリケーション22z、ネットワークソケットイベント要求23z、トランスポート層インタフェース24z、トランスポート層25z、ネットワーク層26z、データリンク層27z、及びハードウェア28zを有する。ネットワークソケットイベント要求23zは、ネットワークソケットイベント要求23aと同様であるが、非仮想コンテキストで機能する。
図2は、エージェント29と、セキュリティ仮想マシン80と、他の仮想マシン90と、ネットワークファイアウォールモジュール96と、ネットワークポリシー管理モジュール98と、アプリケーション識別モジュール100とを含む仮想マシン20を有するアーキテクチャを示すブロック図である。ネットワーク管理者は、ネットワークポリシー管理モジュール98を介してネットワークポリシーを決定することができる。ネットワークポリシーを実施するファイアウォールルールは、セキュリティ仮想マシン80によって決定することができる。アプリケーション識別モジュール100は、アプリケーション識別情報を提供して、仮想マシン20のエージェント29からのネットワークソケットイベント要求を許可するか、それとも遮断するかを判断するに当たり、セキュリティ仮想マシン80を支援することができる。この決定の実施は、仮想マシン20内でのネットワークソケットの更なる処理を阻止若しくは許可することができる仮想マシン20により、又は特定のネットワーク接続を阻止又は許可することができるファイアウォールモジュール96によって行うことができる。
仮想マシン20内のエージェント29は、サービス又はデーモンとしてバックグラウンドで実行されるコンピュータプログラムとして実施し得る。様々な仮想マシン及びモジュールは、1つ又は複数の物理的サーバにあり得る。別の実施形態では、セキュリティ仮想マシン80は、仮想化ソフトウェア30a内のセキュリティモジュール又はネットワーク2(図1に示される)に存在する物理的アプライアンスによって置換するか、又は補完し得る。様々な実施形態では、ネットワークファイアウォールモジュール96は、仮想であってもよく、又は物理的であってもよい。
図3は、アプリケーション識別情報に基づいてネットワークソケットイベント要求についての判断を示す仮想マシンコンテキストでのバウンス図を示す。一実施形態では、エージェント29は、ネットワークソケットイベントを許可するか、それとも拒絶するかについての判断に対する要求81を、ネットワーク2を介してセキュリティ仮想マシン80に送信する。仮想マシン20によって要求される判断をするために、セキュリティ仮想マシン80は、アプリケーション識別モジュール100からの、ネットワークソケットイベントを許可するか、それとも拒絶するかについての判断に対する要求81を指示したネットワークソケットイベント要求23(図1から)を送信したアプリケーション22についてのアプリケーション情報に頼る。したがって、要求81は、アプリケーション名、アプリケーションの実行可能ファイルのハッシュ、何らかの他のアプリケーション識別子、又はアプリケーション22のユーザ/ドメイン等のアプリケーションコンテキスト情報を含む。
セキュリティ仮想マシン80は、ネットワーク2を介してアプリケーション識別要求101をアプリケーション識別モジュール100に送信する。アプリケーションコンテキスト情報は、アプリケーション識別モジュール100によって使用されて、製品名、ベンダー名、アプリケーションカテゴリ、アプリケーション脅威レベル等の、ネットワークソケットイベント要求23を送信したアプリケーション22についてのより多くの情報を生成する。セキュリティ仮想マシン80でのネットワークポリシーのファイアウォールルールは、このアプリケーションメタデータのうちの任意のデータに基づくことができる。
アプリケーション識別要求101は、ネットワークソケットイベント要求を開始するアプリケーションのシグネチャと、アプリケーション識別モジュール100が頼っているシグネチャデータベース内の参照アプリケーションシグネチャとの照合に繋がる。
様々な実施形態では、アプリケーションシグネチャは、少なくとも、アプリケーションの実行可能ファイルのファイル名、アプリケーションの実行可能ファイルのハッシュ、及び/又はアプリケーションの実行可能ファイルに基づく。アプリケーション識別モジュール100は、ネットワーク2を介してセキュリティ仮想マシン80に、アプリケーション識別情報102で応答する。
アプリケーション識別情報102の例は、アプリケーションの名前、バージョン、カテゴリ、製造業者、信頼性レベル、及び脅威レベルである。アプリケーション識別情報102は、セキュリティ仮想マシン80によって使用されて、ネットワークソケットイベント要求を許可するか、それとも拒絶するかについてのファイアウォールルールに基づく判断を実施することができる。
様々な実施形態では、ネットワークポリシーから生じるファイアウォールルール及び/又はネットワークポリシーは、セキュリティ仮想マシン80、又はセキュリティ仮想マシン80とは別個であり、セキュリティ仮想マシン80がアクセス可能な集中ネットワークポリシー管理モジュールに記憶され、更新される。集中ネットワークポリシー管理モジュールは、別個の集中ネットワークポリシー管理サーバにあってもよく、又は仮想マシンと物理的サーバを共有してもよい。集中ネットワークポリシー管理モジュールを介して、管理者は、ファイアウォールルールを決定するネットワークポリシーを定義することができる。新しいルールは、セキュリティ仮想マシン登録スキームに従ってセキュリティ仮想マシン80(及び他のセキュリティ仮想マシン)にプッシュし得る。
ネットワークポリシー例としては、以下が挙げられる:
(i)「SYN_SENTイベント受信時、uTorrentによって開始される全てのTCPトラフィックを遮断」等のコネクション状態メッセージZを受信したとき、アプリケーションYによって開始されるプロトコルXの全トラフィックを遮断/許可する。
(ii)アプリケーションYによって開始される全てのTCPトラフィックを遮断/許可する。
(iii)カテゴリZ(例えば、P2P)に属する、アプリケーションYによって開始される全てのネットワークトラフィックを遮断/許可する。
(iv)ベンダーZによって作られたアプリケーションによって開始される全てのネットワークトラフィックを遮断/許可する。
幾つかの実施形態では、アプリケーション識別は有利であり、その理由は、ネットワークソケットイベントを要求するアプリケーションの識別精度を犠牲にせずにネットワークソケットイベント要求の承認又は拒絶に関連する仮想マシン20又は他の仮想マシン90でのディープパケット検査が低減するか、又はなくなるためである。
アプリケーション識別モジュール100は、クラウドベースのアプリケーション識別サービスとして実施することもできる。他の実施形態では、アプリケーション識別モジュール100は、セキュリティ仮想マシン80、仮想化ソフトウェア30a、又はネットワーク2によってアクセスされる別の仮想マシンに配置される。そのような比較的集中化された実施形態は、アプリケーションシグネチャ更新でのオーバーヘッドを最小に抑える。アプリケーション識別モジュール100は、アプリケーションシグネチャをアプリケーション識別情報にマッピングする中央シグネチャデータベースを含む。中央シグネチャデータベースは、シグネチャ更新に頼るロケーション数を低減する。シグネチャは、ネットワークソケットイベントを要求するアプリケーションを識別するのに十分に完全な指示であり得る。他の実施形態では、指示は、アプリケーションを識別するのに不十分な完全さであり得るが、それにもかかわらず、アプリケーションを安全(ネットワークソケットイベントを許可すべきであるような)又は非安全(ネットワークソケットイベントを拒絶すべきであるような)として識別するのに十分に完全な指示であり得る。
更に別の実施形態では、アプリケーション識別モジュール100は仮想マシン20に配置されるが、これには、ネットワークソケットイベント要求を許可するか、それとも拒絶するかについての判断を要求するあらゆる仮想マシンでのアプリケーションシグネチャ更新が必要であるという欠点がある。
ネットワークソケットイベント82について判断するために、セキュリティ仮想マシン80は、ネットワークセキュリティポリシーをアプリケーション識別情報102に適用し、ネットワークセキュリティポリシーを実施するファイアウォールルールが生成される。ネットワークソケットイベント82についての判断は、ネットワークソケットイベントについての判断要求を送信した仮想マシン20に返信される。別の実施形態では、ネットワークソケットイベント82についての判断は、判断を実施するファイアウォールに返信される。そのようなファイアウォールは、仮想ファイアウォールであってもよく、又は物理的なファイアウォールであってもよい。セキュリティ仮想マシン80のファイアウォールポリシー及び更新は、ネットワーク2から通信することができ、幾つかの実施形態では、別個のポリシー管理モジュール(図示せず)から通信することができる。
更に別の実施形態では、セキュリティ仮想マシン80は、ネットワーク2を介して接続された他の仮想マシンでの、ネットワークソケットイベントを許可するか、それとも拒絶するかについての判断要求も処理する。他の仮想マシンは、そのような判断に対する要求をセキュリティ仮想マシン80に送信する。他の仮想マシンによって要求される判断を行うために、セキュリティ仮想マシン80は、アプリケーション識別モジュール100から要求されるアプリケーション情報に頼り、アプリケーション識別モジュール100は、アプリケーション識別情報をセキュリティ仮想マシン80に提供する。セキュリティ仮想マシン80は、ファイアウォールポリシーをアプリケーション識別情報に適用し、ネットワークソケットイベントについての結果として生成される判断を、ネットワークソケットイベントについての判断要求を送信した対応する他の仮想マシン90に返信する。
図4は、アプリケーション識別情報に基づくネットワークソケットイベント要求についての判断を示す、非仮想マシンコンテキストでのバウンス図である。動作は図3と同様である。しかし、物理的セキュリティサーバがセキュリティ仮想マシンに取って代わり、非仮想マシンエージェントが仮想マシンエージェントに取って代わる。別の実施形態では、物理的セキュリティサーバは、他の非仮想マシンエージェントのネットワークソケットイベントを許可するか、それとも拒絶するかについての要求も処理する。
他の実施形態は図3及び図4の態様を組み合わせる。例えば、非仮想マシンエージェント及び仮想エージェントを組み合わせることができる。非VMエージェントをセキュリティ仮想マシンと併用することができる。VMエージェントを物理的セキュリティサーバと併用することができる。
図5は、仮想マシン20と、セキュリティ仮想マシン80と、他の仮想マシン90と、データフロー可視性モジュール110とを有するアーキテクチャを示すブロック図である。様々な仮想マシン及びモジュールは、1つ又は複数の物理的サーバにあることができる。仮想マシン内で、TDI/WFPトランスポート層インタフェースは、ネットワークソケットについての統計を収集することができる。仮想マシン外で、コネクションレベル統計を収集又は追跡する任意のモジュールが、同じことを実行することができる。セキュリティ仮想マシン80は、仮想マシン20及び他のマシン90によって要求されるネットワーク接続を通じたデータフローについての統計を収集することができる。データフロー可視性モジュール110は、集計された統計を要求し受信することができる。別の実施形態では、セキュリティ仮想マシン80は、仮想化ソフトウェア30a又はネットワーク2(図1に示される)に存在するアプリケーションで置換するか、補完することができる。他の実施形態では、ネットワークファイアウォール又はホストコネクション追跡モジュールは、仮想マシン20及び他のマシン90によって要求されるネットワーク接続を通るデータフローについての統計(例えば、接続単位でのアプリケーションについての情報)を収集することができる。
図6は、仮想マシンとのデータフローについての統計の集計を示す、仮想マシンコンテキストでのバウンス図である。一実施形態では、仮想マシン20は、ネットワーク2を介して、(仮想マシン20の要求されたネットワークソケットを通じた)データフロー83についての統計をセキュリティ仮想マシン80に送信する。他の仮想マシン90も、ネットワーク2を介して、(各仮想マシンの要求されたネットワークソケットを通じた)データフロー95についての統計をセキュリティ仮想マシン80に送信する。そのような統計は、ある間隔で、例えば30秒毎にセキュリティ仮想マシン80に送信することができる。ネットワークソケットは、図3及び図4に関連して考察したように要求し、承認することができる。
セキュリティ仮想マシン80は、仮想マシン20からのデータフロー83についての統計と、他の仮想マシン90からのデータフロー95についての統計とを集計する。集計された統計を処理して、アプリケーション当たり、ユーザ当たり、仮想マシン当たり等のバイト数/パケット数として、ネットワークフロー情報を示すことができる。幾つかの実施形態では、図1及び図2に関連して考察したアプリケーション識別プロセスにより、アプリケーション当たりの集計統計は特に信頼性が高い。同様に、ネットワークソケットイベントについての判断要求を続けて判断するためのファイアウォールポリシーを変更するに当たり、そのような集計統計を考慮することができる。そのような変更されたファイアウォールポリシー下で承認されるネットワークソケットを通じたデータフロー統計は、示されるように集計することができる。データフロー可視性モジュール110は、データフロー112についての統計を要求する。セキュリティ仮想マシン80は、集計統計111で応答する。
図7は、非仮想マシンエージェントとのデータフローについての統計の集計を示す、非仮想マシンコンテキストでのバウンス図である。動作は図8と同様である。しかし、物理的セキュリティサーバがセキュリティ仮想マシンに取って代わり、非仮想マシンエージェントが仮想マシンエージェントに取って代わり、他の非VMエージェントが他の仮想マシンに取って代わる。
他の実施形態は図7及び図8の態様を組み合わせる。例えば、非仮想マシンエージェント及び仮想エージェントを組み合わせることができる。非VMエージェントをセキュリティ仮想マシンと併用することができる。VMエージェントを物理的セキュリティサーバと併用することができる。
開示される技術を実施することができるアーキテクチャの例は、シトリックス(Citrix)(登録商標)、マイクロソフト(Microsoft)(登録商標)、VMウェア(VMWare)(登録商標)、及びゼン(Xen)(登録商標)コミュニティによるハイパーバイザ及び他の仮想化製品である。
本発明は、上記で詳述される好ましい実施形態及び例を参照して開示されるが、これらの例が限定の意味ではなく例示を意図していることを理解されたい。当業者であれば変更形態及び組合せを容易に想到し、これらの変更形態及び組合せは本発明の趣旨及び以下の特許請求の範囲内にあると考えられる。

Claims (23)

  1. コンピュータデバイス上で第1のコンテキスト内で実行中のアプリケーションに対してネットワークポリシーを実施する方法であって、
    前記第1のコンテキストのネットワークソケットを通じたデータフローについての統計を収集すること、
    前記収集した統計に基づいて前記ネットワークポリシーを変更すること、
    前記第1のコンテキスト内で実行中のエージェントにより、前記アプリケーションからのネットワークソケットイベント要求を、前記ネットワークソケットイベント要求が前記第1のコンテキストのネットワークスタック内のトランスポート層に到達する前にインターセプトすること、
    前記エージェントにより、第2のコンテキスト内で実行中のセキュリティサーバに、前記インターセプトされたネットワークソケットイベント要求を許可するか拒絶するかについての判断についての要求を送信することであって、前記判断についての要求はアプリケーション識別子と前記アプリケーションのドメインとを含む、前記判断についての要求を送信すること、
    前記エージェントにより、前記セキュリティサーバから前記ネットワークソケットイベント要求の許可又は拒絶を示す判断を受信することであって、前記アプリケーション識別子の指示、前記アプリケーションのドメイン、及び前記変更されたネットワークポリシーに少なくとも部分的に基づく当該判断を受信すること、
    前記判断が前記ネットワークソケットイベント要求の拒絶である場合、前記エージェントにより、前記ネットワークソケットイベント要求が前記第1のコンテキスト内の前記トランスポート層に到達することを阻止すること、
    を備える方法。
  2. 前記アプリケーション識別子は、前記第1のコンテキスト前記トランスポート層のインタフェースから受信されたデータに基づく、請求項1に記載の方法。
  3. 前記判断が前記ネットワークソケットイベント要求の許可である場合、前記ネットワークソケットイベント要求を前記第1のコンテキスト内の前記アプリケーションから前記第1のコンテキスト内の前記トランスポート層に送信することを更に備える請求項1に記載の方法。
  4. 前記セキュリティサーバは、複数のコンテキスト内のネットワークソケットイベント要求を許可するか拒絶するかについての判断を行う、請求項1に記載の方法。
  5. 前記第1のコンテキストからの前記ネットワークソケットを通じたデータフローについての前記統計を、複数のコンテキストの複数のネットワークソケットを通じたデータフローについての統計を受信するデータ収集モジュールに送信すること、
    前記複数のコンテキストの前記複数のネットワークソケットを通じた前記データフローについての前記統計のリポートを生成すること、
    を更に備える請求項1に記載の方法。
  6. 前記ネットワークソケットイベント要求は、前記ネットワークソケットをオープンすること、クローズすること、及びリッスンすることのうちの何れかである、請求項1に記載の方法。
  7. 前記アプリケーション識別子は、(i)オペレーティングシステムが前記アプリケーションの実行可能ファイルをロードし実行する場合に作成されるプロセスを識別するとともに(ii)前記アプリケーションの実行可能ファイルを識別するプロセス識別子に少なくとも基づく、請求項1に記載の方法。
  8. 前記アプリケーション識別子の指示は、前記アプリケーションの実行可能ファイルのファイル名に少なくとも基づく、請求項1に記載の方法。
  9. 前記アプリケーション識別子の指示は、前記アプリケーションの実行可能ファイルのハッシュに少なくとも基づく、請求項1に記載の方法。
  10. 前記トランスポート層のインタフェースは前記ネットワークソケットイベント要求をインターセプトし、前記インタフェースはトランスポートドライバインタフェースである、請求項1に記載の方法。
  11. 前記トランスポート層のインタフェース前記ネットワークソケットイベント要求をインターセプトる、請求項1に記載の方法。
  12. コンテキストによって実行可能なコンピュータ可読命令を備えた非一時的コンピュータ可読媒体であって、
    第1のコンテキストのネットワークソケットを通じたデータフローについての統計を収集することを実行する命令であって、アプリケーション当たり、ユーザ当たり、仮想マシン当たりのバイト数/パケット数として、ネットワークフロー情報を示す当該統計を収集することを実行する命令と、
    前記収集した統計に基づいてネットワークポリシーを変更することを実行する命令と、
    第1のコンテキスト内で実行中のエージェントにより、アプリケーションからのネットワークソケットイベント要求を、前記ネットワークソケットイベント要求が前記第1のコンテキストのネットワークスタック内のトランスポート層に到達する前にインターセプトすることを実行する命令と、
    前記エージェントにより、第2のコンテキスト内で実行中のセキュリティサーバに、前記インターセプトされたネットワークソケットイベント要求を許可するか拒絶するかについての判断についての要求を送信することを実行する命令であって、前記判断についての要求はアプリケーション識別子と前記アプリケーションのドメインとを含む、前記判断についての要求を送信することを実行する命令と、
    前記エージェントにより、前記セキュリティサーバから前記ネットワークソケットイベント要求の許可又は拒絶を示す判断を受信することを実行する命令であって、前記アプリケーション識別子の指示、前記アプリケーションのドメイン、及び前記変更されたネットワークポリシーに少なくとも部分的に基づく当該判断を受信することを実行する命令と、
    前記判断が前記ネットワークソケットイベント要求の拒絶である場合、前記エージェントにより、前記ネットワークソケットイベント要求が前記第1のコンテキスト内の前記トランスポート層に到達することを阻止するように実行する命令と、
    を備える非一時的コンピュータ可読媒体。
  13. 前記アプリケーション識別子は、前記第1のコンテキスト前記トランスポート層のインタフェースから受信されたデータに基づく、請求項12に記載の非一時的コンピュータ可読媒体。
  14. 前記ネットワークソケットイベント要求を前記第1のコンテキスト内の前記アプリケーションから前記第1のコンテキスト内の前記トランスポート層に送信する命令を更に備える請求項12に記載の非一時的コンピュータ可読媒体。
  15. 前記セキュリティサーバは、複数のコンテキスト内のネットワークソケットイベント要求を許可するか拒絶するかについての判断を行う、請求項12に記載の非一時的コンピュータ可読媒体。
  16. 前記第1のコンテキストからの前記統計を、複数のコンテキストの複数のネットワークソケットを通じたデータフローについての統計を受信するデータ収集モジュールに送信する命令と、
    前記複数のコンテキストの前記複数のネットワークソケットを通じた前記データフローについての前記統計のリポートを生成する命令と、
    を更に備える請求項12に記載の非一時的コンピュータ可読媒体。
  17. 前記ネットワークソケットイベント要求は、前記ネットワークソケットをオープンすること、クローズすること、及びリッスンすることのうちの何れかである、請求項12に記載の非一時的コンピュータ可読媒体。
  18. 前記アプリケーション識別子は、(i)オペレーティングシステムが前記アプリケーションの実行可能ファイルをロードし実行する場合に作成されるプロセスを識別するとともに(ii)前記アプリケーションの実行可能ファイルを識別するプロセス識別子に少なくとも基づく、請求項12に記載の非一時的コンピュータ可読媒体。
  19. 前記アプリケーション識別子の指示は、前記アプリケーションの実行可能ファイルのファイル名に少なくとも基づく、請求項12に記載の非一時的コンピュータ可読媒体。
  20. 前記アプリケーション識別子の指示は、前記アプリケーションの実行可能ファイルのハッシュに少なくとも基づく、請求項12に記載の非一時的コンピュータ可読媒体。
  21. 前記トランスポート層のインタフェースは前記ネットワークソケットイベント要求をインターセプトし、前記インタフェースはトランスポートドライバインタフェースである、請求項12に記載の非一時的コンピュータ可読媒体。
  22. 前記トランスポート層のインタフェース前記ネットワークソケットイベント要求をインターセプトる、請求項12に記載の非一時的コンピュータ可読媒体。
  23. プロセッサと、コンテキストを有するメモリとを備えるコンピュータシステムであって、
    前記コンテキストは、
    第1のコンテキストのネットワークソケットを通じたデータフローについての統計を収集することを実行する命令であって、アプリケーション当たり、ユーザ当たり、仮想マシン当たりのバイト数/パケット数として、ネットワークフロー情報を示す当該統計を収集することを実行する命令と、
    前記収集した統計に基づいてネットワークポリシーを変更することを実行する命令と、
    第1のコンテキスト内で実行中のエージェントにより、アプリケーションからのネットワークソケットイベント要求を、前記ネットワークソケットイベント要求が前記第1のコンテキストのネットワークスタック内のトランスポート層に到達する前にインターセプトすることを実行する命令と、
    前記エージェントにより、第2のコンテキスト内で実行中のセキュリティサーバに、前記インターセプトされたネットワークソケットイベント要求を許可するか拒絶するかについての判断についての要求を送信することを実行する命令であって、前記判断についての要求はアプリケーション識別子と前記アプリケーションのドメインとを含む、前記判断についての要求を送信することを実行する命令と、
    前記エージェントにより、前記セキュリティサーバから前記ネットワークソケットイベント要求の許可又は拒絶を示す判断を受信することを実行する命令であって、前記アプリケーション識別子の指示、前記アプリケーションのドメイン、及び前記変更されたネットワークポリシーに少なくとも部分的に基づく当該判断を受信することを実行する命令と、
    前記判断が前記ネットワークソケットイベント要求の拒絶である場合、前記エージェントにより、前記ネットワークソケットイベント要求が前記第1のコンテキスト内の前記トランスポート層に到達することを阻止することを実行する命令と、
    を実行する、コンピュータシステム。
JP2015557980A 2013-02-14 2013-02-14 ネットワークでのアプリケーションアウェアネスの方法及び装置 Active JP6046276B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/767,686 US9444841B2 (en) 2013-02-14 2013-02-14 Method and apparatus for application awareness in a network
PCT/US2013/026225 WO2014126574A1 (en) 2013-02-14 2013-02-14 Method and apparatus for application awareness in a network
US13/767,686 2013-02-14

Publications (3)

Publication Number Publication Date
JP2016514295A JP2016514295A (ja) 2016-05-19
JP2016514295A5 JP2016514295A5 (ja) 2016-09-01
JP6046276B2 true JP6046276B2 (ja) 2016-12-14

Family

ID=47844450

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015557980A Active JP6046276B2 (ja) 2013-02-14 2013-02-14 ネットワークでのアプリケーションアウェアネスの方法及び装置

Country Status (5)

Country Link
US (3) US9444841B2 (ja)
EP (1) EP2956883B1 (ja)
JP (1) JP6046276B2 (ja)
AU (1) AU2013378115B2 (ja)
WO (1) WO2014126574A1 (ja)

Families Citing this family (61)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8695060B2 (en) 2011-10-10 2014-04-08 Openpeak Inc. System and method for creating secure applications
US10033693B2 (en) 2013-10-01 2018-07-24 Nicira, Inc. Distributed identity-based firewalls
US9560081B1 (en) * 2016-06-24 2017-01-31 Varmour Networks, Inc. Data network microsegmentation
US9594929B2 (en) * 2014-08-11 2017-03-14 Honeywell International Inc. Open architecture security methods and systems
US9100390B1 (en) 2014-09-05 2015-08-04 Openpeak Inc. Method and system for enrolling and authenticating computing devices for data usage accounting
US20160071040A1 (en) 2014-09-05 2016-03-10 Openpeak Inc. Method and system for enabling data usage accounting through a relay
US9232013B1 (en) 2014-09-05 2016-01-05 Openpeak Inc. Method and system for enabling data usage accounting
US8938547B1 (en) 2014-09-05 2015-01-20 Openpeak Inc. Method and system for data usage accounting in a computing device
US9350818B2 (en) 2014-09-05 2016-05-24 Openpeak Inc. Method and system for enabling data usage accounting for unreliable transport communication
US9098715B1 (en) 2014-10-28 2015-08-04 Openpeak Inc. Method and system for exchanging content between applications
US9891940B2 (en) 2014-12-29 2018-02-13 Nicira, Inc. Introspection method and apparatus for network access filtering
US9467476B1 (en) 2015-03-13 2016-10-11 Varmour Networks, Inc. Context aware microsegmentation
US9609026B2 (en) 2015-03-13 2017-03-28 Varmour Networks, Inc. Segmented networks that implement scanning
US10178070B2 (en) 2015-03-13 2019-01-08 Varmour Networks, Inc. Methods and systems for providing security to distributed microservices
US9232078B1 (en) 2015-03-16 2016-01-05 Openpeak Inc. Method and system for data usage accounting across multiple communication networks
JP6771874B2 (ja) 2015-09-16 2020-10-21 キヤノン株式会社 情報処理装置、その制御方法及びプログラム
US10514683B2 (en) 2015-09-16 2019-12-24 Profire Energy, Inc. Distributed networking system and method to implement a safety state environment
US10432754B2 (en) 2015-09-16 2019-10-01 Profire Energy, Inc Safety networking protocol and method
US10324746B2 (en) * 2015-11-03 2019-06-18 Nicira, Inc. Extended context delivery for context-based authorization
US10070316B2 (en) 2016-06-16 2018-09-04 Samsung Electronics Co., Ltd. Permission delegation framework
US9787639B1 (en) * 2016-06-24 2017-10-10 Varmour Networks, Inc. Granular segmentation using events
US10938837B2 (en) 2016-08-30 2021-03-02 Nicira, Inc. Isolated network stack to manage security for virtual machines
US10333983B2 (en) 2016-08-30 2019-06-25 Nicira, Inc. Policy definition and enforcement for a network virtualization platform
CN110168499B (zh) 2016-12-06 2023-06-20 Nicira股份有限公司 在主机上执行上下文丰富的基于属性的服务
US10581960B2 (en) 2016-12-22 2020-03-03 Nicira, Inc. Performing context-rich attribute-based load balancing on a host
US10805332B2 (en) 2017-07-25 2020-10-13 Nicira, Inc. Context engine model
US10803173B2 (en) * 2016-12-22 2020-10-13 Nicira, Inc. Performing context-rich attribute-based process control services on a host
US10812451B2 (en) * 2016-12-22 2020-10-20 Nicira, Inc. Performing appID based firewall services on a host
CN116938564A (zh) * 2016-12-22 2023-10-24 Nicira股份有限公司 在主机上收集和处理上下文属性
US11032246B2 (en) * 2016-12-22 2021-06-08 Nicira, Inc. Context based firewall services for data message flows for multiple concurrent users on one machine
US10802857B2 (en) 2016-12-22 2020-10-13 Nicira, Inc. Collecting and processing contextual attributes on a host
WO2018118465A1 (en) * 2016-12-22 2018-06-28 Nicira, Inc. Collecting and processing context attributes on a host
US11032248B2 (en) * 2017-03-07 2021-06-08 Nicira, Inc. Guest thin agent assisted host network encryption
US11681568B1 (en) * 2017-08-02 2023-06-20 Styra, Inc. Method and apparatus to reduce the window for policy violations with minimal consistency assumptions
US10778651B2 (en) 2017-11-15 2020-09-15 Nicira, Inc. Performing context-rich attribute-based encryption on a host
US10652213B2 (en) 2017-12-18 2020-05-12 Nicira, Inc. Agent-less micro-segmentation of a network
US10862773B2 (en) 2018-01-26 2020-12-08 Nicira, Inc. Performing services on data messages associated with endpoint machines
US10802893B2 (en) 2018-01-26 2020-10-13 Nicira, Inc. Performing process control services on endpoint machines
US11296960B2 (en) 2018-03-08 2022-04-05 Nicira, Inc. Monitoring distributed applications
JP7067187B2 (ja) * 2018-03-27 2022-05-16 日本電気株式会社 通信制御装置、通信制御方法、及びプログラム
US20200364354A1 (en) * 2019-05-17 2020-11-19 Microsoft Technology Licensing, Llc Mitigation of ransomware in integrated, isolated applications
US11140090B2 (en) 2019-07-23 2021-10-05 Vmware, Inc. Analyzing flow group attributes using configuration tags
US11436075B2 (en) 2019-07-23 2022-09-06 Vmware, Inc. Offloading anomaly detection from server to host
US10911335B1 (en) 2019-07-23 2021-02-02 Vmware, Inc. Anomaly detection on groups of flows
US11288256B2 (en) 2019-07-23 2022-03-29 Vmware, Inc. Dynamically providing keys to host for flow aggregation
US11743135B2 (en) 2019-07-23 2023-08-29 Vmware, Inc. Presenting data regarding grouped flows
US11188570B2 (en) 2019-07-23 2021-11-30 Vmware, Inc. Using keys to aggregate flow attributes at host
US11398987B2 (en) 2019-07-23 2022-07-26 Vmware, Inc. Host-based flow aggregation
US11176157B2 (en) 2019-07-23 2021-11-16 Vmware, Inc. Using keys to aggregate flows at appliance
US11340931B2 (en) 2019-07-23 2022-05-24 Vmware, Inc. Recommendation generation based on selection of selectable elements of visual representation
US11349876B2 (en) 2019-07-23 2022-05-31 Vmware, Inc. Security policy recommendation generation
US11539718B2 (en) 2020-01-10 2022-12-27 Vmware, Inc. Efficiently performing intrusion detection
US11321213B2 (en) 2020-01-16 2022-05-03 Vmware, Inc. Correlation key used to correlate flow and con text data
US11108728B1 (en) 2020-07-24 2021-08-31 Vmware, Inc. Fast distribution of port identifiers for rule processing
US11991187B2 (en) 2021-01-22 2024-05-21 VMware LLC Security threat detection based on network flow analysis
US11785032B2 (en) 2021-01-22 2023-10-10 Vmware, Inc. Security threat detection based on network flow analysis
US11997120B2 (en) 2021-07-09 2024-05-28 VMware LLC Detecting threats to datacenter based on analysis of anomalous events
US11831667B2 (en) 2021-07-09 2023-11-28 Vmware, Inc. Identification of time-ordered sets of connections to identify threats to a datacenter
US20230013808A1 (en) * 2021-07-13 2023-01-19 Vmware, Inc. Method and system for implementing an intent-based intrusion detection and prevention system using contextual attributes
US11792151B2 (en) 2021-10-21 2023-10-17 Vmware, Inc. Detection of threats based on responses to name resolution requests
US12015591B2 (en) 2021-12-06 2024-06-18 VMware LLC Reuse of groups in security policy

Family Cites Families (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2003060671A2 (en) * 2002-01-04 2003-07-24 Lab 7 Networks, Inc. Communication security system
JP2004013608A (ja) * 2002-06-07 2004-01-15 Hitachi Ltd プログラムの実行および転送の制御
US20050182966A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure interprocess communications binding system and methods
US20050182958A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure, real-time application execution control system and methods
KR20060050768A (ko) * 2004-10-01 2006-05-19 마이크로소프트 코포레이션 액세스 인가 api
US20070073858A1 (en) * 2005-09-27 2007-03-29 Nokia Corporation Security of virtual computing platforms
US8095786B1 (en) * 2006-11-09 2012-01-10 Juniper Networks, Inc. Application-specific network-layer virtual private network connections
US8307443B2 (en) 2007-09-28 2012-11-06 Microsoft Corporation Securing anti-virus software with virtualization
US7920478B2 (en) * 2008-05-08 2011-04-05 Nortel Networks Limited Network-aware adapter for applications
US9235705B2 (en) * 2008-05-19 2016-01-12 Wontok, Inc. Secure virtualization system software
US8406748B2 (en) * 2009-01-28 2013-03-26 Headwater Partners I Llc Adaptive ambient services
US20100122313A1 (en) * 2008-11-09 2010-05-13 Aspect9, Inc. Method and system for restricting file access in a computer system
US8973089B2 (en) * 2011-08-08 2015-03-03 Adobe Systems Incorporated Secure socket policy files for establishing secure socket connections

Also Published As

Publication number Publication date
EP2956883B1 (en) 2017-03-22
WO2014126574A1 (en) 2014-08-21
EP2956883A1 (en) 2015-12-23
US20140230008A1 (en) 2014-08-14
JP2016514295A (ja) 2016-05-19
AU2013378115A1 (en) 2015-09-03
AU2013378115B2 (en) 2016-07-28
US9444841B2 (en) 2016-09-13
US20200195612A1 (en) 2020-06-18
US10454895B2 (en) 2019-10-22
US20160380972A1 (en) 2016-12-29

Similar Documents

Publication Publication Date Title
JP6046276B2 (ja) ネットワークでのアプリケーションアウェアネスの方法及び装置
US10652281B1 (en) Network policy implementation in a tag-based policy architecture
US10305927B2 (en) Sinkholing bad network domains by registering the bad network domains on the internet
US11743289B2 (en) Managing transmissions of virtual machines using a network interface controller
US9843593B2 (en) Detecting encrypted tunneling traffic
US8539570B2 (en) Method for managing a virtual machine
US9215239B1 (en) Malware detection based on traffic analysis
US20170054686A1 (en) Agentless Security of Virtual Machines using a Filtering Platform
US11194600B2 (en) Secure digital workspace using machine learning and microsegmentation
US10193862B2 (en) Security policy analysis based on detecting new network port connections
JP7320572B2 (ja) ホスト上のコンテキスト属性の収集と処理
US11343231B2 (en) Security context aware nano-segmentation for container based microservices
US11057385B2 (en) Methods to restrict network file access in guest virtual machines using in-guest agents
US20190273731A1 (en) Securing Authentication Processes
US20230110049A1 (en) Limiting the security impact of compromised endpoint computing devices in a distributed malware detection system
US11995038B2 (en) Data criticality-based network policy creation and consumption
US11671404B2 (en) Policy based mechanism to efficiently interpret and block insecure network communication
Simpson et al. Ports and Protocols Extended Control for Security.
US12069028B2 (en) Fast policy matching with runtime signature update
CN114143048B (zh) 一种安全资源管理的方法、装置及存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160713

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20160713

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160831

TRDD Decision of grant or rejection written
A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20160901

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20161018

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20161116

R150 Certificate of patent or registration of utility model

Ref document number: 6046276

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350