JP6147309B2 - コンピュータプルグラム、システム、方法、及び装置 - Google Patents

コンピュータプルグラム、システム、方法、及び装置 Download PDF

Info

Publication number
JP6147309B2
JP6147309B2 JP2015188532A JP2015188532A JP6147309B2 JP 6147309 B2 JP6147309 B2 JP 6147309B2 JP 2015188532 A JP2015188532 A JP 2015188532A JP 2015188532 A JP2015188532 A JP 2015188532A JP 6147309 B2 JP6147309 B2 JP 6147309B2
Authority
JP
Japan
Prior art keywords
threat
identified
event information
computer program
intelligence cloud
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015188532A
Other languages
English (en)
Other versions
JP2016027491A (ja
Inventor
ブ、ジェン
チャンダー カシャップ、ラウール
チャンダー カシャップ、ラウール
リン、イーチョン
ロク ハン マ、デニス
ロク ハン マ、デニス
Original Assignee
マカフィー, インコーポレイテッド
マカフィー, インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by マカフィー, インコーポレイテッド, マカフィー, インコーポレイテッド filed Critical マカフィー, インコーポレイテッド
Publication of JP2016027491A publication Critical patent/JP2016027491A/ja
Application granted granted Critical
Publication of JP6147309B2 publication Critical patent/JP6147309B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Alarm Systems (AREA)
  • Information Transfer Between Computers (AREA)

Description

本明細書は、包括的に、ネットワークセキュリティの分野に関し、より詳細には、カスタマイズされたリアルタイムの脅威保護のシステム及び方法に関する。
情報システムが、世界的規模で人々及び事業者の日常生活に統合されてきており、情報セキュリティの分野が、また、今日の社会において益々重要になってきた。こうした広範囲にわたる統合は、同様に、悪意のあるオペレーターがこれらのシステムを悪用する多くの機会を提示してきた。悪意のあるソフトウェアがホストコンピューターを感染させることができる場合、悪意のあるソフトウェアは、ホストコンピューターからスパム又は悪意のあるeメールを送出すること、ホストコンピューターに関連する事業者又は個人から機密情報を盗むこと、他のホストコンピューターに伝搬させること、及び/又は、分散してサービス妨害の攻撃を支援すること等、任意の数の悪意のある行為を実施し得る。さらに、幾つかのタイプのマルウェアの場合、悪意のあるオペレーターは、他の悪意のあるオペレーターにアクセス権を売るか又はその他の方法で与えることができ、それにより、ホストコンピューターの悪用をエスカレートさせる。そのため、安定したコンピューター及びシステムを効果的に保護し維持する能力は、コンポーネント製造業者、システム設計者、及びネットワークオペレーターにとって重大な課題を提示し続ける。
本開示並びに本開示の特徴及び利点のより完全な理解を提供するために、添付図面に関連して以下の説明に対して参照が行われる。添付図面では、同様の参照番号は同様の部分を示す。
本明細書による、カスタマイズされたリアルタイムの脅威保護のためのネットワーク環境の例示的な実施形態を示す略ブロック図である。
ネットワーク環境に関連することができる、考えられるオペレーションの略相互作用図である。
ネットワーク環境に関連することができる、考えられるオペレーションの略流れ図である。
概要
ネットワーク環境全体にわたって分散されたセンサーからの、レポートに関連するイベント情報を受信すること、及び、脅威を特定するためにイベント情報を相関付けることを含む方法が、1つの例示的な実施形態において提供される。カスタマイズされたセキュリティポリシーを、脅威に基づいてセンサーに送出することができる。より特定の実施形態では、イベント情報を、脅威インテリジェンスクラウドから受信することができる。更に他の実施形態では、レピュテーションデータを、同様に、脅威に基づいて脅威インテリジェンスクラウドに送出することができる。
例示的な実施形態
図1を考えると、図1は、カスタマイズされたリアルタイムの脅威保護のシステム及び方法をそこで実装することができるネットワーク環境10の例示的な実施形態の略ブロック図である。ネットワーク環境10は、脅威インテリジェンスクラウド15、イベント解析サブクラウド20、センサー25a〜センサー25c、及びホスト30a〜ホスト30iを含む。センサー25a〜センサー25cは、例えば、ファイル、ウェブ、メッセージを含む脅威ベクトル及びネットワーク脅威ベクトルに関するホスト30a〜ホスト30iからの情報を集めるためにネットワーク環境10全体にわたって分散された侵入防止システム、ゲートウェイアプライアンス、ファイアウォール、アンチウィルスソフトウェア、及び/又は他のセキュリティシステムを含むことができる。脅威インテリジェンスクラウド15は、一般に、センサー25a〜センサー25cから情報を受信し、その情報から導出されるリアルタイムレピュテーションベースの脅威インテリジェンスを送出するためのインフラストラクチャーを示す。イベント解析サブクラウドは、脅威インテリジェンスクラウド15によって受信される情報を解析するためのインフラストラクチャーを示し、脅威情報更新及びポリシー構成更新をセンサー25a〜センサー25c及び/又はホスト30a〜ホスト30iに提供できる更新サービス35を提供することもできる。
図1の要素のそれぞれを、簡単なネットワークインターフェースを通して、又は、ネットワーク通信用の実行可能な経路を提供する任意の他の適した接続(有線又は無線)を通して互いに結合することができる。さらに、これらの要素の任意の1つ又は複数を、特定の構成ニーズに基づいて組み合わせるか又はアーキテクチャから除去することができる。ネットワーク環境10は、ネットワークにおけるパケットの送信又は受信のための伝送制御プロトコル/インターネットプロトコル(TCP/IP)通信が可能な構成を含むことができる。ネットワーク環境10はまた、ユーザーデータグラムプロトコル/IP(UDP/IP)、又は、適切である場合及び特定のニーズに基づいて、任意の他の適したプロトコルと連携して動作することができる。
図1のオペレーション及びインフラストラクチャーを詳述する前に、ネットワーク環境10内で起こる場合がある幾つかのオペレーションの概要を提供するために、或る特定の文脈情報が提供される。こうした情報は、ひたすらまた教示のためだけに提供され、したがって、いずれの点でも本開示の幅広いアプリケーションを制限すると解釈されるべきでない。
典型的なネットワーク環境は、例えば、インターネットに接続されるサーバーによってホストされるウェブページにアクセスするため、電子メール(すなわち、eメール)メッセージを送受信するため、又は、インターネットに接続されるエンドユーザー又はサーバーとファイルを交換するために、インターネットを使用して他のネットワークと電子的に通信する能力を含む。ユーザーは、通常、ネットワーク環境に記憶されるデータが、容易に利用可能であるが、不正アクセスからセキュアであると期待する。ユーザーはまた、通常、通信が、信頼性があり、不正アクセスからセキュアであると期待する。しかし、悪意のあるユーザーは、通常のオペレーションに干渉し、機密情報にアクセスするための新しい方策を絶えず開発している。ウィルス、トロイの木馬(Trojan)、ワーム、ボット、及び他のマルウェアは、ネットワーク又はシステム内の脆弱性を悪用するために使用される手段の一般的な例であるが、不正アクセス、データの破壊、データの漏洩、データの改ざん及び/又はサービス妨害を通した、コンピューター又はネットワークの通常オペレーションに干渉するように設計された任意のアクティビティーは、「脅威」である。
ファイアウォール、侵入防止システム、ネットワークアクセス制御、及びウェブフィルタリングを含む幅広い範囲の対抗策が脅威に対して配備され得る。例えば侵入検出及び防止システム(IDPS:intrusion detection and prevention system)としても知られる侵入防止システム(IPS:intrusion prevention system)は、悪意のある又はおそらく悪意のあるアクティビティーについてネットワークアクティビティー及び/又はシステムアクティビティーを監視し、警告を送出し得る。しかし、IPS警告は、常に作動可能とすることができない。適した信頼度で攻撃を特定するのに単一イベントが十分でない場合があるため、たとえ観測されるイベントが悪意のあるアクティビティーを示しても、多くの警告は、警戒情報又は指針を提供するだけである。
IPSは、通常、パケットをドロップすること、接続をリセットすること、及び/又はソースからのトラフィックを遮断すること等によって、検出された侵入を積極的に遮断することができるようにインラインで設置される。IPSは、アプリケーション及びプロトコル異常検出アルゴリズム、シェルコード検出アルゴリズム、並びにシグネチャーを含む複数の検出方法を使用し得る。例えば、シグネチャーベース検出は、一般に、脅威を特定するために、シグネチャー(すなわち、既知の脅威に対応する任意のパターン)を、観測されるイベント又はアクティビティーと比較することを含む。例示的なシグネチャーは、ルートユーザーとしてリモート接続を確立する試みである。別の例は、既知の形態のマルウェアに特有のサブジェクトライン及びアタッチファイルを有するeメールを受信することである。
シグネチャーベース検出は、既知の脅威を検出するときに非常に効果的であり得るが、未知の脅威又は更に既知の脅威の僅かな変形を検出するときに非効果的であり得る。さらに、IPSシグネチャーは、普遍的であり、ローカル環境についてカスタマイズされない傾向がある。脅威は、グローバルな視点なしで、ローカルに見られることができるだけである。グローバルに配備されるセンサーから収集される知識は、一般に、ローカルセキュリティポリシーを改善するためにレバレッジをかけることができない。ポリシーに対する手作業の調整もまた、しばしば必要とされ、感染が蔓延することを可能にするのに十分な遅延を引き起こす場合がある。
本明細書で述べる実施形態によれば、ネットワーク環境10は、グローバル脅威インテリジェンスとローカル脅威インテリジェンスとを相関付け、カスタマイズされたセキュリティポリシーを提供するシステム及び方法を提供することによって、これらの欠点(及び他の欠点)を克服し得る。
再び例証のための図1を参照すると、ホスト30a〜ホスト30iは、ネットワーク要素とすることができ、ネットワーク要素は、ネットワークアプライアンス、サーバー、ルーター、スイッチ、ゲートウェイ、ブリッジ、負荷バランサー、ファイアウォール、プロセッサ、モジュール、又は、ネットワーク環境内で情報を交換するように働く、任意の他の適したデバイス、コンポーネント、要素、若しくはオブジェクトを包含するものとする。ネットワーク要素は、そのオペレーションを容易にする、任意の適したハードウェア、ソフトウェア、コンポーネント、モジュール、インターフェース、又はオブジェクトを含むことができる。これは、データ又は情報の効果的な交換を可能にする適切なアルゴリズム及び通信プロトコルを包含するものとすることができる。ホスト30a〜ホスト30iは、デスクトップコンピューター、ラップトップ、又はモバイル通信デバイス(例えば、iPhone(登録商標)、iPad(登録商標)、Androidデバイス等)等の他の有線ネットワークノード又は無線ネットワークノードを示すものとすることもできる。
脅威インテリジェンスクラウド15は、一実施形態においてはレピュテーションシステムであり、分散ファイルシステムクラスターとして実装することができる。一般に、レピュテーションシステムは、アクティビティーを監視し、その過去の挙動に基づいてエンティティにレピュテーション値又はスコアを割り当てる。レピュテーション値は、有益なものから悪意のあるものまでのスペクトルに対する異なるレベルの信頼性を示すことができる。例えば、接続レピュテーション値(例えば、最小リスク、未検証の高リスク等)を、アドレスによって行われる接続に基づくネットワークアドレス又はアドレスから発信するeメールについて計算することができる。接続レピュテーションシステムは、悪意のあるアクティビティーに関連することが分かっているか又はその可能性があるeメール若しくはIPアドレスによるネットワーク接続を拒否するために使用することができ、一方、ファイルレピュテーションシステムは、悪意のあるアクティビティーに関連することが分かっているか又はその可能性があるハッシュを有するファイル(例えば、アプリケーション)のアクティビティーを阻止し得る。脅威インテリジェンスクラウド15は、ネットワーク全体にわたって分散されたセンサー(例えば、センサー25a〜センサー25c)からレポートを受信することができ、そのセンサーの一部は、別個のエンティティによって制御される別個の領域にあるとすることができる。収集モジュールは、脅威インテリジェンスクラウド15にレポートを定期的に送出するようセンサーに要求することができ、例えば、レポートを、機密情報を保護するために匿名で送出することができる。レポートは、接続の発信元アドレス及び宛先アドレス、アクティビティーのタイプ、ダウンロードされるファイル、使用されるプロトコル等のようなイベント情報を含むことができ、また、作動可能である(例えば、さまざまな深刻度の警告)か、又は助言的である(例えば、単独では作動可能でない場合がある疑わしいアクティビティーに関する情報を提供する)とすることができる。
イベント解析サブクラウド20は、歴史的にとほぼリアルタイムにとの両方で、イベントを記憶し、処理し、マイニングするためのクラウドインフラストラクチャーを示す。サブクラウド20は、警告のデータマイニングを行うための発見的方法を実装して、ネットワーク環境全体にわたって分散されたセンサー(例えば、センサー25a〜センサー25c)からの情報を相関付け、新しい脅威を特定することができる。長期的及び短期的なプロファイリングアルゴリズムが実行されて、センサーによってグローバルに検出される蔓延している脅威を特定し、応答を自動化することができる。そのため、サブクラウド20は、リアルタイム警告情報を収集し、センサーごとにカスタマイズされ得る高度な解析及び脅威相関を提供することができ、迅速でグローバルな脅威検出を容易にし得る。ライブ脅威情報が、脅威が発生すると、センサーに送り返され得る。サブクラウド20は、脅威インテリジェンスクラウド15(センサー25a〜センサー25cから警告としてイベントを受信することができる)からイベントを取り出すことができるか、又は、センサー25a〜センサー25cからイベントを直接受信し、脅威インテリジェンスクラウドが新しい脅威に関連するレピュテーションデータを調整することを可能にする結果を戻すことができる。さらに、サブクラウド20はまた、更新及び新しい脅威インテリジェンスをセンサー25a〜センサー25c及び/又はホスト30a〜ホスト30iに遠隔でかつほぼリアルタイムに自動的に提供することができる。顧客は、その後、これらの更新を迅速かつ積極的に実行し、サブクラウド20の処理パワー及び発見的方法並びにグローバル脅威インテリジェンスにレバレッジをかけることによって顧客のシステムを保護することができる。サブクラウド20はまた、ポリシー構成サジェスチョンを使用可能にする、ポリシー若しくはシグネチャーセット構成を自動的に調整する、及び/又は、他の応答アクションを使用可能にするため、新しいグローバル脅威が、より高い信頼度で(また、手作業の構成なしで)特定又は阻止され得る。
或る特定の実施形態において、脅威インテリジェンスクラウド15及びイベント解析サブクラウド20を、ともにクラウドインフラストラクチャーとして実装することができる。クラウドインフラストラクチャーは、一般に、サービスプロバイダーの最小の相互作用によって迅速に準備され(そしてリリースされ)得るコンピューティングリソースの供給プールに対するオンデマンドでのネットワークアクセスを使用可能にするための環境である。そのため、クラウドインフラストラクチャーは、コンピューテーションサービス、ソフトウェアサービス、データアクセスサービス、及び記憶サービスを提供することができ、それらのサービスは、サービスを提供するシステムの物理的場所及び構成についてのエンドユーザー知識を必要としない。クラウドコンピューティングインフラストラクチャーは、単一アクセス点として現れる場合がある、共有データセンタを通して提供されるサービスを含み得る。クラウド15及びサブクラウド20等の複数のクラウドコンポーネントは、メッセージキュー等の緩い結合メカニズムを通じて互いに通信し得る。そのため、処理(及び関連するデータ)は、指定された場所、既知の場所、又は固定的な場所である必要はない。クラウド15及びサブクラウド20は、既存の能力をリアルタイムに拡張し得る管理されホストされたどんなサービスも包含することができる。
ネットワーク環境10に関連する内部構造に関して、脅威インテリジェンスクラウド15、イベント解析サブクラウド20、センサー25a〜センサー25c、及びホスト30a〜ホスト30iのそれぞれは、本明細書で概説するオペレーションにおいて使用される情報を記憶するためのメモリ要素を含み得る。これらのデバイスは、任意の適したメモリ要素(例えば、ランダムアクセスメモリ(RAM)、読出し専用メモリ(ROM)、消去可能プログラム可能ROM(EPROM)、電気的消去可能プログラム可能ROM(EEPROM)、特定用途向け集積回路(ASIC)等)、ソフトウェア、ハードウェア内に、又は、適切である場合及び特定のニーズに基づいて、任意の他の適したコンポーネント、デバイス、要素、又はオブジェクト内に情報を更に維持することができる。本明細書で論じるメモリアイテムの任意のメモリアイテムは、広義の用語「メモリ要素」内に包含されるものとして解釈されるべきである。脅威インテリジェンスクラウド15、イベント解析サブクラウド20、センサー25a〜センサー25c、又はホスト30a〜ホスト30iによって追跡又は送出される情報は、その全てが任意の適した時間枠内で参照され得る任意のデータベース、レジスタ、テーブル、キュー、制御リスト、又は記憶構造内に設けられ得る。こうした任意の記憶オプションを、本明細書で使用される広義の用語「メモリ要素」に含むことができる。
さらに、脅威インテリジェンスクラウド15、イベント解析サブクラウド20、センサー25a〜センサー25c、及びホスト30a〜ホスト30iは、本明細書で論じるアクティビティーを実施するためのソフトウェア又はアルゴリズムを実行し得る幾つかのプロセッサを含むことができる。プロセッサは、メモリ要素に関連する任意のタイプの命令を実行して、本明細書で詳述されるオペレーションを達成し得る。一例では、プロセッサは、要素又は物品(例えば、データ)を1つの状態又は物事から別の状態又は物事に変換し得る。
或る特定の例示的な実装形態において、本明細書で概説される機能を、1つ又は複数の有形の媒体(例えば、ASIC内に設けられる埋め込み式ロジック、デジタル信号プロセッサ(DSP)命令、プロセッサによって実行されるソフトウェア(おそらくはオブジェクトコード及びソースコードを含む)、又は他の同様の機械等)内で符号化されるロジックによって実装することができ、1つ又は複数の有形の媒体が、非一時的媒体を含むものとすることができることに留意されたい。これらの事例の一部では、メモリ要素は、本明細書で述べるオペレーションのために使用されるデータを記憶し得る。これは、本明細書で述べるアクティビティーを実施するために実行されるソフトウェア、ロジック、コード、又はプロセッサ命令を記憶することができるメモリ要素を含む。別の例において、本明細書で概説されるアクティビティーを、固定ロジック又はプログラム可能ロジック(例えば、プロセッサによって実行されるソフトウェア/コンピューター命令)によって実装することができ、本明細書で特定される要素は、幾つかのタイプのプログラム可能プロセッサ、プログラム可能デジタルロジック(例えば、フィールドプログラマブルゲートアレイ(FPGA)、EPROM、EEPROM)、若しくは、デジタルロジック、ソフトウェア、コード、電子命令、又は任意の適したそれらの組合せを含むASICであり得る。本明細書で述べる、考えられる処理要素、モジュール、及び機械の任意のものが、広義の用語「プロセッサ」内に包含されるものとして解釈されるべきである。
図2は、サブクラウド20がIPSセンサーからのイベントを解析するのに専用であるネットワーク環境10の例示的な実施形態に関連することができる、考えられるオペレーションの略相互作用図である。200にて、IPSセンサー(例えば、センサー25a)は、埋め込み式JAVASCRIPT(登録商標)タグを有するPDF文書をホスト30bがダウンロードすること等の、脅威を示すアクティビティーを観察することができる。205にて、ローカルIPSは、脅威を阻止することができる、及び/又は、ローカル警告を送出することができる。210にて、イベントを、脅威インテリジェンスクラウド15に同様にレポートすることができる。215にて、脅威インテリジェンスクラウド15は、サブクラウド20内でのイベント解析にとってイベントが重要であるかどうかを判定することができる(例えば、レポートがIPSから受信される)。サブクラウド20内での解析にとってイベントが重要である場合、脅威インテリジェンスクラウド15は、220にて、イベント情報をサブクラウド20に送出できる。種々の解析発見的方法(例えば、時間、測位、レピュテーション等に基づく)を使用して、225にて、サブクラウド20は、グローバルな脅威を特定するべく、イベントを、ネットワーク環境10全体にわたって分散される他のセンサーからレポートされるイベント(又は、帯域外トラフィックの予期しない増加等の、同じセンサーからの後続のイベント)に相関付けることができる。
例えば、低深刻度の警告を、JAVASCRIPT(登録商標)タグを有するポータブル文書フォーマット(PDF:portable document format)ファイルをダウンロードすることについて設定することができる。ローカルポリシーは、低深刻度の警告であるため、こうしたイベントを無視することができる。しかし、こうしたPDFのレピュテーション及びソースを、ネットワーク全体を通した複数のセンサーから受信されるレポートに基づいて決定することができる。分散センサーからレポートされるイベントのデータマイニングを行い、特定の国、領域、又は業界内のセンサーによってレポートされるイベントを相関付けることによって、PDF文書を、その国、領域、業界を標的にする脅威として特定することができる。悪いレピュテーションを有する疑わしいアドレスからこのPDFファイルをダウンロードしたホストもまた特定され得る。サジェスチョン、指針、及びポリシー変更推奨が、その後提供され得る。
230にて、サブクラウド20は、グローバル脅威情報を生成し、また、ネットワーク環境10内の又はネットワーク環境10の(例えば、特定の国に関連する)特定のセグメント内の全てのIPSに脅威情報を知らせるとともに、脅威相関に基づいて、それらの全てのIPSに、カスタマイズされたセキュリティポリシー/構成サジェスチョンを提供することができる。カスタマイズされたセキュリティポリシーは、管理者からの介入なしでネットワーク環境10を保護するきめ細かい(granular)応答アクションを含み得る。例えば、更新サービス35は、感染したホスト(例えば、ホスト30b)をアドレスによって特定し、(もしあれば)データ喪失のタイプを特定し、感染したホストを隔離するカスタムセキュリティポリシーをセンサー25aに提供することができるか、又は、更新サービス35は、阻止されるべきである特定のアドレスを特定することができる。235にて、サブクラウド20はまた、結果を脅威インテリジェンスクラウド15に提供して、他のレピュテーションデータを増大させることができる。
図3は、ネットワーク環境10の或る特定の実施形態に関連することができる、考えられるオペレーションを示す略フローチャート300である。特定の実施形態において、こうしたオペレーションを、例えば、イベント解析サブクラウド20によって実行することができる。305にて、イベント情報を受信することができる。イベント情報を、例えば、脅威インテリジェンスクラウド15からプッシュ又はプルすることができる。幾つかの実施形態において、イベント情報は、ネットワーク環境(例えば、ネットワーク環境10)にわたって分散されるセンサーによってレポートすることができる。イベント情報を、310にて相関付けることができる。315にて、相関が脅威を明らかにする場合、320にて、カスタマイズされたセキュリティポリシーを、センサーの少なくとも1つのセンサーに送出することができる。カスタマイズされたセキュリティポリシーは、部分的又は全体的に315にて特定された脅威に基づき得る。レピュテーションデータ(同様に、部分的又は全体的に315にて検出された脅威に基づくことができる)を、325にて送出することができる。例えば、イベント情報の相関は、特定のネットワークアドレスに関連する脅威を特定することができ、サブクラウド20は、ネットワークアドレスのレピュテーションの更新を脅威インテリジェンスクラウド15に送出できる。
そのため、ネットワーク環境10は、その一部が既に述べられた有意の利点を提供することができる。より詳細には、ローカルセキュリティ対抗策は、ローカルに調節されたポリシーを使用して、ローカルネットワークのニーズに基づいて脅威に対する保護を提供することができ、また、ネットワーク環境10は、ローカルセンサー(すなわち、センサー25a〜センサー25c)のそれぞれを接続して、1つのグローバル脅威インテリジェンスネットワークにすることができる。ネットワーク環境10では、ローカルセキュリティ対抗策は、もはや最新の脅威に反応するだけではない。新しい脅威に関するインテリジェンスを、管理システムに自動的にプッシュすることができ、管理システムがネットワークを積極的に保護することを可能にする。さらに、ネットワーク環境10は、積極的な調節のためにクラウドベースインフラストラクチャーにレバレッジをかけることによってセキュリティ対抗策についての総所有コストを大幅に低減することができる。
先に提供された例によって、2つ、3つ、又は4つのネットワーク要素の観点から相互作用を述べることができることに留意されたい。しかし、これは、明確さ及び例だけのために行われた。或る特定の場合には、制限された数のネットワーク要素を参照することだけによって所与のフローのセットの機能の1つ又は複数を述べることがより容易である場合がある。ネットワーク環境10(及びその教示)が、容易にスケーラブルであり、多数のコンポーネント並びにより複雑な/精緻な配置及び構成に対処し得ることが認識されるべきである。IPSの特定の文脈において本明細書で述べる原理を、ゲートウェイ、ファイアウォール等のような他のタイプのネットワーク要素に、又は、アンチウィルスシステム等のホストシステムに容易に拡張することができることも認識されるべきである。したがって、提供される例は、無数の他のアーキテクチャにおそらくは適用されるため、ネットワーク環境10の範囲を制限すべきではないか、又は、ネットワーク環境10の広義の教示を禁じるべきではない。さらに、オペレーションが所与のネットワーク要素に関連することができる特定のシナリオを参照して述べたが、これらのオペレーションは、外的に実装され得る、又は、任意の適した方式で統合及び/又は組み合わされ得る。或る特定の事例では、或る特定の要素を、単一の独占的なモジュール、デバイス、ユニット等内に設けることができる。
添付図面のステップが、ネットワーク環境10によって又はネットワーク環境10内で実行することができる、考えられる信号送信シナリオ及び信号送信パターンの一部だけを示すことに留意することも重要である。これらのステップの一部を、適切である場合、削除若しくは除去することができる、又は、これらのステップを、本明細書で提供される教示の範囲から逸脱することなくかなり修正又は変更することができる。さらに、幾つかのこれらのオペレーションは、1つ又は複数の更なるオペレーションと同時に又はそれと並列に実行されるものとして述べられた。しかし、これらのオペレーションのタイミングを、かなり変更することができる。先行するオペレーションフローは、例及び議論のために提供された。任意の適した配置構成、時系列(chronology)、構成、及びタイミングメカニズムを、本明細書で提供される教示から逸脱することなく提供することができる点で、かなりの柔軟性がネットワーク環境10によって提供される。
多数の他の変更、置換、変形、代替、及び修正を、当業者が確認することができ、本開示が、添付の特許請求の範囲内に入る全てのこうした変更、置換、変形、代替、及び修正を包含することが意図される。米国特許商標局(USPTO)、またさらに、本出願に関して発行される任意の特許の任意の読者が、添付の特許請求の範囲を解釈するのを補助するために、(a)「ための手段(means for)」又は「ためのステップ(step for)」という用語が特定の請求項において具体的に使用されなければ、添付特許請求項のいずれの特許請求項も、本明細書の出願日に存在している米国特許法第112条第6段落(paragraph six(6) of 35 U.S.C. section 112)を援用することを意図せず、また、(b)本明細書のどの記載によっても添付特許請求の範囲に反映されない限り本開示を制限することは意図しないことに、本出願人は言及しておきたい。

Claims (32)

  1. 実行されるとコンピュータにオペレーションを実行させるコンピュータプログラムであって、
    前記オペレーションは、脅威を特定するように複数のイベント情報を相関づけることであって、複数のホストに関連する複数の脅威ベクトルにわたって前記イベント情報を集めるべく、前記複数のイベント情報ネットワーク環境全体にわたってグローバルに分散された複数のセンサーからイベント解析サブクラウドによって受信され、前記複数の脅威ベクトルは、複数のファイル、複数のインターネットプロトコル(IP)アドレス、および複数のアプリケーションを備える、相関づけることと、
    前記特定された脅威に関する指針を提供することと、
    前記特定された脅威が、手作業の介入なしで前記ネットワーク環境全体にわたって阻止されるように、前記特定された脅威に対するレピュテーションデータを脅威インテリジェンスクラウドによって調整することであって、前記レピュテーションデータが前記特定された脅威の信頼性のレベルを示す、調整することと、
    を備える、
    コンピュータプログラム。
  2. 実行されるとコンピュータにオペレーションを実行させるコンピュータプログラムであって、
    前記オペレーションは、脅威を特定するように複数のイベント情報を相関づけることであって、複数のホストに関連する複数の脅威ベクトルにわたって前記イベント情報を集めるべく、前記複数のイベント情報ネットワーク環境全体にわたってグローバルに分散された複数のセンサーから脅威インテリジェンスクラウドによって受信され、前記複数の脅威ベクトルは、複数のファイル、複数のインターネットプロトコル(IP)アドレス、および複数のアプリケーションを備える、相関づけることと、
    前記特定された脅威に関する指針を提供することと、
    前記特定された脅威が、手作業の介入なしで前記ネットワーク環境全体にわたって阻止されるように、前記特定された脅威に対するレピュテーションデータを前記脅威インテリジェンスクラウドによって調整することであって前記レピュテーションデータが前記特定された脅威の信頼性のレベルを示す、調整することと、
    を備える、コンピュータプログラム。
  3. 前記オペレーションは更に、前記特定された脅威を阻止するための1または複数の応答アクションを使用可能にすることを備える、請求項1または2に記載のコンピュータプログラム。
  4. 前記オペレーションは更に、前記特定された脅威を阻止するためのシグネチャーセット構成を自動的に調整することを備える、請求項1から3のいずれか1項に記載のコンピュータプログラム。
  5. 前記オペレーションは更に、前記特定された脅威に感染したホストを隔離するセキュリティポリシーを提供することを備える、請求項1から4のいずれか1項に記載のコンピュータプログラム。
  6. 前記オペレーションは更に、前記特定された脅威に対する前記レピュテーションデータを調整するために用いられるべき前記相関づけることの結果を提供することを備える、請求項1から5のいずれか1項に記載のコンピュータプログラム。
  7. 前記オペレーションは更に、前記複数のセンサーのうちの1または複数のセンサーに、前記特定された脅威を知らせることを備える、請求項1から6のいずれか1項に記載のコンピュータプログラム。
  8. 前記1または複数のセンサーは、ほぼリアルタイムで、前記特定された脅威について知らされる、請求項7に記載のコンピュータプログラム。
  9. 前記相関づけることは、特定の国、領域、又は業界に設けられた前記複数のセンサーによってレポートされる前記複数のイベント情報を相関付けることによって、前記特定の国、領域、又は業界を標的にする前記脅威を特定することを含む、請求項1から8のいずれか1項に記載のコンピュータプログラム。
  10. 前記イベント情報は、接続の発信元アドレス、前記接続の宛先アドレス、前記接続に関連するアクティビティーのタイプ、前記接続に関連するダウンロードされるファイルの特定、前記接続に関連する1または複数のプロトコル、のいずれか1つまたは複数を含む、請求項1から9のいずれか1項に記載のコンピュータプログラム。
  11. 前記脅威インテリジェンスクラウドは、レピュテーションシステムを含む、請求項2から10のいずれか1項に記載のコンピュータプログラム。
  12. 前記イベント情報は、リアルタイムで、前記脅威インテリジェンスクラウドによって受信される、請求項2から11のいずれか1項に記載のコンピュータプログラム。
  13. 前記指針が、前記特定された脅威に基づくカスタマイズされたセキュリティーポリシーの提案を有する、請求項1から12のいずれか1項に記載のコンピュータプログラム。
  14. 前記オペレーションは更に、カスタマイズされたセキュリティーポリシーを、前記脅威に基づいて前記複数のセンサーのそれぞれへ送出することを備える、請求項1から12のいずれか1項に記載のコンピュータプログラム。
  15. 脅威インテリジェンスクラウドと、
    イベント解析サブクラウドと、
    前記脅威インテリジェンスクラウドおよび前記イベント解析サブクラウドに関連づけられた命令を実行可能な1または複数のプロセッサと、
    を備え
    前記1または複数のプロセッサは、
    脅威を特定するように複数のイベント情報を相関づけ、複数のホストに関連する複数の脅威ベクトルにわたって前記イベント情報を集めるべく、前記複数のイベント情報ネットワーク環境全体にわたってグローバルに分散された複数のセンサーから前記脅威インテリジェンスクラウドによって受信され、前記複数の脅威ベクトルは、複数のファイル、複数のインターネットプロトコル(IP)アドレス、および複数のアプリケーションを備え、
    前記特定された脅威に関する指針を提供し、
    前記特定された脅威が、手作業の介入なしで前記ネットワーク環境全体にわたって阻止されるように、前記特定された脅威に対するレピュテーションデータを前記脅威インテリジェンスクラウドによって調整前記レピュテーションデータが前記特定された脅威の信頼性のレベルを示す、システム。
  16. 前記脅威インテリジェンスクラウドに関連付けられた収集モジュールを更に備え、
    前記収集モジュールは、前記1または複数のプロセッサに実行されると、前記複数のセンサーから送信されるべきイベント情報のレポートを要求する、請求項15に記載のシステム。
  17. 前記1または複数のプロセッサは、前記特定された脅威を阻止するための1または複数の応答アクションを使用可能にするための前記命令を実行可能である、請求項15または16に記載のシステム。
  18. 前記1または複数のプロセッサは、前記特定された脅威を阻止するためのシグネチャーセット構成を自動的に調整するための前記命令を実行可能である、請求項15から17のいずれか1項に記載のシステム。
  19. 前記1または複数のプロセッサは、前記特定された脅威に感染したホストを隔離するセキュリティポリシーを提供するための前記命令を実行可能である、請求項15から18のいずれか1項に記載のシステム。
  20. 前記1または複数のプロセッサは、前記特定された脅威に対する前記レピュテーションデータを調整するための前記複数のイベント情報の前記相関づけの結果を提供するための前記命令を実行可能である、請求項15から19のいずれか1項に記載のシステム。
  21. 前記イベント情報は、リアルタイムで前記脅威インテリジェンスクラウドにより受信される、請求項15から20のいずれか1項に記載のシステム。
  22. 前記イベント情報は、接続の発信元アドレス、前記接続の宛先アドレス、前記接続に関連するアクティビティーのタイプ、前記接続に関連するダウンロードされるファイルの特定、前記接続に関連する1または複数のプロトコル、のいずれか1つまたは複数を含む、請求項15から21のいずれか1項に記載のシステム。
  23. 脅威を特定するように複数のイベント情報を相関づけることであって、複数のホストに関連する複数の脅威ベクトルにわたって前記イベント情報を集めるべく、前記複数のイベント情報ネットワーク環境全体にわたってグローバルに分散された複数のセンサーから脅威インテリジェンスクラウドによって受信され、前記複数の脅威ベクトルは、複数のファイル、複数のインターネットプロトコル(IP)アドレス、および複数のアプリケーションを備える、相関づけることと、
    前記特定された脅威に関する指針をイベント解析サブクラウドにより提供することと、
    前記特定された脅威が、手作業の介入なしで前記ネットワーク環境全体にわたって阻止されるように、前記特定された脅威に対するレピュテーションデータを前記脅威インテリジェンスクラウドにより調整することであって前記レピュテーションデータが前記特定された脅威の信頼性のレベルを示す、調整することと、
    を備える、方法。
  24. 前記特定された脅威を阻止するための1または複数の応答アクションを前記イベント解析サブクラウドにより使用可能にすることを更に備える、請求項23に記載の方法。
  25. 前記特定された脅威を阻止するためのシグネチャーセット構成を前記イベント解析サブクラウドにより自動的に調整することを更に備える、請求項23または24に記載の方法。
  26. 前記特定された脅威に感染したホストを隔離するセキュリティポリシーを前記イベント解析サブクラウドにより提供することを更に備える、請求項23から25のいずれか1項に記載の方法。
  27. 前記特定された脅威に対する前記レピュテーションデータを調整するために用いられるべき前記相関づけることの結果を前記イベント解析サブクラウドにより提供することを更に備える、請求項23から26のいずれか1項に記載の方法。
  28. 前記イベント情報は、リアルタイムで前記脅威インテリジェンスクラウドによって受信される、請求項23から27のいずれか1項に記載の方法。
  29. 請求項23から28のいずれか1項の方法を実行するための手段を備える、装置。
  30. 前記方法を実行するための手段は、少なくとも1つのプロセッサと少なくとも1つのメモリ要素とを有する、請求項29に記載の装置。
  31. 装置であって、
    内部に命令が格納された少なくとも1つのメモリ要素と、
    前記装置が動作するように前記命令を実行可能な少なくとも1つのプロセッサと、
    を備え、
    前記装置は、
    脅威を特定するように複数のイベント情報を相関づけ、複数のホストに関連する複数の脅威ベクトルにわたって前記イベント情報を集めるべく、前記複数のイベント情報ネットワーク環境全体にわたってグローバルに分散された複数のセンサーから脅威インテリジェンスクラウドによって受信され、前記複数の脅威ベクトルは、複数のファイル、複数のインターネットプロトコル(IP)アドレス、および複数のアプリケーションを備え、
    前記特定された脅威に関する指針を提供し、
    前記特定された脅威が、手作業の介入なしで前記ネットワーク環境全体にわたって阻止されるように、前記特定された脅威に対するレピュテーションデータを前記脅威インテリジェンスクラウドによって調整前記レピュテーションデータが前記特定された脅威の信頼性のレベルを示す、装置。
  32. 前記少なくとも1つのプロセッサは、前記装置が、前記特定された脅威を阻止するための1または複数の応答アクションを使用可能にするように、前記命令を実行可能である、請求項31に記載の装置。
JP2015188532A 2011-09-15 2015-09-25 コンピュータプルグラム、システム、方法、及び装置 Active JP6147309B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US13/233,497 2011-09-15
US13/233,497 US20130074143A1 (en) 2011-09-15 2011-09-15 System and method for real-time customized threat protection

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2014530908A Division JP5816375B2 (ja) 2011-09-15 2012-09-14 脅威に対してリアルタイムでカスタマイズされた保護を行う方法、ロジック及び装置

Publications (2)

Publication Number Publication Date
JP2016027491A JP2016027491A (ja) 2016-02-18
JP6147309B2 true JP6147309B2 (ja) 2017-06-14

Family

ID=47881935

Family Applications (2)

Application Number Title Priority Date Filing Date
JP2014530908A Active JP5816375B2 (ja) 2011-09-15 2012-09-14 脅威に対してリアルタイムでカスタマイズされた保護を行う方法、ロジック及び装置
JP2015188532A Active JP6147309B2 (ja) 2011-09-15 2015-09-25 コンピュータプルグラム、システム、方法、及び装置

Family Applications Before (1)

Application Number Title Priority Date Filing Date
JP2014530908A Active JP5816375B2 (ja) 2011-09-15 2012-09-14 脅威に対してリアルタイムでカスタマイズされた保護を行う方法、ロジック及び装置

Country Status (6)

Country Link
US (1) US20130074143A1 (ja)
EP (2) EP2756439B1 (ja)
JP (2) JP5816375B2 (ja)
KR (2) KR101898793B1 (ja)
CN (2) CN103875222B (ja)
WO (1) WO2013040496A2 (ja)

Families Citing this family (52)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9729513B2 (en) 2007-11-08 2017-08-08 Glasswall (Ip) Limited Using multiple layers of policy management to manage risk
KR101414959B1 (ko) * 2012-02-29 2014-07-09 주식회사 팬택 네트워크 공격을 감지하는 이동 통신 단말기 및 그 감지 방법
EP2901612A4 (en) * 2012-09-28 2016-06-15 Level 3 Communications Llc APPARATUS, SYSTEM AND METHOD FOR IDENTIFYING AND MITIGATING MALICIOUS THREATS ON A NETWORK
CN105519041B (zh) 2013-09-28 2019-03-01 迈克菲股份有限公司 安全连接的框架
US10135845B2 (en) * 2013-09-28 2018-11-20 Mcafee, Llc Context-aware network on a data exchange layer
CN105556526B (zh) * 2013-09-30 2018-10-30 安提特软件有限责任公司 提供分层威胁智能的非暂时性机器可读介质、系统和方法
US9401926B1 (en) * 2013-10-31 2016-07-26 Fulcrum IP Services, LLC System and method for implementation of cyber security
US10686759B2 (en) 2014-06-22 2020-06-16 Webroot, Inc. Network threat prediction and blocking
WO2016014021A1 (en) 2014-07-21 2016-01-28 Hewlett-Packard Development Company, L.P. Security indicator linkage determination
US10257227B1 (en) * 2014-08-14 2019-04-09 Amazon Technologies, Inc. Computer security threat correlation
US9832219B2 (en) * 2014-09-05 2017-11-28 International Business Machines Corporation System for tracking data security threats and method for same
US9699201B2 (en) 2014-09-25 2017-07-04 International Business Machines Corporation Automated response to detection of threat to cloud virtual machine
US9807118B2 (en) 2014-10-26 2017-10-31 Mcafee, Inc. Security orchestration framework
US9124622B1 (en) 2014-11-07 2015-09-01 Area 1 Security, Inc. Detecting computer security threats in electronic documents based on structure
CN105592024A (zh) * 2014-11-14 2016-05-18 江苏威盾网络科技有限公司 一种基于认知网络的网络防护系统及方法
US9330264B1 (en) 2014-11-26 2016-05-03 Glasswall (Ip) Limited Statistical analytic method for the determination of the risk posed by file based content
CN104539484B (zh) * 2014-12-31 2018-01-26 深圳先进技术研究院 一种动态评估网络连接可信度的方法及系统
US10230742B2 (en) 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
CN107409126B (zh) * 2015-02-24 2021-03-09 思科技术公司 用于保护企业计算环境安全的系统和方法
CA2982107A1 (en) * 2015-04-10 2016-10-13 Level 3 Communications, Llc Systems and methods for generating network threat intelligence
US10169584B1 (en) 2015-06-25 2019-01-01 Symantec Corporation Systems and methods for identifying non-malicious files on computing devices within organizations
US10055586B1 (en) 2015-06-29 2018-08-21 Symantec Corporation Systems and methods for determining the trustworthiness of files within organizations
US9935981B2 (en) * 2015-09-18 2018-04-03 International Business Machines Corporation Dynamic tuple for intrusion prevention systems
IN2015CH05315A (ja) * 2015-10-05 2015-10-23 Wipro Ltd
US9838405B1 (en) 2015-11-20 2017-12-05 Symantec Corporation Systems and methods for determining types of malware infections on computing devices
CN105763530A (zh) * 2015-12-12 2016-07-13 哈尔滨安天科技股份有限公司 一种基于web的威胁情报采集系统及方法
GB2545486B (en) * 2015-12-18 2019-12-11 F Secure Corp Evasive intrusion detection in private network
IL243825B (en) * 2016-01-28 2021-05-31 Verint Systems Ltd A system and method for automated forensic investigation
US10104117B2 (en) * 2016-02-24 2018-10-16 Microsoft Technology Licensing, Llc Identifying user behavior in a distributed computing system
US10003606B2 (en) * 2016-03-30 2018-06-19 Symantec Corporation Systems and methods for detecting security threats
US10542014B2 (en) 2016-05-11 2020-01-21 International Business Machines Corporation Automatic categorization of IDPS signatures from multiple different IDPS systems
US20170353475A1 (en) * 2016-06-06 2017-12-07 Glasswall (Ip) Limited Threat intelligence cloud
JP6538618B2 (ja) * 2016-06-27 2019-07-03 日本電信電話株式会社 管理装置及び管理方法
US10242187B1 (en) * 2016-09-14 2019-03-26 Symantec Corporation Systems and methods for providing integrated security management
US10091231B1 (en) 2016-09-15 2018-10-02 Symantec Corporation Systems and methods for detecting security blind spots
US10542017B1 (en) 2016-10-13 2020-01-21 Symantec Corporation Systems and methods for personalizing security incident reports
US10691795B2 (en) * 2016-10-24 2020-06-23 Certis Cisco Security Pte Ltd Quantitative unified analytic neural networks
US10417033B2 (en) * 2017-01-23 2019-09-17 ShieldX Networks, Inc. Generating efficient computer security threat signature libraries
US10848397B1 (en) 2017-03-30 2020-11-24 Fireeye, Inc. System and method for enforcing compliance with subscription requirements for cyber-attack detection service
US10791138B1 (en) 2017-03-30 2020-09-29 Fireeye, Inc. Subscription-based malware detection
US10798112B2 (en) 2017-03-30 2020-10-06 Fireeye, Inc. Attribute-controlled malware detection
US10855713B2 (en) * 2017-04-27 2020-12-01 Microsoft Technology Licensing, Llc Personalized threat protection
US10498758B1 (en) 2017-06-28 2019-12-03 Armis Security Ltd. Network sensor and method thereof for wireless network vulnerability detection
US10505967B1 (en) * 2017-06-28 2019-12-10 Armis Security Ltd. Sensor-based wireless network vulnerability detection
US11637844B2 (en) 2017-09-28 2023-04-25 Oracle International Corporation Cloud-based threat detection
CN107819783A (zh) * 2017-11-27 2018-03-20 深信服科技股份有限公司 一种基于威胁情报的网络安全检测方法及系统
US10841331B2 (en) 2017-12-19 2020-11-17 International Business Machines Corporation Network quarantine management system
US10887327B2 (en) 2018-03-23 2021-01-05 Juniper Networks, Inc. Enforcing threat policy actions based on network addresses of host threats
US10862912B2 (en) * 2018-03-23 2020-12-08 Juniper Networks, Inc. Tracking host threats in a network and enforcing threat policy actions for the host threats
US11063967B2 (en) * 2018-07-03 2021-07-13 The Boeing Company Network threat indicator extraction and response
WO2023118907A1 (en) * 2021-12-22 2023-06-29 Citrix Systems,Inc Systems and methods for adaptive action with distributed enforcement points
KR102690914B1 (ko) * 2022-04-14 2024-07-31 동국대학교 와이즈캠퍼스 산학협력단 네트워크 보안 시스템 및 이를 이용한 네트워크 보안 방법

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3697249B2 (ja) * 2003-04-30 2005-09-21 株式会社エヌ・ティ・ティ・データ ネットワーク状態監視システム及びプログラム
JP4129207B2 (ja) * 2003-07-18 2008-08-06 株式会社日立製作所 不正侵入分析装置
US7260844B1 (en) * 2003-09-03 2007-08-21 Arcsight, Inc. Threat detection in a network security system
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US7523504B2 (en) * 2004-08-02 2009-04-21 Netiq Corporation Methods, systems and computer program products for evaluating security of a network environment
JP4523480B2 (ja) * 2005-05-12 2010-08-11 株式会社日立製作所 ログ分析システム、分析方法及びログ分析装置
JP2007179131A (ja) * 2005-12-27 2007-07-12 Nec Corp イベント検出システム、管理端末及びプログラムと、イベント検出方法
CN100550768C (zh) * 2006-04-10 2009-10-14 华为技术有限公司 一种信息安全管理平台
EP2021968B1 (en) * 2006-05-18 2012-11-14 Research In Motion Limited Automatic security action invocation for mobile communications device
CN100571157C (zh) * 2006-08-15 2009-12-16 华为技术有限公司 一种实现移动台安全控制的方法及其系统
JP2008083751A (ja) * 2006-09-25 2008-04-10 Hitachi Information Systems Ltd 不正アクセス対応ネットワークシステム
KR101042820B1 (ko) * 2007-01-09 2011-06-21 이경태 시스템 취약점(exploit)을 이용한 웜 바이러스 치료 보안솔루션
US8549632B2 (en) * 2008-09-05 2013-10-01 Nec Europe Ltd. Method for supporting attack detection in a distributed system
CN101610174B (zh) * 2009-07-24 2011-08-24 深圳市永达电子股份有限公司 一种日志事件关联分析系统与方法
US8806620B2 (en) * 2009-12-26 2014-08-12 Intel Corporation Method and device for managing security events
WO2011103385A1 (en) * 2010-02-22 2011-08-25 Avaya Inc. Secure, policy-based communications security and file sharing across mixed media, mixed-communications modalities and extensible to cloud computing such as soa
CN103078864B (zh) * 2010-08-18 2015-11-25 北京奇虎科技有限公司 一种基于云安全的主动防御文件修复方法

Also Published As

Publication number Publication date
EP2756439A2 (en) 2014-07-23
KR101671594B1 (ko) 2016-11-01
EP2756439A4 (en) 2015-03-11
EP3009949A1 (en) 2016-04-20
JP2014530419A (ja) 2014-11-17
US20130074143A1 (en) 2013-03-21
KR20140061463A (ko) 2014-05-21
KR101898793B1 (ko) 2018-09-13
WO2013040496A3 (en) 2013-05-10
JP2016027491A (ja) 2016-02-18
KR20160128434A (ko) 2016-11-07
CN105491035A (zh) 2016-04-13
EP3009949B1 (en) 2018-08-29
JP5816375B2 (ja) 2015-11-18
CN105491035B (zh) 2019-01-04
CN103875222B (zh) 2018-05-15
CN103875222A (zh) 2014-06-18
WO2013040496A2 (en) 2013-03-21
EP2756439B1 (en) 2018-11-14

Similar Documents

Publication Publication Date Title
JP6147309B2 (ja) コンピュータプルグラム、システム、方法、及び装置
US10701036B2 (en) System, method, and computer program for preventing infections from spreading in a network environment using dynamic application of a firewall policy
US10095866B2 (en) System and method for threat risk scoring of security threats
US9641544B1 (en) Automated insider threat prevention
US9460285B2 (en) Security policy deployment and enforcement system for the detection and control of polymorphic and targeted malware
Virvilis et al. Security Busters: Web browser security vs. rogue sites
US8677493B2 (en) Dynamic cleaning for malware using cloud technology
EP2835948B1 (en) Method for processing a signature rule, server and intrusion prevention system
US9710646B1 (en) Malware detection using clustering with malware source information
US20150082437A1 (en) Method and apparatus for detecting irregularities on a device
EP3374870B1 (en) Threat risk scoring of security threats
US20170070518A1 (en) Advanced persistent threat identification
US11863586B1 (en) Inline package name based supply chain attack detection and prevention
Ganame et al. Network behavioral analysis for zero-day malware detection–a case study
US12132759B2 (en) Inline package name based supply chain attack detection and prevention
US20240333759A1 (en) Inline ransomware detection via server message block (smb) traffic

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20151203

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160928

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20161004

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20161228

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170303

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170321

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170420

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170516

R150 Certificate of patent or registration of utility model

Ref document number: 6147309

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

S533 Written request for registration of change of name

Free format text: JAPANESE INTERMEDIATE CODE: R313533

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250