JPH11316677A - コンピュ―タネットワ―クの保安方法 - Google Patents

コンピュ―タネットワ―クの保安方法

Info

Publication number
JPH11316677A
JPH11316677A JP11015683A JP1568399A JPH11316677A JP H11316677 A JPH11316677 A JP H11316677A JP 11015683 A JP11015683 A JP 11015683A JP 1568399 A JP1568399 A JP 1568399A JP H11316677 A JPH11316677 A JP H11316677A
Authority
JP
Japan
Prior art keywords
probe
network
security
private network
firewall
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11015683A
Other languages
English (en)
Inventor
Eric Grosse
グロッセ エリック
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nokia of America Corp
Original Assignee
Lucent Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Lucent Technologies Inc filed Critical Lucent Technologies Inc
Publication of JPH11316677A publication Critical patent/JPH11316677A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/40Network security protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

(57)【要約】 【課題】 ネットワークパフォーマンスを落とさないよ
うなコンピュータネットワークにて用いられるセキュリ
ティの対策の認証技術を提供する。 【解決手段】 コンピュータネットワーク内の特定のク
ライエントがそのネットワークの所望のセキュリティ上
の特徴に従って全体的に構成されているかどうかを判断
する技術を提供する。ネットワーク内に入るファイル内
にプローブがランダムに挿入される。プローブの挿入は
コンピュータネットワークを他のネットワークから分離
するファイアーウォールにおいて行われる。プローブは
特定の実行タスク(既知のウィルスなど)に従って構成
し、適切に構成されたクライエントにおいてはプローブ
は実行されず、ファイアーウォールはセキュリティブリ
ーチ(違反)を検出しない。不正な場合はプローブは実
行されセキュリティアラートをトリガーさせる。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、ネットワークセキ
ュリティに関し、特に、コンピュータネットワークにて
用いられるセキュリティの対策(measure)の認証技術に
関する。
【0002】
【従来の技術】通信技術における進歩およびパワフルな
デスクトップコンピュータハードウェアを利用できるよ
うになったことにより、多くのパブリック的に(プライ
ベートでないこと)利用可能なコンピュータネットワー
クにコンピュータをアクセスさせることが多くなってき
た。今日では、インターネットのようなパブリックコン
ピュータネットワークを介して世界中のユーザー個人と
の間で莫大な量の情報が交換されている。ユーザーの分
類の1つとして、会社内のインターネットのようなプラ
イベートネットワークを介してお互い接続されたプライ
ベートな個人および職業上のユーザーがある。プライベ
ートコンピュータネットワークとパブリックコンピュー
タネットワークとの間での情報の交換によって、プライ
ベートコンピュータネットワーク上の情報の保護および
プライベートコンピュータネットワーク自身の全体の機
能に関して多くの非常に重要なセキュリティ問題を発生
させた。
【0003】コンピュータネットワークセキュリティ
は、最低でも、コンピュータの運用およびネットワーク
資源に対して信頼性を確実にし、不正な情報の流出や不
正なアクセスからネットワーク内の情報を保護しなけれ
ばならない。このようなネットワークセキュリティに対
して多くのセキュリティ上の驚異を与える問題がますま
す増えている。そのセキュリティ上の驚異の内のもっと
も洗練された種のものは、ネットワークコンピュータシ
ステム内の特定の無防備なところを利用するプログラム
がある。これらのプログラムに関連したセキュリティ上
の驚異として周知な、論理爆弾(logic bomb)、トラップ
ドア(trapdoor)、トロイの木馬(trojan horse)、ウィル
ス(virus)、ワーム(worm)などがある。これらは文献、
W.Stallings, Network and Internetwork Security Pri
nciles and Practice, Prentice-Hall, Inc., Englewoo
d Cliffs, NJ, 1995.などに説明されている
【0004】このような周知なソフトウェアプログラム
の驚異は、セキュリティブリーチを達成するために独立
に働くもの(例、ワーム)か、あるいは破壊的アクショ
ンを起こさせるためにホストプログラムを呼び出す必要
があるもの(例、トラップドア、論理爆弾、トロイの木
馬、ウィルス)がある。実際にこのようなプログラム
は、十分に公知になるほどたくさんあり、プライベート
ネットワークコンピュータのセキュリティを不正にブリ
ーチさせるのに用いられ、重大な損害を与えてしまって
いる。たとえば、文献、J.Hruska, Computer Viruses a
nd Anti-Virus Warfare, Second edition, Ellis Horwo
od Limited, New York, 1992.に説明されている。この
ような損害としては、電子ファイルの破壊、データベー
スの変更、コンピュータネットワーク自身ないし影響を
受けたコンピュータネットワーク自身ないし影響を受け
たネットワークにつながれたコンピュータハードウェア
を運用不能としてしまうことがある。
【0005】プライベートコンピュータネットワークの
運用を行うネットワーク管理者は多くのセキュリティ対
策を用いて、コンピュータウィルスの侵入のような外的
セキュリティブリーチからネットワークを保護しようと
する。それらの技術の1つとしていわゆるファイアーウ
ォールがある。このセキュリティ方式は、プライベート
ネットワークとパブリックネットワーク(インターネッ
トなど)との間に別のコンピュータシステム(ファイア
ーウォール)を本質的に配置する。このファイアーウォ
ールは、ソフトウェアベースのゲートウェイであり、外
部のもの(認証されていないユーザー)によるアタック
からLAN上のコンピュータを保護するように通常イン
ストールされている。ファイアーウォールは、プライベ
ートネットワークを出入りする通信を制御している。
【0006】ファイアーウォールは、プライベートネッ
トワークを利用するすべてのユーザーに対して、特定の
セキュリティ対策を与える。ファイアーウォールは新し
いインターネットのサービスやワールドワイドウェーブ
(WWW)上の新しいサイトへのアクセスをブロックす
ることがある。なぜなら、その時点のファイアーウォー
ルの構成にとってセキュリティ上及ぼされる結果が未知
であったり登録されていなかったりするからである。フ
ァイアーウォールの導入構成例として、WWWクライエ
ントが直接WWWサーバに接触させない構成がある。こ
の構成は通常制限が強すぎであり、従って、ネットワー
ク管理者はいわゆるプロキシサーバを利用することが多
い。プロキシサーバは、ファイアーウォールを通してW
WWクライエントからの要求を提供するような特定の機
能があり、このようにして、インターネット上のサーバ
と出入りする通信の流れを提供する。
【0007】最近になり、ファイアーウォールのベンダ
ーはいわゆるウィルスフィルタリング機能を提供するよ
うになり、ウィルス感染に関連する重要なセキュリティ
上の問題を解決している。このようにファイアーウォー
ルにてウィルスフィルタリングを行うことは、クライエ
ントマシン(PCなど)上で通常用いられている周知の
ウィルススキャニングと概念的には同様なものであり、
従来のクライエント/サーバ構成においてLAN内に存
在させている。このようなクライエントベースのウィル
ス検出において、ウィルススキャンはクライエントのオ
ペレーティングシステム、実行可能ファイル、システム
ファイル、ブートレコード、メモリなどを検索するプロ
グラムを用いており、存在してはならないソフトウェア
エンティティの存在を検出する。
【0008】コンピュータウィルスは、それらウィルス
それぞれがもっているウィルスシグネチャ(ウィルスの
特徴)が前もって見つけられていてそれをウィルススキ
ャナが用いることによって検出する。ウィルスシグネチ
ャは、ウィルススキャンソフトウェアのベンダーが既知
のウィルスから抽出した固定長シグネチャパターン(1
6〜24バイトパターンなど)であることが多い。ウィ
ルススキャンソフトウェアは既知のコンピュータウィル
スのシグネチャのリストをもっており、特定のクライエ
ントのたくさんのファイルをスキャンし、特定のウィル
スシグネチャと一致するかどうか検索する。もし一致し
ていれば、クライエントのそのエンティティは感染した
こととなり、それはユーザーに知らされる。
【0009】公知のファイアーウォール内でウィルスフ
ィルタリングを行うことによりファイアーウォール内を
ファイルを伝送してスキャニングをしウィルス検出を行
う。これはファイアーウォールにネットワークセキュリ
ティ能力をさらに負荷するが、ファイアーウォールにお
いてウィルスフィルタを実装することには運用上の問題
がいくつかある。すなわち、(1)ファイアーウォール
にて大量の処理を行わなければならず、待ち時間を発生
させてしまいネットワークパフォーマンスを落としてし
まい、ネットワークで実行しているアプリケーションに
悪影響を与え、(2)ファイアーウォールはそれ自身は
ネットワークにおける個々のクライエントと比べて運用
上およびデータインテリジェンスを少ない量しかもって
おらず、クライエントベースのウィルススキャナで実行
されるよりのファイアーウォールによっては到来するデ
ータの正確なスキャンをすることができなくなる。
【0010】
【発明が解決しようとする課題】従って、ファイアーウ
ォールベースのウィルスフィルタリングの欠点を考える
と、ファイアーウォール自身よりもネットワーク上のク
ライエントマシンにおいてウィルススクリーニングを行
わせるネットワークセキュリティ管理者が多い。このよ
うなクライエントベーススキャニングに対して現在はい
くつかの有名な市販のコンピュータウィルススキャナが
用いられている。ネットワークセキュリティ管理者は通
常、特定の市販のウィルススキャニングプログラムを選
択し、ネットワークのクライエントすべてにそのプログ
ラムをインストールする。もちろんウィルススキャニン
グソフトウェアの有効性は導入の完全性および新しく発
見されたウィルスに対応させたウィルスシグネチャーリ
ストにより周期的に更新することに大きく依存する。
【0011】非常に大きいクライエント/サーバネット
ワークにおいて、すべてのクライエント上でウィルス検
出ソフトウェアが完全にインストールされていることを
確実にする仕事は莫大であり達成できるかどうかも分か
らない。クライエント同士の検査は多くの労働力を必要
としてしまい、頻繁に行うことができない。従って、個
々のユーザーがウィルススキャニングソフトウェアを更
新する責任を通常持たされ、中央ソースからもっとも最
近のウィルスシグネチャーリストをダウンロートさせら
れる。この個々のユーザーが更新をしなかった場合には
もちろんネットワークはセキュリティブリーチの危険に
さらされてしまう。
【0012】このように、コンピュータネットワーク全
体を通してネットワ−クセキュリティ機能が完全に構成
されていることを確実にする必要性がある。
【0013】
【課題を解決するための手段】本発明は、コンピュータ
ネットワーク内の特定のクライエントがそのコンピュー
タネットワークの所望のセキュリティ上の特徴に従って
全体的に構成されているかどうかを判断する技術を提供
する。本発明に従うと、コンピュータネットワーク内に
入るファイル内にプローブがランダムに挿入される。プ
ローブの挿入は、コンピュータネットワークを他のネッ
トワークから分離するファイアーウォールにおいて行わ
れる。
【0014】一態様に従うと、プローブは特定の実行タ
スク(既知のウィルスなど)に従って構成され、適切に
構成されたクライエントにおいてはプローブは実行され
ず、ファイアーウォールはセキュリティブリーチ(違
反)を検出しない。しかし、もしクライエントの構成が
正しくない場合(すなわち、標準的ネットワークセキュ
リティ対策に従っていない場合)、プローブは実行さ
れ、ファイアーウォールにおいてセキュリティアラート
をトリガーし(引き金を引き)、クライエントがセキュ
リティブリーチに無防備であることを指示する。ネット
ワークセキュリティ管理者は構成が正しくないクライエ
ントを訂正するように適切な行動をとることができる。
【0015】好ましい実施例において、プローブはトロ
イの木馬の形態にてウィルスプローブとして構成され
る。このトロイの木馬は、実行すると、クライエントの
構成が正しくないことを示す信号をファイアーウォール
へと知らせる。別の実施例において、ファイアーウォー
ルへ戻される信号は、ユーザーデータデータグラムプロ
トコル(UDP:User Datagram Protocol)パケットで
ある。さらに別の実施例に従うと、特定のIPアドレス
に対しブラウザーの種類からの最初のインターネットへ
のアクセスの際にウィルスプローブが挿入され、その後
にもウィルスプローブがランダムな時間間隔で挿入され
る。
【0016】
【発明の実施の形態】図1は、本発明の原理を用いるシ
ステムを示している。このシステムは、パブリックネッ
トワーク100(インターネットなど)、ネットワーク
資源105、ネットワーク資源110、ネットワーク資
源115、ネットワーク資源120、ネットワーク資源
125を有する。ネットワーク資源105〜ネットワー
ク資源125は、周知のHTML言語により書かれたフ
ァイルによってリンクすることができ、周知のWWWを
表す。WWWとHTMLは文献、B.White, HTML and th
e Art of Authoring for the World Wide Web, Kluwer
Academic Publishers, Norwell, MA, 1996.などに説明
されている。
【0017】プライベートネットワーク130は特定の
ユーザーサイト(会社の本社ビルなど)内に位置するネ
ットワークであり、LAN170によってユーザー端末
165−1、165−2、165−3、165−4がつ
ながれている。ユーザー端末165−1〜165−4は
スタンドアローンのパーソナルコンピュータやネットワ
ーク端末であってもよい。
【0018】簡明さのため、図1においては1つのLA
N構成しか示していないが、プライベートネットワーク
130はLAN170と同様な複数のLAN構成を含ん
でいてもよい。ユーザー端末165−1〜165−4の
いずれの特定のユーザーもWWW(ネットワーク資源1
05〜ネットワーク資源125など)上で利用可能な特
定の資源を要求するためにユーザー端末165−2など
でクライエントプログラムを実行させる。前述のよう
に、プライベートネットワーク130からインターネッ
トを介してのWWWへのこのような要求はプライベート
ネットワーク130とユーザー端末165−1〜165
−4との両方にセキュリティ上の危険を与える。
【0019】図1に示すように、プライベートネットワ
ーク130はファイアーウォール180およびプロキシ
サーバー135を有し、これらは本発明に従って特定の
セキュリティ機能を提供するように構成され、プライベ
ートネットワーク130およびその多くのコンピュータ
資源を保護する。
【0020】前述のように、プライベートコンピュータ
ネットワーク(130など)の運用に責任があるネット
ワーク管理者はたくさんのセキュリティ対策を用いて、
コンピュータウィルスの侵入のような外的セキュリティ
ブリーチからネットワークを保護する。その技術の1つ
として、プライベートネットワークとパブリックネット
ワーク(インターネットなど)との間に別のコンピュー
タシステム(ファイアーウォール)を開示するものがあ
る。ファイアーウォールを用いるプライベートネットワ
ークにおいて、ファイアーウォールはまず、プライベー
トネットワークのユーザー端末とパブリックネットワー
クとの間の要求された接続が認証されるものかどうかを
判断する。
【0021】ファイアーウォールはプライベートネット
ワークにおけるユーザー端末とパブリックネットワーク
との間の中間体として機能し、もしその接続が認証され
ると、それら2つのネットワークの間の接続を可能にす
る。逆に、接続が認証されなければ、ファイアーウォー
ルはそれらネットワークの間の接続を実現させない。
【0022】図1の実施例に従うと、プロキシサーバー
135はプロセッサ140、ウェブプロキシ145、f
tpプロキシ150、メールプロキシ160を有する。
これらのプロキシはファイアーウォールと共に働くプロ
キシサーバーがそれぞれ、WWW/インターネットアク
セス、ファイル転送、電子メールに対してセキュリティ
機能を提供する。例として、ウェブプロキシ145はユ
ーザーがWWW上の上の特定のウェブページにプライベ
ートネットワーク130からアクセスしたいと望む場合
に用いられる。ユーザー端末165−2を用いるユーザ
ーはウェブブラウザー166を用いてWWW上の特定の
ウェブページにアクセスすることができる。ウェブブラ
ウザーは周知のソフトウエアアプリケーションプログラ
ム(Netscape Communications社のNetscape Navigator
(登録商標v.5.0)など)であり、WWW上をネットサ
ーフィンすることを可能にし、WWW上の最良の情報に
アクセスすることを可能とする。
【0023】ウェブブラウザー166はユーザー端末1
65−2のユーザーから入力要求を受信し、WWW上の
適切な資源(ネットワーク資源105など)とパブリッ
クネットワーク100を通して接続を確立することによ
りWWW上の情報を位置決めしようと試みる。ユーザー
端末165−2とネットワーク資源105との間の接続
はプロキシサーバー135、ウェブプロキシ145、フ
ァイアーウォール180を用いて確率される。ウェブブ
ラウザー166のために働くウェブプロキシ145は、
ユーザー端末165−2とネットワーク資源105の間
のTCP/IP接続を確立しようと試みる。
【0024】TCP/IPは、インターネットを情報が
伝送する方法に用いられるプロトコルであり周知であ
る。TCP/IPは、情報を個別のパケットの分離し、
送り側のコンピュータ(サーバーなど)と受け側のコン
ピュータ(クライエントなど)との間をこれらのパケッ
トをルーティングする。TCP/IPおよびインターネ
ット通信は文献、D.Comer, Internetworking with TCP/
IP Third edition, Prentice-Hall, Englewood Cliffs,
NJ, 1995.などに説明されている。好ましい実施例にお
いて、ユーザー端末165−2とネットワーク資源10
5との間のTCP/IP接続は、それぞれ、通信チャネ
ル190、195をまたがって設けられる。これらはパ
ブリックネットワーク100、プライベートネットワー
ク130、さらに、ユーザー端末165−2との間の接
続を確立する。
【0025】図1に示すように、パブリックネットワー
ク100とプライベートネットワーク130の間の通信
トラフィックすべては、ファイアーウォール180を通
る必要がある。この通信トラフィックの寄与を考えてみ
ると、発明者は、本発明のセキュリティ上の利点を実装
するために、ファイアーウォール180が好ましい位置
であることを認識した。好ましい実施例に従うと、ファ
イアーウォール180はプロセッサ181、データベー
ス182、パブリックネットワーク100などからプラ
イベートネットワーク130などへと到来するファイル
内にプローブをランダムに挿入するウィルスプローバ1
85を含んでいる。ウィルスプローバ185が挿入する
プローブは実行すると特定の動作をトリガーする個別の
プログラムである。
【0026】一実施例に従うと、プローブはトロイの木
馬として構成するウィルスプローブである。これは、ク
ライエントの構成が正しくないことを示す信号をファイ
アーウォールへと送り返す。コンピュータウィルスの観
点からは、トロイの木馬は、コンピュータハッカー、コ
ンピュータクラッカーのような不正ユーザーがアプリケ
ーションプログラムに配置した秘密でドキュメント化さ
れていないエントリーポイントである。ユーザーがその
アプリケーションプログラムを実行すると通常、トロイ
の木馬もまた実行され、望ましくない動作を起こさせ
る。
【0027】トロイの木馬は文献、Stallings, supra.
pp.238-241.などに説明されている。例として、トロイ
の木馬は共有コンピュータシステム上の別のユーザーの
ファイルへのアクセスを容易になるように作られ、不正
ユーザーが正当なユーザーのファイル権限を実行した場
合に変えてしまい、どのユーザーにも読み取り可能なフ
ァイルとしてしまう。この実施例において、後述するよ
うに、トロイの木馬の特定の機能を用いてコンピュータ
ネットワークにとって利点となるセキュリティの徹底を
行う。
【0028】ファイアーウォール180にてウィルスプ
ローバ185により挿入されたウィルスプローブは、そ
のプローブが実行されるとファイアーウォール180へ
と信号を送り返すように設計され、従来考えられている
トロイの木馬の感覚で起こるような破壊的な動作ではな
い動作を実行する。本発明のセキュリティ機能はファイ
アーウォール(180など)にて実装され実現される。
なぜなら、ファイアーウォールが用いられているネット
ワークにおいてすべての通信トラフィックはファイアー
ウォールを通過しなければならないからである。従って
ファイアーウォールは本発明に従ってプローブを挿入す
る理想的な位置である。
【0029】しかし本発明の原理は他のネットワーク環
境や構成にても実現することができる。例えば、一般ア
クセスが高い割合であり信頼性が高いことで知られてい
るネットワーク内の特定のプロキシサーバーを用いてプ
ローブの挿入を実現することができる。例として、オン
ライン電話帳を主として提供するプライベートネットワ
ーク内の信頼性が高いサーバーもまた本発明の原理を実
装するのに適している。なぜなら、このサーバーはプラ
イベートネットワーク内の多くのユーザーにより用いら
れるからである。従って、本発明により分配されるセキ
ュリティ機能は図1のシステム構成のようなシステムで
あるか否かに関わらず多くのネットワーク、ハードウェ
ア、ソフトウェア構成にて実現することができる。
【0030】本発明に従ってプローブを挿入、監視、実
行することによりネットワークセキュリティを提供する
動作を図2に示した。好ましい実施例に従うと、上述の
ように、図2の動作はファイアーウォール180内で開
始する。プライベートネットワーク130などを出入り
する通信トラフィックストリームが継続的に監視される
(200)。ネットワーク上を伝送される通信トラフィ
ックストリームを監視の際に、プライベートネットワー
ク130に向かって到来するファイルへとプローブがラ
ンダムに挿入される(205)。本発明のプローブの構
造的観点は、図3とともに後で説明する。本発明に従う
と、クライエント上で実行された場合、セキュリティ警
告を示す信号を取り出すようにプローブは設計される。
【0031】信号はネットワーク資源の要求であること
がある。このような要求はすべてファイアーウォールを
通過して行われるので、本発明に従って構成するプロー
ブがこのような要求をトリガーするとその要求がファイ
アーウォールへの信号として有効に用いられることを確
実にする。すなわち、プローブがトリガーするこのよう
な信号はファイアーウォールにより直ちに認識すること
ができる。別の実施例において、信号は従来技術のユー
ザーデータグラムプロトコル(UDP)パケットの形態
とすることができる。UDPは従来のTCP/IPプロ
トコル上の最上層のコネクションレス型の転送プロトコ
ルであり、少ない量のデータを迅速に2つのアプリケー
ションが交換するのに低いオーバーヘッドメカニズムを
提供している。
【0032】UDPは通常のTCP/IPパケット交換
よりも少ないオーバーヘッドしか必要としない。なぜな
らUDPはTCP/IPよりもセキュリティが弱いプロ
トコルであるからである。すなわち、UDPは伝送指向
であり、パケットは複製されたり、迷子になったり、別
の順番で受信されたりしてしまう。逆にTCP/IPは
より信頼性が高い。なぜなら宛先に正確に完全に到来す
ることを確実にするためにある程度の大きさの長さをも
っているからである(チェックサムを生成したり、パケ
ットの受け取り確認をしたり、迷子パケットを再送信し
たりすることなど)。UDPはこのようなオーバーヘッ
ドはもっていないのでTCP/IPよりもある程度速
く、本発明の多くの実施例におけるのと同様に、短いデ
ータバーストを送ったり、速いネットワークスループッ
トを必要としたり、宛先にて配信の確認を必要としない
ようなアプリケーションにとっては理想的である。これ
ら上述の信号構成の他の信号構成であっても本発明の原
理を有効に提供することができる。
【0033】このように、ファイアーウォール180は
特定のプローブが実行されたというセキュリティ警告指
示(UDPパケットなど)を受信し、ファイアーウォー
ルはプローブとクライエントを同定し(215)、セキ
ュリティ警告を発生させる(220)。生成されたセキ
ュリティ警告の特性および種類は、本発明に従うと、い
ろんな形態であってもよい。ファイアーウォール180
が生成したセキュリティ警告は、ネットワーク内の特定
のクライエントに現在セキュリティ危機が存在すること
を示すネットワーク管理者への直ちに送られるメッセー
ジとすることができる。一実施例において、ネットワー
ク内のいろんなクライエントによりプローブが実行され
ると、マスターファイルにログエントリーを作成しデー
タベース182などに記憶される。これは周期的にネッ
トワーク管理者によりアクセスすることができ、あるい
はそのログを管理者が見ることができるようにレポート
を印刷するようにしてもよい。
【0034】本発明は、コンピュータネットワーク内の
特定のクライエントがそのコンピュータネットワークの
望ましいネットワークセキュリティ機能に従って完全に
構成しているかどうかを判断する技術を提供することが
できる。例えば、ほとんどのネットワーク管理者により
行われている従来のセキュリティ対策はネットワーク
(130など)内のすべてのユーザーにウェブブラウザ
ーソフトウェア(Netscape Navigator(登録商標)な
ど)の特定の機能を使えなくするポリシーであり、特
に、ウェブブラウザーのJavaScriptインター
プリター機能を使えなくする。JavaScript
(商標)は例えば文献、D.Flanagan, JavascriptThe De
finitive Guide, Second edition, O'Reilly & Associa
tes, Sebastopol, CS, 1997.に説明されている。Jav
aScriptは、ユーザーやHTMLを伴うプログラ
ムを開発したりするのによく用いられる周知のインター
プリター型プログラミング言語である。例えば、ウェブ
ブラウザーがJavaScriptインタープリターを
具備すれば、そのウェブブラウザーはJavaScri
ptの「スクリプト」の形態でインターネット(および
WWW)上を実行可能なコンテンツ(プログラムなど)
を配信することを可能にする。
【0035】スクリプトがJavaScriptを実行
できるブラウザーにロードされると、スクリプトは実行
可能となり、そのスクリプトのJavaScript命
令に規定されるような特定の出力を作る。従って、Ja
vaScriptはウェブブラウザーの制御を支配する
ことができ、また、ウェブページに現れるコンテンツ
(HTMLフォームなど)の制御をも支配する。公知の
ように、JavaScriptを用いて可能となるこれ
らの機能は重大なネットワークセキュリティ上の危険を
発生させる。
【0036】上述のようなウェブブラウザー環境に本発
明を導入することを以下の実施例により説明する。図1
および3において、プライベートネットワーク130は
ユーザー端末165−1〜165−4を用いる複数のユ
ーザを含んでいる。前述のように、ユーザー端末それぞ
れはユーザー端末165−2上を実行するウェブブラウ
ザー(160など)を具備するように構成することがで
きる。ユーザー端末165−2の構成は他のプライベー
トネットワーク内の他のユーザー端末それぞれの上にお
いて容易に複製することができるが、簡明さのため図1
においては一部のみを示した。
【0037】プライベートネットワーク130のセキュ
リティポリシーに適合するように、外部のソース(パブ
リックネットワークなど)から導入され、プライベート
ネットワークを多くのセキュリティ上の危険にさらすよ
うなスクリプトの実行を防ぐためにすべてのウェブブラ
ウザーはJavaScriptインタープリターを使え
ないようにされる。もちろんこのようなセキュリティ対
策はネットワークユーザーが従った場合にのみ有効であ
る。多くのプライベートネットワークにおいて、このよ
うなセキュリティ対策に従わないようなユーザー端末が
存在してしまう。これらの従わないユーザー端末はネッ
トワーク全体をセキュリティ上の危険にさらし、ネット
ワーク管理者にとってはプライベートネットワーク全体
ですべてのセキュリティ対策に完全に適合させるため常
に格闘しなければならなくなっている。
【0038】前述のように、本発明はコンピュータネッ
トワーク内のクライエントがそのコンピュータネットワ
ークの望ましいネットワークセキュリティ機能に完全に
従っているかどうかを判断する技術を提供する。ファイ
アーウォール180が本発明に従って構成され、プライ
ベートネットワーク130への入通信トラフィックスト
リームへとプローブを挿入する。図3は、入通信トラフ
ィックストリーム300の例を示し、本発明に従ってプ
ローブを挿入している例を示している。通信トラフィッ
クストリーム300はパブリックネットワーク100か
らプライベートネットワーク130へとデータを運ぶ一
連の個々のパケット300−1からパケット300−N
(TCP/IPパケットなど)を含んでいる。本発明に
従うと、ファイアーウォール180はパケット300を
監視し、パケットの間に入ファイルへとプローブをラン
ダムに挿入する。例としてパケット300−4は入ファ
イル305を含み、これは一連のHTML命令310を
含むファイルである。
【0039】ウィルスプローバ185がプローブ315
をHTML命令310の終わりに挿入する。いくつかの
実施例に従うと、特定のIPアドレス(クライエント)
ないしブラウザー種類からの最初のインターネットへの
アクセスの際にプローブ315が挿入され、その後はラ
ンダムな感覚でウィルスプローブが挿入される。プロー
ブ315はトロイの木馬の形態のウィルスプローブであ
り、ファイル305へとプローブ315を挿入すると編
集済みファイル325となる。その後に、プライベート
ネットワーク130への通信トラフィック300の伝送
において編集済みファイル325により進行する。
【0040】プローブ315は単一のJavaScri
pt命令320である。320は、<SCRIPT>x=new imag
e();x.src='image1';</SCRIPT>の形態であり、これはウ
ェブブラウザーを制御するインタープリター型スクリプ
ト言語の文である。image1はプローブ315を識
別する固有な文字列である。プローブ315は基本的に
はトロイの木馬であり、ウェブブラウザーに対し、オフ
スクリーンビットマップスペース(new image
())を配置し、小さなイメージ(image1)をダ
ウンロートさせるように命令する。プローブは、ウィル
スプローバ185によるアクセスのためデータベース1
82に記憶してもよいが、ウィルスプローバ185自身
にローカルに記憶してもよい。別の実施例では、中央ソ
ース(インターネットなど)からプローブをネットワー
ク管理者によりダウンロードさせ、現存するプローブラ
イブラリーに加えてもよい。
【0041】もしウェブブラウザー166が、すべての
ウェブブラウザーにJavaScriptインタープリ
ターを使えなくさせるというネットワークセキュリティ
機能に適合していれば、プローブ315は実行されず、
ファイアーウォール180はセキュリティ警告を生成し
ない。しかし、もしウェブブラウザー166の構成が誤
っていれば、プローブ315は実行され、ウェブブラウ
ザー166にイメージファイル(image1)の要求
を開始させる。このようなまれなウェブブラウザー16
6によるネットワーク資源の要求はファイアーウォール
180により捕獲され、セキュリティ警告の信号として
機能する。適切に構成されたウェブブラウザーではこの
ようにネットワーク資源(image1)を要求するこ
とは、適切に構成されていなかったり確立されたネット
ワークセキュリティ対策に違反している場合をのぞいて
はない。すなわち、プローブ315の実行はプライベー
トネットワーク130の望ましいセキュリティ対策に適
合していないようにウェブブラウザー166がJava
Scriptを使えるようになっていることを意味し、
これはネットワークにセキュリティ上の危機を与えるこ
とを意味する。
【0042】別の実施例において、本発明は、セキュリ
ティ警告が起こったときにファイアーウォールへ戻す信
号としてUDPパケットを用いる。ファイル305は特
定の実行可能命令を含むファイルである。拡張子が、.
exeであるファイルはバイナリー実行可能ファイルで
ある。プローブ315はファイル305の少量のバイト
をプローブ315を挿入することによって書き換えてし
まうのに安全である適切な位置にファイル305へと挿
入される。
【0043】この実施例では、プローブ315はセキュ
リティ警告が発生した場合にUDPパケットを発する。
ファイル305へと挿入される実際の機械誤命令は周知
のプログラミング言語Cで書かれた以下のコード部分を
用いる(コンパイルする)ことにより生成することがで
きる。 struct sockaddr_in sin={0,9,{0xF14E8All},0,0,0,0,
0,0,0,0}; ints=socket(PF_INET,SOCK_DGRAM,0); connect(s,&sin,sizeof(sin)); write(s,0x88,1); close(s);
【0044】上のC言語のコード部分を機械語コードへ
とコンパイルすると、これはプローブ315としてファ
イル305へと挿入され、プローブを実行した際に所望
のUDPパケットを生成する。すなわち、もしプローブ
315を特定のユーザー端末上で実行すると、そのユー
ザー端末がセキュリティ上の危険をはらんでいることを
示す信号として、ファイアーウォール180へとUDP
パケットが発せられる。
【図面の簡単な説明】
【図1】本発明の原理を用いるシステムのブロック図で
ある。
【図2】本発明を用いる図1のファイアーウォールが実
行する動作の流れ図である。
【図3】図1のシステムで送信される通信トラフィック
ストリームである。
【符号の説明】
100 パブリックネットワーク 105 ネットワーク資源 110、115 ネットワーク資源 120、125 ネットワーク資源 130 プライベートネットワーク 135 プロキシサーバー 140 プロセッサ 145 ウェブプロキシ 150 ftpプロキシ 160 メールプロキシ 165 ユーザー端末 166 ウェブブラウザー 170 LAN 180 ファイアーウォール 181 プロセッサ 182 データベース 185 ウィルスプローバ 200 通信トラフィックを監視 205 ファイルへとプローブをランダムに挿入 210 特定のプローブが実行されたことの指示情報を
受信 215 プローブおよびクライエントを識別 220 セキュリティー警告を発生 300 パケット 305 HTMLファイル 310 HTML命令 315 プローブ 320 JaveScript命令 325 編集済みファイル
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596077259 600 Mountain Avenue, Murray Hill, New Je rsey 07974−0636U.S.A.

Claims (28)

    【特許請求の範囲】
  1. 【請求項1】 (A)コンピュータネットワークの通信
    トラフィックストリームを監視するステップと、 前記通信トラフィックストリームは複数のファイルを含
    み、 (B)前記複数のファイルのうち少なくとも1つのファ
    イルへとプローブを挿入するステップと、 (C)前記プローブがコンピュータネットワーク内で実
    行されたかを判断するステップと、 (D)プローブが実行された場合には、プローブの実行
    が行われたコンピュータネットワーク内の位置を識別す
    るステップとを有することを特徴とするコンピュータネ
    ットワークの保安方法。
  2. 【請求項2】 コンピュータネットワーク内の識別され
    た前記位置の情報を少なくとも含むセキュリティ警告を
    発生させるステップをさらに有することを特徴とする請
    求項1記載の方法。
  3. 【請求項3】 識別された前記位置は、コンピュータネ
    ットワーク内の複数のユーザー端末のうちの特定のユー
    ザー端末であることを特徴とする請求項2記載の方法。
  4. 【請求項4】 前記プローブを挿入するステップ(B)
    は、コンピュータネットワーク内のサーバーが挿入する
    ことを特徴とする請求項1記載の方法。
  5. 【請求項5】 前記プローブは、トロイの木馬として構
    成するコンピュータウィルスであることを特徴とする請
    求項2記載の方法。
  6. 【請求項6】 前記通信トラフィックストリームは、通
    信ネットワークとパブリックネットワークの間を交換さ
    れる際に前記サーバーを通過することを特徴とする請求
    項4記載の方法。
  7. 【請求項7】 前記プローブの実行は、特定のユーザー
    端末上を動作するウェブブラウザー上にて実行されるこ
    とを特徴とする請求項3記載の方法。
  8. 【請求項8】 前記セキュリティ警告は、トロイの木馬
    が送信したUDPパケットがあったことに従って発生さ
    れることを特徴とする請求項5記載の方法。
  9. 【請求項9】 複数のユーザー端末を有するプライベー
    トネットワークの保安方法であって、 (A)プライベートネットワークとパブリックネットワ
    ークとの間の通信トラフィックストリームを監視するス
    テップと、 前記通信トラフィックストリームは、複数のファイルを
    含み、前記複数のファイルの特定の1つのファイルは、
    前記複数のユーザー端末の特定の1つに対応付けられて
    おり、 (B)複数のプローブの少なくとも1つのプローブを前
    記複数のファイルの特定の1つへと挿入するステップ
    と、 (C)前記ファイルが対応付けられたユーザー端末の特
    定の1つによりプローブが実行されたかどうかを判断す
    るステップと、 (D)プローブが実行された場合には、プローブの実行
    が行われた前記ユーザー端末の特定の1つを識別するス
    テップとを有することを特徴とする方法。
  10. 【請求項10】 前記少なくとの1つのプローブを挿入
    するステップは、プライベートネットワークとパブリッ
    クネットワークとの間に位置するファイアーウォールに
    おいて行われることを特徴とする請求項9記載の方法。
  11. 【請求項11】 (E)プローブからファイアーウォー
    ルへと識別された前記ユーザー端末の指示を少なくとも
    含んでいるセキュリティ警告を送信するステップをさら
    に有することを特徴とする請求項10記載の方法。
  12. 【請求項12】 前記プローブを挿入するステップ
    (B)は、少なくとも1つのユーザー端末からパブリッ
    クネットワークへの最初のアクセスがあったことに従っ
    て行われることを特徴とする請求項10記載の方法。
  13. 【請求項13】 プローブは少なくとも1つのJava
    Script命令を含むことを特徴とする請求項12記
    載の方法。
  14. 【請求項14】 前記通信トラフィックストリームは、
    複数のTCP/IPパケットからなることを特徴とする
    請求項9記載の方法。
  15. 【請求項15】 プライベートネットワークとパブリッ
    クネットワークとの間のセキュリティを提供するファイ
    アーウォールにおいて用いる方法であって、 (A)プライベートネットワークとパブリックネットワ
    ークとの間を送信される複数のパケットを含む通信トラ
    フィックストリームを監視するステップと、 (B)前記複数のパケットの少なくとも1つのパケット
    へとプローブを挿入するステップと、 (C)プライベートネットワークにおいてプローブが実
    行されたかどうかを判断するステップと、 (D)プローブが実行された場合に、プローブが実行さ
    れたプライベートネットワーク内の位置を識別するステ
    ップとを有することを特徴とする方法。
  16. 【請求項16】 プライベートネットワークは複数のユ
    ーザー端末を有するコンピュータネットワークであるこ
    とを特徴とする請求項15記載の方法。
  17. 【請求項17】 前記位置を識別するステップ(D)
    は、プローブが実行されたことを示す信号をプローブか
    らファイアーウォールへと送信するステップからなるこ
    とを特徴とする請求項16記載の方法。
  18. 【請求項18】 前記プローブを挿入するステップ
    (B)は、少なくとも1つのユーザー端末からのパブリ
    ックネットワークへの最初のアクセスがあったことに従
    って行われることを特徴とする請求項16記載の方法。
  19. 【請求項19】 (A)プライベートネットワークとパ
    ブリックネットワークとの間を交換される複数のパケッ
    トへと複数のプローブを挿入するプローバと、 (B)前記複数のパケットを監視し、かつ、前記複数の
    プローブの特定のプローブがプライベートネットワーク
    において実行されたかを判断するプロセッサとを有する
    ことを特徴とするネットワークセキュリティ装置。
  20. 【請求項20】 (C)前記複数のプローブを記憶する
    データベースをさらに有することを特徴とする請求項1
    9記載のネットワークセキュリティ装置。
  21. 【請求項21】 (D)中央ソースから前記複数のプロ
    ーブをダウンロードする通信チャネルをさらに有するこ
    とを特徴とする請求項19記載のネットワークセキュリ
    ティ装置。
  22. 【請求項22】 (A)プライベートネットワークの入
    通信ストリームへと複数のプローブを挿入するステップ
    と、 (B)プライベートネットワーク内の複数のユーザー端
    末に対して、前記複数のプローブの少なくとも1つのプ
    ローブが実行されたかを監視するステップとからなるこ
    とを特徴とするネットワークの保安方法。
  23. 【請求項23】 (C)プライベートネットワーク内の
    プローブが実行された複数のユーザー端末のうちの特定
    のユーザー端末を識別するレポートを生成するステップ
    をさらに有することを特徴とする請求項22記載の保安
    方法。
  24. 【請求項24】 前記複数のユーザー端末を監視するス
    テップ(B)は、前記少なくとも1つのプローブの実行
    を示す信号をファイアーウォールへと送信するステップ
    を有することを特徴とする請求項22記載の保安方法。
  25. 【請求項25】 前記複数のプローブを挿入するステッ
    プ(A)は、ファイアーウォール内にて行われることを
    特徴とする請求項24記載の保安方法。
  26. 【請求項26】 前記入通信ストリームはプライベート
    ネットワークから入るストリームであることを特徴とす
    る請求項24記載の保安方法。
  27. 【請求項27】 前記複数のプローブを挿入するステッ
    プ(A)は、プライベートネットワーク内の特定の資源
    をアクセスするプライベートネットワークからの要求が
    あったことに従って行われることを特徴とする請求項2
    6記載の保安方法。
  28. 【請求項28】 前記複数のプローブを挿入するステッ
    プは、少なくとも1つのユーザー端末からのパブリック
    ネットワークへの最初のアクセスに従って行われること
    を特徴とする請求項26記載の保安方法。
JP11015683A 1998-01-29 1999-01-25 コンピュ―タネットワ―クの保安方法 Pending JPH11316677A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US09/015,563 US6205551B1 (en) 1998-01-29 1998-01-29 Computer security using virus probing
US09/015563 1998-01-29

Publications (1)

Publication Number Publication Date
JPH11316677A true JPH11316677A (ja) 1999-11-16

Family

ID=21772149

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11015683A Pending JPH11316677A (ja) 1998-01-29 1999-01-25 コンピュ―タネットワ―クの保安方法

Country Status (5)

Country Link
US (1) US6205551B1 (ja)
EP (1) EP0936787B1 (ja)
JP (1) JPH11316677A (ja)
CA (1) CA2254707C (ja)
DE (1) DE69922857T2 (ja)

Cited By (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077277A (ja) * 2000-06-08 2002-03-15 Alcatel 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置
US6996845B1 (en) 2000-11-28 2006-02-07 S.P.I. Dynamics Incorporated Internet security analysis system and process
JP2008071177A (ja) * 2006-09-14 2008-03-27 Fujitsu Ltd 情報処理装置、その制御方法及び同方法をコンピュータに実行させるためのプログラム
JP2008176377A (ja) * 2007-01-16 2008-07-31 Kddi Corp 電子システム、電子機器、プログラム、および記録媒体
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
JP2011503715A (ja) * 2007-11-05 2011-01-27 マイクロソフト コーポレーション クロスサイトスクリプティングフィルタ
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8881101B2 (en) 2011-05-24 2014-11-04 Microsoft Corporation Binding between a layout engine and a scripting engine
US9342274B2 (en) 2011-05-19 2016-05-17 Microsoft Technology Licensing, Llc Dynamic code generation and memory management for component object model data constructs
US9430452B2 (en) 2013-06-06 2016-08-30 Microsoft Technology Licensing, Llc Memory model for a layout engine and scripting engine

Families Citing this family (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9219755B2 (en) 1996-11-08 2015-12-22 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
US7058822B2 (en) 2000-03-30 2006-06-06 Finjan Software, Ltd. Malicious mobile code runtime monitoring system and methods
US8079086B1 (en) 1997-11-06 2011-12-13 Finjan, Inc. Malicious mobile code runtime monitoring system and methods
AU4568299A (en) * 1998-06-15 2000-01-05 Dmw Worldwide, Inc. Method and apparatus for assessing the security of a computer system
SE515084C2 (sv) * 1998-08-26 2001-06-05 Ericsson Telefon Ab L M Förfarande och anordning i ett IP-nät
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6718382B1 (en) * 1999-02-11 2004-04-06 Yunzhou Li Technique for detecting leaky points within a network protocol domain
US6405204B1 (en) * 1999-03-02 2002-06-11 Sector Data, Llc Alerts by sector/news alerts
US6880087B1 (en) * 1999-10-08 2005-04-12 Cisco Technology, Inc. Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
US7032023B1 (en) * 2000-05-16 2006-04-18 America Online, Inc. Throttling electronic communications from one or more senders
US7058976B1 (en) 2000-05-17 2006-06-06 Deep Nines, Inc. Intelligent feedback loop process control system
US6930978B2 (en) * 2000-05-17 2005-08-16 Deep Nines, Inc. System and method for traffic management control in a data transmission network
US7380272B2 (en) * 2000-05-17 2008-05-27 Deep Nines Incorporated System and method for detecting and eliminating IP spoofing in a data transmission network
US7299489B1 (en) * 2000-05-25 2007-11-20 Lucent Technologies Inc. Method and apparatus for host probing
GB2411748B (en) * 2000-05-28 2005-10-19 Secureol System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
US9213836B2 (en) 2000-05-28 2015-12-15 Barhon Mayer, Batya System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages
JP3619958B2 (ja) * 2000-06-13 2005-02-16 富士通株式会社 危機管理システム及びコンピュータ
US6721721B1 (en) * 2000-06-15 2004-04-13 International Business Machines Corporation Virus checking and reporting for computer database search results
US7711790B1 (en) 2000-08-24 2010-05-04 Foundry Networks, Inc. Securing an accessible computer system
US7725587B1 (en) * 2000-08-24 2010-05-25 Aol Llc Deep packet scan hacker identification
US7970886B1 (en) * 2000-11-02 2011-06-28 Arbor Networks, Inc. Detecting and preventing undesirable network traffic from being sourced out of a network domain
US7168093B2 (en) 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures
EP1388068B1 (en) * 2001-04-13 2015-08-12 Nokia Technologies Oy System and method for providing exploit protection for networks
US6941478B2 (en) * 2001-04-13 2005-09-06 Nokia, Inc. System and method for providing exploit protection with message tracking
KR20010084950A (ko) * 2001-06-02 2001-09-07 유진영 시큐어 웜
US20020199116A1 (en) * 2001-06-25 2002-12-26 Keith Hoene System and method for computer network virus exclusion
US6513122B1 (en) * 2001-06-29 2003-01-28 Networks Associates Technology, Inc. Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities
US6873988B2 (en) * 2001-07-06 2005-03-29 Check Point Software Technologies, Inc. System and methods providing anti-virus cooperative enforcement
US7228566B2 (en) * 2001-07-10 2007-06-05 Core Sdi, Incorporated Automated computer system security compromise
EP1417802A1 (en) * 2001-07-24 2004-05-12 Worldcom. Inc. Network security architecture
US7107446B2 (en) 2001-08-30 2006-09-12 International Business Machines Corporation Mechanism independent cluster security services
US6892241B2 (en) 2001-09-28 2005-05-10 Networks Associates Technology, Inc. Anti-virus policy enforcement system and method
US7210168B2 (en) * 2001-10-15 2007-04-24 Mcafee, Inc. Updating malware definition data for mobile data processing devices
US6715084B2 (en) * 2002-03-26 2004-03-30 Bellsouth Intellectual Property Corporation Firewall system and method via feedback from broad-scope monitoring for intrusion detection
US7042852B2 (en) * 2002-05-20 2006-05-09 Airdefense, Inc. System and method for wireless LAN dynamic channel change with honeypot trap
US7058796B2 (en) * 2002-05-20 2006-06-06 Airdefense, Inc. Method and system for actively defending a wireless LAN against attacks
US7277937B2 (en) * 2002-07-17 2007-10-02 Core Sdi, Incorporated Distributed computing using syscall proxying
US7353539B2 (en) * 2002-11-04 2008-04-01 Hewlett-Packard Development Company, L.P. Signal level propagation mechanism for distribution of a payload to vulnerable systems
US20040146006A1 (en) * 2003-01-24 2004-07-29 Jackson Daniel H. System and method for internal network data traffic control
US7328454B2 (en) * 2003-04-24 2008-02-05 At&T Delaware Intellectual Property, Inc. Systems and methods for assessing computer security
US20040254988A1 (en) * 2003-06-12 2004-12-16 Rodriguez Rafael A. Method of and universal apparatus and module for automatically managing electronic communications, such as e-mail and the like, to enable integrity assurance thereof and real-time compliance with pre-established regulatory requirements as promulgated in government and other compliance database files and information websites, and the like
JP4229013B2 (ja) * 2003-09-01 2009-02-25 株式会社デンソー 交流発電機
US7730137B1 (en) 2003-12-22 2010-06-01 Aol Inc. Restricting the volume of outbound electronic messages originated by a single entity
US7548956B1 (en) 2003-12-30 2009-06-16 Aol Llc Spam control based on sender account characteristics
CN100349084C (zh) * 2004-01-05 2007-11-14 华为技术有限公司 一种在视窗操作系统中保证系统安全的方法
US7707634B2 (en) * 2004-01-30 2010-04-27 Microsoft Corporation System and method for detecting malware in executable scripts according to its functionality
US7765597B2 (en) * 2004-02-11 2010-07-27 Hewlett-Packard Development Company, L.P. Integrated crawling and auditing of web applications and web content
US8566945B2 (en) * 2004-02-11 2013-10-22 Hewlett-Packard Development Company, L.P. System and method for testing web applications with recursive discovery and analysis
US20060282494A1 (en) * 2004-02-11 2006-12-14 Caleb Sima Interactive web crawling
US7529187B1 (en) * 2004-05-04 2009-05-05 Symantec Corporation Detecting network evasion and misinformation
US8074277B2 (en) * 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
KR100604604B1 (ko) * 2004-06-21 2006-07-24 엘지엔시스(주) 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템
US7716660B2 (en) * 2004-12-14 2010-05-11 Microsoft Corporation Method and system for downloading updates
US20060185018A1 (en) * 2005-02-17 2006-08-17 Microsoft Corporation Systems and methods for shielding an identified vulnerability
GB2425679A (en) * 2005-04-27 2006-11-01 Hewlett Packard Development Co Scanning computing entities for vulnerabilities
US7483424B2 (en) * 2005-07-28 2009-01-27 International Business Machines Corporation Method, for securely maintaining communications network connection data
US20070130149A1 (en) * 2005-10-12 2007-06-07 Lenovo (Singapore) Pte. Ltd. Method, system, and computer program product for troubleshooting/configuring communications settings of a computer system
US8291093B2 (en) * 2005-12-08 2012-10-16 Microsoft Corporation Peer-to-peer remediation
JP4545085B2 (ja) * 2005-12-08 2010-09-15 富士通株式会社 ファイアウォール装置
US8301767B1 (en) 2005-12-21 2012-10-30 Mcafee, Inc. System, method and computer program product for controlling network communications based on policy compliance
KR20070099201A (ko) * 2006-04-03 2007-10-09 삼성전자주식회사 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치
US8281392B2 (en) 2006-08-11 2012-10-02 Airdefense, Inc. Methods and systems for wired equivalent privacy and Wi-Fi protected access protection
US20080052508A1 (en) * 2006-08-25 2008-02-28 Huotari Allen J Network security status indicators
US20080059123A1 (en) * 2006-08-29 2008-03-06 Microsoft Corporation Management of host compliance evaluation
GB2443459A (en) * 2006-10-31 2008-05-07 Hewlett Packard Development Co Data packet incuding computing platform indication
US20080133639A1 (en) * 2006-11-30 2008-06-05 Anatoliy Panasyuk Client Statement of Health
US8782786B2 (en) * 2007-03-30 2014-07-15 Sophos Limited Remedial action against malicious code at a client facility
US8024801B2 (en) * 2007-08-22 2011-09-20 Agere Systems Inc. Networked computer system with reduced vulnerability to directed attacks
US8667583B2 (en) * 2008-09-22 2014-03-04 Microsoft Corporation Collecting and analyzing malware data
US8543543B2 (en) * 2011-09-13 2013-09-24 Microsoft Corporation Hash-based file comparison
CN108809886A (zh) * 2017-04-26 2018-11-13 牡丹江医学院 一种计算机网络安全防护系统
CN114584330A (zh) * 2020-11-16 2022-06-03 华为技术有限公司 漏洞测试方法及装置

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4750175A (en) * 1986-08-29 1988-06-07 Pactel Communications Companies Network diagnostic apparatus and method
US5473769A (en) 1992-03-30 1995-12-05 Cozza; Paul D. Method and apparatus for increasing the speed of the detecting of computer viruses
US5361359A (en) 1992-08-31 1994-11-01 Trusted Information Systems, Inc. System and method for controlling the use of a computer
US5440723A (en) 1993-01-19 1995-08-08 International Business Machines Corporation Automatic immune system for computers and computer networks
US5414833A (en) 1993-10-27 1995-05-09 International Business Machines Corporation Network security system and method using a parallel finite state machine adaptive active monitor and responder
US5623601A (en) 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5613002A (en) 1994-11-21 1997-03-18 International Business Machines Corporation Generic disinfection of programs infected with a computer virus
US5550984A (en) 1994-12-07 1996-08-27 Matsushita Electric Corporation Of America Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information
US5706507A (en) 1995-07-05 1998-01-06 International Business Machines Corporation System and method for controlling access to data located on a content server
US5889943A (en) * 1995-09-26 1999-03-30 Trend Micro Incorporated Apparatus and method for electronic mail virus detection and elimination
US5623600A (en) * 1995-09-26 1997-04-22 Trend Micro, Incorporated Virus detection and removal apparatus for computer networks
US5832208A (en) * 1996-09-05 1998-11-03 Cheyenne Software International Sales Corp. Anti-virus agent for use with databases and mail servers
US5815571A (en) * 1996-10-28 1998-09-29 Finley; Phillip Scott Computer system with secured data paths and method of protection
US6009475A (en) * 1996-12-23 1999-12-28 International Business Machines Corporation Filter rule validation and administration for firewalls
US5960170A (en) * 1997-03-18 1999-09-28 Trend Micro, Inc. Event triggered iterative virus detection
US6041041A (en) * 1997-04-15 2000-03-21 Ramanathan; Srinivas Method and system for managing data service systems
US5948104A (en) * 1997-05-23 1999-09-07 Neuromedical Systems, Inc. System and method for automated anti-viral file update
US5961644A (en) * 1997-09-19 1999-10-05 International Business Machines Corporation Method and apparatus for testing the integrity of computer security alarm systems
US5987610A (en) * 1998-02-12 1999-11-16 Ameritech Corporation Computer virus screening methods and systems

Cited By (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002077277A (ja) * 2000-06-08 2002-03-15 Alcatel 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置
US6996845B1 (en) 2000-11-28 2006-02-07 S.P.I. Dynamics Incorporated Internet security analysis system and process
US8332948B2 (en) 2002-02-08 2012-12-11 Juniper Networks, Inc. Intelligent integrated network security device
US8631113B2 (en) 2002-02-08 2014-01-14 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US7650634B2 (en) 2002-02-08 2010-01-19 Juniper Networks, Inc. Intelligent integrated network security device
US7734752B2 (en) 2002-02-08 2010-06-08 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US9094372B2 (en) 2002-02-08 2015-07-28 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8326961B2 (en) 2002-02-08 2012-12-04 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US9100364B2 (en) 2002-02-08 2015-08-04 Juniper Networks, Inc. Intelligent integrated network security device
US8370936B2 (en) 2002-02-08 2013-02-05 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
US8959197B2 (en) 2002-02-08 2015-02-17 Juniper Networks, Inc. Intelligent integrated network security device for high-availability applications
US8726016B2 (en) 2002-02-08 2014-05-13 Juniper Networks, Inc. Intelligent integrated network security device
US8635695B2 (en) 2002-02-08 2014-01-21 Juniper Networks, Inc. Multi-method gateway-based network security systems and methods
JP2008071177A (ja) * 2006-09-14 2008-03-27 Fujitsu Ltd 情報処理装置、その制御方法及び同方法をコンピュータに実行させるためのプログラム
JP2008176377A (ja) * 2007-01-16 2008-07-31 Kddi Corp 電子システム、電子機器、プログラム、および記録媒体
JP2013242924A (ja) * 2007-11-05 2013-12-05 Microsoft Corp クロスサイトスクリプティングフィルタ
JP2011503715A (ja) * 2007-11-05 2011-01-27 マイクロソフト コーポレーション クロスサイトスクリプティングフィルタ
US10248415B2 (en) 2011-05-19 2019-04-02 Microsoft Technology Licensing, Llc Dynamic code generation and memory management for component object model data constructs
US9342274B2 (en) 2011-05-19 2016-05-17 Microsoft Technology Licensing, Llc Dynamic code generation and memory management for component object model data constructs
US8881101B2 (en) 2011-05-24 2014-11-04 Microsoft Corporation Binding between a layout engine and a scripting engine
US9116867B2 (en) 2011-05-24 2015-08-25 Microsoft Technology Licensing, Llc Memory model for a layout engine and scripting engine
US9244896B2 (en) 2011-05-24 2016-01-26 Microsoft Technology Licensing, Llc Binding between a layout engine and a scripting engine
US8918759B2 (en) 2011-05-24 2014-12-23 Microsoft Corporation Memory model for a layout engine and scripting engine
US9582479B2 (en) 2011-05-24 2017-02-28 Microsoft Technology Licensing, Llc Security model for a layout engine and scripting engine
US9830306B2 (en) 2011-05-24 2017-11-28 Microsoft Technology Licensing, Llc Interface definition language extensions
US9830305B2 (en) 2011-05-24 2017-11-28 Microsoft Technology Licensing, Llc Interface definition language extensions
US8904474B2 (en) 2011-05-24 2014-12-02 Microsoft Corporation Security model for a layout engine and scripting engine
US9430452B2 (en) 2013-06-06 2016-08-30 Microsoft Technology Licensing, Llc Memory model for a layout engine and scripting engine
US10282238B2 (en) 2013-06-06 2019-05-07 Microsoft Technology Licensing, Llc Memory model for a layout engine and scripting engine
US10353751B2 (en) 2013-06-06 2019-07-16 Microsoft Technology Licensing, Llc Memory model for a layout engine and scripting engine

Also Published As

Publication number Publication date
CA2254707C (en) 2002-01-01
EP0936787A3 (en) 2003-04-23
CA2254707A1 (en) 1999-07-29
US6205551B1 (en) 2001-03-20
DE69922857T2 (de) 2005-12-08
DE69922857D1 (de) 2005-02-03
EP0936787A2 (en) 1999-08-18
EP0936787B1 (en) 2004-12-29

Similar Documents

Publication Publication Date Title
EP0936787B1 (en) Computer security using virus probing
US8316446B1 (en) Methods and apparatus for blocking unwanted software downloads
US7007302B1 (en) Efficient management and blocking of malicious code and hacking attempts in a network environment
US8176553B1 (en) Secure gateway with firewall and intrusion detection capabilities
Rehman Intrusion detection systems with Snort: advanced IDS techniques using Snort, Apache, MySQL, PHP, and ACID
US7823204B2 (en) Method and apparatus for detecting intrusions on a computer system
US8689333B2 (en) Malware defense system and method
US8074277B2 (en) System and methodology for intrusion detection and prevention
US8266703B1 (en) System, method and computer program product for improving computer network intrusion detection by risk prioritization
US6546493B1 (en) System, method and computer program product for risk assessment scanning based on detected anomalous events
US7302480B2 (en) Monitoring the flow of a data stream
US9436820B1 (en) Controlling access to resources in a network
US7162742B1 (en) Interoperability of vulnerability and intrusion detection systems
US20080196099A1 (en) Systems and methods for detecting and blocking malicious content in instant messages
US20080172739A1 (en) Attack defending system and attack defending method
WO2003032571A1 (en) Method and apparatus for providing node security in a router of a packet network
KR19990078198A (ko) 파이어월안전방법및장치
JP2006319982A (ja) 通信ネットワーク内ワーム特定及び不活化方法及び装置
Mohammed et al. Honeypots and Routers: Collecting internet attacks
De Montigny-Leboeuf et al. Passive network discovery for real time situation awareness
Dutta et al. Intrusion detection systems fundamentals
Goebel Advanced Honeynet based Intrusion Detection
Gou et al. Multi-agent system for worm detection and containment in metropolitan area networks
Gheorghe et al. Attack evaluation and mitigation framework
Kipp Using Snort as an IDS and Network Monitor in Linux