JPH11316677A - コンピュ―タネットワ―クの保安方法 - Google Patents
コンピュ―タネットワ―クの保安方法Info
- Publication number
- JPH11316677A JPH11316677A JP11015683A JP1568399A JPH11316677A JP H11316677 A JPH11316677 A JP H11316677A JP 11015683 A JP11015683 A JP 11015683A JP 1568399 A JP1568399 A JP 1568399A JP H11316677 A JPH11316677 A JP H11316677A
- Authority
- JP
- Japan
- Prior art keywords
- probe
- network
- security
- private network
- firewall
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/145—Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
(57)【要約】
【課題】 ネットワークパフォーマンスを落とさないよ
うなコンピュータネットワークにて用いられるセキュリ
ティの対策の認証技術を提供する。 【解決手段】 コンピュータネットワーク内の特定のク
ライエントがそのネットワークの所望のセキュリティ上
の特徴に従って全体的に構成されているかどうかを判断
する技術を提供する。ネットワーク内に入るファイル内
にプローブがランダムに挿入される。プローブの挿入は
コンピュータネットワークを他のネットワークから分離
するファイアーウォールにおいて行われる。プローブは
特定の実行タスク(既知のウィルスなど)に従って構成
し、適切に構成されたクライエントにおいてはプローブ
は実行されず、ファイアーウォールはセキュリティブリ
ーチ(違反)を検出しない。不正な場合はプローブは実
行されセキュリティアラートをトリガーさせる。
うなコンピュータネットワークにて用いられるセキュリ
ティの対策の認証技術を提供する。 【解決手段】 コンピュータネットワーク内の特定のク
ライエントがそのネットワークの所望のセキュリティ上
の特徴に従って全体的に構成されているかどうかを判断
する技術を提供する。ネットワーク内に入るファイル内
にプローブがランダムに挿入される。プローブの挿入は
コンピュータネットワークを他のネットワークから分離
するファイアーウォールにおいて行われる。プローブは
特定の実行タスク(既知のウィルスなど)に従って構成
し、適切に構成されたクライエントにおいてはプローブ
は実行されず、ファイアーウォールはセキュリティブリ
ーチ(違反)を検出しない。不正な場合はプローブは実
行されセキュリティアラートをトリガーさせる。
Description
【0001】
【発明の属する技術分野】本発明は、ネットワークセキ
ュリティに関し、特に、コンピュータネットワークにて
用いられるセキュリティの対策(measure)の認証技術に
関する。
ュリティに関し、特に、コンピュータネットワークにて
用いられるセキュリティの対策(measure)の認証技術に
関する。
【0002】
【従来の技術】通信技術における進歩およびパワフルな
デスクトップコンピュータハードウェアを利用できるよ
うになったことにより、多くのパブリック的に(プライ
ベートでないこと)利用可能なコンピュータネットワー
クにコンピュータをアクセスさせることが多くなってき
た。今日では、インターネットのようなパブリックコン
ピュータネットワークを介して世界中のユーザー個人と
の間で莫大な量の情報が交換されている。ユーザーの分
類の1つとして、会社内のインターネットのようなプラ
イベートネットワークを介してお互い接続されたプライ
ベートな個人および職業上のユーザーがある。プライベ
ートコンピュータネットワークとパブリックコンピュー
タネットワークとの間での情報の交換によって、プライ
ベートコンピュータネットワーク上の情報の保護および
プライベートコンピュータネットワーク自身の全体の機
能に関して多くの非常に重要なセキュリティ問題を発生
させた。
デスクトップコンピュータハードウェアを利用できるよ
うになったことにより、多くのパブリック的に(プライ
ベートでないこと)利用可能なコンピュータネットワー
クにコンピュータをアクセスさせることが多くなってき
た。今日では、インターネットのようなパブリックコン
ピュータネットワークを介して世界中のユーザー個人と
の間で莫大な量の情報が交換されている。ユーザーの分
類の1つとして、会社内のインターネットのようなプラ
イベートネットワークを介してお互い接続されたプライ
ベートな個人および職業上のユーザーがある。プライベ
ートコンピュータネットワークとパブリックコンピュー
タネットワークとの間での情報の交換によって、プライ
ベートコンピュータネットワーク上の情報の保護および
プライベートコンピュータネットワーク自身の全体の機
能に関して多くの非常に重要なセキュリティ問題を発生
させた。
【0003】コンピュータネットワークセキュリティ
は、最低でも、コンピュータの運用およびネットワーク
資源に対して信頼性を確実にし、不正な情報の流出や不
正なアクセスからネットワーク内の情報を保護しなけれ
ばならない。このようなネットワークセキュリティに対
して多くのセキュリティ上の驚異を与える問題がますま
す増えている。そのセキュリティ上の驚異の内のもっと
も洗練された種のものは、ネットワークコンピュータシ
ステム内の特定の無防備なところを利用するプログラム
がある。これらのプログラムに関連したセキュリティ上
の驚異として周知な、論理爆弾(logic bomb)、トラップ
ドア(trapdoor)、トロイの木馬(trojan horse)、ウィル
ス(virus)、ワーム(worm)などがある。これらは文献、
W.Stallings, Network and Internetwork Security Pri
nciles and Practice, Prentice-Hall, Inc., Englewoo
d Cliffs, NJ, 1995.などに説明されている
は、最低でも、コンピュータの運用およびネットワーク
資源に対して信頼性を確実にし、不正な情報の流出や不
正なアクセスからネットワーク内の情報を保護しなけれ
ばならない。このようなネットワークセキュリティに対
して多くのセキュリティ上の驚異を与える問題がますま
す増えている。そのセキュリティ上の驚異の内のもっと
も洗練された種のものは、ネットワークコンピュータシ
ステム内の特定の無防備なところを利用するプログラム
がある。これらのプログラムに関連したセキュリティ上
の驚異として周知な、論理爆弾(logic bomb)、トラップ
ドア(trapdoor)、トロイの木馬(trojan horse)、ウィル
ス(virus)、ワーム(worm)などがある。これらは文献、
W.Stallings, Network and Internetwork Security Pri
nciles and Practice, Prentice-Hall, Inc., Englewoo
d Cliffs, NJ, 1995.などに説明されている
【0004】このような周知なソフトウェアプログラム
の驚異は、セキュリティブリーチを達成するために独立
に働くもの(例、ワーム)か、あるいは破壊的アクショ
ンを起こさせるためにホストプログラムを呼び出す必要
があるもの(例、トラップドア、論理爆弾、トロイの木
馬、ウィルス)がある。実際にこのようなプログラム
は、十分に公知になるほどたくさんあり、プライベート
ネットワークコンピュータのセキュリティを不正にブリ
ーチさせるのに用いられ、重大な損害を与えてしまって
いる。たとえば、文献、J.Hruska, Computer Viruses a
nd Anti-Virus Warfare, Second edition, Ellis Horwo
od Limited, New York, 1992.に説明されている。この
ような損害としては、電子ファイルの破壊、データベー
スの変更、コンピュータネットワーク自身ないし影響を
受けたコンピュータネットワーク自身ないし影響を受け
たネットワークにつながれたコンピュータハードウェア
を運用不能としてしまうことがある。
の驚異は、セキュリティブリーチを達成するために独立
に働くもの(例、ワーム)か、あるいは破壊的アクショ
ンを起こさせるためにホストプログラムを呼び出す必要
があるもの(例、トラップドア、論理爆弾、トロイの木
馬、ウィルス)がある。実際にこのようなプログラム
は、十分に公知になるほどたくさんあり、プライベート
ネットワークコンピュータのセキュリティを不正にブリ
ーチさせるのに用いられ、重大な損害を与えてしまって
いる。たとえば、文献、J.Hruska, Computer Viruses a
nd Anti-Virus Warfare, Second edition, Ellis Horwo
od Limited, New York, 1992.に説明されている。この
ような損害としては、電子ファイルの破壊、データベー
スの変更、コンピュータネットワーク自身ないし影響を
受けたコンピュータネットワーク自身ないし影響を受け
たネットワークにつながれたコンピュータハードウェア
を運用不能としてしまうことがある。
【0005】プライベートコンピュータネットワークの
運用を行うネットワーク管理者は多くのセキュリティ対
策を用いて、コンピュータウィルスの侵入のような外的
セキュリティブリーチからネットワークを保護しようと
する。それらの技術の1つとしていわゆるファイアーウ
ォールがある。このセキュリティ方式は、プライベート
ネットワークとパブリックネットワーク(インターネッ
トなど)との間に別のコンピュータシステム(ファイア
ーウォール)を本質的に配置する。このファイアーウォ
ールは、ソフトウェアベースのゲートウェイであり、外
部のもの(認証されていないユーザー)によるアタック
からLAN上のコンピュータを保護するように通常イン
ストールされている。ファイアーウォールは、プライベ
ートネットワークを出入りする通信を制御している。
運用を行うネットワーク管理者は多くのセキュリティ対
策を用いて、コンピュータウィルスの侵入のような外的
セキュリティブリーチからネットワークを保護しようと
する。それらの技術の1つとしていわゆるファイアーウ
ォールがある。このセキュリティ方式は、プライベート
ネットワークとパブリックネットワーク(インターネッ
トなど)との間に別のコンピュータシステム(ファイア
ーウォール)を本質的に配置する。このファイアーウォ
ールは、ソフトウェアベースのゲートウェイであり、外
部のもの(認証されていないユーザー)によるアタック
からLAN上のコンピュータを保護するように通常イン
ストールされている。ファイアーウォールは、プライベ
ートネットワークを出入りする通信を制御している。
【0006】ファイアーウォールは、プライベートネッ
トワークを利用するすべてのユーザーに対して、特定の
セキュリティ対策を与える。ファイアーウォールは新し
いインターネットのサービスやワールドワイドウェーブ
(WWW)上の新しいサイトへのアクセスをブロックす
ることがある。なぜなら、その時点のファイアーウォー
ルの構成にとってセキュリティ上及ぼされる結果が未知
であったり登録されていなかったりするからである。フ
ァイアーウォールの導入構成例として、WWWクライエ
ントが直接WWWサーバに接触させない構成がある。こ
の構成は通常制限が強すぎであり、従って、ネットワー
ク管理者はいわゆるプロキシサーバを利用することが多
い。プロキシサーバは、ファイアーウォールを通してW
WWクライエントからの要求を提供するような特定の機
能があり、このようにして、インターネット上のサーバ
と出入りする通信の流れを提供する。
トワークを利用するすべてのユーザーに対して、特定の
セキュリティ対策を与える。ファイアーウォールは新し
いインターネットのサービスやワールドワイドウェーブ
(WWW)上の新しいサイトへのアクセスをブロックす
ることがある。なぜなら、その時点のファイアーウォー
ルの構成にとってセキュリティ上及ぼされる結果が未知
であったり登録されていなかったりするからである。フ
ァイアーウォールの導入構成例として、WWWクライエ
ントが直接WWWサーバに接触させない構成がある。こ
の構成は通常制限が強すぎであり、従って、ネットワー
ク管理者はいわゆるプロキシサーバを利用することが多
い。プロキシサーバは、ファイアーウォールを通してW
WWクライエントからの要求を提供するような特定の機
能があり、このようにして、インターネット上のサーバ
と出入りする通信の流れを提供する。
【0007】最近になり、ファイアーウォールのベンダ
ーはいわゆるウィルスフィルタリング機能を提供するよ
うになり、ウィルス感染に関連する重要なセキュリティ
上の問題を解決している。このようにファイアーウォー
ルにてウィルスフィルタリングを行うことは、クライエ
ントマシン(PCなど)上で通常用いられている周知の
ウィルススキャニングと概念的には同様なものであり、
従来のクライエント/サーバ構成においてLAN内に存
在させている。このようなクライエントベースのウィル
ス検出において、ウィルススキャンはクライエントのオ
ペレーティングシステム、実行可能ファイル、システム
ファイル、ブートレコード、メモリなどを検索するプロ
グラムを用いており、存在してはならないソフトウェア
エンティティの存在を検出する。
ーはいわゆるウィルスフィルタリング機能を提供するよ
うになり、ウィルス感染に関連する重要なセキュリティ
上の問題を解決している。このようにファイアーウォー
ルにてウィルスフィルタリングを行うことは、クライエ
ントマシン(PCなど)上で通常用いられている周知の
ウィルススキャニングと概念的には同様なものであり、
従来のクライエント/サーバ構成においてLAN内に存
在させている。このようなクライエントベースのウィル
ス検出において、ウィルススキャンはクライエントのオ
ペレーティングシステム、実行可能ファイル、システム
ファイル、ブートレコード、メモリなどを検索するプロ
グラムを用いており、存在してはならないソフトウェア
エンティティの存在を検出する。
【0008】コンピュータウィルスは、それらウィルス
それぞれがもっているウィルスシグネチャ(ウィルスの
特徴)が前もって見つけられていてそれをウィルススキ
ャナが用いることによって検出する。ウィルスシグネチ
ャは、ウィルススキャンソフトウェアのベンダーが既知
のウィルスから抽出した固定長シグネチャパターン(1
6〜24バイトパターンなど)であることが多い。ウィ
ルススキャンソフトウェアは既知のコンピュータウィル
スのシグネチャのリストをもっており、特定のクライエ
ントのたくさんのファイルをスキャンし、特定のウィル
スシグネチャと一致するかどうか検索する。もし一致し
ていれば、クライエントのそのエンティティは感染した
こととなり、それはユーザーに知らされる。
それぞれがもっているウィルスシグネチャ(ウィルスの
特徴)が前もって見つけられていてそれをウィルススキ
ャナが用いることによって検出する。ウィルスシグネチ
ャは、ウィルススキャンソフトウェアのベンダーが既知
のウィルスから抽出した固定長シグネチャパターン(1
6〜24バイトパターンなど)であることが多い。ウィ
ルススキャンソフトウェアは既知のコンピュータウィル
スのシグネチャのリストをもっており、特定のクライエ
ントのたくさんのファイルをスキャンし、特定のウィル
スシグネチャと一致するかどうか検索する。もし一致し
ていれば、クライエントのそのエンティティは感染した
こととなり、それはユーザーに知らされる。
【0009】公知のファイアーウォール内でウィルスフ
ィルタリングを行うことによりファイアーウォール内を
ファイルを伝送してスキャニングをしウィルス検出を行
う。これはファイアーウォールにネットワークセキュリ
ティ能力をさらに負荷するが、ファイアーウォールにお
いてウィルスフィルタを実装することには運用上の問題
がいくつかある。すなわち、(1)ファイアーウォール
にて大量の処理を行わなければならず、待ち時間を発生
させてしまいネットワークパフォーマンスを落としてし
まい、ネットワークで実行しているアプリケーションに
悪影響を与え、(2)ファイアーウォールはそれ自身は
ネットワークにおける個々のクライエントと比べて運用
上およびデータインテリジェンスを少ない量しかもって
おらず、クライエントベースのウィルススキャナで実行
されるよりのファイアーウォールによっては到来するデ
ータの正確なスキャンをすることができなくなる。
ィルタリングを行うことによりファイアーウォール内を
ファイルを伝送してスキャニングをしウィルス検出を行
う。これはファイアーウォールにネットワークセキュリ
ティ能力をさらに負荷するが、ファイアーウォールにお
いてウィルスフィルタを実装することには運用上の問題
がいくつかある。すなわち、(1)ファイアーウォール
にて大量の処理を行わなければならず、待ち時間を発生
させてしまいネットワークパフォーマンスを落としてし
まい、ネットワークで実行しているアプリケーションに
悪影響を与え、(2)ファイアーウォールはそれ自身は
ネットワークにおける個々のクライエントと比べて運用
上およびデータインテリジェンスを少ない量しかもって
おらず、クライエントベースのウィルススキャナで実行
されるよりのファイアーウォールによっては到来するデ
ータの正確なスキャンをすることができなくなる。
【0010】
【発明が解決しようとする課題】従って、ファイアーウ
ォールベースのウィルスフィルタリングの欠点を考える
と、ファイアーウォール自身よりもネットワーク上のク
ライエントマシンにおいてウィルススクリーニングを行
わせるネットワークセキュリティ管理者が多い。このよ
うなクライエントベーススキャニングに対して現在はい
くつかの有名な市販のコンピュータウィルススキャナが
用いられている。ネットワークセキュリティ管理者は通
常、特定の市販のウィルススキャニングプログラムを選
択し、ネットワークのクライエントすべてにそのプログ
ラムをインストールする。もちろんウィルススキャニン
グソフトウェアの有効性は導入の完全性および新しく発
見されたウィルスに対応させたウィルスシグネチャーリ
ストにより周期的に更新することに大きく依存する。
ォールベースのウィルスフィルタリングの欠点を考える
と、ファイアーウォール自身よりもネットワーク上のク
ライエントマシンにおいてウィルススクリーニングを行
わせるネットワークセキュリティ管理者が多い。このよ
うなクライエントベーススキャニングに対して現在はい
くつかの有名な市販のコンピュータウィルススキャナが
用いられている。ネットワークセキュリティ管理者は通
常、特定の市販のウィルススキャニングプログラムを選
択し、ネットワークのクライエントすべてにそのプログ
ラムをインストールする。もちろんウィルススキャニン
グソフトウェアの有効性は導入の完全性および新しく発
見されたウィルスに対応させたウィルスシグネチャーリ
ストにより周期的に更新することに大きく依存する。
【0011】非常に大きいクライエント/サーバネット
ワークにおいて、すべてのクライエント上でウィルス検
出ソフトウェアが完全にインストールされていることを
確実にする仕事は莫大であり達成できるかどうかも分か
らない。クライエント同士の検査は多くの労働力を必要
としてしまい、頻繁に行うことができない。従って、個
々のユーザーがウィルススキャニングソフトウェアを更
新する責任を通常持たされ、中央ソースからもっとも最
近のウィルスシグネチャーリストをダウンロートさせら
れる。この個々のユーザーが更新をしなかった場合には
もちろんネットワークはセキュリティブリーチの危険に
さらされてしまう。
ワークにおいて、すべてのクライエント上でウィルス検
出ソフトウェアが完全にインストールされていることを
確実にする仕事は莫大であり達成できるかどうかも分か
らない。クライエント同士の検査は多くの労働力を必要
としてしまい、頻繁に行うことができない。従って、個
々のユーザーがウィルススキャニングソフトウェアを更
新する責任を通常持たされ、中央ソースからもっとも最
近のウィルスシグネチャーリストをダウンロートさせら
れる。この個々のユーザーが更新をしなかった場合には
もちろんネットワークはセキュリティブリーチの危険に
さらされてしまう。
【0012】このように、コンピュータネットワーク全
体を通してネットワ−クセキュリティ機能が完全に構成
されていることを確実にする必要性がある。
体を通してネットワ−クセキュリティ機能が完全に構成
されていることを確実にする必要性がある。
【0013】
【課題を解決するための手段】本発明は、コンピュータ
ネットワーク内の特定のクライエントがそのコンピュー
タネットワークの所望のセキュリティ上の特徴に従って
全体的に構成されているかどうかを判断する技術を提供
する。本発明に従うと、コンピュータネットワーク内に
入るファイル内にプローブがランダムに挿入される。プ
ローブの挿入は、コンピュータネットワークを他のネッ
トワークから分離するファイアーウォールにおいて行わ
れる。
ネットワーク内の特定のクライエントがそのコンピュー
タネットワークの所望のセキュリティ上の特徴に従って
全体的に構成されているかどうかを判断する技術を提供
する。本発明に従うと、コンピュータネットワーク内に
入るファイル内にプローブがランダムに挿入される。プ
ローブの挿入は、コンピュータネットワークを他のネッ
トワークから分離するファイアーウォールにおいて行わ
れる。
【0014】一態様に従うと、プローブは特定の実行タ
スク(既知のウィルスなど)に従って構成され、適切に
構成されたクライエントにおいてはプローブは実行され
ず、ファイアーウォールはセキュリティブリーチ(違
反)を検出しない。しかし、もしクライエントの構成が
正しくない場合(すなわち、標準的ネットワークセキュ
リティ対策に従っていない場合)、プローブは実行さ
れ、ファイアーウォールにおいてセキュリティアラート
をトリガーし(引き金を引き)、クライエントがセキュ
リティブリーチに無防備であることを指示する。ネット
ワークセキュリティ管理者は構成が正しくないクライエ
ントを訂正するように適切な行動をとることができる。
スク(既知のウィルスなど)に従って構成され、適切に
構成されたクライエントにおいてはプローブは実行され
ず、ファイアーウォールはセキュリティブリーチ(違
反)を検出しない。しかし、もしクライエントの構成が
正しくない場合(すなわち、標準的ネットワークセキュ
リティ対策に従っていない場合)、プローブは実行さ
れ、ファイアーウォールにおいてセキュリティアラート
をトリガーし(引き金を引き)、クライエントがセキュ
リティブリーチに無防備であることを指示する。ネット
ワークセキュリティ管理者は構成が正しくないクライエ
ントを訂正するように適切な行動をとることができる。
【0015】好ましい実施例において、プローブはトロ
イの木馬の形態にてウィルスプローブとして構成され
る。このトロイの木馬は、実行すると、クライエントの
構成が正しくないことを示す信号をファイアーウォール
へと知らせる。別の実施例において、ファイアーウォー
ルへ戻される信号は、ユーザーデータデータグラムプロ
トコル(UDP:User Datagram Protocol)パケットで
ある。さらに別の実施例に従うと、特定のIPアドレス
に対しブラウザーの種類からの最初のインターネットへ
のアクセスの際にウィルスプローブが挿入され、その後
にもウィルスプローブがランダムな時間間隔で挿入され
る。
イの木馬の形態にてウィルスプローブとして構成され
る。このトロイの木馬は、実行すると、クライエントの
構成が正しくないことを示す信号をファイアーウォール
へと知らせる。別の実施例において、ファイアーウォー
ルへ戻される信号は、ユーザーデータデータグラムプロ
トコル(UDP:User Datagram Protocol)パケットで
ある。さらに別の実施例に従うと、特定のIPアドレス
に対しブラウザーの種類からの最初のインターネットへ
のアクセスの際にウィルスプローブが挿入され、その後
にもウィルスプローブがランダムな時間間隔で挿入され
る。
【0016】
【発明の実施の形態】図1は、本発明の原理を用いるシ
ステムを示している。このシステムは、パブリックネッ
トワーク100(インターネットなど)、ネットワーク
資源105、ネットワーク資源110、ネットワーク資
源115、ネットワーク資源120、ネットワーク資源
125を有する。ネットワーク資源105〜ネットワー
ク資源125は、周知のHTML言語により書かれたフ
ァイルによってリンクすることができ、周知のWWWを
表す。WWWとHTMLは文献、B.White, HTML and th
e Art of Authoring for the World Wide Web, Kluwer
Academic Publishers, Norwell, MA, 1996.などに説明
されている。
ステムを示している。このシステムは、パブリックネッ
トワーク100(インターネットなど)、ネットワーク
資源105、ネットワーク資源110、ネットワーク資
源115、ネットワーク資源120、ネットワーク資源
125を有する。ネットワーク資源105〜ネットワー
ク資源125は、周知のHTML言語により書かれたフ
ァイルによってリンクすることができ、周知のWWWを
表す。WWWとHTMLは文献、B.White, HTML and th
e Art of Authoring for the World Wide Web, Kluwer
Academic Publishers, Norwell, MA, 1996.などに説明
されている。
【0017】プライベートネットワーク130は特定の
ユーザーサイト(会社の本社ビルなど)内に位置するネ
ットワークであり、LAN170によってユーザー端末
165−1、165−2、165−3、165−4がつ
ながれている。ユーザー端末165−1〜165−4は
スタンドアローンのパーソナルコンピュータやネットワ
ーク端末であってもよい。
ユーザーサイト(会社の本社ビルなど)内に位置するネ
ットワークであり、LAN170によってユーザー端末
165−1、165−2、165−3、165−4がつ
ながれている。ユーザー端末165−1〜165−4は
スタンドアローンのパーソナルコンピュータやネットワ
ーク端末であってもよい。
【0018】簡明さのため、図1においては1つのLA
N構成しか示していないが、プライベートネットワーク
130はLAN170と同様な複数のLAN構成を含ん
でいてもよい。ユーザー端末165−1〜165−4の
いずれの特定のユーザーもWWW(ネットワーク資源1
05〜ネットワーク資源125など)上で利用可能な特
定の資源を要求するためにユーザー端末165−2など
でクライエントプログラムを実行させる。前述のよう
に、プライベートネットワーク130からインターネッ
トを介してのWWWへのこのような要求はプライベート
ネットワーク130とユーザー端末165−1〜165
−4との両方にセキュリティ上の危険を与える。
N構成しか示していないが、プライベートネットワーク
130はLAN170と同様な複数のLAN構成を含ん
でいてもよい。ユーザー端末165−1〜165−4の
いずれの特定のユーザーもWWW(ネットワーク資源1
05〜ネットワーク資源125など)上で利用可能な特
定の資源を要求するためにユーザー端末165−2など
でクライエントプログラムを実行させる。前述のよう
に、プライベートネットワーク130からインターネッ
トを介してのWWWへのこのような要求はプライベート
ネットワーク130とユーザー端末165−1〜165
−4との両方にセキュリティ上の危険を与える。
【0019】図1に示すように、プライベートネットワ
ーク130はファイアーウォール180およびプロキシ
サーバー135を有し、これらは本発明に従って特定の
セキュリティ機能を提供するように構成され、プライベ
ートネットワーク130およびその多くのコンピュータ
資源を保護する。
ーク130はファイアーウォール180およびプロキシ
サーバー135を有し、これらは本発明に従って特定の
セキュリティ機能を提供するように構成され、プライベ
ートネットワーク130およびその多くのコンピュータ
資源を保護する。
【0020】前述のように、プライベートコンピュータ
ネットワーク(130など)の運用に責任があるネット
ワーク管理者はたくさんのセキュリティ対策を用いて、
コンピュータウィルスの侵入のような外的セキュリティ
ブリーチからネットワークを保護する。その技術の1つ
として、プライベートネットワークとパブリックネット
ワーク(インターネットなど)との間に別のコンピュー
タシステム(ファイアーウォール)を開示するものがあ
る。ファイアーウォールを用いるプライベートネットワ
ークにおいて、ファイアーウォールはまず、プライベー
トネットワークのユーザー端末とパブリックネットワー
クとの間の要求された接続が認証されるものかどうかを
判断する。
ネットワーク(130など)の運用に責任があるネット
ワーク管理者はたくさんのセキュリティ対策を用いて、
コンピュータウィルスの侵入のような外的セキュリティ
ブリーチからネットワークを保護する。その技術の1つ
として、プライベートネットワークとパブリックネット
ワーク(インターネットなど)との間に別のコンピュー
タシステム(ファイアーウォール)を開示するものがあ
る。ファイアーウォールを用いるプライベートネットワ
ークにおいて、ファイアーウォールはまず、プライベー
トネットワークのユーザー端末とパブリックネットワー
クとの間の要求された接続が認証されるものかどうかを
判断する。
【0021】ファイアーウォールはプライベートネット
ワークにおけるユーザー端末とパブリックネットワーク
との間の中間体として機能し、もしその接続が認証され
ると、それら2つのネットワークの間の接続を可能にす
る。逆に、接続が認証されなければ、ファイアーウォー
ルはそれらネットワークの間の接続を実現させない。
ワークにおけるユーザー端末とパブリックネットワーク
との間の中間体として機能し、もしその接続が認証され
ると、それら2つのネットワークの間の接続を可能にす
る。逆に、接続が認証されなければ、ファイアーウォー
ルはそれらネットワークの間の接続を実現させない。
【0022】図1の実施例に従うと、プロキシサーバー
135はプロセッサ140、ウェブプロキシ145、f
tpプロキシ150、メールプロキシ160を有する。
これらのプロキシはファイアーウォールと共に働くプロ
キシサーバーがそれぞれ、WWW/インターネットアク
セス、ファイル転送、電子メールに対してセキュリティ
機能を提供する。例として、ウェブプロキシ145はユ
ーザーがWWW上の上の特定のウェブページにプライベ
ートネットワーク130からアクセスしたいと望む場合
に用いられる。ユーザー端末165−2を用いるユーザ
ーはウェブブラウザー166を用いてWWW上の特定の
ウェブページにアクセスすることができる。ウェブブラ
ウザーは周知のソフトウエアアプリケーションプログラ
ム(Netscape Communications社のNetscape Navigator
(登録商標v.5.0)など)であり、WWW上をネットサ
ーフィンすることを可能にし、WWW上の最良の情報に
アクセスすることを可能とする。
135はプロセッサ140、ウェブプロキシ145、f
tpプロキシ150、メールプロキシ160を有する。
これらのプロキシはファイアーウォールと共に働くプロ
キシサーバーがそれぞれ、WWW/インターネットアク
セス、ファイル転送、電子メールに対してセキュリティ
機能を提供する。例として、ウェブプロキシ145はユ
ーザーがWWW上の上の特定のウェブページにプライベ
ートネットワーク130からアクセスしたいと望む場合
に用いられる。ユーザー端末165−2を用いるユーザ
ーはウェブブラウザー166を用いてWWW上の特定の
ウェブページにアクセスすることができる。ウェブブラ
ウザーは周知のソフトウエアアプリケーションプログラ
ム(Netscape Communications社のNetscape Navigator
(登録商標v.5.0)など)であり、WWW上をネットサ
ーフィンすることを可能にし、WWW上の最良の情報に
アクセスすることを可能とする。
【0023】ウェブブラウザー166はユーザー端末1
65−2のユーザーから入力要求を受信し、WWW上の
適切な資源(ネットワーク資源105など)とパブリッ
クネットワーク100を通して接続を確立することによ
りWWW上の情報を位置決めしようと試みる。ユーザー
端末165−2とネットワーク資源105との間の接続
はプロキシサーバー135、ウェブプロキシ145、フ
ァイアーウォール180を用いて確率される。ウェブブ
ラウザー166のために働くウェブプロキシ145は、
ユーザー端末165−2とネットワーク資源105の間
のTCP/IP接続を確立しようと試みる。
65−2のユーザーから入力要求を受信し、WWW上の
適切な資源(ネットワーク資源105など)とパブリッ
クネットワーク100を通して接続を確立することによ
りWWW上の情報を位置決めしようと試みる。ユーザー
端末165−2とネットワーク資源105との間の接続
はプロキシサーバー135、ウェブプロキシ145、フ
ァイアーウォール180を用いて確率される。ウェブブ
ラウザー166のために働くウェブプロキシ145は、
ユーザー端末165−2とネットワーク資源105の間
のTCP/IP接続を確立しようと試みる。
【0024】TCP/IPは、インターネットを情報が
伝送する方法に用いられるプロトコルであり周知であ
る。TCP/IPは、情報を個別のパケットの分離し、
送り側のコンピュータ(サーバーなど)と受け側のコン
ピュータ(クライエントなど)との間をこれらのパケッ
トをルーティングする。TCP/IPおよびインターネ
ット通信は文献、D.Comer, Internetworking with TCP/
IP Third edition, Prentice-Hall, Englewood Cliffs,
NJ, 1995.などに説明されている。好ましい実施例にお
いて、ユーザー端末165−2とネットワーク資源10
5との間のTCP/IP接続は、それぞれ、通信チャネ
ル190、195をまたがって設けられる。これらはパ
ブリックネットワーク100、プライベートネットワー
ク130、さらに、ユーザー端末165−2との間の接
続を確立する。
伝送する方法に用いられるプロトコルであり周知であ
る。TCP/IPは、情報を個別のパケットの分離し、
送り側のコンピュータ(サーバーなど)と受け側のコン
ピュータ(クライエントなど)との間をこれらのパケッ
トをルーティングする。TCP/IPおよびインターネ
ット通信は文献、D.Comer, Internetworking with TCP/
IP Third edition, Prentice-Hall, Englewood Cliffs,
NJ, 1995.などに説明されている。好ましい実施例にお
いて、ユーザー端末165−2とネットワーク資源10
5との間のTCP/IP接続は、それぞれ、通信チャネ
ル190、195をまたがって設けられる。これらはパ
ブリックネットワーク100、プライベートネットワー
ク130、さらに、ユーザー端末165−2との間の接
続を確立する。
【0025】図1に示すように、パブリックネットワー
ク100とプライベートネットワーク130の間の通信
トラフィックすべては、ファイアーウォール180を通
る必要がある。この通信トラフィックの寄与を考えてみ
ると、発明者は、本発明のセキュリティ上の利点を実装
するために、ファイアーウォール180が好ましい位置
であることを認識した。好ましい実施例に従うと、ファ
イアーウォール180はプロセッサ181、データベー
ス182、パブリックネットワーク100などからプラ
イベートネットワーク130などへと到来するファイル
内にプローブをランダムに挿入するウィルスプローバ1
85を含んでいる。ウィルスプローバ185が挿入する
プローブは実行すると特定の動作をトリガーする個別の
プログラムである。
ク100とプライベートネットワーク130の間の通信
トラフィックすべては、ファイアーウォール180を通
る必要がある。この通信トラフィックの寄与を考えてみ
ると、発明者は、本発明のセキュリティ上の利点を実装
するために、ファイアーウォール180が好ましい位置
であることを認識した。好ましい実施例に従うと、ファ
イアーウォール180はプロセッサ181、データベー
ス182、パブリックネットワーク100などからプラ
イベートネットワーク130などへと到来するファイル
内にプローブをランダムに挿入するウィルスプローバ1
85を含んでいる。ウィルスプローバ185が挿入する
プローブは実行すると特定の動作をトリガーする個別の
プログラムである。
【0026】一実施例に従うと、プローブはトロイの木
馬として構成するウィルスプローブである。これは、ク
ライエントの構成が正しくないことを示す信号をファイ
アーウォールへと送り返す。コンピュータウィルスの観
点からは、トロイの木馬は、コンピュータハッカー、コ
ンピュータクラッカーのような不正ユーザーがアプリケ
ーションプログラムに配置した秘密でドキュメント化さ
れていないエントリーポイントである。ユーザーがその
アプリケーションプログラムを実行すると通常、トロイ
の木馬もまた実行され、望ましくない動作を起こさせ
る。
馬として構成するウィルスプローブである。これは、ク
ライエントの構成が正しくないことを示す信号をファイ
アーウォールへと送り返す。コンピュータウィルスの観
点からは、トロイの木馬は、コンピュータハッカー、コ
ンピュータクラッカーのような不正ユーザーがアプリケ
ーションプログラムに配置した秘密でドキュメント化さ
れていないエントリーポイントである。ユーザーがその
アプリケーションプログラムを実行すると通常、トロイ
の木馬もまた実行され、望ましくない動作を起こさせ
る。
【0027】トロイの木馬は文献、Stallings, supra.
pp.238-241.などに説明されている。例として、トロイ
の木馬は共有コンピュータシステム上の別のユーザーの
ファイルへのアクセスを容易になるように作られ、不正
ユーザーが正当なユーザーのファイル権限を実行した場
合に変えてしまい、どのユーザーにも読み取り可能なフ
ァイルとしてしまう。この実施例において、後述するよ
うに、トロイの木馬の特定の機能を用いてコンピュータ
ネットワークにとって利点となるセキュリティの徹底を
行う。
pp.238-241.などに説明されている。例として、トロイ
の木馬は共有コンピュータシステム上の別のユーザーの
ファイルへのアクセスを容易になるように作られ、不正
ユーザーが正当なユーザーのファイル権限を実行した場
合に変えてしまい、どのユーザーにも読み取り可能なフ
ァイルとしてしまう。この実施例において、後述するよ
うに、トロイの木馬の特定の機能を用いてコンピュータ
ネットワークにとって利点となるセキュリティの徹底を
行う。
【0028】ファイアーウォール180にてウィルスプ
ローバ185により挿入されたウィルスプローブは、そ
のプローブが実行されるとファイアーウォール180へ
と信号を送り返すように設計され、従来考えられている
トロイの木馬の感覚で起こるような破壊的な動作ではな
い動作を実行する。本発明のセキュリティ機能はファイ
アーウォール(180など)にて実装され実現される。
なぜなら、ファイアーウォールが用いられているネット
ワークにおいてすべての通信トラフィックはファイアー
ウォールを通過しなければならないからである。従って
ファイアーウォールは本発明に従ってプローブを挿入す
る理想的な位置である。
ローバ185により挿入されたウィルスプローブは、そ
のプローブが実行されるとファイアーウォール180へ
と信号を送り返すように設計され、従来考えられている
トロイの木馬の感覚で起こるような破壊的な動作ではな
い動作を実行する。本発明のセキュリティ機能はファイ
アーウォール(180など)にて実装され実現される。
なぜなら、ファイアーウォールが用いられているネット
ワークにおいてすべての通信トラフィックはファイアー
ウォールを通過しなければならないからである。従って
ファイアーウォールは本発明に従ってプローブを挿入す
る理想的な位置である。
【0029】しかし本発明の原理は他のネットワーク環
境や構成にても実現することができる。例えば、一般ア
クセスが高い割合であり信頼性が高いことで知られてい
るネットワーク内の特定のプロキシサーバーを用いてプ
ローブの挿入を実現することができる。例として、オン
ライン電話帳を主として提供するプライベートネットワ
ーク内の信頼性が高いサーバーもまた本発明の原理を実
装するのに適している。なぜなら、このサーバーはプラ
イベートネットワーク内の多くのユーザーにより用いら
れるからである。従って、本発明により分配されるセキ
ュリティ機能は図1のシステム構成のようなシステムで
あるか否かに関わらず多くのネットワーク、ハードウェ
ア、ソフトウェア構成にて実現することができる。
境や構成にても実現することができる。例えば、一般ア
クセスが高い割合であり信頼性が高いことで知られてい
るネットワーク内の特定のプロキシサーバーを用いてプ
ローブの挿入を実現することができる。例として、オン
ライン電話帳を主として提供するプライベートネットワ
ーク内の信頼性が高いサーバーもまた本発明の原理を実
装するのに適している。なぜなら、このサーバーはプラ
イベートネットワーク内の多くのユーザーにより用いら
れるからである。従って、本発明により分配されるセキ
ュリティ機能は図1のシステム構成のようなシステムで
あるか否かに関わらず多くのネットワーク、ハードウェ
ア、ソフトウェア構成にて実現することができる。
【0030】本発明に従ってプローブを挿入、監視、実
行することによりネットワークセキュリティを提供する
動作を図2に示した。好ましい実施例に従うと、上述の
ように、図2の動作はファイアーウォール180内で開
始する。プライベートネットワーク130などを出入り
する通信トラフィックストリームが継続的に監視される
(200)。ネットワーク上を伝送される通信トラフィ
ックストリームを監視の際に、プライベートネットワー
ク130に向かって到来するファイルへとプローブがラ
ンダムに挿入される(205)。本発明のプローブの構
造的観点は、図3とともに後で説明する。本発明に従う
と、クライエント上で実行された場合、セキュリティ警
告を示す信号を取り出すようにプローブは設計される。
行することによりネットワークセキュリティを提供する
動作を図2に示した。好ましい実施例に従うと、上述の
ように、図2の動作はファイアーウォール180内で開
始する。プライベートネットワーク130などを出入り
する通信トラフィックストリームが継続的に監視される
(200)。ネットワーク上を伝送される通信トラフィ
ックストリームを監視の際に、プライベートネットワー
ク130に向かって到来するファイルへとプローブがラ
ンダムに挿入される(205)。本発明のプローブの構
造的観点は、図3とともに後で説明する。本発明に従う
と、クライエント上で実行された場合、セキュリティ警
告を示す信号を取り出すようにプローブは設計される。
【0031】信号はネットワーク資源の要求であること
がある。このような要求はすべてファイアーウォールを
通過して行われるので、本発明に従って構成するプロー
ブがこのような要求をトリガーするとその要求がファイ
アーウォールへの信号として有効に用いられることを確
実にする。すなわち、プローブがトリガーするこのよう
な信号はファイアーウォールにより直ちに認識すること
ができる。別の実施例において、信号は従来技術のユー
ザーデータグラムプロトコル(UDP)パケットの形態
とすることができる。UDPは従来のTCP/IPプロ
トコル上の最上層のコネクションレス型の転送プロトコ
ルであり、少ない量のデータを迅速に2つのアプリケー
ションが交換するのに低いオーバーヘッドメカニズムを
提供している。
がある。このような要求はすべてファイアーウォールを
通過して行われるので、本発明に従って構成するプロー
ブがこのような要求をトリガーするとその要求がファイ
アーウォールへの信号として有効に用いられることを確
実にする。すなわち、プローブがトリガーするこのよう
な信号はファイアーウォールにより直ちに認識すること
ができる。別の実施例において、信号は従来技術のユー
ザーデータグラムプロトコル(UDP)パケットの形態
とすることができる。UDPは従来のTCP/IPプロ
トコル上の最上層のコネクションレス型の転送プロトコ
ルであり、少ない量のデータを迅速に2つのアプリケー
ションが交換するのに低いオーバーヘッドメカニズムを
提供している。
【0032】UDPは通常のTCP/IPパケット交換
よりも少ないオーバーヘッドしか必要としない。なぜな
らUDPはTCP/IPよりもセキュリティが弱いプロ
トコルであるからである。すなわち、UDPは伝送指向
であり、パケットは複製されたり、迷子になったり、別
の順番で受信されたりしてしまう。逆にTCP/IPは
より信頼性が高い。なぜなら宛先に正確に完全に到来す
ることを確実にするためにある程度の大きさの長さをも
っているからである(チェックサムを生成したり、パケ
ットの受け取り確認をしたり、迷子パケットを再送信し
たりすることなど)。UDPはこのようなオーバーヘッ
ドはもっていないのでTCP/IPよりもある程度速
く、本発明の多くの実施例におけるのと同様に、短いデ
ータバーストを送ったり、速いネットワークスループッ
トを必要としたり、宛先にて配信の確認を必要としない
ようなアプリケーションにとっては理想的である。これ
ら上述の信号構成の他の信号構成であっても本発明の原
理を有効に提供することができる。
よりも少ないオーバーヘッドしか必要としない。なぜな
らUDPはTCP/IPよりもセキュリティが弱いプロ
トコルであるからである。すなわち、UDPは伝送指向
であり、パケットは複製されたり、迷子になったり、別
の順番で受信されたりしてしまう。逆にTCP/IPは
より信頼性が高い。なぜなら宛先に正確に完全に到来す
ることを確実にするためにある程度の大きさの長さをも
っているからである(チェックサムを生成したり、パケ
ットの受け取り確認をしたり、迷子パケットを再送信し
たりすることなど)。UDPはこのようなオーバーヘッ
ドはもっていないのでTCP/IPよりもある程度速
く、本発明の多くの実施例におけるのと同様に、短いデ
ータバーストを送ったり、速いネットワークスループッ
トを必要としたり、宛先にて配信の確認を必要としない
ようなアプリケーションにとっては理想的である。これ
ら上述の信号構成の他の信号構成であっても本発明の原
理を有効に提供することができる。
【0033】このように、ファイアーウォール180は
特定のプローブが実行されたというセキュリティ警告指
示(UDPパケットなど)を受信し、ファイアーウォー
ルはプローブとクライエントを同定し(215)、セキ
ュリティ警告を発生させる(220)。生成されたセキ
ュリティ警告の特性および種類は、本発明に従うと、い
ろんな形態であってもよい。ファイアーウォール180
が生成したセキュリティ警告は、ネットワーク内の特定
のクライエントに現在セキュリティ危機が存在すること
を示すネットワーク管理者への直ちに送られるメッセー
ジとすることができる。一実施例において、ネットワー
ク内のいろんなクライエントによりプローブが実行され
ると、マスターファイルにログエントリーを作成しデー
タベース182などに記憶される。これは周期的にネッ
トワーク管理者によりアクセスすることができ、あるい
はそのログを管理者が見ることができるようにレポート
を印刷するようにしてもよい。
特定のプローブが実行されたというセキュリティ警告指
示(UDPパケットなど)を受信し、ファイアーウォー
ルはプローブとクライエントを同定し(215)、セキ
ュリティ警告を発生させる(220)。生成されたセキ
ュリティ警告の特性および種類は、本発明に従うと、い
ろんな形態であってもよい。ファイアーウォール180
が生成したセキュリティ警告は、ネットワーク内の特定
のクライエントに現在セキュリティ危機が存在すること
を示すネットワーク管理者への直ちに送られるメッセー
ジとすることができる。一実施例において、ネットワー
ク内のいろんなクライエントによりプローブが実行され
ると、マスターファイルにログエントリーを作成しデー
タベース182などに記憶される。これは周期的にネッ
トワーク管理者によりアクセスすることができ、あるい
はそのログを管理者が見ることができるようにレポート
を印刷するようにしてもよい。
【0034】本発明は、コンピュータネットワーク内の
特定のクライエントがそのコンピュータネットワークの
望ましいネットワークセキュリティ機能に従って完全に
構成しているかどうかを判断する技術を提供することが
できる。例えば、ほとんどのネットワーク管理者により
行われている従来のセキュリティ対策はネットワーク
(130など)内のすべてのユーザーにウェブブラウザ
ーソフトウェア(Netscape Navigator(登録商標)な
ど)の特定の機能を使えなくするポリシーであり、特
に、ウェブブラウザーのJavaScriptインター
プリター機能を使えなくする。JavaScript
(商標)は例えば文献、D.Flanagan, JavascriptThe De
finitive Guide, Second edition, O'Reilly & Associa
tes, Sebastopol, CS, 1997.に説明されている。Jav
aScriptは、ユーザーやHTMLを伴うプログラ
ムを開発したりするのによく用いられる周知のインター
プリター型プログラミング言語である。例えば、ウェブ
ブラウザーがJavaScriptインタープリターを
具備すれば、そのウェブブラウザーはJavaScri
ptの「スクリプト」の形態でインターネット(および
WWW)上を実行可能なコンテンツ(プログラムなど)
を配信することを可能にする。
特定のクライエントがそのコンピュータネットワークの
望ましいネットワークセキュリティ機能に従って完全に
構成しているかどうかを判断する技術を提供することが
できる。例えば、ほとんどのネットワーク管理者により
行われている従来のセキュリティ対策はネットワーク
(130など)内のすべてのユーザーにウェブブラウザ
ーソフトウェア(Netscape Navigator(登録商標)な
ど)の特定の機能を使えなくするポリシーであり、特
に、ウェブブラウザーのJavaScriptインター
プリター機能を使えなくする。JavaScript
(商標)は例えば文献、D.Flanagan, JavascriptThe De
finitive Guide, Second edition, O'Reilly & Associa
tes, Sebastopol, CS, 1997.に説明されている。Jav
aScriptは、ユーザーやHTMLを伴うプログラ
ムを開発したりするのによく用いられる周知のインター
プリター型プログラミング言語である。例えば、ウェブ
ブラウザーがJavaScriptインタープリターを
具備すれば、そのウェブブラウザーはJavaScri
ptの「スクリプト」の形態でインターネット(および
WWW)上を実行可能なコンテンツ(プログラムなど)
を配信することを可能にする。
【0035】スクリプトがJavaScriptを実行
できるブラウザーにロードされると、スクリプトは実行
可能となり、そのスクリプトのJavaScript命
令に規定されるような特定の出力を作る。従って、Ja
vaScriptはウェブブラウザーの制御を支配する
ことができ、また、ウェブページに現れるコンテンツ
(HTMLフォームなど)の制御をも支配する。公知の
ように、JavaScriptを用いて可能となるこれ
らの機能は重大なネットワークセキュリティ上の危険を
発生させる。
できるブラウザーにロードされると、スクリプトは実行
可能となり、そのスクリプトのJavaScript命
令に規定されるような特定の出力を作る。従って、Ja
vaScriptはウェブブラウザーの制御を支配する
ことができ、また、ウェブページに現れるコンテンツ
(HTMLフォームなど)の制御をも支配する。公知の
ように、JavaScriptを用いて可能となるこれ
らの機能は重大なネットワークセキュリティ上の危険を
発生させる。
【0036】上述のようなウェブブラウザー環境に本発
明を導入することを以下の実施例により説明する。図1
および3において、プライベートネットワーク130は
ユーザー端末165−1〜165−4を用いる複数のユ
ーザを含んでいる。前述のように、ユーザー端末それぞ
れはユーザー端末165−2上を実行するウェブブラウ
ザー(160など)を具備するように構成することがで
きる。ユーザー端末165−2の構成は他のプライベー
トネットワーク内の他のユーザー端末それぞれの上にお
いて容易に複製することができるが、簡明さのため図1
においては一部のみを示した。
明を導入することを以下の実施例により説明する。図1
および3において、プライベートネットワーク130は
ユーザー端末165−1〜165−4を用いる複数のユ
ーザを含んでいる。前述のように、ユーザー端末それぞ
れはユーザー端末165−2上を実行するウェブブラウ
ザー(160など)を具備するように構成することがで
きる。ユーザー端末165−2の構成は他のプライベー
トネットワーク内の他のユーザー端末それぞれの上にお
いて容易に複製することができるが、簡明さのため図1
においては一部のみを示した。
【0037】プライベートネットワーク130のセキュ
リティポリシーに適合するように、外部のソース(パブ
リックネットワークなど)から導入され、プライベート
ネットワークを多くのセキュリティ上の危険にさらすよ
うなスクリプトの実行を防ぐためにすべてのウェブブラ
ウザーはJavaScriptインタープリターを使え
ないようにされる。もちろんこのようなセキュリティ対
策はネットワークユーザーが従った場合にのみ有効であ
る。多くのプライベートネットワークにおいて、このよ
うなセキュリティ対策に従わないようなユーザー端末が
存在してしまう。これらの従わないユーザー端末はネッ
トワーク全体をセキュリティ上の危険にさらし、ネット
ワーク管理者にとってはプライベートネットワーク全体
ですべてのセキュリティ対策に完全に適合させるため常
に格闘しなければならなくなっている。
リティポリシーに適合するように、外部のソース(パブ
リックネットワークなど)から導入され、プライベート
ネットワークを多くのセキュリティ上の危険にさらすよ
うなスクリプトの実行を防ぐためにすべてのウェブブラ
ウザーはJavaScriptインタープリターを使え
ないようにされる。もちろんこのようなセキュリティ対
策はネットワークユーザーが従った場合にのみ有効であ
る。多くのプライベートネットワークにおいて、このよ
うなセキュリティ対策に従わないようなユーザー端末が
存在してしまう。これらの従わないユーザー端末はネッ
トワーク全体をセキュリティ上の危険にさらし、ネット
ワーク管理者にとってはプライベートネットワーク全体
ですべてのセキュリティ対策に完全に適合させるため常
に格闘しなければならなくなっている。
【0038】前述のように、本発明はコンピュータネッ
トワーク内のクライエントがそのコンピュータネットワ
ークの望ましいネットワークセキュリティ機能に完全に
従っているかどうかを判断する技術を提供する。ファイ
アーウォール180が本発明に従って構成され、プライ
ベートネットワーク130への入通信トラフィックスト
リームへとプローブを挿入する。図3は、入通信トラフ
ィックストリーム300の例を示し、本発明に従ってプ
ローブを挿入している例を示している。通信トラフィッ
クストリーム300はパブリックネットワーク100か
らプライベートネットワーク130へとデータを運ぶ一
連の個々のパケット300−1からパケット300−N
(TCP/IPパケットなど)を含んでいる。本発明に
従うと、ファイアーウォール180はパケット300を
監視し、パケットの間に入ファイルへとプローブをラン
ダムに挿入する。例としてパケット300−4は入ファ
イル305を含み、これは一連のHTML命令310を
含むファイルである。
トワーク内のクライエントがそのコンピュータネットワ
ークの望ましいネットワークセキュリティ機能に完全に
従っているかどうかを判断する技術を提供する。ファイ
アーウォール180が本発明に従って構成され、プライ
ベートネットワーク130への入通信トラフィックスト
リームへとプローブを挿入する。図3は、入通信トラフ
ィックストリーム300の例を示し、本発明に従ってプ
ローブを挿入している例を示している。通信トラフィッ
クストリーム300はパブリックネットワーク100か
らプライベートネットワーク130へとデータを運ぶ一
連の個々のパケット300−1からパケット300−N
(TCP/IPパケットなど)を含んでいる。本発明に
従うと、ファイアーウォール180はパケット300を
監視し、パケットの間に入ファイルへとプローブをラン
ダムに挿入する。例としてパケット300−4は入ファ
イル305を含み、これは一連のHTML命令310を
含むファイルである。
【0039】ウィルスプローバ185がプローブ315
をHTML命令310の終わりに挿入する。いくつかの
実施例に従うと、特定のIPアドレス(クライエント)
ないしブラウザー種類からの最初のインターネットへの
アクセスの際にプローブ315が挿入され、その後はラ
ンダムな感覚でウィルスプローブが挿入される。プロー
ブ315はトロイの木馬の形態のウィルスプローブであ
り、ファイル305へとプローブ315を挿入すると編
集済みファイル325となる。その後に、プライベート
ネットワーク130への通信トラフィック300の伝送
において編集済みファイル325により進行する。
をHTML命令310の終わりに挿入する。いくつかの
実施例に従うと、特定のIPアドレス(クライエント)
ないしブラウザー種類からの最初のインターネットへの
アクセスの際にプローブ315が挿入され、その後はラ
ンダムな感覚でウィルスプローブが挿入される。プロー
ブ315はトロイの木馬の形態のウィルスプローブであ
り、ファイル305へとプローブ315を挿入すると編
集済みファイル325となる。その後に、プライベート
ネットワーク130への通信トラフィック300の伝送
において編集済みファイル325により進行する。
【0040】プローブ315は単一のJavaScri
pt命令320である。320は、<SCRIPT>x=new imag
e();x.src='image1';</SCRIPT>の形態であり、これはウ
ェブブラウザーを制御するインタープリター型スクリプ
ト言語の文である。image1はプローブ315を識
別する固有な文字列である。プローブ315は基本的に
はトロイの木馬であり、ウェブブラウザーに対し、オフ
スクリーンビットマップスペース(new image
())を配置し、小さなイメージ(image1)をダ
ウンロートさせるように命令する。プローブは、ウィル
スプローバ185によるアクセスのためデータベース1
82に記憶してもよいが、ウィルスプローバ185自身
にローカルに記憶してもよい。別の実施例では、中央ソ
ース(インターネットなど)からプローブをネットワー
ク管理者によりダウンロードさせ、現存するプローブラ
イブラリーに加えてもよい。
pt命令320である。320は、<SCRIPT>x=new imag
e();x.src='image1';</SCRIPT>の形態であり、これはウ
ェブブラウザーを制御するインタープリター型スクリプ
ト言語の文である。image1はプローブ315を識
別する固有な文字列である。プローブ315は基本的に
はトロイの木馬であり、ウェブブラウザーに対し、オフ
スクリーンビットマップスペース(new image
())を配置し、小さなイメージ(image1)をダ
ウンロートさせるように命令する。プローブは、ウィル
スプローバ185によるアクセスのためデータベース1
82に記憶してもよいが、ウィルスプローバ185自身
にローカルに記憶してもよい。別の実施例では、中央ソ
ース(インターネットなど)からプローブをネットワー
ク管理者によりダウンロードさせ、現存するプローブラ
イブラリーに加えてもよい。
【0041】もしウェブブラウザー166が、すべての
ウェブブラウザーにJavaScriptインタープリ
ターを使えなくさせるというネットワークセキュリティ
機能に適合していれば、プローブ315は実行されず、
ファイアーウォール180はセキュリティ警告を生成し
ない。しかし、もしウェブブラウザー166の構成が誤
っていれば、プローブ315は実行され、ウェブブラウ
ザー166にイメージファイル(image1)の要求
を開始させる。このようなまれなウェブブラウザー16
6によるネットワーク資源の要求はファイアーウォール
180により捕獲され、セキュリティ警告の信号として
機能する。適切に構成されたウェブブラウザーではこの
ようにネットワーク資源(image1)を要求するこ
とは、適切に構成されていなかったり確立されたネット
ワークセキュリティ対策に違反している場合をのぞいて
はない。すなわち、プローブ315の実行はプライベー
トネットワーク130の望ましいセキュリティ対策に適
合していないようにウェブブラウザー166がJava
Scriptを使えるようになっていることを意味し、
これはネットワークにセキュリティ上の危機を与えるこ
とを意味する。
ウェブブラウザーにJavaScriptインタープリ
ターを使えなくさせるというネットワークセキュリティ
機能に適合していれば、プローブ315は実行されず、
ファイアーウォール180はセキュリティ警告を生成し
ない。しかし、もしウェブブラウザー166の構成が誤
っていれば、プローブ315は実行され、ウェブブラウ
ザー166にイメージファイル(image1)の要求
を開始させる。このようなまれなウェブブラウザー16
6によるネットワーク資源の要求はファイアーウォール
180により捕獲され、セキュリティ警告の信号として
機能する。適切に構成されたウェブブラウザーではこの
ようにネットワーク資源(image1)を要求するこ
とは、適切に構成されていなかったり確立されたネット
ワークセキュリティ対策に違反している場合をのぞいて
はない。すなわち、プローブ315の実行はプライベー
トネットワーク130の望ましいセキュリティ対策に適
合していないようにウェブブラウザー166がJava
Scriptを使えるようになっていることを意味し、
これはネットワークにセキュリティ上の危機を与えるこ
とを意味する。
【0042】別の実施例において、本発明は、セキュリ
ティ警告が起こったときにファイアーウォールへ戻す信
号としてUDPパケットを用いる。ファイル305は特
定の実行可能命令を含むファイルである。拡張子が、.
exeであるファイルはバイナリー実行可能ファイルで
ある。プローブ315はファイル305の少量のバイト
をプローブ315を挿入することによって書き換えてし
まうのに安全である適切な位置にファイル305へと挿
入される。
ティ警告が起こったときにファイアーウォールへ戻す信
号としてUDPパケットを用いる。ファイル305は特
定の実行可能命令を含むファイルである。拡張子が、.
exeであるファイルはバイナリー実行可能ファイルで
ある。プローブ315はファイル305の少量のバイト
をプローブ315を挿入することによって書き換えてし
まうのに安全である適切な位置にファイル305へと挿
入される。
【0043】この実施例では、プローブ315はセキュ
リティ警告が発生した場合にUDPパケットを発する。
ファイル305へと挿入される実際の機械誤命令は周知
のプログラミング言語Cで書かれた以下のコード部分を
用いる(コンパイルする)ことにより生成することがで
きる。 struct sockaddr_in sin={0,9,{0xF14E8All},0,0,0,0,
0,0,0,0}; ints=socket(PF_INET,SOCK_DGRAM,0); connect(s,&sin,sizeof(sin)); write(s,0x88,1); close(s);
リティ警告が発生した場合にUDPパケットを発する。
ファイル305へと挿入される実際の機械誤命令は周知
のプログラミング言語Cで書かれた以下のコード部分を
用いる(コンパイルする)ことにより生成することがで
きる。 struct sockaddr_in sin={0,9,{0xF14E8All},0,0,0,0,
0,0,0,0}; ints=socket(PF_INET,SOCK_DGRAM,0); connect(s,&sin,sizeof(sin)); write(s,0x88,1); close(s);
【0044】上のC言語のコード部分を機械語コードへ
とコンパイルすると、これはプローブ315としてファ
イル305へと挿入され、プローブを実行した際に所望
のUDPパケットを生成する。すなわち、もしプローブ
315を特定のユーザー端末上で実行すると、そのユー
ザー端末がセキュリティ上の危険をはらんでいることを
示す信号として、ファイアーウォール180へとUDP
パケットが発せられる。
とコンパイルすると、これはプローブ315としてファ
イル305へと挿入され、プローブを実行した際に所望
のUDPパケットを生成する。すなわち、もしプローブ
315を特定のユーザー端末上で実行すると、そのユー
ザー端末がセキュリティ上の危険をはらんでいることを
示す信号として、ファイアーウォール180へとUDP
パケットが発せられる。
【図1】本発明の原理を用いるシステムのブロック図で
ある。
ある。
【図2】本発明を用いる図1のファイアーウォールが実
行する動作の流れ図である。
行する動作の流れ図である。
【図3】図1のシステムで送信される通信トラフィック
ストリームである。
ストリームである。
100 パブリックネットワーク 105 ネットワーク資源 110、115 ネットワーク資源 120、125 ネットワーク資源 130 プライベートネットワーク 135 プロキシサーバー 140 プロセッサ 145 ウェブプロキシ 150 ftpプロキシ 160 メールプロキシ 165 ユーザー端末 166 ウェブブラウザー 170 LAN 180 ファイアーウォール 181 プロセッサ 182 データベース 185 ウィルスプローバ 200 通信トラフィックを監視 205 ファイルへとプローブをランダムに挿入 210 特定のプローブが実行されたことの指示情報を
受信 215 プローブおよびクライエントを識別 220 セキュリティー警告を発生 300 パケット 305 HTMLファイル 310 HTML命令 315 プローブ 320 JaveScript命令 325 編集済みファイル
受信 215 プローブおよびクライエントを識別 220 セキュリティー警告を発生 300 パケット 305 HTMLファイル 310 HTML命令 315 プローブ 320 JaveScript命令 325 編集済みファイル
───────────────────────────────────────────────────── フロントページの続き (71)出願人 596077259 600 Mountain Avenue, Murray Hill, New Je rsey 07974−0636U.S.A.
Claims (28)
- 【請求項1】 (A)コンピュータネットワークの通信
トラフィックストリームを監視するステップと、 前記通信トラフィックストリームは複数のファイルを含
み、 (B)前記複数のファイルのうち少なくとも1つのファ
イルへとプローブを挿入するステップと、 (C)前記プローブがコンピュータネットワーク内で実
行されたかを判断するステップと、 (D)プローブが実行された場合には、プローブの実行
が行われたコンピュータネットワーク内の位置を識別す
るステップとを有することを特徴とするコンピュータネ
ットワークの保安方法。 - 【請求項2】 コンピュータネットワーク内の識別され
た前記位置の情報を少なくとも含むセキュリティ警告を
発生させるステップをさらに有することを特徴とする請
求項1記載の方法。 - 【請求項3】 識別された前記位置は、コンピュータネ
ットワーク内の複数のユーザー端末のうちの特定のユー
ザー端末であることを特徴とする請求項2記載の方法。 - 【請求項4】 前記プローブを挿入するステップ(B)
は、コンピュータネットワーク内のサーバーが挿入する
ことを特徴とする請求項1記載の方法。 - 【請求項5】 前記プローブは、トロイの木馬として構
成するコンピュータウィルスであることを特徴とする請
求項2記載の方法。 - 【請求項6】 前記通信トラフィックストリームは、通
信ネットワークとパブリックネットワークの間を交換さ
れる際に前記サーバーを通過することを特徴とする請求
項4記載の方法。 - 【請求項7】 前記プローブの実行は、特定のユーザー
端末上を動作するウェブブラウザー上にて実行されるこ
とを特徴とする請求項3記載の方法。 - 【請求項8】 前記セキュリティ警告は、トロイの木馬
が送信したUDPパケットがあったことに従って発生さ
れることを特徴とする請求項5記載の方法。 - 【請求項9】 複数のユーザー端末を有するプライベー
トネットワークの保安方法であって、 (A)プライベートネットワークとパブリックネットワ
ークとの間の通信トラフィックストリームを監視するス
テップと、 前記通信トラフィックストリームは、複数のファイルを
含み、前記複数のファイルの特定の1つのファイルは、
前記複数のユーザー端末の特定の1つに対応付けられて
おり、 (B)複数のプローブの少なくとも1つのプローブを前
記複数のファイルの特定の1つへと挿入するステップ
と、 (C)前記ファイルが対応付けられたユーザー端末の特
定の1つによりプローブが実行されたかどうかを判断す
るステップと、 (D)プローブが実行された場合には、プローブの実行
が行われた前記ユーザー端末の特定の1つを識別するス
テップとを有することを特徴とする方法。 - 【請求項10】 前記少なくとの1つのプローブを挿入
するステップは、プライベートネットワークとパブリッ
クネットワークとの間に位置するファイアーウォールに
おいて行われることを特徴とする請求項9記載の方法。 - 【請求項11】 (E)プローブからファイアーウォー
ルへと識別された前記ユーザー端末の指示を少なくとも
含んでいるセキュリティ警告を送信するステップをさら
に有することを特徴とする請求項10記載の方法。 - 【請求項12】 前記プローブを挿入するステップ
(B)は、少なくとも1つのユーザー端末からパブリッ
クネットワークへの最初のアクセスがあったことに従っ
て行われることを特徴とする請求項10記載の方法。 - 【請求項13】 プローブは少なくとも1つのJava
Script命令を含むことを特徴とする請求項12記
載の方法。 - 【請求項14】 前記通信トラフィックストリームは、
複数のTCP/IPパケットからなることを特徴とする
請求項9記載の方法。 - 【請求項15】 プライベートネットワークとパブリッ
クネットワークとの間のセキュリティを提供するファイ
アーウォールにおいて用いる方法であって、 (A)プライベートネットワークとパブリックネットワ
ークとの間を送信される複数のパケットを含む通信トラ
フィックストリームを監視するステップと、 (B)前記複数のパケットの少なくとも1つのパケット
へとプローブを挿入するステップと、 (C)プライベートネットワークにおいてプローブが実
行されたかどうかを判断するステップと、 (D)プローブが実行された場合に、プローブが実行さ
れたプライベートネットワーク内の位置を識別するステ
ップとを有することを特徴とする方法。 - 【請求項16】 プライベートネットワークは複数のユ
ーザー端末を有するコンピュータネットワークであるこ
とを特徴とする請求項15記載の方法。 - 【請求項17】 前記位置を識別するステップ(D)
は、プローブが実行されたことを示す信号をプローブか
らファイアーウォールへと送信するステップからなるこ
とを特徴とする請求項16記載の方法。 - 【請求項18】 前記プローブを挿入するステップ
(B)は、少なくとも1つのユーザー端末からのパブリ
ックネットワークへの最初のアクセスがあったことに従
って行われることを特徴とする請求項16記載の方法。 - 【請求項19】 (A)プライベートネットワークとパ
ブリックネットワークとの間を交換される複数のパケッ
トへと複数のプローブを挿入するプローバと、 (B)前記複数のパケットを監視し、かつ、前記複数の
プローブの特定のプローブがプライベートネットワーク
において実行されたかを判断するプロセッサとを有する
ことを特徴とするネットワークセキュリティ装置。 - 【請求項20】 (C)前記複数のプローブを記憶する
データベースをさらに有することを特徴とする請求項1
9記載のネットワークセキュリティ装置。 - 【請求項21】 (D)中央ソースから前記複数のプロ
ーブをダウンロードする通信チャネルをさらに有するこ
とを特徴とする請求項19記載のネットワークセキュリ
ティ装置。 - 【請求項22】 (A)プライベートネットワークの入
通信ストリームへと複数のプローブを挿入するステップ
と、 (B)プライベートネットワーク内の複数のユーザー端
末に対して、前記複数のプローブの少なくとも1つのプ
ローブが実行されたかを監視するステップとからなるこ
とを特徴とするネットワークの保安方法。 - 【請求項23】 (C)プライベートネットワーク内の
プローブが実行された複数のユーザー端末のうちの特定
のユーザー端末を識別するレポートを生成するステップ
をさらに有することを特徴とする請求項22記載の保安
方法。 - 【請求項24】 前記複数のユーザー端末を監視するス
テップ(B)は、前記少なくとも1つのプローブの実行
を示す信号をファイアーウォールへと送信するステップ
を有することを特徴とする請求項22記載の保安方法。 - 【請求項25】 前記複数のプローブを挿入するステッ
プ(A)は、ファイアーウォール内にて行われることを
特徴とする請求項24記載の保安方法。 - 【請求項26】 前記入通信ストリームはプライベート
ネットワークから入るストリームであることを特徴とす
る請求項24記載の保安方法。 - 【請求項27】 前記複数のプローブを挿入するステッ
プ(A)は、プライベートネットワーク内の特定の資源
をアクセスするプライベートネットワークからの要求が
あったことに従って行われることを特徴とする請求項2
6記載の保安方法。 - 【請求項28】 前記複数のプローブを挿入するステッ
プは、少なくとも1つのユーザー端末からのパブリック
ネットワークへの最初のアクセスに従って行われること
を特徴とする請求項26記載の保安方法。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/015,563 US6205551B1 (en) | 1998-01-29 | 1998-01-29 | Computer security using virus probing |
US09/015563 | 1998-01-29 |
Publications (1)
Publication Number | Publication Date |
---|---|
JPH11316677A true JPH11316677A (ja) | 1999-11-16 |
Family
ID=21772149
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP11015683A Pending JPH11316677A (ja) | 1998-01-29 | 1999-01-25 | コンピュ―タネットワ―クの保安方法 |
Country Status (5)
Country | Link |
---|---|
US (1) | US6205551B1 (ja) |
EP (1) | EP0936787B1 (ja) |
JP (1) | JPH11316677A (ja) |
CA (1) | CA2254707C (ja) |
DE (1) | DE69922857T2 (ja) |
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002077277A (ja) * | 2000-06-08 | 2002-03-15 | Alcatel | 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置 |
US6996845B1 (en) | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
JP2008071177A (ja) * | 2006-09-14 | 2008-03-27 | Fujitsu Ltd | 情報処理装置、その制御方法及び同方法をコンピュータに実行させるためのプログラム |
JP2008176377A (ja) * | 2007-01-16 | 2008-07-31 | Kddi Corp | 電子システム、電子機器、プログラム、および記録媒体 |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
JP2011503715A (ja) * | 2007-11-05 | 2011-01-27 | マイクロソフト コーポレーション | クロスサイトスクリプティングフィルタ |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US8881101B2 (en) | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
Families Citing this family (73)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
AU4568299A (en) * | 1998-06-15 | 2000-01-05 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
SE515084C2 (sv) * | 1998-08-26 | 2001-06-05 | Ericsson Telefon Ab L M | Förfarande och anordning i ett IP-nät |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6718382B1 (en) * | 1999-02-11 | 2004-04-06 | Yunzhou Li | Technique for detecting leaky points within a network protocol domain |
US6405204B1 (en) * | 1999-03-02 | 2002-06-11 | Sector Data, Llc | Alerts by sector/news alerts |
US6880087B1 (en) * | 1999-10-08 | 2005-04-12 | Cisco Technology, Inc. | Binary state machine system and method for REGEX processing of a data stream in an intrusion detection system |
US7159237B2 (en) * | 2000-03-16 | 2007-01-02 | Counterpane Internet Security, Inc. | Method and system for dynamic network intrusion monitoring, detection and response |
US7032023B1 (en) * | 2000-05-16 | 2006-04-18 | America Online, Inc. | Throttling electronic communications from one or more senders |
US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US6930978B2 (en) * | 2000-05-17 | 2005-08-16 | Deep Nines, Inc. | System and method for traffic management control in a data transmission network |
US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
US7299489B1 (en) * | 2000-05-25 | 2007-11-20 | Lucent Technologies Inc. | Method and apparatus for host probing |
GB2411748B (en) * | 2000-05-28 | 2005-10-19 | Secureol | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
US9213836B2 (en) | 2000-05-28 | 2015-12-15 | Barhon Mayer, Batya | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
JP3619958B2 (ja) * | 2000-06-13 | 2005-02-16 | 富士通株式会社 | 危機管理システム及びコンピュータ |
US6721721B1 (en) * | 2000-06-15 | 2004-04-13 | International Business Machines Corporation | Virus checking and reporting for computer database search results |
US7711790B1 (en) | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
US7970886B1 (en) * | 2000-11-02 | 2011-06-28 | Arbor Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
US7168093B2 (en) | 2001-01-25 | 2007-01-23 | Solutionary, Inc. | Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures |
EP1388068B1 (en) * | 2001-04-13 | 2015-08-12 | Nokia Technologies Oy | System and method for providing exploit protection for networks |
US6941478B2 (en) * | 2001-04-13 | 2005-09-06 | Nokia, Inc. | System and method for providing exploit protection with message tracking |
KR20010084950A (ko) * | 2001-06-02 | 2001-09-07 | 유진영 | 시큐어 웜 |
US20020199116A1 (en) * | 2001-06-25 | 2002-12-26 | Keith Hoene | System and method for computer network virus exclusion |
US6513122B1 (en) * | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
US7228566B2 (en) * | 2001-07-10 | 2007-06-05 | Core Sdi, Incorporated | Automated computer system security compromise |
EP1417802A1 (en) * | 2001-07-24 | 2004-05-12 | Worldcom. Inc. | Network security architecture |
US7107446B2 (en) | 2001-08-30 | 2006-09-12 | International Business Machines Corporation | Mechanism independent cluster security services |
US6892241B2 (en) | 2001-09-28 | 2005-05-10 | Networks Associates Technology, Inc. | Anti-virus policy enforcement system and method |
US7210168B2 (en) * | 2001-10-15 | 2007-04-24 | Mcafee, Inc. | Updating malware definition data for mobile data processing devices |
US6715084B2 (en) * | 2002-03-26 | 2004-03-30 | Bellsouth Intellectual Property Corporation | Firewall system and method via feedback from broad-scope monitoring for intrusion detection |
US7042852B2 (en) * | 2002-05-20 | 2006-05-09 | Airdefense, Inc. | System and method for wireless LAN dynamic channel change with honeypot trap |
US7058796B2 (en) * | 2002-05-20 | 2006-06-06 | Airdefense, Inc. | Method and system for actively defending a wireless LAN against attacks |
US7277937B2 (en) * | 2002-07-17 | 2007-10-02 | Core Sdi, Incorporated | Distributed computing using syscall proxying |
US7353539B2 (en) * | 2002-11-04 | 2008-04-01 | Hewlett-Packard Development Company, L.P. | Signal level propagation mechanism for distribution of a payload to vulnerable systems |
US20040146006A1 (en) * | 2003-01-24 | 2004-07-29 | Jackson Daniel H. | System and method for internal network data traffic control |
US7328454B2 (en) * | 2003-04-24 | 2008-02-05 | At&T Delaware Intellectual Property, Inc. | Systems and methods for assessing computer security |
US20040254988A1 (en) * | 2003-06-12 | 2004-12-16 | Rodriguez Rafael A. | Method of and universal apparatus and module for automatically managing electronic communications, such as e-mail and the like, to enable integrity assurance thereof and real-time compliance with pre-established regulatory requirements as promulgated in government and other compliance database files and information websites, and the like |
JP4229013B2 (ja) * | 2003-09-01 | 2009-02-25 | 株式会社デンソー | 交流発電機 |
US7730137B1 (en) | 2003-12-22 | 2010-06-01 | Aol Inc. | Restricting the volume of outbound electronic messages originated by a single entity |
US7548956B1 (en) | 2003-12-30 | 2009-06-16 | Aol Llc | Spam control based on sender account characteristics |
CN100349084C (zh) * | 2004-01-05 | 2007-11-14 | 华为技术有限公司 | 一种在视窗操作系统中保证系统安全的方法 |
US7707634B2 (en) * | 2004-01-30 | 2010-04-27 | Microsoft Corporation | System and method for detecting malware in executable scripts according to its functionality |
US7765597B2 (en) * | 2004-02-11 | 2010-07-27 | Hewlett-Packard Development Company, L.P. | Integrated crawling and auditing of web applications and web content |
US8566945B2 (en) * | 2004-02-11 | 2013-10-22 | Hewlett-Packard Development Company, L.P. | System and method for testing web applications with recursive discovery and analysis |
US20060282494A1 (en) * | 2004-02-11 | 2006-12-14 | Caleb Sima | Interactive web crawling |
US7529187B1 (en) * | 2004-05-04 | 2009-05-05 | Symantec Corporation | Detecting network evasion and misinformation |
US8074277B2 (en) * | 2004-06-07 | 2011-12-06 | Check Point Software Technologies, Inc. | System and methodology for intrusion detection and prevention |
KR100604604B1 (ko) * | 2004-06-21 | 2006-07-24 | 엘지엔시스(주) | 서버 보안 솔루션과 네트워크 보안 솔루션을 이용한시스템 보안 방법 및 이를 구현하는 보안시스템 |
US7716660B2 (en) * | 2004-12-14 | 2010-05-11 | Microsoft Corporation | Method and system for downloading updates |
US20060185018A1 (en) * | 2005-02-17 | 2006-08-17 | Microsoft Corporation | Systems and methods for shielding an identified vulnerability |
GB2425679A (en) * | 2005-04-27 | 2006-11-01 | Hewlett Packard Development Co | Scanning computing entities for vulnerabilities |
US7483424B2 (en) * | 2005-07-28 | 2009-01-27 | International Business Machines Corporation | Method, for securely maintaining communications network connection data |
US20070130149A1 (en) * | 2005-10-12 | 2007-06-07 | Lenovo (Singapore) Pte. Ltd. | Method, system, and computer program product for troubleshooting/configuring communications settings of a computer system |
US8291093B2 (en) * | 2005-12-08 | 2012-10-16 | Microsoft Corporation | Peer-to-peer remediation |
JP4545085B2 (ja) * | 2005-12-08 | 2010-09-15 | 富士通株式会社 | ファイアウォール装置 |
US8301767B1 (en) | 2005-12-21 | 2012-10-30 | Mcafee, Inc. | System, method and computer program product for controlling network communications based on policy compliance |
KR20070099201A (ko) * | 2006-04-03 | 2007-10-09 | 삼성전자주식회사 | 휴대형 무선 기기의 보안 관리 방법 및 이를 이용한 보안관리 장치 |
US8281392B2 (en) | 2006-08-11 | 2012-10-02 | Airdefense, Inc. | Methods and systems for wired equivalent privacy and Wi-Fi protected access protection |
US20080052508A1 (en) * | 2006-08-25 | 2008-02-28 | Huotari Allen J | Network security status indicators |
US20080059123A1 (en) * | 2006-08-29 | 2008-03-06 | Microsoft Corporation | Management of host compliance evaluation |
GB2443459A (en) * | 2006-10-31 | 2008-05-07 | Hewlett Packard Development Co | Data packet incuding computing platform indication |
US20080133639A1 (en) * | 2006-11-30 | 2008-06-05 | Anatoliy Panasyuk | Client Statement of Health |
US8782786B2 (en) * | 2007-03-30 | 2014-07-15 | Sophos Limited | Remedial action against malicious code at a client facility |
US8024801B2 (en) * | 2007-08-22 | 2011-09-20 | Agere Systems Inc. | Networked computer system with reduced vulnerability to directed attacks |
US8667583B2 (en) * | 2008-09-22 | 2014-03-04 | Microsoft Corporation | Collecting and analyzing malware data |
US8543543B2 (en) * | 2011-09-13 | 2013-09-24 | Microsoft Corporation | Hash-based file comparison |
CN108809886A (zh) * | 2017-04-26 | 2018-11-13 | 牡丹江医学院 | 一种计算机网络安全防护系统 |
CN114584330A (zh) * | 2020-11-16 | 2022-06-03 | 华为技术有限公司 | 漏洞测试方法及装置 |
Family Cites Families (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4750175A (en) * | 1986-08-29 | 1988-06-07 | Pactel Communications Companies | Network diagnostic apparatus and method |
US5473769A (en) | 1992-03-30 | 1995-12-05 | Cozza; Paul D. | Method and apparatus for increasing the speed of the detecting of computer viruses |
US5361359A (en) | 1992-08-31 | 1994-11-01 | Trusted Information Systems, Inc. | System and method for controlling the use of a computer |
US5440723A (en) | 1993-01-19 | 1995-08-08 | International Business Machines Corporation | Automatic immune system for computers and computer networks |
US5414833A (en) | 1993-10-27 | 1995-05-09 | International Business Machines Corporation | Network security system and method using a parallel finite state machine adaptive active monitor and responder |
US5623601A (en) | 1994-11-18 | 1997-04-22 | Milkway Networks Corporation | Apparatus and method for providing a secure gateway for communication and data exchanges between networks |
US5613002A (en) | 1994-11-21 | 1997-03-18 | International Business Machines Corporation | Generic disinfection of programs infected with a computer virus |
US5550984A (en) | 1994-12-07 | 1996-08-27 | Matsushita Electric Corporation Of America | Security system for preventing unauthorized communications between networks by translating communications received in ip protocol to non-ip protocol to remove address and routing services information |
US5706507A (en) | 1995-07-05 | 1998-01-06 | International Business Machines Corporation | System and method for controlling access to data located on a content server |
US5889943A (en) * | 1995-09-26 | 1999-03-30 | Trend Micro Incorporated | Apparatus and method for electronic mail virus detection and elimination |
US5623600A (en) * | 1995-09-26 | 1997-04-22 | Trend Micro, Incorporated | Virus detection and removal apparatus for computer networks |
US5832208A (en) * | 1996-09-05 | 1998-11-03 | Cheyenne Software International Sales Corp. | Anti-virus agent for use with databases and mail servers |
US5815571A (en) * | 1996-10-28 | 1998-09-29 | Finley; Phillip Scott | Computer system with secured data paths and method of protection |
US6009475A (en) * | 1996-12-23 | 1999-12-28 | International Business Machines Corporation | Filter rule validation and administration for firewalls |
US5960170A (en) * | 1997-03-18 | 1999-09-28 | Trend Micro, Inc. | Event triggered iterative virus detection |
US6041041A (en) * | 1997-04-15 | 2000-03-21 | Ramanathan; Srinivas | Method and system for managing data service systems |
US5948104A (en) * | 1997-05-23 | 1999-09-07 | Neuromedical Systems, Inc. | System and method for automated anti-viral file update |
US5961644A (en) * | 1997-09-19 | 1999-10-05 | International Business Machines Corporation | Method and apparatus for testing the integrity of computer security alarm systems |
US5987610A (en) * | 1998-02-12 | 1999-11-16 | Ameritech Corporation | Computer virus screening methods and systems |
-
1998
- 1998-01-29 US US09/015,563 patent/US6205551B1/en not_active Expired - Lifetime
- 1998-12-01 CA CA002254707A patent/CA2254707C/en not_active Expired - Fee Related
-
1999
- 1999-01-19 EP EP99300332A patent/EP0936787B1/en not_active Expired - Lifetime
- 1999-01-19 DE DE69922857T patent/DE69922857T2/de not_active Expired - Lifetime
- 1999-01-25 JP JP11015683A patent/JPH11316677A/ja active Pending
Cited By (30)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2002077277A (ja) * | 2000-06-08 | 2002-03-15 | Alcatel | 構内アクセスノードを介して端末からインターネットにアクセスするユーザのために、および/または、に関するアクセス制御を提供する方法およびこの種の方法を実施するための装置 |
US6996845B1 (en) | 2000-11-28 | 2006-02-07 | S.P.I. Dynamics Incorporated | Internet security analysis system and process |
US8332948B2 (en) | 2002-02-08 | 2012-12-11 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8631113B2 (en) | 2002-02-08 | 2014-01-14 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US7650634B2 (en) | 2002-02-08 | 2010-01-19 | Juniper Networks, Inc. | Intelligent integrated network security device |
US7734752B2 (en) | 2002-02-08 | 2010-06-08 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US9094372B2 (en) | 2002-02-08 | 2015-07-28 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US8326961B2 (en) | 2002-02-08 | 2012-12-04 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US9100364B2 (en) | 2002-02-08 | 2015-08-04 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8370936B2 (en) | 2002-02-08 | 2013-02-05 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
US8959197B2 (en) | 2002-02-08 | 2015-02-17 | Juniper Networks, Inc. | Intelligent integrated network security device for high-availability applications |
US8726016B2 (en) | 2002-02-08 | 2014-05-13 | Juniper Networks, Inc. | Intelligent integrated network security device |
US8635695B2 (en) | 2002-02-08 | 2014-01-21 | Juniper Networks, Inc. | Multi-method gateway-based network security systems and methods |
JP2008071177A (ja) * | 2006-09-14 | 2008-03-27 | Fujitsu Ltd | 情報処理装置、その制御方法及び同方法をコンピュータに実行させるためのプログラム |
JP2008176377A (ja) * | 2007-01-16 | 2008-07-31 | Kddi Corp | 電子システム、電子機器、プログラム、および記録媒体 |
JP2013242924A (ja) * | 2007-11-05 | 2013-12-05 | Microsoft Corp | クロスサイトスクリプティングフィルタ |
JP2011503715A (ja) * | 2007-11-05 | 2011-01-27 | マイクロソフト コーポレーション | クロスサイトスクリプティングフィルタ |
US10248415B2 (en) | 2011-05-19 | 2019-04-02 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
US9342274B2 (en) | 2011-05-19 | 2016-05-17 | Microsoft Technology Licensing, Llc | Dynamic code generation and memory management for component object model data constructs |
US8881101B2 (en) | 2011-05-24 | 2014-11-04 | Microsoft Corporation | Binding between a layout engine and a scripting engine |
US9116867B2 (en) | 2011-05-24 | 2015-08-25 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
US9244896B2 (en) | 2011-05-24 | 2016-01-26 | Microsoft Technology Licensing, Llc | Binding between a layout engine and a scripting engine |
US8918759B2 (en) | 2011-05-24 | 2014-12-23 | Microsoft Corporation | Memory model for a layout engine and scripting engine |
US9582479B2 (en) | 2011-05-24 | 2017-02-28 | Microsoft Technology Licensing, Llc | Security model for a layout engine and scripting engine |
US9830306B2 (en) | 2011-05-24 | 2017-11-28 | Microsoft Technology Licensing, Llc | Interface definition language extensions |
US9830305B2 (en) | 2011-05-24 | 2017-11-28 | Microsoft Technology Licensing, Llc | Interface definition language extensions |
US8904474B2 (en) | 2011-05-24 | 2014-12-02 | Microsoft Corporation | Security model for a layout engine and scripting engine |
US9430452B2 (en) | 2013-06-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
US10282238B2 (en) | 2013-06-06 | 2019-05-07 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
US10353751B2 (en) | 2013-06-06 | 2019-07-16 | Microsoft Technology Licensing, Llc | Memory model for a layout engine and scripting engine |
Also Published As
Publication number | Publication date |
---|---|
CA2254707C (en) | 2002-01-01 |
EP0936787A3 (en) | 2003-04-23 |
CA2254707A1 (en) | 1999-07-29 |
US6205551B1 (en) | 2001-03-20 |
DE69922857T2 (de) | 2005-12-08 |
DE69922857D1 (de) | 2005-02-03 |
EP0936787A2 (en) | 1999-08-18 |
EP0936787B1 (en) | 2004-12-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
EP0936787B1 (en) | Computer security using virus probing | |
US8316446B1 (en) | Methods and apparatus for blocking unwanted software downloads | |
US7007302B1 (en) | Efficient management and blocking of malicious code and hacking attempts in a network environment | |
US8176553B1 (en) | Secure gateway with firewall and intrusion detection capabilities | |
Rehman | Intrusion detection systems with Snort: advanced IDS techniques using Snort, Apache, MySQL, PHP, and ACID | |
US7823204B2 (en) | Method and apparatus for detecting intrusions on a computer system | |
US8689333B2 (en) | Malware defense system and method | |
US8074277B2 (en) | System and methodology for intrusion detection and prevention | |
US8266703B1 (en) | System, method and computer program product for improving computer network intrusion detection by risk prioritization | |
US6546493B1 (en) | System, method and computer program product for risk assessment scanning based on detected anomalous events | |
US7302480B2 (en) | Monitoring the flow of a data stream | |
US9436820B1 (en) | Controlling access to resources in a network | |
US7162742B1 (en) | Interoperability of vulnerability and intrusion detection systems | |
US20080196099A1 (en) | Systems and methods for detecting and blocking malicious content in instant messages | |
US20080172739A1 (en) | Attack defending system and attack defending method | |
WO2003032571A1 (en) | Method and apparatus for providing node security in a router of a packet network | |
KR19990078198A (ko) | 파이어월안전방법및장치 | |
JP2006319982A (ja) | 通信ネットワーク内ワーム特定及び不活化方法及び装置 | |
Mohammed et al. | Honeypots and Routers: Collecting internet attacks | |
De Montigny-Leboeuf et al. | Passive network discovery for real time situation awareness | |
Dutta et al. | Intrusion detection systems fundamentals | |
Goebel | Advanced Honeynet based Intrusion Detection | |
Gou et al. | Multi-agent system for worm detection and containment in metropolitan area networks | |
Gheorghe et al. | Attack evaluation and mitigation framework | |
Kipp | Using Snort as an IDS and Network Monitor in Linux |