KR101130394B1 - 보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법 - Google Patents

보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법 Download PDF

Info

Publication number
KR101130394B1
KR101130394B1 KR1020050011656A KR20050011656A KR101130394B1 KR 101130394 B1 KR101130394 B1 KR 101130394B1 KR 1020050011656 A KR1020050011656 A KR 1020050011656A KR 20050011656 A KR20050011656 A KR 20050011656A KR 101130394 B1 KR101130394 B1 KR 101130394B1
Authority
KR
South Korea
Prior art keywords
network
security
computer
computing device
module
Prior art date
Application number
KR1020050011656A
Other languages
English (en)
Other versions
KR20060041880A (ko
Inventor
알렉산더 프랭크
토마스 지. 필립스
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060041880A publication Critical patent/KR20060041880A/ko
Application granted granted Critical
Publication of KR101130394B1 publication Critical patent/KR101130394B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/16Implementing security features at a particular protocol layer
    • H04L63/166Implementing security features at a particular protocol layer at the transport layer
    • HELECTRICITY
    • H05ELECTRIC TECHNIQUES NOT OTHERWISE PROVIDED FOR
    • H05BELECTRIC HEATING; ELECTRIC LIGHT SOURCES NOT OTHERWISE PROVIDED FOR; CIRCUIT ARRANGEMENTS FOR ELECTRIC LIGHT SOURCES, IN GENERAL
    • H05B41/00Circuit arrangements or apparatus for igniting or operating discharge lamps
    • H05B41/14Circuit arrangements
    • H05B41/26Circuit arrangements in which the lamp is fed by power derived from dc by means of a converter, e.g. by high-voltage dc
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02BCLIMATE CHANGE MITIGATION TECHNOLOGIES RELATED TO BUILDINGS, e.g. HOUSING, HOUSE APPLIANCES OR RELATED END-USER APPLICATIONS
    • Y02B20/00Energy efficient lighting technologies, e.g. halogen lamps or gas discharge lamps
    • Y02B20/40Control techniques providing energy savings, e.g. smart controller or presence detection

Abstract

보안 통신으로 통신된 식별된 보안 위협으로부터 통신 네트워크에 접속된 컴퓨팅 장치를 보호하기 위한 네트워크 보안 모듈이 제공된다. 네트워크 보안 모듈은 논리적으로 또는 물리적으로, 보호된 컴퓨터와 통신 네트워크 사이에 삽입된다. 보안 통신을 검출하면, 네트워크 보안 모듈은 보안 통신을 복호화하기 위해 컴퓨팅 장치로부터 복호화 키를 얻는다. 그 다음, 네트워크 보안 모듈은 복호화된 통신이 네트워크 보안 모듈에 의해 구현된 보호적 보안 조치를 위반하는 지의 여부에 따라 복호화된 통신을 프로세스한다.
네트워크 보안 모듈, 익스플로이트, 보안 조치, 구성 정보, 취약점 윈도우,보안 서비스

Description

보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법{SYSTEM AND METHOD FOR PROTECTING A COMPUTING DEVICE FROM COMPUTER EXPLOITS DELIVERED OVER A NETWORKED ENVIRONMENT IN A SECURED COMMUNICATION}
도 1은 종래 기술에서 볼 수 있는, 컴퓨터 익스플로이트가 공통으로 분포되는 예시적인 네트워크 환경을 도시한 도면.
도 2a 및 2b는 네트워크 상에 배포된 컴퓨터 익스플로이트와 관련하여 컴퓨터 시스템의 상이한 취약점 윈도우를 설명하는 예시적인 시각표를 도시한 블록도.
도 3a 및 3b는 본 발명의 실시양상을 구현하기에 적절한 예시적인 네트워크 환경을 도시한 도면.
도 4a 및 4b는 본 발명이 컴퓨터 익스플로이트와 관련된 취약점 윈도우를 최소화하는 방법을 설명하는 예시적인 시각표를 도시한 도면.
도 5는 본 발명에 따라, 컴퓨터 시스템의 네트워크 액세스를 발표된 보안 정보에 따라 동적으로 제어하는 예시적인 루틴의 흐름도.
도 6은 본 발명에 따라, 예시적인 네트워크 환경에서의 네트워크 보안 모듈을 위한 보안 정보를 발표하는 보안 서비스에 의해 구현된 예시적인 루틴을 도시한 흐름도.
도 7은 네트워크 보안 모듈로부터의 보안 정보 요청을 수신하여 그 요청에 응답하기 위해 보안 서비스에 의해 구현된 예시적인 루틴을 도시한 흐름도.
도 8은 보안 서비스로부터 얻은 보안 조치에 따라 컴퓨터와 네트워크 사이의 네트워크 트래픽의 흐름을 제어하기 위해 네트워크 보안 모듈에 의해 구현된 예시적인 방법을 도시한 흐름도.
도 9는 컴퓨터 외부의 하드웨어 장치로서 구현된 예시적인 네트워크 보안 모듈을 도시한 도면.
도 10은 본 발명에 따라 형성된, 네트워크 보안 모듈의 논리적 컴포넌트를 도시한 블록도.
도 11은 컴퓨터 익스플로이트가 보안 통신을 사용하여 컴퓨팅 장치에 전달될 수 있는 방법을 도시한 블록도.
도 12는 본 발명의 실시양상에 따르도록 되어있는 네트워크 보안 모듈이 보안 통신을 사용하여 컴퓨팅 장치에 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호할 수 있는 방법을 도시한 블록도.
도 13a 및 13b는 본 발명의 실시양상에 따라 보안 통신을 검출하여 보안 통신을 프로세스하는 예시적인 루틴을 도시한 블록도.
<도면의 주요 부분에 대한 부호의 설명>
110 : 네트워크
112 : 컴퓨터 익스플로이트
302 : 컴퓨터
304 : 네트워크 보안 모듈
306 : 보안 서비스
308 : 안티-바이러스 서비스
본 출원은 2004년 2월 13일자로 출원된 미합중국 가출원 제60/544,772호의 특권을 주장하는 것이다.
본 발명은 보안 통신으로 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하는 시스템 및 방법에 관한 것이다.
점점 더 많은 컴퓨터들 및 그 밖의 컴퓨팅 장치들이 인터넷과 같은 다양한 네트워크를 통해 상호 접속됨에 따라, 특히 네트워크 또는 정보 시스템을 통해 전달된 침입 또는 공격으로부터의 컴퓨터 보안은 점점 더 중요해지고 있다. 본 분야에 숙련된 기술자들이 알 수 있는 바와 같이, 이들 공격은 컴퓨터 바이러스, 컴퓨터 웜, 시스템 컴포넌트 교체, 서비스 거부 공격, 심지어 합법적인 컴퓨터 시스템 특징의 오용/남용을 포함하여(그러나 이것들에 반드시 제한되는 것은 아님) 많은 다른 형태로 나타는데, 이것들 모두는 불법적인 목적을 위해 하나 이상의 컴퓨터 시스템 취약점을 악용하여 공격한다. 본 분야에 숙련된 기술자들은 다양한 컴퓨터 공격이 기술적으로 서로 다르다는 것을 알 수 있지만, 본 발명을 위해, 설명을 단순하게 하기 위해, 이후로 이들 공격 모두를 컴퓨터 익스플로이트, 또는 더욱 단순하게 익스플로이트로 언급하겠다.
컴퓨터 시스템이 컴퓨터 익스플로이트에 의해 공격당하거나 "감염"될 때, 시스템 장치 불능; 펌웨어, 애플리케이션 또는 데이터 파일의 삭제 또는 손상; 잠재적으로 민감한 데이터를 네트워크 상의 다른 위치로의 전송; 컴퓨터 시스템 셧 다운; 또는 컴퓨터 시스템의 충돌 야기를 포함하는 여러가지 불리한 결과들이 초래된다. 모든 컴퓨터 익스플로이트가 그런 것은 아니지만 많은 컴퓨터 익스플로이트의 또 다른 유해한 양상은 감염된 컴퓨터 시스템이 다른 컴퓨터를 감염시키는데 사용된다는 것이다.
도 1은 하나의 컴퓨터 익스플로이트가 공통으로 분포되는 예시적인 네트워크 환경(100)을 도시한 도면이다. 도 1에 도시된 바와 같이, 전형적인 예시적인 네트워크 환경(100)은 인트라넷과 같은 통신 네트워크(110)를 통하거나, 또는 인터넷으로 통칭되는 글로벌 TCP/IP를 포함하는 대규모 통신 네트워크를 통해 모두 상호접속된 다수의 컴퓨터(102-108)를 포함한다. 어떤 이유로든, 컴퓨터(102)와 같이 네트워크(110)에 접속된 컴퓨터 상에서 악의를 가진 사람은 컴퓨터 익스플로이트(112)를 개발하여 네트워크 상으로 배포한다. 배포된 컴퓨터 익스플로이트(112)는 화살표(114)로 표시된 바와 같이 컴퓨터(104)와 같은 하나 이상의 컴퓨터에 의해 수신되어 그 컴퓨터를 감염시킨다. 다수의 컴퓨터 익스플로이트에서 그렇듯이, 일단 감염되면, 컴퓨터(104)는 화살표(116)로 표시된 바와 같이 컴퓨터(106)와 같은 다른 컴퓨터를 감염시키는데 사용되고, 이번에는 컴퓨터(106)가 화살표(118)로 표시된 바와 같이 컴퓨터(108)와 같은 또 다른 컴퓨터를 감염시킨다. 명백하게, 현대의 컴퓨터 네트워크의 속도 및 접속으로 인해, 컴퓨터 익스플로이트(112)는 기하급수적으로 "성장"할 수 있고, 곧 로컬 전염병이 되어, 세계적인 컴퓨터 유행병으로 빠르게 확대된다.
컴퓨터 익스플로이트, 특히 컴퓨터 바이러스 및 웜에 대한 종래의 방어책은 안티-바이러스 소프트웨어이다. 일반적으로, 안티-바이러스 소프트웨어는 네트워크를 통해 도달하는 입력 데이터를 스캔해서, 공지된 컴퓨터 익스플로이트와 관련된 식별가능한 패턴을 찾는다. 공지된 컴퓨터 익스플로이트와 관련된 패턴을 검출하면, 안티-바이러스 소프트웨어는 감염된 데이터로부터 컴퓨터 바이러스를 제거하거나, 데이터를 차단하거나, 또는 "감염된" 입력 데이터를 삭제함으로써 응답할 수 있다. 불행히도, 안티-바이러스 소프트웨어는 전형적으로 "공지된" 식별가능한 컴퓨터 익스플로이트를 대상으로 삼는다. 빈번하게, 이것은 익스플로이트의 "서명(signature)"이라고 칭해지는 것과 데이터 내의 패턴을 맞추어봄으로써 행해진다. 이러한 익스플로이트 검출 모델에서의 중요한 결함 중의 하나는 컴퓨터의 안티-바이러스 소프트웨어가 새로운 컴퓨터 익스플로이트를 식별하여 응답하도록 갱신될 때까지 알려지지 않은 컴퓨터 익스플로이트가 네트워크 내에서 확인되지 않은 상태로 전파될 수 있다는 것이다.
안티-바이러스 소프트웨어가 수천의 공지된 컴퓨터 익스플로이트의 인식으로 더욱 정교해지고 효율적으로 됨에 따라, 컴퓨터 익스플로이트도 그만큼 더 정교해졌다. 예를 들어, 다수의 최근 컴퓨터 익스플로이트는 이제 그 형태가 다양하고, 또는 바꾸어 말하면, 그 익스플로이트들이 이동중에 안티-바이러스 소프트웨어에 의해 인식될 수 있는 식별가능한 패턴 또는 "서명"은 없다. 이러한 다양한 익스플 로이트는 다른 컴퓨터 시스템으로 전파되기 전에 그들 스스로 변경하기 때문에 때때로 안티-바이러스 소프트웨어에 의해 인식불가능하다.
컴퓨터 익스플로이트에 대한 보호를 위해 오늘날 일반적인 다른 방어책은 하드웨어 또는 소프트웨어 네트워크 방화벽(firewall)이다. 본 분야에 숙련된 기술자들이 알 수 있는 바와 같이, 방화벽은 내부 네트워크와 외부 네트워크 사이의 정보의 흐름을 제어함으로써 외부 네트워크로부터 비롯된 권한없는 액세스로부터 내부 네트워크를 보호하는 보안 시스템이다. 방화벽의 외부에서 비롯된 모든 통신은 프럭시(proxy)에 먼저 보내지는데, 프럭시는 그 통신을 조사하여, 그 통신을 예정된 타겟에 보내는 것이 안전한지 허용 가능한지 판정한다. 불행히도, 허용 가능한 네트워크 활동이 억제되지 않고, 허용 불가능한 네트워크 활동이 거부되도록 방화벽을 적절하게 구성하는 것은 정교하고 복잡한 작업이다. 기술적으로 복잡해지는 것 이외에도, 방화벽 구성은 관리하기가 어렵다. 방화벽이 부적절하게 구성되면, 허용 가능한 네트워크 트래픽이 부주의하게 셧다운될 수 있고, 허용 불가능한 네트워크 트래픽이 허용될 수 있어서, 내부 네트워크의 신뢰성을 떨어뜨린다. 이러한 이유로, 방화벽에 대한 변경은 일반적으로 드물게 행해지고, 기술적 네트워크 설계에 관해 숙련된 기술자들에 의해서만 행해진다.
방화벽의 또 다른 제한으로서, 방화벽은 내부 네트워크를 보호하는 동안, 특정 컴퓨터에는 어떠한 보호도 제공하지 않는다. 즉, 방화벽은 그 자신을 특정 컴퓨터의 요구에 따라 적응시키지 않는다. 그 대신에, 방화벽이 단일 컴퓨터를 보호하기 위해 사용될 지라도, 방화벽은 여전히 단일 컴퓨터의 구성에 따르지 않고 방 화벽의 구성에 따라 컴퓨터를 보호한다.
방화벽과 관련된 또 다른 문제는 방화벽에 의해 설정된 주변부 내에서 비롯된 컴퓨터 익스플로이트로부터 방화벽이 보호를 제공하지 못한다는 것이다. 즉, 일단 익스플로이트가 방화벽에 의해 보호된 네트워크를 침입할 수 있으면, 익스플로이트는 방화벽에 의해 저지되지 않는다. 이러한 상황은 직원이 휴대형 컴퓨터를 집으로 가져가서(즉, 회사 방화벽 보호를 벗어나서), 덜 안전한 환경인 집에서 사용할 때 자주 발생한다. 그 직원도 모르게, 휴대용 컴퓨터는 이때 감염된다. 휴대형 컴퓨터가 방화벽의 보호 안에서 회사 네트워크에 재접속되면, 익스플로이트는 종종, 방화벽에 의해 확인되지 않은채 다른 컴퓨터들을 자유롭게 감염시킨다.
상술된 바와 같이, 컴퓨터 익스플로이트는 이제 합법적인 컴퓨터 시스템 특징들도 공격을 강화한다. 그러므로, 방화벽 및 안티-바이러스 소프트웨어 제공자들 이외의 많은 관계자들이 컴퓨터 익스플로러부터의 컴퓨터 보호와 관련하여 이제 협력해야 한다. 예를 들어, 운영 체계 제공자는 이제, 경제적 및 계약적인 이유로, 컴퓨터 익스플로이트에 의해 사용될 수 있는 결함 또는 취약점을 식별하기 위해 그들의 운영 체계 기능을 계속적으로 분석 검토해야 한다. 본 발명을 위해, 컴퓨터 익스플로이트가 컴퓨터 시스템을 공격할 수 있는 어떤 길은 일반적으로 컴퓨터 시스템 취약점, 또는 단순하게 취약점이라 칭해질 수 있다.
취약점이 운영 체계, 또는 그외 다른 컴퓨터 시스템 컴포넌트, 드라이버, 애플리케이션에서 식별되어 처리되면, 제공자는 전형적으로 취약점을 개선하기 위해 소프트웨어 갱신을 배포할 것이다. 종종 패치(patch)라고 칭해지는 이러한 갱신은 식별된 취약점으로부터 컴퓨터 시스템을 안전하게 보호하기 위해 컴퓨터 시스템 상에 설치되어야 한다. 그러나, 이러한 갱신은 본질적으로 운영 체계, 장치 드라이버, 또는 소프트웨어 애플리케이션의 컴포넌트에 대한 코드 변경이다. 그것만으로도, 그들은 안티-바이러스 소프트웨어 제공자로부터 안티-바이러스 갱신으로서 빠르고 자유롭게 배포될 수 없다. 이들 갱신이 코드 변경이기 때문에, 소프트웨어 갱신은 공중으로 배포되기 전에 실질적인 기업내 테스팅을 필요로 한다. 불행히도, 기업내 테스팅으로도, 소프트웨어 갱신은 하나 이상의 다른 컴퓨터 시스템 특징이 중단되거나 고장나게 할 수 있다. 그러므로, 소프트웨어 갱신은 컴퓨터 시스템을 신뢰하는 당사자들이 큰 딜레마에 빠지게 한다. 더욱 구체적으로, 당사자는 그들 컴퓨터 시스템의 동작을 중단시킬 위험을 무릅쓰고 취약점으로부터 컴퓨터 시스템을 보호하기 위해 컴퓨터 시스템을 갱신할 것인가, 아니면 그들의 컴퓨터 시스템이 감염될 위험을 무릅쓰고 컴퓨터 시스템의 갱신을 그만둘 것인가?
현재의 시스템 하에서는, 새로운 컴퓨터 익스플로이트가 네트워크(110) 상에서 배포될 때와 컴퓨터 시스템이 컴퓨터 익스플로이트로부터 보호하기 위해 갱신될 때의 사이에 존재하는, 이후 취약점 윈도우라고 불리우는 기간이 있다. 그 이름이 붙여진 것은, 이러한 취약점 윈도우 동안에, 컴퓨터 시스템이 새로운 컴퓨터 익스플로이트에 노출되거나 공격받기 쉬워서이다. 도 2a-2b는 이러한 취약점 윈도우를 도시한 예시적인 시각표의 블록도이다. 시각표에 관한 다음 설명과 관련하여, 중요한 시간 또는 이벤트가 식별되어, 시각표에 관한 이벤트로 칭해질 것이다.
도 2a는 이제 공중 네트워크 상에서 배포되는 더욱 최근의 정교한 부류의 컴 퓨터 익스플로이트들 중의 하나와 관련된 컴퓨터 시스템의 취약점 윈도우를 도시한 것이다. 후술되는 바와 같이, 이 새로운 부류의 컴퓨터 익스플로이트는 컴퓨터 시스템 취약점을 식별하기 위한 시스템 제공자의 사전행동 보안 조치를 역이용하고, 그 다음에 컴퓨터 익스플로이트를 만들어내어 전달한다.
도 2a를 참조하면, 이벤트(202)에서, 운영 체계 제공자는 배포된 운영 체계에서 취약점을 존재를 식별한다. 예를 들어, 한 시나리오에서, 그 자신의 배포된 운영 체계의 내부 분석을 실행하는 운영 체계 제공자는 컴퓨터 시스템을 공격하기 위해 사용될 수 있는 이전에 알려지지 않은 취약점을 밝혀낸다. 대안적인 시나리오에서, 이전에 알려지지 않은 취약점은 컴퓨터 시스템 상에서 시스템 보안 분석을 실행하여 취약점에 관한 정보를 운영 체계 제공자에게 중계하는 조직을 포함하는 제3자에 의해 발견된다.
일단 운영 체계 제공자가 보안 취약점의 존재를 알았으면, 운영 체계 제공자는 취약점을 처리하여, 이벤트(204)에서, 운영 체계가 실행되는 소정의 컴퓨터 시스템을 안전하게 보호하기 위한 패치를 작성하여 배포한다. 전형적으로, 운영 체계 제공자는 패치를 설치하는 모든 운영 체계 사용자들에 대한 권고와 함께, 이용가능한 시스템 패치가 있는 몇가지 유형의 안내서를 만들 수 있다. 패치는 감염된 컴퓨터 시스템 상으로의 다운로드 및 설치를 위해 네트워크(110) 상의 공지된 위치에 보통 배치된다.
불행히도, 이런 일이 너무나도 자주 발생하기 때문에, 운영 체계 제공자가 패치를 배포한 후, 악의를 가진 자가 패치를 다운로드하고, 운영 체계 및 그외 것 들에 의해 공표된 임의의 정보뿐만 아니라 몇가지 역공학(reverse engineering)을 사용하여, 운영 체계 내의 "픽스드(fixed)" 취약점에 관한 명세를 식별한다. 이 정보를 사용하여, 악의를 가진 자는 하위 취약점을 공격하기 위한 컴퓨터 익스플로이트를 만든다. 이벤트(208)에서, 악의를 가진 자는 컴퓨터 익스플로이트를 네트워크(110) 상으로 배포한다. "픽스(fix)"라고도 공지되어 있는 소프트웨어 패치를 발행하는 목적은 하위 취약점을 정정하기 위한 것인데, "픽스"는 종종, 악의를 가진 자에 의해 만들어진 컴퓨터 익스플로이트에 의해 공격받을 수 있는 새로운 취약점을 불행히도 스스로 만들어내거나 포함할 수 있는 소프트웨어 코드의 복잡한 부분이다. 그러므로, "픽스"가 정정하는 것을 평가하는 것 이외에, "픽스"가 또한 잠재적인 취약점에 대해 평가된다.
"픽스"가 이용가능하지만, 악의를 가진 자는 상술된 것을 포함한 여러가지 이유로, 모든 취약한 컴퓨터 시스템이 즉시 업그레이드될 수 있는 것은 아니라는 것을 알고 있다. 그러므로, 이벤트(208)에서, 악의를 가진 자는 컴퓨터 익스플로이트(112)를 네트워크(110) 상으로 배포한다. 컴퓨터 익스플로이트(112)의 배포는 상술된 바와 같이, 취약한 컴퓨터 시스템이 이러한 컴퓨터 익스플로이트에 영향받기 쉬운 취약점 윈도우(212)를 열게 한다. 이벤트(210)에서 패치가 컴퓨터 시스템 상에 최종적으로 설치될 때만은 취약점 윈도우(212)는 그 컴퓨터 시스템에 대해 닫혀있다.
오늘날 배포된 많은 컴퓨터 익스플로이트가 도 2a와 관련하여 설명된 시나리오와 같은 공지된 취약점에 기초하고 있지만, 때때로, 이전에 알려지지 않은 취약 점을 역이용하는 컴퓨터 익스플로이트가 네트워크(110) 상에 배포된다. 도 2b는 이러한 시나리오 하의 시각표(220)에 관한 취약점 윈도우(230)를 도시한 것이다. 그러므로, 시각표(220) 상에 도시된 바와 같이, 이벤트(222)에서, 악의를 가진 자는 새로운 컴퓨터 익스플로이트를 배포한다. 이것이 새로운 컴퓨터 익스플로이트이기 때문에, 취약한 컴퓨터 시스템을 공격으로부터 보호하기 위해 이용할 수 있는 운영 체계 패치도 없고 안티-바이러스 갱신도 없다. 이에 대응하여, 취약점 윈도우(230)가 열린다.
새로운 컴퓨터 익스플로이트가 네트워크(110) 상에서 돌아다니고 약간 지난 시점에서, 운영 체계 제공자 및/또는 안티-바이러스 소프트웨어 제공자는 이벤트(224)로 표시된 바와 같이 새로운 컴퓨터 익스플로이트를 검출한다. 본 분야에 숙련된 기술자들이 알 수 있는 바와 같이, 전형적으로, 새로운 컴퓨터 익스플로이트의 존재는 운영 체계 제공자 및 안티-바이러스 소프트웨어 제공자에 의해 몇시간 내에 검출된다.
일단 컴퓨터 익스플로이트가 검출되면, 안티-바이러스 소프트웨어 제공자는 안티-바이러스 소프트웨어가 컴퓨터 익스플로이트를 인식할 수 있는 패턴 또는 "서명"을 식별하기 위한 프로세스를 시작할 수 있다. 이와 유사하게, 운영 체계 제공자는 운영 체계가 컴퓨터 익스플로이트로부터 보호하기 위해 패치되어야 하는지를 판정하기 위해 컴퓨터 익스플로이트를 분석하는 프로세스를 시작한다. 이러한 병행된 노력의 결과로서, 이벤트(226)에서, 운영 체계 제공자 및/또는 안티-바이러스 소프트웨어 제공자는 컴퓨터 익스플로이트를 처리하는, 운영 체계에 대한 갱신, 즉 소프트웨어 패치, 또는 안티-바이러스 갱신을 배포한다. 그 다음, 이벤트(228)에서, 사용자의 컴퓨터 시스템 상에 갱신이 설치됨으로써, 컴퓨터 시스템을 보호하고, 취약점 윈도우(230)을 닫게 한다.
컴퓨터 익스플로이트가 컴퓨터 시스템에 대해 보안 위협을 하는 가능한 모든 시나리오들만을 나타내는 상기 예로부터 알 수 있는 바와 같이, 취약점 윈도우는 컴퓨터 익스플로이트(112)가 네트워크(110) 상에 배포되는 시간과, 대응하는 갱신이 취약점 윈도우를 닫기 위해 사용자의 컴퓨터 시스템 상에 설치된 시간의 사이에 존재한다. 딱하게도, 취약점 윈도우가 크든 작든, 감염된 컴퓨터는, 일단 가능하다면, "치료"하여 회복시키기 위해서 컴퓨터 소유자의 비용이 상당히 든다. 이 비용은 네트워크(110)에 부착된 수백만 또는 수천만의 장치를 가질 수 있는 큰 기업 또는 단체를 취급할 때 막대하게 들 수 있다. 그러한 비용은 그와 같은 익스플로이트가 고객 데이터를 변경시키거나 파괴할 수 있는 가능성에 의해 더욱 증폭되는데, 고객 데이터의 변경 또는 파괴와 같은 것은 추적하여 치료하기가 매우 곤란하거나 불가능할 수 있다. 필요한 것은 보호 갱신이 컴퓨터 시스템 상에서 이용가능하고/하거나 설치되기 전이라도, 개별 컴퓨터 시스템의 요구에 응답하는 방식으로 그 요구에 따라 컴퓨터 익스플로이트에 대해 컴퓨터 시스템을 안전하게 보호하는 시스템 및 방법이다. 종래 기술에서 발견된 이들 및 그외 다른 문제들이 본 발명에 의해 처리된다.
본 발명의 실시양상에 따르면, 네트워크를 통한 식별된 보안 위협으로부터 컴퓨팅 장치를 보호하기 위해, 컴퓨팅 장치와 네트워크 사이에 삽입된 네트워크 보안 모듈이 제공된다. 네트워크 보안 모듈은 컴퓨팅 장치와 네트워크 사이의 모든 네트워크 활동이 네트워크 보안 모듈을 거쳐 가도록 배치된다. 네트워크 보안 모듈은 컴퓨팅 장치 접속부를 포함한다. 컴퓨팅 장치 접속부는 네트워크 보안 모듈을 컴퓨팅 장치에 접속한다. 네트워크 보안 모듈은 또한 네트워크 보안 모듈을 네트워크에 접속하는 네트워크 접속부를 포함한다. 컴퓨팅 장치 접속부 및 네트워크 접속부를 통해, 네트워크 활동이 네트워크 보안 모듈을 거쳐간다. 네트워크 보안 모듈은 또한 디코더 모듈을 포함한다. 디코더 모듈은 획득한 복호화 키를 사용하여 보안 통신을 일시적으로 복호화한다. 네트워크 보안 모듈은 컴퓨팅 장치와 네트워크 사이의 네트워크 활동을 제어하는 보안 시행 모듈을 더 포함한다. 보안 시행 모듈은 획득한 보안 조치를 구현함으로써, 네트워크 상의 식별된 보안 위협으로부터 컴퓨팅 장치를 보호한다.
본 발명의 또 다른 실시양상에 따르면, 식별된 보안 위협으로부터 컴퓨팅 장치를 보호하기 위해, 컴퓨팅 장치와 네트워크 사이의 모든 네트워크 활동이 네트워크 보안 모듈을 거쳐 가도록 컴퓨팅 장치와 네트워크 사이에 삽입된 네트워크 보안 모듈 상에서 구현된 방법이 제공된다. 보호적 보안 조치가 획득된다. 보호적 보안 조치는 시행시에 컴퓨팅 장치를 식별된 보안 위협으로부터 보호한다. 컴퓨팅 장치로 향하는 보안 통신이 검출된다. 그 다음, 보안 통신은 일시적으로 복호화된다. 그 다음, 보호적 보안 조치는 일시적으로 복호화된 보안 통신 상에 구현된다.
이하, 첨부된 도면을 참조하여 본 발명의 실시예에 대해 설명하겠다.
도 3a는 본 발명의 실시양상을 구현하기에 적합한 예시적인 네트워크 환경(300)을 도시한 도면이다. 예시적인 네트워크 환경(300)은 네트워크(110)에 접속된 컴퓨터(302)를 포함한다. 본 발명은 일반적으로 컴퓨터(302)와 같은 퍼스널 컴퓨터와 관련된 동작의 관점에서 설명되지만, 그것은 단지 예시적으로 나타내기 위한 것이고, 본 발명을 제한하는 것으로 해석되어서는 안된다는 것을 알기 바란다. 본 분야에 숙련된 기술자들은 대부분의 임의의 네트워크 컴퓨팅 장치가 컴퓨터 익스플로이트에 의해 공격받을 수 있다는 것을 쉽게 인식할 수 있을 것이다. 따라서, 본 발명은 퍼스널 컴퓨터, 태블릿 컴퓨터, 노트북 컴퓨터, 퍼스널 디지털 어시스턴트(PDA), 미니 및 메인프레임 컴퓨터, 무선 전화기(종종 셀 폰이라고도 함), 무선 전화기/PDA 조합과 같은 하이브리드 컴퓨팅 장치 등을 포함하는(이것에 제한되지는 않음) 많은 유형의 컴퓨터, 컴퓨팅 장치 또는 컴퓨팅 시스템을 보호하도록 유리하게 구현될 수 있다. 본 발명은 또한 하드웨어 장치, 주변 장치, 소프트웨어 애플리케이션, 장치 드라이버, 운영 체계 등을 보호하도록 유리하게 구현될 수 있다.
네트워크(110)는 임의의 수의 실제 통신 네트워크를 포함할 수 있다는 것을 알기 바란다. 이들 실제 통신 네트워크는 인터넷, 광역망 및 근거리망, 인트라넷, 셀룰러 네트워크, IEEE 802.11 및 블루투스 무선 네트워크 등을 포함하는데, 이것에 제한되지는 않는다. 따라서, 본 발명은 컴퓨터 네트워크, 더욱 구체적으로 인터넷과 관련하여 설명되지만, 그것은 단지 예시적으로 나타내기 위한 것이고, 본 발명을 제한하는 것으로 해석되어서는 안된다.
예시적인 네트워크 환경(300)은 또한 네트워크 보안 모듈(304) 및 보안 서비스(306)를 포함한다. 네트워크 보안 모듈(304)은 컴퓨터(302)와 같은 컴퓨터와 네트워크(110) 사이에 삽입된다. 네트워크 보안 모듈(304)은 물리적으로 또는 논리적으로 컴퓨터(302)와 네트워크(110) 사이에 삽입될 수 있다. 컴퓨터(302)와 네트워크(110) 사이의 통신은 네트워크 보안 모듈(304)을 통해 흐른다. 본 발명에 따르면, 네트워크 보안 모듈(304)은 컴퓨터(302) 상에 설치된 특정 운영 체계 개정판, 안티-바이러스 소프트웨어 및 대응하는 서명 데이타 파일을 위한 개정 정보를 포함하는 안티-바이러스 정보, 설치된 애플리케이션, 장치 드라이버 등(이들 모두는 컴퓨터 시스템 취약점을 이용하는 컴퓨터 익스플로이트의 잠재적인 타겟이 될 수 있음)을 포함하는(이것에 제한되지는 않음) 컴퓨터의 특정 구성에 따른 보안 정보에 따라 컴퓨터(302)와 네트워크(110) 사이의 네트워크 활동을 선택적으로 제어한다.
본 발명의 한 실시예에 따르면, 보안 서비스(306)로부터 보안 정보를 주기적으로 얻기 위해, 네트워크 보안 모듈(304)은 컴퓨터(302)의 특별한 특정 구성에 대응하는 보안 정보에 대한 보안 정보 요청을 보안 서비스(306)에 주기적으로 보낸다. 네트워크 보안 모듈(304)은 보안 서비스(306)로부터 보안 정보를 주기적으로 얻도록 구성될 수 있다. 예를 들어, 네트워크 보안 모듈(304)은 1분마다 보안 서비스(306)로부터 보안 정보를 얻도록 구성될 수 있다. 대안적으로, 네트워크 보안 모듈(304)은 사용자가 특정한 기간에 따라 보안 서비스(306)로부터 보안 정보를 얻 도록 구성될 수 있다.
컴퓨터의 특별한 특정 구성에 대응하는 보안 정보의 획득은 많은 사용자들이 무수한 이유로 그들의 컴퓨터 시스템의 갱신을 지연해야 하므로 중요하다. 예를 들어, 운영 체계 또는 안티-바이러스 소프트웨어 갱신 시의 지연은 컴퓨터가 잠시동안 비작동으로 되어 있기 때문에 발생할 수 있다. 그러므로, 운영 체계 및/또는 안티-바이러스 소프트웨어의 대부분의 최신 개정판은 새로 발견된 컴퓨터 익스플로이트로부터 적절한 보호를 제공할 수 있지만, 컴퓨터는 "최신식"이 아닐 수 있으므로, 컴퓨터 익스플로이트의 영향을 받을 수 있어서, 컴퓨터의 특정 구성과 대응하는 보안 조치를 구현해야 한다. 따라서, 보안 정보 요청은, 설치된 패치를 포함하여 컴퓨터의 운영 체계 개정판을 식별하는 정보; 소프트웨어 및 데이터 파일 갱신뿐만 아니라, 컴퓨터에 의해 사용된 특정 안티-바이러스 소프트웨어 및 개정판; 및 이메일 또는 브라우저 식별자, 개정판, 펌웨어 제공자 및 버전, 및 기타 보안 세팅과 같은 네트워크 인에이블드 애플리케이션 정보를 포함할 수 있는데, 이것에 제한되지는 않는다.
본 발명의 실시양상에 따르면, 네트워크 보안 모듈(304)은 컴퓨터 시스템 컴포넌트를 갱신하는 액트들 중의 한 액트로서 컴퓨터의 특별한 구성 정보를 얻는다. 예를 들어, 사용자가 운영 체계 패치를 설치하는 액트들 중의 하나로서 컴퓨터(302) 상에 운영 체계 패치를 설치하면, 네트워크 보안 모듈(304)은 운영 체계의 지금 현재의 개정판을 통지받는다. 이와 유사하게, 네트워크 인에이블드 애플리케이션 또는 안티-바이러스 소프트웨어와 같은 그외의 컴퓨터 시스템 특징들은 그들 이 갱신되면 네트워크 보안 모듈(304)에 통지하므로, 네트워크 보안 모듈은 컴퓨터의 특정 현재 구성에 따라 컴퓨터(302)를 보호하기 위해 가장 정확하고 충분한 보안 정보를 얻을 수 있다.
보안 정보 요청 시에 컴퓨터의 특별한 구성 정보에 기초하여, 보안 서비스(306)는 공지되거나 인식된 컴퓨터 시스템 취약점으로부터 컴퓨터를 보호하기 위해 관련된 보안 정보를 식별한다. 관련된 보안 정보의 식별은 나중에 더욱 상세하게 설명된다. 보안 정보는 네트워크 보안 모듈이 공지된 취약점의 컴퓨터 익스플로이트로부터 컴퓨터를 차단할 수 있게 하는, 네트워크 보안 모듈(304)에 의해 구현될 보호적 보안 조치를 포함한다. 보호적 보안 조치는, 패치 또는 갱신을 설치하기 위한 보안 서비스(306) 또는 안티-바이러스 소프트웨어 서비스(308)와 같은 어떤 공지된 보안 네트워크 위치들 사이의 통신을 제외한, 컴퓨터(302)와 네트워크(110) 사이의 모든 네트워크 활동의 블로킹(blocking); 특정 통신 포트 및 어드레스 상의 네트워크 트래픽의 블로킹; 이메일 또는 웹 브라우저 애플리케이션과 같은 소정의 네트워크-관련 애플리케이션으로의 및/또는 그 애플리케이션으로부터의 통신의 블로킹; 및 컴퓨터(302) 상의 특별한 하드웨어 또는 소프트웨어 컴포넌트로의 액세스의 블로킹을 포함하는(이것에 제한되지 않음) 임의의 수의 네트워크 활동 제어들, 또는 그들의 조합을 포함할 수 있다. 그러므로, 보안 응답을 수신하면, 네트워크 보안 모듈은 보안 조처를 구현한다.
상술된 바와 같이, 네트워크 보안 모듈(304)은 컴퓨터(302)와 네트워크(110) 사이에 삽입되고, 그것만으로, 컴퓨터와 네트워크 사이의 모든 네트워크 활동은 네 트워크 보안 모듈을 통해 흘러야 한다. 네트워크 트래픽이 네트워크 보안 모듈(304)을 통해 흐름에 따라, 네트워크 보안 모듈은 네트워크 트래픽을 모니터하고, 공지된 안전한 위치들 사이의 통신을 제외한 모든 네트워크 액세스의 블로킹 등과 같은 보안 서비스(306)로부터 수신된 보호적 보안 조치를 구현한다.
본 발명의 다른 실시양상에 따르면, 보안 응답은 또한 레드, 옐로우, 그린 레벨과 같은 지정된 보안 레벨을 포함할 수 있다. 보안 레벨은 컴퓨터(302)의 사용자에게 네트워크 보안 모듈(304)에 의해 구현된 보호 조치의 대표 레벨을 밝혀주는 정보를 나타낸다. 예를 들어, 레드의 보안 레벨은 네트워크 보안 모듈(304)이 공지된 안전한 위치로/로부터의 액세스를 제외하고 컴퓨터(302)와 네트워크(110) 사이의 모든 네트워크 활동을 현재 블로킹하고 있다는 것을 나타낼 수 있다. 대안적으로, 옐로우의 보안 레벨은 네트워크 보안 모듈(304)이 몇몇 보호적 보안 조치를 현재 구현하고 있지만, 그래도 컴퓨터(302)는 이와 달리 네트워크(110)와 여전히 통신할 수 있다는 것을 나타낼 수 있다. 또한, 그린의 보안 레벨은 네트워크 보안 모듈(304)이 어떤 보호적 보안 조치도 구현하고 있지 않으며, 컴퓨터(302)와 네트워크(110) 사이의 통신이 제한되지 않는다는 것을 나타낼 수 있다. 상술된 보안 레벨에 따르면, 설명을 위해, 레드의 보안 레벨은 또한 완전 록-다운(lock down)으로 칭해질 수 있고, 옐로우의 보안 레벨은 또한 부분적 록-다운으로 칭해질 수 있으며, 그린의 보안 레벨은 또한 자유로운 네트워크 액세스로 칭해질 수 있다. 상기 설명은 3개의 보안 레벨 및 레드, 옐로우, 그린의 스키마를 식별하지만, 이들은 예시적인 것이고, 본 발명을 제한하는 것으로 해석되어서는 안된다. 본 분야에 숙련된 기술자들은 임의의 수의 보안 레벨이 사용자에게 표현하기 위한 대안적인 스키마로 구현될 수 있다는 것을 쉽게 알 수 있을 것이다.
네트워크 보안 모듈(304)이 자동 방식으로, 즉 사용자 개입이 필요없이 동작하므로, 상술된 보안 레벨뿐만 아니라, 보안 레벨의 임의의 대응하는 시각적 표현 은 단지 사용자 정보 전달을 위해 나타낸 것이다. 그들은 네트워크 보안 모듈(304)에 의해 구현되는 제한 레벨의 표현을 사용자에게 제공하기 위해 사용될 수 있다. 이 시각적 표시는 네트워크 접속이 불량인지의 여부, 또는 네트워크 활동이 현재의 네트워크 보안 사항으로 인해 제한되는 것을 사용자가 결정하려고 할 때 특히 유용할 수 있다.
본 발명의 실시양상에 따라, 추가된 보안 조치로서, 네트워크 보안 모듈(304)의 전원이 올라갈 때, 네트워크 보안 모듈은 디폴트 상태로 들어간다. 이 디폴트 상태는 컴퓨터(302)와 신뢰된 네트워크 위치 사이의 네트워크 활동이 허용가능하게 하는 최고 보안 레벨, 즉 완전 록-다운에 대응한다. 전원 상승의 부분으로서, 또는 보안 서비스(306)와의 주기적 통신의 부분으로서, 네트워크 보안 모듈(304)은 최신의 보안 정보를 얻고, 그 보안 정보에 따라, 보다 덜 제한된 보안 조치를 부과할 수 있다. 명백하게, 네트워크 보안 모듈(304)에서 완전 록-다운의 디폴트 상태를 구현하는 것은 네트워크 보안 모듈의 전원이 꺼진 시간 동안에, 취약점이 식별되어 있거나 익스플로이트가 네트워크(110) 상에 배포되어 있을 수 있으므로 컴퓨터(302)에 유익하다.
본 발명의 한 실시양상에 따르면, 네트워크 보안 모듈(304)은 컴퓨터(302)로부터 정보를 요청하거나 액세스하지 않는다. 그 대신에, 네트워크 보안 모듈(304)은 소정의 이벤트와 관련하여 컴퓨터(302)로부터 전송된 정보로 동작한다. 그러므로, 네트워크 보안 모듈(304)이 컴퓨터 보호를 먼저 시작할 때, 이를테면 네트워크 보안 모듈(304)이 컴퓨터(302)와 네트워크(110) 사이에 먼저 삽입될 때, 네트워크 보안 모듈은 컴퓨터 시스템에 대응하는 어떤 특정 구성 정보도 갖지 않을 것이다. 상술된 바와 같이, 네트워크 보안 모듈(304)이 컴퓨터(302)에 관한 구성 정보를 갖지 않을 때, 또는 네트워크 보안 모듈(304)의 전원이 올라갈 때, 네트워크 보안 모듈은 디폴트 상태, 즉 완전 록-다운으로 들어간다. 그러나, 상술된 바와 같이, 완전 록-다운은 여전히 컴퓨터(302)가 공지된 안전한 위치와 통신할 수 있게 할 수 있다. 한 예로서, 이들 공지된 안전한 위치는 운영 체계 갱신이 위치하는 위치 또는 위치들을 포함한다. 그러므로, 사용자는, 컴퓨터가 이용가능한 최신 운영 체계, 안티-바이러스 소프트웨어, 애플리케이션, 및 장치 드라이버 개정판 및 갱신으로 구성될 때에도, 구성 정보를 네트워크 보안 모듈(304)에 보내게 하는 갱신 프로세스를 실행할 수 있다. 대안적으로, 네트워크 보안 모듈(304)에 컴퓨터 시스템의 현재 구성을 통지하는 특정 프로그램이 제공될 수 있다.
네트워크 보안 모듈(304)과 보안 서비스(306) 사이의 통신이 인증되고 정당한 것임을 보증하기 위해, 본 발명의 한 실시예에서, 보안 요청 및 보안 정보와 같은, 보안 서비스와 네트워크 보안 모듈 사이의 통신은 암호화된 보안 통신, 이를테면 SSL(Secure Sockets Layer) 프로토콜을 사용하는 보안 통신으로 전달된다. 이와 유사하게, 네트워크 보안 모듈(304)과 컴퓨터(302) 사이의 통신도 마찬가지로 안전하게 보호된다.
본 발명의 선택적인 실시양상에 따르면, 네트워크 보안 모듈(304)은 컴퓨터의 전원이 나간 경우에도 계속 동작하고, 즉 컴퓨터(302)에 대응하는 보안 정보를 계속 얻는다. 예를 들어, 네트워크 보안 모듈(304)은 컴퓨터가 켜져있었을 때 컴퓨터에 제공된 최신의 운영 체계 및/또는 안티-바이러스 소프트웨어 개정판 데이터에 따라서만, 컴퓨터(302)를 위한 보안 정보를 계속 얻을 수 있다. 한 실시예에 따르면, 네트워크 보안 모듈(304)은 본 분야에 숙련된 기술자들에게 공지된 바와 같이, 컴퓨터(302)가 꺼진 경우에도 주변 장치에 전원을 제공하는 컴퓨터의 보조 전선에 접속된다. 부수적으로, 네트워크 보안 모듈(304)이 컴퓨터(302)가 동작할 때만 동작하면, 네트워크 보안 모듈이 동작을 재개할 때, 네트워크 보안 모듈은 컴퓨터의 현재 구성에 대응하는 가장 최근의 보안 정보를 얻는동안 완전 록-다운을 구현한다.
본 발명의 다른 실시예에 따르면, 네트워크 보안 모듈(304)은 사용자에 의해 선택적으로 디스에이블될 수 있다. 이것은 네트워크로의 완전 액세스의 필요성이 컴퓨터 익스플로이트로부터의 공격 위험성보다 더 중요한 어떤 시기가 있을 때 유용하다. 예를 들어, 네트워킹 문제/쟁점을 진단하고자 할 때 네트워크 보안 모듈(304)을 디스에이블할 필요가 있을 수 있다. 대안적으로, E911 VoIP(Voice over IP) 서비스를 사용하는 것과 같은 어떤 위급한 상황에는 네트워크 보안 모듈(304)이 디스에이블될 필요가 있을 수 있다.
본 발명의 한 실시양상에 따르면, 디스에이블된 경우, 네트워크 보안 모듈 (304)은 보호적 보안 조치를 구현하지 못하지만, 보안 서비스(306)로부터 보안 정보를 계속 얻는다. 보안 정보를 계속 갱신하는 것은, 특히 네트워크 보안 모듈(304)이 일시적으로만 디스에이블된 경우에, 네트워크 보안 모듈이 다시 인에이블된 때 가장 최근의 보안 정보를 가질 수 있으므로, 사용자에게 유익하다. 대안적으로, 네트워크 보안 모듈(304)이 디스에이블되어 계속 갱신하지 못하면, 보안 서비스(306)와의 통신이 없는 선정된 기간 후에, 네트워크 보안 모듈은 디폴트 상태로, 즉 네트워크 활동의 완전 록-다운으로 되돌아갈 수 있다.
보안 서비스(306)는 모든 보안 정보를 위한 단일의 서버/소스로서, 또는 네트워크(110) 전반을 통해 분산된 서버/소스의 계층으로서 구현될 수 있다. 계층형 시스템에서, 네트워크 보안 모듈(304)은 항상 존재할 수 있는 것인 보안 서비스 내의 루트 서버/서비스로 초기에 구성된다. 그러나, 보안 서비스에 의해 반환된 보안 정보의 일부로서, 아마도 네트워크 보안 모듈(304)과 보안 서비스 간의 첫번째 통신시에, 보안 서비스는 보안 서비스의 계층에 관한 정보를 제공한다. 이 정보는 하나 이상의 네트워크 어드레스 범위로서 제공될 수 있는데, 그 모든 어드레스는 보안 서비스 계층 내의 노드이고, 네트워크 보안 모듈(304)에 적절한 보안 정보를 제공할 수 있다. 그 다음, 네트워크 보안 모듈(304)은 정보를 얻기 위해 오리지널 노드를 반드시 조회할 필요는 없다. 명백하게, 계층형 방식으로 보안 서비스를 구현하는 한가지 장점은 보안 서비스가 정보를 요청하는 네트워크 보안 모듈의 수를 조정하기 위해 용이하게 스케일 업 또는 다운될 수 있고, 보안 서비스 계층 내의 오리지널 노드가 네트워크 내의 모든 네트워크 보안 모듈로부터의 보안 정보 요청 에 의해 압도되지 않을 것이라는 것이다. 네트워크(110) 내에 분산된 계층형 구조 하에서, 부하 균형이 또한 발생할 수 있고, 계층 내의 한 노드가 잘못되면, 다른 노드가 개입되어 보안 정보를 제공할 수 있도록, 중복성(redundancy)이 시스템 내에 설정될 수 있다.
본 발명의 실시양상에 따르면, 네트워크 보안 모듈(304)은 포트 미믹킹(port mimicking)과 같은 본 분야에 공지된 기술을 사용하여, 컴퓨터(302) 및 네트워크(110)에 투명하다. 일반적으로 말하면, 포트 미믹킹을 사용하여, 네트워크 보안 모듈(304)은 컴퓨터(302)에게는 네트워크(110)로 보이고, 네트워크 상의 장치에게는 컴퓨터로 보인다. 그러므로, 운영 체계 갱신 또는 보안 정보 응답의 통지와 같이, 통신이 네트워크 보안 모듈에 관한 것이라는 것을 네트워크 보안 모듈이 판정한 경우 이외에, 또는 네트워크 보안 모듈이 보호적 보안 조치에 따라 네트워크 활동을 블로킹해야 하는 경우 이외에, 네트워크 활동은 네트워크 보안 모듈(304)을 통해 컴퓨터(302)와 네트워크(110) 사이에서 자유롭게 흐른다.
상술된 바와 같이, 네트워크 보안 모듈(304)은 조회 결과로서 보안 서비스(306)로부터 보안 정보를 얻는다. 본 분야에 숙련된 기술자들은 이것을 폴(poll) 시스템, 즉 보안 정보에 대해 보안 서비스(306)를 폴링하는 것으로 인식할 것이다. 그러나, 대안적인 실시예에서, 보안 서비스(306)는 중요한 보안 정보를 네트워크(110) 내의 네트워크 보안 모듈에 방송한다. 예를 들어, 네트워크 환경(300) 내의 네트워크 보안 모듈이 보안 서비스(306)로부터 보안 정보를 얻는 주기적 간격에 의존하여, 특히 전염성이 강한 컴퓨터 익스플로이트가 네트워크(110)를 돌기 시작하 면, 중요한 보안 정보를 요청하기 위해 네트워크 보안 모듈을 기다리기 보다, 보안 서비스는 보안 정보를 네트워크 보안 모듈에 방송한다. 이후 보안 블러틴(bulletin)이라고 칭해지는 이 보안 정보는 전형적으로, 대응하는 보안 레벨을 나타낼뿐만 아니라, 취해질 보호적 보안 조치, 컴퓨터 익스플로이트에 영향받을 수 있는 모든 구성을 포함할 수 있다. 본 발명의 한 실시예에 따르면, 보안 블러틴은 선정된 스키마에 따라 구성된 XML 문서이다.
정보를 청취자에게 방송하는 시스템은 푸시(push) 시스템으로 칭해지고, 보안 서비스(306)는 중요한 보안 정보를 네트워크 보안 모듈에 푸시한다. 본 발명의 실시양상에 따르면, 보안 블러틴은 "보증된 전달" 서비스를 사용하여 네트워크(110)를 통해 방송된다. 보증된 전달 서비스에서, 보안 블러틴은 높은 우선순위 아이템으로 식별되고, 네트워크 서비스 제공자와 합의하여, 그 밖에 먼저 전달될 수 있는 기타 네트워크 트래픽의 전달 이전에 전달된다.
컴퓨터(302)가 통신하는 것과 동일한 네트워크(110)를 통해 보안 블러틴을 전달하는 것 이외에, "대역외", 즉 네트워크(110)와 분리된 제2 통신 링크를 통해 통신하는 것이 유리할 때가 종종 있다. 도 3b는 네트워크(110)에 부가된 네트워크 보안 모듈에 보안 정보를 전달하기 위한 제2 통신 링크(314)를 포함하여, 본 발명의 실시양상을 구현하는 대안적으로 구성된 네트워크 환경(310)을 도시한 도면이다.
도 3b에 도시된 바와 같이, 대안적으로 구성된 네트워크 환경(310)은 컴퓨터(302), 보안 서비스(306) 및 네트워크 보안 모듈(304)을 포함하는 네트워크 환경 (300)과 관련하여 상술된 것과 유사한 컴포넌트를 포함한다. 그러나, 보안 서비스(306)는 또한, 제2 통신 링크(314)를 통해 정보를 수신하기 위해 특별히 수신 장치(312)를 갖도록 되어 있는 네트워크 보안 모듈(304)에, 보안 정보 및/또는 보안 블러틴을 포함하는 보안 정보를 전송하도록 구성된다. 본 발명의 실시양상에 따르면, 제2 통신 링크(314)는 위성 통신 링크, 무선 주파수 방송, 또는 보안 서비스(306)와 네트워크 보안 모듈(304) 사이의 소정 다른 2차적 통신 형태일 수 있다. 본 분야에 숙련된 기술자들은 임의의 수의 통신 채널이 사용될 수 있다는 것을 알 수 있을 것이다.
본 발명의 대안적인 실시양상에 따르면, 제2 통신 링크(314)는 보안 서비스(306) 및 네트워크 보안 모듈(304)로부터의 한방향 통신 링크, 또는 보안 서비스와 보안 모듈 사이의 통신을 위한 양방향 통신 링크일 수 있다. 부수적으로, 상술된 바와 같은 소프트웨어 갱신 또는 패치는 또한 보안 서비스(306)로부터 제2 통신 링크를 통해 다운로드하기 위해 이용가능할 수 있다.
네트워크 보안 모듈(304)이 컴퓨터(302)와 인터넷(110) 사이에 삽입되면, 네트워크 보안 모듈의 실제 실시예는 변할 수 있다. 각각의 경우에, 네트워크 보안 모듈(304)은 컴퓨터(302)에 의해 신뢰받는 컴포넌트로서 취급된다. 한 실시예에 따르면, 네트워크 보안 모듈(304)은 컴퓨터(302) 외부의, 때로 "동글(dongle)"이라고 칭해지는 하드웨어 장치로서 구현되고, 네트워크(110) 및 컴퓨터에 접속된다. 대안적으로, 네트워크 보안 모듈(304)은 컴퓨터(302) 내에 통합된 하드웨어 컴포넌트로서, 또는 컴퓨터의 네트워크 인터페이스 내의 통합된 서브-컴포넌트로서 구현 될 수 있다. 컴퓨터(302) 내에, 또는 컴퓨터의 네트워크 인터페이스 상의 서브-컴포넌트로서 네트워크 보안 모듈(304)을 통합하는 것은 컴퓨터(302)가 무선 접속을 통해 네트워크(110)에 접속될 때 특히 유용할 수 있다.
다른 대안적인 실시예에 따르면, 네트워크 보안 모듈은 프로세서, 그래픽 프로세싱 유닛, 노스 브리지 또는 사우스 브리지를 포함하는(이것에 제한되지는 않음) 컴퓨터(302)의 컴포넌트 내에 마이크로코딩 또는 펌웨어와 같은 로직으로서 구현될 수 있다. 또 다른 대안적인 실시예로서, 네트워크 보안 모듈(304)은 운영 체계와 함께 동작하는 소프트웨어 모듈로서, 또는 운영 체계의 일부로서, 또는 컴퓨터(302) 내에 설치된 분리된 애플리케이션으로서 구현될 수 있다. 소프트웨어 구현 네트워크 보안 모듈(304)은 컴퓨터(302) 내의 제2 프로세서 상에서 동작할 수 있다. 제2 프로세서는 컴퓨터의 메인 프로세서와 비대칭으로 기타 컴퓨터 시스템 태스크를 구현하거나 구현하지 않을 수 있다. 따라서, 네트워크 보안 모듈(304)은 소정의 특정 실시예를 제한하는 것으로 해석되어서는 안된다.
본 발명의 실현된 장점 중의 하나는 시스템이 많은 익스플로이트의 효과를 경감시킨다는 점이 지적되어야 한다. 예를 들어, 본 분야에 숙련된 기술자들은 서비스 거부(DOS) 공격이, 컴퓨터가 자원을 다 써버리고 충돌하게 하거나, 또는 대안적으로 외부 공격/익스플로이트에 더욱 취약한 모호한 상태로 잘못 들어가게 하기 위해 컴퓨터를 네트워크 요청으로 압도시키는 시도라는 것을 인식할 수 있을 것이다. 그러나, 보호적 보안 조치를 구현함으로써 보안 서비스(306)에 응답하는 네트워크 보안 모듈(304) 덕분에, 압도 가능성이 있는 네트워크 요청을 포함하는 그러한 익스플로이트는 컴퓨터에 전혀 도달하지 못한다.
개선된 보안을 컴퓨터(302)에 제공하도록 상술된 컴포넌트가 동작하는 방법을 더욱 완전하게 이해하기 위해, 대응하는 이벤트를 갖는 시각표 상에 도시된 예시적인 시나리오가 참조된다. 도 4a 및 4b는 본 발명의 컴포넌트의 동작을 설명하기 위해 예시적인 시각표를 도시한 블록도이다. 더욱 구체적으로, 도 4a는 본 발명이 네트워크(110) 상의 새로운 컴퓨터 익스플로이트의 배포와 관련하여 컴퓨터(302)의 취약점 윈도우(406)를 최소화하는 방법을 설명하기 위해 예시적인 시각표(400)를 도시한 블록도이다. 다음 설명은 컴퓨터 익스플로이트가 운영 체계를 공격하는 것으로 나타내지만, 이것은 예시적으로 나타내기 위한 것이고, 본 발명을 제한하는 것으로 해석되어서는 안된다는 것을 알기 바란다. 본 발명은 코드 모듈, 서비스, 심지어 컴퓨터 시스템 상의 하드웨어 장치를 보호하기 위해 이용될 수 있다.
시각표(400) 상에 도시된 바와 같이, 이벤트(402)에서, 악의를 가진 자는 새로운 컴퓨터 익스플로이트를 네트워크(110) 상에 배포한다. 새로운 컴퓨터 익스플로이트의 배포는 새로운 컴퓨터 익스플로이트에 의해 타겟이 된 네트워크(110)에 접속된 컴퓨터, 이를테면 컴퓨터(302)에 대한 취약점 윈도우(406)를 시작하게 한다. 이벤트(404)에서, 새로운 컴퓨터 익스플로이트의 존재는 상술된 바와 같이 운영 체계 제공자, 안티-바이러스 제공자 또는 기타에 의해 검출된다.
새로운 컴퓨터 익스플로이트의 존재를 검출하면, 익스플로이트 공격의 특성 또는 모드가 식별되기 전이라도, 이벤트(408)에서, 운영 체계 제공자는 보안 서비 스(306)를 통해 보안 정보를 발표한다. 전형적으로, 컴퓨터 익스플로이트가 발견되고, 공격의 특성, 범위 또는 모드가 잘 알려져 있지 않으면, 보안 서비스는 명백히 감염된 모든 컴퓨터 시스템의 보안 레벨을 레드, 즉 완전 록-다운으로 설정할 수 있다. 블록(410)에서, 네트워크 보안 모듈(304)은 주기적 요청으로 또는 보안 블러틴으로서 보안 정보를 얻고, 대응하는 보안 조치, 이 경우에는 완전 록-다운을 구현한다. 유익하게, 보안 서비스(306)로부터 보안 조치를 구현할 때, 타켓 컴퓨터의 취약점 윈도우(406)는 닫힌다.
도 2b의 취약점 윈도우(230)와 달리, 취약점 윈도우(406)는 비교적 작아서, 새로운 컴퓨터 익스플로이트에 대한 타켓 컴퓨터 시스템의 노출을 최소화한다. 명백하게, 취약점 윈도우(406)가 열려있는 실제 시간 길이는 몇가지 요인에 좌우된다. 한가지 요인은 컴퓨터 익스플로이트가 검출되기 전에 흐르는 시간량이다. 상술된 바와 같이, 새로운 컴퓨터 익스플로이트는 전형적으로 배포로부터 15분 내지 수시간 이내에 검출된다. 첫번째 요인보다 훨씬 더 가변적인 두번째 요인은 네트워크 보안 모듈(304)이 보안 서비스(306)로부터 보안 정보를 얻는데 걸리는 시간량이다. 네트워크 보안 모듈(304)이 보안 정보를 계속 얻을 수 있다고 하면, 보안 정보를 얻어서 대응하는 보안 조치를 구현하는 데에 불과 몇초밖에 안걸릴 수도 있다. 그러나, 네트워크 보안 모듈(304)이 보안 서비스(306)와 계속적으로 통신할 수 없으면, 또는 보안 정보를 얻기 위한 주기적인 시간 프레임이 길면, 보호적 보안 조치를 구현하는 데에 매우 긴 시간이 걸릴 수 있다. 본 발명의 실시양상에 따르면, 네트워크 보안 모듈(304)이 선정된 시간량 동안 보안 서비스(306)와 접촉이 없는 경우에, 네트워크 보안 모듈은 완전 록-다운 상태로 디폴트하여, 보안 서비스로부터의 장래의 통신을 보류한다.
초기 보안 정보가 발표된 후, 운영 체계 제공자 또는 안티-바이러스 소프트웨어 제공자는 전형적으로, 컴퓨터 익스플로이트가 동작하는 방법, 및/또는 컴퓨터 익스플로이트가 공격하는 특정 컴퓨터 시스템 특징이 무엇인지 더욱 잘 이해하기 위해 컴퓨터 익스플로이트를 계속 분석할 것이다. 이러한 분석으로부터, 아마도 덜 제한적인 제2의 보안 조치 세트가 식별되고, 취약한 컴퓨터 시스템은 컴퓨터 익스플로이트로부터 감염되지 않게 하기 위해 그 보안 조치를 취해야 한다. 따라서, 이벤트(412)에서, 갱신된 보안 정보는 옐로우의 보안 레벨로 발표되고, 보호 조치를 식별하여, 위험 상태의 네트워크 활동, 즉 부분적 록-다운을 블로킹한다. 예를 들어, 상술된 바와 같이, 보호적 보안 조치는 단순히, 소스 및/또는 수신지 포트를 포함하는 특정 범위의 통신 포트로/로부터의 액세스의 블로킹; 또는 기타 네트워크 활동은 자유롭게 흐르게 하면서, 보호된 컴퓨터 시스템 상에 설치된 운영 체계, 애플리케이션, 장치 드라이버 등에 관한 기타 네트워크 활동, 웹 액세스 또는 이메일 통신을 디스에이블시키는 것을 포함할 수 있다. "위험 상태의" 네트워크 활동은 익스플로이트가 컴퓨터 시스템 결점을 공격하든지, 합법적 컴퓨터 시스템 특징을 단순히 오용하든지 여하튼, 익스플로이트에 의한 컴퓨터 시스템에 대한 위협을 나타내는 네트워크 활동을 포함한다 것을 알기 바란다. 부수적으로, "위험 상태의" 네트워크 활동은 다른 장치에 의해 일방적으로 시작되는 컴퓨터 시스템에 관한 네트워크 활동을 포함한다. 즉, "위험 상태의" 네트워크 활동은 네트워크에 접속하 여 더 이상 아무것도 하지 않은 컴퓨터 시스템에 관한 익스플로이트의 네트워크 활동을 포함한다.
이벤트(414)에서, 갱신된 보안 정보가 네트워크 보안 모듈(304)에 의해 얻어지고, 대응하는 보호적 보안 조치가 구현된다. 이벤트(416)에서, 운영 체계 제공자 및/또는 안티-바이러스 제공자가 발생되고 소프트웨어 갱신이 이용가능하게 된 후에, 추가 갱신된 보안 모듈이 발표된다. 이 추가 갱신된 보안 정보는 운영 체계 제공자, 안티-바이러스 소프트웨어 제공자 또는 애플리케이션 제공자로부터의 갱신과 같은 소프트웨어 갱신이 컴퓨터(302) 상에 설치된다고 하면, 보안 레벨이 그린이라는 것을 식별할 수 있다. 그 다음, 이벤트(418)에서, 추가 갱신된 보안 정보가 얻어지고, 소프트웨어 갱신이 컴퓨터(302) 상에 설치되며, 네트워크 보안 모듈(304)이 자유롭게, 즉 제한없이 네트워크 액세스를 할 수 있게 한다.
도 4b는 네트워크(110) 상의 컴퓨터 익스플로이트, 더욱 구체적으로, 전체적으로 새로운 공격이라기보다 이전에 식별된 취약점을 이용하는 익스플로이트의 배포와 관련하여 존재할 수 있는 취약점 윈도우를 본 발명이 제거하는 방법을 설명하는 대안적인 예시적인 시각표(420)를 도시한 블록도이다. 설명된 바와 같이, 이전에 공지된 취약점의 이용은 전체적으로 새로운 공격보다 훨씬 더 일반적인 것이다. 이벤트(422)에서, 운영 체계 제공자는 운영 체계의 현재 배포 내에서 취약점의 존재를 식별한다. 식별된 취약점에 의해 취해진 위협에 응답하여, 이벤트(424)에서, 운영 체계 제공자는 완화하는 보안 정보를 발표하여, 보안 레벨을 설정하고, 대응하는 보호적 보안 조치를 식별한다. 도 4b에 도시된 본 예에서, 취약점이 네트워 크(110)에 접속된 컴퓨터에 상당한 위험을 준다고 하면, 운영 체계 제공자는 완전 록-다운을 구현하기 위한 보안 조치로 보안 레벨을 레드로 설정하는 보안 정보를 발표한다. 이벤트(426)에서, 네트워크 보안 모듈(304)은 가장 최근의 보안 정보를 얻어서 완전 록-다운을 구현한다. 패치 또는 "픽스"가 이용가능하게 되기 전에 식별된 취약점으로부터 컴퓨터(302)를 보호하는 보안 조치가 구현된다는 것을 알기 바란다. 대다수의 컴퓨터 익스플로이트는 패치가 정정하는 취약점을 분석하여 얻은 정보로부터 어쨌든 도출되기 때문에, 악의를 가진 자는 취약점을 공격하기 위한 익스플로이트를 만들 기회가 사전행동으로 거부된다. 그러므로, 취약점 윈도우는 하나도 열리지 않는다. 명백하게, 이 결과는 네트워크 보안 모듈이 보안 조치를 구현하지 않을 때 도 2a에 도시된 대응하는 시각표(200)와 특히 대조적으로, 컴퓨터 사용자에게 상당히 유익하다.
빈번하게, 컴퓨터 익스플로이트를 더 분석한 후, 운영 체계 제공자는 컴퓨터 익스플로이트로부터 네트워크에 접속된 컴퓨터를 보호할 수 있는 덜 제한적인 보호 조치 세트를 결정할 수 있다. 그러므로, 도 4b에 도시된 바와 같이, 이벤트(428)에서, 갱신된 보안 블러틴은 발표되어, 보안 레벨을 옐로우로 설정하고, 대응하는 보호적 보안 조치, 즉, 다른 모든 네트워크 활동을 가능하게 하면서, 익스플로이트된 취약점을 특히 처리하는 부분적 록-다운을 포함한다. 이에 대응하여, 이벤트(430)에서, 갱신된 보안 정보가 얻어지고, 네트워크 보안 모듈(304)은 부분적 록-다운을 구현한다.
컴퓨터(302) 상에 설치되는 경우에, 취약점을 타겟으로 하는 컴퓨터 익스플 로이트로부터 보호할 수 있는 운영 체계 패치 또는 안티-바이러스 갱신이 이용가능해지면, 이벤트(432)에서, 운영 체계 제공자는 정보를 발표하고, 일단 설치되면, 네트워크 보안 모듈이 자유로운 네트워크 액세스를 허용하고, 즉 패치가 설치되면 보안 레벨을 그린으로 설정하게 할 수 있다는 것을 나타낸다. 이에 대응하여, 이벤트(434)에서, 패치 또는 안티-바이러스 갱신이 컴퓨터(302) 상에 설치된 후에, 네트워크 보안 모듈(304)은 자유로운 액세스를 가능하게 한다.
도 5는 발표된 보안 정보에 따라 컴퓨터의 네트워크 액세스를 동적으로 제어하는 예시적인 루틴(500)을 도시한 흐름도이다. 도 5는 2개의 시작 터미널, 즉 네트워크 보안 모듈(304)의 시동에 대응하는 시작 터미널(502), 및 컴퓨터 시스템(302)으로 갱신 통지를 수신하는 것에 대응하는 시작 터미널(520)을 포함한다. 먼저 시작 터미널(502)에서 시작하여 블록(504)으로 진행해서, 네트워크 보안 모듈(304)은 완전 록-다운 관련 보안 조치를 구현한다. 상술된 바와 같이, 완전 록-다운 상태일 때, 컴퓨터는 가장 최근의 보안 상태 정보 및 임의의 이용가능한 갱신을 얻기 위해 보안 서비스(306)를 포함한 공지된 신뢰된 네트워크 위치를 액세스하는 것으로 제한된다.
블록(506)에서, 네트워크 보안 모듈(304)은 컴퓨터의 현재 구성에 대응하는 보안 서비스(306)로부터 가장 최근의 보안 정보를 얻는다. 본 발명의 실시양상에 따르면, 네트워크 보안 모듈(304)은 가장 최근의 보안 정보에 대한 요청을 보안 서비스에 보냄으로써 보안 서비스로부터 가장 최근의 보안 정보를 얻을 수 있다. 대안적으로, 네트워크 보안 모듈(304)은 네트워크를 통한 방송으로서, 또는 제2 통신 링크를 통한 보안 서비스(306)로부터의 방송으로서 가장 최근의 보안 정보를 얻을 수 있다.
판정 블록(508)에서, 보안 서비스(306)로부터 얻은 가장 최근의 보안 정보에 기초하여, 네트워크 보안 모듈(304)은 현재 구현된 보안 조치, 및 대응하는 보안 레벨이, 얻어진 보안 정보로 최근에 갱신된 것인지 판정한다. 본 발명의 한 실시양상에 따르면, 이 판정은 보안 서비스가 가장 최근의 개정판으로서 발표한 것에 대해, 네트워크 보안 모듈이 현재 갖고 있는 컴퓨터 시스템용 개정 정보의 단순 비교로서 이루어진다.
현재 구현된 보안 조치가 최근에 갱신된 것이 아니면, 블록(510)에서, 네트워크 보안 모듈(304)은 네트워크 보안 모듈이 컴퓨터 시스템에 관해 갖고있는 정보에 따라 컴퓨터 시스템을 위한 보안 조치를 얻는다. 대안적으로(도시되지 않음), 보안 조치는 획득한 보안 정보가 포함될 수 있다. 일단 네트워크 보안 모듈(304)이 보안 조치를 갖고 있으면, 블록(512)에서, 네트워크 보안 모듈은 보안 조치를 구현하고, 대응하는 보안 레벨, 예를 들어 레드, 옐로우 또는 그린을 설정한다.
컴퓨터 시스템을 위한 보안 조치를 구현한 후에, 또는 대안적으로, 현재 구현된 보안 조치가 컴퓨터 시스템을 위해 최근에 갱신된 것이면, 블록(514)에서, 네트워크 보안 모듈(304)은 지연 상태로 들어간다. 이 지연 상태는 네트워크 보안 모듈(304)이 가장 최근의 보안 정보를 얻기 위해 보안 서비스(306)를 주기적으로 조회하는 기간에 대응한다. 선정된 시간량동안 지연한 후에, 프로세스는 블록(506)으로 돌아가서, 보안 서비스(306)로부터 가장 최근의 보안 정보를 얻는 단계, 현재 구현된 보안 조치가 컴퓨터 시스템을 위해 최근에 갱신된 것인지 판정하는 단계, 및 임의의 새로운 보안 조치를 구현하는 단계의 프로세스가 반복된다.
도 5에 도시된 바와 같이, 예시적인 루틴(500)은 컴퓨터 익스플로이트로부터 컴퓨터(302)를 계속적으로 보호하도록 동작하는 것으로 표시된 바와 같이 종료 터미널을 갖지 않는다. 그러나, 본 분야에 숙련된 기술자들은 네트워크 보안 모듈(304)이 전원이 꺼져서 예시적인 네트워크 환경(300)으로부터 분리되거나, 또는 상술된 바와 같이, 사용자에 의해 명시적으로 디스에이블되는 경우에 루틴(500)이 종료될 수 있는 것을 인식할 수 있을 것이다.
대안적인 시작 터미널(520)을 참조하면, 이 진입점은 네트워크 보안 모듈(304)이 컴퓨터 시스템으로부터 갱신 통지를 받는 상황을 나타낸다. 상술된 바와 같이, 본 발명을 이용하도록 되어 있는 애플리케이션은 컴퓨터 시스템을 갱신하기 위한 단계들 중의 하나로서, 네트워크 보안 모듈에게 지금 현재의 개정 정보를 통지할 수 있다. 예를 들어, 안티-바이러스 소프트웨어를 갱신하는 동안에, 프로세스의 한 단계는 네트워크 보안 모듈에게 지금 현재의 개정판을 알려주는, 네트워크 보안 모듈(304)용으로 예정된 통지를 보내는 것일 수 있다.
블록(524)에서, 갱신 통지 정보는 현재 구현된 보안 조치가 최근에 갱신된 것인지 판정할 때 나중에 사용하기 위해 네트워크 보안 모듈에 의해 저장된다. 운영 체계 갱신뿐만 아니라, 그외의 코드 모듈 갱신은 또한 보안 시스템이 소정의 주어진 컴퓨터 시스템을 보호하기 위해 필요한 적절한 보안 조치에 관해 더욱 자세한 정보에 근거한 판정을 할 수 있도록 네트워크 보안 모듈(304)에 통지를 제공하게 되어 있을 수 있다.
정보를 저장한 후에, 루틴(500)은 블록(506)으로 진행하여, 보안 서비스(306)로부터 가장 최근의 보안 정보를 얻는 단계, 현재 구현된 보안 조치가 컴퓨터 시스템을 위해 최근에 갱신된 것인지 판정하는 단계, 및 임의의 새로운 보안 조치를 구현하는 단계가 상술된 바와 같이 시작된다. 대안(도시되지 않음)으로서, 블록(524)에서 갱신 컴퓨터 시스템 정보를 수신한 후에, 네트워크 보안 모듈은 현재 지연 상태가 끝날 때까지 보안 상태 정보를 얻기 위해 기다릴 수 있다.
도 6은 예시적인 네트워크 환경(300)에서 네트워크 보안 모듈(304)과 같은 네트워크 보안 모듈을 위한 보안 정보를 방송하는 예시적인 루틴(600)을 도시한 흐름도이다. 블록(602)에서 시작하여, 보안 서비스(306)는 여러 소스로부터 보안 관련 정보를 얻는다. 예를 들어, 보안 서비스(306)는 전형적으로, 다양한 패치 및 갱신을 통해 처리되는 컴퓨터 익스플로이트 및/또는 취약점뿐만 아니라, 이용가능한 가장 최근의 개정판, 패치 및 갱신에 관해, 운영 체계 제공자, 안티-바이러스 소프트웨어 제공자로부터 정보를 얻을 수 있다. 다양한 정부 기관, 보안 전문가 등을 포함한 그 밖의 소스가 또한 보안 관련 정보를 위해 폴링될 수 있다.
블록(604)에서, 보안 서비스(306)는 네트워크(110)에 접속된 컴퓨터 시스템의 취약점에 관한 정보를 얻는다. 이 정보는 운영 체계 제공자, 안티-바이러스 소프트웨어 제공자, 또는 취약점이 검출되는 기타 관계자로부터 나올 수 있다. 블록(606)에서, 보안 서비스(306)는 취약점에 의해 처한 위협에 기초하여, 취약점에 관해 컴퓨터 익스플로이트에 의한 공격으로부터 감염된 컴퓨터를 안전하게 보호하기 위해, 네트워크 보안 모듈(304)과 같은 네트워크 보안 모듈에 의해 구현될 보호적 보안 조치뿐만 아니라, 보안 레벨, 예를 들어 레드, 옐로우 또는 그린을 결정한다.
블록(606)에서, 보안 서비스(306)는 보안 레벨 및 대응하는 보호적 보안 조치를 포함하는 보안 블러틴을, 상술된 바와 같이, 네트워크(110)에 부가된 네트워크 보안 모듈에 방송한다. 상술된 바와 같이, 보안 서비스(306)는 네트워크 전체에 걸친 방송을 모든 네트워크 보안 모듈에 보냄으로써 보안 블러틴을 방송할 수 있다. 이 네트워크 전체에 걸친 방송은 상술된 보증된 전달 옵션을 선택적으로 사용하는 네트워크(110)를 통하거나, 또는 네트워크 환경(300) 내의 네트워크 보안 장치로의 제2 통신 링크를 통해 이루어질 수 있다. 보안 블러틴을 방송한 후, 루틴(600)은 종료된다.
도 7은 네트워크 보안 모듈(304)로부터의 보안 정보 요청을 수신하여 그 정보에 응답하기 위한 보안 서비스(306)에 의해 구현된 예시적인 루틴(700)을 도시한 흐름도이다. 블록(702)에서 시작하여, 보안 서비스(306)는 네트워크 보안 장치(304)로부터 보안 정보 요청을 수신한다. 상술된 바와 같이, 보안 정보 요청은 컴퓨터의 현재 구성에 대응하는 정보를 포함할 수 있다.
블록(704)에서, 네트워크 보안 모듈에 의해 제공된 보안 정보 요청 시의 특정 컴퓨터의 구성 정보에 따라, 보안 서비스(306)는 보안 정보 요청시 컴퓨터의 현재 구성 정보에 대응하는 관련 보안 정보를 식별한다.
한 실시예에 따르면, 보안 서비스(306)는 컴퓨터의 구성 정보에 따라 컴퓨터(302)를 보호하는데 필요한 보호적 보안 조치를 결정함으로써 관련 보안 정보를 식 별한다. 대안적인 실시예에 따르면, 보안 서비스(306)는 네트워크 보안 모듈에 의해 더욱 프로세스하기 위해 특정 컴퓨터의 구성에 대응하는 모든 보안 정보를 되돌려보냄으로써 관련 보안 정보를 식별하여, 보호적 보안 조치가 구현되어야 하는지 판정한다. 또 다른 대안으로서, 보안 서비스(306)는 특정 컴퓨터의 구성에 대응하는 모든 보안 정보를 되돌려보냄으로써 관련 보안 정보를 식별하고, 이 보안 정보는 그 다음에 네트워크 보안 서비스로부터 컴퓨터(302)에 전송되어, 컴퓨터가 네트워크 보안 모듈에게 구현하기 위한 보호적 보안 조치를 알릴수 있게 된다. 그 밖의 시스템뿐만 아니라, 상술된 대안들의 조합이 또한 이용될 수 있다. 따라서, 본 발명은 소정의 한 특정 실시예에 제한되는 것으로 해석되어서는 안된다.
블록(706)에서, 보안 서비스(306)는 요청하는 네트워크 보안 모듈(304)에 관련 보안 정보를 되돌려 보낸다. 그 다음, 루틴(700)은 종료된다.
도 8은 보안 서비스(306)로부터 얻은 보안 조치에 따라 컴퓨터(302)와 네트워크 사이의 네트워크 트래픽 흐름을 제어하기 위해 네트워크 보안 모듈(304)에 의해 구현된 예시적인 방법(800)을 도시한 흐름도이다. 블록(802)에서 시작하여, 네트워크 보안 모듈(304)은 컴퓨터(302)에 이르는 네트워크 트래픽뿐만 아니라, 컴퓨터로부터 나오는 네트워크 트래픽을 포함하는 네트워크 트래픽을 수신한다.
판정 블록(804)에서, 네트워크 트래픽이 보안 서비스, 안티-바이러스 소프트웨어 제공자, 운영 체계 제공자 등과 같은 신뢰된 네트워크 사이트로 또는 그 사이트로부터의 것인지에 관해 판정이 이루어진다. 네트워크 트래픽이 신뢰된 네트워크 사이트로 또는 그 사이트로부터의 것이면, 루틴은 블록(810)으로 진행하여, 네 트워크 트래픽이 네트워크 보안 모듈(304)을 통해 흐르도록 허용되고, 루틴(800)은 그 다음에 종료된다. 그러나, 네트워크 트래픽이 신뢰된 네트워크 사이트로 또는 그 사이트로부터의 것이 아니면, 루틴은 판정 블록(806)으로 진행한다.
판정 블록(806)에서, 네트워크 트래픽이 현재 구현된 보안 조치에 따라 제한되는지에 관한 다른 판정이 이루어진다. 네트워크 트래픽이 현재 구현된 보안 조치에 따라 제한되지 않으면, 루틴은 블록(810)으로 진행하여, 네트워크 트래픽이 네트워크 보안 모듈(304)을 통해 흐르도록 허용되고, 루틴(800)은 그 다음에 종료된다. 그러나, 네트워크 트래픽이 현재 구현된 보안 조치에 따라 제한되면, 루틴은 블록(808)으로 진행하여, 네트워크 트래픽이 네트워크 보안 모듈(304)을 통해 흐르도록 허용되지 않는다. 그 다음, 루틴(800)은 종료된다.
네트워크 보안 모듈(304)은 컴퓨터(302)와 인터넷(110) 사이에 삽입되지만, 네트워크 보안 모듈의 실제 실시예는 다를 수 있다. 한 실시예에 따르면, 네트워크 보안 모듈(304)은 물리적으로 컴퓨터(302)의 외부에 있는 하드웨어 장치로서 구현되어, 인터넷(110) 및 컴퓨터(302)에 접속될 수 있다. 도 9는 컴퓨터(302)의 외부에 있는 하드웨어 장치로서 구현된 예시적인 네트워크 보안 모듈(304)을 도시한 도면이다.
도 9에 도시된 바와 같이, 외부 장치로서, 네트워크 보안 모듈(304)은 네트워크(110)로의 접속부(902) 및 컴퓨터(302)로의 대응하는 접속부(904)를 포함한다. 컴퓨터(302)와 네트워크(110) 사이의 모든 네트워크 활동은 컴퓨터로의 접속부(904) 상에서 실행된다. 도시된 네트워크 보안 모듈(304)은 또한 컴퓨터(302)와 네트워크 보안 모듈 사이에서 둘 사이의 정보를 통신하기 위한 보조 컴퓨터 접속부(918)를 포함한다. 도시된 네트워크 보안 모듈(304)은 인에이블/디스에이블 스위치(906), 상태 표시기(910-916), 및 외부 전원으로의 선택적 접속부(908)를 더 포함한다.
상술된 바와 같이, 네트워크 보안 모듈(304)이 자신의 현재 보안 조치를 실행할 수 없게 하는 것이 바람직할 수 있다. 도 9의 도시된 실시예에 따르면, 인에이블/디스에이블 스위치(906)는 네트워크 보안 모듈이 현재의 보안 조치를 무시하는 것이 바람직할 때 네트워크 보안 모듈(304)을 디스에이블하고, 보안 서비스(306)로부터 얻은 현재의 보안 조치를 시행하도록 네트워크 보안 모듈(304)을 인에이블하는 토글 스위치이다.
상태 표시기(910-916)는 네트워크 보안 모듈의 현재 상태의 시각적 표시를 제공하기 위해 포함된다. 상태 표시기는 상술한 바와 같이 단지 정보를 제공하기 위한 것이다. 그것들은 네트워크 보안 모듈(304)에 의해 구현된 보호적 보안 조치에 관해 컴퓨터 사용자에게 선택적인 시각적 길잡이를 제공한다. 각 표시기는 특정 보안 상태에 대응한다. 예를 들어, 상태 표시기(910)는 네트워크 활동의 완전 록-다운을 의미하는 레드의 보안 레벨에 대응하고, 네트워크 보안 모듈(304)이 완전 록-다운을 구현할 때 빨간색으로 빛난다. 상태 표시기(912)는 옐로우의 보안 레벨, 즉 네트워크 활동의 부분적 록-다운에 대응하고, 네트워크 보안 모듈(304)이 부분적 록-다운을 구현할 때 노란색으로 빛난다. 이와 유사하게, 상태 표시기(914)는 그린의 보안 레벨, 즉 자유로운 네트워크 액세스에 대응하고, 네트워크 보 안 모듈(304)이 제한없는 네트워크 액세스를 구현할 때 녹색으로 빛난다. 상태 표시기(916)는 네트워크 보안 모듈(304)의 인에이블드/디스에이블드 상태에 대응하여, 네트워크 보안 모듈이 디스에이블될 때, 상태 표시기가 빨간빛이 깜박이는 것처럼 빛나게 된다.
본 발명은 도 9에 도시된 바와 같이 구현될 수 있지만, 그것은 단지 예시적인 것으로 간주되어야 한다. 본 발명의 범위를 벗어나지 않고서 도 9에 도시된 물리적 실시예에 여러가지 변형 및 변경이 이루어질 수 있다. 따라서, 본 발명은 소정의 특정 실시예에 제한되는 것으로 해석되어서는 안된다.
물리적인 실시예에 대한 대안(도시되지 않음)으로서, 네트워크 보안 모듈(304)은 컴퓨터(302) 내의 컴포넌트로서, 또는 컴퓨터 네트워크 인터페이스 내의 서브-컴포넌트로서 통합된 컴포넌트일 수 있다. 이들 2개의 실시예는 컴퓨터(302)가 무선 접속을 통해 인터넷(110)에 접속될 때 특히 유용하다. 또 다른 대안적인 실시예로서, 네트워크 보안 모듈(304)은 운영 체계 내에 통합된 소프트웨어 모듈로서, 또는 컴퓨터(302) 상에 설치된 분리된 모듈로서 구현될 수 있다. 따라서, 네트워크 보안 모듈(304)은 물리적 또는 논리적인 소정의 특정 실시예에 제한되는 것으로 해석되어서는 안된다.
도 10은 본 발명에 따라 형성된 네트워크 보안 모듈(304)의 예시적인 논리적 컴포넌트를 도시한 블록도이다. 네트워크 보안 모듈(304)은 메모리(1002), 보안 상태 표시기 모듈(1004), 비교 모듈(1006), 보안 시행 모듈(1008), 갱신 요청 모듈(1010), 네트워크 접속부(1012), 컴퓨터 접속부(1014), 보조 컴퓨터 접속부(1018) 및 코더/디코더 모듈(1020)을 포함한다.
비휘발성 및 비휘발성 메모리 영역을 포함하는 메모리(1002)는 네트워크 보안 모듈(304)에 의해 구현될 현재의 보안 조치를 저장한다. 메모리(1002)는 또한 운영 체계, 안티-바이러스 소프트웨어 및 서명, 애플리케이션 등의 현재 개정 정보를 포함하여, 네트워크 보안 모듈(304)에 제공된 구성 정보를 저장한다. 신뢰된 위치 어드레스, 갱신 소스 등을 포함한 그 밖의 정보가 또한 저장될 수 있다. 신뢰된 위치 어드레스와 같은 정보는 비휘발성 메모리에도 저장될 수 있다.
보안 상태 표시기 모듈(1004)은 네트워크 보안 모듈(304)의 현재 보안 상태를 컴퓨터 사용자에게 표시하기 위한 것이다. 예를 들어, 네트워크 보안 모듈(304)이 도 9에 도시된 바와 같이 물리적 장치로서 구현될 때, 보안 상태 표시기 모듈(1004)은 네트워크 보안 모듈의 현재 보안 상태에 따라 상태 표시기(910-916)를 제어한다.
비교 모듈(1006)은 메모리(1002) 내에 저장된 보안 정보가 컴퓨터의 현재 구성에 대해 최근 갱신된 것인지 판정하기 위해, 메모리(1002) 내에 저장된 보안 정보와 보안 서비스(306)로부터 얻은 보안 정보 사이의 비교를 실행한다. 보안 시행 모듈(1008)은 인식된 위협으로부터 컴퓨터(302)를 보호하기 위해 필요한 보안 조치를 구현하는 컴포넌트이다. 그러므로, 보안 시행 모듈(1008)은 메모리(1002) 내에 저장된 보안 조치에 따라 컴퓨터(302)와 네트워크(110) 사이의 네트워크 활동의 흐름을 제어한다.
갱신 요청 모듈(1010)은 보안 서비스(306)로부터 가장 최근의 보안 정보를 주기적으로 요청하기 위해 폴 시스템 내에서 사용된다. 푸시 시스템에서, 갱신 요청 모듈(1010)은 보안 서비스로부터의 보안 정보의 수신기로서 작용할 수 있고, 보안 서비스(306)로부터 수신한 정보에 따라 컴퓨터(302)를 충분히 보호하기 위한 보호적 보안 조치를 식별하기 위해 비교 모듈(1006)과 함께 작업할 수 있다. 대안적으로, 갱신 요청 모듈은 보안 서비스(306)로부터 수신한 정보에 따라 컴퓨터를 충분히 보호하기 위한 보호적 보안 조치를 결정/식별하기 위해 컴퓨터(302)와 통신할 수 있다. 네트워크 보안 모듈(304)의 모든 컴포넌트는 공용 시스템 버스(1016)를 통해 상호접속된다.
코더/디코더 모듈(1020)은 컴퓨터(302)와 네트워크 보안 모듈 사이의 보안 통신뿐만 아니라, 네트워크 보안 모듈(304)과 보안 서비스(306) 사이의 보안 통신을 인코드 및 디코드하기 위해 사용된다. 코더/디코더 모듈(1020)에 의해 디코드된 정보는 현재 보안 조치를 구현하기 위한 보안 시행 모듈(1008)에 제공된다.
한 실시예에 따르면, 컴퓨터(302)와 네트워크 보안 모듈(304) 사이의 보안 통신은 보조 컴퓨터 접속부(1018)를 통해 전달된다. 그러나, 본 발명은 보조 컴퓨터 접속부(1018)로 구성된 것에 제한되는 것으로 해석되어서는 안된다. 대안적인 실시예에서, 네트워크 보안 모듈(304)은 주 컴퓨터 접속부(1014)만을 사용하여 컴퓨터(302)와 통신한다.
네트워크 보안 모듈(304)의 개별 컴포넌트들이 설명되었지만, 그것들은 논리적인 컴포넌트이고, 실제 실시예에서, 서로 함께 결합되거나, 또는 설명되지 않은 다른 컴포넌트와 결합될 수 있다는 것을 알기 바란다. 따라서, 상술된 컴포넌트들 은 예시적인 것으로 간주되어야 하고, 본 발명을 제한하는 것으로 해석되어서는 안된다.
단독으로 또는 안티-바이러스 소프트웨어와 함께 동작하는 것으로 설명된 네트워크 보안 모듈(304)은 많은 컴퓨터 익스플로이트/공격으로부터 컴퓨팅 장치를 보호할 수 있지만, 어떤 유도된 익스플로이트들은 네트워크 보안 모듈 및/또는 안티-바이러스 소프트웨어를 피해갈 수 있다. 특히, 컴퓨팅 장치를 공격하기 위한 악의를 가진 자에 의해 사용된 한가지 기술은 감염된 컴퓨터/익스플로이트 기점과 타겟 컴퓨팅 장치 사이의 보안 통신을 사용하여 익스플로이트를 검출로부터 차단시키는 것이다. 도 11은 컴퓨터 익스플로이트가 보안 통신을 사용하여 컴퓨팅 장치로 전달될 수 있는 방법을 도시한 블록도이다.
컴퓨터 익스플로이트가 보안 통신을 사용하여 컴퓨팅 장치로 전달될 수 있는 방법의 한 예로서, 도 11을 참조하면, 컴퓨터(102) 상에서 악의를 가진 자는 익스플로이트(112)를 갖는다. 컴퓨터(1104)와 같은 다른 컴퓨터를 감염시키기 위해, 악의를 가진 자는 익스플로이트(112)를 합법적인 자원/컨텐트로서 다른 곳으로 제공할 수 있는데, 보안 통신을 통해 전달하도록 제공한다. 본 분야에 숙련된 기술자들에게 공지된 바와 같이, 보안 통신은 전형적으로 공중 및 사설 암호화 키로 암호화되므로, 복호화 키(사설 키)의 프로세서만이 보안 통신의 내용을 복호화하여 볼 수 있다. 보안 통신 프로토콜의 예는 SSL(Secure Socket Layer) 및 TLS(Transport Layer Security) 프로토콜을 포함한다.
본 예에 계속하여, 의심하지 않는 사용자는, 컴퓨팅 장치(1104)를 통해, 속 임을 당하여, 익스플로이트(112)가 실제로 합법적인 컨텐트라고 믿게 되고, 컴퓨터(102)로부터 익스플로이트를 요청한다. 컴퓨터(102) 및 컴퓨팅 장치(1104)는 익스플로이트(112)를 암호화 및 복호화하기 위한 암호화 키를 바꾸어 교환한다. 그 다음, 송신 인코더(1106)는 전달하기 위한 익스플로이트를 인코드하여, 화살표(1108)로 표시된 바와 같이, 네트워크(110)를 통해 컴퓨팅 장치(1104)에 암호화된 익스플로이트를 안전하게 전달한다. 익스플로이트(122)는 암호화된 상태로 전달되기 때문에, 네트워크 보안 모듈(304)(도시되지 않음) 및 소정의 안티-바이러스 소프트웨어를 통과할 수 있는 가능성이 꽤 있다. 컴퓨팅 장치(1104)에 도달하면, 송신 디코더 모듈(1110)은 보안 통신을 디코드/복호화하고, 그것은 브라우저 표시 모듈(1112)에 제공된다. 본 분야에 숙련된 기술자들은 종종, 송신 디코더 모듈(1110)은 브라우저 표시 모듈(1112)의 통합 부분이라는 것을 인식할 수 있을 것이다. 브라우저 표시 모듈(1112)은 익스플로이트 표시 시에, 익스플로이트(112)를 인에이블시켜, 컴퓨팅 장치(1104)를 감염시킨다.
본 발명의 실시양상에 따르면, 네트워크 보안 모듈(304)은 보안 통신을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위해 사용될 수 있다. 다시 도 10을 참조하면, 네트워크 보안 모듈(304)은 보조 컴퓨터 접속부(108)를 통해 컴퓨팅 장치로부터 보안 통신을 복호화하는데 필요한 암호화 키를 얻는다. 일단 암호화 키가 얻어지면, 코더/디코더 모듈(1020)은 프로세싱하기 위해 보안 통신을 일시적으로 디코드한다. 더욱 상세하게 후술되는 바와 같이, 보안 통신이 네트워크 보안 모듈(304)에 의해 구현된 보안 조치를 위반하는 것으로, 또는 익스플로 이트인 것으로 발견되면, 보안 통신은 컴퓨팅 장치(1104)에 도달하지 못하게 된다. 그러나, 보안 통신이 구현된 보안 조치를 위반하지 않고, 익스플로이트가 아니면, 보안 통신은 컴퓨팅 장치(1104)로 흐르도록 허용된다.
본 발명의 실시양상에 따르면, 보조 컴퓨터 접속부(1018)(도 10)는 컴퓨팅 장치(1104)로의 여러가지 통신 채널들 중의 하나일 수 있다. 예를 들어, 보조 컴퓨터 접속부(1018)는 USB(Universal Serial Bus) 접속, IEEE 1394 접속, 또는 표준 직렬 또는 병렬 데이터 접속일 수 있다. 상술된 바와 같이, 보조 컴퓨터 접속부(1018)의 용도 중의 하나는 네트워크 보안 모듈(304)이 보안 통신을 일시적으로 복호화하기 위해 송신 디코더(1110)로부터 암호화 복호화 키를 얻을 수 있는 통신 채널을 제공하기 위한 것이다. 따라서, 대안적인 실시예로서, 보조 컴퓨터 접속부(1018)는 또한 컴퓨팅 장치와 네트워크(110) 사이의 네트워크 활동이 실행되는 컴퓨터 접속부(1014)일 수 있다. 대안적인 실시예에 따르면, 컴퓨터 접속부(1014)와 컴퓨터 접속부(1018) 간의 차이는 논리적, 아니면 물리적인 차이이다.
도 12는 본 발명의 실시양상에 따르게 되어 있는 네트워크 보안 모듈(304)이 보안 통신을 통해 컴퓨팅 장치에 전달된 컴퓨터 익스플로이트(112)로부터 컴퓨팅 장치(1104)를 보호할 수 있는 방법을 도시한 예시적인 환경(1200)의 블록도이다. 도 11의 예와 마찬가지로, 컴퓨터(102) 상에서 악의를 가진 자는 화살표(1108)로 표시된 바와 같이, 보안 통신을 통해 컴퓨터 익스플로이트(112)를 컴퓨팅 장치(1104)에 전달하려고 한다. 그러나, 네트워크(110)와 컴퓨팅 장치(1104) 사이에 삽입된 네트워크 보안 모듈(304)은 먼저 보안 통신을 얻는다. 현재의 보안 레벨과 관련된 보안 조치를 시행하는 부분으로서, 또는 단순히 진행되는 보안 예방책으로서, 네트워크 보안 모듈(304)은 소정의 통신이 보안 통신인지 판정하기 위해 입력 네트워크 활동을 평가한다.
보안 통신을 검출하면, 네트워크 보안 모듈(304)은 화살표(1202)로 표시된 바와 같이, 보조 컴퓨터 접속부(1018)를 통해 컴퓨팅 장치(1202) 상의 송신 디코더 모듈(1110)로부터 암호화 디코딩 키를 요청한다. 암호화 디코딩 키를 사용하여, 네트워크 보안 모듈(304)은 보안 통신을 일시적으로 복호화하고, 복호화된 통신 데이터를 네트워크 보안 모듈에 의해 구현된 소정의 보안 조치에 따라 프로세스한다. 본 발명의 부가적인 실시양상에 따르면, 안티-바이러스 소프트웨어와 함께 동작하는 네트워크 보안 모듈(304)은 또한 익스플로이트/바이러스로서의 평가를 위해 안티-바이러스 소프트웨어에 일시적으로 복호화된 통신 데이터를 전달할 수 있다.
보안 통신이 구현 보안 조치에 따라 금지된 네트워크 활동이라는 것, 또는 보안 통신이 소정의 안티-바이러스 소프트웨어에 의해 검출될 때 익스플로이트를 나타낸다는 것을 검출하면, 네트워크 보안 모듈(304)은 화살표(1204)로 표시된 바와 같이, 보안 통신/익스플로이트가 컴퓨팅 장치(1104)에 도달하지 못하게 한다. 이러한 방식으로, 컴퓨팅 장치(1104)는 보안 통신 채널을 통해 전달된 통신으로부터도 보호된다. 대안적으로, 보안 통신이 소정의 구현된 보안 조치를 위반하지 않고, 익스플로이트도 아니면, 보안 통신은 컴퓨팅 장치(1104)로 중계된다.
도 11 및 12의 상기 설명은 송신 디코더(1110)가 브라우저 표시 모듈(1112)과 분리된 것으로 나타냈지만, 그것은 단지 예시적으로 나타낸 것이다. 본 분야에 숙련된 기술자들은 송신 디코더(1110)가 매우 자주, 컴퓨팅 장치 상에 존재하는 브라우저 표시 모듈(1112)의 통합 컴포넌트라는 것을 용이하게 알 수 있을 것이다.
도 13a 및 13b는 본 발명의 실시양상에 따라 보안 통신을 검출하고 프로세스하는 예시적인 루틴(1300)을 도시한 블록도이다. 예시적인 루틴(1300)은 네트워크 보안 모듈(304) 상에 구현될 수 있지만, 또한 익스플로이트(112)로부터 컴퓨팅 장치(1104)를 보호하기 위해 브라우저 표시 모듈(1112)과 함께 동작하는 소프트웨어 모듈로서 따로 구현되어 실행될 수도 있다는 것을 알기 바란다.
블록(1302)(도 13a)에서 시작하여, 예시적인 루틴(1300)은 네트워크 활동, 특히 입력 네트워크 활동을 모니터한다. 입력 네트워크 활동을 검출하면, 판정 블록(1304)에서, 네트워크 활동이 보호된 컴퓨팅 장치로 향하는 보안 통신인지에 관해 판정이 이루어진다. 네트워크 활동이 보호된 컴퓨팅 장치로 향하는 보안 통신이 아니면, 블록(1306)에서, 네트워크 활동은 보호된 컴퓨팅 장치로 중계된다. 그 다음, 프로세스는 네트워크 활동의 추가 모니터링을 위해 블록(1302)으로 되돌아간다. 도시되지 않았지만, 추가 프로세싱은 안전하지 않은 네트워크 활동에서 발생할 수도 있다. 예를 들어, 예시적인 루틴(1300)이 네트워크 보안 모듈(304)과 같은 네트워크 보안 모듈 상에서 구현되면, 네트워크 활동이 네트워크 보안 모듈에 의해 구현된 소정의 보안 조치를 위반하는지를 판정하는 것과 같은 추가 프로세싱이 발생할 수 있다. 이러한 안전하지 않은 네트워크 활동의 프로세싱은 위에서 설명되었다.
네트워크 활동이 보안 통신이면, 블록(1308)에서, 보안 통신을 복호화하는 복호화 키가 얻어진다. 블록(1310)에서, 보안 통신은 얻어진 복호화 키를 사용하여 일시적으로 복호화된다. 그 다음, 판정 블록(1312)(도 13b)에서, 복호화된 통신이 네트워크 보안 모듈(304)에 의해 구현된 보안 조치에 따라 금지되는 것인지에 관해 판정이 이루어진다. 통신이 금지된 네트워크 활동을 나타내면, 블록(1314)에서, 보안 통신은 인정되지 않고, 즉 컴퓨팅 장치로 전송되지 않는다. 그 다음, 루틴(1300)은 블록(1302)(도 13a)으로 되돌아가서, 네트워크 활동을 계속 모니터한다.
복호화된 통신이 구현 보안 조치에 의해 금지되지 않으면, 판정 블록(1316)에서, 복호화된 통신이 익스플로이트인지에 관한 추가 판정이 이루어질 수 있다. 상술된 바와 같이, 네트워크 보안 모듈(304)은 외부 안티-바이러스 소프트웨어와 함께 동작할 수 있다. 이러한 환경에서, 네트워크 보안 모듈(304)은 일시적으로 복호화된 통신을 안티-바이러스 소프트웨어에 전달하여, 그 통신이 익스플로이트인지, 익스플로이트에 의해 감염되었는지에 관해 평가한다. 복호화된 통신이 익스플로이트인 것으로 평가되면, 블록(1314)에서, 보안 통신은 인정되지 않고, 루틴(1300)은 블록(1302)(도 13a)으로 되돌아가서, 네트워크 활동을 계속 모니터한다. 대안적으로, 복호화된 통신이 익스플로이트가 아닌 것으로 판정되면, 블록(1318)에서, 보안 통신은 컴퓨팅 장치로 전송된다. 그 다음, 루틴(1300)은 블록(1302)(도 13a)으로 되돌아가서, 네트워크 활동을 계속 모니터한다.
본 발명의 양호한 실시예를 포함한 여러가지 실시예가 도시되고 설명되었지만, 본 발명의 정신 및 범위를 벗어나지 않고서 여러가지 변경이 행해질 수 있다는 것을 알 수 있을 것이다.
본 발명의 실시양상에 따르면, 컴퓨팅 장치와 네트워크 사이의 모든 네트워크 활동이 네트워크 보안 모듈을 거쳐 가도록, 컴퓨팅 장치와 네트워크 사이에 네트워크 보안 모듈이 삽입되므로, 네트워크를 통해 전달된 식별된 보안 위협으로부터 컴퓨팅 장치가 보호된다.
본 발명의 양호한 실시예를 포함한 여러가지 실시예가 도시되고 설명되었지만, 본 발명의 정신 및 범위를 벗어나지 않고서 여러가지 변경이 행해질 수 있다는 것을 알 수 있을 것이다.

Claims (19)

  1. 네트워크 상의 식별된 보안 위협으로부터 컴퓨팅 장치를 보호하기 위한 네트워크 보안 시스템으로서,
    상기 컴퓨팅 장치와 상기 네트워크 사이의 모든 네트워크 활동(activity)들이 네트워크 보안 모듈을 통과하도록, 상기 컴퓨팅 장치와 상기 네트워크 사이에 삽입되도록 구성된, 물리적 장치를 포함하는 네트워크 보안 모듈
    을 포함하고,
    상기 네트워크 보안 모듈은,
    상기 네트워크 보안 모듈을 상기 컴퓨팅 장치에 접속시키는 컴퓨팅 장치 접속부;
    상기 네트워크 보안 모듈을 상기 네트워크에 접속시키는 네트워크 접속부;
    상기 네트워크 보안 모듈을 통신 장치에 접속시키도록 구성된 2차 통신 접속을 통해 상기 컴퓨팅 장치 상의 디코딩 모듈로부터 획득되는 복호화 키를 이용하여 보안 통신을 일시적으로 복호화하는 디코더 모듈;
    상기 컴퓨팅 장치의 현재 구성에 관한 정보 및 보안 조치(security measures)를 저장하는 네트워크 보안 모듈 메모리 - 상기 컴퓨팅 장치로부터 획득된 상기 현재 구성에 관한 정보는 상기 네트워크 보안 모듈에 의한 조회(query)와 무관하며, 상기 네트워크 보안 모듈은 상기 컴퓨팅 장치가 전원이 오프된 경우라도 상기 컴퓨팅 장치의 현재 구성에 관한 정보 및 상기 보안 조치를 네트워크 보안 서비스 컴퓨터로부터 계속 획득할 수 있음 - ; 및
    상기 컴퓨팅 장치의 현재 구성에 대응하는 획득된 보안 조치를 구현하여 상기 컴퓨팅 장치와 상기 네트워크 사이의 네트워크 활동을 제어함으로써, 상기 컴퓨팅 장치를 상기 네트워크 상의 식별된 보안 위협으로부터 보호하는 보안 시행 모듈(security enforcement module)
    을 포함하는 네트워크 보안 시스템.
  2. 제1항에 있어서,
    상기 보안 시행 모듈은 일시적으로 복호화된 상기 보안 통신을 획득하고, 일시적으로 복호화된 상기 보안 통신을 획득된 상기 보안 조치에 따라 평가함으로써, 상기 컴퓨팅 장치와 상기 네트워크 사이의 네트워크 활동들을 제어하는 네트워크 보안 시스템.
  3. 제1항에 있어서,
    상기 보안 통신은 SSL(Secure Sockets Layer) 프로토콜에 따라 암호화되는 네트워크 보안 시스템.
  4. 제1항에 있어서,
    상기 보안 통신은 TLS(Transport Layer Security) 프로토콜에 따라 암호화되는 네트워크 보안 시스템.
  5. 네트워크 상의 식별된 보안 위협으로부터 컴퓨팅 장치를 보호하기 위한 방법으로서,
    상기 컴퓨팅 장치와 상기 네트워크 사이의 모든 네트워크 활동들이 네트워크 보안 모듈을 통과하도록, 상기 컴퓨팅 장치와 상기 네트워크 사이에 삽입된 네트워크 보안 모듈을 설정하는 단계;
    상기 네트워크 보안 모듈에 의한 조회와는 무관한 상기 컴퓨팅 장치의 현재 구성에 관한 정보를 상기 컴퓨팅 장치로부터 획득하는 단계;
    상기 네트워크 상의 식별된 보안 위협으로부터 상기 컴퓨팅 장치를 보호하기 위해 상기 컴퓨팅 장치의 현재 구성에 대응하는 보호적 보안 조치를 획득하는 단계 - 상기 네트워크 보안 모듈은 상기 컴퓨팅 장치가 전원이 오프된 경우라도 상기 컴퓨팅 장치의 현재 구성에 대응하는 보안 조치를 네트워크 보안 서비스 컴퓨터로부터 계속 획득할 수 있음 - ;
    상기 컴퓨팅 장치를 향하는 보안 통신을 검출하는 단계;
    상기 네트워크 보안 모듈을 상기 통신 장치에 접속시키도록 구성된 2차 통신 접속을 통해 상기 컴퓨팅 장치 상의 디코딩 모듈로부터 획득되는 복호화 키를 이용하여 상기 보안 통신을 일시적으로 복호화하는 단계; 및
    상기 일시적으로 복호화된 보안 통신을 통해, 상기 컴퓨팅 장치의 현재 구성에 대응하는 상기 보호적 보안 조치를 구현함으로써, 상기 컴퓨팅 장치를 상기 네트워크 상의 식별된 보안 위협으로부터 보호하는 단계
    를 포함하는 방법.
  6. 제5항에 있어서,
    상기 보안 통신은 SSL 프로토콜에 따라 암호화되는 방법.
  7. 제5항에 있어서,
    상기 보안 통신은 TLS 프로토콜에 따라 암호화되는 방법.
  8. 제5항에 있어서,
    상기 식별된 보안 위협으로부터 컴퓨팅 장치를 보호하기 위해 보호적 보안 조치를 획득하는 단계는, 상기 컴퓨팅 장치에 관한 구성 정보에 따라 상기 컴퓨팅 장치를 보호하기 위한 보호적 보안 조치를 획득하는 단계를 포함하는 방법.
  9. 삭제
  10. 삭제
  11. 삭제
  12. 삭제
  13. 삭제
  14. 삭제
  15. 삭제
  16. 삭제
  17. 삭제
  18. 삭제
  19. 삭제
KR1020050011656A 2004-02-13 2005-02-11 보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법 KR101130394B1 (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US54477204P 2004-02-13 2004-02-13
US60/544,772 2004-02-13
US10/879,837 US7716726B2 (en) 2004-02-13 2004-06-29 System and method for protecting a computing device from computer exploits delivered over a networked environment in a secured communication
US10/879,837 2004-06-29

Publications (2)

Publication Number Publication Date
KR20060041880A KR20060041880A (ko) 2006-05-12
KR101130394B1 true KR101130394B1 (ko) 2012-03-28

Family

ID=34704410

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050011656A KR101130394B1 (ko) 2004-02-13 2005-02-11 보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법

Country Status (8)

Country Link
US (1) US7716726B2 (ko)
EP (1) EP1564963B1 (ko)
JP (1) JP4741255B2 (ko)
KR (1) KR101130394B1 (ko)
CN (1) CN100484020C (ko)
AT (1) ATE374494T1 (ko)
DE (1) DE602005002572T2 (ko)
TW (1) TWI402691B (ko)

Families Citing this family (41)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814543B2 (en) * 2004-02-13 2010-10-12 Microsoft Corporation System and method for securing a computer system connected to a network from attacks
US8010989B2 (en) 2004-04-30 2011-08-30 Research In Motion Limited System and method for configuring devices for secure operations
US8667590B1 (en) 2004-08-20 2014-03-04 Trend Micro Incorporated Method and apparatus for protecting high availability devices from computer viruses and other malicious content
JP2006085816A (ja) * 2004-09-16 2006-03-30 Hitachi Ltd 再生装置及び記録再生装置
US20060075083A1 (en) * 2004-09-22 2006-04-06 Bing Liu System for distributing information using a secure peer-to-peer network
US7716727B2 (en) * 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
FR2880441B1 (fr) * 2004-12-31 2010-06-18 Trusted Logic Chargement dynamique securise
US7926107B2 (en) * 2005-11-15 2011-04-12 At&T Intellectual Property Ii, Lp Internet security news network
US7953846B1 (en) * 2005-11-15 2011-05-31 At&T Intellectual Property Ii, Lp Internet security updates via mobile phone videos
JP2007141102A (ja) 2005-11-21 2007-06-07 Internatl Business Mach Corp <Ibm> ソフトウェアをインストールするためのプログラム、記録媒体、及び装置
US8024797B2 (en) * 2005-12-21 2011-09-20 Intel Corporation Method, apparatus and system for performing access control and intrusion detection on encrypted data
JP2007199880A (ja) * 2006-01-25 2007-08-09 Nec Corp 通信システム、資格審査/設定用ネットワーク、通信機器及びそれらに用いるネットワーク接続方法
JP4321780B2 (ja) * 2006-01-30 2009-08-26 ▲高▼野 直人 情報通信システム
WO2007139552A1 (en) * 2006-05-31 2007-12-06 Citrix Systems, Inc. Systems and methods for determining the charset encoding for decoding a request submission in a gateway
CN101163309B (zh) 2006-10-13 2012-07-04 华为技术有限公司 一种实现信息锁定的方法、系统和装置
WO2008117554A1 (ja) * 2007-03-28 2008-10-02 Nec Corporation 時刻情報配信システム、時刻配信局、端末、時刻情報配信方法及びプログラム
KR20090047890A (ko) * 2007-11-08 2009-05-13 한국전자통신연구원 검색 엔진을 이용한 악성 코드 유포 사이트 관리 방법,장치 및 시스템
US7962961B1 (en) * 2007-12-13 2011-06-14 Symantec Corporation Responding to detected application vulnerability exploits
TWI406151B (zh) * 2008-02-27 2013-08-21 Asustek Comp Inc 防毒保護方法以及具有防毒保護的電子裝置
US8171292B2 (en) 2009-04-08 2012-05-01 Research In Motion Limited Systems, devices, and methods for securely transmitting a security parameter to a computing device
US8214645B2 (en) * 2009-04-08 2012-07-03 Research In Motion Limited Systems, devices, and methods for securely transmitting a security parameter to a computing device
US20100332593A1 (en) * 2009-06-29 2010-12-30 Igor Barash Systems and methods for operating an anti-malware network on a cloud computing platform
DE102010008816A1 (de) 2010-02-22 2011-08-25 Continental Automotive GmbH, 30165 Verfahren zur Online-Kommunikation
US8756669B2 (en) * 2012-06-20 2014-06-17 Futurewei Technologies, Inc. Security mode for mobile communications devices
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
US9390288B2 (en) 2013-11-01 2016-07-12 Intuit Inc. Method and system for validating a virtual asset
US9418236B2 (en) 2013-11-13 2016-08-16 Intuit Inc. Method and system for dynamically and automatically managing resource access permissions
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US10121007B2 (en) 2014-02-21 2018-11-06 Intuit Inc. Method and system for providing a robust and efficient virtual asset vulnerability management and verification service
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US9298927B2 (en) 2014-02-27 2016-03-29 Intuit Inc. Method and system for providing an efficient vulnerability management and verification service
US20150271195A1 (en) * 2014-03-18 2015-09-24 Intuit Inc. Method and system for providing temporary secure access enabled virtual assets
US9516044B2 (en) 2014-07-31 2016-12-06 Intuit Inc. Method and system for correlating self-reporting virtual asset data with external events to generate an external event identification database
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US9942196B2 (en) * 2014-05-01 2018-04-10 The Johns Hopkins University Canonical network isolator component
US9330263B2 (en) 2014-05-27 2016-05-03 Intuit Inc. Method and apparatus for automating the building of threat models for the public cloud
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
JP2017092722A (ja) * 2015-11-11 2017-05-25 直人 ▲高▼野 ファイルの送受信システム
US10284525B2 (en) 2016-07-11 2019-05-07 Honeywell Lntemational Inc. Cross-domain data-gate for secure transmission of data over publicly shared datalinks
EP3588900B1 (en) * 2018-06-29 2022-10-05 AO Kaspersky Lab System and method of analyzing the content of encrypted network traffic
US10911417B2 (en) * 2019-02-07 2021-02-02 Egress Software Technologies Ip Limited Method and system for processing data packages

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999005814A2 (en) * 1997-07-24 1999-02-04 Worldtalk Corporation E-mail firewall with stored key encryption/decryption
US20030131259A1 (en) * 2002-01-10 2003-07-10 Barton Christopher Andrew Transferring data via a secure network connection
EP1335563A2 (en) * 2002-02-06 2003-08-13 Xerox Corporation Method for securing communication over a network medium
US20030191963A1 (en) * 2002-04-04 2003-10-09 Joel Balissat Method and system for securely scanning network traffic

Family Cites Families (73)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5359659A (en) 1992-06-19 1994-10-25 Doren Rosenthal Method for securing software against corruption by computer viruses
US6294202B1 (en) * 1994-10-06 2001-09-25 Genzyme Corporation Compositions containing polyanionic polysaccharides and hydrophobic bioabsorbable polymers
US5726969A (en) * 1994-12-28 1998-03-10 Matsushita Electric Industrial Co., Ltd. Optical recording medium having dual information surfaces
JP3502200B2 (ja) * 1995-08-30 2004-03-02 株式会社日立製作所 暗号通信システム
US5987134A (en) * 1996-02-23 1999-11-16 Fuji Xerox Co., Ltd. Device and method for authenticating user's access rights to resources
GB2318486B (en) 1996-10-16 2001-03-28 Ibm Data communications system
US5898842A (en) 1996-10-31 1999-04-27 Intel Corporation Network controller adapter that prevents loss of data received or transmitted
JPH10133576A (ja) 1996-10-31 1998-05-22 Hitachi Ltd 公開鍵暗号方法および装置
WO1998043431A1 (en) 1997-03-21 1998-10-01 Canal+ Societe Anonyme Method of downloading of data to an mpeg receiver/decoder and mpeg transmission system for implementing the same
US6243815B1 (en) 1997-04-25 2001-06-05 Anand K. Antur Method and apparatus for reconfiguring and managing firewalls and security devices
US5987376A (en) 1997-07-16 1999-11-16 Microsoft Corporation System and method for the distribution and synchronization of data and state information between clients in a distributed processing system
US6279110B1 (en) 1997-11-10 2001-08-21 Certicom Corporation Masked digital signatures
US6088805A (en) 1998-02-13 2000-07-11 International Business Machines Corporation Systems, methods and computer program products for authenticating client requests with client certificate information
US6308266B1 (en) 1998-03-04 2001-10-23 Microsoft Corporation System and method for enabling different grades of cryptography strength in a product
US6128738A (en) 1998-04-22 2000-10-03 International Business Machines Corporation Certificate based security in SNA data flows
US6269099B1 (en) 1998-07-01 2001-07-31 3Com Corporation Protocol and method for peer network device discovery
JP3516595B2 (ja) * 1998-10-16 2004-04-05 日本電気株式会社 課金徴収方法とその装置及び通信システム
US6327652B1 (en) 1998-10-26 2001-12-04 Microsoft Corporation Loading and identifying a digital rights management operating system
US6233606B1 (en) 1998-12-01 2001-05-15 Microsoft Corporation Automatic cache synchronization
US6367009B1 (en) 1998-12-17 2002-04-02 International Business Machines Corporation Extending SSL to a multi-tier environment using delegation of authentication and authority
US6556541B1 (en) * 1999-01-11 2003-04-29 Hewlett-Packard Development Company, L.P. MAC address learning and propagation in load balancing switch protocols
US6484315B1 (en) 1999-02-01 2002-11-19 Cisco Technology, Inc. Method and system for dynamically distributing updates in a network
US6397303B1 (en) 1999-06-24 2002-05-28 International Business Machines Corporation Data processing system, cache, and method of cache management including an O state for memory-consistent cache lines
US6405290B1 (en) 1999-06-24 2002-06-11 International Business Machines Corporation Multiprocessor system bus protocol for O state memory-consistent data
US6832321B1 (en) 1999-11-02 2004-12-14 America Online, Inc. Public network access server having a user-configurable firewall
AU2001265035A1 (en) 2000-05-25 2001-12-03 Thomas R Markham Distributed firewall system and method
US20040034794A1 (en) 2000-05-28 2004-02-19 Yaron Mayer System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages
AU2001267198A1 (en) 2000-06-09 2001-12-17 Certicom Corp. A method for the application of implicit signature schemes
US7013482B1 (en) 2000-07-07 2006-03-14 802 Systems Llc Methods for packet filtering including packet invalidation if packet validity determination not timely made
US6760762B2 (en) 2000-07-17 2004-07-06 Tele Services Solutions, Inc Intelligent network providing network access services (INP-NAS)
TW513883B (en) * 2000-08-03 2002-12-11 Telepaq Technology Inc A secure transaction mechanism system and method integrating wireless communication and wired communication
US6941384B1 (en) 2000-08-17 2005-09-06 International Business Machines Corporation Methods, systems and computer program products for failure recovery for routed virtual internet protocol addresses
JP2002077274A (ja) 2000-08-31 2002-03-15 Toshiba Corp ホームゲートウェイ装置、アクセスサーバ装置及び通信方法
US20060212572A1 (en) 2000-10-17 2006-09-21 Yehuda Afek Protecting against malicious traffic
US7225467B2 (en) 2000-11-15 2007-05-29 Lockheed Martin Corporation Active intrusion resistant environment of layered object and compartment keys (airelock)
US7181618B2 (en) 2001-01-12 2007-02-20 Hewlett-Packard Development Company, L.P. System and method for recovering a security profile of a computer system
US6941366B2 (en) 2001-01-17 2005-09-06 International Business Machines Corporation Methods, systems and computer program products for transferring security processing between processors in a cluster computing environment
US7146432B2 (en) 2001-01-17 2006-12-05 International Business Machines Corporation Methods, systems and computer program products for providing failure recovery of network secure communications in a cluster computing environment
US6965928B1 (en) 2001-03-09 2005-11-15 Networks Associates Technology, Inc. System and method for remote maintenance of handheld computers
US7065587B2 (en) 2001-04-02 2006-06-20 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) and multilevel cache for use therewith
US7089589B2 (en) * 2001-04-10 2006-08-08 Lenovo (Singapore) Pte. Ltd. Method and apparatus for the detection, notification, and elimination of certain computer viruses on a network using a promiscuous system as bait
US7010807B1 (en) * 2001-04-13 2006-03-07 Sonicwall, Inc. System and method for network virus protection
US7272636B2 (en) 2001-04-24 2007-09-18 Sun Microsystems, Inc. Peer group name server
US20030018701A1 (en) 2001-05-04 2003-01-23 Gregory Kaestle Peer to peer collaboration for supply chain execution and management
US7536715B2 (en) * 2001-05-25 2009-05-19 Secure Computing Corporation Distributed firewall system and method
JP2002351316A (ja) * 2001-05-25 2002-12-06 Nec Corp 電子署名システム
US8200818B2 (en) 2001-07-06 2012-06-12 Check Point Software Technologies, Inc. System providing internet access management with router-based policy enforcement
US6792543B2 (en) 2001-08-01 2004-09-14 Networks Associates Technology, Inc. Virus scanning on thin client devices using programmable assembly language
US7461403B1 (en) 2001-08-03 2008-12-02 Mcafee, Inc. System and method for providing passive screening of transient messages in a distributed computing environment
TW533351B (en) * 2001-12-31 2003-05-21 Icp Electronics Inc Network monitoring device and the computer system having the same
JP4190765B2 (ja) * 2002-01-18 2008-12-03 株式会社コムスクエア セキュリティレベル情報提供方法及びシステム
US9392002B2 (en) * 2002-01-31 2016-07-12 Nokia Technologies Oy System and method of providing virus protection at a gateway
US6782294B2 (en) 2002-03-22 2004-08-24 Arecont Intellectual Property Holdings, Llc Internet based distributed control system
US6912622B2 (en) 2002-04-15 2005-06-28 Microsoft Corporation Multi-level cache architecture and cache management method for peer-to-peer name resolution protocol
US7051102B2 (en) 2002-04-29 2006-05-23 Microsoft Corporation Peer-to-peer name resolution protocol (PNRP) security infrastructure and method
US20030236755A1 (en) * 2002-06-03 2003-12-25 Richard Dagelet Enhanced point-of-sale system
US7502945B2 (en) 2002-06-28 2009-03-10 Microsoft Corporation Using a flexible rights template to obtain a signed rights label (SRL) for digital content in a rights management system
US20050076218A1 (en) 2002-07-17 2005-04-07 Collie Brown Cryptographic electronic gift certificate cross-reference to related applications
FI20021802A (fi) 2002-10-09 2004-04-10 Tycho Technologies Oy Hajautetun palomuurin hallinta
JP2004172871A (ja) 2002-11-19 2004-06-17 Fujitsu Ltd ウィルス拡散を防止する集線装置およびそのためのプログラム
AU2003299729A1 (en) 2002-12-18 2004-07-14 Senforce Technologies, Inc. Methods and apparatus for administration of policy based protection of data accessible by a mobile device
JP4517578B2 (ja) 2003-03-11 2010-08-04 株式会社日立製作所 ピアツーピア通信装置および通信方法
CN1860761B (zh) 2003-06-05 2015-09-23 英特特拉斯特技术公司 用于对等服务编排的可互操作系统和方法
CA2439582A1 (en) 2003-09-05 2005-03-05 Webtech Dezine Inc. Method, system and apparatus for internet-based sales generation
WO2005026872A2 (en) 2003-09-16 2005-03-24 Terassic-5 Infosec Ltd Internal lan perimeter security appliance composed of a pci card and complementary software
US7360249B1 (en) 2004-01-13 2008-04-15 Symantec Corporation Refining behavioral detections for early blocking of malicious code
US20050160291A1 (en) 2004-01-16 2005-07-21 Sharp Laboratories Of America, Inc. System and method for securing network-connected resources
US20050182928A1 (en) 2004-02-12 2005-08-18 Chandar Kamalanathan System and method for secure HTML links
CA2457478A1 (en) 2004-02-12 2005-08-12 Opersys Inc. System and method for warranting electronic mail using a hybrid public key encryption scheme
US20050182967A1 (en) 2004-02-13 2005-08-18 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment
US7814543B2 (en) 2004-02-13 2010-10-12 Microsoft Corporation System and method for securing a computer system connected to a network from attacks
US7603716B2 (en) 2004-02-13 2009-10-13 Microsoft Corporation Distributed network security service
US7716727B2 (en) 2004-10-29 2010-05-11 Microsoft Corporation Network security device and method for protecting a computing device in a networked environment

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1999005814A2 (en) * 1997-07-24 1999-02-04 Worldtalk Corporation E-mail firewall with stored key encryption/decryption
US20030131259A1 (en) * 2002-01-10 2003-07-10 Barton Christopher Andrew Transferring data via a secure network connection
EP1335563A2 (en) * 2002-02-06 2003-08-13 Xerox Corporation Method for securing communication over a network medium
US20030191963A1 (en) * 2002-04-04 2003-10-09 Joel Balissat Method and system for securely scanning network traffic

Also Published As

Publication number Publication date
JP4741255B2 (ja) 2011-08-03
ATE374494T1 (de) 2007-10-15
DE602005002572T2 (de) 2008-01-31
CN100484020C (zh) 2009-04-29
TW200529002A (en) 2005-09-01
US20050183138A1 (en) 2005-08-18
US7716726B2 (en) 2010-05-11
JP2005229626A (ja) 2005-08-25
DE602005002572D1 (de) 2007-11-08
EP1564963B1 (en) 2007-09-26
EP1564963A1 (en) 2005-08-17
KR20060041880A (ko) 2006-05-12
TWI402691B (zh) 2013-07-21
CN1658577A (zh) 2005-08-24

Similar Documents

Publication Publication Date Title
KR101130394B1 (ko) 보안 통신에서 네트워크 환경을 통해 전달된 컴퓨터 익스플로이트로부터 컴퓨팅 장치를 보호하기 위한 시스템 및 방법
KR101130385B1 (ko) 네트워크로 연결된 컴퓨터 시스템을 공격으로부터 보호하기 위한 시스템 및 방법
US7716727B2 (en) Network security device and method for protecting a computing device in a networked environment
KR20060041865A (ko) 네트워크 환경에서 컴퓨팅 장치를 보호하기 위한 네트워크보안 모듈 및 방법
US20230216883A1 (en) Intrusion detection using a heartbeat
US11310264B2 (en) Using reputation to avoid false malware detections
US7797752B1 (en) Method and apparatus to secure a computing environment
US20180025163A1 (en) Dynamic risk management
US8806638B1 (en) Systems and methods for protecting networks from infected computing devices
US9392015B2 (en) Advanced persistent threat detection
US6892241B2 (en) Anti-virus policy enforcement system and method
US20080077994A1 (en) Trusted enclave for a computer system
US20060282896A1 (en) Critical period protection
JP2008535053A (ja) パッチが当てられていないマシンの動的な保護
US8321538B2 (en) Autonomous network device configuration method
JP2006074760A (ja) セキュリティの脅威に起因してネットワークの通信が制限されている間に仮想ネットワーク内のネットワークデバイスが通信することを可能にすること
KR101175667B1 (ko) 방화벽을 이용한 사용자 단말의 네트워크 접속 관리 방법
JP2005157421A (ja) ネットワークセキュリティ維持方法,接続許可サーバおよび接続許可サーバ用プログラム
TWM563002U (zh) 保護區域網路中檔案之管控系統

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150217

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160218

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170220

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180219

Year of fee payment: 7

FPAY Annual fee payment

Payment date: 20200218

Year of fee payment: 9