KR101388319B1 - 보안 이벤트들을 관리하기 위한 방법 및 디바이스 - Google Patents

보안 이벤트들을 관리하기 위한 방법 및 디바이스 Download PDF

Info

Publication number
KR101388319B1
KR101388319B1 KR1020130031095A KR20130031095A KR101388319B1 KR 101388319 B1 KR101388319 B1 KR 101388319B1 KR 1020130031095 A KR1020130031095 A KR 1020130031095A KR 20130031095 A KR20130031095 A KR 20130031095A KR 101388319 B1 KR101388319 B1 KR 101388319B1
Authority
KR
South Korea
Prior art keywords
security event
data
security
computing device
mobile computing
Prior art date
Application number
KR1020130031095A
Other languages
English (en)
Other versions
KR20130033407A (ko
Inventor
스태이시 피. 퍼셀
알란 디. 로스
짐 에스. 바카
셀림 아이시
토비아스 엠. 콜렌버그
데니스 엠. 모간
Original Assignee
인텔 코오퍼레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 인텔 코오퍼레이션 filed Critical 인텔 코오퍼레이션
Publication of KR20130033407A publication Critical patent/KR20130033407A/ko
Application granted granted Critical
Publication of KR101388319B1 publication Critical patent/KR101388319B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/04Protocols specially adapted for terminals or networks with limited capabilities; specially adapted for terminal portability

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

보안 이벤트들을 관리하기 위한 방법 및 디바이스는, 모바일 컴퓨팅 디바이스에 보안 이벤트 관리자를 개설하는 것을 포함한다. 보안 이벤트 관리자는, 소프트웨어 및/또는 하드웨어 컴포넌트들로서 실시될 수 있다. 보안 이벤트 관리자는 모바일 컴퓨팅 디바이스의 복수의 보안 이벤트 소스로부터 보안 이벤트 데이터를 수신하고, 보안 이벤트가 발생하였는지의 여부를 판정하기 위해, 보안 정책에 기초하여 보안 이벤트 데이터를 상관한다. 보안 이벤트 관리자는 보안 정책에 기초하여 보안 이벤트에 응답한다.

Description

보안 이벤트들을 관리하기 위한 방법 및 디바이스{METHOD AND DEVICE FOR MANAGING SECURITY EVENTS}
본 발명은, 보안 이벤트들을 관리하기 위한 방법 및 디바이스에 관한 것이다.
SEM(Security Event Management) 및 SIM(Security Information Management) 시스템들은, 일반적으로 다수의 보안 이벤트 소스들로부터 보안 이벤트 데이터를 수집하고, 취합하고, 상관시키도록 구성된 기업 레벨 서버들이다. 표준 SEM/SIM 시스템에서, 유저의 클라이언트 컴퓨터들은 리포트들, 로그들 및 그외의 보안 관련 데이터를 SEM/SIM 서버로 주기적으로 송신하도록 구성된다. SEM/SIM 서버는, 보안 이벤트들의 리포트를 생성하기 위해, 클라이언트 컴퓨터들 및 그외의 기업 디바이스들, 및 네트워크 라우터, 방화벽 및 서비스 등의 소스들로부터 수신된 보안 데이터를 취합하고 상관시킨다. 일반적으로, SEM/SIM 서버들은 수동적이고, 보안 이벤트들에 자동으로 응답하지 않는다. 오히려, 보안 요원이 보안 이벤트들의 리포트를 리뷰하고 적절한 행동을 취할 수 있다.
역사적으로, 대다수의 컴퓨팅 디바이스들은 고정적(stationary)이었기 때문에, 기업의 보안 페리미터(perimeter)는 기업의 물리적인 페리미터(즉, 기업이 위치한 빌딩)와 상관되었다. 그러나, 컴퓨팅 디바이스들이 더욱 모바일화됨에 따라, 기업 보안 페리미터는 확장중이거나, 또는 일부의 경우들에서 완전히 소멸중이다. 이와 같이, 전통적인 SEM/SIM 서버들과 같이 중앙에 위치한 보안 시스템들은, 전체로서는 기업에 대한 보안 및 특히 다수의 모바일 컴퓨팅 디바이스들에 대한 보안을 유지하기 위해 전력을 다한다.
본 명세서에 기술된 발명은 예시를 위해 도시되며, 첨부 도면들에 대한 한정을 위해 도시되는 것은 아니다. 설명의 간략성 및 명확성을 위해, 도면들에 도시된 엘리먼트들은 반드시 스케일링을 위해 도시되는 것은 아니다. 예를 들어, 명확성을 위해 일부의 엘리먼트들의 치수들은 그외의 엘리먼트들에 대하여 과장될 수 있다. 또한, 적절하다고 간주되는 개소에는, 대응하는 또는 유사한 엘리먼트들을 표시하기 위해 도면들에서 참조 라벨들이 반복된다.
도 1은, 모바일 컴퓨팅 디바이스에서 생성된 보안 이벤트들을 관리하기 위한 모바일 컴퓨팅 디바이스의 일 실시예의 간략화된 블록도이다.
도 2는, 도 1의 모바일 컴퓨팅 디바이스의 소프트웨어 환경의 간략화된 블록도이다.
도 3은, 도 1의 모바일 컴퓨팅 디바이스에 의해 실행되는 보안 이벤트들을 관리하기 위한 방법의 일 실시예의 간략화된 흐름도이다.
도 4는, 도 3의 방법에 사용되는 보안 이벤트 데이터를 분석하기 위한 방법의 일 실시예의 간략화된 흐름도이다.
본 개시의 개념들은 다양한 변경들 및 대안의 형태들이 가능한 한편, 그 특정한 예시적인 실시예들은 도면들에서 예시를 위해 도시되었으며, 본 명세서에서 상세하게 설명한다. 그러나, 본 개시의 개념들을 개시된 특정한 형태들로 한정하도록 의도되는 것은 아니며, 반대로 첨부된 청구범위에 의해 정의된 바와 같이, 본 발명의 사상 및 범주 내에 존재하는 모든 변경들, 등가물들 및 대안들을 포함하도록 의도된다는 것을 이해해야 한다.
이하의 설명에서, 로직 구현들, 오피코드들(opcodes), 오퍼랜드들(operands)을 특정하는 수단, 리소스 분할/공유/복사 구현들, 시스템 컴포넌트들의 유형들과 상호관련성들 및 로직 분할/집적 선택들 등의 다수의 특정한 세부사항들은, 본 개시의 더 완전한 이해를 제공하기 위해 설명될 수 있다. 그러나, 당업자라면 그러한 특정한 세부사항들 없이도 본 개시의 실시예들을 실시할 수 있다는 것을 인식할 것이다. 그외의 경우들에서, 제어 구조들, 게이트 레벨 회로들 및 풀 소프트웨어 인스트럭션 시퀀스들은, 본 개시를 불명확하게 하지 않기 위해 상세하게 도시되지 않을 수 있다. 포함된 설명들을 통해, 당업자는 과도한 실험 없이 적절한 기능성을 구현할 수 있을 것이다.
본 명세서의 "일 실시예", "실시예", "예시적인 실시예" 등에 관한 참조들은, 설명된 실시예가 특정한 특징, 구조 또는 특성을 포함할 수 있지만, 매 실시예가 반드시 특정한 특징, 구조 또는 특성을 포함할 수 있는 것은 아니라는 것을 나타낸다. 또한, 그 구문들은 반드시 동일한 실시예를 참조하는 것은 아니다. 또한, 특정한 특징, 구조, 또는 특성이 실시예와 관련하여 설명되는 경우, 그것이 명확하게 설명된다면, 그외의 실시예들과 관련하여 그러한 특징, 구조 또는 특성을 유효하게 하는 것은 당업자의 인식 내에 있다.
본 개시의 일부의 실시예들은 하드웨어, 펌웨어, 마이크로코드, CPU(Central Processing Unit) 인스트럭션들, 소프트웨어, 또는 임의의 그 조합으로 구현될 수 있다. 컴퓨터 시스템에 구현된 본 개시의 실시예들은, 컴포넌트들 사이의 하나 이상의 버스 기반의(bus-based) 상호접속들 및/또는 컴포넌트들 사이의 하나 이상의 점대점(point-to-point) 상호접속들을 포함할 수 있다. 또한, 본 발명의 실시예들은, 하나 이상의 프로세서에 의해 판독되고 실행될 수 있는 머신 판독가능한(machine-readable) 유형의(tangible) 매체에 기억된 인스트럭션들로서 구현될 수 있다. 머신 판독가능한 유형의 매체는, 머신(예를 들어, 컴퓨팅 디바이스)에 의해 판독가능한 형태의 정보를 기억하거나 또는 송신하기 위한 임의의 유형의 기구를 포함할 수 있다. 예를 들어, 머신 판독가능한 유형의 매체는 ROM(read only memory); RAM(random access memory); 자기 디스크 기억 매체; 광 기억 매체; 플래시 메모리 디바이스들; 및 그외의 유형의 매체들을 포함할 수 있다.
이제, 도 1을 참조하면, 디바이스(100)에서 생성된 보안 이벤트들을 관리하도록 구성된 모바일 컴퓨팅 디바이스(100)는 SEM(security event manager)(102), 프로세서(104), 칩셋(106) 및 메모리(108)를 포함한다. 컴퓨팅 디바이스(100)는, 본 명세서에 기술된 기능들을 수행할 수 있는 임의의 유형의 휴대용 컴퓨팅 디바이스로서 실시될 수 있다. 예를 들어, 일부의 실시예들에서, 컴퓨팅 디바이스(100)는 휴대폰, 개인용 데이터 보조기(personal data assistant), 핸드헬드(handheld) 컴퓨터, 랩탑 컴퓨터, MID(mobile internet device) 또는 그외의 컴퓨터 기반의 모바일 디바이스로서 실시된다.
보안 이벤트 관리자(102)는, 본 명세서에 더욱 상세하게 논의되는 바와 같이, 모바일 컴퓨팅 디바이스(100)에서 생성된 보안 이벤트들을 수집하고, 정규화하고(normalize), 취합하고, 상관시키고 응답하기 위해 협력적으로 상호작용하는 하드웨어 컴포넌트들, 펌웨어 컴포넌트들 및 소프트웨어 컴포넌트들을 포함하는 복수의 컴포넌트로서 실시될 수 있다. 이와 같이, 보안 이벤트 관리자(102)는 전용의 하드웨어 프로세서 및/또는 디바이스(100)의 프로세서(104)와 별개의 그외의 회로를 포함할 수 있다. 또한, 보안 이벤트 관리자(102)는, 보안된 환경에서 보안 이벤트 관리자(102)를 초기화하거나 또는 그렇지 않은 경우 "부팅(boot)"하도록 구성된 펌웨어 인스트럭션들을 포함할 수 있다. 일부의 실시예들에서, 보안 이벤트 관리자(102)는, 향상된 보안을 위해, 메인 메모리(108)와 별개의 메모리(도시되지 않음)를 포함하거나 또는 그렇지 않은 경우 메인 메모리(108)와 별개의 메모리(도시되지 않음)에 통신적으로 결합될 수 있다.
프로세서(104)는 프로세서 코어(110)를 갖는 단일 코어 프로세서로서 예시적으로 실시된다. 그러나, 그외의 실시예들에서, 프로세서(104)는 다수의 프로세서 코어들(110)을 갖는 멀티 코어 프로세서로서 실시될 수 있다. 또한, 컴퓨팅 디바이스(100)는 하나 이상의 프로세서 코어(110)를 갖는 추가의 프로세서들(104)을 포함할 수 있다. 프로세서(104)는 다수의 신호 경로들(112)을 통해 칩셋(106)에 통신적으로 결합된다. 신호 경로들(112)은, 프로세서(104)와 칩셋(106) 사이의 통신을 용이하게 할 수 있는 임의의 유형의 신호 경로들로서 실시될 수 있다. 예를 들어, 신호 경로들(112)은, 임의의 개수의 와이어, 인쇄 기판 트레이스, 비아(via), 개재 디바이스(intervening device) 등 또는 그런 종류의 다른 것으로서 실시될 수 있다.
메모리(108)는, 예를 들어, DRAM(dynamic random access memory) 디바이스들, SDRAM(synchronous dynamic random access memory) 디바이스들, DDR SDRAM(double-data rate synchronous dynamic random access memory) 디바이스들 및/또는 그외의 휘발성 메모리 디바이스들을 포함하는 하나 이상의 메모리 디바이스 또는 데이터 기억 위치로서 실시될 수 있다. 또한, 도 1에는 단일 메모리 디바이스(108)만이 도시되지만, 그외의 실시예들에서, 컴퓨팅 디바이스(100)는 추가의 메모리 디바이스들(108)을 포함할 수 있다.
칩셋(106)은, MCH(memory controller hub) 또는 노스브리지(northbridge), ICH(input/output controller hub) 또는 사우스브리지(southbridge) 및 펌웨어 디바이스를 포함할 수 있다. 이러한 실시예들에서, 펌웨어 디바이스는, BIOS(Basic Input/Output System) 데이터 및/또는 인스트럭션들 및/또는 그외의 정보를 기억하기 위한 메모리 기억 디바이스로서 실시될 수 있다. 칩셋(106)은 다수의 신호 경로들(114)을 통해 메모리(108)에 통신적으로 결합된다. 신호 경로들(112)과 유사하게, 신호 경로들(114)은 칩셋(106)과 메모리 디바이스(108) 사이의 통신을 용이하게 할 수 있는 임의의 유형의 신호 경로들, 예를 들어, 임의의 개수의 버스 경로, 인쇄 기판 트레이스, 와이어, 비아, 개재 디바이스 및/또는 그외의 상호 접속 등으로서 실시될 수 있다.
그외의 실시예들에서, 칩셋(106)은 PCH(platform controller hub)로서 실시될 수 있다. 이러한 실시예들에서, MCH는 프로세서(104)에 통합되거나 또는 그렇지 않은 경우 프로세서(104)와 연관될 수 있다. 또한, 이러한 실시예들에서, 메모리(108)는, 다수의 신호 경로들(116)을 통해 칩셋(106)(즉, 플랫폼 컨트롤러 허브) 보다 프로세서(104)에 통신적으로 결합될 수 있다. 신호 경로들(112)과 유사하게, 신호 경로들(116)은, 메모리 디바이스(108)와 프로세서(104) 사이의 통신을 용이하게 할 수 있는 임의의 유형의 신호 경로들, 예를 들어, 임의의 개수의 버스 경로, 인쇄 기판 트레이스, 와이어, 비아, 개재 디바이스 및/또는 그외의 상호 접속 등으로서 실시될 수 있다.
또한, 또 다른 실시예들에서, 컴퓨팅 디바이스(100)의 2개 이상의 컴포넌트는 단일 집적 회로에 함께 통합될 수 있다. 예를 들어, 일부의 실시예들에서, 프로세서(104), MCH, ICH, 메모리(108)의 일부분들, 및/또는 디바이스(100)의 그외의 컴포넌트들은 SoC(system-on-a-chip) 집적 회로에 통합될 수 있다.
추가하여 또는 대안으로, 이러한 컴포넌트들의 서브셋은 SiP(system-in-a-package) 집적 회로 등에 함께 통합될 수 있다. 이와 같이, 컴퓨팅 디바이스(100)의 특정한 물리적인 레이아웃은 도 1의 예시적인 실시예에 한정되는 것은 아니라는 것을 인식해야 한다.
일부의 실시예들에서, 컴퓨팅 디바이스(100)는 데이터 기억 디바이스(들)(118), 하나 이상의 주변 디바이스(120) 및 통신 회로(122)를 포함할 수 있다. 이러한 실시예들에서, 칩셋(106)은, 또한, 신호 경로들(124)을 통해 데이터 기억 디바이스(들)(118), 주변 디바이스들(120), 통신 회로(122) 및 보안 이벤트 관리자(102)에 통신적으로 결합된다. 다시, 신호 경로들(112)와 유사하게, 신호 경로들(124)은, 칩셋(106)과 데이터 기억 디바이스(들)(118), 주변 디바이스들(120), 통신 회로(122) 및 보안 이벤트 관리자(102) 사이의 통신을 용이하게 할 수 있는 임의의 유형의 신호 경로들, 예를 들어, 임의의 개수의 와이어, 인쇄 기판 트레이스, 비아, 버스, 개재 디바이스 등 또는 그런 종류의 다른 것으로서 실시될 수 있다.
데이터 기억 디바이스(들)(118)은, 데이터의 단기 또는 장기 기억을 위해 구성된 임의의 개수 및 임의의 유형의 디바이스, 예를 들어, 메모리 디바이스들과 회로들, 메모리 카드들, 하드 디스크 드라이브들, 고체상태 드라이브들 또는 그외의 데이터 기억 디바이스들 등으로서 실시될 수 있다. 주변 디바이스들(120)은 입력 디바이스들, 출력 디바이스들 및 그외의 인터페이스 디바이스들을 포함하는 임의의 개수의 주변 디바이스들을 포함할 수 있다. 예를 들어, 주변 디바이스들(120)은 모바일 컴퓨팅 디바이스(100)의 디스플레이 화면 및 키보드를 포함할 수 있다. 주변 디바이스들(120)에 포함된 특정한 디바이스들은, 예를 들어, 컴퓨팅 디바이스의 의도된 사용에 의존할 수 있다.
통신 회로(122)는, 모바일 컴퓨팅 디바이스(100)와 하나 이상의 원격 디바이스 사이의 통신들을 가능하게 하기 위한 임의의 개수의 디바이스들 및 회로로서 실시될 수 있다. 예를 들어, 통신 회로(122)는, 네트워크(160)를 통해 기업 SEM(security event management) 서버(180)와의 유선 또는 무선 통신들을 용이하게 하는 하나 이상의 유선 또는 무선 네트워크 인터페이스를 포함할 수 있다. 네트워크(160)는, 로컬 영역 네트워크, 광역 네트워크, 공중 가용(publicly available) 글로벌 네트워크(예를 들어, 인터넷) 또는 그외의 네트워크 등의 임의의 유형의 유선 및/또는 무선 네트워크로서 실시될 수 있다. 또한, 네트워크(160)는, 모바일 컴퓨팅 디바이스(100)와 기업 SEM 서버(180) 사이의 통신을 용이하게 하는 임의의 개수의 추가의 디바이스들, 예를 들어, 라우터들, 스위치들, 개재 컴퓨터들 등을 포함할 수 있다.
일부의 실시예들에서, 모바일 컴퓨팅 디바이스(100)는, 또한, 신호 경로들(132)을 통해 보안 이벤트 관리자(102)에 통신적으로 결합되는 하나 이상의 센서(130)를 포함할 수 있다. 신호 경로들(112)과 유사하게, 신호 경로들(132)은, 센서들(130)과 보안 이벤트 관리자(102) 사이의 통신을 용이하게 할 수 있는 임의의 유형의 신호 경로들로서 실시될 수 있다. 센서들(130)은, 컴퓨팅 디바이스(100) 자체의 또는 모바일 컴퓨팅 디바이스(100)의 유저의 콘텍스트(context)의 하나 이상의 파라미터를 결정하도록 구성된 임의의 유형의 센서 또는 센서 네트워크로서 실시될 수 있다. 예를 들어, 센서들(130)은, 유저의 위치를 결정하기 위한 임의의 개수의 위치 센서들(예를 들어, GPS 센서들), 유저의 생체 인식(biometric) 데이터를 결정하기 위한 생체 인식 센서들, 온도 센서들, 고도 센서들, RFID(radio frequency identification) 송신기들 및/또는 수신기들, 데이터 스캐너들 또는 판독기들, 및/또는 유저(또는 컴퓨팅 디바이스(100) 자체)의 콘텍스트의 파라미터를 표시하는 데이터 감지하거나 또는 그외의 경우 그것을 모으도록 구성된 그외의 센서들 및/또는 디바이스들로서 실시될 수 있다. 또한, 컴퓨팅 디바이스(100)는 설명의 명확성을 위해 그외의 컴포넌트들, 서브 컴포넌트들 및 도 1에 도시되지 않은 디바이스들을 포함할 수 있다는 것을 인식해야 한다.
기업 SEM 서버(180)는 임의의 유형의 기업 레벨 SEM 시스템, SIM 시스템, 또는 SEIM(security event and information management) 시스템으로서 실시될 수 있다. 서버(180)는, 원격 클라이언트들 및/또는 그외의 보안 이벤트 소스들로부터 보안 데이터를 수신하고, 수신된 보안 데이터를 취합하고, 보안 요원에 의한 리뷰를 위해 보안 데이터를 상관하도록 구성된 하나 이상의 컴퓨터 서버 머신을 포함할 수 있다.
기업 SEM 서버(180)는 프로세서(182), 메모리(184) 및 통신 회로(186)를 포함한다. 프로세서(182)는 단일 또는 멀티 코어 프로세서로서 실시될 수 있다. 또한, 기업 SEM 서버(180)는 하나 이상의 프로세서 코어를 갖는 임의의 개수의 추가의 프로세서들(182)을 포함할 수 있다. 메모리(184)는, 예를 들어, DRAM 디바이스들, SDRAM 디바이스들, DDR SDRAM 디바이스들 및/또는 그외의 휘발성 메모리 디바이스들을 포함하는 하나 이상의 메모리 디바이스 또는 데이터 기억 위치로서 실시될 수 있다. 도 1에는 단일 메모리 디바이스(184)만이 도시되지만, 그외의 실시예들에서, 기업 SEM 서버(180)는 추가의 메모리 디바이스들(184)을 포함할 수 있다. 통신 회로(186)는 모바일 컴퓨팅 디바이스(100)의 통신 회로(122)와 유사할 수 있고, 네트워크(160)를 통해 기업 SEM 서버(180)와 모바일 컴퓨팅 디바이스(100) 사이의 통신들을 가능하게 하기 위한 임의의 개수의 디바이스들 및 회로로서 실시될 수 있다. 또한, 기업 SEM 서버(180)는 그외의 컴포넌트들, 서브 컴포넌트들 및 기업 보안 이벤트 관리자 서버에서 일반적으로 발견되는 디바이스들을 포함할 수 있으며, 이것들은 설명의 명확성을 위해 도 1에 도시되지 않는다는 것을 인식해야 한다.
이하, 도 2를 참조하면, 모바일 컴퓨팅 디바이스(100)는, 기업 SEM 서버(180)와 통신할 필요 없이 모바일 컴퓨팅 디바이스(100) 자체에 대한 보안 이벤트 관리의 양을 제공하기 위한 로컬 보안 이벤트 관리자(102)를 포함한다. 전술된 바와 같이, 보안 이벤트 관리자(102)는 하드웨어, 펌웨어 및/또는 소프트웨어 모듈들 및 디바이스들로서 실시될 수 있다. 보안 이벤트 관리자(102)는, 모바일 컴퓨팅 디바이스의 하나 이상의 보안 이벤트 소스(200)로부터 보안 이벤트 데이터를 수집하거나, 그렇지 않은 경우 그것을 수신하도록 구성된다.
보안 이벤트 소스들(200)은 보안 이벤트 데이터를 생성하는 임의의 펌웨어, 소프트웨어 또는 하드웨어로서 실시될 수 있다. 예를 들어, 보안 이벤트 소스들(200)은, 프로세서 펌웨어, 주변 디바이스들에 의해 실행되는 펌웨어, 또는 컴퓨팅 디바이스(100)의 하나 이상의 컴포넌트에 의해 실행되는 그외의 펨웨어 등의, 모바일 컴퓨팅 디바이스(100)의 하나 이상의 디바이스에 의해 실행되는 펌웨어(202)로서 실시될 수 있다. 또한, 보안 이벤트 소스들(200)은, 로그들, 활동 리포트들 등 또는 그런 종류의 다른 것 등의 보안 이벤트 데이터를 생성할 수 있는 하나 이상의 운영 시스템(204)을 포함할 수 있다. 보안 이벤트 소스들(200)은, 운영 시스템들(204)에서 실행되는 소프트웨어 애플리케이션들(206)을 더 포함할 수 있다. 모바일 컴퓨팅 디바이스(100)가 센서들(130)을 포함하는 실시예들에서, 보안 이벤트 소스들(200)은, 또한, 센서(들)(130)에 의해 생성된 센서 데이터(208)를 포함할 수 있다.
보안 이벤트 소스들(200)에 의해 생성된 보안 이벤트 데이터는, 보안 이벤트의 발생이 판정될 수 있는 임의의 유형의 데이터로서 실시될 수 있다. 예를 들어, 보안 이벤트 데이터는, 이벤트 로그들, 활동 리포트들 또는 로그들, 에러 리포트들/로그들, 및/또는 하나 이상의 보안 이벤트 소스(200)로부터 생성된 그외의 데이터를 포함할 수 있다. 소스들(200)로부터 보안 이벤트 데이터를 수신하는 것에 응답하여, 보안 이벤트 관리자(102)는, 이하에 더욱 상세하게 논의되는 바와 같이, 보안 이벤트가 발생하였는지의 여부를 판정하기 위해 보안 이벤트 데이터를 정규화하고, 취합하고, 상관하도록 구성된다. 보안 이벤트가 발생하였다고 판정되는 경우, 보안 이벤트 관리자(102)는, 그러한 보안 이벤트들에 능동적으로 응답하고 및/또는 모바일 컴퓨팅 디바이스(100) 상의 유저 인터페이스를 통해 유저에게 정보를 제공하도록 구성될 수 있다.
예시적인 실시예에서, 보안 이벤트 관리자(102)는 정규화 엔진(210), 취합 엔진(212) 및 상관 엔진(214)을 포함한다. 엔진들(210, 212, 214) 각각은, 별개의 펌웨어 또는 소프트웨어 모듈들로서 실시될 수 있거나 또는 보안 이벤트 관리자(102)의 단일 펌웨어 및/또는 소프트웨어 모듈에 통합될 수 있다. 상기 논의된 바와 같이, 보안 이벤트 관리자(102)는 보안 이벤트 소스들(200)로부터 보안 이벤트 데이터를 수신한다. 정규화 엔진(210)은 보안 이벤트 소스들(200)로부터 수신된 보안 이벤트 데이터를 정규화하도록 구성된다. 그렇게 하기 위해, 정규화 엔진(210)은, 보안 이벤트 데이터를 공통의 데이터 포맷 또는 그렇지 않은 경우 미리 결정된 데이터 포맷으로 재포맷한다. 정규화 엔진(210)에 의해 사용되는 특정한 데이터 포맷은, 보안 이벤트 관리자(102)의 특정한 구현 및/또는 그외의 기준들(criteria)에 기초하여 결정될 수 있다. 보안 이벤트 데이터는 공통의 포맷으로 재포맷되기 때문에, 보안 이벤트 데이터가 분석되는 효율 및 속도는 향상될 수 있다.
취합 엔진(212)은, 분석될 데이터 전체의 양을 감소시키기 위해 정규화된 보안 이벤트 데이터를 취합하도록 구성된다. 이러한 방법으로, 취합 엔진(212)은 보안 이벤트 데이터를 요약한다. 예를 들어, 보안 이벤트 데이터가 1000개의 별개의 인스턴스들의 특정한 에러를 포함하는 경우, 취합 엔진(212)은, 특정한 유형의 1000개의 에러들이 분석 시간 윈도우 내에 수신되었다는 것을 나타내는 단일 엔트리(entry)로서 그 보안 이벤트 데이터를 표현하도록 구성될 수 있다. 추가하여 또는 대안으로, 취합 엔진(212)은, 상기 예시에서, 특정한 에러의 1000개의 인스턴스들로부터 생성되거나 또는 그것들을 수신하는 것으로 정의되는 단일 에러 인스턴스로서 1000개의 에러 인스턴스들을 표현하는 것과 같이, 정량적인 임계값들에 기초하여 보안 이벤트 데이터를 표현하도록 구성될 수 있다.
상관 엔진(214)은, 보안 이벤트의 발생을 판정하기 위해 취합된 보안 이벤트 데이터를 상관하도록 구성된다. 그렇게 하기 위해, 상관 엔진(214)은, 보안 정책 데이터베이스(220)에 기억될 수 있는 미리 결정된 보안 정책에 기초하여 보안 이벤트 데이터를 상관할 수 있다. 보안 정책은, 보안 이벤트 데이터로부터 보안 이벤트들을 식별하는데 사용되는 보안 이벤트 규칙들의 세트를 정의한다. 보안 이벤트 규칙들은, 정량적인(quantitative), 시간적인(temporal), 정성적인(qualitative), 조합적인(combinational), 및/또는 그외의 기준들 등의, 보안 이벤트를 결정하는데 사용가능한 임의의 유형의 기준들에 기초하여 임의의 포맷을 가질 수 있다. 예를 들어, 하나의 보안 이벤트 규칙은, 이벤트 A 및 이벤트 B가 서로로부터 미리 결정된 시간 내에 발생하는 경우, 보안 이벤트의 발생을 나타낼 수 있다. 다른 보안 이벤트 규칙은 이벤트 C의 개수가 미리 결정된 임계값에 도달하는 경우, 보안 이벤트를 나타낼 수 있다. 또한, 다른 예시적인 보안 이벤트 규칙은, 이벤트 D가 항상 발생하는 경우, 보안 이벤트를 나타낼 수 있다. 이와 같이, 보안 정책은, 보안 이벤트의 발생을 판정할 수 있는 다양한 형식들을 갖는 임의의 개수의 보안 정책 규칙들을 포함할 수 있다.
일부의 실시예들에서, 상관 엔진(214)은, 모바일 컴퓨팅 디바이스(100)의 콘텍스트 데이터베이스(222)에 기억된 콘텍스트 데이터 및 보안 정책에 기초하여 보안 이벤트 데이터를 상관하도록 구성된다. 콘텍스트 데이터는, 모바일 컴퓨팅 디바이스(100) 및/또는 유저의 일부의 콘텍스트를 정의하거나 또는 그외의 경우 그것을 식별하는 임의의 유형의 데이터를 포함할 수 있다. 예를 들어, 콘텍스트 데이터는, 모바일 컴퓨팅 디바이스(100)의 위치, 유저에 의해 수행되고 있는 활동, 환경적인 양태들, 유저의 생체 인식 데이터, 이력 데이터(historical data) 및/또는 그외의 콘텍스트 데이터를 정의할 수 있다. 이러한 콘텍스트 데이터는 특이성의 변화하는 정도들을 가질 수 있다. 예를 들어, 일부의 실시예들에서, 모바일 컴퓨팅 디바이스(100)의 위치는 디바이스(100)가 위치한 도시, 디바이스(100)가 위치한 빌딩, 또는 디바이스(100)의 GPS(Global Positioning System) 좌표들로서 정의될 수 있다. 콘텍스트 데이터의 특정한 유형 및 특이성에 관계없이, 그러한 데이터는, 보안 이벤트의 발생 및/또는 이하에 더욱 상세하게 논의되는 이벤트에 응답하는 방법을 결정하기 위해 보안 정책과 함께 사용될 수 있다. 예를 들어, 이벤트 A 및 이벤트 B의 발생은, 모바일 컴퓨팅 디바이스(100)가 특정한 위치(예를 들어, 작업중)에 있는 경우, 보안 이벤트만을 정의할 수 있다.
또한, 모바일 컴퓨팅 디바이스(100)는, 보안된 데이터베이스 또는 그외의 메모리 기억 위치에 기억될 수 있는 고순위(high priority) 데이터(224)를 포함할 수 있다. 이 고순위 데이터는 특히 민감한 데이터로서 실시될 수 있다. 고순위 데이터에 증가된 보안성을 제공하기 위해, 보안 이벤트 관리자(102)는, 별개의 보안된 가상 컨테이너에 고순위 데이터를 기억하도록 구성될 수 있다. 예를 들어, 고순위 데이터는 보안된 메모리 위치에 기억될 수 있다. 그 가상의 컨테이너들은 모바일 컴퓨팅 디바이스(100) 사이에서 민감한 데이터의 전송을 허용한다.
일부의 실시예들에서, 보안 이벤트 관리자(102)는 모바일 컴퓨팅 디바이스(100)에 표시되는 유저 인터페이스(230)와 상호작용하도록 구성될 수 있다. 예를 들어, 보안 이벤트 관리자(102)는 경고를 표시할 수 있거나 또는 유저에 대한 보안 이벤트 데이터에 기초하여 업데이트한다. 또한, 유저 인터페이스(230)는 유저 입력을 요구하는데 사용될 수 있다. 예를 들어, 유저 인터페이스(230)는, 보안 정책 데이터베이스(220)에 기억된 보안 정책 및/또는 콘텍스트 데이터베이스(222)에 기억된 콘텍스트 데이터를 업데이트하기 위해 유저에 의해 사용될 수 있다.
상기 논의된 바와 같이, 일부의 실시예들에서, 모바일 컴퓨팅 디바이스(100)는 네트워크(160)를 통해 기업 SEM 서버(180)와 통신할 수 있다. 기업 SEM 서버(180)는, 일부의 실시예들에서 표준 기업 레벨 SEM 모듈, SIM 모듈, 및/또는 SEIM 모듈로서 실시될 수 있는 기업 보안 이벤트 관리자(250)를 포함한다. 기업 보안 이벤트 관리자(250)는, 모바일 컴퓨팅 디바이스(100) 등의 원격 컴퓨팅 디바이스들로부터 보안 이벤트 데이터를 수신하도록 구성된다. 이 보안 이벤트 데이터는 데이터베이스(252)에 기억될 수 있다. 사용시에, 기업 보안 이벤트 관리자(250)는, 보안 요원에 의한 리뷰를 위해 다양한 원격 컴퓨팅 디바이스들로부터 수신된 보안 이벤트 데이터를 취합하고 상관하도록 구성된다.
이제, 도 3을 참조하면, 모바일 컴퓨팅 디바이스(100)에 생성된 보안 이벤트들을 관리하기 위한 방법(300)은, 보안 이벤트 관리자(102)가 디바이스(100)에서 개시되는 블록(302)에서 개시된다. 일부의 경우들에서, 보안 이벤트 관리자(102)는 보안된 환경에서 개설된다. 보안 이벤트 관리자(102)는 컴퓨팅 디바이스(100)의 전력이 공급되면 자동으로 개시될 수 있다. 대안으로, 그외의 실시예들에서, 모바일 컴퓨팅 디바이스(100)의 유저는 보안 이벤트 관리자(102)를 선택적으로 개시할 수 있다. 또한, 일부의 경우들에서, 보안 이벤트 관리자(102)는, 블록(302)에서 보안 정책 데이터베이스(220)에 기억된 보안 정책 및/또는 콘텍스트 데이터베이스(222)에 기억된 콘텍스트 데이터를 검색하도록 구성될 수 있다.
블록(304)에서, 보안 이벤트 관리자(102)는, 모바일 컴퓨팅 디바이스(100)의 하나 이상의 보안 이벤트 소스(200)에 의해 생성된 보안 이벤트 데이터를 수집하거나 또는 그외의 경우 그것을 수신한다. 상기 논의된 바와 같이, 보안 이벤트 데이터는 보안 이벤트의 발생이 판정될 수 있는 임의의 유형의 데이터로서 실시될 수 있다. 예를 들어, 보안 이벤트 데이터는, 이벤트 로그들, 활동 리포트들 또는 로그들, 에러 리포트들/로그들, 및/또는 하나 이상의 보안 이벤트 소스(200)로부터 생성된 그외의 데이터를 포함할 수 있다. 또한, 일부의 실시예들에서, 보안 이벤트 관리자(102)는, 블록(306)에서 모바일 컴퓨팅 디바이스(100)의 유저의 활동을 모니터하고 기록할 수 있다. 이 활동 로그들은 기업의 RBAC(Role Based Access Control)을 확보하거나 또는 모니터하는데 사용될 수 있다. 보안 이벤트 관리자(102)에 의해 모니터되고 로그된 활동은, 디바이스(100)의 서비스들 및 애플리케이션들에 관한 사용 정보와 같이 컴퓨팅 디바이스(100)에서 수행되는 임의의 유형의 활동을 포함할 수 있다.
블록(308)에서, 보안 이벤트 관리자(102)는 컴퓨팅 디바이스(100)가 기업 환경 내에 존재하는지의 여부를 판정한다. 예를 들어, 보안 이벤트 관리자(102)는, 디바이스(100)가 기업의 물리적인 위치(예를 들어, 특정한 방, 빌딩, 또는 영역) 내에 존재하는지의 여부를 판정할 수 있다. 이렇게 하기 위해, 보안 이벤트 관리자(102)는 콘텍스트 데이터베이스(222)에 기억된 콘텍스트 데이터를 사용할 수 있다. 그 판정의 특이성은 특정한 구현에 따라 변화할 수 있다. 예를 들어, 일부의 실시예들에서, 보안 이벤트 관리자(102)는, 물리적인 위치보다, 블록(308)에서 디바이스(100)가 기업 SEM 서버(180)에 통신적으로 결합되는지의 여부를 판정하도록 구성된다.
보안 이벤트 관리자(102)가, 블록(308)에서 모바일 컴퓨팅 디바이스(100)가 기업 환경 내에 존재한다고 판정하는 경우, 블록(310)에서 보안 이벤트 관리자(102)는 보안 이벤트 데이터를 기업 SEM 서버(180)로 송신한다. 일부의 실시예들에서, 보안 이벤트 관리자(102)는 블록(310)에서 "raw" 보안 이벤트 데이터(즉, 보안 이벤트 소스들(200)로부터 수신된 보안 이벤트 데이터)를 서버(180)로 송신할 수 있다. 그러나, 그외의 실시예들에서, 보안 이벤트 관리자(102)는, 블록(310)에서, 취합되고 정규화된 보안 이벤트 데이터를 서버(180)로 송신하도록 구성될 수 있다. 또한, 블록(312)에서, 보안 이벤트 관리자(102)는 임의의 활동 로그들 또는 그외의 RBAC 데이터를 서버(180)로 송신한다. 이러한 방법으로, 다수의 원격 디바이스들로부터의 보안 이벤트 데이터 및 그외의 정보가 기업 SEM 서버(180)에 의해 분석될 수 있다. 후속하여, 방법(300)은 블록(304)으로 루프 백(loop back)하고, 보안 이벤트 관리자(102)에 의해 추가의 보안 이벤트 데이터가 수신된다.
블록(308)을 다시 참조하면, 보안 이벤트 관리자(102)가, 모바일 컴퓨팅 디바이스(100)가 기업 환경 내에 존재하지 않는다고 판정하는 경우, 보안 이벤트 관리자(102)는, 블록(314)에서 보안 이벤트 데이터를 분석할 지의 여부를 판정한다. 보안 이벤트 관리자(102)는, 주기적인 베이시스(basis)(예를 들어, 데이터가 매 시간마다 분석됨) 또는 하나 이상의 트리거(trigger) 이벤트(예를 들어, 미리 결정된 양의 보안 이벤트 데이터가 수신됨)에 기초하여, 보안 이벤트 데이터를 분석할지의 여부를 판정할 수 있다. 이 트리거 이벤트들은, 예를 들어, 보안 정책 데이터베이스(220)에 기억된 보안 정책에 의해 정의될 수 있다. 대안으로, 그외의 실시예들에서, 보안 이벤트 관리자(102)는, 보안 이벤트 소스(200)들로부터 수신된 보안 이벤트 데이터를 실질적으로 계속하여 분석할 수 있다. 이러한 실시예들에서, 블록(314)은 스킵되거나 또는 그렇지 않은 경우 방법(300)에 포함되지 않을 수 있다.
보안 이벤트 관리자가, 보안 이벤트 데이터가 리뷰된다고 판정하면, 보안 이벤트 관리자(102)는, 블록(316)에서 보안 이벤트 데이터를 분석한다. 이렇게 하기 위해, 보안 이벤트 관리자(102)는, 도 4에 도시된 바와 같이 보안 이벤트 데이터를 분석하기 위한 방법(400)을 실행할 수 있다. 방법(400)은 보안 이벤트 데이터가 정규화되는 블록(402)과 함께 개시된다. 전술된 바와 같이, 보안 이벤트 데이터는, 보안 이벤트 데이터를 공통의 데이터 포맷 또는 그렇지 않은 경우 미리 결정된 데이터 포맷으로 리포맷하도록 정규화 엔진(210)에 의해 정규화될 수 있다. 정규화 엔진(210)에 의해 사용되는 특정한 데이터 포맷은, 보안 이벤트 관리자(102) 및/또는 그외의 기준들의 특정한 구현에 기초하여 결정될 수 있다.
블록(404)에서, 보안 이벤트 관리자(102)의 취합 엔진(212)은, 분석될 데이터 전체의 양이 감소하도록, 정규화된 보안 이벤트 데이터를 취합하여 정규화된 보안 이벤트 데이터를 요약한다. 취합 엔진(212)은, 도 2와 관련하여 상기 논의된 바와 같이, 정량적인 임계값들 등에 기초한 것들 등의 임의의 적절한 방법론을 사용하여 보안 이벤트 데이터를 취합할 수 있다. 정규화 및 취합 프로세스들은 방법(300)의 블록(316)에서의 보안 이벤트 데이터의 분석으로 실시되지만, 이 정규화 및 취합 프로세스들은, 그외의 실시예들에서, 방법(300)의 그외의 프로세스들에서 수행될 수 있다는 것을 인식해야 한다. 예를 들어, 일부의 실시예들에서, 보안 이벤트 데이터는, 보안 이벤트 관리자(102)에 의한 수신시에 주기적으로 정규화되고 취합되거나, 또는 미리 결정된 트리거 이벤트에 기초하여 정규화되고 취합된다.
이제 방법(400)의 블록(406)을 참조하면, 보안 이벤트 관리자(102)의 상관 엔진(214)은, 후속하여, 취합된 보안 이벤트 데이터를 상관하여 보안 이벤트의 발생을 판정한다. 상기 논의된 바와 같이, 상관 엔진(214)은 보안 정책 데이터베이스(220)에 기억된 보안 정책에 기초하여 보안 이벤트 데이터를 상관시킬 수 있다. 또한, 일부의 실시예들에서, 상관 엔진(214)은, 블록(408)에서 모바일 컴퓨팅 디바이스(100)의 콘텍스트 데이터베이스(222)에 기억된 콘텍스트 데이터 및 보안 정책에 기초하여 보안 이벤트 데이터를 상관하도록 구성된다. 이와 같이, 보안 이벤트 관리자(102)는, 보안 이벤트 데이터를 취합하여 이에 의해 보안 이벤트가 발생하였는지의 여부를 판정하기 위해, 보안 정책의 보안 이벤트 규칙들에 따라 콘텍스트 데이터베이스(222)로부터의 콘텍스트 데이터를 검색하고 그 데이터를 사용하도록 구성될 수 있다.
일부의 실시예들에서, 보안 이벤트 관리자(102)는, 블록(410)에서 보안 이벤트 데이터에 관한 추가의 정보에 대하여 유저 및/또는 기업 SEM 서버(180)에 재촉하도록 구성될 수 있다. 그 추가의 정보는, 보안 이벤트가 발생하였는지의 여부를 판정하는데 또한 사용될 수 있다. 예를 들어, 하루의 특정한 시간에 특정한 이벤트가 시종일관 수신되면, 보안 이벤트 관리자(102)는, 그 이벤트가 보안 위협인지 또는 허가되어야 하는지의 여부를 유저가 판정하도록 재촉할 수 있다. 또한, 보안 이벤트 관리자(102)는, 유사하거나 또는 추가의 정보를 취득하기 위해 서버(180)와 통신할 수 있다.
블록(412)에서, 보안 이벤트 관리자(102)는, 블록(410)에서 수신된 추가의 정보에 기초하여 보안 정책을 업데이트하도록 구성될 수 있다. 예를 들어, 유저가, 알려지지 않은 이벤트가 보안 위협이 아니라고 판정하면, 보안 정책은, 하루의 특정한 시간에서 그 이벤트가 발생하는 경우, 그것을 무시하도록(그러나, 그 이벤트가 하루의 상이한 시간에 발생하는 경우, 그것을 보안 이벤트로서 분류함) 업데이트될 수 있다. 이러한 방법으로, 보안 정책 및 보안 이벤트 데이터의 상관은, 모바일 컴퓨팅 디바이스(100)의 보안을 향상시키도록 시간에 대하여 수정될 수 있다.
이제, 도 3의 방법(300)을 다시 참조하면, 블록(316)의 보안 이벤트 데이터를 분석한 후에, 보안 이벤트 관리자(102)는 보안 이벤트가 블록(318)에서 발생하였는지의 여부를 판정한다. 이 판정은, 상기 논의된 바와 같이, 보안 이벤트 소스들(200)로부터 수신된 보안 이벤트 데이터의 정규화, 취합 및 상관에 기초한다. 보안 이벤트가 발생하지 않았으면, 방법(300)은, 보안 이벤트 소스들로부터 추가의 보안 이벤트 데이터가 수신되는 블록(304)으로 루프 백한다. 그러나, 보안 이벤트 관리자가, 보안 이벤트가 발생하였다고 판정하면, 블록(320)에서 보안 이벤트 관리자(102)는 보안 이벤트에 응답한다. 보안 이벤트 관리자(102)는, 예를 들어, 보안 이벤트를 무시하는 것, 모바일 컴퓨팅 디바이스(100)의 접속 상태를 변경하는 것, 소프트웨어 애플리케이션에 대한 액세스를 수정하는 것, 모바일 컴퓨팅 디바이스(100)의 데이터 필터들을 수정하는 것, 고순위 데이터(224) 등의 데이터에 대한 액세스를 거부하는 것, 모바일 컴퓨팅 디바이스(100)를 리부팅하는 것, 모바일 컴퓨팅 디바이스(100)를 턴 오프하는 것, 모바일 컴퓨팅 디바이스(100)에서 실행중인 서비스 또는 소프트웨어 애플리케이션을 차단하는 것, 및/또는 임의의 하나 이상의 추가의 행동을 포함하는 보안 이벤트가 발행하였다는 판정에 응답하여, 하나 이상의 행동을 수행할 수 있다. 보안 이벤트에 응답하여 취해진 특정한 행동에 따라, 방법(300)은 후속하여 추가의 보안 이벤트 데이터가 보안 이벤트 소스들(200)로부터 수신되는 블록(304)으로 루프 백 할 수 있다.
본 개시는 도면들 및 상기 설명에 상세하게 예시되고 설명되었지만, 그 예시 및 설명은 예시적인 것으로 그 자체에 한정되는 것은 아닌 것으로 간주되며, 예시적인 실시예들만이 도시되고 설명되었고, 본 개시의 사상 내에 있는 모든 변형들 및 변경들은 보호되는 것이 바람직하다는 것이 이해될 것이다.

Claims (22)

  1. 모바일 컴퓨팅 디바이스 상에 보안 이벤트 관리자를 개설하는 단계;
    상기 모바일 컴퓨팅 디바이스 상에 보안 이벤트 데이터를 생성하는 단계 - 상기 보안 이벤트 데이터는 상기 모바일 컴퓨팅 디바이스의 적어도 하나의 보안 이벤트 소스에 의해 상기 모바일 컴퓨팅 디바이스 상에 생성됨 - ;
    상기 보안 이벤트 관리자를 사용하여 상기 보안 이벤트 데이터를 수신하는 단계;
    상기 모바일 컴퓨팅 디바이스가 기업 보안 이벤트 관리자 서버의 기업 환경의 물리적인 위치 내에 있는지 판정하는 단계;
    상기 모바일 컴퓨팅 디바이스가 상기 기업 환경 내에 있는 것으로 판정되는 것에 응답하여 상기 보안 이벤트 데이터를 상기 기업 보안 이벤트 관리자 서버에 전송하는 단계; 및
    상기 모바일 컴퓨팅 디바이스가 상기 기업 환경의 외부에 있는 것으로 판정되는 것에 응답하여 상기 모바일 컴퓨팅 디바이스 상에서 상기 보안 이벤트 관리자를 사용하여 보안 이벤트에 응답하는 단계
    를 포함하고,
    상기 보안 이벤트에 응답하는 단계는,
    (i) 상기 보안 이벤트 관리자를 사용하여 보안 정책 데이터를 검색하는 단계 - 상기 보안 정책 데이터는 보안 이벤트의 발생을 판정하기 위한 보안 이벤트 규칙들의 세트를 정의함 - ; 및
    (ii) 상기 보안 이벤트 데이터 및 상기 보안 정책 데이터에 기초하여 상기 보안 이벤트 관리자를 사용하여 보안 이벤트의 발생을 판정하는 단계;
    를 포함하는 보안 이벤트들을 관리하는 방법.
  2. 제1항에 있어서,
    상기 보안 이벤트 관리자를 개설하는 단계는, 보안된 부팅 환경에서 상기 보안 이벤트 관리자를 개설하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  3. 제1항에 있어서,
    상기 보안 이벤트 데이터를 수신하는 단계는, 상기 모바일 컴퓨팅 디바이스의 복수의 보안 이벤트 소스로부터 생성된 보안 이벤트 데이터를 수신하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  4. 제1항에 있어서,
    상기 보안 이벤트 데이터를 수신하는 단계는, 상기 모바일 컴퓨팅 디바이스의 펌웨어, 상기 모바일 컴퓨팅 디바이스의 운영 시스템 및 상기 모바일 컴퓨팅 디바이스에서 실행되는 소프트웨어 애플리케이션 중 적어도 하나로부터 생성된 보안 이벤트 데이터를 수신하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  5. 제1항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 단계는, 상기 보안 이벤트 데이터를 미리 결정된 데이터 포맷으로 재포맷함으로써 상기 보안 이벤트 데이터를 정규화하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  6. 제1항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 단계는, 정량적인 임계값들에 기초하여 상기 보안 이벤트 데이터를 취합하여 상기 보안 이벤트 데이터를 요약하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  7. 제1항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 단계는, 상기 모바일 컴퓨팅 디바이스와 연관된 콘텍스트 데이터 및 상기 보안 정책에 기초하여 보안 이벤트의 발생을 판정하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  8. 제7항에 있어서,
    상기 콘텍스트 데이터는, 상기 모바일 컴퓨팅 디바이스의 유저의 위치, 상기 유저의 활동, 상기 유저가 위치한 환경의 양태, 및 상기 유저와 관련된 생체 인증 데이터 중 적어도 하나를 표시하는 데이터를 포함하는 보안 이벤트들을 관리하는 방법.
  9. 제1항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 단계는,
    상기 보안 이벤트 데이터를 미리 결정된 데이터 포맷으로 재포맷함으로써 상기 보안 이벤트 데이터를 정규화하여, 상기 미리 결정된 데이터 포맷을 갖는 정규화된 보안 이벤트 데이터를 생성하는 단계;
    정량적인 임계값들에 기초하여 상기 정규화된 보안 이벤트 데이터를 취합하여, 상기 정규화된 보안 이벤트 데이터를 요약하는 취합된 보안 이벤트 데이터를 생성하는 단계; 및
    상기 보안 정책 데이터에 기초하여 보안 이벤트의 발생을 판정하기 위해 상기 취합된 보안 이벤트 데이터를 상관하는 단계
    를 포함하는 보안 이벤트들을 관리하는 방법.
  10. 제1항에 있어서,
    상기 보안 이벤트 관리자를 사용하여 상기 모바일 컴퓨팅 디바이스에 기억된 콘텍스트 데이터베이스로부터 콘텍스트 데이터를 검색하는 단계를 더 포함하고,
    상기 보안 이벤트의 발생을 판정하는 단계는, 상기 보안 이벤트 데이터 및 상기 콘텍스트 데이터에 기초하여 보안 이벤트의 발생을 판정하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  11. 제1항에 있어서,
    상기 보안 이벤트에 응답하는 단계는,
    상기 모바일 컴퓨팅 디바이스의 접속 상태를 변경하고, 상기 모바일 컴퓨팅 디바이스의 소프트웨어 애플리케이션에 대한 액세스를 수정하고, 상기 보안 이벤트 관리자의 이벤트 데이터 필터를 수정하고, 데이터에 대한 액세스를 거부하고, 상기 모바일 컴퓨팅 디바이스를 리부팅하고, 상기 모바일 컴퓨팅 디바이스의 전력 상태를 수정하고, 상기 모바일 컴퓨팅 디바이스에서 실행되는 서비스 또는 소프트웨어 애플리케이션을 차단하는, 상기 모바일 컴퓨팅 디바이스에 대한 동작들 중 적어도 하나를 수행하는 단계를 포함하는 보안 이벤트들을 관리하는 방법.
  12. 제1항에 있어서,
    상기 모바일 컴퓨팅 디바이스의 센서로부터 생성되는 센서 데이터를 수신하는 단계; 및
    상기 센서 데이터를 사용하여 상기 모바일 컴퓨팅 디바이스에 기억된 콘텍스트 데이터베이스를 업데이트하는 단계
    를 더 포함하는 보안 이벤트들을 관리하는 방법.
  13. 제1항에 있어서,
    유저 입력 데이터를 수신하기 위해 상기 모바일 컴퓨팅 디바이스 상의 유저 인터페이스를 표시하는 단계; 및
    상기 유저 입력 데이터에 기초하여 상기 보안 정책 데이터를 업데이트하는 단계
    를 더 포함하는 보안 이벤트들을 관리하는 방법.
  14. 제1항에 있어서,
    기업 보안 이벤트 관리자 서버와의 네트워크 통신 접속을 개설하는 단계; 및
    상기 모바일 컴퓨팅 디바이스로부터의 상기 보안 이벤트 데이터를 상기 기업 보안 이벤트 관리자 서버로 송신하는 단계를 더 포함하는 보안 이벤트들을 관리하는 방법.
  15. 모바일 컴퓨팅 디바이스로서,
    보안 이벤트 관리자;
    상기 모바일 컴퓨팅 디바이스 상에서 보안 이벤트 데이터를 생성하는 적어도 하나의 보안 이벤트 소스;
    프로세서; 및
    상기 프로세서에 의해 실행되는 경우, 상기 보안 이벤트 관리자가,
    상기 모바일 컴퓨팅 디바이스의 상기 적어도 하나의 보안 이벤트 소스로부터 생성된 상기 보안 이벤트 데이터를 수신하고,
    상기 모바일 컴퓨팅 디바이스가 기업 보안 이벤트 관리자 서버의 기업 환경의 물리적인 위치 내에 있는지 판정하고,
    상기 모바일 컴퓨팅 디바이스가 상기 기업 환경 내에 있는 것으로 판정되는 것에 응답하여 상기 보안 이벤트 데이터를 상기 기업 보안 이벤트 관리자 서버에 전송하고,
    상기 모바일 컴퓨팅 디바이스가 상기 기업 환경의 외부에 있는 것으로 판정되는 것에 응답하여 보안 이벤트에 응답하게 하는 복수의 인스트럭션을 기억하는 메모리 디바이스
    를 포함하고,
    상기 보안 이벤트에 응답하는 것은,
    (i) 상기 모바일 컴퓨팅 디바이스에 저장된 보안 정책 데이터를 검색하고 - 상기 보안 정책 데이터는 보안 이벤트의 발생을 판정하기 위한 보안 이벤트 규칙들의 세트를 정의함 - ;
    (ii) 상기 보안 이벤트 데이터 및 보안 정책에 기초하여 보안 이벤트의 발생을 판정하는 것을 포함하는, 모바일 컴퓨팅 디바이스.
  16. 제15항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 것은, 상기 보안 정책의 적어도 하나의 보안 이벤트 규칙과 미리 결정된 관계를 갖는 상기 보안 이벤트 데이터에 응답하여 보안 이벤트의 발생을 판정하는 것을 포함하는 모바일 컴퓨팅 디바이스.
  17. 제15항에 있어서,
    상기 복수의 인스트럭션은, 또한, 상기 보안 이벤트 관리자가,
    상기 보안 이벤트 데이터를 미리 결정된 데이터 포맷으로 재포맷함으로써 상기 보안 이벤트 데이터를 정규화하고,
    정량적인 임계값들에 기초하여 상기 보안 이벤트 데이터를 취합하여 상기 보안 이벤트 데이터를 요약하게 하는 모바일 컴퓨팅 디바이스.
  18. 제15항에 있어서,
    상기 복수의 인스트럭션은, 또한, 상기 보안 이벤트 관리자가,
    상기 모바일 컴퓨팅 디바이스에 기억된 콘텍스트 데이터베이스로부터 상기 모바일 컴퓨팅 디바이스의 유저와 관련된 콘텍스트 데이터를 검색하게 하고,
    상기 보안 이벤트의 발생을 판정하는 것은, 상기 보안 정책 및 상기 콘텍스트 데이터에 기초하여 보안 이벤트의 발생을 판정하는 것을 포함하는 모바일 컴퓨팅 디바이스.
  19. 제15항에 있어서,
    센서를 더 포함하고, 상기 복수의 인스트럭션은, 또한, 상기 보안 이벤트 관리자가,
    상기 센서로부터 생성된 센서 데이터를 수신하고,
    상기 센서 데이터를 사용하여 상기 모바일 컴퓨팅 디바이스에 기억된 콘텍스트 데이터베이스를 업데이트하게 하는 모바일 컴퓨팅 디바이스.
  20. 제15항에 있어서,
    상기 복수의 인스트럭션은, 또한, 상기 보안 이벤트 관리자가,
    기업 보안 이벤트 관리자 서버와의 네트워크 통신 접속을 개설하고,
    상기 모바일 컴퓨팅 디바이스로부터의 상기 보안 이벤트 데이터를 상기 기업 보안 이벤트 관리자 서버로 송신하게 하는 모바일 컴퓨팅 디바이스.
  21. 복수의 인스트럭션을 포함하는 유형의(tangible) 머신 판독가능한 매체로서,
    상기 복수의 인스트럭션은, 실행되는 것에 응답하여, 컴퓨팅 디바이스로 하여금,
    상기 컴퓨팅 디바이스 상에 보안 이벤트 관리자를 개설하고,
    상기 컴퓨팅 디바이스 상에 보안 이벤트 데이터를 생성하고 - 상기 보안 이벤트 데이터는 상기 컴퓨팅 디바이스의 적어도 하나의 보안 이벤트 소스에 의해 상기 컴퓨팅 디바이스 상에 생성됨 - ,
    상기 보안 이벤트 관리자를 사용하여 상기 보안 이벤트 데이터를 수신하고,
    상기 컴퓨팅 디바이스가 기업 보안 이벤트 관리자 서버의 기업 환경의 물리적인 위치 내에 있는지 판정하고,
    상기 컴퓨팅 디바이스가 상기 기업 환경 내에 있는 것으로 판정되는 것에 응답하여 상기 보안 이벤트 데이터를 상기 기업 보안 이벤트 관리자 서버에 전송하고,
    상기 컴퓨팅 디바이스가 상기 기업 환경의 외부에 있는 것으로 판정되는 것에 응답하여 상기 컴퓨팅 디바이스 상에서 상기 보안 이벤트 관리자를 사용하여 보안 이벤트에 응답하게 하며, 상기 보안 이벤트에 응답하는 것은,
    (i) 상기 보안 이벤트 관리자를 사용하여 보안 정책 데이터를 검색하고 - 상기 보안 정책 데이터는 보안 이벤트의 발생을 판정하기 위한 보안 이벤트 규칙들의 세트를 정의함 - ,
    (ii) 상기 보안 이벤트 관리자를 사용하여, 상기 보안 이벤트 데이터를 미리 결정된 데이터 포맷으로 재포맷함으로써 상기 보안 이벤트 데이터를 정규화하여 상기 미리 결정된 데이터 포맷을 갖는 정규화된 보안 이벤트 데이터를 생성하고,
    (iii) 상기 보안 이벤트 관리자를 사용하여, 정량적인 임계값들에 기초하여 상기 정규화된 보안 이벤트 데이터를 취합하여 상기 정규화된 보안 이벤트 데이터를 요약하는 취합된 보안 이벤트 데이터를 생성하고,
    (iv) 상기 보안 이벤트 관리자를 사용하여, 상기 취합된 보안 이벤트 데이터 및 상기 보안 정책 데이터에 기초하여 보안 이벤트의 발생을 판정하는 것을 포함하는, 유형의 머신 판독가능한 매체.
  22. 제21항에 있어서,
    상기 보안 이벤트의 발생을 판정하는 것은, 상기 취합된 보안 이벤트 데이터가 상기 미리 결정된 보안 정책에 의해 정의된 적어도 하나의 보안 이벤트 규칙과 미리 결정된 관계를 갖는지의 여부를 판정하는 것을 포함하는, 유형의 머신 판독가능한 매체.
KR1020130031095A 2009-12-26 2013-03-22 보안 이벤트들을 관리하기 위한 방법 및 디바이스 KR101388319B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US12/647,447 2009-12-26
US12/647,447 US8806620B2 (en) 2009-12-26 2009-12-26 Method and device for managing security events

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR1020100135036A Division KR20110074820A (ko) 2009-12-26 2010-12-24 보안 이벤트들을 관리하기 위한 방법 및 디바이스

Publications (2)

Publication Number Publication Date
KR20130033407A KR20130033407A (ko) 2013-04-03
KR101388319B1 true KR101388319B1 (ko) 2014-04-22

Family

ID=43797666

Family Applications (2)

Application Number Title Priority Date Filing Date
KR1020100135036A KR20110074820A (ko) 2009-12-26 2010-12-24 보안 이벤트들을 관리하기 위한 방법 및 디바이스
KR1020130031095A KR101388319B1 (ko) 2009-12-26 2013-03-22 보안 이벤트들을 관리하기 위한 방법 및 디바이스

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR1020100135036A KR20110074820A (ko) 2009-12-26 2010-12-24 보안 이벤트들을 관리하기 위한 방법 및 디바이스

Country Status (5)

Country Link
US (1) US8806620B2 (ko)
EP (1) EP2348448A1 (ko)
JP (1) JP5350356B2 (ko)
KR (2) KR20110074820A (ko)
CN (1) CN102110211B (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11238459B2 (en) 2020-01-07 2022-02-01 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event
US11443320B2 (en) 2020-01-07 2022-09-13 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event using a dashboard

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US8935743B2 (en) * 2011-01-27 2015-01-13 Sap Se Web service security cockpit
US8756301B2 (en) * 2011-05-26 2014-06-17 Monolith Technology Services, Inc. Systems and methods for organic knowledge base runbook automation
US20130074143A1 (en) * 2011-09-15 2013-03-21 Mcafee, Inc. System and method for real-time customized threat protection
JP2014534668A (ja) * 2011-09-30 2014-12-18 インテル・コーポレーション パターンマッチングを用いるメディアコンテンツ格付け管理
US20140337971A1 (en) * 2012-02-22 2014-11-13 Marco Casassa Mont Computer infrastructure security management
US9202047B2 (en) 2012-05-14 2015-12-01 Qualcomm Incorporated System, apparatus, and method for adaptive observation of mobile device behavior
US9208325B2 (en) * 2012-07-26 2015-12-08 International Business Machines Corporation Protecting data on a mobile device
US9747440B2 (en) 2012-08-15 2017-08-29 Qualcomm Incorporated On-line behavioral analysis engine in mobile device with multiple analyzer model providers
US9319897B2 (en) 2012-08-15 2016-04-19 Qualcomm Incorporated Secure behavior analysis over trusted execution environment
US10089582B2 (en) 2013-01-02 2018-10-02 Qualcomm Incorporated Using normalized confidence values for classifying mobile device behaviors
US9742559B2 (en) 2013-01-22 2017-08-22 Qualcomm Incorporated Inter-module authentication for securing application execution integrity within a computing device
JP6305442B2 (ja) * 2013-02-15 2018-04-04 クアルコム,インコーポレイテッド 複数のアナライザモデルプロバイダを用いたモバイルデバイスにおけるオンライン挙動分析エンジン
US9516041B2 (en) * 2013-07-25 2016-12-06 Bank Of America Corporation Cyber security analytics architecture
CN105594267B (zh) * 2013-10-31 2019-09-24 英特尔公司 用于室内位置道路查找的虚拟面包屑
CN105659245A (zh) * 2013-11-06 2016-06-08 迈克菲公司 上下文感知的网络取证
CN103605597B (zh) * 2013-11-20 2017-01-18 中国科学院数据与通信保护研究教育中心 一种可配置的计算机保护系统及保护方法
KR102208696B1 (ko) * 2014-05-13 2021-01-28 삼성전자주식회사 센서 데이터 획득 방법 및 그 장치
US9426159B2 (en) * 2014-09-26 2016-08-23 Intel Corporation Securing sensor data
US10103872B2 (en) 2014-09-26 2018-10-16 Intel Corporation Securing audio communications
US9600670B2 (en) * 2014-12-23 2017-03-21 Intel Corporation Provisioning location-based security policy
US10230742B2 (en) * 2015-01-30 2019-03-12 Anomali Incorporated Space and time efficient threat detection
US20160343237A1 (en) 2015-05-22 2016-11-24 Google Inc. Systems and methods of integrating sensor output of a mobile device with a security system
CN108141348A (zh) * 2015-08-21 2018-06-08 阿瓦亚公司 安全策略管理器
KR102098064B1 (ko) * 2015-11-16 2020-04-07 주식회사 마크애니 로그 분석을 기반으로 하는 보안 모니터링 방법, 장치 및 시스템
WO2017100534A1 (en) * 2015-12-11 2017-06-15 Servicenow, Inc. Computer network threat assessment
US10003606B2 (en) * 2016-03-30 2018-06-19 Symantec Corporation Systems and methods for detecting security threats
US10003598B2 (en) 2016-04-15 2018-06-19 Bank Of America Corporation Model framework and system for cyber security services
US9948652B2 (en) 2016-05-16 2018-04-17 Bank Of America Corporation System for resource-centric threat modeling and identifying controls for securing technology resources
US9832201B1 (en) 2016-05-16 2017-11-28 Bank Of America Corporation System for generation and reuse of resource-centric threat modeling templates and identifying controls for securing technology resources
US10339309B1 (en) 2017-06-09 2019-07-02 Bank Of America Corporation System for identifying anomalies in an information system
CN108108480A (zh) * 2018-01-04 2018-06-01 华北电力科学研究院有限责任公司 电力行业信息安全教育设备的动态更新的方法以及系统
WO2019136282A1 (en) * 2018-01-04 2019-07-11 Opaq Networks, Inc. Control maturity assessment in security operations environments
US10936435B2 (en) * 2018-07-13 2021-03-02 EMC IP Holding Company LLC Automatically setting a dynamic backup policy in a cloud environment
US11336684B2 (en) * 2019-06-07 2022-05-17 Lookout, Inc. Mobile device security using a secure execution context
US11283693B2 (en) * 2019-08-12 2022-03-22 Microsoft Technology Licensing, Llc Summarized event data responsive to a query
CN111125711B (zh) * 2019-12-03 2021-05-07 支付宝(杭州)信息技术有限公司 安全任务处理方法、装置、电子设备及存储介质
US11477244B2 (en) 2020-05-21 2022-10-18 Saudi Arabian Oil Company Method and system for data loss prevention management
US11755738B2 (en) * 2021-06-23 2023-09-12 Dell Products, L.P. Platform framework security state management

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Family Cites Families (26)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6947726B2 (en) * 2001-08-03 2005-09-20 The Boeing Company Network security architecture for a mobile network platform
AU2002348415B2 (en) * 2001-10-25 2007-05-24 General Dynamics C4 Systems, Inc A method and system for modeling, analysis and display of network security events
US7171689B2 (en) * 2002-02-25 2007-01-30 Symantec Corporation System and method for tracking and filtering alerts in an enterprise and generating alert indications for analysis
EP1540446A2 (en) * 2002-08-27 2005-06-15 TD Security, Inc., dba Trust Digital, LLC Enterprise-wide security system for computer devices
US20040054896A1 (en) * 2002-09-12 2004-03-18 International Business Machines Corporation Event driven security objects
US20040260947A1 (en) * 2002-10-21 2004-12-23 Brady Gerard Anthony Methods and systems for analyzing security events
US7974416B2 (en) * 2002-11-27 2011-07-05 Intel Corporation Providing a secure execution mode in a pre-boot environment
US7376969B1 (en) * 2002-12-02 2008-05-20 Arcsight, Inc. Real time monitoring and analysis of events from multiple network security devices
US7607169B1 (en) * 2002-12-02 2009-10-20 Arcsight, Inc. User interface for network security console
US7814021B2 (en) 2003-01-23 2010-10-12 Verdasys, Inc. Managed distribution of digital assets
US10110632B2 (en) * 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
ATE441994T1 (de) * 2003-04-03 2009-09-15 Nokia Corp Verwaltung von kontext-bezogener information mit einer mobilstation
US7472422B1 (en) * 2003-09-10 2008-12-30 Symantec Corporation Security management system including feedback and control
US7207039B2 (en) * 2003-12-24 2007-04-17 Intel Corporation Secure booting and provisioning
JP2005202664A (ja) * 2004-01-15 2005-07-28 Mitsubishi Electric Corp 不正アクセス統合対応システム
US20050183143A1 (en) * 2004-02-13 2005-08-18 Anderholm Eric J. Methods and systems for monitoring user, application or device activity
WO2006093917A2 (en) * 2005-02-28 2006-09-08 Trust Digital Mobile data security system and methods
GB2424141B (en) 2005-03-08 2009-04-22 Praesidium Technologies Ltd Communication system with distributed risk management
US8286254B2 (en) * 2005-11-16 2012-10-09 Cisco Technology, Inc. Behavioral learning for interactive user security
JP4905657B2 (ja) * 2006-05-24 2012-03-28 オムロン株式会社 セキュリティ監視装置、セキュリティ監視システム、セキュリティ監視方法
US7934253B2 (en) * 2006-07-20 2011-04-26 Trustwave Holdings, Inc. System and method of securing web applications across an enterprise
US8331904B2 (en) 2006-10-20 2012-12-11 Nokia Corporation Apparatus and a security node for use in determining security attacks
US20080307525A1 (en) * 2007-06-05 2008-12-11 Computer Associates Think, Inc. System and method for evaluating security events in the context of an organizational structure
JP2009053824A (ja) * 2007-08-24 2009-03-12 Mitsubishi Electric Corp 情報処理装置及びメッセージ認証方法及びプログラム
US20090222876A1 (en) * 2008-02-28 2009-09-03 Maor Goldberg Positive multi-subsystems security monitoring (pms-sm)
US8359629B2 (en) * 2009-09-25 2013-01-22 Intel Corporation Method and device for controlling use of context information of a user

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100351306B1 (ko) * 2001-01-19 2002-09-05 주식회사 정보보호기술 다양한 침입탐지모델을 사용하는 침입탐지시스템 및 그 방법

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11238459B2 (en) 2020-01-07 2022-02-01 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event
US11443320B2 (en) 2020-01-07 2022-09-13 Bank Of America Corporation Intelligent systems for identifying transactions associated with an institution impacted by an event using a dashboard

Also Published As

Publication number Publication date
KR20130033407A (ko) 2013-04-03
US8806620B2 (en) 2014-08-12
JP2011138505A (ja) 2011-07-14
CN102110211A (zh) 2011-06-29
US20110161848A1 (en) 2011-06-30
EP2348448A1 (en) 2011-07-27
KR20110074820A (ko) 2011-07-04
CN102110211B (zh) 2015-11-25
JP5350356B2 (ja) 2013-11-27

Similar Documents

Publication Publication Date Title
KR101388319B1 (ko) 보안 이벤트들을 관리하기 위한 방법 및 디바이스
KR102377817B1 (ko) 모바일 디바이스 거동들에 대한 집성된 다중-애플리케이션 거동 분석을 위한 방법들 및 시스템들
EP3485415B1 (en) Devices and methods for classifying an execution session
US10372473B2 (en) Sensor virtualization through cloud storage and retrieval mechanisms
JP6345271B2 (ja) モバイルデバイスにおいて挙動分析動作を実行することによってアプリケーション状態を推論するための方法およびシステム
CN104956715B (zh) 对移动设备上的行为特征的自适应观察
US8621653B2 (en) Secure location collection and analysis service
JP2018514848A (ja) クラウド対クライアント挙動の差異を通じてマルウェアを特定するための方法およびシステム
CN105531712A (zh) 移动设备上的基于数据流的行为分析
CN104303156A (zh) 监测移动多处理器平台中的行为特征
US11727142B2 (en) Identifying sensitive data risks in cloud-based enterprise deployments based on graph analytics
US10073726B2 (en) Detection of outage in cloud based service using usage data based error signals
US20160078350A1 (en) Contextual platform feature recommendations
US8296262B1 (en) Systems and methods for real-time online monitoring of computing devices
US11243597B2 (en) Microprocessor power logging at a sub-process level
US20170372334A1 (en) Agent-based monitoring of an application management system
CN110046030B (zh) 应用程序处理方法和装置、电子设备、计算机可读存储介质
KR101553923B1 (ko) 시스템 사용량 분석 장치 및 방법
CN115225344B (zh) 网络信息安全处理方法、装置、计算机设备及存储介质
CN101969601A (zh) 无线网络内置poi自助式gps实时报位方法和装置
US20230267199A1 (en) Adaptable framework for spike detection under dynamic constraints
CN117407420A (zh) 数据构建方法、装置、计算机设备及存储介质

Legal Events

Date Code Title Description
A107 Divisional application of patent
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20170330

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20180328

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20190328

Year of fee payment: 6