KR102009684B1 - 네트워크 분석 및 보고를 위한 시스템 및 방법 - Google Patents

네트워크 분석 및 보고를 위한 시스템 및 방법 Download PDF

Info

Publication number
KR102009684B1
KR102009684B1 KR1020177009320A KR20177009320A KR102009684B1 KR 102009684 B1 KR102009684 B1 KR 102009684B1 KR 1020177009320 A KR1020177009320 A KR 1020177009320A KR 20177009320 A KR20177009320 A KR 20177009320A KR 102009684 B1 KR102009684 B1 KR 102009684B1
Authority
KR
South Korea
Prior art keywords
network
asset
data
assets
flow information
Prior art date
Application number
KR1020177009320A
Other languages
English (en)
Other versions
KR20170054449A (ko
Inventor
말컴 리에케
Original Assignee
캣버드 네트워크, 아이앤씨.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 캣버드 네트워크, 아이앤씨. filed Critical 캣버드 네트워크, 아이앤씨.
Publication of KR20170054449A publication Critical patent/KR20170054449A/ko
Application granted granted Critical
Publication of KR102009684B1 publication Critical patent/KR102009684B1/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/22Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0481Interaction techniques based on graphical user interfaces [GUI] based on specific properties of the displayed interaction object or a metaphor-based environment, e.g. interaction with desktop elements like windows or icons, or assisted by a cursor's changing behaviour or appearance
    • G06F3/0482Interaction with lists of selectable items, e.g. menus
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/01Input arrangements or combined input and output arrangements for interaction between user and computer
    • G06F3/048Interaction techniques based on graphical user interfaces [GUI]
    • G06F3/0484Interaction techniques based on graphical user interfaces [GUI] for the control of specific functions or operations, e.g. selecting or manipulating an object, an image or a displayed text element, setting a parameter value or selecting a range
    • G06F3/04842Selection of displayed objects or displayed text elements
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/02Capturing of monitoring data
    • H04L43/028Capturing of monitoring data by filtering
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/04Processing captured monitoring data, e.g. for logfile generation
    • H04L43/045Processing captured monitoring data, e.g. for logfile generation for graphical visualisation of monitoring data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/06Generation of reports
    • H04L43/062Generation of reports related to network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1433Vulnerability analysis
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

본 발명의 실시예는 다수의 소스로부터 애셋 및 네트워크 데이터를 수집하고 분석할 수 있고, 다양한 시스템 사이의 네트워크 연결 및 소프트웨어 애플리케이션 및 종래의 시스템에 비교하여 네트워크 상의 보안 제어의 동작을 서술하는 정책의 더 완전하고 정확한 표현을 제시하기 위해 그와 같은 데이터를 사용할 수 있다.

Description

네트워크 분석 및 보고를 위한 시스템 및 방법{SYSTEMS AND METHODS FOR NETWORK ANALYSIS AND REPORTING}
본 출원은 2014년 9월 5일에 출원된 "SYSTEMS AND METHODS FOR NETWORK FLOW ANALYSIS AND REPORTING"란 명칭의 미국 가 특허출원번호 제62/046,807호와, 2014년 10월 6일에 출원된 "SYSTEMS AND METHODS FOR NETWORK ANALYSIS AND REPORTING"란 명칭의 미국 가 특허출원번호 제62/060,433호와, 2014년 10월 24일에 출원된 "SYSTEMS AND METHODS FOR NETWORK ANALYSIS AND REPORTING"란 명칭의 미국 특허출원번호 제14/523,624호에 대한 우선권을 주장한다. 또한, 본 출원은 2013년 6월 14일에 출원된 "SYSTEMS AND METHODS FOR DYNAMIC NETWORK SECURITY CONTROL AND CONFIGURATION"이란 명칭의 미국 비가(nonprovisional) 특허출원번호 제13/918,633호에 관한 것으로 그 내용은 전체가 인용에의해 포함된다.
본 발명에 설명된 예시적인 실시예는 네트워크 보안 제어를 위한 시스템 및 방법에 관한 것이다.
정보 보안 아키텍트(Information security architect) 및 보안 운영자뿐 아니라, 거버넌스, 리스크 및 규정 준수(governance, risk and compliance: GRC) 직원은 모두 보안 기술 제어(security technical control)가 가동중이고 기업 컴퓨팅 환경(corporate computing environment) 내에 애셋(asset) 또는 애셋의 그룹을 위해 기능함을 검증하는 것에 관한 다양한 도전과제(challenge)에 직면해 있다. 더욱이, 네트워크 모니터링 및 제어를 위한 종래의 시스템은 전형적으로 제한되어 있거나 컴퓨팅, 보안 제어 및/또는 관리를 위한 시스템의 다양한 컴포넌트로부터 보안 및 규정 준수-관련 데이터를 맥락과 관련짓는 능력을 가지지 않는다. 그와 같은 도전과제는 분산 컴퓨팅(distributed computing), 가상화 컴퓨팅 시스템(virtualized computing system) 또는 "클라우드 컴퓨팅(cloud computing)" 시스템에서 특히 어려움이 있고, 여기서 시스템의 컴포넌트 및 환경은 빈번하고 급격하게 변화할 수 있다.
추가로, 네트워크 모니터링 및 제어를 위한 종래의 시스템은 전형적으로 단일 소스(single source)로부터의 데이터만을, 또는 (네트워크 흐름 데이터와 같은) 단지 일 타입의 데이터만을 사용함으로써, 중요한 문맥-지원 데이터(context-supporting data)의 잠재적 소스를 배제하고 네트워킹 시스템(networked system) 사이의 정보 흐름의 일 차원의, 네트워크-프로토콜-중심도(network-protocol-centric view)를 제공한다.
본 실시예는 그와 같은 도전과제를 해결하는데 도움을 준다.
다른 무엇보다도, 본 발명의 실시예는 종래의 시스템과 비교하여, 다수의 소스로부터 애셋 및 네트워크 데이터를 수집할 수 있고 분석할 수 있고, 다양한 시스템 및 소프트웨어 애플리케이션 사이의 네트워크 연결 및 네트워크 상의 보안 제어 동작을 서술하는 정책의 더 완전하고 정확한 표현을 제시하기 위해 그와 같은 데이터를 사용할 수 있다.
본 발명의 일 실시예에 따른 컴퓨터-구현 방법(computer-implemented method)은 컴퓨터 시스템에 의해, 복수의 서로 다른 타입의 소스로부터 데이터를 수집하는 단계를 포함하고, 수집된 데이터(collected data)는 네트워크 데이터 및 애셋 데이터를 포함하고; 수집된 데이터에서의 네트워크 데이터에 기초한 컴퓨터 시스템에 의해, 네트워크 트래픽 이벤트(network traffic event) 및 네트워크 트래픽 이벤트에 관련되는 복수의 네트워크 애셋(network asset)을 식별하는 단계; 수집된 데이터에서의 네트워크 데이터에 기초한 컴퓨터 시스템에 의해, 복수의 네트워크 애셋 사이의 연결을 식별하는 단계; 컴퓨터 시스템에 의해, 복수의 네트워크 애셋 및 복수의 네트워크 애셋 사이의 연결을 그리는 흐름 정보 그래프(flow information graph)를 발생시키는 단계를 포함하고, 흐름 정보 그래프는 네트워크 애셋 사이에서 허용되는 네트워크 트래픽 및 네트워크 애셋 사이에서 차단되는 네트워크 트래픽을 그리고; 및 컴퓨터 시스템과 통신하여 사용자 인터페이스의 디스플레이(display)를 통해 흐름 정보 그래프를 제시하는 단계를 포함한다.
본 발명은 방법 및 이러한 방법을 수행하는 데이터 프로세싱 시스템을 포함하는, 이 방법을 수행하는 장치, 및 시스템으로 하여금 이 방법을 수행하게 하는 데이터 프로세싱 시스템(data processing system) 상에 실행될 때 명령(instruction)을 포함하는 컴퓨터 판독가능 매체(computer readable media)를 포함한다.
다른 특징들은 후술할 상세한 설명과 첨부 도면으로부터 명백해질 것이다.
다음의 예시적인 도면과 관련하여 고려될 때 상세한 설명 및 청구범위를 참조함으로써 특정 실시예의 더 완전한 이해가 이루어질 수 있다.
도 1은 본 발명의 다양한 실시예와 함께 사용될 수 있는 예시적인 컴퓨팅 환경(computing environment)을 도시한다.
도 2는 본 발명의 다양한 실시예에 따른 예시적인 보안 제어 및 관리 컴포넌트를 도시한다.
도 3은 본 발명의 다양한 실시예에 따른 다양한 실시예에 따른 다양한 논리 구역의 논리적 표현을 도시한다.
도 4는 본 발명의 다양한 양상에 따른 예시적인 방법의 흐름도이다.
도 5-7은 본 발명의 다양한 양상에 따른 규정 준수 레벨의 계산 및 디스플레이를 도시한다.
도 8은 본 발명의 다양한 양상에 따른 예시적인 시스템의 블록도이다.
도 9는 본 발명의 다양한 양상에 따른 예시적인 방법의 흐름도이다.
도 10은 본 발명의 다양한 양상에 따른 예시적인 흐름 정보 그래프이다.
도 11은 본 발명의 다양한 양상에 따른 예시적인 데이터 테이블이다.
도 12-24는 본 발명의 다양한 양상에 따른 흐름 정보 그래프 및 데이터 테이블과의 상호작용의 예를 도시하는 스크린샷이다.
시스템, 방법 및 컴퓨터 프로그램 물건이 제공된다. 본 발명의 상세한 설명에서, "다양한 실시예(various embodiment)", "일 실시예(one embodiment)", "실시예(a embodiment)", "예시적인 실시예(exemplary embodiment)" 등에 대한 참조는 설명된 실시예가 특정한 특징(feature), 구조(structure) 또는 특성(characteristic)을 포함할 수 있지만, 모든 실시예가 반드시 특정한 특징, 구조 또는 특성을 포함하는 것은 아닐 수 있다. 더욱이, 그와 같은 어구는 반드시 동일한 실시예를 참조하지는 않는다. 또한, 특정한 특징, 구조 또는 특성이 실시예와 관련하여 설명될 때, 명시적으로 설명되거나 그렇지 않은 다른 실시예와 관련하여 그와 같은 특징, 구조 또는 특성을 달성하는데 있어서 당업자의 지식 내에 있도록 제시된다. 설명을 숙독한 후에, 당업자는 대안적인 실시예에서 발명을 구현하는 방법을 명백하게 알 것이다.
다양한 실시예에서, 본 발명에 설명된 방법은 본 발명에 설명되는 다양한 특정 머신을 사용하여 구현된다. 본 발명에 설명된 방법은 당업자에 의해 즉시 인식되는 바와 같이, 아래의 특정 머신 및 임의의 적합한 조합으로 개발되는 이하의 머신을 사용하여 구현될 수 있다. 또한, 본 발명으로부터 명확한 바와 같이, 본 발명에 설명된 방법은 특정 물품(article)의 다양한 변형을 발생시킬 수 있다.
간략화를 위해, 종래의 데이터 네트워킹, 애플리케이션 개발 및 시스템의 다른 기능적 양상(및 시스템의 개개의 동작 컴포넌트의 컴포넌트)은 본 발명에서 상세하게 설명되지 않을 수 있다. 또한, 본 발명에 포함되는 다양한 도면에 도시된 연결 라인(connecting line)은 예를 들어, IPFIX 데이터 피드(data feed), 데이터 채널, (침입 검출 시스템(intrusion detection system)에서와 같은) 직접 네트워크 검사(direct network inspection), 로그 피드(log feed), 로그 조사(log inspection) 및/또는 애플리케이션 프로그래밍 인터페이스(application programming interface)를 활용하는 것과 같은 프로그램적 상호작용(programmatic interaction)과 같은 이벤트 스트림을 포함하는 다양한 엘리먼트 사이의 예시적인 기능적 관계 및/또는 물리적 커플링(physical coupling)을 나타내도록 의도된다. 많은 대안적인 또는 추가적인 기능적 관계 또는 물리적 연결이 실제 시스템(practical system)에 존재할 수 있음이 주목되어야 한다.
본 발명은 이하의 목록에 정의되는 다음의 용어를 참조할 수 있다. 이 목록에서의 정의는 단지 예시적인 것이다. 용어의 서로 다른 정의뿐 아니라 서로 다른 용어에 기초한 변경, 수정 및 변화는 본 발명의 범위 내에 포함되는 것으로 의도된다.
애셋 - 데이터 센터(data center), 가상화 컴퓨터(virtualized computer) 또는 가상 머신(virtual machine)에서의 데이터를 프로세싱하는 가상화 컴퓨팅 시스템에 기초한 이산 하드웨어(discrete hardware). 애셋은 멤버십 정책에 표현된 바와 같은 자동화 방법을 통해 또는 사용자 동작을 통해 수동으로 TrustZone의 멤버(member)가 될 수 있다.
애셋 속성(asset attribute) - 애셋의 재산은 임의의 운영 시스템 구성 설정(operating system configuration setting), 애셋 상에 배치되는 데이터 프로세싱 애플리케이션, 애플리케이션 구성 설정, 네트워크 인터페이스, 메모리, 디스크, 네트워킹 컴포넌트 상호연결, 고유 식별자, 명칭, 또는 임의의 이산 데이터 컴포넌트 또는 애셋과 관련된 라벨, 애셋 구성, 또는 물리적 또는 가상화 데이터 센터 시스템 내의 애셋의 포지션(position)을 포함하지만 이에 제한되는 것은 아니다.
보안 기술 제어 - 방화벽(firewalling), 침입 검출 및 방지(intrusion detection and prevention), 취약성 스캐닝(vulnerability scanning), 취약성 관리 및 완화(vulnerability management and mitigation), 안티-맬웨어(anti-malware), 호스트 기반 침입 검출 및 방지(host based intrusion detection and prevention), 파일 무결성 모니터링(file integrity monitoring), 인증-허가-감사(authentication-authorization-auditing), 모션에서의 암호화(encryption in motion), 휴지 상태에서의 암호화(encryption at rest), 암호화 키 및 토큰 관리(encryption key and token management), 사용자 자격 관리(user entitlement management), 네트워크 액세스 제어(network access control), 패스워드 길이 사양(password length specification), 다양한 보안 레벨의 일 또는 다른 문맥에서의 시스템 또는 엘리먼트의 동작을 서술하는 구성 설정을 포함하는(그러나 이에 제한되지 않음) 엘리먼트의 보안 기능을 수행하거나 보안 태세 또는 상태(security posture or state)를 변경하는 엘리먼트의 디바이스, 기술, 소프트웨어 프로그램 또는 구성 또는 속성.
정책(policy) - 정책은 규칙(rule), 규칙의 세트(set of rule) 및/또는 시스템 또는 시스템 컴포넌트/엘리먼트의 동작 또는 행동을 가이드하기 위해 사용되는 데이터의 세트이다. 구체적으로 데이터의 몸체는 그 제어의 행동 및 기능을 서술하는 보안 기술 제어와 관련된다.
논리 구역(logical zone) - 정책의 세트와 관련되는 공통 속성을 가지거나 가지지 못할 수 있는 애셋의 임의의 그룹핑(arbitraty grouping).
하이퍼바이저(hypervisor) - 가상 머신을 생성하고 실행하는 컴퓨터 소프트웨어, 펌웨어 또는 하드웨어의 피스(piece).
가상 스위치(virtual switch) - 하이퍼바이저 상의 가상 머신의 네트워크 상호연결을 제공하는 소프트웨어의 피스.
방화벽 - 트래픽 컴포넌트(traffic component)(패킷(packet))를 분석하고 규칙의 세트에 기초하여 트래픽을 통과시키거나 차단하기 위한 결정을 행함으로써 통과하는 네트워크 트래픽을 제어하는 소프트웨어 또는 하드웨어 기반 보안 기술 제어.
침입 방지 시스템(intrusion prevention system: IPS) - 서명 또는 행동 모델링(signature or behavior modeling)에 기초하여 바람직하지 않은 네트워크 트래픽을 검출하고 교란시킬 목적을 위해 네트워크 연결을 조사하는 소프트웨어 또는 하드웨어 기반 보안 기술 제어.
취약성 스캐너(vulnerability scanner) - 네트워크를 통해 애셋에 연결하거나 프로세스로서 애셋을 실행하고 알려진 취약성 서명, 취약성 표시자(vulnerability indicator), 애셋의 관찰 행동(observed behavior of the asset), 애셋 상에 실행하는 프로그램, 및/또는 애셋의 동작 속성(operational attribute of the asset)에 기초하여 애셋을 평가하는 프로세스를 통해 네트워크 상의 애셋의 취약성 상태를 평가하는 소프트웨어 또는 하드웨어 기반 보안 기술 제어.
규정 준수 프레임워크(compliance framework) - 확립된 규정(established regulation), 사양 또는 제정(legislation)에 따라 정의할 목적을 위해 공개되는 가이드라인(guidline), 프로세스 및 절차의 구조화 세트(structured set).
Catbird TrustZone - 제어 구성 정책, 멤버십 정책 및 컴퓨팅 환경에서의 변화에 응답하여 동적 제어 재구성(dynamic control reconfiguration)을 구현하는 방법의 콜렉션(collection)을 포함하는 정책의 콜렉션을 구성하는 논리 구역 구성(logical zoning construct).
GRC - 거버넌스 리스크 및 규정 준수(governance risk and compliance), 회사 거버넌스(corporate governance), 기업 리스크 관리(enterprise risk management: ERM) 및 적용가능한 법 및 규정을 가지는 회사 규정 준수를 각각 처리하는 조직(organization) 내에 3개의 관련 기능의 일반화 그룹핑(generalize grouping).
본 발명의 실시예는 모든 애셋 속성 변화(즉, TrustZone 내에 또는 밖의 애셋), 컴퓨팅 환경 변화, 네트워크 컴포넌트 변화, 보안 제어 이벤트, 관리 컴포넌트 이벤트, 애셋 이벤트 및/또는 네트워크 이벤트를 모니터할 수 있다. 본 발명에서 "환경 이벤트(environment event)"로서 집합적으로 지칭될 수 있는 그와 같은 이벤트는 임의의 제어 구성 정책이 각각의 TrustZone에서의 임의의 애셋을 위해 여전히 제어가 효과적임을 보증하기 위해 동적으로 수정될 수 있도록 모든 제어 구성 정책의 문맥 내에서 모니터링될 수 있다.
TrustZone 멤버 및 멤버십 정책의 문맥 내에서의 환경 이벤트는 보안 제어 정책의 서로 다른 세트가 하나의 TrustZone으로부터 다른 곳으로 애셋을 이동시킴으로써 또는 그 애셋이 무슨 멤버인지의 TrustZone을 위한 정책 또는 정책들을 변경함으로써 TrustZone에서의 임의의 애셋에 동적으로 할당되거나 변경될 수 있도록 모니터링될 수 있다. 그와 같은 변화는 특히 TrustZone 멤버십 변경의 경우에, 다수의 애셋 상의 동일한 이동 동작을 동시에 수행함으로써 다수의 애셋에 적용될 수 있다.
이제 도 1을 참조하면, 본 발명의 실시예와 함께 동작할 수 있는 예시적인 컴퓨팅 환경(100)이 도시된다. 환경(100)의 컴포넌트는 하드웨어 및 소프트웨어 컴포넌트의 임의의 원하는 조합을 사용하여 구현될 수 있고, 예를 들어, 도 8에 도시되는 호스트 컴퓨팅 시스템(810)에 의해 호스팅될 수 있다. 대안적으로, 또는 추가로, 시스템(800)(또는 그 임의의 부분)은 환경(100)에 포함될 수 있다. 도 1에 도시된 예에서, 환경(100)은 4개의 서로 다른 타입의 컴포넌트: 컴퓨팅 엘리먼트(computing element: CE), 네트워킹 엘리먼트(networking element: NE), 관리 엘리먼트(management element: ME) 및 보안 엘리먼트(security element: SE)를 포함한다. 본 발명의 실시예는 임의의 수의 그와 같은 컴포넌트뿐 아니라 다른 컴포넌트와 상호작용할 수 있다. 각각의 개개 컴포넌트는 프로세서, 메모리, 스위치, 라우터(router), 로드 밸런서(load balancer), 운영 시스템(operating system), 소프트웨어 애플리케이션(software application), 및/또는 구성 엘리먼트(파일, 프로세스, 정책, 프로그램)와 같은 임의의 원하는 물리적 또는 가상화 하드웨어 컴퓨팅 자원을 포함하는 컴퓨터 또는 가상 머신을 나타낼 수 있다. 도 1에 도시된 임의의 엘리먼트 또는 파생물은 물리적 및 가상 컴포넌트의 임의의 원하는 조합을 사용하여 구현될 수 있다. 가상화 엘리먼트는 VMware ESXi, Microsoft Hyper-V, 및/또는 OpenStack을 사용하여 물리적 하드웨어에 묶일 수 있다.
컴퓨팅 엘리먼트는 데이터의 프로세싱 및 다양한 특권 레벨의 사용자 집단(user population)에 애플리케이션의 형태로 컴퓨터 서비스를 제공하는데 전용되는 애플리케이션 플랫폼으로서의 기능에 의해 특성화된다. 컴퓨팅 엘리먼트의 일 예는 애플리케이션을 실행하는 물리적 또는 가상화 Microsoft Windows 서버 또는 Linux 서버를 포함할 수 있다.
네트워크 엘리먼트는 네트워킹 기술 및 프로토콜을 가지는 컴퓨팅 환경 내의 다양한 엘리먼트의 부분적으로 또는 전체적으로 상호연결성을 제공하고 컴퓨팅 환경 엘리먼트 사이의 데이터의 이송(transportation)을 제공하는 기능에 의해 특성화된다. 네트워크 엘리먼트의 예는 라우터, 스위치, 가상화 스위치, 네트워크, VLAN, 및/또는 가상 확장가능 LAN(VXLANS)을 포함하는 소프트웨어 정의 네트워킹 컴포넌트를 포함할 수 있다.
관리 엘리먼트는 컴퓨팅 환경, 데이터의 프로세싱의 관리 및 동작에 전용되는 애플리케이션을 호스팅하고, 특권 관리상의 사용자의 사용자 집단에 대한 관리 및 동작의 형태로 관리 및 동작 서비스를 제공하는 것으로서의 기능에 의해 특성화된다. 관리 엘리먼트는 컴퓨팅 엘리먼트, 네트워크 엘리먼트 또는 다른 관리 엘리먼트를 포함하는 다른 엘리먼트를 관리할 수 있다. 관리 엘리먼트의 일 예는 컴퓨팅 환경에서 하이퍼바이저를 관리하는 VMware vSphere Server 소프트웨어를 실행하는 Microsoft Windows 서버를 포함할 수 있다.
보안 엘리먼트는 네트워크, 호스트, 가상 머신, 애셋, 프로그램 또는 프로세스 레벨에서 다양한 기술 보안 제어의 구현을 제공하는 기능에 의해 특성화된다. 보안 엘리먼트는 임의의 원하는 수의 네트워크 엘리먼트, 관리 엘리먼트, 컴퓨팅 엘리먼트, 프로그램, 프로세스 및 물리적 및/또는 가상화 포맷으로 구현되는 방법을 포함하는 계층적 배치 아키텍처(hierarchical deployment architecture)를 가질 수 있다. 보안 엘리먼트의 예는 방화벽 기기(firewall appliance) 및 관리 엘리먼트 또는 소프트웨어, 안티-바이러스 소프트웨어(anti-virus software) 및 그 관리 및 업데이트 메커니즘(management and update mechanism), 취약성 스캐너 및/또는 액세스 또는 사용자 자격을 위해 활용되는 중앙화 공개 키 인프라구조(centralized public key infrastructure)를 포함할 수 있다.
도 2는 본 발명의 일 실시예에 따른 보안 제어 관리 시스템(Security Control Management System: SCMS)(200)의 컴포넌트 및 프로그램적 입력 및 출력을 도시한다. 본 실시예는 SCMS(200)의 다양한 기능을 구현하기 위해 다양한 하드웨어 및 소프트웨어 컴포넌트, 소프트웨어 알고리즘, 데이터 구조 및 데이터베이스를 포함할 수 있다. 대안적인 SCM은 더 이상의, 더 적은 또는 서로 다른 컴포넌트 및 기능을 가질 수 있다.
도 2에 도시된 예시적인 실시예에서, SCMS(200)는 하나 또는 그 이상의 표준화 및/또는 등록 상표의 인터페이스(proprietary interface) 또는 애플리케이션 프로그래밍 인터페이스(Application Programming Interface: API)를 통해 구현되는 프로그램적 메시징 메커니즘(programmatic messaging mechanism)을 통해 컴퓨팅 환경과 상호작용한다. 인터페이스는 메시지, 이벤트, 디렉티브(directive) 및 커맨드(command)의 프라이버시(privacy) 및 무결성을 보장하기 위해 보안 소켓 층(Secure Socket Layer: SSL) 암호화뿐 아니라 임의의 다른 원하는 암호화 기술을 활용할 수 있다. 본 발명의 실시예에 의해 활용되는 암호화 기술은 송신 및 수신 엘리먼트를 위한 상호적 인증(mutual authentication)을 포함할 수 있다. 프로그램적 메시징 메커니즘은 API, 커맨드 라인 인터페이스 집적, 데이터베이스 질문, 디스플레이 데이터(즉, 스크린 스크레이핑(screen scraping))의 프로그램적 콜렉션(collection), 인터 프로세스 통신 방법(inter process communication method), 파일 시스템 액세스 및 기타를 통해서와 같은 본 발명의 예시적인 실시예에 의해 임의의 적합한 방식으로 구현될 수 있다.
프로그램적 메시징 메커니즘을 통해, SCMS(200)는 컴퓨팅 환경에 관한 정보를 발견한다. 그와 같은 정보는 개개의 엘리먼트, 엘리먼트의 조합 또는 모든 엘리먼트에 관한 정보를 포함할 수 있다. 발견 정보는 시스템에 의해 고정되는 엘리먼트를 식별하기 위해 및/또는 보안 기술 제어를 구현하기 위한 엘리먼트 속성을 경험적으로 결정하기 위해서와 같이, 임의의 원하는 목적을 위해 SCMS(200)에 의해 사용될 수 있다. 발견된 정보는 또한 정부 또는 산업 규정, 보안 태세, 보안 제어 기능, 보안 제어 효율, 보안 제어 커버리지(security control coverage) 및/또는 보안 제어 동작에 순응하여 평가하기 위해 사용될 수 있다.
프로그램적 메시징 메커니즘은 엘리먼트에 의해 지원되는 경우에 엘리먼트와 SCMS(200) 사이의 교환, 엘리먼트 관련 메시지, 로그, 텔리메트리(telemetry), 구성 설정, SCMS(200)를 포함하거나 포함하지 않는 프로그램 또는 프로세스에 의해 발생되는 데이터, 엘리먼트 속성, 현재 상태 및 엘리먼트의 구성을 반영하는 데이터, 및 보안 기술 제어, 정책 또는 벤치마크(benchmark)와 관련되거나, 엘리먼트 자체 또는 컴퓨팅 환경에서의 엘리먼트 또는 다른 엘리먼트로부터 이용가능한 것에 관한 임의의 다른 데이터를 포함할 수 있고, 그 전부는 집합적으로 본 발명에서 "이벤트"로 지칭될 수 있다.
프로그램적 메시징 메커니즘은 또한 구성 설정, 정책, 구성 파일 관점에서 엘리먼트를, 프로그램 및 프로세스를 포함하는 엘리먼트 컴포넌트의 시작 및 중단을 재구성하고, 및/또는 엘리먼트의 동작 상태를 변경할 목적을 위해 엘리먼트에 직접 커맨드를 발행하거나 동일한 메커니즘을 통해 수행되는 재구성을 개시하기 위한 커맨드 및/또는 구성 인터페이스를 포함할 수 있고, 그 전부는 집합적으로 본 발명에서 "디렉티브"로서 지칭될 수 있다.
도 2에 도시된 예시적인 실시예에서, 다양한 컴포넌트는 다양한 기능을 수행하기 위해 하드웨어 및/또는 소프트웨어 컴포넌트의 임의의 원하는 조합을 포함할 수 있다. 예를 들어, 이벤트 프로세싱 및 관리 컴포넌트는 아카이빙(archiving)을 위한 그리고 다른 컴포넌트에 의한 추가의 프로세싱을 위한 이벤트를 표준화하거나 변환할 수 있다. 표준화 및 변환은 이벤트와 정보 애셋을 관련시키기 위해 애셋 관련 식별자의 추가, 아카이빙 목적을 위한 공간 감소를 위한 이벤트로부터의 데이터의 제거, 다른 엘리먼트로부터 발신하는 이벤트로부터 발생되는 시스템으로부터의 이벤트 또는 알고리즘 출력을 통해 발신하는 엘리먼트에 관하여 시스템에 의해 결정되는 속성의 추가를 통한 애셋 속성 치환 또는 추가를 포함할 수 있다. 이벤트 프로세싱은 이벤트로부터, 정책의 생성, 유지 및 실행, 애셋 식별, 보안 기술 제어의 구성에 관한 데이터 및 정보, 및 엘리먼트 및 벤치마크 또는 베이스라인이 일치하는 것에 관한 엘리먼트의 상태에 관한 데이터를 추출하는 단계 및 벤치마크 또는 베이스라인에 따르는 레벨에 영향을 미치는 단계를 포함할 수 있다.
논리 구역 생성 및 구성은 TrustZone 생성 및 구성에 관련한 태스크를 수행한다. 이 컴포넌트는 논리 구역(TrustZone)에 대한 정보의 맵핑을 처리하고 보안 기술 제어 정책의 연합을 정보 애셋에 제공한다.
정책 및 벤치마크 논리 및 발견적 컴포넌트는 논리 구역의 문맥에 관한 보안 기술 제어의 정책 및 구성, 및 엘리먼트 이벤트 스트림의 문맥내에서의 정보 애셋의 분석을 수행한다. 이 컴포넌트는 여전히 가동중인 제어를 유효화하기 위해 이벤트에 포함되는 데이터를 측정하고 정책, 기술 제어, 애셋 속성, 이벤트에 의해 검증되는 SCMS와의 요청된 상호작용, 및/또는 도 1에 도시된 바와 같은 다양한 타입의 엘리먼트의 속성의 다양한 조합의 사양을 통해 운영자의 재량으로 고안된 바와 같은 PCI DSS 2.0, HIPAA, COBIT 4.1, DIACAP, 및/또는 FISMA와 같은 다양한 규정 준수 프레임워크뿐 아니라 임의의 프레임워크에 대한 제어 유효화를 맵핑한다. 이러한 논리는 보안 기술 제어 구성에서의 변경 및 애셋 속성을 평가하고 보안 기술 제어의 정책 및 애플리케이션 및 벤치마크에 대한 규정 준수를 유지하기 위한 애셋 속성 변경에 기초하여 보안 기술 제어 정책 재구성을 수행한다. 이러한 논리는 다양한 정책 설정을 평가하고 애셋 속성 변경 및 애셋 TrustZone 멤버십 변경에 응답하여 적절한 동작을 취한다.
제어 관리 및 디렉티브 컴포넌트는 디렉티브의 구성을 수행하고, 이벤트의 발생, 어느 한 쪽 방향으로의 구성 및 프로세스 데이터의 전달, 보안 기술 제어의 시작 및 중단, 업데이트된 정책으로의 보안 기술 제어의 재구성, 임의의 타입의 엘리먼트의 재구성, 프로그램 또는 프로세스의 시작 및 중단, 구성 또는 구성에 영향을 미치는 속성의 변경, 및 이벤트 또는 디렉티브를 통해 공급되는 구성 데이터에 의해 적격인 임의의 정보 애셋에 제어가 적용되는 것의 유효화를 포함하는 엘리먼트로부터의 적절한 동작에 영향을 미치기 위해 컴퓨팅 환경 엘리먼트에 대한 디렉티브의 전달을 개시한다.
이벤트 데이터베이스는 보안 제어 소프트웨어 자체를 포함하는 임의의 그리고 모든 엘리먼트로부터 이벤트의 스토리지, 검색 및 관리를 위해 사용되는 데이터베이스이다. 이 데이터베이스는 다른 컴포넌트에 구현되는 다양한 논리 블록 및 발견법(heuristics)의 목적을 위해 애셋 속성 데이터, 보안 제어 구성 데이터, 정책 데이터 및 이벤트 데이터를 위한 이벤트를 저장하고 후속적으로 질문하기 위해 사용된다.
애셋/속성 데이터베이스는 애셋 및 애셋 속성 데이터의 스토리지, 검색 및 관리를 위해 사용된다. 이 데이터베이스는 다른 컴포넌트에 구현되는 다양한 논리 블록 및 발견법의 목적을 위해 애셋 및 애셋 속성 데이터를 저장하고 후속적으로 질문하기 위해 사용된다.
TrustZone 데이터베이스는 논리 구역(TrustZone)의 스토리지, 검색 및 관리를 위해 사용되는 데이터베이스 컴포넌트이다. 이 컴포넌트는 다른 컴포넌트에 구현되는 다양한 논리 블록 및 발견법의 목적을 위해 TrustZone, TrustZone 내의 정보 애셋, TrustZone과 관련되는 보안 기술 제어 정책을 저장하고 후속적으로 질문, 업데이트, 수정하기 위해 사용된다.
정책 데이터베이스는 본 발명 및 환경의 보안 기술 제어, 애셋, 소프트웨어 구현 실시예를 위한 정책의 스토리지, 검색, 질문 및 관리를 위해 사용되는 데이터베이스 컴포넌트이다.
도 3은 또한 본 발명에서 TrustZone으로서 지칭되는 논리 구역의 논리 표현을 도시한다. 관련된 데이터 구조를 가지는 이러한 구성 구조물(configuration construct)은 보안 기술 제어의 기능 및 행동을 서술하는 정책의 적용을 통해 애셋 및 애셋의 그룹을 묶는다(bind). Trust Zone은 임의의 수의 애셋 및 보안 기술 제어 정책을 가질 수 있다. 서로 다른 보안 기술 제어는 다른 정책으로부터/정책과의 계층적 또는 논리적 상속을 허용하는 정책 구조물을 가질 수 있고 따라서 제어-N 정책의 도시는 보안 기술 제어 N을 위한 단위로서 저장되는, 언제든 보안 기술 제어의 특정 동작을 특정하는 모든 보안 기술 제어 구성 정책, 파일, 데이터, 구성 설정을 나타낸다.
제어 정책의 수는 지원된 보안 기술 제어의 수에 좌우될 수 있는 한편, 새로운 제어는 그와 같은 제어가 개발되고 이용가능하게 되는 바와 같은 본 발명의 실시예로 집적될 수 있고, 다수의 보안 기술 제어로부터 제어 기능 데이터 및 이벤트의 조합으로부터 발생할 수 있다. 따라서, 제어 정책의 수는 이용가능하고 구성되는 컴퓨팅 환경 및 기술 보안 제어를 위한 보안 요건에 기초하여 변화할 수 있다.
TrustZone 멤버십 정책은 SCMS에 의해 수집된 바와 같은 임의의 엘리먼트로부터 발신하는 애셋 속성 및 이벤트에 기초하여 애셋이 어떻게 하나 또는 그 이상의 TrustZone에 자동으로 배치되는지를 서술할 수 있다. 각 애셋은 하나의 TrustZone으로부터 다른 TrustZone으로 이동시키거나 애셋을 다른 TrustZone에 추가함으로써 TrustZone 멤버십 변경에 영향을 미치도록 모든 TrustZone 멤버십 정책의 문맥 내에서, 애셋 속성이 변경함을 표시하는 이벤트가 보안 제어 소프트웨어에 의해 수신됨에 따라 평가될 수 있다.
본 발명에 도시되는 방법의 엘리먼트의 임의의 조합 및/또는 서브셋은 임의의 적합한 순서로 그리고 임의의 적합한 시스템, 디바이스 및/또는 프로세스와 함께 실시될 수 있다. 본 발명에 설명되고 도시된 방법은 도 8에 도시되는 호스트 시스템(810)을 포함하는, 하나 또는 그 이상의 컴퓨터 시스템 상에 동작하는 보안 제어 소프트웨어를 통해서와 같이, 임의의 적합한 방식으로 구현될 수 있다. 보안 제어 소프트웨어는 호스트 컴퓨터 시스템(810)의 메모리(814)와 같은 탠저블 컴퓨터-판독가능 매체에 저장되는 컴퓨터-판독가능 명령을 포함할 수 있고 다양한 실시예의 방법을 수행하기 위해 호스트 컴퓨터 시스템(810)의 프로세서(812)와 같은 하나 또는 그 이상의 프로세서에 의해 실행될 수 있다.
도 4는 본 발명의 다양한 실시예에 따른 예시적인 프로세스를 도시한다. 도 4에서, 방법(400)은 하나 또는 그 이상의 논리 구역과 관련되는 하나 또는 그 이상의 애셋을 식별하는 단계(405), 하나 또는 그 이상의 컴포넌트와 연결을 확립하는 단계(410), 하나 또는 그 이상의 보안 정책을 하나 또는 그 이상의 논리 구역과 관련시키는 단계(415), 하나 또는 그 이상의 애셋에 대한 하나 또는 그 이상의 속성에서의 변경을 검출하는 단계(420), 보안 취약성 및 정정을 검출하는 단계(425), 하나 또는 그 이상의 애셋을 위한 구역 멤버십을 변경하는 단계(430), 하나 또는 그 이상의 방화벽 구성 설정을 수정하는 단계(435), 하나 또는 그 이상의 규정 준수 정책을 하나 또는 그 이상의 논리 구역과 관련시키는 단계(440), 방화벽 구성 설정에 대한 수정을 분석하는 단계(445), 하나 또는 그 이상의 규정 준수 레벨을 결정하는 단계(450), 및 하나 또는 그 이상의 규정 준수 레벨을 디스플레이하는 단계(455)를 포함한다. 방법(400)의 단계는 도 8에 도시되는 예시적인 호스트 컴퓨팅 시스템(810)과 같은 컴퓨터 시스템 상에 동작하는 소프트웨어에 의해 전체적으로 또는 부분적으로, 그리고 임의의 원하는 순서로 구현될 수 있다.
본 발명의 실시예는 도 2에 도시되는 논리 구역(1 및 2)에서의 애셋과 같은 임의의 수의 서로 다른 논리 구역과 관련되는 임의의 수의 서로 다른 애셋(405)을 식별할 수 있다. 상기 논의된 바와 같이, 그와 같은 애셋은 물리적 및 가상 컴포넌트의 임의의 조합을 포함할 수 있다.
연결은 임의의 수의 서로 다른 소프트웨어 및 하드웨어 컴포넌트로 확립될 수 있다(410). 본 발명의 실시예는 SCMS를 환경 내의 보안 기술 제어로 묶게 하는 다양한 프로그램적 메시징 메커니즘과 함께 동작할 수 있다. 논리 구역 또는 TrustZone은 도시되지 않은 논리 컴포넌트, SCMS에 속박되는 보안 기술 제어에 관련하는 하나 또는 그 이상의 논리 구역 상에 배치되는 정책과의 상호작용을 통해서와 같이 임의의 적합한 방식으로 생성될 수 있다.
컴퓨팅 환경 이벤트는 보안 기술 제어 및/또는 보안 기술 제어의 상태에 의해 보호되는 애셋을 포함하는, 환경에 관한 다양한 정보를 제공하는 프로그램적 메시징 메커니즘을 통해 수신될 수 있다. 관리 컴포넌트와 같은 보안 제어 소프트웨어 및 다양한 컴포넌트 사이의 연결은 정보를 송신하고 수신하도록, 다양한 애셋의 속성에서의 변경을 검출하고, 하나 또는 그 이상의 애셋 또는 논리 구역을 보호하는 방화벽과 같은 다양한 시스템을 제어하고 구성하도록 이루어질 수 있다.
일 실시예에서, 본 발명의 특징을 구현하는 보안 제어 소프트웨어는 소프트웨어와 VMware vSphere 서버와 같은 가상화 인프라구조의 관리 엘리먼트 또는 애셋 관리 컴포넌트 사이의, 그리고 소프트웨어와 VMware vCNS 앱 방화벽과 같은 동일한 가상화 인프라구조 상에 구현되는 가상화 방화벽을 위한 관리 엘리먼트 사이의 상술한 바와 같은 프로그램적 메시징 메커니즘을 통한 연결을 확립한다. 애셋의 속성에서의 변경은 관리 엘리먼트 및 보안 제어 소프트웨어와의 통신을 통해 검출될 수 있다.
애셋 및 애셋의 속성에서의 변경은 관리 엘리먼트 또는 다른 하드웨어 또는 소프트웨어 컴포넌트를 주기적으로 질문함으로써 검출될 수 있다. 예를 들어, 본 발명에서 가상 인프라구조 모니터(Virtual Infrastructure Monitor: VIM)로서 지칭되는 보안 기술 제어는 모든 가상화 컴퓨팅 엘리먼트(즉, 가상 머신) 및 모든 가상 스위치(virtual switch)를 식별하고 열거하기 위해 vSphere 서버에 대한 연결을 사용할 수 있다. vSphere를 가지는 API 인터페이스를 통해, 본 발명의 특징을 구현하는 보안 제어 소프트웨어는 구성된 가상 머신 및 가상 스위치를 주기적으로 질문하고 재열거할 수 있어서, 후속적인 질문의 결과를 이전의 질문과 비교함으로써 가상 머신 및 가상 스위치와 같은 새로운 애셋의 생성 또는 기존의 애셋의 속성에 대한 변경을 결정한다. 애셋 관리 컴포넌트에 의해 제어되는 복수의 서로 다른 애셋에 대한 속성은 애셋 관리 컴포넌트를 질문함으로써뿐 아니라, 보안 제어 소프트웨어에 대한 애셋 관리 컴포넌트에 의해 발신되는 통신을 통해 모니터링될 수 있다.
VIM은 또한 가상 머신을 위한 가상 인프라구조 보편적 고유 식별자(Universally Unique Identifier: UUID), 가상 네트워크 인터페이스 카드, 가상 머신 인터페이스 카드 인터넷 프로토콜(Internet Protocol: IP) 어드레스, 가상 스위치 또는 스위치들 내의 가상 머신 인터페이스 카드의 현재 포지션, 및 본 발명에서 집합적으로 "가상 머신의 속성(attribute of the virtual machine)"으로서 지칭될 수 있는 더 많은 구성 설정과 같은 다양한 가상 머신 구성 및 설정을 질문할 수 있다. VIM에 의해 발생되는 이벤트의 프로세싱을 통해, SCMS는 애셋/속성 데이터베이스에 속성을 포함하는 애셋 데이터를 저장하면서, SCMS 내의 정보 애셋으로서 각 가상 머신을 "시작(incept)"한다.
본 예시적인 실시예에서, 애셋 및 애셋 속성을 열거하기 위해 API 인터페이스를 제공하는 관리 엘리먼트의 이용가능성은 컴퓨팅 환경이 두드러지게 가상화 인프라구조를 포함할 때 이 프로세스를 프로그램적으로 간략화시킨다. 대안적인 실시예는 관리 엘리먼트의 다양성 또는 조합, (네트워크 스캐너와 같은) 다른 기술적 보안 제어를 가지고, 물리적 컴퓨팅 엘리먼트 자체를 가지는 프로그램적 메시징 메커니즘의 확립을 통해 물리적 컴퓨팅 엘리먼트에 대해 동일하거나 유사한 데이터를 수집 및/또는 생성할 수 있다. 따라서, 본 발명의 실시예는 물리적 그리고 가상 컴포넌트의 임의의 조합으로 동작할 수 있다.
시스템은 동일한 가상화 인프라구조 상에 구현되는 가상화 방화벽(즉, 방화벽 관리 컴포넌트)을 위한 관리 엘리먼트로 다른 연결을 예시할 수 있다. 이러한 연결은 스스로의 기술 보안 제어를 반드시 포함하지 않아도 되며, 오히려 방화벽(기술적 보안 제어)에 대한 프로그램적 인터페이스를 포함한다. 방화벽의 기능은 보안 제어 소프트웨어와 방화벽 관리 컴포넌트 사이의 통신을 통해 관리될 수 있다. 예시적인 실시예에서, 프로그램적 인터페이스 또는 API는 SCMS로 하여금 방화벽 관리 엘리먼트 사이에서 발행된 디렉티브 및 수집 이벤트의 조합을 통해, 방화벽, 방화벽 동작 및 구성 설정과 액세스 제어 목록(access control list: ACL)에 표현되는 방화벽 정책을 완전하게 제어하게 할 수 있다. 이러한 연결 및 API는 SCMS에 관한 조직화된 보안 기술 제어를 구성한다.
다양한 보안 정책은 임의의 적합한 방식으로 서로 다른 애셋 및/또는 논리 구역(415)과 관련될 수 있다. 예를 들어, SCMS의 운영자뿐 아니라, 소프트웨어 제어 소프트웨어 자체는 다양한 논리 구역 및 규칙의 시퀀스로서 표현된, 그와 같은 구역을 위한 보안 정책을 생성할 수 있고 구성할 수 있다. 일 예시적 실시예에서, 규칙은 형태를 가질 수 있다:
Source_TrustZoneADestination_TrustZoneB 프로토콜 포트 [allow, deny]
본 예에서, 각 규칙은 구역 액세스 제어 규칙(Zone Access Control rule)이고, 모든 구성된 구역 액세스 제어 규칙의 세트는 본 발명에서 구역 액세스 제어 목록 또는 ZACL로서 지칭될 수 있다. 상기 예에서, 소스 TrustZone은 TrustZoneA로 명칭되고 목적지 TrustZone은 TrustZoneB로 명칭된다. 이러한 추상화를 제공함으로써, 본 발명의 실시예는 전형적으로 소스 및 목적지 IP 어드레스로 구성되는 액세스 제어 목록으로서 네트워크 보안의 기술자(practitioner)로서 알려지는 것의 관리를 간략화하는데 도움이 된다. 본 발명의 실시예에 의해 활용되는 ZACL에서, IP 어드레스와 같은 복잡하고 관계해제 애셋 속성(diassociated asset attribute)이 종래의 ACL 내에서 사용되는 한편, 소스 및 목적지는 ZACL에서의 애셋이 방화벽 보안 기술 제어로 보호되는 정보에 대해 더 식별가능한 인간 판독가능한 명칭을 가지는 논리 구역이다. 다시 도 3을 참조하면, 각 TrustZone은 TrustZone이 예를 들어, TrustZone을 포함하는 구역 액세스 제어 규칙을 ZACL에 추가하는 것을 통해 ZACL에 배치됨으로써, 방화벽에 대한 구성의 변화는 정책에 따라 수행되는 방화벽 보안 기술 제어를 위한 정책(415)과 관련될 수 있다. 보안 정책은 또한 예를 들어, 구역 액세스 제어 규칙을 수정함으로써, ZACL에 이미 배치된 임의의 TrustZone에 대해 에디팅되거나 교체될 수 있다.
보안 제어 소프트웨어는 하나 또는 그 이상의 논리 구역 내의 모든 가상 머신 및 물리적 컴포넌트를 위한 변경(420)을 모니터링할 수 있다. 이벤트 데이터는 분석되고 프로세싱될 수 있고, 보안 기술 제어는 정책의 수정을 통해 구성 또는 재구성(435)될 수 있다. 방화벽을 위한 구성 설정의 수정은 단일 애셋의 단일 속성에서의 변화에 기초할 뿐 아니라, 다수의 애셋을 위한 다수의 속성 변화의 분석에 기초할 수 있다. 예를 들어, 다시 도 3을 참조하여, 논리 구역(1)에서의 애셋 및 논리 구역(2)에서의 애셋에 대한 논리 구역 멤버십이 스와핑(swapped)되는 경우에, 보안 제어 소프트웨어는 양쪽 애셋을 위한 구역 멤버십에서의 변화를 분석할 수 있고 분석에 따른 방화벽을 위한 구성 설정에 대한 단일 변화를 수행할 수 있다. 그 중에서도, 상기의 구역 멤버십에서의 스왑(swap)과 같은 다수의 속성 변화를 고려하는 것은 함께 본 발명의 실시예가 방화벽에 대해 반복적이고 비논리적인 수정을 회피하게 도울 수 있다.
상기 예에 계속하여, 운영자 또는 소프트웨어가 애셋(애셋1)을 TrustZoneA로 배치하고 보안 제어 소프트웨어는 애셋의 속성에서의 변화, 즉 TrustZone 멤버십에서의 변화를 검출하고(420), 그에 따라 방화벽 구성을 수정한다(435). 본 예에서, TrustZone 변경의 결과로서, 보안 제어 소프트웨어는 애셋1을 위한 애셋 속성 IP 어드레스를 평가하고 그 후에 방화벽에 대해 만들어진 디렉티브를 통해 방화벽 원시 형태(firewall native form: ACL)에서 방화벽 상에 ACL을 구현한다. 제 2 애셋(애셋2)은 TrustZoneB 내로 배치된다면, 보안 제어 소프트웨어는 그 변경을 검출하고(420), 방화벽에 대해 만들어진 디렉티브를 통해 방화벽의 원시 형태(ACL)에서 방화벽 상에 ACL을 구현한다(435). 이 시점에서, TrustZoneA와 TrustZoneB 사이의 모든 전송 제어 프로토콜(Transmission Control Protocol: TCP)이 거부되는 것이 바람직하고 추정하면, 원시 방화벽 규칙(ACL)은 다음과 같이 표현될 수 있다:
Asset1_IP_address Asset2_IP_address TCP any deny
And the ZACL은 다음과 같이 표현될 수 있다:
TrustZoneATrustZoneB TCP any deny
TrustZoneA 또는 TrustZoneB 어느 한 쪽에 추가되는 각 애셋에 대해, 시스템은 운영자가 TrustZone을 애셋으로 파퓰레이팅함에 따라 자동으로 방화벽을 구성하면서, 후속적인 디렉티브를 통해 원시 방화벽 ACL을 계속해서 구축할 수 있다.
본 발명의 실시예는 애셋의 인터넷 프로토콜(IP) 어드레스와 같은 애셋의 속성에서의 임의의 원하는 변경을 검출하기 위해 동작할 수 있다. 예를 들어, 동적 호스트 구성 프로토콜(Dynamic Host Configuration Protocol: DHCP) IP어드레스 리스(lease)가 만료하고 애셋1은 리스의 재개 시에 다른 IP 어드레스를 수신하거나; 또는 애셋1은 시간의 주기 동안 파워 오프된 후에 DHCP를 통해 다른 IP 어드레스를 수신하거나; 또는 해커(hacker)가 네트워크 액세스 제어를 바이패스(bypass)하기 위한 노력으로 IP 어드레스를 변경하거나; 또는 관리자가 우연히 잘못된 IP 어드레스(미스-타이핑(mis-typing))를 할당한다 - 모든 경우에, 애셋1의 IP 어드레스는 변화한다. 본 발명의 보안 제어 소프트웨어는 예를 들어, VIM을 통해 모든 애셋의 애셋 속성을 모니터링하기 때문에, 애셋 속성 변화가 검출될 때(420), 보안 제어 소프트웨어는 새로운 IP 어드레스를 반영하기 위해 방화벽 상에 ACL을 수정하기 위해 디렉티브를 만들어내고 송신할 수 있다(435).
이제 운영자가 모든 TCP 연결을 TrustZoneB에 대해 허용하기를 원하는 것으로부터, 제 3 TrustZone, TrustZoneC를 고려한다. 이러한 정책을 위한 ZACL은 이것와 유사할 것이다:
TrustZoneATrustZoneB TCP any deny
TrustZoneCTrustZoneB TCP any allow
이들 TrustZone을 사용하는 예에서, 아키텍처의 결과로서, 현재 TrustZoneA에서 애셋1은 이제 현재 TrustZoneB에서 애셋2에 임의의 TCP 연결을 만들도록 허용되어야 함을 고려한다. 애셋1은 TrustZoneA로부터 TrustZoneC로 이동될 수 있다. 애셋 속성의 모니터링을 통해 시스템은 이동을 검출하고(420) deny ACL로부터 애셋1의 IP 어드레스를 제거하고 allow ACL에 애셋1의 IP 어드레스를 추가하기 위해 방화벽에 디렉티브를 만들어낼 수 있다(435). 이것은 애셋1 및 애셋2 둘 다에 대한 방화벽 정책을 완전히 변경하게 야기시킬 수 있고, 최소 운영자 노력으로, 그리고 방화벽 상에 복잡한 수치적 ACL을 조작할 필요 없이 자동으로 수행될 수 있다. 이러한 방식으로, 방화벽의 구성 설정은 이동 애셋과 다른 애셋 또는 컴포넌트 사이의 통신을 허용하거나 방지하기 위해 하나의 논리 구역으로부터 다른 구역으로 애셋의 이동을 검출하는데 응답하여 수정될 수 있다.
그 중에서도, TrustZone으로의 논리적 구역화는 방화벽의 동작에 영향을 미치는 애셋 속성이 자연적, 우연적 또는 악의적 이유로 변경될 때 보안 기술 제어 방화벽에 대해, 정책 및 정책의 무결성을 유지하는데 도움을 준다. 추가로, 본 발명의 실시예는 물리적 하드웨어 컴포넌트와 같은 애셋이 물리적으로 위치를 이동시킬 때 방화벽의 설정을 재구성하는데 동일하게 효과적이거나, 애셋을 물리적으로 이동시키지 않고서 일 논리 구역으로부터 다른 논리 구역으로 간단하게 재할당된다. 더욱이, 일 관리 엘리먼트에서 다른 관리 엘리먼트(예를 들어, vMotion 이벤트 또는 일 가상 인프라구조로부터 다른 가상 인프라구조로의 마이그레이션(migration))의 관리 사이의 가상화 애셋의 이동은 보안 제어 소프트웨어와 다양한 애셋 관리 컴포넌트 사이의 연결을 통해, 물리적 애셋의 위치로서 추적될 수 있다.
본 발명의 실시예는 애셋 속성 VM 명칭이 변화할 때와 같이, 원하는 대로 일 TrustZone에서 다른 TrustZone으로 애셋을 이동(즉, 그 논리적 구역 멤버십을 변경)시킬 수 있다. 다른 실시예에서, 애셋, 다른 애셋 또는 임의의 엘리먼트에 대한 서로 다른 속성 또는 속성의 조합은 애셋에 대한 동일한 TrustZone 변경 행동을 변경하고 영향을 미치기 위해 모니터링될 수 있다. 따라서, 상기 도시된 대로, 방화벽 정책은 본 발명의 보안 제어 소프트웨어 구현 특징(feature)에 의해 검출되는 속성 변화의 본질에 기초하여 유지되거나 변경될 수 있다.
본 발명의 실시예는 취약성 스캐너 또는 맬웨어 검출과 같은 다른 보안 기술 제어의 동작으로부터 도출된 애셋 속성을 고려할 때 상당한 유용성을 가진다. 새로운 취약성 및 바이러스는 지속적으로 발견되고, 따라서 본 발명의 실시예는 아키텍트가 더 제한된 네트워크 액세스 또는 네트워크 액세스가 전혀 없는 TrustZone을 구성하게 허용함으로써 이들 이벤트에 대한 역대책(counter measure)의 사전-플래닝(pre-planning) 및 사전-구성을 용이하게 하는데 도움을 줄 수 있다.
도 4를 참조하면, 애셋 상의 바이러스 또는 다른 맬웨어, 또는 하드웨어 또는 소프트웨어에서의 결함과 같은 보안 취약성의 검출 시에(425), 본 발명의 보안 제어 소프트웨어는 다른 자동화 보안 기술 제어가 취약성 소프트웨어를 업데이트하거나 바이러스를 제거할 때까지 사전정의된 TrustZone에 애셋을 이동시킴으로써(430) 자동으로 네트워크 액세스를 제한 또는 종료할 수 있다. 그와 같은 격리는 애셋의 개시된 자동화 이동이 완료된 애셋 속성 조건을 검출하는데(420) 응답하여, 또는 보안 취약성이 해결되었다는 다른 표시를 수신하는 소프트웨어 제어 소프트웨어로부터 자동으로 제거될 수 있다. 일단 보안 취약성이 해결되면, 애셋은 원래의 TrustZone 및 자동으로 복원된 ACLU로 표현된 바와 같은 원래의 네트워크 액세스 정책으로 자동으로 이동될 수 있다.
다양한 규정 준수 프레임워크에 대해, 본 발명의 보안 제어 소프트웨어는 프레임워크에서의 규정 준수 제어와 다양한 보안 기술 제어 사이의 논리적 맵핑을 수행할 수 있다. 관리 제어는 또한 보안 제어 소프트웨어에 의해 발생되고 보안 제어 소프트웨어와의 특정 운영자 상호작용의 완료를 표시하고, 작업흐름(workflow)(완료되어야 하는 프로세스 또는 절차)의 완료를 표시하고, 및/또는 프레임워크에 정의된 바와 같은 관리 제어를 충족시키는 이벤트를 통해, 프레임워크에서의 규정 준수 제어에 대해 맵핑될 수 있다. 이러한 맵핑은 규정 준수 맵핑으로 지칭되고, 발명의 일 실시예에서, 정책 및 벤치마크 논리 및 발견법 컴포넌트 및 정책 데이터베이스 내에 구현된다(도 2 참조).
다시 도 1을 참조하면, 하나 또는 그 이상의 규정 준수 제어 정책은 하나 또는 그 이상의 논리 구역 및/또는 애셋과 관련될 수 있다(440). 규정 준수 제어에 의해 요구되는 기술 제어가 논리 구역에서의 애셋을 위한 적정한 것으로 검증될 때, 규정 준수 맵핑을 사용하는 보안 제어 소프트웨어는 그에 따른 규정 준수 제어를 위한 규정 준수 레벨을 조정할 수 있다.
보안 기술 제어를 위해, 임의의 일 애셋에 대한 보안 기술 제어의 적용의 검증은 방화벽을 위해 상술한 바와 같은 보안 기술 제어를 위한 적절한 정책을 가지는 TrustZone에서의 논리 구역 메커니즘 및 멤버십에 기초하여 본 발명의 보안 제어 소프트웨어에 의해 수행될 수 있다. 다양한 기술 제어를 위한 관리 엘리먼트와의 다양한 상호작용을 통해서와 같이 임의의 추가적인 보안 기술 제어(예를 들어, IPS, 취약성 스캐너, 흐름 감사(auditing))가 검증될 수 있다.
관리적 제어를 위해, 보안 제어 소프트웨어의 사용자 인터페이스 내에서 운영자에 의해 인보킹(invoked)되는 동작의 시퀀스가 완료되었음을 표시하는 SCMS 이벤트는 관리적 제어가 충족되었음을 검증한다. 관리적 제어의 일 예는 보고의 생산 및 공유이다. 그와 같은 예에서, 운영자는 보고를 스케줄링하고 보고를 수신하기 위해 접촉 목록을 지정한다. 스케줄링의 완료 시에, 보고가 전달을 위해 스케줄링됨을 표시하는 이벤트가 발생됨으로써, 이용가능한 임의의 보고에 포함되는 정보의 콜라보레이션(collaboration) 또는 공유를 요구하는 임의의 관리적 제어를 충족시킨다. 대안적인 실시예는 임의의 프로세스 또는 절차를 위한 상호작용(예를 들어, 구성 위자드(Configuration Wizard))의 임의의 시퀀스를 위한 이벤트를 구현할 수 있고 보안 기술 제어, 관리적 제어, 관리 엘리먼트, 보안 엘리먼트, 네트워크 엘리먼트, 및 컴퓨팅 환경에서의 컴퓨팅 엘리먼트의 동작 및 구성에 관련되는 임의의 수의 프로세스 및 절차를 검증할 수 있음으로써, 원래 절차적인 규정 준수 제어의 검증을 제공한다.
특정 규정 준수 프레임워크를 고수하는 것이 바람직할 때, 운영자는 논리 구역 생성 및 구성 컴포넌트(도 2 참조)를 통해, 임의의 TrustZone 또는 TrustZone에 대한 규정 준수 프레임워크를 선택할 수 있다. 일단 규정 준수 프레임워크 설정이 TrustZone에 적용된다면, 모든 기술 보안 제어 및 수행된 관리적 제어의 정책 및 구성은 선택된 규정 준수 프레임워크를 위한 규정 준수 맵핑의 문맥 내에서 평가된다.
보안 제어 소프트웨어는 방화벽 구성 설정에 대한 하나 또는 그 이상의 수정을 분석할 수 있다(445). 각 제어가 구성됨에 따라, 규정 준수 맵핑을 사용하는 보안 제어 소프트웨어는 보안 기술 제어 및 관리적 제어 시퀀스에 의해 지원되는 각 규정 준수 제어를 위한 규정 준수 레벨을 발생시킨다(450).
규정 준수 맵핑은 일 기술 제어 또는 정책으로부터의 정보가 규정 준수 제어에 따르는 것을 보증하는데 충분하지 않은 검증된 기술 제어를 조합할 수 있다. 예를 들어, 상기 예에서, 애셋 속성 IP 어드레스가 방화벽 ACL에 구성된 것과 동일하게 남아있을 때, 액세스 제어의 방화벽 구현인 ACL은 애셋이 방화벽에 의해 보호되는 것을 보증하는데만 충분하다. 상기 예는 임의의 애셋에 대해, 속성 IP어드레스가 변화할 수 있고 변화할 것을 입증한다. 애셋 속성 IP 어드레스 변경을 포함하는 가상 정보 애셋(virtualized information asset: VM)을 위한 애셋 속성 변경을 모니터하는 VIM 제어의 조합을 통해, 본 발명의 본 목적을 위해 이들 제어를 조합하는 규정 준수 맵핑은 방화벽 ACL 단독의 모니터링의 종래 방법보다 규정 준수의 더 견고한 행사를 제공한다. VIM 제어 및 방화벽의 이러한 특정 조합은 올바르게 기능하기 위해 애셋 속성 IP 어드레스에 의존하는 임의의 네트워크 보안 기술 제어와 VIM의 임의의 조합에 대해 일반화될 수 있다. 서로 다른 기술 및 관리 보안 제어의 조합은 예를 들어, 검증된 방식으로 다수의 보안 제어 정책의 적용 및 검증을 허용하는 논리 구역의 사용을 통해 규정 준수 제어의 행사를 개선하기 위해 더 일반화될 수 있다.
상술한 바와 같이, 본 발명의 실시예는 IP 어드레스 변경에 응답하여 자동으로 방화벽에 대한 정책을 업데이트할 수 있음으로써, 규정 준수를 유지한다. 이러한 시나리오는 규정 준수 프레임워크로 규정 준수를 유지하는데 도움을 주기 위해 때때로 바람직할 수 있는 다수의 기술 제어를 평가하는 이유를 예시하고, 본 발명의 실시예의 유용한 능력을 입증한다. 규정 준수 맵핑을 위한 조합된 보안 기술 제어의 예가 단지 2개의 보안 기술 제어를 활용하더라도, 규정 준수 맵핑을 위해 조합될 수 있는 보안 기술 제어 및/또는 이벤트의 수는 속박되지 않고, 임의의 수의 조합은 본 발명의 실시예에서 활용될 수 있다. 도 5에서, 예를 들어, 차트(500)는 y-축을 따른 규정 준수 제어에 대한 규정 준수의 기여 레벨로, x-축을 따른 3개의 기술 제어를 예시한다.
상술한 바와 같은 방화벽 제어의 적용은 ZACL 목록화로 TrustZone에서의 임의의 애셋을 위한 논리 구역화에 의해 검증될 수 있다. 방화벽에 의해 강요된 네트워크 베이스 액세스 제어(network base access control)의 구현을 요구하는 임의의 규정 준수 제어를 위해, 보안 제어 소프트웨어는 각 지원된 규정 준수 제어를 위해 현재 규정 준수 레벨을 계산하기 위해 다른 검증된 보안 기술 제어와 조합하여 예시된 규정 준수 맵핑을 활용할 수 있다. 맵핑에서 표현된 바와 같이, 조합에서의 각 보안 기술 제어는 정의된 규정 준수 레벨 측정의 표준화 부분에 기여할 수 있다. 이러한 레벨은 0 내지 3 사이의 레벨과 같이 수치적으로 표현될 수 있고 그 레벨은 도 7에 도시된 바와 같이 실시간으로 또는 거의-실시간으로 도식적으로 디스플레이하였다(455). 수치적 스코어와 같은 규정 준수 레벨은 임의의 수의 논리 구역, 애셋 또는 방화벽과 같은 다른 하드웨어 및 소프트웨어 컴포넌트를 위해 발생될 수 있고 대안적인 규정 준수 맵핑을 통해 다수의 규정 준수 프레임워크에 대해 동시에 평가될 수 있다.
규정 준수 프레임워크는 결제카드 산업정보 보안표준(Payment Card Industry: PCI) 데이터 보안 표준(Data Security Standard)의 경우에 카드홀더 데이터(cardholder data)와 같은 데이터를 보호하도록 일반적으로 구성된다. 일반적으로, 임의의 규정 준수 프레임워크에 속하는 데이터를 프로세싱하는 컴퓨팅 환경에서의 개개의 엘리먼트의 수는 1보다 크고 전형적으로 많다. 규정 준수 프레임워크를 받는 데이터를 프로세싱하는 모든 엘리먼트 또는 애셋의 총 합은 규정 준수 범위로서 지칭된다. 임의의 프레임 워크에 관련되는 컴퓨팅 환경의 규정 준수 레벨은 단지 규정 준수 범위 내의 최소한의 규정 준수 애셋에 측정된 레벨만큼 높을 수 있다. 논리 구역화는 임의의 TrustZone에서의 다수의 정보 애셋의 포함을 지원한다. 규정 준수 프레임워크 세트를 가지는 임의의 TrustZone에 대해, 보안 제어 소프트웨어는 TrustZone 내의 모든 애셋에 대해 모든 지원된 규정 준수 제어를 위한 규정 준수 레벨을 측정한다. 임의의 규정 준수 제어를 위해 디스플레이된 바와 같은 규정 준수의 집합 TrustZone 레벨은 TrustZone 내의 모든 애셋에 대한 최저 측정 규정 준수 레벨로서 계산된다.
도 6 및 7은 본 발명의 예시적인 실시예가 방사상 차트 포맷(radial chart format)을 사용하여, 다수의 규정 준수 제어를 위한 규정 준수 레벨을 디스플레이하는 방법을 예시한다. 본 예에서, 차트는 PCI DSS 2.0 프레임워크를 위한 규정 준수를 디스플레이하지만, 규정 준수 레벨은 동일하거나 서로 다른 그래프에서의 임의의 수의 서로 다른 규정 준수 표준을 위해 도식적으로 도시될 수 있다.
도 7에서의 방사상 차트(700)로, 모든 규정 준수 제어를 위한 집합 규정 준수 레벨은 상술한 계산 방법에 기초하여 TrustZone 명칭의 "지불(payment)"에서의 모든 애셋에 대해 디스플레이된다. 각 규정 준수 제어를 위해, 계산된 규정 준수 레벨은 방사상 차트의 방사상 엘리먼트로서 디스플레이되고 규정 준수 프레임워크로부터의 섹션 번호(section number)로 식별된다.
본 발명의 실시예는 각 TrustZone에 대한 규정 준수 레벨이 TrustZone에 대한 특정하고 고유한 규정 준수 프레임워크에 기초하여 계산되고 디스플레이되는 다수의 규정 준수 맵핑을 포함할 수 있다. 예를 들어, 컴퓨팅 환경은 다수의 규정 준수 프레임워크를 받는 데이터를 포함할 수 있다. 그 중에서도, TrustZone을 가지는 논리적 구역화는 애셋을 서로 다른 규정 준수 프레임워크 설정을 가지는 다수의 TrustZone에 추가하는 프로세스를 통해 다수의 규정 준수 프레임워크의 문맥 내에 애셋에 대한 규정 준수 레벨을 측정하는 능력을 포함하는, 동시에 특정 및 별개의 프레임워크에 대한 규정 준수 레벨의 규정 준수 프레임워크 및 보고에 기초하여 애셋의 그룹핑을 허용한다.
도 8은 다양한 실시예와 함께 사용될 수 있는 시스템의 블록도를 도시한다. 도 8은 컴퓨터 시스템의 다양한 컴포넌트를 도시하는 한편, 컴포넌트를 상호연결하는 임의의 특정 아키텍처 또는 방식을 표현하도록 의도되지 않는다. 더 적거나 더 많은 컴포넌트를 가지는 다른 시스템이 또한 사용될 수 있다.
도 8에서, 시스템(800)은 프로세서(812), 메모리(814) 및 사용자 인터페이스(816)를 포함하는 호스트 컴퓨터 시스템(810)을 포함한다. 호스트 컴퓨터 시스템(810)은 임의의 수의 서로 다른 프로세서, 메모리 컴포넌트 및 사용자 인터페이스 컴포넌트를 포함할 수 있고, 본 발명의 실시예와 함께 임의의 다른 원하는 시스템 및 디바이스와 상호작용할 수 있다.
도 4 및 9에 도시된 방법을 포함하는 호스트 시스템(810)의 기능은 시스템(810)의 메모리(814)에 저장된 컴퓨터-판독가능 명령을 실행하는 프로세서(812)를 통해 구현될 수 있다. 메모리(814)는 소프트웨어 애플리케이션 및 임베디드 동작 코드(embedded operating code)를 포함하는 임의의 컴퓨터-판독가능 명령 및 데이터를 저장할 수 있다.
본 발명의 실시예와 함께 동작하는 호스트 시스템(810) 또는 다른 시스템 및 디바이스의 기능은 또한 응용-주문형 집적 회로(application-specific integrated circuit: ASIC), 필드-프로그램가능 게이트 어레이(field-programmable gate array: FPGA) 및/또는 복합 프로그램가능 논리 디바이스(complex programmable logic device: CPLD)와 같은 기계-판독가능 명령을 저장하는 다양한 하드웨어 컴포넌트를 통해 구현될 수 있다. 특정 실시예의 양상에 따른 시스템은 소프트웨어 및/또는 하드웨어 컴포넌트의 임의의 원하는 조합과 함께 동작할 수 있다. 프로세서(812)는 시스템(810)의 동작을 제어하기 위해 메모리(814)에 저장된 명령을 검색하고 실행한다. 집적 회로 마이크로프로세서, 마이크로제어기 및/또는 디지털 신호 프로세서(digital signal processor: DSP)와 같은 임의의 타입의 프로세서는 본 발명의 실시예와 함께 사용될 수 있다. 본 발명의 실시예와 함께 동작하는 메모리(814)는 하드 드라이브(hard drive), 랜덤 액세스 메모리(RAM), 판독 전용 메모리(ROM), FLASH 메모리 또는 임의의 다른 타입의 휘발성 및/또는 비휘발성 메모리와 같은 서로 다른 메모리 스토리지 디바이스의 임의의 조합을 포함할 수 있다. 데이터는 임의의 원하는 방식으로 메모리(814)에 저장될 수 있다.
호스트 시스템(810)은 사용자로부터 커맨드, 데이터 및 임의의 다른 적합한 입력을 수신하기 위한 임의의 수의 입력 디바이스(도시되지 않음)뿐 아니라, 사용자에게 데이터, 통지 및 다른 적합한 정보를 제공하기 위한 임의의 수의 출력 디바이스(도시되지 않음)를 포함할 수 있다. 전형적인 I/O 디바이스는 마우스(mouse), 키보드(keyboard), 모뎀(modem), 네트워크 인터페이스, 프린터(printer), 스캐너(scanner), 비디오 카메라 및 다른 디바이스를 포함할 수 있다.
호스트 시스템(810)은 네트워크(830)를 통해서를 포함하여, 임의의 원하는 방식으로 하나 또는 그 이상의 클라이언트 디바이스(820) 및 다른 시스템 및 디바이스와 통신할 수 있다. 클라이언트 디바이스(820)는 본 발명의 시스템 및 방법과 함께 동작하는 임의의 컴퓨팅 디바이스를 포함할 수 있다. 클라이언트 디바이스(820)는 랩톱 컴퓨터(laptop computer), 데스크톱 컴퓨터(desktop computer), 이동 가입자 통신 디바이스(mobile subscriber communication device), 이동 전화(mobile phone), 개인 휴대 정보 단말(personal digital assistant : PDA), 태블릿 컴퓨터(tablet computer), 전자 북(electronic book) 또는 북 리더(book reader), 디지털 카메라(digital camera), 비디오 카메라(video camera), 비디오 게임 콘솔(video game console) 및/또는 임의의 다른 적합한 컴퓨팅 디바이스(computing device)일 수 있거나, 그것을 포함할 수 있다.
네트워크(8300)는 임의의 전자 통신 시스템 또는 방법을 포함할 수 있다. 본 발명의 실시예와 함께 동작하는 컴포넌트 사이의 통신은 예를 들어, 전화 네트워크(telephone network), 엑스트라넷(extranet), 인트라넷(intranet), 인터넷, 상호작용 시점 관리 디바이스(point of interaction device)(판매시점 관리 디바이스(point of sale device), 개인 휴대 정보 단말(예를 들어, iPhone®, Palm Pilot®, Blackberry®), 셀룰러 폰, 키오스크(kiosk) 등), 온라인 통신, 위성 통신, 오프-라인 통신(off-line communication), 무선 통신, 트랜스폰더 통신(transponder communication), 로컬 영역 네트워크(local area network: LAN), 광역 네트워크(wide area network: WAN), 가상 사설 네트워크(virtual private network: VPN), 네트워킹 또는 링크 디바이스(networked or linked device), 키보드, 마우스 및/또는 임의의 적합한 통신 또는 데이터 입력 양식(data input modality)과 같은 임의의 적합한 통신 방법을 사용하여 수행될 수 있다. 본 발명의 시스템 및 디바이스는 TCP/IP 통신 프로토콜뿐 아니라, IPX, Appletalk, IP-6, NetBIOS, OSI, 임의의 터널링 프로토콜(tunneling protocol)(예를 들어, IPsec, SSH), 또는 임의의 수의 기존 또는 추가의 프로토콜을 활용할 수 있다.
네트워크 흐름 분석 및 보고를 위한 시스템 및 방법
네트워크 모니터링, 네트워크 제어, 및 네트워크 보안을 위한 많은 종래의 시스템은 전형적으로 "IP 흐름 정보 엑스포트(IP Flow Information Export)"(IPFIX)로 알려지고, 또한 "넷플로우(Netflow)"로 알려지는 표준을 사용하여 네트워크 트래픽 통계를 수집하도록 구성되는 라우터, 스위치 또는 다른 하드웨어로부터의 네트워크 흐름 데이터를 사용한다. IPFIX는 애셋 사이의 네트워크 교환의 모니터링(예를 들어, 감사), 및 어느 정도까지, IP 어드레스, 소스 및 목적지 포트 번호와 같은 네트워크 연결 속성뿐 아니라, IPFIX 프로토콜에 정의되고 IPFIX 송신 디바이스 또는 소프트웨어에 의해 구현되는 다른 패킷 또는 연결 속성에 기초하여 정보 교환의 자격을 준다. 그러나, 종래의 시스템은 침입 검출 시스템(IDS), 칩임 방지 시스템(IPS), 취약성 스캔 데이터, 구성 데이터, 안티-바이러스/안티-맬웨어 데이터(anti-virus/anti-malware data), 보안 기술 제어에 적용되는 정책, 운영 시스템 구성 데이터, 애플리케이션 구성 데이터, 애셋 상에 실행하는 프로세스(애플리케이션 또는 운영 시스템 프로세스), 사용자 식별을 개시하는 프로세스, 이진 디지털 서명(binary digital signature), 및/또는 방화벽으로부터의 데이터와 같이, 다른 소스로부터의 데이터를 가지는 IPFIX로 표현된 네트워크 연결을 콘텍스처화(contextualizing)하지 못할 수 있다.
추가로, 종래의 시스템은 시스템 관점 발생 컴포넌트에 의해 이들 데이터 엘리먼트와 컴퓨팅 환경에서 수행되는 동작 사이의 컨텍스트(context) 및 원인적 또는 결과적 관계를 상관시키고 제공하지 못할 수 있다. 반대로, 본 발명의 실시예는 예를 들어, 이벤트, 네트워크 연결, 애셋 동작 상태 및 보안 기술 제어의 상태의 상관관계에 대한 복합 콤비네이터 분석(complex combinatoric analysis)을 지원하고 수행함으로써, 다수의 소스로부터 애셋 및 네트워크 데이터를 수집하고 분석할 수 있고, 종래 시스템과 비교하여 보안 태세 및 보안 관련 현상의 더 완전하고 정확한 표현을 제시하기 위해 그와 같은 데이터를 사용할 수 있다.
도 9는 본 발명의 다양한 실시예에 따른 예시적인 프로세스를 도시한다. 도 9에서의 방법의 엘리먼트의 임의의 조합 및/또는 서브세트는 도 4에 도시된 프로세스 및 도 8에 도시된 시스템을 포함하는, 임의의 적합한 시스템, 디바이스 및/또는 프로세스와 함께 임의의 적합한 순서로 실시될 수 있다. 도 9에서, 방법(900)은 서로 다른 소스로부터 데이터(예를 들어, 애셋 및/또는 네트워크 데이터)를 수집하는 단계(905), 데이터를 필터링하는 단계(910), 데이터로부터 그와 같은 이벤트와 관련되는 하나 또는 그 이상의 이벤트 및 애셋을 식별하는 단계(915), 데이터로부터 애셋과 특성 사이의 연결을 식별하는 단계(920) 및 흐름 정보 그래프를 발생시키는 단계(925) 및 제시하는 단계(930)를 포함한다. 방법(900)은 흐름 정보 그래프에서의 컴포넌트의 선택을 수신하는 단계(935), 선택에 응답하여 추가의 정보를 디스플레이하는 단계(940), 네트워크 트래픽 규칙에 대한 에디트(edit)를 수신하는 단계(945) 및 그와 같은 규칙을 네트워크에 적용하는 단계(950)를 포함한다. 방법(900)은 업데이트된 데이터를 수집하는 단계(955) 및 업데이트된 데이터로 흐름 정보 그래프를 업데이트하는 단계(960)를 추가로 포함한다. 방법(900)은 또한 데이터를 저장하는 단계(965), 데이터를 분석하는 단계(970), 하나 또는 그 이상의 경보를 발생시키는 단계(975), 하나 또는 그 이상의 보고를 발생시키는 단계(980) 및 데이터를 엑스포팅하는 단계(985)를 포함한다.
본 발명의 실시예는 애셋, 네트워크 이벤트 및 시스템 동작 속성에 관한 데이터를 포함하여, 임의의 수의 서로 다른 소스 및/또는 서로 다른 타입의 소스로부터 데이터를 수집할 수 있다(905). 그와 같은 수집 데이터는 예를 들어, 네트워크 흐름 속성, 애셋의 사용자에 관한 정보, 애셋에 관한 정보 뿐 아니라 애셋과 관련되는 하드웨어 및/또는 가상 컴포넌트, 소프트웨어 애플리케이션에 관한 정보, 서로 다른 네트워크 노드의 속성, 보안 취약성, 애셋의 네트워크의 속성, 데이터 패킷의 컨텐츠에 관한 정보 뿐 아니라 임의의 다른 원하는 정보를 포함할 수 있다. 일 예에서, 시스템 구현 방법(900)은 "넷플로우" 데이터를 수집하는 (라우터 및 스위치 또는 가상 아날로그와 같은) 하드웨어 컴포넌트로부터 네트워크에서의 가상과 물리적 애셋 사이의 네트워크 흐름 데이터(예를 들어, 메시지 교환 및 시도된 메시지 교환에 관한 정보)를 수집할 수 있다. 추가로 또는 대안적으로, 데이터는 침입 검출 시스템(IDS), 침입 방지 시스템(IPS) 및/또는 방화벽과 같은 하나 또는 그 이상의 다른 소스로부터 수집될 수 있다. 수집되는 데이터는 또한 특정 애셋, 애셋의 그룹 및/또는 논리 구역 사이에 허용되고 차단된 트래픽을 정의하는 보안 기술 제어 구성 속성 또는 정책을 포함할 수 있다. 일부 실시예에서, 허용되고 차단된 트래픽의 목록은 다양한 논리 구역을 위해 정의될 수 있고, "구역 액세스 제어 목록(zone access control list)"(ZACL)으로서 본 발명에 지칭될 수 있다.
데이터는 IPFIX 스트림, 시스템 로그, API 등에서와 같이 데이터 스트림을 폴링(polling)하고 및/또는 수신함으로써와 같이, 임의의 적합한 방식으로 수신되거나 수집될 수 있다(905). 데이터는 다수의 소스로부터 수집될 수 있고, 모든 "속성"을 네트워크 흐름 데이터와 관련시킬 목적을 위해 기록의 목록으로 표준화되고 조합됨으로써, 본 발명의 실시예가 본 발명에 더 설명된 바와 같은 그래프를 포함하는 다양한 방법에서의 상관관계를 생성하고 제시하게 허용한다.
서로 다른 소스로부터 수집된 데이터는 다양한 방법으로 필터링될 수 있다(910). 예를 들어, 서로 다른 소스로부터의 데이터는 서로 다른 소스로부터 수집되는 고유한 네트워크 흐름 속성 및 특성을 가지는 데이터 구조를 생산하도록 제거된 다른 소스로부터의 데이터에 대해 잉여인 데이터로 데이터 구조를 파퓰레이트하기 위해 사용될 수 있다. 스캔으로부터 수신된 취약성 데이터는 특정 네트워크 흐름과 예를 들어, 본 발명에 설명되는 표준화 및 상관관계 프로세스를 통해 관련될 수 있음으로써, 시스템의 사용자가 애셋 또는 복수의 애셋으로부터 또는 애셋 또는 복수의 애셋으로의 다양한 애셋 동작 상태와 네트워크 연결 사이의 관계를 식별하게 허용한다. 수집 데이터는 또한 사용자 선호도에 따라 필터링될 수 있다. 예를 들어, 사용자는 보안 침입과 같은 특정 네트워크 이벤트에 관계될 수 있고 따라서 시스템 구현 방법(900)은 특정 침입 된 애셋 또는 하나 또는 그 이상의 애셋 상에 실행하는 절충된 애플리케이션 서비스에 관련되지 않은 데이터를 자동으로(또는 특정 사용자 입력에 응답하여) 필터링 아웃할 수 있다.
본 출원의 실시예는 수집 데이터에 기초하여 그와 같은 이벤트에 관련되는 다양한 네트워크 트래픽 이벤트 및 네트워크 애셋을 식별할 수 있다(910). 이벤트는 예를 들어, 네트워크에서의 2개의 애셋 사이의 데이터 패킷의 교환, 시도된 또는 실제 보안 침입, 소프트웨어 업데이트, 애셋과 관련된 고장(예를 들어, 하드웨어 및/또는 소프트웨어)뿐 아니라 다른 이벤트를 포함할 수 있다. 이벤트는 하나 또는 그 이상의 시간 주기에 걸쳐 정의될 수 있고, 본 발명의 실시예는 실시간으로 수신된 데이터 또는 이전에 기록되고 저장된 데이터에 관하여 동작할 수 있다. 예를 들어, 금융 네트워크(financial network)의 사용자는 가능한 전화금융 사기(wire fraud) 시도를 조사하기 위해 3시간 주기에 걸쳐 기록된 4개의 특정 네트워크 애셋 사이의 네트워크 트래픽을 검토하기를 원할 수 있다. 본 예에서, 본 발명을 구현하는 시스템은 정의된 시간 주기 동안 네트워크 데이터를 검색할 수 있고, 4개의 애셋 또는 3-시간 윈도우에 관련되지 않은 데이터를 필터링 아웃할 수 있고, 잠재적 사기와 관련되는 이벤트 및 애셋을 자동으로 식별할 수 있다.
본 발명의 실시예는 유사하게 애셋 사이의 다양한 연결뿐 아니라, 그와 같은 연결 및 애셋의 특성을 식별할 수 있다(920). 시스템에 의해 수집된 데이터(905)는 하나 또는 그 이상의 애셋에 관한 데이터, 하나 또는 그 이상의 네트워크 이벤트에 관한 데이터, 및/또는 하나 또는 그 이상의 시스템 동작 속성에 관한 데이터를 식별하기 위해 사용될 수 있다. 애셋 및/또는 애셋 사이의 연결의 특성은 수집 데이터의 필터링(910)에 기초하여 정의되거나 제한될 수 있다. 애셋 사이의 연결의 특성은 예를 들어, 전달된 데이터의 크기, 데이터가 전달될 때의 시간, 데이터의 소스 및 목적지, 데이터가 전달되는 레이트(rate) 및 다른 특성을 포함할 수 있다.
예시적인 방법(900)에서, 다양한 네트워크 애셋 및 그와 같은 애셋 사이의 연결을 시각적으로 도시하기 위해 흐름 정보 그래프가 발생된다(925). 흐름 정보 그래프는 사용자(예를 들어, 도 8에서의 클라이언트 디바이스(820))에 의해 동작되는 클라이언트 디바이스의 사용자 인터페이스 디스플레이를 통해서와 같이, 사용자에게 제시된다(930). 도 10은 흐름 정보 그래프의 예를 도시한다. 본 예에서, 다수의 TrustZone 애셋 사이의 네트워크 트래픽은 선택가능한 방향성 흐름 라인을 통해 도시된다. 흐름 정보 그래프는 네트워크 애셋 사이에(즉, 실선 흐름 라인을 통해) 허용되는 네트워크 트래픽 및 차단되는(즉, 점선 흐름 라인을 통해) 트래픽을 도시한다. 추가로, 각 흐름 라인은 연결을 식별하기 위해 사용되는 데이터의 소스의 타입(즉, "넷플로우", "IDS 흐름(IDS flow)", "IPS 흐름", "ZACL 허용됨(ZACL Allowed)" 및 "ZACL 거부됨(ZACL Denied)")을 표시하기 위해 라벨링된다.
컴포넌트의 선택(예를 들어, 네트워크 애셋 또는 애셋 사이의 연결)은 사용자로부터 수신될 수 있다(935). 예를 들어, 흐름 정보 그래프가 사용자에 의해 제어되는 클라이언트 디바이스(820)의 디스플레이 스크린 상에 제시되는 경우에, 사용자는 다양한 동작을 수행하기 위해 (예를 들어, 마우스를 사용하여) 흐름 라인을 선택할 수 있다. 예를 들어, 흐름 라인의 선택은 흐름 라인과 관련되는 연결의 특성(예를 들어, 단계(920)에서 식별됨)을 사용자에게 제시함으로써와 같이, 연결과 관련되는 추가적인 정보를 디스플레이할 수 있다(940). 흐름 라인의 선택은 또한 사용자로 하여금 연결을 통해 트래픽을 허용하고 차단하기 위한 규칙을 보고 에디트하게(945) 허용할 수 있다. 이 방식으로 에디팅되는 규칙은 그 후에 연결에 적용될 수 있다(950).
흐름 정보 그래프는 도 11에 도시되는 예인, 테이블 포맷에서 네트워크 흐름 정보, 규칙 및 다른 데이터와 함께 제시될 수 있다. 그 중에서도, 도 11에서의 표는 사용자로 하여금 (타임스탬프(timestamp), 소스 애셋 명칭(source asset name), 또는 다른 속성에 기초하는 바와 같은) 서로 다른 필드를 사용하여 표에서의 데이터를 탐색하고 및/또는 필터링하게 허용하고 예를 들어, 표 상에 엔트리(entry)를 더블-클릭(double-clicking)함으로써 규칙을 생성하고 에디팅하게 허용한다.
도 12는 (도 11에서의 데이터 표와 같은) 데이터 표뿐 아니라 사용자에 의한 흐름 정보 그래프에서의 컴포넌트의 선택에 응답하여 제시될 수 있는 ZACL 규칙 설명 필드를 도시하는 예시적인 스크린샷(screenshot)을 도시한다. 도시된 바와 같이, "설명 필드 엔트리 다이얼로그(description field entry dialogue)"는 애셋 사이의 연결에 적용되도록 규칙을 에디트하기 위해 사용자에 의해 사용될 수 있다.
도 13은 트리거링되는 ZACL 규칙을 도시하는 다른 예시적인 스크린샷을 도시한다. 본 예에서, 트래픽이 ZACL 규칙에 의해 허용되는 이벤트는 규칙으로 하여금 녹색으로 강조되게 하는 한편, 트래픽이 차단되는 이벤트가 ZACL 규칙으로 하여금 적색으로 강조되게 야기시킨다. 허용/차단 트래픽을 도시하기 위한 다른 시각 표시자가 또한 사용될 수 있다.
도 14 및 15는 네트워크 객체(network object)의 생성(도 14) 및 ZACL 규칙에서의 네트워크 객체의 사용(도 15)을 도시한다. 도 16은 다수의 소스 및 목적지를 가지는 ZACL 규칙을 도시한다.
도 17은 흐름 정보 그래프 상에 실선 및 점선(각각)뿐 아니라, 사용자가 "ZACL 로깅"을 선택하게 허용하는 흐름 정보 그래프와 관련되는 데이터 표 상의 풀다운(pulldown)을 통해 차단 및 허용된 트래픽을 도시한다. ZACL 규칙 내의 로깅의 선택 또는 선택해제는 사용자가 흐름 정보 그래프 상의 규칙으로부터 (각각) 규칙 히트(rule hit)를 포함하거나 제거하게 허용한다.
도 18은 예시적인 실시예의 "퍼지 흐름(purge flow)" 특징을 도시하고, 여기서 특정 흐름은 흐름 정보 그래프로부터 선택되고 제거될 수 있으며, 그에 의해 사용자가 원하는 연결 세트 상에 더 정밀하게 포커싱(focus)하게 허용한다.
도 19는 흐름 정보 그래프(도 10) 또는 데이터 표(도 11) 상에 디스플레이되기 전에 흐름의 필터링을 도시한다. 이것은 또한 사용자에게 관련된 특정 흐름을 선택하는데 있어서 사용자에게 도움을 준다.
상술한 바와 같이, 흐름 정보 그래프는 네트워크 애셋 및 그와 같은 애셋 사이의 네트워크 연결에 관한 다양한 서로 다른 정보를 도시할 수 있다. 도 20-22는 네트워크 애셋 및/또는 애셋의 특성 사이의 연결의 특성을 식별하는 흐름 정보 그래프의 예를 도시한다. 그와 같은 특성의 식별은 사용자 인터페이스를 통해 사용자로부터 속성 또는 다른 사용자 입력의 선택에 응답하여 및/또는 본 발명의 실시예를 구현하는 시스템에 의해 특성의 자동 선택에 기초하여 발생할 수 있다.
도 20은 사용자가 수집 데이터의 세트에서의 속성의 목록 중에서 선택된 "흐름 데이터(flow data)"를 가지는 경우의 예시적인 흐름 정보 그래프를 도시한다. 본 예에서, 스크린의 좌측 상의 "흐름 데이터" 아이콘(icon)이 강조되고, 볼딩(bolding) 흐름 라인은 선택된 "흐름 데이터" 속성에 기초하여 그 각각의 연결성을 도시하기 위해 5개의 네트워크 애셋(즉, 본 예에서 TrustZone)의 각각 사이에 그려진다. 볼딩 및 강조에 더하여, 애셋 및 네트워크 연결의 특성은 텍스트, 폰트(font), 아이콘, 쉐이딩(shading) 등의 다양한 조합을 사용하여 흐름 정보 그래프에서 시각적으로 표시될 수 있다.
임의의 수의 서로 다른 속성은 흐름 정보 그래프에서의 네트워크 연결 및 애셋에 관한 정보를 시각적으로 도시하기 위해 사용될 수 있다. 도 21에서, 예를 들어, 스크린의 좌측 상의 "취약성 데이터(vulnerability data)" 메뉴로부터의 특정 취약성이 선택된다. 여기서, 시스템은 (예를 들어, 구식의 소프트웨어로 인해 취약성을 가지는) 취약성과 관련되는 것으로 흐름 정보 그래프(즉, "TrustZone PCI App1 Web" 애셋)에서의 애셋이 강조되게 식별하였다. 추가로, "머신 데이터(machine data)" 속성 메뉴로부터의 사용자 식별자("bobjones")가 또한 선택되고, "TrustZone PCI App1 Users" 애셋과 "TrustZone PCI App1 Web" 애셋 사이의 연결은 선택된 사용자 식별자와 관련되고 그에 따라 흐름 정보 그래프 상에 강조되는 것으로 시스템에 의해 식별된다. 도 22는 선택된 보안 취약성에 대응하도록 "TrustZone PCI App1 Web" 애셋만이 강조되게 남겨두면서, 도 21로부터 "머신 데이터" 속성의 선택해제에 응답하는 흐름 정보 그래프의 모습을 도시한다.
도 23 및 24는 흐름 정보 그래프에 의해 도시될 수 있는 정보의 추가적인 예를 도시한다. 도 23에서, "취약성 데이터" 및 "흐름 데이터" 속성 둘 다는 각각의 강조에 의해 도시된 바와 같이 선택된다. 그래프의 최상부에서, 네트워크에서의 3개의 애셋에 관한 정보가 디스플레이되는 한편, 그래프는 그래프 좌측 상의 "착신하는(incoming)" 흐름 데이터 및 그래프 우측 상의 "발신하는(outgoing)" 흐름 데이터의 형태로 애셋과 관련되는 네트워크 데이터를 도시한다. 시스템 동작 속성은 그래프의 중간에 추가로 도시된다. 도 24는 "흐름 데이터" 속성이 선택되지 않은 도 23의 흐름 정보 그래프를 도시한다.
업데이트된 데이터는 주기적 또는 실시간/거의-실시간 기반 상에 수집될 수 있다(955). 사용자에게 디스플레이되는 흐름 정보 그래프는 유사하게 업데이트될 수 있고(960) 주기적 또는 실시간/거의-실시간 기반 상의 애셋 및/또는 연결에 대한 변경을 도시하도록 제시될 수 있다.
출원의 실시예는 수집 데이터, 흐름 정보 그래프의 발생 및/도는 제시에 관련된 데이터, 및 다른 정보를 저장할 수 있고(965) 분석할 수 있다(970). 예를 들어, 시스템 구현 방법(900)은 흐름 정보 그래프 뿐 아니라, 특정 시점에서 또는 특정 시간 주기 동안 특정 흐름 정보 그래프의 스냅샷(snapshot)을 발생시키기 위해 수집되고 사용된 데이터를 저장할 수 있음으로써, 사용자로 하여금 스크래치(scratch)로 인해 재생성할 필요없이 원하는 그래프를 검색하게 할 수 있다. 임의의 원하는 데이터는 다양한 목적을 위해 분석될 수 있다. 예를 들어, 수집 데이터는 (예를 들어, 수집 데이터를 보안 정책, 표준 규정 준수 정책, 및/또는 수행 표준과 비교하여) 분석될 수 있고 그 분석에 기초하여 하나 또는 그 이상의 경보를 발생시킬 수 있다(975).
다양한 보고가 또한 발생될 수 있고(980) 시스템의 사용자 및/또는 제 3 파티(party)에 제시될 수 있다. 보고는 전자 문서에 포함될 수 있고, 네트워크, TrustZone 및/또는 개개의 애셋의 일부 양상의 상태, 상황(status) 및/또는 이력(history)의 요약을 제공할 수 있다. 일 예시적 실시예에서, 보고가 실행될 때 TrustZone에서 모든 애셋의 규정 준수 상태를 상세화하는 보고가 생성될 수 있다. 다른 예에서, TrustZone에서의 모든 애셋 또는 특정 애셋의 검출된 취약성을 상세화하기 위해 보고가 생성될 수 있다. 특정 시점에서의 정보(예를 들어, "스냅샷(snapshot)")의 요약 또는 TrustZone 및/또는 애셋을 위한 (예를 들어, 데이터에서의 트렌드(trend)를 도시하는) 시간 주기에 걸친 정보의 요약을 제공하기 위해 보고가 발생될 수 있다. 예시적인 실시예는 또한 구역 액세스 제어 목록(ZACL) 및 애셋 IP 어드레스 및 TrustZone 멤버십을 가지는 모든 애셋을 상세화하는 보고를 발생시킬 수 있다.
방법(900)은 제 3 파티에 정보를 엑스포팅(985)하는 단계를 더 포함한다. 임의의 그와 같은 정보는 수집 데이터, 흐름 정보 그래프 및 다른 정보와 같이 엑스포팅될 수 있음으로써, 제 3 파티가 그와 같은 데이터의 분석 및 프로세싱을 수행하게 허용한다. 애플리케이션 프로그램 인터페이스(API)를 통해, 실시간 또는 거의-실시간 데이터 스트림을 통해, 또는 임의의 다른 원하는 인터페이스를 통해서와 같이, 임의의 원하는 방식으로 제 3 파티에 엑스포팅될 수 있다.
다양한 실시예의 기능은 웹 브라우저(web browser) 및/또는 웹 브라우저를 활용하는 애플리케이션 인터페이싱을 통해 수행될 수 있다. 그와 같은 브라우저 애플리케이션은 다양한 기능을 수행하기 위해 컴퓨팅 유닛 또는 시스템 내에 설치되는 인터넷 브라우징 소프트웨어(Internet browsing software)를 포함할 수 있다. 이러한 컴퓨팅 유닛 또는 시스템은 컴퓨터 또는 컴퓨터의 세트의 형태를 취할 수 있고, 랩톱, 노트북, 태블릿, 핸드헬드 컴퓨터(hand held computer), 개인 휴대 정보 단말, 셋톱 박스(set-top box), 워크스테이션(workstation), 컴퓨터-서버(computer-server), 메인 프레임 컴퓨터(main frame computer), 미니-컴퓨터(mini-computer), PC 서버, 편재형 컴퓨터, 컴퓨터의 네트워크 세트, iPad, iMAC 및 MacBook, 키오스크, 단말, 판매 시점(POS) 디바이스 및/또는 단말, 텔레비전 또는 네트워크를 통해 데이터를 수신할 수 있는 임의의 다른 디바이스와 같은 퍼스널 컴퓨터(personal computer) 및 태블릿 컴퓨터를 포함하는, 임의의 타입의 컴퓨팅 디바이스 또는 시스템이 사용될 수 있다. 다양한 실시예는 마이크로소프트 인터넷 익스플로러(Microsoft Internet Explorer), 모질라 파이어폭스(Mozilla FireFox), 구글 크롬(Google Chrome), 애플 사파리(Apple Safari) 또는 인터넷을 브라우징하기 위해 이용가능한 무수한 소프트웨어 패키지 중 임의의 다른 하나를 활용할 수 있다.
다양한 실시예는 임의의 적합한 운영 시스템(예를 들어, 윈도우즈 NT(Windows NT), 95/98/2000/CE/Mobile, OS2, UNIX, 리눅스(Linux), 솔라리스(Solaris), MacOS, PalmOS 등) 뿐 아니라 전형적으로 컴퓨터와 관련되는 다양한 종래의 지원 소프트웨어 및 드라이버(driver)와 함께 동작할 수 있다. 다양한 실시예는 임의의 적합한 퍼스널 컴퓨터, 네트워크 컴퓨터, 워크스테이션, 개인 휴대 정보 단말, 셀룰러 폰, 스마트 폰, 미니컴퓨터, 메인프레임 등을 포함할 수 있다. 실시예는 보안 소켓 층(Secure Socket Layer: SSL), 전송 층 보안(Transport Layer Security: TLS) 및 보안 쉘(Secure Shell: SSH)을 구현할 수 있다. 실시예는 http, https, ftp 및 sftp를 포함하는 임의의 원하는 애플리케이션 층 프로토콜을 구현할 수 있다.
다양한 컴포넌트, 모듈 및/또는 엔진은 마이크로애플리케이션(micro-application) 또는 마이크로앱(micro-app)으로서 구현될 수 있다. 마이크로앱은 전형적으로 예를 들어, 팜 이동 운영 시스템(Palm mobile operating system), 윈도우즈 이동 운영 시스템(Windows mobile operating system), 안드로이드 운영 시스템(Android Operating System), 애플 iOS, 블랙베리 운영 시스템 등을 포함하는 이동 운영 시스템의 문맥에서 배치된다. 마이크로앱은 다양한 운영 시스템 및 하드웨어 자원의 동작을 지배하는 미리 결정된 규칙의 세트를 통해 더 큰 운영 시스템 및 관련 하드웨어의 자원을 레버리지(leverage)하도록 구성될 수 있다. 예를 들어, 마이크로앱이 이동 디바이스 또는 이동 운영 시스템과 다른 디바이스 또는 네트워크와 통신하기를 원하는 경우에, 마이크로앱은 이동 운영 시스템의 미리 결정된 규칙 하에서 운영 시스템 및 관련 디바이스 하드웨어의 통신 프로토콜을 레버리징할 수 있다. 더욱이, 마이크로앱이 사용자로부터의 입력을 원하는 경우에, 마이크로앱은 다양한 하드웨어 컴포넌트를 모니터링하고 그 후에 하드웨어로부터 마이크로앱으로의 검출 입력을 전달하는 운영 시스템으로부터의 응답을 요청하도록 구성될 수 있다.
본 발명에 사용된 바와 같이, 용어 "네트워크"는 하드웨어 및/또는 소프트웨어 컴포넌트를 통합하는 임의의 클라우드, 클라우드 컴퓨팅 시스템 또는 전자 통신 시스템 또는 방법을 포함한다. 파티 중의 통신은 예를 들어, 전화 네트워크, 엑스트라넷, 인트라넷, 인터넷, 상호작용 시점 디바이스(판매시점 관리 디바이스(point of sale device), 개인 휴대 정보 단말(예를 들어, iPhone®, Palm Pilot®, Blackberry®), 셀룰러 폰, 키오스크(kiosk) 등), 온라인 통신, 위성 통신, 오프-라인 통신(off-line communication), 무선 통신, 트랜스폰더 통신(transponder communication), 로컬 영역 네트워크(local area network: LAN), 광역 네트워크(wide area network: WAN), 가상 사설 네트워크(virtual private network: VPN), 네트워킹 또는 링크 디바이스(networked or linked device), 키보드, 마우스 및/또는 임의의 적합한 통신 또는 데이터 입력 양식(data input modality)과 같은 임의의 적합한 통신 채널을 통해 달성될 수 있다. 시스템은 TCP/IP 통신 프로토콜뿐 아니라, IPX, Appletalk, IP-6, NetBIOS, OSI, 임의의 터널링 프로토콜(tunneling protocol)(예를 들어, IPsec, SSH), 또는 임의의 수의 기존 또는 추가의 프로토콜을 활용할 수 있다. 인터넷과 관련하여 활용된 프로토콜, 표준 및 애플리케이션 소프트웨어에 관련된 특정 정보는 일반적으로 당업자에게 알려지고, 그와 같이 본 발명에 상세화되지 않아도 된다.
다양한 시스템 컴포넌트는 예를 들어, 표준 모뎀 통신, 케이블 모뎀(cable modem), 위성 네트워크(satellite network), ISDN, 디지털 가입자 라인(Digital Subscriber Line: DSL), 또는 다양한 무선 통신 방법과 관련하여 전형적으로 사용되는 바와 같이 로컬 루프를 통해 예를 들어, 인터넷 서비스 제공자(Internet Service Provider: ISP)에 대한 연결을 포함하는 데이터 링크를 통해 네트워크에 독립적으로, 별개로 또는 집합적으로 적합하게 커플링될 수 있다. 네트워크가 상호작용 텔레비전(interactive television: ITV) 네트워크와 같은 다른 타입의 네트워크로서 구현될 수 있음이 주목된다.
시스템은 클라우드 컴퓨팅을 사용하여 부분적으로 또는 완전히 구현될 수 있다. "클라우드(cloud)" 또는 "클라우드 컴퓨팅(cloud computing)"은 최소 관리 노력 또는 서비스 제공자 상호작용으로 급격하게 제공되고 릴리즈(released)될 수 있는 구성가능한 컴퓨팅 자원(예를 들어, 네트워크, 서버, 스토리지, 애플리케이션 및 서비스)의 공유 풀에 대한 편리한, 온-디맨드 네트워크 액세스(on-demand network access)를 가능하게 하기 위한 모델을 포함한다. 클라우드 컴퓨팅은 위치-독립 컴퓨팅(location-independent computing)을 포함할 수 있고, 여기서 공유 서버는 컴퓨터 및 요구되는 다른 디바이스에 자원, 소프트웨어 및 데이터를 제공한다.
다양한 실시예는 웹 서비스, 유틸리티 컴퓨팅, 편재형 및 개별화 컴퓨팅, 보안 및 아이덴티티 솔루션(security and identity solution), 자율 컴퓨팅(autonimic computing), 클라우드 컴퓨팅, 상품 컴퓨터(commodity computing), 이동성 및 무선 솔루션(mobility and wireless solution), 오픈 소스(open source), 생체인식(biometrics), 그리드 컴퓨팅(grid computing) 및/또는 메시 컴퓨팅(mesh computing)과 함께 사용될 수 있다.
본 발명에 논의된 임의의 데이터베이스는 관련, 계층적, 도식적, 또는 객체-지향 구조(object-oriented structure) 및/또는 임의의 다른 데이터베이스 구성을 포함할 수 있다. 더욱이, 데이터베이스는 예를 들어, 데이터 테이블 또는 룩업 테이블로서 임의의 적합한 방식으로 조직화될 수 있다. 각 기록은 단일 파일, 일련의 파일, 링크된 일련의 데이터 필드 또는 임의의 다른 데이터 구조일 수 있다. 특정 데이터의 연합은 기술분야에 알려지거나 실시된 바와 같은 임의의 원하는 데이터 연합 기술을 통해 달성될 수 있다. 예를 들어, 그 연합은 수동으로 또는 자동으로 달성될 수 있다.
시스템의 임의의 데이터베이스, 시스템, 디바이스, 서버 또는 다른 컴포넌트는 단일 위치에 또는 다수의 위치에서 그 임의의 조합으로 이루어질 수 있고, 각 데이터베이스 또는 시스템은 방화벽, 액세스 코드, 암호화, 복호화(decryption), 압축(compression), 압축해제(decompression) 및/또는 등과 같은 다양한 적합한 보안 특징 중 임의의 것을 포함한다.
암호화는 기술분야에서 현재 이용가능하거나 이용가능하게 될 수 있는 임의의 기술에 의해 수행될 수 있다―예를 들어, Twofish, RSA, El Gamal, Schorr 서명, DSA, PGP, PKI 및 대칭 및 비대칭 암호시스템(cryptosystem).
실시예는 표준 다이얼-업(dial-up), 케이블, DSL 또는 기술분야에 알려진 임의의 다른 인터넷 프로토콜을 사용하여 인터넷 또는 인트라넷에 연결할 수 있다. 트랜잭션(transaction)은 다른 네트워크의 사용자로부터 비인증 액세스(unauthorized access)를 방지하기 위해 방화벽을 통과할 수 있다.
본 발명에 논의된 컴퓨터는 사용자에 의해 액세스가능한 적합한 웹사이트 또는 다른 인터넷-기반 그래픽 사용자 인터페이스를 제공할 수 있다. 예를 들어, 마이크로소프트 인터넷 정보 서버(Internet Information Server: IIS), 마이크로소프트 트랜잭션 서버(Microsoft Transaction Server: MTS) 및 마이크로소프트 SQL 서버는 마이크로소프트 운영 시스템, 마이크로소프트 NT 웹 서버 소프트웨어, 마이크로소프트 SQL 서버 데이터베이스 시스템 및 마이크로소프트 상거래 서버(Microsoft Commerce Server)와 함께 사용될 수 있다. 추가로, 액세스 또는 마이크로소프트 SQL 서버, 오라클(Oracle), 사이베이스(Sybase), 인포믹스(informix) MySQL, 인터베이스(interbase) 등과 같은 컴포넌트는 활성 데이터 객체(Active Data Object: ADO) 순응 데이터베이스 관리 시스템을 제공하기 위해 사용될 수 있다. 다른 예에서, 아파치 웹 서버(Apache web server)는 리눅스 운영 시스템, MySQL 데이터베이스 및 Perl, PHP 및/또는 피톤 프로그래밍 랭귀지와 함께 사용될 수 있다.
본 발명에 논의된 통신, 입력, 스토리지, 데이터베이스 또는 디스플레이 중 임의의 것이 웹 페이지를 가지는 웹사이트를 통해 용이해질 수 있다. 본 발명에 사용되는 바와 같은 용어 "웹 페이지(web page)"는 사용자와 상호작용하기 위해 사용될 수 있는 문서 및 애플리케이션의 타입을 제한하려는 것이 아니다. 예를 들어, 전형적인 웹 사이트는 표준 HTML 문서에 더하여, 다양한 형태, 자바 애플릿(Java applet), JavaScript, 활성 서버 페이지(active server page: ASP), 공통 게이트웨이 인터페이스 스크립트(common gateway interface script: CGI), 확장가능 마크업 랭귀지(extensible markup language: XML), 동적 HTML, 캐스캐이딩 스타일 시트(cascading style sheet: CSS), AJAX(Asynchronous Javascript And XML), 헬퍼 애플리케이션(helper application), 플러그-인(plug-in) 등을 포함할 수 있다. 서버는 웹 서버로부터의 요청을 수신하는 웹 서비스를 포함할 수 있고, 요청은 URL 및 IP 어드레스를 포함한다. 웹 서버는 적절한 웹 페이지를 검색하고 웹 페이지를 위한 데이터 또는 애플리케이션을 IP 어드레스에 송신한다. 웹 서비스는 인터넷과 같은 통신 수단을 통해 다른 애플리케이션과 상호작용할 수 있는 애플리케이션이다.
다양한 실시예는 브라우저-기반 문서내에 데이터를 디스플레이하기 위한 임의의 원하는 수의 방법을 사용할 수 있다. 예를 들어, 데이터는 표준 텍스트로서 또는 고정 목록, 스크롤가능 목록(scrollable list), 드롭-다운 목록(drop-down list), 에디트가능 텍스트 필드(editable text field), 고정 텍스트 필드, 팝-업 윈도우(pop-up window) 등 내에서 표현될 수 있다. 유사하게, 실시예는 예를 들어, 키보드를 사용한 프리 텍스트 엔트리(free text entry), 메뉴 항목(menu item), 체크 박스(check box), 옵션 박스(option box) 등의 선택과 같은 웹 페이지에서 데이터를 수정하기 위한 임의의 원하는 수의 방법을 활용할 수 있다.
본 발명에 도시된 예시적인 시스템 및 방법은 기능 블록 컴포넌트, 스크린 샷, 임의선택적 선택 및 다양한 프로세싱 단계의 관점에서 설명될 수 있다. 그와 같은 기능 블록은 특정 기능을 수행하도록 구성되는 임의의 수의 하드웨어 및/또는 소프트웨어 컴포넌트에 의해 실현될 수 있음이 인식되어야 한다. 예를 들어, 시스템은 하나 또는 그 이상의 마이크로프로세서 또는 다른 제어 디바이스의 제어 하에 다양한 기능을 실행할 수 있는, 다양한 집적 회로 컴포넌트(integrated circuit component), 예를 들어, 메모리 엘리먼트, 프로세싱 엘리먼트, 논리 엘리먼트, 룩업 테이블 등을 사용할 수 있다. 유사하게, 시스템의 소프트웨어 엘리먼트는 C, C++, C#, Java, JavaScript, VBScript, 매크로미디어 상온 핵융합(Macromedia Cold Fusion), COBOL, 마이크로소프트 활성 서버 페이지(Microsoft Active Server Page), 어셈블리(assembly), PERL, PHP, awk, Python, Visual Basic, SQL 저장 절차(Stored Procedure), PL/SQL, 임의의 UNIX 쉘 스크립트(shell script), 및 데이터 구조, 객체, 프로세스, 루틴 또는 다른 프로그래밍 엘리먼트의 임의의 조합으로 구현되는 다양한 알고리즘을 가지는 확장가능 마크업 랭귀지(XML)와 같은 임의의 프로그래밍 또는 스크립팅 랭귀지(scripting language)로 구현될 수 있다. 또한, 시스템은 데이터 전송, 시그널링(signaling), 데이터 프로세싱, 네트워크 제어 등을 위한 임의의 수의 종래 기술을 사용할 수 있음이 주목되어야 한다. 또한, 시스템은 JavaScript, VBScript 등과 같은 클라이언트-측 스크립팅 랭귀지(client-side scripting language)로 보안 쟁점을 검출하거나 방지하기 위해 사용될 수 있다.
당업자에 의해 인식되는 바와 같이, 시스템은 기존 시스템, 애드-온 제품(add-on product), 업그레이드된 소프트웨어를 실행하는 프로세싱 장치, 자립형 시스템(stand alone system), 분산 시스템(distributed system), 방법, 데이터 프로세싱 시스템, 데이터 프로세싱을 위한 디바이스 및/또는 컴퓨터 프로그램 물건(computer program product)의 커스토마이제이션(customization)으로서 구체화될 수 있다. 따라서, 시스템 또는 모듈의 임의의 부분은 프로세싱 장치 실행 코드, 인터넷 기반 실시예, 전적인 하드웨어 실시예, 또는 인터넷, 소프트웨어 및 하드웨어의 양상을 조합하는 실시예의 형태를 취할 수 있다. 더욱이, 시스템은 스토리지 매체에서 구체화되는 컴퓨터-판독가능 프로그램 코드를 가지는 컴퓨터-판독가능 스토리지 매체 상에 컴퓨터 프로그램 물건의 형태를 취할 수 있다. 하드 디스크, CD-ROM, 광학 스토리지 디바이스, 자기 스토리지 디바이스 및/또는 등을 포함하는 임의의 적합한 컴퓨터-판독가능 스토리지 매체가 활용될 수 있다.
다양한 실시예에 따른 방법, 장치(예를 들어, 시스템) 및 컴퓨터 프로그램 물건의 스크린 샷, 블록도 및 흐름도 예시를 참조하여 시스템 및 방법이 본 발명에 설명된다. 블록도 및 흐름도 예시의 각 기능 블록, 및 블록도 및 흐름도 예시에서의 기능 블록의 조합 각각이 컴퓨터 프로그램 명령에 의해 구현될 수 있음이 이해될 것이다.
이러한 컴퓨터 프로그램 명령은 컴퓨터 또는 다른 프로그램가능 데이터 프로세싱 장치 상에 실행하는 명령이 흐름도 블록 또는 블록들에서 특정된 기능을 구현하기 위한 수단을 생성하도록, 머신을 생산하기 위해 범용 컴퓨터, 특별 목적 컴퓨터(special purpose computer) 또는 다른 프로그램가능 데이터 프로세싱 장치 상에 로딩될 수 있다. 이러한 컴퓨터 프로그램 명령은 또한 컴퓨터-판독가능 메모리에 저장되는 명령이 흐름도 블록 또는 블록들에서 특정된 기능을 구현하는 명령 수단을 포함하는 제조 물품을 생산하도록, 컴퓨터 또는 다른 프로그램가능 데이터 프로세싱 장치가 특정 방식으로 기능하게 지시할 수 있는 컴퓨터-판독가능 메모리에 저장될 수 있다. 또한 컴퓨터 또는 다른 프로그램가능 장치 상에 실행하는 명령이 흐름도 블록 또는 블록들에 특정된 기능을 구현하기 위한 단계를 제공하도록 컴퓨터-구현 프로세스를 생산하기 위해 컴퓨터 또는 다른 프로그램가능 장치 상에 일련의 동작 단계가 수행되게 하도록 컴퓨터 프로그램 명령이 컴퓨터 또는 다른 프로그램가능 데이터 프로세싱 장치 상에 로딩될 수 있다.
따라서, 블록도 및 흐름도 예시의 기능 블록은 특정 기능을 수행하기 위한 수단의 조합, 특정 기능을 수행하기 위한 단계의 조합, 및 특정 기능을 수행하기 위한 프로그램 명령 수단을 지원한다. 블록도 및 흐름도 예시의 각 기능 블록, 및 블록도 및 흐름도 예시에서의 기능 블록의 조합이 특정 기능 또는 단계를 수행하는 특별 목적 하드웨어-기반 컴퓨터 시스템, 또는 특별 목적 하드웨어 및 컴퓨터 명령에 의해 구현될 수 있음이 이해될 것이다. 또한, 프로세스 흐름 및 설명의 예시는 사용자 윈도우즈, 웹페이지, 웹사이트, 웹 형태, 프롬프트(prompt) 등을 참조하여 이루어질 수 있다. 기술자는 본 발명에 설명된 예시 단계가 윈도우즈, 웹페이지, 웹 형태, 팝업 윈도우즈(popup windows), 프롬프트 등의 사용을 포함하는 임의의 수의 구성을 포함할 수 있음을 인식할 것이다. 예시되고 설명된 바와 같은 다수의 단계가 단일 웹페이지 및/또는 윈도우즈 내로 조합될 수 있지만 간략화를 위해 확장됨이 더 인식되어야 한다. 다른 경우에, 단일 프로세스 단계로서 도시되고 설명되는 단계는 다수의 웹페이지 및/또는 윈도우즈 내로 분리될 수 있지만 간략화를 위해 조합된다.
용어 "비-일시적(non-transitory)"은 청구 범위로부터 단지 전파하는 일시적 신호 그 자체를 제거하는 것이고 전파하는 일시적 신호 그 자체가 아닌 모든 표준 컴퓨터-판독가능 매체에 권리를 포기하는 것이 아님이 이해될 것이다. 다른 방식으로 서술하면, 용어 "비-일시적 컴퓨터-판독가능 매체(non-transitory computer-readable medium)"의 의미는 35 U.S.C.§101 하에서 특허가능한 대상(patentable subject matter)의 범위 밖에 속하도록 In Re Nuijten에서 발견된 그와 같은 타입의 일시적 컴퓨터-판독가능 매체만을 배제하는 것으로 해석되어야 한다.
문제점에 대한 이익, 다른 장점 및 해결책은 특정 실시예에 관하여 본 발명에 설명되었다. 그러나, 문제점에 대한 이익, 다른 장점 및 해결책, 및 임의의 이익, 장점 또는 해결책으로 하여금 더 두드러지게 야기할 수 있는 임의의 엘리먼트는 본 발명의 핵심(critical), 요청된 또는 본질적 특징 또는 엘리먼트로서 해석되는 것이 아니다.
본 발명은 방법을 포함하더라도, 자기 또는 광학 메모리 또는 자기 또는 광학 디스크와 같은 탠저블 컴퓨터-판독가능 캐리어(tangible computer-readable carrier) 상에 컴퓨터 프로그램 명령으로서 구체화될 수 있음이 고려된다. 당업자에게 알려지는 상술한 예시적인 실시예의 엘리먼트에 대한 모든 구조적, 화학적 및 기능적 등가물(equivalent)은 참조에 의해 본 발명에 명시적으로 포함되고 본 청구범위에 의해 망라되는 것으로 의도된다. 더욱이, 디바이스 또는 방법이 본 발명에 의해 해결되도록 추구되는 각각의 그리고 모든 문제점을 해결해야 하거나 본 청구범위에 의해 망라되어야 하는 것은 아니다. 더욱이, 본 발명에서의 어떠한 엘리먼트, 컴포넌트 또는 방법 단계도 엘리먼트, 컴포넌트 또는 방법 단계가 청구범위에 명시적으로 인용되는지에 관계없이 공공에 전용되는 것으로 의도되지 않는다. 본 발명의 어떠한 청구범위 엘리먼트도 그 엘리먼트가 명시적으로 어구 "~하기 위한 수단(means for)"을 사용하여 인용되지 않는 한, 35 U.S.C. 112, 제 6 조의 규정에 의거하여 해석되어서는 안 된다. 본 발명에 사용된 바와 같이, 용어 "포함하다(comprise)", "포함하는(comprising)", 또는 임의의 변형은 엘리먼트의 목록을 포함하는 프로세스, 방법, 물품 또는 장치가 단지 그 엘리먼트를 포함하는 것이 아니라 그와 같은 프로세스, 방법, 물품 또는 장치에 명시적으로 목록화되지 않거나 내재적이지 않은 다른 엘리먼트를 포함할 수 있도록, 비-배타적 포함(non-exclusive inclusion)을 포괄하는 것으로 의도된다.
"A, B, 또는 C 중 적어도 하나(at least on of A, B or C)", "A, B 및 C 중 적어도 하나(at least one of A, B, and C)" 또는 A, B, 및 C 중 하나 또는 그 이상(one or more of A, B, and C)"과 유사한 어구가 사용되는 경우에, 그 어구는 A 단독으로 실시예에 제시될 수 있고, B 단독으로 실시예에 제시될 수 있고, C 단독으로 실시예에 제시될 수 있거나, 엘리먼트 A, B 및 C의 임의의 조합이 단일 실시예; 예를 들어, A 및 B, A 및 C, B 및 C, 또는 A 및 B 및 C로 제시될 수 있음을 의미하도록 해석되는 것이 의도된다.
본 발명의 범위로부터 이탈하지 않고서 개시된 실시예에 대한 변경 및 수정이 이루어질 수 있다. 이들 및 다른 변경 또는 수정은 다음의 청구범위에서 표현된 바와 같이, 본 발명의 범위 내에 포함되는 것으로 의도된다.

Claims (23)

  1. 컴퓨터 구현 방법에 있어서,
    컴퓨터 시스템에 의해, 복수의 서로 다른 타입의 소스로부터, 데이터 수집을 하되, 수집 데이터는 네트워크 데이터 및 애셋 데이터를 포함하는 단계;
    네트워크 데이터에 기초하여 컴퓨터 시스템에 의해, 네트워크 트래픽 이벤트(network traffic event) 및 상기 네트워크 트래픽 이벤트에 관련되는 복수의 네트워크 애셋(network asset)을 식별하는 단계;
    애셋 데이터에 기초하여 컴퓨터 시스템에 의해 복수의 네트워크 애셋 사이의 연결을 식별하는 단계;
    수집 데이터에 기해, 제1 논리 영역과 관련된 제1 네트워크 애셋의 속성에서의 변화 검출에 응하여, 제1 논리 영역으로부터 제2 논리 영역으로 제1 네트워크 애셋을 이동시키는 단계;
    컴퓨터 시스템에 의해 복수의 네트워크 애셋 및 복수의 네트워크 애셋 사이의 연결을 도시하는 흐름 정보 그래프(flow information graph)를 발생시키는 단계; 및
    컴퓨터 시스템과 통신하는 사용자 인터페이스의 디스플레이를 통해 흐름 정보 그래프를 제시하는 단계를 포함하되,
    복수의 네트워크 애셋은 제1 네트워크 애셋을 포함하며, 흐름 정보 그래프는 네트워크 애셋 사이에 허용되는 네트워크 트래픽과 네트워크 애셋 사이에 차단되는 네트워크 트래픽을 도시하며,
    상기 제1 네트워크 애셋을 이동시키는 단계는, 제1 네트워크 애셋이 제2 논리 영역의 멤버임을 나타내기 위해 데이터베이스를 업데이트하는 단계를 포함하며, 제2 논리 영역에서의 멤버쉽에 기하여 제1 네트워크 애셋과 다른 네트워크 애셋 사이의 통신이 차단되며,
    네트워크 애셋 사이의 연결의 특성 및 네트워크 애셋의 특성 중의 적어도 하나는, 수집 데이터로부터 선택되는 속성에 적어도 부분적으로 기초하여 식별되는 것을 특징으로 하는 컴퓨터 구현 방법.
  2. 청구항 1에 있어서,
    수집 데이터는 라우터, 스위치, 방화벽, 침입 검출 시스템(intrusion detection system), 침입 보호 시스템(intrusion protection system) 및 그 조합으로 이루어진 그룹에서 선택되는 소스로부터 획득되는 컴퓨터 구현 방법.
  3. 청구항 1에 있어서,
    수집 데이터로부터 복제 정보를 필터링 아웃(filtering out)하는 단계를 더 포함하는 컴퓨터 구현 방법.
  4. 삭제
  5. 청구항 1에 있어서,
    속성은 사용자 인터페이스를 통해 사용자에 의해 선택되는 컴퓨터 구현 방법.
  6. 청구항 1에 있어서,
    속성은 컴퓨터 시스템에 의해 자동으로 선택되는 컴퓨터 구현 방법.
  7. 청구항 1에 있어서,
    네트워크 애셋 사이의 연결의 특성과 네트워크 애셋의 특성은 흐름 정보 그래프에 시각적으로 표시되는 컴퓨터 구현 방법.
  8. 청구항 1에 있어서,
    흐름 정보 그래프는 선택가능한 방향성 흐름 라인(flow line)을 이용하여 네트워크 애셋 사이의 연결을 도시하는 컴퓨터 구현 방법.
  9. 청구항 8에 있어서,
    흐름 라인은 연결을 식별하기 위해 사용되는 수집 데이터의 소스의 타입을 표시하는 컴퓨터 구현 방법.
  10. 청구항 8에 있어서,
    네트워크 애셋 사이의 상기 연결의 특성을 식별하는 단계; 및
    사용자 인터페이스를 통해 사용자에 의해, 복수의 연결로부터의 연결과 관련된 각각의 흐름 라인의 선택에 응답하여, 선택된 연결의 특성을 디스플레이하는 단계를 더 포함하는 컴퓨터 구현 방법.
  11. 청구항 10에 있어서,
    선택된 연결의 특성을 디스플레이하는 단계는 선택된 연결을 통해 트래픽을 허용하고 차단하기 위한 규칙을 디스플레이하는 단계를 포함하는 컴퓨터 구현 방법.
  12. 청구항 11에 있어서,
    사용자 인터페이스를 통해 사용자로부터, 선택된 연결을 통해 트래픽을 허용하고 차단하기 위한 디스플레이된 규칙에 대한 에디트(edit)를 수신하는 단계; 및
    에디트 규칙을 선택된 연결에 적용하는 단계를 더 포함하는 컴퓨터 구현 방법.
  13. 청구항 1에 있어서,
    흐름 정보 그래프를 발생시키는 단계는:
    보안 취약성의 타입과 관련되는 애셋을 식별하는 단계; 및
    식별된 애셋이 흐름 정보 그래프에서 보안 취약성과 관련됨을 시각적으로 표시하는 단계를 포함하는 컴퓨터 구현 방법.
  14. 청구항 1에 있어서,
    흐름 정보 그래프는, 애셋, 및 애셋과 관련되는 네트워크 데이터 및 애셋과 관련되는 시스템 동작 속성 중의 적어도 하나에 관한 정보를 도시하는 컴퓨터 구현 방법.
  15. 청구항 1에 있어서,
    업데이트된 데이터를 수집하는 단계;
    업데이트된 데이터에 기초하여 흐름 정보 그래프를 업데이팅하는 단계; 및
    사용자 인터페이스의 디스플레이를 통해 업데이트된 흐름 정보를 제시하는 단계를 더 포함하는 컴퓨터 구현 방법.
  16. 삭제
  17. 청구항 1에 있어서,
    사용자 인터페이스를 통해 사용자 입력에 응답하여 흐름 정보 그래프에 관련되는 데이터를 저장하는 단계를 더 포함하며,
    흐름 정보 그래프에 관련되는 데이터는 상기 흐름 정보 그래프를 발생시키기 위해 사용되는 수집 데이터 및 흐름 정보 그래프 자체 중의 적어도 하나를 포함하는 컴퓨터 구현 방법.
  18. 청구항 1에 있어서,
    수집 데이터를 분석하는 단계; 및
    수집 데이터의 분석에 응답하여 경보를 발생시키는 단계를 더 포함하는 컴퓨터 구현 방법.
  19. 청구항 18에 있어서,
    수집 데이터를 분석하는 단계는, 수집 데이터를, 보안 정책, 표준 규정 준수 정책(standard compliance policy) 및 수행 표준(performance standard) 중의 적어도 하나와 비교하는 단계를 포함하는 컴퓨터 구현 방법.
  20. 삭제
  21. 삭제
  22. 명령을 저장하는 탠저블(tangible) 비일시적 컴퓨터 판독가능한 매체에 있어서,
    상기 명령은 실행될 때 컴퓨터 시스템으로 하여금
    복수의 서로 다른 타입의 소스로부터 데이터를 수집하게 하고, 수집 데이터는 네트워크 데이터 및 애셋 데이터를 포함하며,
    네트워크 데이터에 기초하여, 네트워크 트래픽 이벤트 및 네트워크 트래픽 이벤트에 관련된 복수의 네트워크 애셋을 식별하게 하고,
    애셋 데이터에 기초하여, 복수의 네트워크 애셋 사이의 연결을 식별하게 하고,
    수집 데이터에 기해, 제1 논리 영역과 관련된 제1 네트워크 애셋의 속성에서의 변화 검출에 응하여, 제1 논리 영역으로부터 제2 논리 영역으로 제1 네트워크 애셋을 이동시키고,
    복수의 네트워크 애셋 및 복수의 네트워크 애셋 사이의 연결을 도시하는 흐름 정보 그래프를 발생하게 하고,
    컴퓨터 시스템과 통신하는 사용자 인터페이스의 디스플레이를 통해 흐름 정보 그래프를 제시하게 하되,
    복수의 네트워크 애셋은 제1 네트워크 애셋을 포함하며, 흐름 정보 그래프는 네트워크 애셋 사이에 허용되는 네트워크 트래픽과 네트워크 애셋 사이에 차단되는 네트워크 트래픽을 도시하며,
    제1 네트워크 애셋의 이동은, 제1 네트워크 애셋이 제2 논리 영역의 멤버임을 나타내기 위한 데이터베이스의 업데이트를 포함하며, 제2 논리 영역에서의 멤버쉽에 기하여 제1 네트워크 애셋과 다른 네트워크 애셋 사이의 통신이 차단되며,
    네트워크 애셋 사이의 연결의 특성 및 네트워크 애셋의 특성 중의 적어도 하나는, 수집 데이터로부터 선택되는 속성에 적어도 부분적으로 기초하여 식별되는 것을 특징으로 하는 탠저블 비일시적 컴퓨터 판독가능한 매체.
  23. 컴퓨터 시스템에 있어서,
    프로세서; 및
    프로세서와 통신하고 명령을 저장하는 메모리를 포함하고, 명령은 프로세서에 의해 실행될 때 상기 컴퓨터 시스템으로 하여금,
    복수의 서로 다른 타입의 소스로부터 데이터를 수집하게 하고, 수집 데이터는 네트워크 데이터 및 애셋 데이터를 포함하며,
    네트워크 데이터에 기초하여, 네트워크 트래픽 이벤트 및 네트워크 트래픽 이벤트에 관련된 복수의 네트워크 애셋을 식별하게 하고,
    애셋 데이터에 기초하여, 복수의 네트워크 애셋 사이의 연결을 식별하게 하고,
    수집 데이터에 기해, 제1 논리 영역과 관련된 제1 네트워크 애셋의 속성에서의 변화 검출에 응하여, 제1 논리 영역으로부터 제2 논리 영역으로 제1 네트워크 애셋을 이동시키고,
    복수의 네트워크 애셋 및 복수의 네트워크 애셋 사이의 연결을 도시하는 흐름 정보 그래프를 발생시키게 하고,
    컴퓨터 시스템과 통신하는 사용자 인터페이스의 디스플레이를 통해 흐름 정보 그래프를 제시하게 하되,
    복수의 네트워크 애셋은 제1 네트워크 애셋을 포함하며, 흐름 정보 그래프는 네트워크 애셋 사이에 허용되는 네트워크 트래픽과 네트워크 애셋 사이에 차단되는 네트워크 트래픽을 도시하며,
    제1 네트워크 애셋의 이동은, 제1 네트워크 애셋이 제2 논리 영역의 멤버임을 나타내기 위한 데이터베이스의 업데이트를 포함하며, 제2 논리 영역에서의 멤버쉽에 기하여 제1 네트워크 애셋과 다른 네트워크 애셋 사이의 통신이 차단되며,
    네트워크 애셋 사이의 연결의 특성 및 네트워크 애셋의 특성 중의 적어도 하나는, 수집 데이터로부터 선택되는 속성에 적어도 부분적으로 기초하여 식별되는 것을 특징으로 하는 컴퓨터 시스템.
KR1020177009320A 2014-09-05 2015-08-12 네트워크 분석 및 보고를 위한 시스템 및 방법 KR102009684B1 (ko)

Applications Claiming Priority (7)

Application Number Priority Date Filing Date Title
US201462046807P 2014-09-05 2014-09-05
US62/046,807 2014-09-05
US201462060433P 2014-10-06 2014-10-06
US62/060,433 2014-10-06
US14/523,624 2014-10-24
US14/523,624 US9912549B2 (en) 2013-06-14 2014-10-24 Systems and methods for network analysis and reporting
PCT/US2015/044865 WO2016036485A1 (en) 2014-09-05 2015-08-12 Systems and methods for network analysis and reporting

Publications (2)

Publication Number Publication Date
KR20170054449A KR20170054449A (ko) 2017-05-17
KR102009684B1 true KR102009684B1 (ko) 2019-08-12

Family

ID=55438612

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020177009320A KR102009684B1 (ko) 2014-09-05 2015-08-12 네트워크 분석 및 보고를 위한 시스템 및 방법

Country Status (9)

Country Link
US (2) US9912549B2 (ko)
EP (1) EP3189627A4 (ko)
KR (1) KR102009684B1 (ko)
CN (1) CN107005544A (ko)
AU (2) AU2015312382B2 (ko)
CA (1) CA2963232A1 (ko)
CO (1) CO2017003261A2 (ko)
RU (1) RU2677378C2 (ko)
WO (1) WO2016036485A1 (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022181958A1 (ko) * 2021-02-24 2022-09-01 주식회사 오픈소스컨설팅 시스템 프로세스 정보를 이용한 클라우드 마이그레이션 데이터 분석 방법 및 그 시스템

Families Citing this family (48)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9142965B2 (en) 2011-07-28 2015-09-22 Tigo Energy, Inc. Systems and methods to combine strings of solar panels
US9088541B2 (en) 2013-05-31 2015-07-21 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration
US11196636B2 (en) 2013-06-14 2021-12-07 Catbird Networks, Inc. Systems and methods for network data flow aggregation
US9912549B2 (en) 2013-06-14 2018-03-06 Catbird Networks, Inc. Systems and methods for network analysis and reporting
US9769174B2 (en) 2013-06-14 2017-09-19 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
US11675837B2 (en) * 2014-03-17 2023-06-13 Modelizeit Inc. Analysis of data flows in complex enterprise IT environments
US9501915B1 (en) 2014-07-07 2016-11-22 Google Inc. Systems and methods for analyzing a video stream
US10140827B2 (en) 2014-07-07 2018-11-27 Google Llc Method and system for processing motion event notifications
US9544636B2 (en) 2014-07-07 2017-01-10 Google Inc. Method and system for editing event categories
EP3238407A4 (en) 2014-09-05 2018-08-15 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
USD782495S1 (en) * 2014-10-07 2017-03-28 Google Inc. Display screen or portion thereof with graphical user interface
US9697349B2 (en) 2014-10-26 2017-07-04 Microsoft Technology Licensing, Llc Access blocking for data loss prevention in collaborative environments
US20160301585A1 (en) * 2015-04-13 2016-10-13 defend7, Inc. Real-time tracking and visibility into application communications and component interactions
US9361011B1 (en) 2015-06-14 2016-06-07 Google Inc. Methods and systems for presenting multiple live video feeds in a user interface
US10333815B2 (en) * 2016-03-17 2019-06-25 Nec Corporation Real-time detection of abnormal network connections in streaming data
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US10506237B1 (en) 2016-05-27 2019-12-10 Google Llc Methods and devices for dynamic adaptation of encoding bitrate for video streaming
US10380429B2 (en) 2016-07-11 2019-08-13 Google Llc Methods and systems for person detection in a video feed
US10957171B2 (en) 2016-07-11 2021-03-23 Google Llc Methods and systems for providing event alerts
US10320617B2 (en) * 2016-09-12 2019-06-11 Illumio, Inc. Representation of servers in a distributed network information management system for efficient aggregation of information
US20180115469A1 (en) * 2016-10-21 2018-04-26 Forward Networks, Inc. Systems and methods for an interactive network analysis platform
US10298605B2 (en) * 2016-11-16 2019-05-21 Red Hat, Inc. Multi-tenant cloud security threat detection
US20190354690A1 (en) * 2016-12-08 2019-11-21 Atricore Inc. Systems, devices and methods for application and privacy compliance monitoring and security threat analysis processing
CA2989897C (en) * 2016-12-29 2021-09-21 Bce Inc. Cyber threat intelligence system infrastructure
US10594576B2 (en) * 2017-01-31 2020-03-17 Splunk Inc. Visualizing network activity involving networked computing devices distributed across network address spaces
US10205736B2 (en) 2017-02-27 2019-02-12 Catbird Networks, Inc. Behavioral baselining of network systems
US11783010B2 (en) 2017-05-30 2023-10-10 Google Llc Systems and methods of person recognition in video streams
US10410086B2 (en) 2017-05-30 2019-09-10 Google Llc Systems and methods of person recognition in video streams
US11134227B2 (en) 2017-09-20 2021-09-28 Google Llc Systems and methods of presenting appropriate actions for responding to a visitor to a smart home environment
US10664688B2 (en) 2017-09-20 2020-05-26 Google Llc Systems and methods of detecting and responding to a visitor to a smart home environment
CN107844705B (zh) * 2017-11-14 2021-04-02 苏州棱镜七彩信息科技有限公司 基于二进制代码特征的第三方组件漏洞检测方法
US11190544B2 (en) 2017-12-11 2021-11-30 Catbird Networks, Inc. Updating security controls or policies based on analysis of collected or created metadata
US20190281072A1 (en) * 2018-03-07 2019-09-12 Saudi Arabian Oil Company Asset discovery using established network connections of known assets
US11140180B2 (en) * 2018-03-23 2021-10-05 International Business Machines Corporation Guard system for automatic network flow controls for internet of things (IoT) devices
US10819751B2 (en) 2018-03-30 2020-10-27 Amazon Technologies, Inc. Firewall management service architecture
CN108881234A (zh) * 2018-06-12 2018-11-23 甘肃民族师范学院 基于计算机通信的网络信息安全监管系统
US10924336B2 (en) 2019-01-10 2021-02-16 International Business Machines Corporation Method for dynamically controlling the membership of a zone in a cloud environment
US11265292B1 (en) * 2019-01-28 2022-03-01 Amazon Technologies, Inc. Graph based management of virtualized infrastructures
US11245600B2 (en) 2019-07-18 2022-02-08 Citrix Systems, Inc. System and method for processing network data
US10789103B1 (en) * 2019-09-06 2020-09-29 Capital One Services, Llc Executing computing modules using multi-coring
US10915367B1 (en) 2019-07-23 2021-02-09 Capital One Services, Llc Executing computing modules using multi-coring
US11616814B2 (en) * 2019-09-30 2023-03-28 Thinkrite, Inc. Data privacy in screen sharing during a web conference
US11893795B2 (en) 2019-12-09 2024-02-06 Google Llc Interacting with visitors of a connected home environment
US11823120B2 (en) * 2019-12-13 2023-11-21 Salesforce, Inc. System or method of verifying an asset using blockchain and collected asset and device information
US11394750B1 (en) * 2020-02-28 2022-07-19 Red Hat, Inc. System and method for generating network security policies in a distributed computation system utilizing containers
US11290481B2 (en) 2020-07-09 2022-03-29 Bank Of America Corporation Security threat detection by converting scripts using validation graphs
US11811804B1 (en) 2020-12-15 2023-11-07 Red Hat, Inc. System and method for detecting process anomalies in a distributed computation system utilizing containers
CN114866434B (zh) * 2022-03-09 2023-05-02 上海纽盾科技股份有限公司 网络资产的安全评估方法及应用

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050050351A1 (en) * 2003-08-25 2005-03-03 Stuart Cain Security intrusion mitigation system and method
US20090327903A1 (en) * 2006-07-06 2009-12-31 Referentia Systems, Inc. System and Method for Network Topology and Flow Visualization

Family Cites Families (98)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5657470A (en) 1994-11-09 1997-08-12 Ybm Technologies, Inc. Personal computer hard disk protection system
US6292833B1 (en) 1998-07-17 2001-09-18 Openwave Systems Inc. Method and apparatus for providing access control to local services of mobile devices
US6278694B1 (en) 1999-04-16 2001-08-21 Concord Communications Inc. Collecting and reporting monitoring data from remote network probes
US7757271B2 (en) 2000-04-19 2010-07-13 Hewlett-Packard Development Company, L.P. Computer system security service
GB2380279B (en) 2001-10-01 2006-05-10 Soundvoice Ltd Computer firewall system and method
AU2003228541A1 (en) 2002-04-15 2003-11-03 Core Sdi, Incorporated Secure auditing of information systems
US20040078105A1 (en) 2002-09-03 2004-04-22 Charles Moon System and method for workflow process management
US6952779B1 (en) 2002-10-01 2005-10-04 Gideon Cohen System and method for risk detection and analysis in a computer network
US20040075675A1 (en) 2002-10-17 2004-04-22 Tommi Raivisto Apparatus and method for accessing services via a mobile terminal
US7624375B2 (en) 2003-06-12 2009-11-24 National Instruments Corporation Automatically configuring a graphical user interface element to bind to a graphical program
US7827602B2 (en) 2003-06-30 2010-11-02 At&T Intellectual Property I, L.P. Network firewall host application identification and authentication
US7346922B2 (en) * 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US20050125389A1 (en) 2003-12-09 2005-06-09 Electronic Data Systems Corporation Providing access to a service using a service engine
US7194769B2 (en) 2003-12-11 2007-03-20 Massachusetts Institute Of Technology Network security planning architecture
US7281114B2 (en) 2003-12-26 2007-10-09 Tdk Corporation Memory controller, flash memory system, and method of controlling operation for data exchange between host system and flash memory
US8166554B2 (en) 2004-02-26 2012-04-24 Vmware, Inc. Secure enterprise network
US7499994B2 (en) 2004-03-30 2009-03-03 Emc Corporation System and method of providing performance information for a communications network
US7877599B2 (en) 2004-05-28 2011-01-25 Nokia Inc. System, method and computer program product for updating the states of a firewall
US20060021034A1 (en) 2004-07-22 2006-01-26 Cook Chad L Techniques for modeling changes in network security
US7529195B2 (en) 2004-07-30 2009-05-05 Fortiusone, Inc. System and method of mapping and analyzing vulnerabilities in networks
US20060041936A1 (en) 2004-08-19 2006-02-23 International Business Machines Corporation Method and apparatus for graphical presentation of firewall security policy
US8116226B1 (en) 2005-01-28 2012-02-14 PMC-Sierra, USA Inc. Method and apparatus for broadcast primitive filtering in SAS
US7668925B1 (en) 2005-01-28 2010-02-23 Pmc-Sierra, Inc. Method and apparatus for routing in SAS using logical zones
US7593013B2 (en) * 2005-03-11 2009-09-22 University Of Utah Research Foundation Systems and methods for displaying and querying heterogeneous sets of data
US8117340B2 (en) 2005-04-25 2012-02-14 Microsoft Corporation Trans-network roaming and resolution with web services for devices
US20070006315A1 (en) 2005-07-01 2007-01-04 Firas Bushnaq Network asset security risk surface assessment apparatus and method
US20150236895A1 (en) 2005-08-19 2015-08-20 Cpacket Networks Inc. Apparatus, System, and Method for Enhanced Monitoring and Interception of Network Data
US20070079307A1 (en) 2005-09-30 2007-04-05 Puneet Dhawan Virtual machine based network carriers
US7930752B2 (en) 2005-11-18 2011-04-19 Nexthink S.A. Method for the detection and visualization of anomalous behaviors in a computer network
US20070143827A1 (en) 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US7801128B2 (en) 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US8321944B1 (en) * 2006-06-12 2012-11-27 Redseal Networks, Inc. Adaptive risk analysis methods and apparatus
US7886351B2 (en) 2006-06-19 2011-02-08 Microsoft Corporation Network aware firewall
US8214889B2 (en) 2006-11-03 2012-07-03 Microsoft Corporation Selective auto-revocation of firewall security settings
US7849497B1 (en) * 2006-12-14 2010-12-07 Athena Security, Inc. Method and system for analyzing the security of a network
US8020207B2 (en) * 2007-01-23 2011-09-13 Alcatel Lucent Containment mechanism for potentially contaminated end systems
US7711979B2 (en) 2007-02-16 2010-05-04 Symantec Corporation Method and apparatus for flexible access to storage facilities
EP1976185B1 (en) * 2007-03-27 2019-05-01 Nokia Solutions and Networks GmbH & Co. KG Operating network entities in a communication system comprising a management network with agent and management levels
WO2008127312A1 (en) * 2007-04-13 2008-10-23 Thomson Licensing System and method for mapping logical and physical assets in a user interface
US7792990B2 (en) * 2007-04-30 2010-09-07 Hewlett-Packard Development Company, L.P. Remote client remediation
CN101682626A (zh) 2007-05-24 2010-03-24 爱维技术解决方案私人有限公司 用于模拟对网络的黑客攻击的方法和系统
US8209738B2 (en) 2007-05-31 2012-06-26 The Board Of Trustees Of The University Of Illinois Analysis of distributed policy rule-sets for compliance with global policy
US20090199298A1 (en) 2007-06-26 2009-08-06 Miliefsky Gary S Enterprise security management for network equipment
US9118706B2 (en) 2007-06-29 2015-08-25 Verizon Patent And Licensing Inc. Using imported data from security tools
US8099787B2 (en) 2007-08-15 2012-01-17 Bank Of America Corporation Knowledge-based and collaborative system for security assessment of web applications
US8667556B2 (en) 2008-05-19 2014-03-04 Cisco Technology, Inc. Method and apparatus for building and managing policies
US8713627B2 (en) 2008-08-14 2014-04-29 Juniper Networks, Inc. Scalable security services for multicast in a router having integrated zone-based firewall
US20100058456A1 (en) 2008-08-27 2010-03-04 Sushil Jajodia IDS Sensor Placement Using Attack Graphs
US8612372B2 (en) 2008-08-29 2013-12-17 International Business Machines Corporation Detection rule-generating facility
CN101854340B (zh) 2009-04-03 2015-04-01 瞻博网络公司 基于访问控制信息进行的基于行为的通信剖析
US8205035B2 (en) 2009-06-22 2012-06-19 Citrix Systems, Inc. Systems and methods for integration between application firewall and caching
US9621516B2 (en) 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8131992B2 (en) * 2009-07-01 2012-03-06 Infoblox Inc. Methods and apparatus for identifying the impact of changes in computer networks
EP2302638B1 (fr) 2009-09-21 2013-04-17 STMicroelectronics (Rousset) SAS Procédé d'écriture et de lecture de données dans une mémoire non volatile, au moyen de métadonnées
US8407800B2 (en) 2009-11-24 2013-03-26 Honeywell International Inc. Method for software vulnerability flow analysis, generation of vulnerability-covering code, and multi-generation of functionally-equivalent code
EP2357575A1 (en) 2010-02-12 2011-08-17 Research In Motion Limited Image-based and predictive browsing
US9268945B2 (en) 2010-03-19 2016-02-23 Contrast Security, Llc Detection of vulnerabilities in computer systems
US8549650B2 (en) 2010-05-06 2013-10-01 Tenable Network Security, Inc. System and method for three-dimensional visualization of vulnerability and asset data
US8832835B1 (en) 2010-10-28 2014-09-09 Symantec Corporation Detecting and remediating malware dropped by files
US8683560B1 (en) 2010-12-29 2014-03-25 Amazon Technologies, Inc. Techniques for credential generation
EP2707806A4 (en) 2011-05-12 2014-11-12 Airpatrol Corp NETWORK INTERACTION MANAGEMENT FOR DEVICES
US8516241B2 (en) 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
WO2013014672A1 (en) * 2011-07-26 2013-01-31 Light Cyber Ltd A method for detecting anomaly action within a computer network
CN103890815B (zh) 2011-08-04 2017-09-12 游戏软件工作室亚洲私人有限公司 用于主管可被远程自动创建、主管和终止的瞬变虚拟世界的方法和系统
US8839349B2 (en) 2011-10-18 2014-09-16 Mcafee, Inc. Integrating security policy and event management
US9009319B2 (en) 2012-01-18 2015-04-14 Rackspace Us, Inc. Optimizing allocation of on-demand resources using performance
US9058198B2 (en) 2012-02-29 2015-06-16 Red Hat Inc. System resource sharing in a multi-tenant platform-as-a-service environment in a cloud computing system
US8955036B2 (en) 2012-04-11 2015-02-10 Mcafee, Inc. System asset repository management
US9189395B2 (en) 2012-04-27 2015-11-17 Seagate Technology Llc Method and apparatus for adjustable virtual addressing for data storage
US8949931B2 (en) 2012-05-02 2015-02-03 Cisco Technology, Inc. System and method for monitoring application security in a network environment
US9049105B1 (en) 2012-05-11 2015-06-02 Amazon Technologies, Inc. Systems and methods for tracking and managing event records associated with network incidents
US9203847B2 (en) 2012-06-26 2015-12-01 At&T Intellectual Property I, L.P. Detection and management of unauthorized use of cloud computing services
US9503475B2 (en) 2012-08-14 2016-11-22 Ca, Inc. Self-adaptive and proactive virtual machine images adjustment to environmental security risks in a cloud environment
US8959513B1 (en) 2012-09-27 2015-02-17 Juniper Networks, Inc. Controlling virtualization resource utilization based on network state
US9154507B2 (en) 2012-10-15 2015-10-06 International Business Machines Corporation Automated role and entitlements mining using network observations
KR101681855B1 (ko) 2012-10-23 2016-12-01 레이던 컴퍼니 공격에 대한 네트워크 복원성을 시뮬레이트하기 위한 방법 및 장치
US9712551B2 (en) 2012-11-30 2017-07-18 The Boeing Company Methods and systems for architecture-centric threat modeling, analysis and visualization
US9171169B2 (en) 2012-12-14 2015-10-27 Salesforce.Com, Inc. System and method for dynamic analysis wrapper objects for application dataflow
EP2753069A1 (en) 2013-01-08 2014-07-09 PIXarithmic GmbH Method of dynamic real-time video processing and apparatus to execute the method
US8893283B2 (en) 2013-01-31 2014-11-18 Hewlett-Packard Development Company, L.P. Performing an automated compliance audit by vulnerabilities
US9804890B1 (en) 2013-02-15 2017-10-31 Amazon Technologies, Inc. Termination policies for scaling compute resources
US9195484B1 (en) 2013-03-12 2015-11-24 Amazon Technologies, Inc. Dynamic logical zone assignment
US9507540B1 (en) 2013-03-14 2016-11-29 Amazon Technologies, Inc. Secure virtual machine memory allocation management via memory usage trust groups
US10075470B2 (en) 2013-04-19 2018-09-11 Nicira, Inc. Framework for coordination between endpoint security and network security services
US20140351415A1 (en) * 2013-05-24 2014-11-27 PacketSled Inc. Selective packet capture
US9088541B2 (en) 2013-05-31 2015-07-21 Catbird Networks, Inc. Systems and methods for dynamic network security control and configuration
US9912549B2 (en) 2013-06-14 2018-03-06 Catbird Networks, Inc. Systems and methods for network analysis and reporting
US9769174B2 (en) 2013-06-14 2017-09-19 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
US11196636B2 (en) 2013-06-14 2021-12-07 Catbird Networks, Inc. Systems and methods for network data flow aggregation
EP3066607B1 (en) 2013-11-04 2018-12-12 Illumio, Inc. Pairing in a distributed network management system that uses a logical multi-dimensional label-based policy model
US9485279B2 (en) 2013-11-04 2016-11-01 Illumio, Inc. Automated generation of access control rules for use in a distributed network management system that uses a label-based policy model
US9674042B2 (en) * 2013-11-25 2017-06-06 Amazon Technologies, Inc. Centralized resource usage visualization service for large-scale network topologies
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
EP3238407A4 (en) 2014-09-05 2018-08-15 Catbird Networks, Inc. Systems and methods for creating and modifying access control lists
US9591027B2 (en) 2015-02-17 2017-03-07 Qualys, Inc. Advanced asset tracking and correlation
US9509574B2 (en) 2015-04-03 2016-11-29 Illumio, Inc. End-to-end policy enforcement in the presence of a traffic midpoint device
US10284520B2 (en) 2017-02-02 2019-05-07 Cisco Technology, Inc. Mitigation against domain name system (DNS) amplification attack
US10205736B2 (en) 2017-02-27 2019-02-12 Catbird Networks, Inc. Behavioral baselining of network systems

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20050050351A1 (en) * 2003-08-25 2005-03-03 Stuart Cain Security intrusion mitigation system and method
US20090327903A1 (en) * 2006-07-06 2009-12-31 Referentia Systems, Inc. System and Method for Network Topology and Flow Visualization

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2022181958A1 (ko) * 2021-02-24 2022-09-01 주식회사 오픈소스컨설팅 시스템 프로세스 정보를 이용한 클라우드 마이그레이션 데이터 분석 방법 및 그 시스템

Also Published As

Publication number Publication date
WO2016036485A1 (en) 2016-03-10
AU2015312382B2 (en) 2018-03-15
US20160072831A1 (en) 2016-03-10
KR20170054449A (ko) 2017-05-17
AU2015312382A1 (en) 2017-04-13
US11012318B2 (en) 2021-05-18
EP3189627A1 (en) 2017-07-12
EP3189627A4 (en) 2018-07-18
CO2017003261A2 (es) 2017-06-30
CN107005544A (zh) 2017-08-01
US9912549B2 (en) 2018-03-06
AU2018204279B2 (en) 2020-02-20
AU2018204279A1 (en) 2018-07-05
RU2017111215A3 (ko) 2018-10-05
CA2963232A1 (en) 2016-03-10
RU2017111215A (ru) 2018-10-05
RU2677378C2 (ru) 2019-01-16
US20180191578A1 (en) 2018-07-05

Similar Documents

Publication Publication Date Title
KR102009684B1 (ko) 네트워크 분석 및 보고를 위한 시스템 및 방법
US10862920B2 (en) Systems and methods for dynamic network security control and configuration
US11190544B2 (en) Updating security controls or policies based on analysis of collected or created metadata
US9769174B2 (en) Systems and methods for creating and modifying access control lists
US10728251B2 (en) Systems and methods for creating and modifying access control lists
US11196636B2 (en) Systems and methods for network data flow aggregation
US10341366B2 (en) Managing security breaches in a networked computing environment
EP3513543B1 (en) Dynamic policy injection and access visualization for threat detection
JP2020511098A (ja) ネットワークシステムの行動ベースライニング
US11503078B2 (en) Management of security and compliance controls for multi-cloud workloads
US11962620B2 (en) Policy-driven management of security and compliance controls for multi-cloud workloads
US11683350B2 (en) System and method for providing and managing security rules and policies
US20220311805A1 (en) System and Method for Providing and Managing Security Rules and Policies

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant