KR20060056231A - 보안 정책 배포 방법 및 시스템 - Google Patents

보안 정책 배포 방법 및 시스템 Download PDF

Info

Publication number
KR20060056231A
KR20060056231A KR1020050091837A KR20050091837A KR20060056231A KR 20060056231 A KR20060056231 A KR 20060056231A KR 1020050091837 A KR1020050091837 A KR 1020050091837A KR 20050091837 A KR20050091837 A KR 20050091837A KR 20060056231 A KR20060056231 A KR 20060056231A
Authority
KR
South Korea
Prior art keywords
rules
enforcement
computer system
engines
rule
Prior art date
Application number
KR1020050091837A
Other languages
English (en)
Other versions
KR101183423B1 (ko
Inventor
엠마뉴엘 팔레오로그
에릭 이. 영블러트
맥심 에이. 이바노브
나라심하 라오 에스.에스. 나감팔리
사친 씨. 쉬트
쉬리스 코티
윤 린
Original Assignee
마이크로소프트 코포레이션
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 마이크로소프트 코포레이션 filed Critical 마이크로소프트 코포레이션
Publication of KR20060056231A publication Critical patent/KR20060056231A/ko
Application granted granted Critical
Publication of KR101183423B1 publication Critical patent/KR101183423B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F15/00Digital computers in general; Data processing equipment in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0209Architectural arrangements, e.g. perimeter networks or demilitarized zones
    • H04L63/0218Distributed architectures, e.g. distributed firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Abstract

보안 정책들을 배포하고 실행하는 방법 및 시스템이 제공된다. 보호될 호스트 컴퓨터에서 실행되는 방화벽 에이젼트는 호스트 컴퓨터 시스템상의 보안 정책들의 실시를 담당하는 실시 엔진들에 대한 보안 정책들을 수신한다. 보안 정책은 조건과, 조건이 충족되는 때에 수행될 동작을 각기 제공하는 규칙들을 가진다. 규칙은 규칙들의 실시를 담당하는 보안 컴포넌트들을 식별하기 위하여 분산 시스템에서 이용되는 규칙 타입 또한 가진다. 호스트 컴퓨터 시스템에서 수신된 보안 정책들을 배포하기 위하여, 방화벽 에이젼트는 부분적으로 규칙 타입에 근거하여 규칙이 적용되는 실시 엔진을 식별한다. 그 후에, 방화벽 에이젼트는 이러한 규칙을 식별된 실시 엔진에 배포하고, 그 후에 이러한 규칙을 실시한다.
보안 정책, 방화벽 에이젼트, 정책 배포

Description

보안 정책 배포 방법 및 시스템{METHOD AND SYSTEM FOR DISTRIBUTING SECURITY POLICIES}
도 1은 일 실시예에서의 분산 방화벽 시스템을 도시하는 블럭도.
도 2는 일 실시예에서 호스트 컴퓨터 시스템상에서 실행되는 분산 방화벽 시스템의 일부의 컴포넌트들을 도시하는 블럭도.
도 3은 일 실시예에서 방화벽 에이젼트의 분산 정책 컴포넌트의 처리를 도시하는 흐름도.
도 4는 일 실시예에서 흐름 관리기 컴포넌트의 처리를 도시하는 흐름도.
도 5는 일 실시예에서 특정 계층에 대한 실시 엔진의 처리를 도시하는 흐름도.
<도면의 주요 부분에 대한 부호의 설명>
100 : 분산 방화벽 시스템 110 : 정책 서버
111 : 정책 서버 컴포넌트 112 : 정책 저장
120 : 호스트 121 : 방화벽 에이젼트
122 : 실시 엔진 220 : 방화벽 에이젼트
240 : 애플리케이션 241 : N 계층 보안 컴포넌트
243 : N 계층 흐름 관리기 244 : N 계층 프로토콜 후크
[특허문헌 1] 미국 특허 출원 제10/882,438호(2004.7.1 출원)
[특허문헌 2] 미국 특허 출원 제10/966,800호(2004.10.14 출원)
[특허문헌 3] 미국 특허 출원 제10/832,798호(2004.4.27 출원)
[특허문헌 4] 미국 특허 출원 제10/955,963호(2004.9.30 출원)
본 발명은 전반적으로 컴퓨터 시스템의 취약부의 착취(exploitation)의 방지에 관한 것이다.
비록 인터넷이 컴퓨터 시스템들 사이의 통신을 촉진시키고, 전자 상거래를 가능하게 하는 데에 큰 성공을 거두었지만, 인터넷에 접속된 컴퓨터 시스템들은 그들의 동작을 혼란시키고자 하는 해커들에 의해 거의 항상 공격을 받아왔다. 많은 공격들은 컴퓨터 시스템상에서 수행되는 애플리케이션 프로그램들 또는 기타 컴퓨터 프로그램을 포함하는 소프트웨어 시스템들의 취약부를 착취하려고 한다. 소프트웨어 시스템 개발자와 기업의 컴퓨터 시스템 관리자는 취약부를 식별하고 제거하는 데에 많은 노력과 비용을 들인다. 그러나, 소프트웨어 시스템의 복잡도에 기인하여, 소프트웨어 시스템이 공개되기 전에 모든 취약부를 식별해서 제거하는 것은 사실상 불가능하다. 소프트웨어 시스템이 공개된 후에, 개발자들은 다양한 방법으 로 취약부들을 식별할 수 있게 된다. 악의적인 의도를 가지지 않은 자는 취약부를 식별하여 개발자에게 비밀리에 통지하여 해커가 취약부를 식별해서 이를 착취하기 전에 취약부가 제거될 수 있도록 할 수 있을 것이다. 해커가 취약부를 먼저 식별하게 되면, 개발자는 취약부가 착취될 때까지 그 취약부를 알지 못할 수도 있을 것이며, 이는 때로는 위태로운 결과를 초래한다.
개발자가 취약부를 어떻게 발견하는지에 관계없이, 개발자는 통상적으로 "패치(patch)"를 개발하여 시스템 관리자들에게 배포하거나, 취약부를 제거하는 소프트웨어 시스템을 업데이트한다. 취약부가 그때까지 착취되지 않았다면, 개발자는 훈련된 방식으로 패치를 설계하고, 구현하고, 테스트하고 배포할 수 있다. 취약부가 이미 널리 노출되었다면, 개발자는 통상적인 환경하에 이용되는 것과 다른 주의를 가지고서 서둘러 패치를 배포할 것이다. 패치가 컴퓨터 시스템의 관리자들에게 배포되는 때에, 그들은 취약부를 제거하기 위하여 패치에 대하여 일정을 잡고 설치하는 것에 대한 책임을 진다.
불행하게도 관리자들은 다양한 이유로 취약부를 제거하기 위한 패치의 설치를 종종 지연시킨다. 패치가 설치되는 때에, 패치가 실행되는 소프트웨어 시스템과, (아마도) 컴퓨터 시스템은 종료되어 다시 시작될 필요가 있을 것이다. 취약부가 조직의 성공에 중대한 소프트웨어 시스템 내에 존재한다면, 관리자는 공격받을 위험을 무릅쓰고서 소프트웨어 시스템을 작동시키고 운용하는 것과, 패치를 설치하기 위하여 사업에 중대한 자원을 종료하는 것을 저울질할 필요가 있다. 몇몇 관리자들은 패치의 성급한 배포에 기인하여 적절한 테스트를 거치지 않아 의도하지 않 은 부작용이 발생할 것을 두려워하여 패치의 설치를 지연시킬 수 있을 것이다. 패치가 의도하지 않은 부작용을 가진다면, 소프트웨어 시스템, 컴퓨터 시스템 또는 패치에 의해 영향받는 몇몇 다른 소프트웨어 컴포넌트는 패치 자체에 의해서 종료될 수 있을 것이다. 관리자는 패치를 설치할 것인지 여부를 결정할 때에 의도하지 않은 부작용의 가능성을 분석할 필요가 있을 것이다. 이들 관리자들은 의도하지 않은 심각한 부작용이 없다는 것을 다른 사람들이 경험에 의해서 알릴 때까지 패치의 설치를 지연시킬 수 있을 것이다.
아직 패치가 되지 않은 알려진 취약부를 착취하려는 시도가 이루어지는지 여부를 식별하는 데에 이용될 수 있는 침입 검출 시스템들이 개발되었다. 이들 침입 검출 시스템은 패치가 아직 개발되지 않았거나 설치되지 않은 새로이 발견된 취약부들의 착취를 방지하는 데에 이용될 수 있다. 이들 착취 검출 시스템들은 취약부가 착취될 수 있는 각각의 방식에 대한 "서명"을 정의할 수 있을 것이다. 예컨대, 소정의 속성을 가지는 소정의 타입의 메시지를 송신함으로써 취약부가 착취될 수 있다면, 이러한 착취에 대한 서명은 그러한 타입 및 속성을 특정할 것이다. 메시지의 수신과 같은 보안 실시 이벤트가 발생하면, 침입 검출 시스템은 서명을 검사하여 보안 실시 이벤트와 일치하는지 여부를 결정한다. 일치한다면, 침입 검출 시스템은 메시지의 유실과 같은 착취를 방지하기 위하여 조치를 취할 수 있을 것이다.
새롭게 발견된 취약부들의 착취에 대한 서명들은 상이한 방식으로 생성될 수 있다. 침입 검출 시스템의 개발자들은 새로운 착취를 알게 되었을 때에 새로운 서 명을 생성하고 배포할 수 있을 것이다. 그러면 관리자는 그러한 착취를 방지하기 위하여 새로운 서명들을 설치할 수 있을 것이다. 그러나, 개발자는 알려진 모든 착취들에 대한 서명들을 제공할 수는 없을 것이다. 예컨대, 취약부가 개발자가 지원하지 않는 특수 목적 애플리케이션 프로그램에 존재할 수 있을 것이다. 이러한 취약부의 착취를 방지하기 위하여, 침입 검출 시스템은 관리자가 자신의 서명들을 생성할 수 있도록 할 것이다.
하나 이상의 서명들의 세트는 보안 정책으로 간주될 수 있을 것이다. 침입 검출 시스템들의 개발자들은 다양한 보안 정책들을 제공할 수 있을 것이다. 예컨대, 개발자는 운영 시스템의 취약부의 서명을 규정하는 하나의 보안 정책과, 애플리케이션 또는 애플리케이션들의 클래스에 특정한 다른 보안 정책들을 제공할 수 있을 것이다. 유사하게, 관리자는 기업에 의해서 이용되는 주문형 애플리케이션들에 특정한 보안 정책을 규정할 수 있을 것이다.
침입은 운영 시스템 또는 애플리케이션 내의 다양한 지점에서 발생할 수 있기 때문에, 이들 각 지점에서의 취약부들의 착취를 검출하고 방지하기 위하여 침입 검출 시스템들이 개발되었다. 예컨대, 통신 프로토콜의 네트워크 계층에서 검출될 수 있는 취약부의 착취를 방지하기 위하여 침입 검출 시스템이 개발될 수 있을 것이며, 파일이 액세스되는 때에 검출될 수 있는 착취를 방지하기 위한 다른 침입 검출 시스템이 개발될 수 있을 것이다. 침입 검출 시스템의 각각의 개발자들은 보호될 각각의 컴퓨터 시스템에 배포될 필요가 있는 그들 자신의 구현 및 보안 정책들을 제공할 수 있다. 부가적으로, 구현 또는 보안 정책들에 대한 임의의 업데이트 또한 보호될 컴퓨터 시스템들에 배포될 필요가 있다.
대량의 컴퓨터 시스템을 가지는 기업의 보안 정책들의 배포 및 업데이트는 복잡하고, 많은 시간이 소요되는 작업이다. 각각의 보안 정책은 각각의 컴퓨터 시스템에, 그 후에는 컴퓨터 시스템상에 설치된 적절한 침입 검출 시스템에 제공될 필요가 있다. 침입 검출 시스템들의 개발자들은 전형적으로 그들의 시스템들 각각에 대하여 독립적으로 개발하기 때문에, 각각의 침입 검출 시스템은 보안 정책들을 정의하고 배포하는 독점적인 메커니즘을 가질 수 있을 것이다. 기업의 시스템 관리자는 침입 검출 시스템을 효과적으로 이용하기 위하여 이들 메커니즘 각각에 대하여 알 필요가 있을 것이다.
컴퓨터 시스템에서 수신된 보안 정책들을 보안 정책의 실시를 담당하는 컴포넌트들에 배포하는 일정한 방식을 제공하는 메커니즘을 가지는 것이 바람직할 것이다.
보안 정책들을 배포하고 실행하는 방법 및 시스템이 제공된다. 분산 방화벽 시스템은 정책 서버 컴포넌트, 방화벽 에이젼트 및 실시 엔진들을 포함한다. 보호될 호스트 컴퓨터에서 실행되는 방화벽 에이젼트는 정책 서버 컴포넌트로부터 호스트 컴퓨터 시스템상의 보안 정책들의 실시를 담당하는 실시 엔진들에 대한 보안 정책들을 수신한다. 보안 정책은 조건과, 조건이 충족되는 때에 수행될 동작을 각기 제공하는 규칙들을 가진다. 규칙은 규칙들의 실시를 담당하는 실시 엔진들을 식별하기 위하여 방화벽 에이젼트에 의해서 이용되는 규칙 타입(보안 타입이라고도 불림) 또한 가진다. 방화벽 에이젼트는 보안 정책들을 사용자 모드 및 커널 모드 (kernel mode)에서 실행하는 실시 엔진들에 배포할 수 있을 것이다. 실시 엔진들은 보안 실시에 계층화된 접근방식을 제공할 수 있을 것이다. 호스트 컴퓨터 시스템에서 수신된 보안 정책들을 배포하기 위하여, 방화벽 에이젼트는 부분적으로 규칙 타입에 근거하여 규칙이 적용될 실시 엔진을 식별한다. 그 후에, 방화벽 에이젼트는 이러한 규칙을 식별된 실시 엔진에 배포하고, 그 후에 이러한 규칙을 실시한다.
보안 정책들을 배포하고 실시하는 방법 및 시스템이 제공된다. 분산 방화벽 시스템은 정책 서버 컴포넌트, 방화벽 에이젼트 및 실시 엔진들을 포함한다. 보호될 호스트 컴퓨터 시스템에서 실행되는 방화벽 에이젼트는 정책 서버로부터 호스트 컴퓨터 시스템상에서의 보안 정책들의 실시를 담당하는 실시 엔진들에 대한 보안 정책들을 수신한다. 보안 정책은 실행 범위 및 관련 규칙들을 가진다. 실행 범위는 관련 규칙들이 적용되는 프로세스 또는 애플리케이션의 속성을 정의한다. 규칙은 조건과, 조건이 충족되는 때에 수행되는 동작을 제공한다. 규칙은 규칙들의 실시를 담당하는 실시 엔진들을 식별하기 위하여 방화벽 에이젼트에 의해서 이용되는 규칙 타입(보안 타입이라고도 불림) 또한 가진다. 방화벽 에이젼트는 보안 정책들을 사용자 모드 및 커널 모드에서 실행하는 실시 엔진들에 배포할 수 있을 것이다. 실시 엔진들은 분산 방화벽에 계층화된 접근방식을 제공할 수 있을 것이다. 예컨대, 실시 엔진들은 OSI 7 계층 참조 모델의 다양한 계층들에서의 침입을 막기 위하여 호스트 컴퓨터상에 설치될 수 있을 것이다. 네트워크 계층(network layer), 트 랜스포트 계층(transport layer) 및 세션 계층(session layer)은 각각의 계층에서 시도된 침입들을 검출하도록 개발된 실시 엔진을 각기 가질 수 있을 것이다. 호스트 컴퓨터 시스템에서 수신된 보안 정책들을 배포하기 위하여, 방화벽 에이젼트는 규칙이 적용되는 실시 엔진을 부분적으로 규칙 타입에 근거하여 식별한다. 그 후에, 방화벽 에이젼트는 이러한 규칙을 식별된 실시 엔진에 배포하며, 그 후에 규칙을 실시한다. 규칙을 수신하면, 실시 엔진은 이러한 규칙을 자신의 하위 컴포넌트들에 적절하게 배포할 수 있을 것이다. 예컨대, 방화벽 에이젼트는 커널 모드 실시 엔진들을 향하는 모든 규칙들을 단일 커널 모드 보안 컴포넌트에 배포할 수 있을 것이며, 그 후에 실시 엔진들에 이러한 규칙들을 배포한다. 이러한 방식으로, 분산 방화벽 시스템은 호스트 컴퓨터 시스템을 위한 상이한 보호 계층들을 제공하는 보안 정책들의 규칙들을 실시 엔진들에 배포하는 단일 메커니즘을 제공한다.
일 실시예에서, 보안 정책은 조건들, 동작들 및 선택적으로는 예외들을 특정하는 규칙들을 포함한다. 예컨대, 규칙은 애플리케이션이 포트 80이 아닌 임의의 네트워크 포트 상에서 메시지들을 수신하지 않을 것임을 나타낼 수 있을 것이다. 규칙의 조건은 메시지가 포트 80이 아닌 네트워크 포트 상에서 수신되는 때에 충족될 수 있을 것이며, 동작은 메시지가 폐기되도록 할 것이다. 다른 예로서, 규칙은 애플리케이션이 네트워크 포트 80상에서 메시지를 전송하려고 할 때에, 규칙이 실시되는 컴퓨팅 시스템의 사용자로부터 허가가 구해져야 함을 나타낼 수 있을 것이다. 규칙들은 자신들의 동작에 근거하여 규칙 또는 보안 타입들로 분류될 수 있을 것이다. 예컨대, 네트워크 보안 타입을 가지는 규칙들은 네트워크 트래픽에 대한 보안 실시와 관련될 수 있을 것이다. 각각의 보안 타입은 그러한 보안 타입의 규칙들을 실시하기 위한 자신의 보안 컴포넌트를 가질 수 있을 것이다. 특정 정책들을 특정하는 언어들은 본 명세서에서 참조로 인용되는 "Languages for Expressing Security Policies"라는 명칭의 미국 특허 출원 제10/882,438호(2004년 7월 1일 출원)에 기술된다.
규칙들의 조건, 동작 및 예외는 표현으로 특정될 수 있을 것이다. 규칙은 "IF 조건들 THEN 동작들 EXCEPT 예외들"과 같은 의미로 표현될 수 있을 것이다. 규칙의 조건들은 보안 실시 동작들이 수행될 환경들의 표현들이다. 동작은 조건이 충족되는 때에 수행될 기능의 표현이다. 규칙은 다수의 동작들을 가질 수 있을 것이다. 예외는 조건들이 충족되는 경우에도 동작들이 수행되지 않을 때의 표현이다. 조건은 정적이거나 동적일 수 있을 것이다. 동적 조건은, 예컨대 파일의 하드 코딩된(hard-coded) 목록이다. 동적 조건은, 예컨대 제공된 기준과 일치하는 파일들의 목록을 결정하기 위하여 질의를 수행하는 것이다. 보안 실시 동작은 보안 실시 이벤트에 의해서 야기되는 요청을 허용하는 것, 이러한 요청을 거부하는 것, 사용자로부터의 입력을 구하는 것, 사용자에게 통지하는 것 등을 포함할 수 있을 것이다. 다른 규칙의 구성 또한 가능할 것이다. 예컨대, "그 밖의 경우(else)" 구성은 조건이 거짓(false)인 때에 다른 동작들을 수행하도록 추가될 수 있다.
도 1은 일 실시예에서의 분산 방화벽 시스템을 도시하는 블럭도이다. 기업은 정책 서버 컴퓨터 시스템(110) 및 호스트 컴퓨터 시스템들(120)을 포함하는 네 트워크 시스템(100)을 가질 수 있을 것이다. 시스템 관리자는 보안 정책 저장부(112)에 저장된 보안 정책들을 준비하여 호스트 컴퓨터 시스템들에 배포하기 위하여 정책 서버 컴퓨터 시스템의 정책 서버 컴포넌트(111)를 이용할 수 있을 것이다. 각각의 호스트 컴퓨터 시스템은 방화벽 에이젼트(121), 실시 엔진들(122) 및 정책 저장부(123)를 포함한다. 방화벽 에이젼트는 호스트 컴퓨터 시스템이 보안 정책들을 수신하고 호스트 컴퓨터 시스템의 실시 엔진들에 배포하는 중앙 메커니즘을 제공한다. 정책 서버 컴퓨터 시스템으로부터 보안 정책들을 수신하는 때에, 호스트 컴퓨터 시스템의 방화벽 에이젼트는 보안 정책을 정책 저장부에 저장한다. 그 후에, 방화벽 에이젼트는 보안 정책들을 규칙 단위로 저장하고, 이러한 규칙들을 적절한 실시 엔진에 제공한다. 방화벽 에이젼트는 다양한 보안 정책들을 결합하고, 보안 정책들을 관리하고, 보안 정책들의 실시에 영향을 미칠 보안 정책들 또는 시스템 구성의 변화들을 실시 엔진들에 동적으로 통지한다. 이러한 결합, 관리 및 통지는 본 명세서에서 참조로 인용되는 "Method and System for Merging Security Policies"라는 명칭의 미국 특허 출원 제10/966,800호(2004년 10월 14일 출원)에 기술되어 있다. 그 후에, 실시 엔진들은 규칙들을 네트워크 이벤트들에 적용함으로써 규칙들을 실시한다. 실시 엔진들은 다양한 타입의 보안 실시를 제공할 수 있을 것이다. 실시 엔진은 소정의 행위를 수행하려는 시도를 검출하고 이러한 검출을 차단할 수 있을 것이다. 예컨대, 바이러스에 감염된 애플리케이션은 운영 시스템의 소정의 파일들을 삭제하려고 시도할 수 있을 것이다. 애플리케이션과 동일한 프로세스 공간에서 실행되는 보안 엔진은 이러한 파일을 삭제하려는 시도를 검출하 고 차단할 수 있을 것이다. 행위 차단을 수행하는 보안 엔진은 본 명세서에서 참조로 인용되는 "A Method and System for Enforcing a Security Policy via a Security Virtual Machine"이라는 명칭의 미국 특허 출원 제10/832,798호(2004년 4월 27일 출원)에 기술되어 있다. 실시 엔진들은 규칙들을 IP, ICMP, TCP, FTP, DNS, HTTP, RPC 등과 같은 다양한 프로토콜의 네트워크 이벤트들에 적용하도록 적응될 수 있을 것이다. 취약부들의 착취를 방지하는 기술들은 본 명세서에서 참조로 인용되는 "Method and System for Filtering Communication to Prevent Exploitation of a Software Vulnerability"라는 명칭의 미국 특허 출원 제10/955,963호(2004년 9월 30일 출원)에 기술된다.
도 2는 일 실시예에서의 호스트 컴퓨터 시스템상에서 실행하는 분산 방화벽 시스템의 컴포넌트들을 도시하는 블럭도이다. 호스트 컴퓨터 시스템은 방화벽 에이젼트 컴포넌트들(220), 커널 모드 컴포넌트들(230) 및 애플리케이션 사용자 모드 컴포넌트들(240)을 포함한다. 방화벽 에이젼트 컴포넌트들은 정책 수신 컴포넌트(221), 정책 분석 컴포넌트(222) 및 정책 배포 컴포넌트(223)를 포함한다. 방화벽 에이젼트 컴포넌트들 또한 정책 저장부(224) 및 구성 관리기(225)를 포함한다. 정책 수신 컴포넌트는 정책 서버 컴퓨터 시스템에 의해서 제공되는 보안 정책들을 수신하여, 이러한 정책들을 정책 저장부에 저장한다. 정책 분석 컴포넌트는 정책들을 정책 저장부로부터 검색하여 이들을 실시 엔진들에 의한 처리를 위하여 저레벨 언어로 변환한다. 정책 배포 컴포넌트는 분석된 보안 정책들을 수신하고 보안 정책들의 규칙들을 적절한 실시 엔진들에 배포한다. 구성 관리기는 어느 규칙들이 어느 실시 엔진들에 배포되어야할지를 결정하는 데에 이용하기 위하여 호스트 컴퓨터 시스템의 현재 구성에 근거하여 구성 정보를 제공한다.
커널 모드 컴포넌트들은 실시 엔진들(231), 흐름 관리기 컴포넌트(233) 및 프로토콜 후크(hook)들(234)을 포함한다. 이러한 컴포넌트들은 OSI 7 계층 기준 모델의 다양한 계층들에 대응하는 계층 0에서 계층 N까지의 계층을 이룰 수 있을 것이다. 각각의 계층은 계층에 특정한 관련 프로토콜 후크, 흐름 관리기 및 실시 엔진과, 각 계층에 특정한 네트워크 이벤트 분석부들 및 방화벽 에이젼트에 의해서 각 계층에 제공되는 규칙들의 실시부들을 가질 수 있을 것이다. 각 층들에 대한 규칙들은 각 층에 특정한 규칙 저장부(232)에 저장된다. 흐름 관리기 컴포넌트들은 네트워크 이벤트들을 차단하여 대응 실시 엔진이 규칙을 실시하도록 하는 것을 담당한다. 각각의 흐름 관리기 컴포넌트는 네트워크 이벤트들을 대응 층에서 네트워크 이벤트의 검출을 담당하는 대응 프로토콜 후크로부터 수신한다. 애플리케이션 사용자 모드 컴포넌트들은 전체 구조에서 커널 모드 컴포넌트들과 유사한 방식으로 계층화된 보안을 제공하기 위하여 애플리케이션으로 연결되는 동적 링크 라이브러리(dynamic link library)로서 제공될 수 있을 것이다.
배포 시스템이 구현되는 컴퓨팅 장치는 중앙 처리 유닛, 입력 장치들(예컨대, 키보드 및 포인팅 장치들), 출력 장치들(예컨대, 디스플레이 장치들) 및 저장 장치들(예컨대, 디스크 드라이브들)을 포함할 수 있을 것이다. 메모리 및 저장 장치들은 분산 시스템을 구현하는 명령들을 포함할 수 있는 컴퓨터 판독가능 매체이다. 부가적으로, 데이터 구조들 및 메시지 구조들은 통신 링크 상의 신호와 같은 데이터 전송 매체를 통해서 저장되거나 전송될 수 있을 것이다. 인터넷, LAN, WAN, 점대점 다이얼업 접속, 셀 폰 네트워크 등과 같은 다양한 통신 링크들이 이용될 수 있을 것이다.
분산 시스템은 퍼스널 컴퓨터, 서버 컴퓨터, 핸드 핼드 또는 랩톱 장치들, 멀티프로세서 시스템, 마이크로 프로세서 시스템, 프로그램가능 가전 장치, 디지털 카메라, 네트워크 PC, 미니 컴퓨터, 메인프레임 컴퓨터, 상기 시스템 또는 장치들 중 임의의 요소를 포함하는 분산 컴퓨팅 환경 등을 포함하는 다양한 운영 환경에서 구현될 수 있을 것이다. 호스트 컴퓨터 시스템은 셀 폰, PDA(personal digital assistant), 스마트 폰, 퍼스널 컴퓨터, 프로그램가능 가전 장치, 디지털 카메라 등일 수 있을 것이다.
분산 시스템은 하나 이상의 컴퓨터들 또는 기타 장치들에 의해서 실행되는 프로그램 모듈과 같은 컴퓨터 실행가능 명령의 일반적인 컨텍스트로 기술될 수 있을 것이다. 통상적으로, 프로그램 모듈들은 특정 업무를 수행하거나 특정 추상 데이터 타입을 구현하는 루틴, 프로그램, 오브젝트, 컴포넌트, 데이터 구조 등을 포함한다. 전형적으로, 프로그램 모듈들의 기능은 다양한 실시예에서 원하는 바에 따라 결합되거나 분산될 수 있을 것이다.
도 3은 일 실시예에서의 방화벽 에이젼트의 정책 배포 컴포넌트의 처리를 도시하는 흐름도이다. 정책 분석 컴포넌트로부터 정책들을 수신하면, 컴포넌트는 규칙이 적용될 실시 엔진들을 식별하고 규칙들을 식별된 실시 엔진들에 배포한다. 블럭 301 내지 307에서, 컴포넌트 루프는 보안 정책을 선택한다. 블럭 301에서, 컴포넌트는 다음 보안 정책을 선택한다. 판정 블럭 302에서, 모든 보안 정책들이 이미 선택되었다면, 컴포넌트는 완료되며, 그렇지 않은 경우에는 컴포넌트는 블럭 303에서 계속된다. 블럭 303 내지 307에서, 컴포넌트 루프는 선택된 보안 정책 내의 각각의 규칙을 처리한다. 블럭 303에서, 컴포넌트는 선택된 정책의 다음 규칙을 선택한다. 판정 블럭 304에서, 선택된 보안 정책의 모든 규칙들이 이미 선택되었다면, 컴포넌트는 블럭 301로 가서 다음 보안 정책을 선택하며, 그렇지 않은 경우에는 컴포넌트는 블럭 305에서 계속된다. 블럭 305에서, 컴포넌트는 선택된 보안 규칙의 규칙 타입(또는 보안 타입)을 식별한다. 블럭 306에서, 컴포넌트는 식별된 규칙 타입의 규칙들의 실시를 담당하는 실시 엔진을 식별한다. 블럭 307에서, 컴포넌트는 식별된 컴포넌트에 선택된 규칙을 제공하며, 그 후에, 블럭 303으로 가서 선택된 보안 정책의 다음 규칙을 선택한다.
도 4는 일 실시예에서의 흐름 관리기 컴포넌트의 처리를 도시하는 흐름도이다. 흐름 관리기 컴포넌트는 네트워크 이벤트로 보내어져 네트워크 이벤트를 처리하기 위하여 적절한 실시 엔진을 호출한다. 흐름 관리기 컴포넌트는 모든 계층들에 대한 네트워크 이벤트들을 처리하는 각각의 계층에 대한 별도의 흐름 관리기로서 구현될 수 있을 것이다. 본 실시예에서, 흐름 관리기 컴포넌트는 모든 계층들에 대한 모든 네트워크 이벤트들을 처리한다. 판정 블럭 401 내지 403에서, 컴포넌트는 네트워크 이벤트가 적용되는 계층을 식별한다. 그 후에, 컴포넌트는 블럭 411 내지 413에서 그러한 계층에 대한 관련 실시 엔진을 호출한다. 그 후에 컴포넌트는 완료된다. 흐름 관리기는 각각의 네트워크 연결에 대한 별도의 흐름을 유 지할 수 있을 것이다. 실시 엔진들 및 흐름 관리기들은 계층 및 계층에 의해서 구현되는 프로토콜에 특정할 수 있을 것이다. 예컨대, 접속이 패킷 계층에서 TCP(Transmission Control Protocol) 또는 UDP(User Datagram Protocol)를 이용하는 때에는 흐름 관리기는 그러한 프로토콜에 적절한 실시 엔진을 호출한다. 호출된 실시 엔진들은 하나의 호출로부터 다른 호출로의 상태 정보를 트랙킹하기 위하여 데이터 구조를 인스턴스화할 수 있을 것이다. 사용자 모드 실시 엔진에 의해서 보호되는 각각의 애플리케이션은 각각의 접속에 대하여 별도의 흐름을 가지는 흐름 관리기를 가질 수도 있을 것이다.
도 5는 일 실시예에서의 특정 계층에 대한 실시 엔진의 처리를 도시하는 흐름도이다. 분산 방화벽 시스템의 컴포넌트인 실시 엔진이 네트워크 이벤트에서 제공되며, 이벤트에 적용할 규칙을 식별하며, 규칙들의 조건들이 충족되었는지 여부를 판정하며, 조건이 충족되었다면 그러한 규칙과 관련된 동작을 수행한다. 블럭 501 내지 504에서, 컴포넌트 루프는 실시 엔진의 계층과 관련된 각각의 규칙을 선택한다. 블럭 501에서, 컴포넌트는 다음 규칙을 선택한다. 판정 블럭 502에서, 모든 규칙들이 이미 선택되었다면, 컴포넌트는 완료되며, 그렇지 않은 경우에는 컴포넌트는 블럭 503에서 계속된다. 판정 블럭 503에서, 규칙의 조건이 충족되었다면, 컴포넌트는 블럭 504에서 계속되며, 조건이 충족되지 않은 경우에는 컴포넌트는 블럭 501로가서 다음 규칙을 선택한다. 블럭 504에서, 컴포넌트는 규칙과 관련된 동작을 수행하고, 그 후에 블럭 501로 가서 다음 규칙을 선택한다. 각각의 실시 엔진은 계층에 적절한 네트워크 이벤트들 및 규칙들을 처리하도록 적응된다. 예컨대, 네트워크 계층에 대한 실시 엔진은 네트워크 패킷들을 분석하고 이러한 네트워크 패킷들과 관련된 규칙들을 실시한다. 애플리케이션 계층에 대한 실시 엔진은 애플리케이션과 관련된 파일들에 액세스하거나 변형하려는 권한없는 시도를 검출할 수 있을 것이다.
상술한 바로부터, 본 분산 방화벽 시스템의 특정 실시예들이 설명을 위한 목적으로 본 명세서에서 기술되었으나, 본 발명의 기술적 사상 및 범위를 벗어나지 않고서 다양한 변형이 이루어질 수 있음을 알 수 있을 것이다. 따라서, 본 발명은 첨부된 특허청구범위에 의해서만 제한될 것이다.
컴퓨터 시스템에서 수신된 보안 정책들을 보안 정책의 실시를 담당하는 컴포넌트들에 배포하는 일정한 방식을 제공하는 메커니즘을 제공한다.

Claims (30)

  1. 컴퓨터 시스템에서 보안 정책들의 규칙들을 상기 보안 정책들을 실시하는 실시 엔진들에 배포하는 방법으로서,
    상기 컴퓨터 시스템에 상이한 보안 실시 계층들을 구현하는 실시 엔진들을 제공하는 단계와,
    상기 컴퓨터 시스템에서 규칙 타입을 각각 가지는 규칙들을 포함하는 보안 정책들을 수신하고 저장하는 단계와,
    상기 컴퓨터 시스템상에서 실행되는 방화벽 에이젼트의 제어하에,
    상기 저장된 보안 정책들을 검색하는 단계와,
    검색된 보안 정책의 규칙들에 대하여,
    상기 규칙의 규칙 타입에 근거하여 상기 규칙이 적용될 실시 엔진을 식별하는 단계와,
    상기 규칙을 상기 식별된 실시 엔진에 제공하는 단계와,
    상기 실시 엔진의 제어하에, 상기 방화벽 에이젼트에 의해서 상기 실시 엔진에 제공되는 상기 규칙들을 실시하는 단계를 포함하고,
    상기 방화벽 에이젼트는 상기 규칙들을 상기 컴퓨터 시스템의 다수의 실시 엔진들에 배포하는 메커니즘을 제공하는 방법.
  2. 제1항에 있어서,
    상기 보안 정책들은 다수의 컴퓨터 시스템들에 대하여 상기 보안 정책들을 배포하는 정책 컴퓨터 시스템으로부터 수신되는 방법.
  3. 제1항에 있어서,
    상기 실시 엔진들은 계층화된 방화벽을 제공하는 방법.
  4. 제1항에 있어서,
    상기 실시 엔진들은 행동(behavior) 차단 보안 컴포넌트를 포함하는 방법.
  5. 제1항에 있어서,
    상기 실시 엔진은 하위 컴포넌트들을 포함하며, 규칙이 제공되는 때에 상기 실시 엔진은 상기 규칙을 하위 컴포넌트에 제공하는 방법.
  6. 제1항에 있어서,
    적어도 하나의 실시 엔진은 커널(kernel) 모드에서 실행되며, 적어도 하나의 실시 엔진은 사용자 모드에서 실행되는 방법.
  7. 제1항에 있어서,
    상기 방화벽 에이젼트는 사용자 모드 하위 컴포넌트 및 커널 모드 하위 컴포넌트를 포함하고, 상기 커널 모드에서 실행하는 실시 엔진들에 규칙들을 제공하기 위하여 상기 사용자 모드 하위컴포넌트는 상기 규칙들을 상기 커널 모드 하위 컴포넌트에 배포하는 방법.
  8. 제1항에 있어서,
    흐름 관리기 컴포넌트가 다양한 계층들에서의 네트워크 이벤트들을 차단하고, 계층과 관련된 실시 엔진을 호출하여 상기 계층과 관련된 규칙들을 실시하는 방법.
  9. 제8항에 있어서,
    단일의 흐름 관리기 컴포넌트가 다수의 계층들로부터 네트워크 이벤트들을 핸들(handle)하는 방법.
  10. 제8항에 있어서,
    상기 흐름 관리기 컴포넌트는 단지 하나의 계층으로부터의 네트워크 이벤트들을 핸들하는 방법.
  11. 제1항에 있어서,
    상기 실시 엔진들은 네트워크 프로토콜 스택의 다양한 계층들에서 보안을 제공하는 방법.
  12. 제11항에 있어서,
    상이한 실시 엔진들의 계층들이 상이한 접속들에 이용되는 방법.
  13. 보안 정책들을 배포하는 컴퓨터 시스템 구조로서,
    정책 서버 컴퓨터 시스템과,
    다수의 호스트 컴퓨터 시스템을 포함하고,
    상기 정책 서버 컴퓨터 시스템은
    규칙 타입을 가지는 규칙들을 포함하는 보안 정책들을 확립하고, 상기 보안 정책들의 호스트 컴퓨터 시스템들에서의 실시를 위하여 상기 보안 정책들을 상기 호스트 컴퓨터 시스템들에 제공하며,
    상기 다수의 호스트 컴퓨터 시스템들은
    상기 호스트 컴퓨터 시스템에서의 소정의 타입의 보안을 실시하는 실시 엔진들과,
    상기 보안 정책들을 상기 정책 서버 컴퓨터 시스템으로부터 수신하고, 상기 규칙들이 적용되는 실시 엔진들을 규칙 타입 및 실시 엔진 타입에 근거하여 식별하고, 상기 보안 정책들의 실시를 위하여 상기 규칙들을 상기 식별된 실시 엔진들에 제공하는 방화벽 에이젼트를 포함하는 컴퓨터 시스템 구조.
  14. 제13항에 있어서,
    상기 실시 엔진들은 하나의 실시 엔진이 제공되는 규칙들이 네트워크 이벤트 에 적용되지 않는다고 판정한 때에, 다른 실시 엔진은 제공되는 규칙들이 상기 네트워크 이벤트에 적용되는지 여부를 판정하도록 계층화되는 컴퓨터 시스템 구조.
  15. 제14항에 있어서,
    상기 계층들은 프로토콜 차단 후크 및 실시 엔진을 포함하는 컴퓨터 시스템 구조.
  16. 제13항에 있어서,
    상기 방화벽 에이젼트는 규칙들을 사용자 모드에서 실행하는 실시 엔진들에 배포하는 컴퓨터 시스템 구조.
  17. 제13항에 있어서,
    상기 방화벽 에이젼트는 규칙들을 커널 모드에서 실행하는 실시 엔진들에 배포하는 컴퓨터 시스템 구조.
  18. 제13항에 있어서,
    상기 실시 엔진들은 계층화되며, 각 계층들에서의 네트워크 이벤트들을 핸들하고 상기 계층의 실시 엔진을 호출하여 상기 네트워크 이벤트에 대한 상기 계층의 규칙들을 실시하는 흐름 관리기 컴포넌트를 포함하는 컴퓨터 시스템 구조.
  19. 제18항에 있어서,
    상기 흐름 관리기 컴포넌트는 다수의 계층들에 대한 네트워크 이벤트들을 핸들하는 컴퓨터 시스템 구조.
  20. 제18항에 있어서,
    상기 흐름 관리기 컴포넌트는 단일 계층에 대한 네트워트 이벤트들을 핸들하는 컴퓨터 시스템 구조.
  21. 호스트 컴퓨터 시스템의 보안 정책들을 실시하는 실시 엔진들에 상기 보안 정책들의 규칙들을 배포하는 상기 호스트 컴퓨터 시스템으로서,
    상기 보안 정책들의 규칙들을 수신하고 실시함으로써 상기 호스트 컴퓨터 시스템에서 상이한 방화벽 보안 실시 계층들을 구현하는 다수의 실시 엔진들과,
    상기 호스트 컴퓨터 시스템에서 규칙 타입을 가지는 규칙들을 포함하는 보안 정책들을 수신하는 컴포넌트와,
    규칙이 적용되는 실시 엔진들을 상기 규칙의 규칙 타입에 근거하여 식별하고, 상기 규칙을 상기 식별된 보안 컴포넌트에 제공하는 컴포넌트를 포함하며,
    상기 규칙들을 상기 호스트 컴퓨터 시스템의 상기 계층화된 실시 엔진들에 제공하는 메커니즘이 제공되는 컴퓨터 시스템.
  22. 제21항에 있어서,
    상기 보안 정책들은 상기 보안 정책들을 다수의 호스트 컴퓨터 시스템들에 대하여 배포하는 정책 컴퓨터 시스템으로부터 수신되는 컴퓨터 시스템.
  23. 제21항에 있어서,
    상기 실시 엔진은 행위 차단 보안 컴포넌트를 포함하는 컴퓨터 시스템.
  24. 제21항에 있어서,
    상기 실시 엔진은 하위 컴포넌트들을 포함하며, 규칙이 제공되는 때에 상기 실시 엔진은 상기 규칙을 하위 컴포넌트에 제공하는 컴퓨터 시스템.
  25. 제21항에 있어서,
    적어도 하나의 실시 엔진은 커널 모드에서 실행되며, 적어도 하나의 실시 엔진은 사용자 모드에서 실행되는 컴퓨터 시스템.
  26. 제21항에 있어서,
    규칙들을 상기 실시 엔진들에 제공하는 상기 컴포넌트는 사용자 모드 하위 컴포넌트 및 커널 모드 하위 컴포넌트를 포함하고, 상기 규칙들을 커널 모드에서 수행하는 실시 엔진에 제공하기 위하여 상기 사용자 모드 하위 컴포넌트는 규칙들을 상기 커널 모드 하위 컴포넌트에 배포하는 컴퓨터 시스템.
  27. 제21항에 있어서,
    다양한 계층들에서 네트워크 이벤트들을 차단하고, 계층과 관련된 실시 엔진을 호출하여 상기 계층에 대한 상기 규칙들을 실시하는 흐름 관리 컴포넌트를 포함하는 컴퓨터 시스템.
  28. 제27항에 있어서,
    단일의 흐름 관리기 컴포넌트가 다수의 계층들로부터의 네트워크 이벤트들을 핸들하는 컴퓨터 시스템.
  29. 제27항에 있어서,
    상기 흐름 관리기 컴포넌트는 단지 하나의 층으로부터의 네트워크 이벤트들을 핸들하는 컴퓨터 시스템.
  30. 호스트 컴퓨터 시스템을 제어하여 보안 정책들을 실시하는 실시 엔진들에 상기 보안 정책들을 배포하는 명령들을 포함하는 컴퓨터 판독가능 매체로서,
    규칙 타입을 가지는 각각의 규칙들을 가지는 보안 정책들을 상기 호스트 컴퓨터에서 수신하고 저장하는 단계와,
    상기 호스트 컴퓨터 시스템상에서 실행하는 방화벽 에이젼트의 제어하에,
    상기 저장된 보안 정책들을 검색하는 단계와,
    상기 검색된 보안 정책의 규칙들에 대하여,
    상기 규칙의 규칙 타입에 근거하여 규칙이 적용되는 실시 엔진을 식별하는 단계와,
    상기 규칙을 상기 식별된 실시 엔진에 제공하는 단계와,
    상기 실시 엔진들의 제어하에, 상기 배포 컴포넌트에 의해서 상기 실시 엔진들에 제공되는 상기 규칙들을 실시하는 단계를 포함하는 방법을 실행하는 컴퓨터 판독가능 매체.
KR1020050091837A 2004-11-19 2005-09-30 보안 정책 배포 방법 및 시스템 KR101183423B1 (ko)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/993,688 US7509493B2 (en) 2004-11-19 2004-11-19 Method and system for distributing security policies
US10/993,688 2004-11-19

Publications (2)

Publication Number Publication Date
KR20060056231A true KR20060056231A (ko) 2006-05-24
KR101183423B1 KR101183423B1 (ko) 2012-09-14

Family

ID=35999529

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020050091837A KR101183423B1 (ko) 2004-11-19 2005-09-30 보안 정책 배포 방법 및 시스템

Country Status (5)

Country Link
US (2) US7509493B2 (ko)
EP (1) EP1677484B1 (ko)
JP (1) JP4914052B2 (ko)
KR (1) KR101183423B1 (ko)
CN (1) CN1777179B (ko)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7509493B2 (en) * 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies
GB0513375D0 (en) 2005-06-30 2005-08-03 Retento Ltd Computer security
JPWO2007116605A1 (ja) * 2006-03-30 2009-08-20 日本電気株式会社 通信端末装置、ルール配布装置およびプログラム
JP4872412B2 (ja) * 2006-03-31 2012-02-08 日本電気株式会社 情報検知処理方法及び装置
US20080083009A1 (en) * 2006-09-29 2008-04-03 Microsoft Corporation Policy fault
ITBO20070318A1 (it) 2007-05-03 2008-11-04 Marchesini Group Spa Stazione per la pesatura di contenitori
US8584227B2 (en) * 2007-05-09 2013-11-12 Microsoft Corporation Firewall with policy hints
US8443433B2 (en) * 2007-06-28 2013-05-14 Microsoft Corporation Determining a merged security policy for a computer system
CN101378522B (zh) * 2007-08-31 2012-01-25 华为技术有限公司 分发策略的方法、系统和策略分发实体
US9043861B2 (en) * 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US8286219B2 (en) * 2008-02-16 2012-10-09 Xencare Software Inc. Safe and secure program execution framework
US8448220B2 (en) * 2008-04-29 2013-05-21 Mcafee, Inc. Merge rule wizard
US20090300748A1 (en) * 2008-06-02 2009-12-03 Secure Computing Corporation Rule combination in a firewall
CN101364877B (zh) * 2008-09-28 2010-10-27 福建星网锐捷网络有限公司 安全策略配置方法及其装置
US20100162240A1 (en) * 2008-12-23 2010-06-24 Samsung Electronics Co., Ltd. Consistent security enforcement for safer computing systems
CN101729531B (zh) * 2009-03-16 2016-04-13 中兴通讯股份有限公司 网络安全策略分发方法、装置及系统
US9621516B2 (en) * 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8458769B2 (en) * 2009-12-12 2013-06-04 Akamai Technologies, Inc. Cloud based firewall system and service
DE112011100626T5 (de) * 2010-02-22 2013-01-24 Avaya Inc. Sichere, richtlinienbasierte Kommunikationssicherheit und File-Sharing über gemischte Medien, gemischte Kommunikationsmodalitäten und erweiterbar auf Cloud-Computing, wie beispielsweise serviceorientierte Architektur (SOA)
US10511630B1 (en) 2010-12-10 2019-12-17 CellSec, Inc. Dividing a data processing device into separate security domains
US9413721B2 (en) * 2011-02-15 2016-08-09 Webroot Inc. Methods and apparatus for dealing with malware
SG11201403482TA (en) 2011-12-21 2014-07-30 Ssh Comm Security Oyj Automated access, key, certificate, and credential management
EP3629181B1 (en) 2012-01-24 2022-10-05 SSH Communications Security Oyj Privileged access auditing
US9294508B2 (en) * 2012-08-02 2016-03-22 Cellsec Inc. Automated multi-level federation and enforcement of information management policies in a device network
US9565213B2 (en) 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9137205B2 (en) 2012-10-22 2015-09-15 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9203806B2 (en) 2013-01-11 2015-12-01 Centripetal Networks, Inc. Rule swapping in a packet network
US9124552B2 (en) 2013-03-12 2015-09-01 Centripetal Networks, Inc. Filtering network data transfers
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
CN104125192A (zh) * 2013-04-23 2014-10-29 鸿富锦精密工业(深圳)有限公司 虚拟机安全保护系统及方法
AU2014203463B2 (en) * 2013-06-25 2016-04-28 Ditno. Pty Ltd Method and system for managing a host-based firewall
US9497194B2 (en) * 2013-09-06 2016-11-15 Oracle International Corporation Protection of resources downloaded to portable devices from enterprise systems
US9215214B2 (en) 2014-02-20 2015-12-15 Nicira, Inc. Provisioning firewall rules on a firewall enforcing device
CA2981789A1 (en) 2014-04-04 2015-10-08 David Goldschlag Method for authentication and assuring compliance of devices accessing external services
US9674147B2 (en) 2014-05-06 2017-06-06 At&T Intellectual Property I, L.P. Methods and apparatus to provide a distributed firewall in a network
US9264370B1 (en) 2015-02-10 2016-02-16 Centripetal Networks, Inc. Correlating packets in communications networks
US9866576B2 (en) 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
US9680706B2 (en) 2015-06-30 2017-06-13 Nicira, Inc. Federated firewall management for moving workload across data centers
US9917856B2 (en) 2015-12-23 2018-03-13 Centripetal Networks, Inc. Rule-based network-threat detection for encrypted communications
US11729144B2 (en) 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
US10135727B2 (en) 2016-04-29 2018-11-20 Nicira, Inc. Address grouping for distributed service rules
US10348685B2 (en) 2016-04-29 2019-07-09 Nicira, Inc. Priority allocation for distributed service rules
US11425095B2 (en) 2016-05-01 2022-08-23 Nicira, Inc. Fast ordering of firewall sections and rules
US11171920B2 (en) 2016-05-01 2021-11-09 Nicira, Inc. Publication of firewall configuration
US11088990B2 (en) 2016-06-29 2021-08-10 Nicira, Inc. Translation cache for firewall configuration
US11258761B2 (en) 2016-06-29 2022-02-22 Nicira, Inc. Self-service firewall configuration
US10503899B2 (en) 2017-07-10 2019-12-10 Centripetal Networks, Inc. Cyberanalysis workflow acceleration
US11233777B2 (en) 2017-07-24 2022-01-25 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10284526B2 (en) 2017-07-24 2019-05-07 Centripetal Networks, Inc. Efficient SSL/TLS proxy
US10333898B1 (en) 2018-07-09 2019-06-25 Centripetal Networks, Inc. Methods and systems for efficient network protection
KR101951208B1 (ko) * 2018-09-28 2019-02-25 주식회사 루터스시스템 방화벽에이전트를 이용해 네트워크 트래픽을 감시하는 방화벽 시스템
US11310202B2 (en) 2019-03-13 2022-04-19 Vmware, Inc. Sharing of firewall rules among multiple workloads in a hypervisor
US11362996B2 (en) 2020-10-27 2022-06-14 Centripetal Networks, Inc. Methods and systems for efficient adaptive logging of cyber threat incidents
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07319691A (ja) * 1994-03-29 1995-12-08 Toshiba Corp 資源保護装置、特権保護装置、ソフトウェア利用法制御装置、及びソフトウェア利用法制御システム
US5968176A (en) * 1997-05-29 1999-10-19 3Com Corporation Multilayer firewall system
US6678827B1 (en) 1999-05-06 2004-01-13 Watchguard Technologies, Inc. Managing multiple network security devices from a manager device
CN100384191C (zh) * 1999-06-10 2008-04-23 阿尔卡塔尔互联网运行公司 基于策略的网络体系结构
US6920558B2 (en) 2001-03-20 2005-07-19 Networks Associates Technology, Inc. Method and apparatus for securely and dynamically modifying security policy configurations in a distributed system
CN1257632C (zh) * 2002-12-11 2006-05-24 中国科学院研究生院 一种坚固网关系统及其检测攻击方法
US7308711B2 (en) * 2003-06-06 2007-12-11 Microsoft Corporation Method and framework for integrating a plurality of network policies
US7509493B2 (en) 2004-11-19 2009-03-24 Microsoft Corporation Method and system for distributing security policies

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100989347B1 (ko) * 2009-08-21 2010-10-25 펜타시큐리티시스템 주식회사 보안규칙 기반의 웹공격 탐지 방법

Also Published As

Publication number Publication date
US20060129808A1 (en) 2006-06-15
US7831826B2 (en) 2010-11-09
JP2006146891A (ja) 2006-06-08
CN1777179A (zh) 2006-05-24
EP1677484B1 (en) 2016-06-08
JP4914052B2 (ja) 2012-04-11
EP1677484A3 (en) 2007-05-09
KR101183423B1 (ko) 2012-09-14
US7509493B2 (en) 2009-03-24
CN1777179B (zh) 2010-09-01
US20090172774A1 (en) 2009-07-02
EP1677484A2 (en) 2006-07-05

Similar Documents

Publication Publication Date Title
KR101183423B1 (ko) 보안 정책 배포 방법 및 시스템
US11368432B2 (en) Network containment of compromised machines
US10599841B2 (en) System and method for reverse command shell detection
KR102301721B1 (ko) 다수의 네트워크 종점들을 보호하기 위한 듀얼 메모리 인트로스펙션
JP4880269B2 (ja) セキュリティポリシーをマージするための方法およびシステム
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
Carlin et al. Intrusion detection and countermeasure of virtual cloud systems-state of the art and current challenges
US7707619B2 (en) Method and system for troubleshooting when a program is adversely impacted by a security policy
Noh et al. Vulnerabilities of network OS and mitigation with state‐based permission system
Abed et al. Resilient intrusion detection system for cloud containers
Czubak et al. Algorithmic complexity vulnerability analysis of a stateful firewall
Jena et al. Co-Resident Attack and its impact on Virtual Environment
Tupakula et al. Techniques for detecting attacks on critical infrastructure
Tupakula et al. Trust enhanced security architecture for detecting insider threats
Shouman et al. A Hybrid Multiagent-Based Intrusion Prevention System
Shouman et al. Multiagent-Based Intrusion Prevention System

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant
FPAY Annual fee payment

Payment date: 20150819

Year of fee payment: 4

FPAY Annual fee payment

Payment date: 20160818

Year of fee payment: 5

FPAY Annual fee payment

Payment date: 20170818

Year of fee payment: 6

FPAY Annual fee payment

Payment date: 20180816

Year of fee payment: 7