KR20100133398A - 다중 티어 보안 이벤트의 상관 및 완화 - Google Patents

다중 티어 보안 이벤트의 상관 및 완화 Download PDF

Info

Publication number
KR20100133398A
KR20100133398A KR1020107021950A KR20107021950A KR20100133398A KR 20100133398 A KR20100133398 A KR 20100133398A KR 1020107021950 A KR1020107021950 A KR 1020107021950A KR 20107021950 A KR20107021950 A KR 20107021950A KR 20100133398 A KR20100133398 A KR 20100133398A
Authority
KR
South Korea
Prior art keywords
policy
policy server
domain
event
server
Prior art date
Application number
KR1020107021950A
Other languages
English (en)
Inventor
아미트 아가왈
데이비드 아렌즈
로드 리빙우드
마할링앰 마니
나브조트 싱
앤드류 즈몰렉
Original Assignee
아바야 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 아바야 인코포레이티드 filed Critical 아바야 인코포레이티드
Publication of KR20100133398A publication Critical patent/KR20100133398A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Exchange Systems With Centralized Control (AREA)

Abstract

본 발명은 제조 업자 지향 글로벌 보안 서비스 및 보안 이벤트와 완화 수단을 교환 가능한 정책 서버를 포함하는 다중 티어 보안 아키텍쳐의 사용에 관한 것이다.

Description

다중 티어 보안 이벤트의 상관 및 완화{MULTI-TIER SECURITY EVENT CORRELATION AND MITIGATION}
본 발명은, 본 발명과 동일한 발명의 명칭으로 2008년 4월 4일에 출원된, 미국 특허 가출원 제 61/042,458 호의 우선권을 주장하며, 그 전체 내용은 여기에 참조로서 포함된다.
본 발명은 전반적으로 통신 보안 시스템 및 방법에 관한 것이며, 특히 공격 검출 및/또는 보호 시스템과 방법에 관한 것이다.
오늘날의 정보 중심 세계에서, 컴퓨터 네트워크는 그 핵심이다. 이들 네트워크를 공격자로부터 보호하는 것은 상존하는 과제로, 이는 계속해서 역동적으로 변화되고 있다. 컴퓨터 네트워크를 수많은 미지의 전자 침입자(electronic invaders)로부터 보호해야 할 뿐만 아니라, 효율적인 보안 시스템은 컴퓨터 시스템 고유의 복잡성도 수용해야 한다. 각각의 컴퓨터 및 다른 네트워크 장치는 예상하지 못한 취약성 및 오류 모드를 지니고 있다. 컴퓨터 및 디바이스를 복잡한 시스템에 접속시키면, 그에 따라 잠재적인 문제점도 증가된다.
효율적인 보안 시스템이라면, 세 가지 스테이지, 즉 예방(가능하다면 공격을 회피하기 위한), 검출(공격 시도가 발생했을 때 가능하면 빠르게 이를 알아내기 위한), 및 리액션(공격에 반응해서 이를 차단하고 앞으로 이를 검출하기 위한)을 마련해야 한다. 이러한 세 가지 스테이지를 마련하기 위해서, IDS(Intrusion Detection Systems)는 공격 시도가 발생했을 때 이를 검출하고, 보호 시스템은 공격 시도를 검출한 것에 응답해서 적절한 액션을 취한다.
IDS는 통상적으로 다수의 분류(classifications)로 나누어진다. 이들 분류로는 네트워크 기반 IDS, 호스트 기반 IDS, 프로토콜 기반 IDS 및 애플리케이션 기반 IDS를 들 수 있다. 이들 분류는 조합되는 것이 통상적이다. 하이브리드 IDS라고도 불리는 이들 조합은 예컨대, 네트워크 기반 IDS과 호스트 기반 IDS의 조합을 포함한다. IDS와 보호 시스템의 핵심 수단(key vehicle)은 이벤트 상관(Event Correlation)이다. 이벤트 상관이란, 사용자가 정의하는, 설정 변경이 가능한 룰(rule)들에 기초해서, 전사적으로 정규화되어 있는(enterprise-wide normalized), 실시간 보안 이벤트 데이터를 자동적이고 지속적으로 분석하는 것이다. 이 룰은 중대한 위협 및 복잡한 공격 패턴을 식별하고, 그에 따라서, 이벤트의 우선 순위를 정해서 효율적인 사고 대응을 개시하는 것을 용이하게 하는 것이다. 이벤트 상관은 다수의 서로 다른 소스로부터 이벤트를 수신하며, 이 이벤트는 네트워크 혹은 IDS 데이터의 가장 작은 구성 요소 상에서 감시가능한 사건(auditable occurrences)이다. 이들 소스에서의 에이전트는 참 혹은 거짓 상태에 기초해서 2진수로 된 합격/불합격 이벤트 평가를 수행하여 이벤트를 식별하며, 이는 이벤트 상관 엔진이 분석할 때 필요하다. 이 이벤트는 불필요한 정보를 제거하도록 엔진에 의해 필터링되고, 이로써 분석 에러 혹은 잘못된 표현을 줄인다. 이렇게 필터링된 이벤트는 엔진에 의해서 상관 룰을 이용해서 검출된 불규칙한 패턴과 상관지어 진다. 공격을 방지하거나 차단하는 적절한 대응이 수행될 수 있다.
오늘날의 보안 이벤트 상관 시스템은 전형적으로, 하나의 단일 도메인(single-domain)에 의존해서 2진 판정을 행하는 에이전트와의 이벤트 상관을 수행하고 있다. 단일 도메인 방식은 비효율적이고, 스케일을 변경하는 것이 불가능하다. 또한 단일 도메인 시스템의 구성 요소는 독립적으로 생존하는 것이 불가능하다. 다양한 이벤트 소스의 에이전트는 중심이 되는 이벤트 상관 엔진에 접속하지 않고는 독립적인 판정을 수행할 수 없다.
이러한 요구 사항은 이하의 다양한 실시예 및 구성에 의해서 해결된다. 이들 실시예 및 구성은 여러 티어(tier)의 보안 시스템에 관한 것이며, 이들 티어 중 하나 이상의 티어는 상관 도메인으로 더 분할되어 있다.
일 실시예에서, 기업 네트워크는
(a) 각각이, 개별적인 보호 디바이스와 통신하고 있는 복수의 보안 에이전트 - 각각의 보호 디바이스는 보안 기능을 수행하고, 보안 에이전트 및 각각의 보호 디바이스는 복수의 도메인에 정렬되어 있음 - 와,
(b) 각각이, 개별적인 도메인의 보안 에이전트를 제어하는 복수의 정책 서버
를 포함한다.
일 구성예에서, 각각의 정책 서버는 일련의 이벤트를 정책과 상관시키고, 정책이 지시하는 바에 따라서, 일련의 이벤트와 관련된 공격 유형에 포함되어 있는 일련의 이벤트의 서술(description)을 글로벌 서비스에 제공한다. 글로벌 서비스는 기업 네트워크를 운영하는 기업과 구별되는 업자(vendor)에 의해 운영되고, 이는 하나 이상의 특정 유형의 공격에 대응해서 완화시키는 것을 전문으로 한다.
다른 구성예에서, 각각의 정책 서버는 일련의 이벤트를 정책과 상관시켜서 하나의 룰을 획득하고, 획득한 룰을 정책이 지시하는 바에 따라서 서로 다른 도메인의 서로 다른 정책 서버에 제공한다. 이 룰은 서로 다른 정책 서버에게 있어서 의무적인 것이 아니다. 반대로, 이 룰은 그 룰을 획득한 정책 서버에 의해서 제어되는 에이전트에 대해서는 의무적인 것이다.
이 정책은 그 정책의 적용 가능 범위를 나타내는 하나 이상의 범주 태그(scoping tags)를 포함한다. 예컨대, 범주 태그는 통신 매체, 프로토콜, 글로벌 서비스, 정책 서버, 에이전트, 에이전트의 분류 등과 같은 객체를 식별한다. 이는 일반적으로 공격의 유형은 식별하지 못한다.
일 실시예에서, SPC(a Self-Protecting Communications) 기반 설비가 제공되어서 에이전트에 의한 로컬 보호 티어 이벤트 프로세싱이 도메인 및 글로벌 통합 티어(orchestration tiers)에서의 이벤트 처리와는 독립되게 진행되게 한다. 이들 티어 각각에서의 구성 요소는 그 바로 위의 혹은 그 바로 아래의 티어와 지능을 공유할 수 있으며, 도메인 통합 티어의 경우에는 자신의 티어 내에서 쌍을 이루어서 지능을 공유할 수 있다. 반대로, 종래의 보안 시스템에 의해서는, 여러 종류의 완화 시스템이 재해석하기 위해서, 완화 액션을 다수의 티어가 사전에 공유하는 것은 불가능하다. 종래의 시스템은 모든 계층적인 티어에 동일한 시멘틱 구조를 유지하고 있는 신호 혹은 다른 정책 데이터베이스 업데이트에 의존한다. SPC 하부 구조에 의해 제공되는 분배된 적응성 상관 메커니즘이, 이벤트 프로세싱을 실질적으로 최적화시키고 각각의 티어에서의 시스템의 상태에 대한 전반적인 관점을 제공하면서 다수의 티어의 균형을 맞춘다. 각각의 티어에서의 상관 엔진은 독립적으로 동작하지만, 후속하는 처리를 위해서 요약 정보를 다음 레벨의 입력으로서 상향 송신한다. 상위 레벨 티어는 (예컨대, 상관 경험(heuristics) 혹은 룰) 앞으로의 상관 처리를 위해서 최적화 요청을 하향 송신할 수 있다.
다양한 실시예 및 구성은 특정 구성에 따라서 많은 이점을 제공할 수 있다. 예컨대, 로컬 이벤트 상관에 생존 가능성(survivability)을 제공할 수 있다. 상위 티어와의 통신의 실패 혹은 손실의 경우에, 로컬 보호 구성 요소는 로컬 이벤트 상관은 여전히 수행하면서 국부적으로 저장된 정책에 기초해서 위협을 완화시킬 수 있지만, 통신이 재성립될 때까지는 이벤트를 SPC 서버로 전송하거나 SPC 서버로부터 새로운 업데이트를 수신하는 것은 불가능하다. 일단 통신이 성립되면, 이벤트는 저장되고 전송될 것이다. 이들은 다수의 상관 티어 사이에서 지능을 공유할 수 있으며, 정책 데이터베이스 업데이트를 통해서 그 능력을 공유할 수 있다. 이는 경계 기반 보안을 단독으로 사용하는 경우에 비해서 더 완벽한 통신 하부 구조를 제공할 수 있다. 티어를 사용하면 확장성을 제공할 수 있다.
발명의 상세한 설명으로부터 이들 및 다른 장점들이 명백해질 것이다.
"적어도 하나의", "하나 이상의" 및 "및/또는"과 같은 표현은 동작시에 결합적이거나 분리적인 개방형 표현이다. 예를 들어, "A, B 및 C 중 적어도 하나", "A, B, 또는 C 중 적어도 하나", "A, B 및 C 중 하나 이상", "A, B 또는 C 중 하나 이상" 및 "A, B, 및/또는 C"라는 표현들 각각은 A, B, C, A 및 B, A 및 C, B 및 C, 또는 A, B 및 C를 의미한다.
단수로 표현된 엔티티는 그러한 엔티티가 하나 이상 존재함을 나타낸다. 이렇게, "하나 이상" 및 "적어도 하나"와 같은 표현이 본 명세서에서 상호교환가능하게 사용될 수 있다. 또한 "포함하는", "내재하는" 및 "구비하는"이라는 표현이 상호교환가능하게 사용될 수 있다.
본 명세서에서 사용된 "자동의" 및 그에 준하는 표현은 프로세스 또는 동작이 수행될 때 물리적인 사람의 입력 없이 그러한 프로세스 또는 동작이 수행됨을 나타낸다. 그러나, 만약 입력이 프로세스 또는 동작의 수행 이전에 수신되었으면, 프로세스 또는 동작의 수행이 물리적 또는 무형의 사람의 입력을 사용한다고 해도 해당 프로세스 또는 동작이 자동이라 할 수 있다. 사람의 입력은 그러한 입력이 프로세스 또는 동작이 수행되는 방식에 영향을 미친다면 물리적인 것으로 간주된다. 프로세스 또는 동작의 성능에 동의하는 사람의 입력은 "물리적"인 것으로 간주되지 않는다.
본 명세서에서 사용되는 "컴퓨터-판독가능 매체"라는 표현은 명령어의 실행을 위해 명령어를 프로세서로 제공하는 것에 참여하는 임의의 실체적인 저장 및/또는 전송 매체를 지칭한다. 이러한 매체는 비휘발성 매체, 휘발성 매체 및 전송 매체를 포함하지만 이것으로 제한되지는 않는 임의의 형태를 취할 수 있다. 비휘발성 매체는, 예를 들어 NVRAM, 또는 자기 디스크 또는 광디스크를 포함한다. 휘발성 매체는 예컨대 주메모리와 같은 동적 메모리를 포함한다. 컴퓨터 판독가능한 매체의 일반적인 형태는, 예컨대 플로피 디스크, 플렉서블 디스크, 하드 디스크, 자기 테이프 또는 임의의 다른 자기 매체, 자기-광학 매체, CD-ROM, 임의의 다른 광학 매체, 펀치 카드, 페이퍼 테이프, 홀들의 패턴을 갖는 임의의 다른 물리적 매체, RAM, PROM 및 EPROM, FLASH-EPROM, 메모리 카드와 같은 고체 상태 매체, 임의의 다른 메모리 칩 또는 카트리지, 또는 컴퓨터가 판독할 수 있는 임의의 다른 매체를 포함한다. 컴퓨터 판독가능 매체가 데이터베이스로서 구성되었을 때, 이 데이터베이스가 관계적, 계층적, 객체지향적 등의 임의의 유형일 수 있음이 이해될 것이다. 따라서, 본 발명은 본 발명의 소프트웨어 구현물이 저장되는 실체적 저장 매체와 종래 기술에서 알려진 균등물 및 계승 매체를 포함하는 것으로 간주된다.
본 명세서에서 사용되는 "결정하다", "계산하다" 및 "컴퓨팅하다"와 같은 표현 및 그의 변형 표현은 상호교환가능하게 사용되며 임의의 유형의 방법, 프로세스, 수학적 동작 또는 기술을 포함한다.
본 명세서에서 사용되는 "모듈"과 같은 표현은 잘 알려졌거나 최근에 개발된 하드웨어, 소프트웨어, 펌웨어, 인공 지능, 퍼지 논리, 또는 구성요소와 연관된 기능을 수행할 수 있는 하드웨어와 소프트웨어의 조합을 지칭한다. 또한, 본 발명이 예시적인 실시예의 측면에서 기술되었지만, 본 발명의 각각의 측면들이 개별적으로 청구될 수 있음을 이해해야 한다.
상술한 부분은 본 발명의 일부 측면의 이해를 제공하기 위한 개요이다. 이 개요는 본 발명 및 그 다양한 실시예를 확대하거나 배제하는 것이 아니다. 본 발명의 핵심 혹은 주요 구성 요소를 나타내거나 본 발명의 범주를 설명하는 것이 아니며, 이하 제공되는 상세한 설명에 대한 도입의 형태로서 본 발명의 선택된 개념을 간략한 형태로 제공하도록 의도된 것이다. 자명한 바와 같이, 본 발명의 다른 실시예는 상술한 혹은 후술하는 특징을 단독으로 이용하거나 하나이상의 특징들을 조합해서 이용할 수 있다.
도 1은 일 실시예를 나타내는 블록도,
도 2는 일 실시예를 나타내는 블록도,
도 3은 일 실시예에 따른 흐름도,
도 4는 일 실시예에 따른 흐름도,
도 5는 일 실시예에 따른 흐름도,
도 6은 일 실시예에 따른 흐름도이다.
아키텍쳐의 개요
도 1을 참조해서, 다중 티어 네트워크 보안 시스템이 설명된다. 이 시스템은 3개의 티어 즉, 로컬 보호 티어(100), 도메인 통합(orchestration) 티어(104) 및 글로벌 통합 티어(108)를 포함하고 있다. 로컬 보호 티어(100)로부터의 도메인 이벤트 개요가 도메인 통합 티어(104)로 푸쉬되거나 도메인 통합 티어(104)에 의해 풀링되고, 통합 티어(104)로부터의 글로벌 이벤트 개요가 글로벌 통합 티어(108)로 푸쉬되거나 글로벌 통합 티어(108)에 의해 풀링된다. 세 티어 각각의 구성 요소가 호스트 티어의 바로 위 혹은 바로 아래의 티어와 지능을 공유할 수는 있지만, 각각의 티어에서의 이벤트 프로세싱은 서로 독립적으로 진행된다.
로컬 보호 티어(100)는 복수의 정의된 도메인(112a-n)을 포함하고, 각각의 도메인은 하나 이상의 SPC 에이전트(116a-o)를 포함하고 있다. 각각의 에이전트는 하나 이상의 로컬 보호 구성 요소(120a-p)와 통신 상태에 있다. 각각의 도메인(112a-n)은, 도메인의 멤버로 간주되는, 상호 접속된 통신 엔티티의 클러스터(예컨대, SPC 에이전트 및/또는 이들 각각의 호스트 로컬 보호 구성 요소 및 SPC 에이전트를 포함하지 않은 이들의 구성 요소)이며, 이들은 각각의 도메인의 논리적인 혹은 물리적인 경계를 따라서 위치되거나 도메인 내에 위치된 SPC(Self-Protecting Communication) 에이전트(116a-o)에 의해 적용되는 통신 보안 정책의 공통 세트에 의해 보호된다(예컨대, SPC 에이전트 호스트 로컬 보호 구성 요소는 통신을 수신하는 도메인 내의 제 1 구성 요소가 아니며, 후속해서 도메인 경계에서 로컬 보호 구성 요소로부터 직간접적으로 통신을 수신한다). SPC 에이전트는 로컬 보호 구성 요소를 모니터해서, 사용과 집행의 경계를 정의하는 규정된 보안 정책을 집행한다. 선택된 도메인 내의 SPC 에이전트는 일반적으로 자신이 담당하고 있는 보안 수단, 동작 혹은 서비스에 따라서 분류된다.
도메인은 하나의 호스트 정도로 작을 수도 있고, 다수의 네트워크 정도로 클 수도 있다. 전형적으로, 도메인은 논리적으로 및/또는 물리적으로 중첩되지 않는다. 제 1 도메인의 멤버는 다른 제 2 도메인의 멤버가 될 수 없다.
로컬 보호 구성 요소는 보안 게이트웨이, 방화벽, 파일 완전성 체커(file integrity checkers), 파일 액세스 컨트롤 리스트, 애플리케이션 화이트/블랙 리스트 등과 같은 임의의 디바이스 혹은 계산 모듈이 될 수 있지만, 보안 게이트웨이 및 방화벽이 가장 일반적이다. 로컬 보호 구성 요소는 전형적으로 SPC 에이전트의 슬레이브가 되며, 네트워크 트래픽과 논리적으로 같은 선상에 위치된다. 이벤트 처리에 관해서, SPC 에이전트는 일반적으로 이 에이전트에 슬레이브되어 있는 로컬 보호 구성 요소의 동작과 동기화되어 작동한다.
SPC 에이전트는 로컬 보호 구성 요소로부터 분리되어 있을 수도 있고, 로컬 보호 구성 요소 내에 존재할 수도 있다. 슬레이브되어 있는 로컬 보호 구성 요소의 룰 세트 언어는 그 구성 요소와 동일하며(native), 자신이 제어하는 SPC 에이전트 이외에는 그 구성 요소는 SPC 아키텍쳐를 인식하지 못한다.
도메인 통합 티어(104)는 SPC(정책) 서버(124a-n)을 포함한다. 하나의 SPC 서버(124)가 도메인(112) 하나, 전형적으로 단지 하나에 대응한다. 전형적으로 하나의 호스트 디바이스로부터만 이벤트를 수신하는 SPC 에이전트와는 달리, SPC 서버는 전형적으로 각각의 도메인의 다수의 멤버로부터 이벤트 및/또는 이벤트 개요를 실질적으로 동시에 수신한다.
글로벌 통합 티어(108)는 복수의 글로벌 서버(128a-q)를 포함한다. 각각의 글로벌 서비스는 일반적으로 협의적으로 정의된 관심 에어리어를 갖고 있지만, 다수의 도메인을 서비스하지 못한다. 예컨다, 글로벌 서비스는 SPIT(Spam over Internet Telephony)를 포함하는 방해 통신(nuisance communications)만을 해결한다. 관심의 에어리어의 다른 예는, 다수의 소스로부터의 대규모 입력을 연계시켜서 자신이 검출한 협박에 대항할 수 있는 새로운 룰을 제안할 수 있는, 공격 신호 갱신 서비스(attack signature update service), DDoS, 안티바이러스 및 다른 보안 지향 서비스를 포함한다. 전형적으로, 글로벌 서비스는 유료 서비스를 기업에 제공하는 업자에 의해 운영된다. 예컨대, SPIT 글로벌 서비스는 전세계에서의 SPIT 발생을 실시간으로 추적하는 글로벌 안티-SPIT 서비스가 될 수 있다.
SPC 에이전트 및 서버
SPC 에이전트(116) 및 서버(124)가 도 2를 참조로 더 설명될 것이다.
그러나, 이들 구성 요소를 설명하기에 앞서서, 보안 정책 및 상관 룰을 이해하는 것이 중요하다.
보안 정책, 혹은 정책 디렉티브는, 특정 조건하에서 보안 도메인 내의 혹은 보안 도메인을 벗어난 특정 네트워크 트래픽을 보호하는데 필요한, 액세스 제한과 같은 보안 서비스, 동작 및/또는 수단을 나타내는 하나 이상의 정의된 룰들의 사용자 구성 가능한 세트이다. 일반적으로, 정책은 관리자가 디바이스로 하여금 특정한 보안 동작을 수행하게 할 수 있게 하는, 시스템 관리자와 네트워크 디바이스 사이의 커맨드 인터페이스로, 정책은 일반적으로 한 도메인 내에서는 균일하지만 도메인마다는 차이가 있다. 예시적인 정책은 허용가능한 용례의 임계값을 나타내고, 임계값을 벗어났을 때에는 적절한 대응을 선택적으로 나타낸다. 정책의 예는 방화벽 정책 및 방화벽 정책에 대한 갱신, 침해 검출 신호 및 URL(Universal Resource Locator) 필터를 포함한다. 정책은 보안 서비스뿐만 아니라 SPC 에이전트(예컨대, SPC 에이전트에 속하는 룰의 적용/수정/삭제 허가를 요청하는 사람)에 대한 인가 요청도 나타낸다.
상관 룰은 SPC 에이전트가 국부적으로 마주치는 이벤트에 보안 정책을 적용해가면서 경험적으로 획득되는 것이다. 따라서 상관 룰은 정책 디렉티브의 특정 예 혹은 서브셋이다. 상관 룰의 예는 경험적으로 획득된 방화벽 룰 혹은 룰 세트이다. 정책(디렉티브)와 룰 사이의 차이를 더 설명하기 위해서, 정책 디렉티브는 "무빙(moving) 10초 윈도우 동안 100,000 이상의 INVITE를 전송하는 임의의 소스 IP 어드레스를 차단"하는 형태가 될 수 있는 반면, 플리시를 침해하는 특정 공격에 적용하기 위해서 그 정책으로부터 생성된 상관 룰은 "소스 IP 어드레스 X는 수비자로, 차단 룰을 생성"하는 형태가 될 수 있다.
정책 및 상관 룰은, 네트워크 계층, 전송 계층 혹은 애플리케이션 계층에 보안을 제공하는 것과 같이, 임의의 계층에 보안을 제공하도록 적용될 수 있다.
전형적으로, 정책 및 상관 룰은 중대한 침해 및 복잡한 공격 패턴을 검출해서, 이벤트의 우선 순위를 정해서 효율적인 사고 대응을 용이하게 하는 것이다. 일반적으로, 검출을 수행하는 것은 4가지 정책 및 상관 룰이 존재한다. 감시 리스트(Watch list) 정책 및 룰은 임의의 소스로부터의 이벤트가, 금지된 사용자의 이름, 특정 시스템, IP 어드레스 범위 등과 같은 특정한 스트링 패턴을 포함하고 있는 경우에 사용자에게 경고를 보낸다. 기초 상관 정책 및 룰을 통해서 사용자는 다수의 실시간 이벤트에 대한 복잡한 조건을 용이하게 캡쳐할 수 있다. 개선된 정책 및 룰은 실시간 이벤트와 현재의 이벤트를 모두 상관시키는 조건의 추가적인 계층을 제공한다. 개선된 정책 및 룰은, 특정 이벤트의 발생에 간단하게 대응해서, 방화벽을 벗어나서 발생하는 이벤트와 방화벽 내에서 발생하는 이벤트를 비교하거나, 방화벽 내외에서의 이벤트에 기초해서 경고를 트리거하거나, 유사하지만 동일하지는 않은 이벤트를 찾아내는 것과 같은, 복잡한 이벤트를 평가하는 능력을 SPC 에이전트에게 제공하는 범위까지도 행한다. 예컨대, 개선된 정책 혹은 룰은 기초 상관 룰로부터 이벤트를 분석해서 목표로 하는 구성 요소가 다른 잠재적인 DoS(Denial of Service) 공격의 소스인지 찾아내고, 이는 목표로 하는 구성 요소가 DDoS(Distributed Denial of Service) 공격을 수행하는 "좀비"가 되었다는 것을 나타낼 수 있다. 프리 형태(Free form) 정책 및 룰은, 룰 혹은 이벤트를 더 개선하는 방법을 제공하며, 이는 다수의 로직의 계층을 필요로 하는 새롭고 더 복잡한 상황을 만든다. 특정 시퀀스의 복잡한 공격 패턴에 따른 룰을 생성하는 것이 이 룰 유형의 대표적인 용례이다. 반응형(reactive) 및 사전형(proactive) 완화 정책 및 룰은 공격 차단(예컨대, 2 INVITE/분까지의 속도 제한) 혹은 회피(예컨대, 검출 룰에 의해서 공격 신호가 검출되었을 때 20분 동안 INVITE 매칭을 차단함)를 행하도록 되어 있다. 감시(auditing) 정책 및 룰은 데이터를 SPC 구성 요소에 보고한다. 일 구성예에서, 보고는 소스 IP, SIP(Session Initiation Protocol) 루트 정보 및 SIP URI(Universal Resource Identifier)를 포함하는 것이 전형적이다. 예외 정책 및 룰은 정책 및 룰에 대한 예외를 제공한다(예컨대, 이 URI는 10 INVITE/분 이상 전송 가능함).
2개 이상의 네트워크 엔티티 사이의 통신이 다수의 도메인으로 확장되는 경우에, 통신을 보호하기 위해 구현된 보안 서비스 혹은 수단이 조합될 수 있다.
일 구성예에서, 도메인의 멤버와 다른 신뢰된(개인) 혹은 신뢰할 수 없는(공공) 네트워크 사이의 모든 통신은, 그 도메인의 보안 정책에 따라서 SPC 에이전트에 의해서 처리되는 반면, 상관 룰은 그 도메인의 SPC 에이전트 멤버에 의해서 국부적으로 적용된다. 따라서, 정책은 도메인 전체에 균일하게 적용되지만, 서로 다른 상관 룰이 동일한 도메인 내의 다른 SPC 에이전트에 의해서 적용될 수 있다. 전형적으로 도메인의 멤버와 다른 네트워크 사이에서 SPC 에이전트의 보호를 우회할 수 있는 통신 경로는 존재하지 않는다.
일 구성예에서, 정책 및 룰은 공통 포맷을 갖고 있다. 이 포맷은 이벤트 유형 혹은 이벤트 유형의 세트에 대한 서술, 임계값의 세트(예컨대, 허용된 사용자 세션의 최대값, 애플리케이션 타임아웃, 날짜 제한, 로컬 혹은 액세스 방법에 기초한 제한 등), 임계값이 수행되는 기간, 이벤트 인스턴스가 이전에 논의된 분야에 적용되는 경우의 대응, 범위 표시자의 세트 및 태그의 세트를 포함한다. 이벤트 유형은 예컨대, 대응하는 공격 신호 패킷 또는 세션 유형 및/또는 선택된 필드값 특징을 서술할 수 있다. 이벤트 유형 혹은 이벤트 유형의 세트, 임계값의 세트 및 기간은 모두 공격 검출 신호, 특정 공격 유형의 특성과 같은 이벤트 패턴을 정의한다. 대응은 관리자 혹은 사용자에게 경고 혹은 통지를 생성하는 것, 공격에 대응하거나, 방지하거나 완화시키는 처치 액션, 커맨드 혹은 네이티브 룰 세트의 개시/생성하는 것(예컨대, 방화벽이 공격자의 IP 어드레스를 필터링하도록 지시하거나, 접속을 종료시키는 TCP FIN 패킷을 구축하거나, 패킷을 /dev/null으로 라우팅함), 상세한 이벤트 로그의 전파(예컨대, 타임스탬프, 공격자 IP 어드레스, 피해자 IP 어드레스/포트 및 프로토콜 정보와 같은 공격 정보를 저장하고, 이후의 분석을 위해서 로우 패킷(raw packets)의 트레이스 파일을 저장), 이벤트 개요를 상위 티어 구성 요소로 전파 및 전송하는 것, 현재의 정책을 갱신하는 것, 새로운 정책을 생성하는 것, 현재의 상관 룰을 갱신하는 것, 새로운 상관 룰을 생성하는 것과 같은 임의의 적절한 대응이 될 수 있다. 범주 표시자는 글로벌 서비스(128a-q), SPC 에이전트(116a-o), SPC 에이전트 분류, 매체 유형, 프로토콜 혹은 프로토콜 정의된 엔티티, 영향을 받은 애플리케이션, 네트워크 및/또는 서브네트와 같은 주어진 객체에 대한 주어진 정책 혹은 룰의 적용 가능성을 나타낸다. 범주 표시자는 예컨대, 글로벌 서비스, SPC 에이전트, 혹은 SPC 에이전트의 분류를 고유하게 나타내는 값이다. 예시적으로, 범주 표시자는 경고의 대상, 이벤트 개요, 새로운 정책 디렉티브, 정책 디렉티브에 대한 갱신, 새로운 상관 룰, 상관 룰에 대한 갱신을 나타내는 데 사용될 수 있으며, SPC 에이전트의 경우에는, 어느 SPC 에이전트가 정책 및 룰을 적용할 책임이 있는지를 나타낸다. 전체 정책 디렉티브는 하나 이상의 범주 표시자를 포함한다. 태그는 대응하는 공격 신호와 관련된 공격의 유형을 나타낸다. 예컨대, 태그는 공격 유형을 고유하게 식별하는 값이다. 정책 혹은 룰이 대응을 트리거하면, 응답의 일부로서 생성되거나 전달되는 통지, 이벤트 혹은 이벤트 개요가 정책 혹은 룰의 범주 표시자 혹은 태그의 일부 혹은 전체를 포함할 수 있다. 비록 정책 혹은 룰이 하나 이상의 태그를 포함할 수 있지만, 정책 혹은 룰에 기초해서 이벤트 개요를 어디로 전파할지에 대한 판정은 일반적으로 공격 유형 혹은 태그 값과는 무관하다. 즉, 이 판정은, 정책 혹은 룰이 특정 공격 유형과 관련된 공격 신호를 정의하는 범위까지만 공격 유형에 의존한다.
SPC 아키텍쳐에 의해 검출되고 완화될 수 있는 공격 유형은 매우 다양하다. 일 구성예에서, 공격 유형은, DoS(Denial of Service), DDoS(Distributed Denial of Service)(에컨대, 인바이트/옵션/레지스트레이션 플러드), 퍼징(예컨대, 기형 패킷), 세션 이상(anomalies) 및 강제 호 해제(call teardown)(예컨대, 바이(bye)/캔슬)와 같은 디바이스 대상 공격; DoS/DDoS/퍼징, 소셜 공격(예컨대, 스텔스/SPIT(Spam over Internet Telephony) 및 열거 공격(enumeration attacks)(예컨대, 호 워킹/레지스터/인바이트/옵션 열거)과 같은 토폴로지 대상 공격; 도청, 레지스트레이션 탈취(hijacking)/세션 탈취/방향 전환, 세션 해제 및 프록시 가장(impersonation)과 같은 MITM(Man-In-The-Middle); 매체 게이트웨이에 대한 DoS 공격, 통신 시스템에 대한 DoS 공격, 음성 메일에 대한 DTMF(Dual Tone Multi Frequency) 공격, IRU(Interactive Response Units)(인터렉티브 보이스 리스폰스 유닛, 즉 IVR과 같은) 혹은 접촉 센터의 미인가 액세스를 받는 것, RTP(Real Time Protocol) 패이로드 탈취, RTP 탬퍼링, 및 SDP(Session Description Protocol) 방향 전환과 같은 매체 대상 공격; 및 전화 사기(toll fraud)와 같은 서비스 절도 공격, 지적 재산권/기밀 정보의 탈취(예컨대, 다른 사람의 음성 메일을 훔치는 것)을 포함한다. 다른 구성 예에서, SPC 아키텍쳐는 악의적인 입력 공격, 무작위 로그인 검출 공격, 버퍼 오버플로우 공격, 범람 공격, 리소스 기아(starvation) 혹은 고갈 공격, 악의적인 출력 공격, 자동 검출 공격 및 기존의 취약성 공격을 검출해서 완화시킨다.
정책은, 네트워크 관리자 및 통신 애플리케이션의 사용자와 같은 적절한 지휘권자에 의해서 통제된다. 룰 및 정책은 다중 프로토콜 혹은, 데이터링크, 네트워크 전송 및 애플리케이션 계층을 포함한 OSI 계층으로 설정될 수 있다. 의무적인 상관 룰과는 달리, 보안 정책은 의무적일 수도 있고, 의무가 아닐 수도 있다. 더 상세하게는, 정책은 모든 경우에 SPC 에이전트에 대해서 의무적이고, 관리자로부터 수신되거나, 관리자에 의해 구성 혹은 편집되거나, 관리자에 의해 생성된 경우에는 SPC 서버에 대해서 의무적이며, 모든 다른 경우에는 SPC 서버에 대해서는 의무적이지 않다.
정책 및 룰은 선택된 소스 어드레스의 신뢰도와 관련된 트러스트 점수, 매칭이 올바른지 허위인지에 관한 컨피던스 점수, 혹은 다른 점수나 가중치 메커니즘을 규정할 수 있다. 자명한 바와 같이, 컨피던스 점수는 응답의 세트와 관련해서 표시될 수 있다(멤버, 긴급 및 정확한 측정 심각도에 따라 달라질 수 있다). 예컨대, 제 1 하위 컨피던스 점수라면 간단하게 관리자에게 가능한 공격에 관한 경고를 보낼 것을 요구할 수 있지만, 제 2 상위 컨피던스 점수라면 로컬 보호 구성 요소에 경고뿐만 아니라 차단 룰도 보낼 것을 요구할 수 있다.
SPC 에이전트(116) 및 SPC 서버(124)가 도 2를 참조로 설명될 것이다.
SPC 에이전트(116)는 다수의 모듈을 포함한다. 이는 일반적으로 로컬 보호 구성 요소 내에 있으며, 그 구성 요소의 고유 기능은 간섭하지 않는다. 반대로, 구성 요소가 처리하는 데이터를 모니터해서, 적절한 경우에는, 적절한 완화 커맨드를 그 구성 요소에 제공한다.
SPC 에이전트(116) 내의 로컬 이벤트 컬렉터(200)는 하나 이상의 로컬 보호 구성 요소(120)(예컨대, 애플리케이션 입증/필터링 엔진, 애플리케이션, 네트워크 방화벽 엔진, 보안 게이트웨이, 라우터, 스위치, 네트워크 공격 검출, 시스템 완전성 검증자, 로그 파일 모니터, 사기(deception) 디바이스 등)로부터 특정 이벤트를 수신해서, 필요하다면 리포팅 로컬 보호 구성 요소로부터 추가 정보를 획득하며, 이벤트 정보를 필터링해서 필터링된 이벤트를 형성한다. 이벤트는 네트워크 혹은 SPC 에이전트 데이터의 가장 작은 요소 상에서의 감시가능한 사건(auditable occurrences)이다. 이벤트의 예는 음성 호 오류, 성공 음성 호 셋업, 잘못된 로그인, 인증 오류, 속도 제한 ON/OFF, 프로토콜 위반(예컨대, 왜곡된 패킷 및 잘못된 MAC 조회), 시스템 완전성 체크 오류(예컨대, 무효의, 서명없는 JAR/EAR/WAR 파일 혹은 이진수), 및 음성 회의 서비스 품질의 저하를 포함한다. 컬렉터(200)는 이벤트와 관련된 불필요한 혹은 무관한 정보를 필터링한다. 예컨대, 처리 룰은 도달하는 로그, 이벤트 및 경고 데이터를 필터링해서 어떤 것을 유지하고, 어떤 것을 삭제할지 판정한다. 어떤 데이터를 얼만큼 유지할지는 기업의 보안 정책에 따라 달라진다.
로컬 상관 엔진(204)은 필터링된 이벤트를 로컬 이벤트 컬렉터(200)로부터 실질적으로 실시간을 수신해서, 보안 정책 및 상관 룰에 기촐해서 분석하고 상관시킨다. 일 구성예에서, 엔진(204)은 IDS 신호 혹은 공격 패턴 상관, 위치 기반 상관, 방향 상관, 내포(nested) 상관, 순차 상관, 복합 상관 및 타임-애그나스틱(time-agnostic) 상관 방법 등에 의해서 동작 변칙 검출을 수행해서 자동화된 응답을 개시한다.
보호 구성 요소용 제어 인터페이스(208)는 로컬 상관 엔진(204)에 의해 적용된 적용가능한 정책 혹은 상관 룰에 의해 획득된 응답을 개시한다. 일례로, 인터페이스(208)는 애플리케이션 입증/필터링 엔진 및 로컬 네트워크 방화벽에 완화 커맨드를 전송한다. 다른 예로, 인터페이스(208)는 완화 룰을 생성해서 이를 로컬 보호 커맨드로 전송한다. 또 다른 예로, 인터페이스(208)는 적절한 보안 정책에 따라서 새로운 상관 룰을 생성하거나 기존의 상관 룰을 갱신한다.
로컬 상관 엔진(204) 및 제어 인터페이스(208)의 전체 운영을, 여러가지 예를 들어서 설명한다. 예컨대, 무빙 30초 윈도우 내에 만일 25개 이상의 이벤트가 하나의 단일 IP 어드레스를 향하고 있다면 경고가 트리거된다. 다른 예로, 이벤트가 로컬 SIP(Session Initiation Protocol) 범람 정책에 매칭되는 경우(예컨대, 30초 내에 20개 이상의 SIP INVITE 패킷을 수신), 엔진(204)은 그 이벤트를 보호 구성 요소용 제어 인터페이스(이하 설명)로 전송해서 소스 IP 어드레스를 차단하는 룰과 같은 완화 기법을 적용한다.
로컬 정책 엔진(212)은 정책 및 룰 데이터베이스(216)(이하 설명)에 정책을 유지하고, 특정 정책을 다른 로컬 SPC 구성 요소, 즉 로컬 상관 엔진(204) 및 제어 인터페이스(208), 및 로컬 보호 구서 요소로 분배하며, 새로운 정책 혹은 정책 갱신을 관리자로부터 수신한다. 일부 구성예에서, 로컬 정책 엔진(212)은 도메인 정책과 로컬 정책과 룰 사이를 중재한다. 중재 판정은 범주 필터링 및 최소 제한 및 최대 제한 구성 룰을 이용한 소스 우선 순위와 같은 기법을 사용해서 이루어질 수 있다.
로컬 정책 및 룰 데이터베이스(216)는 개개의 도메인에 의해서 관리되는 정책과 상관 룰을 유지하고 있다. 정책 및 룰은 로컬 정책 엔진(212), 로컬 상관 엔진(204) 및 제어 인터페이스(208)로 푸시되거나 이들에 의해서 풀링된다.
로컬 이벤트 데이터베이스(220)는 SPC 에이전트(116)에 의해 수신되거나 수집된 이벤트에 따라서 이벤트, 상세 리포팅 로그, 트레이스 파일 등을 포함한다. 전형적으로, 이벤트 데이터베이스의 컨텐츠는 SPC(116)의 각각의 도메인에서 발생하는 로컬 이벤트로만 제한된다.
SPC 서버(124)는 SPC 에이전트(116)와 유사한 구성 요소를 포함한다. 주요 차이점은 SPC 서버는 다수의 SPC 에이전트로부터 수신된 이벤트 개요를 처리하고 응답하는 반면, 각각의 SPC 에이전트는 자신이 맡고 있는 로컬 보호 구성 요소로부터 수신된 이벤트만 처리해서 응답한다는 것이다. SPC 서버는 도메인 통합 티어(104) 내에서는 다른 서버와 쌍으로, 글로벌 통합 티어(108)에서는 글로벌 서비스(128)와 함께 지능 및 공격에 관한 다른 정보를 공유할 수도 있다.
도메인 이벤트 컬렉터(224)는 서버의 도메인 내에서 대응하는 SPC 에이전트로부터 이벤트 개요를 수신한다. 이벤트 개요는 전형적으로, 하나 이상의 정책 혹은 룰에 정의된 공격 서술을 종합적으로 만족시키고 있는 다수의 이벤트에 관한 정보를 포함하고 있다. 이벤트 개요는 일반적으로 공격자 혹은 피해자와 관련된 소스 어드레스, 공격자 혹은 피해자와 관련된 목적지 어드레스, 포함되어 있는 이벤트 유형의 서술, 이벤트 타임스탬프, 취해진 응답의 서술 및, 이벤트 개요 준비를 수행하는 특정 정책 혹은 상관 룰의 식별자를 포함한다. 컬렉터(224)는 도메인 이벤트 데이터베이스(228)(이하 설명)의 이벤트 개요를 저장해서 이벤트 개요를 도메인 상관 엔진(232)에 전송한다. 도메인 이벤트 컬렉터는 등록되지 않은 SPC 에이전트로부터의 이벤트 개요를 필터링한다. 자명한 바와 같이, SPC 에이전트는 SPC 에이전트를 포함하는 도메인에 대한 책임을 지고 있는 특정 SPC 서버에 할당되어서 등록된다.
동일한, 유사한, 그리고 로컬 정책 및 상관 룰로부터 획득하고/획득하거나 로컬 정책 및 상관 룰과는 다른 도메인 정책 및 룰을 이용하는 도메인 상관 엔진(232)은, SPC 서버(124)에 대응하는 도메인 내의 다양한 SPC 에이전트(116)으로부터 수신된 이벤트 개요를 상관시킨다. 예컨대, 도메인 상관 엔진은 특정 기간 동안 다수의 도메인 내에 있으면서 동일한 IP 어드레스로부터 수신한 로컬 INVITE 범람이 통신 인터페이스(236)으로 보고될 것을 요구하는 정책 혹은 룰을 적용할 수도 있다.
SPC 에이전트, 피어 및 글로벌 서비스용 통신 인터페이스(236)는 도메인 상관 엔진(232)에 의해 적용되는, 적용가능한 도메인 정책 혹은 상관 룰이 요구하는 응답을 개시한다. 예시적으로, 인터페이스(236)는 SPC 서버(124)의 대응하는 도메인에 있는 로컬 보호 티어의 SPC 에이전트, SPC 서버(124)의 도메인 통합 티어 피어 및 글로벌 통합 티어(108) 내의 글로벌 서비스(128)에 완화 커맨드, 알람, 공격 통지, 새로운 정책, 정책 갱신, 새로운 룰 및 룰 갱신 중 하나 이상을 전송한다. 전형적으로, SPC 서버(124)는 도메인 이벤트 개요만을 선택된 글로벌 서비스에 전송한다. 도메인 이벤트 개요는 적어도 선택된 수의 로컬 상관 이벤트 개요로부터의 선택된 정보를 참조 및 서술하거나 포함하고 있다.
글로벌 서비스는 (서버에 제공될 특정 글로벌 서비스 및/또는 정보의 유형을 나타내는 범주 식별자를 포함하는) 적용가능한 정책 또는 룰이 규정하는 정보만을 수신한다. 예컨대, 글로벌 SPIT 서비스는 장난 전화 및 비-바이러스 리포트 혹은 DoS 리포트의 개요만을 수신한다. 정책 혹은 룰은 일반적으로 서버에 의해서 글로벌 서비스로 전송된다. 이중 로컬 혹은 도메인 이벤트 개요의 SPC 서버에 의해서 도메인 통합 레벨의 피어로부터 수신하는 것은 가능하다. 이중 로컬 혹은 도메인 이벤트 개요는 상관 벡터를 포함하고, 이는 유용한 정보를 제공할 수 있다. 일반적으로, SPC 서버 피어로부터 수신한 이벤트 개요는 소스에 기초해서 서로 다른 가중치를 부여받아서 처리된다. 즉, SPC 서버는 전형적으로 서버에 의해 소싱된 이벤트 개요에 수신 피어에 의해 인가되는 서로 다른 가중치를 부여한다. SPC 서버는 UDDI, DHCP, SLP, 혹은 고정 구성 발견(static configuration discovery) 기법을 포함한 임의의 적절한 기법에 의해서 글로벌 서비스를 식별한다.
도메인 상관 엔진(232)과 통신 인터페이스(236)의 전체 동작이 몇가지 예를 통해서 설명된다. 일례로, 만일 2개 이상의 이벤트 개요 리포트가 무빙 1분 윈도우 내에서 하나의 IP 소스 어드레스에 의해서 가능한 SIP INVITE 범람 공격의 사례를 표시하는 경우에는, 경고가 트리거된다. 다른 예로, 범람에 대한 응답은 SPC 서버의 도메인을 통해서 적절한 분류의 SPC 에이전트로 그 소스 IP 어데르스를 차단하는 통지를 제공하는 것이다. SPC 서버는 변칙 행동의 통지를 그 피어에 전송해서, 도메인 이벤트 개요를 준비해서 SIP INVITE 범람 공격을 처리하는 유형의 글로벌 서비스로 전송할 수도 있다.
도메인 정책 엔진(240)은 정책 데이터베이스(244)(이하 설명)의 도메인 정책을 유지하고, 특정 정책을 다른 SPC 구성 요소로, 즉, 로컬 보호 티어에서는 이벤트 개요를 SPC 서버에 제공하는 SPC 에이전트로, 도메인 통합 레벨에서는 도메인 상관 엔진(204) 및 통신 인터페이스, 그리고 SPC 서버의 피어로, 분배하고, 관리자로부터 새로운 정책 혹은 정책 갱신을 수신해서, 정책 사이의, 룰 사이의, 정책과 룰 사이의 충돌 혹은 모순을 조정한다. 이 조정은 범주 필터링 및 최소 제한 최대 제한 복합 룰을 이용한 소스 우선 순위 결정을 포함한, 임의의 적절한 기법에 의해서 이루어질 수 있다.
도메인 정책 데이터페이스(244)는 각각의 도메인 및 SPC 서버에 의해 관리되는 정책과 상관 룰을 모두 포함하고 있다. 정책 및 룰은 도메인 정책 엔진(240), 도메인 상관 엔진(232) 및 SPC 서버에 리포팅하는 통신 인터페이스(236) 및 SPC 에이전트로 푸시되거나 이들에 의해서 풀링된다. 통합 티어 정책은 로컬 보호 티어 정책과는 그 범주면에서 근본적으로 상이하다. 로컬 정책은 로컬 보호 구성 요소에 직접 영향을 미치는 반면 도메인 정책은 범주 표시자를 통해서 범주가 제한되어서 하나 이상의 도메인에서 잠재적으로는 다수의 SPC 에이전트로 적용된다.
도메인 이벤트 데이터베이스(228)는 리포팅 SPC 에이전트로부터 SPC 서버에 의해 수신된 이벤트 개요에 대응하는 이벤트 개요를 포함한다.
글로벌 서비스(128a-q)는 하나 이상의 SPC 서버로부터 도메인 이벤트 개요를 수신하고, 적절한 선택 요소에 기초해서, 다양한 SPC 서버로 제공될 정책 제안을 만든다. 정책 제안은 SPC 서버가 그 제안을 실행할지 하지 않을지를 판별하는 것을 제외하면 정책 디렉티브와 유사하다. 보통, 도메인 특정 정책 디렉티브는 그 제안이 도메인 특정 정책 디렉티브와 충돌하거나 그렇지 않으면 일치하지 않은 경우에 윈 인 어 타이(win in a tie)이다. 그 제안을 따를지 여부에 대한 판정은 도메인 정책 엔진(240)이 맡고 있다.
글로벌 서비스는, 프라이버시의 이유로 자신들 사이에서 정보를 공유하지 않고 있지만, 이는 정책에 의해서 가능할 수 있다. 도메인 사이에서, 혹은 페더레이션에서, 사용례, 프라이버시가 관리 도메인에서 공유되는 세부 사항의 정도를 제한할 수는 있지만, 도메인 이벤트 개요를 통한 정보 공유의 정도는 각각의 관리 도메인에서 구성을 변경할 수 있다. 너무 많은 세부 사항이 임의의 유형의 도메인 혹은 티어 사이에서 공유되고 있는 경우에는 확장성 제한이 있을 수 있다. 또한, 글로벌 서비스 통상적으로 SPC 서버에 더 많은 혹은 다른 정보에 대해서 질의하지 않는다. 이러한 구조는 일반적으로 확장하는 것이 불가능하고, 기업의 보안 개념을 창출할 수 있다.
SPC 콘솔(248)은 SPC 아키텍쳐를 관리하기 위한 관리자 혹은 사용자 인터페이스이다. 콘솔(248)에 의해서, 관리자는 리포트를 획득하고, 정책 혹은 룰을 구성 및 갱신하며, 경고를 수신하고, 그렇지 않으면 통신 하부 구조의 보안 상태를 관찰한다.
LAN(252)은 SPC 서버와 그 에이전트 및 콘솔 사이에서 메시지를 전송하도록 신뢰받은 임의의 데이터 네트워크이다.
도메인 레벨과 로컬 보호 레벨 구성 요소 사이의 차이는, 도메인 레벨 구성 요소는 로컬 보호 레벨에서 상관 능력을 가진 자식(children)을 갖고 있다는 점이다. 로컬 보호 레벨의 구성 요소 혹은 SPC 에이전트는 로컬 호스트 내로 제한된 로컬 보호 구성 요소에 대해서만 작용한다.
일 구성예에서, 통합 티어(104) 내의 피어는 정책 디렉티브를 공유한다. 모든 정책 판정 및 간섭이 각각의 피어에 의해서 자율적으로 이루어지만, 이러한 정책 디렉티브, 및 피어로부터의 개요에서의 정책 간섭은 본질적으로 상당히 주의된다. 한쪽 피어에 의해 행해진 정책 판정은 다른쪽 피어에 의해서는 구속되지 않는다. 각각의 피어의 정책은 한 피어에 의해서 이루어진 정책 제안을 얼마다 직접 실행할지 판정한다. 주어진 정책 디렉티브 제안이 실질적으로 실행될지 여부를 판정하는데는 다양한 요소가 사용될 수 있다. 정책이 엄밀하지 않게 인가된 경우에는 2개의 피어가 대략 동일한 정책을 실행하지만, 대부분의 관리 도메인이 그다지 자동화되지 않은 어프로치를 실시할 것으로 예상되기 때문에 그 결과는 일반적인 것이 아니며, 이 때문에, 정책 제안은 실제 실행에 앞서서 SPC 콘솔(248)을 통한 인간 관리자에 의해서 검토된다.
SPC 에이전트의 전체 동작
SPC 에이전트의 동작이 도 3을 참조로 설명될 것이다.
단계 300에서, 로컬 이벤트 컬렉터(200)는 호스트 로컬 보호 구성 요소(120)로부터 이벤트를 수신한다. 추가로, 정책 디렉티브는 SPC 서버(124)의 통신 인터페이스(236)로부터 수신될 수도 있다. 로컬 이벤트 컬렉터(200)는 이벤트를 필터링해서 필터링된 이벤트를 로컬 상관 엔진(204)에 제공한다.
단계 304에서, 로컬 상관 엔진(204)은 상관 룰을 들어오는 필터링된 이벤트에 적용해서 룰 위반 여부를 식별한다. 일반적으로, 상관 룰은 사전 결정된 순서로 이벤트에 적용된다.
단계 308에서, 로컬 상관 엔진(204) 및 제어 인터페이스(208)는 로컬 상관 룰이 트리거됨에 따라서 룰에 의해서 조정되는 관련 액션을 수행한다. 일 구성예에서, SPC 에이전트는 로컬 정책 디렉티브 및 이벤트에 기초해서 새로운 상관 룰을 경험적으로 생성할 수 있다. 룰과 관련된 액션이 블록 312, 316, 320 및 324에 도시되어 있다. 액션은, 이벤트를 국부적으로 로그(박스 312), 관련 데이터베이스의 상태를 갱신(박스 316), 새로운 네이티브 룰을 보호 구성 요소로 푸시(박스 320) 및/또는 경고 혹은 이벤트 개요와 같은 아웃바운드 통지를 선택된 목적지로 전송(박스 324)을 포함한다. 선택된 목적지는, 경우에 따라서 다른 SPC 에이전트(116), 제어 SPC 서버, 콘솔(248) 혹은 로컬 보호 구성 요소(120)를 포함한다.
SPC 서버의 전체 동작
도 4를 참조해서, SPC 서버의 동작이 설명될 것이다.
단계 400에서, 도메인 이벤트 컬렉터(224)는 관련 도메인 내에 있는 SPC 에이전트, 통합 티어(104)의 피어 및 글로벌 서비스(128)로부터 이벤트 개요를 수신한다.
단계 404에서, 도메인 상관 엔진(232)은 도메인 상관 룰 세트를 입수하는 이벤트 개요에 전송해서 룰 위반 여부를 식별한다. 엔진(232)은 데이터페이스(244) 및/또는 정책 디렉티브 제안으로부터 수신된 하나 이상의 정책 및/또는 피어 및 글로벌 서비스로부터 수신된 정책 디렉티브 제안을 이용해서 이를 실행한다. 일반적으로 도메인 상관 룰은 사전 정의된 순서에 따라서 이벤트 개요에 적용된다.
단계 408에서, 도메인 상관 엔진(232) 및 통신 인터페이스(236)는 도메인 정책 및 상관 룰이 트리거됨에 따라서 정책 및/또는 룰에 의해 조정된 관련 액션을 수행한다. 일 구성예에서, SPC 서버는 도메인 정책 디렉티브 및 이벤트 개요에 기초해서 새로운 상관 룰을 생성할 수 있으며, 전형적으로 콘솔(248)을 통한 관리자로부터의 입력을 가지고 새로운 정책을 생성할 수 있다. 룰과 관련된 액션이 블록 412, 416, 420 및 424에 도시되어 있다. 액션은, 이벤트를 국부적으로 로그(박스 412), 관련 데이터베이스의 상태를 갱신(박스 416), 새로운 정책을 SPC 에이전트로 푸시(박스 420) 및/또는 경고 혹은 이벤트 개요와 같은 아웃바운드 통지를 선택된 목적지로 전송(박스 424)을 포함한다. 선택된 목적지는 다른 통합 티어 피어, 글로벌 서비스, 콘솔(248) 및/또는 SPC 에이전트(116)를 포함한다.
도메인 정책 엔진의 동작
도메인 정책 엔진(240)의 동작이 도 5를 참조로 설명될 것이다.
단계 500에서, 엔진(240)은 제안된 정책 혹은 로컬 룰 세트를 통신 인터페이스(236)으로부터 수신해서 도메인 상관 개요로 응답한다.
단계 504에서, 엔진(240)은, 충돌의 이벤트의 경우에, 현재의 임시 정책 디렉티브와 제안된 정책 혹은 로컬 룰 세트 사이의 조정을 행한다.
단계 508에서, 엔진(240)은 충돌이 존재하는 것으로 나타나서 중재되었는지 여부에 따라서 선택된 로컬 정책 엔진(212)으로 전송될 정책 혹은 로컬 룰 세트를 선택한다.
단계 512에서, SPC 에이전트는 정책 혹은 룰 세트의 범주 표시자에 기초해서 어느 SPC 에이전트가 정책 혹은 룰 세트를 수신하고, 이에 따라서 정책 혹은 룰 세트를 전송할지 판정한다.
SPC 콘솔의 동작
SPC 콘솔의 동작이 도 6을 참조로 설명될 것이다.
단계 600에서, 콘솔(248)은 관리자 혹은 사용자가 관찰 및 수정할 수 있도록, 선택된 정책 및/또는 상관 룰을 제공한다(소스 및 범주에 기초해서 어떤 디렉티브가 자동을 실행될지와 관련된 룰을 포함). 수정된 정책 혹은 룰은 이후에 SPC 에이전트로의 적절한 분배를 위해서 도메인 정책 엔진(240)으로 전송된다.
단계 604에서, 콘솔은, 관찰 및 수정할 수 있도록, 실행되지 않은 디렉티브와 관련된 선택된 룰을 제공한다. 수정된 정책 혹은 룰은 SPC 에이전트로의 적절한 분배를 위해서 도메인 정책 엔진(240)으로 전송된다.
단계 608에서, 콘솔은 관리자 혹은 사용자가 로그, 경고 및 다른 구성 혹은 리포팅 데이터를 관잘할 수 있도록 한다.
동작예
첫번째 예로서, 악의적인 사용자가 SIP 해킹 툴을 PC 혹은 스마트폰에 인스톨하거나, 혹은 디바이스가 웜(worm)에 감염된다. 이에 따라서, 디바이스는 SIP 서버에 퍼징 어택을 론치한다. SIP 서버는 퍼징된 SIP 패킷을 분석하는 시도를 하고, 성능이 감소되거나 그렇지 않으면 서비스가 영향을 받는다. SIP 서버를 보호할 책임이 있는 로컬 보호 구성 요소가 공격을 검출한다. 이에 응답해서, 로컬 보호 구성 요소는 SIP 서버에 커맨드를 발행해서 공격을 차단한다. 이벤트는 로컬 보호 구성 요소에 의해서 구성 요소의 대응하는 SPC 에이전트로 전송된다. 이에 응답해서, 정책 및 룰 데이터베이스(216)의 정책 디렉티브에 응답해서 에이전트의 로컬 상관 엔진(204)은 차단 룰을 개시한다. 이벤트 개요가 SPC 서버로 전송된다. 이벤트 개요는 응답 혹은 차단 룰을 포함할 수 있다. 이에 응답해서, 도메인 상관 엔진(232)은 커맨드를 SPC 서버의 도메인의 모든 SIP 에이전트에 발행함으로써 차단 룰을 시작한다. 정책 디렉티브의 범주 태그에 따라서, 도메인 상관 엔진(232)은 개요 및/또는 차단 룰을 도메인 통합 티어의 피어에 제공할 수 있다. 공격 이벤트 통지도 관리자에게 전송된다. 공격 이벤트 통지는 응답 액션을 포함한다. 최종 결과는 DoS 공격이 해결되고, 적어도 SPC 서버의 도메인 내의 나머지 SIP 서버는 자기-방어 통신을 이용해서 면역력을 갖는다.
다른 예로서, 해킹 툴이 다중 연결 사이트(multi-homed site)에 위치된 고가치의 컨택트 센터를 목표로 하고 있다. 해킹 툴은 위조 SIP-관련 트래픽을 이용해서 컨택트 센터의 링크 용량을 장악했다. 유효 에이전트에 도달하기 위해서 링크를 통하는 경로가 디폴트로 사용되며, 그 결과 단전(outage)이 발생할 수 있다. SPC 에이전트에 의해서, 링크를 모니터하는 로컬 보호 구성 요소로부터 혼잡 리포트가 수신된다. 이에 응답해서, 정책에 기초해서 대안의 경로가 SPC 에이전트에 의해 커맨트된다. SPC 에이전트 및 다른 SPC 에이전트는 공격 개요를 SPC 서버에 전송한다. SPC 서버는 영향을 받은 하부 구조를 공격 개요로부터 식별하고, 대안의 라우팅 디렉티브를 생성해서 전송한다. 공격 통지가 관리자에게도 전송된다. 관리자는 잠재적인 추가 액션을 위해서 공격 통지를 분석한다. 최종 결과는 자기-방어 통신 내에서의 대안의 라우팅 성능을 이용해서 제 2 공격 효과를 즉각 완화시킨 것이다.
또 다른 예로서, 자동화된 텔레마케팅 시스템이 컨택트 센터를 타겟으로 한다. 이 시스템은 해킹 툴을 이용해서 콜 워킹(call walking)을 스텔스 모드로 수행해서 그 사이트 내의 모든 전화 번호를 수집한다. 이 시스템은 수천개의 사전 기록된 콜을 생성해서, 컨택트 센터를 범람시킨다. 초기 공격은 SIP 서버를 보호하는 로컬 보호 구성 요소(예컨대, 컨택트 센터 에이전트 혹은 다른 로직)에 의해서 검출된다. 공격과 관련된 이벤트는 SIP 서버 내에 있는 제어 SPC 에이전트로 전송된다. SPC 에이전트의 로컬 상관 엔진(204)은 정책에 기초해서 응답, 차단 룰을 개시한다. 정책의 범주 표시자 혹은 애플리케이션 상관 룰에 기초해서, SPC 에이전트는 이벤트 개요를 제어 SPC 서버에 전송한다. SPC 서버는 도메인 정책 엔진(240)으로부터의 사전 설정된 정책 혹은 룰을 서버의 도메인 내에 있는 이들 리포트 및 다른 리포트에 적용한다. 적절한 정책 혹은 룰의 범주 표시자에 따라서, SPC 서버는 (a) 그 도메인에 있는 모든 SPC 에이전트에 사기(rogue) 엔드포인트에 대한 정책 혹은 차단 룰을 전송하고, (b) 제안에 따라서, 그 피어에 정책 혹은 차단 룰을 전송하며, (c) 글로벌 SPIT 서비스에 도메인 개요를 전송한다. 다른 도메인 내의 다른 SPC 서버는 컨택트 센터-광범위 공격에 대해서 유사한 단계를 수행할 것이다. 리포트 내에서 트렌드를 찾으면, 글로벌 서비스는 완화 기렉티브를 가입자 도메인에 제안한다. 최종 결과는 공격자가 제안한 정책 디렉티브를 실시하도록 선택한 가입자 도메인에 대해서는 차단되는 것이다.
또 다른 예로서, 악의적인 사용자는 SIP 해킹 툴을 PC에 인스톨한다. 해킹 툴은 콜 워킹을 스텔스 모드로 수행해서 SIP 레지스터 메시지를 모든 가능한 5자리 익스텐션에 전송한다. 이 툴은 SIP 응답 메시지를 모니터해서 유효 익스텐션의 리스트를 수집한다. 이후에 이 툴은 SIP 레지스터 메시지를 SIP 서버에 전송해서 익스텐션에 대한 무차별 대입 공격을 런칭함으로써 패스워드를 알아내서 유효 로그인 리스트를 만든다. 악의적인 사용자는 장거리 통화가 가능한 로그인 자격을 판매한다. 실패한 등록 인스턴스의 형태의 이벤트는 SPC 에이전트로 전송된다. 정책을 인가한 로컬 상관 엔진은 차단 룰을 생성하고, 등록 속도를 제한하는 룰을 생성해서 공격의 효과를 제한한다. 이 룰은 호스트 로컬 보호 구성 요소로 전송된다. 이벤트 개요는 SPC 서버로 전송된다. 도메인 상관 엔진(232)은 공격을 경험적으로 검출해서, 차단 룰을 생성하고, 이는 그 도메인 내의 모든 SIP 서버로 전송된다. 적절한 정책 내의 범주 표시자에 따라서, SPC 서버는 차단 룰을 자신의 피어로 전송한다. 공격 표시자는 관리부로 전송된다. 최종 결과는 무차별 대입 공격이 자기 방어 통신을 통해서 무효화되는 것이다.
본 발명의 예시적인 시스템 및 방법은 보안 아키텍쳐와 관련되어서 설명되었다. 그러나, 불필요하게 본 발명을 불분명하게 하는 것을 방지하기 위해서, 상기 설명에서는 이미 알려진 많은 구조 및 디바이스는 생략했다. 이러한 생략은 청구된 발명의 범주의 제한으로서 해석되어서는 안된다. 구체적인 세부 사항은 본 발명에 대한 이해를 제공하기 위해서 설명된 것이다. 그러나, 본 발명은 여기서 설명되는 세부 사항을 벗어나서 다양하게 실시될 수 있다는 것을 이해해야 한다.
또한, 여기 설명되는 예시적인 실시예는 일련의 시스템의 다양한 구성 요소를 나타낸 것이지만, 시스템의 특정 구성 요소는 LAN 및/또는 인터넷과 같은 분산형 네트워크의 이격된 부분에, 혹은 전용 시스템 내에서 이격되어서 위치될 수 있다. 따라서, 이 시스템의 구성 요소가 로컬 보호 구성 요소와 같은 하나 이상의 디바이스로 결합될 수도 있고, 혹은 아날로그 및/또는 디지털 원격 통신 네트워크, 패킷-교환 네트워크 혹은 회로-교환 네트워크와 같은 분산형 네트워크의 특정 노드에 나열될 수도 있다. 상술한 설명으로부터 그리고 계산 효율의 이유로, 시스템의 구성 요소는 시스템의 동작에 영향을 미치지 않고 구성 요소의 분산형 네트워크 내의 임의의 위치에 정렬될 수 있다. 예컨대, 다양한 구성 요소가 하나 이상의 사용자의 전제(users' premises)로 하나 이상의 통신 디바이스 내에서 PBX 및 매체 서버와 같은 스위치, 게이트웨이에 혹은 이들의 조합으로 위치될 수 있다. 유사하게, 시스템의 하나 이상의 기능 부분이 원격 통신 디바이스와 관련 컴퓨팅 디바이스 사이에 분포될 수 있다.
또한, 구성 요소들을 연결하는 다양한 링크는 유선 혹은 무선 링크, 혹은 이들의 조합, 혹은 또한, 데이터를 접속된 구성 요소와 공급하고/공급하거나 통신할 수 있는 임의의 다른 공지된 혹은 이후 개발될 구성 요소가 될 수 있다는 것을 이해할 것이다. 이들 유선 혹은 무선 링크는 안전한 링크도 될 수 있으며, 암호화된 정보를 통신할 수 있다. 링크로서 사용되는 전송 매체는 예컨대, 공축 케이블, 구리선 및 광섬유를 포함한 전기 신호의 적절한 캐리어 될 수 있으며, 무선파와 적외선 데이터 통신 중에 생성되는 것과 같은 음향파 혹은 광파의 형태를 취할 수 있다.
또한, 이벤트의 특정의 순서에 관련해서 흐름도가 논의되고 설명되었지만, 본 발명의 동작에 큰 영향을 미치지 않고 이 순서의 변경, 추가 및 생략이 있을 수 있다는 것을 이해할 것이다.
많은 본 발명의 변경 및 수정이 사용될 수 있다. 본 발명의 일부 특징은 다른 특징을 제공하지 않고도 제공할 수 있다.
예컨대, 한 대안의 실시예에서, 시스템은 IDS 혹은 보호 시스템에 서로 다르게 적용된다. IDS의 예는 완전성 검증자, 로그 파일 모니터, 사기(deception) 시스템 및 네트워크 공격 검출 시스템을 포함할 수 있다.
또 다른 실시예에서, 본 발명의 시스템 및 방법은 특수 목적 컴퓨터, 프로그래밍된 마이크로프로세서 혹은 마이크로컨트롤러, 및 주변 집적 회로 소자, ASIC 혹은 다른 집적 회로, 디지털 신호 프로세서, 이산 소자 회로와 같은 고정 배선 전자 부품 혹은 논리 회로, PLD, PLA, FPGA, PAL, 프로그래밍 가능 논리 디바이스 혹은 게이트 어레이, 특수 목적 컴퓨터, 임의의 비교 가능 수단 등과 연계되어서 구현될 수 있다. 일반적으로, 여기 설명된 방법을 구현할 수 있는 어떤 디바이스 혹은 수단은 본 발명의 다양한 측명을 구현하는데 사용될 수 있다. 본 발명에 사용될 수 있는 예시적인 하드웨어는, 컴퓨터, 휴대형 디바이스, 전화(예컨대, 셀룰러, 인터넷 가능, 디지털, 아날로그, 하브리드 등) 및 다른 공지된 하드웨어를 포함한다. 이들 디바이스의 일부는 프로세서(예컨대, 단수 혹은 복수의 마이크로프로세서), 메모리, 비휘발성 저장부, 입력 디바이스 및 출력 디바이스를 포함한다. 또한, 분산형 프로세싱 혹은 구성 요소/객체 분산형 프로세싱, 동시 프로세싱 혹은 가상 머싱 프로세싱을 포함하는(이에 한정되는 것은 아니다) 대안의 소프트웨어 구현도 본 명세서에 설명되는 방법을 구현하도록 구성될 수 있다.
또 다른 실시예에서, 개시된 방법은, 다양한 컴퓨터 혹은 워크스테이션 플랫폼에 사용될 수 있는 포터블 소스 코드를 제공하는 객체 혹은 객체 지향 소프트웨어 개발 환경을 이용한 소프트웨어와 연계되어서 용이하게 구현될 수 있다. 다른 방안으로, 개시된 시스템은 표준 논리 회로 혹은 VLSI 설계를 이용해서 하드웨어에 부분적으로 혹은 전체적으로 구현될 수 있다. 본 발명에 따른 시스템을 구현하는 데 소프트웨어를 사용할지 하드웨어를 사용할지 여부는 사용되는 시스템, 특정 기능 및 특정 소프트웨어 혹은 하드웨어 시스템 또는 마이크로프로세서 혹은 컴퓨터 시스템의 속도 및/또는 효율 요구에 따라 달라진다.
또 다른 실시예에서, 개시된 방법은 저장 매체에 저장되어서, 컨트롤러 및 메모리와 함께 동작하는 프로그래밍 가능 다목적 컴퓨터, 특수 목적 컴퓨터, 마이크로프로세서 등에서 실행될 수 있는 소프트웨어로 부분적으로 구현될 수 있다. 이 예에서, 본 발명의 시스템 및 방법은 애플릿, JAVA® 혹은 CGI 스크립트와 같은 개인용 컴퓨터에 내장되는 프로그램으로서, 서버 혹은 컴퓨터 워크스테이션에 존재하는 소스로서, 전용 측정 시스템에 내장된 루틴으로서, 시스템 구성 요소 등으로서 구현될 수 있다. 이 시스템은 시스템 및/또는 방법을 소프트웨어 및/또는 하드웨어 시스템에 물리적으로 포함시킴으로서 구현될 수 있다.
본 발명이 특정 표준 및 프로토콜을 참조해서 실시예에서 구현된 구성 요소 및 기능을 설명했지만, 본 발명은 이러한 표준 및 프로토콜에 한정되는 것이 아니다. 본 명세서에서 언급되지 않은 다른 유사한 표준 및 프로토콜이 있을 수 있으며, 이들도 본 발명에 포함되는 것으로 간주한다. 또한, 본 명세서에서 언급된 표준 및 프로토콜, 그리고 본 명세서에서 언급되지 않은 다른 유사한 표준 및 프로토콜은, 기본적으로 동일한 기능을 가진 더 빠른 혹은 더 효율적인 동등물에 의해서 주기적으로 대체될 수 있다. 이와 같이 동일한 기능을 가진 표준 및 프로토콜로 대체하는 것은 본 발명에 포함되는 동등물로서 간주된다.
본 발명은, 다양한 실시예, 구성 및 측면에서, 실질적으로 본 명세서에 설명되고 도시된 바와 같은, 다양한 실시예, 하위 조합 및 그 서브셋을 포함하는 구성 요소, 방법, 프로세스, 시스템 및/또는 장치를 포함한다. 본 명세서를 이해한 당업자라면, 본 발명을 제조하고 사용하는 방법을 이해할 것이다. 본 발명은, 다양한 실시예, 구성 및 측면에서, 예컨대, 성능을 개선하기 위해서, 용이성을 높이기 위해서 및/또는 제조 비용을 절감하기 위해서, 본 명세서에 도시 및/또는 설명되지 않은 아이템없이 디바이스 및 프로세스를 제공하는 것 혹은 다양한 실시예, 구성 및 측면에서, 기존의 디바이스 혹은 프로세스에서 사용될 수 있었던 이러한 아이템 없이 제공하는 것을 포함한다.
본 발명의 위의 설명은 예시 및 설명을 목적으로 제공된다. 이는 본 발명을 본 명세서에 개시된 형태로 한정하기 위한 것이 아니다. 상술한 상세한 설명에서, 개시를 간소화하기 위해서, 본 발명의 다양한 특징은 예컨대, 하나 이상의 실시예, 구성예 혹은 측면에서 서로 그룹화된다. 본 발명의 실시예, 구성 혹은 측면의 특징은 여기 개시되지 않은 대안의 실시예, 구성 혹은 측면에서 결합될 수 있다. 개시된 방법은 청구된 발명이 각각의 청구항에서 명확하게 나열하고 있는 것보다 더 많은 특징을 요구하는 발명을 나타내고 있는 것으로 해석되어서는 안된다. 오히려, 이하의 청구항이 나타내는 것과 같이, 개선된 측면은 하나의 상술한 개시된 실시예의 모든 특징들 보다 적다. 따라서, 이하의 청구항은 각각의 청구항이 본 발명의 개개의 바람직한 실시예인 것처럼 상세한 설명에 포함된다.
또한, 본 발명의 상세한 설명이 하나 이상의 실시예, 구성예 혹은 측면 및 특정 변형예 및 수정예의 설명을 포함했지만, 본 발명을 이해한 당업자에게 가능한 다른 수정, 조합 및 변형도 본 발명의 범주에 있다. 대안의, 대체가능한 및/또는 동등한 구조, 기능, 범주 혹은 단계가 본 명세서에 개시되었건 개시되지 않았건, 대안의, 대체가능한 및/또는 동등한 구조, 기능, 범주 혹은 단계를 청구된 청구항에 포함시켜서, 가능한 범위에서 다른 실시예, 구성 혹은 측면을 포함하는 권한을 획득하도록 의도되었으며, 임의의 특허가능한 청구 대상을 공개적으로 대상으로 하도록 의도된 것은 아니다.

Claims (10)

  1. 정책 서버(policy server)에서, 보호 구성 요소로부터 적어도 하나의 이벤트 서술(event description)을 수신하는 단계 - 상기 보호 구성 요소 및 상기 정책 서버는 기업에 의해 운영됨 - 와,
    상기 정책 서버가, 상기 적어도 하나의 이벤트를 선택된 룰 및/또는 정책과 상관시키는 단계와,
    상관의 결과로서, 상기 적어도 하나의 이벤트를, 공격의 유형을 완화시키는 것과 관련되고 상기 기업과는 다른 제조 업자에 의해 운영되는 글로벌 서비스에 통지할지 여부를 결정하는 단계와,
    상기 정책 서버가, 상기 적어도 하나의 이벤트 서술을, 분석을 위해서 상기 글로벌 서비스에 제공하는 단계
    를 포함하는 방법.
  2. 제 1 항에 있어서,
    상기 선택된 룰 및/또는 정책은, 상기 선택된 룰 및/또는 정책이 적용되는 대상 - 상기 대상은 인증된(identified) 관리자, 인증된 글로벌 서비스, 인증된 정책 서버, 보호 구성 요소 내의 인증된 에이전트 및 복수의 보호 구성 요소 내의 에이전트의 인증된 클래스를 포함함 - 을 나타내는 적어도 하나의 범주 태그(scoping tag)를 포함하며, 상기 적어도 하나의 이벤트 서술을 수신하는 상기 정책 서버는 제 1 도메인에 있고,
    상기 방법은
    상기 기업이 복수의 정책 서버를 제공하는 단계 - 각각의 정책 서버는 다른 정책 서버와는 독립해서 에이전트의 세트를 제어하고, 각각의 에이전트는 호스트 보호 구성 요소에 위치하고 있으며, 각각의 에이전트의 세트는 상이한 도메인을 나타냄 - 와,
    상기 글로벌 서비스로부터, 상기 적어도 하나의 이벤트와 관련된 공격의 유형을 완화시키는 제안된 정책(suggested policy)을 수신하는 단계와,
    상기 정책 서버가, 상기 제안된 정책을 실행할지 결정하며, 상기 정책 서버는 상기 제안된 정책을 실행할 것으로 결정하는 단계와,
    상기 제안된 정책을 실행하는 것으로 결정하는 것에 응답해서, 상기 정책 서버는, 상기 제안된 정책을 각각의 에이전트의 세트로 전송하는 단계 - 상기 에이전트의 세트의 각 멤버는 상기 제안된 정책을 적용할 것을 요구받음 - 와,
    상기 정책 서버가, 상기 제안된 정책을 제 2 도메인에 있는 제 2 정책 서버에 전송하는 단계 - 상기 제 2 정책 서버에게 있어서 상기 제안된 정책은 의무적인 것은 아님 -
    를 더 포함하는
    방법.
  3. 제 1 항에 있어서,
    상기 적어도 하나의 이벤트는 공격과 관련이 있고,
    상기 방법은
    상기 기업이, 복수의 정책 서버를 제공하는 단계 - 각각의 정책 서버는 다른 정책 서버와는 독립해서 에이전트의 세트를 제어하고, 각각의 에이전트는 호스트 보호 구성 요소에 위치되어 있으며, 각각의 에이전트의 세트는 상이한 도메인을 나타내고, 상기 정책 서버는 제 1 도메인에 대응하는 적어도 하나의 이벤트 서술을 수신하며, 상기 보호 구성 요소를 포함하는 상기 제 1 도메인은 상기 적어도 하나의 이벤트 서술을 전송함 - 와,
    제 2 정책 서버에서, 제 2 정책 서버에 대응하는 제 2 도메인의 제 2 보호 구성 요소로부터 적어도 제 2 이벤트 서술을 수신하는 단계 - 상기 적어도 제 2 이벤트 서술은 상기 공격과 관련됨 - 와,
    상기 제 2 정책 서버가, 상기 적어도 하나의 이벤트를 선택된 룰 및/또는 정책과 상관시키는 단계와,
    상기 제 2 정책 서버가, 상관의 결과로서, 상기 적어도 제 2 이벤트를, 공격의 유형을 완화시키는 것과 관련되고 상기 기업과는 다른 제조 업자에 의해 운영되는 글로벌 서비스에 통지할지 여부를 결정하는 단계와,
    상기 정책 서버가, 상기 적어도 제 2 이벤트 서술을, 분석을 위해서 상기 글로벌 서비스에 제공하는 단계
    를 더 포함하는 방법.
  4. 프로세서에 의해 실행될 때 청구항 1에 개시된 단계를 수행하는 인스트럭션이 인코딩된 컴퓨터 판독 가능 매체.
  5. 기업이, 복수의 정책 서버를 제공하는 단계 - 각각의 정책 서버는 다른 정책 서버와는 독립해서 에이전트의 세트를 제어하고, 각각의 에이전트는 호스트 보호 구성 요소에 위치되어 있으며, 각각의 에이전트의 세트는 상이한 도메인을 나타내고, 제 1 정책 서버는 적어도 제 1 보호 구성 요소를 포함하는 제 1 도메인을 제어하고, 제 2 정책 서버는 적어도 제 2 보호 구성 요소를 포함하는 제 2 도메인을 제어함 - 와,
    상기 제 1 정책 서버에서, 적어도 제 1 이벤트 서술을 상기 제 1 보호 구성 요소로부터 수신하는 단계 - 상기 적어도 제 1 이벤트 서술은 공격과 관련됨 - 와,
    상기 제 1 정책 서버가, 상기 적어도 제 1 이벤트 서술을 선택된 제 1 룰 및/또는 정책과 상관시켜서 제 1 룰 및/또는 정책을 생성하는 단계와,
    상기 제 1 정책 서버가, 상관의 결과로서, 상기 제 1 룰 및/또는 정책이 상기 제 2 정책 서버로 전송될지 여부를 결정하는 단계와,
    상기 제 1 정책 서버가, 제안된 정책을 상기 제 2 정책 서버로 전송하는 단계 - 상기 제안된 정책은 상기 제 2 정책 서버에게 있어서 의무적인 것이 아님 -
    를 포함하는 방법.
  6. 제 5 항에 있어서,
    각각의 보호 구성 요소는 에이전트를 포함하고,
    상기 제 1 정책 서버가 상기 제안된 정책을 실행하는 것으로 판정하면, 상기 제 1 정책 서버는, 상기 제안된 정책을 상기 제 1 도메인 내의 각각의 에이전트의 세트로 전송하고 - 상기 에이전트의 세트의 각각의 멤버는 상기 제안된 정책을 적용할 것을 요구받음 - , 상기 제 1 룰 및/또는 정책은 상기 제 1 룰 및/또는 정책이 적용될 대상을 나타내는 적어도 하나의 범주 태그(scoping tag)를 포함하고, 상기 대상은 인증된 관리자, 인증된 글로벌 서비스, 인증된 정책 서버, 보호 구성 요소 내의 인증된 에이전트 및 복수의 보호 구성 요소 내의 에이전트의 인증된 클래스 중 하나 이상을 포함하며,
    상기 방법은
    상기 제 1 정책 서버가, 상관의 결과로서, 상기 적어도 제 1 이벤트를, 공격의 유형을 완화시키는 것과 관련되고 상기 기업과는 다른 제조 업자에 의해 운영되는 글로벌 서비스에 통지할지 여부를 결정하는 단계와,
    상기 정책 서버가, 상기 적어도 하나의 이벤트 서술을, 분석을 위해서 상기 글로벌 서비스에 제공하는 단계와,
    상기 글로벌 서비스로부터, 상기 공격의 유형을 완화시키는 제안된 정책을 수신하는 단계와,
    상기 제 1 정책 서버가, 상기 제안된 정책을 실행할지 결정하는 단계와,
    상기 제 2 정책 서버에서, 상기 제 2 도메인의 제 2 보호 구성 요소로부터 적어도 제 2 이벤트 서술을 수신하는 단계 - 상기 적어도 제 2 이벤트 서술은 상기 공격과 관련됨 - 와,
    상기 제 2 정책 서버가, 상기 적어도 하나의 이벤트를 선택된 제 2 룰 및/또는 정책과 상관시키는 단계와,
    상기 제 2 정책 서버가, 상관의 결과로서, 상기 적어도 제 2 이벤트를, 공격의 유형을 완화시키는 것과 관련되고 상기 기업과는 다른 제조 업자에 의해 운영되는 글로벌 서비스에 통지할지 여부를 결정하는 단계와,
    상기 제 2 정책 서버가, 상기 적어도 제 2 이벤트 서술을, 분석을 위해서 상기 글로벌 서비스에 제공하는 단계
    를 더 포함하는 방법.
  7. 기업 네트워크에 있어서,
    (a) 제각기의 보호 디바이스와 통신 상태에 있는 복수의 보안 에이전트 - 각각의 보호 디바이스는 보안 기능을 수행하고, 상기 복수의 보안 에이전트와 상기 제각기의 보호 디바이스는 복수의 도메인에 정렬되어 있음 - 와,
    (b) 각각이, 제각기의 도메인의 상기 보안 에이전트를 제어하는 복수의 정책 서버를 포함하되,
    (B1) 각각의 정책 서버는 이벤트의 세트를 정책에 상관시키도록 동작 가능하며, 상기 정책에 의해 지시를 받은 경우에, 상기 이벤트의 세트의 서술을, 상기 이벤트의 세트와 관계있는 공격 유형에 관련된 글로벌 서비스에 제공하며, 상기 글로벌 서비스는 상기 기업 네트워크를 운영하는 기업과는 다른 제조 업자에 의해 운영된다는 점과,
    (B2) 각각의 정책 서버는 정책에 대해서 이벤트의 세트를 상관시켜서 룰을 획득하며, 상기 정책에 의해 지시를 받은 경우에, 상기 획득한 룰을 상이한 도메인의 상이한 정책 서버에 제공하고, 상기 룰은 상기 상이한 정책 서버에 의무적인 것이 아니라는 점 중 적어도 하나가 참(true)인
    기업 네트워크.
  8. 제 7 항에 있어서,
    상기 (B1)이 참이고, 상기 글로벌 서비스는 복수의 정책 서버에 동일한 공격이 행해지는 것에 응답해서, 제안된 완화 수단을 제공하도록 동작 가능한 기업 네트워크.

  9. 제 7 항에 있어서,
    상기 (B2)가 참이고, 각각의 정책 서버는 상기 획득한 룰을 각각의 도메인의 각각의 에이전트 세트에 제공하도록 동작 가능하고, 상기 획득된 룰은 상기 각각의 에이전트 세트에게 있어서 의무적인, 기업 네트워크.
  10. 제 7 항에 있어서,
    상기 정책은 적어도 하나의 범주 태그를 포함하고, 상기 적어도 하나의 범주 태그는 상기 정책이 적용되는 대상을 나타내며, 상기 대상은 인증된 글로벌 서비스, 인증된 정책 서버, 인증된 에이전트 및 다수의 보호 구성 요소 내의 인증된 에이전트의 클래스 중 적어도 하나인, 기업 네트워크.
KR1020107021950A 2008-04-04 2009-03-25 다중 티어 보안 이벤트의 상관 및 완화 KR20100133398A (ko)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
US4245808P 2008-04-04 2008-04-04
US61/042,458 2008-04-04
US12/234,248 US20090254970A1 (en) 2008-04-04 2008-09-19 Multi-tier security event correlation and mitigation
US12/234,248 2008-09-19

Publications (1)

Publication Number Publication Date
KR20100133398A true KR20100133398A (ko) 2010-12-21

Family

ID=41134469

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020107021950A KR20100133398A (ko) 2008-04-04 2009-03-25 다중 티어 보안 이벤트의 상관 및 완화

Country Status (4)

Country Link
US (1) US20090254970A1 (ko)
EP (1) EP2260426A2 (ko)
KR (1) KR20100133398A (ko)
WO (1) WO2009145990A2 (ko)

Families Citing this family (168)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9418040B2 (en) * 2005-07-07 2016-08-16 Sciencelogic, Inc. Dynamically deployable self configuring distributed network management system
US8688749B1 (en) 2011-03-31 2014-04-01 Palantir Technologies, Inc. Cross-ontology multi-master replication
US7962495B2 (en) 2006-11-20 2011-06-14 Palantir Technologies, Inc. Creating data in a data store using a dynamic ontology
US8515912B2 (en) 2010-07-15 2013-08-20 Palantir Technologies, Inc. Sharing and deconflicting data changes in a multimaster database system
US8930331B2 (en) 2007-02-21 2015-01-06 Palantir Technologies Providing unique views of data based on changes or rules
US8681965B1 (en) * 2008-04-25 2014-03-25 Intervoice Limited Partnership Systems and methods for authenticating interactive voice response systems to callers
US8984390B2 (en) 2008-09-15 2015-03-17 Palantir Technologies, Inc. One-click sharing for screenshots and related documents
US8271834B2 (en) * 2008-12-15 2012-09-18 International Business Machines Corporation Method and system for providing immunity to computers
US8626675B1 (en) * 2009-09-15 2014-01-07 Symantec Corporation Systems and methods for user-specific tuning of classification heuristics
CA2722980C (fr) * 2009-12-01 2019-01-08 Inside Contactless Procede de controle d`acces a une interface sans contact dans un circuit integre a double interface de communication avec et sans contact
CN102870449B (zh) * 2010-04-30 2016-02-24 黑莓有限公司 可存活的移动网络系统
KR101107741B1 (ko) * 2010-09-02 2012-01-20 한국인터넷진흥원 Sip 기반 비정상 트래픽 차단 시스템 및 그 차단 방법
KR20120072266A (ko) * 2010-12-23 2012-07-03 한국전자통신연구원 전역 네트워크 보안상황 제어 장치 및 방법
US8799240B2 (en) 2011-06-23 2014-08-05 Palantir Technologies, Inc. System and method for investigating large amounts of data
US9547693B1 (en) 2011-06-23 2017-01-17 Palantir Technologies Inc. Periodic database search manager for multiple data sources
CN103718170B (zh) 2011-07-29 2017-06-13 惠普发展公司,有限责任合伙企业 用于事件的分布式基于规则的相关的系统和方法
US8732574B2 (en) 2011-08-25 2014-05-20 Palantir Technologies, Inc. System and method for parameterizing documents for automatic workflow generation
US20220004649A1 (en) * 2011-12-09 2022-01-06 Sertainty Corporation System and methods for using cipher objects to protect data
US8996690B1 (en) * 2011-12-29 2015-03-31 Emc Corporation Time-based analysis of data streams
US8782004B2 (en) 2012-01-23 2014-07-15 Palantir Technologies, Inc. Cross-ACL multi-master replication
US9860296B2 (en) 2012-03-23 2018-01-02 Avaya Inc. System and method for end-to-end call quality indication
US9356917B2 (en) * 2012-03-23 2016-05-31 Avaya Inc. System and method for end-to-end encryption and security indication at an endpoint
US8539548B1 (en) * 2012-04-27 2013-09-17 International Business Machines Corporation Tiered network policy configuration with policy customization control
US9075953B2 (en) * 2012-07-31 2015-07-07 At&T Intellectual Property I, L.P. Method and apparatus for providing notification of detected error conditions in a network
GB2508086B (en) * 2012-09-28 2020-07-08 Avaya Inc Distributed application of enterprise policies to web real-time communications (WebRTC) interactive sessions,and related methods,systems and computer-readable
US9348677B2 (en) 2012-10-22 2016-05-24 Palantir Technologies Inc. System and method for batch evaluation programs
US9081975B2 (en) 2012-10-22 2015-07-14 Palantir Technologies, Inc. Sharing information between nexuses that use different classification schemes for information access control
US9501761B2 (en) 2012-11-05 2016-11-22 Palantir Technologies, Inc. System and method for sharing investigation results
US8844019B2 (en) * 2012-11-21 2014-09-23 Check Point Software Technologies Ltd. Penalty box for mitigation of denial-of-service attacks
US8909656B2 (en) 2013-03-15 2014-12-09 Palantir Technologies Inc. Filter chains with associated multipath views for exploring large data sets
US10275778B1 (en) 2013-03-15 2019-04-30 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation based on automatic malfeasance clustering of related data in various data structures
US9965937B2 (en) 2013-03-15 2018-05-08 Palantir Technologies Inc. External malware data item clustering and analysis
US8818892B1 (en) 2013-03-15 2014-08-26 Palantir Technologies, Inc. Prioritizing data clusters with customizable scoring strategies
US9898167B2 (en) 2013-03-15 2018-02-20 Palantir Technologies Inc. Systems and methods for providing a tagging interface for external content
US8930897B2 (en) 2013-03-15 2015-01-06 Palantir Technologies Inc. Data integration tool
US8868486B2 (en) 2013-03-15 2014-10-21 Palantir Technologies Inc. Time-sensitive cube
US9740369B2 (en) 2013-03-15 2017-08-22 Palantir Technologies Inc. Systems and methods for providing a tagging interface for external content
US8917274B2 (en) 2013-03-15 2014-12-23 Palantir Technologies Inc. Event matrix based on integrated data
US8903717B2 (en) 2013-03-15 2014-12-02 Palantir Technologies Inc. Method and system for generating a parser and parsing complex data
US8937619B2 (en) 2013-03-15 2015-01-20 Palantir Technologies Inc. Generating an object time series from data objects
US8799799B1 (en) 2013-05-07 2014-08-05 Palantir Technologies Inc. Interactive geospatial map
US8886601B1 (en) 2013-06-20 2014-11-11 Palantir Technologies, Inc. System and method for incrementally replicating investigative analysis data
US9455989B2 (en) * 2013-07-10 2016-09-27 Microsoft Technology Licensing, Llc Automatic isolation and detection of outbound spam
US9065833B2 (en) 2013-07-10 2015-06-23 Microsoft Technology Licensing, Llc Outbound IP address reputation control and repair
US8938686B1 (en) 2013-10-03 2015-01-20 Palantir Technologies Inc. Systems and methods for analyzing performance of an entity
US9246935B2 (en) 2013-10-14 2016-01-26 Intuit Inc. Method and system for dynamic and comprehensive vulnerability management
US9116975B2 (en) 2013-10-18 2015-08-25 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive simultaneous querying of multiple data stores
US9569070B1 (en) 2013-11-11 2017-02-14 Palantir Technologies, Inc. Assisting in deconflicting concurrency conflicts
US20150156170A1 (en) * 2013-12-03 2015-06-04 Alcatel-Lucent Usa Inc. Security Event Routing In a Distributed Hash Table
US9105000B1 (en) 2013-12-10 2015-08-11 Palantir Technologies Inc. Aggregating data from a plurality of data sources
US10025834B2 (en) 2013-12-16 2018-07-17 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US10579647B1 (en) 2013-12-16 2020-03-03 Palantir Technologies Inc. Methods and systems for analyzing entity performance
US9501345B1 (en) 2013-12-23 2016-11-22 Intuit Inc. Method and system for creating enriched log data
US10356032B2 (en) 2013-12-26 2019-07-16 Palantir Technologies Inc. System and method for detecting confidential information emails
US8832832B1 (en) 2014-01-03 2014-09-09 Palantir Technologies Inc. IP reputation
US20150304343A1 (en) 2014-04-18 2015-10-22 Intuit Inc. Method and system for providing self-monitoring, self-reporting, and self-repairing virtual assets in a cloud computing environment
US9325726B2 (en) 2014-02-03 2016-04-26 Intuit Inc. Method and system for virtual asset assisted extrusion and intrusion detection in a cloud computing environment
US9009827B1 (en) 2014-02-20 2015-04-14 Palantir Technologies Inc. Security sharing system
US9483162B2 (en) 2014-02-20 2016-11-01 Palantir Technologies Inc. Relationship visualizations
US9866581B2 (en) 2014-06-30 2018-01-09 Intuit Inc. Method and system for secure delivery of information to computing environments
US10757133B2 (en) 2014-02-21 2020-08-25 Intuit Inc. Method and system for creating and deploying virtual assets
US9276945B2 (en) 2014-04-07 2016-03-01 Intuit Inc. Method and system for providing security aware applications
US8924429B1 (en) 2014-03-18 2014-12-30 Palantir Technologies Inc. Determining and extracting changed data from a data source
US9602530B2 (en) * 2014-03-28 2017-03-21 Zitovault, Inc. System and method for predicting impending cyber security events using multi channel behavioral analysis in a distributed computing environment
US9245117B2 (en) 2014-03-31 2016-01-26 Intuit Inc. Method and system for comparing different versions of a cloud based application in a production environment using segregated backend systems
US11294700B2 (en) 2014-04-18 2022-04-05 Intuit Inc. Method and system for enabling self-monitoring virtual assets to correlate external events with characteristic patterns associated with the virtual assets
US9857958B2 (en) 2014-04-28 2018-01-02 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive access of, investigation of, and analysis of data objects stored in one or more databases
US9900322B2 (en) 2014-04-30 2018-02-20 Intuit Inc. Method and system for providing permissions management
US9330263B2 (en) 2014-05-27 2016-05-03 Intuit Inc. Method and apparatus for automating the building of threat models for the public cloud
US9619557B2 (en) 2014-06-30 2017-04-11 Palantir Technologies, Inc. Systems and methods for key phrase characterization of documents
US20150381641A1 (en) * 2014-06-30 2015-12-31 Intuit Inc. Method and system for efficient management of security threats in a distributed computing environment
US9535974B1 (en) 2014-06-30 2017-01-03 Palantir Technologies Inc. Systems and methods for identifying key phrase clusters within documents
US9202249B1 (en) 2014-07-03 2015-12-01 Palantir Technologies Inc. Data item clustering and analysis
US9256664B2 (en) 2014-07-03 2016-02-09 Palantir Technologies Inc. System and method for news events detection and visualization
US10572496B1 (en) 2014-07-03 2020-02-25 Palantir Technologies Inc. Distributed workflow system and database with access controls for city resiliency
US9473481B2 (en) 2014-07-31 2016-10-18 Intuit Inc. Method and system for providing a virtual asset perimeter
US10102082B2 (en) 2014-07-31 2018-10-16 Intuit Inc. Method and system for providing automated self-healing virtual assets
US9454281B2 (en) 2014-09-03 2016-09-27 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US9967283B2 (en) * 2014-09-14 2018-05-08 Sophos Limited Normalized indications of compromise
US9501851B2 (en) 2014-10-03 2016-11-22 Palantir Technologies Inc. Time-series analysis system
US9767172B2 (en) 2014-10-03 2017-09-19 Palantir Technologies Inc. Data aggregation and analysis system
US9148408B1 (en) 2014-10-06 2015-09-29 Cryptzone North America, Inc. Systems and methods for protecting network devices
US9984133B2 (en) 2014-10-16 2018-05-29 Palantir Technologies Inc. Schematic and database linking system
US9229952B1 (en) 2014-11-05 2016-01-05 Palantir Technologies, Inc. History preserving data pipeline system and method
US9043894B1 (en) 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
US9367872B1 (en) 2014-12-22 2016-06-14 Palantir Technologies Inc. Systems and user interfaces for dynamic and interactive investigation of bad actor behavior based on automatic clustering of related data in various data structures
US9348920B1 (en) 2014-12-22 2016-05-24 Palantir Technologies Inc. Concept indexing among database of documents using machine learning techniques
US10552994B2 (en) 2014-12-22 2020-02-04 Palantir Technologies Inc. Systems and interactive user interfaces for dynamic retrieval, analysis, and triage of data items
US10362133B1 (en) 2014-12-22 2019-07-23 Palantir Technologies Inc. Communication data processing architecture
US9335911B1 (en) 2014-12-29 2016-05-10 Palantir Technologies Inc. Interactive user interface for dynamic data analysis exploration and query processing
US9817563B1 (en) 2014-12-29 2017-11-14 Palantir Technologies Inc. System and method of generating data points from one or more data stores of data items for chart creation and manipulation
US10803106B1 (en) 2015-02-24 2020-10-13 Palantir Technologies Inc. System with methodology for dynamic modular ontology
US9727560B2 (en) 2015-02-25 2017-08-08 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
EP3611632A1 (en) 2015-03-16 2020-02-19 Palantir Technologies Inc. Displaying attribute and event data along paths
US10326650B2 (en) * 2015-04-06 2019-06-18 Illumio, Inc. Enforcing rules for bound services in a distributed network management system that uses a label-based policy model
US9961076B2 (en) 2015-05-11 2018-05-01 Genesys Telecommunications Laboratoreis, Inc. System and method for identity authentication
US10103953B1 (en) 2015-05-12 2018-10-16 Palantir Technologies Inc. Methods and systems for analyzing entity performance
CN106302318A (zh) * 2015-05-15 2017-01-04 阿里巴巴集团控股有限公司 一种网站攻击防御方法及装置
US9454785B1 (en) 2015-07-30 2016-09-27 Palantir Technologies Inc. Systems and user interfaces for holistic, data-driven investigation of bad actor behavior based on clustering and scoring of related data
US9996595B2 (en) 2015-08-03 2018-06-12 Palantir Technologies, Inc. Providing full data provenance visualization for versioned datasets
US9456000B1 (en) 2015-08-06 2016-09-27 Palantir Technologies Inc. Systems, methods, user interfaces, and computer-readable media for investigating potential malicious communications
US10489391B1 (en) 2015-08-17 2019-11-26 Palantir Technologies Inc. Systems and methods for grouping and enriching data items accessed from one or more databases for presentation in a user interface
US9600146B2 (en) 2015-08-17 2017-03-21 Palantir Technologies Inc. Interactive geospatial map
US9485265B1 (en) 2015-08-28 2016-11-01 Palantir Technologies Inc. Malicious activity detection system capable of efficiently processing data accessed from databases and generating alerts for display in interactive user interfaces
US10425447B2 (en) * 2015-08-28 2019-09-24 International Business Machines Corporation Incident response bus for data security incidents
US9699205B2 (en) 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10706434B1 (en) 2015-09-01 2020-07-07 Palantir Technologies Inc. Methods and systems for determining location information
US9576015B1 (en) 2015-09-09 2017-02-21 Palantir Technologies, Inc. Domain-specific language for dataset transformations
US10389742B2 (en) * 2015-10-21 2019-08-20 Vmware, Inc. Security feature extraction for a network
US9609025B1 (en) * 2015-11-24 2017-03-28 International Business Machines Corporation Protection of sensitive data from unauthorized access
CA3007844C (en) * 2015-12-11 2021-06-22 Servicenow, Inc. Computer network threat assessment
US9542446B1 (en) 2015-12-17 2017-01-10 Palantir Technologies, Inc. Automatic generation of composite datasets based on hierarchical fields
US9823818B1 (en) 2015-12-29 2017-11-21 Palantir Technologies Inc. Systems and interactive user interfaces for automatic generation of temporal representation of data objects
US10621198B1 (en) 2015-12-30 2020-04-14 Palantir Technologies Inc. System and method for secure database replication
US11086640B2 (en) * 2015-12-30 2021-08-10 Palantir Technologies Inc. Composite graphical interface with shareable data-objects
US9910968B2 (en) * 2015-12-30 2018-03-06 Dropbox, Inc. Automatic notifications for inadvertent file events
US9612723B1 (en) * 2015-12-30 2017-04-04 Palantir Technologies Inc. Composite graphical interface with shareable data-objects
US9628444B1 (en) 2016-02-08 2017-04-18 Cryptzone North America, Inc. Protecting network devices by a firewall
US10412048B2 (en) 2016-02-08 2019-09-10 Cryptzone North America, Inc. Protecting network devices by a firewall
US10248722B2 (en) 2016-02-22 2019-04-02 Palantir Technologies Inc. Multi-language support for dynamic ontology
US10698938B2 (en) 2016-03-18 2020-06-30 Palantir Technologies Inc. Systems and methods for organizing and identifying documents via hierarchies and dimensions of tags
WO2017180057A1 (en) * 2016-04-11 2017-10-19 Certis Cisco Security Pte Ltd System and method for threat incidents corroboration in discrete temporal reference using 3d abstract modelling
US10243972B2 (en) * 2016-04-11 2019-03-26 Crowdstrike, Inc. Correlation-based detection of exploit activity
US9560015B1 (en) 2016-04-12 2017-01-31 Cryptzone North America, Inc. Systems and methods for protecting network devices by a firewall
US10007674B2 (en) 2016-06-13 2018-06-26 Palantir Technologies Inc. Data revision control in large-scale data analytic systems
US10719188B2 (en) 2016-07-21 2020-07-21 Palantir Technologies Inc. Cached database and synchronization system for providing dynamic linked panels in user interface
US10324609B2 (en) 2016-07-21 2019-06-18 Palantir Technologies Inc. System for providing dynamic linked panels in user interface
US10454968B1 (en) * 2016-09-12 2019-10-22 Rockwell Collins, Inc. Regular expression based cyber fuzzing attack preventer
EP4246923A3 (en) 2016-10-03 2023-12-06 Telepathy Labs, Inc. System and method for social engineering identification and alerting
US10102229B2 (en) 2016-11-09 2018-10-16 Palantir Technologies Inc. Validating data integrations using a secondary data store
US10313396B2 (en) * 2016-11-15 2019-06-04 Cisco Technology, Inc. Routing and/or forwarding information driven subscription against global security policy data
US10318630B1 (en) 2016-11-21 2019-06-11 Palantir Technologies Inc. Analysis of large bodies of textual data
US9946777B1 (en) 2016-12-19 2018-04-17 Palantir Technologies Inc. Systems and methods for facilitating data transformation
US10620618B2 (en) 2016-12-20 2020-04-14 Palantir Technologies Inc. Systems and methods for determining relationships between defects
US10262053B2 (en) 2016-12-22 2019-04-16 Palantir Technologies Inc. Systems and methods for data replication synchronization
US11057344B2 (en) * 2016-12-30 2021-07-06 Fortinet, Inc. Management of internet of things (IoT) by security fabric
US9922108B1 (en) 2017-01-05 2018-03-20 Palantir Technologies Inc. Systems and methods for facilitating data transformation
US10237294B1 (en) 2017-01-30 2019-03-19 Splunk Inc. Fingerprinting entities based on activity in an information technology environment
US10325224B1 (en) 2017-03-23 2019-06-18 Palantir Technologies Inc. Systems and methods for selecting machine learning training data
US10606866B1 (en) 2017-03-30 2020-03-31 Palantir Technologies Inc. Framework for exposing network activities
US10440037B2 (en) * 2017-03-31 2019-10-08 Mcafee, Llc Identifying malware-suspect end points through entropy changes in consolidated logs
US10068002B1 (en) 2017-04-25 2018-09-04 Palantir Technologies Inc. Systems and methods for adaptive data replication
US10235461B2 (en) 2017-05-02 2019-03-19 Palantir Technologies Inc. Automated assistance for generating relevant and valuable search results for an entity of interest
US10482382B2 (en) 2017-05-09 2019-11-19 Palantir Technologies Inc. Systems and methods for reducing manufacturing failure rates
US10430062B2 (en) 2017-05-30 2019-10-01 Palantir Technologies Inc. Systems and methods for geo-fenced dynamic dissemination
US10956406B2 (en) 2017-06-12 2021-03-23 Palantir Technologies Inc. Propagated deletion of database records and derived data
US11030494B1 (en) 2017-06-15 2021-06-08 Palantir Technologies Inc. Systems and methods for managing data spills
AU2017421179B2 (en) * 2017-06-29 2022-10-27 Certis Cisco Security Pte Ltd Autonomic incident triage prioritization by performance modifier and temporal decay parameters
US10691729B2 (en) 2017-07-07 2020-06-23 Palantir Technologies Inc. Systems and methods for providing an object platform for a relational database
US10243989B1 (en) * 2017-07-27 2019-03-26 Trend Micro Incorporated Systems and methods for inspecting emails for malicious content
US10956508B2 (en) 2017-11-10 2021-03-23 Palantir Technologies Inc. Systems and methods for creating and managing a data integration workspace containing automatically updated data models
US10380196B2 (en) 2017-12-08 2019-08-13 Palantir Technologies Inc. Systems and methods for using linked documents
US10915542B1 (en) 2017-12-19 2021-02-09 Palantir Technologies Inc. Contextual modification of data sharing constraints in a distributed database system that uses a multi-master replication scheme
US11194903B2 (en) 2018-02-23 2021-12-07 Crowd Strike, Inc. Cross-machine detection techniques
EP3882799B1 (en) * 2018-02-23 2024-05-01 CrowdStrike, Inc. Computer security event analysis
US11050764B2 (en) 2018-02-23 2021-06-29 Crowdstrike, Inc. Cardinality-based activity pattern detection
US11599369B1 (en) 2018-03-08 2023-03-07 Palantir Technologies Inc. Graphical user interface configuration system
US10754822B1 (en) 2018-04-18 2020-08-25 Palantir Technologies Inc. Systems and methods for ontology migration
US10885021B1 (en) 2018-05-02 2021-01-05 Palantir Technologies Inc. Interactive interpreter and graphical user interface
US11461355B1 (en) 2018-05-15 2022-10-04 Palantir Technologies Inc. Ontological mapping of data
US11119630B1 (en) 2018-06-19 2021-09-14 Palantir Technologies Inc. Artificial intelligence assisted evaluations and user interface for same
US11218357B1 (en) 2018-08-31 2022-01-04 Splunk Inc. Aggregation of incident data for correlated incidents
US11556649B2 (en) * 2019-12-23 2023-01-17 Mcafee, Llc Methods and apparatus to facilitate malware detection using compressed data
US11457021B2 (en) * 2020-05-13 2022-09-27 Fastly, Inc. Selective rate limiting via a hybrid local and remote architecture
US11736510B2 (en) * 2021-07-27 2023-08-22 Disney Enterprises, Inc. Domain security assurance automation
US20230100792A1 (en) * 2021-09-24 2023-03-30 Qualcomm Incorporated Techniques for misbehavior detection in wireless communications systems
EP4160983A1 (en) * 2021-09-29 2023-04-05 WithSecure Corporation Threat control method and system
US20230195543A1 (en) * 2021-12-16 2023-06-22 Rakuten Mobile, Inc. Application programming interface (api) server for correlation engine and policy manager (cpe), method and computer program product

Family Cites Families (62)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6530024B1 (en) * 1998-11-20 2003-03-04 Centrax Corporation Adaptive feedback security system and method
US6937597B1 (en) * 1999-02-26 2005-08-30 Lucent Technologies Inc. Signaling method for internet telephony
US6725377B1 (en) * 1999-03-12 2004-04-20 Networks Associates Technology, Inc. Method and system for updating anti-intrusion software
US6765864B1 (en) * 1999-06-29 2004-07-20 Cisco Technology, Inc. Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network
US6789202B1 (en) * 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US7213068B1 (en) * 1999-11-12 2007-05-01 Lucent Technologies Inc. Policy management system
US7171473B1 (en) * 1999-11-17 2007-01-30 Planet Exchange, Inc. System using HTTP protocol for maintaining and updating on-line presence information of new user in user table and group table
US7047288B2 (en) * 2000-01-07 2006-05-16 Securify, Inc. Automated generation of an english language representation of a formal network security policy specification
US7159237B2 (en) * 2000-03-16 2007-01-02 Counterpane Internet Security, Inc. Method and system for dynamic network intrusion monitoring, detection and response
US7444395B2 (en) * 2000-06-07 2008-10-28 Microsoft Corporation Method and apparatus for event handling in an enterprise
US7127743B1 (en) * 2000-06-23 2006-10-24 Netforensics, Inc. Comprehensive security structure platform for network managers
US7058968B2 (en) * 2001-01-10 2006-06-06 Cisco Technology, Inc. Computer security and management system
US20030051026A1 (en) * 2001-01-19 2003-03-13 Carter Ernst B. Network surveillance and security system
WO2002073332A2 (en) * 2001-03-14 2002-09-19 Nokia Corporation Separation of instant messaging user and client identities
US9848305B2 (en) * 2001-05-11 2017-12-19 Nokia Technologies Oy Mobile instant messaging and presence service
US7571480B2 (en) * 2001-08-16 2009-08-04 International Business Machines Corporation Presentation of correlated events as situation classes
US7039953B2 (en) * 2001-08-30 2006-05-02 International Business Machines Corporation Hierarchical correlation of intrusion detection events
US7331060B1 (en) * 2001-09-10 2008-02-12 Xangati, Inc. Dynamic DoS flooding protection
US6861458B2 (en) * 2001-11-15 2005-03-01 Xerox Corporation Photoprotective and lightfastness-enhancing siloxanes
US7076803B2 (en) * 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7222366B2 (en) * 2002-01-28 2007-05-22 International Business Machines Corporation Intrusion event filtering
US7047291B2 (en) * 2002-04-11 2006-05-16 International Business Machines Corporation System for correlating events generated by application and component probes when performance problems are identified
GB0202370D0 (en) * 2002-02-01 2002-03-20 Symbian Ltd Pinging
US20030221123A1 (en) * 2002-02-26 2003-11-27 Beavers John B. System and method for managing alert indications in an enterprise
US7124438B2 (en) * 2002-03-08 2006-10-17 Ciphertrust, Inc. Systems and methods for anomaly detection in patterns of monitored communications
US20030191762A1 (en) * 2002-04-08 2003-10-09 Juha Kalliokulju Group management
US8843605B2 (en) * 2002-06-03 2014-09-23 Oracle International Corporation Method and system for filtering and suppression of telemetry data
US7367055B2 (en) * 2002-06-11 2008-04-29 Motorola, Inc. Communication systems automated security detection based on protocol cause codes
US7146640B2 (en) * 2002-09-05 2006-12-05 Exobox Technologies Corp. Personal computer internet security system
US7483972B2 (en) * 2003-01-08 2009-01-27 Cisco Technology, Inc. Network security monitoring system
US7523503B2 (en) * 2003-01-21 2009-04-21 Hewlett-Packard Development Company, L.P. Method for protecting security of network intrusion detection sensors
US10110632B2 (en) * 2003-03-31 2018-10-23 Intel Corporation Methods and systems for managing security policies
US7774842B2 (en) * 2003-05-15 2010-08-10 Verizon Business Global Llc Method and system for prioritizing cases for fraud detection
US7246156B2 (en) * 2003-06-09 2007-07-17 Industrial Defender, Inc. Method and computer program product for monitoring an industrial network
US7712133B2 (en) * 2003-06-20 2010-05-04 Hewlett-Packard Development Company, L.P. Integrated intrusion detection system and method
US7519996B2 (en) * 2003-08-25 2009-04-14 Hewlett-Packard Development Company, L.P. Security intrusion mitigation system and method
FI20031268A0 (fi) * 2003-09-05 2003-09-05 Nokia Corp Ryhmäpalvelu, jossa mukana tietoa ryhmän jäsenistä
US7644365B2 (en) * 2003-09-12 2010-01-05 Cisco Technology, Inc. Method and system for displaying network security incidents
US20050114159A1 (en) * 2003-11-25 2005-05-26 Timucin Ozugur Web based CRM service using on-line presence information
EP1544707A1 (en) * 2003-12-15 2005-06-22 Abb Research Ltd. Network security system
US8250150B2 (en) * 2004-01-26 2012-08-21 Forte Internet Software, Inc. Methods and apparatus for identifying and facilitating a social interaction structure over a data packet network
US8037170B2 (en) * 2004-01-27 2011-10-11 Hitachi, Ltd. Integrated application management system, apparatus and program, and integrated session management server, system, program and server chassis, and communication system, session management server and integration application server
US20050210104A1 (en) * 2004-03-19 2005-09-22 Marko Torvinen Method and system for presence enhanced group management and communication
JP4352959B2 (ja) * 2004-03-25 2009-10-28 日本電気株式会社 プレゼンス情報に基づくグループ通信方式およびクライアント装置
CN100557547C (zh) * 2004-03-26 2009-11-04 皇家飞利浦电子股份有限公司 用于产生授权域的方法和系统
US20050233776A1 (en) * 2004-04-16 2005-10-20 Allen Andrew M Method and apparatus for dynamic group address creation
EP1589716A1 (en) * 2004-04-20 2005-10-26 Ecole Polytechnique Fédérale de Lausanne (EPFL) Method of detecting anomalous behaviour in a computer network
US8856240B2 (en) * 2004-06-23 2014-10-07 Nokia Corporation Method, system and computer program to provide support for sporadic resource availability in SIP event environments
US7711518B2 (en) * 2004-08-23 2010-05-04 At&T Intellectual Property I, L.P. Methods, systems and computer program products for providing system operational status information
JP4649977B2 (ja) * 2004-12-17 2011-03-16 株式会社日立製作所 プレゼンス統合管理システム及びプレゼンスサーバ
US20060248184A1 (en) * 2005-04-29 2006-11-02 Alcatel System and method for managing user groups in presence systems
US20060252444A1 (en) * 2005-05-03 2006-11-09 Timucin Ozugur Presence enabled call hunting group
JP4545647B2 (ja) * 2005-06-17 2010-09-15 富士通株式会社 攻撃検知・防御システム
US8209759B2 (en) * 2005-07-18 2012-06-26 Q1 Labs, Inc. Security incident manager
US7734710B2 (en) * 2005-09-22 2010-06-08 Avaya Inc. Presence-based hybrid peer-to-peer communications
US8495743B2 (en) * 2005-12-16 2013-07-23 Cisco Technology, Inc. Methods and apparatus providing automatic signature generation and enforcement
US20070150949A1 (en) * 2005-12-28 2007-06-28 At&T Corp. Anomaly detection methods for a computer network
US7747736B2 (en) * 2006-06-05 2010-06-29 International Business Machines Corporation Rule and policy promotion within a policy hierarchy
US8688822B2 (en) * 2006-07-05 2014-04-01 Oracle International Corporation Push e-mail inferred network presence
US7961667B2 (en) * 2006-07-21 2011-06-14 International Business Machines Corporation Ad-hoc groups in SIP/SIMPLE
US9715675B2 (en) * 2006-08-10 2017-07-25 Oracle International Corporation Event-driven customizable automated workflows for incident remediation
US8307404B2 (en) * 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure

Also Published As

Publication number Publication date
US20090254970A1 (en) 2009-10-08
WO2009145990A2 (en) 2009-12-03
WO2009145990A3 (en) 2010-01-21
EP2260426A2 (en) 2010-12-15

Similar Documents

Publication Publication Date Title
KR20100133398A (ko) 다중 티어 보안 이벤트의 상관 및 완화
Kumari et al. A comprehensive study of DDoS attacks over IoT network and their countermeasures
Yurekten et al. SDN-based cyber defense: A survey
JP6080910B2 (ja) 悪意のあるソフトウェアに対するネットワーク・レベル保護をするシステム及び方法
US8230505B1 (en) Method for cooperative intrusion prevention through collaborative inference
Peng et al. Survey of network-based defense mechanisms countering the DoS and DDoS problems
US20060026679A1 (en) System and method of characterizing and managing electronic traffic
US7735116B1 (en) System and method for unified threat management with a relational rules methodology
US20180091547A1 (en) Ddos mitigation black/white listing based on target feedback
US20140173731A1 (en) System and Method for Unified Communications Threat Management (UCTM) for Converged Voice, Video and Multi-Media Over IP Flows
US20070294759A1 (en) Wireless network control and protection system
WO2011138417A1 (en) Method for adapting security policies of an information system infrastructure
He et al. Securing software defined wireless networks
Rajkumar A survey on latest DoS attacks: classification and defense mechanisms
Hussein et al. Software-Defined Networking (SDN): the security review
Singh Intrusion Detection Systems (IDS) and Intrusion Prevention Systems (IPS) For Network Security: A Critical Analysis
Kfouri et al. Design of a Distributed HIDS for IoT Backbone Components.
Mentsiev et al. VoIP security threats
Keromytis et al. Designing firewalls: A survey
Žagar Security Features in a Hybrid Software-Defined Network
Sulaman An Analysis and Comparison of The Security Features of Firewalls and IDSs
Nikolskaia Classification and Objectives of DDoS-attacks by OSI model levels
Vacca Wireless network security fundamentals
Kao et al. Security management of mutually trusted domains through cooperation of defensive technologies
Jacobs Distributed Decision Support System for Network Security

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E601 Decision to refuse application