KR20110124208A - 네트워크 자원들에 대한 건강 기반 액세스 - Google Patents
네트워크 자원들에 대한 건강 기반 액세스 Download PDFInfo
- Publication number
- KR20110124208A KR20110124208A KR1020117017119A KR20117017119A KR20110124208A KR 20110124208 A KR20110124208 A KR 20110124208A KR 1020117017119 A KR1020117017119 A KR 1020117017119A KR 20117017119 A KR20117017119 A KR 20117017119A KR 20110124208 A KR20110124208 A KR 20110124208A
- Authority
- KR
- South Korea
- Prior art keywords
- resource
- computer system
- access
- reputation
- health
- Prior art date
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/22—Arrangements for preventing the taking of data from a data transmission channel without authorisation
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
Abstract
컴퓨터 시스템의 동적 건강 상태와 특정 자원의 동적 평판의 조합에 기초하여 컴퓨터 시스템이 이 특정 자원에 액세스할 수 있는지를 동적으로 결정하는 보호 시스템이 본 명세서에서 설명된다. 사용자가 자원에 액세스하려고 시도하는 경우, 보호 시스템은 요청을 인터셉트한다. 보호 시스템은, 사용자가 액세스하려고 시도하고 있는 자원의 평판, 및 사용자가 자원에 액세스하려고 시도하고 있는 컴퓨터 시스템의 건강을 결정한다. 결정된 자원 평판 및 결정된 컴퓨터 시스템 건강에 기초하여, 보호 시스템은 요청된 자원에 대한 액세스를 허용할지를 결정한다.
Description
안티바이러스, 안티스파이웨어 및 기타 안티멀웨어 애플리케이션들은 해로운 애플리케이션들 또는 다른 실행가능 코드를 식별하고, 해로운 코드를 제거하거나, 적어도 무력화함으로써 클라이언트 컴퓨터들을 보호하려고 한다. 현재의 안티멀웨어 애플리케이션들(예컨대, 마이크로소프트 윈도우 디펜더(Microsoft Windows Defender), 마이크로소프트 포어프론트 클라이언트 시큐리티(Microsoft Forefront Client Security), 마이크로소프트 원케어(Microsoft OneCare), 마이크로소프트 포어프론트 서버 포 익스체인지 서버(Microsoft Forefront Server for Exchange Server) 등)은 서명 기반 접근법을 이용하여, 바이러스들, 웜들 및 스파이웨어들을 검출한다. 하나의 통상적인 유형의 멀웨어 방지는 사용자가 (예컨대, 웹 브라우저에서) 요청하는 URL들(Uniform Resource Locators) 또는 인터넷 프로토콜(IP) 어드레스들을 검사하고, 악의적이거나 잠재적으로 악의적인 것으로서 플래깅된 URL들에 대한 액세스를 차단하는 것에 의존한다. 종종, 클라이언트 컴퓨터들은 사용자가 웹사이트를 방문하여 "알려지지 않은 소프트웨어"의 설치를 허용하는 경우에 감염되며(통상적으로, 사용자들은 자신들이 양호한 소프트웨어를 설치하고 있다고 생각한다), 따라서 악의적인 것으로 알려진 사이트들에 대한 액세스들을 차단하는 것은 감염으로부터 사용자의 컴퓨터 시스템을 보호할 수 있다.
머신 건강 상태(machine health state)는 컴퓨터 시스템의 건강을 결정하고, 컴퓨터 시스템의 건강에 기초하여 컴퓨터 시스템이 수행할 수 있는 동작들을 결정하는데 이용되는 기술이다. 예컨대, 많은 회사 근거리 네트워크(LAN) 관리자들은 정책이 컴퓨터 시스템으로 하여금 회사 네트워크에 액세스하는 것을 허용하기 전에 각각의 컴퓨터 시스템이 따르는 정책들을 정의한다. 예컨대, 관리자는 정책이 컴퓨터 시스템들로 하여금 LAN에 액세스하는 것을 허용하기 전에 조직 내의 컴퓨터 시스템들 상에 존재하는 특정 운영 체제 패치 또는 특정 안티바이러스 정의 버전을 지정하는 정책을 정의할 수 있다.
호스트 기반(로컬 머신)이거나 에지 기반(게이트웨이 장치/서버)인 현재의 웹 필터링 기술들은 정책들을 이용하여, 네트워킹 프로토콜들 또는 목적지들에 대한 액세스를 제어한다. 이러한 정책들은 통상적으로 그룹에서의 멤버십의 테스트, 목적지 또는 소스 사이트 명칭의 테스트 또는 특정 네트워크 자원들로의 액세스에 대한 시간대(time of day) 제한들의 부과와 같이 정책 생성 시에 알려진 머신 또는 사용자 속성들을 이용한다.
한 가지 문제점은 이러한 보호 메커니즘들이 종종 불필요하게 제한적이라는 것이다. 사용자들이 콘텐츠를 생성하는 것을 허용하는 웹사이트들은 여러 개의 악의적인 웹사이트의 영역들에 더하여 많은 비악의적인 웹사이트의 영역들을 가질 수 있다. 또한, 사용자의 업무는 (예를 들어, 사용자를 고용한 회사의 저작권있는 자료의 불법 배포를 식별하기 위해서) 해로운 웹사이트들의 방문을 수반할 수 있으며, 사용자는 사용자의 컴퓨터 시스템의 감염 위험을 방지하기 위해서 다른 예방책들을 취하고 있을 수 있다. 예컨대, 사용자는 보호 또는 샌드박스 모드로 브라우저를 실행하여, 웹사이트들이 컴퓨터 시스템의 다른 요소들에 영향을 미치는 것을 방지할 수 있다. 사용자는 또한 엄격한 안티바이러스 소프트웨어를 실행하여, 감염의 위험을 줄일 수 있다. 머신 건강의 경우, 랩톱을 드물게 사용하는 사용자는 프리젠테이션에 랩톱을 가지고 가서, 웹사이트에 액세스하기를 원하지만, 사용자가 최근에 패치들로 랩톱을 갱신하지 않았기 때문에 그렇게 하지 못할 수 있다.
다른 때에, 전통적인 보호 메커니즘들은 충분히 제한적이 아닐 수 있다. 예컨대, URL 기반 차단은 공지된 악의적인 URL들의 리스트에 대해서만 양호하다. 멀웨어 생성자들은 멀웨어를 호스팅하는 도메인 명칭들을 끊임없이 변경하며, 따라서 URL 기반 차단은 관리자가 악의적인 웹사이트를 악의적인 웹사이트들의 리스트에 추가할 때까지 특정 기간 동안 이 악의적인 웹사이트를 식별하지 못할 수 있다.
컴퓨터 시스템의 건강 상태와 특정 자원의 평판의 조합에 기초하여 컴퓨터 시스템이 이 특정 자원에 액세스할 수 있는지를 결정하는 보호 시스템이 본 명세서에서 설명된다. 사용자가 자원에 액세스하려고 시도하는 경우, 보호 시스템은 요청을 인터셉트한다. 보호 시스템은 사용자가 액세스하려고 시도하고 있는 자원의 평판을 결정한다. 보호 시스템은 사용자가 자원에 액세스하려고 시도하고 있는 컴퓨터 시스템의 건강도 결정한다. 결정된 자원 평판 및 결정된 컴퓨터 시스템 건강에 기초하여, 보호 시스템은 요청된 자원에 대한 액세스를 허용할지를 결정한다. 따라서, 보호 시스템은 컴퓨터 시스템의 건강에 기초하여 관리자가 잠재적으로 악의적인 자원들로부터 컴퓨터 시스템을 보호할 수 있게 한다. 컴퓨터 시스템의 건강 및 특정 자원의 평판 모두는 시간이 지남에 따라 변할 수 있고, 보호 시스템은 요청 시의 평판 및 건강에 기초하여 컴퓨터 시스템을 보호하므로, 보호는 동적이다.
이 요약은 아래에 상세한 설명에서 더 설명되는 개념들의 발췌를 간소화된 형태로 소개하도록 제공된다. 이 요약은 청구 발명의 중요한 특징들 또는 본질적인 특징들을 식별하고자 하는 의도도 없고, 청구 발명의 범위를 제한하는데 이용되는 것도 의도하지 않는다.
도 1은 일 실시예에서 보호 시스템의 컴포넌트들을 나타내는 블록도이다.
도 2는 일 실시예에서 보호 시스템을 이용하는 환경을 나타내는 블록도이다.
도 3은 일 실시예에서 자원에 액세스하기 위한 수신된 요청을 처리하기 위한 시스템의 처리를 나타내는 흐름도이다.
도 4는 일 실시예에서 자원에 액세스하기 위한 요청을 허용하거나 거부하기 위한 액세스 제어 컴포넌트의 처리를 나타내는 흐름도이다.
도 2는 일 실시예에서 보호 시스템을 이용하는 환경을 나타내는 블록도이다.
도 3은 일 실시예에서 자원에 액세스하기 위한 수신된 요청을 처리하기 위한 시스템의 처리를 나타내는 흐름도이다.
도 4는 일 실시예에서 자원에 액세스하기 위한 요청을 허용하거나 거부하기 위한 액세스 제어 컴포넌트의 처리를 나타내는 흐름도이다.
컴퓨터 시스템의 건강 상태와 특정 자원의 평판의 조합에 기초하여 컴퓨터 시스템이 이 특정 자원에 액세스할 수 있는지를 결정하는 보호 시스템이 본 명세서에서 설명된다. 이 시스템은 건강한 머신이 건강하지 않은 머신보다 넓은 범위의 자원들(예컨대, 평판이 덜 좋은 자원들)에 액세스하는 것을 허용할 것이다. 예컨대, 건강한 머신은 지금까지의 모든 최신 바이러스 정의들과 함께 안티바이러스 소프트웨어를 설치한 머신일 수 있다. 이러한 머신은 안티바이러스 소프트웨어를 설치하지 않은 머신보다 웹사이트 콘텐츠로부터의 위험에 처할 가능성이 훨씬 더 적다. 이 시스템은 건강하지 않은 머신이 매우 평판 좋은 것으로 알려진 자원들에만 액세스하게 할 수 있다.
사용자가 자원에 액세스하려고 시도하는 경우, 보호 시스템은 요청을 인터셉트한다. 예컨대, 사용자는 웹 브라우저를 이용하여, URL을 지정함으로써 특정 웹페이지를 요청할 수 있다. 보호 시스템은 사용자가 액세스하려고 시도하고 있는 자원의 평판을 결정한다. 예컨대, 자원이 웹사이트인 경우, 시스템은 URL을 신뢰되는 URL 평판 서비스로 송신하고, 이 자원에 대한 평판 스코어를 지시하는 응답을 수신할 수 있다. 보호 시스템은 사용자가 자원에 액세스하려고 시도하고 있는 컴퓨터 시스템의 건강을 결정한다. 예컨대, 보호 시스템은 시스템의 네트워크 액세스 보호(NAP) 상태(때로는 네트워크 액세스 제어(NAC)라고 함)를 검사하거나, 하나 이상의 건강 검사를 실행하여, 컴퓨터 시스템의 건강 스코어를 결정할 수 있다. 결정된 자원 평판 및 결정된 컴퓨터 시스템 건강에 기초하여, 보호 시스템은 요청된 자원에 대한 액세스를 허용할지를 결정한다. 따라서, 보호 시스템은 컴퓨터 시스템의 건강에 기초하여 관리자가 잠재적으로 악의적인 자원들로부터 컴퓨터 시스템을 보호할 수 있게 한다. 컴퓨터 시스템의 건강 및 특정 자원의 평판 모두는 시간이 지남에 따라 변할 수 있고, 보호 시스템은 요청 시의 평판 및 건강에 기초하여 컴퓨터 시스템을 보호하므로, 보호는 동적이다.
건강
본 명세서에 설명되는 바와 같이, 보호 시스템은 컴퓨터 시스템의 건강을 결정하며, 따라서 보호 시스템은 건강에 기초하여 상이한 레벨의 제한들을 적용할 수 있다. 보호 시스템이 컴퓨터 시스템의 건강을 결정하거나 건강 검사들을 정의하는데 이용할 수 있는 다양한 인자들 및 프로세스들이 존재한다. 일부 예들이 본 명세서에서 더 상세히 설명되며, 이 분야의 통상의 기술자들은 보호 시스템과 함께 이용될 수 있는 건강 결정의 다른 예들을 인식할 것이다. 건강 검사들은 컴퓨터 시스템의 악의적인 콘텐츠에 대한 방어 레벨을 결정하는 컴퓨터 시스템의 임의의 측정을 포함할 수 있다.
본 명세서에서 설명되는 바와 같은 건강 스코어는 넓은 범위의 건강 지시들을 지칭할 수 있다. 예컨대, 건강 스코어의 간단한 구현은 시스템이 건강하거나 건강하지 않다는 부울 결론(Boolean termination)을 포함한다. 더 복잡한 건강 스코어는 낮은 건강, 중간 건강 및 높은 건강과 같은 건강의 레벨들을 가질 수 있다. 대안으로서, 건강 스코어는 0-100과 같은 수치 범위를 포함할 수 있으며, 이러한 범위의 한쪽 끝은 관리자에 의해 정의된 모든 건강 정책들의 시스템 실패를 지시하고, 이 범위의 다른 쪽 끝은 시스템이 모든 건강 정책들을 통과한 것을 지시한다. 각각의 경우에, 보호 시스템은 관리자가 각각의 정의된 건강 스코어의 증분과 무관하게 자원들에 대한 액세스의 레벨을 정의할 수 있게 한다. 보호 시스템은 건강 스코어, 본 명세서에서 더 설명되는 자원 평판 스코어, 및 임의의 정의된 정책을 고려하여, 특정 컴퓨터 시스템이 어떤 자원들에 액세스할 수 있는지를 결정한다.
애플리케이션들은 보호 시스템이 컴퓨터 시스템의 현재 건강 상태를 결정하기 위해 호출하는 건강 검사들을 구현할 수 있다. 예컨대, 윈도우 보안 센터, 안티바이러스 제품들, 패치 관리 제품들 및 다른 보안 제품들 또는 이러한 제품들의 조합과 같은 제품들이 시스템에 대한 건강 검사들을 제공할 수 있다. 시스템은 또한 클라이언트 건강 NAP 에이전트에 액세스함으로써, NAP 또는 다른 건강 기반 서버를 호출함으로써 대역 내에서, 또는 이전에 결정된 건강 상태를 증명하는 건강 증명서에 의존함으로써 대역 외에서 상이한 시간에 건강 검사들을 수행할 수 있다. (예컨대, NAP에 의해 제공되는 바와 같은) 머신 건강에 더하여, 보호 시스템은 또한 자원 액세스 결정들을 행하는 경우에 사용자 건강을 고려할 수 있다. 예컨대, 마이크로소프트 포어프론트 클라이언트의 보안 상태 평가에서, 일부 검사들은 머신 단위(per-machine)이고, 일부 검사들은 사용자 단위(per-user)이다. 사용자 단위의 검사들의 경우, IE 구역 설정들 또는 오피스 매크로 설정들과 같이, 머신 기반 및 사용자 기반 건강 검사들을 통과하지 못하면, 알려지지 않은 자원들은 사용자에 대해 차단될 수 있다.
자원 평판
본 명세서에서 설명되는 바와 같이, 보호 시스템은 특정 자원(예컨대, URL)의 평판 스코어를 결정하며, 따라서, 더 낮은 평판들을 갖는 자원들에 대한 액세스는 더 낮은 건강을 갖는 컴퓨터 시스템들에 대해 차단되거나 제한될 수 있다. 보호 시스템은 여러 방법을 이용하여, 자원의 평판을 결정할 수 있으며, 이는 본 명세서에서 더 상세히 설명된다. 이 분야의 통상의 기술자들은 보호 시스템이 본 명세서에서 설명되는 것들에 더하여 다른 자원 평판 방법들과 함께 이용될 수 있다는 것을 인식할 것이다.
건강 스코어와 같이, 본 명세서에서 설명되는 자원 평판 스코어는 넓은 범위의 평판 지시들을 지칭할 수 있다. 예컨대, 평판 스코어의 간단한 구현은 자원이 악의적이거나 안전하다는 부울 결론을 포함한다. 더 복잡한 평판 스코어는 낮은 평판, 중간 평판 및 높은 평판과 같은 평판의 레벨들을 가질 수 있다. 대안으로서, 평판 스코어는 0-100과 같은 수치 범위를 포함할 수 있으며, 이 범위의 한쪽 끝은 알려진 낮은 평판을 지시하고, 이 범위의 다른 쪽 끝은 알려진 높은 평판을 지시한다. 각각의 경우에, 보호 시스템은 관리자가 각각의 정의된 평판 스코어의 증분과 무관하게 자원들에 대한 액세스의 레벨을 정의할 수 있게 한다. 보호 시스템은 본 명세서에서 더 설명되는 건강 스코어, 자원 평판 스코어 및 임의의 정의된 정책을 고려하여, 특정 컴퓨터 시스템이 어떤 자원들에 액세스할 수 있는지를 결정한다.
일부 실시예들에서, 보호 시스템은 평판이 평가되지 않았거나 입수가능하지 않은 미지의 자원에 대응하는 자원 평판 스코어를 정의한다. 예컨대, 새로운 웹사이트들은 발견되는데 그리고 자원 평판 서비스를 평가하는데 소정 시간이 걸릴 수 있다. 이러한 시간 동안, 보호 시스템은 자원이 알려지지 않은 것을 아는 것이 여전히 유용하다. 보호 시스템은 평판 정보가 입수가능하지 않은 자원에 컴퓨터 시스템이 액세스할 수 있는지를 결정하는 정책들을 관리자가 정의할 수 있게 한다. 미지의 상태가 부울이 아니라, 경사 레벨(예컨대, 0 내지 100)인 경우, 관리자는 정책을 통해 미지의 상태를 잠재적으로 맞춤화할 수 있다. 예컨대, 한 조직의 관리자는 미지의 사이트들에 대해 50보다 큰 스코어가 위험하다고 느낄 수 있는 반면, 다른 조직의 관리자는 75보다 큰 스코어가 위험하다고 느낄 수 있다. 따라서, 신중한 관리자는 미지의 자원들에 대한 액세스를 거부하거나, 미지의 자원들에 대한 액세스를 요청하는 컴퓨터 시스템들의 특정 최소 건강 상태를 지정할 수 있다. 예컨대, 클라이언트 시스템이 안티바이러스 실시간 보호를 인에이블시키고, 서명들 및 패치들이 최신인 경우, 관리자는 클라이언트 시스템이 미지의 URL들을 브라우징할 수 있음을 지정하는 정책을 정의할 수 있다. 이전의 시스템들은 통상적으로 전통적인 에지 방화벽(edge-firewall) 규칙들에서 이용되는 정적 기준들에 기초하여 액세스를 허용하거나 미지의 URL들을 차단한다.
일부 실시예들에서, 보호 시스템이 자원 평판 서비스로부터 수신하는 평판 정보는 자원에 의해 제공되는 콘텐츠의 유형을 기술하는 하나 이상의 카테고리를 포함한다. 예컨대, 웹사이트는 스포츠, 뉴스, 포르노 등과 같은 카테고리에 속할 수 있다. 보호 시스템은 관리자로 하여금 클라이언트 시스템이 액세스할 수 있는 카테고리들을 정의하고, 클라이언트 시스템이 특정 카테고리의 자원들에 액세스하기 위해 달성하는 임계 건강 상태를 연관시킬 수 있게 한다. 일부 실시예들에서, 카테고리들에는 평판 서비스로부터 어느 정도의 정밀도로 데이터가 리턴되는지에 따라 0 내지 100과 같은 신뢰도 레벨이 할당된다. 이것은 동적으로 평가되는 콘텐츠에 대한 "가능성있는" 카테고리 일치들에 기초하는 정책들을 허용한다. 예컨대, 하나의 정책은 포르노 콘텐츠의 신뢰도가 80보다 큰 경우에 URL들의 차단을 지정할 수 있다.
시스템 컴포넌트들
도 1은 일 실시예에서 보호 시스템의 컴포넌트들을 나타내는 블록도이다. 보호 시스템(100)은 자원 요청 컴포넌트(110), 자원 평판 컴포넌트(120), 건강 상태 컴포넌트(130), 정책 컴포넌트(140) 및 액세스 제어 컴포넌트(150)를 포함한다. 이러한 컴포넌트들 각각은 본 명세서에서 더 상세히 설명된다.
자원 요청 컴포넌트(110)는 사용자 프로그램들 또는 다른 애플리케이션들(예컨대, 운영 체제 서비스)로부터 자원들에 액세스하기 위한 요청들을 수신한다. 일부 실시예들에서, 보호 시스템(100)은 커널 모드 네트워크 필터를 이용하여, 네트워크 요청들을 인터셉트하고, 컴퓨터 시스템을 보호하기 위해 본 명세서에서 설명되는 단계들을 수행한다. 많은 운영 체제들은 네트워킹 필터들을 네트워킹 스택 내에 추가하기 위한 애플리케이션 프로그래밍 인터페이스(API)를 제공한다. 예컨대, 마이크로소프트 윈도우는 본 명세서에서 설명되는 단계들을 수행할 수 있는 여러 유형의 네트워크 드라이버 인터페이스 규격(NDIS) 필터들을 추가하기 위한 API들을 제공한다. 대안으로서 또는 추가로, 보호 시스템(100)은 요청하는 컴퓨터 시스템과 네트워크 라우터와 같은 요청된 자원 사이의 자원에서 동작할 수 있다. 임의의 특정 애플리케이션 아래의 레벨에서 컴퓨터 시스템과 인터페이스함으로써, 보호 시스템(100)은 사용자가 네트워크에 액세스하는데 이용하는 애플리케이션(예컨대, 웹 브라우저, 인스턴트 메시징 애플리케이션, 이메일 클라이언트 등)과 무관하게 컴퓨터 시스템에 대한 보호를 제공할 수 있다. 자원 요청 컴포넌트(110)에 의해 수신된 요청은 액세스될 자원을 예를 들어, IP 어드레스, 도메인 명칭, URL 또는 유사한 ID(identification)에 의해 식별한다.
자원 평판 컴포넌트(120)는 자원 요청 컴포넌트(110)를 통해 수신된 자원 요청들에 대해 요청된 자원의 평판 스코어를 결정한다. 예를 들어, 자원 요청 컴포넌트(110)는 URL을 수신할 수 있고, 자원 평판 컴포넌트(120)는 URL을 인터넷 상에서 호스팅되는 자원 평판 서비스로 송신하여, 자원의 평판을 결정할 수 있다. 평판 서비스는 요청된 자원의 평판을 지시하는 응답, 또는 일부 예들에서는 평판 서비스가 요청된 자원의 평판을 알지 못한다는 것을 지시하는 응답을 제공한다.
건강 상태 컴포넌트(130)는 자원 요청을 행한 컴퓨터 시스템의 건강 스코어를 결정한다. 건강 스코어는 관리자가 정의한 건강 정책들의 결과들 또는 결과들의 집합을 포함할 수 있다. 건강 정책들은 운영 체제 패치 레벨, 바이러스 정의 레벨, 드라이버들의 서명 여부, 컴퓨터 시스템 상에 설치된 애플리케이션들, 패치들이 각각의 애플리케이션에 대해 최신인지 여부 등과 같이 관리자가 컴퓨터 시스템 건강을 지시하는 것으로서 정의하는 다양한 유형의 정보를 포함할 수 있다. 시스템의 건강 상태는 사용자 동작들(예컨대, 애플리케이션들의 설치), 외부 인자들(예컨대, 안티바이러스 소프트웨어 벤더의 새로운 바이러스 정의들의 릴리스) 및/또는 관리자에 의해 정의된 정책의 변경들에 기초하여 시간 경과에 따라 변할 수 있다. 따라서, 보호 시스템(100)은 컴퓨터 시스템의 현재 건강 상태에 기초하여 특정 액세스 요청을 허용할지 또는 거부할지를 결정한다.
정책 컴포넌트(140)는, 보호 시스템(100)이 특정 액세스 요청을 허용할지 또는 거부할지를 결정하는데 이용하는 관리자에 의해 정의된 정책들을 수신하고 저장한다. 예컨대, 관리자는 임의의 건강 레벨의 컴퓨터 시스템들에 의한 높은 평판 자원들로의 액세스, 중간 건강 레벨의 컴퓨터 시스템들에 의한 중간 평판 자원들로의 액세스 및 높은 건강 레벨의 컴퓨터 시스템들에 의한 낮은 평판 자원들로의 액세스를 허용하는 정책을 정의할 수 있다. 관리자는 또한 평판 정보가 입수가능하지 않은 자원들에 대한 정책도 정의할 수 있다. 관리자에 의해 정의된 정책들은 시스템의 건강을 결정하는 컴퓨터 시스템의 품질들의 변경도 포함할 수 있다. 정책들은 본 명세서에서 더 설명되는 바와 같이 자동 교정 및/또는 감사 특징의 인에이블링도 포함할 수 있다.
본 명세서에서는 관리자가 통상적으로 대형 회사 설정에서 동작하는 것으로 설명되지만, 관리자는 또한 집안의 어린이들의 컴퓨터 시스템들에 대한 하나 이상의 정책을 정의하는 부모와 같은 가정 사용자일 수 있다. 따라서, 관리자는 컴퓨터 시스템들을 이용하는 조직의 크기 또는 유형에 의해 정의되는 것이 아니라, 관리 역할을 수행하는 사용자가 보호 시스템(100)에 대해 수행할 수 있는 동작들에 의해 정의된다.
액세스 제어 컴포넌트(150)는 정의된 정책들을 요청하는 컴퓨터 시스템의 결정된 건강 스코어 및 컴퓨터 시스템이 액세스를 요청한 자원의 평판 스코어에 대해 적용함으로써 요청된 자원에 대한 액세스를 허용할지를 결정한다. 액세스 제어 컴포넌트(150)가 자원에 대한 액세스를 허용하는 경우, 이 컴포넌트(150)는 보호 시스템(100)이 요청을 인터셉트하지 않은 것처럼 수신된 요청을 네트워크 스택을 통해 송신한다. 이어서, 자원은 요청을 수신하고, (예컨대, 요청과 연관된 프로토콜에 기초하여) 적절한 응답을 제공할 수 있다.
일부 실시예들에서, 액세스 제어 컴포넌트(150)가 자원에 대한 액세스를 거부하는 경우, 이 컴포넌트(150)는 자원 액세스의 실패를 지시하는 요청에 대한 응답을 (예컨대, 자원 요청 컴포넌트(110)를 통해) 제공한다. 예컨대, 요청이 웹 브라우저로부터 수신된 하이퍼텍스트 전송 프로토콜(HTTP) 요청인 경우, 액세스 제어 컴포넌트(150)는 404(자원 미발견) 또는 다른 적절한 HTTP 에러 코드를 웹 브라우저에 제공하여, 사용자에게 시스템이 요청을 거부했음을 알릴 수 있다(그리고 애플리케이션이 타임아웃을 기다리고/기다리거나 반복적으로 재시도하는 것을 방지할 수 있다).
시스템이 구현되는 컴퓨팅 장치는 중앙 처리 장치, 메모리, 입력 장치들(예를 들어, 키보드 및 포인팅 장치들), 출력 장치들(예컨대, 디스플레이 장치들) 및 저장 장치들(예컨대, 디스크 드라이브들 또는 다른 비휘발성 저장 매체)를 포함할 수 있다. 메모리 및 저장 장치들은 시스템을 구현하거나 인에이블시키는 컴퓨터 실행가능 명령어들(예를 들어, 소프트웨어)로 인코딩될 수 있는 컴퓨터 판독가능 저장 매체이다. 또한, 데이터 구조들 및 메시지 구조들이 통신 링크 상의 신호와 같은 데이터 전송 매체를 통해 전송되거나 저장될 수 있다. 인터넷, 근거리 네트워크, 광역 네트워크, 점대점 다이얼업 접속, 셀폰 네트워크 등과 같은 다양한 통신 링크가 이용될 수 있다.
시스템의 실시예들은 퍼스널 컴퓨터들, 서버 컴퓨터들, 핸드헬드 또는 랩톱 장치들, 멀티프로세서 시스템들, 마이크로프로세서 기반 시스템들, 프로그램가능한 가전 제품들, 디지털 카메라들, 네트워크 PC들, 미니컴퓨터들, 메인프레임 컴퓨터들, 상기 시스템들이나 장치들 중 임의의 것을 포함하는 분산 컴퓨팅 환경들 등을 포함하는 다양한 운영 환경에서 구현될 수 있다. 컴퓨터 시스템들은 셀폰들, 개인 휴대 정보 단말기들, 스마트폰들 등일 수 있다.
시스템은 하나 이상의 컴퓨터들 또는 다른 장치들에 의해 실행되는 프로그램 모듈들과 같은 컴퓨터 실행가능 명령어들의 일반적인 콘텍스트에서 설명될 수 있다. 일반적으로, 프로그램 모듈들은 특정 태스크들을 수행하거나 특정 추상 데이터 유형들을 구현하는 루틴들, 프로그램들, 객체들, 컴포넌트들, 데이터 구조들 등을 포함한다. 통상적으로, 프로그램 모듈들의 기능은 다양한 실시예들에서 설명되는 바와 같이 결합되거나 분산될 수 있다.
도 2는 일 실시예에서 보호 시스템을 이용하는 환경을 나타내는 블록도이다. 이 도면은 에지 게이트웨이 장치가 존재하지 않는 호스트 기반 NAP 인에이블드 웹 필터링을 도시한다. 하나 이상의 클라이언트 컴퓨터 시스템들(210)이 3개의 세트의 호스팅된 서버들, 즉 URL 평판 서비스(220)(마이크로소프트 평판 서비스 어레이 및 MRS 데이터베이스로서 도시됨), 정책 및 텔레메트리를 위한 머신/사용자 관리 서버들(230)(루트 사일로, 서비싱 사일로로서 도시됨) 및 호스팅된 NAP 서버들(240)(NAP, HRA, NAP CA, NAP NPS로서 도시됨)과 통신한다. 컴퓨터 시스템 각각은 인터넷, LAN, WAN, 무선 네트워크 등 중 하나 이상과 같은 네트워크(250)를 통해 통신한다.
NAP 서버들(240)은 (일부 경우에서는 탬퍼링을 방지하기 위해 암호 서명된) 건강 진술서를 제공하는데, NAP 서버들(240)을 이것을 클라이언트 머신들 상의 NAP 에이전트로 송신한다. 보호 시스템의 시행 정책들은 NAP 에이전트에 의해 캐시된 건강 진술서를 참조할 수 있으며, URL 평판 카테고리들, 사용자 그룹 멤버십 또는 시간대 제한들을 포함하는 정책들과 함께 이용되어, 클라이언트 컴퓨터 시스템들(210) 중 하나가 요청된 자원에 액세스할 수 있는지를 결정할 수 있다. NAP 에이전트를 지원하지 않거나 NAP 검사들이 면제된 클라이언트 머신들의 경우, NAP 면제 증명서가 설치될 수 있으며, 보호 시스템은 NAP 인에이블드 클라이언트들 상에서와 같이 자원 정책들의 평가 시에 이 면제 증명서를 이용할 수 있다.
URL 평판 서비스(220)는 다양한 목적들(예를 들어, 피싱(phishing) 필터들, 웹 액세스 제어 등)을 위해 제3 파티에 의해 제공될 수 있다. 예컨대, 마이크로소프트 라이브 원케어는 인터넷을 통해 액세스가능한 URL 평판 서비스(220)를 포함하며, 클라이언트 컴퓨터 시스템들(210)은 평판 요청들을 이 URL 평판 서비스로 송신할 수 있다. 마찬가지로, NAP 서버들(240)은 건강 제공자에 의해 호스팅될 수 있으며, 이 건강 제공자는 클라이언트 컴퓨터 시스템들(210)의 건강을 보장하고, 건강의 확인으로서 건강 진술서를 제공한다. 보호 시스템은 그 자신의 독립적인 URL 평판 서비스 및 건강 서버들을 제공하도록 구성될 수 있거나, 본 명세서에서 설명되는 프로세스들을 수행하기 위해 설명되는 것들과 같은 제3 파티 서비스들을 이용할 수 있다.
도 3은 일 실시예에서 자원에 액세스하기 위한 수신된 요청을 처리하기 위한 시스템의 처리를 나타내는 흐름도이다. 블록 310에서, 시스템은 자원에 액세스하기 위한 요청을 수신하며, 이 요청은 자원의 ID를 포함한다. 사용자가 자원에 액세스하려고 시도하는 경우, 보호 시스템은 요청을 인터셉트한다. 예를 들어, 사용자는 웹 브라우저를 이용하여, URL을 지정함으로써 특정 웹페이지를 요청할 수 있다. 블록 320에서 계속하여, 시스템은 요청된 자원의 평판을 결정한다. 예컨대, 자원이 웹사이트인 경우, 시스템은 URL을 신뢰되는 URL 평판 서비스로 송신하고, 자원에 대한 평판 스코어를 지시하는 응답을 수신할 수 있다. 평판은, 자원의 액세스가 악의적인 콘텐츠의 다운로드를 유발하거나 컴퓨터 시스템에 악영향을 미칠 가능성을 나타낸다.
블록 330에서 계속하여, 시스템은 요청을 수신한 컴퓨터 시스템의 건강을 결정한다. 예를 들어, 보호 시스템은 시스템의 네트워크 액세스 보호(NAP) 상태를 검사하거나, 하나 이상의 건강 검사를 실행하여 컴퓨터 시스템에 대한 건강 스코어를 결정할 수 있다. 블록 340에서 계속하여, 시스템은 컴퓨터 시스템이 요청된 자원에 액세스하는 것이 허용되는 자원 평판 및 컴퓨터 시스템 건강에 기초하는 하나 이상의 조건들을 식별하는 액세스 정책에 액세스한다.
블록 350에서 계속하여, 시스템은 액세스 정책을 적용하여, 액세스 정책에 기초하여, 컴퓨터 시스템이 요청된 자원에 액세스하는 것을 허용할지를 결정한다. 이 단계는 도 4를 참조하여 더 설명된다. 컴퓨터 시스템의 건강 및 특정 자원의 평판은 시간이 지남에 따라 변할 수 있으며, 보호 시스템은 관리자로 하여금 요청 시의 컴퓨터 시스템의 건강 및 자원의 평판에 기초하여 컴퓨터 시스템이 자원에 액세스할 수 있는지를 동적으로 결정할 수 있게 한다. 블록 350 이후에, 이러한 단계들이 종료된다.
도 4는 일 실시예에서 자원에 액세스하기 위한 요청을 허용 또는 거부하기 위한 액세스 제어 컴포넌트의 처리를 나타내는 흐름도이다. 도시된 실시예에서, 보호 시스템은 높은, 중간 또는 낮은 평판을 지시하는 평판 스코어 및 높은, 중간 또는 낮은 건강을 지시하는 건강 상태를 수신한다. 본 명세서에서 설명되는 바와 같이, 보호 시스템에 의해 이용되는 평판 및/또는 건강 상태는 도시된 것보다 정밀도가 높거나 낮을 수 있다.
블록 410에서, 컴포넌트는 요청에 기초하여 시스템에 의해 결정된 건강 및 평판 스코어들을 수신한다. 예를 들어, 시스템은 도 3을 참조하여 설명된 프로세스에 기초하여 건강 및 평판 스코어들을 결정할 수 있다. 판정 블록 420에서 계속하여, 요청된 자원의 평판이 높은(예를 들어, 미리 결정된 임계치보다 높은) 경우에는, 컴포넌트는 블록 425에서 계속하여, 컴퓨터 시스템이 요청된 자원에 액세스하는 것을 허용하며, 그렇지 않은 경우에는 컴포넌트는 블록 430에서 계속한다. 예를 들어, 요청된 자원은 관리자 정의 정책이 컴퓨터 시스템의 현재 건강에 관계없이 자원에 액세스하는 것을 허용하는 이러한 높은 평판(예를 들어, http://www.microsoft.com/)을 가질 수 있다.
판정 블록 430에서 계속하여, 요청하는 컴퓨터 시스템의 건강이 높은 경우에는, 컴포넌트는 블록 425에서 계속하여, 컴퓨터 시스템이 요청된 자원에 액세스하는 것을 허용하며, 그렇지 않은 경우에는 컴포넌트는 블록 440에서 계속한다. 예를 들어, 관리자 정의 건강 정책들은 관리자가 높은 건강의 머신들이 요청된 자원의 평판에 관계없이 안전할 것으로 확신하기에 충분할만큼 제한적일 수 있다(예를 들어, 모든 패치들이 설치되고, 브라우저가 보호 모드에 있고, 자바스크립트가 오프되고, 바이러스 정의가 최신인 것 등). 판정 블록 440에서 계속하여, 요청하는 컴퓨터 시스템의 건강이 중간인 경우에는, 컴포넌트는 블록 450에서 계속하며, 그렇지 않은 경우에는 컴포넌트는 블록 460에서 계속하여, 요청된 자원에 대한 컴퓨터 시스템의 액세스를 거부한다.
판정 블록 450에서 계속하여, 요청된 자원의 평판이 중간인 경우에는, 컴포넌트는 블록 425에서 계속하여, 컴퓨터 시스템이 요청된 자원에 액세스하는 것을 허용하고, 그렇지 않은 경우에는 컴포넌트는 블록 460에서 계속하여, 요청된 자원에 대한 컴퓨터 시스템의 액세스를 거부한다. 블록 460에서 계속하여, 컴포넌트는 컴퓨터 시스템의 요청된 자원에 대한 액세스를 거부한다. 블록 460 이후에, 이러한 단계들이 종료된다.
일부 실시예들에서, 보호 시스템은 자원들로의 액세스의 자동 교정 및/또는 감사를 제공한다. 예를 들어, 웹사이트에 대한 사용자 액세스를 거부하는 경우, 보호 시스템은 사용자가 그의 안티바이러스 소프트웨어를 갱신하거나 추천된 운영 체제 패치들을 적용하는 경우에 사용자가 자원에 액세스할 수 있음을 사용자에게 알리는 사용자 인터페이스를 사용자에게 디스플레이할 수 있다. 시스템은 사용자에게 묻지 않고 그러한 교정들을 자동으로 적용할 수 있다. 또한, 보호 시스템이 자원에 대한 사용자 액세스를 거부하는 경우, 이 시스템은 감사 추적(audit trail)(예를 들어, 로그)을 생성할 수 있는데, 관리자는 이를 검토하여, 예를 들어 정책이 특정의 알려지지 않은 사이트들을 허용할 수 있는지 또는 시스템이 합법적인 사이트들에 대한 액세스를 거부하고 있는지를 결정할 수 있다. 이것은 보고를 통한 광범위한 보안 정책 가시도, NAP 건강 검사들에 기초하는 웹 액세스의 차단을 통한 보안 준수, 및 NAP 자동 교정 특징들을 통한 보안 교정을 가능하게 한다. 실패한 NAP 건강 검사들에 기인하여 먼저 웹 액세스를 차단하는 것이 아니라, 시스템은 NAP 자동 교정 동작들을 시도한 후에 최종 수단으로서 액세스를 거부할 수 있다. 예를 들어, 자동 교정은 방화벽 구성의 록다운(lock down), 보안 패치들의 설치, 안티바이러스 서명 갱신들의 설치, 및 자원 액세스가 거부되기 전에 자동으로 보안 특징들을 인에이블하는 것을 포함할 수 있다.
일부 실시예들에서, 보호 시스템은 전통적인 필터링 기술들 대신이 아니라 이들과 함께 동작한다. 예를 들어, 시스템은 사용자 그룹 멤버십, URL 평판 카테고리 또는 시간대 제한들과 함께 건강 검사들을 이용하여, 특정 자원에 대한 액세스를 허용할지를 결정할 수 있다. 보호 시스템은 각각의 그룹 내의 사용자들의 예상되는 정교함 또는 다른 기준들에 기초하여 특정 그룹들의 사용자들(예를 들어, 관리자들 또는 파워 유저들)에게 다른 그룹들의 사용자들(예를 들어, 손님들)보다 덜 제한적인 액세스를 제공할 수 있다.
일부 실시예들에서, 보호 시스템은 조직 내의 실질적인 서버 인프라스트럭처 없이 클라이언트 머신들을 보호하는 온라인 호스팅된 서비스로서 제공된다. 예를 들어, 조직은 온라인 서비스에 대한 가입을 구매할 수 있으며, 온라인 서비스를 통해 관리자는 액세스 정책들을 정의할 수 있고, 클라이언트들은 조직 내의 전통적인 방화벽들, 프록시 서버들 또는 다른 인프라스트럭처를 이용하지 않고 액세스 요청들을 송신하며, 허용/거부 응답을 수신한다. 이것은 관리자의 부담을 상당히 덜어주고, 조직의 하드웨어 비용을 줄일 수 있다.
일부 실시예들에서, 보호 시스템은 추가적인 건강 검사들을 추가하거나, 시스템이 모니터링할 수 있는 새로운 유형의 자원 요청들을 (예컨대, 네트워크 프로토콜에 의해) 정의함으로써 제3 파티들이 시스템을 확장할 수 있게 한다. 예를 들어, Apple iTunes와 같은 애플리케이션은 이 애플리케이션이 모든 현재 패치들을 설치한 때를 시스템에 알리는 플러그-인을 시스템에 제공할 수 있다. 보호 시스템은 애플리케이션을 호스팅하는 클라이언트 시스템의 건강 스코어를 결정하는데 있어서 하나의 인자로서 이러한 정보를 이용할 수 있다.
위의 설명으로부터, 본 명세서에서는 시스템의 특정 실시예들이 설명의 목적으로 설명되었지만, 본 발명의 사상 및 범위로부터 벗어나지 않고, 다양한 변경들이 이루어질 수 있음을 알 것이다. 예컨대, 웹 사이트들이 일 유형의 자원으로서 설명되었지만, 보호 시스템은 네트워크 쉐어들, ftp 사이트들, RSS 피드들, 비디오 플레이리스트들 등을 포함하는 많은 유형의 자원들과 더불어 이용될 수 있다. 따라서, 본 발명은 첨부된 청구항들에 의한 것 외에는 제한되지 않는다.
Claims (15)
- 컴퓨터 시스템을 악의적인 네트워크 자원들에 액세스하는 것으로부터 보호하는 컴퓨터 구현 방법으로서,
자원에 액세스하기 위한 요청을 수신하는 단계(310) - 상기 요청은 상기 자원의 ID(identification)를 포함함 -;
상기 요청된 자원의 평판을 결정하는 단계(320) - 상기 평판은, 상기 자원에 액세스하는 것이 상기 컴퓨터 시스템에 악의적인 콘텐츠가 다운로드되게 할 가능성을 나타냄 -;
상기 요청이 수신되는 상기 컴퓨터 시스템의 건강 상태(health state)를 결정하는 단계(330);
상기 컴퓨터 시스템이 상기 요청된 자원에 액세스하는 것이 허용되는 상기 자원의 평판 및 컴퓨터 시스템 건강 상태에 기초하는 하나 이상의 조건들을 식별하는 액세스 정책에 액세스하는 단계(340); 및
상기 액세스 정책을 적용하여, 상기 액세스 정책에 기초하여 상기 컴퓨터 시스템이 상기 요청된 자원에 액세스하는 것을 허용할지를 결정함으로써, 상기 컴퓨터 시스템을 악의적인 네트워크 자원들에 액세스하는 것으로부터 보호하는 단계(350)
를 포함하며,
상기 단계들은 적어도 하나의 프로세서에 의해 수행되는 컴퓨터 구현 방법. - 제1항에 있어서, 상기 요청을 수신하는 단계는, 상기 컴퓨터 시스템 상에 설치된 네트워크 필터를 이용하여 애플리케이션으로부터 상기 요청을 인터셉트하는 단계를 포함하는 컴퓨터 구현 방법.
- 제1항에 있어서, 상기 요청을 수신하는 단계는, 다수의 애플리케이션들로부터 요청들을 수신하며, 상기 다수의 애플리케이션들로부터 악의적인 네트워크 자원들에 액세스하는 것으로부터 상기 컴퓨터 시스템을 보호하는 단계를 포함하는 컴퓨터 구현 방법.
- 제1항에 있어서, 상기 요청된 자원의 평판을 결정하는 단계는 상기 요청된 자원의 ID를 웹 기반 평판 서비스로 송신하며, 상기 평판 서비스로부터 상기 요청된 자원에 대한 평판 스코어를 지시하는 응답을 수신하는 단계를 포함하는 컴퓨터 구현 방법.
- 제1항에 있어서, 상기 건강 상태를 결정하는 단계는, 네트워크 액세스 보호(NAP) 서버에 액세스하여 상기 컴퓨터 시스템의 건강 상태를 결정하는 단계를 포함하는 컴퓨터 구현 방법.
- 제1항에 있어서, 상기 액세스 정책은, 상기 컴퓨터 시스템이 더 높고 더 큰 건강 상태를 갖는 경우에 더 많은 액세스를 제공하는 컴퓨터 구현 방법.
- 제1항에 있어서, 상기 컴퓨터 시스템의 건강 상태 및 상기 요청된 자원의 평판은 시간이 지남에 따라 변하며, 상기 방법은, 상기 요청 시의 상기 컴퓨터 시스템의 건강 상태 및 상기 자원의 평판에 기초하여 상기 컴퓨터 시스템이 상기 요청된 자원에 액세스하는 것을 허용할지를 동적으로 결정하는 컴퓨터 구현 방법.
- 네트워크 자원에 대한 액세스를 요청하는 컴퓨터의 건강에 기초하여 상기 네트워크 자원에 대한 액세스를 차단하기 위한 컴퓨터 시스템으로서,
소프트웨어 명령어들을 실행하도록 구성된 프로세서와 메모리;
사용자 프로그램들 또는 다른 애플리케이션들로부터 자원들에 액세스하기 위한 요청들을 수신하도록 구성된 자원 요청 컴포넌트(110) - 상기 자원 요청 컴포넌트에 의해 수신되는 요청들은 액세스될 자원을 식별함 -;
상기 자원 요청 컴포넌트를 통해 수신된 자원 요청들에 대해 상기 네트워크 자원의 평판 스코어를 결정하도록 구성된 자원 평판 컴포넌트(120);
상기 자원 요청을 행한 상기 컴퓨터 시스템의 건강 스코어를 결정하도록 구성된 건강 상태 컴포넌트(130);
특정 자원 액세스 요청을 허용할지 또는 거부할지를 결정하기 위해서 관리자에 의해 정의된 정책들을 수신하며 저장하도록 구성된 정책 컴포넌트(140); 및
상기 정의된 정책들을 요청하는 컴퓨터 시스템의 결정된 건강 스코어 및 상기 네트워크 자원의 평판 스코어에 적용함으로써 요청된 자원에 대한 액세스를 허용할지를 결정하도록 구성된 액세스 제어 컴포넌트(150)
를 포함하는 컴퓨터 시스템. - 제8항에 있어서, 상기 자원 요청 컴포넌트는, 네트워킹 스택으로 네트워킹 필터들을 추가하기 위해 운영 체제가 제공하는 애플리케이션 프로그래밍 인터페이스(API)를 통해 네트워크 요청들을 인터셉트하기 위해서 커널 모드 네트워크 필터를 이용하는 컴퓨터 시스템.
- 제8항에 있어서, 상기 시스템은 요청하는 컴퓨터 시스템과 상기 요청된 자원 사이의 자원에서 동작하여, 자원 요청들을 인터셉트하며, 상기 요청하는 컴퓨터 시스템이 상기 요청된 자원에 액세스하는 것을 허용할지를 결정하는 컴퓨터 시스템.
- 제8항에 있어서, 상기 자원 평판 컴포넌트는, URL(Uniform Resource Locator)을 수신하며, 상기 URL을 인터넷 상에서 호스팅되는 URL 평판 서비스로 송신하여 상기 자원의 평판을 결정하도록 더 구성되는 컴퓨터 시스템.
- 제8항에 있어서, 상기 자원 평판 컴포넌트는 상기 요청된 네트워크 자원에 대한 평판이 알려져 있는지를 지시하도록 더 구성되며, 상기 정책 컴포넌트는 평판이 알려지지 않은 자원들에 대해 특정 정책을 적용하도록 구성되는 컴퓨터 시스템.
- 제8항에 있어서, 상기 건강 상태 컴포넌트는, 운영 체제 패치 레벨, 바이러스 정의 레벨, 드라이버 서명 상태, 애플리케이션 설치 상태, 애플리케이션 패치 상태 및 방화벽 구성으로 이루어지는 그룹으로부터 선택된 하나 이상의 건강 검사들을 포함하는 관리자 정의 건강 정책들의 결과들의 집합에 기초하여 건강 스코어를 결정하는 컴퓨터 시스템.
- 제8항에 있어서, 상기 정책 컴포넌트는, 임의의 건강 레벨의 컴퓨터 시스템들에 의한 높은 평판의 자원들로의 액세스 및 높은 건강 레벨의 컴퓨터 시스템들에 의한 낮은 평판의 자원들로의 액세스를 허용하는 컴퓨터 시스템.
- 제8항에 있어서, 상기 관리자는 집안 내의 하나 이상의 컴퓨터 시스템들에 대한 정책들을 정의하는 가정 사용자를 포함하는 컴퓨터 시스템.
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US12/361,548 | 2009-01-29 | ||
| US12/361,548 US8561182B2 (en) | 2009-01-29 | 2009-01-29 | Health-based access to network resources |
| PCT/US2009/067790 WO2010087904A1 (en) | 2009-01-29 | 2009-12-11 | Health-based access to network resources |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR20110124208A true KR20110124208A (ko) | 2011-11-16 |
| KR101669694B1 KR101669694B1 (ko) | 2016-10-26 |
Family
ID=42355251
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020117017119A KR101669694B1 (ko) | 2009-01-29 | 2009-12-11 | 네트워크 자원들에 대한 건강 기반 액세스 |
Country Status (12)
| Country | Link |
|---|---|
| US (1) | US8561182B2 (ko) |
| EP (1) | EP2382578A1 (ko) |
| JP (1) | JP2012516502A (ko) |
| KR (1) | KR101669694B1 (ko) |
| CN (1) | CN102301373B (ko) |
| AU (1) | AU2009338687A1 (ko) |
| BR (1) | BRPI0922251A2 (ko) |
| CA (1) | CA2750160A1 (ko) |
| IL (1) | IL213308A0 (ko) |
| RU (1) | RU2011131877A (ko) |
| SG (1) | SG171921A1 (ko) |
| WO (1) | WO2010087904A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160030385A (ko) * | 2013-07-05 | 2016-03-17 | 비트데펜더 아이피알 매니지먼트 엘티디 | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 |
Families Citing this family (32)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8255902B1 (en) * | 2008-03-17 | 2012-08-28 | Symantec Corporation | Systems and methods for determining and quantifying the impact of an application on the health of a system |
| US8949978B1 (en) * | 2010-01-06 | 2015-02-03 | Trend Micro Inc. | Efficient web threat protection |
| US20110239270A1 (en) * | 2010-03-26 | 2011-09-29 | Nokia Corporation | Method and apparatus for providing heterogeneous security management |
| US8806638B1 (en) * | 2010-12-10 | 2014-08-12 | Symantec Corporation | Systems and methods for protecting networks from infected computing devices |
| US8646072B1 (en) | 2011-02-08 | 2014-02-04 | Symantec Corporation | Detecting misuse of trusted seals |
| JP2012221346A (ja) * | 2011-04-12 | 2012-11-12 | Nippon Hoso Kyokai <Nhk> | 受信端末、信頼度判定装置および信頼度判定システム |
| US8813174B1 (en) | 2011-05-03 | 2014-08-19 | Symantec Corporation | Embedded security blades for cloud service providers |
| US8826426B1 (en) * | 2011-05-05 | 2014-09-02 | Symantec Corporation | Systems and methods for generating reputation-based ratings for uniform resource locators |
| US9143509B2 (en) | 2011-05-20 | 2015-09-22 | Microsoft Technology Licensing, Llc | Granular assessment of device state |
| US8973088B1 (en) * | 2011-05-24 | 2015-03-03 | Palo Alto Networks, Inc. | Policy enforcement using host information profile |
| CN102801574B (zh) * | 2011-05-27 | 2016-08-31 | 阿里巴巴集团控股有限公司 | 一种网页链接的检测方法、装置和系统 |
| RU2460132C1 (ru) | 2011-06-28 | 2012-08-27 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ для контроля доступа к ресурсам корпоративной сети для персональных компьютеров |
| US8875223B1 (en) | 2011-08-31 | 2014-10-28 | Palo Alto Networks, Inc. | Configuring and managing remote security devices |
| US8726385B2 (en) | 2011-10-05 | 2014-05-13 | Mcafee, Inc. | Distributed system and method for tracking and blocking malicious internet hosts |
| US9531588B2 (en) * | 2011-12-16 | 2016-12-27 | Microsoft Technology Licensing, Llc | Discovery and mining of performance information of a device for anticipatorily sending updates to the device |
| KR101575136B1 (ko) * | 2012-03-28 | 2015-12-07 | 주식회사 케이티 | 단말의 유해 자원 접근을 관리하는 유해 자원 접근 관리 서버 및 방법, 그리고 단말 |
| US8931043B2 (en) * | 2012-04-10 | 2015-01-06 | Mcafee Inc. | System and method for determining and using local reputations of users and hosts to protect information in a network environment |
| US9432401B2 (en) * | 2012-07-06 | 2016-08-30 | Microsoft Technology Licensing, Llc | Providing consistent security information |
| CN103839009B (zh) * | 2012-11-20 | 2019-01-29 | 腾讯科技(深圳)有限公司 | 一种终端检测方法和装置 |
| CN103281333B (zh) * | 2013-06-17 | 2016-12-28 | 山石网科通信技术有限公司 | 数据流的转发方法及装置 |
| US9208310B2 (en) * | 2013-06-26 | 2015-12-08 | Cognizant Technology Solutions India Pvt. Ltd. | System and method for securely managing enterprise related applications and data on portable communication devices |
| US9323924B1 (en) * | 2014-05-09 | 2016-04-26 | Symantec Corporation | Systems and methods for establishing reputations of files |
| US9703619B2 (en) * | 2014-05-28 | 2017-07-11 | International Business Machines Corporation | Determining an availability score based on available resources of different resource types in a storage system to determine whether to perform a failure operation for the storage system |
| US9411698B2 (en) * | 2014-05-28 | 2016-08-09 | International Business Machines Corporation | Determining an availability score based on available resources of different resource types in a distributed computing environment of storage servers to determine whether to perform a failure operation for one of the storage servers |
| US9848005B2 (en) * | 2014-07-29 | 2017-12-19 | Aruba Networks, Inc. | Client reputation driven role-based access control |
| US10382476B1 (en) * | 2015-03-27 | 2019-08-13 | EMC IP Holding Company LLC | Network security system incorporating assessment of alternative mobile application market sites |
| US9723006B2 (en) * | 2015-06-27 | 2017-08-01 | Mcafee, Inc. | Temporary process deprivileging |
| US10491584B2 (en) * | 2017-05-22 | 2019-11-26 | General Electric Company | Role-based resource access control |
| CN107291601B (zh) * | 2017-06-12 | 2021-01-22 | 北京奇艺世纪科技有限公司 | 一种安全运维方法及系统 |
| EP3682345B1 (en) * | 2018-08-07 | 2021-11-24 | Google LLC | Assembling and evaluating automated assistant responses for privacy concerns |
| US10820194B2 (en) * | 2018-10-23 | 2020-10-27 | Duo Security, Inc. | Systems and methods for securing access to computing resources by an endpoint device |
| US11611556B2 (en) * | 2020-09-21 | 2023-03-21 | Cujo LLC | Network connection request method and apparatus |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146743A (ja) * | 2004-11-24 | 2006-06-08 | Hitachi Ltd | コンテンツフィルタリング方法 |
| US20080155647A1 (en) * | 2006-11-28 | 2008-06-26 | Toui Miyawaki | Access control system |
| US20080189788A1 (en) * | 2007-02-06 | 2008-08-07 | Microsoft Corporation | Dynamic risk management |
Family Cites Families (20)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6775781B1 (en) * | 1999-12-13 | 2004-08-10 | Microsoft Corporation | Administrative security systems and methods |
| US7260718B2 (en) * | 2001-04-26 | 2007-08-21 | International Business Machines Corporation | Method for adding external security to file system resources through symbolic link references |
| US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
| JP2003233521A (ja) | 2002-02-13 | 2003-08-22 | Hitachi Ltd | ファイル保護システム |
| US20040111622A1 (en) * | 2002-12-10 | 2004-06-10 | Roy Schoenberg | Method of and system for controlling access to personal information records |
| US9197668B2 (en) * | 2003-02-28 | 2015-11-24 | Novell, Inc. | Access control to files based on source information |
| US20060090196A1 (en) | 2004-10-21 | 2006-04-27 | Van Bemmel Jeroen | Method, apparatus and system for enforcing security policies |
| WO2006094275A2 (en) * | 2005-03-02 | 2006-09-08 | Markmonitor, Inc. | Trust evaluation systems and methods |
| US20060250968A1 (en) * | 2005-05-03 | 2006-11-09 | Microsoft Corporation | Network access protection |
| CN1885788B (zh) | 2005-06-22 | 2010-05-05 | 杭州华三通信技术有限公司 | 网络安全防护方法及系统 |
| CN100464548C (zh) * | 2005-10-10 | 2009-02-25 | 广东省电信有限公司研究院 | 一种阻断蠕虫攻击的系统和方法 |
| US20070101409A1 (en) * | 2005-11-01 | 2007-05-03 | Microsoft Corporation | Exchange of device parameters during an authentication session |
| US20070130624A1 (en) * | 2005-12-01 | 2007-06-07 | Hemal Shah | Method and system for a pre-os quarantine enforcement |
| US7793096B2 (en) * | 2006-03-31 | 2010-09-07 | Microsoft Corporation | Network access protection |
| US7849507B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for filtering server responses |
| US8312536B2 (en) * | 2006-12-29 | 2012-11-13 | Symantec Corporation | Hygiene-based computer security |
| US8245281B2 (en) * | 2006-12-29 | 2012-08-14 | Aruba Networks, Inc. | Method and apparatus for policy-based network access control with arbitrary network access control frameworks |
| US8132233B2 (en) * | 2007-02-05 | 2012-03-06 | Hewlett-Packard Development Company, L.P. | Dynamic network access control method and apparatus |
| CN101059818A (zh) | 2007-06-26 | 2007-10-24 | 申屠浩 | 加强搜索引擎结果安全性的方法 |
| US9495538B2 (en) * | 2008-09-25 | 2016-11-15 | Symantec Corporation | Graduated enforcement of restrictions according to an application's reputation |
-
2009
- 2009-01-29 US US12/361,548 patent/US8561182B2/en active Active
- 2009-12-11 AU AU2009338687A patent/AU2009338687A1/en not_active Withdrawn
- 2009-12-11 WO PCT/US2009/067790 patent/WO2010087904A1/en active Application Filing
- 2009-12-11 JP JP2011547933A patent/JP2012516502A/ja not_active Withdrawn
- 2009-12-11 KR KR1020117017119A patent/KR101669694B1/ko active IP Right Grant
- 2009-12-11 RU RU2011131877/08A patent/RU2011131877A/ru unknown
- 2009-12-11 SG SG2011040276A patent/SG171921A1/en unknown
- 2009-12-11 CA CA2750160A patent/CA2750160A1/en not_active Abandoned
- 2009-12-11 BR BRPI0922251A patent/BRPI0922251A2/pt not_active Application Discontinuation
- 2009-12-11 EP EP09839461A patent/EP2382578A1/en not_active Withdrawn
- 2009-12-11 CN CN200980155948.1A patent/CN102301373B/zh active Active
-
2011
- 2011-06-02 IL IL213308A patent/IL213308A0/en unknown
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006146743A (ja) * | 2004-11-24 | 2006-06-08 | Hitachi Ltd | コンテンツフィルタリング方法 |
| US20080155647A1 (en) * | 2006-11-28 | 2008-06-26 | Toui Miyawaki | Access control system |
| US20080189788A1 (en) * | 2007-02-06 | 2008-08-07 | Microsoft Corporation | Dynamic risk management |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160030385A (ko) * | 2013-07-05 | 2016-03-17 | 비트데펜더 아이피알 매니지먼트 엘티디 | 가상 머신에서 멀웨어 탐지를 위한 프로세스 평가 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2750160A1 (en) | 2010-08-05 |
| JP2012516502A (ja) | 2012-07-19 |
| US20100192196A1 (en) | 2010-07-29 |
| AU2009338687A1 (en) | 2011-07-21 |
| US8561182B2 (en) | 2013-10-15 |
| CN102301373B (zh) | 2013-06-26 |
| RU2011131877A (ru) | 2013-04-10 |
| KR101669694B1 (ko) | 2016-10-26 |
| BRPI0922251A2 (pt) | 2015-12-29 |
| CN102301373A (zh) | 2011-12-28 |
| SG171921A1 (en) | 2011-07-28 |
| EP2382578A1 (en) | 2011-11-02 |
| WO2010087904A1 (en) | 2010-08-05 |
| IL213308A0 (en) | 2011-07-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101669694B1 (ko) | 네트워크 자원들에 대한 건강 기반 액세스 | |
| US11134058B1 (en) | Network traffic inspection | |
| US10958662B1 (en) | Access proxy platform | |
| US20230216869A1 (en) | Method and system for detecting restricted content associated with retrieved content | |
| US11843577B2 (en) | Fingerprinting to identify devices and applications for use in management and policy in the cloud | |
| US8763071B2 (en) | Systems and methods for mobile application security classification and enforcement | |
| US8065712B1 (en) | Methods and devices for qualifying a client machine to access a network | |
| US11457040B1 (en) | Reverse TCP/IP stack | |
| US8146137B2 (en) | Dynamic internet address assignment based on user identity and policy compliance | |
| EP3298527A1 (en) | Secured access control to cloud-based applications | |
| JP2024515214A (ja) | サイバーセキュリティシステム | |
| US11863586B1 (en) | Inline package name based supply chain attack detection and prevention | |
| US11770361B1 (en) | Cobalt strike beacon HTTP C2 heuristic detection | |
| US20240039952A1 (en) | Cobalt strike beacon https c2 heuristic detection | |
| US20240039951A1 (en) | Probing for cobalt strike teamserver detection | |
| WO2024049702A1 (en) | Inline package name based supply chain attack detection and prevention | |
| WO2024025705A1 (en) | Cobalt strike beacon http c2 heuristic detection |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| N231 | Notification of change of applicant | ||
| E902 | Notification of reason for refusal | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant |