KR20150006042A - 동적 인증을 기반으로 하여 모바일 보안을 제공하는 시스템 및 방법 - Google Patents

Abstract

타깃 주제들(장치들, 트랜잭션들, 서비스들, 사용자들, 편성들)을 지니는 기능화된 네트워크들, 기계들 및 플랫폼들이 개시되어 있다. 보안 편성 서비스는 상기 기능화된 타깃 플랫폼상의 애플리케이션들 및 (모바일 장치들을 포함하는) 주제의 런타임에 가깝게 위협 또는 콘텍스트 관련 신뢰도 레벨을 표현 및 식별하는 런타임 운영 무결성 프로파일들을 생성한다. 주제 평판 스코어들에 기반하여 모바일 장치의 동적 인증을 위한 방법들 및 시스템들이 개시되어 있다. 한 실시예에서는, 한 방법은 모바일 장치와 관련된 사용자들에 대한 평판 스코어들 및/또는 장치 평판 스코어에 기반하여 모바일 장치의 신뢰도를 스코어화한다. 상기 방법은 상기 장치 상에서 실행하는 애플리케이tus들에 대한 실행 이상(execution anomaly)들에 대한 런타임 무결성 경계들을 생성하고, 룰 세트에 기반하여 위험도들을 계산한다. 상기 방법은 무결성 경고들의 데이터 및 콘텐츠를 포함하는 엔드포인트 이벤트들을 신뢰 편성기에 송신하며, 상기 신뢰 편성기는 상기 엔드포인트 이벤트들을 기반으로 하여 무결성 프로파일을 생성한다.

Description

동적 인증을 기반으로 하여 모바일 보안을 제공하는 시스템 및 방법{Systems and methods for providing mobile security based on dynamic attestation}

관련 출원들에 대한 전후 참조

본원은 발명의 명칭이 "운영 무결성 인증을 위한 시스템 및 방법(System and Method for Operational Integrity Attestation)"이며 2012년 5월 1일자 출원된 미국 임시출원 제61/641,007호; 발명의 명칭이 "동적 인증을 기반으로 하여 모바일 보안을 제공하는 시스템 및 방법(Systems and Methods for Providing Mobile Security Based on Dynamic Attestation)"이며 2012년 7월 27일자 출원된 미국 출원 제13/559,665호; 발명의 명칭이 "네트워크 서비스 및 트랜잭션의 평판 스코어를 사용하여 컴퓨터 시스템 및 플랫폼에 대한 보안 리스크를 계산하는 시스템 및 방법(Systems and Methods for Using Reputation Scores in Network Services and Transactions to Calculate Security Risks to Computer Systems and Platforms)"이며 2012년 7월 27일자 출원된 미국 출원 제13/559,692호; 발명의 명칭이 "리스크 상관을 기반으로 하는 네트워크 흐름 치료를 위한 시스템 및 방법(Systems and Methods for Network Flow Remediation Based on Risk Correlation)"이며 2012년 7월 27일자 출원된 미국 출원 제13/559,732호; 발명의 명칭이 런타임 운영 무결성을 편성하는 시스템 및 방법(Systems and Methods for Orchestrating Runtime Operational Integrity)"이며 2012년 7월 27일자 출원된 미국 출원 제13/559,707호; 및 발명의 명칭이 "위협 식별 및 치료를 위한 시스템 및 방법(Systems and Methods for Threat Identification and Remediation)"이며 2012년 7월 27일자 출원된 미국 출원 제13/559,766호를 기초로 하여 우선권을 주장한 것이며, 상기 출원들 전부가 본원 명세서에 참조 병합되는 것이다.

기술분야

본 개시내용은 데이터 센터 가상화 분야에 관한 것이며, 좀더 구체적으로 기술하면, 런타임에서 애플리케이션 보안 및 사용자 평판의 동적 운영 무결성 인증을 제공하는 시스템 및 방법에 관한 것이다.

컴퓨팅의 최근 추세는 예를 들면 기업 소프트웨어가 고객에 의해 더 이상 소유되지 않고 그 대신에 기업 '정보 기술(Information Technology; IT)' 기반구조가 제3자에 의해 제공될 수 있고 기업 소프트웨어 애플리케이션들이 서비스 제공들로서 판매되는 가상화 및 클라우드 컴퓨팅으로 나아가는 추세이다.

전통적인 레거시 및 차세대 안티-바이러스 소프트웨어, 네트워크 펌웨어들, 및 침입 탐지/방지 시스템들과 같은 현재 이용가능한 보안 기술들은 위협들 및 공격들을 모니터링하도록 샌드박스에서의 서명들, 프로토콜 이상(protocol anomaly)들, 또는 가상 실행을 기반으로 하여 작동한다. 그러나, 일단 공격 또는 위협의 타깃(다시 말하면, '타깃 시스템' 또는 타깃 플랫폼')이 감염되거나 손상되면, 이러한 기술들 대부분은 시스템들을 보호하고 데이터 유출들 또는 서비스 중단들을 방지하는데 비교적 효과가 없는 것으로 입증되었다. 부상되고 있는 위협들 및 공격들은 느리고 낮은 운영 모드를 나타내고 기존의 검출 및 방어 기술들을 회피하도록 서명이 없을 수 있다. 더욱이, 이러한 기법들은 종종 타깃(피해자) 시스템들 상의 컴퓨터 워크로드들의 런타임 운영 무결성에 대해 불가지(不可知)한 것들이다. 이 때문에, 대부분의 기존의 보안 기법은 단지 단순한 허용 또는 거부 결정 로직으로 제한된 크게 나눔(coarse-grained) 액세스 제어들을 제공할 뿐이다.

대부분의 기업 및 편성은 이들의 IT 기반구조들을 클라우드 컴퓨팅 환경들로(자체 관리 온-프레미스(on-premise) 데이터 센터들로부터 서비스-제공자에 의해 관리되는 아웃소싱된 가상 데이터 센터들로) 이동시키고 있는데, 여기서 이러한 제3자들이 공유된 컴퓨팅 자원들 및 그 자원들 상에서 실행하는 애플리케이션들을 제공할 수 있다. 상기 공유된 컴퓨팅 자원들 및 그 자원들 상에서 실행하는 애플리케이션들은 복수의 고객들에게 서비스들로서 제공되고 있다. 클라우드 컴퓨팅 환경들로의 회사들에 의한 이동은 특히 증가된 컴퓨팅 전력에 대한 요구, 증가된 저장 용량, 및/또는 증가된 네트워크 대역폭을 포함하는, 여러 가지의 이유로 증가하고 있다. 기업 애플리케이션들 및 미션 크리티컬(mission critical) 애플리케이션들은 상기 클라우드에서 실행될 수 있다. 적절한 장치, 시스템, 및 애플리케이션 보안이 없는 경우에, 상기 클라우드는 이러한 애플리케이션들을 손상시킬 수 있고, 잠재적으로는 큰 경제적 손실을 초래할 수 있다. 데이터 기밀성, 데이터 무결성 및 데이터 가용성은 비록 그러한 애플리케이션들이 이러한 제3자들에 의해 제어될 수 있는 경우라도 클라우드 컴퓨팅 환경에서 유지될 수 있다. 상기 클라우드는 기존의 정보 기술 장치들, 시스템들 및 애플리케이션들이 이러한 서비스 제공자들에 의해 관리되는 아웃소싱된 가상 데이터 센터들로부터 투명하게 실행하는 것을 가능하게 할 수 있다. 새로운 기술들이 부상됨에 따라, 클라우드 기반구조는 기업 운영들에 투명하게 그리고 기업 운영들과 확장가능하게 진화될 수 있다. 그러한 환경들에서의 보안은 부상되고 있는 문제일 수 있다. 예를 들면, 가상화된 클라우드 컴퓨팅 온-디맨드, 및 탄성 모델들은 기존의 보안 접근방법들 및 기술들이 없는 장치 및 네트워크 레벨 양자 모드에서의 동적 보안 편성을 필요로 한다.

현재 보안 제어들에 있어서의 치료 제어들의 부재(不在)에 관련된 중요한 메트릭은 위협들의 검출에 있어서의 오 양성(吳 陽性; false positive)들 및 오 음성(吳 陰性; false negative)들의 비율이 높다는 것이다. 오 양성들은 비-생산적이며 데이터 센터의 운영 능력을 감소시킨다. 오 음성들은 보안 제어들의 우회 및 타깃 시스템들 및 서비스들의 손상으로 이끈다. 보안 제어에 대한 기존의 서명 기반 접근법들은 타깃되는 시스템들에 계획된 즉석 공격(improvised attack)들에 취약하다.

기업 및 클라우드 컴퓨팅 생태계들에서의 애플리케이션들(비즈니스, 소셜 네트워킹 및 게임 소프트웨어)의 급증으로 공격 면(attack surface ) 및 노출의 창이 상당히 증가하게 되었다. 애플리케이션 런타임 운영 무결성은 장치로부터 서비스로의 종단 간의 신뢰 구축에 중요한 요소이다. 기업 네트워크 환경들에서의 모바일 컴퓨팅 장치들(즉, 태블릿들 및 스마트폰들) 및 BYOD(Bring Your Own Device) 폴리시들과 같은 관리되지 않는 장치들의 급증으로 진보한 협조된(coordinated) 위협들의 위험도가 증가하게 되었다.

현재 지배적인 보안 패러다임은 하드 에지(hard edge) 및 소프트 코어(soft core) 아키텍처에 기반을 두고 있다. 네트워크 방화벽들 및 침입 검출/방지 시스템들과 같은 보안 어플라이언스(Security appliance)들은 하드 에지(주변)에 배치되어 있다. 안티바이러스 및 네트워크 기반 무결성 측정 및 검증 서비스들은 주요 비즈니스 시스템들, 서비스들 및 고가의 데이터 사일로(data silo)들을 포함하는 소프트-코어를 스캔 및 감사(audit)한다. 일단 상기 에지에 구멍이 생기게 되면, 방어 방법들은 취약하거나 손상된 시스템들을 보호하는데 그다지 효과가 없다. 이러한 패러다임에서는, 하드 에지가 일반적으로 소프트 코어의 런타임 운영 무결성을 제공하는 레벨을 제공하지 못한다.

(파일 해시 다이제스트들 및/또는 구성에 기반하여 이루어지는) 광범위한 애플리케이션 화이트리스트들/블랙리스트들, 인터넷 프로토콜(Internet Protocol; IP) 주소 평판 목록들, 서명들, 프로토콜 이상(protocol anomaly)들 및 샌드박스에서의 가상 실행에 대한 지나친 의존으로 타깃되고 협조된 공격들에 대해 상기 갭들을 이용하는 꼼꼼하게 설계된 회피 방법들을 조종할 수 있을 정도의 큰 계획 면이 제공된다. 침입 방법에 관계없이, 피해자 기계 또는 환경에 대한 노출의 창 동안 사후 감염 행위들은 은폐하기 어렵지만, 회피 기법들을 통한 보안 관리자들 및 가상 실행(샌드박스) 환경들에 의한 적시 검출 및 진단으로부터 모호해질 수 있다. 여러 대표적인 실시예들은 수동 및/또는 자동 개입을 위한 법의학적 신뢰도 및 감염 요약들을 가진 위협 식별 및 진단을 위한 조기 경고 시스템을 포함한다.

현재 신원 관리(identity management; IdM) 접근법들은 트랜잭션 또는 비즈니스 프로세스에서 보안 토큰의 사용을 위한 사용자들의 도메인 레벨 인증에 목적을 두고 있는 것이 전형적인데, 여기서 상기 토큰의 발행은 사용자의 평판이 아니고 크레덴션(credential)들의 소지에 대한 증명에 기반하여 엄격히 이루어진다. 업계에서 신원 도용 또는 권한 위임을 목적으로 크레덴션들을 도용할 의도가 있는 악의적인 사용자들로부터 보호 수준을 높이기 위한 다원적인 인증 기술들이 채용되었지만, 이러한 보안 제어들은 프로비전된 자격들(다시 말하면 사용자 계정 권한들 및 역할들)과는 관계없이 인증된 사용자의 위험도 자세의 속성을 포함시키기 위한 수단을 제공하지 못한다. 따라서, 기존의 보안 제어들은 사용자에 대한 위치 및 장치에 불가지한 글로벌 위협 인텔리전스의 상관에 기반하여, 액세스 폴리시의 구성요소로서 사용자의 위험도 자세의 완전한 뷰를 포함하지 못한다. 따라서, (장치, 애플리케이션, 또는 사용자와 같은) 주제의 위험도 자세를 고려하는 런타임에서 사용자의 평판 및 애플리케이션 보안의 동적 운영 무결성 인증을 제공함으로써 애플리케이션들의 런타임 운영 무결성 모니터링을 위한 시스템들 및 방법들이 필요하다. 또한, 운영 체계(operating system; OS) 벤더 애플리케이션 프로그래밍 인터페이스(application programming interface; API)들을 레버리징(leveraging)하는 보안 벤더들에 의해 운영 체계(OS) 커널 내에 '훅(hook)들'을 필요로 하지 않고 비-침입 플랫폼 기능화부를 사용하여 서명이 없는 이상 행위 인식을 통한 위협 식별인 사후 감염 진단들을 수행하는 시스템들 및 방법들이 필요하다.

부상되고 있는 클라우드 기반 애플리케이션-호스팅 모델은 보다 높은 장치 및 사용자 보안 자세 레벨을 필요로 한다. 위협들은 외부 및 내부 사용자 양자 모두에 의해 제기될 수 있고, 그러므로 인증 사용자가 신뢰할 수 있는 운영자인지를 결정하기가 어렵게 된다. 애플리케이션 및 네트워크 계층 권한들은 본질적으로 크게 정적이다. 역할 기반 액세스 제어(role based access control; RBAC) 시스템들이 동적 폴리시들을 제공하도록 배치되어 있지만, 역할 기반 액세스 제어 시스템들은 트랜잭션에서의 사용자의 문맥에서 임의 형태의 외부 위협 인텔리전스에 기반을 두고 있지 않다.

웹 및 기업 애플리케이션들을 위한 신원 연계(Identity Federation) 및 싱글 사인 온(Single Sign On; SSO)에 가능하게 하도록 의도된 보안 토큰 서비스(Security Token Service; STS)에 의한 신원들의 토큰화는 인증된 사용자가 입도 콘텍스트(granular context) 없이 암시적으로 액세스할 수 있는 자원들의 범위를 확장함으로써 단지 위협 벡터들을 악화시켰을 뿐이다. 방화벽들 및 침입 방지 시스템들과 같은 기존의 보안 제어들에 의해 제공된 크게 나눔 액세스 폴리시들과 함께, 이는 엄격한 업무의 분리(Separation of Duties; SoD) 및 최소 권한의 원칙(Principle of Least Privilege; PoLP) 강제의 부재로 오늘날 대부분의 사용자들(및 그룹들)에게 자동으로 부여된 과도한 권한들을 레버리징하는 악의적인 사용자들에 의한 애플리케이션 익스프로잇(application exploit)들에 대한 공격 면을 증가시킨다.

몇몇 연구들에 의해, 기업들 및 소비자들에 대한 기밀 정보의 절도, 지적 재산권 또는 재정적 손실들의 결과를 초래하는 악의적인 활동들과 관련된 가장 큰 위험이 외부자 또는 중간자 공격들보다는 오히려 내부자로부터 생긴다는 결정적인 증거가 발견되었다. 위협 검사 시스템들은 대개 상대방 또는 운영자(다시 말하면, 사용자)보다는 오히려 수단들 및 방법들에 집중되었다. 트랜잭션 또는 비즈니스 프로세스에서는 액세스 폴리시 결정 로직과의 통합을 위한 실시간 무결성 메트릭으로서 사용자의 평판 스코어에 주안점을 두지 않았다. 따라서, 익스플로잇들 및 데이터 유출들의 선제적 예방을 위한 징벌적 또는 교정적 개입 방법으로서의 역할을 수행할 수 있는 사용자 평판 스코어를 채용하는 시스템들 및 방법들이 부가적으로 필요하다.

신뢰할 수 있는 컴퓨팅의 한가지 목적은 타깃 시스템에 대한 신뢰성 있는 지식을 자원 소유자 또는 서비스 제공자에게 제공하는 것이다. 현재 인증 시스템들은 컴퓨터 시스템들에 대한 신뢰성 있는 증거의 스테이트먼트(statement)들이 다른 컴퓨터들을 포함하는 원격 당사자들에게 전달되는 것을 허용하는 그러한 컴퓨터 시스템들의 구성요소들이다. 시스템(다시 말하면, 평가되는 타깃 시스템)의 구성요소들의 신원 및 무결성의 평가를 통해, 상기 타깃 시스템이 정의된 부정행위 클래스들에 개입하지 않게 된다는 증거가 만들어진다. 시스템에 액세스하는 사용자들 및 시스템 상에서 실행하는 애플리케이션들의 요구들이 선험적으로 알려져 있지 않을 수 있는 것이 일반적이기 때문에, 인증 시스템들 및 측정 시스템들은 둘 다 기본적인 수집 및 보고 메커니즘에서 프라이버시, 측정의 완전성, 및 신뢰성을 제공하도록 유연해야 한다.

기존의 인증 시스템들은 종종 좁은 범위에 초점이 맞춰져 있으며 일반적으로는 하드웨어 및 애플리케이션들과 같은 시스템 구성요소들에 국한되므로 좀더 일반적인 인증 문제들을 동적으로 해결하는 유연성이 없는 것이 전형적인 특정의 사용 사례들에 목적을 두고 있다. 더욱이, 기존의 인증 정의들은 주로 특정의 사용 사례들에 바람직한 특정하고 좁고 특별한 속성들을 기술하는데 초점을 맞춘 것들이다. 그 외에도, 현재 인증 시스템들은 관심 있는 시스템들의 사용자들 또는 운영자들의 평판들을 고려하지 않고 관심 있는 하나의 특정 시스템을 타깃으로 하는 하나의 특정한 측정 시스템과 함께 작동하도록 만들어져 있다.

따라서, 본 발명자들이 필요한 것으로 인식했던 점은 반드시 획일적이지 않은 시스템들의 신뢰도 레벨을 결정하도록 위험도의 계산을 수행하며 다양한 하드웨어 및 소프트웨어 플랫폼들로 구성될 수 있고 가지각색의 크레덴셜들 및 평판들을 가진 사용자들에 의해 액세스될 수 있는 기술 기반 인증 아키텍처들, 시스템들, 및 방법들이다. 따라서, 본 발명자들이 필요한 것으로 인식했던 점은 타깃되는 시스템들에 액세스하는 사용자들의 평판을 고려하는 것을 포함하는, 가지각색의 인증 개념들을 수용하기에 충분할 정도로 유연할 수 있는 인증 아키텍처들, 시스템들, 및 방법들이다. 본 발명자들이 또한 필요한 것으로 보았던 점은 복잡한 인증 시나리오들을 동적으로 핸들링하고 현재 달성할 수 있는 것보다 더 완전한 런타임 인증을 제공할 수 있는 인증 시스템들 및 아키텍처들이다. 본 발명자들이 필요한 것으로 보았던 점은 증거 기반 자동화된 애플리케이션 바이너리 분석을 수행하는 방법들 및 시스템들이다.

하나 이상의 시스템들을 지속적으로 모니터링하고 그리고/또는 복수의 어서션(assertion)들(또는 스테이트먼트(statement)들)을 사용하거나 복수의 어서션들(또는 스테이트먼트들)에 기반하여 런타임에서 기능화된 타깃 플랫폼상의 시스템들의 이벤트들 및 행위를 상관시키는 대표적인 방법들 및 시스템들이 개시되어 있다.

대표적인 실시예들에서, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 맬웨어가 엔드포인트 장치에서 일련의 양성 작용들을 통해 동작할 수 있는 경우에 정찰 기반 인텔리전스 상관 및 진보한 낮고 느린 공격들의 위협 수명 주기 모델에 기반하는 감염 진단을 수행한다.

다른 대표적인 실시예들에서, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 복수의 위협 벡터들에 기반하여 시스템들의 운영 무결성 메트릭들을 디스플레이할 수 있도록 런타임 대시보드를 가진 클라우드 컴퓨팅 환경에서 가시화, 제어, 및/또는 컴플라이언스(compliance)를 가능하게 하는 복수의 서비스들을 포함한다.

또 다른 대표적인 실시예들에서, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 예를 들면 네트워크 패킷들의 캡슐 헤더(encapsulation header)들과 관련된 토폴로지 기반 좌표들 대신에 무결성 및 콘텍스트 인식 비즈니스 로직에 기반하여 프로비전되는 보안 제어들, 및/또는 장치 무결성의 동적 인증에 기반하여 이루어지는 장치-네트워크 흐름들을 확립한다.

애플리케이션 무결성의 동적 인증에 대한 대표적인 시스템들 및 방법들은 발명의 명칭이 "애플리케이션 인증 시스템 및 방법(System and Method for Application Attestation)이며 2012년 2월 16일자 출원된 미국 정식 특허출원 제13/399,065호, 및 발명의 명칭이 "애플리케이션 인증 시스템 및 방법(System and Method for Application Attestation)이며 2011년 2월 17일자 출원된 미국 임시 특허출원 제61/443,854호에 기재되어 있고, 상기 출원들 전부가 본원 명세서에 참조 병합되는 것이다.

대표적인 실시예들에 의하면, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 장치들의 동적 인증에 기반하여 이루어지는 인증 단계 동안 확립된 접속에서의 사용자-애플리케이션 트랜잭션들 및/또는 데이터 교환을 인증한다.

대표적인 추가 실시예들에 의하면, 방버들, 장치들, 시스템들, 및 컴퓨터 판독가능 매체들은 네트워크 및 엔드포인트 센서들로부터의 복수의 감각적 입력들에 기반하여 위험도의 계산을 결정해 네트워크 활동, 시스템 구성, 자원 이용 및 애플리케이션 무결성을 상관시킨다.

한 대표적인 실시예에 의하면, 상기 네트워크 및 엔드포인트 센서들은 계층화된(tiered) 경계들을 생성하도록 하는 룰 세트들에 기반하여 베이스라인으로부터 행위의 이상 일탈(anomalous deviation)들을 검출하고 그리고/또는 런타임 운영 무결성을 측정하도록 구성될 수 있다.

대표적인 실시예들에 의하면, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 경계들을 수신하고, 위험도들을 계산하며 그리고 경고들을 생성하도록 구성된 이벤트 및 행위 상관 엔진을 포함한다.

대표적인 다른 실시예들에서, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 위험도의 계산에 기반하여 일탈되거나, 취약하거나, 구속되거나, 또는 손상된 시스템들)을 치료한다.

또 다른 대표적인 실시예들에 의하면, 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들은 (1) 취약, 구성, 컴플라이언스, 및 패치 스캔 서비스들로부터 스캔 보고들을 수신하도록 구성된 상관 엔진; (2) 요소들을 분석하는데 사용되는 스캔 보고들의 요소들을 저장하도록 구성된 위험도 상관 매트릭스; 및 (3) 시스템의 무결성 프로파일을 생성하도록 구성된 모듈;을 포함한다.

현재 개시된 대표적인 기술적 해결수단들은 또한 (1) 다수의 서술 스코어(predicate score)들에 기반하여 시간적 시스템 이벤트들을 상관시키는 이벤트 상관 로직; (2) 속성에 대하여 사전에 정해진 값 제약(또는 메트릭, 다시 말하면 속성 제약)으로부터의 일탈에 기반하여 서술 스코어를 결정하는 로직; (3) 상기 일탈에 반비례하는 스코어를 계산하는 로직; (4) 필요한 측정 빈도를 이루는데 필요한 샘플 레이트를 결정하는 로직; (5) 연속 일탈의 재현을 결정하는 로직; (6) 상기 속성 제약에 대한 가중치를 식별하는 로직; (7) 서술 스코어들의 가중 평균으로서 상기 시스템 또는 프로세스(또는 애플리케이션)에 대한 무결성 신뢰도를 결정하는 로직; 및 (8) (시스템들 또는 프로세스들을 통한) 예외들로서 이상치(outlier)들을 식별 및 결정하는 로직;을 포함하는 방법들, 장치들, 시스템들 및 컴퓨터 판독가능 매체들로서 구체화될 수 있다.

본원 명세서에 개시되는 대표적인 방법들, 장치들, 아키텍처들, 시스템들 및 컴퓨터 판독가능 매체들은 또한,

(1) 정적 이미지 분석(다시 말하면, 바이너리 파일들, 중간 코드, 및/또는 스크립트들의 정적 분석);

(2) 프로세스, 플랫폼 및 네트워크 모니터들을 통한 동적 이미지(바이너리, 중간 코드, 또는 스크립트) 분석;

(3) 회피 기법들(다수의 패킹, 난독화된 애플리케이션 프로그래밍 인터페이스(application programming interface; API)들, 안티-디버깅, 안티-메모리, 안티-트레이싱, 가상 기계 모니터/관리자(virtual machine monitor/manager; VMM) 또는 하이퍼바이저/에뮬레이터 검출 )을 위한 맬웨어 분석;

(4) 고유 기계 기능화부, 레지스트리, 및 파일 시스템 모니터들을 통해 수집되는 성능 메트릭들의 동적 시스템 분석; 및

(5) 강화된 무결성 측정 및 검증 검사 및 스캔 보고들을 통한 시간적 시스템 분석;

을 포함하지만 이들에 국한되지 않는 위협 식별 카테고리들을 사용할 수 있다.

현재 개시된 대표적인 기술적 해결수단들은 (1) 시스템(또는 플랫폼) 서술 스코어들의 가중 평균; (2) 시스템(또는 플랫폼) 이상치들; (3) 프로세스(또는 애플리케이션 패키지) 서술 스코어들의 가중 평균; (4) 프로세스 이상치들;을 포함하는 무결성 신뢰도 측정을 위한 방법, 장치 및/또는 시스템으로서 구체화될 수 있다.

현재 개시된 대표적인 기술적 해결수단들은 또한 (1) 복수의 사용자들의 작용들에 의해 모델화된 위협 벡터들; (2) 액세스된 대상(자원) 속성, 주제 역할들, 글로벌 고유 주체 식별자들, 보안 정보 및 이벤트 관리 분석, 및 지오-로케이션(geo-location) 서비스들 중의 하나 이상에 기반하여 복수의 사용자들에 대한 사용자 평판 스코어들을 생성하는 방법들, 장치들, 아키텍처들, 시스템들 및 컴퓨터 판독가능 매체들로서 구체화될 수 있다.

현재 개시된 대표적인 기술적 해결수단들은 청구된 발명이 국한되지 않는 첨부도면들과 연관지어 들여다 볼 때 이하의 구체적인 내용으로부터 가장 잘 이해될 것이다. 통상의 실시에 따라, 첨부도면들의 여러 특징/요소는 일정 비율로 도시되어 있지 않을 수 있다. 공통 참조부호들은 동일 특징들/요소들을 나타낸다. 이하의 도면들이 첨부도면들에 포함되어 있다.

도 1은 본 개시내용에 따른, 애플리케이션 보안 및 사용자 평판의 운영 무결성 인증을 제공하는 대표적인 실시예의 아키텍처를 보여주는 도면이다.
도 2는 본 개시내용에 따른, 엔트포인트 및 네트워크 활동 상관에 대한 대표적인 시스템을 개략적으로 보여주는 도면이다.
도 3a는 본 개시내용의 한 대표적인 실시예에 따른, 모니터링, 편성 및 치료를 통해 조기 경고 및 응답 자동화가 수행되는 단계들을 보여주는 플로차트이다.
도 3b는 본 개시내용의 한 대표적인 실시예에 따른, 시스템간 위험도 검사 및 치료를 위한 데이터 흐름도이다.
도 4는 본 개시내용의 한 대표적인 실시예에 따른, 네트워크 엔트포인트 평가들을 강화 및 정규화함으로써 인증 시스템을 구성하는 데이터 흐름도이다.
도 5는 본 개시내용의 한 대표적인 실시예에 따른, 애플리케이션 운영 무결성을 측정 및 평가하는 시스템의 구성요소들 간의 통신들을 예시하는 도면이다.
도 6은 본 개시내용의 한 대표적인 실시예에 따른 네트워크 엔드포인트 위험도를 계측 및 측정하는 데이터 흐름들을 보여주는 블록도이다.
도 7a는 본 개시내용에서 보인 시스템들 및 방법들에 의해 모니터링될 수 있는 대표적인 엔드포인트 이벤트들을 보여주는 도면이다.
도 7b는 본 개시내용에서 보인 시스템들 및 방법들에 의해 생성될 수 있는 대표적인 엔드포인트 경계들을 보여주는 도면이다.
도 7c는 본 개시내용의 한 대표적인 실시예에 따른, 엔드포인트 경계들을 상관시키고 엔드포인트 경고들을 생성하는 방법을 예시하는 블록도이다.
도 8은 본 개시내용의 한 대표적인 실시예에 따른, 시스템의 운영 무결성을 결정하는 복수 개의 이벤트들을 상관시키는 신뢰 편성 아키텍처의 블록도이다.
도 9는 본 개시내용의 한 대표적인 실시예에 따른, 사용자의 평판을 결정하는 복수 개의 신원, 재고 및 로그 관리 시스템들을 강화 및 상관시키는 시스템의 블록도이다.
도 10은 본 개시내용의 한 대표적인 실시예에 따른, 위험도의 계산을 결정하는 시스템의 블록도이다.
도 11은 본 개시내용의 한 대표적인 실시예에 따른, 위험도의 계산에 기반하여 주제 평판 스코어들을 생성하는 시스템의 블록도이다.
도 12는 본 개시내용의 한 대표적인 실시예에 따른, 위험도 계산에 기반한 네트워크 흐름 치료를 위한 시스템의 블록도이다.
도 13은 본 개시내용의 한 대표적인 실시예에 따른, 위험도의 계산에 기반하여 모바일 장치들 및 무선 네트워크 흐름들을 치료함으로써 모바일 보안을 제공하는 시스템을 보여주는 블록도이다.
도 14 - 도 18은 여러 대표적인 실시예에 따른, 런타임 운영 무결성, 시스템 구성, 자원, 애플리케이션 무결성, 및 네트워크 활동에 대한 대시보드들을 포함하는 한 대표적인 신뢰 관리 콘솔을 위한 그래픽 사용자 인터페이스(graphical user interface; GUI)를 보여주는 도면들이다.
도 19 - 도 22는 현재 개시된 기술의 여러 대표적인 실시예에 따른, 위협 식별 및 치료, 네트워크 흐름 레벨 치료의 제공, 및 사용자 평판 서비스의 제공을 위한 방법들을 예시하는 플로차트들이다.
도 23은 본 개시내용의 한 실시예에 따른, 평판 스코어 시스템의 엔티티들 간의 관계들을 보여주는 엔티티-관계도(entity-relationship diagram; ERD)이다.
도 24는 본 개시내용의 한 실시예에 따른, 주제 평판 스코어의 계층적 표현을 보여주는 도면이다.
도 25는 본 개시내용의 한 대표적인 실시예에 따른, 고유 기계 기능화부에 이르기까지 확장하여 애플리케이션 이벤트들을 모니터링하는 아키텍처의 블록도이다.
도 26은 실시예들이 구현될 수 있는 한 대표적인 시스템을 보여주는 도면이다.

비록 본 발명이 특정한 대표적인 실시예들을 참조하여 본원 명세서에 도시되고 기재되어 있지만, 본 발명은 그러한 실시예들에 국한하는 것으로 의도된 것이 아니다. 오히려, 특허청구범위의 청구항들과 등가인 범위 및 한계 내에 있고 본 발명으로부터 일탈하지 않은 여러 변형예가 이루어질 수 있다. 본원 명세서에 기재되는 여러 특징, 속성 및 이점은 청구된 발명의 여러 실시예에 나타나 있을 수도 있고 청구된 발명의 여러 실시예에 나타나 있지 않을 수도 있다.

본원 명세서의 상세한 설명에서, "하나의 실시예", "한 실시예", "하나의 대표적인 실시예" 등등에 대한 참조는 본원 명세서의 상세한 설명에 기재되는 실시예가 특정한 기능, 구조, 또는 특징을 포함할 수 있지만, 모든 실시예가 반드시 그와 같은 특정한 기능, 구조, 또는 특징을 포함하지 않을 수 있음을 나타낸다. 더욱이, 그러한 문구들은 반드시 동일한 실시예를 언급하는 것이 아니다. 더 나아가, 특정한 기능, 구조, 또는 특징이 한 실시예와 연관지어 기재될 경우에는, 명시적으로 기재되어 있든 명시적으로 기재되어 있지 않든 간에 다른 실시예들과 연관지어 그러한 기능, 구조, 또는 특징에 영향을 주는 것이 당업계에 숙련된 자의 지식 내에 있는 것으로 한다.

특정한 대표적인 실시예들에서는, 베이스라인의 건전한 운영 상태로부터 취약한 또는 손상된 상태로의 행위 일탈들이 검출될 수 있으며, 상호접속 시스템들을 통한 위협의 부가적인 전파가 존재하기 전이나, 결과적으로 데이터 손실 또는 도난을 초래하는 정보의 누설이 존재하기 전에 감염이 식별될 수 있다.

기업 생태계에서의 관리되지 않는 스마트폰들 및 BYOD(Bring your own device) 구상들의 확산으로 진보한 맬웨어가 기존의 네트워크 및 엔드포인트 보안 제어들을 회피하고 표준 프로토콜들을 통해 접속된 시스템들에 전파할 수 있는 가능성이 높아졌다. 여러 대표적인 실시예는 감염된 장치들의 트랜잭션 및/또는 흐름 레벨 치료를 위해 복수 개의 감각적 입력들로부터의 위험도의 계산에 기반하여 온프레미스(on-premise) 또는 오프프레미스(off-premise) 서비스와의 트랜잭션에서 사용자 및/또는 장치의 운영 무결성을 결정하는 것을 포함한다.

이벤트들 및 활동들의 모니터링 및 동적 분석을 위한 네트워크

도 1은 이벤트들 및 네트워크 활동을 연속적으로 모니터링하고 동적으로 분석하여 모니터링되는 시스템(다시 말하면, 타깃 시스템)의 무결성을 알아내도록 구성된 한 대표적인 네트워크(100)의 아키텍처를 보여주는 도면이다.

도 1에 제공되어 있는 한 대표적인 실시예를 참조하면, 상기 네트워크(100)는 복수 개의 감각적 입력들을 사용하는 연속적인 모니터링(110)에 기반하여 위험도 상관(120)을 수행하도록 구성된 이벤트 및 행위 상관 엔진(130)을 포함한다. 도 1의 실시예에서는, 상기 감각적 입력들은 네트워크 활동(111); 시스템 구성(113); 자원 이용(115); 및 애플리케이션 무결성(117)을 포함하지만, 이들에 국한되지 않는다. 상기 네트워크(100)는 또한 시스템들의 운영 무결성의 가시화를 위해 실시간 상태 표시들(131)을 수신하도록 구성된 런타임 대시보드(150) 및 감염된 시스템들의 제어를 위해 실시간 지시들(132)을 수신하도록 구성된 치료 엔진(170)을 포함한다.

상기 이벤트 및 행위 상관 엔진(130)은 네트워크 활동 센서(111)로부터의 네트워크 이벤트들 및 감염 프로파일들(112), 시스템 구성 센서(113)에 의해 수행되는 스캔들의 무결성 측정 및 검증 보고들(114)을 수신하도록 구성된다. 한 실시예에 의하면, 상기 스캔들은 스케줄에 따라 상기 구성 센서(113)에 의해 수행된다. 여러 실시예들에서, 상기 스캔들은 매일마다, 매주마다, 격주마다, 달마다, 또는 필요에 따라 다른 시간 단위로 실행하도록 스케줄링될 수 있다.

도 1에 도시된 바와 같이, 상기 이벤트 및 행위 상관 엔진(130)은 또한 자원 이용 센서(115)로부터의 네트워크 및 저장소 자원 소비를 계산하는 엔드포인트 이벤트(116), 및 애플리케이션 무결성 센서(117)로부터의 이미지 프로파일들 및 국부 실행 콘텍스트(118)의 엔드포인트 이벤트들을 수신하도록 구성된다. 상기 시스템 구성 센서(113), 상기 자원 이용 센서(115), 상기 애플리케이션 무결성 센서(117), 및 상기 엔드포인트 이벤트들(116, 118)의 대표적인 구현예들은 도 4-7을 참조하여 이하에 설명될 것이다.

상기 치료 엔진(170)은 가상 기계(virtual machine; VM)(172) 상에서의 작용들(171), 네트워크 흐름 제어기(174) 상에서의 작용들(173), 또는 구성된 트리거 제어들에 기반하여 이루어지는 트랜잭션(176)을 통한 작용들(175)을 수행할 수 있다.

관련 분야(들)에서 숙련된 자들이라면 이해하겠지만, VM은 서버, 개인용 컴퓨터, 모바일 컴퓨팅 장치, 또는 운영 체계(operating system; OS)의 실행을 지원하고 OS가 실행하는 물리적 기계로서 애플리케이션들을 실행하는 다른 컴퓨팅 장치와 같은 기계의 소프트웨어 구현예이다. VM은 하드웨어 및 소프트웨어에서 구현되는 물리적 기계의 기능을 복제한 소프트웨어 구현예이다. 소프트웨어 애플리케이션들 및 VM 상에서 실행하는 OS는 상기 VMM에 의해 제공되는 자원들 및 추상물(abstraction)들에 국한된다. 가상 기계(VM)들은 전체적인 가상 기반구조 내에서 가시화될 수 있다. 관련 업계에서 숙련된 자들이라면 이해하겠지만, VMM 또는 슈퍼바이저들은 VMWARE^TM Player, MICROSOFT^TM VirtualPC, SUN^TM VirtualBox, VMWARE^TM ESX/ESXi, MICROSOFT^TM Hyper-V, CITRIX^TM XENServer, PARALLELS^TM 및 기타 등등과 같은 VMM 들일 수 있지만, 이들에 국한되지 않는다. 당업계에 숙련된 자에게는 자명하겠지만, 다른 하이퍼비저들 및 VM들/가상화 솔루션들이 또한 네트워크(100)에서 VM(1721)용으로 사용될 수 있다.

엔드포인트 및 네트워크 활동 상관을 위한 대표적인 시스템 및 방법

도 2는 엔드포인트 및 네트워크 활동 상관에 대한 한 대표적인 시스템(200)을 개략적으로 보여주는 도면이다. 특히, 도 2에 도시된 시스템(200)은 엔드포인트 이벤트들에 대한 입력들을 수신하고, 상기 이벤트들을 상관시키며, 경고들 및 보고들과 같지만 이들에 국한되지 않는 출력들을 생성하도록 구성되어 있다.

도 2에 도시된 바와 같이, 상기 대표적인 시스템(200)은 애플리케이션 무결성(211), 자원 이용(212), 및 시스템 구성(213) 중의 하나 이상에 관련된 엔드포인트 이벤트들을 검출하도록 구성된 복수 개의 센서들과 함께, 기능화된 시스템(210)으로부터 엔드포인트 경계들(230)을 수신하도록 구성된 엔드포인트 이벤트 상관 모듈(240)을 포함할 수 있다. 상기 시스템(200)은 또한 네트워크 활동 센서(220)로부터 네트워크 경계들(250)을 수신하도록 구성된 네트워크 활동 상관 모듈(260)을 포함한다.

도 2를 계속 참조하면, 상기 네트워크 활동 상관 모듈(260)은 상기 네트워크 활서 상관으로부터 초래되는 네트워크 경고들(270)을 생성하고 상기 네트워크 경고들(270)을 편성기(290)에 출력하도록 부가적으로 구성된다. 상기 편성기(290)는 네트워크 활동 상관 모듈(260)로부터 네트워크 경고들(270)을, 그리고 상기 엔드포인트 이벤트 상관 모듈(240)로부터 엔드포인트 경고들(280)을 수신하도록 구성된다. 도 2에 도시된 실시예들에 의하면, 상기 수신된 네트워크 경고들(270) 및 엔드포인트 경고들(280)은 감염된 시스템들 상에서의 수동 또는 자동 작용들을 조정하는데 편성기(290)에 의해 사용될 수 있다.

도 2를 계속 참조하면, 상기 편성기(290)는 마찬가지로 하나 이상의 추가적인 기능화된 시스템(예컨대, VM #N 참조)과 대응하는 복수 개의 센서들 및 엔드포인트 이벤트 상관 모듈에 의해 생성된 경고들을 수신할 수 있다.

도 2에 도시된 바와 같이, 상기 기능화된 시스템들은 다수의 가상 기계들(VM들, 다시 말하면, VM 1 ... VM #N)과, 애플리케이션 무결성(211), 자원 이용(212), 및 시스템 구성(213) 중의 하나 이상에 관련된 엔드포인트 이벤트들을 검출하도록 구성된 대응하는 복수 개의 센서들을 포함할 수 있다.

도 3a는 한 대표적인 방법에 따른, 모니터링, 편성 및 치료를 사용하여 조기 경고 및 응답 자동화가 수행되는 단계들을 보여주는 플로차트이다.

도 3a에 도시된 바와 같이, 한 대표적인 방법(300)은 시스템들의 런타임 무결성을 연속 모니터링하도록 구성된 조기 경고 시스템(301)으로부터의 통신들을 수신하는 단계를 포함한다. 이러한 연속 모니터링은 일탈되고, 취약하며, 구속되며, 손상된 시스템들(307)을 거의 실시간으로 결정 및 검출할 수 있게 한다.

상기 방법(300)은 기존의 보안 솔루션들에 내재하는 보안 구멍들이나 틈들을 메꾸도록 레거시 보안 기술들(305)과 연관지어 이루어질 수 있다. 도 3a에 도시된 바와 같이, 그러한 레거니 보안 기술들(305)은 안티-바이러스 소프트웨어, 네트워크 방화벽들, 및 침입 검출 시스템(intrusion detection system; IDS)/침임 방지 시스템(intrusion prevention system; IPS)을 포함할 수 있다. 상기 조기 경고 시스템(301) 및 상기 자동화 및 신속한 응답(303)과는 달리, 상기 레거시 보안 기술들(305)은 서명들의 사용, 위협들 및 공격들을 모니터링하기 위한 샌드박스에서의 프로토콜 이상들 또는 가상 실행의 검출에 국한된다. 도 3a에 도시된 바와 같이, 일단 공격 또는 위협(다시 말하면 '타깃 시스템' 또는 취약한 시스템(307)을 보호하고 데이터 유출들 또는 서비스 중단들을 방지하는데 효과적이지 않을 수 있다.

도 3a에는 레거시 보안 기술들(305)의 대표적인 제한들이 도시되어 있다. 예를 들면, 도 3a에 도시된 바와 같이, 액세스 제어 리스트(access control list; ACL)들을 사용하는 기존의 네트워크 방화벽 기술(305)은 매 위협마다 신뢰성 있게 봉쇄할 수 없다. 이는 전송 제어 프로토콜/인터넷 프로토콜(Transmission Control Protocol/Internet Protocol; TCP/IP)과 같은 웹 프로토콜들, 단순 메일 전송 프로토콜 (Simple Mail Transfer Protocol; SMTP) 및 포스트 오피스 프로토콜(Post Office Protocol; POP)와 같은 전자메일 프로토콜들, 및 파일 전송 프로토콜(File Transfer Protocol; FTP), 비밀 파일 전송 프로토콜(Secret File Transfer Protocol; SSH), 보안 FTP(Secure FTP; SFTP), 텔넷, 및 원격 데스크톱 프로토콜(Remote Desktop Protocol; RDP)과 같은 다른 프로토콜들을 위한 리스닝 포트들로서 사용되는 공지된 디폴트 오픈 포트들의 모니터링에 국한되는 것이 전형적이기 때문이다. 룰 세트들을 사용하는 IDS 및 IDP 기술들은 모든 제로-데이(zero-day) 서명/이상 공격을 검출할 수 없으며 폴스 네거티브(false negative)들에 관한 것으로 플랫폼들/시스템들이 백도어 공격들에 취약한 상태에 있게 되는 문제들을 지닌다.

상기 방법(300)은 또한 보안 감사 스캔들(security audit scans; 308) 및 적절한 위치에 있을 수 있는 수동 IT 프로세스를 추가할 수 있다. 예를 들면, 편성은 주기적으로(다시 말하면, 주마다 또는 격주마다) 보안 감사 스캔들을 실행할 수 있다. 그러한 보안 감사는 일탈되고 취약한 시스템들(307)을 식별하도록 일반적인 취약점 노출들에 대한 국립 표준 기술 연구소(National Institute of Standards and Technology; NIST)/보안 콘텐츠 자동화 프로토콜(Security Content Automation Protocol; SCAP)에 순응하는 검사들일 수 있다. 이러한 스캔들로부터 초래되는 결과들은 보안/컴플라이언스 리뷰 보드(security/compliance review board)들 및 티켓팅(다시 말하면, 일탈되고/취약한 시스템들(307)에 대한 '장애처리 티켓(trouble ticket)들'을 생성하기 위한 수동 IT 프로세스들의 일부로서 사용될 수 있다. 그러나, 도 3a에 도시된 바와 같이, 단지 주기적인 스캔들에 의해 트리거되는 이러한 수동처리들은 위협들에 반응하는데 수일 또는 수주 소요될 수 있음으로써, 타깃 시스템들이 긴 노출 창(long window of exposure)에 열려 있게 된다.

상기 방법(300)은 상기 레거시 기술들(305)을 통해 주기적인 감사 스캔들(308), 및 수동 IT 프로세스들(309)을 개선하고 감염된 시스템들(307)의 편성 및 치료를 위해 자동화되고 신속한 응답(303)을 수행함으로써 위에서 주지한 그들의 단점들을 보상한다. 한 실시예에서, 자동화되고 신속한 응답(303)은 (도시되지 않은) 모니터링 및 편성 시스템들에 의해 수행될 수 있다. 도 3의 예에서, 프로토콜(302)은 조기 경고 시스템(301) 및 모니터링 및 편성 시스템들 간의 데이터 교환을 위해 사용된다.

한 실시예에서, 상기 조기 경고 시스템(301)은 런타임 운영 무결성을 측정 및 평가하도록 기능화된 시스템들을 모니터링하여 시스템(307)이 일탈하였는지, 취약해졌는지, 구속되어 있는지, 아니면 손상되었는지를 결정한다. 이러한 결정이 이루어진 경우에는, 상기 시스템(307)은 상기 조기 경고 시스템에 의해 일탈된 시스템, 취약한 시스템, 구속된 시스템, 또는 손상/감염된 시스템 중의 하나 이상으로서 마킹된다. 그리고나서, 상기 조기 경고 시스템(301)은 상기 프로토콜(302)을 통해 상기 시스템(307)에 대한 경고들을 발할 수 있고, 그럼으로써 자동화되고 신속한 응답(303)이 모니터링 및 편성 시스템들에 의해 수행될 수 있게 한다.

도 3b는 대표적인 실시예들에 따른, 위험도의 계산을 결정하기 위한 한 대표적인 방법(310)을 개략적으로 보여주는 도면이다.

도 3b를 참조하면, 상기 대표적인 방법(310)은 무결성 측정 및 검증 스캔 상관(315), 네트워크 활동 상관(316) 및 엔드포인트 이벤트 상관(317)을 포함하는 기능화부(313)로부터 감각적 입력들(314)을 수신하는 데이터 센터 애플리케이션 및 데이터 사일로(data silo)들을 위한 위험도의 계산(320)을 결정 또는 수행할 수 있으며, 보안 편성(321)을 위한 무결성 메트릭들을 생성할 수 있고, 사용자 액세스 제어들(322)을 위해 에지 장치(323)(예를 들면 네트워크 방화벽)에, 세션 제어들(324)을 위해 로드 밸런서(load balancer; 325)에, 또는 흐름 제어들(326)을 위해 네트워크 패브릭 요소(327)(예를 들면, 스위치 또는 라우터)에, 지시들을 발송할 수 있다.

도 3b를 계속 참조하면, 상기 보안 편성(321)은 감염된 장치 또는 악성 사용가 보호되는 데이터 센터 또는 센터들에 액세스하는 것을 봉쇄하도록 하는 치료 또는 완화 수단으로서의 사용자 액세스 제어들(322), 감염된 시스템들로부터 사용자들을 우회시키거나 보호되는 시스템들로부터 감염된 장치들을 우회시키도록 하는 세션 제어들(324), 감염된 시스템들을 격리하거나, 보호되는 시스템들로부터 트래픽을 우회시키거나, 또는 공격자들로부터 순수, 높은 상호작용 또는 낮은 상호작용 허니팟들로 트래픽을 재지정하도록 하는 흐름 제어들(326)을 포함할 수 있다.

도 4는 인증 시스템을 구성하는데 사용되는 데이터 흐름을 예시한 도면이다. 특히, 도 4에는 한 대표적인 인증 시스템(400)에 대한 구성의 일부로서 네트워크 엔드포인트 검사들을 강화 및 정규화하기 위한 데이터 흐름이 도시되어 있다.

도 4를 참조하면, 상기 대표적인 인증 시스템(400)은 신뢰 편성기(430), 엔드포인트 검사 서비스들(401)에 의해 발행된 무결성 보고들(406)을 수신하도록 구성된 신뢰 브로커(407)를 포함한다.

신뢰 브로커 및 무결성 보고

도 4를 계속 참조하면, 상기 신뢰 브로커(407)는 엔드포인트 검사 서비스들(401)에 의해, 도 5를 참조하여 이하에서 기술되는 장치(560)와 같은 장치의 원격 관리되는 스캔을 기반으로 하여 상기 시스템의 구성 상태를 나타내는 감각적 데이터 피드들을 수신하도록 구성될 수 있다. 이러한 스캔들은 상기 시스템의 상태의 시간에서 스냅샷을 제공하며 상부에 애플리케이션들을 포함하는 상기 시스템의 런타임 측면들에 대하여 불가지(不可知)한 것들이다.

한 실시예에서는, 상기 감각적 데이터는 확장가능 마크업 언어(Extensible Markup Language; XML)와 같지만 이에 국한되지 않는 마크업 언어로 표현된다. 여러 실시예에서는, 상기 무결성 보고(406)가 플랫폼 레벨 입도(platform level granularity) 및 애플리케이션 레벨 입도(application level granularity)에서 제3자 엔드포인트 검사 서비스들에 의해 생성된다. 여러 실시예에 의하면, 상기 무결성 보고(406)는 (a) 프로그램 방식으로는 대응하는 애플리케이션 벤더들에 의해 제공되는 아웃바운드(outbound) 애플리케이션 프로그래밍 인터페이스(application programming interface; API)들을 통해, 또는 (b) 수동 방식으로 특정된 파일 포맷으로 이루어진 관리 콘솔 사용자 인터페이스(user interface; UI)의 대시보드를 통해, 상기 신뢰 브로커(407)에 의해 수신될 수 있다. 관리 콘솔 UI의 예들은 도 14-18을 참조하여 이하에서 논의될 것이다.

상기 신뢰 브로커(407)는 또한 수신된 무결성 보고들(406)을 파싱, 정규화, 및 대조하도록 구성될 수 있다. 여러 실시예에 의하면, 상기 파싱, 정규화, 및/또는 대조는 하나 이상의 대상 식별자들에 기반하여 이루어질 수 있다. 대표적인 대상 식별자들은 기계 호스트네임들, IP 주소들, 애플리케이션 네임들, 및 패킷 네임들을 포함할 수 있지만, 이들에 국한되지 않는다. 이러한 파싱, 정규화, 및 대조(총괄해서 말하면, 처리(processing))는 스캔 시간에 엔드포인트들(장치들)의 상태에 주석을 다는 시간적 이벤트들(409)을 생성한다. 상기 신뢰 브로커의 추가 실시예들은 도 5, 도 6 및 도 11을 참조하여 이하에서 설명될 것이다.

시간적 이벤트들

여러 실시예에 의하면, 상기 시간적 이벤트들(409)은 베이스라인 구성을 위해 확립된 기업 폴리시들에 기반하여 운영 매개변수들(예컨대, 취약성들, 컴플라이언스, 패치 레벨, 등등)에 대한 어서션(assertion)들로서 표현될 수 있다. 상기 신뢰 브로커(407)는 상기 신뢰 편성기(430)에 의한 상황 인식 및 위협 식별을 위해 엔드포인트 운영 상태 측정들을 집성하는 조정자(moderator )로서의 역할을 수행한다.

도 4를 계속 참조하면, 상기 시간적 이벤트들(409)은 (장치, 애플리케이션 및 패키지를 포함하는) 시스템의 구성 상태의 주석일 수 있으며 편성들에 의해 확립되는 표준들에 의하면 무결성 측정 및 검증에 기반하여 제3자 보안 벤더들에 의해 생성되는 바와 같은 신뢰 및 심각도 스코어들을 포함할 수 있다. 이러한 편성들은 NIST, MITRE 사, 및 미국 컴퓨터 비상 대응팀(United States Computer Emergency Readiness Team; US-CERT)을 포함할 수 있다. 상기 시간 이벤트들은 구성 정보 및 취약성, 구성, 패치 레벨 등등을 포함하는 시스템/기계 상태를 나타내는 시스템 세부를 전달하도록 오픈 취약점 및 검사 언어(Open Vulnerability and Assessment Language; OVAL)로 표현된 운영 매개변수들에 대한 어서션들일 수 있다. 변형적으로는, 상기 시스템 세부가 SCAP 프로토콜을 사용하여 전달될 수 있다. 여러 실시예에 의하면, 상태 표현은 심각도에 기반하여 구성, 취약성(노출), 컴플라이언스, 및 패치 레벨을 측정하도록 하는 스키마 속성들을 포함한다. 컴플라이언스는 시스템의 주변 구성요소 상호접속(Peripheral Component Interconnect; PCI) 버스에 부착된 장치들에 대한 확장가능 구성 검사목록 기술 포맷(Extensible Configuration Checklist Description Format; XCCDF) 검사목록들, 및 건강 보험 양도 및 책임에 관한 법(Health Insurance Portability and Accountability Act; HIPAA), 사베인-옥슬리법(Sarbanes-Oxley Act; SOX), 및/또는 그램-리치-블라일리법(Gramm-Leach-Bliley Act: GLBA)에 따른 데이터 보안/시스템 무결성 컴플라이언스를 사용하여 XCCDF에 대해 표기될 수 있다.

도 4를 계속 참조하면, 상기 인증 시스템(400)은 정규화기 및 대조기(408) 및 엔드포인트와 관련된 시간적 이벤트들(409)을 수신하고 위험도 상관 매트릭스(411)를 사용해 상관하여 엔드포인트를 위한 무결성 프로파일(420)을 생성하도록 구성된 시스템 이벤트 상관기(410)를 더 포함한다. 여러 실시예에 의하면, 도 4에 도시된 시스템 이벤트 상관기(410)는 마지막 스캔시 상기 시스템의 무결성을 측정하는 상기 신뢰 브로커(407)에 의해 생성된 시간적 이벤트들(409)을 수신하도록 구성될 수 있다. 상기 시스템 이벤트 상관기(410)의 대표적인 추가 기능들이 도 5를 참조하여 이하에서 설명될 것이다.

무결성 프로파일

도 4-6의 실시예들에서는, 무결성 프로파일(420)이 수신된 시간적 이벤트(409) 및 엔드포인트 이벤트(520)에 기반하여 식별된 시스템 경고들(맬웨어와 같은 위협들)의 집성을 나타낸다. 한 실시예에서는, 상기 무결성 프로파일(420)의 포맷(스키마)이 확장가능 마크업 언어(XML) 표준의 표기이다.

위험도 상관 매트릭스

여러 실시예에서, 도 4-6에 도시된 위험도 상관 매트릭스(411) 및 도 7a-7c를 참조하여 기재된 위험도 상관 매트릭스(721)는 경고 카테고리들 또는 클래스들에 매핑될 수 있는 시스템 경고들을 생성하도록 하는 독립 엔드포인트 이벤트들(경계들)의 클러스터링 및 분류에 기반하는 측정 및 식별의 한 대표적인 동적 모델을 나타내는 그리드들로서 구체화된 것이다. 위험도 상관 매트릭스들(411, 721)의 추가적인 세부는 도 6, 도 7b, 및 도 7c를 참조하여 이하에 제공될 것이다.

애플리케이션들의 운영 무결성을 평가하는 시스템

도 5는 애플리케이션 운영 무결성을 측정 및 평가하기 위한 시스템(500)의 구성요소들 간의 통신을 예시한 도면이다. 특히, 도 5에는 실행가능한 이미지 프로파일들 및 프로세스 모니터링에 기반하여 애플리케이션 무결성을 평가하고 프로세스 및 시스템 모니터링에 기반하여 자원 이용을 평가하는데 사용되는 애플리케이션 운영 무결성 시스템(500)의 구성요소들 간의 통신들이 도시되어 있다. 여러 실시예에서, 이미지 프로파일들은 바이너리 이미지들, 중간 이미지들, 또는 스크립트들과 같지만, 이들에 국한되지 않는다. 도 5는 도 4에 도시된 실시예를 계속 참조하여 설명될 것이다. 그러나, 도 5는 그러한 실시예에 국한되지 않는다.

도 5에 도시된 바와 같이, 상기 대표적인 애플리케이션 운영 무결성 시스템(500)은 애플리케이션들 및 서비스들의 국부 실행 콘텍스트를 관측하도록 구성된 프로세스 모니터(514)를 포함하는 장치(560) 상에서 엔드포인트 신뢰 에이전트(510)를 포함한다. 상기 엔드포인트 신뢰 에이전트(510)는 애플리케이션들 및 서비스들에 의해 소비되는 시스템 및 플랫폼 자원들을 관측하도록 구성된 소켓 모니터(513)를 더 포함한다. 도 5에 제공된 대표적인 실시예에서는, 상기 신뢰 에이전트(510)가 또한 룰 세트들에 기반하여 운영 무결성을 검사하도록 구성된 자원 이용 모듈(515) 및 애플리케이션 무결성 모듈(516)을 포함한다. 상기 신뢰 에이전트(510)는 또한 상기 애플리케이션 운영 무결성 시스템(500)에 의해 모니터링되는 컴퓨팅 시스템용의 고유 기계 기능화부(511)를 포함할 수 있다.

장치

여러 실시예에서, 도 5에 도시된 장치(560)는 데스크톱, 서버, 스마트폰 또는 태블릿과 같은 모바일 컴퓨팅 장치, 또는 (a) 운영 체계(operating system; OS); (b) 상기 장치가 네트워크를 통해 서비스 또는 다른 한 장치(560)에 액세스하도록 동작시키는 사용자; 및 (c) 차후 실행을 위해 사용자가 개입하든 사용자가 개입하지 않든 다운로드 및 설치될 수 있는 애플리케이션 패키지들, 애플리케이션들 또는 애플리케이션 구성요소들;을 포함하는 다른 타입들의 모바일 컴퓨팅 플랫폼들일 수 있다. 상기 장치(560)의 비-제한적인 예들에는 MICROSOFT^TM WINDOWS^® 운영 체계(OS)를 실행하는 개인용 컴퓨터, 서버, 랩톱, 또는 태블릿 장치, Apple 사로부터의 OSX OS를 실행하는 개인용 컴퓨터, 서버, 또는 랩톱, UNIX 또는 Linux OS를 실행하는 개인용 컴퓨터, 서버, 또는 랩톱, Apple 사로부터의 iOS를 실행하는 개인 휴대 정보 단말기(personal digital assistant; PDA), iPhone^TM, iPod^TM 터치, 또는 iPad^TM 태블릿 장치, Google 사로부터의 Android OS를 동작시키는 장치, MICROSOFT^TM WINDOWS^® Mobile 또는 Phone OS를 동작시키는 장치, Symbian OS를 동작시키는 장치, PALM OS^®를 동작시키는 장치, Research In Motion ("RIM")으로부터의 Blackberry OS를 실행하는 BLACKBERRY^® 장치, 모바일폰, 휴대용 게임 장치, 게이밍 콘솔, 핸드 헬드 컴퓨터, 넷북 컴퓨터, 팜톱 컴퓨터, 울트라-모바일 PC, 또는 명령어들을 처리하고 사용자들 및 다른 컴퓨팅 장치들로부터 데이터를 수신하고 사용자들 및 다른 컴퓨터 장치들로 데이터를 전송할 수 있는 다른 유사한 타입의 컴퓨팅 장치가 있다.

고유 기계 기능화부

여러 실시예에서, 상기 고유 기계 기능화부(511)는 상기 장치(560) 상에 지원되는 운영 체계(OS)에 의해 제공되는 임의의 이벤트 가입, 콜백, 통지 메커니즘(예컨대, MICROSOFT^TM WINDOWS^® 기계 기능화부(WMI), 전송 필터 드라이버들, 애플리케이션 계층 강제 콜아웃 드라이버들, Linux/Unix 네트워크 필터 드라이버들 등등)을 나타낼 수 있다. 상기 고유 기계 기능화부(511)는 도 7a의 예시적인 예를 참조하여 이하에서 설명되는 바와 같이, 격리 발생으로서 무의미한 것으로 보일 수 있지만 이벤트 및 위험도 상관 시스템에 대하여 행위 이상들 또는 악성 활동의 법의학적 증거로서 주목할 만한 데이터 포인트들을 포함할 수 있는 원래 이벤트들을 생성할 수 있다.

도 5를 참조하면, 상기 신뢰 브로커(407)는 상기 엔드포인트 신뢰 에이전트(510)로부터의 구성요소들 및 장치(560) 상에서 실행하는 애플리케이션들에 관한 하나 이상의 상태 속성들을 수신하도록 구성될 수 있다. 상기 신뢰 브로커(407)는 하나 이상의 제3자 맬웨어 분석기들(540)에 이미지 분석 요구를 발송하도록 구성된 중재자로서의 역할을 수행한다. 한 실시예에서, 발송 메커니즘은 이미지 분석의 개시를 보장하는 한 세트의 기준들을 명시하는 트리거 필터 표현들(예컨대, 배치된 엔드포인트 신뢰 에이전트들을 통한 이미지와 관련된 분석 요구들의 빈도 및 분량), 및 제3자 맬웨어 분석기(540)에 대한 각각의 이용가능한 접속기 용으로 구성된 매개변수들을 사용한다. 한 실시예에 의하면, 상기 매개변수들은 비용(cost), 대기시간(latency), 및 플랫폼 특정 분석 능력들을 포함한다. 그러한 플랫폼 특정 분석 능력들은 Google 사로부터의 Android 운영 체계(OS), PALM OS^®, MICROSOFT^TM WINDOWS^® Mobile 또는 Phone OS, Symbian OS, Research In Motion으로부터의 Blackberry OS(다시 말하면, BLACKBERRY^® 장치(560)), 또는 iOS(다시 말하면, iPhone^TM, iPod^TM 터치, 또는 iPad^TM 장치들(560))를 실행하는 장치들(560)과 같지만 이들에 국한되지 않는 모바일 플랫폼들 상의 애플리케이션들의 정적 및 동적 분석을 포함할 수 있다.

상기 제3자 맬웨어 분석기들(540)은 상기 신뢰 브로커에 의해 명시된 폴리시들에 기반하여 애플리케이션 이미지들의 정적 및 동적 분석을 수행한다. 상기 맬웨어 분석의 결과는 상기 분석에 기반하여 식별되는 한 세트의 위협들이다. 상기 신뢰 브로커는 상기 이미지에 대한 고유 식별자에 의해 색인되는 분석의 결과들을 캐싱한다. 상기 신뢰 브로커는 상기 엔드포인트 신뢰 에이전트(510)에 의해 엔드포인트 이벤트들(520)의 차후 생성을 위해 런타임시 모니터링되어야 하는 이미지의 악성 능력들의 어서션들을 포함하는 이미지 프로파일(519)을 생성하여 이를 상기 엔드포인트 신뢰 에이전트(510)에 복귀시킨다.

엔드포인트 이벤트들

도 5에 도시된 실시예에서, 상기 엔드포인트 이벤트들(520)은 상기 엔드포인트 신뢰 에이전트(510)의 구성요소에 의해 생성되며, 상기 장치(560)에 상주하는 엔드포인트 센서에 기반하여 이루어지는 경계들을 나타낸다. 상기 경계들은 시스템 이벤트 상관기(410)에 의해 위험도 상관 매트릭스(411) 그리드의 셀에 매핑된다. 하나의 실시예에서, 상기 엔드포인트 이벤트들(520)의 포맷(스키마)는 확장가능 마크업 언어(XML) 표준의 표기이다. 상기 엔드포인트 이벤트들(520)의 추가 기능들은 도 6을 참조하여 이하에서 설명될 것이다.

도 5를 계속 참조하면, 애플리케이션 운영 무결성 시스템(500)은 신뢰 브로커(407) 및 시스템 이벤트 상관기(410)를 포함한다. 상기 애플리케이션 운영 무결성 시스템(500)은 맬웨어 분석기(540)를 부가적으로 포함할 수 있다. 한 실시예에서, 상기 신뢰 편성기(430)는 TAASERA 사로부터의 TaaS 편성기로서 구현될 수 있다.

도 5에 도시된 대표적인 실시예에 의하면, 상기 시스템 이벤트 상관기(410)는 위험도의 계산에 대한 감각적 입력들로서 상기 엔드포인트 신뢰 에이전트(510)로부터의 엔드포인트 이벤트들(520)을 수신하도록 구성될 수 있다. 상기 신뢰 브로커(407)는 이미지 파일 및 이미지 속성들(518)을 수신한 다음에 진단을 위해 상기 수신된 이미지 파일을 상기 맬웨어 분석기(540)에 보내도록 구성된다. 상기 신뢰 브로커는 또한 비동기식 예후(prognosis; 533)를 수신하고 상기 애플리케이션 무결성 모듈(516)에서 진단을 위해 룰 세트 프로세싱에 포함시키도록 비동기식 이미지 프로파일(519)를 상기 프로세스 모니터(514)에 포워드할 수 있다.

시스템 이벤트 상관기

여러 실시예에 의하면, 도 5에 도시된 시스템 이벤트 상관기(410)는 마지막 스캔에서 상기 시스템의 무결성을 측정하는 상기 신뢰 브로커(407)에 의해 생성된 시간적 이벤트들(409), 및 애플리케이션들의 런타임 실행 상태를 측정하는 상기 엔드포인트 신뢰 에이전트(510)로부터의 엔드포인트 이벤트들(520)을 수신하도록 구성될 수 있다. 상기 시스템 이벤트 상관기(410)는 상기 위험도 상관 매트릭스(411) 그리드의 셀에 상기 이벤트들을 매핑하고 트리거된 시스템 경고들을 처리하여 카테고리(또는 벡터들)별로 위협들을 평가하도록 부가적으로 구성될 수 있다. 한 실시예에서, 상기 카테고리들은 적어도 자원 이용, 시스템 구성, 및 애플리케이션 무결성을 포함한다. 각각의 카테고리에는 상기 위험도 상관 매트릭스(411)에 의해 생성된 시스템 경고들 및 위협 분류에 기반하여 어서션될 수 있는 런타임 운영 무결성 레벨의 표시자인 메트릭이 할당된다. 상기 시스템 이벤트 상관기(410)는 또한 상기 장치(560) 상에서의 실행하는 애플리케이션들의 측정된 실행 상태에 의해 취해지는 보안 위험도들 및 위협들을 기술하는 상기 장치(560)의 무결성 프로파일(420)을 생성하도록 구성될 수 있다.

도 6은 엔드포인트들을 상관시키기 위한 한 대표적인 시스템의 구성요소들 간의 데이터 흐름들을 보여주는 도면이다. 특히, 도 6에는 시스템 이벤트 상관 시스템(600)의 구성요소들 및 모듈들 간의 데이터 흐름들이 예시되어 있다. 도 6은 도 4 및 5에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 6은 그러한 실시예들에 국한되지 않는다.

도 6을 참조하면, 상기 대표적인 상관 시스템(600)은 장치(560) 상의 고유 기계 기능화부(511)에 등록하고 장치(560) 상의 고유 기계 기능화부(511)로부터 복수 개의 원래 이벤트들(611)을 수신하도록 구성된 런타임 모니터(620)를 포함하는 장치(560) 상의 엔드포인트 신뢰 에이전트(510)를 포함한다. 상기 런타임 모니터(620)는 룰 세트들(631)을 적용하여 무결성 경계들(632)을 생성하고 신뢰 편성기(430)로의 발송을 위해 무결성 경고들(634)을 엔드포인트 이벤트들(520)에 매핑하는 이벤트 상관 매트릭스(633)를 생성 또는 모집단화할 수 있는 무결성 프로세서(630)에 무결성 이벤트들(621)을 올리도록 부가적으로 구성된다.

도 6 및 도 7a-7c에 도시된 실시예들에서, 상기 엔드포인트 이벤트들(520)은 상기 엔드포인트 신뢰 에이전트(510)의 구성요소인 무결성 프로세서(630)에 의해 생성되고, 상기 장치(560) 상에 상주하는 엔드포인트 센서에 기반하여 이루어지는 경계들을 나타낸다. 도 5를 참조하여 위에서 설명한 바와 같이, 상기 경계들은 이때 XML 표기로 표현되는 엔드포인트 이벤트들(520)을 판독하도록 구성될 수 있는 시스템 이벤트 상관기(410)에 의해 위험도 상관 매트릭스(411)의 셀에 매핑될 수 있다.

도 6에 제공된 대표적인 실시예를 계속 참조하면, 상기 신뢰 편성기(430)는 위험도 상관 매트릭스(411)를 사용하여 상기 모니터링되는 시스템(즉, 타깃 시스템)을 위한 무결성 프로파일(420)을 생성하도록 구성된 시스템 이벤트 상관기(410)를 포함한다. 한 실시예에서, 상기 시스템 상관기(410)는 상관 엔진으로서 구현될 수 있다. 다른 한 실시예에서는, 상기 신뢰 편성기(430)가 TAASERA 사로부터의 TaaS 편성기로서 구현될 수 있다.

도 6에 도시된 위험도 상관 매트릭스(411)에 대하여, 상기 그리드의 각각의 셀은 상기 엔드포인트 신뢰 에이전트(510)에 의한 이벤트 룰 세트들(631)(룰 표현) 및 이벤트 상관 매트릭스(633)를 통해 트리거되는 한 세트의 경계들이다.

대표적인 특정 실시예들에서, 도 5를 참조하여 위에서 설명한 애플리케이션 무결성 모듈(516) 및 자원 이용 모듈(515)은 도 6에 도시된 무결성 프로세서(630)의 부속 구성요소 또는 모듈로서 포함될 수 있다.

대표적인 특정 실시예들에서, 도 5에 도시된 프로세스 모니터(514), 시스템 모니터(512) 및 소켓 모니터(513)는 상기 런타임 모니터(620)의 부속 구성요소들 또는 모듈로서 포함될 수 있다.

도 7a는 시스템 무결성 프로파일을 결정하도록 현재 개시된 방법들 및 시스템들에 의해 모니터링 및 분석될 수 있는 대표적인 엔드포인트 이벤트들(700)의 그룹화들을 나타내는 도면이다. 특히, 도 7a에 도시된 엔드포인트 이벤트들(700)은 인증 시스템이 모니터링되는 시스템(다시 말하면, 타깃 시스템)의 무결성에 대해 어서션할 수 있는 것을 결정하는데 사용될 수 있다. 도 7a는 도 1, 4, 5, 및 6에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 7a는 그러한 실시예들에 국한되지 않는다.

상기 엔드포인트 이벤트들(700)에 대해 계속 모니터링하고 검출된 엔드포인트 이벤트들(700)의 동적 분석을 수행함으로써, 타깃 시스템의 무결성에 대한 어서션들이 이루어질 수 있다. 예를 들면, 상기 엔드포인트 이벤트들(700)은 도 1을 참조하여 위에서 설명한 네트워크(100)에서 이벤트 및 행위 상관 엔진(130)에 의해 수신된 엔드포인트 이벤트들(116, 118)에 포함될 수 있다.

하나의 실시예에서, 상기 엔드포인트 이벤트들(700)의 하나 이상이 도 5를 참조하여 위에서 설명한 인증 시스템(500)에 의해 사용된 엔드포인트 이벤트들(520)에 포함될 수 있다. 다른 실시예들에서, 상기 엔드포인트 이벤트들(700)은 도 6에 도시된 상관 시스템(600)의 시스템 이벤트 상관기(410)에 의해 사용된 엔드포인트 이벤트들(520)에 포함될 수 있다.

도 7a를 참조하면, 상기 대표적인 엔드포인트 이벤트들(700)은 프로세스 이벤트들(701) 단위, 프로세스 이벤트들(702) 단위, 시스템 이벤트들(703) 단위, 및 이미지 바이너리 분석 이벤트들(704) 단위를 포함할 수 있다. 한 실시예에 의하면, 상기 이벤트들(701-704)은 고유 기계 기능화부를 통해 이용가능하고 제공자 플러그-인들을 가진 플랫폼상에서 확장가능한 모든 이벤트들을 포함하지만, 이들에 국한되지 않는다.

도 7b는 본원에서 논의된 방법들 및 시스템들에 의해 생성될 수 있는 대표적인 경계들을 예시하는 블록도(710)이다.

도 7b에 도시된 바와 같이, 실시예들에서, 경계들은 플랫폼 경계들(711), 이미지 경계들(712) 단위, 그레이웨어 경계들(713)(다시 말하면, 감시 목록(watch list)에 대한 그레이 웨어 경계들), 및 애플리케이션 경계들(714) 단위를 포함할 수 있다. 상기 경계들은 구성가능하고 확장가능하지며 도 7b에 예시된 경계들에 국한되지 않는다.

도 7c는 엔드포인트 경계들을 상관시키고 상관 매트릭스를 사용하여 엔드포인트 경고들을 생성하기 위한 한 대표적인 방법(720)을 예시하는 블록도이다. 도 7c는 도 4-6에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 7c는 그러한 실시예들에 국한되지 않는다.

도 7c를 참조하면, 상기 방법(720)은 시스템 경고 클래스들(722), 시스템 경고들(723), 및 무결성 경고들(724) 중의 하나 이상에 기반하여 위험도 상관 매트릭스(721)를 모집단화한다. 도 7c에 도시된 바와 같이, 경계 표현은 적어도 속성, 속성 값 제약, 샘플 레이트, 재현, 스코어 및 가중치의 함수(725)로서 표현될 수 있다. 상기 함수는 임의의 프로그래밍 언어 또는 구성체에서 컴파일되거나, 인터프리트되거나, 또는 컴파일 및 인터프리트의 중간을 취하는 코드로서 특정될 수 있다.

상기 위험도 상관 매트릭스(721)는 상기 시스템의 보편적 고유 식별자(universally unique identifier; UUID), 적어도 하나의 시스템 경고 클래스(722)에 매핑되는 시스템 경고들(723), 및 시스템 일탈들(다시 말하면, 시스템 일탈 무결성 경고들(724)), 시스템 구속, 시스템 취약 및 시스템 감염들(다시 말하면, 시스템 감염 무결성 경고들(724))을 진단하도록 하는 적어도 하나의 시스템 경고 클래스(722)를 포함할 수 있다.

도 7c의 실시예에서, 상기 위험도 상관 매트릭스(721)의 각각의 경계는 상기 장치(560)의 각각의 속성에 대해 특유한 표현들을 평가하는 프로그램 기능(725)에 의해 생성된다. 각각의 셀에서의 한정적인 한 세트의 경계들의 발생에 기반하여, 대응하는 시스템 경고가 트리거된다. 도 7c에서, 상기 대표적인 위험도 상관 매트릭스(721)는 기계 식별자(예컨대, 가상 기계의 보편적 고유 식별자(UUID), ID 주소) 또는 애플리케이션 식별자(애플리케이션 UUID)에 의해 고유하게 식별되는 각각의 장치(560)(또는 애플리케이션)에 대해, 서로 다른 한 세트의 경계들이 일반 시스템 경고 클래스에 매핑하는 서로 다른 시스템 경고들을 트리거할 수 있음을 보여준다. 경계들을 행위 모델(또는 클러스터)에 매핑함으로써, (새롭거나 다형성을 이루는 것과 같은) 알려져 있지 않은 위협들이 이미지 또는 와이어 레벨(wire level) 서명들을 필요로 하지 않고 분류 및 식별될 수 있다. 상기 경계들은 도 7b에 도시된 바와 같이 경계들의 카테고리(예를 들면, 플랫폼, 애플리케이션, 제3자 맬웨어 분석기들에 의해 생성된 보고들에 기반하여 감시 목록에 배치되는 애플리케이션들을 포함하는 그레이웨어, 상기 엔드포인트 신뢰 에이전트(510) 또는 맬웨어 분석기들(540)에 의해 수행되는 점검(inspection)들에 기반하여 위협 레벨에 의해 가중되는 이미지)를 나타내도록 그룹화될 수 있다. 한 실시예에서는, 상기 프로그램 기능(725)이 조건부 표현들(연산자들)을 사용하여 값 제약들, 측정에 대한 샘플 레이트, 측정값들의 재현, 속성에 대해 할당된 스코어 및 가중치에 기반하여 경계를 생성하도록 구성될 수 있다. 여러 실시예에 의하면, 상기 스코어 및 가중치는 도 14-18을 참조하여 이하에서 설명되는 GUI들과 같은 그래픽 사용자 인터페이스(graphical user interface; GUI ) 또는 대시보드를 통해 사전에 정의되거나 고객 요구에 맞춰질 수 있다.

여러 실시예에 의하면, 복수 개의 타이머들은 시스템 경고들 및 시스템 경고 클래스들의 평가, 위험도의 계산, 및 시스템에 대한 무결성 프로파일의 생성에 관련될 수 있다.

여러 실시예에 의하면, 상기 무결성 프로파일(420)은 적어도 엔드포인트 주소 및 시스템 경고 클래스, 선언된 경고의 법의학적 신뢰도, 및 전체 증거 체인 중의 하나 이상을 포함한다.

무결성 프로세서

도 6 및 도 7a-7c를 참조하면, 상기 무결성 프로세서(630)는 상기 엔드포인트 신뢰 에이전트(510)의 기능 구성요소이다. 상기 무결성 프로세서(630)는 도 7a에 도시된 프로세스, 프로세서, 시스템 및 바이너리 분석 이벤트들을 기술하는 런타임 모니터(620)로부터 무결성 이벤트들(621)을 수신하도록 구성될 수 있다. 룰 세트들(631)에 (도 7b에 예시된) 한정적인 룰 표현들을 적용하면, 무결성 경계들(632)이 생성되고 시스템 레벨 무결성 경고들(634)을 생성하도록 (도 4의 위험도 상간 매트릭스(411) 및 도 7c의 그리드(721)와 유사한) 이벤트 상관 매트릭스 그리드(633)의 셀에 매칭된다. 상기 이벤트 상관 매트릭스(633)의 행(row)들은 (기계 식별자에 의해 장치를 나타내는 위험자 상관 매트릭스(411)의 행들과 유사한) 상기 장치(560) 상의 애플리케이션 인스턴스를 나타낸다. 상기 무결성 경고들(634)은 위협 분류 및 식별 및 차후의 치료를 위해 상기 신뢰 편성기의 시스템 이벤트 상관기(410)에 발송하기 위한 엔드포인트 이벤트들(520)로서 포맷될 수 있다.

여러 실시예에 의하면, 다양한 사용자 구성가능 결합들은 (예를 들면 XML 또는 텍스트 포맷 구성 파일의 편집가능한 설정들로서, 또는 그래픽 관리 대시보드 또는 사용자 인터페이스를 통해) 시스템 경고, 및 시스템 경고 클래스에 대한 시스템 경고 맵들을 구성한다.

여러 실시예에 의하면, 복수 개의 시스템 경고 클래스들은 도 4 및 6에 각각 도시된 인증 시스템(400) 및 상관 시스템(600)의 무결성 프로파일들(420)에 포함될 수 있다.

대표적인 신뢰 편성기 아키텍처

도 8은 신뢰 편성기(430), 네트워크 분석기(830), 및 장치(560)를 포함하는 신뢰 편성을 위한 한 대표적인 아키텍처(800)의 블록도이다. 상기 아키텍처(800)는 시스템의 런타임 운영 무결성을 결정하는 복수 개의 이벤트들을 상관시키는데 사용될 수 있다. 도 8은 도 4, 5, 및 도 7c에 예시된 실시예들을 계속 참조하고 도 12 및 13을 참조하여 서명될 것이다. 그러나, 도 8은 그러한 실시예들에 국한되지 않는다.

도 8에 도시된 바와 같이, 상기 신뢰 편성 아키텍처(800)는 장치(560) 상의 엔드포인트 신뢰 에이전트(510), 네트워크 활동 상관기(831), 엔드포인트 검사 서비스(820), 편성을 위한 서비스 제공자 및/또는 폴리시 강제 포인트 서비스들(860)을 포함할 수 있는 네트워크 분석기(830), 및 신뢰 브로커(407), 시스템 이벤트 상관기(410), 신뢰 슈퍼바이저(846), 및 치료 제어기(848)를 포함할 수 있는 신뢰 편성기(430)를 포함할 수 있다.

신뢰 편성기

도 4 및 8의 실시예들에 의하면, 상기 신뢰 편성기(430)는 상기 신뢰 브로커(407), 시스템 이벤트 상관기(410), 상기 신뢰 슈퍼바이저(846), 및 치료 제어기(848)와 같은 기능 구성요소들을 포함하는 집성체이다. 여러 실시예에서, 상기 신뢰 편성기(430)는 네트워크 분석기(830), 엔드포인트 검사 서비스들(820) 및 장치들(560) 상의 엔드포인트 신뢰 에이전트들(510)로부터 감각적 위협 인텔리전스를 수신하도록 구성된다. 이벤트들의 일련의 정규화, 대조 및 위험도 상관을 통해, 지시들의 형태로 이루어진 지시들(849)은 장치들(560) 상에서 식별된 위협들을 처리하도록 하는 치료 작용들을 개시하도록 편성 서비스들에 발송된다. 상기 지시들은 상기 편성 서비스에 특정한 것들이고 벤터 API들의 사용을 포함할 수 있다. 그러한 벤터 API의 예들에는 VMWARE^TM vCloud API들, BMC Software 사로부터의 BMC Atrium^TM 구성 관리 데이터베이스(configuration management database; CMDB)에 액세스하기 위한 BMC Atrium^TM API들, HP-OO(Hewlett Packard Software Operations Orchestration) API들, 및 and 오픈플로우(OpenFlow)와 같은 표준 프로토콜들이 있다.

대표적인 특정 실시예들에서, 상기 시스템 이벤트 상관기(410)는 상기 엔드포인트 신뢰 에이전트(510)로부터 엔드포인트 이벤트들(520)을 수신하고, 상기 신뢰 브로커(407)로부터 시간적 이벤트들(409)을 수신하며, 네트워크 엔드포인트에 대한 무결성 프로파일을 상관시키고 네트워크 엔드포인트에 대한 무결성 프로파일을 상기 신뢰 슈퍼바이저(846) 및 상기 네트워크 활성 상관기(831)에 송신한다.

대표적인 특정 실시예들에서, 상기 신뢰 슈퍼바이저(848)는 상기 네트워크 활동 상관기(831)로부터 네트워크 엔드포인트의 감염 프로파일(832)을 수신하고, 상기 시스템 이벤트 상관기(410)로부터 네트워크 엔드포인트의 무결성 프로파일(420)을 수신하며, 법의학적 신뢰도 스코어와 함께 위협들을 분석 및 분류하고, 상기 치료 제어기(848)에 실시간 작용들(847)을 송신하며, 그리고 대시보드 제어기(870)에 실시간 상태 표시들(850)을 송신한다. 상기 치료 제어기(848)는 기계, 흐름 또는 트랜잭션 레벨 치료를 위해 편성 및/또는 폴리시 강제 포인트 서비스들(860)에 지시들(849)을 송신한다.

치료 제어기

여러 실시예들에서, 상기 치료 제어기(848)는 상기 신뢰 슈퍼바이저(846)로부터 작용 요구들(847)을 수신하도록 구성될 수 있다. 상기 치료 제어기(848)는 또한 상기 수신된 요구들을 처리하고 편성 서비스들에 대한 적합한 운영들을 수행하도록 구성될 수 있다. 여러 실시예에 의하면, 수신된 작용 요구의 처리시, 상기 치료 제어기(848)는 (a) 수신된 작용은 네트워크 요소(1216)(예컨대, 물리적 또는 가상 스위치 또는 방화벽) 또는 무선 액세스 포인트(1320) 상의 흐름 레벨 운영; (b) 장치(560)(예컨대, 웹 또는 데이터베이스 서버) 상의 기계 레벨 운영; (c) 서비스 또는 장치(560)에 대한 액세스를 제한하도록 하는 트랜잭션 레벨 운영; 및/또는 (장치(560)에 대한 수정된 평판 스코어를 나타내도록 하는 네트워크 신뢰 에이전트(예컨대, 도 12 및 13에 각각 도시된 네트워크 신뢰 에이전트들(1209, 1315)을 참조하기 바람)에 대한 업데이트 통지;를 수행할 수 있다.

여러 실시예에서, 상기 감염 프로파일(832)은 적어도 피해자 엔드포인트 주소 및 선언된 감염의 법의학적 신뢰도, 공격자 소스, 커맨드 및 제어 소스, 전체 증거 체인, 및 감염 시간 범위(개시, 지속기간) 중의 하나 이상을 포함한다.

여러 실시예에서, 상기 무결성 프로파일(420)은 적어도 엔드포인트 주소 및 시스템 경고 클래스, 선언된 경고의 법의학적 신뢰도, 및 전체 증거 체인 중의 하나 이상을 포함한다.

여러 실시예에서, 도 4 및 7c에 각각 도시된 위험도 상관 매트릭스들(411, 721)은 도 8의 무결성 프로파일(420) 및 감염 프로파일(832)을 강화 및 상관시키도록 상기 신뢰 슈퍼바이저(846)에 포함될 수 있다.

대표적인 위협 검출 및 완화 시나리오

위협 검출 및 완화 시퀀스의 한 대표적인 흐름은 도 3a, 4-6, 7b, 8, 10, 12, 13, 및 23을 참조하여 이하에서 설명될 것이다. 이하의 대표적인 시나리오에서, 상기 대표적인 위협은 맬웨어로 감염된 사용자 장치이다. 이하의 단락들에서는 도 4-6, 7b, 8, 10, 12 및 13을 참조하여 본원 명세서에 기재된 대표적인 실시예들이 어떠한 방식으로 그러한 '리얼 월드(real world)' 위협 벡터들을 핸들링할 수 있는지가 상세하게 설명될 것이다. 이하의 단락들에 기재되는 다차원 이벤트 및 위험도 상관 모델은 새로운 맬웨어 및 진보한 지속적인 위협들의 특징인 낮고 느린 서명 없는 위협들을 검출하는 한 대표적인 방법을 예시하는 것이다.

사용자(1014)의 장치 D(560)는, 편성(2303)의 기업 네트워크에 여전히 접속되어 있는 동안에 진보한 지속적인 위협(예컨대, 맬웨어 M_{( benign )}) 의 형태로 감염될 수 있다. 상기 기업 네트워크에 대한 상기 장치 D의 접속은 사용자 활동을 통해, 예를 들면, 상기 장치 D가 상기 기업 네트워크에 접속되어 있는 동안 사용자(1014)가 맬웨어 M_{( benign )} 을 지닌 플러그 앤드 플레이(plug-and-play) 휴대용 유니버설 시리얼 버스(universal serial bus; USB) 장치를 상기 장치 D에 접속할 때, 사용자(1014)가 맬웨어 M_{( benign )}로 감염된 전자메일 첨부파일을 열어본 결과로, 사용자(1014)가 상기 장치 D로부터 소셜 네트워크 애플리케이션에 액세스할 때, 또는 사용자(1014)가, 파일 공유 서비스에 액세스하는 동안 자신도 모르게 맬웨어 M_{( benign )}을 지닌 파일을 장치 D에 전달할 때 이루어질 수 있다.

상기 장치 D는 또한, 상기 장치 D가 편성(2303)의 기업 네트워크로부터 접속해제되어 있는 동안 맬웨어 M_{( benign )}로 감염될 수 있다. 예를 들면, 상기 장치 D는 홈 네트워크 상에서의 사용자의 활동, 또는 모바일 네트워크 또는 인터넷과 같은 편성(2303)의 기업 IT 관리자에 의해 관리되지 않는 외부 무선 또는 유선 네트워크의 결과로서 감염될 수 있다.

일단 상기 장치 D가 감염되면, 기존의 네트워크 에지 보호(예컨대, 방화벽들 및 네트워크 IPS/IDS 시스템들과 같은 레거시 보안 기술들)를 회피하는 egg 다운로드(다시 말하면, .egg 압축 파일의 다운로드)가 이루어진다. 이러한 감염 단계에서, 상기 장치 D 상에 설치된 기존의 안티바이러스 프로그램들과 같은 레거시 보안 기술들(305)은 어떠한 서명이나 블랙리스트도 이러한 위협에 대해 아직 존재하지 않기 때문에 타깃된 맬웨어 M_{( benign )}을 검출할 개연성이 낮다. 이때, 맬웨어 M_{( benign )}은 엔트로피를 도입하고 검출을 회피하도록 주기적인 프로세스 재시작들, 실행가능한 파일 속성 수정들(다시 말하면, 파일 네임 및/또는 크기 속성들에 대한 변경들)에 대한 개별(명백히 양성) 감시 운영들을 수행할 수 있다. 맬웨어 M_{( benign )}은 또한 레지스트리 수정들을 수행할 수 있으며, 키보드/입력 장치 모니터링을 수행할 수 있고, 스크린 레벨 모니터링을 수행할 수 있으며, 키보드/입력 장치 모니터링을 수행할 수 있고, 스크린 레벨 모니터링을 수행할 수 있으며, 메모리 덤프들을 수행할 수 있고, 상기 장치 D 상에서의 과도한 자원(CPU) 이용 없이 파일들을 점검하도록 하는 디스크 탐색을 수행할 수 있다.

이러한 사후-감염 단계에서, 상기 엔드포인트 신뢰 에이전트(510)는 실행 맬웨어 프로세스 P_{( benign )}을 모니터링하고, 지능형 화이트리스팅 서비스들에 액세스하도록 도 12 및 13을 각각 참조하여 이하에서 설명되는 융합 서비스들(1207, 1312)과 같은 융합 서비스들을 레버리징(leveraging)함으로써 파일 해시 다이제스트, 디지털 서명, 및 인증서 체인 검증을 검사하는 것을 포함하는 파일 및 구성요소(예컨대, 동적 링크 라이브러리(dynamic link library; DLL) 레벨 무결성 체크들을 수행한다. 이러한 융합 서비스들은 상기 신뢰 편성기(430)를 통해 액세스된다. 이러한 체크들 중 하나 이상이 실패하면 그레이웨어 경계(713)(다시 말하면, 감시 목록) 상에 프로세스 P_{( benign )}이 바로 배치된다.

어떠한 체크라도 이러한 단계에서 실패하지 않는다고 가정하면, 프로세스 P_(benign)은 명시적인 룰 위반들에 대해 무결성 프로세서(630)에 의해 계속 모니터링된다. 한 실시예에서, 룰 세트(631)의 룰의 위반들은 계속 모니터링되어 검출된다. 이러한 룰들은 양성 프로세스들에서 이상 행위를 검출한다. 일단 한 룰 트리거 기준에 이르게 되면, 엔드포인트 신뢰 에이전트(410)는 이미지 무결성 체크를 개시하고 신뢰 편성기(430)를 통해 원격 맬웨어 분석기(540)를 레버리징한다. 이러한 체크의 목적은 공급 체인 근원지 및 국부적으로 입수가능한 증거에 대한 완전한 신임을 회피하는 것이다. 맬웨어 바이너리 분석으로부터 생성된 이미지 프로파일(519)은 프로세스 P_{( suspect )}를 모니터링하도록 상기 무결성 프로세서에 추가의 국부 이벤트들을 제공한다.

이 시점에서, 맬웨어 분석기(540)는 이미지의 정적 및 동적 분석을 통해 (역설계 코드에 존재하는) 검출되는 능력들을 보고한다. 그러한 이미지 분석은 안티-디버그, 안티-트레이스, 안티-메모리, 및 안티-에뮬레이션, SMTP, FTP 또는 HTTP와 같은 네트워크 통신 프로토콜들의 사용, 엠베디드 균일 자원 로케이터(uniform resource locator; URL)들 또는 IP 주소들의 사용, 보안 소켓 레이어(secure sockets layer; SSL) 프로토콜의 사용과 같은 암호화 방법들의 사용, 국부 포트들에 대한 리스닝, 액세스된 원격 포트들, 파일 시스템 운영들, 레지스트리 운영들, 템포러리, 시스템 또는 비-프로그램 폴더들의 운영들, 메모리 피크 또는 포크 운영들, 및 원격 스레드 생성과 같은 역설계 코드의 코드 난독화 기법들에서 찾아 볼 수 있다.

그리고나서, 상기 무결성 프로세서(630)는 관련 경고들(721)에 대해 프로세스 P_{( suspect )}를 모니터링하고 시스템 이벤트 상관기(410)에 대한 경계들(711-714)과 같은 엔드포인트 이벤트들을 트리거한다. 다수의 엔드포인트 검사 서비스들(820)은 스케줄된 폴리시 기반 스캔들을 수행하여 공지된 노출들(취약성, 구성, 컴플라이언스 및 패치 레벨 익스플로잇들)을 검출하도록 기업 네트워크에 배치될 수 있다. 개별 무결성 보고들(821)은 상기 장치 D 상에서의 노출들 표시들을 포함할 수 있다. 그러나, 이러한 보고들은 상기 장치 D 상에서의 위협 또는 감염의 긍정적인 존재를 단언하지 못하고 프로세스 P_{( suspect )}의 존재 및 런타임 활동들을 인식할 수 없게 한다. 임의의 악성 프로그램이 상기 장치 D의 검사에 적용된 신뢰할 수 있는 상태(스냅샷) 정보 및 스캔 폴리시들에 기반하여 상기 장치상에서 활성 상태(예컨대, 데이터베이스 서버상에서의 개인 식별 정보(personally identifiable information; PII) 위반, 애플리케이션 서버상에서의 버퍼 오버플로우 공격, 데이터베이스 서버상에서의 구조화 질의 언어(structured query language; SQL) 인젝션 공격, 키스트록 또는 스크린 요소 캡쳐, 마이크로폰 또는 카메라 하이잭 등등)인 경우에 상기 장치 D 상에서의 손상 잠재력(심각도)을 시스템 이벤트 상관기(410)에 통지하는 시간적 이벤트들(409)을 생성한다.

엔드포인트 및 시간적 이벤트들에 의해 트리거되는 위험도 분석에 기반하여, 무결성 프로토콜은 상기 장치 D에 대한 시스템 이벤트 상관기(410)에 의해 생성된다. 상기 네트워크 활동 상관기(831)는 장치 D의 네트워크 트래픽 및 활동들 모두를 동시에 모니터링하고 감염된 피해자(장치 D)를 나타내는 악성 네트워크 다이얼로그들의 법의학적 증거에 기반하여 감염 프로파일들(832)을 발송한다. 상기 증거는 피어-투-피어 전파, 커맨드 및 제어 통신, 또는 공격자에게로의 데이터 유출과 같은 악성 활동들을 나타낼 수 있다. 상기 신뢰 슈퍼바이저(846)는 상기 엔드포인트, 네트워크 및 스캔 기반 검사 센서들에 의해 독립적으로 생성된 무결성 및 감염 프로파일들에 기반하여 법의학적 증거를 분류하여 검출된 감염을 완화하도록 즉각적인 수동 또는 자동 치료 작동을 보장한다.

무결성 프로파일 생성 시스템

도 9는 주제 무결성 프로파일을 생성하는 한 대표적인 시스템을 예시하는 블록도이다. 도 5에 도시된 시스템(900)은 주체(예컨대, 사용자, 장치, 트랜잭션, 서비스, 또는 편성/회사)의 평판을 결정하기 위해 복수의 신원, 재고 및 로그 관리 시스템들을 강화 및 상관시키는데 사용될 수 있다. 도 9는 도 4 및 5에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 9는 그러한 실시예들에 국한되지 않는다.

도 9를 참조하며, 상기 대표적인 주제 무결성 프로파일 시스템(900)은 복수의 관리 시스템들에 질의하여 복수의 관리 시스템들로부터 관련 응답(905)을 수신하도록 구성될 수 있는 신뢰 브로커(407), 및 신뢰 편성기(430)를 포함한다.

도 9를 계속 참조하면, 상기 무결성 프로파일 시스템(900)은 자원 대상 속성들을 제공하도록 구성된 재고 관리 시스템(901), 주제(또는 사용자) 속성들(예컨대, 역할들 및 자격들)을 제공하도록 구성된 역할 관리 시스템(902), 집성된 주제 속성들을 제공하도록 구성된 신원 관리 시스템(903), 주제에 의해 카테고리화된 정보 및 이벤트들을 제공하도록 구성된 로그 관리 시스템(904), 주제에 의해 카테고리화된 시간적 이벤트들(409)을 수신하는 시스템 이벤트 상관기(410), 및 고유 주제 식별자 및 평판 스코어를 포함하는 주제에 대한 무결성 프로파일(420)을 생성하도록 하는 위험도 상관 매트릭스를 포함하는, 복수 개의 서브시스템들을 포함할 수 있다.

상기 주제 무결성 프로파일 시스템(900)의 문맥 내에서는, 상기 신뢰 브로커(407)가 재고, 역할, 신원 및 로그들에 관한 제3자 관리 시스템들에 질의하여 상기 제3자로부터 응답들을 수신하도록 구성된다.

재고 관리 시스템

도 9에 도시된 재고 관리 시스템(901)은 장치들(560)(예컨대, 모바일 장치들(560), 모바일 애플리케이션들, 기업 데스크톱들, 서버들 등등)에 관련된 정보를 제공하도록 구성된다. 재고 관리 시스템들(901)의 예들에는 기업 IT 관리 자산들의 재고를 관리하기 위해 사용되는 IBM 및 Oracle 사들로부터 입수가능한 상품들이 있다.

역할 관리 시스템

여러 실시예에 의하면, 도 9에 도시된 역할 관리 시스템들(902)은 사용자의 편성 역할들, 자원 레벨 권한들, 애플리케이션 레벨 자격들, 및 확장된 그룹 멤버십들(다시 말하면, 프로젝트 레벨 권한들 및 역할들)에 관련된 정보를 제공하도록 구성될 수 있다. 역할 관리 시스템들의 예들에는 데이터베이스 대상들, 파일들, 서버들, 디렉토리들/폴더들, 웹서버들, 애플리케이션들, 네트워크 도메인들/서브도메인들, 프린터들, 및 다른 자원들에 대한 역할 기반 액세스 제어들에 대한 Oracle, Computer Associates, IBM, 및 SAP로부터 입수가능한 상품들이 있다. 이러한 시스템들 중 일부 시스템들에서, 사용자들에게 한 세트의 권한들 및 승인들을 집성하는 하나 이상의 역할들이 할당된다. 예를 들면, Oracle 또는 IBM 관련 데이터베이스 환경의 역할들은 데이터베이스 대상들에 대한 서로 다른 티어(tier)들 및 레벨들을 나타낸다. 예를 들면, '데이터베이스 관리자(database administrator; DBA)' 역할을 지니는 사용자 계증은 테이블들, 뷰들, 시노님들, 저장된 프로시듀어들, 트리거들, 사용자 계정들, 전체 데이터베이스들, 및 다른 역할들과 같은 데이터베이스 대상들을 삭제(다시 말하면, 생략(drop)), 생성, 및 변경하는데 필요한 권한들 및 승인들을 지닐 수 있다. 그에 반해, 개발자 또는 사용자 역할과 같은 적은 역할들을 지니는 사용자 계정들은 단지 데이터베이스 테이블들 및 뷰들에서 데이터를 삽입 및 업데이트할 수만 있으며 기존의 저장된 프로시듀어를 수정하고 코드를 트리거할 수만 있다. 또 다른 역할들은 보고들을 생성하고 질의들을 실행하도록 필요에 따라 데이터베이스 테이블들 및 뷰들로부터 레코드들을 선택하도록 '판독 전용' 액세스에 한정될 수 있다.

신원 관리 시스템

여러 실시예들에 의하면, 도 9에 도시된 신원 관리 시스템들(903)은 사용자의 편성 도메인 계정들 및 그룹 레벨 멤버십들(예컨대, MICROSOFT^TM Active Directory, Oracle Internet Identity)에 관련된 정보를 제공하도록 구성될 수 있다.

로그 관리 시스템

여러 실시예에서, 도 9에 도시된 로그 관리 시스템들(904)은 엔드포인트 및 네트워크 요소들에 의해 생성되고 표준 시스템 정보 및 이벤트 관리 시스템(예컨대, SYSLOG) 및 네트워크 보안 애플리케이션들에 사용되는 공통 이벤트 포맷(Common Event Format; CEF) 또는 웹트렌드 강화된 로그 파일 포맷(WebTrends Enhanced Log file Format; WELF)과 같은 포맷들을 통해 보고되는 로그들에 기반하여 상기 엔드포인트 장치에서 그리고 상기 네트워크 운영 레벨에서의 사용자의 활동에 관련된 정보를 제공하도록 구성될 수 있다.

위험도의 계산 및 주제 평판 스코어들을 결정하는 시스템들

도 10은 위험도의 계산을 결정하는 한 대표적인 시스템을 예시하는 블록도이다. 도 10은 도 4, 5 및 8에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 10은 그러한 실시예들에 국한되지 않는다.

도 10을 참조하면, 상기 대표적인 위험도 계산 시스템(1000)은 네트워크 보안 스캔 보고(1025)를 생성하도록 구성된 네트워크 엔드포인트 검사(1001), 주소 또는 지오-로케이션에 의한 카테고리화를 위해 복수 개의 수신된 보고들을 파싱하도록 하는 엔드포인트 대조기(1002), 보고 강화를 위한 정규화기(1003), 패키지 및 구성요소에 의한 카테고리화를 위한 대상 대조기(1004), 런타임 시스템(1016), 애플리케이션(1015) 및 사용자(1014) 콘텍스트를 위한 장치(560) 상의 무결성 프로세서(630), 엔드포인트 신뢰 에이전트(510), 콘텍스트의 집성화를 위한 글로벌 대상 콘텍스트 생성기(1005), 콘텍스트의 평가를 위한 이벤트 프로세서(1006), 적어도 제약들(1023), 샘플 레이트(1022), 재현(1021), 무결성 검사들을 위한 스코어(1020) 및 가중치(1019), 이벤트 상관기(1007), 이벤트 상관 매트릭스(1013), 위협 분류기(1008), 대시보드 제어기(1009) 및 치료 제어기(848)를 포함한다.

신뢰 슈퍼바이저

도 8 및 10의 대표적인 실시예들에 의하면, 상기 신뢰 슈퍼바이저(846)는 상기 네트워크 분석기들(830)로부터 감염 프로파일들(832)을 그리고 상기 시스템 이벤트 상관기(410)로부터 무결성 프로파일들(420)을 수신하도록 구성될 수 있다. 상기 신뢰 슈퍼바이저(846)는 선행 표시자들의 법의학적 신뢰도에 기반하여 이루어지는 위협들의 분류 및 식별을 위해 장치(560)에 관련된 이벤트들을 상관시키도록 이벤트 프로세서(1006), 이벤트 상관기(1007), 위협 분류기(1008), 이벤트 상관 매트릭스(1013) 및 룰 레포지토리(1012)를 사용한다.

한 실시예에서, 상기 네트워크 엔드포인트 검사(1001)는 취약성, 구성, 컴플라이언스, 및 패치 관리를 위한 네트워크 엔드포인트들의 보안 스캔을 수행하고 이러한 스캔들의 결과들을 이용하여 보안 검사 보고(1026)를 생성하는 단계를 포함한다. 도 10에 도시된 바와 같이, 엔드포인트 대조기(1002)는 생성된 보안 검사 보고(1026)를 수신하도록 구성된다. 도 10에 도시된 실시예들에서는, 이러한 시점에서, 상기 엔드포인트 대조기(1002)가 이때 상기 엔드포인트 주소 및/또는 지오-로케이션에 의해 상기 보안 검사 보고(1026)를 정렬하여 카테고리화된 보고들(1027)을 생성할 수 있다.

정규화기(1003)는 상기 카테고리화된 보고들(1027)을 수신하고 그리고나서 내부의 요소들을 정규화하여 정규화된 보고들(1028)을 생성하도록 구성된다.

대상 대조기(1004)는 상기 정규화된 보고들(1028)을 수신하고 그리고나서 대상 패키지 및 구성요소에 의해 내부의 요소들을 정렬하여 상기 글로벌 대상 콘텍스트 생성기(1005)를 위한 시간적 이벤트들(1029)을 생성하도록 구성된다.

대표적인 특정 실시예들에서, 상기 글로벌 대상 콘텍스트 생성기(1005)는 장치(1017) 상의 무결성 프로세서(630)로부터 국부 런타입 대상 실행 콘텍스트를 포함할 수 있는 엔드포인트 이벤트들(1018)을, 그리고 상기 대상 대조기(1004)로부터 엔드포인트 보안 콘텍스트를 포함할 수 있는 시간적 이벤트들(1029)을 수신한다.

대표적인 실시예들에서, 상기 이벤트 프로세서(1006)는 상기 글로벌 대상 콘텍스트 생성기(1005)로부터 엔드포인트 무결성 프로파일들(420)을 수신하고, 상기 룰 레포지토리(1012)로부터 관련 엔드포인트 룰들(1031)을 회수하며, 엔드포인트 경계들(1033)을 생성하고 이들을 상기 이벤트 상관기(1007)에 송신한다.

대표적인 실시예들에 의하면, 상기 이벤트 상관기(1007)는 상기 이벤트 상관기(1007)로부터 엔드포인트 이벤트들(1033)을 수신하고, 상기 이벤트 상관 매트릭스(1013)를 사용하여 상기 경계들(1032)을 매핑하며, 엔드포인트 경고들(1034)을 생성하여 이들을 상기 위협 분류기(1008)에 송신한다.

대표적인 실시예들에 의하면, 상기 위협 분류기(1008)는 위협들을 카테고리화하고, 엔드포인트 무결성의 실시간 가시화를 위해 상태 표시들(1024)을 상기 대시보드 제어기(1009)에 송신하며, 작용 요구들(1025)을 상기 치료 제어기(848)에 송신한다.

대표적인 특정 실시예들에서, 상기 글로벌 대상 콘텍스트 생성기(1005)는 도 4에 도시된 시스템 이벤트 상관기(410)에 포함될 수 있다.

대표적인 특정 실시예들에서, 상기 이벤트 프로세서(1006), 이벤트 상관기(1007) 및 위협 분류기(1008)는 도 8에 도시된 바와 같이 상기 신뢰 슈퍼바이저(846)에 포함될 수 있다.

도 11은 주제 평판을 결정하는 한 대표적인 시스템을 예시하는 블록도이다. 도 11은 도 4, 5, 7c, 및 8-10에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 11은 그러한 실시예들에 국한되지 않는다. 예를 들면, 상기 시스템(1100)은 도 10을 참조하여 위에서 설명된 시스템(1000)에 의해 결정된 위험도의 계산과 같은 위험도의 계산에 기반하여 주제 평판 스코어들을 생성하는데 사용될 수 있다.

도 11을 참조하면, 상기 대표적인 주제 평판 시스템(1100)은 인증 서비스(1103)를 구비한 인증 프로세스/세레모니(1115)를 통해 장치(560) 상에서 인증되는 사용자(1014), 서비스 요구를 수신하도록 구성된 서비스 제공자(1104), 타깃 서비스일 수 있는 관리되는 애플리케이션(1105), 평판 브로커(1106), 신뢰 브로커(407), 로그 관리 시스템(904), 역할 관리 시스템(902) 및 신원 관리 시스템(903)을 포함한다.

특별히 달리 언급되지 않는 한은, 사용자가 인간 사용자, 소프트웨어 에이전트, 또는 사용자들 및/또는 소프트웨어 에이전트들의 그룹을 인식하도록 본원 명세서에서 교환가능하게 사용된다. 본원 명세서에 기재된 인증 시스템들 및 장치들(560)을 사용해야 하는 인간 사용자 외에도, 소프트웨어 애플리케이션 또는 에이전트는 때때로 애플리케이션들을 실행하거고, 서비스들 또는 소셜 네트워크들에 액세스하며, 온라인 트랜잭션들을 수행하고, 보안 데이터를 리뷰, 업데이트, 또는 분석하며 그리고 이벤트들, 경계들 및 경고들을 처리해야 한다. 따라서, 특별히 언급되지 않는 한, 본원에서 사용되는 "사용자"라는 용어는 반드시 인간과 관련될 필요가 없다.

도 11을 계속 참조하면, 상기 대표적인 주제 평판 시스템(1100)은 또한 재고 관리 시스템(901), 평판 프로세서(1110), 위험도 상관기(1111), 위험도 상관 매트릭스(1113), 및 평판 스코어 생성기(1112)를 포함한다.

한 실시예에서, 상기 평판 프로세서(1110)는 상기 신뢰 브로커(407)로부터 주제 이벤트들(1123)을 수신하도록 구성된 시스템 이벤트 상관기(410)의 구성요소이며 사용자(1101)의 무결성 프로파일들(420)과 유사한 사용자 경계들(1124)을 포함한다.

도 11에 도시된 바와 같이, 상기 위험도 상관기(1111)는 장치(560) 또는 사용자(1014)에 대한 경계들과 같은 주제 경계들(1124)을 수신하고 도 7의 위험도 상간 매트릭스(721)와 유사한 위험도 상관 매트릭스(1113) 그리드의 셀에 상기 주제 경계들(1124)을 매핑하도록 구성될 수 있다. 그리고나서, 트리거된 경고들(다시 말하면, 사용자(1014) 또는 장치(560) 경고들)은 사용자(1014)의 평판 스코어(1125)를 결정하도록 상기 평판 스코어 생성기(1112)에 의해 처리될 수 있다.

주제 이벤트들

여러 실시예에서, 도 11에 도시된 주제 이벤트들(1123)은 개별 관리 시스템들로부터의 직접 질의에 대한 응답으로서 수신되는, 주제와 관련된, 프로비전된 속성들, 엔드포인트 및 네트워크 레벨 속성들에 대한 어서션들일 수 있다. 상기 주제는 사용자(1014), 장치(560), 트랜잭션, 또는 회사와 같은 편성일 수 있다.

대표적인 특정 실시예들에서, 장치(560)는 관리되는 애플리케이션(1105)에 액세스하도록 사용자(1014) 대신에 서비스 제공자(1104)에 서비스 요구(1116)를 송신한다. 상기 서비스 제공자(1104)는 평판 질의(1117)를 상기 평판 브로커(1106)에 송신하고, 적어도 상기 사용자(1104) 또는 장치(560)에 대한 평판 스코어를 포함할 수 있는 평판 토큰(1118)을 수신하며, 상기 관리되는 애플리케이션(1105)에 액세스하도록 하는 서비스 요구(1116)를 허용 또는 거부하도록 평판 기반 액세스 제어(1119)를 강제시킨다.

상기 주제 평판 시스템(1100)의 문맥 내에서는, 상기 신뢰 브로커(407)가 수신된 주제 속성들(예컨대, 자격들, 사용자들(1014)의 멤버십들, 사용자들(1014)의 역할들, 활동 정보)을 처리하여 주제 이벤트들을 생성하여 이들을 상기 평판 프로세서(1110)에 발송하도록 구성된다. 상기 주제 이벤트들은 트랜잭션에서의 보안 위험도 레벨을 결정할 수 있는 상기 주제에 대한 어서션들(예컨대, 업무의 정적 및 동적 분리, 최소 권한의 원칙, 관측된 자원 이용 패턴들, 내부 및 외부 네트워크들 상에서의 관측된 활동들)을 나타낸다. 하나의 실시예에서, 상기 신뢰 브로커(407)에 의해 발행되는 질의들(1121, 1130, 1122, 1128)은 사전에 구성된 것이지만, 도 14-18을 참조하여 이하에서 설명되는 대표적인 GUI와 같은 그래픽 사용자 인터페이스(graphical user interface; GUI) 또는 대시보드로부터 관리자에 의해 고객 맞춤화될 수 있다. 여러 실시예에서, 관리 시스템들은 Facebook 사에 의해 운영되는 FACEBOOK^®, Twitter 사에 의해 운영되는 Twitter, 및 LinkedIn와 같은 소셜 네트워킹 벤더들에 의해 호스팅되는 정보 시스템들을 포함할 수 있다.

대표적인 실시예들에 의하면, 상기 신뢰 브로커(407)는 주제(다시 말하면, 사용자, 장치, 트랜잭션, 서비스, 또는 편성)의 평판 스코어에 대한 질의(1120)을 수신하고, 주제 활동 질의(1121)를 로그 관리 시스템들(904)에 송신하며, 주제 속성 질의를 역할 관리 시스템들(902) 및 신원 관리 시스템들(903)에 송신하고, 장치 속성 질의를 재고 관리 시스템들(1128)에 송신하며, 주제 이벤트들(1123)을 생성하여 이들을 상기 평판 프로세서(1110)에 송신한다.

상기 주제 평판 시스템(1100)의 문맥에서, 도 9에 도시된 재고 관리 시스템(901)은 모바일 장치들(560), 모바일 애플리케이션들, 기업 데스크톱들, 서버들 등등을 포함하는 장치들(560)인 주제들에 관련된 정보를 제공하도록 구성될 수 있다.

도 11을 계속 참조하면, 한 실시예에서, 관련 장치 속성들은 적어도 장치(560) 지오-로케이션, 장치 프로비전된 상태, 인에이블/디스에이블된 장치(560) 기능들, 및 소유자 등록(다시 말하면, 사용자(1014) 등록 또는 편성 등록)을 포함한다.

여러 실시예에 의하면, 상기 위험도 상관기(1111)는 주제 경계들(1124)을 수신하고, 상기 위험도 상관 매트릭스(1113)를 사용하여 상기 주제 경계들(1124)을 주제 경고들(1126)에 매핑하며, 상기 평판 스코어 생성기(1112)를 호출하여 상기 평판 브로커(1106)에 의해 상기 평파 토큰(1118)에 포함될 수 있는 주제 평판 스코어(1125)를 확립하도록 구성된다.

도 11의 대표적인 실시예에서, 상기 주제 경계들(1124)은 사용자(1014) 경계들(다시 말하면, 사용자(1014) 무결성 프로파일들), 장치(560) 경계들, 또는 상기 장치(560) 상에서 실행하는 애플리케이션을 위한 애플리케이션 경계들일 수 있다. 대표적인 특정 실시예들에서, 상기 평판 프로세서(1110)는 도 4에 도시된 신뢰 슈퍼바이저(846)에 포함될 수 있다.

네트워크 흐름 치료 및 모바일 보안을 제공하는 시스템들

도 12는 네트워크 흐름 치료를 위한 한 대표적인 시스템을 예시하는 블록도이다. 도 12는 도 5에 예시된 실시예를 계속 참조하여 설명될 것이다. 그러나, 도 12는 그러한 실시예에 국한되지 않는다. 상기 시스템(1200)은 위험도의 계산에 기반하여 네트워크 흐름 치료를 수행할 수 있다.

도 12를 참조하면, 상기 대표적인 네트워크 흐름 치료 시스템(1200)은 애플리케이션(1203)을 실행할 수 있는 장치(560) 상의 엔드포인트 신뢰 에이전트(1201), 신뢰 편성기(1205), 맬웨어 분기들, 네트워크 엔드포인트 검사 서비스들, 및 평판 서비스들을 포함할 수 있는 복수의 융합 서비스들(1207), 네트워크 신뢰 에이전트(1209) 및 오픈플로우(OpenFlow) 보안 프레임워크(1211)를 포함할 수 있는 네트워크 서비스(1230), 오픈플로우 제어기(1214), 및 오픈플로우 가능 네트워크 요소(1216)(예를 들면, 스위치 또는 라우터)를 포함할 수 있다.

대표적인 특정 실시예들에서, 상기 엔드포인트 신뢰 에이전트(1201)는 애플리케이션(1203)의 국부 런타임 실행 콘텍스트를 포함할 수 있는 동적 콘텍스트(1204)를, 융합 서비스들(1207)로부터 수신되는 엔드포인트 검사 보고들(1206)을 포함할 수 있는 글로벌 보안 콘텍스트 상에서 위험도의 계산을 수행할 수 있는 신뢰 편성기(1205)에 송신하고, 네트워크 흐름 치료를 위해 가입 기반 평판 서비스로서 시스템 경고(1208)(엔드포인트 위협 인텔리전스)를 네트워크 신뢰 에이전트(1209)에 송신한다.

대표적인 특정 실시예들에서, 상기 네트워크 신뢰 에이전트(1209)는 메시지들(1210)을 오픈플로우 보안 프레임워크(1211) 미들웨어에 송신하여 지시들(1213)을 오픈플로우 제어기(1214)에 송신하거나, 또는 지시들(1212)을 오픈플로우 가능 네트워크 요소(1216)에 송신하고, 프로토콜(1215)을 통해 트래픽 플로우들을 봉쇄 또는 우회하도록 하는 액세스 제어들(1217)을 적용할 것을 오픈플로우 가능 네트워크 요소(1216)에 통지한다.

도 13은 모바일 보안을 제공하는 한 대표적인 시스템을 예시하는 블록도이다. 도 13은 도 4-6에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 13은 그러한 실시예들에 국한되지 않는다. 시스템(1300)은 위험도의 계산에 기반하여 모바일 장치들 및 무선 네트워크 흐름들을 치료함으로써 모바일 보안을 제공할 수 있다.

도 13을 참조하면, 상기 대표적인 모바일 보안 시스템(1300)은 모바일 애플리케이션(1303)을 실행할 수 있는 모바일 장치(560) 상의 엔드포인트 신뢰 에이전트(1301), 신뢰 편성기(1310), 맬웨어 분석기들, 네트워크 엔드포인트 검사 서비스들, 및 평판 서비스들을 포함할 수 있는 복수의 융합 서비스들(1312), 네트워크 신뢰 에이전트(1315) 및 네트워크 보안 프레임워크(1318)를 포함할 수 있는 네트워크 서비스(1350), 네트워크 요소(1320)(예를 들면, 스위치 또는 라우터), 무선 액세스 포인트(1322), 모바일 폴리시 관리자(1313) 및 모바일 장치 관리자(1324)를 포함한다.

엔드포인트 신뢰 에이전트

도 5, 6 및 13을 참조하면, 한 실시예에서, 상기 엔드포인트 신뢰 에이전트(510)가 장치(560) 상에 상주한다. 상기 엔드포인트 신뢰 에이전트(510)는 애플리케이션들 및 장치 기능들(예컨대, 마이크로폰, 카메라, 키보드, 또는 디스플레이 기능들)을 실행하는 것을 포함하는, 런타임에서 상기 장치(560) 상에서 수행하는 모든 운영들을 모니터링하고, 엔드포인트 이벤트들(520) 및 보안 서버스 요구들(518)을 상기 신뢰 편성기(430)에 발송하도록 구성될 수 있다. 상기 엔드포인트 신뢰 에이전트(510)의 기능 요소인, 런타임 모니터(620)는 시스템 모니터(512), 소켓 모니터(513), 및 통지 메커니즘(예컨대, MICROSOFT^TM WINDOWS^® 관리 기능화부(WMI) 또는 Android 애플리케이션 관리자)을 사용하여 고유 기계 기능화부(511)로부터 원래 이벤트들(611)을 수신하는 프로세스 모니터(514)를 포함한다. 대표적인 특정 실시예들에서, 상기 엔드포인트 신뢰 에이전트(520)는 또한 모바일 장치 관리자(1324) 또는 모바일 폴리시 관리자(1313)로부터 메시지들을 수신 및 처리하여 장치 운영들 및/또는 설정들을 제어할 수 있다. 상기 엔드포인트 신뢰 에이전트(510)는 위험도 및 위협에 불가지하며 단지 룰 세트들(631)의 평가에 기반하여 이벤트들을 생성하며 위협 상관 매트릭스(633)에 기반하여 런타임 행위를 검사한다. 위험도의 검사, 및 위협들의 분류 및 식별은 상기 신뢰 편성기(430)에 위임될 수 있다.

대표적인 특정 실시예들에서, 상기 엔드포인트 신뢰 에이전트(1301)는 모바일 애플리케이션(1303)의 국부 런타임 실행 콘텍스트를 포함할 수 있는 동적 콘텍스트(1304)를, 융합 서비스들(1312)로부터 수신되는 엔드포인트 검사 보고들(1311)을 포함할 수 있는 글로벌 보안 콘텍스트 상에서 위험도의 계산을 수행할 수 있는 신뢰 편성기(1310)에 송신하고, 네트워크 흐름 치료를 위해 가입 기반 평판 서비스(1314)로서 위협 인텔리전스를 네트워크 신뢰 에이전트(1315)에 송신한다.

대표적인 특정 실시예들에서, 상기 네트워크 신뢰 에이전트(1315)는 메시지들(1316)을 네트워크 보안 프레임워크(1318) 미들웨어에 송신하여 폴리시들(1319)을 무선 액세스 포인트(1320)에 송신하거나, 또는 폴리시들(1317)을 무선 액세스 포인트(1320)에 송신하고, 트래픽 흐름들을 봉쇄 또는 우회하도록 하는 액세스 제어들(1321)을 적용한다.

대표적인 특정 실시예들에서, 상기 신뢰 편성기(1310)는 메시지들(1307)을 상기 모바일 폴리시 관리자(1313)에 송신하여 상기 모바일 장치(560) 상에서 기능 제어들(1306)을 설정하도록 하는 지시들(1308)을 상기 모바일 장치 관리자(1324)에 송신하거나 도 6의 무결성 프로세서(630) 및 런타임 모니터(620)를 위한 지시들(1305)을 상기 엔드포인트 신뢰 에이전트(1301)에 송신한다.

관리 콘솔을 위한 대표적인 사용자 인터페이스 대시보드들

도 14-18은 본 개시내용의 실시예들에 따른 대표적인 그래픽 사용자 인터페이스(graphical user interface; GUI)들을 예시하는 도면들이다. 도 14-18에 도시된 GUI들은 도 1-13의 실시예들을 참조하여 설명될 것이다. 그러나, 상기 GUI들은 그러한 실시예들에 국한되지 않는다. 도 14-18은 본 발명의 실시예들에 따른, 운영 무결성, 자원 이용, 애플리케이션 무결성, 및 네트워크 활성에 관련된 데이터를 디스플레이하기 위한 여러 대시보드를 포함하는 대표적인 데이터 센서의 관리 콘솔 인터페이스를 예시하는 도면들이다.

"콘솔 디스플레이", "디스플레이", "디스플레이 스크린", 및 "스크린"이라는 용어들은 본원 명세서에 기재된 시스템들의 관리자들 또는 장치(560)의 사용자(1014)와 같은 컴퓨팅 장치의 사용자에 의해 가시화되는 콘텐츠를 디스플레이하기 위해 컴퓨팅 장치에 연결되거나 컴퓨팅 장치와 합체되는 디스플레이 장치 또는 스크린의 임의 타입을 폭넓게 그리고 전부 통틀어 언급하도록 본원 명세서에서 교환가능하게 사용된다. 한 실시예에서, 상기 장치(560)는 모바일 컴퓨팅 장치(560)이다. 그러한 디스플레이 스크린은 예를 들어 그리고 제한을 두지 않고 터치-스크린 액정 디스플레이(liquid crystal display; LCD)를 포함할 수 있다. 본 발명의 여러 실시예에서, 모바일 장치(560)의 GUI들은 디스플레이 상에 보이게 된다. 다른 실시예들에서, 도 14-18에 도시된 GUI들은 서버의 디스플레이(다시 말하면, 서버 콘솔), 데스크톱 컴퓨터(다시 말하면, PC 모니터), 또는 랩톱 디스플레이 상에 보이게 된다.

도 14-18에 도시된 대표적인 GUI들에서, 상기 콘솔 인터페이스 및 대시보드들은 전용 고유 인터페이스에서 렌더링된다. 변형 실시예들에서, 상기 콘솔 인터페이스는 웹 기반으로 이루어지며 웹 브라우저 내에 렌더링된다. 다른 실시예들에서, 도 14-18에 도시된 콘솔 인터페이스 및 대시보드들은 터치 감응(다시 말하면, 터치 스크린) 디스플레이를 지니는 서버 또는 워크스테이션 디스플레이들 상에 디스플레이될 수 있다. 설명을 용이하게 하기 위해, 상기 콘솔 인터페이스의 동작은 (터치 스크린을 포함하는) 마우스 또는 포인팅 장치와 같은 입력 장치를 지니는 컴퓨팅 장치의 문맥으로 논의될 것이지만, 그에 국한되는 것으로 의도한 것은 아니다. 그러한 컴퓨팅 장치 플랫폼들의 예들에는 Apple 사로부터의 OSX 서버 및 워크스테이션 운영 체계(OS)들; MICROSOFT^TM 사로부터의 WINDOWS^® 서버 및 워크스테이션 OS들; UNIX-기반 OS들; 및 RedHat^TM 사로부터의 Linux와 같지만 그에 국한되지 않는 Linux OS들이 있지만 이들에 국한되지 않는다.

변형 실시예들에서, 도 14-18의 GUI들은 개인 휴대 정보 단말기(personal digital assistant; PDA), iPhone^TM, iPod^TM 터치, 또는 iPad^TM 태블릿 장치, Google 사로부터의 Android 운영 시스템(OS)을 동작시키는 장치, MICROSOFT^TM WINDOWS^® 모바일 또는 폰 OS를 실행하는 장치, Symbian OS를 실행하는 장치, PALM OS^®를 실행하는 장치, Research In Motion ("RIM")으로부터의 Blackberry OS를 실행하는 BLACKBERRY^® 장치, 스마트폰, 핸드 헬드 컴퓨터, 넷북 컴퓨터, 팜톱 컴퓨터, 랩톱 컴퓨터, 울트라-모바일 PC, 또는 명령어들을 처리하고 사용자들 및 다른 컴퓨팅 장치들로부터 데이터를 수신하고 사용자들 및 다른 컴퓨팅 장치들로 데이터를 전송할 수 있는 다른 유사한 타입의 모바일 장치와 같지만 이들에 국한되지 않는 모바일 컴퓨팅 장치의 디스플레이 상에 렌더링될 수 있다.

여기서 이해해야 할 점은 도 14-18의 대표적인 실시예에서 예시된 콘솔 인터페이스 및 대시보드들이 모바일 장치 플랫폼들 및 운영 시스템들의 디스플레이, 컴퓨터 단말기, 클라이언트 장치의 디스플레이, 서버의 디스플레이 콘솔, 모니터링 장치의 디스플레이 콘솔, 타깃 또는 주제 장치의 디스플레이, 또는 컴퓨팅 장치의 다른 디스플레이 상에서 실행하도록 용이하게 구성될 수 있다는 점이다. 따라서, 도 14-18에 예시된 대표적인 GUI들은 인증 애플리케이션을 사용하는 모바일 장치의 디스플레이 상에, 웹 브라우저 세션 내에서, 인증 서버의 디스플레이 콘솔 상에, 또는 인증 애플리케이션을 실행하는 클라이언트 장치의 디스플레이 상에 렌더링될 수 있다.

도 14-18 전반에 걸쳐, 디스플레이들에는 여러 아이콘, 폴더, 페인, 커맨드 영역, 인터페이스, 윈도우, 탭, 타일, 데이터 엔트리 필드, 드롭 다운 메뉴, 및 작용의 개시, 루틴의 호출, 모니터 자원 이용의 운영 무결성에 관련된 데이터의 모니터링 및 디스플레이, 또는 다른 기능의 호출에 사용되는 버튼들이 도시되어 있다. 개시된 작용들은 이벤트들의 뷰잉, 이벤트들의 편집, 캘린더 환경설정들의 입력, 백워드 스크롤, 포워드 스크롤, 및 다른 캘린더 뷰 입력 내비게이션 입력들 및 제스처들을 포함하지만, 이들에 국한되지 않는다. 간결성을 위해, 상기 도면들의 이전 또는 이후의 도면들과 비교하여, 단지 상기 도면들 내에서 나타나는 차이점들만이 이하에서 설명될 것이다.

한 실시예에서, 도 14-18에 도시된 GUI들 및 대시보드들을 디스플레이하는데 사용되는 디스플레이는 도 26에 도시된 컴퓨터 디스플레이(2630)일 수 있으며, 상기 콘솔 인터페이스는 디스플레이 인터페이스(2602)일 수 있다. 본 발명의 여러 실시예에 의하면, 사용자는 터치 스크린, 포인팅 장치, 스타일러스, 트랙볼, 터치 패드, 마우스, 키보드, 조이스틱, 음성 활성화 제어 시스템, 또는 사용자 및 GUI 간의 상호작용을 제공하는데 사용되는 다른 입력 장치들과 같지만 이들에 국한되지 않는 입력 장치들을 사용하여 콘솔 인터페이스 및 대시보드들과 상호작용할 수 있다.

도 14는 운영 무결성 대시보드(1450)를 포함하는 데이터 센터의 관리 콘솔(1400)을 위한 한 대표적인 GUI를 도시하는 도면이다.

도 14를 참조하면, 상기 대표적인 데이터 센터의 관리 콘솔(1400)은 상기 데이터 센터 재고(1401)의 '글로벌 뷰'(다시 말하면, '글로벌 뷰 대시보드')를 제공하도록 단일 페인으로서 운영 무결성 대시보드 또는 디스플레이 윈도우(1450)를 가시적으로 디스플레이할 수 있다. 상기 디스플레이 윈도우(1450)는 자원들의 계층적 트리 뷰를 이루는 데이터 센터의 재고(1401)의 글로벌 뷰, 자원(1402)의 구성요소 레벨 뷰, 자원 네임(1403), 자원 플랫폼 타입(1404), 적어도 시스템 구성(1405)을 포함하는 복수의 신뢰 벡터들에 대한 무결성 메트릭들, 자원 이용(1406), 애플리케이션 무결성(1407), 네트워크 활동(1408), 치료 작용(1409), 적어도 사용자 기능의 복구, 검역 및 우회를 포함할 수 있는 치료 제어(1410), 작용 요약(1413), 세부 페인(1411), 상태 페인(1412), 컬러로 표기되는 런타임 무결성 표시자들(1440)을 포함하는 정보 필드들을 포함할 수 있다.

상기 정보 필드들은 실시간으로나 실시간에 가깝게 디스플레이 및/또는 업데이트될 수 있다. 상기 컬러로 표기되는 런타임 무결성 표시자들(1440)은 각각의 디스플레이된 신뢰 벡터(1405, 14706, 1407, 1408)에 대해 동영상화될 수 있으며 오디오-비주얼 효과를 포함할 수 있다. 예를 들면, 상기 무결성 표시자들(1440)은 위치 변경들, 컬러 변경들, 크기 변경들, 크로스-페이딩, 블링킹, 비핑, 또는 진동(다시 말하면, 모바일 클라이언트 장치상에 디스플레이될 경우에) 동영상화될 수 있다. 여러 실시예에서, 상기 무결성 표시자들(1440) 중 일부 또는 모두는 대응되는 신뢰 벡터의 드릴-다운(drill-down) 또는 세부 뷰에 대한 세부 다이얼로그 박스들, 확장 뷰들, 또는 보고들에 대한 링크들과 하이퍼링크된 그래픽들일 수 있다.

비록 상기 무결성 대시보드(1450)에는 특정 배치의 특정 정보 필드들 및 레이블들이 도시되어 있지만, 여기서 고려할 점은 다른 정보 필드들 및 배치들이 가능하다는 점이다. 예를 들면, 추가적인 신뢰 벡터들 또는 고객 필터 기반 조감 뷰가 디스플레이되거나, 상기 대시보드가 플러그-인 제어로서 엠베드되고 제3자 관리 콘솔에 스트림라인(streamline)될 수 있다.

도 15는 시스템 구성 대시보드(1550)를 포함하는 런타임 운영 무결성 모니터링 콘솔(1500)을 위한 한 대표적인 GUI를 보여주는 도면이다.

도 15를 참조하면, 상기 대표적인 런타임 운영 무결성 모니터링 콘솔(1500)은 단일 페인으로 시스템 구성 대시보드 또는 디스플레이 윈도우(1550)를 시각적으로 디스플레이할 수 있다. 상기 디스플레이 윈도우(1550)는 심각도(1501), 경고 또는 관측 활동(1502), 타임스탬프(1503), 평가 상태(1504), 권고 작용(1505), 디스플레이되는 위협 세부 페인(1507)에 해당하는 타임스탬프, 소스 위치, 위협 식별자 및 피해자 식별자를 포함할 수 있는 상세설정 세부(advanced details; 1506), 위협 세부 페인(1507), 및 감염 이력과 관련될 수 있는 기계 이력(1508)을 포함하는 정보 필드들을 포함할 수 있다.

상기 위협 세부 페인(1507)은 법의학적 증거 체인, 감염 진단 및 위협 식별로 이끈 복수의 검출된 이벤트들을 포함할 수 있다.

상기 시스템 구성 대시보드(1550)에는 특정 배치의 특정 정보 필드들이 도시되어 있지만, 여기서 고려할 점은 다른 정보 피드들 및 배치들이 가능하다는 점이다.

도 16은 자원 이용 대시보드(1650)를 포함하는 런타임 운영 무결성 모니터링 콘솔(1600)을 위한 한 대표적인 GUI를 보여주는 도면이다.

도 16을 참조하면, 상기 대표적인 런타임 운영 무결성 모니터링 콘솔(1600)은 자원 이용 대시보드 또는 디스플레이 윈도우(1650)를 가시적으로 디스플레이할 수 있다. 상기 디스플레이 윈도우(1650)는 심각도(1601), 경고 또는 관측 활동(1602), 타임스탬프(1603), 평가 상태(1604), 권고 작용(1605), 디스플레이되는 위협 세부 페인(1607)에 해당하는 타임스탬프, 소스 위치, 위협(또는 맬웨어) 식별자 및 피해자 식별자를 포함할 수 있는 상세설정 세부(1606), 위협 세부 페인(1607), 및 감염 이력과 관련될 수 있는 기계 이력(1608)을 포함하는 정보 필드들을 포함할 수 있다.

상기 위협 세부 페인(1607)은 법의학적 증거 체인, 감염 진단 및 위협 식별로 이끈 복수의 검출된 이벤트들을 포함할 수 있다.

비록 상기 자원 이용 대시보드(1650)에는 특정 배치의 특정 정보 필드들 및 레이블들이 도시되어 있지만, 여기서 고려할 점은 다른 정보 필드들 및 배치들이 가능하다는 점이다.

도 17은 애플리케이션 무결성 대시보드(1750)를 포함하는 런타임 운영 무결성 모니터링 콘솔(1700)을 위한 한 대표적인 GUI를 보여주는 도면이다.

도 17을 참조하면, 상기 대표적인 런타임 운영 무결성 모니터링 콘솔(1700)은 애플리케이션 무결성 대시보드 또는 디스플레이 윈도우(1750)를 가시적으로 디스플레이할 수 있다. 상기 디스플레이 윈도우(1750)는 심각도(1701), 경고 또는 관측 활동(1702), 타임스탬프(1703), 평가 상태(1704), 권고 작용(1705), 디스플레이되는 위협 세부 페인(1707)에 해당하는 타임스탬프, 소스 위치, 위협(또는 맬웨어) 식별자 및 피해자 식별자를 포함할 수 있는 상세설정 세부(1707), 위협 세부 페인(1707), 및 감염 이력과 관련될 수 있는 기계 이력(1708)을 포함하는 정보 필드들을 포함할 수 있다.

상기 위협 세부 페인(1707)은 법의학적 증거 체인, 감염 진단 및 위협 식별로 이끈 복수의 검출된 이벤트들을 포함할 수 있다.

비록 상기 애플리케이션 무결성 대시보드(1750)에는 특정 배치의 특정 정보 필드들 및 레이블들이 도시되어 있지만, 여기서 고려할 점은 다른 정보 필드들 및 배치들이 가능하다는 점이다.

도 18은 네트워크 활동 대시보드(1850)를 포함하는 런타임 운영 무결성 모니터링 콘솔(1800)을 위한 한 대표적인 GUI를 보여주는 도면이다.

도 18에 도시된 바와 같이, 한 대표적인 런타임 운영 무결성 모니터링 콘솔(1800)은 네트워크 작용 대시보드 또는 디스플레이 윈도우(1850)를 가시적으로 디스플레이할 수 있다. 상기 디스플레이 윈도우(1850)는 심각도(1801), 경고 또는 관측 활동(1802), 타임스탬프(1803), 평가 상태(1804), 권고 작용(1805), 디스플레이되는 위협 세부 페인(1807)에 해당하는 타임스템프, 소스 위치, 위협(또는 맬웨어) 식별자 및 피해자 식별자를 포함할 수 있는 상세설정 세부(1806), 위협 세부 페인(1807), 및 감염 이력과 관련될 수 있는 기계 이력(1808)을 포함하는 정보 필드들을 포함할 수 있다.

상기 위협 세부 페인(1807)은 법의학적 증거 체인, 감염 진단 및 위협 식별로 이끈 복수의 검출된 이벤트들을 포함할 수 있다.

비록 상기 네트워크 활동 대시보드(1850)에는 특정 배치의 특정 정보 필드들 및 레이블들이 도시되어 있지만, 여기서 고려할 점은 다른 정보 필드들 및 배치들이 가능하다는 점이다.

위협 식별 및 치료 및 주제 평판 방법

도 19-22는 위협 식별 및 치료, 주제 평판 서비스의 제공, 및 네트워크 흐름 레벨 치료를 위한 대표적인 방법들을 보여주는 플로차트들이다.

도 19-22에 도시된 플로차트들은 도 1-8 및 11의 실시예들을 참조하여 설명될 것이다. 그러나, 도 19-22에 도시된 방법들(1900-2200)은 그러한 대표적인 실시예들에 국한되지 않는다. 도 19-22에 도시된 방법들(1900-2200)의 단계들은 반드시 이하에서 설명되는 순서로 이루어질 필요가 없다. 여러 실시예에 의하면, 상기 방법들(1900-2200)의 단계들 중 일부는 선택적이다.

도 19는 위협 식별 및 치료를 위한 한 대표적인 방법을 보여주는 플로차트이다. 도 19를 참조하면, 상기 방법(1900)은 신뢰 편성기(430), 엔드포인트 신뢰 에이전트(510), 네트워크 분석기(830) 및 엔드포인트 검사 서비스(820)를 사용하여 감염된 장치(560)에 대한 위협 식별 및 치료를 제공할 수 있다.

단계 1901에서, 고유 장치 및/또는 플랫폼 기능화부(610)로부터의 원래 이벤트들(611)이 수신된다. 한 실시예에서, 도 6을 참조하여 위에서 설명한 엔드포인트 런타인 모니터(620)는 상기 원래 이벤트들(611)을 수신한다. 상기 원래 이벤트들(611)이 수신된 다음에는, 제어가 단계 1902로 이동된다.

단계 1902에서, 이미지 파일 및 속성들은 신뢰 브로커로 송신된다. 한 실시예에 의하면, 이러한 단계는 도 5를 참조하여 위에서 설명된 프로세스 모니터(514)로서, 도 6을 참조하여 위에서 설명된 엔드포인트 런타임 모니터(620) 내에 포함되는 프로세스 모니터(514)에 의해 수행된다. 이러한 실시예에서, 상기 엔드포인트 런타임 모니터(620)에 포함된 프로세스 모니터(514)는 도 8을 참조하여 위에서 설명된 신뢰 편성기(430)의 신뢰 브로커(407)에 이미지 파일 및 속성들(518)을 송신하고 그럼으로써 전용 이미지 분석이 수행될 수 있게 한다. 상기 이미지 파일 및 속성들(518)이 송신된 후에, 상기 방법(1900)은 단계 1903으로 속행된다.

단계 1903에서, 상기 신뢰 브로커는 단계 1904로 제어를 이동시키기 전에 수신된 이미지 속성들을 기반으로 하여 상기 이미지 파일을 검증한다. 한 실시예에 의하면, 단계 1903에서의 검증은 도 5를 참조하여 위에서 설명된 신뢰 브로커(407)에 의해 수행될 수 있다.

단계 1904에서, 상기 신뢰 브로커(다시 말하면, 신뢰 브로커(407))는 상기 수신된 이미지 파일을 맬웨어 분석기에 송신한다. 하나의 실시예에서, 상기 맬웨어 분석기는 도 5를 참조하여 위에서 설명된 맬웨어 분석기(540)이며 상기 맬웨어 분석기는 상기 수신된 이미지 파일의 전용 고정 및 동적 이미지 내부관찰을 수행하도록 구성된다.

단계 1905에서, 상기 신뢰 브로커(407)와 같지만 그에 국한되지 않는 신뢰 브로커는 수신된 진단에 기반하여 이미지 프로파일을 생성하고 이를 엔드포인트 프로세스 모니터에 송신한다. 한 실시예에서, 이러한 단계는 도 5를 참조하여 위에서 설명된 엔드포인트 프로세스 모니터(514)에 이미지 프로파일(519)을 송신하는 단계를 포함한다. 상기 이미지 프로파일이 송신된 후에, 제어가 단계 1906으로 이동된다.

단계 1906에서, 상기 엔드포인트 런타임 모니터(620)는 무결성 이벤트들(621)과 같지만 이들에 국한되지 않는 무결성 이벤트들을 생성하고 이들을 도 6을 참조하여 위에서 설명된 무결성 프로세서(630)와 같지만 이에 국한되지 않는 무결성 프로세서에 송신한다.

단계 1907에서, 상기 엔드포인트 무결성 프로세서(630)는 수신된 이벤트들을 처리하여 이들을 룰 세트들(631)을 사용해 경계들에 매핑할 수 있다. 단계 1908에서, 상기 엔드포인트 무결성 프로세서(630)는 경고들(634)을 생성하여 이들을 이벤트 상관 매트릭스(633)를 사용해 엔드포인트 이벤트들(520)로서 상기 신뢰 편성기(430)에 송신할 수 있다.

단계 1909에서, 상기 시스템 이벤트 상관기(410)와 같지만 이에 국한되지 않는 시스템 이벤트 상관기가 상기 엔드포인트 무결성 프로세서(630)로부터 엔드포인트 이벤트들(520)을 수신한다.

단계 1910에서, 상기 신뢰 브로커(407)는 엔드포인트 검사 서비스(820)로부터 네트워크 엔드포인트 무결성 측정 및 검증 보고들(821)을 수신한다.

단계 1911에서, 상기 시스템 이벤트 상관기(410)는 상기 신뢰 브로커(407)로부터 시간적 이벤트들(409)을 수신한다.

단계 1912에서, 시스템 이벤트 상관기(410)는 상기 수신된 엔드포인트 및 시간적 이벤트들을 상관시키고 제어를 단계 1913으로 이동시키기 전에 상기 장치(560)의 무결성 프로파일(420)을 생성한다.

단계 1913에서, 상기 시스템 이벤트 상관기(410)는 상기 장치(560)의 무결성 프로파일(420)을 상기 신뢰 슈퍼바이저(846)에 송신한다.

단계 1914에서, 상기 네트워크 활동 상관기(831)는 감염 프로파일들(831)을 상기 신뢰 슈퍼바이저(846)인 신뢰 슈파이저에 송신한다.

단계 1915에서, 상기 신뢰 슈퍼바이저(846)는 상기 장치(560) 상에서의 위협 식별을 위한 법의학적 신뢰도에 기반하여 경고들을 분류하기 위해 수신된 무결성 및 감염 프로파일들을 처리할 수 있다.

단계 1916에서, 상기 신뢰 슈퍼바이저(846)는 상기 감염된 장치(560) 상에서 수행하도록 하는 작용들(847)을 상기 치료 제어기(848)에 송신한다. 단계 1917에서, 상기 치료 제어기(848)는 상기 감염된 장치(560) 상에서 수신된 작용 요구를 처리하고 구성된 임계값들 및 트리거들에 기반하는 지시들(849)을 시스템 편성 및 폴리시 강제 포인트(또는 네트워크 보안) 서비스들(860)에 송신할 수 있다.

도 20은 주제 평판 서비스를 서비스 제공자에게 제공하는 한 대표적인 방법을 보여주는 플로차트이다. 도 20의 대표적인 실시예에서, 상기 주제는 사용자이며 상기 방법(2000)은 사용자 평판 서비스를 제공한다. 그러나, 도 9 및 11을 참조하여 위에서 논의된 바와 같이, 변형 실시예들에서, 상기 주제는 또한 장치, 트랜잭션, 서비스, 또는 회사와 같은 편성일 수 있다.

특히, 도 20은 방법(2000)이 서비스 제공자를 위한 사용자 평판 서비스를 제공하는 단계들을 보여주는 도면이다. 하나의 실시예에서, 상기 서비스 제공자는 도 11을 참조하여 위에서 설명된 서비스 제공자(1104)이며 상기 방법(2000)은 도 8을 참조하여 위에서 설명된 신뢰 편성기(430)와 같지만 이에 국한되지 않는 신뢰 편성기를 사용할 수 있다.

여러 실시예에 의하면, 상기 방법(2000)의 단계들은 또한 도 8을 참조하여 위에서 설명된 엔드포인트 신뢰 에이전트(510), 네트워크 분석기(830), 및 엔드포인트 검사 서비스(820)와 같지만 이들에 국한되지 않는, 엔드포인트 신뢰 에이전트, 네트워크 분석기, 및 네트워크 분석기를 사용하여 수행될 수 있다.

단계 2001에서, 도 6을 참조하여 위에서 설명된 엔드포인트 런타임 모니터(620)와 같지만 이에 국한되지 않는 엔드포인트 런타임 모니터는 상기 고유 장치 및/또는 플랫폼 기능화부(610)로부터 원래 이벤트들(611)을 수신하고, 상기 장치(560)의 인증 서비스(1103)에 의해 인증된 사용자(1014)를 검출 및 식별한다.

단계 2002에서, 상기 엔드포인트 런타임 모니터(620)는 상기 고유 장치 및/또는 플랫폼 기능화부(610)로부터 사용자 활동 이벤트들을 수신한다. 상기 사용자 활동 이벤트들이 수신된 후에, 제어가 단계 2003으로 이동된다.

단계 2003에서, 상기 엔드포인트 런타임 모니터(620)는 무결성 이벤트들(621)을 생성하고 이들을 상기 엔드포인트 무결성 프로세서(630)에 송신할 수 있다.

단계 2004에서, 상기 엔드포인트 무결성 프로세서(630)는 수신된 이벤트들을 처리하여 이들을 룰 세트들(631)을 사용해 경계들에 매핑할 수 있다.

단계 2005에서, 상기 엔드포인트 무결성 프로세서(630)는 경고들(634)을 생성하여 이들을 이벤트 상관 매트릭스(633)를 사용해 엔드포인트 이벤트들(520)로서 상기 신뢰 편성기(430)에 송신할 수 있다. 상기 경고들 및 이벤트 상관 매트릭스가 생성 및 송신된 후에, 상기 방법(200)은 단계 2006으로 속행된다.

단계 2006에서, 상기 신뢰 브로커(407)는 복수의 융합 서비스들(904, 903, 902, 901)에 질의하여 복수의 융합 서비스들(904, 903, 902, 901)로부터 사용자 및 자원 속성들(1121, 1130, 1122, 1128)을 수신하고 주제 이벤트들(1123)을 생성할 수 있다. 단계 2007에서, 상기 평판 프로세서(1110)는 수신된 주제 이벤트들(1123)을 분석하고 주제 경계들(1124)(다시 말하면, 경계들 또는 무결성 프로파일들)을 생성할 수 있다.

단계 2008에서, 상기 위험 상관기(1111)는 사용자(1014) 경계들과 같은 수신된 주제 경계들(1124)을 상관시켜 상기 위험도 상관 매트릭스(721)를 사용해 사용자 경고들(1126)을 생성하고 상기 평판 스코어 생성기(1112)를 사용해 사용자 평판 스코어(1125)를 생성할 수 있다.

단계 2009에서, 상기 신뢰 슈퍼바이저(846)는 상기 장치(560)의 사용자(1014)의 위협 식별을 위한 법의학적 신뢰도에 기반하여 경고들을 분류시키기 위해 상기 수신된 무결성 및 감염 프로파일들을 처리할 수 있다. 상기 사용자(1014)는 상기 장치(560) 상의 애플리케이션을 실행하는 상기 장치(560) 내에 현재 로그되어 있기 때문에, 또는 상기 장치(560) 상의 파일, 데이터, 애플리케이션들, 또는 웹 페이지들과 같은 자원들에 액세스하도록 하는 계정/사용자 ID 권한들을 지니기 때문에 상기 장치와 연관되어 있을 수 있다.

단계 2010에서, 상기 평판 브로커(1106)는 서비스 제공자(1104)로부터 상기 장치(560)의 사용자(1014)를 위한 평판 질의(1117)를 수신한다.

단계 2011에서, 상기 평판 브로커(1106)는 상기 장치(560)의 사용자(1014)를 위한 평판 토큰(1118)을 송신한다. 한 실시예에서, 이러한 단계에서 송신된 평판 토큰(1118)은 적어도 사용자 평판 스코어(1125)를 포함한다. 상기 평판 토큰(1118)이 송신된 후에, 제어는 단계 2012로 이동된다.

단계 2012에서, 상기 서비스 제공자(1104)는 사용자(1014)가 관리되는 애플리케이션(1105)에 액세스하기 위해 상기 장치(560)로부터 수신된 서비스 요구(1116)를 처리하는데 평판 기반 액세스 제어(1119)를 적용한다. 상기 평판-기반 액세스 제어가 적용된 후에, 제어는 단계 2013으로 이동된다.

단계 2013에서, 상기 신뢰 슈퍼바이저(846)는 상기 장치(560)의 사용자(1014)의 세션들을 위한 네트워크 패브릭 상에서 수행하도록 하는 작용들(847)을 상기 평판 제어기(847)에 송신한다.

단계 2014에서, 상기 평판 제어기(848)는 상기 장치(560)의 사용자(1014)의 세션들을 위해 수신된 작용 요구를 처리하고 구성된 임계값들 및 트리거들에 기반하는 지시들(849)을 시스템 편성 및 폴리시 강제 포인트(네트워크 보안) 서비스들(860)에 송신할 수 있다.

도 21은 네트워크 신뢰 에이전트, 엔드포인트 신뢰 에이전트 및 신뢰 편성 서버를 사용하는 컴퓨팅 플랫폼상에서 실행하는 시스템들의 런타임 운영 무결성을 위한 인증 서비스가 제공될 수 있는 단계들을 보여주는 플로차트이다. 도 21에 도시된 방법(2100)의 단계들은 반드시 설명되는 순서로 이루어질 필요가 없다.

도 21을 참조하면, 상기 방법(2100)은 신뢰 편성기(1205), 엔드포인트 신뢰 에인전트(1201), 네트워크 신뢰 에이전트(1209) 및 융합 서비스들(1207)을 사용하여 네트워크 요소(1216)에서 감염된 장치(560)에 대한 네트워크 레벨 치료를 제공할 수 있다.

단계 2101에서, 상기 장치(560) 상의 엔드포인트 신뢰 에이전트(1201)의 엔드포인트 런타임 모니터(620)는 엔드포인트 이벤트들(520)을 포함할 수 있는 동적 콘텍스트(1204)를 상기 신뢰 편성기(1205)에 송신한다.

단계 2102에서, 상기 신뢰 편성기(430)는 제어를 단계 2103으로 이동시키기 전에 상기 엔드포인트 신뢰 에이전트(1201)로부터 수신된 엔드포인트 이벤트들(520)을 분석할 수 있다.

단계 2103에서, 상기 신뢰 브로커(407)는 엔드포인트 검사 서비스(또는 융합 서비스들)(820)로부터 네트워크 엔드포인트 검사들(또는 무결성 측정 및 검증 보고들)을 수신하여 이들을 분석하고 시간적 이벤트들(409)을 생성한다.

단계 2104에서, 상기 시스템 이벤트 상관기(410)는 엔드포인트 이벤트(520) 및 시간적 이벤트(409)를 상관시키고 상기 장치(560)의 무결성 프로파일(420)을 생성할 수 있다.

단계 2105에서, 상기 신뢰 슈퍼바이저(846)는 상기 네트워크 패블릭 상에서 실행하도록 하는 흐름 치료 작용들(847)을 생성하고 이들을 상기 치료 제어기(848)에 송신할 수 있다.

단계 2106에서, 상기 신뢰 편성기(1205)의 치료 제어기(848)는 상기 네트워크 장치(560)를 위한 시스템 경고(1208)를 상기 네트워크 신뢰 에이전트(1209)에 송신한다. 단계 2107에서, 상기 네트워크 신뢰 에이전트(1209)는 상기 오플플로우 제어기(1214)를 위한 커맨드(1213)를 만들어내도록 하는 지시들을 생성하여 이들을 상기 오픈플로우 보안 네트워크(1211)에 송신할 수 있다.

단계 2108에서, 상기 오픈플로우 제어기(1214)는 미리 경고된 네트워크 장치(560)로/네트워크 장치(560)로부터의 트래픽 흐름들을 우회 또는 봉쇄하도록 하는 룰들(1215)을 상기 오픈플로우 가능 네트워크 요소(스위치)(1216)에 송신한다.

단계 2109에서, 상기 오픈플로우 가능 네트워크 요소(스위치)(1216)는 제어가 단계 2110로 이동되기 전에 미리 경고된 네트워크 장치(560)에 대해 수신된 액세스 제한들(제어들)을 강제시킬 수 있다.

단계 2110에서, 상기 신뢰 슈퍼바이저(846)는 미리 경고된 네트워크 장치(560)에 대한 평판 스코어 업데이트들(847)을 모니터링하여 이들을 상기 치료 제어기(848)에 송신할 수 있다. 단계 2111에서, 상기 신뢰 편성기(1205)의 치료 제어기(848)는 미리 경고된 네트워크 장치(560)에 대한 시스템 보안 자세 상태 업데이트들(1208)을 상기 네트워크 신뢰 에이전트(1209)에 송신한다. 상기 평판 스코어 업데이트들이 모니터링 및 송신된 후에, 상기 방법(2100)은 단계 2112로 진행된다.

단계 2112에서, 상기 네트워크 신뢰 에이전트(1209)는 상기 오픈플로우 제어기(1214)를 위한 커맨드들(1213)을 만들어내도록 하는 지시들(1210)을 생성하고 이들을, 미리 경고된 네트워크 장치(560)로/미리 경고된 네트워크 장치(560)로부터의 정상 흐름들을 복구하도록 상기 오픈플로우 보안 프레임워크(1211)에 송신할 수 있다.

도 22는 여러 대표적인 실시예에 따른 방법을 예시하는 플로차트이다.

도 22를 참조하면, 상기 방법(2200)은 신뢰 편성기(1310), 엔드포인트 신뢰 에이전트(1301), 네트워크 신뢰 에이전트(1315) 및 엔드포인트 검사 서비스(1312)를 사용하는 무선 액세스 포인트(1320)에서 감염된 모바일 장치(560)에 대한 네트워크 흐름 레벨 치료를 제공할 수 있다.

단계 2201에서, 상기 모바일 장치(560) 상에서의 엔드포인트 신뢰 에이전트(1301)의 엔드포인트 런타임 모니터(620)는 제어를 단계 2202로 이동시키기 전에 엔드포인트 이벤트들(520)을 포함할 수 있는 동적 콘텍스트(1304)를 상기 신뢰 편성기(1310)에 송신한다.

단계 2202에서, 상기 신뢰 편성기(430)는 상기 모바일 장치(560) 상의 엔드포인트 신뢰 에이전트(1301)로부터 수신된 엔드포인트 이벤트들(520)을 분석할 수 있다.

단계 2203에서, 상기 신뢰 브로커(407)는 엔드포인트 검사 서비스(또는 융합 서비스들)(820)로부터 네트워크 엔드포인트 검사들을 수신하여 이들을 분석하고 시간적 이벤트들(409)을 생성한다. 상기 네트워크 엔드포인트 검사들이 분석되고 상기 시간적 이벤트들이 생성된 후에, 상기 방법(2200)은 단계 2204로 진행된다.

단계 2204에서, 상기 시스템 이벤트 상관기(410)는 엔드포인트 이벤트(520) 및 시간적 이벤트(409)를 상관시키고 상기 모바일 장치(560)의 무결성 프로파일(420)을 생성할 수 있다.

단계 2205에서, 상기 신뢰 슈퍼바이저(846)는 상기 네트워크 패브릭 상에서 실행하도록 하는 흐름 치료 작용들(847)을 생성하여 이들을 상기 치료 제어기(848)에 송신할 수 있다.

단계 2206에서, 상기 신뢰 편성기(1310)의 치료 제어기(848)는 제어가 단계 2207로 이동되기 전에 상기 모바일 장치(560)를 위한 시스템 경고(1208)를 상기 네트워크 신뢰 에이전트(1209)에 송신한다.

단계 2207에서, 상기 네트워크 신뢰 에이전트(1209)는 상기 모바일 장치(560)를 위한 액세스 제어(1321)를 적용하도록 하는 폴리시들(1317)을 생성하여 이들을 상기 무선 액세스 포인트(1320)에 송신하는데, 이러한 시점에서 제어가 단계 2208로 이동된다.

단계 2208에서, 상기 신뢰 편성기(1310)의 치료 제어기(848)는 상기 모바일 장치(560)를 위한 시스템 경고(1307)를 모바일 폴리시 관리자(1313)에게 송신하거나, 상기 모바일 장치(560) 상에서의 기능 제어들을 설정하도록 하는 지시들(1309)을 상기 모바일 장치 관리자(1324)에게 송신한다.

단계 2209에서, 상기 모바일 폴리시 관리자(1313)는 등록된 사용자(서비스 가입자) 및 상기 모바일 장치(560)를 위한 권고들 및 보안 설정들을 만들어내거나 상기 모바일 장치(560) 상에서의 기능 제어들을 설정하도록 하는 지시들(1309)을 생성하여 이들을 상기 모바일 장치 관리자(1324)에게 송신한다.

단계 2210에서, 상기 평판 브로커(1106)는 서비스 제공자(1104)로부터 모바일 장치(560)에 대한 평판 질의(1117)를 수신한다.

단계 2211에서, 상기 평판 브로커(1106)는 상기 장치(560)에 대해 수신된 감염 프로파일(832) 및 무결성 프로파일(420)에 기반하여 적어도 상기 신뢰 슈퍼바이저(846)에 의해 확립된 자세를 포함할 수 있는 상기 장치(560)에 대한 평판 토큰(1118)을 송신한다.

단계 2212에서, 상기 서비스 제공자(1104)는 관리되는 애플리케이션(1105)에 액세스하도록 상기 장치(560)로부터 수신된 서비스 요구(1116)를 처리하는데 평판 기반 액세스 제어(1119)를 적용할 수 있다.

엔티티 관계 모델 및 계층적 주제 평판

도 23은 주제 평판 스코어의 계산을 위한 시스템에서 사용되는 구성요소들 및 엔티티들 간의 대표적인 관계들을 보여주는 엔티티 관계도이다. 예를 들면 엔티티 모델(2300)에 나타나 있는 엔티티들 및 구성요소들은 도 11을 참조하여 위에서 설명한 시스템(1100)에 의해 평판 스코어들을 생성하는데 사용될 수 있다.

도 23을 참조하면, 대표적인 평판 스코어 시스템(2300)은 편성(2303)의 멤버 또는 달리 편성(2303)과 관련된 멤버에 의해 채용되는 사용자(1014)에 대한 평판 스코어를 계산한다. 사용자(1014)는 상기 편성과 일시적으로(다시 말하면, 계약자로서) 관련될 수 있다. 사용자(1014)는 하나 이상의 엔드포인트 장치들(560)을 사용하여 애플리케이션(2306)에 의해 렌더링되고 편성(2303)에 의해 관리되는 서비스(2305)와의 온라인 트랜잭션(2304)을 수행함으로써 활동(2307)에 참가한다. 여러 실시예에서, 상기 활동(2307)은 소셜(2308) 또는 직업(1409)으로서 카테고리화된다.

여러 실시예에 의하면, 편성(2303)은 회사, 정부 기관/부서, 대학 또는 학교, 병원, 비-영리 법인, 또는 직원들/회원들(다시 말하면, 장치들(560)의 사용자들(1014))을 대신하여 시스템들, 플랫폼들, 모바일 컴퓨팅 장치들, 또는 IT 자산들을 보호해야 하는 임의의 다른 그룹일 수 있지만, 이들에 국한되지 않는다. 편성(2303) IT 자산들은 서버들, 데스크톱 컴퓨터들, 랩톱들, 태블릿 컴퓨터들, 다기능 프린터들/스캐너들/팩스 기계들, 및 네트워크 장치들을 포함할 수 있지만, 이들에 국한되지 않는다. 상기 IT 자산들은 편성(2303)에 의해 소유되거나 임대되어 상기 편성(2303)에 의해 직접 제어되는 장치들(560)일 수 있다.

상기 IT 자산들은 사용자들(1014)(다시 말하면, BYOD 환경의 사용자 소유 모바일 컴퓨팅 장치) 또는 편성(2303)(다시 말하면, 편성(2303)에 의해 소유되거나 임대되는 '법인' IT 자산)에 의해 소유되고 관리되는 장치(560)를 포함할 수 있다. 한 실시예에서, 상기 평판 스코어 시스템(2300)은 혼합 환경에서 운영될 수 있다. 예를 들면, 편성(2303)은 기업 서버들 및 네트워크 장치들(도시되지 않음)을 소유하고, 랩톱들, 데스크톱 컴퓨터들/개인용 컴퓨터(PC)들, 및 사용자들(1014)을 위한 다른 엔드포인트 장치들(560)을 임대하며 동시에 사용자(1014) 소유 모바일 컴퓨팅 장치들(560)(다시 말하면, BYOD 환경에서의 스마트폰들, 랩톱들, 및 태블릿들)로 하여금 인터넷 또는 외부 네트워크들을 통해 편성(2303)에 액세스하는 것을 허용한다. 내부 네트워크들은 인트라넷, LAN, 또는 WAN일 수 있지만, 이들에 국한되지 않는다. 외부 네트워크들은 엑스트라넷, Wi-Fi와 같은 무선 데이터 네트워크들, 및 인터넷일 수 있지만, 이들에 국한되지 않는다.

상기 평판 스코어 시스템(2300)의 서버들(도시되지 않음)은 서버 팜(server farm)의 일부일 수 있지만 애플리케이션 서버들의 호스팅 애플리케이션들(2306), 파일 서버들, 메일 서버들, 데이터베이스 서버들, 프록시 서버들, 및 웹 서버들일 수 있지만, 이들에 국한되지 않는다. 이러한 서버들은 편성(2303)에 의해 소유되는 기업 서버들 또는 법인 임대하에 있는 서버들일 수 있다. 변형적으로, 상기 서버들은 또한, 원격, 서비스-제공자에 의해 관리되는 아웃소싱된 가상 데이터 센터(다시 말하면, 클라우드 컴퓨팅 환경)의 일부일 수 있다. 상기 네트워크 장치들은 네트워크 저장소 장치들, 라우터들, 스위치들, 허브들, 및 방화벽들일 수 있다. 이러한 네트워크 장치들은 편성(2303)의 근거리 통신 네트워크(local area network; LAN) 또는 광역 통신 네트워크(wide area network; WAN)의 일부일 수 있다.

도 24는 주제 평판 스코어의 한 대표적인 계층적 표현을 보여주는 블록도이다. 상기 계층적 표현(2400)은 도 11을 참조하여 위에서 설명한 시스템(1100)에 의해 생성되는 평판 스코어들을 보고하는데 사용될 수 있다.

도 24를 참조하면, 주제 평판 스코어(2400)의 대표적인 계층적 표현은 평판 스코어(2401), 트랜잭션 스코어(2409), 사용자 스코어(2407), 서비스 스코어(2408), 소셜 스코어(2402), 직업 스코어(2403), 장치 스코어(2404), 편성 스코어(2405), 및 애플리케이션 스코어(2406)를 포함한다. 도 24의 대표적인 실시예에서, 상기 편성 스코어(2405)는 예를 들면 회사 스코어(2405)일 수 있다.

평판 스코어는 (집성으로서) 하나 이상의 구성요소 스코어들을 포함할 수 있는데, 여기서 구성요소 스코어는 이하 집성 스코어로서 도 24에 예시되어 있다(예를 들면, 서비스 스코어는 트랜잭션 스코어의 구성요소 스코어일 수 있다). 집성 평판 스코어는 포함된 구성요소 스코어들에 주석을 달아 열거된 목록을 제공할 수 있다.

애플리케이션 이벤트 모니터링 아키텍처

도 25는 고유 기계 기능화부 메커니즘들에 대해 계층화된 확장들의 신뢰된 실행에 대한 애플리케이션 이벤트들을 모니터링하기 위한 한 대표적인 컴퓨팅 시스템 아키텍처(2500)를 보여주는 블록도이다. 도 25는 도 4-6에 예시된 실시예들을 계속 참조하여 설명될 것이다. 그러나, 도 25는 그러한 실시예들에 국한되지 않는다.

도 25를 참조하면, 신뢰용으로 기능화된 아키텍처(2500)의 대표적인 표현은 장치(560), 엔드포인트 신뢰 에이전트(510), 고유 기계 기능화부(610), 확장된 신뢰 기능화부(2501), 런타임 모니터(620), 시스템 이벤트 상관기(410), 및 신뢰 편성기(430)를 포함한다.

상기 런타임 모니터(620)는 상기 확장된 신뢰 기능화부(2501)로부터의 애플리케이션 이벤트들(2502)에 가입하여 상기 확장된 신뢰 기능화부(2501)로부터의 애플리케이션 이벤트들(2502)의 실시간에 가까운 비동기식 통지들을 수신한다. 상기 애플리케이션 이벤트들(2502)은 레지스트리, 파일 시스템, 네트워크, 저장소, 입력(예컨대, 피크 또는 포크) 및 프로세스 운영들(예컨대, 스레드 생성), 및 타깃 기능화된 장치(560) 상의 애플리케이션들을 실행함으로써 임의의 시스템 자원(예를 들면, 마이크로폰 또는 카메라)의 이용을 포함할 수 있다.

상기 확장된 신뢰 기능화부(2501)는 예를 들면 MICROSOFT^TM WINDOWS® 플랫폼들 상의 WINDOWS^® 관리 기능화부 (WMI)와 같은 고유 기계 기능화부(610)에 대해 계층화된 확장들일 수 있다.

관련 기술들에 숙련된 자라면 이해하겠지만, WMI는 기능화된 구성요소들(다시 말하면, 기능화된 플랫폼의 구성요소들)이 정보 및 통지를 제공하는 장치 구성요소들에 대한 프레임워크인 한 세트의 MICROSOFT^TM WINDOWS^® 드라이버 모델(WDM)에 대한 확장들이다. WMI는 분산 관리 태스크 포스(Distributed Management Task Force; DMTF) 웹-기반 기업 관리(Web-Based Enterprise Management; WBEM) 및 DMTF 공통 관리 모델(Common Information Model; CIM) 표준들의 MICROSOFT^TM 구현이다. WMI는 MICROSOFT^TM WINDOWS^® 운영 시스템(OS)들 상에 사전 설치되어 있으며 비주얼 베이직 스크립 버전(Visual Basic Scripting Edition; VBScript) 또는 윈도우즈 파워셀(Windows PowerShell)과 같은 스크립트 언어들로 하여금 MICROSOFT^TM WINDOWS^® OS를 실행하는 컴퓨팅 장치들 및 플랫폼들을 관리하는 것을 허용한다. 그러한 관리는 국부적으로(다시 말하면, 관리되는 서버 또는 플랫폼상에서) 또는 관리되는 플랫폼/장치 외부에 있는 컴퓨팅 장치로부터 원격으로 수행될 수 있다.

대표적인 특정 실시예들에서, 상기 런타임 모니터(620)는 타깃 기능화된 장치(560) 상의 애플리케이션들의 하나 이상의 실행 인스턴스들에 링크된 애플리케이션 필터들(2503)로서 동적 표현들 또는 규칙들을 생성 및 송신할 수 있다.

상기 애플리케이션 이벤트들(2502) 및 애플리케이션 필터들(2503)은 예를 들면 DMTF CIM 사양과 같은 표준 기반 스키마 정의들을 사용하여 표현될 수 있다. 비-제한적인 실시예들에서, 상기 CIM 스키마는 TaaS(Trust-as-a-Service)를 제공하는데 사용될 수 있다.

여러 실시예에서, 상기 아키텍처(2500)는 레지스트리, 파일 시스템, 네트워크, 및 처리 운영들(예컨대, 로드 라이브러리(Load Library), 원격 스레드 어태치(Remote Thread Attach), 피크/포크 메모리(Peek/Poke Memory) 운영들)과 같지만 이들에 국한되지 않는 비동기식 애플리케이션 이벤트들에 가입하도록 API들과 함께 사용될 수 있다.

상기 아키텍처(2500)의 실시예들은 MICROSOFT^TM WINDOWS^®, UNIX, Linux, 및 Apple OSX 업데이트들(다시 말하면, 브라우저들, 비즈니스 생산성 스위트들, 장치 드라이버들, 및 다른 플랫폼 구성요소들을 위한 OS 및 애플리케이션 업그레이들 및 보안 패치들)과 같지만 그들에 국한되지 않는 OS 업데이트들과 함께 엔드포인트 신뢰 센서를 포함하는 TaaS 엔드포인트의 패키징을 포함할 수 있다. 상기 아키텍처(2500)를 사용함으로써, 엔드포인트 신뢰 센서는 '작용들'에 기반하여 위험도를 평가하고 고유 기계 기능화부(610)를 레버리징함으로써, 런타임 운영 무결성을 측정할 수 있다.

여러 실시예에서, 상기 아키텍처(2500)는 또한 네트워크 신뢰 센서로 하여금 맬웨어의 클러스터링 및 분류를 위한 위협 '생명 주기 모델'을 사용하여 서명 없는 네트워크 활동 상관을 수행하는 것을 가능하게 한다.

여러 실시예에 의하면, 상기 아키텍처(2500)는 보안 인텔리전스의 무결성화를 위한 API를 사용함으로써 실시간 이벤트 상관(다시 말하면 위험도의 계산)에 기반하여 이루어지는 작용가능한 인텔리전스에 대한 신뢰 편성을 가능하게 한다.

컴퓨터 시스템 구현예

비록 대표적인 실시예들이 지금까지 컴퓨팅 장치 또는 기능화된 플랫폼에 대해 설명되었지만, 여기서 고려할 점은 상기 컴퓨팅 장치 또는 기능화된 플랫폼이 도 26에 도시된 컴퓨팅 시스템(2600)과 같은 마이크로프로세서들/범용 컴퓨터들 상의 소프트웨어로 구현될 수 있다는 점이다. 여러 실시예에서, 여러 구성요소의 기능들 중 하나 이상은 도 26을 참조하여 이하에서 설명되는 컴퓨터 시스템(2600)과 같은 컴퓨터 장치를 제어하는 소프트웨어로 구현될 수 있다.

도 1-25에 도시된 본 발명의 실시태양들, 또는 그들의 어느 일부(들) 또는 기능(들)은 하드웨어, 소프트웨어 모듈들, 펌웨어, 상부에 명령어들이 저장되는 비-일시적인 컴퓨터 판독가능 매체, 또는 이들의 결합을 사용하여 구현될 수 있으며 한 이상의 컴퓨터 시스템들 또는 다른 처리 시스템들로 구현될 수 있다.

도 26은 본 발명의 실시예들, 또는 그의 일부들이 컴퓨터-판독가능 코드로서 구현될 수 있는 한 대표적인 컴퓨터 시스템(260)을 보여주는 도면이다. 예를 들면, 도 1, 4-6, 8-13 및 25의 네트워크 시스템들 및 아키텍처들은 하드웨어, 소프트웨어, 상부에 명령어들이 저장된 펌웨어, 비-일시적인 컴퓨터 판독가능 매체, 또는 이들의 결합을 사용하여 컴퓨터 시스템(2600)으로 구현될 수 있으며 하나 이상의 컴퓨터 시스템들 또는 다른 처리 시스템들로 구현될 수 있다. 소프트웨어, 또는 그의 임의 결합은 도 1, 4-6, 8-13 및 25의 아키텍처들 및 시스템들(100, 400, 600, 800, 900, 1000, 1100, 1200, 1300, 2500)을 구현하는데 사용되는 모듈들 및 구성요소들 중 어느 하나를 구체화할 수 있다.

프로그램가능한 로직이 사용되는 경우에, 그러한 로직은 상업적으로 입수가능한 처리 플랫폼 또는 전용 장치상에서 실행할 수 있다. 당업자라면 이해하겠지만, 본원 명세서에 개시된 본 발명의 실시예들이 다중-코어 멀티프로세서 시스템들, 미니컴퓨터들, 메인프레임 컴퓨터들, 분산 기능들과 링크 또는 클러스터화된 컴퓨터들과 아울러, 사실상 임의의 장치 내에 엠베디될 수 있는 보급형 또는 소형 컴퓨터들을 포함하는 여러 컴퓨터 시스템 구성들로 실시될 수 있다.

예를 들어, 적어도 하나의 프로세서 장치 및 메모리는 위에서 언급한 실시예들을 구현하는데 사용될 수 있다. 프로세서 장치는 단일의 프로세서, 복수의 프로세서들, 또는 이들의 결합들일 수 있다. 프로세서 장치들은 하나 이상의 프로세서 "코드들"을 지닐 수 있다.

본 발명의 여러 실시예는 이러한 대표적인 컴퓨터 시스템(2600)에 대해 설명될 것이다. 이러한 설명을 이해한 후에는 다른 컴퓨터 시스템들 및/또는 컴퓨터 아키텍처들을 사용하여 본 발명을 어떠한 방식으로 구현해야 하는 지가 관련 기술에 숙련된 자에게 자명해질 것이다. 비록 운영들이 순차적인 프로세스로서 설명될 수 있지만, 운영들 중 일부 운영들은 사실상 병렬로, 동시에, 그리고/또는 분산 환경에서, 그리고 단일 또는 다중-프로세서 기계에 의한 액세스를 위해 국부적으로나 원격으로 저장된 프로그램 코드를 가지고 수행될 수 있다.

프로세서 장치(2604)는 전용 또는 범용 프로세서 장치일 수 있다. 관련 기술에 숙련된 자들이라면 이해하겠지만, 프로세서 장치(2604)는 또한 단지 운영만을 하는 다중-코어/다중 프로세서 시스템의 단일 프로세서일 수도 있고, 클러스터 또는 서버 팜에서 운영되는 컴퓨터 장치들의 클러스터의 단일 프로세서일 수도 있다. 프로세서 장치(2604)는 통신 기반구조(2606), 예를 들면 버스, 메시지 큐, 네트워크, 또는 다중-코어 메시지-흐름 스킴에 접속된다.

상기 컴퓨터 시스템(2600)은 또한 주 메모리(2608), 예를 들면 랜덤 액세스 메모리(random access memory; RAM)를 포함하며, 또한 보조 메모리(2610)를 포함할 수 있다. 보조 메모리(2610)는 예를 들면 하드 디스크 드라이브(2612), 착탈식 저장 드라이브(2614)를 포함할 수 있다. 착탈식 저장 드라이브(2614)는 플로피 디스크 드라이브, 자기 테이프 드라이브, 광 디스크 드라이브, 플래시 메모리 따위를 포함할 수 있다.

상기 착탈식 저장 드라이브(2614)는 공지된 방식으로 착탈식 저장 유닛(2618)으로부터 판독하고 착탈식 저장 유닛(2618)에 기록한다. 착탈식 저장 유닛(2618)은 착탈식 저장 드라이브(2614)에 의해 판독 및 기록되는 플로피 디스크, 자기 테이프, 광 디스크 등등을 포함할 수 있다. 관련 기술에 숙련된 자들이라면 이해하겠지만, 착탈식 저장 유닛(1618)은 내부에 컴퓨터 소프트웨어 및/또는 데이터가 저장된 비-일시적인 컴퓨터 사용가능 저장 매체를 포함한다.

변형적인 구현예들에서, 보조 메모리(2610)는 컴퓨터 프로그램들 또는 다른 명령어들이 컴퓨터 시스템(2600) 내로 로드되게 하는 다른 유사한 수단을 포함할 수 있다. 그러한 수단은 예를 들면 착탈식 저장 유닛(2622) 및 인터페이스(2620)를 포함할 수 있다. 그러한 수단의 예들에는 (비디오 케임 장치들에서 찾아 볼 수 있는) 프로그램 카트리지 및 카트리지 인터페이스, (EPROM, 또는 PROM과 같은) 착탈식 메모리 칩 및 관련 소켓, 및 다른 착탈식 저장 유닛(2622) 및 소프트웨어 및 데이터가 상기 착탈식 저장 유닛(2622)으로부터 컴퓨터 시스템(2300)으로 전달되는 것을 허용하는 인터페이스들(2620)이 있을 수 있다.

상기 컴퓨터 시스템(2600)은 또한 통신 인터페이스(2624)를 포함할 수 있다. 통신 인터페이스(2624)는 소프트웨어 및 데이터가 컴퓨터 시스템(2600) 및 외부 장치들 간에 전달되는 것을 허용한다. 통신 인터페이스들(2624)은 모뎀, (이더넷 카드와 같은) 네트워크 인터페이스, 통신 포트, PCMCIA 슬롯 및 카드 따위를 포함할 수 있다. 통신 인터페이스(2624)를 통해 전달되는 소프트웨어 및 데이터는 전자, 전자기, 광, 또는 통신 인터페이스(2624)에 의해 수신될 수 있는 다른 신호들일 수 있는 신호들의 형태로 이루어질 수 있다. 이러한 신호들은 통신 경로(2626)를 통해 통신 인터페이스(2324)에 제공될 수 있다. 통신 경로(2626)는 신호들을 반송(搬送)하며 와이어 또는 케이블, 광섬유, 전화선, 셀룰러폰 링크, RF 링크 또는 다른 통신 채널들을 사용하여 구현될 수 있다.

상기 컴퓨터 시스템(2600)은 또한 컴퓨터 디스플레이(2630) 및 디스플레이 인터페이스(2602)를 포함할 수 있다. 여러 실시예에 의하면, 도 14-18에 도시되고 위에서 설명된 GUI들 및 대시보드들을 디스플레이하는데 사용되는 디스플레이는 상기 컴퓨터 디스플레이(2630)일 수 있으며, 상기 콘솔 인터페이스는 디스플레이 인터페이스(2602)일 수 있다.

본원 명세서에서, "컴퓨터 프로그램 매체", "비-일시적인 컴퓨터 판독가능 매체", 및 "컴퓨터 사용가능 매체"는 일반적으로 착탈식 저장 유닛(2618), 착탈식 저장 유닛(2622), 및 하드 디스크 드라이브(2612)에 설치된 하드 디스크를 언급하는데 사용된다. 통신 경로(2626)를 통해 반송되는 신호들은 또한 본원 명세서에서 기술한 로직을 구체화할 수 있다. 컴퓨터 프로그램 매체 및 컴퓨터 사용가능 매체는 또한 메모리 반도체들(예컨대, DRAM들 등등)일 수 있는 주 메모리(2608) 및 보조 메모리(2610)와 같은 메모리들을 언급할 수 있다. 이러한 컴퓨터 프로그램 생성물들은 컴퓨터 시스템(2600)에 소프트웨어를 제공하기 위한 수단이다.

(또한 컴퓨터 제어 로직이라 불리는) 컴퓨터 프로그램들은 주 메모리(2608) 및/또는 보조 메모리(2610)에 저장된다. 컴퓨터 프로그램들은 또한 통신 인터페이스(2624)를 통해 수신될 수 있다. 그러한 컴퓨터 프로그램들은 실행될 때 컴퓨터 시스템(2600)이 본원 명세서에서 논의된 바와 같은 본 발명을 구현할 수 있게 한다. 특히, 상기 컴퓨터 프로그램들은 실행될 때 프로세서 장치(2604)가 위에서 논의된, 도 19-22의 플로차트들(1900, 2000, 2100, 2200)로 예시된 방법들의 단계들과 같은 본 발명의 프로세스들을 구현할 수 있게 한다. 따라서, 그러한 컴퓨터 프로그램들은 상기 컴퓨터 시스템(2600)의 제어기들을 나타낸다. 본 발명이 소프트웨어를 사용하여 구현될 경우에, 상기 소프트웨어는 컴퓨터 프로그램 생성물에 저장될 수 있으며 착탈식 저장 드라이브(2614), 인터페이스(2620), 및 하드 디스크 드라이브(2612), 또는 통신 인터페이스(2624)를 사용하여 컴퓨터 시스템(2600) 내로 로드될 수 있다.

본 발명의 실시예들은 또한 임의의 컴퓨터 사용가능 매체 상에 저장된 소프트웨어를 포함하는 컴퓨터 프로그램 생성물들에 관련된 것일 수 있다. 그러한 소프트웨어는, 하나 이상의 데이터 처리 장치에서 실행될 경우에, 데이터 처리 장치(들)가 본원 명세서에서 설명한 바와 같이 동작하게 한다. 본 발명의 실시예들은 임의의 컴퓨터 사용가능 또는 판독가능 매체를 채용한다. 컴퓨터 사용가능 매체들은 주 저장 장치들(예컨대, 임의 타입의 랜덤 액세스 메모리), 보조 저장 장치들(예컨대, 하드 드라이브들, 플로피 디스크들, CD ROM들, ZIP 디스크들, 테이프들, 자기 저장 장치들, 및 광 저장 장치들, MEMS, 나노기술 저장 장치 등등), 및 통신 매체(예컨대, 유선 및 무선 통신 네트워크들, 근거리 통신 네트워크들, 광역 통신 네트워크들, 인트라넷들 등등)를 포함하지만, 이들에 국한되지 않는다.

결론

여기서 이해해야 할 점은 요약 및 요약서 부분들이 아닌 상세한 설명 부분은 청구항들을 해석하는데 사용되도록 의도된 것이라는 점이다. 상기 요약 및 요약서 부분들에는 본 발명자(들)에 의해 고려된 바와 같은 본 발명의 대표적인 실시예들 중 하나 이상이 기재되어 있을 수 있지만, 그 전부가 기재된 것이 아닐 수 있으므로, 상기 요약 및 요약서 부분들은 어떤 방법으로든 본 발명 및 첨부된 청구항들을 한정하도록 의도된 것이 아니다.

본 발명의 실시예들은 특정된 기능들 및 그 기능들의 관계들의 구현을 예시하는 기능적인 빌딩 블록들의 도움으로 위에서 설명되었다. 이러한 기능적인 빌딩 블록들의 경계들은 설명의 편의를 위해 본원 명세서에서 임의로 정의되었다. 특정 기능들 및 그 기능들의 관계들이 적절히 수행되는 한 대체 경계들이 정의될 수 있다.

위의 특정 실시예들에 대한 설명은 본 발명의 일반적인 개념으로부터 벗어나지 않고 과도한 실험 없이 당업계의 기술에 속하는 지식을 적용함으로써, 다른 사람들이 그러한 특정 실시예들을 쉽게 수정하고 그리고/또는 그러한 특정 실시예들을 여러 애플리케이션들에 적용할 수 있는 본 발명의 일반적인 특징을 그러한 방식으로 완전히 공개한 것이다. 그러므로, 이와 같은 개조들 및 수정들은 본원 명세서에서 나타낸 교시 및 지침에 기반하여 개시된 실시예들의 등가물들의 의미 및 범위 내에 있는 것으로 의도되는 것이다. 여기서 이해할 점은 본원 명세서에서 사용된 어구 또는 용어는 설명하기 위한 것이고 제한하기 위한 것이 아니므로, 본원 명세서의 어구 또는 용어는 상기 교시 및 지침을 고려하여 숙련된 전문가에 의해 해석되어야 한다는 점이다.

비록 본 발명이 특정 실시예들을 참조하여 본원 명세서에 예시 및 설명되어 있지만, 본 발명은 보여준 세부들에 제한되는 것으로 의도된 것은 아니다. 오히려, 여러 수정이 본 발명으로부터 일탈하지 않고 청구항들의 등가물들의 범위 및 한계 내의 세부 내에서 이루어질 수 있다.

Claims (106)

1. 엔드포인트 신뢰 에이전트, 및 신뢰 편성기를 사용하여 모바일 장치의 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 방법에 있어서,
   상기 방법은,
   상기 엔드포인트 신뢰 에이전트에 의해, 상기 모바일 장치상에서 현재 실행하는 애플리케이션들의 실행 이상(execution anomaly)들에 대한 하나 이상의 런타임 무결성 경계들을 생성하는 단계;
   상기 엔드포인트 신뢰 에이전트에 의해, 사전에 결정된 룰 세트에 기반하여 위험도들을 계산하는 단계;
   적어도 상기 무결성 경계들 및 식별된 위험도들에 기반하여 상기 모바일 장치에 대한 위험도의 계산을 결정하는 단계;
   상기 엔드포인트 신뢰 에이전트에 의해, 런타임 무결성 경고들의 데이터 및 콘텐츠를 포함하는 복수 개의 엔드포인트 이벤트들을 상기 신뢰 편성기에 송신하는 단계; 및
   상기 신뢰 조정자에 의해 수신된 엔드포인트들에 기반하여 무결성 프로파일을 생성하는 단계;
   를 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
2. 제1항에 있어서,
   상기 방법은,
   상기 신뢰 편성기에 의해, 엔드포인트 실행 상태 검사들에 기반한 시스템 경고들을,
   네트워크 신뢰 에이전트;
   모바일 폴리시 관리자; 및
   모바일 장치 관리자
   에게 송신하는 단계를 더 포함하며,
   상기 실행 상태 검사들은 상기 모바일 장치상에서 현재 실행하는 하나 이상의 애플리케이션들의 위협 자세(threat posture)들을 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
3. 제1항에 있어서,
   상기 방법은,
   상기 신뢰 편성기에 의해,
   상기 위험도의 계산에 기반하여 생성된 시스템 무결성 프로파일;
   복수 개의 융합 서비스들로부터의 엔드포인트 검사 보고들의 요소들의 정규화 및 대조에 기반하여 생성된 시간적 이벤트들; 및
   네트워크 분석기로부터 수신된 시스템 감염 프로파일을 처리 및 상관시키는 단계;
   를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
4. 제3항에 있어서, 상기 네트워크 분석기는 상기 모바일 서비스 제공자에 의해 관리되는 네트워크와 연관된 네트워크 신뢰 에이전트를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
5. 제1항에 있어서, 상기 모바일 서비스 제공자에 의해 관리되는 네트워크와 연관된 네트워크 신뢰 에이전트를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
6. 제1항에 있어서,
   상기 방법은,
   네트워크 신뢰 에이전트에 의해, 모바일 엔드포인트의 수신된 실행 상태에 기반하여 흐름 제어들을 적용하도록 네트워크 보안 프레임워크들 및/또는 무선 액세스 포인트들에 메시지들 또는 지시들을 송신하는 단계;
   를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
7. 제2항에 있어서,
   상기 방법은,
   상기 모바일 폴리시 관리자에 의해, 모바일 엔드포인트의 수신된 실행 상태에 기반하여 제어들을 적용하도록 상기 모바일 장치 관리자에게 메시지들 또는 지시들을 송신하는 단계;
   를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
8. 제2항에 있어서,
   상기 방법은,
   상기 모바일 장치 관리자에 의해, 특정 기능 제어들을 활성화 또는 비활성화시키도록 엔드포인트 에이전트에 메시지들 또는 지시들을 송신하는 단계;
   를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
9. 제1항에 있어서,
   상기 방법은,
   상기 신뢰 편성기에 의해, 상기 모바일 장치상에 특정 제어들을 적용하도록 상기 엔드포인트 신뢰 에이전트에 메시지들 또는 지시들을 송신하는 단계;
   를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
10. 제1항에 있어서,
    상기 방법은,
    상기 모바일 장치에 대한 비동기식 푸시 통지;
    상기 모바일 장치에 송신된 텍스트 경계 메시지;
    전자메일 경계 메시지;
    상기 모바일 장치로부터의 서비스를 통한 트랜잭션의 개시 동안의 경고 메시지;
    중의 적어도 하나로서 감염 또는 손상된 모바일 장치의 상태를 사용자에 통지하는 단계;
    를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
11. 제1항에 있어서,
    상기 위험도의 계산은,
    네트워크 및 엔드포인트 센서들로부터의 복수 개의 감각적 입력들을 사용하여 상기 모바일 장치에 대한 상관 모바일 네트워크 활동, 시스템 구성, 자원 이용 및 모바일 애플리케이션 무결성의 엔드포인트 검사를 기반으로 하여 이루어지며,
    상기 엔드포인트 검사는,
    상기 모바일 네트워크에 대한 네트워크 보안 스캔 보고;
    상기 모바일 장치의 지오-로케이션(geo-location) 및 네트워크 주소에 의한 목록화를 위한 복수 개의 수신된 보고들의 파싱(parsing);
    상기 모바일 장치상에서 현재 실행하는 애플리케이션들에 대한 애플리케이션 콘텍스트들의 평가;
    상기 모바일 장치 내에 현재 로깅되거나 상기 모바일 장치와 관련된 사용자들에 대한 사용자 콘텍스트들의 평가; 및
    상기 모바일 장치, 상기 애플리케이션들, 및/또는 상기 사용자들에 대해 식별된 위협들의 분류;
    중 하나 이상에 기반하여 이루어지고,
    상기 룰 세트는 오브젝트 속성들의 룰 레포지토리에 저장되며,
    상기 속성들은 제약들, 샘플 레이트, 재현(recurrence), 스코어, 및 모바일 장치, 애플리케이션들, 및/또는 사용자들의 무결성 검사에 대한 가중치를 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
12. 제11항에 있어서,
    상기 방법은,
    위험도의 계산에 기반하여 모바일 장치, 애플리케이션들, 및/또는 사용자들에 대한 주제 평판 스코어들을 생성하는 단계; 및
    상기 주제 평판 스코어들, 모바일 장치상에 설치된 애플리케이션들, 및 상기 모바일 장치상에서 실행하는 운영 체계(operating system; OS)의 패치 레벨에 기반하여 모바일 장치, 애플리케이션들, 및/또는 사용자들에 대한 신뢰도 스코어들을 생성하는 단계;
    를 더 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
13. 제12항에 있어서, 상기 신뢰도 스코어들은 상기 애플리케이션들의 위협 자세 및 실행 이상들에 기반하여 더 이루어지는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
14. 제12항에 있어서, 상기 모바일 장치의 하나 이상의 기능들 또는 능력들은 모바일 장치, 애플리케이션들, 또는 사용자들의 신뢰도 스코어가 사전에 결정된 임계값 미만이라고 결정함에 응답하여 치료 작용으로서 변경되는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
15. 제14항에 있어서, 상기 치료 작용은 모바일 장치의 하나 이상의 기능 또는 능력들을 비활성화 또는 활성화하는 것을 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
16. 제14항에 있어서, 상기 모바일 장치의 하나 이상의 기능들 또는 능력들은 네트워킹 능력들, 서비스 액세스 권한들, 자원 액세스 권한들, 애플리케이션 실행 권한들, 및 통신 권한들을 포함하는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
17. 제14항에 있어서, 상기 치료 작용은 모바일 장치의 지오-로케이션에 기반하여 이루어지는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
18. 제1항에 있어서, 네트워크 신뢰 에이전트, 상기 엔드포인트 신뢰 에이전트 및 상기 신뢰 편성기는 상기 모바일 서비스 제공자에 의해 액세스가능한 컴퓨팅 플랫폼상에서 실행하도록 구성되어 있는, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
19. 제1항에 있어서, 상기 모바일 장치는 개인 휴대 정보 단말기(personal digital assistant; PDA), 모바일 운영 체계를 실행하는 장치, 스마트폰, 모바일폰, 핸드 헬드 컴퓨터, 태블릿 컴퓨터, 전자 판독 장치, 넷북 컴퓨터, 팜톱 컴퓨터, 랩톱 컴퓨터, 또는 울트라 모바일 PC 중의 하나인, 모바일 서비스 제공자에게 모바일 장치의 런타임 운영 무결성을 제공하는 방법.
20. 모바일 컴퓨팅 장치상에서 실행하는 애플리케이션 또는 모바일 컴퓨팅 장치의 위협 자세 및 실행 이상(execution anomaly)들을 포함하는 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 시스템에 있어서,
    상기 시스템은,
    네트워크 신뢰 에이전트, 엔드포인트 신뢰 에이전트, 및 신뢰 편성기를 포함하는, 컴퓨팅 플랫폼;
    을 포함하며,
    상기 컴퓨팅 플랫폼은,
    상기 엔드포인트 신뢰 에이전트에 의해, 룰 세트들 및 위험도의 계산에 기반하여 위험도들 및 상기 애플리케이션의 실행 이상들에 대한 런타임 무결성 경계들을 생성하도록 구성되고,
    상기 엔드포인트 신뢰 에이전트에 의해, 엔드포인트 이벤트들로서 데이터 및 콘텐츠에 관한 런타임 무결성 경고들을 상기 신뢰 편성기에 송신하도록 구성되며,
    상기 신뢰 편성기에 의해, 데이터 및 콘텐츠에 관한 수신된 엔드포인트 이벤트들에 기반하여 상기 엔드포인트에 대한 런타임 무결성 경고들을 송신하도록 구성되며,
    상기 신뢰 편성기에 의해,
    위험도의 계산에 기반하여 생성된 시스템 무결성 프로파일;
    복수 개의 융합 서비스들로부터의 엔드포인트 검사 보고들의 요소들의 정규화 및 대조에 기반하여 생성된 복수의 시간적 이벤트들; 및
    네트워크 분석기로부터 수신된 시스템 감염 프로파일;
    중의 하나 이상을 처리 및 상관시키도록 구성되고,
    상기 신뢰 편성기에 의해,
    위협 자세 검사로서 상기 모바일 애플리케이션 또는 모바일 컴퓨팅 장치의 엔드포인트 실행 상태에 기반하여 이루어지는 시스템 경고들을,
    네트워크 신뢰 에이전트,
    모바일 폴리시 관리자, 및
    모바일 장치 관리자
    중의 하나 이상에 송신하도록 구성되며,
    상기 네트워크 신뢰 에이전트에 의해,
    모바일 엔드포인트의 수신된 실행 상태에 기반하여 흐름 제어들을 적용하도록 네트워크 보안 프레임워드들 및/또는 무선 액세스 포인트들에 메시지들 또는 지시들을 송신하도록 구성되고,
    상기 모바일 폴리시 관리자에 의해,
    모바일 엔드포인트의 수신된 실행 상태에 기반하여 제어들을 적용하도록 상기 모바일 장치에 메시지들 또는 지시들을 송신하도록 구성되며,
    상기 모바일 장치 관리자에 의해,
    특정 기능 제어들을 활성화 또는 비활성화하도록 엔드포인트 에이전트에 메시지들 또는 지시들을 송신하도록 구성되고, 그리고
    상기 신뢰 편성기에 의해,
    상기 모바일 컴퓨팅 장치상에서 특정 제어들을 적용하도록 상기 엔드포인트 신뢰 에이전트에 메시지들 또는 지시들을 송신하도록 구성되는,
    모바일 서비스 제공자에게 런타임 운영 무결성을 제공하는 시스템.
21. 인증 서버를 호스팅하는 컴퓨팅 장치에 의해 실행될 경우에, 상기 컴퓨팅 장치로 하여금 클라이언트-서버 또는 피어-투-피어(peer-to-peer) 트랜잭션들을 수행하는 클라이언트 모바일 장치 또는 상기 모바일 장치상에서 실행하는 클라이언트 애플리케이션의 동적 인증을 제공하는 동작들을 수행하게 하는 명령어들이 저장된 비-일시적인 컴퓨터 판독가능 매체로서,
    상기 동작들은,
    복수 개의 서술 스코어(predicate score)들에 기반하여 시간적 이벤트 및 엔드포인트 이벤트를 상관시키는 동작;
    사전에 정해진 속성 제약 또는 메트릭으로부터의 일탈에 기반하여 서술 스코어를 결정하는 동작;
    상기 일탈에 반비례하는 스코어를 계산하는 동작;
    필요한 측정 빈도를 이루는데 필요한 샘플 레이트를 결정하는 동작;
    연속 일탈의 재현을 결정하는 동작;
    상기 속성 제약에 대한 가중치를 식별하는 동작;
    서술 스코어들의 가중 평균으로서 상기 애플리케이션 또는 장치에 대한 무결성 신뢰도를 결정하는 동작; 및
    복수 개의 클라이언트 애플리케이션들 또는 클라이언트 모바일 장치들을 통한 예외들로서 주변 무결성 신뢰도 스코어들을 식별하는 동작;
    을 포함하는, 컴퓨터 판독가능 매체.
22. 모바일 장치상에서 실행하는 애플리케이션들 및 모바일 장치의 위협 자세 및 실행 이상(execution anomaly)들을 식별함으로써 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하도록 이루어진 아키텍처에 있어서,
    상기 아키텍처는,
    엔드포인트 신뢰 에이전트;
    확장된 신뢰 기능화부;
    런타임 모니터;
    시스템 이벤트 상관기;
    신뢰 편성기; 및
    엔드포인트 신뢰 센서;
    를 포함하며,
    상기 엔드포인트 신뢰 에이전트는,
    상기 애플리케이션들의 국부 실행 콘텍스트를 관측하도록 구성된 프로세스 모니터;
    상기 애플리케이션들의 네트워크 활동들을 관측하도록 구성된 소켓 모니터;
    상기 애플리케이션들에 의해 소비되는 시스템 및 플랫폼 자원들을 관측하도록 구성된 자원 이용 모듈 모니터; 및
    룰 세트에 기반하여 상기 모바일 장치의 운영 무결성을 검사하도록 구성된 애플리케이션 무결성 모듈;
    을 포함하고,
    상기 모바일 장치의 고유 기계 기능화부는,
    상기 모바일 장치상의 운영 체계(OS)에 의해 제공되는 이벤트 가입들, 콜백(callback)들, 통지 메커니즘들을 나타내도록 구성되고, 그리고
    원래 이벤트들을 생성하도록 구성되며,
    상기 런타임 모니터는,
    상기 애플리케이션들에 대한 애플리케이션 이벤트들에 가입하고 상기 확장된 신뢰 기능화부로부터 상기 애플리케이션들에 대한 애플리케이션 이벤트들의 런타임에 가까운 비동기식 통지들을 수신하도록 구성되고, 그리고
    동적 표현들 또는 룰들을 생성하여 상기 애플리케이션들의 실행 인스턴스들에 링크된 애플리케이션 필터들로서 상기 동적 표현들 또는 룰들을 송신하도록 구성되며,
    상기 시스템 이벤트 상관기는 상기 모바일 장치의 시스템 이벤트들을 상관시켜 위험도의 계산을 결정하도록 구성되고,
    상기 신뢰 편성기는 상기 애플리케이션들 및 상기 모바일 장치에 대한 보안 인텔리전스(security intelligence)를 무결성함으로써 위험도의 계산에 기반하여 작용가능한 인텔리전스를 편성하도록 구성되며,
    상기 엔드포인트 신뢰 센서는 상기 모바일 장치상에서 실행하는 애플리케이션, 또는 상기 모바일 장치의 사용자의 작용들에 기반하여 위험도를 평가하고 상기 고유 기계 기능화부로부터 상기 원래 이벤트들을 수신함으로써 상기 모바일 장치의 런타임 운영 무결성을 측정하도록 구성되는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
23. 제22항에 있어서, 상기 신뢰 편성기는 애플리케이션 프로그래밍 인터페이스(application programming interface; API) 융합 버스를 사용하여 상기 보안 인텔리전스를 무결성하도록 구성되는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
24. 제22항에 있어서, 상기 애플리케이션 이벤트들은 레지스트리, 파일 시스템, 네트워크, 저장소, 입력, 출력, 메모리, 프로세스 운영 이벤트들, 및 상기 애플리케이션들에 의한 시스템 자원의 사용에 따른 자원 이벤트들 중의 하나 이상을 포함하는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
25. 제22항에 있어서, 상기 확장된 신뢰 기능화부는 상기 고유 기계 기능화부에 대한 계층화된 확장들로 이루어지는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
26. 제22항에 있어서, 상기 애플리케이션 필터들은 표준 기반의 스키마 정의들을 사용하여 표현되는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
27. 제23항에 있어서, 상기 런타임 모니터는 애플리케이션 프로그래밍 인터페이스(application programming interface; API)들을 사용하여 비동기식 애플리케이션 이벤트들에 가입하도록 구성되는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
28. 제22항에 있어서,
    상기 엔드포인트 신뢰 센서는,
    상기 모바일 장치상의 브라우저에 대한 보안 패치들, 상기 애플리케이션들 중 하나 이상에 대한 업데이트들, 업데이트된 장치 드라이버들, 및/또는 하나 이상의 운영 체계들에 대한 업데이트들을 식별하도록 구성되고, 그리고
    맬웨어의 클러스터링 및 분류를 위해 위협 수명 주기 모델을 사용하여 서명 없는 네트워크 활동 상관을 수행하도록 구성되는, 런타임 운영 무결성을 모바일 서비스 제공자에게 제공하는 아키텍처.
29. 주제의 평판 스코어의 계층적 표현을 생성 및 디스플레이하는 평판 스코어 시스템에 있어서,
    상기 시스템은,
    평판 브로커(reputation broker);
    를 포함하며,
    상기 평판 브로커는,
    서비스 제공자의 신뢰 브로커에서 수신된 주제의 평판 스코어에 대한 쿼리(query)를 처리하도록 구성되고, 그리고
    상기 주제에 대한 계층적 평판 스코어를 생성하도록 하는 요구를 신뢰 편성기에 발송(dispatch)하도록 구성되며,
    상기 신뢰 편성기는,
    상기 주제와 관련된 속성들을 문의하도록 편성 내부 또는 외부의 정보 관리 시스템들에 대한 복수의 직접 쿼리들을 개시함으로써,
    수신된 쿼리 응답들을 분석함으로써,
    위험도의 계산에 기반하여 주제에 대해 생성된 계층적 평판 스코어를 수신함으로써, 그리고
    상기 주제에 대해 수신된 계층적 평판 스코어를 상기 평판 브로커에 송신함으로써,
    계층적 평판 스코어에 대해 수신된 요구를 처리하도록 구성되고,
    상기 신뢰 편성기는,
    상기 발송된 요구에 응답하여 상기 주제에 대한 평판 브로커로부터 평판 토큰을 수신하도록 더 구성되며, 그리고
    상기 쿼리에 대한 응답으로서 상기 서비스 제공자에게 상기 평판 토큰을 송신하도록 더 구성되는, 평판 스코어 시스템.
30. 제29항에 있어서,
    상기 시스템은,
    인증 프로세스를 수행함으로써 컴퓨팅 시스템에 대해 사용자를 인증하도록 구성된 인증 서비스;
    주제 경계들을 가진 주제의 무결성 프로파일을 포함하는 주제 이벤트들을 상기 신뢰 브로커로부터 수신하도록 구성된 평판 프로세서를 포함하는 시스템 이벤트;
    복수의 융합 서비스들로부터 엔드포인트 검사 보고들을 통해 수신된 정규화 및 대조된 이벤트들의 런타임 상관에 기반하여 위험도 상관 매트릭스를 모집단화하도록 구성된 위험도 상관기;
    상기 주제에 대한 계층적 평판 스코어를 생성하도록 구성된 평판 스코어 생성기로서, 트랜잭션 스코어, 사용자 스코어, 서비스 스코어, 소셜 스코어(social score), 직업 스코어, 장치 스코어, 편성 스코어, 및 애플리케이션 스코어 중의 하나 이상에 기반하여 계층적 평판을 계산하도록 구성된 스코어링 모듈을 포함하는, 평판 스코어 생성기;
    상기 신뢰 브로커로부터의 주제 활동 쿼리에 응답하도록 구성된 로그 관리 모듈;
    상기 신뢰 브로커로부터의 주제 속성 커리에 응답하도록 구성된 역할 관리 시스템; 및
    상기 신뢰 브로커로부터의 주제 속성에 응답하도록 구성된 신원 관리 모듈;
    을 더 포함하는, 평판 스코어 시스템.
31. 제30항에 있어서, 상기 위험도 상관기는 주제 경계들을 수신하고 위험도 상관 매트릭스의 셀들에 상기 주제 경계들을 매핑하도록 더 구성되며,
    상기 평판 스코어 생성기는 상기 주제 이벤트들 및 상기 주제 경계들을 처리하여 상기 주제에 대한 계층적 평판 스코어를 결정하도록 더 구성되는, 평판 스코어 시스템.
32. 제31항에 있어서,
    상기 주제 이벤트들은,
    프로비전된 속성들에 대한 어서션들, 상기 주제와 관련된 엔드포인트 활동들, 및 상기 주제와 관련된 네트워크 레벨 활동들 중의 하나 이상이며,
    로그 관리 시스템, 역할 관리 시스템, 및/또는 상기 신원 관리 모듈로부터의 직접 쿼리에 대한 응답으로서 상기 시스템 이벤트 상관기에서 수신되는, 평판 스코어 시스템.
33. 제30항에 있어서, 상기 평판 토큰은 강제로 평판-기반 액세스를 제어하여 관리되는 애플리케이션의 액세스에 대한 서비스 요구를 허용 또는 거부하도록 상기 서비스 제공자에 의해 요구되는 정보 및 상기 주제 정보에 대한 평판 스코어를 적어도 포함하는, 평판 스코어 시스템.
34. 제29항에 있어서,
    상기 신뢰 브로커는,
    자격들, 멤버쉽들, 역할들, 및 활동 정보와 같은 수신된 주제 속성들을 처리하도록 더 구성되고, 그리고
    상기 평판 프로세서에 대한 시간적 주제 이벤트들을 생성 및 발송하도록 더 구성되는, 평판 스코어 시스템.
35. 제29항에 있어서, 주제 이벤트들은 트랜잭션에서의 보안 위험도를 결정하는데 사용되는 주제에 대한 어서션들을 나타내는, 평판 스코어 시스템.
36. 제35항에 있어서, 상기 주제 이벤트들은 업무의 정적 및 동적 분리, 최소 권한의 원칙, 상기 주제에 의한 관측된 자원 이용 패턴들, 편성 내부의 네트워크들 및 편성 외부의 네트워크상에서의 관측된 주제 활동들을 포함하는, 평판 스코어 시스템.
37. 제29항에 있어서, 상기 신뢰 브로커에 의해 수신된 쿼리는 사전에 구성되는, 평판 스코어 시스템.
38. 제38항에 있어서,
    디스플레이 상에 복수의 대시보드들을 포함하는 관리 콘솔에 대한 그래픽 사용자 인터페이스(graphical user interface; GUI )를 렌더링하도록 구성된 관리 모듈;
    을 더 포함하며,
    사전에 구성된 쿼리는 상기 GUI를 사용하여 고객 맞춤화될 수 있는, 평판 스코어 시스템.
39. 제38항에 있어서, 평판 프로세서는 컴퓨터 시스템 또는 플랫폼에 대한 주제에 의해 제기된 위험도를 계산하도록 더 구성되고,
    관리 모듈은 디스플레이 상에 상기 주제 평판 스코어의 계층적 표현을 렌더링하도록 더 구성되는, 평판 스코어 시스템.
40. 제29항에 있어서, 관리 시스템들은 소셜 네트워킹 벤더들에 의해 호스트되는 정보 시스템들을 포함하는, 평판 스코어 시스템.
41. 제29항에 있어서, 상기 주제는 컴퓨팅 장치, 사용자, 트랜잭션, 편성, 또는 서비스인, 평판 스코어 시스템.
42. 제41항에 있어서, 상기 주제와 관련된 속성들은 장치 지오-로케이션, 장치 프로비전된 상태, 인에이블/디스에이블된 장치 기능들, 사용자 등록, 및 편성 등록 중의 하나 이상을 포함하는, 평판 스코어 시스템.
43. 제41항에 있어서, 상기 계층적 평판 스코어는 트랜잭션 스코어, 서비스 스코어, 소셜 스코어, 직업 스코어, 장치 스코어, 편성 스코어, 및 애플리케이션 스코어 중의 하나 이상을 포함하는 복수의 구성요소 스코어들의 집성을 포함하는, 평판 스코어 시스템.
44. 제43항에 있어서, 상기 계층적 평판 스코어는 주제 스코어가 서비스 제공자에게 보고되는 방법에 대한 입도(granularity) 및 구조를 나타내는 주석을 가진 구성요소 스코어들을 지니는 열거된 리스트를 포함하는, 평판 스코어 시스템.
45. 제30항에 있어서, 사용자는 엔드포인트 장치를 사용하여 애플리케이션에 의해 렌더링되고 편성에 의해 관리되는 서비스와 온라인 트랜잭션을 수행하거나 상기 서비스를 통한 활동에 참가하고, 사용자는 멤버쉽, 고용, 계약, 또는 다른 제휴를 통한 편성과 관련되는, 평판 스코어 시스템.
46. 제45항에 있어서, 상기 활동은 소셜 또는 직업으로서 카테고리화되는, 평판 스코어 시스템.
47. 제46항에 있어서, IT 자산은 컴퓨팅 장치, 엔드포인트 장치, 서버, 데스크톱 컴퓨터, 랩톱, 태블릿 컴퓨터, 다기능 프린터/스캐너들/팩스 기계, 및 네트워크 장치 중의 하나 이상을 포함하는, 평판 스코어 시스템.
48. 제46항에 있어서,
    상기 시스템은,
    상기 편성에 대신하여 IT 자산의 재고를 관리하도록 구성된 재고 관리 시스템;
    을 더 포함하는, 평판 스코어 시스템.
49. 평판 브로커 및 신뢰 브로커를 포함하는 신뢰 편성기, 및 엔드포인트 신뢰 에이전트를 사용하여 서비스 제공자에게 주제의 평판에 대한 런타임 인증을 제공하는 방법에 있어서,
    상기 방법은,
    상기 신뢰 편성기에서 상기 평판 브로커에 의해 주제의 평판 스코어에 대한 쿼리를 서비스 제공자로부터 수신하는 단계;
    상기 신뢰 편성기에서 상기 평판 블로커에 의해, 주제에 대한 적시(just-in-time) 평판 스코어를 생성하도록 하는 요구를 발송하는 단계; 및
    주제와 관련된 속성들을 문의하도록 외부 정보 관리 시스템들에 대한 복수의 직접 쿼리들을 개시함으로써,
    수신된 쿼리 응답들을 분석하고 위험도의 계산에 기반하여 주제에 대한 평판 스코어를 생성함으로써,
    주제에 대한 평판 스코어를 상기 평판 브로커에 송신함으로써, 그리고
    상기 신뢰 편성기에서 상기 평판 브로커에 의해, 주제에 대한 평판 토큰을 쿼리 응답으로서 서비스 제공자에게 송신함으로써,
    상기 신뢰 편성기에서 상기 신뢰 브로커에 의해 상기 수신된 평판 요구를 처리하는 단계;
    를 포함하는, 서비스 제공자에게 주제의 평판에 대한 런타임 무결성을 제공하는 방법.
50. 제49항에 있어서,
    상기 주제는,
    사용자 계정;
    소프트웨어 애플리케이션;
    컴퓨팅 시스템;
    컴퓨팅 플랫폼; 및
    컴퓨팅 장치;
    중의 하나 이상인, 서비스 제공자에게 주제의 평판에 대한 런타임 무결성을 제공하는 방법.
51. 제49항에 있어서,
    내부 또는 외부 정보 관리 시스템들의 문의는,
    주제의 프로비전된 신원들, 역할들 및 자격들을 질의하는 것;
    주제의 재고 대상 연상(inventory object association)들을 질의하는 것;
    주제의 지오-로케이션 기반 대상 작용들을 질의하는 것;
    주제에 의한 재고 대상들에 따라 수행되는 작용들을 질의하는 것;
    최소 권한 원칙 및 업무 분리에 관한 관측된 작용들의 이상(anomaly)들 및 프로비전된 충돌들을 상관시키는 것;
    복수의 감염된 컴퓨팅 시스템들과의 주제 연관을 상관시키는 것; 및
    복수의 감염된 컴퓨팅 장치들과의 주제 연관을 상관시키는 것;
    중의 하나 이상을 포함하는, 서비스 제공자에게 주제의 평판에 대한 런타임 무결성을 제공하는 방법.
52. 제51항에 있어서,
    활동 로그들의 질의는,
    주제와 관련된 보안 및 정보 이벤트들;
    주제에 의해 방문된 웹사이트들;
    주제에 의해 개시된 온라인 또는 드라이브-바이 다운로드들; 및
    주제에 의해 수행된 국부 장치 관리 작용들;
    중의 하나 이상을 포함하는, 서비스 제공자에게 주제의 평판에 대한 런타임 무결성을 제공하는 방법.
53. 컴퓨팅 장치 및 상기 컴퓨팅 장치상에서 실행하는 애플리케이션에 대한 위험도 상관에 기반하여 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템에 있어서,
    상기 시스템은,
    평판 서비스에 가입하여 평판 서비스로부터 시스템 경고들을 수신하도록 구성된 네트워크 신뢰 에이전트;
    엔드포인트 위협 인텔리전스를 수신하도록 구성된 엔드포인트 신뢰 에이전트;
    네트워크 활동, 상기 컴퓨팅 장치에 대한 시스템 구성, 상기 장치에 의한 자원 이용, 및 상기 장치의 무결성 중의 하나 이상을 모니터링하도록 구성된 복수 개의 감각적 입력들로부터 수신된 입력들에 기반하여 위험도를 상관시키도록 구성된 이벤트 및 행위 상관 엔진;
    신뢰 편성 서버로서,
    융합 서비스들로부터 수신된 엔드포인트 검사 보고들을 포함하는 글로벌 보안 콘텍스트 상에서 위험도의 계산을 수행하도록 구성되고, 그리고
    상기 엔드포인트 위협 인텔리전스에 기반하여 시스템 경고들을 상기 네트워크 신뢰 에이전트에 송신하도록 구성된, 신뢰 편성 서버; 및
    상기 컴퓨팅 장치 또는 애플리케이션의 제어를 위해 런타임 지시들을 수신하도록 구성된 치료 엔진;
    을 포함하는, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
54. 제53항에 있어서, 감각적 입력들은 연속 모니터링을 수행하도록 구성되는, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
55. 제53항에 있어서,
    상기 이벤트 및 행위 상관 엔진은,
    네트워크 활동 센서로부터의 시스템 이벤트들 및 감염 프로파일들;
    시스템 구성 센서로부터의 스캔(scan)들의 무결성 측정 및 검증 보고들; 및
    애플리케이션 무결성 센서로부터의 이미지 프로파일들 및 국부 실행 콘텍스트에 관한 시스템 이벤트들;
    중의 하나 이상을 수신하도록 구성되는, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
56. 제55항에 있어서, 상기 스캔들은 스케줄에 따라 수행되고, 상기 스케줄은 시간마다, 날마다, 주일마다, 격주마다, 또는 달마다 중의 하나 이상인, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
57. 제53항에 있어서, 상기 치료 엔진은 가상 기계, 네트워크 흐름 제어기, 및 트랜잭션 중의 하나 이상 상에서의 작용을 수행하도록 구성되는, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
58. 제57항에 있어서, 상기 작용들은 구성된 트리거 제어들에 기반하여 이루어지는, 네트워크 요소에서 네트워크 흐름도 치료를 제공하는 시스템.
59. 네트워크 분석기, 엔드포인트 신뢰 에이전트, 신뢰 브로커, 신뢰 편성기 및 복수의 네트워크 엔드포인트 검사들을 사용하여 컴퓨팅 플랫폼상에서 실행하는 시스템들의 런타임 운영 무결성을 편성하는 방법에 있어서,
    상기 방법은,
    상기 네트워크 분석기에 의해, 네트워크 활동 상관 및 네트워크 맬웨어 검출에 기반하여 이상(anomaly)들을 결정하는 단계;
    상기 신뢰 브로커에 의해, 시스템 레벨 정규화 및 검사들의 대조에 기반하여 시스템 구성 이상들을 결정하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 중앙 처리 유닛(CPU), 메모리, 저장소, 및 네트워크 자원 이용과 관련된 룰 세트들에 기반하여 자원 이상들을 결정하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 정적 및 동적 이미지 분석과 관련된 룰 세트들에 기반하여 애플리케이션 무결성 이상들을 결정하는 단계;
    상기 신뢰 편성기에 의해, 감염된 시스템의 위험도 분석 및 검출을 위해 네트워크 엔드포인트들의 연속적인 국부 및 원격 모니터링을 통해 특징화된 네트워크 활동 및 엔드포인트 이벤트들 및 행위들을 상관시키는 단계; 및
    상기 신뢰 편성기에 의해, 자동화 기계, 네트워크 흐름, 또는 트랜잭션-레벨 치료 제어들을 통해 감염된 시스템들을 완화하는 단계;
    를 포함하는, 컴퓨팅 플랫폼상에서 실행하는 시스템들의 런타임 운영 무결성을 편성하는 방법.
60. 제59항에 있어서, 상기 완화는 그래픽 사용자 인터페이스(graphical user interface; GUI)의 런타임 위협 가시화 대시보드를 통해 수신된 치료 입력들에 따라 감염된 시스템들을 완화하는 것을 포함하는, 컴퓨팅 플랫폼상에서 실행하는 시스템들의 런타임 운영 무결성을 편성하는 방법.
61. 네트워크 분석기, 엔드포인트 신뢰 에이전트, 신뢰 편성기, 신뢰 브로커, 시스템 이벤트 상관기, 신뢰 슈퍼바이저, 및 치료 제어기를 사용하여 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법에 있어서,
    상기 방법은,
    컴퓨팅 플랫폼상에서 상기 엔드포인트 신뢰 에이전트에 의해, 애플리케이션의 원래 이벤트들 및 상기 애플리케이션에 대한 시스템 레벨 동작들을 수신하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 경계 표현들, 위험도 상관 매트릭스 및 위험도의 계산에 기반하여 상기 애플리케이션에 대한 실행 이상들 및 위협 자세들을 시그널링하도록 하는 엔드포인트 이벤트들을 생성하는 단계;
    상기 신뢰 편성기에서,
    상기 네트워크 분석기로부터의 엔드포인트에 대해 생성된 감염 프로파일들;
    상기 엔드포인트 신뢰 에이전트들로부터의 엔드포인트 이벤트들; 및
    복수의 엔드포인트 검사 서비스들로부터의 보고들을 수신하는 단계;
    상기 신뢰 브로커에 의해, 상기 수신된 보고들의 데이터 및 콘텐츠 요소들을 정규화 및 대조하는 단계;
    상기 신뢰 브로커에 의해, 엔드포인트 시스템에 대한 시간적 이벤트들을 생성하는 단계;
    상기 시스템 이벤트 상관기에 의해, 상기 엔드포인트 시스템에 대한 시스템 무결성 프로파일을 생성하도록 상기 시간적 이벤트 및 엔드포인트 이벤트를 상관시키는 단계;
    상기 신뢰 편성기에서, 상기 신뢰 슈퍼바이저에 의해,
    상기 네트워크 분석기로부터의 감염 프로파일들, 및
    상기 시스템 이벤트 상관기로부터의 무결성 프로파일들
    을 수신하는 단계;
    상기 신뢰 편성기에서 상기 치료 제어기에 의해,
    치료 시퀀스를 개시하도록 상기 신뢰 슈퍼바이저로부터의 지시를 수신하는 단계; 및
    확립된 임계값들 및 트리거들에 기반하여 편성 및 폴리시 강제 서비스들을 위한 작용들을 네트워크 요소들에 송신하는 단계;
    를 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
62. 제61항에 있어서,
    상기 방법은,
    기계 및 플랫폼 이벤틀에 가입하여 상기 컴퓨팅 시스템상의 고유 및 고객 확장된 기능화부로부터의 기계 및 플랫폼 이벤트들을 수신하는 단계;
    이상(anomaly)들의 경계들을 생성하도록 복수의 룰 세트들에 기반하여 무결성 경고들을 생성하는 단계;
    를 더 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
63. 제61항에 있어서,
    위험도의 계산은,
    자원이 애플리케이션인 경우의 자원의 속성, 상기 애플리케이션이 실행되는 플랫폼의 속성, 또는 컴퓨터 시스템의 속성;
    사전에 정해진 값 한정들을 기술하는 속성값 제약;
    측정과 관련된 샘플링 레이트;
    측정 검증과 관련된 재현 레이트;
    상기 속성과 관련된 스코어 또는 메트릭; 및
    상기 속성과 관련된 가중치;
    의 함수인, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
64. 제61항에 있어서, 상기 위험도 상관 매트릭스는,
    시스템 일탈;
    시스템 구속;
    시스템 취약성; 및
    시스템 감염;
    을 진단하기 위한 무결성 경고 클래스들을 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
65. 제61항에 있어서, 상기 감염 프로파일은 서명 없는 공격에 결정적인 법의학적 증거 체인을 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
66. 제61항에 있어서,
    상기 엔드포인트 이벤트는, 적어도
    컴퓨터, 메모리, 저장소 및 네트워크 자원 이용과 관련된 런타임 실행 이상들;
    프로세스와 같은 처리 유닛과 관련된 컴파일되거나, 인터프리트되거나, 또는 컴파일 및 인터프리트의 중간을 취하는 코드 또는 스크립트들로 이루어진 바이너리 파일들의 이미지 실행 콘텍스트;
    이미지 요소들과 관련된 디지털 서명들; 및
    운영 구성 설정들에 대한 수정과 관련된 프로그램 또는 인터액티브 동작들;
    을 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
67. 제61항에 있어서,
    복수의 엔드포인트 검사 서비스들로부터의 보고들은,
    맬웨어 분석기가 적시(just-in-time)에 정적 및 동적 바이너리 분석을 수행하기 위해 상기 애플리케이션과 관련된 컴파일되거나 인터프리트된거나 또는 컴파일 또는 인터프리트의 중간을 취하는 코드 또는 스트립트들로 이루어진 바이너리 파일들의 이미지 실행 콘텍스트; 및
    상기 이미지 실행 콘텍스트의 분석에 기반하여 이루어지는 이미지 실행 콘텍스트의 진단;
    을 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
68. 제67항에 있어서,
    상기 분석은,
    상기 컴퓨팅 시스템의 지오-로케이션 및/또는 네트워크 주소에 기반하여 요소들을 대조하는 것;
    네트워크 검사들을 정규화하는 것;
    패키지 및/또는 구성요소 속성에 기반하여 이루어지는 대상 레벨 대조;
    엔드포인트 및 네트워크 검사들의 집성으로서 글로벌 대상 콘텍스트를 생성하는 것;
    대상 속성들과 관련된 룰 세트들에 기반하여 이루어지는 이벤트 처리;
    이벤트 상관 매트릭스에 기반하여 이벤트들을 상관시키는 것;
    대상 무결성 경고들을 생성하는 것;
    무결성 경고들에 기반하여 위협들을 분류하는 것;
    대시보드 제어기에 상태 표시들을 보내는 것; 및
    상기 치료 제어기에 작용들을 발송하는 것;
    을 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
69. 제61항에 있어서, 복수의 네트워크 엔드포인트 검사들의 집성은 시간적 이벤트들을 생성하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
70. 제61항에 있어서, 엔드포인트 및 시간적 이벤트들의 집성은 엔드포인트의 집성 프로파일을 생성하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
71. 제61항에 있어서,
    상기 방법은,
    시스템 경고 클래스들;
    플랫폼, 애플리케이션, 이미지 및 그레이웨어 경계들;
    경계들을 상관시키고 경고들을 시그널링하도록 하는 경계 표현들;
    을 포함하는 시스템 이벤트 상관 매트릭스에 기반하여 위협 또는 감염 상태들에 대한 무결성 및 감염 프로파일들을 상관시키는 단계;
    를 더 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
72. 제71항에 있어서, 상기 그레이웨어 경계들은 프로세스 감시 리스트를 포함하는, 컴퓨팅 시스템상에서 실행하는 애플리케이션의 런타임 운영 무결성에 기반하여 런타임 자동 치료를 제공하는 방법.
73. 네트워크 신뢰 에이전트, 엔트포인트 신뢰 에이전트, 및 신뢰 편성기를 지니는 컴퓨팅 플랫폼의 디스플레이에서 감염된 시스템들을 위한 데이터 센터 레벨의 런타임 운영 무결성 대시보드 및 치료 제어들을 제공하는 방법에 있어서,
    상기 방법은,
    복수의 엔드포인트 검사 서비스들로부터 복수의 신뢰 벡터들의 런타임 무결성 메트릭들을 수신하는 단계;
    상기 디스플레이 상의 그래픽 사용자 인터페이스(graphical user interface; GUI)에서, 수신된 무결성 메트릭들의 신뢰도 레벨에 기반하여 위험도 표시자들 및 충돌 분석을 디스플레이하는 단계;
    상기 감염된 시스템의 스냅샷을 촬영하는 것,
    신뢰 베이스라인 구성으로부터 상기 감염된 시스템을 복구 또는 재이미징하는 것,
    네트워크 패브릭(network fabric)으로부터 상기 감염된 시스템을 격리하는 것,
    상기 감염된 시스템으로부터 사용자들을 우회시키는 것,
    상기 감염된 시스템으로부터 트랜잭션들을 우회시키는 것, 및
    상기 감염된 시스템으로부터 트래픽을 우회시키는 것
    중의 하나 이상을 실행함으로써 위협 봉쇄 및 위험도 완화를 위한 수동 또는 자동 치료 제어들을 제공하는 단계;
    상기 GUI에서, 개시된 치료 작용들의 상태 및 진행을 디스플레이하는 단계; 및
    상기 GUI에서,
    감염 개요,
    감염 진단,
    서명 없는 감염 수명 주기 모델에 기반하여 이루어지는 위협 카테고리화 및 식별,
    소스 또는 공격자에 대한 지오-로케이션 및 주소,
    하나 이상의 감염된 희생자의 식별,
    검출된 악의적인 활동과 의도의 법의학적 증거 체인, 및
    희생 기계 또는 감염 시스템상에서 검출된 컴퓨터, 메모리, 저장소 및 네트워크 레벨 이상
    중의 하나 이상을 포함하는 맬웨어 분석들의 세부를 디스플레이하는 단계;
    를 포함하는, 컴퓨팅 플랫폼의 디스플레이에서 감염된 시스템들을 위한 데이터 센터 레벨의 런타임 운영 무결성 대시보드 및 치료 제어들을 제공하는 방법.
74. 제73항에 있어서, 상기 위험도 표시자들은 컬러로 표기되는, 컴퓨팅 플랫폼의 디스플레이에서 감염된 시스템들을 위한 데이터 센터 레벨의 런타임 운영 무결성 대시보드 및 치료 제어들을 제공하는 방법.
75. 제73항에 있어서, 상기 런타임 운영 무결성은 실행 이상들 및 위협 자세를 포함하는, 컴퓨팅 플랫폼의 디스플레이에서 감염된 시스템들을 위한 데이터 센터 레벨의 런타임 운영 무결성 대시보드 및 치료 제어들을 제공하는 방법.
76. 네트워크 분석기, 엔드포인트 신뢰 에이전트, 신뢰 브로커, 신뢰 편성기 및 복수의 네트워크 엔드포인트 검사들을 사용하여 컴퓨팅 플랫폼상에서 실행하는 시스템의 런타임 운영 무결성을 편성하는 방법에 있어서,
    상기 네트워크 분석기에 의해, 네트워크 활동 상관 및 네트워크 맬웨어 검출에 기반하여 이상(anomaly)들을 결정하는 단계;
    상기 신뢰 브로커에 의해, 시스템 레벨 정규화 및 검사들의 대조에 기반하여 시스템 구성 이상들을 결정하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 프로세서, 메모리, 및 네트워크 자원 이용과 관련된 룰 세트들 또는 경계 표현들에 기반하여 자원 이용 이상들을 결정하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 정적 및 동적 이미지 분석과 관련된 룰 세트들 또는 경계 표현들에 기반하여 적어도 하나의 애플리케이션 무결성 이상을 결정하는 단계;
    상기 신뢰 편성기에 의해, 감염된 시스템들의 위험도 분석 및 검출을 위한 네트워크 엔드포인트들의 연속적인 국부 및 원격 모니터링을 통해 특징화된 네트워크 활동 및 엔드 포인트 이벤트들 및 행위들을 상관시키는 단계; 및
    상기 신뢰 편성기에 의해, 흐름 레벨 및 트랜잭션 레벨 치료 제어들을 구현하도록 런타임 위협 가시화 대시보드로부터 수신된 입력들을 사용하여 감염된 시스템들을 완화하는 단계;
    를 포함하는, 컴퓨팅 플랫폼상에서 실행하는 시스템의 런타임 운영 무결성을 편성하는 방법.
77. 네트워크 신뢰 에이전트, 엔드포인트 신뢰 에이전트, 이벤트 및 행위 상관 엔진, 및 신뢰 편성 서버를 포함하는 컴퓨팅 플랫폼을 사용하여 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법에 있어서,
    상기 방법은,
    복수 개의 감각적 입력들에 의해, 네트워크 활동, 상기 애플리케이션이 실행하는 시스템에 대한 시스템 구성, 상기 애플리케이션에 의한 자원 이용, 및 상기 애플리케이션의 무결성 중의 하나 이상을 모니터링하는 단계;
    상기 이벤트 및 행위 상관 엔진에 의해, 상기 모니터링에 기반하여 위험도를 상관시키는 단계; 및
    상기 컴퓨팅 플랫폼의 관리 콘솔의 복수 개의 런타임 대시보드들에서, 상기 시스템 및 애플리케이션의 운영 무결성을 위한 런타임 상태 표시들을 디스플레이하는 단계;
    를 포함하는, 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법.
78. 제77항에 있어서, 상기 모니터링은 연속적으로 수행되는, 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법.
79. 제77항에 있어서,
    상기 이벤트 및 행위 상관 엔진은,
    네트워크 활동 서버로부터의 시스템 이벤트들 및 감염 프로파일들;
    시스템 구성 센서로부터의 스캔들의 무결성 측정 및 검증 보고들;
    자원 이용 센서로부터의 프로세서, 네트워크, 및 저장소 자원 소비에 관한 시스템 이벤트들; 및
    애플리케이션 무결성 서버로부터의 이미지 프로파일들 및 국부 실행 콘텍스트에 관한 시스템 이벤트들;
    중의 하나 이상을 수신하는, 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법.
80. 제79항에 있어서, 상기 스캔들은 스케줄에 따라 수행되며, 상기 스케줄은 시간마다, 날마다, 주일마다, 격주마다, 또는 달마다 중의 하나 이상인, 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법.
81. 제77항에 있어서,
    상기 복수의 런타임 대시보드들은,
    글로벌 뷰 대시보드;
    시스템 구성 대시보드;
    자원 이용 대시보드;
    애플리케이션 무결성 대시보드; 및
    네트워크 활동 대시보드;
    중의 하나 이상을 포함하는, 애플리케이션 및 시스템의 런타임 운영 무결성을 제공하는 방법.
82. 주제의 평판 스코어를 편성 및 디스플레이하는 시스템에 있어서,
    상기 시스템은,
    디스플레이;
    평판 브로커로서,
    상기 주제의 평판 스코어를 위해 서비스 제공자로부터의 쿼리를 처리하도록 구성되고, 그리고
    상기 주제의 계층적 평판 스코어를 생성하도록 하는 요구를 발송하도록 구성되는, 평판 브로커;
    상기 디스플레이에서 복수 개의 대시보드들을 포함하는 관리 콘솔을 위한 그래픽 사용자 인터페이스(graphical user interface; GUI)를 렌더링하도록 구성된 디스플레이 모듈;
    신뢰 편성기로서,
    상기 주제와 관련된 속성들을 문의하도록 편성 외부의 정보 관리 시스템들에 대한 복수의 직접 쿼리들을 개시함으로써,
    수신된 쿼리 응답들을 분석함으로써,
    위험도의 계산에 기반하여 상기 주제에 대해 생성된 계층적 평판 스코어를 수신함으로써, 그리고
    상기 주제에 대해 수신된 계층적 평판 스코어를 상기 평판 브로커에 송신함으로써
    계층적 평판 스코어에 대한 상기 평판 브로커로부터 수신된 요구를 처리하도록 구성된 신뢰 편성기;
    를 포함하는, 주제의 평판 스코어를 편성 및 디스플레이하는 시스템.
83. 제82항에 있어서, 상기 쿼리는 상기 신뢰 브로커에 상기 쿼리를 포워드하도록 구성된 평판 브로커에서 수신되고, 상기 쿼리는 상기 관리 콘솔의 대시보드를 사용하여 생성, 디스플레이, 편집, 및 제출될 수 있는, 주제의 평판 스코어를 편성 및 디스플레이하는 시스템.
84. 제82항에 있어서, 상기 응답은 상기 관리 콘솔의 대시보드에서 디스플레이되는, 주제의 평판 스코어를 편성 및 디스플레이하는 시스템.
85. 제82항에 있어서, 상기 계층적 평판은 상기 관리 콘솔의 대시보드에서 그래픽 방식으로 표현되는, 주제의 평판 스코어를 편성 및 디스플레이하는 시스템.
86. 제82항에 있어서,
    복수 개의 대시보드들은,
    글로벌 뷰 대시보드;
    시스템 구성 대시보드;
    자원 이용 대시보드;
    애플리케이션 무결성 대시보드; 및
    네트워크 활동 대시보드;
    중의 하나 이상을 포함하는, 주제의 평판 스코어를 편성 및 디스플레이하는 시스템.
87. 네트워크 신뢰 에이전트, 엔드포인트 신뢰 에이전트, 및 신뢰 편성 서버를 포함하는 컴퓨팅 플랫폼을 사용하여 시스템의 런타임 운영 무결성을 제공하기 위한 인증 서비스를 제공하는 방법에 있어서,
    상기 방법은,
    상기 신뢰 편성 서버에서, 엔드포인트 이벤트들을 포함하는 동적 콘텍스트를 수신하는 단계;
    상기 신뢰 편성 서버에 의해, 상기 수신된 엔드포인트 이벤트들을 분석하는 단계;
    네트워크 엔드포인트 검사들을 수신하는 단계;
    적어도 부분적으로 상기 네트워크 엔드포인트 검사들의 분석에 기반하여 시간적 이벤트들을 생성하는 단계;
    상기 수신된 엔드포인트 이벤트들 및 상기 생성된 시간적 이벤트들을 상관시키는 단계;
    를 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
88. 제87항에 있어서, 상기 동적 콘텍스트는 상기 엔드포인트 신뢰 에이전트에 의해 송신되는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
89. 제87항에 있어서, 상기 네트워크 엔드포인트 검사들은 엔드포인트 검사 서비스로부터 수신되는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
90. 제89항에 있어서,
    상기 방법은,
    상기 엔드포인트 검사 서비스로부터 무결성 측정 및 검증을 수신하는 단계;
    를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
91. 제87항에 있어서, 상기 네트워크 엔드포인트 검사들은 하나 이상의 융합 서비스들로부터 수신되는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
92. 제91항에 있어서,
    상기 방법은,
    상기 하나 이상의 융합 서비스들로부터 무결성 측정 및 검증 보고들을 수신하는 단계;
    를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
93. 제87항에 있어서, 상기 엔드포인트 이벤트들 및 시간적 이벤트들은 시스템 이벤트 상관기에 의해 엔드포인트 신뢰 에이전트들 및 신뢰 브로커로부터 각각 수신되는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
94. 네트워크 신뢰 에이전트, 엔드포인트 신뢰 에이전트, 및 신뢰 편성기를 사용하여 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법에 있어서,
    상기 방법은,
    상기 엔드포인트 신뢰 에이전트에 의해, 룰 세트들 및 위험도의 계산에 기반하여 실행 이상들 및 위험도들에 대한 런타임 시스템 무결성 경계들을 생성하는 단계;
    상기 엔드포인트 신뢰 에이전트에 의해, 엔드포인트 이벤트들로서 시스템 무결성 경고들을 상기 신뢰 편성기에 송신하는 단계;
    상기 신뢰 편성기에 의해, 수신된 엔드포인트 이벤트들의 분석에 기반하여 상기 엔드포인트에 대한 시스템 무결성 프로파일을 생성하는 단계;
    상기 신뢰 편성기에 의해,
    위험도의 계산에 기반하여 생성된 시스템 무결성 프로파일,
    복수의 융합 서비스들로부터 수신된 엔드포인트 검사 보고들의 요소들의 정규화 및 대조에 기반하여 생성된 복수의 시간적 이벤트들, 및
    네트워크 분석기로부터 수신된 시스템 감염 프로파일
    중의 하나 이상을 처리 및 상관시키는 단계;
    상기 신뢰 편성기에 의해, 엔드포인트 실행 상태 검사들에 기반하여 시스템 경고들을 상기 네트워크 신뢰 에이전트에 송신하는 단계; 및
    접속 엔드포인트의 위협 자세로서 상기 수신된 실행 상태에 기반하여 흐름 제어들을 적용하도록 상기 네트워크 신뢰 에이전트에 의해, 메시지들 또는 지시들을 오픈플로우(OpenFlow) 보안 프레임네트워크들 및/또는 제어기들에 송신하는 단계;
    를 포함하는, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
95. 제94항에 있어서, 상기 무결성 경고들은 데이터 이벤트들 및 콘텐츠 이벤트들에 관한 경고들을 포함하며, 상기 엔드포인트 이벤트들은 데이터 이벤트들 및 콘텐츠 이벤트들을 포함하는, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
96. 제94항에 있어서, 감염된 시스템의 치료는 워크로드들의 주문형 인스턴스화 및 스케일링을 통해 상기 컴퓨팅 플랫폼의 총체적인 운영 능력 또는 유효성을 불리하게 감소시키지 않고 달성되는, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
97. 제96항에 있어서,
    상기 방법은,
    모바일 컴퓨팅 장치의 감염 또는 손상된 상태를 전달하는 통지를 상기 모바일 컴퓨팅 장치와 관련된 사용자에게 포워드하는 단계;
    를 더 포함하고,
    상기 통지는,
    상기 사용자와 관련된 계정에 대한 비동기식 푸시 통지;
    상기 모바일 컴퓨팅 장치와 관련된 전화번호에 포워드되는 단문 메시지 전송 서비스(short messaging service; SMS) 텍스트 경계 메시지;
    사용자와 관련된 전자메일 주소에 포워드되는 전자메일 경계 메시지; 및
    상기 모바일 컴퓨팅 장치로부터의 서비스와의 트랜잭션의 개시 동안 상기 모바일 컴퓨팅 장치의 디스플레이 상에 서비스에 의해 디스플레이되는 경고 메시지;
    중의 하나 이상인, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
98. 제97항에 있어서, 모바일 장치의 하나 이상의 기능들 또는 능력들은 치료 작용으로서 비활성화 또는 활성화되는, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
99. 제98항에 있어서, 상기 치료 작용은 지오-로케이션에 기반하여 이루어지는, 컴퓨팅 네트워크 패브릭으로부터 감염되거나 손상된 시스템들 및 플랫폼들을 격리시키도록 하는 흐름 레벨 치료를 제공하는 방법.
100. 제87항에 있어서,
     상기 방법은,
     신뢰 슈퍼바이저에 의해, 네트워크 패브릭 상에서 수행될 하나 이상의 치료 작용들을 생성하는 단계;
     상기 신뢰 편성기의 치료 제어기에서, 흐름 치료 작용들을 수신하는 단계; 및
     상기 신뢰 편성기에 의해, 상기 하나 이상의 흐름 치료 작용들과 관련된 네트워크 장치에 관한 하나 이상의 시스템 경고들을 상기 네트워크 신뢰 에이전트에 송신하는 단계;
     를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
101. 제100항에 있어서,
     상기 방법은,
     상기 네트워크 신뢰 에이전트에 의해, 오픈플로우(OpenFlow) 제어기를 위한 커맨드들을 만들어내도록 하는 지시들을 생성 및 송신하는 단계;
     상기 오픈플로우 제어기에 의해, 상기 네트워크 장치로의 트래픽 흐름 및 상기 네트워크 장치로부터의 트래픽 흐름을 우회 또는 봉쇄하도록 하는 룰들을 상기 네트워크 패브릭의 오픈플로우 가능 네트워크 요소 또는 스위치에 송신하는 단계; 및
     상기 오픈플로우 가능 네트워크 요소 또는 스위치에 의해, 상기 네트워크 장치를 위해 수신된 액세스를 강제로 한정 또는 제어하는 단계;
     를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
102. 제101항에 있어서,
     상기 방법은,
     상기 신뢰 슈퍼바이저에 의해, 상기 네트워크 장치를 위한 평판 스코어 업데이트들을 모니터링하고 상기 네트워크 장치를 위한 평판 스코어 업데이트들을 상기 치료 제어기로 송신하는 단계;
     상기 신뢰 편성기에 의해, 상기 네트워크 장치를 위한 시스템 보안 자세 상태 업데이트들을 상기 네트워크 신뢰 에이전트에 송신하는 단계; 및
     상기 네트워크 신뢰 에이전트에 의해, 상기 네트워크 장치로의 정상 흐름 및 상기 네트워크 장치로부터의 정상 흐름을 복구하도록 상기 오픈플로우 제어기를 위한 커맨드들을 만들어내도록 하는 지시들을 생성하고 상기 지시들을 상기 오픈플로우 보안 프레임워크에 송신하는 단계;
     를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
103. 제94항에 있어서,
     상기 방법은,
     상기 네트워크 분석기에 의해, 네트워크 활성 상관 및 맬웨어 검출에 기반하여 이상들을 검출하는 단계;
     상기 신뢰 편성기에 의해, 바이너리 분석기을 위해 애플리케이션의 이미지 파일들 및 속성들을 발송하는 단계로서, 상기 이미지 파일들은 컴파일되거나 인터프리트되거나 컴파일 및 인터프리트의 중간을 취하는 코드 또는 스크린들을 포함하는, 단계;
     상기 분석에 기반하여 식별된 한 세트의 위협들로서 악성 행위를 식별하는 바이너리 분석의 결과를 수신하는 단계;
     상기 신뢰 브로커에 의해, 상기 이미지에 대한 고유 식별자에 의해 색인되는 상기 바이너리 분석의 결과를 캐싱하는 단계; 및
     상기 엔드포인트 신뢰 에이전트에 의한 엔드포인트 이벤트들의 차후 생성을 위해 런타임에서 모니터링될 이미지의 악성 능력들의 어서션들을 포함하는 이미지 프로파일을 생성하고 상기 이미지 프로파일을 상기 엔드포인트 신뢰 에이전트에 복귀하는 단계;
     를 더 포함하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
104. 제103항에 있어서, 상기 바이너리 분석은 하나 이상의 제3자 맬웨어 분석기들에 의해 수행되며, 발송 메커니즘은 배치된 엔드포인트 신뢰 에이전트들을 통한 애플리케이션 이미지와 관련된 분석 요구들의 빈도 및 분량과 같은 이미지 분석의 개시를 보장하는 한 세트의 기준들을 명시하는 트리거 필터 표현들을 사용하는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
105. 제104항에 있어서, 상기 제3자 맬웨어 분석기들은 상기 신뢰 브로커에 의해 특정된 폴리시들에 기반하여 애플리케이션 이미지들의 정적 및 동적 분석을 수행하도록 구성되는, 시스템의 런타임 운영 무결성을 제공하기 위한 무결성 서비스를 제공하는 방법.
106. 모바일 장치들 및 클라이언트-서버 시스템들을 포함하는 컴퓨팅 플랫폼들 상에서 실행하는 애플리케이션들의 위협 자세 및 실행 이상들을 결정함으로써 런타임 운영 무결성을 제공하는 시스템에 있어서,
     상기 시스템은,
     엔드포인트 신뢰 에이전트;
     애플리케이션 무결성 모듈;
     런타임 모니터;
     시스템 이벤트 상관기;
     신뢰 편성기; 및
     엔드포인트 신뢰 센서;
     를 포함하며,
     상기 엔드포인트 신뢰 에이전트는,
     상기 애플리케이션들의 국부 실행 콘텍스트를 관측하도록 구성된 프로세스 모니터;
     상기 애플리케이션들의 네트워크 활동들을 관측하도록 구성된 소켓 모니터; 및
     상기 애플리케이션들에 의해 소비되는 시스템 및 플랫폼 자원들을 관측하도록 구성된 자원 이용 모듈 모니터;
     를 포함하며,
     상기 애플리케이션 무결성 모듈은 룰 세트에 기반하여 상기 컴퓨팅 플랫폼들의 운영 무결성들을 검사하도록 구성되고,
     상기 컴퓨팅 플랫폼의 고유 기계 기능화부는,
     상기 컴퓨팅 플랫폼들 상의 운영 체계(OS)에 의해 제공되는 이벤트 가입들, 콜백(callback)들, 통지 메커니즘들을 나타내도록 구성되고, 그리고
     원래 이벤트들을 생성하도록 구성되며,
     상기 런타임 모니터는,
     상기 애플리케이션들에 대한 애플리케이션 이벤트들에 가입하고 확장된 신뢰 기능화부로부터 상기 애플리케이션들에 대한 애플리케이션 이벤트들의 런타임에 가까운 비동기식 통지들을 수신하도록 구성되고, 그리고
     동적 표현들 또는 룰들을 생성하고 상기 애플리케이션들의 실행 인스턴스들에 링크된 애플리케이션 필터들로서 상기 동적 표현들 또는 룰들을 송신하도록 구성되며,
     상기 시스템 이벤트 상관기는 상기 컴퓨팅 플랫폼들의 시스템 이벤트들을 상관시켜 위험도의 계산을 결정하도록 구성되고,
     상기 신뢰 편성기는 상기 애플리케이션들 및 상기 컴퓨팅 플랫폼들에 대한 보안 인텔리전스(security intelligence)를 무결성화함으로써 위험도의 계산에 기반하여 작용가능한 인텔리전스를 편성하도록 구성되며,
     상기 엔드포인트 신뢰 센서는 상기 컴퓨팅 플랫폼들 상에서 실행하는 애플리케이션, 또는 상기 컴퓨팅 플랫폼들의 사용자의 작용들에 기반하여 위험도를 평가하고 상기 고유 기계 기능화부로부터 상기 원래 이벤트들을 수신함으로써 상기 컴퓨팅 플랫폼들의 런타임 운영 무결성을 측정하도록 구성되는, 런타임 운영 무결성을 제공하는 시스템.

Images