KR20190034618A - 보안 레벨 및 액세스 이력에 기초한 ip 어드레스 액세스 - Google Patents

보안 레벨 및 액세스 이력에 기초한 ip 어드레스 액세스 Download PDF

Info

Publication number
KR20190034618A
KR20190034618A KR1020197005962A KR20197005962A KR20190034618A KR 20190034618 A KR20190034618 A KR 20190034618A KR 1020197005962 A KR1020197005962 A KR 1020197005962A KR 20197005962 A KR20197005962 A KR 20197005962A KR 20190034618 A KR20190034618 A KR 20190034618A
Authority
KR
South Korea
Prior art keywords
domain name
security level
access
security
response
Prior art date
Application number
KR1020197005962A
Other languages
English (en)
Other versions
KR102303312B1 (ko
Inventor
아드리안 제이 볼드윈
다니엘 씨 엘람
조나단 그리핀
Original Assignee
휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피. filed Critical 휴렛-팩커드 디벨롭먼트 컴퍼니, 엘.피.
Publication of KR20190034618A publication Critical patent/KR20190034618A/ko
Application granted granted Critical
Publication of KR102303312B1 publication Critical patent/KR102303312B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L61/00Network arrangements, protocols or services for addressing or naming
    • H04L61/45Network directories; Name-to-address mapping
    • H04L61/4505Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols
    • H04L61/4511Network directories; Name-to-address mapping using standardised directories; using standardised directory access protocols using domain name system [DNS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Abstract

본원에서 개시되는 예는, 보안 레벨 및 도메인 네임 액세스 정보에 기초하여 IP 어드레스에 대한 액세스를 허용할지의 여부를 판정하는 것에 관한 것이다. 하나의 구현예에서, 프로세서는 도메인 네임에 관련되는 도메인 네임 시스템 요청에 대한 응답을 인터셉트하고 요청 및/또는 응답에 기초하여 보안 레벨을 업데이트한다. 프로세서는, 보안 레벨 및 이전의 도메인 네임 액세스에 관련되는 저장된 정보에 대한 도메인 네임의 비교에 기초하여, 응답을 포워딩할지 또는 차단할지를 판정할 수도 있다.

Description

보안 레벨 및 액세스 이력에 기초한 IP 어드레스 액세스
멀웨어(malware)는, 침입을 받은(compromised) 디바이스 상의 멀웨어가, 예컨대 디바이스에 저장되어 있는 데이터를 검색 또는 송신하기 위해, 명령어를 멀웨어에 전송하는 커맨드 및 제어 센터와 통신하는 커맨드 및 제어 침투 기법을 사용할 수도 있다. 몇몇 경우에, 도메인 네임의 서브세트가 차단되는 경우에 멀웨어가 커맨드 센터와 여전히 통신할 수 있도록 커맨드 센터와 통신하기 위해 멀웨어에 의해 사용될 수도 있는 도메인 네임의 세트를 생성하기 위해, 도메인 생성 알고리즘(Domain Generation Algorithm)이 사용될 수도 있다.
도면은 예시적인 실시형태를 설명한다. 다음의 상세한 설명은 도면을 참조하는데, 도면에서:
도 1은 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 컴퓨팅 시스템의 하나의 예를 예시하는 블록도이다.
도 2는 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 방법의 하나의 예를 예시하는 플로우차트이다.
도 3은 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 방법의 하나의 예를 예시하는 플로우차트이다.
도 4는 상이한 보안 레벨에 기초한 IP 어드레스 액세스 차이의 하나의 예를 예시하는 도면이다.
하나의 구현예에서, 컴퓨팅 시스템은 도메인 네임에 관련되는 IP 어드레스에 대한 도메인 네임 서비스(Domain Name Service; DNS) 요청에 대한 응답을 인터셉트한다. 컴퓨팅 시스템은, 보안 레벨 및 이전의 도메인 네임 액세스에 관련되는 저장된 정보에 대한 도메인 네임의 비교에 기초하여, IP 어드레스를 포워딩할지 또는 IP 어드레스를 차단할지를 판정할 수도 있다. 보안 레벨은 총 네트워크 트래픽 정보(aggregate network traffic information)에 기초하여 판정될 수도 있고, 이전의 도메인 네임 액세스 정보는, 특정한 시간 기간 동안 전자 디바이스 및/또는 유저에 의해 이전에 액세스된 도메인 네임을 포함할 수도 있다.
한 예로서, 컴퓨팅 시스템은 전자 디바이스와 관련되는 보안 레벨, 예컨대 보안 레벨이 네트워크 트래픽 필터링 레벨 상에 있는지의 여부를 판정할 수도 있다. 컴퓨팅 시스템은 DNS 요청 및/또는 응답에 기초하여 보안 레벨을 증가시킬지, 유지시킬지, 또는 감소시킬지를 판정할 수도 있다. 네트워크 필터링 모드에 있는 경우, 컴퓨팅 시스템은 DNS 요청과 관련되는 도메인 네임을, 이전에 액세스된 도메인 네임의 목록과 비교할 수도 있다. 도메인 네임이 목록 상에 없거나 또는 다른 이전의 액세스 기준을 충족시키지 않는 경우, 전자 디바이스가 IP 어드레스에 액세스할 수 없도록 DNS 응답으로서 수신되는 IP 어드레스 대신 NXDO AIN 응답이 전송될 수도 있다. 도메인 네임이 액세스 기준을 충족하는 경우, 컴퓨팅 시스템은, 전자 디바이스가 IP 어드레스를 사용하여 통신할 수도 있도록, DNS 응답으로서 수신되는 IP 어드레스를 전송할 수도 있다.
의심스러운 활동 및 새로운 도메인 네임 요청의 검출에 기초하여 네트워크 트래픽을 선택적으로 차단할지의 여부를 판정하는 시스템을 사용하는 것은, 몇몇 사이버 공격을 효율적으로 방지 또는 완화할 수도 있다. 새로운 도메인 네임에 대한 액세스를 방지하는 것은, 멀웨어가 잠재적인 도메인 네임의 세트 중 임의의 것을 사용하여 커맨드 및 제어 센터와 통신하는 것을 방지할 수도 있다. 자동화된 시스템은 IT 인력 모니터링의 관여 및 시간을 줄일 수도 있고 유저에 대한 부담을 감소시킬 수도 있다. 예를 들면, 시스템이 네트워크 필터링이 없는 낮은 보안 레벨에 있는 경우에 유저는 어떠한 변화도 경험하지 않을 수도 있고, 더 높은 보안 레벨 동안의 효과는 새로운 웹사이트를 방문할 수 없는 것으로 제한될 수도 있다. 유저는, 이전에 방문한 웹사이트, 예컨대 유저의 직업의 일부로서 빈번하게 방문된 웹사이트에 관련되는 작업을 계속 수행할 수 있을 수도 있다.
도 1은 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 컴퓨팅 시스템의 하나의 예를 예시하는 블록도이다. 예를 들면, 컴퓨팅 시스템(100)은 보안 레벨에 기초하여 네트워크 트래픽을 필터링할지의 여부를 판정할 수도 있다. 보안 레벨이 네트워크 필터링 레벨에 있는 경우, DNS 도메인 네임 요청이, 이전에 액세스된 도메인 네임의 목록과 같은 이력 액세스 정보(historical access information)와 비교되어, DNS 응답으로서 수신되는 IP 어드레스에 대한 액세스를 허용할지의 여부를 판정할 수도 있다. 컴퓨팅 시스템(100)은 스토리지(104), DNS 서버(103), 프로세서(101), 및 보안 모듈(102)을 포함할 수도 있다.
DNS 서버(103)는 임의의 적절한 DNS 서버일 수도 있다. 예를 들면, DNS 서버(103)는 DNS 프로토콜을 사용하여 도메인 네임을 분석하여 IP 어드레스를 도메인 네임과 관련시킬 수도 있다. DNS 서버(103)는, 프로세서(101)가 DNS 서버(103)와 통신하기 위해 보안 모듈(102) 명령어를 실행하는 경우와 같이, 프로세서(101)로부터 요청을 수신할 수도 있다. 프로세서(101)는 네트워크를 통해 DNS 서버(103)와 통신할 수도 있다. DNS 서버(103)는 프로세서(101)로부터 도메인 네임을 포함하는 요청을 수신할 수도 있고 관련된 IP 어드레스로 프로세서(101)에게 응답할 수도 있다.
스토리지(104)는 이력 도메인 네임 액세스 정보(105) 및 보안 레벨 정보(106)를 저장할 수도 있다. 스토리지(104)는 프로세서(101)와 통신하는 임의의 적절한 스토리지일 수도 있다. 하나의 구현예에서, 프로세서(101)는 네트워크를 통해 스토리지(104)와 통신한다.
이력 도메인 네임 액세스 정보(105)는 이력 도메인 네임 액세스에 관련되는 임의의 적절한 정보를 포함할 수도 있다. 예를 들면, 이력 도메인 네임 액세스 정보(105)는 도메인 네임, 관련 IP 어드레스, 액세스 시간, 및/또는 액세스 빈도를 포함할 수도 있다. 이력 도메인 네임 액세스 정보(105)는 추가적인 도메인 네임이 액세스될 때 업데이트될 수도 있다. 이력 도메인 네임 액세스 정보(105)는 특정한 전자 디바이스에 의한 액세스, 특정한 유저에 의한 액세스, 및/또는 유저의 세트에 의한 액세스와 관련될 수도 있다. 이력 도메인 네임 액세스 정보(105)는, 유저 또는 전자 디바이스에 의해 이전에 액세스되지 않은 추가적인 도메인 네임에 의해 증가될 수도 있다. 예를 들면, 이력 도메인 네임 액세스 정보(105)는 머신 러닝, 외부 도메인 목록, 및/또는 유저 입력에 기초하여 증가될 수도 있다. 한 예로서, 이력 도메인 네임 액세스 정보(105)는, 유저가 도메인 네임 A에 액세스하고 도메인 네임 A에 액세스한 유저의 90 %가 추가 도메인 네임에 또한 액세스한다는 것을 머신 러닝이 나타내는 경우, 추가 도메인 네임을 포함할 수도 있다.
보안 레벨 정보(106)는 현재 보안 레벨에 관한 정보를 포함할 수도 있다. 보안 레벨 정보(106)는 프로세서(101)와 관련되는 보안 레벨을 판정하기 위해 사용되는 메트릭을 포함할 수도 있다. 예를 들면, 도메인 네임 액세스 패턴에 관한 총 보안 메트릭(aggregate security metric)은, 임계치에 대한 총 보안 메트릭의 비교에 기초하여 보안 레벨이 업데이트되도록, 저장 및 업데이트될 수도 있다.
프로세서(101)는, 중앙 프로세싱 유닛(central processing unit; CPU), 반도체 기반의 마이크로프로세서, 또는 명령어의 검색 및 실행에 적절한 임의의 다른 디바이스일 수도 있다. 명령어를 인출(fetching), 디코딩, 및 실행하는 것에 대한 대안으로서 또는 이들 외에, 프로세서(101)는, 하기에 설명되는 기능성을 수행하기 위한 복수의 전자 컴포넌트를 포함하는 하나 이상의 집적 회로(integrated circuit; IC) 또는 다른 전자 회로를 포함할 수도 있다. 하기에 설명되는 기능성은 다수의 프로세서에서 수행될 수도 있다. 프로세서(101)는, 랩탑 또는 모바일 컴퓨팅 디바이스와 같은, 임의의 적절한 컴퓨팅 디바이스와 관련될 수도 있다.
프로세서(101)는 보안 모듈(102)과 통신할 수도 있다. 보안 모듈(102)은 하드웨어, 펌웨어, 및/또는 소프트웨어로 구체화될 수도 있다. 보안 모듈(102)은 스토리지(104)에 또는 별개의 스토리지 디바이스 또는 파티션에 저장될 수도 있다. 보안 모듈(102)은 머신 판독 가능 저장 매체에 저장될 수도 있다. 머신 판독 가능 저장 매체는, 실행 가능 명령어 또는 다른 데이터를 저장하는 전자, 자기, 광학 또는 다른 물리적 스토리지 디바이스와 같은 임의의 적절한 머신 판독 가능 매체(예를 들면, 하드 디스크 드라이브, 랜덤 액세스 메모리, 플래시 메모리, 등등)일 수도 있다. 머신 판독 가능 저장 매체는, 예를 들면, 컴퓨터 판독 가능 비일시적 매체일 수도 있다.
보안 모듈(102)은 DNS 서버(103)와 관련하여 컴퓨팅 시스템(100) 내에서 임의의 적절한 구성을 가질 수도 있다. 보안 모듈(102)은 요청하는 클라이언트 애플리케이션 및 DNS 리졸버(resolver)보다 소프트웨어 스택에서 더 낮은 에러 제어 레이어(Error Control layer)에 저장될 수도 있다. 보안 모듈은, DNS 서버(103)로의 요청 및/또는 DNS 서버(103)로부터의 응답을 인터셉트할 수도 있다. 에러 제어 레이어에서, 보안 모듈(102)은 DNS 서버(103)로의 및/또는 DNS 서버(103)로부터의 트래픽을, 그것이 소프트웨어 스택 상하로 이동하는 것을 방지하는 것에 의해, 차단할 수도 있다. 하나의 구현예에서, 보안 모듈(102)은, 보안 모듈(102)이 DNS 서버(103)로의 및/또는 DNS 서버(103)로부터의 트래픽을 인터셉트하고, 모니터링하고, 및/또는 그 트래픽의 제어를 취하도록, 애플리케이션 레이어에 상주한다. 하나의 구현예에서, 보안 모듈은, DNS 서버(103) 요청 및/또는 응답이 네트워크를 통해 포워딩될 때 그것을 모니터링하도록, 네트워크 상에 상주한다. 하나의 구현예에서, 보안 모듈(102)은 DNS 서버(103) 상에 저장된다. 예를 들면, 보안 모듈(102)은, 동일한 기업 환경 내의 다수의 전자 디바이스와 같은, DNS 서버(103)에 요청을 전송하는 다수의 전자 디바이스에 대한 보안 모니터링을 수행할 수도 있다.
보안 모듈(102)은 프로세서(101) 및/또는 다른 프로세서에 의해 실행 가능한 명령어를 포함할 수도 있다. 예를 들면, 보안 모듈(102)은 DNS 응답 액세스 명령어(107), 보안 레벨 업데이트 명령어(108), 도메인 네임 액세스 판정 명령어(109), 및 액세스 판정 출력 명령어(110)를 포함할 수도 있다.
DNS 응답 수신 명령어(107)는, DNS 서버(103)에 대한 DNS 요청에 대한 응답으로서 수신되는 IP 어드레스에 관련되는 정보에 액세스하기 위한 명령어를 포함할 수도 있다. 예를 들면, 프로세서(101)는, IP 어드레스를 포워딩하기 이전에, 수신된 응답을 분석하여 프로세서(101)가 IP 어드레스를 통해 통신하는 것을 허용할 수도 있다.
보안 레벨 업데이트 명령어(108)는, DNS 서버(103)로의 DNS 요청 및/또는 DNS 서버(103)로부터의 응답에 기초하여 보안 레벨 정보(105)를 업데이트하기 위한 명령어를 포함할 수도 있다. 보안 레벨 정보(106)는, 보안 레벨을 판정하기 위해 사용되는 현재 보안 레벨 및 네트워크 트래픽 요약 정보에 관련되는 정보를 포함할 수도 있다. 보안 레벨은, DNS 요청 및/또는 응답에 대해 수행될 필터링 또는 다른 분석의 양 또는 타입을 나타내는 레벨일 수도 있다. 예를 들면, 더 높은 보안 레벨은, IP 어드레스가 액세스되는 것을 방지하기 위해 DNS 서버(103)로부터의 더 많은 응답이 프로세서(101)로부터 필터링 또는 차단되도록 더 많은 필터링이 발생해야 한다는 것을 나타낼 수도 있다.
네트워크 트래픽 패턴을 나타내는 총 보안 메트릭은 요청 및/또는 응답에 기초하여 업데이트될 수도 있고, 총 보안 메트릭은 보안 레벨을 변경할지 또는 유지할지를 판정하기 위해 기준의 세트와 비교될 수도 있다. 총 보안 메트릭은, 시간 기간에 관련되는 기준과 비교될 수도 있고 및/또는 총 보안 메트릭은 주기적으로 리셋될 수도 있다. 예를 들면, 기준은, 분당 DNS 요청의 수와 같은, 어떤 시간 기간 동안의 이벤트의 발생의 횟수 또는 비율에 관련될 수도 있다. 보안 레벨은, 총 보안 메트릭이 임계치를 초과하는 양, 집성 메트릭이 임계치를 초과하는 횟수, 및/또는 총 보안 메트릭이 초과되는 빈도에 기초하여 업데이트될 수도 있다. 보안 레벨은, 상이한 시간 기간에 관련되는 총 보안 메트릭의 이상(anomaly)의 검출에 기초하여 업데이트될 수도 있다. 총 보안 메트릭은 보안 레벨을 변경할지의 여부를 판정하기 위한 기준과 비교될 수도 있다. 보안을 낮추기 위한 또는 높이기 위한 기준은, 보안 레벨이 강화되었던 시간의 양과 같은, 추가 정보에 의존할 수도 있다.
총 보안 메트릭은, 다른 디바이스 이외에 프로세서(101)로부터의 또는 프로세서(101)로부터의 DNS 서버(103)에 대한 요청에 관련되는 정보를 포함할 수도 있다. 예를 들면, 총 보안 메트릭은, DNS 서버(103)에 대한 DNS 요청, 도메인 네임 이전 액세스 정보(105)에 포함되지 않은 도메인 네임에 관련되는 DNS 요청, 동일한 도메인의 하위 도메인에 관련되는 DNS 요청, 및/또는 비중복(non-duplicate) 도메인 네임 DNS 요청의 횟수 또는 비율과 같은 양에 관한 정보를 포함할 수도 있다. 총 보안 메트릭은, DNS 서버(103)로부터의 응답에 관련되는 임의의 적절한 정보, 예컨대, 응답 없음 또는 관련된 IP 어드레스 없음을 나타내는 DNS 서버(103)로부터의 응답의 횟수를 포함할 수도 있다. 몇몇 경우에, 다수의 메트릭 타입의 값은 상이한 임계치와 비교되어 보안 레벨을 판정할 수도 있다.
도메인 네임 액세스 판정 명령어(109)는, 보안 레벨 및 도메인 네임 이전 액세스 정보(105)에 대한 도메인 네임의 비교에 기초하여, IP 어드레스에 대한 액세스를 허용할지의 여부를 판정하기 위한 명령어를 포함할 수도 있다. 보안 레벨이 네트워크 트래픽 필터링과 관련되지 않는 레벨로 설정되면, 프로세서(101)가 수신된 IP 어드레스를 사용하여 통신할 수도 있도록 액세스가 DNS 서버(103) 응답에 제공될 수도 있다. 보안 레벨이 네트워크 필터링 레벨로 설정되면, 프로세서(101)는, DNS 서버(103)로부터 요청되는 도메인 네임이 이력 도메인 네임 액세스 정보(105)에 포함되는 경우 DNS 서버(103) 응답에 대한 액세스를 허용할 수도 있다. 예를 들면, 필터링 모드에 있는 경우, 이전에 액세스된 도메인 네임에 대해 IP 어드레스가 제공될 수도 있다. 하나의 구현예에서, 보안 레벨이 더 높을 때 더욱 엄격한 기준을 충족하는 도메인 네임으로 액세스가 제한되는 경우와 같이, 이력 도메인 네임 액세스 정보(105)에 대한 도메인 네임 요청의 비교를 위한 기준이 보안 레벨과 관련되도록 다수의 보안 레벨이 존재할 수도 있다.
액세스 판정 출력 명령어(110)는, 액세스 판정에 관련된 정보를 출력하기 위한 명령어를 포함할 수도 있다. 예를 들면, 액세스에 관한 정보는 저장, 송신, 및/또는 디스플레이될 수도 있다. 하나의 구현예에서, IP 어드레스는 액세스를 허용하는 액세스 판정에 응답하여 액세스된다. 하나의 구현예에서, 프로세서(101)는, 액세스된 도메인 네임에 관한 정보를 포함하도록 이력 도메인 네임 액세스 정보(105)를 업데이트한다. 예를 들면, 필터링 모드에 있지 않은 경우, 새로운 도메인 네임이 액세스되어 도메인 네임 이전 액세스 정보(105)에 추가될 수도 있다.
도 2는 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 방법의 하나의 예를 예시하는 플로우차트이다. 예를 들면, 프로세서는, 보안 레벨 임계치 정보에 대한 네트워크 트래픽 패턴 정보의 비교에 기초하여 보안 레벨을 자동적으로 판정할 수도 있다. 프로세서는, 강화된 보안 레벨에 있는 경우, IP 어드레스 액세스가 이전에 액세스된 도메인 네임에 대해 판정된 IP 어드레스로 제한될 수도 있도록, 보안 레벨에 기초하여 네트워크 트래픽을 필터링할지의 여부를 판정할 수도 있다. 방법은, 예를 들면, 도 1의 컴퓨팅 시스템(100)에 의해 구현될 수도 있다.
200에서 시작하여, 프로세서는 도메인 네임에 관련되는 DNS 요청에 대한 응답으로서 수신되는 IP 어드레스에 관련되는 정보에 액세스한다. 예를 들면, 도메인 네임은 특정한 도메인 네임을 갖는 웹 페이지에 액세스하기 위한 유저 입력으로 수신될 수도 있다. 예를 들면, 도메인 네임은, 수신된 도메인 네임을 판정하기 위한 요청을 DNS 서버에게 행하는 애플리케이션, 예컨대 웹 브라우저에 의해 수신될 수도 있다. 도메인 네임은 로컬 캐시와 비교되어, 그것이 로컬하게 저장된 IP 어드레스 정보를 사용하여 판정될 수도 있는지를 판정할 수 있고, 그 다음, 프로세서는 IP 어드레스 정보가 로컬하게 저장되어 있지 않은 경우 네트워크를 통해 원격 DNS 서비스와 통신할 수도 있다. DNS 서버는, IP 어드레스 응답이 수신될 때까지 또는 요청이 종료되고 NXDOMAIN 응답과 관련될 때까지, 재귀적으로 조회될 수도 있다.
몇몇 경우에, 프로세서는, NXDOMAIN 응답과 같은, DNS 요청에 대한 비판정적 응답(non-resolving response)을 수신할 수도 있다. 프로세서는 응답의 수신을 나타내기 위해 총 보안 메트릭과 같은 요약 네트워크 트래픽 정보를 업데이트할 수도 있다. 예를 들면, 특정한 시간 프레임 동안 NXDOMAIN 응답의 수가 임계치에 도달하는 경우 보안 레벨이 강화될 수도 있다. 그 다음, 프로세서는 NXDOMAIN 응답을 요청하는 애플리케이션으로 포워딩하여 응답의 없음을 나타낼 수도 있다.
201로 계속 진행하여, 프로세서는, 요청 및 응답 중 적어도 하나에 기초하여 전자 디바이스와 관련되는 보안 레벨을 업데이트한다. 보안 레벨은 임의의 적절한 디바이스 및/또는 유저와 관련될 수도 있다. 예를 들면, 보안 레벨은 유저와 관련될 수도 있고 그리고 유저가 로그온할 때 전자 디바이스와 관련될 수도 있다. 보안 레벨은, 사이버 공격을 방지 또는 완화하기 위한 보안 대책과 관련될 수도 있다. 예를 들면, 보안 대책은 DNS 서버 요청 및/또는 응답을 필터링하는 것에 관련될 수도 있다. 보안 레벨은 임의의 적절한 필터링 방법에 관련될 수도 있고, 레벨에 기초하여 더 많은 또는 더 적은 필터링이 수행되도록 다수의 보안 레벨이 존재할 수도 있다.
보안 레벨 업데이트는 임의의 적절한 시간에, 예컨대 수신된 DNS 응답을 필터링할지의 여부를 판정하기 이전 또는 이후에 발생할 수도 있다. 예를 들면, 액세스 판정은, 액세스가 완료되는 경우 요청 및 응답 둘 모두에 기초하여 보안 레벨이 업데이트되도록, 현재 보안 레벨에 기초하여 이루어질 수도 있다. 다른 예로서, 프로세서는, 액세스 판정이 현재의 보안 레벨에 기초하도록, 그리고 액세스가 거부되는 경우 도메인 네임 요청이 DNS 서버로 송신되지 않도록, DNS 요청을 필터링할 수도 있다. 보안 레벨은, 액세스 승인 또는 거부에 후속하여 업데이트될 수도 있다.
프로세서는, 임계치와 같은, 보안 레벨 분류와 관련되는 기준에 대한 총 보안 정보(aggregate security information)의 비교에 기초하여 보안 레벨을 업데이트할 수도 있다. 예를 들면, 총 보안 정보는 DNS 요청 및/또는 응답에 기초하여 업데이트될 수도 있고, 총 보안 정보는 보안 레벨을 업데이트하기 위해 사용될 수도 있다. 보안 레벨은, 커맨드 및 제어 센터와 통신하는 멀웨어를 나타내는 패턴과 같은, 사이버 위협에 대한 패턴을 나타내는 총 보안 정보 기준에 기초하여 판정될 수도 있다.
총 보안 정보는 네트워크 트래픽의 형태 및/또는 주파수를 나타낼 수도 있다. 총 보안 정보는 어떤 시간 기간 동안의 DNS 요청 및/또는 응답의 세트에 관한 요약 정보일 수도 있다. 예를 들면, 총 보안 정보는, DNS 요청, 응답을 반환하지 않는 DNS 요청, 도메인 네임 액세스 목록에 포함되지 않는 요청된 도메인 네임에 관련되는 요청, 동일한 도메인의 하위 도메인에 관련되는 도메인 네임 요청, 액세스 이력 목록에 없는 비판정적 도메인 네임, 및/또는 비중복 도메인 네임의 수 또는 비율에 관련될 수도 있다.
보안 레벨은 감소, 증가, 또는 유지될 수도 있다. 보안 레벨은 총 보안 정보에 기초하여 임의의 적절한 방식으로 업데이트될 수도 있다. 예를 들면, 보안 레벨은, 총 보안 정보가 임계치를 초과하는 양, 총 보안 정보가 임계치를 초과한 횟수, 보안 레벨이 특정 레벨에 있었던 시간의 양, 및/또는 총 보안 정보가 임계치를 초과하는 빈도에 기초하여 업데이트될 수도 있다. 하나의 구현예에서, 상이한 기준은, 더 낮은 경고 상태로부터 높은 경고 상태로 진입하기 위해 기준과 비교되는 높은 경고로부터 보안 레벨을 낮추기 위해 강화된 기준이 사용되는 경우와 같이, 보안 레벨을 유지할지의 여부를 판정하기 위해 사용되는 것보다는, 보안 레벨이 변경되어야 하는지의 여부를 판정하기 위해 사용된다. 보안 레벨은, 보안 레벨을 낮출 것을 판정하기 위해 총 보안 메트릭이 특정한 시간 프레임에 대한 임계치와 비교되는 경우와 같이, 특정한 시간 프레임에 기초할 수도 있다.
하나의 구현예에서, 프로세서는, 예컨대 정보를 디스플레이, 저장, 또는 송신하는 것에 의해, 보안 레벨이 증가되었는지를 나타내는 경고를 출력한다. 예를 들면, 디바이스 또는 디바이스의 세트에 대한 보안 레벨에서의 변경을 나타내기 위해, 메시지가 관리자에게 자동적으로 전송될 수도 있다.
202로 계속 진행하여, 프로세서는 보안 레벨이 도메인 네임 필터링 레벨에 있는지의 여부를 판정한다. 예를 들면, 다수의 보안 레벨이 존재할 수도 있다. 제1 보안 레벨은, 시스템이 저위험 상태에 있고, 어떠한 네트워크 트래픽 필터링도 수행되지 않는다는 것을 나타낼 수도 있다. 제2 보안 레벨은 시스템이 더 높은 위험 상태에 있다는 것을 나타낼 수도 있다.
도메인 네임 필터링 레벨에 있는 경우, 203으로 계속 진행하여, 프로세서는 도메인 네임을, 이전에 액세스된 도메인 네임에 관련되는 정보와 비교한다. 예를 들면, 프로세서는 도메인 네임이 이전에 액세스된 도메인 네임의 목록에 있는지의 여부를 판정할 수도 있다. 프로세서는, 도메인 네임이 특정한 시간 프레임 또는 빈도 내에서 이전에 액세스되었는지의 여부 또는 도메인 네임이 유저의 특정한 세트에 의해 이전에 액세스되었는지의 여부와 같은, 이전 액세스에 관련되는 임의의 적절한 기준을 분석할 수도 있다.
이전에 액세스된 도메인 네임에 관련되는 정보는, 전자 디바이스, 유저, 및/또는 조직(organization)에 의해 이전에 액세스된 도메인 네임과 같은 도메인 네임의 임의의 적절한 목록을 포함할 수도 있다. 이전에 액세스된 도메인 네임의 목록은, 다수의 유저 사이의 공유된 액세스 정보에 기초하여 추가되는 도메인 네임과 같은, 액세스에 안전한 것으로 간주되는 추가 도메인 네임을 포함하도록 증가될 수도 있다.
204로 계속 진행하여, 프로세서는 비교에 기초하여 IP 어드레스에 대한 액세스를 허용할지의 여부를 판정한다. 이전 액세스 정보는 특정한 보안 레벨에 대한 액세스에 관련되는 기준과 비교될 수도 있다. 예를 들면, 제1 보안 레벨에서, 프로세서는 특정한 시간 기간 내에 도메인 네임이 이전에 액세스된 경우 DNS 응답에 대한 액세스를 허용할 것을 판정할 수도 있다.
205로 계속 진행하여, 프로세서는 액세스 판정에 관련되는 정보를 출력한다. 예를 들면, 액세스 판정에 관한 정보는 송신될 수도 있거나 또는 저장될 수도 있다. 하나의 구현예에서, 프로세서는 액세스가 허용되면 통신을 위해 사용할 IP 어드레스를 포워딩한다.
하나의 구현예에서, 필터링이 없는 보안 레벨에 있는 경우, 프로세서는, 보안 레벨이 필터링 레벨까지 증가되면, 도메인 네임에 대한 액세스가 계속 허용되도록, 도메인 네임을 이전의 도메인 네임 액세스 목록에 추가할 수도 있다. 프로세서는 판정에 기초하여 이전의 도메인 네임 액세스 목록을 업데이트할 수도 있다. 예를 들면, 액세스가 허용되면, 프로세서는 액세스 시간 및 날짜 정보를 업데이트할 수도 있다.
프로세서는, 예컨대 액세스가 허용되지 않았다는 것을 나타내기 위해, 액세스 정보에 기초하여 총 보안 정보를 업데이트할 수도 있다. 예를 들면, DNS 응답이 NXDOMAIN 응답인 경우, 응답에 관한 정보가 사용되어 총 보안 정보를 업데이트할 수도 있다. 하나의 구현예에서, 도메인은, 정당한 액세스가 발생하는 경우, 승인된 요청과 관련되는 정보, 예컨대 시간이 도메인 네임과 관련되도록, 저장된다.
도 3은 보안 레벨 및 액세스 이력에 기초하여 IP 어드레스 액세스를 판정하기 위한 방법의 하나의 예를 예시하는 플로우차트이다. 방법은, 예를 들면, 도 1의 컴퓨팅 시스템(100)에 의해 구현될 수도 있다. 300에서 시작하여, 프로세서가 DNS 요청에 대한 응답을 수신한다. 응답은 도메인 네임에 대응하는 IP 어드레스일 수도 있다. 301로 계속 진행하여, 프로세서는 도메인 네임 및/또는 수신된 응답에 기초하여 총 보안 메트릭을 업데이트한다. 302로 계속 진행하여, 프로세서는 총 보안 메트릭이 임계치를 넘어서는지의 여부를 판정한다. 예를 들면, 프로세서는 분당 NXDOMAIN 응답의 수가 임계치를 넘어서는지를 판정할 수도 있다.
총 보안 메트릭이 임계치를 넘어선다는 것이 판정되면, 303으로 계속 진행하여, 프로세서는 보안 레벨을 증가시키거나 또는 유지한다. 예를 들면, 보안 레벨은 트래픽 필터링 레벨로 설정될 수도 있거나 또는 트래픽 필터링 레벨에서 유지될 수도 있다.
총 보안 메트릭이 임계치를 넘어서지 않는다는 것이 판정되면, 304로 계속 진행하여, 프로세서는 보안 레벨을 감소시키거나 또는 유지한다. 예를 들면, 보안 레벨은, 필터링이 턴 오프되고 DNS 응답이 액세스를 위해 자동적으로 전달되는 레벨로 설정될 수도 있다.
305로 계속 진행하여, 프로세서는 보안 레벨이 필터링 보안 레벨로 설정되는지의 여부를 판정한다. 보안 레벨이 필터링 보안 레벨로 설정되지 않는다는 것이 판정되면, 306으로 계속 진행하여, 프로세서는, 전자 디바이스가 DNS 응답으로서 수신되는 IP 어드레스를 사용하여 통신할 수도 있도록, DNS 응답을 포워딩한다.
보안 레벨이 필터링 보안 레벨로 설정된다는 것이 판정되면, 308로 계속 진행하여, 프로세서는, 도메인 네임이 어드레스 목록 내에 있는지의 여부를 판정한다. 예를 들면, 프로세서는, 도메인 네임이 이전에 액세스되었는지를 또는 기준의 세트에 따라 이전에 액세스되었는지를 판정할 수도 있다. 도메인 네임이 어드레스 목록 내에 있다는 것이 판정되면, 306으로 계속 진행하여, 프로세서는, IP 어드레스가 액세스될 수도 있도록, DNS 응답을 포워딩한다. 307로 계속 진행하여, 프로세서는 도메인 어드레스 목록을 업데이트한다. 예를 들면, 프로세서는 도메인 네임 이전 액세스 정보에 대한 액세스에 관한 정보를 추가할 수도 있다. 도메인 네임이 어드레스 목록 내에 있지 않다면, 프로세서는 도메인 네임을 어드레스 목록에 추가할 수도 있다.
도메인 네임이 어드레스 목록 내에 있지 않다는 것이 판정되면, 309로 계속 진행하여, 프로세서는, 전자 디바이스가 DNS 응답으로서 수신되는 IP 어드레스에 액세스할 수 없도록, NXDOMAIN 응답을 전송한다.
도 4는 상이한 보안 레벨에 기초한 IP 어드레스 액세스 차이의 하나의 예를 예시하는 도면이다. 예를 들면, 전자 디바이스가 DNS 응답으로서 수신되는 IP 어드레스에 액세스하는 것을 허용할지의 여부를 판정하기 위한 상이한 기준과 각각의 보안 레벨이 관련되는 다수의 보안 레벨이 존재할 수도 있다. 방법은, 예를 들면, 도 1의 프로세서(101)에 의해 구현될 수도 있다.
블록(400)은 도메인 네임 및 이전 액세스 정보의 목록을 도시한다. 예를 들면, 도메인 네임 www.x.com 및 www.y.com은 이전에 액세스되었고, www.x.com은 www.y.com보다 더 빈번하게 그리고 더 최근에 액세스되었다.
플로우차트(410)는 이전 액세스 정보 및 보안 레벨 정보에 기초하여 IP 어드레스에 대한 액세스를 허용할지의 여부를 판정하기 위한 방법을 도시한다. 401에서 시작하여, 프로세서는 도메인 네임 www.x.com에 대한 IP 어드레스에 대한 요청에 대한 응답으로 DNS 서버로부터 IP 14.14.2.5를 수신한다. 402로 계속 진행하여, 프로세서는 전자 디바이스가 필터링이 없는 레벨에 있는지를 판정한다. "예"인 경우, 406으로 이동하여, 프로세서는, 어떠한 필터링도 수행되지 않기 때문에, IP 어드레스 14.14.2.5에 액세스한다.
403으로 계속 진행하여, 프로세서가 필터링이 없는 보안 레벨에 있지 않으면, 프로세서는, 도메인 네임이 이전 액세스 목록(400)에 있는지의 여부에 따라 IP 어드레스가 필터링되는 제1 보안 레벨에 전자 디바이스가 있는지를 판정한다. 407로 계속 진행하여, 프로세서는, 도메인 네임 www.x.com이 IP 어드레스 액세스 목록(400) 내에 있기 때문에, IP 어드레스 14.14.2.5에 액세스한다.
404로 계속 진행하여, 보안 레벨이 제1 보안 레벨에 있지 않으면, 프로세서는, 도메인 네임이 지난 주 이내에 액세스되었다면 액세스가 허용되도록, 전자 디바이스가 제2 보안 레벨에 있는지의 여부를 판정한다. 408로 계속 진행하여, 프로세서는, www.x.com가 지난 주 이내인 3 일 전에 가장 최근에 액세스되었기 때문에, IP 어드레스 14.14.2.5에 대한 액세스를 허용한다.
405로 계속 진행하여, 보안 레벨이 제2 보안 레벨에 있지 않으면, 프로세서는, 도메인 네임이 지난 달에 15 회보다 더 많이 액세스되었다면 액세스가 허용되도록, 전자 디바이스가 제3 보안 레벨에 있는지의 여부를 판정한다. 409로 계속 진행하여, www.x.com이 지난 달에 15 번 미만으로 액세스되었기 때문에, IP 어드레스는 차단되고, NXDOMAIN 응답이 반환된다.
이전 액세스 정보 및 사이버 위협의 가능성의 레벨에 기초하여 전자 디바이스에 대한 IP 어드레스 액세스 판정을 자동적으로 행하는 것은, 전자 디바이스를 계속 사용할 유저의 능력에 대한 영향을 고려하면서, 사이버 공격을 완화시키는 효율적인 방법을 제공한다.

Claims (15)

  1. 컴퓨팅 시스템으로서,
    이력 도메인 네임 액세스 정보 및 보안 레벨 정보를 저장하는 스토리지와,
    명령어를 포함하는 보안 모듈과,
    상기 보안 모듈의 명령어를 실행하는 프로세서를 포함하되,
    상기 명령어는,
    도메인 네임에 관련되는 도메인 네임 시스템 요청에 대한 응답으로서 수신되는 IP 어드레스에 관련되는 정보에 액세스하고,
    상기 요청과 상기 응답 중 적어도 하나에 기초하여 보안 레벨을 업데이트하고,
    상기 이력 도메인 네임 액세스 정보에 대한 상기 도메인 네임의 비교 및 상기 보안 레벨에 기초하여, 상기 IP 어드레스에 대한 액세스의 허용 여부 판정을 수행하며,
    상기 액세스의 허용 여부 판정에 관련되는 정보를 출력하기 위한 것인,
    컴퓨팅 시스템.
  2. 제1항에 있어서,
    상기 스토리지는 또한 총 보안 메트릭(aggregate security metric)을 저장하고, 상기 보안 레벨을 업데이트하는 것은,
    상기 요청과 상기 응답 중 적어도 하나에 기초하여 상기 총 보안 메트릭을 업데이트하는 것과,
    상기 총 보안 메트릭을 보안 레벨 기준과 비교한 것에 기초하여 상기 보안 레벨을 업데이트하는 것을 포함하는,
    컴퓨팅 시스템.
  3. 제2항에 있어서,
    상기 총 보안 메트릭은, 도메인 네임 시스템 요청, 응답을 반환하지 않는 도메인 네임 시스템 요청, 도메인 네임 액세스 목록에 포함되지 않는 도메인 네임에 관련되는 도메인 네임 시스템 요청, 동일한 도메인의 하위 도메인에 관련되는 도메인 네임 시스템 요청, 상기 도메인 네임 액세스 목록의 이력 목록에 있지 않은 비판정적(non-resolving) 도메인 네임을 갖는 도메인 네임 시스템 요청, 및 비중복(non-duplicate) 도메인 네임 시스템 요청 중 적어도 하나의 양에 관련되는,
    컴퓨팅 시스템.
  4. 제2항에 있어서,
    상기 보안 레벨을 업데이트하는 것은, 상기 총 보안 메트릭이 임계치를 초과하는 양, 상기 총 보안 메트릭이 임계치를 초과하는 빈도, 및 상기 보안 레벨이 강화된 시간의 양 중 적어도 하나에 기초하여 상기 보안 레벨을 업데이트하는 것을 포함하는,
    컴퓨팅 시스템.
  5. 제1항에 있어서,
    상기 프로세서는 또한, 머신 러닝, 외부 도메인 네임 목록, 및 유저 입력 중 적어도 하나에 기초하여 상기 이력 도메인 네임 액세스 정보를 증가시키는,
    컴퓨팅 시스템.
  6. 제1항에 있어서,
    상기 보안 레벨은, 도메인 네임 비필터링(non-filtering) 레벨, 도메인 네임 필터링의 제1 레벨, 및 도메인 네임 필터링의 제2 레벨 중 적어도 하나를 포함할 수 있는,
    컴퓨팅 시스템.
  7. 제1항에 있어서,
    상기 액세스의 허용 여부 판정을 수행하는 것은, 상기 이력 도메인 네임 액세스 정보와 관련되는 시간 프레임에 기초하여 액세스를 허용할지의 여부를 판정하는 것을 포함하는,
    컴퓨팅 시스템.
  8. 방법으로서,
    도메인 네임에 관련되는 도메인 네임 시스템 요청에 대한 응답으로서 수신되는 IP 어드레스에 관련되는 정보에 액세스하는 단계와,
    상기 요청과 상기 응답 중 적어도 하나에 기초하여 전자 디바이스와 관련되는 보안 레벨을 업데이트하는 단계와,
    보안 레벨이 도메인 네임 필터링 보안 레벨을 포함하는 경우,
    상기 응답과 함께 수신되는 상기 도메인 네임을, 이전에 액세스된 도메인 네임에 관련되는 정보와 비교하는 단계와,
    상기 비교에 기초하여 상기 IP 어드레스에 대한 액세스의 허용 여부 판정을 수행하는 단계와,
    상기 액세스의 허용 여부 판정에 관련되는 정보를 출력하는 단계를 포함하는
    방법.
  9. 제8항에 있어서,
    상기 보안 레벨을 업데이트하는 것이 상기 보안 레벨을 증가시키는 것으로 나타나는 경우 경고를 출력하는 단계를 더 포함하는
    방법.
  10. 제8항에 있어서,
    상기 보안 레벨을 업데이트하는 단계는,
    상기 요청과 상기 응답 중 적어도 하나에 기초하여 총 보안 메트릭을 업데이트하는 단계와,
    상기 총 보안 메트릭에 기초하여 상기 보안 레벨을 업데이트하는 단계를 포함하는,
    방법.
  11. 제8항에 있어서,
    상기 보안 레벨을 업데이트하는 단계는, 도메인 네임 필터링 레벨에 진입할지의 여부를 판정하는 단계를 포함하는,
    방법.
  12. 제8항에 있어서,
    상기 이전에 액세스된 도메인 네임 정보에 상기 도메인 네임을 추가하는 단계를 더 포함하는
    방법.
  13. 명령어를 포함하는 머신 판독 가능 비일시적 저장 매체로서,
    상기 명령어는
    전자 디바이스로부터의 도메인 네임에 관련되는 도메인 네임 시스템 요청에 대한 응답을 인터셉트하고,
    상기 요청과 상기 응답 중 적어도 하나에 기초하여 상기 전자 디바이스와 관련되는 보안 레벨을 업데이트하고,
    이전의 도메인 네임 액세스에 관련되어 저장된 정보에 대한 상기 도메인 네임의 비교 및 상기 보안 레벨에 기초하여, 상기 응답을 포워딩할지 또는 차단할지를 판정하며,
    상기 판정에 관련되는 정보를 출력하도록
    프로세서에 의해 실행 가능한,
    머신 판독 가능 비일시적 저장 매체.
  14. 제13항에 있어서,
    상기 보안 레벨을 업데이트하는 명령어는,
    일정 기간 동안의 도메인 네임 시스템 활동을 보안 레벨 기준과 비교하고,
    상기 비교의 결과에 기초하여 상기 보안 레벨을 업데이트하는
    명령어를 포함하는,
    머신 판독 가능 비일시적 저장 매체.
  15. 제13항에 있어서,
    보안 레벨을 업데이트하는 명령어는, 도메인 네임 필터링 모드로 진입할지, 상기 도메인 네임 필터링 모드를 벗어날지, 또는 상기 도메인 네임 필터링 모드를 유지할지 중 적어도 하나를 판정하는 명령어를 포함하는,
    머신 판독 가능 비일시적 저장 매체.
KR1020197005962A 2016-09-23 2016-09-23 보안 레벨 및 액세스 이력에 기초한 ip 어드레스 액세스 KR102303312B1 (ko)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/US2016/053517 WO2018057008A1 (en) 2016-09-23 2016-09-23 Ip address access based on security level and access history

Publications (2)

Publication Number Publication Date
KR20190034618A true KR20190034618A (ko) 2019-04-02
KR102303312B1 KR102303312B1 (ko) 2021-09-16

Family

ID=61690569

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020197005962A KR102303312B1 (ko) 2016-09-23 2016-09-23 보안 레벨 및 액세스 이력에 기초한 ip 어드레스 액세스

Country Status (7)

Country Link
US (1) US11223602B2 (ko)
EP (1) EP3449406B1 (ko)
JP (1) JP6731075B2 (ko)
KR (1) KR102303312B1 (ko)
CN (1) CN109313676B (ko)
BR (1) BR112018074592A2 (ko)
WO (1) WO2018057008A1 (ko)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11381974B2 (en) * 2017-01-31 2022-07-05 Telefonaktiebolaget Lm Ericsson (Publ) Method and attack detection function for detection of a distributed attack in a wireless network
CN112055956B (zh) * 2018-02-23 2023-01-10 诺基亚技术有限公司 用于网络安全性的装置和方法
US11394746B2 (en) * 2019-03-07 2022-07-19 Lookout, Inc. DNS prefetching based on triggers for increased security
CN111818107B (zh) * 2020-09-14 2021-04-27 深圳赛安特技术服务有限公司 网络请求的响应方法、装置、设备及可读存储介质
US11470099B2 (en) * 2020-10-19 2022-10-11 Cycraft Singapore Pte. Ltd. Cyber security protection system and related proactive suspicious domain alert system
CN112765502B (zh) * 2021-01-13 2024-03-19 上海派拉软件股份有限公司 恶意访问检测方法、装置、电子设备和存储介质
US11870813B2 (en) * 2021-04-30 2024-01-09 Docusign, Inc. Security operation selection using machine-learned model in document management system
CN114401246B (zh) * 2021-12-27 2024-09-13 中国电信股份有限公司 访问域名的方法及装置

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120303808A1 (en) * 2011-05-24 2012-11-29 Palo Alto Networks, Inc. Using dns communications to filter domain names
US20150150079A1 (en) * 2013-11-26 2015-05-28 Bluecat Networks Inc. Methods, systems and devices for network security

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6961783B1 (en) * 2001-12-21 2005-11-01 Networks Associates Technology, Inc. DNS server access control system and method
US20060036720A1 (en) 2004-06-14 2006-02-16 Faulk Robert L Jr Rate limiting of events
US20070180090A1 (en) 2006-02-01 2007-08-02 Simplicita Software, Inc. Dns traffic switch
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
US8516585B2 (en) 2010-10-01 2013-08-20 Alcatel Lucent System and method for detection of domain-flux botnets and the like
CN103312716B (zh) * 2013-06-20 2016-08-10 北京蓝汛通信技术有限责任公司 一种访问互联网信息的方法及系统
US9245121B1 (en) 2013-08-09 2016-01-26 Narus, Inc. Detecting suspicious network behaviors based on domain name service failures
CN110071986A (zh) * 2013-08-14 2019-07-30 阿里巴巴集团控股有限公司 一种用于域名解析的系统
CA2921345A1 (en) * 2013-08-14 2015-02-19 Daniel Chien Evaluating a questionable network communication
CN104125209B (zh) * 2014-01-03 2015-09-09 腾讯科技(深圳)有限公司 恶意网址提示方法和路由器
US9807110B2 (en) 2014-03-11 2017-10-31 Vectra Networks, Inc. Method and system for detecting algorithm-generated domains
CN105338123B (zh) * 2014-05-28 2018-10-02 国际商业机器公司 用于在网络中解析域名的方法、装置和系统
US10469514B2 (en) 2014-06-23 2019-11-05 Hewlett Packard Enterprise Development Lp Collaborative and adaptive threat intelligence for computer security
US20160119282A1 (en) * 2014-10-23 2016-04-28 Go Daddy Operating Company, LLC Domain name registration verification
CN104506538B (zh) 2014-12-26 2018-01-19 北京奇虎科技有限公司 机器学习型域名系统安全防御方法和装置
CN104579773B (zh) 2014-12-31 2016-08-24 北京奇虎科技有限公司 域名系统分析方法及装置

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20120303808A1 (en) * 2011-05-24 2012-11-29 Palo Alto Networks, Inc. Using dns communications to filter domain names
US20150150079A1 (en) * 2013-11-26 2015-05-28 Bluecat Networks Inc. Methods, systems and devices for network security

Also Published As

Publication number Publication date
CN109313676A (zh) 2019-02-05
EP3449406B1 (en) 2022-08-17
JP6731075B2 (ja) 2020-07-29
EP3449406A1 (en) 2019-03-06
US20210105251A1 (en) 2021-04-08
CN109313676B (zh) 2022-01-25
WO2018057008A1 (en) 2018-03-29
BR112018074592A2 (pt) 2019-04-09
US11223602B2 (en) 2022-01-11
JP2019523476A (ja) 2019-08-22
EP3449406A4 (en) 2019-10-23
KR102303312B1 (ko) 2021-09-16

Similar Documents

Publication Publication Date Title
KR102303312B1 (ko) 보안 레벨 및 액세스 이력에 기초한 ip 어드레스 액세스
CN107750362B (zh) 自动预防和修复网络滥用
US20240340318A1 (en) System and method for utilization of threat data for network security
US9516062B2 (en) System and method for determining and using local reputations of users and hosts to protect information in a network environment
US9112899B2 (en) Remedial action against malicious code at a client facility
CN108353079B (zh) 对针对基于云的应用的网络威胁的检测
EP2779572B1 (en) System and method for monitoring authentication attempts
CN104917779B (zh) 一种基于云的cc攻击的防护方法、装置及系统
US10498766B1 (en) User privacy framework
US8205239B1 (en) Methods and systems for adaptively setting network security policies
US20110289557A1 (en) Managing security in a network
EP3055773B1 (en) Anomaly detection on web client
US20080022404A1 (en) Anomaly detection
US9591030B1 (en) Lock-free updates to a domain name blacklist
US9185122B2 (en) Methods and systems for managing security in a network
US9356932B2 (en) Dynamically applying a control policy to a network
US10999398B1 (en) Scan protection with rate limiting
US20160170911A1 (en) Systems and/or methods for policy-based access to data in memory tiers
JP2006178855A (ja) 利用者権限制御装置、利用者権限制御方法、及び利用者権限制御プログラム
KR20150013858A (ko) 컴퓨터 네트워크에서 서버로부터의 콘텐트에 대한 액세스 요청을 평가하기 위한 방법 및 서버
JP2018041316A (ja) 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム
US20220385677A1 (en) Cloud-based security for identity imposter
JP7037628B2 (ja) 不正アクセス検出装置、不正アクセス検出方法およびコンピュータプログラム
Chapman PATRIOT Act: Implications for Colleges and Universities

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E90F Notification of reason for final refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant