KR20220028102A - 모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들 - Google Patents

모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들 Download PDF

Info

Publication number
KR20220028102A
KR20220028102A KR1020227003708A KR20227003708A KR20220028102A KR 20220028102 A KR20220028102 A KR 20220028102A KR 1020227003708 A KR1020227003708 A KR 1020227003708A KR 20227003708 A KR20227003708 A KR 20227003708A KR 20220028102 A KR20220028102 A KR 20220028102A
Authority
KR
South Korea
Prior art keywords
packet
policy
mobile device
data structure
probability data
Prior art date
Application number
KR1020227003708A
Other languages
English (en)
Inventor
션 무어
피터 피. 제레미아
Original Assignee
센트리페탈 네트웍스 인코포레이티드
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 센트리페탈 네트웍스 인코포레이티드 filed Critical 센트리페탈 네트웍스 인코포레이티드
Publication of KR20220028102A publication Critical patent/KR20220028102A/ko

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/70Routing based on monitoring results
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0245Filtering by information in the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/029Firewall traversal, e.g. tunnelling or, creating pinholes

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • General Business, Economics & Management (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

기업 사용자들의 모바일 디바이스들은 일반적으로 기업의 네트워크 보안 정책에 의해 보호되지 않은 채로 인터넷에 접속하는데, 이는 기업 네트워크를 악의적인 행위자에 의한 인터넷 매개 공격에 노출시킨다. 그 이유는 모바일 디바이스들 및 연관 기업 네트워크를 보호하기 위한 기존의 접근법은 모든 디바이스들의 인터넷 통신을 기업 네트워크로 터널링하도록 하기 때문인데, 이는 일반적으로 기업의 모바일 디바이스들에서 발생되는 인터넷 통신의 극히 일부만 위협과 연관된 인터넷 호스트들과 통신하고 있으므로 매우 비효율적이다. 본 개시내용에서, 모바일 디바이스는 어느 통신이 인터넷 위협과 연관되는지를 효율적으로 식별하여서, 이러한 식별된 트래픽만을 기업 네트워크로 터널링하고, 여기서 기업 네트워크를 보호하기 위한 동작들이 취해질 수 있다.

Description

모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들
본 특허 문서의 개시내용의 일부는 저작권 보호의 대상이 되는 자료를 포함한다. 본 저작권자는 본 특허 문서 또는 본 특허 개시내용을 미국 특허청 특허 파일 또는 기록들에 게재할 때에는 그 누구가 모사 복제해도 그에 대해서는 이의가 없지만, 그 외에는 무엇이든지 간에 모든 저작권을 유보한다.
관련 출원의 교차 참조
본 출원은 2019년 7월 3일 자로 출원된 미국 정규 특허 출원 제16/502,565호의 우선권을 주장하며, 이는 그 전체가 명백히 본원에 원용되어 포함된다.
적용분야
여기에 설명된 양태들은 일반적으로 컴퓨터 하드웨어, 소프트웨어, 및 네트워크 보안에 관한 것이다. 특히, 본 개시내용의 하나 이상의 양태는 일반적으로 모바일 디바이스들(mobile devices)의 효율적인 사이버 보호(cyber protections)를 위한 컴퓨터 하드웨어 및 소프트웨어에 관한 것이다.
정보화 시대가 진행됨에 따라 네트워크 보안이 점점 더 중요해지고 있다. 네트워크 위협/공격들은 다양한 형태들(예를 들어, 비인가된 요청 또는 데이터 전송, 바이러스, 멀웨어(malware), 리소스들을 압도하도록 설계된 대량의 트래픽 등)을 취할 수 있다. 이러한 위협들의 대부분은, 기업이 소유하고/하거나 운영 및 관리하는 사설 TCP/IP 네트워크에 직접 연결될 수 있는, 데스크톱 컴퓨터, 사내 또는 클라우드 엔터프라이즈 애플리케이션 서버, 공개-대면 웹 서버 등의 비이동식 또는 고정식 기업 호스트와 같은 기업 컴퓨터 자원/자산에, 인터넷을 사용하여 접속하여 공격한다. 이러한 기업 네트워크는 결국에는 인터넷에 직접 연결되므로, (a) 개별 기업의 지리적으로 분산된 사설 네트워크들 및 연관된 자산들이 서로 인터넷을 사용하여 상호 접속할 수 있고; (b) 개별 기업의 호스트들이 다른 공개적으로 어드레싱(publicly addressed)되고 인터넷 연결된(Internet-attached) 호스트들(예를 들어, 공개 웹 서버들 및 애플리케이션 서버들)에 접속할 수 있고; (c) 다른 인터넷 연결된 호스트들이 기업의 공개-대면 호스트들(예를 들어, 전자 상거래 웹 서버들)에 접속할 수 있다. 그러나 인터넷 연결된 호스트들에는 악의적인 행위자들이 소유하거나, 운영하거나, 그렇지 않으면 제어하는 호스트들이 있을 수 있다. 이러한 악의적인 행위자들은 인터넷을 사용하여 기업의 공개-대면 호스트들에 접속하여 공격할 뿐만 아니라, 기업이 자신의 개인 자산들을 보호하기 위해 사용하는 네트워크 주변 방어 구조들을 무력화(subvert)할 수 있을 때에, 예를 들어 그 네트워크 주변 방어 구조들을 무력화하는 조종이 되는 때에, 기업의 개인 리소스들을 공격한다.
기업이 자신의 고정식/비이동식 네트워킹된 자산들을 인터넷 위협으로부터 보호하기 위한 기존의 접근법은 기업 네트워크 주변 또는 경계라고도 알려진 인터넷 접속 포인트에서 자신의 사설 네트워크들을 보호하는 것이다. 기업은 어느 방향(예를 들어, 기업 네트워크에 직접 연결된 또는 내부의 호스트들에서 발생하여 인터넷 호스트들로 향하거나; 또는 반대로 인터넷 호스트들에서 발생하여 기업 네트워크에 연결된 호스트들로 향함)으로든 그 경계를 넘도록 허용될 수 있는 네트워크 트래픽을 명시하는 보안 정책을 정의한다. 보안 정책은 네트워크 방화벽, 웹 프록시, SSL/TLS 프록시, 침입 방지 시스템(IPS: intrusion prevention systems), 침입 탐지 시스템(IDS: intrusion detection systems)(이들은 대역 외(out-of-band)에서 제공될 수 있음), 위협 인텔리전스 게이트웨이(TIG: threat intelligence gateways) 등과 같은 인터넷 접속 포인트들에 또는 그 포인트들 근처에 위치한 다양한 디바이스들에 의해 시행된다. 이러한 디바이스들의 집합을 보안 스택(security stack) 또는 기업 네트워크 보안 스택이라고 할 수 있다. 보안 스택에 의해 제공되는 보호의 효과는 네트워크 성능을 허용할 수 없는 수준으로 저하시키지 않고 정책을 효율적으로 시행하는 디바이스들의 기능(capabilities)들과 결합된 네트워크 보안 정책의 품질, 범위, 및 충실도에 의해 결정될 수 있다.
그러나 기존의 기업 보안 스택은, 예컨대 기업 사용자들의 개인 모바일 스마트폰들, 휴대용 태블릿들 및 휴대용 데스크톱들과 같은, 기업의 모바일 호스트들/디바이스들을 인터넷 위협으로부터 보호하지 못할 수 있다. 이러한 디바이스들은 셀룰러 네트워크 및 Wi-Fi 네트워크와 같은 무선 접속 네트워크를 통해 인터넷에 직접 연결될 수 있기 때문이다. 이러한 시나리오들에서, 이들 모바일 디바이스들은, 기업 보안 스택을 통해 연관된 네트워크 트래픽을 필터링하지 않고, 인터넷 호스트들과 직접 통신할 수 있다. 따라서, 악의적인 인터넷 호스트들 및 행위자들은 모바일 디바이스들을 쉽게 공격할 수 있고, 모바일 디바이스들을 멀웨어로 쉽게 감염시킬 수 있으며, 그렇지 않으면 모바일 디바이스들의 리소스들 및 애플리케이션들의 제어를 획득할 수 있다. 또한, 모바일 디바이스들은 악의적인 행위자들이 기업 네트워크에 침투하여 기업의 고정식 네트워킹된 자산들을 공격하는 진입 수단으로 기능할 수 있다. 예를 들어, 기업 모바일 디바이스들 및/또는 그 디바이스들이 호스팅하는 애플리케이션들은 보안 스택 배후에 위치한 기업 애플리케이션 서버들에 접속할 특권 및 권한을 가질 수 있다. 또 다른 예로, 모바일 사용자들은 때로는 그들의 모바일 디바이스들을 Wi-Fi 접속 포인트를 통해 기업 네트워크에 직접 연결할 수 있다. 이러한 두 가지 예에서, 악의적인 행위자들은 기업 네트워크 자산들로의 규제가 없는 직접 접속 권한을 획득할 수 있다. 그런 다음, 악의적인 행위자들은 보안 스택 배후에 있는 자산들로의 모바일 디바이스의 접속을 활용하여 기업 자산들을 공격할 수 있다.
기업의 모바일 자산들을 보호하기 위한 기존의 접근법은, (a) 각 기업 모바일 디바이스와 기업 보안 스택 배후에 위치한 터널 게이트웨이 사이에 터널을 구성(확보)하고; (b) 모바일 디바이스들의 인터넷 통신의 대부분 또는 전부를 그 터널을 통해 전송하는 것이다. 통신이 터널 게이트웨이를 빠져나갈 때, 그 통신은 기업 보안 스택을 통해 전송될 수 있다. 통신이 인터넷 호스트들로 가는 동안 그 통신에 기업 보안 정책이 적용될 수 있다. 인터넷 호스트들에 의해 제공되는 그 어떤 응답 통신도 보안 스택을 통해 유사하게 필터링될 수 있다. 그러나 이러한 접근법에는 기업들로 하여금 그 접근법을 사용하지 않게끔 하고/하거나 모바일 디바이스 사용자들로 하여금 그 접근법을 거부하게끔 하는 요인이 되는 여러 가지 실질적인 문제들이 있는데, 이 문제들은 기업으로 하여금 모바일 디바이스들을 인터넷 위협으로부터 효과적으로 보호할 수 없게 하며, 그에 따라 기업의 네트워킹된 자산들을 인터넷 위협으로부터 효과적으로 보호할 수 없게 하는 결과로 이어질 수 있다.
가장 곤란한 문제들 중 하나는, 트래픽이 보안 스택을 통해 필터링되어 인터넷 위협과 연관될 수 있는 통신을 탐지할 수 있도록, 실질적으로 모든 모바일 디바이스들의 인터넷 트래픽을 터널 게이트웨이로 다시 터널링하는 비효율성이다. 일반적으로 기업의 모바일 디바이스들에서 발생하는 인터넷 통신들 중 극히 일부만이 인터넷 위협들과 통신하므로, 이러한 위협들과 연관된 트래픽만을 필터링할 필요가 있다. 또한, 기업 인력의 이동성이 증가하게 되면서 기업 사용자들이 개인 통신과 업무/기업 통신 모두에 자신들의 개인 모바일 디바이스(예를 들어, 스마트폰들)를 사용하는 것을 압도적으로 선호하기 때문에 (이를 "나만의 기기 가져오기(Bring your own device)" 또는 "BYOD"라고 하는 시장 현상이라고 함), 모바일 디바이스들의 인터넷 트래픽 중 대부분은 (a) 기업에 위협이 되지 않는 개인 통신, (b) 사용자가 불필요하게 기업의 보안 정책 및 회사의 사용 정책에 적용되는 것을 원하지 않을 수 있는 사적인 통신일 수 있는 개인 통신(예를 들어, 고대역폭 비디오들)일 수 있다. 또한, 지역 개인정보 보호법들 또는 규정들은 기업에게 이러한 개인 통신을 필터링하는 것이 허용되는지 여부에 대한 요인이 될 수 있다. 따라서, 모바일 디바이스 트래픽을 보호하는데 사용되는 기업 네트워크 리소스들이 낭비될 수 있다. 또한, 모바일 디바이스들은 합법적이고/이거나 양성(benign)인 트래픽을 불필요하게 암호화하고 터널링하여 배터리 전원을 포함한 많은 리소스들을 낭비할 수 있다. 애플리케이션들에 의해 더 높은 대역폭, 더 많은 대역폭이 소비되며 모바일 디바이스들에 의해 더 많은 리소스가 소비되는 차세대 셀룰러 네트워크들이 배치됨에 따라, 모바일 디바이스들의 인터넷 트래픽 및 연관 기업 네트워크들을 종래의 방식으로 보호하는 비용 및 기타 비효율성이 증가해서 제약이 될 것으로 예상된다.
따라서, 기업의 모바일 자산들을 기업의 네트워크 보안 정책으로 효율적으로 보호함으로써 기업의 네트워킹된 자산들을 인터넷 위협들로부터 보호할 필요가 있다.
하기에는 본 개시내용의 일부 양태들에 대한 기본적인 이해를 제공하기 위해 단순화한 개요를 제시한다. 이는 본 개시내용의 핵심 또는 중요한 요소들을 확인하려는 것도, 본 개시내용의 범위를 기술하려는 것도 아니다. 하기의 개요는 본 개시내용의 몇몇 개념들을 아래의 설명에 대한 서문으로서 간략한 형태로 제시하는 것일 뿐이다.
본 개시내용의 양태들은 모바일 디바이스들 및 그들의 연관 기업 네트워크들을 인터넷 위협으로부터 효율적으로 보호하는 것에 관한 것이다. 모바일 디바이스들은 인터넷 위협과 연관될 수 있는 모바일 디바이스 통신 트래픽을 식별할 수 있으며, 기업 보안 스택에 의한 필터링을 위해 이러한 식별된 트래픽만을 터널 게이트웨이로 터널링할 수 있다.
인터넷 위협들과 연관된 통신의 식별에는 많은 사이버 위협 인텔리전스(CTI: cyber threat intelligence) 공급자 기관들로부터 이용 가능한 CTI의 데이터베이스들 또는 데이터 구조들을 활용할 수 있다. 이러한 CTI는 지표들, 또는 위협 지표들, 또는 침해 지표들(IoC: Indicators-of-Compromise)을 포함할 수 있다. CTI는 위협 행위자들에 의해 제어/작동될 수 있는 또는 그렇지 않으면 악의적인 활동과 연관되었을 수 있는 리소스들의 인터넷 네트워크 주소들 - IP 주소들, IP 주소 범위들, L4 포트들 및 연관된 L3 프로토콜 유형들, 도메인 이름들, URI들 등 - 을 포함할 수 있다. CTI 지표들/위협 지표들은 또한 일부 TCP/IP 통신들을 보호하는 데 사용되는 인증서들 및 연관 인증 기관들에 대한 식별자들(예를 들어, HTTP-중재 세션들을 보호하기 위해 TLS 프로토콜에서 사용하는 X.509 인증서들)을 포함할 수 있다.
활성 통신(active communication)이 인터넷 위협과 연관될 수 있는지 여부를 결정하기 위해 통신을 구성하는 전송 중(in-transit) 패킷들은, 예를 들어 위협 지표들의 데이터베이스 또는 위협 지표들로 채워진 데이터 구조로부터 생성된 패킷 필터링 규칙들을 적용하는 패킷 필터링 디바이스에 의해, 위협 지표들의 데이터베이스 또는 위협 지표들로 채워진 데이터 구조와 비교될 수 있다. 패킷에 대한 값과 데이터베이스 또는 데이터 구조의 위협 지표 간에 일치가 결정되면, 보호 동작들(actions)의 세트 또는 패킷 변환 기능(PTF: packet transformation functions)들 중 적어도 하나가 패킷에 적용될 수 있다. 이러한 보호 동작들/PTF들은 패킷의 삭제(dropping), 패킷이 그의 의도한 목적지로 계속되도록 허용, 패킷의 모니터링(이는 패킷의 로깅(logging) 및 캡처링(capturing) 또는 패킷의 로깅 및 전달(forwarding)을 포함할 수 있음), 모니터링 또는 테스팅을 위해 패킷을 그의 의도한 목적지 및 다른 네트워크 디바이스로 미러링(mirroring), 패킷의 리디렉션, 해당 응답 패킷의 생성 등을 포함할 수 있다.
보호 동작들/PTF들은 지표를 제공한 연관 CTIP에 의해 제공되는 위협 인텔리전스 데이터 또는 위협 메타데이터에 의해 부분적으로 결정될 수 있다. CTIP들은 CTI 지표들을 이진수가 아닌 위협 위험 값과 연관시킬 수 있다. 예를 들어, 지표의 위험은 연관된 패킷 또는 통신들이 공격의 일부일 확률 또는 가능성으로 표현되거나 연관될 수 있다. 이러한 위협 위험 값들은 매칭 패킷에 적용될 수 있는 보호 동작/PTF의 결정에 반영될 수 있다. 예를 들어, 어떤 패킷과 연관된 위협 위험이 거의 100%인 경우, 그 패킷은 공격의 일부일 가능성이 매우 높기 때문에 삭제될 수 있다. 그 패킷은 또한 로깅되고, 캡처링되어, 위협/공격을 인지해야 하는 기관들에 경고될 수 있다. 반대로, 어떤 패킷과 연관된 위협 위험이 거의 0%인 경우, 그 패킷은 공격의 일부일 가능성이 낮기 때문에 그 패킷의 목적지를 향해 진행하도록 허용될 수 있다. 또 다른 예로, 어떤 패킷의 위험 가능성이 50%인 경우, 그 패킷은 그의 의도된 목적지로 계속 진행할 수 있지만, 그 패킷은 또한 로깅되거나, 캡처링되거나, 지정된 기관들로의 경고에서 그의 위험이 식별될 수 있고, 이 기관들은 패킷 및 연관 통신을 추가로 분석하여 패킷/통신이 공격의 일부인지 여부를 결정할 수 있다. 위험 값들을 추정하고 연관된 동작들/PTF들 또는 네트워크 보호 동작들을 선택하는 것은 연관된 CTIP, 동일한 지표를 제공한 CTIP들의 수, 어떤 CTIP(들)가 해당 지표를 제공했는지, 지표의 충실도, 패킷의 발신자의 지리적 위치, 보호되는 연관 네트워크 관리자들의 기본 설정들 등에 의해 제공될 수 있는 위협 메타데이터(예를 들어, 공격 유형, 공격 속성 등)를 포함하는 여러 변수들의 함수일 수 있다.
정책 생성 및 관리 시스템은, (a) 하나 이상의 CTIP로부터 CTI 및 연관 메타데이터를 수신할 수 있고; (b) 위협 지표들을 집계할 수 있고(예를 들어, 중복 정보의 병합 및 제거); (c) 각 위협 지표에 대한 패킷 필터링 규칙을 생성할 수 있고; (d) 모든 패킷 필터링 규칙들을 정책으로 수집할 수 있고; (e) 네트워크 방화벽들 및 위협 인텔리전스 게이트웨이(TIG: threat intelligence gateways)들과 같은 가입 정책 실시 디바이스들에 그 정책을 배포할 수 있다. 패킷 필터링 규칙들을 생성하는 단계 (c)에서, 각 규칙은 (1) 패킷 매칭 기준, 예를 들어 패킷 필드들 및 값들의 쌍들, 여기서 상기 값들은 CTI 지표들임; 및 (2) 규칙의 기준과 일치하는 패킷에 적용될 패킷 처리 또는 네트워크 보호 동작 또는 PTF를 명시할 수 있다. 패킷 필터링 규칙의 구문은 정책 시행 디바이스에 의해 명시될 수 있다. 구문은 BSD 패킷 필터 (BSD PF: Berkeley Software Distribution packet filter) 또는 iptables와 같은 상용 방화벽들을 위한 구문과 동일하거나 유사할 수 있다. 패킷 처리들/동작들/PTF들은 전술한 바와 같이 CTIP 제공 위협 메타데이터, 관리자 선호 설정들 등에 반영될 수 있는 정책 생성 로직에 의해 명시될 수 있다. 정책 생성 및 관리 시스템은 모바일 애플리케이션에 통합될 수 있다. 모바일 애플리케이션은 또한 중앙 집중 서버에서 생성된 정책에 대한 업데이트들을 설치하고 수신하도록 구성될 수 있다.
CTI 도출 정책들(CTI-derived policies)의 크기는 개시된 방법들 및 시스템들에 반영될 수 있다. 가장 효과적인 네트워크 보호들을 제공하기 위하여, 많은 서로 다른 독립적인 CTIP들의 CTI를 사용하여 정책들을 도출해야 한다. CTIP들은 예를 들어 공격 유형들, 시장 부문들, 위협 메타데이터 품질, 지표 유형들 및 충실도에 따라 차별화될 수 있으므로 독립적인 CTIP들에 의해 제공되는 지표들 간에는 중복이 거의 없을 수 있다. 두 개의 독립적인 CTIP들이 제공하는 두 세트의 위협 지표들의 경우, 그 세트들의 교차는 상대적으로 작거나 심지어 없을 수 있다. 따라서 활성 위협 통신을 인지할 수 있는 최상의 기회를 갖기 위하여 가능한 한 실용적일 만큼 많은 독립적인 CTIP들에서 이용 가능한 CTI를 사용하여 정책들을 도출해야 한다. 이로 인해 초대형 정책들이 생성될 수 있다. 예를 들어, 많은 독립적인 CTIP들에서 생성된 CTI 도출 정책의 크기는 5백만 패킷 필터링 규칙들일 수 있다. 그러나, 인터넷 위협의 범위는 계속 빠르게 증가하고, 이에 따라 CTIP들은 계속 더 많은 CTI를 생성한다. 따라서, 향후 검증을 위해 필터링 시스템은 1000만 내지 5000만 패킷 필터링 규칙 범위를 포함하도록 효과적인 CTI 도출 정책들의 크기의 한 자릿수 더 큰 증가를 처리하도록 설계될 수 있다.
CTI 도출 정책들의 역학은 설명된 방법들 및 시스템들에도 반영될 수 있다. 예를 들어, 악의적인 행위자들이 새로운 위협 지표들을 이용하여 지속적이고 빠르게 새로운 공격들을 생성하기 때문에 CTI는 지속적으로 변경된다. 위협 지표들은 또한 60일 내지 180일 후에는 "시효 소멸"될 수도 있어서 더 이상 위험한 것으로 간주되지 않는다. 또한, CTIP들은 CTI 업데이트의 빈도로 차별화될 수 있다. 따라서, CTI 도출 정책들은 효과를 유지하기 위해 자주 업데이트되어야 한다. 실제로, CTI 도출 정책 배포 빈도들은 주별, 일별, 또는 시간별일 수 있다.
규칙의 매칭 기준에 있는 지표에 의한 정책에서 각 규칙의 특성화는 개시된 방법들 및 시스템들에 반영될 수 있다. 이러한 특성은 정책을 검색하기 전에 패킷 데이터가 정책의 어떤 규칙과 일치하는지 여부를 결정하기 위한 테스트에서 사용될 수 있다.
CTI 데이터베이스들의 크기와 역학으로 인해, 네트워크를 보호하기 위한 CTI의 사용은 정책 생성 및 정책 시행 모두에 대한 자동화로부터 이득을 얻을 수 있다. 정책 시행 자동화의 경우, 네트워크 방화벽과 같이 전송 중 네트워크 트래픽에 패킷 필터링 규칙을 적용할 수 있는 모든 네트워크 디바이스가 잠재적으로 정책 시행 기능을 수행할 수 있다. CTI를 적용하여 네트워크들을 보호하기 위해, 정책 시행 디바이스는, (a) (예를 들어, 많은 대기 시간으로 야기되는 버퍼 오버플로로 인한) 상당한 대기 시간이나 패킷 손실 없이 수백만 개의 패킷 필터링 규칙들로 구성된 초대형 정책들을 고속 인터넷 접속 링크(예: 10G)에서 전송 중 네트워크 트래픽에 적용하고; (b) 매칭 기준에, 예를 들어, IP 주소들, IP 주소 범위들, 5-튜플들(5-tuples), 도메인 이름들, URI들, X.509 인증서들 등의 매칭 기준에, 서로 다른 유형의 지표들을 이용하여 패킷 필터링 규칙들을 적용하고; (c) 패킷 전달 서비스의 손실이나 보안/보호의 손실 없이 현재 시행 중인 초대형 정책을 새로운 초대형 정책으로 신속하고 자주 업데이트하고; (d) 예를 들어, 통신들이 - 예를 들면 보안 정보 및 이벤트 관리(SIEM: security information and event management) 애플리케이션들 및 패킷 분석기 애플리케이션들을 사용하여 - 사이버 분석될 수 있도록 패킷을 로깅 및 캡처링할 수 있는 것이 유리할 수 있다.
CTI 도출 정책들을 이용하여 모바일 디바이스들 및 연관 네트워크들을 보호하기 위한 한 가지 잠재적인 접근법은 엔드포인트(endpoint) 모바일 디바이스에서 정책 시행 기능을 찾는 것이다. 안드로이드와 같은 모바일 디바이스 운영 체제들은 엔드포인트 모바일 디바이스에서 발생하거나 엔드포인트 모바일 디바이스에서 수신된 트래픽에 CTI 도출 패킷 필터링 규칙들을 적용할 수 있는 네트워크 방화벽 기능(예를 들어, 안드로이드의 iptables)이 포함되어 있다. 그러나 iptables와 기존의 네트워크 방화벽들 및 소위 "차세대" 방화벽들은 그들에 CTI 도출 규칙들이 구성된 경우에는 CTI 도출 정책 시행 기능으로 식별될 수 있지만, 이러한 방화벽들은 일반적으로는 네트워크 게이트웨이의 상기 기능들을 모두 갖고 있지 않다. 또한, 기존의 모바일 디바이스들은 일반적으로 네트워크 게이트웨이의 기능들(capabilities)을 지원하기에 충분한 프로세서 및 메모리 요구사항들이 부족하다. 또한, 모바일 디바이스들은 일반적으로 그들 배터리들에 저장된 전력을 절약하기 위해 처리 부하 및 이에 따른 전력 소비를 최소화한다. 따라서, 모바일 디바이스에서 효과적인 정책 시행 기능을 찾는 이러한 잠재적인 접근법은 비실용적일 수 있다.
상기 모바일 디바이스들의 제한된 처리 능력 및 배터리 전력 절약과 관련된 문제들을 다루기 위해, 보안 스택과 함께 정책 시행 기능(예를 들어, TIG)이 기업 네트워크의 인터넷 접속 포인트들에 제공될 수 있고; 시스템은 각 모바일 디바이스의 모든 인터넷 트래픽을 보안 스택 배후에 있는 터널 게이트웨이로 터널링하는 대신에, TIG에 의해 시행된 CTI 도출 정책의 패킷 필터링 규칙과 일치할 수 있는 인터넷 트래픽만을 각 모바일 디바이스로부터 터널링할 수 있다. 시스템은 기업 네트워크에 위치한 (원격) TIG에 의해 시행되는 정책의 패킷 필터링 규칙과 어떤 인터넷 트래픽 패킷이 일치할 것인지를 효율적으로 결정하는 로직을 각 모바일 디바이스에서 로컬로(locally) 실행할 수 있다.
정책의 패킷 필터링 규칙과 일치하는 인터넷 트래픽 패킷들을 효율적으로 결정하기 위해, CTI 도출 정책의 각 규칙은 위협 지표에 의해 특성화될 수 있다. 위협 지표는 필터링 규칙의 매칭 기준(matching criteria)으로 사용될 수 있다. 모바일 디바이스는 인터넷 트래픽 패킷이 정책의 규칙과 일치하는지 여부를 결정하기 위해 위협 지표를 특성화함으로써 보안 정책의 각 규칙을 나타내는 데이터 구조를 활용할 수 있다. 전체 정책을 나타내기 위해, 시스템은 정책의 각 규칙을 특성화하는 모든 지표들 - IP 주소들, 도메인 이름들, URI들, 인증서 ID들 등 - 을 수집하고, 이러한 지표 각각을 예를 들어 데이터 구조의 집합에, 즉 요소(예를 들어, IP 주소, 도메인 이름, URI, 인증서 ID 등)가 그 집합의 멤버인지 여부를 결정하기 위해 테스트될 수 있는 데이터 구조의 집합에, 삽입할 수 있다. 상기 데이터 구조는 정책 관리 서버에 의해 생성될 수 있고, 각 모바일 디바이스에 배포될 수 있고, 정책에 의해 보호될 수 있는 각 모바일 디바이스에 저장될 수 있다. 모바일 디바이스가 인터넷 트래픽 패킷을 발생하거나 수신할 때, 모바일 디바이스의 컴퓨터 로직 및/또는 애플리케이션은 IP 주소, 도메인 이름, URI, 인증서 ID 등과 같은 데이터 구조의 위협 지표들에 해당할 수 있는 패킷에 포함된 어떤 요소들이라도 추출할 수 있으며, 이러한 요소들이 상기 데이터 구조의 집합의 멤버인지 여부를 결정하기 위해 상기 데이터 구조를 테스트할 수 있다. 테스트에서 어떤 패킷 요소가 위협 지표들의 집합의 멤버임을 나타내는 경우, 패킷 또는 패킷의 복제(copy)는 터널 게이트웨이로 터널링될 수 있으며, 이는 기업 사설 네트워크에 위치될 수 있다. 터널 게이트웨이에서 나갈 때, 패킷은 TIG로 전송될 수 있으며, 이는 어떤 패킷 필터링 규칙이 패킷과 일치하는지 결정하기 위해 정책을 통해 패킷을 필터링할 수 있다. TIG에 의한 정책 테스트에 의해 매칭 규칙이 결정되면, 규칙과 연관된 동작(들) 또는 PTF(들)가 네트워크를 보호하기 위해 패킷에 적용될 수 있다. 동작(들) 또는 PTF(들)가 패킷으로 하여금 인터넷으로 전달되게 하는 경우, 패킷은 연관된 보안 스택을 통해 전달될 수 있다.
데이터 구조는 바람직하게는 공간과 시간 모두에 대해 효율적이다. 정책의 규칙들을 특성화하는 요소들 또는 위협 지표들의 세트를 저장하는 데 필요한 메모리는 모바일 디바이스에서 이용 가능한 주 메모리에 비해 작아야 하며, 멤버십 테스트 기능과 요소 삽입 기능이 이론과 실제 모두에서 빠르고 효율적이어야 한다. 2019년 4월 30일에 출원되고 본원에 원용되어 포함된(incorporated by reference) 미국 특허 출원 제16/399,700호에 설명된 바와 같이, 블룸 필터(Bloom filter)라고 하는 확률 데이터 구조는 이러한 기준들을 충족할 수 있다. 블룸 필터는 한 집합의 요소들을 공간 효율적으로 저장하고, 요소들을 그 집합에 시간 효율적으로 삽입하며, 어떤 요소가 집합의 멤버일 수 있는지 여부를 결정하기 위해 시간 효율적으로 테스트될 수 있다. 블룸 필터들은, 요소가 사실상 그 집합의 멤버가 아닐 때에 요소에 대한 집합 멤버십 테스트가 True를 반환할 확률인, 위양성율(false positive rate) P에 의해 매개변수화된다. 블룸 필터들의 경우, 위음성율(false negative rate)은 0이다. 즉, 요소에 대한 집합 멤버십 테스트가 False를 반환하면 요소가 그 집합의 멤버가 아닌 것이 확실하다.
블룸 필터는 인터넷 트래픽 패킷에서 추출된 IP 주소, 도메인 이름 또는 URI와 같은 패킷 요소가 정책에서 규칙들을 특성화하는 모든 지표들의 집합의 멤버인지 여부를 효율적으로 결정하기 위해 모바일 디바이스에 의해 사용될 수 있다. 예를 들어, 약 9 MB 크기의 블룸 필터는, 위양성율 P = 10-3, 또는 천분의 일인 경우, 유사한 수(예를 들어, 5백만)의 CTIP 제공 위협 지표들에서 도출된 약 5백만 패킷 필터링 규칙들로 구성된 실제 정책에 IP 주소, 도메인 이름 및 URL 지표들 모두를 저장하는 데 충분할 수 있다. 5백만 개의 요소들을 포함하는 블룸 필터는 주어진 패킷 요소(예를 들어, IP 주소, 도메인 이름 또는 URL)가 멤버인지 여부를 결정하기 위해 신속하게 (예를 들어, 일반적으로 1 마이크로초 미만) 테스트될 수 있다. 이러한 또는 임의의 블룸 필터의 경우, 공간/메모리 및 멤버십 테스트 시간 요구 사항들은 P의 대수(logarithm)의 크기에 따라 변경될 수 있고; 따라서 예를 들어 P = 10-3을 천으로(by a factor of one thousand) 나누어 10-6 또는 백만분의 일까지 감소시켜 공간 및 시간 요구 사항들을 2배만큼 (예를 들어, 본 예시의 경우 약 18 MB) 증가시킨다. 현재 많은 모바일 스마트폰들은 1 내지 4 GB의 메인 메모리를 갖고 있고; 따라서 예시적인 9MB 블룸 필터는 메인 메모리의 1% 미만을 차지할 수 있다. CTI 도출 정책이 그에 포함된 패킷 필터링 규칙들 또는 위협 지표들의 수로 측정함에 따라 크기가 크게 증가하여 연관된 블룸 필터의 크기가 우려되는 수준이 되는 경우, 블룸 필터의 크기를 줄이기 위해 위양성율은 증가할 수 있다.
이후에 "B/F"로 약칭될 수 있는 블룸 필터 데이터 구조가 본 개시내용의 설명에서 사용될 것이지만, 이러한 선택은 예시적이며 어떤 식으로든 제한하거나 한정하는 것을 의미하지 않는다. 요소들의 집합을 저장하고, 요소들을 그 집합에 삽입하고, 요소들의 집합내 멤버십을 테스트하는 데 충분하고 유사한 시간 및 공간 효율성을 갖는 어떠한 데이터 구조이든지 사용될 수 있다. 예를 들어 쿠쿠 필터(Cuckoo filter)는 블룸 필터(B/F)와 유사한 시간 및 공간 효율성을 가지며, 또한 집합에서 요소들을 효율적으로 삭제하거나 제거하는 기능 - 삭제 기능을 지원하는 블룸 필터 변형들이 개발되었지만 표준 블룸 필터에는 없는 기능임 - 도 가지고 있다. 집합에서 요소들을 효율적으로 삭제하는 기능은 일부 애플리케이션들, 구현예들 및/또는 실시예들에서 유용할 수 있다. 데이터 구조는 집합에 요소들을 추가하기 위한 Insert() 함수를 지원할 수 있고, 요소의 집합 멤버십을 테스트하기 위한 부울 값 Member() 함수(Boolean-valued Member() function)를 지원할 수 있으며, 집합에서 요소를 제거하기 위한 Delete() 함수를 지원할 수 있다. 데이터 구조는 확률적일 수 있으며, 0이 아닌 위양성율 P와 연관될 수 있다.
테스트에서 어떤 패킷 요소가 집합의 멤버임을 나타내는 경우, 패킷은 인터넷 위협과 연관된 것으로 결정된다. 이와 같이, 위협 연관 패킷은 모바일 디바이스로부터 기업 네트워크 터널 게이트웨이로 터널링될 수 있으며, 기업 네트워크 터널 게이트웨이는 연관 기업 네트워크의 보안 스택 배후에 위치할 수 있다. 사용할 수 있는 다양한 터널링 기술들 및 관련 방법들이 있으며, 일부 시나리오들에서 터널링 기술들 및 방법들은 보호들의 유형들과 기업이 자신의 모바일 인프라(mobile infrastructure)에 대해 원하는 효율성들의 정도에 부분적으로 의존할 수 있다. 아래의 상세한 설명에서는 일부 예시적인 터널링 기술들이 사용되는데; 그렇지만 이러한 터널링 기술들은 예시적인 것이지, 어떤 식으로든 한정하거나 제한하려는 것이 아니다. 다른 터널링 기술들 및 방법들이 본 개시내용의 범위를 벗어나지 않고 본 발명을 실현하는데 사용될 수 있다.
본 개시내용 설명에서 사용되는 예시적인 인터넷 계층/L3 터널링 프로토콜은 IPsec 터널 모드(RFC 1431)이다. IPsec 터널 모드는 터널링될 패킷 트래픽을 암호화(encrypt)할 수 있고, 전송 계층/L4 패킷(UDP 또는 TCP 프로토콜)의 페이로드(payload) 섹션에 암호화된 트래픽을 배치할 수 있고, IP 주소 필드 값들이 터널의 단말들의 IP 주소들인 IP 패킷들에 L4 패킷들을 캡슐화할 수 있으며, 터널의 단말들의 IP 주소들은 모바일 디바이스 및 기업 네트워크 게이트웨이의 주소들을 포함할 수 있다. IP-in-IP(RFC 1203)를 포함한 다른 인터넷 계층/L3 터널링 프로토콜들이 사용될 수 있다. 모바일 디바이스들 및 터널링된 트래픽은 VPN과 연관될 수 있으므로, 연관된 기업 네트워크의 사설 어드레싱 방식을 사용하여 기업 사설 네트워크를 통해 TIG, 보안 스택 및 인터넷으로 터널링된 트래픽을 라우팅 및/또는 전환(switch)할 수 있다. 이를 수행하는 한 가지 예시적인 방법은 L2TP-over-IPsec 또는 L2TP/IPsec로 알려진 IPsec과 결합된 L2TP 프로토콜을 사용하는 것이다. L2TP/IPsec은 기본적으로 두 가지 인기 있는 모바일 디바이스 운영 체제인 Android 및 iOS에 의해 지원된다. 아래의 설명에서, 터널링을 언급할 때 프로토콜들의 정확한 세부사항들은 생략될 수 있다. 당업자는 세부사항들을 추론하기 위해 특정 시나리오의 컨텍스트를 사용할 수 있다.
모바일 디바이스들은 상황에 따라 기업과 연관될 수 있다. 즉, 상기 디바이스들은 현재 통신들의 속성에 따라 "기업 모드" 또는 "개인 모드" 또는 양쪽 모두에서 작동(operate)한다고 말할 수 있다. 예를 들어, 모바일 디바이스가 인터넷 위협 트래픽을 기업 네트워크로 터널링하는 경우, 상기 디바이스는 기업 네트워크에 연결된 기업 호스트/엔드포인트 자산으로 간주되므로 기업 모드에서 작동한다. 모바일 디바이스가 인터넷 트래픽을 터널링하지 않고 대신 다른 인터넷 호스트들/엔드포인트들과 직접 통신하는 경우, 기업 호스트/엔드포인트 자산으로 간주되지 않으므로 개인 모드에서 작동한다. 모바일 디바이스는 양쪽 모드들에서 동시에 작동할 수 있다. 예를 들어, 상기 디바이스는 비위협/양성(benign) 인터넷 호스트와 직접 통신하는 동시에 터널을 통해 인터넷 위협 호스트와 간접적으로 통신할 수 있다. 상기 디바이스가 인터넷 위협 호스트와 직접 통신하지만 통신의 패킷들의 복제를 다시 기업으로 터널링할 수 있다. 기업 네트워크로 터널링된 패킷들 또는 기업 네트워크로 터널링된 복제된 패킷들을 모니터링하여 네트워크 위협을 결정하거나 분석할 수 있다. 이러한 패킷들은 모니터링되고 사이버 분석되어 그 통신이 공격인지 또는 합법적인/양성 통신인지 여부를 결정할 수 있다.
프로세스는 정책의 테스트를 수행하기 위한 로직 또는 애플리케이션을 적어도 하나의 모바일 디바이스에 구성(configure)하는 단계를 포함할 수 있다. 로직 또는 애플리케이션은 기업 관리 서버로부터 설치될 수 있다. 모바일 디바이스는 셀룰러 폰, 태블릿, 랩톱 컴퓨터, 또는 모바일 핫스팟과 같은 모바일 네트워킹 디바이스를 포함할 수 있다. 기업 네트워크는 TIG 및 터널 게이트웨이로 구성될 수 있다.
정책 생성 및 배포 관리 서버는 다수의 CTIP들로부터 CTI를 수신할 수 있으며, 복수의 규칙들을 포함할 수 있는 CTI 도출 정책을 생성할 수 있다. 관리 서버는 복수의 규칙들 각각을 나타내는 요소들의 집합에 근거하여 블룸 필터(B/F)를 생성할 수 있다. 이러한 데이터 구조(이하 TUNNEL-B/F)는 정책의 각 규칙에서 추출된 위협 지표들을 포함할 수 있다. 시스템은 정책을 TIG에 다운로드할 수 있고, 데이터 구조(TUNNEL-B/F)를 기업 네트워크와 연관된 각 모바일 디바이스 및 TIG를 포함하는 다른 네트워크 요소들에 전송할 수 있다.
모바일 디바이스는 인터넷 호스트와 통신을 개시(initiate)할 수 있다. IP 주소들, 도메인 이름들 및 URI들과 같은 아웃바운드 패킷의 값들은 데이터 구조(TUNNEL-B/F)의 멤버십에 대해 테스트될 수 있다. 멤버십 테스트가 True를 반환하면, 시스템은 패킷을 기업 네트워크로 터널링할 수 있다. 패킷은 TIG 및 보안 스택을 통해 필터링될 수 있다. 통신 흐름의 후속 패킷들 각각은 기업 네트워크로 터널링될 수 있으며, TIG 및 보안 스택을 통해 필터링될 수 있다. 멤버십 테스트가 False를 반환하면, 시스템은 패킷을 기업 네트워크로 터널링하지 않고 인터넷 호스트로 직접 패킷을 전달할 수 있다.
터널 게이트웨이에서 나가는 터널링된 패킷을 수신하는 경우, 기업 네트워크는 패킷들을 TIG로 전달할 수 있다. TIG는 각 패킷에 정책을 적용할 수 있다. TIG가 매칭 패킷 필터링 규칙을 발견하는 경우, TIG는 규칙의 해당 동작(들)/PTF(들)를 패킷에 적용할 수 있다. 동작/PTF는 예를 들어 패킷을 삭제하거나 추가적인 보안 처리를 위해 패킷을 보안 스택으로 전달할 수 있다. 동작/PTF는 패킷으로 하여금 로깅되고 캡처링되게 할 수 있으며, 이를 통해 SIEM 애플리케이션 및/또는 패킷 분석기 애플리케이션을 이용하여 패킷 및 연관 통신을 분석하여 통신이 위협 또는 공격인지 여부 또는 통신이 양성으로 결정되는지 여부를 결정할 수 있다.
상기 프로세스에는 여러 가지 가능한 변형들이 있으며, 그 중 일부는 아래의 상세한 설명 부분에 상세히 설명되어 있다.
본 개시내용은 첨부된 청구범위에서 구체적으로 지적된다. 본 개시내용의 특징들은 본원에 함께 제공된 도면들을 포함하여 본 개시내용 전체를 검토할 때 더욱 명백해질 것이다.
본원의 일부 특징들은 유사한 참조 부호들이 유사한 요소들을 나타내는 첨부 도면의 각 도면에서 제한으로서가 아니라 예시로서 예시된다.
도 1은 모바일 디바이스들 및 연관 기업 네트워크들을 위한 보호 시스템을 위한 예시적인 환경을 도시한다.
도 2는 모바일 디바이스들 및 연관 기업 네트워크 요소들을 구성하기 위한 보안 정책 생성 및 관리 서버의 작동 개념에 대한 순서도를 도시한다.
도 3은 모바일 디바이스들 및 연관 기업 네트워크들의 패킷 필터링의 작동 개념에 대한 순서도를 도시한다.
도 4는 모바일 디바이스들 및 연관 기업 네트워크들을 위한 비보호 시스템의 작동 개념에 대한 순서도를 도시한다.
도 5는 본원에 설명된 하나 이상의 예시적인 양태에 따라 사용될 수 있는 예시적인 컴퓨터 시스템 아키텍처를 도시한다.
도 6은 본원에 설명된 하나 이상의 예시적인 양태에 따라 사용될 수 있는 예시적인 원격 접속 시스템 아키텍처를 도시한다.
다양한 예시적인 실시예들에 대한 이하의 설명에서는, 본원의 일부를 형성하고 본 개시내용의 양태들이 실시될 수 있는 다양한 실시예들이 예시로서 도시된 첨부 도면들이 참조된다. 본 개시내용의 범위를 벗어나지 않으면서, 다른 실시예들이 활용될 수 있으며, 구조적 및 기능적 수정들이 이루어질 수 있음을 이해할 것이다. 또한, 본 개시내용의 양태들이 실시될 수 있는 특정 애플리케이션들, 프로토콜들, 및 실시예들이 참조된다. 본 개시내용의 범위를 벗어나지 않으면서, 다른 애플리케이션들, 프로토콜들, 및 실시예들이 활용될 수 있으며, 구조적 및 기능적 수정들이 이루어질 수 있음을 이해할 것이다.
요소들 간의 다양한 연결들은 이하 설명에서 논의된다. 이러한 연결들은 일반적인 것으로, 달리 명시되지 않는 한 직접 또는 간접, 유선 또는 무선, 물리적 또는 논리적(가상/소프트웨어 정의)일 수 있다. 마찬가지로 호스트들 및 기기들과 같은 네트워크 요소들은 물리적이거나 가상일 수 있다. 이와 관련하여 본 명세서는 제한하려고 의도된 것은 아니다.
본 개시내용의 실시예들에 따르면, 본 발명의 대표적인 환경(100)을 도시하는 도 1을 참조하여 모바일 디바이스들 및 연관 기업 네트워크들의 효율적인 사이버 보호들을 위한 시스템을 고려한다. 모바일 디바이스들(MBDV(101) 및 MBDV(102))은 사설 기업 네트워크(ENET)(160)를 운영하는 기업과 제휴할 수 있는 사용자들에 의해 개인적으로 소유/운영된다. 모바일 디바이스들(MBDV(101) 및 MBDV(102))은 모두 무선 접속 네트워크(RNET)(120) 및 모바일 코어 네트워크(MCNET)(150)를 운영하는 모바일 공급자에 가입한다. 모바일 디바이스들(MBDV(101) 및 MBDV(102))이 셀룰러 폰 통화들을 할 때 시그널링 및 통신들은 모바일 코어 네트워크 (MCNET)(150)를 통해 라우팅되고 다른 모바일 공급자들의 모바일 코어 네트워크들을 통해 라우팅될 수 있다(도 1에 미도시). 2G 및 이후 세대 모바일 디바이스들 및 모바일 네트워크들은 인터넷 및 연관 TCP/IP 네트워크들로의 접속을 지원한다. 모바일 디바이스들(MBDV(101) 및 MBDV(102))은 인터넷(130)을 통해 웹 서버(WSVR)(151) 및 멀웨어 서버(MALSVR)(152)와 같은 공개적으로 어드레싱된(publicly addressed) 인터넷 서버에 접속할 수 있다. 모바일 디바이스(MBDV)(101)는 본원에 설명된 패킷 테스트, 패킷 필터링 및 패킷 터널링의 기능들을 구현하는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 다운로드하여 설치할 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 본 공개 명세서의 다른 곳에서 설명된 바와 같이 클라이언트(들)을 구성하고, 터널링하고, TUNNEL-B/F를 관리하고, 다른 기능들을 수행할 수 있다. 모바일 디바이스(MBDV)(102)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 다운로드하지 않았으므로 본 개시내용의 방법들 및 시스템들에 의해 보호되지 않는다.
사설 기업 네트워크(ENET)(160)는 PC(161)와 같은 내부 호스트들로의 인터넷 접속을 제공할 수 있다. 사설 기업 네트워크(ENET)(160)는 이러한 내부 호스트들과 인터넷 호스트들 간의 트래픽이 위협 인텔리전스 게이트웨이(TIG)(170)를 통과해야 하도록 구성될 수 있으며, 위협 인텔리전스 게이트웨이(TIG)(170)는 CTI 도출 정책을 시행할 수 있다. 트래픽은 또한 보안 스택(SSTK)(175)를 통과할 수 있으며, 보안 스택(SSTK)(175)은 웹 프록시, SSL 프록시, 침입 탐지 시스템(IDS: Intrusion Detection Systems), 침입 방지 시스템(IPS: Intrusion Prevention Systems) 등과 같은 기존 네트워크 방화벽 및 다른 기업 네트워크 보안 디바이스들 중 적어도 하나를 포함할 수 있다. 위협 인텔리전스 게이트웨이(TIG)(170) 및 보안 스택(SSTK)(175)는 사설 기업 네트워크(ENET)(160)로의 인터넷 접속 포인트에, 또는 그 근처에 위치할 수 있다. 패킷들에 정책을 적용하는 경우, 위협 인텔리전스 게이트웨이(TIG)(170)는 정책의 규칙들과 일치하는 패킷들의 로그들을 생성할 수 있으며, 생성된 로그들은 예를 들어 SIEM 애플리케이션들 및 패킷 분석기 애플리케이션들을 사용하는 사이버 분석가들의 공격 분석을 위해 인터넷을 통해 보안 운영 센터(SOC)(140)로 전송될 수 있다.
기업 시스템 서버(ESVR)(162)는 기업의 사용자들에 의한 사용을 위해 기업에서 호스팅하는 사설 웹 애플리케이션 서버일 수 있으며, 기업의 사용자들은 모바일 디바이스들(MBDV(101) 및 MBDV(102))을 소유/운영하는 사용자들을 포함할 수 있다. 모바일 디바이스들(MBDV(101) 및 MBDV(102))은 포트 443(HTTPS용 포트)에서 기업 시스템 서버(ESVR)(162)에 접속하기 위한 HTTPS 클라이언트를 포함하는 기업에서 제공하는 애플리케이션을 사용하여 기업 시스템 서버(ESVR)(162)에 접속한다. 애플리케이션이 기업 시스템 서버(ESVR)(162)에 연결되는 경우 웹 애플리케이션은 로그인 양식을 제시한다. 그 다음, 사용자들은 그들의 기업 자격증명들(enterprise credentials)을 입력하여 웹 애플리케이션에 안전하게 접속할 수 있다. 네트워크 보안 관리자들은 보안 스택(SSTK)(175)에서 네트워크 방화벽의 포트 443을 열었으므로 모바일 디바이스들(MBDV(101) 및 MBDV(102))의 애플리케이션들에서 발생된 것들과 같은 요청되지 않은 인바운드(inbound) HTTPS 연결들이 기업 시스템 서버(ESVR)(162)와의 세션들을 시작(initiate)할 수 있도록 할 수 있다.
사설 기업 네트워크(ENET)(160)에 연결된 호스트 터널 게이트웨이(TGW)(163)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 설치한 모바일 디바이스(MBDV)(101)와 같은 모바일 디바이스들로 확립(establish)될 수 있는 터널들을 종료하고 집중시킨다. 기업 시스템 서버(ESVR)(162)와 유사하게, 네트워크 관리자들은 보안 스택(SSTK)(175)에서 네트워크 방화벽의 하나 이상의 포트를 열었으므로 모바일 디바이스(MBDV)(101) 및 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 설치한 다른 모바일 엔드포인트들에서 발생된 것과 같은 요청되지 않은 인바운드 터널 트래픽이 TGW(163)에 접속할 수 있도록 할 수 있다. 예를 들어 터널링 프로토콜이 IPsec 터널 모드인 경우, 관리자들은 IPsec의 잘 알려진 포트들(500, 50 및 51)을 열었을 수 있다. TGW(163)는 터널로부터 나갈 때 수신된 패킷들을 역캡슐화(decapsulate) 및/또는 복호화(decrypt)할 수 있다. TGW(163)는 역캡슐화 및/또는 복호화된 패킷들을 사설 기업 네트워크(ENET)(160)로 전달할 수 있다. 이러한 패킷들은 IP 헤더들의 목적지 IP 주소 필드에 공개 인터넷 주소를 갖게 될 것이기 때문에, 사설 기업 네트워크(ENET)(160)의 라우터들 및/또는 스위치들은 이러한 패킷들을 인터넷 접속 포인트로 전달하며, 따라서 패킷들에 CTI 도출 정책을 적용할 수 있는 위협 인텔리전스 게이트웨이(TIG)(170)로 전달할 수 있다.
보안 정책 생성 및 관리 서버(SPMS)(141)는 예를 들어, CTIP(142, 143)를 포함하는 하나 이상의 CTIP로부터 CTI를 수집할 수 있다. 보안 정책 생성 및 관리 서버(SPMS)(141)는 또한 CTI를 집계할 수 있고, CTI에 근거하여 적어도 하나의 보안 정책을 생성할 수 있고, 가입자들에게 보안 정책들을 공개할 수 있으며, 가입자들은 호스트 컴퓨터들 및 위협 인텔리전스 게이트웨이(TIG)(170)와 같은 복수의 네트워크 디바이스들을 포함할 수 있다. 보안 정책 생성 및 관리 서버(SPMS)(141)는 각 보안 정책에 대한 데이터 구조(TUNNEL-B/F)를 생성할 수 있고 데이터 구조(TUNNEL-B/F)를 모바일 디바이스 MBDV(101)에 의해 호스팅되는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)과 같은 각 보안 정책과 연관된 각 가입자에게 공개할 수 있다. 대안적으로, 위협 인텔리전스 게이트웨이(TIG)(170)는 사이버 보호들을 위해 위협 인텔리전스 게이트웨이(TIG)(170)와 연관된 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)의 연관 인스턴스와 같은 각각의 연관 모바일 디바이스에 대한 데이터 구조(TUNNEL-B/F)를 생성할 수 있고, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)의 각 구독 인스턴스(subscribing instance)를 포함하여 연관 모바일 디바이스에 현재 데이터 구조(TUNNEL-B/F)를 공개할 수 있다.
도 2는 도 1에 도시된 모바일 디바이스들 및 연관 기업 네트워크들을 위한 보호 시스템에 대한 모바일 디바이스들 및 연관 기업 네트워크 요소들을 구성하기 위한 보안 정책 생성 및 관리 서버의 작동 개념에 대한 순서도를 도시한다.
단계 2-1에서, 보안정책 생성 및 관리 서버(SPMS)(141)는 CTIP(142) 및 CTIP(143)와 같은 위협 인텔리전스 공급자들에 의해 공개된 CTI를 다운로드할 수 있다. 단계 2-2에서, 보안정책 생성 및 관리 서버(SPMS)(141)는 CTI 지표들을 집계하고 CTI를 처리하여 보안 정책을 생성할 수 있다. 다수의 위협 인텔리전스 공급자들이 동일한 위협 지표들을 제공할 수 있기 때문에, 보안 정책 생성 및 관리 서버(SPMS)(141)는 규칙들을 단일 세트로 병합하고, 중복된 위협 지표들을 제거하거나 위협 지표들을 통합할 수 있다. 보안 정책 생성 및 관리 서버(SPMS)(141)는 일치가 결정되는 경우 위협 지표들에 해당하는 매칭 기준 및 패킷에 적용될 해당 동작들(actions)/PTF을 포함하는 각 규칙을 이용하여 적어도 하나의 패킷 필터링 규칙을 생성할 수 있다. 해당 동작들/PTF는 위협 인텔리전스 게이트웨이(TIG)(170)의 운영자들/관리자들에 의해 제공된 요구 사항들을 포함하는 다수의 요인들에 근거하여 결정될 수 있다. 보안 정책 생성 및 관리 서버(SPMS)(141)는 생성된 규칙들 각각을 수집하여 보안 정책을 생성하고, 위협 인텔리전스 게이트웨이(TIG)(170)를 포함하는 복수의 보안 디바이스들에 보안 정책을 배포할 수 있다. 단계 2-3에서, 보안정책 생성 및 관리 서버(SPMS)(141)는 보안 정책의 각 패킷 필터링 규칙을 특성화(characterize)하는 모든 위협 지표들(IP 주소들, 도메인 이름들, URI들, 인증서 ID들 등을 포함)을 수집함으로써 보안 정책과 연관된 블룸 필터(TUNNEL-B/F)를 생성할 수 있다. 보안정책 생성 및 관리 서버(SPMS)(141)는 데이터 구조(TUNNEL-B/F)에 지표들을 삽입할 수 있으며, 데이터 구조(TUNNEL-B/F)는 보안 정책의 어떤 규칙이 테스트 중인 패킷 요소들과 일치하는지 여부를 결정하기 위해 테스트될 수 있다.
단계 2-4에서, SPMS는 보안 정책 및 데이터 구조(TUNNEL-B/F) 중 적어도 하나를 복수의 네트워크 보안 디바이스들에게 공개할 수 있다. 보안 정책 생성 및 관리 서버(SPMS)(141)는 보안 정책 및 데이터 구조(TUNNEL-B/F) 중 적어도 하나를 복수의 네트워크 가입자들에게 전송할 수 있으며, 복수의 네트워크 가입자들은 위협 인텔리전스 게이트웨이 (TIG)(170) 및 기업 네트워크와 연관된 복수의 모바일 디바이스들을 포함할 수 있다. 위협 인텔리전스 게이트웨이(TIG)(170)는 보안 정책을 다운로드할 수 있고 보안 정책을 이용하여 패킷 필터링 로직을 구성할 수 있다. 단계 2-5에서, 모바일 디바이스(MBDV)(101) 상의 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 데이터 구조(TUNNEL-B/F)를 다운로드할 수 있고 데이터 구조(TUNNEL-B/F)를 이용하여 터널링 로직을 구성할 수 있다. 모바일 디바이스(MBDV)(102)가 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 설치되지 않은 경우, 데이터 구조(TUNNEL-B/F)는 다운로드되지 않으며 보안 정책에 의해 보호되지 않는다. 정책 및 데이터 구조(TUNNEL-B/F)는 또한 업데이트될 수 있으며, 보안 정책 및 데이터 구조(TUNNEL-B/F)의 업데이트가 생성 및 배포될 수 있다. 이러한 업데이트들에 근거하여 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 기업 네트워크로 터널링되지 않고 그의 의도된 목적지로 진행하도록 이전에 허용되었던 필터링을 위한 패킷을 터널링할 수 있다.
도 3은 도 1에 도시된 모바일 디바이스들 및 연관 기업 네트워크들을 위한 보호 시스템의 경우에, 모바일 디바이스들 및 연관 기업 네트워크들에서의 패킷 필터링의 작동 개념에 대한 순서도를 도시한다. 순서도/작동 개념은 모든 디바이스들과 호스트들이 이미 작동을 위해 구성되어 있다고 가정한다. 특히, 모바일 디바이스(MBDV)(101)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 이미 다운로드하고, 설치하고, 구성했으며, TGW(163)를 이용하여 터널을 확립했을 수 있다. 반대로, 모바일 디바이스(MBDV)(102)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)이 구성되어 있지 않다.
단계 3-1에서, MBDV(101) 또는 MBDV(102)일 수 있는 모바일 디바이스(MBDV)를 소유 및/또는 작동할 수 있는 사용자는 전자 메일 애플리케이션을 통해 전자 메일을 확인할 수 있으며 웹 서버(WSVR)(151)에서 리소스에 연결되는 임베디드 URL을 클릭할 수 있다. 모바일 디바이스(MBDV)(101 또는 102)는 도메인 네임 서버(DNS)(도 3에 미도시)를 쿼리함으로써 URL 권한의 호스트 이름 또는 FQDN(Fully Qualified Domain Name)을 웹 서버(WSVR)(151)의 IP 주소(예를 들어, 12.34.56.78)로 변환(resolve)할 수 있다. 모바일 디바이스(MBDV)는 목적지 포트 80으로 TCP SYN 패킷을 생성함으로써 포트 80(HTTP)에서 웹 서버(WSVR)(151)와 TCP 연결을 시작하려고 시도할 수 있으며, TCP 패킷을 IP 패킷으로 캡슐화(encapsulate)할 수 있으며, IP 패킷은 12.34.56.78로 설정된 IP 주소 필드로 설정될 수 있고 해당 MBDV의 소스 IP 주소로 설정될 수 있다.
단계 3-2에서, 패킷이 (무선 접속 네트워크(RNET)(120)로) 전달되기 전에, MBDV(101)의 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 데이터 구조(TUNNEL- B/F)의 위협 지표들과 연관된 각각의 패킷 요소를 결정할 수 있다. 예를 들어, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 목적지 IP 주소 필드에서 IP 주소(예를 들어, 12.34.56.78)를 추출하고 12.34.56.78이 데이터 구조(TUNNEL-B/F)의 멤버인지 여부를 테스트할 수 있다. 위협 인텔리전스 게이트웨이(TIG)(170)의 보안 정책에 매칭 패킷 필터링 규칙이 없다는 결정에 따라 멤버십 테스트는 FALSE를 반환한다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 테스트된 패킷 데이터(예를 들어, 웹 서버(WSVR)(151)에 대한 IP 주소 12.34.56.78)와 관련된 위협 위험이 없다고 결정할 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 필터링할 패킷을 터널링할 필요가 없다고 결정할 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 패킷을 TGW(163), 위협 인텔리전스 게이트웨이(TIG)(170) 및/또는 보안 스택(SSTK)(175)으로 전달하지 않을 수 있다.
단계 3-3에서, 필터링될 패킷을 터널링할 필요가 없다는 결정에 근거하여, 모바일 디바이스(MBDV)(101)는 그 패킷을 무선 접속 네트워크(RNET)(120)를 통해 웹 서버(WSVR)(151)로 직접 전달할 수 있다. 마찬가지로, 그렇지만 임의의 터널링 결정/판단 로직을 실행하지 않고, MBDV(102)는 그 패킷을 무선 접속 네트워크(RNET)(120)를 통해 웹 서버(WSVR)(151)로 직접 전달할 수 있다. 패킷 전달은 TCP 핸드셰이크를 시작하게 할 수 있고 이후에 12.34.56.78의 포트 80에서 TCP 연결을 확립하게 할 수 있다. 모바일 디바이스(MBDV)는 URL에 대한 HTTP GET 요청 방법을 발행할 수 있다. 웹 서버(WSVR)(151)는 요청된 리소스를 이용하여 응답할 수 있고, 웹 세션이 종료될 수 있으며, TCP 연결이 끊어질 수 있다. 이러한 통신 세션 동안 MBDV(101)에 대해 모든 인바운드 및 아웃바운드 패킷들의 관련 필드 값들(IP 주소 필드들, 도메인 이름 필드들, URI 필드들 등)은 데이터 구조(TUNNEL-B/F)의 멤버십에 대해 테스트될 수 있다. 통신 흐름의 각 패킷이 안전한 목적지와 연관되는 경우, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 데이터 구조(TUNNEL-B/F)의 테스트들이 항상 FALSE를 반환하므로 필터링될 패킷을 터널링할 필요가 없다고 결정할 것이므로 세션을 구성하는 패킷들이 터널링되지 않는다.
단계 3-1에서, 모바일 디바이스(MBDV)(101)를 소유 및/또는 작동할 수 있는 사용자는 스피어 피싱(spear phishing) 이메일을 읽을 수 있고 속아서 멀웨어 서버(MALSVR)(152)의 리소스로 연결되는 임베디드 URL을 클릭할 수 있으며, 멀웨어 서버(MALSVR)(152)는 기업 시스템 서버(ESVR)(162)에서 기업 웹 애플리케이션의 로그인 페이지를 도용하는 웹 페이지를 포함할 수 있다. 모바일 디바이스(MBDV)(101)는 DNS(도 3에 미도시)를 쿼리함으로써 URL 권한의 호스트 이름 또는 FQDN(Fully Qualified Domain Name)을 멀웨어 서버(MALSVR)(152)의 IP 주소(예를 들어, 87.65.43.21)로 변환(resolve)할 수 있다. 모바일 디바이스(MBDV)(101)는 목적지 포트 80으로 TCP SYN 패킷을 생성함으로써 포트 80(HTTP)에서 멀웨어 서버(MALSVR)(152)와 TCP 연결을 시작하려고 시도할 수 있으며, TCP 패킷을 87.65.43.21로 설정된 IP 주소 필드로 캡슐화할 수 있다. 단계 3-2에서, 패킷이 디바이스 MBDV(101)에 의해 무선 접속 네트워크(RNET)(120)로 전달되기 전에, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 패킷 요소들(예를 들어, 목적지 IP 주소 필드로부터 IP 주소 87.65.43.21)을 추출할 수 있으며, 어떤 패킷 요소가 데이터 구조(TUNNEL-B/F)의 멤버인지 여부를 결정하기 위해 테스트할 수 있다.
멤버십 테스트는 데이터 구조(TUNNEL-B/F)와 관련된 보안 정책에 매칭 패킷 필터링 규칙이 있다는 TRUE 값 또는 다른 표식(indication)를 반환할 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은, 데이터 구조(TUNNEL-B/F)와 연관된 보안 정책에 매칭 패킷 필터링 규칙이 있다는 TRUE 값 또는 다른 표식에 근거하여, 패킷들이 연관 기업 위협 인텔리전스 게이트웨이(TIG)(170)에 의해 필터링될 필요가 있는지 및 패킷 요소(예를 들어, 멀웨어 서버(MALSVR)(152)에 대한 IP 주소 87.65.43.21)와 연관된 어느 정도 위협 위험이 있는지 결정할 수 있다. 단계 3-4에서, 모바일 디바이스(MBDV)(101)는, 데이터 구조(TUNNEL-B/F)와 연관된 보안 정책에 매칭 패킷 필터링 규칙이 있다는 TRUE 값 또는 기타 표식에 근거하여, 네트워크 터널의 패킷을 TGW(163)로 전송할 수 있다. 단계 3-5에서, 패킷은 터널의 기업 네트워크 측에서 수신될 수 있고, 사설 기업 네트워크(ENET)(160)를 통해 인터넷 접속 링크로 전달될 수 있고, 패킷 필터링을 위해 위협 인텔리전스 게이트웨이(TIG)(170)에 의해 수신될 수 있다. 단계 3-6에서, 위협 인텔리전스 게이트웨이(TIG)(170)는 패킷에 보안 정책을 적용하고, 패킷 요소(예를 들어, IP 주소 87.65.43.21)와 일치하는 규칙을 결정할 수 있다. 결정된 규칙과 연관된 네트워크 보호 동작들/PTF들은 패킷이 차단됨(blocked)/삭제됨(dropped), 로깅됨(logged) 및/또는 캡처링됨(captured) 중 적어도 하나일 수 있음을 명시할 수 있다.
대안적으로, 데이터 구조(TUNNEL-B/F)의 테스트로부터 일치의 결정에 기초하여 임의의 패킷을 전송하기 전에, 시스템은 네트워크 트래픽의 양을 낮추기 위해 이차 데이터 구조를 테스트할 수 있다. 예를 들어, 시스템은 차단 규칙 데이터 구조를 테스트할 수 있으며, 차단 규칙 데이터 구조는 차단 동작 또는 PTF와 연관된 정책의 각 규칙을 나타낼 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은, 차단 규칙 데이터 구조와 연관된 보안 정책에 매칭 패킷 필터링 규칙이 있다는 TRUE 값 또는 다른 표시에 근거하여, 차단 규칙과 연관된 패킷들을 터널을 통해 기업 네트워크의 패킷 필터링 디바이스로 전송하지 않아도 그러한 패킷들을 그들의 의도된 목적지로 진행하지 못하도록 하는 차단 규칙 동작을 수행할 수 있다. 차단 규칙 데이터 구조는 또한 블룸 필터일 수 있고, 차단 규칙 데이터 구조는 시행되는 정책의 모든 규칙들과 연관된 데이터 구조(TUNNEL-B/F)보다 더 작은 데이터 구조일 수 있다.
단계 3-7에서, 위협 인텔리전스 게이트웨이(TIG)(170)는 보안 운영 센터(SOC)(140) 또는 다른 네트워크 디바이스에 로그를 전송할 수 있다. 로그는 SIEM 애플리케이션을 사용하는 사이버 분석가들과 같은 보안 운영 센터(SOC)(140)에 의해 분석될 수 있다. 위협 지표(예를 들어, IP 주소 87.65.43.21)에 대한 CTI를 제공한 CTIP(들)에 의한 멀웨어 서버(MALSVR)(152)와 연관된 위협 위험의 결정에 근거하여, 시스템은 수정(corrective) 지침 동작을 취할 수 있다. 예를 들어, 위협 분석 디바이스는 모바일 디바이스(MBDV)(101)의 사용자에게 사건을 보고하거나 스피어 피싱 이메일 공격들과 이들을 방지하는 방법을 논의하는 사이버 보안 교육 비디오를 사용자가 시청하도록 권장할 수 있다. 마찬가지로, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은 위협 이벤트의 로그를 생성할 수 있고 그 로그를 보안 운영 센터(SOC)(140), 또는 다른 네트워크 보안 애플리케이션(들) 또는 디바이스(들)로 전송할 수 있다. 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)은, 차단 규칙 확률 데이터 구조와 연관된 보안 정책에 매칭 패킷 필터링 규칙이 있다는 표식에 근거하여, 위협 이벤트의 로그를 선택적으로 생성할 수 있다.
도 4는 도 1에 도시된 모바일 디바이스들 및 연관 기업 네트워크들에 대한 보호 시스템의 경우에, 모바일 디바이스들 및 연관 기업 네트워크들에서의 패킷 필터링의 작동 개념에 대한 순서도를 도시한다. 순서도/작동 개념은 모든 디바이스들과 호스트들이 이미 작동을 위해 구성되어 있다고 가정한다. 특히 도 4에 관해서는, 모바일 디바이스(MBDV)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)을 다운로드, 설치 또는 구성하지 않은 상태이다.
단계 4-1에서, 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)이 구성되지 않은 모바일 디바이스(MBDV)(102)를 소유하거나 작동할 수 있는 사용자는 위에서 논의된 바와 같이 스피어 피싱 이메일에 접속할 수 있다. 그러나 모바일 디바이스(MBDV)(102)는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)이 구성되어 있지 않으므로, 패킷 요소들을 추출하고 임의의 패킷 요소가 데이터 구조(TUNNEL-B/F)의 멤버인지 여부를 테스트하는 로직이 모바일 디바이스에 없다. 대신, 모바일 디바이스(MBDV)(102)를 소유하거나 작동할 수 있는 사용자가 속아서 멀웨어 서버(MALSVR)(152)의 리소스로 연결되는 임베디드 URL - 이는 기업 시스템 서버(ESVR)(162)에서 기업 웹 애플리케이션에 대한 로그인 페이지를 도용하는 웹 페이지일 수 있음 - 을 클릭하는 경우, 모바일 디바이스는 멀웨어 서버(MALSVR)(152)와의 연결을 확립하기 시작할 수 있다. 모바일 디바이스(MBDV)(102)는 DNS(도 4에 미도시)를 쿼리함으로써 URL 권한의 호스트 이름 또는 FQDN(Fully Qualified Domain Name)을 멀웨어 서버(MALSVR)(152)의 IP 주소(예를 들어, IP 주소 87.65.43.21)로 변환할 수 있다. 모바일 디바이스(MBDV)(102)는 목적지 포트 80으로 TCP SYN 패킷을 생성함으로써 포트 80(HTTP)에서 멀웨어 서버(MALSVR)(152)와 TCP 연결을 시작하려고 시도할 수 있으며, 결정된 목적지 IP 주소 필드(예를 들어, IP 주소 87.65.43.21)를 이용하여 IP 패킷에 TCP 패킷을 캡슐화할 수 있다. 모바일 디바이스(MBDV)(102)를 보호하는 모바일 디바이스 보안 애플리케이션(MBL-CYBER-APP)이 없기 때문에, 멀웨어 서버(MALSVR)(152)와의 TCP 연결이 확립될 수 있고, 모바일 디바이스(MBDV)(102)는 URL에 대한 HTTP GET 요청 방법을 발행할 수 있다.
단계 4-2에서, 멀웨어 서버(MALSVR)(152)는 요청된 리소스로 응답하며, 요청된 리소스는 기업 시스템 서버(ESVR)(162)의 기업 웹 애플리케이션에 대한 로그인 페이지를 도용하는 웹 페이지/양식일 수 있다. 사용자는 로그인 자격증명들을 입력하고 양식을 멀웨어 서버(MALSVR)(152)에 게시할 수 있다. 사용자가 로그인 자격증명들을 입력할 때, MALSVR(152)은 로그인 자격증명들을 로깅하고 훔칠 수 있다. 단계 4-3에서, 멀웨어 서버(MALSVR)(152)를 운영할 수 있는 악의적인 행위자는 훔친 자격증명들을 사용하여 기업 시스템 서버(ESVR)(162)에 로그인하고 기업의 민감한 데이터를 훔치거나 변조할 수 있다.
본원에 설명된 기능들 및 단계들은 본원에 설명된 하나 이상의 기능을 수행하기 위해 하나 이상의 컴퓨터 또는 기타 디바이스들 의해 실행되는, 하나 이상의 프로그램 모듈과 같은 컴퓨터 사용 가능 데이터 또는 컴퓨터 실행 가능 명령어들로 구현될 수 있다. 일반적으로, 프로그램 모듈들은 컴퓨터 또는 다른 데이터 처리 디바이스의 하나 이상의 프로세서에 의해 실행될 때 특정 작업들을 수행하거나 특정 추상 데이터 유형들을 구현하는 루틴들, 프로그램들, 객체들, 구성요소들, 데이터 구조들 등을 포함한다. 컴퓨터 실행 가능 명령어들은 하드 디스크, 광 디스크, 이동식 저장 매체, 솔리드 스테이트 메모리, RAM 등과 같은 컴퓨터 판독 가능 매체에 저장될 수 있다. 이해되는 바와 같이, 프로그램 모듈들의 기능은 원하는 대로 결합되거나 배포될 수 있다. 또한, 그 기능은 집적 회로, ASIC(Application-Specific Integrated Circuit), FPGA(Field-Programmable Gate Array) 등과 같은 펌웨어 또는 하드웨어 균등물에 전체적으로 또는 부분적으로 구현될 수 있다. 특정 데이터 구조들은 본 개시내용의 하나 이상의 양태를 보다 효과적으로 구현하기 위해 사용될 수 있으며, 이러한 데이터 구조들은 본원에 설명된 컴퓨터 실행 가능 명령어들 및 컴퓨터 사용 가능 데이터의 범위 내에 있는 것으로 고려된다.
필수는 아니지만, 당업자는 본원에 설명된 다양한 양태들이 컴퓨터 실행 가능 명령어들을 저장하는 방법, 시스템, 장치, 또는 하나 이상의 컴퓨터 판독 가능 매체로서 구현될 수 있음을 이해할 것이다. 따라서, 양태들은 전적으로 하드웨어 실시예, 전적으로 소프트웨어 실시예, 전적으로 펌웨어 실시예, 또는 소프트웨어, 하드웨어 및 펌웨어 양태들을 임의의 조합으로 결합하는 실시예의 형태를 취할 수 있다.
본원에 설명된 바와 같이, 다양한 방법들 및 동작들은 하나 이상의 컴퓨팅 디바이스 및 네트워크에 걸쳐 동작할 수 있다. 기능은 임의의 방식으로 배포될 수 있거나 단일 컴퓨팅 디바이스(예를 들어, 서버, 클라이언트 컴퓨터 등)에 위치할 수 있다.
컴퓨터 소프트웨어, 하드웨어 및 네트워크들은 무엇보다도 독립형, 네트워킹된, 원격 접속(원격 데스크톱이라고도 함), 가상화 및/또는 클라우드 기반 환경들을 비롯한 다양한 서로 다른 시스템 환경들에서 활용될 수 있다. 도 5는 독립형 및/또는 네트워킹된 환경에서 본원에 설명된 하나 이상의 예시적인 양태를 구현하는 데 사용될 수 있는 시스템 아키텍처 및 데이터 처리 디바이스의 일례를 도시한다. 다양한 네트워크 노드들(503, 505, 507, 509)은 인터넷과 같은 광역 네트워크(WAN)(501)를 통해 상호 연결될 수 있다. 사설 인트라넷들, 회사 네트워크들, LAN(Local Area Network)들, MAN(Metropolitan Area Network)들, 무선 네트워크들, PAN(Personal Network)들, SDN(Software-Defined Network)들 등을 포함하는 다른 네트워크들이 또한 또는 대안적으로 사용될 수 있다. 네트워크(501)는 예시를 목적으로 한 것이며 더 적거나 추가된 컴퓨터 네트워크들로 대체될 수 있다. 근거리 네트워크(533)는 임의의 공지된 LAN 토폴로지 중 하나 이상을 가질 수 있고 이더넷과 같은 다양한 서로 다른 프로토콜들 중 하나 이상을 사용할 수 있다. 디바이스들(503, 505, 507, 509) 및 다른 디바이스들(미도시)은 연선, 동축 케이블, 광섬유, 전파 또는 다른 통신 매체를 통해 하나 이상의 네트워크에 연결될 수 있다.
본원에서 사용되고 도면들에 도시된 "네트워크"라는 용어는 원격 저장 디바이스들이 하나 이상의 통신 경로를 통해 함께 결합되는 시스템이라고 지칭될 뿐만 아니라, 스토리지 기능을 갖는 시스템들에 때때로 결합될 수 있는 독립형 디바이스를 지칭하기도 한다. 따라서 "네트워크"라는 용어는 "물리적 네트워크"뿐만 아니라 모든 물리적 네트워크들에 걸쳐 상주하는 - 단일 개체에 귀속될 수 있는 - 데이터로 구성된 "콘텐츠 네트워크"도 포함한다.
구성요소들은 데이터 서버(503), 웹 서버(505), 및 클라이언트 컴퓨터들(507, 509)을 포함할 수 있다. 데이터 서버(503)는 본원에 설명된 하나 이상의 예시적인 양태를 수행하기 위한 데이터베이스 및 제어 소프트웨어의 전체 접속, 제어, 및 관리를 제공한다. 데이터 서버(503)에는 사용자들이 요청에 따라 데이터와 상호 작용하여 데이터를 얻을 수 있는 웹 서버(505)가 연결될 수 있다. 대안적으로, 데이터 서버(503)는 그 자체로 웹 서버로서 작동할 수 있고 인터넷에 직접 연결될 수 있다. 데이터 서버(503)는 근거리 네트워크(533), 광역 네트워크(501)(예를 들어, 인터넷)를 통해, 직접 또는 간접 연결을 통해, 또는 일부 다른 네트워크를 통해 웹 서버(505)에 연결될 수 있다. 사용자들은 원격 컴퓨터들(507, 509)을 사용하여, 예를 들어 웹 서버(505)에 의해 호스팅되는 하나 이상의 외부 노출 웹 사이트를 통해 데이터 서버(503)에 연결된 웹 브라우저를 사용하여, 데이터 서버(503)와 상호 작용할 수 있다. 클라이언트 컴퓨터들(507, 509)은 그 안에 저장된 데이터에 접속하기 위해 데이터 서버(503)와 협력하여 사용될 수 있거나 다른 목적들을 위해 사용될 수 있다. 예를 들어, 클라이언트 디바이스(507)로부터 사용자는 당업계에 공지된 바와 같이 인터넷 브라우저를 사용하여 또는 (인터넷과 같은) 컴퓨터 네트워크를 통해 웹 서버(505) 및/또는 데이터 서버(503)와 통신하는 소프트웨어 애플리케이션을 실행함으로써 웹 서버(505)에 접속할 수 있다.
서버들과 애플리케이션들은 동일한 물리적 머신들에서 결합될 수 있으며 별도의 가상 또는 논리적 주소들을 유지하거나 별도의 물리적 머신들에 상주할 수 있다. 도 5는 사용될 수 있는 네트워크 아키텍처의 단지 하나의 예를 도시하며, 당업자는 본원에 추가로 설명되는 바와 같이 사용되는 특정 네트워크 아키텍처 및 데이터 처리 디바이스들이 다양할 수 있고 이들이 제공하는 기능에 부차적이라는 것을 인식할 것이다. 예를 들어, 웹 서버(505) 및 데이터 서버(503)에 의해 제공되는 서비스들은 단일 서버에서 결합될 수 있다.
각 구성요소(503, 505, 507, 509)는 임의의 유형의 공지된 컴퓨터, 서버 또는 데이터 처리 디바이스일 수 있다. 데이터 서버(503)는 예를 들어 데이터 서버(503)의 전체 작동을 제어하는 프로세서(55)를 포함할 수 있다. 데이터 서버(503)는 RAM(Random Access Memory)(513), ROM(Read Only Memory)(515), 네트워크 인터페이스(517), 입력/출력 인터페이스(519)(예를 들어, 키보드, 마우스, 디스플레이, 프린터 등), 및 메모리(521)를 더 포함할 수 있다. 입력/출력(I/O)(519)은 데이터 또는 파일들을 판독, 기록, 표시 및/또는 인쇄하기 위한 다양한 인터페이스 유닛들 및 드라이브들을 포함할 수 있다. 메모리(521)는 데이터 처리 디바이스(503)의 전체 작동을 제어하기 위한 운영 체제 소프트웨어(523), 데이터 서버(503)에 본원에 설명된 양태들을 수행하도록 지시하기 위한 제어 로직(525), 및 본원에 설명된 양태들과 연동하여 사용되거나 사용되지 않을 수 있는 보조, 지원, 및/또는 다른 기능을 제공하는 다른 애플리케이션 소프트웨어(527)를 더 저장할 수 있다. 제어 로직은 또한 본원에서 데이터 서버 소프트웨어(525)로 지칭될 수 있다. 데이터 서버 소프트웨어의 기능은 시스템에 입력을 제공하는 사용자에 의해 수동으로 이루어진 제어 로직에 코딩된 규칙들에 근거하여 자동으로 이루어진 작동들 또는 판단들, 및/또는 사용자 입력(예: 쿼리, 데이터 업데이트 등)에 근거한 자동 처리의 조합을 의미할 수 있다.
메모리(521)는 또한 제1 데이터베이스(529) 및 제2 데이터베이스(531)를 포함하여 본원에 설명된 하나 이상의 양태의 수행에 사용되는 데이터를 저장할 수 있다. 일부 실시예들에서, 제1 데이터베이스는 (예를 들어, 별도의 테이블, 보고서 등으로서) 제2 데이터베이스를 포함할 수 있다. 즉, 정보는 시스템 설계에 따라 단일 데이터베이스에 저장되거나 서로 다른 논리적, 가상 또는 물리적 데이터베이스들로 분리될 수 있다. 디바이스들(505, 507, 509)은 디바이스(503)와 관련하여 설명된 바와 유사하거나 다른 아키텍처를 가질 수 있다. 당업자는 본원에 설명된 데이터 처리 디바이스(503)(또는 디바이스들(505, 507, 509))의 기능이 - 예를 들어, 다수의 컴퓨터들에 걸쳐 처리 부하를 분배하여 다수의 지리적 위치, 사용자 접속 레벨, 서비스 품질(QoS) 등에 근거하여 트랜잭션들을 분리하도록 - 다수의 데이터 처리 디바이스들에 걸쳐 분산될 수 있음을 인식할 것이다.
하나 이상의 양태는 본원에 설명된 바와 같은 하나 이상의 컴퓨터 또는 기타 디바이스에 의해 실행되는 하나 이상의 프로그램 모듈에서와 같이 컴퓨터 사용 가능 또는 판독 가능 데이터 및/또는 컴퓨터 실행 가능 명령어들로 구현될 수 있다. 일반적으로, 프로그램 모듈들은 컴퓨터 또는 다른 디바이스의 프로세서에 의해 실행될 때 특정 작업들을 수행하거나 특정 추상 데이터 유형들을 구현하는 루틴들, 프로그램들, 객체들, 구성요소들, 데이터 구조들 등을 포함한다. 모듈들은 이후에 실행을 위해 컴파일링되는 소스 코드 프로그래밍 언어로 작성되거나 HTML(HyperText Markup Language) 또는 XML(Extensible Markup Language)과 같은 스크립팅 언어로 작성될 수 있다. 컴퓨터 실행 가능 명령어들은 비휘발성 저장 디바이스와 같은 컴퓨터 판독 가능 매체에 저장될 수 있다. 하드 디스크, CD-ROM, 광학 저장 디바이스, 자기 저장 디바이스 및/또는 이들의 임의의 조합을 포함하는 임의의 적절한 컴퓨터 판독 가능 저장 매체가 활용될 수 있다. 또한, 본원에 설명된 데이터 또는 이벤트들을 나타내는 다양한 전송(비저장) 매체는 금속 와이어들, 광섬유들 및/또는 무선 전송 매체(예를 들어, 공기 및/또는 공간)과 같은 신호 전도 매체를 통해 이동하는 전자기파 형태의 출발지 및 목적지 간에 전달될 수 있다. 본원에 설명된 다양한 양태들은 방법, 데이터 처리 시스템, 또는 컴퓨터 프로그램 제품으로 구현될 수 있다. 따라서, 다양한 기능들이 소프트웨어, 펌웨어, 및/또는 집적 회로들, FPGA(Field Programmable Gate Array)들 등과 같은 하드웨어 또는 하드웨어 균등물들로 전체적으로 또는 부분적으로 구현될 수 있다. 특정 데이터 구조들은 본원에 설명된 하나 이상의 양태를 보다 효과적으로 구현하기 위해 사용될 수 있으며, 이러한 데이터 구조들은 본원에 설명된 컴퓨터 실행 가능 명령어들 및 컴퓨터 사용 가능 데이터의 범위 내에 있는 것으로 고려된다.
도 6을 추가로 참조하면, 본원에 설명된 하나 이상의 양태는 원격 접속 환경에서 구현될 수 있다. 도 6은 본원에 설명된 하나 이상의 예시적인 양태에 따라 사용될 수 있는 예시적인 컴퓨팅 환경(520)에서 컴퓨팅 디바이스(501)를 포함하는 예시적인 시스템 아키텍처를 도시한다. 컴퓨팅 디바이스(501)는 클라이언트 접속 디바이스용 가상 머신들을 제공하도록 구성된 단일 서버 또는 다중 서버 데스크탑 가상화 시스템(예를 들어, 원격 접속 또는 클라우드 시스템)에서 서버(606a)로서 사용될 수 있다. 컴퓨팅 디바이스(501)는 RAM(605), ROM(607), 입력/출력(I/O) 모듈(609), 및 메모리(615)를 포함해서 서버 및 그와 연관된 구성요소들의 전체 작동을 제어하기 위한 프로세서(603)를 구비할 수 있다.
I/O 모듈(609)은 마우스, 키패드, 터치 스크린, 스캐너, 광학 판독기, 및/또는 컴퓨팅 디바이스(101)의 사용자가 입력을 제공할 수 있는 스타일러스(또는 다른 입력 디바이스(들))를 포함할 수 있으며, 또한 오디오 출력을 제공하기 위한 하나 이상의 스피커 및 텍스트, 시청각 및/또는 그래픽 출력을 제공하기 위한 하나 이상의 비디오 디스플레이 디바이스를 포함할 수 있다. 소프트웨어는 본원에 설명된 다양한 기능들을 수행하기 위해 컴퓨팅 디바이스(501)를 특수 목적 컴퓨팅 디바이스로 구성하기 위한 명령어들을 프로세서(603)에 제공하도록 메모리(615) 및/또는 다른 저장소 내에 저장될 수 있다. 예를 들어, 메모리(615)는 운영 체제(617), 애플리케이션 프로그램들(619), 및 연관 데이터베이스(621)와 같은 컴퓨팅 디바이스(501)에 의해 사용되는 소프트웨어를 저장할 수 있다.
컴퓨팅 디바이스(501)는 단말들(640)(클라이언트 디바이스들로도 지칭됨)과 같은 하나 이상의 원격 컴퓨터로의 연결을 지원하는 네트워킹된 환경에서 동작할 수 있다. 단말(640)은 컴퓨팅 디바이스들(503 또는 501)과 관련하여 위에서 설명된 많은 또는 모든 요소들을 포함하는 개인용 컴퓨터들, 모바일 디바이스들, 랩톱 컴퓨터들, 태블릿들, 또는 서버들일 수 있다. 도 6에 도시된 네트워크 연결들은 근거리 네트워크(LAN)(625) 및 광역 네트워크(WAN)(629)를 포함하지만, 다른 네트워크들도 포함할 수 있다. 컴퓨팅 디바이스(501)는 LAN 네트워킹 환경에서 사용되는 경우에는, 네트워크 인터페이스 또는 어댑터(623)를 통해 LAN(625)에 연결될 수 있다. 컴퓨팅 디바이스(501)는 WAN 네트워킹 환경에서 사용되는 경우에는, 모뎀(627)을 포함하거나, 또는 컴퓨터 네트워크(630)(예를 들어, 인터넷)와 같은 WAN(629)을 통한 통신을 확립하기 위한 그 밖의 다른 광역 네트워크 인터페이스를 포함할 수 있다. 도시된 네트워크 연결들은 예시적인 것이며 컴퓨터들 사이의 통신 링크를 확립하는 그 밖의 다른 수단이 사용될 수 있음을 이해할 것이다. 컴퓨팅 디바이스(501) 및/또는 단말들(640)은 또한 배터리, 스피커 및 안테나들(미도시)과 같은 다양한 다른 구성요소들을 포함하는 모바일 단말들(예를 들어, 모바일 폰들, 스마트폰들, PDA(Personal Digital Assistant)들, 노트북들 등)일 수 있다.
본원에 설명된 양태들은 또한 수많은 다른 범용 또는 특수 목적 컴퓨팅 시스템 환경들 또는 구성들과 함께 작동할 수 있다. 본원에 설명된 양태들과 함께 사용하기에 적합할 수 있는 다른 컴퓨팅 시스템, 환경 및/또는 구성의 예들은 개인용 컴퓨터, 서버 컴퓨터, 휴대용 또는 랩톱 디바이스, 다중 프로세서 시스템, 마이크로프로세서 기반 시스템, 셋톱 박스, 프로그램 가능한 가전제품, 네트워크 개인용 컴퓨터(PC), 미니 컴퓨터, 메인프레임 컴퓨터, 상기 시스템들 또는 디바이스들 중 임의의 것을 포함하는 분산 컴퓨팅 환경 등을 포함하지만 이에 제한되지는 않는다.
도 6에 도시된 바와 같이, 하나 이상의 클라이언트 디바이스(640)는 하나 이상의 서버(606a 내지 606n)(본원에서 일반적으로 "서버(들)(606)"로 지칭됨)와 통신할 수 있다. 일 실시예에서, 컴퓨팅 환경(520)은 서버(들)(606)와 클라이언트 머신(들)(640) 사이에 설치된 네트워크 기기를 포함할 수 있다. 네트워크 기기는 클라이언트/서버 연결들을 관리할 수 있으며, 어떤 경우에는 복수의 백엔드 서버들(606) 사이에서 클라이언트 연결들을 로드 밸런싱할 수 있다.
클라이언트 머신(들)(640)은 일부 실시예들에서 단일 클라이언트 머신(640) 또는 단일 그룹의 클라이언트 머신들(640)로 지칭될 수 있는 반면, 서버(들)(606)는 단일의 서버(606)로, 또는 단일의 서버들(606)의 그룹으로 지칭될 수 있다. 일 실시예에서 단일 클라이언트 머신(640)은 하나 이상의 서버(606)와 통신하는 반면, 다른 실시예에서 단일 서버(606)는 하나 이상의 클라이언트 머신(640)과 통신한다. 또 다른 실시예에서, 단일 클라이언트 머신(640)은 단일 서버(606)와 통신한다.
클라이언트 머신(640)은 일부 실시예에서는 다음의 비포괄적(non-exhaustive) 용어들 중 어느 하나로, 즉 클라이언트 머신(들); 클라이언트(들); 클라이언트 컴퓨터(들); 클라이언트 디바이스(들); 클라이언트 컴퓨팅 디바이스(들); 로컬 머신; 원격 머신; 클라이언트 노드(들); 엔드포인트(들); 또는 엔드포인트 노드(들) 중 어느 하나로 언급될 수 있다. 일부 실시예들에서, 서버(606)는 다음의 비포괄적 용어들 중 어느 하나로, 즉 서버(들), 로컬 머신; 원격 머신; 서버 팜(server farm)(들), 또는 호스트 컴퓨팅 디바이스(들) 중 어느 하나로 언급될 수 있다. 일부 실시예들에서, 클라이언트 머신(640)은 가상 머신일 수 있다. 일부 양태들에서, 가상 머신은 하이퍼바이저에 의해 관리될 수 있는 반면, 다른 양태들에서 가상 머신은 서버(606) 상에서 실행되는 하이퍼바이저 또는 클라이언트(640) 상에서 실행되는 하이퍼바이저에 의해 관리될 수 있다. 가상 머신은 또한 Docker 및 LXC(Linux Containers)들과 같은 컨테이너 관리자에 의해 관리되는 컨테이너 시스템일 수도 있다. 가상 머신은 또한 하이퍼바이저 관리 가상 머신과 컨테이너들의 조합일 수도 있다.
일부 실시예들은 서버(606) 또는 다른 원격 설치된 머신에서 원격으로 실행하는 애플리케이션에 의해 생성된 애플리케이션 출력을 표시하는 클라이언트 디바이스(640)를 포함할 수 있다. 이러한 실시예들에서, 클라이언트 디바이스(640)는 가상 머신 수신기 프로그램 또는 애플리케이션을 실행하여 애플리케이션 윈도우, 브라우저, 또는 다른 출력 윈도우에 출력을 표시할 수 있다. 일 예에서, 애플리케이션은 데스크탑인 반면, 다른 예에서 애플리케이션은 데스크탑을 생성하거나 제시하는 애플리케이션이다. 데스크탑은 로컬 및/또는 원격 애플리케이션들이 통합될 수 있는 운영 체제의 인스턴스를 위한 사용자 인터페이스를 제공하는 그래픽 쉘을 포함할 수 있다. 본원에서 사용된 바와 같이, 애플리케이션들은 운영 체제(및 선택적으로는 또한 데스크톱)의 인스턴스가 로딩된 후에 실행되는 프로그램들이다. 일부 실시예들에서, 서버(606)는, 서버(606) 상에서 실행되는 애플리케이션에 의해 생성된 디스플레이 출력을 제시하기 위해, 클라이언트 상에서 실행하는 씬 클라이언트(thin-client) 또는 원격 디스플레이 애플리케이션에 데이터를 전송하도록 원격 프리젠테이션 프로토콜 또는 다른 프로그램을 사용할 수 있다. 씬 클라이언트 또는 원격 디스플레이 프로토콜은 Citrix Systems, Inc.(플로리다주 포트로더데일 소재)에 의해 개발된 ICA(Independent Computing Architecture) 프로토콜; 또는 Microsoft Corporation(워싱턴주 레드몬드 소재)에서 개발된 RDP(Remote Desktop Protocol)와 같은 프로토콜일 수 있다.
원격 컴퓨팅 환경은 예를 들어 클라우드 컴퓨팅 환경에서 서버들(606a 내지 606n)이 논리적으로 함께 서버 팜(606)으로 그룹화되도록 하나 이상의 서버(606a 내지 606n)를 포함할 수 있다. 서버 팜(606)은 지리적으로는 분산되어 있지만 논리적으로는 함께 그룹화되어 있는 서버들(606), 또는 서로 근접하게 위치해 있지만 논리적으로는 함께 그룹화되어 있는 서버들(606)을 포함할 수 있다. 서버 팜(606) 내의 지리적으로 분산된 서버들(606a 내지 606n)은 일부 실시예들에서 WAN(광역), MAN(메트로폴리탄), 또는 LAN(로컬)을 사용하여 통신할 수 있으며, 여기서 여러 지리적 영역들은 여러 대륙들; 대륙의 여러 지역들; 여러 나라들; 여러 주들; 여러 도시들; 여러 캠퍼스들; 여러 방들; 또는 전술한 지리적 위치들의 임의의 조합으로 특성화할 수 있다. 일부 실시예들에서 서버 팜(606)은 단일 엔티티로서 관리될 수 있는 반면, 다른 실시예들에서 서버 팜(606)은 다수의 서버 팜들을 포함할 수 있다.
일부 실시예들에서, 서버 팜은 실질적으로 유사한 유형의 운영 체제 플랫폼(예를 들어, WINDOWS, UNIX, LINUX, iOS, ANDROID, SYMBIAN 등)을 실행하는 서버(606)를 포함할 수 있다. 다른 실시예들에서, 서버 팜(606)은 제1 유형의 운영 체제 플랫폼을 실행하는 하나 이상의 서버들의 제1 그룹과, 제2 유형의 운영 체제 플랫폼을 실행하는 하나 이상의 서버들의 제2 그룹을 포함할 수 있다.
서버(606)는 필요에 따라 임의의 유형의 서버, 예를 들어 파일 서버, 애플리케이션 서버, 웹 서버, 프록시 서버, 기기, 네트워크 기기, 게이트웨이, 애플리케이션 게이트웨이, 게이트웨이 서버, 가상화 서버, 전개(deployment) 서버, SSL(Secure Sockets Layer) VPN 서버, 방화벽, 웹 서버, 애플리케이션 서버로서 또는 마스터 애플리케이션 서버, 활성 디렉터리를 실행하는 서버, 또는 서버 방화벽 기능, 애플리케이션 기능 또는 로드 밸런싱 기능을 제공하는 애플리케이션 가속 프로그램을 실행하는 서버로서 구성될 수 있다. 다른 서버 유형들도 또한 사용될 수 있다.
일부 실시예들은 클라이언트 머신(640)으로부터 요청들을 수신하고, 요청을 제2 서버(606b)(미도시)로 전달하고, 제2 서버(606b)(미도시)로부터의 응답을 이용하여 클라이언트 머신(640)에 의해 생성된 요청에 응답하는 제1 서버(606a)를 포함한다. 제1 서버(606a)는 클라이언트 머신(640)이 이용 가능한 애플리케이션들의 열거뿐만 아니라 애플리케이션들의 열거 내에서 식별된 애플리케이션을 호스팅하는 애플리케이션 서버(606)와 연관된 주소 정보를 획득할 수 있다. 그 다음, 제1 서버(606a)는 웹 인터페이스를 사용하여 클라이언트의 요청에 대한 응답을 제시할 수 있고, 식별된 애플리케이션으로의 접속을 클라이언트(640)에게 제공하기 위해 클라이언트(640)와 직접 통신할 수 있다. 하나 이상의 클라이언트(640) 및/또는 하나 이상의 서버(606)는 네트워크(630)를 통해, 예를 들어 네트워크(501)를 통해, 데이터를 전송할 수 있다.
본 개시내용의 양태들은 그의 예시적인 실시예들의 관점에서 설명되었다. 첨부된 청구범위의 범위 및 개념 내에서 수많은 다른 실시예들, 수정들, 및 변형들이 본 개시내용의 검토로부터 당업자에게 떠오를 것이다. 예를 들어, 당업자는 예시적인 도면들에 예시된 단계들이 인용된 순서와 다른 순서로 수행될 수 있으며 하나 이상의 예시된 단계는 선택적일 수 있음을 이해할 것이다. 다음 청구범위의 임의의 모든 특징들은 가능한 어떤 방식으로든 결합되거나 재배열될 수 있다.

Claims (21)

  1. 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법으로서,
    상기 모바일 디바이스가 해당 모바일 디바이스에서 출력할 복수의 패킷을 생성하는 단계;
    상기 복수의 패킷 각각의 패킷에 대해, 각각의 패킷과 연관된 적어도 하나의 패킷 매칭 기준을 결정하는 단계;
    상기 복수의 패킷 각각의 패킷에 대해, 상기 결정된 적어도 하나의 패킷 매칭 기준에 대한 적어도 하나의 정책 확률 데이터 구조를 테스트하는 단계 - 상기 정책 확률 데이터 구조는 보안 정책의 복수의 패킷 필터링 규칙 각각을 나타냄 -;
    상기 복수의 패킷 중 제1 패킷이 상기 적어도 하나의 정책 확률 데이터 구조의 적어도 하나의 패킷 매칭 기준과 일치하지 않는다는 결정에 근거하여, 상기 제1 패킷을 그의 의도된 목적지로 전달하는 단계;
    상기 복수의 패킷 중 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제2 패킷을 상기 보안 정책과 연관된 패킷 게이트웨이로 전송하는 단계; 및
    상기 복수의 패킷 중 상기 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는 단계를 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  2. 제1항에 있어서, 상기 적어도 하나의 정책 확률 데이터 구조는 블룸 필터(Bloom filter) 또는 쿠쿠 필터(Cuckoo filter)인, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  3. 제1항에 있어서,
    상기 모바일 디바이스에 보안 정책 시행 애플리케이션을 설치한 후, 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로의 네트워크 터널을 확립하는 단계를 더 포함하고,
    상기 제2 패킷을 상기 패킷 게이트웨이로 전송하는 단계는 상기 네트워크 터널을 통해 상기 패킷 게이트웨이로 상기 제2 패킷을 전송하는 단계를 더 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  4. 제1항에 있어서, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는 단계는 상기 제2 패킷에 대한 규칙 동작의 수행을 야기하는 단계를 더 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  5. 제1항에 있어서,
    상기 복수의 패킷 중 제3 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 복수의 패킷 각각의 패킷에 대해, 상기 제3 패킷과 연관된 적어도 하나의 패킷 매칭 기준에 대한 차단 규칙 확률 데이터 구조를 테스트하는 단계; 및
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷을 그의 의도된 목적지로 진행하지 못하도록 하는 단계를 더 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  6. 제5항에 있어서,
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷과 연관된 로그를 생성하는 단계; 및
    상기 제3 패킷과 연관된 상기 로그를 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로 전송하는 단계를 더 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  7. 제1항에 있어서,
    상기 모바일 디바이스가, 적어도 하나의 새로운 패킷 매칭 기준을 포함하는 정책 업데이트를 수신하는 단계; 및
    상기 정책 업데이트에 근거하여 그리고 상기 모바일 디바이스에 의해, 상기 적어도 하나의 정책 확률 데이터 구조를 업데이트하는 단계를 더 포함하는, 모바일 디바이스에서 트래픽을 선택적으로 필터링하는 방법.
  8. 패킷 필터링 게이트웨이와 연관된 모바일 디바이스로서,
    적어도 하나의 프로세서; 및
    명령어들을 포함하는 메모리를 포함하고, 상기 명령어들은 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 모바일 디바이스로부터 출력될 복수의 패킷을 생성하게 하고;
    상기 복수의 패킷 각각의 패킷에 대해, 각각의 패킷과 연관된 적어도 하나의 패킷 매칭 기준을 결정하게 하고;
    상기 복수의 패킷 각각의 패킷에 대해, 상기 결정된 적어도 하나의 패킷 매칭 기준에 대한 적어도 하나의 정책 확률 데이터 구조를 테스트하게 하고 - 상기 정책 확률 데이터 구조는 보안 정책의 복수의 패킷 필터링 규칙 각각을 나타냄 -;
    상기 복수의 패킷 중 제1 패킷이 상기 적어도 하나의 정책 확률 데이터 구조의 적어도 하나의 패킷 매칭 기준과 일치하지 않는다는 결정에 근거하여, 상기 제1 패킷을 그의 의도된 목적지로 전달하게 하고;
    상기 복수의 패킷 중 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제2 패킷을 상기 보안 정책과 연관된 패킷 게이트웨이로 전송하게 하고; 그리고
    상기 복수의 패킷 중 상기 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는, 모바일 디바이스.
  9. 제8항에 있어서, 상기 적어도 하나의 정책 확률 데이터 구조는 블룸 필터 또는 쿠쿠 필터인, 모바일 디바이스.
  10. 제8항에 있어서, 상기 메모리는, 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 모바일 디바이스에 보안 정책 시행 애플리케이션이 설치된 후, 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로의 네트워크 터널을 확립하게 하는 명령어들을 더 저장하고,
    상기 제2 패킷을 상기 패킷 게이트웨이로 전송하게 하는 것은 상기 네트워크 터널을 통해 상기 패킷 게이트웨이로 상기 제2 패킷을 전송하게 하는, 명령어들을 더 저장하는, 모바일 디바이스.
  11. 제8항에 있어서, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는 것은 상기 제2 패킷에 대한 규칙 동작의 수행을 야기하는 것을 더 포함하는, 모바일 디바이스.
  12. 제8항에 있어서, 상기 메모리는, 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 복수의 패킷 중 제3 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 복수의 패킷 각각의 패킷에 대해, 상기 제3 패킷과 연관된 적어도 하나의 패킷 매칭 기준에 대한 차단 규칙 확률 데이터 구조를 테스트하게 하고; 그리고
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷을 그의 의도된 목적지로 진행하지 못하게 하는, 명령어들을 더 저장하는, 모바일 디바이스.
  13. 제12항에 있어서, 상기 메모리는, 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷과 연관된 로그를 생성하게 하고; 그리고
    상기 제3 패킷과 연관된 상기 로그를 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로 전송하게 하는, 명령어들을 더 저장하는, 모바일 디바이스.
  14. 제8항에 있어서, 상기 메모리는, 상기 적어도 하나의 프로세서에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 모바일 디바이스가 적어도 하나의 새로운 패킷 매칭 기준을 포함하는 정책 업데이트를 수신하게 하고; 그리고
    상기 정책 업데이트에 근거하여 그리고 상기 모바일 디바이스에 의해, 상기 적어도 하나의 정책 확률 데이터 구조를 업데이트하게 하는, 명령어들을 더 저장하는, 모바일 디바이스.
  15. 하나 이상의 비일시적 컴퓨터 판독 가능 매체로서, 모바일 디바이스에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 모바일 디바이스로부터 출력될 복수의 패킷을 생성하게 하고;
    상기 복수의 패킷 각각의 패킷에 대해, 각각의 패킷과 연관된 적어도 하나의 패킷 매칭 기준을 결정하게 하고;
    복수의 패킷 각각의 패킷에 대해, 상기 결정된 적어도 하나의 패킷 매칭 기준에 대한 적어도 하나의 정책 확률 데이터 구조를 테스트하게 하고 - 상기 정책 확률 데이터 구조는 보안 정책의 복수의 패킷 필터링 규칙 각각을 나타냄 -;
    상기 복수의 패킷 중 제1 패킷이 상기 적어도 하나의 정책 확률 데이터 구조의 적어도 하나의 패킷 매칭 기준과 일치하지 않는다는 결정에 근거하여, 상기 제1 패킷을 그의 의도된 목적지로 전달하게 하고;
    상기 복수의 패킷 중 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제2 패킷을 상기 보안 정책과 연관된 패킷 게이트웨이로 전송하게 하고; 그리고
    상기 복수의 패킷 중 상기 제2 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는, 명령어들을 포함하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  16. 제15항에 있어서, 상기 적어도 하나의 정책 확률 데이터 구조는 블룸 필터 또는 쿠쿠 필터인, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  17. 제15항에 있어서, 상기 메모리는, 상기 모바일 디바이스에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    보안 정책 시행 애플리케이션이 설치된 후, 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로의 네트워크 터널을 확립하게 하는 명령어들을 더 저장하고,
    상기 제2 패킷을 상기 패킷 게이트웨이로 전송하는 것은 상기 네트워크 터널을 통해 상기 패킷 게이트웨이로 상기 제2 패킷을 전송하는 것을 더 포함하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  18. 제15항에 있어서, 상기 패킷 게이트웨이로 하여금 상기 제2 패킷을 필터링하게 하는 것은 상기 제2 패킷에 대한 규칙 동작의 수행을 야기하는 것을 더 포함하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  19. 제15항에 있어서, 상기 메모리는, 상기 모바일 디바이스에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 복수의 패킷 중 제3 패킷이 상기 적어도 하나의 정책 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 복수의 패킷 각각의 패킷에 대해, 상기 제3 패킷과 연관된 적어도 하나의 패킷 매칭 기준에 대한 차단 규칙 확률 데이터 구조를 테스트하게 하고; 그리고
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷을 그의 의도된 목적지로 진행하지 못하게 하는, 명령어들을 더 저장하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  20. 제19항에 있어서, 상기 메모리는, 상기 모바일 디바이스에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    상기 복수의 패킷 중 상기 제3 패킷이 상기 차단 규칙 확률 데이터 구조와 연관된 적어도 하나의 패킷 매칭 기준과 일치한다는 결정에 근거하여, 상기 제3 패킷과 연관된 로그를 생성하게 하고; 그리고
    상기 제3 패킷과 연관된 상기 로그를 상기 보안 정책과 연관된 적어도 하나의 네트워크 보안 디바이스로 전송하게 하는, 명령어들을 더 저장하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
  21. 제15항에 있어서, 상기 모바일 디바이스에 의해 실행될 때 상기 모바일 디바이스로 하여금,
    적어도 하나의 새로운 패킷 매칭 기준을 포함하는 정책 업데이트를 수신하게 하고; 그리고
    상기 정책 업데이트에 근거하여, 상기 적어도 하나의 정책 확률 데이터 구조를 업데이트하게 하는, 명령어들을 더 포함하는, 하나 이상의 비일시적 컴퓨터 판독 가능 매체.
KR1020227003708A 2019-07-03 2020-06-15 모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들 KR20220028102A (ko)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US16/502,565 US10715493B1 (en) 2019-07-03 2019-07-03 Methods and systems for efficient cyber protections of mobile devices
US16/502,565 2019-07-03
PCT/US2020/037688 WO2021003014A1 (en) 2019-07-03 2020-06-15 Methods and systems for efficient cyber protections of mobile devices

Publications (1)

Publication Number Publication Date
KR20220028102A true KR20220028102A (ko) 2022-03-08

Family

ID=71409552

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020227003708A KR20220028102A (ko) 2019-07-03 2020-06-15 모바일 디바이스들의 효율적인 사이버 보호를 위한 방법들 및 시스템들

Country Status (6)

Country Link
US (5) US10715493B1 (ko)
EP (1) EP3984195A1 (ko)
JP (2) JP7393514B2 (ko)
KR (1) KR20220028102A (ko)
CN (1) CN114641968A (ko)
WO (1) WO2021003014A1 (ko)

Families Citing this family (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11582191B2 (en) 2019-07-03 2023-02-14 Centripetal Networks, Inc. Cyber protections of remote networks via selective policy enforcement at a central network
US11405321B2 (en) * 2019-07-23 2022-08-02 At&T Mobility Ii Llc 5G filters for virtual network functions
US20220086190A1 (en) * 2020-09-16 2022-03-17 Salesforce.Com, Inc. Correlation of security policy input and output changes
US11546368B2 (en) * 2020-09-28 2023-01-03 T-Mobile Usa, Inc. Network security system including a multi-dimensional domain name system to protect against cybersecurity threats
US11785038B2 (en) * 2021-03-30 2023-10-10 International Business Machines Corporation Transfer learning platform for improved mobile enterprise security
US11159546B1 (en) 2021-04-20 2021-10-26 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
KR20230173706A (ko) * 2021-04-20 2023-12-27 센트리페탈 네트웍스 엘엘씨 네트워크 보호를 위한 효율적인 위협 상황 인지 패킷 필터링 방법 및 시스템
WO2022225951A1 (en) * 2021-04-20 2022-10-27 Centripetal Networks, Inc. Methods and systems for efficient threat context-aware packet filtering for network protection
US11503056B1 (en) * 2021-08-09 2022-11-15 Oversec, Uab Providing a notification system in a virtual private network
US11895090B2 (en) 2021-10-22 2024-02-06 AVAST Software s.r.o. Privacy preserving malicious network activity detection and mitigation
WO2023154122A1 (en) 2022-02-10 2023-08-17 Centripetal Networks, Inc. Cyber protections of remote networks via selective policy enforcement at a central network
US20240106861A1 (en) 2022-09-27 2024-03-28 Centripetal Networks, Llc Identity-based application of domain filtering rules using domain name system (dns) platform

Family Cites Families (36)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107612B1 (en) * 1999-04-01 2006-09-12 Juniper Networks, Inc. Method, apparatus and computer program product for a network firewall
US6880005B1 (en) * 2000-03-31 2005-04-12 Intel Corporation Managing policy rules in a network
US7444515B2 (en) 2003-08-14 2008-10-28 Washington University Method and apparatus for detecting predefined signatures in packet payload using Bloom filters
US8381297B2 (en) * 2005-12-13 2013-02-19 Yoggie Security Systems Ltd. System and method for providing network security to mobile devices
WO2007117567A2 (en) * 2006-04-06 2007-10-18 Smobile Systems Inc. Malware detection system and method for limited access mobile platforms
US7835348B2 (en) 2006-12-30 2010-11-16 Extreme Networks, Inc. Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch
US20080232359A1 (en) * 2007-03-23 2008-09-25 Taeho Kim Fast packet filtering algorithm
JP2009048574A (ja) 2007-08-22 2009-03-05 Panasonic Corp 通信端末装置、ファイアウォールシステム及びファイアウォール方法
JP2009182516A (ja) * 2008-01-29 2009-08-13 Duaxes Corp 不正侵入防止装置
US8578497B2 (en) 2010-01-06 2013-11-05 Damballa, Inc. Method and system for detecting malware
WO2011091897A1 (en) 2010-01-29 2011-08-04 Telefonaktiebolaget Lm Ericsson (Publ) Packet routing in a network
US20110276744A1 (en) * 2010-05-05 2011-11-10 Microsoft Corporation Flash memory cache including for use with persistent key-value store
US8510821B1 (en) 2010-06-29 2013-08-13 Amazon Technologies, Inc. Tiered network flow analysis
CA2806527A1 (en) * 2010-07-26 2012-02-09 Seven Networks, Inc. Mobile network traffic coordination across multiple applications
US8630294B1 (en) * 2011-05-11 2014-01-14 Juniper Networks, Inc. Dynamic bypass mechanism to alleviate bloom filter bank contention
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
US8949371B1 (en) * 2011-09-29 2015-02-03 Symantec Corporation Time and space efficient method and system for detecting structured data in free text
US9043918B2 (en) * 2011-10-13 2015-05-26 Mcafee, Inc. System and method for profile based filtering of outgoing information in a mobile environment
WO2014047168A1 (en) * 2012-09-18 2014-03-27 Citrix Systems, Inc. Mobile device management and security
US20140109171A1 (en) * 2012-10-15 2014-04-17 Citrix Systems, Inc. Providing Virtualized Private Network tunnels
US20140157405A1 (en) 2012-12-04 2014-06-05 Bill Joll Cyber Behavior Analysis and Detection Method, System and Architecture
US9171153B2 (en) 2013-05-17 2015-10-27 Hewlett-Packard Development Company, L.P. Bloom filter with memory element
US9419942B1 (en) 2013-06-05 2016-08-16 Palo Alto Networks, Inc. Destination domain extraction for secure protocols
US9622176B2 (en) * 2014-06-23 2017-04-11 Qualcomm Incorporated Packet filtering for saving power at a user equipment
US20160171415A1 (en) * 2014-12-13 2016-06-16 Security Scorecard Cybersecurity risk assessment on an industry basis
US10341300B2 (en) * 2015-03-01 2019-07-02 Cisco Technology, Inc. System, method, apparatus and machine-readable media for enterprise wireless calling
WO2016171690A1 (en) * 2015-04-23 2016-10-27 Hewlett Packard Enterprise Development Lp Pre-filter rules for network infrastructure devices
US10051001B1 (en) 2015-07-31 2018-08-14 Palo Alto Networks, Inc. Efficient and secure user credential store for credentials enforcement using a firewall
US20170126727A1 (en) * 2015-11-03 2017-05-04 Juniper Networks, Inc. Integrated security system having threat visualization
US11729144B2 (en) * 2016-01-04 2023-08-15 Centripetal Networks, Llc Efficient packet capture for cyber threat analysis
JP6258985B2 (ja) * 2016-02-03 2018-01-10 京セラ株式会社 通信装置、通信制御方法、及びプログラム
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
US10348684B2 (en) * 2016-09-01 2019-07-09 Hewlett Packard Enterprise Development Lp Filtering of packets for packet types at network devices
CN106383768A (zh) * 2016-09-14 2017-02-08 江苏北弓智能科技有限公司 基于移动设备操作行为的监管分析系统及其方法
US10931561B2 (en) 2017-04-24 2021-02-23 Cisco Technology, Inc. Dynamic split tunneling
CN109361646A (zh) * 2018-08-23 2019-02-19 广东电网有限责任公司信息中心 一种移动互联应用中的网络安全监测与感知方法

Also Published As

Publication number Publication date
US10715493B1 (en) 2020-07-14
CN114641968A (zh) 2022-06-17
US10944721B2 (en) 2021-03-09
JP7393514B2 (ja) 2023-12-06
JP2022540577A (ja) 2022-09-16
US20210336929A1 (en) 2021-10-28
US11374905B2 (en) 2022-06-28
US20220303245A1 (en) 2022-09-22
JP2024020524A (ja) 2024-02-14
US20210211409A1 (en) 2021-07-08
US11063909B1 (en) 2021-07-13
EP3984195A1 (en) 2022-04-20
WO2021003014A1 (en) 2021-01-07
US20210006541A1 (en) 2021-01-07

Similar Documents

Publication Publication Date Title
US11374905B2 (en) Methods and systems for efficient cyber protections of mobile devices
EP3704846B1 (en) Cloud-based multi-function firewall and zero trust private virtual network
US10135841B2 (en) Integrated security system having threat visualization and automated security device control
US11290424B2 (en) Methods and systems for efficient network protection
US20200137021A1 (en) Using intent to access in discovery protocols in a network for analytics
US11516257B2 (en) Device discovery for cloud-based network security gateways
US20210314301A1 (en) Private service edge nodes in a cloud-based system for private application access
US11799832B2 (en) Cyber protections of remote networks via selective policy enforcement at a central network
US11949661B2 (en) Systems and methods for selecting application connectors through a cloud-based system for private application access
US20230019448A1 (en) Predefined signatures for inspecting private application access
EP3166279B1 (en) Integrated security system having rule optimization
US20230015603A1 (en) Maintaining dependencies in a set of rules for security scanning
EP3166281B1 (en) Integrated security system having threat visualization
EP3166280B1 (en) Integrated security system having threat visualization and automated security device control
WO2023154122A1 (en) Cyber protections of remote networks via selective policy enforcement at a central network
US20230231884A1 (en) Browser fingerprinting and control for session protection and private application protection
CN118018282A (en) Method and system for efficient network protection

Legal Events

Date Code Title Description
E902 Notification of reason for refusal