TWI665578B - 軟體連線之管理系統及方法 - Google Patents

軟體連線之管理系統及方法 Download PDF

Info

Publication number
TWI665578B
TWI665578B TW107142171A TW107142171A TWI665578B TW I665578 B TWI665578 B TW I665578B TW 107142171 A TW107142171 A TW 107142171A TW 107142171 A TW107142171 A TW 107142171A TW I665578 B TWI665578 B TW I665578B
Authority
TW
Taiwan
Prior art keywords
software
connection
blocking
difference
correspondence table
Prior art date
Application number
TW107142171A
Other languages
English (en)
Other versions
TW202020707A (zh
Inventor
李振忠
林家弘
王成耀
張任宏
陳明仁
Original Assignee
廣達電腦股份有限公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 廣達電腦股份有限公司 filed Critical 廣達電腦股份有限公司
Priority to TW107142171A priority Critical patent/TWI665578B/zh
Priority to CN201811524328.8A priority patent/CN111224929B/zh
Priority to US16/357,515 priority patent/US11012419B2/en
Application granted granted Critical
Publication of TWI665578B publication Critical patent/TWI665578B/zh
Publication of TW202020707A publication Critical patent/TW202020707A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0236Filtering by address, protocol, port number or service, e.g. IP-address or URL
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一種軟體連線之管理系統,其具有網路通訊裝置、儲存裝置、以及控制器。上述儲存裝置係用以儲存複數網路協定位址與複數裝置之一第一對應表、以及複數軟體與複數裝置之一第二對應表。控制器透過網路通訊裝置從代理伺服器或防火牆裝置取得連線紀錄,根據儲存裝置所儲存的網路協定位址與裝置的第一對應表以及軟體與裝置的第二對應表分析連線紀錄以決定有安裝第一軟體之裝置與未安裝第一軟體之裝置之間的差異連線,決定第一測試裝置在阻擋差異連線後是否仍可正常運行第一軟體,若是,將差異連線之目的位址加入阻擋清單,使得代理伺服器或防火牆裝置阻擋連往此目的位址的所有連線。

Description

軟體連線之管理系統及方法
本申請主要關於資安管理,特別係有關於一種軟體連線之管理系統及方法,可防止運行的軟體在未經授權的情況下將個人資料或使用紀錄等資訊傳送出去而形成安全漏洞。
隨著電腦科技的迅速發展,各式的軟體以自動化服務為目標被普遍應用在我們的日常生活中,特別是,近年來藉由普及的網路,有越來越多的軟體可透過網路擴展其應用方式,達到行動運算之目的。然而,在某些情況下,網路化軟體卻有可能在未經授權的情況下將個人資料或使用紀錄等資訊傳送出去,因此存在資訊外洩的風險。舉例來說,某些軟體會記錄用戶使用該軟體的使用行為並且在用戶不知情的狀況下把使用紀錄傳送出去,用戶不僅無從得知到底是甚麼資訊被記錄並傳送出去,也難以防止這種軟體行為;或者,有些企業的辦公室軟體是透過網路授權(network licensing)的機制動態地連往企業外部的授權中心以確認該軟體的授權狀態,然而,企業卻難以確認是否在網路授權的過程中有其他資訊也被傳送出去,使得企業機密有潛在的外洩風險。
為了解決上述問題,本申請提出一種軟體連線之管理系統及方法,透過分析裝置的連線紀錄及軟體使用紀錄,找出潛在需要管控的連線並對其進行阻擋測試,一旦測試確認不會妨礙軟體之正常使用,即可正式將該連線的目的位址列入阻擋清單,避免運行中的軟體在未經授權的情況下將個人資料或使用紀錄等資訊傳送出去而形成資安漏洞。
本申請所述之軟體連線之管理系統包括一網路通訊裝置、一儲存裝置、以及一控制器。上述網路通訊裝置係用以提供連線到至少一代理伺服器或一防火牆裝置。上述儲存裝置係用以儲存複數網路協定位址與複數裝置之一第一對應表、以及複數軟體與複數裝置之一第二對應表。上述控制器係用以透過上述網路通訊裝置從上述代理伺服器或上述防火牆裝置取得複數連線紀錄,根據上述第一對應表以及上述第二對應表分析上述連線紀錄以決定有安裝一第一軟體之裝置與未安裝上述第一軟體之裝置之間的一差異連線,決定一第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體,以及當上述第一測試裝置在阻擋上述差異連線後仍可正常運行上述第一軟體時,將上述差異連線之一第一目的位址加入一阻擋清單,使得上述代理伺服器或上述防火牆裝置阻擋連往上述第一目的位址的所有連線。
在一實施例,上述控制器還當上述第一測試裝置在阻擋上述差異連線後無法正常運行上述第一軟體時,將上述第一目的位址加入一監控清單,使得上述代理伺服器或上述防火牆裝置針對連往上述第一目的位址的所有連線進行監控。
在一實施例,上述控制器還決定上述差異連線是否關連至上述第一軟體,以及當上述差異連線關連至上述第一軟體時,才執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟。
在一實施例,上述控制器還在只安裝上述第一軟體之一第二測試裝置上收集運行上述第一軟體時所產生之一對照連線之紀錄,以及將上述對照連線彙整到上述差異連線中。
在一實施例,上述第二對應表還包括對應到上述第一軟體的每個裝置使用上述第一軟體之一時間區間,上述控制器還在執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟之前,將上述差異連線中不符合上述時間區間者予以排除。
本申請所述之軟體連線之管理方法係適用於連接到一代理伺服器或一防火牆裝置之一系統,且由上述系統之一控制器所執行。上述軟體連線之管理方法包括以下步驟:從上述代理伺服器或上述防火牆裝置取得複數連線紀錄;根據複數網路協定位址與複數裝置之一第一對應表、以及複數軟體與複數裝置之一第二對應表分析上述連線紀錄以決定有安裝一第一軟體之裝置與未安裝上述第一軟體之裝置之間的一差異連線;決定一第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體;以及當上述第一測試裝置在阻擋上述差異連線後仍可正常運行上述第一軟體時,將上述差異連線之一第一目的位址加入一阻擋清單,使得上述代理伺服器或上述防火牆裝置阻擋連往上述第一目的位址的所有連線。
在一實施例,上述軟體連線之管理方法更包括以下步驟:當上述第一測試裝置在阻擋上述差異連線後無法正常運行上述第一軟體時,將上述第一目的位址加入一監控清單,使得上述代理伺服器或上述防火牆裝置針對連往上述第一目的位址的所有連線進行監控。
在一實施例,上述軟體連線之管理方法更包括以下步驟:決定上述差異連線是否關連至上述第一軟體;以及當上述差異連線關連至上述第一軟體時,才執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟。
在一實施例,上述軟體連線之管理方法更包括以下步驟:在只安裝上述第一軟體之一第二測試裝置上收集運行上述第一軟體時所產生之一對照連線之紀錄;以及將上述對照連線彙整到上述差異連線中。
在一實施例,上述第二對應表還包括對應到上述第一軟體的每個裝置使用上述第一軟體之一時間區間,上述軟體連線之管理方法更包括以下步驟:在執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟之前,將上述差異連線中不符合上述時間區間者予以排除。
關於本申請其他附加的特徵與優點,此領域之熟習技術人士,在不脫離本申請之精神和範圍內,當可根據本案實施方法中所揭露之軟體連線之管理系統及方法做些許的更動與潤飾而得到。
本章節所敘述的是實施本申請之較佳方式,目的在於說明本申請之精神而非用以限定本申請之保護範圍,當可理解的是,使用於本說明書中的「包含」、「包括」等詞,係用以表示存在特定的技術特徵、數值、方法步驟、作業處理、元件以及/或組件,但並不排除可加上更多的技術特徵、數值、方法步驟、作業處理、元件、組件,或以上的任意組合。
第1圖係根據本申請一實施例所述之網路環境之示意圖。
網路環境100包括區域網路110、網際網路120、以及外部伺服器130,其中區域網路110可以是某個企業的內部網路,如:辦公室網路,其更包括終端裝置111~113、無線存取點114、交換器115、代理伺服器116、防火牆裝置117、以及軟體連線之管理系統118。
終端裝置111~113可個別為一具備網路通訊功能之計算裝置,如:筆記型電腦、桌上型電腦、智慧型手機、平板電腦、或工作站等。舉例來說,如第1圖所示,終端裝置111~112為桌上型電腦,其透過有線網路的方式(例如:乙太網(Ethernet)、光纖(optical)網路、非對稱數位式用戶線路(Asymmetric Digital Subscriber Line,ADSL)、雙絞線(Twisted Pair)網路、或同軸電纜(Coaxial cable)網路等)連接到企業網路。另外,終端裝置113為一筆記型電腦,其透過無線存取點114連接到企業網路。
特別是,終端裝置111~113之每一者皆可安裝相同或不同之一或多個軟體,其中每個軟體都有可能在未經授權的情況下連線到區域網路110以外的伺服器(如:外部伺服器130)進行資料傳輸,而這種對外的資料傳輸連線即為本申請所要管理之連線。
無線存取點114可使用任一無線網路技術建立無線區域網路,以提供無線存取服務予任一終端裝置(如:終端裝置113)。所述無線網路技術可包括:無線保真(Wireless Fidelity,WiFi)技術、藍牙技術、以及群蜂技術等。明確來說,無線存取點114可透過乙太網纜線連接到交換器115,無線存取點114通常係用以接收、暫存、以及傳送針對終端裝置111~113之資料流量。
交換器115可包含多個網路埠,透過這些網路埠將區域網路110內的終端裝置111~113連接起來,實現區域網路110內裝置對裝置的通訊。特別是,交換器115可將每個終端裝置的媒體存取控制(Media Access Control,MAC)位址、網路協定(Internet Protocol,IP)位址儲存在裝置與媒體存取控制位址/網路協定位址之一對應表中。或者,交換器115可將裝置與媒體存取控制位址/網路協定位址之對應表儲存在一資料庫(未繪示)中。
代理伺服器116主要用以實現區域網路110的內部裝置(如:終端裝置111~113)對外部裝置(如:外部伺服器130)之間的非直接連線,以保護區域網路110的內部裝置的隱私或安全。換句話說,對區域網路110的外部裝置而言,他們只看的到代理伺服器116,而看不到也無法直接存取終端裝置111~113。
防火牆裝置117可以是一個對區域網路110進出的流量(traffic)進行監控的網路安全裝置,其可依據網管人員所設定的安全性規則來決定是否允許或封鎖特定流量。
軟體連線之管理系統118可為一伺服器或其他具備網路通訊功能之計算裝置,其主要負責管理終端裝置111~113運行的軟體對區域網路110外部的連線,以防止區域網路110內部運行的軟體在未經授權的情況下將個人資料或使用紀錄等資訊傳送到區域網路110之外而形成資安漏洞。
在一實施例,軟體連線之管理系統118還可維護企業內部的軟體主檔資料(master data),其中就包括裝置與安裝軟體的對應關係(可以對應表的方式記錄)、以及軟體的使用時間等資訊。
或者,在另一實施例,企業內部的軟體主檔資料可儲存在軟體連線之管理系統118以外之一資料庫(未繪示),當軟體連線之管理系統118需要用到軟體主檔資料時,再向該資料庫查詢。
外部伺服器130可為任何架設於網際網路120上的伺服器,特別是,終端裝置111~113所安裝的軟體在運行時可能會連線到外部伺服器130並進行資料傳輸,舉例來說,外部伺服器130可以是特定軟體開發商所架設的伺服器,用以接收用戶操作該軟體時的使用紀錄、個人資料、以及/或其他可能與企業相關之資訊等。
當可理解的是,第1圖所示之網路環境僅用以提供一說明之範例,並非用以限制本申請之保護範圍。舉例來說,代理伺服器116與防火牆裝置117可整合為單一裝置,例如:一具備防火牆功能之代理伺服器。或者,區域網路110可以只包括代理伺服器116與防火牆裝置117之其一。
第2圖係根據本申請一實施例所述之軟體連線之管理系統118之硬體架構示意圖。
如第2圖所示,軟體連線之管理系統118包括網路通訊裝置10、控制器20、儲存裝置30、以及輸入輸出裝置40。
網路通訊裝置10係用以提供連線到區域網路110內部的其他裝置(如:交換器115、代理伺服器116、防火牆裝置117)。網路通訊裝置10可依循至少一特定通訊技術提供有線或無線網路連線。舉例來說,有線網路可以是:乙太網、非對稱數位用戶線路網路、光纖網路、雙絞線網路、或同軸電纜網路。無線網路可以是使用如:無線保真技術、藍牙技術、或群蜂技術所建立。
控制器20可為通用處理器、微處理器(Micro Control Unit,MCU)、應用處理器(Application Processor,AP)、或數位訊號處理器(Digital Signal Processor,DSP)等,其可包括各式電路邏輯,用以提供數據處理及運算之功能、控制網路通訊裝置10的運作以提供連線到區域網路110內部的其他裝置、從儲存裝置30讀取或儲存數據、以及透過輸入輸出裝置40接收使用者(如:網管人員)的輸入或輸出反饋訊號給使用者。
特別是,控制器20係用以協調控制網路通訊裝置10、儲存裝置30、以及輸入輸出裝置40之運作,以執行本申請的軟體連線之管理方法。
該領域之熟習技藝人士當可理解,控制器20中的電路邏輯通常可包括多個電晶體,用以控制該電路邏輯之運作以提供所需之功能及作業。更進一步的,電晶體的特定結構及其之間的連結關係通常是由編譯器所決定,例如:暫存器轉移語言(Register Transfer Language,RTL)編譯器可由處理器所運作,將類似組合語言碼的指令檔(script)編譯成適用於設計或製造該電路邏輯所需之形式。
儲存裝置30為非暫態(non-transitory)之電腦可讀取儲存媒體,例如:隨機存取記憶體(Random Access Memory,RAM)、快閃記憶體,或硬碟、光碟,或上述媒體之任意組合,用以儲存應用以及/或通訊協定之程式碼、以及/或軟體主檔資料等。
特別是,儲存裝置30還儲存有本申請的軟體連線之管理方法的指令集或程式碼,由控制器20載入並執行。
輸入輸出裝置40可包括一或多個按鈕、鍵盤、滑鼠、觸碰板、視訊鏡頭、麥克風、以及/或喇叭等,用以作為人機介面與使用者(如:網管人員)互動。
當可理解的是,第2圖所示之元件僅用以提供一說明之範例,並非用以限制本申請之保護範圍。舉例來說,軟體連線之管理系統118還可包括其他元件,例如:電源供應器、以及/或顯示螢幕(例如:液晶顯示器(Liquid-Crystal Display,LCD)、發光二極體顯示器(Light-Emitting Diode,LED)、或電子紙顯示器(Electronic Paper Display,EPD))等。其中,電源供應器可為一可攜式/可替換的充電電池,用以負責提供電力予軟體連線之管理系統118中的其他元件。顯示螢幕可提供顯示功能,用以顯示視覺內容、以及/或文字。
第3圖係根據本申請一實施例所述之軟體連線之管理方法之軟體架構圖。
在此實施例,軟體連線之管理方法係適用於軟體連線之管理系統118,明確來說,軟體連線之管理方法可用程式碼實作為多個軟體模組,並由控制器20載入並執行。
如第3圖所示,軟體連線之管理方法的軟體架構包括:數據分析模組310、關連確認模組320、阻擋測試模組330、以及回饋模組340。
數據分析模組310主要負責從代理伺服器116、以及/或防火牆裝置117接收終端裝置111~113對外的連線紀錄,以及從資料庫讀取裝置與網路協定位址的對應表、裝置與軟體的對應表,然後根據上述對應表分析連線紀錄以決定有安裝標的軟體之裝置與未安裝標的軟體之裝置之間的差異連線。
明確來說,數據分析模組310可從所有安裝軟體中一次挑選一個作為標的軟體以進行上述作業。
在另一實施例,數據分析模組310還可在實驗室環境下架設一台只安裝標的軟體的測試裝置,並於該測試裝置上收集運行標的軟體時所產生之連線紀錄(意即對照組的連線紀錄,或稱對照連線之紀錄),然後將對照連線彙整到上述差異連線中,再交由其他模組進行後續作業。
在另一實施例,裝置與軟體的對應表還可記錄每個軟體被使用的時間區間,包括標的軟體被使用的時間區間,因此,數據分析模組310還可進一步將差異連線中不符合標的軟體被使用的時間區間者予以排除。
關連確認模組320主要負責針對每個差異連線決定是否關連至標的軟體,若是,則進一步由阻擋測試模組330對差異連線進行阻擋測試,反之,若否,則直接排除該差異連線。
在一實施例,關連確認模組320可分析差異連線的目的位址是否與標的軟體的開發商有關連,舉例來說,差異連線的目的位址可以是一網址,而該網址的字串中存在軟體開發商的名稱,或者,差異連線的目的位址可以是一網路協定位址,而該網路協定位址對應到的網域名稱(domain name)中存在軟體開發商的名稱。
阻擋測試模組330主要負責針對通過關連確認的每個差異連線進行阻擋測試,明確來說,阻擋測試模組330可在一測試裝置上安裝標的軟體並阻擋差異連線,看看測試裝置在阻擋差異連線後是否仍可正常運行標的軟體,若標的軟體可正常運行,則將差異連線之目的位址加入阻擋清單。反之,若標的軟體無法正常運行,表示阻擋差異連線會影響標的軟體的功能與使用,所以將差異連線之目的位址加入監控清單。
回饋模組340主要負責將阻擋清單或監控清單新增到代理伺服器116、以及/或防火牆裝置117,使得代理伺服器116、以及/或防火牆裝置117阻擋或監控連往清單中的目的位址的所有連線。
明確來說,阻擋連線是指如果有連線是要連往阻擋清單中的目的位址時,該連線會被拒絕。監控連線是指如果有連線是要連往監控清單中的目的位址時,該連線的資料會被特別記錄下來,供後續查驗。
第4A~4C圖係根據本申請一實施例所述之軟體連線之管理方法之流程圖。
首先,數據分析模組310針對所有的連線紀錄進行分析與統計(步驟S401),接著選定標的軟體並向資料庫查詢標的軟體的對應裝置及使用時間等資訊,再據以分析與統計有安裝標的軟體的裝置的連線紀錄與沒有安裝標的軟體的裝置的連線紀錄(步驟S402),之後將有安裝標的軟體的裝置的連線紀錄與沒有安裝標的軟體的裝置的連線紀錄進行比對,找出差異連線(步驟S403)。
接著,關連確認模組320針對差異連線一個一個分析是否與標的軟體的開發商有關連(步驟S404),如果分析的結果是差異連線與標的軟體的開發商沒有關連,則將該差異連線排除(步驟S405)。反之,如果分析的結果是差異連線確實與標的軟體的開發商有關連,進一步由阻擋測試模組330對差異連線進行阻擋測試(步驟S406)。
如果阻擋測試的結果是測試裝置在阻擋差異連線後無法正常運行標的軟體,則將差異連線的目的位址加入監控清單(步驟S407)。反之,如果阻擋測試的結果是測試裝置在阻擋差異連線後仍可正常運行標的軟體,則將差異連線的目的位址加入阻擋清單(步驟S408)。
接續步驟S407、S408,回饋模組340將阻擋清單或監控清單新增到代理伺服器116、以及/或防火牆裝置117(步驟S409),使得代理伺服器116、以及/或防火牆裝置117阻擋或監控連往清單中的目的位址的所有連線(步驟S410)。
接續步驟S405、S410,如果所有的軟體都曾被選為標的軟體並執行過上述程序,則流程結束。反之,如果還有其他軟體還沒被選為標的軟體,則流程回到步驟S402。
根據上述實施例,當可理解的是,本申請的軟體連線之管理系統及方法其特徵在於,透過分析裝置的連線紀錄及軟體使用紀錄,找出潛在需要管控的連線並對其進行阻擋測試,一旦測試確認不會妨礙軟體之正常使用,即可正式將該連線的目的位址列入阻擋清單。因此,可有效避免運行中的軟體在未經授權的情況下將個人資料或使用紀錄等資訊傳送出去而形成資安漏洞。
本申請雖以各種實施例揭露如上,然而其僅為範例參考而非用以限定本申請的範圍,任何熟習此項技藝者,在不脫離本申請之精神和範圍內,當可做些許的更動與潤飾。因此上述實施例並非用以限定本申請之範圍,本申請之保護範圍當視後附之申請專利範圍所界定者為準。
100‧‧‧網路環境
110‧‧‧區域網路
111~113‧‧‧終端裝置
114‧‧‧無線存取點
115‧‧‧交換器
116‧‧‧代理伺服器
117‧‧‧防火牆裝置
118‧‧‧軟體連線之管理系統
120‧‧‧網際網路
130‧‧‧外部伺服器
10‧‧‧網路通訊裝置
20‧‧‧控制器
30‧‧‧儲存裝置
40‧‧‧輸入輸出裝置
310‧‧‧數據分析模組
320‧‧‧關連確認模組
330‧‧‧阻擋測試模組
340‧‧‧回饋模組
S401~S410‧‧‧步驟編號
第1圖係根據本申請一實施例所述之網路環境之示意圖。 第2圖係根據本申請一實施例所述之軟體連線之管理系統118之硬體架構示意圖。 第3圖係根據本申請一實施例所述之軟體連線之管理方法之軟體架構圖。 第4A~4C圖係根據本申請一實施例所述之軟體連線之管理方法之流程圖。

Claims (10)

  1. 一種軟體連線之管理系統,包括: 一網路通訊裝置,用以提供連線到至少一代理伺服器或一防火牆裝置;一儲存裝置,用以儲存複數網路協定位址與複數裝置之一第一對應表、以及複數軟體與複數裝置之一第二對應表;以及 一控制器,用以透過上述網路通訊裝置從上述代理伺服器或上述防火牆裝置取得複數連線紀錄,根據上述第一對應表以及上述第二對應表分析上述連線紀錄以決定有安裝一第一軟體之裝置與未安裝上述第一軟體之裝置之間的一差異連線,決定一第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體,以及當上述第一測試裝置在阻擋上述差異連線後仍可正常運行上述第一軟體時,將上述差異連線之一第一目的位址加入一阻擋清單,使得上述代理伺服器或上述防火牆裝置阻擋連往上述第一目的位址的所有連線。
  2. 如申請專利範圍第1項所述之軟體連線之管理系統,其中上述控制器還當上述第一測試裝置在阻擋上述差異連線後無法正常運行上述第一軟體時,將上述第一目的位址加入一監控清單,使得上述代理伺服器或上述防火牆裝置針對連往上述第一目的位址的所有連線進行監控。
  3. 如申請專利範圍第1項所述之軟體連線之管理系統,其中上述控制器還決定上述差異連線是否關連至上述第一軟體,以及當上述差異連線關連至上述第一軟體時,才執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟。
  4. 如申請專利範圍第1項所述之軟體連線之管理系統,其中上述控制器還在只安裝上述第一軟體之一第二測試裝置上收集運行上述第一軟體時所產生之一對照連線之紀錄,以及將上述對照連線彙整到上述差異連線中。
  5. 如申請專利範圍第1項所述之軟體連線之管理系統,其中上述第二對應表還包括對應到上述第一軟體的每個裝置使用上述第一軟體之一時間區間,上述控制器還在執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟之前,將上述差異連線中不符合上述時間區間者予以排除。
  6. 一種軟體連線之管理方法,適用於連接到一代理伺服器或一防火牆裝置之一系統,且由上述系統之一控制器所執行,包括: 從上述代理伺服器或上述防火牆裝置取得複數連線紀錄; 根據複數網路協定位址與複數裝置之一第一對應表、以及複數軟體與複數裝置之一第二對應表分析上述連線紀錄以決定有安裝一第一軟體之裝置與未安裝上述第一軟體之裝置之間的一差異連線; 決定一第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體;以及 當上述第一測試裝置在阻擋上述差異連線後仍可正常運行上述第一軟體時,將上述差異連線之一第一目的位址加入一阻擋清單,使得上述代理伺服器或上述防火牆裝置阻擋連往上述第一目的位址的所有連線。
  7. 如申請專利範圍第6項所述之軟體連線之管理方法,更包括: 當上述第一測試裝置在阻擋上述差異連線後無法正常運行上述第一軟體時,將上述第一目的位址加入一監控清單,使得上述代理伺服器或上述防火牆裝置針對連往上述第一目的位址的所有連線進行監控。
  8. 如申請專利範圍第6項所述之軟體連線之管理方法,更包括: 決定上述差異連線是否關連至上述第一軟體;以及 當上述差異連線關連至上述第一軟體時,才執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟。
  9. 如申請專利範圍第6項所述之軟體連線之管理方法,更包括: 在只安裝上述第一軟體之一第二測試裝置上收集運行上述第一軟體時所產生之一對照連線之紀錄;以及 將上述對照連線彙整到上述差異連線中。
  10. 如申請專利範圍第6項所述之軟體連線之管理方法,其中上述第二對應表還包括對應到上述第一軟體的每個裝置使用上述第一軟體之一時間區間,上述軟體連線之管理方法更包括: 在執行決定上述第一測試裝置在阻擋上述差異連線後是否仍可正常運行上述第一軟體之步驟之前,將上述差異連線中不符合上述時間區間者予以排除。
TW107142171A 2018-11-27 2018-11-27 軟體連線之管理系統及方法 TWI665578B (zh)

Priority Applications (3)

Application Number Priority Date Filing Date Title
TW107142171A TWI665578B (zh) 2018-11-27 2018-11-27 軟體連線之管理系統及方法
CN201811524328.8A CN111224929B (zh) 2018-11-27 2018-12-13 软件连接的管理系统及方法
US16/357,515 US11012419B2 (en) 2018-11-27 2019-03-19 Systems and methods for management of software connections

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
TW107142171A TWI665578B (zh) 2018-11-27 2018-11-27 軟體連線之管理系統及方法

Publications (2)

Publication Number Publication Date
TWI665578B true TWI665578B (zh) 2019-07-11
TW202020707A TW202020707A (zh) 2020-06-01

Family

ID=68049575

Family Applications (1)

Application Number Title Priority Date Filing Date
TW107142171A TWI665578B (zh) 2018-11-27 2018-11-27 軟體連線之管理系統及方法

Country Status (3)

Country Link
US (1) US11012419B2 (zh)
CN (1) CN111224929B (zh)
TW (1) TWI665578B (zh)

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200947255A (en) * 2008-05-13 2009-11-16 Net Hack Technology A vicious webpage monitor system and method
TW201320691A (zh) * 2011-11-09 2013-05-16 Quanta Comp Inc 網路系統之資料管理方法及其相關系統
TW201502845A (zh) * 2013-07-15 2015-01-16 Isgoodidea 網站防毒資安系統
TW201715424A (zh) * 2015-10-29 2017-05-01 江格 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
TWM542807U (zh) * 2016-11-07 2017-06-01 Kuo-Liang Liu 網路資訊安全偵測系統

Family Cites Families (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10143357A (ja) * 1996-11-11 1998-05-29 Hitachi Ltd ソフトウェア管理装置
US6591299B2 (en) * 1997-11-25 2003-07-08 Packeteer, Inc. Method for automatically classifying traffic with enhanced hierarchy in a packet communications network
JP3444227B2 (ja) * 1999-04-09 2003-09-08 日本電気株式会社 ソフトウェアの不正使用防止方法
JP3976650B2 (ja) * 2002-09-04 2007-09-19 日本電気株式会社 ソフトウェアのライセンス管理方式および方法、並びに記録媒体
CN1237440C (zh) * 2002-12-20 2006-01-18 泽浦科技股份有限公司 一种软件使用量的控管方法及系统
US9154512B2 (en) * 2006-03-30 2015-10-06 Cisco Technology, Inc. Transparently proxying transport protocol connections using an external server
CN101277215B (zh) * 2007-03-28 2011-06-08 中国电信股份有限公司 通过端口代理中继实现远程设备监控管理的系统和方法
US7966526B2 (en) * 2007-04-10 2011-06-21 Galileo Tools Gmbh Software event recording and analysis system and method of use thereof
US8260842B1 (en) * 2012-04-27 2012-09-04 Wirespring Technologies, Inc. Device-agnostic content management, playback and status monitoring system
US9154479B1 (en) * 2012-09-14 2015-10-06 Amazon Technologies, Inc. Secure proxy
WO2015113036A1 (en) * 2014-01-27 2015-07-30 Vencore Labs, Inc. System and method for network traffic profiling and visualization
US9419992B2 (en) * 2014-08-13 2016-08-16 Palantir Technologies Inc. Unwanted tunneling alert system
US9043894B1 (en) * 2014-11-06 2015-05-26 Palantir Technologies Inc. Malicious software detection in a computing system
CN105812899B (zh) * 2014-12-31 2019-04-23 鸿富锦精密工业(深圳)有限公司 电子装置群连接系统及方法
CN105933300A (zh) * 2016-04-14 2016-09-07 郭剑锋 一种安全管理方法及装置
US10721262B2 (en) * 2016-12-28 2020-07-21 Palantir Technologies Inc. Resource-centric network cyber attack warning system

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
TW200947255A (en) * 2008-05-13 2009-11-16 Net Hack Technology A vicious webpage monitor system and method
TW201320691A (zh) * 2011-11-09 2013-05-16 Quanta Comp Inc 網路系統之資料管理方法及其相關系統
TW201502845A (zh) * 2013-07-15 2015-01-16 Isgoodidea 網站防毒資安系統
TW201715424A (zh) * 2015-10-29 2017-05-01 江格 二階段過濾的電腦攻擊阻擋方法以及使用該方法的裝置
TWM542807U (zh) * 2016-11-07 2017-06-01 Kuo-Liang Liu 網路資訊安全偵測系統

Also Published As

Publication number Publication date
CN111224929A (zh) 2020-06-02
US11012419B2 (en) 2021-05-18
TW202020707A (zh) 2020-06-01
US20200169537A1 (en) 2020-05-28
CN111224929B (zh) 2022-01-07

Similar Documents

Publication Publication Date Title
EP3304824B1 (en) Policy-driven compliance
JP5961638B2 (ja) アプリケーション証明のためのシステムおよび方法
US20220060507A1 (en) Privilege assurance of enterprise computer network environments using attack path detection and prediction
JP6329267B2 (ja) インテリジェントファイアウォールアクセスルール
US20220060509A1 (en) Privilege assurance of enterprise computer network environments using lateral movement detection and prevention
JP2021528749A (ja) 自動パケットレスネットワーク到達可能性分析
US11451575B2 (en) Method and system for determining cybersecurity maturity
US11489745B2 (en) Methods, systems and computer readable media for providing a declarative network monitoring environment
JP2022094938A (ja) データアクセスを監視及び制御する為の方法、コンピュータ・プログラム、及びセキュリティシステムエージェント機器
US11509535B2 (en) Network agent for reporting to a network policy system
US11755374B2 (en) Cloud resource audit system
Goni Implementation of Local Area Network (lan) And Build A Secure Lan System For Atomic Energy Research Establishment (AERE)
US20220321602A1 (en) Frictionless supplementary multi-factor authentication for sensitive transactions within an application session
TWI665578B (zh) 軟體連線之管理系統及方法
CA2914046C (en) Controlling network access based on application detection
US11809923B2 (en) Governing access to third-party application programming interfaces
CN110941412B (zh) 基于图片化实现多终端动画协同浏览的方法、系统及终端
US11870791B2 (en) Policy-controlled token authorization
US20230376632A1 (en) Protecting confidential information in online applications
US20230412572A1 (en) Securing metrics in a service mesh
EP3644583B1 (en) Controlling network access based on application detection
US11671430B2 (en) Secure communication session using encryption protocols and digitally segregated secure tunnels
CN115037572B (zh) 一种应用请求的识别方法和装置
US20230334478A1 (en) Detecting anomalous transactions within an application by privileged user accounts
TWI713328B (zh) 橋接器及網路的管理方法