[go: up one dir, main page]

JP4373779B2 - ステイトフル分散型イベント処理及び適応保全 - Google Patents

ステイトフル分散型イベント処理及び適応保全 Download PDF

Info

Publication number
JP4373779B2
JP4373779B2 JP2003506143A JP2003506143A JP4373779B2 JP 4373779 B2 JP4373779 B2 JP 4373779B2 JP 2003506143 A JP2003506143 A JP 2003506143A JP 2003506143 A JP2003506143 A JP 2003506143A JP 4373779 B2 JP4373779 B2 JP 4373779B2
Authority
JP
Japan
Prior art keywords
node
processing server
event processing
network
state change
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2003506143A
Other languages
English (en)
Other versions
JP2005513591A (ja
JP2005513591A5 (ja
Inventor
ジェイ.エス. グラッドストーン、フィリップ
エイ. クレーマー、ジェフリー
Original Assignee
シスコ テクノロジー インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シスコ テクノロジー インコーポレイテッド filed Critical シスコ テクノロジー インコーポレイテッド
Publication of JP2005513591A publication Critical patent/JP2005513591A/ja
Publication of JP2005513591A5 publication Critical patent/JP2005513591A5/ja
Application granted granted Critical
Publication of JP4373779B2 publication Critical patent/JP4373779B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0254Stateful filtering
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Multi Processors (AREA)
  • Hardware Redundancy (AREA)

Description

【技術分野】
【0001】
本発明は、コンピュータネットワークセキュリティに関し、特に、コンピュータネットワーク上の1つ以上のノードをセキュリティ保護するための方法及び装置に関する。
【背景技術】
【0002】
従来のネットワークセキュリティ・システムは、“能動的”又は“受動的”保護の何れかを提供すると言える。能動セキュリティ・システムは、ソフトウェアベース又はハードウェアベースの予めプログラムされた侵入検出対策によって、侵入に対してリアルタイムなバリアを提供する。“受動”システムは、時間の経過と共に静的アクセス制御及びポリシを改善するために、以前のシステム・アクセス・アクティビティについて収集されたデータを調査することによって、以前観察されたセキュリティ侵害を検出し回復する能力を提供する。そして、能動システムは、主に侵入を防ぐ機能を果たし、受動システムは、主に、今後の侵入を防ぐために以前の侵入に関するデータについて報告し調査する機能を果たす。
【0003】
従来の能動セキュリティ・システムの例には、アクセス制御ツール、コンテンツ・フィルタリングツール、及びシステム監査ツールがある。ネットワーク・ファイアウォール等のアクセス制御ツールは、予め設定された許可レベルを用いてインバウンド及びアウトバウンドのアクセスを制御するために、通常はネットワーク周辺の専用マシン上に配置し得る。コンピュータ・ウイルス・スキャナ等のコンテンツ・フィルタリングツールは、通常、eメールサーバ又はワークステーション上の何れかにおいて動作し、又、以前観察された攻撃の既知の兆候に基づき、脅威を及ぼす可能性のある事柄に対して、eメール及び添付ファイル等、入力コンテンツをふるい分けることによって機能を果たす。参照モニタ等のシステム監査ツールは、所定の設定値又は動的なマシン状態の何れかから変化を識別することによって、個々のワークステーション又はサーバのステイトレス・モニタリング又は状態ベースモニタリングの何れかを提供し得る(米国特許出願第10/071,328号に記述されたステイトフル参照モニタによって提供され、本明細書に引用参照する状態ベースモニタリング等)。
【0004】
従来の受動セキュリティ・システムの例には、アクティビティ・ロギングツール及び監査ツールがあるが、これらは、互いに同時に用い得る。アクティビティ・ロギングツールは、1つ以上のコンピュータのアクティビティを追跡し、又、観察されたシステム・アクティビティを個々のエントリとして一連のログファイルに転記する。監査ツールは、通常、マシン全体又は個々のマシン内部の何れかに生じる侵害、攻撃、又は他の脅威の可能性があるアクティビティを区別するためにこれらのログ・エントリを調査する。
【発明の開示】
【発明が解決しようとする課題】
【0005】
両方の種類のセキュリティ・システムは、有用な侵入検出及び防止機能を提供する。しかしながら、一般的に双方共、予めプログラムされたネットワーク管理ポリシ、ビジネスルール、又は他のパラメータに依存し、又、どちらも(特に受動システムは)、新しい種類の攻撃が生じた時、それらに対処するために必要な適応能力を提供しない場合がある。また、従来の能動システムは、ノード全体に生じている見かけ上無害のアクティビティを観察し関連付けて、侵入が起こりつつあることを判断できない。益々浸透するコンピュータネットワークや電子資産の価値から判断して、ネットワーク・セキュリティ上の脅威が同じように大きくなることが予想される。従って、局所的あるいは非局所的な侵入に対するリアルタイムに適応可能な対策を提供するセキュリティ・システムは、コンピュータネットワークのオペレータに対して極めて大きな価値を提供する。
【課題を解決するための手段】
【0006】
本発明の第1の実施形態は、第1及び第2ノード並びにイベント処理サーバを含むネットワーク化されたコンピュータシステムを保全する方法を提供する。本方法には、第1及び第2ノードが、状態変化を検出する段階と、イベント処理サーバが、第1及び第2ノードから状態変化に関する通知を受信する段階と、イベント処理サーバが、第1及び第2ノードにおいて検出された状態変化を関連付ける段階と、イベント処理サーバが、第1及び第2ノードに影響を及ぼす保全決定を実行する段階と、が含まれ、検出する段階、伝送する段階、関連付ける段階、実行する段階は、人が介在すること無く起こる。
【0007】
本実施形態は、状態変化が、イベント及びイベント欠如の内の少なくとも1つの結果である場合、状態変化が、参照モニタによって認識される場合、及び/又は、イベント処理サーバが報告を受信することが、第1及び第2ノードがイベント処理サーバに報告することと、イベント処理サーバが第1及び第2ノードにポーリングすること、の内の1つの結果である場合、に実施し得る。本実施形態には、更に、イベント処理サーバが、ネットワーク上の動作ポリシを更新する段階が含まれ、また、動作ポリシを更新する段階には、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つを含み得る。また、本実施形態は、更に、取られるアクションについて、外部エンティティに通知する段階を含み、また、外部エンティティは、ネットワーク管理者、又はネットワーク上で動作するソフトウェア・アプリケーションであってよい。
【0008】
本発明の第2の実施形態は、ネットワーク化されたコンピュータシステムを保全するための方法を提供する。本方法には、少なくとも1つのノードが、状態変化を検出する段階と、ネットワーク上のイベント処理サーバが、少なくとも1つのノードから少なくとも1つの状態変化に関する通知を受信する段階と、イベント処理サーバが、保全決定を実行することによって通知に応答する段階と、が含まれ、検出する段階と、受信する段階と、応答する段階と、は、人が介在すること無く起こる。
【0009】
本実施形態は、状態変化が、イベント及びイベント欠如の内の少なくとも1つの結果である場合、状態変化が、参照モニタによって認識される場合、イベント処理サーバが報告を受信することは、ノードがイベント処理サーバに報告することと、イベント処理サーバがノードにポーリングすること、の内の1つの結果である場合、に実施し得る。また、本実施形態は、保全決定が、状態変化を検出する少なくとも1つのノードに影響を及ぼす場合、及び/又は、保全決定が、状態変化を検出するノード以外に少なくとも1つのノードに影響を及ぼす場合、に実施し得る。本実施形態には、更に、イベント処理サーバが、ネットワークにおける動作ポリシを更新する段階を含むことができ、この場合、動作ポリシを更新する段階は、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つを含み得る。更にまた、本実施形態には、少なくとも1つのノードが、更新された動作ポリシを実施する段階、及び/又は、取られるアクションについて、外部エンティティに通知する段階を含み得るが、この場合、外部エンティティは、ネットワーク管理者又はネットワーク上で動作するソフトウェア・アプリケーションであってよい。
【0010】
本発明の第3の実施形態は、ネットワーク化されたコンピュータシステム上のノードを保全するための方法を提供する。本方法には、少なくとも1つのノードが、状態変化を検出する段階と、少なくとも1つのノードが、状態変化に反応する段階と、が含まれ、少なくとも1つのノードが検出し反応する段階は、人が介在すること無く起こる。
【0011】
本実施形態は、状態変化が、イベント及びイベント欠如の内の少なくとも1つの結果である場合、及び/又は、状態変化が、ステイトフル参照モニタによって認識される場合、に実施し得る。本実施形態は、更に、少なくとも1つのノードが、ネットワーク上のイベント処理サーバに通知する段階を含み、イベント処理サーバが、ネットワークにおいて動作ポリシを更新することによって通知に応答し、この場合、動作ポリシを更新する段階には、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つが含まれる。本実施形態は、更に、少なくとも1つのノードが、更新された動作ポリシを実施する段階、及び/又は、取られるアクションについて、外部エンティティに通知する段階を含むことができ、この場合、外部エンティティは、ネットワーク管理者、及び/又は、ネットワーク上で動作するソフトウェア・アプリケーションであってよい。
【0012】
本発明の第4の実施形態は、命令が記録されたコンピュータ読み取り可能媒体であって、命令が、実行された時、ネットワーク化されたコンピュータシステムにおいて少なくとも1つのプロセッサに、ノードの状態変化を検出させ、また、検出された状態変化に反応する段階を規定する命令を処理させるコンピュータ読み取り可能媒体を提供する。
【0013】
更に、本実施形態は、イベント処理サーバに状態変化を通信する段階を規定する命令、イベント処理サーバから受信された保全命令を処理する段階を規定する命令、及び/又は、取られるアクションに関してネットワーク管理者に通知を送信する段階を規定する命令を含み得る。
【0014】
本発明の第5の実施形態は、命令が記録されたコンピュータ読み取り可能媒体であって、命令が、実行された時、ネットワーク化されたコンピュータシステムにおいて少なくとも1つのプロセッサに、ネットワーク用の動作ポリシを維持させ、少なくとも1つのノードから状態変化に関する通知を受信させ、状態変化に基づき、動作ポリシを更新させる、コンピュータ読み取り可能媒体を提供する。
【0015】
本実施形態は、更に、状態変化に関する受信された通知をメモリに記憶する段階を規定する命令、複数のノードから受信された通知を関連付ける段階を規定する命令、受信された通知を電子ファイル記憶装置に記憶する段階を規定する命令、及び/又は、取られるアクションに関して外部エンティティに通知する段階を規定する命令を含むことができ、この場合、外部エンティティは、ネットワーク管理者又はネットワーク上で動作するソフトウェア・アプリケーションである。
【0016】
本発明の第6の実施形態は、ネットワーク化されたコンピュータシステムを保全するための方法であって、少なくとも1つのノードが、状態変化を検出する段階と、ネットワーク上のイベント処理サーバが、少なくとも1つのノードから、少なくとも1つの状態変化に関する通知を受信する段階と、イベント処理サーバが、保全決定を実施することによって通知に応答する段階と、が含まれる方法を提供する。
【0017】
本実施形態は、更に、ネットワーク化されたコンピュータシステム上の少なくとも1つのノードに対する保全決定を人間のオペレータが実行する段階、又は、ネットワーク化されたコンピュータシステム上の少なくとも1つのノードに対する保全決定を人間が介在すること無く実行する段階を含み得る。人間のオペレータには、保全決定が人間の介在無しに実行される前に、それを実行するように、所定の期間、入力待ちの状態が割り当てられる。
【発明を実施するための最良の形態】
【0018】
本発明の実施形態の側面は、能動セキュリティ対策と、管理制御と、複数ノード全体において脅威を及ぼす可能性のあるアクティビティをリアルタイムに関連付ける能力とを実現するために、個々のノード上における参照モニタ及びイベント・エージェント・ソフトウェアとネットワークサーバ上におけるイベント処理サーバソフトウェアとを連係して実行することによって、ネットワーク化されたコンピュータシステムをセキュリティ保護するための方法と装置とを提供する。
【0019】
図4に示したコンピュータシステム400は、これによって、個々に又は組み合わせて、これらの実施形態の側面を実現し得るが、1つ以上の出力装置401と、1つ以上の入力装置402との双方に接続される少なくとも1つのメインユニットを含み得る。出力装置401は、情報を記憶し、1人以上のユーザ又は1つ以上のマシンに情報を送信又は表示し、入力装置402は、1人以上のユーザ又は1つ以上のマシンから入力を受信する。メインユニットには、バス又はスイッチ等の1つ以上の相互接続機構405を介して、メモリシステム404に接続される1つ以上のプロセッサ403を含み得る。また、任意の入力装置402及び/又は出力装置401が、相互接続機構405を介して、プロセッサ403及びメモリシステム404に接続する。コンピュータシステム400は、更に、記憶システム406を含んでよく、ここでは、情報が不揮発性の媒体上又は媒体内に保持される。この媒体は、システムに固定してもよく、あるいは着脱自在でもよい。
【0020】
他の選択肢として、コンピュータシステム400は、分散してもよく、また、従って、メインユニットを含まなくてもよい。特に、入力装置402、プロセッサ403、メモリシステム404、相互接続機構405、及び記憶システム406は、各々、単一又は複数のコンピュータシステムを含んでよく、また、地理的に異なってよい。例えば、記憶システム406は、インターネットを介して、相互接続機構405の役割を果たすペンシルベニアに常駐するプロセッサ403と通信を行なうニューヨークに常駐するサーバファーム(farm)を含み得る。
【0021】
コンピュータシステム400は、コンピュータプログラミング言語を用いてプログラム可能な汎用コンピュータシステムであってよい。このようなシステムの実行に適したコンピュータプログラミング言語には、手続きプログラミング言語、オブジェクト指向プログラミング言語、この2つの組み合わせ、又は他の言語がある。また、コンピュータシステムは、特別にプログラムされた特定用途のハードウェア又は特定用途向け集積回路(ASIC)であってもよい。
【0022】
汎用コンピュータシステムにおいて、プロセッサは、通常、オペレーティングシステムと呼ばれるプログラムを実行する市販のプロセッサであり、オペレーティングシステムは、他のコンピュータプログラムの実行を制御し、又、スケジューリング、デバッグ、入出力制御、課金処理、コンパイル、記憶割り当て、データ管理、メモリ管理、通信制御、及び関連サービスを提供する。プロセッサ及びオペレーティングシステムは、他のコンピュータプログラミング言語のアプリケーションプログラムが書き込まれるプラットフォームを規定する。本発明は、いずれか特定のプロセッサ、オペレーティングシステム、又はプログラミング言語に限定しない。
【0023】
図5に更に詳細に示す記憶システム406は、通常、コンピュータ読み取り可能でコンピュータ書き込み可能な不揮発性の記録媒体501を含み、記録媒体501に記憶されるデータは、プロセッサによって実行されるプログラムやそのプログラムによって処理されるために記憶される情報を記述するものである。媒体は、例えば、ディスク又はフラッシュメモリでよい。通常、動作中、プロセッサは、プロセッサが媒体501への場合よりも早く情報にアクセスできる他のメモリ502に不揮発性の記録媒体501からデータを読み込ませる。このメモリ502は、通常、ダイナミック・ランダム・アクセス・メモリ(DRAM)又はスタティック・メモリ(SRAM)等、揮発性のランダム・アクセス・メモリである。図示したように、このメモリは、記憶システム406に配置してもよく、又は、図示しないが、メモリシステム404に配置してもよい。プロセッサ403は、一般的に、集積回路メモリ404,502のデータを操作し、そして、処理が完了した後、そのデータを媒体501にコピーする。様々な機構が、媒体501と集積回路記憶素子404、502との間のデータ移動の管理用として知られているが、本発明は、それに限定しない。本発明は、特定のメモリシステム404又は記憶システム406に限定しない。
【0024】
本発明の実施形態の側面は、ソフトウェア、ハードウェア若しくはファームウェア、又はその任意の組み合わせで実現し得る。実施形態の様々な要素は、個々に又は組み合わせて、例えば、記憶装置406等のコンピュータ読み取り可能媒体を含むコンピュータプログラムプロダクトとして実現してよく、この媒体上に命令が記憶され、プロセッサ403等のプロセッサによってアクセスされ実行される。プロセッサ403によって実行される時、これらの命令は、様々な処理ステップを実行するためにプロセッサ403に命令する。
【0025】
図1は、本発明の実施形態における側面を可能にするように構成された上述したようなシステム構成要素間の関係を表す機能ブロック図である。
参照モニタ25は、ノードA上で動作するが、ノードAは、ワークステーション、サーバ、又はネットワーク上の他のコンピュータであってよい。参照モニタ25は、ソフトウェア・アプリケーションであり、これは、ノードA上において、同期、非同期、又は双方の状態で動作し、連続的なモニタリング能力を提供し得る。参照モニタ25は、UNIX、LINUX、WindowsNT等、任意の市販オペレーティングシステムを走らせるノード上で動作するように構成し得る。参照モニタ25は、局所的なノード動作及び/又はネットワークが発する要求―これによってオペレーティングシステム及び/又はユーザアプリケーションは、ノード上のシステム資源にアクセスしようとする―を検出し阻止する役割を果たす。幾つかの実施形態において、システムイベントをモニタするために、参照モニタ25は、インターセプタ26を含むが、インターセプタ26は、これらのイベントが行き来する制御経路や通信経路に挿入される。例えば、特定のモニタされたイベントが、ネットワークアクセス要求である場合、インターセプタ26は、そのネットワークアクセス要求が、オペレーティングシステムの1つの部分から他の部分に通信される地点でオペレーティングシステムに挿入し得る。インターセプタ26は、阻止された各イベントに対してイベントメッセージを生成し得る。そして、イベントメッセージは、参照モニタ25に伝えられ、参照モニタ25は、インターセプタ26にポリシメッセージを返送し得る。ポリシメッセージは、インターセプタ26が取るアクションであってよく、例えば、アクセス要求イベントが、制御経路又は通信経路を進んで意図した効果を及ぼし得るアクションでってよく、又は、イベントが経路を通過させないようにするアクションであってよい。参照モニタ25は、代わりに又は更に、システム資源に対する予想された要求が無いことを有害なアクティビティとして解釈し得る。これらの実施形態において、参照モニタ25は、イベントメッセージ、ある種のイベントメッセージ、又はある時間フレーム内に受信されるイベントメッセージが全体的に無いことを、例えば、イベントをその意図された経路に沿って進ませる又は進ませない命令等のポリシメッセージをインターセプタ26に返す要因として解釈し得る。
【0026】
また、イベント・エージェント45は、ノードA上で動作し、この実施形態においては、ノードAのバックグラウンドで連続的に動作するソフトウェア・アプリケーションである。イベント・エージェント45は、参照モニタ25と共に動作し、また、参照モニタ25に組み込まれた場合、参照モニタ25とイベント処理サーバ100との間の通信を調整する。イベント・エージェント45は、UNIX、LINUX、WindowsNT等、任意の市販されているオペレーティングシステムを走らせるノード上で動作するように構成し得る。イベント・エージェント45は、参照モニタ25と同じ物理的マシン上で、又は、マシンがネットワーク化されている場合、異なる物理的マシン(図示せず)上で動作し得る。イベント・エージェント45及び参照モニタ25は、異なる物理的マシン上で動作する場合、好適には、HTTPS等、メッセージの完全性及び認証をサポートする任意のセキュア・ネットワークプロトコルを介して通信を行なう。セキュア・ネットワークプロトコルが望ましいのは、イベント・エージェント45及び参照モニタ25が、受信された通信の発信源及びコンテンツを実証できるためである。
【0027】
この実施形態において、イベント処理サーバ100は、1つ以上のイベント・エージェント45と通信を行なうソフトウェア・アプリケーションであり、又、イベント・エージェント45と同じサブネットワーク内に常駐するワークステーション又はサーバ上で、又は、ルータ、ゲートウェイ、若しくは他の構成要素を介して接続された他のサブネットワーク上で動作し得る。イベント・エージェント45とイベント処理サーバ100との間のデータトランスポートは、HTTPS及び/又は他のもの等のセキュア通信プロトコルを介して実現し得る。例示した実施形態において、イベント処理サーバ100は、統合ソフトウェア・コンポーネント・送受信機115、ローダ125、命令エンジン135、相関エンジン145、及び電子ファイル記憶装置155から構成されている。送受信機115は、イベント・エージェント45からイベント通知を受信し、又、その処理の準備を行なう。データは、ローダ125に送られ、ローダ125は、それを電子ファイル記憶装置155にロードするための準備を行なう。好適な実施形態において、電子ファイル記憶装置155は、迅速にアクセス可能な形態でイベント・エージェント45の状態表示を常に更新するように編成されたデータベースである。命令エンジン135及び相関エンジン145は、電子ファイル記憶装置155のデータを処理する。命令エンジン135は、ノードから受信された個々の通知が、ポリシ更新を保証するかどうかを判断する。例えば、通知が、(バッファオーバラン攻撃等の)能動的攻撃又は受動的攻撃を示すかどうかを判断する。また、ノードを隔離したり、参照モニタ25が動作するあらゆるマシン上で実行してはならないオペレーティングシステムを規定したり、あるいは、オペレーティングシステム、ネットワーク、若しくはファイアウォールパラメータを調整したり等、取るべき手順を決定する。命令エンジン135は、送受信機115に送出される命令を送り、そして、送受信機115は、それらの命令をイベント・エージェント45に送信する。相関エンジン145は、イベント通知が、組み合わせて考慮された場合、ポリシ更新を保証するかどうかを判断する。1つ以上のネットワーク全体の様々なイベント・エージェントによって報告されたアクティビティを連続的に追跡し分析することによって、イベント処理サーバ100は、分散されたシステム全体において関係ないと思われるイベントを互いに関連付け、潜在的な攻撃を認識することが可能である。攻撃は、特定のファイルへの書き込みと共に特定の資源へのアクセスの試み等、イベントの組み合わせによって規定し得る。また、アクセスされた時間とマシン資源との間の他の関係も、攻撃を表し得る。
【0028】
参照モニタ25、イベント・エージェント45、及びイベント処理サーバ100は、様々な方法で対話して、詳細に後述するように、個々のノードの局所的保護、1つ以上のノードの遠隔適応保護、及び1つ以上のノードに対する相互関係保護を行ない得る。
【0029】
個々のノードの局所的保護は、参照モニタ25によって行なわれる。図1に示した実施形態において、命令が、ネットワーク5からアプリケーション15に到着するが、アプリケーション15は、eメール、ブラウザ、端末サーバ、又はノードA上で走る他のソフトウェア・アプリケーションであってよい。10で受信されるこのネットワークベースの命令は、20においてアプリケーション15にシステム資源35に対して対応する要求を発信させ(即ち、ディスク又はCPUへのアクセス)、この要求は、参照モニタ25によって検出され経路設定される。この要求が、本実施形態において、参照モニタ内、又はハードディスク35上のデータベースに符号化命令として記憶された予めプログラムされた管理ポリシに違反しない場合、参照モニタは、30において、アプリケーション15にシステム資源35へアクセスさせる。この要求がこれらのポリシに違反する場合、参照モニタ25は、30において、アプリケーション15がシステム資源へアクセスすることを阻止し得る。
【0030】
参照モニタ25は、イベント・エージェント45及びイベント処理サーバ100と共に動作して、局所的保護に加えて又はその代わりに、遠隔適応保護を行ない得る。また、図1に示すように、参照モニタ25は、10で到着する命令に関する基本的な分析を行ない、又、現管理ポリシによって規定したその性質に関してイベント・エージェント45と40で通信を行ない得る。次に、イベント・エージェント45は、アクティビティの性質に関して、(同じ通知の転送を行なう)50と110とでネットワーク5を介して、イベント処理サーバ100に通知を送信する。イベント処理サーバ100は、ネットワーク5から110で通知を受信する。送受信機115は、イベント・エージェント45から110で通知を受信し、又、その処理の準備を行なう。このデータは、次に、ローダ125に120で送られ、ローダ125は、そのローディングを準備し、130で電子ファイル記憶装置155へのデータロードを開始する。一旦ロードされると、命令エンジン135及び相関エンジン145は、それぞれ140及び150で電子ファイル記憶装置155のデータを処理する。命令エンジン135は、管理ポリシに対する更新が保証されているかどうかを判断する。また、ノードAを隔離したり、ノードA上で実行してはならないシステム動作を規定したり、ノードAのオペレーティングシステムを調整したり、あるいは、ネットワーク若しくはファイアウォールパラメータを修正したり等、他の取るべき手順を決定する。管理ポリシに対する更新は、参照モニタ25によって報告されるが、システム資源へのアクセスに対する単一要求に応じて、又は、システム資源へのアクセスに対する複数の要求の組み合わせに応じて発信し得る。命令エンジン135は、送受信機115に対して160でノードAに関するポリシを更新するために命令を発信し、送受信機115は、ネットワーク5を介して、イベント・エージェント45に180及び190で命令を送信する。
【0031】
ある実施形態において、阻止された動作に関するイベント処理サーバ100のソフトウェアへの通知に加えて、イベント・エージェント45アプリケーションは、予めプログラムされた頻度で、管理ポリシ更新のために定期的にイベント処理サーバ100にポーリングを行なう。イベント・エージェント45ソフトウェアがイベント処理サーバ100にポーリングすることは、望ましく、反対の場合は、少なくとも1つの理由で、望ましくない。特に、イベント・エージェント45が動作するノードは、通常、イベント処理サーバ100のアドレスを認識しており、特にノードが移動式ラップトップである場合、反対は起こり得ない。しかしながら、幾つかの場合、充分に厳重なセキュリティ対策でイベント処理サーバ100を保護する場合、イベント・エージェント45に対して、ポーリング又は一斉送信して、管理ポリシ更新を知らせるようにプログラムすると安全である。
【0032】
遠隔適応保護の第2の実施形態を図2に示すが、この図は、イベント処理サーバ100が、単一ノードへの攻撃を診断し、そして、他のノードへの後続の攻撃を防止するために動作する状態を示す。10Aにおいて、要求、メッセージ、又は他のコンテンツであり得るデータは、ノードA上で走るアプリケーション15Aに到着する。アプリケーション15Aは、例えば、eメールアプリケーション、又はこの若しくは他のネットワークにおける他のノードからデータ若しくは要求を受信するようになっている他のアプリケーションであってよい。前述したように、アプリケーション15Aがシステム資源35Aに20Aでアクセスを試みる時、この試みは、参照モニタ25Aによって阻止される。参照モニタ25Aは、予めプログラムされたポリシ(この場合、30Aで資源アクセスを許可する)に基づき、資源にアクセスする試みが受け入れ可能かどうか判断し、40Aでイベント・エージェント45Aにこの試みについて通知する。イベント・エージェント45Aは、イベント処理サーバ100に50Aで通知を送信する。
【0033】
イベント処理サーバ100は、この通知を処理し、130でデータをロードした後、(例えば、ネットワークから到着するデータが、参照モニタ25Aによって以前認識されていないウイルスであったことを決定することによって)ノードA上の資源にアクセスする試みを許可すべきではなかったと判断する。190Bにおいて、システム資源35Bへのアクセスを制限するために、イベント・エージェント45Bに命令を送信して、管理ポリシを更新する。システム資源35A、35Bは、複数の構成要素を含み、各構成要素は、別々にアクセスし得る。例えば、eメールウイルスが、システム資源35Aに含まれる10個の構成要素へのアクセスを順次試みた場合、イベント・エージェント45Bは、これら10個の一部構成要素へのアクセス、10個の全構成要素へのアクセス、又はシステム資源35B内のこれらの及び他の構成要素へのアクセスを制限することを試みてよい。イベント・エージェント45A、45Bは、参照モニタ25Aと共に動作して、アクセスされた構成要素を判断する。参照モニタ25Aがステイトフル参照モニタである場合、参照モニタ25Aは、アクセスされた構成要素を認識するが、これは、参照モニタ25Aが状態を維持するためである。
【0034】
イベント・エージェント45Bは、41Bで命令を参照モニタ25Bに送信し、参照モニタ25Bは、これらの命令を取り入れるために、その管理ポリシを更新する。アプリケーション16Bは、アプリケーション15Aと同じアプリケーションでなくてもよいが、データがネットワークからアプリケーション16Bに10Bで到着する時、システム資源にアクセスしようとする同様の試みが、20Bで開始される。その管理ポリシを更新した参照モニタ25Bは、この試み(図2において‘X’で示す)を拒否する。このように、イベント処理サーバ100は、悪質な可能性のある命令又は要求を識別し、また、好適にはリアルタイムに、管理ポリシの更新によってそれらの実行を防止することによって、被害を及ぼす恐れのあるアクティビティがネットワーク上の2つ以上のノードに影響を及ぼさないようにする。
【0035】
相互関係保護の例を、図3に示すが、この図は、複数のノードから受信された通知を処理して攻撃が進行中であることを判断し、また、他のノードにおいて後続の同様なアクティビティを防止することを示す。前述の実施形態のように、10A及び10Bにおいて、要求、メッセージ、又は他のコンテンツであり得るデータが、それぞれノードA及びB上で走るアプリケーション15A及び16Bに到着する。アプリケーション15A及び16Bは、例えば、eメールアプリケーション、又はこの若しくは他のネットワークにおける他のノードからデータ又は要求を受信するようになっている他のアプリケーションであってよいが、アプリケーション15A及び16Bは、同じアプリケーションでなくてもよい。前述したように、アプリケーション15A及び16Bが、それぞれ20A及び20Bで、システム資源35A及び35Bへのアクセスを試みる時、これらの試みは、それぞれの参照モニタ25A及び25Bによって阻止される。参照モニタは、予めプログラムされたポリシに基づき、資源にアクセスしようとする試みが、受け入れ可能か検証し、30A及び30Bでアクセスを許可する。また、参照モニタ25A及び25Bは、このアクティビティに関して、それぞれ40A及び40Bで、イベント・エージェント45A及び45Bにも通知する。イベント・エージェント45A及び45Bは、このアクティビティの通知をイベント処理サーバ100に送信し、イベント処理サーバ100は、それを電子ファイル記憶装置155にロードして処理する。
【0036】
イベント処理サーバ100は、この実施形態において、図1に示したように相関エンジン145構成要素を含み、電子ファイル記憶装置155のデータを処理して、モニタされたアクティビティを予めプログラムされた組み合わせ及び時間フレームと比較することによって、ノードA及びB上のアクションが、有害な可能性のあるアクティビティを表すことを判断する。ノードD及びE上で走るイベント・エージェント45D及び45Eは、これらの通知を受信し、それぞれの参照モニタ25D及び25Eに命令を送信して、それぞれ41D及び41Eで管理ポリシを更新する。幾つかの実施形態において、イベント・エージェント45A及び45Bは、これらの通知も受信し、参照モニタ25A及び25Bに命令を送信して、それぞれ40A及び40Bで管理ポリシを更新する。他の選択可能な実施形態において、命令は、あるノードに特有の管理ポリシ変更、特定のノードの隔離、ネットワーク若しくはファイアウォールパラメータの調整、又は、他の命令を含み得る。例示した実施形態において、参照モニタ25D及び25Eは、更新された管理ポリシを組み込むことで、後続のネットワーク要求が、それぞれ10D及び10Eでアプリケーション17D及び18Eに到着する時、システム資源35D及び35Eに対する要求が、拒否される(図3において‘X’で示す)。
このように、イベント処理サーバ100は、組み合わせて考慮した場合、複数のワークステーションに生じるアクティビティが、悪質な又は有害な可能性のあるイベントを表すことを見分け、また、命令を送信して、リアルタイムに、そのアクティビティがネットワーク上の1つ又は複数の他のノードに影響を及ぼさないようにする。
【0037】
ある実施形態において、イベント処理サーバ100は、イベント・エージェント45によってポーリングされると、ポリシ更新又はネットワークパラメータ修正等の命令も伝える。しかしながら、ある実施形態及び/又は緊急事態において、イベント処理サーバ100は、1つ以上のイベント・エージェント45に自発的な命令を送信して管理ポリシを更新し得る。
【0038】
ある実施形態において、イベント処理サーバ100は、予めプログラムされたセキュリティ対策を利用可能にする適切なイベント・エージェント45に通知を送信するが、他の実施形態において、イベント処理サーバ100は、命令を発信して、イベント・エージェント45によって観察されたアクティビティの分析に基づき、新しい対策を課す。セキュリティ対策更新は、観察された攻撃をできるだけ早く阻止するために、或る数のイベント・エージェント45に命令を発信することによって、リアルタイムに実行することが好ましい。
【0039】
ある実施形態において、イベント・エージェント(群)45は、参照モニタ(群)25によって検出されたアクティビティに関してイベント処理サーバ100に通知することに加えて、他のエンティティにも通知し得る。1つの例において、イベント・エージェント(群)45は、ポケットベル、eメール、SNMPトラップ、任意の他のサーバ若しくはコンソールへのメッセージ、SMSメッセージ、又は他の通信方法によって、このアクティビティに関して、ネットワーク管理者に通知し得る。他の例において、イベント・エージェント(群)45は、検出されたアクティビティのネットワーク上に常駐するソフトウェア・アプリケーション又は他のプログラムされた構成要素に通知し得る。例えば、イベント・エージェント45は、ファイアウォールの構成を更新できるように、ファイアウォールアプリケーションに通知し得る。また、イベント処理サーバ100は、結果的に生じる命令をイベント・エージェント45に発信する前又は後、これらの又は他の通信方法を用いて、これらのエンティティに通知し得る。
【0040】
本発明の実施形態は、あるイベント処理サーバが他のイベント処理サーバと通信を行なって、ネットワーク上の大きな集団のノードを保護するように構成し得る。図6に示したように、ノードA、Bは、サーバCと通信状態10、20にあり、状態変化を認識するとサーバCに通知し、ノードD、Eは、サーバFと通信状態30,40にあり、状態変化を認識するとサーバFに通知する。サーバC、Fは、サーバGと通信状態60,70にある。サーバGは、更に他のサーバ(図示せず)と通信状態にあってもなくてもよい。本発明の1つの実施形態によれば、サーバC又はFは、サーバC又はFと通信状態にあるノードによって状態変化に関する通知がなされると、状態変化及び/又は結果として生じる管理ポリシの修正をサーバGに対して伝え、こうして、命令及び/又は更新が他のサーバ及び/又は他のノードに伝わる。
【0041】
様々な実施形態には、所定の位置に様々な通信構成がある。例えば、サーバGと排他的な通信状態60,70にあるサーバC及びFから構成される“階層的な”通信構造は、互いに通信状態50にあるサーバC及びFから構成される“平面”構造によって置き換え又は補足し得るため、通知は、サーバGを通って移動してネットワーク上の他のサーバに行き着く必要はない。様々な実施形態が、階層構造、平面構造、又は双方の組み合わせを用い得る。
【0042】
本発明について、具体的な実施形態を参照して詳細に図示し記述し、その変形例を示したが、形態及び詳細の様々な新たな変更を、以下の請求項によって定義される本発明の精神と範囲から逸脱することなく、成し得ることを、当業者は理解されたい。
【図面の簡単な説明】
【0043】
【図1】本発明の少なくとも1つの実施形態の側面を示すシステム構成要素の相互関係を表す機能ブロック図。
【図2】本発明の少なくとも1つの他の実施形態における側面を示すシステム構成要素の相互関係を表す機能ブロック図。
【図3A】本発明の少なくとも第3の実施形態の側面を示すシステム構成要素の相互関係を表す機能ブロック図。
【図3B】本発明の少なくとも第3の実施形態の側面を示すシステム構成要素の相互関係を表す機能ブロック図。
【図4】本発明の実施形態の側面を実現し得る例示のコンピュータシステムのブロック図。
【図5】本発明の実施形態の側面を実現し得る例示のコンピュータシステム構成要素を表すブロック図。
【図6】本発明の少なくとも第4の実施携帯の側面を示すシステム構成要素の相互関係を表すブロック図。

Claims (49)

  1. 第1及び第2ノード並びにイベント処理サーバを含むネットワーク化されたコンピュータシステムを保全する方法であって、
    前記第1及び第2ノードが各々対応するノードのアプリケーションに起因するシステム資源の状態変化を検出する段階と、
    前記イベント処理サーバが、前記第1及び第2ノードから前記状態変化に関する通知を受信する段階と、
    前記イベント処理サーバが、前記第1及び第2ノードにおいて検出された状態変化を関連付ける段階と、
    前記イベント処理サーバが、前記関連付けられた状態変化に基づいて前記第1及び第2ノードに影響を及ぼす保全決定を実行する段階と、を含み、
    前記検出する段階、伝送する段階、関連付ける段階、実行する段階は、人が介在すること無く起こる方法。
  2. 請求項1に記載の方法であって、前記状態変化は、イベント及びイベント欠如の内の少なくとも1つの結果である方法。
  3. 請求項1に記載の方法であって、前記状態変化は、参照モニタによって認識される方法。
  4. 請求項3に記載の方法であって、前記モニタは、ステイトフル参照モニタである方法。
  5. 請求項1に記載の方法であって、
    前記イベント処理サーバが報告を受信することは、前記第1及び第2ノードが前記イベント処理サーバに報告することと、前記イベント処理サーバが前記第1及び第2ノードにポーリングすること、の内の1つの結果である方法。
  6. 請求項1に記載の方法であって、更に、
    前記イベント処理サーバが、前記保全決定の基準である前記ネットワーク上の動作ポリシを更新する段階が含まれる方法。
  7. 請求項6に記載の方法であって、
    前記動作ポリシを更新する段階には、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つが含まれる方法。
  8. 請求項6に記載の方法であって、更に、少なくとも1つのノードが、更新された動作ポリシを実施する段階が含まれる方法。
  9. 請求項1に記載の方法であって、更に、取られるアクションについて、外部エンティティに通知する段階が含まれる方法。
  10. 請求項9に記載の方法であって、前記外部エンティティは、ネットワーク管理者である方法。
  11. 請求項9に記載の方法であって、前記外部エンティティは、前記ネットワーク上で動作するソフトウェア・アプリケーションである方法。
  12. ネットワーク化されたコンピュータシステムを保全するための方法であって、
    少なくとも1つのノードが、前記ノードのアプリケーションに起因するシステム資源の状態変化を検出する段階と、
    前記ネットワーク上のイベント処理サーバが、前記少なくとも1つのノードから少なくとも1つの状態変化に関する通知を受信する段階と、
    前記イベント処理サーバが、前記少なくとも1つの状態変化に関する通知に基づく保全決定を実行すると共に前記通知に応答する段階と、が含まれ、
    前記検出する段階と、受信する段階と、応答する段階と、は、人が介在すること無く起こる方法。
  13. 請求項12に記載の方法であって、前記状態変化は、イベント及びイベント欠如の内の少なくとも1つの結果である方法。
  14. 請求項12に記載の方法であって、前記状態変化は、参照モニタによって認識される方法。
  15. 請求項14に記載の方法であって、前記参照モニタは、ステイトフル参照モニタである方法。
  16. 請求項12に記載の方法であって、
    前記イベント処理サーバが報告を受信することは、前記ノードが前記イベント処理サーバに報告することと、前記イベント処理サーバが前記ノードにポーリングすること、の内の1つの結果である方法。
  17. 請求項12に記載の方法であって、前記保全決定は、前記状態変化を検出する前記少なくとも1つのノードに影響を及ぼす方法。
  18. 請求項12に記載の方法であって、前記保全決定は、前記状態変化を検出する前記ノード以外に少なくとも1つのノードに影響を及ぼす方法。
  19. 請求項12に記載の方法であって、更に、イベント処理サーバが、前記ネットワークにおける動作ポリシを更新する段階が含まれる方法。
  20. 請求項19に記載の方法であって、
    前記動作ポリシを更新する段階には、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つが含まれる方法。
  21. 請求項19に記載の方法であって、更に、少なくとも1つのノードが、前記更新された動作ポリシを実施する段階が含まれる方法。
  22. 請求項12に記載の方法であって、更に、取られるアクションについて、外部エンティティに通知する段階が含まれる方法。
  23. 請求項22に記載の方法であって、前記外部エンティティは、ネットワーク管理者である方法。
  24. 請求項22に記載の方法であって、前記外部エンティティは、前記ネットワーク上で動作するソフトウェア・アプリケーションである方法。
  25. ネットワーク化されたコンピュータシステム上のノードを保全するための方法であって、
    少なくとも1つのノードが、前記ノードのアプリケーションに起因するシステム資源の状態変化を検出する段階と、
    前記少なくとも1つのノードが、前記状態変化に反応して前記少なくとも1つのノードの資源へのアクセスを阻止する段階と、を含み、
    前記少なくとも1つのノードが検出し且つ反応して阻止する段階は、人が介在すること無く起こる方法。
  26. 請求項25に記載の方法であって、前記状態変化は、イベント及びイベント欠如の内の少なくとも1つの結果である方法。
  27. 請求項25に記載の方法であって、前記状態変化は、参照モニタによって認識される方法。
  28. 請求項27に記載の方法であって、前記参照モニタは、ステイトフル参照モニタである方法。
  29. 請求項25に記載の方法であって、更に、前記少なくとも1つのノードが、前記ネットワーク上のイベント処理サーバに通知する方法。
  30. 請求項25に記載の方法であって、更に、前記イベント処理サーバが、前記ネットワークにおいて動作ポリシを更新することによって前記少なくとも1つのノードが阻止することへの反応に応答する段階が含まれる方法。
  31. 請求項30に記載の方法であって、
    前記動作ポリシを更新する段階には、少なくとも1つのノードにおいてセキュリティポリシの変更を要求する段階と、少なくとも1つのノードにおいてシステム資源にアクセスする権利の変更を要求する段階と、少なくとも1つのノードにおいてシステムパラメータを調整する段階と、ネットワークファイアウォールパラメータを修正する段階と、の内少なくとも1つが含まれる方法。
  32. 請求項30に記載の方法であって、更に、少なくとも1つのノードが、前記更新された動作ポリシを実施する段階が含まれる方法。
  33. 請求項25に記載の方法であって、更に、取られるアクションについて、外部エンティティに通知する段階が含まれる方法。
  34. 請求項33に記載の方法であって、前記外部エンティティは、ネットワーク管理者である方法。
  35. 請求項33に記載の方法であって、前記外部エンティティは、前記ネットワーク上で動作するソフトウェア・アプリケーションである方法。
  36. 命令が記録されたコンピュータ読み取り可能媒体であって、命令が、実行された時、ネットワーク化されたコンピュータシステムにおいて少なくとも1つのプロセッサに、
    アプリケーションに起因するシステム資源の状態変化を検出させ、
    前記検出された状態変化に反応する段階を規定する命令を処理させる、コンピュータ読み取り可能媒体。
  37. 請求項36に記載のコンピュータ読み取り可能媒体であって、更に、イベント処理サーバに前記状態変化を通信する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  38. 請求項37に記載のコンピュータ読み取り可能媒体であって、更に、前記イベント処理サーバから受信された保全命令を処理する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  39. 請求項36に記載のコンピュータ読み取り可能媒体であって、更に、取られるアクションに関してネットワーク管理者に通知を送信する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  40. 命令が記録されたコンピュータ読み取り可能媒体であって、前記命令が、実行された時、ネットワーク化されたコンピュータシステムにおいて少なくとも1つのプロセッサに、
    前記ネットワーク用の動作ポリシを維持させ、
    少なくとも1つのノードから前記ノードのアプリケーションに起因するシステム資源の状態変化に関する通知を受信させ、
    前記状態変化に基づき、前記動作ポリシを更新させる、コンピュータ読み取り可能媒体。
  41. 請求項40に記載のコンピュータ読み取り可能媒体であって、更に、状態変化に関する受信された通知をメモリに記憶する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  42. 請求項41に記載のコンピュータ読み取り可能媒体であって、更に、複数のノードから受信された通知を関連付ける段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  43. 請求項41に記載のコンピュータ読み取り可能媒体であって、更に、受信された通知を電子ファイル記憶装置に記憶する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  44. 請求項40に記載のコンピュータ読み取り可能媒体であって、更に、取られるアクションに関して外部エンティティに通知する段階を規定する命令が含まれるコンピュータ読み取り可能媒体。
  45. 請求項44に記載のコンピュータ読み取り可能媒体であって、前記外部エンティティは、ネットワーク管理者であるコンピュータ読み取り可能媒体。
  46. 請求項44に記載のコンピュータ読み取り可能媒体であって、前記外部エンティティは、ネットワーク上で動作するソフトウェア・アプリケーションであるコンピュータ読み取り可能媒体。
  47. ネットワーク化されたコンピュータシステムを保全するための方法であって、
    少なくとも1つのノードが、アプリケーションに起因するシステム資源の状態変化を検出する段階と、
    前記ネットワーク上のイベント処理サーバが、前記少なくとも1つのノードから、前記少なくとも1つの状態変化に関する通知を受信する段階と、
    前記イベント処理サーバが、前記状態変化に基づく保全決定を実施て前記通知に応答する段階と、が含まれる方法。
  48. 請求項47に記載の方法であって、更に、
    前記イベント処理サーバが、前記ネットワーク化されたコンピュータシステム上の少なくとも1つのノードに対する前記保全決定を人間が介在すること無く実行する段階が含まれる方法。
  49. 請求項48に記載の方法であって、
    人間のオペレータには、前記保全決定が人間の介在無しに実行される前に、それを実行するように、所定の期間、入力待ちの状態が割り当てられる方法。
JP2003506143A 2001-06-14 2002-06-14 ステイトフル分散型イベント処理及び適応保全 Expired - Fee Related JP4373779B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US29859201P 2001-06-14 2001-06-14
PCT/US2002/018758 WO2002103960A2 (en) 2001-06-14 2002-06-14 Stateful distributed event processing and adaptive security

Publications (3)

Publication Number Publication Date
JP2005513591A JP2005513591A (ja) 2005-05-12
JP2005513591A5 JP2005513591A5 (ja) 2005-12-22
JP4373779B2 true JP4373779B2 (ja) 2009-11-25

Family

ID=23151180

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003506143A Expired - Fee Related JP4373779B2 (ja) 2001-06-14 2002-06-14 ステイトフル分散型イベント処理及び適応保全

Country Status (4)

Country Link
US (1) US7594267B2 (ja)
EP (1) EP1400061B1 (ja)
JP (1) JP4373779B2 (ja)
WO (1) WO2002103960A2 (ja)

Families Citing this family (88)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA2400566A1 (en) 2000-02-16 2001-08-23 Bea Systems, Inc. Workflow integration system for enterprise wide electronic collaboration
WO2002019077A2 (en) * 2000-09-01 2002-03-07 Sri International, Inc. Probabilistic alert correlation
US7290266B2 (en) 2001-06-14 2007-10-30 Cisco Technology, Inc. Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy
US7552222B2 (en) 2001-10-18 2009-06-23 Bea Systems, Inc. Single system user identity
US7831655B2 (en) * 2001-10-18 2010-11-09 Bea Systems, Inc. System and method for implementing a service adapter
US7516447B2 (en) 2002-02-22 2009-04-07 Bea Systems, Inc. Methods and apparatus for building, customizing and using software abstractions of external entities
US8135772B2 (en) 2002-05-01 2012-03-13 Oracle International Corporation Single servlets for B2B message routing
US7526519B2 (en) 2002-05-01 2009-04-28 Bea Systems, Inc. High availability application view deployment
US7155438B2 (en) * 2002-05-01 2006-12-26 Bea Systems, Inc. High availability for event forwarding
US7257645B2 (en) * 2002-05-01 2007-08-14 Bea Systems, Inc. System and method for storing large messages
US7519976B2 (en) * 2002-05-01 2009-04-14 Bea Systems, Inc. Collaborative business plug-in framework
US7493628B2 (en) * 2002-05-02 2009-02-17 Bea Systems, Inc. Shared common connection factory
US7222148B2 (en) 2002-05-02 2007-05-22 Bea Systems, Inc. System and method for providing highly available processing of asynchronous service requests
US7350184B2 (en) 2002-05-02 2008-03-25 Bea Systems, Inc. System and method for enterprise application interactions
US7484224B2 (en) 2002-05-02 2009-01-27 Bae Systems, Inc. Adapter deployment without recycle
US7676538B2 (en) * 2002-05-02 2010-03-09 Bea Systems, Inc. Systems and methods for application view transactions
US7627631B2 (en) 2002-05-02 2009-12-01 Bea Systems, Inc. Systems and methods for collaborative business plug-ins
US7165249B2 (en) * 2002-05-02 2007-01-16 Bea Systems, Inc. Systems and methods for modular component deployment
US6988099B2 (en) 2002-06-27 2006-01-17 Bea Systems, Inc. Systems and methods for maintaining transactional persistence
US7747730B1 (en) * 2002-06-28 2010-06-29 Netfuel, Inc. Managing computer network resources
US6931530B2 (en) 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US7143288B2 (en) 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US20050022164A1 (en) * 2003-02-25 2005-01-27 Bea Systems, Inc. Systems and methods utilizing a workflow definition language
US7293038B2 (en) * 2003-02-25 2007-11-06 Bea Systems, Inc. Systems and methods for client-side filtering of subscribed messages
US7774697B2 (en) * 2003-02-25 2010-08-10 Bea Systems, Inc. System and method for structuring distributed applications
US7584474B2 (en) * 2003-02-25 2009-09-01 Bea Systems, Inc. Systems and methods for transaction chaining
US7752599B2 (en) * 2003-02-25 2010-07-06 Bea Systems Inc. Systems and methods extending an existing programming language with constructs
US7076772B2 (en) 2003-02-26 2006-07-11 Bea Systems, Inc. System and method for multi-language extensible compiler framework
US7707564B2 (en) * 2003-02-26 2010-04-27 Bea Systems, Inc. Systems and methods for creating network-based software services using source code annotations
US7299454B2 (en) 2003-02-26 2007-11-20 Bea Systems, Inc. Method for multi-language debugging
US8032860B2 (en) 2003-02-26 2011-10-04 Oracle International Corporation Methods for type-independent source code editing
US7650276B2 (en) * 2003-02-26 2010-01-19 Bea Systems, Inc. System and method for dynamic data binding in distributed applications
US7539985B2 (en) 2003-02-26 2009-05-26 Bea Systems, Inc. Systems and methods for dynamic component versioning
US7444620B2 (en) 2003-02-28 2008-10-28 Bea Systems, Inc. Systems and methods for a common runtime container framework
US20040226030A1 (en) * 2003-02-28 2004-11-11 Kyle Marvin Systems and methods for an extensible software proxy
US7636722B2 (en) 2003-02-28 2009-12-22 Bea Systems, Inc. System and method for describing application extensions in XML
US20050044173A1 (en) * 2003-02-28 2005-02-24 Olander Daryl B. System and method for implementing business processes in a portal
US7650592B2 (en) * 2003-03-01 2010-01-19 Bea Systems, Inc. Systems and methods for multi-view debugging environment
WO2004093384A1 (en) * 2003-04-04 2004-10-28 Computer Associates Think, Inc. Method and system for discovery of remote agents
US8024795B2 (en) * 2003-05-09 2011-09-20 Q1 Labs, Inc. Network intelligence system
US7328451B2 (en) * 2003-06-30 2008-02-05 At&T Delaware Intellectual Property, Inc. Network firewall policy configuration facilitation
US7716473B1 (en) * 2004-04-09 2010-05-11 Cisco Technology, Inc. Methods and apparatus providing a reference monitor simulator
US20060136986A1 (en) * 2004-12-17 2006-06-22 Doolittle Robert W Enterprise security monitoring system and method
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
US8325905B2 (en) * 2005-07-29 2012-12-04 Verizon Patent And Licensing Inc. Routing calls in a network
CN102904749B (zh) * 2005-10-05 2015-12-09 拜尔斯安全公司 采用安全设备保护网络装置的方法、安全设备和数据网络
US7882560B2 (en) * 2005-12-16 2011-02-01 Cisco Technology, Inc. Methods and apparatus providing computer and network security utilizing probabilistic policy reposturing
TW200729053A (en) * 2006-01-20 2007-08-01 Hon Hai Prec Ind Co Ltd System and method for sending and auditing mails
AU2006100099A4 (en) * 2006-02-08 2006-03-16 Pc Tools Technology Pty Limited Automated Threat Analysis System
US20070191969A1 (en) * 2006-02-13 2007-08-16 Jianying Shi Automated state change notification
US7971251B2 (en) * 2006-03-17 2011-06-28 Airdefense, Inc. Systems and methods for wireless security using distributed collaboration of wireless clients
US8554536B2 (en) * 2006-05-24 2013-10-08 Verizon Patent And Licensing Inc. Information operations support system, method, and computer program product
JP5159071B2 (ja) * 2006-09-01 2013-03-06 キヤノン株式会社 通信システム及び通信装置とその制御方法
US8955122B2 (en) * 2007-04-04 2015-02-10 Sri International Method and apparatus for detecting malware infection
CN101674293B (zh) * 2008-09-11 2013-04-03 阿里巴巴集团控股有限公司 一种分布式应用中处理非正常请求的方法及系统
JP5405986B2 (ja) * 2008-11-26 2014-02-05 パナソニック株式会社 ソフトウェア更新システム、管理装置、記録媒体及び集積回路
CN102224509B (zh) * 2008-11-26 2014-07-30 松下电器产业株式会社 监视系统、程序执行装置、监视程序、记录介质及集成电路
US9588806B2 (en) * 2008-12-12 2017-03-07 Sap Se Cluster-based business process management through eager displacement and on-demand recovery
WO2011119137A1 (en) 2010-03-22 2011-09-29 Lrdc Systems, Llc A method of identifying and protecting the integrity of a set of source data
US10210162B1 (en) 2010-03-29 2019-02-19 Carbonite, Inc. Log file management
WO2012006076A1 (en) 2010-06-28 2012-01-12 Dresser, Inc. Multimode retail system
EP2663954B1 (en) * 2011-01-10 2019-05-01 International Business Machines Corporation System and method for extending cloud services into the customer premise
WO2012124270A1 (ja) * 2011-03-15 2012-09-20 パナソニック株式会社 改ざん監視システム、管理装置、保護制御モジュール及び検知モジュール
US9571508B2 (en) * 2011-07-29 2017-02-14 Hewlett Packard Enterprise Development Lp Systems and methods for distributed rule-based correlation of events
US9703950B2 (en) * 2012-03-30 2017-07-11 Irdeto B.V. Method and system for preventing and detecting security threats
US9323589B2 (en) 2012-05-15 2016-04-26 Oracle International Corporation Self registration of event—consumers/producers and auto discovery
US9715325B1 (en) 2012-06-21 2017-07-25 Open Text Corporation Activity stream based interaction
US9547533B2 (en) 2012-10-15 2017-01-17 Optum Soft, Inc. Efficient reliable distributed flow-controlled event propagation
US10075470B2 (en) * 2013-04-19 2018-09-11 Nicira, Inc. Framework for coordination between endpoint security and network security services
US10223530B2 (en) * 2013-11-13 2019-03-05 Proofpoint, Inc. System and method of protecting client computers
US8989053B1 (en) 2013-11-29 2015-03-24 Fedex Corporate Services, Inc. Association management in a wireless node network
US9282100B2 (en) * 2013-12-02 2016-03-08 Cisco Technology, Inc. Privilege separation
US10185465B1 (en) * 2014-03-19 2019-01-22 Symantec Corporation Techniques for presenting information on a graphical user interface
US10453023B2 (en) 2014-05-28 2019-10-22 Fedex Corporate Services, Inc. Methods and node apparatus for adaptive node communication within a wireless node network
US10686759B2 (en) 2014-06-22 2020-06-16 Webroot, Inc. Network threat prediction and blocking
FR3023028B1 (fr) * 2014-06-26 2017-07-28 Olivier Robert Gerard Joffray Procede pour proteger des biens utilises par des dispositifs communiquant certifies connectes en reseaux, et pour garantir les comportements operationnels desdits dispositifs
US10395133B1 (en) 2015-05-08 2019-08-27 Open Text Corporation Image box filtering for optical character recognition
US10599844B2 (en) 2015-05-12 2020-03-24 Webroot, Inc. Automatic threat detection of executable files based on static data analysis
US10289686B1 (en) 2015-06-30 2019-05-14 Open Text Corporation Method and system for using dynamic content types
US10305744B2 (en) * 2015-07-08 2019-05-28 Fedex Corporate Services, Inc. System, apparatus, and methods of event monitoring for an event candidate related to an ID node within a wireless node network
US10061629B2 (en) 2015-07-22 2018-08-28 Optumsoft, Inc. Compact binary event log generation
US10200387B2 (en) 2015-11-30 2019-02-05 International Business Machines Corporation User state tracking and anomaly detection in software-as-a-service environments
WO2017165011A1 (en) 2016-03-23 2017-09-28 Fedex Corporate Services, Inc. Systems, apparatus, and methods for self-adjusting a broadcast setting of a node in a wireless node network
US10728034B2 (en) 2018-02-23 2020-07-28 Webroot Inc. Security privilege escalation exploit detection and mitigation
US11314863B2 (en) 2019-03-27 2022-04-26 Webroot, Inc. Behavioral threat detection definition and compilation
WO2021167659A1 (en) * 2019-11-14 2021-08-26 Trideum Corporation Systems and methods of monitoring and controlling remote assets
JP7492886B2 (ja) * 2020-09-08 2024-05-30 シャープ株式会社 通信制御システムおよび情報処理装置
US20260006065A1 (en) * 2024-06-28 2026-01-01 Sophos Limited Active threat response with host isolation

Family Cites Families (21)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
NL8503235A (nl) * 1985-11-25 1987-06-16 Philips Nv Methode voor de optische registratie van informatie en een in de methode toegepast optisch registratie element.
US5039980A (en) * 1990-01-26 1991-08-13 Honeywell Inc. Multi-nodal communication network with coordinated responsibility for global functions by the nodes
US5107249A (en) * 1990-10-16 1992-04-21 C & K Systems, Co. Intrusion detection system having improved immunity to false alarm
IL114182A (en) * 1995-06-15 2003-03-12 Checkpoint Software Techn Ltd Method for controlling computer network security
US5761502A (en) * 1995-12-29 1998-06-02 Mci Corporation System and method for managing a telecommunications network by associating and correlating network events
FI103164B1 (fi) * 1996-11-06 1999-04-30 Ericsson Telefon Ab L M Järjestelmä ja menetelmä palvelun käyttöönottamiseksi
JPH10340235A (ja) * 1997-06-06 1998-12-22 Sumitomo Electric Ind Ltd ネットワーク管理システム、ネットワーク管理装置およびネットワーク管理プログラムを記録したコンピュータ読み取り可能な記録媒体
US6098172A (en) * 1997-09-12 2000-08-01 Lucent Technologies Inc. Methods and apparatus for a computer network firewall with proxy reflection
US6282175B1 (en) * 1998-04-23 2001-08-28 Hewlett-Packard Company Method for tracking configuration changes in networks of computer systems through historical monitoring of configuration status of devices on the network.
US6275942B1 (en) * 1998-05-20 2001-08-14 Network Associates, Inc. System, method and computer program product for automatic response to computer system misuse using active response modules
AU5079599A (en) * 1998-06-08 1999-12-30 Ericsson Inc. Application and communication platform for connectivity based services
US6321338B1 (en) * 1998-11-09 2001-11-20 Sri International Network surveillance
US6405250B1 (en) * 1999-01-25 2002-06-11 Lucent Technologies Inc. Network management system based on passive monitoring and proactive management for formulation behavior state transition models
US6839850B1 (en) * 1999-03-04 2005-01-04 Prc, Inc. Method and system for detecting intrusion into and misuse of a data processing system
JP2001034553A (ja) * 1999-07-26 2001-02-09 Hitachi Ltd ネットワークアクセス制御方法及びその装置
US6671811B1 (en) 1999-10-25 2003-12-30 Visa Internation Service Association Features generation for use in computer network intrusion detection
US6691244B1 (en) * 2000-03-14 2004-02-10 Sun Microsystems, Inc. System and method for comprehensive availability management in a high-availability computer system
US6973488B1 (en) * 2000-03-31 2005-12-06 Intel Corporation Providing policy information to a remote device
JP2004534973A (ja) * 2000-04-14 2004-11-18 ゴー アヘッド ソフトウェア インコーポレイテッド ネットワークデバイスのアップグレードシステム及び方法
US7475405B2 (en) * 2000-09-06 2009-01-06 International Business Machines Corporation Method and system for detecting unusual events and application thereof in computer intrusion detection
US7168093B2 (en) * 2001-01-25 2007-01-23 Solutionary, Inc. Method and apparatus for verifying the integrity and security of computer networks and implementation of counter measures

Also Published As

Publication number Publication date
US20020194495A1 (en) 2002-12-19
WO2002103960A2 (en) 2002-12-27
JP2005513591A (ja) 2005-05-12
WO2002103960A3 (en) 2003-04-10
EP1400061B1 (en) 2012-08-08
EP1400061A2 (en) 2004-03-24
US7594267B2 (en) 2009-09-22

Similar Documents

Publication Publication Date Title
JP4373779B2 (ja) ステイトフル分散型イベント処理及び適応保全
US10326777B2 (en) Integrated data traffic monitoring system
US20070266433A1 (en) System and Method for Securing Information in a Virtual Computing Environment
AU2004282937B2 (en) Policy-based network security management
US20160127417A1 (en) Systems, methods, and devices for improved cybersecurity
US10681006B2 (en) Application-context-aware firewall
US20030110392A1 (en) Detecting intrusions
US20100333177A1 (en) System and method for identifying unauthorized endpoints
US20250030730A1 (en) Modification of connections
Martinez et al. A host intrusion detection system architecture for embedded industrial devices
US20220027456A1 (en) Rasp-based implementation using a security manager
US20040030931A1 (en) System and method for providing enhanced network security
JP5307238B2 (ja) 通信ネットワークのための侵入防止方法およびシステム
US20250119339A1 (en) Misconfigured mirror port detection
CN118555101A (zh) 一种基于企业安全业务的网络安全运营系统
Shihab IMPLEMENTATION OF INTRUSION DETECTION SYSTEM (IDS) IN NETWORK SECURITY SYSTEMS
JP7290168B2 (ja) 管理装置、ネットワーク監視システム、判定方法、通信方法、及びプログラム
WO2022165174A1 (en) Cyber-safety threat detection system
Toumi et al. Cooperative Trust Framework Based on Hy-Ids, Firewalls, And Mobile Agents to Enhance Security in A Cloud Environment
CN119051977B (zh) 面向多种设备类型的安全编排、管控与自动化处置方法
CN119892446B (zh) 一种流量分析方法、设备、存储介质及程序产品
US20240414195A1 (en) Topological co-relation
Fedik et al. REQUIREMENTS FOR AN EDUCATIONAL INSTITUTION COMPUTER NETWORK DURING ITS DESIGN DEVELOPMENT
JP4190508B2 (ja) ネットワーク制御システムおよびネットワーク制御方法
CN121125134A (zh) 异常流量处理方法、装置、设备、微隔离系统及可读存储介质

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050330

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20050330

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20080924

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20081218

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20081226

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20090212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20090212

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090323

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090818

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090904

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120911

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4373779

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130911

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees