ES2854701T3 - Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones - Google Patents
Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones Download PDFInfo
- Publication number
- ES2854701T3 ES2854701T3 ES16740599T ES16740599T ES2854701T3 ES 2854701 T3 ES2854701 T3 ES 2854701T3 ES 16740599 T ES16740599 T ES 16740599T ES 16740599 T ES16740599 T ES 16740599T ES 2854701 T3 ES2854701 T3 ES 2854701T3
- Authority
- ES
- Spain
- Prior art keywords
- security
- application
- session
- connection
- duration
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5005—Allocation of resources, e.g. of the central processing unit [CPU] to service a request
- G06F9/5027—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
- G06F9/505—Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5061—Partitioning or combining of resources
- G06F9/5077—Logical partitioning of resources; Management or configuration of virtualized resources
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/50—Allocation of resources, e.g. of the central processing unit [CPU]
- G06F9/5083—Techniques for rebalancing the load in a distributed system
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/083—Network architectures or network communication protocols for network security for authentication of entities using passwords
- H04L63/0846—Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/102—Entity profiles
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/108—Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1466—Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
- H04L67/148—Migration or transfer of sessions
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Theoretical Computer Science (AREA)
- Computing Systems (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer And Data Communications (AREA)
- Debugging And Monitoring (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las sesiones de una aplicación, que incluye: monitorizar o supervisar los tiempos de duración de un conjunto de sesiones de aplicación correspondientes a una primera aplicación de un primer 'host' o dispositivo anfitrión a fin de generar datos de duración de sesión; determinar un primer conjunto de límites temporales de seguridad asociados con la primera aplicación basándose en los datos de duración de sesión para el conjunto de sesiones de la aplicación; detectar una primera sesión de aplicación establecida entre un primer cliente y la primera aplicación del primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad; supervisar o monitorizar la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación; ejecutar una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad; y ejecutar una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad, de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación del resto de sesiones de aplicación asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera sesión de aplicación incluye mover la primera sesión de aplicación a un segundo dispositivo anfitrión.
Description
DESCRIPCIÓN
Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones
REFERENCIA(S) CRUZADA(S) CON OTRAS SOLICITUDES RELACIONADAS
ANTECEDENTES DE LA INVENCIÓN
1. Campo de la invención
[0001] La presente divulgación está relacionada con la seguridad informática frente al acceso no autorizado a recursos informáticos y, más específicamente, está relacionada con realizar perfiles de aplicaciones ('profiling' o perfilado) y con la división de las sesiones y las conexiones de estas aplicaciones en niveles o peldaños de seguridad.
2. Campo de la invención
[0002] En el campo de las comunicaciones en red -o comunicaciones de red(es)- existen muchas clases de seguridad de 'hardware' y 'software', incluyendo los 'firewall' o cortafuegos y los sistemas de detección y prevención de intrusiones. Pero todos ellos fallan en una cuestión fundamental: si las reglas no se aplican correctamente, pueden dar pie a un acceso no autorizado. Los sistemas operativos y las aplicaciones actuales también tienen muchos fallos o 'bugs' que, si se exponen a Internet, pueden permitir el acceso remoto a los servidores que alojan las aplicaciones.
[0003] Los cortafuegos existentes admiten o soportan la inspección de paquetes. Dicha inspección se basa en las reglas o normas que se aplican a una configuración en un 'firewall' o cortafuegos y que tienen limitaciones en lo que respecta al aprendizaje activo, pues no son capaces de hablar o comunicarse con la pila de aplicaciones y la pila de aplicaciones tiene una capacidad limitada para hablar con la pila de seguridad. Normalmente, los cortafuegos tratan de reducir el número de reglas, ya que acarrea un enorme sobrecoste en cada conexión a un 'host' o anfitrión y, a escala, puede causar problemas si se aplican demasiadas reglas.
[0004] US2005188222 A1 desvela un sistema de seguridad que incluye un 'login detector' o 'detector de inicio de sesión' para detectar las sesiones de 'login' o sesiones de inicio de sesión del usuario que se establecen entre una aplicación web de un servidor web y los dispositivos con acceso a la web, y para detectar cuándo el número de fallos de 'login' o inicio de sesión usando la misma identificación de usuario sobrepasa un número predeterminado durante un período de tiempo dado.
RESUMEN
[0005] La presente invención se define y especifica en las reivindicaciones anexas independientes.
[0006] Las realizaciones de la presente divulgación incluyen métodos inteligentes que proporcionan seguridad 'online' frente a los 'hackers' o piratas informáticos, lo cual evita que los 'hackers' obtengan un acceso no autorizado a recursos seguros. En una realización, se desvela un método de seguridad contra el acceso no autorizado a recursos informáticos. Se detecta una primera sesión de aplicación -o una primera sesión de la aplicaciónestablecida entre un primer cliente y una primera aplicación de un primer 'host' o dispositivo anfitrión. La primera aplicación está asociada con un primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles o peldaños de seguridad. Se supervisa o monitoriza la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación. Se ejecutan una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite de tiempo de seguridad del primer conjunto de límites temporales de seguridad. Se ejecutan una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite de tiempo de seguridad del primer conjunto de límites temporales de seguridad.
[0007] En una realización, los límites temporales de seguridad se establecen mediante un proceso de aprendizaje automático. El proceso puede incluir la monitorización del tiempo de duración de un conjunto de sesiones de aplicación previas correspondientes a la primera aplicación a fin de generar los primeros datos de duración de sesión. Después se determina el primer conjunto de límites temporales de seguridad basándose en los primeros datos de duración de sesión para el conjunto de sesiones de aplicación anteriores.
[0008] En una realización, el método también incluye: detectar una segunda sesión de aplicación establecida entre un segundo cliente y una segunda aplicación del -al menos un- servidor, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la segunda aplicación en niveles de seguridad; supervisar o monitorizar la duración de la segunda sesión de aplicación establecida entre el segundo cliente y la segunda aplicación; ejecutar las -una o más- acciones de seguridad
primarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance un límite de tiempo de seguridad del conjunto de límites temporales de seguridad; y ejecutar las -una o más- acciones de seguridad secundarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance otro límite de tiempo de seguridad del conjunto de límites temporales de seguridad.
[0009] En una realización, una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye al menos una de las siguientes: búsquedas o comprobaciones de IP, inspección profunda de paquetes (DPI), detección de paquetes malformados o activación de sensores de seguridad de señuelo o 'honeypot'. En una realización, una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación de las demás sesiones de aplicación asociadas o relacionadas con el -al menos undispositivo anfitrión. Aislar la primera sesión de aplicación puede incluir mover la primera sesión de aplicación a un segundo dispositivo anfitrión. Aislar la primera sesión de aplicación también puede incluir mantener la primera sesión de aplicación en el primer dispositivo anfitrión y evitar que las demás sesiones de aplicación se establezcan con el primer dispositivo anfitrión.
[0010] En una realización, el método de seguridad 'online' también puede aplicarse a las conexiones establecidas para las sesiones de aplicación. Otras realizaciones incluyen un medio o soporte legible por ordenador no transitorio que guarda instrucciones. Las instrucciones pueden ejecutarse mediante al menos un procesador para implementar operaciones que eviten el acceso no autorizado a recursos informáticos.
BREVE DESCRIPCIÓN DE LAS ILUSTRACIONES
[0011]
La Figura (FIG. 1) es un diagrama de bloques de un sistema de comunicación en red con una división de sesiones/conexiones, de acuerdo con una realización.
La Figura 2 es un diagrama de una sesión/conexión de una aplicación que se divide o separa en diferentes niveles de seguridad, de acuerdo con una realización.
La Figura 3 es un diagrama de sesiones/conexiones de aplicación para diferentes aplicaciones que se dividen en diferentes niveles de seguridad, de acuerdo con una realización.
La Figura 4 es un diagrama que ilustra el aislamiento de una sesión/conexión de una aplicación, de acuerdo con una realización.
La Figura 5 es un diagrama que ilustra el aislamiento de una sesión/conexión de una aplicación, de acuerdo con otra realización.
La Figura 6 es un diagrama de bloques de un módulo administrador de sesiones/conexiones de la Figura 1, de acuerdo con una realización.
La Figura 7 es un diagrama de flujo de un método para analizar o realizar un 'profiling' de las sesiones/conexiones de una aplicación y hallar o determinar los límites de tiempo, de acuerdo con una realización.
La Figura 8 es un diagrama de flujo de un método para la seguridad de división de las sesiones/conexiones, de acuerdo con una realización.
La Figura 9 ilustra la arquitectura de 'hardware' de un dispositivo informático, de acuerdo con una realización. DESCRIPCIÓN DETALLADA
[0012] A continuación analizaremos detalladamente varias realizaciones de la presente divulgación, de manera que en las figuras adjuntas se ilustran diversos ejemplos. Debe entenderse que, siempre que sea posible, en las figuras pueden usarse números de referencia iguales o similares para hacer referencia a funciones iguales o similares. Las figuras muestran o representan realizaciones de la presente divulgación por motivos meramente ilustrativos. Gracias a la siguiente descripción, las personas versadas en este campo comprenderán que es posible emplear realizaciones alternativas de los métodos y estructuras ilustrados en el presente documento sin apartarse por ello de los principios, o los beneficios, de la divulgación que se describe en el presente documento.
[0013] El futuro de la seguridad de las aplicaciones 'online' se basa en el aprendizaje de la seguridad a nivel de máquinas y en permitir que los sistemas de seguridad analicen o realicen un perfil de los flujos promedio de las sesiones de aplicación. Los flujos promedio de las sesiones de aplicación pueden cambiar los puntos de activación de una sesión de activación multifase. Cuanto más dure una sesión, mayor será el riesgo de que la sesión esté
comprometida. Las realizaciones de la presente divulgación analizan o trazan el perfil de una sesión y, dependiendo del tiempo o el estado, inician acciones de seguridad; por ejemplo, analizarán la sesión en busca de flujos de paquetes anormales o copiarán los flujos de paquetes para reproducirlos en una 'sandbox' -o entorno aislado- de seguridad analítica controlada.
[0014] Las realizaciones de la presente divulgación están relacionadas con un componente de una plataforma de sistemas de seguridad que analiza o realiza perfiles de aplicaciones para evitar que los 'hackers' tengan acceso a conjuntos de datos de fondo -o bases de datos 'back-end'- e impedir el acceso continuo a cualquier conjunto de datos. Las realizaciones de la presente divulgación también dividen o separan varias sesiones de aplicación de diversas redes y aplicaciones en niveles/segmentos de seguridad dentro de una sola sesión y aumentan el grado de seguridad para cada nivel/segmento de seguridad a lo largo del tiempo. Más particularmente, las realizaciones de la presente divulgación pueden impedir el acceso a recursos no autorizados mediante el uso de niveles de seguridad crecientes a fin de obtener una mayor seguridad. Las realizaciones de la presente divulgación también pueden dividir las conexiones en niveles de seguridad y aumentar el grado de seguridad para cada nivel de seguridad a lo largo del tiempo.
[0015] La Figura 1 (FIG. 1) es un diagrama de bloques de un sistema de comunicaciones en red con una seguridad de división de sesión y conexión, de acuerdo con una realización. El sistema incluye varios dispositivos cliente 105, una red 110, un rúter o enrutador 115, un 'firewall' o cortafuegos 120, un equilibrador o distribuidor de carga 125, servidores frontales o servidores 'front-end' 130, servidores de fondo o servidores 'back-end' 135 y una base de datos 140. Los dispositivos informáticos como el rúter 115, el cortafuegos 120, el distribuidor de carga 125, el servidor frontal 130, el servidor de fondo 135 y la base de datos 140 pueden conformar un centro de datos al que se accede por medio de los clientes 105 y a través de la red 110. Por motivos ilustrativos, en la Figura 1 sólo se muestran dos clientes 105 y dos servidores frontales 130. Es posible que en otras realizaciones haya un mayor número de dispositivos cliente 105 y servidores frontales 130.
[0016] Los dispositivos cliente 105 pueden ser dispositivos informáticos, como 'smartphones' o teléfonos inteligentes, tabletas, ordenadores portátiles y ordenadores de sobremesa, entre otros. El usuario interactúa con el 'software' de los dispositivos cliente 105 a través de una interfaz o superficie de contacto, como una pantalla táctil o un ratón, y un teclado. El usuario controla los dispositivos cliente 105 para establecer conexiones y sesiones de aplicación con diversas aplicaciones alojadas en los servidores frontales 130.
[0017] Los servidores frontales 130 son dispositivos informáticos de la familia de los servidores que pueden incluir uno o más procesadores y ejecutan un sistema operativo. Los servidores 130 alojan diversas aplicaciones de 'software' 150 y en el presente documento también pueden denominarse 'host' o 'dispositivo anfitrión'. Por ejemplo, las aplicaciones 150 pueden alojar una aplicación de pagos con tarjeta de crédito 150A, un sitio web 150B y una aplicación de banca 'online' 150C. Otros ejemplos de dispositivos anfitriones que alojan aplicaciones 150 pueden ser los productos electrónicos en general, los teléfonos, las tabletas, los sistemas de control de vuelo de los aviones, etc.
[0018] Los dispositivos cliente 105 pueden establecer conexiones de red C1-C6 con las aplicaciones 150 a través de la red 110, el rúter 115, el cortafuegos y el distribuidor de carga 125. Una conexión se usa como un canal de comunicación bidireccional entre los 'sockets' de los dispositivos cliente 105 y los servidores 150. La conexión se establece en un punto temporal determinado, por ejemplo usando un proceso de establecimiento de comunicación o, en ocasiones, no usándolo, y después se termina o interrumpe en un punto temporal posterior. La conexión puede incluir varios estados definidos o determinados por un protocolo. Un ejemplo de un tipo de conexión es la conexión mediante el protocolo de control de transmisión (o TCP, por sus siglas en inglés) bajo la capa de transporte del modelo de interconexión de sistemas abiertos (o modelo OSI).
[0019] Los dispositivos cliente 105 también establecen sesiones de aplicación S1-S6 con las aplicaciones 150 a través de las conexiones C1-C6. Una sesión de aplicación -o sesión de la aplicación- es un intercambio de información interactivo entre dos o más entes o entidades comunicantes para una aplicación dada. La sesión de aplicación se establece en un punto temporal determinado y, después, finaliza en en un punto temporal posterior. Durante la sesión de aplicación, pueden enviarse uno o más mensajes -que soliciten información o respondan a peticiones o solicitudes- en cada dirección a través de una conexión que se haya establecido para la sesión. El estado (por ejemplo, conectado, desconectado, inactivo, descargando o en descarga, buscando, modificando o actualizando los datos existentes, dañando o eliminando datos, activar alarmas, estado del contador de tiempo, clave coincidente, clave modificada, estado del factor de riesgo) de la sesión puede mantenerse mediante el servidor frontal 130A o los clientes 105. En una realización, las sesiones de aplicación son sesiones de la capa de sesión OSI que están situadas por encima de la capa de transporte. Algunos ejemplos de sesiones pueden ser las sesiones HTTP, las sesiones FTP y las sesiones SMTP, entre otras.
[0020] En un ejemplo, puede iniciarse una sesión de autentificación de una tarjeta de crédito (por ejemplo, S1, S2) cuando un usuario pasa una tarjeta de crédito por un dispositivo cliente 105A y el dispositivo cliente 105A establece una conexión y una sesión con la aplicación de pago con tarjeta de crédito 150A. La aplicación de pago con tarjeta de crédito 150A se comunica con el dispositivo cliente 105A para obtener el número de la tarjeta de crédito y cargar
una cantidad desde el dispositivo cliente 105A. Después, la aplicación de pago con tarjeta de crédito 150A accede a la base de datos 140 a través del servidor de fondo 135 para determinar si el número de tarjeta de crédito tiene el crédito suficiente para tramitar el pago. Después, la aplicación de pago con tarjeta de crédito 150A proporciona una respuesta de sí/no al dispositivo cliente 105A. La conexión y la sesión finalizan tras proporcionar la respuesta al dispositivo cliente 105A.
[0021] En otro ejemplo, puede iniciarse una sesión de solicitud web (por ejemplo, S3, S4) cuando un usuario introduce una URL en un navegador en un cliente 105B. El dispositivo cliente 105B establece una sesión con el sitio web 150B. El servidor frontal 130A (esto es, el servidor web) puede estar procesando o tramitando múltiples sesiones. El servidor frontal 130A inicia un contador de tiempo por cada sesión. El usuario tiene una cantidad de tiempo 'x' para completar un formulario o solicitud antes del cierre de la sesión. Un servidor frontal diferente 130B puede procesar el envío del formulario o solicitud desde la sesión inicial debido al tiempo requerido para completar los datos del formulario web.
[0022] En otro ejemplo, puede iniciarse una sesión de banca 'online' (por ejemplo, S5, S6) cuando un usuario abre una aplicación de banca móvil en el dispositivo cliente 105B, y el dispositivo cliente 105B establece una conexión y una sesión con la aplicación de banca 'online' 150C. La aplicación de banca 'online' 150C se comunica con el dispositivo cliente 105C para obtener la información de autentificación desde el dispositivo cliente 105C. Una vez autentificada, el dispositivo cliente 105C puede solicitar los saldos de cuentas o subir copias de cheques para depósitos, y también puede realizar otras solicitudes bancarias. La aplicación bancaria 150C puede acceder a la información de la cuenta almacenada en la base de datos 140 a través de un servidor de fondo 135 para procesar o tramitar estas solicitudes.
[0023] El servidor de fondo 135 proporciona acceso a los datos o la información guardada en la base de datos 140. Cualquiera de las aplicaciones 150 puede solicitar información al servidor de fondo 135, que después recupera o extrae la información de la base de datos 140 y proporciona la información a la aplicación 150. Un servidor SQL es un ejemplo de un servidor de fondo 135. Los 'hackers' intentan acceder a menudo a los datos o información de la base de datos 140 mediante sesiones o conexiones 'hackeadas' o pirateadas, y el módulo administrador de sesiones/conexiones 152 trata de detectar estas sesiones y conexiones pirateadas antes de que accedan con éxito a la información. En el caso de las sesiones secuestradas, un 'hacker' ampliará la línea temporal de la sesión y es aquí donde aumenta el factor de riesgo y el módulo administrador de sesiones/conexiones 152 puede aumentar la seguridad y activar las alertas.
[0024] El módulo administrador de sesiones/conexiones 152 proporciona seguridad frente a las sesiones/conexiones 'hackeadas' o pirateadas. En cada sesión/conexión, el módulo administrador de sesiones/conexiones 152 divide la sesión/conexión en diferentes niveles de seguridad activados por tiempo. Al hacer que las sesiones/conexiones se dividan en base al tiempo en niveles de seguridad, pueden activarse o ponerse en marcha diferentes acciones en función de los niveles separados o divididos de una única sesión/conexión. En cada sesión, el módulo administrador de sesiones/conexiones 152 aplica una o más acciones de seguridad a la sesión/conexión. En una realización, se aplica una acción de seguridad contra una sesión/conexión ejecutando un código de programa informático -o código de un programa de 'software'- para la acción de seguridad en una unidad de procesamiento (por ejemplo, un procesador, un controlador o un circuito integrado específico de una aplicación personalizada).
[0025] Las acciones o medidas de seguridad pueden ser acciones diseñadas para detectar a un 'hacker', o para impedir que un 'hacker' complete con éxito un 'hack' o pirateo, analizando los datos o la información de la sesión. Los ejemplos de acciones de seguridad pueden incluir las búsquedas de la IP, activar sensores de 'honeypot' o sensores señuelo, el aislamiento de la sesión/conexión, la inspección profunda de paquetes (DPI), contener las sesiones/conexiones, las alertas de seguridad, el rastreo o seguimiento de la sesión/conexión, la grabación o registro de la sesión/conexión, aplicar el aprendizaje automático a las sesiones/conexiones y el control total/las alertas y la finalización de las sesiones/conexiones. Los niveles de seguridad iniciales pueden incluir reglas diferentes y pueden estar configurados para tener pocas o ninguna acción de seguridad a fin de reducir los falsos positivos, mientras que los niveles de seguridad posteriores pueden incluir más acciones de seguridad que requieren muchos recursos. En los niveles de seguridad posteriores, el módulo administrador de sesiones/conexiones 152 puede informar o avisar al resto de dispositivos -como el rúter 115, el cortafuegos 120 o el distribuidor de carga 125-de una sesión/conexión de alto riesgo para la seguridad y hacer que el resto de dispositivos apliquen acciones de seguridad a la sesión/conexión.
[0026] El módulo administrador de sesiones/conexiones 152 supervisa o monitoriza el tiempo de duración de una sesión/conexión y, después, hace avanzar la seguridad de un nivel de seguridad al siguiente cuando el tiempo de duración de la sesión/conexión alcanza ciertos límites en cuanto al tiempo de seguridad. Se espera que la mayoría de las sesiones/conexiones normales se completen antes de alcanzar los límites temporales de seguridad. Se espera que solo las sesiones/conexiones pirateadas sobrepasen los límites temporales de seguridad. Por consiguiente, las acciones de seguridad con más recursos sólo se aplican a las sesiones/conexiones que presentan un mayor riesgo de ser 'hackeadas' o pirateadas. Como resultado de ello, aumentar los niveles de seguridad a medida que pasa el tiempo tiene la ventaja técnica de mejorar el funcionamiento de los servidores frontales 130 reduciendo la carga informática del 'hardware' informático, como el procesador y la memoria, de los servidores
frontales 130 al aumentar metódicamente los niveles de seguridad durante períodos de tiempo particulares de una sesión, manteniendo al mismo tiempo un alto grado de seguridad frente a los 'hackers'.
[0027] El hecho de contar con diferentes acciones de seguridad en diferentes intervalos de tiempo también permite que las herramientas comprendan qué es una sesión normal y qué es una sesión 'hackeada' o pirateada y finalicen, rastreen, monitoricen, registren, prioricen o analicen de forma acorde el estado de la sesión. De manera adicional, en última instancia la conexión y la sesión concluyen al finalizar la sesión en función de que un 'hacker' se vaya o se vea obligado a irse. Cuando un 'hacker' regresa, algunos datos de huella digital que se han perfilado o analizado de los intentos de 'hackeo' previos del 'hacker' pueden usarse para identificar al 'hacker' e, inmediatamente, subir o aumentar un nivel de riesgo, lo cual activa el proceso de registro o grabación o aplica más sensores de seguridad, mientras el sistema aprende cómo el 'hacker' está intentando subir o aumentar sus privilegios de acceso al 'host' o anfitrión o al sistema de fondo ('back-end system', en inglés). Una vez que los estados de las sesiones conectadas se han eliminado/han finalizado, el aprendizaje automático puede autocorregir el fallo o 'agujero' encontrado y finalizar la sesión para impedir la entrada del 'hacker'.
[0028] Los límites temporales de seguridad pueden ser diferentes para cada tipo de aplicación 150. En una realización, el módulo administrador de sesiones/conexiones 152 determina de forma separada los límites temporales de seguridad para cada aplicación mediante un proceso de aprendizaje automático. El proceso de aprendizaje monitoriza o supervisa los tiempos de duración de las sesiones/conexiones previas de una aplicación, genera datos sobre la duración de las sesiones/conexiones a partir de los tiempos de duración de las sesiones/conexiones y guarda los datos sobre la duración de las sesiones/conexiones en los perfiles de seguridad de aplicaciones de una base de datos de perfiles de seguridad de aplicaciones 154. Posteriormente, pueden determinarse los límites temporales de seguridad para las sesiones/conexiones de una aplicación a partir de los datos de duración de las sesiones/conexiones en el perfil de seguridad de la aplicación, lo cual da como resultado unos límites temporales de seguridad que están adaptados o personalizados de un modo óptimo para cada aplicación 150. En otra realización, pueden ampliarse los límites temporales de las sesiones pirateadas a fin de obtener un mayor aprendizaje automático en función de la configuración y los factores de riesgo del usuario final.
[0029] La red 110 contiene las vías de comunicación entre los clientes 105 y el rúter 115. La red 110 puede incluir redes cableadas, redes inalámbricas o una combinación de redes cableadas e inalámbricas. El rúter 115 es un dispositivo de red que dirige o 'enruta' paquetes de datos entre la red 110 y el cortafuegos 120. El cortafuegos 120 puede filtrar el tráfico de datos y bloquear determinados paquetes de datos si estos no cumplen las normas o reglas del cortafuegos. El distribuidor de carga 125 distribuye el tráfico de las aplicaciones por un gran número de servidores 130.
[0030] En una realización, el módulo administrador de sesiones/conexiones 152 puede implementarse como instrucciones de 'software', lógica de 'hardware' o como una combinación de 'software' y 'hardware'. En una realización, el módulo administrador de sesiones/conexiones 152 puede ubicarse en otra parte del sistema, por ejemplo en el rúter 115, el cortafuegos 120, el distribuidor de carga 125 o el servidor de fondo 135. En otras realizaciones, las funciones del módulo administrador de sesiones/conexiones 152 pueden distribuirse por diversos dispositivos informáticos.
[0031] Refiriéndonos ahora a la Figura 2, se ilustra una sesión o conexión de una aplicación dividida o separada en diferentes niveles de seguridad, de acuerdo con una realización. La sesión/conexión de la Figura 2 se divide en cuatro niveles de seguridad: el nivel de seguridad A 202, el nivel de seguridad B 204, el nivel de seguridad C 206 y el nivel de seguridad D 208. Cada nivel de seguridad se corresponde con un grado de seguridad más alto que se aplica a la sesión/conexión a medida que aumenta la extensión o duración de la sesión/conexión. Cada nivel de seguridad sucesivo se activa cuando el tiempo de duración de la sesión/conexión de la aplicación alcanza un límite temporal de seguridad diferente. Cada nivel de seguridad incluye diversas fases o tramos de seguridad (es decir, subniveles de seguridad) durante los cuales se llevan a cabo acciones de seguridad específicas. En términos generales, el estado de la sesión/conexión tiene diferentes fases o tramos y, a medida que pasa el tiempo, aumenta la seguridad de la sesión/conexión y se aplican diferentes reglas y acciones de seguridad.
[0032] El nivel de seguridad A 202 dura 9 segundos. Durante el nivel de seguridad A 202 se aplica un número mínimo de acciones de seguridad (por ejemplo, pocas o ninguna acción de seguridad) a la sesión/conexión. Generalmente, las acciones de seguridad no son necesarias durante el nivel de seguridad A 202, pues se espera que la mayoría de las sesiones/conexiones de aplicaciones normales terminen antes de que finalice el nivel de seguridad A 202.
[0033] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad A, el grado de seguridad aumenta desde el nivel de seguridad A 202 hasta el nivel de seguridad B 204. El nivel de seguridad B 204 dura 9 segundos y durante el mismo se aplican acciones de seguridad básicas a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 4 del nivel de seguridad B, puede buscarse o consultarse la dirección IP del dispositivo cliente 105 para determinar si dicha dirección es sospechosa. La dirección IP puede ser sospechosa si procede de determinados países o si es un servidor proxy o si los análisis de factores predeterminados establecen que la IP es sospechosa. Si la dirección IP es sospechosa, el grado de seguridad puede aumentarse inmediatamente al nivel de
seguridad C 206 saltándose cualquier acción de seguridad de las fases de seguridad 5 y 6.
[0034] En otro ejemplo, durante la fase 5 del nivel de seguridad B, pueden activarse los sensores de seguridad de señuelo o sensores de seguridad 'honeypot'. Los sensores de seguridad 'honeypot' están adjuntos a carpetas de archivos que contienen datos falsos, es decir, no contienen datos reales. Las carpetas con datos falsos pueden tener sensores de seguridad adjuntos que generan una alerta de seguridad cuando se accede a los archivos de la carpeta o se abre la carpeta. Por ejemplo, la estructura de un directorio puede incluir las carpetas 7home/user1/", 7home/user2/", 7home/user3/". Los datos reales solo se guardan en la carpeta 7home/user3/", pero no en los directorios 7home/user1/" o 7home/user2/7 Un 'hacker' que acceda al árbol de directorios no sabrá qué directorio contiene datos reales y qué directorios contienen datos falsos. Por consiguiente, es probable que el 'hacker' abra la carpeta señuelo o carpeta 'honeypot' durante la sesión/conexión y active el sensor de seguridad 'honeypot'.
[0035] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad B 204 (esto es, el límite temporal de 18 segundos desde el inicio de la sesión/conexión), el grado de seguridad aumenta desde el nivel de seguridad B 204 hasta el nivel de seguridad C 206. El nivel de seguridad C 206 dura 9 segundos y durante el mismo se aplican acciones de seguridad intermedias a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 7 del nivel de seguridad C 206, la sesión/conexión de la aplicación puede aislarse del resto de sesiones de aplicación. El aislamiento de la sesión/conexión se explicará más adelante en referencia a las figuras 4 y 5.
[0036] En otro ejemplo, durante la fase 8 del nivel de seguridad C 206, puede realizarse una inspección profunda de paquetes (DPI) en los paquetes de datos de la sesión/conexión de la aplicación para determinar si los paquetes de datos son sospechosos. Los paquetes de datos pueden ser sospechosos si se determina que incluyen anomalías de protocolo o inyecciones SQL o si son paquetes malformados.
[0037] En otro ejemplo, durante la fase 9 del nivel de seguridad C, se puede avisar o informar al resto de dispositivos de red (por ejemplo, el rúter 115, el cortafuegos 120 o el distribuidor de carga 125) sobre la sesión de alto riesgo. En ese momento, el resto de dispositivos de la red pueden iniciar su propio análisis de los datos en relación con la sesión de alto riesgo y pueden proporcionar esta información al módulo administrador de sesiones/conexiones 152.
[0038] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad C 206 (esto es, el límite temporal de 27 segundos desde el inicio de la sesión/conexión), el grado de seguridad aumenta desde el nivel de seguridad C 206 hasta el nivel de seguridad D 208. El nivel de seguridad D 208 dura 9 segundos y durante el mismo se aplican acciones de seguridad avanzadas a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 10 del nivel de seguridad C 206, la sesión/conexión de la aplicación puede contenerse, lo cual impide o interrumpe el acceso a los datos reales y solo permite acceder a los datos falsos. Durante la fase 11 del nivel de seguridad D, pueden llevarse a cabo acciones de alerta, rastreo y registro. La alerta incluye avisar a un administrador de la red de una sesión potencialmente pirateada, por ejemplo mediante correo electrónico o un texto de SMS. El rastreo incluye rastrear el flujo de acciones realizadas durante la sesión de la aplicación, por ejemplo la orden en la que se accedió a los directorios de archivos durante la sesión de la aplicación. El registro -o grabaciónincluye almacenar los datos obtenidos durante el rastreo para su posterior análisis 'offline' con herramientas externas a fin de realizar una investigación más a fondo. La sesión/conexión también puede terminar al finalizar la fase 12.
[0039] En la Figura 2 se muestra que todos los niveles y fases de seguridad tienen la misma duración. En otras realizaciones, los niveles y fases de seguridad pueden tener tiempos de duración diferentes. En la Figura 2 sólo se muestran algunas acciones de seguridad para algunas fases de seguridad, pero otras acciones de seguridad que se muestran en la Figura 2 también pueden llevarse a cabo durante el resto de fases de seguridad. Asimismo, las acciones de seguridad pueden aplicarse en un orden diferente y durante fases de seguridad diferentes a las que se muestran en la Figura 2.
[0040] Asimismo, dividir la seguridad en niveles de seguridad a medida que pasa el tiempo no impide necesariamente que el módulo administrador de sesiones/conexiones 152 ejecute o tenga en marcha una alta seguridad todo el tiempo. Simplemente, pueden aplicarse diferentes conjuntos de reglas de seguridad durante diferentes niveles de seguridad 202, 204, 206 y 208. Esto evita los falsos positivos y, al mismo tiempo, permite que los recursos informáticos se centren en las sesiones/conexiones pirateadas, que normalmente duran más que las sesiones/conexiones no pirateadas. Por ejemplo, el nivel de seguridad B 204 también puede incluir un conjunto de reglas que aplican la inspección profunda de paquetes (DPI), pero solo si la búsqueda de IP indica que la IP es sospechosa.
[0041] La Figura 3 es un diagrama de sesiones/conexiones de aplicación para diferentes aplicaciones que se dividen en diferentes niveles de seguridad, de acuerdo con una realización. La extensión o duración de los niveles de seguridad varía dependiendo del tipo de aplicación. En el caso de una aplicación que procesa o tramita tarjetas de crédito 150A, los niveles de seguridad pueden durar 9 segundos y cada fase de seguridad dura 3 segundos. En el caso de una aplicación web 150B, los niveles de seguridad pueden durar 90 segundos y cada fase de seguridad dura 30 segundos. En el caso de una aplicación de banca 'online' 150C, los niveles de seguridad pueden durar 9 minutos y cada fase de seguridad dura 3 minutos.
[0042] Refiriéndonos al ejemplo de la tarjeta de crédito, habitualmente una aplicación que procesa tarjetas de crédito 150A con un funcionamiento normal procesará o tramitará una transacción en 5-10 segundos y proporcionará una respuesta de crédito aprobado o denegado en 5-10 segundos. Las realizaciones de la presente divulgación analizan o realizan un perfil de la aplicación 150A para las transacciones promedio con tarjeta de crédito y determinan los límites temporales de la sesión/conexión -basados en el tiempo- para el sistema a partir del tiempo de transacción promedio con las tarjetas de crédito.
[0043] Las acciones de seguridad que se llevan a cabo en los niveles de seguridad pueden ser las mismas en diferentes aplicaciones independientemente de la aplicación. Por ejemplo, las búsquedas o comprobaciones de IP pueden realizarse durante el nivel de seguridad B 204 en las tres aplicaciones.
[0044] La Figura 4 es un diagrama que ilustra el aislamiento de una sesión de una aplicación, de acuerdo con una realización. La Figura 5 es un diagrama que ilustra el aislamiento de una sesión de una aplicación, de acuerdo con otra realización. Tanto la Figura 4 como la Figura 5 ilustran la acción de seguridad para el aislamiento de sesiones/conexiones de la fase 7 de la Figura 2.
[0045] El aislamiento de la sesión/conexión de la Figura 4 se produce manteniendo la sesión/conexión de alto riesgo en el servidor original y permitiendo que se completen otras sesiones/conexiones establecidas con el servidor 130A mientras se impide que se establezcan nuevas sesiones/conexiones con las aplicaciones 150 de dicho servidor 130A. Inicialmente, hay seis sesiones S1-S6 establecidas con las aplicaciones 150, y las correspondientes conexiones C1-C6. Entonces se determina que la sesión S3 ha permanecido abierta durante un período de tiempo inusualmente largo y debería aislarse. Para aislar la sesión S3, se permite que se completen las sesiones S1, S2, S4, S5 y S6. No obstante, no se permite que se establezca ninguna sesión nueva con el servidor 130A. Al final, la sesión S3 es la única sesión establecida con las aplicaciones 150 del servidor 130A, aislando así la sesión S3 y la conexión C3.
[0046] De manera alternativa, para aislar la sesión de alto riesgo S3, el resto de sesiones (S1, S2, S4, S5, S6) pueden moverse del servidor frontal 130A a otro servidor frontal 130B para que estén protegidas frente a los datos comprometidos por la sesión de alto riesgo S3 o su conexión. El tiempo de la sesión de alto riesgo se alarga más allá de lo que se permite normalmente y se adoptan acciones o medidas de seguridad adicionales contra las sesiones: se realizan análisis, se registran paquetes, se pone en marcha una monitorización más profunda o exhaustiva, y se cierran las conexiones/sesiones con todos los datos de origen para rastrear y monitorizar qué ha pasado o qué estaba pasando. Se implementan listas de control de acceso (ACLs) dinámicas para impedir que la sesión de mayor riesgo S3 realice cualquier tipo de búsqueda amplia o escaneo, o descargue conjuntos de datos más grandes. También pueden limitarse o eliminarse las conexiones a bases de datos 140 en función del factor de riesgo de la sesión. También puede registrarse una dirección IP relacionada con la sesión S3 y puede obligarse a conectarse de nuevo al cliente 105. La segunda vez que se establece la sesión S3, el módulo administrador de sesiones/conexiones 152 está en modo de registro completo a fin de grabar o registrar las actividades de la sesión pirateada S3. La sesión pirateada S3 también puede controlarse o manipularse para que muestre datos falsos o incorrectos con el objetivo de engañar a un 'hacker' y hacerle creer que ha descubierto datos o información cuando, en realidad, no lo ha hecho. Las bases de datos de fondo 140 también pueden ser reales o haberse sustituido por bases de datos falsas.
[0047] El aislamiento de la sesión/conexión de la Figura 5 se produce moviendo una sesión/conexión entre servidores. Inicialmente, hay seis sesiones S1-S6 (y las correspondientes conexiones C1-C6) establecidas con las aplicaciones 150 en el servidor frontal A 130A. Entonces se determina que la sesión S3 ha permanecido abierta durante un período de tiempo inusualmente largo y debería aislarse. Para aislar la sesión S3, la sesión S3 y la conexión C3 se mueven del servidor frontal A 130A a un servidor frontal B diferente 130B. El resto de sesiones S1, S2, S4, S5 y S6 y conexiones C1, C2, C4, C5 y C6 no se ven afectadas y permanecen en el servidor frontal 130A.
[0048] Tal y como se muestra en la Figura 5, dependiendo del tiempo de la sesión, el estado de la sesión S3 y la conexión C3 puede moverse a otro servidor B 130B mediante un 'mirror' o espejo o un salto de sesión. También se informa de este movimiento a los dispositivos anteriores o dispositivos 'upstream' (por ejemplo, el rúter 115, el cortafuegos 120, el distribuidor de carga 125). Esto permite realizar una migración completa de la sesión/conexión sin desconectar la sesión/conexión de los usuarios o sin que los usuarios detecten que se ha producido un cambio o movimiento de estado completo. Si en este caso un 'hacker' ha estado conectado al servidor frontal 130A y ha subido un 'script' remoto para comprometer o poner en riesgo el servidor 130A, el salto de sesión/conexión dejará los bits de la aplicación cambiada en el servidor previo 130A y se impedirá -o se podría impedir- que la sesión/conexión del 'hacker' funcione. Un salto o una conmutación por error ('failover', en inglés) de una sesión/conexión pueden empezar a generar alertas en función del salto y también tienen múltiples niveles de cambio de estado.
[0049] Asimismo, el servidor frontal B 130B puede ser un servidor de seguridad especializado. El servidor de seguridad especializado tiene la capacidad de registrar todos los paquetes de las sesiones/conexiones en tiempo real y permite reproducir los paquetes para analizar cómo ha entrado un 'hacker' en el sistema, tal y como se ha descrito previamente.
[0050] La Figura 6 es un diagrama de bloques de un módulo administrador de sesiones/conexiones 152 de la Figura 1, de acuerdo con una realización. El módulo administrador de sesiones/conexiones 152 incluye un módulo de monitorización de sesiones/conexiones 605, un módulo de perfiles de aplicaciones 610, un módulo de avance o aumento del grado de seguridad 615, un módulo de acciones de seguridad 620 y un módulo de determinación de los límites temporales 625. En una realización, cada módulo se implementa en forma de instrucciones de 'software' guardadas en un medio o soporte legible por ordenador.
[0051] El módulo de monitorización de las sesiones/conexiones 605 supervisa o monitoriza las aplicaciones 150 o el tráfico de la red o detecta cuándo se establecen nuevas sesiones/conexiones de aplicación entre cualquiera de los clientes 105 y cualquiera de las aplicaciones 150. Cuando se detecta una nueva sesión/conexión de aplicación, el módulo de monitorización de sesiones/conexiones 605 mantiene un contador de sesiones/conexiones para la sesión/conexión que indica el tiempo de duración de la sesión. También se mantiene un contador de sesiones/conexiones independientes para cada sesión/conexión de manera que la duración de las sesiones/conexiones pueda rastrearse o monitorizarse de forma separada. En cualquier momento dado, el módulo de monitorización de sesiones/conexiones 605 puede estar monitorizando múltiples sesiones/conexiones para múltiples aplicaciones 150. El módulo de monitorización de sesiones/conexiones 605 también puede identificar el tipo de aplicación 150 para el que se estableció la sesión/conexión de aplicación.
[0052] El módulo de perfiles de aplicaciones 610 implementa un proceso de aprendizaje para registrar el tiempo de duración de las sesiones/conexiones y generar datos de duración de las sesiones/conexiones para los perfiles de seguridad de las aplicaciones 154. En una realización, el módulo de perfiles de aplicaciones 610 registra los tiempos de duración de las sesiones/conexiones para las sesiones/conexiones de una aplicación 150. Los tiempos de duración de las sesiones/conexiones se procesan para generar datos de duración de las sesiones/conexiones para la aplicación 150. Los ejemplos de datos de duración de sesiones/conexiones incluyen: (1) el tiempo de duración más corto observado de las sesiones/conexiones de la aplicación; (2) el tiempo de duración más largo observado de las sesiones/conexiones de la aplicación; (3) el tiempo de duración promedio observado de las sesiones/conexiones de la aplicación; (4) las duraciones o tiempos de duración reales de las sesiones/conexiones de la aplicación; y cualesquiera otros datos de duración relevantes. Después, los datos de duración de las sesiones/conexiones se almacenan en un perfil de seguridad de aplicación para la aplicación 150. El proceso se repite con las diferentes aplicaciones 150, de manera que cada aplicación 150 posee su propio perfil de seguridad de aplicación único.
[0053] El módulo de perfiles de aplicaciones 610 tambien puede registrar información sobre el estado de los 'hacks' e indicar si una sesión/conexión se considera 'hackeada' o pirateada o no, lo cual se almacena en los perfiles de seguridad de aplicación en asociación con los tiempos de duración de las sesiones/conexiones. Se considera que una sesión/conexión está 'hackeada', por ejemplo, cuando un 'hacker' ha estado activando los señuelos o 'honeypots' del sistema o se han activado otros sensores de seguridad.
[0054] El módulo de determinación de límites temporales 625 accede a los datos de duración de las sesiones/conexiones que están en los perfiles de seguridad de aplicación y usa estos datos para determinar los límites temporales de seguridad, separando un nivel de seguridad del siguiente nivel de seguridad. Los límites temporales de seguridad para una aplicación se obtienen a partir de los datos de duración de sesiones/conexiones para dicha aplicación sólo. Por consiguiente, los límites temporales de seguridad para la aplicación A 150A, los límites temporales de seguridad para la aplicación B 150B y los límites temporales de seguridad para la aplicación C 150C serán todos diferentes.
[0055] Los límites temporales de seguridad pueden obtenerse a partir de datos de duración de sesiones/conexiones registrados previamente usando fórmulas matemáticas predeterminadas. Los límites temporales de seguridad para las sesiones se computan o calculan a partir de los datos de duración de las sesiones, y los límites temporales de seguridad para las conexiones se calculan a partir de los datos de duración de las conexiones. Por ejemplo, los límites temporales de seguridad para las sesiones de una aplicación pueden calcularse como múltiplos (por ejemplo, x2 (o 2x), x6, x8, x10) de la duración promedio de las sesiones de la aplicación. En otro ejemplo, los límites temporales para las sesiones de una aplicación pueden calcularse como múltiplos de la duración de sesión más larga observada (por ejemplo, x1, x2, x3, x4) de las sesiones de la aplicación. Por lo tanto, cada tipo de aplicación 150 tendrá los límites temporales de seguridad que mejor reflejen o indiquen las características de las sesiones/conexiones de esa aplicación en particular.
[0056] El módulo de determinación de los límites temporales 625 también puede determinar los límites temporales que separan una fase de seguridad de otra fase seguridad usando para ello un proceso similar. Además, la información sobre el estado de los 'hacks' puede usarse para conocer cómo difieren las duraciones de las sesiones/conexiones normales respecto a las sesiones/conexiones 'hackeadas' o pirateadas, lo cual, a su vez, se usa para establecer los límites temporales de seguridad.
[0057] El módulo de avance o aumento del grado de seguridad 210 controla el avance o subida de un nivel de seguridad al siguiente. Para una determinada sesión, el módulo de avance del grado de seguridad 210 compara la duración de la sesión/conexión con los límites temporales establecidos para dicha sesión. Cuando la comparación indica que la duración de la sesión/conexión ha alcanzado el correspondiente límite temporal, el módulo de avance
del grado de seguridad 210 asciende o hace avanzar el nivel de seguridad a un nivel de seguridad más alto.
[0058] En una realización, la duración de la sesión conexión de una aplicación es una duración total que se mide desde el comienzo de una sesión de aplicación. Los límites temporales para cada nivel de seguridad también se miden desde el comienzo de la sesión de aplicación. En otra realización, la duración de una sesión/conexión de aplicación puede ser una duración o tiempo de duración parcial que se corresponde con la duración de una sesión/conexión de aplicación en un solo nivel de seguridad. Los límites temporales también pueden ser los límites temporales máximos de niveles de seguridad individuales.
[0059] El módulo de acciones de seguridad 620 ejecuta o inicia diversas acciones de seguridad para asegurar los servidores frontales 130, los servidores de fondo 135 y la base de datos 140 frente a los 'hacks' de sesiones maliciosas. Como se ha explicado anteriormente, los ejemplos de acciones de seguridad incluyen las búsquedas o comprobaciones de la IP, activar sensores 'honeypot' o sensores señuelo, el aislamiento de la sesión/conexión, la inspección profunda de paquetes (DPI), contener las sesiones, las alertas de seguridad, el rastreo o seguimiento de la sesión/conexión, y el registro de la sesión/conexión. En cada nivel de seguridad se llevan a cabo diferentes acciones de seguridad y estas se activan cuando la duración de la sesión/conexión alcanza los límites temporales o límites de tiempo. En algunas realizaciones, una o más de las acciones de seguridad pueden llevarse a cabo con datos de sesiones encriptados.
[0060] En una realización, el módulo de acciones de seguridad 620 puede iniciar o poner en marcha una acción de seguridad enviando una solicitud de inicio de seguridad a un dispositivo anterior (o dispositivo 'upstream') o a un dispositivo posterior (o dispositivo 'downstream'), lo cual provoca que el otro dispositivo ejecute la acción de seguridad. Por ejemplo, el rúter 115, el cortafuegos 120, el distribuidor de carga 120 o el servidor de fondo 135 pueden incluir funcionalidades para llevar a cabo acciones de seguridad, de manera que se activan mediante el módulo de acciones de seguridad 620. El módulo de acciones de seguridad 620 también puede recibir comunicaciones desde el resto de dispositivos sobre los resultados de las acciones de seguridad.
[0061] La Figura 7 es un diagrama de flujo de un método para analizar o realizar perfiles de las sesiones de una aplicación, de acuerdo con una realización. El diagrama de flujo puede mostrar o representar las operaciones del módulo administrador de sesiones/conexiones 152. En algunas realizaciones, los pasos o etapas del diagrama de flujo pueden realizarse en un orden diferente al que se muestra en la figura.
[0062] En el paso 702, se detectan las sesiones/conexiones para una aplicación. En el paso 704, se monitorizan y registran las duraciones de las sesiones/conexiones. En el paso 706, se generan datos de duración de las sesiones/conexiones a partir de las duraciones de sesiones/conexiones registradas. Los datos de duración de las sesiones/conexiones se guardan en un perfil de seguridad de aplicación en asociación con la aplicación. En el paso 708, cuando se dispone de suficientes datos de duración de las sesiones/conexiones para las sesiones/conexiones establecidas previamente, se accede al perfil de seguridad y se determinan los límites temporales de seguridad a partir de los datos de duración de las sesiones/conexiones que hay en el perfil de seguridad. Los límites temporales de seguridad indican los límites de tiempo entre un nivel de seguridad y otro nivel de seguridad.
[0063] El proceso de la Figura 7 se repite varias veces para las diferentes aplicaciones (por ejemplo, 150A, 150B, 150C) para producir o generar un gran conjunto de perfiles de seguridad de aplicaciones y diferentes límites temporales de seguridad para cada aplicación que dividen la seguridad para la aplicación en diferentes niveles de seguridad que se corresponden con grados o niveles cada vez mayores de riesgo para la seguridad.
[0064] La Figura 8 es un diagrama de flujo de un método de seguridad mediante la división de las sesiones/conexiones, de acuerdo con una realización. El diagrama de flujo puede mostrar o representar operaciones del módulo administrador de sesiones/conexiones 152 que normalmente se realizan después del diagrama de flujo de la Figura 7. En algunas realizaciones, los pasos o etapas del diagrama de flujo pueden realizarse en un orden diferente al que se muestra en la figura.
[0065] En el paso 805, se detecta una sesión/conexión de aplicación establecida entre un cliente 105 y una aplicación. En el paso 810, se identifica una aplicación 150 correspondiente a la sesión/conexión de aplicación. En el paso 825, se supervisa o monitoriza la duración de la sesión/conexión de la aplicación. En el paso 830, se aumenta con el tiempo el grado de seguridad para la sesión/conexión de la aplicación a medida que la duración de la sesión/conexión de la aplicación alcanza los límites temporales de seguridad determinados para esa aplicación. El paso 830 puede dividirse en varios subpasos o pasos secundarios 840-870.
[0066] En el paso 840, la seguridad se establece inicialmente en el nivel de seguridad más bajo, por ejemplo el nivel de seguridad A 202. Durante el nivel de seguridad más bajo A 202, se lleva a cabo un número mínimo de acciones de seguridad definidas o especificadas por un grupo mínimo de reglas de seguridad.
[0067] En el paso 845, la duración de la sesión/conexión se compara con un límite temporal de seguridad inicial. En el paso 850, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad inicial, se aumenta la seguridad al nivel de seguridad B 204. Durante el nivel de seguridad B 204, se activan las acciones de seguridad
básicas definidas o especificadas por un grupo de reglas de seguridad básicas y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad básicas se aplican ejecutando acciones de seguridad básicas contra la sesión/conexión de la aplicación.
[0068] En el paso 855, la duración de la sesión/conexión se compara con un límite temporal de seguridad básico. En el paso 860, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad básico, se aumenta la seguridad al nivel de seguridad C 206. Durante el nivel de seguridad C 206, se activan las acciones de seguridad intermedias definidas o especificadas por un grupo de reglas de seguridad intermedias y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad intermedias se aplican ejecutando acciones de seguridad intermedias contra la sesión/conexión de la aplicación.
[0069] En el paso 865, la duración de la sesión/conexión se compara con un límite temporal de seguridad intermedio. En el paso 870, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad intermedio, se aumenta la seguridad al nivel de seguridad D 208. Durante el nivel de seguridad D 208, se activan las acciones de seguridad avanzadas definidas o especificadas por un grupo de reglas de seguridad avanzadas y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad avanzadas se aplican ejecutando acciones de seguridad avanzadas contra la sesión/conexión de la aplicación.
[0070] El proceso que se muestra en la Figura 8 puede repetirse para cada sesión/conexión de aplicación establecida entre cualquiera de los clientes 105 y cualquiera de las aplicaciones 150A, 150B o 150C, proporcionando así una seguridad -basada en el tiempo- frente a los 'hackers', de manera que dicha seguridad se ajusta o adapta a cada aplicación 150A, 150B o 150C.
[0071] Las realizaciones de la presente divulgación pueden conllevar las siguientes ventajas. Realizar perfiles de sesiones/conexiones de aplicaciones permite obtener más información -o inteligencia- para tomar mejores decisiones en lo que respecta a la seguridad. Correlacionar las sesiones/conexiones de las aplicaciones con niveles o peldaños de seguridad permite contar con una seguridad más fundamentada y basada en la toma de decisiones. Una mayor cantidad de análisis de los datos correlacionados permite reaccionar a tiempo y contener o atajar un problema antes de que ponga en riesgo a toda la red. Crear perfiles de una aplicación para integrar la seguridad con todos los dispositivos del centro de datos ayuda a contener el control de un 'hacker' sobre una red. Las conexiones/sesiones escalonadas en el tiempo dan pie a nuevos grados o niveles de análisis de seguridad. Es posible realizar análisis más profundos o detallados, ya que los 'hackers' deben repetir sus 'hacks' o ataques una y otra vez para acceder a una plataforma. Cuanto más se 'hackee' o piratee un sistema, más oportunidades tendrán los sensores para detectar un fallo o 'agujero' en la aplicación, el sistema operativo o el protocolo que pueda atajarse.
[0072] La Figura 9 ilustra la arquitectura de 'hardware' de un dispositivo informático -como un cortafuegos 115, un rúter 120, un distribuidor de carga 125, un dispositivo cliente 105, un servidor frontal 130 o un servidor de fondo 135-de acuerdo con una realización. En una realización, el dispositivo informático es un ordenador que incluye componentes como un procesador 902, una memoria 903, un módulo de almacenamiento 904, un módulo de entrada (por ejemplo, un teclado, un ratón y similares) 906, un módulo de visualizacion 907 y una interfaz de comunicaciones 905, de manera que se intercambian entre sí datos y señales de control a través de un bus 901. El módulo de almacenamiento 904 se implementa como uno o más medios de almacenamiento no transitorios legibles por ordenador (por ejemplo, un disco duro o un disco o unidad de estado sólido) y almacena instrucciones de 'software' 940 (por ejemplo, módulos) que se ejecutan mediante el procesador 902, de manera conjunta con la memoria 903, a fin de implementar las características de seguridad descritas en el presente documento. Un ejemplo de instrucciones de 'software' puede ser un código de 'software' o un código de programa. El 'software' del sistema operativo y el 'software' de otras aplicaciones también pueden guardarse o almacenarse en el módulo de almacenamiento 904 para que funcionen o se ejecuten en el procesador 902.
[0073] Al leer la presente divulgación, las personas versadas en este campo podrán concebir otros diseños alternativos adicionales para la seguridad de división de sesiones/conexiones. Por consiguiente, si bien se han descrito e ilustrado aplicaciones y realizaciones particulares de la presente divulgación, debe entenderse que la divulgación no se limita a las estructuras y los componentes concretos desvelados en el presente documento. Así, es posible realizar diversas modificaciones, cambios y variaciones -que pueden resultar evidentes para las personas versadas en este campo- en lo referente a la disposición, el funcionamiento y los detalles del método y el equipo de la presente divulgación sin apartarse por ello del alcance de la divulgación, tal y como se especifica en las reivindicaciones anexas.
Claims (8)
1. Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las sesiones de una aplicación, que incluye:
monitorizar o supervisar los tiempos de duración de un conjunto de sesiones de aplicación correspondientes a una primera aplicación de un primer 'host' o dispositivo anfitrión a fin de generar datos de duración de sesión;
determinar un primer conjunto de límites temporales de seguridad asociados con la primera aplicación basándose en los datos de duración de sesión para el conjunto de sesiones de la aplicación;
detectar una primera sesión de aplicación establecida entre un primer cliente y la primera aplicación del primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad; supervisar o monitorizar la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación;
ejecutar una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad; y
ejecutar una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad,
de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación del resto de sesiones de aplicación asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera sesión de aplicación incluye mover la primera sesión de aplicación a un segundo dispositivo anfitrión.
2. El método de la reivindicación 1, que además incluye:
detectar una segunda sesión de aplicación establecida entre un segundo cliente y una segunda aplicación del primer dispositivo anfitrión, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la aplicación en niveles de seguridad; supervisar o monitorizar la duración de la segunda sesión de aplicación establecida entre el segundo cliente y la segunda aplicación;
ejecutar las -una o más- acciones de seguridad primarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance un límite temporal de seguridad del segundo conjunto de límites temporales de seguridad; y
ejecutar las -una o más- acciones de seguridad secundarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance otro límite temporal de seguridad del segundo conjunto de límites temporales de seguridad.
3. El método de la reivindicación 1, de manera que la primera sesión es una sesión de una capa de sesión de un modelo de interconexión de sistemas abiertos (OSI).
4. Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las conexiones, que incluye:
monitorizar o supervisar los tiempos de duración de un conjunto de conexiones establecidas para sesiones correspondientes a una primera aplicación a fin de generar datos de duración de conexión;
determinar un primer conjunto de límites temporales de seguridad basándose en los datos de duración de conexión para el conjunto de conexiones;
detectar una primera conexión establecida para una primera sesión entre un primer cliente y una primera aplicación de un primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad;
supervisar o monitorizar la duración de la primera conexión establecida entre el primer cliente y la primera aplicación;
ejecutar una o más acciones de seguridad primarias contra la primera conexión en respuesta al hecho de que la duración de la primera conexión alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad asociados con la primera aplicación; y
ejecutar una o más acciones de seguridad secundarias contra la primera conexión en respuesta al hecho de que la duración de la primera conexión alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad,
de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera conexión del resto de conexiones asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera conexión incluye mover la primera conexión a un segundo dispositivo anfitrión o mantener la primera conexión en el primer dispositivo anfitrión e impedir que se
establezcan otras conexiones con el primer dispositivo anfitrión.
5. El método de la reivindicación 4, que además incluye:
detectar una segunda sesión de aplicación establecida para una segunda sesión entre un segundo cliente y una segunda aplicación del primer dispositivo anfitrión, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la segunda aplicación en niveles de seguridad;
supervisar o monitorizar la duración de la segunda conexión;
ejecutar las -una o más- acciones de seguridad primarias contra la segunda conexión en respuesta al hecho de que la duración de la segunda conexión alcance un límite temporal de seguridad del segundo conjunto de límites temporales de seguridad; y
ejecutar las -una o más- acciones de seguridad secundarias contra la segunda conexión en respuesta al hecho de que la duración de la segunda conexión alcance otro límite temporal de seguridad del segundo conjunto de límites temporales de seguridad.
6. El método de la reivindicación 1 o la reivindicación 4, de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye: las búsquedas o comprobaciones de la IP, la inspección profunda de paquetes (DPI), la detección de paquetes malformados o la activación de sensores de seguridad de señuelo o sensores 'honeypot'.
7. El método de la reivindicación 4, de manera que la primera conexión es una conexión TCP.
8. Un medio o soporte no transitorio legible por ordenador que guarda o almacena instrucciones, de manera que, cuando al menos un procesador ejecuta las instrucciones, el -al menos un- procesador lleva a cabo el método de cualquiera de las reivindicaciones 1 a 7.
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US201562105685P | 2015-01-20 | 2015-01-20 | |
US14/827,230 US9614853B2 (en) | 2015-01-20 | 2015-08-14 | Session security splitting and application profiler |
PCT/US2016/013942 WO2016118517A1 (en) | 2015-01-20 | 2016-01-19 | Session security splitting and application profiler |
Publications (1)
Publication Number | Publication Date |
---|---|
ES2854701T3 true ES2854701T3 (es) | 2021-09-22 |
Family
ID=56408680
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES16740600T Active ES2804174T3 (es) | 2015-01-20 | 2016-01-19 | Plataforma de seguridad gradual |
ES16740599T Active ES2854701T3 (es) | 2015-01-20 | 2016-01-19 | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones |
Family Applications Before (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
ES16740600T Active ES2804174T3 (es) | 2015-01-20 | 2016-01-19 | Plataforma de seguridad gradual |
Country Status (9)
Country | Link |
---|---|
US (9) | US9614853B2 (es) |
EP (3) | EP3248128B1 (es) |
JP (8) | JP6530495B2 (es) |
CN (3) | CN112559168A (es) |
CA (2) | CA2974000C (es) |
DK (2) | DK3248128T3 (es) |
ES (2) | ES2804174T3 (es) |
PT (2) | PT3248100T (es) |
WO (2) | WO2016118517A1 (es) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11575715B2 (en) * | 2019-10-28 | 2023-02-07 | International Business Machines Corporation | Dynamically customized cognitive security filter |
Families Citing this family (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9614853B2 (en) | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
US10353726B2 (en) | 2015-09-29 | 2019-07-16 | NeuVector, Inc. | Transparent network security for application containers |
US10341128B2 (en) * | 2016-03-12 | 2019-07-02 | Wipro Limited | Method and system for optimizing usage of network resources in a communication network |
US10594731B2 (en) * | 2016-03-24 | 2020-03-17 | Snowflake Inc. | Systems, methods, and devices for securely managing network connections |
US10440053B2 (en) * | 2016-05-31 | 2019-10-08 | Lookout, Inc. | Methods and systems for detecting and preventing network connection compromise |
JP6502902B2 (ja) * | 2016-08-12 | 2019-04-17 | 日本電信電話株式会社 | 攻撃検知装置、攻撃検知システムおよび攻撃検知方法 |
US10459769B2 (en) * | 2017-08-04 | 2019-10-29 | Unisys Corporation | Elastic container management system |
US10379985B1 (en) * | 2018-02-01 | 2019-08-13 | EMC IP Holding Company LLC | Automating and monitoring rolling cluster reboots |
EP3669267B1 (en) * | 2018-04-30 | 2024-03-06 | Google LLC | Optimizing network utilization |
US11627201B2 (en) | 2018-04-30 | 2023-04-11 | Google Llc | Optimizing network utilization |
US10761934B2 (en) | 2018-05-16 | 2020-09-01 | Hewlett Packard Enterprise Development Lp | Reconstruction of data of virtual machines |
GB201811224D0 (en) * | 2018-07-09 | 2018-08-29 | Ace Gaming Ltd | Two stage game |
FR3098321A1 (fr) * | 2019-07-01 | 2021-01-08 | Prove & Run | Architecture informatique en nuage securisee et procede de securisation |
JP7337627B2 (ja) * | 2019-09-24 | 2023-09-04 | 株式会社日立製作所 | 通信制御装置およびシステム |
US11520666B2 (en) | 2019-10-15 | 2022-12-06 | Dt Labs, Llc | Systems, methods, and apparatus for fast ransomware recovery |
CN111163083A (zh) * | 2019-12-27 | 2020-05-15 | 杭州数梦工场科技有限公司 | 基于应用粒度的登录会话控制方法、装置及计算机设备 |
EP3923612A1 (en) * | 2020-06-09 | 2021-12-15 | Deutsche Telekom AG | Method and communication system for ensuring secure communication in a zero touch connectivity-environment |
US20220385684A1 (en) * | 2021-06-01 | 2022-12-01 | Cytwist Ltd. | Artificial intelligence cyber identity classification |
CN113687867B (zh) * | 2021-08-24 | 2023-12-29 | 济南浪潮数据技术有限公司 | 一种云平台集群的关机方法、***、设备及存储介质 |
Family Cites Families (85)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7197570B2 (en) * | 1998-07-22 | 2007-03-27 | Appstream Inc. | System and method to send predicted application streamlets to a client device |
DK1145541T3 (da) * | 1998-11-24 | 2013-03-11 | Niksun Inc | Apparat og fremgangsmåde til at indsamle og analysere kommunikationsdata |
US6754707B2 (en) | 1999-10-28 | 2004-06-22 | Supportsoft, Inc. | Secure computer support system |
JP3864664B2 (ja) * | 2000-03-07 | 2007-01-10 | 株式会社日立製作所 | ストレージを共有する複数計算機のos起動の方法 |
ES2277820T3 (es) | 2000-06-14 | 2007-08-01 | Eads Astrium Sas | Procedimiento y sistema de video a peticion. |
US6816905B1 (en) | 2000-11-10 | 2004-11-09 | Galactic Computing Corporation Bvi/Bc | Method and system for providing dynamic hosted service management across disparate accounts/sites |
US9525696B2 (en) | 2000-09-25 | 2016-12-20 | Blue Coat Systems, Inc. | Systems and methods for processing data flows |
JP3687782B2 (ja) * | 2000-09-29 | 2005-08-24 | Kddi株式会社 | 不正侵入防止システム |
US6918113B2 (en) | 2000-11-06 | 2005-07-12 | Endeavors Technology, Inc. | Client installation and execution system for streamed applications |
US7020645B2 (en) * | 2001-04-19 | 2006-03-28 | Eoriginal, Inc. | Systems and methods for state-less authentication |
US20040139125A1 (en) | 2001-06-05 | 2004-07-15 | Roger Strassburg | Snapshot copy of data volume during data access |
US7631084B2 (en) | 2001-11-02 | 2009-12-08 | Juniper Networks, Inc. | Method and system for providing secure access to private networks with client redirection |
US7213065B2 (en) | 2001-11-08 | 2007-05-01 | Racemi, Inc. | System and method for dynamic server allocation and provisioning |
US6993596B2 (en) * | 2001-12-19 | 2006-01-31 | International Business Machines Corporation | System and method for user enrollment in an e-community |
US7080404B2 (en) * | 2002-04-01 | 2006-07-18 | Microsoft Corporation | Automatic re-authentication |
US8271530B2 (en) | 2002-04-08 | 2012-09-18 | Oracale International Corporation | Method and mechanism for managing and accessing static and dynamic data |
US8635355B2 (en) | 2002-05-01 | 2014-01-21 | Stmicroelectronics, Inc. | Method for pre-caching content to enable true VOD systems from NVOD or stream limited VOD systems |
FR2841416B1 (fr) * | 2002-06-20 | 2005-01-28 | Cegetel Groupe | Procede de gestion d'informations de contexte par serveur intermediaire |
US7631067B2 (en) | 2002-06-20 | 2009-12-08 | International Business Machines Corporation | Server initiated predictive failure analysis for disk drives |
US8489742B2 (en) | 2002-10-10 | 2013-07-16 | Convergys Information Management Group, Inc. | System and method for work management |
US7305554B2 (en) * | 2002-12-16 | 2007-12-04 | Alcatel Canada Inc. | Dynamic acquisition of state during security system reconfiguration |
US7260640B1 (en) | 2003-02-13 | 2007-08-21 | Unisys Corproation | System and method for providing an enhanced enterprise streaming media server capacity and performance |
US7783019B2 (en) | 2003-05-15 | 2010-08-24 | Verizon Business Global Llc | Method and apparatus for providing fraud detection using geographically differentiated connection duration thresholds |
US7194655B2 (en) | 2003-06-12 | 2007-03-20 | International Business Machines Corporation | Method and system for autonomously rebuilding a failed server and a computer system utilizing the same |
US7822067B2 (en) * | 2003-08-08 | 2010-10-26 | Qualcomm Incorporated | Header compression enhancement for broadcast/multicast services |
US7299356B2 (en) * | 2003-09-02 | 2007-11-20 | Authernative, Inc. | Key conversion method for communication session encryption and authentication system |
US20050188222A1 (en) * | 2004-02-24 | 2005-08-25 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user login activity for a server application |
US7373524B2 (en) | 2004-02-24 | 2008-05-13 | Covelight Systems, Inc. | Methods, systems and computer program products for monitoring user behavior for a server application |
US7757226B2 (en) | 2004-03-17 | 2010-07-13 | Oracle International Corporation | Method and mechanism for performing a rolling upgrade of distributed computer software |
US7921419B2 (en) | 2004-05-12 | 2011-04-05 | Oracle International Corporation | Method and mechanism for managing incompatible changes in a distributed system |
US20060075001A1 (en) | 2004-09-30 | 2006-04-06 | Canning Jeffrey C | System, method and program to distribute program updates |
JP2006148661A (ja) * | 2004-11-22 | 2006-06-08 | Toshiba Corp | 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法 |
KR100640004B1 (ko) | 2005-08-19 | 2006-11-01 | 한국전자통신연구원 | 세션 상태 관리 장치 및 그 방법 |
US8352782B2 (en) | 2005-09-30 | 2013-01-08 | Cleversafe, Inc. | Range based rebuilder for use with a dispersed data storage network |
US8880799B2 (en) | 2005-09-30 | 2014-11-04 | Cleversafe, Inc. | Rebuilding data on a dispersed storage network |
JP4512196B2 (ja) * | 2005-10-20 | 2010-07-28 | アラクサラネットワークス株式会社 | 異常トラヒックの検出方法およびパケット中継装置 |
JP4129988B2 (ja) | 2005-11-10 | 2008-08-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | リソースのプロビジョニング方法 |
JP2007172093A (ja) * | 2005-12-20 | 2007-07-05 | Hewlett-Packard Development Co Lp | アドレス更新装置およびその方法 |
US8099765B2 (en) | 2006-06-07 | 2012-01-17 | Red Hat, Inc. | Methods and systems for remote password reset using an authentication credential managed by a third party |
US20080104411A1 (en) * | 2006-09-29 | 2008-05-01 | Agrawal Pankaj O | Methods and apparatus for changing passwords in a distributed communication system |
US7551073B2 (en) * | 2007-01-10 | 2009-06-23 | International Business Machines Corporation | Method, system and program product for alerting an information technology support organization of a security event |
US8413156B2 (en) | 2007-04-05 | 2013-04-02 | Ebay, Inc. | Method and system for managing resource connections |
US8966474B2 (en) | 2007-04-30 | 2015-02-24 | Hewlett-Packard Development Company, L.P. | Managing virtual machines using shared image |
US9219705B2 (en) | 2007-06-25 | 2015-12-22 | Microsoft Technology Licensing, Llc | Scaling network services using DNS |
US8428983B2 (en) * | 2007-12-28 | 2013-04-23 | International Business Machines Corporation | Facilitating availability of information technology resources based on pattern system environments |
CN101232399B (zh) | 2008-02-18 | 2010-06-23 | 刘峰 | 网站异常访问分析方法 |
US8626926B2 (en) * | 2008-02-26 | 2014-01-07 | Qualcomm Incorporated | Method and apparatus for performing session info query for user plane location |
JP4992780B2 (ja) * | 2008-03-21 | 2012-08-08 | 富士通株式会社 | 通信監視装置、通信監視プログラム、および通信監視方法 |
US8849972B2 (en) * | 2008-11-25 | 2014-09-30 | Polycom, Inc. | Method and system for dispatching received sessions between a plurality of instances of an application using the same IP port |
JP5293580B2 (ja) * | 2009-03-19 | 2013-09-18 | 日本電気株式会社 | ウェブサービスシステム、ウェブサービス方法及びプログラム |
US8073952B2 (en) | 2009-04-22 | 2011-12-06 | Microsoft Corporation | Proactive load balancing |
US8090797B2 (en) | 2009-05-02 | 2012-01-03 | Citrix Systems, Inc. | Methods and systems for launching applications into existing isolation environments |
JP5119204B2 (ja) * | 2009-05-26 | 2013-01-16 | 株式会社日立産機システム | プログラマブルコントローラ、データ書き込み方法、及び受信モジュール |
FR2948517A1 (fr) | 2009-07-21 | 2011-01-28 | St Ericsson Sa St Ericsson Ltd | Dispositif et procede de detection d'un accessoire bluetooth |
US8789173B2 (en) * | 2009-09-03 | 2014-07-22 | Juniper Networks, Inc. | Protecting against distributed network flood attacks |
US8108734B2 (en) | 2009-11-02 | 2012-01-31 | International Business Machines Corporation | Intelligent rolling upgrade for data storage systems |
US8756684B2 (en) * | 2010-03-01 | 2014-06-17 | Emc Corporation | System and method for network security including detection of attacks through partner websites |
US8640209B2 (en) * | 2010-03-06 | 2014-01-28 | International Business Machines Corporation | Authentication information change facility |
US8381098B2 (en) | 2010-03-29 | 2013-02-19 | International Business Machines Corporation | Webpage request handling |
US8195984B2 (en) | 2010-05-26 | 2012-06-05 | Telcordia Technologies, Inc. | System and method for a staggered execution environment |
US8230262B2 (en) | 2010-07-02 | 2012-07-24 | Oracle International Corporation | Method and apparatus for dealing with accumulative behavior of some system observations in a time series for Bayesian inference with a static Bayesian network model |
US20120054742A1 (en) * | 2010-09-01 | 2012-03-01 | Microsoft Corporation | State Separation Of User Data From Operating System In A Pooled VM Environment |
US8688843B2 (en) * | 2010-11-23 | 2014-04-01 | Qualcomm Incorporated | Selectively granting a floor during set-up of a communication session within a wireless communications system |
US8667114B2 (en) | 2011-02-15 | 2014-03-04 | Seiko Epson Corporation | Program update management server and program update management method |
JP5538310B2 (ja) * | 2011-06-27 | 2014-07-02 | 株式会社エヌ・ティ・ティ・データ | 仮想化システム、および仮想化方法 |
US8510807B1 (en) | 2011-08-16 | 2013-08-13 | Edgecast Networks, Inc. | Real-time granular statistical reporting for distributed platforms |
US8725882B2 (en) * | 2011-09-09 | 2014-05-13 | Oracle International Corporation | Masking database outages from clients and applications |
US8904397B2 (en) | 2011-10-31 | 2014-12-02 | International Business Machines Corporation | Staggering execution of scheduled tasks based on behavioral information |
KR101280910B1 (ko) * | 2011-12-15 | 2013-07-02 | 한국전자통신연구원 | 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법 |
JP5472947B2 (ja) | 2012-03-08 | 2014-04-16 | 株式会社東芝 | ビデオサーバ装置及びそのリビルド処理制御方法 |
US9043632B2 (en) * | 2012-09-25 | 2015-05-26 | Apple Inc. | Security enclave processor power control |
CN104937546B (zh) | 2012-10-12 | 2018-01-23 | 思杰***有限公司 | 用于根据重启调度执行机器重启的方法和装置 |
CN103051623B (zh) * | 2012-12-20 | 2016-05-11 | 微梦创科网络科技(中国)有限公司 | 限制开放平台的调用的方法 |
US9590852B2 (en) | 2013-02-15 | 2017-03-07 | Facebook, Inc. | Server maintenance system |
US9037861B2 (en) | 2013-02-26 | 2015-05-19 | Cellco Partnership | Enhancing data security using re-encryption |
US9645811B2 (en) | 2013-04-01 | 2017-05-09 | Oc Acquisition Llc | Fault tolerance for a distributed computing system |
US9960963B2 (en) | 2013-06-24 | 2018-05-01 | Oracle International Corporation | Dynamic client fail-over during a rolling patch installation based on temporal server conditions |
US20160156611A1 (en) * | 2013-08-19 | 2016-06-02 | Lynxguard Ltd. | Multiparty secret protection system |
US9619352B2 (en) * | 2014-03-20 | 2017-04-11 | Netapp, Inc. | Storage aggregate restoration |
US9740472B1 (en) | 2014-05-15 | 2017-08-22 | Nutanix, Inc. | Mechanism for performing rolling upgrades in a networked virtualization environment |
CN104129847A (zh) * | 2014-06-06 | 2014-11-05 | 武汉风林环境科技有限公司 | 利用木头、腐朽木富集脱氮环境微生物菌群进行一步脱氮的方法 |
CN104133730A (zh) * | 2014-07-30 | 2014-11-05 | 深圳市中兴移动通信有限公司 | 一种***异常的修复方法、装置和移动终端 |
US9591006B2 (en) * | 2014-09-18 | 2017-03-07 | Microsoft Technology Licensing, Llc | Lateral movement detection |
US9501361B2 (en) | 2014-09-26 | 2016-11-22 | Silverstring Ltd. | Disaster recovery system |
US9614853B2 (en) | 2015-01-20 | 2017-04-04 | Enzoo, Inc. | Session security splitting and application profiler |
-
2015
- 2015-08-14 US US14/827,230 patent/US9614853B2/en active Active
- 2015-09-17 US US14/857,775 patent/US9906530B2/en active Active
-
2016
- 2016-01-19 CN CN202011328712.8A patent/CN112559168A/zh active Pending
- 2016-01-19 DK DK16740599.2T patent/DK3248128T3/da active
- 2016-01-19 JP JP2017539368A patent/JP6530495B2/ja active Active
- 2016-01-19 EP EP16740599.2A patent/EP3248128B1/en active Active
- 2016-01-19 CN CN201680006089.XA patent/CN107209701B/zh active Active
- 2016-01-19 PT PT167406008T patent/PT3248100T/pt unknown
- 2016-01-19 EP EP16740600.8A patent/EP3248100B1/en active Active
- 2016-01-19 CN CN201680006399.1A patent/CN107211016B/zh active Active
- 2016-01-19 EP EP20158563.5A patent/EP3674950B1/en active Active
- 2016-01-19 JP JP2017539369A patent/JP6549719B2/ja active Active
- 2016-01-19 ES ES16740600T patent/ES2804174T3/es active Active
- 2016-01-19 CA CA2974000A patent/CA2974000C/en active Active
- 2016-01-19 CA CA2973969A patent/CA2973969C/en active Active
- 2016-01-19 ES ES16740599T patent/ES2854701T3/es active Active
- 2016-01-19 PT PT167405992T patent/PT3248128T/pt unknown
- 2016-01-19 WO PCT/US2016/013942 patent/WO2016118517A1/en active Application Filing
- 2016-01-19 DK DK16740600.8T patent/DK3248100T3/da active
- 2016-01-19 WO PCT/US2016/013944 patent/WO2016118518A1/en active Application Filing
-
2017
- 2017-02-21 US US15/438,192 patent/US10341349B2/en active Active
-
2018
- 2018-01-19 US US15/875,894 patent/US10616229B2/en active Active
-
2019
- 2019-05-16 JP JP2019093027A patent/JP6754468B2/ja active Active
- 2019-05-20 US US16/416,946 patent/US11228593B2/en active Active
- 2019-06-27 JP JP2019119791A patent/JP6754475B2/ja active Active
-
2020
- 2020-03-16 US US16/820,618 patent/US10965678B2/en active Active
- 2020-08-21 JP JP2020140221A patent/JP6952849B2/ja active Active
- 2020-08-21 JP JP2020140219A patent/JP6952848B2/ja active Active
-
2021
- 2021-03-05 US US17/194,132 patent/US11601432B2/en active Active
- 2021-09-28 JP JP2021157853A patent/JP7157222B2/ja active Active
- 2021-12-10 US US17/547,544 patent/US11985130B2/en active Active
-
2022
- 2022-10-06 JP JP2022161621A patent/JP7495460B2/ja active Active
-
2023
- 2023-01-12 US US18/153,546 patent/US20230171256A1/en active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11575715B2 (en) * | 2019-10-28 | 2023-02-07 | International Business Machines Corporation | Dynamically customized cognitive security filter |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
ES2854701T3 (es) | Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones | |
US10523676B2 (en) | Techniques for detecting unauthorized access to cloud applications based on velocity events | |
US10666686B1 (en) | Virtualized exploit detection system | |
RU2571721C2 (ru) | Система и способ обнаружения мошеннических онлайн-транзакций | |
US9401925B1 (en) | Systems and methods for detecting security threats based on user profiles | |
US10148631B1 (en) | Systems and methods for preventing session hijacking | |
US8955138B1 (en) | Systems and methods for reevaluating apparently benign behavior on computing devices | |
US11019494B2 (en) | System and method for determining dangerousness of devices for a banking service | |
US20220255926A1 (en) | Event-triggered reauthentication of at-risk and compromised systems and accounts | |
US9122869B1 (en) | Systems and methods for detecting client types | |
US9571497B1 (en) | Systems and methods for blocking push authentication spam | |
EP3441930A1 (en) | System and method of identifying potentially dangerous devices during the interaction of a user with banking services | |
CN114143071B (zh) | 一种暴力破解检测方法、装置、电子设备及存储介质 | |
RU2757535C2 (ru) | Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам | |
Sasireka et al. | An enhanced intrusion detection system for multitier dynamic web applications | |
CN115550029A (zh) | 远程控制异常的确定方法、装置、存储介质及电子设备 |