ES2854701T3 - Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones - Google Patents

Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones Download PDF

Info

Publication number
ES2854701T3
ES2854701T3 ES16740599T ES16740599T ES2854701T3 ES 2854701 T3 ES2854701 T3 ES 2854701T3 ES 16740599 T ES16740599 T ES 16740599T ES 16740599 T ES16740599 T ES 16740599T ES 2854701 T3 ES2854701 T3 ES 2854701T3
Authority
ES
Spain
Prior art keywords
security
application
session
connection
duration
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
ES16740599T
Other languages
English (en)
Inventor
Robert Pike
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cyemptive Technologies Inc
Original Assignee
Cyemptive Technologies Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cyemptive Technologies Inc filed Critical Cyemptive Technologies Inc
Application granted granted Critical
Publication of ES2854701T3 publication Critical patent/ES2854701T3/es
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5005Allocation of resources, e.g. of the central processing unit [CPU] to service a request
    • G06F9/5027Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals
    • G06F9/505Allocation of resources, e.g. of the central processing unit [CPU] to service a request the resource being a machine, e.g. CPUs, Servers, Terminals considering the load
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5061Partitioning or combining of resources
    • G06F9/5077Logical partitioning of resources; Management or configuration of virtualized resources
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/50Allocation of resources, e.g. of the central processing unit [CPU]
    • G06F9/5083Techniques for rebalancing the load in a distributed system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/083Network architectures or network communication protocols for network security for authentication of entities using passwords
    • H04L63/0846Network architectures or network communication protocols for network security for authentication of entities using passwords using time-dependent-passwords, e.g. periodically changing passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/108Network architectures or network communication protocols for network security for controlling access to devices or network resources when the policy decisions are valid for a limited amount of time
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1425Traffic logging, e.g. anomaly detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/148Migration or transfer of sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computing Systems (AREA)
  • Software Systems (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer And Data Communications (AREA)
  • Debugging And Monitoring (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las sesiones de una aplicación, que incluye: monitorizar o supervisar los tiempos de duración de un conjunto de sesiones de aplicación correspondientes a una primera aplicación de un primer 'host' o dispositivo anfitrión a fin de generar datos de duración de sesión; determinar un primer conjunto de límites temporales de seguridad asociados con la primera aplicación basándose en los datos de duración de sesión para el conjunto de sesiones de la aplicación; detectar una primera sesión de aplicación establecida entre un primer cliente y la primera aplicación del primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad; supervisar o monitorizar la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación; ejecutar una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad; y ejecutar una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad, de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación del resto de sesiones de aplicación asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera sesión de aplicación incluye mover la primera sesión de aplicación a un segundo dispositivo anfitrión.

Description

DESCRIPCIÓN
Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones
REFERENCIA(S) CRUZADA(S) CON OTRAS SOLICITUDES RELACIONADAS
ANTECEDENTES DE LA INVENCIÓN
1. Campo de la invención
[0001] La presente divulgación está relacionada con la seguridad informática frente al acceso no autorizado a recursos informáticos y, más específicamente, está relacionada con realizar perfiles de aplicaciones ('profiling' o perfilado) y con la división de las sesiones y las conexiones de estas aplicaciones en niveles o peldaños de seguridad.
2. Campo de la invención
[0002] En el campo de las comunicaciones en red -o comunicaciones de red(es)- existen muchas clases de seguridad de 'hardware' y 'software', incluyendo los 'firewall' o cortafuegos y los sistemas de detección y prevención de intrusiones. Pero todos ellos fallan en una cuestión fundamental: si las reglas no se aplican correctamente, pueden dar pie a un acceso no autorizado. Los sistemas operativos y las aplicaciones actuales también tienen muchos fallos o 'bugs' que, si se exponen a Internet, pueden permitir el acceso remoto a los servidores que alojan las aplicaciones.
[0003] Los cortafuegos existentes admiten o soportan la inspección de paquetes. Dicha inspección se basa en las reglas o normas que se aplican a una configuración en un 'firewall' o cortafuegos y que tienen limitaciones en lo que respecta al aprendizaje activo, pues no son capaces de hablar o comunicarse con la pila de aplicaciones y la pila de aplicaciones tiene una capacidad limitada para hablar con la pila de seguridad. Normalmente, los cortafuegos tratan de reducir el número de reglas, ya que acarrea un enorme sobrecoste en cada conexión a un 'host' o anfitrión y, a escala, puede causar problemas si se aplican demasiadas reglas.
[0004] US2005188222 A1 desvela un sistema de seguridad que incluye un 'login detector' o 'detector de inicio de sesión' para detectar las sesiones de 'login' o sesiones de inicio de sesión del usuario que se establecen entre una aplicación web de un servidor web y los dispositivos con acceso a la web, y para detectar cuándo el número de fallos de 'login' o inicio de sesión usando la misma identificación de usuario sobrepasa un número predeterminado durante un período de tiempo dado.
RESUMEN
[0005] La presente invención se define y especifica en las reivindicaciones anexas independientes.
[0006] Las realizaciones de la presente divulgación incluyen métodos inteligentes que proporcionan seguridad 'online' frente a los 'hackers' o piratas informáticos, lo cual evita que los 'hackers' obtengan un acceso no autorizado a recursos seguros. En una realización, se desvela un método de seguridad contra el acceso no autorizado a recursos informáticos. Se detecta una primera sesión de aplicación -o una primera sesión de la aplicaciónestablecida entre un primer cliente y una primera aplicación de un primer 'host' o dispositivo anfitrión. La primera aplicación está asociada con un primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles o peldaños de seguridad. Se supervisa o monitoriza la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación. Se ejecutan una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite de tiempo de seguridad del primer conjunto de límites temporales de seguridad. Se ejecutan una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite de tiempo de seguridad del primer conjunto de límites temporales de seguridad.
[0007] En una realización, los límites temporales de seguridad se establecen mediante un proceso de aprendizaje automático. El proceso puede incluir la monitorización del tiempo de duración de un conjunto de sesiones de aplicación previas correspondientes a la primera aplicación a fin de generar los primeros datos de duración de sesión. Después se determina el primer conjunto de límites temporales de seguridad basándose en los primeros datos de duración de sesión para el conjunto de sesiones de aplicación anteriores.
[0008] En una realización, el método también incluye: detectar una segunda sesión de aplicación establecida entre un segundo cliente y una segunda aplicación del -al menos un- servidor, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la segunda aplicación en niveles de seguridad; supervisar o monitorizar la duración de la segunda sesión de aplicación establecida entre el segundo cliente y la segunda aplicación; ejecutar las -una o más- acciones de seguridad primarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance un límite de tiempo de seguridad del conjunto de límites temporales de seguridad; y ejecutar las -una o más- acciones de seguridad secundarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance otro límite de tiempo de seguridad del conjunto de límites temporales de seguridad.
[0009] En una realización, una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye al menos una de las siguientes: búsquedas o comprobaciones de IP, inspección profunda de paquetes (DPI), detección de paquetes malformados o activación de sensores de seguridad de señuelo o 'honeypot'. En una realización, una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación de las demás sesiones de aplicación asociadas o relacionadas con el -al menos undispositivo anfitrión. Aislar la primera sesión de aplicación puede incluir mover la primera sesión de aplicación a un segundo dispositivo anfitrión. Aislar la primera sesión de aplicación también puede incluir mantener la primera sesión de aplicación en el primer dispositivo anfitrión y evitar que las demás sesiones de aplicación se establezcan con el primer dispositivo anfitrión.
[0010] En una realización, el método de seguridad 'online' también puede aplicarse a las conexiones establecidas para las sesiones de aplicación. Otras realizaciones incluyen un medio o soporte legible por ordenador no transitorio que guarda instrucciones. Las instrucciones pueden ejecutarse mediante al menos un procesador para implementar operaciones que eviten el acceso no autorizado a recursos informáticos.
BREVE DESCRIPCIÓN DE LAS ILUSTRACIONES
[0011]
La Figura (FIG. 1) es un diagrama de bloques de un sistema de comunicación en red con una división de sesiones/conexiones, de acuerdo con una realización.
La Figura 2 es un diagrama de una sesión/conexión de una aplicación que se divide o separa en diferentes niveles de seguridad, de acuerdo con una realización.
La Figura 3 es un diagrama de sesiones/conexiones de aplicación para diferentes aplicaciones que se dividen en diferentes niveles de seguridad, de acuerdo con una realización.
La Figura 4 es un diagrama que ilustra el aislamiento de una sesión/conexión de una aplicación, de acuerdo con una realización.
La Figura 5 es un diagrama que ilustra el aislamiento de una sesión/conexión de una aplicación, de acuerdo con otra realización.
La Figura 6 es un diagrama de bloques de un módulo administrador de sesiones/conexiones de la Figura 1, de acuerdo con una realización.
La Figura 7 es un diagrama de flujo de un método para analizar o realizar un 'profiling' de las sesiones/conexiones de una aplicación y hallar o determinar los límites de tiempo, de acuerdo con una realización.
La Figura 8 es un diagrama de flujo de un método para la seguridad de división de las sesiones/conexiones, de acuerdo con una realización.
La Figura 9 ilustra la arquitectura de 'hardware' de un dispositivo informático, de acuerdo con una realización. DESCRIPCIÓN DETALLADA
[0012] A continuación analizaremos detalladamente varias realizaciones de la presente divulgación, de manera que en las figuras adjuntas se ilustran diversos ejemplos. Debe entenderse que, siempre que sea posible, en las figuras pueden usarse números de referencia iguales o similares para hacer referencia a funciones iguales o similares. Las figuras muestran o representan realizaciones de la presente divulgación por motivos meramente ilustrativos. Gracias a la siguiente descripción, las personas versadas en este campo comprenderán que es posible emplear realizaciones alternativas de los métodos y estructuras ilustrados en el presente documento sin apartarse por ello de los principios, o los beneficios, de la divulgación que se describe en el presente documento.
[0013] El futuro de la seguridad de las aplicaciones 'online' se basa en el aprendizaje de la seguridad a nivel de máquinas y en permitir que los sistemas de seguridad analicen o realicen un perfil de los flujos promedio de las sesiones de aplicación. Los flujos promedio de las sesiones de aplicación pueden cambiar los puntos de activación de una sesión de activación multifase. Cuanto más dure una sesión, mayor será el riesgo de que la sesión esté comprometida. Las realizaciones de la presente divulgación analizan o trazan el perfil de una sesión y, dependiendo del tiempo o el estado, inician acciones de seguridad; por ejemplo, analizarán la sesión en busca de flujos de paquetes anormales o copiarán los flujos de paquetes para reproducirlos en una 'sandbox' -o entorno aislado- de seguridad analítica controlada.
[0014] Las realizaciones de la presente divulgación están relacionadas con un componente de una plataforma de sistemas de seguridad que analiza o realiza perfiles de aplicaciones para evitar que los 'hackers' tengan acceso a conjuntos de datos de fondo -o bases de datos 'back-end'- e impedir el acceso continuo a cualquier conjunto de datos. Las realizaciones de la presente divulgación también dividen o separan varias sesiones de aplicación de diversas redes y aplicaciones en niveles/segmentos de seguridad dentro de una sola sesión y aumentan el grado de seguridad para cada nivel/segmento de seguridad a lo largo del tiempo. Más particularmente, las realizaciones de la presente divulgación pueden impedir el acceso a recursos no autorizados mediante el uso de niveles de seguridad crecientes a fin de obtener una mayor seguridad. Las realizaciones de la presente divulgación también pueden dividir las conexiones en niveles de seguridad y aumentar el grado de seguridad para cada nivel de seguridad a lo largo del tiempo.
[0015] La Figura 1 (FIG. 1) es un diagrama de bloques de un sistema de comunicaciones en red con una seguridad de división de sesión y conexión, de acuerdo con una realización. El sistema incluye varios dispositivos cliente 105, una red 110, un rúter o enrutador 115, un 'firewall' o cortafuegos 120, un equilibrador o distribuidor de carga 125, servidores frontales o servidores 'front-end' 130, servidores de fondo o servidores 'back-end' 135 y una base de datos 140. Los dispositivos informáticos como el rúter 115, el cortafuegos 120, el distribuidor de carga 125, el servidor frontal 130, el servidor de fondo 135 y la base de datos 140 pueden conformar un centro de datos al que se accede por medio de los clientes 105 y a través de la red 110. Por motivos ilustrativos, en la Figura 1 sólo se muestran dos clientes 105 y dos servidores frontales 130. Es posible que en otras realizaciones haya un mayor número de dispositivos cliente 105 y servidores frontales 130.
[0016] Los dispositivos cliente 105 pueden ser dispositivos informáticos, como 'smartphones' o teléfonos inteligentes, tabletas, ordenadores portátiles y ordenadores de sobremesa, entre otros. El usuario interactúa con el 'software' de los dispositivos cliente 105 a través de una interfaz o superficie de contacto, como una pantalla táctil o un ratón, y un teclado. El usuario controla los dispositivos cliente 105 para establecer conexiones y sesiones de aplicación con diversas aplicaciones alojadas en los servidores frontales 130.
[0017] Los servidores frontales 130 son dispositivos informáticos de la familia de los servidores que pueden incluir uno o más procesadores y ejecutan un sistema operativo. Los servidores 130 alojan diversas aplicaciones de 'software' 150 y en el presente documento también pueden denominarse 'host' o 'dispositivo anfitrión'. Por ejemplo, las aplicaciones 150 pueden alojar una aplicación de pagos con tarjeta de crédito 150A, un sitio web 150B y una aplicación de banca 'online' 150C. Otros ejemplos de dispositivos anfitriones que alojan aplicaciones 150 pueden ser los productos electrónicos en general, los teléfonos, las tabletas, los sistemas de control de vuelo de los aviones, etc.
[0018] Los dispositivos cliente 105 pueden establecer conexiones de red C1-C6 con las aplicaciones 150 a través de la red 110, el rúter 115, el cortafuegos y el distribuidor de carga 125. Una conexión se usa como un canal de comunicación bidireccional entre los 'sockets' de los dispositivos cliente 105 y los servidores 150. La conexión se establece en un punto temporal determinado, por ejemplo usando un proceso de establecimiento de comunicación o, en ocasiones, no usándolo, y después se termina o interrumpe en un punto temporal posterior. La conexión puede incluir varios estados definidos o determinados por un protocolo. Un ejemplo de un tipo de conexión es la conexión mediante el protocolo de control de transmisión (o TCP, por sus siglas en inglés) bajo la capa de transporte del modelo de interconexión de sistemas abiertos (o modelo OSI).
[0019] Los dispositivos cliente 105 también establecen sesiones de aplicación S1-S6 con las aplicaciones 150 a través de las conexiones C1-C6. Una sesión de aplicación -o sesión de la aplicación- es un intercambio de información interactivo entre dos o más entes o entidades comunicantes para una aplicación dada. La sesión de aplicación se establece en un punto temporal determinado y, después, finaliza en en un punto temporal posterior. Durante la sesión de aplicación, pueden enviarse uno o más mensajes -que soliciten información o respondan a peticiones o solicitudes- en cada dirección a través de una conexión que se haya establecido para la sesión. El estado (por ejemplo, conectado, desconectado, inactivo, descargando o en descarga, buscando, modificando o actualizando los datos existentes, dañando o eliminando datos, activar alarmas, estado del contador de tiempo, clave coincidente, clave modificada, estado del factor de riesgo) de la sesión puede mantenerse mediante el servidor frontal 130A o los clientes 105. En una realización, las sesiones de aplicación son sesiones de la capa de sesión OSI que están situadas por encima de la capa de transporte. Algunos ejemplos de sesiones pueden ser las sesiones HTTP, las sesiones FTP y las sesiones SMTP, entre otras.
[0020] En un ejemplo, puede iniciarse una sesión de autentificación de una tarjeta de crédito (por ejemplo, S1, S2) cuando un usuario pasa una tarjeta de crédito por un dispositivo cliente 105A y el dispositivo cliente 105A establece una conexión y una sesión con la aplicación de pago con tarjeta de crédito 150A. La aplicación de pago con tarjeta de crédito 150A se comunica con el dispositivo cliente 105A para obtener el número de la tarjeta de crédito y cargar una cantidad desde el dispositivo cliente 105A. Después, la aplicación de pago con tarjeta de crédito 150A accede a la base de datos 140 a través del servidor de fondo 135 para determinar si el número de tarjeta de crédito tiene el crédito suficiente para tramitar el pago. Después, la aplicación de pago con tarjeta de crédito 150A proporciona una respuesta de sí/no al dispositivo cliente 105A. La conexión y la sesión finalizan tras proporcionar la respuesta al dispositivo cliente 105A.
[0021] En otro ejemplo, puede iniciarse una sesión de solicitud web (por ejemplo, S3, S4) cuando un usuario introduce una URL en un navegador en un cliente 105B. El dispositivo cliente 105B establece una sesión con el sitio web 150B. El servidor frontal 130A (esto es, el servidor web) puede estar procesando o tramitando múltiples sesiones. El servidor frontal 130A inicia un contador de tiempo por cada sesión. El usuario tiene una cantidad de tiempo 'x' para completar un formulario o solicitud antes del cierre de la sesión. Un servidor frontal diferente 130B puede procesar el envío del formulario o solicitud desde la sesión inicial debido al tiempo requerido para completar los datos del formulario web.
[0022] En otro ejemplo, puede iniciarse una sesión de banca 'online' (por ejemplo, S5, S6) cuando un usuario abre una aplicación de banca móvil en el dispositivo cliente 105B, y el dispositivo cliente 105B establece una conexión y una sesión con la aplicación de banca 'online' 150C. La aplicación de banca 'online' 150C se comunica con el dispositivo cliente 105C para obtener la información de autentificación desde el dispositivo cliente 105C. Una vez autentificada, el dispositivo cliente 105C puede solicitar los saldos de cuentas o subir copias de cheques para depósitos, y también puede realizar otras solicitudes bancarias. La aplicación bancaria 150C puede acceder a la información de la cuenta almacenada en la base de datos 140 a través de un servidor de fondo 135 para procesar o tramitar estas solicitudes.
[0023] El servidor de fondo 135 proporciona acceso a los datos o la información guardada en la base de datos 140. Cualquiera de las aplicaciones 150 puede solicitar información al servidor de fondo 135, que después recupera o extrae la información de la base de datos 140 y proporciona la información a la aplicación 150. Un servidor SQL es un ejemplo de un servidor de fondo 135. Los 'hackers' intentan acceder a menudo a los datos o información de la base de datos 140 mediante sesiones o conexiones 'hackeadas' o pirateadas, y el módulo administrador de sesiones/conexiones 152 trata de detectar estas sesiones y conexiones pirateadas antes de que accedan con éxito a la información. En el caso de las sesiones secuestradas, un 'hacker' ampliará la línea temporal de la sesión y es aquí donde aumenta el factor de riesgo y el módulo administrador de sesiones/conexiones 152 puede aumentar la seguridad y activar las alertas.
[0024] El módulo administrador de sesiones/conexiones 152 proporciona seguridad frente a las sesiones/conexiones 'hackeadas' o pirateadas. En cada sesión/conexión, el módulo administrador de sesiones/conexiones 152 divide la sesión/conexión en diferentes niveles de seguridad activados por tiempo. Al hacer que las sesiones/conexiones se dividan en base al tiempo en niveles de seguridad, pueden activarse o ponerse en marcha diferentes acciones en función de los niveles separados o divididos de una única sesión/conexión. En cada sesión, el módulo administrador de sesiones/conexiones 152 aplica una o más acciones de seguridad a la sesión/conexión. En una realización, se aplica una acción de seguridad contra una sesión/conexión ejecutando un código de programa informático -o código de un programa de 'software'- para la acción de seguridad en una unidad de procesamiento (por ejemplo, un procesador, un controlador o un circuito integrado específico de una aplicación personalizada).
[0025] Las acciones o medidas de seguridad pueden ser acciones diseñadas para detectar a un 'hacker', o para impedir que un 'hacker' complete con éxito un 'hack' o pirateo, analizando los datos o la información de la sesión. Los ejemplos de acciones de seguridad pueden incluir las búsquedas de la IP, activar sensores de 'honeypot' o sensores señuelo, el aislamiento de la sesión/conexión, la inspección profunda de paquetes (DPI), contener las sesiones/conexiones, las alertas de seguridad, el rastreo o seguimiento de la sesión/conexión, la grabación o registro de la sesión/conexión, aplicar el aprendizaje automático a las sesiones/conexiones y el control total/las alertas y la finalización de las sesiones/conexiones. Los niveles de seguridad iniciales pueden incluir reglas diferentes y pueden estar configurados para tener pocas o ninguna acción de seguridad a fin de reducir los falsos positivos, mientras que los niveles de seguridad posteriores pueden incluir más acciones de seguridad que requieren muchos recursos. En los niveles de seguridad posteriores, el módulo administrador de sesiones/conexiones 152 puede informar o avisar al resto de dispositivos -como el rúter 115, el cortafuegos 120 o el distribuidor de carga 125-de una sesión/conexión de alto riesgo para la seguridad y hacer que el resto de dispositivos apliquen acciones de seguridad a la sesión/conexión.
[0026] El módulo administrador de sesiones/conexiones 152 supervisa o monitoriza el tiempo de duración de una sesión/conexión y, después, hace avanzar la seguridad de un nivel de seguridad al siguiente cuando el tiempo de duración de la sesión/conexión alcanza ciertos límites en cuanto al tiempo de seguridad. Se espera que la mayoría de las sesiones/conexiones normales se completen antes de alcanzar los límites temporales de seguridad. Se espera que solo las sesiones/conexiones pirateadas sobrepasen los límites temporales de seguridad. Por consiguiente, las acciones de seguridad con más recursos sólo se aplican a las sesiones/conexiones que presentan un mayor riesgo de ser 'hackeadas' o pirateadas. Como resultado de ello, aumentar los niveles de seguridad a medida que pasa el tiempo tiene la ventaja técnica de mejorar el funcionamiento de los servidores frontales 130 reduciendo la carga informática del 'hardware' informático, como el procesador y la memoria, de los servidores frontales 130 al aumentar metódicamente los niveles de seguridad durante períodos de tiempo particulares de una sesión, manteniendo al mismo tiempo un alto grado de seguridad frente a los 'hackers'.
[0027] El hecho de contar con diferentes acciones de seguridad en diferentes intervalos de tiempo también permite que las herramientas comprendan qué es una sesión normal y qué es una sesión 'hackeada' o pirateada y finalicen, rastreen, monitoricen, registren, prioricen o analicen de forma acorde el estado de la sesión. De manera adicional, en última instancia la conexión y la sesión concluyen al finalizar la sesión en función de que un 'hacker' se vaya o se vea obligado a irse. Cuando un 'hacker' regresa, algunos datos de huella digital que se han perfilado o analizado de los intentos de 'hackeo' previos del 'hacker' pueden usarse para identificar al 'hacker' e, inmediatamente, subir o aumentar un nivel de riesgo, lo cual activa el proceso de registro o grabación o aplica más sensores de seguridad, mientras el sistema aprende cómo el 'hacker' está intentando subir o aumentar sus privilegios de acceso al 'host' o anfitrión o al sistema de fondo ('back-end system', en inglés). Una vez que los estados de las sesiones conectadas se han eliminado/han finalizado, el aprendizaje automático puede autocorregir el fallo o 'agujero' encontrado y finalizar la sesión para impedir la entrada del 'hacker'.
[0028] Los límites temporales de seguridad pueden ser diferentes para cada tipo de aplicación 150. En una realización, el módulo administrador de sesiones/conexiones 152 determina de forma separada los límites temporales de seguridad para cada aplicación mediante un proceso de aprendizaje automático. El proceso de aprendizaje monitoriza o supervisa los tiempos de duración de las sesiones/conexiones previas de una aplicación, genera datos sobre la duración de las sesiones/conexiones a partir de los tiempos de duración de las sesiones/conexiones y guarda los datos sobre la duración de las sesiones/conexiones en los perfiles de seguridad de aplicaciones de una base de datos de perfiles de seguridad de aplicaciones 154. Posteriormente, pueden determinarse los límites temporales de seguridad para las sesiones/conexiones de una aplicación a partir de los datos de duración de las sesiones/conexiones en el perfil de seguridad de la aplicación, lo cual da como resultado unos límites temporales de seguridad que están adaptados o personalizados de un modo óptimo para cada aplicación 150. En otra realización, pueden ampliarse los límites temporales de las sesiones pirateadas a fin de obtener un mayor aprendizaje automático en función de la configuración y los factores de riesgo del usuario final.
[0029] La red 110 contiene las vías de comunicación entre los clientes 105 y el rúter 115. La red 110 puede incluir redes cableadas, redes inalámbricas o una combinación de redes cableadas e inalámbricas. El rúter 115 es un dispositivo de red que dirige o 'enruta' paquetes de datos entre la red 110 y el cortafuegos 120. El cortafuegos 120 puede filtrar el tráfico de datos y bloquear determinados paquetes de datos si estos no cumplen las normas o reglas del cortafuegos. El distribuidor de carga 125 distribuye el tráfico de las aplicaciones por un gran número de servidores 130.
[0030] En una realización, el módulo administrador de sesiones/conexiones 152 puede implementarse como instrucciones de 'software', lógica de 'hardware' o como una combinación de 'software' y 'hardware'. En una realización, el módulo administrador de sesiones/conexiones 152 puede ubicarse en otra parte del sistema, por ejemplo en el rúter 115, el cortafuegos 120, el distribuidor de carga 125 o el servidor de fondo 135. En otras realizaciones, las funciones del módulo administrador de sesiones/conexiones 152 pueden distribuirse por diversos dispositivos informáticos.
[0031] Refiriéndonos ahora a la Figura 2, se ilustra una sesión o conexión de una aplicación dividida o separada en diferentes niveles de seguridad, de acuerdo con una realización. La sesión/conexión de la Figura 2 se divide en cuatro niveles de seguridad: el nivel de seguridad A 202, el nivel de seguridad B 204, el nivel de seguridad C 206 y el nivel de seguridad D 208. Cada nivel de seguridad se corresponde con un grado de seguridad más alto que se aplica a la sesión/conexión a medida que aumenta la extensión o duración de la sesión/conexión. Cada nivel de seguridad sucesivo se activa cuando el tiempo de duración de la sesión/conexión de la aplicación alcanza un límite temporal de seguridad diferente. Cada nivel de seguridad incluye diversas fases o tramos de seguridad (es decir, subniveles de seguridad) durante los cuales se llevan a cabo acciones de seguridad específicas. En términos generales, el estado de la sesión/conexión tiene diferentes fases o tramos y, a medida que pasa el tiempo, aumenta la seguridad de la sesión/conexión y se aplican diferentes reglas y acciones de seguridad.
[0032] El nivel de seguridad A 202 dura 9 segundos. Durante el nivel de seguridad A 202 se aplica un número mínimo de acciones de seguridad (por ejemplo, pocas o ninguna acción de seguridad) a la sesión/conexión. Generalmente, las acciones de seguridad no son necesarias durante el nivel de seguridad A 202, pues se espera que la mayoría de las sesiones/conexiones de aplicaciones normales terminen antes de que finalice el nivel de seguridad A 202.
[0033] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad A, el grado de seguridad aumenta desde el nivel de seguridad A 202 hasta el nivel de seguridad B 204. El nivel de seguridad B 204 dura 9 segundos y durante el mismo se aplican acciones de seguridad básicas a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 4 del nivel de seguridad B, puede buscarse o consultarse la dirección IP del dispositivo cliente 105 para determinar si dicha dirección es sospechosa. La dirección IP puede ser sospechosa si procede de determinados países o si es un servidor proxy o si los análisis de factores predeterminados establecen que la IP es sospechosa. Si la dirección IP es sospechosa, el grado de seguridad puede aumentarse inmediatamente al nivel de seguridad C 206 saltándose cualquier acción de seguridad de las fases de seguridad 5 y 6.
[0034] En otro ejemplo, durante la fase 5 del nivel de seguridad B, pueden activarse los sensores de seguridad de señuelo o sensores de seguridad 'honeypot'. Los sensores de seguridad 'honeypot' están adjuntos a carpetas de archivos que contienen datos falsos, es decir, no contienen datos reales. Las carpetas con datos falsos pueden tener sensores de seguridad adjuntos que generan una alerta de seguridad cuando se accede a los archivos de la carpeta o se abre la carpeta. Por ejemplo, la estructura de un directorio puede incluir las carpetas 7home/user1/", 7home/user2/", 7home/user3/". Los datos reales solo se guardan en la carpeta 7home/user3/", pero no en los directorios 7home/user1/" o 7home/user2/7 Un 'hacker' que acceda al árbol de directorios no sabrá qué directorio contiene datos reales y qué directorios contienen datos falsos. Por consiguiente, es probable que el 'hacker' abra la carpeta señuelo o carpeta 'honeypot' durante la sesión/conexión y active el sensor de seguridad 'honeypot'.
[0035] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad B 204 (esto es, el límite temporal de 18 segundos desde el inicio de la sesión/conexión), el grado de seguridad aumenta desde el nivel de seguridad B 204 hasta el nivel de seguridad C 206. El nivel de seguridad C 206 dura 9 segundos y durante el mismo se aplican acciones de seguridad intermedias a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 7 del nivel de seguridad C 206, la sesión/conexión de la aplicación puede aislarse del resto de sesiones de aplicación. El aislamiento de la sesión/conexión se explicará más adelante en referencia a las figuras 4 y 5.
[0036] En otro ejemplo, durante la fase 8 del nivel de seguridad C 206, puede realizarse una inspección profunda de paquetes (DPI) en los paquetes de datos de la sesión/conexión de la aplicación para determinar si los paquetes de datos son sospechosos. Los paquetes de datos pueden ser sospechosos si se determina que incluyen anomalías de protocolo o inyecciones SQL o si son paquetes malformados.
[0037] En otro ejemplo, durante la fase 9 del nivel de seguridad C, se puede avisar o informar al resto de dispositivos de red (por ejemplo, el rúter 115, el cortafuegos 120 o el distribuidor de carga 125) sobre la sesión de alto riesgo. En ese momento, el resto de dispositivos de la red pueden iniciar su propio análisis de los datos en relación con la sesión de alto riesgo y pueden proporcionar esta información al módulo administrador de sesiones/conexiones 152.
[0038] Cuando la sesión/conexión alcanza el límite temporal de 9 segundos del nivel de seguridad C 206 (esto es, el límite temporal de 27 segundos desde el inicio de la sesión/conexión), el grado de seguridad aumenta desde el nivel de seguridad C 206 hasta el nivel de seguridad D 208. El nivel de seguridad D 208 dura 9 segundos y durante el mismo se aplican acciones de seguridad avanzadas a la sesión/conexión de la aplicación. Por ejemplo, durante la fase 10 del nivel de seguridad C 206, la sesión/conexión de la aplicación puede contenerse, lo cual impide o interrumpe el acceso a los datos reales y solo permite acceder a los datos falsos. Durante la fase 11 del nivel de seguridad D, pueden llevarse a cabo acciones de alerta, rastreo y registro. La alerta incluye avisar a un administrador de la red de una sesión potencialmente pirateada, por ejemplo mediante correo electrónico o un texto de SMS. El rastreo incluye rastrear el flujo de acciones realizadas durante la sesión de la aplicación, por ejemplo la orden en la que se accedió a los directorios de archivos durante la sesión de la aplicación. El registro -o grabaciónincluye almacenar los datos obtenidos durante el rastreo para su posterior análisis 'offline' con herramientas externas a fin de realizar una investigación más a fondo. La sesión/conexión también puede terminar al finalizar la fase 12.
[0039] En la Figura 2 se muestra que todos los niveles y fases de seguridad tienen la misma duración. En otras realizaciones, los niveles y fases de seguridad pueden tener tiempos de duración diferentes. En la Figura 2 sólo se muestran algunas acciones de seguridad para algunas fases de seguridad, pero otras acciones de seguridad que se muestran en la Figura 2 también pueden llevarse a cabo durante el resto de fases de seguridad. Asimismo, las acciones de seguridad pueden aplicarse en un orden diferente y durante fases de seguridad diferentes a las que se muestran en la Figura 2.
[0040] Asimismo, dividir la seguridad en niveles de seguridad a medida que pasa el tiempo no impide necesariamente que el módulo administrador de sesiones/conexiones 152 ejecute o tenga en marcha una alta seguridad todo el tiempo. Simplemente, pueden aplicarse diferentes conjuntos de reglas de seguridad durante diferentes niveles de seguridad 202, 204, 206 y 208. Esto evita los falsos positivos y, al mismo tiempo, permite que los recursos informáticos se centren en las sesiones/conexiones pirateadas, que normalmente duran más que las sesiones/conexiones no pirateadas. Por ejemplo, el nivel de seguridad B 204 también puede incluir un conjunto de reglas que aplican la inspección profunda de paquetes (DPI), pero solo si la búsqueda de IP indica que la IP es sospechosa.
[0041] La Figura 3 es un diagrama de sesiones/conexiones de aplicación para diferentes aplicaciones que se dividen en diferentes niveles de seguridad, de acuerdo con una realización. La extensión o duración de los niveles de seguridad varía dependiendo del tipo de aplicación. En el caso de una aplicación que procesa o tramita tarjetas de crédito 150A, los niveles de seguridad pueden durar 9 segundos y cada fase de seguridad dura 3 segundos. En el caso de una aplicación web 150B, los niveles de seguridad pueden durar 90 segundos y cada fase de seguridad dura 30 segundos. En el caso de una aplicación de banca 'online' 150C, los niveles de seguridad pueden durar 9 minutos y cada fase de seguridad dura 3 minutos.
[0042] Refiriéndonos al ejemplo de la tarjeta de crédito, habitualmente una aplicación que procesa tarjetas de crédito 150A con un funcionamiento normal procesará o tramitará una transacción en 5-10 segundos y proporcionará una respuesta de crédito aprobado o denegado en 5-10 segundos. Las realizaciones de la presente divulgación analizan o realizan un perfil de la aplicación 150A para las transacciones promedio con tarjeta de crédito y determinan los límites temporales de la sesión/conexión -basados en el tiempo- para el sistema a partir del tiempo de transacción promedio con las tarjetas de crédito.
[0043] Las acciones de seguridad que se llevan a cabo en los niveles de seguridad pueden ser las mismas en diferentes aplicaciones independientemente de la aplicación. Por ejemplo, las búsquedas o comprobaciones de IP pueden realizarse durante el nivel de seguridad B 204 en las tres aplicaciones.
[0044] La Figura 4 es un diagrama que ilustra el aislamiento de una sesión de una aplicación, de acuerdo con una realización. La Figura 5 es un diagrama que ilustra el aislamiento de una sesión de una aplicación, de acuerdo con otra realización. Tanto la Figura 4 como la Figura 5 ilustran la acción de seguridad para el aislamiento de sesiones/conexiones de la fase 7 de la Figura 2.
[0045] El aislamiento de la sesión/conexión de la Figura 4 se produce manteniendo la sesión/conexión de alto riesgo en el servidor original y permitiendo que se completen otras sesiones/conexiones establecidas con el servidor 130A mientras se impide que se establezcan nuevas sesiones/conexiones con las aplicaciones 150 de dicho servidor 130A. Inicialmente, hay seis sesiones S1-S6 establecidas con las aplicaciones 150, y las correspondientes conexiones C1-C6. Entonces se determina que la sesión S3 ha permanecido abierta durante un período de tiempo inusualmente largo y debería aislarse. Para aislar la sesión S3, se permite que se completen las sesiones S1, S2, S4, S5 y S6. No obstante, no se permite que se establezca ninguna sesión nueva con el servidor 130A. Al final, la sesión S3 es la única sesión establecida con las aplicaciones 150 del servidor 130A, aislando así la sesión S3 y la conexión C3.
[0046] De manera alternativa, para aislar la sesión de alto riesgo S3, el resto de sesiones (S1, S2, S4, S5, S6) pueden moverse del servidor frontal 130A a otro servidor frontal 130B para que estén protegidas frente a los datos comprometidos por la sesión de alto riesgo S3 o su conexión. El tiempo de la sesión de alto riesgo se alarga más allá de lo que se permite normalmente y se adoptan acciones o medidas de seguridad adicionales contra las sesiones: se realizan análisis, se registran paquetes, se pone en marcha una monitorización más profunda o exhaustiva, y se cierran las conexiones/sesiones con todos los datos de origen para rastrear y monitorizar qué ha pasado o qué estaba pasando. Se implementan listas de control de acceso (ACLs) dinámicas para impedir que la sesión de mayor riesgo S3 realice cualquier tipo de búsqueda amplia o escaneo, o descargue conjuntos de datos más grandes. También pueden limitarse o eliminarse las conexiones a bases de datos 140 en función del factor de riesgo de la sesión. También puede registrarse una dirección IP relacionada con la sesión S3 y puede obligarse a conectarse de nuevo al cliente 105. La segunda vez que se establece la sesión S3, el módulo administrador de sesiones/conexiones 152 está en modo de registro completo a fin de grabar o registrar las actividades de la sesión pirateada S3. La sesión pirateada S3 también puede controlarse o manipularse para que muestre datos falsos o incorrectos con el objetivo de engañar a un 'hacker' y hacerle creer que ha descubierto datos o información cuando, en realidad, no lo ha hecho. Las bases de datos de fondo 140 también pueden ser reales o haberse sustituido por bases de datos falsas.
[0047] El aislamiento de la sesión/conexión de la Figura 5 se produce moviendo una sesión/conexión entre servidores. Inicialmente, hay seis sesiones S1-S6 (y las correspondientes conexiones C1-C6) establecidas con las aplicaciones 150 en el servidor frontal A 130A. Entonces se determina que la sesión S3 ha permanecido abierta durante un período de tiempo inusualmente largo y debería aislarse. Para aislar la sesión S3, la sesión S3 y la conexión C3 se mueven del servidor frontal A 130A a un servidor frontal B diferente 130B. El resto de sesiones S1, S2, S4, S5 y S6 y conexiones C1, C2, C4, C5 y C6 no se ven afectadas y permanecen en el servidor frontal 130A.
[0048] Tal y como se muestra en la Figura 5, dependiendo del tiempo de la sesión, el estado de la sesión S3 y la conexión C3 puede moverse a otro servidor B 130B mediante un 'mirror' o espejo o un salto de sesión. También se informa de este movimiento a los dispositivos anteriores o dispositivos 'upstream' (por ejemplo, el rúter 115, el cortafuegos 120, el distribuidor de carga 125). Esto permite realizar una migración completa de la sesión/conexión sin desconectar la sesión/conexión de los usuarios o sin que los usuarios detecten que se ha producido un cambio o movimiento de estado completo. Si en este caso un 'hacker' ha estado conectado al servidor frontal 130A y ha subido un 'script' remoto para comprometer o poner en riesgo el servidor 130A, el salto de sesión/conexión dejará los bits de la aplicación cambiada en el servidor previo 130A y se impedirá -o se podría impedir- que la sesión/conexión del 'hacker' funcione. Un salto o una conmutación por error ('failover', en inglés) de una sesión/conexión pueden empezar a generar alertas en función del salto y también tienen múltiples niveles de cambio de estado.
[0049] Asimismo, el servidor frontal B 130B puede ser un servidor de seguridad especializado. El servidor de seguridad especializado tiene la capacidad de registrar todos los paquetes de las sesiones/conexiones en tiempo real y permite reproducir los paquetes para analizar cómo ha entrado un 'hacker' en el sistema, tal y como se ha descrito previamente.
[0050] La Figura 6 es un diagrama de bloques de un módulo administrador de sesiones/conexiones 152 de la Figura 1, de acuerdo con una realización. El módulo administrador de sesiones/conexiones 152 incluye un módulo de monitorización de sesiones/conexiones 605, un módulo de perfiles de aplicaciones 610, un módulo de avance o aumento del grado de seguridad 615, un módulo de acciones de seguridad 620 y un módulo de determinación de los límites temporales 625. En una realización, cada módulo se implementa en forma de instrucciones de 'software' guardadas en un medio o soporte legible por ordenador.
[0051] El módulo de monitorización de las sesiones/conexiones 605 supervisa o monitoriza las aplicaciones 150 o el tráfico de la red o detecta cuándo se establecen nuevas sesiones/conexiones de aplicación entre cualquiera de los clientes 105 y cualquiera de las aplicaciones 150. Cuando se detecta una nueva sesión/conexión de aplicación, el módulo de monitorización de sesiones/conexiones 605 mantiene un contador de sesiones/conexiones para la sesión/conexión que indica el tiempo de duración de la sesión. También se mantiene un contador de sesiones/conexiones independientes para cada sesión/conexión de manera que la duración de las sesiones/conexiones pueda rastrearse o monitorizarse de forma separada. En cualquier momento dado, el módulo de monitorización de sesiones/conexiones 605 puede estar monitorizando múltiples sesiones/conexiones para múltiples aplicaciones 150. El módulo de monitorización de sesiones/conexiones 605 también puede identificar el tipo de aplicación 150 para el que se estableció la sesión/conexión de aplicación.
[0052] El módulo de perfiles de aplicaciones 610 implementa un proceso de aprendizaje para registrar el tiempo de duración de las sesiones/conexiones y generar datos de duración de las sesiones/conexiones para los perfiles de seguridad de las aplicaciones 154. En una realización, el módulo de perfiles de aplicaciones 610 registra los tiempos de duración de las sesiones/conexiones para las sesiones/conexiones de una aplicación 150. Los tiempos de duración de las sesiones/conexiones se procesan para generar datos de duración de las sesiones/conexiones para la aplicación 150. Los ejemplos de datos de duración de sesiones/conexiones incluyen: (1) el tiempo de duración más corto observado de las sesiones/conexiones de la aplicación; (2) el tiempo de duración más largo observado de las sesiones/conexiones de la aplicación; (3) el tiempo de duración promedio observado de las sesiones/conexiones de la aplicación; (4) las duraciones o tiempos de duración reales de las sesiones/conexiones de la aplicación; y cualesquiera otros datos de duración relevantes. Después, los datos de duración de las sesiones/conexiones se almacenan en un perfil de seguridad de aplicación para la aplicación 150. El proceso se repite con las diferentes aplicaciones 150, de manera que cada aplicación 150 posee su propio perfil de seguridad de aplicación único.
[0053] El módulo de perfiles de aplicaciones 610 tambien puede registrar información sobre el estado de los 'hacks' e indicar si una sesión/conexión se considera 'hackeada' o pirateada o no, lo cual se almacena en los perfiles de seguridad de aplicación en asociación con los tiempos de duración de las sesiones/conexiones. Se considera que una sesión/conexión está 'hackeada', por ejemplo, cuando un 'hacker' ha estado activando los señuelos o 'honeypots' del sistema o se han activado otros sensores de seguridad.
[0054] El módulo de determinación de límites temporales 625 accede a los datos de duración de las sesiones/conexiones que están en los perfiles de seguridad de aplicación y usa estos datos para determinar los límites temporales de seguridad, separando un nivel de seguridad del siguiente nivel de seguridad. Los límites temporales de seguridad para una aplicación se obtienen a partir de los datos de duración de sesiones/conexiones para dicha aplicación sólo. Por consiguiente, los límites temporales de seguridad para la aplicación A 150A, los límites temporales de seguridad para la aplicación B 150B y los límites temporales de seguridad para la aplicación C 150C serán todos diferentes.
[0055] Los límites temporales de seguridad pueden obtenerse a partir de datos de duración de sesiones/conexiones registrados previamente usando fórmulas matemáticas predeterminadas. Los límites temporales de seguridad para las sesiones se computan o calculan a partir de los datos de duración de las sesiones, y los límites temporales de seguridad para las conexiones se calculan a partir de los datos de duración de las conexiones. Por ejemplo, los límites temporales de seguridad para las sesiones de una aplicación pueden calcularse como múltiplos (por ejemplo, x2 (o 2x), x6, x8, x10) de la duración promedio de las sesiones de la aplicación. En otro ejemplo, los límites temporales para las sesiones de una aplicación pueden calcularse como múltiplos de la duración de sesión más larga observada (por ejemplo, x1, x2, x3, x4) de las sesiones de la aplicación. Por lo tanto, cada tipo de aplicación 150 tendrá los límites temporales de seguridad que mejor reflejen o indiquen las características de las sesiones/conexiones de esa aplicación en particular.
[0056] El módulo de determinación de los límites temporales 625 también puede determinar los límites temporales que separan una fase de seguridad de otra fase seguridad usando para ello un proceso similar. Además, la información sobre el estado de los 'hacks' puede usarse para conocer cómo difieren las duraciones de las sesiones/conexiones normales respecto a las sesiones/conexiones 'hackeadas' o pirateadas, lo cual, a su vez, se usa para establecer los límites temporales de seguridad.
[0057] El módulo de avance o aumento del grado de seguridad 210 controla el avance o subida de un nivel de seguridad al siguiente. Para una determinada sesión, el módulo de avance del grado de seguridad 210 compara la duración de la sesión/conexión con los límites temporales establecidos para dicha sesión. Cuando la comparación indica que la duración de la sesión/conexión ha alcanzado el correspondiente límite temporal, el módulo de avance del grado de seguridad 210 asciende o hace avanzar el nivel de seguridad a un nivel de seguridad más alto.
[0058] En una realización, la duración de la sesión conexión de una aplicación es una duración total que se mide desde el comienzo de una sesión de aplicación. Los límites temporales para cada nivel de seguridad también se miden desde el comienzo de la sesión de aplicación. En otra realización, la duración de una sesión/conexión de aplicación puede ser una duración o tiempo de duración parcial que se corresponde con la duración de una sesión/conexión de aplicación en un solo nivel de seguridad. Los límites temporales también pueden ser los límites temporales máximos de niveles de seguridad individuales.
[0059] El módulo de acciones de seguridad 620 ejecuta o inicia diversas acciones de seguridad para asegurar los servidores frontales 130, los servidores de fondo 135 y la base de datos 140 frente a los 'hacks' de sesiones maliciosas. Como se ha explicado anteriormente, los ejemplos de acciones de seguridad incluyen las búsquedas o comprobaciones de la IP, activar sensores 'honeypot' o sensores señuelo, el aislamiento de la sesión/conexión, la inspección profunda de paquetes (DPI), contener las sesiones, las alertas de seguridad, el rastreo o seguimiento de la sesión/conexión, y el registro de la sesión/conexión. En cada nivel de seguridad se llevan a cabo diferentes acciones de seguridad y estas se activan cuando la duración de la sesión/conexión alcanza los límites temporales o límites de tiempo. En algunas realizaciones, una o más de las acciones de seguridad pueden llevarse a cabo con datos de sesiones encriptados.
[0060] En una realización, el módulo de acciones de seguridad 620 puede iniciar o poner en marcha una acción de seguridad enviando una solicitud de inicio de seguridad a un dispositivo anterior (o dispositivo 'upstream') o a un dispositivo posterior (o dispositivo 'downstream'), lo cual provoca que el otro dispositivo ejecute la acción de seguridad. Por ejemplo, el rúter 115, el cortafuegos 120, el distribuidor de carga 120 o el servidor de fondo 135 pueden incluir funcionalidades para llevar a cabo acciones de seguridad, de manera que se activan mediante el módulo de acciones de seguridad 620. El módulo de acciones de seguridad 620 también puede recibir comunicaciones desde el resto de dispositivos sobre los resultados de las acciones de seguridad.
[0061] La Figura 7 es un diagrama de flujo de un método para analizar o realizar perfiles de las sesiones de una aplicación, de acuerdo con una realización. El diagrama de flujo puede mostrar o representar las operaciones del módulo administrador de sesiones/conexiones 152. En algunas realizaciones, los pasos o etapas del diagrama de flujo pueden realizarse en un orden diferente al que se muestra en la figura.
[0062] En el paso 702, se detectan las sesiones/conexiones para una aplicación. En el paso 704, se monitorizan y registran las duraciones de las sesiones/conexiones. En el paso 706, se generan datos de duración de las sesiones/conexiones a partir de las duraciones de sesiones/conexiones registradas. Los datos de duración de las sesiones/conexiones se guardan en un perfil de seguridad de aplicación en asociación con la aplicación. En el paso 708, cuando se dispone de suficientes datos de duración de las sesiones/conexiones para las sesiones/conexiones establecidas previamente, se accede al perfil de seguridad y se determinan los límites temporales de seguridad a partir de los datos de duración de las sesiones/conexiones que hay en el perfil de seguridad. Los límites temporales de seguridad indican los límites de tiempo entre un nivel de seguridad y otro nivel de seguridad.
[0063] El proceso de la Figura 7 se repite varias veces para las diferentes aplicaciones (por ejemplo, 150A, 150B, 150C) para producir o generar un gran conjunto de perfiles de seguridad de aplicaciones y diferentes límites temporales de seguridad para cada aplicación que dividen la seguridad para la aplicación en diferentes niveles de seguridad que se corresponden con grados o niveles cada vez mayores de riesgo para la seguridad.
[0064] La Figura 8 es un diagrama de flujo de un método de seguridad mediante la división de las sesiones/conexiones, de acuerdo con una realización. El diagrama de flujo puede mostrar o representar operaciones del módulo administrador de sesiones/conexiones 152 que normalmente se realizan después del diagrama de flujo de la Figura 7. En algunas realizaciones, los pasos o etapas del diagrama de flujo pueden realizarse en un orden diferente al que se muestra en la figura.
[0065] En el paso 805, se detecta una sesión/conexión de aplicación establecida entre un cliente 105 y una aplicación. En el paso 810, se identifica una aplicación 150 correspondiente a la sesión/conexión de aplicación. En el paso 825, se supervisa o monitoriza la duración de la sesión/conexión de la aplicación. En el paso 830, se aumenta con el tiempo el grado de seguridad para la sesión/conexión de la aplicación a medida que la duración de la sesión/conexión de la aplicación alcanza los límites temporales de seguridad determinados para esa aplicación. El paso 830 puede dividirse en varios subpasos o pasos secundarios 840-870.
[0066] En el paso 840, la seguridad se establece inicialmente en el nivel de seguridad más bajo, por ejemplo el nivel de seguridad A 202. Durante el nivel de seguridad más bajo A 202, se lleva a cabo un número mínimo de acciones de seguridad definidas o especificadas por un grupo mínimo de reglas de seguridad.
[0067] En el paso 845, la duración de la sesión/conexión se compara con un límite temporal de seguridad inicial. En el paso 850, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad inicial, se aumenta la seguridad al nivel de seguridad B 204. Durante el nivel de seguridad B 204, se activan las acciones de seguridad básicas definidas o especificadas por un grupo de reglas de seguridad básicas y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad básicas se aplican ejecutando acciones de seguridad básicas contra la sesión/conexión de la aplicación.
[0068] En el paso 855, la duración de la sesión/conexión se compara con un límite temporal de seguridad básico. En el paso 860, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad básico, se aumenta la seguridad al nivel de seguridad C 206. Durante el nivel de seguridad C 206, se activan las acciones de seguridad intermedias definidas o especificadas por un grupo de reglas de seguridad intermedias y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad intermedias se aplican ejecutando acciones de seguridad intermedias contra la sesión/conexión de la aplicación.
[0069] En el paso 865, la duración de la sesión/conexión se compara con un límite temporal de seguridad intermedio. En el paso 870, si la duración de sesión/conexión ha alcanzado el límite temporal de seguridad intermedio, se aumenta la seguridad al nivel de seguridad D 208. Durante el nivel de seguridad D 208, se activan las acciones de seguridad avanzadas definidas o especificadas por un grupo de reglas de seguridad avanzadas y se aplican a la sesión/conexión de la aplicación. Las acciones de seguridad avanzadas se aplican ejecutando acciones de seguridad avanzadas contra la sesión/conexión de la aplicación.
[0070] El proceso que se muestra en la Figura 8 puede repetirse para cada sesión/conexión de aplicación establecida entre cualquiera de los clientes 105 y cualquiera de las aplicaciones 150A, 150B o 150C, proporcionando así una seguridad -basada en el tiempo- frente a los 'hackers', de manera que dicha seguridad se ajusta o adapta a cada aplicación 150A, 150B o 150C.
[0071] Las realizaciones de la presente divulgación pueden conllevar las siguientes ventajas. Realizar perfiles de sesiones/conexiones de aplicaciones permite obtener más información -o inteligencia- para tomar mejores decisiones en lo que respecta a la seguridad. Correlacionar las sesiones/conexiones de las aplicaciones con niveles o peldaños de seguridad permite contar con una seguridad más fundamentada y basada en la toma de decisiones. Una mayor cantidad de análisis de los datos correlacionados permite reaccionar a tiempo y contener o atajar un problema antes de que ponga en riesgo a toda la red. Crear perfiles de una aplicación para integrar la seguridad con todos los dispositivos del centro de datos ayuda a contener el control de un 'hacker' sobre una red. Las conexiones/sesiones escalonadas en el tiempo dan pie a nuevos grados o niveles de análisis de seguridad. Es posible realizar análisis más profundos o detallados, ya que los 'hackers' deben repetir sus 'hacks' o ataques una y otra vez para acceder a una plataforma. Cuanto más se 'hackee' o piratee un sistema, más oportunidades tendrán los sensores para detectar un fallo o 'agujero' en la aplicación, el sistema operativo o el protocolo que pueda atajarse.
[0072] La Figura 9 ilustra la arquitectura de 'hardware' de un dispositivo informático -como un cortafuegos 115, un rúter 120, un distribuidor de carga 125, un dispositivo cliente 105, un servidor frontal 130 o un servidor de fondo 135-de acuerdo con una realización. En una realización, el dispositivo informático es un ordenador que incluye componentes como un procesador 902, una memoria 903, un módulo de almacenamiento 904, un módulo de entrada (por ejemplo, un teclado, un ratón y similares) 906, un módulo de visualizacion 907 y una interfaz de comunicaciones 905, de manera que se intercambian entre sí datos y señales de control a través de un bus 901. El módulo de almacenamiento 904 se implementa como uno o más medios de almacenamiento no transitorios legibles por ordenador (por ejemplo, un disco duro o un disco o unidad de estado sólido) y almacena instrucciones de 'software' 940 (por ejemplo, módulos) que se ejecutan mediante el procesador 902, de manera conjunta con la memoria 903, a fin de implementar las características de seguridad descritas en el presente documento. Un ejemplo de instrucciones de 'software' puede ser un código de 'software' o un código de programa. El 'software' del sistema operativo y el 'software' de otras aplicaciones también pueden guardarse o almacenarse en el módulo de almacenamiento 904 para que funcionen o se ejecuten en el procesador 902.
[0073] Al leer la presente divulgación, las personas versadas en este campo podrán concebir otros diseños alternativos adicionales para la seguridad de división de sesiones/conexiones. Por consiguiente, si bien se han descrito e ilustrado aplicaciones y realizaciones particulares de la presente divulgación, debe entenderse que la divulgación no se limita a las estructuras y los componentes concretos desvelados en el presente documento. Así, es posible realizar diversas modificaciones, cambios y variaciones -que pueden resultar evidentes para las personas versadas en este campo- en lo referente a la disposición, el funcionamiento y los detalles del método y el equipo de la presente divulgación sin apartarse por ello del alcance de la divulgación, tal y como se especifica en las reivindicaciones anexas.

Claims (8)

REIVINDICACIONES
1. Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las sesiones de una aplicación, que incluye:
monitorizar o supervisar los tiempos de duración de un conjunto de sesiones de aplicación correspondientes a una primera aplicación de un primer 'host' o dispositivo anfitrión a fin de generar datos de duración de sesión;
determinar un primer conjunto de límites temporales de seguridad asociados con la primera aplicación basándose en los datos de duración de sesión para el conjunto de sesiones de la aplicación;
detectar una primera sesión de aplicación establecida entre un primer cliente y la primera aplicación del primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad; supervisar o monitorizar la duración de la primera sesión de aplicación establecida entre el primer cliente y la primera aplicación;
ejecutar una o más acciones de seguridad primarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad; y
ejecutar una o más acciones de seguridad secundarias contra la primera sesión de aplicación en respuesta al hecho de que la duración de la primera sesión de aplicación alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad,
de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera sesión de aplicación del resto de sesiones de aplicación asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera sesión de aplicación incluye mover la primera sesión de aplicación a un segundo dispositivo anfitrión.
2. El método de la reivindicación 1, que además incluye:
detectar una segunda sesión de aplicación establecida entre un segundo cliente y una segunda aplicación del primer dispositivo anfitrión, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la aplicación en niveles de seguridad; supervisar o monitorizar la duración de la segunda sesión de aplicación establecida entre el segundo cliente y la segunda aplicación;
ejecutar las -una o más- acciones de seguridad primarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance un límite temporal de seguridad del segundo conjunto de límites temporales de seguridad; y
ejecutar las -una o más- acciones de seguridad secundarias contra la segunda sesión de aplicación en respuesta al hecho de que la duración de la segunda sesión de aplicación alcance otro límite temporal de seguridad del segundo conjunto de límites temporales de seguridad.
3. El método de la reivindicación 1, de manera que la primera sesión es una sesión de una capa de sesión de un modelo de interconexión de sistemas abiertos (OSI).
4. Un método implementado por ordenador que proporciona protección y seguridad frente al acceso no autorizado a recursos informáticos durante las conexiones, que incluye:
monitorizar o supervisar los tiempos de duración de un conjunto de conexiones establecidas para sesiones correspondientes a una primera aplicación a fin de generar datos de duración de conexión;
determinar un primer conjunto de límites temporales de seguridad basándose en los datos de duración de conexión para el conjunto de conexiones;
detectar una primera conexión establecida para una primera sesión entre un primer cliente y una primera aplicación de un primer dispositivo anfitrión, de manera que la primera aplicación está asociada con el primer conjunto de límites temporales de seguridad que dividen la seguridad para la primera aplicación en niveles de seguridad;
supervisar o monitorizar la duración de la primera conexión establecida entre el primer cliente y la primera aplicación;
ejecutar una o más acciones de seguridad primarias contra la primera conexión en respuesta al hecho de que la duración de la primera conexión alcance un límite temporal de seguridad del primer conjunto de límites temporales de seguridad asociados con la primera aplicación; y
ejecutar una o más acciones de seguridad secundarias contra la primera conexión en respuesta al hecho de que la duración de la primera conexión alcance otro límite temporal de seguridad del primer conjunto de límites temporales de seguridad,
de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye aislar la primera conexión del resto de conexiones asociadas o relacionadas con el primer dispositivo anfitrión, y de manera que aislar la primera conexión incluye mover la primera conexión a un segundo dispositivo anfitrión o mantener la primera conexión en el primer dispositivo anfitrión e impedir que se establezcan otras conexiones con el primer dispositivo anfitrión.
5. El método de la reivindicación 4, que además incluye:
detectar una segunda sesión de aplicación establecida para una segunda sesión entre un segundo cliente y una segunda aplicación del primer dispositivo anfitrión, de manera que la segunda aplicación está asociada con un segundo conjunto de límites temporales de seguridad que dividen la seguridad para la segunda aplicación en niveles de seguridad;
supervisar o monitorizar la duración de la segunda conexión;
ejecutar las -una o más- acciones de seguridad primarias contra la segunda conexión en respuesta al hecho de que la duración de la segunda conexión alcance un límite temporal de seguridad del segundo conjunto de límites temporales de seguridad; y
ejecutar las -una o más- acciones de seguridad secundarias contra la segunda conexión en respuesta al hecho de que la duración de la segunda conexión alcance otro límite temporal de seguridad del segundo conjunto de límites temporales de seguridad.
6. El método de la reivindicación 1 o la reivindicación 4, de manera que una de las acciones de seguridad primarias o de las acciones de seguridad secundarias incluye: las búsquedas o comprobaciones de la IP, la inspección profunda de paquetes (DPI), la detección de paquetes malformados o la activación de sensores de seguridad de señuelo o sensores 'honeypot'.
7. El método de la reivindicación 4, de manera que la primera conexión es una conexión TCP.
8. Un medio o soporte no transitorio legible por ordenador que guarda o almacena instrucciones, de manera que, cuando al menos un procesador ejecuta las instrucciones, el -al menos un- procesador lleva a cabo el método de cualquiera de las reivindicaciones 1 a 7.
ES16740599T 2015-01-20 2016-01-19 Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones Active ES2854701T3 (es)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US201562105685P 2015-01-20 2015-01-20
US14/827,230 US9614853B2 (en) 2015-01-20 2015-08-14 Session security splitting and application profiler
PCT/US2016/013942 WO2016118517A1 (en) 2015-01-20 2016-01-19 Session security splitting and application profiler

Publications (1)

Publication Number Publication Date
ES2854701T3 true ES2854701T3 (es) 2021-09-22

Family

ID=56408680

Family Applications (2)

Application Number Title Priority Date Filing Date
ES16740600T Active ES2804174T3 (es) 2015-01-20 2016-01-19 Plataforma de seguridad gradual
ES16740599T Active ES2854701T3 (es) 2015-01-20 2016-01-19 Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones

Family Applications Before (1)

Application Number Title Priority Date Filing Date
ES16740600T Active ES2804174T3 (es) 2015-01-20 2016-01-19 Plataforma de seguridad gradual

Country Status (9)

Country Link
US (9) US9614853B2 (es)
EP (3) EP3248128B1 (es)
JP (8) JP6530495B2 (es)
CN (3) CN112559168A (es)
CA (2) CA2974000C (es)
DK (2) DK3248128T3 (es)
ES (2) ES2804174T3 (es)
PT (2) PT3248100T (es)
WO (2) WO2016118517A1 (es)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11575715B2 (en) * 2019-10-28 2023-02-07 International Business Machines Corporation Dynamically customized cognitive security filter

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9614853B2 (en) 2015-01-20 2017-04-04 Enzoo, Inc. Session security splitting and application profiler
US10353726B2 (en) 2015-09-29 2019-07-16 NeuVector, Inc. Transparent network security for application containers
US10341128B2 (en) * 2016-03-12 2019-07-02 Wipro Limited Method and system for optimizing usage of network resources in a communication network
US10594731B2 (en) * 2016-03-24 2020-03-17 Snowflake Inc. Systems, methods, and devices for securely managing network connections
US10440053B2 (en) * 2016-05-31 2019-10-08 Lookout, Inc. Methods and systems for detecting and preventing network connection compromise
JP6502902B2 (ja) * 2016-08-12 2019-04-17 日本電信電話株式会社 攻撃検知装置、攻撃検知システムおよび攻撃検知方法
US10459769B2 (en) * 2017-08-04 2019-10-29 Unisys Corporation Elastic container management system
US10379985B1 (en) * 2018-02-01 2019-08-13 EMC IP Holding Company LLC Automating and monitoring rolling cluster reboots
EP3669267B1 (en) * 2018-04-30 2024-03-06 Google LLC Optimizing network utilization
US11627201B2 (en) 2018-04-30 2023-04-11 Google Llc Optimizing network utilization
US10761934B2 (en) 2018-05-16 2020-09-01 Hewlett Packard Enterprise Development Lp Reconstruction of data of virtual machines
GB201811224D0 (en) * 2018-07-09 2018-08-29 Ace Gaming Ltd Two stage game
FR3098321A1 (fr) * 2019-07-01 2021-01-08 Prove & Run Architecture informatique en nuage securisee et procede de securisation
JP7337627B2 (ja) * 2019-09-24 2023-09-04 株式会社日立製作所 通信制御装置およびシステム
US11520666B2 (en) 2019-10-15 2022-12-06 Dt Labs, Llc Systems, methods, and apparatus for fast ransomware recovery
CN111163083A (zh) * 2019-12-27 2020-05-15 杭州数梦工场科技有限公司 基于应用粒度的登录会话控制方法、装置及计算机设备
EP3923612A1 (en) * 2020-06-09 2021-12-15 Deutsche Telekom AG Method and communication system for ensuring secure communication in a zero touch connectivity-environment
US20220385684A1 (en) * 2021-06-01 2022-12-01 Cytwist Ltd. Artificial intelligence cyber identity classification
CN113687867B (zh) * 2021-08-24 2023-12-29 济南浪潮数据技术有限公司 一种云平台集群的关机方法、***、设备及存储介质

Family Cites Families (85)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7197570B2 (en) * 1998-07-22 2007-03-27 Appstream Inc. System and method to send predicted application streamlets to a client device
DK1145541T3 (da) * 1998-11-24 2013-03-11 Niksun Inc Apparat og fremgangsmåde til at indsamle og analysere kommunikationsdata
US6754707B2 (en) 1999-10-28 2004-06-22 Supportsoft, Inc. Secure computer support system
JP3864664B2 (ja) * 2000-03-07 2007-01-10 株式会社日立製作所 ストレージを共有する複数計算機のos起動の方法
ES2277820T3 (es) 2000-06-14 2007-08-01 Eads Astrium Sas Procedimiento y sistema de video a peticion.
US6816905B1 (en) 2000-11-10 2004-11-09 Galactic Computing Corporation Bvi/Bc Method and system for providing dynamic hosted service management across disparate accounts/sites
US9525696B2 (en) 2000-09-25 2016-12-20 Blue Coat Systems, Inc. Systems and methods for processing data flows
JP3687782B2 (ja) * 2000-09-29 2005-08-24 Kddi株式会社 不正侵入防止システム
US6918113B2 (en) 2000-11-06 2005-07-12 Endeavors Technology, Inc. Client installation and execution system for streamed applications
US7020645B2 (en) * 2001-04-19 2006-03-28 Eoriginal, Inc. Systems and methods for state-less authentication
US20040139125A1 (en) 2001-06-05 2004-07-15 Roger Strassburg Snapshot copy of data volume during data access
US7631084B2 (en) 2001-11-02 2009-12-08 Juniper Networks, Inc. Method and system for providing secure access to private networks with client redirection
US7213065B2 (en) 2001-11-08 2007-05-01 Racemi, Inc. System and method for dynamic server allocation and provisioning
US6993596B2 (en) * 2001-12-19 2006-01-31 International Business Machines Corporation System and method for user enrollment in an e-community
US7080404B2 (en) * 2002-04-01 2006-07-18 Microsoft Corporation Automatic re-authentication
US8271530B2 (en) 2002-04-08 2012-09-18 Oracale International Corporation Method and mechanism for managing and accessing static and dynamic data
US8635355B2 (en) 2002-05-01 2014-01-21 Stmicroelectronics, Inc. Method for pre-caching content to enable true VOD systems from NVOD or stream limited VOD systems
FR2841416B1 (fr) * 2002-06-20 2005-01-28 Cegetel Groupe Procede de gestion d'informations de contexte par serveur intermediaire
US7631067B2 (en) 2002-06-20 2009-12-08 International Business Machines Corporation Server initiated predictive failure analysis for disk drives
US8489742B2 (en) 2002-10-10 2013-07-16 Convergys Information Management Group, Inc. System and method for work management
US7305554B2 (en) * 2002-12-16 2007-12-04 Alcatel Canada Inc. Dynamic acquisition of state during security system reconfiguration
US7260640B1 (en) 2003-02-13 2007-08-21 Unisys Corproation System and method for providing an enhanced enterprise streaming media server capacity and performance
US7783019B2 (en) 2003-05-15 2010-08-24 Verizon Business Global Llc Method and apparatus for providing fraud detection using geographically differentiated connection duration thresholds
US7194655B2 (en) 2003-06-12 2007-03-20 International Business Machines Corporation Method and system for autonomously rebuilding a failed server and a computer system utilizing the same
US7822067B2 (en) * 2003-08-08 2010-10-26 Qualcomm Incorporated Header compression enhancement for broadcast/multicast services
US7299356B2 (en) * 2003-09-02 2007-11-20 Authernative, Inc. Key conversion method for communication session encryption and authentication system
US20050188222A1 (en) * 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user login activity for a server application
US7373524B2 (en) 2004-02-24 2008-05-13 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user behavior for a server application
US7757226B2 (en) 2004-03-17 2010-07-13 Oracle International Corporation Method and mechanism for performing a rolling upgrade of distributed computer software
US7921419B2 (en) 2004-05-12 2011-04-05 Oracle International Corporation Method and mechanism for managing incompatible changes in a distributed system
US20060075001A1 (en) 2004-09-30 2006-04-06 Canning Jeffrey C System, method and program to distribute program updates
JP2006148661A (ja) * 2004-11-22 2006-06-08 Toshiba Corp 情報端末遠隔操作システム、そのリモートアクセス端末、そのゲートウェイサーバ、その情報端末制御装置、情報端末装置、およびその遠隔操作方法
KR100640004B1 (ko) 2005-08-19 2006-11-01 한국전자통신연구원 세션 상태 관리 장치 및 그 방법
US8352782B2 (en) 2005-09-30 2013-01-08 Cleversafe, Inc. Range based rebuilder for use with a dispersed data storage network
US8880799B2 (en) 2005-09-30 2014-11-04 Cleversafe, Inc. Rebuilding data on a dispersed storage network
JP4512196B2 (ja) * 2005-10-20 2010-07-28 アラクサラネットワークス株式会社 異常トラヒックの検出方法およびパケット中継装置
JP4129988B2 (ja) 2005-11-10 2008-08-06 インターナショナル・ビジネス・マシーンズ・コーポレーション リソースのプロビジョニング方法
JP2007172093A (ja) * 2005-12-20 2007-07-05 Hewlett-Packard Development Co Lp アドレス更新装置およびその方法
US8099765B2 (en) 2006-06-07 2012-01-17 Red Hat, Inc. Methods and systems for remote password reset using an authentication credential managed by a third party
US20080104411A1 (en) * 2006-09-29 2008-05-01 Agrawal Pankaj O Methods and apparatus for changing passwords in a distributed communication system
US7551073B2 (en) * 2007-01-10 2009-06-23 International Business Machines Corporation Method, system and program product for alerting an information technology support organization of a security event
US8413156B2 (en) 2007-04-05 2013-04-02 Ebay, Inc. Method and system for managing resource connections
US8966474B2 (en) 2007-04-30 2015-02-24 Hewlett-Packard Development Company, L.P. Managing virtual machines using shared image
US9219705B2 (en) 2007-06-25 2015-12-22 Microsoft Technology Licensing, Llc Scaling network services using DNS
US8428983B2 (en) * 2007-12-28 2013-04-23 International Business Machines Corporation Facilitating availability of information technology resources based on pattern system environments
CN101232399B (zh) 2008-02-18 2010-06-23 刘峰 网站异常访问分析方法
US8626926B2 (en) * 2008-02-26 2014-01-07 Qualcomm Incorporated Method and apparatus for performing session info query for user plane location
JP4992780B2 (ja) * 2008-03-21 2012-08-08 富士通株式会社 通信監視装置、通信監視プログラム、および通信監視方法
US8849972B2 (en) * 2008-11-25 2014-09-30 Polycom, Inc. Method and system for dispatching received sessions between a plurality of instances of an application using the same IP port
JP5293580B2 (ja) * 2009-03-19 2013-09-18 日本電気株式会社 ウェブサービスシステム、ウェブサービス方法及びプログラム
US8073952B2 (en) 2009-04-22 2011-12-06 Microsoft Corporation Proactive load balancing
US8090797B2 (en) 2009-05-02 2012-01-03 Citrix Systems, Inc. Methods and systems for launching applications into existing isolation environments
JP5119204B2 (ja) * 2009-05-26 2013-01-16 株式会社日立産機システム プログラマブルコントローラ、データ書き込み方法、及び受信モジュール
FR2948517A1 (fr) 2009-07-21 2011-01-28 St Ericsson Sa St Ericsson Ltd Dispositif et procede de detection d'un accessoire bluetooth
US8789173B2 (en) * 2009-09-03 2014-07-22 Juniper Networks, Inc. Protecting against distributed network flood attacks
US8108734B2 (en) 2009-11-02 2012-01-31 International Business Machines Corporation Intelligent rolling upgrade for data storage systems
US8756684B2 (en) * 2010-03-01 2014-06-17 Emc Corporation System and method for network security including detection of attacks through partner websites
US8640209B2 (en) * 2010-03-06 2014-01-28 International Business Machines Corporation Authentication information change facility
US8381098B2 (en) 2010-03-29 2013-02-19 International Business Machines Corporation Webpage request handling
US8195984B2 (en) 2010-05-26 2012-06-05 Telcordia Technologies, Inc. System and method for a staggered execution environment
US8230262B2 (en) 2010-07-02 2012-07-24 Oracle International Corporation Method and apparatus for dealing with accumulative behavior of some system observations in a time series for Bayesian inference with a static Bayesian network model
US20120054742A1 (en) * 2010-09-01 2012-03-01 Microsoft Corporation State Separation Of User Data From Operating System In A Pooled VM Environment
US8688843B2 (en) * 2010-11-23 2014-04-01 Qualcomm Incorporated Selectively granting a floor during set-up of a communication session within a wireless communications system
US8667114B2 (en) 2011-02-15 2014-03-04 Seiko Epson Corporation Program update management server and program update management method
JP5538310B2 (ja) * 2011-06-27 2014-07-02 株式会社エヌ・ティ・ティ・データ 仮想化システム、および仮想化方法
US8510807B1 (en) 2011-08-16 2013-08-13 Edgecast Networks, Inc. Real-time granular statistical reporting for distributed platforms
US8725882B2 (en) * 2011-09-09 2014-05-13 Oracle International Corporation Masking database outages from clients and applications
US8904397B2 (en) 2011-10-31 2014-12-02 International Business Machines Corporation Staggering execution of scheduled tasks based on behavioral information
KR101280910B1 (ko) * 2011-12-15 2013-07-02 한국전자통신연구원 고속 패킷 처리를 위한 네트워크 프로세서 기반 2단계 침입탐지장치 및 방법
JP5472947B2 (ja) 2012-03-08 2014-04-16 株式会社東芝 ビデオサーバ装置及びそのリビルド処理制御方法
US9043632B2 (en) * 2012-09-25 2015-05-26 Apple Inc. Security enclave processor power control
CN104937546B (zh) 2012-10-12 2018-01-23 思杰***有限公司 用于根据重启调度执行机器重启的方法和装置
CN103051623B (zh) * 2012-12-20 2016-05-11 微梦创科网络科技(中国)有限公司 限制开放平台的调用的方法
US9590852B2 (en) 2013-02-15 2017-03-07 Facebook, Inc. Server maintenance system
US9037861B2 (en) 2013-02-26 2015-05-19 Cellco Partnership Enhancing data security using re-encryption
US9645811B2 (en) 2013-04-01 2017-05-09 Oc Acquisition Llc Fault tolerance for a distributed computing system
US9960963B2 (en) 2013-06-24 2018-05-01 Oracle International Corporation Dynamic client fail-over during a rolling patch installation based on temporal server conditions
US20160156611A1 (en) * 2013-08-19 2016-06-02 Lynxguard Ltd. Multiparty secret protection system
US9619352B2 (en) * 2014-03-20 2017-04-11 Netapp, Inc. Storage aggregate restoration
US9740472B1 (en) 2014-05-15 2017-08-22 Nutanix, Inc. Mechanism for performing rolling upgrades in a networked virtualization environment
CN104129847A (zh) * 2014-06-06 2014-11-05 武汉风林环境科技有限公司 利用木头、腐朽木富集脱氮环境微生物菌群进行一步脱氮的方法
CN104133730A (zh) * 2014-07-30 2014-11-05 深圳市中兴移动通信有限公司 一种***异常的修复方法、装置和移动终端
US9591006B2 (en) * 2014-09-18 2017-03-07 Microsoft Technology Licensing, Llc Lateral movement detection
US9501361B2 (en) 2014-09-26 2016-11-22 Silverstring Ltd. Disaster recovery system
US9614853B2 (en) 2015-01-20 2017-04-04 Enzoo, Inc. Session security splitting and application profiler

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11575715B2 (en) * 2019-10-28 2023-02-07 International Business Machines Corporation Dynamically customized cognitive security filter

Also Published As

Publication number Publication date
CA2973969A1 (en) 2016-07-28
CN107211016A (zh) 2017-09-26
EP3248128B1 (en) 2020-12-09
WO2016118517A1 (en) 2016-07-28
US9906530B2 (en) 2018-02-27
JP6549719B2 (ja) 2019-07-24
EP3674950A1 (en) 2020-07-01
US20200358772A1 (en) 2020-11-12
US10341349B2 (en) 2019-07-02
JP6952848B2 (ja) 2021-10-27
EP3248100A1 (en) 2017-11-29
CN112559168A (zh) 2021-03-26
US20160212139A1 (en) 2016-07-21
JP2020201979A (ja) 2020-12-17
US9614853B2 (en) 2017-04-04
DK3248128T3 (da) 2021-02-01
JP2019175478A (ja) 2019-10-10
EP3248100A4 (en) 2018-11-14
EP3248128A1 (en) 2017-11-29
CA2974000C (en) 2019-10-22
US20230171256A1 (en) 2023-06-01
JP2018509691A (ja) 2018-04-05
US11228593B2 (en) 2022-01-18
EP3248128A4 (en) 2018-08-29
US10965678B2 (en) 2021-03-30
US20210194880A1 (en) 2021-06-24
EP3248100B1 (en) 2020-04-08
JP2022000804A (ja) 2022-01-04
US11985130B2 (en) 2024-05-14
US20170163658A1 (en) 2017-06-08
JP6754475B2 (ja) 2020-09-09
JP7495460B2 (ja) 2024-06-04
JP2020187801A (ja) 2020-11-19
US20180159859A1 (en) 2018-06-07
US10616229B2 (en) 2020-04-07
US11601432B2 (en) 2023-03-07
CN107209701A (zh) 2017-09-26
ES2804174T3 (es) 2021-02-04
CN107211016B (zh) 2020-10-30
CA2973969C (en) 2019-10-15
PT3248100T (pt) 2020-07-14
CN107209701B (zh) 2020-12-15
US20220103558A1 (en) 2022-03-31
EP3674950B1 (en) 2021-08-18
JP6952849B2 (ja) 2021-10-27
WO2016118518A1 (en) 2016-07-28
JP2018503197A (ja) 2018-02-01
JP6530495B2 (ja) 2019-06-12
US20190273743A1 (en) 2019-09-05
JP7157222B2 (ja) 2022-10-19
US20160212128A1 (en) 2016-07-21
CA2974000A1 (en) 2016-07-28
JP6754468B2 (ja) 2020-09-09
PT3248128T (pt) 2021-01-13
DK3248100T3 (da) 2020-07-06
JP2019197561A (ja) 2019-11-14
JP2022180651A (ja) 2022-12-06

Similar Documents

Publication Publication Date Title
ES2854701T3 (es) Métodos y medio de almacenamiento informático para dividir la seguridad de las sesiones
US10523676B2 (en) Techniques for detecting unauthorized access to cloud applications based on velocity events
US10666686B1 (en) Virtualized exploit detection system
RU2571721C2 (ru) Система и способ обнаружения мошеннических онлайн-транзакций
US9401925B1 (en) Systems and methods for detecting security threats based on user profiles
US10148631B1 (en) Systems and methods for preventing session hijacking
US8955138B1 (en) Systems and methods for reevaluating apparently benign behavior on computing devices
US11019494B2 (en) System and method for determining dangerousness of devices for a banking service
US20220255926A1 (en) Event-triggered reauthentication of at-risk and compromised systems and accounts
US9122869B1 (en) Systems and methods for detecting client types
US9571497B1 (en) Systems and methods for blocking push authentication spam
EP3441930A1 (en) System and method of identifying potentially dangerous devices during the interaction of a user with banking services
CN114143071B (zh) 一种暴力破解检测方法、装置、电子设备及存储介质
RU2757535C2 (ru) Способ выявления потенциально опасных устройств, с помощью которых пользователь взаимодействует с банковскими сервисами, по открытым портам
Sasireka et al. An enhanced intrusion detection system for multitier dynamic web applications
CN115550029A (zh) 远程控制异常的确定方法、装置、存储介质及电子设备