JP2015511338A - サービスプロバイダによって提供されたipデータの信頼性を保証するための方法およびシステム - Google Patents
サービスプロバイダによって提供されたipデータの信頼性を保証するための方法およびシステム Download PDFInfo
- Publication number
- JP2015511338A JP2015511338A JP2014549629A JP2014549629A JP2015511338A JP 2015511338 A JP2015511338 A JP 2015511338A JP 2014549629 A JP2014549629 A JP 2014549629A JP 2014549629 A JP2014549629 A JP 2014549629A JP 2015511338 A JP2015511338 A JP 2015511338A
- Authority
- JP
- Japan
- Prior art keywords
- web content
- content
- web
- client
- repository
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 41
- 238000004891 communication Methods 0.000 claims abstract description 31
- 238000004458 analytical method Methods 0.000 claims description 43
- 230000003068 static effect Effects 0.000 claims description 26
- 238000012544 monitoring process Methods 0.000 claims description 17
- 230000006870 function Effects 0.000 claims description 16
- 238000004088 simulation Methods 0.000 claims description 6
- 230000008878 coupling Effects 0.000 claims description 5
- 238000010168 coupling process Methods 0.000 claims description 5
- 238000005859 coupling reaction Methods 0.000 claims description 5
- 230000001186 cumulative effect Effects 0.000 claims description 4
- 238000004590 computer program Methods 0.000 claims description 2
- 230000004048 modification Effects 0.000 abstract description 3
- 238000012986 modification Methods 0.000 abstract description 3
- 230000006399 behavior Effects 0.000 description 21
- 230000004044 response Effects 0.000 description 19
- 230000009471 action Effects 0.000 description 6
- 230000008859 change Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000007689 inspection Methods 0.000 description 4
- 238000012545 processing Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 238000013459 approach Methods 0.000 description 3
- 238000001514 detection method Methods 0.000 description 3
- 238000012360 testing method Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 238000004422 calculation algorithm Methods 0.000 description 2
- 230000006835 compression Effects 0.000 description 2
- 238000007906 compression Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- VYZAMTAEIAYCRO-UHFFFAOYSA-N Chromium Chemical compound [Cr] VYZAMTAEIAYCRO-UHFFFAOYSA-N 0.000 description 1
- 230000002159 abnormal effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 210000002569 neuron Anatomy 0.000 description 1
- 238000003909 pattern recognition Methods 0.000 description 1
- 230000008569 process Effects 0.000 description 1
- 238000009877 rendering Methods 0.000 description 1
- 238000012916 structural analysis Methods 0.000 description 1
- 238000012546 transfer Methods 0.000 description 1
- 238000010200 validation analysis Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1483—Countermeasures against malicious traffic service impersonation, e.g. phishing, pharming or web spoofing
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/51—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems at application loading time, e.g. accepting, rejecting, starting or inhibiting executable software based on integrity or source reliability
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/567—Computer malware detection or handling, e.g. anti-virus arrangements using dedicated hardware
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
- H04L63/123—Applying verification of the received information received data contents, e.g. message integrity
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Computing Systems (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Virology (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Information Transfer Between Computers (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
コンピュータ実装方法およびシステム(10)は、リポジトリ(12)に記憶されているウェブコンテンツは、ウェブコンテンツを要求するクライアントに提供する前に、ウェブコンテンツの権限保持者によって承認された本物のウェブコンテンツであるウェブコンテンツから外れているかどうかを識別する。リポジトリへのウェブ通信は監視され、また、ウェブコンテンツが所定の規格に準拠していることを立証するために、ウェブコンテンツは傍受され、また、安全な環境(35)で解析される。そうでない場合、ウェブコンテンツを提供するウェブホストは警告される。一実施形態では、クライアントに提供する前に、ウェブコンテンツを傍受して解析し、認証されるか、または、適切な修正が施された後に受信可能なようにレンダリングされた場合にのみ、クライアントに提供される。
Description
本発明は、ネットワークデータのセキュリティに関し、より詳しくは、ウェブサイトのデータの整合性に関する。
望ましくないウイルスのダウンロード、スパイウェア、アドウェア、ワーム、トロイの木馬、その他の悪質なコードから保護することを目的とした、インターネットのためのデータセキュリティシステムに関連する先行技術の富がある。
米国特許出願公開第2009/0287653号明細書は、マルウェアが含まれているコンテンツの一部へのアクセスを防止するように適応されたインターネットブラウザを開示している。
国際公開第2010/029036号は、有効なデジタル署名をチェックし、署名が信頼できるソースに属していることを検証することに基づいて、コンピュータ内に実装されたマルウェアの検出方法が開示されている。署名が信頼できるソースに属していると確認できない場合、マルウェアのスキャンが行われる。
米国特許出願公開第2008/0262991号明細書は、コンピュータまたはコンピュータシステムにセキュリティおよび保護を提供するために、自己組織化マップ等のようなパターン認識のための人工ニューロンのセットを使用して、データフローを処理し、また、コンピュータネットワークを含むコンピュータシステムに関する脅威の種類に関連する、様々なパターンに少なくとも部分的に基づいて、統合された脅威の管理をサポートするための、システムおよび方法が開示されている。システムは、正規表現のマッチングと自己組織化マップに基づいて、コンテンツマッチングと異常動作検出手法を適用することで、IPスタックのアクセス可能なレイヤー全体のセキュリティの脅威や侵入を検出する。
米国特許第7565550号明細書は、システム管理者の特定のニーズに応じて、検査モードの数のいずれかにおけるネットワークトラフィックの流れを監視することが可能な、ネットワークレベルのウイルス監視システムを開示している。システムは、コンピュータウイルスやワームを検出し、ポリシーおよび検出ルールで定義された複数の観測された異常事象の統計結果を使用するための検出ルールを複数記憶し、供給するために使用されるルールエンジンを記憶するコントローラを含む。異常動作レポートが生成され、実行するアクションを決定するために、サーバコンピュータのいずれかによって評価される。
米国特許第7296274号明細書には、詐欺および/または情報システムにおけるロジックの変更された実行を提供する方法および装置を開示している。特定の実施形態において、詐欺および/または保護は、オペレーティングシステムの1つ以上のシステムコールの動作を変更および/または傍受することによって提供される。
既知のシステムおよび方法は、一般に、クライアントマシン上に存在するマルウェアからクライアントマシンを保護する必要性に向けられている。しかし、不正な事業者は、ウェブプロバイダのサーバに侵入し、クライアントによってダウンロードされた、ウェブプロバイダが意図していない情報と共に存在するデータを破壊することが知られている。マシン上で見られるように結果のウェブページには、クライアントへの事実上不正なデータを提示するだけでなく、ウェブプロバイダを誤表示し、かつ、メッセージをウェブプロバイダに伝達することを阻止する。
しかし、既知のシステムは、マルウェアがウェブページに埋め込まれていないという条件で、ウェブページの内容が破損していることを検出するために何もしないであろう。マルウェアが埋め込まれている場合でも、既知のシステムは、マルウェアを傍受およびブロックし、場合によってはエンドユーザに警告するが、ウェブコンテンツの整合性を確認することはできない。
本発明の目的は、ソースにおけるウェブコンテンツの整合性をチェックし、所有者が意図したものの忠実な表現である場合にのみ、クライアントマシンにダウンロードされることを可能にするネットワークセキュリティシステムおよび方法を提供することである。
この目的のために、本発明の一態様が提供されるが、レポジトリに格納されたウェブコンテンツが真正のウェブコンテンツから逸脱しているか否かを確認するための、コンピュータの実装方法であって、真正のウェブコンテンツは、ウェブコンテンツを要求するクライアントへ提供するのに先立って、ウェブコンテンツの権限保持者によって承認されたウェブコンテンツであって、方法は、リポジトリへのウェブ通信を監視し、クライアントに提供するのに先立って、ウェブコンテンツを傍受し、ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境でウェブコンテンツを解析し、また、ウェブコンテンツが規格に準拠していない場合、ウェブコンテンツを提供するウェブホストを警告する。
本発明の別の態様によれば、レポジトリに格納されるウェブコンテンツが、コンテンツを要求するクライアントへ提供されることを防ぐための、コンピュータの実装方法であって、方法は、レポジトリへのウェブ通信を監視し、クライアントに提供するのに先立って、ウェブコンテンツを傍受し、ウェブコンテンツが期待どおりに動作することを立証するために、安全な環境でウェブコンテンツを解析し、ウェブコンテンツが期待どおりに動作する場合にだけ、クライアントへウェブコンテンツを提供する。
本発明の別の態様によれば、通信ネットワークを介して、ウェブコンテンツを要求するクライアントに提供するのに先立って、リポジトリに格納されたウェブコンテンツが疑われ得ることを識別するための装置であって、装置は、クライアントがウェブコンテンツを要求するために、リポジトリへアクセスを可能にする通信ポートと、リポジトリによってクライアントへアップロードされたウェブコンテンツを傍受するために、データ通信ネットワークに結合するためのデータ通信ポートを有するモニタリング部と、モニタリング部によって傍受されたウェブコンテンツを受信するためにモニタリング部に結合されて、ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境でウェブコンテンツを解析する解析部と、解析部に結合され、ウェブコンテンツを提供することをウェブホストに警告するために、規格に準拠していないウェブコンテンツに応答するアラーティング部とを備える。
本発明のさらに別の態様によれば、リポジトリに格納されたウェブコンテンツが、データ通信ネットワークを介してウェブコンテンツを要求するクライアントに提供されることを防止するための装置であって、装置は、クライアントがウェブコンテンツを要求するために、リポジトリへアクセスを可能にする通信ポートと、リポジトリによってクライアントへアップロードされたウェブコンテンツを傍受するために、データ通信ネットワークに結合するためのデータ通信ポートを有するモニタリング部と、モニタリング部によって傍受されたウェブコンテンツを受信するためにモニタリング部に結合され、また、ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境で受信されたウェブコンテンツを解析する解析部と、解析部に結合され、また、クライアントへのウェブコンテンツを遮断するために規格に準拠していないウェブコンテンツに応答する通信出力とを備える。
本発明を理解し、実際に実施され得るかを見るために、添付図面を参照して、唯一の非限定的な例として、実施形態が説明される。
いくつかの実施形態の以下の説明では、複数の図において現れるか、もしくは、類似の機能を共有する、同一の構成要素は同一の符号によって参照されるであろう。
図1は、ウェブサーバ12(リポジトリを構成する)に記憶されたウェブコンテンツが、真正のウェブコンテンツから外れているか否かを確認することを目的に、HTTPを解析するための、本発明に係るシステム10の概略図である。本発明および添付の特許請求の範囲の文脈において、真正のウェブコンテンツは、ウェブコンテンツを要求するクライアントF100へ先立って提供するウェブコンテンツの、権限保持者によって承認されたウェブコンテンツである。
ウェブサーバ12へのウェブ通信は、インライン監視され、また、ウェブコンテンツは、トランスペアレントなHTTPゲートウェイの役割でIETF RFC 2616に基づいて動作するか、もしくは、受動的なネットワークトラフィックのスニッフィングデバイスとして、ウェブコンテンツとオリジンサーバ(ウェブホスト)コンテンツの提供を要求しているクライアント間のトラフィックを傍受または盗聴することが出来るような方法で、ネットワークに配置された、カスタムHTTPプロキシソフトウェアを使用することによって、先立ってクライアント11に提供するのが傍受される。プロキシソフトウェアは、すべてのHTTP要求(クライアントから来る)および応答(オリジンサーバから来る)をデコードして検査する。ポリシー設定に応じて、それをそのまま、あるいは、修正された形で、または、それらを置き換えて、もしくは、それらを完全にブロックして渡すことが出来る。種々の起こり得る振る舞い、および、各振る舞いが適用される環境は、以下に詳述される。
従って、図1をより詳細に参照すると、インターネットなどのIPネットワーク13を介してウェブサーバ12と通信する、クライアント11を備えるシステム10が示されている。ウェブサーバ12は、一般的には、1つ以上のバックエンドサーバ14によってバックアップされる。サーバ12は、クライアント11とサーバ12との間の通信を傍受するインターセプタ部16を備えるHTTPプロキシアナライザ15を介して、IPネットワーク13に接続される。具体的には、以下により詳細に説明され得るように、双方向のアクセス量が傍受されるが、サーバからのデータのみが解析されてフィルタされる。それにもかかわらず、クライアントからサーバへのデータは、クライアントの識別情報、および、適切なクライアントの要求に関して正しいクライアントにウェブの応答を伝えることができるように生成された、HTTPリクエストを確立するために遮断される。HTTPアナライザ15内では、インターセプタ部16は、スタティックアナライザ17、ダイナミックアナライザ18と、ビヘイビアアナライザ19に接続される。スタティックアナライザ17は、クライアントに到達するのに先立って、ウェブサーバ12からクライアント11へダウンロードした、ウェブページのスタティックコンテンツを解析するように構成される。ダイナミックアナライザ18およびビヘイビアアナライザ19は、ウェブページのダイナミックコンテンツおよび挙動について同等のタスクを実行し、クライアントの要求に応答して、まさにクライアントに伝達されようとしている、ウェブページのスタティックおよびダイナミックなコンテンツおよび挙動が、真正のウェブページに準拠しているか否かを判別する。
HTTPアナライザ15は、クライアントの表示装置上のウェブコンテンツが表示する画像を取得し、所定の代表画像と比較するように適合されてもよい。ダイナミックアナライザ18は、ダイナミック機能が変更されているかどうか、もしくは、それらが所定のフォーマットに準拠しているか否かを判定してもよい。ビヘイビアアナライザ19は、ユーザエクスペリエンスが所定の認証されたエクスペリエンスに適合しているかどうかを判定するために、ウェブコンテンツとユーザエクスペリエンスをシミュレートするためのシミュレータを含む。ユーザエクスペリエンスは、一般的にブラウザ依存であるため、シミュレータは、ウェブコンテンツを要求するウェブブラウザの識別情報を取得し、ブラウザ固有のシミュレーションを実行するように構成されてもよい。シミュレータはまた、反復累積部分的なウェブコンテンツが、所定の認証された部分的なウェブコンテンツに関連するエクスペリエンスに適合されることを判定するための装置によって傍受される、累積的で部分的なウェブコンテンツをシミュレートするように構成され、また、その後の解析のためにコピーを維持しつつ、クライアントに部分的なウェブコンテンツを解放するように構成されてもよい。
HTTPアナライザ15内のアラーティング部20は、真正のウェブページのものに準拠していないウェブページを示す警告信号を生成する。モニタリング部21は、警告信号を監視し、ウェブページが真正のウェブページから逸脱した場合に適切な動作をとる。例えば、モニタリング部21は、自動的にウェブサーバからクライアントへのトラフィックをブロックすることができる。代替的に、または、追加的に、さらなるトラフィックをブロックし、また、破損の原因を調査することを決定できるように、ウェブホストに適切な警告を提供することができる。
インライン解析が使用されている上記のネットワーク構成では、クライアント11とウェブサーバ12との間のトラフィックは、HTTPアナライザ15のみを介して通過することができる。これは、データがバッファリングされることを要求し、データを解析して実質的に解放する間、場合によっては図3を参照して以下に説明するように、修正の後のわずかな遅延を引き起こす。遅延は、インラインアナライザの潜在的な欠点であるが、このようなアプローチは真正ではないデータがブロックされ、また、クライアントに到達しないという利点を提供する。この考察は、高セキュリティアプリケーションのために最も重要かもしれない。
図2は、アウトオブバンドアナライザ解析に使用され得る代替的なネットワーク構成を示している。見られるように、図2における事実を除いて、システム10は、図1に示したものと同一である。HTTPアナライザ15を介さずに、クライアント11とウェブサーバ12との間のトラフィックはウェブ13を介して直接に通過し、コピーを効果的に吸い出し、また、HTTPアナライザ15によって解析される。したがって、このような構成では、データはクライアントとHTTPアナライザ15に伝達されているものとは独立して解析され、既に伝達されたデータを遡ってブロックすることはできない。しかしながら、それは、ウェブページが真正のウェブページから逸脱した場合に適切な動作をとる応答が可能であるモニタリング部21へ、警告信号を提供することができる。例えば、モニタリング部21は、さらなるトラフィックをブロックすること、および、破損の原因を調査することを決定することができる、ウェブホストに適切な警告を提供することができる。
図3は、双方のネットワーク構成において、上述のモジュールによって行われる処理をややより詳細に示す。したがって、クライアント11に渡すのに先立って、インターセプタ部16は、ウェブサーバ12から伝達されるIPパケットを傍受する。図中のHTTPレスポンス25として示される、傍受されたデータは、デコーダ/インスペクション部26によってアンラップされ、HTTPレスポンス25が後続の解析に適した形態にすることを確実にする。例えば、HTTPレスポンス25が圧縮されて到着した場合には、それがデコーダ/インスペクション部26によって非圧縮される。同様に、HTTPレスポンス25が、チャンクで送信されるデータのより大きなチャンクの一部であってもよく、解析に先立って、デコーダ/インスペクション部26によって一緒にステッチされる必要がある。場合によっては修正の後、インターセプタ部16が、どのクライアントがHTTPレスポンスを伝達するかを知るように、開封されたデータは、その後、クライアントリクエストコリレーション部27によって、特定のクライアントの要求に関連付けられる。コンテンツは、その後、アナリシスエンジン29による解析のためのコンテンツを用意する、コンテンツバリデーション部28に渡されるが、これは、実際には、上述のスタティックアナライザ17、ダイナミックアナライザ18、および、ビヘイビアアナライザ19と機能的に等価である。ノーティフィケーションエンジン30は、アナリシスエンジン29に結合され、インターセプタ部16が作用する手順を制御することによって生成された警告信号に応答する。したがって、その後、インターセプタ部16は、ブロック31でHTTPレスポンス25からクライアントに伝達されるのを遮断してもよく、または、リプレイス32で異なるHTTPデータに置き換えてもよく(すなわち、完全なデータパケットに置き換える)、または、モディファイ33でそれを修正してもよく(すなわち、データパケットの部分的な変更を加える)、もしくは、パス34で変更なしにクライアントにパケットを受信されてもよい。
傍受されたウェブコンテンツは、ウェブコンテンツが所定の規格に準拠していることを立証するための安全な環境で解析される。このために、解析に先立って、HTTPレスポンス25はセキュアストレージホストデバイス35に記憶される。ウェブコンテンツ(すなわち、オリジンサーバによって送信されたHTTPレスポンスのコンテンツペイロード)は、二種類の方法で解析される。まず、コンテンツは、HTTPプロキシによって呼び出されたカスタムアプリケーションコードによって解析される。このように、コンテンツは、ソフトウェアコードによってスタティックに記述することができる任意の状態をチェックする。第二に、コンテンツは、プロキシによって制御される仮想マシンで実行されている、標準的なブラウザアプリケーションに供給され、ブラウザの挙動はブラックボックスとして観察される。このように、それを要求しているクライアントに安全に送信することができるか否かの予測を可能にするように、複雑なウェブコンテンツの実際の挙動がシミュレートされてもよい。
ウェブコンテンツが規格に準拠していない場合、警告は、ウェブコンテンツを提供するウェブホストに通信される。例えば、上記の解析の一つが、ウェブコンテンツが設定されたセキュリティポリシーを満たしていないと判定した場合、応答してとり得る挙動の一つは、状態が異なるサーバを通知することである。通知されるサーバは、コンテンツのオリジンウェブホストのように振る舞う同一のサーバ、もしくは、別のサーバであってもよい。
本発明によれば、ウェブコンテンツは、それが真正であるか否かを立証するために解析される。ウェブコンテンツが真正でないと判定された場合、次いで、上記のように、ウェブホストに警告するなどの様々な動作が取られ得る。ウェブホストに如何なる是正措置を取るべきかを決定させることができるため、図2を参照して説明されたアプローチにしたがって動作するセキュリティシステムは受動的である。
図2の受動的なアプローチとは対照的に、図1を参照して説明されたシステムは能動的で、かつ、クライアントに提供される真正でないと判定されたウェブコンテンツを防ぐことが出来る。ウェブコンテンツは、前述のように、監視され、傍受され、また、解析されるが、期待通りにウェブコンテンツが動作している場合にのみクライアントに提供される。これにより、ウェブコンテンツが期待されているものに準拠していない旨の通知に応答して、要求元であるクライアントを遮断することができる(すなわち、ウェブコンテンツが配信されていない)。あるいは、破損したウェブコンテンツは、前もって安全であるとわかっており、また、セキュリティポリシーに準拠するコンテンツに置き換えられるか、あるいは、設定可能なエラーメッセージに置き換えることができ、または、クライアントが保証されたコンテンツを受信するために代替ホストストレージデバイスにリダイレクトすることが可能である。
いくつかの実施形態によれば、ウェブコンテンツの解析は、“スタティックコンパリソン”を含む。これは、コンテンツをHTTPペイロード(つまりバイトストリーム)として、前もって提供されている内部データベース(要求が行われた先のURL(ユニフォームリソースロケータ)をキーとし)に格納された安全なペイロードと比較する。ペイロードは、2つのペイロードがと同一である場合(バイトストリームとして比較)にのみ承認される。
スタティックコンテンツが変更されたかどうかを判定する一つの方法は、スタティックコンテンツの署名を算出し、有効なコンテンツの既知の署名と比較することを含む。または、“署名”−ペイロードデータの暗号化ハッシュ−は、ペイロードの完全なコピーよりむしろ、製品の内部データベースに格納されてもよい。オリジンサーバによって返されたウェブコンテンツのハッシュが計算され、ハッシュがデータベースに格納されている既知の有効なコンテンツのハッシュに等しい場合、解析に合格したとみなされる。
いくつかの実施形態によれば、ウェブコンテンツの解析は、“ダイナミックコンパリソン”を含み、これは、ウェブコンテンツがダイナミックコンテンツを含むか否かを判定し、そうであれば、ダイナミックコンテンツが所定のフォーマットに準拠しているか否かを判定する。
ウェブコンテンツ上で行うことができる別の解析は、“ストラクチュアルアナリシス”であり、これによって、ブラックボックスバイトストリームとしてレスポンスペイロードを処理するのに代わって、レスポンスがデコードされ(ペイロードのコンテンツタイプに固有の方法で)、また、その構造と内容が解析される。例えば、HTMLのウェブコンテンツは、そのようにデコードされ、結果としてロジカルHTMLDOMツリーになり、後にこれは、そのURLのデータベースに格納されている既知の正常なコンテンツのロジカルストラクチャと比較されるか、または、そのURLに対して設定された、解析されるための、リンク(アンカー)、オブジェクト、スクリプト(クライアント側コード)等のロジカルポリシールールと比較される。
ウェブコンテンツの解析は、ダイナミックコンテンツからスタティック機能とダイナミック機能を抽出することを含んでもよい。例えば、ウェブコンテンツは、そこに含まれるデータが抽出されるのを可能にするように解析されてもよい。別の(設定可能な)解析ルールは、データの異なる部分に適用可能である。例えば、あるルールは、HTMLドキュメントが特定のタグを含まなければならないように指定してもよく、また、あるルールは、PDF文書に含まれるすべてのインラインイメージを検証するように適用されてもよい。
これは、次いで、スタティックおよびダイナミック機能が変更されたか否かを判定することができる。解析されたコンテンツの(スタティック機能)の各部分、および、各構造パターンは、そのURL用に設定されている適切なルールを使用して解析される。コンテンツのこのような特徴は、トップレベルのコンテンツ(すなわち、HTTPレスポンスにおいてオリジンホストによって返されたペイロード)の方法と同様に解析され得る。
ダイナミック機能は、それらが所定のフォーマットに準拠しているか否かを判定するために解析され得る。あるルールは、解析された文書の構造が特定の設定された形式に準拠しているか否かを判定するように構成されてもよい。特に、あるルールは、HTML(またはXHTML)文書のDOMツリーの構造が特定の機能を有するか否かを判定するように構成されてもよい。このようなルールは、DOMツリーのスキーマを含む。これは、XMLスキーマ(XSD)ドキュメントに似たカスタムストラクチャであり、どの要素が何回、ツリー内の各ポイントで、現れなければならないか、もしくは、現れる可能性があるかを指定する。
いくつかの実施形態によれば、ウェブコンテンツの解析は、ユーザエクスペリエンスが所定の認証されたエクスペリエンスに準拠するか否かを判定するためのウェブコンテンツと共にユーザエクスペリエンスをシミュレーションすることを含む。このような場合には、アナライザソフトウェアは、標準的なウェブブラウザのインスタンスを制御する。種々のブラウザ(例えば、Internet Explorer、Mozilla Firefox、Google Chrome)がサポートされており、使用されるブラウザは、URLに応じて設定されてもよく、もしくは、自動的に選択されてもよい。アナライザは、クライアントから要求されたURLにアクセスするために、制御ブラウザを指示する。ブラウザのネットワークアクセスはカスタムプロキシを介して行われ、不必要にオリジンサーバにアクセスすることなく、現在検査中のコンテンツを使用して、その要求に応答する。
次に、アナライザは、要求されたURLのローディング中、および、ローディング後にブラウザの挙動を観察する。これは、別のURLへの自動ナビゲーション(リダイレクション)、新しいブラウザウィンドウを開くための要求、Java(登録商標)、フラッシュ、または、シルバーライトプラグインなどのソフトウェアを実行しようとする試み、また、クライアント側のスクリプトを使用してブラウザを実行しているマシンにアクセスしようとする試み(ポップアップを使用してユーザと対話するためのネットワーク接続を開くために、ローカルクリップボードや、ローカルファイルにアクセスする試み、など)のようなイベントを検出することができる。
アナライザは、ブラウザの観察された挙動が有効か否かを判定する。これは、以前に観察された、オリジンサーバによって同一のURLに提供されたコンテンツの挙動から逸脱する挙動(例えば、以前存在しなかったFlashアプリケーションをロードする要求)、もしくは、本質的に危険であるか又は悪意のあるいずれかの挙動(例えば、ローカルファイルにアクセスしようとする試み)を識別することができる。それは、このURLに設定されたポリシーで禁止されている動作を検出することができ、解析検査に合格しないコンテンツに利用可能な、すべてのフィルタリングやブロッキングの挙動を適用することができる。
アナライザソフトウェアによって制御されるブラウザは、VM(仮想マシン)のインスタンスにおいて実行される。これは、応答ペイロード中に存在する可能性があり、また、プロキシおよびアナライザソフトウェア、または、どのようなサードパーティの攻撃からも、ブラウザによって実行される可能性のある、いかなる悪意のあるコンテンツおよびブラウザを防ぐ。VMインスタンスは、別個のコンテンツの解析の間に再開することができ、別個に共存しているVMインスタンスは、種々の無関係のコンテンツを解析するために並行して実行され得る。インスタンスの数は、使用するハードウェアによってしか制限されない。開始される新しいインスタンスの各々は同一であり、インスタンスが他のインスタンスに影響を与えないで実行されている間(ローカルOSおよびファイルシステムへの)任意の変更が行われ、インスタンスが終了したときに保存されない。(これはVMソフトウェアの設定可能な機能である。)これは、同じコンテンツURLであることを考慮に入れても、ブラウザの解析セッション内で実行される可能性のある悪質なコンテンツが、今後実行され得る他の解析セッションの挙動および結果に影響を与えることを防止する。
ブラウザシミュレーション解析は、いくつかのサポートされているブラウザ、および、ブラウザのバージョンのいずれかを実行することができる。さらに、ブラウザが実行されることになるVMは、Windows(登録商標)、Mac OS X、およびLinux(登録商標)のさまざまなバージョンを含む、いくつかのサポートのOS(オペレーティングシステム)やOSのバージョンのいずれかを実行するように設定することができる。解析で使用される特定のOSおよびブラウザは、(存在する場合、)クライアントによって使用されるバージョン、ウェブブラウザ、OS名を示す、クライアントのオリジナルのHTTPリクエスト内にあるUser−Agentヘッダに従って選択することができる。アナライザは、プロキシによって変更されずにウェブコンテンツが配信された場合に、クライアントが経験するであろう挙動を、最もよくシミュレートするために利用可能なOSとブラウザの最も類似した組み合わせを選択する。
いくつかの実施形態によれば、ウェブコンテンツを解析し、ウェブコンテンツがクライアントの表示装置上に表示する画像を取得し、所定の代表画像と比較することを含んでもよい。コンテンツの種類によっては、ブラウザに表示されたとき、その外観と同一である、メモリ内の画像をレンダリングすることができる。これは、画像ファイルやプレーンテキストのような、他のいくつかのコンテンツを含む。アナライザソフトウェアは、そのようなコンテンツの画像レンダリングを直接計算することができる。
他の種類のコンテンツは、アナライザソフトウェアによって画像にレンダリングすることができない。その代わりに、シミュレータブラウザに渡され、アナライザソフトウェアは、シミュレーションをしているブラウザウィンドウのスクリーンショットを取る。これらの方法のいずれかを使用して画像が取得されると、クライアントによって要求されたURLから過去に提供された、有効なコンテンツを表すことが知られている、データベースに格納された画像と比較することができる。アナライザは、二つの画像(現在のもの、格納されたもの)が正確に同一であることを要求するか、または、2つの画像間の差が予め設定されたしきい値を超えるかどうかを判定するために、種々の画像処理アルゴリズムが適用されてもよい。
性能を向上させるために、ウェブコンテンツは変更され得る。例えば、プロキシソフトウェアが、(上述の解析検査に合格した後で)クライアントに提供されるウェブコンテンツを変更するように構成されてもよい。これらの変更は、ウェブコンテンツの動作、つまり、それを受信するクライアントで発生する挙動を変えない。これらの変更は、ウェブコンテンツを、より速くクライアントに配信させるか、より速くロードさせて、クライアントのブラウザソフトウェアによって解析させる。これらの変更には、
1)gzip圧縮符号化を使用してHTTP転送エンコーディングまたはコンテンツエンコーディングを追加することにより、コンテンツを圧縮する。これは、コンテンツがまだオリジンサーバによって(例えば、deflateアルゴリズムのようなgzipや他の方法を使用して)圧縮されていない場合にのみ適用される。これは、プロキシからクライアントへ、ネットワークを介して送信されなければならない、コンテンツペイロードのサイズを縮小し、また、クライアントがコンテンツを受信し終わるまでの時間を短縮する。
2)HTML、XHTML、JavaScript(登録商標)およびCSSコンテンツだけでなく、JavaScript(登録商標)とHTMLとXHTML文書のコンテンツに埋め込まれたCSSデータを“縮小化”によって書き換える。縮小は、コンテンツの意味を変えずに最短の方法でこれらのいずれかの形式でコンテンツを書き換えることを指す。これは、例えば、他の技術の中で、無意味な空白を削除すること、Javascript(登録商標)の識別文字列を(ローカル変数名など)短いものに変更すること、HTML文書の良好な圧縮を達成するために、小文字のHTML要素名によって行われること、によって実施される。これは、プロキシからクライアントへ転送されなければならないデータのサイズを縮小し、それが転送されるために必要な時間を短縮する。
3)インラインコンテンツは、画像、JavaScript(登録商標)、CSSデータなどのHTMLやXHTML文書からリンクされている。HTML、XHTML文書が、外部ドキュメントを表示しているブラウザがダウンロードして、外部リファレンスのコンテンツを処理しなければならないような方法で、これらのタイプのうちの1つの外部リソースにリンクする場合、および、プロキシソフトウェアが、以前にこの外部コンテンツを見てその内部データベースにキャッシュされたそのコピーを保持している場合には、リンクが参照するリソースのインラインコピーで外部リンクを置き換えてもよい。これは、外部リソースデータをロードするために別のネットワーク要求を実行するクライアントブラウザの必要性を取り除き、それにより、そこからリンクされているすべてのリソースを、ウェブページ全体をロードして表示するため、クライアントのブラウザに必要な時間が短縮される。
1)gzip圧縮符号化を使用してHTTP転送エンコーディングまたはコンテンツエンコーディングを追加することにより、コンテンツを圧縮する。これは、コンテンツがまだオリジンサーバによって(例えば、deflateアルゴリズムのようなgzipや他の方法を使用して)圧縮されていない場合にのみ適用される。これは、プロキシからクライアントへ、ネットワークを介して送信されなければならない、コンテンツペイロードのサイズを縮小し、また、クライアントがコンテンツを受信し終わるまでの時間を短縮する。
2)HTML、XHTML、JavaScript(登録商標)およびCSSコンテンツだけでなく、JavaScript(登録商標)とHTMLとXHTML文書のコンテンツに埋め込まれたCSSデータを“縮小化”によって書き換える。縮小は、コンテンツの意味を変えずに最短の方法でこれらのいずれかの形式でコンテンツを書き換えることを指す。これは、例えば、他の技術の中で、無意味な空白を削除すること、Javascript(登録商標)の識別文字列を(ローカル変数名など)短いものに変更すること、HTML文書の良好な圧縮を達成するために、小文字のHTML要素名によって行われること、によって実施される。これは、プロキシからクライアントへ転送されなければならないデータのサイズを縮小し、それが転送されるために必要な時間を短縮する。
3)インラインコンテンツは、画像、JavaScript(登録商標)、CSSデータなどのHTMLやXHTML文書からリンクされている。HTML、XHTML文書が、外部ドキュメントを表示しているブラウザがダウンロードして、外部リファレンスのコンテンツを処理しなければならないような方法で、これらのタイプのうちの1つの外部リソースにリンクする場合、および、プロキシソフトウェアが、以前にこの外部コンテンツを見てその内部データベースにキャッシュされたそのコピーを保持している場合には、リンクが参照するリソースのインラインコピーで外部リンクを置き換えてもよい。これは、外部リソースデータをロードするために別のネットワーク要求を実行するクライアントブラウザの必要性を取り除き、それにより、そこからリンクされているすべてのリソースを、ウェブページ全体をロードして表示するため、クライアントのブラウザに必要な時間が短縮される。
本発明は、これまで、複合システムとして説明されてきたが、それは、HTTPアナライザ15は、図1及び図2に示されており、既存のネットワーク内での統合のために適応された独立型のモジュールであってもよいことが理解されるであろう。このような独立型のモジュールは、ネットワークに結合されたリポジトリに格納されたウェブコンテンツが、データ通信ネットワークを介したクライアントのウェブコンテンツの要求に先立って提供される疑いがあるか否かを識別するように構成される。
一般的には、HTTPアナライザ15の構成要素は、ソフトウェアによって実現される。カスタムHTTPプロキシ(ゲートウェイ)がセットアップされ、また、このプロキシを介してクライアントとウェブサーバとの間において、DNSおよび/またはクライアントネットワークのルーティングルールは、ルートトラフィックに変更される。プロキシによって傍受された、HTTP要求と応答は、要求されたURLのために設定されたプロキシのとき、上記のような試験のいずれかを実行する解析モジュールに解析されて送られる。これらの試験の結果は、コンテンツがプロキシによって修正されないで渡されるか、または、カスタムコンテンツ(例えば、エラーメッセージ)で置換されているか否かを判定し、また、解析チェックに失敗した内容を記述したアウトオブバンド警告メッセージが生成されるか否かを判定する。
このような警告メッセージは、製品の内部データベースに格納され、製品の管理ユーザインターフェイスを使用して表示され得る。解析モジュールはまた、それが発生したときに電子メールやSMSなどのいくつかの方法のいずれかを使用して、外部サーバに、すべての警告メッセージのコピーを送信するように構成することができる。
図1および図2を参照して説明された、インラインまたはアウトオブバンドネットワーク構成を実現するために必要な、HTTPアナライザ15をカスタマイズすることができることが理解されるであろう。HTTPアナライザ15は、コンテンツ上で実行できるテストの結果およびその構成に基づいて、コンテンツはそのURLに設定されたポリシールールに合格しなかったと判定した場合は、次に、構成に応じて、クライアントにそれを転送しないようにコンテンツをブロックしてもよい。このようなエラーメッセージとして、代わりに異なるコンテンツを転送することができるか、応答を返さずに、クライアントのネットワーク接続を閉じるように構成されてもよい。この目的のために、ウェブコンテンツが予想どおりに動作しない場合、安全でスタティックなウェブコンテンツをアップロードするための代替ホストストレージデバイスに、クライアントを自動的にリダイレクトするための通信ポートに結合されたダイバータを含めてもよい。アップデート部は、性能を向上させる目的で、同様に、ウェブコンテンツを変更するための通信ポートに結合されてもよい。
また、本発明に係るHTTPアナライザは、適切にプログラムされたコンピュータであってもよいことが理解されるであろう。同様に、本発明は、本発明の方法を実行するためのコンピュータによって読み取り可能であるコンピュータプログラムを考慮する。本発明は、さらに、本発明の方法を実行するために、マシンによって実行可能な、命令のプログラムを明白に具現化する、マシンが読み取り可能なメモリを考慮する。
Claims (30)
- レポジトリに格納されたウェブコンテンツが真正のウェブコンテンツから逸脱しているか否かを確認するための、コンピュータの実装方法であって、真正のウェブコンテンツは、前記ウェブコンテンツを要求するクライアントへ提供するのに先立って、ウェブコンテンツの権限保持者によって承認されたウェブコンテンツであって、前記方法は、
前記リポジトリへのウェブ通信を監視し、
クライアントに提供するのに先立って、前記ウェブコンテンツを傍受し、
ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境でウェブコンテンツを解析し、また、
前記ウェブコンテンツが前記規格に準拠していない場合、前記ウェブコンテンツを提供するウェブホストを警告することを特徴とする方法。 - レポジトリに格納されるウェブコンテンツが、前記コンテンツを要求するクライアントへ提供されることを防ぐための、コンピュータの実装方法であって、前記方法は、
前記レポジトリへのウェブ通信を監視し、
クライアントに提供するのに先立って、前記ウェブコンテンツを傍受し、
ウェブコンテンツが期待どおりに動作することを立証するために、安全な環境でウェブコンテンツを解析し、
ウェブコンテンツが期待どおりに動作する場合にだけ、クライアントへ前記ウェブコンテンツを提供することを特徴とする方法。 - 前記ウェブコンテンツの解析が、前記スタティックコンテンツが変更されたか否かを判定することを含むことを特徴とする請求項1または請求項2に記載の方法。
- スタティックコンテンツが変更されたか否かの判定は、スタティックコンテンツの署名を算出して妥当なコンテンツの既知の署名と比較することを含むことを特徴とする請求項3に記載の方法。
- ウェブコンテンツの解析は、前記ウェブコンテンツがダイナミックコンテンツを含むか否かの判定を含み、その場合、前記ダイナミックコンテンツが所定のフォーマットに準拠するか否かを判定することを含むことを特徴とする請求項1または請求項2に記載の方法。
- 前記ウェブコンテンツの解析は、
ダイナミックコンテンツからスタティック機能およびダイナミック機能を抽出し、
スタティック機能が変更されたか否かを判定し、
ダイナミック機能が変更されたか否かを判定することを特徴とする請求項5に記載の方法。 - 前記ダイナミック機能が、所定のフォーマットに準拠しているか否か判定することを含む請求項6に記載の方法。
- 前記ウェブコンテンツの解析は、ユーザエクスペリエンスが所定の真正のエクスペリエンスに準拠しているか否かを判定するために、ユーザエクスペリエンスを前記ウェブコンテンツと共にシミュレートすることを含むことを特徴とする請求項1または請求項2に記載の方法。
- 前記ウェブコンテンツを要求するウェブブラウザの識別情報を取得し、また、ブラウザ固有のシミュレーションを実行することを含むことを特徴とする請求項8に記載の方法。
- 前記方法が、
(a)前記ウェブブラウザによって要求された部分的なウェブコンテンツを抽出し、
(b)前記部分的なウェブコンテンツのシミュレーションを行い、
(c)前記部分的なウェブコンテンツのシミュレーションが、前記部分的なウェブコンテンツに関連する、所定の認証されたエクスペリエンスに準拠している場合、後の解析のためのコピーを維持しつつ、前記部分的なウェブコンテンツをクライアントへ解放し、
(d)追加の部分的なウェブコンテンツを受信すると、累積的で部分的なウェブコンテンツに対する操作(b)および(c)を反復して繰り返すことを含むことを特徴とする請求項8に記載の方法。 - 前記ウェブコンテンツの解析が、前記クライアントの表示装置上に表示されるウェブコンテンツの画像を取得し、また、所定の代表画像と前記画像を比較することを含むことを特徴とする請求項1または請求項2に記載の方法。
- 前記ウェブコンテンツが予想どおりに動作しない場合、安全でスタティックなウェブコンテンツをアップロードするための代替ホストストレージデバイスへ、クライアントを自動的にリダイレクトさせることを、さらに含むことを特徴とする前記請求項のいずれかに記載の方法。
- 性能を向上させるために前記ウェブコンテンツを変更することをさらに含む前記請求項のいずれかに記載の方法。
- 通信ネットワーク(13)を介して、前記ウェブコンテンツを要求するクライアント(11)に提供するのに先立って、リポジトリ(12)に格納されたウェブコンテンツが疑われ得ることを識別するための装置(15)であって、前記装置は、
クライアントが前記ウェブコンテンツを要求するために、前記リポジトリへアクセスを可能にする通信ポートと、
リポジトリによってクライアントへアップロードされたウェブコンテンツを傍受するために、データ通信ネットワークに結合するためのデータ通信ポートを有する前記モニタリング部(21)と、
モニタリング部によって傍受されたウェブコンテンツを受信するためにモニタリング部に結合されて、前記ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境で前記ウェブコンテンツを解析する解析部(17、18、19、29)と、
解析部に結合され、前記ウェブコンテンツを提供することをウェブホストに警告するために、前記規格に準拠していないウェブコンテンツに応答するアラーティング部(30)とを備えることを特徴とする装置。 - リポジトリ(12)に格納されたウェブコンテンツが、データ通信ネットワークを介して前記ウェブコンテンツを要求するクライアントに提供されることを防止するための装置(15)であって、前記装置は、
クライアントが前記ウェブコンテンツを要求するために、前記リポジトリへアクセスを可能にする通信ポートと、
リポジトリによってクライアントへアップロードされたウェブコンテンツを傍受するために、データ通信ネットワークに結合するためのデータ通信ポートを有する前記モニタリング部(21)と、
モニタリング部によって傍受されたウェブコンテンツを受信するためにモニタリング部に結合され、また、ウェブコンテンツが所定の規格に準拠していることを立証するために、安全な環境で受信されたウェブコンテンツを解析する解析部(17、18、19、29)と、
解析部に結合され、また、クライアントへのウェブコンテンツを遮断するために前記規格に準拠していないウェブコンテンツに応答する通信出力(16)とを備えることを特徴とする装置。 - 前記解析部が、スタティックコンテンツが変更されているか否かを判定するためのスタティックフィルタ(17)を含むことを特徴とする請求項14または請求項15に記載の装置。
- 前記スタティックフィルタが、前記スタティックコンテンツの署名を算出し、また、妥当なコンテンツの既知の署名と比較するプロセッサを含むことを特徴とする請求項16に記載の装置。
- 前記解析部が、前記ウェブコンテンツ内のダイナミックコンテンツが所定のフォーマットに準拠するか否かを判定するための第2のフィルタを含むことを特徴とする請求項15または請求項16に記載の装置。
- 前記第2のフィルタが、
ダイナミックコンテンツからスタティック機能およびダイナミック機能を抽出するための抽出部と、
スタティック機能が変更されたか否かを判定するための、抽出部に結合されたスタティックコンパレータと、
前記ダイナミック機能が変更されたか否かを判定するための、抽出部に結合されたダイナミックコンパレータとを含むことを特徴とする請求項18に記載の装置。 - 前記第2のフィルタが、前記ダイナミック機能が所定のフォーマットに準拠しているか否か判定するように設定されていることを特徴とする請求項19に記載の装置。
- 前記解析部が、ユーザエクスペリエンスが所定の真正のエクスペリエンスに準拠しているか否かを判定するために、前記ユーザエクスペリエンスを前記ウェブコンテンツと共にシミュレートすることを含むことを特徴とする請求項14または請求項15に記載の装置。
- 前記シミュレータが、前記ウェブコンテンツを要求するウェブブラウザの識別情報を取得し、また、ブラウザ固有のシミュレーションを実行するように構成されることを特徴とする請求項8または請求項21に記載の装置。
- 前記シミュレータが、部分的なウェブコンテンツのシミュレーションが、部分的なウェブコンテンツに関連する、前記所定の認証されたエクスペリエンスに準拠しているか否かを判定するための装置によって傍受された、累積的な一部のウェブコンテンツを反復的にシミュレートし、また、後の解析のためのコピーを維持しつつ、前記部分的なウェブコンテンツをクライアントへ解放するように構成されることを特徴とする請求項21に記載の装置。
- 前記解析部が、前記クライアントの表示装置上に表示されるウェブコンテンツの画像を取得するように適応され、所定の代表画像と前記画像を比較することを含むことを特徴とする請求項22または請求項23に記載の装置。
- 前記ウェブコンテンツが予想どおりに動作しない場合、安全でスタティックなウェブコンテンツをアップロードするための代替ホストストレージデバイスへ、クライアントを自動的にリダイレクトさせるための通信ポートに結合されたダイバータをさらに含むことを特徴とする請求項14から請求項24のいずれかに記載の装置。
- パフォーマンスを向上させるために、前記ウェブコンテンツを変更するための通信ポートに結合されたアップデート部をさらに備えることを特徴とする請求項14から請求項25のいずれかに記載の装置。
- ウェブコンテンツを格納するためのレポジトリ(12)と、
クライアントコンピュータをリポジトリに結合させるためのデータ通信ネットワーク(13)と、
請求項14から請求項26に記載のいずれかの装置(15)とを備えることを特徴とするシステム(10)。 - 前記装置がリポジトリとクライアントとの間のインバンドに連結されることを特徴とする請求項27に記載のシステム。
- 前記装置がリポジトリとクライアントとの間のアウトオブバンドに連結されることを特徴とする請求項27に記載のシステム。
- 前記プログラムがコンピュータ上で実行されるとき、請求項1から請求項13のいずれかに記載の方法を実行するためのコンピュータプログラムコードを格納することを特徴とするコンピュータが読み取り可能な記憶媒体。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| IL217279A IL217279A0 (en) | 2011-12-29 | 2011-12-29 | Method and system for ensuring authenticity of ip data served by a service provider |
| IL217279 | 2011-12-29 | ||
| PCT/IL2012/000388 WO2013098804A2 (en) | 2011-12-29 | 2012-12-11 | Method and system for ensuring authenticity of ip data served by a service provider |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2015511338A true JP2015511338A (ja) | 2015-04-16 |
Family
ID=45855244
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014549629A Pending JP2015511338A (ja) | 2011-12-29 | 2012-12-11 | サービスプロバイダによって提供されたipデータの信頼性を保証するための方法およびシステム |
Country Status (8)
| Country | Link |
|---|---|
| US (1) | US8732304B2 (ja) |
| EP (1) | EP2798817A2 (ja) |
| JP (1) | JP2015511338A (ja) |
| KR (1) | KR20140113705A (ja) |
| AU (1) | AU2012360047A1 (ja) |
| BR (1) | BR112014016063A8 (ja) |
| IL (1) | IL217279A0 (ja) |
| WO (1) | WO2013098804A2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2017021778A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | 変更されたウェブページを判定するためのシステム及び方法 |
| JPWO2015052968A1 (ja) * | 2013-10-08 | 2017-03-09 | ソニー株式会社 | サーバ装置、クライアント装置、情報処理方法および記録媒体 |
| JP2018192754A (ja) * | 2017-05-22 | 2018-12-06 | 株式会社沖データ | 画像形成装置 |
| JP2021008115A (ja) * | 2020-09-08 | 2021-01-28 | 株式会社沖データ | 画像形成装置 |
Families Citing this family (37)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2013110857A1 (en) * | 2012-01-24 | 2013-08-01 | Ssh Communications Security Oyj | Privileged access auditing |
| US20140165037A1 (en) * | 2012-12-12 | 2014-06-12 | Microsoft Corporation | Reusable application user experience |
| US20140283002A1 (en) * | 2013-03-15 | 2014-09-18 | Stephen Frechette | Method and system for anonymous circumvention of internet filter firewalls without detection or identification |
| GB2513168B (en) * | 2013-04-18 | 2017-12-27 | F Secure Corp | Detecting unauthorised changes to website content |
| WO2015052967A1 (ja) * | 2013-10-08 | 2015-04-16 | ソニー株式会社 | サーバ装置、クライアント装置、情報処理方法および記録媒体 |
| US9825812B2 (en) * | 2013-12-05 | 2017-11-21 | Pulse Secure, Llc | Transparently intercepting and optimizing resource requests |
| US10693742B2 (en) | 2014-04-15 | 2020-06-23 | Splunk Inc. | Inline visualizations of metrics related to captured network data |
| US10462004B2 (en) | 2014-04-15 | 2019-10-29 | Splunk Inc. | Visualizations of statistics associated with captured network data |
| US11281643B2 (en) | 2014-04-15 | 2022-03-22 | Splunk Inc. | Generating event streams including aggregated values from monitored network data |
| US10366101B2 (en) | 2014-04-15 | 2019-07-30 | Splunk Inc. | Bidirectional linking of ephemeral event streams to creators of the ephemeral event streams |
| US10360196B2 (en) | 2014-04-15 | 2019-07-23 | Splunk Inc. | Grouping and managing event streams generated from captured network data |
| US10700950B2 (en) | 2014-04-15 | 2020-06-30 | Splunk Inc. | Adjusting network data storage based on event stream statistics |
| US11086897B2 (en) | 2014-04-15 | 2021-08-10 | Splunk Inc. | Linking event streams across applications of a data intake and query system |
| US10523521B2 (en) | 2014-04-15 | 2019-12-31 | Splunk Inc. | Managing ephemeral event streams generated from captured network data |
| US9923767B2 (en) | 2014-04-15 | 2018-03-20 | Splunk Inc. | Dynamic configuration of remote capture agents for network data capture |
| US9838512B2 (en) | 2014-10-30 | 2017-12-05 | Splunk Inc. | Protocol-based capture of network data using remote capture agents |
| US10127273B2 (en) | 2014-04-15 | 2018-11-13 | Splunk Inc. | Distributed processing of network data using remote capture agents |
| US9762443B2 (en) | 2014-04-15 | 2017-09-12 | Splunk Inc. | Transformation of network data at remote capture agents |
| US12028208B1 (en) | 2014-05-09 | 2024-07-02 | Splunk Inc. | Selective event stream data storage based on network traffic volume |
| US9083739B1 (en) | 2014-05-29 | 2015-07-14 | Shape Security, Inc. | Client/server authentication using dynamic credentials |
| US9210171B1 (en) | 2014-05-29 | 2015-12-08 | Shape Security, Inc. | Selectively protecting valid links to pages of a web site |
| US9832204B2 (en) * | 2014-09-19 | 2017-11-28 | D2L Corporation | Method and system for managing security compatibility of electronic content |
| US9800602B2 (en) | 2014-09-30 | 2017-10-24 | Shape Security, Inc. | Automated hardening of web page content |
| US9596253B2 (en) | 2014-10-30 | 2017-03-14 | Splunk Inc. | Capture triggers for capturing network data |
| US9529994B2 (en) | 2014-11-24 | 2016-12-27 | Shape Security, Inc. | Call stack integrity check on client/server systems |
| US10334085B2 (en) | 2015-01-29 | 2019-06-25 | Splunk Inc. | Facilitating custom content extraction from network packets |
| US20160261715A1 (en) * | 2015-03-05 | 2016-09-08 | Sentrix Web Technologies Ltd. | System and method for securing a web server |
| US10021128B2 (en) | 2015-03-12 | 2018-07-10 | Forcepoint Llc | Systems and methods for malware nullification |
| US9986014B2 (en) * | 2015-03-27 | 2018-05-29 | Intel Corporation | Systems and techniques for web communication |
| US9608975B2 (en) | 2015-03-30 | 2017-03-28 | Shape Security, Inc. | Challenge-dynamic credential pairs for client/server request validation |
| US9749295B2 (en) * | 2015-04-16 | 2017-08-29 | Raytheon Company | Systems and methods for internet traffic analysis |
| US9986058B2 (en) | 2015-05-21 | 2018-05-29 | Shape Security, Inc. | Security systems for mitigating attacks from a headless browser executing on a client computer |
| WO2017007705A1 (en) | 2015-07-06 | 2017-01-12 | Shape Security, Inc. | Asymmetrical challenges for web security |
| US10216488B1 (en) | 2016-03-14 | 2019-02-26 | Shape Security, Inc. | Intercepting and injecting calls into operations and objects |
| EP3832513A1 (en) | 2019-12-06 | 2021-06-09 | Vocalink Limited | An apparatus, computer program and method |
| EP3832514A1 (en) * | 2019-12-06 | 2021-06-09 | Vocalink Limited | An apparatus, computer program and method |
| CN115242766A (zh) * | 2022-08-02 | 2022-10-25 | 亚数信息科技(上海)有限公司 | 一种基于二层网桥的https透明网关的方法 |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7296274B2 (en) * | 1999-11-15 | 2007-11-13 | Sandia National Laboratories | Method and apparatus providing deception and/or altered execution of logic in an information system |
| US7386888B2 (en) | 2003-08-29 | 2008-06-10 | Trend Micro, Inc. | Network isolation techniques suitable for virus protection |
| US7979368B2 (en) | 2005-07-01 | 2011-07-12 | Crossbeam Systems, Inc. | Systems and methods for processing data flows |
| US7877801B2 (en) * | 2006-05-26 | 2011-01-25 | Symantec Corporation | Method and system to detect malicious software |
| US9237166B2 (en) | 2008-05-13 | 2016-01-12 | Rpx Corporation | Internet search engine preventing virus exchange |
| CN101626368A (zh) | 2008-07-11 | 2010-01-13 | 中联绿盟信息技术(北京)有限公司 | 一种防止网页被篡改的设备、方法和*** |
| GB2463467B (en) | 2008-09-11 | 2013-03-06 | F Secure Oyj | Malware detection method and apparatus |
| WO2010091186A2 (en) | 2009-02-04 | 2010-08-12 | Breach Security, Inc. | Method and system for providing remote protection of web servers |
| US8370938B1 (en) * | 2009-04-25 | 2013-02-05 | Dasient, Inc. | Mitigating malware |
| US8353037B2 (en) * | 2009-12-03 | 2013-01-08 | International Business Machines Corporation | Mitigating malicious file propagation with progressive identifiers |
| US8914879B2 (en) * | 2010-06-11 | 2014-12-16 | Trustwave Holdings, Inc. | System and method for improving coverage for web code |
-
2011
- 2011-12-29 IL IL217279A patent/IL217279A0/en unknown
-
2012
- 2012-01-06 US US13/345,408 patent/US8732304B2/en not_active Expired - Fee Related
- 2012-12-11 JP JP2014549629A patent/JP2015511338A/ja active Pending
- 2012-12-11 BR BR112014016063A patent/BR112014016063A8/pt not_active Application Discontinuation
- 2012-12-11 EP EP12821059.8A patent/EP2798817A2/en not_active Withdrawn
- 2012-12-11 WO PCT/IL2012/000388 patent/WO2013098804A2/en active Application Filing
- 2012-12-11 AU AU2012360047A patent/AU2012360047A1/en not_active Abandoned
- 2012-12-11 KR KR1020147021372A patent/KR20140113705A/ko not_active Application Discontinuation
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPWO2015052968A1 (ja) * | 2013-10-08 | 2017-03-09 | ソニー株式会社 | サーバ装置、クライアント装置、情報処理方法および記録媒体 |
| JP2017021778A (ja) * | 2015-06-30 | 2017-01-26 | エーオー カスペルスキー ラボAO Kaspersky Lab | 変更されたウェブページを判定するためのシステム及び方法 |
| JP2018192754A (ja) * | 2017-05-22 | 2018-12-06 | 株式会社沖データ | 画像形成装置 |
| JP2021008115A (ja) * | 2020-09-08 | 2021-01-28 | 株式会社沖データ | 画像形成装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| BR112014016063A2 (pt) | 2017-06-13 |
| KR20140113705A (ko) | 2014-09-24 |
| US8732304B2 (en) | 2014-05-20 |
| EP2798817A2 (en) | 2014-11-05 |
| WO2013098804A3 (en) | 2013-10-17 |
| BR112014016063A8 (pt) | 2017-07-04 |
| US20130173782A1 (en) | 2013-07-04 |
| IL217279A0 (en) | 2012-02-29 |
| AU2012360047A1 (en) | 2014-07-17 |
| WO2013098804A2 (en) | 2013-07-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8732304B2 (en) | Method and system for ensuring authenticity of IP data served by a service provider | |
| US10447730B2 (en) | Detection of SQL injection attacks | |
| US10592676B2 (en) | Application security service | |
| CN112910857B (zh) | 用于验证安全的方法 | |
| US11281777B2 (en) | Proactive browser content analysis | |
| JP6304833B2 (ja) | マルウェア定義パッケージサイズを縮小するためのテレメトリの使用 | |
| US8572750B2 (en) | Web application exploit mitigation in an information technology environment | |
| RU2680736C1 (ru) | Сервер и способ для определения вредоносных файлов в сетевом трафике | |
| US8677481B1 (en) | Verification of web page integrity | |
| US20120222117A1 (en) | Method and system for preventing transmission of malicious contents | |
| WO2016133662A1 (en) | Systems and methods for determining trustworthiness of the signaling and data exchange between network systems | |
| US11665138B2 (en) | System and method for automatic WAF service configuration | |
| US20160142428A1 (en) | System and method for identifying internet attacks | |
| US9336396B2 (en) | Method and system for generating an enforceable security policy based on application sitemap | |
| CN110968872A (zh) | 文件漏洞的检测处理方法、装置、电子设备及存储介质 | |
| KR20060117693A (ko) | 웹 보안방법 및 그 장치 | |
| KR101372906B1 (ko) | 악성코드를 차단하기 위한 방법 및 시스템 | |
| Deng et al. | Lexical analysis for the webshell attacks | |
| Sundareswaran et al. | XSS-Dec: A hybrid solution to mitigate cross-site scripting attacks | |
| Duraisamy et al. | A server side solution for protection of web applications from cross-site scripting attacks | |
| Wichmann et al. | FileUploadChecker: Detecting and Sanitizing Malicious File Uploads in Web Applications at the Request Level | |
| Bernardo | Targeted attack detection by means of free and open source solutions | |
| Bisht et al. | Analyzing and Defending web application vulnerabilities through proposed security model in cloud computing | |
| US20220245249A1 (en) | Specific file detection baked into machine learning pipelines | |
| US20240028707A1 (en) | In-memory scan for threat detection with binary instrumentation backed generic unpacking, decryption, and deobfuscation |