本開示は、概して、無認可のネットワーク侵入から保護するシステム及び方法を対象とする。更に詳細に後述するように、悪意的である可能性があるアクセス試行と関連して送信された信号に基づいて、ネットワークへのそれらのアクセス試行を識別することによって、本明細書に開示するシステム及び方法は、別の方法では検出されずにいたであろう悪意的な試行を識別してもよい。例えば、本明細書に記載する様々なシステム及び方法は、ネットワークへのアクセス試行を観察し、悪意的として分類されたネットワークへのアクセス試行の部分集合を識別し、悪意的な試行と関連して送信された信号を含む試行の部分集合から一連の属性を抽出し、次に、抽出した一連の属性に少なくとも部分的に基づいて、ネットワークへの悪意的なアクセス試行を今後識別する際に使用するポリシーを作成してもよい。
以下、図1〜図2を参照して、無認可のネットワーク侵入から保護する例示的なシステムの詳細な説明を提供する。それに対応するコンピュータ実装方法についてもまた、図3〜図5と関連して詳細に説明する。それに加えて、本明細書に記載される実施形態のうち1つ以上を実現することができる、例示的なコンピューティングシステム及びネットワークアーキテクチャの詳細な説明を、それぞれ図6及び図7と関連して提供する。
図1は、無認可のネットワーク侵入から保護する例示的なシステム100のブロック図である。この図に例証されるように、例示的なシステム100は、1つ以上のタスクを実施するための1つ以上のモジュール102を含んでもよい。例えば、更に詳細に後述するように、例示的なシステム100は、ネットワークの1つ以上のアンテナによって受信した、ネットワークへのアクセスを試行しているデバイスの送受信器からの信号を識別する、識別モジュール104を含んでもよい。例示的なシステム100は、それに加えて、ネットワークへのアクセス試行と関連して、ネットワークのアンテナによって受信した信号の1つ以上の信号強度を検出する、検出モジュール106を含んでもよい。例示的なシステム100はまた、信号の信号強度に少なくとも部分的に基づいて、ネットワークへのアクセス試行が悪意的である可能性があると判断する、判断モジュール108を含んでもよい。例示的なシステム100は、それに加えて、ネットワークへのアクセス試行が悪意的である可能性があるという判断に応答して、悪意的である可能性があるネットワークへのアクセス試行に対処する、少なくとも1つの安全対策を開始する、開始モジュール110を含んでもよい。
別々の要素として例証されるが、図1のモジュール102のうちの1つ以上は、単一のモジュール又はアプリケーションの部分を表してもよい。特定の実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイスによって実行されると、コンピューティングデバイスに1つ以上のタスクを実施させてもよい、1つ以上のソフトウェアアプリケーション又はプログラムを表してもよい。例えば、更に詳細に後述するように、モジュール102のうち1つ以上は、図2に示されるデバイス(例えば、コンピューティングデバイス202、ネットワーク204、及び/又はサーバ206)、図6のコンピューティングシステム610、並びに/あるいは図7の例示的なネットワークアーキテクチャ700の部分など、1つ以上のコンピューティングデバイスに格納され、その上で動くように構成された、ソフトウェアモジュールを表してもよい。図1のモジュール102のうち1つ以上はまた、1つ以上のタスクを実施するように構成された1つ以上の専用コンピュータの全て又は一部を表してもよい。
図1の例示的なシステム100は、様々な方法で実装されてもよい。例えば、例示的なシステム100の全て又は一部は、図2における例示的なシステム200の部分を表してもよい。図2に示されるように、システム200は、コンピューティングデバイス202、サーバ206、及びネットワーク204を含んでもよい。図2では別個の実体として示されるが、サーバ206はネットワーク204の一部分を表してもよい。一実施例では、コンピューティングデバイス202は、モジュール102のうち1つ以上を用いてプログラムされてもよく、かつ/又はMACアドレス210を含んでもよい。「媒体アクセス制御アドレス」という用語、及びその省略形の「MACアドレス」は、本明細書で使用するとき、一般に、ネットワークに接続されているか又はネットワークへの接続を試行しているコンピューティングデバイスに割り当てられたアドレスを指す。
それに加えて、又は別の方法として、サーバ206は、モジュール102の1つ以上を用いてプログラムされてもよく、並びに/あるいは信号プロファイル214及び/又はポリシー220を含んでもよい。「信号プロファイル」という用語は、本明細書で使用するとき、一般に、特定の信号に関する情報を描写するデータ構造を指す。「信号」という用語は、本明細書で使用するとき、一般に、デバイスの送受信器からの情報を搬送する電磁波形を指す。いくつかの実施例では、信号は電波を指してもよい。これらの実施例では、ネットワークへのアクセスを試行するデバイスは、データを電波へと転換し、電波をネットワークの1つ以上のアンテナに送信することによって、信号を作成してもよい。
一実施例では、信号プロファイル214は、アンテナ212(1)〜(N)によって受信した1つ以上の信号強度216(1)〜(N)を含んでもよく、かつ/又はそれを識別してもよい。信号プロファイル214はまた、信号強度216(1)〜(N)の総計である強度スコアを含んでもよい。それに加えて、又は別の方法として、信号プロファイル214は分散パターン218を含んでもよく、かつ/又はそれを識別してもよい。
「信号強度」という用語は、本明細書で使用するとき、一般に、アンテナによって受信した信号の強度を指す。例えば、信号強度216(1)は、アンテナ212(1)によって受信され、32dBmの信号強度を表してもよい。それに加えて、又は別の方法として、信号強度216(N)は、アンテナ212(N)によって受信され、58dBmの信号強度を表してもよい。いくつかの実施例では、信号強度216(1)及び信号強度216(N)は、(32dBm+58dBm)÷2=45dBmの総強度スコアを有してもよい。
「分散パターン」という用語は、本明細書で使用するとき、一般に、複数のアンテナで受信した信号の強度の差を指す。例えば、分散パターン218は、信号強度216(1)と信号強度216(N)との間の分散を含んでもよく、かつ/又はそれを識別してもよい。この実施例では、分散パターン218は、(58dBm−32dBm)=26dBmの分散を表してもよい。
「ポリシー」という用語は、本明細書で使用するとき、一般に、疑わしい信号プロファイルを規定する、1つ以上のガイドライン、アルゴリズム、及び/又は分類を指す。本明細書で使用するとき、「疑わしい信号プロファイル」という用語は、一般に、悪意的なネットワークへのアクセス試行と関連付けられる可能性が特定の閾値を上回っている信号から得られる、信号プロファイルを指す。
それに加えて、又は別の方法として、ネットワーク204は、モジュール102の1つ以上を用いてプログラムされてもよく、かつ/又はアンテナ212(1)〜(N)の1つ以上を含んでもよい。「アンテナ」という用語は、本明細書で使用するとき、一般に、信号を送信若しくは受信するのに使用される、任意のロッド、ワイヤ、及び/又は他の電気デバイスを指す。いくつかの実施例では、アンテナ212(1)〜212(N)は、クラスタ化アンテナ環境の一部を形成する。本明細書で使用するとき、「クラスタ化アンテナ環境」という用語は、一般に、地理的区域内で空間的に分離され、同じネットワークの一部として動作する、複数のアンテナを指す。
一実施形態では、図1のモジュール102のうち1つ以上は、コンピューティングデバイス202、ネットワーク204、及び/又はサーバ206の少なくとも1つのプロセッサによって実行されると、コンピューティングデバイス202、ネットワーク204、及び/又はサーバ206が、無認可のネットワーク侵入から保護するのを可能にしてもよい。例えば、更に詳細に後述するように、識別モジュール104は、ネットワーク204の1つ以上のアンテナによって受信した、ネットワーク204及び/又はサーバ206へのアクセスを試行しているデバイス(コンピューティングデバイス202など)の送受信器からの信号を識別してもよい。検出モジュール106は、ネットワーク204及び/又はサーバ206へのアクセス試行と関連して、ネットワーク204のアンテナによって受信した信号の1つ以上の信号強度(信号強度216(1)〜216(N)など)を検出してもよい。検出モジュール106は更に、1つ以上の信号強度に少なくとも部分的に基づいて、信号プロファイル(信号プロファイル214など)を生成してもよい。判断モジュール108は、信号の信号強度に少なくとも部分的に基づいて、ネットワーク204及び/又はサーバ206へのアクセス試行が悪意的である可能性を判断してもよい。開始モジュール110は、ネットワーク204及び/又はサーバ206へのアクセス試行が悪意的である可能性があるという判断に応答して、悪意的である可能性があるネットワーク204へのアクセス試行に対処する、少なくとも1つの安全対策を開始してもよい。
少なくとも1つの安全対策は、コンピューティングデバイス202に向けたものであってもよい。例えば、開始モジュール110は、コンピューティングデバイス202がネットワーク204及び/又はサーバ206にアクセスするのをブロックしてもよい。それに加えて、又は別の方法として、安全対策はサーバ206に向けたものであってもよい。例えば、開始モジュール110は、サーバ206の管理者に対して通知を送ってもよい。
コンピューティングデバイス202は、一般に、コンピュータ実行可能命令を読み取ることができる任意のタイプ又は形態のコンピューティングデバイスを表す。コンピューティングデバイス202の例としては、非限定的に、ラップトップ、タブレット、デスクトップ、サーバ、携帯電話、携帯情報端末(PDA)、マルチメディアプレーヤー、埋め込みシステム、ウェアラブルデバイス(例えば、スマートウォッチ、スマートグラスなど)、ゲーム機、それらの1つ以上の組み合わせ、図6の例示的なコンピューティングシステム610、あるいは他の任意の好適なコンピューティングデバイスが挙げられる。
サーバ206は、一般に、無認可のネットワーク侵入から保護することができる任意のタイプ又は形態のコンピューティングデバイスを表す。サーバ206の例としては、非限定的に、様々なネットワーク、切換え、経路指定、若しくはデータベースサービスを提供する、かつ/又は特定のソフトウェアアプリケーションを実行するように構成される、ネットワークデバイス、スイッチ、ルータ、ゲートウェイ、アプリケーションサーバ、並びにデータベースサーバが挙げられる。
ネットワーク204は、一般に、通信若しくはデータ転送を容易にすることが可能な、任意の媒体又はアーキテクチャを表す。ネットワーク204の例としては、非限定的に、イントラネット、広域ネットワーク(Wide Area Network)(WAN)、ローカルエリアネットワーク(Local Area Network)(LAN)、パーソナルエリアネットワーク(Personal Area Network)(PAN)、インターネット、電力線通信(PLC)、セルラーネットワーク(例えば、Global System for Mobile Communications〔GSM(登録商標)〕ネットワーク)、図7の例示的なネットワークアーキテクチャ700などが挙げられる。ネットワーク204は、無線接続又は有線接続を使用して、通信又はデータ転送を容易にしてもよい。一実施形態では、ネットワーク204は、コンピューティングデバイス202とサーバ206との間の通信を容易にしてもよい。いくつかの実施例では、ネットワーク204は、ネットワーク204のアンテナ212(1)〜212(N)で、コンピューティングデバイス202の送受信器から信号を受信してもよい。いくつかの実施例では、ネットワーク204は、住居で管理される無線ネットワークなどの私設ネットワークを表してもよい。それに加えて、又は別の方法として、ネットワーク204は、企業又は政府が管理するネットワークを表してもよい。
図3は、無認可のネットワーク侵入から保護する例示的なコンピュータ実装方法300のフローチャートである。図3に示されるステップは、任意の好適なコンピュータ実行可能コード及び/又はコンピューティングシステムによって実施されてもよい。いくつかの実施形態では、図3に示されるステップは、図1のシステム100、図2のシステム200、図6のコンピューティングシステム610、及び/又は図7の例示的なネットワークアーキテクチャ700の部分の構成要素のうち1つ以上によって実施されてもよい。
図3に示されるように、ステップ302で、本明細書に記載するシステムの1つ以上は、ネットワークの1つ以上のアンテナによって受信した、ネットワークへのアクセスを試行しているデバイスの送受信器からの信号を識別してもよい。例えば、識別モジュール104は、図2のサーバ206及び/又はネットワーク204の一部として、ネットワーク204のアンテナ212(1)〜212(N)によって受信した、ネットワーク204へのアクセスを試行しているコンピューティングデバイス202の送受信器からの信号を識別してもよい。
識別モジュール104は、様々なやり方で、ネットワークのアンテナによって受信した信号を識別してもよい。いくつかの実施例では、識別モジュール104は、ネットワーク204及び/又はサーバ206の一部として動作し、アンテナ212(1)〜212(N)から信号を受信する際に信号を識別してもよい。それに加えて、又は別の方法として、識別モジュール104は、第三者のサーバ(セキュリティベンダーのサーバなど)の一部として動作してもよく、アンテナ212(1)〜212(N)及び/又はネットワーク204から信号を受信する際に信号を識別してもよい。
図3に戻ると、ステップ304で、本明細書に記載するシステムの1つ以上は、ネットワークへのアクセス試行と関連して、ネットワークのアンテナによって受信した信号の1つ以上の信号強度を検出してもよい。例えば、検出モジュール106は、図2のサーバ206及び/又はネットワーク204の一部として、コンピューティングデバイス202によるネットワーク204へのアクセス試行と関連して、ネットワーク204のアンテナ212(1)〜212(N)によって受信した信号の信号強度216(1)〜216(N)を検出してもよい。
検出モジュール106は、様々なやり方で、アンテナによって受信した信号の信号強度を検出してもよい。いくつかの実施例では、ネットワークの単一のアンテナが信号を受信してもよい。例えば、アンテナ212(1)が信号強度216(1)を受信してもよい。これらの実施例では、検出モジュール106は、単一のアンテナを介して信号の強度を検出してもよい。例えば、信号強度216(1)は32dBmの信号強度を表してもよい。アンテナ212(1)が信号を受信すると、検出モジュール106は、信号の強度が32dBmであると判断してもよい。
他の実施例では、ネットワークのクラスタ化アンテナ環境内の2つ以上のアンテナが信号を受信してもよい。例えば、アンテナ212(1)〜(N)が信号強度216(1)〜216(N)を受信してもよい。これらの実施例では、クラスタ化アンテナ環境内の各アンテナが異なる強度の信号を受信してもよい。例えば、アンテナ212(1)は、32dBmの信号強度を表す信号強度216(1)を受信してもよく、アンテナ212(N)は、58dBmの信号強度を表す信号強度216(N)を受信してもよい。
いくつかの例では、各アンテナによって受信する信号強度の差は、クラスタ化アンテナ環境内の各アンテナに対するデバイスの相対的な近接性に少なくとも部分的に起因してもよい。これらの例では、クラスタ化アンテナ環境内でデバイスに対して物理的に最も近いアンテナが、最大強度の信号を受信してもよく、クラスタ化アンテナ環境内でデバイスに対して物理的に最も遠いアンテナが、最小強度の信号を受信してもよい。例えば、アンテナ212(N)は、コンピューティングデバイス202から10フィート(3.05m)であってもよく、アンテナ212(1)は、コンピューティングデバイス202から100フィート(30.48m)であってもよい。結果として、アンテナ212(N)は、アンテナ212(1)によって受信する信号強度216(1)よりも26dBm強い信号強度216(N)を受信してもよい。
別の実施例として、各アンテナによって受信する信号強度の差は、デバイスが信号を送信している方向に少なくとも部分的に起因してもよい。多くの例では、デバイスは信号を全ての方向で送信してもよく、したがって信号は全方向性であってもよい。しかしながら、他の例では、デバイスは信号を一方向で増幅してもよい。これらの例では、クラスタ化アンテナ環境内の一方向に向けられているアンテナは、クラスタ化アンテナ環境内の一方向に向けられていないアンテナによって受信する信号強度よりも著しく強い信号強度を受信してもよい。したがって、様々なアンテナに対するデバイスの物理的な近接性は、様々なアンテナによって受信する信号の信号強度に対してほとんど、又は全く影響を有さないことがある。それに加えて、又は別の方法として、様々なアンテナに対するデバイスの物理的な近接性は、受信信号の強度における最も顕著な因子ではないことがある。
ネットワークの2つ以上のアンテナが信号を受信する場合、検出モジュール106は、それに加えて、クラスタ化アンテナ環境内の各アンテナによって受信する信号強度間の分散を検出してもよい。例えば、検出モジュール106は、信号強度216(1)〜216(N)それぞれの間の分散を描写する分散パターン218を検出してもよい。
いくつかの実施例では、検出モジュール106は、ネットワーク204及び/又はサーバ206の一部として動作し、アンテナ212(1)〜212(N)から信号を受信する際に信号強度216(1)〜216(N)を検出してもよい。それに加えて、又は別の方法として、検出モジュール106は、第三者のサーバ(セキュリティベンダーのサーバなど)の一部として動作し、アンテナ212(1)〜212(N)及び/又はネットワーク204から信号を受信する際に信号の信号強度を検出してもよい。
一実施形態では、検出モジュール106はまた、ネットワークのアンテナによって受信した信号の信号強度に少なくとも部分的に基づいて、信号の信号プロファイルを生成してもよい。例えば、検出モジュール106は、信号強度216(1)〜216(N)に少なくとも部分的に基づいて、信号プロファイル214を生成してもよい。
図3に戻ると、ステップ306で、本明細書に記載するシステムの1つ以上は、信号の信号強度に少なくとも部分的に基づいて、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。例えば、判断モジュール108は、図2のコンピューティングデバイス202の一部として、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。この実施例では、判断は、信号の信号強度216(1)〜216(N)に少なくとも部分的に基づいてもよい。
本明細書で使用するとき、「悪意的である可能性がある試行」という用語は、一般に、既知の悪意的であるネットワークへのアクセス試行と一致する1つ以上の特性を有する、任意のタイプ又は形態のアクセス試行を指す。「悪意的であるネットワークへのアクセス試行」という語句は、本明細書で使用するとき、一般に、無認可である、並びに/あるいはネットワーク及び/又はネットワークと関連付けられたデバイスにとって有害であるか若しくはそれに潜入するように構成された、任意のタイプ又は形態のアクセス試行を指す。
判断モジュール108は、信号の信号強度に少なくとも部分的に基づいて、様々なやり方で、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。いくつかの実施例では、判断モジュール108は、ポリシー220で規定された特定の疑わしい信号プロファイルを識別してもよい。一実施例では、ポリシー220は、ネットワーク204及び/又は同じセキュリティサービスによって監視される別のネットワークへのアクセス試行失敗の閾値数と関連して、特定の信号プロファイルが過去に検出されているときに、それらの信号プロファイルが疑わしいことを示してもよい。
判断モジュール108は、次に、生成した信号プロファイルが、ポリシーで規定した疑わしい信号プロフィルの少なくとも1つの記述と合致していることを判断してもよい。例えば、判断モジュール108は、ポリシー220で規定したようなネットワーク204へのアクセス試行失敗の閾値数と関連して、信号プロファイル214が過去に検出されていると判断してもよい。
最後に、判断モジュール108は、生成した信号プロファイルがポリシーで規定した疑わしい信号プロファイルの少なくとも1つと合致することに少なくとも部分的に起因して、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。例えば、判断モジュール108は、ポリシー220で規定したようなネットワーク204へのアクセス試行失敗の閾値数と関連して、信号プロファイル214が過去に検出されていることに少なくとも部分的に起因して、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。
いくつかの実施形態では、ポリシー220は、信号の信号強度における疑わしい分散を規定してもよい。これらの実施形態では、判断モジュール108は、分散パターン218がポリシー220で規定した疑わしい分散の少なくとも1つと合致すると判断することによって、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。例えば、アンテナ212(N)で受信した信号の信号強度は、一般的に、アンテナ212(1)で受信した同じ信号の信号強度よりも強くてもよい。結果として、ポリシー220は、アンテナ212(1)で受信した信号の信号強度がアンテナ212(N)で受信した同じ信号の信号強度よりも強いとき、分散が疑わしいことを示してもよい。
この実施例では、検出モジュール106は、アンテナ212(1)によって受信した信号の信号強度32dBmを表す信号強度216(1)と、アンテナ212(N)によって受信した信号の信号強度58dBmを表す信号強度216(N)とを検出してもよい。検出モジュール106は、次に、分散パターン218を識別し、分散パターン218を信号プロファイル214に含めることによって、信号プロファイル214を生成してもよい。一実施例では、分散パターン218は、信号強度216(1)と信号強度216(N)との間に26dBmの分散が存在すること、及び/又は信号強度216(N)が信号強度216(1)よりも強いことを示してもよい。
次に、判断モジュール108は、信号強度216(N)が信号強度216(1)よりも強いことに少なくとも部分的に基づいて、分散パターン218がポリシー220で規定した疑わしい分散の少なくとも1つと合致すると判断してもよい。最後に、判断モジュール108は、分散パターン218がポリシー220で規定した疑わしい分散の少なくとも1つと合致することに少なくとも部分的に基づいて、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。
いくつかの実施例では、ポリシー220は、既知の悪意的であるネットワークへのアクセス試行と関連して、過去に検出されている特定の疑わしい分散パターンを識別してもよい。例えば、判断モジュール108は、悪意的であるネットワークへのアクセス試行が場合によっては指向性の増幅を伴うと判断してもよい。それに加えて、又は別の方法として、判断モジュール108は、1つのネットワークアンテナが、他の全てのネットワークアンテナによって受信された信号の信号強度よりも特定量の分強い信号強度を受信すると、信号が指向性の増幅を使用して送られる可能性が高いと判断してもよい。結果として、ポリシー220は、1つのネットワークアンテナで受信した信号強度が、他の全てのネットワークアンテナで受信した信号強度よりも、その特定量の分強いとき、分散パターンが疑わしいことを示してもよい。
いくつかの実施形態では、判断モジュール108は、信号プロファイルが、無認可の信号プロファイルのデータベースにおけるエントリと合致すると判断することによって、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。それに加えて、又は別の方法として、判断モジュール108は、信号プロファイルが、認可された信号プロファイルのデータベースにおけるエントリと合致しないと判断することによって、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。これらの実施形態では、無認可の信号プロファイルのデータベースは、システム管理者及び/又は機械学習型の分類システムによって、無認可であると過去に指定されている信号プロファイルのデータベースであってもよい。同様に、認可された信号プロファイルのデータベースは、システム管理者及び/又は機械学習型の分類システムによって、認可されたものと過去に指定されている信号プロファイルのデータベースであってもよい。
いくつかの実施例では、ポリシー220は、信号プロファイル及びMACアドレスの1つ以上の疑わしい組み合わせをブラックリストに載せてもよい。これらの実施例では、判断モジュール108は、信号プロファイル214及びMACアドレス210が、ポリシー220によってブラックリストに載せられた疑わしい組み合わせの少なくとも1つと合致すると判断することによって、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。ポリシー220によってブラックリストに載せられる組み合わせは、非限定的に、成功したネットワークへのアクセス試行において特定の回数よりも多く使用されているMACアドレスと、成功したネットワークへのアクセス試行において特定の回数よりも少なく使用されている信号プロファイル、ネットワークへのアクセス試行において特定の回数よりも少なく使用されているMACアドレスと、ネットワークへのアクセス試行において特定の率で使用されている信号プロファイル、ネットワークへのアクセス試行において使用されたことがないMACアドレスと、ネットワークへのアクセス試行において特定の回数よりも多く失敗して使用されている信号プロファイル、特定の数よりも多い異なる信号プロファイルと関連して使用されているMACアドレス、それらのうち1つ以上の変形、それらのうち1つ以上の組み合わせ、及び/又は他の任意の好適な組み合わせを含んでもよい。
いくつかの実施形態では、判断モジュール108は、認可されたMACアドレスの複製である可能性があるMACアドレスを有するデバイスを識別し、複製である可能性があるMACアドレスを有するデバイスが悪意的である可能性があると判断してもよい。本明細書で使用するとき、「MACアドレスの複製」という語句は、一般に、デバイスのソフトウェアでエミュレートされたものであるが、デバイスの実際のMACアドレスではないMACアドレスを指す。例えば、判断モジュール108は、MACアドレス210が1つ以上の過去の成功したネットワーク204へのアクセス試行で使用されていることを判断してもよい。
いくつかの実施例では、MACアドレス210は、ネットワーク204の管理者によって維持されているホワイトリストに含まれてもよい。これらの実施例では、ホワイトリストは、ネットワーク204へのアクセスを許可されている特定のMACアドレスを識別してもよい。判断モジュール108はまた、信号プロファイル214が、1つ以上の過去の成功した試行と関連して使用されなかったことを判断してもよい。これらの判断の結果として、判断モジュール108は、MACアドレス210がネットワーク204へのアクセス試行のために複製されたものである可能性がある、かつ/又はネットワーク204へのアクセス試行が悪意的である可能性があると判断することができてもよい。
いくつかの実施形態では、ネットワーク204へのアクセス試行は、信号プロファイル214を用いた急速な連続したネットワーク204へのアクセス試行の一部を形成してもよい。本明細書で使用するとき、「急速な連続したネットワークへのアクセス試行」という語句は、一般に、特定の時間量内で開始される、閾値数よりも多いネットワークへのアクセス試行を指す。急速な連続したネットワークへのアクセス試行は、ネットワークへのアクセスを認可されていないユーザーが、力づくでネットワークへのアクセスを試行していることを示してもよい。これらの実施形態では、判断モジュール108は、ネットワーク204へのアクセス試行が異なるMACアドレスの閾値数と関連付けられていることを判断してもよい。それに応答して、判断モジュール108は、閾値数の異なるMACアドレスが関与した複数の過去のアクセス試行と関連して、信号プロファイル214が検出されていることに少なくとも部分的に起因して、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。
いくつかの実施例では、判断モジュール108は、ネットワークへのアクセス試行の開始時間がデバイスのMACアドレスに特徴的でないことに少なくとも部分的に基づいて、ネットワークへのアクセス試行が悪意的である可能性があると判断してもよい。本明細書で使用するとき、「特徴的でない開始時間」は、一般に、デバイスのMACアドレスと関連付けられたことがない、かつ/又はデバイスのMACアドレスと関連付けられたのが閾値回数未満である、開始時間を指す。例えば、判断モジュール108は、MACアドレス210が成功したネットワーク204へのアクセス試行で過去に使用されており、過去の成功した試行の全てが午前8時から午後5時の間に行われたと判断してもよい。この実施例では、判断モジュール108はまた、ネットワーク204へのアクセス試行が午後11時に発生したと判断してもよい。結果として、判断モジュール108は、午後11時の開始時間がMACアドレス210に特徴的でないものであり、ネットワーク204へのアクセス試行が悪意的である可能性があることを判断してもよい。
上述したように、様々な実施形態では、判断モジュール108は、ポリシー220に少なくとも部分的に基づいて、ネットワーク204へのアクセス試行が悪意的である可能性があると判断してもよい。いくつかの実施形態では、ポリシー220は信号プロファイルの疑わしい特性を規定してもよい。本明細書で使用するとき、「信号プロファイルの疑わしい特性」という用語は、一般に、ネットワークへの悪意的なアクセス試行に関連する信号プロファイルの特性を指す。
ポリシー220は様々なやり方で作成されてもよい。いくつかの実施例では、判断モジュール108は、1つ以上のネットワークへの1つ以上のアクセス試行を監視することによって、ポリシーを作成してもよい。例えば、図4に示されるように、判断モジュール108は、ネットワーク204へのアクセスを試行したがアクセスが拒否された、失敗したアクセス試行400を監視してもよい。失敗したアクセス試行400の監視の一部として、判断モジュール108は、失敗したアクセス試行400の一連の属性を識別してもよい。例えば、判断モジュール108は、失敗したアクセス試行400の信号プロファイル402、分散パターン404、開始時間406、及びMACアドレス408を識別してもよい。
それに加えて、又は別の方法として、判断モジュール108は、ネットワーク204へのアクセスが許可された、成功したアクセス試行410及び/又は成功したアクセス試行440を監視してもよい。成功したアクセス試行410及び/又は成功したアクセス試行440の監視の一部として、判断モジュール108は、成功したアクセス試行410及び/又は成功したアクセス試行440の一連の属性を識別してもよい。例えば、判断モジュール108は、成功したアクセス試行410の信号プロファイル412、分散パターン414、開始時間416、及びMACアドレス418、並びに/あるいは成功したアクセス試行440の信号プロファイル442、分散パターン444、開始時間446、及びMACアドレス448を識別してもよい。
それに加えて、又は別の方法として、判断モジュール108は、悪意的であるものと指定された悪意的なアクセス試行420を監視してもよい。悪意的なアクセス試行420の監視の一部として、判断モジュール108は、悪意的なアクセス試行420の一連の属性を識別してもよい。例えば、判断モジュール108は、悪意的なアクセス試行420の信号プロファイル402、分散パターン424、開始時間406、及びMACアドレス428を識別してもよい。
それに加えて、又は別の方法として、判断モジュール108は、ネットワーク204へのアクセスが認可されないものとして指定された無認可のアクセス試行430を監視してもよい。無認可のアクセス試行430の監視の一部として、判断モジュール108は、無認可のアクセス試行430の一連の属性を識別してもよい。例えば、判断モジュール108は、無認可のアクセス試行430の信号プロファイル402、分散パターン434、開始時間406、及びMACアドレス438を識別してもよい。
それに加えて、又は別の方法として、判断モジュール108は、ネットワーク204へのアクセスが認可されたものとして指定された、認可されたアクセス試行450を監視してもよい。認可されたアクセス試行450の監視の一部として、判断モジュール108は、認可されたアクセス試行450の一連の属性を識別してもよい。例えば、判断モジュール108は、認可されたアクセス試行450の信号プロファイル402、分散パターン454、開始時間456、及びMACアドレス458を識別してもよい。
いくつかの実施例では、1つ以上のアクセス試行の監視は、ネットワーク204への1つ以上のアクセス試行を監視することを含んでもよい。それに加えて、又は別の方法として、1つ以上のアクセス試行の監視は、単一のセキュリティベンダーによって監視される複数のネットワーク内のネットワークへの1つ以上のアクセス試行を監視することを含んでもよい。それに加えて、又は別の方法として、1つ以上のアクセス試行の監視は、既知のMACアドレスと関連付けられた1つ以上のアクセス試行を監視することを含んでもよい。それに加えて、又は別の方法として、1つ以上のアクセス試行の監視は、既知の信号プロファイルと関連付けられた1つ以上のアクセス試行を監視することを含んでもよい。
いくつかの実施形態では、判断モジュール108は、図4に示される識別された一連の属性から、悪意的なネットワークへのアクセス試行を識別するための機械学習ベースの分類モデルを構築し、機械学習ベースの分類モデルを使用して、ポリシー220、ポリシー500、及び/又はポリシー520など、悪意的である可能性があるアクセス試行を識別するためのポリシーを作成してもよい。
例えば、機械学習ベースの分類モデルは、信号プロファイル402と、失敗したアクセス試行又は悪意的であるものと類別されたアクセス試行(例えば、失敗したアクセス試行400、悪意的なアクセス試行420、及び無認可のアクセス試行430)との関連に少なくとも部分的に基づいて、信号プロファイル402が疑わしいことを示してもよい。それに応答して、判断モジュール108は、信号プロファイル402が疑わしいと規定してもよい。同様に、機械学習ベースの分類モデルは、開始時間406と組み合わされた信号プロファイル402が疑わしいことを示してもよいが、その理由としては、かかる組み合わせが、失敗した、悪意的な、かつ/又は無認可のアクセス試行(失敗したアクセス試行400、悪意的なアクセス試行420、及び/又は無認可のアクセス試行430)と関連付けられるためである。それに応答して、判断モジュール108は、開始時間406と組み合わされた信号プロファイル402が疑わしい組み合わせであると規定してもよい。それに加えて、又は別の方法として、機械学習ベースの分類モデルは、開始時間456と組み合わされた信号プロファイル402は疑わしくないことを示してもよいが、その理由としては、かかる組み合わせが、認可されているアクセス試行(認可されたアクセス試行450など)と関連付けられるためである。
いくつかの実施形態では、図5に示されるように、ネットワーク204によって使用されるポリシー500は、上述の監視に少なくとも部分的に基づいて、信号プロファイル402及び/又は分散パターン514が疑わしい(例えば、それぞれ疑わしい特性502及び疑わしい特性504)と規定してもよい。この実施例では、判断モジュール108は、信号プロファイル402に対応する信号プロファイル214及び/又は分散パターン514に対応する分散パターン218に少なくとも部分的に基づいて、ネットワーク204へのアクセス試行が悪意的であると判断してもよい。
同様に、ネットワーク204によって使用されるポリシー520は、上述の監視に基づいて、信号プロファイル402及び開始時間406が疑わしい組み合わせであり、並びに/あるいは分散パターン542、MACアドレス544、及び開始時間546が疑わしい組み合わせである(例えば、それぞれ疑わしい組み合わせ522及び疑わしい組み合わせ524)と規定してもよい。これらの実施例では、判断モジュール108は、信号プロファイル402に対応する信号プロファイル214、及び開始時間406に行われるネットワーク204へのアクセス試行に少なくとも部分的に基づいて、ネットワーク204へのアクセス試行が悪意的であると判断してもよい。それに加えて、又は別の方法として、判断モジュール108は、分散パターン542に対応する分散パターン218、MACアドレス544に対応するMACアドレス210、及び/又は開始時間546に行われるネットワーク204へのアクセス試行に少なくとも部分的に基づいて、ネットワーク204へのアクセス試行が悪意的であると判断してもよい。
いくつかの実施例では、判断モジュール108は、ネットワーク204へのアクセス試行の少なくとも1つの属性を、機械学習ベースの分類モデルに入力してもよい。「機械学習ベースの分類モデル」という語句は、本明細書で使用するとき、一般に、機械学習技術を使用して生成されるデータ分類のための複雑な数学的モデルを指す。いくつかの実施例では、ネットワーク204及び/又はサーバ206の一部として動作するモジュールがポリシーを作成してもよい。それに加えて、又は別の方法として、第三者のセキュリティベンダーの一部として動作するモジュールがポリシーを作成してもよい。
ステップ308で、本明細書に記載するシステムの1つ以上は、ネットワークへのアクセス試行が悪意的である可能性があることに応答して、悪意的である可能性があるネットワークへのアクセス試行に対処する少なくとも1つの安全対策を開始してもよい。例えば、開始モジュール110は、図2のサーバ206及び/又はネットワーク204の一部として、悪意的である可能性があるネットワーク204へのアクセス試行に対処する少なくとも1つの安全対策を開始してもよい。この実施例では、安全対策は、ネットワーク204へのアクセス試行が悪意的である可能性があるという判断に応答して開始されてもよい。
開始モジュール110は、様々な方法で安全対策を開始してもよい。いくつかの実施例では、開始モジュール110は、ネットワークへのアクセス試行が悪意的である可能性があることを、ネットワーク管理者に警告することによって、安全対策を開始してもよい。これらの実施例では、開始モジュール110は、警告に対するネットワーク管理者の応答を監視し、応答に少なくとも部分的に基づいて、悪意的である可能性があるアクセス試行の識別を容易にするように、ポリシー220を調節してもよい。それに加えて、又は別の方法として、開始モジュール110は、ネットワーク204へのアクセス試行をブロックし、かつ/又はネットワーク204へのアクセス前に認証プロセスを問題なく完了させることをデバイスに要求することによって、安全対策を開始してもよい。
上述したように、本開示は、ネットワークへのアクセスを試行しているデバイスからの信号を識別し、次に、信号に少なくとも部分的に基づいて、試行が悪意的なものであるか否かを判断することによって、無認可のネットワーク侵入から保護するための様々なシステム及び方法について記載している。ネットワークへの悪意的なアクセス試行の識別が、ネットワークへのアクセス試行と関連して使用される信号に基づくことによって、本明細書に開示するシステム及び方法は、別の方法では検出されずにいたであろう悪意的な試行を識別してもよい。
図6は、本明細書に記載及び/又は例証される実施形態のうち1つ以上を実現することができる例示的なコンピューティングシステム610のブロック図である。例えば、コンピューティングシステム610の全て又は一部は、単独で又は他の要素と組み合わせて、(図3に例証されるステップのうち1つ以上などの)本明細書に記載されるステップのうち1つ以上を実施してもよく、かつ/又はそれを実施するための手段であってもよい。コンピューティングシステム610の全て又は一部はまた、本明細書に記載及び/又は例証される他の任意のステップ、方法、若しくは処理を実施してもよく、並びに/あるいはそれを実施するための手段であってもよい。
コンピューティングシステム610は、コンピュータ可読命令を実行することが可能な任意のシングル若しくはマルチプロセッサのコンピューティングデバイス又はシステムを幅広く表す。コンピューティングシステム610の例としては、非限定的に、ワークステーション、ラップトップ、クライアント側端末、サーバ、分散型コンピューティングシステム、ハンドヘルドデバイス、又は他の任意のコンピューティングシステム若しくはデバイスが挙げられる。その最も基本的な構成において、コンピューティングシステム610は、少なくとも1つのプロセッサ614及びシステムメモリ616を含んでもよい。
プロセッサ614は、一般に、データの処理又は命令の解釈及び実行が可能な任意のタイプ若しくは形態の物理的処理装置(例えば、ハードウェア実装型中央処理装置)を表す。特定の実施形態では、プロセッサ614は、ソフトウェアアプリケーション又はモジュールから命令を受信してもよい。これらの命令は、プロセッサ614に、本明細書に記載及び/又は例証される例示的な実施形態のうち1つ以上の機能を実施させてもよい。
システムメモリ616は、一般に、データ及び/又は他のコンピュータ可読命令を格納することが可能な、任意のタイプ若しくは形態の揮発性又は不揮発性記憶デバイス若しくは媒体を表す。システムメモリ616の例としては、非限定的に、ランダムアクセスメモリ(RAM)、読み取り専用メモリ(ROM)、フラッシュメモリ、又は他の任意の好適なメモリデバイスが挙げられる。必須ではないが、特定の実施形態では、コンピューティングシステム610は、揮発性メモリユニット(例えば、システムメモリ616など)、及び不揮発性記憶デバイス(例えば、詳細に後述するような、一次記憶デバイス632など)の両方を含んでもよい。一実施例では、図1のモジュール102の1つ以上がシステムメモリ616にロードされてもよい。
特定の実施形態では、例示的なコンピューティングシステム610はまた、プロセッサ614及びシステムメモリ616に加えて、1つ以上の構成要素又は要素を含んでもよい。例えば、図6に示されるように、コンピューティングシステム610は、メモリコントローラ618、入力/出力(I/O)コントローラ620、及び通信インターフェース622を含んでもよく、それらはそれぞれ通信基盤612を介して相互接続されてもよい。通信基盤612は、一般に、コンピューティングデバイスの1つ以上の構成要素間の通信を容易にすることができる、任意のタイプ若しくは形態の基盤を表す。通信基盤612の例としては、非限定的に、通信バス(産業標準アーキテクチャ(ISA)、周辺装置相互接続(PCI)、PCIエクスプレス(PCIe)、又は類似のバスなど)、及びネットワークが挙げられる。
メモリコントローラ618は、一般に、メモリ若しくはデータを扱うか、又はコンピューティングシステム610の1つ以上の構成要素間の通信を制御することができる、任意のタイプ若しくは形態のデバイスを表す。例えば、特定の実施形態では、メモリコントローラ618は、通信基盤612を介して、プロセッサ614、システムメモリ616、及びI/Oコントローラ620の間の通信を制御してもよい。
I/Oコントローラ620は、一般に、コンピューティングデバイスの入出力機能を調整及び/又は制御することができる、任意のタイプ若しくは形態のモジュールを表す。例えば、特定の実施形態では、I/Oコントローラ620は、プロセッサ614、システムメモリ616、通信インターフェース622、ディスプレイアダプタ626、入力インターフェース630、及び記憶インターフェース634など、コンピューティングシステム610の1つ以上の要素間におけるデータの転送を制御するか又は容易にしてもよい。
通信インターフェース622は、例示的なコンピューティングシステム610と1つ以上の追加のデバイスとの間の通信を容易にすることができる、任意のタイプ若しくは形態の通信デバイス又はアダプタを広く表す。例えば、特定の実施形態では、通信インターフェース622は、コンピューティングシステム610と、追加のコンピューティングシステムを含む私設又は公衆ネットワークとの間の通信を容易にしてもよい。通信インターフェース622の例としては、非限定的に、有線ネットワークインターフェース(ネットワークインターフェースカードなど)、無線ネットワークインターフェース(無線ネットワークインターフェースカードなど)、モデム、及び他の任意の好適なインターフェースが挙げられる。少なくとも1つの実施形態では、通信インターフェース622は、インターネットなどのネットワークへの直接リンクを介して、リモートサーバへの直接接続を提供してもよい。通信インターフェース622はまた、例えば、ローカルエリアネットワーク(イーサネット(登録商標)ネットワークなど)、パーソナルエリアネットワーク、電話若しくはケーブルネットワーク、セルラー電話接続、衛星データ接続、又は他の任意の好適な接続を通して、かかる接続を間接的に提供してもよい。
特定の実施形態では、通信インターフェース622はまた、外部バス又は通信チャネルを介して、コンピューティングシステム610と1つ以上の追加のネットワーク又は記憶デバイスとの間の通信を容易にするように構成された、ホストアダプタを表してもよい。ホストアダプタの例としては、非限定的に、小型コンピュータシステムインターフェース(SCSI)ホストアダプタ、ユニバーサルシリアルバス(USB)ホストアダプタ、米国電気電子学会(IEEE)1394ホストアダプタ、アドバンストテクノロジーアタッチメント(ATA)、パラレルATA(PATA)、シリアルATA(SATA)、及び外部SATA(eSATA)ホストアダプタ、ファイバーチャネルインターフェースアダプタ、イーサネット(登録商標)アダプタなどが挙げられる。通信インターフェース622はまた、コンピューティングシステム610が分散型又はリモートコンピューティングに関与することを可能にしてもよい。例えば、通信インターフェース622は、実行のためにリモートデバイスから命令を受信するか又はリモートデバイスに命令を送信してもよい。
図6に示されるように、コンピューティングシステム610はまた、ディスプレイアダプタ626を介して通信基盤612に連結される少なくとも1つのディスプレイデバイス624を含んでもよい。ディスプレイデバイス624は、一般に、ディスプレイアダプタ626によって転送される情報を視覚的に表示することができる、任意のタイプ若しくは形態のデバイスを表す。同様に、ディスプレイアダプタ626は、一般に、ディスプレイデバイス624に表示するために、通信基盤612から(又は当該技術分野において既知であるように、フレームバッファから)グラフィックス、テキスト、及び他のデータを転送するように構成された、任意のタイプ若しくは形態のデバイスを表す。
図6に示されるように、例示的なコンピューティングシステム610はまた、入力インターフェース630を介して通信基盤612に連結される少なくとも1つの入力デバイス628を含んでもよい。入力デバイス628は、一般に、コンピュータ又は人間のいずれかが生成した入力を、例示的なコンピューティングシステム610に提供することができる、任意のタイプ若しくは形態の入力デバイスを表す。入力デバイス628の例としては、非限定的に、キーボード、ポインティングデバイス、音声認識デバイス、又は他の任意の入力デバイスが挙げられる。
図6に示されるように、例示的なコンピューティングシステム610はまた、記憶インターフェース634を介して通信基盤612に連結される、一次記憶デバイス632及びバックアップ記憶デバイス633を含んでもよい。記憶デバイス632及び633は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。例えば、記憶デバイス632及び633は、磁気ディスクドライブ(例えば、いわゆるハードドライブ)、ソリッドステートドライブ、フロッピーディスクドライブ、磁気テープドライブ、光ディスクドライブ、フラッシュドライブなどであってもよい。記憶インターフェース634は、一般に、記憶デバイス632及び633とコンピューティングシステム610の他の構成要素との間でデータを転送するための、任意のタイプ若しくは形態のインターフェース又はデバイスを表す。
特定の実施形態では、記憶デバイス632及び633は、コンピュータソフトウェア、データ、又は他のコンピュータ可読情報を格納するように構成された、取外し可能な記憶ユニットから読み取り、かつ/又はそれに書き込むように構成されてもよい。好適な取外し可能な記憶ユニットの例としては、非限定的に、フロッピーディスク、磁気テープ、光ディスク、フラッシュメモリデバイスなどが挙げられる。記憶デバイス632及び633はまた、コンピュータソフトウェア、データ、又は他のコンピュータ可読命令が、コンピューティングシステム610にロードされることを可能にする、他の同様の構造体又はデバイスを含んでもよい。例えば、記憶デバイス632及び633は、ソフトウェア、データ、又は他のコンピュータ可読情報を読み取り、かつこれを書き込むように構成されてもよい。記憶デバイス632及び633はまた、コンピューティングシステム610の一部であってもよく、又は他のインターフェースシステムを介してアクセスされる別個のデバイスであってもよい。
他の多くのデバイス又はサブシステムがコンピューティングシステム610に接続されてもよい。反対に、図6に示される構成要素及びデバイスの全てが、本明細書に記載及び/又は例証される実施形態を実践するために存在する必要があるわけではない。上記で言及したデバイス及びサブシステムはまた、図6に示されるのとは異なる形で相互接続されてもよい。コンピューティングシステム610はまた、任意の数のソフトウェア、ファームウェア、及び/又はハードウェアの構成を用いてもよい。例えば、本明細書で開示する例示的な実施形態の1つ以上は、コンピュータ可読媒体上で、コンピュータプログラム(コンピュータソフトウェア、ソフトウェアアプリケーション、コンピュータ可読命令、又はコンピュータ制御論理とも称される)としてコード化されてもよい。「コンピュータ可読媒体」という用語は、本明細書で使用するとき、一般に、コンピュータ可読命令を格納又は保有することができる、任意の形態のデバイス、キャリア、又は媒体を指す。コンピュータ可読媒体の例としては、非限定的に、搬送波などの伝送型媒体、並びに磁気記憶媒体(例えば、ハードディスクドライブ、テープドライブ、及びフロッピーディスク)、光学記憶媒体(例えば、コンパクトディスク(CD)、デジタルビデオディスク(DVD)、及びブルーレイ〔BLU−RAY(登録商標)〕ディスク)、電子記憶媒体(例えば、ソリッドステートドライブ及びフラッシュメディア)、及び他の分散システムなどの非一時的媒体が挙げられる。
コンピュータプログラムを包含するコンピュータ可読媒体は、コンピューティングシステム610にロードされてもよい。次に、コンピュータ可読媒体に格納されたコンピュータプログラムの全て又は一部は、システムメモリ616に、並びに/又は記憶デバイス632及び633の様々な部分に格納されてもよい。プロセッサ614によって実行されると、コンピューティングシステム610にロードされたコンピュータプログラムは、プロセッサ614に、本明細書に記載及び/又は例証される例示的な実施形態のうち1つ以上の機能を実施させてもよく、かつ/又はそれらを実施するための手段であってもよい。追加的に又は代替案として、本明細書に記載及び/又は例証される例示的な実施形態の1つ以上は、ファームウェア及び/又はハードウェアに実装されてもよい。例えば、コンピューティングシステム610は、本明細書に開示される例示的な実施形態の1つ以上を実現するように適合された、特定用途向け集積回路(ASIC)として構成されてもよい。
図7は、クライアントシステム710、720、及び730、並びにサーバ740及び745がネットワーク750に連結されてもよい、例示的なネットワークアーキテクチャ700のブロック図である。上記で詳述したように、ネットワークアーキテクチャ700の全て又は一部は、単独で又は他の要素と組み合わせて、本明細書に開示されるステップの1つ以上(図3に示されるステップの1つ以上など)を実施してもよく、並びに/あるいはそれを実施するための手段であってもよい。ネットワークアーキテクチャ700の全て又は一部はまた、本開示に記載される他のステップ及び特徴を実施するのに使用されてもよく、並びに/あるいはそれを実施するための手段であってもよい。
クライアントシステム710、720、及び730は、一般に、図6の例示的なコンピューティングシステム610など、任意のタイプ若しくは形態のコンピューティングデバイス又はシステムを表す。同様に、サーバ740及び745は、一般に、様々なデータベースサービスを提供し、かつ/又は特定のソフトウェアアプリケーションを実行するように構成された、アプリケーションサーバ若しくはデータベースサーバなどの、コンピューティングデバイス又はシステムを表す。ネットワーク750は、一般に、例えばイントラネット、WAN、LAN、PAN、又はインターネットを含む、任意の電気通信又はコンピュータネットワークを表す。一実施例では、クライアントシステム710、720、及び/若しくは730、並びに/又はサーバ740及び/若しくは745は、図1からのシステム100の全て又は一部を含んでもよい。
図7に示されるように、1つ以上の記憶デバイス760(1)〜(N)はサーバ740に直接取り付けられてもよい。同様に、1つ以上の記憶デバイス770(1)〜(N)はサーバ745に直接取り付けられてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる、任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。特定の実施形態では、記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)は、ネットワークファイルシステム(NFS)、サーバメッセージブロック(SMB)、又は共通インターネットファイルシステム(CIFS)などの様々なプロトコルを使用して、サーバ740及び745と通信するように構成されたネットワーク接続ストレージ(NAS)デバイスを表してもよい。
サーバ740及び745はまた、ストレージエリアネットワーク(SAN)ファブリック780に接続されてもよい。SANファブリック780は、一般に、複数の記憶デバイス間の通信を容易にすることができる、任意のタイプ若しくは形態のコンピュータネットワーク又はアーキテクチャを表す。SANファブリック780は、サーバ740及び745と、複数の記憶デバイス790(1)〜(N)及び/又はインテリジェント記憶アレイ795との間の通信を容易にしてもよい。SANファブリック780はまた、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795が、クライアントシステム710、720、及び730にローカルで取り付けられたデバイスとして現れるような方式で、ネットワーク750並びにサーバ740及び745を介して、クライアントシステム710、720、及び730と、デバイス790(1)〜(N)及び/又はアレイ795との間の通信を容易にしてもよい。記憶デバイス760(1)〜(N)及び記憶デバイス770(1)〜(N)と同様に、記憶デバイス790(1)〜(N)及びインテリジェント記憶アレイ795は、一般に、データ及び/又は他のコンピュータ可読命令を格納することができる任意のタイプ若しくは形態の記憶デバイス又は媒体を表す。
特定の実施形態では、図6の例示的なコンピューティングシステム610を参照して、図6の通信インターフェース622などの通信インターフェースは、それぞれのクライアントシステム710、720、及び730とネットワーク750との間の接続を提供するために使用されてもよい。クライアントシステム710、720、及び730は、例えば、ウェブブラウザ又は他のクライアントソフトウェアを使用して、サーバ740又は745上の情報にアクセスすることが可能であってもよい。かかるソフトウェアは、クライアントシステム710、720、及び730が、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、又はインテリジェント記憶アレイ795によってホストされるデータにアクセスすることを可能にしてもよい。図7は、データを交換するために(インターネットなどの)ネットワークを使用することを示しているが、本明細書に記載及び/又は例証される実施形態は、インターネット又は任意の特定のネットワークベースの環境に限定されない。
少なくとも1つの実施形態では、本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部は、コンピュータプログラムとしてコード化され、サーバ740、サーバ745、記憶デバイス760(1)〜(N)、記憶デバイス770(1)〜(N)、記憶デバイス790(1)〜(N)、インテリジェント記憶アレイ795、又はこれらの任意の組み合わせ上にロードされ、これらによって実行されてもよい。本明細書に開示される例示的な実施形態のうち1つ以上の全て又は一部はまた、コンピュータプログラムとしてコード化され、サーバ740に記憶され、サーバ745によって作動し、ネットワーク750上でクライアントシステム710、720、及び730に配信されてもよい。
上で詳述したように、コンピューティングシステム610、及び/又はネットワークアーキテクチャ700の1つ以上の構成要素は、単独で又は他の要素と組み合わせて、無認可のネットワーク侵入から保護するための例示的な方法の1つ以上のステップを実施ししてもよく、かつ/又は実施するための手段であってもよい。
前述の開示は、特定のブロック図、フローチャート、及び実施例を使用して様々な実施形態を記載しているが、本明細書に記載及び/又は例証されるそれぞれのブロック図の構成要素、フローチャートのステップ、動作、及び/又は構成要素は、個別にかつ/又は集合的に、広範なハードウェア、ソフトウェア、又はファームウェア(若しくはそれらの任意の組み合わせ)の構成を使用して実現されてもよい。それに加えて、同じ機能性を達成するように他の多くのアーキテクチャを実現することができるので、他の構成要素内に包含される構成要素のあらゆる開示は、本質的に例示と見なされるべきである。
いくつかの実施例では、図1の例示的なシステム100の全て又は一部は、クラウドコンピューティング環境又はネットワークベースの環境の一部を表してもよい。クラウドコンピューティング環境は、インターネットを介して、様々なサービス及びアプリケーションを提供してもよい。これらのクラウドベースのサービス(例えば、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしての基盤など)は、ウェブブラウザ又は他のリモートインターフェースを通してアクセス可能であってもよい。本明細書に記載する様々な機能は、リモートデスクトップ環境又は他の任意のクラウドベースのコンピューティング環境を通して提供されてもよい。
様々な実施形態では、図1の例示的なシステム100の全て又は一部は、クラウドベースのコンピューティング環境内におけるマルチテナンシーを容易にしてもよい。換言すれば、本明細書に記載するソフトウェアモジュールは、本明細書に記載する機能の1つ以上に対するマルチテナンシーを容易にするように、コンピューティングシステム(例えば、サーバ)を構成してもよい。例えば、本明細書に記載するソフトウェアモジュールの1つ以上は、2つ以上のクライアント(例えば、顧客)がサーバ上で作動しているアプリケーションを共有するのを可能にするように、サーバをプログラムしてもよい。このようにプログラムされたサーバは、複数の顧客(即ち、テナント)の間で、アプリケーション、オペレーティングシステム、処理システム、及び/又は記憶システムを共有してもよい。本明細書に記載するモジュールの1つ以上はまた、ある顧客が別の顧客のデータ及び/又は設定情報にアクセスできないように、顧客ごとにマルチテナントアプリケーションのデータ及び/又は設定情報を分割してもよい。
様々な実施形態によれば、図1の例示的なシステム100の全て又は一部は仮想環境内で実現されてもよい。例えば、本明細書に記載するモジュール及び/又はデータは、仮想機械内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想機械」という用語は、一般に、仮想機械マネージャ(例えば、ハイパーバイザ)によってコンピューティングハードウェアから抽出される、任意のオペレーティングシステム環境を指す。それに加えて、又は別の方法として、本明細書に記載するモジュール及び/又はデータは、仮想化層内で常駐及び/又は実行してもよい。本明細書で使用するとき、「仮想化層」という用語は、一般に、オペレーティングシステム環境にオーバーレイする、並びに/あるいはそこから抽出される、任意のデータ層及び/又はアプリケーション層を指す。仮想化層は、基礎となる基本オペレーティングシステムの一部であるかのように仮想化層を提示する、ソフトウェア仮想化ソリューション(例えば、ファイルシステムフィルタ)によって管理されてもよい。例えば、ソフトウェア仮想化ソリューションは、最初に基本ファイルシステム及び/又はレジストリ内の場所に方向付けられる呼び出しを、仮想化層内の場所にリダイレクトしてもよい。
いくつかの実施例では、図1の例示的なシステム100の全て又は一部は、モバイルコンピューティング環境の一部を表してもよい。モバイルコンピューティング環境は、携帯電話、タブレットコンピュータ、電子ブックリーダー、携帯情報端末、ウェアラブルコンピューティングデバイス(例えば、ヘッドマウントディスプレイを備えたコンピューティングデバイス、スマートウォッチなど)などを含む、広範なモバイルコンピューティングデバイスによって実現されてもよい。いくつかの実施例において、モバイルコンピューティング環境は、例えば、バッテリ電力への依存、任意の所与の時間での1つのみのフォアグラウンドアプリケーションの提示、リモート管理特性、タッチスクリーン特性、位置及び移動データ(例えば、グローバルポジショニングシステム、ジャイロスコープ、加速度計などによって提供される)、システムレベルの構成への修正を制限する、及び/又は第3者のソフトウェアが他のアプリケーションの挙動を検査する能力を限定する、アプリケーションのインストールを制限するように(例えば、認可されたアプリケーションストアからのみ生じるように)制御するなど、制限されたプラットフォームを含む、1つ以上の個別の特性を有することができる。本明細書で説明される様々な機能は、モバイルコンピューティング環境に対して提供され得る、及び/又はモバイルコンピューティング環境と相互作用し得る。
それに加えて、図1の例示的なシステム100の全て又は一部は、情報管理のための1つ以上のシステムの部分を表してもよく、それと相互作用してもよく、それによって生成されるデータを消費してもよく、かつ/又はそれによって消費されるデータを生成してもよい。本明細書で使用するとき、「情報管理」という用語は、データの保護、組織化、及び/又は記憶を指してもよい。情報管理のためのシステムの例としては、非限定的に、記憶システム、バックアップシステム、アーカイブシステム、複製システム、高可用性システム、データ検索システム、仮想化システムなどを挙げることができる。
いくつかの実施形態では、図1の例示的なシステム100の全て又は一部は、情報セキュリティのための1つ以上のシステムの部分を表してもよく、それによって保護されるデータを生成してもよく、かつ/又はそれと通信してもよい。本明細書で使用するとき、「情報セキュリティ」という用語は、保護されたデータに対するアクセスの制御を指してもよい。情報セキュリティのためのシステムの例としては、非限定的に、管理されたセキュリティサービスを提供するシステム、データ損失防止システム、本人認証システム、アクセス制御システム、暗号化システム、ポリシー遵守システム、侵入検出及び防止システム、電子証拠開示システムなどを挙げることができる。
いくつかの実施例によれば、図1の例示的なシステム100の全て又は一部は、エンドポイントセキュリティのための1つ以上のシステムの部分を表してもよく、それと通信してもよく、かつ/又はそれから保護を受けてもよい。本明細書で使用するとき、「エンドポイントセキュリティ」という用語は、不正及び/若しくは違法な使用、アクセス、並びに/又は制御からのエンドポイントシステムの保護を指してもよい。エンドポイント保護のためのシステムの例としては、非限定的に、アンチマルウェアシステム、ユーザー認証システム、暗号化システム、プライバシーシステム、スパムフィルタリングサービスなどを挙げることができる。
本明細書に記載及び/又は例証されるプロセスパラメータ及びステップの順序は、単なる例として与えられるものであり、所望に応じて変更することができる。例えば、本明細書に例証及び/又は記載されるステップは特定の順序で図示又は考察されることがあるが、これらのステップは、必ずしも例証又は考察される順序で実施される必要はない。本明細書に記載及び/又は例証される様々な例示的な方法はまた、本明細書に記載若しくは例証されるステップの1つ以上を省略するか、又は開示されるものに加えて追加のステップを含んでもよい。
様々な実施形態を、完全に機能的なコンピューティングシステムの文脈で本明細書に記載及び/又は例証してきたが、これらの例示的な実施形態の1つ以上は、実際に配布を実施するのに使用されるコンピュータ可読媒体の特定のタイプにかかわらず、様々な形態のプログラム製品として配布されてもよい。本明細書に開示される実施形態はまた、特定のタスクを実施するソフトウェアモジュールを使用して実現されてもよい。これらのソフトウェアモジュールは、コンピュータ可読記憶媒体又はコンピューティングシステムに格納されてもよい、スクリプト、バッチ、若しくは他の実行可能ファイルを含んでもよい。いくつかの実施形態では、これらのソフトウェアモジュールは、本明細書に開示される例示的な実施形態の1つ以上を実施するようにコンピューティングシステムを構成してもよい。
それに加えて、本明細書に記載するモジュールの1つ以上は、データ、物理的デバイス、及び/又は物理的デバイスの表現を、1つの形態から別の形態へと変換してもよい。例えば、本明細書に列挙されるモジュールの1つ以上は、信号を、アクセス試行の安全性判断に変換してもよい。それに加えて、又は別の方法として、本明細書に列挙されるモジュールの1つ以上は、コンピューティングデバイス上で実行し、コンピューティングデバイスにデータを格納し、並びに/あるいは別の方法でコンピューティングデバイスと相互作用することによって、プロセッサ、揮発性メモリ、不揮発性メモリ、及び/又は物理的コンピューティングデバイスの他の任意の部分を、1つの形態から別の形態へと変換してもよい。
上述の記載は、本明細書に開示される例示的な実施形態の様々な態様を他の当業者が最良に利用するのを可能にするために提供されてきた。この例示的な記載は、網羅的であることを意図するものではなく、又は開示される任意の正確な形態に限定することを意図するものではない。本開示の趣旨及び範囲から逸脱することなく、多くの修正及び変形が可能である。本明細書に開示される実施形態は、あらゆる点で例示的であり、限定的ではないものと見なされるべきである。本開示の範囲を決定する際に、添付の特許請求の範囲及びそれらの等価物を参照するべきである。
別途記載のない限り、「〜に接続される」及び「〜に連結される」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、直接的接続及び間接的接続(即ち、他の要素若しくは構成要素を介する)の両方を許容するものとして解釈されるものである。それに加えて、「a」又は「an」という用語は、本明細書及び特許請求の範囲で使用するとき、「〜のうち少なくとも1つ」を意味するものとして解釈されるものである。最後に、簡潔にするため、「含む」及び「有する」という用語(並びにそれらの派生語)は、本明細書及び特許請求の範囲で使用するとき、「備える」という単語と互換性があり、同じ意味を有する。