JP5917573B2 - リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 - Google Patents

リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 Download PDF

Info

Publication number
JP5917573B2
JP5917573B2 JP2013557716A JP2013557716A JP5917573B2 JP 5917573 B2 JP5917573 B2 JP 5917573B2 JP 2013557716 A JP2013557716 A JP 2013557716A JP 2013557716 A JP2013557716 A JP 2013557716A JP 5917573 B2 JP5917573 B2 JP 5917573B2
Authority
JP
Japan
Prior art keywords
file
data
user
sensor
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013557716A
Other languages
English (en)
Other versions
JP2014510484A (ja
Inventor
フレデリック ロッシュ、マーティン
フレデリック ロッシュ、マーティン
Original Assignee
シスコ テクノロジー,インコーポレイテッド
シスコ テクノロジー,インコーポレイテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シスコ テクノロジー,インコーポレイテッド, シスコ テクノロジー,インコーポレイテッド filed Critical シスコ テクノロジー,インコーポレイテッド
Publication of JP2014510484A publication Critical patent/JP2014510484A/ja
Application granted granted Critical
Publication of JP5917573B2 publication Critical patent/JP5917573B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/1466Active attacks involving interception, injection, modification, spoofing of data unit addresses, e.g. hijacking, packet injection or TCP sequence number attacks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/102Entity profiles

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Information Transfer Between Computers (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Description

技術分野は、一般に、通信ネットワーク・セキュリティに関し、より詳細には、ネットワーク上で移動中のパケットからの、ネットワーク内のデータの属性(データの位置など)の受動的判定に関する。
「データ漏洩防止(data leak prevention)」(DLP)システムは、会社のデータをその会社のネットワーク内に保持するか、または少なくとも会社がそのデータを管理でき、会社のネットワーク上での移動に作用できるようにするように構成された技術である。DLPは、DLPが監視しているあるデータがどこにあるのかをDLPが知っていると仮定する。DLPが解決しようとしている問題の古典的な例は、電子メールを送信してはならない場所に電子メールを送信する人または添付ファイルを伴う電子メールを送信してはならない場所に電子メールを送信する人、会社のソース・コードを外部に電子メールしようとする人、会社のクレジット・カード・データベースをダウンロードしようとする人、および類似物である。
当初に、DLPは、悪意のあるユーザがネットワークからデータをこっそり搾取するのを止めるように構成されたものと位置付けられていた。実際には、DLPは、人がデータに無分別なことをしないようにするものになった。DLPは、愚行防止システムになった。基本的に、DLPは、電子メール・アドレスのオートコンプリートの誤動作、たとえば、会社の暫定の四半期の数値が会社の会計士ではなくワシントン・ポストに誤って送信されることを防ぐことなどには良かった。
したがって、本発明の1つまたは複数の実施形態では、センサは、パケットがネットワーク上で移動している時にパケット内のデータを受動的に読み取るように構成され、プロセッサは、センサと共に協力して動作可能であり、センサから読み取られたデータを受信し、受動的に読み取られたパケットがネットワーク上で移動している時に、両方がセンサからの読み取られたデータからであるファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成するように構成される方法、システム、および/またはコンピュータ可読記憶媒体を提供する。
一実施形態では、プロセッサを、センサによって読み取られたデータから相関および推測を実行するように構成することができる。
もう1つの実施形態では、プロセッサを、すべてがネットワーク上で移動しているパケット内の読み取られたデータからである、ファイルおよびファイル・データの属性のカタログを作成するように構成することができる。
もう1つの実施形態では、カタログを作成される属性は、ファイル名、ファイル・サイズ、タイム・スタンプ、ファイル・ハッシュ、ブロック・ハッシュ、ファイルを含んだサーバID、ファイルを含むホストID、ファイルを送信したユーザID、ファイルを受信しているあるユーザID、ファイルが転送される場所、ファイルの内容、ファイル・データがどこにあるのか、誰がファイル・データまたはファイルにアクセスしたのか、どのデバイスがファイル・データを有するのか、ファイルがどのように転送されたのか、ファイルがどのように変換されたのかを含む。
もう1つの実施形態では、カタログを作成されるファイルの内容は、キーワード、ハッシュ、およびファイル内容変化を含む。
もう1つの実施形態では、ファイルの内容は、ファイルが流れている時に、データ内のファイル内のキーワードまたはハッシュについて、ファイルおよびファイル・データを分析することによって判定することができる。
さらなる実施形態では、プロセッサは、ユーザが実際にタッチ(touch)したファイル、ファイル・ハッシュ、およびデータベースにユーザのアイデンティティを関連付けるユーザ・アクセス・マップを作成するように構成することができる。
もう1つの実施形態では、センサは、ファイルが上書きされた死んだデータを有すると事前に判定されたファイル・フォーマットを有する時に、受動的に読み取られたパケットに含まれるファイルの内部のボイドにハニートークン(honeytoken)を埋め込み、ネットワーク上およびネットワークの外部でのファイルの移動の追跡を助けるのにハニートークンを使用するようにさらに構成することができる。
もう1つの実施形態では、ファイルに埋め込まれるハニートークンを、ファイル全体の主ハッシュおよびファイル内の個々のブロックのブロック・ハッシュのうちの1つとすることができる。もう1つの実施形態では、両方の種類のハニートークン(ファイル全体の主ハッシュと、ファイル内の個々のブロックのブロック・ハッシュと)を提供し、ファイル内に埋め込むことができる。
もう1つの実施形態では、プロセッサは、読み取られたデータが、たとえば、ユーザの間の会話、ダウンロードされるページ、電子メール添付物、ファイル・ダウンロード、ファイル・リポジトリ・アクセス、およびネットワークを介するファイル転送のうちの1つまたは複数である時に、ファイルおよびファイル・データについてセンサからの読み取られたデータをさらに調べる。オプションで、プロセッサは、読取データが前述のうちの1つではない時に、ファイルおよびファイル・データに関するセンサからの読取データの検査をスキップする。
もう1つの実施形態では、リポジトリ・アクセスを、ダウンロード、ftp転送、ファイル共有アクセス、またはNFSアクセスとすることができる。オプションで、ファイル・リポジトリ・アクセスを、前述の拡張および変形とすることができる。
さらなる実施形態では、プロセッサは、パケットがネットワーク上で移動している時に、受動的に検出されたメタデータを生成するために受動的に読み取られたパケット内の読み取られたデータからメタデータを抽出し、読み取られたデータは、ファイル全体の主ハッシュ、ファイル内の個々のブロックのブロック・ハッシュ、ならびにファイル名、日付、タイム・スタンプ、サイズ、およびファイル所有者を有するファイルのディレクトリ・リスティングを含み、ハッシュは、ファイルに一意の暗号ハッシュであり、受動的に検出されたメタデータ、ファイルの属性、およびファイル・データをリレーショナル・データベースに格納し、受動的に検出されたメタデータを受動的に検出されたメタデータのデータ・マップに格納するようにさらに構成されることを提供する。
さらなる実施形態では、リレーショナル・データベースは、ファイル自体に基づき、ファイルがどこに転送されたのかおよびこれを誰が転送したのかを示すことを提供する。
さらなる実施形態では、リレーショナル・データベースは、センサに対するポストプロセッサとして実施できることを提供する。
もう1つの実施形態では、プロセッサは、誰がファイルおよびファイル・データを使用しているのか、およびユーザがファイルおよびファイル・データをどのように転送したかまたはアクセスしているのかからユーザの役割を推測し、推測されたユーザの役割およびセンサからの読み取られたデータから、ユーザが不適切な使用を実行している時を検出するようにさらに構成される。
もう1つの実施形態では、プロセッサは、ファイルの内容がどのように変化したのかに関して報告し、変化は、ファイル・データ内に反映される位置、ファイル・データ内に反映される所有権、ファイル・データ自体の変化、およびファイル自体の変化を含むようにさらに構成される。
もう1つの実施形態は、前述のいずれかもしくはすべて、および/または前述の組合せのための方法を提供する。
さらなる実施形態は、前述のいずれかもしくはすべて、および/または前述の組合せを実行するコンピュータ実行可能命令からなるコンピュータ可読記憶媒体を提供する。
さらなる実施形態では、(A)センサおよび(B)プロセッサを提供するシステム、方法、および/またはコンピュータ可読媒体がある。
(A)センサは、
(1)パケットがネットワーク上で移動している時にパケット内のデータを受動的に読み取り、
(2)ファイルが上書きできる死んだデータ(dead data)を有すると事前に判定されたファイル・フォーマットを有する時に、受動的に読み取られたパケットに含まれるファイルの内部のボイドにハニートークンを埋め込み、ネットワーク上およびネットワークの外部でのファイルの移動の追跡を助けるのにハニートークンを使用し、ハニートークンは、ファイル全体の主ハッシュおよび/またはファイル内の1つまたは複数の個々のブロックのブロック・ハッシュとすることができるように構成され、
(B)プロセッサは、
(1)センサから読み取られたデータを受信し、
(2)受動的に読み取られたパケットがネットワーク上で移動している時に、受動的に読み取られたパケット内で読み取られたデータ内のファイルおよびファイル・データを識別し、ファイルおよびファイル・データは、ユーザの間の会話、ダウンロードされるページ、電子メール添付物、ファイル・ダウンロード、ファイル・リポジトリ・アクセス(たとえば、ダウンロード、ftp、ファイル共有、NFS)、およびネットワークを介するファイル転送であり、
(3)受動的に読み取られたパケット内で読み取られたデータ内のファイルおよびファイル・データとして観察されたファイル、システム、ユーザ、およびファイル・データのリアルタイム・マップ・プロファイルを生成し、
(4)ネットワーク上で移動しているパケット内のデータから観察された、直接のファイル・データ情報(たとえば、ファイル名、ファイル・サイズ、タイム・スタンプ、ファイル・ハッシュ、ブロック・ハッシュ、ファイルを含んだサーバID、ファイルを含むホストID、ファイルを送信したユーザID、ファイルを受信しているユーザID、ファイルが転送される場所、ファイルの内容(たとえば、キーワードまたはハッシュ、ファイル内容変化)、データがどこにあるのか、誰がデータまたはファイルにアクセスしたのか、どのデバイスがデータを有するのか、ファイルがどのように転送されたのか、ファイルがどのように変換(たとえば、暗号化)されたのか)を含む、ファイルおよびファイル・データの属性のカタログを作成し、
(i)ファイルの内容は、ファイルが流れている時に、キーワードまたはハッシュについて、データを分析することによって判定され、
(5)パケットがネットワーク上で移動している時に、受動的に発見されたメタデータを生成するために受動的に読み取られたパケット内のデータからメタデータを抽出し、読み取られたデータは、ファイル全体の主ハッシュ、ファイル内の個々のブロックのブロック・ハッシュ(たとえば、WORDファイルのパラグラフ・ハッシュ、ACROBATファイルまたはOFFICEファイルのデータ・ブロック・ハッシュ)、ならびにファイル名、日付、タイム・スタンプ、サイズ、およびファイル所有者を有するファイルのディレクトリ・リスティングを含み、ハッシュは、ファイルに一意の暗号ハッシュであり、メタデータおよび直接の情報をリレーショナル・データベースに格納し、
(6)観察されたファイルおよびファイル・データから、ユーザが実際にタッチしたファイル、ファイル・ハッシュ、およびデータベースにユーザのアイデンティティを関連付けるユーザ・アクセス・マップを作成し、
(7)観察されたファイルおよびファイル・データから、誰がデータを使用しているのか、および彼らがこれをどのように転送しまたはアクセスしているのかからユーザの役割を推測し、推測されたユーザ役割およびパケットがネットワーク上で移動している時にパケット内で読み取られたデータから、ユーザが不適切な使用を実行している時を検出し、および/または、
(8)観察されたファイルおよびファイル・データから、ファイルの内容がどのように変化したのかに関して報告し、変化は、データの位置、データの所有権、およびデータ自体の変化を含むように構成される。
(C)受動的に発見されたメタデータを格納するリレーショナル・データベースは、ファイル自体に基づき、これによって、受動的に受信されたパケットからの、ファイルがどこに転送されたのかおよび誰がこれを転送したのかに関する観察を示し、リレーショナル・データベースは、センサに対するポストプロセッサとして実施される。
さらに、前述の要約の目的は、米国特許商標局および一般大衆、特に特許および法律の用語および語法に馴染みのない当技術分野の科学者、工学者、および実践家が、本願の技術的開示の性質および本質を急いだ視察からすばやく判定することを可能にすることである。この要約は、特許請求の範囲によって判断される本願の発明を定義することを意図されたものでも、いかなる形でも本発明の範囲を限定することを意図されたものでもない。
添付図面では、同様の符号が同一のまたは機能的に同様の要素を指し、添付図面は、下の詳細な説明と一緒に本明細書に組み込まれ、その一部を形成するが、さまざまな例示的実施形態を示し、本発明によるさまざまな原理および利益を説明するように働く。
リアル・タイム・データ・アウェアネスに関連する単純化された代表的な環境を示す図。 リアル・タイム・データ・アウェアネスに使用されるシステムを示すブロック図。 リアル・タイム・データ・アウェアネス処理のいくつかの例を示すシーケンス図。 図3のシーケンス図の続きの図。 パケット処理に使用される層を示す図。 例示的なコンピュータ・システムの諸部分を示すブロック図。 リアル・タイム・データ・アウェアネスの工程を示す流れ図。 従来技術のデータ漏洩防止システムを示す図。
概要では、本開示は、ソースと送信先との間の通信をサポートする、しばしばパケット交換ネットワークと称する、通信ネットワークのセキュリティに関する。そのような通信ネットワーク上のパケットは、ネットワーク上に格納されたデータ(たとえば、ファイル)を明らかにする情報を担持する場合がある。より具体的には、さまざまな発明的概念および原理は、リアル・タイム・データ・アウェアネス(awareness)を提供するためにコンピュータ・ネットワーク内のデータの属性(位置など)を受動的に判定するために通信ネットワーク上のパケットを分析するシステム、デバイス、およびその中の方法において実施される。
本開示は、本発明の1つまたは複数の実施形態を実施する最良の態様を、使用可能にする形でさらに説明するために提供される。本開示は、さらに、いかなる形でも本発明を限定するためではなく、発明的原理およびその利益に関する理解および了解の質を高めるために提供される。本発明は、本願の継続中に行われるすべての補正および発行される時の特許請求の範囲のすべての同等物を含む、添付の特許請求の範囲のみによって定義される。
第1、第2、および類似物などの関係用語は、存在する場合に、本明細書で、エンティティ、品目、またはアクションの間の実際の関係または順序を必ずしも要求せず、暗示もせずに、あるエンティティ、品目、またはアクションを別のエンティティ、品目、またはアクションから区別するだけのために使用される。いくつかの実施形態は、特におよび必ず特定の順序に限定されない限り、任意の順序で実行できる複数のプロセスまたは工程を含む場合がある、すなわち、そのように限定されないプロセスまたは工程は、任意の順序で実行することができる。
実施される時の発明的機能性の多くおよび発明的原理の多くは、ソフトウェアもしくはディジタル信号プロセッサおよびそのためのソフトウェアなどの集積回路(IC)、ならびに/または特定用途向けICを用いてまたはその中で最もよくサポートされる。当業者は、たとえば使用可能な時間、現在の技術、および経済的考慮によって動機を与えられるおそらくは多大な労力および多くの設計選択にもかかわらず、本明細書で開示される概念および原理によって案内される時に、最小限の実験によってそのようなソフトウェア命令またはICをたやすく生成できると期待される。したがって、簡潔さと、本発明による原理および概念を不明瞭にする危険性を最小にすることとのために、そのようなソフトウェアおよびICの説明は、存在する場合に、例示的実施形態によって使用される原理および概念に関して本質的なものに限定される。
リアル・タイム・データ・アウェアネス(Real time data awareness:RDA)は、データ漏洩防止(DLP)システムを調査し、それらに欠けているものがあることを見つけることから生じた。ほとんどのDLPシステムは、会社が、その会社のデータのすべてがどこにあるのかを知っていることを期待する。ほとんどのセキュリティ技術は、ユーザが、ネットワークがどのように見えるのか、どのデバイスが接続されるのか、およびそれらがどのように構成されるのかを知っていることを期待する。
従来のDLP技術は、会社が、そのデータのすべてがどこにあるのかを知っていることを期待する。我々は、人々が、彼らのデータがどこにあるのかが全く分からないことを示すことができる。データは、ネットワーク上の静的な位置にあるのではなく、通常は移動している。たとえば、データは、毎日戸外に持ち出されるラップトップ機にある場合がある。データが通常同僚の間で共有される構成は、ファイル・サーバを介するのではなく、電子メールを介し、時には、ファイル共有が、データを共有するのに使用される。実際に、データ転送は、通常はファイル・サーバを介して行われるのではない。
システムが、ネットワーク・トラフィックを受動的に分析し、ネットワーク上で移動中のデータを調べる方法を有する場合に、システムは、データに関して以前に何も知る必要なしに、データが正体を示す時にデータの属性のカタログ作成を開始することができることが認められた。
ベライゾン(Verizon)、“Data Breach Investigations Report”は、顧客のために処理されたコンピュータ小事件に関する経験的データ、すなわち、どのようにハッキングされたのか、どのツールが使用されたのか、どれほどむずかしかったのか、何が取り出されたのか、およびどのように検出されたのかの優秀なソースである。時間の80%の間に、人々は、何がハッキングされているのか、すなわち、かかわるシステム、ユーザ、アクセスされたもの、またはハッキングされるデータを知らない。データ問題は、その中でも最大の問題である。人々は、彼らのデータがネットワークまたはデバイス上のどこにあるのかが分からない。
従来のDLPでは、ユーザは、データがどこにあるのかを知らせ、DLPは、DLPが知っているデータのマップを構築するために、知らされた場所の文書(document)をハッシュ化する「レジストリ(登録)」工程を行う。次に、DLPは、既知のデータが、スニッフィングしているデバイスを通過するのを監視する。DLPの基となる仮定は、ユーザが、データがどこにあるのかを識別し、その結果、DLPがそのデータをクロールできるようになることである。図8によって示される従来のDLPでは、DLP811は、データがどこにあるのかを知らされる。この例では、DLPは、データがファイル・サーバ801上にあることを知らされる。DLP811は、たとえばファイル・ハッシュをファイル・サーバ801上のファイルに挿入することによって、データ登録を行うためにファイル・サーバ801をクロールする。その後、DLPは、たとえば、電子メール内のハッシュを監視し、観察することができる。DLPは、データがどこにあるのかを誰かがDLPに教え続け、その結果、DLPが、パケット内で観察される前にデータを知るようになる場合に限ってデータを保護するという問題を解決する。ユーザが、データに関する位置を識別しなかった場合には、DLPは、移動するデータについて知らない。
ネットワーク・データ・セキュリティにおける上記および他の問題には、上で述べたリアル・タイム・データ・アウェアネスのさまざまな実施形態によって対処することができる。
さらに、例示的実施形態によれば、リアル・タイム・データ・アウェアネスは、ネットワーク・トラフィックを受動的に分析し、データを探すことができる。従来のDLPとは異なって、RDAシステムまたはRDA方法は、ユーザが、データがどこにあるのが分からない場合があり、データが、データが移動する前にシステムがそのデータについて知ることなく、データが移動する時に正体を表すと仮定する。
そのようなシステムまたは方法は、ユーザの間の会話、ダウンロードされるページ、電子メール添付物、ダウンロード、および類似物を観察することができ、ファイル名、ファイル・サイズ、誰が送信したのか、誰が受信しているのか(ログイン、ソース/送信先IPアドレス、実際のユーザ(本願明細書に明示的に援用されるSer.No.12/149,196、“Real Time User Awareness for a Computer Network”で開示されているように)、または類似物)、ファイルの内容(キー・ワードまたはハッシュについて流れている時にデータ・ストリームを分析し、他のファイル内に現れるファイルのスニペットを探すことによって)、さらにはファイルの内容がどのように変化するのかに関する報告などの属性をデータに関連付けることができる。そのようなシステムまたは方法は、移動する前に能動的にアクセスされることなく、データがその正体を表す時に、ネットワーク上で移動中である時にネットワーク・トラフィックを分析することによって、これらのすべてを見ることができる。
この手法は、ネットワーク環境の分析、会社のデータがどこにあり、誰がそれにアクセスできるのかのカタログの構築、および/またはリアル・タイムでの変化の検索を含むことができる。変化は、たとえば、データの位置、データの所有権、およびデータ自体の変化を含むことができる。
システムが、RDA(上で述べた)によって提供される情報を得た後に、システムは、データが実際にどこにあるのかがわかっているので、データ漏洩防止システムを構築することができる。
カタログ化されるデータは、実際にタッチされたデータ(ファイルおよびデータベース)にユーザ・アイデンティティを関連付けるユーザ・アクセス・マップを含むことができる。
この情報を、電子メール、データベース・アクセス、ファイル・リポジトリ・アクセス(ftp、ファイル共有、NFS、および類似物)、ウェブを介するファイル転送、その他などのユーザ・アクションから収集することができる。さまざまな実施形態は、次のうちの1つまたは複数を提案するものである。
−−自身のデータがどこにあるのか(どのデバイスが自身が関心を持っているデータを有するのか)のカタログ
−−メタデータ(データに関するデータ)を知ること
−−誰がファイルへのアクセスを有するのかを知ること
−−誰がファイルを移動させているのかを知ること
−−メタデータを抽出できること
−−ファイルに対する変更を識別すること、たとえば、ファイルに一意の暗号ハッシュを生成するために本質的にファイルのハッシュを作成し、その後、他の場所でそのファイルのハッシュを探すことができること。
1つの隠喩で、DLPは、pingが送り出されるアクティブ・ソナーに似ているが、対照的に、本システムは、環境内のターゲットが、ターゲットが作る雑音によってターゲット自体に関してシステムに知らせるパッシブ(受動的)ソナーに似ている。この領域での従来のシステムは、すべてが、pingを送出するアクティブ・ソナーに似ている。これらは、非常に良好には動作しない。
もう1つの隠喩では、天文学者の仕事が、ほとんど完全に受動的である、すなわち、天文学者は、観察が行われるのを待ち、単に観察されたデータに基づいて宇宙の観念が徐々に作られるのを待つ。その後、天文学者は、そのデータに基づいて、遠くのエンティティに関して推論する。
上の類推に関して、本システムは、ネットワーク内のリモートの、おそらくは未知のエンティティの直接のアクションが、検出器(たとえば、センサ)で正体を表すのを待つことができ、受動的に明らかにされた情報から、本システムは、明らかにされたものの観念を生成し、構築することができる。その後、本システムは、データに基づいてファイルに関すること、たとえばファイル・サーバ、その上のディレクトリ、ディレクトリ内のファイル、誰もそれにそれ以上タッチしないのでアーカイブされるファイルのパーセント、企業のアクティブ・データ・セットを推測し始めることができる。
さらに、IPV6では、(従来のDLPシステムに関する)能動的スキャンは、実用的なものとして働かない。IPV6での最小のネットワークは、32ビット・アドレス空間を有する。32ビット・アドレス空間は、非常に大きいので、これをスキャンするには数日を要する可能性がある。IPV6では、アドレス空間は、IPV4より数十億倍大きい。システムが有するものおよびそれがどのように構成されるのかを把握するためのネットワーキング全体に基本的な問題がある。通常、IPV6の前に、システムが有するものおよびそれがどのように構成されるのかを把握することは、物事がどのようにセットアップされるのかを人が指定することによって、またはスキャンすることによって、または受動的に監視することによって行われる。基本的に、IPV6が一般的になった後に、システム全体をスキャンする実用的な方法はない。IPV6が一般的になった後には、会社内の各個人が約2400万個のIPアドレスを有することが、非現実的ではなくなる。2128個のアドレスは、圧倒的に大きい数である。
本明細書で詳細に説明する受動的手法は、リアルタイム応答およびリアルタイム機能に焦点を合わせる具体化から生じる。能動的方法が提供しない1つのものは、リアル・タイム応答すなわち、システムがそれ自体を変更するために現在起こりつつあることを監視する機能である。
本明細書のアイデアは、ネットワーク・トラフィックを受動的に分析し、受動的に明らかにされた情報を使用して、初期プロファイルを生成し、何が実際に発生するのかを監視することによってこのプロファイルを最新に保つことである。プロファイル分析、スニッファ、その他などの受動的モニタは、プロファイルを生成する次の工程を行わない。このシステムは、システム、ユーザ、およびデータのリアルタイム・プロファイルを生成することができる。
監視されるデータは、ファイル自体またはデータベース・トランザクションを含む。たとえば、ユーザが、ファイルを転送するSMTPセッションを有し、このセッションが、(理解されるように)SMPTコマンド・プロトコル、電子メール自体、および添付ファイルを含むパケットをもたらすことを検討する。このシステムは、添付ファイル、すなわち、(A)添付ファイルが転送されたこと、(B)ファイル内容、(C)誰が添付ファイルを送信し、誰が添付ファイルを受信したのかに関心を持つ。
もう1つの例として、ディレクトリ・リスティングを生成するファイル・サーバにアタッチするユーザを検討する。システムは、ファイル・サーバ上に存在するファイルのディレクトリ・リスティングのカタログを作成することができる。
侵入検出/防止システム(intrusion detection/prevention system、IDS/IPS)では、IDS/IPSは、ファイルに関する手がかりを有するのではなく、プロトコル、ポート、およびクライアントを監視することができる。IDS/IPSは、主に、デバイスの脆弱性をそこから推測できるネットワーク上のデバイスの構成に関心を持つ。SNORT(商標)パケット・スニッフィング・ソフトウェアと比較して、SNORT(商標)は、トラフィックを調べ、攻撃を探す、純粋にインラインのデバイスである。
従来のDLPに対する相違は、本明細書で説明されるシステムが、データが移動中に正体を表す時に、データがどこにあるのかを解明することである。このシステムは、出ていって能動的にトラフィックを見つけるのではなく、トラフィックがネットワーク上で移動中である時にトラフィックを監視する。
ここで図1を参照して、リアル・タイム・データ・アウェアネスに関連する単純化された代表的な環境を示す図を記載して説明する。図1は、その中にファイル105を格納し、既知の方法に従ってファイル105およびその上の多数の他のファイルをリストするディレクトリ103を有するファイル・サーバ101を示す。やはり図示されているのが、ユーザ・システム109、センサ111、ウェブ・サーバ113、メール・サーバ115、ネットワークA107、ネットワークB117、および中国119における受信者である。センサは、ファイル・サーバ101とユーザ・システム109、ウェブ・サーバ113、およびメール・サーバ115との間など、ネットワーク上で移動中のパケットを監視するために、従来の形で展開される。
パケットは、たとえばファイル105がユーザ・システム109によって取り出され、これが、そのパケットがファイル・サーバ101とユーザ・システム109との間で送信されることをもたらす時に、ソースと送信先との間で送信される。もう1つの例として、パケットは、ソースと送信先と、たとえば、ユーザ・システム109、ネットワークA107、ウェブ・サーバ113、メール・サーバ115、およびネットワークB117の間で送信され得る。センサ111は、ソースと送信先との間で移動中のパケットを監視するために、既知の技法に従って配置される。この図では、センサ111は、ファイル・サーバ101とユーザ・システム109との間に配置される。センサ111は、ユーザ・システム109とウェブ・サーバ113との間、ユーザ・システム109とメール・サーバ115との間、メール・サーバ115とネットワークB117との間、および/またはユーザ・システム109とネットワークA107との間に配置され得るセンサを表す。
図では、ユーザ・システム109は、送信を開始し、ファイル・サーバ101、ネットワークA107、ウェブ・サーバ113、メール・サーバ115、およびネットワークB117に要求する。送信されるパケットを、センサ111などのネットワーク機器によって、周知の技法に従って監視することができる。代替案では、センサ111を、インラインで提供することができ、あるいは、ファイル・サーバ101、ユーザ・システム109、ウェブ・サーバ113、またはメール・サーバ115のうちの1つまたは複数に組み込むことができる。
ファイルを見るためのパケット内のデータの監視は、IDS/IPSを使用する侵入に関する監視とは全く異なる。IDS/IPSが有しない、RDAによって対処される2つの大きい問題がある。すなわち、(1)RDAは、通常、情報を得るためにトラフィック・ストリームのより深くに進む。対照的に、IDS/IPSが作用するパケット内のデータのほとんどは、アプリケーション層の最初の200バイト以内にある。(2)RDAは、実際のファイル自体に達するためにパケットのアプリケーション層部分を通過することができる。したがって、RDAを、より集中的な工程とすることができる。RDAは、明示的により多くのプロトコル(たとえば、ファイル転送プロトコル)を知ることができ、パケット内の層を通って下へ、それらのプロトコルに従うことができ、その後、任意のフォーマット、たとえば、MIME(multipurpose internet Mail extensions)符号化され、zipされ、および/または暗号化されたものとすることができるデータを再構成することができる。ファイル・データは、異なるプロトコルについて、パケット内の異なる場所にある可能性がある。たとえば、ファイル・データは、一般に、プロトコルの最下位レベルにあるが、電子メール内では、通常は、電子メールの本体の一部としてMIME符号化される。システムは、zipファイルに解凍され、その後、unzipされ、ハッシュされるなどを行われなければならない、base 64符号化されたMIME添付ファイルがあることを知る必要がある場合がある。その後、システムは、ファイル分析の実行を開始することができる。
実際に、本明細書でさらに説明するように、オンザフライで(on the fly)、ネットワーク上で移動中であるファイルの内容を識別でき、その後にそのカタログを作成することができることは、非常に新規である。この前に、バイトが取り込まれ、その後、解凍が試みられる。
ここで図2を参照して、リアル・タイム・データ・アウェアネスに使用されるシステムを示すブロック図を記載して説明する。図2は、パケット201、ソース211、送信先209、センサ203、プロセッサ205、およびデータベース207を示す。パケット201は、ソース211から送信先209に送信される。パケット201は、当技術分野で明確に理解されるように、ソース211と送信先209との間で送信できる多数のパケットを表す。「エンド・ポイント」(複数)または「エンド・ポイント」(単数)という用語は、本明細書では、特に、パケット・ヘッダ内で識別されるソースおよび/または送信先を包括的に示すために使用される。
RDAを実行するために、センサ203は、多数のプロトコルに関して知ることができる。有利なことに、図示のプロセッサ205およびデータベース207などの相関バックエンドを提供することができる。たとえば、1つまたは複数のセンサ(センサ203によって表される)は、単一のプロセッサ205と通信することができ、単一のプロセッサ205は、相関を行い、行うべきことについて判断し、システムの残りの部分に知らせることができる。
データを得るために、ディープ・パケット・インスペクション(deep packet inspection)を実行して、パケットをアンパックし、ファイルを扱えるようにするためにファイル・フォーマット自体を解明することができる。
リレーショナル・データベースなどのサポートするデータベース207を設けることができる。収集されるメタデータを、システムをサポートするデータベース207に格納することができる。
一実施形態では、サポートするデータベース207を、転送されたファイル自体に関して、および誰がそのファイルを転送したかに基づくものとすることができる(これらは、キーまたはインデックスとして使用される)。データベース207に格納される情報は、たとえば、
−ファイル名、タイム・スタンプ、サイズ、ファイル・ハッシュ、サブハッシュ(パケット・トラフィックから直接に読み取られたファイル自体に関する情報)
−ファイルを含んだサーバID(IPアドレス)、ホストID(ファイルを含む)、ユーザID、ファイルが転送された場所(ファイルを含むパケットに関する、パケット・トラフィックから直接に読み取られる情報)
−ファイル自体、ファイルがあった場所、ファイルを有した人(people)、ファイルを転送/変換(たとえば暗号化)するのに使用された工程(ファイルに関して推測される情報)
を含むことができる。
推測される情報は、たとえば、ユーザが転送/アクセスするデータのタイプから推測されるユーザの役割を含むことができる。
推測される情報は、ファイルに対してユーザが実行する変換(転送の前にファイルを暗号化しなければならないのか)に基づくものとすることができる。システムは、たとえば、単一のファイルをより小さい部分に分解するなどのDLPの裏をかくアクティビティから、悪意のある挙動を推測することができる。
図示されているように、センサ203は、相関および推測エンジンを含むプロセッサ205とデータベース207とからなるバックエンドのフロント・エンドにあるものとすることができる。センサ203は、望まれる場合に、リアルタイム分析を避けるために、パケットをディスクにスプーリングすることができる。
ファイルのマップの構築および管理は、むずかしい。大きいネットワークのリアルタイム・マップは、管理がむずかしい。データのほとんどを、タイムリーにするために、プロセッサ205のメモリ内に保持することができる。
ここで図3および図4を参照して、リアル・タイム・データ・アウェアネス処理のいくつかの例を示すシーケンス図を記載して説明する。図4は、図3の続きである。図3および図4のシーケンス図を、図1に示された例のシステムの使用について構想することができる。
以下は、移動中のデータの少数の代表的な例のシナリオである。この例示では、シナリオ1は、ステージ1、1.5、2、および2.5を含み、シナリオ2は、ステージ4、4.5、4.6、および4.7を含み、シナリオ3は、ステージ6および6.5を含み、シナリオ4は、ステージ8および8.5を含み、シナリオ5は、ステージ9、9.5、および9.6を含む。図3および図4は、単純化されており、当業者によって了解されるように、シナリオの他の組合せおよびシーケンスを表す。
シナリオ1
ステージ1では、ログインしたユーザが、ファイル・サーバ303にアタッチする。ファイル・サーバへのアタッチは、ユーザ・システム311およびファイル・サーバ303へおよびこれらから一連のパケットを送信すること(エンド・ポイントを示す図示の矢印によって要約される)を含む既知の技法に従って実行される。センサ309は、既知の技法に従って、ネットワーク上で送信されたパケットを受動的に受信する。センサは、エンド・ポイントの間に配置することができる。ファイル・サーバへのアタッチをもたらすパケット内のデータから、ステージ1.5で、センサ309は、このIPアドレス上にファイル・サーバがあることを監視する。
ステージ2で、ユーザ・システム311およびファイル・サーバ303は、従来の技法に従ってパケットを交換し、その結果、ユーザ・システム311は、ファイル・サーバ303上にあるもののディレクトリ・リスティングを得る。その間に、ステージ2.5で、センサ309は、ディレクトリ・リスティング情報を有するファイルをリストするディレクトリ・リスティングを受信する。従来のディレクトリ・リスティング情報は、名前、日付、タイム・スタンプ(作成、アクセス、および/または変更に関する)、ファイル・サイズ、ならびにおそらくはファイル所有権および/または他の情報を含むことができる。ディレクトリ・リスティング情報は、センサ309に、ファイル・サーバ303の観念、具体的には、ファイル・サーバ303上にあるファイルの一部およびファイルの構造を与える。
センサ309(または、本明細書でさらに説明するように、そのバックエンド・プロセッサ)は、単にパケットを受動的に観察することによって、ディレクトリ・リスティング内にリストされたファイルおよびファイル・データのマップ・プロファイルを生成することができる。システムが、ファイル・サーバ303上のファイルに関する以前の情報を有することは、必要ではない。ディレクトリ・リスティングが、ファイル・サーバ303上のファイルの完全なリストではないことが期待される。ユーザ・システム311によって受信されるファイル・サーバ303からの後続のディレクトリ・リスティングを使用して、後続のディレクトリ・リスティング内の追加のファイルを含むようにマップ・プロファイルを拡張することができる。「生成(originate)」という用語は、本明細書では、センサ309(またはそのバックエンド)が、ファイルの存在を以前に認識せず、したがって、ファイル(またはファイルのデータ)を示すエントリが、パケットから受動的に監視される時を除いて、センサ309(またはそのバックエンド)内に存在せず、センサ309(またはそのバックエンド)に提供されないことを示すのに使用される。
シナリオ2
ステージ4では、ユーザが、ファイルをユーザ・システム311のデスクトップにドラッグ・アンド・ドロップする。これは、ファイル・サーバ303からユーザ・システム311へのファイル転送を生成する。ファイル転送を要求するパケットおよびファイルのコピーを実際に送信するパケットは、慣習的に既知のものとすることができる。
一方、ステージ4.5では、センサが、ファイル転送を要求するパケット内およびファイル・サーバ303からユーザ・システム311へファイルのコピーを実際に送信するパケット内で、ファイル名およびメタデータを監視する。パケットは、ファイル・サーバ303からユーザ・システム311へまたはその逆に送信される時に、センサによって受動的に受信される。センサ309(または、本明細書でさらに説明するように、そのバックエンド)は、単にパケットを受動的に監視することによって、転送されるファイルのマップ・プロファイルを生成することができる。システムが、ファイル・サーバ303上のファイルに関する以前の情報を有することは、必要ではない。ファイルが既にマップ・プロファイルに含まれる場合には、ファイルに関して新たに検出されたメタデータおよび情報を、マップ・プロファイルに追加することができる。
オプションで、ステージ4.6で、センサ309(またはそのバックエンド)は、受動的に受信されたパケット内のファイルのコピーから(本明細書でさらに説明する)ファイル・ハッシュを作成することができる。ファイルが転送される時に、センサ309は、ファイルに挿入され、センサ309によるその後の参照のために格納される全体的なファイル・ハッシュおよびパラグラフ・ハッシュ(paragraph hash)を提供するためにハッシュすることができる。
ステージ4.7では、センサ309(またはそのバックエンド)は、ファイルをユーザに関連付けることができる。ユーザ・システム311上でのユーザのユーザ・アイデンティティを、たとえば、本明細書でさらに説明するように、ログイン・アイデンティティ(既知の場合に)および/またはIPアドレスを介して識別することができる。センサ309は、ファイルがユーザに関連付けられたことの表示をマップ・プロファイル内に格納することができ、かつ/またはユーザ・アイデンティティをファイルおよび/もしくはファイル・ハッシュおよび/もしくはパラグラフ・ハッシュに関連付けるユーザ・アクセス・マップを格納し、ユーザ・アイデンティティが実際にファイルにタッチした(たとえば、ユーザがファイルのコピーを受信した)ことをさらに示すことができる。したがって、システムは、この個々のファイルの観念を有する。
ここで、センサ309は、移動中のファイルの受動的に受信されたパケットを監視し始めることができる。たとえば、センサ309(またはそのバックエンド)は、キーワード検索および/またはハニー・トークンの検索ならびに類似物を実行することができる。
シナリオ3
ステージ6では、ユーザ・システム311上のユーザが、ファイル(ユーザ・システム311上に格納されている)を多くの人に伝えることを望む。ユーザ・システム311は、IMクライアントを有し、ユーザは、ファイルをIMクライアントにドロップし、(ネットワークA301上で)このファイルをロシアの友人に送信する。
一方、ステージ6.5では、センサ309は、ネットワークA301を介してファイル・サーバ303からファイルのコピーを実際に送信するIMパケット内のファイルを検出する。パケットは、ユーザ・システム311からネットワークA301へまたはその逆に推移する時に、センサによって受動的に受信される。センサは、ファイル転送を検出して、ハッシュを認識し(ファイル内に含まれる場合に)、ファイルを識別し、ユーザを認識し、ユーザがそのファイルを誰に送信するのかを識別する。センサは、ファイル名、送信先、送信先ユーザ名、およびファイルを転送したユーザ識別を記録する。しかし、システムが、ユーザ・システム311上のファイルに関する以前の情報を有することは、必要ではない。センサ309(または、本明細書で詳細に説明するように、そのバックエンド)は、センサ309がパケット内のファイルを監視する前に識別されていなかったファイルについても、単にパケットを受動的に監視することによって、IMメッセージに含まれるファイルおよびファイル・データのマップ・プロファイルを生成することができる。センサが、このファイルおよびメタデータを既にマップ・プロファイルに含めている場合には、センサは、ファイルがIMクライアントによって転送されたことならびにファイルがどこに転送されたのかの情報を含めるためにプロファイルを拡張することができる。
シナリオ4
シナリオ4では、ユーザが、中国にいる別の友人にファイルを電子メールで送信することを望む。ステージ8で、ユーザは、ファイルをユーザ・システム311(図示のように)またはファイル・サーバ303(図示せず)から電子メール・サーバ305にドロップし、電子メール・サーバ305は、そのファイルを電子メールとして他の友人に送り出す。
ステージ8.5では、センサが、中国に電子メールで送られるファイルを検出し、ファイルが誰に送信されるのか(電子メールからの送信先ユーザID)、ファイルが中国に送信されること(送信先国コードに基づいて)、誰によって送信されたのか(たとえば、電子メールからのソース・ユーザID)、および転送の方法(電子メールによって)のカタログを作成する。
パケットは、ユーザ・システム311からメール・サーバ305に推移する時に、センサ309によって受動的に受信される。センサは、添付ファイルと共に電子メールを検出し、ハッシュ(ファイル内に含まれる場合に)を認識し、ファイルを識別し、ユーザを認識し、ユーザがファイルを誰に送信するのかを識別する。センサは、ファイル名、送信先、送信先ユーザ名、およびファイルを転送したユーザ識別を記録する。しかし、センサ309が、ファイルに関する以前の知識を有しない場合には、センサ309(または、本明細書で詳細に説明するように、そのバックエンド)は、単に電子メールを有するパケットを受動的に監視することによって、電子メール内に含まれるファイルおよびファイル・データのマップ・プロファイルを生成することができる。センサが、このファイルおよびメタデータをマップ・プロファイルに既に含めている場合には、センサは、ファイルがメール・サーバ305に転送されたことならびにファイルがどこに転送されたのかの情報を含めるためにプロファイルを拡張することができる。
シナリオ5
このシナリオでは、ユーザは、ファイルを多数の友人から使用可能にすることを望む。ステージ9で、ユーザは、センサ309がアタッチされているネットワーク内のウェブ・サーバ307(彼のパーソナル・ウェブ・ページ)上にファイルを置く。
ステージ9.5では、センサ309が、ファイル転送を検出し、ハッシュを認識し、ファイルを識別し、ユーザがファイルのコピーをウェブ・サーバ307に送信していることを認識する。
ステージ9.6では、人が入ってきてから、センサは、ファイルがウェブ・サーバ307から外に出るのを検出することができる。センサは、おそらくは、ファイルがネットワークの外部から取り出されるので、ファイルを取り出しているユーザIDを知らない。
パケットは、ウェブ・サーバ307へまたはこれから送信される時に、センサによって受動的に受信される。センサは、ファイル名およびファイルをウェブ・サーバ307に転送するユーザ識別を記録する。センサ309は、ユーザ・システム311からウェブ・サーバ307へまたはウェブ・サーバ307からネットワークB313へのファイル転送を検出し、(ファイル内に含まれる場合に)ハッシュを認識し、ファイルを識別し、ユーザを認識する。システムが、ユーザ・システム311またはウェブ・サーバ307上のファイルに関する以前の情報を有することは、必要ではない。センサ309(または、本明細書で詳細に説明するように、そのバックエンド)は、センサ309がパケット内のファイルを監視する前に識別されていなかったファイルについても、単にパケットを受動的に監視することによって、ウェブ・サーバ307へまたはこれから転送されるファイルおよびファイル・データのマップ・プロファイルを生成することができる。センサが、このファイルおよびメタデータを既にマップ・プロファイルに含めている場合には、センサは、ファイルがどのように転送されたのかを示す情報を含めるためにプロファイルを拡張することができる。
上のシナリオは、システムが、ファイルがネットワークのあちこちに移動される場合にファイル構造およびファイル自体のカタログを生成できることを示す。この情報のすべてが、収集されたものである。
ここで、収集された情報の次の例の応用例を検討する。
(1)システムは、ユーザが情報へのアクセスを有する能力を評価することができる。ファイルは誤ったディレクトリにあるか?たとえば、賃金台帳情報ファイルおよび/または株式所有権ファイルは誤ったディレクトリにあるか?
(2)システムは、ファイルが誰に送信しているのか、およびユーザが使用しているチャネルの適性を評価することができる。このチャネルはこのデータがそれを介して配布されるのに適当なチャネルか?IMは潜在的に機密の情報に適当か?受信するユーザは適当か(たとえば、ネットワークの内部またはネットワークの外部のどちらか)?
(3)電子メール・サーバ:ユーザはこのファイルを電子メールで送信しなければならないのか?その人はブラックリストに入れられた国(トップ・レベル・ドメイン、たとえば.cn)にいるか?
(4)ウェブ・サーバ:このファイル内のデータをウェブ・サーバに置かなければならないか?
この種類の収集および推測に関連するデータ管理バック・エンドがあるものとすることができる。センサおよびデータ管理バックエンドの組合せは、監視し、相関する(インラインの場合にはブロックすることができる)。たとえば、システムは、ファイルに関するイベントおよびハッシュのリストを有することができ、このデバイスから移動するファイルに気付くことができ、ファイルがどのように広められるのかを追跡することができる。上記のことおよび収集される他のデータから、システムは、何かが起こりつつあることを推測し始めることができる。
もう1つの例を検討する。マーティは、彼のデスクトップ上でファイルを作成し、これをダグに電子メールで送信する。システムは、マーティがファイルをダグに送信したことを追跡し、ダグが誰にそのファイルを送信するのかを追跡することができる。
システムは、新しいものすなわち、データ自体ならびにネットワークに関するデータ・マップおよびデータがどのように使用されているのかに関するプロファイルを作成している。経時的に、トラフィックが移動する時に、ネットワークのマップ/トポロジは、よりよいものになる。
ここで図5を参照して、パケット処理に使用される層を示す図を記載して説明する。図5は、パケット処理の説明における1つまたは複数の実施形態によって参照される層を要約するために含まれる。パケット処理層は、当技術分野で明確に理解されるものである。層は、アプリケーション層507、トランスポート層505、IP層503、およびデータ・リンク層501を含む。アプリケーション層を、既知の技法に従って、エンド・ポイントによって提供し、かつ/またはこれと一緒に合併することができる。パケットは、周知のように、層を反映するようにフォーマットされる。したがって、パケットが、受信され、受動的に監視される時に、ディープ・インスペクション(deep inspection)を、パケット・フォーマットおよびエンドポイントがパケットをどのようにフォーマットしたと期待されるのかに基づいて実行することができる。ディープ・インスペクションは、さらには説明されないが、パケット内に含まれるファイル、ファイル内容、ファイル・ヘッダ、ファイル情報(たとえば、ディレクトリ・リスティング)、ファイル名、および類似物(そのようなデータが1つまたは複数のパケットのヘッダ部分、メッセージ本体、またはデータ内容のどれに含まれるかにかかわらず)を適当に見つけることができるディープ・インスペクションが、提供されると仮定する。
ここで図6を参照して、例示的なコンピュータ・システムの諸部分を示すブロック図を議論し、説明する。時々本明細書で「システム」と称するコンピュータ・システム601は、1つまたは複数のコントローラ605を含むことができ、コントローラ605は、既知の技法に従ってネットワーク609からの通信を検出するセンサ611から信号を受信することができ、通信は、ターゲット(図示せず)に送信されている。センサ611は、既知の技法に従って展開され得る1つまたは複数のセンサを表す。コントローラ605は、プロセッサ607、メモリ613、オプションのディスプレイ651、および/またはキーボード653などの任意のユーザ入力デバイスを含むことができる。追加のリモートまたはローカルのストレージは、ファイルおよびファイル・データのマップ・プロファイル655と、ファイル、ファイル・データ、およびファイル属性のカタログ657とを含むことができる。オプションのリレーショナル・データベース・ポストプロセッサ659を含めて、ストレージ655、657へのアクセスを支援することができる。
プロセッサ607は、1つもしくは複数のマイクロプロセッサおよび/または1つもしくは複数のディジタル信号プロセッサからなるものとすることができる。メモリ613は、プロセッサ607に結合されるものとすることができ、読取り専用メモリ(ROM)、ランダム・アクセス・メモリ(RAM)、プログラム可能ROM(PROM)、および/または電気的消去可能読取り専用メモリ(EEPROM)からなるものとすることができる。メモリ613は、とりわけ、プロセッサ607によって実行されるプログラムに関するオペレーティング・システム、データ、および変数615と、センサからの受動的に読み取られたデータを受け取り617、ファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成し(619)、受動的に読み取られたデータからの相関および推測を実行し(621)、受動的に読み取られたデータからのファイルおよびファイル・データの属性のカタログを作成し(623)、実際にタッチするものとしてユーザが監視されたファイルなどのユーザ・アクセス・マップを作成し(625)、センサに受動的に読み取られたパケット内のファイルにハニー・トークンおよび/もしくはハッシュを書き込ませ(627)、ファイル内のキーワードおよび/もしくはハッシュに関して流れつつある時のファイルおよびファイル・データを分析し(629)、ネットワーク上で移動する受動的に読み取られたパケット内のデータからメタデータを抽出し(631)、ファイルおよびファイル・データのユーザならびにファイルおよびファイル・データがユーザによってどのように転送/アクセスされるのかからユーザの役割を推測し、不適切な使用がある時を検出し(633)、ファイル内容が変化するのがどのように観察されたのかを報告し(635)、ユーザ・アクセス・マップ637、推測されたユーザ役割データベース639、ならびに、プロセッサ607によって使用される他の情報のデータベース641など、さまざまな機能に関連してプロセッサに動作させるコンピュータプログラムを格納する複数のメモリ位置を含むことができる。コンピュータ・プログラムを、たとえば、ROMまたはPROM内に格納することができ、コンピュータ・プログラムは、コンピュータ・システム601の動作を制御する際にプロセッサ607に指示することができる。全体的なメモリ613、プロセッサ607、センサ611、ネットワーク609、ディスプレイ651、キーボード653、およびリモート/ローカルのデータベース655、657の間の相互接続および関係の多くは、技術的に当業者に既知であり、本明細書では説明しない。
プロセッサ607を、受動的に読み取られたデータをセンサ611から受け取る617ようにプログラムすることができる。図示の例では、パケットは、コンピュータ・システム601に接続されたセンサ611によって検出され、検出されたパケット内の情報は、既知の技法に従ってコンピュータ・システム601に供給される。さまざまな技法、たとえばパケット・スニッフィングを使用して、データがネットワーク場で移動中である間に、センサでデータを受動的に読みとることができる。さまざまな既知のセンサ・デバイスを、本明細書で説明するスニッファ611として動作するようにプログラムし、または他の形で構成することができる。センサ611は、従来の技法に従って、プロセッサ607と通信しているようになるために、プロセッサ607に電気的にまたは無線で接続され得る。一緒に接続されたセンサ611およびプロセッサ607は、お互いと相互に通信することができ、あるいは、センサ611を、プロセッサ607への送信専用モードでプログラムすることができる。
プロセッサ607をプログラムして、受動的に読み取られるパケットがネットワーク上で移動している時に、センサ611によって受動的に読み取られるデータからファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成することができる。ファイルに関するマップ・プロファイルは、ファイルがどこに配置されるのかのトポロジカル・マップを提供することを意図されたものである。マップ・プロファイルは、たとえば、ファイルおよびファイル・データのディレクトリ・リスティング、ファイルがそこから生成され、転送された位置、ファイルに関するメタ・データ(たとえば、ファイル・タイプ、作成日付、変更日付、作成者、所有者など)、ファイルに関連するユーザ(1つまたは複数)の表示、ファイルが転送されまたはアクセスされたことの表示、ファイルがどのように転送/アクセスされたのか、それが誰によって/誰に転送/アクセスされたのか、およびおそらくはファイルに関する他の情報を含むことができる。マップ・プロファイルは、ネットワーク上で移動している受動的に読み取られたデータからプロセッサで生成されるので、マップ・プロファイルを、ネットワーク上で移動している受動的に読み取られたパケットから新しい情報が監視される時に、継続的に改訂し、洗練することができる。たとえば、新しいファイルが、受動的に読み取られたパケットから監視される場合には、それらをリアルタイム・マップに追加することができる。
プロセッサ607を、センサ611から受け取られる受動的に読み取られたデータからの相関および推測を実行621するようにプログラムすることができる。次は、受動的に読み取られたデータから相関することができる情報の例である:ファイルのカタログに格納されたファイル情報、ファイルがどのように転送されかつ/またはアクセスされるのかを示すためにファイルに関して構成できるイベントのリスト、ファイルのユーザのリスト、ファイルのソース(1つまたは複数)およびファイルの送信先(1つまたは複数)のリスト、ファイルのハッシュのリスト(ブロック・ハッシュおよび/またはファイル・ハッシュ)、ファイルのハニートークンのリスト。次を、受動的に読み取られたデータから推測することができる:ファイルが存在することを許容される場所は、ファイルがあった場所に関連するので推測することができ、ファイルにアクセスすることを許容されるユーザを、そのファイルを有した人の役割(role)から推測することができ、ファイルを転送/変換(たとえば、暗号化)するのに正しく使用された工程を、ファイルを転送/変換するのに使用された過去の工程から推測することができ、ユーザの役割を、そのユーザが転送/アクセスするデータのタイプから推測することができる。たとえば、ファイルが、以前に単一のファイルとして暗号化され、かつ/または送信された場合に、推測は、そのファイルが転送の前に暗号化されなければならず、そのファイルが、転送の前に小さいブロックに分割されてはならないことである。システムは、たとえば、単一のファイルをより小さい片に分割するなど、DLPの裏をかくアクティビティから、悪意のある挙動を推論することができる。
プロセッサ607を、ネットワーク609上で移動している時のパケットからセンサ611によって読み取られる受動的に読み取られたデータからファイルおよびファイル・データの属性のカタログを作成する(623)ようにプログラムすることができる。ファイルの属性は、たとえば、受動的に読み取られたファイル内のファイル・ヘッダ、受動的に読み取られたデータ内のファイル・ディレクトリ、受動的に読み取られたデータ内のデータベース・ファイル・フォーマット、パケット・ヘッダ内でリストされた(ファイルのソースとしての)ホスト、パケット・ヘッダ内でリストされた(ファイルの送信先としての)ホスト、および類似物などから収集され得る。ファイル・データを、ファイルがネットワーク609上で移動している時にファイルがパケット内に現れる時に、収集することができる。「ファイル・データ」という用語は、本明細書で、ファイル・ヘッダと比較して、ファイル自体の内部にあるデータを示すのに使用される。
プロセッサ607を、ファイルのユーザ・アクセス・マップを作成する(625)ようにプログラムし、ユーザが実際にタッチするものとして観察された(受動的に読み取られたパケットから)ファイル、ファイル・ハッシュ、および/またはデータベースにユーザ識別子を関連付けることができる。ユーザ・アクセス・マップ637は、ユーザ識別子に関する情報とユーザが送信しまたは受信したファイル、ファイル・ハッシュ、および/またはデータベースとを相関させることができる。ユーザ識別子は、個々のユーザに一意とすることができ、単一のユーザを1つまたは複数のハンドルすなわちそのユーザが使用する一意のメール・アドレスまたは連絡番号に相関させることができる。使用可能な技法を使用して、ユーザ識別子を判定し、生成することができる。
プロセッサ607を、ファイル内のキーワードおよび/またはハッシュに関して流れている時のファイルおよびファイル・データを分析(629)するようにプログラムすることができる。ファイルに対する変更を、次の形で識別することができ、たとえば、ファイル・フォーマットを分解し、ファイルのブロックに対してハッシュする。たとえば、WORDファイル内の各パラグラフをハッシュ化し、その後、(いくつかの異なるパラグラフ・ハッシュを有する同一のファイル名に基づいて)これらのパラグラフ・ハッシュが他のファイル内で発生するのを探し、そのファイル内の変化を探す。また、主ファイル・ハッシュ(「主ファイル・ハッシュ」は、ファイル全体がハッシュ化されるハッシュと定義される)。およびブロック・ハッシュ(「ブロック・ハッシュ」は、ファイルのパラグラフまたはデータ・ブロックがハッシュ化されるハッシュと定義される)があるものとすることができる。ハッシュ化は、既知の技術である。ブロック・ハッシュは、通常、どのブロックが変化するのかの判定または他の場所から来たブロックの識別に有用である。
ファイルがどれほど静的であるのかは、ファイル・タイプに依存し、たとえば、ACROBATファイルは、比較的静的である傾向があり、WORD文書は、編集され、変化する傾向がある。センサ511は、インラインで動作できるので、ファイルの内容に影響することができることに留意されたい。また、ファイルがトラッカ(tracker)を有するデバイスをトラバースする時に、ファイルの内部のボイド(すなわち、一続きのごみデータ)が書き込まれる可能性がある(ファイルが、通過する時に変更される可能性がある)。これは、リアル・タイムで行われるので、タグ付けを用いて以前に行われたものとは異なり、たとえば、これがWORD文書であり、タグを入れ、そのタグがどこにゆくのかを監視する。インライン・センサ611のうちの1つ、たとえばRDA技術に関するセンサを、これを行うのに使用することができる。データがIPSまたはIDSに入る時に、ハッシュを挿入することができる。セキュリティ産業で使用される用語は、「ハニートークン(honeytoken)」の埋込である。システムは、ファイル内にハニートークンを埋め込み、ハニー・トークンがあると期待されない場所でハニー・トークンを探す。
したがって、プロセッサ607を、センサに受動的に読み取られたパケット内のファイルにハニー・トークンおよび/もしくはハッシュを書き込ませる(627)ようにプログラムすることができる。ある種のフォーマットすなわち、「Microsoft WORD文書」、「.pdf文書」、「Microsoft OFFICE文書」は、上書きされた死んだデータを有することが知られている。タグ付けされるように選択されたファイルは、上書きされた死んだデータを有すると事前に判定されるこれらのフォーマットのうちの1つを有することができる。センサに、プロセッサ607によって、ファイルがネットワーク上で移動中である時に、受動的に読み取られるパケット内に含まれるファイルの内部のボイドにハニートークンを埋め込むように指示することができる。その後、ハニートークンを1つまたは複数のセンサ611によって監視することができ、したがって、ハニートークンを使用して、ネットワーク上およびネットワークの外部でのファイルの移動の追跡を助けることができる。
プロセッサ607を、ネットワーク上で移動する受動的に読み取られたパケット内のデータからメタデータを抽出631するようにプログラムすることができる。メタデータは、たとえば、次のうちの1つまたは複数を含むことができる:ファイル全体の主ハッシュ、ファイル内の個々のブロックのブロック・ハッシュ(たとえば、WORDファイルのパラグラフ・ハッシュ、ACROBATファイルまたはOFFICEファイルのデータ・ブロック・ハッシュ)、ならびにファイル名、日付、タイム・スタンプ、サイズ、およびファイル所有者を有するファイルのディレクトリ・リスティング。メタデータを、リレーショナル・データベース内に、たとえばリレーショナル・データベース・ポスト・プロセッサ659によって格納することができる。
プロセッサ607を、ファイルおよびファイル・データのユーザならびにファイルおよびファイル・データがユーザによってどのように転送/アクセスされるのかからユーザの役割を推測し、推測されたユーザの役割およびセンサからの読取データからユーザによる不適切な使用がある時を検出(633)するようにプログラムすることができる。推測されたユーザの役割を、推測されたユーザ役割データベース639に格納することができる。
このシステムは、誰がデータを使用しているのかおよび彼らがどのようにそれを使用しているのかから役割の推測を開始することができる。たとえば、マーティが、制御サーバの主バージョンおよびメール・サーバと対話し、この2つのサーバが企業を中心とすることを検討する。このシステムは、マーティが以前に一度も対話したことがないデータと対話している時を記録することができる。あるいは、特定のユーザのジョブがXYZであり、彼が、あるタイプのデータにアクセスしなければならないが、彼は、他のタイプのデータにアクセスしている。このシステムは、誰がデータにアクセスしているのかによって役割を推測することができ、いつユーザがパーミッション(permission)を超えるかどうかを推測することができる。たとえば、法律チームは、法律タイプのデータと対話しなければならないが、法律チームの一人が、賃金台帳タイプのデータと対話している。
プロセッサ607を、ファイル内容が変化することが監視されたことおよび/またはファイル内容が変化することがどのように監視されたのかを報告(635)するようにプログラムすることができる。監視された変化は、たとえば、ファイルの位置(ソースおよび/または送信先)、ファイルの所有権、ファイル自体に関するファイル・データ、および/またはファイル自体を含むことができる。変化を、最新情報としての現在の受動的に読み取られたデータからのファイル・データおよびファイル属性を比較することと、ファイルおよびファイル・データのマップ・プロファイル655ならびに/またはファイル、ファイル・データ、およびファイル属性のカタログ657に格納できるものなどのファイルに関する以前に観察された情報とファイルに関する最新情報とを比較することとによって、記録することができる。変化を使用して、警告し、通知し、報告し、かつ/または類似物を行うことができ、あるいは、変化を、ファイルに関するポリシー・ルール(policy rule)をトリガできるイベントとして使用することができる。
プロセッサ607は、ユーザ・アクセス・マップ637および/または推測されたユーザ役割データベース639(それぞれ、本明細書でさらに説明する)に関するストア(store)を含むことができる。メモリ613内の図示のストレージに対する代替案として、ユーザ・アクセス・マップ637および推測されたユーザ役割データベース639の一方または両方を、アクセス可能なストレージ(図示せず)および/またはローカルもしくはリモートのデータベースに格納することができ、かつ/あるいは複数のローカル/リモート・コンピュータアクセス可能記憶媒体に分散された形で格納することができる。
機能のさまざまな論理グループ化(logical grouping)が本明細書で説明されることを理解されたい。異なる具体化は、これらの論理グループ化のうちの1つまたは複数を省略する場合がある。同様に、さまざまな具体化では、機能が、異なってグループ化され、組み合わされ、または増補される場合がある。さらに、任意として識別される機能を含む機能を、さまざまな具体化から省略することができる。同様に、この説明は、データおよび情報のデータベースまたはコレクションを説明しまたは提案する場合がある。1つまたは複数の実施形態は、データおよび情報のデータベースまたはコレクションを分散させ、組合せ、もしくは増補し、またはローカルに(図示のように)および/またはリモートに(図示せず)提供することを提供することができる。
ここで図7を参照して、リアル・タイム・データ・アウェアネスの工程を示す流れ図を記載して説明する。リアル・タイム・データ・アウェアネスのこれらの手順701を、たとえばコントローラのプロセッサ上で、有利に実施することができ、データを検知する手順721を、たとえばセンサのプロセッサ上で、有利に実施することができ、このコントローラとセンサとの両方は、図6に関連して説明されたものまたは適当に配置された他の装置である。リアル・タイム・データ・アウェアネスの手順701およびデータを検知する手順721を、同時に並列に実行することができ、その結果、受動的に読み取られたデータが処理されている間に、データを、パケットが移動している間にリアル・タイムで連続して受動的に読みとることができるようになる。
データを検知する手順721を、センサ上または類似するネットワーク機器上で実施することができ、本明細書では最初に説明する。データを検知する手順721は、データを受動的に読み取り(723)、読み取られたデータを送信する(725)ループを含むことができる。より具体的には、手順721は、パケット内のデータがネットワーク上でパケットのソースと送信先との間を移動している時にパケット内のデータを受動的に読み取る(723)ことができる。パケット内のデータがネットワーク上で移動している時にパケット内のデータを受動的に読み取る技法は、既知である。次に、手順721は、さらなるポストセンサ分析のために、受動的に読み取られたデータを送信する(725)ことができる。複数の従来の技法のいずれをも、ポストセンサ・プロセッサにデータを送信するのに使用することができる。
リアル・タイム・データ・アウェアネス手順701は、受動的に読み取られたデータをセンサから受信し(703)、受動的に読み取られたデータがファイルおよび/またはファイル・データを含むかどうかをチェックし(703)、そうである場合に、ファイルおよび/またはファイル・データを処理する(707、709、711、713)ためにループすることを含むことができる。リアル・タイム・データ・アウェアネス手順701は、ファイルおよび/またはファイル・データをセンサから受信し、処理する準備が継続的にできているようにするために継続的にループすることができる。
リアル・タイム・データ・アウェアネス手順は、たとえば1つまたは複数のセンサから、受動的に読み取られたデータを受信する(703)ことを含むことができる。センサから受信されるデータは、パケットから検出されたデータおよび/またはパケットからのデータの要約からなる、センサによって事前に決定されるフォーマットであるものとすることができる。
リアル・タイム・データ・アウェアネス手順は、受動的に読み取られたデータがファイルおよび/またはファイル・データを含むかどうかをチェックする(703)ことを含むことができる。たとえば、手順701は、次のタイプのファイル転送方法のうちの1つまたは複数についてチェックすることができる。
・ファイルが会話に埋め込まれるかこれに添付される時の、電子メール、インスタント・メッセージ、SMTP(シンプル・メール転送プロトコル)、LANメッセンジャ、ならびにその変形形態および進化形態などのユーザの間の会話
・ページがファイルを含む時の、ダウンロードされるページ
・電子メール添付物
・ファイル・ダウンロード
・ファイル・リポジトリ・アクセス
・ftp(ファイル転送プロトコル)、NFS(ネットワーク・ファイル・システム)、tftp(トリビアル・ファイル転送プロトコル)、http(ハイパーテキスト転送プロトコル)、Bittorrent、Kermit、および他のファイル転送プロトコル、その変形形態、ならびに進化形態などのファイル転送
ファイルの位置およびフォーマットは、ファイル転送方法のタイプに依存して異なる可能性がある。したがって、受動的に読み取られたデータがファイルおよび/またはファイル・データを含むかどうかの判定は、ファイル転送方法のタイプに依存してファイルを識別するために、ファイル転送方法のタイプに敏感である可能性がある。たとえば、電子メール添付物に添付されたファイルは、ftpまたはNFSを介して転送されるファイルとは異なる位置およびフォーマットである。これらのファイル転送方法のそれぞれが、産業標準またはプロプライエタリ仕様に関して明確に定義されている。
受動的に読み取られたデータが、ファイルおよび/またはファイル・データを含む時に、リアル・タイム・データ・アウェアネス手順701は、たとえば、リアル・タイム・マップ・プロファイルを生成する(707)ことと、相関および推測を実行する(709)ことと、ファイル/ファイル属性のカタログを作成する(711)ことと、ユーザ・マップを作成する(713)こととによって、ファイルおよび/またはファイル・データを処理することができる。これらのそれぞれを、前に詳細に説明されていない範囲まで、本明細書でさらに説明する。
リアル・タイム・データ・アウェアネス手順701は、リアル・タイム・マップ・プロファイルを生成する(707)ことを含むことができる。リアル・タイム・マップ・プロファイルは、ネットワーク上のファイルの位置のトポグラフィ・マップを提供するために、ファイルの位置をマッピングすることができる。リアル・タイム・マップ・プロファイルを、ファイル名、タイム・スタンプ、ファイル・サイズ、ファイル・ハッシュ、サブハッシュ、ファイルを含んだサーバID(IPアドレス)、ホストID(ファイルを含む)、ユーザID(ファイルを有したユーザを示す)、送信先ID(ファイルが転送された場所)、およびファイル・ディレクトリなど、受動的に読み取られたパケットから入手される、1つまたは複数のファイルに関する情報から展開することができる。
リアル・タイム・データ・アウェアネス手順701は、相関および推測を実行する(709)ことを含むことができる。相関および推測は、上述においてより詳細に説明した。
リアル・タイム・データ・アウェアネス手順701は、ファイル/ファイル属性のカタログを作成する(711)ことを含むことができる。カタログを作成され、特定のファイルに関連付けられる属性は、直接のファイル・データ情報(たとえば、ファイル名、ファイル・サイズ、タイム・スタンプ、ファイル・ハッシュ、ブロック・ハッシュ、ファイルを含んだサーバID、ファイルを含むホストID、ファイルを送信したユーザID、ファイルを受信したユーザID、ファイルが転送された場所、ファイルの内容(たとえば、キーワードまたはハッシュ、ファイル内容変化)、データがどこにあるのか、誰がファイルまたはデータにアクセスしたのか、どのデバイスがその上にデータを有するのか、ファイルがどのように転送されたのか、ファイルがどのように変換(たとえば、暗号化)されたのか)を含み、直接のファイル・データ情報のすべてが、センサから入手される、ネットワーク上で移動しているパケット内のデータから監視される。
リアル・タイム・データ・アウェアネス手順701は、ユーザが転送または受信によって実際にタッチしたファイル、ファイル・ハッシュ、およびデータベースにユーザ・アイデンティティを関連付けるユーザ・アクセス・マップを作成する(713)ことを含むことができる。これは、上述においてより詳細に説明した。
さらに、実施形態は、前述の有形のコンピュータ可読媒体および/もしくは方法(1つまたは複数)を用いて構成されたコンピュータ・システムならびに/または前述のコンピュータ可読媒体および/もしくは方法(1つまたは複数)を用いて構成された少なくとも1つのコンピュータ・システムからなる通信ネットワークを含むことができる。
当該の通信ネットワークが、パケット処理プロトコルに従って、たとえば、パケット(1つまたは複数)がソースによって生成され、パケットが送信され、パケットがネットワーク・インフラストラクチャ・デバイスを介してルーティングされ、データがパケット(1つまたは複数)内で指定される送信先に送信される、データを送信するパケット交換ネットワークによってパケット内の情報を送信する通信ネットワークを含むことに留意されたい。そのようなネットワークは、たとえば、インターネット、イントラネット、ローカル・エリア・ネットワーク(LAN)、無線LAN(WLAN)、広域ネットワーク(WAN)、および他を含む。パケットを利用する通信ネットワークをサポートするプロトコルは、TCPトランスポート層、または、トランスポート層、たとえばIPV4もしくはIPV6の上に乗る任意のアプリケーションをサポートする任意のリンク層を有するさまざまなネットワーキング・プロトコル、ならびに他の無線アプリケーション・プロトコルもしくは有線アプリケーション・プロトコルおよび/または他のプロトコル構造、ならびにその変形形態および進化形態のうちの1つまたは複数を含む。そのようなネットワークは、無線通信能力を提供し、かつ/あるいはケーブルおよび/もしくはコネクタまたは類似物などの有線接続を利用することができる。
「ファイル」という用語は、本明細書では、コンピュータ・プログラムによって可読であり、固定電子メモリ内に格納される、任意の情報のブロックまたは情報を格納するリソースと定義され、ファイルは、現在のプログラムが終了した後にプログラムが使用するために使用可能なままになる。通常、ファイルは、そのストレージ内でファイルを一意に突き止める、ファイル名およびパスを有する。複数のファイルは、通常、ファイル・ディレクトリ内で編成される。ファイルのフォーマットは、ファイル・ヘッダ、ファイル・データ(ファイルの内容である)、メタ・データ、および/または属性を含めるために、UNIX(登録商標)、WINDOWS(登録商標)、または他のファイル・システムなどのファイル・システムによってさらに事前に定義され得る。ファイルの「属性」は、ファイルに対して実行できる動作(たとえば、読取、書込、隠し、アーカイブ、および類似物)ならびに/またはファイル名、ファイル・サイズ、タイム・スタンプ、および類似物を指定することができる。「ファイル・データ」という用語は、本明細書では、ファイルの内容(ファイル・ヘッダ、ファイル・メタ・データ、およびファイル属性とは別個)を意味すると定義される。
さらに、「侵入検出/防止システム」(およびIDS/IPS)という用語は、本明細書では、侵入についてネットワーク・トラフィックを受動的にまたは能動的に分析するデバイスまたはソフトウェアを表すのに使用される。そのようなデバイスまたはソフトウェアの例を、時々、「侵入検出システム」(IDS)、「侵入防止システム」(IPS)、「ネットワーク侵入検出システム」(NIDS)、「ネットワーク侵入防止システム」(NIPS)、および類似物、ならびにその変形形態および進化形態と称する。侵入検出/防止システムを、ホストベースとすることができ、あるいは、侵入検出/防止システムは、たとえばターゲット・システムと侵入者との間のどこかの、通常は最後のルータまたはファイヤウォールの後の、センサを使用して、ターゲット・システムへのトラフィックを監視することができる。
「ネットワーク上で移動中」または「ネットワーク上で移動している」という用語は、本明細書では、パケットのソース・ホストから送信されたが、そのパケットがパケットの送信先ホストに到着する前に観察され、読み取られ、または監視されるパケット、パケット内のデータ、またはパケット内のファイルを指すと定義される。
「パケット」という用語は、本明細書では、IPV4またはIPV6などのパケット処理プロトコルに従ってフォーマットされ、パケット交換ネットワークによって搬送され、ヘッダおよびデータを含み、時々、IPパケットまたはデータグラムと呼ばれるデータの単位と定義される。
「受動的に読み取られた」パケットは、本明細書では、パケットが読み取られるプロセッサによって引き出されたのでも開始されたのでもないパケットと定義される。データまたはパケットを「受動的に読み取る」ことは、本明細書では、パケットが読み取られるプロセッサからの以前の送信によって引き出されたのでも開始されたのでもないパケットを受信することと定義される。
「リアルタイム」または「リアル・タイム」という用語は、本明細書では、(より大きいセグメント内に一緒にグループ化されるか、または個々に処理される)分析される(入力)データおよび/または生成される(出力)データを、処理遅延と独立にデータの同一のセットを入力し、かつ/または出力するのに要する時間で継続的に処理(または生成)できることを意味すると定義される。
「センサ」という用語は、本明細書では、その主機能が、センサが接続されたネットワーク上のネットワーク・トラフィックを検出し、報告することと、通常は悪意のあるアクティビティを暗示するパターンおよび挙動を探すためにパケットのヘッダおよびデータ部分を調べることによって、ネットワーク上の悪意のあるアクティビティを検出することとであり、時々セキュリティ機器またはセンサ機器と呼ばれ、独立型または、ファイヤウォール、アンチウィルス・スキャニング・デバイス、コンテンツ・フィルタリング・デバイス、侵入検出機器、侵入防止機器、突破試験機器、脆弱性査定機器、および類似物のうちの1つまたは複数を組み込むことができる、プロセッサを含むデバイスを特に示すと定義される。センサは、インラインで(トラフィックがそれを通って流れるようにするために、ネットワーク内の機器としてインストールされる)、タップとして(クライアントとサーバとの間のネットワーク・トラフィックは、タップによってセンサにコピーされ、このセンサは、本質的に他のネットワーク・エンティティから不可視である)、またはスパン内で(トラフィックは、ルータまたはスイッチのサーバ側またはクライアント側のいずれかでスパン・オフされ、任意のポートからの着信トラフィックと発信トラフィックとの両方をコピーする)動作することができる。センサは、センサが監視するパケットに関する情報を収集することができ、個々のパケットに関する収集されたパケット情報、パケットの要約、報告、および/または検出されたイベントとして、送信するように構成され得る。そのようなセンサの例は、Sourcefire(商標)センサ、McAfee(商標)センサ、および類似物を含む。
本開示は、本発明の真の意図された公平な範囲および趣旨を限定するのではなく、本発明によるさまざまな実施形態をどのようにして形作り、使用するのかを説明することを意図されたものである。本発明は、本特許出願の継続中に修正される可能性がある添付の特許請求の範囲およびそのすべての同等物のみによって定義される。前述の説明は、網羅的であることまたは本発明を開示された正確な形態に限定することを意図されたものではない。変更または変形が、上の教示を考慮して可能である。実施形態(1つまたは複数)は、本発明の原理およびその実用的応用の最良の例示を提供するために、およびさまざまな実施形態で、企図される特定の使用に適するさまざまな変更を加えて、当業者が本発明を利用することを可能にするために、選択され、説明された。そのような変更および変形のすべてが、本特許出願が公平に法的に公正に資格を与えられる範囲に従って解釈される時に、本特許出願の継続中に修正される可能性がある添付の特許請求の範囲およびそのすべての同等物によって決定される本発明の範囲に含まれる。

Claims (21)

  1. システムであって、
    パケットがネットワーク上で移動している時に該パケット内のデータを受動的に読み取るように構成されたセンサと、
    前記センサと共に協力して動作可能なプロセッサであって、
    前記センサから前記読み取られたデータを受信し、
    前記受動的に読み取られたパケットが前記ネットワーク上で移動している時に、前記センサからの前記読み取られたデータからのファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成するように構成された前記プロセッサとを備え、
    前記プロセッサは、
    前記ネットワーク上で移動している前記パケット内の前記読み取られたデータからの前記ファイルおよび前記ファイル・データの属性のカタログを作成するようにさらに構成され、
    カタログを作成される属性は、前記ファイルがどのように変換されたのかを含む、システム。
  2. 前記プロセッサは、
    前記センサによって読み取られた前記読み取られたデータから相関および推測を実行するようにさらに構成される、請求項1に記載のシステム。
  3. カタログを作成される属性は、
    ファイル名、ファイル・サイズ、タイム・スタンプ、ファイル・ハッシュ、ブロック・ハッシュ、前記ファイルを含んだサーバID、前記ファイルを含むホストID、ファイルを送信したユーザID、ファイルを受信しているユーザID、ファイルが転送される場所、前記ファイルの内容、前記ファイル・データがどこにあるのか、誰が前記ファイル・データまたは前記ファイルにアクセスしたのか、どのデバイスが前記ファイル・データを有するのか、前記ファイルがどのように転送されたのか、をさらに含む、請求項に記載のシステム。
  4. カタログを作成される前記ファイルの内容は、キーワード、ハッシュ、およびファイル内容変化を含む、請求項に記載のシステム。
  5. 前記ファイルの内容は、前記ファイルが流れている時に、前記データ内の前記ファイル内のキーワードまたはハッシュについて、前記ファイルおよび前記ファイル・データを分析することによって判定される、請求項に記載のシステム。
  6. 前記プロセッサは、
    ユーザが実際にタッチした前記ファイル、ファイル・ハッシュ、およびデータベースに該ユーザのアイデンティティを関連付けるユーザ・アクセス・マップを作成するようにさらに構成される、請求項1に記載のシステム。
  7. 前記センサは、前記ファイルが上書きされた死んだデータを有すると事前に判定されたファイル・フォーマットを有する時に、前記受動的に読み取られたパケットに含まれる前記ファイルの内部のボイドにハニートークンを埋め込み、前記ネットワーク上および前記ネットワークの外部での前記ファイルの移動の追跡を助けるのに該ハニートークンを使用するようにさらに構成される、請求項1に記載のシステム。
  8. 前記ファイルに埋め込まれる前記ハニートークンは、前記ファイル全体の主ハッシュおよび前記ファイル内の個々のブロックのブロック・ハッシュのうちの1つである、請求項に記載のシステム。
  9. 前記プロセッサは、前記読み取られたデータが、ユーザの間の会話、ダウンロードされるページ、電子メール添付物、ファイル・ダウンロード、ファイル・リポジトリ・アクセス、および前記ネットワークを介するファイル転送である時に、前記ファイルおよび前記ファイル・データについて前記センサからの前記読み取られたデータをさらに調べる、請求項1に記載のシステム。
  10. 前記ファイル・リポジトリ・アクセスは、ダウンロード、ftp転送、ファイル共有アクセス、またはNFSアクセスである、請求項に記載のシステム。
  11. 前記プロセッサは、
    前記パケットが前記ネットワーク上で移動している時に、前記受動的に読み取られたパケット内の前記読み取られたデータからメタデータを抽出して受動的に発見されたメタデータを生成することであって、前記読み取られたデータは、前記ファイル全体の主ハッシュ、前記ファイル内の個々のブロックのブロック・ハッシュ、ならびにファイル名、日付、タイム・スタンプ、サイズ、およびファイル所有者を有するファイルのディレクトリ・リスティングを含み、ハッシュは、前記ファイルに一意の暗号ハッシュである、前記メタデータを作成すること、
    該受動的に発見されたメタデータ、前記ファイルの属性、および前記ファイル・データをリレーショナル・データベースに格納すること、
    該受動的に発見されたメタデータを受動的に発見されたメタデータのデータ・マップに格納することを実行するようにさらに構成される、請求項1に記載のシステム。
  12. 前記リレーショナル・データベースは、前記ファイル自体に基づき、前記ファイルがどこに転送されたのかおよび前記ファイルを誰が転送したのかを示す、請求項11に記載のシステム。
  13. 前記リレーショナル・データベースは、前記センサに対するポストプロセッサとして実施される、請求項11に記載のシステム。
  14. 前記プロセッサは、
    誰が前記ファイルおよび前記ファイル・データを使用しているのか、およびユーザが前記ファイルおよび前記ファイル・データをどのように転送またはアクセスしているのかからユーザの役割を推測し、
    該推論されたユーザ役割および前記センサからの前記読み取られたデータから、該ユーザが不適切な使用を実行している時を検出するようにさらに構成される、請求項1に記載のシステム。
  15. 前記プロセッサは、
    前記ファイルの内容がどのように変化したのかに関して報告するようにさらに構成され、
    該変化は、前記ファイル・データ内に反映される位置、前記ファイル・データ内に反映される所有権、前記ファイル・データ自体の変化、および前記ファイル自体の変化を含む、請求項1に記載のシステム。
  16. 方法であって、
    センサ内で、パケットがネットワーク上で移動している時に該パケット内のデータを受動的に読み取ること、
    プロセッサ内で、該センサから該読み取られたデータを受信すること、
    該受動的に読み取られたパケットが該ネットワーク上で移動している時に、該センサからの該読み取られたデータからのファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成すること、
    前記ネットワーク上で移動している前記パケット内の前記読み取られたデータからの前記ファイルおよび前記ファイル・データの属性のカタログを作成することを備え、
    カタログを作成される属性は、前記ファイルがどのように変換されたのかを含む、方法。
  17. 前記センサによって取り出された前記データから相関および推測を実行することをさらに備える、請求項16に記載の方法。
  18. ユーザが実際にタッチした前記ファイル、ファイル・ハッシュ、およびデータベースに該ユーザのアイデンティティを関連付けるユーザ・アクセス・マップを作成することをさらに備える、請求項16に記載の方法。
  19. パケットがネットワーク上で移動している時に該パケット内のデータをセンサから受動的に読み取ること、
    プロセッサ内で、該センサから該読み取られたデータを受信すること、
    該受動的に読み取られたパケットが該ネットワーク上で移動している時に、該センサからの該読み取られたデータからであるファイルおよびファイル・データのリアルタイム・マップ・プロファイルを生成すること、
    前記ネットワーク上で移動している前記パケット内の前記読み取られたデータからの前記ファイルおよび前記ファイル・データの属性のカタログを作成することを実行するコンピュータ実行可能命令を備え、
    カタログを作成される属性は、前記ファイルがどのように変換されたのかを含む、コンピュータ可読記憶媒体。
  20. 前記センサによって読み取られた前記読み取られたデータから相関および推測を実行することをさらに備える、請求項19に記載のコンピュータ可読記憶媒体。
  21. ユーザが実際にタッチした前記ファイル、ファイル・ハッシュ、およびデータベースに該ユーザのアイデンティティを関連付けるユーザ・アクセス・マップを作成することをさらに備える、請求項19に記載のコンピュータ可読記憶媒体。
JP2013557716A 2011-03-11 2012-01-18 リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法 Active JP5917573B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US13/046,127 2011-03-11
US13/046,127 US8601034B2 (en) 2011-03-11 2011-03-11 System and method for real time data awareness
PCT/US2012/021633 WO2012125221A1 (en) 2011-03-11 2012-01-18 System and method for real time data awareness and file tracking

Publications (2)

Publication Number Publication Date
JP2014510484A JP2014510484A (ja) 2014-04-24
JP5917573B2 true JP5917573B2 (ja) 2016-05-18

Family

ID=45561106

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013557716A Active JP5917573B2 (ja) 2011-03-11 2012-01-18 リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法

Country Status (5)

Country Link
US (3) US8601034B2 (ja)
EP (1) EP2684329B1 (ja)
JP (1) JP5917573B2 (ja)
CA (1) CA2826680A1 (ja)
WO (1) WO2012125221A1 (ja)

Families Citing this family (45)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7885190B1 (en) 2003-05-12 2011-02-08 Sourcefire, Inc. Systems and methods for determining characteristics of a network based on flow analysis
US8474043B2 (en) 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
CA2789824C (en) 2010-04-16 2018-11-06 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness
US9658925B1 (en) * 2011-10-31 2017-05-23 Veritas Technologies Systems and methods for restoring application data
US20130246800A1 (en) * 2012-03-19 2013-09-19 Microchip Technology Incorporated Enhancing Security of Sensor Data for a System Via an Embedded Controller
US9779260B1 (en) 2012-06-11 2017-10-03 Dell Software Inc. Aggregation and classification of secure data
CN103678349B (zh) * 2012-09-10 2017-09-26 腾讯科技(深圳)有限公司 一种垃圾数据过滤方法和装置
US9223998B1 (en) * 2013-03-11 2015-12-29 NetSuite Inc. System and method for enhancing data security by use of dynamic honey tokens
US9530119B1 (en) * 2013-06-05 2016-12-27 NetSuite Inc. System and methods for dynamically applying an electronic messaging budget to messaging activities within a business
US8973142B2 (en) * 2013-07-02 2015-03-03 Imperva, Inc. Compromised insider honey pots using reverse honey tokens
US20150156131A1 (en) * 2013-12-04 2015-06-04 International Business Machines Corporation Method and system of geographic migration of workloads between private and public clouds
US9294480B2 (en) 2014-01-15 2016-03-22 Cisco Technology, Inc. Tracking and tracing information theft from information systems
US9680797B2 (en) * 2014-05-28 2017-06-13 Oracle International Corporation Deep packet inspection (DPI) of network packets for keywords of a vocabulary
US9774627B2 (en) * 2014-06-27 2017-09-26 Ncr Corporation Detecting memory-scraping malware
US10326748B1 (en) 2015-02-25 2019-06-18 Quest Software Inc. Systems and methods for event-based authentication
US9602525B2 (en) 2015-02-27 2017-03-21 Cisco Technology, Inc. Classification of malware generated domain names
US10417613B1 (en) 2015-03-17 2019-09-17 Quest Software Inc. Systems and methods of patternizing logged user-initiated events for scheduling functions
US9990506B1 (en) 2015-03-30 2018-06-05 Quest Software Inc. Systems and methods of securing network-accessible peripheral devices
US9842218B1 (en) 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US9842220B1 (en) * 2015-04-10 2017-12-12 Dell Software Inc. Systems and methods of secure self-service access to content
US10536352B1 (en) 2015-08-05 2020-01-14 Quest Software Inc. Systems and methods for tuning cross-platform data collection
US10572672B2 (en) * 2015-08-14 2020-02-25 Hewlett Packard Enterprise Development Lp Modification of data elements using a semantic relationship
US10218588B1 (en) 2015-10-05 2019-02-26 Quest Software Inc. Systems and methods for multi-stream performance patternization and optimization of virtual meetings
US10157358B1 (en) 2015-10-05 2018-12-18 Quest Software Inc. Systems and methods for multi-stream performance patternization and interval-based prediction
US10887330B2 (en) 2015-12-15 2021-01-05 Flying Cloud Technologies, Inc. Data surveillance for privileged assets based on threat streams
US10542026B2 (en) 2015-12-15 2020-01-21 Flying Cloud Technologies, Inc. Data surveillance system with contextual information
US10523698B2 (en) 2015-12-15 2019-12-31 Flying Cloud Technologies, Inc. Data surveillance system with patterns of centroid drift
US10848514B2 (en) 2015-12-15 2020-11-24 Flying Cloud Technologies, Inc. Data surveillance for privileged assets on a computer network
US10516689B2 (en) 2015-12-15 2019-12-24 Flying Cloud Technologies, Inc. Distributed data surveillance in a community capture environment
US9979740B2 (en) 2015-12-15 2018-05-22 Flying Cloud Technologies, Inc. Data surveillance system
US10063571B2 (en) * 2016-01-04 2018-08-28 Microsoft Technology Licensing, Llc Systems and methods for the detection of advanced attackers using client side honeytokens
US10171472B2 (en) * 2016-03-02 2019-01-01 Microsoft Technology Licensing, Llc Role-specific service customization
US10142391B1 (en) 2016-03-25 2018-11-27 Quest Software Inc. Systems and methods of diagnosing down-layer performance problems via multi-stream performance patternization
US10089339B2 (en) * 2016-07-18 2018-10-02 Arm Limited Datagram reassembly
IL272980B1 (en) 2017-08-31 2024-04-01 Observeit Ltd A computer-based method and system that enables the management of data leakage risks in a computer network environment
US10841020B2 (en) * 2018-01-31 2020-11-17 Sap Se Online self-correction on multiple data streams in sensor networks
US11088826B2 (en) * 2018-02-27 2021-08-10 International Business Machines Corporation Managing assets with expiration on a blockchain
US11652789B2 (en) 2019-06-27 2023-05-16 Cisco Technology, Inc. Contextual engagement and disengagement of file inspection
US11768954B2 (en) 2020-06-16 2023-09-26 Capital One Services, Llc System, method and computer-accessible medium for capturing data changes
US11445340B2 (en) 2021-01-21 2022-09-13 Flying Cloud Technologies, Inc. Anomalous subject and device identification based on rolling baseline
US11470100B1 (en) 2022-03-21 2022-10-11 Flying Cloud Technologies, Inc. Data surveillance in a zero-trust network

Family Cites Families (231)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS59195179A (ja) 1983-04-20 1984-11-06 Uro Denshi Kogyo Kk 侵入警報器
US4550436A (en) 1983-07-26 1985-10-29 At&T Bell Laboratories Parallel text matching methods and apparatus
JPH0797373B2 (ja) 1985-08-23 1995-10-18 株式会社日立製作所 文書フアイリングシステム
JPH0786537B2 (ja) 1987-09-26 1995-09-20 松下電工株式会社 人体検出装置
US20070112512A1 (en) * 1987-09-28 2007-05-17 Verizon Corporate Services Group Inc. Methods and systems for locating source of computer-originated attack based on GPS equipped computing device
US4857912A (en) 1988-07-27 1989-08-15 The United States Of America As Represented By The Secretary Of The Navy Intelligent security assessment system
JP2790466B2 (ja) 1988-10-18 1998-08-27 株式会社日立製作所 文字列検索方法及び装置
US5193192A (en) 1989-12-29 1993-03-09 Supercomputer Systems Limited Partnership Vectorized LR parsing of computer programs
US5404488A (en) 1990-09-26 1995-04-04 Lotus Development Corporation Realtime data feed engine for updating an application with the most currently received data from multiple data feeds
US5222081A (en) 1991-06-28 1993-06-22 Universal Data Systems, Inc. Method of performing an autobaud function using a state flow machine
US5430842A (en) 1992-05-29 1995-07-04 Hewlett-Packard Company Insertion of network data checksums by a network adapter
US5497463A (en) 1992-09-25 1996-03-05 Bull Hn Information Systems Inc. Ally mechanism for interconnecting non-distributed computing environment (DCE) and DCE systems to operate in a network system
JP2994926B2 (ja) 1993-10-29 1999-12-27 松下電器産業株式会社 有限状態機械作成方法とパターン照合機械作成方法とこれらを変形する方法および駆動方法
US5862335A (en) * 1993-04-01 1999-01-19 Intel Corp. Method and apparatus for monitoring file transfers and logical connections in a computer network
GB9326476D0 (en) 1993-12-24 1994-02-23 Newbridge Networks Corp Network
US5459841A (en) 1993-12-28 1995-10-17 At&T Corp. Finite state machine with minimized vector processing
US5666293A (en) 1994-05-27 1997-09-09 Bell Atlantic Network Services, Inc. Downloading operating system software through a broadcast channel
US5646997A (en) * 1994-12-14 1997-07-08 Barton; James M. Method and apparatus for embedding authentication information within digital data
JPH09198398A (ja) 1996-01-16 1997-07-31 Fujitsu Ltd パターン検索装置
US5870554A (en) 1996-04-01 1999-02-09 Advanced Micro Devices, Inc. Server selection method where a client selects a server according to address, operating system and found frame for remote booting
US5995963A (en) 1996-06-27 1999-11-30 Fujitsu Limited Apparatus and method of multi-string matching based on sparse state transition list
US5901307A (en) 1996-07-22 1999-05-04 International Business Machines Corporation Processor having a selectively configurable branch prediction unit that can access a branch prediction utilizing bits derived from a plurality of sources
US5881269A (en) 1996-09-30 1999-03-09 International Business Machines Corporation Simulation of multiple local area network clients on a single workstation
US5796942A (en) 1996-11-21 1998-08-18 Computer Associates International, Inc. Method and apparatus for automated network-wide surveillance and security breach intervention
US6259805B1 (en) 1996-12-04 2001-07-10 Dew Engineering And Development Limited Biometric security encryption system
US6477648B1 (en) 1997-03-23 2002-11-05 Novell, Inc. Trusted workstation in a networked client/server computing system
US5999937A (en) 1997-06-06 1999-12-07 Madison Information Technologies, Inc. System and method for converting data between data sets
US5919257A (en) 1997-08-08 1999-07-06 Novell, Inc. Networked workstation intrusion detection system
US5987473A (en) 1997-09-09 1999-11-16 Beologic A/S Interactive configuration via network
US6321337B1 (en) 1997-09-09 2001-11-20 Sanctum Ltd. Method and system for protecting operations of trusted internal networks
US6002427A (en) 1997-09-15 1999-12-14 Kipust; Alan J. Security system with proximity sensing for an electronic device
US8225408B2 (en) 1997-11-06 2012-07-17 Finjan, Inc. Method and system for adaptive rule-based content scanners
US6141686A (en) 1998-03-13 2000-10-31 Deterministic Networks, Inc. Client-side application-classifier gathering network-traffic statistics and application and user names using extensible-service provider plugin for policy-based network control
CA2330693C (en) 1998-04-27 2005-06-28 Digital Electronics Corporation Control system, display, host computer for control, and data transmitting method
EP0954139B1 (en) 1998-05-01 2005-04-06 Hewlett-Packard Company, A Delaware Corporation Methods of altering dynamic decision trees
US6334121B1 (en) 1998-05-04 2001-12-25 Virginia Commonwealth University Usage pattern based user authenticator
US6684332B1 (en) 1998-06-10 2004-01-27 International Business Machines Corporation Method and system for the exchange of digitally signed objects over an insecure network
US6324656B1 (en) 1998-06-30 2001-11-27 Cisco Technology, Inc. System and method for rules-driven multi-phase network vulnerability assessment
US6973455B1 (en) 1999-03-03 2005-12-06 Emc Corporation File server system providing direct data sharing between clients with a server acting as an arbiter and coordinator
US6590885B1 (en) 1998-07-10 2003-07-08 Malibu Networks, Inc. IP-flow characterization in a wireless point to multi-point (PTMP) transmission system
US7047423B1 (en) * 1998-07-21 2006-05-16 Computer Associates Think, Inc. Information security analysis system
US6711127B1 (en) 1998-07-31 2004-03-23 General Dynamics Government Systems Corporation System for intrusion detection and vulnerability analysis in a telecommunications signaling network
US6343362B1 (en) 1998-09-01 2002-01-29 Networks Associates, Inc. System and method providing custom attack simulation language for testing networks
US6219786B1 (en) 1998-09-09 2001-04-17 Surfcontrol, Inc. Method and system for monitoring and controlling network access
US6321338B1 (en) 1998-11-09 2001-11-20 Sri International Network surveillance
US6499107B1 (en) 1998-12-29 2002-12-24 Cisco Technology, Inc. Method and system for adaptive network security using intelligent packet analysis
US6415321B1 (en) 1998-12-29 2002-07-02 Cisco Technology, Inc. Domain mapping method and system
US6393474B1 (en) 1998-12-31 2002-05-21 3Com Corporation Dynamic policy management apparatus and method using active network devices
US6487666B1 (en) 1999-01-15 2002-11-26 Cisco Technology, Inc. Intrusion detection signature analysis using regular expressions and logical operators
US6453354B1 (en) 1999-03-03 2002-09-17 Emc Corporation File server system using connection-oriented protocol and sharing data sets among data movers
US6754826B1 (en) 1999-03-31 2004-06-22 International Business Machines Corporation Data processing system and method including a network access connector for limiting access to the network
US6539381B1 (en) 1999-04-21 2003-03-25 Novell, Inc. System and method for synchronizing database information
US6587876B1 (en) 1999-08-24 2003-07-01 Hewlett-Packard Development Company Grouping targets of management policies
US7073198B1 (en) 1999-08-26 2006-07-04 Ncircle Network Security, Inc. Method and system for detecting a vulnerability in a network
US7065657B1 (en) 1999-08-30 2006-06-20 Symantec Corporation Extensible intrusion detection system
US7310688B1 (en) 1999-08-30 2007-12-18 Ciena Corporation Relative addressing for network elements
US6789202B1 (en) 1999-10-15 2004-09-07 Networks Associates Technology, Inc. Method and apparatus for providing a policy-driven intrusion detection system
US6678824B1 (en) 1999-11-02 2004-01-13 Agere Systems Inc. Application usage time limiter
US6678734B1 (en) 1999-11-13 2004-01-13 Ssh Communications Security Ltd. Method for intercepting network packets in a computing device
US6990591B1 (en) 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
US6957348B1 (en) 2000-01-10 2005-10-18 Ncircle Network Security, Inc. Interoperability of vulnerability and intrusion detection systems
US7315801B1 (en) 2000-01-14 2008-01-01 Secure Computing Corporation Network security modeling system and method
US6851061B1 (en) 2000-02-16 2005-02-01 Networks Associates, Inc. System and method for intrusion detection data collection using a network protocol stack multiplexor
IL146762A0 (en) 2000-03-27 2002-07-25 Network Security Systems Inc Internet/network security method and system for checking security of a client from a remote facility
JP2001285400A (ja) 2000-03-29 2001-10-12 Kddi Corp トラヒック統計情報収集方法
US7051362B2 (en) * 2000-05-16 2006-05-23 Ideaflood, Inc. Method and system for operating a network server to discourage inappropriate use
JP2001350677A (ja) * 2000-06-06 2001-12-21 Hitachi Ltd メタ情報を利用した通信の監視,検査システムおよび通信の監視,検査方法、ならびにこれらの方法を記録した記録媒体
US7134141B2 (en) 2000-06-12 2006-11-07 Hewlett-Packard Development Company, L.P. System and method for host and network based intrusion detection and response
US8661539B2 (en) 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US20020087716A1 (en) 2000-07-25 2002-07-04 Shakeel Mustafa System and method for transmitting customized multi priority services on a single or multiple links over data link layer frames
US6772196B1 (en) 2000-07-27 2004-08-03 Propel Software Corp. Electronic mail filtering system and methods
US6766320B1 (en) 2000-08-24 2004-07-20 Microsoft Corporation Search engine with natural language-based robust parsing for user query and relevance feedback learning
US7181769B1 (en) 2000-08-25 2007-02-20 Ncircle Network Security, Inc. Network security system having a device profiler communicatively coupled to a traffic monitor
US7032114B1 (en) 2000-08-30 2006-04-18 Symantec Corporation System and method for using signatures to detect computer intrusions
US20020035639A1 (en) 2000-09-08 2002-03-21 Wei Xu Systems and methods for a packet director
GB0022485D0 (en) * 2000-09-13 2000-11-01 Apl Financial Services Oversea Monitoring network activity
US20070192863A1 (en) 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US20020066034A1 (en) 2000-10-24 2002-05-30 Schlossberg Barry J. Distributed network security deception system
US7054930B1 (en) 2000-10-26 2006-05-30 Cisco Technology, Inc. System and method for propagating filters
US7660902B2 (en) * 2000-11-20 2010-02-09 Rsa Security, Inc. Dynamic file access control and management
US20020083344A1 (en) 2000-12-21 2002-06-27 Vairavan Kannan P. Integrated intelligent inter/intra networking device
US6792269B2 (en) 2000-12-22 2004-09-14 Bellsouth Intellectual Property Corporation System, method and apparatus for tracking deployment of cellular telephone network sites
JP3672242B2 (ja) 2001-01-11 2005-07-20 インターナショナル・ビジネス・マシーンズ・コーポレーション パターン検索方法、パターン検索装置、コンピュータプログラム及び記憶媒体
US7058821B1 (en) 2001-01-17 2006-06-06 Ipolicy Networks, Inc. System and method for detection of intrusion attacks on packets transmitted on a network
US20020165707A1 (en) 2001-02-26 2002-11-07 Call Charles G. Methods and apparatus for storing and processing natural language text data as a sequence of fixed length integers
US20020168082A1 (en) * 2001-03-07 2002-11-14 Ravi Razdan Real-time, distributed, transactional, hybrid watermarking method to provide trace-ability and copyright protection of digital content in peer-to-peer networks
US7720996B2 (en) 2001-03-27 2010-05-18 Microsoft Corporation Internet protocol (IP) address proximity and application to peer provider location
ES2215804T3 (es) * 2001-04-03 2004-10-16 Beta Systems Software Ag Creacion automatica de roles para un sistema de control de acceso basado en roles.
US20100027430A1 (en) 2001-04-30 2010-02-04 Netwitness Corporation Apparatus and Method for Network Analysis
US7237264B1 (en) 2001-06-04 2007-06-26 Internet Security Systems, Inc. System and method for preventing network misuse
AU2002322109A1 (en) 2001-06-13 2002-12-23 Intruvert Networks, Inc. Method and apparatus for distributed network security
US7096503B1 (en) 2001-06-29 2006-08-22 Mcafee, Inc. Network-based risk-assessment tool for remotely detecting local computer vulnerabilities
US7231665B1 (en) 2001-07-05 2007-06-12 Mcafee, Inc. Prevention of operating system identification through fingerprinting techniques
US6978223B2 (en) 2001-09-06 2005-12-20 Bbnt Solutions Llc Systems and methods for network performance measurement using packet signature collection
JP3794301B2 (ja) * 2001-09-18 2006-07-05 日本電信電話株式会社 コンテンツ保護方法及びシステム及びコンテンツ保護プログラム及びコンテンツ保護プログラムを格納したコンピュータ読み取り可能な記録媒体
US7406526B2 (en) 2001-09-28 2008-07-29 Uri Benchetrit Extended internet protocol network address translation system
US6999998B2 (en) 2001-10-04 2006-02-14 Hewlett-Packard Development Company, L.P. Shared memory coupling of network infrastructure devices
US20030083847A1 (en) 2001-10-31 2003-05-01 Schertz Richard L. User interface for presenting data for an intrusion protection system
US20030101353A1 (en) 2001-10-31 2003-05-29 Tarquini Richard Paul Method, computer-readable medium, and node for detecting exploits based on an inbound signature of the exploit and an outbound signature in response thereto
US7472167B2 (en) 2001-10-31 2008-12-30 Hewlett-Packard Development Company, L.P. System and method for uniform resource locator filtering
US6546493B1 (en) 2001-11-30 2003-04-08 Networks Associates Technology, Inc. System, method and computer program product for risk assessment scanning based on detected anomalous events
CA2472268A1 (en) 2001-12-31 2003-07-17 Citadel Security Software Inc. Automated computer vulnerability resolution system
US7543056B2 (en) 2002-01-15 2009-06-02 Mcafee, Inc. System and method for network vulnerability detection and reporting
US6993706B2 (en) 2002-01-15 2006-01-31 International Business Machines Corporation Method, apparatus, and program for a state machine framework
US7664845B2 (en) 2002-01-15 2010-02-16 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7243148B2 (en) 2002-01-15 2007-07-10 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7257630B2 (en) 2002-01-15 2007-08-14 Mcafee, Inc. System and method for network vulnerability detection and reporting
US7152105B2 (en) 2002-01-15 2006-12-19 Mcafee, Inc. System and method for network vulnerability detection and reporting
JP4152108B2 (ja) 2002-01-18 2008-09-17 株式会社コムスクエア 脆弱点監視方法及びシステム
US7076803B2 (en) 2002-01-28 2006-07-11 International Business Machines Corporation Integrated intrusion detection services
US7174566B2 (en) 2002-02-01 2007-02-06 Intel Corporation Integrated network intrusion detection
US7769997B2 (en) 2002-02-25 2010-08-03 Network Resonance, Inc. System, method and computer program product for guaranteeing electronic transactions
US7424744B1 (en) * 2002-03-05 2008-09-09 Mcafee, Inc. Signature based network intrusion detection system and method
US20030229726A1 (en) 2002-03-18 2003-12-11 Daseke Michael J. Default device configuration system and method for thin devices
AU2003220582A1 (en) 2002-03-29 2003-10-13 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
JP4047053B2 (ja) 2002-04-16 2008-02-13 富士通株式会社 繰り返しを含む順序パターンを用いた検索装置および方法
US20030212779A1 (en) 2002-04-30 2003-11-13 Boyter Brian A. System and Method for Network Security Scanning
US7383577B2 (en) 2002-05-20 2008-06-03 Airdefense, Inc. Method and system for encrypted network management and intrusion detection
IL165288A0 (en) 2002-05-22 2005-12-18 Lucid Security Corp Adaptive intrusion detection system
US7580370B2 (en) 2002-06-21 2009-08-25 International Business Machines Corporation Method and structure for autoconfiguration of network destinations
US6983323B2 (en) 2002-08-12 2006-01-03 Tippingpoint Technologies, Inc. Multi-level packet screening with dynamically selected filtering criteria
US7069438B2 (en) 2002-08-19 2006-06-27 Sowl Associates, Inc. Establishing authenticated network connections
US20040064726A1 (en) 2002-09-30 2004-04-01 Mario Girouard Vulnerability management and tracking system (VMTS)
EP1548998A4 (en) 2002-10-03 2008-02-27 In4S Inc BITKETTENPR FISHING PROCEDURE AND EQUIPMENT
US20040093582A1 (en) 2002-11-01 2004-05-13 Segura Tim E. Method for allowing a computer to be used as an information kiosk while locked
US7949737B2 (en) * 2002-11-04 2011-05-24 Riverbed Technology, Inc. Method and apparatus for grouping nodes based on connection characteristics
US7363656B2 (en) 2002-11-04 2008-04-22 Mazu Networks, Inc. Event detection/anomaly correlation heuristics
US7454499B2 (en) 2002-11-07 2008-11-18 Tippingpoint Technologies, Inc. Active network defense system and method
US20040093408A1 (en) 2002-11-08 2004-05-13 Hirani Harikrishin W. IT asset tracking system
KR100456635B1 (ko) 2002-11-14 2004-11-10 한국전자통신연구원 분산 서비스 거부 공격 대응 시스템 및 방법
US7350077B2 (en) 2002-11-26 2008-03-25 Cisco Technology, Inc. 802.11 using a compressed reassociation exchange to facilitate fast handoff
US7475142B2 (en) 2002-12-06 2009-01-06 Cisco Technology, Inc. CIFS for scalable NAS architecture
US7120635B2 (en) * 2002-12-16 2006-10-10 International Business Machines Corporation Event-based database access execution
US7353533B2 (en) 2002-12-18 2008-04-01 Novell, Inc. Administration of protection of data accessible by a mobile device
US7365872B2 (en) 2003-01-03 2008-04-29 Microsoft Corporation Client computer system, method and computer readable medium comprising executable instructions for rendering printable documents in a native printer language on the network
US20040193943A1 (en) 2003-02-13 2004-09-30 Robert Angelino Multiparameter network fault detection system using probabilistic and aggregation analysis
US7624422B2 (en) 2003-02-14 2009-11-24 Preventsys, Inc. System and method for security information normalization
CN100470480C (zh) 2003-02-28 2009-03-18 洛克希德马丁公司 分析程序加速器装置以及更新其的方法
US7706378B2 (en) 2003-03-13 2010-04-27 Sri International Method and apparatus for processing network packets
US7185015B2 (en) 2003-03-14 2007-02-27 Websense, Inc. System and method of monitoring and controlling application files
US8127359B2 (en) 2003-04-11 2012-02-28 Samir Gurunath Kelekar Systems and methods for real-time network-based vulnerability assessment
US7305708B2 (en) 2003-04-14 2007-12-04 Sourcefire, Inc. Methods and systems for intrusion detection
US7644275B2 (en) 2003-04-15 2010-01-05 Microsoft Corporation Pass-thru for client authentication
US20040221176A1 (en) 2003-04-29 2004-11-04 Cole Eric B. Methodology, system and computer readable medium for rating computer system vulnerabilities
US7349400B2 (en) 2003-04-29 2008-03-25 Narus, Inc. Method and system for transport protocol reconstruction and timer synchronization for non-intrusive capturing and analysis of packets on a high-speed distributed network
WO2004100011A1 (en) 2003-04-29 2004-11-18 Threatguard, Inc. System and method for network security scanning
US7885190B1 (en) 2003-05-12 2011-02-08 Sourcefire, Inc. Systems and methods for determining characteristics of a network based on flow analysis
US7317693B1 (en) 2003-05-12 2008-01-08 Sourcefire, Inc. Systems and methods for determining the network topology of a network
US7089383B2 (en) 2003-06-06 2006-08-08 Hewlett-Packard Development Company, L.P. State machine and system for data redundancy
US7636917B2 (en) 2003-06-30 2009-12-22 Microsoft Corporation Network load balancing with host status information
US7596807B2 (en) 2003-07-03 2009-09-29 Arbor Networks, Inc. Method and system for reducing scope of self-propagating attack code in network
US7346922B2 (en) 2003-07-25 2008-03-18 Netclarity, Inc. Proactive network security system to protect against hackers
US7133916B2 (en) 2003-07-28 2006-11-07 Etelemetry, Inc. Asset tracker for identifying user of current internet protocol addresses within an organization's communications network
US20050114700A1 (en) 2003-08-13 2005-05-26 Sensory Networks, Inc. Integrated circuit apparatus and method for high throughput signature based network applications
US7467202B2 (en) * 2003-09-10 2008-12-16 Fidelis Security Systems High-performance network content analysis platform
US8364833B2 (en) * 2003-09-11 2013-01-29 Bae Systems Plc Real-time network monitoring and security
US8417673B2 (en) 2003-10-07 2013-04-09 International Business Machines Corporation Method, system, and program for retaining versions of files
US7805762B2 (en) 2003-10-15 2010-09-28 Cisco Technology, Inc. Method and system for reducing the false alarm rate of network intrusion detection systems
US7725936B2 (en) 2003-10-31 2010-05-25 International Business Machines Corporation Host-based network intrusion detection systems
US7581249B2 (en) * 2003-11-14 2009-08-25 Enterasys Networks, Inc. Distributed intrusion response system
US7899828B2 (en) * 2003-12-10 2011-03-01 Mcafee, Inc. Tag data structure for maintaining relational data over captured objects
EP1549012A1 (en) 2003-12-24 2005-06-29 DataCenterTechnologies N.V. Method and system for identifying the content of files in a network
GB2410647A (en) 2004-01-31 2005-08-03 Hewlett Packard Development Co Identifying and Patching Vulnerabilities in a Network
US20050188079A1 (en) 2004-02-24 2005-08-25 Covelight Systems, Inc. Methods, systems and computer program products for monitoring usage of a server application
US8166554B2 (en) * 2004-02-26 2012-04-24 Vmware, Inc. Secure enterprise network
US7313695B2 (en) 2004-03-23 2007-12-25 Sourcefire, Inc. Systems and methods for dynamic threat assessment
US7519954B1 (en) 2004-04-08 2009-04-14 Mcafee, Inc. System and method of operating system identification
US7761918B2 (en) 2004-04-13 2010-07-20 Tenable Network Security, Inc. System and method for scanning a network
US7366728B2 (en) 2004-04-27 2008-04-29 International Business Machines Corporation System for compressing a search tree structure used in rule classification
US7904960B2 (en) 2004-04-27 2011-03-08 Cisco Technology, Inc. Source/destination operating system type-based IDS virtualization
EP1754127A2 (en) 2004-05-19 2007-02-21 Computer Associates Think, Inc. Systems and methods for minimizing security logs
US20050268331A1 (en) 2004-05-25 2005-12-01 Franck Le Extension to the firewall configuration protocols and features
US8074277B2 (en) 2004-06-07 2011-12-06 Check Point Software Technologies, Inc. System and methodology for intrusion detection and prevention
US7539681B2 (en) 2004-07-26 2009-05-26 Sourcefire, Inc. Methods and systems for multi-pattern searching
US7496962B2 (en) 2004-07-29 2009-02-24 Sourcefire, Inc. Intrusion detection strategies for hypertext transport protocol
US7925729B2 (en) 2004-12-07 2011-04-12 Cisco Technology, Inc. Network management
US8631493B2 (en) * 2004-08-12 2014-01-14 Verizon Patent And Licensing Inc. Geographical intrusion mapping system using telecommunication billing and inventory systems
US7493388B2 (en) 2004-08-20 2009-02-17 Bdna Corporation Method and/or system for identifying information appliances
US7480245B2 (en) 2004-12-11 2009-01-20 International Business Machines Corporation Segmenting data packets for over-network transmission at adjustable fragment boundary
US10015140B2 (en) 2005-02-03 2018-07-03 International Business Machines Corporation Identifying additional firewall rules that may be needed
US7840353B2 (en) 2005-05-17 2010-11-23 The Boards of Trustees of the University of Illinois Method and system for managing a network of sensors
US7454790B2 (en) 2005-05-23 2008-11-18 Ut-Battelle, Llc Method for detecting sophisticated cyber attacks
US7523146B2 (en) 2005-06-21 2009-04-21 Apple Inc. Apparatus and method for peer-to-peer N-way synchronization in a decentralized environment
US20060294588A1 (en) 2005-06-24 2006-12-28 International Business Machines Corporation System, method and program for identifying and preventing malicious intrusions
EP1905216A4 (en) * 2005-07-14 2009-12-23 Ericsson Telefon Ab L M METHOD AND KNOT TO FIND A NETWORK USER
US20070027913A1 (en) 2005-07-26 2007-02-01 Invensys Systems, Inc. System and method for retrieving information from a supervisory control manufacturing/production database
US8077718B2 (en) 2005-08-12 2011-12-13 Microsoft Corporation Distributed network management
US7730011B1 (en) 2005-10-19 2010-06-01 Mcafee, Inc. Attributes of captured objects in a capture system
US8046833B2 (en) 2005-11-14 2011-10-25 Sourcefire, Inc. Intrusion event correlation with network discovery information
US7733803B2 (en) 2005-11-14 2010-06-08 Sourcefire, Inc. Systems and methods for modifying network map attributes
US7805482B2 (en) * 2005-12-30 2010-09-28 Senactive It-Dienstleistungs Gmbh Method of correlating events in data packet streams
US7849185B1 (en) * 2006-01-10 2010-12-07 Raytheon Company System and method for attacker attribution in a network security system
US7873025B2 (en) 2006-02-23 2011-01-18 Cisco Technology, Inc. Network device that determines application-level network latency by monitoring option values in a transport layer message
GB2432933B (en) 2006-03-14 2008-07-09 Streamshield Networks Ltd A method and apparatus for providing network security
US8010689B2 (en) * 2006-05-22 2011-08-30 Mcafee, Inc. Locational tagging in a capture system
US7958227B2 (en) 2006-05-22 2011-06-07 Mcafee, Inc. Attributes of captured objects in a capture system
US7948988B2 (en) 2006-07-27 2011-05-24 Sourcefire, Inc. Device, system and method for analysis of fragments in a fragment train
US8676963B1 (en) 2006-07-31 2014-03-18 Insecure.Com LLC Determining an attribute of a target computer
US7701945B2 (en) 2006-08-10 2010-04-20 Sourcefire, Inc. Device, system and method for analysis of segments in a transmission control protocol (TCP) session
US7831522B1 (en) * 2006-09-28 2010-11-09 Symantec Corporation Evaluating relying parties
CA2672908A1 (en) 2006-10-06 2008-04-17 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
US20080115213A1 (en) 2006-11-14 2008-05-15 Fmr Corp. Detecting Fraudulent Activity on a Network Using Stored Information
US7930747B2 (en) 2007-01-08 2011-04-19 Trend Micro Incorporated Host intrusion prevention server
US8069352B2 (en) 2007-02-28 2011-11-29 Sourcefire, Inc. Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session
JP4885780B2 (ja) * 2007-03-29 2012-02-29 三菱スペース・ソフトウエア株式会社 異経路警告装置、異経路警告プログラム及び異経路警告方法
US8996681B2 (en) 2007-04-23 2015-03-31 The Mitre Corporation Passively attributing anonymous network events to their associated users
EP2156290B1 (en) 2007-04-30 2020-03-25 Cisco Technology, Inc. Real-time awareness for a computer network
US9009829B2 (en) * 2007-06-12 2015-04-14 The Trustees Of Columbia University In The City Of New York Methods, systems, and media for baiting inside attackers
US7936794B2 (en) 2007-08-07 2011-05-03 Avaya Inc. Clock management between two end points
KR100925176B1 (ko) * 2007-09-21 2009-11-05 한국전자통신연구원 지리 정보를 이용한 네트워크 상태 표시장치 및 방법
US8041773B2 (en) 2007-09-24 2011-10-18 The Research Foundation Of State University Of New York Automatic clustering for self-organizing grids
US8631227B2 (en) 2007-10-15 2014-01-14 Cisco Technology, Inc. Processing encrypted electronic documents
US8280905B2 (en) 2007-12-21 2012-10-02 Georgetown University Automated forensic document signatures
US9451036B2 (en) 2008-01-15 2016-09-20 Alcatel Lucent Method and apparatus for fingerprinting systems and operating systems in a network
US7904942B2 (en) 2008-02-22 2011-03-08 Inventec Corporation Method of updating intrusion detection rules through link data packet
US8150039B2 (en) 2008-04-15 2012-04-03 Apple Inc. Single security model in booting a computing device
US8474043B2 (en) 2008-04-17 2013-06-25 Sourcefire, Inc. Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing
US8352870B2 (en) 2008-04-28 2013-01-08 Microsoft Corporation Conflict resolution
US8336099B2 (en) 2008-05-08 2012-12-18 International Business Machines Corporation Methods, hardware products, and computer program products for implementing introspection data comparison utilizing hypervisor guest introspection data
US8004998B2 (en) * 2008-05-23 2011-08-23 Solera Networks, Inc. Capture and regeneration of a network data using a virtual software switch
US20100114340A1 (en) 2008-06-02 2010-05-06 Charles Huizenga Automatic provisioning of wireless control systems
JP5011234B2 (ja) 2008-08-25 2012-08-29 株式会社日立情報システムズ 攻撃ノード群判定装置およびその方法、ならびに情報処理装置および攻撃対処方法、およびプログラム
EP2166725A1 (en) 2008-08-28 2010-03-24 Alcatel, Lucent Control of delivery of digital content, and an apparatus therefor
US8272055B2 (en) 2008-10-08 2012-09-18 Sourcefire, Inc. Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system
US8180892B2 (en) 2008-12-22 2012-05-15 Kindsight Inc. Apparatus and method for multi-user NAT session identification and tracking
US8838819B2 (en) * 2009-04-17 2014-09-16 Empirix Inc. Method for embedding meta-commands in normal network packets
CA2789824C (en) 2010-04-16 2018-11-06 Sourcefire, Inc. System and method for near-real time network attack detection, and system and method for unified detection via detection routing
US8433790B2 (en) 2010-06-11 2013-04-30 Sourcefire, Inc. System and method for assigning network blocks to sensors
US8671182B2 (en) 2010-06-22 2014-03-11 Sourcefire, Inc. System and method for resolving operating system or service identity conflicts
US20120222132A1 (en) * 2011-02-25 2012-08-30 Microsoft Corporation Permissions Based on Behavioral Patterns
US8601034B2 (en) 2011-03-11 2013-12-03 Sourcefire, Inc. System and method for real time data awareness

Also Published As

Publication number Publication date
US20150341378A1 (en) 2015-11-26
CA2826680A1 (en) 2012-09-20
US20140007233A1 (en) 2014-01-02
WO2012125221A1 (en) 2012-09-20
US20120233222A1 (en) 2012-09-13
EP2684329A1 (en) 2014-01-15
US8601034B2 (en) 2013-12-03
JP2014510484A (ja) 2014-04-24
EP2684329B1 (en) 2018-10-17
US9135432B2 (en) 2015-09-15
US9584535B2 (en) 2017-02-28

Similar Documents

Publication Publication Date Title
JP5917573B2 (ja) リアル・タイム・データ・アウェアネスおよびファイル追跡のシステムおよび方法
US10003610B2 (en) System for tracking data security threats and method for same
Fifield et al. Blocking-resistant communication through domain fronting
CN114145004B (zh) 用于使用dns消息以选择性地收集计算机取证数据的***及方法
EP3048772B1 (en) Representing identity data relationships using graphs
US20060282890A1 (en) Method and system for detecting blocking and removing spyware
JP5980968B2 (ja) 情報処理装置、情報処理方法及びプログラム
Hong et al. Ctracer: uncover C&C in advanced persistent threats based on scalable framework for enterprise log data
JP2004520654A (ja) クラッカー追跡システムとその方法、およびこれを利用した認証システムとその方法
Yen Detecting stealthy malware using behavioral features in network traffic
Dutta et al. Introduction to digital forensics
US11770388B1 (en) Network infrastructure detection
Mohammed et al. Visualization of DNS tunneling attacks using parallel coordinates technique
Khan A Study in Protocol Obfuscation Techniques and their Effectiveness
Hsiao et al. Detecting stepping‐stone intrusion using association rule mining
CN116055083B (zh) 一种提升网络安全性方法及相关设备
US11516226B2 (en) Contextual analyses of network traffic
Kobiela et al. Analysis of Data Obtained from the Mobile Botnet
Pope et al. Cyber Fire Entry Point Course
Abdullah et al. Discovering P2P Botnets Behaviors in Skype Application using Machine Learning Approach.
Smits Model Based Concept Mining Applied to Information Security Data
Silva et al. Virtual Forensics: Social Network Security Solutions
du Bruyn TOWARD AN AUTOMATED BOTNET ANALYSIS FRAMEWORK: A DARKCOMET CASE-STUDY
Xiong et al. Storytelling Security: User-Intention Based Traffic Sanitization

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141225

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20150515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150722

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150930

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20151006

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20160315

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160406

R150 Certificate of patent or registration of utility model

Ref document number: 5917573

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250