DE69929268T2 - Verfahren und System zur Überwachung und Steuerung der Netzzugriffe - Google Patents
Verfahren und System zur Überwachung und Steuerung der Netzzugriffe Download PDFInfo
- Publication number
- DE69929268T2 DE69929268T2 DE69929268T DE69929268T DE69929268T2 DE 69929268 T2 DE69929268 T2 DE 69929268T2 DE 69929268 T DE69929268 T DE 69929268T DE 69929268 T DE69929268 T DE 69929268T DE 69929268 T2 DE69929268 T2 DE 69929268T2
- Authority
- DE
- Germany
- Prior art keywords
- network
- node
- access
- rules
- data packets
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Lifetime
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000012544 monitoring process Methods 0.000 title claims abstract description 15
- 230000005540 biological transmission Effects 0.000 claims abstract description 47
- 238000004891 communication Methods 0.000 claims description 31
- 238000012546 transfer Methods 0.000 claims description 9
- 238000001514 detection method Methods 0.000 claims description 3
- 230000036962 time dependent Effects 0.000 claims 1
- 230000009471 action Effects 0.000 abstract description 4
- 238000010200 validation analysis Methods 0.000 abstract description 2
- 230000008520 organization Effects 0.000 description 17
- 238000013459 approach Methods 0.000 description 9
- 238000001914 filtration Methods 0.000 description 5
- 230000008901 benefit Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 239000012634 fragment Substances 0.000 description 4
- 230000001276 controlling effect Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000032258 transport Effects 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000000875 corresponding effect Effects 0.000 description 2
- 230000009545 invasion Effects 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012545 processing Methods 0.000 description 2
- 238000001228 spectrum Methods 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 230000002776 aggregation Effects 0.000 description 1
- 238000004220 aggregation Methods 0.000 description 1
- 230000008859 change Effects 0.000 description 1
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000002131 composite material Substances 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000009977 dual effect Effects 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000002474 experimental method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000006855 networking Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 238000012163 sequencing technique Methods 0.000 description 1
- 230000008961 swelling Effects 0.000 description 1
- 238000010998 test method Methods 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/101—Access control lists [ACL]
Description
- TECHNISCHES GEBIET
- Die vorliegende Erfindung betrifft im Allgemeinen ein Verfahren und ein System zum Verwalten der Zugriffssteuerung zu Ressourcen eines verteilten Netzwerkes und betrifft insbesondere die Überwachung und Steuerung des Zugriffs von Computerbenutzern auf Netzwerkressourcen sowohl aus dem Netzwerk heraus als auch von außerhalb des Netzwerkes.
- STAND DER TECHNIK
- Es gibt eine Reihe von verfügbaren Topologien für Knoten-Computernetzwerke. Ein Computernetzwerk kann stark zentralisiert sein, mit einem Großrechner, auf den über eine Reihe von Benutzercomputern zugegriffen wird, beispielsweise über Desktop-Computer. Gegenwärtig besteht ein Trend, der von der Zentralisierung weg und hin zur verteilten Verarbeitung und zu Client-Server-Beziehungen hin verläuft. In einem verteilten Netzwerk sind die Intelligenzkraft und die Verarbeitungskraft auf eine Vielzahl von Netzwerkknoten verteilt, typischerweise mit Client-Workstations, die mit verteilten Servern kommunizieren. Andere Beziehungen unter Knoten eines Netzwerkes sind bekannt.
- Ein Knotennetzwerk kann mit einem einzelnen Unternehmen in Verbindung stehen, beispielsweise mit einem Local Area Network (LAN) eines bestimmten Unternehmens. Ein solches Netzwerk ermöglicht Kommunikationen und Datenaustausche unter den verschiedenen Netzwerkknoten. Es kann ein einziges Protokoll für den Zugriff auf Ressourcen inner halb des LAN verwendet werden. Wenn somit ein erster Knoten, beispielsweise eine Client-Workstation, auf die Rechnerressourcen eines zweiten Knotens, beispielsweise eines Servers für das Speichern verschiedener Anwendungen, zugreift, werden Daten ausgetauscht, ohne dass dafür ein Wechsel des Protokolls notwendig wird.
- Das größte und vorherrschende Netzwerk ist jedoch das nicht propietäre globale Kommunikationsnetzwerk, das als Internet bezeichnet wird. Eine Reihe von unterschiedlichen Netzwerkprotokollen werden innerhalb des Internets verwendet. Protokolle, die in die Gruppe von Transmission Control Protocol/Internet Protocol (TCP/IP) fallen, schließen das HyperText Transfer Protocol (HTTP), welches den Kommunikationen im World Wide Web zugrunde liegt, TELNET, das einen Zugriff auf einen Remote-Computer ermöglicht, das File Transfer Protocol (FTP) und das Simple Mail Transfer Protocol (SMTP), um ein einheitliches Format für den Austausch von elektronischer Post bereitzustellen, sowie eine Reihe von standardisierten oder propietären Protokollen für Multimedia- und Übertragungsdienste ein.
- Eine Umsetzung dieser und anderer Internetprotokolle ausschließlich innerhalb einer Organisation wird oft als Intranet bezeichnet, während die Verwendung solcher Protokolle über eine beschränkte Anzahl von Internetsites, die für eine bestimmte Organisation relevant ist, als das Extranet dieser Organisation bezeichnet wird.
- Große Aufmerksamkeit wurde der Errichtung von Computernetzwerk-Gateways gewidmet, welche sich darauf konzentrieren, zu gewährleisten, dass potentielle Eindringlinge (manchmal als "Hacker" bezeichnet) keinen illegalen Zugriff über das Internet auf die Rechnerressourcen einer Organisation in deren Intranet erhalten. Diese Gateways sind "Drosselpunkte" (Choke Points), durch welche zu steuernder Netzwerkverkehr fließen muss. Solche "Firewalls" sind so konfiguriert, dass sie jeglichen nach außen gehenden Verkehr und alle nach außen verlaufenden Verbindungen ermöglichen, aber nach innen verlaufenden Verkehr auf bestimmte Dienste beschränken, von denen angenommen wird, dass sie keine Bedrohung für die Organisation darstellen. Firewalls können auch ein begrenztes Ausmaß an "Paketfilterung" durchführen, mit der versucht wird, den Verkehr durch Bezug auf nicht-kontextuelle, Netzwerkpakete niedriger Ebene zu steuern. Eine Publikation von S. Lodin und C. Schuba mit dem Titel "Firewalls fend off invasions from the Net" (IEEE Spectrum, IEEE Inc., New York, New York, Volume 35, No. 2, 1. Februar 1998, Seiten 26-34) beschreibt verschiedene Techniken für die Paketfilterung bei einer Firewall. Die Regeln können bei Paketen jeweils einzeln zur Anwendung kommen und zwar ohne Rücksicht auf die Zustandsinformationen (d. h. Daten in Bezug auf das, was zuvor im System geschehen ist), so dass jedes Datenpaket getrennt von anderen Paketen betrachtet wird, die Teil derselben Verbindung sind. Alternativ dazu kann die Firewall eine "zustandsbezogene" Paketfilterung durchführen, welche Zustandsinformationen für Pakete speichert, die zu derselben Verbindung gehören, so dass Entscheidungen innerhalb des Kontextes einer bestimmten Nachricht getroffen werden können.
- Zusätzlich zur Einschränkung von ankommenden Paketen können Einschränkungen auf nach außen gehende Anfragen von dem Netzwerk auferlegt werden. Die europäische Patentanmeldung Nr.
EP 0 748 095 A beschreibt ein System und ein Verfahren zum selektiven Steuern des Zugriffs auf öffentliche/unkontrollierte Datenbanken, z. B. auf im Internet verfügbare Datenbanken. Eine relationale Datenbank wird verwendet, um die Zugriffsrechte zu bestimmen. Innerhalb der relationalen Datenbank werden spezifische Ressourcenidentifikatoren (d. h. URLs) nach bestimmten Zugriffsgruppen klassifiziert. Die relationale Datenbank ist so aufgebaut, dass für jeden Netzwerkbenutzer eine Anfrage für eine bestimmte Ressource von dem Netzwerk nur dann weitergeleitet wird, wenn sich der Ressourcenidentifikator in einer Zugriffsgruppe befindet, für die der Benutzer für ihn spezifische Genehmigungen erhalten hat. - Ein Aspekt, dem weniger Aufmerksamkeit geschenkt wird, ist die Gewährleistung, dass Mitarbeiter einer Organisation ordentlich verwaltet werden. Diese Verwaltung erstreckt sich auf das Zugreifen auf externe Computerressourcen und das Zugreifen auf interne Computerressourcen. Die Verwaltung kann gemäß den Zugriffssteuerungsgrundsätzen der Organisation erfolgen. In vielerlei Hinsicht ist die Verwaltung die Umkehrung des Problems, das Firewalls zu lösen beabsichtigen. Während Firewalls sich darauf konzentrieren, Eindringlinge daran zu hindern, unerwünschte Zugriffe zu erhalten, konzentrieren sich Zugriffssteuerungssysteme darauf, zu gewährleisten, dass Mitarbeiter der Organisation gemäß den Zugriffssteuerungsgrundsätzen der Organisation verwaltet werden.
- Es gibt eine Reihe von Gründen für die Umsetzung von Zugriffssteuerungsgrundsätzen innerhalb einer Organisation. In Bezug auf die Steuerung externer Kommunikationen bestehen zwei wichtige Gründe darin, dass die Mitarbeiterproduktivität maximiert wird, indem sichergestellt wird, dass der Internet-Zugriff vorrangig für Geschäftszwecke verwendet wird, und darin, dass die Internetverbindungsfähigkeit (d. h. die Bandbreite) der Organisation, insbesondere während den Hauptnutzungszeiten, maximiert wird. Zum Beispiel kann die Verwendung von Streaming-Audio- und Videodiensten während Hauptnutzungszeiten eines Tages im Hinblick auf den Netzwerkverkehr einer Organisation die Produktivität von anderen Benut zern innerhalb der Organisation, die versuchen, Aufgaben wie beispielsweise E-Mail-Dateienübertragungen, Terminalemulierungen und Netzwerkdatenbankabfragen, durchzuführen, ernsthaft verringern.
- Unter Verwendung herkömmlicher Ansätze legen Organisationen strenge Regeln und manchmal übertriebene Verwaltungsregeln fest, um dafür zu sorgen, dass die wichtigsten geschäftlichen Nutzungen des Internets nicht durch eine lockere oder unangebrachte Nutzung negativ beeinflusst werden. Die herkömmlichen Ansätze sind typischerweise aus administrativer Sicht schwierig einzurichten und aufrechtzuerhalten, wobei sie außerdem schwer von kleinen Organisationen auf große Unternehmen umzustellen sind. Somit werden bestimmte Produktivitätsgewinne durch die Verwaltungsgemeinkosten wieder aufgezehrt.
- Ein herkömmlicher Ansatz für die Bereitstellung einer Zugriffssteuerung im Hinblick auf Ressourcenanfragen, die innerhalb eines Netzwerkes erzeugt werden, besteht darin, die Firewall-Technologie auszubauen und sich auf die bekannten Paketfilterungstechniken zu konzentrieren. Dies erfordert typischerweise den Einbau eines Computersystems als Router mit mindestens zwei Netzwerkschnittstellenkarten und wobei keine Datenpakete von einer Schnittstellenkarte zur anderen ohne vorherige Filterung weitergeleitet werden dürfen. Das heißt, die Firewall-Technologie wurde "umgedreht", um einen bestimmten Grad an Schutz bereitzustellen. Anstatt jene, die versuchen, von außen auf Ressourcen des Netzwerkes zuzugreifen, zu steuern, werden die Techniken dazu verwendet, jene, die von innen heraus versuchen, auf externe Ressourcen zuzugreifen, zu steuern. Dieser Ansatz mag in einigen Anwendungen gut funktionieren, ist aber für andere Anwendungen zu vereinfacht und inflexibel.
- Die US-Patentschrift Nr. 5,727,146 von Savoldi et al., beschreibt ein Verfahren zur Sicherung des Netzwerkzugriffs auf ein Netzwerk. Alle Datenpakete, die über das Netzwerk übertragen werden, werden im Hinblick auf genehmigte Quelladressen überprüft, anstatt nur die anfänglichen Netzwerkverbindungspakete zu prüfen. Somit wird der Netzwerk-Zugriff auf einen Port dadurch sichergemacht, dass die Quelladresse jedes Paketes, das gesendet wird, überwacht wird, wenn ein Gerät versucht, auf den Port des Netzwerkes zuzugreifen. Wenn die Quelladresse einer genehmigten Quelladresse entspricht, die dem Port zugewiesen ist, an den das Gerät angeschlossen ist, wird dem Gerät erlaubt, auf das System zuzugreifen. Wenn jedoch das Gerät versucht, mit einer Quelladresse Zugriff zu erhalten, welche sich von der genehmigten Quelladresse unterscheidet, werden alle von dem Gerät gesendeten Pakete als fehlerhafte Pakete bezeichnet, um zu verhindern, dass sie von einem anderen Gerät im Netzwerk akzeptiert werden. Durch Überwachung aller Pakete erfasst das Systeme Fälle, in denen ein Gerät versucht, sich zu "tarnen", indem es zuerst mit einer genehmigten Quelladresse Zugriff zu erhalten versucht und dann ein Paket mit einer nicht genehmigten Quelladresse versendet.
- Die US-Patentschrift Nr. 5,124,984 von Engel beschreibt eine Zugriffssteuerung für Peer-to-Peer-Kommunikationen innerhalb eines Local Area Network (LAN). Die Zugriffssteuerung überwacht Datenpakete, die zwischen Stationen übermittelt werden. Wenn bestimmt wird, dass ein Zugriff gesteuert werden muss, werden entweder die Datenpakete zerstört, oder der Kommunikationspfad zwischen zwei Stationen wird beendet oder geändert. Die Zugriffssteuerung ist weder Teil des physischen Kommunikationspfades noch Teil der Kommunikationsgrundeinrichtungen.
- Ein weiterer Ansatz in Bezug auf die Umsetzung einer Netzwerk-Zugriffssteuerung besteht darin, Softwaremodule von Dritten zu von im Handel erhältlichen Proxy-Serverprodukten hinzuzufügen. Zum Beispiel können Softwaremodule, die dazu bestimmt sind, eine Zugriffssteuerung zu erreichen, einem Internet-Proxy-Server hinzugefügt werden. Die Nachteile dieses Ansatzes bestehen u. a. darin, dass tatsächlich nur eine kleine Untergruppe von Internetprotokollen über einen Internet-Proxy-Server geroutet werden. Diese Protokolle sind typischerweise auf die auf einem Browser basierenden FTP-, Gopher- und WWW-Protokolle beschränkt. Diese Untergruppe von Protokollen schließt nicht jene Protokolle ein, die bei der Übertragung von Paketen für E-Mail, Telnet, andere Datei-Übertragungen und Streaming-Audio- und Videodateien verwendet werden. Daher erlaubt die Verwendung von Internet-Proxy-Servern als Choke Points nur eine unvollständige Steuerung.
- Ein weiterer Ansatz in Bezug auf den Versuch, den Zugriff zu steuern, besteht darin, "Black lists" oder "Control lists" in Proxy-Servern oder in einzelnen Client-Workstations zu erstellen. Dies ist ein etwas vereinfachter Ansatz, um den Anforderungen von Organisationen gerecht zu werden, und ist vom administrativen Standpunkt aus betrachtet für Unternehmen oft sehr aufwändig, da die Listen regelmäßig aktualisiert werden müssen.
- Der Artikel "Firewalls fend off invasions from the Net", von S. Lodin und C. Schuba, IEEE Spectrum, 2/1998, Seite 26 ff, offenbart zwei Ausführungsformen von Firewalls für ein Computernetzwerk. In einer ersten Ausführungsform wird jedes Paket auf Zugriffsverweigerung oder Zugriffsgenehmigung hin überprüft. In einer zweiten Ausführungsform werden Zustandsinformationen von Paketen, die zur selben Verbindung gehören, gespeichert, und die Entschei dung (über einen Zugriff) erfolgt auf der Grundlage dieser Zustandsinformationen. In letzterer Ausführungsform erfolgt die Zugriffsbestimmung auf der Basis von Zustandsinformationen. Die Zugriffssteuerung erfolgt bei jedem Paket oder der Zustandsinformation, indem der Paketfluss innerhalb des Netzwerkverkehrs unterbrochen wird.
- Die US-Patentschrift 5,124,984 lehrt, eine höhere Schicht einem logischen Test in spezifischer Weise zu unterziehen. Das Testverfahren schließt das Testen von Datenpaketen und Fragmenten von einzelnen, nicht zusammengefügten Datenpaketen einer bestimmten Schicht ein, d. h. Datenschicht, Netzwerkchicht usw., und zwar durch eine Regelbasis, die auf dem Protokoll für diese Schicht beruht.
- Benötigt wird daher ein Verfahren und ein System zur Bereitstellung einer Steuerung des Zugriffs auf Ressourcen eines Netzwerkes, wobei die Netzwerkleistung nicht verringert wird.
- KURZFASSUNG DER ERFINDUNG
- Die Erfindung wird in den Ansprüchen 1 bzw. 11 definiert. Besondere Ausführungsformen werden in den abhängigen Ansprüchen dargestellt.
- Ein Verfahren und ein System gemäß der vorliegenden Erfindung werden konfiguriert, um eine Steuerung des Zugriffs auf Ressourcen eines Netzwerkes bereitzustellen, indem Datenpakete einer bestimmten Übertragung gesammelt und zusammengefügt werden, um die Identifikation von Informationen aus Rohdatenpaketen auf der niedrigsten Ebene bis zu Daten auf der Anwendungsebene auf der höchsten Ebene zu ermöglichen. Im Hinblick auf das standardisierte Modell, das als International Standards Organiza tion (ISO) Modell bezeichnet wird, werden die Datenpakete zusammengefügt, um nicht nur die Informationen der unteren Schicht aus dem jeweiligen Kopf (Header) der Pakete zu bestimmen, sondern auch die kontextuellen Informationen aus der obersten Anwendungsschicht (d. h. Schicht 7). Zugriffsregeln werden im Anschluss daran angewendet, um zu bestimmen, ob die jeweilige Übertragung eine eingeschränkte Übertragung ist.
- In der bevorzugten Ausführungsform erfolgen die Schritte des Empfangens und Zusammenfügens der Datenpakete in unterbrechungsfreier Weise in Bezug auf Auswirkungen auf den Verkehrsfluss durch das Netzwerk. Das heißt, die Datenpakete werden abgefangen, ohne dass es dadurch zu Auswirkungen auf die Netzwerkleistung kommt, es sei denn, es wird eine eingeschränkte Übertragung erfasst. Das Empfangen und Zusammenfügen der Datenpakete kann an einer Workstation oder an einem Server erfolgen, der für die Bereitstellung der Zugriffssteuerung bestimmt ist. Zum Beispiel kann eine freistehende Workstation als Knoten mit dem Netzwerk verbunden sein und in einen Promiscuous Mode (Modus, in dem alle Datenpakete unabhängig von der Zieladresse empfangen werden) geschaltet werden, um alle Datenpakete zu empfangen, die zu oder von anderen Knoten des Netzwerkes übertragen werden. Dies ermöglicht es der Workstation, die Fragmente (d. h. Datenpakete) jedes Versuchs, von einer anderen Stelle des Netzwerkes aus entweder auf externe Ziele oder andere interne Ziele zuzugreifen, zu empfangen. Die Fragmente werden zusammengesetzt, um ISO-Schicht-7-Informationen sowie Informationen einer niedrigeren Schicht zu identifizieren. In einem E-Mail-Kontext können die Anwendungsschichtinformationen, die von Interesse sind, die Informationen einschließen, die innerhalb der Zeilen einer E-Mail-Nachricht enthalten sind, die wie folgt lauten: "An", "Von" und "Betreff". In einem Internet-Kontext können die Anwendungsschichtinformationen, die von Interesse sind, den Text der HTML-Seiten enthalten.
- Indem die hierfür vorgesehene Workstation und der hierfür vorgesehene Server außerhalb der direkten Pfade von Quellknoten zu Zielknoten gestellt werden, ist die Auswirkung auf den Netzwerkverkehr minimal. Das Verfahren und das System können jedoch auch durch Prüfung und Verwaltung bei einem Choke Point umgesetzt werden, wie einem propietären Proxy-Server, einer Firewall oder einem anderen Netzwerkknoten, der als Gateway zwischen dem Netzwerk und einem externen Netzwerk (z. B. dem Internet) agiert. Das Prüfen und die Verwaltung bei einem Choke Point können die Form eines Plug-in-Moduls für das Empfangen, Zusammenfügen und Prüfen von Datenpaketen in der oben beschriebenen Weise annehmen. Die Prüfung von Zugriffsversuchen an dem Choke Point bietet jedoch nicht den Grad an Zugriffssteuerung, der durch das Überwachen des gesamten Verkehrs innerhalb des Netzwerkes geboten wird und kann sich sehr wohl auf die Netzwerkleistung auswirken. Daher kann das System sowohl die Zugriffsüberwachung am Choke Point als auch eine unterbrechungsfreie Überwachung an einem anderen Punkt des Netzwerkes aufweisen.
- Bei dem Ansatz, bei dem der Zugriff unterbrechungsfrei geprüft wird, können die hierfür vorgesehene Workstation oder der hierfür vorgesehene Server als "Barebones" TCP/IP virtuelle Rechner konfiguriert werden, um die Bereitstellung von Informationen zu ermöglichen, die sich von den unteren Schichten des ISO-Modells zur Anwendungsschicht erstrecken. Es kann mehr als eine hierfür vorgesehene Workstation oder einen hierfür vorgesehenen Server geben, insbesondere wenn das Netzwerk in Segmente aufgeteilt ist. Die Zugriffsregeln werden vorzugsweise als Regelbasis gespeichert, die zentralisiert werden kann, wenn es mehr als einen Knoten gibt, der eine Zugriffsverwaltung bereitstellt. Alternativ dazu ist die Regelbasis an einer einzelnen Stelle konfiguriert, wird dann aber automatisch auf jeden Zugriffssteuerungspunkt im Netzwerk verteilt.
- Die Zugriffssteuerungsregeln können zu dem Zeitpunkt angewendet werden, zu dem eine Verbindung hergestellt wird, oder können von den Anwendungsprotokolldaten abhängen, die auf eine erfolgreiche Verbindung folgen. In der bevorzugten Ausführungsform werden die Regeln sowohl zum Zeitpunkt der Verbindungsherstellung als auch nach diesem Zeitpunkt, während Datenpakete zusammengefügt werden, angewendet. Wenn eine Knoten-zu-Knoten-Übertragung als Übertragung festgestellt wird, die durch die Regelbasis beschränkt wird, kann ein Verbindungsversuch abgelehnt werden, eine zuvor hergestellte Verbindung unterbrochen werden, es kann lediglich zu einem Protokollieren kommen oder es kann eine Kombination aus diesen Handlungen umgesetzt werden. Daten, die während der Verbindungsversuche oder während der Dauer einer Verbindung gesammelt werden, können an eine Software von Dritten weitergeleitet werden, um eine unabhängige Validierung durchzuführen. Dies ist jedoch nicht entscheidend.
- Die Regelbasis wird vorzugsweise in zwei Regelsätze aufgeteilt. Der erste Satz betrifft die Zugriffsverwaltungsanforderungen in Bezug auf ausgehende Verbindungsversuche, während der zweite Satz die internen Verbindungsversuche betrifft. Die Regeln innerhalb jedes Satzes können geschichtet werden, um zu ermöglichen, dass scheinbar inkonsistente Regeln in eine einzelne Regelbasis aufgenommen werden. Zum Beispiel können Regeln innerhalb eines bestimmten Satzes sequentiell angewendet werden, so dass auf eine spezifische Regelanwendung zugegriffen wird, bevor ein Zugriff auf eine allgemeine Regel erfolgt, welche der spezifischen Regel widerspricht. Die Regelbasis wird vorzugsweise mit Begriffen konfiguriert, die Benutzern vertraut sind, z. B. mit Benutzernamen, Gruppennamen, Workstation-Identifikatoren, Zieladressen und URLs, erforderlichen Diensten, Tageszeit, Wochentag und Datengröße.
- Ein Vorteil dieser Erfindung innerhalb einer Geschäftsumgebung liegt darin, dass das Verfahren und das System die Mitarbeiterproduktivität bewahren, indem sichergestellt wird, dass der Internet-Zugriff vorrangig für Geschäftszwecke verwendet wird. Ein weiterer Vorteil besteht darin, dass die Bandbreitenverfügbarkeit effizienter genutzt wird. Der Zugriff kann dynamisch, auf der Grundlage von Faktoren wie Tageszeit und Wochenzeit gesteuert werden. Ein weiterer Vorteil besteht darin, dass die innere Sicherheit erhöht wird, indem die Verwaltung des Zugriffs zu internen Computerressourcen sichergestellt wird.
- KURZE BESCHREIBUNG DER ZEICHNUNGEN
-
1 ist eine exemplarische Topologie eines Netzwerkes, das die Zugriffssteuerungsverwaltung gemäß der vorliegenden Erfindung verwendet. -
2 ist ein Blockdiagramm einer beispielhaften Netzwerktopologie, welche mehr als einen Knoten aufweist, der eine Zugriffssteuerung gemäß der Erfindung durchführt. -
3 ist ein schematisches Diagramm eines Ethernet-Datenpakets. -
4 ist eine schematische Ansicht des Siebenschicht-ISO-Modells und der Quellschichten, die von der Erfindung genutzt werden. -
5 ist eine Ansicht einer graphischen Benutzerschnittstelle (graphic user interface oder GUI) gemäß einer Ausführungsform von Regelkonfigurationen. -
6 ist ein Blockdiagramm einer Ausführungsform eines Zugangssteuerungsgeräts gemäß der Erfindung. -
7 ist ein Verfahrensfluss von Schritten für das Betreiben des Geräts von6 . - DETAILLIERTE BESCHREIBUNG
- Unter Bezugnahme auf
1 wird ein beispielhaftes Netzwerk dargestellt, das einen Router10 enthält, der den Zugriff zum globalen Kommunikationsnetzwerk, das als Internet14 bezeichnet wird, für eine Organisation bereitstellt, die vor unerwünschten Eindringlingen durch eine Firewall16 geschützt ist. Eine Reihe von herkömmlichen Benutzer-Workstations18 ,20 und22 sind als Knoten des Netzwerkes enthalten. Eine vierte Workstation24 kann mit den anderen Workstations identisch sein, ist aber dazu vorgesehen, die Zugriffssteuerungsverwaltung bereitzustellen. Somit ist die Workstation24 eine Zugriffssteuerungsverwaltungskonsole (access control management console oder ACMC). Eine der anderen Workstations kann jedoch dazu verwendet werden, die Zugriffsregeln in einer Weise umzusetzen, die mit dem unten beschriebenen unterbrechungsfreien Verwaltungssystem konsistent ist. Die Workstation24 kann ein herkömmlicher Desktop-Computer mit einem Plug-in-Zugriffsverwaltungsmodul26 sein, um den Verkehr innerhalb des Netzwerkes zu überwachen. - Ein weiterer Knoten innerhalb des Netzwerkes ist ein propietärer Proxy-Server
28 , der in herkömmlicher Weise verwendet wird, um ausgewählte Dienste, wie Internet-Dienste, zu ermöglichen. Ein Internet-Proxy-Server ist so gestaltet, dass er Leistungsverbesserungen ermöglicht, indem er Internet-Seiten, auf die häufig zugegriffen wird, im Cache speichert. Obwohl solche Server häufig ein bestimmtes Maß an Zugriffssteuerungspotential bereitstellen, indem sie sich den Umstand zunutze machen, dass alle HTTP-Umwandlungen durch diesen Dienst kanalisiert werden, ist die Zugriffssteuerungsfunktionalität kein Hauptanliegen, und nur eine Untergruppe der Protokolle, auf die man häufig im Internet stößt, werden durch herkömmliche Internet-Proxy-Server erkannt. Zum Beispiel kann der Proxy-Server28 die Proxy-Fähigkeit für das HTTP-Protokoll und vielleicht für die auf einem Browser basierenden FTP und Gopher-Protokolle bereitstellen. Die Proxy-Fähigkeit erstreckt sich aber wahrscheinlich nicht auf andere TCP/IP-Anwendungsprotokolle, wie Telnet, News, E-Mail und viele propietäre Multimediaprotokolle. - Die Netzwerktopologie von
1 wird als beispielhafte Konfiguration dargestellt und soll die Beschreibung der Erfindung nicht einschränken oder einengen. Das Verfahren und das System, die unten beschrieben werden, können auf vielen verschiedenen Netzwerkkonfigurationen zum Einsatz kommen. Ferner ist die Erfindung nicht auf ein spezifisches Betriebssystem festgelegt, wenngleich angenommen werden kann, dass alle Workstations18 -24 auf dem Windows-Betriebssystem von Microsoft und alle Server28 auf dem Windows-NT-Serverbetriebssystem von Microsoft laufen. Obwohl die Hauptverwendung des Verfahrens voraussichtlich darin bestehen wird, in Netzwerken verwendet zu werden, die TCP/IP-Protokolle verwenden, kann es ohne Probleme so angepasst werden, dass es mit jedem anderen Satz von Netzwerkprotokollen funktioniert, beispielsweise mit Novell IPX/SPX oder IBM NetBEUI. - Ferner wird angenommen, dass das Netzwerk, für das eine Zugriffsverwaltung bereitgestellt werden soll, eine Reihe von Benutzern, Benutzergruppen und Workstation-Adressen aufweist. Es wird angenommen, dass alle diese Punkte unter Verwendung bekannter Konfigurationsverfahren vorkonfiguriert wurden, die vom Anbieter des Netzwerkbetriebssystems bereitgestellt werden. Obwohl die Umsetzung der Erfindung auf Daten wie Benutzernamen und Gruppennamen aus einem Netzwerkbetriebssystem oder einer ähnlichen Quelle basieren kann, besteht keine Abhängigkeit von einem bestimmten Netzwerkbetriebssystem oder einem spezifischen Mechanismus für den Zugriff auf diese Daten. Die Verwendung von Benutzernamen und Gruppennamen, die mit anderen Systemoperationen konsistent sind, nutzt jegliche Ähnlichkeiten, die mit diesen Informationen bereits bestehen mögen. Darüber hinaus kann die Erfindung, in Ermangelung solcher Informationen, eine andere Benennungsnomenklatur verwenden, wie IP- oder Ethernet-Adressen.
- Unter Bezugnahme jetzt auf
2 wird nun ein erstes Zugriffssteuerungsmodul30 dargestellt, das auf der Workstation18 eingerichtet wurde, um der Workstation zu ermöglichen, als passive Zugriffssteuerungsstation (passive access control station oder PACS) zu fungieren. Eine zweite Instanz eines Zugriffssteuerungsmoduls32 ist auf dem Proxy-Server28 installiert, so dass dieser Knoten als Proxy-Zugriffssteuerungsstation (proxy access control station oder PRACS) fungiert. Darüber hinaus ist eine dritte Instanz eines Zugriffssteuerungsmoduls34 auf der Firewall16 installiert, um eine Gateway-Zugriffssteuerungsstation (gateway access control station oder GACS) zu bilden. Ein entscheidender Punkt in dem System und dem Verfahren besteht darin, dass die einzelnen Workstations20 und22 , auf die durch Benutzer zugegriffen wird, verwaltet werden können, ohne irgendwelche Soft warekomponenten spezifisch auf diesen Workstations zu installieren. Der Netzwerkverkehr wird überwacht und der Zugriff auf interne und externe Ressourcen gesteuert und verwaltet, entweder an Choke Points (die durch den Proxy-Server28 und die Firewall16 dargestellt sind) und/oder unterbrechungsfrei an Knoten, die keine Choke Points sind (dargestellt durch die Workstation18 ). Die Zugriffssteuerungsmodule30 ,32 und34 können installiert, deinstalliert und wieder installiert werden, und zwar auf jedem der Knoten des Netzwerkes und zu jeder Zeit, um sich so auf potentiell veränderte Netzwerktopologien oder geänderte Zugriffsverwaltungsgrundsätze einzustellen. - Der Standort und die Konfiguration der einzelnen Zugriffssteuerungsmodule
30 ,32 und34 werden durch eine Installiereinrichtung auf der Grundlage von pragmatischen Faktoren ausgewählt, um einen Grad an Zugriffssteuerung zu erreichen, der mit den Zugriffsverwaltungsgrundsätzen in Einklang steht. Wie zuvor erwähnt, ist das erste Zugriffssteuerungsmodul30 nicht erforderlich, da die Workstation24 dem doppelten Zweck dienen kann, einem Systemoperator zu erlauben, die Regelbasis für Zugriffsregeln zu konfigurieren und den Verkehr innerhalb des Netzwerkes unterbrechungsfrei zu überwachen. Das zweite Zugriffssteuerungsmodul32 wird wahlweise verwendet, um sicherzustellen, dass der Zugriff für alle Benutzer verwaltet wird, die auf das WWW zugreifen, indem Internetbrowser so konfiguriert werden, dass sie über den Proxy-Server28 laufen. Das dritte Zugriffssteuerungsmodul34 wird wahlweise bei der Firewall16 installiert, um zu prüfen, ob sowohl die Firewall als auch die anderen Zugriffssteuerungsmodule wirklich korrekt konfiguriert wurden und ihre erwünschten Aufgaben erfüllen. Firewalls sind manchmal schwierig zu konfigurieren, so dass Organisationen immer öfter Prüfungen in der zweiten Linie für ihre Netzwerke hinzufügen, um sicherzustellen, dass eine absolute Integrität aufrechterhalten wird. Die unterbrechungsfreie Überwachung an der hierfür vorgesehenen Workstation18 ist jedoch in der Lage, alle Zugänge von allen Knoten im Netzwerk zu überwachen und zu steuern, unabhängig vom TCP/IP-Protokoll. Dieser Mechanismus kann verwendet werden, um alle Netzwerkzugänge zu verwalten, die nicht über den Proxy-Server28 geroutet werden, wobei eine hohe Wahrscheinlichkeit besteht, dass ein unerwünschter Zugriff tatsächlich blockiert wird. Der Netzwerkverkehr wird unterbrechungsfrei überwacht. Dennoch können das System und das Verfahren aber auch verwendet werden, um etwaige Anfragen für Ressourcen vorausschauend zu blockieren. - Die unterbrechungsfreie Überwachung von Netzwerkverkehr an der Workstation
18 erfolgt durch Empfangen und Zusammenfügen von Datenpaketen von Knoten-zu-Knoten-Übertragungen. Moderne Netzwerke, einschließlich des Internets, sind Paketvermittlungsnetzwerke, bei denen eine Übertragung in Datenpakete aufgeteilt wird, die getrennt zu einem Zielknoten übertragen werden. Am Zielknoten werden die Pakete zusammengefügt, um das ursprüngliche zusammengesetzte Signal zu bilden.3 zeigt ein Ethernet-Datenpaket gemäß der RFC-Basis 894. Verkehr innerhalb des Netzwerkes von1 und2 kann in der Form von Übertragungen von Ethernetpaketen erfolgen. Jedes Ethernetpaket36 weist fünf Segmente auf. Ein erstes 6-Byte-Segment38 identifiziert die Zielknotenadresse, während ein zweites 6-Byte-Segment40 die Adresse des Quellknotens identifiziert. Das dritte Segment42 ist ein 2-Byte-Segment, das den Protokolltyp identifiziert. Ein Datenfeld44 weist eine variable Länge mit maximal 1500 Bytes auf. Das Datenfeld44 enthält die Benutzerinformationen. Schließlich ist das fünfte Segment46 ein Prüfsummenfeld, das für die Erfassung von Fehlern und für Korrekturzwecke verwendet wird. - Wie auf dem Fachgebiet weithin bekannt, werden andere Standards für die Paketvermittlung verwendet. Zum Beispiel weist jeder Header, der in einer TCP-Übertragung oder einer UDP (User Datagram Protocol)-Übertragung verwendet wird, eine 16-Bit-Zielport-Nummer auf. Ein Ethernetpaket, in deren Datenfeld ein TCP/IP-Paket oder ein UDP/IP-Paket eingebettet ist, weist drei Bezeichnungen auf: (1) die Ethernetadressen des Quell- und des Zielknotens; (2) die IP-Adressen des Quell- und des Zielknotens; und (3) die IP-Port-Nummer des Zielknotens. Andere Protokolle sind in TCP/IP-Netzwerken vorhanden und in Betrieb und steuern Handlungen wie z. B. Routing und die Übersetzung von IP-Adressen aus und in Hostnamen. Ein Protokoll, das als ARP (Address Resolution Protocol) bezeichnet wird, ordnet auch IP-Adressen den Ethernetadressen zu.
- Durch das Abfangen des Ethernetpakets
36 von3 stehen die Zieladresse, die Quelladresse und die Benutzerdaten dem Überwachungsknoten zur Verfügung. Für die unterbrechungsfreie Überwachung, zu der es bei Workstation18 von2 kommt, kann die Workstation in den Promiscuous Mode versetzt werden, wobei es dort zu keiner Auswirkung auf die Leistung des Netzwerkes kommt. Die Pakete, die für eine bestimmte Knoten-zu-Knoten-Übertragung spezifisch sind, können jedoch dadurch gesammelt und zusammengefügt werden, dass das Zugriffssteuerungsmodul30 einfach so konfiguriert wird, dass die Workstation als virtueller Rechner mit Bare-Bones TCP/IP-Protokoll arbeitet. Die Workstation kann dann die Fragmente eines Mehrpaketsignals zusammensetzen. Dadurch wird es der Zugriffsverwaltungssteuerung ermöglicht, Entscheidungen auf die Informationen zu stützen, die aus verschiedenen Ebenen des ISO-Modells ableitbar sind – von den unteren Schichten bis hin zur obersten Anwendungsschicht. - Ein Kommunikationsprotokoll ist ein geschichteter Satz, der oft als ein "Stapel" bezeichnet wird. Die International Standards Organization (ISO) hat ein Modell entwickelt, das als das ISO-7-Schichtmodell bezeichnet wird und das als Grundreferenz dient. Jede Schicht stellt eine bestimmte Funktion dar. Die Funktion einer bestimmten Schicht kann in Hardware oder Software oder einer Kombination aus Hardware und Software ausgeführt werden. Manchmal erfüllt ein einzelnes Programm die Funktionen von mehr als einer Schicht.
4 zeigt die sieben Schichten des ISO-Modells. Die unterste Schicht, die als physikalische Schicht60 bezeichnet wird, ist die Hardware-Netzwerkverbindung, beispielsweise ein physikalischer Draht. Die ISO-Schicht 2, die Datenverbindungsschicht52 , ist für die Bereitstellung verlässlicher Datenübertragungen verantwortlich. Die Schicht 2 kann eine Netzwerkschnittstellenkarte sein, die einen Computer mit dem Netzwerk verbindet. - Die ISO-Schicht 3, die Netzwerkschicht
54 , ist die Netzwerk-Software für das Routing von Paketen durch das Netzwerk. Die ISO-Schicht 4, die Transportschicht56 , transportiert Daten von dem Netzwerk zu den oberen Ebenen des ISO-Modells. - Die ISO-Schicht 5, die Sitzungsschicht
58 , beschäftigt sich mit dem Herstellen von Netzwerksitzungen. Logische Verbindungen werden auf der Basis einer Benutzeranforderung hergestellt. Die ISO-Schicht6 , die Präsentationsschicht60 , beschäftigt sich mit der Übergabe von Daten an eine Anwendung, die sich in der ISO-Schicht 7 befindet, der Anwendungsschicht62 . Zu Beispielen der Anwendungsschicht zählen FTP, HTTP und SMTP. Die Schicht 7 stellt einen Internet-Zugriff für einen Benutzer bereit. -
4 zeigt drei Eingaben für einen Schritt64 zum Speichern von Datenpaketen. Die erste Eingabe66 stellt die tatsächliche Eingabe von Datenpaketen dar, während die zweite68 und die dritte Eingabe70 operative Darstellungen sind. Unter Bezugnahme auf2 und4 empfängt die Workstation18 , welche den Netzwerkverkehr unterbrechungsfrei überwacht, nach innen und nach außen gerichtete Datenpakete durch Schicht 1 und Schicht 2. Wie zuvor festgehalten, ist die Netzwerkschnittstellenkarte von Schicht 2 auf den Promiscuous Mode eingestellt, so dass die Datenpakete des Netzwerkes über die physikalische Schicht50 erhalten werden. Wahlweise kann die Regelbasis des Zugriffsverwaltungsmoduls28 öfter als einmal verwendet werden. In einer ersten Anwendung der Regelbasis kann das erste Paket einer Ressourcenanforderung verwendet werden, um den Quellknoten und den Zielknoten zu erfassen, wodurch es möglich wird, die Festlegungen von Zugriffen auf diese Informationen der unteren Ebene zu stützen. Entscheidungen einer höheren Ebene können nur getroffen werden, nachdem eine Verbindung hergestellt wurde und der tatsächliche Inhalt begonnen hat, über diese Verbindung zu fließen. Dies steht im Kontrast zu herkömmlichen Funktionsweisen von Firewalls, welche typischerweise nur als Paketfilter niedriger Ebene (z. B. auf ISO-Schicht 2) agieren. - Wie durch die Eingabe
68 angegeben, beinhaltet die Erfindung das Zusammenfügen von Datenpaketen, um Informationen auf der Transportschicht56 und der Netzwerkschicht54 des ISO-Modells zu erfassen. Darüber hinaus werden Schicht-7-Informationen erworben, indem die Datenpakete zusammengefügt werden, wie dies durch die Eingabe70 dargestellt wird. Zum Beispiel können in einer E-Mail-Umgebung die Anwendungsschichtinformationen, die für die Anwendung der Regelbasis relevant sein können, Informationen innerhalb der Betreffzeile einer E-Mail-Nachricht enthalten. Diese Informationen können nur erhalten werden, wenn auf die Datenfelder der Datenpakete der E-Mail-Nachricht zugegriffen wird. Im Schritt66 erhält man die erforderlichen Informationen für die Anwendung der Regelbasis. Wie zuvor erwähnt, kann die Anwendung für eine einzelne Mehrpaketübertragung öfter als einmal erfolgen. Inwieweit das Bereitstellen von einzelnen oder mehrfachen Regelanwendungen wünschenswert ist, hängt von einer Reihe von Faktoren ab. - Unter Bezugnahme jetzt auf
5 wird nun eine Ausführungsform einer graphischen Benutzerschnittstelle (GUI)68 dargestellt, die von einem Systemoperator dazu verwendet wird, die Regelbasis zu konfigurieren, welche die Funktionsweise der Zugriffssteuerungsmodule30 ,32 und34 von2 bestimmt. Die Funktionsweise jedes Zugriffssteuerungsmoduls wird durch Regeln bestimmt, die bei der ACMC24 konfiguriert werden, welche das Zugriffsverwaltungsmodul26 enthält. Das Verwaltungsmodul präsentiert die GUI68 , obwohl dies für die Erfindung nicht entscheidend ist. - In der bevorzugten Ausführungsform umfasst die Regelbasis einen Zwillingssatz von sortierten Regeln. Einer dieser Regelsätze betrifft die Zugriffsverwaltungsanforderungen für einen nach außen gerichteten Zugriff, während der zweite Satz die nach innen gerichteten Verbindungsversuche betrifft. In jedem Satz sind die Regeln aufeinanderfolgend sortiert, wodurch die Reihenfolge bestimmt wird, in der die Regeln berücksichtigt werden. Diese Sequenzierung gewährleistet, dass Regeln in einer spezifischen bestimmenden Reihenfolge angewendet werden, wodurch es dem Systemoperator ermöglicht wird, spezifischere Regeln vor allgemeineren Regeln zu schichten. Somit können scheinbar inkonsistente Regeln festgelegt werden. Zum Beispiel kann eine Regel so konfiguriert werden, dass sie dem Benutzer A Zugriff auf eine bestimmte Ressource ermöglicht, vor einer Regel, welche jeden innerhalb der Organisation daran hindert, auf diese Ressource zuzugreifen. Dies führt dazu, dass dem Benutzer A der Zugriff gestattet wird und der Zugriff auf diese Ressource für alle anderen Benutzer gesperrt ist.
- Nachdem eine Regelbasis durch einen Systemoperator konfiguriert worden ist, wird die Regelbasis auf die Zugriffssteuerungsmodule
30 ,32 und34 heruntergeladen. Somit können etwaige spätere Änderungen an der Regelbasis bei den verschiedenen Knoten in einer effizienten dynamischen Weise umgesetzt werden. - Zur Konfiguration der Regeln können verschiedene Objekte eingesetzt werden, um eine gröbere oder weniger grobe Regel bereitzustellen. Die betroffenen Parteien können durch Benutzernamen und Gruppennamen (beide typischerweise vom Netzwerkbetriebssystem aus), durch Ad-Hoc-Gruppierungen von Benutzern und Workstation-Adressen bestimmt werden. Andere Objekte schließen Netzwerkdienste, Quelladressen (IP-Adresse, Hostname oder URL), Zieladressen (IP-Adresse, Hostname oder URL) und Zeitfensterspezifikatoren (Tageszeit, Wochentag usw.) ein. Diese Objekte werden graphisch auf jede Regel gezogen und abgelegt, so wie dies notwendig ist, um die Regel innerhalb der Gesamtregelbasis dynamisch und graphisch aufzubauen. In Zusammenhang mit jeder Regel wird eine Handlung konfiguriert, um die Maßnahme festzulegen, die ergriffen werden sollte, wenn während der Laufzeit entsprechende Bedingungen auf eine Regel zutreffen. Mögliche Maßnahmen sind unter anderem (1) Nichtzulassen des Verbindungsversuches, (2) Zulassen des Verbindungsversuches, so dass dieser abgeschlossen wird, (3) Weiterleiten der Entscheidung, ob eine Verbindung zugelassen oder nicht zugelassen werden sollte, an eine Komponente von Dritten (welche zum Beispiel eine Kontrollliste konsultieren oder andere Prüfungen durchführen kann), (4) Zulassen der Verbindung, aber Durchführen einer weiteren Analyse in Bezug auf den Datenstrom, um zu bestimmen, ob eine Verbindung zu einem späteren Zeitpunkt unterbrochen werden soll (z. B. auf der Grundlage der Anzahl der übertragenen Bytes), und (5) weiteres Sammeln des Datenstroms und Weiterleiten dieses gesammelten Datenstroms an eine Komponente von Dritten zum Zwecke einer weiteren Analyse (z. B. ein Anti-Virus-Produkt).
- Regeln können mit Hilfe der graphischen Benutzerschnittstelle
68 von5 verändert, gelöscht oder neu geordnet werden. Die Regelbasis wird in einem internen Format gespeichert, das dann den verschiedenen Zugriffssteuerungsmodulen30 ,32 und34 zur Verfügung gestellt wird, wie oben beschrieben. - Die graphische Benutzerschnittstelle
68 wird in zwei Abschnitte aufgeteilt. - Der untere Abschnitt
70 wird verwendet, um Netzwerkobjekte, wie Benutzernamen, Gruppen, Workstations und andere ähnliche Einheiten, die oben erwähnt wurden, zu definieren. Diese Informationen werden von dem Systemoperator zusammengetragen, wobei jedoch so viele Informationen wie möglich von dem Netzwerkbetriebssystem zusammengetragen werden. Typischerweise werden alle Benutzernamen, Gruppennamen und Workstation-Adressen durch Bezug auf das Netzwerkbetriebssystem hergestellt. Es ist auch möglich, aus praktischen Gründen Ad-Hoc-Gruppen zu bilden, beispielsweise Gruppen von Benutzern, die nicht konfiguriert sind oder die in dem Netzwerkbetriebssystem unterschiedlich konfiguriert sind. Eine objektorientierte Technologie vereinfacht den Definitionsprozess, indem die Definition von operativen Parame tern für Objektklassen ermöglicht wird, anstatt für jedes einzelne Netzwerkelement. Somit ist es möglich, eine Zugriffssteuerung auf einer spezifischen Ebene der Steuerung von Zugängen einzelner Benutzer und auf einer allgemeineren Ebene von Netzwerkgruppen von Benutzern oder Ad-Hoc-Benutzergruppen durchzuführen. Dadurch ist der Operator flexibel in der Zugriffsverwaltung. Daher ist es möglich, unterschiedliche Zugriffssteuerungskriterien für unterschiedliche Ebenen von Mitarbeitern und Managern anzuwenden. - Andere Objekte, die in dem unteren Abschnitt
70 der GUI68 definiert sind, sind Dienste, wie E-Mail, Dateiübertragung, WWW und jeder andere mögliche Satz von Diensten, die in einem TCP/IP-Netzwerk zugelassen sind. Spezifische Eigenschaften eines Dienstes schließen seinen Namen und seine TCP/IP-Port-Nummer ein. Bestimmte weithin bekannte Dienste werden für den Operator vorkonfiguriert. Zum Beispiel ist bekannt, dass der Telnet-Dienst auf Port23 vorkonfiguriert sein sollte. Es können jedoch vom Operator alle möglichen Dienste hinzugefügt oder geändert werden. - Der obere Abschnitt
72 der GUI68 enthält die Regeln. Der gesamte Regelsatz wird als die Regelbasis bezeichnet. Regeln werden graphisch vom Operator geschaffen, indem er Objekte von dem unteren Abschnitt70 zieht und sie in spezifische Regeln des oberen Abschnitts70 legt. Die Regelreihenfolge ist wichtig und kann graphisch durch Ziehen einer Regel in eine neue Position in der Sequenz geändert werden. Wenn Regeln während der Laufzeit konsultiert werden, wird in der Reihenfolge von oben nach unten vorgegangen. Wie zuvor angeführt, werden zwei Regelsätze geführt, einer betrifft nach außen gerichtete Kommunikationen und der andere nach innen gerichtete Kommunikationen. - In der bevorzugten Ausführungsform werden Speicherprotokolle für Transaktionsdaten geführt. Die Speicherprotokolle können für alle Transaktionsdaten oder für Untergruppen der Daten geführt werden. Die Speicherprotokolle können dann für eine weitere Analyse durch eingebaute Komponenten oder Komponenten von Dritten verwendet werden. Dies ist aber für die Erfindung nicht entscheidend.
-
6 ist eine beispielhafte Anordnung von Hardware und Software zur Umsetzung des Netzwerk-Zugriffssteuerungssystems und -verfahrens. Eine passive Zugriffssteuerungsstation (PACS), wie die Workstation18 von2 , weist einen Eingangsport74 auf, der in einen Modus gesetzt wird, um alle Datenpakete zu empfangen, die für einen beliebigen Knoten im Netzwerk bestimmt sind. Die Datenpakete, die für eine bestimmte Knoten-zu-Knoten-Übertragung spezifisch sind, werden bei einem Paket-Zusammenfüger76 miteinander verbunden. Detaillierte Informationen aus den zusammengefügten Datenpaketen werden so lange gespeichert, bis ausreichende Informationen in Bezug auf die Knoten-zu-Knoten-Übertragung erhalten werden, um die zuvor konfigurierte Regelbasis70 anzuwenden. Das Verfahren zur Anwendung der Regelbasis auf die erhaltenen Informationen kann in einem einzelnen Schritt oder in mehreren Schritten ausgeführt werden. Zum Beispiel sind in6 ein Zustandsidentifikator80 und ein Kontextidentifikator82 vorhanden. Der Zustandsidentifikator wird verwendet, um Informationen bezüglich der unteren Schichten des ISO-Modells festzulegen, während der Kontextidentifikator82 Informationen höherer Schichten, einschließlich der Anwendungsschicht, erwirbt. Die Regelbasis78 kann ein erstes Mal konsultiert werden, wenn der Zustandsidentifikator80 ausreichend Informationen erworben hat und kann ein zweites Mal verwendet werden, wenn der Kontextidentifikator82 ausreichende Informationen einer höheren Ebene erworben hat. - Es ist wichtig, festzuhalten, dass Informationen, die gespeichert werden, sowohl Zustandsinformationen einer niedrigen Ebene als auch Kontextinformationen enthalten, die an Stellen im Netzwerkstapel entdeckt werden, die nicht zu Schicht 1 und 2 zählen. Es wird ein volles Wissen über die Anwendungsschicht erzielt, ohne dafür spezifische Anwendungs-Proxys für jeden Dienst verwenden zu müssen. Die zwei Teile des Proxy-Verfahrens sind verbunden, um Vorkehrungen für die Möglichkeit zu schaffen, dass Proxy-Verbindungen hergestellt werden, da der reale Quellknoten und der End-Zielknoten identifiziert werden müssen, um zu gewährleisten, dass die richtige Regel bei der Verwaltung des Netzwerkzugriffs verwendet wird.
- Wenn festgestellt wird, dass eine bestimmte Knoten-zu-Knoten-Übertragung uneingeschränkt ist, wird die Übertragung durch das Verfahren nicht beeinträchtigt. Wahlweise können Daten bezüglich der Übertragung in einem Protokoll
84 gespeichert werden. Wenn es sich bei der Übertragung jedoch um eine eingeschränkte Übertragung handelt, können von einer Verbindungskontrolleinrichtung86 unterschiedliche Maßnahmen ergriffen werden. Wenn die Verbindung von einem Quellknoten zu einem Zielknoten nicht abgeschlossen worden ist, kann die Verbindungskontrolleinrichtung ein Signal erzeugen, das über den Ausgangsport88 zu einem geeigneten Knoten (z. B. einem Router) ausgegeben wird, um die Verbindung zu verhindern. Für Fälle, in denen die Verbindung hergestellt worden ist, kann die Kontrolleinrichtung86 ein Signal erzeugen, welches die Verbindung deaktiviert. Als dritte Alternative kann die Verbindung zugelassen werden, wobei jedoch eine weitere Analyse des Datenstroms durchgeführt werden kann, um festzustellen, ob die Verbindung zu einem späteren Zeitpunkt unterbrochen werden sollte (z. B. auf der Grundlage der Byte-Anzahl, die während der Verbindung übertragen wird). Die Entscheidung, ob die Verbindung zugelassen wird oder nicht, kann auf einen anderen Knoten übertragen werden, beispielsweise eine Komponente von Dritten, welche eine Kontrollliste konsultiert oder andere Prüfungen durchführt. -
7 zeigt im Detail die Schritte für die Bereitstellung der Zugriffssteuerung gemäß der Erfindung. In Schritt90 wird Netzwerkverkehr unterbrechungsfrei überwacht, beispielsweise durch die Workstation18 von2 . Pakete, die für eine bestimmte Kommunikation (d. h. Knoten-zu-Knoten-Übertragung) spezifisch sind, werden in Schritt92 identifiziert und in Schritt94 zusammengefügt. Der Entscheidungsschritt96 bestimmt, ob ausreichende Informationen erhalten wurden, um die Regeln der Regelbasis anzuwenden. - Wenn ausreichende Informationen erhalten wurden, um die Regelbasis anzuwenden, wird die erste Regel konsultiert, um festzustellen, ob der Satz an Paketinformationen der Regel entspricht. Wie zuvor angeführt, ist die Regelbasis in einen ersten Satz von Regeln, die sich auf nach außen gerichtete Kommunikation beziehen, und einen zweiten Satz von Regeln, die sich auf nach innen gerichtete Kommunikation beziehen, unterteilt. Darüber hinaus werden die Regeln in den jeweiligen Sätzen von oben nach unten konsultiert. Somit ist die Regel, die in Schritt
98 angewendet wird, die erste Regel in dem entsprechenden Regelsatz. Bei Schritt100 wird eine Entscheidung dahingehend getroffen, ob der Informationssatz der in Schritt98 angewendeten Regel entspricht. Wenn eine solche Entsprechung mit der Regel erkannt wird, wird die entsprechende Regelmaßnahme bei Schritt102 ergriffen. Die entspre chende Regelmaßnahme kann innerhalb der Regelbasis bezeichnet werden. Wenn die Regel im positiven Sinne formuliert ist (z. B. "alle HTTP-Verbindungen zulassen"), wird die Maßnahme ermöglichen, dass die Verbindung ungestört aufrechterhalten bleibt. Andere vorgeschriebene Maßnahmen können das Protokollieren von Informationen in eine Datenbank, das Senden einer E-Mail-Nachricht, das Auslösen eines Alarms in einer zuvor festgelegten Weise oder das Weiterleiten des Dateninhalts der Verbindung an ein Verfahren eines Dritten aufweisen, mit dem bestimmt werden kann, ob die Verbindung aufrechterhalten werden soll, indem auf andere Daten verwiesen wird, wie Anti-Viren-Regeln oder eine oder mehrere Kontrolllisten. - Wenn in dem Entscheidungsschritt
100 festgestellt wird, dass die erste Regel nicht anwendbar ist, bestimmt der Entscheidungsschritt104 , ob es eine andere anwendbare Regel gibt. Wenn es innerhalb des Satzes an Regeln, die auf die betreffende Kommunikation anwendbar sind, fünfzehn Regeln gibt, werden die Schritte98 ,100 und104 fünfzehn Mal oder so lange wiederholt, bis der Informationssatz einer der Regeln entspricht. - Vorzugsweise gibt es am Ende jedes Regelsatzes in der Regelbasis eine voreingestellte Regel. Jetzt wird kurz auf
5 Bezug genommen, wo die GUI68 sechs Regeln in ihrem Satz an Regeln für nach außen gerichtete Kommunikation im oberen Abschnitt72 der GUI zeigt. Die sechste und letzte Regel, die anzuwenden ist, ist die voreingestellte Regel, welche nach außen gerichtete Kommunikationen, die nicht spezifisch innerhalb des Satzes zugelassen sind, nicht zulässt. Alternativ dazu kann die voreingestellte Regel lauten, dass die Kommunikation zugelassen wird. - Nachdem alle entsprechenden Regeln angewendet wurden, wird der wahlweise Entscheidungsschritt
106 ausgeführt. Die Zugriffsregeln der Regelbasis sind voranalysiert, um festzustellen, welche Regeln während der Dauer des Verbindungsaufbaus angewendet werden können, und welche Regeln für eine Anwendung aufgeschoben werden müssen, die erfolgt, sobald die Verbindung aufgebaut ist und die Daten fließen. Wenn – bei einer speziellen Knoten-zu-Knoten-Übertragung – festgestellt wird, dass keine Regel aufgeschoben werden müssen, kann die voreingestellte Regel während der Dauer des Verbindungsaufbaus angewendet werden, wobei angenommen wird, dass es keine vorhergehende Regel gibt, welche eine positive Antwort bei Schritt100 bereitstellt. Wenn jedoch Zugriffsregeln angewendet werden müssen, sobald die Daten fließen, wird die voreingestellte Regel zusammen mit den aufgeschobenen Regeln angewendet. Somit wird – wenn es Zugriffsregeln gibt, die sich auf den Datenfluss beziehen – ein Abschließen der Verbindung ermöglicht, es sei denn, es wird bei Schritt100 festgestellt, dass es sich bei der Verbindung um eine eingeschränkte Verbindung handelt. Wenn bei Schritt106 festgestellt wird, dass Regeln aufgeschoben wurden, werden die Pakete weiterhin bei Schritt94 zusammengefügt und das Verfahren wiederholt sich, um die aufgeschobenen Regeln anzuwenden. Wenn hingegen keine aufgeschobenen Regeln vorhanden sind, kehrt das Verfahren zu Schritt92 des Identifizierens von Paketen einer spezifischen Kommunikation zurück. Die Umsetzung oder auch die bloße Existenz des Schrittes 106 ist für die Erfindung jedoch nicht von entscheidender Bedeutung. - Es ist festzuhalten, dass an den oben angeführten Beispielen verschiedene Änderungen und Modifizierungen durchgeführt werden können, um dieselben Ergebnisse zu erzielen, ohne dass dadurch der Schutzumfang des Verfah rens und des Systems verlassen wird. Zum Beispiel kann eine Zugriffsverwaltungssteuerung auf einem allgemeinen Gateway-Rechner erfolgen, anstatt mit einer Firewall, einem Proxy-Server oder einer passiven Workstation.
Claims (13)
- Verfahren zur Bereitstellung einer Steuerung des Zugriffs auf Ressourcen eines Netzwerks, wobei das Verfahren folgende Schritte umfasst: Überwachen (
90 ) des Netzwerkverkehrs, was den Empfang von Datenpaketen (36 ), die zu und von Knoten (18 ,20 ,22 ) des Netzwerks übertragen werden, einschließt; Identifizieren (92 ) einer Vielzahl der genannten empfangenen Datenpakete (36 ) in Bezug auf einzelne Knoten-zu-Knoten-Übertragungen innerhalb des genannten Netzwerks, die für die einzelnen Knoten-zu-Knoten-Übertragungen spezifisch sind; und Anwenden (98 ) von Zugriffsregeln, um festzustellen, ob einzelne Knoten-zu-Knoten-Übertragungen eingeschränkte Übertragungen sind, was einschließt, dass die genannten Feststellungen auf einem Identifizieren von Quell- und Zielknoten und Anwendungsschichtinformationen für die genannten einzelnen Knoten-zu-Knoten-Übertragungen beruhen; gekennzeichnet durch ein Zusammenfügen (94 ) jeder der genannten Vielzahl von empfangenen Datenpaketen, die für eine der genannten Knoten-zu-Knoten-Übertragungen spezifisch ist, wobei eine zusammengefügte Mehrpaket-Kommunikation für jede der genannten Knoten-zu-Knoten-Übertragungen gebildet wird; und Identifizieren der genannten Quellknoten (40 ) und der genannten Zielknoten (38 ) und der genannten Anwendungsschichtinformationen (44 ) für die einzelnen genannten Knoten-zu-Knoten-Übertragungen auf der Grundlage der zusammengefügten Mehrpaket-Kommunikationen, wobei das genannte Überwachen (90 ) des Netzwerkverkehrs, Zusammenfügen und Anwenden der Zugriffsregeln durch einen dazu bestimmten Knoten (18 ) in dem genannten Netzwerk erfolgt, wobei der dazu bestimmte Knoten (18 ) alle genannten Datenpakete (36 ) erhält, ohne dass die Leistung des Verkehrsflusses des genannten Netzwerks beeinträchtigt wird, es sei denn, es wird eine eingeschränkte Übertragung erfasst, und die Zugriffsregeln auf die genannten zusammengefügten Mehrpaket-Kommunikationen angewendet (98 ) werden. - Verfahren nach Anspruch 1, wobei die genannten Schritte des Empfangens (
90 ) und Zusammenfügens (92 und94 ) der genannten Datenpakete (36 ) bei einem Netzwerkelement (24 ) ausgeführt werden, das sich außerhalb der direkten Pfade von den genannten Quellknoten (40 ) zu den genannten Zielknoten (38 ) der genannten Knoten-zu-Knoten-Übertragungen befindet. - Verfahren nach Anspruch 2, wobei die genannten Schritte des Empfangens (
90 ) und Zusammenfügens (92 und94 ) der genannten Datenpakete (36 ) bei einer Workstation (24 ) ausgeführt werden, die zur Bereitstellung einer Zugriffssteuerung für die genannten Ressourcen bestimmt ist. - Verfahren nach Anspruch 1, welches ferner einen Schritt umfasst, bei dem auf der Grundlage des genannten Schritts des Anwendens (
98 ) der genannten Zugriffsregeln bestimmt (100 ) wird, ob die einzelnen genannten Knoten-zu-Knoten-Übertragungen abgelehnt werden sollen. - Verfahren nach Anspruch 1, welches ferner einen Schritt des Erzeugens der genannten Zugriffsregeln in Form einer Regelbasis (
78 ) umfasst, welche einen ersten Regelsatz beinhaltet, der für einzelnen Knoten-zu-Knoten-Übertragungen spezifisch ist, die einen Quell- und einen Zielknoten aufweisen, von denen sich einer außerhalb des genannten Netzwerks befindet, und ferner einen zweiten Regelsatz beinhaltet, der für einzelne Knoten-zu-Knoten-Übertragungen spezifisch ist, bei denen sowohl der genannte Quell- als auch der genannte Zielknoten (18 ,20 und22 ) Netzwerkelemente des genannten Netzwerks sind, wobei der genannte Schritt des Anwendens (98 ) der genannten Zugriffsregeln beinhaltet, dass der genannte erste und der genannte zweite Satz auf benutzererzeugte Informationen angewendet werden, die aus den genannten zusammengefügten Mehrpaket-Kommunikationen ermittelt werden. - Verfahren nach Anspruch 5, wobei der genannte Schritt des Erzeugens der genannten Zugriffsregeln beinhaltet, dass der genannte erste Regelsatz so ausgebildet wird, dass er für Kommunikationen über das globale Kommunikationsnetzwerk, das als Internet (
14 ) bekannt ist, spezifisch ist, und beinhaltet, dass der genannte zweite Regelsatz so ausgebildet wird, dass er für Kommunikationen spezifisch ist, die sich auf derselben Seite einer Firewall (16 ) des genannten Netzwerks befinden. - Verfahren nach Anspruch 6, wobei der genannte Schritt des Zusammenfügens (
92 und94 ) der genannten empfangenen Datenpakete für mindestens einen der Dienste, Transmission-Control-Protocol(TCP)-Dienste und User-Datagram-Protocol(UDP)-Dienste aktiviert ist. - Verfahren nach Anspruch 5, wobei der genannte Schritt des Erzeugens der genannten Zugriffsregeln ferner beinhaltet, dass mindestens einige der genannten Zugriffsregeln auf Zeit basieren, so dass die genannten Feststellungen, ob die einzelnen Knoten-zu-Knoten-Übertragungen eingeschränkte Übertragungen sind, zeitabhängige Feststellungen sind.
- Verfahren nach Anspruch 1, wobei der genannte Schritt des Identifizierens der genannten Quell- und Zielknoten (
40 und38 ) und der genannten Anwendungsschichtinformationen (44 ) das Sammeln von ISO-Schicht-7-Daten zur Verwendung in dem genannten Schritt des Anwendens (98 ) der genannten Zugriffsregeln beinhaltet. - Verfahren nach Anspruch 1, welches ferner einen Schritt des Ausführens des Erfassens eines Eindringens in das genannte Netzwerk in Bereich der ersten Linie an einem Eintrittspunkt des genannten Netzwerks umfasst, so dass Übertragungen von Knoten, die sich außerhalb des genannten Netzwerks befinden, Beschränkungsregeln bezüglich des Eindringens im Bereich der ersten Linie unterzogen werden, wobei das Erfassen eines Eindringens ins Netzwerk im Bereich der ersten Linie von dem genannten Schritt des An wendens (
98 ) der genannten Zugriffsregeln unabhängig ist. - System zum Bereitstellen einer Steuerung des Zugriffs auf Ressourcen eines Netzwerks, wobei das System Folgendes umfasst: eine Vielzahl von Knoten (
18 ,20 ,22 ), einschließlich Rechnergeräte; Mittel, die geeignet sind, Datenpakete zu und von den genannten Knoten abzufangen; Mittel (76 ), die geeignet sind, die genannten Datenpakete von diskreten Übertragungen zu identifizieren; Mittel (80 ,82 ), die geeignet sind, Quellen, Ziele und benutzererzeugte Anwendungsschichtinformationen festzustellen; einen Regelbasisspeicher (78 ) mit einer Vielzahl von Regeln, die sich auf die Steuerung des Zugriffs auf die genannten Ressourcen des Netzwerks beziehen; und Mittel (86 ), die geeignet sind, den genannten Zugriff so zu steuern, dass die genannten Regeln den genannten Quellen, Zielen und benutzererzeugten Anwendungsschichtinformationen aus den genannten Feststellungsmitteln (80 ,82 ) zugeordnet werden; dadurch gekennzeichnet, dass die genannten Mittel zum Abfangen einem dazu bestimmten Knoten (18 ) des genannten Netzwerks zugewiesen sind, der geeignet ist, alle genannten Daten pakete abzufangen, ohne die Leistung des Paketflusses innerhalb des genannten Netzwerks zu beeinträchtigen, es sei denn, es wird eine eingeschränkte Übertragung erfasst, die genannten Identifikationsmittel (76 ) geeignet sind, die genannten Datenpakete zusammenzufügen, um zusammengefügte Mehrpaket-Kommunikationen zu bilden, die genannten Feststellungsmittel (80 ,82 ) geeignet sind, die genannten Quellen, Ziele und benutzererzeugten Anwendungsschichtinformationen auf der Grundlage der genannten zusammengefügten Mehrpaket-Kommunikationen festzustellen und die genannten Steuerungsmittel (86 ) geeignet sind, Zugriffsregeln auf die genannten zusammengefügten Mehrpaket-Kommunikationen anzuwenden. - System nach Anspruch 11, wobei die Mittel zum Abfangen (
18 ) eine Workstation oder ein Server sind, die bzw. der für die Zugriffssteuerung innerhalb des genannten Netzwerks bestimmt ist, wobei die genannte Workstation oder der genannte Server sich auf derselben Seite einer Firewall (16 ) befinden wie die genannten Rechnergeräte (18 ,20 ,22 ) des genannten Netzwerks. - System nach Anspruch 11, wobei der genannte Regelbasisspeicher (
78 ) einen ersten Regelsatz beinhaltet, der für Übertragungen zu Zielen (14 ) außerhalb des genannten Netzwerks spezifisch ist, und einen zweiten Regelsatz beinhaltet, der für Übertragungen spezifisch ist, welche Quellen und Ziele aufweisen, die Knoten (18 ,20 ,22 ) des genannten Netzwerks sind.
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US150264 | 1998-09-09 | ||
US09/150,264 US6219786B1 (en) | 1998-09-09 | 1998-09-09 | Method and system for monitoring and controlling network access |
Publications (2)
Publication Number | Publication Date |
---|---|
DE69929268D1 DE69929268D1 (de) | 2006-03-30 |
DE69929268T2 true DE69929268T2 (de) | 2006-08-03 |
Family
ID=22533758
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE69929268T Expired - Lifetime DE69929268T2 (de) | 1998-09-09 | 1999-08-31 | Verfahren und System zur Überwachung und Steuerung der Netzzugriffe |
Country Status (4)
Country | Link |
---|---|
US (1) | US6219786B1 (de) |
EP (1) | EP0986229B1 (de) |
AT (1) | ATE315302T1 (de) |
DE (1) | DE69929268T2 (de) |
Families Citing this family (273)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6424992B2 (en) * | 1996-12-23 | 2002-07-23 | International Business Machines Corporation | Affinity-based router and routing method |
CA2283964C (en) | 1997-03-12 | 2008-05-06 | Nomadix, Llc | Nomadic translator or router |
US6298356B1 (en) * | 1998-01-16 | 2001-10-02 | Aspect Communications Corp. | Methods and apparatus for enabling dynamic resource collaboration |
US6256620B1 (en) * | 1998-01-16 | 2001-07-03 | Aspect Communications | Method and apparatus for monitoring information access |
JP2000076193A (ja) * | 1998-08-27 | 2000-03-14 | Fujitsu Ltd | 電子情報共有セキュリティシステム及び電子情報共有セキュリティプログラムを記録したコンピュータ読み取り可能記録媒体 |
US6836794B1 (en) * | 1998-09-21 | 2004-12-28 | Microsoft Corporation | Method and system for assigning and publishing applications |
US6397381B1 (en) * | 1998-09-21 | 2002-05-28 | Microsoft Corporation | System and method for repairing a damaged application program |
US6523166B1 (en) | 1998-09-21 | 2003-02-18 | Microsoft Corporation | Method and system for on-demand installation of software implementations |
CA2287689C (en) | 1998-12-03 | 2003-09-30 | P. Krishnan | Adaptive re-ordering of data packet filter rules |
US8713641B1 (en) | 1998-12-08 | 2014-04-29 | Nomadix, Inc. | Systems and methods for authorizing, authenticating and accounting users having transparent computer access to a network using a gateway device |
US7194554B1 (en) | 1998-12-08 | 2007-03-20 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization authentication and accounting |
US8266266B2 (en) | 1998-12-08 | 2012-09-11 | Nomadix, Inc. | Systems and methods for providing dynamic network authorization, authentication and accounting |
AUPQ206399A0 (en) * | 1999-08-06 | 1999-08-26 | Imr Worldwide Pty Ltd. | Network user measurement system and method |
US8190708B1 (en) | 1999-10-22 | 2012-05-29 | Nomadix, Inc. | Gateway device having an XML interface and associated method |
EP1104133A1 (de) * | 1999-11-29 | 2001-05-30 | BRITISH TELECOMMUNICATIONS public limited company | Netzzugangsanordnung |
US6742039B1 (en) * | 1999-12-20 | 2004-05-25 | Intel Corporation | System and method for connecting to a device on a protected network |
US6769008B1 (en) | 2000-01-10 | 2004-07-27 | Sun Microsystems, Inc. | Method and apparatus for dynamically altering configurations of clustered computer systems |
US6757836B1 (en) | 2000-01-10 | 2004-06-29 | Sun Microsystems, Inc. | Method and apparatus for resolving partial connectivity in a clustered computing system |
US6658587B1 (en) * | 2000-01-10 | 2003-12-02 | Sun Microsystems, Inc. | Emulation of persistent group reservations |
US6789213B2 (en) | 2000-01-10 | 2004-09-07 | Sun Microsystems, Inc. | Controlled take over of services by remaining nodes of clustered computing system |
US6862613B1 (en) | 2000-01-10 | 2005-03-01 | Sun Microsystems, Inc. | Method and apparatus for managing operations of clustered computer systems |
US6460074B1 (en) * | 2000-02-10 | 2002-10-01 | Martin E. Fishkin | Electronic mail system |
CA2299824C (en) * | 2000-03-01 | 2012-02-21 | Spicer Corporation | Network resource control system |
US8843617B2 (en) * | 2000-03-01 | 2014-09-23 | Printeron Inc. | Multi-stage polling mechanism and system for the transmission and processing control of network resource data |
CA2301996A1 (en) * | 2000-03-13 | 2001-09-13 | Spicer Corporation | Wireless attachment enabling |
US6880005B1 (en) * | 2000-03-31 | 2005-04-12 | Intel Corporation | Managing policy rules in a network |
US7096495B1 (en) * | 2000-03-31 | 2006-08-22 | Intel Corporation | Network session management |
US6519703B1 (en) * | 2000-04-14 | 2003-02-11 | James B. Joyce | Methods and apparatus for heuristic firewall |
US7376965B2 (en) * | 2000-05-15 | 2008-05-20 | Hewlett-Packard Development Company, L.P. | System and method for implementing a bubble policy to achieve host and network security |
US7032023B1 (en) * | 2000-05-16 | 2006-04-18 | America Online, Inc. | Throttling electronic communications from one or more senders |
US7380272B2 (en) * | 2000-05-17 | 2008-05-27 | Deep Nines Incorporated | System and method for detecting and eliminating IP spoofing in a data transmission network |
US7058976B1 (en) | 2000-05-17 | 2006-06-06 | Deep Nines, Inc. | Intelligent feedback loop process control system |
US6930978B2 (en) * | 2000-05-17 | 2005-08-16 | Deep Nines, Inc. | System and method for traffic management control in a data transmission network |
US7136913B2 (en) * | 2000-05-31 | 2006-11-14 | Lab 7 Networks, Inc. | Object oriented communication among platform independent systems across a firewall over the internet using HTTP-SOAP |
CA2310538A1 (en) * | 2000-06-09 | 2001-12-09 | Christopher Kirchmann | Data line interrupter switch |
US7725558B2 (en) * | 2000-07-26 | 2010-05-25 | David Dickenson | Distributive access controller |
AU2001281150A1 (en) * | 2000-08-07 | 2002-02-18 | Xacct Technologies Limited | System, method and computer program product for processing network accounting information |
US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
US7711790B1 (en) * | 2000-08-24 | 2010-05-04 | Foundry Networks, Inc. | Securing an accessible computer system |
US6910134B1 (en) * | 2000-08-29 | 2005-06-21 | Netrake Corporation | Method and device for innoculating email infected with a virus |
US7203741B2 (en) * | 2000-10-12 | 2007-04-10 | Peerapp Ltd. | Method and system for accelerating receipt of data in a client-to-client network |
US7970886B1 (en) * | 2000-11-02 | 2011-06-28 | Arbor Networks, Inc. | Detecting and preventing undesirable network traffic from being sourced out of a network domain |
ITMI20002390A1 (it) | 2000-11-06 | 2002-05-06 | Safety World Wide Web Associaz | Procedimento di controllo di accesso ad una rete telematica con identificazione dell'utente |
US20020065874A1 (en) * | 2000-11-29 | 2002-05-30 | Andrew Chien | Method and process for virtualizing network interfaces |
US7152103B1 (en) * | 2001-01-10 | 2006-12-19 | Nortel Networks Limited | Lawful communication interception—intercepting communication associated information |
US7631349B2 (en) * | 2001-01-11 | 2009-12-08 | Digi International Inc. | Method and apparatus for firewall traversal |
US20020095599A1 (en) * | 2001-01-12 | 2002-07-18 | Hyungkeun Hong | VoIP call control proxy |
US20020133586A1 (en) * | 2001-01-16 | 2002-09-19 | Carter Shanklin | Method and device for monitoring data traffic and preventing unauthorized access to a network |
US20020107953A1 (en) * | 2001-01-16 | 2002-08-08 | Mark Ontiveros | Method and device for monitoring data traffic and preventing unauthorized access to a network |
US7290145B2 (en) | 2001-01-26 | 2007-10-30 | Bridicum A/S | System for providing services and virtual programming interface |
US20020103898A1 (en) * | 2001-01-31 | 2002-08-01 | Moyer Stanley L. | System and method for using session initiation protocol (SIP) to communicate with networked appliances |
US20020107910A1 (en) * | 2001-02-02 | 2002-08-08 | Yan Zhao | Client/server two-way communication system framework under HTTP protocol |
US8510476B2 (en) * | 2001-02-15 | 2013-08-13 | Brooks Automation, Inc. | Secure remote diagnostic customer support network |
US20020133606A1 (en) * | 2001-03-13 | 2002-09-19 | Fujitsu Limited | Filtering apparatus, filtering method and computer product |
US7093280B2 (en) * | 2001-03-30 | 2006-08-15 | Juniper Networks, Inc. | Internet security system |
US20060253784A1 (en) * | 2001-05-03 | 2006-11-09 | Bower James M | Multi-tiered safety control system and methods for online communities |
US6816455B2 (en) * | 2001-05-09 | 2004-11-09 | Telecom Italia S.P.A. | Dynamic packet filter utilizing session tracking |
US20020198994A1 (en) | 2001-05-15 | 2002-12-26 | Charles Patton | Method and system for enabling and controlling communication topology, access to resources, and document flow in a distributed networking environment |
US20030182420A1 (en) * | 2001-05-21 | 2003-09-25 | Kent Jones | Method, system and apparatus for monitoring and controlling internet site content access |
US7076801B2 (en) * | 2001-06-11 | 2006-07-11 | Research Triangle Institute | Intrusion tolerant server system |
US6513122B1 (en) | 2001-06-29 | 2003-01-28 | Networks Associates Technology, Inc. | Secure gateway for analyzing textual content to identify a harmful impact on computer systems with known vulnerabilities |
US6931441B1 (en) * | 2001-06-29 | 2005-08-16 | Cisco Technology, Inc. | Method and apparatus for managing a network using link state information |
US6873988B2 (en) * | 2001-07-06 | 2005-03-29 | Check Point Software Technologies, Inc. | System and methods providing anti-virus cooperative enforcement |
GB0117721D0 (en) * | 2001-07-20 | 2001-09-12 | Surfcontrol Plc | Database and method of generating same |
US7209962B2 (en) * | 2001-07-30 | 2007-04-24 | International Business Machines Corporation | System and method for IP packet filtering based on non-IP packet traffic attributes |
US7245632B2 (en) * | 2001-08-10 | 2007-07-17 | Sun Microsystems, Inc. | External storage for modular computer systems |
US20030084123A1 (en) * | 2001-08-24 | 2003-05-01 | Kamel Ibrahim M. | Scheme for implementing FTP protocol in a residential networking architecture |
US7228337B1 (en) | 2001-09-11 | 2007-06-05 | Cisco Technology, Inc. | Methods and apparatus for providing a network service to a virtual machine |
US7716330B2 (en) | 2001-10-19 | 2010-05-11 | Global Velocity, Inc. | System and method for controlling transmission of data packets over an information network |
US7054944B2 (en) * | 2001-12-19 | 2006-05-30 | Intel Corporation | Access control management system utilizing network and application layer access control lists |
US7650420B2 (en) * | 2001-12-28 | 2010-01-19 | The Directv Group, Inc. | System and method for content filtering |
US20030140149A1 (en) * | 2002-01-14 | 2003-07-24 | Richard Marejka | Communication protocol for use in controlling communications in a monitoring service system |
US20030135575A1 (en) * | 2002-01-14 | 2003-07-17 | Richard Marejka | Self-monitoring and trending service system with cascaded pipeline linking numerous client systems |
US8209756B1 (en) | 2002-02-08 | 2012-06-26 | Juniper Networks, Inc. | Compound attack detection in a computer network |
US7565687B2 (en) * | 2002-02-08 | 2009-07-21 | International Business Machines Corporation | Transmission control system, server, terminal station, transmission control method, program and storage medium |
US20030163731A1 (en) * | 2002-02-28 | 2003-08-28 | David Wigley | Method, system and software product for restricting access to network accessible digital information |
US7737134B2 (en) * | 2002-03-13 | 2010-06-15 | The Texas A & M University System | Anticancer agents and use |
AU2003237096A1 (en) * | 2002-04-22 | 2003-11-03 | Mfc Networks, Inc. | Process for monitoring, filtering and caching internet connections |
US20030208616A1 (en) * | 2002-05-01 | 2003-11-06 | Blade Software, Inc. | System and method for testing computer network access and traffic control systems |
GB2401280B (en) | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
GB2391419A (en) * | 2002-06-07 | 2004-02-04 | Hewlett Packard Co | Restricting the propagation of a virus within a network |
GB2394382A (en) | 2002-10-19 | 2004-04-21 | Hewlett Packard Co | Monitoring the propagation of viruses through an Information Technology network |
TWI244297B (en) * | 2002-06-12 | 2005-11-21 | Thomson Licensing Sa | Apparatus and method adapted to communicate via a network |
US7441262B2 (en) * | 2002-07-11 | 2008-10-21 | Seaway Networks Inc. | Integrated VPN/firewall system |
FR2843508A1 (fr) * | 2002-08-06 | 2004-02-13 | Execport Ltd | Procede et architecture de communication entre un equipement client et un module intermediaire situes tous les deux sur un reseau local |
US7711844B2 (en) * | 2002-08-15 | 2010-05-04 | Washington University Of St. Louis | TCP-splitter: reliable packet monitoring methods and apparatus for high speed networks |
US7383579B1 (en) * | 2002-08-21 | 2008-06-03 | At&T Delaware Intellectual Property, Inc. | Systems and methods for determining anti-virus protection status |
US7591001B2 (en) * | 2004-05-14 | 2009-09-15 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing a network connection |
US7549159B2 (en) * | 2004-05-10 | 2009-06-16 | Liquidware Labs, Inc. | System, apparatuses, methods and computer-readable media for determining the security status of a computer before establishing connection thereto |
US7660980B2 (en) * | 2002-11-18 | 2010-02-09 | Liquidware Labs, Inc. | Establishing secure TCP/IP communications using embedded IDs |
US7386889B2 (en) * | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
US20040162992A1 (en) * | 2003-02-19 | 2004-08-19 | Sami Vikash Krishna | Internet privacy protection device |
US7278162B2 (en) * | 2003-04-01 | 2007-10-02 | International Business Machines Corporation | Use of a programmable network processor to observe a flow of packets |
US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
GB2401281B (en) | 2003-04-29 | 2006-02-08 | Hewlett Packard Development Co | Propagation of viruses through an information technology network |
US7796515B2 (en) | 2003-04-29 | 2010-09-14 | Hewlett-Packard Development Company, L.P. | Propagation of viruses through an information technology network |
US7801980B1 (en) | 2003-05-12 | 2010-09-21 | Sourcefire, Inc. | Systems and methods for determining characteristics of a network |
US7900240B2 (en) * | 2003-05-28 | 2011-03-01 | Citrix Systems, Inc. | Multilayer access control security system |
US20060206615A1 (en) * | 2003-05-30 | 2006-09-14 | Yuliang Zheng | Systems and methods for dynamic and risk-aware network security |
US7509673B2 (en) * | 2003-06-06 | 2009-03-24 | Microsoft Corporation | Multi-layered firewall architecture |
US9100431B2 (en) | 2003-07-01 | 2015-08-04 | Securityprofiling, Llc | Computer program product and apparatus for multi-path remediation |
US9118710B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | System, method, and computer program product for reporting an occurrence in different manners |
US9118711B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9118708B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Multi-path remediation |
US20070113272A2 (en) | 2003-07-01 | 2007-05-17 | Securityprofiling, Inc. | Real-time vulnerability monitoring |
US20070118756A2 (en) * | 2003-07-01 | 2007-05-24 | Securityprofiling, Inc. | Policy-protection proxy |
US9118709B2 (en) | 2003-07-01 | 2015-08-25 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US8984644B2 (en) | 2003-07-01 | 2015-03-17 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US9350752B2 (en) | 2003-07-01 | 2016-05-24 | Securityprofiling, Llc | Anti-vulnerability system, method, and computer program product |
US7523484B2 (en) | 2003-09-24 | 2009-04-21 | Infoexpress, Inc. | Systems and methods of controlling network access |
US7466447B2 (en) * | 2003-10-14 | 2008-12-16 | Microsoft Corporation | Color management system that enables dynamic balancing of performance with flexibility |
AU2003294095B2 (en) * | 2003-11-27 | 2010-10-07 | Advestigo | System for intercepting multimedia documents |
US7730137B1 (en) | 2003-12-22 | 2010-06-01 | Aol Inc. | Restricting the volume of outbound electronic messages originated by a single entity |
US20050144297A1 (en) * | 2003-12-30 | 2005-06-30 | Kidsnet, Inc. | Method and apparatus for providing content access controls to access the internet |
US7602785B2 (en) | 2004-02-09 | 2009-10-13 | Washington University | Method and system for performing longest prefix matching for network address lookup using bloom filters |
HU226781B1 (en) * | 2004-03-01 | 2009-10-28 | Miklos Jobbagy | Device set for secure direct information transmission over internet |
US9210036B2 (en) * | 2004-05-25 | 2015-12-08 | University Of Florida | Metric driven holistic network management system |
US9143393B1 (en) | 2004-05-25 | 2015-09-22 | Red Lambda, Inc. | System, method and apparatus for classifying digital data |
US7765593B1 (en) * | 2004-06-24 | 2010-07-27 | Mcafee, Inc. | Rule set-based system and method for advanced virus protection |
US7539681B2 (en) | 2004-07-26 | 2009-05-26 | Sourcefire, Inc. | Methods and systems for multi-pattern searching |
US7496962B2 (en) * | 2004-07-29 | 2009-02-24 | Sourcefire, Inc. | Intrusion detection strategies for hypertext transport protocol |
DE102004037087A1 (de) * | 2004-07-30 | 2006-03-23 | Advanced Micro Devices, Inc., Sunnyvale | Selbstvorspannende Transistorstruktur und SRAM-Zellen mit weniger als sechs Transistoren |
GB2416879B (en) * | 2004-08-07 | 2007-04-04 | Surfcontrol Plc | Device resource access filtering system and method |
CA2577891A1 (en) * | 2004-08-24 | 2006-03-02 | Washington University | Methods and systems for content detection in a reconfigurable hardware |
US20060045124A1 (en) * | 2004-08-31 | 2006-03-02 | Kidsnet, Inc. | Method and apparatus for providing access controls to communication services |
GB2418999A (en) * | 2004-09-09 | 2006-04-12 | Surfcontrol Plc | Categorizing uniform resource locators |
GB2418037B (en) | 2004-09-09 | 2007-02-28 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
GB2418108B (en) * | 2004-09-09 | 2007-06-27 | Surfcontrol Plc | System, method and apparatus for use in monitoring or controlling internet access |
US20060075481A1 (en) * | 2004-09-28 | 2006-04-06 | Ross Alan D | System, method and device for intrusion prevention |
US8458467B2 (en) | 2005-06-21 | 2013-06-04 | Cisco Technology, Inc. | Method and apparatus for adaptive application message payload content transformation in a network infrastructure element |
US7664879B2 (en) | 2004-11-23 | 2010-02-16 | Cisco Technology, Inc. | Caching content and state data at a network element |
US7987272B2 (en) | 2004-12-06 | 2011-07-26 | Cisco Technology, Inc. | Performing message payload processing functions in a network element on behalf of an application |
US7496750B2 (en) | 2004-12-07 | 2009-02-24 | Cisco Technology, Inc. | Performing security functions on a message payload in a network element |
US8082304B2 (en) | 2004-12-10 | 2011-12-20 | Cisco Technology, Inc. | Guaranteed delivery of application layer messages by a network element |
US20060167871A1 (en) * | 2004-12-17 | 2006-07-27 | James Lee Sorenson | Method and system for blocking specific network resources |
CN100450274C (zh) * | 2004-12-21 | 2009-01-07 | 华为技术有限公司 | 一种无线网络控制用户接入的方法 |
US8935316B2 (en) | 2005-01-14 | 2015-01-13 | Citrix Systems, Inc. | Methods and systems for in-session playback on a local machine of remotely-stored and real time presentation layer protocol data |
US7917955B1 (en) * | 2005-01-14 | 2011-03-29 | Mcafee, Inc. | System, method and computer program product for context-driven behavioral heuristics |
US8340130B2 (en) * | 2005-01-14 | 2012-12-25 | Citrix Systems, Inc. | Methods and systems for generating playback instructions for rendering of a recorded computer session |
US7831728B2 (en) * | 2005-01-14 | 2010-11-09 | Citrix Systems, Inc. | Methods and systems for real-time seeking during real-time playback of a presentation layer protocol data stream |
US20060159432A1 (en) | 2005-01-14 | 2006-07-20 | Citrix Systems, Inc. | System and methods for automatic time-warped playback in rendering a recorded computer session |
US8145777B2 (en) | 2005-01-14 | 2012-03-27 | Citrix Systems, Inc. | Method and system for real-time seeking during playback of remote presentation protocols |
US8200828B2 (en) | 2005-01-14 | 2012-06-12 | Citrix Systems, Inc. | Systems and methods for single stack shadowing |
US8296441B2 (en) | 2005-01-14 | 2012-10-23 | Citrix Systems, Inc. | Methods and systems for joining a real-time session of presentation layer protocol data |
US20060195527A1 (en) * | 2005-02-25 | 2006-08-31 | Searete Llc, A Limited Liability Corporation Of The State Of Delaware | Limited-operation electronic mail accounts with set functions |
US8738707B2 (en) * | 2005-01-21 | 2014-05-27 | The Invention Science Fund I, Llc | Limited-life electronic mail accounts |
US20060168051A1 (en) * | 2005-01-21 | 2006-07-27 | Searete Llc, A Limited Liability Corporation Of The State Delaware | Limited-use instant messaging accounts |
US8831991B2 (en) * | 2005-01-21 | 2014-09-09 | The Invention Science Fund I, Llc | Limited-life electronic mail account as intermediary |
US7937755B1 (en) * | 2005-01-27 | 2011-05-03 | Juniper Networks, Inc. | Identification of network policy violations |
US7769851B1 (en) | 2005-01-27 | 2010-08-03 | Juniper Networks, Inc. | Application-layer monitoring and profiling network traffic |
US7810151B1 (en) * | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Automated change detection within a network environment |
US7809826B1 (en) | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Remote aggregation of network traffic profiling data |
US7797411B1 (en) | 2005-02-02 | 2010-09-14 | Juniper Networks, Inc. | Detection and prevention of encapsulated network attacks using an intermediate device |
US7752659B2 (en) * | 2005-02-14 | 2010-07-06 | Lenovo (Singapore) Pte. Ltd. | Packet filtering in a NIC to control antidote loading |
US8438499B2 (en) | 2005-05-03 | 2013-05-07 | Mcafee, Inc. | Indicating website reputations during user interactions |
US7562304B2 (en) * | 2005-05-03 | 2009-07-14 | Mcafee, Inc. | Indicating website reputations during website manipulation of user information |
US7822620B2 (en) * | 2005-05-03 | 2010-10-26 | Mcafee, Inc. | Determining website reputations using automatic testing |
US20060253582A1 (en) * | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Indicating website reputations within search results |
US20060253584A1 (en) * | 2005-05-03 | 2006-11-09 | Dixon Christopher J | Reputation of an entity associated with a content item |
US9384345B2 (en) * | 2005-05-03 | 2016-07-05 | Mcafee, Inc. | Providing alternative web content based on website reputation assessment |
US8566726B2 (en) | 2005-05-03 | 2013-10-22 | Mcafee, Inc. | Indicating website reputations based on website handling of personal information |
US7765481B2 (en) * | 2005-05-03 | 2010-07-27 | Mcafee, Inc. | Indicating website reputations during an electronic commerce transaction |
US20070097976A1 (en) * | 2005-05-20 | 2007-05-03 | Wood George D | Suspect traffic redirection |
US8266327B2 (en) | 2005-06-21 | 2012-09-11 | Cisco Technology, Inc. | Identity brokering in a network element |
JP2007013262A (ja) * | 2005-06-28 | 2007-01-18 | Fujitsu Ltd | ワーム判定プログラム、ワーム判定方法およびワーム判定装置 |
GB0513375D0 (en) | 2005-06-30 | 2005-08-03 | Retento Ltd | Computer security |
FR2889394A1 (fr) * | 2005-07-26 | 2007-02-02 | France Telecom | Dispositif d'interception et d'analyse de trafic pour terminal |
US8191008B2 (en) | 2005-10-03 | 2012-05-29 | Citrix Systems, Inc. | Simulating multi-monitor functionality in a single monitor environment |
CA2623120C (en) | 2005-10-05 | 2015-03-24 | Byres Security Inc. | Network security appliance |
US7623857B1 (en) * | 2005-10-21 | 2009-11-24 | At&T Intellectual Property I, L.P. | Intelligent pico-cell for transport of wireless device communications over wireline networks |
US8046833B2 (en) * | 2005-11-14 | 2011-10-25 | Sourcefire, Inc. | Intrusion event correlation with network discovery information |
US7733803B2 (en) * | 2005-11-14 | 2010-06-08 | Sourcefire, Inc. | Systems and methods for modifying network map attributes |
DE102006004409A1 (de) * | 2006-01-31 | 2007-08-09 | Advanced Micro Devices, Inc., Sunnyvale | SRAM-Zelle mit selbststabilisierenden Transistorstrukturen |
US20070198420A1 (en) * | 2006-02-03 | 2007-08-23 | Leonid Goldstein | Method and a system for outbound content security in computer networks |
FR2897175A1 (fr) * | 2006-02-09 | 2007-08-10 | Atmel Corp | Appareil et procede pour la detection, et la recuperation depuis, un acces inapproprie au bus dans le domaine technique des circuits microcontroleurs |
US8077708B2 (en) * | 2006-02-16 | 2011-12-13 | Techguard Security, Llc | Systems and methods for determining a flow of data |
US8826411B2 (en) * | 2006-03-15 | 2014-09-02 | Blue Coat Systems, Inc. | Client-side extensions for use in connection with HTTP proxy policy enforcement |
US8701196B2 (en) | 2006-03-31 | 2014-04-15 | Mcafee, Inc. | System, method and computer program product for obtaining a reputation associated with a file |
US7724678B1 (en) * | 2006-06-14 | 2010-05-25 | Oracle America, Inc. | Method and apparatus for testing a communication link |
US8326296B1 (en) | 2006-07-12 | 2012-12-04 | At&T Intellectual Property I, L.P. | Pico-cell extension for cellular network |
US7948988B2 (en) * | 2006-07-27 | 2011-05-24 | Sourcefire, Inc. | Device, system and method for analysis of fragments in a fragment train |
US7701945B2 (en) | 2006-08-10 | 2010-04-20 | Sourcefire, Inc. | Device, system and method for analysis of segments in a transmission control protocol (TCP) session |
US7991899B2 (en) * | 2006-09-12 | 2011-08-02 | Morgan Stanley | Systems and methods for establishing rules for communication with a host |
WO2008045302A2 (en) * | 2006-10-06 | 2008-04-17 | Sourcefire, Inc. | Device, system and method for use of micro-policies in intrusion detection/prevention |
WO2008098260A1 (en) * | 2007-02-09 | 2008-08-14 | Smobile Systems, Inc. | Off-line mms malware scanning system and method |
US8069352B2 (en) | 2007-02-28 | 2011-11-29 | Sourcefire, Inc. | Device, system and method for timestamp analysis of segments in a transmission control protocol (TCP) session |
US8209417B2 (en) * | 2007-03-08 | 2012-06-26 | Oracle International Corporation | Dynamic resource profiles for clusterware-managed resources |
EP2156290B1 (de) * | 2007-04-30 | 2020-03-25 | Cisco Technology, Inc. | Echtzeit-bewusstsein für ein computernetzwerk |
US8908700B2 (en) | 2007-09-07 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for bridging a WAN accelerator with a security gateway |
US8236476B2 (en) | 2008-01-08 | 2012-08-07 | International Business Machines Corporation | Multiple exposure photolithography methods and photoresist compositions |
DE102008007029B4 (de) * | 2008-01-31 | 2014-07-03 | Globalfoundries Dresden Module One Limited Liability Company & Co. Kg | Betrieb einer elektronischen Schaltung mit körpergesteuertem Doppelkanaltransistor und SRAM-Zelle mit körpergesteuertem Doppelkanaltransistor |
US8474043B2 (en) * | 2008-04-17 | 2013-06-25 | Sourcefire, Inc. | Speed and memory optimization of intrusion detection system (IDS) and intrusion prevention system (IPS) rule processing |
US8126496B2 (en) * | 2008-05-07 | 2012-02-28 | At&T Mobility Ii Llc | Signaling-triggered power adjustment in a femto cell |
US8626223B2 (en) * | 2008-05-07 | 2014-01-07 | At&T Mobility Ii Llc | Femto cell signaling gating |
US8719420B2 (en) | 2008-05-13 | 2014-05-06 | At&T Mobility Ii Llc | Administration of access lists for femtocell service |
US8490156B2 (en) * | 2008-05-13 | 2013-07-16 | At&T Mobility Ii Llc | Interface for access management of FEMTO cell coverage |
US8589541B2 (en) | 2009-01-28 | 2013-11-19 | Headwater Partners I Llc | Device-assisted services for protecting network capacity |
US8832777B2 (en) | 2009-03-02 | 2014-09-09 | Headwater Partners I Llc | Adapting network policies based on device service processor configuration |
US8548428B2 (en) | 2009-01-28 | 2013-10-01 | Headwater Partners I Llc | Device group partitions and settlement platform |
US8340634B2 (en) | 2009-01-28 | 2012-12-25 | Headwater Partners I, Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US8406748B2 (en) | 2009-01-28 | 2013-03-26 | Headwater Partners I Llc | Adaptive ambient services |
US8275830B2 (en) | 2009-01-28 | 2012-09-25 | Headwater Partners I Llc | Device assisted CDR creation, aggregation, mediation and billing |
US8626115B2 (en) | 2009-01-28 | 2014-01-07 | Headwater Partners I Llc | Wireless network service interfaces |
US8583781B2 (en) | 2009-01-28 | 2013-11-12 | Headwater Partners I Llc | Simplified service network architecture |
US8402111B2 (en) | 2009-01-28 | 2013-03-19 | Headwater Partners I, Llc | Device assisted services install |
US8346225B2 (en) | 2009-01-28 | 2013-01-01 | Headwater Partners I, Llc | Quality of service for device assisted services |
US8504032B2 (en) | 2008-06-12 | 2013-08-06 | At&T Intellectual Property I, L.P. | Femtocell service registration, activation, and provisioning |
US8856926B2 (en) * | 2008-06-27 | 2014-10-07 | Juniper Networks, Inc. | Dynamic policy provisioning within network security devices |
US8478852B1 (en) | 2008-08-20 | 2013-07-02 | At&T Mobility Ii Llc | Policy realization framework of a communications network |
US9712331B1 (en) | 2008-08-20 | 2017-07-18 | At&T Mobility Ii Llc | Systems and methods for performing conflict resolution and rule determination in a policy realization framework |
US8272055B2 (en) * | 2008-10-08 | 2012-09-18 | Sourcefire, Inc. | Target-based SMB and DCE/RPC processing for an intrusion detection system or intrusion prevention system |
US10248996B2 (en) | 2009-01-28 | 2019-04-02 | Headwater Research Llc | Method for operating a wireless end-user device mobile payment agent |
US10057775B2 (en) | 2009-01-28 | 2018-08-21 | Headwater Research Llc | Virtualized policy and charging system |
US10841839B2 (en) | 2009-01-28 | 2020-11-17 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US9955332B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Method for child wireless device activation to subscriber account of a master wireless device |
US10798252B2 (en) | 2009-01-28 | 2020-10-06 | Headwater Research Llc | System and method for providing user notifications |
US11218854B2 (en) | 2009-01-28 | 2022-01-04 | Headwater Research Llc | Service plan design, user interfaces, application programming interfaces, and device management |
US9609510B2 (en) | 2009-01-28 | 2017-03-28 | Headwater Research Llc | Automated credential porting for mobile devices |
US9270559B2 (en) | 2009-01-28 | 2016-02-23 | Headwater Partners I Llc | Service policy implementation for an end-user device having a control application or a proxy agent for routing an application traffic flow |
US10783581B2 (en) | 2009-01-28 | 2020-09-22 | Headwater Research Llc | Wireless end-user device providing ambient or sponsored services |
US10064055B2 (en) | 2009-01-28 | 2018-08-28 | Headwater Research Llc | Security, fraud detection, and fraud mitigation in device-assisted services systems |
US10237757B2 (en) | 2009-01-28 | 2019-03-19 | Headwater Research Llc | System and method for wireless network offloading |
US10484858B2 (en) | 2009-01-28 | 2019-11-19 | Headwater Research Llc | Enhanced roaming services and converged carrier networks with device assisted services and a proxy |
US9572019B2 (en) | 2009-01-28 | 2017-02-14 | Headwater Partners LLC | Service selection set published to device agent with on-device service selection |
US9392462B2 (en) | 2009-01-28 | 2016-07-12 | Headwater Partners I Llc | Mobile end-user device with agent limiting wireless data communication for specified background applications based on a stored policy |
US10200541B2 (en) | 2009-01-28 | 2019-02-05 | Headwater Research Llc | Wireless end-user device with divided user space/kernel space traffic policy system |
US10264138B2 (en) | 2009-01-28 | 2019-04-16 | Headwater Research Llc | Mobile device and service management |
US9706061B2 (en) | 2009-01-28 | 2017-07-11 | Headwater Partners I Llc | Service design center for device assisted services |
US10492102B2 (en) | 2009-01-28 | 2019-11-26 | Headwater Research Llc | Intermediate networking devices |
US10715342B2 (en) | 2009-01-28 | 2020-07-14 | Headwater Research Llc | Managing service user discovery and service launch object placement on a device |
US10779177B2 (en) | 2009-01-28 | 2020-09-15 | Headwater Research Llc | Device group partitions and settlement platform |
US9565707B2 (en) | 2009-01-28 | 2017-02-07 | Headwater Partners I Llc | Wireless end-user device with wireless data attribution to multiple personas |
US9954975B2 (en) | 2009-01-28 | 2018-04-24 | Headwater Research Llc | Enhanced curfew and protection associated with a device group |
US10326800B2 (en) | 2009-01-28 | 2019-06-18 | Headwater Research Llc | Wireless network service interfaces |
US9980146B2 (en) | 2009-01-28 | 2018-05-22 | Headwater Research Llc | Communications device with secure data path processing agents |
CN102598007B (zh) | 2009-05-26 | 2017-03-01 | 韦伯森斯公司 | 有效检测采指纹数据和信息的系统和方法 |
TWI481251B (zh) * | 2009-06-01 | 2015-04-11 | Infoaction Technology Inc | 一種支持非特定網路通訊協議之網路通訊之方法 |
US8510801B2 (en) | 2009-10-15 | 2013-08-13 | At&T Intellectual Property I, L.P. | Management of access to service in an access point |
US8555368B2 (en) * | 2009-12-09 | 2013-10-08 | Intel Corporation | Firewall filtering using network controller circuitry |
US8677486B2 (en) | 2010-04-16 | 2014-03-18 | Sourcefire, Inc. | System and method for near-real time network attack detection, and system and method for unified detection via detection routing |
US8504809B2 (en) | 2010-05-27 | 2013-08-06 | At&T Mobility Ii Llc | Automated communication configuration |
US8433790B2 (en) | 2010-06-11 | 2013-04-30 | Sourcefire, Inc. | System and method for assigning network blocks to sensors |
US8671182B2 (en) | 2010-06-22 | 2014-03-11 | Sourcefire, Inc. | System and method for resolving operating system or service identity conflicts |
US8570566B2 (en) | 2010-09-17 | 2013-10-29 | Printeron Inc. | System and method that provides user interface on mobile network terminal for releasing print jobs based on location information |
US8970873B2 (en) | 2010-09-17 | 2015-03-03 | Printeron Inc. | System and method for managing printer resources on an internal network |
WO2012071646A1 (en) | 2010-11-30 | 2012-06-07 | Printeron Inc. | System for internet enabled printing |
US9246764B2 (en) * | 2010-12-14 | 2016-01-26 | Verizon Patent And Licensing Inc. | Network service admission control using dynamic network topology and capacity updates |
CN103548307B (zh) | 2010-12-30 | 2018-05-29 | 皮尔爱普有限公司 | 通过计算机网络传输数据的方法和系统 |
WO2012092602A2 (en) | 2010-12-30 | 2012-07-05 | Peerapp Ltd. | Methods and systems for caching data communications over computer networks |
US20120260304A1 (en) * | 2011-02-15 | 2012-10-11 | Webroot Inc. | Methods and apparatus for agent-based malware management |
US8601034B2 (en) | 2011-03-11 | 2013-12-03 | Sourcefire, Inc. | System and method for real time data awareness |
US8826275B2 (en) * | 2011-09-01 | 2014-09-02 | Ca, Inc. | System and method for self-aware virtual machine image deployment enforcement |
US8615159B2 (en) | 2011-09-20 | 2013-12-24 | Citrix Systems, Inc. | Methods and systems for cataloging text in a recorded session |
US9100324B2 (en) | 2011-10-18 | 2015-08-04 | Secure Crossing Research & Development, Inc. | Network protocol analyzer apparatus and method |
US9094309B2 (en) | 2012-03-13 | 2015-07-28 | International Business Machines Corporation | Detecting transparent network communication interception appliances |
US9247273B2 (en) | 2013-06-25 | 2016-01-26 | The Nielsen Company (Us), Llc | Methods and apparatus to characterize households with media meter data |
CN103517090B (zh) * | 2013-07-11 | 2016-11-23 | 国家广播电影电视总局广播科学研究院 | 网络流量的测算方法 |
WO2015023253A1 (en) * | 2013-08-12 | 2015-02-19 | Intel Corporation | Managing communications in multiple radio access networks |
US9356882B2 (en) | 2014-02-04 | 2016-05-31 | Printeron Inc. | Streamlined system for the transmission of network resource data |
US9277265B2 (en) | 2014-02-11 | 2016-03-01 | The Nielsen Company (Us), Llc | Methods and apparatus to calculate video-on-demand and dynamically inserted advertisement viewing probability |
US9215214B2 (en) | 2014-02-20 | 2015-12-15 | Nicira, Inc. | Provisioning firewall rules on a firewall enforcing device |
US10803027B1 (en) * | 2014-05-07 | 2020-10-13 | Cisco Technology, Inc. | Method and system for managing file system access and interaction |
US10219039B2 (en) | 2015-03-09 | 2019-02-26 | The Nielsen Company (Us), Llc | Methods and apparatus to assign viewers to media meter data |
US9806948B2 (en) | 2015-06-30 | 2017-10-31 | Nicira, Inc. | Providing firewall rules for workload spread across multiple data centers |
US10348685B2 (en) | 2016-04-29 | 2019-07-09 | Nicira, Inc. | Priority allocation for distributed service rules |
US10135727B2 (en) | 2016-04-29 | 2018-11-20 | Nicira, Inc. | Address grouping for distributed service rules |
US11425095B2 (en) | 2016-05-01 | 2022-08-23 | Nicira, Inc. | Fast ordering of firewall sections and rules |
US11171920B2 (en) | 2016-05-01 | 2021-11-09 | Nicira, Inc. | Publication of firewall configuration |
US11082400B2 (en) | 2016-06-29 | 2021-08-03 | Nicira, Inc. | Firewall configuration versioning |
US11258761B2 (en) | 2016-06-29 | 2022-02-22 | Nicira, Inc. | Self-service firewall configuration |
US10791355B2 (en) | 2016-12-20 | 2020-09-29 | The Nielsen Company (Us), Llc | Methods and apparatus to determine probabilistic media viewing metrics |
US10838739B2 (en) | 2018-04-19 | 2020-11-17 | Circle Media Labs Inc. | Network-connected computing devices and methods for executing operating programs in RAM memory |
US11310202B2 (en) | 2019-03-13 | 2022-04-19 | Vmware, Inc. | Sharing of firewall rules among multiple workloads in a hypervisor |
Family Cites Families (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US5124984A (en) * | 1990-08-07 | 1992-06-23 | Concord Communications, Inc. | Access controller for local area network |
US5606668A (en) * | 1993-12-15 | 1997-02-25 | Checkpoint Software Technologies Ltd. | System for securing inbound and outbound data packet flow in a computer network |
US5720033A (en) | 1994-06-30 | 1998-02-17 | Lucent Technologies Inc. | Security platform and method using object oriented rules for computer-based systems using UNIX-line operating systems |
CA2176775C (en) * | 1995-06-06 | 1999-08-03 | Brenda Sue Baker | System and method for database access administration |
US5742759A (en) | 1995-08-18 | 1998-04-21 | Sun Microsystems, Inc. | Method and system for facilitating access control to system resources in a distributed computer system |
US5826014A (en) * | 1996-02-06 | 1998-10-20 | Network Engineering Software | Firewall system for protecting network elements connected to a public network |
US5884033A (en) | 1996-05-15 | 1999-03-16 | Spyglass, Inc. | Internet filtering system for filtering data transferred over the internet utilizing immediate and deferred filtering actions |
US5727146A (en) | 1996-06-04 | 1998-03-10 | Hewlett-Packard Company | Source address security for both training and non-training packets |
US5835722A (en) | 1996-06-27 | 1998-11-10 | Logon Data Corporation | System to control content and prohibit certain interactive attempts by a person using a personal computer |
US5889958A (en) * | 1996-12-20 | 1999-03-30 | Livingston Enterprises, Inc. | Network access control system and process |
-
1998
- 1998-09-09 US US09/150,264 patent/US6219786B1/en not_active Expired - Lifetime
-
1999
- 1999-08-31 AT AT99116787T patent/ATE315302T1/de active
- 1999-08-31 DE DE69929268T patent/DE69929268T2/de not_active Expired - Lifetime
- 1999-08-31 EP EP99116787A patent/EP0986229B1/de not_active Expired - Lifetime
Also Published As
Publication number | Publication date |
---|---|
US6219786B1 (en) | 2001-04-17 |
ATE315302T1 (de) | 2006-02-15 |
EP0986229A2 (de) | 2000-03-15 |
DE69929268D1 (de) | 2006-03-30 |
EP0986229B1 (de) | 2006-01-04 |
EP0986229A3 (de) | 2002-10-23 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE69929268T2 (de) | Verfahren und System zur Überwachung und Steuerung der Netzzugriffe | |
DE60111089T2 (de) | Verfahren und Vorrichtung zum Analysieren von einer oder mehrerer Firewalls | |
DE60033615T2 (de) | Verfahren und System, um das Verteilen von IP-Datagrammen auf mehrere Server gemäß einer definierten Strategie zu erzwingen | |
DE60216218T2 (de) | Persönlicher Firewall mit Platzabhängiger Funktionalität | |
DE60125954T2 (de) | Adressierung und routen von datenpaketen in einem computer-netzwerk mit hilfe von inhaltsbeschreibenden labeln | |
DE69836271T2 (de) | Mehrstufiges firewall-system | |
DE60203433T2 (de) | Externer Zugriff auf eine gesicherte Vorrichtung in einem privaten Netzwerk | |
DE69934871T2 (de) | Verfahren und System zur optimalen Auswahl eines Webfirewalls in einem TCP/IP Netzwerk | |
DE60210408T2 (de) | Ueberwachung des Datenflusses zur Verbesserung des Netzwerksicherheitsschutzes | |
DE602004011689T2 (de) | Verfahren und System zur Handhabung der Übermittlung von Inhalten in Kommunikationsnetzen | |
DE60213391T2 (de) | Persönlicher Firewall mit Positionsdetektion | |
DE60029879T2 (de) | System zur mehrschichtigen Bereitstellung in Computernetzwerken | |
DE69913176T2 (de) | Verfahren und system zum eingeben von äusserem inhalt in interaktiven netzsitzungen | |
DE10393628B4 (de) | System und Verfahren zum Integrieren mobiler Vernetzung mit sicherheitsbasierten virtuellen privaten Netzwerksystemen (VPNS) | |
DE10297269B4 (de) | Kennzeichnung von Paketen mit einem Nachschlageschlüssel zur leichteren Verwendung eines gemeinsamen Paketweiterleitungs-Cache | |
DE19740547B4 (de) | Vorrichtung und Verfahren zum Sicherstellen sicherer Kommunikation zwischen einer anfordernden Entität und einer bedienenden Entität | |
US7917647B2 (en) | Method and apparatus for rate limiting | |
DE69909839T3 (de) | Optimierte Lokalisierung von Netzwerkbetriebsmittel | |
DE602004008055T2 (de) | Intelligente integrierte netzwerksicherheitseinrichtung | |
DE60221557T2 (de) | Methode und gerät zur adressenübersetzung für gesicherte verbindungen | |
DE60020588T2 (de) | System und Verfahren zur Weiterleitung von Zugriffsversuchen von Benutzern auf eine Netzwerkseite | |
DE69927285T2 (de) | Netzverwaltungssystem | |
DE60028229T2 (de) | Herstellung dynamischer Sitzungen zum Tunnelzugriff in einem Kommunikationsnetzwerk | |
DE10297998B4 (de) | Erstellen verteilter Proxy-Konfigurationen | |
DE19741239A1 (de) | Verallgemeinertes Sicherheitspolitik-Management-System und Verfahren |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
8364 | No opposition during term of opposition | ||
8327 | Change in the person/name/address of the patent owner |
Owner name: WEBSENSE UK LTD., LONDON, GB |