分散コンピュータ・ネットワークに接続されたデバイスへの保護エージェントの自動配備
ネットワーク・トラフィックを監視して、ネットワークの内部に所在するデバイスによって行われる当該ネットワークの外部に所在するリソースとの通信試行、及び、当該ネットワークの外部に所在するデバイスによって行われる当該ネットワークの内部に所在するリソースとのVPNセッションの確立試行を含む、試行されたインターネットワーク通信を検出する。試行されたインターネットワーク通信が検出されると、そのような通信の開始を担当するデバイスが識別される。次に、識別されたデバイスが有効な保護エージェントを実行しているかどうかが判定される。有効な保護エージェントを実行している場合には、試行されたインターネットワーク通信が許可される。有効な保護エージェントを実行していない場合には、試行されたインターネットワーク通信がネットワーク・セキュリティ・ポリシーに従ってブロックされ、識別されたデバイスは、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促され、又は事前にインストールされた保護デバイスを活動化するよう促される。そのように促すプロンプトとしては、保護エージェントのダウンロードを開始するハイパーリンクを挙げることができる。
【発明の詳細な説明】
【技術分野】
【0001】
(関連出願)
本願は、2005年9月7日に出願された米国仮特許出願第60/714605号(「Systems and Methods for Downloading Protection Agents in a Distributed Computer Network」)の利益を主張するものである。
【0002】
本発明は一般にコンピュータ・ネットワーク・セキュリティに関するものである。より具体的には、本発明は分散コンピュータ・ネットワークに接続されたワークステーション、クライアント、サーバ、及び他のデバイスへの保護エージェントの配備に関するものである。
【背景技術】
【0003】
私設コンピュータ・ネットワークはインターネットのような他のネットワークと相互接続されることが多いため、侵入を受けやすくなっている。このため、多くの私設ネットワークは、何らかのタイプの侵入防止システムによって保護されている。侵入防止システムは一般に、コンピュータ及び他のネットワーク・リソースを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方として説明されることがある。侵入防止システムには、ネットワーク侵入防止システム(「ネットワークIPS」)及びホスト・ベース侵入防止システム(「ホスト・ベースIPS」)を含めたいくつかの異なるタイプが存在する。
【0004】
ネットワークIPSは、典型的にはセキュリティ関連イベントを分析し検出し報告するように設計されたハードウェア・プラットフォーム及びソフトウェア・プラットフォームである。ネットワークIPSは、それぞれの構成又はセキュリティ・ポリシーに基づいてトラフィックを検査し、悪意のあるトラフィックを遮断することができる。ネットワークIPSは、ネットワーク・トラフィック・フローに対してインラインで設置され、攻撃を実時間で防止するように設計されている。更に、大部分のネットワークIPSは、益々その認知度が高まるHTTP、FTP、及びSMTPのようないくつかの通信プロトコルをデコードする能力を有する。Internet Security Systems, Inc.(「ISS」)(ジョージア州アトランタ)のProventia(R) Network Multi−Function Security(「Proventia(R) M」とも呼ばれる)のようないくつかのネットワークIPSは、ファイアウォール、VPN、アンチ・ウィルス、ウェブ・フィルタリング、及びアンチ・スパム保護を含めた複数のネットワーク・セキュリティ機能を実行する。
【0005】
ホスト・ベースIPSは、クライアント、ワークステーション、サーバ、他のデバイス等のホスト上で実行されるものであり、ホスト・ベースIPSでは、パケットが復号化され、ファイル・アクセス及びレジストリ・アクセスを細かい粒度で正確に監視することができる。一例として、ISSのProventia(R) Desktop Endpoint Securityは、各種動作を維持し、システム・コンプライアンスを遵守しながら、デスクトップ・ワークステーションをウィルス、ワーム、及び不適切なアクティビティから予防的に保護するように設計されたホスト・ベースIPSである。別の例として、ISSのProventia(R) Server Intrusion Prevention Systemは、ネットワーク・サーバ上に所在する重要性の高い貴重なアプリケーション及び資産に損害を与える恐れのある諸種の脅威を先見的に食い止めるように設計されたホスト・ベースIPSである。ホスト・ベースIPSは、様々なネットワーク・デバイスに配備することができ、集中管理コンソールから制御することができるため、「デスクトップ・エージェント」又は「保護エージェント」と呼ばれることもある。場合によっては、ネットワークIPSは同一ネットワーク内のデバイスに配備された保護エージェント用の管理コンソールとして機能することもできる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
私設ネットワークに接続されるデバイスには、ネットワークの内部に所在する(即ち、ネットワーク・ファイアウォールの背後に所在する)ものもあれば、ネットワークの外部に所在する(即ち、ネットワーク・ファイアウォールを超えているが、仮想私設ネットワーク・セッション等を利用して内部ネットワーク・リソースと通信する)ものもある。最適のシナリオでは、保護エージェントは、私設ネットワークに接続された各デバイスに配備される。このようにすれば、私設ネットワークに接続された各デバイスが侵入やウィルス感染のような無許可のネットワーク通信から個別に保護されることになる。しかしながら、分散コンピュータ・ネットワークの構成は、サーバ、ソフトウェア、クライアント、及び他のデバイスならびにリソースの追加、置き換え、再配置、及び目的変更が行われることがある故に、時間の経過に伴って急速に変化する可能性がある。そのため、保護エージェントが関連する全てのネットワーク・デバイスに確実に配備されるようにすることは、ネットワーク管理者にとって負担の重い作業となり、多くの時間を要する可能性がある。したがって、当業界では、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに効率的に自動配備する方法が必要とされている。
【課題を解決するための手段】
【0007】
本発明は、保護エージェントを分散ネットワークに接続されたデバイスに自動的に配備するシステム及び方法を提供することによって上述の必要を満足させるものである。一般的にいえば、本発明は、ネットワーク・トラフィックを監視するステップと、試行されたインターネットワーク通信(attempted inter−network communication)を検出するステップと、を含む。試行されるインターネットワーク通信は、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行と、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行とを含むことができる。前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィック、あるいは80番ポート及び443番ポートのうちの1つ又は複数のポート上のネットワーク・トラフィックを識別することによって検出することができる。
【0008】
試行されたインターネットワーク通信が検出されたことに応じて、そのような通信の開始を担当するデバイスが識別される。次に、識別された前記デバイスが有効な保護エージェントを実行しているかどうかが判定される。有効な保護エージェントを実行している場合には、試行された前記インターネットワーク通信が許可される。有効な保護エージェントを実行していない場合には、試行された前記インターネットワーク通信がブロックされ、識別されたデバイスは、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促され、又は事前にインストールされた保護デバイスを活動化するよう促される。
【0009】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を収集して記憶することができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、記憶済みの登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むことができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、指定の時間間隔内に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むこともできる。識別された前記デバイスに対して、保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含むことができ、前記指定された記憶ロケーションは、侵入防止システムやネットワーク・サーバ等であってもよい。
【0010】
現時点で最良と考えられる本発明の実施形態を例示する図示の各実施形態に関する以下の詳細な説明を読めば、本発明の上記及び他の態様、特徴、及び実施形態が当業者には理解されるだろう。
【発明を実施するための最良の形態】
【0011】
本発明は、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備するシステム及び方法を提供する。本発明の例示的な諸実施形態に関する以下の説明では添付図面を参照するが、当該添付図面全体を通じて同様の参照符号は同様の要素を指すものとする。図1は、本発明の例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。例示的なコンピュータ・ネットワーク環境100は、私設ネットワーク105及び公衆ネットワーク110を含む少なくとも2つの分散ネットワークを含んでいる。私設ネットワーク105は、ローカル・エリア・ネットワーク(「LAN」)、ワイド・エリア・ネットワーク(「WAN」)、それらの組合せ、あるいは他の任意のイントラネット構成とすることができる。公衆ネットワーク110は、インターネットあるいは他の任意の公衆利用可能なコンピュータ・ネットワークとすることができる。
【0012】
私設ネットワーク105は、サーバ120、クライアント125、他のコンピュータ又は電子デバイスのような1つ又は複数のエンドポイント・デバイスを含むことができる。そのようなデバイスは、ネットワーク・インターフェース・カード、モデム、又はネットワーク通信を確立し受信するのに適した他の手段を介して、私設ネットワーク105に接続することができる。クライアント125は、デスクトップ・コンピュータ125a、ラップトップ・コンピュータ125b、ハンドヘルド・コンピュータ125c等とすることができる。リモート・クライアント125d及び他のデバイス(例えば携帯電話)は、仮想私設ネットワーク(「仮想私設ネットワーク」)165又は他の適切なセキュア通信プロトコルを介して私設ネットワーク105と通信することができる。当業界で周知のとおり、VPN 165は、公衆ネットワーク110から私設ネットワーク105への安全なアクセスを実現する様々なセキュリティ対策のうちの1つ又は複数を使用して確立することができる。
【0013】
また、当業界で周知のとおり、ネットワーク接続可能なデバイス(例えばクライアント125やサーバ120等)は一般に、コンピュータ実行可能な命令を実行するプロセッサと、プログラム・モジュール及びデータを記憶するシステム・メモリ(即ち、適切な記憶媒体)と、当該システム・メモリと処理ユニットとを結合するシステム・バスと、を含む。システム・メモリは、典型的には読取り専用メモリ(「ROM」)又はランダム・アクセス・メモリ(「RAM」)あるいはその両方を含む。また、ネットワーク・デバイスは、それぞれ適切なインターフェースを介してシステム・バスに接続することが可能なハード・ディスク・ドライブ、又は磁気ディスク・ドライブ(即ち、磁気ディスクの読み書きを行うドライブ)、又は光ディスク・ドライブ(即ち、CDやDVDのような光学媒体の読み書きを行うドライブ)、あるいはそれらの全てを含むことができる。そのようなドライブ及びそれらに関連するコンピュータ可読媒体は、コンピュータ・システムの不揮発性ストレージを提供する。コンピュータ・システムに読取り可能な他のタイプの媒体として、磁気カセット、フラッシュ・メモリ・カード、ジップ・ドライブ、ベルヌーイ・カートリッジ等が挙げられることが当業者には理解されるだろう。
【0014】
いくつかのプログラム・モジュールをネットワーク・デバイス内の不揮発性ストレージ(例えばハード・ディスク)、又はシステム・メモリ(例えばRAM)、又は他のコンピュータ可読媒体、あるいはそれらの全てに記憶することができる。ネットワーク・デバイス上にインストールされ実行される典型的なプログラム・モジュールとしては、基本入出力システム(「BIOS」)、オペレーティング・システム、及び1つ又は複数のアプリケーション・プログラムが挙げられる。また、本明細書で使用する「プログラム・モジュール」という用語は、アプリケーション・プログラムの実行可能ファイルやDLL等の各種コンポーネント、及びプロセッサに所望の機能を実行させる他の任意のコンピュータ実行可能な命令を含むものとする。本発明のいくつかの実施形態は、本明細書に記載の様々な方法を実施するコンピュータ実行可能な命令を含む、1つ又は複数の侵入防止システム・プログラム・モジュール又は保護エージェント・プログラム・モジュールあるいはその両方を利用して実施することができる。
【0015】
典型的な私設ネットワーク105は、公衆ネットワーク110又は他の外部ネットワークとの間に所在するゲートウェイ接続のファイアウォール115によって保護される。当業界で周知のとおり、ファイアウォール115は、セキュリティ・ポリシーで禁止される通信を防止するハードウェア又はソフトウェアあるいはその両方である。多くの私設ネットワーク105は、何らかのタイプの侵入防止システム165によっても保護される。ファイアウォール115の場合と同様に、侵入防止システム165も、コンピュータを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方である。しかしながら、ファイアウォール115は、典型的にはIPアドレス又はポートに基づいてアクセス制御の判断を下すが、侵入防止システム165は、アプリケーション・コンテンツに基づいてアクセス制御の判断を下す。
【0016】
場合によっては、IPS機能とファイアウォール機能を単一のデバイスあるいは1組のデバイスに組み合わせることができる。したがって、本明細書で使用する「侵入防止システム」(又は「IPS」)という用語は、広義には、任意の関連管理コンソールを含めて、ネットワークIPS機能又はファイアウォール機能あるいはその両方を実行するハードウェア・プラットフォーム又はソフトウェア・プラットフォームあるいはその両方を意味する。当業界で周知のとおり、ネットワークIPS機能は、ネットワーク・トラフィック・フローの検査及び分析と、セキュリティ・ポリシーに基づいて悪意のあるトラフィックを検出し遮断する能力と、を含む。図1に示されているように、IPS 165は、ファイアウォール115の外側(即ち、公衆ネットワーク110とファイアウォール115の間)、又はファイアウォール115の背後、あるいはその両方に配置することができる。本発明によれば、IPS 165は、例示的な私設ネットワーク105に接続されたクライアント125、サーバ120、及び他のデバイスへの保護エージェント170の配備も管理ように構成されている。
【0017】
IPS 165は、例示的な私設ネットワーク105のような分散コンピュータ・ネットワークで搬送されるネットワーク・トラフィック(「メッセージ・トラフィック」と呼ばれることもある)の監視及び分析を行って、当該ネットワーク・トラフィックに関して実行又は要求されるインターネットワーク・アクセス・アクティビティを検出するように構成することができる。例えば、IPS 165は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを監視することによって、私設ネットワーク105の内部に所在するクライアント125a〜125c又はサーバ120によって行われる、私設ネットワーク105の外部に所在する公衆ネットワーク110又は他のリソースに対するアクセス試行を検出するように構成することができる。それに加えて又はその代わりに、IPS 165は、私設ネットワーク105の内部に所在するデバイスによって生成される80番ポート及び443番ポート上のネットワーク・トラフィックを監視することによって公衆ネットワーク110又は他の外部リソースに対するアクセス試行を検出するように構成することもできる。IPS 165は、私設ネットワーク105に接続された各クライアント125a〜125c、サーバ120、又は他のデバイスを識別するネットワーク構成情報を利用することもできる。したがって、IPS 165は、公衆ネットワーク110又は他の外部ネットワーク・リソースにアクセスしようと試みる、私設ネットワーク105に接続された任意の特定のデバイスを識別することができる。更に、本発明に係るIPS 165は、有効な保護エージェント170を実行していない、私設ネットワーク105に接続されたデバイスとの間の全てのインターネットワーク・トラフィックを遮断するように構成することもできる。
【0018】
いくつかの実施形態において、保護エージェント170は、「プル」モデルを使用してネットワーク・デバイスに配備される。「プル」モデルでは、IPS 165又は別の指定サーバから保護エージェント170をネットワーク・デバイスにインストールするためにダウンロードするかどうかがネットワーク・デバイスによって決定される。一例として、IPS 165は、ネットワーク構成情報に基づいて保護エージェント170aのインストール又は活動化あるいはその両方を促すプロンプトを出すことによって、クライアント125aの試行したウェブ・ブラウジング・アクティビティに応答することができる。保護エージェント170aがまだクライアント125a上にインストールされていない場合には、ユーザは、保護エージェント170aをクライアント125a上にインストールして実行するためのダウンロードを開始することによって上記のプロンプトに応答することができる。いくつかの実施形態において、IPS 165によって発行されるプロンプトは、保護エージェント170aのダウンロードを開始するように活動化することが可能なハイパーリンクを含むことができる。
【0019】
プログラム・モジュールのダウンロードを容易にするハイパーリンクの使用は当業界でよく知られているため、本明細書では具体的な実装について詳細に論じることはしない。当業者なら、ダウンロードを容易にする他の多くの方法及びプログラミング技法が存在し、それらの任意の方法及びプログラミング技法が本発明で採用され得ることを理解するだろう。また、いくつかの代替実施形態では、「プッシュ」モデルを使用して保護エージェント170をネットワーク・デバイスに配備することもできる。「プッシュ」モデルでは、IPS 165又は別の指定サーバは、何らかの理由で保護エージェント170の配信を要求していないデバイスに保護エージェント170を配信するように(又はそのような配信を仕向けるように)構成される。
【0020】
保護エージェント170は、クライアント125上にインストールされ活動化されると同時にIPS 165(又は別の登録デバイス)と連絡を取りあって登録処理を完了させるように構成することができる。いくつかの実施形態において、上記の登録処理によって、登録中の保護エージェント170と、当該保護エージェント170がインストールされているデバイスのIDとをリンク付けする情報をIPS 165に提供することができる。言い換えれば、登録情報は、保護エージェント170のIDと、対応するネットワーク・デバイスのIDと、を含む。登録情報はデータベースに記憶することも、IPS 165と機能的に結合された又はIPS 165からアクセス可能な別の適切な記憶媒体に記憶することもできる。
【0021】
保護エージェント170は更に、それぞれが活動化状態で実行されている間、登録情報をIPS 165(又は別の指定登録デバイス)に絶えず通信するように構成することもできる。例えば、保護エージェント170は、「ハートビート」又は「ポーリング」信号を使用して登録情報を離散的な間隔でIPS 165(又は別の登録デバイス)に連続的に転送することができる。別法として、保護エージェント170は、登録情報を不規則なランダム間隔又は擬似ランダム間隔でIPS 165(又は別の登録デバイス)に転送することもできる。別の例として、IPS 165(又は他の登録デバイス)は、1つ又は複数のネットワーク・デバイスを照会してそれらのネットワーク・デバイスにインストールされている保護エージェント170があれば、それらの保護エージェント170に登録情報を要求することができる。
【0022】
ネットワーク・トラフィック及び他の動作を監視してエージェント・マネージャとして働くIPS 165は、あるネットワーク・デバイスが私設ネットワーク105の外部に所在するインターネット110又は他の任意のリソースにアクセスしようと試みたときに、当該デバイスが有効な保護エージェント170を実行しているかどうかを判定する。IPS 165は、ネットワーク・デバイスのネットワーク・アドレス、MACアドレス、又は他の任意の適切な一意のIDで判定され得る当該ネットワーク・デバイスのIDに基づいて、記憶済みの登録情報を照会して当該デバイスに関連する保護エージェント170が事前に登録されているかどうかを判定する。いくつかの実施形態において、ネットワーク・デバイスは、事前に構成された時間間隔内又は構成可能な時間間隔内に登録されなかった保護エージェント170を実行している場合には、有効な保護エージェント170を実行しているものと見なされないことになる。
【0023】
IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していると判定した場合には、私設ネットワーク105の外部に所在するリソースと通信することを許可する。一方、IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していないと判定した場合には、当該デバイスとの間のインターネットワーク通信の一部又は全部(IPS 165に適用されるセキュリティ・ポリシーによる)をブロックするための措置を取ることになる。例えば、不適格なデバイスとの間のインターネットワーク通信を全てブロックすることが望ましい場合もある。また、不適格なデバイスと、ある程度信頼される外部リソースとの間のインターネットワーク通信が許可され得る場合もある。
【0024】
当該ネットワーク・デバイスのユーザ・インターフェース・ディスプレイを使用して、IPS 165によって取られたアクセス・ブロック措置(blocked−access action)があればその旨をユーザに教示することができる。例えば、IPS 165は、有効な保護エージェントを実行していないネットワーク・デバイスによって試行されたインターネットワーク通信が検出されたことに応じて、当該ネットワーク・デバイスにウェブページ又は他の適切なメッセージの形でプロンプトを送信するように構成することができる。このプロンプトは、私設ネットワーク105の外部に所在するリソースの一部又は全部との間の通信が許可されるには、事前にインストールされた保護エージェント170を活動化しなければならないこと、又は(例えばダウンロードを開始するハイパーリンクを活動化することによって)保護エージェント170をインストールし、活動化しなければならないことを、ユーザに教示することができる。
【0025】
当業界で知られているように、IPS 165は、外部クライアント125d及び他の外部デバイスによってVPNセッションを利用して行われる私設ネットワーク105のリソースに対するアクセス試行を検出する機能も含むことができる。本発明のいくつかの実施形態において、IPS 165は、VPNセッションを確立して保護エージェント170を配備しようと試みる外部デバイスがあればそれを識別するように構成することができる。例えば、エージェント・マネージャとして働くIPS 165は、記憶済みの登録情報を照会して、VPNセッションを確立しようと試みている外部クライアント125dが事前に登録された保護エージェント170dに関連するものかどうかを判定することができ、そうである場合には、当該保護エージェント170dが指定の時間間隔内に登録されたものかどうかを判定することができる。外部クライアント125dが有効な(例えば適時に登録された)保護エージェント170dを実行していると判定された場合には、IPS 165は、当該VPNセッションの継続を許可する。一方、外部クライアント125dが有効な保護エージェント170dを実行していないと判定された場合には、IPS 165は、当該VPNセッションをブロックするための(あるいは、適用可能なセキュリティ・ポリシーにもよるが、当該VPNセッションをいくつかのアクティビティに制限するための)措置を取り、外部クライアント125dのユーザに対して、(例えばダウンロードを開始するハイパーリンクを選択することによる)保護エージェント170dのインストール又は活動化あるいはその両方を促すことができる。
【0026】
図2は、保護エージェント170を分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法200を示す処理フロー図である。例示的な方法200は、開始ブロック201から始まり、ステップ202に進んで分散ネットワークとの間の通信の監視が行われる。次のステップ204で、試行されたインターネットワーク通信が検出される。そのように試行されるインターネットワーク通信は、分散ネットワークの内部に所在するデバイスによって行われる外部リソースとの通信試行であることもある。別の例として、試行されるインターネットワーク通信は、分散ネットワークの外部に所在するデバイスによって行われるインターナル・ネットワーク・リソースとのVPNセッションの確立試行であることもある。試行されたインターネットワーク通信が検出されたことに応じて、ステップ206で、そのような通信を開始しようと試みているデバイスが識別される。前述したように、当該デバイスは、分散ネットワークの内部に所在することも外部に所在することもある。
【0027】
インターネットワーク通信を開始しようと試みているデバイスが識別された後は、ステップ208で、識別されたデバイスが登録済みの保護エージェント170に関連するものかどうかが判定される。例えば、分散ネットワークに接続されたデバイス上で実行されている保護エージェント170は、登録情報を生成し、当該登録情報をIPS 165(又は他の指定登録デバイス)に周期的に提供するように構成することができる。IPS 165(又は他の登録デバイス)は、そのような登録情報をデータベース又は他の適切な記憶媒体に記憶することができ、後に当該登録情報を照会して、登録済みの保護エージェント170が識別されたデバイスに関連するものかどうかを判定することができる。識別されたデバイスが登録済みの保護エージェント170に関連するものである場合には、ステップ210で、当該保護エージェント170が指定の時間間隔内に登録されたものかどうかを更に判定することができる。いくつかの実施形態では、当該時間間隔をネットワーク管理者が指定することができる。このような任意選択の更なる判定を使用することにより、登録済みの保護エージェント170が当該デバイスにおいて活動化状態を維持しながら実行されるのを保証することができる。ステップ210で保護エージェント170が指定の時間間隔内に登録されたことが判定された場合には、ステップ212に進んで、試行されたインターネットワーク通信が許可される。
【0028】
ステップ208で識別されたデバイスが登録済みの保護エージェント170に関連しないものであることが判定された場合、又はステップ210で保護エージェント170が指定の時間間隔内に登録されなかったことが判定された場合には、ステップ214に進んで、試行されたインターネットワーク通信がブロックされる。試行されたインターネットワーク通信がブロックされた後は、ステップ216で、識別されたデバイスは、保護エージェントのインストール又は活動化あるいはその両方を促される。この例示的な方法200は、ステップ216又はステップ212から分散ネットワークとの間の通信の監視が行われるステップ202に戻り、それ以降の各ステップが繰り返されることになる。
【0029】
上記の説明から、本発明によって保護エージェントを分散ネットワークに接続されたデバイスに配備するシステム及び方法が提供されることが分かるだろう。本発明の各方法は、コンピュータ可読媒体上に記憶されるコンピュータ実行可能な命令として実施することができ、本明細書に具体的に記載されているプログラミング技法及び機能以外のプログラミング技法又は機能あるいはその両方を使用して実施することもできることが当業者には理解されるだろう。本発明に関する他の様々な修正形態、特徴、及び実施形態が当業者には明らかとなるだろう。更に、「ネットワーク・デバイス」や「インターネットワーク通信」等、本明細書で使用されるいくつかの用語は参照の便宜のために選択し、概要説明のために使用したものであって、本発明を限定するものではない。
【0030】
そのため、上記では本発明の様々な態様を例示的に説明してきたが、それらの態様は、特に明記しない限り、本発明に必要な要素あるいは本発明の本質的な要素として解釈されることは本出願人の意図するところではないことも理解されるだろう。したがって、上記の説明は、本発明のいくつかの例示的な実施形態を示すものに過ぎず、添付の特許請求の範囲で定義される本発明の趣旨及び範囲から逸脱することがなければ、これらの実施形態に様々な変更を施すことができることを理解していただきたい。更に、本発明は図示の各実施形態に限定されるものではなく、添付の特許請求の範囲内で他の様々な修正を施すことができることも理解していただきたい。
【図面の簡単な説明】
【0031】
【図1】本発明のいくつかの例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。
【図2】本発明のいくつかの例示的な実施形態に係る、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法を示す処理フロー図である。
【技術分野】
【0001】
(関連出願)
本願は、2005年9月7日に出願された米国仮特許出願第60/714605号(「Systems and Methods for Downloading Protection Agents in a Distributed Computer Network」)の利益を主張するものである。
【0002】
本発明は一般にコンピュータ・ネットワーク・セキュリティに関するものである。より具体的には、本発明は分散コンピュータ・ネットワークに接続されたワークステーション、クライアント、サーバ、及び他のデバイスへの保護エージェントの配備に関するものである。
【背景技術】
【0003】
私設コンピュータ・ネットワークはインターネットのような他のネットワークと相互接続されることが多いため、侵入を受けやすくなっている。このため、多くの私設ネットワークは、何らかのタイプの侵入防止システムによって保護されている。侵入防止システムは一般に、コンピュータ及び他のネットワーク・リソースを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方として説明されることがある。侵入防止システムには、ネットワーク侵入防止システム(「ネットワークIPS」)及びホスト・ベース侵入防止システム(「ホスト・ベースIPS」)を含めたいくつかの異なるタイプが存在する。
【0004】
ネットワークIPSは、典型的にはセキュリティ関連イベントを分析し検出し報告するように設計されたハードウェア・プラットフォーム及びソフトウェア・プラットフォームである。ネットワークIPSは、それぞれの構成又はセキュリティ・ポリシーに基づいてトラフィックを検査し、悪意のあるトラフィックを遮断することができる。ネットワークIPSは、ネットワーク・トラフィック・フローに対してインラインで設置され、攻撃を実時間で防止するように設計されている。更に、大部分のネットワークIPSは、益々その認知度が高まるHTTP、FTP、及びSMTPのようないくつかの通信プロトコルをデコードする能力を有する。Internet Security Systems, Inc.(「ISS」)(ジョージア州アトランタ)のProventia(R) Network Multi−Function Security(「Proventia(R) M」とも呼ばれる)のようないくつかのネットワークIPSは、ファイアウォール、VPN、アンチ・ウィルス、ウェブ・フィルタリング、及びアンチ・スパム保護を含めた複数のネットワーク・セキュリティ機能を実行する。
【0005】
ホスト・ベースIPSは、クライアント、ワークステーション、サーバ、他のデバイス等のホスト上で実行されるものであり、ホスト・ベースIPSでは、パケットが復号化され、ファイル・アクセス及びレジストリ・アクセスを細かい粒度で正確に監視することができる。一例として、ISSのProventia(R) Desktop Endpoint Securityは、各種動作を維持し、システム・コンプライアンスを遵守しながら、デスクトップ・ワークステーションをウィルス、ワーム、及び不適切なアクティビティから予防的に保護するように設計されたホスト・ベースIPSである。別の例として、ISSのProventia(R) Server Intrusion Prevention Systemは、ネットワーク・サーバ上に所在する重要性の高い貴重なアプリケーション及び資産に損害を与える恐れのある諸種の脅威を先見的に食い止めるように設計されたホスト・ベースIPSである。ホスト・ベースIPSは、様々なネットワーク・デバイスに配備することができ、集中管理コンソールから制御することができるため、「デスクトップ・エージェント」又は「保護エージェント」と呼ばれることもある。場合によっては、ネットワークIPSは同一ネットワーク内のデバイスに配備された保護エージェント用の管理コンソールとして機能することもできる。
【発明の開示】
【発明が解決しようとする課題】
【0006】
私設ネットワークに接続されるデバイスには、ネットワークの内部に所在する(即ち、ネットワーク・ファイアウォールの背後に所在する)ものもあれば、ネットワークの外部に所在する(即ち、ネットワーク・ファイアウォールを超えているが、仮想私設ネットワーク・セッション等を利用して内部ネットワーク・リソースと通信する)ものもある。最適のシナリオでは、保護エージェントは、私設ネットワークに接続された各デバイスに配備される。このようにすれば、私設ネットワークに接続された各デバイスが侵入やウィルス感染のような無許可のネットワーク通信から個別に保護されることになる。しかしながら、分散コンピュータ・ネットワークの構成は、サーバ、ソフトウェア、クライアント、及び他のデバイスならびにリソースの追加、置き換え、再配置、及び目的変更が行われることがある故に、時間の経過に伴って急速に変化する可能性がある。そのため、保護エージェントが関連する全てのネットワーク・デバイスに確実に配備されるようにすることは、ネットワーク管理者にとって負担の重い作業となり、多くの時間を要する可能性がある。したがって、当業界では、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに効率的に自動配備する方法が必要とされている。
【課題を解決するための手段】
【0007】
本発明は、保護エージェントを分散ネットワークに接続されたデバイスに自動的に配備するシステム及び方法を提供することによって上述の必要を満足させるものである。一般的にいえば、本発明は、ネットワーク・トラフィックを監視するステップと、試行されたインターネットワーク通信(attempted inter−network communication)を検出するステップと、を含む。試行されるインターネットワーク通信は、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行と、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行とを含むことができる。前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィック、あるいは80番ポート及び443番ポートのうちの1つ又は複数のポート上のネットワーク・トラフィックを識別することによって検出することができる。
【0008】
試行されたインターネットワーク通信が検出されたことに応じて、そのような通信の開始を担当するデバイスが識別される。次に、識別された前記デバイスが有効な保護エージェントを実行しているかどうかが判定される。有効な保護エージェントを実行している場合には、試行された前記インターネットワーク通信が許可される。有効な保護エージェントを実行していない場合には、試行された前記インターネットワーク通信がブロックされ、識別されたデバイスは、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促され、又は事前にインストールされた保護デバイスを活動化するよう促される。
【0009】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を収集して記憶することができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、記憶済みの登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むことができる。識別された前記デバイスが有効な保護エージェントを実行していないことを判定するステップは、指定の時間間隔内に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定するステップを含むこともできる。識別された前記デバイスに対して、保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含むことができ、前記指定された記憶ロケーションは、侵入防止システムやネットワーク・サーバ等であってもよい。
【0010】
現時点で最良と考えられる本発明の実施形態を例示する図示の各実施形態に関する以下の詳細な説明を読めば、本発明の上記及び他の態様、特徴、及び実施形態が当業者には理解されるだろう。
【発明を実施するための最良の形態】
【0011】
本発明は、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備するシステム及び方法を提供する。本発明の例示的な諸実施形態に関する以下の説明では添付図面を参照するが、当該添付図面全体を通じて同様の参照符号は同様の要素を指すものとする。図1は、本発明の例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。例示的なコンピュータ・ネットワーク環境100は、私設ネットワーク105及び公衆ネットワーク110を含む少なくとも2つの分散ネットワークを含んでいる。私設ネットワーク105は、ローカル・エリア・ネットワーク(「LAN」)、ワイド・エリア・ネットワーク(「WAN」)、それらの組合せ、あるいは他の任意のイントラネット構成とすることができる。公衆ネットワーク110は、インターネットあるいは他の任意の公衆利用可能なコンピュータ・ネットワークとすることができる。
【0012】
私設ネットワーク105は、サーバ120、クライアント125、他のコンピュータ又は電子デバイスのような1つ又は複数のエンドポイント・デバイスを含むことができる。そのようなデバイスは、ネットワーク・インターフェース・カード、モデム、又はネットワーク通信を確立し受信するのに適した他の手段を介して、私設ネットワーク105に接続することができる。クライアント125は、デスクトップ・コンピュータ125a、ラップトップ・コンピュータ125b、ハンドヘルド・コンピュータ125c等とすることができる。リモート・クライアント125d及び他のデバイス(例えば携帯電話)は、仮想私設ネットワーク(「仮想私設ネットワーク」)165又は他の適切なセキュア通信プロトコルを介して私設ネットワーク105と通信することができる。当業界で周知のとおり、VPN 165は、公衆ネットワーク110から私設ネットワーク105への安全なアクセスを実現する様々なセキュリティ対策のうちの1つ又は複数を使用して確立することができる。
【0013】
また、当業界で周知のとおり、ネットワーク接続可能なデバイス(例えばクライアント125やサーバ120等)は一般に、コンピュータ実行可能な命令を実行するプロセッサと、プログラム・モジュール及びデータを記憶するシステム・メモリ(即ち、適切な記憶媒体)と、当該システム・メモリと処理ユニットとを結合するシステム・バスと、を含む。システム・メモリは、典型的には読取り専用メモリ(「ROM」)又はランダム・アクセス・メモリ(「RAM」)あるいはその両方を含む。また、ネットワーク・デバイスは、それぞれ適切なインターフェースを介してシステム・バスに接続することが可能なハード・ディスク・ドライブ、又は磁気ディスク・ドライブ(即ち、磁気ディスクの読み書きを行うドライブ)、又は光ディスク・ドライブ(即ち、CDやDVDのような光学媒体の読み書きを行うドライブ)、あるいはそれらの全てを含むことができる。そのようなドライブ及びそれらに関連するコンピュータ可読媒体は、コンピュータ・システムの不揮発性ストレージを提供する。コンピュータ・システムに読取り可能な他のタイプの媒体として、磁気カセット、フラッシュ・メモリ・カード、ジップ・ドライブ、ベルヌーイ・カートリッジ等が挙げられることが当業者には理解されるだろう。
【0014】
いくつかのプログラム・モジュールをネットワーク・デバイス内の不揮発性ストレージ(例えばハード・ディスク)、又はシステム・メモリ(例えばRAM)、又は他のコンピュータ可読媒体、あるいはそれらの全てに記憶することができる。ネットワーク・デバイス上にインストールされ実行される典型的なプログラム・モジュールとしては、基本入出力システム(「BIOS」)、オペレーティング・システム、及び1つ又は複数のアプリケーション・プログラムが挙げられる。また、本明細書で使用する「プログラム・モジュール」という用語は、アプリケーション・プログラムの実行可能ファイルやDLL等の各種コンポーネント、及びプロセッサに所望の機能を実行させる他の任意のコンピュータ実行可能な命令を含むものとする。本発明のいくつかの実施形態は、本明細書に記載の様々な方法を実施するコンピュータ実行可能な命令を含む、1つ又は複数の侵入防止システム・プログラム・モジュール又は保護エージェント・プログラム・モジュールあるいはその両方を利用して実施することができる。
【0015】
典型的な私設ネットワーク105は、公衆ネットワーク110又は他の外部ネットワークとの間に所在するゲートウェイ接続のファイアウォール115によって保護される。当業界で周知のとおり、ファイアウォール115は、セキュリティ・ポリシーで禁止される通信を防止するハードウェア又はソフトウェアあるいはその両方である。多くの私設ネットワーク105は、何らかのタイプの侵入防止システム165によっても保護される。ファイアウォール115の場合と同様に、侵入防止システム165も、コンピュータを不正使用から保護するアクセス制御を実施するハードウェア又はソフトウェアあるいはその両方である。しかしながら、ファイアウォール115は、典型的にはIPアドレス又はポートに基づいてアクセス制御の判断を下すが、侵入防止システム165は、アプリケーション・コンテンツに基づいてアクセス制御の判断を下す。
【0016】
場合によっては、IPS機能とファイアウォール機能を単一のデバイスあるいは1組のデバイスに組み合わせることができる。したがって、本明細書で使用する「侵入防止システム」(又は「IPS」)という用語は、広義には、任意の関連管理コンソールを含めて、ネットワークIPS機能又はファイアウォール機能あるいはその両方を実行するハードウェア・プラットフォーム又はソフトウェア・プラットフォームあるいはその両方を意味する。当業界で周知のとおり、ネットワークIPS機能は、ネットワーク・トラフィック・フローの検査及び分析と、セキュリティ・ポリシーに基づいて悪意のあるトラフィックを検出し遮断する能力と、を含む。図1に示されているように、IPS 165は、ファイアウォール115の外側(即ち、公衆ネットワーク110とファイアウォール115の間)、又はファイアウォール115の背後、あるいはその両方に配置することができる。本発明によれば、IPS 165は、例示的な私設ネットワーク105に接続されたクライアント125、サーバ120、及び他のデバイスへの保護エージェント170の配備も管理ように構成されている。
【0017】
IPS 165は、例示的な私設ネットワーク105のような分散コンピュータ・ネットワークで搬送されるネットワーク・トラフィック(「メッセージ・トラフィック」と呼ばれることもある)の監視及び分析を行って、当該ネットワーク・トラフィックに関して実行又は要求されるインターネットワーク・アクセス・アクティビティを検出するように構成することができる。例えば、IPS 165は、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを監視することによって、私設ネットワーク105の内部に所在するクライアント125a〜125c又はサーバ120によって行われる、私設ネットワーク105の外部に所在する公衆ネットワーク110又は他のリソースに対するアクセス試行を検出するように構成することができる。それに加えて又はその代わりに、IPS 165は、私設ネットワーク105の内部に所在するデバイスによって生成される80番ポート及び443番ポート上のネットワーク・トラフィックを監視することによって公衆ネットワーク110又は他の外部リソースに対するアクセス試行を検出するように構成することもできる。IPS 165は、私設ネットワーク105に接続された各クライアント125a〜125c、サーバ120、又は他のデバイスを識別するネットワーク構成情報を利用することもできる。したがって、IPS 165は、公衆ネットワーク110又は他の外部ネットワーク・リソースにアクセスしようと試みる、私設ネットワーク105に接続された任意の特定のデバイスを識別することができる。更に、本発明に係るIPS 165は、有効な保護エージェント170を実行していない、私設ネットワーク105に接続されたデバイスとの間の全てのインターネットワーク・トラフィックを遮断するように構成することもできる。
【0018】
いくつかの実施形態において、保護エージェント170は、「プル」モデルを使用してネットワーク・デバイスに配備される。「プル」モデルでは、IPS 165又は別の指定サーバから保護エージェント170をネットワーク・デバイスにインストールするためにダウンロードするかどうかがネットワーク・デバイスによって決定される。一例として、IPS 165は、ネットワーク構成情報に基づいて保護エージェント170aのインストール又は活動化あるいはその両方を促すプロンプトを出すことによって、クライアント125aの試行したウェブ・ブラウジング・アクティビティに応答することができる。保護エージェント170aがまだクライアント125a上にインストールされていない場合には、ユーザは、保護エージェント170aをクライアント125a上にインストールして実行するためのダウンロードを開始することによって上記のプロンプトに応答することができる。いくつかの実施形態において、IPS 165によって発行されるプロンプトは、保護エージェント170aのダウンロードを開始するように活動化することが可能なハイパーリンクを含むことができる。
【0019】
プログラム・モジュールのダウンロードを容易にするハイパーリンクの使用は当業界でよく知られているため、本明細書では具体的な実装について詳細に論じることはしない。当業者なら、ダウンロードを容易にする他の多くの方法及びプログラミング技法が存在し、それらの任意の方法及びプログラミング技法が本発明で採用され得ることを理解するだろう。また、いくつかの代替実施形態では、「プッシュ」モデルを使用して保護エージェント170をネットワーク・デバイスに配備することもできる。「プッシュ」モデルでは、IPS 165又は別の指定サーバは、何らかの理由で保護エージェント170の配信を要求していないデバイスに保護エージェント170を配信するように(又はそのような配信を仕向けるように)構成される。
【0020】
保護エージェント170は、クライアント125上にインストールされ活動化されると同時にIPS 165(又は別の登録デバイス)と連絡を取りあって登録処理を完了させるように構成することができる。いくつかの実施形態において、上記の登録処理によって、登録中の保護エージェント170と、当該保護エージェント170がインストールされているデバイスのIDとをリンク付けする情報をIPS 165に提供することができる。言い換えれば、登録情報は、保護エージェント170のIDと、対応するネットワーク・デバイスのIDと、を含む。登録情報はデータベースに記憶することも、IPS 165と機能的に結合された又はIPS 165からアクセス可能な別の適切な記憶媒体に記憶することもできる。
【0021】
保護エージェント170は更に、それぞれが活動化状態で実行されている間、登録情報をIPS 165(又は別の指定登録デバイス)に絶えず通信するように構成することもできる。例えば、保護エージェント170は、「ハートビート」又は「ポーリング」信号を使用して登録情報を離散的な間隔でIPS 165(又は別の登録デバイス)に連続的に転送することができる。別法として、保護エージェント170は、登録情報を不規則なランダム間隔又は擬似ランダム間隔でIPS 165(又は別の登録デバイス)に転送することもできる。別の例として、IPS 165(又は他の登録デバイス)は、1つ又は複数のネットワーク・デバイスを照会してそれらのネットワーク・デバイスにインストールされている保護エージェント170があれば、それらの保護エージェント170に登録情報を要求することができる。
【0022】
ネットワーク・トラフィック及び他の動作を監視してエージェント・マネージャとして働くIPS 165は、あるネットワーク・デバイスが私設ネットワーク105の外部に所在するインターネット110又は他の任意のリソースにアクセスしようと試みたときに、当該デバイスが有効な保護エージェント170を実行しているかどうかを判定する。IPS 165は、ネットワーク・デバイスのネットワーク・アドレス、MACアドレス、又は他の任意の適切な一意のIDで判定され得る当該ネットワーク・デバイスのIDに基づいて、記憶済みの登録情報を照会して当該デバイスに関連する保護エージェント170が事前に登録されているかどうかを判定する。いくつかの実施形態において、ネットワーク・デバイスは、事前に構成された時間間隔内又は構成可能な時間間隔内に登録されなかった保護エージェント170を実行している場合には、有効な保護エージェント170を実行しているものと見なされないことになる。
【0023】
IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していると判定した場合には、私設ネットワーク105の外部に所在するリソースと通信することを許可する。一方、IPS 165は、当該ネットワーク・デバイスが有効な保護エージェント170を実行していないと判定した場合には、当該デバイスとの間のインターネットワーク通信の一部又は全部(IPS 165に適用されるセキュリティ・ポリシーによる)をブロックするための措置を取ることになる。例えば、不適格なデバイスとの間のインターネットワーク通信を全てブロックすることが望ましい場合もある。また、不適格なデバイスと、ある程度信頼される外部リソースとの間のインターネットワーク通信が許可され得る場合もある。
【0024】
当該ネットワーク・デバイスのユーザ・インターフェース・ディスプレイを使用して、IPS 165によって取られたアクセス・ブロック措置(blocked−access action)があればその旨をユーザに教示することができる。例えば、IPS 165は、有効な保護エージェントを実行していないネットワーク・デバイスによって試行されたインターネットワーク通信が検出されたことに応じて、当該ネットワーク・デバイスにウェブページ又は他の適切なメッセージの形でプロンプトを送信するように構成することができる。このプロンプトは、私設ネットワーク105の外部に所在するリソースの一部又は全部との間の通信が許可されるには、事前にインストールされた保護エージェント170を活動化しなければならないこと、又は(例えばダウンロードを開始するハイパーリンクを活動化することによって)保護エージェント170をインストールし、活動化しなければならないことを、ユーザに教示することができる。
【0025】
当業界で知られているように、IPS 165は、外部クライアント125d及び他の外部デバイスによってVPNセッションを利用して行われる私設ネットワーク105のリソースに対するアクセス試行を検出する機能も含むことができる。本発明のいくつかの実施形態において、IPS 165は、VPNセッションを確立して保護エージェント170を配備しようと試みる外部デバイスがあればそれを識別するように構成することができる。例えば、エージェント・マネージャとして働くIPS 165は、記憶済みの登録情報を照会して、VPNセッションを確立しようと試みている外部クライアント125dが事前に登録された保護エージェント170dに関連するものかどうかを判定することができ、そうである場合には、当該保護エージェント170dが指定の時間間隔内に登録されたものかどうかを判定することができる。外部クライアント125dが有効な(例えば適時に登録された)保護エージェント170dを実行していると判定された場合には、IPS 165は、当該VPNセッションの継続を許可する。一方、外部クライアント125dが有効な保護エージェント170dを実行していないと判定された場合には、IPS 165は、当該VPNセッションをブロックするための(あるいは、適用可能なセキュリティ・ポリシーにもよるが、当該VPNセッションをいくつかのアクティビティに制限するための)措置を取り、外部クライアント125dのユーザに対して、(例えばダウンロードを開始するハイパーリンクを選択することによる)保護エージェント170dのインストール又は活動化あるいはその両方を促すことができる。
【0026】
図2は、保護エージェント170を分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法200を示す処理フロー図である。例示的な方法200は、開始ブロック201から始まり、ステップ202に進んで分散ネットワークとの間の通信の監視が行われる。次のステップ204で、試行されたインターネットワーク通信が検出される。そのように試行されるインターネットワーク通信は、分散ネットワークの内部に所在するデバイスによって行われる外部リソースとの通信試行であることもある。別の例として、試行されるインターネットワーク通信は、分散ネットワークの外部に所在するデバイスによって行われるインターナル・ネットワーク・リソースとのVPNセッションの確立試行であることもある。試行されたインターネットワーク通信が検出されたことに応じて、ステップ206で、そのような通信を開始しようと試みているデバイスが識別される。前述したように、当該デバイスは、分散ネットワークの内部に所在することも外部に所在することもある。
【0027】
インターネットワーク通信を開始しようと試みているデバイスが識別された後は、ステップ208で、識別されたデバイスが登録済みの保護エージェント170に関連するものかどうかが判定される。例えば、分散ネットワークに接続されたデバイス上で実行されている保護エージェント170は、登録情報を生成し、当該登録情報をIPS 165(又は他の指定登録デバイス)に周期的に提供するように構成することができる。IPS 165(又は他の登録デバイス)は、そのような登録情報をデータベース又は他の適切な記憶媒体に記憶することができ、後に当該登録情報を照会して、登録済みの保護エージェント170が識別されたデバイスに関連するものかどうかを判定することができる。識別されたデバイスが登録済みの保護エージェント170に関連するものである場合には、ステップ210で、当該保護エージェント170が指定の時間間隔内に登録されたものかどうかを更に判定することができる。いくつかの実施形態では、当該時間間隔をネットワーク管理者が指定することができる。このような任意選択の更なる判定を使用することにより、登録済みの保護エージェント170が当該デバイスにおいて活動化状態を維持しながら実行されるのを保証することができる。ステップ210で保護エージェント170が指定の時間間隔内に登録されたことが判定された場合には、ステップ212に進んで、試行されたインターネットワーク通信が許可される。
【0028】
ステップ208で識別されたデバイスが登録済みの保護エージェント170に関連しないものであることが判定された場合、又はステップ210で保護エージェント170が指定の時間間隔内に登録されなかったことが判定された場合には、ステップ214に進んで、試行されたインターネットワーク通信がブロックされる。試行されたインターネットワーク通信がブロックされた後は、ステップ216で、識別されたデバイスは、保護エージェントのインストール又は活動化あるいはその両方を促される。この例示的な方法200は、ステップ216又はステップ212から分散ネットワークとの間の通信の監視が行われるステップ202に戻り、それ以降の各ステップが繰り返されることになる。
【0029】
上記の説明から、本発明によって保護エージェントを分散ネットワークに接続されたデバイスに配備するシステム及び方法が提供されることが分かるだろう。本発明の各方法は、コンピュータ可読媒体上に記憶されるコンピュータ実行可能な命令として実施することができ、本明細書に具体的に記載されているプログラミング技法及び機能以外のプログラミング技法又は機能あるいはその両方を使用して実施することもできることが当業者には理解されるだろう。本発明に関する他の様々な修正形態、特徴、及び実施形態が当業者には明らかとなるだろう。更に、「ネットワーク・デバイス」や「インターネットワーク通信」等、本明細書で使用されるいくつかの用語は参照の便宜のために選択し、概要説明のために使用したものであって、本発明を限定するものではない。
【0030】
そのため、上記では本発明の様々な態様を例示的に説明してきたが、それらの態様は、特に明記しない限り、本発明に必要な要素あるいは本発明の本質的な要素として解釈されることは本出願人の意図するところではないことも理解されるだろう。したがって、上記の説明は、本発明のいくつかの例示的な実施形態を示すものに過ぎず、添付の特許請求の範囲で定義される本発明の趣旨及び範囲から逸脱することがなければ、これらの実施形態に様々な変更を施すことができることを理解していただきたい。更に、本発明は図示の各実施形態に限定されるものではなく、添付の特許請求の範囲内で他の様々な修正を施すことができることも理解していただきたい。
【図面の簡単な説明】
【0031】
【図1】本発明のいくつかの例示的な実施形態を実装するのに適したコンピュータ・ネットワーク環境100を示すブロック図である。
【図2】本発明のいくつかの例示的な実施形態に係る、保護エージェントを分散コンピュータ・ネットワークに接続されたデバイスに配備する例示的な方法を示す処理フロー図である。
【特許請求の範囲】
【請求項1】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するデバイスとの通信試行を検出するステップと、
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
前記判定に応じて、試行された前記通信をブロックし、前記分散ネットワークの内部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
を含む方法。
【請求項2】
請求項1に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項3】
前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
【請求項4】
前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
【請求項5】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、
請求項1に記載の方法。
【請求項6】
請求項5に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項7】
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項4に記載の方法。
【請求項8】
請求項7に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項9】
前記分散ネットワークの内部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項1に記載の方法。
【請求項10】
前記分散ネットワークの内部に所在する前記デバイスは、クライアント及びサーバから成る群から選択される、請求項1に記載の方法。
【請求項11】
試行された前記通信をブロックする前記ステップは、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する少なくとも1つの他のデバイスとの間のネットワーク・トラフィックを許可する一方、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する前記デバイスとの間のネットワーク・トラフィックをブロックするステップを含む、請求項1に記載の方法。
【請求項12】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するデバイスとの仮想私設ネットワーク・セッションの確立試行を検出するステップと、
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
前記判定に応じて、試行された前記仮想私設ネットワーク・セッションをブロックし、前記分散ネットワークの外部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
を含む方法。
【請求項13】
請求項12に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項14】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、
請求項12に記載の方法。
【請求項15】
請求項14に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項16】
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項15に記載の方法。
【請求項17】
請求項16に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項18】
前記分散ネットワークの外部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項12に記載の方法。
【請求項19】
試行された前記仮想私設ネットワーク・セッションをブロックする前記ステップは、少なくとも第2のアクティビティに関して試行された前記仮想私設ネットワーク・セッションを許可する一方、少なくとも第1のアクティビティに対して試行された前記仮想私設ネットワーク・セッションをブロックするステップを含む、請求項12に記載の方法。
【請求項20】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備するシステムであって、
ネットワーク・トラフィックを監視し、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行、及び、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行のうちから選択される、試行されたインターネットワーク通信を検出するネットワーク・トラフィック・モニタと、
試行されたインターネットワーク通信の開始を担当するデバイスを識別し、
識別された前記デバイスが有効な保護エージェントを実行していないことを判定し、
前記判定に応じて、試行された前記インターネットワーク通信をセキュリティ・ポリシーに従ってブロックし、識別された前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促す
コンピュータ実行可能な命令を実行するプロセッサと、
を備えるシステム。
【請求項21】
前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを検出することを含む、請求項20に記載のシステム。
【請求項22】
前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出することを含む、請求項20に記載のシステム。
【請求項23】
分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を受信する通信デバイスと、
前記登録情報を記憶する記憶媒体と、
を更に備え、
識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、前記記憶媒体に記憶されている前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、
請求項20に記載のシステム。
【請求項24】
識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、指定の時間間隔内に前記記憶媒体に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、請求項23に記載のシステム。
【請求項25】
識別された前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促すことは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供することを含む、請求項20に記載のシステム。
【請求項26】
前記指定された記憶ロケーションは、記憶媒体を含む、請求項20に記載のシステム。
【請求項27】
前記指定された記憶ロケーションは、ネットワーク・サーバを含む、請求項20に記載のシステム。
【請求項1】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するデバイスとの通信試行を検出するステップと、
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
前記判定に応じて、試行された前記通信をブロックし、前記分散ネットワークの内部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
を含む方法。
【請求項2】
請求項1に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項3】
前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
【請求項4】
前記分散ネットワークの外部に所在する前記デバイスとの前記通信試行を検出する前記ステップは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出するステップを含む、請求項1に記載の方法。
【請求項5】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、
請求項1に記載の方法。
【請求項6】
請求項5に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項7】
前記分散ネットワークの内部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された登録情報がいずれも前記分散ネットワークの内部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項4に記載の方法。
【請求項8】
請求項7に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項9】
前記分散ネットワークの内部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項1に記載の方法。
【請求項10】
前記分散ネットワークの内部に所在する前記デバイスは、クライアント及びサーバから成る群から選択される、請求項1に記載の方法。
【請求項11】
試行された前記通信をブロックする前記ステップは、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する少なくとも1つの他のデバイスとの間のネットワーク・トラフィックを許可する一方、前記分散ネットワークの内部に所在する前記デバイスと、前記分散ネットワークの外部に所在する前記デバイスとの間のネットワーク・トラフィックをブロックするステップを含む、請求項1に記載の方法。
【請求項12】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備する方法であって、
前記分散ネットワークとの間の通信及び前記分散ネットワーク内部の通信を監視するステップと、
前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するデバイスとの仮想私設ネットワーク・セッションの確立試行を検出するステップと、
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定するステップと、
前記判定に応じて、試行された前記仮想私設ネットワーク・セッションをブロックし、前記分散ネットワークの外部に所在する前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促すステップと、
を含む方法。
【請求項13】
請求項12に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項14】
前記分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を周期的に受信して記憶するステップを更に含み、
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、
請求項12に記載の方法。
【請求項15】
請求項14に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項16】
前記分散ネットワークの外部に所在する前記デバイスが有効な保護エージェントを実行していないことを判定する前記ステップは、指定の時間間隔内に記憶された前記登録情報がいずれも前記分散ネットワークの外部に所在する前記デバイスに対応していないことを判定するステップを含む、請求項15に記載の方法。
【請求項17】
請求項16に記載の方法を実施するコンピュータ実行可能な命令がそれ自体の内部に記憶されているコンピュータ可読媒体。
【請求項18】
前記分散ネットワークの外部に所在する前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促す前記ステップは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供するステップを含む、請求項12に記載の方法。
【請求項19】
試行された前記仮想私設ネットワーク・セッションをブロックする前記ステップは、少なくとも第2のアクティビティに関して試行された前記仮想私設ネットワーク・セッションを許可する一方、少なくとも第1のアクティビティに対して試行された前記仮想私設ネットワーク・セッションをブロックするステップを含む、請求項12に記載の方法。
【請求項20】
保護エージェントを分散ネットワークに接続されたデバイスに自動配備するシステムであって、
ネットワーク・トラフィックを監視し、前記分散ネットワークの内部に所在するデバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行、及び、前記分散ネットワークの外部に所在するデバイスによって行われる前記分散ネットワークの内部に所在するリソースとの仮想私設ネットワーク・セッションの確立試行のうちから選択される、試行されたインターネットワーク通信を検出するネットワーク・トラフィック・モニタと、
試行されたインターネットワーク通信の開始を担当するデバイスを識別し、
識別された前記デバイスが有効な保護エージェントを実行していないことを判定し、
前記判定に応じて、試行された前記インターネットワーク通信をセキュリティ・ポリシーに従ってブロックし、識別された前記デバイスに対して、指定された記憶ロケーションから保護エージェントをダウンロードしてインストールするよう促す
コンピュータ実行可能な命令を実行するプロセッサと、
を備えるシステム。
【請求項21】
前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、HTTP又はHTTPSプロトコルを採用したネットワーク・トラフィックを検出することを含む、請求項20に記載のシステム。
【請求項22】
前記分散ネットワークの内部に所在する前記デバイスによって行われる前記分散ネットワークの外部に所在するリソースとの通信試行を検出することは、前記分散ネットワークの内部に所在する前記デバイスによって生成される、80番ポート及び443番ポートのうちの1つ又は複数のポート上のメッセージ・トラフィックを検出することを含む、請求項20に記載のシステム。
【請求項23】
分散ネットワークに接続されたデバイス上で実行されている保護エージェントによって生成される登録情報を受信する通信デバイスと、
前記登録情報を記憶する記憶媒体と、
を更に備え、
識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、前記記憶媒体に記憶されている前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、
請求項20に記載のシステム。
【請求項24】
識別された前記デバイスが有効な保護エージェントを実行していないことを判定することは、指定の時間間隔内に前記記憶媒体に記憶された前記登録情報がいずれも識別された前記デバイスに対応していないことを判定することを含む、請求項23に記載のシステム。
【請求項25】
識別された前記デバイスに対して、前記保護エージェントをダウンロードしてインストールするよう促すことは、それ自体が活動化されたときに前記指定された記憶ロケーションからの前記保護エージェントの前記ダウンロードを開始するハイパーリンクを提供することを含む、請求項20に記載のシステム。
【請求項26】
前記指定された記憶ロケーションは、記憶媒体を含む、請求項20に記載のシステム。
【請求項27】
前記指定された記憶ロケーションは、ネットワーク・サーバを含む、請求項20に記載のシステム。
【図1】
【図2】
【図2】
【公表番号】特表2009−507454(P2009−507454A)
【公表日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願番号】特願2008−530155(P2008−530155)
【出願日】平成18年9月7日(2006.9.7)
【国際出願番号】PCT/US2006/034665
【国際公開番号】WO2007/030506
【国際公開日】平成19年3月15日(2007.3.15)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
【公表日】平成21年2月19日(2009.2.19)
【国際特許分類】
【出願日】平成18年9月7日(2006.9.7)
【国際出願番号】PCT/US2006/034665
【国際公開番号】WO2007/030506
【国際公開日】平成19年3月15日(2007.3.15)
【出願人】(390009531)インターナショナル・ビジネス・マシーンズ・コーポレーション (4,084)
【氏名又は名称原語表記】INTERNATIONAL BUSINESS MASCHINES CORPORATION
【Fターム(参考)】
[ Back to top ]