[go: up one dir, main page]

JP6262192B2 - ネットワーク伝送を傍受する手段を選択するシステムおよび方法 - Google Patents

ネットワーク伝送を傍受する手段を選択するシステムおよび方法 Download PDF

Info

Publication number
JP6262192B2
JP6262192B2 JP2015244005A JP2015244005A JP6262192B2 JP 6262192 B2 JP6262192 B2 JP 6262192B2 JP 2015244005 A JP2015244005 A JP 2015244005A JP 2015244005 A JP2015244005 A JP 2015244005A JP 6262192 B2 JP6262192 B2 JP 6262192B2
Authority
JP
Japan
Prior art keywords
network transmission
parameters
user equipment
data
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2015244005A
Other languages
English (en)
Other versions
JP2016158236A (ja
Inventor
エム. フィラトブ コンスタンチン
エム. フィラトブ コンスタンチン
ワイ. エリセーエフ エフゲニ
ワイ. エリセーエフ エフゲニ
ブイ. ヤブロコフ ビクター
ブイ. ヤブロコフ ビクター
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Kaspersky Lab AO
Original Assignee
Kaspersky Lab AO
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Kaspersky Lab AO filed Critical Kaspersky Lab AO
Publication of JP2016158236A publication Critical patent/JP2016158236A/ja
Application granted granted Critical
Publication of JP6262192B2 publication Critical patent/JP6262192B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/30Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information
    • H04L63/306Network architectures or network communication protocols for network security for supporting lawful interception, monitoring or retaining of communications or communication related information intercepting packet switched data communications, e.g. Web, Internet or IMS communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0281Proxies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/02Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/082Access security using revocation of authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/084Access security using delegated authorisation, e.g. open authorisation [OAuth] protocol
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/086Access security using security domains
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/08Access security
    • H04W12/088Access security using filters or firewalls

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Technology Law (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Telephonic Communication Services (AREA)
  • Computer And Data Communications (AREA)
  • Mobile Radio Communication Systems (AREA)

Description

本出願は、米国特許法35 U.S.C. 119(a)-(d)に基づいて、2014年12月19日に出願されたロシア特許出願第2014151465について優先権の利益を主張し、本明細書中に援用される。
本開示は、一般的には、ネットワークセキュリティ分野に関するものであり、より具体的には、ネットワークのデータ伝送を傍受する手段を選択する、システムおよび方法に関するものである。
近年、電話、スマートフォン、携帯情報端末(PDA等)などのモバイル機器は、非常に普及して(例えば、2014初頭、ネットワークに接続されたモバイル機器の数は、地球の人口を超えて)いる。それに従って、いくつかの緊急な問題が生じている。個人ユーザのデータセキュリティを確保すること、つまり、悪意のあるソフトウェアのアシストにより実行される盗難および破損に対抗して、このデータを守ること、および、(例えば、モバイル機器を子どもが所有している場合)写真またはビデオクリップなどのわいせつなマルチメディアデータを含む広告、サイトなどの、望ましくない情報へ、または、外部サーバへの望ましくないリンク(例えば、スマートフォンがローミングモードである場合、スマートフォンのソフトウェア・アップデート・サーバ)へのユーザアクセスを防止すること、等である。
これらの問題を解決するための主な方法は、ネットワーク伝送のダウンリンクとアップリンクのどちらも傍受し、伝送データを監視することである。この場合、ネットワークトラフィックを制御するソフトウェアは、どのデータが伝送または受信すべきであるか、どのデータがブロックされるべきであるか、どのデータがユーザによる決断のために確保されるべきであるか、を決定する。
様々な手段は、ネットワークで伝送されるデータを傍受するために使用することができ、それは、プロキシサーバ、VPNクライアント、またはファイアウォール等である。前述の各手段は、利点と欠点がある。例えば、プロキシサーバは、一般的にHTTPトラフィックを傍受するのに最適であり、設定することが容易であり、それは、管理者権限を有することなく、オペレーティングシステムにインストールすることができる。一方、VPNクライアントは、ネットワークに伝送されるデータがどのようなタイプでも動作することが可能であるが、しかし、制御は、より複雑であり、オペレーティングシステムで動作するには管理者権限が必要である。ファイアウォールは、プロキシサーバとVPNクライアントの両方にある、特定の利点を有しているが、モバイル機器のリソースに、より依存する。したがって、インストールされる傍受手段は、しばしば最適に動作しない。
このように、傍受手段の使用における主な問題は、ネットワーク上で伝送されるデータを傍受する現在のタスクに最適な傍受手段を選択し、選択した手段をユーザ機器に実装として落とし込むことである。
以下、開示されるのは、ネットワークで伝送されるデータを傍受する手段を選択し、その後、ユーザ機器のオペレーティングシステムにインストールするシステムおよび方法である。その技術的な結果として、ネットワークデータ伝送のセキュリティが向上し、オペレーティングシステムおよびユーザ機器のリソースの利用を最適化する。
ある例示的な態様において、ネットワーク伝送を傍受する手段を選択する方法は、ハードウェアプロセッサによって、ネットワーク伝送における一つまたは複数のパラメータおよびその伝送を受信するユーザ機器における一つまたは複数のパラメータを、判断する工程と、判断された伝送パラメータとユーザ機器パラメータに基づいて、傍受したネットワーク伝送に対して異なるレベルのセキュリティを提供する複数のネットワーク伝送傍受手段の特性を判断する工程と、複数のネットワーク伝送傍受手段から、ネットワーク伝送パラメータ、ユーザ機器パラメータ、およびネットワーク伝送に必要なセキュリティレベルにマッチする手段を一つ選択する工程と、ユーザ機器によって受信される伝送に対して、必要なセキュリティレベルを提供する選択されたネットワーク伝送傍受手段を、ユーザ機器にインストールする工程を備える、方法である。
別の例示的な態様では、ネットワーク伝送における一つまたは複数のパラメータは、データ伝送ネットワークのタイプ、伝送データのタイプ、および、データ伝送プロトコルのタイプを含んでいる。
別の例示的な態様では、ユーザ機器における一つまたは複数のパラメータは、ユーザ機器のオペレーティングシステムの一つまたは複数のパラメータと、データ伝送を管理するソフトウェアアプリケーション名を含んでいる。
別の例示的な態様では、オペレーティングシステムのパラメータは、オペレーティングシステムのリソースへのアクセス権と、ユーザ機器におけるオペレーティングシステムのリソースの有無(存在)を含む。
別の例示的な様態では、ネットワーク伝送傍受手段の特性は、
特定のタイプのデータを処理する能力と、
データ伝送手段を識別する能力と、
データ受信手段を識別する能力と、
オペレーティングシステムの様々なリソースで動作する能力
を含む。
別の例示的な態様では、セキュリティレベルは、
どのように傍受データを操作することができるか、および
どのような条件において、前記操作が許可されるのか、
の少なくとも一方を示すことができる。
別の態様では、ネットワーク伝送を傍受する手段の選択における例示的なシステムは、
データ収集モジュールと、
データ解析モジュールと、
選択モジュールと、
インストールモジュールを備え、
データ収集モジュールは、ネットワーク伝送における一つまたは複数のパラメータおよびその伝送を受信するユーザ機器における一つまたは複数のパラメータを判断するように構成され、
データ解析モジュールは、判断された伝送パラメータとユーザ機器パラメータに基づいてネットワーク伝送に対して異なるセキュリティレベルを提供する複数のネットワーク伝送傍受手段の特性を判断するように構成され、
選択モジュールは、複数のネットワーク伝送傍受手段の中から、ネットワーク伝送パラメータ、ユーザ機器パラメータ、および、ネットワーク伝送に必要なセキュリティレベルに特性がマッチする手段を一つ選択するように構成され、
インストールモジュールは、ユーザ機器により受信されるネットワーク伝送に対して、必要なセキュリティレベルを提供する選択されたネットワーク伝送傍受手段を、ユーザ機器にインストールするように構成される。
別の態様では、ネットワーク伝送を傍受する手段を選択するために、コンピュータ実行可能命令を格納する非一時的なコンピュータ可読媒体の例であり、
コンピュータ実行可能命令は、
ネットワーク伝送における一つまたは複数のパラメータおよびその伝送を受信するユーザ機器における一つまたは複数のパラメータを判断する命令と、
判断された伝送パラメータおよびユーザ機器パラメータに基づいて、傍受したネットワーク伝送に対して異なるセキュリティレベルを提供する複数のネットワーク伝送傍受手段の特性を判断する命令と、
複数のネットワーク伝送傍受手段から、ネットワーク伝送パラメータ、ユーザ機器パラメータ、およびネットワーク伝送に必要なセキュリティレベルに特性がマッチする手段を選択する命令と、
ユーザ機器によって受信される伝送に対して、必要なセキュリティレベルを提供する選択されたネットワーク伝送傍受手段を、ユーザ機器にインストールする命令を含む。
上記の例示的な態様における簡単な概要は、本開示の基本的な理解を提供するのに役立つ。この概要は、すべての企図される態様の広範囲な概観ではなく、すべての態様の主要または重要な要素のいずれも特定しないことを意図されており、本開示の任意またはすべての態様の範囲を区切るものではないと意図されている。その唯一の目的は、以下の開示における、より詳細な説明の前段階として、簡略化された形式により、一つまたは複数の態様を提示することである。前述における達成のために本開示の一つまたは複数の態様は、説明され、特に請求項に示されている特徴を含むものである。
添付の図面は、本明細書の一部に組み込まれ、構成され、詳細な説明と共に、本開示の一つまたは複数の例である態様を示し、その原理と実装を説明するのに役立つ。
本発明の一態様にかかる、ネットワークデータの伝送を傍受する手段を選択する例示的なシステムのブロック図を示す。 本発明の一態様にかかる、ネットワークデータの伝送を傍受する手段を選択する例示的なシステムのフローチャートを示す。 本発明の一態様にかかる、ネットワークデータの伝送を傍受する手段を選択するシステムおよび方法を実装するために用いることができる、例示的な汎用コンピュータシステムのブロック図を示す。
例示的な態様は、ネットワーク上で伝送されるデータを傍受する手段の選択について、システム、方法およびコンピュータプログラム製品、に関連して本明細書中に記載されている。当業者は、以下の説明が単なる例示であり、限定するものであることを意図するものではないことを理解するであろう。別の態様は、本開示の利益を有する当業者に容易に示唆されるであろう。リファレンスは、添付の図面に示すように現在の例示的な態様の実装について詳細に説明することに役立つだろう。同じ参照符号は、同一または同様の項目を参照できるように、図面および以下の説明を通して、可能な範囲で用いられている。
図1は、ネットワークでのデータ伝送を傍受する手段の選択における、例示的なシステム100のブロック図を示す。システム100は、コンピュータネットワークに接続するために、ネットワークサーバ又はパーソナルコンピュータに実装できる。
システム100は、データ収集モジュール105、オペレーティングシステム101、データ伝送手段102、解析モジュール110、選択ルール111、選択モジュール120、ネットワーク伝送傍受手段121のセット、およびインストールモジュール130を含むことができる。
本明細書で使用する用語「モジュール」は、実世界の機器、コンポーネント、または、ハードウェアを用いて実装されるコンポーネント配置、を意味しており、そのハードウェアとしては、
特定用途向け集積回路(ASIC)、フィールド・プログラマブル・ゲート・アレイ(FPGA)によるものなど、例えば、またはハードウェアとソフトウェアの組み合わせとして、モジュールの機能を実装するため、マイクロプロセッサシステムと命令セットによるものなどがあり、これらは、(実行されている間に)マイクロプロセッサシステムを専用の機器に変換する。
モジュールは、その二つの組み合わせとして実装されることもでき、ハードウェア単体により容易である特定の機能およびハードウェアとソフトウェアの組み合わせにより容易である別の機能を有する。特定の実装において、モジュールの少なくとも一部、および、ある場合においては、モジュール全てついて、汎用コンピュータ(例えば、以下にある図3での更に詳細に説明したもののように)のプロセッサ上で実行することができる。
ある例示的態様では、データ収集モジュール105は、情報ネットワーク伝送と機器のパラメータを判断および収集するように構成され、それは、以下を含むが、それに限定されるものではない。
・ネットワークでのデータ伝送のタイプ
・データ伝送のパラメータ
・ネットワークサーバ、ルータ、ファイアウォール、およびその他のネットワーク機器のような、データ伝送を実行する通信装置のパラメータ
・伝送が傍受される機器におけるオペレーティングシステム101のパラメータ(例えば、スマートフォン、パーソナルコンピュータ、ネットワークサーバ等)
データ収集モジュール105は、解析モジュール110にこのデータを送信するようにさらに構成される。
データ伝送のタイプは、以下を含むが、これらに限定されない。
・イーサネット(登録商標)伝送などの、有線ネットワーク伝送
・Wi-FiまたはBluetooth(登録商標)伝送などの、無線ネットワーク伝送
・4G LTE伝送などの、携帯電話ネットワーク伝送
データ伝送パラメータは、以下を含むが、これらに限定されない。
・伝送されたデータのタイプ(例:画像または実行可能ファイル)
・データ伝送プロトコルのタイプ(例えば、HTTPプロトコル)
・データ伝送手段102のパラメータ、および
・データ受信手段のパラメータ(図示せず)
データ伝送手段102は、パーソナルコンピュータ、スマートフォン、ネットワークサーバ(例:e-コマースウェブサイト)、ストリーミングメディアサーバ等の、データ伝送を生じさせることができるコンピュータを含むことができる。データ伝送手段102のパラメータは、データ伝送の生成を可能とするデータ伝送手段102のドメイン名とIPアドレスを含むことができるが、それに限定されない。
データ受信手段(図示せず)のパラメータは、データ伝送を管理するソフトウェアアプリケーションの名前を含むことができる。
オペレーティングシステムのパラメータは、以下を含むが、それに限定されるものではない。
・オペレーティングシステムのリソースへのアクセス権
・オペレーティングシステムのリソースの有無
例示的な態様では、アクセス権は、コンピュータリソース(ファイル、ドライバー、OSレジストリなど)に対しての、読み込み権限、書き込み権限、および/または、実行権限を含むが、それに限定されない。例えば、アクセス権は、IP番号とドメイン名の間の対応を含む、“c:\windows\system32\drivers\etc\hosts”のようなファイルに対して、変更権限(例:読み書き)を含むことができる。アクセス権の別の例は、ファイルをハードドライブ(例:Cドライブ)に書き込む権限であり、または、コンピュータメモリにデータ或いはファイルを書き込む権限である。さらに、アクセス権の別の例は、OSレジストリキーおよび機器ドライバーを読み込む権限または変更する権限である。
例示的態様において、オペレーティングシステムのリソースは、コンピュータリソースを含むことができ、それは、入力機器、出力機器、ハードドライブ、外部ストレージ機器、RAMなど、プロセッサ稼働率、ネットワーク接続等である。オペレーティングシステムのリソースは、オペレーティングシステムのプロセスおよびスレッドのような、カーネルリソースをさらに含む。オペレーティングシステムのリソースは、オペレーティングシステムの下で実行中のプログラムのリソースをさらに含むことができ、それは設定ファイルのようなものである。例示的態様において、リソースのパラメータは、存在フラグ(リソースはシステム内に存在するか、しないかについて示すフラグ)、アクセス権(システムユーザに対して、読み込み、書き込み、および/または実行する等の権限)、リソースプロパティ(入出力機器の容量、ファイルのサイズ及び位置、アカウント名などの情報)を含む。
ネットワーク伝送傍受手段121の特性は、以下を含むが、それに限定されない。
・ネットワークに伝送される、特定のタイプのデータを処理する能力
・データ伝送手段102を識別する能力
・データ受信手段を識別する能力
・オペレーティングシステムの特定のリソースで動作する能力
ある例示的な態様において、解析モジュール110は、伝送されるデータの特定のセキュリティレベルを保証するデータ伝送手段121の特性を、データ収集モジュール105によって判断されたパラメータを用いて判断し、これらの特性を選択モジュール120に送信するように構成される。
ある例示的な態様において、選択モジュール120は、ネットワーク伝送傍受手段121を選択するように構成され、それは、解析モジュール110から得られた特性とマッチするように選択されたものであり、選択された手段の識別子をインストールモジュール130に伝送するように構成される。
一つの例示的態様において、ネットワーク伝送傍受手段121のセットは、(ハードウェアおよび/またはソフトウェアベースの)データ傍受機器を含み、それは、データのそれぞれのセキュリティレベルを保証するために、ネットワークに伝送されているデータを傍受する操作が可能である。これらの手段は、プロキシサーバ、VPNクライアント、ファイアウォール、および別のタイプのネットワークトラフィック処理装置を含むが、それに限定されるものではない。例えば、ファイアウォールは、クライアント(PCユーザ等の)とサーバ(ウェブサイト等のように)間の接続および/またはデータ交換を許可又は拒否することが必要な場合に、選択されたアプリケーションまたはネットワーク接続におけるネットワークアクティビティを容易に制限するために用いられることができる。ファイアウォールは、PC性能に対する適度な要件となっている本目的にとって、良好なツールである。プロキシサーバはネットワークサービスを実行するソフトウェアであり、それは、クライアントコンピュータが別のネットワークサービスに間接的な問い合わせを送信することを、許可するというものである。ファイアウォールと比べると、それは、一般的に、より多くのオペレーティングシステムリソースを必要とし、より遅くなる。しかしながら、それは、より幅広い性能を有する。ネットワーク接続をブロックすることに加えて、プロキシサーバは、ネットワーク上を伝送しているデータを、傍受、処理、および更新できる。VPNクライアントは、別のネットワークの上位概念で、一つまたはいくつかのネットワーク接続(論理的ネットワーク)を確立するための技術を用いるアプリケーションである。データ傍受に対するそのような手法は、幅広い性能(それは過剰でさえありえる)を有し、しかし、多くの場合、大量のオペレーティングシステムリソース(メモリサイズなど)を必要とし、概してより遅くなる。しかしながら、これは、非常に柔軟な手法であり、それは、セキュリティポリシーがプロキシサーバの使用が許可されない場合、用いられることができる。
ある例示的な態様において、インストールモジュール130は、オペレーティングシステム101のパラメータへのアクセス権を取得し、さらに、受信したネットワーク伝送傍受手段121の識別子を用いてそれらを更新するように構成されている。
ある例示的な態様において、ネットワークでの伝送されたデータを傍受する手段を選択するシステムは、イーコマースサイト(例:amazon.comなど)からブラウザ(例:Google Chrome)へのデータ伝送におけるセキュリティを保証するために用いられることができ、それは、ユーザのスマートフォン(例えば、Google Android OSの制御下)で実行されているものである。そのため、プロキシサーバ等のネットワーク伝送傍受手段121は、イーコマースサイトからデータを受信し、それを処理し、ブラウザへ処理されたデータを伝送するように、選択され、ユーザのスマートフォンにインストールすることができる。
ある例示的な態様において、ウェブサイトアクセスは、次にように取り扱われる。ブラウザがネットワークで受信したデータを処理するのはではなく(例えば、画面に表示し、受信スクリプトを実行することによって)、データは、傍受され、悪意性がチェックされる。安全であると判断された一部のデータは、さらに処理するために、(可能である範囲において)ブラウザに送られる。悪意があると判断されたデータの一部(もしそれがあれば)は、削除され、必要に応じて、新しいデータに置き換えられる。例えば、スパム画像は、そのサイトがスパムを配布しているという、警告画像に置き換えられる。
本プロセスは、ある例示的態様において、伝送傍受手段121を選択するために必要となるパラメータの数を判断するデータ収集モジュール105で開始される。これらのパラメータは、データ伝送のタイプ、データ伝送手段102のパラメータ、およびネットワーク伝送傍受手段121がインストールされているオペレーティングシステム101のパラメータ、を含むが、それに限定されない。例えば、データ収集モジュール105は、データ伝送がWi-Fiネットワークで生じ、データは、httpプロトコルによって伝送されるhtmlコードであり、データ伝送手段102は、サーバamazon.comを含み、データ受信手段は、Google Chromeアプリケーションであり、オペレーティングシステムは、1GB以上の有効作業メモリを有し、android.net.wifi.WifiConfigurationクラスの非公開フィールドを更新できるアクセス権がある、ということを判断する。収集されたデータは、解析モジュール110に送られる。
データ収集モジュール105から受け取ったパラメータに基づいて、データ解析モジュール110は、選択ルール111を用いて、有効なネットワーク伝送傍受手段121の特性を判断する。例示的なルール111は、ネットワーク伝送傍受手段121によって提供されるネットワークで伝送されているデータのセキュリティレベルが、指定された閾値を下回らないように、指示することができる。
データアクセスのセキュリティレベルは、二つの基準を用いて指定することができる。つまり、どのように、データが操作(読み取り、書き込み、実行など)することができるか、そして、どのような条件の下で、その操作は許可されているか、というものである。ある態様において、例示的ルールは、ネットワークを介して伝送されるデータが、(書き込みが許可されている場合)さらなる使用のために、機器に格納されるだけでもよい、(読み書きが許可されている場合)PC上あるデータを更新することができ、または、(実行が許可されている場合)htmlスクリプトの場合と同様に実行することができる、ということを明確にできる。データ操作は、いくつかの別のデータが存在する場合にのみ、可能となっている。そのようなルールの適用例として、画像が画像のスクリプトと一緒に伝送される場合(例:JavaScript(登録商標)を用いる)がありえ、スクリプトが実行を許可されていない場合、その画像は、(単独で受信された画像が、ユーザPC上に格納することができた場合であっても)どちらにしても格納を許可されない。
別の態様において、ブラウザ接続するウェブサイトに対して、たとえば、選択ルール111は、選択された伝送傍受手段121の要求により、次の特性を明確にできる。その特性は、httpプロトコルによって伝送されるデータを処理する能力、傍受されたデータのその源を判断する能力、例えば、そのサイトのIPアドレスまたはそのドメイン名を判断する能力、傍受されたデータが誰によって意図されたものか判断する能力、例えば、amazon.com サイトへリンクを確立しているGoogle Chrome ブラウザの名前またはパスを判断すること、システムにインストールされる能力、例えば、android.net.wifi. WifiConfigurationクラスの非公開フィールドを更新する能力、などである。
別の例において、ブラウザが、ウェブサイトに接続されているとき、受信されたデータは、htmlコード、png画像、およびJavaScript(登録商標)のスクリプトに分けられる。Png画像は、悪意のあるどんなデータも運ぶことはないので、それらは、PCのハードディスクに書き込まれ、実行される、例えば、画像表示可能な任意のプログラムで
スクリーンに表示される。htmlコードとJavaScript(登録商標)のスクリプトは、いずれの権限も付与されないので、傍受時にスキャンされるべきである。スキャン後、それらは、ブラウザによるその後の使用の為、書き込み権限を取得し、セキュリティ設定がかなり弱い場合、実行の権限も得る。htmlコードとJavaScript(登録商標)のスクリプトのスキャンと解析は、悪意性のチェックを含んでいる。例えば、JavaScript(登録商標)ファイルに対して、任意のコンポーネント又は要素が、悪意があると判断された場合、そのセキュリティ権限は、縮小される。例えば、すべての権限が悪質なコードのために禁止され、実行権限はスパムのために禁止される。それゆえ、ネットワークを介して伝送される様々なタイプのデータに対する、オリジナルのセキュリティレベルが用いられ、さらに、受信されたデータは解析された後、それらのセキュリティレベルは、改訂され、つまり、上げられ、または下げられる。
別の態様において、選択ルール111の例としては、選択された伝送傍受手段121の動作速度(例:CPU使用率)が一定の閾値を越えてはならないことを、明確にできる。例えば、セキュリティが脆弱なPC、モバイル機器、または高度な特殊機器で、高機能の伝送傍受手段が有効であったとしても、それは、ユーザ機器がその機能をサポートされてない場合、選択されない。別の例示的な選択ルール111は、有効なリソースの使用が、指定された閾値を超えないように明確にできる。例えば、リソースが、ユーザ機器で限定されている場合、ある伝送傍受手段121が、正常に動作しない、または、まったく動作しない場合が生じ、伝送傍受手段121を選択する前に、機器リソースの使用を確認し、その手段121の制御されない動作を防止することができる。別の例示的な選択ルール111は、クライアントまたはサーバから特定のデータを取得することができる、特定の機能を有するように、選択された伝送傍受手段121を必要としてもよく、それにより、ユーザ機器上にある別のアプリケーションにデータを引き続き伝送することができる。さらに別の選択ルール111の例は、その選択された伝送傍受手段121が、ユーザ機器にある特定のデバイスまたはアプリケーションへのアクセス権を有することを明確にできる。
データ解析モジュール110が、伝送傍受手段121の特性を判断した後、それらは、選択モジュール120へ転送される。
選択モジュール120は、解析手段110から受け取った有効な傍受手段121の特性に基づいて、有効な傍受手段121から、必要なセキュリティレベルとともに、ネットワーク伝送とユーザ機器パラメータがマッチする手段を選択する。例えば、プロキシサーバは、ブラウザ接続に対するサイト用に、(ネットワークを介して伝送されるデータに対して提供される、動作速度、必要なリソース、制御性能、セキュリティの観点から、および、別の基準において)最も適している。傍受手段121が選択された後、その識別子は、インストールモジュール130に送信される。
例示的な態様において、選択モジュール120のメインタスクは、得られた解析結果(接続タイプ、ネットワークを介して伝送されるデータのタイプ、オペレーティングシステムリソース、様々なタスクを実行するユーザPCの性能、これらのタスクに対して必要で有効な権限)を用い、オペレーティングシステムの下で最適なパフォーマンスを得るために、使用されるべき傍受手段121を判断することである。
最適であるということは、望ましい基準のもとで評価されるということである。例えば、最小限のメモリ使用量、パソコン操作の高速化、ユーザPC、および、選択されたレベル設定(損傷、紛失、またはユーザPCに格納されているか、又はネットワーク上で転送されるデータの盗難の防止など)における伝送されたデータ、の向上するセキュリティレベルなどである。
特定のセキュリティレベルが要求される場合、傍受手段は、ネットワークを介して伝送されるデータをどこに、どのように格納するか、および、どのようにこれらのデータが処理され、変更されるか、等に関して、一定の要件に適合しなければならない。例えば、機密データが認証のためのサイトから伝送されたときに、傍受手段121は、ハードドライブにデータをキャッシュすることなく、ランダムアクセスメモリ内でのみ動作できることを意味する。
ファイアウォールを選択するために関連するパラメータの中には、その高い処理速度およびオペレーティングシステムリソースに対する適度な要件がある。しかし、ファイアウォールは、限定された性能を有しており、サイトまたはネットワークサービスなどのネットワークリソースへのアクセス権を付与または拒否するために、一般的に有用である。そのような性能のみが必要とされている場合、ファイアウォールを用いるという選択がなされる。
プロキシサーバは、ネットワークサービスを実装するソフトウェアであり、クライアントコンピュータが別のネットワークサービスへの間接的な問い合わせを送信することを許可している。ファイアウォールと比べて、それは、より多くのオペレーティングシステムリソースを必要とし、より遅い。しかしながら、それは、幅広い範囲の性能を有している。ネットワーク接続をブロックすることに加えて、プロキシサーバは、ネットワークを介して伝送されるデータを傍受、処理、更新が可能である。オペレーティングシステム上にプロキシサーバをインストールすることは、一定のアクセス権限(通常は管理者権限)を必要とする場合がある。そのような権限が利用できない場合、プロキシサーバを使用することはできない。
VPNクライアントは、別のネットワークの上位概念で、一つまたはいくつかのネットワーク接続(論理的ネットワーク)を確立するための技術を用いたアプリケーションである。データ傍受に対するそのような手法は、幅広い性能(それは過剰でさえありえる)を有し、しかし、多くの場合、大量のオペレーティングシステムリソースを必要とし、概して遅い。しかしながら、これは、非常に柔軟な手法であり、それは、セキュリティポリシーがプロキシサーバを使用することを許可されない場合、用いられることができる。
インストール手段130は、ユーザのスマートフォンにあるオペレーティングシステム101に、選択された傍受手段121のインストールを実行する。例えば、プロキシサーバをインストールする場合、相応の変更が、android.net.wifi.WifiConfigurationクラスの非公開フィールドに入力されるだろう。結果として、amazon.comサイトから、ユーザのスマートフォンにあるGoogle Chromeブラウザに、伝送されるデータ(htmlコードの形式)は、ユーザのスマートフォンにインストールされたプロキシサーバによって傍受され、そこで処理されるだろう、(例えば、悪質なコードのために、および、指示されたサイトおよび既存のamazon.comサイトの適合性のために、チェックがなされるであろう)および、処理の結果に応じて、さらにブラウザに伝送されるだろう。選択されたネットワーク伝送傍受手段121がすでにシステムにインストールされている場合、ゆえに、微調整を行うことができ、例えば、ウイルス対策のアップデートをインストールすることができ、管理者権限とユーザのアクセス権限の設定を変更することができる。
図2は、本発明のある態様にかかる、ネットワーク上に伝送されたデータを傍受する手段を選択する例示的な方法のフロー図を示す。一般に、方法200は、以下の工程を含む:工程210においては、データ収集モジュール105は、データ伝送手段(すなわち、ネットワーク内のデータ伝送源)の様々なパラメータを含むネットワークデータを収集する。工程220で、解析モジュール110は、ネットワーク上での様々な伝送に対して、データ伝送手段の識別を試みる。データ伝送手段が特定の伝送であると識別された場合、それから、工程230で、解析モジュール110は、ユーザ機器のオペレーティングシステムのネットワーク設定に対するアクセス権限を得て、ネットワーク伝送傍受手段121をインストールするために、それらを更新する。さらに、工程240で、選択モジュール120は、プロキシサーバをネットワーク伝送傍受手段121として選択し、インストールモジュール130は、選択されたプロキシサーバをユーザ機器にインストールする。プロキシサーバは、次のような理由により、この状況において選択されることができる。ファイアウォールは、このタスクのために、充分な性能を有していない。なぜなら、ネットワーク接続を検出し、ブロックすることはできるが、データを傍受し、処理することはできない。プロキシサーバまたはVPNサーバは、このような状況において必要とされている。VPNクライアントは、あまりにも多くのコンピュータリソース(特に、その幅広い性能の為に)を用いるだろう。したがって、プロキシサーバは、この状況での最適な選択である。
しかしながら、もし、工程220で、解析モジュール110がデータ伝送手段を識別できない場合、その後、工程250において、解析モジュール110は、ネットワークで伝送されるトラフィックのタイプを判断する。HTTPトラフィックのみが伝送される場合、その後、工程260で、選択モジュール120は、ネットワーク伝送傍受手段として、VPNクライアントを選択し、インストールモジュール130は、選択したVPNクライアントをユーザ機器にインストールする。VPNクライアントは、次のような理由により、この状況において選択されることができる。ファイアウォールは、このタスクのために、充分な性能を有していない。なぜなら、ネットワーク接続を検出し、ブロックすることはできるが、データを傍受し、処理することはできない。プロキシサーバまたはVPNサーバは、このような状況において必要とされている。ネットワークを介して伝送されるhttpデータを処理するため、プロキシサーバは、この目的ではインストールされることができず、VPNクライアントは、このタスクのために充分な性能を有しているので、使用されることが好ましい。
しかしながら、もし、工程250で、HTTPトラフィックだけがネットワーク上に伝送されているわけではないと判断された場合、その後、工程230で、解析モジュール110は、ユーザ機器のオペレーティングシステムにおけるネットワーク設定へのアクセス権限を取得し、ネットワーク伝送傍受手段121をインストールするために、それらを更新する。それから、工程240で、選択モジュール120は、ネットワーク伝送傍受手段121としてプロキシサーバを選択し、インストールモジュール130は、選択されたプロキシサーバをユーザ機器にインストールする。プロキシサーバは、次の理由により、この状況において選択されることができる。ファイアウォールは、このタスクのために充分な性能を有していない。なぜなら、ネットワーク接続を検出し、ブロックすることはできるが、データを傍受および処理することはできず、プロキシサーバまたはVPNサーバは、このような状況において必要とされている。プロキシサーバは、サイトとのhttpトラフィックおよび通信を処理でき、またhttp接続の出所を検出できる。したがって、プロキシサーバは、httpトラフィックでの作業のこのタスクのために特に適している。
以下の例では、ネットワーク伝送を傍受する手段を選択する上記の方法を示している。ユーザ機器に有効である二つのネットワーク伝送傍受手段121がある。プロキシサーバとVPNクライアントである。ユーザ機器は、Google Chromeブラウザとamazon.comのウェブサイト間の接続を確立する。
二つの有効なネットワーク伝送傍受手段121のどちらを用いるかを判断し、ネットワークを介して伝送されたデータに最も良いセキュリティを提供するために、ユーザ機器にインストールする必要がある。データ収集モジュール105で得られるパラメータから、解析モジュール110は、接続が確立されているウェブサイトの名前またはIPアドレスが分かるかどうかを判断する。それが判断できる場合、選択モジュール120は、ユーザ機器に対するネットワーク伝送傍受手段121として、プロキシサーバを選択する。インストールモジュール130は、ユーザ機器のOSのクラスandroid.net.wifi.WifiConfigurationの非公開フィールドへのアクセス権限を取得し、それらを更新し、それにより、プロキシサーバをインストールできる。しかし、確立された接続のウェブサイトの名前またはIPアドレスが分からない場合には、ウェブサイトからhttpトラフィックを受信したかどうかについて判断がなされる。もし、そうであるならば(ブラウザ接続のサイトとして扱うように)、プロキシサーバがデータ伝送手段121として選択され、それはユーザ機器にインストールされる。そうでない場合は、VPNクライアントが選択され、ユーザ機器上にインストールされる。
したがって、例えば、プロキシサーバは、ブラウザ接続するウェブサイトのために、選択されるだろう。これにより、(必要な機能のみが、httpプロトコルでの作業に使用されるので)オペレーティングシステムのリソースに、簡単なインストール、柔軟な設定、および最低限の要求を提供できる。
図3は、汎用コンピュータシステム20(パーソナルコンピュータ又はサーバであってもよい)の一例を示し、それは、本明細書に開示されたシステム及び方法の態様を実施するために用いられる。コンピュータシステム20は、中央処理装置21、システムメモリ22と、システムバス23、を含み、それは様々なシステムコンポーネントと接続し、中央処理装置21に関連づけられるメモリを含む。
システムバス23は、従来技術でも知られている任意のバス構造と同様に実現され、順に、バスメモリまたはバスメモリコントローラ、周辺バスおよびローカルバスを含み、それは、任意の別のバスアーキテクチャと相互作用することができる。システムメモリは、読み取り専用メモリ(ROM)24およびランダムアクセスメモリ(RAM)25を含む。基本入力/出力システム(BIOS)26は、基本的なプロシージャーを含み、ROM24を用いたオペレーティングシステムをロードする際と同じように、パーソナルコンピュータ20の要素間での情報の転送を確実にする。
パーソナルコンピュータ20は、次に、データを読み込み及び書き込むためにハードディスク27、リムーバル磁気ディスク29に読み取りおよび書き込みするために磁気ディスクドライブ28、およびリムーバル光学ディスクドライブ31(CD-ROM、DVD-ROM、および別の光学情報メディア)に読み取りおよび書き込みするために光学ドライブ30を含む。ハードディスク27、磁気ディスクドライブ28、および光学ドライブ30は、ハードディスクインターフェース32、磁気ディスクインターフェース33、および光学ドライブインターフェース34それぞれを介して、システムバス23に接続されている。ドライブおよび対応するコンピュータ情報メディアは、パーソナルコンピュータ20における、コンピュータ命令、データ構造、プログラムモジュール、および別のデータを記憶するために、電力的に独立しているモジュールである。
本開示は、ハードディスク27、リムーバブル磁気ディスク29およびリムーバブル光学ディスク31を使用するシステムの実装を提供するが、別のタイプのコンピュータ情報媒体56の採用が可能であることが理解されるべきであり、それは、コンピュータによって読み取り可能な形式でデータを格納することができるもの(半導体ドライブ、フラッシュメモリカード、デジタルディスク、ランダムアクセスメモリ(RAM)など)であり、それは、コントローラ55を介してシステムバス23に接続されている。
コンピュータ20は、ファイルシステム36を有し、そこに、記録されたオペレーティングシステム35が保管され、さらに、追加のプログラムアプリケーション37、その他のプログラムモジュール38およびプログラムデータ39が保管されている。ユーザは、入力装置(キーボード40、マウス42)を使用して、パーソナルコンピュータ20にコマンドおよび情報を入力することができる。別の入力機器(図示せず)を使用することができ、それは、マイクロフォン、ジョイスティック、ゲームコントローラ、スキャナ、およびその他などである。そのような入力機器は、通常、シリアルポート46を介して、コンピュータシステム20に接続され、それは順に、システムバスに接続され、しかし、それらは、パラレルポート、ゲームポート、またはユニバーサルシリアルバス(USB)等の別の方法(図示せず)で接続されることができる。モニター47又は別のタイプのディスプレイ機器は、インターフェース(例えば、ビデオアダプター48)を介して、システムバス23に接続される。モニター47に加えて、パーソナルコンピュータは、ラウドスピーカー、プリンタ等のその他の周辺出力機器(図示せず)を備えることができる。
パーソナルコンピュータ20は、ネットワーク接続を用いて、一つまたは複数のリモートコンピュータ49とネットワーク環境で動作できる。リモートコンピュータ(又はコンピュータ群)49は、また、パーソナルコンピュータまたはサーバであり、それは、前述した要素の大部分またはすべてを有し、図4で示すように、パーソナルコンピュータ20の本質を説明している。その他の機器は、コンピュータネットワーク上にも存在し、それは、ルータ、ネットワークステーション、ピア機器、または、その他のネットワークノードなどである。
ネットワーク接続は、ローカルエリアコンピュータネットワーク(LAN)50とワイドエリアコンピュータネットワーク(WAN)を形成することができる。このようなネットワークは、企業コンピュータネットワークと社内ネットワークで用いられ、さらに、それらは、概して、インターネットへのアクセス権を有している。LANまたはWANネットワークにおいて、パーソナルコンピュータ20は、ネットワークアダプターまたはネットワークインターフェース51を介して、ローカルエリアネットワーク50に接続される。ネットワークが使用されるとき、パーソナルコンピュータ20は、インターネットなどの広域コンピュータネットワークとの通信を提供するために、モデム54又は別のモジュールを使用することができる。内部または外部装置であるモデム54は、シリアルポート46によってシステムバス23に接続されている。ネットワーク接続は、一例であり、ネットワークの正確な構成を示している必要はないことに留意すべきである。すなわち、実際には、技術的な通信モジュールによって、一つのコンピュータと別のコンピュータの接続を確立するという、別の方法がある。
様々な態様において、本明細書で説明されるシステム及び方法は、ハードウェア、ソフトウェア、ファームウェア、またはそれらの任意の組み合わせで実装されることができる。ソフトウェアで実装される場合、方法は、非一時的なコンピュータ可読媒体に、一つまたは複数の命令またはコードとして格納されることができる。コンピュータ可読媒体は、データ記憶装置を含む。限定するものではなく、例として、そのようなコンピュータ可読媒体は、RAM、ROM、EEPROM、CD-ROM、フラッシュメモリ、または、別のタイプの電気的、磁気的、または光学的記憶媒体、または別の媒体を備えることができ、それは、所望のプログラムコードを、命令またはデータ構造の形で、搬送または保管するために使用することができる。それは、汎用コンピュータのプロセッサによってアクセスされることができる。
明確にするために、本態様のルーティン特徴の全てが本明細書に開示されているわけではない。本発明の開示における、どんな実際の実装の開発でも、多くの実装での特有の決定が、開発者の特定の目標を達成するためになされるべきであり、これらの具体的な目標は、異なる実装および異なる開発者で異なるであろうことを、理解されるであろう。そのような開発努力は複雑で時間がかかる可能性があるが、それでも、本開示の利益を有する当業者にとっては、エンジニアリングの日常の仕事であろう。
さらに、本明細書の用語及び表現は、説明の目的のためであり、制限されるものではなく、本明細書での、そのような用語及び表現は、関連技術の熟練の知識と組み合わせて、本明細書で提示される教示および指針に照らして当業者によって解釈されるべきであること、を理解されるべきである。さらに、明細書または特許請求の範囲内の任意の用語に対して、そのように記載された明示がない限り、一般的でない又は特別な意味を帰することは、意図されていない。
本明細書に開示された様々な態様は、実例として、本明細書に言及された、既知のモジュールであって、現在および将来の既知の均等物を包含する。さらに、態様および用途が、示され、説明されてきたが、それは、本開示の利益を有する当業者には、上述したよりも多くの改変が本明細書に開示された発明の概念から逸脱することなく可能であることは、明らかであろう。

Claims (18)

  1. ネットワーク伝送を傍受する手段を選択する方法であって、
    ハードウェアプロセッサによって、ネットワーク伝送における一つまたは複数のパラメータおよび前記ネットワーク伝送を受信するユーザ機器における一つまたは複数のパラメータを判断する工程と、
    前記判断されたネットワーク伝送における一つまたは複数のパラメータ及びユーザ機器における一つまたは複数のパラメータに基づいて、傍受したネットワーク伝送に対して異なるセキュリティレベルを提供する複数のネットワーク伝送傍受手段の特性を判断する工程と、
    前記複数のネットワーク伝送傍受手段から、前記選択された手段の特性が、前記ネットワーク伝送における一つまたは複数のパラメータ、前記ユーザ機器における一つまたは複数のパラメータ、および前記ネットワーク伝送に必要なセキュリティレベルに特性がマッチする手段の一つを選択する工程と、
    前記ユーザ機器によって受信される前記ネットワーク伝送に対して、前記必要なセキュリティレベルを提供する前記選択されたネットワーク伝送傍受手段を、前記ユーザ機器にインストールする工程を備える、方法。
  2. ネットワーク伝送における一つまたは複数のパラメータは、
    データ伝送ネットワークのタイプと、
    伝送されたデータのタイプと、
    データ伝送プロトコルのタイプを
    含むことを特徴とする、請求項1に記載の方法。
  3. 前記ユーザ機器における一つまたは複数のパラメータは、
    前記ユーザ機器のオペレーティングシステムの一つまたは複数のパラメータと、
    前記ネットワーク伝送を管理するソフトウェアアプリケーション名を、
    含むことを特徴とする、請求項1に記載の方法。
  4. 前記オペレーティングシステムのパラメータは、
    前記オペレーティングシステムのリソースへのアクセス権と、
    前記ユーザ機器の前記オペレーティングシステムのリソースの有無を
    含むことを特徴とする、請求項3に記載の方法。
  5. 前記ネットワーク伝送傍受手段の特性は、
    特定のタイプのデータを処理する能力、
    データ伝送手段を識別する能力、
    データ受信手段を識別する能力、および、
    前記ユーザー機器のオペレーティングシステムの様々なリソースで動作する能力、
    を含むことを特徴とする、請求項1に記載の方法。
  6. 前記セキュリティレベルは、
    どのように前記傍受したネットワーク伝送のデータを操作することができるか、および、どのような条件において、前記操作が許可されるのか、の少なくとも一方を示すことができる、請求項1に記載の方法。
  7. データ収集モジュールと、
    データ解析モジュールと、
    選択モジュールと、
    インストールモジュールを備える、ネットワーク伝送を傍受する手段を選択するシステムであり、
    前記データ収集モジュールは、前記ネットワーク伝送における一つまたは複数のパラメータおよび前記ネットワーク伝送を受信するユーザ機器における一つまたは複数のパラメータを判断するように構成され、
    前記データ解析モジュールは、前記判断されたネットワーク伝送における一つまたは複数のパラメータ及びユーザ機器における一つまたは複数のパラメータに基づいて、傍受したネットワーク伝送に対して異なるセキュリティレベルを提供する複数のネットワーク伝送傍受手段の特性を判断するように構成され、
    前記選択モジュールは、前記複数のネットワーク伝送傍受手段から、前記ネットワーク伝送における一つまたは複数のパラメータ、前記ユーザ機器における一つまたは複数のパラメータ、および、ネットワーク伝送に必要なセキュリティレベルに特性がマッチする手段の一つを選択するように構成され、
    前記インストールモジュールは、前記ユーザ機器により受信される前記ネットワーク伝送に対して、前記必要なセキュリティレベルを提供する前記選択されたネットワーク伝送傍受手段を、前記ユーザ機器にインストールするように構成されることを特徴とする、
    ネットワーク伝送を傍受する手段を選択するシステム。
  8. ネットワーク伝送における一つまたは複数のパラメータは、
    データ伝送ネットワークのタイプと、
    伝送されたデータのタイプと、
    データ伝送プロトコルのタイプを
    含むことを特徴とする、請求項7に記載のシステム。
  9. 前記ユーザ機器における一つまたは複数のパラメータは、
    前記ユーザ機器のオペレーティングシステムの一つまたは複数のパラメータと、
    前記ネットワーク伝送を管理するソフトウェアアプリケーション名を、
    含むことを特徴とする、請求項7に記載のシステム。
  10. 前記オペレーティングシステムのパラメータは、
    前記オペレーティングシステムのリソースへのアクセス権と、
    前記ユーザ機器の前記オペレーティングシステムのリソースの有無を
    含むことを特徴とする、請求項9に記載のシステム。
  11. 前記ネットワーク伝送傍受手段の特性は、
    特定のタイプのデータを処理する能力、
    データ伝送手段を識別する能力、
    データ受信手段を識別する能力、および
    前記ユーザー機器のオペレーティングシステムの様々なリソースで動作する能力を含む、
    請求項7に記載のシステム。
  12. 前記セキュリティレベルは、
    どのように前記傍受したネットワーク伝送のデータを操作することができるか、および、どのような条件において、前記操作が許可されるのか、の少なくとも一方を示すことができる、
    請求項7に記載のシステム。
  13. ネットワーク伝送を傍受するための手段を選択するために、コンピュータ実行可能命令を格納する非一時的コンピュータ可読記憶媒体であって、
    前記コンピュータ実行可能命令は、
    ネットワーク伝送における一つまたは複数のパラメータおよび前記ネットワーク伝送を受信するユーザ機器における一つまたは複数のパラメータを判断する命令と、
    前記判断されたネットワーク伝送における一つまたは複数のパラメータ及びユーザ機器における一つまたは複数のパラメータに基づいて、傍受したネットワーク伝送に対して異なるセキュリティレベルを提供する複数のネットワーク伝送傍受手段の特性を判断する命令と、
    複数のネットワーク伝送傍受手段から、前記ネットワーク伝送における一つまたは複数のパラメータ、前記ユーザ機器における一つまたは複数のパラメータ、前記ネットワーク伝送に必要なセキュリティレベルにマッチする手段を一つ選択する命令と、
    前記ユーザ機器によって受信される前記ネットワーク伝送に対して、前記必要なセキュリティレベルを提供する前記選択されたネットワーク伝送傍受手段を、前記ユーザ機器にインストールする命令を含む、
    非一時的コンピュータ可読記憶媒体。
  14. ネットワーク伝送における一つまたは複数のパラメータは、
    データ伝送ネットワークのタイプと、
    伝送されたデータのタイプと、
    データ伝送プロトコルのタイプを
    含むことを特徴とする、請求項13に記載の可読記憶媒体。
  15. 前記ユーザ機器における一つまたは複数のパラメータは、
    前記ユーザ機器のオペレーティングシステムの一つまたは複数のパラメータと、
    前記ネットワーク伝送を管理するソフトウェアアプリケーション名を
    含むことを特徴とする、請求項13に記載の可読記憶媒体。
  16. 前記オペレーティングシステムのパラメータは、
    前記オペレーティングシステムのリソースへのアクセス権と、
    前記ユーザ機器の前記オペレーティングシステムのリソースの有無を
    含むことを特徴とする、請求項15に記載の可読記憶媒体。
  17. 前記ネットワーク伝送傍受手段の特性は、
    特定のタイプのデータを処理する能力、
    データ伝送手段を識別する能力、
    データ受信手段を識別する能力、および、
    前記ユーザー機器のオペレーティングシステムの様々なリソースで動作する能力、
    を含むことを特徴とする、請求項13に記載の可読記憶媒体。
  18. 前記セキュリティレベルは、
    どのように前記傍受したネットワーク伝送のデータを操作することができるか、および、どのような条件において、前記操作が許可されるのか、の少なくとも一方を示すことができる、
    請求項13に記載の可読記憶媒体。
JP2015244005A 2014-12-19 2015-12-15 ネットワーク伝送を傍受する手段を選択するシステムおよび方法 Active JP6262192B2 (ja)

Applications Claiming Priority (4)

Application Number Priority Date Filing Date Title
RU2014151465/08A RU2598337C2 (ru) 2014-12-19 2014-12-19 Система и способ выбора средств перехвата данных, передаваемых по сети
RURU2014151465 2014-12-19
US14/674,594 US9357394B1 (en) 2014-12-19 2015-03-31 System and method for selecting means for intercepting network transmissions
US14/674,594 2015-03-31

Publications (2)

Publication Number Publication Date
JP2016158236A JP2016158236A (ja) 2016-09-01
JP6262192B2 true JP6262192B2 (ja) 2018-01-17

Family

ID=56028016

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015244005A Active JP6262192B2 (ja) 2014-12-19 2015-12-15 ネットワーク伝送を傍受する手段を選択するシステムおよび方法

Country Status (4)

Country Link
US (2) US9357394B1 (ja)
JP (1) JP6262192B2 (ja)
CN (1) CN105721419B (ja)
RU (1) RU2598337C2 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN109951575B (zh) * 2017-12-20 2022-06-10 新智数字科技有限公司 拦截指定域名的方法和系统
CN108566358B (zh) * 2017-12-22 2021-03-26 广州赛意信息科技股份有限公司 一种基于iPhone手机下的iOS系统网络通信拦截方法及系统
RU2702080C1 (ru) * 2018-06-29 2019-10-03 Акционерное общество "Лаборатория Касперского" Способ блокировки сетевых соединений с ресурсами из запрещенных категорий
US12074887B1 (en) * 2018-12-21 2024-08-27 Musarubra Us Llc System and method for selectively processing content after identification and removal of malicious content
CN113055383B (zh) * 2021-03-13 2021-08-24 珠海市鸿瑞信息技术股份有限公司 基于大数据的数据链智能化态势感知系统
CN116962072B (zh) * 2023-08-25 2024-01-26 北京市深海望潮科技有限公司 电力调度数据网的二次安全防护设备的自动化运维方法

Family Cites Families (117)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5889953A (en) * 1995-05-25 1999-03-30 Cabletron Systems, Inc. Policy management and conflict resolution in computer networks
JP3982848B2 (ja) * 1995-10-19 2007-09-26 富士通株式会社 セキュリティレベル制御装置及びネットワーク通信システム
EP1035708B1 (en) * 1999-03-05 2007-01-17 International Business Machines Corporation Method and system for optimally selecting a web firewall in a TCP/IP network
US7401115B1 (en) * 2000-10-23 2008-07-15 Aol Llc Processing selected browser requests
US6389542B1 (en) * 1999-10-27 2002-05-14 Terence T. Flyntz Multi-level secure computer with token-based access control
US6351817B1 (en) * 1999-10-27 2002-02-26 Terence T. Flyntz Multi-level secure computer with token-based access control
US6990591B1 (en) * 1999-11-18 2006-01-24 Secureworks, Inc. Method and system for remotely configuring and monitoring a communication device
JP3544918B2 (ja) * 2000-04-28 2004-07-21 株式会社東芝 無線通信装置及びユーザ認証方法
US7290028B2 (en) * 2000-08-24 2007-10-30 International Business Machines Corporation Methods, systems and computer program products for providing transactional quality of service
US20020069241A1 (en) * 2000-12-06 2002-06-06 Girija Narlikar Method and apparatus for client-side proxy selection
JP3764345B2 (ja) * 2001-03-19 2006-04-05 株式会社エヌ・ティ・ティ・ドコモ 移動通信端末装置及びサーバ装置
JP4252229B2 (ja) * 2001-03-28 2009-04-08 ユミルリンク株式会社 情報交換システム、情報通信端末、情報交換方法、プログラム、および、記録媒体
JP4609826B2 (ja) * 2001-09-17 2011-01-12 古河電気工業株式会社 フィルタ処理方法およびその装置
US20030108205A1 (en) * 2001-12-07 2003-06-12 Bryan Joyner System and method for providing encrypted data to a device
EP1742422B1 (en) * 2001-12-26 2014-01-22 Kabushiki Kaisha Toshiba Wireless communication apparatus
AU2003214850A1 (en) * 2002-01-22 2003-09-04 Xtremespectrum, Inc. Method for determining media qualities
US20040107345A1 (en) * 2002-10-21 2004-06-03 Brandt David D. System and methodology providing automation security protocols and intrusion detection in an industrial controller environment
US6987847B1 (en) * 2003-04-15 2006-01-17 America Online, Inc. Communication device monitoring
US20040213201A1 (en) * 2003-04-28 2004-10-28 Hakan Osterlund Policy based media path selection in a broadband access network
IL165416A0 (en) * 2004-11-28 2006-01-15 Objective data regarding network resources
FR2881595B1 (fr) * 2005-01-28 2007-10-12 Thales Sa Systeme securise d'interconnexion monodirectionnelle
CN100456834C (zh) * 2005-10-17 2009-01-28 华为技术有限公司 H.264多媒体通信的服务质量监测方法
US20070094400A1 (en) 2005-10-20 2007-04-26 Childress Rhonda L Software installation within a federation
US8468589B2 (en) 2006-01-13 2013-06-18 Fortinet, Inc. Computerized system and method for advanced network content processing
US20070124485A1 (en) * 2005-11-30 2007-05-31 Microsoft Corporation Computer system implementing quality of service policy
US7979549B2 (en) * 2005-11-30 2011-07-12 Microsoft Corporation Network supporting centralized management of QoS policies
US8244745B2 (en) * 2005-12-29 2012-08-14 Nextlabs, Inc. Analyzing usage information of an information management system
US8170021B2 (en) * 2006-01-06 2012-05-01 Microsoft Corporation Selectively enabled quality of service policy
JP4592611B2 (ja) * 2006-02-03 2010-12-01 富士通株式会社 パケット通信システム
JP4770494B2 (ja) * 2006-02-03 2011-09-14 株式会社日立製作所 暗号通信方法およびシステム
JP4781139B2 (ja) * 2006-03-20 2011-09-28 キヤノン株式会社 通信装置及びその制御方法
US8997170B2 (en) * 2006-12-29 2015-03-31 Shared Spectrum Company Method and device for policy-based control of radio
US8565766B2 (en) * 2007-02-05 2013-10-22 Wefi Inc. Dynamic network connection system and method
US7843912B2 (en) 2006-08-03 2010-11-30 Citrix Systems, Inc. Systems and methods of fine grained interception of network communications on a virtual private network
US7953889B2 (en) * 2006-08-03 2011-05-31 Citrix Systems, Inc. Systems and methods for routing VPN traffic around network disruption
CN100583765C (zh) * 2006-10-30 2010-01-20 华为技术有限公司 一种生物安全级别模版及其设定方法及装置
US7996467B2 (en) * 2006-08-29 2011-08-09 Oracle International Corporation Techniques for applying policies for real time collaboration
JP4983165B2 (ja) * 2006-09-05 2012-07-25 ソニー株式会社 通信システムおよび通信方法、情報処理装置および方法、デバイス、プログラム、並びに記録媒体
EP2076866A2 (en) * 2006-10-06 2009-07-08 Sourcefire, Inc. Device, system and method for use of micro-policies in intrusion detection/prevention
TW200826571A (en) * 2006-12-08 2008-06-16 Univ Nat Chiao Tung Identification and management system and method applicable to a point-to-point gateway
US8166534B2 (en) * 2007-05-18 2012-04-24 Microsoft Corporation Incorporating network connection security levels into firewall rules
US9325737B2 (en) * 2007-06-28 2016-04-26 Motorola Solutions, Inc. Security based network access selection
WO2009016618A2 (en) * 2007-08-02 2009-02-05 Celtro Ltd. Method and system for identifying udp communications
US7808942B2 (en) * 2007-08-30 2010-10-05 Sprint Spectrum L.P. Policy based mobile-IP address selection and assignment
US8145920B2 (en) * 2007-09-17 2012-03-27 Intel Corporation Techniques for collaborative power management for heterogeneous networks
US8312533B2 (en) * 2007-10-29 2012-11-13 The Boeing Company Virtual local area network switching device and associated computer system and method
US7782869B1 (en) * 2007-11-29 2010-08-24 Huawei Technologies Co., Ltd. Network traffic control for virtual device interfaces
FR2924552B1 (fr) * 2007-11-30 2009-11-20 Thales Sa Procede de securisation d'un canal bidirectionnel de communication et dispositif de mise en oeuvre du procede
KR100950336B1 (ko) * 2007-12-18 2010-03-31 한국전자통신연구원 서비스 연속성을 보장하기 위한 호 제어 방법
EP2073446A1 (en) * 2007-12-21 2009-06-24 British Telecmmunications public limited campany Monitoring of network connections
EP2073439A1 (en) * 2007-12-21 2009-06-24 British Telecmmunications public limited campany Data communication
US8468263B2 (en) * 2008-02-18 2013-06-18 The Boeing Company Onboard network system architecture for improved communication and method of use
EP2983389B1 (en) * 2008-04-30 2017-07-19 Alexander Poltorak Multi-tier and secure service wireless communications networks
US20100192170A1 (en) * 2009-01-28 2010-07-29 Gregory G. Raleigh Device assisted service profile management with user preference, adaptive policy, network neutrality, and user privacy
US8589541B2 (en) * 2009-01-28 2013-11-19 Headwater Partners I Llc Device-assisted services for protecting network capacity
US20100005179A1 (en) * 2008-07-03 2010-01-07 Raytheon Company Multi-Level Secure Network
JP2010026547A (ja) * 2008-07-15 2010-02-04 Fujitsu Ltd ファイアウォール負荷分散方法及びファイアウォール負荷分散システム
JP4881922B2 (ja) * 2008-07-31 2012-02-22 キヤノン株式会社 通信装置、画像入力装置、画像出力装置、無線通信回路、通信装置の制御方法、プログラム
EP2169980A1 (en) * 2008-09-30 2010-03-31 BRITISH TELECOMMUNICATIONS public limited company Dynamic line management
JP2010118993A (ja) * 2008-11-14 2010-05-27 Sharp Corp 電子データ送信装置
US8190581B2 (en) * 2008-12-03 2012-05-29 At&T Intellectual Property I, L.P. Real-time content detection in ISP transmissions
US8645456B2 (en) * 2008-12-10 2014-02-04 At&T Intellectual Property I, L.P. Content access policy management for mobile handheld devices
US9444823B2 (en) * 2008-12-24 2016-09-13 Qualcomm Incorporated Method and apparatus for providing network communication association information to applications and services
US8351898B2 (en) * 2009-01-28 2013-01-08 Headwater Partners I Llc Verifiable device assisted service usage billing with integrated accounting, mediation accounting, and multi-account
US8242892B2 (en) * 2009-02-12 2012-08-14 International Business Machines Corporation System, method and program product for communicating a privacy policy associated with a radio frequency identification tag and associated object
US9092389B2 (en) * 2009-03-16 2015-07-28 Avaya Inc. Advanced availability detection
US8131304B2 (en) * 2009-03-30 2012-03-06 Motorola Solutions, Inc. Dynamic spectrum allocation (DSA) in a communication network
CN101873589B (zh) * 2009-04-21 2016-03-09 华为技术有限公司 多网接入控制方法、通讯系统以及相关设备
JP4895405B2 (ja) * 2009-05-15 2012-03-14 株式会社オプティム 機器のレピュテーションに基づいたセキュリティ管理方法、ネットワーク管理装置、プログラム
KR101262446B1 (ko) * 2009-12-21 2013-05-08 한국전자통신연구원 개인 정보 유출 방지 시스템 및 방법
US8479260B2 (en) * 2009-12-21 2013-07-02 The Boeing Company Multi-level security controls system
US20110154135A1 (en) 2009-12-22 2011-06-23 Research In Motion Limited Method, system and apparatus for installing software on a mobile electronic device via a proxy server
WO2011118008A1 (ja) * 2010-03-25 2011-09-29 富士通株式会社 移動機、パケットフィルタリング方法およびパケットフィルタリングプログラム
US20110280258A1 (en) * 2010-05-17 2011-11-17 Appsware Wireless, Llc System and method for dynamic configuration of session layer retry logic based on signal quality
RU108896U1 (ru) * 2010-05-18 2011-09-27 Закрытое акционерное общество "Лаборатория Касперского" Система для обеспечения общей безопасности мобильных устройств
TW201201616A (en) * 2010-06-18 2012-01-01 Chunghwa Telecom Co Ltd Method for data grading transmission
WO2012033479A1 (en) * 2010-09-07 2012-03-15 Empire Technology Development Llc Dynamic internetwork load balancing
US8769143B2 (en) * 2010-12-06 2014-07-01 At&T Mobility Ii Llc Mobile device application for automatic filtering of transmitted data content
US9609587B2 (en) * 2011-01-31 2017-03-28 Synchronoss Technologies, Inc. System and method for host and OS agnostic management of connected devices through network controlled state alteration
JP5970160B2 (ja) * 2011-01-31 2016-08-17 日本放送協会 受信装置、送信装置、放送システム及びプログラム
US20130019092A1 (en) * 2011-07-14 2013-01-17 Barracuda Inc. System to Embed Enhanced Security / Privacy Functions Into a User Client
WO2013076901A1 (ja) * 2011-11-25 2013-05-30 日本電気株式会社 無線局、及び無線局によるユーザーデータの処理方法
WO2013076898A1 (ja) * 2011-11-25 2013-05-30 日本電気株式会社 無線局、及び無線局によるユーザーデータの処理方法
JP2015510323A (ja) * 2012-01-18 2015-04-02 エルジー エレクトロニクス インコーポレイティド 無線通信システムにおいて多重優先順位制御方法及び装置
JP5541300B2 (ja) * 2012-02-07 2014-07-09 日本電気株式会社 無線通信端末、通信システム、制御装置、通信方法およびプログラム
US9648173B2 (en) * 2012-03-01 2017-05-09 Cellco Partnership Method and system to provide network status information to a device
US10003652B2 (en) * 2012-03-05 2018-06-19 Omnitracs, Llc Managing selective access of a user equipment to internet-based services based on transport type
CN102612095B (zh) * 2012-03-05 2014-08-20 电信科学技术研究院 一种ip数据包的传输方法和设备
CN102541475B (zh) * 2012-03-12 2015-02-04 华为数字技术(成都)有限公司 数据存储方法和数据存储装置
US9461916B2 (en) * 2012-03-26 2016-10-04 Telefonaktiebolaget Lm Ericsson (Publ) Smart delivery of LI data in emergency conditions
WO2013162085A1 (en) * 2012-04-24 2013-10-31 Empire Technology Development Llc Network selection scheme
CN102710629B (zh) * 2012-05-28 2015-08-12 中兴通讯股份有限公司 网络连接方法和系统
US9356804B1 (en) * 2012-06-12 2016-05-31 Amazon Technologies, Inc. Policy-based network connection resource selection
US9125076B2 (en) * 2012-08-02 2015-09-01 Openet Telecom Ltd. System and method for providing detection of signaling-only engagements in a telecommunication network
JP5711317B2 (ja) * 2012-08-03 2015-04-30 日本通信株式会社 ネットワークのサービス品質を制御する方法およびシステム
US9407530B2 (en) * 2012-09-21 2016-08-02 Interdigital Patent Holdings, Inc. Systems and methods for providing DNS server selection using ANDSF in multi-interface hosts
US9253247B2 (en) * 2012-11-21 2016-02-02 Signove Tecnologia S/A Transcoding of communication with personal health devices
CN103885792A (zh) * 2012-12-20 2014-06-25 中国移动通信集团公司 对安装于终端的应用软件进行操作的方法及装置
US9066275B2 (en) * 2012-12-27 2015-06-23 Cellco Partnership Method and system to improve device pinging
JPWO2014119715A1 (ja) * 2013-01-31 2017-01-26 日本電気株式会社 通信端末、通信方法、プログラム、通信システムおよび情報処理装置
US9253632B2 (en) * 2013-03-20 2016-02-02 Blackberry Limited Portable bridge device
US9270551B2 (en) * 2013-04-11 2016-02-23 Cellco Partnership Dynamic reclassification of client devices in a network
US9198013B2 (en) * 2013-05-21 2015-11-24 Verizon Patent And Licensing Inc. Identifying base station types
US9264364B2 (en) * 2013-07-25 2016-02-16 Verizon Patent And Licensing Inc. Transmitting data via a private sub-network of a service provider network
US9479268B2 (en) * 2013-07-31 2016-10-25 Cellco Partnership Filtering interference in wireless networks
US9325718B2 (en) * 2013-08-05 2016-04-26 Tangoe, Inc. System and method for communications routing
US9531652B2 (en) * 2013-08-05 2016-12-27 Tangoe, Inc. Communications routing and contact updates
US9444818B2 (en) * 2013-11-01 2016-09-13 Intuit Inc. Method and system for automatically managing secure communications in multiple communications jurisdiction zones
US9564986B2 (en) * 2013-11-06 2017-02-07 At&T Intellectual Property I, L.P. Latency reduction and range extension system for radio networks
US9553799B2 (en) * 2013-11-12 2017-01-24 Twilio, Inc. System and method for client communication in a distributed telephony network
CN104702577B (zh) * 2013-12-09 2018-03-16 华为技术有限公司 数据流安全处理方法及装置
EP3419346B1 (en) * 2014-01-28 2021-07-28 Openet Telecom Ltd. System and method for performing network selection
US9998859B2 (en) * 2014-02-25 2018-06-12 Bridgewest Finance Llc Systems and methods of location and tracking
US20150271705A1 (en) * 2014-03-18 2015-09-24 Broadcom Corporation Determining Priority Between RAN Rules and ANDSF Rules
US10440622B2 (en) * 2014-04-18 2019-10-08 Avago Technologies International Sales Pte. Limited WLAN offloading using offload preference indication information
US9712563B2 (en) * 2014-07-07 2017-07-18 Cyber-Ark Software Ltd. Connection-specific communication management
US9648591B2 (en) * 2014-08-12 2017-05-09 Amazon Technologies, Inc. Avoiding radio access network congestion

Also Published As

Publication number Publication date
RU2598337C2 (ru) 2016-09-20
RU2014151465A (ru) 2016-07-10
CN105721419A (zh) 2016-06-29
US20160183094A1 (en) 2016-06-23
US10172004B2 (en) 2019-01-01
JP2016158236A (ja) 2016-09-01
US20160242037A1 (en) 2016-08-18
US9357394B1 (en) 2016-05-31
CN105721419B (zh) 2020-02-21

Similar Documents

Publication Publication Date Title
US12225050B2 (en) Distribution and management of services in virtual environments
KR102386560B1 (ko) 하드웨어 기반의 가상화된 보안 격리 기법
JP6262192B2 (ja) ネットワーク伝送を傍受する手段を選択するシステムおよび方法
JP6553524B2 (ja) 専用のコンピュータセキュリティサービスを利用するシステムおよび方法
US8898459B2 (en) Policy configuration for mobile device applications
US8918841B2 (en) Hardware interface access control for mobile applications
EP3716108A1 (en) Cloud-based web content processing system providing client threat isolation and data integrity
JP2024515214A (ja) サイバーセキュリティシステム
US10447726B2 (en) Mitigating attacks on server computers by enforcing platform policies on client computers
EP2659415A1 (en) Systems and methods for malware detection and scanning
CN109688153B (zh) 使用主机应用/程序到用户代理的映射的零日威胁检测
US9705898B2 (en) Applying group policies
US20200218832A1 (en) Automatic Initiation of Execution Analysis
EP3035633B1 (en) System and method for selecting means for intercepting network transmissions
JP6286314B2 (ja) マルウェア通信制御装置

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170223

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170321

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170621

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170711

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20171003

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20171212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20171213

R150 Certificate of patent or registration of utility model

Ref document number: 6262192

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250