专利名称:将保护代理自动部署到连接至分布式计算机网络的设备的制作方法
技术领域:
本发明一般地涉及计算机网络安全。具体而言,本发明涉及将 保护代理部署到连接至分布式计算机网络的工作站、客户端、服务 器和其它设备。
背景技术:
专用计算机网络通常互连到其它网络如因特网并且因此容易 遭到入侵。出于这一原因,很多专用网络通过某类入侵防御系统来 保护。入侵防御系统 一 般可以描述为用于施加访问控制以保护计算 机和其它网络资源免受利用的硬件和/或软件。有若干不同类型的入 侵防雄卩系统,包括网络入侵防御系统("网络IPS")和基于主机的 (host-based)入侵防御系统("基于主机的IPS")。网络IPS通常是设计为分析、检测和报告与安全有关的事件的 硬件和软件平台。网络IPS检查业务,并且基于它们的配置和安全 策略,可以丟弃恶意业务。网络IPS被设计为符合网络业务流并且 实时防御攻击。此外,多数网络IPS具有对某些通信协议如HTTP、 FTP和SMTP进行解码的能力,这提供了更强的认知能力。 一些网 络IPS如佐治亚州亚特兰大市Internet Security Systems ^>司的Proventia Network Multi-Function Security (网络多功能安全)(也 称为"Proventia M")执行多个网络安全功能,包括防火墙、VPN、 抗病毒、Web过滤和反垃;及邮件4呆护。基于主机的IPS在如客户端、工作站、服务器或者其它设备之 类的主机上运行,其中已经对分组进行解密并且可以有粒度地(granularly)和准确地监一见文件访问和注册表访问。作为一个例子, ISS的Proventia Desktop Endpoint Security (桌面端点安全)是如下 基于主机的IPS,该IPS被设计为在保持操作运行和加强系统顺应性(system compliance )的同时优先地保护桌面工作站免于遭受病毒、 蠕虫和异常活动。作为另 一例子,ISS的Proventia Server Intrusion Prevention System (服务器入侵防御系统)是设计为前摄地停止如下 威胁的基于主机的IPS,这些威胁可能危及驻留于网络服务器上的宝 贵和关键的应用及固定设备。基于主机的IPS有时称为"桌面代理" 或者"保护代理,,,因为它们可以部署到各种网络设备并且从中央管 理控制台来控制。在一些情况下,网络IPS对于部署到同一网络内 的设备上的代理而言也可以作为管理控制台来工作。连接至专用网络的设备可以在网络内部(即在网络防火墙后 面)或者在网络外部(即在网络防火墙以外但是通过虚拟专用网络 会话等与内部网络资源通信)。在最优情景中,保护代理将部署到 连接至专用网络的各设备。以这一方式,将单独地保护连接至专用 网络的各设备免于遭受未授权网络通信,比如入侵和病毒感染。然 而,由于对服务器、工作站、客户端以及其它设备和资源进行添加、 更换、重新定位和重新设定用途,所以分布式计算机网络的配置可 能随时间快速地改变。因此,保证保护代理部署到所有有关网络设 备对于网络管理员而言可能既繁瑣又耗时。因而,在本领域中需要一种用于将保护代理部署到连接至分布式计算机网络的设备的高效 且自动的方法。发明内容本发明通过提供用于将保护代理自动部署到连接至分布式网 络的设备来满足上述需要。 一般而言,本发明涉及到监视网络业务 和检测所尝试的网络间通信。所尝试的网络间通信可以包括分布式 网络内部的设备对与分布式网络外部的资源通信的尝试以及分布式 网络外部的设备对建立与分布式网络内部的资源的虛拟专用网络会话的尝试。可以通过识别采用HTTP或者HTTPS协议的网络业务或 者在端口 80和端口 433中一个或者多个端口上的网络业务来检测分 布式网络内部的设备对与分布式网络外部的资源通信的尝试。响应于检测到所尝试的网络间通信,识别负责发起这样的通信 的设备。然后,确定所识别的设备是否在运行有效保护代理。如果 是这样,则允许所尝试的网络间通信。如果不是,则阻止所尝试的 网络间通信并且提示所识别的设备从指定存储位置下载和安装保护 代理或者激活先前安装的保护设备。可以收集和存储在连接至分布式网络的设备上运行的保护代理所生成的注册信息。确定所识别的设备是否在运行有效保护代理可以涉及到确定所存储的注册信息都不对应于所识别的设备。确定所识别的设备没有运行有效保护代理也可以涉及到确定在指定时间间隔内存储的注册信息都不对应于所识别的设备。提示所识别的设 备下载和安装保护代理可以涉及到提供在被激活时将启动从指定存储位置下载保护代理的超链接,该指定存储位置可以是入侵防御系 统、网络服务器等。在考虑对当前认识到的例示用于实施本发明的最佳实施方式 的所示实施例的以下具体描述时,本发明的这些和其它方面、特征 以及实施例对于本领域技术人员而言将变得明显。
图1是图示了用于实施本发明某些示例实施例的适当计算机网 络环境100的框图。署到连接至分布式计算机网络的设备的示例方法的处理流程图。
具体实施方式
本发明提供了用于将保护代理部署到连接至分布式计算机网 络的设备的系统和方法。对本发明示例实施例的以下描述将参照附 图,在附图中相似的标号在数幅图中通篇地指代相似的单元。图1是图示了用于实施本发明示例实施例的适当计算机网络环境100的 框图。示例计算机网络环境100包括至少两个分布式网络,包括专 用网络105和公共网络110。专用网络105可以是局域网("LAN")、 广域网("WAN")、其组合或者任何其它内网配置。公共网络110 可以是因特网或者任何其它可公共访问的计算机网络。专用网络105可以包括一个或者多个端点设备,比如服务器 120、客户端125和其它计算机或者电子设备。这样的设备可以通过 网络接口卡、调制解调器或者用于建立和接收网络通信的其它适当 装置连接至专用网络105。客户端125可以是桌上型计算机125a、 膝上型计算机125b、手持计算机125c等。远程客户端125d和其它 设备(例如移动电话)可以经由虚拟专用网络("VPN") 165或者其 它适当安全通信协议与专用网络105通信。正如在本领域中公知的, 可以使用各种安全措施中的一种或者多种措施来建立VPN 165以提 供经由公共网络110对专用网络105的安全访问。也正如在本领域中公知的,能够连接至网络的设备(例如客户 端125、服务器120等) 一般包括用于执行计算机可执行指令的处理 器、用于存储程序模块和数据的系统存储器(即适当存储介质)以 及将系统存储器耦合至处理单元的系统总线。系统存储器典型地包 括只读存储器("ROM")和/或随机存取存储器("RAM")。网络设 备也可以包括硬盘驱动器、磁盘驱动器(即用于从磁盘进行读取以 及向磁盘进行写入)和/或光盘驱动器(即用于从光学介质如CD或 者DVD进行读取或者向该光学介质进行写入),这些驱动器各自可 以经由适当接口连接至系统总线。这样的驱动器以及它们的关联计算机可读介质为计算机系统提供非易失性存储设备。本领域技术人 员将认识到计算机系统可读的其它类型的介质包括磁带、闪存卡、ZIP驱动器、Bernoulli盒等。多个程序模块可以存储于非易失性存储设备(例如硬盘)、系 统存储器(例如RAM)和/或网络设备的其它计算机可读介质中。安 装在网络设备上并且由网络设备执行的典型程序模块包括基本输入/ 输出系统("BIOS") 、 ^操作系统和一个或者多个应用程序。如这里 使用的,术语"程序模块"也旨在于涵盖应用程序的组件,比如可执 行文件、DLL等以及任何其它使处理器执行所需功能的计算机可执 行指令。可以通过包括用于执行这里所述各种方法的计算机可执行 指令的一个或者多个入侵防御系统程序模块和/或保护代理程序模块 来实施本发明的某些实施例。典型专用网络105由在通向公共网络110或者其它外部网络的 网关连接处的防火墙115防护。正如在本领域中公知的,防火墙115 是用于防止安全策略所禁止的通信的硬件和/或软件。很多专用网络 105也受到某类入侵防御系统165保护。类似于防火墙115,入侵防 御系统165是用于施加访问控制以保护计算机免受利用的硬件和/或 软件。然而,尽管防火墙115典型地基于IP地址或者端口来做出访 问控制判决,但是入侵防御系统165基于应用内容来做出访问控制 判决。在一些情况下,IPS功能和防火墙功能可以组合到单个设备或 者一组设备中。因而,如这里所用的,术语"入侵防御系统"(或者 "IPS")的意思是广义地指代任何执行或者管理网络IPS功能和/或防 火墙功能的硬件和/或软件平台,包括任何关联管理控制台。正如在 本领域中公知的,网络IPS功能包括对网络业务流的检查和分析, 以及基于安全策略来检测和丢弃恶意业务的能力。如图1中所示,IPS 165可以置于防火墙115以外(即在公共网络110与防火墙115之间) 和/或置于防火墙U5后面。根据本发明,IPS 165也被配置为管理将 保护代理170部署到连接至示例专用网络105的客户端125、服务器120和其它i殳备。IPS 165可以^皮配置为监^见和分析由分布式计算才几网络如示例 专用网络105承载的网络业务(有时称为"消息业务")以检测与其 有关的正在执行或者请求的网络间访问活动。例如,IPS165可以被 配置为监视采用HTTP或者HTTPS协议的网络业务,以由此^f佥测专 用网络105内部的客户端125a-c或者服务器120对访问专用网络105 外部的公共网络IIO或者其它资源的尝试。除此之外或者取而代之, IPS 165还可以纟皮配置为通过监一见在端口 80和443上的由专用网络 105内部的设备生成的网络业务来4企测对访问7>共网络110或者其 它外部资源的尝试。IPS 165也可以访问标识连接至专用网络105的 各客户端125a-c、服务器120或者其它设备的网络配置信息。因而, IPS 165能够识别连接至专用网络105的尝试访问公共网络IIO或者 任何其它外部网络资源的任何特定设备。此外,根据本发明的IPS 165 可以被配置为丟弃去往和来自连接至专用网络105的没有运行有效 保护代理170的设备的所有网络间业务。在某些实施例中,使用"PULL"(拉取)模型将保护代理170 部署到网络设备,其中该模型依赖于这些网络设备以从IPS 165或者 另一指定服务器下载保护代理170以便安装到网络设备上。作为例 子,基于网络配置信息,IPS 165可以通过提示安装和/或激活保护代 理170a来对客户端125a所尝试的Web浏览活动做出响应。如果保 护代理170a尚未安装在客户端125a上,则用户可以通过启动对保 护代理170a的下载以便安装在客户端125a上并且由该客户端执行 来对提示做出响应。在某些实施例中,IPS 165发出的提示可以包括 超链接,其中可以激活该超链接以启动对保护代理170a的下载。使用超链接以便于下载程序模块在本领域中是公知的,因此这 里没有讨论具体实施细节。本领域技术人员将认识到有很多其它的 用于有助于下载的方法和编程:忮术,其中任何方法和编程4支术都可 以为本发明所用。在某些可选实施例中,也可以使用"PUSH"(推送) 模型将保护代理170部署到网络设备。在"PUSH"才莫型中,IPS 165或者另一指定服务器被配置为递送(或者引起递送)保护代理170 到并没有请求这样的递送的设备。保护代理170可以被配置为一旦在客户端125上安装和激活就 联系IPS 165 (或者另一注册设备)以完成注册操作。在某些实施例 中,注册操作可以向IPS 165提供如下信息,该信息将注册保护代理 170与它所安装于其上的设备的标识相链接。换而言之,注册信息包 括保护代理170的标识以及对应网络设备的标识。注册信息可以存 储于数据库中或者从功能上说耦合到IPS 165或者可由IPS 165访问 的另一适当存储介质中。保护代理170还可以被配置为持续地将注册信息传送到IPS 165 (或者另一指定注册设备),只要它们正在活跃地运行。例如, 保护代理170可以在连续地以离散的间隔使用"心跳"或者"轮询"信 号将注册信息转发到IPS 165 (或者另一注册设备)。可选地,保护 代理170可以以无规律、随机或者伪随机的间隔将注册信息转发到 IPS 165 (或者另一注册设备)。作为另一例子,IPS165(或者其它 注册设备)可以被配置为查询一个或者多个网络设备以便从安装于 其上的任何保护代理170请求注册信息。当网络设备尝试访问因特网IIO或者专用网络105外部的任何 其它资源时,监视网络业务和其它操作并充当代理管理器的IPS 165 确定该设备是否在运行有效保护代理170。基于可以按照网络设备的 网络地址、M A C地址或者任何其它适当唯 一 标识符来确定的网络设 备的标识,IPS 165查询所存储的注册信息以确定先前是否已经与该 设备相关联地注册了保护代理170。在某些实施例中,如果网络设备 在运行在预配置或者可配置的时间间隔内尚未注册的保护代理17 0, 则认为该网络设备没有运行有效保护代理170。如果IPS 165确定网络i殳备在运行有效保护代理170,则IPS 165 将允许该设备与专用网络105外部的资源通信。另一方面,如果确 定网络^殳备没有运行有效保护代理170,则IPS 165将采取动作以阻 止去往和来自该设备的一些或者所有(视应用于IPS 165的安全策略而定)网络间通信。例如,在一些情况下,可能希望阻止去往和来自非顺应( non-compliant) "i殳备的戶斤有网纟各间通^fl"。 在其它十青^L下, 可以允许在非顺应设备与某些可信外部资源之间的网络间通信。在网络设备处的用户接口显示器可以用来向用户建议IPS 165 所采取的任何访问阻止动作。例如,IPS 165可以纟皮配置为响应于枱r 测到没有运行有效保护代理的网络设备尝试网络间通信来向该网络 设备发送形式为网页或者其它适当消息的提示。该提示可以向用户 建议在允许与专用网络105外部的一些或者所有资源通信之前必须 激活先前安装的保护代理170或者必须安装(例如通过激活超链接 以启动下载)和激活保护代理170。正如本领域中已知的,IPS 165也可以包括如下功能,该功能 检测外部客户端125d和其它外部设备对借助VPN会话来访问专用 网络105的资源的尝试。在本发明的某些实施例中,IPS165可以被 配置为识别任何尝试建立VPN会话的外部设备并且如果必要则将保 护代理170部署到该设备。例如,充当代理管理器的IPS 165可以查 询所存储的注册信息以确定尝试建立VPN会话的外部客户端125d 是否与先前注册的保护代理170d相关联,并且如果是这样,则确定 是否在指定时间间隔过程中注册了该保护代理170d。如果确定外部 客户端125d在运行有效的(例如已及时注册的)保护代理170d,则 IPS 165允许VPN会话继续。另一方面,如果认为外部客户端125d 没有运行有效保护代理170d,则IPS 165采取动作以阻止VPN会话 (或者根据适用的安全策略而将它限于某些活动)并且可以提示外 部客户端125d的用户安装(例如通过选择用以启动下载的超链接) 和/或激活保护代理170d。图2是图示了用于将保护代理170部署到连接至分布式计算机 网络的设备的示例方法200的处理流程图。该示例方法始于开始方 框201并且继续到步骤202,其中监视去往和来自分布式网络的通 信。接着在步骤204检测所尝试的网络间通信。所尝试的网络间通 信可以是分布式网络内部的设备对与外部资源通信的尝试。作为另一例子,所尝试的网络间通信可以是分布式网络外部的设备对建立 与内部网络资源的VPN会话的尝试。响应于检测到所尝试的网络间通信,在步骤206中识别尝试发起这样的通信的设备。如前所述, 该设备可以在分布式网络内部或者外部。在识别尝试发起网络间通信的设备之后,在步骤208确定所识 别的设备是否与注册保护代理170相关联。例如,在连接至分布式 网络的设备上运行的保护代理170可以被配置为在定期地生成和提 供注册信息给IPS 165 (或者其它指定注册设备)。IPS 165 (或者其 它注册设备)可以在数据库或者其它适当存储介质中存储这样的注 册信息并且可以在以后查询该注册信息以确定注册保护代理170是 否与识别的设备相关联。如果所识别的设备与注册保护代理170相 关联,则可以在步骤210进一步确定是否在指定时间间隔内注册了 该保护代理。在某些实施例中,该时间间隔可以由网络管理员指定。 这样的可选的进一步确定可以用来保证注册保护代理170保持在设 备上活跃地运行。如果在步骤210确定已经在指定时间间隔内注册 了该保护代理,则示例方法200进展到步骤212,其中允许所尝试的 网纟备间通4言。如果在步骤208确定所识别的设备不与注册保护代理170相关 联,或者如果在步骤210确定没有在指定时间间隔内注册该保护代 理,则示例方法200转移到步骤214,其中阻止所尝试的网络间通信。 在阻止所尝试的网络间通信之后,在步骤216提示所识别的设备安 装和/或激活保护代理。示例方法200从步骤216或者步骤212返回 到步骤202并且从步骤202重复,其中监视去往和来自分布式网络 的通信。基于前文,可见本发明提供用于将保护代理部署到连接至分布 式网络的设备的系统和方法。本领域技术人员将认识到本发明的方 法可以实施为存储于计算机可读介质上的计算机可执行指令并且可 以使用这里具体描述的编程技术和/或功能以外的编程技术和/或功 能来实施。本发明的很多其它修改、特征和实施例对于本领域技术人员而言将变得不言而喻。另外,选择这里使用的某些词语如术语 "网络设备"、"网络间通信"等是为了易于引用,并且这些词语是通过 一般性的说明而不是以限制的方式来使用的。因此,也应当认识到本发明的很多方面在上文中仅通过例子来 描述,并且除非另有指明,否则这些方面并非旨在于作为本发明的 必需或者基本元素。因而,应当理解前文仅涉及本发明的某些示例 实施例,并且在不脱离如所附权利要求限定的本发明的精神和范围 的情况下,可以对本发明做出很多变化。还应当理解,本发明不限改。
权利要求
1.一种用于将保护代理自动部署到连接至分布式网络的设备的方法,包括监视去往、来自所述分布式网络和在所述分布式网络内的通信;检测所述分布式网络内部的设备对与所述分布式网络外部的设备通信的尝试;确定所述分布式网络内部的所述设备没有运行有效保护代理;以及响应于所述确定,阻止所尝试的通信并且提示所述分布式网络内部的所述设备从指定存储位置下载和安装保护代理。
2. —种计算机可读介质,具有存储于其中的用于执行根据权利 要求1所述的方法的计算机可执行指令。
3. 根据权利要求1所述的方法,其中检测对与所述分布式网络 外部的所述设备通信的尝试包括检测由所述分布式网络内部的所述 设备生成的采用HTTP或者HTTPS协议的消息业务。
4. 根据权利要求1所述的方法,其中检测对与所述分布式网络 外部的所述设备通信的尝试包括冲企测在端口 80和端口 443中一个或 者多个端口上的由所述分布式网络内部的所述设备生成的消息业务。
5. 根据权利要求1所述的方法,还包括以下步骤定期地接收 和存储由在连接至所述分布式网络的设备上运行的保护代理所生成 的注册信息;以及理包括确定所述注册信息都不对应于所述分布式网络内部的所述设备。
6. —种计算机可读介质,具有存储于其中的用于执行根据权利 要求5所述的方法的计算机可执行指令。
7. 根据权利要求4所述的方法,其中确定所述分布式网络内部的所述设备没有运行有效保护代理包括确定在指定时间间隔内存储 的所述注册信息都不对应于所述分布式网络内部的所述设备。
8. —种计算机可读介质,具有存储于其中的用于执行根据权利 要求7所述的方法的计算机可执行指令。
9. 根据权利要求1所述的方法,其中提示所述分布式网络内部 的所述设备下载和安装所述保护代理包括提供在被激活时将启动从 所述指定存储位置下载所述保护代理的超链接。
10. 根据权利要求1所述的方法,其中所述分布式网络内部的 所述设备选自于客户端和服务器。
11. 根据权利要求1所述的方法,其中阻止所尝试的通信包括 阻止在所述分布式网络内部的所述设备与所述分布式网络外部的所 述设备之间的网络业务,同时允许在所述分布式网络内部的所述设 备与所述分布式网络外部的至少 一 个其它设备之间的网络业务。
12. —种用于将保护代理自动部署到连接至分布式网络的设备 的方法,包^":监视去往、来自所述分布式网络和在所述分布式网络内的通信; 检测所述分布式网络外部的设备对建立与所述分布式网络内部 的设备的虚拟专用网络会话的尝试;确定所述分布式网络外部的所述设备没有运行有效保护代理;以及响应于所述确定,阻止所尝试的虚拟专用网络会话并且提示所 述分布式网络外部的所述设备从指定存储位置下载和安装保护代理。
13. —种计算机可读介质,具有存储于其中的用于执行根据权 利要求12所述的方法的计算机可执行指令。
14. 根据权利要求12所述的方法,还包括以下步骤定期地接 收和存储由在连接至所述分布式网络的设备上运行的保护代理所生 成的注册信息;以及其中确定所述分布式网络外部的所述设备没有运行有效保护代理包括确定所述注册信息都不对应于所述分布式网络外部的所述设 备。
15. —种计算机可读介质,具有存储于其中的用于执行根据权 利要求14所述的方法的计算机可执行指令。
16. 根据权利要求15所述的方法,其中确定所述分布式网络外 部的所述设备没有运行有效保护代理包括确定在指定时间间隔内存 储的所述注册信息都不对应于所述分布式网络外部的所述设备。
17. —种计算机可读介质,具有存储于其中的用于执行根据权 利要求16所述的方法的计算机可执行指令。
18. 根据权利要求12所述的方法,其中提示所述分布式网络外 部的所述设备下载和安装所述保护代理包括提供在被激活时将启动 从所述指定存储位置下载所述保护代理的超链接。
19. 根据权利要求12所述的方法,其中阻止所尝试的虚拟专用 网络会话包括针对至少第 一 活动而阻止所尝试的虚拟专用网络会 话,同时针对至少第二活动而允许所尝试的虚拟专用网络会话。
20. —种用于将保护代理自动部署到连接至分布式网络的设备 的系统,包括网络业务监视器,用于监视网络业务以及用于检测从所述分布 式网络内部的设备对与所述分布式网络外部的资源通信的尝试以及 所述分布式网络外部的设备对建立与所述分布式网络内部的资源的 虚拟专用网络会话的尝试中选择的所尝试的网络间通信;以及处理器,执行计算机可读指令,用于识别负责发起所尝试的网络间通信的设备;确定所识别的设备没有运行有效保护代理;以及响应于所述确定,按照安全策略来阻止所尝试的网络间通 信,并且提示所识别的设备从指定存储位置下载和安装保护代理。
21. 根据权利要求20所述的系统,其中检测所述分布式网络内 部的设备对与所述分布式网络外部的资源通信的尝试包括检测由所述分布式网络内部的所述设备生成的采用HTTP或者HTTPS协议的网络业务。
22. 根据权利要求20所述的系统,其中检测所述分布式网络内 部的设备对与所述分布式网络外部的资源通信的尝试包括检测在端 口 80和端口 443中一个或者多个端口上的由所述分布式网络内部的 所述设备生成的网络业务。
23. 根据权利要求20所述的系统,还包括通信设备,用于接收由在连接至所述分布式网络的设备上运行 的保护代理所生成的注册信息;存储介质,用于存储所述注册信息;以及其中确定所识别的设备没有运行有效保护代理包括在所述存储 介质中存储的所述注册信息都不对应于所识别的设备。
24. 根据权利要求23所述的系统,其中确定所识别的设备没有 运行有效保护代理包括确定在指定时间间隔内存储于所述存储介质 中的所述注册信息都不对应于所识别的设备。
25. 根据权利要求20所述的系统,其中提示所识别的设备下载置下载所述保护代理的超链接。
26. 根据权利要求20所述的系统,其中所述指定存储位置包括 所述存储介质。
27. 根据权利要求20所述的系统,其中所述指定存储位置包括 网络服务器。
全文摘要
监视网络业务以检测所尝试的网络间通信,包括网络内部的设备对与网络外部的资源通信的尝试以及网络外部的设备对建立与网络内部的资源的VPN会话的尝试。在检测到所尝试的网络间通信时,识别负责发起这样的通信的设备。然后,确定所识别的设备是否在运行有效保护代理。如果是这样,则允许所尝试的网络间通信。如果不是,则按照网络安全策略来阻止所尝试的网络间通信,并且提示所识别的设备从指定存储位置下载和安装保护代理或者激活先前安装的保护设备。该提示可以包括用于启动对保护代理的下载的超链接。
文档编号G06F11/00GK101258470SQ200680032656
公开日2008年9月3日 申请日期2006年9月7日 优先权日2005年9月7日
发明者M·沃德 申请人:国际商业机器公司