模块104n(统称为"保护 模块104A. . .n")。保护模块104A. . .n可W通过例如检测、阻挡、缓解和/或修复威胁、入侵或 其他安全事件来为网络1〇〇(例如,设备102A. . .n)提供保护。可W根据任何合适的方式(例 如,根据积极主动的方式,在进行中或在事后)基于安全规则来实现运些示例操作。可W由 保护模块104A. . .n、通过用户干设(例如,网络管理员的干设)等来使由安全规则标识的威 胁无效。
[0016] 在图1中,保护模块104A进一步示出为至少包括RE模块106A。尽管每一个保护模块 104A. . .n都可W包括对应的RE模块106A. . .n,但为了清晰性目的,仅在图1中示出RE模块 106A。RE模块106A可W接收用于评估的提议的安全规则(PSR) 108。可W在设备102A内生成 PSR 108,可W从网络100中的设备102B. . .n(例如,从设备102B. . .n中的保护模块 104B. . .n)接收PSR 108,或可W从其他网络112(例如,包括与设备102A类似地配置的至少 一个设备的其他网络)接收PSR 108。在一个实施例中,保护模块104A可W包括可W基于对 设备102A或网络100的所感知的威胁来生成PSR 108的机器学习算法。此机器学习算法可W 例如累积对应于设备102A和/或网络100的操作的事件数据、程序数据、上下文等,并且可W 基于对运些数据(例如,或运些数据的至少部分)的分析来制定PSR 108。运些数据可W包括 与W下内容相关但不限于W下内容的事件和上下文:对设备或用户的认证和/或标识、设备 的配对、授权和/或拒绝对设备或用户的访问、更新/打补下设备和/或软件、员工详情(例 如,登录证书、雇佣状态,等等)、软件定义的网络改变、安全(例如,恶意软件检测等)、软件 (例如,安装、部署、执行、流行、声誉等)、对服务的访问(例如,动态主机配置协议化HCP)、域 名系统(DNS)、虚拟私人网(VPN)、互联网或LAN域、统一资源定位符化化)、网际协议版本4 (IPv4)、网际协议版本6 (IPv6)、对等网络等)、入站通信(例如,超文本传输协议化TTP)、简 单邮件传输协议(SMTP)/电子邮件等)、由用户或任何其他合适的设备、软件或用户特征进 行的物理或远程设备操作。设备102A的用户手动地将PSR108输入到保护模块104A中也可W 是可能的。PSR 108可W包括例如可W由保护模块110用于标识并可能消除对网络100(例 如,包括设备102A. . .n的网络)的威胁的逻辑测试、定义、字符串和/或其他数据。示例威胁 可W包括但不限于病毒、蠕虫、恶意软件、入侵、内部漏桐,等等。
[0017] 在操作示例中,RE模块106A可W评估PSR 108W确定是否将PSR 108提升为NSR 110,所述NSR 110可W传播到网络100中的设备102B. . .n中的一些或全部和/或传播到其他 网络112。评估可W包括将PSR 108与基础事实场景("ground truth scenario")比较W确 定例如PSR 108将生成误报(FP)还是漏报(FN)、生成FP或FN的可能性,等等。基础事实场景 可W包括例如在其中已经确定威胁存在或不存在的至少一种已知的或经证明的场景。在评 估期间,可W由PSR 108评估基础事实场景W生成威胁是否存在于已知的良好的(例如,不 存在威胁)或不良的(例如,存在至少一个威胁)场景中的指示。随后,由PSR 108给定的指示 可W与场景的已知威胁处置比较W确定准确性。如果PSR 108生成对应于基础事实场景的 已知的威胁处置的指示,则可将PSRl 08提升为NSR 110。
[0018] 提升可W包括例如,NSR 110被添加到活跃安全规则的列表中W由设备102A中的 保护模块104A使用,随后NSR 110与网络100中设备102B. . .n中的一些或全部和/或其他网 络112共享。作为提升的部分,RE模块106A还可W判定新的安全规则是否将覆盖任何现有的 安全规则或与任何现有的安全规则冲突。在此类情况下,可应用仲裁(例如,基于优先级的 仲裁),或仲裁可与覆盖规则合并到一起W去除覆盖。在一个实施例中,RE模块106A可W判 定在传输之前是否需要规范化NSR 110。规范化可W包括更改NSR IioW使其兼容于与设备 102B. . .n和/或其他网络112-起使用。例如,可"原样地"r'as-is")传输对NSR 110中的不 良的全局IPv4地址的黑名单操作,而至网络100中的高价值资产服务器的连接可能要求将 本地IPv4地址映射到统一定位符W由其他网络112使用。NSR 110的接收方(例如,设备 102B. . .n)执行一些规范化功能也可W是可能的。具体而言,接收方可W具有关于在部署之 前如何定制规范化的NSR 110的知识(例如,W仅接收方可W基于可用于此接收方的信息而 知晓的方式)。例如,在使NSR 110活跃W用于保护设备102B. . .n之前,接收方可用实际的IP 地址列表{IP1,IP2,IP3, . . . }来替换 NSR 110中的参考" %111曲_¥日1116_36'¥6'3_1131%" ("%高_值_服务器_列表%")。在相同或不同的实施例中,RE模块106A可W选择向其传输 NSR 110的某些设备102B. . .n和/或某些其他网络112。对设备102B. . .n和/或其他网络112 的选择可W基于准则,所述准则包括但不限于:NSR 110是否适用于设备102B. . .n和/或其 他网络112;NSR 110是否可能干扰设备102B. . .n和/或其他网络112的操作;实施NSR 110对 设备102B...n和/或其他网络112的负担(例如,处理、功率等);NSR 110是否是已经由设备 102B. . .n和/或其他网络112实施的安全规则的复制品,等等。
[0019] 在相同的或不同的实施例中,除基础事实评估之外,RE模块106A还可W使对PSR 108的独立评估发生。例如,手动干预(例如,由设备102A的用户)或自动触发(例如,无需用 户干预)可W使PSR 108经历独立评估。自动触发可W是随机的,可W基于PSR 10則尋标识的 威胁或威胁类型,可W基于PSR 108将保护的设备102B. . .n,等等。独立评估可W包括"实 况"基础事实的独立源(包括例如,鉴于实际的(例如,实时的)场景的评估(已经在现有的安 全规则下评价了所述实际的(例如,实时的)场景的威胁潜在性)、由网络管理员进行的评 价、或经由另一种方法或系统进行的分类。假设独立评估已发生,则如果PSR 108通过基础 事实评估和此独立评估,NSR 110的提升就可发生。
[0020] 可W由与本公开一致的实施例实现的至少一个益处在于,设备102A. . .n可W更好 地定制设备级别和网络级别保护两者。定制保护的能力允许充分地保护(例如,容易地能够 标识各种威胁)整个网络100,而不会使对于单独设备102A. . .n的保护变得有问题(例如,耗 尽设备102A. . .n中的可用的处理和/或功率资源,不利地影响设备102A. . .n的性能,等等)。 此外,与设备102A. . .n和/或其他网络112共享PSR 108可W极大地改善总体保护,因为可W 将更多威胁情形考虑在内。
[0021] 图2示出根据本公开的至少一个实施例的设备102A'的示例配置。具体而言,设备 102A'可W能够执行诸如图1中公开的示例功能。然而,设备102A'仅旨在作为可W在与本公 开一致的实施例中使用的装备的示例,并且不旨在将运些各个实施例限于任何特定的实现 方式。在图2中公开的设备102A'的示例配置还可W适用于同样在图1中公开的设备 102B...n〇
[0022] 设备102A'可W包括例如配置成用于管理设备操作的系统模块200。系统模块200 可W包括例如,处理模块202、存储器模块204、功率模块206、用户接口模块208 W及通信接 口模块210。设备102A'还可W包括可W与通信接口模块210交互的通信模块212。尽管已经 与系统模块200分开地示出通信模块212,但是在本文中仅出于解释的目的来提供设备 102A'的示例实现。与通信模块212相关联的功能中的一些或全部还可合并在系统模块200 中。
[0023] 在设备102A'中,处理模块202可W包括位于分开的组件中的一个或多个处理器, 或者替代地,处理模块202可W包括具体化在单个组件中(例如,在片上系统(SoC)配置中) 的一个或多个处理核W及任何处理器相关的支持电路(例如,桥接接口等)。示例处理器可 W包括但不限于可从英特尔公司获得的各种基于x86的微处理器,包括在奔腾、至强、安腾、 赛扬、凌动、酷眷i系列产品族、高级RISC(例如,精简指令集计算)机器或"ARM"处理器等中 的那些微处理器。支持电路的示例可W包括忍片组(例如,可从英特尔公司获得的北桥、南 桥等),所述忍片组配置成用于提供接口,处理模块202可通过所述接口与在设备120A'中W 不同速度、在不同总线上等操作的其他系统组件交互。与支持电路相关联的功能中的一些 和全部还可W被包括在与处理器相同的物理封装中(例如诸如,被包括在可从英特尔公司 获得的Sandy化idge族的处理器中)。
[0024] 处理模块202可W配置成用于在设备102A'中执行各种指令。指令可W包括程序代 码,所述程序代码配置成使处理模块202执行与读取数据、写入数据、