本发明涉及用于对构成对计算机网络中的计算机资产的攻击的信息安全性威胁进行中断的系统和方法。更具体而言,本发明涉及用于在受影响计算机网络上的监视设备中的至少一者检测到对计算机资产的攻击之后,中断该信息安全性威胁的系统和方法。受影响计算机网络的中间上游网关随后被用来中断该信息安全性威胁。检测到的安全性威胁通过自动阻塞该攻击的源的因特网协议(IP)地址以防止将进一步数据传送至计算机网络而在中间上游网关处被中断达某一时间段。在此时间段已经过之后,该源的IP地址将被自动解除阻塞。当该检测到的攻击正被中断时,如果与该攻击相关联的缓解动作储存于该系统的数据库中,则将自动发起缓解动作;否则,关于该攻击的信息将被发送至中央命令中心以供进一步评估。在该中央命令中心处,缓解动作将进一步被开发并执行以应对该攻击的意图。
背景技术:
随着计算机网络在规模上的增长且随着计算机网络变成大部分组织的日常工作的集成部分,计算机网络的安全性的管理变得愈加具有挑战性。由于组织的计算机网络内的计算机的数目不断增加,因此计算机网络配置错误及管理错误的概率较高,从而允许攻击者取得未授权访问且从计算机网络盗取信息。归因于计算技术的进步,对计算机网络的攻击变得愈来愈复杂,从而使现有安全性管理工具难以以实时方式对这些攻击作出响应。此外,如果计算机网络上的攻击停止或被击退,在没有持续的警惕和监视的情况下,则计算机网络将仍不能对类似攻击免疫,因为攻击者当然会被迫尝试新攻击方法以取得对同一受保护的计算机网络的未授权访问。因此,维持及管理计算机网络的网络安全性是不断演进的复杂问题。
对计算机网络内的计算机资产的攻击可以搭线、网络监听、病毒、恶意软件、IP欺骗、特洛伊木马程序、拒绝服务攻击或任何其它这样的类似方法的形式出现。此外,这些信息安全性攻击可跨IP网络以多个数据分组的形式发送,因为原始较大数据分组在其传输时可能已分段成多个较小数据分组。一旦所有数据分组到达其所预期的目标,该多个较小数据分组将随后被重新组合。如果这些较小数据分组中的一些未到达其所预期的目标,则这将产生不完整的最终数据分组,其通常将被计算设备拒绝,因为这样的不完整数据分组可被视为损坏的数据分组。
这些攻击方法的主要目标将是损坏计算机网络内的计算机资产,从而导致计算机网络的用户失去对计算机网络内所含有的信息的访问、和/或盗取位于计算机网络内的服务器或计算机内所含有的机密信息。不管攻击的意图如何,这些攻击必须在发生持续损坏之前快速地在上游被停止或击退。
网络管理员特别关心的是计算机网络上的攻击可能发生且经由计算机网络扩散的速度。大多数计算机网络利用路由器、网关和/或防火墙来防止这些攻击访问位于防火墙后的计算机。防火墙通常用以保护局域计算机网络免于位于局域网外的用户。防火墙通过监视来自局域网的传入及传出话务来进行这一保护。防火墙通过检查及频繁地标记发送至或来自局域信任网络外的用户的消息来进行这一保护。
然而,现有系统和方法所面对的问题在于已知攻击及其相关联缓解动作仅被定期加载至防火墙中。因此,新的被动式或主动式攻击可能潜在地是不可检测的。到网络管理员对这些新攻击做出反应时,损坏可能很久以前就已经造成。出于以上原因,本领域技术人员不断地致力于提出用高效且高速方式管理计算机网络的安全性的系统和方法。
技术实现要素:
通过根据本发明的实施例所提供的系统和方法,以上及其它问题得到解决且作出了对现有技术的改进。根据本发明的系统和方法的实施例的第一优点是,一旦网络上的监视设备生成信息安全性警报,通过将生成构成对计算机网络中的计算机资产的攻击的潜在安全性威胁的源的因特网协议(IP)地址添加至该计算机网络的中间上游网关的访问控制列表达某一时间段,来立即中断该威胁。在此时间段期间,该威胁可经进一步分析,且可以推断且执行未来的缓解增强动作。这确保类似安全性威胁以较少人工干预的方式被快速且有效地缓解。此外,中断潜在安全性威胁的动作本身可以是应对攻击的缓解动作。通过中断潜在安全性威胁的数据分组的传输,该系统实际上在攻击能够在其所预期的目标处正确地形成之前就将攻击瓦解。
根据本发明的系统和方法的实施例的第二优点是,由于可使用混合通信装置以将指令传输至计算机网络的网关,这确保适当指令可传输至网关,即使常规电信网络堵塞或受损亦如此。
根据本发明的系统和方法的实施例的第三优点是,本发明能够同时处置多个威胁,因为系统可通过将安全性威胁的源IP地址添加至中间上游网关的访问控制列表中来自动阻塞进入及外出的网络威胁,由此立即中断这些威胁,同时在必要时允许有足够时间用来执行额外的进一步缓解动作。
根据本发明的系统和方法的实施例的第四优点是,本发明能够中断信息安全性威胁所通过的中间网关,不管此上游网关的品牌、类型、版本或型号如何。根据本发明的系统和方法的实施例的第五优点是,通过将生成构成对计算机网络中的计算机资产的攻击的潜在安全性威胁的源的因特网协议(IP)地址添加至计算机网络的位于计算机网络中的计算机资产上游的所有网关的访问控制列表达某一时间段,来立即中断该威胁。
以上优点由以如下方式操作的根据本发明的系统的实施例提供。该系统具有处理单元及可由该处理单元读取的非瞬态介质。该介质被配置以储存指令,该指令在由该处理单元执行时使该处理单元接收并处理来自网络上的监视设备的第一警报和第二警报。该第一警报及该第二警报均包括发起计算机网络上的信息安全性攻击的源的因特网协议地址及该攻击所通过的网关的身份。该指令在由该处理单元执行时还引导该处理单元:确定发起该计算机网络上的该信息安全性攻击的源的因特网协议地址是否要被中断;以及产生第一组指令且将该第一组指令传送给攻击所通过的网关。该第一组指令指令该网关将发起该信息安全性攻击的源的IP地址添加至该网关的访问控制列表。
该指令在由该处理单元执行时还引导该处理单元:在第一时间段已经过去之后,生成第二组指令且将该第二组指令传输至计算机网络的该网关,其中该第二组指令指令该网关将发起该信息安全性攻击的源的IP地址从该网关的访问控制列表移除。此外,该指令在由该处理单元执行时还引导该处理单元:在该第一时间段期间基于安全性警报数据库确定是否应创建新缓解动作以应对该第一警报及该第二警报;且如果应创建新缓解动作以应对该第一警报及该第二警报,则将该第一警报及该第二警报传输至命令中心。
根据本发明的实施例,用以将第一组指令传输至计算机网络的该网关的指令包含用于引导该处理单元进行以下操作的指令:确定是否可以使用电信网络将该第一组指令传输至计算机网络的该网关;以及如果确定不可使用电信网络传输该第一组指令,则使用带外网络将该第一组指令传输至计算机网络的该网关。
根据本发明的实施例,用以生成该第一组指令的指令包含用于引导该处理单元进行以下操作的指令:使用该网关的身份从网关数据库选择相关联指令集;以及使用所选指令集编译该第一组指令。
根据本发明的实施例,用以将该第二组指令传输至计算机网络的该网关的指令包含用于引导该处理单元进行以下操作的指令:确定是否可以使用电信网络将该第二组指令传输至计算机网络的该网关;以及如果确定不可使用该电信网络传输该第二组指令,则使用带外网络将该第二组指令传输至计算机网络的该网关。
根据本发明的实施例,用以产生该第二组指令的指令包含用于引导该处理单元进行以下操作的指令:使用该网关的身份从网关数据库选择相关联指令集;以及使用该所选指令集编译该第二组指令。
根据本发明的其它实施例,该网关包含该计算机网络上的位于监视设备上游的网络节点。根据本发明的又一其它实施例,该网关包含该计算机网络上的第一网络节点及该计算机网络上的第二网络节点,其中该第二网络节点位于该第一网络节点上游且该第一网络节点位于监视设备上游。根据本发明的再一另外其它实施例,该网关包含该计算机网络上的位于监视设备上游的所有网络节点。
根据本发明的实施例,用以将该第一警报及该第二警报传输至命令中心的指令包含用于引导该处理单元进行以下操作的指令:确定是否可以使用电信网络将该第一警报及该第二警报直接传输至命令中心;以及如果确定不可使用电信网络直接传输该第一警报及该第二警报,则使用带外网络将该第一警报及该第二警报传输至计算机网络的该网关,其中接着使用该电信网络将该第一警报及该第二警报从该网关被传输至命令中心。
根据本发明的实施例,用以确定发起计算机网络上的信息安全性攻击的源的因特网协议地址是否要被中断的指令包含用于引导该处理单元进行以下操作的指令:确定该第一警报是否与该第二警报相关;以及如果该第一警报与该第二警报相关,则确认发起该信息安全性攻击的源的因特网协议地址要被中断。根据本发明的其它实施例,该介质进一步包含在由该处理单元执行时引导该处理单元进行以下操作的指令:将由命令中心创建以应对该第一警报及该第二警报的新缓解动作添加至安全性警报数据库中。
根据本发明的又实施例,该系统具有处理单元及可由该处理单元读取的非瞬态介质。该介质被配置成储存指令,该等指令在由该处理单元执行时使该处理单元接收并处理来自网络上的监视设备的警报,其中该警报包括发起计算机网络上的信息安全性攻击的源的因特网协议地址及该攻击所通过的网关的身份。
该指令进一步使该处理单元进行以下操作:生成第一组指令且将该第一组指令传输至该攻击所通过的网关,其中该第一组指令指令该网关将发起该信息安全性攻击的源的IP地址添加至该网关的访问控制列表;以及在第一时间段已经过去之后,将第二组指令传输至该攻击所通过的网关,其中该第二组指令指令该网关将发起该信息安全性攻击的源的IP地址从该网关的访问控制列表移除。此外,该指令在由该处理单元执行时还引导该处理单元进行以下操作:在该第一时间段期间,基于安全性警报数据库确定是否要创建新缓解动作以应对该警报;以及如果要创建新缓解动作以应对该警报,则将该警报传输至命令中心。
附图说明
根据本发明的以上优点及特征将在以下详细描述中描述且在以下附图中示出:
图1解说根据本发明的实施例的组成用于中断攻击的网络安全性管理系统的组件的网络图;
图2解说根据本发明的实施例的由安全性管理系统进行管理的计算机网络上的攻击的时序图;
图3解说根据本发明的实施例的由安全性管理系统进行中断的计算机网络上的攻击的时序图;
图4解说根据本发明的实施例的用于中断计算机网络上的攻击的过程的流程图;
图5解说根据本发明的实施例的用于中断计算机网络上的攻击的另一过程的流程图;
图6解说根据本发明的实施例的用于确定信息安全性威胁是否要被中断的过程的流程图;以及
图7解说提供根据本发明的实施例的提供各实施例的处理系统的表示的框图。
具体实施方式
本发明涉及用于中断构成对计算机网络中的计算机资产的攻击的信息安全性威胁的系统和方法,其中此信息安全性威胁在对该计算机资产的攻击已由该受影响计算机网络上的监视设备中的至少一者检测到之后被中断。该受影响计算机网络的中间上游网关随后被用以中断此信息安全性威胁。通过自动阻塞该攻击的源的因特网协议(IP)地址而在该中间上游网关处达某一时间段以防止将进一步数据传输至该计算机网络来中断检测到的安全性威胁。在此时间段已经过去之后,该源的IP地址将被自动解除阻塞。当该检测到的攻击正被中断时,如果与该攻击相关联的缓解动作储存于该系统的数据库中,则将自动发起缓解动作;否则,关于该攻击的信息将被发送至中央命令中心以进行进一步评估。在该中央命令中心处,缓解动作将进一步被开发并执行以应对该攻击的意图。
图1解说根据本发明的实施例的受管理网络100,网络100包括执行各过程以提供用于中断源自计算设备125、126的将网络100内的计算机资产作为目标的信息安全性威胁的方法和系统的模块和设备。如图1中所示,受管理网络100包括诸如计算设备105、106及107等计算机资产。计算设备105、106及107可包括任何类型的计算设备且可包含但不限于智能电话、膝上型计算机、平板计算机、计算机、服务器、工作站等。本领域技术人员将认识到,计算设备105、106及107仅作为示例而提供,且可使用具有显示器、处理器、用于储存指令的非瞬态介质、字母数字输入装置及指针操控装置的其它类型的设备而不会背离本发明。此外,尽管图1仅示出了在网络100内提供了三个计算设备,但实际上,更多计算设备可在网络100内提供而不背离本发明。
如图1中所示,计算设备105、106及107全部经由中间上游网关118连接至网络120。计算设备105、106及107经由有线装置、无线装置或两者的组合通信地连接至网关118。有线装置可包括诸如广域网(WAN)或局域网(LAN)等有线网络,而无线装置包括经由射频(RF)信号、红外线信号或无线传输等任何其它装置建立的连接。网关118是网络100上的节点,其充当从网络120至网络100的接入点。换言之,网关118提供数据从网络120传播至网络100中的入口点,且反之提供数据在另一方向上(从网络100至网络120)传播的出口点。因而,在图1中所示的实施例中,如果计算设备125、126打算发起对位于网络100中的计算设备的信息安全性攻击,则这些信息安全性攻击首先必须先通过网关118。
网关118可包括能够将来自位于网关后的任意数目的计算设备的因特网话务路由至位于外部网络上的计算设备的任何网络节点。这些网络节点包括但不限于利用边界网关协议、DSL路由器、电缆路由器、VLAN、网桥、交换器等的设备。至于网络120,网络120是诸如因特网等通信网路,其允许计算设备和/或处理系统经由有线装置、无线装置或两者的组合彼此通信。尽管图1仅示出了网络100包含唯一网关118,但本领域技术人员将认识到,网络100可具有任何数目的网关而不背离本发明。
网络100中的计算设备可间接地或直接地连接至网关118。图1解说了间接地连接至网关118的计算设备106及107,而计算设备105被示为直接地连接至网关118。应注意,计算设备105、106及107经由有线装置、无线装置或两者的组合通信地连接至它们各自的监视设备。如图1中所示,计算设备106及107存在于监视设备117及116两者后,且这意味着计算设备106、107传输至网关118的任何数据将必须先通过监视设备117及116两者。类似地,从网关118传输至计算设备106、107的任何数据也将必须在数据由计算设备106、107接收之前通过监视设备117及116两者。因而,对计算设备106或107中任一者的任何所尝试的信息安全性攻击可容易地由监视设备116及117检测到。不同于计算设备106、107,由于计算设备105直接连接至网关105,因此对计算设备105的任何信息安全性攻击不可由系统立即检测到,因为所有数据传输在计算设备105与网关118之间直接进行。为应对此瑕疵,计算设备105与监视设备115之间将存在直接连接,由此监视设备115会偶发地检查计算设备105的状态以确保计算设备105尚未被信息安全性攻击损害。
尽管图1示出了仅网关118位于监视设备115、116、117上游,但属于网络100的任何数目的其它网关可设置在这些监视设备上游而不会背离本发明。举例而言,在本发明的又一实施例中,网关118可包含两个网络节点。具体而言,网关118可包含第一网络节点及第二网络节点,由此第二网络节点位于第一网络节点上游且第一网络节点位于监视设备115、116、117上游。这意味着从网络120向计算设备105、106、107传输的数据将必须先通过第一网络节点,且在数据可由计算设备105、106、107接收之前通过第二网络节点。本领域技术人员将认识到,网关118不限于恰好两个网络节点,而可包含属于网络100且位于网络100中的监视设备上游的任何数目的网络节点。此外,自此,当在描述中提及网关时,本领域技术人员将认识到,参考网关可包含单个网络节点或多个网络节点而不背离本发明。
监视设备115、116、117是监视计算机网络的活动以寻找恶意活动的网络安全性设备,且可包含能够识别恶意活动、记录关于此活动的信息、触发且随后在已检测到此活动时传输警报的任何类型的设备或计算机模块。此外,当记录关于检测到的恶意活动的信息时,这些监视设备也能够解析、记录并传输发起攻击的源的IP地址以及该攻击穿过它来访问网络100内的计算设备的网络网关的IP地址及身份。这些网络安全性设备可包括但不限于硬件或软件防火墙、安装在计算机模块内的防病毒软件程序、侵入检测系统和/或侵入阻止系统。可由这些网络安全性设备检测到的攻击包括但不限于目标为利用管理员访问权的TCP及UDP攻击或格式错误电子邮件的串、计算机病毒的未知变体的传播、拒绝登录请求和/或各种类型的登录违规。根据本发明的实施例,监视设备115、116及117可包含一个网络安全性设备或两个网络安全性设备或任何数目个安全性设备而不背离本发明。举例而言,在图1中所示的图示中,监视设备116可包含两个网络安全性设备(亦即防火墙及侵入检测及阻止系统),或根据本发明的另一实施例,监视设备116可包含作为防火墙的一个网络安全性设备,而监视设备117可包含作为侵入检测及阻止系统的另一网络安全性设备。本领域技术人员将认识到,可使用计算设备及监视设备的各种配置而不背离本发明,且其并非仅限于图1中所示的配置。
监视设备115、116及117全部经由有线装置、无线装置或两者的组合通信地连接至事件管理器110。事件管理器110包括用于实现各种功能的各种计算机模块,诸如但不限于用于接收及处理来自监视设备的警报的计算模块、用于将接收到的警报储存于事件管理器110内所提供的数据库中的计算模块、用于使用电信网络将接收到的警报传输至全局命令中心的计算模块、用于经由带外网络与网关通信的计算模块及用于从因特网接收数据/将数据传输至因特网的收发机模块。除上述模块之外,事件管理器110还可包括用于确定信息安全性网络攻击进入网络100所通过的网关的IP地址或身份的计算模块。此计算模块也可从网关的IP地址或身份获得此网关的操作参数,诸如网关的品牌、型号和/或版本。这使得一旦事件管理器110通过将这一信息与储存于数据库内的关于各种类型的可用网关的数据相比较已查明网关的IP地址和/或身份且随后查明网络的网关的操作参数,事件管理器110就能够从该数据库选择与所识别的网络网关相关联的适当指令集。所选的指令集将随后被用以编译要发送至网关的指令。
事件管理器110可经由电信网络或经由带外网络通信地连接至网关118。如果数据将经由电信网络从事件管理器110传输至网关118,则事件管理器110首先将经由有线装置、无线装置或两者的组合将此数据传输至网络120。数据将接着经由网关118上的电信接口以从网络120被传输至网关118。可以用来在事件管理器110与网关118之间传输数据的电信网络可包括但不限于TCP/IP数据网络或光纤传输网络。在网关118的电信接口被中断或被阻塞的情况下,可利用带外网络将数据从事件管理器110传输至网关118。当利用带外网络时,数据最初将使用安全壳(SSH)、安全套接字层(SSL)、Telnet及RS-232协议经由因特网120从事件管理器110传输至网关118。数据将接着从网络120传输至网关118处所提供的带外接口。带外接口通常内置于网关118中且可被用来接收指令以配置网关118的访问控制列表。根据本发明的实施例,网关118处的带外接口可包含标准RS-232串行端口。网关118处的RS-232串行端口可被用来接收指令以改变网关118内的根参数,以及接收指令以修改其它管理及报告功能,诸如网关的访问控制列表。
当检测到新信息安全性攻击时,新缓解动作必须被开发并执行以应对此新威胁。新缓解动作的开发通常在全局命令中心130处进行。全局命令中心130可以是具有用于分析信息安全性攻击及威胁的顾问及分析员的安全数据中心。在图1中所示的实施例中,全局命令中心130可经由网络120接收来自事件管理器110的警报或各种其它传输。在接收到这些警报后,全局命令中心130处的人员随后将分析并开发适当缓解动作以应对这些警报。接着可使用网络120将该适当缓解动作传输至事件管理器110。
图2解说根据本发明的实施例的由不可信的计算设备125发起的、系统100的计算机网络上的信息安全性威胁的时序图。如先前图1中所示,计算设备125是发起经由网关118的、将网络100上的计算设备105、106、107作为目标的信息安全性威胁的不可信设备。具体而言,在步骤201a,不可信的计算设备125传输以计算设备105作为目标的信息安全性网络攻击。来自计算设备125的网络攻击在步骤201b通过网关118,且在步骤201c被监视设备115内的第一监视模块、网络安全性设备或机制检测到。紧接着,在检测到来自计算设备125的网络攻击后,监视设备115内的第一网络安全性设备立即将第一警报传输至事件管理器110。这发生在步骤201d。如果监视设备115具备第二监视机制、网络安全性设备或模块,则一旦第二网络安全性设备检测到类似攻击,第二警报也将发送至事件管理器110。这在步骤201e发生。根据本发明的实施例,监视设备115内的第一网络安全性设备可以是为防火墙且监视设备115内的第二网络安全性设备可以是侵入检测系统,或反之亦然。
除向事件管理器110警告网络攻击之外,监视设备115还将解析网络攻击的源的IP地址且还将获得攻击所通过的网关的身份及IP地址。所有这些信息将随后与传输至事件管理器110的警报一起提供。
类似地,来自计算设备125的将计算设备106、107作为目标的网络攻击将在步骤201b通过网关118,且将在步骤202c由监视设备116内的第一监视模块、网络安全性设备或机制检测到。紧接着,在检测到来自计算设备125的网络攻击后,监视设备116内的第一网络安全性设备立即将第一警报传输至事件管理器110。这发生在步骤202d。在监视设备116还具备第二监视机制、网络安全性设备或模块的情况下,一旦第二网络安全性设备检测到上述攻击,第二警报将被触发且被发送至事件管理器110。这在步骤202e发生。
参看图3,在事件管理器110已接收来自监视设备115的第一警报之后,事件管理器110将分析并处理第一警报内所含有的信息以获得信息安全性网络攻击进入网络100所经由的网关的身份。使用此身份,事件管理器110将接着确定网关(在此示例中是网关118)的操作参数,诸如网关的品牌、型号和/或版本。这使得一旦事件管理器110基于储存于数据库内的关于各种类型的可用网关的信息确定了网关的品牌、型号和/或版本,事件管理器110就将随后能够从该数据库选择与所识别的网关相关联的适当指令集。
在事件管理器110已选择与所识别的网关相关联的指令集之后,事件管理器110将使用所选的指令集来编译一组指令以指令网关将发起信息安全性攻击的源的IP地址添加至网关的访问控制列表。如果该指令是使用电信网络传输的,则该组指令将先使用标准电信协议进行编译且在步骤301a被传输至网络120,接着随后在步骤301b被传输至网关118。网关118处的电信接口将接收该指令且将发起信息安全性攻击的源的IP地址添加至网关118的访问控制列表,藉此有效阻塞从攻击的源至网络100的所有数据传输。
在步骤301b之后,事件管理器110将确定是否要创建针对从监视设备115接收的警报的新缓解动作。事件管理器110通过尝试找出在接收到的警报与储存于安全性警报数据库内的警报列表之间的匹配来进行这一确定。如果事件管理器110能够从储存的警报列表中找到匹配,则将检索与所储存的警报相关联的缓解动作且将通过事件管理器110执行该缓解动作。替代地,如果事件管理器110不能将接收到的警报与安全性警报数据库中的所储存的警报相匹配,则该警报将随后在步骤301c从事件管理器110被传输至全局命令中心130。在全局命令中心130处,计算机分析员及顾问将分析接收到的警报且将创建缓解动作以应对网络攻击。缓解动作将接着相应地由全局命令中心130执行。在攻击已被击退之后,所执行以应对攻击的缓解动作将与相关联网络攻击的细节一起被添加至事件管理器110处的安全性警报数据库中。这使得如果将来发生这些信息安全性攻击,则可从安全性警报数据库检索对应的缓解动作,藉此消除对与全局命令中心130通信的需求。
在第一时间段已过去之后,事件管理器110将使用先前选择的指令集编译一组指令以指令网关从网关的访问控制列表移除发起信息安全性攻击的源的IP地址。由于该指令先前是使用电信网络传输的,因此该组指令将使用标准电信协议类似地编译,且接着在步骤301d被传输至网络120且随后在步骤301e被传输至网关118。网关118处的电信接口将类似地接收该指令,且从网关118的访问控制列表移除发起信息安全性攻击的源的IP地址,藉此有效地将从攻击的源至网络100的所有数据传输解除阻塞。根据本发明的实施例,第一时间段可以是范围在1分钟至60分钟的任何时间段。
根据本发明的另实施例,如果事件管理器110确定电信网络被堵塞、中断且不可使用,则事件管理器110将使用带外网络传输该指令。适当带外协议将首先被用来编译该组指令。该组指令将接着在步骤302a被传输至网络120,且随后在步骤302b被传输至网关118。网关118处的带外接口将接收该指令且将发起信息安全性攻击的源的IP地址添加至网关118的访问控制列表,藉此有效地阻塞从攻击的源至网络100的数据传输。类似地,如上文所论述,在步骤302b之后,事件管理器110将确定是否要将创建针对从监视设备115接收到的警报的新缓解动作。如果将创建新缓解动作,则在步骤302c,警报将接着从事件管理器110被传输至全局命令中心130,由此将开发并执行用以应对网络攻击的缓解动作。替代地,如果无需创建新缓解动作,则先前创建的缓解动作将由事件管理器110自动执行。
在第一时间段已过去之后,事件管理器110将使用先前选择的指令集编译一组指令以指令网关从网关的访问控制列表移除发起信息安全性攻击的源的IP地址。由于该指令先前使用带外网络进行传输,因此适当带外协议将类似地被用以编译该组指令。该组指令将接着在步骤302d被传输至网络120,且随后在步骤302e被传输至网关118。网关118处的带外接口将接收该新指令且从网关118的访问控制列表移除发起信息安全性攻击的源的IP地址,藉此将从攻击的源至网络100的所有数据传输解除阻塞。
根据本发明的另实施例,在步骤301a进行之前(该步骤在事件管理器110生成一组指令以指令网关将发起信息安全性攻击的源的IP地址添加至网关的访问控制列表之前),事件管理器110将首先确定第一警报是否已与第二警报相关。换言之,事件管理器110将通过比较第一警报的细节与第二警报的细节来确定由监视设备115发出的第一警报与真实攻击还是假警报有关。本领域技术人员将认识到,第一警报及第二警报可由单个监视设备(例如监视设备115)发出,或可由两个单独监视设备发出,例如由监视设备115发出的第一警报及由监视设备116发出的第二警报。如果事件管理器110将第一警报与第二警报相关,则这指示攻击是真实攻击而非假警报,且因而,攻击的源的IP地址应被中断以防止将进一步数据传输至网络100。
举例而言,参看图2及3,在事件管理器110在步骤201d接收来自监视设备115的第一警报及在步骤201e接收来自监视设备115的第二警报之后,事件管理器110比较这两个警报以确定这两个警报是否类似。如果这两个警报类似,则这向事件管理器110指示由监视设备115内的两个模块检测到的攻击是真实攻击且攻击应被中断。事件管理器110接着实现如上文所述的步骤301a至301e或302a至302e。
为提供这样的系统或方法,需要用于使用网络的网关中断计算机网络上的信息安全性威胁或攻击的过程。以下描述及图4至图6描述提供根据本发明的这样的中断过程的过程的实施例。
图4解说根据本发明的实施例的由计算设备中的计算机系统执行以用于中断计算机网络上的信息安全性攻击的过程400。过程400通过接收来自第一监视设备的警报而在步骤405中开始。根据本发明的实施例,该第一监视设备通常将在检测到信息安全性威胁或网络异常后触发警报。网络攻击的源的IP地址及攻击所通过的网关的身份及IP地址将由该第一监视设备检索且与该警报包括在一起。
在本发明的实施例中,一旦过程400接收到该警报,过程400将分析该第一警报内所含有的信息以确定信息安全性网络攻击进入网络所经由的网关的操作参数,诸如网关的品牌、型号和/或版本。这使得一旦过程400基于储存于数据库内的关于各种类型的可用网关的信息确定了网关的品牌、型号和/或版本,过程400就将接着能够从该数据库选择与所识别的网关相关联的适当指令集。
在过程400已选择与所识别的网关相关联的指令集之后,过程400将使用所选择的指令集来编译一组指令以指令所识别的网关将发起信息安全性攻击的源的IP地址添加至网关的访问控制列表。该指令集接着被传输至所识别的网关。这在步骤410进行。
在步骤415,过程400确定第一时间段是否已经过去。如果该第一时间段尚未过去,则过程400将接着前进至步骤420。在步骤420,过程400确定所接收警报是否要被传输至命令中心。如果该警报要被传输至命令中心,则过程400前进至步骤425。过程400接着前进至在步骤425将该警报传输至命令中心,且一旦此步骤完成,过程400前进至步骤415。
回到步骤415,过程400确定该第一时间段是否已经过去,且如果未过去,则过程400前进至步骤420。由于该警报不再需要被传输,因此过程400现前进至步骤415,且步骤415至420重复进行,直至该第一时间段已过去。
在该第一时间段已经过去之后,过程400前进至步骤430。在此步骤,过程400将使用先前选择的指令集来编译一组指令以指令所识别的网关从网关的访问控制列表移除发起信息安全性攻击的源的IP地址。该指令集接着被传输至所识别的网关。过程400随后结束。
根据本发明的又一实施例,在图5中示出了由计算设备中的计算机系统执行以用于中断计算机网络上的信息安全性攻击的过程。过程500在步骤505中通过接收来自监视设备的第一警报及第二警报而开始。如先前所提及,第一警报将通常由该监视设备内的第一模块在检测到网络攻击或网络异常后被触发,且第二警报通常由该监视设备内的第二模块也检测到网络攻击后被触发。网络攻击的源的IP地址及攻击所通过的网关的身份及IP地址将与该第一警报及该第二警报包括在一起。
过程500将接着在步骤510确定触发该第一警报及该第二警报的源的IP地址是否要被阻塞或这些警报是否是假警报。如果过程500确定这些警报相关,则过程500将确定这些警报与真实攻击相关且过程500将前进至步骤515。否则,如果这些警报不相关,则过程500将结束。
在步骤515,一旦过程500已确定警报与真实攻击相关,过程500将立即分析该第一警报及该第二警报内所含有的信息以确定信息安全性网络攻击进入网络所经由的网关的操作参数,诸如网关的品牌、型号和/或版本。此使得一旦过程500基于储存于数据库内的关于各种类型的网关的可用信息确定了网关的品牌、型号和/或版本,过程500就将接着能够从该数据库选择与所识别的网关相关联的适当指令集。
在过程500已选择与所识别的网关相关联的指令集之后,过程500将使用所选择的指令集来编译一组指令以指令所识别的网关将发起信息安全性攻击的源的IP地址添加至网关的访问控制列表。该指令集接着被传输至经识别网关。此仍然全部在步骤515进行。
在步骤520,过程500确定第一时间段是否已经过去。如果该第一时间段尚未过去,则过程500将接着前进至步骤525。在步骤525,过程500确定所接收警报是否要被传输至命令中心。如果该警报要被传输至命令中心,则过程500前进至步骤530。过程500接着前进至在步骤530以将该警报传输至命令中心,且一旦此步骤完成,过程500前进至步骤520。
回到步骤520,过程500确定该第一时间段是否已经过去,且如果未过去,则过程500前进至步骤525。由于该警报不再需要被传输,因此过程500现前进至步骤520,且步骤520至525重复进行,直至该第一时间段已过去。
在该第一时间段已经过去之后,过程500前进至步骤535。在此步骤,过程500将使用先前选择的指令集来编译一组指令以指令所识别的网关将发起信息安全性攻击的源的IP地址从网关的访问控制列表移除。该指令集接着被传输至所识别的网关。过程500随后结束。
图6解说根据本发明的实施例的过程600,该过程由计算设备中的计算机系统执行以用于确定来自触发第一监视设备处的警报的源的IP地址的数据传输是否要被中断。过程600通过比较关于第一警报及第二警报内所含有的攻击的细节而在步骤605开始。在步骤610,如果过程600确定两个警报相同,则过程600前进至步骤620。在步骤620,过程600接着发出触发监视设备处的警报的源实际上是信息安全性网络攻击或威胁的确认且如此应被该系统中断。过程600随后结束。
返回步骤610,如果过程600确定第一警报并不匹配第二警报,则过程600将接着前进至步骤615。在步骤615,过程600接着发出攻击是假警报的确认,且因而,触发攻击的源的IP地址将不被系统中断。过程600随后结束。
由储存于非瞬态介质中的指令提供的过程是由计算机系统中的处理单元执行的。为免生疑问,非瞬态计算机可读介质应被认为包括瞬态传播信号以外的所有计算机可读介质。可以在一或多个计算设备和/或计算机服务器中提供计算机系统以提供本发明。指令可被储存作为固件、硬件或软件。图7解说这样的处理系统的示例。处理系统700可以是移动设备和/或服务器中的处理系统,其执行指令以执行用于提供根据本发明的实施例的方法和/或系统的过程。本领域技术人员将认识到,每一处理系统的确切配置可能不同且每一移动设备中的处理系统的确切配置可能改变,且图7仅作为示例而给出。
处理系统700包括中央处理单元(CPU)705。CPU705是处理器、微处理器或处理器与微处理器的任何组合,其执行指令以执行根据本发明的过程。CPU705连接至存储器总线710及输入/输出(I/O)总线715。存储器总线710将CPU705连接至存储器720及725,以在存储器720、725与CPU705之间传输数据和指令。I/O总线715将CPU705连接至外围设备以在CPU705与外围设备之间传输数据。本领域技术人员将认识到,I/O总线715及存储器总线710可组合为一个总线或细分为许多其它总线,且将确切配置留给本领域技术人员。
诸如只读存储器(ROM)等非易失性存储器720连接至存储器总线710。非易失性存储器720储存操作处理系统700的各种子系统以及在启动时引导系统所需的指令和数据。本领域技术人员将认识到,任何数目的类型的存储器可被用以执行此功能。
诸如随机存取存储器(RAM)等易失性存储器725也连接至存储器总线710。易失性存储器725储存由CPU705执行过程(诸如提供根据本发明的实施例的系统所需的过程)的软件指令所需的指令和数据。本领域技术人员将认识到,任何数目的类型的内存可被用作易失性存储器,且所使用的确切类型留作本领域技术人员的设计选择。
I/O设备730、键盘735、显示器740、存储器745、网络设备750及任何数目的其它外围设备连接至I/O总线715,而与CPU705交换数据以供由CPU705执行的应用程序使用。I/O设备730是传输和/或接收来自CPU705的数据的任何设备。键盘735是特定类型的I/O,其接收用户输入且将该输入传输至CPU705。显示器740接收来自CPU705的显示数据且在屏幕上显示影像以供用户查看。存储器745是向CPU705传输数据及从CPU705接收数据以用于将数据储存至介质的设备。网络设备750将CPU705连接至用于数据去往及来自其它处理系统的传输的网络。
以上是如在权利要求书中阐述的根据本发明的系统和过程的实施例的描述。设想了其它实施例也是可行的且将设计落在权利要求书的范围内的替代方案。