自动通信网络系统加固的制作方法

本发明涉及通信网络系统的安全的领域。特别是本发明涉及用于自动改进网络系统的安全的方法、计算机程序和网络加固（hardening）系统。另外，本发明涉及网络系统。

背景技术：

当今几乎所有工业系统包括以通信方式与彼此互连并且与外部装置互连的许多计算装置。这样的网络系统的每个装置可具有安全设定，所述安全设定控制允许的操作以及与其他装置的允许的通信。然而，在安装之后，安全设定可能是不正确的或者仅被部分地设置。

为了改进网络系统的安全，网络系统可被“加固”，这除了别的之外还可意指以下过程：评估安装的软件、运行的应用和进程以及用于外部接入的接入点，并且通过将安装的软件、进程和接入点限制到实行所要求的任务要求的绝对最小量来减少攻击表面。

当前，网络系统通常在调试阶段期间被加固，并且对操作中的系统很少或没有执行加固。然而，在调试阶段中的手动加固过程可以是挑战性的和易出错的。此外，即使存在某种程度的自动化，但是被应用的规则可能是不正确的或者仅部分地可适用于给定网络系统，这在建立系统时可能难以检测。

此外，可以的是，网络系统的部分能够在其寿命期间改变，例如可添加或更换装置，或者可修改一些装置的配置。初始加固可能不再是有效的，或者对改变的网络系统可能是不完整的。

us2013/097706涉及移动装置的安全并且涉及使用仪器化沙箱和机器学习分类来评估移动应用安全的自动化应用分析。

us7966659b1涉及用于配置防火墙的分布式学习方法。在学习模式期间从分布式源收集业务信息。该信息被转换为系统上下文，能够从系统上下文创建安全规则，并且能够将安全规则自动应用于防火墙。

us2015/135265a1涉及自动网络防火墙策略确定。模板编译器能够从用户已经选取的商业工具来自动确定网络安全策略。防火墙能够监控业务，并且能够通过使网络安全更加严格来基于业务更新安全策略。

技术实现要素：

本发明的目的是提供一种具有更高安全的网络系统。本发明的另外的目的是简化网络系统的加固。

这些目的通过独立权利要求的主题来被实现。由从属权利要求和以下描述，另外的示例性实施例是显而易见的。

本发明的方面涉及一种用于自动改进网络系统的安全的方法。网络系统可以是经由通信网络与彼此互连的计算装置的任何系统。下面可称作网络装置的计算装置可以是诸如路由器、交换机和防火墙之类的只支持网络系统中的通信的装置，和/或可以是诸如pc、服务器、控制器、智能电子装置、智能装置等与彼此通信的装置。

在这里以及在下文中，术语“自动地”可描述方法可由计算装置在没有人类的直接干涉的情况下执行。例如，方法可由网络系统的一个或多个装置和/或由与网络系统互连的一个或多个装置执行。

根据本发明的实施例，该方法包括：从网络系统的网络装置收集安全相关信息，安全相关信息包括网络装置的安全设定和操作信息。

安全相关信息可以是与网络系统的安全方面关联的任何数据。例如，安全相关信息可存储在日志文件中，所述日志文件由进程在执行其任务时产生。作为另外的示例，安全相关信息可存储在配置文件中，所述配置文件用于配置一个或多个进程。在这里以及在下文中，进程可以是计算机程序或者计算机程序的部分，诸如在诸如网络装置之类的一个或多个计算装置中执行的功能或过程。

安全相关信息可分为安全设定和操作信息。安全设定可对允许装置和/或进程做什么以及不允许装置和/或进程做什么进行编码。操作信息可对装置和/或进程实际做什么进行编码。例如，安全设定可对装置和/或进程可经由特定网络端口建立通信进行编码。对应的操作信息可以是装置和/或进程实际使用哪些端口。

可连续和/或定期执行安全相关信息的收集。特别是，收集可在网络系统的操作期间被执行。还可以的是，通过网络系统的硬件改变和/或安装改变来触发该方法和/或安全相关信息的收集。在装置与网络系统互连或断开的任何时间，可触发该方法。此外，当网络装置中的软件安装改变时，可触发该方法。

安全相关信息的收集可由一个或多个监控进程执行，所述监控进程可负责从网络系统的全部网络装置的当前系统信息的周期性收集。一个或多个监控进程可在一个或多个连网装置中被运行，例如一个或多个监控进程还可监控它们自身，和/或可在连接到网络系统的外部装置中被运行。

根据本发明的实施例，该方法还包括：分析安全相关信息，以便从网络装置的所收集的安全设定确定弱安全设定。弱安全设定可以是对于网络系统的常规操作不必要的设定。弱安全设定可以是允许可以不是常规操作所需要的网络装置的操作的安全设定。例如，弱安全设定可允许不需要被运行的进程，和/或可允许不是系统的常规操作所需要的装置之间的通信。弱安全设定可被看作不是最优的和/或不是最大安全的安全设定。

例如，可确定分析的结果是：连网装置仅经由特定端口的集合进行发送，但是全部端口被允许进行通信。因此，安全设定“全部端口”被允许可被看作是弱安全设定。作为另外的示例，分析可已经确定只有特定职能对于运行由连网装置执行的全部进程是必要的，但是更多职能被指配给连网装置。在这种情况下，对于运行进程不必要的职能可被看作是弱安全设定。

可从所收集的操作信息确定网络系统的常规操作，即，用于确定弱安全设定的常规操作可以是根据操作信息的。例如，当操作信息指示端口在诸如一天或一周之类的特定时间段期间从未被使用时，可假定常规操作将从不使用这个端口。因此，允许经由这个端口进行通信的安全设定可被看作是弱的。

安全相关信息的分析可由一个或多个分析进程执行，所述一个或多个分析进程可由协调进程来协调。例如，一旦已经收集新的安全相关信息和/或在已经经过了某段时间之后，一个或多个监控进程可指示协调器进程分析新的安全相关信息。

例如，协调器进程可在计算装置中被执行，所述计算装置还存储用来确定弱安全设定的一个或多个分析进程。协调器进程可触发分析进程的执行，所述分析进程例如可在与协调器进程相同的计算装置或者一个或多个其他计算装置中被执行，所述一个或多个其他计算装置可以是网络系统的部分和/或可以是不需要与连网系统直接互连的外部装置。

根据本发明的实施例，该方法还包括：基于弱安全设定来确定用于网络装置的加固的安全设定，加固的安全设定限制网络装置的可能操作，但是允许根据操作信息的网络系统的常规操作，其中加固的安全设定通过限制弱安全设定来被确定。加固的安全设定可被看作是受限制的安全设定和/或更安全的安全设定。

可通过移除允许特定操作的安全设定和/或通过添加禁止特定操作的安全设定来限制安全设定。

例如，网络装置的加固的安全设定可以是改进的安全设定（例如对初始是弱的设定的改进）以及使系统更安全的附加设定。继续上面的示例，加固的安全设定可以是其中网络端口被限制到只有用于发送数据的那些端口的安全设定。此外，加固的安全设定可以是限制到职能的安全设定，所述安全设定允许网络装置中已经执行过的全部进程而不是没有执行过的进程的执行。

加固的安全设定的生成可由一个或多个生成器进程来执行，生成器进程可由协调器进程在对应分析进程结束时触发。还可以的是，生成器进程是对应分析进程的部分。一个或多个生成器进程可在与协调器进程相同的计算装置或者一个或多个其他计算装置中被执行，所述一个或多个其他计算装置可以是网络系统的部分和/或可以是不需要与连网系统直接互连的外部装置。

根据本发明的实施例，该方法还包括：对网络装置应用加固的安全设定。例如，存储在网络装置中和/或包含网络装置的实际安全设定的一个或多个配置文件可基于加固的安全设定来被改变。还可以的是，软件可在已经确定不需要所述软件的执行时被从连网装置删除。

例如，加固的安全设定的应用可由协调器进程执行。协调器进程可具有执行关于网络装置的对应改变的许可。此外，协调器进程可向管理员（人类）通知基于加固的安全设定对系统配置所提出的改变。

概括来说，网络系统与运行该方法的计算装置一起可在当网络系统正运行时的任何时间点检测和移除可被发现的弱点，由此增加网络系统的安全。

使用这个方法，网络系统的安全等级可被周期性地或按需监控并且改进。此外，运行的网络系统可经过多个校验被加固，所述校验适合于适应网络系统中的改变，和/或对抗能够损害网络系统的新的网络安全和鲁棒性威胁，甚至是当建立网络系统时不知道的那些威胁。

另外，该方法可用来自动得出正确和完整的系统特定的加固的安全设定。系统中的任何不正确或不完整的安全设定可通过针对所得出的项目特定加固设定进行验证来被快速检测，由此降低工程成本。

根据本发明的实施例，该方法还包括：在至少一个存储装置中永久地存储安全相关信息，以便生成网络系统的安全相关信息的历史。存储装置可以是或者不是网络系统的部分。例如，一个或多个监控进程可将所收集的安全相关信息转发到存储装置，所述存储装置可以是物理装置上的进程，其任务是持久地并且冗余地存储来自监控进程的数据，以便避免在存储装置的故障情况下的数据丢失。

此外，安全相关信息的历史可由存储装置提供。以这样的方式，一个或多个分析进程可将实际安全设定与先前的安全设定和/或将实际操作信息与先前的操作信息进行比较。例如，在没有执行该方法的监控和加固系统的知识的情况下，可确定安全设定是否已经被改变。此外，可基于统计方法来评估操作信息，例如可随时间推移来分析网络业务。

下面描述的方法步骤可由分析和/或生成器进程执行，所述分析和/或生成器进程可由协调器进程触发。

根据本发明的实施例，该方法还包括：从先前存储的安全相关信息确定网络系统的常规行为。例如，常规行为可利用分析进程中的一个或多个分析进程被确定。

常规行为可以是对在没有由安全威胁引起的非法操作的情况下的网络系统的操作进行编码的数据。例如，可假定网络系统在大多数时间具有常规行为。可使用统计方法来从操作信息提取对应信息。

常规行为可以是基于网络系统的聚合的操作信息的数据。例如，常规行为可包括与进程的执行时间、装置之间的网络业务等有关的信息。

根据本发明的实施例，该方法还包括：从常规行为确定弱安全设定。基于常规行为，分析进程可确定哪些安全设定对于执行常规行为是必要的以及哪些安全设定不是。也许可能的是，将对常规行为和对应安全设定进行编码的信息归类为群组，所述群组由不同分析进程分析。对于这样的群组的示例可以是网络业务和端口限制、执行的进程、进程执行时间以及执行时间的限制等。

根据本发明的实施例，该方法还包括：通过将实际收集的安全信息与网络系统的常规行为和先前存储的安全相关信息中的至少一个进行比较来确定网络系统的非常规行为。此外，当（例如由监控进程）已经确定常规行为时，可考虑非常规行为来分析实际安全相关信息以及特别是实际操作信息。例如，关于常规行为生成的相同信息可例如基于更短时间从实际安全相关信息来被生成。通过将实际生成的信息与对常规行为进行编码的信息进行比较，可检测偏差，并且当偏差高于阈值时，可检测到非常规行为。

例如，非常规行为可以是网络装置在它们根据常规行为不通信时与彼此通信。非常规行为的另外的示例是进程在网络装置上被执行经过比常规行为所指示的更长时间。

根据本发明的实施例，该方法还包括：通过将改变的安全设定应用于与非常规行为关联的网络装置来停止网络系统的非常规行为。可以的是，协调器进程在被通知非常规行为时改变所关心的网络装置的设定，使得非常规行为不再是可能的。例如，分析进程可基于非常规行为来提出改变的安全设定。这些改变的安全设定可由协调器进程来实现。

例如，在网络装置开始将比常规行为所指示的多得多的数据发送到网络系统中的情况下，网络装置的安全设定可设置成不允许由所述网络装置生成的任何网络业务。这可引起网络装置的故障，但是也可保护剩余的网络系统免受可能已经被劫持的连网装置影响。

根据本发明的实施例，安全设定包括下列中的至少一个：指配给用户和/或网络装置的职能，职能的权限，防火墙规则，装置的开启的/关闭的端口，和/或装置上的安装的进程。必须注意，网络装置的其他设定也可被看作是安全设定。可以的是，一个或多个监控进程适合于将可以以不同类型的格式和/或存储类型来编码的安全设定转换为可由分析进程处理的同质格式。

根据本发明的实施例，操作信息包括下列中的至少一个：网络装置上的运行的进程；网络装置上的进程的运行时间；和/或网络装置之间的网络业务。这个列表也不排除其他类型的操作信息。监控进程再次可适合于将可以以不同格式和/或以不同方式（例如从日志文件）收集的操作信息转换为可由分析进程处理的同质格式。

根据本发明的实施例，加固的安全设定包括下列中的至少一个：对用户和/或装置移除职能；从职能移除权限；防火墙规则的修改；网络装置的端口的关闭；装置上的进程的终止或开始；从网络装置移除进程；和/或网络装置的进程的受限制的运行时间。加固的安全设定可以以同质格式来被提供，并且可被转换回实现相应网络装置中的安全设定所需要的特定格式。

方法和/或执行方法的不同进程可以以不同方式和/或在不同虚拟和/或物理计算装置中被执行。例如，一个或多个监控进程可在不是网络系统的部分的监控装置中被执行。

根据本发明的实施例，安全相关信息由与网络系统互连的监控装置收集，所述监控装置从网络装置取回安全相关信息。监控装置可联系网络装置本身，和/或可例如通过使用诸如ssh的安全机制登录网络装置来取回期望的信息。

根据本发明的实施例，网络装置的安全相关信息由向监控装置发送安全相关信息的网络装置中安装的监控进程来收集。监控进程可在网络装置中被直接执行，所述网络装置可取回本地信息，并且将它发送给另外的监控装置和/或直接发送给一个或多个存储装置。

根据本发明的实施例，分析安全相关信息，并且由连接到网络系统的网络加固装置来应用改变的安全设定。还可以的是，协调器进程和一个或多个分析进程在与网络系统分离的一个或多个装置中被执行。

本发明的另外的方面涉及一种在至少一个处理器上被执行时适合于执行所述方法的计算机程序，并且涉及一种其上存储这样的计算机程序的计算机可读介质。计算机程序可被看作是监控进程、协调器进程和分析进程的集成。计算机可读介质可以是运行这些进程的装置的非易失性存储设备。

本发明的另外的方面涉及一种网络监控和加固系统，所述网络监控和加固系统包括至少一个监控装置、至少一个分析装置和至少一个加固装置。此外，网络监控和加固系统可包括用于存储所收集的安全相关信息的至少一个存储装置。

至少一个监控装置可适合于运行至少一个监控进程，和/或可适合于从网络系统的网络装置收集安全相关信息，所述安全相关信息包括网络装置的安全设定和操作信息。

至少一个分析装置可适合于至少一个分析进程。此外，至少一个分析装置可适合于分析安全相关信息以便确定网络装置的弱安全设定，所述弱安全设定对于网络系统的常规操作不是必要的。

另外，至少一个分析装置可适合于基于弱安全设定来确定用于网络装置的加固的安全设定，加固的安全设定限制网络装置的可能操作，但是允许网络系统的常规操作。

至少一个加固装置可适合于运行协调器进程，和/或适合于对网络装置应用加固的安全设定。

一个或多个监控装置、一个或多个分析装置和/或加固装置可以是物理装置，和/或可被实现为计算节点或虚拟装置。此外，一个或多个存储装置可被实现为物理装置，和/或可被实现为计算节点或虚拟装置。有可能将分析节点和/或存储节点共置于相同物理装置上，这可减少计算时间，因为每个分析节点能够潜在地从本地存储设备加载所要求的安全相关信息中的一些安全相关信息。

本发明的另外的方面涉及一种网络系统，所述网络系统包括如上文中和下文中所描述的网络监控和加固系统以及以通信方式连接的多个网络装置。如已经提及的，网络监控和加固系统可部分或完全在网络系统的装置内被实现。

根据本发明的实施例，网络系统是工业自动化系统。网络装置可以是工业自动化装置。例如，网络系统可包括电网的变电站的致动、传感器和控制装置。

必须理解，如上文中和下文中所描述的方法的特征可以是如上文中和下文中所描述的计算机程序、监控和加固系统以及网络系统的特征，反过来也是一样。

本发明的这些以及其他方面将从下文中描述的实施例而是显而易见的并且参考下文中描述的实施例得以阐明。

附图说明

下文中将参照在附图中说明的示例性实施例更详细地解释本发明的主题。

图1示意地示出根据本发明的实施例的网络系统以及监控和加固系统。

图2示出根据本发明的实施例的用于改进网络系统的安全的方法的流程图。

图3a和图3b示意地示出根据本发明的实施例的网络系统。

附图中使用的参考标号及其含意在参考标号的列表中以概括形式被列出。原则上，在附图中同样的部分被提供有相同参考标号。

具体实施方式

图1示出与监控和加固系统12连接的网络系统10。系统12可以是系统10的部分。

网络系统10包括多个网络装置14，所述网络装置14例如可以是传感器16或致动器18的控制器14'。此外，网络系统10可包括只用于将控制器14'互连的另外的计算装置14、14''（诸如交换机）和/或用于执行计算任务的另外的计算装置14、14''（诸如中央监管计算机）。例如，网络系统10可以是工业自动化系统，诸如变电站的控制系统。然而，也许还可能的是，网络装置14是pc或其他多用途计算装置，并且网络系统10是公司的内联网、云计算设施等。

网络装置14与通信网络20互连，所述通信网络20还将监控和加固系统12与网络系统10连接。

监控和加固系统12包括一个或多个协调器装置22、一个或多个监控装置24、一个或多个存储装置26和一个或多个分析装置28。

必须注意，装置22、24、26、28可以是不同的物理计算装置，可以是虚拟装置，和/或装置22、24、26、28中的两个或多于两个装置的任务可由一个物理装置执行。还可以的是，装置22、24、26、28中的一些或全部装置是网络系统10的部分。

在监控装置24中，执行一个或多个监控进程24'，所述监控进程24'从网络装置14收集实际安全相关信息30。可以的是，网络装置中的一些或全部网络装置具有安全代理24''，所述安全代理24''可被看作是向监控装置24'和/或直接向存储装置26发送安全相关信息30的监控进程24'的部分。

安全相关信息30然后可作为历史化安全相关信息30'被持久地存储在存储装置26中。

安全相关信息30可由网络装置14的安全设定32以及网络装置14的操作信息34组成。

例如，安全设定32可被存储在配置文件中，和/或可从配置网络装置14的数据被取回。安全设定32的示例是网络装置或进程的权限和/或职能、开启的和关闭的端口、安装的软件等。

操作信息34可以是网络装置14的操作期间的信息。例如，操作信息可被存储在日志文件中，和/或可从网络装置14的操作期间产生的数据中被取回。操作信息34的示例是网络业务、网络业务的源和目的地、网络业务量、使用的端口、开始的进程、运行的进程、停止的进程、进程的运行时间等。

在协调器装置22中，协调器进程22'周期性地或按需运行，执行分析装置28上的分析进程28'。例如，在协调器装置22中，存储可调度要被运行的分析进程28'的任务列表36。

分析进程28'分析存储的安全相关信息30'，以便确定网络系统10的常规行为38、弱安全设定32'以及网络系统10的非常规行为40。可以的是，分析进程28'在同一物理装置上被运行，其中还存储要被分析的相关安全信息30'。

基于分析结果，加固的安全设定32''可由生成器进程42来计算，所述生成器进程42可在分析装置28和/或协调器装置22中运行。加固的安全设定32可由协调器进程22'应用于对应网络装置14，所述协调器进程22'可具有改变相应网络装置14中的对应安全设定32的权限。以这样的方式，装置22也可被看作是加固装置22。

可以的是，对应装置14中的安全代理24''应用加固的安全设定32''。

分析结果38、40、32'还可被发送给管理员。

图2示出可由监控和加固系统12执行的用于自动改进网络系统10的安全的方法的流程图。

在步骤s10中，监控和加固系统12从网络系统10的网络装置14收集安全相关信息30。

如已经提及的，安全相关信息30可由一个或多个监控装置24收集，所述一个或多个监控装置24从网络装置14取回安全相关信息30。备选地或附加地，安全相关信息30可由向监控装置24发送安全相关信息30的网络装置14中安装的监控进程24''或监控代理24''收集。

安全相关信息30以及特别是安全设定32和操作信息可被转换为可由存储装置26和/或分析装置28处理的通用格式。

必须注意，在步骤s10和以下的步骤期间，网络系统10可处于正常操作模式中，即，方法可以不仅在网络系统10的调试阶段期间被执行。

在步骤s12中，实际收集的安全相关信息30被永久地存储在一个或多个存储装置26中。以这样的方式，可生成网络系统10的安全相关信息30'的历史。安全相关信息30'的历史对网络系统10可以是独特的。它可对可由系统12触发或者可通过网络装置14的手动改变引起的网络系统10的拓扑改变、安全设定32的改变进行编码。

以下步骤s14、s16、s18和s22可由分析进程28'执行，所述分析进程28'可已经由协调器进程22'触发。

在步骤s14中，从先前存储的安全相关信息30'确定网络系统10的常规行为38。网络系统的常规行为38可以以标准化形式来被编码，和/或可包括与网络装置14中执行的进程和/或网络装置之间的通信有关的信息。

常规行为38可包括通常在网络装置中运行的进程以及基于此的信息，诸如通常的进程开始时间、通常的进程结束时间、通常的进程运行时间等。常规行为38还可包括网络装置之间的网络业务以及基于此的信息，诸如数据分组的通常的发送方和/或通常的接收方、发送的数据分组的数量、业务量、用于业务的端口等。

例如，常规行为38可包括某些操作和/或进程何时被正常实行。这可允许系统12指定关于何时允许操作的规则。根据这样的规则，加固的安全设定32''可在步骤s18中被得出。

常规行为38的确定可基于机器学习算法，所述机器学习算法可将收集的信息30'归类为群组，并且还可区分常规行为38与非常规行为40，这将针对步骤s22来被描述。

要注意，常规行为38的确定可以是弱安全设定32'的确定的先决条件。

在步骤s16中，分析安全相关信息30'，以便确定网络装置14的弱安全设定32'。弱安全设定32'的特征可在于对于网络系统10的常规操作不是必要的。

可基于可被编码到不同分析进程中的规则来根据常规行为38确定弱安全设定32'。一般地，这样的规则可确定应当避免允许根据常规行为38不被执行的操作的安全设定32。

这样的规则可包括：网络装置14可具有运行根据常规行为38不被运行的进程的权限、网络装置可不使根据常规行为38不被使用的端口被开启等。

例如，分析进程28'可确定网络装置14执行其常规操作所要求的权限。可将这些权限与安全设定中设置的权限进行比较，并且可得出潜在职能改变。例如，这样的职能和/或权限改变可利用机器学习/优化算法来被执行，所述机器学习/优化算法例如使职能的最小访问权限的计算能够实现。

在此上下文中的弱安全设定的示例可以是用户和/或网络装置14的职能，所述职能允许用户和/或网络装置14执行命令和/或进程，所述命令和/或进程执行超出用户和/或网络装置14在常规操作中实际执行的任何操作的操作，因此能够将这个用户和/或网络装置14的职能改变成更限制性的职能。另一示例是使得能够执行比常规行为38所要求的更多的操作的职能。从而，能够限制这个职能的权限。

另一分析进程28'可确定根据常规行为38实行全部常规操作需要的网络装置14之间的最小的信息流。在这个上下文中，弱安全设定32可以是允许根据常规行为38不进行通信的网络装置14之间的数据的发送的端口设定和/或多播过滤器设定。

计算所要求的信息流可通过将连接性限制到所要求的最小量来使得路由器14''、交换机14''和/或防火墙14''的加固能够实现。信息流还可被用来推断要求哪些开放的端口和运行的进程。

例如，假定网络装置14'根据防火墙规则可与另一装置14'进行通信，但是这些装置之间的通信不曾根据常规行为38发生。在这种情况下，防火墙14''可通过不允许这些装置14'之间的任何通信来被加固。

在步骤s18中，基于弱安全设定32'来确定用于一个或多个网络装置14的加固的安全设定32''。加固的安全设定32''可被看作是限制网络装置14的可能操作但是允许网络系统10的常规操作的安全设定32。换言之，利用最优加固的安全设定32'，只有网络系统10的常规行为38是可能的。

可利用生成器进程42根据实际应用的安全设定和所确定的弱安全设定32'来生成加固的安全设定32''。例如，此类加固的安全设定32''可包括每个职能的权限的最优指定和/或对用户和/或网络装置14的职能的分配，使得能够执行全部常规操作。

在步骤s20中，加固的安全设定32''被应用于所关心的网络装置14。例如，这可由协调器进程22'进行，或者加固的安全设定32''可被发送给应用加固的安全设定32''的网络装置14内的安全代理24''。

在步骤s22中，网络系统10的非常规行为40由分析进程28'通过分析实际收集的安全信息30来被确定。例如，可将实际收集的安全信息30与网络系统10的常规行为38和/或与先前存储的安全相关信息32'进行比较。

对于这样的非常规行为40的示例可以是：开始通信的网络装置14，虽然对于常规行为38所述网络装置14不应当开始通信，和/或在由常规行为38指示的特定时间通常不运行的开始的进程。

当检测到非常规行为40时，可通知管理员。

在步骤s24中，通过将改变的安全设定32''应用于与非常规行为40关联的网络装置14来停止非常规行为40。与被确定以便不允许不是常规行为的部分的操作的加固的安全设定32''类似，还可例如利用生成器进程42生成不允许特定非常规行为40的改变的安全设定32''。诸如加固的安全设定32''的改变的安全设定32''可应用于所关心的网络装置14。

图3a和图3b示出实施例，其中方法优化网络系统10的网络装置14''的网络设定32，所述网络系统10如在图3a中所示出的那样在初始配置中包括三个网络装置14a、14b和14c，所述三个网络装置14a、14b和14c经由是网络交换机的网络装置14''互连。

网络装置14a向网络装置14b、14c发送多播消息。首先，交换机14''没有被配置有多播过滤器设定32，并且交换机14''缺省地将多播消息从网络装置14a转发到网络装置14b、14c。

图1的系统12收集作为安全设定的多播过滤器设定32以及作为操作信息34的经过交换机14''的网络业务。在所生成的安全相关信息30的分析之后，确定未使用然而没有被关闭的端口是弱安全设定32'。因此，生成仅具有开启的端口的加固的安全设定32''，并且在加固的安全设定32''的应用之后，交换机14''的未使用端口出于安全原因而被禁用。

如图3b中所示出的，将图3a的网络系统10扩展成包括连接到交换机14''的未使用的（先前禁用的）端口的网络装置14d和14e。例如，在安装新网络装置14d和14e之后，服务技工已经将交换机重置到其原始安全设定32。

网络装置14d这时另外地向网络装置14b和14e发送多播消息。交换机14''的全部端口这时在使用中，因此图1的系统12可确定没有端口需要被关闭。

然而，由于交换机14''不具有作为安全设定32集合的任何多播过滤器，所以它还将会将多播消息从网络装置14a转发到网络装置14d，反过来也是一样，虽然消息不是预定到达网络装置14d或14a。这在另一方面可导致安全问题，并且另外尤其是当多播消息的频率高（其可引起不必要的cpu中断）时，可导致网络装置14a和14d中的性能问题。两种问题可利用针对图2描述的方法来被解决。

特别地，与在网络装置14中被过滤或丢弃的分组有关的操作信息34可由网络装置14上运行的监控代理24''或者更一般地由监控进程24'来收集。此安全相关信息30'可被记录在存储装置26中。

采取机器学习过程形式的分析进程28'然后可被用来从此安全相关信息30'学习不同多播群组。例如，可选择诸如频繁模式增长算法的数据挖掘算法以查找频繁项集合。在图3b的示例中，这样的分析进程28'将查找两个多播群组。基于此学习，交换机14'的安全设定32可以以下列方式来被更新：加固的安全设定32''可包括两个多播过滤器设定：将多播消息从网络装置14a转发到仅网络装置14b和网络装置14c的一个多播过滤器设定，以及将多播消息从网络装置14d转发到仅网络装置14b和网络装置14e的另一多播过滤器设定。

虽然在附图和以上描述中已经详细说明和描述了本发明，但是这样的说明和描述要被认为是说明性或示例性的并且不是限制性的；本发明不限于所公开的实施例。从研究附图、本公开和随附权利要求，由本领域技术人员和实践所要求保护的发明的人员可理解和实现对公开的实施例的其它变更。在权利要求中，词语“包括”并不排除其他元件或步骤，以及不定冠词“一（a或an）”并不排除多个。单个处理器或控制器或其他单元可实现权利要求中记载的数项的功能。在相互不同的从属权利要求中记载某些措施的仅有事实并不指示这些措施的组合不能用于获益。权利要求中的任何参考标记不应被解释为限制范围。

参考标号的列表

10网络系统

12监控和加固系统

14网络装置

14a网络装置

14b网络装置

14c网络装置

14d网络装置

14e网络装置

14'控制器

14''计算装置、交换机、路由器、防火墙

16传感器

18致动器

20通信网络

22协调器装置/加固装置

22'协调器进程

24监控装置

24'监控进程

24''安全代理

26存储装置

28分析装置

28'分析进程

30实际安全相关信息

30'安全相关信息的历史

32实际应用的安全设定

32'弱安全设定

32''改变和/或加固的安全设定

34操作信息

36任务列表

38常规行为

40非常规行为

42生成器进程