DS/IPS系统观测流入及流出组织的网络的流量等等。这些保护技术是长期开发的且足够成熟来阻止已知威胁且有时甚至可阻止未预测到的威胁。
[0125]现今的网络防御态势的问题为其静态特性:经配置之后且可能经验证之后,网络防御被视为牢不可破的,就如同第二次世界大战之前的马其诺防线。通常会应用一次保护措施,或者最多一段时间内评定一次所述保护措施,从而使组织在检查之间中得不到任何真正的安全态势状态的质量保证。
[0126]现今的网络防御的又另一问题为如何设置及配置这些保护元素的方法的多样性。保护栅格中全部节点都来源于单一供应商是非常罕见的。通常的IT做法是使用明显来自不同的网络技术提供者的同类最佳装置。不同及复杂的配置方法增加了现今的多层网络安全部署中的错误可能性。
[0127]NetFlow为使得能够创造能够提供组织的联网基础架构的动态质量控制的工具的技术。本发明揭示的NFI技术允许引入可监视贯穿组织的网络流量且识别过去由静态配置的防御监督的流实例的任意策略。
[0128]虽然已鉴于若干实施例描述本发明,但存在属于本发明的范围内的替代、修改、置换及取代等效物。尽管已提供小节标题以协助描述本发明,但这些标题仅为说明性的且不希望限制本发明的范围。
[0129]应注意,存在许多实施本发明的方法及设备的替代方法。因此,希望随附权利要求书被解释为包含属于本发明的真正精神及范围内的全部这些替代、修改、置换及取代等效物。
【主权项】
1.一种改进的软件定义网络管理方法,所述网络包含网络控制器且使用一或多种网络协议传输网络流量,所述网络包含装置,至少一些所述装置通过入口接口接收网络流量且通过出口接口传输网络流量,所述方法包括以下步骤: 在数据处理系统中以至少一种数据格式从多个源接收网络元数据; 当所述网络元数据在所述网络上在产生所述网络元数据的网络装置与能够存储所述网络元数据的装置之间转移时处理所述网络元数据以从其提取有用信息;以及 作为所述元数据处理步骤的结果,确定与操作于所述网络上的应用程序相关的信息;以及 使用所述应用程序信息以使所述网络控制器能够执行对所述软件定义网络的更有效管理。2.根据权利要求1所述的方法,其进一步包括以下步骤: 作为所述元数据处理步骤的结果,确定与存在于所述网络上的用户相关的信息;以及 使用所述用户信息以使所述网络控制器能够执行对所述软件定义网络的更有效管理。3.一种改进的基于云的虚拟计算环境管理方法,所述环境包含云操作系统及云环境控制器且使用一或多种网络协议传输网络流量,所述网络包含装置,至少一些所述装置通过入口接口接收网络流量且通过出口接口传输网络流量,所述方法包括以下步骤: 在所述基于云的虚拟计算环境中以至少一种数据格式从多个源接收网络元数据;当所述网络元数据在所述环境中在产生所述网络元数据的网络装置与能够存储所述网络元数据的装置之间转移时处理所述网络元数据以从其提取有用信息;以及 作为所述元数据处理步骤的结果,确定与在所述环境中操作的应用程序相关的信息;以及 使用所述应用程序信息以使所述云环境控制器能够执行对所述基于云的虚拟计算环境的更有效管理。4.根据权利要求3所述的方法,其进一步包括以下步骤: 作为所述元数据处理步骤的结果,确定与存在于所述环境中的用户相关的信息;以及 使用所述用户信息以使所述云环境控制器能够执行对所述基于云的虚拟计算环境的更有效管理。5.一种在装置使用一或多种网络协议传输网络流量的网络中提供对与经识别的潜在安全相关网络事件相关的网络元数据的按需访问的方法,所述网络包含装置,至少一些所述装置通过入口接口接收网络流量且通过出口接口传输网络流量,所述方法包括以下步骤: 根据经配置的网络元数据处理策略的集合以流式处理方式处理网络元数据; 在定义的时间周期中在快速存取存储机构中留存一组按时间索引的网络元数据; 识别潜在安全相关网络事件;以及 从所述按时间索引的组提供在时间上与所述经识别的潜在安全相关网络事件相关的网络元数据的集合;以及 执行分析以使网络元数据的所述集合与所述经识别的潜在安全相关网络事件相关以进一步表征所述经识别的潜在安全相关网络事件的特性。6.根据权利要求5所述的方法,其进一步包括从所述快速存取存储机构移除已选网络元数据以促进新的网络元数据到达所述快速存取存储机构的步骤。7.—种检测网络连接装置上的受僵尸网络控制的软件的方法,其包括: 应用内嵌聚类分析算法以将网络上的出站流量分类; 所述聚类分析算法将到可识别的地理位置处的网络主机的通信频率及数据通信模式考虑在内,所述数据通信模式例如,没有限制:应用类型、流速率、每流数据包的数目、各流中平均数据包大小及流量速率; 基于所述应用步骤,识别所述网络上的并非为所述网络上的流量的通用模式的部分的出站流量;以及 在所述网络上的并非为所述网络上的流量的所述通用模式的部分的出站流量的情况下传达警告。8.—种改进的软件定义网络管理系统,所述网络包含网络控制器且使用一或多种网络协议传输网络流量,所述网络包含装置,至少一些所述装置通过入口接口接收网络流量且通过出口接口传输网络流量且产生与所述网络流量相关的网络元数据,所述管理系统包括: 至少一个入口接口,其用于以至少一种数据格式从软件定义网络中的多个源接收网络元数据; 处理引擎,其用于当所述网络元数据在所述网络上在产生所述网络元数据的网络装置与能够存储所述网络元数据的装置之间转移时处理所述网络元数据以从其提取有用信息; 所述处理引擎确定与操作于所述网络上的应用程序相关的信息且使用所述应用程序信息以使所述网络控制器能够执行对所述软件定义网络的更有效管理。9.根据权利要求8所述的管理系统,其中所述处理引擎作为所述元数据处理步骤的结果而确定与存在于所述网络上的用户相关的信息;以及使用所述用户信息以使所述网络控制器能够执行对所述软件定义网络的更有效管理。10.一种改进的基于云的虚拟计算环境管理系统,所述环境包含云操作系统及使用一或多种网络协议传输网络流量的云环境控制器,所述网络包含装置,至少一些所述装置通过入口接口接收网络流量且通过出口接口传输网络流量,所述管理系统进一步包括: 接口,其用于以至少一种数据格式从所述基于云的虚拟计算环境中的多个源接收网络元数据; 处理引擎,其用于当所述网络元数据在所述环境中在产生所述网络元数据的网络装置与能够存储所述网络元数据的装置之间转移时处理所述网络元数据以从其提取有用信息; 所述处理引擎作为所述元数据处理步骤的结果而确定与操作于所述环境中的应用程序相关的信息;以及使用所述应用程序信息以使所述云环境控制器能够执行对所述基于云的虚拟计算环境的更有效管理。11.根据权利要求10所述的管理系统,其中所述处理引擎作为所述元数据处理步骤的结果而确定与存在于所述环境中的所述用户相关的信息;以及使用所述用户信息以使所述云环境控制器能够执行对所述基于云的虚拟计算环境的更有效管理。12.一种用于在装置使用一或多种网络协议传输网络流量的网络中提供对与经识别的潜在安全相关网络事件相关的网络元数据的按需访问的系统,所述网络包含装置,至少一些装置通过入口接口接收网络流量且通过出口接口传输网络流量,所述系统包括: 处理引擎,其用于根据经配置的网络元数据处理策略集合以流式处理方式处理网络元数据; 快速存取存储机构,其用于在定义的时间周期中留存一组按时间索引的网络元数据;所述处理引擎识别潜在安全相关网络事件且从所述按时间索引的组提供在时间上与所述经识别的潜在安全相关网络事件相关的网络元数据的集合;以及 分析引擎,其用于执行分析以使所述网络元数据集合与所述经识别的潜在安全相关网络事件相关以进一步表征所述经识别的潜在安全相关网络事件的特性。13.根据权利要求12所述的系统,其进一步包括用于从所述快速存取存储机构移除已选网络元数据以促进新的网络元数据到达所述快速存取存储机构的存储器管理引擎。14.一种用于检测网络连接装置上的受僵尸网络控制的软件的系统,其包括: 处理引擎,其用于应用内嵌聚类分析算法以将网络上的出站流量分类; 所述聚类分析算法将到可识别的地理位置处的网络主机的通信频率及数据通信模式考虑在内,所述数据通信模式例如,没有限制:应用类型、流速率、每流数据包的数目、各流中平均数据包大小及流量速率; 分析引擎,其基于所述聚类分析算法的结果识别所述网络上的并非为所述网络上的流量的通用模式的部分的出站流量;以及 警告产生引擎,其用于在所述网络上的并非为所述网络上的流量的所述通用模式的部分的出站流量的情况下传达警告。
【专利摘要】本发明描述用于处理网络元数据的改进的方法及系统。可由做出关于网络元数据的特性及关于网络元数据向由所述网络元数据携带的信息的消费者的呈现的基于策略的决定的动态实例化可执行软件模块处理网络元数据。所述网络元数据可按类型分类且一类型内的各子类可按唯一指纹值映射到定义。所述指纹值可用以将网络元数据子类与相关策略及转换规则匹配。对于例如NetFlow?v9的基于模板的网络元数据,本发明的实施例可连续监视网络流量的未知模板,捕获模板定义且向管理员通知定制策略及转化规则不存在的模板。转化模块可有效将已选的类型及/或子类的网络元数据转化成替代元数据格式。
【IPC分类】G06F11/00
【公开号】CN105051696
【申请号】CN201480012616
【发明人】伊戈尔·巴拉比纳, 亚历山大·韦莱德尼特斯基
【申请人】网络流逻辑公司
【公开日】2015年11月11日
【申请日】2014年1月9日
【公告号】CA2897664A1, WO2014110293A1