专利名称:管理网络中的安全性的制作方法
技术领域:
本发明的领域涉及计算系统。更特别地,本发明的实施例涉及网络安全管理。
背景技术:
技术进步已经导致越来越大且复杂的网络的使用,其中数量日益增加的网络系统作为组织运作的组成部分。许多网络系统例行地接收、处理和/或存储敏感和/或机密性质的数据。用户经常经由外部网络接入点被提供对网络的访问以便获取数据和/或与网络内的网络系统交换数据。这样的外部网络接入点的增加的使用在许多情况下使得网络越来越易受恶意用户的攻击。对网络的攻击在频率和复杂性方面都在增加。例行地存储在这样的网络中的数据的敏感性质经常吸引寻求获得对敏感数据和/或机密数据的访问的恶意用户或黑客。在一些情况下,恶意用户怀着破坏网络和/或网络系统的目的寻求对网络和网络系统的访问。 恶意用户经常用来对网络造成损害的机制的实例包括但不限于病毒、蠕虫、蜘蛛、爬虫和木马。对网络的增加频率的攻击经常导致对于网络管理员以及时的方式检测、评估和响应检测的网络数据异常的要求的增加。
结合到本说明书中并且形成本说明书一部分的附图与用来解释下面讨论的原理的描述一起说明了用于管理网络中的安全性的系统的当前技术的实施例。图1为依照当前技术实施例的其中可以实现网络安全系统的示例性网络的框图。图2为依照当前技术实施例的示例性网络安全系统的框图。图3为依照当前技术实施例的管理网络中的安全性的示例性计算机实现的方法的流程图。图4为依照当前技术实施例的用于管理网络中的安全性的示例性计算机系统的框图。图5为依照当前技术实施例的管理网络中的安全性的示例性方法的流程图。除非特别地指出,本说明书中参照的附图不应当被理解为按比例绘制的。
具体实施例方式现在将详细地参照当前技术的实施例,其实例在附图中示出。尽管将结合不同的实施例描述当前技术,但是应当理解的是,它们并非意在将当前技术限制为这些实施例。相反地,当前技术预期覆盖可以包含在由所附权利要求书限定的不同实施例的精神和范围内的若干可替换方案、修改和等效物。此外,在以下详细描述中,阐述了许多特定细节以便提供对于当前技术的实施例的透彻理解。然而,可以在没有这些特定细节的情况下实施当前技术的实施例。在其他情
4况下,没有详细描述公知的方法、过程、部件和电路以免不必要地使当前实施例的各方面模糊不清。除非另有特定说明,如根据以下讨论显然的,应当理解的是,在整个本详细说明书中,利用诸如“检测”、“标识”、“比较”、“关联”、“映射”、“确定”、“启用”、“代替”等等之类的措词的讨论都涉及计算机系统或者类似电子计算设备的动作和过程。计算机系统或者类似电子计算设备将表示为计算机系统的寄存器和存储器内的物理(电子)量的数据操纵和变换成类似地表示为计算机系统存储器或寄存器或者其他这样的信息存储、传输或显示设备中的物理量的其他数据。当前技术的实施例也非常适合其他计算机系统(例如光学和机械计算机)的使用。讨论概述
依照当前技术的实施例涉及用于管理网络中的安全性的系统及其使用。在依照当前技术的一个实施例中,本文描述的系统允许预防破坏性的网络流量,例如但不限于病毒、蠕虫、蜘蛛、爬虫和木马。更特别地,系统检测第一网络位置处的破坏性网络流量,标识破坏性网络流量的源,并且限制该源的规避安全系统且在第二网络位置处重新进入网络的能力。例如,用户经由用户的台式计算机和第一端口登录进本地网络。然而,在用户不知情的情况下,蠕虫渗透到台式计算机中。当用户完成下载电子邮件时,蠕虫已经开始其创建网络带宽问题的工作,从而破坏本地网络流量。在一个实例中,网络管理系统检测到蠕虫入侵并且采取缓和措施,例如拒绝用户经由第一端口访问本地网络。响应于经历经由第一端口访问本地网络的麻烦,用户将其台式计算机从第一端口拔除并且把其插入到第二端口。 然后,用户试图经由第二端口登录进本地网络。然而,当前技术的实施例规定,也可以基于在使用第一端口时对用户网络地址的标识以及与用户关联的访问控制策略限制用户经由第二端口对本地网络的访问。例如,在用户的台式计算机处经由本地网络的端口 1检测到蠕虫。标识蠕虫的源,也称用户的网络地址。此外,访问控制策略可以规定,标识的与数据异常关联的用户网络地址将被拒绝访问整个本地网络,而不管哪个网络端口可以被使用。因此,基于用户的网络地址和相关的访问控制策略,用户也被拒绝经由第二端口访问本地网络。因此,当前技术的实施例通过应用自动化预防措施以避免先前标识的破坏源在一定位置处重新进入网络而管理网络中的安全性。换言之,当前技术的实施例提供了一种用于响应于追踪到第一网络位置的网络流量破坏而预防用户规避缓和措施的方法,这样的预防措施包括阻挡用户在第二网络位置处重新进入网络。管理网络中的安全性
图1为网络100的实例的框图表示,其中示出可以实现管理网络100中的安全性的一个实施例。示例性网络100通常包括第一、第二和第三网络交换机系统102、104、106,网络管理员系统108,网络管理系统110,第一、第二和第三服务器系统112、114、116,以及第一、 第二、第三和第四威胁评估系统118、120、122、124。诸如膝上型计算机之类的外部系统128 与网络100通信耦合。第一、第二和第三网络交换机系统102、104、106彼此通信耦合并且通常与网络 100通信耦合。第一、第二和第三网络交换机系统102、104、106中的每一个分别包括多个数据端口 1、2、3、4、5、6。通信耦合经由第一网络交换机系统102的数据端口 6与第二网络交换机系统104的数据端口 2之间的通信信道在第一网络交换机系统102与第二网络交换机系统104之间建立。通信耦合经由第二网络交换机系统104的数据端口 1与第三网络交换机系统106的数据端口 6之间的通信信道在第二网络交换机系统104与第三网络交换机系统106之间建立。在一个实施例中,一个或多个网络交换机系统102、104、106包括一个或多个边缘互连数据端口。第一网络交换机系统102的数据端口 1与外部系统1 通信耦合,并且为边缘互连数据端口的一个实例。在一个实施例中,一个或多个网络交换机系统被配置为边缘互连网络交换机系统,其中数据端口 1、2、3、4、5、6都被配置为边缘互连数据端口。在一个实施例中,一个或多个网络交换机系统102、104、106包括基于交换机的陷阱系统形式的嵌入式威胁评估系统。基于交换机的陷阱系统被配置成检测一个或多个选择的数据异常并且在检测到选择的数据异常之一时引起数据异常事件。在一个实施例中,基于交换机的陷阱系统在检测到选择的数据异常之一时发出异常通知给网络管理系统110。 在一个实施例中,基于交换机的陷阱系统在检测到选择的数据异常之一时发出异常通知给网络管理员系统108。在一个实施例中,基于交换机的陷阱系统为病毒遏制(VT)系统。在一个实施例中,网络交换机系统102、104、106中的一个或多个的一个或多个数据端口 1、2、3、4、5、6被配置为镜像源端口。在一个实施例中,一个或多个网络交换机系统 102、104、106的一个或多个数据端口 1、2、3、4、5、6被配置为镜像目的地端口。在一个实施例中,一个或多个网络交换机系统102、104、106的一个或多个数据端口 1、2、3、4、5、6被配置为本地镜像源端口。在一个实施例中,一个或多个网络交换机系统102、104、106的一个或多个数据端口 1、2、3、4、5、6被配置为本地镜像目的地端口。在一个实施例中,一个或多个网络交换机系统102、104、106的一个或多个数据端口 1、2、3、4、5、6被配置为远程镜像源端口。在一个实施例中,一个或多个网络交换机系统102、104、106的一个或多个数据端口 1、2、3、4、5、6被配置为远程镜像目的地端口。尽管描述了具有六个数据端口的网络交换机系统,但是网络中使用的网络交换机系统可以具有更少或者更大数量的数据端口。例如,许多网络交换机系统具有远远超过100 个数据端口。此外,尽管描述了具有所描述的配置和/或特征的多个不同类型的网络交换机系统,这些网络交换机系统可以使用可替换的网络交换机系统配置和/或特征来配置。 此外,尽管将网络描述为具有三个网络交换机系统,但是可以使用更少或更大数量的网络交换机系统。威胁评估系统118、120、122、1M通常监视网络数据以标识可能对网络100造成安全威胁的数据异常,并且评价任何标识的数据异常。在一个实施例中,威胁评估系统118、 120、122、124响应于检测到可能对网络100造成潜在的安全威胁的数据异常而实施缓和动作。存在可用于网络100中的若干不同类型的威胁评估系统118、120、122、124。这样的威胁评估系统118、120、122、124的实例包括但不限于入侵检测系统(IDS)、入侵预防系统 (IPS)、统一威胁管理(UTM)系统和防火墙系统(FW)。在一个示例性网络100中,第一和第三威胁评估系统118和122分别为入侵检测系统(IDS),第二威胁评估系统120为入侵预防系统(IPS),并且第四威胁评估系统124为统一威胁管理(UTM)系统。第一和第二威胁评估系统118和120分别经由第一网络交换机系统102与网络 100通信耦合,并且第三和第四威胁评估系统122和IM分别经由第二和第三网络交换机系
6统104和106分别与网络100通信耦合。更特别地,第一威胁评估系统118经由第一威胁评估系统118与第一网络交换机系统102的数据端口 2之间的通信信道与网络100通信耦合。第二威胁评估系统120经由第二威胁评估系统120与第一网络交换机系统102的数据端口 5之间的通信信道与网络100通信耦合。第三威胁评估系统122经由第三威胁评估系统122与第二网络交换机系统104的数据端口 6之间的通信信道与网络100通信耦合。第四威胁评估系统1 经由第四威胁评估系统IM与第三网络交换机系统106的数据端口 5 之间的通信信道与网络100通信耦合。在一个实施例中,一个或多个威胁评估系统118、120、122、124在检测到选择的数据异常时发出异常事件通知给网络管理员系统108。在一个实施例中,一个或多个威胁评估系统118、120、122、1M在完成检测的数据异常的评价时发出评价通知给网络管理员系统108。在一个实施例中,一个或多个威胁评估系统118、120、122、IM在检测到数据异常时发出异常事件通知给网络管理系统110。在一个实施例中,一个或多个威胁评估系统118、 120、122、1M在完成检测的数据异常的评价时发出评价通知给网络管理系统110。尽管描述了一定数量的不同类型的威胁评估系统,但是可以使用其他类型的威胁评估系统。同样地,尽管网络被描述为具有四个威胁评估系统,但是可以使用更少或更大数量的威胁评估系统。此外,尽管描述了用于威胁评估系统的特定网络配置,但是可以采用可替换的网络配置。在一个实施例中,当网络管理系统110检测到选择的数据异常时,网络管理系统 110发出数据异常评估请求给选择的威胁评估系统118、120、122、124以便提供对检测的数据异常的评估。在一个实施例中,当网络管理系统110检测到选择的数据异常时,网络管理系统110发出数据镜像命令给选择的网络系统以便将与检测的数据异常关联的网络数据镜像到选择的威胁评估系统118、120、122、124。在一个实施例中,当网络管理系统110检测到选择的数据异常时,网络管理系统110标识检测的网络数据异常造成的威胁类型,标识专用于评价标识的威胁类型的威胁评估系统118、120、122、124,并且发出数据镜像命令给选择的网络系统以便将与数据异常关联的网络数据镜像到标识的威胁评估系统118、120、 122,124ο网络管理系统110通常管理包括网络安全操作的网络操作。在一个实施例中,网络管理系统110包括网络免疫管理系统,其中该网络免疫管理系统通常管理网络安全操作。在一个实施例中,网络管理系统110为通常管理网络安全操作的网络免疫管理(NIM)系统类型的网络管理系统。附加类型的网络管理系统用来管理其他类型的网络操作。在一个实施例中,网络管理系统110包括嵌入式威胁评估系统。在一个实施例中,该嵌入式威胁评估系统为网络行为异常检测(NBAD)系统。网络管理系统110经由第二网络交换机104与网络100通信耦合。更特别地,网络管理系统110经由网络管理系统110与第二网络交换机系统104的数据端口 5之间的通信信道与网络100通信耦合。网络管理系统110将在下面参照图2更详细地加以描述。网络管理员130通常经由网络管理员系统108管理包括网络安全操作的网络操作。网络管理员系统108经由第三网络交换机106与网络100通信耦合。更特别地,网络管理员系统108经由网络管理员系统108与第三网络交换机106的数据端口 1之间的通信信道与网络100通信耦合。
在一个实施例中,经由网络管理员系统108向网络管理员130提供人工定义和/ 或修改安全策略的选项。在一个实施例中,在网络管理员系统108处接收异常通知。在一个实施例中,经由网络管理员系统108向网络管理员130提供选择性地人工强制执行选择的安全策略的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供选择性地人工实施对选择的数据异常的一个或多个缓和响应的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供配置选择的网络系统的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供配置单独网络交换机系统102、104、106的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供配置单独网络交换机系统102、104、106的单独数据端口 1、2、3、4、5、6的选项。 在一个实施例中,经由网络管理员系统108向网络管理员130提供将单独数据端口 1、2、3、 4、5、6配置为镜像源数据端口和镜像目的地数据端口的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供将单独数据端口 1、2、3、4、5、6配置为本地镜像源数据端口和本地镜像目的地数据端口的选项。在一个实施例中,经由网络管理员系统108向网络管理员130提供将单独数据端口 1、2、3、4、5、6配置为远程镜像源数据端口和远程镜像目的地数据端口的选项。尽管描述了可以通过网络管理员130借助于网络管理员系统108执行的一定数量的不同网络管理功能,但是其他的网络管理功能也可以通过网络管理员130 借助于网络管理员系统108而执行。第一服务器系统112经由第三网络交换机106与网络100通信耦合,并且第二和第三服务器系统114和116分别经由第二网络交换机104与网络100通信耦合。更特别地, 第一服务器系统112经由第一服务器系统112与第三网络交换机系统106的数据端口 3之间的通信信道与网络100通信耦合。第二服务器系统114经由第二服务器系统114与第二网络交换机系统104的数据端口 3之间的通信信道与网络100通信耦合。第三服务器系统 116经由第三服务器系统116与第二网络交换机系统104的数据端口 4之间的通信信道与网络100通信耦合。在示例性网络100中,第一服务器系统112处理需要相对低网络安全级别的数据,而第二和第三服务器系统114和116分别处理相对敏感的财务数据并且需要相对较高的网络安全级别。尽管描述了包括在网络中以特定方式配置的特定类型的服务器系统的一种网络配置,但是在网络中可以使用其他类型的服务器系统。同样地,尽管描述了服务器系统的一种网络配置,但是可以使用可替换的网络配置。此外,尽管三个服务器被描述为网络的部分,但是可以使用更少或更大数量的服务器。用户126使用了诸如膝上型计算机之类的外部系统128以便建立与网络100的通信耦合。外部系统1 经由外部系统1 与第一网络交换机系统102的数据端口 1之间建立的通信信道建立与网络100的通信耦合。数据端口 1是边缘互连数据端口。本说明书中使用的用户包括人类用户以及自动化代理。这样的自动化代理的一个实例是bot。在一个实施例中,网络100内的网络系统之间建立的通信信道是无线通信信道。 在一个实施例中,网络100内的网络系统之间建立的通信信道是有线通信信道。在一个实施例中,网络100内的网络系统之间建立的通信信道是无线通信信道和有线通信信道的组在一个实施例中,外部系统128与网络100之间建立的通信信道经由无线通信信道。在一个实施例中,外部系统1 与网络100之间建立的通信信道经由有线通信信道。在一个实施例中,外部系统1 与网络100之间建立的通信信道经由无线通信信道和有线通信信道的组合。尽管描述了其中可以实施管理网络100中的安全性的一个实施例的网络100的一种特定的配置,但是管理网络中的安全性的若干实施例可以在具有可替换配置的网络中实现。此外,管理网络中的安全性的若干实施例可以在包括更少或更大数量的类型的网络系统以及包括更少或更大数量的所描述的网络系统的网络中实现。网络安全系统的示例件架构
图2为依照当前技术的实施例的示例性网络安全系统(NSS) 111的框图。NSS 111有线和/或无线地与网络管理系统110和网络100耦合。NSS 112包括异常检测模块200、源标识器210、数据存储器(data store) 220、源比较器230和访问控制策略关联器M0。当前技术的实施例可以进一步包括映射模块245和源认证器255。在一个实施例中,异常检测模块200有线和/或无线地与嵌入到本文描述的一个或多个网络交换机系统102、104和106中的威胁评估系统耦合。图2示出了包括源215和数据异常205的网络100。源215指的是检测的数据异常205的起源。例如,源215是用来访问网络的机制并且可以仅仅包括计算机或者包括计算机及其操作者。源205包括网络地址250。网络地址250可由NSS 111识别,并且可以用来定位应用于源215的访问控制策略,如这里将描述的。在一个实施例中,数据存储器220存储包括多个访问控制策略22fe、225b、225c、 225d、225e和225f(225a-225f)。数据存储器220可以在NSS 112的内部或外部。在一个实施例中,数据存储器220与本文描述的网络100耦合但是在该网络外部。尽管图2中示出了多个访问控制策略22fe_225f,但是为了简洁和清楚的原因,这里将讨论仅仅一个访问控制策略22fe。此外,尽管图2中示出了有限数量的访问控制策略 22fe-225f,但是应当理解的是,数据存储器220中可以存在数据存储器220能够存储的许多访问控制策略。也应当理解的是,访问控制策略22 的描述将代表所有访问控制策略。访问控制策略22 包括与源205关联的至少一个访问限制指令23fe。尽管这里描述了仅仅一个访问限制指令23 ,但是应当理解的是,访问控制策略22 可以包含超过一个访问限制指令。访问限制指令23 包括关于限制源对网络内的特定位置的访问的指令的描述。在一个实施例中,访问限制指令23 可以是针对源215的网络位置限制。例如, 访问限制指令23 可以指示仅允许源215访问端口 1、2、3、4、5和6中的端口 5和6。在另一个实施例中,访问限制指令23 可以是网络带宽限制。例如,访问限制指令23 可以指示仅允许源215在网络100上的所有端口 1、2、3、4、5和6处使用预先规定数量的带宽。在一个实施例中,访问限制指令23 可以是针对源215的持续时间限制。例如,访问限制指令23 可以指示仅允许源215 —天两分钟地经由端口 1访问网络100。如这里将描述的,当前技术的实施例提供了一种用于通过用户和/或机器检测异常或有害行为并且临时或者永久地限制对网络的未来访问权限以便预防连续有害行为的机制。网络安全系统的示例性操作
更一般地,在依照当前技术的实施例中,NSS 111用来识别第一位置处的网络攻击的源
9并且限制该源在另一个网络位置处对网络的访问。这样的管理对网络的访问的方法在预防对破坏性网络流量负责的用户在第二位置处重新进入网络且造成更多破坏方面是特别有用的。仍然参照图2,异常检测模块200被配置成检测网络100上的第一位置处的数据异常205。网络100上的第一位置可以是网络100内的可以检测到数据异常的任何位置,例如但不限于端口 1、2、3、4、5和/或6。在一个实施例中,源标识器210被配置成标识数据异常205的源215。在一个实施例中,映射模块245被配置成经由本领域中已知的技术将源215映射成关联的网络地址。在一个实施例中,源认证器255被配置成确定与源215关联的角色。在一个实施例中,措词“角色”指的是源215在网络100中的预定义功能,所述功能与允许的对网络100 内的不同位置的访问的级别相应。例如,源认证器255经由源215的网络地址250识别源 215,并且确定源在网络100中的预定义角色。该角色可以是“经理”的角色。企业中的经理典型地可以被允许在网络中的不同位置处的高访问级别。在一个实施例中,源比较器230将源215与多个访问控制策略22fe_225f进行比较,其中多个访问控制策略22fe-225f中的每一个包括与一个或多个诸如源215之类的源关联的至少一个访问限制指令23fe-235f。在一个实施例中,访问控制策略关联器240被配置用于基于这里描述的源比较器 230的比较将源215与所述多个访问控制策略22fe-225f中的相应访问控制策略关联。与源215 “相应”的访问控制策略可以是引用源215的预定义“角色”和/或源的网络地址的访问控制策略。将源215与相应访问控制策略22 关联可能需要将该相应访问控制策略 22 传送到网络100及其中的管理员。此外,访问控制策略22 可以变得临时地与源215 关联或者永久地与源215关联。在一个实施例中,可以将网络100编程为自动地利用访问控制策略22 代替关于源215的当前访问控制策略。在另一个实施例中,网络100和/或其任何管理员在确定是否实施访问控制策略22 之前可以接收该访问控制策略以进行检查。现在参照图3的300,示出了依照当前技术实施例的管理网络100中的安全性的示例性计算机实现的方法的流程图。参照图3的305且如这里所描述的,在当前技术的一个实施例中,在网络100上的第一位置处检测数据异常205。现在参照图3的310且如这里所描述的,在一个实施例中, 标识数据异常205的源205。参照图3的315且如这里所描述的,在一个实施例中,将源205与多个访问控制策略22fe-225f进行比较,其中多个访问控制策略22fe-225f中的每一个包括与一个或多个源关联的至少一个访问限制指令23fe-235f,所述源例如但不限于源205。现在参照图3的 320且如这里所描述的,在一个实施例中,基于图3的315的比较,将源205与多个访问控制策略22fe-225f中的相应访问控制策略关联。示例性计算机系统环境
图4示出了依照当前技术实施例使用的示例性计算机系统400。应当理解的是,图4的系统400仅仅是一个实例,并且当前技术的实施例可以工作于若干不同计算机系统之上或之中,所述计算机系统包括通用联网计算机系统、嵌入式计算机系统、路由器、交换机、服务器设备、用户设备、各种不同的中间设备/人工制品、独立计算机系统等等。如图4中所示, 图4的计算机系统400非常适于具有与其耦合的外围计算机可读介质402,例如光盘等等。图4的系统400包括用于传送信息的地址/数据总线404以及耦合到总线404用于处理信息和指令的处理器406A。如图4中所示,系统400也非常适合其中存在多个处理器406A、406B和406C的多处理器环境。相反地,系统400也非常适合具有单个处理器,例如处理器406A。处理器406A、406B和406C可以是任何不同类型的微处理器。系统400也包括耦合到总线404以便存储用于处理器406A、406B和406C的信息和指令的诸如计算机可用易失性存储器408例如随机存取存储器(RAM)之类的数据存储特征。系统400也包括耦合到总线404以便存储用于处理器406A、406B和406C的静态信息和指令的计算机可用非易失性存储器410,例如只读存储器(ROM)。同样存在于系统400 中的是耦合到总线404以便存储信息和指令的数据存储单元412 (例如磁盘或光盘和盘驱动器)。系统400也包括耦合到总线404以便将信息和命令选择传送到处理器406A或者处理器406A、406B和406C的包括字母数字键和功能键的可选的字母数字输入设备614。系统 400也包括耦合到总线404以便将用户输入信息和命令选择传送到处理器406A或者处理器 406A、406B和406C的可选的光标控制设备416。系统400也包括耦合到总线404以便显示信息的可选的显示设备418。仍然参照图4,图4的可选的显示设备418可以是液晶设备、阴极射线管、等离子体显示设备或者适合于创建用户可识别的图形图像和字母数字字符的其他显示设备。可选的光标控制设备416允许计算机用户动态地用信号通知显示设备418的显示屏幕上的可见符号(光标)的运动。光标控制设备416的许多实现方式在本领域中是已知的,包括跟踪球、鼠标、触摸板、操纵杆或者字母数字输入设备414上能够用信号通知给定方向的运动或者移位方式的特殊键。可替换地,应当理解的是,可以借助于来自字母数字输入设备414的输入使用特殊键和键序列命令定向和/或激活光标。系统400也非常适合具有通过其他方式(例如话音命令)定向的光标。系统400也包括用于将系统400与外部实体耦合的I/O设备420。仍然参照图4,绘出了用于系统400的各种其他的部件。特别地,当存在时,操作系统422、应用424、模块4 和数据4 被示为典型地驻留在计算机可用易失性存储器408 (例如随机存取存储器(RAM))和数据存储单元412中的一个或者某种组合中。然而,应当理解的是,在一些实施例中,操作系统422可以存储在其他位置中,例如存储在网络上或闪存驱动器上;并且此外,可以经由例如到互联网的耦合从远程位置访问操作系统422。在一个实施例中,将本发明例如作为应用4 或模块4 存储在RAM 408内的存储位置以及数据存储单元412内的存储区域中。计算系统400仅仅是适当计算环境的一个实例,并且并非意在暗示关于当前技术实施例的使用范围或功能的任何限制。也不应当将计算环境400解释为具有与示例性计算系统400中所示部件中的任何一个或组合有关的任何依赖性或要求。当前技术的实施例可以在由计算机执行的诸如程序模块之类的计算机可执行指令的一般上下文中进行描述。通常,程序模块包括执行特定任务或者实现特定抽象数据类型的例程、程序、对象、组件、数据结构等等。当前技术的实施例也可以在分布式计算环境中实施,其中任务由通过通信网络链接的远程处理设备执行。在分布式计算环境中,程序模块
11可以位于包括记忆存储设备的本地和远程计算机存储介质二者之中。图5为依照当前技术实施例的管理网络中的安全性的示例性方法的流程图。在一个实施例中,过程500由处理器和电部件在计算机可读和计算机可执行指令的控制下实现。计算机可读和计算机可执行指令驻留于例如诸如计算机可用易失性和非易失性存储器之类的数据存储特征中。然而,计算机可读和计算机可执行指令可以驻留于任何类型的计算机可读介质中。在一个实施例中,过程500由图2的NSS 111执行。参照图5的505,在一个实施例中,确定网络100上的第一位置处的检测的数据异常205的源215。在一个实施例中,确定检测的数据异常205的源包括检测网络100上的第一位置处的数据异常205并且标识数据异常205的源215。在一个实施例中,标识数据异常205的源215包括将源215映射到关联的网络地址250。在一个实施例中,标识数据异常205的源215包括确定源215的基于角色的认证。现在参照图5的510,在一个实施例中且如这里所描述的,将源215与多个访问控制策略22fe-225f进行比较,其中多个访问控制策略22fe-225f中的每一个包括与一个或多个源(例如但不限于215)关联的至少一个访问限制指令23fe-235f。现在参照图5的515,在一个实施例中且如这里所描述的,基于图5的510中所描述的比较,将源215与多个访问控制策略22fe-225f中的相应访问控制策略关联。在一个实施例中,利用诸如22 之类的第二访问控制策略代替第一访问控制策略,其中第二访问控制策略基于这里且在图5的505中描述的源215的确定。第一访问控制策略可以是与源 215有关的原始访问控制策略,或者可以是与源215有关的最新的访问控制策略。换言之, 第二访问控制策略可以在适当位置覆盖任何先前的访问控制策略。因此,当前技术的实施例通过提供一种用于检测用户和/或机器的异常或有害行为并且限制用户和/或机器的未来网络访问权限的机制而允许预防对于网络的连续有害行为。尽管以特定于结构特征和/或方法动作的语言描述了主题,但是应当理解的是, 所附权利要求书中限定的主题不必限于上面描述的特定特征或动作。相反地,上面描述的特定特征和动作作为实现权利要求的示例性形式而公开。
权利要求
1.一种计算机实现的管理网络中的安全性的方法[300],所述方法[300]包括 检测[305]网络[100]上的第一位置处的数据异常[205];标识[310]所述数据异常[205]的源[215];将所述源[215]与多个访问控制策略进行比较[315],其中所述多个访问控制策略中的每一个包括与一个或多个源关联的至少一个访问限制指令;以及基于所述比较,将所述源与所述多个控制策略中的相应控制策略关联[320]。
2.权利要求1的方法[300],其中所述标识所述数据异常[205]的源[215]包括 将所述源[215]映射到关联的网络地址。
3.权利要求1的方法[300],其中所述标识所述数据异常[205]的源[215]包括 确定所述源[215]的基于角色的认证。
4.权利要求1的方法[300],其中所述将所述源[215]与所述多个控制策略中的相应控制策略关联包括允许预防所述源[215]在所述网络[100]上的第二位置处重新进入。
5.权利要求1的方法[300],其中所述将所述源[215]与所述多个控制策略中的相应控制策略关联包括允许实现对所述访问的持续时间限制。
6.权利要求1的方法[300],其中所述将所述源[215]与所述多个控制策略中的相应控制策略关联包括允许限制所述源[215]的带宽使用。
7.权利要求1的方法[300],进一步包括 将临时的访问控制策略与所述源[215]关联。
8.权利要求1的方法[300],进一步包括 将永久的访问控制策略与所述源[215]关联。
9.权利要求1的方法[300],进一步包括基于所述标识所述源[215],利用第二访问控制策略代替第一访问控制策略,所述第二访问控制策略。
10.一种网络安全系统[111],包括:异常检测模块[200],其被配置用于检测网络[100]上的第一位置处的数据异常 [205];源标识器[210],其被配置用于标识所述数据异常[205]的源[215]; 数据存储器[220],其用于存储多个访问控制策略;源比较器[230],其被配置用于将所述源[215]与所述多个访问控制策略进行比较,其中所述多个访问控制策略中的每一个包括与一个或多个源关联的至少一个访问限制指令; 以及访问控制策略关联器[240],其被配置用于基于所述比较将所述源[215]与所述多个访问控制策略中的相应访问控制策略关联。
11.权利要求10的系统[111],进一步包括:映射模块[245],其被配置用于将所述源[215]映射到关联的网络地址。
12.权利要求10的系统[111],其中所述源标识器包括源认证器[255],其被配置用于确定与所述源[215]关联的角色。
13.权利要求10的系统[111],其中所述访问限制指令包括针对所述源[215]的网络位置限制。
14.权利要求10的系统[111],其中所述访问限制指令包括在所述第二位置处的针对所述源[215]的网络带宽限制。
15.权利要求10的系统[111],其中所述访问限制指令包括在所述第二位置处的针对所述源[215]的持续时间限制。
全文摘要
描述了一种管理网络中的安全性的方法(300)。检测(305)网络上的第一位置处的数据异常。标识(310)该数据异常的源。将该源与多个访问控制策略进行比较,其中所述多个访问控制策略中的每一个包括与一个或多个源关联的至少一个访问限制指令(315)。基于该比较,将所述源与所述多个访问控制策略中的相应访问控制策略关联(320)。
文档编号H04L9/32GK102369532SQ200980158441
公开日2012年3月7日 申请日期2009年1月29日 优先权日2009年1月29日
发明者考汉 A., M. 格林 J., M. 巴勒斯特罗斯 R., 亚拉肯蒂 R., 克雷尔 S. 申请人:惠普开发有限公司