用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法

用于确定和使用用户和主机的本地声誉来保护网络环境中信息的系统和方法
【专利摘要】示例实施例中的方法包括关联来自专用网络的第一组事件数据，并且基于关联第一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地声誉分数提供给安全节点，其基于主机的本地声誉分数将策略应用到与主机相关的网络通信。在具体实施例中，将主机的本地声誉分数映射到主机的网络地址。在进一步的实施例中，第一组事件数据包括在专用网络中相应表示一个或多个事件的一个或多个事件指示符。在更具体的实施例中，方法包括确定用户的本地声誉分数，并且将用户的本地声誉分数提供给安全节点。
【专利说明】用于确定和使用用户和主机的本地声誉来保护网络环境中 信息的系统和方法

【技术领域】
[0001] 本公开一般涉及网络安全的领域，并且更具体地涉及用于确定和使用用户和主机 的本地声誉（localreputation)来保护网络环境中的信息的系统和方法。

【背景技术】
[0002] 在现今社会，网络安全的领域已变得日益重要和多元化。商业和其它组织常常将 机密信息或敏感信息存储在其专用计算机网络中，所述专用计算机网络通常由诸如防火墙 之类的各种安全机制来保护。由互联网和由用户对于保护专用网络中的机密信息和敏感信 息的需要是复杂的。互联网已实现在全世界不同计算机网络的互联，并且也为恶意运营商 为了开采其网络而破坏诸如防火墙之类的安全机制呈现了许多机会。对于一些类型的恶意 软件，一旦它感染了主机计算机，则恶意运营商可从远程计算机发布命令以控制恶意软件。 软件能够被命令来执行任意数量的恶意动作，诸如从主机计算机发出垃圾邮件或恶意电子 邮件、从与主机计算机相关的商业或个人盗取敏感信息，以及传播到其它主机计算机。
[0003] 专用网络内的授权用户还能够危及网络中的机密信息和敏感信息的安全。不知情 的用户能够通过对与网络相关的敏感信息从事风险行为来危害专用网络。常常，风险行为 不被检测到，直到网络安全已被破坏。其它授权用户可怀有更险恶的动机，并且能够使用其 授权访问来偷窃机密信息或敏感信息而不被网络中的主机或其它资产注意到。因此，有效 保护和保持稳定的计算机和系统的能力对于组件制造商、系统设计者和网络运营商继续呈 现重大挑战。

【专利附图】

【附图说明】
[0004] 为提供本公开及其特征和优点的更全面的理解，结合附图参考下面的描述，附图 中相同的参考标号表不相同的部件，其中：
[0005] 图1是按照本说明书能够实现用于确定和使用用户和主机的本地声誉来保护网 络信息的系统的网络环境的示例实施例的简化框图。
[0006] 图2是在示例情境中作为时间的函数的对于专用网络的风险图，以及如何能够使 用已知网络安全技术将策略应用到网络中；
[0007] 图3是按照本说明书的实施例，作为时间的函数的专用网络中的主机或用户的本 地声誉分数图，以及如何能够将策略应用到示例情境中；
[0008] 图4是按照本说明书示出可与网络环境的示例组件相关的附加细节的简化框图；
[0009] 图5是按照本说明书示出可与系统的实施例相关的示例操作步骤的简化流程图；
[0010] 图6是按照本说明书示出可与系统的实施例相关的附加示例操作步骤的简化流 程图。

【具体实施方式】
[0011] 腿
[0012] 示例实施例中的方法包括关联来自专用网络的第一组事件数据，以及基于关联第 一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地声誉分 数提供给安全节点，其中安全节点基于主机的本地声誉分数将策略应用到与主机相关的网 络通信。在具体实施例中，将主机的本地声誉分数映射到主机的网络地址。在进一步的实 施例中，第一组事件数据包括在专用网络中相应表示一个或多个事件的一个或多个事件指 示符，并且一个或多个事件的每个与主机的网络地址相关。在更具体的实施例中，方法包括 基于关联第二组事件数据来确定用户的本地声誉分数，以及如果网络通信与用户相关，则 将用户的本地声誉分数提供给安全节点。
[0013] 另一示例实施例中的方法包括关联来自专用网络的第一组事件数据，以及基于关 联第一组事件数据来确定专用网络中的主机的本地声誉分数。方法还包括将主机的本地 声誉分数提供给主机，其中基于主机的本地声誉分数来选择策略，并且将策略应用到由主 机检测的处理。在具体实施例中，该处理包括将文件复制到连接到主机的离线媒体。在更 具体的实施例中，方法包括基于关联第二组事件数据来确定专用网络的用户的本地声誉分 数，以及如果用户是该处理的处理拥有者，则将用户的本地声誉分数提供给主机。
[0014] 示例实施例
[0015] 图1是能够实现用于确定和使用用户和主机的本地声誉来保护信息的系统的示 例网络环境10的简化框图。在图1中所示的示例实施例中，网络环境10能够包括专用网 络14、远程网络16和广域网12 (例如，互联网），网络环境10提供相应专用网络14和远程 网络16之间的通信路径。专用网络14能够包括主机20(1)到20(n)、声誉服务器40、内部 网络安全设备30(1)、面向外部网络安全设备30 (2)和资产50(1)-50 (3)。另外，专用网络 14还可包括邮件网关&服务器60和事件数据储存库55。远程网络16能够包括面向外部 网络安全设备30 (3)和远程资产50 (4)。
[0016] 图1中的网络环境10表示用于接收和传送通过网络环境10传播的信息分组的互 联通信路线的一系列点或节点。如本文使用的术语"网络节点"或"节点"意图包括附连到 网络的活动电子设备。一般地，节点能够在通信信道上发送、接收或转发信息。但是，一些 节点能够是被动的（例如，入侵预防系统（IPS))，并且可能不能够发送分组。另外，透明模 式IPS或防火墙可不具有互联网协议（IP)地址。最后，网络环境10提供包括透明模式和 被动模式这两种的节点之间的可通信接口。
[0017] 能够使用专用地址空间以任意适合的形式（例如，内联网或外联网、局域网 (LAN)、广域网（WAN)、无线局域网（WLAN)、虚拟局域网（VLAN)等）配置专用网络14。专用 网络14和远程网络16能够属于相同的实体（例如，企业、教育组织、政府组织、非赢利组织 等），并且能够配置成经由网络业务横跨本地网络和远程网络之间的广域网12来通信。远 程网络16还能够以任意适合的形式被配置，并且能够是专用网络14的内联网或外联网的 一部分。在其它实施例中，远程网络16能够配置为使用例如虚拟专用网络（VPN)配置经由 互联网与专用网络14通信的另一个专用网络。
[0018] 本文将资产50(1)-50 (4)共同称作"网络资产50"，并且资产50(1)-50 (4)能够包 括以不同的等级由实体评价（例如，最高价值资产50(1)、中等价值资产50(2)和最低价值 资产50(3))的诸如包含内容、资源和服务的服务器之类的网络元件。在图1中所示的示例 中，由网络安全设备30 (1)保护专用网络14中的资产50 (1) -50 (3)，网络安全设备30 (1)能 够包括诸如网关、防火墙、入侵预防系统（IPS)、或其它适当的安全节点之类的网络元件，以 阻止未授权的（例如，从主机20)到资产50的内部通信并且准许授权的内部通信。面向外 部网络安全设备30(2)和30(3)还能够包括诸如网关、防火墙或IPS之类的网络元件，以控 制在相应网络14和16中节点之间以及可通过广域网12访问的其它网路节点之间的通信。
[0019] 本文将主机20 (l)-20(n)共同称作"主机20"，并且一般能够配置为一种类型的网 络节点，其包括但不限于网络中任意类型的终端点，诸如桌面计算机、服务器、膝上型电脑、 移动电话、平板、或者可操作成在网络环境中交换信息的任意其它适合的设备、组件、元件 或对象，其能够接收或与另一个节点建立连接，并且其具有网络地址（例如，互联网（IP)地 址、媒体访问控制（MAC)地址）。
[0020] 在一个示例实施例中，网络安全设备30、声誉服务器40、资产50和邮件网关&服 务器60是网络元件，其是一种类型的网络节点，并且意味着包含网络装置、服务器、路由 器、交换机、网关、桥、负载平衡器、防火墙、入侵预防系统（IPS)、处理器、模块或可操作成在 网络环境中交换信息的任意其它适合的设备、组件、元件或对象。网络元件和主机可包括促 进其操作的任意适合的硬件、软件、组件、模块、接口或对象。这可包括允许有效交换数据或 信息的适当的算法和通信协议。
[0021] 图1的元件可通过采用任意适合的（有线或无线）连接的一个或多个接口互相耦 合，其提供用于电子通信的可行途径。另外，这些元件的任意一个或多个可基于具体配置需 要被组合或从架构被移除。网络环境10可包括能够用于在网络中电子传送或接收分组的 传输控制协议/互联网协议（TCP/IP)通信的配置。网络环境10还可在适当时并且基于具 体需要，结合用户数据报协议/IP(UDP/IP)或任意其它适合的协议来操作。
[0022] 关于本公开的各种实施例本文使用了某些术语。如本文使用的术语"数据"，指任 意类型的数字、语音、视频、或手录数据、或任意类型的源代码或目标代码、或可在网络节点 和/或网络中从一个点到另一个点被传送的以任意适当形式的任意其它信息。同样，注意 到在本说明书中，在" 一个实施例"、"示例实施例"、"实施例"、"另一个实施例"、"一些实施 例"、"各种实施例"、"其它实施例"、"备选实施例"等中包括的对各种特征（例如，元件、结 构、模块、组件、步骤、操作、特征等）的引用意图表示任意这样的特征被包括在本公开的一 个或多个实施例中。
[0023] 为了示出用于确定和使用用户和主机的本地声誉来保护网络资产的系统的操作 方面的目的，重要的是理解在已知网络内发生的活动。下面的基本信息可被视作基础，从该 基础可适当解释本公开。仅为了解释的目的而提供这样的信息，并且不应因此以任意方式 被解释以限制本公开及其潜在应用的广义范围。
[0024] 由企业或其它实体使用的典型网络环境包括使用例如互联网来访问连接到互联 网的服务器上驻留的网页、发送或接收电子邮件（即，email)消息、与连接到互联网的终端 用户或服务器交换文件、或者提供或接入连接到互联网的服务器上驻留的服务，与其它网 络电子通信的能力。恶意用户连续开发新的手段，其使用互联网来散播恶意软件并且得到 对专用网络和机密信息的访问。恶意软件常常被构思来暗中破坏网络内的主机，并且使用 其用于诸如信息盗取之类的恶意活动。当然，恶意软件并不是对于网络中存储的信息的唯 一风险。已合法访问专用网络的一些个人可能是有危害的，并且故意地违反可适用的法规 和/或策略来传送（或尝试传送）信息。其它个人可能没有恶意目的，但是仍然可不经意 地或无意中违反这样的法规和策略来传送信息。
[0025] 对于实体的专用网络的潜在威胁能够在内部（例如，在内联网内）和外部（例如， 从互联网）都存在。在外部，互联网能够包括除非信任的网站和潜在恶意网站之外的非信 任的用户和潜在恶意用户。在内部，实体的专用网络可由合法的外来者访问，但是可能受限 访问内联网，诸如实体的游客和订约人。另外，专用网络通常配置成允许其自己的用户具有 访问其资产的不同的等级。至少一些所信任的用户一般可访问网络内的最高价值资产。因 此，如果所信任的用户具有恶意动机，则这样的人能够通过简单的访问和公开所信任的、恶 意用户被授权访问的危险信息或敏感信息潜在地引起重大的网络安全破坏。但是，甚至没 有恶意意图的所信任的用户能够引起安全破坏。这样的用户能够具有危害的主机，和/或 能够使用可用的技术犯错误，促进机密信息或敏感信息的不经意的公开。
[0026] 管理专用网络中的风险能够是标识和评定对于网络的风险的、以及按用户的需要 平衡风险以继续对于合法活动访问网络资源的耗时的过程。为了适当管理专用网络中的风 险，应用到网络的策略应该基于资产的价值的功能以及在该资产上操作的风险等级。此外， 必须按授权用户的需要来平衡策略以访问网络并且在网络中引导合法活动。因此，一些网 络安全实现不可配置成触发对于能够被认为是风险的活动的策略违反（例如，在非值勤期 间访问最高价值资产、在网络内将机密信息发送电子邮件给他人），而不是结论性的恶意或 不合法。在这些类型的风险活动是触发策略违反的其它网络安全实现中，所检测的策略违 反可简单导致生成警告，而允许风险活动继续。可将警告记录日志，或者将其发送给管理员 以评估和采取适当动作，若被担保的话。因此，在这些情形中，风险的活动可继续，直到管理 员认出问题（例如，涉及相同来源的不同类型的策略违反、重复的策略违反等）并且采取适 当动作。
[0027] 监视警告并且关联信息可能是繁重的，尤其是在较大网络中。从而，潜在的问题可 能甚至不被标识，直到网络安全已被破坏（例如，公开了机密信息）。例如，可认为专用网络 内协作雇员之间的包含机密信息的一封电子邮件是低风险活动，因为活动自身没有在实体 外面公开机密信息。因此，这样的活动可简单触发要发送到管理员的警告。但是，包含机密 信息的一系列电子邮件能够置实体于较大风险，但是触发警告的策略会一般地被静态地应 用并且独立对于每封电子邮件实例。因此，将专用网络内的机密信息发送电子邮件能够继 续，允许雇员积累和散布越来越多的机密信息，由此增加对于网络的风险，直到离散的警告 被注意到并且依据管理员动作。
[0028] 在一些网络环境中，在专用网络中管理风险通过指定对于由风险阈值等级表征的 不同时间段要应用到网络元件的不同策略来完成。图2用图70示出这种方法，示出在示例 网络中，作为时间的函数的网络风险，以及如何在由不同风险的等级表征的不同时间段期 间应用不同策略。在图2中，沿着x轴描画的时间段的特征为所增加的效率71 (低风险）、 以一些代价来保护72 (中等风险）、以及以最高代价来保护（高风险）。沿着y轴从高风险 到低风险指示网络风险。图线75表示在各种时间段期间总体上对于网络的所确定的风险。 因此，当对于网络的风险低时，较少限制的策略（P1)可被应用到网络，并且因此，该时间段 由对于所增加的效率71的期望来表征，如允许网络中的用户和主机以最少限制来操作。当 网络风险增加时，当对于网络的风险是中等时，可将中等限制的策略（P2)应用到网络，并 且因此，该时间段由对于以一些代价来保护72的期望来表征。因此，策略（P2)可包括预防 用户和主机执行网络内的某些功能的一些策略。最后，当对于网络的风险高时，在由以高代 价来保护73的期望来表征的时间段期间，可将最多限制的策略（P3)应用到网络。因此，在 这个时间段期间，策略可显著限制可适用于网络中的用户和主机的网络功能。
[0029] 但是，用图2中所示方法的一个问题是在高风险时期高限制策略（P3)的应用，由 于高限制策略（P3)可影响其应用的网络的所有主机和用户，而不只是产生风险的特定主 机和/或用户。例如，如果由于可疑的活动被指示为僵尸网络攻击77 (例如，夜间来自网 络中的一个主机的许多连接尝试），因此对于网络的风险被确定为高，则最多限制的策略 (P3)适用于所有主机及其用户，而不是检测到可疑活动来源的特定主机和/或用户。
[0030] 用于确定和使用用户和主机的本地声誉来保护（如图1中所示的）网络环境中的 信息的系统能够解决许多这些问题。图1示出本地声誉分数能够对于实体的网络的每个主 机和/或每个用户被计算，并且能够用于动态选择、并且将策略应用到与主机和/或用户相 关的网络通信、过程或两者的一个实施例。包括专门网络安全设备和具有其内并入策略驱 动安全应用的主机的多个网络节点能够每个生成包含事件数据的事件通知,该事件数据标 识与网络策略被违反的安全事件或者某些可接受的行为的信息事件相关的主机和用户。事 件数据还能够包括其它信息，诸如标识触发了策略违反（例如，所采取的动作、由动作影响 的信息等）的事件的事件指示符。附加地或备选地，事件数据储存库能够被扫描，被挖掘数 据、或者对所记录日志的事件数据可选择地或有规则地抓取（即，所记录日志的、或者以其 它方式所存储的、并且是关于专用网络的安全事件或信息事件的数据）。另外，还可对于特 定事件数据搜索事件数据储存库。在扫描、数据挖掘、抓取或搜索期间发现的事件数据能够 由声誉服务器40提取。能够由声誉服务器40将事件通知、所记录日志的事件数据或者其 任意适合的组合进行聚合和关联，声誉服务器40能够随后确定对于每个主机和每个用户 的本地声誉分数，所述每个主机和每个用户与所记录日志的事件数据和由事件通知表示的 事件相关。声誉服务器40能够将主机和用户的本地声誉分数传送到可配置成保护网络资 产50的网络安全设备，或者传送到配置成保护其自身的主机。网络安全设备能够评估与其 已经接收的网络通信相关的主机和/或用户的本地声誉分数，并且基于本地声誉分数来动 态选择要应用到网络通信的策略。类似地，主机能够评估其自身（或尝试访问第一主机的 第二主机）、以及与主机上的处理相关的用户的本地声誉，并且基于本地声誉分数来动态选 择要应用到该处理的策略。
[0031] 图3用图80示出这种方法，描绘作为时间的函数的本地声誉分数，并且示出如何 基于其本地声誉分数随时间将策略动态应用到具体主机和/或用户。本地声誉分数能够对 于专用网络中与网络通信或主机处理相关的每个主机和/或用户提供历史的和/或行为的 风险分数。能够由本地声誉分数表示的风险行为和历史的示例包括网络中涉及风险操作的 用户、不遵循公司策略的用户、近来感染恶意软件的主机等。
[0032] 在图3中，沿着x轴表示时间，并且沿着y轴表示本地声誉分数且范围从坏（低 分）到好（高分）。第一图线81表示一段时间上的主机1的本地声誉分数，第二图线82表 示相同的时间段上的主机2的本地声誉分数，并且第三图线83表示相同的时间段上的用户 1的本地声誉分数。在图80中表示的时间段期间，主机1由第一策略（P1)覆盖，主机2由 所有可用的策略（P1、P2和P3)覆盖，并且用户1由第一策略和第二策略（P1和P2)覆盖。 随着用户和主机的本地声誉分数下降或上升，改变应用到其的策略。第一策略（P1)能够是 当用户和主机的本地声誉分数好时，应用到其的较少限制的策略。第二策略（P2)能够是比 第一策略（P1)稍微更多限制的策略，并且当用户1和主机2的本地声誉分数下降并且在好 的分数和坏的分数之间时应用到其的策略。第三策略（P3)能够是最多限制的策略，并且当 主机2的本地声誉分数下降到坏声誉分数阈值时应用到其的策略。网络安全设备30能够 基于本地声誉分数来动态选择和应用策略。为了示出这个，在示例图80中由垂直线84表 示的时刻tl时，基于时刻tl时的主机1、用户1和主机2的不同的本地声誉分数，将P1应 用到主机1，将P2应用到用户1，并且将P3应用到主机2。
[0033] 转到图4,图4是示出可与网络环境10的实施例的所选择的组件相关的附加细节 的简化框图。图4还示出能够在网络环境10的专用网络14发生的网络通信流程的示例情 境。图4包括主机20 (1)和20 (2)、网络安全设备30、声誉服务器40、网络资产50、事件数 据储存库55和邮件网关&服务器60。主机20(1)和20 (2)、邮件网关&服务器60、网络安 全设备30和声誉服务器40每个包括相应的处理器21a_e和相应的存储器元件22a_e，并且 另外可包括各种硬件、固件和/或软件元件以促进本文所述的操作。
[0034] 更具体地，一些节点能够配置为网络环境10中的"事件检测节点"。在一个示例 中，主机20 (1)、20 (2)、邮件服务器&网关60和网络安全设备30每个能够包括相应的事件 代理23a_d和相应的策略模块24a_d以实现事件检测、以及事件通知和/或事件数据日志 记录。另外，网络环境10中的一些节点还能够（或备选地）被配置为"安全节点"，诸如例 如主机20 (1)和网络安全设备30。主机20 (1)包括主机保护模块26和本地声誉策略模块 28以实现基于主机（包括主机20(1)自身）和用户的本地声誉分数将策略动态应用到主机 20 (1)上的处理。网络安全设备30能够包括网络保护模块36和本地声誉策略模块38以实 现基于主机和用户的本地声誉分数将策略动态应用到网络通信。为了易于说明，仅在主机 20(1)中示出主机保护模块26和本地声誉策略模块28。但是，专用网络中的任意主机能够 配置有这些组件以由主机将本地声誉分数插入到（例如，网络通信和本地处理器的）策略 评估中。类似地，诸如邮件网关&服务器60之类的其它网络元件为了由这些其它网络元件 将本地声誉分数插入到（例如，网络通信的）策略评估中能够配置有与网络安全设备30的 组件类似的组件。
[0035] 声誉服务器40能够包括风险关联模块42和本地声誉分数模块44以实现接收包 含事件数据的事件通知、从事件数据储存库55提取所记录日志的事件数据、关联在专用网 络14中发生的事件的事件数据、以及确定和存储与事件相关的主机和用户的本地声誉分 数。资产50表示专用网络14的任意网络资产（例如，最高价值资产50(1)、中等价值资产 50 (2)、最低价值资产50 (3)、远程资产50 (4))。由网络安全设备30保护资产50,网络设备 30能够是保护专用网络14的资产的任意网络安全设备（例如，网络安全设备30(1)-(3))。
[0036] 在图4中所示的示例组件中，每个策略模块24a_d能够包含在其关联的专用网络 14的网络节点中实现的其自身的策略。在诸如主机20 (1 )、主机20 (2)、邮件网关&服务 器60和网络安全设备之类的相应的网络节点中，能够连同策略模块24a-d实现事件代理 23a_d。每个事件代理23a_d能够配置成检测事件以标识与事件相关的主机和用户，并且生 成包含事件数据的事件通知、并且/或者在事件数据储存库55中将事件数据记录日志。在 一些实现中，事件代理23a-d还可确定与能够在事件数据中包括的所检测的事件相关的风 险等级。
[0037] 如本文所使用，"事件"指与专用网络中的主机也可能是用户相关的行为或活动， 并且能够包括网络通信（例如，电子邮件、文件传输、访问网络服务器、发送消息、尝试网络 连接等）和处理（例如，设置密码、将信息传输到诸如CD-ROM或USB棒之类的离线媒体、运 行应用程序、系统处理等）。另外，事件能够是有关安全的或信息事件。当由专用网络中的 网络节点（例如，能够使主机自身或另一个节点的事件检测节点）检测到与主机也可能是 用户相关的风险行为并且该风险行为违反与网络节点相关的策略（例如，发送机密信息的 电子邮件、将机密信息传送到诸如CD-ROM或USB棒之类的离线媒体、设置弱的密码、执行未 知应用程序等）时，安全事件发生。风险事件能够同时在网络通信和主机上的处理中发生。 当与主机也可能是用户相关的所接受的行为由网络节点（例如，能够是主机自身或另一个 节点的事件检测节点）检测到时，信息事件发生，所述可接受的行为可能不被确定成违反 网络节点的策略，并且被标识用于跟踪或记录日志。所接受的行为能够同时在网络通信和 主机上的处理中发生。与安全事件和信息事件有关的事件数据可（例如，在事件数据储存 库55中）被存储或被存档或被发送到特定位置（例如，事件通知被发送到声誉服务器40)。
[0038] 被监视用于策略违反的专用网络14中的任意网络节点能够配置为事件检测节 点，以生成包含事件数据的事件通知、并且/或者将事件数据记录日志。例如，通常被监视 用于策略违反的专用网络中的网络节点能够包括主机（例如，台式机、膝上型电脑、服务 器、移动电话、平板等）、装置、防火墙、路由器、网关等，并且这些节点的每个能够配置有检 测事件的事件代理（例如，事件代理23a_d)，以标识与事件相关的主机和用户、并且将事件 通知发送到声誉服务器40、并且/或者将与所检测的事件有关的事件数据记录日志。
[0039] 在示例实施例中，事件代理23a_d能够配置成在其对应的节点上与安全应用（例 如，反病毒应用）合作以检测安全事件。例如，如果主机20(1)上的反病毒应用检测到与 (例如，从USB棒下载的）程序文件对应的处理的策略违反，随后事件代理23a能够从策略 违反检测到事件，标识主机20(1)的网络地址、标识主机上的处理拥有者（例如，登陆到主 机20(1)的用户）的用户标识符，并且将事件通知发送到声誉服务器40、并且/或者在事 件数据储存库55中将事件数据记录日志。在一些实施例中，事件代理23a还可确定与（例 如，由策略模块24a指示的）特定策略违反相关的风险等级，然后在事件通知或在所记录日 志的事件数据中包括该风险等级。
[0040] 专用网络14中的一些事件检测节点可在诸如事件数据储存库55之类的储存库中 存储与安全事件和/或信息事件有关的事件数据。事件数据储存库55能够在适合数据存储 的任意存储器元件中被配置，并且意图包括分开的节点、附连到网络的存储装置（NAS)、存 储区域网络、文件服务器等。事件数据储存库55还可意图包括存储器元件，所述存储器元 件作为所记录日志的事件数据的本地储存库集成在事件检测节点中（例如，在主机20中、 在邮件网关&服务器60中、在网络安全设备30中等）。具有本地事件数据储存库的事件检 测节点可允许对其事件数据的远程访问，诸如来自声誉服务器40的远程访问。在事件数据 储存库55中存储的数据能够包括与安全事件、信息事件、或者其任意适合的组合有关的数 据，包括例如与特定行为和该行为的事件指示符相关的主机和用户的标识。因此，一些事件 检测节点可以不实时传送安全事件和/或信息事件的事件数据，而是，可存储事件数据以 由声誉服务器40后续访问。在一个示例实现中，将用于安全事件的事件数据经由事件通知 发送到声誉服务器40,而将用于信息事件的事件数据在事件数据储存库55中存储或记录 日志，并且后续由声誉服务器40提取。
[0041] 邮件网关&服务器60能够促进专用网络14的内部和外部的邮件通信。另外，邮件 网关&服务器60能够是事件检测节点，其配置有事件代理23c以检测诸如电子邮件消息之 类的事件，标识与电子邮件业务相关的主机和用户，并且将事件通知发送到声誉服务器40， 并且/或者将事件数据存储在事件数据储存库55中。邮件网关&服务器60还能够配置成 使用诸如简单邮件传输协议（SMTP)之类的任意适合的协议。
[0042] 声誉服务器40能够配置成从事件检测节点接收事件通知，从事件数据储存库提 取安全事件数据和/或信息事件数据，或者其任意适合的组合。在一些实施例中，声誉服务 器40能够从专用网络14中的多个事件检测节点（例如，主机20、网络安全设备30、邮件网 关&服务器60等）实时接收事件通知。事件通知能够包括诸如主机和用户标识、以及引起 策略范围的行为的指示符之类的安全事件数据。另外，声誉服务器40能够配置成从能够对 于事件监测节点是本地或远程的一个或多个事件数据储存库（例如，事件数据储存库55) 提取安全事件数据和/或信息事件数据。提取数据意图包括任意形式的检索、接收、取出或 以其它方式获得数据。声誉服务器40能够是基于常规被安排以执行事件数据储存库55的 扫描、引导任意适合的数据挖掘技术（例如，评价信息事件以确定它们是否与声誉分析有 关）、抓取事件数据储存库、并且提取有关信息事件数据和安全事件数据。另外，能够对于特 定信息搜索事件数据储存库55，并且任意这样的信息能够由声誉服务器40提取。例如，在 一些情境中，如果风险关联模块42确定事件的可疑模式或潜在地或确定地有风险的活动 的指示，则能够执行对于特定信息的事件数据储存库55上的搜索（例如，是否当前登录了 特定用户），以证实存在对于网络的风险。如果证实了风险，则可因此调节相关主机和/或 用户的本地声誉分数。
[0043] 风险关联t吴块42关联与所检测的事件相关的风险以确定对于与该事件相关的每 个主机和每个用户的本地声誉分数。能够在本地声誉分数模块44中存储本地声誉分数。在 本地声誉分数模块44的一个实施例中，将主机的本地声誉分数映射到该主机的相应的网 络地址（例如，IP地址、MAC地址）。类似地，能够将用户的本地声誉分数映射到用户的相 应的用户标识符（例如，用户名）。
[0044] 声誉分数能够表示用于提供对于专用网络中的主机和用户的本地声誉排名或评 级机制的各种类型的标记、属性、值范围等。另外，这些分数能够包括绝对和相对的指示符。 例如，在一个实施例中，主机或用户的声誉分数能够是在所定义的标度上的整数（例如， 1-10)。在另一个实施例中，对于主机或用户的声誉分数能够是与对应主机或用户相关的安 全事件和/或信息时间的位映射。因此，提供排名或评级机制的声誉分数的可能类型能够 配置有不同的粒度以传达关于已经影响主机或用户的声誉的事件或条件的信息。
[0045] 能够执行任意类型的关联技术以确定本地声誉分数。在一个实施例中，与专用网 络或内联网相关的每个主机和每个用户能够以好的本地声誉分数开始。每次从声誉服务器 40接收事件通知时，风险关联t旲块42能够基于与该事件相关的风险，调节与该事件相关的 主机和用户的本地声誉分数。在一些实施例中，与事件相关的风险可以被量化（例如，作为 风险等级），并且被包括在发送到声誉服务器40的事件通知的事件数据中、或者适当在事 件数据储存库55中存储的事件数据中。在其它实施例中，事件通知能够简单标识事件（例 如，事件指示符），然后声誉数据库40能够在接收到事件通知或者提取事件数据之后确定 对于事件的风险等级。风险等级能够与分度标对应，使得对于事件的风险等级越大，与该事 件相关的主机和用户的本地声誉分数就越低。
[0046]在一些实现中，某些类型的事件的事件数据可由声誉服务器40或在数据事件储 存库55中随着时间聚合，使得风险关联模块42不基于这些类型的事件的事件数据来减少 (或增加）本地声誉分数，直到所聚合的数到达预确定的阈值（例如，访问敏感数据的事件 的阈值数），或者直到这些类型的事件与其它具体类型的事件组合（例如，访问敏感信息的 事件与将敏感信息传送给他人的事件组合）。重要的是，不由安全应用触发立即补救或预防 动作的重复的策略违反可无论如何最终使与这样的重复违反相关的主机和/或用户的本 地声誉分数降低到预定义的阈值。一旦本地声誉分数已降低到预定义的阈值，则为了前摄 地保护网络及其主机，可由安全节点（例如，网络安全设备30和主机20 (1))应用策略以预 防某些主机和/或用户的某些活动。
[0047]能够提供机制以允许授权用户（例如，网络管理员）随着某些风险行为平息，将用 户或主机的本地声誉分数恢复到可接受的等级或者逐渐增加本地声誉分数。例如，能够将 已获得坏本地声誉（例如，重复违反某些低风险公司策略），但是已经接收关于这些公司策 略的后续培训的用户的本地声誉分数增加到中等本地声誉分数，直到经过某时间段而没有 引起用户的本地声誉分数进一步降低的附加的事件数据。如果由重复的策略违反引起不好 的本地声誉，则指示所增加的策略服从的动作还可服务于增加声誉。在这个实施例中，事件 检测节点的事件代理23a_d可配置成当活动以不好的本地声誉分数与主机和/或用户相关 时，检测服从某些策略的活动（网络通信和/或主机处理）。对于这些所检测的服从事件 的事件数据可包括策略服从指示符、主机标识和用户标识，其能够被提供给声誉服务器40 并且与其它事件数据关联。存在的主机和/或用户的不好的本地声誉分数能够因此被更新 (例如，被增加，如果已检测到了服从事件的阈值数的话）。
[0048] 网络安全设备30能够配置成消耗主机和用户的本地声誉，并且至少部分基于本 地声誉来监视或控制网络通信。因此，网络安全设备30能够包括诸如例如，防火墙、入侵保 护系统、网关、或者其它节点之类的任意适合的网络元件，配置有网络保护模块36以主动 或被动将保护提供给专用网络14的网络资产50。例如，在一些实施例中，网络安全设备30 能够被动监视网络通信并且提供事件的通知，其中管理员采取适当手动动作。这样的通知 能够适合地被给予，或者被发送到特定位置（例如，声誉服务器40等），或者简单地被存储 或被存档，并且/或者适当以任意适当形式被显示。在网络安全设备30配置成主动保护网 络资产50的其它实施例中，网络安全设备30能够基于与网络通信相关的主机和/或用户 的本地声誉分数，将策略动态应用到它接收的任意网络通信。网络安全设备30可与网络业 务在线、或者诸如通过交换机上的镜像端口，拦截或接收网络业务的副本。在这种情况下， 网络安全设备30可没有与其相关的网络地址（例如，没有IP地址、以及没有MAC地址）。
[0049] 与网络通信和处理相关的主机和用户可需要由事件检测节点在检测事件时标识， 并且由安全节点在消耗本地声誉作为对策略评价的输入时标识。能够使用各种技术来完 成标识与网络通信相关的主机和用户。如果主机的网络地址是网络通信的源地址或目标 地址，则主机能够与网络通信相关。因此，与网络通信相关的主机能够由网络地址标识，所 述网络地址是网络通信的源地址或目标地址，诸如互联网协议（IP)地址或媒体访问控制 (MAC)地址。
[0050] 与网络通信相关的用户标识符能够由诸如例如由微软公司所拥有的 ActiveDirectory?目录服务、或远程认证拨入用户服务（RADIUS)之类外部带外机制到目 录机制标识。在另一个示例中，用户标识符能够通过经由目录机制或用户的内部列表来强 制用户登录以标识其用户名来发现。在又一个示例中，用户标识符能够使用主机防火墙机 制被发现，在该主机防火墙机制中，主机代理与诸如防火墙（例如，网络安全设备30)之类 的网络网关设备通过使用带外协议、或者通过使用密码安全密隐带内协议（其中信息被嵌 入在TCP/IP/ICMP网络业务的冗余区域中）传送信息来共享处理信息（例如，处理拥有者 或用户）和主机信息。
[0051] 还可使用诸如发现网络通信中的用户名而不管加密之类的其它技术来确定用户。 例如，文件传输协议（FTP)、超文本传输协议（HTTP)和即时消息传送协议能够具有为了确 定与这些网络通信相关的用户能够被扫描的用户名和密码域。另外，即时消息传送、传输层 安全（TLS)和安全套接层（SSL)协议能够由客户证书来标识用户。当前或之前网络通信内 的密码认证还能够用于标识用户。在其它情境中，为了获得用户标识符能够强制用户登录。 一旦被确定，则与网络地址相关的用户还能够用于从相同的网路地址标识后续的通信。
[0052] -旦已经确定了与网络通信相关的网络地址和用户标识符，则网络保护模块36 能够与声誉服务器40通信以（例如，从本地声誉分数模块44)获得主机和用户的本地声誉 分数。一旦接收了本地声誉分数，则网络保护模块36能够基于本地声誉分数来动态选择适 当策略以应用到网络通信。不同的方法能够由网络保护模块36实现以基于本地声誉分数 来动态选择适当的策略。在一个实施例中，本地声誉策略模块38能够提供策略到本地声誉 分数的映射。如果主机和用户本地声誉分数都可适用于特定网络通信，并且分数不同，则在 一个实施例中，网络保护模块36能够配置成应用与主机和用户本地声誉分数对应的最多 限制的策略。在另一个实施例中，本地声誉策略模块38中的分开的策略规定能够规定用户 和主机声誉分数，应用独立于彼此的策略。此外，能够与其它策略考虑评价本地声誉分数以 选择要应用的适当的策略。
[0053] 图4中示出的网络资产50能够包括将信息、资源或服务提供给专用网络14的用 户的任意网络元件，并且可具有对于与专用网络相关的实体的不同等级值。例如，对于一些 实体，被指定作为最高价值资产的资产（例如，高敏感数据）能够包括工程设计服务器、源 代码服务器、财务服务器、公司"秘密武器"（例如，行业秘密信息）和面向外部的内容（即， 表示实体并且对于实体的外来者可适用的内容）。在附加的示例中，被指定作为实体的中等 价值资产的资产（例如，中等敏感度）能够包括公司电话本、公共文件服务器和公司web服 务器（即，用户用于共享或散布诸如公司公告、博客、文件储存库等之类的信息的专用网络 内部或内联网的服务器）。在又一个示例中，被指定作为低价值资产的资产能够包括没有被 指定为最高价值或中等价值的其它资产，其甚至对于"有风险的"用户提供业务连续性。低 价值资产的示例能够包括电子邮件服务器、帮助桌面和"howto"页面。
[0054] 类似网络安全设备，为了控制或被动监视主机上的活动，主机20还能够配置成消 耗主机和用户的本地声誉。例如，主机上的处理、以及由主机发送和接收的网络通信每个能 够至少部分基于与主机和用户相关的本地声誉被监视或被控制。主机能够配置有主机保护 模块26以提供这些监视和控制功能。主机保护模块26能够检测进入或输出的网络通信， 并且能够基于主机自身的本地声誉分数、输出的网络通信的目标主机的本地声誉分数、进 入的网络通信的起源主机的本地声誉分数、以及/或者与网络通信相关的用户的本地声誉 分数（例如，用户发送或接收网络通信），将策略动态应用到网络通信。主机保护模块26还 能够通过使用与该处理相关的主机和/或用户的本地声誉分数来监视或控制主机上的处 理，诸如文件访问活动（例如，尝试访问计算机源代码或公司设计的处理）。在另一个示例 中，如果与复制相关的主机或用户的本地声誉分数不充足，则主机保护模块26能够监视或 控制主机自身内的文件复制、或者到离线媒体（例如，CD-ROM、USB棒等）的文件复制。能 够由主机使用本地声誉分数作为输入来控制或监视的其它示例活动，包括对于加密和拒绝 显示用于电子邮件的某些文件的要求（例如，在页眉具有"机密"消息的文件或电子邮件， 对于显示所选择的特定文件夹等）。
[0055] 与主机上的处理相关的主机和用户可需要被标识以使主机能够消耗其本地声誉 作为到策略评价的输入。处理与该处理正在运行所在的主机相关，并且每个主机能够由网 络地址（例如，IP地址或MAC地址）标识。用户还能够与处理相关作为其处理拥有者或者 作为登录到主机上的用户。与主机的进入和输出的网络通信相关的主机和用户能够由网络 通信的源地址和目标地址、或者如本文之前所述的任意其它适合的技术来标识。
[0056] 在系统中能够发生的示例情境由图4中的流程线（1)到（10)示出。为了说明的 目的，假设初始所有主机和用户以好的本地声誉分数开始。流程（1)表示来自登录到主机 20(1)上的用户（"用户A"）的网络通信，以访问网络资产50。在该示例情境中，用户A尝 试访问实体的最高价值资产，诸如公司财务服务器。网络安全设备30配置成将事件通知发 送到声誉服务器40。在该情境中，用户A可被授权来访问公司财务服务器，但是策略模块 24d可包括每次尝试访问最高价值资产之一时触发事件通知的策略。因此，由流程（2)指 示，事件代理23d可将事件通知发送到标识用户A(例如，用户标识符）、主机20 (1)(例如， 网络地址）和事件（例如，事件指示符）的声誉服务器40。
[0057] 网络安全元件30还可从声誉服务器40请求对于用户A和主机20 (1)的本地声誉 分数。由流程（3)指示，声誉服务器40将本地声誉分数发送到网络安全设备30。在该首次 尝试访问公司财务服务器中，用户A和主机20(1)都具有好的本地声誉分数，并且因此，由 流程（4)指示，网络安全设备30允许网络通信访问公司财务服务器。
[0058] 在该示例情境中，在主机20(1)从公司财务服务器接收回信息之后，用户A通过电 子邮件将公司财务信息发送到登录到主机20(2)上的另一个用户（"用户B"）。电子邮件 由到电子邮件网关&服务器60的流程（5)表示，其具有用于检测违反其策略的电子邮件 的事件代理23c和策略模块24c。如果策略模块24c包括由电子邮件违反的可适用的策略 (例如，电子邮件不包含公司财务数据、电子邮件不能够包含来自最高价值资产的信息、用 户A不能够发送公司财务数据的电子邮件、用户A不能够发送任意敏感信息的电子邮件、电 子邮件必须被加密等），则事件代理23c可确定电子邮件的来源（例如，主机20(1)的网络 地址和用户A的用户标识符）。由流程（6)指示，事件代理23c可随后将事件通知发送到声 誉服务器40。事件通知能够包括指示主机20(1)、用户A和所检测的事件的事件数据。备 选地，事件代理23c能够将事件数据存储在事件数据储存库55中，其能够相对于邮件网关 &服务器60被本地或远程配置。
[0059] 因为该情况中的策略违反不要求补救动作（S卩，没有阻止电子邮件），所以来自邮 件网关&服务器60的流程（7)表示电子邮件被转发到主机20⑵上的用户B。如果用户A和B在项目上合作并且用户A继续从公司财务服务器检索信息并经由电子邮件将财务信息 发送到用户B的这种模式，则网络安全设备30和邮件网关&服务器60能够继续将事件通 知发送到标识用户A、主机20(1)和所检测的事件的声誉服务器40。在一些情境中，声誉服 务器40还可从事件数据储存库55提取安全事件和/或信息事件的事件数据。风险关联模 块42可关联在事件通知中被接收的事件数据以及从事件数据储存库55中被提取的事件数 据以确定对于主机20(1)和用户A的本地声誉分数。
[0060] 在接收到足够数的事件通知之后，其指示用户A通过访问机密信息并且内部发送 该信息的电子邮件而重复违反数据丢失策略，被映射到主机20(1)的网络地址以及映射到 用户A的用户标识符的本地声誉分数可减少足以使网络安全设备30拒绝由用户A和/或 由主机20(1)对于公司财务服务器的进一步的访问。因此，如由流程（8)所示，如果用户A 将另一个网络通信发送到网络安全设备30,则由流程（9)指示，网络安全设备30能够将另 一个事件通知发送到声誉服务器40,并且如由流程（10)所示，声誉服务器40能够将用户A 和主机20(1)减少的本地声誉分数发送回网络安全设备30。网络保护模块36可随后确定： 本地声誉策略模块38中的策略要求阻止与具有满足某个阈值的本地声誉分数的主机和/ 或用户相关的网络通信。因此，如果主机20(1)的本地声誉分数，和/或如果用户A的本地 声誉分数满足策略的阈值，则在该示例情境中，由流程（8)指示的网络通信可由网络安全 设备30阻止。用户A的声誉的减少有助于保护网络，假设在一个情形中已经以风险方式动 作的用户还可能以其它方式动作。例如，如果在该活动之后，用户A犯错误并且将其登录证 书暴露给恶意用户C，则这些证书将不再有助于暴露公司财务数据。
[0061] 回到图5,图5示出用于确定和使用用户和主机的本地声誉分数来保护网络环境 中的信息的总系统流程500。流程500在502开始，其中专用网络或内联网中的事件代理 (例如，主机20 (1)、主机20 (2)、邮件网关&服务器60和网络安全设备30上相应的事件代 理23a-d)检测其相应的事件检测节点上的事件。事件检测节点能够是来自行为起源的主 机（"起源主机"）或者从起源主机接收网络通信的节点。事件代理能够在专用网络内的 多个网络节点上配置以检测事件，并且由此作为事件检测节点的功能。另外，这些事件代理 (例如，事件代理23a-d)能够作为横跨网络的网络通信、作为在起源主机上发生的其它有 风险的和可接受的活动、以及作为监视这些网络通信和活动的安全应用同时来操作。
[0062] 在504,事件代理能够由与所检测的事件相关的网络地址和用户标识符相应地标 识主机和用户。在506,具有所检测的事件的事件代理能够将包含事件数据的事件通知发送 到声誉服务器40,其中每个事件通知包括主机标识（例如，IP地址、MAC地址），用户标识 (例如，用户名）和事件指示符。备选地或者附加地，这些事件代理能够将事件数据存储在 事件数据储存库55中。事件指示符能够简单标识关于违反策略的事件。在一些实现中，事 件数据能够包括分配到所检测的事件的量化的风险等级。例如，风险等级能够是被映射到 事件检测节点的策略模块（例如，策略模块24a-d)中的每个策略。
[0063] 在508,声誉服务器40可从专用网络中的各种事件检测节点接收事件通知，并且 风险关联模块42可按用户和按主机来关联来自事件通知的事件数据。另外，声誉服务器40 可提取用于安全事件和/或例如在事件数据储存库55中已由事件检测节点记录日志的信 息事件的事件数据。该所提取的事件数据还可被包括在关联中。基于该关联，在510,对于 在事件通知中标识的、和/或被关联的事件数据所提取的每个主机和每个用户，在本地声 誉分数模块44中相应的本地声誉分数能够被更新。
[0064]本地声誉分数能够在专用网络中的网络安全设备上被消耗以控制或被动监视网 络通信。在512,网络安全设备30可从专用网络中的主机接收网络通信。在接收到网络 通信之后，网络安全设备30的网络保护模块36能够例如从指示网络通信来源的网络通信 中的IP地址标识主机。还可例如，如本文之前所述，使用外部频带外机制（例如，Active Directory或Radius)、通过目录机制或内部的用户列表来强制用户登录以标识其用户名 的防火墙、或者主机防火墙机制，来标识与网络通信相关的用户的身份。一旦主机和用户被 标识，则在514网络安全设备30能够获得对于所标识的主机和用户的本地声誉分数。在 516,声誉服务器40提供与网络通信相关的主机和用户的本地声誉分数。在518,网络安全 设备30的网络保护模块36能够基于主机和用户的本地声誉分数，动态选择来自本地声誉 策略模块38的策略并且将其应用到网络通信。备选地，网络安全设备30能够被动监视网 络通信并且提供事件通知，由此允许管理员采取适当手动动作。
[0065]本地声誉分数还可由能够控制或监视进入和输出的网络通信和主机处理的主机 来消耗，并且还能够将其它策略本地应用到主机。在522,主机20(1)的主机保护模块26可 检测处理（例如，数据尝试被写入到USB棒）或进入和输出的网络通信。主机保护模块26 能够使用其IP地址或MAC地址来标识主机20(1)作为与该过程相关的主机。还可例如，如 本文之前所述，通过标识处理的处理拥有者、通过标识已经登录到主机20(1)的用户、或者 通过经由目录机制或内部的用户列表来强制用户登录以标识其用户名，标识与处理相关的 用户的身份。可如本文之前所述标识与网络通信相关的主机和用户。一旦主机和用户被标 识，则在524,主机20 (1)能够获得对于所标识的主机和用户的本地声誉分数。在526,声誉 服务器40提供与所检测的处理或网络通信相关的主机和用户的本地声誉分数。在528,网 络安全设备30的主机保护模块36能够基于相关主机和用户的本地声誉分数，动态选择来 自本地声誉策略模块28的策略并且将其应用到该处理或网络通信。备选地，主机20(1)能 够被动监视处理和/或网络通信，并且提供事件通知，由此允许管理员采取适当手动动作。 [0066] 转到图6,图6示出对于具体主机和用户可在专用网络14的声誉服务器40中执行 的操作的更具体的流程600。流程600在602开始，其中声誉服务器40从专用网络14中的 事件检测节点的事件代理（例如，事件代理23a-d)接收事件通知。这些事件通知能够从任 意数量的网络节点接收，所述任意数量的网络节点配置有包括事件代理和策略模块的安全 应用，并且能够包括主机标识、用户标识和事件的事件指示符。在603,声誉服务器40可从 一个或多个事件储存库（例如，事件数据储存库55)提取事件数据，其能够基于常规或按需 要来执行。此外，声誉服务器40能够通过接收事件通知、通过提取事件数据、或者通过其任 意适合的组合来获得对于主机和用户的事件数据。在604,事件数据可按主机和按用户被关 联。在606,风险关联模块42随后更新对于用户的本地声誉分数和对于主机的本地声誉分 数。
[0067]在608,能够做出对于主机或用户的本地声誉分数是否改变的确定。如果本地声 誉分数的至少之一已经改变，则流程能够经至610,在此可采取适当动作，例如，将变化记录 日志、警告网络管理员该变化，或者报告该变化。一旦已采取了适当动作，或者如果对于用 户和主机的本地声誉分数没有变化，则流程能够经至612,在此声誉服务器40从安全节点 (例如，网络安全设备30、主机20 (1))接收对于主机和/或用户的本地声誉分数的请求。在 614,声誉服务器40能够将来自本地声誉分数模块44的适当本地声誉分数发送到请求安全 节点。因此，请求安全节点能够使用分数将策略动态应用到网络通信或处理，或者能够被动 监视网络通信或处理、并且发送适当警告。
[0068] 在示例实现中，与本文论述的用于确定和使用用户和主机的本地声誉来保护网络 环境中的信息的系统有关的活动的至少一些部分可以以例如事件代理23a_d、风险关联模 块42、主机保护模块26和网络保护模块36中的软件来实现。在一些实施例中，为了提供用 于确定和使用用户和主机的本地声誉来保护信息的该系统，能够从web服务器接收或下载 该软件，或者在计算机可读媒体上提供该软件。在一些实施例中，这些特征的一个或多个可 以以在这些元件以外的所提供的硬件来实现，或者以任意适当方式被合并以实现所意图的 功能性。
[0069] 另外，本文所述和所示的系统的实施例还可包括用于在诸如网络环境10之类的 网络环境中接收、传送和/或以其它方式传送数据或信息的适合的接口。另外，与各种网络 元件相关的一些处理器和存储器元件可被移除，或者以其它方式被合并，使得单个的处理 器和单个的存储器位置负责某些活动。备选地，某些处理功能能够被分开，并且分开的处理 器和/或物理机器能够实现各种功能性。在一般意义中，图中描绘的布置可以是在其表示 中更合乎逻辑的，而物理架构可包括这些元件的各种排列、组合和/或混合。有必要注意， 无数可能的设计配置能够用于实现本文论述的操作目标。因此，所相关的基础设施具有千 变万化的替代布置、设计机会、设备可能性、硬件配置、软件实现、装备选项等。
[0070]在一些示例实施例中，一个或多个存储器元件（例如，存储器元件22a_e)能够存 储本文所述的用于信息保护操作的数据。这包括能够存储被执行以实施本说明书中所述 的活动的指令（例如，软件、逻辑、代码等）的存储器元件。处理器能够执行与数据相关的 任意类型的指令以实现本文详述的操作。在一个示例中，一个或多个处理器（例如，处理器 21a_e)能够将元件或物件（例如，数据）从一种状态或东西变换到另一状态或东西。在另一 个示例中，本文论述的功能可以以固定逻辑或可编程逻辑（例如，由处理器执行的软件/计 算机指令）来实现，并且本文标识的元件能够是一些类型的可编程处理器、可编程数字逻 辑（例如，现场可编程门阵列（FPGA)、可擦除可编程只读存储器（EPROM)、电可擦除可编程 只读存储器（EEPR0M))、包括数字逻辑的ASIC、软件、代码、电子指令、闪存、光盘、⑶-ROM、 DVD-ROM、磁或光卡、适合存储电子指令的其它类型的机器可读媒体、或其任意组合。
[0071] 网络环境10的组件（例如，主机20、网络安全设备30、声誉服务器40、资产50、邮 件网关&服务器60)可在任意适合类型的存储器（例如，随机访问存储器（RAM)、只读存储 器（ROM)、可擦除可编程ROM(EPROM)、电可擦除可编程ROM(EEPR0M)等）、软件、硬件中，或者 在任意其它适合的组件、设备、元件或对象中在适当时且基于具体需要来保留信息。本文所 讨论的任意存储器项目（例如，存储器元件22a_e、策略模块24a_d、本地声誉策略模块28、 本地声誉分数模块44、本地声誉策略模块38,事件数据储存库55)应被解释为被包含在广 义术语"存储器元件"内。由网络环境10读取、使用、跟踪、发送、传送、传输、存储、更新、或 者接收的信息能够在任意数据库、寄存器、队列、表、高速缓存、控制列表或其它存储结构中 被提供，其全部能够在任意适合的时间框架被引用。任意这样的存储选项可被包括在如本 文所使用的广义术语"存储器元件"内。类似地，本说明书所述的任意潜在的处理元件、模 块和机器应被解释为被包含在广义术语"处理器"内。
[0072] 附加的硬件没有在图中示出，其可以以存储器管理单元（MMU)、附加的对称多处 理（SMP)元件、物理存储器、外围组件互联（PCI)总线和对应的桥、小型计算机系统接口 (SCSI) /电子集成驱动器（IDE)元件等的形式适合耦合到处理器21a_e和其它组件。图1 和4的网络元件和主机（例如，主机20 (1) - (n)，网络安全设备30、声誉服务器40、邮件网关 &服务器60)可包括促进其操作的任意附加的适合的硬件、软件、组件、模块、接口或对象。 这可包括允许数据的有效保护和通信的适当算法和通信协议。另外，任意适合的操作系统 还可在网络元件和主机中配置以适当管理其中硬件组件的操作。
[0073]注意到，用本文提供的许多示例，可关于两个、三个、四个或更多网络元件和主机 来描述交互。但是，仅为了清晰和示例的目的已完成了本文。应理解，系统能够以任意适合 的形式被合并。随着类似的设计备选，任意所示出的图的计算机、模块、组件和元件可以以 各种可能的配置被组合，其全部清晰地在本说明书的广义范围内。在某些情形中，（例如， 如图4中）它可仅通过参考有限数量的网络元件和主机来更易于描述已知流程组的一个或 多个功能性。应理解，如图中所示，用于确定和使用用户和主机的本地声誉来保护网络信息 的系统及其教导易于可扩展，并且能够适应大量的组件，以及更复杂/更精密的布置和配 置。因此，所提供的示例随着潜在被应用到千变万化的其它架构，不应限定范围或禁止系统 的广义教导。
[0074]还重要的是注意到，参考前面的图所述的操作和步骤仅示出可由系统或在系统内 执行的一些可能的情境。这些操作的一些可在适当时被删除或被移除，或者这些步骤可在 不偏离所讨论的概念的范围内被显著地修改或改变。另外，这些操作的时机可显著地被变 更，并且仍然实现本公开所教导的结果。为了示例和讨论的目的提供了前面的操作流程。由 系统提供基本灵活性，在该系统中可不偏离所讨论的概念的教导提供任意适合的布置、时 序、配置和定时机制。
[0075]对于本领域的技术人员可分清许多其它变化、替代、变更、备选和修改，并且意图 本公开包含所有这些变化、替代、变更、备选和修改作为落到所附权利要求的范围内。
【权利要求】
1. 至少一个机器可读媒体，具有存储在其上的指令，所述指令当由处理器执行时，使所 述处理器： 关联来自专用网络的第一组事件数据； 基于所述第一组事件数据的关联来确定所述专用网络中的主机的本地声誉分数；并且 将所述主机的本地声誉分数提供给安全节点， 其中，所述安全节点配置成基于所述主机的本地声誉分数将策略应用到与所述主机相 关的网络通信。
2. 如权利要求1所述的媒体，其中，将所述主机的本地声誉分数映射到所述主机的网 络地址。
3.如权利要求2所述的媒体，其中，所述第一组事件数据包括在所述专用网络中相应 表示一个或多个事件的一个或多个事件指示符，其中，所述一个或多个事件的每个与所述 主机的网络地址相关。
4.如权利要求2所述的媒体，其中，所述主机的网络地址是所述网络通信的源地址和 目标地址之一。
5.如权利要求1所述的媒体，其中，所述指令当由所述处理器执行时，还使所述处理 器： 基于来自所述专用网络的第二组事件数据的关联来确定用户的本地声誉分数；并且 如果所述网络通信与所述用户相关，则将所述用户的本地声誉分数提供给所述安全节 点。
6.如权利要求5所述的媒体，其中，当基于所述主机的本地声誉分数的策略比基于所 述用户的本地声誉分数的不同策略更多限制时，将基于所述主机的本地声誉分数的策略应 用到所述网络通信。
7.如权利要求5所述的媒体，其中，将所述用户的本地声誉分数映射到所述用户的用 户标识符。
8.如权利要求7所述的媒体，其中，所述第二组事件数据包括在所述专用网络中相应 表示一个或多个事件的一个或多个事件指示符，其中，所述一个或多个事件的每个与所述 用户标识符相关。
9.如权利要求1所述的媒体，其中，所述专用网络包括具有一个或多个远程网络的内 联网。
10. 如权利要求1所述的媒体，其中，从接收自所述专用网络中的至少一个事件检测节 点的一个或多个事件通知来选择所述第一组事件数据的至少一部分。
11. 如权利要求1所述的媒体，其中，从所述专用网络中的事件数据储存库提取所述第 一组事件数据的至少一部分，其中，一个或多个事件检测节点配置成将所述第一组事件数 据存储在所述事件数据储存库中。
12. 如权利要求1所述的媒体，其中，所述安全节点是网络安全设备和主机之一。
13. -种方法，包括： 关联来自专用网络的第一组事件数据； 基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数；以 及 将所述主机的本地声誉分数提供给安全节点， 其中，所述安全节点基于所述主机的本地声誉分数将策略应用到与所述主机相关的网 络通信。
14. 如权利要求13所述的方法，其中，将所述主机的本地声誉分数映射到所述主机的 网络地址。
15. 如权利要求14所述的方法，其中，所述第一组事件数据包括在所述专用网络中相 应表示一个或多个事件的一个或多个事件指示符，其中，所述一个或多个事件的每个与所 述主机的网络地址相关。
16. 如权利要求14所述的方法，其中，所述主机的网络地址是所述网络通信的源地址 和目标地址之一。
17. 如权利要求13所述的方法，还包括： 基于关联来自所述专用网络的第二组事件数据来确定用户的本地声誉分数；以及 如果所述网络通信与所述用户相关，则将所述用户的本地声誉分数提供给所述安全节 点。
18. 如权利要求17所述的方法，其中，当基于所述主机的本地声誉分数的策略比基于 所述用户的本地声誉分数的不同策略更多限制时，将基于所述主机的本地声誉分数的策略 应用到所述网络通信。
19. 如权利要求17所述的方法，其中，将所述用户的本地声誉分数映射到所述用户的 用户标识符。
20. 如权利要求19所述的方法，其中，所述第二组事件数据包括在所述专用网络中相 应表示一个或多个事件的一个或多个事件指示符，其中，所述一个或多个事件的每个与所 述用户标识符相关。
21. 如权利要求13所述的方法，其中，所述专用网络包括具有一个或多个远程网络的 内联网。
22. 如权利要求13所述的方法，其中，从接收自所述专用网络中的至少一个事件检测 节点的一个或多个事件通知来选择所述第一组事件数据的至少一部分。
23. 如权利要求13所述的方法，其中，从所述专用网络中的事件数据储存库提取所述 第一组事件数据的至少一部分，其中，一个或多个事件检测节点将所述第一组事件数据存 储在所述事件数据储存库中。
24. 如权利要求13所述的方法，其中，所述安全节点是网络安全设备和主机之一。
25. -种方法，包括： 关联来自专用网络的第一组事件数据； 基于所述关联所述第一组事件数据来确定所述专用网络的用户的本地声誉分数；以及 将所述用户的本地声誉分数提供给安全节点， 其中，所述安全节点基于所述用户的本地声誉分数将策略应用到与所述用户相关的网 络通信。
26. 如权利要求25所述的方法，其中，将所述用户的本地声誉分数映射到所述用户的 用户标识符。
27. 如权利要求26所述的方法，其中，所述第一组事件数据包括在所述专用网络中相 应表示一个或多个事件的一个或多个事件指示符，其中，所述一个或多个事件的每个与所 述用户的用户标识符相关。
28. 如权利要求25所述的方法，其中，所述专用网络中的主机上的处理发起了所述网 络通信，并且其中，所述处理的处理拥有者与所述用户的用户标识符对应。
29. 如权利要求25所述的方法，还包括： 基于关联来自所述专用网络的第二组事件数据来确定所述专用网络中的主机的本地 声誉分数；以及 如果所述网络通信与所述主机相关，则将所述主机的本地声誉分数提供给所述安全节 点， 其中，将所述主机的本地声誉分数映射到所述主机的网络地址。
30. -种装置，包括： 存储器元件，配置成存储数据； 处理器，可操作以执行与所述数据相关的指令；以及 风险关联模块，配置成与所述存储器元件和所述处理器接口以： 关联来自专用网络的第一组事件数据； 基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数；并 且 将所述主机的本地声誉分数提供给安全节点， 其中，所述安全节点配置成基于所述主机的本地声誉分数将策略应用到与所述主机相 关的网络通信。
31. 如权利要求30所述的装置，其中，将所述主机的本地声誉分数映射到所述主机的 网络地址。
32. 如权利要求30所述的装置，其中，所述装置还配置成： 基于关联来自所述专用网络的第二组事件数据来确定用户的本地声誉分数；并且 如果所述网络通信与所述用户相关，则将所述用户的本地声誉分数提供给所述网络安 全节点。
33. 一种方法，包括： 关联来自专用网络的第一组事件数据； 基于所述关联所述第一组事件数据来确定所述专用网络中的主机的本地声誉分数；以 及 将所述主机的本地声誉分数提供给所述主机， 其中，基于所述主机的本地声誉分数来选择策略，并且其中，将所述策略应用到由所述 主机检测的处理。
34. 如权利要求33所述的方法，其中，所述处理包括将文件复制到连接到所述主机的 离线媒体。
35. 如权利要求33所述的方法，还包括： 基于关联第二组事件数据来确定用户的本地声誉分数；以及 如果所述用户是所述处理的处理拥有者，则将所述用户的本地声誉分数提供给所述主 机。
36. 如权利要求35所述的方法，其中，当基于所述主机的本地声誉分数的策略比基于 所述用户的本地声誉分数的不同策略更多限制时，将基于所述主机的本地声誉分数的策略 应用到所述处理。
37. 至少一个机器可读媒体，包括指令，所述指令当被执行时，实现如权利要求25-29 中任一项所要求的方法。
38. 至少一个机器可读媒体，包括指令，所述指令当被执行时，实现如权利要求33-36 中任一项所要求的方法。
【文档编号】H04L12/22GK104380657SQ201380017286
【公开日】2015年2月25日 申请日期:2013年4月10日 优先权日:2012年4月10日
【发明者】G·库珀, D·F·迪伊尔, M·W·格林, R·马 申请人:迈可菲公司