具有规则优化的集成安全系统的制作方法

本申请要求于2015年11月03日提交的印度专利申请5944/che/2015的权益，其全部内容通过引证结合于此。

本发明涉及一种计算机网络，并且更具体地，涉及网络安全设备的管理和配置技术。

背景技术：

存储在计算机系统和网络中的数据和技术容易受损从而增大网络威胁的等级。普通类型的网络攻击包括拒绝服务(dos)攻击、诱骗攻击、数据包窃听或拦截等。由于网络威胁越来越复杂，担任保护计算机网络的管理员的负担越来越重并且装备不良不能有效且高效地减轻并解决网络威胁和网络攻击。目前，为了对网络威胁做出反应，管理员必须参与手动的、劳动密集的过程以配置策略或其他保护系统以求阻止这样的威胁。

技术实现要素：

总体上，本公开描述了一种集成安全管理系统，该集成安全管理系统为分布在整个网络中的安全设备提供规则优化和分析。

例如，在一个示例性实施方式中，系统包括：一个或多个处理器、一个或多个计算机可读存储器、以及复杂用户接口，该复杂用户接口由威胁控制模块呈现用于显示对应于一个或多个威胁的一个或多个规则。系统进一步包括用于确定规则在安全设备的规则列表中的最佳放置的规则分析模块。例如，管理员可以与由威胁控制模块再现的规则的图形表示交互，并且响应于交互，系统可以基于异常或者威胁ip数据和/或高级安全参数的存在确定所创建的规则在所识别的安全设备的规则列表中的最佳放置。以这种方式，系统允许管理员用最优序列配置规则以检测威胁。

在另一示例性实施方式中，方法包括接收关于一个或多个规则的配置信息。方法还包括生成一个或多个规则在安全设备的规则列表中的建议放置。

以这种方式，安全管理系统使管理员能够采取直接动作以优化安全策略中自动生成的规则的放置。因此，企业中的管理员与安全管理系统再现的威胁的表示交互以调用安全管理系统的规则分析模块，从而基于来自规则的排序的任何异常生成规则的异常报告和/或建议放置。

在附图和下面的描述中阐述本发明的一个或多个实施方式的细节。通过该描述、附图和权利要求，本发明的其他特征、目的和优点将变得显而易见。

附图说明

图1是示出了具有如本文中描述的集成安全管理系统的示例性企业网络的框图。

图2是示出了在本公开的一方面中的示例性集成安全管理系统的框图。

图3是在本公开的一方面中处理网络流量以识别潜在网络威胁的示例性安全设备。

图4a-图4c示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口(interface,界面)以向管理员呈现聚合的威胁数据的表示。

图5a-图5e示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口，以向管理员呈现与威胁相关联的过滤的事件数据的表示。

图6a-图6d示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口，管理员通过该用户接口可以审查并自动发布所创建的与安全策略相关联的规则。

图7a-7k示出了在本公开的各个方面中由安全管理系统生成的示例性用户接口，通过该用户接口管理员可以配置安全策略的规则放置。

图8示出了在本公开的一方面中基于异常的确定的示例性规则放置。

图9是示出了示例性规则放置方法的流程图。

图10是示出了另一示例性规则放置方法的流程图。

图11示出了在本公开的一方面中通过安全管理系统生成的示例性用户接口，通过该用户接口管理员可以使得自动创建的安全策略能够部署和/或发布。

图12示出了通过安全管理系统生成的示例性用户接口，通过该用户接口管理员可以浏览所发布的或更新的安全策略的作业状态。

图13示出了在本公开的一方面中通过安全管理系统生成的示例性接口，通过该接口管理员可以浏览威胁设备的源或目的地细节。

图14是示出了安全管理系统的示例性操作的流程图。

图15示出了可被配置为实现根据当前公开的一些实施方式的计算设备的详细实例。

具体实施方式

图1是示出了具有如本文中描述的集成安全管理系统的示例性企业网络的框图。在图1的实例中，企业网络2包括集成安全管理系统10和以分步的方式部署在整个网络中的一个或多个安全设备5。

企业网络2的一个或多个安全设备5a-5c(统称“安全设备5”)经由形成通信拓朴的通信链路相互连接。通常，安全设备5监控网络2中的包流并将安全服务应用于那些包流以便保护网络内的计算资源(未示出)，诸如，网络服务器、终端用户计算机和提供网络连接的基础设施设备。例如，安全设备5可以对包流执行深度包检测以检测包流内指示威胁的模式或异常，诸如，网络攻击、病毒、恶意软件等。在这个过程期间，安全设备5通常应用限定标准(例如，报头信息、模式、异常信息)的策略，以与包流相比较并采取策略指定的行动，诸如，丢弃包流、记录包流或将包流重定向至数据包分析器用于进一步分析。安全设备5可以包括，例如，防火墙或其他入侵检测系统(ids)或入侵预防系统(idp)、或甚至被配置为将网络安全服务应用于网络2中的包流的高端路由器或服务节点。

虽然在本公开中描述为发送、传送、或以另外的方式支持数据包，但企业网络2可以根据由任何其他协议定义的任何其他离散数据单元发送数据，诸如，由异步传输模式(atm)协议定义的单元，或由用户数据报协议(udp)定义的数据图。使安全设备5相互连接的通信链路可以是物理链路(例如，光学、铜等)或无线。企业网络2可以耦合至一个或多个附加私有网络或公共网络，例如，互联网(未示出)。

在图1的实例中，企业网络2示出为分别经由通信链路7a-7c耦合至公共网络4a-4c(统称“公共网络4”)(例如，互联网)。例如，公共网络4可以包括一个或多个客户端计算设备。公共网络4可以提供对网页服务器、应用服务器、公共数据库、媒体服务器、用户端设备、以及多种其他类型的网络资源设备和内容的访问。公共网络4中的网络设备可以向企业网络2呈现大量安全威胁。例如，公共网络4中的设备可以尝试向一个或多个安全设备5传送蠕虫、木马、和/或病毒。作为另一实例，使用公共网络4中的设备的黑客可能试图打入企业网络2以侦听、损坏、破坏、或窃取由一个或多个安全设备5存储的信息。

如在本文中描述的，安全管理系统10使得能够通过从安全设备5收集并聚合威胁信息并呈现整个企业网络2中存在的统一实时可视化的网络威胁而对安全设备5进行集中管理。此外，安全管理系统10提供一种集成系统，该集成系统响应于网络威胁为网络管理员(例如，管理员12)提供用于管理安全设备5的集中的单点控制。

例如，由于在安全域(例如，企业网络2)内检测到并识别出威胁，安全管理系统10实时从安全设备5接收并聚合数据。安全管理系统10基于从分布的安全设备5聚合的数据再现并保持已识别的威胁的动画表示。响应于与管理员12的交互，安全管理系统10识别相关安全设备5集合，自动构建具有在所识别的安全设备5集合的策略内有序规则的安全策略，并使用在安全管理系统10内集成的底层策略部署引擎传递策略并将策略安装在所识别的安全设备5集合中。在图1的实例中，安全管理系统10被示出为利用安全设备5参与配置会话9a-9c(统称“配置会话9”)以传递策略并将策略安装在所识别的安全设备5集合中。

以这种方式，安全管理系统10使得管理员12能够采取直接动作，诸如，选择性地阻止或允许流量和应用，同时从网络2中的任何地方所识别的威胁的表示中监控事件。因此，由于通过安全管理系统10再现，管理员能够与威胁的表示交互以自动配置并更新贯穿网络2部署的安全设备5的安全策略。安全管理系统使管理员也能够采取直接动作以优化安全策略中自动生成的规则的放置。因此，企业中的管理员与安全管理系统再现的威胁的表示交互以调用安全管理系统的规则分析模块，从而基于来自规则的排序的任何异常生成规则的异常报告和/或建议放置。

按惯例，安全管理系统10和由安全管理系统10管理的安全设备5可以通过企业的it团队集中维护。管理员12可以与安全管理系统10交互以远程监控并配置安全设备5。例如，管理员12可以从安全管理系统10接收有关安全设备5的警报，浏览安全设备5的实时威胁和配置信息数据，向下挖掘经过滤威胁数据的过滤表示，创建或更新安全设备5的安全策略，为企业网络2添加新的安全设备，从企业网络2除去现有的安全设备，或以另外的方式操纵企业网络2及其中的安全设备。尽管相对于企业网络进行描述，但本发明的技术可适用于其他网络类型，公共和私有的，包括lan、vlan、等等。

管理员12可以使用安全管理系统10以用安全策略配置安全设备5，其中，每个安全策略表示指定促进管理员12的目标的某些操作特性的一个或多个有序规则集合。例如，管理员12可以使用具有有序规则集的集合的策略，为安全设备5指定与输入或输出互联网协议(ip)流量的安全有关的特定安全策略。虽然已相对于策略和规则进行了描述，但本公开内容的技术可适用于安全设备的其他方面，包括修改路由表，或者包括更新或重新排序预先存在的安全策略或规则的其他方面。

通常，安全设备5将特定策略(例如，安全性)的数据维护为各自对唯一标识符有密钥的一个或多个规则的有序表。当管理的安全设备5中的一个中发生触发事件时，诸如，接收网络数据包，安全设备5顺序地遍历有序表以确定列表中适用于触发事件数据的第一策略规则。如果安全设备查找可适用的策略规则，则安全设备继续执行指定的动作(例如，丢弃数据包、更新流量日志、或者为了进一步的分析和检查重定向数据包、阻止或允许数据包)。在题为“determiningreordercommandsforremotereorderingofpolicyrules”的美国专利8,429,255和题为“remotevalidationofnetworkdeviceconfigurationusingadevicemanagementprotocolforremotepacket”的美国专利号8,248,958中描述了能够管理安全设备并为其部署策略的集中型网络管理系统的又一示例性细节，其全部内容通过引证结合于本文中。在如在junipernetworks，“junipernetworksnetworkandsecuritymanageradministrationguiderevision2009.1,”2009年8月(在http://www.juniper.net/techpubs/software/management/security-manager/nsm2009_1/nsm-admin-guide.pdf可获得)中描述的网络和安全管理(nsm)应用中描述了又一实例，通过引证将其全部内容结合于此。

图2是示出了在本公开的一方面中的示例性集成安全管理系统10的框图。如在本文中描述的，安全管理系统10提供系统和接口，管理员12利用接口浏览实时或接近实时的威胁，迅速评估与综合分析的给定威胁相关联的经过滤威胁数据的过滤表示，并响应于威胁来配置或修改安全设备5的各种安全策略。在图2中，例如，安全管理系统10的威胁控制模块17构建并且输出接口，以允许管理员12例如在网格、图表或地图上浏览实时威胁、向下挖掘与威胁相关联的经过滤威胁数据的各种过滤表示、在一个或多个安全设备5的当前策略或新策略中插入或配置新规则、产生安全设备5的更新策略、以及删除或改变现有规则的顺序。响应于产生新策略或更新的策略，管理员12可以基于新的策略或更新的策略通过策略部署引擎26引导安全管理系统10将配置部署到一个或多个安全设备5。在某些方面，作为对例如威胁的检测的响应，安全管理系统10自动修改安全设备5的策略。

与传统系统不同，在某些示例性实施方式中，安全管理系统10实时或接近实时地提供企业范围威胁的实时威胁可视化并在可视化处理中将自动策略生成和部署集成到安全设备5，从而提供在集中化管理系统中监控并对威胁采取行动的无缝用户体验。在网络攻击期间，何时迅速解决并减轻攻击可能是重要的，与安全管理系统10的自动策略生成和部署耦合的企业范围的实时威胁可视化可能是有利的。安全管理系统10将威胁聚合和可视化与能够集中管理网络2的网络设备(包括，安全设备5)的配置信息的底层设备管理系统集成。例如，如本文中描述的安全管理系统10的各种实施方式和特征使管理员12能够浏览实时网络流量信息并迅速诊断并诸如通过使管理员12能够无缝地迅速阻止或暂时阻止给定用户、应用、地理区域、其组合等的集合的网络流量来防止攻击。安全管理系统10可以进一步使管理员12能够允许没有威胁但可通过传统技术以另外的方式阻止的网络流量。因此，安全管理系统10使管理员12能够无缝地更新，例如，构建安全策略并将安全策略部署至安全设备5，这样能够阻止或允许特定源与目标地址之间的包流，阻止或仅允许来自源地址的流量，或者阻止或仅允许到目的地ip地址的流量。

在图2的实例中，安全管理系统10可以从安全设备5中的每一个接收数据包的详细分析。如在本文中进一步描述的，在一个实例中，例如，安全设备5(诸如，ids或idp系统)可以分析客户端到服务器和服务器到客户端的包流，处理数据包以执行应用分类从而识别应用类型和与每个包流相关联的通信协议(例如，skype、yahoomessenger、bittorrent对等协议)，对数据包执行详细分析以识别包流中的数据包内的专用字段。在图2的实例中，安全管理系统10包括在安全管理系统10的一个或多个处理器上执行的威胁数据聚合器14以聚合关于在网络内检测的任何威胁从一个或多个安全设备5接收的数据包的详细分析。

安全管理系统10可以用威胁数据聚合器14聚合威胁数据，并可以存储描述威胁数据库16中的网络流量中出现的每个有效包流的信息。威胁数据库16可以存储与每个有效包流相关联的安全设备5的规格，即，低级信息，诸如，源设备和目的地设备以及与包流相关联的端口。此外，安全设备5可以识别在客户机与服务器之间共同形成单一通信会话的包流对。例如，ids200可以将通信会话指定为在共享至少一些公共网络地址、端口以及协议的流的相反的方向上的包流对。在另一实例中，如果安全设备5不提供系统更新，安全管理系统10可以向安全设备5轮询通信信息。

在图2的实例中，管理员12可以浏览从安全设备5收集的、通过威胁数据聚合器14聚合的、并存储在威胁数据库16中的、如图2中所示出的被格式化为例如列表、网格、图表、或地图的聚合威胁数据。在本公开的一方面中，威胁数据聚合器14可以聚合ip流量信息并收集与威胁相关联的各种相关信息，诸如，威胁名称、计数、开始时间、威胁严重性、源位置、源ip地址、目的地位置、目的地ip地址、设备信息、攻击种类、攻击类型、服务、威胁的影响、以及采取的行动。威胁数据聚合器14可以进一步聚合应用使用数据值(诸如，往返于应用的流量)以及用户数据(诸如，带宽和会话)。

安全管理系统10的威胁控制模块17可以进一步包括可视化模块18以诸如在网格、图表或地图视图中产生实时聚合威胁数据的各种过滤表示。可视化模块18还可以应用使用浏览或用户使用浏览的形式生成实时聚合威胁数据的过滤表示。威胁控制模块17然后可以将所生成的聚合数据的图形表示呈现给管理员12，以用于交互并配置安全设备5。

如在图2中示出的，安全管理系统10还可以包括在安全管理系统10的一个或多个处理器上执行的策略/规则模块20，其中，策略/规则模块20可以基于由安全管理系统10自动生成的或者由管理员12定义的并从威胁控制模块17接收的配置信息生成用于安全设备5的配置信息。如将在本文中更详细地论述的，响应于创建或修改安全策略的策略/规则模块20，安全管理系统10可以将配置参数存储在候选策略数据库22中，以供审查和最终发布到提交策略数据库24。安全管理系统10还可以包括将安全策略的更新配置信息发送至安全设备5的策略部署引擎26。

通常，安全管理系统10的底层策略部署引擎26可以使用为所管理的安全设备5中的配置信息数据的管理设计的一个或多个网络管理协议(诸如，简单网络管理协议(snmp)协议或网状结构协议(netconf)协议或其衍生物(诸如，juniper设备管理接口))以管理安全设备5中的安全策略。在harrington等人，rfc3411，“anarchitecturefordescribingsimplenetworkmanagementprotocol(snmp)managementframeworks,”网络工作组，因特网工程任务组草案，2002年12月(可在http://tools.ietf.org/html/rfc3411获得)中可查找snmp协议的更多细节，其全部内容通过引证结合于此。在enns等人，rfc4741:“netconfconfigurationprotocol,”网络工作组，因特网工程任务组草案，2006年12月(可在http://tools.ietf.org/html/rfc4741获得)中描述了netconf，通过引证将其结合于此。使用网络管理协议，安全管理系统10可以与允许安全管理系统10遍历并修改所识别的安全设备5中的配置信息数据的一个或多个安全设备5建立配置会话9。

图3是示例性入侵防御系统(ids)200，其表示图1的安全设备5中任一个的示例性实施方式。如下所述，在本公开的一个方面中，ids200处理进入和流出网络2的网络进入和外出的包流并且对包流执行深度包检测以识别潜在的网络威胁并将威胁信息以及应用识别和流信息传递至安全管理系统10。此外，如下进一步描述的，ids200从安全管理系统10接收策略以及其他配置数据并将这些策略应用于网络中的包流。

在所示出的实例中，ids200包括透明地监控进入网络流量224的转发平面222并将网络流量作为外出网络流量226转发。在图3示出的实例中，转发平面222包括流分析模块225、状态检查引擎228、协议解码器230、以及转发组件231。

安全管理客户端244提供根据一个或多个设备配置协议与安全管理系统10通信的配置接口245。例如，响应于来自管理员12的输入，安全管理系统10可以将通信输出至配置接口245以更新策略247，从而控制并配置ids200以监控企业网络2的特定子网络并应用从安全管理系统10接收的安全策略规则。作为另一个实例，安全管理系统10可以提供并安装指定攻击定义233的策略247，在某些示例性方法中，安全管理客户端244将攻击定义中继至状态检查引擎228。在一个实施方式中，攻击定义233可以是复杂的攻击定义。此外，安全管理系统10可以呈现一个用户接口，通过该用户接口管理员12可以修改关于包流特征的假设，诸如用于监控的最高优先权包流、用于应用的端口绑定、或确定与包流相关联的协议和应用类型的其他特征。安全管理客户端244可以经由配置接口245接收前述信息，以存储在策略247中，并将信息中继至状态检查引擎228，用于实时应用于包流。

流分析模块225接收进入流量224并识别流量中的单独的网络流。每个网络流表示在网络流量中在一个方向上的数据包的流并由至少源地址、目的地地址和通信协议识别。流分析模块225可以利用附加信息指定网络流，包括源媒体访问控制(“mac”)地址、目的地mac地址、源端口、以及目的地端口。其他实例可以使用其他信息识别网络流，诸如，ip地址、应用会话、以及带宽使用。

流分析模块225保持流表235中的数据，该流表描述了网络流量中出现的每个有效包流。流表235指定与每个有效包流相关联的网络元件，即，低级信息，诸如，源设备和目的地设备以及与包流相关联的端口。此外，流表235可以识别在客户机与服务器之间共同形成单一通信会话的包流对。例如，流表235可以将通信会话指定为在共享至少一些公共网络地址、端口以及协议的流的相反的方向上的包流对。

如在下文更详细地描述的，状态检查引擎228检查客户端到服务器的包流以及服务器到客户端的包流两者，以便更准确地识别每个通信会话的底层协议和应用的类型。例如，当恶意用户尝试欺骗(即，模仿)一种类型的应用并改为使用另一个以试图绕过ids时，这可能会有所帮助。举例来说，恶意用户可以通过欺骗实际上使用http协议时请求的smtp试图避开ids。ids200可以从服务器的响应确定原始的包流仅仅是试图绕过ids200并且可以采取适当的动作，诸如丢弃与该包流相关联的未来数据包和/或向目标设备报警该攻击。

在某些示例性方法中，为了识别应用的类型，除了签名之外，ids200可以使用重新组装的tcp分段中的最小数据尺寸。一些应用可需要最低量的数据，这样ids200可以通过确定包流是否包含所识别协议的足够数据与恶意包流区分开。此外，ids200可以不必识别每个应用。在一个实例中，当应用未知时，ids200可仅转发包流。如果ids200不能识别给出的应用，可以是因为应用不是恶意包流的典型目标。然而，其他实例可以采用未识别应用的其他动作，诸如丢弃将未知应用作为目标的所有的数据包或者将默认签名应用于与未知应用类型相关联的所有包流。其他实例还可以利用其他协议，诸如，用户数据报协议(udp)；ids200因此可要求udp段的最小数据尺寸以便识别与udp段相关联的应用。

对于每个包流，状态检查引擎228缓冲包流的副本并重新组装所缓冲的包流以形成应用层通信232。例如，状态检查引擎228可以将tcp分段重构在应用层通信232中，应用层通信代表协议特定的消息。

状态检查引擎228基于确定来分析应用层通信232的识别的应用类型来调用一个合适的协议解码器230。协议解码器230代表一个或多个协议特定的软件模块的集合。协议解码器230中的每一个对应于不同的通信协议或服务。协议解码器230可以支持的通信协议的实例包括超级文本传输协议(“http”)、文件传输协议(“ftp”)、网络新闻传输协议(“nntp”)、简单邮件传输协议(“smtp”)、远程登录、域名系统(“dns”)、系统(gopher)、查找器(finger)、邮局协议(“pop”)、安全套接层(“ssl”)协议、轻量级目录访问协议(“ldap”)、安全shell(“ssh”)、服务器消息块(“smb”)和其他协议。

协议解码器230分析重新组装的应用层通信232并输出识别应用层事务的事务数据234。具体地，事务数据234指示两个同级设备之间的一系列相关应用层通信何时开始和结束。

状态检查引擎228从协议解码器230接收事务数据234、应用层元件236和协议异常的数据238。状态检查引擎228将策略247(例如，攻击定义233或其他规则)应用于协议特定的应用层元件236和异常的数据238以检测并防止网络攻击和其他安全风险。

如果检测到安全风险，状态检查引擎228向安全管理客户端244输出警报240，用以记录并进一步分析为威胁数据249。例如，威胁数据249可以包括来自已被识别为潜在威胁的那些包流的流表235的包流识别信息。此外，对于包流中的每一个，威胁数据249可以存储由识别与包流相关联的应用层应用的类型的流分析模块225提供的应用分类信息。此外，对于包流中的每一个，威胁数据249可以包括来自表征特定类型的威胁的状态检查引擎228的威胁信息，诸如，触发将包流分类为威胁的一个或多个策略的各个包流的所识别的模式、异常或其他特质。

安全管理客户端244将关于当前所检测的安全风险的威胁数据249中继到安全管理系统10。此外，状态检查引擎228可以采用附加动作，诸如丢弃与通信会话相关联的数据包、自动结束通信会话或其他动作。如果对于给定应用层通信会话没有检测到安全风险，转发组件231继续在同级(peer)之间转发包流。例如，转发组件231可以根据转发包流中使用的企业网络的拓扑来维护存储路由的路由表。在题为“attackdetectionandpreventionusingglobaldevicefingerprinting”的美国专利9,106,693中进一步描述了idp和ids设备的操作，其论述通过引证结合于本文中。

图4a-图4c示出了在本公开的各个方面中由安全管理系统10生成的示例性用户接口以向管理员12呈现聚合的威胁数据的表示。安全管理系统10的威胁控制模块17可以在各种图形表示中呈现动态威胁动画并呈现可以用于组织网络事件和相关联的威胁数据的用户接口。

图4a示出了由安全管理系统10生成的示例性用户接口，通过该用户接口管理员12可以在地图视图中浏览威胁的实时威胁图形表示。例如，可视化模块18可以生成与安全域(例如，企业或服务供应商网络)相关联的地图400(在此，世界地图)的图形表示并显示统计数值，诸如，总威胁计数401、总入侵防御系统(ips)事件402、总反病毒(av)事件403、总反垃圾邮件事件404、总设备授权405(例如，成功的和/或不成功的登录)、靠前的目的地设备406、靠前的目的地国家407、靠前的源设备408、靠前的来源国(未示出)、以及与聚合威胁相关联的其他信息。在一个实施方式中，可视化模块18可以生成实时威胁聚合的表示以包括与威胁相关联的一个或多个可变图形指示符(例如，颜色代码、线厚度变化、尺寸变化)以代表威胁的改变的量级或种类。例如，来自安全设备5a的威胁可以用一种颜色表示，而来自安全设备5b的威胁可以用另一种颜色表示；或者具有较大量的威胁可以用一种颜色表示，而较小量可以用另外的颜色表示。在另一个方法中，可视化模块18可以用连接源和目的地ip地址的线生成聚合的威胁数据的图形表示。线的直观表示(例如，厚度、颜色等)可以表示源ip地址于目的地ip地址之间的流量的量级(例如，流量的量、攻击数目等)。

图4b示出了在本公开的一方面中由安全管理系统10生成的另一示例性用户接口，通过该用户接口管理员12可以浏览应用使用的聚合威胁数据。在一个实例中，威胁数据聚合器14可以聚合已被安全设备5识别为特定软件应用的包流的威胁数据，其中用户接口提供表示与不同类型的应用相关联的使用(诸如，与应用的多个用户对话和/或由应用消耗的带宽)的图形指示符。可视化模块18可以生成与应用使用相关联的聚合威胁数据的图形表示，诸如，图4b中的示例性图表视图。在另一方法中，可视化模块18可以用图形指示符421(例如，可变的尺寸和/或颜色)生成聚合威胁数据的图形表示，图形指示符可以表示应用使用的幅度和/或威胁的严重程度(例如，从应用使用中消耗的带宽、会话的数量等)。威胁控制模块17然后可以基于种类(例如，网络411、多媒体412、消息413、社交414、和/或基础设施415)呈现显示靠前的会话或应用的带宽使用的聚合威胁数据的图形表示。威胁控制模块17可以基于特征(例如，生产率的损失416、容易误用417、可泄漏信息418、支持文件传输419、和/或消耗的带宽420)进一步呈现显示靠前的会话或应用的带宽使用的接口，并且响应于检测威胁来配置安全设备5。

例如，图4b在图表视图中示出了示例性接口，图表视图显示通过应用使用聚合的以及通过风险分组的威胁数据。具体地，图4b示出了显示各种应用和各种图形指示符421的示例性图表。在图4b中，例如，具有更大尺寸的气泡的应用可以表示更高的应用的会话数量。气泡的颜色(诸如，红色、橙色、和黄色)可以表示威胁的严重程度。在一些示例性方法中，下拉菜单429用于选择是否通过风险或通过其他参数对应用图标进行分组，同时设备选择下拉菜单430允许威胁控制模块对示出的特定设备5的显示进行过滤。威胁控制模块17还可以呈现用户接口，通过该用户接口管理员12可以根据受影响的安全设备5选择自动创建安全策略的响应。

图4c示出了在本公开的一方面中由安全管理系统10生成的另一示例性用户接口，通过该用户接口管理员12可以基于用户使用来浏览聚合威胁数据。在一个实例中，威胁数据聚合器14可以从安全设备5中聚合与网络用户的应用使用(诸如，与应用的会话数量和/或特定用户消耗的带宽)相关联的威胁数据。可视化模块18可以在以上的图4a或图4b中示出的方式生成与特定用户的应用使用相关联的聚合威胁数据的图形表示。在一个示例性方法中，威胁控制模块17可以呈现覆盖显示靠前的网络用户使用的聚合威胁数据的图形表示的用户接口。

例如，图4c在显示通过网络用户使用聚合的威胁数据的网格视图中示出了示例性接口。具体地，图4c示出了显示各个网络用户及他们使用的靠前的应用的示例性网格。在一个方法中，可视化模块18可以进一步生成网络使用的图形表示，包括有关靠前的用户422、靠前的应用423、用户的姓名424、会话的总数425、消耗的带宽426、和/或使用靠前的应用427的信息。威胁控制模块17还可以呈现用户接口(例如，复选框428)，通过该用户接口管理员12可以根据受影响的安全设备5选择自动创建安全策略的响应。

图5a-图5e示出了在本公开的各个方面中通过安全管理系统10生成的示例性用户接口，以向管理员12呈现与威胁相关联的过滤的事件数据的表示。可视化模块18可以基于来自管理员12的用户接口元件的选择生成各个视图中经过滤的威胁数据的各种过滤表示，诸如，网格、图表、以及地图视图。安全管理10的威胁控制模块17可以向管理员12呈现用户接口以选择特定用户接口元件，诸如，来自实时威胁聚合的表示的数据，以向下挖掘在由可视化模块18生成的经过滤的威胁数据(覆盖聚合表示)的过滤表示中显示的额外的威胁细节。例如，如在图5a中示出的，管理员12可以从实时威胁地图中选择国家或其他指定地理位置以浏览与威胁相关联的过滤数据的网格，诸如，威胁名称501、威胁计数502、开始时间503、威胁严重程度504、源位置505、源ip地址506、目的地位置507、目的地ip地址508、威胁种类509、威胁类型510、服务511、影响512、以及威胁动作状态513(例如，允许或阻止)。威胁名称501可以包括潜在恶意活动的名称，诸如，病毒名称或恶意软件名称。计数502可以包括表示在安全设备5中反复出现的威胁的数目的计数器。开始时间503可以包括威胁的时间和日期信息。严重程度504可以包括有关威胁的严重程度的等级的信息并且可以作为图形或数值表示显示。源位置505可以包括有关攻击所发起的位置的信息。源位置可以进一步包括粒度更精细的点，诸如，与源ip地址相关联的组织名称，或者与源相关联的国家、州、城市、或其他指定位置。源ip地址506可以包括可疑威胁所起源的计算机系统的ip地址。目的地位置507可以包括有关攻击所出现的位置的信息。目的地位置可以进一步包括更精细的粒度点，诸如，国家、州、城市、或者其他特定位置。目的地ip地址508可以包括被可疑攻击当作目标的计算机系统的因特网协议地址。种类509可以包括有关恶意活动的信息，恶意活动包括恶意软件的形式(例如，病毒、蠕虫、木马)。攻击类型510可以包括有关威胁类型的信息，诸如，签名或组合(compound)。服务511可以包括有关攻击所使用的协议的信息，包括超级文本传输协议(http)或网络控制报文协议(icmp)。威胁影响512可以包括威胁可具有的影响等级(例如，高或低)。威胁动作状态513可以包括有关允许还是阻止威胁的信息。在一些图形表示中，用户可用以上信息对威胁进行过滤。威胁控制模块17还可以为管理员12呈现用户接口，以根据受影响的安全设备5选择自动生成安全策略的响应从而阻止或允许所选择的威胁的流量。

如在图5b的实例中示出的，可视化模块18还可以在图表视图中生成聚合威胁数据的过滤表示，图表视图呈现与所选择的用户接口元件相关联的过滤威胁数据，诸如，地理位置。在示出的实例中，接口覆盖(overlay)威胁的地图视图表示。当选择指定国家时，可视化模块18可以生成聚合威胁数据的过滤表示和各种图表中感兴趣的过滤威胁细节，诸如，来源国521、源ip地址522、目的地设备523、进来的病毒/蠕虫524、进来的ips攻击525、具有进来的ddos攻击的设备526、或其他威胁细节。在一个实例中，管理员12可以从实时威胁聚合表示选择国家(例如，美国)，以浏览与作为目的地或源的所选择的国家相关联的过滤威胁细节。如在图5b中示出的，威胁控制模块17可以呈现由可视化模块18生成的用户接口，通过该用户接口管理员12可以浏览并进一步与过滤威胁细节交互并选择附加信息的各种过滤威胁细节。威胁控制模块17还可以呈现用户接口，通过该用户接口管理员12可以根据受影响的安全设备5选择自动生成安全策略的响应从而阻止或允许图表视图中选择的流量。

图5c示出了在本公开的一方面中由安全管理系统10生成的另一示例性用户接口，用户接口可以在与基于地理的威胁相关联的过滤事件数据的地图视图上向管理员12呈现图形表示。可视化模块18可以生成聚合威胁数据的地图表示并也包括与管理员12选择的位置相关联的过滤威胁数据。如在图5c中示出的，威胁控制模块17可以向管理员12呈现接口以浏览并进一步与附加过滤细节交互并且选择性地阻止或允许与近似地理位置相关联的流量或流量的类型。在与威胁相关联的过滤表示的一个实例中，过滤细节可以包括与特定国家相关联的总事件531、允许的事件532、以及阻止的事件533。在另一实例中，可以呈现来自源ip地址或目的地ip地址的威胁数据。威胁动作响应560允许用户阻止直接来自威胁细节接口的流量。

图5d示出了由安全管理系统10生成的另一示例性用户接口，该用户接口可以在图表视图中向管理员12呈现与所选择的应用有关的聚合威胁数据的过滤表示。在一个实例中，可视化模块18可以从威胁的聚合表示中生成与所选择的应用相关联的过滤威胁细节的过滤表示。威胁控制模块17可以呈现用户接口，通过该用户接口管理员12可以选择用户接口元件，诸如，来自实时威胁的聚合表示的特定应用，向下挖掘与应用使用相关联的附加威胁细节，诸如，在特定时间量中的应用的会话数目541，应用的种类542(例如，网络、多媒体、消息、社交、基础设施)、表示威胁的特征543(例如，生产率损失、易于误用、会泄漏信息、支持文件传输、所消耗的带宽)、在特定时间量中使用的总字节544、应用的子种类545(例如，社交网络)、风险水平546、和/或应用547的靠前的用户。威胁控制模块17还可以呈现用户接口，通过该用户接口管理员12可以根据受影响的安全设备5选择自动生成安全策略的响应从而阻止或允许来自特定应用的流量。在图5d中示出的实例中，威胁动作响应560允许管理员阻止直接来自威胁细节接口的流量。

在一个示例性方法中，威胁控制模块17显示图标反映参数，诸如，特定应用的会话的数目或应用所使用的带宽，并且管理员可以阻止与应用相关联的流量，或者对应用进行速率限制。

在另一示例性方法中，威胁控制模块17显示图标反映参数，诸如，特定用户的会话的数目或用户使用的带宽，并且管理员可以阻止该用户的特定流量，或者对用户进行速率限制。

在又一示例性方法中，威胁控制模块17显示图标反映参数，诸如，用于特定用户或特定设备的每个应用的会话的数目或者由用户或特定设备使用的每个应用的带宽，并且管理员可以阻止该用户或设备的特定应用的流量，或对于特定应用对用户或设备进行速率限制。

图5e示出了由安全管理系统10生成的另一示例性用户接口，该用户接口可以在网格视图中向管理员12呈现与应用的用户使用有关的过滤威胁细节的过滤表示。在一个实例中，可视化模块18可以生成与所选择的网络用户相关联的过滤威胁细节的过滤表示。威胁控制模块17可以呈现用户接口，通过该用户接口管理员12可以选择用户接口元件，诸如，来自实时威胁的聚合表示的特定用户，向下挖掘与网络用户相关联的过滤威胁细节，诸如，用户名551、用户进行的会话数目552、用户消耗的带宽553、用户角色554、上次会话的日期与时间555、以及上次看到的ip556。在另一实例中，图5e的用户接口还可以包括基于一段时间558所选择的用户使用的靠前的应用557。威胁控制模块17还可以为管理员12呈现用户接口，以根据受影响的安全设备5选择自动生成安全策略的响应从而阻止或允许来自特定用户的流量。在图5e中示出的实例中，威胁动作响应560允许管理员阻止直接来自用户威胁细节接口的流量。

安全管理系统10也可以呈现用户接口，通过该用户接口管理员12可以与由安全管理系统10再现的过滤威胁细节和实时威胁的聚合表示交互，并且响应于交互，集成安全管理系统10可以识别相关安全设备5集合，使用策略/规则模块20自动为安全设备5构建具有策略中的有序规则的更新的策略，并使用底层安全管理系统10的策略部署引擎26自动传递策略并将策略安装在安全设备5中。

如前所述，安全管理系统10可以通过威胁控制模块17提供系统和接口，管理员12可以用该接口浏览实时威胁并迅速评估与威胁相关联的过滤威胁数据，以进行综合分析。响应于实时威胁，管理员12可以响应于所检测的威胁引导安全管理系统10自动创建安全策略，以部署到安全设备5。例如，安全管理系统10的威胁控制模块17可以呈现接口以使得管理员12能够在多个安全设备5中的一个安全设备的当前策略中插入新规则，以为安全设备5配置更新的策略，并删除或改变现有规则的排序。

在一个实例中，管理员12可以选择从实时威胁聚合表示中浏览过滤威胁细节。安全管理系统10然后可以呈现用户接口，通过该用户接口管理员12可以基于过滤威胁细节自动创建用于受影响的安全设备5的安全策略。例如，在图5a中，威胁控制模块17可以呈现用户接口，通过该用户接口管理员12可以选择威胁名称501，应用：tun:tor-1并且可以选择威胁动作响应560，以便在威胁的任何图形表示中阻止来自源ip地址或去往源ip地址的流量，以阻止去往源ip地址和来自源ip地址的流量两者，仅阻止来自源ip地址的流量，或者仅阻止去往源ip地址的流量。管理员12可以响应于从威胁的图形表示检测特定威胁来选择阻止或允许流量。

在另一实例中，管理员12可以在图表视图(例如，图5b)中的图形表示中选择源ip地址以浏览与所选择的源ip地址相关联的威胁数据(例如，在与图5a相似的接口中)。管理员12可以从图表视图中的图形表示中进一步选择威胁动作响应以阻止或允许流量，图形表示将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户接口。

在另一实例中，管理员12可以在地图视图(例如，图5c)中的图形表示中选择国家以浏览与所选择的地理位置相关联的威胁数据。管理员12可以直接从图表视图中的图形表示中进一步选择威胁动作响应560以阻止或允许流量，图形表示将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户接口。在其他实例中，管理员12可以用更细微粒度选择位置，诸如，州、城市、以及其他地区。

在另一实例中，管理员12可以在显示通过应用使用聚合的威胁数据的图表视图中的图形表示中选择特定应用以浏览与所选择的应用相关联的补充细节(例如，图5d)。管理员12可以从图表视图中的图形表示中进一步选择威胁动作响应560以阻止或允许流量，图形表示将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户接口。

在另一实例中，管理员12可以在显示通过应用使用聚合的威胁数据的图表视图中的图形表示中选择特定网络用户以浏览与所选择的网络用户相关联的补充细节(例如，图5e)。管理员12可以从图形表示中进一步选择威胁动作响应560以阻止或允许流量，图形表示将会将管理员12导航至由安全管理系统10的威胁控制模块17呈现的另一用户接口。

图6a-图6c示出了在本公开的各个方面中通过安全管理系统10生成的示例性用户接口，通过该用户接口管理员12可以审查并自动发布所创建的与安全策略相关联的规则。在一个实例中，图6a-图6c可以是覆盖威胁或过滤威胁数据的表示的接口。响应于选择威胁动作响应560以阻止或允许与威胁有关的流量，安全管理系统10可以生成接口，通过该接口管理员12可以配置用于阻止或允许流量的自动生成的修改策略，如在图6a中示出的。图6a示出了在本公开的一方面中呈现给管理员12的示例性用户接口以浏览并选择性地部署自动生成的安全策略。用户接口使管理员12能够选择性地部署用于对安全设备5进行配置的任意或全部自动生成的策略。在该实例中，在本公开的一方面中，安全管理系统10响应于选择威胁动作响应560自动生成的对多个安全策略中的每一个中的有序规则集的修改包括修改内部的规则并对策略中的规则进行排序，以阻止来自和/或去往源ip地址的流量。

图6a的示例性接口可以提供自动生成的修改策略的列表以供选择。在一个实例中，图6a的用户接口可以向管理员12提供关于创建的策略的信息601、添加的规则的数目602、策略所应用的设备5的数目603、以及具有等待与策略变化有关的更新的设备5的数目604。在另一实例中，可以检索存储在提交数据库26中的受影响的安全设备5的预先存在的安全策略和相关信息并呈现给管理员12进行进一步的审查。在另一实例中，图6a的接口还可以包括与受影响的设备相关联的信息，受影响的设备已调用先前持续时间(例如，月、周、日等)之内的策略。

如在图6b中示出的，安全管理系统10的威胁控制模块17还可以响应于特定策略的选择呈现接口以配置与所选择的威胁相关联的策略规则。图6b示出了在本公开的一方面中由安全管理系统10生成的示例性用户接口，通过该用户接口管理员12浏览由安全管理系统10生成的给定策略的自动创建的特定规则。例如，如在图6b中示出的，管理员12可以选择图6a的接口内的特定策略并且可以进一步创建、编辑、删除、或排序防火墙策略的一个或多个规则。在一个实例中，自动生成的规则可以建议将规则放置在生成的安全策略中。在另一实例中，图6b的接口可以向管理员12呈现指定或修改规则的顺序的选项611，规则的名称612，限定源区域613和/或目的地区域615可以信任还是不能信任，限定规则适用的源地址614和/或目的地址616，限定规则的服务617、限定规则选项618、或者限定安全策略619中规则的动作，以便允许或拒绝流量。例如，管理员12可以使用图6b中的由威胁控制模块17呈现的接口以指定“规则2”和“规则3”分别具有808和809的序列号，并指定动作以拒绝策略ccc的ip流量。

如在图2中示出的，安全管理系统10还可以包括在安全管理系统10的一个或多个处理器上执行的策略/规则模块20，其中，策略/规则模块20可以基于由安全管理系统10自动生成的或者由管理员12定义的并从威胁控制模块17接收的配置信息生成用于安全设备5的配置信息。响应于创建或修改安全策略的策略/规则模块20，安全管理系统10可以将配置参数存储在候选策略数据库22中。

安全管理系统10的威胁控制模块17还可以响应于特定设备的选择(如在图6a中示出的)呈现接口，通过该接口管理员12可以浏览有关与所选择的威胁相关联的安全设备5的信息，如在图6c中示出的。图6c示出了在本公开的一方面中由安全管理系统10生成的示例性用户接口，通过该用户接口管理员12可以浏览与受自动创建的安全策略影响的设备相关联的安全设备细节。威胁控制模块17可以呈现一接口，其具有安全策略和存储在候选策略数据库22和/或提交策略数据库24中的设备信息。在一个实例中，图6c的接口可以包括设备名称621、域622、管理状态623、连接状态624、策略类型625、以及增量(delta)配置626。增量配置可以包括对命令行接口(cli)的访问和/或设备的可扩展标记语言(xml)配置。例如，安全管理系统10的威胁控制模块17可以进一步响应于设备的增量配置的选择(如在图6c中所示)呈现接口，通过该接口管理员12可以浏览所选择的设备的cli和/或xml配置(如在图6d中所示)。

图7a-7k示出了在本公开的各个方面中由安全管理系统10生成的示例性用户接口，通过该用户接口管理员12可以配置安全策略的规则放置。如图2中所示，安全管理系统10的策略/规则模块20可以包括基于规则异常或规则类型的分析提供最佳规则放置的规则分析模块30。当安全管理系统10基于所检测的威胁事件自动创建规则时，安全管理系统10还可以呈现接口，通过该接口管理员12可以进一步配置所创建的规则在安全设备5的规则的有序列表中的放置。如果检测到规则异常，规则分析模块30可以提供规则异常分析报告和所创建的规则在安全设备5的有序规则列表中的建议放置。在另一实例中，规则分析模块30还可以基于所识别的ip流量和高级安全动作参数提供所创建规则的建议放置。通过优化所创建规则在安全设备5的规则列表中的放置，可以避免异常。

在一个实例中，如图7a中所示，安全管理系统10的威胁控制模块17可以呈现用户接口，通过该用户接口管理员12可以创建、编辑、或者删除策略中的一个或多个规则。具体地，图7a中的接口可以为管理员12呈现创建安全策略701的接口。管理员12可以另外输入规则的序列号703、策略名称704、规则的数目705、设备的数目706、发布状态707、上次修改时间708、谁修改的规则709、以及策略中的策略变化710。威胁控制模块17还可以为管理员12呈现向安全策略添加规则702的接口。

如图7b中所示，当管理员12选择在策略配置中添加规则702时，威胁控制模块17可以为管理员12呈现定义规则的各个方面的接口，诸如，规则的名称711和规则的说明712。如图7c中所示，响应于定义规则名称和说明，威胁控制模块17还可以呈现接口，通过该接口管理员12可以通过输入源区域713(例如，流量的来源是可信的还是不可信的)、应用于规则的ip地址714、以及源用户id715来限定规则适用的ip流量。如图7d中所示，响应于定义规则的ip流量，威胁控制模块17可以进一步为管理员12呈现输入诸如定义规则动作716的高级安全动作参数(例如，施加于流量的深度包检测)的接口以允许、拒绝、或允许并用隧道发送(tunnel)流量。在一个实例中，如果管理员12选择允许或拒绝流量，管理员12可以进一步配置高级安全参数，诸如，应用防火墙717、ssl代理718、ips719、统一威胁管理(utm)720、安全情报721、以及隧道动作(未示出)，如果适用的话。在另一实例中，如果管理员12选择允许并用隧道发送网络流量，安全管理系统10可以生成用户接口以配置高级安全参数和隧道动作。在其他实例中，如果管理员12选择拒绝流量作为规则动作，则高级安全特征可以停用。如图7e中所示，响应于定义规则的高级安全，威胁控制模块17可以为管理员12呈现输入规则选项(诸如，规则的简档722和调度器723)的接口。如图7f中所示，响应于定义规则选项，威胁控制模块17可以为管理员12呈现接口，该接口用以选择对所创建的规则执行自动规则异常分析724并提供规则的建议放置以避免如果创建的话规则可能引起的异常。如图7g中所示，响应于基于任何现有异常(例如，遮蔽、部分遮蔽、冗余等)执行自动规则异常分析和放置的选择，规则分析模块30可以自动分析所创建的规则的最佳放置725并确定规则的最佳放置726。当所创建的规则与查询匹配时，例如可以出现完全遮蔽的规则，但实际上永远不会处理查询中包含的任何流量。由在规则的有序列表中较靠前的一个或多个规则处理规则和查询两者中包含的所有流量。通过先前的规则处理当规则和查询两者中包含的一些流量时，可出现部分遮蔽的规则。当所创建的规则定义仅关系到在规则的有序列表中较靠前的规则处理的流量时，可能会出现冗余。这些规则在当前规则列表中是多余的。

在一个实例中，规则分析模块30可以基于在候选策略数据库22或提交策略数据库24中存储的预先存在的规则确定所创建的规则的异常。规则分析模块30还可以基于所检测的异常确定所创建的规则的最佳放置。例如，如图7g中所示，规则分析模块30可以建议所创建的规则放置在规则1-12之后以避免先前存在的规则的遮蔽并放置在规则19-32之前以避免现有规则的部分遮蔽。规则分析模块30可以另外生成任何所检测异常725的分析报告。规则分析模块30还可以根据其分析726将所创建的规则自动放置在指定位置或序列中。在一种情况下，威胁控制模块17可以呈现接口，通过该接口管理员12可以选择浏览放置在安全设备5的规则列表中的创建规则。

在另一实例中，安全管理系统10可以提供调度表明规则被遮蔽或是冗余的报告的能力，并且可以提供推荐动作以修复所有报告问题。提供关于被遮蔽的或冗余的规则的报告并提供修复报告问题的推荐动作的这样的能力使得管理员12能够通过容易识别无效和不必要的规则来维护有效规则库。

在另一实例中，安全管理系统10可以提供接口，通过该接口管理员12可以浏览命中计数分析的安全策略。在一个这样的方法中，安全管理系统10的威胁控制模块17可以经由计量控件(widget)以及显示命中最小的规则的过滤器示出每个安全设备5的命中计数。在一个这样的方法中，威胁控制模块17可以保持寿命命中计数。这样的方法允许管理员12对每个规则的效力进行评估并迅速识别未使用的规则，从而致使更好地管理安全设备5环境。

图7h示出了基于异常的分析管理员12可以选择不执行规则分析和放置的另一实例。通过选择不执行规则异常分析，规则分析模块30仍可基于与所识别的ip流量(例如，源区域、ip地址、以及源用户id)和高级安全动作参数有关的信息提出最佳规则放置。在一种情况下，管理员12可以将规则定义为源区域中的全局规则，其对规则可以放置的位置具有影响。

在又一实例中，如图7i中所示，管理员12可以改变通过规则分析模块30自动确定的规则放置位置。安全管理系统10可以呈现用户接口，通过该用户接口管理员12可以修改由规则分析模块30自动确定的规则放置。如图7j中所示，一旦管理员12选择改变规则的位置，规则分析模块30可以再次分析规则的位置727并可以显示新的规则放置结果728，包括推荐规则放置位置。如图7k中所示，如果规则分析模块30确定不存在放置规则的理想位置，则规则分析模块30可以提供有关任何异常的分析729并可以提供关于如何解决这些异常730的指令或推荐。

图8示出了在本公开的一方面中基于异常的确定的示例性规则放置。例如，管理员12可以选择对新创建的规则801执行规则异常分析。规则分析模块30可以基于异常的确定生成提出的规则放置。在一个实例中，规则分析模块30可以建议新创建的规则801放置在规则1-12之后以避免遮蔽并放置在规则19-20之前以避免部分遮蔽。在这个实例中，新创建的规则801是分析更广泛范围的源地址(例如，10.0.0.1-10.0.0.5)和更广泛范围的目的地地址(例如，host_192.168.1.40和host_192.168.1.41)的更一般的规则。规则分析模块30可以确定新创建的规则801是否放置在1-12的指定规则之前，由于新创建的规则801在规则的列表中将总是先命中，指定规则1-12将从不会被使用。规则分析模块30还可以确定新创建的规则801是否放置在规则19-20之后，由于规则19-20与新创建的规则801重叠，新创建的规则801的一部分将不会被使用。因此，规则分析模块30可以建议新创建的规则801放置在规则1-12之后并放置在19-20之前。

图9是示出了示例性规则放置方法的流程图。规则放置方法900可以包括接收关于规则的配置信息(901)。例如，安全管理系统10可以呈现接口，通过该接口管理员12可以定义关于新规则的配置信息(例如，ip流量和/或高级安全动作参数)。管理员12然后可以选择是否对新创建的规则执行规则异常分析(902)。如果管理员12选择执行规则异常分析，则规则分析模块30可以基于异常的确定生成建议的规则放置(903)并且可以基于异常的确定生成异常报告(904)。如果管理员12选择居先(forego)规则异常分析，则规则分析模块30可以基于规则的配置信息生成建议的规则放置(905)。

图10是示出了另一示例性规则放置方法的流程图。除了以下描述的之外，图10的规则放置方法1000与图9的规则放置方法900类似。规则放置方法1000可以将新创建的规则放置在安全设备5的规则列表中的所建议的放置中(1001)。管理员12然后可以选择与所建议的规则放置位置不同的位置来放置新创建的规则(1002)。响应于改变新创建的规则的位置，规则分析模块30可以基于管理员12定义的规则的改变的有序列表执行第二规则异常分析(1003)。在执行第二分析之后，规则分析模块30可以基于改变的规则放置异常的确定生成第二建议规则放置(1004)并且可以基于改变的规则放置异常的确定生成异常报告(1005)。

图11示出了在本公开的一方面中通过安全管理系统10生成的示例性用户接口，通过该用户接口管理员12使得自动创建的安全策略能够部署和/或发布。如图2中所示，安全管理系统10可以包括候选策略数据库22和与安全管理系统10的威胁控制模块17和策略/规则模块20交互的提交策略数据库24。威胁控制模块17可以为管理员12呈现用户接口以选择是否更新1102(例如，部署)、发布1104(例如，存储以供进一步审查)、或保存1106自动创建的安全策略(单独地或者作为组)。在一个实例中，发布自动创建的安全策略的选择可以将安全策略存储在候选数据库22中以供进一步审查。安全策略的发布可以允许其他管理员12通过由安全管理系统10生成的用户接口审查在部署之前存储在候选策略数据库22中的自动创建的安全策略。在进一步审查之后，另一管理员12可以选择更新(例如，部署)发布的安全策略或者重新配置安全策略。

在一个实例中，更新安全策略的选择可以将自动创建的安全策略存储在提交策略数据库24中。管理员12可以选择更新由安全管理10生成的用户接口呈现的安全策略(如图11中所示)以将自动创建的安全策略诸如通过snmp或netconf协议推送至安全设备5。安全管理系统10可以包括在系统10的一个或多个处理器上执行的策略部署引擎26以将安全策略的更新的配置信息发送至安全设备5。

图11的接口还可以呈现由安全管理系统10生成的用户接口，通过该用户接口管理员12可以限定更新1102或发布1104自动创建的安全策略的具体日期1108或时间1110。例如，威胁控制模块17可以向管理员12呈现接口以计划在太平洋标准时间2015年9月27日上午5点15分进行更新。当选择更新1102策略时，安全管理系统10可以在太平洋标准时间2015年9月27日上午5点15分之前将这些更新的安全策略存储到候选策略数据库22。当在太平洋标准时间2015年九月27日上午5点15分策略更新至安全设备5时，安全管理系统10然后可以将更新的安全策略存储在提交策略数据库24中。安全管理系统10可以进一步利用策略部署引擎26将存储在提交策略数据库24中的更新的安全策略部署至安全设备5。在一个实例中，提交策略数据库24可以位于安全管理系统10中。在另一实例中，安全管理系统10可以与外部提交策略数据库24通信。

图12示出了由安全管理系统10生成的示例性用户接口，通过该用户接口管理员12可以浏览所发布的或更新的安全策略的作业状态。在一个实施方式中，安全管理系统10的威胁控制模块17可以呈现用户接口，通过该用户接口管理员12可以提供来自候选策略数据库22和/或提交策略数据库24的关于配置策略更新的阶段的信息，诸如，状态快照策略1201、发布策略1202、以及更新设备1203。由安全管理系统10生成的图12的接口可以进一步显示信息，包括作业类型1204、作业id1205、作业名1206、用户1207、作业状态1208、完成百分比1209、预定开始时间1210、实际开始时间1211、以及结束时间1212。在另一实例中，图12的接口还可以搜索设备发布细节1213，包括设备的名称、发布的状态、服务、和/或消息。

图13示出了在本公开的一方面中由安全管理系统10生成的示例性接口，通过该接口管理员12可以浏览威胁设备的源或目的地细节。在一个实例中，安全管理系统10的威胁控制模块17可以呈现用户接口，用户接口呈现包括源设备细节1301和目标设备细节1302的设备信息。用户接口可以呈现设备细节，包括设备ip、设备名称、组织名称、组织id、设备的物理地址(例如，街道地址、城市、州/省、邮政编码、国家)、注册日期、更新日期、以及有关设备更多信息的参考链接。

图14是示出了安全管理系统10的示例性操作的流程图。如图14中所示，安全设备5可以初步分析包流以识别应用和潜在的威胁数据(100)。安全设备5可以继续将潜在的威胁数据传送至安全管理系统10(102)。安全管理系统10可以从安全设备5接收传送的威胁数据并利用威胁数据聚合器14聚合所接收的数据(104)。安全管理系统10通过威胁控制模块17可以进一步构建并显示已由威胁数据聚合器14聚合并存储在威胁数据库16中的实时的或接近实时的威胁，其中，显示可以是在地图、图表、网格视图等中通过威胁控制模块17生成的可视化。安全管理系统10通过威胁控制模块17可以进一步从管理员12接收输入以配置包括规则的排序的策略(108)。例如，管理员12可以直接从实时或接近实时的威胁的显示和/或通过与威胁相关联的过滤事件数据的图形表示配置策略。当接收从管理员12输入的配置时，安全管理系统10可以使用策略/规则模块20自动生成新配置的或更新的包括有序规则的安全策略(110)。安全管理系统10可以进一步通过策略部署引擎26将所生成的或更新的策略部署至安全设备5(112)。安全设备5然后可以从安全管理系统10接收所部署的生成的安全策略(114)。安全设备5可以继续更新来自安全管理系统10的与所生成的安全策略有关的配置数据(116)。当利用安全策略更新配置数据时，安全设备5可以根据更新的安全策略处理流量(118)。

图15示出了可被配置为实现根据当前公开的一些实施方式的计算设备的详细实例。例如，设备1500可以是服务器、工作站、计算中心、服务器的集群或者能够执行本文中描述的技术的中央定位或者分布的计算环境的其他示例性实施方式。任意或全部设备可以例如实现本文中描述的用于安全管理系统的技术的部分。在该实例中，计算机1500包括可以整合到安全管理系统10中的基于硬件的处理器1510以执行程序指令或软件，使得计算机执行各种方法或任务，诸如，执行本文中描述的技术。

处理器1510可以是通用处理器、数字信号处理器(dsp)、专用集成电路(asic)中的核心处理器等。处理器1510经由总线1520耦合至存储器1530，存储器用于在计算机运行时存储信息，诸如，程序指令和其他数据。存储设备1540(诸如，硬盘驱动器、非易失性存储器、或其他非瞬时存储设备)存储信息，诸如，程序指令、多维数据的数据文件和缩减数据集合、以及其他信息。作为另一实例，计算机1550可以提供用于执行一个或多个虚拟机的操作环境，虚拟机进而提供用于实现本文中描述的技术的软件的执行环境。

计算机还包括各种输入输出元件1550，包括并行或串行端口、usb、火线或ieee1394、以太网、以及其他这样的端口以将计算机连接至外部设备(诸如，键盘、触摸屏、鼠标、指针等)。其他输入输出元件包括无线通信接口，诸如，蓝牙、wi-fi、和蜂窝数据网络。

计算机本身可以是传统的个人计算机、机架安装或商用计算机或服务器、或者任意其他类型的计算机化系统。另一实例中的计算机可以包括比以上列出的所有元件少的元件，诸如，瘦客户端或仅具有所示出元件中的一部分的移动设备。在另一实例中，计算机分布在多计算机系统中，诸如，很多计算机一起工作以提供各种功能的分布式服务器。

可以硬件、软件、固件、或者其任意组合实现此处描述的技术。描述为模块、单元或组件的各种特征可一起实施于集成式逻辑设备中或单独地实施为离散但可共同操作的逻辑设备或其他硬件设备。在一些情况下，电子电路的各种特征可以被实施为一个或多个集成电路器件，诸如，专用集成电路片或芯片组。

如果在硬件中实施，本公开可以涉及这样的处理器或者集成电路器件(诸如，集成电路片或芯片组)的设备。可替换地或此外，如果在软件或者固件中实施，至少部分地通过计算机可读数据存储介质可以实现本技术，计算机可读数据存储介质包括在被执行时使一个或多个处理器执行上述方法中的一个或多个的指令。例如，计算机可读数据存储介质或设备可以存储由处理器执行的这样的指令。可以利用一个或多个计算机可读介质的任意组合。

计算机可读存储介质(设备)可以构建计算机程序产品的部分，计算机程序产品可以包括封装材料。计算机可读存储介质(设备)可包括计算机数据存储介质，诸如，随机存取存储器(ram)、只读存储器(rom)、非易失性随机存取存储器(nvram)、电可擦除编程只读存储器(eeprom)、闪存、磁性或光数据存储介质等。通常，计算机可读存储介质可以是能够包含或存储用于指令执行系统、装置或设备或与指令执行系统、装置或设备结合使用的程序的任何有形介质。计算机可读介质的另外的实例包括计算机可读存储设备、计算机可读存储器、以及有形的计算机可读介质。在一些实例中，制造品可包括一个或多个计算机可读存储介质。

在一些实例中，计算机可读存储介质可包括非易失性介质。术语“非易失性”可指示存储介质不以载波或者传播信号实现。在某些实例中，非易失性存储介质可存储可随时间变化的数据(例如，在ram或缓存器中)。

代码或者指令可以是由处理电路执行的软件和/或固件，处理电路包括一个或多个处理器，诸如，一个或多个数字信号处理器(dsp)、通用型微处理器、专用集成电路(asic)、现场可编程门阵列(fpga)、或者其他等效集成或离散逻辑电路。因此，如在本文中使用的术语“处理器”可以参照适于实施本文中描述的技术的任何上述结构或者任何其他处理电路。此外，在某些方面，可以在软件模块或硬件模块内提供本公开中描述的功能。

除了以上以外或作为其的替代，描述以下实例。任何这里描述的其他实例可能利用在任何以下实例中描述的特征。

实施例1.一种方法，包括：

接收关于一个或多个规则的配置信息；在安全设备的规则列表中生成一个或多个规则的建议放置。

实施例2.根据实施例1所述的方法，其中，生成建议放置包括确定规则改变是否将会导致一个或多个异常。

实施例3.根据实施例2所述的方法，其中，异常包括遮蔽。

实施例4.根据实施例2所述的方法，其中，异常包括冗余。

实施例5.根据实施例2所述的方法，进一步包括基于异常的确定生成一个或多个规则的规则异常分析报告。

实施例6.根据实施例5所述的方法，进一步包括显示规则异常分析报告。

实施例7.根据实施例1所述的方法，其中，接收配置信息包括限定ip流量。

实施例8.根据实施例7所述的方法，其中，限定ip流量包括限定源区域、ip地址、或源用户标识中至少一个。

实施例9.根据实施例7所述的方法，其中，生成建议放置基于所限定的ip流量。

实施例10.根据实施例1所述的方法，其中，接收配置信息包括为一个或多个规则定义高级安全参数。

实施例11.根据实施例10所述的方法，其中，定义高级安全参数包括定义至少一个规则动作、高级安全、应用防火墙、ssl代理、入侵防御系统、统一威胁管理、或安全情报。

实施例12.根据实施例10所述的方法，其中生成建议放置基于所定义的高级安全参数。

实施例13.根据实施例1所述的方法，进一步包括对一个或多个规则的放置进行重新排序。

实施例14.根据实施例13所述的方法，其中生成建议放置基于规则的重新排序的放置。

实施例15.一种系统，包括：

一个或多个处理器；一个或多个计算机可读存储器；在一个或多个处理器上执行的威胁控制模块，其中，威胁控制模块显示对应于一个或多个威胁的一个或多个规则；以及在一个或多个处理器上执行的规则分析模块，其中，规则分析模块确定一个或多个规则在安全设备的规则列表中的最佳放置。

实施例16.根据实施例15所述的系统，其中，威胁控制模块进一步基于异常的确定显示一个或多个规则的一个或多个规则异常。

实施例17.根据实施例15所述的系统，其中，威胁控制模块进一步基于异常的确定显示一个或多个规则的最佳放置。

实施例18.根据实施例15所述的系统，其中，规则分析模块进一步基于异常的确定生成一个或多个规则的规则异常分析报告。

实施例19.根据实施例15所述的系统，其中，规则分析模块进一步基于所限定的ip流量确定一个或多个规则的最佳放置。

实施例20.根据实施例15所述的系统，其中，规则分析模块进一步基于高级安全参数确定一个或多个规则的最佳放置。

此外，可将在任何上述实例中阐述的任何特定特征组合在所描述的技术的有利实例中。也就是说，任何特定特征通常可适用于本发明的所有实例。已描述了技术各种实例。这些及其他实例在所附权利要求的范围内。