用于威胁检测的动态策略注入和访问可视化的制作方法
本申请要求2017年1月18日提交的标题为“accessvisualizationforthreatdetection”的美国临时申请no.62/447759和2016年9月16日提交的标题为“accessvisualizationforthreatdetection”的美国临时申请no.62/396016的优先权和权益,其全部内容通过引用并入本文以用于所有目的。
本公开一般而言涉及威胁检测,并且更具体而言,涉及用于使用动态策略分析安全事件并显示活跃威胁和用户活动的整合视图(包括由活跃威胁和用户活动触发的动态策略)的技术(例如,系统、方法、存储一个或多个处理器可执行的代码或指令的计算机程序产品)。
背景技术:
计算机网络已成为现代商业的重要工具。今天,全世界的用户在这样的网络上存储和访问大量信息。这些信息中的大部分在某种程度上是私密的或保密的,并且需要对于信息的保护。因此,毫不奇怪,已经开发了各种网络安全监视设备以帮助发现未经授权的人和/或设备尝试访问计算机网络和存储在其中的信息。
网络安全产品主要包括入侵检测系统(ids),其可以是基于网络或基于主机的(分别为nids和hids)。其它网络安全产品包括防火墙、路由器日志和各种其它事件报告设备。由于网络庞大,许多企业在其网络中部署了数百或数千个这样的产品。因此,网络安全人员受到表示可能的安全威胁的警报的狂轰乱炸。大多数企业没有资源或合格的人员去单独处理所有接收到的警报。
因此,期望用于分析安全事件和提供以最终用户易于理解的方式呈现实时数据分析的威胁可视化的技术。
技术实现要素:
由于静态安全规则无法匹配来自所包括的用户、应用和主机的进化的威胁,其中存在极大量的用户活动(每天有数十亿个事件),因此可以提供威胁情报平台。一些实施例可以提供提供实时威胁检测和分析的能力。某些实施例可以提供对用户、应用使用和性能的可见性。一些实施例可以提供充分利用现有访问控制的实时强制(enforcement)。某些实施例可以强制合规性并且阻挡用户访问未经批准的应用、基于策略对用户执行自适应授权和质疑、以及针对隐私和泄漏执行内容检查。某些实施例可以使用规则和分析来执行实时强制。一些实施例可以实时地收集、监视并且可视化和作用于非常大量的安全数据(即,每天数十亿个事件)
特别地,描述了用于控制对于在分布式环境中可访问的资源的访问的系统、方法和计算机可读存储器。描述了用于配备具有访问管理和威胁检测系统以及信息管理系统的身份管理解决方案的某些技术,其中访问管理和威胁检测系统以及信息管理系统被配置为动态地分析安全事件、控制对于在分布式环境中可访问的资源的访问、以及显示活跃威胁和用户活动的整合视图。在各种实施例中,系统和方法针对这样的网络体系架构:该网络体系架构包括创建动态策略(包括检查策略和强制策略)的能力和用于将动态策略注入和传送到多个强制实体的策略总线的概念以及实体动态地但可能以不同方式响应策略的能力。例如,在各种实施例中,提供了用于基于威胁检测的动态访问策略配备和强制、基于实时威胁模型的实时异常检测、基于检查策略递送的动态事件和数据收集以及基于威胁级别的动态访问策略分类的方法和系统。
在各种实施例中,提供了一种系统,该系统包括一个或多个处理器和非瞬态机器可读存储介质,包括用户设备、多个代理、收集总线、策略总线和具有资源的目标系统的分布式环境,以及收集与安全事件有关的数据的程序指令。该数据包括:(i)标识用户或用户设备的源,以及(ii)标识目标系统或资源的目的地,并且该数据由收集总线从多个代理中的至少一个收集。该系统还包括基于数据创建动态强制策略的程序指令。动态强制策略包括源、目的地、强制动作以及动态强制策略处于活跃的持续时间的规范。该系统还包括在策略总线上发布动态强制策略使得多个代理可以访问动态强制策略的程序指令。在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括源和目的地的规范的静态强制策略。程序指令被存储在非瞬态机器可读存储介质上以供一个或多个处理器执行。
在一些实施例中,该系统还包括基于动态强制策略实现对于安全事件的强制动作的程序指令。多个代理中的至少一个实现该强制动作。
在一些实施例中,持续时间是至少5分钟的预定时间段,动态强制策略在该预定时间段到期之后变为不活跃并从策略总线中移除,在该预定时间段期间静态强制策略不活跃,并且在该预定时间段到期之后静态强制策略是活跃的。
在一些实施例中,数据的收集由在策略总线上发布的检查策略触发,检查策略包括用于当用于安全事件的一组标准与预定义模式匹配时实时收集数据的规则,该数据是与安全事件有关的预定义的一组属性。
在一些实施例中,分布式环境还包括分析服务器和机器学习部件,并且检查策略和动态强制策略由分析服务器和机器学习部件创建。
在一些实施例中,系统还包括基于历史数据或者目标系统或资源的规范来创建检查策略的程序指令,以及在策略总线上发布检查策略使得多个代理可以访问检查策略的程序指令。
在一些实施例中,创建动态强制策略包括:将实时收集的数据和历史数据中分类成一个或多个数据聚类,使用一个或多个数据聚类分析预定义的一组属性,并基于分析创建源、目的地、强制动作和动态强制策略处于活跃的持续时间。
在一些实施例中,使用监督的或无监督的机器学习或聚类技术生成一个或多个数据聚类,分析包括计算预定义的一组属性距一个或多个数据聚类的质心的距离,并且强制动作是基于距离确定的。
在各种实施例中,提供了一种非瞬态机器可读存储介质,其上存储有指令,所述指令当由一个或多个处理器执行时使得一个或多个处理器执行包括收集与安全事件有关的数据的方法。该数据包括:(i)标识用户或用户设备的源,以及(ii)标识目标系统或资源的目的地,并且该数据由收集总线从多个代理中的至少一个收集。该方法还包括基于数据创建动态强制策略。动态强制策略包括源、目的地、强制动作以及动态强制策略处于活跃的持续时间的规范。该方法还包括在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。该方法还包括基于动态强制策略实现对于安全事件的强制动作,并且多个代理中的至少一个实现强制动作。在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括源和目的地的规范的静态强制策略。
在一些实施例中,持续时间是至少5分钟的预定时间段,动态强制策略在该预定时间段到期之后变为不活跃并从策略总线中移除,在该预定时间段期间静态强制策略不活跃,并且在该预定时间段到期之后静态强制策略是活跃的。
在一些实施例中,数据的收集由在策略总线上发布的检查策略触发,检查策略包括用于当用于安全事件的一组标准与预定义模式匹配时实时收集数据的规则,该数据是与安全事件有关的预定义的一组属性。
在一些实施例中,检查策略和动态强制策略由分析服务器和机器学习部件创建。
在一些实施例中,该方法还包括基于历史数据或者目标系统或资源的规范来创建检查策略,以及在策略总线上发布检查策略使得多个代理可以访问检查策略。
在一些实施例中,创建动态强制策略包括:将实时收集的数据和历史数据中分类成一个或多个数据聚类,使用一个或多个数据聚类分析预定义的一组属性,并基于分析创建源、目的地、强制动作和动态强制策略处于活跃的持续时间。
在一些实施例中,使用监督的或无监督的机器学习或聚类技术生成一个或多个数据聚类,分析包括计算预定义的一组属性距一个或多个数据聚类的质心的距离,并且强制动作是基于距离确定的。
在各种实施例中,提供了一种包括由计算系统收集与安全事件有关的数据的方法。该数据包括:(i)标识用户或用户设备的源,以及(ii)标识目标系统或资源的目的地,并且该数据由收集总线从多个代理中的至少一个收集。该方法还包括由计算系统基于数据创建动态强制策略。动态强制策略包括源、目的地、强制动作以及动态强制策略处于活跃的持续时间的规范。该方法还包括由计算系统在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。该方法还包括由计算系统基于动态强制策略实现对于安全事件的强制动作,并且多个代理中的至少一个实现强制动作。在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括源和目的地的规范的静态强制策略。
在一些实施例中,持续时间是至少5分钟的预定时间段,动态强制策略在该预定时间段到期之后变为不活跃并从策略总线中移除,在该预定时间段期间静态强制策略不活跃,并且在该预定时间段到期之后静态强制策略是活跃的。
在一些实施例中,数据的收集由在策略总线上发布的检查策略触发,并且检查策略包括用于当用于安全事件的一组标准与预定义模式匹配时实时收集数据的规则,该数据是与安全事件有关的预定义的一组属性。
在一些实施例中,该方法还包括由计算系统基于历史数据或者目标系统或资源的规范来创建检查策略,以及在策略总线上发布检查策略使得多个代理可以访问检查策略。
在一些实施例中,创建动态强制策略包括:将实时收集的数据和历史数据中分类成一个或多个数据聚类,使用一个或多个数据聚类分析预定义的一组属性,并基于分析创建源、目的地、强制动作和动态强制策略处于活跃的持续时间。
在各种实施例中,系统和方法针对提供活跃威胁类别、针对每个威胁类别被触发的策略的计数以及相关联的趋势的整合视图。在某些实施例中,提供了一种系统,该系统包括一个或多个处理器和非瞬态机器可读存储介质,以及监视一个或多个实况信息流(liveinformationflow)的程序指令。实况信息流包括从多个源到多个目的地的数据流。该系统还包括提供包括多个桶的用户界面的程序指令。每个桶与不同的强制动作相关联,并且每个桶显示当前被实时触发的包括相关联的强制动作的强制策略的总数。该系统还包括基于强制策略的触发来确定一个或多个实况信息流内安全事件的发生的程序指令。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。该系统还包括通过以下操作更新用户界面以反映安全事件的发生的程序指令:(i)从多个桶中识别与由强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。程序指令被存储在非瞬态机器可读存储介质上以供一个或多个处理器执行。
在一些实施例中,该系统还包括基于安全事件的发生来更新识别出的桶的趋势指示符的程序指令,其中更新趋势指示符包括在识别出的桶内显示向上箭头。
在一些实施例中,增加强制策略的总数包括将强制策略的总数的计数n增加到计数n+1。
在一些实施例中,系统还包括接收与从多个桶中选择桶对应的用户输入的程序指令,以及在用户界面内显示包括与所选择的桶对应的多个源和多个目的地的实况信息流的程序指令。
在一些实施例中,系统还包括在用户界面内以标签云显示多个源的程序指令。标签云基于每个源的活跃度成比例地示出了与所选择的桶对应的多个源。
在一些实施例中,系统还包括接收基于数据创建动态强制策略的请求的程序指令。动态强制策略包括源、目标、强制动作以及动态强制策略处于活跃的持续时间的规范。
在一些实施例中,系统还包括在策略总线上发布动态强制策略使得多个代理可以访问动态强制策略的程序指令。系统还包括基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作的程序指令,并且多个代理中的至少一个实现强制动作。系统还包括通过以下操作更新用户界面以反映对于该另一个安全事件的安全事件的实现的程序指令:(i)从多个桶中识别与由动态强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。
在一些实施例中,在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括在动态强制策略内提供的相同源和相同目的地的规范的静态强制策略。
在各种实施例中,提供了一种非瞬态机器可读存储介质,其上存储有指令,所述指令当由一个或多个处理器执行时使得一个或多个处理器执行包括监视一个或多个实况信息流的方法。实况信息流包括从多个源到多个目的地的数据流。该方法还包括提供包括多个桶的用户界面。每个桶与不同的强制动作相关联,并且每个桶显示当前被实时触发的包括相关联的强制动作的强制策略的总数。该方法还包括提供包括多个桶的用户界面。每个桶与不同的强制动作相关联,并且每个桶显示当前被实时触发的包括相关联强制动作的强制策略的总数。该方法还包括基于强制策略的触发来确定一个或多个实况信息流内安全事件的发生。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制被触发并且强制动作被应用。该方法还包括通过以下操作更新用户界面以反映安全事件的发生:(i)从多个桶中识别与由强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。
在一些实施例中,该方法还包括:接收与从多个桶中选择桶对应的用户输入,以及在用户界面内显示包括与所选择的桶对应的多个源和多个目的地的实况信息流。
在一些实施例中,该方法还包括在用户界面内以标签云显示多个源,其中标签云基于每个源的活跃度成比例地示出了与所选择的桶对应的多个源。
在一些实施例中,该方法还包括接收基于数据创建动态强制策略的请求,其中动态强制策略包括源、目的地、强制动作以及动态强制策略处于活跃的持续时间的规范。该方法还包括在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。该方法还包括基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作,并且多个代理中的至少一个实现强制动作。该方法还包括通过以下操作更新用户界面以反映对于该另一个安全事件的安全事件的实现:(i)从多个桶中识别与由动态强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。
在一些实施例中,在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括在动态强制策略内提供的相同源和相同目的地的规范的静态强制策略。
在一些实施例中,持续时间是至少5分钟的预定时间段,动态强制策略在该预定时间段到期之后变为不活跃并从策略总线中移除,在该预定时间段期间静态强制策略不活跃,并且在该预定时间段到期之后静态强制策略是活跃的。
在各种实施例中,提供了一种用于包括由计算系统监视一个或多个实况信息流的方法。实况信息流包括从多个源到多个目的地的数据流。该方法还包括由计算系统提供包括多个桶的用户界面。每个桶与不同的强制动作相关联,并且每个桶显示当前被实时触发的包括相关联的强制动作的强制策略的总数。该方法还包括由计算系统基于强制策略的触发来确定一个或多个实况信息流内安全事件的发生。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据匹配至少强制策略的源和目的地时,强制策略被触发并且强制动作被应用。该方法还包括由计算系统通过以下操作更新用户界面以反映安全事件的发生:(i)从多个桶中识别与由强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。
在一些实施例中,该方法还包括由计算系统接收与从多个桶中选择桶对应的用户输入,并且由计算系统在用户界面内显示包括与所选择的桶对应的多个源和多个目的地的实况信息流。
在一些实施例中,该方法还包括由计算系统接收与从多个源中选择特定源对应的用户输入,并且由计算系统显示在该特定源处开始的实况信息流。
在一些实施例中,该方法还包括由计算系统接收与从多个目的地中选择特定目的地对应的用户输入,并且由计算系统显示在该特定目的地处结束的实况信息流。
在一些实施例中,该方法还包括由计算系统在用户界面内显示包括多个源和多个目的地的实况信息流,并基于从多个源流向多个目的地的数据量提供一组顶端(top)源的指示。
在一些实施例中,该方法还包括由计算系统在用户界面内显示包括多个源和多个目的地的实况信息流,并基于从多个源流向多个目的地的数据量提供一组顶端目的地的指示。
在一些实施例中,该方法还包括由计算系统在用户界面内显示包括多个源和多个目的地的实况信息流,并基于从多个源流向多个目的地的数据量和在策略总线上发布的活跃强制策略的集合提供一组顶端强制策略的指示。
在各种实施例中,系统和方法针对提供用户、由用户访问的应用以及由这些访问暗示的访问策略(如果有的话)的整合视图。在某些实施例中,提供了一种系统,该系统包括一个或多个处理器和非瞬态机器可读存储介质,以及监视实况信息流的程序指令。实况信息流包括从源到目的地的数据流。该系统还包括提供包括经由线连接的源和目的地的用户界面的程序指令,以及基于强制策略的触发来确定实况信息流内安全事件的发生的程序指令。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。该系统还包括通过以下操作更新用户界面以反映安全事件的发生的程序指令:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略指示符的、连接源和目的地的线。程序指令被存储在非瞬态机器可读存储介质上以供一个或多个处理器执行。
在一些实施例中,源被显示在用户界面的窗口的一侧,目的地被显示在窗口的与具有源的一侧相对的一侧,并且强制策略的指示符被显示在源和目的地之间的线上。
在一些实施例中,系统还包括监视一个或多个实况信息流的程序指令。实况信息流包括:(i)从多个源到多个目的地的数据流,以及(ii)由数据触发的一个或多个强制策略,并且用户界面还包括:(i)将来自多个源的每个源与来自多个目的地的对应目的地连接起来的一条或多条线,以及(ii)用于由在每个源和每个目的地之间流动的数据触发的强制策略的每条线上的指示符。
在一些实施例中,系统还包括:接收与从多个源中选择特定源对应的用户输入的程序指令;以及显示包括由实况信息流内的数据触发的一个或多个强制策略的在该特定源处开始的实况信息流的程序指令。
在一些实施例中,系统还包括接收与从多个目的地中选择特定目的地对应的用户输入的程序指令,以及显示包括由实况信息流内的数据触发的一个或多个强制策略的在该特定目的地处结束的实况信息流的程序指令。
在一些实施例中,系统还包括接收基于数据创建动态强制策略的请求的程序指令。动态强制策略包括源、目的地、强制动作和动态强制策略处于活跃的持续时间的规范。系统还包括在策略总线上发布动态强制策略使得多个代理可以访问动态强制策略的程序指令。系统还包括基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作的程序指令,并且多个代理中的至少一个实现强制动作。系统还包括通过以下操作更新用户界面以反映针对该另一个安全事件的强制动作的实现的程序指令:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略指示符的、连接源和目的地的线。
在一些实施例中,在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括在动态强制策略内提供的相同源和相同目的地的规范的静态强制策略。
在各种实施例中,提供了一种非瞬态机器可读存储介质,其上存储有指令,所述指令当由一个或多个处理器执行时使得一个或多个处理器执行包括监视实况信息流的方法。实况信息流包括从源到目的地的数据流。该方法还包括提供包括经由线连接的源和目的地的用户界面,并且基于强制策略的触发来确定实况信息流内安全事件的发生。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。该方法还包括通过以下操作更新用户界面以反映安全事件的发生:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略的指示符的、连接源和目的地的线。
在一些实施例中,源被显示在用户界面的窗口的一侧,目的地被显示在窗口的与具有源的一侧相对的一侧,并且强制策略的指示符显示在源和目的地之间的线上。
在一些实施例中,方法还包括监视一个或多个实况信息流。实况信息流包括:(i)从多个源到多个目的地的数据流,以及(ii)由数据触发的一个或多个强制策略,并且用户界面还包括:(i)将来自多个源的每个源与来自多个目的地的对应目的地连接起来的一条或多条线,以及(ii)用于由在每个源和每个目的地之间流动的数据触发的强制策略的每条线上的指示符。
在一些实施例中,该方法还包括:接收与从多个源中选择特定源对应的用户输入,以及显示在特定源开始的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。
在一些实施例中,该方法还包括:接收与从多个目的地中选择特定目的地对应的用户输入,以及显示在该特定目的地处结束的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。
在一些实施例中,该方法还包括:接收基于数据创建动态强制策略的请求。动态强制策略包括源、目的地、强制动作和动态强制策略处于活跃的持续时间的规范。该方法还包括在策略总线上发布动态强制策略使得多个代理可以访问动态强制策略。该方法还包括基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作,并且多个代理中的至少一个实现强制动作。该方法还包括通过以下操作更新用户界面以反映对于该另一个安全事件的强制动作的实现:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略的指示符的、连接源和目的地的线。
在一些实施例中,在动态强制策略处于活跃的持续时间期间,动态强制策略覆写包括在动态强制策略内提供的相同源和相同目的地的规范的静态强制策略。
在各种实施例中,提供了一种方法,该方法包括由计算系统监视实况信息流。实况信息流包括从源到目的地的数据流。该方法还包括由计算系统提供包括经由线连接的源和目的地的用户界面,并且由计算系统基于强制策略的触发来确定实况信息流内安全事件的发生。强制策略包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。该方法还包括由计算系统通过以下操作更新用户界面以反映安全事件的发生:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略的指示符的、连接源和目的地的线。
在一些实施例中,源被显示在用户界面的窗口的一侧,目的地被显示在窗口的与具有源的一侧相对的一侧,并且强制策略的指示符被显示在源和目的地之间的线上。
在一些实施例中,该方法还包括由计算系统监视一个或多个实况信息流。实况信息流包括:(i)从多个源到多个目的地的数据流,以及(ii)由数据触发的一个或多个强制策略。用户界面还包括:(i)将来自多个源的每个源与来自多个目的地的对应目的地连接起来的一条或多条线,以及(ii)用于由在每个源和每个目的地之间流动的数据触发的强制策略的每条线上的指示符。
在一些实施例中,该方法还包括由计算系统接收与从多个源中选择特定源对应的用户输入,并且由计算系统显示在特定源开始的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。
在一些实施例中,该方法还包括由计算系统接收与从多个目的地中选择特定目的地对应的用户输入,并且由计算系统显示在该特定目的地处结束的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。
在一些实施例中,该方法还包括由计算系统接收基于数据创建动态强制策略的请求。动态强制策略包括源、目的地、强制动作和动态强制策略处于活跃的持续时间的规范。该方法还包括由计算系统在策略总线上发布动态强制策略使得多个代理可以访问动态强制策略。该方法还包括由计算系统基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作,并且多个代理中的至少一个实现强制动作。该方法还包括由计算系统通过以下操作更新用户界面以反映对于该另一个安全事件的强制动作的实现:(i)识别强制策略的指示符,以及(ii)显示穿过强制策略的指示符的、连接源和目的地的线。
附图说明
图1描绘了例示根据一些实施例的高级威胁情报平台的简化框图。
图2描绘了例示根据一些实施例的信息管理系统的详细体系架构的简化框图。
图3描绘了例示根据一些实施例的威胁可视化系统的一些功能部件的简化框图。
图4a和4b描绘了根据一些实施例的用于显示活跃威胁类别的用户界面(ui)。
图5-11描绘了根据一些实施例的用于显示活跃威胁类别的附加ui。
图12a和12b描绘了根据一些实施例的用于使管理员能够创建一个或多个策略的ui。
图13-16描绘了根据一些实施例的用于显示活跃威胁类别的附加ui。
图17描绘了根据一些实施例的用于基于策略被触发而显示活跃威胁的ui。
图18描绘了根据一些实施例的用于显示各种源的踪迹活跃度的ui。
图19描绘了例示根据一些实施例的用于在分布式环境中在策略总线上发布动态强制策略的处理的流程图。
图20描绘了例示根据一些实施例的用于提供活跃威胁类别、针对每个威胁类别被触发的策略的计数以及相关联的趋势的的整合视图的处理的流程图。
图21描绘了例示用于提供用户、用户正在访问的应用以及这些访问暗示的访问策略(如果有的话)的整合视图的处理的流程图。
图22描绘了可以用于实现本公开的一些实施例的分布式系统的简化框图。
图23描绘了根据一些实施例的系统环境的一个或多个部件的简化框图,在该系统环境中可以将服务作为云服务提供。
图24描绘了可以用于实现本公开的一些实施例的示例性计算机系统。
具体实施方式
i.介绍
以下公开描述了可以提供实时威胁检测和分析的威胁情报平台。在各种实施例中,可以提供一种系统,包括:处理器;以及存储一组指令的存储器,这组指令当由处理器执行时将处理器配置为:从代理接收安全事件,该安全事件至少包括目的地和源;当安全事件与策略对应时,触发策略,其中策略包括源、目的地和强制动作的规范;基于策略实现对于安全事件的强制动作;以及更新用户界面以通过被触发的策略链接安全事件的源和目的地。但是,实体(例如,公司、国家)可能具有成千上万或数十万的雇员以及其他个体(例如,用户、顾问、客人),这些雇员和其他个体通过该实体的网络不断访问各种服务(例如,源)从而生成安全事件。当人们试图获得对于各种服务的访问时,可能存在各种访问违规、密码错误等需要监视的情况。目前,对于被危及的用户、被危及的应用和被危及的主机,安全策略内的静态安全规则不能匹配进化的威胁。由于存在极大量的用户活动(例如,每天数十亿个事件),因此利用用户界面的手动或本地分析成本过高。而且,难以对大量用户进行高度准确的从而能够防止那些未授权用户获得对服务的访问的自动模式检测。
为了解决这些问题,各种实施例提供了用于使用动态策略分析安全事件并显示活跃威胁和用户活动的整合视图(包括由活跃威胁和用户活动触发的动态策略)的技术(例如,系统、方法、存储可由一个或多个处理器执行的代码或指令的计算机程序产品)。一些实施例可以跟踪用户访问并实时收集信息以识别模式、产生分析并相应地采取校正动作。通过实时或近乎实时地收集数据,可以立即应用基于数据确定的校正动作。例如,当用户针对应用进行认证时,在需要采取(一个或多个)动作以防止未授权用户获得对内容的访问之前将只有短的时间段(例如,毫秒)。在附加或替代实施例中,通过实时或近乎实时地收集数据并保持这种数据的历史,即使在用户已通过认证之后,也可以应用基于实时数据和历史数据确定的校正动作以防止未授权用户获得访问,并将用户赶出网络。
一些实施例提供了对于用户的身份、资源使用模式和性能特点的可见性。在某些实施例中,所述技术可以提供充分利用某些访问控制的实时强制。例如,某些实施例可以强制合规性或阻挡用户访问未经批准的应用、执行自适应授权、基于策略质疑用户,以及针对隐私和泄漏执行内容检查。某些实施例可以使用动态规则和分析来提供实时强制。一些实施例可以提供以最终用户易于理解的方式呈现实时数据分析的威胁可视化。通过消化大量数据并以有意义的方式实时呈现经分析的数据,最终用户可以识别可采取动作的项并确保某些策略被强制执行,同时还确保适当的策略被更新。
在一个示例中,当用户在登录页面中、输入用户名和密码并提交那些用户凭证时,用户凭证被实时或近乎实时地发送到数据收集总线。在一些情况下,取决于调谐参数集(例如,收集总线是否位于云中,等等),可以以低于每秒或30毫秒的频率收集和并发送数据。除了网络等待时间(例如,当代理在收集信息的主机上而数据收集器总线在不同的机器上,诸如在云中时),数据的运输几乎没有延迟(即,近乎实时)。尽管如此,当用户输入凭证时,系统还是可以确定这些凭证是否通常来自特定服务器并且如果存在可疑的活动,则确定可能需要向用户呈现附加的质疑。到用户访问页面时,如果系统确定虽然凭证通过验证但是不应当授权该用户,那么系统将使用户无法访问该页面。
在一些实施例中,在用户登录账户之后,web代理服务器(webproxy)可以持续地监视和了解用户活动和行为,并触发异常(从而使得向用户呈现附加的质疑)。例如,用户可能尝试转移一大笔钱。这个动作可以触发系统向用户呈现附加的质疑。在某些实施例中,代理服务器可以提供另一个信息源(例如,流量流),并且实时馈送和分析所收集的数据。当用户正在访问受保护的应用或不受代理保护的云应用时,代理服务器可以确定用户的活动,例如,用户将去某个网站下载信息。代理服务器可以监视用户活动,并提供由于所收集的数据而将用户列入黑名单的信息。另外,代理服务器可以提供历史信息,使得当用户访问新站点时,在向用户授予访问权时可以考虑与用户有关的历史信息。
一些实施例可以在实时数据变得可用时将其馈送到实时可视化服务器,并且实时地将分析呈现给客户。由于数据被实时提供给客户,因此可以快速确定动作并响应那些实时分析。一些实施例可以存储数据并使用存储的数据或历史数据来提出可以实时应用的附加规则和策略。通过挖掘历史数据,某些实施例可以基于历史数据产生强制策略。某些实施例可以使用历史数据和实时计算的分析这两者并相应地触发异常。有利地,这些方法能够实时地收集、监视、可视化非常大量的安全数据(即,数十亿的流传输事件)并对其采取行动。
ii.用于威胁检测的系统体系架构
图1描绘了根据本公开的至少一个实施例的用于基于检测来自用户的异常访问请求而实时地检测威胁的系统100的各个方面。在一些实施例中,系统100包括在分布式环境中经由网络120通信连接到用户设备115的访问管理和威胁检测系统105以及信息管理系统110。访问管理和威胁检测系统105以及信息管理系统110是身份访问管理器的一部分。作为身份访问管理器的一部分,存在不同类型的代理,并且代理保护对于web服务器或应用的访问。例如,当用户尝试访问电子邮件服务器或文档服务器时,可以存在与服务器(例如,oracleaccessmanager(oam服务器))通信的保护代理。代理将验证用户是否可以访问这个服务器,例如,通过验证与id相关联的凭据。某些实施例可以具有增强的代理和访问管理器服务器,使得当用户请求数据时,关于谁正在访问什么的信息被实时地发出到信息管理系统110的数据收集引擎。
网络120可以促进用户设备115、访问管理和威胁检测系统105以及信息管理系统110之间的数据通信和交换。网络120可以是本领域技术人员熟悉的、可以使用各种商业上可用的协议中的任何一种支持数据通信的任何类型的网络,其中协议包括但不限于tcp/ip、sna、ipx、appletalk等。仅作为示例,网络115可以是诸如以太网、令牌环网等之类的局域网(lan)、广域网、包括但不限于虚拟专用网络(vpn)的虚拟网络、互联网、内联网、外联网、公共交换电话网(pstn)、红外网络、无线网络(例如,在任何ieee802.1x协议组下工作的网络、本领域已知的蓝牙协议,和/或任何其它无线协议),和/或这些网络和/或其它网络的任意组合。
用户设备110可以是通用个人计算机(举例来说,包括运行各种版本的microsoftwindows和/或applemacintosh操作系统的个人计算机和/或膝上型计算机)、蜂窝电话或pda(运行诸如microsoftwindowsmobile之类的软件,并且支持internet、电子邮件、sms、blackberry或其它通信协议)、运行各种商用unix或类unix操作系统(包括但不限于各种gnu/linux操作系统)中的任何一种的工作站计算机,或任何其它计算设备。例如,用户设备110可以是能够通过网络(例如,网络115)进行通信的任何其它电子设备,诸如瘦客户端计算机、支持互联网的游戏系统和/或个人消息传递设备。虽然示出了具有一个用户设备的示例性系统环境100,但是在其它实施例中,可以支持任何数量的用户和/或客户端计算设备。
访问管理和威胁检测系统105可以包括一个或多个计算机和/或服务器,其可以是通用计算机、专用服务器计算机(举例来说,包括pc服务器、unix服务器、中档服务器、大型计算机、机架式服务器等)、服务器场、服务器集群,或任何其它适当的布置和/或组合。组成访问管理和威胁检测系统105的计算设备可以运行任何操作系统或各种附加服务器应用和/或中间层应用,包括http服务器、ftp服务器、cgi服务器、java服务器、数据库服务器等。示例性数据库服务器包括但不限于在市场上可从oracle、microsoft、sybase、ibm等获得的数据库服务器。
在各种实施例中,访问管理和威胁检测系统105可以包括可操作为保护由组织的一个或多个目标系统130提供的资源125的一个或多个部件。在一些实施例中,“目标系统”可以指提供或包括一个或多个资源的任何系统。由目标系统130本地或远程地提供对其的访问的资源125可以是各种类型,包括软件产品、应用(例如,基于云的应用、企业应用,或任何其它应用)、云服务、各种类型的数据(例如,联网的文件、目录信息、数据库等)以及其它资源。目标系统130可以包括一个或多个数据库、轻量级目录访问协议(ldap)服务器、activedirectory(ad)系统、电子邮件系统、unix系统等。例如,目标系统130可以是提供对活跃目录服务的访问以访问activedirectory服务器的activedirectory(ad)系统。在一些示例中,目标系统130可以是提供对会议室的访问(诸如使用徽章访问会议室)的计算系统。在一些实施例中,目标系统130也可以被称为应用实例。
在某些实施例中,可以使用目标系统130中的各种类型的账户来控制对于由目标系统130提供的资源125的访问。可以基于由目标系统130提供的资源125在目标系统130中配备账户。账户可以具有各种类型,诸如用户账户、管理账户、应用账户等,每个账户类型提供对由目标系统130提供的一个或多个资源125的特定级别的访问。可以在目标系统130中提供分开的账户(例如,用户账户、管理账户和/或应用账户),以使用户能够访问或以其它方式登录到目标系统130。可以基于用户或用户组的身份为用户或用户组(例如,组织)创建或配备账户。可以向用户或用户组提供特定账户类型以访问特定资源类型。例如,提供给用户的exchange服务器上的电子邮件账户可以是资源类型为exchange的账户。可以给予用户多个账户,每个账户与针对资源类型的账户类型对应。例如,用户可以具有两个不同的账户,用于登录到目标系统130以执行不同类型的操作。例如,目标系统130可以托管电子邮件交换服务器并提供电子邮件账户类型。同一目标系统130还可以托管人力资源(hr)系统并提供hr管理员账户类型,用于执行与hr系统相关的管理功能。特定用户可以在目标系统130上具有电子邮件账户并且还在目标系统130上具有hr管理账户。当使用电子邮件账户登录时,用户可以访问电子邮件。当使用hr管理账户登录时,用户可以执行与管理组织中的资源相关的管理任务。
根据至少一些实施例,用户设备115上的用户可以与目标系统130通信以通过访问用户设备115上的基于web的请求用户界面(ui)来请求资源125(例如,电子邮件应用)。例如,请求ui可以包括经由用户设备115上的客户端应用(例如,浏览器)可查看的图形用户界面。当用户希望访问目标系统130上的资源或者试图对目标系统130上的资源执行操作时,访问管理和威胁检测系统105可以拦截来自用户的访问请求,并试图首先认证/授权用户。例如,访问管理和威胁检测系统105可以向用户提供登录页面以获得用户的凭证(例如,登录标识符和密码)。然后,访问管理和威胁检测系统105可以被配置为基于用户的登录凭证来确定用户是否是授权用户。访问管理和威胁检测系统105可以被配置为经由各种通道(http、oap)从用户接收对于各种事件/操作(例如,authn、authz、策略检查、步进authn、sso、令牌发行)的各种类型的访问请求(诸如web请求、sdk请求、编程请求等)。
在各种实施例中,访问管理和威胁检测系统105包括一个或多个代理135、一个或多个代理服务器140(例如,前向或反向代理服务器)、一个或多个访问管理器145和/或一个或多个webgate150。访问管理和威胁检测系统105可以根据代理-服务器模型在系统100中实现,用于启用用户设备115和目标系统130(例如,分布式环境服务器)之间的通信,以通过资源125提供访问控制功能。代理-服务器模型可以包括代理部件(例如,一个或多个代理135、一个或多个代理服务器140,和/或一个或多个也称为单点登录代理或策略强制代理的webgate150)和服务器部件(例如,一个或多个也称为单点登录服务器或策略服务器的访问管理器145)。例如,一个或多个访问管理器145可以充当用于控制对资源125的访问的决定部件,并且一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150可以实现或操作为用于控制对资源125的访问的强制部件。在一些实施例中,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150可以与资源125一起作为插件或作为资源125的一部分部署,或者一个或多个代理135、一个或多个代理服务器140或一个或多个webgate150可以与资源125分开配备,例如,在资源125前面的web服务器上运行。可以将一个或多个访问管理器145部署为身份访问管理器的一部分。
访问管理和威胁检测系统105在分布式环境内启用sso功能,并且可以执行各种与访问控制相关的功能,以便管理对于分布式环境内的资源的访问。例如,一个或多个代理135、一个或多个代理服务器140、一个或多个访问管理器145和/或一个或多个webgate150可以执行操作用户设备115的用户的认证。认证是用户被核实以确定他/她是他/她所声称的人的处理。为了验证用户,访问管理和威胁检测系统105可以以质疑的形式(例如,经由用户的web浏览器)向用户呈现对于认证凭证的请求。强制策略(例如,认证策略)可以指定用于认证必须在给定资源上为其提供访问的用户的认证方法。策略定义资源访问受保护的方式(例如,加密的类型等)。一个或多个访问管理器145可以确定用户访问资源125的授权。授权是确定用户是否有权访问所请求的资源的处理。可以定义强制策略(例如,授权策略),这些强制策略指定用户或用户组可以访问资源的条件。例如,管理员可以仅授权组内的某些用户访问特定资源。
一个或多个代理135可以是充当资源请求的过滤器的策略强制代理。一个或多个代理135可以拦截资源请求并应用静态和动态强制策略以确定所请求的资源是否受到访问管理和威胁检测系统105的保护。如果是,那么可以将资源请求转发到一个或多个访问管理器145以确定请求受保护资源的用户是否可以访问该受保护资源。在某些实施例中,一个或多个webgate150(由oracleinternationalcorporation开发的开箱即用解决方案)可以用作代理,从而它可以过滤资源请求。应当注意的是,根据一些实施例,一个或多个代理135和一个或多个webgate150可以是硬件结构或硬件和软件实现的组合。
一个或多个代理服务器140可以是充当资源请求的过滤器的策略强制代理。例如,一个或多个代理服务器140可以是处置对于资源的用户认证的认证代理服务器。认证代理服务器可以由web应用或资源调用(例如,实例化)以提供认证能力。在一些实施例中,认证代理服务器可以包括高级别的api,该api集成了一个或多个低级别的认证方案以允许独立于基础认证方案来设计和编写依赖认证的程序。一个或多个代理服务器140可以拦截资源请求并应用静态和动态强制策略,以确定所请求的资源是否受到访问管理和威胁检测系统105的保护。如果是,那么可以将资源请求转发到一个或多个访问管理器145,以确定请求受保护资源的客户端是否可以访问受保护资源。这种认证代理服务器的示例是linux系统中使用的可插式认证模块(pam)。应当注意的是,根据一些实施例,一个或多个代理服务器140可以是硬件结构或硬件和软件实现的组合。
一个或多个访问管理器145可以具有用于认证和/或授权处理的多个部件。此外,一个或多个访问管理器145可以包括一个或多个认证方案。认证方案可以被配置为使用一个或多个访问策略(例如,如本文讨论的静态和动态强制策略)来保护资源。认证方案可以包括关于凭证收集机制的细节和用于收集凭证的凭证收集器的类型。例如,通过使用正在处理来自远程用户的http(s)请求的http(s)传输信道,可以发生凭证收集。在某些实施例中,认证方案可以识别重定向url(统一资源定位符),其用于向用户设备115通知认证和/或授权处理的成功或失败。此外,认证方案可以识别指示信任级别的认证级别,以保护凭证从用户设备115的传输。例如,ldap(轻量级目录访问协议)方案可以处于认证级别2,其中ldap认证模块基于表单质疑方法保护与manager相关的资源,例如url。在表单质疑方法(formchallengemethod)中,具有一个或多个文本输入字段的html表单可以用于搜集凭证信息。在一些实施例中,基于表单的质疑可以收集诸如用户名和密码、社保号码、出生日期、一次性密码或其它常见参数的组合之类的凭证。
图1还例示了在实现访问管理和威胁检测系统105的分布式环境内被管理的sso会话的示例,访问管理和威胁检测系统105包括一个或多个代理135、一个或多个代理服务器140、一个或多个访问管理器145和/或一个或多个webgate150。例如,用户可以操作用户设备115以请求对于由目标系统130控制的资源125的访问。该请求可以被路由到一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150或者被它们拦截,这控制了对于资源125的访问。在一些实施例中,由一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150管理的一些资源可能不受保护,在这种情况下,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150可以查询一个或多个访问管理器145以确定所请求的资源是否受保护。一个或多个访问管理器145核查用于资源125的相关强制策略,以确定是否需要认证来访问资源125。如果所请求的资源125受保护并且使用需要认证,则一个或多个访问管理器145可以确定是否存在用户的任何会话。在确定没有为用户建立会话后,用户可以被一个或多个访问管理器145转到身份访问管理器的登录服务(例如,认证服务)。认证服务可以从用户请求认证凭证(例如,用户名/密码等)。认证服务可以在接收到适当的认证凭证后通过对照存储在用户目录或身份库中的凭证验证凭证来认证用户。
基于接收到用户的适当的认证凭证,一个或多个访问管理器145可以将用户转回一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150可以核查认证,并在用户认证后为用户建立第一会话。结果,用户登录到针对该会话的目标系统130(例如,分布式环境服务器)。一旦登录,用户就可以访问用户有权访问的资源,诸如运行不同的应用、访问云存储等。一旦用户登录到目标系统130,一个或多个访问管理器145就可以创建跟踪用户的会话活动的cookie。cookie可以包括用户在会话上处于活跃的时间长度。cookie可以作为会话活跃数据存储在信息管理系统110内。
在确定用户针对sso会话通过认证后,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150可以通过将授权查询指向一个或多个访问管理器145来处理对于资源125的原始请求。一个或多个访问管理器145核查用于资源125的相关强制策略,以确定用户是否有权访问资源125。基于强制策略,一个或多个访问管理器145用允许或拒绝消息对一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150做出响应。在确定用户被允许访问资源125后,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150允许来自用户设备115的访问资源125的请求通过并且用户可以经由用户设备115访问目标系统130上的资源125。在确定用户被拒绝访问资源125后,一个或多个代理135、一个或多个代理服务器140和/或一个或多个webgate150向用户设备115通知用户不允许访问资源125。
信息管理系统110可以包括一个或多个计算机和/或服务器,其可以是通用计算机、专用服务器计算机(举例来说,包括pc服务器、unix服务器、中档服务器、大型计算机、机架式服务器等)、服务器场、服务器集群、或任何其它适当的布置和/或组合。组成信息管理系统110的计算设备可以运行任何操作系统或各种附加的服务器应用和/或中间层应用,包括http服务器、ftp服务器、cgi服务器、java服务器、数据库服务器等。示例性数据库服务器包括但不限于在市场上可从oracle、microsoft、sybase、ibm等获得的数据库服务器。
在各种实施例中,信息管理系统110负责支持访问管理和威胁检测系统105以保护和授权用户对于资源125的访问。信息管理系统110可以被配置为获得与用户的访问请求相关联的附加信息,以便认证/授权用户对于目标系统130的访问。这个信息可以包括例如请求所源自的客户端ip地址、设备信息、用户信息、被请求的资源、请求的时间等。信息管理系统110还可以被配置为分析信息,以创建并发布覆写静态策略长达预定时间段的新策略(例如,动态检查和强制策略)。在一些实施例中,当实时数据变得可用时,它作为系统威胁分析的一部分被可视地呈现给客户。当数据被实时提供给客户时,可以快速确定动作并对那些实时威胁分析做出响应。各种实施例可以存储数据并使用存储的数据(即,历史数据)来生成可以实时地应用的附加规则或策略。通过挖掘历史数据,某些实施例可以基于历史数据产生动态检查和强制策略。在其它实施例中,历史数据和来自实时计算的被分析的信息的分析都用于产生动态检查和强制策略。
图2描绘了信息管理系统200(例如,关于图1讨论的信息管理系统110)的各方面,用于收集关于用户对于资源的访问的信息、基于信息的分析来发布策略,以及可视化信息的分析。在一些实施例中,信息管理系统200包括经由网络(即,如关于图1讨论的网络120)通信连接到访问管理和威胁检测系统215(例如,如关于图2讨论的访问管理和威胁检测系统105)的收集总线205和策略总线210。信息管理系统200还可以包括通信连接到分析服务器220、机器学习部件225、可视化服务器230、一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245、一个或多个webgate250和系统存储器255的收集总线205和策略总线210。
收集总线205和策略总线210包括网络拓扑,其中诸如分析服务器220、机器学习部件225、可视化服务器230、一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250之类的节点连接到被称为总线或企业服务总线的公共线性(或分支)链路。收集总线205和策略总线210实现用于分布式计算的软件体系架构,其包括在各个节点之间路由消息和数据、控制各种策略(检查和强制策略)的部署、以及提供诸如基于检查策略促进数据收集和向监听器(即,代理)发布各种策略(检查和强制策略)之类的服务。
分析服务器220、机器学习部件225和可视化服务器230可以包括一个或多个计算机和/或服务器,其可以是通用计算机、专用服务器计算机(举例来说,包括pc服务器、unix服务器、中档服务器、大型计算机、机架式服务器等)、服务器场、服务器集群、或任何其它适当的布置和/或组合。组成分析服务器220、机器学习部件225和可视化服务器230的计算设备可以运行任何操作系统或各种附加的服务器应用和/或中间层应用,包括http服务器、ftp服务器、cgi服务器、java服务器、数据库服务器等。示例性数据库服务器包括但不限于在市场上可从oracle、microsoft、sybase、ibm等获得的数据库服务器。
系统存储器255可以是一个或多个存储介质,包括例如非瞬态机器可读存储介质(诸如闪存)、永久存储器(诸如只读存储器(“rom”))、半永久性存储器(诸如随机存取存储器(“ram”))、任何其它合适类型的非瞬态存储部件,或其任意组合。存储器255根据不同方面提供计算机可读程序指令、数据结构、程序模块和用于系统200的操作的其它数据的存储。在实施例中,存储器255可以存储操作系统、应用、策略、数据(诸如与用户的活动和访问请求相关的信息)、以及根据某些方面的程序数据。
通过部署图2的系统,基于关于最终用户是否被认证和/或被授权访问目标系统上的资源的静态和动态强制策略内的规则,访问管理和威胁检测系统105(由一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250实现,如关于图1讨论的)可以做出明智的决定。规则可以包括目的地(例如,目标系统或诸如应用或服务之类的资源的uri、主机名、目的地ip地址或端口等)、源(例如,用户id、针对用户组的指定、客户端设备的ip地址等)、持续时间(例如,策略有效的预定时间)以及强制动作(例如,阻挡用户访问、请求认证/授权因素、监视活跃度等)的规范,并且当网络流量或用户活动模式与策略中的规则对应时,策略被触发并且强制动作被应用。静态和动态强制策略可以被存储在作为静态策略265的高速缓存和动态策略270的高速缓存的存储器255中。
在某些实施例中,一般性的方法如下进行。最终用户输入驻留在受保护策略域中的所请求资源的url或标识。用户的浏览器将url作为http请求的一部分发送到web服务器。一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250辨别并拦截该请求。如果最终用户尚未被认证,那么一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250使web服务器向浏览器发出质疑以获得登录信息。然后,接收到的登录信息被传递回web服务器,并传递到一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250上。一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250进而向一个或多个访问管理器245发起认证请求,一个或多个访问管理器245确定用户提供的登录信息是否真实。一个或多个访问管理器245通过访问存储在存储器255中的用户的身份简档的属性和资源的认证标准来执行认证。如果用户提供的登录信息满足认证标准,那么处理流程如下所述;否则,通知最终用户对于所请求资源的访问被拒绝并且该处理停止。
在对用户进行认证之后,一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250向一个或多个访问管理器245查询用户是否被授权访问所请求的资源。一个或多个访问管理器245进而向信息管理系统200查询用于所请求资源的适当授权标准。一个或多个访问管理器245检索用于资源的授权标准,并基于资源的授权标准和用户的身份简档来回复一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250的授权查询。如果用户被授权,那么授予用户对于资源的访问权;否则,用户的请求被拒绝。上述流程的各种替代方案也在本发明的精神和范围内。
可以基于策略域和策略(例如,静态和动态强制策略)来做出认证和授权决定。策略域是包括web服务器主机id、主机名、url前缀和规则的逻辑分组。主机名和url前缀指定给定策略域所保护的web名称空间的粗粒度部分。策略域的规则指定允许或拒绝对于所请求资源的访问的条件,以及这些条件适用于哪些最终用户。策略域可以包括两级规则:第一级缺省规则和策略中包含的第二级规则。第一级缺省规则可以应用于策略域中与策略无关的任何资源。第二级规则可以应用于策略域中与策略相关联的任何资源。策略是包括url模式、资源类型、操作类型(诸如请求方法)以及限制用户对于特定资源的访问的规则、静态或动态组成员资格、一天或一周的时间、ip(互联网协议)地址等的分组。策略可以是静态的或动态的,附连到策略域,并指定策略所保护的web名称空间的细粒度部分。实际上,来自策略的策略域的主机名和url前缀在逻辑上与策略的url模式级联在一起。将所得到的整体模式与传入的url进行比较。如果存在匹配,那么评估策略的各种规则,以确定是应当允许还是拒绝该请求;如果不存在匹配,那么使用缺省策略域规则。
静态和动态强制策略是将属性汇集在一起以表达什么被允许和什么不被允许的语句。强制策略可以使用任何类型的属性(用户属性、资源属性、对象、动作、环境属性等)并包括诸如布尔逻辑之类的逻辑,其中规则包含要评估属性的语句(例如,“if,then”)并确定什么被允许和不被允许(例如,发出请求的用户是否通过认证、发出请求的用户是否被授权访问所请求的资源、发出请求的用户是否被授权对所请求的资源采取请求动作等)。例如:if请求者是管理者,then允许对敏感数据进行读/写访问。静态强制策略包括缺省规则或在系统的整个寿命期间写入/重写(例如,由系统的管理员创建)的规则以评估系统的进化动态或属性。但是,静态策略内包含的规则不被实时写入/重写,以使得策略能够实时评估系统的进化动态或属性。另一方面,动态强制策略包括写入/重写(例如,由机器学习技术或系统的管理员创建)的规则以实时评估系统的进化动态或属性。
在各种实施例中,基于威胁检测来提供用于静态和动态策略配备和强制的系统和方法。静态和动态强制策略可以由沿着强制路径的各种代理(例如,一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250)强制执行,并且当每个策略在强制路径中被应用于代理的位置时,策略可以被解释。在一些实施例中,动态策略可以由管理员手动创建,或者可以由机器学习部件225自动注入到系统中。某些实施例还可以指定动态策略应当运行的时间段(例如,预定时间段)。例如,策略可以被设置为仅长达预定时间段(例如,5分钟、10分钟、4小时、1天、2周等),以允许分析服务器220和/或管理员监视和触发基于那个预定时间段中的数据的异常。然后,策略可以在该预定时间段之后到期。照此,一些实施例可以监视行为并利用新添加的动态策略确保系统的稳定性。动态策略可以在它们被监视时被修改,并且可以成为坚实或持久的策略(即,不受预定时间段的限制)。通过使用机器学习能力,一些实施例可以创建长达预定时间段(例如,接下来的30分钟)的动态策略,并最终使其永久地覆写为系统配置的静态策略。如应当理解的,让正在查看可视化应用的安全管理员快速生成这些策略并将它们推入系统将是低效且耗资源的,无论是否需要完整的批准处理。
在一些实施例中,可以创建粘性(sticky)策略(即,不能被覆写的静态策略),其中策略可以不受机器学习部件225的影响。在其它实施例中,机器学习部件225可以了解缺省策略或由管理员创建的策略(例如,可以被覆写的静态策略)并且修改策略或利用动态策略覆写策略。在某些实施例中,机器学习可以使得缺省策略或由系统管理员先前配置的静态策略基于附加数据而改变,并且覆写缺省策略或静态策略。例如,可以将异常放入与阻挡策略对应的某个类别中,阻挡策略是高等警报策略,其可以覆写诸如第二因素认证之类的另一个类别,其中即使用户处于有效会话中,由用户执行的某个动作也可以使得表单或问题呈现给用户以进行附加层的认证。其它实施例可以指定绝不创建阻挡策略(例如,具有被配置为阻挡用户或用户组执行诸如对资源的读/写之类的动作的逻辑的策略),使得管理员可以监视机器学习正在触发的策略的类型。例如,管理员可以在最初几个月观察到机器学习在某些情况下或在存在某些模式时创建若干高等警报、核实这些警报,并确定机器学习没有创建大量假阳性(falsepositive)。然后,管理员可以调整策略并指示:不是为这个模式创建高等警报,而是为同一模式创建第二因素认证策略。
在一个示例中,用户可以每天在早上7-9点从家里或另一个地点访问服务器(例如,目标系统),然后从上午10点到下午4点从工作地点或总部访问服务器。当用户前往另一个地点并尝试访问服务器时,分析服务器220可以确定访问是异常的,从而触发第二因素认证,因为系统已经配置有关于异常的缺省或静态策略,以当基于数据的地点与历史数据不匹配时触发第二因素认证。在一段时间之后,系统可以学习并从缺省或静态策略适应,并且确定:基于用户行为模式,系统不应当在用户前往其它地点时触发异常。系统还可以区分用户行为模式。基于历史数据和更新后的实时数据,系统可以确定是否应当智能地触发异常。机器学习部件225可以不断地从历史数据和实时数据中学习,以创建并修改最终用户身份简档或行为模型以及支配行为的策略。不是每周或每隔一周更新身份简档和策略,而是实时地更新这些身份简档和策略,使得接下来的异常检测已经考虑了用户活动的所有历史数据和实时数据。这使得对于可能下一次确定,已被识别为异常的事物迅速被纳入考虑。因此,在这个示例中,新地点已经在存储器255中被更新,使得当用户下次在用户位于这个地理地点的时候登录时,系统上的活动不会造成异常检测被触发。实质上,已经创建了覆写以前的策略的新动态策略。
图2还例示了用于事件/数据收集的机制。在一些实施例中,如果机器学习具有更多要处理的数据并且可以发现数量和复杂性增加的模式,那么机器学习部件225可以在生成强制策略方面更成功。在某些实施例中,事件/数据收集是动态的,并且检查策略机制可以促进数据的收集。所收集的数据可以链接到机器学习,机器学习然后创建更多的强制策略或触发由强制策略触发的异常。例如,当加载(onboard)新应用时,系统可以(经由收集总线205和分析服务器220自动地或者经由管理员手动地)激活检查策略,以理解应用如何工作。检查策略可以通过在考虑检查策略的规则的情况下审查对于应用的用户活动来生成数据。收集总线205、分析服务器220和机器学习部件225可以基于收集的数据自动地活动进行分类,并且基于数据内识别出的模式确定活动是低、中或高等警报活动。此后,分析服务器220和机器学习部件225可以基于由收集总线205收集的数据自动生成动态检查和强制策略,这些策略可以发布在策略总线210上并且由代理用于覆写静态策略长达预定时间段。
在某些实施例中,在企业中(例如,在企业的网络上)发布的一切可以经由收集总线205在实时数据集中获得并且由分析服务器220消耗和分析。在一些实施例中,分析服务器220可以执行事件关连并生成报告,并在报告总线275上发布报告。报告总线275是机器学习部件225实时地连续接收信息然后通过用户界面经由可视化服务器230提供信息的总线。机器学习部件225还消耗来自收集总线205、存储器255和报告总线275的历史数据以及实时事件。因而,机器学习部件225可以发现异常并将策略(检查或强制)发布到策略总线210中。
在常规技术中,代理可以被配置为收集数据,将数据记录为日志ascii数据名称值对,并且周期性地(例如,每5分钟或10分钟)将日志发送到服务器。由于代理可以在云中而服务器在企业中,或者反过来,因此这些日志的运送可能是昂贵的。而且,通过累积日志并一起发送它们,这是耗时的。各种实施例不是收集和发送日志ascii数据名称值对,而是通过使用二进制数据将数据从各种代理传输到收集总线205来实时地操作,因此数据被高度压缩。某些实施例可以发送值和映射数据的机制。例如,值可以从代理发送到收集总线205,并且收集总线205将确定从代理发送什么类型的格式(例如,模式1)。一旦识别出格式,就可以解释这些值。这是传输数据的压缩且高效的方式。
在各种实施例中,为了检测和触发威胁,系统可以依赖由包括一个或多个代理235的(一个或多个)代理、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250捕获和发送的数据。当(一个或多个)代理必须支持更新的目标系统、(一个或多个)应用以及现有应用接口的改变时,预定义的一组属性(例如,用户属性、资源属性、对象、动作、环境属性等)可能是不够的。因而,动态检查策略的使用可以允许系统发送请求代理收集/检查附加信息或属性(诸如各种有效载荷(例如,http)中的数据)的动态规则。然后这个信息可以作为常规访问请求事件的一部分被报告。然后,机器学习部件225可以检测这一组新的数据或信息上的异常,并插入动态强制策略,然后该动态强制策略可以触发更多异常。当更多异常被触发时,可以创建附加强制策略以防止特定类型的流量,从而完成收集、检测和强制周期。
收集总线205可以被配置为获得与诸如最终用户的访问请求之类的安全事件相关联的信息,并在报告总线275上报告该信息或数据。收集总线205的配置可以基于缺省或静态检查策略,包括用于在满足某些标准时收集预定义的一组属性(例如,用户属性、资源属性、对象、动作、环境属性等)的规则。在某些实施例中,检查策略监视数据并在特定标准与预定义模式匹配时通知管理员。检查策略在模式存在时不会使得警报被触发,而是在模式存在时收集预定义的一组属性。例如,系统可以提供检查策略用户界面(ui),该检查策略ui允许管理员在已满足一组标准时指定某些检查策略的触发(例如,如果报头数据匹配,则长达阈值时间间隔)。根据其它方面,收集的配置可以基于动态检查策略,该动态检查策略包括用于收集数据或属性的规则。例如,收集总线205和分析服务器220可以一起工作以收集预定义的一组属性并基于先前配置的规则(缺省、静态或动态检查和强制策略)触发异常。检查策略可以指定要收集的预定义的一组属性以及用于要识别的数据中的模式的标准。一旦经由收集总线205收集了属性和模式,分析服务器220就可以检查数据中的属性和模式,并确定属性和模式是否匹配在强制策略内定义的任何规则。一旦数据进入收集总线205,它就可以被存储在存储器255中并成为历史数据的一部分。机器学习部件225可以不断地从历史数据和实时数据中学习,以创建和修改检查和强制策略,以高效地收集对系统上的用户活动进行威胁评估所需的信息。
可以从包括一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250(如关于图1讨论的)的一个或多个代理收集与事件相关联的信息,并且包括例如请求所源自的客户端ip地址、设备信息、用户信息、被请求的资源、请求的时间等。在某些实施例中,附加地从第三方代理(包括客户端设备内的gps应用、天气应用、监视软件、硬件传感器、负载平衡软件等)收集信息。信息可以由收集总线205以异步方式收集。例如,收集总线205可以包括被配置为处理信息、实时地给信息加索引以及对信息执行数据聚合和查询操作的队列。在一些示例中,收集总线205可以被配置为将与从用户接收的访问请求相关的信息组织成各种类别,诸如客户端上下文、资源上下文、用户上下文、服务器上下文、时间戳、会话信息、处理请求的服务器实例等。在各种实施例中,收集总线205被配置为将从用户活动获得并组织的信息或数据存储在存储器255的信息数据库260中。
图2还例示了用于基于事件/数据收集创建动态强制策略并且发布动态强制策略以供代理(例如,包括一个或多个代理235的一个或多个代理、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250)经由策略总线210消耗的机制。在一些实施例中,分析服务器220和机器学习部件225被配置为通过分析传入的实时数据和关于在一段时间内从用户或用户组接收的访问请求的历史数据(例如,存储在存储器255中)为用户或用户组创建动态强制策略。在一个实施例中,分析服务器220和机器学习部件225可以被配置为通过针对用户或用户组识别与传入的实时数据和访问请求的历史数据相关联的参数子集来为用户或用户组生成动态强制策略,并对照参数子集分析传入的实时数据和访问请求的历史数据,以创建动态强制策略。例如,分析服务器220和机器学习部件225可以被配置为基于用户或用户组通常访问存储在目标系统上的一个或多个应用的时间参数(例如,时间)来分析用户或用户组的访问请求,并基于在一段时间内监视来自用户的访问时间来创建强制策略。强制策略可以包括规则,其中如果用户或用户组尝试在正常时间参数之外访问一个或多个应用,那么可以请求第二因素认证或者可以将阻挡放在用户或用户组上。
在一些实施例中,要被监视的参数子集可以由用户一般访问的目标系统上的资源(例如,目标应用)来识别/定义,并且目标应用可以将这个信息提供给分析服务器。220。例如,目标应用(例如,金融应用)可能想要基于诸如用户id、访问时间、访问持续时间等参数来跟踪用户的访问请求。这些参数由分析服务器220配置,然后机器学习部件225可以通过对照这些参数分析一段时间内的访问请求的历史数据和传入的实时数据来为用户或用户组创建强制策略。在某些实施例中,在没有收集数据以满足要监视的参数子集的实例中,分析服务器220和机器学习部件225可以被配置为在满足某些标准后(例如,用户或用户组登录到系统中)创建动态检查策略,该检查策略被触发以获得满足参数子集的这种数据。
在某些实施例中,分析服务器220和机器学习部件225可以被配置为为用户或用户组生成多个策略。可以通过对照与访问请求相关联的不同参数集分析针对用户或用户组的访问请求的历史数据和传入的实时数据来生成这些策略。例如,如上所述,分析服务器220和机器学习部件225可以被配置为通过基于用户或用户组通常访问存储在目标系统上的各种应用的时间分析用户或用户组的访问请求来为用户或用户组生成基于时间的策略。在另一个实例中,分析服务器220和机器学习部件225可以被配置为通过分析用户访问存储在目标系统上的各种应用的模式来为用户生成应用访问模式策略。分析服务器220和机器学习部件225可以被配置为通过从访问请求中捕获安全威胁、入侵、服务拒绝(dos)攻击的特点来为用户生成策略。
在一些实施例中,分析服务器220和机器学习部件225可以被配置为通过将与用户或用户组相关联的访问请求的历史数据和传入的实时数据分类为一个或多个数据聚类来生成策略。在某些实施例中,分析服务器220和机器学习部件225可以被配置为使用监督的或无监督的机器学习或其它聚类(例如,k均值)技术来生成一个或多个数据聚类。在各种实施例中,机器学习部件225可以被配置为使用利用基于密度的聚类算法和欧几里德距离的无监督学习,来计算访问请求距聚类的质心的距离。在某些示例中,基于距聚类中每个点的质心的距离的均值来计算聚类的半径。基于标准偏差,任何落在该半径之外的点都将具有更高的风险。企业网络上的用户活动越接近质心,那个访问的风险越低。
针对由分析服务器220、机器学习部件225和/或集成应用(例如,用户正在请求访问的应用)配置的参数的传入的实时数据和历史数据值可以在某些示例中成为用于构建聚类的数据点。一旦建立了聚类,分析服务器220和机器学习部件225就可以被配置为生成包括关于一个或多个数据聚类的规则的策略。例如,可以建立规则,该规则指出:如果来自用户或用户组的请求的某些参数(x、y和z)与聚类的参数(x、y和z)不匹配,那么可以采取动作,例如可以请求第二因素认证或者可以将阻挡放置在用户或用户组上。因此,当从用户或用户组接收到新请求时,来自该请求的参数的值与策略中的规则(包括已建立的聚类的参数)匹配,以确定来自用户或用户组的访问请求是否异常。
在一些实施例中,一旦建立了聚类,分析服务器220和机器学习部件225就还可以被配置为基于威胁级别对策略进行分类。可以基于计算的距聚类的中心的距离来确定威胁级别。作为示例,企业网络上的流量模式可以具有用于生成策略的属性,该策略具有对标准(诸如流量模式距一个或多个聚类的距离)设置的规则。如果距离是一倍(例如,距均值一个标准偏差),那么策略可以被分类为低风险,并且相关联的流量模式可以触发低等警报。如果距离是两倍(例如,距均值两个标准偏差),那么策略可以被分类为中等风险并且相关联的流量模式可以触发中等警报。如果距离大于三倍(例如,距均值大于三个标准偏差),那么策略可以被分类为阻挡并且相关联的流量模式可以触发对这种活动的阻挡。因而,客户无需担心它是否是流量模式中的不寻常模式。相反,客户可以更专注于所创建的流量模式是低等警报、中等警报、高等警报、第二因素认证还是阻挡。
如本文所述,策略可以由分析服务器220和机器学习部件225或管理员(由看到异常出现的人)生成。一些实施例使用结构化威胁信息表达(stix)作为如何声明策略的标准。在各种实施例中,一旦建立或生成策略(例如,新的动态强制策略),就将策略发布到策略总线210以供代理(例如,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250)消耗,以便强制执行该策略。当策略被代理消耗时,代理都将成为强制生态系统的一部分。例如,当从用户或用户组接收到新的访问请求时,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250被配置为对照强制策略(缺省、静态或动态)分析与访问请求相关联的信息,以确定用户或用户组的访问请求是否异常。
在一些实施例中,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250可以被配置为首先从在策略总线210上发布的多个强制策略中为用户或用户组选择策略。在某些实施例中,策略可以与用户或用户组具体地相关联。该选择可以基于例如用户或用户组正在请求访问的应用的类型。例如,如果用户或用户组正在请求访问目标系统上的金融应用,那么一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250可以被配置为从分析由该金融应用定义的参数子集的多个策略中选择策略。例如,并且如上所述,金融应用可能想要基于诸如用户id、访问时间、访问持续时间等参数分析来自用户或用户组的访问请求。在其它实施例中,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250可以被配置为获得在策略总线210上发布的多个强制的全部,并基于来自全部策略或策略子集的参数分析来自用户或用户组的访问请求。
一旦一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250已经选择或获得特定策略,它们就可以被配置为针对策略分析与访问请求相关联的信息,并确定用户的访问请求是否异常。在一些实施例中,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250可以被配置为通过确定访问请求与由分析服务器220和机器学习部件225生成的一个数据聚类的偏差来确定异常请求。如果偏差超过预定阈值,那么确定该请求异常。阈值可以由系统的用户(例如,管理员)确定,或者由分析服务器220和机器学习部件225自动确定。在某些实施例中,阈值可以是考虑到聚类的数据集的相关性的mahalanobis距离。
每个代理可以以其自己的方式对发布的策略作出反应,以实现相同的最终目标(例如,不授予未被授权/未经认证的用户对于受保护资源的访问权限)。在某些实施例中,当检测到异常并且(例如,以stix格式)制定阻挡用户的策略并将策略发布到策略总线210上时,一个或多个代理235、一个或多个代理服务器240、一个或多个访问管理器245和/或一个或多个webgate250可以选择或获得策略并确定其在阻挡用户或用户组时的角色。例如,当用户或用户组正在访问应用时,一个或多个访问管理器245可以是验证用户的凭证并且将用户认证为经认证的会话的一部分的实体,而一个或多个代理235、一个或多个代理服务器240和/或一个或多个webgate250可以发起、维护或丢弃会话,使得无论何时用户访问强制生态系统的任何部分内的资源,都可以对用户进行质疑和验证。一个或多个代理服务器240可以在用户或用户组的活动发生时不断地监视和学习用户或用户组的活动,并且基于策略触发异常并采取诸如阻挡该活动之类的动作。例如,一个或多个代理服务器240可以从策略获得阻挡哪个用户的信息,并且当从与该用户对应的ip地址接收到会话请求时,一个或多个代理服务器240可以阻挡会话的发起。因此,即使资源不受其它代理保护,一个或多个代理服务器240也具有来自策略总线210的相同策略并且可以对用户活动采取独立动作。
附加地或可替代地,一个或多个代理235、一个或多个访问管理器245和/或一个或多个webgate250可以在用户或用户组的活动发生时不断地监视和学习用户或用户组的活动(例如,当用户尝试在登录页面上键入用户名或密码时、当用户尝试访问受保护的应用时,或者当用户尝试通过经授权的会话访问另一个网站时),并基于相同的策略触发异常并采取诸如阻挡该活动之类的动作。例如,一个或多个代理235和/或一个或多个webgate250可以基于时间段是否已经到期来检查会话是否仍然有效。在一些情况下,时间会话将在预定时间段(诸如一小时或八小时)内有效。会话无效的那一刻,将要求用户再次登录。一个或多个代理235和/或一个或多个webgate250可以尝试使用策略来验证会话,并且如果会话不再有效就丢弃会话。一个或多个访问管理器245还可以获得相同的策略,并且下次同一用户尝试使用正确的用户名和密码登录时,一个或多个访问管理器245可以不授予用户访问权。因此,即使资源不受诸如一个或多个代理服务器240、一个或多个代理235、一个或多个访问管理器245和/或一个或多个webgate250之类的代理之一的保护,也具有来自策略总线210的相同策略并且可以对用户活动采取独立的动作。因而,与其中一旦确定规则,代理作为一个组就以相同的方式作出反应的常规系统相反,每个代理分别且不同地对策略作出反应。
图2还例示了用于基于事件/数据收集以及静态和动态策略在用户活动上的强制执行来提供用户界面的机制。在各种实施例中,经由可视化服务器230提供整合的用户界面280。在一些实施例中,整合的用户界面280包括活跃威胁类别、针对每个威胁类别触发的策略的计数、以及相关联的趋势。在其它实施例中,整合的用户界面280包括用户、被用户访问的源以及这种活动所暗示的策略(如果有的话)。在还有其它实施例中,对于不同的时间桶(诸如5分钟或15分钟等),以预定时间间隔(例如,每2秒、4秒、5秒、30秒等)在整合的用户界面280上发布并查看实时统计数据,以便安全管理员可以对“实时趋势”采取适当的动作。
当安全管理员登录到系统时,可以将整合的用户界面280呈现给他们。整合的用户界面280可以呈现正在创建网络流量的顶端用户以及这些用户正在访问的源。从收集总线205收集的实时数据可以被馈送到系统中。整合的用户界面280可以呈现用户在一段时间内(例如,5分钟窗口、30分钟窗口)访问网络上的不同源的频率。随着新数据进入,整合的用户界面280可以不断更新,例如,示出当前时间减去5分钟。还可以示出处于活跃的顶端ip地址。一些实施例可以示出高度活跃的ip地址与流行且具有高流量的源(例如,url)之间的相关性。某些实施例还可以标记用户尚未被识别出的ip地址(例如,使用星号)。
除了用户到应用的映射之外,一些实施例还可以呈现客户端ip地址到应用的映射。某些实施例可以示出特定ip地址可以造成对许多不同源的访问,反之亦然,其中特定url正在被所有不同用户访问。整合的用户界面280在一侧呈现最终用户(或客户端ip地址),在另一侧呈现终端源。一些实施例还可以使用颜色来区分组。某些实施例还可以呈现诸如每个应用被访问的次数之类的信息。通过选择特定用户或客户端ip地址,一些实施例可以呈现特定用户或客户端ip地址已经访问应用的次数。
一些实施例使管理员能够通过整合的用户界面280设置用于匹配的一个或多个标准以及标准的值。如果针对事件的一个或多个标准和标准的值与管理员指定的标准和值匹配,那么某些实施例还使管理员能够经由整合的用户界面280指定期望的警报和警报的持续时间。例如,一些实施例可以匹配用户和客户端ip地址以及这个用户正在访问哪个目的地(例如,主机名、特定ip地址、服务),或者匹配用户的活动,并提供如由管理员指定的对应警报。
iii.整合的用户界面
图3是例示了根据各种实施例的威胁可视化系统300的功能部件中的一些的框图。所示系统包括三层:表示层305、应用层310和数据库层315。表示层305包括用户(例如,客户或管理员)用于监视企业网络上的用户活动以便实时地检测威胁的多个用户界面(例如,图形用户界面(gui))。这些包括多个ui320、325、330和335(例如,如关于图2描述的整合的用户界面280)。在一些实施例中,ui320、325、330和335驻留在一个或多个工作站上。在其它实施例中,ui320、325、330和335驻留在一个或多个个人计算机上。一般而言,ui320、325、330和335可以驻留在任何计算系统上,并且虽然图3中示出了四个ui,但是应当理解的是,根据本文描述的各方面,可以开发和提供任何数量的ui。
ui320、325、330和335耦合到应用层310内的一个或多个应用服务器340和345(例如,如关于图2描述的分析服务器220、机器学习部件225和可视化服务器230)。应用服务器340和345实现操作以便在底层企业网络上实时地促进安全和威胁评估,在这样做时,它们在ui320、325、330和335与企业网络之间通信和处理信息。在各种实施例中,应用服务器340和345通过本文描述的一组机制来促进安全和威胁评估。应用服务器340和345可以位于分布式计算系统中的多个位置,包括在计算服务器或数据库服务器处,并且可以与表示层中的任何ui通信。
应用服务器340和345耦接到数据库层315内的数据库管理系统350(例如,如关于图2描述的存储器255)。数据库管理系统350可以是任何类型的定制或在市场上可获得的用于管理数据的存储和检索的数据库系统。在一些实施例中,数据库管理系统350包括数据库服务器等。示例性数据库服务器包括但不限于在市场上可从oracle、microsoft、sybase、ibm等获得的数据库服务器。数据库管理系统350与高速缓存和数据库355(例如,如关于图2描述的高速缓存265和270以及数据库260)耦接。高速缓存和数据库355可以是任何类型的可以存储和检索数据的高速缓存或数据库。这包括但不限于分层数据库和关系数据库。
在各种实施例中,表示层305、应用层310和数据库层315操作,以提供ui320、325、330和335,这些ui包括活跃威胁类别、针对每个威胁类别被触发的策略的计数以及相关联的趋势。如图4a和4b中所示,一些实施例可以基于威胁级别分类方案提供活跃威胁的整合ui400。如本文所讨论的,强制策略(例如,静态和动态)可以被分类为阻挡、步进(step-up)或第二因素、高等警报、中等警报和低等警报策略。例如,如果例如仅观察到一次发生,那么分析服务器220和机器学习部件225可以动态地创建用于作为低等警报的“不寻常应用访问”的策略。但是,基于其它因素,可以将相同的策略作为第二因素策略注入,从而防止未经认证的用户获得访问权。用于策略的强制动作的这种分类方案可以由应用层310使用,以显示具有各种对应桶的整合ui400的仪表板402,桶包括阻挡405、步进或第二因素410、高等警报415、中等警报420和低等警报425。用于策略的强制动作的威胁级别分类方案可以帮助管理员评估策略并将级别从低级别提升到更高级别,反之亦然。一些实施例还可以在确定提升或降低策略的威胁级别时包括机器学习部件225。此外,基于威胁级别而不是策略名称提供活跃威胁的整合ui400可以帮助安全管理组基于其分类关注不同类型的威胁和动作,而不是必须基于策略的名称来解释威胁级别。
桶405、410、415、420和425可以针对每个分类包括策略的总数“n”430,其具有在任何给定时间由企业网络上的用户活动触发的对应分类。桶405、410、415、420和425还可以针对每个分类包括正被触发的策略的总数“n”430中的相关联的趋势。例如,诸如标记435和图表440的图形可以用于表示正被触发的策略的总数“n”430的历史趋势。在一些实施例中,如果正被触发的策略的总数“n”430在增加(例如,n+1、5、10、15等),那么可以使用向上箭头来容易地表示这个趋势。相反,如果正被触发的策略的总数“n”430在减少(例如,n-1、5、10、15等),那么可以使用向下箭头来容易地表示这个趋势。如果正被触发的策略的总数“n”430基本上保持相同(例如,+/-5%、10%或15%),那么可以使用圆圈来容易地表示这个趋势。在某些实施例中,桶405、410、415、420和425还可以包括下拉框445,管理员可以访问该下拉框445以进一步调查关于被触发的策略和企业网络上用户正在执行的活动(例如,源被访问)的细节。在某些实施例中,整合的ui400还包括用于在任何给定时间正在作用的策略的总数“m”(所有分类组)的附加桶450。
根据本文讨论的各个方面,可以监视企业网络上的用户行为,并且可以为用户创建一个或多个动态策略。在一些实施例中,管理员或机器学习部件225可以设置强制策略,其中某些动作将触发阻挡、第二因素认证、低等警报、中等警报或高等警报。例如,机器学习部件225可以检测实时数据相对于历史数据的变化或偏差(例如,用户通常在下午7点或8点从家中访问,但是今天用户正在从其它某个地方访问),并且创建针对这种不正常访问的策略。策略可以用警报等级(例如,低、中或高等警报)或第二因素认证或阻挡指定来指定这种访问。基于用户是否利用通过第二因素认证呈现的质疑被认证,系统可以使用这个历史数据来修改策略。如果警报等级取决于用户的进一步动作而升级并且使得新策略将该动作指定为高等警报项,那么整合的用户界面400可以开始通过仪表板402呈现高等警报动作。如果在短时间内(例如,最近10秒、最近20秒)存在来自这个用户的重复高等警报(例如,10或20次),那么机器学习部件225可以经由整合的用户界面400警告管理员,因为可能存在问题。
在一些实施例中,仪表板402可以具有显示信息的各种窗口455,其中信息包括顶端访问活跃、访问源的顶端用户、用于访问源的顶端ip地址以及被访问的顶端源。顶端或底端可以被定义为阈值数字,诸如顶端或底端5、10、15、35或50个。或者,顶端或底端可以被定义为阈值百分比,诸如顶端或底端5%、10%、15%、35%或50%。窗口455可以使用任何数量的图形手段来显示信息。例如,可以使用象形图或线图460来显示顶端访问活跃,象形图或线图460例示了将每个用户id或ip地址连接到正被访问的资源或目标系统的线。附加地或可替代地,可以使用具有排版变化(诸如字体尺寸或颜色)的比例面积图、气泡图或标签云465来显示顶端用户。附加地或可替代地,可以使用具有排版变化(诸如字体尺寸或颜色)的比例面积图、气泡图或标签云470来显示顶端ip地址。附加地或可替代地,可以使用具有排版变化(诸如字体尺寸或颜色)的比例面积图、气泡图或标签云475来显示应用。
在一些实施例中,表示层305、应用层310和数据库层315还可以操作,以便为管理员提供附加功能或信息。例如,图5例示了通过将诸如鼠标指针之类的输入设备悬停在仪表板的窗口510内的特定用户505上方,管理员可以隔离该特定用户已访问的资源515。图6例示了通过进一步将诸如鼠标指针之类的输入设备悬停在仪表板的窗口610内的特定url605上方,管理员可以查看用户或ip地址已访问资源的具体访问计数615或次数。图7例示了通过将诸如鼠标指针之类的输入设备悬停在仪表板的窗口710内的特定url705上方,管理员可以查看正在访问该url的各种用户715。图8例示了管理员可以使用诸如鼠标指针之类的输入设备来选择仪表板的窗口810内的特定用户805并选择监视该特定用户805。图9例示了其中管理员可以使用比例面积图915或气泡图监视特定用户910的活动905的视图。图10例示了通过将诸如鼠标指针之类的输入设备悬停在url上方,管理员可以在比例面积图1020或气泡图内查看特定用户1010访问url1015的次数1005。图11例示了其中管理员可以使用多个比例面积图1110或气泡图监视多个用户1105的活动的视图。
在一些实施例中,表示层305、应用层310和数据库层315还可以操作,以便为管理员提供创建一个或多个策略(例如,检查或强制策略)的附加功能。图12a和12b例示了根据某些实施例的用于使管理员能够创建一个或多个策略的ui1205的示例。在一些实施例中,管理员可以在使用本文描述的任何ui观察异常活动之后决定创建一个或多个策略。管理员可以通过用户id、ip地址、用户id、组指定等指定策略的源1210,或留空以将源1210指定为任何源。管理员可以通过主机名、目标系统名称或id、ip地址、资源名称等指定策略的目的地1215,或留空以将目的地1215指定为任何目的地。管理员可以为策略指定强制动作1220。强制动作1220可以包括低等警报、中等警报、高等警报、第二因素认证或阻挡。如应当理解的,所感知到的来自异常活动的威胁级别可以用于将策略分类为低风险、中等风险、高风险、第二因素认证风险或阻挡风险。管理员可以指定策略处于活跃的持续时间或预定时间段1225。在一些实施例中,持续时间1225可以是5、15、30或60分钟,这允许管理员在预定时间段内经由本文描述的任何ui查看策略如何影响网络流量。此后,如果策略没有预期的影响或者策略不再对异常活动有保证,那么管理员可以让策略到期,或者管理员可以修改持续时间1225以延长策略的活跃状态。在某些实施例中,持续时间1225可以是永远,这允许管理员永久地覆写静态策略或实时地在企业网络上进行安全策略的改变。
在一些实施例中,表示层305、应用层310和数据库层315还可以操作,以便为管理员提供附加功能或信息。一些实施例向管理员显示在具体时间间隔期间某个类型的策略(例如,阻挡策略)的数量。某些实施例允许管理员(例如,通过选择ui元素)查看哪些策略造成某个动作或警报(例如,阻挡)。例如,图13例示了根据某些实施例,管理员可以在选择对应模式1315(例如,顶端被阻挡策略模式)后查看窗口1310内的每个分类下的顶端策略1305的名称。一些实施例还使管理员能够在窗口1325内查看与顶端策略1305相关联并且多次违反策略的顶端用户1320。顶端或底端可以被定义为阈值数字,诸如顶端或底端5、10、15、35或50个策略被触发。可替代地,顶端或底端可以被定义为阈值百分比,诸如顶端或底端5%、10%、15%、35%或50%策略被触发。图14例示了根据一些实施例,管理员可以查看窗口1410中的资源1405以及基于顶端策略1305采取的强制动作(例如,阻挡)。这些显示使管理员能够看到哪些用户、资源、ip地址和策略与针对每个分类或感知到的威胁级别触发的顶端策略有关。在一些实施例中,管理员可以选择特定用户并查看由该特定用户引发了多少警报(例如,阻挡中有15个以及第二因素中有2个来自这个人)。
通过向管理员显示各种类型的信息,管理员可以采取适当的动作(例如,响应于看到不同的趋势)。本文描述的显示某些警报的上升趋势的ui可以使管理员能够在他看到警报的增加趋势时仅需要做出反应并采取适当的动作。一些实施例可以使管理员能够在某个策略下查看哪个用户/客户端ip地址/源在去往某个应用时被高等警报阻挡。在查看策略时,有一些属性可以使管理员能够将手动注入的策略与机器学习策略区分开来。在一些实施例中,管理员可以仅能够编辑手动创建的策略而不是机器学习策略。
在各种实施例中,管理员可以监视低、中和高等警报,并提供可能需要修改造成警报的某些策略的建议,例如,任何高等警报都可以需要针对阻挡策略进行修改。可以向另一个系统管理员通知建议修改的那些策略,并确定是否将策略升级为阻挡策略。图15例示了根据某些实施例,管理员可以在选择对应模式1515(例如,高等警报策略模式)后在窗口1510内查看每个分类(例如,高等警报)下的顶端策略1505的名称。图16例示了根据一些实施例,管理员可以查看窗口1610中的资源1605和基于顶端策略1505采取的动作(例如,高等警报)并且查看窗口1620中的ip地址1615和基于顶端策略1505采取的动作(例如,高等警报)。
在各种实施例中,表示层305、应用层310和数据库层315可以操作,以便提供ui320、325、330和335,其包括用户、用户作用的资源以及由这种活动暗示的策略(如果有的话)。如图17中所示,一些实施例可以基于策略被触发而提供活跃威胁的整合的ui1700。例如,某些实施例允许管理员查看哪些策略造成某个动作或警报(例如,阻挡)。图17例示了管理员可以在窗口1705中查看,该窗口1705显示正在触发策略的企业网络上的活动的源1705(例如,用户id、组指定、ip地址、客户端设备id等)、指示符(诸如被触发的策略1710的名称或分类(例如,静态和动态强制策略)),以及来自源1705的活动的目的地1715(例如,正被访问的资源或服务)。这些显示使管理员能够查看为每个用户和资源触发的策略。在一些实施例中,管理员可以选择特定用户并关注由特定用户触发的策略(例如,阻挡策略中有15个和第二因素策略中有2个来自这个人)。图18例示了管理员可以查看对于各种源1805、客户端ip地址1810、目的地ip端口1815、目的地主机名1820、请求uri1825、被触发的每个策略1830以及指示针对策略1830采取的动作的策略的分类1840的追踪活动。在一些实施例中,可以使用搜索条1845查询追踪活动。
iv.利用威胁情报平台的处理和操作
图19-21例示了根据一些实施例的用于使用动态策略分析安全事件并显示分布式环境内活跃威胁和用户活动(包括由活跃威胁和用户活动触发的动态策略)的整合视图的技术。各个实施例可以被描述为处理,该处理被描绘为流程图、数据流程图、结构图或框图。虽然流程图可以将操作描述为顺序处理,但是许多操作可以并行或同时执行。此外,可以重新布置操作的次序。处理在其操作完成时终止,但可以有未包括在图中的附加步骤。处理可以与方法、函数、过程、子例程、子程序等对应。当处理与函数对应时,其终止可以与函数返回到调用函数或主函数对应。
图19-21中描绘的处理和/或操作可以在由一个或多个处理单元(例如,处理器核)、硬件或其组合执行的软件(例如,代码、指令、程序)来实现。软件可以存储在存储器中(例如,在存储设备上、在非瞬态计算机可读存储介质上)。图19-21中的处理步骤的特定系列不是限制性的。根据替代实施例,还可以执行其它步骤序列。例如,在替代实施例中,可以以不同次序执行上面概述的步骤。而且,图19-21中所示的各个步骤可以包括多个子步骤,这些子步骤可以按照适合于各个步骤的各种顺序执行。此外,取决于特定应用,可以添加或移除附加步骤。本领域普通技术人员将认识到许多变化、修改和替代方案。
图19示出了流程图1900,其例示了根据各种实施例的用于创建和发布动态策略的处理。在一些实施例中,流程图1900中描绘的处理可以由参考图2讨论的、图1中的访问管理和威胁检测系统105和信息管理系统110实现。在步骤1905处,提供或实例化包括用户设备、多个代理、收集总线、策略总线和具有资源的目标系统的分布式环境。在一些实施例中,分布式环境还包括分析服务器和机器学习部件,并且由分析服务器和机器学习部件创建检查策略和动态强制策略。在某些实施例中,分布式环境还包括用于存储检查策略和动态强制策略以及从一个或多个信息流接收的历史数据的存储器。
在可选步骤1910处,可以基于目标系统或资源的历史数据或规范来创建检查策略。在一些实施例中,数据的收集由在策略总线上发布的检查策略触发。例如,收集总线可以被配置为获得与安全事件(诸如最终用户的访问请求)相关联的信息,并在报告总线上报告信息或数据。收集总线的配置可以基于缺省或静态检查策略,这些缺省或静态检查策略包括用于在满足某些标准时收集预定义的一组属性(例如,用户属性、资源属性、对象、动作、环境属性等)的规则。在某些实施例中,系统可以提供检查策略ui,检查策略ui允许管理员通过在满足标准集时指定触发某些检查策略来创建检查策略(例如,如果报头数据匹配,那么持续阈值时间间隔)。在其它实施例中,收集的配置可以基于动态检查策略,该动态检查策略包括用于收集数据或属性的规则。例如,收集总线和分析服务器可以一起工作以收集预定义的一组属性并基于先前配置的规则(缺省、静态或动态检查和强制策略)触发异常。检查策略包括用于当用于安全事件的一组标准与预定义模式匹配时实时地收集数据的规则,该数据是与安全事件有关的预定义的一组属性。一旦数据进入收集总线,它就可以被存储在存储器中并成为历史数据的一部分。机器学习部件可以不断地从历史数据和实时数据中学习,以创建和修改检查和强制策略,从而高效地收集对系统上的用户活动进行威胁评估所需的信息。
在可选步骤1915处,可以将检查策略发布或注入到策略总线中,使得多个代理可以访问检查策略。在策略总线上发布检查策略通过允许监听器(即,代理)访问策略并强制执行策略以基于先前配置的规则收集预定义的一组属性来促进数据的收集。在步骤1920处,可以收集与安全事件有关的数据。在各种实施例中,数据包括:(i)标识用户或用户设备的源,以及(ii)标识目标系统或资源的目的地。数据可以由收集总线从多个代理中的至少一个收集。在一些实施例中,根据缺省、静态或动态检查策略来收集数据。例如,如果包括从源到目的地的数据流的实况信息流的标准将预定义模式与缺省、静态或动态检查策略匹配,那么检查策略可以被触发并且一个或多个代理可以收集信息流或信息流内发生的安全事件的属性(例如,源和目的地)。然后根据本文讨论的各个方面,可以将收集的属性发送到收集总线以进行进一步处理。
在步骤1925处,可以基于数据创建动态强制策略。动态强制策略包括至少源、目的地、强制动作以及动态强制策略处于活跃的持续时间的规范。持续时间可以是至少5分钟、至少10分钟、至少30分钟或至少1小时的预定时间段,例如10分钟、30分钟、1小时、5小时、1天或3天。在动态强制策略处于活跃的持续时间期间,动态强制策略将覆写包括至少相同源和相同目的地的规范的静态强制策略。例如,无论何时来自ip地址的需要第一级认证的任何用户尝试访问指定目标系统上的资源时,静态强制策略对于来自那个ip地址的用户或用户组可以是缺省的或活跃的。无论何时来自相同ip地址的需要第二因素认证的任何用户尝试访问同一指定目标系统上的资源时,都可以对来自那个ip地址的用户或用户组发布动态强制策略。动态强制策略可以具有5小时的持续时间。因而,静态强制策略在该预定时间段(例如,5小时)期间是不活跃的,动态强制策略在该预定时间段(例如,5小时)期间是活跃的(例如,对从该ip地址到指定目标系统的请求强制执行第二因素认证),在该预定时间段(例如,5小时)到期之后,动态强制策略变为不活跃并且可以从策略总线中移除,并且在该预定时间段到期之后静态强制策略是活跃的(例如,对从该ip地址到指定目标系统的请求强制执行第一级认证)。
在某些实施例中,系统可以提供强制策略ui,其允许管理员通过在满足一组属性时(例如,如果实况信息流的源和目的地与策略的源和目的地匹配)指定触发某些强制动作来创建动态强制策略。在其它实施例中,分析服务器和机器学习部件创建动态强制策略。创建动态强制策略可以包括:将实时和历史数据中收集的数据分类成一个或多个数据聚类,使用一个或多个数据聚类分析预定义的一组属性,并基于分析创建源、目的地、强制操作和动态强制策略处于活跃的持续时间。可以使用监督的或无监督的机器学习或聚类技术来生成一个或多个数据聚类,并且分析可以包括计算预定义的一组属性距一个或多个数据聚类的质心的距离。可以基于预定义的一组属性距一个或多个数据聚类的质心的距离来确定诸如阻挡或第二因素认证之类的强制动作。
在步骤1930处,可以在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。通过允许监听器(即,代理)访问策略,在策略总线上发布动态强制策略促进在例如企业网络上进行威胁检测,并基于先前配置的规则激活策略的强制动作。在步骤1935处,可以基于动态强制策略来实现对于安全事件的强制动作。在一些实施例中,多个代理中的至少一个实现强制动作。强制动作可以由多个代理中确定信息流或信息流内发生的安全事件的属性(例如,源和目的地)与动态强制策略的规范内的属性(例如,源和目的地)匹配的至少一个代理实现。此后,强制动作可以由多个代理中执行强制动作的至少一个代理实现,例如,(i)在用户被授权访问之前阻挡用户访问目的地,(ii)丢弃用户与目的地的连接,(iii)阻挡用户在系统上的认证,(iii)请求第二因素认证或授权,(iv)报告低等警报、中等警报或高等警报,等等。
图20示出了流程图2000,其例示了用于提供活跃威胁类别、针对每个威胁类别被触发的策略的计数以及相关联的趋势的整合视图的处理。在一些实施例中,流程图2000中描绘的处理可以由参考图2讨论的、图1中的访问管理和威胁检测系统105和信息管理系统110实现。在步骤2005处,提供或实例化包括用户设备、多个代理、收集总线、策略总线和具有资源的目标系统的分布式环境。在一些实施例中,分布式环境还包括分析服务器和机器学习部件,并且由分析服务器和机器学习部件创建检查策略和动态强制策略。在某些实施例中,分布式环境还包括用于存储检查策略和动态强制策略以及从一个或多个信息流接收的历史数据的存储器。
在步骤2010处,可以监视一个或多个实况信息流。实况信息流可以包括从多个源到多个目的地的数据流。在一些实施例中,监视由多个代理执行。可以根据各种策略(例如,检查和强制策略)来执行监视。在步骤2015处,可以提供包括多个桶的用户界面。每个桶可以与不同的威胁级别或强制动作相关联,并且每个桶显示当前被实时触发的包括相关联的威胁级别或强制动作的强制策略的总数。本质上,桶是基于每个策略中声明的威胁级别或强制动作、根据被指派给强制策略的相同的分类方案(例如,阻挡、第二因素认证、低等警报、中等警报、高等警报等)分类的图形筒仓(silos),如图4a中所示。基于威胁级别或强制动作桶而非策略名称提供活跃威胁的整合ui可以帮助安全管理组基于其分类来关注不同类型的威胁和动作,而不必基于策略的名称来解释威胁级别。
在步骤2020处,基于强制策略的触发,在一个或多个实时信息流内确定安全事件的发生。强制策略可以包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。在步骤2025处,可以通过以下操作更新用户界面以反映安全事件的发生:(i)从多个桶中识别与由强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。在一些实施例中,增加强制策略的总数包括将强制策略的总数的计数n递增到计数n+1。可选地,在步骤230处,可以基于安全事件的发生来更新识别出的桶的趋势指示符。例如,更新趋势指示符可以包括在识别出的桶内显示向上箭头、向下箭头或中性圆圈。
可选地,在步骤2035处,可以接收与从多个桶中选择桶对应的用户输入。在一些实施例中,响应于该选择,可以在用户界面内显示包括与所选择的桶对应的多个源和多个目的地的实况信息流。在其它实施例中,响应于该选择,与所选择的桶对应的多个源可以在用户界面内显示为标签云。标签云可以基于每个源的活跃度成比例地示出与所选择的桶对应的多个源。
可选地,在步骤2040处,可以接收与从多个源中选择特定源对应的用户输入。在一些实施例中,响应于该选择,显示在该特定源处开始的实时信息流。可选地,在步骤2045处,可以接收与从多个目的地中选择特定目的地对应的用户输入。在一些实施例中,响应于该选择,显示在该特定目的地处结束的实况信息流。可选地,在步骤2050处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量来提供一组顶端源的指示。可选地,在步骤2055处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量来提供一组顶端目的地的指示。可选地,在步骤2060处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量和在策略总线上发布的一组活跃强制策略来提供一组顶端强制策略的指示。
可选地,在步骤2065处,可以基于数据接收创建动态强制策略的请求。动态强制策略可以包括源、目的地、强制动作和动态强制策略处于活跃的持续时间的规范。可选地,在步骤2070处,可以在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。如本文所讨论的,持续时间可以是至少5分钟、至少10分钟、至少30分钟或至少1小时的预定时间段,例如10分钟、30分钟、1小时、5小时、1天或3天。在动态强制策略处于活跃的持续时间期间,动态强制策略将覆写至少包括相同源和相同目的地的规范的静态强制策略。可选地,在步骤2075处,可以基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作。多个代理中的至少一个可以实现该强制动作。可选地,在步骤2080处,可以通过以下操作更新用户界面以反映对于另一个安全事件的安全事件的实现:(i)从多个桶中识别与由动态强制策略应用的强制动作相关联的桶,以及(ii)增加当前由强制动作实时触发并在识别出的桶内显示的强制策略的总数。
图21示出了流程图2100,其例示了用于提供用户、用户正在访问的应用以及这些访问所暗示的访问策略(如果有的话)的整合视图的处理。在一些实施例中,流程图2100中描绘的处理可以由参考图2讨论的、图1中的访问管理和威胁检测系统105和信息管理系统110实现。在步骤2105处,提供或实例化包括用户设备、多个代理、收集总线、策略总线和具有资源的目标系统的分布式环境。在一些实施例中,分布式环境还包括分析服务器和机器学习部件,并且由分析服务器和机器学习部件创建检查策略和动态强制策略。在某些实施例中,分布式环境还包括用于存储检查策略和动态强制策略以及从一个或多个信息流接收的历史数据的存储器。
在步骤2110处,可以监视实况信息流。实况信息流可以包括从源到目的地的数据流。在一些实施例中,监视由多个代理执行。可以根据各种策略(例如,检查和强制策略)来执行监视。可选地,在步骤2115处,可以监视一个或多个实况信息流。例如,可以监视一个或多个附加实况信息流。附加实况信息流可以包括:(i)从多个源到多个目的地的数据流,以及(ii)由数据触发的一个或多个强制策略。在步骤2120处,可以提供包括经由线连接的源和目的地的用户界面。例如,实况信息流中包括的每个源可以经由图形线连接到正被访问的一个或多个目的地,如图17中所示。可选地,在监视附加实况信息流的实例中,用户界面还可以包括:(i)将来自多个源的每个源与来自多个目的地的对应目的地连接起来的一条或多条线,以及(ii)用于由在每个源和每个目的地之间流动的数据触发的强制策略的每条线上的指示符。
在步骤2125处,可以基于强制策略的触发在实况信息流内确定安全事件的发生。强制策略可以包括源、目的地和强制动作的规范,并且当一个或多个实况信息流中的数据至少匹配强制策略的源和目的地时,强制策略被触发并且强制动作被应用。在步骤2130处,可以通过以下操作更新用户界面以反映安全事件的发生:(i)标识强制策略的指示符,以及(ii)显示穿过强制策略指示符的、连接源和目的地的线。在一些实施例中,源被显示在用户界面的窗口的一侧,目的地被显示在窗口的与具有源的一侧相对的一侧,并且强制策略的指示符被显示在源和目的地之间的线上。
可选地,在步骤2135处,可以接收与从多个源中选择特定源对应的用户输入。在一些实施例中,响应于该选择,显示在该特定源处开始的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。可选地,在步骤2140处,可以接收与从多个目的地中选择特定目的地对应的用户输入。在一些实施例中,响应于该选择,显示在该特定目的地处结束的实况信息流,包括由实况信息流内的数据触发的一个或多个强制策略。可选地,在步骤2145处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量来提供一组顶端源的指示。可选地,在步骤2150处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量来提供一组顶端目的地的指示。可选地,在步骤2155处,可以在用户界面内显示包括多个源和多个目的地的实况信息流。在一些实施例中,可以基于从多个源流向多个目的地的数据量和在策略总线上发布的一组活跃强制策略来提供一组顶端强制策略的指示。
可选地,在步骤2160处,可以基于该数据接收创建动态强制策略的请求。动态强制策略可以包括源、目的地、强制动作和动态强制策略处于活跃的持续时间的规范。可选地,在步骤2165处,可以在策略总线上发布动态强制策略,使得多个代理可以访问动态强制策略。如本文所讨论的,持续时间可以是至少5分钟、至少10分钟、至少30分钟或至少1小时的预定时间段,例如10分钟、30分钟、1小时、5小时、1天或3天。在动态强制策略处于活跃的持续时间期间,动态强制策略覆写至少包括相同源和相同目的地的规范的静态强制策略。可选地,在步骤2170处,可以基于动态强制策略实现对于一个或多个实况信息流内的另一个安全事件的强制动作。多个代理中的至少一个可以实现该强制动作。可选地,在步骤2175处,可以通过以下操作更新用户界面以反映对于另一个安全事件的强制动作的实现:(i)标识强制策略的指示符,以及(ii)显示穿过强制策略指示符的、连接源和目的地的线。
v.计算环境
图22描绘了用于实现本公开实施例的分布式系统2200的简化图。在所示实施例中,分布式系统2200包括一个或多个客户端计算设备2202、2204、2206和2208,这些客户端计算设备被配置为通过一个或多个网络2210运行和操作客户端应用,诸如web浏览器、专有客户端(例如,oracleforms)等。服务器2212可以经由网络2210与远程客户端计算设备2202、2204、2206和2208通信地耦接。
在各种实施例中,服务器2212可以适于运行一个或多个服务或软件应用,诸如提供身份管理服务的服务和应用。在某些实施例中,服务器2212还可以提供其它服务,或者软件应用可以包括非虚拟和虚拟环境。在一些实施例中,这些服务可以作为基于web或云的服务或者在软件即服务(saas)模型下被提供给客户端计算设备2202、2204、2206和/或2208的用户。操作客户端计算设备2202、2204、2206和/或2208的用户可以进而利用一个或多个客户端应用与服务器2212交互,以利用由这些部件提供的服务。
在图22中描绘的配置中,系统2200的软件部件2218、2220和2222被示为在服务器2212上实现。在其它实施例中,系统2200的一个或多个部件和/或由这些部件提供的服务也可以由客户端计算设备2202、2204、2206和/或2208中的一个或多个实现。操作客户端计算设备的用户然后可以利用一个或多个客户端应用来使用由这些部件提供的服务。这些部件可以用硬件、固件、软件或其组合实现。应当理解,各种不同的系统配置是可能的,其可以与分布式系统2200不同。因此,图22中所示的实施例是用于实现实施例系统的分布式系统的一个示例,并且不旨在进行限制。
客户端计算设备2202、2204、2206和/或2208可以包括各种类型的计算系统。例如,客户端设备可以包括便携式手持设备(例如,
虽然图22中的分布式系统2200被示为具有四个客户端计算设备,但是可以支持任何数量的客户端计算设备。诸如具有传感器的设备等之类的其它设备可以与服务器2212交互。
分布式系统2200中的(一个或多个)网络2210可以是本领域技术人员熟悉的、可以利用任何各种可用协议支持数据通信的任何类型的网络,其中各种可用协议包括但不限于tcp/ip(传输控制协议/互联网协议)、sna(系统网络体系架构)、ipx(互联网分组交换)、appletalk等。仅仅作为示例,(一个或多个)网络2210可以是局域网(lan)、基于以太网的网络、令牌环、广域网、互联网、虚拟网络、虚拟专用网络(vpn)、内联网、外联网、公共交换电话网络(pstn)、红外网络、无线网络(例如,在任何电气和电子协会(ieee)1002.11协议套件、
服务器2212可以由一个或多个通用计算机、专用服务器计算机(作为示例,包括pc(个人计算机)服务器、
服务器2212可以运行包括以上讨论的任何操作系统的操作系统,以及任何商用的服务器操作系统。服务器109还可以运行任何各种附加的服务器应用和/或中间层应用,包括http(超文本传输协议)服务器、ftp(文件传输协议)服务器、cgi(公共网关接口)服务器、
在一些实现中,服务器2212可以包括一个或多个应用,以分析和整合从客户端计算设备2202、2204、2206和2208的用户接收的数据馈送和/或事件更新。作为示例,数据馈送和/或事件更新可以包括但不限于从一个或多个第三方信息源和持续数据流接收的
分布式系统2200还可以包括一个或多个数据库2214和2216。这些数据库可以提供用于存储诸如用户身份信息之类的信息以及由各种实施例使用的其它信息的机制。数据库2214和2216可以驻留于各种位置。作为示例,数据库2214和2216中的一个或多个可以驻留于在服务器2212本地(和/或驻留在服务器2212中)的非瞬态存储介质上。可替代地,数据库2214和2216可以远离服务器2212,并且经由基于网络的或专用的连接与服务器2212通信。在一组实施例中,数据库2214和2216可以驻留在存储区域网络(san)中。类似地,用于执行服务器2212所具有的功能的任何必要的文件可以视情况在服务器2212本地存储和/或远程存储。在一组实施例中,数据库2214和2216可以包括适于响应于sql格式的命令存储、更新和检索数据的关系数据库,诸如由oracle提供的数据库。
在一些实施例中,上述身份管理服务可以经由云环境作为服务提供。图23是根据本公开内容的实施例、其中服务可以被提供为云服务的系统环境2300的一个或多个部件的简化框图。在图23所示的实施例中,系统环境2300包括可以被用户用来与提供云服务(包括用于管理存储在组织的目标系统中的权利(entitlements)的服务)的云基础设施系统2302交互的一个或多个客户端计算设备2304、2306和2308。云基础设施系统2302可以包括一个或多个计算机和/或服务器,其可以包括以上针对服务器2212所描述的那些。
应当认识到的是,图8中所绘出的云基础设施系统2302可以具有除所绘出的那些之外的其它部件。另外,图8中所示的实施例仅仅是可以实施某些实施例的云基础设施系统的一个示例。在一些其它实施例中,云基础设施系统2302可以具有比图中所示出的更多或更少的部件、可以合并两个或更多个部件、或者可以具有不同的部件配置或布置。
客户端计算设备2304、2306和2308可以是与以上针对2202、2204、2206和2208描述的那些设备类似的设备。客户端计算设备2304、2306和2308可以被配置为操作客户端应用,诸如web浏览器、专有客户端应用(例如,
(一个或多个)网络2310可以促进客户端2304、2306和2308与云基础设施系统2302之间的通信和数据交换。每个网络可以是本领域技术人员熟悉的可以利用各种商业上可用的协议(包括以上针对网络710所描述的协议)中的任何一种支持数据通信的任何类型的网络。
在某些实施例中,由云基础设施系统2302提供的服务可以包括按需要对云基础设施系统的用户可用的服务的主机。除了与身份管理相关的服务之外,还可以提供各种其它服务,包括但不限于在线数据存储和备份解决方案、基于web的电子邮件服务、托管的办公套件和文档协作服务、数据库处理、受管理的技术支持服务等。由云基础设施系统提供的服务可以动态扩展,以满足其用户的需求。
在某些实施例中,由云基础设施系统2302提供的服务的具体实例化在本文中可以被称为“服务实例”。一般而言,用户可以经由通信网络(诸如互联网)从云服务提供者的系统获得的任何服务被称为“云服务”。通常,在公共云环境中,构成云服务提供者的系统的服务器和系统与消费者自己的本地服务器和系统不同。例如,云服务提供者的系统可以托管应用,并且用户可以经由诸如互联网的通信网络按需要订购和使用应用。
在一些示例中,计算机网络云基础设施中的服务可以包括对存储装置、托管的数据库、托管的web服务器、软件应用或者由云供应商向用户提供的其它服务的受保护的计算机网络访问,或者如本领域中另外已知的。例如,服务可以包括通过互联网对云上的远程存储的受密码保护的访问。作为另一个示例,服务可以包括基于web服务的托管的关系数据库和脚本语言中间件引擎,用于由联网的开发人员私人使用。作为另一个示例,服务可以包括对在云配备商的网站上托管的电子邮件软件应用的访问。
在某些实施例中,云基础设施系统2302可以包括以自助服务、基于订阅、弹性可扩展、可靠、高度可用和安全的方式交付给消费者的应用套件、中间件和数据库服务产品。这种云基础设施系统的示例是由本受让人提供的oraclepubliccloud(oracle公共云)。
云基础设施系统2302还可以提供与“大数据”相关的计算和分析服务。术语“大数据”一般用来指可由分析员和研究者存储和操纵以可视化大量数据、检测趋势和/或以其它方式与数据交互的极大数据集。这种大数据和相关应用可以在许多级别和不同规模上由基础设施系统托管和/或操纵。并行链接的数十个、数百个或数千个处理器可以作用于这种数据,以便呈现它或者模拟对数据或其所表示的内容的外力。这些数据集可以涉及诸如根据结构化模型组织的数据在数据库中或以其它方式组织的结构化数据,和/或者非结构化数据(例如,电子邮件、图像、数据blob(二进制大对象)、网页、复杂事件处理)。通过利用实施例相对快速地将更多(或更少)的计算资源聚焦在目标上的能力,云基础设施系统可以更好地可用于基于来自企业、政府机构、研究组织、私人个人、一群志同道合的个体或组织或其它实体的需求在大数据集上执行任务。
在各种实施例中,云基础设施系统2302可以适于自动地配备、管理和跟踪消费者对由云基础设施系统2302提供的服务的订阅。云基础设施系统2302可以经由不同的部署模型提供云服务。例如,服务可以在公共云模型下提供,其中云基础设施系统2302由销售云服务的组织拥有(例如,由oracle公司拥有)并且使服务对一般公众或不同的工业企业可用。作为另一个示例,服务可以在私有云模型下提供,其中云基础设施系统2302仅针对单个组织操作,并且可以为组织内的一个或多个实体提供服务。云服务还可以在社区云模型下提供,其中云基础设施系统2302和由云基础设施系统2302提供的服务由相关社区中的若干个组织共享。云服务还可以在混合云模型下提供,混合云模型是两个或更多个不同模型的组合。
在一些实施例中,由云基础设施系统2302提供的服务可以包括在软件即服务(saas)类别、平台即服务(paas)类别、基础设施即服务(iaas)类别、或包括混合服务的其它服务类别下提供的一个或多个服务。消费者经由订阅订单可以订购由云基础设施系统2302提供的一个或多个服务。云基础设施系统2302然后执行处理,以提供消费者的订阅订单中的服务。
在一些实施例中,由云基础设施系统2302提供的服务可以包括但不限于应用服务、平台服务和基础设施服务。在一些示例中,应用服务可以由云基础设施系统经由saas平台提供。saas平台可以被配置为提供属于saas类别的云服务。例如,saas平台可以提供在集成的开发和部署平台上构建和交付成套点播应用的能力。saas平台可以管理和控制用于提供saas服务的底层软件和基础设施。通过利用由saas平台提供的服务,消费者可以利用在云基础设施系统上执行的应用。消费者可以获取应用服务,而无需消费者单独购买许可证和支持。可以提供各种不同的saas服务。示例包括但不限于为大型组织提供用于销售绩效管理、企业集成和业务灵活性的解决方案的服务。
在一些实施例中,平台服务可以由云基础设施系统2302经由paas平台提供。paas平台可以被配置为提供属于paas类别的云服务。平台服务的示例可以包括但不限于使组织(诸如oracle)能够在共享的共同体系架构上整合现有应用的服务,以及利用由平台提供的共享服务构建新应用的能力。paas平台可以管理和控制用于提供paas服务的底层软件和基础设施。消费者可以获取由云基础设施系统2302提供的paas服务,而无需消费者购买单独的许可证和支持。平台服务的示例包括但不限于oraclejava云服务(jcs)、oracle数据库云服务(dbcs)以及其它。
通过利用由paas平台提供的服务,消费者可以采用由云基础设施系统支持的编程语言和工具,并且还控制所部署的服务。在一些实施例中,由云基础设施系统提供的平台服务可以包括数据库云服务、中间件云服务(例如,oraclefusionmiddleware服务)和java云服务。在一个实施例中,数据库云服务可以支持共享服务部署模型,其使得组织能够汇集数据库资源并且以数据库云的形式向消费者提供数据库即服务。中间件云服务可以为消费者提供开发和部署各种业务应用的平台,以及java云服务可以在云基础设施系统中为消费者提供部署java应用的平台。
可以由云基础设施系统中的iaas平台提供各种不同的基础设施服务。基础设施服务促进底层计算资源(诸如存储装置、网络和其它基本计算资源)的管理和控制,以便消费者利用由saas平台和paas平台提供的服务。
在某些实施例中,云基础设施系统2302还可以包括基础设施资源2330,用于提供用来向云基础设施系统的消费者提供各种服务的资源。在一个实施例中,基础设施资源2330可以包括执行由paas平台和saas平台提供的服务的硬件(诸如服务器、存储装置和联网资源)的预先集成和优化的组合以及其它资源。
在一些实施例中,云基础设施系统2302中的资源可以由多个用户共享并且按需要动态地重新分配。此外,资源可以分配给在不同时区中的用户。例如,云基础设施系统2302可以使第一时区内的第一用户集合能够利用云基础设施系统的资源指定的小时数,然后使得能够将相同资源重新分配给位于不同时区中的另一用户集合,从而最大化资源的利用率。
在某些实施例中,可以提供由云基础设施系统2302的不同部件或模块共享以使得能够由云基础设施系统2302配备服务的多个内部共享服务2332。这些内部共享服务可以包括但不限于:安全和身份服务、集成服务、企业储存库服务、企业管理器服务、病毒扫描和白名单服务、高可用性、备份和恢复服务、用于启用云支持的服务、电子邮件服务、通知服务、文件传输服务等。
在某些实施例中,云基础设施系统2302可以在云基础设施系统中提供云服务(例如,saas、paas和iaas服务)的综合管理。在一个实施例中,云管理功能可以包括用于配备、管理和跟踪由云基础设施系统2302等接收到的消费者的订阅的能力。
在一个实施例中,如图23中所绘出的,云管理功能可以由诸如订单管理模块2320、订单编排模块2328、订单配备模块2324、订单管理和监视模块2326以及身份管理模块2328的一个或多个模块提供。这些模块可以包括一个或多个计算机和/或服务器或可以利用一个或多个计算机和/或服务器提供,该一个或多个计算机和/或服务器可以是通用计算机、专用服务器计算机、服务器场、服务器集群或任何其它适当的布置和/或组合。
在示例性操作中,在2334处,使用客户端设备(诸如客户端设备2304、2306或2308)的消费者可以通过请求由云基础设施系统2302提供的一个或多个服务并且对由云基础设施系统2302提供的一个或多个服务的订阅下订单来与云基础设施系统2302交互。在某些实施例中,消费者可以访问诸如云ui2312、云ui2314和/或云ui2316的云用户界面(ui)并经由这些ui下订阅订单。响应于消费者下订单而由云基础设施系统2302接收到的订单信息可以包括识别消费者和消费者打算订阅的由云基础设施系统2302提供的一个或多个服务的信息。
在2336处,从消费者接收到的订单信息可以存储在订单数据库2318中。如果这是新的订单,则可以为该订单创建新的记录。在一个实施例中,订单数据库2318可以是由云基础设施系统2318操作以及与其它系统元素结合操作的若干数据库当中的一个。
在2338处,订单信息可以被转发到订单管理模块2320,订单管理模块2320可以被配置为执行与订单相关的计费和记帐功能,诸如验证订单,并且在通过验证时预订订单。
在2340处,关于订单的信息可以被传送到订单编排模块2322,订单编排模块2322被配置为编排用于由消费者下的订单的服务和资源的配备。在一些情况下,订单编排模块2322可以使用订单配备模块2324的服务用于配备。在某些实施例中,订单编排模块2322使得能够管理与每个订单相关联的业务过程,并且应用业务逻辑来确定订单是否应当继续配备。
如图23中绘出的实施例所示,在2342处,在接收到新订阅的订单时,订单编排模块2322向订单配备模块2324发送分配资源和配置履行订购订单所需的资源的请求。订单配备模块2324使得能够为由消费者订购的服务分配资源。订单配备模块2324提供由云基础设施系统2300提供的云服务和用来配备用于提供所请求的服务的资源的物理实现层之间的抽象级。这使得订单编排模块2324能够与实现细节隔离,诸如服务和资源是否实际上实时配备、或者预先配备并且仅在请求时才进行分配/指定。
在2344处,一旦配备了服务和资源,就可以向订阅的消费者发送指示所请求的服务现在已准备好用于使用的通知。在一些情况下,可以向消费者发送使得消费者能够开始使用所请求的服务的信息(例如,链接)。
在2346处,可以由订单管理和监视模块2326来管理和跟踪消费者的订阅订单。在一些情况下,订单管理和监视模块2326可以被配置为收集关于消费者使用所订阅的服务的使用统计。例如,可以针对所使用的存储量、所传送的数据量、用户的数量以及系统启动时间和系统停机时间的量等来收集统计数据。
在某些实施例中,云基础设施系统2300可以包括身份管理模块2328,身份管理模块2328被配置为提供身份服务,诸如云基础设施系统2300中的访问管理和授权服务。在一些实施例中,身份管理模块2328可以控制关于希望利用由云基础设施系统2302提供的服务的消费者的信息。这种信息可以包括认证这些消费者的身份的信息和描述那些消费者被授权相对于各种系统资源(例如,文件、目录、应用、通信端口、存储器段等)执行的动作的信息。身份管理模块2328还可以包括关于每个消费者的描述性信息以及关于如何和由谁来访问和修改描述性信息的管理。
图24例示了可以被用来实现本公开的实施例的示例性计算机系统2400。在一些实施例中,计算机系统2400可以被用来实现上述各种服务器和计算机系统中的任何一个。如图24所示,计算机系统2400包括各种子系统,包括经由总线子系统2402与多个外围子系统通信的处理子系统2404。这些外围子系统可以包括处理加速单元2406、i/o子系统2408、存储子系统2418和通信子系统2424。存储子系统2418可以包括有形的计算机可读存储介质2422和系统存储器2410。
总线子系统2402提供用于使计算机系统2400的各种部件和子系统按照期望彼此通信的机制。虽然总线子系统2402被示意性地示为单条总线,但是总线子系统的可替代实施例可以利用多条总线。总线子系统2402可以是若干种类型的总线结构中的任何一种,包括存储器总线或存储器控制器、外围总线和利用各种总线体系架构中的任何一种的局部总线。例如,此类体系架构可以包括工业标准体系架构(isa)总线、微通道体系架构(mca)总线、增强型isa(eisa)总线、视频电子标准协会(vesa)局部总线和外围部件互连(pci)总线,其可以实现为根据ieeep1386.1标准制造的夹层(mezzanine)总线,等等。
处理子系统2404控制计算机系统2400的操作并且可以包括一个或多个处理单元2432、2434等。处理单元可以包括一个或多个处理器,其中包括单核或多核处理器、处理器的一个或多个核、或其组合。在一些实施例中,处理子系统2404可以包括一个或多个专用协处理器,诸如图形处理器、数字信号处理器(dsp)等。在一些实施例中,处理子系统2404的处理单元中的一些或全部可以利用定制电路来实现,诸如专用集成电路(asic)或现场可编程门阵列(fpga)。
在一些实施例中,处理子系统2404中的处理单元可以执行存储在系统存储器2410中或计算机可读存储介质2422上的指令。在各种实施例中,处理单元可以执行各种程序或代码指令,并且可以维护多个并发执行的程序或进程。在任何给定的时间,要执行的程序代码中的一些或全部可以驻留在系统存储器2410中和/或计算机可读存储介质2422上,包括可能在一个或多个存储设备上。通过适当的编程,处理子系统2404可以提供上述用于管理内容的显示的各种功能,用于响应于使用模式而动态修改文档(例如,网页)。
在某些实施例中,可以提供处理加速单元2406,用于执行定制的处理或用于卸载由处理子系统2404执行的一些处理,以便加速由计算机系统2400执行的整体处理。
i/o子系统2408可以包括用于向计算机系统2400输入信息和/或用于从或经由计算机系统2400输出信息的设备和机制。一般而言,术语“输入设备”的使用旨在包括用于向计算机系统2400输入信息的所有可能类型的设备和机制。例如,用户接口输入设备可以包括键盘、诸如鼠标或轨迹球的指示设备、触摸板或结合到显示器中的触摸屏、滚轮、点拨轮、拨盘、按钮、开关、键板、具有语音命令识别系统的音频输入设备、麦克风以及其它类型的输入设备。用户接口输入设备也可以包括使用户能够控制输入设备并与其交互的诸如microsoft
用户接口输入设备的其它示例包括但不限于,三维(3d)鼠标、操纵杆或指示杆、游戏板和图形平板、以及音频/视频设备,诸如扬声器、数字相机、数字摄像机、便携式媒体播放器、网络摄像机、图像扫描仪、指纹扫描仪、条形码读取器3d扫描仪、3d打印机、激光测距仪、以及眼睛注视跟踪设备。此外,例如,用户接口输入设备可以包括医疗成像输入设备,诸如计算机断层摄影、磁共振成像、位置发射断层摄影、医疗超声检查设备。例如,用户接口输入设备也可以包括音频输入设备,诸如midi键盘、数字乐器等。
用户接口输出设备可以包括显示子系统、指示器灯或诸如音频输出设备的非可视显示器等。显示子系统可以是阴极射线管(crt)、诸如利用液晶显示器(lcd)或等离子体显示器的平板设备、投影设备、触摸屏等。一般而言,术语“输出设备”的使用旨在包括用于从计算机系统2400向用户或其它计算机输出信息的所有可能类型的设备和机制。例如,用户接口输出设备可以包括但不限于可视地传达文本、图形和音频/视频信息的各种显示设备,诸如监视器、打印机、扬声器、耳机、汽车导航系统、绘图仪、语音输出设备和调制解调器。
存储子系统2418提供用于存储由计算机系统2400使用的信息的储存库或数据存储。存储子系统2418提供有形非瞬态计算机可读存储介质,用于存储提供一些实施例的功能的基本编程和数据结构。当由处理子系统2404执行时提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统2418中。软件可以由处理子系统2404的一个或多个处理单元执行。存储子系统2418也可以提供用于存储根据各方面使用的数据的储存库。
存储子系统2418可以包括一个或多个非瞬态存储器设备,包括易失性和非易失性存储器设备。如图24所示,存储子系统2418包括系统存储器2410和计算机可读存储介质2422。系统存储器2410可以包括多个存储器,包括用于在程序执行期间存储指令和数据的易失性主随机存取存储器(ram)和其中存储固定指令的非易失性只读存储器(rom)或闪存存储器。在一些实现中,包含有助于在诸如启动期间在计算机系统2400内的元件之间传送信息的基本例程的基本输入/输出系统(bios)通常可以存储在rom中。ram通常包含当前由处理子系统2404操作和执行的数据和/或程序模块。在一些实现中,系统存储器2410可以包括多个不同类型的存储器,诸如静态随机存取存储器(sram)或动态随机存取存储器(dram)。
作为示例而非限制,如在图24中所绘出的,系统存储器2410可以存储应用程序2412,其可以包括客户端应用、web浏览器、中间层应用、关系数据库管理系统(rdbms)等、程序数据2414和操作系统2416。作为示例,操作系统2416可以包括各种版本的microsoft
计算机可读存储介质2422可以存储提供一些实施例的功能的编程和数据结构。当由处理子系统2404执行时使处理器提供上述功能的软件(程序、代码模块、指令)可以存储在存储子系统2418中。作为示例,计算机可读存储介质2422可以包括非易失性存储器,诸如硬盘驱动器、磁盘驱动器、诸如cdrom、dvd、blu-
在某些实施例中,存储子系统2400也可以包括计算机可读存储介质读取器2420,其可以进一步连接到计算机可读存储介质2422。可选地,与系统存储器2410一起和组合,计算机可读存储介质2422可以全面地表示远程、本地、固定和/或可移动存储设备加上用于存储计算机可读信息的存储介质。
在某些实施例中,计算机系统2400可以提供对执行一个或多个虚拟机的支持。计算机系统2400可以执行诸如管理程序的程序,以便促进虚拟机的配置和管理。每个虚拟机可以被分配存储器、计算(例如,处理器、内核)、i/o和联网资源。每个虚拟机通常运行其自己的操作系统,此操作系统可以与由计算机系统2400执行的其它虚拟机执行的操作系统相同或不同。相应地,多个操作系统可以潜在地由计算机系统2400并发地运行。每个虚拟机一般独立于其它虚拟机运行。
通信子系统2424提供到其它计算机系统和网络的接口。通信子系统2424充当用于从计算机系统2400的其它系统接收数据和向其发送数据的接口。例如,通信子系统2424可以使计算机系统2400能够经由互联网建立到一个或多个客户端设备的通信信道,用于从客户端设备接收信息和发送信息到客户端设备。例如,图1中所绘出的账户管理系统112可以使用通信子系统2424从客户端设备接收包括与训练词相关的输入的用户登录信息。此外,通信子系统2424可以用于将成功登录的通知或从账户管理系统重新输入密码的通知传送到发出请求的用户。
通信子系统2424可以支持有线和/或无线通信协议两者。例如,在某些实施例中,通信子系统2424可以包括用于(例如,使用蜂窝电话技术、高级数据网络技术,诸如3g、4g或edge(全球演进的增强数据速率)、wifi(ieee802.11族标准,或其它移动通信技术、或其任意组合)接入无线语音和/或数据网络的射频(rf)收发器部件、全球定位系统(gps)接收器部件和/或其它部件。在一些实施例中,作为无线接口的附加或替代,通信子系统2424可以提供有线网络连接(例如,以太网)。
通信子系统2424可以以各种形式接收和发送数据。例如,在一些实施例中,通信子系统2424可以以结构化和/或非结构化的数据馈送2426、事件流2428、事件更新2430等形式接收输入通信。例如,通信子系统2424可以被配置为实时地从社交媒体网络的用户和/或诸如
在某些实施例中,通信子系统2424可以被配置为以连续数据流的形式接收本质上可能是连续的或无界的没有明确结束的数据,其中连续数据流可以包括实时事件的事件流2428和/或事件更新2430。生成连续数据的应用的示例可以包括例如传感器数据应用、金融报价机、网络性能测量工具(例如网络监视和流量管理应用)、点击流分析工具、汽车流量监视等。
通信子系统2424也可以被配置为向一个或多个数据库输出结构化和/或非结构化的数据馈送2426、事件流2428、事件更新2430等,其中所述一个或多个数据库可以与耦接到计算机系统2400的一个或多个流数据源计算机通信。
计算机系统2400可以是各种类型中的一种,包括手持便携式设备(例如,
由于计算机和网络不断变化的性质,对图24中绘出的计算机系统2400的描述旨在仅仅作为具体示例。具有比图24中所绘出的系统更多或更少部件的许多其它配置是可能的。基于本文所提供的公开内容和教导,本领域普通技术人员将理解实现各种实施例的其它方式和/或方法。
虽然已经详细描述了本发明的实施例,但是本领域技术人员将容易明白在本文讨论的实施例的精神和范围内的修改。应当理解的是,各种实施例的各个方面以及上面和/或所附权利要求中所述的各个方面和各种特征的各个部分可以或者整体或者部分地组合或互换。在各种实施例的前述描述中,如本领域技术人员将认识到的,参考另一个实施例的那些实施例可以与其它实施例适当地组合。此外,本领域技术人员将认识到的是,前面的描述仅仅是示例性的,并不意图限制本发明。
- 还没有人留言评论。精彩留言会获得点赞!