用于消除对网络数据包的冗余安全分析的系统和方法
【专利说明】
【背景技术】
[0001]计算机网络常常包括对相同的网络数据包执行大体上类似的安全分析的多个计算设备。例如,计算机网络可以包括促进将数据包从源计算设备传输到目标计算设备的网关设备。在这个实例中,在从源计算设备接收一个或多个数据包后,网关设备可以在将数据包转发到目标计算设备之前对数据包执行一个或多个安全分析(诸如,入侵检测系统(IDS)分析、入侵预防系统(IPS)分析、反病毒分析,和/或防火墙分析)。然而,在接收从网关设备转发的数据包后,目标计算设备可能对数据包冗余地执行相同的安全分析。
[0002]不幸的是,这些冗余安全分析可能消耗宝贵的网络资源并且妨碍计算机网络实现最佳性能。因此,需要用于消除由包括在计算机网络中的不同计算设备执行的冗余安全分析而不损害由网络提供的安全等级的系统和方法。
【发明内容】
[0003]如将在下面更详细地描述的,本公开大体上涉及用于消除对网络数据包的冗余安全分析的系统和方法。在一个实例中,一种用于消除对网络数据包的冗余安全分析的计算机实施方法可以包括:(I)在网络设备处拦截发往目标计算设备的至少一个网络数据包;
(2)识别安装在目标计算设备上的安全系统;(3)确定安装在目标计算设备上的安全系统不满足预定义的安全标准;以及然后(4)至少部分地基于确定安装在目标计算设备上的安全系统不满足预定义的安全标准,在网络设备处对网络数据包执行满足预定义的安全标准的安全分析(诸如,IDS分析、IPS分析、反病毒分析,和/或防火墙分析)。
[0004]在一些实例中,方法也可以包括提供基于云的服务器,所述基于云的服务器验证目标计算设备;获得关于目标计算设备的信息(例如,用于识别以下各项的信息:安装在目标计算设备上的安全系统、安装在目标计算设备上的安全系统的当前状态、安全系统被最近更新的日历日期、与目标计算设备相关联的网络地址,和/或目标计算设备的品牌或型号);以及然后存储关于目标计算设备的信息以使网络设备能够访问信息以便识别安装在目标计算设备上的安全系统。
[0005]在一些实例中,方法也可以包括从目标计算设备的用户获得用户证书。在这样的实例中,方法可以进一步包括搜索与基于云的服务器相关联的验证数据库的从目标计算设备的用户获得的用户证书。另外,方法可以包括在搜索与基于云的服务器相关联的验证数据库的同时识别从目标计算设备的用户获得的用户证书。
[0006]在一些实例中,方法也可以包括识别与网络数据包相关联的目的地地址。在这样的实例中,方法可以进一步包括通过比较目的地地址与存储在基于云的服务器上的信息中所指定的网络地址来确定网络数据包发往目标计算设备。另外,方法可以包括在确定网络数据包发往目标计算设备后,识别存储在基于云的服务器上的信息中所指定的安全系统。
[0007]在一些实例中,方法也可以包括为目标计算设备提供验证令牌,所述验证令牌被配置成引导目标计算设备响应于检测到对安装在目标计算设备上的安全系统的至少一个修改而更新存储在基于云的服务器上的信息。在这样的实例中,方法可以进一步包括从目标计算设备接收识别对安全系统的修改的更新。另外,方法可以包括至少部分地基于接收的更新来更新存储在基于云的服务器上的信息以考虑对安全系统的修改。
[0008]在一些实例中,方法也可以包括至少部分地基于安全分析来确定网络数据包不对目标计算设备构成安全风险。在这样的实例中,方法可以进一步包括在确定网络数据包不对目标计算设备构成安全风险后,将网络数据包从网络设备转发到目标计算设备。
[0009]在一些实例中,方法也可以包括至少部分地基于安全分析来确定网络数据包对目标计算设备构成安全风险。在这样的实例中,方法可以进一步包括在确定网络数据包对目标计算设备构成安全风险后,隔离网络数据包(而不是将网络数据包从网络设备转发到目标计算设备)。
[0010]在一些实例中,方法也可以包括确定安装在目标计算设备上的安全系统满足不同的预定义的安全标准。在这样的实例中,方法可以进一步包括将网络数据包从网络设备转发到目标计算设备,而不对网络数据包执行满足不同的预定义的安全标准的安全分析,因为安装在目标计算设备上的安全系统满足不同的预定义的安全标准。
[0011]在一个实施方式中,一种用于实施上述方法的系统可以包括:(I)拦截模块,其被编程为在网络设备处拦截发往目标计算设备的至少一个网络数据包;(2)识别模块,其被编程为识别安装在目标计算设备上的安全系统;(3)确定模块,其被编程为确定安装在目标计算设备上的安全系统不满足预定义的安全标准;以及(4)安全模块,其被编程为至少部分地基于确定安装在目标计算设备上的安全系统不满足预定义的安全标准,在网络设备处对网络数据包执行满足预定义的安全标准的安全分析。
[0012]在一些实例中,上述方法可以被编码为非暂时性计算机可读存储介质上的计算机可读指令。例如,非暂时性计算机可读存储介质可以包括一个或多个计算机可执行指令,所述指令在由网络设备的至少一个处理器执行时可以使网络设备:(I)拦截发往目标计算设备的至少一个网络数据包;(2)识别安装在目标计算设备上的安全系统;(3)确定安装在目标计算设备上的安全系统不满足预定义的安全标准;以及(4)至少部分地基于确定安装在目标计算设备上的安全系统不满足预定义的安全标准,对网络数据包执行满足预定义的安全标准的安全分析。
[0013]根据本文中所描述的一般原理,来自任何上述实施方式的特征可以彼此组合使用。在结合附图和权利要求阅读以下详细描述后,将更加充分地理解这些和其他实施方式、特征和优点。
【附图说明】
[0014]附图示出许多示例性实施方式并且是说明书的一部分。连同下面的描述,这些附图展示并解释本公开的各种原理。
[0015]图1是用于消除对网络数据包的冗余安全分析的示例性系统的方框图。
[0016]图2是用于消除对网络数据包的冗余安全分析的示例性系统的方框图。
[0017]图3是用于消除对网络数据包的冗余安全分析的示例性方法的流程图。
[0018]图4是发往目标计算设备的示例性网络数据包以及关于目标计算设备的示例性信息的图解。
[0019]图5是能够实施本文所描述和/或示出的一个或多个实施方式的示例性计算系统的方框图。
[0020]图6是能够实施本文所描述和/或示出的一个或多个实施方式的示例性计算网络的方框图。
[0021]在整个附图中,相同的参考字符和描述指示类似但未必相同的元件。尽管本文所描述的示例性实施方式易受各种修改和替代形式的影响,但通过附图中的实例已示出【具体实施方式】并将在本文中详细地描述。然而,本文所描述的示例性实施方式并不旨在限于所公开的特定形式。相反地,本公开涵盖了在所附权利要求的范围内的所有修改形式、等效形式和替代形式。
【具体实施方式】
[0022]本公开大体上涉及用于消除对网络数据包的冗余安全分析的系统和方法。如将在下面更详细地解释,通过验证包括在计算机网络中的计算设备,本文所描述的各种系统和方法可以提供经过验证的计算设备能够暴露其安全能力和/或漏洞而不存在被恶意网络参与者利用的风险的安全计算环境。通过提供经过验证的计算设备能够暴露其安全能力和/或漏洞而不存在被恶意网络参与者利用的风险的安全计算环境,本文所描述的各种系统和方法也可以使网络设备(诸如,网络网关)能够确定安装在经过验证的计算设备上的安全系统是否满足预定义的安全标准。
[0023]另外,通过使网络设备能够确定安装在经过验证的计算设备上的安全系统是否满足预定义的安全标准,本文所描述的各种系统和方法可以消除对发往经过验证的计算设备的网络数据包的冗余安全分析。此外,通过消除对发往经过验证的计算设备的网络数据包的冗余安全分析,本文所描述的各种系统和方法可以有助于保护网络资源和/或提高计算机网络的整体性能。
[0024]以下将参照图1至图2提供对用于消除对网络数据包的冗余安全分析的示例性系统的详细描述。将结合图3提供对相应的计算机实施方法的详细描述。将结合图4提供对发往目标计算设备的示例性网络数据包以及关于目标计算设备的示例性信息的详细描述。另外,将分别结合图5和图6提供对能够实施本文所描述的一个或多个实施方式的示例性计算系统和网络体系结构的详细描述。
[0025]图1是用于消除对网络数据包的冗余安全分析的示例性系统100的方框图。如此图中所示,示例性系统100可以包括用于执行一个或多个任务的一个或多个模块102。例如,并且如将在下面更详细地解释,示例性系统100可以包括拦截模块104,拦截模块104被编程为在网络设备处拦截发往目标计算设备的至少一个网络数据包。示例性系统100也可以包括识别模块106,识别模块106被编程为识别安装在目标计算设备上的安全系统。
[0026]另外,并且如将在下面更详细地描述,示例性系统100可以包括确定模块108,确定模块108被编程为确定安装在目标计算设备上的安全系统不满足预定义的安全标准。示例性系统100也可以包括安全模块110,安全模块110被编程为至少部分地基于确定安装在目标计算设备上的安全系统不满足预定义的安全标准,在网络设备处对网络数据包执行满足预定义的安全标准的安全分析。
[0027]此外,并且如将在下面更详细地描述,示例性系统100可以包括验证模块112,验证模块112被编程为验证目标计算设备。示例性系统100也可以包括信息模块114,信息模块114被编程为获得关于目标计算设备的信息并且存储关于目标计算设备的信息以使网络设备能够访问信息,以便识别安装在目标计算设备上的安全系统。尽管图1中的一个或多个模块102被示出为单独的元件,但是模块102可以表示单个模块或应用程序(诸如,赛门铁克(SYMANTEC)的网络安全)的多个部分。
[0028]在某些实施方式中,图1中的一个或多个模块102可以表示一个或多个软件应用程序或程序,所述软件应用程序或程序在由计算设备执行时可以使计算设备执行一个或多个任务。例如,并且如将在下面更详细地描述,一个或多个模块102可以表示软件模块,所述软件模块被存储并且被配置成在一个或多个计算设备(诸如,图2中所示的设备(例如,目标计算设备202、基于云的服务器206,和/或网络设备208))、图5中的计算系统510,和/或图6中的示例性网络体系结构600的多个部分上运行。图1中的一个或多个模块102也可以表示被配置成执行一个或多个任务的一个或多个专用计算机的全部或多个部分。
[0029]如图1中所示,示例性系统100也可以包括一个或多个网络数据包,诸如网络数据包118。例如,网络数据包118可以包括表示文件的全部或一部分的数据。在这个实例中,网络数据包118可以包括有效载荷和/或元数据(诸如,识别有效载荷的源和/或目的地的数据)。另外,网络数据包118可以源于互联网或包括在计算机网络(诸如,内部网)中的源计算设备。
[0030]图1中的示例性系统100可以用多种方式来实施。例如,示例性系统100的全部或一部分可以表示图2中的示例性系统200的多个部分。如图2中所示,系统200可以包括经由网络204与目标计算设备202和基于云的服务器206通信的网络设备208。
[0031 ] 网络设备208可以被编程具有一个或多个模块102,和/或可以具有发往目标计算设备202的被拦截的网络数据包118。另外或替代地,基于云的服务器206可以被编程具有一个或多个模块102,和/或可以存储关于目标计算设备202的信息210的全部或一部分和/或用于验证目标计算设备202的验证数据库212。另外或替代地,目标计算设备202可以包括安全系统216,和/或用于促进更新存储在基于云的服务器206上的信息210的验证令