施例。同樣地，在此使用的短語和術(shù)語是擁有說明的目的并且不應(yīng)被視為限制。在此“包括”、“包含”或“具有”、“帶有”、“涉及”及其變體的使用意指包含在下文列出的術(shù)語和其等同物以及附加的術(shù)語。
[0030]如上所述，防止意圖執(zhí)行不良行為的第三方(S卩，不良行為人)訪問其網(wǎng)絡(luò)是大零售商的共同目標(biāo)。阻止識別出的不良行為人訪問網(wǎng)絡(luò)的常用程序包括，經(jīng)由在識別出不良行為人所在網(wǎng)絡(luò)訪問點而手動地阻擋不良行為人訪問網(wǎng)絡(luò)。例如，在識別了通過第一防火墻正訪問網(wǎng)絡(luò)的第三方試圖執(zhí)行不良行為之后，保安人員可手動配置第一防火墻阻擋第三方訪問網(wǎng)絡(luò)。然而，這個過程可能是緩慢的，且此外，不良行為人可能試圖從另一訪問點訪問網(wǎng)絡(luò)。保安人員可在逐個基礎(chǔ)上嘗試手動配置額外的防火墻，以阻擋第三方訪問網(wǎng)絡(luò);然而，這可能非常耗時(尤其是跨全球網(wǎng)絡(luò))，并且可能的是，在安全管理人員有機會跨網(wǎng)絡(luò)的所有訪問點阻擋不良行為之前，由第三方進行的不良行為被完成了。
[0031]除了長的時間要求之外，用于逐個地在網(wǎng)絡(luò)的每個單獨的訪問點處手動地阻擋不良行為人的這種常用程序也可能包括與事件文件有關(guān)的挑戰(zhàn)、變更控制管理、用于多種類型的防火墻的多個所需的程序、安裝在防火墻上的阻擋的期滿、網(wǎng)絡(luò)偵察以及除了外部資源威脅之外的內(nèi)部資產(chǎn)的意外定位。
[0032]因此，本文中描述的實施例提供一種系統(tǒng)和方法，用于跨網(wǎng)絡(luò)的每一個訪問點自動阻擋識別出的不良行為人。一旦不良行為人被識別，在網(wǎng)絡(luò)的每個訪問點處自動阻擋不良行為人，以防止阻擋規(guī)避。這樣的跨網(wǎng)絡(luò)自動阻擋不良行為人可大大減少完全阻擋不良行為人訪問網(wǎng)絡(luò)所需要的時間。此外，如在下面更詳細討論的，本文所描述的系統(tǒng)和方法還可以提供與上述識別出的手動跨網(wǎng)絡(luò)(即，逐個)阻擋相關(guān)聯(lián)的附加挑戰(zhàn)的解決方案。
[0033]圖1是示出根據(jù)本發(fā)明的一個方面的零售商的網(wǎng)絡(luò)101的框圖100。如上所述，零售網(wǎng)絡(luò)101被配置為允許在各種網(wǎng)絡(luò)設(shè)備102(例如，服務(wù)器、路由器、交換機、數(shù)據(jù)庫、計算機等等)之間的通信。根據(jù)一個實施例，網(wǎng)絡(luò)101是局域網(wǎng)(LAN)(例如，以太網(wǎng)網(wǎng)絡(luò))并且網(wǎng)絡(luò)設(shè)備102位于相對接近(例如，在同一建筑物或商店中)。根據(jù)另一個實施例，網(wǎng)絡(luò)101是廣域網(wǎng)(WAN)(例如，互聯(lián)網(wǎng))并且網(wǎng)絡(luò)設(shè)備102可以位于不同的位置(例如，在不同的商店、辦公室等)O
[0034]同樣如上所述，零售網(wǎng)絡(luò)101也被配置為允許網(wǎng)絡(luò)設(shè)備102和不同的第三方106、110、114之間的通信。根據(jù)一個實施例，第三方106、110、114中的至少一個是試圖從網(wǎng)絡(luò)設(shè)備102檢索信息(例如，產(chǎn)品或可用性信息)或經(jīng)由網(wǎng)絡(luò)101下定單的客戶。在另一實施例中，第三方106、110、114中的至少一個是網(wǎng)絡(luò)101或設(shè)備102的管理員或操作員。在另一個實施例中，第三方106、110、114中的至少一個是打算傷害網(wǎng)絡(luò)101、網(wǎng)絡(luò)設(shè)備102或其他第三方的不良行為人。根據(jù)其它實施例，第三方可以是正試圖訪問網(wǎng)絡(luò)101和耦接到網(wǎng)絡(luò)的至少一個網(wǎng)絡(luò)設(shè)備102的任何其它類型的用戶。
[0035]如在圖1中所示，不同的第三方106、110、114可以經(jīng)由網(wǎng)絡(luò)101的不同的訪問點107、109、113(例如，經(jīng)由不同的路由器、服務(wù)器、鏈路、交換機等)訪問網(wǎng)絡(luò)101。每一個訪問點107、109、113經(jīng)由網(wǎng)絡(luò)安全應(yīng)用108、112、116耦接到網(wǎng)絡(luò)101。根據(jù)一個實施例，網(wǎng)絡(luò)安全應(yīng)用108、112、116中的至少一個是防火墻。例如，在一個實施例中，網(wǎng)絡(luò)安全應(yīng)用108、112、116中的至少一個是由圣何塞，加利福尼亞的思科系統(tǒng)公司制造的防火墻;然而，在其他實施例中，可以使用任何其它類型的防火墻。
[0036]根據(jù)另一個實施例，網(wǎng)絡(luò)安全應(yīng)用108、112、116中的至少一個是入侵防止系統(tǒng)(IPS)。例如，在一個實施例中，網(wǎng)絡(luò)安全應(yīng)用108、112、116中的至少一個是由帕洛阿爾托，CA的惠普公司制造的TippingPoint IPS；然而，在其他實施例中，可以使用任何其它類型的IPS。根據(jù)其它實施例，訪問點107、109、113可以經(jīng)由任何其他類型的網(wǎng)絡(luò)安全應(yīng)用耦接到網(wǎng)絡(luò)101。另外，根據(jù)至少一個實施例，多個第三方可以經(jīng)由相同的訪問點和/或相同的網(wǎng)絡(luò)安全應(yīng)用訪問網(wǎng)絡(luò)101。
[0037]根據(jù)一個實施例，關(guān)于網(wǎng)絡(luò)101的每個第三方106、110、114的活動由耦接在每個訪問點107、109、113和網(wǎng)絡(luò)1I之間的網(wǎng)絡(luò)訪問監(jiān)控模塊104監(jiān)控。根據(jù)一個實施例，在網(wǎng)絡(luò)設(shè)備102(例如，服務(wù)器、計算機、路由器等)的至少一個內(nèi)操作監(jiān)控模塊104。網(wǎng)絡(luò)訪問監(jiān)控模塊104監(jiān)控在每個第三方106、110、114和網(wǎng)絡(luò)101之間的傳輸來識別潛在不良行為人。根據(jù)一個實施例，基于表示潛在不良行為人的在傳輸內(nèi)特定的預(yù)定義的觸發(fā)，監(jiān)控模塊104識別潛在不良行為人。
[0038]根據(jù)一個實施例，定義的觸發(fā)是基于第三方怎么試圖通過訪問網(wǎng)絡(luò)101來完成(SP，從第三方接收的信號的內(nèi)容或有效載荷)。例如，根據(jù)一個實施例，來自試圖獲得關(guān)于網(wǎng)絡(luò)101和/或網(wǎng)絡(luò)設(shè)備102的信息的第三方的信號是識別該第三方是潛在不良行為人的監(jiān)控模塊104的觸發(fā)。例如，向監(jiān)控模塊104識別不良行為人的一些信號是:網(wǎng)絡(luò)設(shè)備102的端口的掃描，網(wǎng)絡(luò)101的映射，網(wǎng)絡(luò)101的輪廓掃描，結(jié)構(gòu)查詢語言(SQL)注入或釣魚攻擊等等。根據(jù)其它實施例，任何其它類型的信號或活動可以被定義為將潛在不良行為人發(fā)信號到監(jiān)控模塊104的觸發(fā)。
[0039]根據(jù)一個實施例，網(wǎng)絡(luò)訪問監(jiān)控模塊104是由帕洛阿爾托，CA的惠普公司制造的ArcSight安全智能平臺；然而，在其他實施例中，可以利用任何其它類型的網(wǎng)絡(luò)訪問監(jiān)控模塊 104。
[0040]根據(jù)一個實施例，在網(wǎng)絡(luò)訪問監(jiān)控模塊104監(jiān)控第三方106、110、114與網(wǎng)絡(luò)101相關(guān)的活動并且識別潛在不良行為人時，它向安全操作中心120提供識別出的潛在不良行為人的指示。根據(jù)一個實施例，來自網(wǎng)絡(luò)訪問監(jiān)控模塊104的識別出的潛在不良行為人的指示在安全操作中心120處由人員監(jiān)控。例如，根據(jù)一個實施方式，來自網(wǎng)絡(luò)訪問監(jiān)控模塊104的識別出的潛在不良行為人的指示在安全操作中心120處由用戶(例如，安全人員)監(jiān)控。根據(jù)一個實施例，每個用戶122操作終端124，其顯示(例如，經(jīng)由圖形用戶界面(GUI))來自監(jiān)控模塊104的識別出的潛在不良行為人的指示。
[0041 ] 圖2示出了安全操作中心120內(nèi)在終端124上顯示的網(wǎng)絡(luò)訪問監(jiān)控模塊⑶1200。⑶I包括由網(wǎng)絡(luò)訪問監(jiān)控模塊104識別出的潛在不良行為人的列表202。根據(jù)一個實施例，列表202可以包括任何數(shù)量的潛在不良行為人。列表202內(nèi)的每個潛在不良行為人被顯示為與由監(jiān)控模塊104識別出的潛在不良行為有關(guān)。例如，根據(jù)一個實施例，列表202內(nèi)的每個潛在不良行為人由不良行為開始時間204、不良行為結(jié)束時間206、不良行為類型標(biāo)識符208、不良行為描述210、潛在不良行為人的互聯(lián)網(wǎng)協(xié)議(IP)地址212、潛在不良行為人的端口(S卩，訪問點)214和意圖目標(biāo)的名稱216來識別。根據(jù)其它實施例，在列表212中包括的每個潛在不良行為人可以由可幫助用戶122確定是否應(yīng)該阻擋潛在不良行為人訪問網(wǎng)絡(luò)101的任何其他類型的信息來識別。
[0042]在用戶122經(jīng)由終端124監(jiān)控⑶I 200時，基于在列表202中顯示的信息，用戶可以確定應(yīng)該阻擋所列出的潛在不良行為人中的至少一個訪問網(wǎng)絡(luò)101。例如，如圖2所示，由于在網(wǎng)絡(luò)101上傳輸控制協(xié)議(TCP)掃描的試圖發(fā)起，在列表202的底部(S卩，條目218)處的潛在不良行為人218由監(jiān)控模塊104識別為潛在不良行為人。如果用戶122決定應(yīng)阻擋發(fā)起TCP掃描的第三方訪問網(wǎng)絡(luò)101，則用戶122可以操作GUI 200來將與潛在不良行為人有關(guān)的信息自動傳送到網(wǎng)絡(luò)訪問阻擋模塊118。根據(jù)一個實施例，在耦接到網(wǎng)絡(luò)101的至少一個網(wǎng)絡(luò)設(shè)備102(例如，服務(wù)器、計算機、處理器等)內(nèi)操作阻擋模塊118。
[0043]根據(jù)一個實施例，通過在列表202中選擇期望的條目218，用戶122將與潛在不良行為人有關(guān)的信息傳送到網(wǎng)絡(luò)訪問阻擋模塊118。在一個實施例中，用戶122利用終端124的鼠標(biāo)或鍵盤選擇期望的條目218;然而，在其他實施例中，可以使用任何其它適當(dāng)?shù)募夹g(shù)來用于在列表202中選擇條目。根據(jù)一個實施例，一旦在列表202中期望的條目218被選擇，就在GUI 200中顯示彈出窗口 220，顯示了用戶122關(guān)于被選條目218可采取的潛在動作的列表221。潛在動作的列表221可包括用戶122關(guān)于被選條目218可采取的任何類型或數(shù)量的動作。根據(jù)一個實施例，動作221中的一個是“工具(Tool)”條目223。
[0044]在選擇“工具”條目223(例如，經(jīng)由終端124的鼠標(biāo)或鍵盤)之后，顯示第二彈出窗口 222，包括用戶221關(guān)于被選條目218可操作的工具的列表225。工具的列表225可以包括用戶221關(guān)于被選條目218可利用的任意數(shù)量的工具225。根據(jù)一個實施例，工具225之一是網(wǎng)絡(luò)訪問阻擋模塊118。如圖中所示2，網(wǎng)絡(luò)訪問阻擋模塊118標(biāo)題為“BAN HAMMER” ；然而，在其他實施例中，網(wǎng)絡(luò)訪問阻擋模塊118可以以任何其他方式獲得標(biāo)題。
[0045]根據(jù)一個實施例，在從工具的列表225中選擇網(wǎng)絡(luò)訪問阻擋模塊118之后，網(wǎng)絡(luò)訪問阻擋模塊118確認選擇了阻擋模塊118的用戶221被授權(quán)操作阻擋模塊118。根據(jù)一個實施例，阻擋模塊118在終端124處給當(dāng)前用戶221提示請求用戶輸入密碼來進行的消息。在另一個實施例中，阻擋模塊118在終端124處提示當(dāng)前用戶221將安全令牌(S卩，授權(quán)訪問阻擋模塊118的小型硬件裝置(例如，鑰匙鏈))連接到終端124。根據(jù)一個實施例，阻擋模塊118需要用戶221的雙因素認證(例如，使用密碼和安全令牌)來訪問阻擋模塊118。例如，如在圖3中所示，網(wǎng)絡(luò)訪問阻擋模塊118可經(jīng)由終端224來向用戶221顯示GUI 300，其要求正在請求訪問阻擋模塊118的用戶221在限定區(qū)域302中輸入密碼并且也將授權(quán)的安全令牌連接到終端224(例如，經(jīng)由硬線或無線連接)。根據(jù)其它實施例，可能需要任何其他適當(dāng)類型的用戶認證。在驗證該用戶221被授權(quán)操作阻擋模塊118之后，阻擋模塊118被啟動。
[0046]根據(jù)