專利名稱:用于減小計算機網(wǎng)絡(luò)中的安全風(fēng)險的系統(tǒng)和方法
技術(shù)領(lǐng)域:
本發(fā)明涉及計算機網(wǎng)絡(luò)安全的系統(tǒng)和方法,且更具體而言,涉及用于對與網(wǎng)絡(luò)用戶的行為和特點有關(guān)的風(fēng)險加以考慮的網(wǎng)絡(luò)安全管理的系統(tǒng)和方法。
背景技術(shù):
企業(yè)計算機網(wǎng)絡(luò)(ECN)的安全性依賴于網(wǎng)絡(luò)中的每個具體計算機的安全性。對ECN內(nèi)的信息安全性事故(incident)的監(jiān)視以及安全組件的遠(yuǎn)程配置是ECN管理員必須處理的關(guān)鍵問題。目前,存在這樣的ECN管理工具,這些工具遠(yuǎn)程登記安全性事故(例如,違反安全策略)、計算安全風(fēng)險并根據(jù)安全策略配置用戶PC。然而,這些安全工具只分析過去的安全性事故,從而無法達(dá)到期望的安全級別,盡管這也可能使這些安全性事故得到預(yù)防。所提及的安全事件包括在用戶計算機上檢測到的系統(tǒng)事件,例如文件讀取/寫入、用戶身份驗證、應(yīng)用程序執(zhí)行、數(shù)據(jù)加載、網(wǎng)絡(luò)通信、對系統(tǒng)配置的改變以及其他事件。此外,由于各計算機用戶在其計算機技能方面各不相同,所以ECN中存在不熟練的計算機新手會表現(xiàn)出信息泄露或資源崩潰的高風(fēng)險,這將會給資源所有者造成巨大損失。這個問題對于其中泄露信息或拒絕為系統(tǒng)用戶服務(wù)的風(fēng)險至關(guān)重要的大型企業(yè)計算機網(wǎng)絡(luò)而言尤其緊迫。本申請中所提出的解決方案在于基于對各用戶的安全風(fēng)險的分析及其計算機的適應(yīng)性配置來預(yù)防網(wǎng)絡(luò)中的安全性事故。
發(fā)明內(nèi)容
本申請所公開的是一種用于減小計算機網(wǎng)絡(luò)中的安全風(fēng)險的系統(tǒng)、方法和計算機程序產(chǎn)品。該系統(tǒng)包括管理服務(wù)器,該服務(wù)器從計算機接收關(guān)于計算機的系統(tǒng)使用、用戶活動和安全事故的網(wǎng)絡(luò)信息。該服務(wù)器從本地數(shù)據(jù)存儲器檢索計算機用戶的用戶簡檔信息。該服務(wù)器然后對所接收的信息和用戶簡檔信息進(jìn)行定性和定量評估,以確定計算機的一個或多個風(fēng)險因子的值。該服務(wù)器然后通過對計算機的一個或多個風(fēng)險因子的值運用模糊邏輯規(guī)則來計算計算機的一個或多個安全評級。該服務(wù)器然后確定安全評級是否處于準(zhǔn)許范圍內(nèi),其中準(zhǔn)許范圍是至少部分地基于計算機用戶的職位而設(shè)定的。如果安全評級處于準(zhǔn)許范圍內(nèi),則服務(wù)器基于安全評級而為在計算機上部署的反病毒應(yīng)用程序選擇安全設(shè)置,以便減小用戶對計算機網(wǎng)絡(luò)的安全風(fēng)險,并將所選安全設(shè)置傳輸至計算機的反病毒應(yīng)用程序。以上對本發(fā)明示例性實施例的簡要概括用于提供對這類實施例的基本理解。此概括并不是本發(fā)明設(shè)想的所有方面的寬泛概述,并且既非意圖確定所有實施例的關(guān)鍵或決定性要素也非意圖限制任何或者所有實施例的范圍。其唯一目的在于簡要地提出一個或多個方面的一些構(gòu)思,作為下面更為詳細(xì)的描述的前序。為了實現(xiàn)前述的以及相關(guān)的目的,一個或多個實施例包括將在下面充分描述且在權(quán)利要求書中特別指出的特征。下面的描述和附圖詳細(xì)地闡述了一個或多個實施例的某些示例性特征。不過,這些特征僅通過可以采用各方面原理的各種方式中的一些來加以說明,但此描述意圖包括所有這樣的方面及其等同物。
附圖包含于說明書中并構(gòu)成說明書的一部分,示出了本發(fā)明的一個或多個示例性實施例,與詳細(xì)描述一起用于解釋本發(fā)明實施例的原理和實施方式。附圖中
圖I示出了根據(jù)一個示例性實施例的用戶計算機系統(tǒng)和管理服務(wù)器之間的交互;圖2示出了根據(jù)一個示例性實施例的用戶計算機和管理服務(wù)器之間的交互;圖3示出了根據(jù)一個示例性實施例的由管理服務(wù)器收集的信息的示例;圖4示出了根據(jù)一個示例性實施例的用戶的通信的示例;圖5示出了根據(jù)一個示例性實施例的由管理服務(wù)器維護(hù)的用戶簡檔的下例;圖6示出了根據(jù)一個示例性實施例的管理服務(wù)器的功能流程框圖;圖7示出了根據(jù)一個示例性實施例的用于管理服務(wù)器的操作方法的流程圖;以及圖8示出了根據(jù)一個示例性實施例的計算機系統(tǒng)的示意圖。
具體實施例方式在本申請中,圍繞用于預(yù)測和預(yù)防企業(yè)計算機網(wǎng)絡(luò)(ECN)中的安全性事故的系統(tǒng)、方法及計算機程序產(chǎn)品,來描述本發(fā)明的示例性實施例。本領(lǐng)域普通技術(shù)人員應(yīng)認(rèn)識至IJ,下面的描述僅僅是示例性的而并非意圖以任何方式進(jìn)行限定。受益于此公開內(nèi)容的本領(lǐng)域技術(shù)人員將容易獲得其他實施例的啟示?,F(xiàn)在,將更為詳細(xì)地描述如圖所示的示例性實施例的實施方式。貫穿全部附圖以及下列描述,相同的附圖標(biāo)記將盡可能用于表示相同或相似的對象。圖I示出了用于預(yù)測和預(yù)防ECN 100中的安全性事故的系統(tǒng)的配置的一個示例性實施例。該系統(tǒng)具有客戶端-服務(wù)器配置,并且包括管理服務(wù)器110、管理數(shù)據(jù)庫115和多個客戶計算機105。在一個示例性實施例中,管理服務(wù)器110可以是在PC 105上部署的軟件應(yīng)用程序。在另一個示例性實施例中,可以在由受信任服務(wù)提供商托管(host)的遠(yuǎn)程服務(wù)器上調(diào)度管理服務(wù)器110。另外,管理數(shù)據(jù)庫系統(tǒng)115相對于管理服務(wù)器110可以是本地的或遠(yuǎn)程的。管理服務(wù)器110以向網(wǎng)絡(luò)100中每個接受管理的計算機105提供連接的方式連接到ECN 100。該系統(tǒng)還包括管理控制臺140,該控制臺用作用于控制管理服務(wù)器110的管理員工作場所。管理員組可以使用若干控制臺140。控制臺140允許網(wǎng)絡(luò)條件可視化、發(fā)送威脅信號、監(jiān)視設(shè)置和更新的過程以及其他信息安全(IS)功能。由服務(wù)器110處理的數(shù)據(jù)可被存儲在管理數(shù)據(jù)系統(tǒng)115的專家數(shù)據(jù)庫130以及用戶簡檔(profile)數(shù)據(jù)庫120中。該數(shù)據(jù)可包括但不限于事件日志、用戶的個人信息、聯(lián)網(wǎng)的PC信息、安全設(shè)置、安全策略、用于預(yù)測和預(yù)防ECN 100中的安全性事故的系統(tǒng)操作所需要的專家數(shù)據(jù)以及其他類型的信息。
圖2中示出了用于預(yù)測和預(yù)防ECN 100中的安全性事故的系統(tǒng)操作的一個示例性實施例。操作期間,PC 105的用戶執(zhí)行各種操作;他們中的一些對PC 105以及網(wǎng)絡(luò)100中的其他計算機會是有害的。為了檢測這類情況,可在用戶PC 105上部署檢測代理程序210。檢測代理程序210可以是安裝在PC 105上的反病毒應(yīng)用軟件的組件(例如,程序或腳本)。檢測代理程序210可以被 配置為檢查PC 105是否存在惡意軟件(例如,病毒、木馬)以及其他漏洞和威脅。在檢測到惡意代碼或有害用戶活動的情況下,生成感染記錄并將其存儲在事件日志220中,該日志可被發(fā)送至管理服務(wù)器110。日志220可以在檢測到事件時由檢測代理程序210周期性間隔地或?qū)崟r地傳輸至管理服務(wù)器110。例如,如果檢測代理程序210檢測到惡意代碼在PC 105上執(zhí)行,則關(guān)于該事故的事件數(shù)據(jù)可立即被傳輸至服務(wù)器110。例如,由檢測代理程序210傳送至服務(wù)器110的事件信息可包括但不限于事故檢測時間、惡意軟件或漏洞名稱、關(guān)于病毒侵入方法的數(shù)據(jù)、其中已經(jīng)檢測到病毒的目錄、感染之前的用戶活動以及其他信息。服務(wù)器110分析所接收的數(shù)據(jù)并向PC 105傳輸一系列預(yù)防措施230,例如軟件設(shè)置、訪問權(quán)限限制、懲罰通知、安全培訓(xùn)指令以及旨在減小PC 105上信息丟失或感染的風(fēng)險的其他措施。用戶通常在ECN 100中他們的PC 105上安裝各種未經(jīng)安全服務(wù)批準(zhǔn)的應(yīng)用程序。此處以及進(jìn)一步地,術(shù)語“應(yīng)用程序”意指被設(shè)計為執(zhí)行一定用戶任務(wù)并意圖與用戶直接交互的程序。在大多數(shù)情況下,應(yīng)用程序并不直接訪問計算機資源;它們經(jīng)由操作系統(tǒng)而與(PU和存儲器交互。這類應(yīng)用程序通常存在漏洞和錯誤;并且在在線下載的情況下,存在安裝文件被計算機病毒感染的極大可能性。另外,用戶通常使用各種設(shè)備,例如蜂窩電話、閃存卡、外部硬件驅(qū)動器以及與PC 105相互傳送數(shù)據(jù)、圖像和音頻文件的相機。這些存儲設(shè)備可能包含惡意軟件,這些惡意軟件由于這些設(shè)備的便攜性而可以在ECN 100中快速傳播。在用戶的文件或信息在網(wǎng)絡(luò)100中的計算機之間交互之時發(fā)生感染。對網(wǎng)絡(luò)安全問題的研究揭示出(i)企業(yè)計算機網(wǎng)絡(luò)中的用戶的計算機文化程度依賴于年齡、教育、性別、工作經(jīng)驗和其他個人特點;(ii)用戶的不受限活動會增大用戶計算機系統(tǒng)的感染風(fēng)險;(iii)計算機保護(hù)級別應(yīng)當(dāng)與用戶在公司的職位對應(yīng);(iv)從信息安全的觀點看,用戶的工作質(zhì)量依據(jù)個人特點和管理措施而會隨時間改變;(V)用戶的安全評級依賴于他們與其網(wǎng)絡(luò)中的其他用戶的通信。據(jù)此,本發(fā)明的用于預(yù)防安全性事故的系統(tǒng)將這些因素納入考慮。在一個示例性實施例中,用戶安全評級是對連接至ECN的用戶PC上的安全性事故的風(fēng)險進(jìn)行定義的一參數(shù)或一組參數(shù)。換言之,用戶安全評級可反映用戶活動和系統(tǒng)使用的安全風(fēng)險。例如,用戶的密集的因特網(wǎng)活動增大了計算機感染風(fēng)險,因而降低了用戶的安全評級。在一個示例性實施例中,安全評級的值可被表述為O 100范圍內(nèi)的數(shù)值。在另一個實施例中,用戶安全評級可被表述為O % 100%范圍內(nèi)的相對值。在此情況下,在ECN中的活動未表現(xiàn)出安全風(fēng)險的用戶將具有高的安全評級。類似地,活動危害極大的用戶將具有低得多的安全評級。為了對用戶安全風(fēng)險進(jìn)行客觀評估,管理服務(wù)器110可使用檢測代理程序210從PC 105中收集與下面的風(fēng)險因子相關(guān)聯(lián)的計算機使用信息,該檢測代理程序是在管理服務(wù)器110上部署的。下面的一系列風(fēng)險因子僅是示例性的,可包括其他因素。I.外部驅(qū)動器使用(系數(shù)Xf):外部驅(qū)動器連接的事件數(shù)量,Xfl ;每時間單位連接至PC的外部驅(qū)動器數(shù)量,Xf 2 (驅(qū)動器的唯一性由可通過API接口訪問的供應(yīng)商和驅(qū)動器的序列號確定);由外部驅(qū)動器運行的可執(zhí)行文件數(shù)量,Xf3 ;由存儲設(shè)備中的檢測代理程序檢測到的惡意軟件數(shù)量,Xf4 ;數(shù)碼設(shè)備(即,主要用途不是作為存儲設(shè)備的設(shè)備,例如,媒體播放器)的連接數(shù)量,Xf5 ;2.網(wǎng)頁瀏覽器(系數(shù)Xi):每時間單位所瀏覽的網(wǎng)址數(shù)量,Xil ;瀏覽的唯一網(wǎng)址數(shù)量,Χ 2 ;下載的執(zhí)行文件數(shù)量,Χ 3 ;由反病毒系統(tǒng)在用戶的通信量(traffic)中檢測到的惡意軟件數(shù)量,Xi4 ;由授權(quán)網(wǎng)址列表中的授權(quán)網(wǎng)址數(shù)量確定的經(jīng)過授權(quán)網(wǎng)址使用程度,Χ 5 ;黑名單網(wǎng)址的非法瀏覽程度(例如,家長控制數(shù)據(jù)庫、非法URL數(shù)據(jù)庫),Xi6 ;社交網(wǎng)絡(luò)瀏覽活動的程度,Xi7 ;3.軟件安裝和PC操作(系數(shù)Xp):新軟件安裝次數(shù),Xpl ;現(xiàn)有軟件卸載次數(shù),Xp2 ;每時間單位PC重啟次數(shù),Xp3 ;由系統(tǒng)日志確定的PC操作故障(例如,藍(lán)屏厄運(BlueScreen of Doom)、程序崩潰)的數(shù)量,Xp4 ;已安裝的軟件總數(shù),Xp 5 ;自動運行的應(yīng)用程序數(shù)量,Xp6。
在上述示例中,系數(shù)Xp、Xi ,Xf為風(fēng)險因子的值,例如構(gòu)成用戶的總和安全評級的外部驅(qū)動器使用、網(wǎng)頁瀏覽和軟件安裝。對諸如外部驅(qū)動器使用(系數(shù)Xf)這些風(fēng)險因子的單獨安全評級可使用下列公式進(jìn)行計算xf = Xfl*Pfl+Xf2*Pf2+Xf3*Pf3+Xf4*Pf4+Xf5*Pf5,其中Pf是風(fēng)險因子重要性的權(quán)重系數(shù)。在一個示例性實施例中,可將總計用戶安全評級作為單獨風(fēng)險因子例如Xp、Xi、Xf的值的和來計算。在另一個示例性實施例中,用戶安全評級可使用諸如Mamdani算法這樣的模糊邏輯來計算。對由超過一千個PC組成的樣例用所考慮的方法進(jìn)行實際研究。如果用戶的風(fēng)險閾值被設(shè)定在三倍于平均值的級別,則超過該閾值的用戶的數(shù)量將為大約3 %。研究結(jié)果顯示,照這樣選擇的用戶中大多數(shù)都接受了各種調(diào)查,并且他們的PC中許多都含有不可由諸如反病毒應(yīng)用程序等檢測代理程序210檢測的病毒。用戶安全評級可具有關(guān)于PC 105的保護(hù)代理程序240的相關(guān)聯(lián)的安全設(shè)置230。具體而言,關(guān)于PC 105的用戶的安全評級一經(jīng)計算,管理服務(wù)器110就選擇適當(dāng)?shù)陌踩O(shè)置230并將其傳輸至PC 105上的保護(hù)代理程序240。代理程序240可以是在PC 105上部署的反病毒應(yīng)用程序的組件。在一個示例性實施例中,安全設(shè)置230可包括一系列用于保護(hù)代理程序240的各種組件的可設(shè)置參數(shù),所述保護(hù)代理程序240即是反病毒應(yīng)用程序,用于負(fù)責(zé)垃圾郵件過濾、電子詐騙、網(wǎng)絡(luò)攻擊和病毒的檢測。這些參數(shù)可根據(jù)在關(guān)斷模式(offmode)和峰值容量的操作之間這一范圍內(nèi)的保護(hù)級別加以設(shè)定。在另一個示例性實施例中,安全設(shè)置230還可包括PC 105的用戶在計算機操作期間應(yīng)當(dāng)遵循的安全策略。所有組件容量增大會導(dǎo)致計算資源短缺。根據(jù)用戶安全評級對設(shè)置230進(jìn)行的優(yōu)化準(zhǔn)許維持系統(tǒng)性能和安全性之間的平衡。例如,如果計算機用戶主動瀏覽各種網(wǎng)址并使用很多造成感染的外部驅(qū)動器,則系統(tǒng)對該用戶PC應(yīng)用嚴(yán)格的安全策略,該策略禁止由外部驅(qū)動器運行可執(zhí)行文件,并將針對網(wǎng)絡(luò)攻擊的保護(hù)設(shè)定為最高級別。圖3示出了管理服務(wù)器110上維護(hù)的用戶簡檔300的內(nèi)容。用戶簡檔中所存儲的兩個用戶評估標(biāo)準(zhǔn)是用戶屬性310和用戶行為信息320。管理服務(wù)器110還可在用戶簡檔300中或另一個數(shù)據(jù)庫中維護(hù)關(guān)于用戶通信330和事故340的信息。用戶通信330包括兩個或更多用戶之間的通信,所述通信是由ECN內(nèi)的數(shù)據(jù)交換或者關(guān)于ECN內(nèi)這些用戶之間的數(shù)據(jù)交換的一定概率來定義的?;谟脩敉ㄐ艑τ脩舭踩u級400進(jìn)行評估的原理示出于圖4中,并且基于下列各項通信流事件415和社交通信435。通信流事件415由單個數(shù)據(jù)存儲介質(zhì)或其他設(shè)備的常見使用、網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)傳輸或用戶410之間的消息傳遞來確定。由于用戶410的緊密位置或其工作職責(zé),所以公司(例如,社交)通信435包括他們之間高概率的通信流。基于通信的用戶評級評估400意指用戶安全評級依賴于與他/她通信的其他用戶的評級。如果系統(tǒng)通過任一屬性確定兩個用戶的通信,則一個用戶PC被感染可能令其他用戶PC被感染。這一原則使安全風(fēng)險評估更為準(zhǔn)確。根據(jù)下列情況對安全風(fēng)險評估加以調(diào)整如果對用戶400的環(huán)境的評級低很多,則在不對他/她的通信加以考慮的情況下,該用戶的評級會顯得不穩(wěn)定。作為示例,對IS方面的理想用戶加以考慮,該用戶不進(jìn)行瀏覽、不安裝額外的軟件并且完全遵守ECN安全策略。該用戶表現(xiàn)出非常低的安全風(fēng)險,并且因此,其安全評級將接近于可能的最高值,直至這個用戶的通信被納入考慮為止。對這樣的情況加以考慮這個 用戶在其中所有其他用戶都違反IS安全策略并且他們的安全評級都低很多的部門工作。在此情況下,由于該用戶與其同事的網(wǎng)絡(luò)通信或文件交換,所以存在這樣的高概率,即該用戶PC極為可能對于病毒和其他威脅要脆弱很多。因此,如果對用戶的通信加以考慮,則他/她的安全評級應(yīng)當(dāng)會被降低,或者以其他方式加以調(diào)整以反映該用戶的安全風(fēng)險由于其同事的高安全風(fēng)險而變得高很多。在一個示例性實施例中,可使用關(guān)于用戶PC上的事故動態(tài)的信息來確定用戶安全評級。理想情況下,事故數(shù)量應(yīng)隨時間減少并趨于零。與該趨勢的任何偏離都應(yīng)當(dāng)被認(rèn)為是對系統(tǒng)的錯誤設(shè)置以及對PC的不充分管理。相反的情形是經(jīng)過授權(quán)的網(wǎng)頁瀏覽的參數(shù);該參數(shù)的增大將不會導(dǎo)致任何事故。此處所描述的系統(tǒng)啟用對每個Xi系數(shù)的分析。例如,用戶PC通過網(wǎng)址而有規(guī)律地受到感染,但風(fēng)險因子Xi的值不隨時間而改變。根據(jù)用于對用戶安全評級進(jìn)行評估的規(guī)則,用戶安全評級同樣將不會改變。此后,保護(hù)代理程序設(shè)置也將不會變動。結(jié)果是,用戶PC上的事故數(shù)量保持不變。如果在計算用戶安全評級期間對發(fā)生的事故的動態(tài)加以考慮,則在有規(guī)律地受到感染的用戶PC的情況下,安全評級將降低,或者以其他方式加以調(diào)整以增強保護(hù)代理程序的安全設(shè)置。如果事故數(shù)量隨時間減少,則安全評級將增大,或者以其他方式加以調(diào)整以減少對用戶操作權(quán)限的限制。在一個示例性實施例中,可使用關(guān)于PC用戶的個人信息和職業(yè)信息來確定用戶安全級別。圖5示出了可以在用戶簡檔數(shù)據(jù)庫中加以維護(hù)的用戶屬性表。該表中示出兩個用戶的記錄作為示例。第一個記錄510是一受過技術(shù)教育的男性用戶的,年齡25歲、職位銷售員。該用戶的職位未授權(quán)他在工作中涉及商業(yè)秘密信息;因此,如果他遵守安全策略并且不執(zhí)行有害活動,則他的安全評級閾值可以為低。第二個記錄520是一女性用戶的,年齡35歲、職位首席會計師。該用戶在工作中涉及的任何文檔都代表公司的商業(yè)秘密。由于存在可能丟失重要信息的風(fēng)險,因此,即使該用戶遵守安全策略并且不執(zhí)行有害活動,她的安全評級閾值也應(yīng)當(dāng)被調(diào)整至平均水平。安全評級閾值因而可由網(wǎng)絡(luò)管理員基于用戶簡檔中所包含的信息來加以設(shè)定,例如,基于用戶年齡、性別、職位或其他個人和職業(yè)屬性。圖6中示出了管理服務(wù)器的配置的一個示例性實施例。服務(wù)器110的風(fēng)險因子評估模塊630從在用戶計算機105上部署的檢測代理程序(例如,反病毒軟件)接收了所收集的信息220,包括但不限于系統(tǒng)事件日志、事故信息和用戶活動報告。模塊630還訪問在本地數(shù)據(jù)庫中加以維護(hù)的用戶簡檔620。模塊630然后對用戶PC的各種風(fēng)險因子進(jìn)行定性和定量評估,并輸出關(guān)于各種風(fēng)險因子的一組值。可以通過對各種系統(tǒng)事件、安全性事故的情形以及危險的/有害的用戶活動的情形計數(shù),并將它們與由管理員預(yù)先設(shè)定的閾值相比較來進(jìn)行評估。作為一組值的風(fēng)險因子被傳遞至安全評級模塊640,該模塊基于所提供的風(fēng)險因子為計算機用戶計算用戶安全評級。具體而言,可由模塊640的一個或多個分析器使用清晰(crisp)邏輯規(guī)則和模糊邏輯規(guī)則以及統(tǒng)計方法或其他方法,來對每個風(fēng)險因子進(jìn)行處理。每個分析器使用專家數(shù)據(jù)庫610中所包含的由隸屬函數(shù)(membership function)選擇的算法、結(jié)構(gòu)模型、規(guī)則和權(quán)重系數(shù)。模糊邏輯規(guī)則接受各種風(fēng)險因子的輸入值,并且輸出用戶安全評級的語言值,所述語言值指明具體用戶計算機的安全風(fēng)險。接著,安全評級模塊640將所計算的安全評級傳遞至安全設(shè)置模塊650,該模塊將數(shù)值或語言安全評級重新轉(zhuǎn)換為關(guān)于用戶計算機105的實際安全設(shè)置。安全評級和安全設(shè)置之間的關(guān)系可通過依賴函數(shù)的任何方法加以設(shè)定公式、圖表、表格及其他。在一個示例性實施例中,可使用模糊邏輯基于輸入的安全評級來選擇適當(dāng)?shù)陌踩O(shè)置。例如,可使 用模糊邏輯分析模塊來確定是否需要禁用由用戶的驅(qū)動器運行可執(zhí)行文件。該模塊可以是Mamdani模糊邏輯系統(tǒng)。輸入的參數(shù)是由用戶數(shù)據(jù)計算的安全評級。由于不可能僅存在唯一解決方案,因而會出現(xiàn)競爭——其中對于每個輸入?yún)?shù)而言解決方案各異的情形。例如,關(guān)于由外部驅(qū)動器引致的用戶PC感染的統(tǒng)計數(shù)據(jù),用戶屬性具有絕對主導(dǎo)性(激發(fā)出無以言表的自信)。Mamdani算法有助于基于專家數(shù)據(jù)而為PC 105的反病毒應(yīng)用程序和其他組件生成唯一的一組安全設(shè)置,包括校正因子、用戶的排除和分組。最后,關(guān)于保護(hù)代理程序(例如,反病毒應(yīng)用程序)的所選安全設(shè)置被傳遞至遠(yuǎn)程管理模塊660,這些安全設(shè)置包括計算機的安全策略、軟件使用和安裝限制、網(wǎng)絡(luò)訪問設(shè)置、計算機使用限制、用戶培訓(xùn)材料和管理通知,模塊660被配置為識別并建立與用戶PC 105上部署的保護(hù)代理程序的連接,并將適當(dāng)?shù)陌踩O(shè)置230傳輸至適當(dāng)?shù)谋Wo(hù)代理程序。圖7中示出了用于減小計算機安全風(fēng)險的方法的一個示例性實施例。過程啟動不影響技術(shù)結(jié)果并且既可以周期性地也可以基于事件來執(zhí)行,例如通過用戶命令或在檢測到IS威脅時。在步驟700,管理服務(wù)器從用戶PC和本地數(shù)據(jù)庫中收集事件日志、系統(tǒng)日志、用戶簡檔、事故信息和其他數(shù)據(jù)。在步驟710對所收集的數(shù)據(jù)進(jìn)行處理以確定風(fēng)險因子的值。分析的過程包括針對每個數(shù)據(jù)類型的揀選、計數(shù)和數(shù)字?jǐn)?shù)據(jù)的相互關(guān)聯(lián)。該過程得到風(fēng)險因子的一組數(shù)值{XI,X2,X3...}。在步驟720,基于所確定的風(fēng)險因子計算/調(diào)整用戶PC的安全評級。評級為反映與用戶PC操作有關(guān)的IS風(fēng)險的數(shù)值或語言值。可能的安全評級的數(shù)量不受限制,因此屬性、變量和評級計算函數(shù)的數(shù)量可以任意大。PC安全性所依賴的主要屬性為從PC中收集的用戶個人信息、PC使用信息、用戶通信信息和事故信息。該列表不受限制;也可以包括外部因素,例如,如果PC是便攜式的,則還可包括當(dāng)前病毒蔓延或PC的地理位置。PC的設(shè)置730基于所計算的評級,包括PC的安全特征(security feature)。在ECN內(nèi)應(yīng)用這些設(shè)置。評級預(yù)先設(shè)定了確定安全PC操作的可允許范圍的關(guān)鍵級別。在一個示例性實施例中,如上所述,所表現(xiàn)出的安全評級范圍可依賴于用戶在公司內(nèi)的職位(即,職業(yè))。如果評級超過裕量設(shè)定,則在步驟750,系統(tǒng)產(chǎn)生警告760,伴隨以聲音、文本或圖形信息,藉此通知ECN管理員需要預(yù)防措施770。除PC中的嚴(yán)格設(shè)置以外,預(yù)防措施可以包括培訓(xùn)程序、懲罰體制、對PC訪問模式的強化以及其他處罰。如果在采取管理措施之后或者在引入必要的PC設(shè)置之后評級未達(dá)到其關(guān)鍵級別,則在步驟780結(jié)束循環(huán)。作為規(guī)則,特定的保護(hù)模塊或者至少一個PC參數(shù)或安全策略規(guī)則負(fù)責(zé)對用戶PC應(yīng)用新的安全設(shè)置。例如,在PC 105上部署的反病毒應(yīng)用程序的各種組件(例如,腳本仿真器、防火墻、瀏覽器虛擬化、URL黑名單及其他)可負(fù)責(zé)控制用戶的因特網(wǎng)瀏覽能力。具體而言,軟件和硬件安裝以及外部驅(qū)動器的使用受安全策略控制并且受用戶權(quán)限(例如,管理員權(quán)限、用戶權(quán)限、訪客權(quán)限及其他)限制。安全策略可由PC操作系統(tǒng)和反病毒應(yīng)用程序一起實施。PC中的設(shè)置可從管理服務(wù)器遠(yuǎn)程設(shè)定。
在一個示例性實施例中,可用語言變量來定義用戶安全評級非常低(VL)JS(L)、平均水平以下(BA)、平均水平(A)、平均水平以上(AA)、高(H)、非常高(VH)??梢源嬖诙嘤?個的變量,并且計算準(zhǔn)確度取決于變量的數(shù)量。確切地說,此評估被應(yīng)用于模糊匹配方法(例如,Mamdani算法)中。表I示出了風(fēng)險因子、其根據(jù)從用戶簡檔以及從PC(由檢測代理程序)獲得的數(shù)據(jù)的值以及關(guān)聯(lián)用戶的安全評級。以屬性(個人屬性、通信流等)為基礎(chǔ)對下表中的所有風(fēng)險因子進(jìn)行劃分。每個參數(shù)均接受模糊化處理,即被轉(zhuǎn)變成模糊變量(語言變量)。將模糊變量的級別存儲在專家數(shù)據(jù)庫中;由IS專家設(shè)定并且以用戶組的統(tǒng)計數(shù)據(jù)為基礎(chǔ)計算這些模糊變量;接著對這些模糊變量進(jìn)行更新,然后通過與屬性值相比較,作為結(jié)果,確定相應(yīng)的級別。例如,對于“年齡”屬性,級別可以如下細(xì)分20歲以下以及50歲以上,安全評級為“高” ;20到25歲之間以及40到50歲之間,安全評級為“平均水平” ;25到40歲之間,安全評級別“低”。表I
權(quán)利要求
1.一種用于減小計算機網(wǎng)絡(luò)中的安全風(fēng)險的由計算機實施的方法,所述方法包括 從所述網(wǎng)絡(luò)中的多個計算機中,收集關(guān)于計算機使用、安全性事故和計算機用戶之間的通信的信息; 針對每個計算機用戶檢索用戶簡檔,所述用戶簡檔至少包括用戶的個人信息和職業(yè)信息以及與用戶相關(guān)聯(lián)的多個風(fēng)險因子; 針對每個計算機用戶,基于從每個用戶的計算機中收集的所述計算機使用信息,來計算所述用戶簡檔中的所述多個風(fēng)險因子的值; 針對每個計算機用戶,基于所述用戶簡檔中的多個風(fēng)險因子中的一個或多個風(fēng)險因子的值,來計算用戶安全評級; 基于下列各項來調(diào)整至少一個計算機用戶的安全評級(i)所述至少一個計算機用戶的所述個人信息或職業(yè)信息,和(ii)與所述至少一個計算機用戶通信的至少一個其他計算機用戶的安全評級;以及 基于所述計算機的用戶的所述安全評級,來為所述多個計算機選擇安全設(shè)置,從而減小所述計算機網(wǎng)絡(luò)中的安全風(fēng)險。
2.根據(jù)權(quán)利要求I所述的方法,其中,計算用戶安全評級包括 對所述用戶簡檔中的一個或多個風(fēng)險因子的值運用模糊邏輯規(guī)則。
3.根據(jù)權(quán)利要求I所述的方法,其中,基于所述至少一個用戶的個人信息來調(diào)整所述至少一個計算機用戶的安全級別包括 基于所述至少一個計算機用戶的年齡和性別中的一個或多個,來調(diào)整所述至少一個計算機的安全評級。
4.根據(jù)權(quán)利要求I所述的方法,其中,基于所述至少一個用戶的職業(yè)信息來調(diào)整所述至少一個計算機用戶的安全評級包括 基于所述至少一個計算機用戶的工作職位、工作經(jīng)驗和教育程度中的一個或多個,來調(diào)整所述至少一個計算機用戶的安全評級。
5.根據(jù)權(quán)利要求I所述的方法,進(jìn)一步包括 基于與所述至少一個計算機用戶的計算機上的安全性事故相關(guān)的信息,來調(diào)整所述至少一個計算機用戶的所述用戶安全評級。
6.根據(jù)權(quán)利要求5所述的方法,其中,與安全性事故相關(guān)的所述信息包括 事故類型、事故源、事故時間和事故之前的用戶活動。
7.一種用于減小計算機網(wǎng)絡(luò)中的安全風(fēng)險的系統(tǒng),包括 存儲器,所述存儲器被配置為存儲關(guān)于多個計算機用戶的多個用戶簡檔,每個用戶簡檔至少包括計算機用戶的個人信息和職業(yè)信息以及與所述計算機用戶相關(guān)聯(lián)的多個風(fēng)險因子; 處理器,所述處理器耦接至所述存儲器,并且被配置為 從所述網(wǎng)絡(luò)中的多個計算機,接收關(guān)于計算機使用、安全性事故和計算機用戶之間的通信的信息; 針對每個計算機用戶,從所述存儲器檢索用戶簡檔; 針對每個計算機用戶,基于從每個用戶的計算機接收的所述計算機使用信息,來計算所述用戶簡檔中的所述多個風(fēng)險因子的值;針對每個計算機用戶,基于所述用戶簡檔中所述多個風(fēng)險因子中的一個或多個風(fēng)險因子的值,來計算用戶安全評級; 基于下列各項調(diào)整至少一個計算機用戶的安全評級(i)所述至少一個計算機用戶的所述個人信息或職業(yè)信息,和(ii)與所述至少一個計算機用戶通信的至少一個其他計算機用戶的安全評級;以及 基于所述計算機的用戶的所述安全評級,來為所述多個計算機選擇安全設(shè)置,從而減小所述計算機網(wǎng)絡(luò)中的安全風(fēng)險。
8.根據(jù)權(quán)利要求7所述的系統(tǒng),其中,為了計算用戶安全評級,所述處理器進(jìn)一步被配置為對所述用戶簡檔中的一個或多個風(fēng)險因子的值運用模糊邏輯規(guī)則。
9.根據(jù)權(quán)利要求7所述的系統(tǒng),其中,為了基于所述至少一個用戶的所述個人信息來調(diào)整所述至少一個計算機用戶的安全評級,所述處理器進(jìn)一步被配置為基于所述至少一個計算機用戶的年齡和性別中的一個或多個來調(diào)整所述至少一個計算機用戶的所述安全評級。
10.根據(jù)權(quán)利要求7所述的系統(tǒng),其中,為了基于所述至少一個用戶的所述職業(yè)信息來調(diào)整所述至少一個計算機用戶的所述安全評級,所述處理器進(jìn)一步被配置為基于所述至少一個計算機用戶的工作職位、工作經(jīng)驗和教育程度中的一個或多個,來調(diào)整所述至少一個計算機用戶的安全評級。
11.根據(jù)權(quán)利要求7所述的系統(tǒng),其中,所述處理器進(jìn)一步被配置為基于與所述至少一個計算機用戶的計算機上的安全性事故相關(guān)的信息,來調(diào)整所述至少一個計算機用戶的所述用戶安全級別。
12.根據(jù)權(quán)利要求11所述的方法,其中,與安全性事故相關(guān)的所述信息包括事故類型、事故源、事故時間和事故之前的用戶活動。
全文摘要
本申請所公開的是用于減小計算機網(wǎng)絡(luò)中的安全風(fēng)險的系統(tǒng)、方法和計算機程序產(chǎn)品。所述系統(tǒng)包括管理服務(wù)器,該服務(wù)器從網(wǎng)絡(luò)中的多個計算機中收集系統(tǒng)使用、用戶簡檔和安全性事故信息。服務(wù)器使用所收集的信息確定關(guān)于每個計算機的一個或多個風(fēng)險因子的值。服務(wù)器然后將每個計算機用戶的安全評級作為風(fēng)險因子的函數(shù)來進(jìn)行計算,并且基于與給定計算機用戶通信的其他計算機用戶的安全評級來調(diào)整該給定計算機用戶的所計算的安全評級。服務(wù)器然后基于調(diào)整后的安全評級,為給定用戶的計算機選擇安全設(shè)置,以便減小用戶對計算機網(wǎng)絡(luò)的安全風(fēng)險,并且對給定用戶的計算機應(yīng)用所選安全設(shè)置。
文檔編號H04L12/24GK102710598SQ20121011727
公開日2012年10月3日 申請日期2012年4月19日 優(yōu)先權(quán)日2011年4月19日
發(fā)明者奧列格·V·乍特瑟, 瓦列里·A·博羅寧 申請人:卡巴斯基實驗室封閉式股份公司