相關(guān)申請(qǐng)的交叉引用

本申請(qǐng)要求于2015年11月03日提交的印度專利申請(qǐng)5944/che/2015的權(quán)益，其全部?jī)?nèi)容通過(guò)引證結(jié)合于此。

本發(fā)明涉及計(jì)算機(jī)網(wǎng)絡(luò)，并且更具體地，涉及網(wǎng)絡(luò)安全設(shè)備的管理和配置技術(shù)。

背景技術(shù)：

存儲(chǔ)在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的數(shù)據(jù)和技術(shù)容易受損從而增大網(wǎng)絡(luò)威脅的等級(jí)。普通類型的網(wǎng)絡(luò)攻擊包括拒絕服務(wù)(dos)攻擊、誘騙攻擊、數(shù)據(jù)包竊聽(tīng)或攔截等。由于網(wǎng)絡(luò)威脅越來(lái)越復(fù)雜，擔(dān)任保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的管理員的負(fù)擔(dān)越來(lái)越重、并且裝備不良不能有效且高效地減輕并解決網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊。目前，為了對(duì)網(wǎng)絡(luò)威脅做出反應(yīng)，管理員必須參與手動(dòng)的、勞動(dòng)密集的過(guò)程以配置策略或其他保護(hù)系統(tǒng)以求阻止這樣的威脅。

技術(shù)實(shí)現(xiàn)要素：

通常，本公開(kāi)內(nèi)容描述了集成安全管理系統(tǒng)，該集成安全管理系統(tǒng)提供了將收集的威脅可視化并對(duì)分布在整個(gè)網(wǎng)絡(luò)中的安全設(shè)備進(jìn)行自動(dòng)控制。

例如，在一個(gè)示例性實(shí)施方式中，安全管理系統(tǒng)包括一個(gè)或多個(gè)處理器，存儲(chǔ)指令的一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器，所述指令在被執(zhí)行時(shí)實(shí)現(xiàn)復(fù)雜的用戶接口和可視化引擎，該可視化引擎實(shí)時(shí)或接近實(shí)時(shí)地生成并顯示動(dòng)畫(huà)網(wǎng)絡(luò)威脅的實(shí)時(shí)威脅可視化。此外，安全管理系統(tǒng)包括威脅數(shù)據(jù)聚合器，該威脅數(shù)據(jù)聚合器聚合來(lái)自于部署在安全域(例如，企業(yè)網(wǎng)絡(luò))中的一個(gè)或多個(gè)安全設(shè)備的一個(gè)或多個(gè)威脅的數(shù)據(jù)。安全管理系統(tǒng)還可以包括威脅控制模塊，威脅控制模塊能夠顯示一個(gè)或多個(gè)威脅并配置部署在網(wǎng)絡(luò)中的安全設(shè)備，包括，例如，響應(yīng)于一個(gè)或多個(gè)檢測(cè)的網(wǎng)絡(luò)攻擊，部署創(chuàng)建的或更新的安全策略。例如，基于從分布的安全設(shè)備聚合的數(shù)據(jù)，管理員可以與威脅控制模塊再現(xiàn)的威脅的圖形表示交互，并且響應(yīng)于交互，安全管理系統(tǒng)可以識(shí)別相關(guān)安全設(shè)備集合，自動(dòng)構(gòu)建安全策略，該安全策略在所識(shí)別的安全設(shè)備集合的策略中具有有序規(guī)則，并使用集成安全管理系統(tǒng)的底層網(wǎng)絡(luò)管理組件的策略部署引擎自動(dòng)傳遞策略并將策略安裝在所識(shí)別的安全設(shè)備集合中。

以這種方式，安全管理系統(tǒng)使得管理員能夠采取直接動(dòng)作，諸如，選擇性地阻止或允許流量和應(yīng)用，同時(shí)從威脅的圖形表示中監(jiān)控事件。因此，企業(yè)中的管理員與安全管理系統(tǒng)再現(xiàn)的威脅的圖形表示交互，以自動(dòng)調(diào)用安全管理系統(tǒng)的策略/規(guī)則模塊以為部署在企業(yè)的整個(gè)計(jì)算機(jī)網(wǎng)絡(luò)中的安全設(shè)備配置并更新安全策略。

在附圖和下面的描述中闡述本發(fā)明的一個(gè)或多個(gè)實(shí)施方式的細(xì)節(jié)。通過(guò)該描述、附圖和權(quán)利要求，本發(fā)明的其他特征、目的和優(yōu)點(diǎn)將變得顯而易見(jiàn)。

附圖說(shuō)明

圖1是示出了具有如本文中描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖。

圖2是示出了在本公開(kāi)的一方面中的示例性集成安全管理系統(tǒng)的框圖。

圖3是在本公開(kāi)的一方面中處理網(wǎng)絡(luò)流量以識(shí)別潛在網(wǎng)絡(luò)威脅的示例性安全設(shè)備。

圖4a-圖4c示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶接口，以向管理員呈現(xiàn)聚合的威脅數(shù)據(jù)的表示。

圖5a-圖5e示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶接口，以向管理員呈現(xiàn)與威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的表示。

圖6a-圖6d示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶接口，管理員通過(guò)該用戶接口可以審查并自動(dòng)發(fā)布所創(chuàng)建的與安全策略相關(guān)聯(lián)的規(guī)則。

圖7示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶接口，通過(guò)該用戶接口管理員可以使得自動(dòng)創(chuàng)建的安全策略能夠部署和/或發(fā)布。

圖8示出了通過(guò)安全管理系統(tǒng)生成的示例性用戶接口，通過(guò)該用戶接口管理員可以瀏覽所發(fā)布的或更新的安全策略的作業(yè)狀態(tài)。

圖9示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)生成的示例性接口，通過(guò)該接口管理員可以瀏覽威脅設(shè)備的源或目的地細(xì)節(jié)。

圖10是示出了安全管理系統(tǒng)的示例性操作的流程圖。

圖11示出了可被配置為實(shí)現(xiàn)根據(jù)當(dāng)前公開(kāi)的一些實(shí)施方式的計(jì)算設(shè)備的詳細(xì)實(shí)例。

具體實(shí)施方式

圖1是示出了具有如本文中描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖。在圖1的示例中，企業(yè)網(wǎng)絡(luò)2包括集成安全管理系統(tǒng)10和以分布方式部署在整個(gè)網(wǎng)絡(luò)中的一個(gè)或多個(gè)安全設(shè)備5。

企業(yè)網(wǎng)絡(luò)2的一個(gè)或多個(gè)安全設(shè)備5a-5c(統(tǒng)稱“安全設(shè)備5”)經(jīng)由形成通信拓樸的通信鏈路相互連接。通常，安全設(shè)備5監(jiān)控網(wǎng)絡(luò)2中的數(shù)據(jù)包流并將安全服務(wù)應(yīng)用于那些數(shù)據(jù)包流以保護(hù)網(wǎng)絡(luò)內(nèi)的計(jì)算資源(未示出)，諸如，網(wǎng)絡(luò)服務(wù)器、終端用戶計(jì)算機(jī)和提供網(wǎng)絡(luò)連接的基礎(chǔ)設(shè)施設(shè)備。例如，安全設(shè)備5可以對(duì)數(shù)據(jù)包流執(zhí)行深度包檢測(cè)以檢測(cè)數(shù)據(jù)包流內(nèi)指示威脅的模式或異常，諸如，網(wǎng)絡(luò)攻擊、病毒、惡意軟件等。在這個(gè)過(guò)程期間，安全設(shè)備5通常應(yīng)用將標(biāo)準(zhǔn)(例如，報(bào)頭信息、模式、異常信息)限定為可與數(shù)據(jù)包流相比較的策略，并采取策略指定的動(dòng)作，諸如，丟棄數(shù)據(jù)包流，記錄數(shù)據(jù)包流或?qū)?shù)據(jù)包流重定向至數(shù)據(jù)包分析器用于進(jìn)一步分析。安全設(shè)備5可以包括，例如，防火墻或其他入侵檢測(cè)系統(tǒng)(ids)或入侵預(yù)防系統(tǒng)(idp)、或甚至被配置為將網(wǎng)絡(luò)安全流量應(yīng)用于網(wǎng)絡(luò)2中的數(shù)據(jù)包流的高端路由器或服務(wù)節(jié)點(diǎn)。

雖然在本公開(kāi)中描述為發(fā)送、傳送、或以另外的方式支持?jǐn)?shù)據(jù)包，但企業(yè)網(wǎng)絡(luò)2可以根據(jù)由任何其他協(xié)議定義的任何其他離散數(shù)據(jù)單元發(fā)送數(shù)據(jù)，諸如，由異步傳輸模式(atm)協(xié)議定義的單元，或由用戶數(shù)據(jù)報(bào)協(xié)議(udp)定義的數(shù)據(jù)圖。使安全設(shè)備5相互連接的通信鏈路可以是物理鏈路(例如，光學(xué)、銅等)或無(wú)線。企業(yè)網(wǎng)絡(luò)2可以耦合至一個(gè)或多個(gè)附加私有網(wǎng)絡(luò)或公共網(wǎng)絡(luò)，例如，互聯(lián)網(wǎng)(未示出)。

在圖1的示例中，企業(yè)網(wǎng)絡(luò)2示出為分別經(jīng)由通信鏈路7a-7c耦合至公共網(wǎng)絡(luò)4a-4c(統(tǒng)稱“公共網(wǎng)絡(luò)4”)(例如，互聯(lián)網(wǎng))。例如，公共網(wǎng)絡(luò)4可以包括一個(gè)或多個(gè)客戶端計(jì)算設(shè)備。公共網(wǎng)絡(luò)4可以提供對(duì)網(wǎng)頁(yè)服務(wù)器、應(yīng)用服務(wù)器、公共數(shù)據(jù)庫(kù)、媒體服務(wù)器、用戶端設(shè)備、以及多種其他類型的網(wǎng)絡(luò)資源設(shè)備和內(nèi)容的訪問(wèn)。公共網(wǎng)絡(luò)4中的網(wǎng)絡(luò)設(shè)備可以向企業(yè)網(wǎng)絡(luò)2呈現(xiàn)大量安全威脅。例如，公共網(wǎng)絡(luò)4中的設(shè)備可以嘗試向一個(gè)或多個(gè)安全設(shè)備5傳送蠕蟲(chóng)、木馬、和/或病毒。作為另一示例，使用公共網(wǎng)絡(luò)4中的設(shè)備的黑客可能試圖侵入企業(yè)網(wǎng)絡(luò)2以偵聽(tīng)、損壞、破壞、或竊取由一個(gè)或多個(gè)安全設(shè)備5存儲(chǔ)的信息。

如在本文中描述的，安全管理系統(tǒng)10能夠通過(guò)從安全設(shè)備5收集并聚合威脅信息、并呈現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)2中存在的統(tǒng)一的實(shí)時(shí)可視化的網(wǎng)絡(luò)威脅而對(duì)安全設(shè)備5進(jìn)行集中管理。此外，安全管理系統(tǒng)10提供一種集成系統(tǒng)，該集成系統(tǒng)響應(yīng)于網(wǎng)絡(luò)威脅為網(wǎng)絡(luò)管理員(例如，管理員12)提供用于管理安全設(shè)備5的集中的單點(diǎn)控制。

例如，由于在安全域(例如，企業(yè)網(wǎng)絡(luò)2)內(nèi)檢測(cè)到并識(shí)別出威脅，安全管理系統(tǒng)10實(shí)時(shí)從安全設(shè)備5接收并聚合數(shù)據(jù)。基于從分布的安全設(shè)備5聚合的數(shù)據(jù)，安全管理系統(tǒng)10再現(xiàn)并保持已識(shí)別威脅的動(dòng)畫(huà)表示。響應(yīng)于與管理員12的交互，安全管理系統(tǒng)10識(shí)別相關(guān)安全設(shè)備5集合，自動(dòng)構(gòu)建安全策略，該安全策略在所識(shí)別的安全設(shè)備5集合的策略內(nèi)具有有序規(guī)則，并使用在安全管理系統(tǒng)10內(nèi)集成的底層策略部署引擎自動(dòng)傳遞并安裝策略在所識(shí)別的安全設(shè)備5集合中。在圖1的示例中，安全管理系統(tǒng)10被示出為利用安全設(shè)備5參與配置會(huì)話9a-9c(統(tǒng)稱“配置會(huì)話9”)以傳遞策略并安裝策略在所識(shí)別的安全設(shè)備5集合中。

以這種方式，安全管理系統(tǒng)10使得管理員12能夠采取直接動(dòng)作，諸如，選擇性地阻止或允許流量和應(yīng)用，同時(shí)監(jiān)控來(lái)自于網(wǎng)絡(luò)2任何地方所識(shí)別到的威脅的表示中的事件。因此，由于通過(guò)安全管理系統(tǒng)10再現(xiàn)，管理員能夠與威脅的表示交互以自動(dòng)配置并更新貫穿網(wǎng)絡(luò)2部署的安全設(shè)備5的安全策略。

按慣例，安全管理系統(tǒng)10和由安全管理系統(tǒng)10管理的安全設(shè)備5可以通過(guò)企業(yè)的it團(tuán)隊(duì)集中維護(hù)。管理員12可以與安全管理系統(tǒng)10交互以遠(yuǎn)程監(jiān)控并配置安全設(shè)備5。例如，管理員12可以從安全管理系統(tǒng)10接收有關(guān)安全設(shè)備5的警報(bào)，瀏覽安全設(shè)備5的實(shí)時(shí)威脅和配置信息數(shù)據(jù)，向下挖掘過(guò)濾后的威脅數(shù)據(jù)的過(guò)濾后的表示，創(chuàng)建或更新安全設(shè)備5的安全策略，為企業(yè)網(wǎng)絡(luò)2添加新的安全設(shè)備，從企業(yè)網(wǎng)絡(luò)2除去現(xiàn)有的安全設(shè)備，或以另外的方式操縱企業(yè)網(wǎng)絡(luò)2及其中的安全設(shè)備。盡管相對(duì)于企業(yè)網(wǎng)絡(luò)進(jìn)行描述，但本發(fā)明的技術(shù)可適用于其他網(wǎng)絡(luò)類型，公共和私有的，包括lan、vlan等。

管理員12可以使用安全管理系統(tǒng)10以用安全策略配置安全設(shè)備5，其中，每個(gè)安全策略表示指定促進(jìn)管理員12的目標(biāo)的某些操作特性的一個(gè)或多個(gè)有序規(guī)則集合。例如，管理員12可以使用具有有序規(guī)則集的集合的策略，為安全設(shè)備5指定與輸入或輸出互聯(lián)網(wǎng)協(xié)議(ip)流量的安全有關(guān)的特定安全策略。雖然相對(duì)于策略和規(guī)則已經(jīng)進(jìn)行了描述，但本公開(kāi)內(nèi)容的技術(shù)可適用于安全設(shè)備的其他方面，包括修改路由表，或者包括更新或重新排序預(yù)先存在的安全策略或規(guī)則的其他方面。

通常，安全設(shè)備5按照一個(gè)或多個(gè)規(guī)則(每個(gè)規(guī)則都鍵入一個(gè)唯一的標(biāo)識(shí)符)的有序表維護(hù)特定策略(例如，安全性)的數(shù)據(jù)。當(dāng)管理的安全設(shè)備5中的一個(gè)發(fā)生觸發(fā)事件時(shí)，諸如，接收網(wǎng)絡(luò)數(shù)據(jù)包，安全設(shè)備5順序地遍歷有序表以確定列表中適用于觸發(fā)事件數(shù)據(jù)的第一策略規(guī)則。如果安全設(shè)備查找到可適用的策略規(guī)則，則安全設(shè)備繼續(xù)執(zhí)行指定的動(dòng)作(例如，丟棄數(shù)據(jù)包、更新流量日志、或者為了進(jìn)一步的分析和檢查重定向數(shù)據(jù)包、阻止或允許數(shù)據(jù)包)。在題為“determiningreordercommandsforremotereorderingofpolicyrules”的美國(guó)專利8,429,255和題為“remotevalidationofnetworkdeviceconfigurationusingadevicemanagementprotocolforremotepacket”的美國(guó)專利號(hào)8,248,958中描述了能夠管理安全設(shè)備并為其部署策略的集中型網(wǎng)絡(luò)管理系統(tǒng)的又一示例性細(xì)節(jié)，其全部?jī)?nèi)容通過(guò)引證結(jié)合于本文中。在如在junipernetworks，“junipernetworksnetworkandsecuritymanageradministrationguiderevision2009.1,”2009年8月(在http://www.juniper.net/techpubs/software/management/security-manager/nsm2009_1/nsm-admin-guide.pdf可獲得)中描述的網(wǎng)絡(luò)安全管理(nsm)應(yīng)用中描述了又一實(shí)例，通過(guò)引證將其全部?jī)?nèi)容結(jié)合于此。

圖2是示出了在本公開(kāi)的一方面中的示例性集成安全管理系統(tǒng)10的框圖。如在本文中描述的，安全管理系統(tǒng)10提供系統(tǒng)和接口，管理員12利用接口瀏覽實(shí)時(shí)或接近實(shí)時(shí)的威脅，迅速訪問(wèn)與綜合分析的給定威脅相關(guān)聯(lián)的過(guò)濾后的威脅數(shù)據(jù)的過(guò)濾后的表示，并響應(yīng)于威脅，配置或修改安全設(shè)備5的各種安全策略。在圖2中，例如，安全管理系統(tǒng)10的威脅控制模塊17構(gòu)建并且輸出接口以允許管理員12在例如網(wǎng)格、圖表或地圖上瀏覽實(shí)時(shí)威脅、向下挖掘與威脅相關(guān)聯(lián)的過(guò)濾后的威脅數(shù)據(jù)的過(guò)濾后的表示、在一個(gè)或多個(gè)安全設(shè)備5的當(dāng)前策略或新策略中插入或配置新規(guī)則、生成安全設(shè)備5的更新策略、以及刪除或改變現(xiàn)有規(guī)則的順序。響應(yīng)于生成新策略或更新的策略，管理員12可以基于新的策略或更新的策略通過(guò)策略部署引擎26引導(dǎo)安全管理系統(tǒng)10以部署至一個(gè)或多個(gè)安全設(shè)備5的配置。在某些方面，作為對(duì)例如威脅的檢測(cè)的響應(yīng)，安全管理系統(tǒng)10自動(dòng)修改安全設(shè)備5的策略。

與傳統(tǒng)系統(tǒng)不同，在某些示例性實(shí)施方式中，安全管理系統(tǒng)10實(shí)時(shí)或接近實(shí)時(shí)地提供企業(yè)范圍威脅的實(shí)時(shí)威脅可視化，并在可視化處理中將自動(dòng)策略生成和部署集成到安全設(shè)備5，從而在集中化管理系統(tǒng)中提供監(jiān)控并對(duì)威脅采取行動(dòng)的無(wú)縫用戶體驗(yàn)。在網(wǎng)絡(luò)攻擊期間，當(dāng)解決和減輕攻擊的速度是重要的情況下，與安全管理系統(tǒng)10的自動(dòng)策略生成和部署結(jié)合的企業(yè)范圍的實(shí)時(shí)威脅可視化可能是有利的。安全管理系統(tǒng)10將威脅聚合和可視化與能夠集中管理網(wǎng)絡(luò)2的網(wǎng)絡(luò)設(shè)備(包括，安全設(shè)備5)的配置信息的底層設(shè)備管理系統(tǒng)集成。例如，如本文中描述的安全管理系統(tǒng)10的各種實(shí)施方式和特征使管理員12能夠?yàn)g覽實(shí)時(shí)網(wǎng)絡(luò)流量信息并迅速診斷并防止攻擊(諸如無(wú)縫地使得管理員12能夠迅速阻止或暫時(shí)阻止給定用戶、應(yīng)用、地理區(qū)域、其組合等集合的網(wǎng)絡(luò)流量)。安全管理系統(tǒng)10可以進(jìn)一步使管理員12能夠允許沒(méi)有威脅但卻被傳統(tǒng)方法阻止的網(wǎng)絡(luò)流量。因此，安全管理系統(tǒng)10使管理員12能夠無(wú)縫地更新，例如，構(gòu)建安全策略并將安全策略部署至安全設(shè)備5，這樣能夠阻止或允許特定源與目標(biāo)地址之間的數(shù)據(jù)包流，阻止或僅允許來(lái)自源地址的流量，或者阻止或僅允許到目的地ip地址的流量。

在圖2的示例中，安全管理系統(tǒng)10可以從安全設(shè)備5中的每一個(gè)接收數(shù)據(jù)包的詳細(xì)分析。如在本文中進(jìn)一步描述的，在一個(gè)示例中，例如，安全設(shè)備5(諸如，ids或idp系統(tǒng))可以分析客戶端到服務(wù)器和服務(wù)器到客戶端的數(shù)據(jù)包流，處理數(shù)據(jù)包以執(zhí)行應(yīng)用分類從而識(shí)別應(yīng)用類型和與每個(gè)數(shù)據(jù)包流相關(guān)聯(lián)的通信協(xié)議(例如，skype、yahoomessenger、bittorrent對(duì)等協(xié)議)，對(duì)數(shù)據(jù)包執(zhí)行詳細(xì)分析以識(shí)別數(shù)據(jù)包流中的數(shù)據(jù)包內(nèi)的專用字段。在圖2的示例中，安全管理系統(tǒng)10包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的威脅數(shù)據(jù)聚合器14以聚合從一個(gè)或多個(gè)安全設(shè)備5接收的數(shù)據(jù)包的詳細(xì)分析(關(guān)于在網(wǎng)絡(luò)內(nèi)檢測(cè)的任何威脅)。

安全管理系統(tǒng)10可以用威脅數(shù)據(jù)聚合器14聚合威脅數(shù)據(jù)，并可以存儲(chǔ)描述威脅數(shù)據(jù)庫(kù)16中的網(wǎng)絡(luò)流量中出現(xiàn)的每個(gè)有效數(shù)據(jù)包流的信息。威脅數(shù)據(jù)庫(kù)16可以存儲(chǔ)與每個(gè)有效數(shù)據(jù)包流相關(guān)聯(lián)的安全設(shè)備5的規(guī)格，即，低級(jí)信息，諸如，源設(shè)備和目的地設(shè)備以及與數(shù)據(jù)包流相關(guān)聯(lián)的端口。此外，安全設(shè)備5可以識(shí)別在客戶端與服務(wù)器之間共同形成單一通信會(huì)話的數(shù)據(jù)包流對(duì)。例如，ids200可以將通信會(huì)話指定為在共享至少一些公共網(wǎng)絡(luò)地址、端口以及協(xié)議的流的相反的方向上的數(shù)據(jù)包流對(duì)。在另一示例中，如果安全設(shè)備5不提供系統(tǒng)更新，安全管理系統(tǒng)10可以向安全設(shè)備5輪詢通信信息。

在圖2的示例中，管理員12可以瀏覽從安全設(shè)備5收集的、通過(guò)威脅數(shù)據(jù)聚合器14聚合的、并存儲(chǔ)在威脅數(shù)據(jù)庫(kù)16中的、如圖2中所示出的被格式化為例如列表、網(wǎng)格、圖表、或地圖的聚合威脅數(shù)據(jù)。在本公開(kāi)的一方面中，威脅數(shù)據(jù)聚合器14可以聚合ip流量信息并收集與威脅相關(guān)聯(lián)的各種相關(guān)信息，諸如，威脅名稱、計(jì)數(shù)、開(kāi)始時(shí)間、威脅嚴(yán)重性、源位置、源ip地址、目的地位置、目的地ip地址、設(shè)備信息、攻擊種類、攻擊類型、服務(wù)、威脅的影響、以及采取的行動(dòng)。威脅數(shù)據(jù)聚合器14可以進(jìn)一步聚合應(yīng)用使用數(shù)據(jù)值(諸如，往返于應(yīng)用的流量)以及用戶數(shù)據(jù)(諸如，帶寬和會(huì)話)。

安全管理系統(tǒng)10的威脅控制模塊17可以進(jìn)一步包括可視化模塊18以諸如在網(wǎng)格、圖表或地圖視圖中產(chǎn)生實(shí)時(shí)聚合威脅數(shù)據(jù)的各種過(guò)濾后的表示?？梢暬K18還可以將實(shí)時(shí)聚合威脅數(shù)據(jù)的過(guò)濾后的表示生成為應(yīng)用使用視圖或用戶使用視圖的形式。威脅控制模塊17然后可以將所生成的聚合數(shù)據(jù)的圖形表示呈現(xiàn)給管理員12，以用于安全設(shè)備5的交互及配置。

如在圖2中示出的，安全管理系統(tǒng)10還可以包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略/規(guī)則模塊20，其中，策略/規(guī)則模塊20可以基于由安全管理系統(tǒng)10自動(dòng)生成的、或者由管理員12定義的并從威脅控制模塊17接收的配置信息生成用于安全設(shè)備5的配置信息。如將在本文中更詳細(xì)地論述的，響應(yīng)于創(chuàng)建或修改安全策略的策略/規(guī)則模塊20，安全管理系統(tǒng)10可以將配置參數(shù)存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中以供瀏覽和最終發(fā)布到提交策略數(shù)據(jù)庫(kù)24。安全管理系統(tǒng)10還可以包括將安全策略的更新配置信息發(fā)送至安全設(shè)備5的策略部署引擎26。

通常，安全管理系統(tǒng)10的底層策略部署引擎26可以使用為所管理的安全設(shè)備5中的配置信息數(shù)據(jù)的管理設(shè)計(jì)的一個(gè)或多個(gè)網(wǎng)絡(luò)管理協(xié)議(諸如，簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(snmp)協(xié)議或網(wǎng)狀結(jié)構(gòu)協(xié)議(netconf)協(xié)議或其衍生物(諸如，juniper設(shè)備管理接口))以管理安全設(shè)備5中的安全策略。在harrington等人，rfc3411，“anarchitecturefordescribingsimplenetworkmanagementprotocol(snmp)managementframeworks,”網(wǎng)絡(luò)工作組，因特網(wǎng)工程任務(wù)組草案，2002年12月(可在http://tools.ietf.org/html/rfc3411獲得)中可查找snmp協(xié)議的更多細(xì)節(jié)，其全部?jī)?nèi)容通過(guò)引證結(jié)合于此。在enns等人，rfc4741:“netconfconfigurationprotocol,”網(wǎng)絡(luò)工作組，因特網(wǎng)工程任務(wù)組草案，2006年12月(可在http://tools.ietf.org/html/rfc4741獲得)中描述了netconf，通過(guò)引證將其結(jié)合于此。使用網(wǎng)絡(luò)管理協(xié)議，安全管理系統(tǒng)10可以與允許安全管理系統(tǒng)10否認(rèn)并修改所識(shí)別的安全設(shè)備5中的配置信息數(shù)據(jù)的一個(gè)或多個(gè)安全設(shè)備5建立配置會(huì)話9。

圖3是示例性入侵防御系統(tǒng)(ids)200，其表示圖1的安全設(shè)備5中任一個(gè)的示例性實(shí)施方式。如下所述，在本公開(kāi)的一個(gè)方面中，ids200處理進(jìn)入和流出網(wǎng)絡(luò)2的網(wǎng)絡(luò)進(jìn)站和出站數(shù)據(jù)包流并且對(duì)數(shù)據(jù)包流執(zhí)行深度包檢測(cè)以識(shí)別潛在的網(wǎng)絡(luò)威脅并將威脅信息以及應(yīng)用識(shí)別和流信息傳遞至安全管理系統(tǒng)10。此外，如下進(jìn)一步描述的，ids200從安全管理系統(tǒng)10接收策略以及其他配置數(shù)據(jù)并將這些策略應(yīng)用于網(wǎng)絡(luò)中的數(shù)據(jù)包流。

在所示出的示例中，ids200包括透明地監(jiān)控進(jìn)站網(wǎng)絡(luò)流量224的轉(zhuǎn)發(fā)平面222并將網(wǎng)絡(luò)流量作為出站網(wǎng)絡(luò)流量226轉(zhuǎn)發(fā)。在圖3示出的示例中，轉(zhuǎn)發(fā)平面222包括流分析模塊225、狀態(tài)檢查引擎228、協(xié)議解碼器230、以及轉(zhuǎn)發(fā)組件231。

安全管理客戶端244提供根據(jù)一個(gè)或多個(gè)設(shè)備配置協(xié)議與安全管理系統(tǒng)10通信的配置接口245。例如，響應(yīng)于來(lái)自管理員12的輸入，安全管理系統(tǒng)10可以將通信輸出至配置接口245以更新策略247，從而控制并配置ids200以監(jiān)控企業(yè)網(wǎng)絡(luò)2的特定子網(wǎng)并應(yīng)用從安全管理系統(tǒng)10接收的安全策略規(guī)則。作為另一個(gè)示例，安全管理系統(tǒng)10可以提供并安裝指定攻擊定義233的策略247，在某些示例性方法中，安全管理客戶端244將攻擊定義中繼至狀態(tài)檢查引擎228。在一個(gè)實(shí)施方式中，攻擊定義233可以是復(fù)雜的攻擊定義。此外，安全管理系統(tǒng)10可以呈現(xiàn)一個(gè)用戶接口，通過(guò)該用戶接口管理員12可以修改關(guān)于數(shù)據(jù)包流特征的假設(shè)，諸如用于監(jiān)控的最高優(yōu)先權(quán)數(shù)據(jù)包流、用于應(yīng)用的端口綁定、或確定與數(shù)據(jù)包流相關(guān)聯(lián)的協(xié)議和應(yīng)用類型的其他特征。安全管理客戶端244可以經(jīng)由配置接口245接收前述信息，以存儲(chǔ)在策略247中，并將信息中繼至狀態(tài)檢查引擎228，用于實(shí)時(shí)應(yīng)用于數(shù)據(jù)包流。

流分析模塊225接收進(jìn)站流量224并識(shí)別流量中的單獨(dú)的網(wǎng)絡(luò)流。每個(gè)網(wǎng)絡(luò)流表示在網(wǎng)絡(luò)流量中在一個(gè)方向上的數(shù)據(jù)包的流、并由至少源地址、目的地地址和通信協(xié)議識(shí)別。流分析模塊225可以利用附加信息指定網(wǎng)絡(luò)流，包括源媒體訪問(wèn)控制(“mac”)地址、目的地mac地址、源端口、以及目的地端口。其他示例可以使用其他信息識(shí)別網(wǎng)絡(luò)流，諸如，ip地址、應(yīng)用會(huì)話、以及帶寬使用。

流分析模塊225保持流表235中的流數(shù)據(jù)，該流表描述了網(wǎng)絡(luò)流量中出現(xiàn)的每個(gè)有效數(shù)據(jù)包流。流表235指定與每個(gè)有效數(shù)據(jù)包流相關(guān)聯(lián)的網(wǎng)絡(luò)元件，即，低級(jí)信息，諸如，源設(shè)備和目的地設(shè)備以及與數(shù)據(jù)包流相關(guān)聯(lián)的端口。此外，流表235可以識(shí)別在客戶機(jī)與服務(wù)器之間共同形成單一通信會(huì)話的數(shù)據(jù)包流對(duì)。例如，流表235可以將通信會(huì)話指定為在流(共享至少一些公共網(wǎng)絡(luò)地址、端口以及協(xié)議)的相反的方向上的數(shù)據(jù)包流對(duì)。

如在下文更詳細(xì)地描述的，狀態(tài)檢查引擎228檢查客戶端到服務(wù)器的數(shù)據(jù)包流以及服務(wù)器到客戶端的數(shù)據(jù)包流兩者，以便更準(zhǔn)確地識(shí)別每個(gè)通信會(huì)話的底層協(xié)議和應(yīng)用的類型。例如，當(dāng)惡意用戶嘗試欺騙(即，模仿)一種類型的應(yīng)用并改為使用另一個(gè)試圖繞過(guò)ids時(shí)，這可能會(huì)有所幫助。舉例來(lái)說(shuō)，惡意用戶可以在實(shí)際上使用http協(xié)議時(shí)通過(guò)欺騙smtp請(qǐng)求而試圖避開(kāi)ids。ids200可以從服務(wù)器的響應(yīng)確定原始的數(shù)據(jù)包流僅僅是試圖繞過(guò)ids200并可以采取適當(dāng)?shù)膭?dòng)作，諸如丟棄與該數(shù)據(jù)包流相關(guān)聯(lián)的未來(lái)數(shù)據(jù)包和/或向目標(biāo)設(shè)備報(bào)警該攻擊。

在某些示例性方法中，為了識(shí)別應(yīng)用的類型，除了簽名之外，ids200可以使用重新組裝的tcp段中的最小數(shù)據(jù)尺寸。一些應(yīng)用可需要最小量的數(shù)據(jù)，這樣ids200可以通過(guò)確定數(shù)據(jù)包流是否包含所識(shí)別協(xié)議的足夠數(shù)據(jù)而區(qū)分惡意數(shù)據(jù)包流。此外，ids200可以不必識(shí)別每個(gè)應(yīng)用。在一個(gè)示例中，當(dāng)應(yīng)用是未知的時(shí)，ids200可僅轉(zhuǎn)發(fā)數(shù)據(jù)包流。如果ids200不能識(shí)別給定的應(yīng)用，可能是因?yàn)閼?yīng)用不是惡意數(shù)據(jù)包流的典型目標(biāo)。然而，其他示例可以采用未識(shí)別應(yīng)用的其他動(dòng)作，諸如丟棄將未知應(yīng)用作為目標(biāo)的所有的數(shù)據(jù)包或者將默認(rèn)簽名應(yīng)用于與未知應(yīng)用類型相關(guān)聯(lián)的所有數(shù)據(jù)包流。其他示例還可以利用其他協(xié)議，諸如，用戶數(shù)據(jù)報(bào)協(xié)議(udp)；ids200因此可要求udp段的最小數(shù)據(jù)尺寸以識(shí)別與udp段相關(guān)聯(lián)的應(yīng)用。

對(duì)于每個(gè)數(shù)據(jù)包流，狀態(tài)檢查引擎228緩沖數(shù)據(jù)包流的副本并重新組裝所緩沖的數(shù)據(jù)包流以形成應(yīng)用層通信232。例如，狀態(tài)檢查引擎228可以將tcp段重構(gòu)在應(yīng)用層通信232中，應(yīng)用層通信232表示指定協(xié)議的消息。

基于應(yīng)用確定的識(shí)別類型，狀態(tài)檢查引擎228調(diào)用一個(gè)合適的協(xié)議解碼器230以分析應(yīng)用層通信232。協(xié)議解碼器230代表一個(gè)或多個(gè)指定協(xié)議的軟件模塊的集合。協(xié)議解碼器230中的每一個(gè)對(duì)應(yīng)于不同的通信協(xié)議或服務(wù)。協(xié)議解碼器230可以支持的通信協(xié)議的示例包括超級(jí)文本傳輸協(xié)議(“http”)、文件傳輸協(xié)議(“ftp”)、網(wǎng)絡(luò)新聞傳輸協(xié)議(“nntp”)、簡(jiǎn)單郵件傳輸協(xié)議(“smtp”)、遠(yuǎn)程登錄、域名系統(tǒng)(“dns”)、gopher、finger、郵局協(xié)議(“pop”)、安全套接字協(xié)議層(“ssl”)協(xié)議、輕量級(jí)目錄訪問(wèn)協(xié)議(“l(fā)dap”)、安全接殼(“ssh”)、服務(wù)器消息塊(“smb”)和其他協(xié)議。

協(xié)議解碼器230分析重新組裝的應(yīng)用層通信232并輸出識(shí)別應(yīng)用層事務(wù)的事務(wù)數(shù)據(jù)234。具體地，事務(wù)數(shù)據(jù)234指示兩個(gè)對(duì)等設(shè)備(peerdevice)之間的一系列相關(guān)的應(yīng)用層通信何時(shí)開(kāi)始和結(jié)束。

狀態(tài)檢查引擎228從協(xié)議解碼器230接收事務(wù)數(shù)據(jù)234、應(yīng)用層元件236和協(xié)議異常的數(shù)據(jù)238。狀態(tài)檢查引擎228將策略247(例如，攻擊定義233或其他規(guī)則)應(yīng)用于指定協(xié)議的應(yīng)用層元件236和異常的數(shù)據(jù)238以檢測(cè)并防止網(wǎng)絡(luò)攻擊和其他安全風(fēng)險(xiǎn)。

如果檢測(cè)到安全風(fēng)險(xiǎn)，狀態(tài)檢查引擎228向安全管理客戶端244輸出警報(bào)240，用以記錄并進(jìn)一步分析為威脅數(shù)據(jù)249。威脅數(shù)據(jù)249可以，例如，包括被識(shí)別為潛在威脅的那些數(shù)據(jù)包流的流表235的數(shù)據(jù)包流識(shí)別信息。此外，對(duì)于數(shù)據(jù)包流中的每一個(gè)，威脅數(shù)據(jù)249可以存儲(chǔ)由識(shí)別與數(shù)據(jù)包流相關(guān)聯(lián)的應(yīng)用層應(yīng)用的類型的流分析模塊225提供的應(yīng)用分類信息。此外，對(duì)于數(shù)據(jù)包流中的每一個(gè)，威脅數(shù)據(jù)249可以包括來(lái)自狀態(tài)檢查引擎228的威脅信息，該威脅信息表示特定類型的威脅，諸如，各個(gè)數(shù)據(jù)包流(其觸發(fā)將數(shù)據(jù)包流分類為威脅的一個(gè)或多個(gè)策略)的已識(shí)別的模式、異?；蚱渌匦浴?/p>

安全管理客戶端244將關(guān)于當(dāng)前所檢測(cè)的安全風(fēng)險(xiǎn)的威脅數(shù)據(jù)249中繼到安全管理系統(tǒng)10。此外，狀態(tài)檢查引擎228可以采用附加動(dòng)作，諸如丟棄與通信會(huì)話相關(guān)聯(lián)的數(shù)據(jù)包、自動(dòng)結(jié)束通信會(huì)話或其他動(dòng)作。如果對(duì)于給定應(yīng)用層通信會(huì)話沒(méi)有檢測(cè)到安全風(fēng)險(xiǎn)，轉(zhuǎn)發(fā)組件231繼續(xù)在對(duì)等設(shè)備(peers)之間轉(zhuǎn)發(fā)數(shù)據(jù)包流。例如，轉(zhuǎn)發(fā)組件231可以根據(jù)轉(zhuǎn)發(fā)數(shù)據(jù)包流中使用的企業(yè)網(wǎng)絡(luò)的拓?fù)渚S護(hù)存儲(chǔ)路由的路由表。在題為“attackdetectionandpreventionusingglobaldevicefingerprinting,”的美國(guó)專利9,106,693中進(jìn)一步描述了idp和ids設(shè)備的操作，其論述通過(guò)引證結(jié)合于本文中。

圖4a-圖4c示出了在本公開(kāi)的各個(gè)方面中將由安全管理系統(tǒng)生成的示例性用戶接口以聚合的威脅數(shù)據(jù)的表示呈現(xiàn)給管理員12。安全管理系統(tǒng)10的威脅控制模塊17可以在各種圖形表示中呈現(xiàn)動(dòng)態(tài)威脅動(dòng)畫(huà)并呈現(xiàn)可以用于組織網(wǎng)絡(luò)事件和相關(guān)聯(lián)的威脅數(shù)據(jù)的用戶接口。

圖4a示出了由安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12可以在地圖視圖中瀏覽威脅的實(shí)時(shí)威脅圖形表示。例如，可視化模塊18可以生成與安全域(例如，企業(yè)或服務(wù)供應(yīng)商網(wǎng)絡(luò))相關(guān)聯(lián)的地圖400(此處，世界地圖)的圖形表示并顯示統(tǒng)計(jì)數(shù)值，諸如，總威脅計(jì)數(shù)401、總?cè)肭址烙到y(tǒng)(ips)事件402、總反病毒(av)事件403、總反垃圾郵件事件404、總設(shè)備授權(quán)405(例如，成功的和/或不成功的登錄)、靠前的目的地設(shè)備406、靠前的目的地國(guó)家407、靠前的源設(shè)備408、靠前的來(lái)源國(guó)(未示出)、以及與聚合威脅相關(guān)聯(lián)的其他信息。在一個(gè)實(shí)施方式中，可視化模塊18可以生成實(shí)時(shí)威脅聚合的表示以包括與威脅相關(guān)聯(lián)的一個(gè)或多個(gè)可變圖形指示符(例如，顏色代碼、線厚度變化、尺寸變化)以表示威脅的改變的量級(jí)或種類。例如，來(lái)自安全設(shè)備5a的威脅可以用一種顏色表示，而來(lái)自安全設(shè)備5b的威脅可以用另一種顏色表示；或者具有較大量的威脅可以用一種顏色表示，而較小量可以用另外的顏色表示。在另一個(gè)方法中，可視化模塊18可以用連接源和目的地ip地址的線生成聚合的威脅數(shù)據(jù)的圖形表示。線的直觀表示(例如，厚度、顏色等)可以表示源ip地址于目的地ip地址之間的流量的量級(jí)(例如，流量的量、攻擊數(shù)目等)。

圖4b示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶接口，通過(guò)該用戶接口管理員12可以瀏覽應(yīng)用使用的聚合威脅數(shù)據(jù)。在一個(gè)示例中，威脅數(shù)據(jù)聚合器14可以聚合已被安全設(shè)備5識(shí)別為特定軟件應(yīng)用的數(shù)據(jù)包流的威脅數(shù)據(jù)，其中用戶接口提供表示與不同類型的應(yīng)用相關(guān)聯(lián)的使用(諸如，與應(yīng)用的多個(gè)用戶對(duì)話和/或由應(yīng)用消耗的帶寬)的圖形指示符?？梢暬K18可以生成與應(yīng)用使用相關(guān)聯(lián)的聚合威脅數(shù)據(jù)的圖形表示，諸如，圖4b中的示例性圖表視圖。在另一方法中，可視化模塊18可以用圖形指示符421(例如，可變的尺寸和/或顏色)生成聚合威脅數(shù)據(jù)的圖形表示，圖形指示符可以表示應(yīng)用使用的幅度和/或威脅的嚴(yán)重程度(例如，從應(yīng)用使用中消耗的帶寬、會(huì)話的數(shù)量等)。威脅控制模塊17然后可以基于種類(例如，網(wǎng)絡(luò)411、多媒體412、消息413、社交414、和/或基礎(chǔ)設(shè)施415)呈現(xiàn)顯示靠前的會(huì)話或應(yīng)用的帶寬使用的聚合威脅數(shù)據(jù)的圖形表示。威脅控制模塊17可以基于特征(例如，生產(chǎn)率的損失416、容易誤用417、可泄漏信息418、支持文件傳輸419、和/或消耗的帶寬420)進(jìn)一步呈現(xiàn)顯示靠前的會(huì)話或應(yīng)用的帶寬使用的接口，并且響應(yīng)于檢測(cè)威脅以配置安全設(shè)備5。

例如，圖4b在圖表視圖中示出了示例性接口，圖表視圖顯示通過(guò)應(yīng)用使用聚合的以及通過(guò)風(fēng)險(xiǎn)分組的威脅數(shù)據(jù)。具體地，圖4b示出了顯示各種應(yīng)用和各種圖形指示符421的示例性圖表。在圖4b中，例如，具有更大尺寸的氣泡的應(yīng)用可以表示應(yīng)用的會(huì)話數(shù)量越高。氣泡的顏色(諸如，紅色、橙色、和黃色)可以表示威脅的嚴(yán)重程度。在一些示例性方法中，下拉菜單429用于選擇是否通過(guò)風(fēng)險(xiǎn)或通過(guò)其他參數(shù)對(duì)應(yīng)用圖標(biāo)進(jìn)行分組，同時(shí)設(shè)備選擇下拉菜單430允許威脅控制模塊對(duì)示出的特定設(shè)備5的顯示進(jìn)行過(guò)濾。威脅控制模塊17還可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)創(chuàng)建安全策略的響應(yīng)。

圖4c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶接口，通過(guò)該用戶接口管理員12可以基于用戶使用瀏覽聚合威脅數(shù)據(jù)。在一個(gè)示例中，威脅數(shù)據(jù)聚合器14可以從安全設(shè)備5中聚合與網(wǎng)絡(luò)用戶的應(yīng)用使用(諸如，與應(yīng)用的會(huì)話數(shù)量和/或特定用戶消耗的帶寬)相關(guān)聯(lián)的威脅數(shù)據(jù)?？梢暬K18可以在以上的圖4a或圖4b中示出的方式生成與特定用戶的應(yīng)用使用相關(guān)聯(lián)的聚合威脅數(shù)據(jù)的圖形表示。在一個(gè)示例性方法中，威脅控制模塊17可以呈現(xiàn)覆蓋聚合威脅數(shù)據(jù)(顯示靠前的網(wǎng)絡(luò)用戶使用)的圖形表示的用戶接口。

例如，圖4c在網(wǎng)格視圖(顯示通過(guò)網(wǎng)絡(luò)用戶使用聚合的威脅數(shù)據(jù))中示出了示例性接口。具體地，圖4c示出了顯示各個(gè)網(wǎng)絡(luò)用戶及他們使用的靠前的應(yīng)用的示例性網(wǎng)格。在一個(gè)方法中，可視化模塊18可以進(jìn)一步生成網(wǎng)絡(luò)使用的圖形表示，包括有關(guān)靠前的用戶422、靠前的應(yīng)用423、用戶的名稱424、會(huì)話的總數(shù)425、消耗的帶寬426、和/或使用的靠前的應(yīng)用427的信息。威脅控制模塊17還可以呈現(xiàn)用戶接口(例如，復(fù)選框428)，通過(guò)該用戶接口管理員12可以選擇根據(jù)受影響的安全設(shè)備5自動(dòng)創(chuàng)建安全策略的響應(yīng)。

圖5a-圖5e示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶接口，以向管理員12呈現(xiàn)與威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的表示?？梢暬K18可以基于來(lái)自管理員12的用戶接口元件的選擇生成各個(gè)視圖中經(jīng)過(guò)濾的威脅數(shù)據(jù)的各種過(guò)濾表示，諸如，網(wǎng)格、圖表、以及地圖視圖。安全管理10的威脅控制模塊17可以向管理員12呈現(xiàn)用戶接口以選擇特定用戶接口元件，諸如，來(lái)自實(shí)時(shí)威脅聚合的表示的數(shù)據(jù)，以向下挖掘在由可視化模塊18生成的過(guò)濾后的威脅數(shù)據(jù)(覆蓋聚合表示)的過(guò)濾表示中顯示的額外的威脅細(xì)節(jié)。例如，如在圖5a中示出的，管理員12可以從實(shí)時(shí)威脅地圖中選擇國(guó)家或其他指定地理位置以瀏覽與威脅相關(guān)聯(lián)的濾波數(shù)據(jù)的網(wǎng)格，諸如，威脅名稱501、威脅計(jì)數(shù)502、開(kāi)始時(shí)間503、威脅嚴(yán)重程度504、源位置505、源ip地址506、目的地位置507、目的地ip地址508、威脅種類509、威脅類型510、服務(wù)511、影響512、以及威脅動(dòng)作狀態(tài)513(例如，允許或阻止)。威脅名稱501可以包括潛在惡意活動(dòng)的名稱，諸如，病毒名稱或惡意軟件名稱。計(jì)數(shù)502可以包括表示在安全設(shè)備5中反復(fù)出現(xiàn)的威脅的數(shù)目的計(jì)數(shù)器。開(kāi)始時(shí)間503可以包括威脅的時(shí)間和日期信息。嚴(yán)重程度504可以包括有關(guān)威脅的嚴(yán)重程度的等級(jí)的信息、并且可以作為圖形或數(shù)值表示進(jìn)行顯示。源位置505可以包括攻擊所起位置的信息。源位置可以進(jìn)一步包括粒度更精細(xì)的點(diǎn)，諸如，與源ip地址相關(guān)聯(lián)的組織名稱，或者與源相關(guān)聯(lián)的國(guó)家、州、城市、或其他指定位置。源ip地址506可以包括可疑威脅所起源的計(jì)算機(jī)系統(tǒng)的ip地址。目的地位置507可以包括攻擊出現(xiàn)位置的信息。目的地位置可以進(jìn)一步包括更精細(xì)的粒度點(diǎn)，諸如，國(guó)家、州、城市、或者其他指定位置。目的地ip地址508可以包括作為可疑攻擊的目標(biāo)的計(jì)算機(jī)系統(tǒng)的因特網(wǎng)協(xié)議地址。種類509可以包括有關(guān)惡意活動(dòng)的信息，惡意活動(dòng)包括惡意軟件的形式(例如，病毒、蠕蟲(chóng)、木馬)。攻擊類型510可以包括有關(guān)威脅類型的信息，諸如，簽名或復(fù)合物。服務(wù)511可以包括有關(guān)攻擊所使用的協(xié)議的信息，包括超級(jí)文本傳輸協(xié)議(http)或網(wǎng)絡(luò)控制報(bào)文協(xié)議(icmp)。威脅影響512可以包括威脅可具有的影響等級(jí)(例如，高或低)。威脅動(dòng)作狀態(tài)513可以包括有關(guān)允許還是阻止威脅的信息。在一些圖形表示中，用戶可用以上信息對(duì)威脅進(jìn)行過(guò)濾。威脅控制模塊17還可以為管理員12呈現(xiàn)用戶接口，以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許所選擇的威脅的流量。

如在圖5b的示例中示出的，可視化模塊18還可以在圖表視圖中生成聚合威脅數(shù)據(jù)的過(guò)濾表示，該圖表視圖呈現(xiàn)與所選擇的用戶接口元件相關(guān)聯(lián)的過(guò)濾的威脅數(shù)據(jù)，諸如，地理位置。在示出的示例中，接口覆蓋威脅的地圖視圖表示。當(dāng)選擇指定國(guó)家時(shí)，可視化模塊18可以生成聚合威脅數(shù)據(jù)的過(guò)濾的表示和感興趣的各種圖表中的過(guò)濾的威脅細(xì)節(jié)，諸如，來(lái)源國(guó)521、源ip地址522、目的地設(shè)備523、進(jìn)來(lái)的病毒/蠕蟲(chóng)524、進(jìn)來(lái)的ips攻擊525、具有進(jìn)來(lái)的ddos攻擊的設(shè)備526、或其他威脅細(xì)節(jié)。在一個(gè)實(shí)例中，管理員12可以從實(shí)時(shí)威脅聚合表示中選擇一個(gè)國(guó)家(例如，美國(guó))，以瀏覽與所選國(guó)家(作為目的地或源)相關(guān)聯(lián)的過(guò)濾的威脅細(xì)節(jié)。如在圖5b中示出的，威脅控制模塊17可以呈現(xiàn)由可視化模塊18生成的用戶接口，通過(guò)該用戶接口管理員12可以瀏覽并進(jìn)一步與過(guò)濾的威脅細(xì)節(jié)交互、并選擇附加信息的各種過(guò)濾的威脅細(xì)節(jié)。威脅控制模塊17還可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許圖表視圖中選擇的流量。

圖5c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶接口，該用戶接口可以在與基于地理的威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的地圖視圖上向管理員12呈現(xiàn)圖形表示?？梢暬K18可以生成聚合威脅數(shù)據(jù)的地圖表示、并也包括與管理員12選擇的位置相關(guān)聯(lián)的過(guò)濾的威脅數(shù)據(jù)。如在圖5c中示出的，威脅控制模塊17可以向管理員12呈現(xiàn)一個(gè)接口以瀏覽并進(jìn)一步與附加的過(guò)濾的威脅細(xì)節(jié)交互并且選擇性地阻止或允許與近似地理位置相關(guān)聯(lián)的流量或流量的類型。在與威脅相關(guān)聯(lián)的過(guò)濾表示的一個(gè)示例中，過(guò)濾的威脅細(xì)節(jié)可以包括與特定國(guó)家相關(guān)聯(lián)的總事件531、允許的事件532、以及阻止的事件533。在另一示例中，可以呈現(xiàn)來(lái)自源ip地址或目的地ip地址的威脅數(shù)據(jù)。威脅動(dòng)作響應(yīng)560允許用戶阻止直接來(lái)自威脅細(xì)節(jié)接口的流量。

圖5d示出了由安全管理系統(tǒng)10生成的另一示例性用戶接口，該用戶接口可以在圖表視圖中向管理員12呈現(xiàn)與所選擇的應(yīng)用有關(guān)的聚合威脅數(shù)據(jù)的過(guò)濾表示。在一個(gè)示例中，可視化模塊18可以從威脅的聚合表示中生成與所選擇的應(yīng)用相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)的過(guò)濾表示。威脅控制模塊17可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以選擇用戶接口元件，諸如，來(lái)自實(shí)時(shí)威脅的聚合表示的特定應(yīng)用，以向下挖掘與應(yīng)用使用相關(guān)聯(lián)的附加威脅細(xì)節(jié)，諸如，在特定時(shí)間量中的應(yīng)用的會(huì)話數(shù)目541，應(yīng)用的類別542(例如，網(wǎng)絡(luò)、多媒體、消息、社交、基礎(chǔ)設(shè)施)、威脅的特征543(例如，生產(chǎn)率損失、易于誤用、會(huì)泄漏信息、支持文件傳輸、所消耗的帶寬)、在特定時(shí)間量中使用的字節(jié)總數(shù)544、應(yīng)用的子類別545(例如，社交網(wǎng)絡(luò))、風(fēng)險(xiǎn)水平546、和/或應(yīng)用547的靠前的用戶。威脅控制模塊17還可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許來(lái)自特定應(yīng)用的流量。在圖5d中示出的示例中，威脅動(dòng)作響應(yīng)560允許管理員阻止直接來(lái)自威脅細(xì)節(jié)接口的流量。

在一個(gè)示例性方法中，威脅控制模塊17顯示反映參數(shù)(諸如，特定應(yīng)用的會(huì)話的數(shù)目或應(yīng)用使用的帶寬)的圖標(biāo)，并且管理員可以阻止與應(yīng)用相關(guān)聯(lián)的流量，或者對(duì)應(yīng)用進(jìn)行速率限制。

在另一示例性方法中，威脅控制模塊17顯示反映參數(shù)(諸如，特定用戶的會(huì)話的數(shù)目或用戶使用的帶寬)的圖標(biāo)，并且管理員可以阻止該用戶的特定流量，或者對(duì)用戶進(jìn)行速率限制。

在又一示例性方法中，威脅控制模塊17顯示反映參數(shù)(諸如，用于特定用戶或特定設(shè)備的每個(gè)應(yīng)用的會(huì)話的數(shù)目或者由用戶或特定設(shè)備使用的每個(gè)應(yīng)用的帶寬)的圖標(biāo)，并且管理員可以阻止該用戶或設(shè)備的指定應(yīng)用的流量，或?qū)τ谥付☉?yīng)用對(duì)用戶或設(shè)備進(jìn)行速率限制。

圖5e示出了由安全管理系統(tǒng)10生成的另一示例性用戶接口，該用戶接口可以在網(wǎng)格視圖中向管理員12呈現(xiàn)與應(yīng)用的用戶使用有關(guān)的過(guò)濾的威脅細(xì)節(jié)的過(guò)濾表示。在一個(gè)示例中，可視化模塊18可以生成與所選擇的網(wǎng)絡(luò)用戶相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)的過(guò)濾表示。威脅控制模塊17可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以選擇用戶接口元件，諸如，來(lái)自實(shí)時(shí)威脅的聚合表示的特定用戶，以向下挖掘與網(wǎng)絡(luò)用戶相關(guān)聯(lián)的過(guò)濾的威脅細(xì)節(jié)，諸如，用戶名551、用戶進(jìn)行的會(huì)話數(shù)目552、用戶消耗的帶寬553、用戶角色554、上次會(huì)話的日期與時(shí)間555、以及上次看到的ip556。在另一示例中，圖5e的用戶接口還可以包括基于一段時(shí)間558所選擇的用戶使用的靠前的應(yīng)用557。威脅控制模塊17還可以為管理員12呈現(xiàn)用戶接口，以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許來(lái)自特定用戶的流量。在圖5e中示出的示例中，威脅動(dòng)作響應(yīng)560允許管理員阻止直接來(lái)自用戶威脅細(xì)節(jié)接口的流量。

安全管理系統(tǒng)10也可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以與由安全管理系統(tǒng)10再現(xiàn)的過(guò)濾的威脅細(xì)節(jié)和實(shí)時(shí)威脅的聚合表示交互，并且響應(yīng)于交互，集成安全管理系統(tǒng)10可以識(shí)別相關(guān)安全設(shè)備5集合，使用策略/規(guī)則模塊20自動(dòng)為安全設(shè)備5構(gòu)建具有策略中的有序規(guī)則的更新的策略，并使用底層安全管理系統(tǒng)10的策略部署引擎26自動(dòng)傳遞策略并將策略安裝在安全設(shè)備5中。

如前所述，安全管理系統(tǒng)10可以通過(guò)威脅控制模塊17提供系統(tǒng)和接口，管理員12可以用該接口瀏覽實(shí)時(shí)威脅并迅速訪問(wèn)與威脅相關(guān)聯(lián)的過(guò)濾的威脅數(shù)據(jù)，以進(jìn)行綜合分析。響應(yīng)于實(shí)時(shí)威脅，管理員12可以響應(yīng)于所檢測(cè)的威脅引導(dǎo)安全管理系統(tǒng)10自動(dòng)創(chuàng)建安全策略，以部署到安全設(shè)備5。例如，安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)接口以使得管理員12能夠在安全設(shè)備5中的一個(gè)安全設(shè)備的當(dāng)前策略中插入新規(guī)則，以為安全設(shè)備5配置更新的策略，并刪除或改變現(xiàn)有規(guī)則的排序。

在一個(gè)示例中，管理員12可以選擇從實(shí)時(shí)威脅聚合表示中瀏覽過(guò)濾的威脅細(xì)節(jié)。安全管理系統(tǒng)10然后可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以基于過(guò)濾的威脅細(xì)節(jié)自動(dòng)創(chuàng)建用于受影響的安全設(shè)備5的安全策略。例如，在圖5a中，威脅控制模塊17可以呈現(xiàn)一用戶接口，通過(guò)該用戶接口管理員12可以選擇威脅名稱501，應(yīng)用：tun:tor-1并且可以選擇威脅動(dòng)作響應(yīng)560，例如，在威脅的任何圖形表示中阻止來(lái)自源ip地址或去往源ip地址的流量，阻止去往源ip地址和來(lái)自源ip地址的流量?jī)烧?，僅阻止來(lái)自源ip地址的流量，或者僅阻止去往源ip地址的流量。響應(yīng)于從威脅的圖形表示檢測(cè)特定威脅，管理員12可以選擇阻止或允許流量。

在另一示例中，管理員12可以在圖表視圖(例如，圖5b)中的圖形表示中選擇源ip地址以瀏覽與所選擇的源ip地址相關(guān)聯(lián)的威脅數(shù)據(jù)(例如，在與圖5a相似的接口中)。管理員12可以從圖表視圖中的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)以阻止或允許流量，圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶接口。

在另一示例中，管理員12可以在地圖視圖(例如，圖5c)中的圖形表示中選擇國(guó)家以瀏覽與所選擇的地理位置相關(guān)聯(lián)的威脅數(shù)據(jù)。管理員12可以直接從地圖視圖中的的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以直接阻止或允許流量，圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶接口。在其他示例中，管理員12可以用更細(xì)微粒度選擇位置，諸如，州、城市、以及其他地區(qū)。

在另一示例中，管理員12可以在圖表視圖(顯示通過(guò)應(yīng)用使用聚合的威脅數(shù)據(jù))中的圖形表示中選擇特定應(yīng)用以瀏覽與所選擇的應(yīng)用相關(guān)聯(lián)的補(bǔ)充細(xì)節(jié)(例如，圖5d)。管理員12可以從圖表視圖中的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以阻止或允許流量，圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶接口。

在另一示例中，管理員12可以在圖表視圖(顯示通過(guò)應(yīng)用使用聚合的威脅數(shù)據(jù))中的圖形表示中選擇特定網(wǎng)絡(luò)用戶以瀏覽與所選擇的網(wǎng)絡(luò)用戶相關(guān)聯(lián)的補(bǔ)充細(xì)節(jié)(例如，圖5e)。管理員12可以在圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以阻止或允許流量，圖形表示會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶接口。

圖6a-圖6c示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12可以審查并自動(dòng)發(fā)布所創(chuàng)建的與安全策略相關(guān)聯(lián)的規(guī)則。在一個(gè)示例中，圖6a-圖6c可以是覆蓋威脅或過(guò)濾的威脅數(shù)據(jù)的表示的接口。響應(yīng)于選擇威脅動(dòng)作響應(yīng)560以阻止或允許與威脅有關(guān)的流量，安全管理系統(tǒng)10可以生成接口，通過(guò)該接口管理員12可以配置用于阻止或允許流量的自動(dòng)生成的修改策略，如在圖6a中示出的。圖6a示出了在本公開(kāi)的一方面中呈現(xiàn)給管理員12的示例性用戶接口以瀏覽并選擇性地部署自動(dòng)生成的安全策略。用戶接口使管理員12能夠選擇性地部署任意或全部自動(dòng)生成的策略(用于對(duì)安全設(shè)備5進(jìn)行配置)。在該示例中，在本公開(kāi)的一方面中，響應(yīng)于選擇威脅動(dòng)作響應(yīng)560，安全管理系統(tǒng)10自動(dòng)生成對(duì)安全策略中的每一個(gè)中的有序規(guī)則集的修改，包括修改內(nèi)部的規(guī)則并對(duì)策略中的規(guī)則進(jìn)行排序，以阻止來(lái)自和/或去往源ip地址的流量。

圖6a的示例性接口可以提供自動(dòng)生成的修改策略的列表以供選擇。在一個(gè)示例中，圖6a的用戶接口可以向管理員12提供創(chuàng)建策略的信息601、添加的規(guī)則的數(shù)目602、策略所應(yīng)用的設(shè)備5的數(shù)目603、以及具有與策略變化有關(guān)的未確定更新的設(shè)備5的數(shù)目604。在另一示例中，可以檢索存儲(chǔ)在提交數(shù)據(jù)庫(kù)26中的受影響的安全設(shè)備5的預(yù)先存在的安全策略和相關(guān)信息并呈現(xiàn)給管理員12進(jìn)行進(jìn)一步的審查。在另一示例中，圖6a的接口還可以包括與受影響的設(shè)備相關(guān)聯(lián)的信息，受影響的設(shè)備已調(diào)用先前持續(xù)時(shí)間(例如，月、周、日等)之內(nèi)的策略。

如在圖6b中示出的，響應(yīng)于特定策略的選擇，安全管理系統(tǒng)10的威脅控制模塊17還可以呈現(xiàn)接口以配置與所選擇的威脅相關(guān)聯(lián)的策略規(guī)則。圖6b示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12瀏覽由安全管理系統(tǒng)10生成的給定策略的自動(dòng)創(chuàng)建的特定規(guī)則。例如，如在圖6b中示出的，管理員12可以選擇圖6a的接口內(nèi)的特定策略并且可以進(jìn)一步創(chuàng)建、編輯、刪除、或排序防火墻策略的一個(gè)或多個(gè)規(guī)則。在一個(gè)示例中，自動(dòng)生成的規(guī)則可以建議將規(guī)則放置在生成的安全策略中。在另一示例中，圖6b的接口可以向管理員12呈現(xiàn)指定或修改規(guī)則的順序的選項(xiàng)611，規(guī)則的名稱612，源區(qū)域613和/或目的地區(qū)域615可以是可信的或者是不可信的，限定規(guī)則適用的源地址614和/或目的地址616，限定規(guī)則的服務(wù)617、限定規(guī)則選項(xiàng)618、或者限定安全策略中規(guī)則的動(dòng)作619，以允許或拒絕流量。例如，管理員12可以使用圖6b中的由威脅控制模塊17呈現(xiàn)的接口以指定“規(guī)則2”和“規(guī)則3”分別具有808和809的序列號(hào)，并指定動(dòng)作以拒絕策略ccc的ip流量。

如在圖2中示出的，安全管理系統(tǒng)10還可以包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略/規(guī)則模塊20，其中，策略/規(guī)則模塊20可以基于由安全管理系統(tǒng)10自動(dòng)生成的或者由管理員12定義的并從威脅控制模塊17接收的配置信息生成用于安全設(shè)備5的配置信息。響應(yīng)于策略/規(guī)則模塊20創(chuàng)建或修改安全策略，安全管理系統(tǒng)10可以將配置參數(shù)存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中。

安全管理系統(tǒng)10的威脅控制模塊17還可以響應(yīng)于特定設(shè)備的選擇(如在圖6a中示出的)呈現(xiàn)接口，通過(guò)該接口管理員12可以瀏覽與所選擇的威脅相關(guān)聯(lián)的安全設(shè)備5的信息，如在圖6c中示出的。圖6c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12可以瀏覽與受自動(dòng)創(chuàng)建的安全策略影響的設(shè)備相關(guān)聯(lián)的安全設(shè)備細(xì)節(jié)。威脅控制模塊17可以呈現(xiàn)與安全策略的接口和存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22和/或提交策略數(shù)據(jù)庫(kù)24中的設(shè)備信息。在一個(gè)示例中，圖6c的接口可以包括設(shè)備名稱621、域622、管理狀態(tài)623、連接狀態(tài)624、策略類型625、以及δ配置626。δ配置可以包括對(duì)命令行接口(cli)的訪問(wèn)和/或設(shè)備的可擴(kuò)展標(biāo)記語(yǔ)言(xml)配置。例如，安全管理系統(tǒng)10的威脅控制模塊17可以進(jìn)一步響應(yīng)于設(shè)備的δ配置的選擇(如在圖6c中所示)呈現(xiàn)接口，通過(guò)該接口管理員12可以瀏覽所選擇的設(shè)備的cli和/或xml配置(如在圖6d中所示)。

圖7示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12使得自動(dòng)創(chuàng)建的安全策略能夠部署和/或發(fā)布。如圖2中所示，安全管理系統(tǒng)10可以包括候選策略數(shù)據(jù)庫(kù)22和與安全管理系統(tǒng)10的威脅控制模塊17和策略/規(guī)則模塊20交互的提交策略數(shù)據(jù)庫(kù)24。威脅控制模塊17可以為管理員12呈現(xiàn)用戶接口以選擇是否更新702(例如，部署)、發(fā)布704(例如，存儲(chǔ)以供進(jìn)一步審查)、或保存706自動(dòng)創(chuàng)建的安全策略(單獨(dú)地或者作為組)。在一個(gè)示例中，發(fā)布自動(dòng)創(chuàng)建的安全策略的選擇可以將安全策略存儲(chǔ)在候選數(shù)據(jù)庫(kù)22中以供進(jìn)一步審查。安全策略的發(fā)布可以允許其他管理員12通過(guò)由安全管理系統(tǒng)10生成的用戶接口審查在部署之前存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中的自動(dòng)創(chuàng)建的安全策略。在進(jìn)一步審查之后，另一管理員12可以選擇更新(例如，部署)發(fā)布的安全策略或者重新配置安全策略。

在一個(gè)示例中，更新安全策略的選擇可以將自動(dòng)創(chuàng)建的安全策略存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中。管理員12可以選擇更新由安全管理10生成的用戶接口呈現(xiàn)的安全策略(如圖7中所示)以將自動(dòng)創(chuàng)建的安全策略諸如通過(guò)snmp或netconf協(xié)議推送至安全設(shè)備5。安全管理系統(tǒng)10可以包括在系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略部署引擎26以將安全策略的更新的配置信息發(fā)送至安全設(shè)備5。

圖7的接口還可以呈現(xiàn)有安全管理系統(tǒng)10生成的用戶接口，通過(guò)該用戶接口管理員12可以限定更新702或發(fā)布704自動(dòng)創(chuàng)建的安全策略的具體日期708或時(shí)間710。例如，威脅控制模塊17可以向管理員12呈現(xiàn)接口以計(jì)劃在太平洋標(biāo)準(zhǔn)時(shí)間2015年9月27日上午5點(diǎn)15分進(jìn)行更新。當(dāng)選擇更新702策略時(shí)，安全管理系統(tǒng)10可以在太平洋標(biāo)準(zhǔn)時(shí)間2015年9月27日上午5點(diǎn)15分之前將這些更新的安全策略存儲(chǔ)到候選策略數(shù)據(jù)庫(kù)22。當(dāng)在太平洋標(biāo)準(zhǔn)時(shí)間2015年9月27日上午5點(diǎn)15分將策略更新至安全設(shè)備5時(shí)，安全管理系統(tǒng)10然后可以將更新的安全策略存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中。安全管理系統(tǒng)10可以進(jìn)一步利用策略部署引擎26將存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中的更新的安全策略部署至安全設(shè)備5。在一個(gè)示例中，提交策略數(shù)據(jù)庫(kù)24可以位于安全管理系統(tǒng)10中。在另一示例中，安全管理系統(tǒng)10可以與外部提交策略數(shù)據(jù)庫(kù)24通信。

圖8示出了由安全管理系統(tǒng)10生成的示例性用戶接口，通過(guò)該用戶接口管理員12可以瀏覽所發(fā)布的或更新的安全策略的作業(yè)狀態(tài)。在一個(gè)實(shí)施方式中，安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)用戶接口，通過(guò)該用戶接口管理員12可以提供來(lái)自候選策略數(shù)據(jù)庫(kù)22和/或提交策略數(shù)據(jù)庫(kù)24的關(guān)于配置策略更新的相位的信息，諸如，狀態(tài)快照策略801、發(fā)布策略802、以及更新設(shè)備803。由安全管理系統(tǒng)10生成的圖8的接口可以進(jìn)一步顯示信息，包括作業(yè)類型804、作業(yè)id805、作業(yè)名806、用戶807、作業(yè)狀態(tài)808、完成百分比809、預(yù)定開(kāi)始時(shí)間810、實(shí)際開(kāi)始時(shí)間811、以及結(jié)束時(shí)間812。在另一示例中，圖8的接口還可以搜索設(shè)備發(fā)布細(xì)節(jié)813，包括設(shè)備的名稱、發(fā)布的狀態(tài)、服務(wù)、和/或消息。

圖9示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性接口，通過(guò)該接口管理員12可以瀏覽威脅設(shè)備的源或目的地細(xì)節(jié)。在一個(gè)示例中，安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)用戶接口，用戶接口呈現(xiàn)包括源設(shè)備細(xì)節(jié)901和目標(biāo)設(shè)備細(xì)節(jié)902的設(shè)備信息。用戶接口可以呈現(xiàn)設(shè)備細(xì)節(jié)，包括設(shè)備ip、設(shè)備名稱、組織名稱、組織id、設(shè)備的物理地址(例如，街道地址、城市、州/省、郵政編碼、國(guó)家)、注冊(cè)日期、更新日期、以及有關(guān)設(shè)備更多信息的鏈接。

圖10是示出了安全管理系統(tǒng)10的示例性操作的流程圖。如圖10中所示，安全設(shè)備5可以初步分析數(shù)據(jù)包流以識(shí)別應(yīng)用和潛在的威脅數(shù)據(jù)(100)。安全設(shè)備5可以繼續(xù)將潛在的威脅數(shù)據(jù)傳送至安全管理系統(tǒng)10(102)。安全管理系統(tǒng)10可以從安全設(shè)備5接收傳送的威脅數(shù)據(jù)并利用威脅數(shù)據(jù)聚合器14聚合所接收的數(shù)據(jù)(104)。安全管理系統(tǒng)10通過(guò)威脅控制模塊17可以進(jìn)一步構(gòu)建并顯示已由威脅數(shù)據(jù)聚合器14聚合并存儲(chǔ)在威脅數(shù)據(jù)庫(kù)16中的實(shí)時(shí)的或接近實(shí)時(shí)的威脅，其中，顯示可以是在地圖、圖表、網(wǎng)格視圖等中通過(guò)威脅控制模塊17生成的可視化。安全管理系統(tǒng)10通過(guò)威脅控制模塊17可以進(jìn)一步從管理員12接收輸入以配置包括規(guī)則的排序的策略(108)。例如，管理員12可以直接從實(shí)時(shí)或接近實(shí)時(shí)的威脅的顯示和/或通過(guò)與威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的圖形表示配置策略。當(dāng)接收從管理員12輸入的配置時(shí)，安全管理系統(tǒng)10可以使用策略/規(guī)則模塊20自動(dòng)生成重新配置的或更新的包括有序規(guī)則的安全策略(110)。安全管理系統(tǒng)10可以進(jìn)一步通過(guò)策略部署引擎26將所生成的或更新的策略部署至安全設(shè)備5(112)。安全設(shè)備5然后可以從安全管理系統(tǒng)10接收所部署的生成的安全策略(114)。安全設(shè)備5可以繼續(xù)更新來(lái)自安全管理系統(tǒng)10的與所生成的安全策略有關(guān)的配置數(shù)據(jù)(116)。當(dāng)利用安全策略更新配置數(shù)據(jù)時(shí)，安全設(shè)備5可以根據(jù)更新的安全策略處理流量(118)。

圖11示出了可被配置為實(shí)現(xiàn)根據(jù)當(dāng)前公開(kāi)的一些實(shí)施方式的計(jì)算設(shè)備的詳細(xì)示例。例如，設(shè)備1100可以是服務(wù)器、工作站、計(jì)算中心、服務(wù)器的集群或者能夠執(zhí)行本文中描述的技術(shù)的中央定位或者分布的計(jì)算環(huán)境的其他示例性實(shí)施方式。任意或全部設(shè)備可以例如實(shí)現(xiàn)本文中描述的用于安全管理系統(tǒng)的技術(shù)的部分。在該示例中，計(jì)算機(jī)1100包括可以整合到安全管理系統(tǒng)10中的基于硬件的處理器1110以執(zhí)行程序指令或軟件，使得計(jì)算機(jī)執(zhí)行各種方法或任務(wù)，諸如，執(zhí)行本文中描述的技術(shù)。

處理器1110可以是通用處理器、數(shù)字信號(hào)處理器(dsp)、專用集成電路(asic)中的核心處理器等。處理器1110經(jīng)由總線1120耦合至存儲(chǔ)器1130，存儲(chǔ)器130用于在計(jì)算機(jī)運(yùn)行時(shí)存儲(chǔ)信息，諸如，程序指令和其他數(shù)據(jù)。存儲(chǔ)設(shè)備1140(諸如，硬盤驅(qū)動(dòng)器、非易失性存儲(chǔ)器、或其他非瞬時(shí)存儲(chǔ)設(shè)備)存儲(chǔ)信息，諸如，程序指令、多維數(shù)據(jù)的數(shù)據(jù)文件和縮減數(shù)據(jù)集合、以及其他信息。作為另一示例，計(jì)算機(jī)1150可以提供用于執(zhí)行一個(gè)或多個(gè)虛擬機(jī)的操作環(huán)境，反過(guò)來(lái)，虛擬機(jī)提供用于實(shí)現(xiàn)本文中描述的技術(shù)的軟件的執(zhí)行環(huán)境。

計(jì)算機(jī)還包括各種輸入輸出元件1150，包括并行或串行端口、usb、火警線或ieee1394、以太網(wǎng)、以及其他這樣的端口以將計(jì)算機(jī)連接至外部設(shè)備(諸如，鍵盤、觸摸屏、鼠標(biāo)、指針等)。其他輸入輸出元件包括無(wú)線通信接口，諸如，藍(lán)牙、wi-fi、和蜂窩數(shù)據(jù)網(wǎng)絡(luò)。

計(jì)算機(jī)本身可以是傳統(tǒng)的個(gè)人計(jì)算機(jī)、機(jī)架安裝或商用計(jì)算機(jī)或服務(wù)器、或者任意其他類型的計(jì)算機(jī)化系統(tǒng)。另一示例中的計(jì)算機(jī)可以包括比以上列出的所有元件少的元件，諸如，瘦客戶端或僅具有所示出元件中的一部分的移動(dòng)設(shè)備。在另一示例中，計(jì)算機(jī)分布在多計(jì)算機(jī)系統(tǒng)中，諸如，很多計(jì)算機(jī)一起工作以提供各種功能的分布式服務(wù)器。

可以硬件、軟件、固件、或者其任意組合實(shí)現(xiàn)此處描述的技術(shù)。描述為模塊、單元或組件的各種特征可一起實(shí)施于集成式邏輯設(shè)備中或單獨(dú)地實(shí)施為離散但可共同操作的邏輯設(shè)備或其他硬件設(shè)備。在一些情況下，電子電路的各種特征可以被實(shí)施為一個(gè)或多個(gè)集成電路器件，諸如，專用集成電路片或芯片組。

如果在硬件中實(shí)施，本公開(kāi)可以涉及這樣的處理器或者集成電路器件(諸如，集成電路片或芯片組)的設(shè)備?？商鎿Q地或此外，如果在軟件或者固件中實(shí)施，至少部分地通過(guò)計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)可以實(shí)現(xiàn)本技術(shù)，計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)包括在被執(zhí)行時(shí)使一個(gè)或多個(gè)處理器執(zhí)行上述方法中的一個(gè)或多個(gè)的指令。例如，計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)或設(shè)備可以存儲(chǔ)由處理器執(zhí)行的這樣的指令。可以利用一個(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合。

計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(設(shè)備)可以構(gòu)建計(jì)算機(jī)程序產(chǎn)品的部分，計(jì)算機(jī)程序產(chǎn)品可以包括封裝材料。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(設(shè)備)可包括計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)介質(zhì)，諸如，隨機(jī)存取存儲(chǔ)器(ram)、只讀存儲(chǔ)器(rom)、非易失性隨機(jī)存取存儲(chǔ)器(nvram)、電可擦除編程只讀存儲(chǔ)器(eeprom)、閃存、磁性或光數(shù)據(jù)存儲(chǔ)介質(zhì)等。通常，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是能夠包含或存儲(chǔ)用于指令執(zhí)行系統(tǒng)、裝置或設(shè)備或與指令執(zhí)行系統(tǒng)、裝置或設(shè)備結(jié)合使用的程序的任何有形介質(zhì)。計(jì)算機(jī)可讀介質(zhì)的另外的實(shí)例包括計(jì)算機(jī)可讀存儲(chǔ)設(shè)備、計(jì)算機(jī)可讀存儲(chǔ)器、以及有形的計(jì)算機(jī)可讀介質(zhì)。在一些示例中，制造品可包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)。

在一些示例中，計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可包括非易失性介質(zhì)。術(shù)語(yǔ)“非易失性”可指示存儲(chǔ)介質(zhì)不以載波或者傳播信號(hào)實(shí)現(xiàn)。在某些示例中，非易失性存儲(chǔ)介質(zhì)可存儲(chǔ)可隨時(shí)間變化的數(shù)據(jù)(例如，在ram或緩存器中)。

代碼或者指令可以是由處理電路執(zhí)行的軟件和/或固件，處理電路包括一個(gè)或多個(gè)處理器，諸如，一個(gè)或多個(gè)數(shù)字信號(hào)處理器(dsp)、通用型微處理器、專用集成電路(asic)、現(xiàn)場(chǎng)可編程門陣列(fpga)、或者其他等效集成或離散邏輯電路。因此，如在本文中使用的術(shù)語(yǔ)“處理器”可以參照適于實(shí)施本文中描述的技術(shù)的任何上述結(jié)構(gòu)或者任何其他處理電路。此外，在某些方面，可以在軟件模塊或硬件模塊內(nèi)提供本公開(kāi)中描述的功能。

除了以上以外或作為其的替代，描述以下示例。任何這里描述的其他示例可能利用在任何以下示例中描述的特征。

實(shí)施例1.一種方法，包括：接收關(guān)于一個(gè)或多個(gè)威脅的數(shù)據(jù)；顯示關(guān)于一個(gè)或多個(gè)威脅的信息；選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)；基于所選擇的響應(yīng)生成用于一個(gè)或多個(gè)安全設(shè)備的配置信息；以及將配置信息部署至一個(gè)或多個(gè)安全設(shè)備。

實(shí)施例2.根據(jù)實(shí)施例1所述的方法，其中，選擇響應(yīng)包括利用有關(guān)威脅的信息顯示對(duì)一個(gè)或多個(gè)威脅的一個(gè)或多個(gè)響應(yīng)。

實(shí)施例3.根據(jù)實(shí)施例1所述的方法，其中，生成配置信息包括基于所選擇的響應(yīng)生成用于一個(gè)或多個(gè)安全設(shè)備的規(guī)則。

實(shí)施例4.根據(jù)實(shí)施例1所述的方法，其中，生成配置信息包括基于所選擇的響應(yīng)生成用于一個(gè)或多個(gè)安全設(shè)備的安全策略。

實(shí)施例5.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息包括通過(guò)地理位置對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例6.根據(jù)實(shí)施例5所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許來(lái)自所選擇的地理位置的流量的響應(yīng)。

實(shí)施例7.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息包括通過(guò)一個(gè)或多個(gè)威脅的源對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例8.根據(jù)實(shí)施例7所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許來(lái)自所選則的一個(gè)或多個(gè)威脅的源的流量的響應(yīng)。

實(shí)施例9.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息包括通過(guò)一個(gè)或多個(gè)威脅的目的地對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例10.根據(jù)實(shí)施例9所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許來(lái)自所選擇的一個(gè)或多個(gè)威脅的目的地的流量的響應(yīng)。

實(shí)施例11.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息包括通過(guò)一個(gè)或多個(gè)威脅的源和一個(gè)或多個(gè)威脅的目的地對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例12.根據(jù)實(shí)施例11所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許來(lái)自所選擇的一個(gè)或多個(gè)威脅的源和所選擇的一個(gè)或多個(gè)威脅的目的地的流量的響應(yīng)。

實(shí)施例13.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息包括通過(guò)應(yīng)用使用對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例14.根據(jù)實(shí)施例13所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許與所選擇的應(yīng)用相關(guān)聯(lián)的流量的響應(yīng)。

實(shí)施例15.根據(jù)實(shí)施例13所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息進(jìn)一步包括顯示根據(jù)相同應(yīng)用的所有實(shí)例消耗的網(wǎng)絡(luò)帶寬進(jìn)行排名的應(yīng)用。

實(shí)施例16.根據(jù)實(shí)施例15所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇減少與所選擇的應(yīng)用相關(guān)聯(lián)的網(wǎng)絡(luò)流量的響應(yīng)。

實(shí)施例17.根據(jù)實(shí)施例1所述的方法，其中，顯示有關(guān)威脅的信息包括通過(guò)用戶使用對(duì)一個(gè)或多個(gè)威脅進(jìn)行分組。

實(shí)施例18.根據(jù)實(shí)施例1所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇阻止或允許與特定用戶相關(guān)聯(lián)的流量的響應(yīng)。

實(shí)施例19.根據(jù)實(shí)施例17所述的方法，其中，顯示有關(guān)一個(gè)或多個(gè)威脅的信息進(jìn)一步包括顯示通過(guò)參數(shù)進(jìn)行排名的用戶。

實(shí)施例20.根據(jù)實(shí)施例19所述的方法，其中，參數(shù)是用戶e消耗的網(wǎng)絡(luò)帶寬。

實(shí)施例21.根據(jù)實(shí)施例17所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇減少與所選擇的用戶相關(guān)聯(lián)的網(wǎng)絡(luò)流量的響應(yīng)。

實(shí)施例22.根據(jù)實(shí)施例17所述的方法，其中，選擇對(duì)一個(gè)或多個(gè)威脅的響應(yīng)包括選擇減少與所選擇的用戶相關(guān)聯(lián)的有效會(huì)話的響應(yīng)。

實(shí)施例23.根據(jù)實(shí)1例所述的方法，進(jìn)一步包括基于所選擇的響應(yīng)編輯為一個(gè)或多個(gè)安全設(shè)備生成的配置信息。

實(shí)施例24.一種安全管理系統(tǒng)，包括：一個(gè)或多個(gè)處理器；一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器；威脅數(shù)據(jù)聚合器，在一個(gè)或多個(gè)處理器上運(yùn)行以聚合有關(guān)從一個(gè)或多個(gè)安全設(shè)備接收的關(guān)于一個(gè)或多個(gè)威脅的數(shù)據(jù)；在一個(gè)或多個(gè)處理器上運(yùn)行的威脅控制模塊，其中，威脅控制模塊顯示對(duì)應(yīng)于通過(guò)威脅數(shù)據(jù)聚合器聚合的威脅數(shù)據(jù)的一個(gè)或多個(gè)威脅并基于所顯示的一個(gè)或多個(gè)威脅配置安全設(shè)備的一個(gè)或多個(gè)安全策略；在一個(gè)或多個(gè)處理器上運(yùn)行的策略/規(guī)則模塊，其中，策略/規(guī)則模塊基于從威脅控制模塊接收的配置信息生成用于安全設(shè)備的配置信息；以及策略部署引擎，在一個(gè)或多個(gè)處理器上運(yùn)行以將用于安全設(shè)備的配置信息發(fā)送至一個(gè)或多個(gè)安全設(shè)備。

實(shí)施例25.根據(jù)實(shí)施例24所述的安全管理系統(tǒng)，其中，威脅控制模塊進(jìn)一步利用一個(gè)或多個(gè)威脅的顯示來(lái)顯示一個(gè)或多個(gè)威脅的一個(gè)或多個(gè)響應(yīng)。

實(shí)施例26.根據(jù)實(shí)施例25所述的安全管理系統(tǒng)，其中，威脅控制模塊進(jìn)一步顯示通過(guò)至少源或目的地對(duì)一個(gè)或多個(gè)威脅進(jìn)行的分組。

實(shí)施例27.根據(jù)實(shí)施例25所述的安全管理系統(tǒng)，其中，響應(yīng)包括基于分組阻止流量。

實(shí)施例28.根據(jù)實(shí)施例25所述的安全管理系統(tǒng)，其中，響應(yīng)包括基于分組允許流量。

實(shí)施例29.根據(jù)實(shí)施例25所述的安全管理系統(tǒng)，其中，響應(yīng)于一個(gè)或多個(gè)響應(yīng)的選擇生成用于安全設(shè)備的配置信息。

實(shí)施例30.根據(jù)實(shí)施例24所述的安全管理系統(tǒng)，其中，用于安全設(shè)備的配置信息包括用于特定ip地址的一個(gè)或多個(gè)安全策略，其中，所述特定ip地址是基于所述一個(gè)或多個(gè)威脅的位置識(shí)別的。

實(shí)施例31.根據(jù)實(shí)施例24所述的安全管理系統(tǒng)，其中，基于應(yīng)用消耗的帶寬或與應(yīng)用有關(guān)的多個(gè)會(huì)話中的至少一個(gè)，所述安全設(shè)備的配置信息包括用于ip地址的一個(gè)或多個(gè)安全策略。

此外，可將在任何上述實(shí)施例中闡述的任何特定特征組合在所描述的技術(shù)的有利實(shí)施例中。也就是說(shuō)，任何特定特征通?？蛇m用于本發(fā)明的所有實(shí)施例。已描述了技術(shù)的各種實(shí)施例。這些及其他實(shí)施例在所附權(quán)利要求的范圍內(nèi)。