相關(guān)申請的引證

本申請要求于2015年11月3日提交的印度專利申請5944/che/2015的權(quán)益，通過引證將其全部內(nèi)容結(jié)合于此。

本發(fā)明涉及計算機網(wǎng)絡(luò)，并且更具體地，涉及網(wǎng)絡(luò)安全設(shè)備的管理和配置技術(shù)。

背景技術(shù)：

存儲在計算機系統(tǒng)及網(wǎng)絡(luò)中的數(shù)據(jù)和技術(shù)易于受到水平增加的網(wǎng)絡(luò)威脅的危害。常見的網(wǎng)絡(luò)攻擊類型包括拒絕服務(wù)(dos)攻擊、欺騙攻擊、數(shù)據(jù)包竊聽或攔截等。由于網(wǎng)絡(luò)威脅的復(fù)雜性增加，所以被分配保護計算機網(wǎng)絡(luò)的任務(wù)的管理員的負(fù)擔(dān)越來越重并且裝備不足以有效且高效地緩和并解決網(wǎng)絡(luò)威脅以及網(wǎng)絡(luò)攻擊。當(dāng)前，為了響應(yīng)于網(wǎng)絡(luò)威脅，管理員必須參與手動的、勞動密集型的過程以便配置策略或其他保護系統(tǒng)以試圖阻止這樣的威脅。

技術(shù)實現(xiàn)要素：

總體上，本公開描述了一種集成安全管理系統(tǒng)，該集成安全管理系統(tǒng)提供遍及網(wǎng)絡(luò)分布的安全設(shè)備的集中威脅可視化以及自動控制。

例如，在一個示例性實現(xiàn)方式中，安全管理系統(tǒng)包括一個或多個處理器、存儲指令的一個或多個計算機可讀存儲器，當(dāng)指令被運行時，所述指令實現(xiàn)實時或近實時地生成并顯示動畫網(wǎng)絡(luò)威脅的實時威脅可視化的復(fù)雜的用戶界面以及可視化引擎。此外，安全管理系統(tǒng)包括威脅數(shù)據(jù)聚合器，該威脅數(shù)據(jù)聚合器從部署在安全域(例如，企業(yè)網(wǎng)絡(luò))內(nèi)的一個或多個安全設(shè)備聚合關(guān)于一個或多個威脅的數(shù)據(jù)。安全管理系統(tǒng)還可包括威脅控制模塊，該威脅控制模塊能夠顯示一個或多個威脅并配置部署在網(wǎng)絡(luò)內(nèi)的安全設(shè)備，包括例如，響應(yīng)于一個或多個檢測的網(wǎng)絡(luò)攻擊來部署創(chuàng)建的或更新的安全策略。管理員可例如，基于從分布式安全設(shè)備聚合的數(shù)據(jù)與由威脅控制模塊渲染的威脅的圖形表示交互，并且響應(yīng)于該交互，安全管理系統(tǒng)可識別相關(guān)的一組安全設(shè)備，在用于所識別的一組安全設(shè)備的策略內(nèi)自動構(gòu)建具有有序規(guī)則的安全策略，并且使用集成安全管理系統(tǒng)的底層網(wǎng)絡(luò)管理組件的策略部署引擎在所識別的一組安全設(shè)備中自動通信和安裝策略。

以此方式，安全管理系統(tǒng)使管理員能夠在監(jiān)控來自威脅的圖形表示的事件的同時，采取直接動作，諸如選擇性阻止或允許流量及應(yīng)用。因此，企業(yè)中的管理員與由安全管理系統(tǒng)渲染的威脅的圖形表示交互，以便自動調(diào)用安全管理系統(tǒng)的策略/規(guī)則模塊來配置并更新用于遍及企業(yè)的計算機網(wǎng)絡(luò)部署的安全設(shè)備的安全策略。

在附圖和以下描述中闡述本發(fā)明的一個或多個實施方式的細(xì)節(jié)。通過該描述、附圖和權(quán)利要求，本發(fā)明的其它特征、目的和優(yōu)點將是顯而易見的。

附圖說明

圖1是示出具有如本文描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖。

圖2示出在本公開的一個方面中的示例性集成安全管理系統(tǒng)的框圖。

圖3是在本公開的一個方面中的處理網(wǎng)絡(luò)流以識別潛在網(wǎng)絡(luò)威脅的示例性安全設(shè)備。

圖4a至圖4c示出在本公開的各個方面中的由安全管理系統(tǒng)生成的向管理員呈現(xiàn)聚合威脅數(shù)據(jù)的表示的示例性用戶界面。

圖5a至圖5e示出在本公開的各個方面中的由安全管理系統(tǒng)生成的向管理員呈現(xiàn)與威脅有關(guān)的過濾事件數(shù)據(jù)的表示的示例性用戶界面。

圖6a至圖6d示出在本公開的各個方面中的由安全管理系統(tǒng)生成的示例性用戶界面，通過該示例性用戶界面，管理員可自動查看并發(fā)布與安全策略有關(guān)的創(chuàng)建的規(guī)則。

圖7示出在本公開的一個方面中的由安全管理系統(tǒng)生成的示例性用戶界面，通過該示例性用戶界面，管理員可進行自動創(chuàng)建的安全策略的部署和/或發(fā)布。

圖8示出由安全管理系統(tǒng)生成的示例性用戶界面，通過該示例性用戶界面，管理員可瀏覽發(fā)布或更新的安全策略的作業(yè)狀態(tài)。

圖9示出在本公開的一個方面中的由安全管理系統(tǒng)生成的示例性界面，通過該示例性界面，管理員可瀏覽威脅設(shè)備的來源或目的地細(xì)節(jié)。

圖10是示出安全管理系統(tǒng)的示例性操作的流程圖。

圖11示出計算設(shè)備的詳細(xì)實例，該計算設(shè)備可被配置為實現(xiàn)根據(jù)本公開的一些實施方式。

具體實施方式

圖1是示出具有如本文描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖。在圖1的實例中，企業(yè)網(wǎng)絡(luò)2包括集成安全管理系統(tǒng)10以及以分布式方式遍及網(wǎng)絡(luò)部署的一個或多個安全設(shè)備5。

企業(yè)網(wǎng)絡(luò)2的一個或多個安全設(shè)備5a-5c(統(tǒng)稱為“安全設(shè)備5”)經(jīng)由形成通信拓?fù)涞耐ㄐ沛溌坊ハ噙B接。通常，安全設(shè)備5監(jiān)控網(wǎng)絡(luò)2內(nèi)的數(shù)據(jù)包流，并且向那些數(shù)據(jù)包流應(yīng)用安全服務(wù)以保護網(wǎng)絡(luò)內(nèi)的計算資源(未示出)，諸如提供網(wǎng)絡(luò)連接的網(wǎng)絡(luò)服務(wù)器、終端用戶計算機以及基礎(chǔ)設(shè)施設(shè)備。例如，安全設(shè)備5可對數(shù)據(jù)包流執(zhí)行深度包檢測，以檢測指示威脅(諸如，網(wǎng)絡(luò)攻擊、病毒、惡意軟件等)的數(shù)據(jù)包流內(nèi)的模式或異常。在該處理過程中，安全設(shè)備5通常應(yīng)用限定與數(shù)據(jù)包流比較的標(biāo)準(zhǔn)(例如，報頭信息、模式、異常信息)的策略，并且采取由策略指定的動作，諸如丟棄數(shù)據(jù)包流、記錄數(shù)據(jù)包流或者將數(shù)據(jù)包流重定向至數(shù)據(jù)包分析器以用于進一步分析。安全設(shè)備5可包括例如，防火墻或其他入侵檢測系統(tǒng)(ids)或入侵防御系統(tǒng)(idp)，或者甚至被配置為向網(wǎng)絡(luò)2內(nèi)的數(shù)據(jù)包流應(yīng)用網(wǎng)絡(luò)安全服務(wù)的高端路由器或服務(wù)節(jié)點。

盡管在本公開中被描述為傳輸、傳送或以另外方式支持?jǐn)?shù)據(jù)包，但是企業(yè)網(wǎng)絡(luò)2可根據(jù)由任意其他協(xié)議限定的任意其他離散數(shù)據(jù)單元來傳輸數(shù)據(jù)，諸如由異步傳輸模式(atm)協(xié)議限定的小區(qū)或者由用戶數(shù)據(jù)報協(xié)議(udp)限定的數(shù)據(jù)報。將安全設(shè)備5互相連接的通信鏈路可以是物理鏈路(例如，光纖、銅等)或無線鏈路。企業(yè)網(wǎng)絡(luò)2可耦接至一個或多個額外專用網(wǎng)絡(luò)或公共網(wǎng)絡(luò)，例如，因特網(wǎng)(未示出)。

在圖1的實例中，企業(yè)網(wǎng)絡(luò)2被示出為經(jīng)由通信鏈路7a-7c分別耦接至公共網(wǎng)絡(luò)4a-4c(統(tǒng)稱為“公共網(wǎng)絡(luò)4”)(例如，因特網(wǎng))。公共網(wǎng)絡(luò)4可包括例如，一個或多個客戶端計算設(shè)備。公共網(wǎng)絡(luò)4可提供向網(wǎng)絡(luò)服務(wù)器、應(yīng)用服務(wù)器、公共數(shù)據(jù)庫、媒體服務(wù)器、終端用戶設(shè)備以及其他類型的網(wǎng)絡(luò)資源設(shè)備及內(nèi)容的訪問。公共網(wǎng)絡(luò)4中的網(wǎng)絡(luò)設(shè)備可向企業(yè)網(wǎng)絡(luò)2呈現(xiàn)大量安全威脅。例如，公共網(wǎng)絡(luò)4中的設(shè)備可試圖向安全設(shè)備5中的一個或多個傳遞蠕蟲、木馬和/或病毒。作為另一實例，使用公共網(wǎng)絡(luò)4中的設(shè)備的黑客可試圖潛入企業(yè)網(wǎng)絡(luò)2以監(jiān)聽、損壞、破壞或竊取由一個或多個安全設(shè)備5存儲的信息。

如本文描述的，安全管理系統(tǒng)10使得能夠通過收集并聚合來自安全設(shè)備5的威脅信息并且呈現(xiàn)遍及企業(yè)網(wǎng)絡(luò)2呈現(xiàn)的網(wǎng)絡(luò)威脅的統(tǒng)一、實時的可視化，來進行安全設(shè)備5的集中管理。此外，安全管理系統(tǒng)10提供了一種集成系統(tǒng)，該集成系統(tǒng)響應(yīng)于網(wǎng)絡(luò)威脅，向網(wǎng)絡(luò)管理員(例如，管理員12)提供用于管理安全設(shè)備5的集中、單點控制。

例如，當(dāng)在安全域(例如，企業(yè)網(wǎng)絡(luò)2)內(nèi)檢測和識別到威脅時，安全管理系統(tǒng)10從安全設(shè)備5實時接收并聚合數(shù)據(jù)。安全管理系統(tǒng)10基于從分布式安全設(shè)備5聚合的數(shù)據(jù)渲染并維持所識別的威脅的動畫表示。響應(yīng)于來自管理員12的交互，安全管理系統(tǒng)10識別相關(guān)的一組安全設(shè)備5，在用于所識別一組安全設(shè)備5的策略內(nèi)自動構(gòu)建具有有序規(guī)則的安全策略，并且使用在安全管理系統(tǒng)10內(nèi)集成的底層策略部署引擎在所識別的一組安全設(shè)備5中自動通信和安裝策略。在圖1的實例中，安全管理系統(tǒng)10被示出為參與和安全設(shè)備5的配置會話9a-9c(統(tǒng)稱為“配置會話9”)，以便在所識別的一組安全設(shè)備5中通信和安裝策略。

以此方式，安全管理系統(tǒng)10使管理員12能夠在監(jiān)控來自網(wǎng)絡(luò)2內(nèi)的任意地方識別的威脅的表示的事件的同時，采取直接動作，諸如選擇性阻止或允許流量及應(yīng)用。因此，管理員能夠與由安全管理系統(tǒng)10渲染的威脅的表示交互，以便自動配置并更新遍及網(wǎng)絡(luò)2部署的安全設(shè)備5的安全策略。

在通常的實踐中，安全管理系統(tǒng)10以及由安全管理系統(tǒng)10管理的安全設(shè)備5可由企業(yè)的it部集中維護。管理員12可與安全管理系統(tǒng)10交互以遠程監(jiān)控和配置安全設(shè)備5。例如，管理員12可接收來自安全管理系統(tǒng)10的關(guān)于安全設(shè)備5的警報，瀏覽安全設(shè)備5的實時威脅和配置信息數(shù)據(jù)，挖掘過濾威脅數(shù)據(jù)的過濾表示，創(chuàng)建或更新用于安全設(shè)備5的安全策略，向企業(yè)網(wǎng)絡(luò)2添加新的安全設(shè)備，從企業(yè)網(wǎng)絡(luò)2移除現(xiàn)有安全設(shè)備，或以另外方式操縱企業(yè)網(wǎng)絡(luò)2以及其中的安全設(shè)備。盡管相對于企業(yè)網(wǎng)絡(luò)進行描述，但是本發(fā)明的技術(shù)可適用于其他公共和私人的網(wǎng)絡(luò)類型，包括lan、vlan、vpn等。

管理員12可使用安全管理系統(tǒng)10來向安全設(shè)備5配置安全策略，其中，每個安全策略表示指定管理員12的目標(biāo)的某些操作特征(進一步為對象)的一組一個或多個有序規(guī)則。例如，管理員12可使用具有一批有序規(guī)則組的策略，來為安全設(shè)備5指定關(guān)于傳入或傳出因特網(wǎng)協(xié)議(ip)流量的安全的具體安全策略。盡管相對于策略和規(guī)則進行描述，但是本公開的技術(shù)可適用于安全設(shè)備的其他方面，包括修改路由表或涉及更新或重排預(yù)先存在的安全策略或規(guī)則的其他方面。

通常，安全設(shè)備5將用于特定策略(例如，安全)的數(shù)據(jù)維持為各自鍵入至唯一標(biāo)識符的一個或多個規(guī)則的有序列表。當(dāng)在所管理安全設(shè)備5中的一個中出現(xiàn)觸發(fā)事件(諸如接收網(wǎng)絡(luò)數(shù)據(jù)包)時，安全設(shè)備5依次遍歷有序列表以確定應(yīng)用至觸發(fā)事件數(shù)據(jù)的列表中的第一策略規(guī)則。如果安全設(shè)備發(fā)現(xiàn)可適用的策略規(guī)則，則安全設(shè)備繼續(xù)以執(zhí)行指定動作(例如，丟棄數(shù)據(jù)包、更新流量記錄或重定向數(shù)據(jù)包以用于進一步分析和檢查、阻止或允許數(shù)據(jù)包)。在題為“確定用于政策規(guī)則的遠程重排的重排命令(determiningreordercommandsforremotereorderingofpolicyrules)”的美國專利8,429,255以及題為“使用用于遠程數(shù)據(jù)包的設(shè)備管理協(xié)議的網(wǎng)絡(luò)設(shè)備配置的遠程生效(remotevalidationofnetworkdeviceconfigurationusingadevicemanagementprotocolforremotepacket)”的美國專利第8,248,958號中描述了能夠管理安全設(shè)備以及向其部署策略的集中網(wǎng)絡(luò)管理系統(tǒng)的進一步示例性細(xì)節(jié)，其每一個的內(nèi)容通過引證結(jié)合于此。在如瞻博網(wǎng)絡(luò)(junipernetworks)，“瞻博網(wǎng)絡(luò)網(wǎng)絡(luò)和安全管理器管理指南修訂2009.1(junipernetworksnetworkandsecuritymanageradministrationguiderevision2009.1)”，2009年8月(可通過訪問http://www.juniper.net/techpubs/software/management/security-manager/nsm2009_1/nsm-admin-guide.pdf獲得)中描述的網(wǎng)絡(luò)和安全管理器(nsm)應(yīng)用中描述了進一步實例，其全部內(nèi)容通過引證全部結(jié)合于此。

圖2是示出在本公開的一個方面中的示例性集成安全管理系統(tǒng)10的框圖。如本文描述的，安全管理系統(tǒng)10提供系統(tǒng)和界面，管理員12利用該系統(tǒng)和界面來瀏覽實時或近實時威脅，快速評估與給定威脅有關(guān)的過濾威脅數(shù)據(jù)的過濾表示以用于全面分析，并且響應(yīng)于威脅來配置或修改安全設(shè)備5的各個安全策略。在圖2中，例如，安全管理系統(tǒng)10的威脅控制模塊17構(gòu)建并輸出界面以使管理員12瀏覽例如，網(wǎng)格、圖表或地圖上的實時威脅，以便挖掘與威脅有關(guān)的過濾威脅數(shù)據(jù)的各種過濾表示，以在用于安全設(shè)備5中的一個或多個的當(dāng)前策略或新的策略中插入或配置新的規(guī)則，以生成用于安全設(shè)備5的更新策略，并刪除或改變現(xiàn)有規(guī)則的順序。響應(yīng)于生成新的策略或更新的策略，管理員12可基于新的策略或更新的策略，將安全管理系統(tǒng)10引導(dǎo)為通過策略部署引擎26向安全設(shè)備5中的一個或多個部署配置。在某些方面中，作為例如，對威脅的檢測的響應(yīng)，安全管理系統(tǒng)10自動修改安全設(shè)備5的策略。

不同于傳統(tǒng)系統(tǒng)，在一些示例性實現(xiàn)方式中，安全管理系統(tǒng)10實時或近實時地提供企業(yè)范圍威脅的實時威脅可視化，并且在可視化過程中向安全設(shè)備5集成自動策略生成和部署，由此在集中管理系統(tǒng)中提供用于監(jiān)控并對威脅采取行動的無縫用戶體驗。在網(wǎng)絡(luò)攻擊的過程中，當(dāng)解決和緩和攻擊的速度可能是關(guān)鍵性的時候，與安全管理系統(tǒng)10的自動策略生成和部署耦接的集中的、企業(yè)范圍的實時威脅可視化可能是有優(yōu)勢的。安全管理系統(tǒng)10將威脅聚合及可視化與底層設(shè)備管理系統(tǒng)集成，該底層設(shè)備管理系統(tǒng)能夠集中管理用于網(wǎng)絡(luò)2的網(wǎng)絡(luò)設(shè)備(包括安全設(shè)備5)的配置信息。例如，如本文描述的安全管理系統(tǒng)10的各個實現(xiàn)方式和特征使管理員12能夠瀏覽實時網(wǎng)絡(luò)流量信息，并且快速診斷并防止攻擊，諸如通過使管理員12無縫地快速阻止或臨時阻止用于給定組的用戶、應(yīng)用、地理區(qū)域、其組合等的網(wǎng)絡(luò)流量。安全管理系統(tǒng)10可進一步使管理員12允許并非威脅的、但是可能以另外方式被傳統(tǒng)技術(shù)阻擋的網(wǎng)絡(luò)流量。因此，安全管理系統(tǒng)10使管理員(多個管理員)12能夠向安全設(shè)備5無縫更新(例如，構(gòu)建和部署)安全策略，諸如在特定源地址與目的地地址之間阻止或允許數(shù)據(jù)包流，只阻止或允許來自源地址的流量，或者只阻止或允許至目的地ip地址的流量。

在圖2的實例中，安全管理系統(tǒng)10可從安全設(shè)備5中的每一個接收數(shù)據(jù)包的詳細(xì)分析。在一個實例中，例如，如本文進一步描述的，安全設(shè)備5(諸如ids或idp系統(tǒng))可分析客戶端到服務(wù)器和服務(wù)器到客戶端數(shù)據(jù)包流，處理數(shù)據(jù)包以執(zhí)行應(yīng)用分類以便識別與每個數(shù)據(jù)包流有關(guān)的應(yīng)用類型和通信協(xié)議(例如，網(wǎng)絡(luò)電話、雅虎即時通、比特流對等協(xié)議)，執(zhí)行數(shù)據(jù)包的詳細(xì)分析，以識別數(shù)據(jù)包流中的數(shù)據(jù)包內(nèi)的專用字段。在圖2的實例中，安全管理系統(tǒng)10包括威脅數(shù)據(jù)聚合器14，該威脅數(shù)據(jù)聚合器在安全管理系統(tǒng)10的一個或多個處理器上運行以便相對于在網(wǎng)絡(luò)內(nèi)檢測的任意威脅，聚合從一個或多個安全設(shè)備5接收的數(shù)據(jù)包的詳細(xì)分析。

安全管理系統(tǒng)10可利用威脅數(shù)據(jù)聚合器14聚合威脅數(shù)據(jù)，并且可存儲描述存在于威脅數(shù)據(jù)庫16內(nèi)的網(wǎng)絡(luò)流量內(nèi)的每個主動數(shù)據(jù)包流(activepacketflow)的信息。威脅數(shù)據(jù)庫16可存儲安全設(shè)備5的與每個主動數(shù)據(jù)包流有關(guān)的規(guī)范(即，低水平信息)，諸如與數(shù)據(jù)包流有關(guān)的源設(shè)備和目的地設(shè)備以及端口。此外，安全設(shè)備5可識別共同形成客戶端與服務(wù)器之間的單個通信會話的成對數(shù)據(jù)包流。例如，ids200可將通信會話指定為用于共享至少一些共用網(wǎng)絡(luò)地址、端口和協(xié)議的流的相反方向上的成對數(shù)據(jù)包流。在另一實例中，如果安全設(shè)備5不提供系統(tǒng)更新，則安全管理系統(tǒng)10可輪詢(poll)安全設(shè)備5的流量信息。

在圖2的實例中，如圖2所示，管理員12可瀏覽從安全設(shè)備5收集的由威脅數(shù)據(jù)聚合器14聚合并以例如列表、網(wǎng)格、圖表或地圖的格式存儲在威脅數(shù)據(jù)庫16中的聚合威脅數(shù)據(jù)。在本公開的一個方面中，威脅數(shù)據(jù)聚合器14可聚合ip流量信息并且收集與威脅有關(guān)的各種相關(guān)信息，諸如，威脅名稱、計數(shù)、開始時間、威脅嚴(yán)重性、源位置、源ip地址、目的地位置、目的地ip地址、設(shè)備信息、攻擊種類、攻擊類型、服務(wù)、威脅影響以及所采取動作。威脅數(shù)據(jù)聚合器14可進一步聚合應(yīng)用使用數(shù)據(jù)值(諸如，往返應(yīng)用的流量)以及用戶數(shù)據(jù)(諸如，帶寬和會話)。

安全管理系統(tǒng)10的威脅控制模塊17可進一步包括可視化模塊18，以便諸如在網(wǎng)格、圖表或地圖視圖中生成實時聚合威脅數(shù)據(jù)的各種過濾表示?？梢暬K18也可以以應(yīng)用使用視圖或用戶使用視圖的形式生成實時聚合威脅數(shù)據(jù)的過濾表示。隨后，威脅控制模塊17可向管理員12呈現(xiàn)生成的聚合數(shù)據(jù)的圖形表示以用于安全設(shè)備5的交互和配置。

如圖2所示，安全管理系統(tǒng)10還可包括在安全管理系統(tǒng)10的一個或多個處理器上運行的策略/規(guī)則模塊20，其中，策略/規(guī)則模塊20可基于由安全管理系統(tǒng)10自動生成的或由管理員12限定的以及從威脅控制模塊17接收的配置信息而生成用于安全設(shè)備5的配置信息。如本文將更詳細(xì)討論的，響應(yīng)于策略/規(guī)則模塊20創(chuàng)建或修改安全策略，安全管理系統(tǒng)10可在候選策略數(shù)據(jù)庫22中存儲配置參數(shù)以用于查看和最終發(fā)布至提交策略數(shù)據(jù)庫24。安全管理系統(tǒng)10還可包括策略部署引擎26，該策略部署引擎向安全設(shè)備5發(fā)送更新的安全策略的配置信息。

通常，安全管理系統(tǒng)10的底層策略部署引擎26可使用設(shè)計為用于所管理安全設(shè)備5內(nèi)的配置信息數(shù)據(jù)的管理的一個或多個網(wǎng)絡(luò)管理協(xié)議，諸如簡單網(wǎng)絡(luò)管理協(xié)議(snmp)協(xié)議或網(wǎng)絡(luò)配置協(xié)議(netconf)協(xié)議或其衍生物，諸如瞻博設(shè)備管理界面，以管理安全設(shè)備5內(nèi)的安全策略?？稍诠诸D等人，rfc3411，“用于描述簡單網(wǎng)絡(luò)管理協(xié)議(snmp)管理框架的架構(gòu)(anarchitecturefordescribingsimplenetworkmanagementprotocol(snmp)managementframeworks)”，網(wǎng)絡(luò)工作組，因特網(wǎng)工程任務(wù)組草案，2002年12月(可通過訪問http://tools.ietf.org/html/rfc3411獲得)中發(fā)現(xiàn)snmp協(xié)議的更多細(xì)節(jié)，其全部內(nèi)容通過引證結(jié)合于此。在r·恩斯等人，rfc4741：“netconf配置協(xié)議(netconfconfigurationprotocol)”，網(wǎng)絡(luò)工作組，因特網(wǎng)工程任務(wù)組草案，2006年12月(可通過訪問http://tools.ietf.org/html/rfc4741獲得)中描述了netconf，其全部內(nèi)容通過引證結(jié)合于此。使用網(wǎng)絡(luò)管理協(xié)議，安全管理系統(tǒng)10可創(chuàng)建與一個或多個安全設(shè)備5的配置會話9，該配置會話允許安全管理系統(tǒng)10遍歷并修改所識別的安全設(shè)備5內(nèi)的配置信息數(shù)據(jù)。

圖3是示例性入侵檢測系統(tǒng)(ids)200，其表示圖1的安全設(shè)備5中的任一個的示例性實現(xiàn)方式。如下所述，在本公開的一個方面中，ids200處理進入和外出網(wǎng)絡(luò)2的網(wǎng)絡(luò)入站和出站數(shù)據(jù)包流并且對數(shù)據(jù)包流執(zhí)行深度包檢測，以便識別潛在網(wǎng)絡(luò)威脅并且向安全管理系統(tǒng)10通信威脅信息以及應(yīng)用識別和流信息。此外，如以下進一步描述的，ids200從安全管理系統(tǒng)10接收策略和其他配置數(shù)據(jù)并且將那些策略應(yīng)用于網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包流。

在所示實例中，ids200包括轉(zhuǎn)發(fā)平面222，該轉(zhuǎn)發(fā)平面透明監(jiān)控入站網(wǎng)絡(luò)流量224并將網(wǎng)絡(luò)流量轉(zhuǎn)發(fā)為出站網(wǎng)絡(luò)流量226。在由圖3所示的實例中，轉(zhuǎn)發(fā)平面222包括流分析模塊225、狀態(tài)檢查引擎228、協(xié)議解碼器230以及轉(zhuǎn)發(fā)組件231。

安全管理客戶端244提供用于根據(jù)一個或多個設(shè)備配置協(xié)議與安全管理系統(tǒng)10通信的配置界面245。例如，響應(yīng)于來自管理員12的輸入，安全管理系統(tǒng)10可向配置界面245輸出通信以更新策略247，由此控制和配置ids200來監(jiān)控企業(yè)網(wǎng)絡(luò)2的特定子網(wǎng)并且應(yīng)用從安全管理系統(tǒng)10接收的安全策略規(guī)則。如另一實例，安全管理系統(tǒng)10可提供并安裝指定攻擊定義233的策略247，在一些示例性方法中，安全管理客戶端244將該攻擊定義中繼至狀態(tài)檢查引擎228。在一個實施方式中，攻擊定義233可以是復(fù)合攻擊定義。此外，安全管理系統(tǒng)10可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可修改關(guān)于數(shù)據(jù)包流特征的假設(shè)，諸如用于監(jiān)控的最高優(yōu)先級數(shù)據(jù)包流，用于應(yīng)用的端口綁定，或確定與數(shù)據(jù)包流有關(guān)的應(yīng)用和協(xié)議的類型的其他特征。安全管理客戶端244可經(jīng)由配置界面245接收上述信息以用于存儲在策略247內(nèi)，并且向狀態(tài)檢查引擎228中繼信息以用于向數(shù)據(jù)包流實時應(yīng)用。

流分析模塊225接收入站流量224，并且識別流量內(nèi)的單獨網(wǎng)絡(luò)流。每個網(wǎng)絡(luò)流表示在網(wǎng)絡(luò)流量內(nèi)的一個方向上的數(shù)據(jù)包的流，并且至少通過源地址、目的地地址和通信協(xié)議來識別。流分析模塊225可利用額外信息來指定網(wǎng)絡(luò)流，包括源媒體訪問控制(“mac”)地址、目的地mac地址、源端口和目的地端口。其他實例可使用其他信息來識別網(wǎng)絡(luò)流，諸如ip地址、應(yīng)用會話以及帶寬使用。

流分析模塊225在描述存在于網(wǎng)絡(luò)流量內(nèi)的每個主動數(shù)據(jù)包流的流表235內(nèi)保持流數(shù)據(jù)。流表235指定與每個主動數(shù)據(jù)包流有關(guān)的網(wǎng)絡(luò)元素，即，低水平信息，諸如與數(shù)據(jù)包流有關(guān)的源設(shè)備和目的地設(shè)備以及端口。此外，流表235可識別共同形成客戶端與服務(wù)器之間的單個通信會話的成對數(shù)據(jù)包流。例如，流表235可將通信會話指定為用于共享至少一些共用網(wǎng)絡(luò)地址、端口和協(xié)議的流的相反方向上的成對數(shù)據(jù)包流。

如以下更詳細(xì)描述的，狀態(tài)檢查引擎228檢查客戶端到服務(wù)器數(shù)據(jù)包流以及服務(wù)器到客戶端數(shù)據(jù)包流，以更準(zhǔn)確地識別用于每個通信會話的應(yīng)用以及底層協(xié)議的類型。當(dāng)例如，惡意用戶嘗試欺騙(即，模仿)一類應(yīng)用并且反而使用另一類型應(yīng)用來試圖繞過ids時，這可能會有幫助。作為實例，當(dāng)惡意用戶事實上使用http協(xié)議時，他可試圖通過偽裝smtp請求來繞過ids。ids200可從來自服務(wù)器的響應(yīng)確定初始數(shù)據(jù)包流僅是繞過ids200的嘗試，并且可采取適當(dāng)動作，諸如丟棄與數(shù)據(jù)包流有關(guān)的未來數(shù)據(jù)包和/或警告攻擊的目標(biāo)設(shè)備。

在一些示例性方法中，除了簽名以外，ids200可使用重新組裝tcp分段的最小數(shù)據(jù)尺寸以識別應(yīng)用類型。某些應(yīng)用可需要最小量數(shù)據(jù)，所以ids200可通過確定數(shù)據(jù)包流是否包含用于所識別協(xié)議的足夠數(shù)據(jù)來區(qū)別惡意數(shù)據(jù)包流。此外，ids200可不必識別每個應(yīng)用。在一個實例中，當(dāng)應(yīng)用未知時，ids200可僅轉(zhuǎn)發(fā)數(shù)據(jù)包流。如果ids200不能識別給定應(yīng)用，則可能是因為該應(yīng)用不是用于惡意數(shù)據(jù)包流的典型目標(biāo)。然而，其他實例可采取用于未識別應(yīng)用的其他動作，諸如，丟棄定向未知應(yīng)用的所有數(shù)據(jù)包或者向與未知應(yīng)用類型有關(guān)的所有數(shù)據(jù)包流應(yīng)用默認(rèn)簽名。其他實例也可利用其他協(xié)議，諸如用戶數(shù)據(jù)報協(xié)議(udp)；因此，ids200可需要udp分段的最小數(shù)據(jù)尺寸以識別與udp分段有關(guān)的應(yīng)用。

對于每個數(shù)據(jù)包流，狀態(tài)檢查引擎228緩沖數(shù)據(jù)包流的副本并且重新組裝緩沖的數(shù)據(jù)包流以形成應(yīng)用層通信232。例如，狀態(tài)檢查引擎228可將tcp分段重構(gòu)為表示協(xié)議特定消息的應(yīng)用層通信232。

狀態(tài)檢查引擎228基于識別的應(yīng)用確定類型來調(diào)用協(xié)議解碼器230中的適當(dāng)一個以分析應(yīng)用層通信232。協(xié)議解碼器230表示一組一個或多個協(xié)議特定軟件模塊。協(xié)議解碼器230中的每一個對應(yīng)于不同通信協(xié)議或服務(wù)?？捎蓞f(xié)議解碼器230支持的通信協(xié)議的實例包括超文本傳輸協(xié)議(“http”)、文件傳輸協(xié)議(“ftp”)、網(wǎng)絡(luò)新聞傳輸協(xié)議(“nntp”)、簡單郵件傳輸協(xié)議(“smtp”)、遠程登錄、域名系統(tǒng)(“dns”)、黃鼠工具(gopher)、指示服務(wù)(finger)、郵局協(xié)議(“pop”)、安全套接層(“ssl”)協(xié)議、輕量目錄訪問協(xié)議(“l(fā)dap”)、安全外殼(“ssh”)、服務(wù)器消息塊(“smb”)以及其他協(xié)議。

協(xié)議解碼器230分析重新組裝的應(yīng)用層通信232并且輸出識別應(yīng)用層事務(wù)(application-layertransaction)的事務(wù)數(shù)據(jù)234。具體地，事務(wù)數(shù)據(jù)234表示兩個對等設(shè)備之間的一系列相關(guān)應(yīng)用層通信何時開始和結(jié)束。

狀態(tài)檢查引擎228從協(xié)議解碼器230接收事務(wù)數(shù)據(jù)234、應(yīng)用層元素236以及協(xié)議異常數(shù)據(jù)238。狀態(tài)檢查引擎228向協(xié)議特定應(yīng)用層元素236以及異常數(shù)據(jù)238應(yīng)用策略247(例如，攻擊定義233或其他規(guī)則)以檢測和防止網(wǎng)絡(luò)攻擊以及其他安全風(fēng)險。

如果檢測到安全風(fēng)險，狀態(tài)檢查引擎228向安全管理客戶端244輸出警報240以用于記錄和進一步分析作為威脅數(shù)據(jù)249。例如，威脅數(shù)據(jù)249可包括來自流表235的用于已被識別為潛在威脅的那些數(shù)據(jù)包流的數(shù)據(jù)包流識別信息。此外，對于數(shù)據(jù)包流中的每一個，威脅數(shù)據(jù)249可存儲由流分析模塊225提供的識別與數(shù)據(jù)包流有關(guān)的應(yīng)用層應(yīng)用的類型的應(yīng)用分類信息。此外，對于數(shù)據(jù)包流中的每一個，威脅數(shù)據(jù)249可包括來自狀態(tài)檢查引擎228的表征威脅的特定類型的威脅信息，諸如觸發(fā)用于將數(shù)據(jù)包流分類為威脅的一個或多個策略的識別模式、異?；蛳鄳?yīng)數(shù)據(jù)包流的其他性質(zhì)。

安全管理客戶端244向安全管理系統(tǒng)10中繼關(guān)于目前檢測的安全風(fēng)險(多個風(fēng)險)的威脅數(shù)據(jù)249。此外，狀態(tài)檢查引擎228可采取額外動作，諸如，丟棄與通信會話有關(guān)的數(shù)據(jù)包，自動關(guān)閉通信會話或其他動作。如果對于給應(yīng)用層通信會話未檢測到安全風(fēng)險，則轉(zhuǎn)發(fā)組件231繼續(xù)在對等體之間轉(zhuǎn)發(fā)數(shù)據(jù)包流。例如，轉(zhuǎn)發(fā)組件231可維持根據(jù)企業(yè)網(wǎng)絡(luò)的拓?fù)鋪泶鎯β酚傻穆酚杀?，以用于在轉(zhuǎn)發(fā)數(shù)據(jù)包流時使用。在題為“使用全局設(shè)備指紋的攻擊檢測和預(yù)防(attackdetectionandpreventionusingglobaldevicefingerprinting)”的美國專利9,106,693中進一步描述了idp和ids設(shè)備的操作，通過引證將其討論結(jié)合于此。

圖4a至圖4c示出在本公開的各個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，該示例性用戶界面向管理員12呈現(xiàn)聚合威脅數(shù)據(jù)的表示。安全管理系統(tǒng)10的威脅控制模塊17可呈現(xiàn)動態(tài)威脅動畫并且以各種圖形表示呈現(xiàn)可用來組織網(wǎng)絡(luò)事件以及相關(guān)聯(lián)威脅數(shù)據(jù)的用戶界面。

圖4a示出由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可以以地圖視圖瀏覽威脅的實時威脅圖形表示。例如，可視化模塊18可生成與安全域(例如，企業(yè)或服務(wù)供應(yīng)商網(wǎng)絡(luò))有關(guān)的地圖400的圖形表示(本文中，世界地圖)，并且顯示統(tǒng)計學(xué)數(shù)據(jù)，諸如，總威脅計數(shù)(totalthreatcount)401、總?cè)肭址烙到y(tǒng)(ips)事件402、總防病毒(anti-virus，av)事件403、總反垃圾(anti-spam)事件404、總設(shè)備授權(quán)(deviceauthorization)405(例如，成功和/或不成功登入)、頂端目的地設(shè)備(topdestinationdevices)406、頂端目的地國家(topdestinationcountries)407、頂部源國家(topsourcecountries408)、頂部源設(shè)備(未示出)以及與聚合威脅相關(guān)的其他信息。在一個實施方式中，可視化模塊18可生成實時威脅聚合表示以包括與威脅有關(guān)的一個或多個可變圖形指示符(例如，顏色代碼、線粗細(xì)的變化、尺寸變化)以表示威脅的變化的大小或類別。例如，來自安全設(shè)備5a的威脅可以以一個顏色表示，然而來自安全設(shè)備5b的威脅可以以另一顏色表示；或者，具有更大強度的威脅可以以一個顏色表示，然而較低強度可以以另一顏色表示。在另一方法中，可視化模塊18可以以連接源ip地址與目的地ip地址的線生成聚合威脅數(shù)據(jù)的圖形表示。線的視覺表示(例如，粗細(xì)、顏色等)可表示源ip地址與目的地ip地址之間的流量的大小(例如，流量的量、攻擊數(shù)量等)。

圖4b示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的另一示例性用戶界面，通過該示例性用戶界面，管理員12可瀏覽應(yīng)用使用的聚合威脅數(shù)據(jù)。在一個實例中，威脅數(shù)據(jù)聚合器14可聚合用于數(shù)據(jù)包流的已被安全設(shè)備5識別為特定軟件應(yīng)用的威脅數(shù)據(jù)，其中，用戶界面提供表示與不同類型的應(yīng)用有關(guān)的使用的圖形指示符，諸如，具有應(yīng)用和/或由應(yīng)用消耗的帶寬的用戶會話的數(shù)量。可視化模塊18可生成與應(yīng)用使用有關(guān)的聚合威脅數(shù)據(jù)的圖形表示，諸如圖4b中的示例性圖表視圖。在另一方法中，可視化模塊18可利用可表示應(yīng)用使用和/或威脅嚴(yán)重性的大小(例如，從應(yīng)用使用消耗的帶寬、會話的數(shù)量等)的圖形指示符421(例如，可變大小和/或顏色)，生成聚合威脅數(shù)據(jù)的圖形表示。隨后，威脅控制模塊17可基于種類(例如，網(wǎng)絡(luò)(web)411、多媒體(multimedia)412、消息(messaging)413、社交(social)414和/或基礎(chǔ)設(shè)施(infrastructure)415)呈現(xiàn)聚合威脅數(shù)據(jù)的圖形表示，該圖形表示通過應(yīng)用顯示頂端會話或帶寬使用。威脅控制模塊17可進一步呈現(xiàn)界面，該界面基于特性(例如，產(chǎn)率損耗(lossofproductivity)416、易于誤操作(pronetomisuse)417、可泄漏信息(canleakinformation)418、支持文件傳輸(supportsfiletransfer)419和/或已消耗帶寬(bandwidthconsumed)420)通過應(yīng)用顯示頂端會話或帶寬使用并且用于響應(yīng)于檢測威脅來配置安全設(shè)備5。

例如，圖4b示出顯示由應(yīng)用使用聚合以及由風(fēng)險分組的威脅數(shù)據(jù)的圖表視圖中的示例性界面。具體地，圖4b示出顯示各種應(yīng)用和各種圖形指示符421的示例性圖表。在圖4b中，例如，具有較大尺寸氣泡的應(yīng)用可表示用于應(yīng)用的較高數(shù)量的會話。氣泡的顏色，諸如紅色、橘色和黃色，可表示威脅的嚴(yán)重性。在一些示例性方法中，下拉菜單429用于選擇是否通過風(fēng)險或通過其他參數(shù)來分組應(yīng)用圖標(biāo)，同時設(shè)備選擇下拉菜單430允許威脅控制模塊將顯示過濾至示出的具體設(shè)備5。威脅控制模塊17也可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可選擇響應(yīng)以根據(jù)受影響的安全設(shè)備5自動創(chuàng)建安全策略。

圖4c示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的另一示例性用戶界面，通過該示例性用戶界面，管理員12可基于用戶使用來瀏覽聚合威脅數(shù)據(jù)。在一個實例中，威脅數(shù)據(jù)聚合器14可聚合來自安全設(shè)備5的與網(wǎng)絡(luò)用戶的應(yīng)用使用有關(guān)的威脅數(shù)據(jù)，諸如與應(yīng)用的會話的數(shù)量和/或由具體用戶消耗的帶寬?？梢暬K18可以以上在圖4a或圖4b中所示的方式生成與具體用戶的應(yīng)用使用有關(guān)的聚合威脅數(shù)據(jù)的圖形表示。在一個示例性方法中，威脅控制模塊17可呈現(xiàn)用戶界面，該用戶界面與聚合威脅數(shù)據(jù)的顯示頂端網(wǎng)絡(luò)用戶使用的圖形表示重合。

例如，圖4c以顯示由網(wǎng)絡(luò)用戶使用聚合的威脅數(shù)據(jù)的網(wǎng)格視圖示出示例性界面。具體地，圖4c示出顯示各個網(wǎng)絡(luò)用戶及其使用的頂端應(yīng)用的示例性網(wǎng)格。在一個方法中，可視化模塊18可進一步生成包括關(guān)于頂端用戶(topusers)422、頂端應(yīng)用(topapplications)423、用戶的名字424、會話總數(shù)(totalnumberofsessions)425、已消耗帶寬(bandwidthconsumed)426和/或使用的頂端應(yīng)用(topapplication)427的信息的網(wǎng)絡(luò)使用的圖形表示。威脅控制模塊17也可呈現(xiàn)用戶界面(例如，復(fù)選框428)，通過該用戶界面，管理員12可選擇響應(yīng)以根據(jù)受影響的安全設(shè)備5自動創(chuàng)建安全策略。

圖5a至圖5e示出在本公開的各個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，向管理員12呈現(xiàn)與威脅有關(guān)的過濾事件數(shù)據(jù)的表示?？梢暬K18可基于來自管理員12的用戶界面元素的選擇，以各種視圖(諸如網(wǎng)格、圖表和地圖視圖)生成過濾威脅數(shù)據(jù)的各種過濾表示。安全管理系統(tǒng)10的威脅控制模塊17可向管理員12呈現(xiàn)用戶界面以選擇具體用戶界面元素，諸如來自實時威脅聚合表示的數(shù)據(jù)，以便挖掘在由可視化模塊18生成的過濾威脅數(shù)據(jù)(覆蓋聚合表示)的過濾表示中顯示的額外威脅細(xì)節(jié)。例如，如圖5a所示，管理員12可從實時威脅地圖中選擇國家或其他指定地理位置以瀏覽與威脅有關(guān)的過濾數(shù)據(jù)的網(wǎng)格，諸如威脅名稱501、威脅計數(shù)502、開始時間503、威脅嚴(yán)重性504、源位置505、源ip地址506、目的地位置507、目的地ip地址508、威脅種類509、威脅類型510、服務(wù)511、影響512以及威脅動作狀態(tài)513(例如，允許或阻止)。威脅名稱501可包括潛在惡意活動的名稱，諸如病毒名稱或惡意軟件名稱。計數(shù)502可包括指出在安全設(shè)備5內(nèi)重復(fù)出現(xiàn)的威脅的數(shù)量的計數(shù)。開始時間503可包括威脅的時間和日期信息。嚴(yán)重性504可包括關(guān)于威脅的嚴(yán)重性水平的信息，并且可顯示為圖形或數(shù)值表示。源位置505可包括關(guān)于攻擊源自的位置的信息。源位置可進一步包括更高精細(xì)度，諸如與源ip地址有關(guān)的機構(gòu)的名稱，或國家、州、城市或與源有關(guān)的其他具體位置。源ip地址506可包括可疑威脅源自的計算機系統(tǒng)的ip地址。目的地位置507可包括關(guān)于攻擊從其出現(xiàn)的位置的信息。目的地位置可進一步包括更高精細(xì)度，諸如國家、州、城市或其他具體位置。目的地ip地址508可包括由可疑攻擊所定向的計算機系統(tǒng)的互聯(lián)網(wǎng)協(xié)議地址。種類509可包括關(guān)于惡意活動的信息，其包括惡意軟件的形式(例如，病毒、蠕蟲、木馬)。攻擊類型510可包括關(guān)于威脅類型的信息，諸如簽名或復(fù)合物(compound)。服務(wù)511可包括關(guān)于攻擊所使用的協(xié)議(包括超文本傳輸協(xié)議(http)或因特網(wǎng)控制消息協(xié)議(icmp))的信息。威脅影響512可包括威脅可具有的影響的水平(例如，高或低)。威脅動作狀態(tài)513可包括關(guān)于威脅是否被允許或阻止的信息。在一些圖形表示中，用戶可利用以上信息過濾威脅。威脅控制模塊17也可向管理員12呈現(xiàn)用戶界面以選擇響應(yīng)，以用于自動生成安全策略以根據(jù)受影響的安全設(shè)備5來阻止或允許所選擇威脅的流量。

如圖5b的實例所示，可視化模塊18也可在呈現(xiàn)與選擇的用戶界面元素(諸如，地理位置)有關(guān)的過濾威脅數(shù)據(jù)的圖表視圖中生成聚合威脅數(shù)據(jù)的過濾表示。在所示實例中，界面覆蓋威脅的地圖視圖表示。當(dāng)選擇具體國家時，可視化模塊18可以以感興趣的各種圖表生成聚合威脅數(shù)據(jù)的過濾表示以及過濾威脅細(xì)節(jié)，諸如，源國家(sourcecountries)521、源ip地址(sourceips)522、目的地設(shè)備(destinationdevices)523、傳入病毒/蠕蟲)(incomingvirus/worms)524、傳入ips攻擊(incomingipsattacks)525、具有傳入ddos攻擊的設(shè)備(deviceswithincomingddosattacks)526或其他威脅細(xì)節(jié)。在一種情況下，管理員12可從實時威脅聚合表示中選擇國家(例如，美國)以瀏覽與所選擇的國家有關(guān)的過濾威脅細(xì)節(jié)作為目的地或作為源。如圖5b所示，威脅控制模塊17可呈現(xiàn)由可視化模塊18生成的用戶界面，通過該用戶界面，管理員12可瀏覽并與過濾威脅細(xì)節(jié)進一步交互，并且選擇用于額外信息的各種過濾威脅細(xì)節(jié)。威脅控制模塊17也可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可選擇用于自動生成安全策略的響應(yīng)以根據(jù)受影響的安全設(shè)備5阻止或允許圖表視圖中的選擇的流量。

圖5c示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的另一示例性用戶界面，該示例性用戶界面可以以與基于地理威脅有關(guān)的過濾事件數(shù)據(jù)的地圖視圖向管理員12呈現(xiàn)圖形表示?？梢暬K18可生成聚合威脅數(shù)據(jù)的地圖表示，并且還可包括與管理員12的選擇地點有關(guān)的過濾威脅數(shù)據(jù)。如圖5c所示，威脅控制模塊17可向管理員12呈現(xiàn)界面以瀏覽并與額外過濾威脅細(xì)節(jié)進一步交互，并且選擇性阻止或允許與大概地理位置有關(guān)的流量或流量的類型。在與威脅有關(guān)的過濾表示的一個實例中，過濾威脅細(xì)節(jié)可包括與具體國家有關(guān)的總事件(totalevents)531、允許事件(allowedevents)532以及阻止事件(blockedevents)533。在另一實例中，可呈現(xiàn)來自源ip地址或目的地ip地址的威脅數(shù)據(jù)。威脅動作響應(yīng)560允許用戶阻止直接來自威脅細(xì)節(jié)界面的流量。

圖5d示出由安全管理系統(tǒng)10生成的另一示例性用戶界面，該示例性用戶界面可以以圖表視圖向管理員12呈現(xiàn)與所選擇應(yīng)用相關(guān)的聚合威脅數(shù)據(jù)的過濾表示。在一個實例中，可視化模塊18可生成與從威脅的聚合表示選擇的應(yīng)用有關(guān)過濾威脅細(xì)節(jié)的過濾表示。威脅控制模塊17可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可選擇用戶界面元素，諸如來自實時威脅的聚合表示的具體應(yīng)用，以挖掘與應(yīng)用使用有關(guān)的額外威脅細(xì)節(jié)，諸如，在一定量時間中應(yīng)用的會話數(shù)量(numberofsessions)541、應(yīng)用種類(categoryofapplication)542(例如，網(wǎng)絡(luò)、多媒體、消息、社交、基礎(chǔ)設(shè)施)、威脅特性543(例如，產(chǎn)率損耗、易于誤操作、可泄漏信息、支持文件傳輸、已消耗帶寬)、在一定量時間中使用的總字節(jié)(totalbytes)544、應(yīng)用的子種類(sub-category)545(例如，社交網(wǎng)絡(luò))、風(fēng)險水平(risklevel)546和/或應(yīng)用的頂端用戶547。威脅控制模塊17也可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可選擇用于自動生成安全策略的響應(yīng)以根據(jù)受影響的安全設(shè)備5阻止或允許來自具體應(yīng)用的流量。在圖5d所示的實例中，威脅動作響應(yīng)560允許管理員阻止直接來自威脅細(xì)節(jié)界面的流量。

在一個示例性方法中，威脅控制模塊17顯示圖標(biāo)反映參數(shù)，諸如用于具體應(yīng)用的會話數(shù)量或由應(yīng)用使用的帶寬，并且管理員可阻止與應(yīng)用有關(guān)的流量或?qū)?yīng)用進行速率限制。

在另一示例性方法中，威脅控制模塊17顯示圖標(biāo)反映參數(shù)，諸如用于具體用戶的會話數(shù)量或由用戶使用的帶寬，并且管理員可阻止用于該用戶的具體流量或?qū)τ脩暨M行速率限制。

在又一示例性方法中，威脅控制模塊17顯示圖標(biāo)反映參數(shù)，諸如，用于具體用戶或具體設(shè)備的每一應(yīng)用的會話數(shù)量，或由用戶或具體設(shè)備使用的每一應(yīng)用的帶寬，并且管理員可阻止用于該用戶或設(shè)備的具體應(yīng)用的流量，或?qū)﹃P(guān)于具體應(yīng)用的用戶或設(shè)備進行速率限制。

圖5e示出由安全管理系統(tǒng)10生成的另一示例性用戶界面，該示例性用戶界面可以以網(wǎng)格視圖向管理員12呈現(xiàn)與應(yīng)用的用戶使用相關(guān)的過濾威脅細(xì)節(jié)的過濾表示。在一個實例中，可視化模塊18可生成與所選擇網(wǎng)絡(luò)用戶有關(guān)的過濾威脅細(xì)節(jié)的過濾表示。威脅控制模塊17可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可選擇用戶界面元素，諸如來自實時威脅的聚合表示的具體用戶，以便挖掘與網(wǎng)絡(luò)用戶有關(guān)的過濾威脅細(xì)節(jié)，諸如用戶名字(username)551、用戶的會話數(shù)量(numberofsessions)552、由用戶消耗的帶寬(bandwidthconsumed)553、用戶角色(userrole)554、上次會話的日期和時間(dateandtimeoflastsession)555以及上次看到的ip(lastseenip)556。在另一實例中，圖5e的用戶界面也可包括基于一段時間558，由所選擇用戶使用的頂端應(yīng)用(topapplications)557。威脅控制模塊17也可向管理員12呈現(xiàn)用戶界面以選擇用于自動生成安全策略的響應(yīng)以根據(jù)受影響的安全設(shè)備5阻止或允許來自具體用戶的流量。在圖5e所示的實例中，威脅動作響應(yīng)560允許管理員阻止直接來自用戶威脅細(xì)節(jié)界面的流量。

安全管理系統(tǒng)10也可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可與由安全管理系統(tǒng)10渲染的實時威脅的聚合表示以及過濾威脅細(xì)節(jié)交互，并且響應(yīng)于該交互，集成安全管理系統(tǒng)10可識別一組相關(guān)的安全設(shè)備5，使用策略/規(guī)則模塊20在策略內(nèi)為安全設(shè)備5自動構(gòu)建具有有序規(guī)則的更新策略，并且使用底層安全管理系統(tǒng)10的策略部署引擎26在安全設(shè)備5中自動通信和安裝策略。

如前所述，安全管理系統(tǒng)10可通過威脅控制模塊17提供系統(tǒng)和界面，管理員12可使用該系統(tǒng)和界面來瀏覽實時威脅并且快速評估與威脅有關(guān)的過濾威脅數(shù)據(jù)以用于全面分析。響應(yīng)于實時威脅，管理員12可將安全管理系統(tǒng)10引導(dǎo)為響應(yīng)于檢測的威脅而自動創(chuàng)建用于部署至安全設(shè)備5的安全策略。例如，安全管理系統(tǒng)10的威脅控制模塊17可呈現(xiàn)界面以使管理員12能夠在安全設(shè)備5中的一個的當(dāng)前策略中插入新的規(guī)則，以便配置用于安全設(shè)備5的更新策略，并且刪除或改變現(xiàn)有規(guī)則的順序。

在一種情況下，管理員12可選擇瀏覽來自實時威脅聚合表示的過濾威脅細(xì)節(jié)。隨后，安全管理系統(tǒng)10可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可基于過濾威脅細(xì)節(jié)而自動創(chuàng)建用于受影響的安全設(shè)備5的安全策略。例如，在圖5a中，威脅控制模塊17可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可在威脅的圖形表示中的任一個內(nèi)選擇威脅名稱501，應(yīng)用：tun：tor-1，并且可選擇威脅動作響應(yīng)560，諸如阻止來自源ip地址或去往源ip地址的流量，阻止往返源ip地址的流量，只阻止來自源ip地址的流量，或只阻止去往源ip地址的流量。管理員12可響應(yīng)于檢測來自威脅的圖形表示的具體威脅而選擇阻止或允許流量。

在另一實例中，管理員12可選擇圖表視圖(例如，圖5b)的圖形表示中的源ip地址以瀏覽與所選擇的源ip地址有關(guān)的威脅數(shù)據(jù)(例如，在相似于圖5a的界面中)。管理員12可進一步選擇威脅動作響應(yīng)以阻止或允許來自圖表視圖的圖形表示中的流量，這將會將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶界面。

在另一實例中，管理員12可選擇地圖視圖(例如，圖5c)的圖形表示中的國家以瀏覽與所選擇的地理位置有關(guān)的威脅數(shù)據(jù)。管理員12可進一步選擇威脅動作響應(yīng)560以阻止或允許直接來自地圖視圖的圖形表示中的流量，這將會將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶界面。在其他實例中，管理員12可選擇具有更高精細(xì)度的位置，諸如州、城市和其他區(qū)域。

在另一實例中，管理員12可選擇顯示由應(yīng)用使用聚合的威脅數(shù)據(jù)的圖表視圖的圖形表示中的具體應(yīng)用以瀏覽與所選擇應(yīng)用有關(guān)的額外細(xì)節(jié)(例如，圖5d)。管理員12可進一步選擇威脅動作響應(yīng)560以阻止或允許直接來自圖表視圖的圖形表示中的流量，這將會將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶界面。

在另一實例中，管理員12可選擇顯示由應(yīng)用使用聚合的威脅數(shù)據(jù)的圖形表示中的具體網(wǎng)絡(luò)用戶以瀏覽與所選擇網(wǎng)絡(luò)用戶有關(guān)的額外細(xì)節(jié)(例如，圖5e)。管理員12可進一步選擇威脅動作響應(yīng)560以阻止或允許來自圖形表示的流量，這將會將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶界面。

圖6a至圖6c示出在本公開的各個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可自動查看并發(fā)布與安全策略有關(guān)的創(chuàng)建規(guī)則。在一個實例中，圖6a至圖6c可以是覆蓋威脅或過濾威脅數(shù)據(jù)的表示的界面。如圖6a所示，響應(yīng)于選擇威脅動作響應(yīng)560以阻止或允許與威脅相關(guān)的流量，安全管理系統(tǒng)10可生成界面，通過該界面，管理員12可配置自動生成的修改策略以用于阻止或允許流量。圖6a示出在本公開的一個方面中的呈現(xiàn)至給管理員12以瀏覽和選擇性部署自動生成的安全策略的示例性用戶界面。用戶界面使管理員12能夠選擇性部署自動生成的策略中的任一個或所有以用于配置安全設(shè)備5。在該實例中，在本公開的一個方面中，安全管理系統(tǒng)10響應(yīng)于選擇威脅動作響應(yīng)560而自動生成對安全策略中的每一個內(nèi)的有序規(guī)則組的修改，包括修改策略內(nèi)的內(nèi)部規(guī)則以及規(guī)則順序，以阻止來自和/或去往源ip地址(多個源ip地址)的流量。

圖6a的示例性界面可提供自動生成的修改策略的列表以供選擇。在一個實例中，圖6a的用戶界面可向管理員12提供關(guān)于創(chuàng)建策略601、添加的規(guī)則的數(shù)量602、策略應(yīng)用至的設(shè)備5的數(shù)量603以及具有與策略變化相關(guān)的待執(zhí)行更新604的設(shè)備5的數(shù)量的信息。在另一實例中，預(yù)先存在的安全策略以及存儲在提交數(shù)據(jù)庫26中的受影響安全設(shè)備5的相關(guān)聯(lián)信息可被檢索并呈現(xiàn)給管理員12以用于進一步查看。在另一實例中，圖6a的界面也可包括與已調(diào)用先前時間段(例如，月、周、天等)內(nèi)的策略的受影響設(shè)備有關(guān)的信息。

如圖6b所示，響應(yīng)于具體策略的選擇，安全管理系統(tǒng)10的威脅控制模塊17也可呈現(xiàn)界面以配置與所選擇威脅有關(guān)的策略規(guī)則。圖6b示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可瀏覽自動創(chuàng)建以用于由安全管理系統(tǒng)10生成的給定策略的具體規(guī)則。例如，如圖6b所示，管理員12可選擇圖6a的界面內(nèi)的具體策略，并且可進一步創(chuàng)建、編輯、刪除或排序用于防火墻策略的一個或多個規(guī)則。在一個實例中，自動生成的規(guī)則可建議生成的安全策略中的規(guī)則布置。在另一實例中，圖6b的界面可向管理員12呈現(xiàn)諸如，表示或修改規(guī)則的順序的選項611、規(guī)則名稱612、限定源區(qū)域613和/或目的地區(qū)域615是否可信或不受信任、限定規(guī)則應(yīng)用至的源地址614和/或目的地地址616、限定規(guī)則服務(wù)617、限定規(guī)則選項618或限定安全策略內(nèi)的規(guī)則的動作619，以允許流量或拒絕流量。例如，管理員12可使用由威脅控制模塊17呈現(xiàn)的界面圖6b來指定“規(guī)則2”和“規(guī)則3”分別具有序列號808和809，并且指定拒絕用于策略ccc的ip流量的動作。

如圖2所示，安全管理系統(tǒng)10也可包括在安全管理系統(tǒng)10的一個或多個處理器上運行的策略/規(guī)則模塊20，其中，策略/規(guī)則模塊20可基于由安全管理系統(tǒng)10自動生成的或由管理員12限定的以及從威脅控制模塊17接收的配置信息，生成用于安全設(shè)備5的配置信息。響應(yīng)于策略/規(guī)則模塊20創(chuàng)建或修改安全策略，安全管理系統(tǒng)10可在候選策略數(shù)據(jù)庫22中存儲配置參數(shù)。

響應(yīng)于如圖6a所示的具體設(shè)備的選擇，安全管理系統(tǒng)10的威脅控制模塊17也可呈現(xiàn)界面，如圖6c所示，通過該界面，管理員12可瀏覽安全設(shè)備5上的與所選擇威脅有關(guān)的信息。圖6c示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可瀏覽與受到自動創(chuàng)建安全策略的影響的設(shè)備有關(guān)的安全設(shè)備細(xì)節(jié)。威脅控制模塊17可呈現(xiàn)具有存儲在候選策略數(shù)據(jù)庫22和/或提交策略數(shù)據(jù)庫24中的安全策略以及設(shè)備信息的界面。在一個實例中，圖6c的界面可包括設(shè)備名稱(devicename)621、域(domain)622、管理狀態(tài)(managedstatus)623、連接狀態(tài)(connectionstatus)624、策略類型(policytype)625以及δ配置(deltaconfiguration)626。δ配置可包括對設(shè)備的命令行界面(cli)和/或可擴展標(biāo)記語言(xml)配置的訪問。例如，響應(yīng)于如圖6c所示的設(shè)備的δ配置的選擇，安全管理系統(tǒng)10的威脅控制模塊17可進一步呈現(xiàn)界面，如圖6d所示，通過該界面，管理員12可瀏覽所選擇設(shè)備的cli和/或xml配置。

圖7示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可進行自動創(chuàng)建的安全策略的部署和/或發(fā)布。如圖2所示，安全管理系統(tǒng)10可包括與安全管理系統(tǒng)10的威脅控制模塊17和策略/規(guī)則模塊20連接的候選策略數(shù)據(jù)庫22和提交策略數(shù)據(jù)庫24。威脅控制模塊17可向管理員12呈現(xiàn)用戶界面以選擇是否更新702(例如，部署)、發(fā)布704(例如，存儲用于進一步查看)或保存(706)自動創(chuàng)建的安全策略(單獨保存或保存為組)。在一個實例中，選擇發(fā)布自動創(chuàng)建的安全策略可在候選數(shù)據(jù)庫22中存儲安全策略以用于進一步查看。安全策略的發(fā)布可允許其他管理員12通過由安全管理系統(tǒng)10生成的用戶界面在部署之前查看存儲在候選策略數(shù)據(jù)庫22中的自動創(chuàng)建的安全策略。在進一步查看之后，其他管理員12可選擇更新(例如，部署)發(fā)布的安全策略或重新配置安全策略。

在一個實例中，選擇更新安全策略可在提交策略數(shù)據(jù)庫24中存儲自動創(chuàng)建的安全策略。管理員12可選擇更新由安全管理系統(tǒng)10生成的用戶界面呈現(xiàn)的安全策略(如圖7所示)以便諸如，通過snmp或netconf協(xié)議向安全設(shè)備5推送自動創(chuàng)建的安全策略。安全管理系統(tǒng)10可包括策略部署引擎26，該策略部署引擎在系統(tǒng)10的一個或多個處理器上運行以便向安全設(shè)備5發(fā)送安全策略的更新配置信息。

圖7的界面也可呈現(xiàn)由安全管理系統(tǒng)10生成的用戶界面，通過該用戶界面，管理員12可限定具體日期708或時間710以更新(702)或發(fā)布(704)自動創(chuàng)建的安全策略。例如，威脅控制模塊17可向管理員12呈現(xiàn)界面以調(diào)度用于2015年9月27日，上午5：15pst的更新。當(dāng)選擇更新(702)策略時，安全管理系統(tǒng)10可在2015年9月27日，上午5：15pst之前將這些更新的安全策略存儲至候選策略數(shù)據(jù)庫22。當(dāng)策略在2015年9月27日，上午5：15pst更新至安全設(shè)備5時，安全管理系統(tǒng)10隨后可在提交策略數(shù)據(jù)庫24中存儲更新的安全策略。安全管理系統(tǒng)10可利用策略部署引擎26向安全設(shè)備5進一步部署存儲在提交策略數(shù)據(jù)庫24內(nèi)的更新的安全策略。在一個實例中，提交策略數(shù)據(jù)庫24可位于安全管理系統(tǒng)10中。在另一實例中，安全管理系統(tǒng)10可與外部提交策略數(shù)據(jù)庫24通信。

圖8示出由安全管理系統(tǒng)10生成的示例性用戶界面，通過該示例性用戶界面，管理員12可瀏覽發(fā)布或更新的安全策略的作業(yè)狀態(tài)。在一個實施方式中，安全管理系統(tǒng)10的威脅控制模塊17可呈現(xiàn)用戶界面，通過該用戶界面，管理員12可在配置策略更新階段，提供來自候選策略數(shù)據(jù)庫22和/或提交策略數(shù)據(jù)庫24的信息，諸如狀態(tài)快照策略801、發(fā)布策略802和更新設(shè)備803。由安全管理系統(tǒng)10生成的圖8的界面可進一步顯示包括作業(yè)類型(jobtype)804、作業(yè)id(jobid)805、作業(yè)名稱(jobname)806、用戶(user807、作業(yè)狀態(tài)(jobstatus)808、完成比(percentcomplete)809、調(diào)度開始時間(scheduledstarttime)810、實際開始時間(actualstarttime)811以及結(jié)束時間(endtime)812的信息。在另一實例中，圖8的界面也可搜索設(shè)備發(fā)布細(xì)節(jié)813，包括設(shè)備名稱、發(fā)布狀態(tài)、服務(wù)和/或消息。

圖9示出在本公開的一個方面中的由安全管理系統(tǒng)10生成的示例性界面，通過該示例性界面，管理員12可瀏覽威脅設(shè)備的源細(xì)節(jié)或目的地細(xì)節(jié)。在一個實例中，安全管理系統(tǒng)10的威脅控制模塊17可呈現(xiàn)用戶界面，該用戶界面呈現(xiàn)包括源設(shè)備細(xì)節(jié)(sourcedevicedetails)901和目的地設(shè)備細(xì)節(jié)(destinationdevicedetails)902的設(shè)備信息。用戶界面可呈現(xiàn)包括如下的設(shè)備細(xì)節(jié)：設(shè)備ip、設(shè)備名稱、機構(gòu)名稱、機構(gòu)id、設(shè)備的物理地址(例如，街道地址、城市、州/省份、郵編、國家)、注冊日期、更新日期以及對關(guān)于設(shè)備的更多信息的參考鏈接。

圖10是示出安全管理系統(tǒng)10的示例性操作的流程圖。如圖10所示，安全設(shè)備5可首先分析數(shù)據(jù)包流以識別應(yīng)用和潛在威脅數(shù)據(jù)(100)。安全設(shè)備5可繼續(xù)向安全管理系統(tǒng)10傳送潛在威脅數(shù)據(jù)(102)。安全管理系統(tǒng)10可接收從安全設(shè)備5傳送的威脅數(shù)據(jù)并且利用威脅數(shù)據(jù)聚合器14聚合接收的數(shù)據(jù)(104)。通過威脅控制模塊17，安全管理系統(tǒng)10可進一步構(gòu)建并顯示已被威脅數(shù)據(jù)聚合器14聚合并存儲在威脅數(shù)據(jù)庫16中的實時或近實時威脅，其中，顯示可以是由威脅控制模塊17生成的以地圖、圖表、網(wǎng)格視圖等的可視化。通過威脅控制模塊17，安全管理系統(tǒng)10可進一步接收來自管理員12的輸入以配置包括規(guī)則順序的策略(108)。例如，管理員12可配置直接來自實時或近實時威脅的顯示和/或通過與威脅有關(guān)的過濾事件數(shù)據(jù)的各種圖形表示的策略。當(dāng)接收來自管理員12的配置輸入時，安全管理系統(tǒng)10可使用策略/規(guī)則模塊20自動生成包括有序規(guī)則的新配置的或更新的安全策略(110)。安全管理系統(tǒng)10可通過策略部署引擎26向安全設(shè)備5進一步部署生成的或更新的策略(112)。隨后，安全設(shè)備5可從安全管理系統(tǒng)10接收所部署的生成的安全策略(114)。安全設(shè)備5可繼續(xù)更新與來自安全管理系統(tǒng)10的安全策略相關(guān)的生成的配置數(shù)據(jù)(116)。當(dāng)利用安全策略來更新配置數(shù)據(jù)時，安全設(shè)備5可根據(jù)更新的安全策略處理流量(118)。

圖11示出計算設(shè)備的詳細(xì)實例，該計算設(shè)備可被配置為實現(xiàn)根據(jù)本公開的一些實施方式。例如，設(shè)備1100可以是服務(wù)器、工作站、計算中心、服務(wù)器集群或集中定位或分布式定位的能夠執(zhí)行本文描述的技術(shù)的計算環(huán)境的其他示例性實施方式。設(shè)備中的任一個或所有可例如，實現(xiàn)本文描述的用于安全管理系統(tǒng)的技術(shù)的一部分。在該實例中，計算機1100包括基于硬件的處理器1110，該處理器可并入安全管理系統(tǒng)10以執(zhí)行程序指令或軟件，使得計算機執(zhí)行各種方法或任務(wù)，諸如執(zhí)行本文描述的技術(shù)。

處理器1110可以是通用處理器、數(shù)字信號處理器(dsp)、專用集成電路(asic)的核心處理器等。處理器1110經(jīng)由總線1120耦接至存儲器1130，該存儲器用于在計算機操作的同時存儲諸如程序指令以及其他數(shù)據(jù)的信息。諸如硬盤驅(qū)動、非易失性存儲器或其他非易失性存儲設(shè)備的存儲設(shè)備1140存儲諸如程序指令、多維數(shù)據(jù)的數(shù)據(jù)文件以及縮減數(shù)據(jù)集合的信息以及其他信息。作為另一實例，計算機1150可提供用于執(zhí)行一個或多個虛擬機的操作環(huán)境，該虛擬機轉(zhuǎn)而提供用于軟件的執(zhí)行環(huán)境以用于實現(xiàn)本文描述的技術(shù)。

計算機也包括各種輸入輸出元件1150(包括并行或串行端口、usb、火線或ieee1394、以太網(wǎng)以及其他這種端口)以便將計算機連接至外部設(shè)備，諸如鍵盤、觸摸屏、鼠標(biāo)、指示器等。其他輸入輸出元件包括諸如藍牙、wi-fi以及蜂窩數(shù)據(jù)網(wǎng)絡(luò)的無線通信接口。

計算機本身可以是傳統(tǒng)個人計算機、機架安裝或商業(yè)計算機或服務(wù)器或者任意其他類型的計算機化系統(tǒng)。在進一步實例中，計算機可包括比以上所列的更少元件，諸如瘦客戶端或只具有所示元件中的一些的移動設(shè)備。在另一實例中，計算機分布在多個計算機系統(tǒng)中，諸如具有協(xié)同工作以提供各種功能的許多計算機的分布式服務(wù)器。

本文描述的技術(shù)可在硬件、軟件、固件或其任意組合中實現(xiàn)。描述為模塊、單元或組件的各種特征可一起實現(xiàn)在集成邏輯設(shè)備中或單獨實現(xiàn)為離散的但是互操作的邏輯設(shè)備或其他硬件設(shè)備中。在某些情況下，電子電路的各種特征可實現(xiàn)為一個或多個集成電路設(shè)備，諸如，集成電路芯片或芯片集。

如果實現(xiàn)在硬件中，本公開可被導(dǎo)向至諸如處理器或集成電路設(shè)備的裝置，諸如集成電路芯片或芯片集?？蛇x地或另外地，如果實現(xiàn)在軟件或固件中，本技術(shù)可至少部分地由包括指令的計算機可讀數(shù)據(jù)存儲介質(zhì)實現(xiàn)，當(dāng)運行指令時，使得一個或多個處理器執(zhí)行上述方法中的一個或多個。例如，計算機可讀數(shù)據(jù)存儲介質(zhì)或設(shè)備可存儲這種指令以用于由處理器執(zhí)行?？衫靡粋€或多個計算機可讀介質(zhì)(多個計算機可讀介質(zhì))的任意組合。

計算機可讀存儲介質(zhì)(設(shè)備)可形成可包括封裝材料的計算機程序產(chǎn)品的部分。計算機可讀存儲介質(zhì)(設(shè)備)可包括諸如隨機存取存儲器(ram)、只讀存儲器(rom)、非易失性隨機存取存儲器(nvram)、電可擦除可編程只讀存儲器(eeprom)、閃存、磁性或光學(xué)數(shù)據(jù)存儲介質(zhì)等的計算機數(shù)據(jù)存儲介質(zhì)。通常，計算機可讀存儲介質(zhì)可以是任意有形介質(zhì)，該有形介質(zhì)可包含或存儲用于由指令執(zhí)行系統(tǒng)、裝置或設(shè)備使用或結(jié)合指令執(zhí)行系統(tǒng)、裝置或設(shè)備的程序。計算機可讀介質(zhì)的額外實例包括計算機可讀存儲設(shè)備、計算機可讀存儲器以及有形計算機可讀介質(zhì)。在一些實例中，制造商品可包括一個或多個計算機可讀存儲介質(zhì)。

在一些實例中，計算機可讀存儲介質(zhì)可包括非易失性介質(zhì)。術(shù)語“非易失性”可指示存儲介質(zhì)不以載波或傳播信號體現(xiàn)。在某些實例中，非易失性存儲介質(zhì)可存儲可隨時間變化的數(shù)據(jù)(例如，在ram或緩存器中)。

代碼或指令可以是由包括一個或多個處理器的處理線路(諸如，一個或多個數(shù)字信號處理器(dsp)、通用微處理器、專用集成電路(asic)、現(xiàn)場可編程門陣列(fpga)或其他等效集成或離散邏輯線路)運行的軟件和/或固件。因此，如本文使用的術(shù)語“處理器”可指代上述結(jié)構(gòu)中的任一個或適于實現(xiàn)本文描述的技術(shù)的任意其他處理線路。此外，在某些方面中，本公開描述的功能可提供在軟件模塊或硬件模塊內(nèi)。

除了以上的或作為以上的替代，描述以下實例。在以下實例中的任一個中描述的特征可與本文描述的其他實例中的任一個一起利用。

實例1.一種安全管理系統(tǒng)，包括：一個或多個處理器；

一個或多個計算機可讀存儲器；威脅數(shù)據(jù)聚合器，該威脅數(shù)據(jù)聚合器在處理器中的一個或多個上運行以便聚合從位于網(wǎng)絡(luò)內(nèi)的多個安全設(shè)備接收的數(shù)據(jù)，并且威脅數(shù)據(jù)聚合器被配置為對網(wǎng)絡(luò)內(nèi)的數(shù)據(jù)包流執(zhí)行深度包檢測，其中，從多個安全設(shè)備接收的數(shù)據(jù)識別由安全設(shè)備檢測的多個威脅；以及威脅控制模塊，該威脅控制模塊具有可視化模塊，該可視化模塊在處理器中的一個或多個上運行以便以用于整個網(wǎng)絡(luò)的單個的、聚合的表示顯示與由威脅數(shù)據(jù)聚合器聚合的威脅數(shù)據(jù)相對應(yīng)的威脅，其中，可視化模塊基于由管理員選擇的一個或多個用戶界面元素而生成所聚合的威脅數(shù)據(jù)的一個或多個過濾表示。

實例2.根據(jù)實例1的安全管理系統(tǒng)，其中，所聚合的表示是一個或多個威脅的實時威脅可視化。

實例3.根據(jù)實例1的安全管理系統(tǒng)，其中，過濾表示包括網(wǎng)格視圖、圖表視圖或地圖視圖中的至少一個的顯示。

實例4.根據(jù)實例1的安全管理系統(tǒng)，其中，過濾表示包括應(yīng)用使用視圖或用戶使用視圖中的至少一個的顯示。

實例5.根據(jù)實例1的安全管理系統(tǒng)，其中，過濾表示包括與威脅有關(guān)的大概地理位置細(xì)節(jié)、互聯(lián)網(wǎng)協(xié)議地址細(xì)節(jié)、威脅動作狀態(tài)細(xì)節(jié)或安全設(shè)備細(xì)節(jié)中的至少一個。

實例6.根據(jù)實例1的安全管理系統(tǒng)，其中，可視化模塊生成與威脅有關(guān)的圖形指示符。

實例7.根據(jù)實例1的安全管理系統(tǒng)，其中，由管理員選擇的用戶界面元素包括，響應(yīng)于來自管理員的輸入能操作以選擇地理位置、軟件應(yīng)用或用戶中的至少一個的用戶界面元素，并且其中，可視化模塊根據(jù)選擇基于所聚合的威脅數(shù)據(jù)的子集而生成威脅的子集的一個或多個過濾表示。

實例8.一種方法，包括：從多個安全設(shè)備接收關(guān)于多個威脅的數(shù)據(jù)；聚合來自安全設(shè)備的威脅；顯示威脅的聚合表示；從聚合表示選擇一個或多個用戶界面元素；以及響應(yīng)于選擇用戶界面元素，顯示威脅的過濾表示。

實例9.根據(jù)實例8的方法，其中，顯示威脅的聚合表示包括顯示威脅的實時威脅可視化。

實例10.根據(jù)實例8的方法，其中，顯示威脅的聚合表示包括顯示與威脅有關(guān)的圖形指示符。

實例11.根據(jù)實例8的方法，其中，顯示威脅的聚合表示包括基于對應(yīng)于與威脅有關(guān)的大概地理位置的位置來顯示威脅。

實例12.根據(jù)實例8的方法，其中，顯示過濾表示包括將過濾表示顯示為網(wǎng)格視圖、圖表視圖或地圖視圖中的一個。

實例13.根據(jù)實例12的方法，其中，地圖視圖基于對應(yīng)于與威脅的來源有關(guān)的大概地理位置的位置來顯示威脅。

實例14.根據(jù)實例12的方法，其中，地圖視圖基于對應(yīng)于與威脅的目的地有關(guān)的大概地理位置的位置來顯示威脅。

實例15.根據(jù)實例8的方法，其中，顯示威脅的過濾表示包括將過濾表示顯示為應(yīng)用使用視圖或用戶使用視圖中的一個。

實例16.根據(jù)實例8的方法，其中，顯示過濾表示包括顯示與威脅有關(guān)的大概地理位置細(xì)節(jié)、互聯(lián)網(wǎng)協(xié)議地址細(xì)節(jié)、威脅動作狀態(tài)細(xì)節(jié)或安全設(shè)備細(xì)節(jié)中的至少一個。

實例17.根據(jù)實例8的方法，其中，顯示威脅的過濾表示包括將過濾表示顯示為威脅的聚合表示上的覆蓋。

實例18.根據(jù)實例8的方法，其中，從聚合表示選擇用戶界面元素包括選擇地理位置、應(yīng)用或用戶中的至少一個。

此外，可將在上述實例中的任一個中闡述的特定特征中的任一個組合為所述技術(shù)的有利實施方式。也就是說，特定特征中的任一個通?？蛇m用于本發(fā)明的所有實例。已描述了技術(shù)的各種實例。這些和其他實例在所附權(quán)利要求的范圍內(nèi)。