本申請(qǐng)要求于2015年11月03日提交的印度專(zhuān)利申請(qǐng)5944/che/2015的權(quán)益,其全部?jī)?nèi)容通過(guò)引證結(jié)合于此����。
本發(fā)明涉及一種計(jì)算機(jī)網(wǎng)絡(luò),并且更具體地�,涉及網(wǎng)絡(luò)安全設(shè)備的管理和配置技術(shù)。
背景技術(shù):
存儲(chǔ)在計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的數(shù)據(jù)和技術(shù)容易受損從而增大網(wǎng)絡(luò)威脅的等級(jí)�����。普通類(lèi)型的網(wǎng)絡(luò)攻擊包括拒絕服務(wù)(dos)攻擊���、誘騙攻擊��、數(shù)據(jù)包竊聽(tīng)或攔截等��。由于網(wǎng)絡(luò)威脅越來(lái)越復(fù)雜�,擔(dān)任保護(hù)計(jì)算機(jī)網(wǎng)絡(luò)的管理員的負(fù)擔(dān)越來(lái)越重并且裝備不良不能有效且高效地減輕并解決網(wǎng)絡(luò)威脅和網(wǎng)絡(luò)攻擊���。目前��,為了對(duì)網(wǎng)絡(luò)威脅做出反應(yīng)���,管理員必須參與手動(dòng)的����、勞動(dòng)密集的過(guò)程以配置策略或其他保護(hù)系統(tǒng)以求阻止這樣的威脅�。
技術(shù)實(shí)現(xiàn)要素:
總體上,本公開(kāi)描述了一種集成安全管理系統(tǒng)�����,該集成安全管理系統(tǒng)為分布在整個(gè)網(wǎng)絡(luò)中的安全設(shè)備提供規(guī)則優(yōu)化和分析�。
例如�����,在一個(gè)示例性實(shí)施方式中���,系統(tǒng)包括:一個(gè)或多個(gè)處理器����、一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器�����、以及復(fù)雜用戶(hù)接口����,該復(fù)雜用戶(hù)接口由威脅控制模塊呈現(xiàn)用于顯示對(duì)應(yīng)于一個(gè)或多個(gè)威脅的一個(gè)或多個(gè)規(guī)則����。系統(tǒng)進(jìn)一步包括用于確定規(guī)則在安全設(shè)備的規(guī)則列表中的最佳放置的規(guī)則分析模塊�。例如,管理員可以與由威脅控制模塊再現(xiàn)的規(guī)則的圖形表示交互����,并且響應(yīng)于交互,系統(tǒng)可以基于異?��;蛘咄{ip數(shù)據(jù)和/或高級(jí)安全參數(shù)的存在確定所創(chuàng)建的規(guī)則在所識(shí)別的安全設(shè)備的規(guī)則列表中的最佳放置����。以這種方式���,系統(tǒng)允許管理員用最優(yōu)序列配置規(guī)則以檢測(cè)威脅�。
在另一示例性實(shí)施方式中�����,方法包括接收關(guān)于一個(gè)或多個(gè)規(guī)則的配置信息���。方法還包括生成一個(gè)或多個(gè)規(guī)則在安全設(shè)備的規(guī)則列表中的建議放置��。
以這種方式���,安全管理系統(tǒng)使管理員能夠采取直接動(dòng)作以?xún)?yōu)化安全策略中自動(dòng)生成的規(guī)則的放置���。因此,企業(yè)中的管理員與安全管理系統(tǒng)再現(xiàn)的威脅的表示交互以調(diào)用安全管理系統(tǒng)的規(guī)則分析模塊�,從而基于來(lái)自規(guī)則的排序的任何異常生成規(guī)則的異常報(bào)告和/或建議放置��。
在附圖和下面的描述中闡述本發(fā)明的一個(gè)或多個(gè)實(shí)施方式的細(xì)節(jié)��。通過(guò)該描述��、附圖和權(quán)利要求����,本發(fā)明的其他特征、目的和優(yōu)點(diǎn)將變得顯而易見(jiàn)���。
附圖說(shuō)明
圖1是示出了具有如本文中描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖��。
圖2是示出了在本公開(kāi)的一方面中的示例性集成安全管理系統(tǒng)的框圖�。
圖3是在本公開(kāi)的一方面中處理網(wǎng)絡(luò)流量以識(shí)別潛在網(wǎng)絡(luò)威脅的示例性安全設(shè)備。
圖4a-圖4c示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶(hù)接口(interface,界面)以向管理員呈現(xiàn)聚合的威脅數(shù)據(jù)的表示�。
圖5a-圖5e示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶(hù)接口,以向管理員呈現(xiàn)與威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的表示�。
圖6a-圖6d示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶(hù)接口,管理員通過(guò)該用戶(hù)接口可以審查并自動(dòng)發(fā)布所創(chuàng)建的與安全策略相關(guān)聯(lián)的規(guī)則�。
圖7a-7k示出了在本公開(kāi)的各個(gè)方面中由安全管理系統(tǒng)生成的示例性用戶(hù)接口,通過(guò)該用戶(hù)接口管理員可以配置安全策略的規(guī)則放置�。
圖8示出了在本公開(kāi)的一方面中基于異常的確定的示例性規(guī)則放置。
圖9是示出了示例性規(guī)則放置方法的流程圖�����。
圖10是示出了另一示例性規(guī)則放置方法的流程圖��。
圖11示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)生成的示例性用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員可以使得自動(dòng)創(chuàng)建的安全策略能夠部署和/或發(fā)布���。
圖12示出了通過(guò)安全管理系統(tǒng)生成的示例性用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員可以瀏覽所發(fā)布的或更新的安全策略的作業(yè)狀態(tài)�����。
圖13示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)生成的示例性接口���,通過(guò)該接口管理員可以瀏覽威脅設(shè)備的源或目的地細(xì)節(jié)�。
圖14是示出了安全管理系統(tǒng)的示例性操作的流程圖����。
圖15示出了可被配置為實(shí)現(xiàn)根據(jù)當(dāng)前公開(kāi)的一些實(shí)施方式的計(jì)算設(shè)備的詳細(xì)實(shí)例。
具體實(shí)施方式
圖1是示出了具有如本文中描述的集成安全管理系統(tǒng)的示例性企業(yè)網(wǎng)絡(luò)的框圖�����。在圖1的實(shí)例中����,企業(yè)網(wǎng)絡(luò)2包括集成安全管理系統(tǒng)10和以分步的方式部署在整個(gè)網(wǎng)絡(luò)中的一個(gè)或多個(gè)安全設(shè)備5�����。
企業(yè)網(wǎng)絡(luò)2的一個(gè)或多個(gè)安全設(shè)備5a-5c(統(tǒng)稱(chēng)“安全設(shè)備5”)經(jīng)由形成通信拓樸的通信鏈路相互連接�����。通常�,安全設(shè)備5監(jiān)控網(wǎng)絡(luò)2中的包流并將安全服務(wù)應(yīng)用于那些包流以便保護(hù)網(wǎng)絡(luò)內(nèi)的計(jì)算資源(未示出),諸如�,網(wǎng)絡(luò)服務(wù)器���、終端用戶(hù)計(jì)算機(jī)和提供網(wǎng)絡(luò)連接的基礎(chǔ)設(shè)施設(shè)備。例如����,安全設(shè)備5可以對(duì)包流執(zhí)行深度包檢測(cè)以檢測(cè)包流內(nèi)指示威脅的模式或異常,諸如���,網(wǎng)絡(luò)攻擊���、病毒、惡意軟件等��。在這個(gè)過(guò)程期間�����,安全設(shè)備5通常應(yīng)用限定標(biāo)準(zhǔn)(例如�,報(bào)頭信息、模式����、異常信息)的策略,以與包流相比較并采取策略指定的行動(dòng),諸如��,丟棄包流���、記錄包流或?qū)髦囟ㄏ蛑翑?shù)據(jù)包分析器用于進(jìn)一步分析�。安全設(shè)備5可以包括��,例如����,防火墻或其他入侵檢測(cè)系統(tǒng)(ids)或入侵預(yù)防系統(tǒng)(idp)、或甚至被配置為將網(wǎng)絡(luò)安全服務(wù)應(yīng)用于網(wǎng)絡(luò)2中的包流的高端路由器或服務(wù)節(jié)點(diǎn)��。
雖然在本公開(kāi)中描述為發(fā)送�、傳送、或以另外的方式支持?jǐn)?shù)據(jù)包���,但企業(yè)網(wǎng)絡(luò)2可以根據(jù)由任何其他協(xié)議定義的任何其他離散數(shù)據(jù)單元發(fā)送數(shù)據(jù)���,諸如��,由異步傳輸模式(atm)協(xié)議定義的單元�����,或由用戶(hù)數(shù)據(jù)報(bào)協(xié)議(udp)定義的數(shù)據(jù)圖。使安全設(shè)備5相互連接的通信鏈路可以是物理鏈路(例如��,光學(xué)��、銅等)或無(wú)線�����。企業(yè)網(wǎng)絡(luò)2可以耦合至一個(gè)或多個(gè)附加私有網(wǎng)絡(luò)或公共網(wǎng)絡(luò)����,例如,互聯(lián)網(wǎng)(未示出)�����。
在圖1的實(shí)例中����,企業(yè)網(wǎng)絡(luò)2示出為分別經(jīng)由通信鏈路7a-7c耦合至公共網(wǎng)絡(luò)4a-4c(統(tǒng)稱(chēng)“公共網(wǎng)絡(luò)4”)(例如,互聯(lián)網(wǎng))��。例如��,公共網(wǎng)絡(luò)4可以包括一個(gè)或多個(gè)客戶(hù)端計(jì)算設(shè)備。公共網(wǎng)絡(luò)4可以提供對(duì)網(wǎng)頁(yè)服務(wù)器���、應(yīng)用服務(wù)器���、公共數(shù)據(jù)庫(kù)、媒體服務(wù)器����、用戶(hù)端設(shè)備、以及多種其他類(lèi)型的網(wǎng)絡(luò)資源設(shè)備和內(nèi)容的訪問(wèn)���。公共網(wǎng)絡(luò)4中的網(wǎng)絡(luò)設(shè)備可以向企業(yè)網(wǎng)絡(luò)2呈現(xiàn)大量安全威脅����。例如��,公共網(wǎng)絡(luò)4中的設(shè)備可以嘗試向一個(gè)或多個(gè)安全設(shè)備5傳送蠕蟲(chóng)�����、木馬��、和/或病毒��。作為另一實(shí)例�����,使用公共網(wǎng)絡(luò)4中的設(shè)備的黑客可能試圖打入企業(yè)網(wǎng)絡(luò)2以偵聽(tīng)��、損壞�、破壞、或竊取由一個(gè)或多個(gè)安全設(shè)備5存儲(chǔ)的信息���。
如在本文中描述的�,安全管理系統(tǒng)10使得能夠通過(guò)從安全設(shè)備5收集并聚合威脅信息并呈現(xiàn)整個(gè)企業(yè)網(wǎng)絡(luò)2中存在的統(tǒng)一實(shí)時(shí)可視化的網(wǎng)絡(luò)威脅而對(duì)安全設(shè)備5進(jìn)行集中管理����。此外,安全管理系統(tǒng)10提供一種集成系統(tǒng)��,該集成系統(tǒng)響應(yīng)于網(wǎng)絡(luò)威脅為網(wǎng)絡(luò)管理員(例如���,管理員12)提供用于管理安全設(shè)備5的集中的單點(diǎn)控制�����。
例如�����,由于在安全域(例如����,企業(yè)網(wǎng)絡(luò)2)內(nèi)檢測(cè)到并識(shí)別出威脅,安全管理系統(tǒng)10實(shí)時(shí)從安全設(shè)備5接收并聚合數(shù)據(jù)���。安全管理系統(tǒng)10基于從分布的安全設(shè)備5聚合的數(shù)據(jù)再現(xiàn)并保持已識(shí)別的威脅的動(dòng)畫(huà)表示�����。響應(yīng)于與管理員12的交互��,安全管理系統(tǒng)10識(shí)別相關(guān)安全設(shè)備5集合�,自動(dòng)構(gòu)建具有在所識(shí)別的安全設(shè)備5集合的策略?xún)?nèi)有序規(guī)則的安全策略����,并使用在安全管理系統(tǒng)10內(nèi)集成的底層策略部署引擎?zhèn)鬟f策略并將策略安裝在所識(shí)別的安全設(shè)備5集合中。在圖1的實(shí)例中�,安全管理系統(tǒng)10被示出為利用安全設(shè)備5參與配置會(huì)話(huà)9a-9c(統(tǒng)稱(chēng)“配置會(huì)話(huà)9”)以傳遞策略并將策略安裝在所識(shí)別的安全設(shè)備5集合中。
以這種方式��,安全管理系統(tǒng)10使得管理員12能夠采取直接動(dòng)作���,諸如��,選擇性地阻止或允許流量和應(yīng)用����,同時(shí)從網(wǎng)絡(luò)2中的任何地方所識(shí)別的威脅的表示中監(jiān)控事件�����。因此�,由于通過(guò)安全管理系統(tǒng)10再現(xiàn),管理員能夠與威脅的表示交互以自動(dòng)配置并更新貫穿網(wǎng)絡(luò)2部署的安全設(shè)備5的安全策略����。安全管理系統(tǒng)使管理員也能夠采取直接動(dòng)作以?xún)?yōu)化安全策略中自動(dòng)生成的規(guī)則的放置。因此��,企業(yè)中的管理員與安全管理系統(tǒng)再現(xiàn)的威脅的表示交互以調(diào)用安全管理系統(tǒng)的規(guī)則分析模塊�,從而基于來(lái)自規(guī)則的排序的任何異常生成規(guī)則的異常報(bào)告和/或建議放置。
按慣例��,安全管理系統(tǒng)10和由安全管理系統(tǒng)10管理的安全設(shè)備5可以通過(guò)企業(yè)的it團(tuán)隊(duì)集中維護(hù)�����。管理員12可以與安全管理系統(tǒng)10交互以遠(yuǎn)程監(jiān)控并配置安全設(shè)備5。例如��,管理員12可以從安全管理系統(tǒng)10接收有關(guān)安全設(shè)備5的警報(bào)���,瀏覽安全設(shè)備5的實(shí)時(shí)威脅和配置信息數(shù)據(jù)���,向下挖掘經(jīng)過(guò)濾威脅數(shù)據(jù)的過(guò)濾表示,創(chuàng)建或更新安全設(shè)備5的安全策略���,為企業(yè)網(wǎng)絡(luò)2添加新的安全設(shè)備��,從企業(yè)網(wǎng)絡(luò)2除去現(xiàn)有的安全設(shè)備�����,或以另外的方式操縱企業(yè)網(wǎng)絡(luò)2及其中的安全設(shè)備��。盡管相對(duì)于企業(yè)網(wǎng)絡(luò)進(jìn)行描述�����,但本發(fā)明的技術(shù)可適用于其他網(wǎng)絡(luò)類(lèi)型��,公共和私有的���,包括lan�、vlan�����、等等��。
管理員12可以使用安全管理系統(tǒng)10以用安全策略配置安全設(shè)備5���,其中,每個(gè)安全策略表示指定促進(jìn)管理員12的目標(biāo)的某些操作特性的一個(gè)或多個(gè)有序規(guī)則集合�����。例如���,管理員12可以使用具有有序規(guī)則集的集合的策略�����,為安全設(shè)備5指定與輸入或輸出互聯(lián)網(wǎng)協(xié)議(ip)流量的安全有關(guān)的特定安全策略����。雖然已相對(duì)于策略和規(guī)則進(jìn)行了描述,但本公開(kāi)內(nèi)容的技術(shù)可適用于安全設(shè)備的其他方面��,包括修改路由表�,或者包括更新或重新排序預(yù)先存在的安全策略或規(guī)則的其他方面。
通常�����,安全設(shè)備5將特定策略(例如�����,安全性)的數(shù)據(jù)維護(hù)為各自對(duì)唯一標(biāo)識(shí)符有密鑰的一個(gè)或多個(gè)規(guī)則的有序表��。當(dāng)管理的安全設(shè)備5中的一個(gè)中發(fā)生觸發(fā)事件時(shí)����,諸如,接收網(wǎng)絡(luò)數(shù)據(jù)包����,安全設(shè)備5順序地遍歷有序表以確定列表中適用于觸發(fā)事件數(shù)據(jù)的第一策略規(guī)則。如果安全設(shè)備查找可適用的策略規(guī)則�,則安全設(shè)備繼續(xù)執(zhí)行指定的動(dòng)作(例如,丟棄數(shù)據(jù)包、更新流量日志��、或者為了進(jìn)一步的分析和檢查重定向數(shù)據(jù)包��、阻止或允許數(shù)據(jù)包)���。在題為“determiningreordercommandsforremotereorderingofpolicyrules”的美國(guó)專(zhuān)利8,429,255和題為“remotevalidationofnetworkdeviceconfigurationusingadevicemanagementprotocolforremotepacket”的美國(guó)專(zhuān)利號(hào)8,248,958中描述了能夠管理安全設(shè)備并為其部署策略的集中型網(wǎng)絡(luò)管理系統(tǒng)的又一示例性細(xì)節(jié)�,其全部?jī)?nèi)容通過(guò)引證結(jié)合于本文中�。在如在junipernetworks,“junipernetworksnetworkandsecuritymanageradministrationguiderevision2009.1,”2009年8月(在http://www.juniper.net/techpubs/software/management/security-manager/nsm2009_1/nsm-admin-guide.pdf可獲得)中描述的網(wǎng)絡(luò)和安全管理(nsm)應(yīng)用中描述了又一實(shí)例�,通過(guò)引證將其全部?jī)?nèi)容結(jié)合于此。
圖2是示出了在本公開(kāi)的一方面中的示例性集成安全管理系統(tǒng)10的框圖����。如在本文中描述的���,安全管理系統(tǒng)10提供系統(tǒng)和接口����,管理員12利用接口瀏覽實(shí)時(shí)或接近實(shí)時(shí)的威脅��,迅速評(píng)估與綜合分析的給定威脅相關(guān)聯(lián)的經(jīng)過(guò)濾威脅數(shù)據(jù)的過(guò)濾表示���,并響應(yīng)于威脅來(lái)配置或修改安全設(shè)備5的各種安全策略�����。在圖2中����,例如��,安全管理系統(tǒng)10的威脅控制模塊17構(gòu)建并且輸出接口����,以允許管理員12例如在網(wǎng)格、圖表或地圖上瀏覽實(shí)時(shí)威脅、向下挖掘與威脅相關(guān)聯(lián)的經(jīng)過(guò)濾威脅數(shù)據(jù)的各種過(guò)濾表示����、在一個(gè)或多個(gè)安全設(shè)備5的當(dāng)前策略或新策略中插入或配置新規(guī)則、產(chǎn)生安全設(shè)備5的更新策略�、以及刪除或改變現(xiàn)有規(guī)則的順序。響應(yīng)于產(chǎn)生新策略或更新的策略�,管理員12可以基于新的策略或更新的策略通過(guò)策略部署引擎26引導(dǎo)安全管理系統(tǒng)10將配置部署到一個(gè)或多個(gè)安全設(shè)備5��。在某些方面,作為對(duì)例如威脅的檢測(cè)的響應(yīng),安全管理系統(tǒng)10自動(dòng)修改安全設(shè)備5的策略����。
與傳統(tǒng)系統(tǒng)不同,在某些示例性實(shí)施方式中�,安全管理系統(tǒng)10實(shí)時(shí)或接近實(shí)時(shí)地提供企業(yè)范圍威脅的實(shí)時(shí)威脅可視化并在可視化處理中將自動(dòng)策略生成和部署集成到安全設(shè)備5���,從而提供在集中化管理系統(tǒng)中監(jiān)控并對(duì)威脅采取行動(dòng)的無(wú)縫用戶(hù)體驗(yàn)。在網(wǎng)絡(luò)攻擊期間��,何時(shí)迅速解決并減輕攻擊可能是重要的,與安全管理系統(tǒng)10的自動(dòng)策略生成和部署耦合的企業(yè)范圍的實(shí)時(shí)威脅可視化可能是有利的����。安全管理系統(tǒng)10將威脅聚合和可視化與能夠集中管理網(wǎng)絡(luò)2的網(wǎng)絡(luò)設(shè)備(包括��,安全設(shè)備5)的配置信息的底層設(shè)備管理系統(tǒng)集成�。例如,如本文中描述的安全管理系統(tǒng)10的各種實(shí)施方式和特征使管理員12能夠?yàn)g覽實(shí)時(shí)網(wǎng)絡(luò)流量信息并迅速診斷并諸如通過(guò)使管理員12能夠無(wú)縫地迅速阻止或暫時(shí)阻止給定用戶(hù)��、應(yīng)用、地理區(qū)域、其組合等的集合的網(wǎng)絡(luò)流量來(lái)防止攻擊����。安全管理系統(tǒng)10可以進(jìn)一步使管理員12能夠允許沒(méi)有威脅但可通過(guò)傳統(tǒng)技術(shù)以另外的方式阻止的網(wǎng)絡(luò)流量。因此�����,安全管理系統(tǒng)10使管理員12能夠無(wú)縫地更新��,例如����,構(gòu)建安全策略并將安全策略部署至安全設(shè)備5,這樣能夠阻止或允許特定源與目標(biāo)地址之間的包流�����,阻止或僅允許來(lái)自源地址的流量��,或者阻止或僅允許到目的地ip地址的流量�。
在圖2的實(shí)例中,安全管理系統(tǒng)10可以從安全設(shè)備5中的每一個(gè)接收數(shù)據(jù)包的詳細(xì)分析��。如在本文中進(jìn)一步描述的���,在一個(gè)實(shí)例中,例如�,安全設(shè)備5(諸如,ids或idp系統(tǒng))可以分析客戶(hù)端到服務(wù)器和服務(wù)器到客戶(hù)端的包流�,處理數(shù)據(jù)包以執(zhí)行應(yīng)用分類(lèi)從而識(shí)別應(yīng)用類(lèi)型和與每個(gè)包流相關(guān)聯(lián)的通信協(xié)議(例如,skype��、yahoomessenger����、bittorrent對(duì)等協(xié)議),對(duì)數(shù)據(jù)包執(zhí)行詳細(xì)分析以識(shí)別包流中的數(shù)據(jù)包內(nèi)的專(zhuān)用字段��。在圖2的實(shí)例中,安全管理系統(tǒng)10包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的威脅數(shù)據(jù)聚合器14以聚合關(guān)于在網(wǎng)絡(luò)內(nèi)檢測(cè)的任何威脅從一個(gè)或多個(gè)安全設(shè)備5接收的數(shù)據(jù)包的詳細(xì)分析��。
安全管理系統(tǒng)10可以用威脅數(shù)據(jù)聚合器14聚合威脅數(shù)據(jù)��,并可以存儲(chǔ)描述威脅數(shù)據(jù)庫(kù)16中的網(wǎng)絡(luò)流量中出現(xiàn)的每個(gè)有效包流的信息�����。威脅數(shù)據(jù)庫(kù)16可以存儲(chǔ)與每個(gè)有效包流相關(guān)聯(lián)的安全設(shè)備5的規(guī)格��,即�,低級(jí)信息,諸如���,源設(shè)備和目的地設(shè)備以及與包流相關(guān)聯(lián)的端口�����。此外�����,安全設(shè)備5可以識(shí)別在客戶(hù)機(jī)與服務(wù)器之間共同形成單一通信會(huì)話(huà)的包流對(duì)���。例如�,ids200可以將通信會(huì)話(huà)指定為在共享至少一些公共網(wǎng)絡(luò)地址����、端口以及協(xié)議的流的相反的方向上的包流對(duì)。在另一實(shí)例中����,如果安全設(shè)備5不提供系統(tǒng)更新,安全管理系統(tǒng)10可以向安全設(shè)備5輪詢(xún)通信信息���。
在圖2的實(shí)例中�����,管理員12可以瀏覽從安全設(shè)備5收集的、通過(guò)威脅數(shù)據(jù)聚合器14聚合的��、并存儲(chǔ)在威脅數(shù)據(jù)庫(kù)16中的���、如圖2中所示出的被格式化為例如列表�����、網(wǎng)格�����、圖表�、或地圖的聚合威脅數(shù)據(jù)。在本公開(kāi)的一方面中����,威脅數(shù)據(jù)聚合器14可以聚合ip流量信息并收集與威脅相關(guān)聯(lián)的各種相關(guān)信息,諸如���,威脅名稱(chēng)���、計(jì)數(shù)、開(kāi)始時(shí)間�、威脅嚴(yán)重性、源位置�����、源ip地址���、目的地位置���、目的地ip地址���、設(shè)備信息、攻擊種類(lèi)����、攻擊類(lèi)型、服務(wù)����、威脅的影響、以及采取的行動(dòng)���。威脅數(shù)據(jù)聚合器14可以進(jìn)一步聚合應(yīng)用使用數(shù)據(jù)值(諸如�����,往返于應(yīng)用的流量)以及用戶(hù)數(shù)據(jù)(諸如,帶寬和會(huì)話(huà))�。
安全管理系統(tǒng)10的威脅控制模塊17可以進(jìn)一步包括可視化模塊18以諸如在網(wǎng)格、圖表或地圖視圖中產(chǎn)生實(shí)時(shí)聚合威脅數(shù)據(jù)的各種過(guò)濾表示��?��?梢暬K18還可以應(yīng)用使用瀏覽或用戶(hù)使用瀏覽的形式生成實(shí)時(shí)聚合威脅數(shù)據(jù)的過(guò)濾表示��。威脅控制模塊17然后可以將所生成的聚合數(shù)據(jù)的圖形表示呈現(xiàn)給管理員12����,以用于交互并配置安全設(shè)備5。
如在圖2中示出的���,安全管理系統(tǒng)10還可以包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略/規(guī)則模塊20����,其中���,策略/規(guī)則模塊20可以基于由安全管理系統(tǒng)10自動(dòng)生成的或者由管理員12定義的并從威脅控制模塊17接收的配置信息生成用于安全設(shè)備5的配置信息�����。如將在本文中更詳細(xì)地論述的�,響應(yīng)于創(chuàng)建或修改安全策略的策略/規(guī)則模塊20�,安全管理系統(tǒng)10可以將配置參數(shù)存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中,以供審查和最終發(fā)布到提交策略數(shù)據(jù)庫(kù)24����。安全管理系統(tǒng)10還可以包括將安全策略的更新配置信息發(fā)送至安全設(shè)備5的策略部署引擎26。
通常,安全管理系統(tǒng)10的底層策略部署引擎26可以使用為所管理的安全設(shè)備5中的配置信息數(shù)據(jù)的管理設(shè)計(jì)的一個(gè)或多個(gè)網(wǎng)絡(luò)管理協(xié)議(諸如��,簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議(snmp)協(xié)議或網(wǎng)狀結(jié)構(gòu)協(xié)議(netconf)協(xié)議或其衍生物(諸如�,juniper設(shè)備管理接口))以管理安全設(shè)備5中的安全策略。在harrington等人�����,rfc3411�,“anarchitecturefordescribingsimplenetworkmanagementprotocol(snmp)managementframeworks,”網(wǎng)絡(luò)工作組,因特網(wǎng)工程任務(wù)組草案�,2002年12月(可在http://tools.ietf.org/html/rfc3411獲得)中可查找snmp協(xié)議的更多細(xì)節(jié),其全部?jī)?nèi)容通過(guò)引證結(jié)合于此����。在enns等人,rfc4741:“netconfconfigurationprotocol,”網(wǎng)絡(luò)工作組�����,因特網(wǎng)工程任務(wù)組草案���,2006年12月(可在http://tools.ietf.org/html/rfc4741獲得)中描述了netconf,通過(guò)引證將其結(jié)合于此�。使用網(wǎng)絡(luò)管理協(xié)議,安全管理系統(tǒng)10可以與允許安全管理系統(tǒng)10遍歷并修改所識(shí)別的安全設(shè)備5中的配置信息數(shù)據(jù)的一個(gè)或多個(gè)安全設(shè)備5建立配置會(huì)話(huà)9��。
圖3是示例性入侵防御系統(tǒng)(ids)200,其表示圖1的安全設(shè)備5中任一個(gè)的示例性實(shí)施方式����。如下所述,在本公開(kāi)的一個(gè)方面中���,ids200處理進(jìn)入和流出網(wǎng)絡(luò)2的網(wǎng)絡(luò)進(jìn)入和外出的包流并且對(duì)包流執(zhí)行深度包檢測(cè)以識(shí)別潛在的網(wǎng)絡(luò)威脅并將威脅信息以及應(yīng)用識(shí)別和流信息傳遞至安全管理系統(tǒng)10����。此外�,如下進(jìn)一步描述的,ids200從安全管理系統(tǒng)10接收策略以及其他配置數(shù)據(jù)并將這些策略應(yīng)用于網(wǎng)絡(luò)中的包流����。
在所示出的實(shí)例中,ids200包括透明地監(jiān)控進(jìn)入網(wǎng)絡(luò)流量224的轉(zhuǎn)發(fā)平面222并將網(wǎng)絡(luò)流量作為外出網(wǎng)絡(luò)流量226轉(zhuǎn)發(fā)���。在圖3示出的實(shí)例中����,轉(zhuǎn)發(fā)平面222包括流分析模塊225��、狀態(tài)檢查引擎228、協(xié)議解碼器230����、以及轉(zhuǎn)發(fā)組件231。
安全管理客戶(hù)端244提供根據(jù)一個(gè)或多個(gè)設(shè)備配置協(xié)議與安全管理系統(tǒng)10通信的配置接口245��。例如�,響應(yīng)于來(lái)自管理員12的輸入,安全管理系統(tǒng)10可以將通信輸出至配置接口245以更新策略247����,從而控制并配置ids200以監(jiān)控企業(yè)網(wǎng)絡(luò)2的特定子網(wǎng)絡(luò)并應(yīng)用從安全管理系統(tǒng)10接收的安全策略規(guī)則。作為另一個(gè)實(shí)例����,安全管理系統(tǒng)10可以提供并安裝指定攻擊定義233的策略247,在某些示例性方法中���,安全管理客戶(hù)端244將攻擊定義中繼至狀態(tài)檢查引擎228��。在一個(gè)實(shí)施方式中�,攻擊定義233可以是復(fù)雜的攻擊定義��。此外�����,安全管理系統(tǒng)10可以呈現(xiàn)一個(gè)用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以修改關(guān)于包流特征的假設(shè)����,諸如用于監(jiān)控的最高優(yōu)先權(quán)包流、用于應(yīng)用的端口綁定�、或確定與包流相關(guān)聯(lián)的協(xié)議和應(yīng)用類(lèi)型的其他特征。安全管理客戶(hù)端244可以經(jīng)由配置接口245接收前述信息���,以存儲(chǔ)在策略247中�,并將信息中繼至狀態(tài)檢查引擎228����,用于實(shí)時(shí)應(yīng)用于包流。
流分析模塊225接收進(jìn)入流量224并識(shí)別流量中的單獨(dú)的網(wǎng)絡(luò)流�����。每個(gè)網(wǎng)絡(luò)流表示在網(wǎng)絡(luò)流量中在一個(gè)方向上的數(shù)據(jù)包的流并由至少源地址���、目的地地址和通信協(xié)議識(shí)別���。流分析模塊225可以利用附加信息指定網(wǎng)絡(luò)流����,包括源媒體訪問(wèn)控制(“mac”)地址��、目的地mac地址�����、源端口��、以及目的地端口����。其他實(shí)例可以使用其他信息識(shí)別網(wǎng)絡(luò)流,諸如�����,ip地址���、應(yīng)用會(huì)話(huà)��、以及帶寬使用���。
流分析模塊225保持流表235中的數(shù)據(jù)���,該流表描述了網(wǎng)絡(luò)流量中出現(xiàn)的每個(gè)有效包流。流表235指定與每個(gè)有效包流相關(guān)聯(lián)的網(wǎng)絡(luò)元件���,即,低級(jí)信息����,諸如,源設(shè)備和目的地設(shè)備以及與包流相關(guān)聯(lián)的端口�����。此外���,流表235可以識(shí)別在客戶(hù)機(jī)與服務(wù)器之間共同形成單一通信會(huì)話(huà)的包流對(duì)�。例如�����,流表235可以將通信會(huì)話(huà)指定為在共享至少一些公共網(wǎng)絡(luò)地址�、端口以及協(xié)議的流的相反的方向上的包流對(duì)����。
如在下文更詳細(xì)地描述的����,狀態(tài)檢查引擎228檢查客戶(hù)端到服務(wù)器的包流以及服務(wù)器到客戶(hù)端的包流兩者,以便更準(zhǔn)確地識(shí)別每個(gè)通信會(huì)話(huà)的底層協(xié)議和應(yīng)用的類(lèi)型���。例如���,當(dāng)惡意用戶(hù)嘗試欺騙(即,模仿)一種類(lèi)型的應(yīng)用并改為使用另一個(gè)以試圖繞過(guò)ids時(shí)�����,這可能會(huì)有所幫助��。舉例來(lái)說(shuō)�,惡意用戶(hù)可以通過(guò)欺騙實(shí)際上使用http協(xié)議時(shí)請(qǐng)求的smtp試圖避開(kāi)ids。ids200可以從服務(wù)器的響應(yīng)確定原始的包流僅僅是試圖繞過(guò)ids200并且可以采取適當(dāng)?shù)膭?dòng)作���,諸如丟棄與該包流相關(guān)聯(lián)的未來(lái)數(shù)據(jù)包和/或向目標(biāo)設(shè)備報(bào)警該攻擊��。
在某些示例性方法中�,為了識(shí)別應(yīng)用的類(lèi)型,除了簽名之外��,ids200可以使用重新組裝的tcp分段中的最小數(shù)據(jù)尺寸��。一些應(yīng)用可需要最低量的數(shù)據(jù)��,這樣ids200可以通過(guò)確定包流是否包含所識(shí)別協(xié)議的足夠數(shù)據(jù)與惡意包流區(qū)分開(kāi)��。此外��,ids200可以不必識(shí)別每個(gè)應(yīng)用���。在一個(gè)實(shí)例中,當(dāng)應(yīng)用未知時(shí)���,ids200可僅轉(zhuǎn)發(fā)包流�。如果ids200不能識(shí)別給出的應(yīng)用�����,可以是因?yàn)閼?yīng)用不是惡意包流的典型目標(biāo)����。然而����,其他實(shí)例可以采用未識(shí)別應(yīng)用的其他動(dòng)作����,諸如丟棄將未知應(yīng)用作為目標(biāo)的所有的數(shù)據(jù)包或者將默認(rèn)簽名應(yīng)用于與未知應(yīng)用類(lèi)型相關(guān)聯(lián)的所有包流。其他實(shí)例還可以利用其他協(xié)議����,諸如,用戶(hù)數(shù)據(jù)報(bào)協(xié)議(udp)�;ids200因此可要求udp段的最小數(shù)據(jù)尺寸以便識(shí)別與udp段相關(guān)聯(lián)的應(yīng)用。
對(duì)于每個(gè)包流��,狀態(tài)檢查引擎228緩沖包流的副本并重新組裝所緩沖的包流以形成應(yīng)用層通信232���。例如�,狀態(tài)檢查引擎228可以將tcp分段重構(gòu)在應(yīng)用層通信232中�,應(yīng)用層通信代表協(xié)議特定的消息。
狀態(tài)檢查引擎228基于確定來(lái)分析應(yīng)用層通信232的識(shí)別的應(yīng)用類(lèi)型來(lái)調(diào)用一個(gè)合適的協(xié)議解碼器230����。協(xié)議解碼器230代表一個(gè)或多個(gè)協(xié)議特定的軟件模塊的集合。協(xié)議解碼器230中的每一個(gè)對(duì)應(yīng)于不同的通信協(xié)議或服務(wù)。協(xié)議解碼器230可以支持的通信協(xié)議的實(shí)例包括超級(jí)文本傳輸協(xié)議(“http”)����、文件傳輸協(xié)議(“ftp”)、網(wǎng)絡(luò)新聞傳輸協(xié)議(“nntp”)���、簡(jiǎn)單郵件傳輸協(xié)議(“smtp”)�、遠(yuǎn)程登錄�、域名系統(tǒng)(“dns”)、系統(tǒng)(gopher)�����、查找器(finger)�、郵局協(xié)議(“pop”)���、安全套接層(“ssl”)協(xié)議�����、輕量級(jí)目錄訪問(wèn)協(xié)議(“l(fā)dap”)�����、安全shell(“ssh”)����、服務(wù)器消息塊(“smb”)和其他協(xié)議。
協(xié)議解碼器230分析重新組裝的應(yīng)用層通信232并輸出識(shí)別應(yīng)用層事務(wù)的事務(wù)數(shù)據(jù)234����。具體地,事務(wù)數(shù)據(jù)234指示兩個(gè)同級(jí)設(shè)備之間的一系列相關(guān)應(yīng)用層通信何時(shí)開(kāi)始和結(jié)束�����。
狀態(tài)檢查引擎228從協(xié)議解碼器230接收事務(wù)數(shù)據(jù)234���、應(yīng)用層元件236和協(xié)議異常的數(shù)據(jù)238���。狀態(tài)檢查引擎228將策略247(例如,攻擊定義233或其他規(guī)則)應(yīng)用于協(xié)議特定的應(yīng)用層元件236和異常的數(shù)據(jù)238以檢測(cè)并防止網(wǎng)絡(luò)攻擊和其他安全風(fēng)險(xiǎn)�。
如果檢測(cè)到安全風(fēng)險(xiǎn),狀態(tài)檢查引擎228向安全管理客戶(hù)端244輸出警報(bào)240����,用以記錄并進(jìn)一步分析為威脅數(shù)據(jù)249。例如�,威脅數(shù)據(jù)249可以包括來(lái)自已被識(shí)別為潛在威脅的那些包流的流表235的包流識(shí)別信息。此外,對(duì)于包流中的每一個(gè)�����,威脅數(shù)據(jù)249可以存儲(chǔ)由識(shí)別與包流相關(guān)聯(lián)的應(yīng)用層應(yīng)用的類(lèi)型的流分析模塊225提供的應(yīng)用分類(lèi)信息�����。此外��,對(duì)于包流中的每一個(gè)����,威脅數(shù)據(jù)249可以包括來(lái)自表征特定類(lèi)型的威脅的狀態(tài)檢查引擎228的威脅信息,諸如���,觸發(fā)將包流分類(lèi)為威脅的一個(gè)或多個(gè)策略的各個(gè)包流的所識(shí)別的模式�、異?���;蚱渌刭|(zhì)����。
安全管理客戶(hù)端244將關(guān)于當(dāng)前所檢測(cè)的安全風(fēng)險(xiǎn)的威脅數(shù)據(jù)249中繼到安全管理系統(tǒng)10。此外,狀態(tài)檢查引擎228可以采用附加動(dòng)作��,諸如丟棄與通信會(huì)話(huà)相關(guān)聯(lián)的數(shù)據(jù)包�����、自動(dòng)結(jié)束通信會(huì)話(huà)或其他動(dòng)作���。如果對(duì)于給定應(yīng)用層通信會(huì)話(huà)沒(méi)有檢測(cè)到安全風(fēng)險(xiǎn)��,轉(zhuǎn)發(fā)組件231繼續(xù)在同級(jí)(peer)之間轉(zhuǎn)發(fā)包流�。例如����,轉(zhuǎn)發(fā)組件231可以根據(jù)轉(zhuǎn)發(fā)包流中使用的企業(yè)網(wǎng)絡(luò)的拓?fù)鋪?lái)維護(hù)存儲(chǔ)路由的路由表。在題為“attackdetectionandpreventionusingglobaldevicefingerprinting”的美國(guó)專(zhuān)利9,106,693中進(jìn)一步描述了idp和ids設(shè)備的操作����,其論述通過(guò)引證結(jié)合于本文中。
圖4a-圖4c示出了在本公開(kāi)的各個(gè)方面中由安全管理系統(tǒng)10生成的示例性用戶(hù)接口以向管理員12呈現(xiàn)聚合的威脅數(shù)據(jù)的表示��。安全管理系統(tǒng)10的威脅控制模塊17可以在各種圖形表示中呈現(xiàn)動(dòng)態(tài)威脅動(dòng)畫(huà)并呈現(xiàn)可以用于組織網(wǎng)絡(luò)事件和相關(guān)聯(lián)的威脅數(shù)據(jù)的用戶(hù)接口�����。
圖4a示出了由安全管理系統(tǒng)10生成的示例性用戶(hù)接口,通過(guò)該用戶(hù)接口管理員12可以在地圖視圖中瀏覽威脅的實(shí)時(shí)威脅圖形表示����。例如,可視化模塊18可以生成與安全域(例如����,企業(yè)或服務(wù)供應(yīng)商網(wǎng)絡(luò))相關(guān)聯(lián)的地圖400(在此,世界地圖)的圖形表示并顯示統(tǒng)計(jì)數(shù)值����,諸如,總威脅計(jì)數(shù)401�、總?cè)肭址烙到y(tǒng)(ips)事件402、總反病毒(av)事件403�����、總反垃圾郵件事件404���、總設(shè)備授權(quán)405(例如�,成功的和/或不成功的登錄)�����、靠前的目的地設(shè)備406�、靠前的目的地國(guó)家407、靠前的源設(shè)備408���、靠前的來(lái)源國(guó)(未示出)���、以及與聚合威脅相關(guān)聯(lián)的其他信息。在一個(gè)實(shí)施方式中��,可視化模塊18可以生成實(shí)時(shí)威脅聚合的表示以包括與威脅相關(guān)聯(lián)的一個(gè)或多個(gè)可變圖形指示符(例如���,顏色代碼���、線厚度變化、尺寸變化)以代表威脅的改變的量級(jí)或種類(lèi)���。例如�,來(lái)自安全設(shè)備5a的威脅可以用一種顏色表示�,而來(lái)自安全設(shè)備5b的威脅可以用另一種顏色表示;或者具有較大量的威脅可以用一種顏色表示�,而較小量可以用另外的顏色表示。在另一個(gè)方法中�,可視化模塊18可以用連接源和目的地ip地址的線生成聚合的威脅數(shù)據(jù)的圖形表示���。線的直觀表示(例如,厚度���、顏色等)可以表示源ip地址于目的地ip地址之間的流量的量級(jí)(例如�,流量的量�、攻擊數(shù)目等)。
圖4b示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶(hù)接口���,通過(guò)該用戶(hù)接口管理員12可以瀏覽應(yīng)用使用的聚合威脅數(shù)據(jù)�����。在一個(gè)實(shí)例中�,威脅數(shù)據(jù)聚合器14可以聚合已被安全設(shè)備5識(shí)別為特定軟件應(yīng)用的包流的威脅數(shù)據(jù)��,其中用戶(hù)接口提供表示與不同類(lèi)型的應(yīng)用相關(guān)聯(lián)的使用(諸如�����,與應(yīng)用的多個(gè)用戶(hù)對(duì)話(huà)和/或由應(yīng)用消耗的帶寬)的圖形指示符��?��?梢暬K18可以生成與應(yīng)用使用相關(guān)聯(lián)的聚合威脅數(shù)據(jù)的圖形表示�����,諸如�,圖4b中的示例性圖表視圖��。在另一方法中����,可視化模塊18可以用圖形指示符421(例如,可變的尺寸和/或顏色)生成聚合威脅數(shù)據(jù)的圖形表示�,圖形指示符可以表示應(yīng)用使用的幅度和/或威脅的嚴(yán)重程度(例如,從應(yīng)用使用中消耗的帶寬��、會(huì)話(huà)的數(shù)量等)�。威脅控制模塊17然后可以基于種類(lèi)(例如,網(wǎng)絡(luò)411�����、多媒體412�����、消息413、社交414�、和/或基礎(chǔ)設(shè)施415)呈現(xiàn)顯示靠前的會(huì)話(huà)或應(yīng)用的帶寬使用的聚合威脅數(shù)據(jù)的圖形表示。威脅控制模塊17可以基于特征(例如���,生產(chǎn)率的損失416����、容易誤用417�、可泄漏信息418、支持文件傳輸419���、和/或消耗的帶寬420)進(jìn)一步呈現(xiàn)顯示靠前的會(huì)話(huà)或應(yīng)用的帶寬使用的接口�����,并且響應(yīng)于檢測(cè)威脅來(lái)配置安全設(shè)備5�。
例如���,圖4b在圖表視圖中示出了示例性接口�,圖表視圖顯示通過(guò)應(yīng)用使用聚合的以及通過(guò)風(fēng)險(xiǎn)分組的威脅數(shù)據(jù)�����。具體地,圖4b示出了顯示各種應(yīng)用和各種圖形指示符421的示例性圖表���。在圖4b中�,例如���,具有更大尺寸的氣泡的應(yīng)用可以表示更高的應(yīng)用的會(huì)話(huà)數(shù)量。氣泡的顏色(諸如�����,紅色���、橙色���、和黃色)可以表示威脅的嚴(yán)重程度。在一些示例性方法中��,下拉菜單429用于選擇是否通過(guò)風(fēng)險(xiǎn)或通過(guò)其他參數(shù)對(duì)應(yīng)用圖標(biāo)進(jìn)行分組�����,同時(shí)設(shè)備選擇下拉菜單430允許威脅控制模塊對(duì)示出的特定設(shè)備5的顯示進(jìn)行過(guò)濾。威脅控制模塊17還可以呈現(xiàn)用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)創(chuàng)建安全策略的響應(yīng)����。
圖4c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶(hù)接口,通過(guò)該用戶(hù)接口管理員12可以基于用戶(hù)使用來(lái)瀏覽聚合威脅數(shù)據(jù)����。在一個(gè)實(shí)例中,威脅數(shù)據(jù)聚合器14可以從安全設(shè)備5中聚合與網(wǎng)絡(luò)用戶(hù)的應(yīng)用使用(諸如�,與應(yīng)用的會(huì)話(huà)數(shù)量和/或特定用戶(hù)消耗的帶寬)相關(guān)聯(lián)的威脅數(shù)據(jù)?��?梢暬K18可以在以上的圖4a或圖4b中示出的方式生成與特定用戶(hù)的應(yīng)用使用相關(guān)聯(lián)的聚合威脅數(shù)據(jù)的圖形表示���。在一個(gè)示例性方法中,威脅控制模塊17可以呈現(xiàn)覆蓋顯示靠前的網(wǎng)絡(luò)用戶(hù)使用的聚合威脅數(shù)據(jù)的圖形表示的用戶(hù)接口�����。
例如�����,圖4c在顯示通過(guò)網(wǎng)絡(luò)用戶(hù)使用聚合的威脅數(shù)據(jù)的網(wǎng)格視圖中示出了示例性接口。具體地�����,圖4c示出了顯示各個(gè)網(wǎng)絡(luò)用戶(hù)及他們使用的靠前的應(yīng)用的示例性網(wǎng)格��。在一個(gè)方法中���,可視化模塊18可以進(jìn)一步生成網(wǎng)絡(luò)使用的圖形表示���,包括有關(guān)靠前的用戶(hù)422�����、靠前的應(yīng)用423����、用戶(hù)的姓名424、會(huì)話(huà)的總數(shù)425�、消耗的帶寬426、和/或使用靠前的應(yīng)用427的信息�。威脅控制模塊17還可以呈現(xiàn)用戶(hù)接口(例如,復(fù)選框428)��,通過(guò)該用戶(hù)接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)創(chuàng)建安全策略的響應(yīng)。
圖5a-圖5e示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶(hù)接口��,以向管理員12呈現(xiàn)與威脅相關(guān)聯(lián)的過(guò)濾的事件數(shù)據(jù)的表示��?�?梢暬K18可以基于來(lái)自管理員12的用戶(hù)接口元件的選擇生成各個(gè)視圖中經(jīng)過(guò)濾的威脅數(shù)據(jù)的各種過(guò)濾表示���,諸如�,網(wǎng)格�����、圖表�、以及地圖視圖。安全管理10的威脅控制模塊17可以向管理員12呈現(xiàn)用戶(hù)接口以選擇特定用戶(hù)接口元件���,諸如�����,來(lái)自實(shí)時(shí)威脅聚合的表示的數(shù)據(jù)�����,以向下挖掘在由可視化模塊18生成的經(jīng)過(guò)濾的威脅數(shù)據(jù)(覆蓋聚合表示)的過(guò)濾表示中顯示的額外的威脅細(xì)節(jié)����。例如,如在圖5a中示出的�����,管理員12可以從實(shí)時(shí)威脅地圖中選擇國(guó)家或其他指定地理位置以瀏覽與威脅相關(guān)聯(lián)的過(guò)濾數(shù)據(jù)的網(wǎng)格���,諸如����,威脅名稱(chēng)501���、威脅計(jì)數(shù)502、開(kāi)始時(shí)間503��、威脅嚴(yán)重程度504�����、源位置505���、源ip地址506�、目的地位置507、目的地ip地址508����、威脅種類(lèi)509、威脅類(lèi)型510���、服務(wù)511�、影響512��、以及威脅動(dòng)作狀態(tài)513(例如�����,允許或阻止)��。威脅名稱(chēng)501可以包括潛在惡意活動(dòng)的名稱(chēng)��,諸如��,病毒名稱(chēng)或惡意軟件名稱(chēng)�����。計(jì)數(shù)502可以包括表示在安全設(shè)備5中反復(fù)出現(xiàn)的威脅的數(shù)目的計(jì)數(shù)器。開(kāi)始時(shí)間503可以包括威脅的時(shí)間和日期信息��。嚴(yán)重程度504可以包括有關(guān)威脅的嚴(yán)重程度的等級(jí)的信息并且可以作為圖形或數(shù)值表示顯示����。源位置505可以包括有關(guān)攻擊所發(fā)起的位置的信息。源位置可以進(jìn)一步包括粒度更精細(xì)的點(diǎn)�����,諸如�����,與源ip地址相關(guān)聯(lián)的組織名稱(chēng)����,或者與源相關(guān)聯(lián)的國(guó)家、州�、城市、或其他指定位置���。源ip地址506可以包括可疑威脅所起源的計(jì)算機(jī)系統(tǒng)的ip地址。目的地位置507可以包括有關(guān)攻擊所出現(xiàn)的位置的信息�����。目的地位置可以進(jìn)一步包括更精細(xì)的粒度點(diǎn),諸如����,國(guó)家、州��、城市���、或者其他特定位置����。目的地ip地址508可以包括被可疑攻擊當(dāng)作目標(biāo)的計(jì)算機(jī)系統(tǒng)的因特網(wǎng)協(xié)議地址����。種類(lèi)509可以包括有關(guān)惡意活動(dòng)的信息,惡意活動(dòng)包括惡意軟件的形式(例如��,病毒�����、蠕蟲(chóng)、木馬)����。攻擊類(lèi)型510可以包括有關(guān)威脅類(lèi)型的信息,諸如����,簽名或組合(compound)。服務(wù)511可以包括有關(guān)攻擊所使用的協(xié)議的信息�����,包括超級(jí)文本傳輸協(xié)議(http)或網(wǎng)絡(luò)控制報(bào)文協(xié)議(icmp)��。威脅影響512可以包括威脅可具有的影響等級(jí)(例如�����,高或低)�。威脅動(dòng)作狀態(tài)513可以包括有關(guān)允許還是阻止威脅的信息。在一些圖形表示中���,用戶(hù)可用以上信息對(duì)威脅進(jìn)行過(guò)濾��。威脅控制模塊17還可以為管理員12呈現(xiàn)用戶(hù)接口��,以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許所選擇的威脅的流量��。
如在圖5b的實(shí)例中示出的���,可視化模塊18還可以在圖表視圖中生成聚合威脅數(shù)據(jù)的過(guò)濾表示,圖表視圖呈現(xiàn)與所選擇的用戶(hù)接口元件相關(guān)聯(lián)的過(guò)濾威脅數(shù)據(jù)�,諸如,地理位置��。在示出的實(shí)例中�����,接口覆蓋(overlay)威脅的地圖視圖表示���。當(dāng)選擇指定國(guó)家時(shí)�����,可視化模塊18可以生成聚合威脅數(shù)據(jù)的過(guò)濾表示和各種圖表中感興趣的過(guò)濾威脅細(xì)節(jié)���,諸如,來(lái)源國(guó)521�、源ip地址522、目的地設(shè)備523、進(jìn)來(lái)的病毒/蠕蟲(chóng)524����、進(jìn)來(lái)的ips攻擊525、具有進(jìn)來(lái)的ddos攻擊的設(shè)備526���、或其他威脅細(xì)節(jié)�。在一個(gè)實(shí)例中����,管理員12可以從實(shí)時(shí)威脅聚合表示選擇國(guó)家(例如,美國(guó))���,以瀏覽與作為目的地或源的所選擇的國(guó)家相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)���。如在圖5b中示出的,威脅控制模塊17可以呈現(xiàn)由可視化模塊18生成的用戶(hù)接口����,通過(guò)該用戶(hù)接口管理員12可以瀏覽并進(jìn)一步與過(guò)濾威脅細(xì)節(jié)交互并選擇附加信息的各種過(guò)濾威脅細(xì)節(jié)。威脅控制模塊17還可以呈現(xiàn)用戶(hù)接口���,通過(guò)該用戶(hù)接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許圖表視圖中選擇的流量�。
圖5c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的另一示例性用戶(hù)接口,用戶(hù)接口可以在與基于地理的威脅相關(guān)聯(lián)的過(guò)濾事件數(shù)據(jù)的地圖視圖上向管理員12呈現(xiàn)圖形表示��??梢暬K18可以生成聚合威脅數(shù)據(jù)的地圖表示并也包括與管理員12選擇的位置相關(guān)聯(lián)的過(guò)濾威脅數(shù)據(jù)。如在圖5c中示出的�����,威脅控制模塊17可以向管理員12呈現(xiàn)接口以瀏覽并進(jìn)一步與附加過(guò)濾細(xì)節(jié)交互并且選擇性地阻止或允許與近似地理位置相關(guān)聯(lián)的流量或流量的類(lèi)型�。在與威脅相關(guān)聯(lián)的過(guò)濾表示的一個(gè)實(shí)例中����,過(guò)濾細(xì)節(jié)可以包括與特定國(guó)家相關(guān)聯(lián)的總事件531、允許的事件532��、以及阻止的事件533����。在另一實(shí)例中,可以呈現(xiàn)來(lái)自源ip地址或目的地ip地址的威脅數(shù)據(jù)���。威脅動(dòng)作響應(yīng)560允許用戶(hù)阻止直接來(lái)自威脅細(xì)節(jié)接口的流量�。
圖5d示出了由安全管理系統(tǒng)10生成的另一示例性用戶(hù)接口����,該用戶(hù)接口可以在圖表視圖中向管理員12呈現(xiàn)與所選擇的應(yīng)用有關(guān)的聚合威脅數(shù)據(jù)的過(guò)濾表示���。在一個(gè)實(shí)例中,可視化模塊18可以從威脅的聚合表示中生成與所選擇的應(yīng)用相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)的過(guò)濾表示�。威脅控制模塊17可以呈現(xiàn)用戶(hù)接口,通過(guò)該用戶(hù)接口管理員12可以選擇用戶(hù)接口元件�,諸如,來(lái)自實(shí)時(shí)威脅的聚合表示的特定應(yīng)用����,向下挖掘與應(yīng)用使用相關(guān)聯(lián)的附加威脅細(xì)節(jié),諸如����,在特定時(shí)間量中的應(yīng)用的會(huì)話(huà)數(shù)目541,應(yīng)用的種類(lèi)542(例如���,網(wǎng)絡(luò)�����、多媒體�����、消息��、社交�、基礎(chǔ)設(shè)施)、表示威脅的特征543(例如�����,生產(chǎn)率損失���、易于誤用、會(huì)泄漏信息��、支持文件傳輸����、所消耗的帶寬)、在特定時(shí)間量中使用的總字節(jié)544��、應(yīng)用的子種類(lèi)545(例如����,社交網(wǎng)絡(luò))、風(fēng)險(xiǎn)水平546��、和/或應(yīng)用547的靠前的用戶(hù)。威脅控制模塊17還可以呈現(xiàn)用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許來(lái)自特定應(yīng)用的流量�。在圖5d中示出的實(shí)例中,威脅動(dòng)作響應(yīng)560允許管理員阻止直接來(lái)自威脅細(xì)節(jié)接口的流量�。
在一個(gè)示例性方法中,威脅控制模塊17顯示圖標(biāo)反映參數(shù)���,諸如����,特定應(yīng)用的會(huì)話(huà)的數(shù)目或應(yīng)用所使用的帶寬�����,并且管理員可以阻止與應(yīng)用相關(guān)聯(lián)的流量��,或者對(duì)應(yīng)用進(jìn)行速率限制����。
在另一示例性方法中,威脅控制模塊17顯示圖標(biāo)反映參數(shù)����,諸如��,特定用戶(hù)的會(huì)話(huà)的數(shù)目或用戶(hù)使用的帶寬�����,并且管理員可以阻止該用戶(hù)的特定流量���,或者對(duì)用戶(hù)進(jìn)行速率限制。
在又一示例性方法中�����,威脅控制模塊17顯示圖標(biāo)反映參數(shù)�����,諸如�����,用于特定用戶(hù)或特定設(shè)備的每個(gè)應(yīng)用的會(huì)話(huà)的數(shù)目或者由用戶(hù)或特定設(shè)備使用的每個(gè)應(yīng)用的帶寬�,并且管理員可以阻止該用戶(hù)或設(shè)備的特定應(yīng)用的流量����,或?qū)τ谔囟☉?yīng)用對(duì)用戶(hù)或設(shè)備進(jìn)行速率限制����。
圖5e示出了由安全管理系統(tǒng)10生成的另一示例性用戶(hù)接口��,該用戶(hù)接口可以在網(wǎng)格視圖中向管理員12呈現(xiàn)與應(yīng)用的用戶(hù)使用有關(guān)的過(guò)濾威脅細(xì)節(jié)的過(guò)濾表示�。在一個(gè)實(shí)例中,可視化模塊18可以生成與所選擇的網(wǎng)絡(luò)用戶(hù)相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)的過(guò)濾表示�����。威脅控制模塊17可以呈現(xiàn)用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以選擇用戶(hù)接口元件����,諸如,來(lái)自實(shí)時(shí)威脅的聚合表示的特定用戶(hù)��,向下挖掘與網(wǎng)絡(luò)用戶(hù)相關(guān)聯(lián)的過(guò)濾威脅細(xì)節(jié)�����,諸如����,用戶(hù)名551��、用戶(hù)進(jìn)行的會(huì)話(huà)數(shù)目552�、用戶(hù)消耗的帶寬553���、用戶(hù)角色554��、上次會(huì)話(huà)的日期與時(shí)間555����、以及上次看到的ip556��。在另一實(shí)例中����,圖5e的用戶(hù)接口還可以包括基于一段時(shí)間558所選擇的用戶(hù)使用的靠前的應(yīng)用557。威脅控制模塊17還可以為管理員12呈現(xiàn)用戶(hù)接口��,以根據(jù)受影響的安全設(shè)備5選擇自動(dòng)生成安全策略的響應(yīng)從而阻止或允許來(lái)自特定用戶(hù)的流量����。在圖5e中示出的實(shí)例中,威脅動(dòng)作響應(yīng)560允許管理員阻止直接來(lái)自用戶(hù)威脅細(xì)節(jié)接口的流量。
安全管理系統(tǒng)10也可以呈現(xiàn)用戶(hù)接口���,通過(guò)該用戶(hù)接口管理員12可以與由安全管理系統(tǒng)10再現(xiàn)的過(guò)濾威脅細(xì)節(jié)和實(shí)時(shí)威脅的聚合表示交互�,并且響應(yīng)于交互�,集成安全管理系統(tǒng)10可以識(shí)別相關(guān)安全設(shè)備5集合,使用策略/規(guī)則模塊20自動(dòng)為安全設(shè)備5構(gòu)建具有策略中的有序規(guī)則的更新的策略��,并使用底層安全管理系統(tǒng)10的策略部署引擎26自動(dòng)傳遞策略并將策略安裝在安全設(shè)備5中����。
如前所述,安全管理系統(tǒng)10可以通過(guò)威脅控制模塊17提供系統(tǒng)和接口�����,管理員12可以用該接口瀏覽實(shí)時(shí)威脅并迅速評(píng)估與威脅相關(guān)聯(lián)的過(guò)濾威脅數(shù)據(jù)�����,以進(jìn)行綜合分析��。響應(yīng)于實(shí)時(shí)威脅�����,管理員12可以響應(yīng)于所檢測(cè)的威脅引導(dǎo)安全管理系統(tǒng)10自動(dòng)創(chuàng)建安全策略�����,以部署到安全設(shè)備5。例如����,安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)接口以使得管理員12能夠在多個(gè)安全設(shè)備5中的一個(gè)安全設(shè)備的當(dāng)前策略中插入新規(guī)則,以為安全設(shè)備5配置更新的策略����,并刪除或改變現(xiàn)有規(guī)則的排序。
在一個(gè)實(shí)例中�,管理員12可以選擇從實(shí)時(shí)威脅聚合表示中瀏覽過(guò)濾威脅細(xì)節(jié)。安全管理系統(tǒng)10然后可以呈現(xiàn)用戶(hù)接口���,通過(guò)該用戶(hù)接口管理員12可以基于過(guò)濾威脅細(xì)節(jié)自動(dòng)創(chuàng)建用于受影響的安全設(shè)備5的安全策略�。例如��,在圖5a中���,威脅控制模塊17可以呈現(xiàn)用戶(hù)接口�����,通過(guò)該用戶(hù)接口管理員12可以選擇威脅名稱(chēng)501,應(yīng)用:tun:tor-1并且可以選擇威脅動(dòng)作響應(yīng)560,以便在威脅的任何圖形表示中阻止來(lái)自源ip地址或去往源ip地址的流量����,以阻止去往源ip地址和來(lái)自源ip地址的流量?jī)烧撸瑑H阻止來(lái)自源ip地址的流量�,或者僅阻止去往源ip地址的流量。管理員12可以響應(yīng)于從威脅的圖形表示檢測(cè)特定威脅來(lái)選擇阻止或允許流量�����。
在另一實(shí)例中����,管理員12可以在圖表視圖(例如,圖5b)中的圖形表示中選擇源ip地址以瀏覽與所選擇的源ip地址相關(guān)聯(lián)的威脅數(shù)據(jù)(例如�,在與圖5a相似的接口中)。管理員12可以從圖表視圖中的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)以阻止或允許流量����,圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶(hù)接口。
在另一實(shí)例中����,管理員12可以在地圖視圖(例如,圖5c)中的圖形表示中選擇國(guó)家以瀏覽與所選擇的地理位置相關(guān)聯(lián)的威脅數(shù)據(jù)����。管理員12可以直接從圖表視圖中的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以阻止或允許流量����,圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶(hù)接口�。在其他實(shí)例中,管理員12可以用更細(xì)微粒度選擇位置����,諸如,州�、城市、以及其他地區(qū)��。
在另一實(shí)例中��,管理員12可以在顯示通過(guò)應(yīng)用使用聚合的威脅數(shù)據(jù)的圖表視圖中的圖形表示中選擇特定應(yīng)用以瀏覽與所選擇的應(yīng)用相關(guān)聯(lián)的補(bǔ)充細(xì)節(jié)(例如��,圖5d)��。管理員12可以從圖表視圖中的圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以阻止或允許流量���,圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶(hù)接口���。
在另一實(shí)例中���,管理員12可以在顯示通過(guò)應(yīng)用使用聚合的威脅數(shù)據(jù)的圖表視圖中的圖形表示中選擇特定網(wǎng)絡(luò)用戶(hù)以瀏覽與所選擇的網(wǎng)絡(luò)用戶(hù)相關(guān)聯(lián)的補(bǔ)充細(xì)節(jié)(例如����,圖5e)。管理員12可以從圖形表示中進(jìn)一步選擇威脅動(dòng)作響應(yīng)560以阻止或允許流量���,圖形表示將會(huì)將管理員12導(dǎo)航至由安全管理系統(tǒng)10的威脅控制模塊17呈現(xiàn)的另一用戶(hù)接口�。
圖6a-圖6c示出了在本公開(kāi)的各個(gè)方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以審查并自動(dòng)發(fā)布所創(chuàng)建的與安全策略相關(guān)聯(lián)的規(guī)則����。在一個(gè)實(shí)例中,圖6a-圖6c可以是覆蓋威脅或過(guò)濾威脅數(shù)據(jù)的表示的接口���。響應(yīng)于選擇威脅動(dòng)作響應(yīng)560以阻止或允許與威脅有關(guān)的流量�,安全管理系統(tǒng)10可以生成接口�����,通過(guò)該接口管理員12可以配置用于阻止或允許流量的自動(dòng)生成的修改策略�����,如在圖6a中示出的。圖6a示出了在本公開(kāi)的一方面中呈現(xiàn)給管理員12的示例性用戶(hù)接口以瀏覽并選擇性地部署自動(dòng)生成的安全策略����。用戶(hù)接口使管理員12能夠選擇性地部署用于對(duì)安全設(shè)備5進(jìn)行配置的任意或全部自動(dòng)生成的策略。在該實(shí)例中�����,在本公開(kāi)的一方面中����,安全管理系統(tǒng)10響應(yīng)于選擇威脅動(dòng)作響應(yīng)560自動(dòng)生成的對(duì)多個(gè)安全策略中的每一個(gè)中的有序規(guī)則集的修改包括修改內(nèi)部的規(guī)則并對(duì)策略中的規(guī)則進(jìn)行排序,以阻止來(lái)自和/或去往源ip地址的流量�。
圖6a的示例性接口可以提供自動(dòng)生成的修改策略的列表以供選擇。在一個(gè)實(shí)例中��,圖6a的用戶(hù)接口可以向管理員12提供關(guān)于創(chuàng)建的策略的信息601��、添加的規(guī)則的數(shù)目602���、策略所應(yīng)用的設(shè)備5的數(shù)目603�����、以及具有等待與策略變化有關(guān)的更新的設(shè)備5的數(shù)目604����。在另一實(shí)例中,可以檢索存儲(chǔ)在提交數(shù)據(jù)庫(kù)26中的受影響的安全設(shè)備5的預(yù)先存在的安全策略和相關(guān)信息并呈現(xiàn)給管理員12進(jìn)行進(jìn)一步的審查����。在另一實(shí)例中����,圖6a的接口還可以包括與受影響的設(shè)備相關(guān)聯(lián)的信息,受影響的設(shè)備已調(diào)用先前持續(xù)時(shí)間(例如���,月����、周����、日等)之內(nèi)的策略。
如在圖6b中示出的���,安全管理系統(tǒng)10的威脅控制模塊17還可以響應(yīng)于特定策略的選擇呈現(xiàn)接口以配置與所選擇的威脅相關(guān)聯(lián)的策略規(guī)則�。圖6b示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性用戶(hù)接口,通過(guò)該用戶(hù)接口管理員12瀏覽由安全管理系統(tǒng)10生成的給定策略的自動(dòng)創(chuàng)建的特定規(guī)則�����。例如�,如在圖6b中示出的,管理員12可以選擇圖6a的接口內(nèi)的特定策略并且可以進(jìn)一步創(chuàng)建��、編輯����、刪除、或排序防火墻策略的一個(gè)或多個(gè)規(guī)則����。在一個(gè)實(shí)例中,自動(dòng)生成的規(guī)則可以建議將規(guī)則放置在生成的安全策略中����。在另一實(shí)例中,圖6b的接口可以向管理員12呈現(xiàn)指定或修改規(guī)則的順序的選項(xiàng)611���,規(guī)則的名稱(chēng)612���,限定源區(qū)域613和/或目的地區(qū)域615可以信任還是不能信任��,限定規(guī)則適用的源地址614和/或目的地址616���,限定規(guī)則的服務(wù)617、限定規(guī)則選項(xiàng)618����、或者限定安全策略619中規(guī)則的動(dòng)作,以便允許或拒絕流量���。例如,管理員12可以使用圖6b中的由威脅控制模塊17呈現(xiàn)的接口以指定“規(guī)則2”和“規(guī)則3”分別具有808和809的序列號(hào)�����,并指定動(dòng)作以拒絕策略ccc的ip流量��。
如在圖2中示出的����,安全管理系統(tǒng)10還可以包括在安全管理系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略/規(guī)則模塊20,其中�����,策略/規(guī)則模塊20可以基于由安全管理系統(tǒng)10自動(dòng)生成的或者由管理員12定義的并從威脅控制模塊17接收的配置信息生成用于安全設(shè)備5的配置信息。響應(yīng)于創(chuàng)建或修改安全策略的策略/規(guī)則模塊20�����,安全管理系統(tǒng)10可以將配置參數(shù)存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中�。
安全管理系統(tǒng)10的威脅控制模塊17還可以響應(yīng)于特定設(shè)備的選擇(如在圖6a中示出的)呈現(xiàn)接口,通過(guò)該接口管理員12可以瀏覽有關(guān)與所選擇的威脅相關(guān)聯(lián)的安全設(shè)備5的信息�����,如在圖6c中示出的���。圖6c示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性用戶(hù)接口���,通過(guò)該用戶(hù)接口管理員12可以瀏覽與受自動(dòng)創(chuàng)建的安全策略影響的設(shè)備相關(guān)聯(lián)的安全設(shè)備細(xì)節(jié)。威脅控制模塊17可以呈現(xiàn)一接口��,其具有安全策略和存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22和/或提交策略數(shù)據(jù)庫(kù)24中的設(shè)備信息�。在一個(gè)實(shí)例中,圖6c的接口可以包括設(shè)備名稱(chēng)621�����、域622、管理狀態(tài)623��、連接狀態(tài)624����、策略類(lèi)型625、以及增量(delta)配置626�����。增量配置可以包括對(duì)命令行接口(cli)的訪問(wèn)和/或設(shè)備的可擴(kuò)展標(biāo)記語(yǔ)言(xml)配置�。例如,安全管理系統(tǒng)10的威脅控制模塊17可以進(jìn)一步響應(yīng)于設(shè)備的增量配置的選擇(如在圖6c中所示)呈現(xiàn)接口��,通過(guò)該接口管理員12可以瀏覽所選擇的設(shè)備的cli和/或xml配置(如在圖6d中所示)�����。
圖7a-7k示出了在本公開(kāi)的各個(gè)方面中由安全管理系統(tǒng)10生成的示例性用戶(hù)接口�,通過(guò)該用戶(hù)接口管理員12可以配置安全策略的規(guī)則放置��。如圖2中所示��,安全管理系統(tǒng)10的策略/規(guī)則模塊20可以包括基于規(guī)則異?����;蛞?guī)則類(lèi)型的分析提供最佳規(guī)則放置的規(guī)則分析模塊30。當(dāng)安全管理系統(tǒng)10基于所檢測(cè)的威脅事件自動(dòng)創(chuàng)建規(guī)則時(shí)���,安全管理系統(tǒng)10還可以呈現(xiàn)接口��,通過(guò)該接口管理員12可以進(jìn)一步配置所創(chuàng)建的規(guī)則在安全設(shè)備5的規(guī)則的有序列表中的放置��。如果檢測(cè)到規(guī)則異常�,規(guī)則分析模塊30可以提供規(guī)則異常分析報(bào)告和所創(chuàng)建的規(guī)則在安全設(shè)備5的有序規(guī)則列表中的建議放置�����。在另一實(shí)例中�,規(guī)則分析模塊30還可以基于所識(shí)別的ip流量和高級(jí)安全動(dòng)作參數(shù)提供所創(chuàng)建規(guī)則的建議放置。通過(guò)優(yōu)化所創(chuàng)建規(guī)則在安全設(shè)備5的規(guī)則列表中的放置���,可以避免異常�����。
在一個(gè)實(shí)例中�����,如圖7a中所示���,安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)用戶(hù)接口����,通過(guò)該用戶(hù)接口管理員12可以創(chuàng)建���、編輯�����、或者刪除策略中的一個(gè)或多個(gè)規(guī)則���。具體地,圖7a中的接口可以為管理員12呈現(xiàn)創(chuàng)建安全策略701的接口�����。管理員12可以另外輸入規(guī)則的序列號(hào)703��、策略名稱(chēng)704��、規(guī)則的數(shù)目705���、設(shè)備的數(shù)目706����、發(fā)布狀態(tài)707����、上次修改時(shí)間708、誰(shuí)修改的規(guī)則709�����、以及策略中的策略變化710����。威脅控制模塊17還可以為管理員12呈現(xiàn)向安全策略添加規(guī)則702的接口。
如圖7b中所示��,當(dāng)管理員12選擇在策略配置中添加規(guī)則702時(shí)�����,威脅控制模塊17可以為管理員12呈現(xiàn)定義規(guī)則的各個(gè)方面的接口�,諸如,規(guī)則的名稱(chēng)711和規(guī)則的說(shuō)明712�。如圖7c中所示����,響應(yīng)于定義規(guī)則名稱(chēng)和說(shuō)明���,威脅控制模塊17還可以呈現(xiàn)接口����,通過(guò)該接口管理員12可以通過(guò)輸入源區(qū)域713(例如����,流量的來(lái)源是可信的還是不可信的)、應(yīng)用于規(guī)則的ip地址714��、以及源用戶(hù)id715來(lái)限定規(guī)則適用的ip流量��。如圖7d中所示�����,響應(yīng)于定義規(guī)則的ip流量�����,威脅控制模塊17可以進(jìn)一步為管理員12呈現(xiàn)輸入諸如定義規(guī)則動(dòng)作716的高級(jí)安全動(dòng)作參數(shù)(例如���,施加于流量的深度包檢測(cè))的接口以允許�、拒絕����、或允許并用隧道發(fā)送(tunnel)流量。在一個(gè)實(shí)例中����,如果管理員12選擇允許或拒絕流量,管理員12可以進(jìn)一步配置高級(jí)安全參數(shù)�,諸如,應(yīng)用防火墻717����、ssl代理718、ips719�����、統(tǒng)一威脅管理(utm)720�、安全情報(bào)721、以及隧道動(dòng)作(未示出)���,如果適用的話(huà)��。在另一實(shí)例中�,如果管理員12選擇允許并用隧道發(fā)送網(wǎng)絡(luò)流量,安全管理系統(tǒng)10可以生成用戶(hù)接口以配置高級(jí)安全參數(shù)和隧道動(dòng)作�。在其他實(shí)例中,如果管理員12選擇拒絕流量作為規(guī)則動(dòng)作�,則高級(jí)安全特征可以停用。如圖7e中所示�����,響應(yīng)于定義規(guī)則的高級(jí)安全���,威脅控制模塊17可以為管理員12呈現(xiàn)輸入規(guī)則選項(xiàng)(諸如��,規(guī)則的簡(jiǎn)檔722和調(diào)度器723)的接口���。如圖7f中所示,響應(yīng)于定義規(guī)則選項(xiàng)��,威脅控制模塊17可以為管理員12呈現(xiàn)接口��,該接口用以選擇對(duì)所創(chuàng)建的規(guī)則執(zhí)行自動(dòng)規(guī)則異常分析724并提供規(guī)則的建議放置以避免如果創(chuàng)建的話(huà)規(guī)則可能引起的異常�����。如圖7g中所示,響應(yīng)于基于任何現(xiàn)有異常(例如��,遮蔽�����、部分遮蔽����、冗余等)執(zhí)行自動(dòng)規(guī)則異常分析和放置的選擇�,規(guī)則分析模塊30可以自動(dòng)分析所創(chuàng)建的規(guī)則的最佳放置725并確定規(guī)則的最佳放置726。當(dāng)所創(chuàng)建的規(guī)則與查詢(xún)匹配時(shí)�����,例如可以出現(xiàn)完全遮蔽的規(guī)則�,但實(shí)際上永遠(yuǎn)不會(huì)處理查詢(xún)中包含的任何流量。由在規(guī)則的有序列表中較靠前的一個(gè)或多個(gè)規(guī)則處理規(guī)則和查詢(xún)兩者中包含的所有流量���。通過(guò)先前的規(guī)則處理當(dāng)規(guī)則和查詢(xún)兩者中包含的一些流量時(shí)���,可出現(xiàn)部分遮蔽的規(guī)則。當(dāng)所創(chuàng)建的規(guī)則定義僅關(guān)系到在規(guī)則的有序列表中較靠前的規(guī)則處理的流量時(shí),可能會(huì)出現(xiàn)冗余����。這些規(guī)則在當(dāng)前規(guī)則列表中是多余的。
在一個(gè)實(shí)例中��,規(guī)則分析模塊30可以基于在候選策略數(shù)據(jù)庫(kù)22或提交策略數(shù)據(jù)庫(kù)24中存儲(chǔ)的預(yù)先存在的規(guī)則確定所創(chuàng)建的規(guī)則的異常�����。規(guī)則分析模塊30還可以基于所檢測(cè)的異常確定所創(chuàng)建的規(guī)則的最佳放置����。例如,如圖7g中所示�,規(guī)則分析模塊30可以建議所創(chuàng)建的規(guī)則放置在規(guī)則1-12之后以避免先前存在的規(guī)則的遮蔽并放置在規(guī)則19-32之前以避免現(xiàn)有規(guī)則的部分遮蔽。規(guī)則分析模塊30可以另外生成任何所檢測(cè)異常725的分析報(bào)告���。規(guī)則分析模塊30還可以根據(jù)其分析726將所創(chuàng)建的規(guī)則自動(dòng)放置在指定位置或序列中�。在一種情況下����,威脅控制模塊17可以呈現(xiàn)接口,通過(guò)該接口管理員12可以選擇瀏覽放置在安全設(shè)備5的規(guī)則列表中的創(chuàng)建規(guī)則���。
在另一實(shí)例中�����,安全管理系統(tǒng)10可以提供調(diào)度表明規(guī)則被遮蔽或是冗余的報(bào)告的能力����,并且可以提供推薦動(dòng)作以修復(fù)所有報(bào)告問(wèn)題�。提供關(guān)于被遮蔽的或冗余的規(guī)則的報(bào)告并提供修復(fù)報(bào)告問(wèn)題的推薦動(dòng)作的這樣的能力使得管理員12能夠通過(guò)容易識(shí)別無(wú)效和不必要的規(guī)則來(lái)維護(hù)有效規(guī)則庫(kù)。
在另一實(shí)例中��,安全管理系統(tǒng)10可以提供接口����,通過(guò)該接口管理員12可以瀏覽命中計(jì)數(shù)分析的安全策略。在一個(gè)這樣的方法中�����,安全管理系統(tǒng)10的威脅控制模塊17可以經(jīng)由計(jì)量控件(widget)以及顯示命中最小的規(guī)則的過(guò)濾器示出每個(gè)安全設(shè)備5的命中計(jì)數(shù)�����。在一個(gè)這樣的方法中��,威脅控制模塊17可以保持壽命命中計(jì)數(shù)。這樣的方法允許管理員12對(duì)每個(gè)規(guī)則的效力進(jìn)行評(píng)估并迅速識(shí)別未使用的規(guī)則���,從而致使更好地管理安全設(shè)備5環(huán)境����。
圖7h示出了基于異常的分析管理員12可以選擇不執(zhí)行規(guī)則分析和放置的另一實(shí)例�����。通過(guò)選擇不執(zhí)行規(guī)則異常分析�,規(guī)則分析模塊30仍可基于與所識(shí)別的ip流量(例如,源區(qū)域�����、ip地址��、以及源用戶(hù)id)和高級(jí)安全動(dòng)作參數(shù)有關(guān)的信息提出最佳規(guī)則放置���。在一種情況下���,管理員12可以將規(guī)則定義為源區(qū)域中的全局規(guī)則,其對(duì)規(guī)則可以放置的位置具有影響���。
在又一實(shí)例中��,如圖7i中所示����,管理員12可以改變通過(guò)規(guī)則分析模塊30自動(dòng)確定的規(guī)則放置位置。安全管理系統(tǒng)10可以呈現(xiàn)用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以修改由規(guī)則分析模塊30自動(dòng)確定的規(guī)則放置�����。如圖7j中所示����,一旦管理員12選擇改變規(guī)則的位置���,規(guī)則分析模塊30可以再次分析規(guī)則的位置727并可以顯示新的規(guī)則放置結(jié)果728��,包括推薦規(guī)則放置位置�����。如圖7k中所示����,如果規(guī)則分析模塊30確定不存在放置規(guī)則的理想位置,則規(guī)則分析模塊30可以提供有關(guān)任何異常的分析729并可以提供關(guān)于如何解決這些異常730的指令或推薦�����。
圖8示出了在本公開(kāi)的一方面中基于異常的確定的示例性規(guī)則放置�����。例如��,管理員12可以選擇對(duì)新創(chuàng)建的規(guī)則801執(zhí)行規(guī)則異常分析����。規(guī)則分析模塊30可以基于異常的確定生成提出的規(guī)則放置。在一個(gè)實(shí)例中�����,規(guī)則分析模塊30可以建議新創(chuàng)建的規(guī)則801放置在規(guī)則1-12之后以避免遮蔽并放置在規(guī)則19-20之前以避免部分遮蔽�。在這個(gè)實(shí)例中,新創(chuàng)建的規(guī)則801是分析更廣泛范圍的源地址(例如�����,10.0.0.1-10.0.0.5)和更廣泛范圍的目的地地址(例如,host_192.168.1.40和host_192.168.1.41)的更一般的規(guī)則��。規(guī)則分析模塊30可以確定新創(chuàng)建的規(guī)則801是否放置在1-12的指定規(guī)則之前�����,由于新創(chuàng)建的規(guī)則801在規(guī)則的列表中將總是先命中�����,指定規(guī)則1-12將從不會(huì)被使用���。規(guī)則分析模塊30還可以確定新創(chuàng)建的規(guī)則801是否放置在規(guī)則19-20之后�����,由于規(guī)則19-20與新創(chuàng)建的規(guī)則801重疊,新創(chuàng)建的規(guī)則801的一部分將不會(huì)被使用��。因此����,規(guī)則分析模塊30可以建議新創(chuàng)建的規(guī)則801放置在規(guī)則1-12之后并放置在19-20之前。
圖9是示出了示例性規(guī)則放置方法的流程圖���。規(guī)則放置方法900可以包括接收關(guān)于規(guī)則的配置信息(901)��。例如���,安全管理系統(tǒng)10可以呈現(xiàn)接口�,通過(guò)該接口管理員12可以定義關(guān)于新規(guī)則的配置信息(例如����,ip流量和/或高級(jí)安全動(dòng)作參數(shù))。管理員12然后可以選擇是否對(duì)新創(chuàng)建的規(guī)則執(zhí)行規(guī)則異常分析(902)���。如果管理員12選擇執(zhí)行規(guī)則異常分析���,則規(guī)則分析模塊30可以基于異常的確定生成建議的規(guī)則放置(903)并且可以基于異常的確定生成異常報(bào)告(904)。如果管理員12選擇居先(forego)規(guī)則異常分析����,則規(guī)則分析模塊30可以基于規(guī)則的配置信息生成建議的規(guī)則放置(905)。
圖10是示出了另一示例性規(guī)則放置方法的流程圖����。除了以下描述的之外,圖10的規(guī)則放置方法1000與圖9的規(guī)則放置方法900類(lèi)似。規(guī)則放置方法1000可以將新創(chuàng)建的規(guī)則放置在安全設(shè)備5的規(guī)則列表中的所建議的放置中(1001)���。管理員12然后可以選擇與所建議的規(guī)則放置位置不同的位置來(lái)放置新創(chuàng)建的規(guī)則(1002)�。響應(yīng)于改變新創(chuàng)建的規(guī)則的位置���,規(guī)則分析模塊30可以基于管理員12定義的規(guī)則的改變的有序列表執(zhí)行第二規(guī)則異常分析(1003)����。在執(zhí)行第二分析之后�����,規(guī)則分析模塊30可以基于改變的規(guī)則放置異常的確定生成第二建議規(guī)則放置(1004)并且可以基于改變的規(guī)則放置異常的確定生成異常報(bào)告(1005)���。
圖11示出了在本公開(kāi)的一方面中通過(guò)安全管理系統(tǒng)10生成的示例性用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12使得自動(dòng)創(chuàng)建的安全策略能夠部署和/或發(fā)布��。如圖2中所示����,安全管理系統(tǒng)10可以包括候選策略數(shù)據(jù)庫(kù)22和與安全管理系統(tǒng)10的威脅控制模塊17和策略/規(guī)則模塊20交互的提交策略數(shù)據(jù)庫(kù)24�。威脅控制模塊17可以為管理員12呈現(xiàn)用戶(hù)接口以選擇是否更新1102(例如�,部署)��、發(fā)布1104(例如�,存儲(chǔ)以供進(jìn)一步審查)�����、或保存1106自動(dòng)創(chuàng)建的安全策略(單獨(dú)地或者作為組)���。在一個(gè)實(shí)例中�,發(fā)布自動(dòng)創(chuàng)建的安全策略的選擇可以將安全策略存儲(chǔ)在候選數(shù)據(jù)庫(kù)22中以供進(jìn)一步審查�。安全策略的發(fā)布可以允許其他管理員12通過(guò)由安全管理系統(tǒng)10生成的用戶(hù)接口審查在部署之前存儲(chǔ)在候選策略數(shù)據(jù)庫(kù)22中的自動(dòng)創(chuàng)建的安全策略。在進(jìn)一步審查之后�����,另一管理員12可以選擇更新(例如����,部署)發(fā)布的安全策略或者重新配置安全策略。
在一個(gè)實(shí)例中����,更新安全策略的選擇可以將自動(dòng)創(chuàng)建的安全策略存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中。管理員12可以選擇更新由安全管理10生成的用戶(hù)接口呈現(xiàn)的安全策略(如圖11中所示)以將自動(dòng)創(chuàng)建的安全策略諸如通過(guò)snmp或netconf協(xié)議推送至安全設(shè)備5。安全管理系統(tǒng)10可以包括在系統(tǒng)10的一個(gè)或多個(gè)處理器上執(zhí)行的策略部署引擎26以將安全策略的更新的配置信息發(fā)送至安全設(shè)備5���。
圖11的接口還可以呈現(xiàn)由安全管理系統(tǒng)10生成的用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以限定更新1102或發(fā)布1104自動(dòng)創(chuàng)建的安全策略的具體日期1108或時(shí)間1110���。例如,威脅控制模塊17可以向管理員12呈現(xiàn)接口以計(jì)劃在太平洋標(biāo)準(zhǔn)時(shí)間2015年9月27日上午5點(diǎn)15分進(jìn)行更新���。當(dāng)選擇更新1102策略時(shí)��,安全管理系統(tǒng)10可以在太平洋標(biāo)準(zhǔn)時(shí)間2015年9月27日上午5點(diǎn)15分之前將這些更新的安全策略存儲(chǔ)到候選策略數(shù)據(jù)庫(kù)22��。當(dāng)在太平洋標(biāo)準(zhǔn)時(shí)間2015年九月27日上午5點(diǎn)15分策略更新至安全設(shè)備5時(shí)��,安全管理系統(tǒng)10然后可以將更新的安全策略存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中�����。安全管理系統(tǒng)10可以進(jìn)一步利用策略部署引擎26將存儲(chǔ)在提交策略數(shù)據(jù)庫(kù)24中的更新的安全策略部署至安全設(shè)備5�。在一個(gè)實(shí)例中����,提交策略數(shù)據(jù)庫(kù)24可以位于安全管理系統(tǒng)10中�。在另一實(shí)例中�����,安全管理系統(tǒng)10可以與外部提交策略數(shù)據(jù)庫(kù)24通信����。
圖12示出了由安全管理系統(tǒng)10生成的示例性用戶(hù)接口��,通過(guò)該用戶(hù)接口管理員12可以瀏覽所發(fā)布的或更新的安全策略的作業(yè)狀態(tài)����。在一個(gè)實(shí)施方式中,安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)用戶(hù)接口�,通過(guò)該用戶(hù)接口管理員12可以提供來(lái)自候選策略數(shù)據(jù)庫(kù)22和/或提交策略數(shù)據(jù)庫(kù)24的關(guān)于配置策略更新的階段的信息,諸如���,狀態(tài)快照策略1201�����、發(fā)布策略1202�����、以及更新設(shè)備1203��。由安全管理系統(tǒng)10生成的圖12的接口可以進(jìn)一步顯示信息�,包括作業(yè)類(lèi)型1204、作業(yè)id1205���、作業(yè)名1206���、用戶(hù)1207、作業(yè)狀態(tài)1208���、完成百分比1209���、預(yù)定開(kāi)始時(shí)間1210、實(shí)際開(kāi)始時(shí)間1211��、以及結(jié)束時(shí)間1212��。在另一實(shí)例中�����,圖12的接口還可以搜索設(shè)備發(fā)布細(xì)節(jié)1213���,包括設(shè)備的名稱(chēng)�����、發(fā)布的狀態(tài)����、服務(wù)�����、和/或消息�����。
圖13示出了在本公開(kāi)的一方面中由安全管理系統(tǒng)10生成的示例性接口��,通過(guò)該接口管理員12可以瀏覽威脅設(shè)備的源或目的地細(xì)節(jié)���。在一個(gè)實(shí)例中�,安全管理系統(tǒng)10的威脅控制模塊17可以呈現(xiàn)用戶(hù)接口��,用戶(hù)接口呈現(xiàn)包括源設(shè)備細(xì)節(jié)1301和目標(biāo)設(shè)備細(xì)節(jié)1302的設(shè)備信息����。用戶(hù)接口可以呈現(xiàn)設(shè)備細(xì)節(jié)���,包括設(shè)備ip、設(shè)備名稱(chēng)����、組織名稱(chēng)、組織id�、設(shè)備的物理地址(例如,街道地址���、城市����、州/省����、郵政編碼、國(guó)家)����、注冊(cè)日期、更新日期�、以及有關(guān)設(shè)備更多信息的參考鏈接����。
圖14是示出了安全管理系統(tǒng)10的示例性操作的流程圖�。如圖14中所示,安全設(shè)備5可以初步分析包流以識(shí)別應(yīng)用和潛在的威脅數(shù)據(jù)(100)����。安全設(shè)備5可以繼續(xù)將潛在的威脅數(shù)據(jù)傳送至安全管理系統(tǒng)10(102)。安全管理系統(tǒng)10可以從安全設(shè)備5接收傳送的威脅數(shù)據(jù)并利用威脅數(shù)據(jù)聚合器14聚合所接收的數(shù)據(jù)(104)�。安全管理系統(tǒng)10通過(guò)威脅控制模塊17可以進(jìn)一步構(gòu)建并顯示已由威脅數(shù)據(jù)聚合器14聚合并存儲(chǔ)在威脅數(shù)據(jù)庫(kù)16中的實(shí)時(shí)的或接近實(shí)時(shí)的威脅���,其中����,顯示可以是在地圖����、圖表、網(wǎng)格視圖等中通過(guò)威脅控制模塊17生成的可視化����。安全管理系統(tǒng)10通過(guò)威脅控制模塊17可以進(jìn)一步從管理員12接收輸入以配置包括規(guī)則的排序的策略(108)。例如�,管理員12可以直接從實(shí)時(shí)或接近實(shí)時(shí)的威脅的顯示和/或通過(guò)與威脅相關(guān)聯(lián)的過(guò)濾事件數(shù)據(jù)的圖形表示配置策略���。當(dāng)接收從管理員12輸入的配置時(shí),安全管理系統(tǒng)10可以使用策略/規(guī)則模塊20自動(dòng)生成新配置的或更新的包括有序規(guī)則的安全策略(110)���。安全管理系統(tǒng)10可以進(jìn)一步通過(guò)策略部署引擎26將所生成的或更新的策略部署至安全設(shè)備5(112)�����。安全設(shè)備5然后可以從安全管理系統(tǒng)10接收所部署的生成的安全策略(114)��。安全設(shè)備5可以繼續(xù)更新來(lái)自安全管理系統(tǒng)10的與所生成的安全策略有關(guān)的配置數(shù)據(jù)(116)��。當(dāng)利用安全策略更新配置數(shù)據(jù)時(shí)���,安全設(shè)備5可以根據(jù)更新的安全策略處理流量(118)。
圖15示出了可被配置為實(shí)現(xiàn)根據(jù)當(dāng)前公開(kāi)的一些實(shí)施方式的計(jì)算設(shè)備的詳細(xì)實(shí)例��。例如��,設(shè)備1500可以是服務(wù)器���、工作站�、計(jì)算中心、服務(wù)器的集群或者能夠執(zhí)行本文中描述的技術(shù)的中央定位或者分布的計(jì)算環(huán)境的其他示例性實(shí)施方式�����。任意或全部設(shè)備可以例如實(shí)現(xiàn)本文中描述的用于安全管理系統(tǒng)的技術(shù)的部分����。在該實(shí)例中,計(jì)算機(jī)1500包括可以整合到安全管理系統(tǒng)10中的基于硬件的處理器1510以執(zhí)行程序指令或軟件��,使得計(jì)算機(jī)執(zhí)行各種方法或任務(wù)�����,諸如�����,執(zhí)行本文中描述的技術(shù)��。
處理器1510可以是通用處理器��、數(shù)字信號(hào)處理器(dsp)���、專(zhuān)用集成電路(asic)中的核心處理器等。處理器1510經(jīng)由總線1520耦合至存儲(chǔ)器1530,存儲(chǔ)器用于在計(jì)算機(jī)運(yùn)行時(shí)存儲(chǔ)信息�����,諸如����,程序指令和其他數(shù)據(jù)。存儲(chǔ)設(shè)備1540(諸如�,硬盤(pán)驅(qū)動(dòng)器、非易失性存儲(chǔ)器���、或其他非瞬時(shí)存儲(chǔ)設(shè)備)存儲(chǔ)信息����,諸如���,程序指令�、多維數(shù)據(jù)的數(shù)據(jù)文件和縮減數(shù)據(jù)集合��、以及其他信息�����。作為另一實(shí)例,計(jì)算機(jī)1550可以提供用于執(zhí)行一個(gè)或多個(gè)虛擬機(jī)的操作環(huán)境��,虛擬機(jī)進(jìn)而提供用于實(shí)現(xiàn)本文中描述的技術(shù)的軟件的執(zhí)行環(huán)境����。
計(jì)算機(jī)還包括各種輸入輸出元件1550,包括并行或串行端口�����、usb�����、火線或ieee1394����、以太網(wǎng)、以及其他這樣的端口以將計(jì)算機(jī)連接至外部設(shè)備(諸如��,鍵盤(pán)��、觸摸屏����、鼠標(biāo)、指針等)�����。其他輸入輸出元件包括無(wú)線通信接口����,諸如,藍(lán)牙�����、wi-fi��、和蜂窩數(shù)據(jù)網(wǎng)絡(luò)�。
計(jì)算機(jī)本身可以是傳統(tǒng)的個(gè)人計(jì)算機(jī)、機(jī)架安裝或商用計(jì)算機(jī)或服務(wù)器�、或者任意其他類(lèi)型的計(jì)算機(jī)化系統(tǒng)。另一實(shí)例中的計(jì)算機(jī)可以包括比以上列出的所有元件少的元件��,諸如���,瘦客戶(hù)端或僅具有所示出元件中的一部分的移動(dòng)設(shè)備�����。在另一實(shí)例中��,計(jì)算機(jī)分布在多計(jì)算機(jī)系統(tǒng)中��,諸如��,很多計(jì)算機(jī)一起工作以提供各種功能的分布式服務(wù)器����。
可以硬件、軟件��、固件�����、或者其任意組合實(shí)現(xiàn)此處描述的技術(shù)����。描述為模塊、單元或組件的各種特征可一起實(shí)施于集成式邏輯設(shè)備中或單獨(dú)地實(shí)施為離散但可共同操作的邏輯設(shè)備或其他硬件設(shè)備����。在一些情況下�,電子電路的各種特征可以被實(shí)施為一個(gè)或多個(gè)集成電路器件��,諸如���,專(zhuān)用集成電路片或芯片組。
如果在硬件中實(shí)施��,本公開(kāi)可以涉及這樣的處理器或者集成電路器件(諸如��,集成電路片或芯片組)的設(shè)備���?��?商鎿Q地或此外,如果在軟件或者固件中實(shí)施�����,至少部分地通過(guò)計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)可以實(shí)現(xiàn)本技術(shù)���,計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)包括在被執(zhí)行時(shí)使一個(gè)或多個(gè)處理器執(zhí)行上述方法中的一個(gè)或多個(gè)的指令��。例如����,計(jì)算機(jī)可讀數(shù)據(jù)存儲(chǔ)介質(zhì)或設(shè)備可以存儲(chǔ)由處理器執(zhí)行的這樣的指令?����?梢岳靡粋€(gè)或多個(gè)計(jì)算機(jī)可讀介質(zhì)的任意組合���。
計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(設(shè)備)可以構(gòu)建計(jì)算機(jī)程序產(chǎn)品的部分���,計(jì)算機(jī)程序產(chǎn)品可以包括封裝材料。計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(設(shè)備)可包括計(jì)算機(jī)數(shù)據(jù)存儲(chǔ)介質(zhì)�,諸如,隨機(jī)存取存儲(chǔ)器(ram)�、只讀存儲(chǔ)器(rom)、非易失性隨機(jī)存取存儲(chǔ)器(nvram)�、電可擦除編程只讀存儲(chǔ)器(eeprom)、閃存��、磁性或光數(shù)據(jù)存儲(chǔ)介質(zhì)等���。通常�,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可以是能夠包含或存儲(chǔ)用于指令執(zhí)行系統(tǒng)��、裝置或設(shè)備或與指令執(zhí)行系統(tǒng)�、裝置或設(shè)備結(jié)合使用的程序的任何有形介質(zhì)���。計(jì)算機(jī)可讀介質(zhì)的另外的實(shí)例包括計(jì)算機(jī)可讀存儲(chǔ)設(shè)備�����、計(jì)算機(jī)可讀存儲(chǔ)器�、以及有形的計(jì)算機(jī)可讀介質(zhì)。在一些實(shí)例中���,制造品可包括一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)���。
在一些實(shí)例中,計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)可包括非易失性介質(zhì)���。術(shù)語(yǔ)“非易失性”可指示存儲(chǔ)介質(zhì)不以載波或者傳播信號(hào)實(shí)現(xiàn)��。在某些實(shí)例中����,非易失性存儲(chǔ)介質(zhì)可存儲(chǔ)可隨時(shí)間變化的數(shù)據(jù)(例如�,在ram或緩存器中)。
代碼或者指令可以是由處理電路執(zhí)行的軟件和/或固件���,處理電路包括一個(gè)或多個(gè)處理器�,諸如,一個(gè)或多個(gè)數(shù)字信號(hào)處理器(dsp)��、通用型微處理器��、專(zhuān)用集成電路(asic)�����、現(xiàn)場(chǎng)可編程門(mén)陣列(fpga)��、或者其他等效集成或離散邏輯電路����。因此,如在本文中使用的術(shù)語(yǔ)“處理器”可以參照適于實(shí)施本文中描述的技術(shù)的任何上述結(jié)構(gòu)或者任何其他處理電路��。此外�,在某些方面,可以在軟件模塊或硬件模塊內(nèi)提供本公開(kāi)中描述的功能�。
除了以上以外或作為其的替代,描述以下實(shí)例���。任何這里描述的其他實(shí)例可能利用在任何以下實(shí)例中描述的特征�。
實(shí)施例1.一種方法,包括:
接收關(guān)于一個(gè)或多個(gè)規(guī)則的配置信息����;在安全設(shè)備的規(guī)則列表中生成一個(gè)或多個(gè)規(guī)則的建議放置。
實(shí)施例2.根據(jù)實(shí)施例1所述的方法����,其中�,生成建議放置包括確定規(guī)則改變是否將會(huì)導(dǎo)致一個(gè)或多個(gè)異常。
實(shí)施例3.根據(jù)實(shí)施例2所述的方法�����,其中���,異常包括遮蔽�。
實(shí)施例4.根據(jù)實(shí)施例2所述的方法����,其中,異常包括冗余�。
實(shí)施例5.根據(jù)實(shí)施例2所述的方法,進(jìn)一步包括基于異常的確定生成一個(gè)或多個(gè)規(guī)則的規(guī)則異常分析報(bào)告。
實(shí)施例6.根據(jù)實(shí)施例5所述的方法�,進(jìn)一步包括顯示規(guī)則異常分析報(bào)告。
實(shí)施例7.根據(jù)實(shí)施例1所述的方法�,其中,接收配置信息包括限定ip流量���。
實(shí)施例8.根據(jù)實(shí)施例7所述的方法��,其中����,限定ip流量包括限定源區(qū)域���、ip地址�、或源用戶(hù)標(biāo)識(shí)中至少一個(gè)��。
實(shí)施例9.根據(jù)實(shí)施例7所述的方法���,其中��,生成建議放置基于所限定的ip流量���。
實(shí)施例10.根據(jù)實(shí)施例1所述的方法���,其中,接收配置信息包括為一個(gè)或多個(gè)規(guī)則定義高級(jí)安全參數(shù)�����。
實(shí)施例11.根據(jù)實(shí)施例10所述的方法����,其中,定義高級(jí)安全參數(shù)包括定義至少一個(gè)規(guī)則動(dòng)作����、高級(jí)安全��、應(yīng)用防火墻���、ssl代理�����、入侵防御系統(tǒng)���、統(tǒng)一威脅管理、或安全情報(bào)。
實(shí)施例12.根據(jù)實(shí)施例10所述的方法�����,其中生成建議放置基于所定義的高級(jí)安全參數(shù)�。
實(shí)施例13.根據(jù)實(shí)施例1所述的方法,進(jìn)一步包括對(duì)一個(gè)或多個(gè)規(guī)則的放置進(jìn)行重新排序�。
實(shí)施例14.根據(jù)實(shí)施例13所述的方法,其中生成建議放置基于規(guī)則的重新排序的放置���。
實(shí)施例15.一種系統(tǒng)�,包括:
一個(gè)或多個(gè)處理器���;一個(gè)或多個(gè)計(jì)算機(jī)可讀存儲(chǔ)器���;在一個(gè)或多個(gè)處理器上執(zhí)行的威脅控制模塊,其中�,威脅控制模塊顯示對(duì)應(yīng)于一個(gè)或多個(gè)威脅的一個(gè)或多個(gè)規(guī)則;以及在一個(gè)或多個(gè)處理器上執(zhí)行的規(guī)則分析模塊�����,其中����,規(guī)則分析模塊確定一個(gè)或多個(gè)規(guī)則在安全設(shè)備的規(guī)則列表中的最佳放置��。
實(shí)施例16.根據(jù)實(shí)施例15所述的系統(tǒng)�,其中�����,威脅控制模塊進(jìn)一步基于異常的確定顯示一個(gè)或多個(gè)規(guī)則的一個(gè)或多個(gè)規(guī)則異常��。
實(shí)施例17.根據(jù)實(shí)施例15所述的系統(tǒng)���,其中�,威脅控制模塊進(jìn)一步基于異常的確定顯示一個(gè)或多個(gè)規(guī)則的最佳放置����。
實(shí)施例18.根據(jù)實(shí)施例15所述的系統(tǒng)��,其中�����,規(guī)則分析模塊進(jìn)一步基于異常的確定生成一個(gè)或多個(gè)規(guī)則的規(guī)則異常分析報(bào)告���。
實(shí)施例19.根據(jù)實(shí)施例15所述的系統(tǒng)��,其中�,規(guī)則分析模塊進(jìn)一步基于所限定的ip流量確定一個(gè)或多個(gè)規(guī)則的最佳放置。
實(shí)施例20.根據(jù)實(shí)施例15所述的系統(tǒng)��,其中�,規(guī)則分析模塊進(jìn)一步基于高級(jí)安全參數(shù)確定一個(gè)或多個(gè)規(guī)則的最佳放置。
此外�����,可將在任何上述實(shí)例中闡述的任何特定特征組合在所描述的技術(shù)的有利實(shí)例中���。也就是說(shuō)��,任何特定特征通?��?蛇m用于本發(fā)明的所有實(shí)例。已描述了技術(shù)各種實(shí)例���。這些及其他實(shí)例在所附權(quán)利要求的范圍內(nèi)�。