CN101674307A - 计算机网络内的安全服务的分级应用程序 - Google Patents
计算机网络内的安全服务的分级应用程序 Download PDFInfo
- Publication number
- CN101674307A CN101674307A CN 200910173743 CN200910173743A CN101674307A CN 101674307 A CN101674307 A CN 101674307A CN 200910173743 CN200910173743 CN 200910173743 CN 200910173743 A CN200910173743 A CN 200910173743A CN 101674307 A CN101674307 A CN 101674307A
- Authority
- CN
- China
- Prior art keywords
- network
- security
- security classification
- calculation element
- policy
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Business, Economics & Management (AREA)
- General Business, Economics & Management (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
一般而言,描述了利用网络来分级应用安全服务的技术。具体地,网络装置接收安全分类信息,安全分类信息将安全分类映射到一个或多个计算装置。安全分类标识了计算装置的安全能力。网络装置还接收与计算装置相关联的网络通信量并将由与安全分类相关联政策所限定的图案集合应用于网络通信量以检测网络攻击集合。基于应用图案集合,网络装置转发网络通信量。作为接收安全分类信息的结果,网络装置可以知晓计算装置的安全能力并只应用增大这些所检测到的安全能力所需的那些图案,从而通过以分级方式应用这些服务来防止重叠应用安全服务。
Description
技术领域
本发明涉及一种计算机网络,更具体地,涉及一种在计算机网络内应用安全服务。
背景技术
计算机网络典型地包括一些互连的计算装置,它们交换数据并共享资源。这些装置可以包括(例如)网络服务器、数据库服务器、文件服务器、路由器、打印机、最终用户计算机及其他装置。这些各种各样的装置可以执行多种不同服务、操作系统(或操作系统版本)、及通信协议。不同服务、操作系统及通信协议中的每一种都可以将网络暴露给不同的安全脆弱性。恶意用户或“黑客”可以利用这些安全脆弱性以获得对该网络未授权的访问、打扰或一般的攻击。
典型地,用于检测这些网络攻击的技术利用了图案匹配。具体地,入侵检测和防御(“IDP”)装置可以位于网络的边缘并被静态配置为或被准备为,应用规则表达或子串匹配以在进入该网络的数据流内检测所定义的攻击图案。一些网络可以展现或多或少的安全脆弱性,这需要IDP装置被静态准备为识别和/或防止或多或少的攻击。
当传统的IDP装置被配置为保护多个网络或子网络时,IDP装置经常被静态准备为,应用安全服务集合以识别和/或防止能够利用这些网络中最不安全的那个网络的多个安全脆弱性中的任意安全脆弱性的所有已知网络攻击。在这方面中,IDP装置应用服务以识别和/或防止尝试利用这些网络中的其他多个安全网络中不存在的安全脆弱性的攻击。以该方式,展现最多安全脆弱性的网络会因此直接影响在尝试识别和/或防止该IDP装置所处理的所有数据流内的所有不同类型网络攻击时IDP装置被静态配置为应用的不同安全服务的数量,而不管每个具体流是否指向最脆弱的网络。
因为IDP装置可以被静态配置为应用尝试识别数据流中的攻击的网络安全服务,其中数据流将去往易受到这种攻击的网络,IDP装置可以引入某些网络缺陷。即,IDP装置资源可以不必要地被浪费为识别和/或防止以下攻击,该攻击由于数据包所去往的安全网络的本质而最终也不会得逞。这些网络缺陷会在网络高度拥塞的时候变得尤其显著,例如,当IDP装置不能够对高级的网络流量进行处理时。在这种情况下,该网络缺陷会引入延迟或阻止数据包的传输。因此,通过将IDP装置静态准备为识别和/或防止对网络或网络装置的最小公分母的攻击,例如,最不安全或最脆弱的网络,该IDP装置可以在网络高度拥塞时使网络连通性折衷。
发明内容
一般而言,描述了由一个或多个网络装置(诸如结合了入侵检测/放置(IDP)模块的路由器)提供的安全服务分级应用的技术。通过动态收集各种网络或子网络内的装置的安全信息,并基于所收集到的网络或子网络内的那些装置的安全信息而将每个网络或子网络分类为多个安全分类之一。每个安全分类可以标识安全能力的一个不同级别(例如,操作系统版本及所安装的补丁、所安装的病毒软件或其他安全应用程序、病毒定义的状态等等),对于被分类在该特定安全分类中的网络或子网络,该网络或该子网络内的装置必须符合该等级。然后IDP装置可以基于网络或子网络映射到的安全分类来确定是否将全面的或全部的攻击图案集合或全部攻击图案集合中的有限部分或子集应用于前往或起源于相关联网络的网络通信量。换句话说,IDP装置可以基于所确定的与数据包流相关联的每个网络或子网络的安全能力的级别来动态地量身定做应用至特定数据包流的攻击图案,从而变得从整体上更加“知晓”网络并可以降低网络缺陷并改善网络连通性。而且,IDP装置还可以基于当前网络负载状况或其他因素来动态地量身定做应用于不同安全分类的数据包流的攻击图案。
在操作过程中,网络访问层装置(诸如第二层(L2)交换机)收集关于访问装置所服务的每个所连接最终用户装置的安全信息。L2交换机可以在最终用户被认证时收集该信息,诸如,通过利用最终用户软件访问客户机或修改的基于802.1x端口的网络访问控制协议以请求这种安全信息。在任意情况下,L2网络访问层装置可以基于所收集的信息来确定单独的最终用户装置的组(例如,最终用户装置的网络或子网络)的安全分类。在同一组的多个最终用户装置之间存在不同安全分类的情况下,L2网络访问层装置可以对该组进行细分或再次指定最低安全分类给最脆弱的最终用户装置所符合的组。L2网络访问层装置将不同网络或子网络的安全分类信息转发给网络层IDP装置,诸如结合了安全服务的第三层(L3)路由器。每个IDP装置接收用于至少一个计算装置或最终用户装置的组与安全分类的映射的安全分类信息。IDP装置可以选择与通过映射所标识的安全分类相关联的政策。在一些情况下,IDP装置可以存储多个政策,其中,多个政策中的每个政策都与多个安全分类中的一个不同安全分类相关联。IDP装置可以选择与通过映射所标识的安全分类相对应的政策并将该政策应用于与最终用户装置组相关联的网络通信量。
在一些情况下,L2网络访问层交换机可以将单独的虚拟局域网(VLAN)指定给最终计算装置的不同组。在该情况下,所接收到的安全分类信息可以基于为那些指定给第一VLAN的最终用户计算装置所收集的安全信息,来选择聚集安全分类并将该聚集安全分类映射到第一VLAN,而基于为那些指定给第二VLAN的最终用户装置所收集的安全信息,来选择另一聚集安全分类并将另一聚集安全分类映射到第二VLAN。然后,IDP装置可以将与第一聚集安全分类相关联的第一政策所限定的第一安全服务集合(例如,攻击检测图案或病毒定义)应用于与第一VLAN相关联的通信量,而将与第二聚集安全分类相关联的第二政策所限定的第二安全服务集合(例如,攻击检测图案或病毒定义)应用于与第二VLAN相关联的通信量。
以该方式,IDP装置可以应用攻击检测图案的不同集合来解决每个VLAN的不同安全能力。具体地,IDP模块可以应用攻击检测图案的这些不同集合来降低(如果不防止的话)各个VLAN的IDP装置和最终用户装置两者的攻击检测图案的冗余应用,这是因为最终用户装置自己可以提供各种安全能力,例如,执行安全软件和/或硬件以防止网络攻击。而且,通过知晓这些安全能力,IDP装置可以使能这些图案或安全服务的分级应用,这是因为IDP装置可以应用最终用户装置未应用的更高级别的攻击检测图案或其他安全服务。此外,在一些情况下,IDP装置可以避免应用这样的安全服务,这些安全服务被设计为检测对于该最终用户装置组来说不可疑的特定网络攻击或恶意软件。
在一个实施例中,一种方法包括:利用网络装置接收标识了安全分类和至少一个计算装置之间的至少一个映射的安全分类信息,其中,该安全分类标识了至少一个计算装置的安全分类;以及利用网络装置接收与该至少一个计算装置相关联的网络通信量。该方法还包括:利用网络装置将由与安全分类相关联的政策所限定的图案集合应用于网络通信量以检测相应的网络攻击集合;以及利用网络装置基于应用图案集合来转发网络通信量。
在另一实施例中,网络装置包括:控制单元,接收标识了安全分类和至少一个计算装置之间的至少一个映射的安全分类信息,其中,安全分类标识了该计算装置的安全能力;接收与该至少一个计算装置相关联的网络通信量;将由与安全分类相关联的政策所限定的图案集合应用于网络通信量以检测网络攻击集合;以及基于应用图案集合来转发网络通信量。
在另一实施例中,一种网络系统包括:计算装置集合;耦合至计算装置集合的访问装置;以及耦合至访问装置的网络装置。网络装置包括:控制单元,控制单元接收来自访问装置的安全分类信息,该安全分类信息标识了安全分类和计算装置集合之间的至少一个映射,其中,安全分类标识了计算装置集合的安全能力,控制单元接收与计算装置集合相关联的网络通信量,将由与安全分类相关联的政策所限定的图案集合应用于网络通信量以检测网络攻击集合,并基于应用图案集合来转发网络通信量。
在另一实施例中,一种计算机可读存储介质包括:用于使可编程的处理器执行以下步骤的指令:利用网络装置接收标识了安全分类和至少一个计算装置之间的至少一个映射的安全分类信息,其中,安全分类标识了至少一个计算装置的安全能力;以及利用网络装置接收与该至少一个计算装置相关联的网络通信量。这些指令还使处理器执行以下步骤:利用网络装置将由与安全分类相关联的政策所限定的图案集合应用于网络通信量以检测相应的网络攻击集合;以及利用网络装置基于应用图案集合来转发网络通信量。
本发明的一个或多个实施例的细节将在附图和以下描述中给出。本发明的其他特征、目的、及优点将从以下描述和附图中以及从权利要求中变得显而易见。
附图说明
图1是示出一种示例性网络系统的框图,在该网络系统中,路由器的入侵检测/防止模块执行根据本发明原理的用于不同最终用户装置组的分级安全技术。
图2A、2B是更详细地示出图1的网络系统的特定部件的框图。
图3是示出在执行本文所描述的分级安全技术时网络系统内的装置的示例性操作的流程图。
图4是更详细地示出在执行分级安全技术时网络层IDP装置的操作的流程图,网络层装置诸如,结合了安全服务的第三层(L3)路由器。
图5是示出根据本文所描述的分级安全技术进行操作的另一示例性网络系统的框图。
具体实施方式
图1是示出示例性网络系统2的框图,在该示例性网络系统中,路由器10的入侵检测/防止模块4执行根据本发明原理的分级安全技术。尽管被示出为集成在分配路由器10内的模块,其中入侵检测/防止模块4(“IDP模块4”)可以被实现在单独的装置(诸如IDP装置)、防火墙或任意其他与分配路由器10分离的网络安全装置内。因此,尽管以下参照路由器10来进行描述,但是该分级安全技术可以通过任意网络装置或网络安全装置来实现,以响应于监控到的网络(诸如私有网络6)内安全能力而动态地降低安全装置的重叠应用。
如图1所示,网络系统2包括耦合到公共网络8的私有网络6。公共网络8可以包括任意可以公共访问的计算机网络,诸如互联网。公共网络8可以包括各种各样的互连计算装置或节点,诸如网络服务器、打印服务器、应用服务器、数据服务器、工作站、桌上型计算机、膝上型计算机、手机或其他移动装置、个人数字助理(PDA)、以及能够经由无线和/或有线连接而连接到计算机网络的任意其他装置。典型地,这些装置经由基于数据包的协议(诸如互联网协议(IP)/传输控制协议(TCP))彼此进行通信。因此,公共网络8可以代表或称为“基于数据包的”计算机网络。
私有网络6可以代表典型地由私有实体(诸如企业或行业)维护、操作、并拥有的并且公众一般不能访问的网络。私有网络6可以反映一种被称为“三层分级模型(three-tiered hierarchical model)”的拓扑。该三层分级模块能够在分散的多个互连私有网络(诸如私有网络6)中进行扩展。该三层可以包括第一核心层、第二分配层、及第三访问层。核心层可以包括物理互连、网关、以及其他部件,以提供站点或分配层装置之间的最佳传输。分配层可以包括路由器和实现政策相关安全、通信量下载和路由的其他装置。这些装置典型地符合OSI网络模型的第三层(L3或网络层)。图1中所示的三层分级模型的访问层可以提供符合OSI网络模型的第二层(L2或数据链路层)的网络访问集线器或交换机以提供最终用户访问。尽管相对于该三层模型来进行描述,但是安全服务的动态准备技术可以在采用任意类型网络拓扑的的任意类型网络内实现。
核心层可以将公共网络8用作传输中枢链路或核心网络。在这种情况下,公共网络8可以起核心网络的作用以互连到各种分配路由器,类似于私有网络6的分配路由器10。典型地,提供对公共网络8的访问的服务提供方还提供其他服务,诸如虚拟私有局域网(LAN)业务(VPLS),以安全地通过公共网络8互连私有网络6的远程的或地理上分离的站点。可替换地,私有网络6可以包括其自己的核心网络,其互连分配路由器10并提供对公共网络8(诸如核心网络9)的访问。尽管在图1中未示出,其实核心网络9可以包括能够在私有网络6的不同网络站点的各种分配层装置(诸如分配装置10)之间进行高速传输的网络装置。
分配层可以包括分配路由器10和政策服务器12。分配路由器10可以包括分配层装置,其聚集来自各种访问层装置(诸如访问装置14A-14N(“访问装置14”))的通信量。分配路由器10因此可以代表能够聚集并分配各种其他网络装置间的通信量的任意类型网络装置。分配路由器10包括IDP模块4,其应用安全服务以检测和/或防止网络攻击。换句话说,在分配路由器10将通信量转发到公共网络8、核心网络9、或多个访问装置14中的一个或多个之前,IDP模块4可以拦截并处理通信量。在拦截网络通信量时,IDP模块4可以将一个或多个安全服务应用于网络通信量,以检测和/或防止这些网络攻击。在这点上,IDP模块4可以代表能够将网络安全服务应用于网络通信量的任意类型网络安全模块。结合了用于将网络安全服务应用于网络通信量的服务平面的高速路由器的一个实例在2008年7月30日提交的名为“STREAMLINED PACKETFORWARDING USING DYNAMIC FILTERS FOR ROUTING ANDSECURITY IN A SHARED FORWARDING PLANE”美国专利申请12/182,619中有所描述,通过参照的方式将其全部内容结合于此。
IDP模块4根据安全政策(在本公开文件中其可以被称为“政策”)来应用这些网络安全服务。IDP模块4可以耦合到政策服务器12并接收来自这些政策服务器12的政策。政策服务器12可以在政策数据库或任意其他类型数据结构的存储介质(例如,硬盘、光驱、磁盘驱动器、随机存取存储器(RAM)等等)中维护这些政策。政策服务器12可以与管理员(诸如管理员15)进行交互,以定义这些政策。政策服务器12提供用户接口,利用该用户接口管理员15进行交互以定义、指定、改变、修订、删除、或以其他方式编辑这些政策。管理员15可以进一步利用该用户接口或其他用户接口来进行交互以使政策服务器12能够将政策安装或上传到IDP模块4。
尽管在图1中未示出,但是政策服务器12可以耦合到类似于IDP模块4的多个IDP装置/模块并将同样这些政策安装或上传到这些IDP装置/模块中的每一个。此外,管理员15可以通过直接与IDP模块4之一或两者进行交互来定义、指定、改变、修订、删除、或以其他方式编辑政策,而不与政策服务器12进行交互。一般地,该直接交互在包括一个或少数几个IDP装置/模块的较小网络中发生。
私有网络6的入口或第三层可以包括访问装置14、认证服务器16、及最终用户装置18A-18Z(“最终用户装置18”)。多个访问装置14可以各代表交换机、集线器、和/或能够提供对公共网络6的最终用户装置18的访问的任意其他类型装置。典型地,多个访问装置14各包括第2层(L2)装置,但是在一些情况下,多个访问装置可以包括第3层(L3)装置或者甚至多层装置,例如,第2层和第3层两者的一个装置。该公开文件中所使用的“层”可以指开放系统互连(OSI)模型的层。OSI模型中的第2层可以称为“数据链路层”,而第3层可以称为“网络层”。
认证服务器16可以代表对最终用户的认证信息进行维护的装置,诸如远程认证拨号用户服务(RADIUS)服务器。认证服务器16可以接收来自访问装置14的认证请求,并通过将经由认证请求发送的最终用户信息与由认证服务器16维护的认证信息进行比较来对这些请求进行认证。基于该比较,认证服务器16可以指示访问装置14是否要允许或拒绝最终用户信息中提供的最终用户装置18之一进入公共网络6。
如图1的实例所示,最终用户18可以被分组到逻辑网络或子网络中,诸如虚拟局域网(VLAN)20A-20N(“VLAN 20”)。为了举例说明,VLAN 20A代表最终用户装置18A-18M的第一集合的逻辑分组,而VLAN 20N代表最终用户18N-18Z的第二集合的逻辑分组。VLAN 20中的一个或多个可以代表一个逻辑上彼此分离但可以在同一下层物理网络基础结构上执行的网络。即,VLAN 20A的最终用户装置18A-18M可以(例如)利用同一网络基础结构(例如,链路,交换机、集线器等等)作为VLAN 20N的最终用户装置18N-18Z的网络基础结构。此外,VLAN 20中的一个或多个可以代表不共享同一下层网络基础结构但以其他方式维护单独的物理下层基础结构以及单独的逻辑基础结构的逻辑网络。即,VLAN 20A的最终用户装置18A-18M可以(例如)利用与VLAN 20N的最终用户装置18N-18Z所利用的网络基础结构分离的单独网络基础结构。
在一些实现方式中,VLAN 20中的每一个都可以与单独的互联网协议(IP)子网络(sub-network或简写为“subnet”)相关联,其可以被表达为IP地址(诸如192.168.5.10)和子网络掩码(诸如255.255.255.0)。该子网络掩码可以定义IP地址的相关位的数目。上述子网络掩码暗示了该IP地址的前24位(例如,192.168.5)被看作是子网络地址。IP子网络还可以被表达为被虚线跟随的IP地址和多个相关子网络位,诸如192.168.5.10/24,或可变的IP地址,例如,192.168.5.X,其中X是变量。IP子网络可以定义落入所标识的子网络内的IP地址的范围。给出上述IP子网络地址192.168.5.X,该IP子网络包括落入所包含的范围192.168.5.0至192.168.5.255内的所有IP地址。尽管典型的VLAN一般包括单个IP子网络,但在一些情况下,VLAN 20中的一个单独VLAN可以包括多个IP子网络。此外,单个IP子网络可以包括VLAN 20中的多个VLAN。因此,尽管以下描述为IP子网络和VLAN 20之间的一对一映射,但是该技术可以应用于IP子网络和VLAN 20之间的一对多和多对一映射。
VLAN 20中的每一个都可以通过VLAN标识符或标记在私有网络6中彼此区分开。访问交换机14可以被配置为向从最终用户装置18接收到的每个数据包或其他截然不同的数据单元附加一个唯一的(至少在公共网络6内是唯一的)VLAN标记,该标记对各个最终用户装置18所处的VLAN 20之一进行标识。访问装置14可以对使VLAN标记与IP地址或标识每个最终用户装置18的其他唯一标识符(例如,媒体访问控制(MAC)地址)相关联的表或其他适当数据结构进行维护。多个访问装置14可以各通过要求各个最终用户装置18向访问装置14注册来维护该表。
最终用户装置18可以各代表能够与各个访问装置14接口以访问私有网络6的计算装置。最终用户装置18可以包括手机、个人数字助理(PDA)、膝上型计算机、桌上型计算机、工作站、印刷机、服务器(例如,打印服务器、数据服务器、网络服务器、及应用服务器)、数据库中的一个或多个等等。最终用户装置18可以各提供截然不同的安全能力和/或脆弱性集合。即,最终用户装置18A可以利用当前的病毒定义、防火墙、以及过期或不安全的操作系统(例如,操作系统未对安装补丁以解决最近安全关注)来执行防病毒软件。最终用户装置18B可以执行最新的操作系统但其防病毒软件过期(例如,软件图案数据库未被更新以反映最近的网络攻击)。结果,最终用户装置18可以提供一些安全服务(例如,防病毒软件、防火墙等等),这些安全服务应用的图案类似于IDP模块4的图案,这会导致重叠应用安全服务,结果在某种程度上,每个模块4和装置18能够应用同样的图案。
根据本发明的原理,IDP模块4可以基于每个最终用户装置的安全能力而动态地选择安全业务并将这些安全业务应用到从最终用户装置18接收到的网络通信量。IDP模块4可以基于单独的最终用户装置的安全服务来选择并应用安全服务,或可以基于最终用户装置18的分组(诸如VLAN 20)来选择并应用安全服务。换句话说,IDP模块4可以至少获悉VLAN 20的总的安全能力,如果不是这样,那么在一些情况下,IDP模块可以获悉每个单独最终用户装置18的安全能力。结果,IDP模块4可以基于VLAN 20内的最终用户装置的所确定的安全能力而更有效地将安全服务应用于网络通信量,从而降低或消除冗余或重叠的安全服务应用。在这点上,IDP模块4可以更好地利用其计算资源,以应用“更高”级别的安全服务,其加强了最终用户装置18所应用的那些“较低”级别安全服务,而不冗余应用那些同样的低级别服务,导致了安全服务的分级应用。“更高”级别的安全服务可以(例如)是相比于最终用户装置18所应用的那些“较低”级别安全服务更严格且更计算加强的精选安全服务。
为了确定这些安全能力,IDP模块4可以收集关于最终用户装置18的安全能力的信息。可以分级地或根据图1中所示的三层模型来收集该信息。例如,最初,每个最终用户装置18可以请求或尝试访问私有网络6,在私有网络上各个访问装置14可以接收请求,并在一些情况下,验证每个最终用户装置18是否已在前被认证过。访问装置14可以通过对按照互连网协议(IP)地址来标识所认证的最终用户装置18的认证表或其他数据结构进行维护来验证最终用户装置18的认证身份。认证表还可以指明认证身份过期的时间、以及与维护最终用户装置18的认证记录相关的其他信息。如果最终用户装置18中请求的那个的IP地址被包括在该表中,则访问装置14中相关联的那个可以验证该认证是否超时。如果不超时,则访问装置14中相关联的那个访问装置可以允许最终用户装置18中请求的那个最终用户装置访问私有网络6。
可替换地,认证服务器16可以对认证表进行维护。在这些情况下,访问装置14可以响应于接收到来自最终用户装置19之一的请求来访问认证服务器16以验证最终用户装置18中请求的那个最终用户装置是否之前被认证过。如果被认证过,则认证服务器16可以向多个访问装置14中的相应访问装置通知最终用户装置18中请求的那个最终用户装置在之前被认证过并且该认证仍是有效的,其中,访问装置14中相关联的那个访问装置可以允许最终用户装置18中请求的那个最终用户装置访问私有网络6。
然而,为了举例说明,假设最终用户装置18中请求的那个最终用户装置在之前未被认证过,或者访问装置14由于政策的问题要求每个请求访问公共网络6的最终用户装置18都重新进行认证,那么访问装置14可以请求来自最终用户装置18的认证信息。认证信息可以包括签名的证书、用户名与口令的组合、安全密钥、或认证机构所普遍采用的任意其他信息。最终用户装置18中请求访问的那些最终用户装置可以通过向访问装置14中的相应一个访问装置提供认证信息来对该请求作出响应。
然后访问装置14可以将该信息转发给认证服务器16,认证服务器通过如上所述地将从那些请求访问的最终用户装置18的接收的认证信息与由认证服务器16内部维护的认证信息进行比较来对每个请求的最终用户装置18进行认证。如果认证成功,则认证服务器16可以向访问装置14中相应的访问装置标识成功认证,这允许最终用户装置18请求的那个最终用户装置访问私有网络6。否则,访问装置14可以拒绝最终用户装置18中请求访问却未正确认证的那些最终用户装置的访问。在那些涉及认证表的情况中,负责维护该表的装置(例如,访问装置14和/或认证服务器16)可以更新该表以反映认证成功。
作为该认证过程的一部分,访问装置14还可以请求关于最终用户装置18中请求访问私有网络6的每个最终用户装置的安全能力的信息。关于安全能力的该信息在本文中可以被称为“安全信息”。安全信息可以包括:关于当前由最终用户装置18中请求的那个最终用户装置执行的操作系统的信息(例如,操作系统的类型和版本号以及安装的所有补丁);以及关于当前在最终用户装置18中请求的那个最终用户装置内安装和执行的安全软件(例如,防火墙软件、防病毒软件、反病毒软件和抗病毒(anti-malware)软件)的信息(例如,每个安全软件应用程序和任意相应安全数据库的名称、类型和版本)。安全信息还可以包括关于任意安全硬件的信息,诸如权标或其他基于硬件的安全措施。安全信息可以进一步包括关于加密和解密措施的信息、和关于操作系统和安全软件及安装在最终用户装置18请求的那个最终用户装置内安装的其他软件和/或硬件的任意补丁的信息。因此安全信息可以在该公开文件中用来指代与确定安全能力有关的任意信息,或者,换句话说,最终用户装置18中的特定一个最终用户装置的安全级别。
如上所述,每个最终用户装置18都可以响应于多个访问装置14中相应的一个访问装置所发出的安全能力请求而在认证期间传送该安全信息。在一个实施例中,独立于该认证过程,每个最终用户装置18都包括根据多个访问装置14中相应的一个访问装置的请求或进度表而将该安全信息上传到多个访问装置14中相应的一个访问装置的硬件和/或软件模块。该硬件和/或软件模块可以包括在最终用户装置或增强的“信任平台模块”(TPM)上执行的“用户访问客户机”(UAC)之一。UAC可以包括安装在最终用户装置上的客户机软件模块,用于监控和/或配置最终用户装置。TPM可以是这样的硬件单元,该硬件单元对端点装置的引导部件的完整性进行验证,并提供安全信息的安全存储,以防止在最终用户装置折衷的情况下损害该安全信息。在最终用户装置18包括TPM的情况下,安全信息可以包括关于TPM的出现的信息(这是由于该模块可表现出非常安全的装置)、以及详细描述端点装置的引导码的TPM验证的信息。
不管访问装置14收集每个端点装置18的安全信息的方式如何,访问装置14都可以动态地将与各个端点装置18相关联的安全信息映射到安全分类。例如,访问装置14可以对表或其他映射(或分类)机构、算法、输入一个或多个端点装置的安全信息并输出安全分类的所采用的数据结构或元素进行维护。安全分类可以将每个最终用户装置18所提供的安全能力的级别标识为一个值(其可以称为“安全分类级别”)或可以针对一组最终用户装置来输出单个安全分类值。该映射表可以包括定义的多个安全分类,每个分类都可以标识一个装置或一组装置为了被分配到该分类所必须至少满足或超过的安全能力(或安全脆弱性)的标准级别。高安全分类值可以指明(例如)具有高级别安全性的端点装置或一组端点装置(或具有较少安全脆弱性的一个端点装置),而低安全分类值可以指示具有低级别安全性的端点装置或一组端点装置(或具有许多安全脆弱性的端点装置)。
安全分类值还可以考虑脆弱性的严重性。例如,安全分类值可以包括安全脆弱性的加权平均值。多个访问装置14中的每个访问装置都可以基于安全信息来确定安全脆弱性并向各个安全脆弱性和反映各个安全脆弱性的重要性的值分配一个权重。然后每个访问装置14都可以基于乘以重要性值的权重的平均值来确定安全分类。可替换地,每个访问装置14的映射或分类模块可以计算与基于安全脆弱性的加权平均相对的度量。相反,分类模块可以计算衡量每个安全能力的有效性的度量。再者,分类模块可以计算由安全信息所标识的安全能力的加权平均值。分类模块还可以采用上述两种度量的某种组合,以动态确定每个最终用户装置18的安全分类。
安全分类的确定可以是动态的,这是由于其不需要管理员或其他用户的输入就可以发生,而是自动发生或直接响应于接收到安全信息而发生。由于每个最终用户装置18的安全能力会随着时间而改变(例如,安全软件、安全补丁等的安装或升级),从最终用户装置18接收到并由最终用户装置传送的安全信息也会随着时间而改变。因此,访问装置14可以连续接收来自同一最终用户装置18的变化的安全信息并动态确定同一最终用户装置18的新的安全分类,该安全分类很可能和所确定的同一最终用户装置18的旧的安全分类不同。在这点上,安全分类的动态确定可以使IDP模块4能够自动地且动态地适应于私有网络6内变化的安全能力。
不管访问装置14动态确定安全分类的方式如何,访问装置14还可以聚集对应于每个最终用户装置18的映射。在一些情况下,每个访问装置14可以维护单个信息储存库(诸如表),该存储库标识了最终用户装置18中当前访问私有网络6和/或之前访问私有网络的且其认证身份未过期的各个最终用户装置的关联或映射。该储存库可以被称为“装置安全分类信息”。在这些情况下,每个访问装置14都可以维护各个最终用户装置18的装置安全分类信息。
每个访问装置14都可以聚集装置安全分类信息,就像每个访问装置14都可以聚集来自各个最终用户装置18的网络通信量一样。每个访问装置14都可以通过相关聚集度量来聚集装置安全分类信息。典型地,每个访问装置14都可以通过网络、IP子网络、或VLAN来聚集装置安全分类信息,以基于每个网络、子网络、或VLAN来确定聚集安全分类。由于网络、子网络、及VLAN中的每个都可以被看作是计算装置的分组或集合,因此,该映射一般映射聚集安全分类和计算装置的任意分组、集合、或聚集。聚集安全分类和计算装置集合之间的映射可以被称为“聚集安全分类信息”。典型地,聚集安全分类信息包括单个映射,然而,聚集安全分类信息可以包括多个映射,其中,例如,每个映射定义了聚集安全分类和一个不同的计算装置集合之间的单独关联。每个访问装置14都可以将该聚集安全分类信息转发到分配路由器10的IDP模块4,其中,该聚集安全分类信息标识了(例如)IP子网络地址或IP地址的范围以及相关联的安全分类。
以该方式,IDP模块4可以接收并维护标识了安全分类和至少一个计算装置(诸如,最终用户装置18A)之间的至少一个映射的该安全分类信息。IDP模块4可以(例如)维护表或其他数据结构中的聚集安全分类信息并通过IP地址或IP地址范围或前缀来组织该表。例如,IDP模块4可以更新流表,以反映该聚集安全分类信息。为了更新该流表,IDP模块4可以确定与安全分类相关联的政策,并通过所确定的政策进行映射来更新与所标识的至少一个计算装置相关联的流表的流条目。如上所示,IDP模块4可以(例如)接收并下载来自政策服务器12的政策,其中各政策与多个安全分类中的一个不同分类相关联。IDP模块4因此可以对每个政策进行分析,并选择与通过映射而被识别的安全分类相关联的政策,并利用该政策来更新流条目。
在拦截到或接收到与至少一个计算装置(例如,最终用户装置18A)相关联的网络通信量时,IDP模块4可以将与该安全分类相关联的政策应用到网络通信量,以检测由该政策所定义的攻击图案集合。典型地,IDP模块4应用由对应的一个或多个政策所定义的一个或多个图案集合,以检测一个或多个网络攻击集合。每个政策可以定义一个这样的攻击图案集合或图案,其对应于网络攻击集合,并且当其被应用于输入的通信量和输出的通信量时,可以使IDP模块4能够检测每个对应的网络攻击集合。本文所使用的“输入的网络通信量”可以包括离开和进入私有网络6的通信量,并因此指相对于IDP模块4而进入的通信量。同样地,“输出的通信量”不是指任意特定方向,而仅仅指从IDP模块4的观点看来离开IDP模块4的通信量。因此,输入和输出可以指从IDP模块4的观点看的通信量方向,而不分别表示私有网络6和公共网络8之间的通信量的任意特定方向或流。
IDP模块4可以通过将这些政策所标识的图案应用到两个方向上流动的网络通信量(即,从公共网络8或核心网络9接收到的入站通信量、以及去往该公共网络或该核心网络的出站通信量)来应用这些政策,以在检测网络攻击时改善准确性。例如,IDP模块4可以将这些图案应用于公共网络8和最终用户装置14之间的客户机到服务器通信和服务器到客户机通信。IDP模块4还可以对网络通信量进行分析,以针对在网络通信量内检测到的每个通信会话而使一个方向上的通信量与相反方向上的通信量相关。对于每个客户机-服务器通信会话来说,IDP模块4可以识别一个方向上的数据包流(例如,针对客户机上的特定软件应用程序的客户机到服务器通信流)和相反方向上的相应数据包流(例如,针对同一软件应用程序而从服务器流到客户机的响应通信)。
IDP模块4可以识别所监控的通信量中的数据包流,并透明地重编来自该数据包流的应用层通信。IDP模块4可以包括用来对该应用层通信进行分析并识别应用层事务(transaction)的一组协议特有解码器。总地来说,“事务”指的是对等装置之间的一系列有界的相关应用层通信。例如,单个TCP连接可以用于发送(接收)多个超文本传输协议(HTTP)请求(响应)。作为一个实例,包括通向HTML页面的链接和多个图像的单个网页可以利用单个TCP连接来获取。HTTP解码器可以被IDP模块4调用,以将TCP连接内的每个请求/响应识别为不同事务。这可以被用于防止特定攻击定义或图案在事务边界应用。在一个实施例中,可以根据源和目的IP地址、协议、以及源和目的端口号来识别事务。其他实施例可以按照其他方式来识别事务,例如,通过利用媒体访问控制(“MAC”)地址。
对于每个事务,相应的解码器可以对应用层通信进行分析并提取协议特有元素。作为实例,对于FTP注册事务,FTP解码器可以提取与用户名、目标装置的名称、客户机装置的名称、及其他信息相对应的数据。此外,这些解码器可以对与每个事务相关联的应用层通信进行分析以确定这些通信是否包含任何协议特有“异常”。总地来说,协议异常指的是在应用层通信中检测到的任何不符合用于特定协议的普遍接受的通信规则的不规则性。例如,这些规则可以通过公布的标准以及厂商定义的规格来限定。其他异常指的是在技术上符合协议规则但可能授权了一个较高的检查级别的协议事件(即,动作)。
这种协议事件的一个实例是文件传输协议(FTP)注册请求的重复故障。HTTP协议的示例性异常包括丢失HTTP版本信息、残缺的通用资源标识符(“URL”)、目录遍历、报头溢出、认证身份溢出、以及点心文件(cookie)溢出。简单邮件传输协议(SMTP)的示例性异常包括太多的接收者、延迟尝试、以及超过所定义的长度的域名。邮局协议版本3(Post Office Protocol version 3,简称POP3)包括用户溢出和注册失败。FTP的其他异常包括丢失参数、用户名或路径名超过所定义的长度、以及注册失败。其他异常包括不正常且不符合规格的数据传输、以及命令指挥装置打开了到装置的网络连接而不是客户机装置发出该命令。
IDP模块4可以将这些图案应用于所提取出的元素以及由协议解码器识别出的协议特有异常,以检测并防止网络攻击。因此当这些图案被应用于输入和输出的通信量时,这些图案可以基于应用层数据和其他状态协议信息识别出一个或多个攻击签名、协议异常、及其他恶意行为。而且,IDP模块4可以使特定图案与对应于特定应用程序的协议相关联。对于IDP模块4拦截到的给定通信会话,IDP模块4可以尝试识别用于该会话的数据包流的下层协议和应用程序类型,以选择应用于这些数据包流的一个或多个图案。在该事件中,IDP模块4检测网络攻击,IDP模块4可以采取一个或多个所编写的动作,诸如,自动放弃与检测到网络攻击的应用层通信相关联的数据包流以防止攻击,从而保持网络安全性。
为了确定政策,IDP模块4可以访问对应于与至少一个最终用户装置18A相关联的流的流表,并应用由所访问的流条目所标识的政策。基于应用该至少一个政策,IDP模块4可以转发网络通信量。例如,如果在将所确定的政策所定义的图案集合应用于分类后的数据包之后,IDP模块4检测攻击,IDP模块4可以放弃、隔离或以其他方式防止该攻击到达目的地,诸如通过多个访问装置14或核心网络9中相关联的那个而到达最终用户装置18。然而,如果在将所确定的政策应用于分类后的数据包之后,IDP模块4未能检测到任何攻击,则分配路由器10可以将该数据包转发到该数据包所限定的目的地。
实际上,IDP模块4可以将单独的数据包分类为安全分类,并基于为这些数据包确定的每个分类而自适应地将图案集合应用于这些数据包。如上所述,IDP模块4可以基于每个网络、子网络、或VLAN来维护分类信息,并因此可以动态地将图案应用于网络通信量,以适应于多个网络、多个子网络、或多个VLAN之间的变化的安全能力。由于(例如)在最终用户装置18访问私有网络6时,IDP模块4可以自动且动态地更新所维护的分类信息(例如,流表内的分类信息),因此IDP模块4可以自动准备政策而无需用户输入,以改变私有网络6内的安全能力。
因此,例如,IDP模块4可以通过将不同的攻击图案集合应用于从每个VLAN 20接收到的网络通信量或去往每个VLAN的网络通信量(或一般而言,与每个VLAN相关联的网络通信量),而不是针对各VLAN 20应用同一攻击图案集合,来解决最低共有分母网络(例如,多个VLAN 20中最脆弱的那个)。因此,IDP模块4可以通过降低IDP模块4内的资源消耗而改善网络连通性,从而相比于传统技术来说在给定单位时间内处理了更多的数据包,这可以降低延迟,或者在网络高度拥塞时数据包数目可能下降。
尽管在本公开文件中相对于集成在分配路由器10内的IDP模块4来进行描述,但是IDP模块4可以被实现为单独的网络安全装置。即,分配路由器10可以包括不具有任何安全能力的路由器,该路由器将通信量路由到独立的网络安全装置,该网络安全装置实现关于IDP模块4的技术。因此,这些技术不应严格局限于本文描述的示例性实施例,而是可以通过应用安全服务来检测网络内的攻击的任意网络装置(包括结合了IDP装置的功能性的路由器、以及独立的网络安全装置)来实现。
图2A、2B是更详细地示出执行本发明原理的私有网络6的框图。图2A是示出根据本文描述的分级安全技术的收集并聚集来自最终用户装置18A-18M的装置安全信息的私有网络6的访问装置14A。尽管以下相对于访问装置14A和最终用户装置18A-18M来描述各种模块、元件、代理、单元、及其他部件,但是,每个访问装置14和每个最终用户装置18都可以包括与相对于访问装置14A和最终用户装置18A-18M描述的部件类似的部件。
访问装置14A包括至少一个网络接口21和控制单元22A,其中,控制单元22A耦合到网络接口21。网络接口21代表访问装置14A可以发送和接收网络通信量48和其他信息的任意接口。在一些情况下,网络接口21可以包括接口卡或用于发送和接收网络通信量48的任意其他可移动卡。在其他情况下,网络接口21可以包括以太网端口、串行端口、通用系统总线(USB)端口、火线端口、或可通过其来发送和接收数据的任意其他端口中的一个或多个。
控制单元22A可以包括硬件(例如,可编程处理器、现场可编程门阵列(FPGA)、特定用途特殊产品(Application Specific SpecialProduct,简称ASSP)、特定用途集成电路(ASIC)、集成电路等等中的一个或多个),和计算机可读的存储介质或存储器(例如,静态介质(硬盘驱动、光盘驱动、磁盘驱动、闪存等等),和/或动态介质(随机存取存储器或RAM、动态RAM或DRAM等等)。在一些情况下,计算机可读的存储介质可以包括指令,诸如那些用于定义软件或计算机程序的指令,这些指令使上述列出的可编程处理器执行本文描述的分级安全技术。
控制单元22A可以包括多个模块,包括认证模块23、网络协议模块24(“网络协议24A”)、安全监控代理26、安全映射模块28、及聚集模块29。这些模块23-29中的每个模块都可以包括硬件和/或软件模块。认证模块23可以代表与认证服务器16通信以按照上述方式对最终用户装置18A-18M进行认证的模块。网络协议24A可以代表用于收集来自最终用户装置18A-18M的上述安全信息的协议的模块。网络协议24A可以包括对802.1x认证协议的扩展、或任意其他类似认证协议。
安全监控代理26可以代表用于与最终用户装置18A-18M进行通信以收集安全信息的模块。安全监控代理26可以包括上述UAC的服务器端(server-side),服务器端与包括在多个最终用户装置18A-18M中的一个或多个最终用户装置中的客户机端UAC(诸如安全报告代理40)进行通信。安全映射模块28可以代表将从每个最终用户装置18收集到的安全信息映射到各个安全分类的模块。安全映射模块28可以包括并维护一个安全分类表30,该表定义了安全信息和安全分类的各个方面之间的多个映射。实际上,安全分类表30可以代表接收安全信息并输出安全分类的模块。聚集模块29可以代表用于根据聚集算法31而基于每个网络、子网络、或VLAN来聚集装置安全分类信息44的模块。例如,聚集模块29可以检查装置安全分类信息44,并确定代表VLAN(诸如VLAN 20A)的IP地址的范围。
每个最终用户装置18A-18M都可以包括控制单元32A-32M(“控制单元32”),控制单元32A-32M类似于控制单元22A而包括硬件(例如,可编程处理器、现场可编程门阵列(FPGA)、特定用途特殊产品(ASSP)、特定用途集成电路(ASIC)、集成电路等等中的一个或多个)、和计算机可读存储介质或存储器(例如,静态存储器(硬盘驱动、光盘驱动、磁盘驱动、闪存等等))、和/或动态存储器(随机存取存储器或RAM、动态RAM或DRAM等等)。在一些情况下,计算机可读存储介质可以包括指令,诸如那些用于定义软件或计算机程序的指令,这些指令可以使上述列出的可编程处理器执行本文描述的分级安全技术。
每个控制单元32分别可以包括安全模块34A-34M(“安全模块34”)、操作系统模块36A-36M(“O/S 36”)、以及补丁38A-38M(“补丁38”)。多个安全模块34可以各代表执行防病毒安全服务、防火墙安全服务、以及任意其他安全服务以针对各个最终用户装置18而检查输入和输出的网络通信量的模块。这些安全服务可以包括类似于由IDP模块4执行的那些服务的服务,原因在于,每个安全模块34都可以应用图案或签名来检测输入和输出的(从各个最终用户装置18输入和输出的)网络通信量内的网络攻击。然而,安全模块34也许不能检测到目标为多个网络装置或目标为网络范围的脆弱性的攻击。
O/S模块36代表这样的模块,该模块向各个最终用户装置18提供基础接口并可以包括Windows操作系统、MacOS、Linux操作系统、以及提供可在其上执行软件的平台的任意其他操作系统。每个补丁38都典型地代表解决或“修补”与硬件和/或软件相关的安全或其他事务的小软件或固件升级。一般来说,最终用户装置18A-18M安装各个补丁38,以解决加工商开发补丁38所要修补的软件和/或硬件之前未注意到的问题。通常,软件和/或硬件的加工商发行这些补丁,最终用户装置38可以免费下载并安装以修补问题软件和/或硬件。例如,微软公司每个月的第二个星期二发行用于免费下载和安装以解决与微软软件(包括Microsoft Office和Windows操作系统)相关的安全的补丁。
最终用户装置18A-18M的多个控制单元32中的一个或多个(例如,控制单元32A)还可以包括网络协议模块24B,该网络协议模块类似于上述相对于控制单元22A描述的网络协议24A,不然的话,就是该网络协议模块与网络协议基本一样。每个网络协议模块24A、24B(“网络协议24”或“网络协议模块24”)可以是一样的,原因在于,这些网络协议模块24可以实现同样的网络协议以彼此通信(安全信息)。最终用户装置18A-18M(最终用户装置18M)的一个或多个控制单元32还可以包括安全报告代理40,安全报告代理代表用于将安全信息传达给安全监控代理26的模块。安全报告代理40可以包括上述客户机端UAC。尽管为了易于举例说明而在图2A中将最终用户装置18A-18M示出为包括网络协议34或安全包括代理40,但是最终用户装置18可以各包括网络协议24B和安全报告代理40两者或两者之一、以及任意其他用于将安全信息传达给访问装置14的模块。
最初,用户(图2A中未示出)可以经由用户接口模块(图2A中未示出)所呈现的用户接口与最终用户装置18A-18M之一交互以连接到私有网络6。为了访问私有网络6,用户可以(例如)与网络浏览器、文件管理系统、邮件应用程序、数据库应用程序、或能够访问私有网络6的任意其他用户接口进行交互。为了举例说明,假设最终用户装置18A尝试访问私有网络6。访问装置14A一般和认证模块23可以对尝试对认证服务器的访问进行重定向,其可以经由认证模块23请求来自最终用户装置18A的认证信息。最终用户装置18A可以经由用户接口提示用户输入认证信息,例如,用户名和口令的组合,并在接收到该信息时,将该信息转发给认证模块23,认证模块继续将该信息转发给认证服务器16。然后,认证服务器16以上述方式对最终用户提供的认证信息进行认证。
假设认证成功,则网络协议模块24可以彼此进行通信,从而网络协议模块24A请求来自网络协议模块24B的上述安全信息。网络协议模块24B可以通过对(例如)安全模块34A、O/S 36A、及补丁38A中的每个的当前状态进行分析来确定安全信息。网络协议模块24B可以确定安全模块34A、O/S 36A和补丁38A中的每个的名称、类型、版本、及其他有关信息,并根据协议将该信息转发给网络协议模块24A。网络协议模块24A可以将最终用户装置18A的该安全信息存储为装置安全信息42。装置安全信息42可以代表多个最终用户装置18A-18M中当前访问和/或已经访问了私有网络6的一个或多个最终用户装置的装置特有安全信息。
可替换地,但再次假设验证成功,安全监控代理26可以请求来自安全报告代理40的最终用户装置18M的安全信息。安全报告代理40可以维护安全模块34M、O/S 36M、及补丁38M中每个的当前状态、以及其他相关安全信息。安全报告代理40可以响应于来自安全监控代理26的请求而将安全信息转发给安全监控代理26,安全监控代理将所接收到的安全信息存储为装置安全信息42(这类似于网络协议24A)。在一些情况下,安全报告代理40可以不响应于请求而是根据定义的进度表(诸如,每周、天、小时、或其他时间间隔一次)对最终用户装置18M的安全信息进行转发或报告。在其他情况下,安全报告代理40可以再次不响应于来自安全监控代理26的请求而响应于安全模块34M、O/S 36M、补丁38M或任意其他安全能力之一的改变来对最终用户装置18M的安全信息进行转发或报告。该报告形式可以保证访问装置14A和IDP模块4保持与每个最终用户装置18的当前安全能力的更新。
在接收到改变或以其他方式将记录添加到装置安全信息42时,安全映射模块28可以基于安全分类表30而将装置安全信息42映射到装置分类信息44。装置分类信息44可以被称为“44”,原因在于每个访问装置14A-14N都可以对装置分类信息44A-44N进行维护。装置分类信息44可以包括多个最终用户装置18A-18M中的每个最终用户装置和安全分类表30定义的多个安全分类中相应一个安全分类之间的分类映射。例如,以下表1提供了由装置安全分类信息44定义的一个示例性分类映射:
最终用户装置IP地址 | 安全分类 |
192.94.47.1(最终用户装置18A) | 中(2) |
192.94.47.15(最终用户装置18M) | 高(3) |
如表1所示,由IP地址192.94.47.1映射的最终用户装置18A被映射到“中”的分类,可由安全分类值二(2)代表“中”。由IP地址192.94.47.15映射的最终用户装置18M被映射到“高”的分类,可由安全分类值三(3)代表“高”。
在确定装置安全分类信息44之后,聚集模块29根据聚集算法31来进行操作以聚集装置安全分类信息44。聚集模块29可以代表根据聚集算法31而基于每个网络、子网络、或VLAN来聚集装置安全分类信息44的模块。例如,聚集模块29可以检查装置安全分类信息44并确定代表VLAN(诸如多个VLAN 20之一)的IP地址的范围。然后,聚集模块29可以应用聚集算法31以聚集与(例如)VLAN 20A的多个最终用户装置18A-18M中一个或多个最终用户装置相关联的安全分类。即,聚集算法31可以基于与最终用户装置18A-18M中当前访问或之前访问了私有网络6的一个或多个最终用户装置相关联的安全分类来确定VLAN 20A的聚集安全分类。聚集模块29可以将聚集安全分类存储为VLAN安全分类信息46。
下表2代表VLAN安全分类信息46的示例性映射,其可以存储:
VLAN IP子网络地址 | 聚集安全分类 |
192.94.47.X(VLAN 20A) | 中(2) |
如上述表3所示,由VLAN IP子网络地址192.94.47.X定义的VLAN 20A被映射到中的聚集安全分类,可由安全分类值二(2)来标识“中”。
聚集算法31可以按照多种方式来确定这些聚集安全分类。在一种情况中,聚集算法31可以通过将聚集安全分类设置到存储至装置安全分类信息44的最低装置特有聚集安全分类来确定用于VLAN20A的聚集安全分类。在其他情况下,聚集算法31可以通过执行装置特有安全分类的加权平均来确定VLAN 20A的聚集安全分类。因此,聚集算法31可以经由各种各样的数学计算、自适应学习算法、人工智能算法等的任意算法来确定聚集安全分类。
在确定了VLAN安全分类信息46之后,控制单元22A可以将VLAN安全分类信息46传送到IDP模块4,由图2A中的相应箭头所示。访问装置14A还可以将网络通信量48转发到分配路由器10或接收来自分类路由器的网络通信量,以及将网络通信量转发到最终用户装置18A-18M或接收来自最终用户装置的网络通信量。
图2B是更详细地示出图1的分配路由器10的框图。分配路由器10接收来自每个访问装置14的VLAN安全分类信息46。分配路由器10还可以接收来自核心网络9和访问装置14的网络通信量48。如上所述,分配路由器10还可以包括IDP模块4。IDP模块4包括网络接口57和控制单元58,其中,控制单元58耦合至网络接口57。网络接口57可以基本类似于访问装置14A的网络接口21,原因在于网络接口57代表发送并接收网络通信量(诸如网络通信量48)的接口。类似地,控制单元58可以类似于访问装置14A的控制单元22A,原因在于控制单元58还可以包括硬件和计算机可读存储介质或存储器。在一些情况下,计算机可读存储介质可以包括指令,诸如那些用户定义软件或计算机程序的指令,这些指令使硬件(例如,上述列出的可编程处理器)执行本文描述的分级安全技术。
控制单元58可以包括用户接口模块60、分类模块62、表管理模块63、及服务引擎模块64(“服务引擎64”)。这些模块60-64中的每个模块都可以包括硬件、软件、或硬件和软件的任意组合,用来执行属于每个模块的下述功能。
用户接口模块60代表用于与用户(诸如管理员15或其他计算装置)接口的模块。用户接口模块60可以提供一个或多个图形用户接口和/或基于文本的用户接口,管理员15或其他计算装置通过这些接口可以对IDP模块4进行配置。如上所述,管理员15(在图2C中也未示出)可以与用户接口模块60所提供的用户接口进行交互,以指定、编辑、改变、删除、修改、或以其他方式定义一个或多个政策66A-66N(“政策66”)。如上所述,控制单元58可以包括存储介质并可以将政策66存储到该存储介质。在一些实施例中,用户接口模块60可以通过基于文本的用户接口(诸如命令行接口(CLI))来使能基于脚本的配置。
分类模块62代表可以基于从每个数据包中提取的信息来对每个数据包进行分类的模块。分类模块62对数据包进行分类的一种方式是将每个数据包分类为属于特定流。即,分类模块62可以通过从每个数据包提取被称为“五元组”的信息来确定输入网络通信量48中的多个数据包中的特定一个数据包对应于哪个流。如上所述,每个流代表网络通信量内的一个方向上的一个数据包流。五元组包括源互联网协议(IP)地址、目的IP地址、源端口、目的端口、及协议。典型地,在每个数据包的报头内找到五元组,并且分类模块62可从每个数据包的报头中解析或以其他方式提取该五元组,以识别每个数据包对应于哪个流。分类模块62还可以提取并利用其他信息来识别一个流,诸如源媒体访问控制(“MAC”)地址和目的MAC地址。
基于该五元组,分类模块62可以访问流表68,以确定对输入通信量48的每个数据包应用哪个政策66。流表68因此可以将流维护为条目或流条目。每个流条目可以存储标识的五元组和对多个政策66之一的参考。分类模块62可以访问该表68以确定每个数据包对应的流、以及多个政策66中相关联的那个政策。分类模块62然后可以对每个数据包加标签或以其他方式加标记,以指示多个政策66中相关联的那个政策应用于每个加标签的数据包。分类模块62可以通过存储与一个队列(诸如多个队列70之一)中的每个数据包相关联的元数据或其他信息来对每个数据包加标签。队列70可以包括预处理器队列,预处理队列在处理或应用多个政策66中相关联的那个政策之前以先入先出(FIFO)的方式存储数据包。
作为对输入数据包进行分类的另一种方式,分类模块62还可以提取应用层信息,诸如会话初始协议(SIP)报头和有效载荷数据和实时传输协议(RTP)报头和有效载荷数据。分类服务器62还可以包括上述协议解码器(图2C中未示出)以提取该应用层信息或数据从而对每个数据包进行分类。分类模块62可以使每个应用程序与多个政策66中的不同政策相关联。即,分类模块62可以基于由上述解码器中的一个或多个解码器提取出的信息来确定第一数据包(例如)属于HTTP应用程序而另一数据包属于FTP应用程序。基于各个这些分类,分类模块62可以使多个政策66中的第一政策与被分类为属于HTTP应用程序的第一数据包相关联,而使多个政策32中的第二政策与被分类为属于流表68中的FTP应用程序的第二数据包相关联。以该方式,IDP模块4可以使适应地将政策66应用于不同应用程序,并因此适应地将图案72应用于不同应用程序,这可以使得IDP模块4更准确地应用图案72,从而只检测那些目标为特定协议的网络攻击,而不检测对所标识的各个协议中的每个协议无害的那些网络攻击,以限制系统资源消耗。
表管理模块63代表这样的模块,该模块可周期性地更新流表(诸如流表68)以反映政策66的应用上的改变,使存储到流表68的多个流中的一个或多个流与会话相关联,并以其他方式维护或管理存储到流表68的流。表管理模块63可经由网络接口57来接收VLAN安全分类信息46,如上所述,VLAN安全分类信息可以包括一个或多个的VLAN至安全分类的映射。如上所述,控制单元58A可以包括存储介质(图2B中未示出),控制单元58的表管理模块63可以将这些映射或VLAN安全分类信息46存储到该存储介质。
接下来表管理模块63可以通过根据这些映射来更新流表68而对VLAN安全分类信息46进行处理。在该替换性方式中,表管理模块63可以对由VLAN安全分类信息46所标识的流(例如,那些起源于各个与聚集安全分类相关联的VLAN 20中每一个VLAN的最终用户装置18的流,或前往最终用户装置的流)进行更新。表管理模块63可以因此对安全分类和政策66之间的关联进行管理利用为输入到流表68的相应流条目所标识的政策66之一来更新流表68。在这点上,分类模块62通过访问流表68可以分类或以其他方式确定与VLAN安全分类信息46所限定的聚集安全分类相关联的政策66之一。
服务引擎64代表服务于或以其他方式处理输入通信量48的模块。服务引擎64可通过对每个数据包应用政策66之一来服务于或处理每个数据包。在每个政策66标识出至少一个不同于所有其他政策66的图案时,每个政策66都可以标识要应用的一个不同图案72的集合。服务引擎64可以对标识了全部网络攻击集合的全部图案72的集合进行维护。每个政策66都可以通过指明是否应用全部图案72的集合还是应用全部图案72的集合的子集来标识图案集合。在对输入通信量48的每个数据包进行处理之后,服务引擎64可以基于应用相应政策66而将那些数据包作为输出的通信量48转发出去。
政策服务器12包括政策数据库74(“政策DB 74”)和用户接口模块76。政策数据库74可以代表用于存储政策(诸如政策66)的存储库或存储介质。用户接口模块76可以代表提供用户接口的模块,管理员15可以通过用户接口进行接口以限定、编辑、改变、删除、或以其他方式指定存储到政策数据库74的那些政策。用户接口模块76还可以提供管理员15进行接口以访问、观看、排序、或以其他方式管理存储到政策数据库74的那些政策的同一或不同用户接口。在指定存储到政策数据库74的政策之后,管理员15可以使政策服务器12将存储到政策数据库74的政策中的一个或多个政策上传到IDP模块4,其是由政策66来代表的。
政策66中的一个或多个政策可以与特定应用相关联,而其他政策可以与流相关联。此外,政策66中的一个或多个其他政策可以与特定安全分类或聚集安全分类相关联。在这点上,政策66可以代表典型政策和根据本文描述的分级安全技术所限定的政策。因此,IDP模块4可以不只实现本文描述的分级安全技术还可以实现与多个传统安全装置相关联的那些技术。
在以该方式对IDP模块4进行配置之后,表管理模块63可以接收VLAN安全分类信息46或者至少更新、添加、删除或与将VLAN安全分类信息46维护在适当当前状态相关的其他信息。即,表关联模块63可以接收(例如)基于时间的更新(诸如,每小时、每天、每周、每月)以将VLAN安全分类信息46维护在适当当前状态。响应于这些更新,表管理模块63可以根据所接收到的更新来更新VLAN安全分类信息46。基于VLAN安全分类信息46,表管理模块63可以周期性地更新流表68的流条目,以反映VLAN安全分类信息46的当前状态。
与表管理模块63接收VLAN安全分类信息46并更新流表68同时或一起,分类模块46可以接收输入的通信量48,并通过从每个数据包中提取上述五元组以及基于所提取出的五元组而在流表68中执行上述查找来对通信量48的每个数据包进行分类。在与所提取出的五元组相对应的流未被存储到流表68的情况下,分类模块62可以将对应于五元组的流添加到该表并使一个政策与流表68中的新流相关联。可替换地,分类模块62可以指示表管理模块63在流表68中创建一个新的条目并使政策66之一与该新政策相关联。然后在对输入通信量48的每个数据包进行分类之后,分类模块62可以利用相应标记来存储该数据包,该相应标记标识了多个政策66中与队列70之一相关联的那个政策。
服务引擎64可以对存储到队列70的这些数据包进行检索,并应用由相应标记所标识的政策66之一所限定的相关联图案集合。服务引擎64可以(例如)将第一政策66A所限定的图案72的第一集合应用于(例如)从队列70检索到的网络通信量第一部分或数据包上。政策66A可以指明或标识被应用于相关联数据包以标识已知网络攻击的相应全部集合的全部已知图案72的集合或简单图案72。因此,政策66A可以与低聚集安全分类相关联,这是因为应用网络攻击的全部集合可以标识并防止网络攻击的全面集合。根据政策66A,服务引擎64可以将每个图案72应用于相关联的数据包。基于应用图案72(例如,任何网络攻击是否被图案72所限定),服务引擎64可以将相关联的数据包作为输出的通信量48转发出去。
作为另一实例,服务引擎64可以将第二政策66N所限定的图案72的第二集合应用于从队列70检索到的通信量48的另一数据包或第二部分。第二政策66N可以标识不同于服务引擎64应用于网络通信量48的该第二部分的第一政策66A所限定的全部政策72的集合的图案72的子集。第二政策66N可以因此与高于第一政策66A的安全分类的安全分类相关联。再次,基于应用由第二政策66N所限定的图案72的子集,服务引擎64可以将相关联的数据包作为输出的通信量48转发回分配路由器10。
以该方式,服务引擎64可以将第一政策66A和第二政策66N应用于网络通信量48的不同部分,以补偿VLAN 20的安全能力,从而可改善网络连通性,尤其是在高网络拥塞时(这时系统资源的有效利用很关键)。通过表管理模块63周期性地更新流表68以反映VLAN安全分类信息46所限定的安全能力的变化,政策66中的不同政策被应用于通信量48的不同部分。然后分类模块62可以对通信量48的各个部分进行分类,从而服务引擎64可以识别哪个政策和图案被应用于网络通信量48的那些相应部分。
因此,IDP模块4总体上更“知晓”网络,并且服务引擎64可以基于该“知晓”而只应用补偿给定网络、子网络、VLAN、装置或任意其他分类的特定脆弱性所需的那些图案72。因此,对于安全网络,服务引擎64可以缩放回应用到与传统安全装置上的安全网络相关联的网络通信量48的图案72的数目,从而降低系统资源利用并改善网络联通性,如上所述尤其在网络高度拥塞时。
服务引擎64可以利用该安全分类信息,不仅改善将图案72应用于网络通信量48的效率,还作为在网络高度拥塞时转发通信量的基础。如上所述,在网络高度拥塞时,服务引擎64可能接收高于其所处理的网络通信量48,从而延迟或可能放弃网络通信量48的一个或多个数据包。在一些情况下,分类模块62可以基于每个数据包所属的分类来确定网络通信量48的哪个数据包被延迟或放弃。
例如,分类模块62可以在网络高度拥塞时接收网络通信量48的第一数据包并经由流表68来确定与该数据包相关联的政策66之一,如上所述。第一政策可与较高安全分类相关联,并因此可以表示在网络高度拥塞时分类模块62应当转发该数据包而不应用由政策66之一所标识的那些图案72。分类模块62可以检索政策66的该第一政策并先通过计算来确定拥塞等级,例如,队列70的剩余能力、当前带宽消耗、系统资源利用、或表示拥塞的任意其他度量。该第一政策可以包括阈值或度量(通过该阈值或度量来比较计算出的拥塞度量),以及服务引擎64可以对拥塞度量与该阈值进行比较。如果所计算出的拥塞度量超过该阈值,则分类模块62可以转发该第一数据包,使得服务引擎64不应用由政策66的第一政策所限定的图案72的集合。否则,分类模块62可以将该数据包存储到队列70,服务引擎64可以在该队列上检索该数据包并应用由政策66中的第一政策限定的那些图案72。
典型地,对于与较低安全分类相关联的那些政策66,政策66的第一政策所限定的阈值可以比与政策66的第一政策相关联的阈值低,从而有效建立转发梯度,通过该转发梯度更安全的通信量被转发而在相对轻的拥塞等级期间不应用任何图案72,而较低的安全通信量被转发而在相对重的拥塞等级期间不应用任何图案72。即,第二数据包可以与对应于低于政策66的第一政策的安全分类的安全分类的第二政策相关联。政策66的第二政策可以因此限定比政策66的第一政策所限定的阈值更高的阈值。
因此,分类模块62典型地不转发第二数据包,直到所计算出的拥塞度量超过更高的第二阈值,这一般可以在当所计算出的拥塞度量超过较低的第一阈值之后发生。随后,相对于与较低安全网络(例如,与较低安全分类相关联的网络)相关联的那些数据包,分类模块62可以优先转发与更安全的网络(例如,具有更高安全分类的网络)相关联的那些数据包,这是因为这些较低安全网络呈现更多的安全风险。以该方式,服务引擎64可以通过当安全分类值指示较低值时而不是当安全分类值指示较高值时在网络高度拥塞期间应用第一政策和第二政策中的每个政策所限定的图案集合,来应用由第一政策和第二政策中的每个政策所限定的图案集合,从而降低网络装置内的资源消耗。
此外,IDP模块4还可以利用这些安全分类作为路由或转发网络通信量48的基础。例如,分类模块62可以利用安全分类来识别IDP模块4不能处理而一些其他(典型地,更高端的)IDP模块/装置可处理的安全威胁。分类模块62可以再次接收通信量48的数据包并确定与该数据包相关联的政策66之一。如果该数据包与不能处理的政策IDP模块4相关联(例如,限定了未安装在服务引擎64内的图案72的政策),则分类服务器62可以将该数据包转发给可处理该安全分类的另一IDP装置。分类模块62可以因此对标识其他IDP装置及其关联安全能力(例如,作为IDP装置和安全分类之间的映射)的表或其他数据结构进行维护。分类模块62可以访问该表并识别一个这样的IDP装置,该IDP装置提供由与该数据包相关联的政策所限定的安全服务(例如,图案)。然后分类模块62可以将该数据包准发给所识别的IDP装置,该IDP装置可以应用适当的图案(类似于图案72)以免受该政策相关联的安全分类所标识的威胁。
进一步如图2B所示,服务引擎64可以包括报告模块73。报告模块73可以将VLAN安全分类信息46和攻击统计报告给其他专用安全装置,例如类似于IDP模块4但可以提供更高等级安全能力的其他装置。攻击统计可以包括用于检测的图案72的时间、类型、签名、或图案的日志、以及用于图案72之一所检测到的每个攻击的其他信息。攻击统计还可以指明给定时间量所处理的通信量和其他性能统计。这些专用安全装置可以根据聚集算法(诸如聚集算法31)接收VLAN安全分类信息46和攻击统计以及进一步的聚集VLAN安全分类信息46和整个网络(或在该实例中,私有网络6)上的攻击统计。在这点上,聚集算法31可以是递归式的,原因在于算法31可以对算法31的输出(例如,VLAN分类信息)进行处理以产生另一更高等级的抽象(例如,网络分类信息)。
该专用安全装置可以对该进一步的聚集信息进行分析以检测系统范围的攻击和基于网络范围的IDP服务的其他平衡应用。例如,一个专用安全装置可以检查网络范围的分类和攻击统计以确定几乎同时利用同样的攻击多于一个的VLAN(例如,VLAN 20A、20N)。然后该专用安全装置可以向管理员(例如,管理员15)发出警报以指明系统范围的攻击正在进行。该专用安全装置还可以检查具有IDP能力的各种专用安全装置、IDP装置和/或路由器中平衡通信量负载的攻击统计。以该方式,专用安全装置可以代表分级中分配层之上的另一层,其接收来自报告模块73的信息并对该信息进行分析以识别和/或防止另一等级的攻击和各种装置间的平衡检查负载以减少任一装置上的负载。负载分解的确定可以通过统计配置的负载分解政策来进行,或者基于类似于报告模块74的报告模块所动态报告的信息(诸如每个装置的会话数目)来进行。
图3是示出在执行本文描述的分级安全技术时网络系统2的示例性操作的流程图。最初,以上述方式,访问装置14中的一个或多个访问装置接收来自最终用户18中的一个或多个最终用户的安全信息(info)(77)。例如,访问装置14A可以在最终用户装置18A认证期间从最终用户装置18A接收关于最终用户装置18A的安全信息或安全能力。
可替换地,访问装置14A可以利用应用识别(ApplicationIdentification,简称AI)和操作系统指纹(OSFP)来检索装置特有的安全信息。即,访问装置14A可以利用该AI的简装版本(slimversion)来检测最终用户18A所采用的防火墙应用程序或防入侵系统(IPS)/防病毒(AV)的类型和版本。AI可以包括通常通过应用图案来检测活动会话的数据包中的特定图案而识别在最终用户装置(诸如最终用户装置18A)上执行的应用程序的模块。AI还可以采用特定IP地址或端口到应用程序的映射以检测最终用户装置18A上执行的防火墙或IPS/AV的版本和/或类型。在该情况下,访问装置14A可以经由OSFP模块来收集关于OS的细节。OSFP模块可以通过检查从最终用户装置18A接收到的IP数据包来检测在最终用户装置18A上执行的OS。作为另一替换方式,访问装置14A可以采用用户访问客户机或安全监控代理(诸如图2A的安全监控代理26)来从最终用户装置18A检索安全信息。
在接收到安全信息之后,在访问装置14A的控制单元22A上执行的安全映射模块28可以将装置特有安全信息映射到存储在安全分类表30内的安全分类(78)。安全映射模块28可以利用安全映射表30来执行轻重的处理,安全映射被可以由管理员15或一些其他用户(诸如安全组的一员)来配置。该装置安全分类可以被存储为装置安全分类信息44。如上所述,然后访问装置14A的聚集模块29可以根据聚集算法31来聚集装置安全分类信息44以输出聚集安全分类信息,例如,VLAN安全分类信息46(82)。
接下来,控制单元22A可以将聚集安全分类信息(例如,VLAN安全分类信息46)转发给分配路由器10(84)。如图2B所示,分配路由器10可以包括IDP模块4,在一些情况下,IDP模块可以代表防火墙、IDP、及抗病毒硬件和/或软件模块的任意组合。IDP模块4可以(例如)经由政策服务器12用政策66来配置,以处理一个或多个安全分类的通信量。IDP模块4可以根据所配置的政策和聚集的安全数据或从访问装置14接收到的分类信息(例如,VLAN安全分类信息46)来检查VLAN间的/子网通信量。总地来说,如上所述,安全分类越低,就需要越高的安全检查来确保网络安全性。
例如,分配路由器10的IDP模块4可以接收来自每个访问装置14的聚集安全分类信息(例如,类似于VLAN安全分类信息46的VLAN安全分类信息)(86)。在一些情况下,VLAN安全分类信息46可以将多于一个的VLAN映射到多个安全分类中对应的一个安全分类。
随着网络6的分类和安全信息的分级聚集继续,分配路由器10接收网络通信量48(88)。分配路由器10可以通过各个访问装置14来接收来自核心网络9或来自最终用户装置18的网络通信量48。分配路由器10可将通信量48转发给IDP模块4(如图2B所示),IDP模块4的分类模块62将至少一部分的通信量48分类为属于一个安全分类(94)。分类模块62可以通过对流表68进行访问来确定安全分类,如上所述,表管理模块62在之前被更新以反映聚集安全分类信息,例如,VLAN安全分类信息46。
换句话说,在IDP模块4接收该聚集安全分类信息时,表管理模块63可以(例如)将聚集的安全分类信息或VLAN安全分类信息46添加到流表68。如上所述,表管理模块63可以通过更新流表68中的流条目来添加VLAN安全分类信息46以反映政策66之一,该政策被服务引擎64应用至与该流条目所标识的相应流相关联的数据包。以该方式,分类模块62可以访问流表68来确定安全分类和每个流(以及因此的私有网络6的VLAN 20)与该安全分类相关联的政策66中的一个相应政策。
为了访问流表68,分类模块62可以从通信量48的数据包解析IP地址并利用该IP地址在流表68内检索具有该IP地址的流条目。在检索该流条目时,分类模块62可以识别应用于该数据包的政策66之一,其中,该政策对应于安全分类之一。因此,分类模块62可以间接地将通信量48分类为一个或多个安全分类,或者换句话说,通过流表68来确定通信量48中的至少一部分通信量的安全分类。类似地,分类模块62可以通过对流表68进行访问来确定与安全分类相关联的政策66之一。
在对通信量48的每个数据包进行分类之后,分类模块62可以以上述方式存储用于标识与到队列70的通信量48的每个数据包的政策66相关联的那个政策的标记或其他元数据。服务引擎64可以从队列70检索数据包和相关联的标记,并将该标记所标识的政策66之一应用于相应的那个数据包。在应用政策66之一时,服务引擎64应用政策66之一所标识的图案72的集合。而且,因为每个政策66都可以与一个特定服务分类相关联,所以服务引擎64可以基于所确定的分类来应用由政策66之一所标识的图案72的集合(96)。
如进一步所描述的,IDP模块4可以基于应用由相关联的那个政策66所标识的图案72的集合来转发通信量(98)。即,如果图案72的任意集合检测到攻击,则服务引擎64可以检疫、删除、或防止转发数据包以及同一流中的任意其他可能的数据包。然而,如果未检测到对该数据包的攻击,则服务引擎64可以将该数据包转发到所检测的数据包所标识的目的地。
图4是更详细地示出了在执行分级安全技术的图2B的IDP模块4的操作的流程图。最初,IDP模块4的表管理模块63可以接收聚集安全分类信息(100)。作为实例,表管理模块63可以接收来自每个访问装置14的VLAN安全分类信息46。在接收到该聚集安全分类信息时,表管理模块63可以利用该聚集安全分类信息来更新流表68(102)。
在一些情况下,表管理模块63可通过首先确定与所标识的VLAN或IP子网前缀相关联的政策来用聚集安全分类信息更新流表68。表管理模块63可以对标识多个安全分类和相应政策之间的映射的表进行维护。例如,表管理模块63可以确定安全值“高”(其可以由三(3)代表)对应于政策66A而安全值“低”(其可以由二(2)代表)对应于政策66B。接下来表管理模块63可以确定流表68的哪个流条目对应于VLAN IP子网地址。由于VLAN IP子网地址可以标识IP地址的范围,所以表管理模块63可以访问与该IP地址范围相关联的那些流条目并更新这些流条目中的每个条目以指明将对应政策应用于该流。
例如,如果表管理模块63接收到表示具有IP子网地址192.94.47.X的VLAN 20具有“中”安全分类的VLAN安全分类信息46,则表管理模块63可以确定范围192.94.47.0值192.94.47.255的范围内的所有IP地址都与政策66B相关联。然后表管理模块63可以访问流表68并更新标识前往或来自于上述范围中的任意IP地址的流的所有流条目。表管理模块63可以根据所标识的这些流条目中的每个流条目以指明根据政策66B检查与这些流相关联的数据包。通过以该方式这样更新流表68,分类模块62可以访问流表68,不只确定所接收到的每个数据包的安全分类,还基于所确定的安全分类来确定将哪个政策应用于所接收到的每个数据包。
例如,分类模块62可以接收数据包,该数据包可以代表网络通信量48的一部分(104)。分类模块62可以从该数据包(或更具体地从该数据包的报头)中解析IP地址(106)。分类模块62可以利用所解析出的IP地址作为进入流表68的密钥以检索流条目(108)。基于该流条目,分类模块62可以确定安全分类和政策66中与该安全分类相关联的那个政策,这是应为表管理模块63以上述方式对流表68进行维护以反映聚集安全分类信息(110)。然后分类模块62可以将该数据包和标识一个相应政策66的标记存储到队列70之一(112)。
如上所述,服务引擎64可以检索该数据包和标记并应用由标记所标识的相关联的那个政策66(114,116)。在一些情况下,在网络高度拥塞时,服务引擎64可以不应用相关联的那个政策66。服务引擎64可以基于那个政策66所对应的多个服务分类之一来确定是否应用相关联的那个政策66。即,当这些服务分类确保下游装置(例如,最终用户装置18)正应用足够的安全服务以充分保护以免受网络攻击时,服务引擎64可以确定不要应用与服务分类值二或更高值相关联的那些政策66。然而,当需要政策66充分确保免受下游装置(例如,最终用户装置18)不能自保的网络攻击威胁时,服务引擎64可以确定是否要应用与服务分类值一或更低值相关联的那些政策66。
图5是示出根据本文描述的分级安全技术进行操作的另一示例性网络系统120的框图。如图5所示,网络系统120包括耦合至公共网络124的私有网络122。如果不是基本类似,则私有网络122可以类似于图1的私有网络6。类似地,如果不是基本类似,公共网络124可以类似于图1的公共网络8。
非常类似于私有网络6,私有网络122是根据三层分级模型来组织的。在核心网络层中,私有网络122包括核心网络126,如果不是基本类似的话,该核心网络类似于核心网络9。在分配层中,私有网络122包括多个分配路由器128A-128N(“分配路由器128”),如果不是基本类似地话,则每个分配路由器都可以类似于分配路由器10。每个分配路由器128都可以包括各自的IDP模块130A-130N,如果不是基本类似的话,则每个IDP模块都可以类似于IDP模块4。私有网络122还在分配层中包括政策服务器132。如果不是基本类似的话,则政策服务器132可以类似于政策服务器12。
私有网络122还在访问层中包括访问装置134A-134Z(“访问装置134”),其中,第一集合的访问装置134A-134M耦合到第一分配路由器128A,而第二集合的访问装置134N-134Z耦合到第二分配路由器128N。每个访问装置134都可以耦合到各个VLAN136A-136Z(“VLAN 136”)的最终用户装置,非常像访问装置14。为了简化说明,各个VLAN 136的最终用户装置未在图5中示出,然而,如果不是基本类似的话,则VLAN 136的最终用户装置可以类似于最终用户装置18。类似地,如果不是基本类似的话,则VLAN136可以类似于VLAN 20。
如果不是基本类似的话,则访问装置134还可以类似于访问装置14,尤其是在根据本文描述的分级安全技术收集并聚集安全信息方面。换句话说,每个访问装置134都可以接收来自每个VLAN 136的最终用户装置的装置特有安全信息,将该信息映射到装置特有安全分类信息,并将该装置特有安全分类信息聚集到聚集安全分类信息,例如,VLAN安全分类信息46。每个访问装置134还可以将聚集安全信息转发到各个分配路由器128,其中,IDP模块130对该信息进行处理以更新由各IDP模块130所维护的各个流表。
相比于私有网络6,私有网络122还包括IDP装置134。IDP装置134可以代表单独的网络安全装置,该单独的网络安全装置包括模块、元件、单元、引擎、以及用来实现上述的关于IDP模块4的这些相同部件的功能性的其他部件。然而,IDP装置134还可以代表专用的安全装置,原因在于IDP装置134可以将聚集的安全分类信息聚集到代表另一抽象等级的信息。即,聚集的安全分类信息将装置特有安全分类信息抽象为子集或VLAN安全分类信息,其中,VLAN包括装置的聚集。然后IP装置138接收该VLAN安全分类信息并将该VLAN安全分类信息聚集到网络安全分类信息,其中,网络包括VLAN的聚集。IDP装置138可以采用类似于关于IDP模块4描述的聚集模块,并且在整个意义上,如上所述,两个聚集模块的聚集算法都可以考虑递归。
IDP装置138可以接收并聚集该信息,以检测网络范围的攻击或跨越多个VLAN 136的攻击。当一个网络范围的攻击可以聚焦在分配路由器128A所服务的VLAN 136A以及不同于分配路由器128A的分配路由器128N所服务的VLAN 136N两者时,各个IDP模块130A和130N两者都不能检测到该攻击,这是因为它们谁都不能将该攻击看作整体。因此,IDP模块130A、130N可以通过类似于图2B中所示的报告模块73的报告模块来将各个报告模块所维护的VLAN安全分类信息和攻击统计转发到IDP模块138。IDP模块138可以聚集该信息并应用类似于图案72的图案以检测网络范围的攻击。
在一些情况下,IDP装置138还可以代表应用更高级别的图案以检测更严重的网络攻击的上述专用安全装置。IDP模块130可以获知彼此的服务能力以及IDP装置138的服务能力。如上所述,然后,IDP模块130可以将被分类为属于IDP模块130中正在接收的那个IDP模块不能处理的安全分类网络通信量的数据包路由到IDP装置138。然后,IDP装置138可以将更耗时的或更高级别的安全服务应用于网络通信量IDP模块130未配备处理的那些部分。在这种情况下,IDP装置138可以代表可以被描述为“高端”的专用安全装置,原因在于IDP装置138可以花费更多的金钱并提供更全的安全服务集合。
IDP装置138还可以代表接收并聚集来自分配路由器128的聚集安全分类信息和攻击统计的专用安全装置。基于此,该信息IDP装置138可以执行某等级的负载平衡以更有效地平衡各种IDP模块130和IDP装置138之间的通信量负载。例如,当IDP模块130B未被充分使用时,IDP装置138可以指示IDP模块130其应当将所有低安全分类的通信量转发给IDP模块130B。IDP装置138可以利用所设置的每个IDP模块130都应当处理的负载来配置,或可以基于该攻击统计而动态地确定负载。IDP装置138还可以检查每个IDP模块130并确定每个IDP模块130正在处理的流的数目,并基于该信息来动态地对负载进行平衡。然而,不管如何平衡负载,IDP装置138都可以基于每个IDP模块130的安全分类信息和安全能力来调整负载的平衡,这不同于典型地只基于带宽可用性来重新平衡负载的传统IDP装置。
作为该重新平衡负载的结果,IDP装置138和IDP模块130可以通信,使得负载可以被重新平衡。该重新平衡通信可以进一步使IDP装置138和IDP模块130能够将通信量卸载到彼此。通信量卸载在网络高度拥塞时尤其有用,这是因为,当IDP模块130A开始超出其队列(例如,队列70)时,IDP模块130A(例如)可以将通信量卸载到IDP模块130B。IDP模块130A可以发送消息来请求IDP模块130B处理流集合(通过IP地址来标识)的消息。然后,IDP模块130A可以将该通信量转发给IDP模块130B,使得IDP模块130B可以处理(例如)这些流的检测和/或防止攻击。在一些情况下,IDP模块130和/或IDP装置138可以基于与该流相关联的安全分类来卸载流。在任意事件中,通过对安全分类信息进行维护,IDP装置138和IDP模块130可以在总体上变得更加知晓网络122以及尤其是网络122的安全能力。因此,这些装置/模块可以通过消除安全服务的重叠应用来更有效地检测和/或防止网络攻击并改善网络连通性。
尽管上述参照单个装置(例如,路由器10或路由器128)进行描述,但是该技术可以通过能够应用安全服务以检测和/或防止网络攻击的任意网络装置来实现。即,访问装置134可以(例如)包括类似于IDP模块130的各个IDP模块以更有效地根据这些技术来检测和/或防止网络攻击。因此这些技术不应当局限于多重装置场景,其中,一个装置,例如,访问装置134之一收集并聚集安全信息,而另一装置,例如,分配路由器128之一利用该聚集安全信息来对网络通信量进行分类,并有效地应用政策以检测在该网络通信量内出现的网络攻击。相反,这些技术可以通过单个装置来实现,该单个装置既收集和聚集该信息,还基于所聚集的该安全信息来应用一个或多个政策。
已描述了本发明的各种实施例。这些和其他实施例处于所附权利要求的范围内。
Claims (36)
1.一种方法,包括:
利用网络装置接收安全分类信息,所述安全分类信息标识安全分类和至少一个计算装置之间的至少一个映射,其中,所述安全分类标识所述至少一个计算装置的安全能力;
利用所述网络装置接收与所述至少一个计算装置相关联的网络通信量;
利用所述网络装置将与所述安全分类相关联的政策所限定的图案集合应用于所述网络通信量以检测相应的网络攻击集合中的任意网络攻击;以及
利用所述网络装置基于应用所述图案集合来转发所述网络通信量。
2.根据权利要求1所述的方法,
其中,接收所述安全分类信息包括:接收第一聚集安全分类信息以及接收第二聚集安全分类信息,其中,所述第一聚集安全分类信息标识第一安全分类和第一计算装置集合之间的第一映射,以及所述第二聚集安全分类信息标识第二安全分类和第二计算装置集合之间的第二映射,
其中,接收所述网络通信量包括:接收与所述第一计算装置集合中的一个或多个计算装置相关联的网络通信量的第一部分,以及接收与所述第二计算装置集合中的一个或多个计算装置相关联的网络通信量的第二部分,
其中,应用所述攻击图案集合包括:将第一政策所限定的第一图案集合应用至所述网络通信量的所述第一部分以检测相应网络攻击的所述第一集合、以及将第二政策所限定的第二图案集合应用至所述网络通信量的所述第二部分以检测相应网络攻击的所述第二集合,所述第一图案集合和所述第二图案集合至少有一个图案是不同的,以及
其中,转发所述网络通信量包括:分别基于应用所述第一图案集合和所述第二图案集合来转发所述网络通信量的所述第一部分和所述第二部分。
3.根据权利要求1所述的方法,还包括:
在接收到所述安全分类信息之后,确定与所述安全分类相关联的政策;以及
对由所述网络装置维护的流表的至少一个流条目进行更新以使所确定的政策与数据包流相关联,其中,所述数据包流与所述至少一个计算装置相关联,
其中,应用所述图案集合包括:
对所述网络通信量进行解析以确定与所述至少一个计算装置相关联的至少一个网络地址;
利用所述至少一个地址来访问所述流表以检索所述流条目;以及
将所检索到的流条目所标识的政策所限定的图案集合应用至与所述至少一个计算装置相关联的网络通信量以检测相应的网络攻击集合。
4.根据权利要求1所述的方法,其中,接收所述安全分类信息包括:接收标识一个聚集安全分类和多个计算装置之间的单个聚集映射的聚集安全分类信息,并且其中,所述安全分类包括多个安全分类中的一个安全分类,所述方法还包括:
从所述多个计算装置中的每个计算装置收集安全信息,其中,所述安全信息分别标识所述集合中的每个计算装置的所述安全能力;
将所收集到的安全信息映射到安全分类以输出装置特有安全分类信息,所述装置特有安全分类信息为所述计算机装置集合中的每个计算装置都标识了所述多个安全分类之一与所述计算装置集合中的一个计算装置之间的关联;以及
聚集所述装置特有安全分类信息以输出标识了所述聚集安全分类和所述计算装置集合之间的所述单个聚集映射的所述聚集安全分类信息。
5.根据权利要求1所述的方法,其中,接收所述安全分类信息包括接收虚拟局域网(VLAN)安全分类信息,所述虚拟局域网安全分类信息标识了聚集安全分类与代表了计算装置集合的逻辑分组的VLAN之间的聚集映射。
6.根据权利要求1所述方法,还包括:
确定拥塞等级;
对所述拥塞等级与所述政策所标识的阈值进行比较以确定是否转发所述网络通信量而不应用由与所述安全分类相关联的政策所限定的图案集合;以及
当所述拥塞等级超过所述政策所标识的阈值时,转发所述网络通信量而不应用由所述政策所限定的图案集合。
7.根据权利要求1所述的方法,还包括:
确定所述网络装置是否包括由与映射到所述至少一个网络装置的安全分类相关联的政策所限定的图案集合中的每个图案;以及
基于确定所述网络装置不包括由与所述安全分类相关联的政策所限定的图案集合中的一个或多个图案,而将所述网络通信量转发到网络安全装置而不应用由所述政策所限定的所述图案集合。
8.根据权利要求1所述的方法,还包括:
基于映射到所述至少一个计算装置的安全分类,来确定是否将与所述至少一个计算装置相关联的网络通信量卸载到网络安全装置;以及
基于该确定,来将网络通信量卸载到与所述至少一个计算装置相关联的网络安全装置。
9.根据权利要求1所述的方法,还包括:
收集攻击统计,所述攻击统计记录了所述政策所限定的图案集合对所述网络通信量的应用;
将所述安全分类信息和所述攻击统计报告给专用的网络安全装置;以及
基于所报告的安全分类信息和攻击统计来识别网络范围的攻击。
10.根据权利要求1所述的方法,其中,所述安全分类信息包括关于以下多项中的一项或多项的信息:由所述至少一个计算装置当前所执行的操作系统、所述至少一个计算装置内执行的安全软件、以及由所述至少一个计算装置所执行的操作系统和安全软件的补丁。
11.一种网络装置,包括:
至少一个网络接口,用来发送和接收网络内的通信量;
控制单元,耦合至所述网络接口,
其中,所述控制单元包括存储介质,所述存储介质存储将安全分类映射到网络内的至少一个计算装置的安全分类信息,所述安全分类标识了所述计算装置的安全能力,所述存储介质还存储与所述安全分类相关联的政策,以及
其中,所述控制单元将由所述政策所限定的图案集合应用至所述网络通信量,以检测网络攻击集合中的任意网络攻击并基于应用所述图案集合来转发所述网络通信量。
12.根据权利要求11所述的网络装置,所述控制单元还包括:
表管理模块,接收第一聚集安全分类信息和第二聚集安全分类信息,其中,所述第一聚集安全分类信息标识第一安全分类和第一计算装置集合之间的第一映射,以及所述第二聚集安全分类标识第二安全分类和第二计算装置集合之间的第二映射,其中,所述第二安全分类不同于所述第一安全分类;
分类模块,接收与所述第一计算装置集合中的一个或多个计算装置相关联的网络通信量的第一部分,并接收与所述第二计算装置集合中的一个或多个计算装置相关联的网络通信量的第二部分,以及
服务引擎,将由第一政策所限定的第一图案集合应用至网络通信量的所述第一部分以检测所述第一网络攻击集合,并将由第二政策所限定的第二图案集合应用至网络通信量的所述第二部分以检测所述第二网络攻击集合,
其中,所述服务引擎分别基于应用所述第一图案集合和所述第二图案集合来转发所述网络通信量的所述第一部分和所述第二部分。
13.根据权利要求11所述的网络装置,其中,所述存储介质还存储流表,所述流表包括用于所述至少一个计算装置的至少一个流条目,
所述控制单元还包括:
表管理模块,确定与所述安全分类相关联的政策,并更新所述流表的所述至少一个流条目以使所确定的政策与所述至少一个计算装置相关联;
分类模块,对所述网络通信量进行解析以确定与所述至少一个计算装置相关联的至少一个地址,利用所述至少一个地址来访问所述流表以检索所述流条目,并确定所检索到的流条目所指明的政策;以及
服务引擎,将所检索到的流条目所标识的政策所限定的图案集合应用至与所述至少一个计算装置相关联的网络通信量。
14.根据权利要求11所述的网络装置,其中,所述控制单元还包括表管理模块,所述表管理模块接收虚拟局域网(VLAN)安全分类信息,所述虚拟局域网安全分类信息标识了聚集安全分类与代表了计算装置集合的逻辑分组的VLAN之间的聚集映射。
15.根据权利要求11所述的网络装置,其中,所述控制单元还包括分类模块,该分类模块确定拥塞等级,对所述拥塞等级与所述政策所标识的阈值进行比较,基于比较来确定是否转发所述网络通信量而不应用由与所述安全分类相关联的政策所限定的图案集合,以及当所述拥塞等级超过所述政策所标识的阈值时转发所述网络通信量而不应用由所述政策所限定的图案集合。
16.根据权利要求11所述的网络装置,其中,所述控制单元包括分类模块,所述分类模块确定所述网络装置是否包括由与映射到所述至少一个网络装置的安全分类相关联的政策所限定的图案集合中的每个图案,以及基于确定所述网络装置不包括由与所述安全分类相关联的政策所限定的图案中的一个或多个图案,而将所述网络通信量转发到网络安全装置而不应用所述政策。
17.根据权利要求11所述的网络装置,其中,所述控制单元包括分类模块,所述分类模块基于映射到所述至少一个计算装置的安全分类,来确定是否将与所述至少一个计算装置相关联的网络通信量卸载到网络安全装置,以及基于该确定,来将网络通信量卸载到与所述至少一个计算装置相关联的网络安全装置。
18.根据权利要求11所述的网络装置,其中,所述控制单元包括报告模块,所述报告模块收集攻击统计,并将所述安全分类信息和所述攻击统计报告给专用的网络安全装置,其中,所述攻击统计记录了所述政策所限定的图案集合对所述网络通信量的应用。
19.根据权利要求11所述的网络装置,其中,所述安全分类信息包括关于以下多项中的一项或多项的信息:由所述至少一个计算装置当前所执行的操作系统、所述至少一个计算装置内执行的安全软件、以及由所述至少一个计算装置所执行的操作系统和安全软件的补丁。
20.根据权利要求11所述的网络装置,其中,所述网络装置包括路由器、网络安全装置、专用的网络安全装置、以及入侵检测/防止(IDP)装置中的一个或多个。
21.一种网络系统,包括:
计算装置集合;
耦合至所述计算装置集合的访问装置;
耦合至所述访问装置的网络装置,其中,所述网络装置包括:
至少一个网络接口,用来发送和接收网络内的通信量;
控制单元,耦合至所述网络接口,
其中,所述控制单元包括存储介质,所述存储介质存储将安全分类映射到网络内的至少一个计算装置的安全分类信息,所述安全分类标识了所述计算装置的安全能力,所述存储介质还存储与所述安全分类相关联的政策,以及
其中,所述控制单元将所述政策所限定的图案集合应用至所述网络通信量,以检测网络攻击集合中的任意网络攻击并基于应用所述图案集合来转发所述网络通信量。
22.根据权利要求21所述的网络系统,
其中,所述计算装置集合包括第一计算装置集合,以及
其中,所述访问装置包括第一访问装置,
所述网络系统还包括:
第二计算装置集合;以及
耦合至所述第二计算装置集合的第二访问装置,其中,所述网络装置耦合到所述第一访问装置和所述第二访问装置两者。
23.根据权利要求22所述的网络系统,其中,所述控制单元包括:
表管理模块,接收来自所述第一访问装置的第一聚集安全分类信息并接收第二聚集安全分类信息,其中,所述第一聚集安全分类信息标识了第一安全分类和第一计算装置集合之间的第一映射,以及所述第二聚集安全分类标识了第二安全分类和第二计算装置集合之间的第二映射,其中,所述第二安全分类不同于所述第一安全分类;
分类模块,接收与所述第一计算装置集合中的一个或多个计算装置相关联的网络通信量的所述第一部分,并接收与所述第二计算装置集合中的一个或多个计算装置相关联的网络通信量的第二部分;以及
服务引擎,将由第一政策所限定的第一图案集合应用至所述网络通信量的所述第一部分以检测所述第一网络攻击集合,并将由第二政策所限定的第二图案集合应用至所述网络通信量的所述第二部分以检测所述第二网络攻击集合,
其中,所述服务引擎分别基于应用所述第一图案集合和所述第二图案集合来转发所述网络通信量的所述第一部分和所述第二部分。
24.根据权利要求21所述的网络系统,
其中,所述网络装置还包括流表,所述流表包括用于所述计算装置集合的至少一个流条目,
其中,所述控制单元包括:
表管理模块,接收所述安全分类信息,在接收到所述安全分类信息之后确定与所述安全分类相关联的政策,并更新所述流表的所述至少一个流条目以使所确定的政策与所述计算装置集合相关联;
分类模块,对所述网络通信量进行解析以确定与所述计算装置集合中的每个计算装置相关联的地址,利用每个地址来访问所述流表以检索至少一个流条目,并确定所检索到的至少一个流条目所指明的政策;以及
服务引擎,将所检索到的流条目所标识的政策所限定的图案集合应用至与所述至少一个计算装置相关联的网络通信量。
25.根据权利要求21所述的网络系统,
其中,所述控制单元包括表管理模块,所述表管理模块接收聚集安全分类信息,所述聚集安全分类信息标识了聚集安全分类和计算装置集合之间的单个聚集映射,其中,所述安全分类包括多个安全分类中的一个安全分类,
其中,所述访问装置还(1)收集来自所述计算装置集合中的每个计算装置的安全信息,其中,所述安全信息分别标识了所述计算装置集合中的每个计算装置的安全能力,(2)将所收集到的安全信息映射到安全分类以输出装置特有安全分类信息,所述装置特有安全分类信息为所述计算机装置集合中的每个计算装置都标识了所述多个安全分类之一与所述计算装置集合中的一个计算装置之间的关联,以及(3)聚集所述装置特有安全分类信息以输出标识了所述聚集安全分类和所述计算装置集合之间的所述单个聚集映射的所述聚集安全分类信息。
26.根据权利要求25所述的网络系统,其中,当所述计算装置集合中的每个计算装置尝试对一个私有网络进行访问时,所述访问装置收集来自所述计算装置集合中的每个计算装置的安全信息,其中,所述访问装置控制对所述私有网络的访问。
27.根据权利要求21所述的网络系统,其中,所述控制单元包括表管理模块,所述表管理模块接收虚拟局域网(VLAN)安全分类信息,所述虚拟局域网安全分类信息标识了聚集安全分类与代表了所述计算装置集合的逻辑分组的VLAN之间的聚集映射。
28.根据权利要求21所述的网络系统,其中,所述控制单元包括分类模块,所述分类模块确定拥塞等级,对所述拥塞等级与所述政策所标识的阈值进行比较,基于比较来确定是否转发所述网络通信量而不应用由与所述安全分类相关联的政策所限定的图案集合,以及当所述拥塞等级超过所述政策所标识的阈值时转发所述网络通信量而不应用由所述政策所限定的图案集合。
29.根据权利要求21所述的网络系统,其中,所述控制单元包括分类模块,所述分类模块确定所述网络装置是否包括由与映射到所述至少一个网络装置的安全分类相关联的政策所限定的图案集合中的每个图案,以及基于确定所述网络装置不包括由与所述安全分类相关联的政策所限定的图案集合中的一个或多个图案,而将所述网络通信量转发到网络安全装置而不应用由所述政策限定的所述图案。
30.根据权利要求21所述的网络系统,其中,所述控制单元包括分类模块,所述分类模块基于映射到所述计算装置集合的安全分类,来确定是否将与所述至少一个计算装置相关联的网络通信量卸载到网络安全装置,以及基于该确定,来将网络通信量卸载到与所述至少一个计算装置相关联的网络安全装置。
31.根据权利要求21所述的网络系统,还包括耦合至所述网络装置的网络安全装置,
其中,所述控制单元包括报告模块,所述报告模块收集攻击统计,并将所述安全分类信息和所述攻击统计报告给所述网络安全装置,其中,所述攻击统计记录了所述政策所限定的图案集合对所述网络通信量的应用,以及
其中,所述网络安全装置基于所报告的安全分类信息和攻击统计来检测网络范围的攻击。
32.根据权利要求21所述的网络系统,其中,安全分类信息包括关于以下多项中的一项或多项的信息:由所述至少一个计算装置当前所执行的操作系统、所述至少一个计算装置内执行的安全软件、以及由所述至少一个计算装置所执行的操作系统和安全软件的补丁。
33.根据权利要求21所述的网络系统,
其中,所述网络装置包括路由器、网络安全装置、专用的网络安全装置、及入侵检测/防止(IDP)装置中的一个或多个,
其中,所述计算装置包括在逻辑上被组织为单个虚拟局域网(VLAN)的最终用户计算装置,用户与所述最终用户计算装置进行交互,以及
其中,所述访问装置包括第二层访问交换机、第三层访问交换机、及多层访问交换机中的一个。
34.根据权利要求21所述的网络系统,还包括政策服务器,所述政策服务器在所述网络装置内安装政策。
35.一种方法,包括:
利用一个或多个第二层(L2)网络访问装置接收来自多个计算装置的访问请求;
响应于所述访问请求,收集来自所述多个计算装置中的每个计算装置的安全信息,其中,所述安全信息标识所述多个计算装置中的每个计算装置的安全能力;
基于每个所述计算装置的安全能力,而将所述多个计算装置的第一集合指定为第一安全分类,而将所述多个计算装置的第二集合指定为第二安全分类;
利用第三层(L3)网络装置接收与所述多个计算装置相关联的网络通信量;
利用所述L3网络装置将第一攻击检测图案集合只应用至所述网络通信量中与所述计算装置的第一集合相关联的第一部分网络通信量以检测相应的第一网络攻击集合,其中,所述第一图案集合是由与所述第一安全分类相关联的政策来限定的;
利用所述L3网络装置将第二攻击检测图案集合只应用至所述网络通信量中与所述计算装置的第二集合相关联的第二部分网络通信量以检测相应的第二网络攻击集合,其中,所述第二图案集合是由与所述第二安全分类相关联的政策来限定的并且所述第二图案集合与所述第一图案集合至少有一个图案是不同的;以及
利用所述L3网络装置基于应用所述第一图案集合和所述第二图案集合来转发所述网络通信量。
36.根据权利要求35所述的方法,还包括:
利用所述L2网络访问装置以网络数据包的形式接收来自所述多个计算装置的网络通信量;
利用所述L2访问装置将标记附加于所述网络数据包以指明每个所述数据包是从指定给所述第一安全分类或所述第二安全分类的所述计算装置之一接收到的;以及
将所述网络数据包从所述L2网络访问装置传达给所述L3网络装置以应用攻击检测图案。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US12/209,695 US8955107B2 (en) | 2008-09-12 | 2008-09-12 | Hierarchical application of security services within a computer network |
US12/209,695 | 2008-09-12 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN101674307A true CN101674307A (zh) | 2010-03-17 |
CN101674307B CN101674307B (zh) | 2014-12-10 |
Family
ID=41611225
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN200910173743.8A Active CN101674307B (zh) | 2008-09-12 | 2009-09-11 | 计算机网络内的安全服务的分级应用程序 |
Country Status (3)
Country | Link |
---|---|
US (1) | US8955107B2 (zh) |
EP (1) | EP2164228A1 (zh) |
CN (1) | CN101674307B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103650428A (zh) * | 2011-07-11 | 2014-03-19 | 日本电气株式会社 | 网络检疫系统、网络检疫方法及其程序 |
CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
CN108470006A (zh) * | 2017-02-23 | 2018-08-31 | 西部数据技术公司 | 用于进行非阻塞控制同步操作的技术 |
CN111259616A (zh) * | 2020-01-10 | 2020-06-09 | 四川豪威尔信息科技有限公司 | 一种集成电路布局数据的处理方法 |
US11816349B2 (en) | 2021-11-03 | 2023-11-14 | Western Digital Technologies, Inc. | Reduce command latency using block pre-erase |
Families Citing this family (78)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7536548B1 (en) * | 2002-06-04 | 2009-05-19 | Rockwell Automation Technologies, Inc. | System and methodology providing multi-tier-security for network data exchange with industrial control components |
US9069599B2 (en) | 2008-06-19 | 2015-06-30 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
US10411975B2 (en) | 2013-03-15 | 2019-09-10 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with multi-tier deployment policy |
US9489647B2 (en) | 2008-06-19 | 2016-11-08 | Csc Agility Platform, Inc. | System and method for a cloud computing abstraction with self-service portal for publishing resources |
EP2316071A4 (en) | 2008-06-19 | 2011-08-17 | Servicemesh Inc | CLOUD DATA PROCESSING GATEWAY, CLOUD DATA PROCESSING HYPERVISOR, AND METHOD FOR IMPLEMENTING THEM |
US8040808B1 (en) | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
US8363658B1 (en) | 2008-11-13 | 2013-01-29 | Sprint Communications Company L.P. | Dynamic firewall and dynamic host configuration protocol configuration |
US8341717B1 (en) * | 2008-11-13 | 2012-12-25 | Sprint Communications Company L.P. | Dynamic network policies based on device classification |
US8479266B1 (en) | 2008-11-13 | 2013-07-02 | Sprint Communications Company L.P. | Network assignment appeal architecture and process |
US8937658B2 (en) | 2009-10-15 | 2015-01-20 | At&T Intellectual Property I, L.P. | Methods, systems, and products for security services |
US8826425B2 (en) * | 2009-12-01 | 2014-09-02 | International Business Machines Corporation | System and method for automatically discovering security classification of hosts |
US8234401B2 (en) * | 2010-06-30 | 2012-07-31 | Cisco Technology, Inc. | Adaptive policers responsive to utilization levels of a resource |
US8804747B2 (en) * | 2010-09-23 | 2014-08-12 | Cisco Technology, Inc. | Network interface controller for virtual and distributed services |
US8332469B1 (en) * | 2010-10-06 | 2012-12-11 | Google Inc. | Web resource caching |
KR101425107B1 (ko) * | 2010-10-29 | 2014-08-01 | 한국전자통신연구원 | 네트워크 도메인간 보안정보 공유 장치 및 방법 |
EP2464054A1 (en) * | 2010-12-07 | 2012-06-13 | British Telecommunications Public Limited Company | Communications device |
CN102571738B (zh) * | 2010-12-08 | 2015-09-16 | 中国电信股份有限公司 | 基于虚拟局域网交换的入侵防御方法与系统 |
WO2012100092A2 (en) * | 2011-01-19 | 2012-07-26 | Servicemesh, Inc. | System and method for a cloud computing abstraction layer with security zone facilities |
IL210900A (en) * | 2011-01-27 | 2015-08-31 | Verint Systems Ltd | System and method for efficient classification and processing of network traffic |
US8448258B2 (en) | 2011-01-28 | 2013-05-21 | International Business Machines Corporation | Security classification based on user interaction |
US9559956B2 (en) * | 2011-02-01 | 2017-01-31 | Google Inc. | Sharing bandwidth among multiple users of network applications |
US9007898B2 (en) | 2011-02-01 | 2015-04-14 | Google Inc. | System to share network bandwidth among competing applications |
US9071611B2 (en) * | 2011-02-23 | 2015-06-30 | Cisco Technology, Inc. | Integration of network admission control functions in network access devices |
US8949951B2 (en) | 2011-03-04 | 2015-02-03 | Red Hat, Inc. | Generating modular security delegates for applications |
US9112682B2 (en) | 2011-03-15 | 2015-08-18 | Red Hat, Inc. | Generating modular security delegates for applications |
US8635671B2 (en) * | 2011-05-31 | 2014-01-21 | Red Hat, Inc. | Systems and methods for a security delegate module to select appropriate security services for web applications |
US8902740B2 (en) * | 2011-11-10 | 2014-12-02 | At&T Intellectual Property I, L.P. | Methods, systems, and products for security services |
US9379915B2 (en) | 2011-11-10 | 2016-06-28 | At&T Intellectual Property I, L.P. | Methods, systems, and products for security services |
US8776242B2 (en) | 2011-11-29 | 2014-07-08 | Raytheon Company | Providing a malware analysis using a secure malware detection process |
CN103975331B (zh) * | 2011-12-06 | 2017-06-13 | 阿沃森特亨茨维尔有限责任公司 | 并入了被管理基础设施设备的安全的数据中心基础设施管理系统 |
US9515999B2 (en) * | 2011-12-21 | 2016-12-06 | Ssh Communications Security Oyj | Automated access, key, certificate, and credential management |
US9251535B1 (en) | 2012-01-05 | 2016-02-02 | Juniper Networks, Inc. | Offload of data transfer statistics from a mobile access gateway |
US9648133B2 (en) * | 2012-03-12 | 2017-05-09 | Telefonaktiebolaget L M Ericsson | Optimizing traffic load in a communications network |
US9304801B2 (en) * | 2012-06-12 | 2016-04-05 | TELEFONAKTIEBOLAGET L M ERRICSSON (publ) | Elastic enforcement layer for cloud security using SDN |
CN103517304B (zh) * | 2012-06-28 | 2018-12-28 | 腾讯科技(深圳)有限公司 | 一种获取移动终端安全状态的方法及装置 |
US10511497B2 (en) | 2012-10-04 | 2019-12-17 | Fortinet, Inc. | System and method for dynamic management of network device data |
CN102916836B (zh) * | 2012-10-18 | 2015-11-25 | 北京奇虎科技有限公司 | 一种对受监控终端进行安全监控的方法和系统 |
US9141791B2 (en) * | 2012-11-19 | 2015-09-22 | Hewlett-Packard Development Company, L.P. | Monitoring for anomalies in a computing environment |
US9124636B1 (en) * | 2012-12-28 | 2015-09-01 | Pulse Secure, Llc | Infected endpoint containment using aggregated security status information |
US9361455B2 (en) | 2013-01-02 | 2016-06-07 | International Business Machines Corporation | Security management in a networked computing environment |
CN103118248B (zh) * | 2013-02-28 | 2016-12-28 | 华为技术有限公司 | 监控方法、监控代理、监控服务器和系统 |
US10355930B2 (en) * | 2013-03-14 | 2019-07-16 | Fortinet, Inc. | System and method of subnetting a virtual network identifier |
US9729509B2 (en) | 2013-03-23 | 2017-08-08 | Fortinet, Inc. | System and method for integrated header, state, rate and content anomaly prevention for session initiation protocol |
US9806945B2 (en) | 2013-06-22 | 2017-10-31 | Extreme Networks, Inc. | mDNS support in unified access networks |
US9674193B1 (en) | 2013-07-30 | 2017-06-06 | Juniper Networks, Inc. | Aggregation and disbursement of licenses in distributed networks |
RU2587423C2 (ru) * | 2013-09-26 | 2016-06-20 | Закрытое акционерное общество "Лаборатория Касперского" | Система и способ обеспечения безопасности онлайн-транзакций |
US20150113588A1 (en) * | 2013-10-22 | 2015-04-23 | Cisco Technology, Inc. | Firewall Limiting with Third-Party Traffic Classification |
US9860281B2 (en) * | 2014-06-28 | 2018-01-02 | Mcafee, Llc | Social-graph aware policy suggestion engine |
US9674207B2 (en) * | 2014-07-23 | 2017-06-06 | Cisco Technology, Inc. | Hierarchical attack detection in a network |
US9697349B2 (en) * | 2014-10-26 | 2017-07-04 | Microsoft Technology Licensing, Llc | Access blocking for data loss prevention in collaborative environments |
US9591018B1 (en) * | 2014-11-20 | 2017-03-07 | Amazon Technologies, Inc. | Aggregation of network traffic source behavior data across network-based endpoints |
US9954736B2 (en) | 2014-12-01 | 2018-04-24 | Fortinet, Inc. | System and method of discovering paths in a network |
US20160164917A1 (en) | 2014-12-03 | 2016-06-09 | Phantom Cyber Corporation | Action recommendations for computing assets based on enrichment information |
CN104506522B (zh) | 2014-12-19 | 2017-12-26 | 北京神州绿盟信息安全科技股份有限公司 | 漏洞扫描方法及装置 |
US9553807B2 (en) | 2014-12-24 | 2017-01-24 | Nicira, Inc. | Batch processing of packets |
US10171423B1 (en) * | 2015-05-21 | 2019-01-01 | Juniper Networks, Inc. | Services offloading for application layer services |
US9823843B2 (en) | 2015-07-23 | 2017-11-21 | Qualcomm Incorporated | Memory hierarchy monitoring systems and methods |
US10565840B2 (en) | 2015-11-12 | 2020-02-18 | At&T Intellectual Property I, L.P. | Alarm reporting |
US9876810B2 (en) * | 2015-12-04 | 2018-01-23 | Raytheon Company | Systems and methods for malware lab isolation |
US9578050B1 (en) * | 2016-01-29 | 2017-02-21 | International Business Machines Corporation | Service delivery controller for learning network security services |
US9935885B1 (en) | 2016-03-15 | 2018-04-03 | Juniper Networks, Inc. | Managing flow table entries for express packet processing based on packet priority or quality of service |
US10498752B2 (en) * | 2016-03-28 | 2019-12-03 | Cisco Technology, Inc. | Adaptive capture of packet traces based on user feedback learning |
US10171507B2 (en) * | 2016-05-19 | 2019-01-01 | Cisco Technology, Inc. | Microsegmentation in heterogeneous software defined networking environments |
US11115385B1 (en) | 2016-07-27 | 2021-09-07 | Cisco Technology, Inc. | Selective offloading of packet flows with flow state management |
US10673893B2 (en) * | 2016-08-31 | 2020-06-02 | International Business Machines Corporation | Isolating a source of an attack that originates from a shared computing environment |
US10868836B1 (en) * | 2017-06-07 | 2020-12-15 | Amazon Technologies, Inc. | Dynamic security policy management |
US10958622B2 (en) * | 2018-01-10 | 2021-03-23 | Cisco Technology, Inc. | Hierarchical security group identifiers |
US10848478B2 (en) * | 2018-02-21 | 2020-11-24 | JumpCloud, Inc. | Secure endpoint authentication credential control |
US11108830B2 (en) * | 2018-03-13 | 2021-08-31 | Avago Technologies International Sales Pte. Limited | System for coordinative security across multi-level networks |
US11381984B2 (en) * | 2018-03-27 | 2022-07-05 | Forescout Technologies, Inc. | Device classification based on rank |
US10856181B2 (en) * | 2018-09-13 | 2020-12-01 | Cisco Technology, Inc. | Traffic steering between different wireless networks |
US11100238B2 (en) * | 2018-12-26 | 2021-08-24 | Dell Products L.P. | Systems and methods for generating policy coverage information for security-enhanced information handling systems |
US11336694B2 (en) * | 2019-08-05 | 2022-05-17 | Cisco Technology, Inc. | Scalable security policy architecture with segregated forwarding and security plane and hierarchical classes |
US11431719B2 (en) * | 2020-06-23 | 2022-08-30 | Bank Of America Corporation | Dynamic access evaluation and control system |
US11240153B1 (en) * | 2020-07-31 | 2022-02-01 | Cisco Technology, Inc. | Scoring policies for predictive routing suggestions |
US11502993B2 (en) * | 2020-08-10 | 2022-11-15 | Perimeter 81 Ltd | Scalable and on-demand multi-tenant and multi region secure network |
US11663362B2 (en) * | 2020-11-10 | 2023-05-30 | Cobalt Iron, Inc. | Data inspection system and method |
CN117749639A (zh) * | 2024-02-19 | 2024-03-22 | 南京赛宁信息技术有限公司 | 一种网络靶场流量自动发生方法与系统 |
Family Cites Families (163)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US3962681A (en) | 1972-06-19 | 1976-06-08 | Recognition Equipment Incorporated | Page width optical character processing method and system |
CH584488A5 (zh) | 1975-05-05 | 1977-01-31 | Ibm | |
US4600319A (en) | 1985-06-06 | 1986-07-15 | The United States Of America As Represented By The Secretary Of The Army | Control for dot matrix printers operating in harsh environments |
US5408539A (en) | 1990-10-01 | 1995-04-18 | Finlay; David E. | Tessellating and quadding pels during image transfer |
US5490252A (en) | 1992-09-30 | 1996-02-06 | Bay Networks Group, Inc. | System having central processor for transmitting generic packets to another processor to be altered and transmitting altered packets back to central processor for routing |
US5426637A (en) | 1992-12-14 | 1995-06-20 | International Business Machines Corporation | Methods and apparatus for interconnecting local area networks with wide area backbone networks |
US5598532A (en) | 1993-10-21 | 1997-01-28 | Optimal Networks | Method and apparatus for optimizing computer networks |
US5509123A (en) | 1994-03-22 | 1996-04-16 | Cabletron Systems, Inc. | Distributed autonomous object architectures for network layer routing |
FR2719384B1 (fr) | 1994-05-02 | 1996-05-24 | Commissariat Energie Atomique | Procédé de trajectographie d'objets et dispositif de mise en Óoeuvre de ce procédé. |
US5568471A (en) | 1995-09-06 | 1996-10-22 | International Business Machines Corporation | System and method for a workstation monitoring and control of multiple networks having different protocols |
US6018765A (en) | 1996-01-23 | 2000-01-25 | Storage Concepts, Inc. | Multi-channel multimedia data server |
US6011795A (en) | 1997-03-20 | 2000-01-04 | Washington University | Method and apparatus for fast hierarchical address lookup using controlled expansion of prefixes |
US6182146B1 (en) | 1997-06-27 | 2001-01-30 | Compuware Corporation | Automatic identification of application protocols through dynamic mapping of application-port associations |
US6148335A (en) | 1997-11-25 | 2000-11-14 | International Business Machines Corporation | Performance/capacity management framework over many servers |
US6563796B1 (en) | 1998-03-18 | 2003-05-13 | Nippon Telegraph And Telephone Corporation | Apparatus for quality of service evaluation and traffic measurement |
US6279035B1 (en) | 1998-04-10 | 2001-08-21 | Nortel Networks Limited | Optimizing flow detection and reducing control plane processing in a multi-protocol over ATM (MPOA) system |
US6392996B1 (en) | 1998-04-13 | 2002-05-21 | At&T Corp. | Method and apparatus for frame peeking |
US6377551B1 (en) | 1998-08-17 | 2002-04-23 | Nortel Networks Limited | QoS based route determination method for communications networks |
US6286084B1 (en) | 1998-09-16 | 2001-09-04 | Cisco Technology, Inc. | Methods and apparatus for populating a network cache |
US6785274B2 (en) | 1998-10-07 | 2004-08-31 | Cisco Technology, Inc. | Efficient network multicast switching apparatus and methods |
US6219706B1 (en) | 1998-10-16 | 2001-04-17 | Cisco Technology, Inc. | Access control for networks |
US6321338B1 (en) | 1998-11-09 | 2001-11-20 | Sri International | Network surveillance |
US6633563B1 (en) | 1999-03-02 | 2003-10-14 | Nortel Networks Limited | Assigning cell data to one of several processors provided in a data switch |
US6301244B1 (en) | 1998-12-11 | 2001-10-09 | Nortel Networks Limited | QoS-oriented one-to-all route selection method for communication networks |
US6594268B1 (en) | 1999-03-11 | 2003-07-15 | Lucent Technologies Inc. | Adaptive routing system and method for QOS packet networks |
US6751663B1 (en) | 1999-03-25 | 2004-06-15 | Nortel Networks Limited | System wide flow aggregation process for aggregating network activity records |
US6275470B1 (en) | 1999-06-18 | 2001-08-14 | Digital Island, Inc. | On-demand overlay routing for computer-based communication networks |
US7600131B1 (en) * | 1999-07-08 | 2009-10-06 | Broadcom Corporation | Distributed processing in a cryptography acceleration chip |
US6598034B1 (en) * | 1999-09-21 | 2003-07-22 | Infineon Technologies North America Corp. | Rule based IP data processing |
US7203740B1 (en) | 1999-12-22 | 2007-04-10 | Intel Corporation | Method and apparatus for allowing proprietary forwarding elements to interoperate with standard control elements in an open architecture for network devices |
US6775267B1 (en) | 1999-12-30 | 2004-08-10 | At&T Corp | Method for billing IP broadband subscribers |
US6590898B1 (en) | 1999-12-30 | 2003-07-08 | New Jersey Institute Of Technology | Method and apparatus for routing data packets |
US7197563B2 (en) * | 2001-05-31 | 2007-03-27 | Invicta Networks, Inc. | Systems and methods for distributed network protection |
US7058974B1 (en) * | 2000-06-21 | 2006-06-06 | Netrake Corporation | Method and apparatus for preventing denial of service attacks |
US7114008B2 (en) | 2000-06-23 | 2006-09-26 | Cloudshield Technologies, Inc. | Edge adapter architecture apparatus and method |
US6856651B2 (en) | 2000-07-25 | 2005-02-15 | Peribit Networks, Inc. | System and method for incremental and continuous data compression |
US6981055B1 (en) | 2000-08-22 | 2005-12-27 | Internap Network Services Corporation | Method and system for optimizing routing through multiple available internet route providers |
US7725587B1 (en) * | 2000-08-24 | 2010-05-25 | Aol Llc | Deep packet scan hacker identification |
US7120931B1 (en) * | 2000-08-31 | 2006-10-10 | Cisco Technology, Inc. | System and method for generating filters based on analyzed flow data |
US7278159B2 (en) | 2000-09-07 | 2007-10-02 | Mazu Networks, Inc. | Coordinated thwarting of denial of service attacks |
US20070192863A1 (en) * | 2005-07-01 | 2007-08-16 | Harsh Kapoor | Systems and methods for processing data flows |
US7860999B1 (en) | 2000-10-11 | 2010-12-28 | Avaya Inc. | Distributed computation in network devices |
US6970943B1 (en) | 2000-10-11 | 2005-11-29 | Nortel Networks Limited | Routing architecture including a compute plane configured for high-speed processing of packets to provide application layer support |
US7054930B1 (en) * | 2000-10-26 | 2006-05-30 | Cisco Technology, Inc. | System and method for propagating filters |
US6985956B2 (en) | 2000-11-02 | 2006-01-10 | Sun Microsystems, Inc. | Switching system |
AU2002230541B2 (en) | 2000-11-30 | 2007-08-23 | Cisco Technology, Inc. | Flow-based detection of network intrusions |
US6996105B1 (en) | 2000-12-19 | 2006-02-07 | Adaptec, Inc. | Method for processing data packet headers |
US6870817B2 (en) | 2000-12-20 | 2005-03-22 | Nortel Networks Limited | Method and apparatus for monitoring calls over a session initiation protocol network |
US6975628B2 (en) | 2000-12-22 | 2005-12-13 | Intel Corporation | Method for representing and controlling packet data flow through packet forwarding hardware |
US6826713B1 (en) | 2001-01-02 | 2004-11-30 | Juniper Networks, Inc. | Diagnostic access to processors in a complex electrical system |
US7301899B2 (en) | 2001-01-31 | 2007-11-27 | Comverse Ltd. | Prevention of bandwidth congestion in a denial of service or other internet-based attack |
US8200577B2 (en) * | 2001-03-20 | 2012-06-12 | Verizon Business Global Llc | Systems and methods for retrieving and modifying data records for rating and billing purposes |
US7139242B2 (en) | 2001-03-28 | 2006-11-21 | Proficient Networks, Inc. | Methods, apparatuses and systems facilitating deployment, support and configuration of network routing policies |
US6983294B2 (en) | 2001-05-09 | 2006-01-03 | Tropic Networks Inc. | Redundancy systems and methods in communications systems |
US20030005145A1 (en) | 2001-06-12 | 2003-01-02 | Qosient Llc | Network service assurance with comparison of flow activity captured outside of a service network with flow activity captured in or at an interface of a service network |
US7028179B2 (en) | 2001-07-03 | 2006-04-11 | Intel Corporation | Apparatus and method for secure, automated response to distributed denial of service attacks |
US7171683B2 (en) | 2001-08-30 | 2007-01-30 | Riverhead Networks Inc. | Protecting against distributed denial of service attacks |
US20030097557A1 (en) | 2001-10-31 | 2003-05-22 | Tarquini Richard Paul | Method, node and computer readable medium for performing multiple signature matching in an intrusion prevention system |
US20030086520A1 (en) | 2001-11-07 | 2003-05-08 | Russell William Earl | System and method for continuous optimization of control-variables during operation of a nuclear reactor |
US7512980B2 (en) * | 2001-11-30 | 2009-03-31 | Lancope, Inc. | Packet sampling flow-based detection of network intrusions |
US20030120769A1 (en) | 2001-12-07 | 2003-06-26 | Mccollom William Girard | Method and system for determining autonomous system transit volumes |
US6957281B2 (en) * | 2002-01-15 | 2005-10-18 | Intel Corporation | Ingress processing optimization via traffic classification and grouping |
US7099319B2 (en) | 2002-01-23 | 2006-08-29 | International Business Machines Corporation | Virtual private network and tunnel gateway with multiple overlapping, remote subnets |
US7200117B2 (en) | 2002-01-31 | 2007-04-03 | Sun Microsystems, Inc. | Method of optimizing network capacity and fault tolerance in deadlock-free routing |
US7254138B2 (en) | 2002-02-11 | 2007-08-07 | Optimum Communications Services, Inc. | Transparent, look-up-free packet forwarding method for optimizing global network throughput based on real-time route status |
US7339897B2 (en) | 2002-02-22 | 2008-03-04 | Telefonaktiebolaget Lm Ericsson (Publ) | Cross-layer integrated collision free path routing |
US8346951B2 (en) | 2002-03-05 | 2013-01-01 | Blackridge Technology Holdings, Inc. | Method for first packet authentication |
US7870203B2 (en) * | 2002-03-08 | 2011-01-11 | Mcafee, Inc. | Methods and systems for exposing messaging reputation to an end user |
US8205259B2 (en) * | 2002-03-29 | 2012-06-19 | Global Dataguard Inc. | Adaptive behavioral intrusion detection systems and methods |
US7099320B1 (en) * | 2002-04-19 | 2006-08-29 | Conxion Corporation | Method and apparatus for detection of and response to abnormal data streams in high bandwidth data pipes |
US7483379B2 (en) | 2002-05-17 | 2009-01-27 | Alcatel Lucent | Passive network monitoring system |
US7415723B2 (en) * | 2002-06-11 | 2008-08-19 | Pandya Ashish A | Distributed network security system and a hardware processor therefor |
US7627693B2 (en) * | 2002-06-11 | 2009-12-01 | Pandya Ashish A | IP storage processor and engine therefor using RDMA |
US7260623B2 (en) | 2002-06-27 | 2007-08-21 | Sun Microsystems, Inc. | Remote services system communication module |
US7151781B2 (en) * | 2002-07-19 | 2006-12-19 | Acme Packet, Inc. | System and method for providing session admission control |
US7162740B2 (en) | 2002-07-22 | 2007-01-09 | General Instrument Corporation | Denial of service defense by proxy |
US7418733B2 (en) | 2002-08-26 | 2008-08-26 | International Business Machines Corporation | Determining threat level associated with network activity |
FR2844938B1 (fr) | 2002-09-23 | 2005-01-14 | Cit Alcatel | Procede d'interception de donnees de controle, notamment de qualite de service, et dispositif associe |
US7167922B2 (en) | 2002-10-18 | 2007-01-23 | Nokia Corporation | Method and apparatus for providing automatic ingress filtering |
US8176186B2 (en) | 2002-10-30 | 2012-05-08 | Riverbed Technology, Inc. | Transaction accelerator for client-server communications systems |
US7454499B2 (en) * | 2002-11-07 | 2008-11-18 | Tippingpoint Technologies, Inc. | Active network defense system and method |
US7386889B2 (en) | 2002-11-18 | 2008-06-10 | Trusted Network Technologies, Inc. | System and method for intrusion prevention in a communications network |
WO2004056047A1 (en) | 2002-12-13 | 2004-07-01 | Internap Network Services Corporation | Topology aware route control |
US7792991B2 (en) | 2002-12-17 | 2010-09-07 | Cisco Technology, Inc. | Method and apparatus for advertising a link cost in a data communications network |
US7020087B2 (en) | 2003-01-13 | 2006-03-28 | Motorola, Inc. | Segmented and distributed path optimization in a communication network |
US7594002B1 (en) | 2003-02-14 | 2009-09-22 | Istor Networks, Inc. | Hardware-accelerated high availability integrated networked storage system |
US20040196843A1 (en) | 2003-02-20 | 2004-10-07 | Alcatel | Protection of network infrastructure and secure communication of control information thereto |
US7643408B2 (en) | 2003-03-31 | 2010-01-05 | Alcatel-Lucent Usa Inc. | Restoration time in networks |
US7356585B1 (en) * | 2003-04-04 | 2008-04-08 | Raytheon Company | Vertically extensible intrusion detection system and method |
US7403487B1 (en) | 2003-04-10 | 2008-07-22 | At&T Corporation | Method and system for dynamically adjusting QOS |
US7305708B2 (en) * | 2003-04-14 | 2007-12-04 | Sourcefire, Inc. | Methods and systems for intrusion detection |
US7246156B2 (en) | 2003-06-09 | 2007-07-17 | Industrial Defender, Inc. | Method and computer program product for monitoring an industrial network |
US20040255202A1 (en) | 2003-06-13 | 2004-12-16 | Alcatel | Intelligent fault recovery in a line card with control plane and data plane separation |
US7596807B2 (en) * | 2003-07-03 | 2009-09-29 | Arbor Networks, Inc. | Method and system for reducing scope of self-propagating attack code in network |
US20050114700A1 (en) * | 2003-08-13 | 2005-05-26 | Sensory Networks, Inc. | Integrated circuit apparatus and method for high throughput signature based network applications |
US7362763B2 (en) | 2003-09-04 | 2008-04-22 | Samsung Electronics Co., Ltd. | Apparatus and method for classifying traffic in a distributed architecture router |
JP4213546B2 (ja) | 2003-09-09 | 2009-01-21 | 富士通株式会社 | 通信装置および通信方法 |
US20050102414A1 (en) * | 2003-09-16 | 2005-05-12 | Shailesh Mehra | Systems and methods to support quality of service in communications networks |
US20050097242A1 (en) | 2003-10-30 | 2005-05-05 | International Business Machines Corporation | Method and system for internet transport acceleration without protocol offload |
US7496955B2 (en) | 2003-11-24 | 2009-02-24 | Cisco Technology, Inc. | Dual mode firewall |
US7526807B2 (en) * | 2003-11-26 | 2009-04-28 | Alcatel-Lucent Usa Inc. | Distributed architecture for statistical overload control against distributed denial of service attacks |
US7496661B1 (en) | 2004-03-29 | 2009-02-24 | Packeteer, Inc. | Adaptive, application-aware selection of differentiated network services |
GB0412494D0 (en) | 2004-06-04 | 2004-07-07 | Nokia Corp | Adaptive routing |
US10284571B2 (en) * | 2004-06-28 | 2019-05-07 | Riverbed Technology, Inc. | Rule based alerting in anomaly detection |
US7290083B2 (en) * | 2004-06-29 | 2007-10-30 | Cisco Technology, Inc. | Error protection for lookup operations in content-addressable memory entries |
US20060026679A1 (en) * | 2004-07-29 | 2006-02-02 | Zakas Phillip H | System and method of characterizing and managing electronic traffic |
US7546635B1 (en) | 2004-08-11 | 2009-06-09 | Juniper Networks, Inc. | Stateful firewall protection for control plane traffic within a network device |
EP1784945A4 (en) | 2004-08-27 | 2015-03-04 | Rockstar Consortium Us Lp | PERIPHERAL NODE PLATFORM ARCHITECTURE FOR MULTISERVICE ACCESS NETWORK |
US7827402B2 (en) * | 2004-12-01 | 2010-11-02 | Cisco Technology, Inc. | Method and apparatus for ingress filtering using security group information |
WO2006063052A1 (en) | 2004-12-07 | 2006-06-15 | Nortel Networks Limited | Method and apparatus for network immunization |
US7725934B2 (en) * | 2004-12-07 | 2010-05-25 | Cisco Technology, Inc. | Network and application attack protection based on application layer message inspection |
CA2594020C (en) * | 2004-12-22 | 2014-12-09 | Wake Forest University | Method, systems, and computer program products for implementing function-parallel network firewall |
US7626940B2 (en) * | 2004-12-22 | 2009-12-01 | Intruguard Devices, Inc. | System and method for integrated header, state, rate and content anomaly prevention for domain name service |
US8706877B2 (en) | 2004-12-30 | 2014-04-22 | Citrix Systems, Inc. | Systems and methods for providing client-side dynamic redirection to bypass an intermediary |
US20060146825A1 (en) | 2004-12-30 | 2006-07-06 | Padcom, Inc. | Network based quality of service |
US7610610B2 (en) | 2005-01-10 | 2009-10-27 | Mcafee, Inc. | Integrated firewall, IPS, and virus scanner system and method |
US7810151B1 (en) * | 2005-01-27 | 2010-10-05 | Juniper Networks, Inc. | Automated change detection within a network environment |
US20060185008A1 (en) | 2005-02-11 | 2006-08-17 | Nokia Corporation | Method, apparatus and computer program product enabling negotiation of firewall features by endpoints |
US7539682B2 (en) * | 2005-03-14 | 2009-05-26 | Microsoft Corporation | Multilevel secure database |
US7688739B2 (en) | 2005-08-02 | 2010-03-30 | Trilliant Networks, Inc. | Method and apparatus for maximizing data transmission capacity of a mesh network |
WO2007019583A2 (en) * | 2005-08-09 | 2007-02-15 | Sipera Systems, Inc. | System and method for providing network level and nodal level vulnerability protection in voip networks |
US7646771B2 (en) * | 2005-08-17 | 2010-01-12 | Cisco Technology, Inc. | Compilation of access control lists |
US7992208B2 (en) * | 2005-09-19 | 2011-08-02 | University Of Maryland | Detection of nonconforming network traffic flow aggregates for mitigating distributed denial of service attacks |
US7908357B2 (en) * | 2005-09-21 | 2011-03-15 | Battelle Memorial Institute | Methods and systems for detecting abnormal digital traffic |
EP1960867A4 (en) | 2005-12-13 | 2010-10-13 | Crossbeam Systems Inc | SYSTEMS AND METHOD FOR PROCESSING DATA FLOWS |
US8544058B2 (en) | 2005-12-29 | 2013-09-24 | Nextlabs, Inc. | Techniques of transforming policies to enforce control in an information management system |
US7735116B1 (en) * | 2006-03-24 | 2010-06-08 | Symantec Corporation | System and method for unified threat management with a relational rules methodology |
US20070245028A1 (en) | 2006-03-31 | 2007-10-18 | Baxter Robert A | Configuring content in an interactive media system |
US7801128B2 (en) * | 2006-03-31 | 2010-09-21 | Amazon Technologies, Inc. | Managing communications between computing nodes |
US7966659B1 (en) * | 2006-04-18 | 2011-06-21 | Rockwell Automation Technologies, Inc. | Distributed learn mode for configuring a firewall, security authority, intrusion detection/prevention devices, and the like |
US7930256B2 (en) * | 2006-05-23 | 2011-04-19 | Charles River Analytics, Inc. | Security system for and method of detecting and responding to cyber attacks on large network systems |
US7599385B1 (en) | 2006-06-12 | 2009-10-06 | At&T Corp. | Method and apparatus for providing composite link assignment in network design |
US7865278B2 (en) | 2006-06-14 | 2011-01-04 | Spx Corporation | Diagnostic test sequence optimization method and apparatus |
US20080077694A1 (en) * | 2006-07-20 | 2008-03-27 | Sun Microsystems, Inc. | Method and system for network security using multiple virtual network stack instances |
US7934253B2 (en) * | 2006-07-20 | 2011-04-26 | Trustwave Holdings, Inc. | System and method of securing web applications across an enterprise |
US8639837B2 (en) * | 2006-07-29 | 2014-01-28 | Blue Coat Systems, Inc. | System and method of traffic inspection and classification for purposes of implementing session ND content control |
KR100789722B1 (ko) * | 2006-09-26 | 2008-01-02 | 한국정보보호진흥원 | 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법 |
US9154557B2 (en) | 2006-10-12 | 2015-10-06 | Cisco Technology, Inc. | Automatic proxy registration and discovery in a multi-proxy communication system |
US8014291B2 (en) | 2006-11-28 | 2011-09-06 | Cisco Technology, Inc. | Relaxed constrained shortest path first (R-CSPF) |
CA2671451A1 (en) | 2006-12-01 | 2008-06-12 | Sonus Networks, Inc. | Filtering and policing for defending against denial of service attacks on a network |
US20080222283A1 (en) | 2007-03-08 | 2008-09-11 | Phorm Uk, Inc. | Behavioral Networking Systems And Methods For Facilitating Delivery Of Targeted Content |
KR20100039825A (ko) | 2006-12-22 | 2010-04-16 | 폼 유케이, 인코포레이티드 | 클라이언트 네트워크 활동 채널링 시스템 및 방법 |
US9015301B2 (en) * | 2007-01-05 | 2015-04-21 | Digital Doors, Inc. | Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor |
US7937353B2 (en) * | 2007-01-15 | 2011-05-03 | International Business Machines Corporation | Method and system for determining whether to alter a firewall configuration |
US8020207B2 (en) * | 2007-01-23 | 2011-09-13 | Alcatel Lucent | Containment mechanism for potentially contaminated end systems |
US8291108B2 (en) | 2007-03-12 | 2012-10-16 | Citrix Systems, Inc. | Systems and methods for load balancing based on user selected metrics |
US8295188B2 (en) * | 2007-03-30 | 2012-10-23 | Extreme Networks, Inc. | VoIP security |
US8166492B2 (en) | 2007-04-10 | 2012-04-24 | Microsoft Corporation | Application compatibility using a hybrid environment |
US8365272B2 (en) * | 2007-05-30 | 2013-01-29 | Yoggie Security Systems Ltd. | System and method for providing network and computer firewall protection with dynamic address isolation to a device |
US7849503B2 (en) * | 2007-06-01 | 2010-12-07 | Hewlett-Packard Development Company, L.P. | Packet processing using distribution algorithms |
US7843914B2 (en) | 2007-06-29 | 2010-11-30 | Alcatel-Lucent | Network system having an extensible forwarding plane |
US7809820B2 (en) | 2007-07-17 | 2010-10-05 | Microsoft Corporation | Optimizing encrypted wide area network traffic |
US8077622B2 (en) | 2007-08-03 | 2011-12-13 | Citrix Systems, Inc. | Systems and methods for efficiently load balancing based on least connections |
US8908700B2 (en) | 2007-09-07 | 2014-12-09 | Citrix Systems, Inc. | Systems and methods for bridging a WAN accelerator with a security gateway |
US9300598B2 (en) | 2007-10-03 | 2016-03-29 | Virtela Technology Services Incorporated | Virtualized application acceleration infrastructure |
US8136126B2 (en) | 2008-01-31 | 2012-03-13 | International Business Machines Corporation | Overriding potential competing optimization algorithms within layers of device drivers |
US8225400B2 (en) * | 2008-05-13 | 2012-07-17 | Verizon Patent And Licensing Inc. | Security overlay network |
US8051185B2 (en) | 2008-05-16 | 2011-11-01 | Fastsoft, Inc. | Network communication through a specified intermediate destination |
US8339959B1 (en) | 2008-05-20 | 2012-12-25 | Juniper Networks, Inc. | Streamlined packet forwarding using dynamic filters for routing and security in a shared forwarding plane |
US8018866B1 (en) | 2008-08-26 | 2011-09-13 | Juniper Networks, Inc. | Adaptively applying network acceleration services with an intermediate network device |
US20100085892A1 (en) | 2008-10-06 | 2010-04-08 | Alcatel Lucent | Overlay network coordination redundancy |
US8040808B1 (en) | 2008-10-20 | 2011-10-18 | Juniper Networks, Inc. | Service aware path selection with a network acceleration device |
US8094575B1 (en) | 2009-03-24 | 2012-01-10 | Juniper Networks, Inc. | Routing protocol extension for network acceleration service-aware path selection within computer networks |
-
2008
- 2008-09-12 US US12/209,695 patent/US8955107B2/en active Active
-
2009
- 2009-08-14 EP EP09167870A patent/EP2164228A1/en not_active Withdrawn
- 2009-09-11 CN CN200910173743.8A patent/CN101674307B/zh active Active
Cited By (11)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103650428A (zh) * | 2011-07-11 | 2014-03-19 | 日本电气株式会社 | 网络检疫系统、网络检疫方法及其程序 |
CN103650428B (zh) * | 2011-07-11 | 2016-12-21 | 日本电气株式会社 | 网络检疫系统、网络检疫方法及其程序 |
CN105247832A (zh) * | 2013-04-03 | 2016-01-13 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
CN105247832B (zh) * | 2013-04-03 | 2019-06-14 | 赛门铁克公司 | 将安全上下文集成到网络路由决策中的方法和装置 |
CN105245543A (zh) * | 2015-10-28 | 2016-01-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
CN105245543B (zh) * | 2015-10-28 | 2018-04-13 | 中国人民解放军国防科学技术大学 | 一种基于安全标记随机化的操作系统强制访问控制方法 |
CN108470006A (zh) * | 2017-02-23 | 2018-08-31 | 西部数据技术公司 | 用于进行非阻塞控制同步操作的技术 |
US11288201B2 (en) | 2017-02-23 | 2022-03-29 | Western Digital Technologies, Inc. | Techniques for performing a non-blocking control sync operation |
CN111259616A (zh) * | 2020-01-10 | 2020-06-09 | 四川豪威尔信息科技有限公司 | 一种集成电路布局数据的处理方法 |
CN111259616B (zh) * | 2020-01-10 | 2023-06-30 | 芯峰光电技术(深圳)有限公司 | 一种集成电路布局数据的处理方法 |
US11816349B2 (en) | 2021-11-03 | 2023-11-14 | Western Digital Technologies, Inc. | Reduce command latency using block pre-erase |
Also Published As
Publication number | Publication date |
---|---|
EP2164228A1 (en) | 2010-03-17 |
US20100071024A1 (en) | 2010-03-18 |
CN101674307B (zh) | 2014-12-10 |
US8955107B2 (en) | 2015-02-10 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN101674307B (zh) | 计算机网络内的安全服务的分级应用程序 | |
Vishwakarma et al. | A survey of DDoS attacking techniques and defence mechanisms in the IoT network | |
Dayal et al. | Research trends in security and DDoS in SDN | |
CN102859934B (zh) | 网络可接入计算机服务的接入管理和安全保护系统和方法 | |
US10212188B2 (en) | Trusted communication network | |
CN101175013B (zh) | 一种拒绝服务攻击防护方法、网络系统和代理服务器 | |
CN1612532B (zh) | 基于主机的网络入侵检测系统 | |
US9197628B1 (en) | Data leak protection in upper layer protocols | |
US7891001B1 (en) | Methods and apparatus providing security within a network | |
US8738708B2 (en) | Bounce management in a trusted communication network | |
US8561188B1 (en) | Command and control channel detection with query string signature | |
CN102210133B (zh) | 网络入侵保护 | |
CN1656731B (zh) | 基于多方法网关的网络安全系统和方法 | |
CN1968272B (zh) | 通信网络中用于缓解拒绝服务攻击的方法和系统 | |
JP4768020B2 (ja) | IPネットワークにおいてターゲット被害者自己識別及び制御によってDoS攻撃を防御する方法 | |
Ganesh Kumar et al. | Improved network traffic by attacking denial of service to protect resource using Z-test based 4-tier geomark traceback (Z4TGT) | |
US20030037141A1 (en) | Heuristic profiler software features | |
CN102014116A (zh) | 防御分布式网络泛洪攻击 | |
CN101572700A (zh) | 一种HTTP Flood分布式拒绝服务攻击防御方法 | |
WO2012164336A1 (en) | Distribution and processing of cyber threat intelligence data in a communications network | |
KR20080028381A (ko) | 타겟 희생자 자체-식별 및 제어에 의해 ip네트워크들에서 서비스 거부 공격들에 대한 방어 방법 | |
Iyengar et al. | A multilevel thrust filtration defending mechanism against DDoS attacks in cloud computing environment | |
WO2007055770A2 (en) | Trusted communication network | |
Walfish et al. | Distributed Quota Enforcement for Spam Control. | |
Beitollahi et al. | A cooperative mechanism to defense against distributed denial of service attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
C14 | Grant of patent or utility model | ||
GR01 | Patent grant | ||
CP01 | Change in the name or title of a patent holder | ||
CP01 | Change in the name or title of a patent holder |
Address after: California, USA Patentee after: Juniper Networks, Inc. Address before: California, USA Patentee before: Jungle network |