專利名稱:管理網(wǎng)絡(luò)中的安全性的制作方法
技術(shù)領(lǐng)域:
本發(fā)明的領(lǐng)域涉及計(jì)算系統(tǒng)�����。更特別地�����,本發(fā)明的實(shí)施例涉及網(wǎng)絡(luò)安全管理��。
背景技術(shù):
技術(shù)進(jìn)步已經(jīng)導(dǎo)致越來(lái)越大且復(fù)雜的網(wǎng)絡(luò)的使用�,其中數(shù)量日益增加的網(wǎng)絡(luò)系統(tǒng)作為組織運(yùn)作的組成部分。許多網(wǎng)絡(luò)系統(tǒng)例行地接收�����、處理和/或存儲(chǔ)敏感和/或機(jī)密性質(zhì)的數(shù)據(jù)。用戶經(jīng)常經(jīng)由外部網(wǎng)絡(luò)接入點(diǎn)被提供對(duì)網(wǎng)絡(luò)的訪問(wèn)以便獲取數(shù)據(jù)和/或與網(wǎng)絡(luò)內(nèi)的網(wǎng)絡(luò)系統(tǒng)交換數(shù)據(jù)�。這樣的外部網(wǎng)絡(luò)接入點(diǎn)的增加的使用在許多情況下使得網(wǎng)絡(luò)越來(lái)越易受惡意用戶的攻擊。對(duì)網(wǎng)絡(luò)的攻擊在頻率和復(fù)雜性方面都在增加����。例行地存儲(chǔ)在這樣的網(wǎng)絡(luò)中的數(shù)據(jù)的敏感性質(zhì)經(jīng)常吸引尋求獲得對(duì)敏感數(shù)據(jù)和/或機(jī)密數(shù)據(jù)的訪問(wèn)的惡意用戶或黑客。在一些情況下�����,惡意用戶懷著破壞網(wǎng)絡(luò)和/或網(wǎng)絡(luò)系統(tǒng)的目的尋求對(duì)網(wǎng)絡(luò)和網(wǎng)絡(luò)系統(tǒng)的訪問(wèn)��。 惡意用戶經(jīng)常用來(lái)對(duì)網(wǎng)絡(luò)造成損害的機(jī)制的實(shí)例包括但不限于病毒�����、蠕蟲��、蜘蛛����、爬蟲和木馬�。對(duì)網(wǎng)絡(luò)的增加頻率的攻擊經(jīng)常導(dǎo)致對(duì)于網(wǎng)絡(luò)管理員以及時(shí)的方式檢測(cè)�����、評(píng)估和響應(yīng)檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)異常的要求的增加��。
結(jié)合到本說(shuō)明書中并且形成本說(shuō)明書一部分的附圖與用來(lái)解釋下面討論的原理的描述一起說(shuō)明了用于管理網(wǎng)絡(luò)中的安全性的系統(tǒng)的當(dāng)前技術(shù)的實(shí)施例����。圖1為依照當(dāng)前技術(shù)實(shí)施例的其中可以實(shí)現(xiàn)網(wǎng)絡(luò)安全系統(tǒng)的示例性網(wǎng)絡(luò)的框圖��。圖2為依照當(dāng)前技術(shù)實(shí)施例的示例性網(wǎng)絡(luò)安全系統(tǒng)的框圖�。圖3為依照當(dāng)前技術(shù)實(shí)施例的管理網(wǎng)絡(luò)中的安全性的示例性計(jì)算機(jī)實(shí)現(xiàn)的方法的流程圖。圖4為依照當(dāng)前技術(shù)實(shí)施例的用于管理網(wǎng)絡(luò)中的安全性的示例性計(jì)算機(jī)系統(tǒng)的框圖��。圖5為依照當(dāng)前技術(shù)實(shí)施例的管理網(wǎng)絡(luò)中的安全性的示例性方法的流程圖�����。除非特別地指出���,本說(shuō)明書中參照的附圖不應(yīng)當(dāng)被理解為按比例繪制的�。
具體實(shí)施例方式現(xiàn)在將詳細(xì)地參照當(dāng)前技術(shù)的實(shí)施例�,其實(shí)例在附圖中示出。盡管將結(jié)合不同的實(shí)施例描述當(dāng)前技術(shù)�,但是應(yīng)當(dāng)理解的是�����,它們并非意在將當(dāng)前技術(shù)限制為這些實(shí)施例�����。相反地�,當(dāng)前技術(shù)預(yù)期覆蓋可以包含在由所附權(quán)利要求書限定的不同實(shí)施例的精神和范圍內(nèi)的若干可替換方案��、修改和等效物�。此外,在以下詳細(xì)描述中�����,闡述了許多特定細(xì)節(jié)以便提供對(duì)于當(dāng)前技術(shù)的實(shí)施例的透徹理解�����。然而�,可以在沒(méi)有這些特定細(xì)節(jié)的情況下實(shí)施當(dāng)前技術(shù)的實(shí)施例�。在其他情
4況下,沒(méi)有詳細(xì)描述公知的方法��、過(guò)程、部件和電路以免不必要地使當(dāng)前實(shí)施例的各方面模糊不清�����。除非另有特定說(shuō)明�,如根據(jù)以下討論顯然的,應(yīng)當(dāng)理解的是�����,在整個(gè)本詳細(xì)說(shuō)明書中�,利用諸如“檢測(cè)”、“標(biāo)識(shí)”��、“比較”�、“關(guān)聯(lián)”、“映射”�、“確定”、“啟用”���、“代替”等等之類的措詞的討論都涉及計(jì)算機(jī)系統(tǒng)或者類似電子計(jì)算設(shè)備的動(dòng)作和過(guò)程�����。計(jì)算機(jī)系統(tǒng)或者類似電子計(jì)算設(shè)備將表示為計(jì)算機(jī)系統(tǒng)的寄存器和存儲(chǔ)器內(nèi)的物理(電子)量的數(shù)據(jù)操縱和變換成類似地表示為計(jì)算機(jī)系統(tǒng)存儲(chǔ)器或寄存器或者其他這樣的信息存儲(chǔ)��、傳輸或顯示設(shè)備中的物理量的其他數(shù)據(jù)�����。當(dāng)前技術(shù)的實(shí)施例也非常適合其他計(jì)算機(jī)系統(tǒng)(例如光學(xué)和機(jī)械計(jì)算機(jī))的使用��。討論概述
依照當(dāng)前技術(shù)的實(shí)施例涉及用于管理網(wǎng)絡(luò)中的安全性的系統(tǒng)及其使用�。在依照當(dāng)前技術(shù)的一個(gè)實(shí)施例中,本文描述的系統(tǒng)允許預(yù)防破壞性的網(wǎng)絡(luò)流量���,例如但不限于病毒�、蠕蟲�����、蜘蛛����、爬蟲和木馬。更特別地����,系統(tǒng)檢測(cè)第一網(wǎng)絡(luò)位置處的破壞性網(wǎng)絡(luò)流量,標(biāo)識(shí)破壞性網(wǎng)絡(luò)流量的源,并且限制該源的規(guī)避安全系統(tǒng)且在第二網(wǎng)絡(luò)位置處重新進(jìn)入網(wǎng)絡(luò)的能力���。例如,用戶經(jīng)由用戶的臺(tái)式計(jì)算機(jī)和第一端口登錄進(jìn)本地網(wǎng)絡(luò)���。然而�����,在用戶不知情的情況下����,蠕蟲滲透到臺(tái)式計(jì)算機(jī)中����。當(dāng)用戶完成下載電子郵件時(shí),蠕蟲已經(jīng)開始其創(chuàng)建網(wǎng)絡(luò)帶寬問(wèn)題的工作�����,從而破壞本地網(wǎng)絡(luò)流量���。在一個(gè)實(shí)例中����,網(wǎng)絡(luò)管理系統(tǒng)檢測(cè)到蠕蟲入侵并且采取緩和措施,例如拒絕用戶經(jīng)由第一端口訪問(wèn)本地網(wǎng)絡(luò)��。響應(yīng)于經(jīng)歷經(jīng)由第一端口訪問(wèn)本地網(wǎng)絡(luò)的麻煩����,用戶將其臺(tái)式計(jì)算機(jī)從第一端口拔除并且把其插入到第二端口。 然后�,用戶試圖經(jīng)由第二端口登錄進(jìn)本地網(wǎng)絡(luò)。然而���,當(dāng)前技術(shù)的實(shí)施例規(guī)定��,也可以基于在使用第一端口時(shí)對(duì)用戶網(wǎng)絡(luò)地址的標(biāo)識(shí)以及與用戶關(guān)聯(lián)的訪問(wèn)控制策略限制用戶經(jīng)由第二端口對(duì)本地網(wǎng)絡(luò)的訪問(wèn)�。例如��,在用戶的臺(tái)式計(jì)算機(jī)處經(jīng)由本地網(wǎng)絡(luò)的端口 1檢測(cè)到蠕蟲���。標(biāo)識(shí)蠕蟲的源�,也稱用戶的網(wǎng)絡(luò)地址����。此外��,訪問(wèn)控制策略可以規(guī)定����,標(biāo)識(shí)的與數(shù)據(jù)異常關(guān)聯(lián)的用戶網(wǎng)絡(luò)地址將被拒絕訪問(wèn)整個(gè)本地網(wǎng)絡(luò)�,而不管哪個(gè)網(wǎng)絡(luò)端口可以被使用���。因此��,基于用戶的網(wǎng)絡(luò)地址和相關(guān)的訪問(wèn)控制策略����,用戶也被拒絕經(jīng)由第二端口訪問(wèn)本地網(wǎng)絡(luò)�。因此,當(dāng)前技術(shù)的實(shí)施例通過(guò)應(yīng)用自動(dòng)化預(yù)防措施以避免先前標(biāo)識(shí)的破壞源在一定位置處重新進(jìn)入網(wǎng)絡(luò)而管理網(wǎng)絡(luò)中的安全性�����。換言之�����,當(dāng)前技術(shù)的實(shí)施例提供了一種用于響應(yīng)于追蹤到第一網(wǎng)絡(luò)位置的網(wǎng)絡(luò)流量破壞而預(yù)防用戶規(guī)避緩和措施的方法���,這樣的預(yù)防措施包括阻擋用戶在第二網(wǎng)絡(luò)位置處重新進(jìn)入網(wǎng)絡(luò)���。管理網(wǎng)絡(luò)中的安全性
圖1為網(wǎng)絡(luò)100的實(shí)例的框圖表示�����,其中示出可以實(shí)現(xiàn)管理網(wǎng)絡(luò)100中的安全性的一個(gè)實(shí)施例�����。示例性網(wǎng)絡(luò)100通常包括第一�、第二和第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)102�、104、106�,網(wǎng)絡(luò)管理員系統(tǒng)108,網(wǎng)絡(luò)管理系統(tǒng)110�,第一、第二和第三服務(wù)器系統(tǒng)112�����、114����、116����,以及第一���、 第二��、第三和第四威脅評(píng)估系統(tǒng)118����、120�、122����、124。諸如膝上型計(jì)算機(jī)之類的外部系統(tǒng)128 與網(wǎng)絡(luò)100通信耦合���。第一�����、第二和第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)102�、104�����、106彼此通信耦合并且通常與網(wǎng)絡(luò) 100通信耦合。第一�、第二和第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)102、104�、106中的每一個(gè)分別包括多個(gè)數(shù)據(jù)端口 1、2�����、3���、4��、5�����、6�。通信耦合經(jīng)由第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102的數(shù)據(jù)端口 6與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 2之間的通信信道在第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104之間建立���。通信耦合經(jīng)由第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 1與第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)106的數(shù)據(jù)端口 6之間的通信信道在第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104與第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)106之間建立��。在一個(gè)實(shí)施例中�,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102、104���、106包括一個(gè)或多個(gè)邊緣互連數(shù)據(jù)端口����。第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102的數(shù)據(jù)端口 1與外部系統(tǒng)1 通信耦合�����,并且為邊緣互連數(shù)據(jù)端口的一個(gè)實(shí)例��。在一個(gè)實(shí)施例中�����,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)被配置為邊緣互連網(wǎng)絡(luò)交換機(jī)系統(tǒng)���,其中數(shù)據(jù)端口 1、2�、3、4����、5����、6都被配置為邊緣互連數(shù)據(jù)端口�����。在一個(gè)實(shí)施例中���,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102���、104、106包括基于交換機(jī)的陷阱系統(tǒng)形式的嵌入式威脅評(píng)估系統(tǒng)���?����;诮粨Q機(jī)的陷阱系統(tǒng)被配置成檢測(cè)一個(gè)或多個(gè)選擇的數(shù)據(jù)異常并且在檢測(cè)到選擇的數(shù)據(jù)異常之一時(shí)引起數(shù)據(jù)異常事件��。在一個(gè)實(shí)施例中����,基于交換機(jī)的陷阱系統(tǒng)在檢測(cè)到選擇的數(shù)據(jù)異常之一時(shí)發(fā)出異常通知給網(wǎng)絡(luò)管理系統(tǒng)110�。 在一個(gè)實(shí)施例中����,基于交換機(jī)的陷阱系統(tǒng)在檢測(cè)到選擇的數(shù)據(jù)異常之一時(shí)發(fā)出異常通知給網(wǎng)絡(luò)管理員系統(tǒng)108���。在一個(gè)實(shí)施例中�����,基于交換機(jī)的陷阱系統(tǒng)為病毒遏制(VT)系統(tǒng)�����。在一個(gè)實(shí)施例中��,網(wǎng)絡(luò)交換機(jī)系統(tǒng)102��、104�、106中的一個(gè)或多個(gè)的一個(gè)或多個(gè)數(shù)據(jù)端口 1��、2�����、3�、4、5�����、6被配置為鏡像源端口���。在一個(gè)實(shí)施例中�����,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng) 102����、104����、106的一個(gè)或多個(gè)數(shù)據(jù)端口 1、2�����、3��、4、5���、6被配置為鏡像目的地端口��。在一個(gè)實(shí)施例中�,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102��、104����、106的一個(gè)或多個(gè)數(shù)據(jù)端口 1、2�����、3�、4、5���、6被配置為本地鏡像源端口���。在一個(gè)實(shí)施例中���,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102��、104����、106的一個(gè)或多個(gè)數(shù)據(jù)端口 1、2��、3�����、4��、5����、6被配置為本地鏡像目的地端口。在一個(gè)實(shí)施例中�,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102、104����、106的一個(gè)或多個(gè)數(shù)據(jù)端口 1、2��、3、4��、5����、6被配置為遠(yuǎn)程鏡像源端口。在一個(gè)實(shí)施例中��,一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102���、104���、106的一個(gè)或多個(gè)數(shù)據(jù)端口 1、2��、3�、4、5��、6被配置為遠(yuǎn)程鏡像目的地端口���。盡管描述了具有六個(gè)數(shù)據(jù)端口的網(wǎng)絡(luò)交換機(jī)系統(tǒng)��,但是網(wǎng)絡(luò)中使用的網(wǎng)絡(luò)交換機(jī)系統(tǒng)可以具有更少或者更大數(shù)量的數(shù)據(jù)端口�。例如,許多網(wǎng)絡(luò)交換機(jī)系統(tǒng)具有遠(yuǎn)遠(yuǎn)超過(guò)100 個(gè)數(shù)據(jù)端口����。此外���,盡管描述了具有所描述的配置和/或特征的多個(gè)不同類型的網(wǎng)絡(luò)交換機(jī)系統(tǒng)����,這些網(wǎng)絡(luò)交換機(jī)系統(tǒng)可以使用可替換的網(wǎng)絡(luò)交換機(jī)系統(tǒng)配置和/或特征來(lái)配置����。 此外,盡管將網(wǎng)絡(luò)描述為具有三個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)�����,但是可以使用更少或更大數(shù)量的網(wǎng)絡(luò)交換機(jī)系統(tǒng)��。威脅評(píng)估系統(tǒng)118�����、120�、122����、1M通常監(jiān)視網(wǎng)絡(luò)數(shù)據(jù)以標(biāo)識(shí)可能對(duì)網(wǎng)絡(luò)100造成安全威脅的數(shù)據(jù)異常�,并且評(píng)價(jià)任何標(biāo)識(shí)的數(shù)據(jù)異常。在一個(gè)實(shí)施例中���,威脅評(píng)估系統(tǒng)118�����、 120����、122�、124響應(yīng)于檢測(cè)到可能對(duì)網(wǎng)絡(luò)100造成潛在的安全威脅的數(shù)據(jù)異常而實(shí)施緩和動(dòng)作。存在可用于網(wǎng)絡(luò)100中的若干不同類型的威脅評(píng)估系統(tǒng)118�����、120�、122、124����。這樣的威脅評(píng)估系統(tǒng)118���、120、122���、124的實(shí)例包括但不限于入侵檢測(cè)系統(tǒng)(IDS)�、入侵預(yù)防系統(tǒng) (IPS)����、統(tǒng)一威脅管理(UTM)系統(tǒng)和防火墻系統(tǒng)(FW)���。在一個(gè)示例性網(wǎng)絡(luò)100中�,第一和第三威脅評(píng)估系統(tǒng)118和122分別為入侵檢測(cè)系統(tǒng)(IDS)�,第二威脅評(píng)估系統(tǒng)120為入侵預(yù)防系統(tǒng)(IPS),并且第四威脅評(píng)估系統(tǒng)124為統(tǒng)一威脅管理(UTM)系統(tǒng)����。第一和第二威脅評(píng)估系統(tǒng)118和120分別經(jīng)由第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102與網(wǎng)絡(luò) 100通信耦合,并且第三和第四威脅評(píng)估系統(tǒng)122和IM分別經(jīng)由第二和第三網(wǎng)絡(luò)交換機(jī)系
6統(tǒng)104和106分別與網(wǎng)絡(luò)100通信耦合����。更特別地,第一威脅評(píng)估系統(tǒng)118經(jīng)由第一威脅評(píng)估系統(tǒng)118與第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102的數(shù)據(jù)端口 2之間的通信信道與網(wǎng)絡(luò)100通信耦合����。第二威脅評(píng)估系統(tǒng)120經(jīng)由第二威脅評(píng)估系統(tǒng)120與第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102的數(shù)據(jù)端口 5之間的通信信道與網(wǎng)絡(luò)100通信耦合����。第三威脅評(píng)估系統(tǒng)122經(jīng)由第三威脅評(píng)估系統(tǒng)122與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 6之間的通信信道與網(wǎng)絡(luò)100通信耦合�����。第四威脅評(píng)估系統(tǒng)1 經(jīng)由第四威脅評(píng)估系統(tǒng)IM與第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)106的數(shù)據(jù)端口 5 之間的通信信道與網(wǎng)絡(luò)100通信耦合���。在一個(gè)實(shí)施例中��,一個(gè)或多個(gè)威脅評(píng)估系統(tǒng)118����、120����、122、124在檢測(cè)到選擇的數(shù)據(jù)異常時(shí)發(fā)出異常事件通知給網(wǎng)絡(luò)管理員系統(tǒng)108�����。在一個(gè)實(shí)施例中,一個(gè)或多個(gè)威脅評(píng)估系統(tǒng)118��、120�����、122��、1M在完成檢測(cè)的數(shù)據(jù)異常的評(píng)價(jià)時(shí)發(fā)出評(píng)價(jià)通知給網(wǎng)絡(luò)管理員系統(tǒng)108���。在一個(gè)實(shí)施例中�,一個(gè)或多個(gè)威脅評(píng)估系統(tǒng)118�、120���、122�、IM在檢測(cè)到數(shù)據(jù)異常時(shí)發(fā)出異常事件通知給網(wǎng)絡(luò)管理系統(tǒng)110�����。在一個(gè)實(shí)施例中��,一個(gè)或多個(gè)威脅評(píng)估系統(tǒng)118�、 120、122����、1M在完成檢測(cè)的數(shù)據(jù)異常的評(píng)價(jià)時(shí)發(fā)出評(píng)價(jià)通知給網(wǎng)絡(luò)管理系統(tǒng)110�。盡管描述了一定數(shù)量的不同類型的威脅評(píng)估系統(tǒng)���,但是可以使用其他類型的威脅評(píng)估系統(tǒng)�。同樣地����,盡管網(wǎng)絡(luò)被描述為具有四個(gè)威脅評(píng)估系統(tǒng),但是可以使用更少或更大數(shù)量的威脅評(píng)估系統(tǒng)���。此外��,盡管描述了用于威脅評(píng)估系統(tǒng)的特定網(wǎng)絡(luò)配置�,但是可以采用可替換的網(wǎng)絡(luò)配置�。在一個(gè)實(shí)施例中,當(dāng)網(wǎng)絡(luò)管理系統(tǒng)110檢測(cè)到選擇的數(shù)據(jù)異常時(shí)���,網(wǎng)絡(luò)管理系統(tǒng) 110發(fā)出數(shù)據(jù)異常評(píng)估請(qǐng)求給選擇的威脅評(píng)估系統(tǒng)118��、120���、122�����、124以便提供對(duì)檢測(cè)的數(shù)據(jù)異常的評(píng)估�����。在一個(gè)實(shí)施例中����,當(dāng)網(wǎng)絡(luò)管理系統(tǒng)110檢測(cè)到選擇的數(shù)據(jù)異常時(shí)�,網(wǎng)絡(luò)管理系統(tǒng)110發(fā)出數(shù)據(jù)鏡像命令給選擇的網(wǎng)絡(luò)系統(tǒng)以便將與檢測(cè)的數(shù)據(jù)異常關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)鏡像到選擇的威脅評(píng)估系統(tǒng)118、120�����、122���、124。在一個(gè)實(shí)施例中��,當(dāng)網(wǎng)絡(luò)管理系統(tǒng)110檢測(cè)到選擇的數(shù)據(jù)異常時(shí)�,網(wǎng)絡(luò)管理系統(tǒng)110標(biāo)識(shí)檢測(cè)的網(wǎng)絡(luò)數(shù)據(jù)異常造成的威脅類型,標(biāo)識(shí)專用于評(píng)價(jià)標(biāo)識(shí)的威脅類型的威脅評(píng)估系統(tǒng)118、120���、122�����、124���,并且發(fā)出數(shù)據(jù)鏡像命令給選擇的網(wǎng)絡(luò)系統(tǒng)以便將與數(shù)據(jù)異常關(guān)聯(lián)的網(wǎng)絡(luò)數(shù)據(jù)鏡像到標(biāo)識(shí)的威脅評(píng)估系統(tǒng)118、120����、 122,124ο網(wǎng)絡(luò)管理系統(tǒng)110通常管理包括網(wǎng)絡(luò)安全操作的網(wǎng)絡(luò)操作。在一個(gè)實(shí)施例中���,網(wǎng)絡(luò)管理系統(tǒng)110包括網(wǎng)絡(luò)免疫管理系統(tǒng)����,其中該網(wǎng)絡(luò)免疫管理系統(tǒng)通常管理網(wǎng)絡(luò)安全操作�����。在一個(gè)實(shí)施例中�����,網(wǎng)絡(luò)管理系統(tǒng)110為通常管理網(wǎng)絡(luò)安全操作的網(wǎng)絡(luò)免疫管理(NIM)系統(tǒng)類型的網(wǎng)絡(luò)管理系統(tǒng)。附加類型的網(wǎng)絡(luò)管理系統(tǒng)用來(lái)管理其他類型的網(wǎng)絡(luò)操作��。在一個(gè)實(shí)施例中�����,網(wǎng)絡(luò)管理系統(tǒng)110包括嵌入式威脅評(píng)估系統(tǒng)�。在一個(gè)實(shí)施例中,該嵌入式威脅評(píng)估系統(tǒng)為網(wǎng)絡(luò)行為異常檢測(cè)(NBAD)系統(tǒng)�。網(wǎng)絡(luò)管理系統(tǒng)110經(jīng)由第二網(wǎng)絡(luò)交換機(jī)104與網(wǎng)絡(luò)100通信耦合。更特別地��,網(wǎng)絡(luò)管理系統(tǒng)110經(jīng)由網(wǎng)絡(luò)管理系統(tǒng)110與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 5之間的通信信道與網(wǎng)絡(luò)100通信耦合����。網(wǎng)絡(luò)管理系統(tǒng)110將在下面參照?qǐng)D2更詳細(xì)地加以描述。網(wǎng)絡(luò)管理員130通常經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108管理包括網(wǎng)絡(luò)安全操作的網(wǎng)絡(luò)操作���。網(wǎng)絡(luò)管理員系統(tǒng)108經(jīng)由第三網(wǎng)絡(luò)交換機(jī)106與網(wǎng)絡(luò)100通信耦合。更特別地���,網(wǎng)絡(luò)管理員系統(tǒng)108經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108與第三網(wǎng)絡(luò)交換機(jī)106的數(shù)據(jù)端口 1之間的通信信道與網(wǎng)絡(luò)100通信耦合����。
在一個(gè)實(shí)施例中,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供人工定義和/ 或修改安全策略的選項(xiàng)�����。在一個(gè)實(shí)施例中��,在網(wǎng)絡(luò)管理員系統(tǒng)108處接收異常通知���。在一個(gè)實(shí)施例中�����,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供選擇性地人工強(qiáng)制執(zhí)行選擇的安全策略的選項(xiàng)��。在一個(gè)實(shí)施例中�,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供選擇性地人工實(shí)施對(duì)選擇的數(shù)據(jù)異常的一個(gè)或多個(gè)緩和響應(yīng)的選項(xiàng)����。在一個(gè)實(shí)施例中,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供配置選擇的網(wǎng)絡(luò)系統(tǒng)的選項(xiàng)����。在一個(gè)實(shí)施例中��,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供配置單獨(dú)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102���、104、106的選項(xiàng)�����。在一個(gè)實(shí)施例中�����,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供配置單獨(dú)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102����、104、106的單獨(dú)數(shù)據(jù)端口 1����、2、3����、4、5�����、6的選項(xiàng)��。 在一個(gè)實(shí)施例中����,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供將單獨(dú)數(shù)據(jù)端口 1、2��、3����、 4、5����、6配置為鏡像源數(shù)據(jù)端口和鏡像目的地?cái)?shù)據(jù)端口的選項(xiàng)。在一個(gè)實(shí)施例中�����,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供將單獨(dú)數(shù)據(jù)端口 1����、2��、3�����、4��、5��、6配置為本地鏡像源數(shù)據(jù)端口和本地鏡像目的地?cái)?shù)據(jù)端口的選項(xiàng)���。在一個(gè)實(shí)施例中,經(jīng)由網(wǎng)絡(luò)管理員系統(tǒng)108向網(wǎng)絡(luò)管理員130提供將單獨(dú)數(shù)據(jù)端口 1����、2、3�����、4����、5、6配置為遠(yuǎn)程鏡像源數(shù)據(jù)端口和遠(yuǎn)程鏡像目的地?cái)?shù)據(jù)端口的選項(xiàng)。盡管描述了可以通過(guò)網(wǎng)絡(luò)管理員130借助于網(wǎng)絡(luò)管理員系統(tǒng)108執(zhí)行的一定數(shù)量的不同網(wǎng)絡(luò)管理功能����,但是其他的網(wǎng)絡(luò)管理功能也可以通過(guò)網(wǎng)絡(luò)管理員130 借助于網(wǎng)絡(luò)管理員系統(tǒng)108而執(zhí)行���。第一服務(wù)器系統(tǒng)112經(jīng)由第三網(wǎng)絡(luò)交換機(jī)106與網(wǎng)絡(luò)100通信耦合�,并且第二和第三服務(wù)器系統(tǒng)114和116分別經(jīng)由第二網(wǎng)絡(luò)交換機(jī)104與網(wǎng)絡(luò)100通信耦合����。更特別地, 第一服務(wù)器系統(tǒng)112經(jīng)由第一服務(wù)器系統(tǒng)112與第三網(wǎng)絡(luò)交換機(jī)系統(tǒng)106的數(shù)據(jù)端口 3之間的通信信道與網(wǎng)絡(luò)100通信耦合�。第二服務(wù)器系統(tǒng)114經(jīng)由第二服務(wù)器系統(tǒng)114與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 3之間的通信信道與網(wǎng)絡(luò)100通信耦合。第三服務(wù)器系統(tǒng) 116經(jīng)由第三服務(wù)器系統(tǒng)116與第二網(wǎng)絡(luò)交換機(jī)系統(tǒng)104的數(shù)據(jù)端口 4之間的通信信道與網(wǎng)絡(luò)100通信耦合���。在示例性網(wǎng)絡(luò)100中��,第一服務(wù)器系統(tǒng)112處理需要相對(duì)低網(wǎng)絡(luò)安全級(jí)別的數(shù)據(jù)����,而第二和第三服務(wù)器系統(tǒng)114和116分別處理相對(duì)敏感的財(cái)務(wù)數(shù)據(jù)并且需要相對(duì)較高的網(wǎng)絡(luò)安全級(jí)別�����。盡管描述了包括在網(wǎng)絡(luò)中以特定方式配置的特定類型的服務(wù)器系統(tǒng)的一種網(wǎng)絡(luò)配置,但是在網(wǎng)絡(luò)中可以使用其他類型的服務(wù)器系統(tǒng)�����。同樣地��,盡管描述了服務(wù)器系統(tǒng)的一種網(wǎng)絡(luò)配置����,但是可以使用可替換的網(wǎng)絡(luò)配置。此外��,盡管三個(gè)服務(wù)器被描述為網(wǎng)絡(luò)的部分�,但是可以使用更少或更大數(shù)量的服務(wù)器。用戶126使用了諸如膝上型計(jì)算機(jī)之類的外部系統(tǒng)128以便建立與網(wǎng)絡(luò)100的通信耦合���。外部系統(tǒng)1 經(jīng)由外部系統(tǒng)1 與第一網(wǎng)絡(luò)交換機(jī)系統(tǒng)102的數(shù)據(jù)端口 1之間建立的通信信道建立與網(wǎng)絡(luò)100的通信耦合����。數(shù)據(jù)端口 1是邊緣互連數(shù)據(jù)端口����。本說(shuō)明書中使用的用戶包括人類用戶以及自動(dòng)化代理。這樣的自動(dòng)化代理的一個(gè)實(shí)例是bot�。在一個(gè)實(shí)施例中,網(wǎng)絡(luò)100內(nèi)的網(wǎng)絡(luò)系統(tǒng)之間建立的通信信道是無(wú)線通信信道。 在一個(gè)實(shí)施例中����,網(wǎng)絡(luò)100內(nèi)的網(wǎng)絡(luò)系統(tǒng)之間建立的通信信道是有線通信信道。在一個(gè)實(shí)施例中�����,網(wǎng)絡(luò)100內(nèi)的網(wǎng)絡(luò)系統(tǒng)之間建立的通信信道是無(wú)線通信信道和有線通信信道的組在一個(gè)實(shí)施例中����,外部系統(tǒng)128與網(wǎng)絡(luò)100之間建立的通信信道經(jīng)由無(wú)線通信信道�����。在一個(gè)實(shí)施例中���,外部系統(tǒng)1 與網(wǎng)絡(luò)100之間建立的通信信道經(jīng)由有線通信信道�����。在一個(gè)實(shí)施例中���,外部系統(tǒng)1 與網(wǎng)絡(luò)100之間建立的通信信道經(jīng)由無(wú)線通信信道和有線通信信道的組合。盡管描述了其中可以實(shí)施管理網(wǎng)絡(luò)100中的安全性的一個(gè)實(shí)施例的網(wǎng)絡(luò)100的一種特定的配置,但是管理網(wǎng)絡(luò)中的安全性的若干實(shí)施例可以在具有可替換配置的網(wǎng)絡(luò)中實(shí)現(xiàn)�����。此外��,管理網(wǎng)絡(luò)中的安全性的若干實(shí)施例可以在包括更少或更大數(shù)量的類型的網(wǎng)絡(luò)系統(tǒng)以及包括更少或更大數(shù)量的所描述的網(wǎng)絡(luò)系統(tǒng)的網(wǎng)絡(luò)中實(shí)現(xiàn)��。網(wǎng)絡(luò)安全系統(tǒng)的示例件架構(gòu)
圖2為依照當(dāng)前技術(shù)的實(shí)施例的示例性網(wǎng)絡(luò)安全系統(tǒng)(NSS) 111的框圖�����。NSS 111有線和/或無(wú)線地與網(wǎng)絡(luò)管理系統(tǒng)110和網(wǎng)絡(luò)100耦合��。NSS 112包括異常檢測(cè)模塊200����、源標(biāo)識(shí)器210、數(shù)據(jù)存儲(chǔ)器(data store) 220����、源比較器230和訪問(wèn)控制策略關(guān)聯(lián)器M0。當(dāng)前技術(shù)的實(shí)施例可以進(jìn)一步包括映射模塊245和源認(rèn)證器255��。在一個(gè)實(shí)施例中�,異常檢測(cè)模塊200有線和/或無(wú)線地與嵌入到本文描述的一個(gè)或多個(gè)網(wǎng)絡(luò)交換機(jī)系統(tǒng)102����、104和106中的威脅評(píng)估系統(tǒng)耦合���。圖2示出了包括源215和數(shù)據(jù)異常205的網(wǎng)絡(luò)100����。源215指的是檢測(cè)的數(shù)據(jù)異常205的起源�。例如,源215是用來(lái)訪問(wèn)網(wǎng)絡(luò)的機(jī)制并且可以僅僅包括計(jì)算機(jī)或者包括計(jì)算機(jī)及其操作者�����。源205包括網(wǎng)絡(luò)地址250��。網(wǎng)絡(luò)地址250可由NSS 111識(shí)別���,并且可以用來(lái)定位應(yīng)用于源215的訪問(wèn)控制策略,如這里將描述的����。在一個(gè)實(shí)施例中,數(shù)據(jù)存儲(chǔ)器220存儲(chǔ)包括多個(gè)訪問(wèn)控制策略22fe�、225b��、225c��、 225d�、225e和225f(225a-225f)����。數(shù)據(jù)存儲(chǔ)器220可以在NSS 112的內(nèi)部或外部。在一個(gè)實(shí)施例中�,數(shù)據(jù)存儲(chǔ)器220與本文描述的網(wǎng)絡(luò)100耦合但是在該網(wǎng)絡(luò)外部。盡管圖2中示出了多個(gè)訪問(wèn)控制策略22fe_225f��,但是為了簡(jiǎn)潔和清楚的原因�,這里將討論僅僅一個(gè)訪問(wèn)控制策略22fe。此外�����,盡管圖2中示出了有限數(shù)量的訪問(wèn)控制策略 22fe-225f�,但是應(yīng)當(dāng)理解的是,數(shù)據(jù)存儲(chǔ)器220中可以存在數(shù)據(jù)存儲(chǔ)器220能夠存儲(chǔ)的許多訪問(wèn)控制策略���。也應(yīng)當(dāng)理解的是����,訪問(wèn)控制策略22 的描述將代表所有訪問(wèn)控制策略。訪問(wèn)控制策略22 包括與源205關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令23fe����。盡管這里描述了僅僅一個(gè)訪問(wèn)限制指令23 ,但是應(yīng)當(dāng)理解的是����,訪問(wèn)控制策略22 可以包含超過(guò)一個(gè)訪問(wèn)限制指令。訪問(wèn)限制指令23 包括關(guān)于限制源對(duì)網(wǎng)絡(luò)內(nèi)的特定位置的訪問(wèn)的指令的描述���。在一個(gè)實(shí)施例中���,訪問(wèn)限制指令23 可以是針對(duì)源215的網(wǎng)絡(luò)位置限制。例如��, 訪問(wèn)限制指令23 可以指示僅允許源215訪問(wèn)端口 1����、2��、3��、4���、5和6中的端口 5和6�����。在另一個(gè)實(shí)施例中���,訪問(wèn)限制指令23 可以是網(wǎng)絡(luò)帶寬限制�。例如��,訪問(wèn)限制指令23 可以指示僅允許源215在網(wǎng)絡(luò)100上的所有端口 1�����、2�、3、4�����、5和6處使用預(yù)先規(guī)定數(shù)量的帶寬��。在一個(gè)實(shí)施例中���,訪問(wèn)限制指令23 可以是針對(duì)源215的持續(xù)時(shí)間限制�����。例如�����,訪問(wèn)限制指令23 可以指示僅允許源215 —天兩分鐘地經(jīng)由端口 1訪問(wèn)網(wǎng)絡(luò)100�。如這里將描述的,當(dāng)前技術(shù)的實(shí)施例提供了一種用于通過(guò)用戶和/或機(jī)器檢測(cè)異?��;蛴泻π袨椴⑶遗R時(shí)或者永久地限制對(duì)網(wǎng)絡(luò)的未來(lái)訪問(wèn)權(quán)限以便預(yù)防連續(xù)有害行為的機(jī)制����。網(wǎng)絡(luò)安全系統(tǒng)的示例性操作
更一般地�����,在依照當(dāng)前技術(shù)的實(shí)施例中��,NSS 111用來(lái)識(shí)別第一位置處的網(wǎng)絡(luò)攻擊的源
9并且限制該源在另一個(gè)網(wǎng)絡(luò)位置處對(duì)網(wǎng)絡(luò)的訪問(wèn)��。這樣的管理對(duì)網(wǎng)絡(luò)的訪問(wèn)的方法在預(yù)防對(duì)破壞性網(wǎng)絡(luò)流量負(fù)責(zé)的用戶在第二位置處重新進(jìn)入網(wǎng)絡(luò)且造成更多破壞方面是特別有用的���。仍然參照?qǐng)D2����,異常檢測(cè)模塊200被配置成檢測(cè)網(wǎng)絡(luò)100上的第一位置處的數(shù)據(jù)異常205����。網(wǎng)絡(luò)100上的第一位置可以是網(wǎng)絡(luò)100內(nèi)的可以檢測(cè)到數(shù)據(jù)異常的任何位置,例如但不限于端口 1���、2���、3、4��、5和/或6���。在一個(gè)實(shí)施例中�����,源標(biāo)識(shí)器210被配置成標(biāo)識(shí)數(shù)據(jù)異常205的源215�。在一個(gè)實(shí)施例中�����,映射模塊245被配置成經(jīng)由本領(lǐng)域中已知的技術(shù)將源215映射成關(guān)聯(lián)的網(wǎng)絡(luò)地址。在一個(gè)實(shí)施例中�����,源認(rèn)證器255被配置成確定與源215關(guān)聯(lián)的角色��。在一個(gè)實(shí)施例中���,措詞“角色”指的是源215在網(wǎng)絡(luò)100中的預(yù)定義功能����,所述功能與允許的對(duì)網(wǎng)絡(luò)100 內(nèi)的不同位置的訪問(wèn)的級(jí)別相應(yīng)��。例如��,源認(rèn)證器255經(jīng)由源215的網(wǎng)絡(luò)地址250識(shí)別源 215����,并且確定源在網(wǎng)絡(luò)100中的預(yù)定義角色。該角色可以是“經(jīng)理”的角色��。企業(yè)中的經(jīng)理典型地可以被允許在網(wǎng)絡(luò)中的不同位置處的高訪問(wèn)級(jí)別���。在一個(gè)實(shí)施例中��,源比較器230將源215與多個(gè)訪問(wèn)控制策略22fe_225f進(jìn)行比較���,其中多個(gè)訪問(wèn)控制策略22fe-225f中的每一個(gè)包括與一個(gè)或多個(gè)諸如源215之類的源關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令23fe-235f。在一個(gè)實(shí)施例中�,訪問(wèn)控制策略關(guān)聯(lián)器240被配置用于基于這里描述的源比較器 230的比較將源215與所述多個(gè)訪問(wèn)控制策略22fe-225f中的相應(yīng)訪問(wèn)控制策略關(guān)聯(lián)。與源215 “相應(yīng)”的訪問(wèn)控制策略可以是引用源215的預(yù)定義“角色”和/或源的網(wǎng)絡(luò)地址的訪問(wèn)控制策略�����。將源215與相應(yīng)訪問(wèn)控制策略22 關(guān)聯(lián)可能需要將該相應(yīng)訪問(wèn)控制策略 22 傳送到網(wǎng)絡(luò)100及其中的管理員�。此外,訪問(wèn)控制策略22 可以變得臨時(shí)地與源215 關(guān)聯(lián)或者永久地與源215關(guān)聯(lián)����。在一個(gè)實(shí)施例中,可以將網(wǎng)絡(luò)100編程為自動(dòng)地利用訪問(wèn)控制策略22 代替關(guān)于源215的當(dāng)前訪問(wèn)控制策略���。在另一個(gè)實(shí)施例中���,網(wǎng)絡(luò)100和/或其任何管理員在確定是否實(shí)施訪問(wèn)控制策略22 之前可以接收該訪問(wèn)控制策略以進(jìn)行檢查。現(xiàn)在參照?qǐng)D3的300���,示出了依照當(dāng)前技術(shù)實(shí)施例的管理網(wǎng)絡(luò)100中的安全性的示例性計(jì)算機(jī)實(shí)現(xiàn)的方法的流程圖�。參照?qǐng)D3的305且如這里所描述的,在當(dāng)前技術(shù)的一個(gè)實(shí)施例中���,在網(wǎng)絡(luò)100上的第一位置處檢測(cè)數(shù)據(jù)異常205?���,F(xiàn)在參照?qǐng)D3的310且如這里所描述的�����,在一個(gè)實(shí)施例中���, 標(biāo)識(shí)數(shù)據(jù)異常205的源205��。參照?qǐng)D3的315且如這里所描述的�,在一個(gè)實(shí)施例中���,將源205與多個(gè)訪問(wèn)控制策略22fe-225f進(jìn)行比較�,其中多個(gè)訪問(wèn)控制策略22fe-225f中的每一個(gè)包括與一個(gè)或多個(gè)源關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令23fe-235f���,所述源例如但不限于源205?����,F(xiàn)在參照?qǐng)D3的 320且如這里所描述的�����,在一個(gè)實(shí)施例中���,基于圖3的315的比較,將源205與多個(gè)訪問(wèn)控制策略22fe-225f中的相應(yīng)訪問(wèn)控制策略關(guān)聯(lián)���。示例性計(jì)算機(jī)系統(tǒng)環(huán)境
圖4示出了依照當(dāng)前技術(shù)實(shí)施例使用的示例性計(jì)算機(jī)系統(tǒng)400����。應(yīng)當(dāng)理解的是�,圖4的系統(tǒng)400僅僅是一個(gè)實(shí)例,并且當(dāng)前技術(shù)的實(shí)施例可以工作于若干不同計(jì)算機(jī)系統(tǒng)之上或之中�����,所述計(jì)算機(jī)系統(tǒng)包括通用聯(lián)網(wǎng)計(jì)算機(jī)系統(tǒng)��、嵌入式計(jì)算機(jī)系統(tǒng)����、路由器���、交換機(jī)、服務(wù)器設(shè)備�、用戶設(shè)備、各種不同的中間設(shè)備/人工制品�、獨(dú)立計(jì)算機(jī)系統(tǒng)等等。如圖4中所示���, 圖4的計(jì)算機(jī)系統(tǒng)400非常適于具有與其耦合的外圍計(jì)算機(jī)可讀介質(zhì)402�����,例如光盤等等���。圖4的系統(tǒng)400包括用于傳送信息的地址/數(shù)據(jù)總線404以及耦合到總線404用于處理信息和指令的處理器406A。如圖4中所示�����,系統(tǒng)400也非常適合其中存在多個(gè)處理器406A����、406B和406C的多處理器環(huán)境���。相反地,系統(tǒng)400也非常適合具有單個(gè)處理器�,例如處理器406A。處理器406A���、406B和406C可以是任何不同類型的微處理器���。系統(tǒng)400也包括耦合到總線404以便存儲(chǔ)用于處理器406A�、406B和406C的信息和指令的諸如計(jì)算機(jī)可用易失性存儲(chǔ)器408例如隨機(jī)存取存儲(chǔ)器(RAM)之類的數(shù)據(jù)存儲(chǔ)特征。系統(tǒng)400也包括耦合到總線404以便存儲(chǔ)用于處理器406A�、406B和406C的靜態(tài)信息和指令的計(jì)算機(jī)可用非易失性存儲(chǔ)器410,例如只讀存儲(chǔ)器(ROM)�����。同樣存在于系統(tǒng)400 中的是耦合到總線404以便存儲(chǔ)信息和指令的數(shù)據(jù)存儲(chǔ)單元412 (例如磁盤或光盤和盤驅(qū)動(dòng)器)���。系統(tǒng)400也包括耦合到總線404以便將信息和命令選擇傳送到處理器406A或者處理器406A����、406B和406C的包括字母數(shù)字鍵和功能鍵的可選的字母數(shù)字輸入設(shè)備614�����。系統(tǒng) 400也包括耦合到總線404以便將用戶輸入信息和命令選擇傳送到處理器406A或者處理器 406A、406B和406C的可選的光標(biāo)控制設(shè)備416����。系統(tǒng)400也包括耦合到總線404以便顯示信息的可選的顯示設(shè)備418。仍然參照?qǐng)D4��,圖4的可選的顯示設(shè)備418可以是液晶設(shè)備��、陰極射線管�����、等離子體顯示設(shè)備或者適合于創(chuàng)建用戶可識(shí)別的圖形圖像和字母數(shù)字字符的其他顯示設(shè)備���?���?蛇x的光標(biāo)控制設(shè)備416允許計(jì)算機(jī)用戶動(dòng)態(tài)地用信號(hào)通知顯示設(shè)備418的顯示屏幕上的可見(jiàn)符號(hào)(光標(biāo))的運(yùn)動(dòng)�����。光標(biāo)控制設(shè)備416的許多實(shí)現(xiàn)方式在本領(lǐng)域中是已知的�,包括跟蹤球����、鼠標(biāo)����、觸摸板、操縱桿或者字母數(shù)字輸入設(shè)備414上能夠用信號(hào)通知給定方向的運(yùn)動(dòng)或者移位方式的特殊鍵�。可替換地�����,應(yīng)當(dāng)理解的是�,可以借助于來(lái)自字母數(shù)字輸入設(shè)備414的輸入使用特殊鍵和鍵序列命令定向和/或激活光標(biāo)�。系統(tǒng)400也非常適合具有通過(guò)其他方式(例如話音命令)定向的光標(biāo)。系統(tǒng)400也包括用于將系統(tǒng)400與外部實(shí)體耦合的I/O設(shè)備420����。仍然參照?qǐng)D4,繪出了用于系統(tǒng)400的各種其他的部件����。特別地,當(dāng)存在時(shí)��,操作系統(tǒng)422、應(yīng)用424����、模塊4 和數(shù)據(jù)4 被示為典型地駐留在計(jì)算機(jī)可用易失性存儲(chǔ)器408 (例如隨機(jī)存取存儲(chǔ)器(RAM))和數(shù)據(jù)存儲(chǔ)單元412中的一個(gè)或者某種組合中。然而��,應(yīng)當(dāng)理解的是���,在一些實(shí)施例中�,操作系統(tǒng)422可以存儲(chǔ)在其他位置中�,例如存儲(chǔ)在網(wǎng)絡(luò)上或閃存驅(qū)動(dòng)器上;并且此外�����,可以經(jīng)由例如到互聯(lián)網(wǎng)的耦合從遠(yuǎn)程位置訪問(wèn)操作系統(tǒng)422�。在一個(gè)實(shí)施例中,將本發(fā)明例如作為應(yīng)用4 或模塊4 存儲(chǔ)在RAM 408內(nèi)的存儲(chǔ)位置以及數(shù)據(jù)存儲(chǔ)單元412內(nèi)的存儲(chǔ)區(qū)域中�����。計(jì)算系統(tǒng)400僅僅是適當(dāng)計(jì)算環(huán)境的一個(gè)實(shí)例�,并且并非意在暗示關(guān)于當(dāng)前技術(shù)實(shí)施例的使用范圍或功能的任何限制。也不應(yīng)當(dāng)將計(jì)算環(huán)境400解釋為具有與示例性計(jì)算系統(tǒng)400中所示部件中的任何一個(gè)或組合有關(guān)的任何依賴性或要求。當(dāng)前技術(shù)的實(shí)施例可以在由計(jì)算機(jī)執(zhí)行的諸如程序模塊之類的計(jì)算機(jī)可執(zhí)行指令的一般上下文中進(jìn)行描述���。通常��,程序模塊包括執(zhí)行特定任務(wù)或者實(shí)現(xiàn)特定抽象數(shù)據(jù)類型的例程���、程序、對(duì)象���、組件�����、數(shù)據(jù)結(jié)構(gòu)等等�����。當(dāng)前技術(shù)的實(shí)施例也可以在分布式計(jì)算環(huán)境中實(shí)施,其中任務(wù)由通過(guò)通信網(wǎng)絡(luò)鏈接的遠(yuǎn)程處理設(shè)備執(zhí)行��。在分布式計(jì)算環(huán)境中��,程序模塊
11可以位于包括記憶存儲(chǔ)設(shè)備的本地和遠(yuǎn)程計(jì)算機(jī)存儲(chǔ)介質(zhì)二者之中��。圖5為依照當(dāng)前技術(shù)實(shí)施例的管理網(wǎng)絡(luò)中的安全性的示例性方法的流程圖。在一個(gè)實(shí)施例中���,過(guò)程500由處理器和電部件在計(jì)算機(jī)可讀和計(jì)算機(jī)可執(zhí)行指令的控制下實(shí)現(xiàn)����。計(jì)算機(jī)可讀和計(jì)算機(jī)可執(zhí)行指令駐留于例如諸如計(jì)算機(jī)可用易失性和非易失性存儲(chǔ)器之類的數(shù)據(jù)存儲(chǔ)特征中���。然而�,計(jì)算機(jī)可讀和計(jì)算機(jī)可執(zhí)行指令可以駐留于任何類型的計(jì)算機(jī)可讀介質(zhì)中�。在一個(gè)實(shí)施例中,過(guò)程500由圖2的NSS 111執(zhí)行����。參照?qǐng)D5的505,在一個(gè)實(shí)施例中���,確定網(wǎng)絡(luò)100上的第一位置處的檢測(cè)的數(shù)據(jù)異常205的源215����。在一個(gè)實(shí)施例中��,確定檢測(cè)的數(shù)據(jù)異常205的源包括檢測(cè)網(wǎng)絡(luò)100上的第一位置處的數(shù)據(jù)異常205并且標(biāo)識(shí)數(shù)據(jù)異常205的源215�。在一個(gè)實(shí)施例中�,標(biāo)識(shí)數(shù)據(jù)異常205的源215包括將源215映射到關(guān)聯(lián)的網(wǎng)絡(luò)地址250�����。在一個(gè)實(shí)施例中��,標(biāo)識(shí)數(shù)據(jù)異常205的源215包括確定源215的基于角色的認(rèn)證?����,F(xiàn)在參照?qǐng)D5的510��,在一個(gè)實(shí)施例中且如這里所描述的�,將源215與多個(gè)訪問(wèn)控制策略22fe-225f進(jìn)行比較,其中多個(gè)訪問(wèn)控制策略22fe-225f中的每一個(gè)包括與一個(gè)或多個(gè)源(例如但不限于215)關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令23fe-235f?,F(xiàn)在參照?qǐng)D5的515,在一個(gè)實(shí)施例中且如這里所描述的�,基于圖5的510中所描述的比較,將源215與多個(gè)訪問(wèn)控制策略22fe-225f中的相應(yīng)訪問(wèn)控制策略關(guān)聯(lián)���。在一個(gè)實(shí)施例中�����,利用諸如22 之類的第二訪問(wèn)控制策略代替第一訪問(wèn)控制策略,其中第二訪問(wèn)控制策略基于這里且在圖5的505中描述的源215的確定。第一訪問(wèn)控制策略可以是與源 215有關(guān)的原始訪問(wèn)控制策略�����,或者可以是與源215有關(guān)的最新的訪問(wèn)控制策略���。換言之�����, 第二訪問(wèn)控制策略可以在適當(dāng)位置覆蓋任何先前的訪問(wèn)控制策略�。因此�����,當(dāng)前技術(shù)的實(shí)施例通過(guò)提供一種用于檢測(cè)用戶和/或機(jī)器的異?;蛴泻π袨椴⑶蚁拗朴脩艉?或機(jī)器的未來(lái)網(wǎng)絡(luò)訪問(wèn)權(quán)限的機(jī)制而允許預(yù)防對(duì)于網(wǎng)絡(luò)的連續(xù)有害行為。盡管以特定于結(jié)構(gòu)特征和/或方法動(dòng)作的語(yǔ)言描述了主題�,但是應(yīng)當(dāng)理解的是, 所附權(quán)利要求書中限定的主題不必限于上面描述的特定特征或動(dòng)作���。相反地����,上面描述的特定特征和動(dòng)作作為實(shí)現(xiàn)權(quán)利要求的示例性形式而公開。
權(quán)利要求
1.一種計(jì)算機(jī)實(shí)現(xiàn)的管理網(wǎng)絡(luò)中的安全性的方法[300]���,所述方法[300]包括 檢測(cè)[305]網(wǎng)絡(luò)[100]上的第一位置處的數(shù)據(jù)異常[205]����;標(biāo)識(shí)[310]所述數(shù)據(jù)異常[205]的源[215]����;將所述源[215]與多個(gè)訪問(wèn)控制策略進(jìn)行比較[315],其中所述多個(gè)訪問(wèn)控制策略中的每一個(gè)包括與一個(gè)或多個(gè)源關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令���;以及基于所述比較����,將所述源與所述多個(gè)控制策略中的相應(yīng)控制策略關(guān)聯(lián)[320]�。
2.權(quán)利要求1的方法[300],其中所述標(biāo)識(shí)所述數(shù)據(jù)異常[205]的源[215]包括 將所述源[215]映射到關(guān)聯(lián)的網(wǎng)絡(luò)地址�����。
3.權(quán)利要求1的方法[300]���,其中所述標(biāo)識(shí)所述數(shù)據(jù)異常[205]的源[215]包括 確定所述源[215]的基于角色的認(rèn)證�。
4.權(quán)利要求1的方法[300],其中所述將所述源[215]與所述多個(gè)控制策略中的相應(yīng)控制策略關(guān)聯(lián)包括允許預(yù)防所述源[215]在所述網(wǎng)絡(luò)[100]上的第二位置處重新進(jìn)入���。
5.權(quán)利要求1的方法[300],其中所述將所述源[215]與所述多個(gè)控制策略中的相應(yīng)控制策略關(guān)聯(lián)包括允許實(shí)現(xiàn)對(duì)所述訪問(wèn)的持續(xù)時(shí)間限制���。
6.權(quán)利要求1的方法[300]�,其中所述將所述源[215]與所述多個(gè)控制策略中的相應(yīng)控制策略關(guān)聯(lián)包括允許限制所述源[215]的帶寬使用�����。
7.權(quán)利要求1的方法[300]�����,進(jìn)一步包括 將臨時(shí)的訪問(wèn)控制策略與所述源[215]關(guān)聯(lián)�。
8.權(quán)利要求1的方法[300],進(jìn)一步包括 將永久的訪問(wèn)控制策略與所述源[215]關(guān)聯(lián)�����。
9.權(quán)利要求1的方法[300]���,進(jìn)一步包括基于所述標(biāo)識(shí)所述源[215]�,利用第二訪問(wèn)控制策略代替第一訪問(wèn)控制策略,所述第二訪問(wèn)控制策略�。
10.一種網(wǎng)絡(luò)安全系統(tǒng)[111],包括:異常檢測(cè)模塊[200]�����,其被配置用于檢測(cè)網(wǎng)絡(luò)[100]上的第一位置處的數(shù)據(jù)異常 [205]����;源標(biāo)識(shí)器[210],其被配置用于標(biāo)識(shí)所述數(shù)據(jù)異常[205]的源[215]����; 數(shù)據(jù)存儲(chǔ)器[220],其用于存儲(chǔ)多個(gè)訪問(wèn)控制策略��;源比較器[230]�,其被配置用于將所述源[215]與所述多個(gè)訪問(wèn)控制策略進(jìn)行比較,其中所述多個(gè)訪問(wèn)控制策略中的每一個(gè)包括與一個(gè)或多個(gè)源關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令�����; 以及訪問(wèn)控制策略關(guān)聯(lián)器[240]�����,其被配置用于基于所述比較將所述源[215]與所述多個(gè)訪問(wèn)控制策略中的相應(yīng)訪問(wèn)控制策略關(guān)聯(lián)。
11.權(quán)利要求10的系統(tǒng)[111]�����,進(jìn)一步包括:映射模塊[245]��,其被配置用于將所述源[215]映射到關(guān)聯(lián)的網(wǎng)絡(luò)地址����。
12.權(quán)利要求10的系統(tǒng)[111]����,其中所述源標(biāo)識(shí)器包括源認(rèn)證器[255],其被配置用于確定與所述源[215]關(guān)聯(lián)的角色�����。
13.權(quán)利要求10的系統(tǒng)[111]���,其中所述訪問(wèn)限制指令包括針對(duì)所述源[215]的網(wǎng)絡(luò)位置限制����。
14.權(quán)利要求10的系統(tǒng)[111]��,其中所述訪問(wèn)限制指令包括在所述第二位置處的針對(duì)所述源[215]的網(wǎng)絡(luò)帶寬限制。
15.權(quán)利要求10的系統(tǒng)[111]���,其中所述訪問(wèn)限制指令包括在所述第二位置處的針對(duì)所述源[215]的持續(xù)時(shí)間限制��。
全文摘要
描述了一種管理網(wǎng)絡(luò)中的安全性的方法(300)���。檢測(cè)(305)網(wǎng)絡(luò)上的第一位置處的數(shù)據(jù)異常。標(biāo)識(shí)(310)該數(shù)據(jù)異常的源�。將該源與多個(gè)訪問(wèn)控制策略進(jìn)行比較,其中所述多個(gè)訪問(wèn)控制策略中的每一個(gè)包括與一個(gè)或多個(gè)源關(guān)聯(lián)的至少一個(gè)訪問(wèn)限制指令(315)����。基于該比較�����,將所述源與所述多個(gè)訪問(wèn)控制策略中的相應(yīng)訪問(wèn)控制策略關(guān)聯(lián)(320)����。
文檔編號(hào)H04L9/32GK102369532SQ200980158441
公開日2012年3月7日 申請(qǐng)日期2009年1月29日 優(yōu)先權(quán)日2009年1月29日
發(fā)明者考漢 A., M. 格林 J., M. 巴勒斯特羅斯 R., 亞拉肯蒂 R., 克雷爾 S. 申請(qǐng)人:惠普開發(fā)有限公司