CN105518663B - 不良行为人的自动阻挡 - Google Patents
不良行为人的自动阻挡 Download PDFInfo
- Publication number
- CN105518663B CN105518663B CN201480045177.1A CN201480045177A CN105518663B CN 105518663 B CN105518663 B CN 105518663B CN 201480045177 A CN201480045177 A CN 201480045177A CN 105518663 B CN105518663 B CN 105518663B
- Authority
- CN
- China
- Prior art keywords
- network
- bad behavior
- behavior people
- user
- potential bad
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L65/00—Network arrangements, protocols or services for supporting real-time applications in data packet communication
- H04L65/1066—Session management
- H04L65/1101—Session protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
- H04L69/32—Architecture of open systems interconnection [OSI] 7-layer type protocol stacks, e.g. the interfaces between the data link level and the physical level
- H04L69/322—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions
- H04L69/329—Intralayer communication protocols among peer entities or protocol data unit [PDU] definitions in the application layer [OSI layer 7]
Abstract
根据一个方面,本发明的实施例提供一种用于限制访问网络的系统,系统包括监控模块,监控模块被配置成耦接到多个网络访问点并且监控经由多个网络安全应用的到网络的传输;以及阻挡模块,其中监控模块进一步被配置成基于经由多个网络访问点中的第一个以及多个网络安全应用中的第一个从潜在不良行为人到网络的传输来识别潜在不良行为人并且向阻挡模块提供与潜在不良行为人相关的信息,以及其中阻挡模块被配置成确认应该阻挡潜在不良行为人并且作为响应,自动地配置每一个网络安全应用阻挡潜在不良行为人访问网络。
Description
技术领域
本发明的方面涉及一种用于防止识别出的不良行为人访问网络的系统和方法。
背景技术
大型零售商通常操作由消费者和/或设备在不同的位置处能够进行通信的网络。例如,零售商可以利用网络在不同的位置处的(例如,在不同的商店或行政办公室)设备(例如,服务器、路由器、数据库等)之间传递信息或履行由消费者作出的定单。消费者可以利用网络搜索多个商店的库存或下定单。这样的网络可以通过零售商和/或消费者对任意数量的不同任务使用。防止意图执行不良行为(例如,窃取信息,危害网络,危害零售商,坑害消费者,注入虚假信息到网络等)的第三方访问其网络是大零售商的共同目标。
发明内容
本文所描述的实施例提供一种系统和方法,用于跨网络的每一个访问点自动阻止识别出的不良行为人。一旦不良行为人被识别出,在网络的每一个访问点处自动阻止该不良行为人,以防止阻挡规避。通过跨网络的每个访问点同时并自动阻挡不良行为人,由于在识别之后在每个网络安全应用处跨网络自动阻止不良行为人,所以由识别出的不良行为人造成的阻挡规避问题可以减少。因此,在每个单独的网络安全应用处时间没有被浪费于手动阻挡识别出的不良行为人的时间。
另外,根据本文中所描述的至少一个实施例,由用户跨网络启动阻挡之前,启动阻挡的用户授权被确认,以防止未经授权的人员发起阻挡。根据本文所述的至少一个其它实施例,识别出的不良行为人的互联网协议(IP)地址与(例如,由零售商使用的外部或内部IP地址的)IP地址的至少一个列表进行比较,来审查识别出的不良行为人的IP地址是否由零售商实际使用。以这种方式,能够防止阻挡零售商本身或被批准的供应商访问网络。根据本文所述的至少一个其它实施方案,由第一用户跨网络启动阻挡之前,由第二用户进行的阻挡的确认必须被接收,以确保该阻挡是适当的。
根据本发明的至少一个实施例的方面涉及一种用于限制访问网络的系统,所述系统包括:多个网络访问点;多个网络安全应用,每一个网络安全应用都耦接在多个网络访问点中的至少一个和网络之间;监控模块,所述监控模块耦接在多个网络访问点和网络之间并且被配置成监控经由多个网络安全应用在多个访问点和网络之间的传输;以及阻挡模块,阻挡模块耦接到监控模块以及多个网络安全应用,其中监控模块进一步被配置成基于经由多个网络访问点中的第一个以及多个网络安全应用中的第一个从潜在不良行为人到网络的传输来识别潜在不良行为人并且向阻挡模块提供与所述潜在不良行为人相关的信息,并且其中阻挡模块被配置成确认,应该阻挡潜在不良行为人访问网络并且作为响应,自动地配置多个网络安全应用中的每一个去阻挡潜在不良行为人访问网络。
根据一个实施例,监控模块进一步被配置成通过识别来自所述潜在不良行为人的传输内的至少一个预定义的触发来识别潜在不良行为人。
根据另一个实施例,多个网络安全应用中的至少一个是防火墙。在一个实施例中,阻挡模块进一步被配置成将SHUN命令传送到所述多个网络安全应用内的每一个防火墙以阻挡所述潜在不良行为人经由每一个防火墙访问所述网络。
根据一个实施例,多个网络安全应用中的至少一个是入侵防止系统(IPS)。在一个实施例中,阻挡模块进一步被配置成更新多个网络安全应用内的每一个IPS的隔离列表以阻挡潜在不良行为人经由每一个IPS访问网络。
根据另一个实施例,系统进一步包括至少一个安全终端,所述至少一个安全终端耦接到监控模块并且被配置成,向第一用户显示所述识别出的潜在不良行为人的指示,并且基于第一用户在至少一个安全终端处的输入而驱动监控模块,以自动地将与潜在不良行为人相关的信息转移到阻挡模块。在一个实施例中,阻挡模块进一步被配置成确认授权第一用户经由至少一个安全终端访问阻挡模块。在另一个实施例中,阻挡模块进一步被配置成在至少一个安全终端处需要两因素认证以确认授权第一用户经由至少一个安全终端访问阻挡模块。
根据一个实施例,系统进一步包括耦接到至少一个安全终端的数据库,所述数据库包括互联网协议(IP)地址列表,其中来自监控模块的由阻挡模块接收的与潜在不良行为人相关的信息包括潜在不良行为人的IP地址,并且其中阻挡模块进一步被配置成将潜在不良行为人的IP地址与在数据库中的IP地址列表进行比较并且,响应于在潜在不良行为人的IP地址和列表内的IP地址之间的匹配,经由至少一个安全终端通知第一用户。
根据另一个实施例,响应于在潜在不良行为人的IP地址和在列表内的IP地址之间的匹配,阻挡模块进一步被配置成防止潜在不良行为人的IP地址被阻挡访问网络。根据另一个实施例,阻挡模块进一步被配置成经由至少一个安全终端向第二用户提供与潜在不良行为人相关的信息,以提示第二用户确认是否应该阻挡潜在不良行为人访问网络,并且响应于来自第二用户的应该阻挡潜在不良行为人的确认,自动地配置多个网络安全应用中的每一个去阻挡潜在不良行为人访问网络。
根据本发明的至少一个实施例的方面涉及一种用于限制访问包括多个访问点和多个网络安全应用的网络的方法,每一个网络安全应用耦接在多个访问点中的至少一个和所述网络之间,并且方法包括:利用监控模块,监控经由多个访问点和多个网络安全应用在第三方和网络之间的传输;利用监控模块,基于经由多个网络访问点中的第一个以及多个网络安全应用中的第一个在上述潜在不良行为人和网络之间的传输,识别潜在不良行为人;将与潜在不良行为人相关的信息从监控模块转移到阻挡模块;利用阻挡模块,确认应该阻挡潜在不良行为人访问网络;以及自动地配置多个网络安全应用中的每一个阻挡潜在不良行为人访问网络。
根据一个实施例,方法进一步包括经由第一安全终端,向第一用户显示与由监控模块识别出的潜在不良行为人相关的信息并且,其中传输包括:响应于在第一安全终端处的来自所述第一用户的应该传输信息的指示,自动地将与潜在不良行为人相关的信息从监控模块传输到阻挡模块。在另一个实施例中,方法进一步包括确认授权第一用户操作阻挡模块。在一个实施例中,与潜在不良行为人相关的信息包括潜在不良行为人的IP地址,并且其中方法进一步包括:确定潜在不良行为人的IP地址是否由网络外部地利用,以及响应于确定出潜在不良行为人的IP地址是由网络外部地利用的,防止潜在不良行为人的IP地址被阻挡访问网络。
根据另一个实施例,方法进一步包括:确定潜在不良行为人的IP地址是否由网络内部地利用,以及响应于确定出潜在不良行为人的IP地址由网络内部地利用,经由第一安全终端,提示第一用户确认是否应该阻挡潜在不良行为人的IP地址访问网络,其中自动地配置包括响应于经由第一安全终端的来自第一用户的应该阻挡潜在不良行为人的IP地址访问网络的指示,自动地配置多个网络安全应用中的每一个阻挡潜在不良行为人访问网络。
根据另一个实施例,方法进一步包括:经由第一安全终端,提示第一用户选择用于备份复审的二级用户,经由第二安全终端,向由第一用户选择的第二用户显示与潜在不良行为人相关的信息,以及经由第二安全终端,提示第二用户确认是否应该阻挡潜在不良行为人访问所述网络,其中自动地配置包括响应于经由第二安全终端的来自第二用户的应该阻挡潜在不良行为人的IP地址访问网络的指示,自动地配置多个网络安全应用中的每一个阻挡潜在不良行为人访问网络。
根据另一个实施例,方法进一步包括,响应于自动地配置多个网络安全应用中的每一个阻挡潜在不良行为人访问网络,基于与潜在不良行为人相关的信息来生成更改控制。
根据本发明的至少一个实施例的一个方面涉及一种用于限制访问零售网络的系统,系统包括:多个网络访问点;多个网络安全应用,每一个网络安全应用都耦接在多个网络访问点中的至少一个和网络之间;监控模块,监控模块耦接在多个网络访问点和网络之间并且被配置成监控经由多个网络安全应用而在多个访问点和网络之间的传输;以及用于识别潜在不良行为人、确认应该阻挡潜在不良行为人访问网络、以及在多个网络安全应用中的每一个处阻挡识别出的不良行为人访问网络的装置。
根据本发明的至少一个实施例的另一个方面涉及一种用于限制访问包括多个网络访问点和多个网络安全应用的网络的系统,系统包括:监控模块,监控模块被配置成耦接到多个网络访问点并且监控经由多个网络安全应用到网络的传输;以及阻挡模块,阻挡模块耦接到监控模块以及也被配置成耦接到多个网络安全应用,其中监控模块进一步被配置成基于经由多个网络访问点中的第一个以及多个网络安全应用中的第一个从潜在不良行为人到网络的传输来识别潜在不良行为人并且向阻挡模块提供与潜在不良行为人相关的信息,以及其中阻挡模块被配置成确认应该阻挡潜在不良行为人访问网络并且作为响应,自动地配置多个网络安全应用中的每一个阻挡潜在不良行为人访问网络。
附图说明
附图不意欲按比例绘制。在附图中,在各种附图中示出的每一个相同或大致相同的部件由相似的数字代表。为了清晰的目的,在每一个附图中没有能够标记每一个部件。在附图中:
图1是示出根据本发明的一个方面的零售网络的框图;
图2是根据本发明的一个实施例的监控模块的截屏图;
图3是根据本发明的一个实施例的阻挡模块的认证图形用户界面(GUI)的截屏图;
图4是根据本发明的一个实施例的阻挡模块的警告GUI的截屏图;
图5是根据本发明的一个实施例的阻挡模块的备份审查员选择GUI的截屏图;
图6是根据本发明的一个实施例的阻挡模块的备份审查员确认GUI的截屏图;
图7是根据本发明的一个实施例的限制访问网络的过程的流程图;
图8是在其上能够实现本发明的各种实施例的通用计算机系统的框图;以及
图9是能够实践本发明的各种实施例的计算机数据存储系统的框图。
具体实施方式
本发明的实施例不限于在以下说明书或附图中示出的结构的细节以及部件的布置。能够以各种方式实践或执行本发明的实施例。同样地,在此使用的短语和术语是拥有说明的目的并且不应被视为限制。在此“包括”、“包含”或“具有”、“带有”、“涉及”及其变体的使用意指包含在下文列出的术语和其等同物以及附加的术语。
如上所述,防止意图执行不良行为的第三方(即,不良行为人)访问其网络是大零售商的共同目标。阻止识别出的不良行为人访问网络的常用程序包括,经由在识别出不良行为人所在网络访问点而手动地阻挡不良行为人访问网络。例如,在识别了通过第一防火墙正访问网络的第三方试图执行不良行为之后,保安人员可手动配置第一防火墙阻挡第三方访问网络。然而,这个过程可能是缓慢的,且此外,不良行为人可能试图从另一访问点访问网络。保安人员可在逐个基础上尝试手动配置额外的防火墙,以阻挡第三方访问网络;然而,这可能非常耗时(尤其是跨全球网络),并且可能的是,在安全管理人员有机会跨网络的所有访问点阻挡不良行为之前,由第三方进行的不良行为被完成了。
除了长的时间要求之外,用于逐个地在网络的每个单独的访问点处手动地阻挡不良行为人的这种常用程序也可能包括与事件文件有关的挑战、变更控制管理、用于多种类型的防火墙的多个所需的程序、安装在防火墙上的阻挡的期满、网络侦察以及除了外部资源威胁之外的内部资产的意外定位。
因此,本文中描述的实施例提供一种系统和方法,用于跨网络的每一个访问点自动阻挡识别出的不良行为人。一旦不良行为人被识别,在网络的每个访问点处自动阻挡不良行为人,以防止阻挡规避。这样的跨网络自动阻挡不良行为人可大大减少完全阻挡不良行为人访问网络所需要的时间。此外,如在下面更详细讨论的,本文所描述的系统和方法还可以提供与上述识别出的手动跨网络(即,逐个)阻挡相关联的附加挑战的解决方案。
图1是示出根据本发明的一个方面的零售商的网络101的框图100。如上所述,零售网络101被配置为允许在各种网络设备102(例如,服务器、路由器、交换机、数据库、计算机等等)之间的通信。根据一个实施例,网络101是局域网(LAN)(例如,以太网网络)并且网络设备102位于相对接近(例如,在同一建筑物或商店中)。根据另一个实施例,网络101是广域网(WAN)(例如,互联网)并且网络设备102可以位于不同的位置(例如,在不同的商店、办公室等)。
同样如上所述,零售网络101也被配置为允许网络设备102和不同的第三方106、110、114之间的通信。根据一个实施例,第三方106、110、114中的至少一个是试图从网络设备102检索信息(例如,产品或可用性信息)或经由网络101下定单的客户。在另一实施例中,第三方106、110、114中的至少一个是网络101或设备102的管理员或操作员。在另一个实施例中,第三方106、110、114中的至少一个是打算伤害网络101、网络设备102或其他第三方的不良行为人。根据其它实施例,第三方可以是正试图访问网络101和耦接到网络的至少一个网络设备102的任何其它类型的用户。
如在图1中所示,不同的第三方106、110、114可以经由网络101的不同的访问点107、109、113(例如,经由不同的路由器、服务器、链路、交换机等)访问网络101。每一个访问点107、109、113经由网络安全应用108、112、116耦接到网络101。根据一个实施例,网络安全应用108、112、116中的至少一个是防火墙。例如,在一个实施例中,网络安全应用108、112、116中的至少一个是由圣何塞,加利福尼亚的思科系统公司制造的防火墙;然而,在其他实施例中,可以使用任何其它类型的防火墙。
根据另一个实施例,网络安全应用108、112、116中的至少一个是入侵防止系统(IPS)。例如,在一个实施例中,网络安全应用108、112、116中的至少一个是由帕洛阿尔托,CA的惠普公司制造的TippingPoint IPS;然而,在其他实施例中,可以使用任何其它类型的IPS。根据其它实施例,访问点107、109、113可以经由任何其他类型的网络安全应用耦接到网络101。另外,根据至少一个实施例,多个第三方可以经由相同的访问点和/或相同的网络安全应用访问网络101。
根据一个实施例,关于网络101的每个第三方106、110、114的活动由耦接在每个访问点107、109、113和网络101之间的网络访问监控模块104监控。根据一个实施例,在网络设备102(例如,服务器、计算机、路由器等)的至少一个内操作监控模块104。网络访问监控模块104监控在每个第三方106、110、114和网络101之间的传输来识别潜在不良行为人。根据一个实施例,基于表示潜在不良行为人的在传输内特定的预定义的触发,监控模块104识别潜在不良行为人。
根据一个实施例,定义的触发是基于第三方怎么试图通过访问网络101来完成(即,从第三方接收的信号的内容或有效载荷)。例如,根据一个实施例,来自试图获得关于网络101和/或网络设备102的信息的第三方的信号是识别该第三方是潜在不良行为人的监控模块104的触发。例如,向监控模块104识别不良行为人的一些信号是:网络设备102的端口的扫描,网络101的映射,网络101的轮廓扫描,结构查询语言(SQL)注入或钓鱼攻击等等。根据其它实施例,任何其它类型的信号或活动可以被定义为将潜在不良行为人发信号到监控模块104的触发。
根据一个实施例,网络访问监控模块104是由帕洛阿尔托,CA的惠普公司制造的ArcSight安全智能平台;然而,在其他实施例中,可以利用任何其它类型的网络访问监控模块104。
根据一个实施例,在网络访问监控模块104监控第三方106、110、114与网络101相关的活动并且识别潜在不良行为人时,它向安全操作中心120提供识别出的潜在不良行为人的指示。根据一个实施例,来自网络访问监控模块104的识别出的潜在不良行为人的指示在安全操作中心120处由人员监控。例如,根据一个实施方式,来自网络访问监控模块104的识别出的潜在不良行为人的指示在安全操作中心120处由用户(例如,安全人员)监控。根据一个实施例,每个用户122操作终端124,其显示(例如,经由图形用户界面(GUI))来自监控模块104的识别出的潜在不良行为人的指示。
图2示出了安全操作中心120内在终端124上显示的网络访问监控模块GUI200。GUI包括由网络访问监控模块104识别出的潜在不良行为人的列表202。根据一个实施例,列表202可以包括任何数量的潜在不良行为人。列表202内的每个潜在不良行为人被显示为与由监控模块104识别出的潜在不良行为有关。例如,根据一个实施例,列表202内的每个潜在不良行为人由不良行为开始时间204、不良行为结束时间206、不良行为类型标识符208、不良行为描述210、潜在不良行为人的互联网协议(IP)地址212、潜在不良行为人的端口(即,访问点)214和意图目标的名称216来识别。根据其它实施例,在列表212中包括的每个潜在不良行为人可以由可帮助用户122确定是否应该阻挡潜在不良行为人访问网络101的任何其他类型的信息来识别。
在用户122经由终端124监控GUI 200时,基于在列表202中显示的信息,用户可以确定应该阻挡所列出的潜在不良行为人中的至少一个访问网络101。例如,如图2所示,由于在网络101上传输控制协议(TCP)扫描的试图发起,在列表202的底部(即,条目218)处的潜在不良行为人218由监控模块104识别为潜在不良行为人。如果用户122决定应阻挡发起TCP扫描的第三方访问网络101,则用户122可以操作GUI 200来将与潜在不良行为人有关的信息自动传送到网络访问阻挡模块118。根据一个实施例,在耦接到网络101的至少一个网络设备102(例如,服务器、计算机、处理器等)内操作阻挡模块118。
根据一个实施例,通过在列表202中选择期望的条目218,用户122将与潜在不良行为人有关的信息传送到网络访问阻挡模块118。在一个实施例中,用户122利用终端124的鼠标或键盘选择期望的条目218;然而,在其他实施例中,可以使用任何其它适当的技术来用于在列表202中选择条目。根据一个实施例,一旦在列表202中期望的条目218被选择,就在GUI 200中显示弹出窗口220,显示了用户122关于被选条目218可采取的潜在动作的列表221。潜在动作的列表221可包括用户122关于被选条目218可采取的任何类型或数量的动作。根据一个实施例,动作221中的一个是“工具(Tool)”条目223。
在选择“工具”条目223(例如,经由终端124的鼠标或键盘)之后,显示第二弹出窗口222,包括用户221关于被选条目218可操作的工具的列表225。工具的列表225可以包括用户221关于被选条目218可利用的任意数量的工具225。根据一个实施例,工具225之一是网络访问阻挡模块118。如图中所示2,网络访问阻挡模块118标题为“BAN HAMMER”;然而,在其他实施例中,网络访问阻挡模块118可以以任何其他方式获得标题。
根据一个实施例,在从工具的列表225中选择网络访问阻挡模块118之后,网络访问阻挡模块118确认选择了阻挡模块118的用户221被授权操作阻挡模块118。根据一个实施例,阻挡模块118在终端124处给当前用户221提示请求用户输入密码来进行的消息。在另一个实施例中,阻挡模块118在终端124处提示当前用户221将安全令牌(即,授权访问阻挡模块118的小型硬件装置(例如,钥匙链))连接到终端124。根据一个实施例,阻挡模块118需要用户221的双因素认证(例如,使用密码和安全令牌)来访问阻挡模块118。例如,如在图3中所示,网络访问阻挡模块118可经由终端224来向用户221显示GUI 300,其要求正在请求访问阻挡模块118的用户221在限定区域302中输入密码并且也将授权的安全令牌连接到终端224(例如,经由硬线或无线连接)。根据其它实施例,可能需要任何其他适当类型的用户认证。在验证该用户221被授权操作阻挡模块118之后,阻挡模块118被启动。
根据另一个实施例,网络访问阻挡模块118不确认请求访问阻挡模块118的用户221是授权用户。相反,在由用户221从工具225列表选择之后,网络访问阻挡模块118被立即启动。
在网络访问阻挡模块118启动之后,关于选择的不良行为人的信息(来自选择的条目218)自动从监控模块104传递到网络访问阻挡模块118。根据一个实施例,已识别出的不良行为人的IP地址212自动传递到网络访问阻挡模块118;然而,在其他实施例中,涉及到的不良行为人的任何其他信息能够被自动传递到网络访问阻挡模块118。可以理解,通过自动将IP信息从监控模块140传递到阻挡模块118,通常与不良行为人信息到网络安全应用的手动录入有关的人翻译错误(例如,打字错误)可以被避免。
根据一个实施例,从监控模块140接收到不良行为人信息(例如,该不良行为人的IP地址)之后,阻挡模块118将不良行为人的接收到的IP地址与外部IP地址的列表(即,外部面向的IP地址)进行比较,该外部IP地址的列表由网络101的零售操作者利用。在一个实施例中,外部IP地址的列表存储在终端124内的数据库中。在另一个实施例中,外部IP地址的列表存储在位于单独终端124外部的中央数据库123中。
根据一个实施例中,外部IP地址的列表包括由零售商使用的外部面向的IP地址,因此,其不应该被阻止访问网络101和/或网络设备102。如果阻挡模块118确定从监控模块104收到的不良行为人的IP地址匹配在列表中的外部IP地址之一,则阻挡模块经由终端224向用户221显示消息,指示出不良行为人的IP地址实际上是由零售商利用的外部IP地址。
根据一个实施例,在不良行为人的IP地址与预定义的外部IP地址匹配之后,阻挡模块118自动防止匹配的IP地址被阻挡,并且将其指示给用户221。在另一个实施例中,在不良行为人的IP地址与列表中的外部IP地址匹配之后,阻挡模块118经由终端124向用户221提供警告,指示出不良行为人的IP地址实际上是由零售商使用的外部IP地址,并且确认用户221是否仍然希望阻挡外部匹配的IP地址。
如果从监控模块140接收到的不良行为人的IP地址不匹配预定义的外部IP地址,则阻挡模块118将不良行为人的IP地址与零售商不想阻挡其访问网络101和/或网络设备102的由零售商内部使用的IP地址的列表进行比较。根据一个实施例,IP地址的列表本地地存储在终端124内。在另一个实施例中,内部IP地址的列表存储在终端124外部的中央数据库123中。如果阻挡模块118确定从监控模块104接收到的不良行为人的IP地址与在列表中的内部IP地址之一匹配,则阻挡模块将经由终端224向用户221显示信息,指示出不良行为人的IP地址实际上是由零售商利用的内部IP地址。
根据一个实施例,在不良行为人的IP地址与在列表中的内部IP地址匹配之后,阻挡模块118给用户221提供警告,指示出不良行为人的IP地址是由零售商内部使用的并且确认用户221是否希望进行阻挡所匹配的IP地址。例如,在图4示出这样的警告400。警告400通知用户221不良行为人的IP地址被内部发现在零售商IP空间内并且确认用户221是否想阻挡所匹配的不良行为人的IP地址。如果用户221指示所匹配的IP地址不应该被阻挡,则阻挡模块118防止所匹配的IP地址被阻挡。如果用户221指示所匹配的IP地址应该被阻挡(虽然其在内部IP地址的列表中存在),则阻挡模块118工作为阻挡不良行为人的IP地址。
在另一个实施例中,在不良行为人的IP地址与预定义的内部IP地址匹配之后,阻挡模块118自动防止所匹配的IP地址被阻挡,并且经由终端124将其指示给用户221。
根据一个实施例中,不良行为人的IP地址与预定义的外部IP地址的列表和预定义的内部IP地址的列表进行比较。在其它实施例中,不良行为人的IP地址可能仅与预定义的外部IP地址、预定义的内部IP地址、或预定义的外部和内部的IP地址的单个列表进行比较。根据另一个实施例,不良行为人的IP地址可能与由零售商定义的任何其他类型的预定义列表(例如,黑名单、批准的测试人列表等)进行比较。
将领会的是,通过针对零售商利用的预定义的外部和/或内部IP地址的列表来审查不良行为人的IP地址,零售商实际上不想阻挡(例如,与本身或批准的供应商关联的IP地址)的IP地址的错误阻挡可以被避免。
根据一个实施例,如果不良行为人的地址不匹配零售商利用的任何预定义的外部或内部IP地址,则阻挡模块118经由终端124显示GUI500(如图5中看到),其提示用户221选择另一个用户(即,二级用户或备份用户)以复审关于要对识别出的不良行为人进行的阻挡。GUI 500包括潜在二级用户的列表502。用户221(例如,经由终端124的鼠标或键盘)选择二级用户之一502用于复审待定的阻挡动作。
根据一个实施例中,GUI 500还包括文本区域504,其允许用户221输入用户221希望与待定的阻挡动作有关的文本(例如,评论、笔记等)。
在用户221(例如,经由终端124)选择列出的二级用户之一502以用于复审待定的阻挡动作之后,关于识别出的不良行为人和对不良行为人的待定阻挡的信息传递到所选择的二级用户502。根据一个实施例,经由所选择的二级用户502操作的另一个终端124来显示传递到所选择的二级用户502的信息。根据另一个实施例,所选择的二级用户502可以复审关于请求阻挡所在的原始终端124的信息。根据一个实施例,一旦用户121选择了所选择的二级用户502,就经由终端124,可以向所选择的二级用户502自动显示关于识别出的不良行为人和对不良行为人的待定阻挡的信息;然而,在另一个实施例中,仅在所选择的二级用户502发起或请求之后显示关于识别出的不良行为人和对不良行为人的待定阻挡的信息。
根据一个实施例,阻挡模块118经由终端124在GUI 600中(如图6所示)向所选择的二级用户502显示关于不良行为人和待定阻挡的信息。根据一个实施例,GUI 600识别所选择的二级用户502、由原始用户221输入的与不良行为人有关的任何评论以及引起不良行为人被识别出的触发。根据另一个实施例,GUI 600可以包括关于不良行为人和对不良行为人的待定阻挡的任何其它信息。GUI 600也提示所选择的二级用户502确认是否接受阻挡模块118进行阻挡识别出的不良行为人。所选择的二级用户502可以与GUI 600交互以指示待定阻挡应被取消或应进行。
如果在终端124处所选择的二级用户502指示阻挡模块118应进行不良行为人的阻挡,则通过配置耦接到每一个访问点107、109、113的网络安全应用108、112、116,阻挡模块118在网络101的每一个访问点107、109、113处同时阻挡不良行为人访问网络101。例如,根据一个实施例,在网络安全应用108、112、116中的至少一个是防火墙中,命令(例如,SHUN命令)被阻挡模块118发送到被耦接至网络101的防火墙108、112、116中的每一个以阻挡不良行为人的IP地址的网络访问。根据一个实施例,在预定量的时间(例如,三天)之后,用户122可重新配置防火墙108、112、116移除阻挡并允许先前被阻挡的IP地址访问网络。根据另一个实施例,在预定的时间段之后用户122可以不移除阻挡。
根据另一个实施例,其中网络安全应用108、112、116中的至少一个是IPS,阻挡模块118更新被耦接到网络101的每一个IPS 108、112、116的隔离列表以包括被阻挡的不良行为人的IP地址。根据一个实施例,在预定的时间量之后,IPS 108、112、116自动移除对不良行为人的阻挡。根据一个实施例,网络安全应用108、112、116包括防火墙、IPS的和/或其他类型的网络安全应用的混合。
根据一个实施例,在跨网络101成功阻挡不良行为人之后,阻挡模块118创建变化控制(即,票),其引用刚放置在不良行为人上的新的阻挡。变更控制可以存储在用于未来参考的数据库中。根据一个实施例,由阻挡模块118产生的变化控制是可搜索的。
可以理解,通过在网络101的每一个访问点上同时且自动地阻挡识别出的不良行为人,由于在识别之后在每一个网络安全应用处跨网络自动阻挡不良行为人,所以可以减少识别出的不良行为人造成的阻挡规避的问题。因此,不必浪费时间在每个单独网络安全应用处手动阻挡识别出的不良行为人。在下面更详细地讨论阻挡模块118的操作。
图7是示出了根据本文中描述的至少一个实施例在网络101上动态阻挡不良行为人的过程的流程图700。在框702处,一旦由用户121在终端124(例如,安全人员)启动,关于识别出的不良行为人的信息将直接从监控模块104转发到阻挡模块118,如上所述。根据一个实施例,被转发的信息包括识别出的潜在不良行为人的IP地址、触发潜在不良行为人的识别的信号类型、目标的IP地址、目标的端口(即,访问点)和/或目标网络设备102的识别信息。根据其它实施例,来自监控模块104的被转发的信息可以包括与识别出的不良行为人以及对应的不良行为相关的任何类型的信息。
在框704处,在直接从监控模块104接收信息之后,阻挡模块118被启动。在框706处,确定该用户121是否被授权操作阻挡模块118。例如,如上面讨论的,阻挡模块118可以通过要求用户121输入pin和/或将安全令牌耦接到终端124而授权用户121。在框708处,响应于用户121没有被授权使用阻挡模块118的确定,经由终端124,阻挡模块向用户121显示弹出消息,指示出用户121不具有利用阻挡模块118的访问权限。根据一个实施例,在框710处,在对于用户121拒绝访问阻挡模块118之后,阻挡模块118退出。
响应于用户121被授权使用阻挡模块118的确定,在框712处阻挡模块确定(从监控模块104接收的)识别出的潜在不良行为人的IP地址是否由零售商外部使用。例如,在如上所述的一个实施例中,阻挡模块118将识别出的IP地址与零售商的预定义外部使用的IP地址的列表进行比较。响应于确定出识别出的IP地址匹配由零售商利用的外部IP地址(即,匹配外部IP地址的列表内的外部IP地址),在框714处阻挡模块118经由终端124向用户121显示弹出消息,指示出识别出的IP地址是由零售商在外部使用,并且因此不能阻挡访问网络101。根据一个实施例,在框710处,在向用户121识别被匹配的外部IP地址之后,阻挡模块118退出。
响应于识别出的IP地址不是由零售商外部使用的,在框716处阻挡模块118确定识别出的IP地址是否由零售商内部使用。例如,根据如上所述的一个实施例,阻挡模块118将识别出的IP地址与零售商的预定义内部使用的IP地址的列表进行比较。响应于确定出识别出的IP地址匹配由零售商利用的内部IP地址(即,匹配内部IP地址列表内的内部IP地址),在框718处阻挡模块118经由终端124向用户121显示弹出消息,指示出识别出的IP地址是由零售商内部使用的。根据一个实施例,弹出消息还确认用户121是否希望进行阻挡识别出的IP地址(尽管其是由零售商内部使用的)。响应于用户121指示给阻挡模块118识别出的内部使用的IP地址的阻挡不应该被阻挡,在框710处阻挡模块118退出。
响应于用户121指示给阻挡模块118识别出的IP地址的阻挡应该继续(尽管IP地址是由零售商内部使用的),或响应于阻挡模块118确定出识别出的IP地址不是内部使用的,在框720处阻挡模块118提示用户121选择用于备份复审不良行为人的识别出的IP地址的待定阻挡的二级用户502。在框722处,用户121还可以输入用户121希望与待定阻挡相关联的文本(例如,评述、笔记等)。
在框724处,与识别出的不良行为人、待定阻挡和/或任何相关文本的信息被提供给由用户121所选择的二级用户502。选择的二级用户502可以复审所提供的信息,并选择取消或提前待定阻挡。响应于来自所选择的二级用户502的阻挡应该被取消的指示,在框710处阻挡模块118退出。响应于来自所选择的二级用户502的阻挡应该进行的指示,在框726处封闭的变更控制(即,变更请求或票)被创建,其引用对识别出的不良行为人(即,识别出的不良行为人的IP地址)的新的阻挡。根据一个实施例,变更控制被存储在可搜索的数据库中。根据一个实施例,通过诸如由德克萨斯州休斯顿的BMC软件制造产生的Remedy的信息技术(IT)服务管理软件生成变更控制;然而,在其他实施例中,可以利用任何类型的IT服务管理软件。
在框728处,关于识别出的不良行为人的新的阻挡被提供(例如,记录或Syslogged)回给监控模块104。根据一个实施例,提供回给监控模块104的信息730包括触发阻挡的动作类型、识别动作的时间、发起阻挡的时间、不良行为人的IP地址、目标地址、目标端口、由不良行为人为目标的网络设备102的名称或地址、用户121的身份、所选择的二级用户502的身份、变更控制的识别号码和/或由用户121输入的任何文本。根据其他实施例,信息730可包括与不良行为人以及对应的不良行为相关的任何其它类型的信息。
在框732处,阻挡模块118通过配置耦接到每个访问点107、109、113的网络安全应用108、112、116而在网络101的每个访问点107、109、113处同时阻挡不良行为人(即,不良行为人的IP地址)访问网络101。例如,根据一个实施例,其中网络安全应用108、112、116中的至少一个是防火墙,命令(例如,SHUN命令)由阻挡模块118发送到耦接到网络101的防火墙108、112、116中的每一个,以阻挡不良行为人的IP地址访问网络。根据另一个实施例,其中网络安全应用108、112、116中的至少一个是IPS,阻挡模块118更新耦接至网络101的每个IPS 108、112、116的隔离列表以包括所阻挡的不良行为人的IP地址。在跨网络的每个访问点107、109、113阻挡识别出的不良行为人之后,在框710处,阻挡模块118退出。
根据本发明的各种实施例可以在一个或多个计算机系统或其它设备上来实现。计算机系统可以是单个计算机,其可以包括小型机、大型机、服务器、个人计算机或它们的组合。该计算机系统可以包括能够执行远程计算操作(例如,手机、PDA、平板电脑、智能电话、机顶盒或其他系统)的任何类型的系统。用于运行操作的计算机系统也可以包括相互协作以完成系统级任务的计算机系统类型的任意组合。多个计算机系统也可用于运行操作。该计算机系统还可以包括输入或输出设备、显示器或数据存储单元。但是应当理解,可以使用任何计算机系统,并且本发明不限于任何数量、类型或计算机系统的配置。
这些计算机系统可以是,例如,通用计算机,例如基于Intel PENTIUM类型处理器、摩托罗拉PowerPC、SUN的UltraSPARC、惠普PA-RISC处理器或者任何其它类型的处理器的那些。但是应当理解,一个或多个任何类型的计算机系统可以根据本发明的各种实施例用于部分地或完全地自动操作所描述系统。此外,该系统可以位于单一计算机上,或者可以分布在通过通信网络连接的多个计算机之中。
例如,本发明的各个方面可以被实现为在诸如在图8所示的通用计算机系统800中执行的专用软件。计算机系统800可包括连接到一个或多个存储器设备的处理器802(即,数据存储器)804,诸如磁盘驱动器、存储器或用于储存数据的其它设备。存储器804通常用于在计算机系统800的操作期间存储程序和数据。计算机系统800的组件可以通过互连机制806耦接,其可包括一个或多个总线(例如在相同的机器内集成的组件之间)和/或网络(例如,驻留在单独的分立机器上的组件之间)。互连机制806使得通信(例如,数据、指令)能够在系统800的系统组件之间进行交换。计算机系统800还包括一个或多个输入设备808,例如键盘、鼠标、轨迹球、麦克风、触摸屏和一个或多个输出设备810,例如,打印设备,显示屏,和/或扬声器。此外,计算机系统800可包含一个或多个接口(未示出),其可以将该计算机系统800连接到通信网络(另外或可替换地连接到互连机制806)。
在图9中更详细示出的存储系统812通常包括其中存储信号的计算机可读和可写的非易失性记录介质902,该信号定义了要由处理器执行的程序或要由程序进行处理在介质902上或中存储的信息。该介质可以是,例如,磁盘或闪存。通常,在操作中,处理器使数据被从非易失性记录介质902读入另一个存储器904,它允许通过除了介质902之外的处理器更快地存取信息。存储器904通常是易失性的随机存取存储器,例如动态随机存取存储器(DRAM)或静态存储器(SRAM)。它可以位于存储系统812中,如图所示,或在存储器系统804中。处理器802通常操纵在集成电路存储器804、904内的数据,然后在完成处理后将数据复制到介质902。公知多种机制用于管理介质902和集成电路存储元件804、904之间的数据移动,并且本发明不限于此。本发明不局限于特定的存储器系统804或存储系统812。
该计算机系统可以包括专门编程的专用硬件,例如应用专用集成电路(ASIC)。本发明的方面可以以软件、硬件或固件或其任何组合来实现。此外,这样的方法、行为、系统、系统元件及其组件可以被实现为上述或作为独立组件描述的计算机系统的一部分。
尽管计算机系统800通过示例的方式示出为在其上本发明的各个方面可以实施的一种类型的计算机系统,但应当理解,本发明的各方面不限于在如图8所示的计算机系统上被实施。本发明的各个方面可以在图8中示出的具有不同架构或组件的一个或多个计算机上实施。
计算机系统800可以是通用计算机系统,该系统是使用高级计算机编程语言可编程的。计算机系统800可以使用专用编程的专用硬件实现。在计算机系统800中,处理器802通常是商用处理器,例如来自英特尔公司的众所周知的Pentium类处理器。许多其它的处理器都可用。该处理器通常执行操作系统,该操作系统可以是,例如,来自Microsoft的Windows 95、Windows 98、Windows NT,Windows 2000(Windows Me)、Windows XP、WindowsVISA,Windows 7或Windows 8的操作系统,来自苹果计算机的MAC OS系统X操作系统或iOS操作系统,许多基于Linux的操作系统发行中的一种,例如,来自Red Hat公司的企业莱纳斯操作系统,或来自各种来源的UNIX。可以使用许多其它操作系统。
处理器和操作系统一起定义计算机平台,针对该计算机平台以高级编程语言编写应用程序。但是应当理解的是,本发明不局限于特定的计算机系统平台、处理器、操作系统或网络。此外,应该对于本领域技术人员显而易见的是,本发明不局限于特定的编程语言或计算机系统相同。此外,应当理解,其他合适的编程语言和其它适当的计算机系统也可以使用。
该计算机系统的一个或多个部分可以在耦接到通信网络的一个或多个计算机系统(未示出)上分布。这些计算机系统也可以是通用计算机系统。例如,本发明的各个方面可在配置为向一个或多个客户计算机提供服务(例如,服务器)或作为分布系统的一部分执行总体任务的一个或多个计算机系统之中分布。例如,本发明的各个方面可以在客户端-服务器系统上执行,其包括根据本发明的各种实施例执行各种功能的一个或多个服务器系统之中分布的组件。这些组件可以是使用通信协议(例如,TCP/IP)在通信网络(例如,互联网)上通信的可执行的中间(例如,IL)或解释(例如,Java)代码。
但是应当理解,本发明不限于在任何特定的系统或一组系统上执行。此外,应该理解的是,本发明不限于任何特定的分布式体系结构、网络或通信协议。本发明的各种实施例可使用面向对象的编程语言来编写,例如Smalltalk、JAVA、C++、Ada语言或C#(C-Sharp)。也可以使用其它面向对象的编程语言。替选地,可以使用功能性的、脚本和/或逻辑编程语言。本发明的各种方面可以在非编程环境中实现(例如,在浏览器程序的窗口中查看时,以HTML、XML或其他格式创建的文档呈现GUI图形用户界面的各方面或执行其他功能)。本发明的各个方面可以被实现为编程的或非编程的元件或者它们的任何组合。
如本文中所描述的,监控模块104监控三个不同的第三方;然而,在其他实施例中,监控模块104可以监控任何数量和/或类型的第三方。还如这里所描述的,安全操作中心包括三个用户122(例如,安全人员),每一个具有相应的终端124;然而,在其他实施例中,安全操作中心可以包括任何数量的用户和/或终端。
如本文所述,弹出窗口被用来向用户提供信息和/或提示用户采取动作;然而,在其他实施例中,任何其它类型的GUI可被用来向用户提供信息,提示用户输入信息,提示用户进行选择等等。
如本文所述,阻挡模块被描述为更容易地阻挡不良行为人访问大型零售商的网络;然而,在其他实施例中,阻挡模块可通过任何类型或尺寸的实体用来防止识别出的不良行为人访问任何类型的网络。
本文所描述的实施例提供了一种用于在网络上的每一个访问点上自动阻挡识别出的不良行为人的系统和方法。一旦不良行为人被识别出,就在网络的每个访问点处自动阻挡不良行为人,以防止阻挡规避。通过在网络中的每个访问点处同时并自动阻挡不良行为人,由于在识别后在每个网络安全应用处跨网络自动阻挡不良行为人,所以可以减少识别出的不良行为人的阻挡规避问题。因此,在每个单独的网络安全应用处不用浪费时间手动阻挡识别出的不良行为人。
Claims (20)
1.一种用于限制访问网络的系统,所述系统包括:
多个网络访问点;
多个网络安全应用,每一个网络安全应用都耦接在所述多个网络访问点中的至少一个和所述网络之间;
监控模块,所述监控模块耦接在所述多个网络访问点和所述网络之间并且被配置成,监控经由所述多个网络安全应用的在所述多个网络访问点和所述网络之间的传输;以及
阻挡模块,所述阻挡模块耦接到所述监控模块以及所述多个网络安全应用,
其中所述监控模块进一步被配置成,基于经由所述多个网络访问点中的第一个以及所述多个网络安全应用中的第一个从潜在不良行为人到所述网络的传输来识别所述潜在不良行为人,并且向所述阻挡模块提供与所述潜在不良行为人相关的信息,并且
其中所述阻挡模块被配置成,确认所述潜在不良行为人应该被阻挡访问所述网络并且作为响应,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络;
其中所述系统还被配置为经由第一安全终端提示第一用户选择用于备份复查的二级用户,
经由第二安全终端向由所述第一用户选择的第二用户显示与所述潜在不良行为人相关的信息,并且
经由所述第二安全终端提示所述第二用户确认是否应该阻挡所述潜在不良行为人访问所述网络,
其中自动地配置包括:响应于经由所述第二安全终端的来自所述第二用户的应该阻挡所述潜在不良行为人的IP地址访问所述网络的指示,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
2.根据权利要求1所述的系统,其中所述监控模块进一步被配置成,通过识别来自所述潜在不良行为人的传输内的至少一个预定义的触发来识别所述潜在不良行为人。
3.根据权利要求1所述的系统,其中所述多个网络安全应用中的至少一个是防火墙。
4.根据权利要求3所述的系统,其中所述阻挡模块进一步被配置成将SHUN命令传送到所述多个网络安全应用内的每一个防火墙以阻挡所述潜在不良行为人经由每一个防火墙访问所述网络。
5.根据权利要求1所述的系统,其中所述多个网络安全应用中的至少一个是入侵防止系统(IPS)。
6.根据权利要求5所述的系统,其中所述阻挡模块进一步被配置成,更新所述多个网络安全应用内的每一个IPS的隔离列表以阻挡所述潜在不良行为人经由每一个IPS访问所述网络。
7.根据权利要求1所述的系统,进一步包括至少一个安全终端,所述至少一个安全终端耦接到所述监控模块并且被配置成向第一用户显示所述识别出的潜在不良行为人的指示,并且基于所述第一用户在所述至少一个安全终端处的输入驱动所述监控模块,以自动地将与所述潜在不良行为人相关的信息转移到所述阻挡模块。
8.根据权利要求7所述的系统,其中所述阻挡模块进一步被配置成确认授权所述第一用户经由所述至少一个安全终端访问所述阻挡模块。
9.根据权利要求8所述的系统,其中所述阻挡模块进一步被配置成在所述至少一个安全终端处需要两因素认证,以确认授权所述第一用户经由所述至少一个安全终端访问所述阻挡模块。
10.根据权利要求7所述的系统,进一步包括:
耦接到所述至少一个安全终端的数据库,所述数据库包括互联网协议(IP)地址列表,
其中来自所述监控模块的由所述阻挡模块接收的与所述潜在不良行为人相关的信息包括所述潜在不良行为人的IP地址,并且
其中所述阻挡模块进一步被配置成将所述潜在不良行为人的IP地址与在所述数据库中的IP地址列表进行比较并且,响应于在所述潜在不良行为人的IP地址和所述列表内的IP地址之间的匹配,经由所述至少一个安全终端通知所述第一用户。
11.根据权利要求10所述的系统,其中响应于在所述潜在不良行为人的IP地址和所述列表内的IP地址之间的匹配,所述阻挡模块进一步被配置成防止所述潜在不良行为人的IP地址被阻挡访问所述网络。
12.根据权利要求7所述的系统,其中所述阻挡模块进一步被配置成经由所述至少一个安全终端向第二用户提供与所述潜在不良行为人相关的信息,以提示所述第二用户确认是否应该阻挡所述潜在不良行为人访问网络,并且响应于来自所述第二用户的应该阻挡所述潜在不良行为人的确认,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
13.一种用于限制访问包括多个网络访问点和多个网络安全应用的网络的方法,每一个网络安全应用耦接在所述多个网络访问点中的至少一个和所述网络之间,并且所述方法包括:
利用监控模块,监控经由所述多个网络访问点和所述多个网络安全应用在第三方和所述网络之间的传输;
利用监控模块,基于经由所述多个网络访问点中的第一个以及所述多个网络安全应用中的第一个在潜在不良行为人和网络之间的传输,识别所述潜在不良行为人;
将与所述潜在不良行为人相关的信息从所述监控模块转移到阻挡模块;
利用所述阻挡模块,确认应该阻挡所述潜在不良行为人访问所述网络;并且
自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络;
经由第一安全终端提示第一用户选择用于备份复查的二级用户,
经由第二安全终端向由所述第一用户选择的第二用户显示与所述潜在不良行为人相关的信息,并且
经由所述第二安全终端提示所述第二用户确认是否应该阻挡所述潜在不良行为人访问所述网络,
其中自动地配置包括:响应于经由所述第二安全终端的来自所述第二用户的应该阻挡所述潜在不良行为人的IP地址访问所述网络的指示,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
14.根据权利要求13所述的方法,进一步包括经由第一安全终端向第一用户显示与由所述监控模块识别出的潜在不良行为人相关的信息,并且其中转移包括响应于在所述第一安全终端处来自所述第一用户的应该转移信息的指示,自动地将与所述潜在不良行为人相关的信息从所述监控模块转移到所述阻挡模块。
15.根据权利要求14所述的方法,进一步包括确认授权所述第一用户操作所述阻挡模块。
16.根据权利要求15所述的方法,其中与所述潜在不良行为人相关的信息包括所述潜在不良行为人的IP地址,并且其中所述方法进一步包括:
确定所述潜在不良行为人的IP地址是否由所述网络外部地利用,并且
响应于确定出所述潜在不良行为人的IP地址由所述网络外部地利用,防止所述潜在不良行为人的IP地址被阻挡访问所述网络。
17.根据权利要求14所述的方法,进一步包括:
确定所述潜在不良行为人的IP地址是否由所述网络内部地利用,并且
响应于确定出所述潜在不良行为人的IP地址由所述网络内部地利用,经由所述第一安全终端提示所述第一用户确认是否应该阻挡所述潜在不良行为人的IP地址访问所述网络,
其中自动地配置包括:响应于经由所述第一安全终端的来自第一用户的应该阻挡所述潜在不良行为人的IP地址访问所述网络的指示,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
18.根据权利要求14所述的方法,进一步包括,响应于自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络,基于与所述潜在不良行为人相关的信息生成更改控制。
19.一种用于限制访问零售网络的系统,所述系统包括:
多个网络访问点;
多个网络安全应用,每一个网络安全应用都耦接在所述多个网络访问点中的至少一个和所述网络之间;
监控模块,所述监控模块耦接在所述多个网络访问点和所述网络之间并且被配置成监控经由所述多个网络安全应用在所述多个网络访问点和所述网络之间的传输;以及
用于识别潜在不良行为人的、确认应该阻挡所述潜在不良行为人访问所述网络的、并且在所述多个网络安全应用中的每一个处阻挡识别出的不良行为人访问所述网络的装置;
其中所述系统还被配置为经由第一安全终端提示第一用户选择用于备份复查的二级用户,
经由第二安全终端向由所述第一用户选择的第二用户显示与所述潜在不良行为人相关的信息,并且
经由所述第二安全终端提示所述第二用户确认是否应该阻挡所述潜在不良行为人访问所述网络,
其中自动地配置包括:响应于经由所述第二安全终端的来自所述第二用户的应该阻挡所述潜在不良行为人的IP地址访问所述网络的指示,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
20.一种用于限制访问包括多个网络访问点和多个网络安全应用的网络的系统,所述系统包括:
监控模块,所述监控模块被配置成耦接到所述多个网络访问点并且监控经由所述多个网络安全应用到所述网络的传输;以及
阻挡模块,所述阻挡模块耦接到所述监控模块以及还被配置成耦接到所述多个网络安全应用,
其中所述监控模块进一步被配置成,基于经由所述多个网络访问点中的第一个以及所述多个网络安全应用中的第一个从潜在不良行为人到所述网络的传输来识别所述潜在不良行为人,并且向所述阻挡模块提供与所述潜在不良行为人相关的信息,并且
其中所述阻挡模块被配置成,确认应该阻挡所述潜在不良行为人访问所述网络并且作为响应,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络;
其中所述系统还被配置为经由第一安全终端提示第一用户选择用于备份复查的二级用户,
经由第二安全终端向由所述第一用户选择的第二用户显示与所述潜在不良行为人相关的信息,并且
经由所述第二安全终端提示所述第二用户确认是否应该阻挡所述潜在不良行为人访问所述网络,
其中自动地配置包括:响应于经由所述第二安全终端的来自所述第二用户的应该阻挡所述潜在不良行为人的IP地址访问所述网络的指示,自动地配置所述多个网络安全应用中的每一个阻挡所述潜在不良行为人访问所述网络。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US13/964,543 US9450970B2 (en) | 2013-08-12 | 2013-08-12 | Automatic blocking of bad actors across a network |
| US13/964,543 | 2013-08-12 | ||
| PCT/US2014/050537 WO2015023584A1 (en) | 2013-08-12 | 2014-08-11 | Automatic blocking of bad actors |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN105518663A CN105518663A (zh) | 2016-04-20 |
| CN105518663B true CN105518663B (zh) | 2019-03-01 |
Family
ID=52449803
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201480045177.1A Expired - Fee Related CN105518663B (zh) | 2013-08-12 | 2014-08-11 | 不良行为人的自动阻挡 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US9450970B2 (zh) |
| JP (1) | JP2016533107A (zh) |
| CN (1) | CN105518663B (zh) |
| CA (1) | CA2919699A1 (zh) |
| GB (1) | GB2532373A (zh) |
| MX (1) | MX354401B (zh) |
| WO (1) | WO2015023584A1 (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110771114A (zh) * | 2017-08-30 | 2020-02-07 | 深圳市欢太科技有限公司 | 刷量ip地址检测方法及装置 |
| CN114925373B (zh) * | 2022-05-17 | 2023-12-08 | 南京航空航天大学 | 基于用户评语的移动应用隐私保护政策漏洞自动识别的方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101414997A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 阻止恶意程序访问网络的方法和装置 |
| US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| CN102572837A (zh) * | 2010-12-22 | 2012-07-11 | 中国移动通信集团江苏有限公司 | 访问网络的控制方法和装置 |
| CN102916983A (zh) * | 2012-11-22 | 2013-02-06 | 北京奇虎科技有限公司 | 网络访问行为的防护系统 |
Family Cites Families (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20040210479A1 (en) * | 1996-10-25 | 2004-10-21 | Ipf, Inc. | Internet-based brand marketing communication instrumentation network for deploying, installing and remotely programming brand-building server-side driven multi-mode virtual kiosks on the World Wide Web (WWW), and methods of brand marketing communication between brand marketers and consumers using the same |
| US7664845B2 (en) * | 2002-01-15 | 2010-02-16 | Mcafee, Inc. | System and method for network vulnerability detection and reporting |
| JP4183491B2 (ja) * | 2002-11-26 | 2008-11-19 | キヤノンソフトウェア株式会社 | ワークフローサーバおよびワークフローシステムの制御方法およびプログラムおよび記録媒体 |
| US7523086B1 (en) * | 2003-01-28 | 2009-04-21 | Unisys Corporation | System for retrieving and processing stability data from within a secure environment |
| US20040255167A1 (en) * | 2003-04-28 | 2004-12-16 | Knight James Michael | Method and system for remote network security management |
| JP2005064280A (ja) * | 2003-08-14 | 2005-03-10 | Shin Etsu Polymer Co Ltd | 電磁波シールド体及びその製造方法 |
| JP4765383B2 (ja) * | 2005-04-19 | 2011-09-07 | カシオ計算機株式会社 | 決裁者決定装置及び決裁者決定プログラム |
| US20060256730A1 (en) * | 2005-05-12 | 2006-11-16 | Compton Richard A | Intelligent quarantine device |
| JP4459890B2 (ja) * | 2005-11-04 | 2010-04-28 | 株式会社日立製作所 | 情報処理装置、インシデント対応装置の制御方法、及びプログラム |
| US7870125B1 (en) * | 2005-12-27 | 2011-01-11 | Charter Communications Holding Company | Integrated media content server system and method for the customization of metadata that is associated therewith |
| US20070156829A1 (en) * | 2006-01-05 | 2007-07-05 | Scott Deboy | Messaging system with secure access |
| US7827311B2 (en) * | 2007-05-09 | 2010-11-02 | Symantec Corporation | Client side protection against drive-by pharming via referrer checking |
| KR20090038683A (ko) * | 2007-10-16 | 2009-04-21 | 한국전자통신연구원 | 자동 취약점 진단 웹 방화벽 및 이를 이용한 취약점 진단방법 |
| US8627060B2 (en) * | 2008-04-30 | 2014-01-07 | Viasat, Inc. | Trusted network interface |
| NL2002694C2 (en) * | 2009-04-01 | 2010-10-04 | Univ Twente | Method and system for alert classification in a computer network. |
| US20110191581A1 (en) * | 2009-08-27 | 2011-08-04 | Telcordia Technologies, Inc. | Method and system for use in managing vehicle digital certificates |
| US20110289432A1 (en) * | 2010-05-21 | 2011-11-24 | Lucas Keith V | Community-Based Moderator System for Online Content |
| US8539545B2 (en) * | 2010-07-22 | 2013-09-17 | Juniper Networks, Inc. | Domain-based security policies |
| CN102801694B (zh) * | 2011-05-27 | 2015-07-08 | 阿尔卡特朗讯公司 | 基于灰名单实现第三方认证的方法和系统 |
| US8645484B2 (en) * | 2011-08-02 | 2014-02-04 | Google Inc. | Messaging service using different text messaging channels |
| US8893230B2 (en) * | 2013-02-22 | 2014-11-18 | Duo Security, Inc. | System and method for proxying federated authentication protocols |
-
2013
- 2013-08-12 US US13/964,543 patent/US9450970B2/en active Active
-
2014
- 2014-08-11 MX MX2016001916A patent/MX354401B/es active IP Right Grant
- 2014-08-11 JP JP2016534773A patent/JP2016533107A/ja active Pending
- 2014-08-11 WO PCT/US2014/050537 patent/WO2015023584A1/en active Application Filing
- 2014-08-11 CN CN201480045177.1A patent/CN105518663B/zh not_active Expired - Fee Related
- 2014-08-11 CA CA2919699A patent/CA2919699A1/en not_active Abandoned
- 2014-08-11 GB GB1601510.9A patent/GB2532373A/en not_active Withdrawn
-
2016
- 2016-08-25 US US15/246,876 patent/US10084749B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7849502B1 (en) * | 2006-04-29 | 2010-12-07 | Ironport Systems, Inc. | Apparatus for monitoring network traffic |
| CN101414997A (zh) * | 2007-10-15 | 2009-04-22 | 北京瑞星国际软件有限公司 | 阻止恶意程序访问网络的方法和装置 |
| CN102572837A (zh) * | 2010-12-22 | 2012-07-11 | 中国移动通信集团江苏有限公司 | 访问网络的控制方法和装置 |
| CN102916983A (zh) * | 2012-11-22 | 2013-02-06 | 北京奇虎科技有限公司 | 网络访问行为的防护系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CA2919699A1 (en) | 2015-02-19 |
| US20160366098A1 (en) | 2016-12-15 |
| GB201601510D0 (en) | 2016-03-09 |
| US20150047008A1 (en) | 2015-02-12 |
| US9450970B2 (en) | 2016-09-20 |
| MX354401B (es) | 2018-02-15 |
| WO2015023584A1 (en) | 2015-02-19 |
| US10084749B2 (en) | 2018-09-25 |
| MX2016001916A (es) | 2016-04-19 |
| GB2532373A (en) | 2016-05-18 |
| CN105518663A (zh) | 2016-04-20 |
| JP2016533107A (ja) | 2016-10-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9742794B2 (en) | Method and apparatus for automating threat model generation and pattern identification | |
| US20190205799A1 (en) | Mobile check-in system | |
| CN104285219B (zh) | 统一扫描管理 | |
| US8219496B2 (en) | Method of and apparatus for ascertaining the status of a data processing environment | |
| US8286254B2 (en) | Behavioral learning for interactive user security | |
| CN104221024B (zh) | 统一扫描引擎 | |
| EP2866411A1 (en) | Method and system for detecting unauthorized access to and use of network resources with targeted analytics | |
| CN107634951A (zh) | Docker容器安全管理方法、系统、设备及存储介质 | |
| CN105100034B (zh) | 一种网络应用中访问功能的方法和设备 | |
| US20070157311A1 (en) | Security modeling and the application life cycle | |
| US20080066165A1 (en) | Method, system and program product for authenticating a user seeking to perform an electronic service request | |
| CN108351933A (zh) | 最终用户启动的访问服务器真实性检查 | |
| JPH10506744A (ja) | ステーションから少なくとも一つのサーバへの接続を安全化する方法、およびこの方法を使用する装置 | |
| CN110213215A (zh) | 一种资源访问方法、装置、终端和存储介质 | |
| CN107196951A (zh) | 一种hdfs系统防火墙的实现方法和防火墙系统 | |
| US10637805B2 (en) | Instant messaging method, server, and storage medium | |
| US20170171186A1 (en) | Controls and administration of privileged accounts system | |
| US20200311231A1 (en) | Anomalous user session detector | |
| US10848491B2 (en) | Automatically detecting a violation in a privileged access session | |
| CN110011953A (zh) | 阻止被盗密码再用 | |
| US9268917B1 (en) | Method and system for managing identity changes to shared accounts | |
| CN108123961A (zh) | 信息处理方法、装置及系统 | |
| CN105518663B (zh) | 不良行为人的自动阻挡 | |
| CN110909346A (zh) | 一种制造执行系统的管理方法及系统 | |
| US11671462B2 (en) | Systems and methods for determining risk ratings of roles on cloud computing platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| TA01 | Transfer of patent application right | ||
| TA01 | Transfer of patent application right |
Effective date of registration: 20180517 Address after: American Arkansas Applicant after: WAL-MART Apollo limited liability company Address before: American Arkansas Applicant before: WAL MART STORES INC |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20190301 Termination date: 20200811 |