CN113169975A - 用于网络微分段和纳分段的安全规则的自动生成 - Google Patents
用于网络微分段和纳分段的安全规则的自动生成 Download PDFInfo
- Publication number
- CN113169975A CN113169975A CN201980080050.6A CN201980080050A CN113169975A CN 113169975 A CN113169975 A CN 113169975A CN 201980080050 A CN201980080050 A CN 201980080050A CN 113169975 A CN113169975 A CN 113169975A
- Authority
- CN
- China
- Prior art keywords
- network
- rule
- data
- enhanced security
- resources
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
- H04L63/205—Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
- H04L41/0813—Configuration setting characterised by the conditions triggering a change of settings
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0894—Policy-based network configuration management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/12—Discovery or management of network topologies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/14—Network analysis or design
- H04L41/142—Network analysis or design using statistical or mathematical methods
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/22—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks comprising specially adapted graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/50—Testing arrangements
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/04—Network management architectures or arrangements
- H04L41/046—Network management architectures or arrangements comprising network management agents or mobile agents therefor
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/08—Monitoring or testing based on specific metrics, e.g. QoS, energy consumption or environmental parameters
- H04L43/0876—Network utilisation, e.g. volume of load or congestion level
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L43/00—Arrangements for monitoring or testing data switching networks
- H04L43/16—Threshold monitoring
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Business, Economics & Management (AREA)
- Business, Economics & Management (AREA)
- Human Computer Interaction (AREA)
- Physics & Mathematics (AREA)
- Algebra (AREA)
- General Physics & Mathematics (AREA)
- Mathematical Analysis (AREA)
- Mathematical Optimization (AREA)
- Mathematical Physics (AREA)
- Probability & Statistics with Applications (AREA)
- Pure & Applied Mathematics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
提供了用于生成网络安全规则的方法、系统、装置和计算机程序产品。跨网络的现有安全规则可以被确定,网络包括多个网络资源,诸如计算设备或虚拟机。标识网络上的资源之间的许可连接中的每个许可连接的映射图被生成。在一些实现中,映射图可以包括网络拓扑映射图。针对许可连接中的每个许可连接的网络流量数据可以被收集或监测。基于现有安全规则和收集的网络流量数据,针对特定连接的增强的安全规则可以被生成,该增强的安全规则减少连接上的数据流量,这通过进一步强化可用的通信路径来改进网络安全性。
Description
背景技术
网络安全是保护组织中的计算机和敏感内容不可或缺的方面。例如,在组织依赖于基于云的应用或平台的情况下,云提供方可以使用户能够基于一个或多个用户定义的访问规则来限制对网络资源的访问。这种规则可以在网络防火墙中被实现或通过标识安全组来实现。在典型环境中,用户必须分析网络并且手动地生成访问规则。例如,负责公司网络安全的工程师可能需要标识哪些限制应当被布置,并且为每个访问限制编写特定的规则。在其他情况下,工程师可以对网络资源进行分组(group)或隔离,并且指定资源之间允许的(allowed)通信路径。
然而,在每种解决方案中,工程师必须以文本方式或通过图形界面手动地定义规则。随着给定网络上资源数目的增加成诸如数百、数千或更大的数目,这些解决方案的可扩展性变得越来越差。此外,现有技术冗长、繁琐并且耗时,通常需要数名工程师(或工程师团队)来管理组织的网络安全性。此外,现有技术容易出错,使不希望的通信路径打开,这导致可能被利用的安全漏洞。
发明内容
提供本发明内容以便以简化的形式介绍下面在具体实施方式中进一步被描述的一些概念。本发明内容既不旨在标识所要求保护主题的关键特征或必要特征,也不旨在用于限制所要求保护主题的范围。
提供了用于生成增强的网络安全规则的方法、系统、装置和计算机程序产品。跨网络的现有安全规则可以被确定,网络包括多个网络资源,诸如计算设备和虚拟机。标识网络上的资源之间的许可连接(permitted connection)中的每个许可连接的映射图(map)被生成。在一些实现中,映射图可以包括网络拓扑映射图。针对许可连接中的每个许可连接的网络流量数据可以被收集或监测。基于现有安全规则和收集的网络流量数据,针对特定连接的增强的安全规则可以被生成,该增强的安全规则减少连接上的数据流量。
根据本文描述的实现,如果在监测时段上,网络流量未在通信路径上被观察到,则基于现有安全规则打开的通信路径可以被限制。以该方式,用于在网络上实现的、考虑了现有网络状况以及实际网络使用的安全规则的生成可以被自动化,以增强组织的整体网络安全性。
下面将参考附图,详细描述本发明的另外的特征和优点,以及各种实施例的结构和操作。注意,本发明不限于本文描述的特定实施例。本文呈现这种实施例仅用于说明性的用途。基于本文包含的教导,附加的实施例对相关领域的技术人员将是明显的。
附图说明
合并到本文并且构成说明书的一部分的附图说明了本申请的实施例,并且与描述一起进一步用于解释各实施例的原理并且使得相关领域技术人员能够实施和使用这些实施例。
图1示出了根据一个示例实施例的自动规则生成器系统的框图。
图2示出了根据一个示例实施例的用于生成增强的网络安全规则的方法的流程图。
图3示出了根据一个示例实施例的用于生成安全规则的系统的框图。
图4示出了根据一个示例实施例的用于基于确定网络流量数据不超过阈值而生成增强的安全规则的方法的流程图。
图5示出了根据一个示例实施例的用于生成增强的安全规则的方法的流程图,该增强的安全规则标识发起数据流量的过程。
图6示出了根据一个示例实施例的用于组合多个增强的安全规则的方法的流程图。
图7示出了根据一个示例实施例的用于测试增强的安全规则的实现的方法的流程图。
图8示出了可以用于实现示例实施例的示例计算设备的框图。
当结合附图(其中相同的附图标记贯穿地标识对应的元素)时,本发明的特征和优点将从以下阐述的详细描述中变得更加明显。在附图中,相同的附图标记一般指示相同的、功能上相似的和/或结构上相似的元素。其中元素第一次出现的附图由对应的附图标记中最左侧的(多个)数字指示。
具体实施方式
I.引言
本说明书和附图公开了包含本发明的各特征的一个或多个实施例。本发明的范围不限于所公开的实施例。所公开的实施例仅仅例示了本发明,并且所公开的实施例的修改版本也被本发明所涵盖。本发明的各实施例由附加的权利要求所限定。
说明书中对“一个实施例”、“实施例”、“示例实施例”等等的提及指示所描述的实施例可以包括特定特征、结构或者特性,但是,每个实施例可以不必包括该特定特征、结构或者特性。此外,这些短语不一定指相同的实施例。此外,当结合示例实施例描述特定特征、结构或特性时,不管是否被明确描述,结合其他实施例来实现该特征、结构或特性被认为在本领域技术人员的知识范围内。
在讨论中,除非另有说明,否则修饰本公开的示例实施例的一个或多个特征的条件或关系特性的形容词(诸如“基本”和“大约”),应当被理解为意指该条件或特性被定义为其意在针对的应用的实施例的操作可接受的公差之内。
以下描述多个示例性实施例。注意,本文提供的任何章节/子章节标题不旨在限制。贯穿本文档描述了各实施例,并且任何类型的实施例可以被包括在任何章节/子章节下。此外,在任何章节/子章节中公开的实施例可以与在相同章节/子章节和/或不同章节/子章节中描述的任何其他实施例以任何方式组合。
II.示例实现
网络安全是保护组织中的计算机和敏感内容不可或缺的方面。例如,在组织依赖于基于云的应用或平台的情况下,云提供方可以使用户能够基于一个或多个用户定义的访问规则来限制对网络资源的访问。这种规则可以在网络防火墙中被实现或通过标识安全组来实现。在典型环境中,用户必须分析网络并且手动地生成访问规则。例如,负责公司网络安全的工程师可能需要标识哪些限制应当被布置,并且为每个访问限制编写特定的规则。在其他情况下,工程师可以对网络资源进行分组或隔离,并且指定资源之间允许的通信路径。
然而,在每种解决方案中,工程师必须以文本方式或通过图形界面手动地定义规则。一个组织可能有几千个服务器和几千个用户计算机(例如台式计算机和膝上型计算机)连接到他们的网络。服务器可以分别是某种类型的服务器,诸如负载平衡服务器、防火墙服务器、数据库服务器、认证服务器、员工管理服务器、web服务器、文件系统服务器等。另外,用户计算机可以分别是某种类型,诸如管理计算机、技术支持计算机、开发者计算机、秘书计算机等。每个服务器和用户计算机可能安装了支持计算机功能所需的各种应用。结果,操作几千个应用的几千个不同类型的设备可以通过几万个连接来被互连。数千个设备、应用和连接以及各种网络资源上的现有安全设置,使人类网络分析人员无法针对给定网络来配置网络安全性。即使是相对较少数目的设备,也会导致大量数目的应用、现有安全设置、以及设备之间可能的连接,这再次使人类网络分析人员配置网络安全性变得不现实。
因此,随着给定网络上连接资源的数目增加,上述解决方案的可扩展性变差。此外,现有技术冗长、繁琐并且耗时,通常需要数名工程师(或工程师团队)来管理组织的网络安全性。另外,现有技术容易出错,使不希望的通信路径打开,这导致可能被利用的安全漏洞和云计算网络上的潜在破坏。
本文描述的实施例通过提供一种用于自动生成用于在网络上实现的安全规则的系统来解决这些和其他问题。在该系统中,耦合到网络的各种资源之间的允许连接(allowed connection),可以通过分析跨网络(例如,在整个网络上、在子网络上和/或在个体资源上)的现有安全规则而被确定。基于现有安全规则,拓扑映射图可以被生成,该拓扑映射图标识网络中包括的资源之间的许可连接。网络流量数据收集器可以监测在许可连接上的实际网络流量。使用现有安全规则和监测的流量,增强的安全规则可以被生成,增强的安全规则被配置为减少许可连接中的至少一个许可连接上的数据流量。
以该方式生成增强的安全规则具有许多优点。例如,由于增强规则可以被配置为对一个或多个允许连接(诸如,可用于数据传输但基于监测实际数据流量而未被使用(或很少被使用)的通信路径)提供限制,因此资源安全性可以被改进。例如,这种生成的规则可以降低入侵者(位于网络内部或外部)恶意获取对任何资源的访问、破坏敏感数据、安装恶意软件或以其他方式利用任意网络资源上漏洞的风险。这是因为入侵者频繁使用正常网络操作较少使用的连接/通信路径。因此,对较少使用的连接/通信路径施加限制可以减少入侵者的活动。此外,通过以该方式改进网络安全性,整个网络还可以被保护免受其他类型的攻击,诸如不希望或不必要的数据传输、网络钓鱼攻击或来自内部和/或外部源的任何其他类型的网络攻击。结果,网络上计算机以及网络本身的安全性和操作可以被改进。
示例实现被描述如下,其针对于用于生成增强的安全规则的系统。例如,图1示出了根据一个示例实施例的示例计算系统100的框图。如图1中所示,系统100包括安全管理器102、资源114A-114N和资源118A-118N,它们可以通过一个或多个网络或子网络(子网)通信地耦合。例如,图1中所示的任何资源可以经由网络106和/或子网110A-110N被通信地耦合到一个或多个其他资源。网络资源122包括系统100的资源集,包括但不限于资源114A-114N、118A-118N以及图1中未示出的耦合到网络106和/或子网110A-112N中的任何一个或多个的任何其他资源。安全管理器102包括规则生成系统104。如下面更详细描述的,规则生成系统104可以被配置为生成与网络106、子网110A-110N或与其耦合的网络资源122相关联的一个或多个增强的安全规则。系统100进一步被描述如下。
网络106和子网110A-110N可以分别包括以下中的任何一项或多项:局域网(LAN)、广域网(WAN)、个人局域网(PAN)、通信网络(诸如互联网和/或虚拟网络)的组合。安全管理器102可以经由网络106和/或子网110A-110N被通信地耦合到网络资源122中的任何一个。在一种实现中,安全管理器102、网络106、子网110A-110N以及网络资源122中的任何一个网络资源可以经由一个或多个应用编程接口(API)和/或根据其他接口和/或技术进行通信。
安全管理器102、网络106、子网110A-110N和网络资源122可以分别包括使能彼此通信的至少一个网络接口。这种网络接口(有线或无线)的示例包括:IEEE 802.11无线LAN(WLAN)无线接口、全球微波访问互操作性(Wi-MAX)接口、以太网接口、通用串行总线(USB)接口、蜂窝网络接口、BluetoothTM接口、近场通信(NFC)接口等。网络接口的其他示例在本文其他地方被描述。
网络资源122可以包括耦合到网络106或子网110A-110N中的任一个的任何节点、设备或机器(物理的或虚拟的)。在一个示例实施例中,网络106和/或子网110A-110N可以共同包括组织(包括但不限于公司、企业或基于云的订阅)的网络,并且网络资源122可以包括耦合到网络的任何节点、设备或机器。在一些其他示例实施例中,网络106和/或子网110A-110N可以包括虚拟网络或基于云的网络,并且网络资源122可以包括一个或多个虚拟机,或包括虚拟网络或基于云的网络的节点。在一些其他示例中,网络资源122中的任何一个可以包括台式计算机、便携式计算机、智能电话、平板计算机、可穿戴计算设备(例如,智能手表、智能耳机)、混合和/或虚拟现实设备(例如Microsoft HoloLensTM)或任何其他处理设备。网络资源122不限于实现中的处理设备,并且可以包括网络上的其他资源,诸如存储设备(例如,物理存储设备、本地存储设备、基于云的存储装置、硬盘驱动器、固态驱动器、随机存取存储器(RAM)设备等)、数据库等。
应当注意和理解,实现不限于图1中所示的说明性布置。而是,组织可以包括以任何方式耦合的任何数目的网络、虚拟网络、子网、机器或虚拟机(或其他资源)。例如,子网可以包括一个或多个其他子网(未示出),资源可以被耦合到多个子网或者可以被耦合到没有子网的网络106等。此外,网络资源122和安全管理器102可以被共同定位,可以在单个计算设备或虚拟机上被实现,或者可以在未在图1中明确图示的一个或多个附加计算设备或虚拟机上被实现或跨其分布。
在一些其他示例实施例中,安全管理器102可以在一个或多个服务器上被实现。例如,这种服务器可以是与网络106和/或子网110A-110N相关联的特定组织或公司的一部分,或者可以是被配置为为多个组织提供服务的基于云的服务器。此外,尽管图1描绘了单个安全管理器102,但是应当理解,实现可以包括任何数目的安全管理器。
注意,变量“N”被附加到针对所示的组件的各个附图标记,以指示这种组件的数目是可变的,具有2以上的任何值。注意,对于每个不同的组件/附图标记,变量“N”具有对应的值,对于针对其他组件/附图标记的“N”的值,该值可以不同。针对任何特定组件/附图标记的“N”的值可以小于10、在几十中、在几百中、在几千中,甚至更大,这取决于特定的实现。
网络106、子网110A-110N、资源114A-114N和资源118A-118N中的每个可以包括规则集。例如,网络106可以包括规则集108,子网110A-110N可以分别包括规则集112A-112N,资源114A-114N可以分别包括规则集116A-116N,并且资源118A-118N可以分别包括规则集120A-120N。每个规则集可以包括一个或多个安全规则,包括访问规则,访问规则分别与网络、一个或多个子网和/或一个或多个资源相关联。总体上,在规则集108、112A-112N、116A-116N和118A-118N中提供的安全规则可以通过允许、拒绝或限制资源之间的网络流量,来控制跨网络106的资源之间的通信。在一些示例中,网络106和/或一个或多个子网110A-110N可以包括一个或多个硬件设备(例如,路由器、交换机等),其可以存储与该网络或子网(或耦合到其的资源)相关联的规则集。在一些其他示例中,网络106和/或一个或多个子网110A-110N可以将相关联的规则集存储在远离网络或子网的一个或多个位置中,诸如存储在基于云的存储装置或服务器中(例如,在中心位置等中)。应当注意和理解,这种实现并不意图是限制性的,并且可以以相关领域的技术人员所理解的任何其他方式来存储规则集。
在实施例中,安全规则可以根据任何合适的格式来配置。在一个示例中,安全规则可以包括以下属性/设置中的一个或多个:
源——针对源资源的地址,源资源诸如是网络安全组、IP地址、服务标签等,用于入站或出站安全规则。
源端口范围——一个或多个源端口的标识,其标识安全规则允许或拒绝流量的(多个)端口。
目的地——针对目的地资源的地址,目的地资源诸如是安全组、IP地址、服务标签等,用于入站或出站安全规则。
目的地端口范围——一个或多个目的地端口的标识,其标识安全规则允许或拒绝流量的(多个)端口。
协议——指示安全规则允许或拒绝的通信协议。
动作——指示允许或拒绝动作。
优先级——指示安全规则的优先级值(安全规则按优先级顺序被处理)。
名称——用于安全规则的唯一名称。
描述——安全规则的描述。
在其他实施例中,安全规则可以包括附加和/或备选类型的属性/设置。
如以下更详细地描述的,规则生成系统104可以被配置为生成用于网络106(其可以包括如图1中所示的一个或多个子网)的一个或多个增强的安全规则。规则生成系统104可以被配置为:确定跨网络106的现有安全规则(例如,根据图1中所示的规则集),基于现有规则生成许可连接的映射图,以及监测在这种许可连接上的实际数据流量。基于现有规则和所监测的流量,规则生成系统104可以为许可连接中的一个或多个许可连接生成增强的安全规则。
在一些示例实施例中,规则生成系统104可以自动建议这种增强的安全规则,来以微分段(micro-segmentation)的方式强化网络,其中网络资源可以被划分为逻辑组,并且限制性访问规则可以以有序或优先的方式来被实现,以限制网络上潜在的恶意活动。例如,微分段网络中的增强的安全规则可以包括基于适用安全规则设置(例如,如上所示)的配置的网络流量上的限制,安全规则设置包括:与流量相关联的源或目的地互联网协议(IP)地址的设置,可以通过其来允许或拒绝传输的端口,和/或可以通过其来允许或拒绝传输的协议。在一些其他示例中,诸如在纳分段(nano-segmented)网络被实现的情况下,增强的安全规则还可以包括基于发起网络流量的过程(例如,发起数据传输的软件或应用)的其他网络限制。
在实现中,规则生成系统104可以被配置为:通过基于当前网络拓扑和监测的网络流量而生成增强现有安全规则的适当安全规则,来自动化网络微分段和纳分段(nano-segmentation)。这种规则可以跨网络106在各种位置或级别上被部署或实现,包括但不限于网络级别、子网级别、资源级别或网络资源的任何其他分组。例如,如图1中所示,增强的安全规则可以最优地被应用于规则集108、112A-112N、116A-116N和/或118A-118N中的任何一个。通过以该方式增强现有规则,可以跨网络106放置更大的安全保护,以限制打开但未被使用的通信路径,从而降低攻击者(例如,组织的雇员或前雇员、访客或可能已经获得网络的访问权限的任何其他人)访问敏感信息或以其他方式破坏网络资源的可能性。
规则生成系统104可以以各种方式操作以生成用于网络的增强的安全规则。例如,规则生成系统104可以根据图2操作。图2示出了根据一个示例实施例的用于生成增强的网络安全规则的方法的流程图200。出于说明的目的,以下关于图3描述流程图200和规则生成系统104。图3示出了根据一个示例实施例的用于生成安全规则的系统300的框图。如图3中所示,系统300包括规则生成系统104和一个或多个网络监测代理322。此外,规则生成系统104包括允许连接确定器302、网络流量数据收集器310、规则生成器312、规则测试器316和实现图形用户界面(GUI)318。如图3中所示,允许连接确定器包括安全规则确定器304和拓扑映射图生成器306,它们可以获取一个或多个规则集320并且生成许可连接映射图308。网络流量数据收集器310可以与网络监测代理322通信以监测跨网络的流量。如图3中所示,规则生成器312可以生成增强的安全规则314,增强的安全规则314可以在网络106、子网110A-110N或耦合到其的任何资源上被实现。流程图200和系统300更详细地被描述如下。
图2的流程图200以步骤202开始。跨包括多个资源的网络的安全规则被确定。例如,参考图1和图3,安全规则确定器304可以被配置为确定跨网络106的安全规则,网络106可以包括一个或多个子网110A-110N和多个网络资源122。安全规则确定器304可以通过获取324规则集320来确定安全规则。在实现中,规则集320可以包括跨网络106的每个安全规则集。例如,参考图1的说明性布置,规则集320可以包括规则集108、规则集112A-112N、规则集116A-116N和规则集120A-120N中的每个规则集。规则集320可以包括但不限于:手动输入(例如,通过文本或图形用户界面)或通过允许或拒绝特定通信路径上的数据传输的任何其他方式来自动输入的规则集中的安全规则。
在一些示例中,规则集可以在防火墙或安全组上被实现,该规则集指示哪些数据流量应当被允许和/或拒绝。例如,防火墙或安全组中的规则集可以标识:与网络106相关联的一个或多个源IP地址或目的地IP地址(其可以传输和/或接收数据传输或可以不传输和/或接收数据传输),可以通过其来允许或拒绝传输的特定端口,或可以通过其来允许或拒绝传输的特定协议。如图1中所示,这种规则可以在组织中的各个位置处的规则集中被实现,包括在网络级别(例如,网络106)处、在子网级别(例如,子网110A-110N中的任何一个)处和/或在特定资源(例如,网络资源122)处被实现。
例如,如图1中所示,网络106中的每个端点或节点可以包括安全规则集。在端点或节点(例如,网络资源122中的一个网络资源)是虚拟机并且网络106包括虚拟网络的情况下,虚拟机的网络接口可以包括标识用于该网络接口的安全规则的规则集。然而,应当注意和理解,在一些示例中,虚拟机可以包括多个网络接口,并且每个网络接口可以包括其自己的规则集。例如,单个虚拟机可以包括对应于网络106的不同子网的多个网络接口,并且每个网络接口可以包括安全规则(例如,在防火墙或一个或多个安全组中),该安全规则控制虚拟机之间在特定子网上的通信。
在一个说明性示例中,规则集112A可以指示允许针对资源116A-116N的源自特定IP地址的数据传输,同时阻止针对资源116A-116N的所有其他数据传输。在另一个说明性示例中,资源118A的网络接口可以包括安全规则(例如,在防火墙等中),该安全规则指示通过某些端口或协议与其他网络资源进行的通信被许可,同时拒绝在不同协议或端口上的通信。在一些其他示例中,规则集可以在多个不同级别(例如,在子网级别和/或在一个或多个网络资源处)被实现。结果,对于诸如虚拟机的特定端点或节点(例如,网络资源122中的一个网络资源),去往或来自资源的数据传输可以由资源和任何子网和网络(资源是其一部分)的安全规则的组合来控制。
因此,网络106上的数据传输可以基于网络106上各种规则集中的一个或多个安全规则的组合来被允许或拒绝。因此,在实现中,安全规则确定器304可以通过获取关于整个网络(包括任何子网和/或网络资源)存在的安全规则的集合(或多个集合),来确定跨网络106的安全规则。
在步骤204中,资源之间的许可连接的映射图被生成。例如,参考图3,拓扑映射图生成器306可以生成326许可连接映射图306,许可连接映射图306标识网络106上的网络资源122之间的许可连接。拓扑映射图生成器306可以以各种方式生成许可连接映射图308。在一个非限制性示例中,拓扑映射图生成器306可以被配置为生成网络拓扑,该网络拓扑包括表示网络的层级树。例如,拓扑可以包括网络(或多个网络),该网络包括多个子网的层级,其中每个子网包括与特定子网相关联的多个资源(例如,网络接口或虚拟机)。基于网络拓扑和现有安全规则,拓扑映射图生成器306可以标识网络106中所有资源之间的每个允许的通信路径(例如,其中一个资源可以与另一个资源直接或间接通信的每个通信路径)。
在一些实现中,拓扑映射图生成器306可以包括用于标识资源对(pair ofresources)之间的每个这种通信路径的算法或其他过程,以生成许可连接映射图308。例如,拓扑映射图生成器306可以跨网络106提取每个安全规则(包括在网络106的层级内所包括的任何子网和资源上的每个安全规则),并且与每个获得的规则交叉以生成许可连接映射图308。换言之,通过在各个层级级别处跨网络106组合安全规则,拓扑映射图生成器308可以被配置为生成标识所有允许的通信路径的聚合映射图。
许可连接映射图308可以包括拓扑映射图等,其以文本和/或图形方式图示网络106的拓扑以及资源之间的每个允许的通信。例如,可以以叠加的方式,经由一个或多个注释,或以任何其他合适的方式在拓扑映射图上描绘允许的通信路径。许可连接映射图308不限于拓扑映射图,而是可以包括基于现有安全规则的网络106中的资源之间的许可连接的任何其他图形或非图形表示。例如,许可连接映射图308可以包括用于标识资源之间的许可连接的文本表示、图表、图形、表格或其任意组合。许可连接映射图308可以包括用于网络106的单个映射图,或者在一些实现中可以包括多个映射图,诸如用于每个子网或资源的单独的映射图,或者相关领域的技术人员将意识到的任何其他逻辑布置。
相应地,拓扑映射图生成器306可以被配置为:基于网络配置中的现有安全规则遍历资源对之间的所有路径,以生成许可连接的映射图。在实现中,许可连接的映射图可以包括与每个许可连接相关联的一个或多个细节,诸如源/传输资源的IP地址、目的地/接收资源的IP地址、通过其连接被许可的源和/或目的地端口以及通过其连接被许可的协议。在其他的实现中,许可连接映射图308可以包括过程的标识,诸如被许可在资源对之间传输数据的软件或可执行文件的标识符。描述每个连接的任何数目的属性和/或属性类型可以被包括在许可连接映射图308的拓扑映射图中。
结果,在示例实施例中,每个允许的连接或通信路径可以由值和/或标识符(例如,源IP、目的地IP、源端口、目的地端口、协议和/或过程)的元组来标识。在一个非限制性说明中,一种被实现为标识微分段网络环境中的允许连接的算法可以包括如下算法:
注意,许可连接映射图308可以以任何形式被存储并且可传输,包括文件、表格、数组、数据库或其他数据结构。
在步骤206中,与许可连接上的资源之间的数据流量相对应的网络流量数据被收集。例如,参考图3,网络流量数据收集器310可以被配置为获得328许可连接映射图308,并且在网络106上收集在许可连接中的每个许可连接上的资源122的对之间的网络流量数据。收集的网络流量数据可以包括在监测时段或其他时间段上跨每个许可连接收集实际的网络流量数据。在示例实施例中,网络流量数据可以基于实际流量本身,以细化方式被收集和存储。例如,对于每个监测的传输,网络流量数据可以针对每个源IP、目的地IP、源端口、目的地端口、协议、发起过程、时间等被收集和存储。网络流量数据可以以任何适当的方式被存储,包括但不限于映射图(例如,拓扑映射图或作为许可连接映射图308的覆盖)、图表、图形或标识跨多个许可网络连接的所监测的网络流量的任何其他表示。
在一些实现中,网络流量数据控制器310可以被配置为:跨网络106在各个位置处部署340一个或多个网络监测代理322,以记录许可连接中的每个许可连接上的网络数据流量(例如,在流量日志文件中)。网络监测代理322可以包括软件或指令,该软件或指令被配置为在网络106或子网110A-110N上(例如,在路由器、交换机、防火墙等上),在网络资源122中的任何一个或多个上,或在网络106上的任何一个或多个节点上执行。在另一个示例中,网络监测代理322可以包括主机服务,该主机服务可以在一个或多个资源(例如,网络资源122)上执行,以记录传入和传出的网络流量。网络监测代理322可以在一定时间段上监测在一个或多个允许的通信路径上的网络流量,并且以聚合形式向网络流量数据收集器310报告这种监测的网络流量,或者可以以聚合形式报告所监测的流量以用于通过网络流量数据收集器310进行聚合。在又一种实现中,网络流量数据控制器310可以被配置为直接从网络106上的一个或多个设备(例如,路由器、防火墙、交换机等)获得和/或记录网络流量。实现不限于这些说明性示例,并且可以利用用于监测资源之间的实际网络流量的任何其他合适的技术。
网络流量数据控制器310可以在容量(例如,传入/传出数据的实际量,诸如以字节、千字节、兆字节等为单位)和/或频率(在每个通信路径上传输数据的频率)方面来监测网络数据流量。如上所述,网络流量数据控制器310可以在一定时间段上监测网络数据流量。例如,时间段可以包括表示普通网络使用的任何时间段,诸如一天、一周、一个月等,或任何其他预先确定的时间段。
在步骤208中,基于安全规则和网络流量数据,为映射图中指示的许可连接生成增强的安全规则。例如,参考图3,规则生成器312可以被配置为:基于跨网络106的现有安全规则和由网络流量数据收集器310收集的网络流量数据,来生成334增强的安全规则314。在实现中,增强的安全规则314可以包括一规则,该规则被配置为:减少许可连接中的至少一个许可连接上的数据流量。例如,增强的安全规则314可以包括一安全规则,该安全规则可以通过基于所监测的网络流量来限制或阻止在被许可但未被利用的通信路径上的通信,来增加网络安全性。通过生成限制打开但未被使用的通信路径的增强的安全规则314,规则生成器312可以由此进一步强化网络106,同时还将现有安全规则考虑在内。
增强的安全规则314可以包括可以在跨网络106的任何适当位置处被推荐和/或强制执行的任何数目的安全规则,包括但不限于防火墙、路由器、交换机、安全组等。在一些示例中,增强的安全规则314可以在规则集108、规则集112A-112N、规则集116A-116N、规则集120A-120N或任何其他位置或其组合中的任何一个或多个中被实现。
规则生成器312可以以各种方式生成增强的安全规则314。在一个示例中,规则生成器312可以获得330许可连接映射图308,并且获得332所监测的网络流量数据。规则生成器312可以比较许可连接映射图308和所监测的网络流量数据之间的差异,以标识跨网络106的在实际流量监测时段期间未被利用的许可连接。在另外的示例中,诸如在所监测的网络流量数据和许可连接映射图308分别包括一个映射图等的情况下,规则生成器312可以被配置为:通过从表示许可连接映射图308的映射图、图形、图表等减去表示所监测的网络流量数据的映射图、图形、图表等,来标识未被使用但打开的连接。在一些实现中,规则生成器312还可以生成映射图、图形、图表等或任何其他表示,以跨网络106标识打开但未被使用的通信路径。然而,应当注意和理解,相关领域技术人员已知和理解的任何其他技术可以被实现,以跨网络106确定基于现有安全规则而打开但未被利用的每个通信路径的身份。
以该方式,规则生成器312可以自动确定由于现有安全规则已被打开但未被实际使用的通信路径,而可能跨网络106存在的网络漏洞。通过标识这种通信路径,规则生成器312可以生成增强的安全规则314,增强的安全规则314限制在这种通信路径上的流量。例如,在通信路径基于现有安全规则而打开但针对一定时间段(例如,在监测时段期间)未被利用的情况下,增强的安全规则314可以生成一安全规则,该安全规则被配置为拒绝或阻止沿所标识的通信路径的流量。如上所述,增强的安全规则314可以跨网络106在任何适当位置(或多个位置)被应用,包括但不限于网络106、子网110A-110N或网络资源122上的防火墙、交换机、路由器、安全组等,以拒绝或阻止沿通信路径的流量。
尽管增强的安全规则314可以被配置为阻止资源之间的整个通信路径,但是本文描述的实现不限于阻止整个通信路径,而是还可以涵盖减少连接上的数据流量的任何其他方式。增强的安全规则314也可以被配置为:基于所监测的网络流量数据,以附加的粒度减少通信路径上的数据流量。例如,增强的安全规则314可以包括一规则,该规则通过基于IP地址、端口或与通信有关的发起过程来阻止或拒绝通信,并且对规则应用“拒绝”动作,来减少通信路径的数据流量。
作为非限制性示例,在网络流量数据收集器310确定在给定路径上通信的源和/或目的地IP地址中的特定一个或多个源和/或目的地IP地址的情况下,增强的安全规则314可以被配置为允许该一个或多个源和/或目的地IP地址在该路径上通信,但拒绝所有其他IP地址在该路径上通信。在另一示例中,在网络流量数据收集器310确定与通信路径相关联的端口或协议的子集在监测时段期间被利用,但是其他许可的端口或协议没有被使用的情况下,增强的安全规则314可以允许端口或协议的该子集通信(例如,“允许”动作被应用于其安全规则),但阻止所有其他端口或协议在该路径上通信(例如,“拒绝”动作被应用于其安全规则)。在又一示例中,增强的安全规则314可以包括一安全规则,该安全规则基于所监测的网络流量数据在给定路径上使能由某个过程发起的通信,但是在该路径上阻止由其他发起过程进行的通信。还应当注意和理解,也可以在给定通信路径上实施上述技术的组合(例如,允许和/或阻止IP地址、端口、协议和/或过程的组合)。例如,网络流量数据收集器310在许可连接上未观察到两个资源之间的任何流量,增强的安全规则314可以包括完全阻止两个资源通信的规则(或多个规则)。以这些方式,可以基于实际网络流量来改善网络安全性,同时还将网络106的现有安全规则考虑在内。
在又一些其他示例中,增强的安全规则314可以包括基于一天时间的监测网络流量的临时安全规则。例如,增强的安全规则314可以以在特定时间段(例如,特定的小时、天、周、月等)期间打开通信路径,同时在其他时间段期间限制通信路径的方式来被实施,其中“时间”或类似设置与“允许”动作耦合。在说明中,如果网络流量数据收集器310确定许可连接仅在某个时间段期间被利用,则规则生成器312可以生成增强的安全规则314,以通过在该时间段期间将规则部署到一个或多个适当的规则集并且在该时间段之外删除或禁用该规则,来作为临时规则被实现。
在一些示例实施例中,增强的安全规则314可以通过诸如实现GUI 318的界面被推荐338给用户(例如,安全分析师、网络管理员等)。实现GUI 318可以包括适当的图形用户界面,用户可以通过该界面查看增强的安全规则314并且在网络106上实现该安全规则。例如,实现GUI 318可以被配置为:显示增强的安全规则314,作为用于增强网络106的安全性的推荐安全规则,以及显示与该安全规则相关联的推理,诸如以下指示:受安全性限制的通信路径在监测时段期间未被使用(或使用低于阈值),在该时段期间监测的使用的量,由拓扑映射图生成器306、网络流量数据收集器310或规则生成器312等生成的一个或多个图形、映射图、图表等。实现GUI 318也可以提供一个或多个交互式用户控件,诸如可选择图标、按钮、菜单等,它们在交互时,在网络106上使能增强的安全规则314的激活。在一些其他示例实施例中,规则生成器312可以通过将安全规则部署到适当的防火墙、路由器、交换机、安全组等,自动在网络106上实现增强的安全规则314。
规则生成器312可以生成增强的安全规则,该增强的安全规则以各种方式减少在许可连接上的流量。例如,图4示出了根据一个示例实施例的方法的流程图400,方法用于基于确定网络流量数据不超过阈值而生成增强的安全规则。在一种实现中,流程图400的方法可以由规则生成器312实现。继续参考图1和图3来描述图4。基于以下关于流程图400以及图1和图3的系统100和系统300的讨论,其他结构和操作实现对于相关领域的技术人员将是明显的。
流程图400以步骤402开始。在步骤402中,确定网络流量数据指示:许可连接中的一个许可连接上的数据流量不超过数据流量的容量或频率的阈值。例如,参考图3,规则生成器312可以被配置为:在生成增强的安全规则314时实现一个或多个数据流量阈值量。在实现中,数据流量的阈值量可以包括数据流量的阈值量,该阈值量基于网络资源122中的两个网络资源之间的数据流量的容量和/或基于网络资源122中的两个网络资源之间的数据流量的频率。
例如,网络流量数据收集器310可以监测跨网络106的每个许可连接上的数据流量,并且记录和/或存储在预定义的监测时段期间,在每个许可连接上的流量的容量和/或通信的频率方面的数据流量的量。在一个非限制性说明中,规则生成器312可以包括以比特、字节或定义数据传输容量的任何其他度量单位的形式的数据流量的阈值容量。在另一个非限制性说明中,规则生成器312可以包括数据流量的阈值频率,该频率为在特定时间段(例如,每小时、每天、每月等)上的资源对之间的传输的任何数目(例如,数量)。在示例实现中,这种阈值可以经由诸如实现GUI 318的适当用户界面来预先确定和/或可配置。基于所监测的数据流量,规则生成器312可以由此确定:在资源之间的特定连接上的监测的数据流量,是否超过了在给定时间段内的数据流量的阈值容量或数据流量的阈值频率。
在步骤404中,响应于以下确定:网络流量数据指示数据流量在一定时间段内不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个,生成增强的安全规则。例如,继续参考图3,规则生成器312可以被配置为:基于以下确定:在监测时段期间,所监测的网络流量数据不超过数据流量的容量或频率的阈值量,来生成增强的安全规则314。换言之,在所监测的数据流量的量在容量和/或频率方面低于阈值量的情况下,规则生成器312可以推断流量的量不足以保持许可连接打开,或者可以推断数据传输为偶然。在其他示例中,规则生成器312还可以被配置为实现阈值的组合(例如,容量阈值和频率阈值两者)。因此,在这种情况下,规则生成器312可以生成增强的安全规则314,增强的安全规则314如本文所述的那样阻止和/或限制针对连接的通信路径。
在一些其他示例实施例中,规则生成器312在生成增强的安全规则314时可以实现严格的阈值。例如,如果在许可连接上监测到资源之间的任何流量(即使最小),则规则生成器312可以确定这种通信是有意的,并且因此保持许可连接打开。在一些其他示例中,规则生成器312可以被配置为生成增强的安全规则314,作为对阻止和/或限制通信路径的建议、以及在监测时段期间监测的数据流量的量的指示。在这种示例中,推荐的安全规则以及阈值信息可以经由实现GUI312而被显示,以用于在网络106上实现。
如上所述,在实现中,增强的安全规则可以利用变化的粒度水平来被生成。例如,图5示出了根据一个示例实施例的用于生成增强的安全规则的方法的流程图500,该增强的安全规则标识发起数据流量的过程。在一种实现中,流程图500的方法可以由规则生成器312实现。继续参考图1和图3来描述图5。基于以下关于流程图500以及图1和图3的系统100和系统300的讨论,其他结构和操作实现对于相关领域的技术人员将是明显的。
流程图500以步骤502开始。在步骤502中,在特定连接上发起数据流量的过程被标识。例如,参考图3,网络流量数据收集器310可以被配置为存储与监测的网络数据流量相关联的多个参数,包括但不限于在网络资源122的对之间发起数据流量的过程的身份。发起过程包括但不限于在资源上执行的程序、软件或过程,或发起网络数据流量的其他可执行过程。通过监测与网络数据流量相关联的这种参数,规则生成器312可以由此确定在许可连接中的特定许可连接上发起数据流量的过程的身份。
在步骤504中,为特定连接生成增强的安全规则,该增强的安全规则允许所标识的过程在特定连接上传输数据,并且拒绝在特定连接上进行其他过程的数据传输。例如,规则生成器312可以生成增强的安全规则314,增强的安全规则314允许由所标识的过程发起的数据流量(例如,基于在监测时段期间监测到的实际数据流量)并且拒绝用于其他过程的数据传输。在说明性示例中,如果规则生成器312仅标识单个过程,该单个过程在网络106中的许可连接中的特定许可连接上发起网络资源122的对之间的数据流量,则规则生成器312可以生成增强的安全规则314,增强的安全规则314使所标识的过程能够在资源之间发起数据流量,同时阻止所有其他过程(例如,在监测时段上未发起任何数据流量的过程)发起资源之间的数据传输。以该方式,增强的安全规则314可以实现纳分段技术,来限制发起跨网络106的传输的过程,从而进一步增强网络106的安全性。
如上所述,在实现中,规则生成器312可以生成增强的安全规则,以用于在网络、子网和/或个体资源上实现。例如,图6示出了根据一个示例实施例的用于组合多个增强的安全规则的方法的流程图600。在一种实现中,流程图600的方法可以由规则生成器312实现。继续参考图1和图3来描述图6。基于以下关于流程图600以及图1和图3的系统100和系统300的讨论,其他结构和操作实现对于相关领域的技术人员将是明显的。
流程图600以步骤602开始。在步骤602中,多个增强的安全规则被生成,其中每个安全规则对应于特定的资源。例如,参考图3,规则生成器312可以生成多个增强的安全规则314,其中每个增强的安全规则对应于网络资源122中间的特定资源。如图1中所示,例如,多个增强的安全规则314可以针对资源114A-114N(或其子集)中的每个资源或网络资源122中间的资源的任何其他分组而被生成。如本文所述,针对特定网络资源的增强的安全规则可以包括允许和/或拒绝网络106中资源之间的特定通信路径的安全规则的任意组合。
在步骤604中,增强的安全规则被组合,以为包括多个特定资源的网络的子网生成优化规则。例如,继续参考图3,规则生成器312可以被配置为:组合多个增强的安全规则314,以生成用于网络106上的应用的优化的安全规则。在实现中,优化的安全规则可以在子网级别的特定规则集中(例如,在规则集112A-112N中的任何一个中)被实现,该子网包括与增强的安全规则314相关联的多个资源。以该方式,规则生成器312可以被配置为:通过在较少的更广泛的安全规则集中包括与个体增强的安全规则相同的限制来优化安全规则,从而减少要在网络106上实现的安全规则的数目。
在说明性示例中,如果针对资源114A-114N中的每个资源的增强的安全规则314包括用于阻止某些通信路径(例如,来自相同IP的通信或涉及相同端口、协议或发起过程的通信)的规则,则规则生成器312可以将这种规则组合成要在规则集112中实现的单个规则,该单个规则对子网110A(例如“网络安全组”)内包括的所有资源阻止/拒绝相同的网络活动,而不是对资源114A-114N中的每个资源实施单独的规则。该示例仅是说明性的,并且实现可以覆盖将用于各种网络资源的规则组合成较少数目的安全规则,以用于在包括个体资源的一个或多个更高节点上应用的任何其他方式(例如,优化规则可以在规则集112A-112N或规则集108中的一个或多个中被实现)。结果,规则生成器312可以通过生成可以在适当的较高层级级别处被应用的通用安全规则来减少安全规则的总体数目,同时仍然增强网络安全性(例如,为层级中包括的资源中的每个资源强化安全性)。通过减少规则的数目,可以使诸如安全分析师的用户能够更容易和更快速地审阅、分析和批准所建议的跨106的安全规则。
在一些其他示例实现中,规则生成器312可以被配置为:以使规则减少优先于完全网络强化的方式,来组合增强的安全规则314以生成优化的规则。例如,在网络包括相对较大数目的资源(例如,成百上千或甚至更大)的情况下,规则生成器312可以基于网络拓扑和资源之间监测的网络数据流量来生成许多增强的安全规则。在这种情况下,规则生成器312可以被配置为:通过生成可以被应用于机器组(例如,在子网级别或网络级别)的规则来使优化规则(或多个优化规则)的生成优先化,即使这种规则不会导致网络106的完全强化,该优化规则减少增强的安全规则的总体数目。
例如,如果子网110A包括100个资源,并且80个这种资源被确定为在特定的通信路径上与另一个子网通信(例如,使用某个端口、协议或过程),但是不使用任何其他通信路径来与其他子网通信,则规则生成器312可以生成用于在子网110A上实现的单个优化安全规则(或优化规则集),该单个优化安全规则在特定通信路径上允许针对子网110A中包括的所有资源114A-114N的数据流量,但拒绝资源的所有其他通信路径。因此,尽管优化的规则基于监测的网络流量数据可能保留某些未被使用的通信路径可用,但是优化的安全规则仍可以增强网络106的总体安全性,同时减少安全规则的总数目。
在一些示例实现中,在限制通信路径之前,增强的安全规则可以在网络上被测试。例如,图7示出了根据一个示例实施例的用于测试增强的安全规则的实现的方法的流程图700。在一种实现中,流程图700的方法可以由规则测试器316实现。继续参考图1和图3来描述图7。基于以下关于流程图700和图1和图3的系统100和系统300的讨论,其他结构和操作实现对于相关领域的技术人员将是明显的。
流程图700以步骤702开始。在步骤702中,增强的安全规则的实现在短暂持续时间上被测试。例如,参考图3,规则测试器316可以被配置为获得336增强的安全规则314,并且在短暂持续时间上测试其实现。在一些示例中,增强的安全规则314所经历的短暂持续时间可以是审核时段或试用时段,该时段经由实现GUI 318被预先确定或可配置,在此期间,规则测试器316跟踪增强的安全规则314的潜在实现以用于网络106上的通信。规则测试器316可以存储和/或记录网络流量的在完全实现增强的安全规则314的情况下将被允许和/或拒绝的每个实例,并且将这种信息提供给实现GUI 318以供分析师审阅。基于在试用时段或审计时段上增强的安全规则314的经测试的实现,安全分析师可以确定:在网络106上完全实施该规则,丢弃该规则,或者通过与实现GUI 318的一个或多个用户控件的交互,来针对附加持续时间继续测试该规则。
因此,实施例以自动方式改进了网络安全性,这在常规实现中是不可能的。实施例自动分析网络配置以确定允许的通信,确定相关联的安全规则并且收集对网络数据流量(例如,以数据分组形式的数据流量、根据网络协议的通信等)的评估,并且使用该信息来生成安全规则,该安全规则拒绝未被充分利用或根本没有被使用的允许连接上的通信。以该方式,入侵者(例如,诸如计算机病毒、蠕虫、特洛伊木马、勒索软件、间谍软件、广告软件和恐吓软件等恶意软件,经由盗用密码、安全漏洞侵入网络的黑客以及从事不正当网络活动的允许员工)可以被拒绝和/或限制其导航网络造成损害的能力。由于网络的复杂性(包括网络资源的数目以及它们之间的大量连接),本文描述的实施例实现了先前不实际的网络安全性。实施例通过有效地检测未被充分利用的连接以及在其上配置适当的安全规则,而使得能够节省计算机资源,诸如处理器利用率和存储器使用率。
III.示例移动和固定设备实施例
安全管理器102、规则生成系统104、网络106、子网110A-110N、资源114A-114N、资源118A-118N和网络监测代理322(和/或它们的任何子组件)、流程图200、流程图400、流程图500、流程图600和/或流程图700可以以硬件或与软件和/或固件结合的硬件来被实现,诸如被实现为计算机程序代码/指令,该计算机程序代码/指令被存储在基于物理/硬件的计算机可读存储介质中,并且被配置为在一个或多个处理器中被执行,或者被实现为硬件逻辑/电气电路装置(例如,电路,包括晶体管、逻辑门、运算放大器、一个或多个专用集成电路(ASIC)、一个或多个现场可编程门阵列(FPGA))。例如,安全管理器102、规则生成系统104、网络106、子网110A-110N、资源114A-114N、资源118A-118N和网络监测代理322(和/或其任何子组件)、流程图200、流程图400、流程图500、流程图600和/或流程图700中的一个或多个可以单独地被实现,或一起在SoC中被实现。SoC可以包括集成电路芯片,该集成电路芯片包括以下一项或多项:处理器(例如,中央处理单元(CPU)、微控制器、微处理器、数字信号处理器(DSP)等)、存储器、一个或多个通信接口和/或其他电路,并且可以可选地执行所接收的程序代码和/或包括嵌入式固件以执行功能。
图8描绘了可以在其中实现示例实施例的计算设备800的示例性实现。例如,可以在与固定或移动计算机实施例中的计算设备800类似的一个或多个计算设备(其包括计算设备800的一个或多个特征和/或备选特征)中,实现安全管理器102、规则生成系统104、网络106、子网110A-110N、资源114A-114N、资源118A-118N或网络监测代理322(或其任何子组件)中的任何一个。本文提供的对计算设备800的描述出于说明的目的而被提供,并且不旨在进行限制。示例实施例可以在如相关领域的技术人员所知的其他类型的计算机系统中被实现。
如图8中所示,计算设备800包括一个或多个处理器(被称为处理器电路802)、系统存储器804,以及将包括系统存储器804的各种系统组件耦合到处理器电路802的总线806。处理器电路802是用一个或多个物理硬件电子电路设备元件和/或集成电路器件(半导体材料芯片或管芯)实现为中央处理单元(CPU)、微控制器、微处理器,和/或其他物理硬件处理器电路的电子和/或光学电路。处理器电路802可执行被存储在计算机可读介质中的程序代码,诸如操作系统830、应用程序832、其他程序834等的程序代码。总线806表示若干类型的总线结构中的任何总线结构中的一个或多个,包括存储器总线或存储器控制器、外围总线、加速图形端口,以及处理器或使用各种总线体系结构中的任一种的局部总线。系统存储器804包括只读存储器(ROM)808和随机存取存储器(RAM)810。基本输入/输出系统812(BIOS)被存储在ROM 808中。
计算设备800还具有一个或多个以下驱动器:用于读写硬盘的硬盘驱动器814、用于读或写可移除磁盘818的磁盘驱动器816,以及用于读或写诸如CD ROM、DVD ROM或其他光介质的可移除光盘818的光盘驱动器820。硬盘驱动器814、磁盘驱动器816和光盘驱动器820分别通过硬盘驱动器接口824、磁盘驱动器接口826和光盘驱动器接口828连接到总线806。这些驱动器以及它们相关联的计算机可读介质为计算机提供了对计算机可读指令、数据结构、程序模块及其他数据的非易失存储。虽然描述了硬盘、可移除磁盘和可移除光盘,但是诸如闪存卡、数字视频盘、RAM、ROM的其他类型的基于硬件的计算机可读存储介质和其他硬件存储介质也可以被用来存储数据。
多个程序模块可以被存储在硬盘、磁盘、光盘、ROM或RAM上。这些程序包括操作系统830、一个或多个应用程序832、其他程序834以及程序数据836。应用程序832或其他程序834可以包括例如计算机程序逻辑(例如,计算机程序代码或指令),以用于实现安全管理器102、规则生成系统104、网络106、子网110A-110N、资源114A-114N、资源118A-118N和网络监测代理322(和/或其任何子组件)、流程图200、流程图400、流程图500、流程图600和/或流程图700(包括流程图200、400、500、600或700的任何合适的步骤)和/或本文描述的其他示例实施例。
用户可以通过诸如键盘838和指点设备840的输入设备向计算设备800中输入命令和信息。其他输入设备(未示出)可以包括话筒、操纵杆、游戏手柄、碟型卫星天线、扫描仪、触摸屏和/或触摸平板、用于接收语音输入的语音标识系统、用于接收姿势输入的姿势标识系统,等等。这些及其他输入设备通常通过耦合到总线806的串行端口接口842来连接到处理器电路802,但是也可以通过其他接口(诸如并行端口、游戏端口或通用串行总线(USB))来进行连接。
显示屏844也经由诸如视频适配器846的接口来连接到总线806。显示屏844可以在计算设备800外部或纳入其中。显示屏844可以显示信息,以及作为用于接收用户命令和/或其他信息(例如,通过触摸、手指姿势、虚拟键盘等)的用户界面。除了显示屏844之外,计算设备800还可以包括其他外围输出设备(未示出),诸如扬声器和打印机。
计算设备800通过适配器或网络接口850、调制解调器852或用于通过网络建立通信的其他手段来连接到网络848(例如,互联网)。可以是内置的或外置的调制解调器852可以经由串行端口接口842来连接到总线806,如图8中所示,或者可以使用包括并行接口的另一接口类型来连接到总线806。
如本文中所使用的,术语“计算机程序介质”、“计算机可读介质”以及“计算机可读存储介质”被用来指代物理硬件介质,诸如与硬盘驱动器814相关联的硬盘、可移除磁盘818、可移除光盘822、其他物理硬件介质,诸如RAM、ROM、闪存卡、数字视频盘、zip盘、MEM、基于纳的存储设备,以及其他类型的物理/有形硬件存储介质。这种计算机可读存储介质与通信介质相区别并且不交叠(不包括通信介质)。通信介质在诸如载波等经调制数据信号中实施计算机可读指令、数据结构、程序模块或其他数据。术语“经调制数据信号”意指以在信号中对信息进行编码的方式来使其一个或多个特性被设定或改变的信号。作为示例而非限制,通信介质包括诸如声学、RF、红外无线介质和其他无线介质,以及有线介质。各实施例还涉及这种通信介质。示例实施例还针对这种通信介质,该通信介质与针对计算机可读存储介质的实施例分离并且不重叠。
如上面所指出的,计算机程序和模块(包括应用程序832及其他程序834)可以被存储在硬盘、磁盘、光盘、ROM、RAM或其他硬件存储介质上。这种计算机程序也可以经由网络接口850、串行端口接口842或任何其他接口类型来接收。这种计算机程序在由应用执行或加载时使计算机800能够实现本文中所讨论的示例实施例的特征。相应地,这种计算机程序表示计算机系统800的控制器。
示例实施例还涉及包括存储在任何计算机可读介质上的计算机代码或指令的计算机程序产品。这种计算机程序产品包括硬盘驱动、光盘驱动、存储器设备包、便携式记忆棒、存储器卡以及其他类型的物理存储硬件。
IV.示例实施例
本文公开了一种用于生成网络安全规则的系统。系统包括:一个或多个处理器;以及一个或多个存储器设备,存储程序代码,程序代码被配置为由一个或多个处理器执行,程序代码包括:允许连接确定器,包括:安全规则确定器,被配置为跨包括多个资源的网络确定安全规则,以及拓扑映射图生成器,被配置为生成网络上的资源之间的许可连接的映射图;网络流量数据收集器,被配置为收集与许可连接上的资源之间的数据流量相对应的网络流量数据;以及规则生成器,被配置为基于安全规则和网络流量数据,为映射图中指示的许可连接生成增强的安全规则,增强的安全规则被配置为减少许可连接上的数据流量。
在前述系统的一种实现中,规则生成器还被配置为:确定网络流量数据指示:在一定时间段内,许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个;以及响应于网络流量数据指示以下的确定,来生成增强的安全规则:在一定时间段内,数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。
在前述系统的另一种实现中,规则生成器还被配置为:标识在特定连接上发起数据流量的过程;以及为特定连接生成增强的安全规则,增强的安全规则允许标识的过程在特定连接上传输数据,并且拒绝其他过程在特定连接上的数据传输。
在前述系统的另一种实现中,规则生成器被配置为:生成多个增强的安全规则,多个安全规则中的每个安全规则对应于多个特定资源中的特定资源;以及组合增强的安全规则,以为包括多个特定资源的网络的子网生成优化规则。
在前述系统的另一种实现中,网络流量数据收集器被配置为部署多个网络监测代理,以监测许可连接上的数据流量。
在前述系统的另一种实现中,系统还包括规则测试器,规则测试器被配置为在短暂持续时间上测试增强的安全规则的实现。
在前述系统的另一种实现中,系统还包括GUI,GUI被配置为:显示增强的安全规则;以及经由与GUI元素的交互来使能安全规则的激活。
本文公开了一种在计算设备中用于生成网络安全规则的方法。方法包括:跨包括多个资源的网络确定安全规则;生成网络上的资源之间的许可连接的映射图;收集与许可连接上的资源之间的数据流量相对应的网络流量数据;以及基于安全规则和网络流量数据,为映射图中指示的许可连接生成增强的安全规则,增强的安全规则被配置为减少许可连接上的数据流量。
在前述方法的一种实现中,生成增强的安全规则包括:确定网络流量数据指示:在一定时间段内,许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个;以及响应于网络流量数据指示以下的确定,来生成增强的安全规则:在一定时间段内,数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。
在前述方法的另一种实现中,方法还包括:标识在特定连接上发起数据流量的过程;以及为特定连接生成增强的安全规则,增强的安全规则允许标识的过程在特定连接上传输数据,并且拒绝其他过程在特定连接上的数据传输。
在前述方法的另一种实现中,生成增强的安全规则包括:生成多个增强的安全规则,多个安全规则中的每个安全规则对应于多个特定资源中的特定资源;以及组合增强的安全规则,以为包括多个特定资源的网络的子网生成优化规则。
在前述方法的另一种实现中,收集网络流量数据包括:部署多个网络监测代理,以监测许可连接上的数据流量。
在前述方法的另一种实现中,方法还包括:在短暂持续时间上测试增强的安全规则的实现。
在前述方法的另一种实现中,方法还包括:提供增强的安全规则以在GUI中显示;以及提供GUI元素,该GUI元素在被激活时,使能安全规则的激活。
本文公开了一种计算机可读存储器。计算机可读存储器具有记录在其上的计算机程序代码,该计算机程序代码在由至少一个处理器执行时,使至少一个处理器执行一种方法,方法包括:跨包括多个资源的网络确定安全规则;生成网络上的资源之间的许可连接的映射图;收集与许可连接上的资源之间的数据流量相对应的网络流量数据;以及基于安全规则和网络流量数据,为映射图中指示的许可连接生成增强的安全规则,增强的安全规则被配置为减少许可连接上的数据流量。
在前述计算机可读存储器的一种实现中,生成增强的安全规则包括:确定网络流量数据指示:在一定时间段内,许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个;以及响应于网络流量数据指示以下的确定,来生成增强的安全规则:在一定时间段内,数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。
在前述计算机可读存储器的另一种实现中,方法还包括:标识在特定连接上发起数据流量的过程;以及为特定连接生成增强的安全规则,增强的安全规则允许标识的过程在特定连接上传输数据,并且拒绝其他过程在特定连接上的数据传输。
在前述计算机可读存储器的另一种实现中,生成增强的安全规则包括:生成多个增强的安全规则,多个安全规则中的每个安全规则对应于多个特定资源中的特定资源;以及组合增强的安全规则,以为包括多个特定资源的网络的子网生成优化规则。
在前述计算机可读存储器的另一种实现中,收集网络流量数据包括:部署多个网络监测代理,以监测许可连接上的数据流量。
在前述计算机可读存储器的另一种实现中,方法还包括:在短暂持续时间上测试增强的安全规则的实现。
V.结论
尽管上面已经描述了本发明的各种实施例,但是应当理解,它们仅以示例而非限制的方式被给出。相关领域的技术人员应当理解,在不脱离所附权利要求限定的本发明的精神和范围的情况下,可以在形式和细节上进行各种改变。因此,本发明的广度和范围不应当由任何上述示例性实施例限制,而应当仅根据所附权利要求及其等同物来限定。
Claims (15)
1.一种用于生成网络安全规则的系统,所述系统包括:
一个或多个处理器;以及
一个或多个存储器设备,存储程序代码,所述程序代码被配置为由所述一个或多个处理器执行,所述程序代码包括:
允许连接确定器,包括:
安全规则确定器,被配置为确定跨包括多个资源的网络的安全规则,以及
拓扑映射图生成器,被配置为生成所述网络上的资源之间的许可连接的映射图;
网络流量数据收集器,被配置为收集与所述许可连接上的所述资源之间的数据流量相对应的网络流量数据;以及
规则生成器,被配置为基于所述安全规则和所述网络流量数据,为所述映射图中指示的许可连接生成增强的安全规则,所述增强的安全规则被配置为减少所述许可连接上的数据流量。
2.根据权利要求1所述的系统,其中所述规则生成器还被配置为:
确定所述网络流量数据指示:在一定时间段内,所述许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个;以及
响应于所述网络流量数据指示以下的所述确定,来生成所述增强的安全规则:在一定时间段内,数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。
3.根据权利要求1所述的系统,其中所述规则生成器还被配置为:
标识在特定连接上发起数据流量的过程;以及
为所述特定连接生成增强的安全规则,所述增强的安全规则允许所标识的所述过程在所述特定连接上传输数据,并且拒绝其他过程在所述特定连接上的数据传输。
4.根据权利要求1所述的系统,其中所述规则生成器被配置为:
生成多个增强的安全规则,所述多个增强的安全规则中的每个增强的安全规则对应于多个特定资源中的特定资源;以及
组合所述增强的安全规则,以为包括所述多个特定资源的所述网络的子网生成优化规则。
5.根据权利要求1所述的系统,其中所述网络流量数据收集器被配置为部署多个网络监测代理,以监测所述许可连接上的数据流量。
6.根据权利要求1所述的系统,还包括:
规则测试器,被配置为在短暂持续时间上测试所述增强的安全规则的实现。
7.根据权利要求1所述的系统,还包括:
图形用户界面(GUI),被配置为:
显示所述增强的安全规则;以及
经由与GUI元素的交互来使能所述安全规则的激活。
8.一种在计算设备中用于生成网络安全规则的方法,所述方法包括:
确定跨包括多个资源的网络的安全规则;
生成所述网络上的资源之间的许可连接的映射图;
收集与所述许可连接上的所述资源之间的数据流量相对应的网络流量数据;以及
基于所述安全规则和所述网络流量数据,为所述映射图中指示的许可连接生成增强的安全规则,所述增强的安全规则被配置为减少所述许可连接上的数据流量。
9.根据权利要求8所述的方法,其中所述生成所述增强的安全规则包括:
确定所述网络流量数据指示:在一定时间段内,所述许可连接上的数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个;以及
响应于所述网络流量数据指示以下的所述确定,来生成所述增强的安全规则:在一定时间段内,数据流量不超过数据流量的阈值容量或数据流量的阈值频率中的至少一个。
10.根据权利要求8所述的方法,还包括:
标识在特定连接上发起数据流量的过程;以及
为所述特定连接生成增强的安全规则,所述增强的安全规则允许所标识的所述过程在所述特定连接上传输数据,并且拒绝其他过程在所述特定连接上的数据传输。
11.根据权利要求8所述的方法,其中所述生成所述增强的安全规则包括:
生成多个增强的安全规则,所述多个增强的安全规则中的每个增强的安全规则对应于多个特定资源中的特定资源;以及
组合所述增强的安全规则,以为包括所述多个特定资源的所述网络的子网生成优化规则。
12.根据权利要求8所述的方法,其中所述收集所述网络流量数据包括:
部署多个网络监测代理,以监测所述许可连接上的数据流量。
13.根据权利要求8所述的方法,还包括:
在短暂持续时间上测试所述增强的安全规则的实现。
14.根据权利要求8所述的方法,还包括:
提供所述增强的安全规则以用于在图形用户界面(GUI)中显示;以及
提供GUI元素,所述GUI元素在被激活时,使能所述安全规则的激活。
15.一种计算机可读存储介质,其上记录有程序指令,所述计算机可读存储介质包括:
计算机程序逻辑,用于使得处理器能够执行权利要求8至14中的任一项。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US16/209,280 US11005893B2 (en) | 2018-12-04 | 2018-12-04 | Automatic generation of security rules for network micro and nano segmentation |
| US16/209,280 | 2018-12-04 | ||
| PCT/US2019/063473 WO2020117572A1 (en) | 2018-12-04 | 2019-11-26 | Automatic generation of security rules for network micro and nano segmentation |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113169975A true CN113169975A (zh) | 2021-07-23 |
| CN113169975B CN113169975B (zh) | 2023-04-28 |
Family
ID=68944418
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201980080050.6A Active CN113169975B (zh) | 2018-12-04 | 2019-11-26 | 用于网络微分段和纳分段的安全规则的自动生成 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11005893B2 (zh) |
| EP (1) | EP3891953A1 (zh) |
| CN (1) | CN113169975B (zh) |
| WO (1) | WO2020117572A1 (zh) |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| BE1027084B1 (nl) * | 2019-02-28 | 2020-09-28 | Constell8 | Eenheid voor het regelen van datacommunicatie |
| US11625482B2 (en) * | 2019-03-18 | 2023-04-11 | Recorded Future, Inc. | Cross-network security evaluation |
| US11050650B1 (en) * | 2019-05-23 | 2021-06-29 | Juniper Networks, Inc. | Preventing traffic outages during address resolution protocol (ARP) storms |
| US11368496B2 (en) * | 2019-06-11 | 2022-06-21 | Zscaler, Inc. | Automatic network application security policy expansion |
| US11349875B2 (en) * | 2019-08-21 | 2022-05-31 | International Business Machines Corporation | Dynamic balancing of security rules execution in a database protection system |
| US11405426B2 (en) * | 2019-11-04 | 2022-08-02 | Salesforce.Com, Inc. | Comparing network security specifications for a network to implement a network security policy for the network |
| US11558277B2 (en) * | 2020-05-08 | 2023-01-17 | Bank Of America Corporation | System for generating and signing cryptographically generated addresses using computing network traffic |
| US11444987B2 (en) * | 2020-05-13 | 2022-09-13 | Verizon Patent And Licensing Inc. | Systems and methods for user capability exchange across networks |
| US11991210B2 (en) * | 2020-10-26 | 2024-05-21 | Microsoft Technology Licensing, Llc | Machine learning-based techniques for identifying deployment environments and enhancing security thereof |
| KR20220060762A (ko) * | 2020-11-05 | 2022-05-12 | 삼성에스디에스 주식회사 | 클라우드 환경에서의 네트워크 분석 장치 및 방법 |
| US11575589B2 (en) * | 2020-12-03 | 2023-02-07 | International Business Machines Corporation | Network traffic rule identification |
| US11720504B2 (en) * | 2021-04-15 | 2023-08-08 | Apple Inc. | Secure storage of datasets in a thread network device |
| US20220345471A1 (en) * | 2021-04-21 | 2022-10-27 | EMC IP Holding Company LLC | Early validation of communication behavior |
| US11909739B2 (en) * | 2021-08-06 | 2024-02-20 | Cisco Technology, Inc. | Industrial security model as a SASE service |
| US20230412496A1 (en) * | 2022-06-21 | 2023-12-21 | Oracle International Corporation | Geometric based flow programming |
| CN115065622B (zh) * | 2022-08-09 | 2022-11-01 | 北京安华金和科技有限公司 | 一种基于多探针的审计设备测试方法和系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130031037A1 (en) * | 2002-10-21 | 2013-01-31 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
| US20160359915A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | Policy-driven compliance |
| US20170078168A1 (en) * | 2015-09-15 | 2017-03-16 | Eunomic, Inc. | Micro-Segmenting Networked Device Controller |
| US20170374102A1 (en) * | 2016-06-24 | 2017-12-28 | Varmour Networks, Inc. | Data Network Microsegmentation |
| US20170374106A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
| CN108156153A (zh) * | 2017-12-22 | 2018-06-12 | 国家电网公司 | 一种基于分布式安全域的微分段防护方法 |
| CN108173812A (zh) * | 2017-12-07 | 2018-06-15 | 东软集团股份有限公司 | 防止网络攻击的方法、装置、存储介质和设备 |
| US20180176252A1 (en) * | 2016-12-16 | 2018-06-21 | Nicira, Inc. | Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications |
| US20180176102A1 (en) * | 2016-12-16 | 2018-06-21 | Nicira, Inc. | Application assessment and visibility for micro-segmentation of a network deployment |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8295188B2 (en) | 2007-03-30 | 2012-10-23 | Extreme Networks, Inc. | VoIP security |
| CN108092791B (zh) * | 2016-11-23 | 2020-06-16 | 华为技术有限公司 | 网络控制方法、装置及系统 |
-
2018
- 2018-12-04 US US16/209,280 patent/US11005893B2/en active Active
-
2019
- 2019-11-26 WO PCT/US2019/063473 patent/WO2020117572A1/en unknown
- 2019-11-26 EP EP19823860.2A patent/EP3891953A1/en active Pending
- 2019-11-26 CN CN201980080050.6A patent/CN113169975B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130031037A1 (en) * | 2002-10-21 | 2013-01-31 | Rockwell Automation Technologies, Inc. | System and methodology providing automation security analysis and network intrusion protection in an industrial environment |
| US20160359915A1 (en) * | 2015-06-05 | 2016-12-08 | Cisco Technology, Inc. | Policy-driven compliance |
| US20170078168A1 (en) * | 2015-09-15 | 2017-03-16 | Eunomic, Inc. | Micro-Segmenting Networked Device Controller |
| US20170374106A1 (en) * | 2016-06-23 | 2017-12-28 | Vmware, Inc. | Micro-segmentation in virtualized computing environments |
| US20170374102A1 (en) * | 2016-06-24 | 2017-12-28 | Varmour Networks, Inc. | Data Network Microsegmentation |
| US20180176252A1 (en) * | 2016-12-16 | 2018-06-21 | Nicira, Inc. | Application template generation and deep packet inspection approach for creation of micro-segmentation policy for network applications |
| US20180176102A1 (en) * | 2016-12-16 | 2018-06-21 | Nicira, Inc. | Application assessment and visibility for micro-segmentation of a network deployment |
| CN108173812A (zh) * | 2017-12-07 | 2018-06-15 | 东软集团股份有限公司 | 防止网络攻击的方法、装置、存储介质和设备 |
| CN108156153A (zh) * | 2017-12-22 | 2018-06-12 | 国家电网公司 | 一种基于分布式安全域的微分段防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| US11005893B2 (en) | 2021-05-11 |
| WO2020117572A1 (en) | 2020-06-11 |
| EP3891953A1 (en) | 2021-10-13 |
| US20200177638A1 (en) | 2020-06-04 |
| CN113169975B (zh) | 2023-04-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN113169975B (zh) | 用于网络微分段和纳分段的安全规则的自动生成 | |
| US10193919B2 (en) | Risk-chain generation of cyber-threats | |
| AU2015374078B2 (en) | Systems and methods for automatically applying firewall policies within data center applications | |
| Lee et al. | On security and privacy issues of fog computing supported Internet of Things environment | |
| EP3289476B1 (en) | Computer network security system | |
| US9294442B1 (en) | System and method for threat-driven security policy controls | |
| US10009381B2 (en) | System and method for threat-driven security policy controls | |
| US10606626B2 (en) | Introspection method and apparatus for network access filtering | |
| US9906557B2 (en) | Dynamically generating a packet inspection policy for a policy enforcement point in a centralized management environment | |
| KR102017810B1 (ko) | 모바일 기기용 침입방지장치 및 방법 | |
| US20220103597A1 (en) | Dynamic optimization of client application access via a secure access service edge (sase) network optimization controller (noc) | |
| US9892270B2 (en) | System and method for programmably creating and customizing security applications via a graphical user interface | |
| TW201642616A (zh) | 條件式宣告政策 | |
| US11240204B2 (en) | Score-based dynamic firewall rule enforcement | |
| CN111709023B (zh) | 一种基于可信操作系统的应用隔离方法及系统 | |
| US20230283595A1 (en) | Dynamic proxy response from application container | |
| CN114041132A (zh) | 执行环境和网守布置 | |
| CN113875205A (zh) | 抑制与不安全网站和网络相关联的安全风险 | |
| Hanspach et al. | In guards we trust: Security and privacy in operating systems revisited | |
| WO2020182310A1 (en) | Method for implementing system state aware security policies | |
| US9525665B1 (en) | Systems and methods for obscuring network services | |
| US20240106855A1 (en) | Security telemetry from non-enterprise providers to shutdown compromised software defined wide area network sites | |
| US20240163294A1 (en) | System and method for capturing malicious flows and associated context for threat analysis | |
| ODEY | IMPLEMENTATION OF MICRO-SEGMENTATION OF A COMPUTER NETWORK TO IMPROVE NETWORK SECURITY | |
| Do | Threat Modelling Framework for 5G Mobile Networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |