CN114641968A - 用于移动设备的有效网络保护的方法和系统 - Google Patents
用于移动设备的有效网络保护的方法和系统 Download PDFInfo
- Publication number
- CN114641968A CN114641968A CN202080062012.0A CN202080062012A CN114641968A CN 114641968 A CN114641968 A CN 114641968A CN 202080062012 A CN202080062012 A CN 202080062012A CN 114641968 A CN114641968 A CN 114641968A
- Authority
- CN
- China
- Prior art keywords
- packet
- mobile device
- policy
- data structure
- probability data
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims description 33
- 230000009471 action Effects 0.000 claims abstract description 20
- 238000001914 filtration Methods 0.000 claims description 44
- 238000012360 testing method Methods 0.000 claims description 32
- 230000000903 blocking effect Effects 0.000 claims description 18
- 238000009434 installation Methods 0.000 claims 1
- 238000004891 communication Methods 0.000 abstract description 39
- 238000013459 approach Methods 0.000 abstract description 4
- 230000001404 mediated effect Effects 0.000 abstract description 2
- 206010072968 Neuroendocrine cell hyperplasia of infancy Diseases 0.000 description 40
- 102100039524 DNA endonuclease RBBP8 Human genes 0.000 description 22
- 101150097169 RBBP8 gene Proteins 0.000 description 22
- 230000006870 function Effects 0.000 description 19
- 230000005641 tunneling Effects 0.000 description 19
- 238000012545 processing Methods 0.000 description 13
- 230000000875 corresponding effect Effects 0.000 description 6
- 101000794200 Homo sapiens Testis-specific serine/threonine-protein kinase 6 Proteins 0.000 description 5
- 102100030141 Testis-specific serine/threonine-protein kinase 6 Human genes 0.000 description 5
- 239000003795 chemical substances by application Substances 0.000 description 5
- 230000001413 cellular effect Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 230000003287 optical effect Effects 0.000 description 3
- 230000008569 process Effects 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 238000003491 array Methods 0.000 description 2
- 230000001276 controlling effect Effects 0.000 description 2
- 238000012544 monitoring process Methods 0.000 description 2
- 230000006855 networking Effects 0.000 description 2
- 239000013307 optical fiber Substances 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 241000544061 Cuculus canorus Species 0.000 description 1
- 241000700605 Viruses Species 0.000 description 1
- 230000001133 acceleration Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 238000004590 computer program Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000007123 defense Effects 0.000 description 1
- 230000000593 degrading effect Effects 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- -1 for example Proteins 0.000 description 1
- 238000003780 insertion Methods 0.000 description 1
- 230000037431 insertion Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 239000002184 metal Substances 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000000135 prohibitive effect Effects 0.000 description 1
- 230000011664 signaling Effects 0.000 description 1
- 239000007787 solid Substances 0.000 description 1
- 230000002123 temporal effect Effects 0.000 description 1
- 238000012549 training Methods 0.000 description 1
- 230000009466 transformation Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
- 230000003442 weekly effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4633—Interconnection of networks using encapsulation techniques, e.g. tunneling
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/66—Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/70—Routing based on monitoring results
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0245—Filtering by information in the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0263—Rule management
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0272—Virtual private networks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/029—Firewall traversal, e.g. tunnelling or, creating pinholes
Abstract
企业用户的移动设备通常在不受企业网络安全策略保护的情况下访问互联网,这使企业网络暴露于恶意主体以互联网为媒介的攻击。这是因为保护移动设备和相关联的企业网络的常规方法是将所有设备的互联网通信隧道传输到企业网络,这是非常低效的,因为通常源自企业的移动设备的互联网通信中只有很小一部分正在与威胁相关联的互联网主机进行通信。在本公开中,移动设备有效地识别哪些通信与互联网威胁相关联,并且仅将这样识别的流量隧道传输到企业网络,在这种情况下可以采取动作来保护企业网络。
Description
本专利文件的公开内容的一部分含有受版权保护的材料。当其出现在专利商标局的专利档案或记录中时,版权所有者不反对任何人对专利文件或者专利公开内容进行传真复制,但除此之外版权所有者将保留所有版权权利。
相关申请的交叉参考
本申请要求于2019年7月3日提交的美国正常专利申请序列第16/502,565号的优先权,其全部内容通过引用明确地并入本文。
技术领域
本文描述的方面总体涉及计算机硬件、软件以及网络安全性。特别地,本公开的一个或更多个方面总体上涉及用于移动设备的有效网络保护的计算机硬件和软件。
背景技术
随着信息时代的不断发展,网络安全正变得越来越重要。网络威胁/攻击可能采取多种形式(例如,未经授权的请求或数据传输、病毒、恶意软件、旨在淹没资源的大量流量等)。这些威胁中许多威胁使用互联网访问和攻击企业计算机资源/资产,如下所述:不动的或固定的企业主机,诸如台式计算机、预置或云企业应用服务器、面向公众的网络服务器等,可能被直接附接到由企业拥有和/或运营和管理的专用TCP/IP网络。这些企业网络继而直接连接到互联网,使得(a)单个企业在地理上分布的专用网络和相关资产可以通过使用互联网将它们互连来相互访问;(b)单个企业的主机可以访问其他公开寻址的互联网附接主机(例如,公共网络服务器和应用服务器);以及(c)其他互联网附接主机可以访问企业面向公众的主机(例如,电子商务网络服务器)。然而,互联网附接主机可能包括由恶意主体拥有、运营或以其他方式控制的主机。这些恶意主体不仅会使用互联网访问和攻击企业面向公众的主机,还会在他们有能力的情况下攻击企业的私有资源,例如,当他们设法破坏了企业用于保护其私有资产的网络外围防御结构时。
企业保护其固定/不动网络资产免受互联网威胁的常规方法是在互联网接入点(也称为企业网络外围或边界)处保护其专用网络。企业定义了安全策略,该安全策略指定哪些网络流量可以在任一方向上跨越边界(例如,源自直接附接到企业网络或企业网络内部的主机并以互联网主机为目的地;或者相反,源自互联网主机并以附接到企业网络的主机为目的地)。安全策略由位于互联网接入点处或附近的各种设备执行,诸如网络防火墙、网络代理、SSL/TLS代理、入侵防御系统(IPS)、入侵检测系统(IDS)(其可以是带外(out-of-band)提供的)、威胁情报网关(TIG)等。该设备集合可以称为安全堆栈或企业网络安全堆栈。安全堆栈提供的保护的有效性可以通过将网络安全策略的质量、范围和保真度与设备有效执行策略而不将网络性能降低到不可接受的水平的能力相结合来确定。
然而,常规的企业安全堆栈可能无法保护企业的移动主机/设备(诸如企业用户的个人移动智能手机、便携式平板电脑和便携式台式计算机)免受互联网威胁。这是因为此类设备可能会经由无线接入网络(诸如蜂窝网络和Wi-Fi网络)直接连接到互联网。在这种情况下,这些移动设备可以直接与互联网主机通信,而并没有通过企业安全堆栈过滤相关联的网络流量。因此,恶意互联网主机和主体可以很容易地攻击移动设备,并且可以很容易地用恶意软件感染移动设备,或者能以其他方式获得对移动设备上的资源和应用程序的控制。此外,移动设备可能成为恶意主体渗入企业网络并攻击企业固定网络资产的载体入口。例如,企业移动设备和/或设备托管的应用程序可能具有对位于安全堆栈背后的企业应用服务器的特权和授权访问。作为另一个示例,移动用户有时可能会通过Wi-Fi接入点将他们的移动设备直接连接到企业网络。在这两个示例中,恶意主体都可以获得对企业网络资产的直接且不受限制的访问。然后,恶意主体可能会利用移动设备对安全堆栈背后的资产的访问来攻击企业资产。
保护企业移动资产的常规方法是(a)在每个企业移动设备和位于企业安全堆栈背后的隧道网关之间配置(安全)隧道;以及(b)通过隧道发送移动设备的互联网通信中的大部分或全部。当通信退出隧道网关时,可以通过企业安全堆栈发送通信。可以在通信到互联网主机的途中将企业安全策略应用于通信。可以通过安全堆栈类似地过滤源自互联网主机的任何响应通信。然而,这种方法存在多个实际问题,可能导致企业不使用它和/或可能导致移动设备用户拒绝它,从而可能导致企业无法有效地保护移动设备并且因此无法保护企业网络资产免受互联网威胁。
最具挑战性的问题之一是无法有效地将实质上所有移动设备的互联网流量通过隧道传输回隧道网关,以便可以通过安全堆栈过滤流量以检测可能与互联网威胁相关联的通信。通常,源自企业移动设备的互联网通信中只有很小一部分与互联网威胁进行通信,因此只需要过滤与威胁相关联的流量。此外,随着企业员工的流动性越来越强,并且由于企业用户绝大多数更喜欢使用他们自己的个人移动设备(例如智能手机)同时进行个人通信和工作/企业通信——这种市场现象被称为“自带设备”或“BYOD”,移动设备的大部分互联网流量可能是个人通信(例如高带宽视频),它们(a)不会对企业构成威胁,并且(b)是用户可能不希望不必要地受制于企业的安全策略和公司使用策略的私人通信。此外,当地隐私保护法律或法规可能会影响是否允许企业过滤这些个人通信。因此,可能会浪费用于保护移动设备流量的企业网络资源。此外,移动设备可能会因对合法和/或良性流量进行不必要的加密和隧道传输而浪费许多资源,包括电池电量。随着下一代蜂窝网络被部署,提供更高的带宽,应用程序消耗更多的带宽,以及移动设备消耗更多的资源,预计常规上保护移动设备的互联网流量和相关联的企业网络的成本和其他低效率将增加并可能变得令人望而却步。
因此,需要利用企业的网络安全策略有效地保护企业的移动资产,从而保护企业的网络资产免受互联网威胁。
发明内容
以下给出了简要概述,以便提供对本公开的一些方面的基本理解。其既不旨在确认本公开的关键或重要要素,也不旨在勾画本公开的范围。以下概述仅以简化形式给出本公开的一些构思,作为以下描述的序言。
本公开的各方面涉及有效保护移动设备及其相关联的企业网络免受互联网威胁。移动设备可以识别可能与互联网威胁相关联的移动设备通信流量,并且可以仅将此类识别的流量通过隧道传输到隧道网关以供企业安全堆栈过滤。
与互联网威胁相关联的通信的识别可以利用可从许多网络威胁情报(CTI)提供方组织获得的CTI的数据库或数据结构。该CTI可以包括指标、威胁指标或失陷指标(Indicators-of-Compromise,IoC)。CTI可以包括资源的互联网网络地址(以IP地址、IP地址范围、L4端口和相关联的L3协议类型、域名、URI等形式),这些资源可能是由威胁主体控制/操作,或者可能以其他方式与恶意活动相关联。CTI指标/威胁指标还可以包括用于保护某些TCP/IP通信的证书的标识符和相关证书颁发机构的标识符(例如,TLS协议用来保护HTTP中介会话的安全的X.509证书)。
为了确定活动通信是否可能与互联网威胁相关联,可以将构成通信的传输中分组(in-transit packet)与威胁指标的数据库或填充有威胁指标的数据结构进行比较,例如,通过分组过滤设备应用由威胁指标的数据库或填充有威胁指标的数据结构生成的分组过滤规则。如果确定在分组的值与数据库或数据结构中的威胁指标之间有匹配,则可以对分组应用一组保护动作或分组转换功能(PTF)中的至少一个。这些保护动作/PTF可以包括丢弃分组、允许分组继续到达其预期目的地、监控分组(这可以包括记录和捕获分组或记录和转发分组)、将分组镜像到其预期目的地以及另一个网络设备以用于监控或测试、重定向分组、生成对应的响应分组等。
保护动作/PTF可以部分地由提供指标的相关联的网络威胁情报提供方(CTIP)提供的威胁情报数据或威胁元数据确定。CTIP可以将它们的CTI指标与非二元的威胁风险值相关联。例如,指标的风险可以表示为或关联于以下项:相关联分组或通信是攻击的一部分的概率或可能性。此类威胁风险值可以在确定可应用于匹配分组的保护动作/PTF中作为考虑因素。例如,如果与某分组相关联的威胁风险接近100%,则可以丢弃该分组,因为它很可能是攻击的一部分。分组也可以被记录、捕获,并向应该知道威胁/攻击的管理机构发出警报。相反,如果与某分组相关联的威胁风险接近0%,则可以允许该分组前往其目的地,因为它不太可能是攻击的一部分。作为另一个示例,如果分组的风险可能性为50%,那么该分组可以被允许继续到达其预期目的地,但该分组也可以被记录、捕获,或者可以在给指定管理机构的警报中标识风险,管理机构可以进一步分析该分组和相关联的通信以确定分组/通信是否是攻击的一部分。估计风险值和选择相关联的动作/PTF或网络保护动作可以是几个变量的函数,包括可由相关联的CTIP提供的威胁元数据(例如,攻击类型、攻击归属等)、提供相同指标的CTIP的数量、哪个(哪些)CTIP提供了指标、指标的保真度、分组发起者的地理位置、被保护的相关联网络的管理员的偏好等。
策略创建和管理系统:(a)可以从一个或更多个CTIP接收CTI和相关联的元数据;(b)可以聚合威胁指标(例如,合并和删除重复信息);(c)可以为每个威胁指标创建分组过滤规则;(d)可以将所有的分组过滤规则收集到策略中;以及(e)可以将策略分发给订阅策略的执行设备,诸如网络防火墙和威胁情报网关(TIG)。在步骤(c)中当创建分组过滤规则时,每个规则可以指定(1)分组匹配标准,例如分组字段和值对,其中值是CTI指标;以及(2)将应用于与规则的标准匹配的分组的分组处置或网络保护动作或PTF。分组过滤规则的语法可以由策略执行设备指定。语法可以与商业防火墙(诸如BSD PF或iptables)的语法相同或相似。分组处置/动作/PTF可以由策略创建逻辑指定,如上所述,策略创建逻辑可以考虑CTIP提供的威胁元数据、管理员偏好等。策略创建和管理系统可以集成到移动应用程序中。移动应用程序还可以被配置为安装和接收针对从中央服务器生成的策略的更新。
CTI衍生策略的大小可以作为所公开的方法和系统的考虑因素。为了提供最有效的网络保护,应使用来自许多不同的独立CTIP的CTI来导出策略。由于CTIP可以通过例如攻击类型、市场细分、威胁元数据质量、指标类型和保真度等来各自区分,因此独立CTIP提供的指标之间可能几乎没有重叠。对于任意两个独立CTIP提供的两个威胁指标集合,集合的交集可能相对较小甚至为零。因此,为了获得观测主动威胁通信的最佳机会,应使用从尽可能多的独立CTIP获得的CTI来导出策略。这可能会导致非常大的策略。例如,从许多独立CTIP创建的CTI衍生策略的大小可能是五(5)百万个分组过滤规则。然而,互联网威胁的范围继续快速增长,因此CTIP继续产生更多的CTI。因此,为了将来验证,过滤系统可以被设计为处理有效CTI衍生策略大小的数量级增加,以包括在1000-5000万个范围内的分组过滤规则。
CTI衍生策略的动态性也作为所描述的方法和系统的考虑因素。CTI不断变化,因为例如,恶意主体不断且迅速地创建具有新威胁指标的新攻击。威胁指标也可能在60-180天后“过时”,并不再被认为是有风险的。此外,CTIP可以根据其CTI更新的频率进行区分。因此,CTI衍生策略必须经常更新以便保持有效性。实际上,CTI衍生策略分发频率可以是每周、每天或每小时。
通过规则匹配标准中的指标来表征策略中的每个规则也可以作为所公开的方法和系统的考虑因素。在搜索策略之前,测试可以利用此属性来确定分组数据是否与策略中的任何规则匹配。
由于CTI数据库的大小和动态性,使用CTI来保护网络可以同时受益于策略创建和策略执行的自动化两者。对于策略执行自动化,任何可以将分组过滤规则应用于传输中网络流量的网络设备(诸如网络防火墙)都可能执行策略执行功能。为了应用CTI来保护网络,有益的是策略执行设备能够:(a)在没有显著的延迟或分组丢失(例如,由于大延迟导致的缓冲区溢出)的情况下对高速互联网接入链路(例如10G)上的传输中网络流量应用由数百万个分组过滤规则组成的非常大的策略;(b)在其匹配标准中应用具有不同类型指标的分组过滤规则,例如IP地址、IP地址范围、5元组、域名、URI、X.509证书等;(c)在不丢失分组转发服务或丢失安全性/保护的情况下,使用新的超大策略快速且频繁地更新当前执行的超大策略;(d)记录和捕获分组,以便可以例如使用安全信息和事件管理(SIEM)应用程序和分组分析器应用程序对通信进行网络分析。
使用CTI衍生策略保护移动设备和相关联的网络的一种潜在方法是使策略执行功能位于端点移动设备上。移动设备操作系统(诸如安卓(Android))包括网络防火墙能力(例如Android中的iptables),其可以将CTI衍生的分组过滤规则应用于端点移动设备发起和接收的流量。但是,尽管iptables以及传统的网络防火墙和所谓的“下一代”防火墙在其配置有CTI衍生规则时可以被识别为具有CTI衍生策略执行功能,但此类防火墙通常不具备网络网关的所有上述能力。此外,常规的移动设备通常缺乏足够的处理器和存储器需求来支持网络网关的能力。此外,移动设备通常最小化处理负载并因此最小化功耗,以便节省存储在其电池中的电量。因此,这种使有效策略执行功能位于移动设备上的潜在方法可能是不切实际的。
为了解决移动设备有限的处理能力和电池节电的问题,可以在企业网络的互联网接入点提供带有安全堆栈的策略执行功能(例如TIG);并且,系统不是将所有互联网流量从每个移动设备隧道传输到位于安全堆栈背后的隧道网关,而是仅从每个移动设备隧道传输可能与由TIG执行的CTI衍生策略中的分组过滤规则匹配的互联网流量。该系统可以在每个移动设备上本地执行逻辑,该逻辑有效地确定哪些互联网流量分组将匹配由位于企业网络中的(远程)TIG执行的策略中的分组过滤规则。
为了有效地确定哪些互联网流量分组将匹配策略中的分组过滤规则,CTI衍生策略中的每个规则可以通过威胁指标来表征。威胁指标可用作过滤规则的匹配标准。移动设备可以利用通过其表征威胁指标表示安全策略中的每个规则的数据结构来确定互联网流量分组是否将匹配策略中的规则。为了表示整个策略,系统可以收集表征策略中的每个规则的所有指标——IP地址、域名、URI、证书ID等,并将每个这样的指标插入到例如数据结构集合中,可以测试该数据结构集合以确定元素(例如IP地址、域名、URI、证书ID等)是否是集合的成员。该数据结构可以由策略管理服务器生成,可以分发给每个移动设备,并且可以存储在每个受策略保护的移动设备上。当移动设备发起或接收互联网流量分组时,移动设备上的计算机逻辑和/或应用程序可以提取分组中包含的可能对应于数据结构中的威胁指标的任何元素,诸如IP地址、域名、URI、证书ID等,并且可以测试数据结构以确定任何这样的元素是否是数据结构集合的成员。如果测试表明任何分组元素是威胁指标集合的成员,则分组或分组的副本可以被隧道传输到隧道网关,该隧道网关可以位于企业专用网络中。在退出隧道网关时,分组可以被发送到TIG,TIG可以通过策略对分组进行过滤以确定哪个分组过滤规则与该分组匹配。当匹配规则通过由TIG进行的策略测试确定时,与规则相关联的动作或PTF可以应用于分组以保护网络。如果动作或PTF导致分组被转发到互联网,则分组可以被传递通过相关联的安全堆栈。
数据结构优选地在空间和时间方面都是有效的。存储表征策略中规则的元素或威胁指标集合所需的存储器相对于移动设备上可用的主存储器来说必须很小,并且隶属测试函数和元素插入函数在理论和实践上均必须快速且有效。如2019年4月30日提交并且通过引用并入本文的美国专利申请第16/399,700号中所述,称为布隆过滤器(Bloom filter)的概率数据结构可以满足这些标准。布隆过滤器空间有效地存储集合的元素,将元素时间有效地插入到集合中,并且可以进行时间有效地测试以确定元素是否可能是集合的成员。布隆过滤器由误报率P参数化,误报率P为当元素实际上不是集合成员时,针对该元素的集合隶属测试返回True的概率。对于布隆过滤器,漏报率为零。也就是说,如果元素的集合隶属测试返回False,则可以确定该元素不是该集合的成员。
移动设备可以使用布隆过滤器来有效地确定分组元素(诸如从互联网流量分组中提取的IP地址、域名或URI)是否是用来表征策略中规则的,所有指标的集合的成员。例如,当误报率P=10-3或千分之一时,大小约为9MB的布隆过滤器可能足以存储由大约五(5)百万个分组过滤规则构成的实际策略中的所有IP地址、域名和URL指标,这些分组过滤规则由类似数量(例如500万)的CTIP提供的威胁指标导出。可以快速测试包含500万个元素的布隆过滤器以(例如通常在不到1微秒内)确定给定的分组元素(例如IP地址、域名或URL)是否是成员。对于这种或任何布隆过滤器,空间/存储器和隶属测试时间要求随P的对数大小而变化;因此,例如,将P=10-3减少一千倍到P=10-6或百万分之一只会导致空间和时间要求增加2倍(例如,对于该示例为大约18MB)。许多当前的移动智能手机可能有1-4GB的主存储器;因此,示例性的9MB布隆过滤器可能占用不到1%的主存储器。如果以其包含的分组过滤规则或威胁指标的数量来衡量,CTI衍生策略的大小显著增加,使得相关联的布隆过滤器的大小成为问题,那么可以增大误报率以便减小布隆过滤器的大小。
在本公开的描述中将使用此后可缩写为“B/F”的布隆过滤器数据结构,但该选择是示例性的,并不意味着以任何方式进行限制或约束。可以使用具有足够和相似的时间和空间效率的任何数据结构来存储元素集合、将元素插入到该集合中以及测试元素在集合中的隶属。例如,布谷过滤器(Cuckoo filter)具有与布隆过滤器(B/F)相似的时间和空间效率,并且还具有从集合中有效删除或移除元素的能力——这是标准布隆过滤器所不具备的能力,尽管已经开发了支持删除功能的布隆过滤器变体。从集合中有效地删除元素的能力在一些应用、具体实施和/或实施例中可以证明是有用的。数据结构可以支持用于向集合中添加元素的Insert()函数、可以支持用于测试元素的集合隶属的布尔值Member()函数以及可以支持用于从集合中删除元素的Delete()函数。数据结构可以是概率性的,并且可以与非零误报率P相关联。
如果测试表明任何分组元素是该集合的成员,则确定该分组与互联网威胁有关联。因此,威胁相关联的分组可以从移动设备隧道传输到企业网络隧道网关,该隧道网关可以位于相关联的企业网络的安全堆栈背后。存在可以使用的各种隧道传输技术和相关联的方法,并且在某些情况下,隧道传输技术和方法可以部分取决于企业对其移动基础设施所需的保护类型和效率量。在下面的详细描述中使用了一些示例性隧道传输技术;然而,这些隧道传输技术是示例性的,并不意味着以任何方式进行限制或约束。在不脱离本公开的范围的情况下,可以使用其他隧道传输技术和方法来实现本发明。
本公开描述中使用的示例性互联网层/L3隧道传输协议是IPsec隧道模式(RFC1431)。IPsec隧道模式可以加密要隧道传输的分组流量,可以将加密的流量放在传输层/L4分组(UDP或TCP协议)的有效载荷部分,并且可以将L4分组封装在IP分组中,其中该IP分组的IP地址字段值为隧道终端的IP地址,该IP地址可以包括移动设备地址和企业网网关地址。可以使用其他互联网层/L3隧道传输协议,包括IP-in-IP(RFC 1203)。移动设备和隧道传输的流量可以与VPN相关联,以便相关联的企业网络的专用寻址方案可以用于通过企业专用网络将隧道传输的流量路由和/或交换到TIG、安全堆栈和互联网。执行此操作的一种示例性方法是使用与IPsec结合的L2TP协议,称为L2TP-over-IPsec,或L2TP/IPsec。两种流行的移动设备操作系统Android和iOS本身均支持L2TP/IPsec。在下面的描述中,当提及隧道传输时可以省略协议的精确细节。本领域技术人员可以根据特定场景的上下文来推断细节。
移动设备可以在情境上与企业相关联。即,取决于当前通信的属性,设备可以据说以“企业模式”或“个人模式”或两者下操作。例如,当移动设备向企业网络隧道传输互联网威胁流量时,则该设备可以被视为附接到企业网络的企业主机/端点资产,因此在企业模式下操作。当移动设备并非隧道传输互联网流量而是直接与其他互联网主机/端点通信时,则其不被视为企业主机/端点资产,因此在个人模式下操作。移动设备可以同时在两种模式下操作。例如,该设备可同时与非威胁/良性互联网主机直接通信,并通过隧道与互联网威胁主机间接通信。该设备可直接与互联网威胁主机进行通信,但将通信分组的副本隧道传输回企业。可以监视隧道传输到企业网络的分组或隧道传输到企业网络的复制分组,以确定或分析网络威胁。可以对此类分组进行监视和网络分析以确定通信是攻击还是合法/良性通信。
该过程可以包括用逻辑或应用程序配置至少一个移动设备以执行策略的测试。逻辑或应用程序可以从企业管理服务器安装。移动设备可以包括蜂窝电话、平板电脑、膝上型计算机或移动网络设备,诸如移动热点。企业网络可以配置有TIG和隧道网关。
策略创建和分发管理服务器可以从多个CTIP接收CTI并且可以创建可以包括多个规则的CTI衍生策略。管理服务器可以基于表示多个规则中的每一个的元素集合来创建布隆过滤器B/F。这种数据结构,以下称为TUNNEL-B/F,可以包含从策略中的每个规则中提取的威胁指标。系统可以将策略下载到TIG,并且可以将数据结构TUNNEL-B/F传输到与企业网络相关联的每个移动设备和其他网络元素,包括TIG。
移动设备可以发起与互联网主机的通信。可以测试出站分组的值(诸如IP地址、域名和URI)以确定在数据结构TUNNEL-B/F中的隶属。如果隶属测试返回True,则系统可以将该分组隧道传输到企业网络。分组可以通过TIG和安全堆栈进行过滤。通信流中的每个后续分组都可以被隧道传输到企业网络,并且可以通过TIG和安全堆栈进行过滤。如果隶属测试返回False,则系统可以将分组直接转发到互联网主机,而无需将分组隧道传输到企业网络。
在接收到从隧道网关退出的隧道传输的分组时,企业网络可以向TIG转发分组。TIG可以将策略应用于每个分组。当TIG找到匹配的分组过滤规则时,TIG可以将规则的对应动作/PTF应用于分组。例如,动作/PTF可以丢弃分组或可以将分组转发到安全堆栈以进行附加的安全处理。动作/PTF可以导致分组被记录和捕获,以便可以使用SIEM应用程序和/或分组分析器应用程序分析分组和相关联的通信,以确定通信是否是威胁或攻击,或者通信是否被确定为良性。
上述过程有许多可能的变体,其中一些在下面的具体实施方式部分中详细说明。
附图说明
在所附权利要求中特别指出了本公开。通过在整体上回顾本公开,包括随其一起提供的附图,本公开的特征将变得更加明显。
在附图的各图中,通过示例而非限制的方式示出了本文中的一些特征,其中类似的附图标记指代相似的元件。
图1描绘了用于移动设备和相关联的企业网络的保护系统的例示性环境。
图2描绘了用于配置移动设备和相关联的企业网络元件的安全策略创建和管理服务器的操作概念的流程图。
图3描绘了用于移动设备和相关联的企业网络中的分组过滤的操作概念的流程图。
图4描绘了用于移动设备和相关联的企业网络的未受保护系统的操作概念的流程图。
图5描绘了可以根据本文描述的一个或更多个例示性方面使用的例示性计算机系统架构;以及
图6描绘了可以根据本文描述的一个或更多个例示性方面使用的例示性远程访问系统架构。
具体实施方式
在各种例示性实施例的以下描述中,参考了形成了本说明书的一部分的附图,并且在附图中通过例示说明的方式示出了可以实践本公开各方面的各种实施例。应当理解,在不脱离本公开的范围的情况下,可以利用其他实施例,并且可以进行结构和功能上的修改。此外,参考了其中可以实践本公开各方面的特定应用程序、协议和实施例。应当理解,在不脱离本公开的范围的情况下,可以利用其他应用程序、协议和实施例,并且可以进行结构和功能上的修改。
在以下描述中讨论了元件之间的各种连接。这些连接是一般性的,并且除非另外指明,否则其可以是直接或间接的、有线或无线的、物理或逻辑(虚拟/软件定义)的。类似地,网络元件,诸如主机和设备,可以是物理的或虚拟的。就这一点而言,本说明书并非旨在进行限制。
根据本公开的实施例,并参考示出本发明的代表性环境100的图1,考虑用于移动设备和相关联的企业网络的有效网络保护的系统。移动设备MBDV 101和MBDV 102由可能隶属于运营专用企业网络ENET 160的企业的用户个人拥有/操作。移动设备MBDV 101和MBDV102均订阅了运营无线接入网络RNET 120和移动核心网络MCNET 150的移动提供者。当移动设备MBDV 101和MBDV 102进行蜂窝电话呼叫时,信令和通信通过移动核心网络MCNET 150路由并且可以通过其他移动提供者的移动核心网络(图1中未示出)路由。2G和下一代移动设备和移动网络支持访问互联网和相关联的TCP/IP网络。移动设备MBDV 101和MBDV 102可以经由互联网130访问公共寻址的互联网服务器,诸如网络服务器WSVR 151和恶意软件服务器MALSVR 152。移动设备MBDV 101可以下载并安装移动设备安全应用程序MBL-CYBER-APP,该移动设备安全应用程序MBL-CYBER-APP实现本文描述的分组测试、分组过滤和分组隧道传输的功能。移动设备安全应用程序MBL-CYBER-APP可以配置、隧道传输客户端、管理TUNNEL-B/F以及执行本公开说明书中其他地方所描述的其他功能。移动设备MBDV 102尚未下载移动设备安全应用程序MBL-CYBER-APP,因此不受本公开的方法和系统的保护。
专用企业网络ENET 160可以提供对内部主机(诸如PC 161)的互联网访问。专用企业网络ENET 160可以被配置为使得这些内部主机和互联网主机之间的流量必须通过威胁情报网关TIG 170,该威胁情报网关可以正在执行CTI衍生策略。流量还可以通过安全堆栈SSTK 175,该安全堆栈可以包括常规网络防火墙和其他企业网络安全设备(诸如网络代理、SSL代理、IDS、IPS等)中的至少一个。威胁情报网关TIG 170和安全堆栈SSTK 175可以位于专用企业网络ENET 160的互联网接入点处或附近。当将策略应用于分组时,威胁情报网关TIG 170可以生成与策略中的规则匹配的分组的日志,这些日志可以经由互联网发送到安全运营中心SOC 140以供网络分析人员使用例如SIEM应用程序和分组分析器应用程序进行攻击分析。
企业系统服务器ESVR 162可以是由企业托管以供企业用户使用的专用网络应用服务器,企业用户可以包括拥有/操作移动设备MBDV 101和MBDV 102的用户。移动设备MBDV101和MBDV 102使用由企业提供的应用程序访问企业系统服务器ESVR 162,该应用程序包括用于在端口443(用于HTTPS的端口)上访问企业系统服务器ESVR 162的HTTPS客户端。当应用程序连接到企业系统服务器ESVR 162时,网络应用程序呈现登录表单。然后,用户可以输入他们的企业证书以安全地访问网络应用程序。网络安全管理员已在安全堆栈SSTK 175中打开网络防火墙的端口443,以便未经请求的入站HTTPS连接(诸如源自移动设备MBDV101和MBDV 102上的应用程序的连接)可以发起与企业系统服务器ESVR 162的会话。
附接到专用企业网络ENET 160的主机隧道网关TGW 163终止并集中可以与诸如安装了移动设备安全应用程序MBL-CYBER-APP的移动设备MBDV 101的移动设备建立的隧道。与企业系统服务器ESVR 162类似,网络管理员已在安全堆栈SSTK 175中打开了网络防火墙的一个或更多个端口,以便未经请求的入站隧道流量(诸如源自移动设备MBDV 101和已安装移动设备安全应用程序MBL-CYBER-APP的其他移动端点的流量)可以访问TGW 163。例如,如果隧道协议是IPsec隧道模式,那么管理员可能已经打开了IPsec的公知端口500、50和51。TGW 163可以在所接收的分组从隧道退出时对其解封装和/或解密。TGW 163可以将解封装和/或解密的分组转发到专用企业网络ENET 160中。由于这些分组将在其IP报头的目的地IP地址字段中具有公共互联网地址,因此专用企业网络ENET 160中的路由器和/或交换机可以将这些分组转发至互联网接入点,并因此转发至威胁情报网关TIG 170,从而将CTI衍生策略应用于分组。
安全策略创建和管理服务器SPMS 141可以从一个或更多个CTIP收集CTI,该CTIP包括例如CTIP 142和143。安全策略创建和管理服务器SPMS 141也可以聚合CTI,可以基于CTI创建至少一个安全策略,以及可以将安全策略发布给订户,订户可以包括多个网络设备,诸如主机计算机和威胁情报网关TIG 170。安全策略创建和管理服务器SPMS 141可以为每个安全策略创建数据结构TUNNEL-B/F,并且可以将数据结构TUNNEL-B/F发布给与每个安全策略相关联的每个订户,诸如由移动设备MBDV 101托管的移动设备安全应用程序MBL-CYBER-APP。另选地,威胁情报网关TIG 170可以为每个相关联的移动设备(诸如移动设备安全应用程序MBL-CYBER-APP的关联实例,其已与威胁情报网关TIG 170相关联以用于网络保护)创建数据结构TUNNEL-B/F,并且可以向关联的移动设备(包括移动设备安全应用程序MBL-CYBER-APP的每个订阅实例)发布当前数据结构TUNNEL-B/F。
图2描绘了用于配置移动设备和相关联的企业网络元件的安全策略创建和管理服务器的操作概念的流程图,以用于图1所示的用于移动设备和相关联的企业网络的保护系统。
在步骤2-1中,安全策略创建和管理服务器SPMS 141可以下载威胁情报提供者(诸如CTIP 142和CTIP 143)发布的CTI。在步骤2-2中,安全策略创建和管理服务器SPMS 141可以聚合CTI指标并且可以处理CTI以生成安全策略。由于多个威胁情报提供者可能提供相同的威胁指标,安全策略创建和管理服务器SPMS 141可以将规则合并成单个集合,并且可以去除重复的威胁指标以及以其他方式合并威胁指标。安全策略创建和管理服务器SPMS 141可以创建至少一个分组过滤规则,其中每个规则包括对应于威胁指标的匹配标准和当确定匹配时要应用于分组的对应动作/PTF。对应的动作/PTF可以基于多种因素来确定,包括由威胁情报网关TIG 170的运营商/管理员提供的要求。安全策略创建和管理服务器SPMS 141可以收集每个生成的规则以生成安全策略,并且可以将安全策略分发到多个安全设备,包括威胁情报网关TIG 170。在步骤2-3中,安全策略创建和管理服务器SPMS 141可以通过收集所有威胁指标(包括IP地址、域名、URI、证书ID等)生成与安全策略相关联的布隆过滤器TUNNEL-B/F,威胁指标表征安全策略中的每个分组过滤规则。安全策略创建和管理服务器SPMS 141可以将指标插入到数据结构TUNNEL-B/F中,可以测试该数据结构以确定安全策略中的任何规则是否与被测试的分组元素匹配。
在步骤2-4中,SPMS可以向多个网络安全设备发布安全策略和数据结构TUNNEL-B/F中的至少一个。安全策略创建和管理服务器SPMS 141可以将安全策略和数据结构TUNNEL-B/F中的至少一个传输到多个网络订户,该多个网络订户可以包括威胁情报网关TIG 170和与企业网络相关联的多个移动设备。威胁情报网关TIG 170可以下载安全策略并且可以使用安全策略配置分组过滤逻辑。在步骤2-5中,移动设备MBDV 101上的移动设备安全应用程序MBL-CYBER-APP可以下载数据结构TUNNEL-B/F并且可以使用数据结构TUNNEL-B/F配置隧道逻辑。如果移动设备MBDV 102尚未安装移动设备安全应用程序MBL-CYBER-APP,则它不下载数据结构TUNNEL-B/F,并且不受安全策略保护。策略和数据结构TUNNEL-B/F还可以进行更新,并且可以生成和分发对安全策略和数据结构TUNNEL-B/F的更新。基于此类更新,移动设备安全应用程序MBL-CYBER-APP可以隧道传输用于过滤的分组,该分组以前被允许前往其预期目的地而无需通过隧道传输到企业网络。
图3描绘了用于移动设备和相关联的企业网络中的分组过滤的操作概念的流程图,以用于图1中所示的用于移动设备和相关联的企业网络的保护系统。流程图/操作概念假设所有设备和主机都已配置好进行操作。特别地,移动设备MBDV 101已经下载、安装和配置了移动设备安全应用程序MBL-CYBER-APP,并且可能已经与TGW 163建立了隧道。相反,移动设备MBDV 102尚未配置有移动设备安全应用程序MBL-CYBER-APP。
在步骤3-1中,可以拥有和/或操作移动设备MBDV(可以是MBDV 101或MBDV 102)的用户可以经由电子邮件应用程序查看电子邮件,并且可以点击链接到网络服务器WSVR 151上的资源的嵌入URL。移动设备MBDV 101或102可以通过查询DNS(图3中未示出)来将URL权限的主机名或完全限定域名(FQDN)解析成网络服务器WSVR 151的IP地址,例如12.34.56.78。移动设备MBDV可以尝试通过创建具有目的地端口80的TCP SYN分组在端口80(HTTP)上发起与网络服务器WSVR 151的TCP连接,并且可以将TCP分组封装在IP分组中,该IP分组可以设置有被设置为12.34.56.78的目的地IP地址字段,并且可以设置有对应MBDV的源IP地址。
在步骤3-2中,在分组可以被转发(进入无线电接入网络RNET 120)之前,MBDV 101的移动设备安全应用程序MBL-CYBER-APP可以确定与数据结构TUNNEL-B/F的威胁指标相关联的每个分组元素。例如,移动设备安全应用程序MBL-CYBER-APP可以从目的地IP地址字段中提取IP地址(例如12.34.56.78),并且可以测试12.34.56.78是否是数据结构TUNNEL-B/F的成员。基于确定威胁情报网关TIG 170上的安全策略中没有匹配的分组过滤规则,隶属测试返回FALSE。移动设备安全应用程序MBL-CYBER-APP可以确定不存在与测试的分组数据(例如,网络服务器WSVR151的IP地址12.34.56.78)相关联的威胁风险。移动设备安全应用程序MBL-CYBER-APP可以确定不需要隧道传输要过滤的分组。移动设备安全应用程序MBL-CYBER-APP可以不将分组转发到TGW 163、威胁情报网关TIG 170和/或安全堆栈SSTK 175。
在步骤3-3中,基于确定不需要对要过滤的分组进行隧道传输,移动设备MBDV 101可以经由无线电接入网络RNET 120直接向网络服务器WSVR 151转发分组。类似地,但无需执行任何隧道传输确定/决策逻辑,MBDV 102可以经由无线电接入网络RNET 120直接向网络服务器WSVR 151转发分组。分组转发可以发起TCP握手并随后促使在12.34.56.78的端口80上建立TCP连接。移动设备MBDV可以发出针对URL的HTTP GET请求方法。网络服务器WSVR151可以用所请求的资源进行响应,可以终止网络会话,并且可以断开TCP连接。在这样的通信会话期间,对于MBDV 101,可以测试所有入站和出站分组的相关分组字段值(诸如IP地址字段、域名字段、URI字段等)以确定数据结构TUNNEL-B/F中的隶属。当通信流中的每个分组都与安全目的地相关联时,移动设备安全应用程序MBL-CYBER-APP可以确定不需要隧道传输要过滤的分组,因为数据结构TUNNEL-B/F的测试将始终返回FALSE,因此构成会话的分组都不会通过隧道传输。
在步骤3-1中,可能拥有和/或操作移动设备MBDV 101的用户可能会阅读鱼叉式网络钓鱼电子邮件,并可能被诱骗点击链接到恶意软件服务器MALSVR 152上的资源的嵌入URL,该资源可能包含仿冒企业系统服务器ESVR 162上的企业网络应用程序的登录页面的网页。移动设备MBDV 101可以通过查询DNS(图3中未示出)将URL权限的主机名或完全限定域名(FQDN)解析为恶意软件服务器MALSVR 152的IP地址,例如87.65.43.21。移动设备MBDV101可以尝试通过创建具有目的地端口80的TCP SYN分组在端口80(HTTP)上发起与恶意软件服务器MALSVR 152的TCP连接,并且可以将TCP分组封装在其中目的地IP地址字段被设置为87.65.43.21的IP分组中。在步骤3-2中,在设备MBDV 101将分组转发到无线电接入网络RNET 120之前,移动设备安全应用程序MBL-CYBER-APP可以提取分组元素(例如,来自目的地IP地址字段的IP地址87.65.43.21),并可以测试以确定是否有任何分组元素是数据结构TUNNEL-B/F的成员。
隶属测试可能会返回TRUE值或在与数据结构TUNNEL-B/F相关联的安全策略中存在匹配的分组过滤规则的其他指示。移动设备安全应用程序MBL-CYBER-APP可以基于TRUE值或在与数据结构TUNNEL-B/F相关联的安全策略中存在匹配的分组过滤规则的其他指示,确定分组需要由相关联的企业威胁情报网关TIG170过滤,并且存在与分组元素(例如恶意软件服务器MALSVR 152的IP地址87.65.43.21)相关联的某种威胁风险。在步骤3-4中,基于TRUE值或在与数据结构TUNNEL-B/F相关联的安全策略中存在匹配的分组过滤规则的其他指示,移动设备MBDV 101可以在网络隧道中向TGW 163传输分组。在步骤3-5中,分组可以在隧道的企业网络侧被接收,可以通过专用企业网络ENET 160向互联网接入链路转发,并且可以被威胁情报网关TIG 170接收以进行分组过滤。在步骤3-6中,威胁情报网关TIG 170可以对分组应用安全策略,并且可以确定匹配分组元素(诸如IP地址87.65.43.21)的规则。与所确定的规则相关联的网络保护动作/PTF可以指定分组可以被阻止/丢弃、记录和/或捕获中的至少一项。
另选地,在基于从数据结构TUNNEL-B/F的测试中确定匹配而传输任何分组之前,系统可以测试辅助数据结构以降低网络流量的量。例如,系统可以测试阻止规则数据结构,该数据结构可以表示与阻止动作或PTF相关联的策略的每个规则。基于TRUE值或在与阻止规则数据结构关联的安全策略中存在匹配的分组过滤规则的其他指示,移动设备安全应用程序MBL-CYBER-APP可以执行阻止规则动作以阻止与阻止规则相关联的分组前进到其预期目的地,而不必通过隧道将此类分组传输到企业网络中的分组过滤设备。阻止规则数据结构也可以是布隆过滤器,并且阻止规则数据结构可以是比数据结构TUNNEL-B/F更小的数据结构,该数据结构TUNNEL-B/F与正在执行的策略的所有规则相关联。
在步骤3-7中,威胁情报网关TIG 170可以将日志发送到安全运营中心SOC 140或其他网络设备。日志可由安全运营中心SOC 140分析,诸如由网络分析员使用SIEM应用程序进行分析。基于为威胁指标(例如IP地址87.65.43.21)提供CTI的CTIP对与恶意软件服务器MALSVR 152相关联的威胁风险的确定,系统可以采取纠正指令行动。例如,威胁分析设备可以向移动设备MBDV 101的用户报告事件,或者可以建议用户观看讨论鱼叉式网络钓鱼电子邮件攻击以及如何避免它们的网络安全培训视频。类似地,移动设备安全应用程序MBL-CYBER-APP可以生成威胁事件的日志并且可以将日志发送到安全运营中心SOC 140或其他网络安全应用程序或设备。移动设备安全应用程序MBL-CYBER-APP可以基于在与阻止规则概率数据结构相关联的安全策略中存在匹配的分组过滤规则的指示,选择性地生成威胁事件的日志。
图4描绘了用于移动设备和相关联的企业网络中的分组过滤的操作概念的流程图,以用于图1中所示的用于移动设备和相关联的企业网络的保护系统。流程图/操作概念假设所有设备和主机都已配置好进行操作。特别地,关于图4,移动设备MBDV尚未下载、安装或配置移动设备安全应用程序MBL-CYBER-APP。
在步骤4-1中,可能拥有或操作未配置有移动设备安全应用程序MBL-CYBER-APP的移动设备MBDV 102的用户可能访问如上所述的鱼叉式网络钓鱼电子邮件。然而,由于移动设备MBDV 102未配置有移动设备安全应用程序MBL-CYBER-APP,因此移动设备上没有逻辑来提取分组元素并测试任何分组元素是否是数据结构TUNNEL-B/F的成员。相反,如果可能拥有或操作移动设备MBDV 102的用户被诱骗点击链接到恶意软件服务器MALSVR 152上的资源的嵌入URL(该资源可能是仿冒企业系统服务器ESVR 162上的企业网络应用程序登录页面的网页),则移动设备可能开始与恶意软件服务器MALSVR 152建立连接。移动设备MBDV102可以通过查询DNS(图4中未示出)将URL权限的主机名或完全限定域名(FQDN)解析为恶意软件服务器MALSVR 152的IP地址(例如IP地址87.65.43.21)。移动设备MBDV 102可以尝试通过创建具有目的地端口80的TCP SYN分组在端口80(HTTP)上发起与恶意软件服务器MALSVR 152的TCP连接,并且可以将TCP分组封装在具有所确定的目的地IP地址字段(例如,IP地址87.65.43.21)的IP分组中。由于没有移动设备安全应用程序MBL-CYBER-APP保护移动设备MBDV 102,因此可以建立与恶意软件服务器MALSVR 152的TCP连接,并且移动设备MBDV 102可以发出针对URL的HTTP GET请求方法。
在步骤4-2中,恶意软件服务器MALSVR 152以所请求的资源进行响应,该资源可以是仿冒企业系统服务器ESVR 162上的企业网络应用程序的登录页面的网页/表单。用户可以输入登录凭证并将该表单投递到恶意软件服务器MALSVR 152。当用户输入登录凭证时,MALSVR 152可以记录并窃取登录凭证。在步骤4-3中,可以操作恶意软件服务器MALSVR 152的恶意主体可以使用窃取的凭证登录到企业系统服务器ESVR 162并可以窃取或篡改企业的敏感数据。
本文描述的功能和步骤可以体现在由一个或更多个计算机或用来执行本文所述一个或更多个功能的其他设备执行的计算机可用数据或计算机可执行指令中,诸如在一个或更多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,它们在由计算机或其他数据处理设备中的一个或更多个处理器执行时执行特定任务或实现特定抽象数据类型。计算机可执行指令可以存储在诸如硬盘、光盘、可移动存储介质、固态存储器、RAM等的计算机可读介质上。应当理解,可以根据需要组合或分配程序模块的功能。另外,功能可以全部或部分地体现在固件或硬件等价物中,诸如集成电路、专用集成电路(ASIC)、现场可编程门阵列(FPGA)等。特定的数据结构可以被用于更有效地实现本公开的一个或更多个方面,并且此类数据结构被认为在本文描述的计算机可执行指令和计算机可用数据的范围内。
尽管不是必需的,但是本领域的普通技术人员将理解,本文描述的各个方面可以体现为一种方法、系统、装置或一种或更多种存储计算机可执行指令的计算机可读介质。因此,各方面可以采取完全硬件实施例、完全软件实施例、完全固件实施例,或以任何组合结合软件、硬件和固件方面的实施例的形式。
如本文所述,各种方法和动作可以在一个或更多个计算设备和网络上操作。功能可以以任何方式分布,或者可以位于单个计算设备(例如,服务器、客户端计算机等)中。
可以在各种不同的系统环境中利用计算机软件、硬件和网络,系统环境包括独立的、联网的、远程访问的(也称为远程桌面)、虚拟的和/或基于云的环境,以及其他环境。图5示出了可用于在独立和/或联网环境中实现本文所述的一个或更多个例示性方面的系统架构和数据处理设备的一个示例。各种网络节点503、505、507和509可以经由诸如互联网的广域网(WAN)501互连。也可以或另选地使用其他网络,包括专用内联网、公司网络、局域网(LAN)、城域网(MAN)、无线网络、个人网络(PAN)、软件定义网络(SDN)等。网络501出于例示说明目的,并且可以用更少或附加的计算机网络来替代。局域网533可以具有任何已知LAN拓扑中的一个或更多个,并且可以使用各种不同协议中的一个或更多个,诸如以太网。设备503、505、507和509以及其他设备(未示出)可以经由双绞线、同轴电缆、光纤、无线电波或其他通信介质连接到一个或更多个网络。
如本文所使用和附图中所描绘的术语“网络”不仅指其中远程存储设备经由一个或更多个通信路径耦合在一起的系统,而且还指可能不时耦合到具有存储能力的此类系统的独立设备。因此,术语“网络”不仅包括“物理网络”,还包括“内容网络”,其由驻留在所有物理网络中的数据(可归于单个实体)构成。
这些组件可以包括数据服务器503、网络服务器505和客户端计算机507、509。数据服务器503提供对用于执行本文所述的一个或更多个例示性方面的数据库和控制软件的整体访问、控制和管理。数据服务器503可以连接到网络服务器505,用户通过该网络服务器进行交互并获得所请求的数据。另选地,数据服务器503本身可以充当网络服务器并且直接连接到互联网。数据服务器503可以通过局域网533、广域网501(例如,互联网)经由直接或间接连接或经由某些其他网络连接到网络服务器505。用户可以使用远程计算机507、509,例如使用网络浏览器通过由网络服务器505托管的一个或更多个外部公开的网站连接到数据服务器503,以与数据服务器503进行交互。客户端计算机507、509可以与数据服务器503配合使用以访问存储在其中的数据,或者可以用于其他目的。例如,如本领域中已知的,通过客户端设备507,用户可以使用互联网浏览器或通过执行经计算机网络(例如互联网)与网络服务器505和/或数据服务器503进行通信的软件应用程序来访问网络服务器505。
服务器和应用程序可以组合在相同的物理机器上并保留单独的虚拟或逻辑地址,或者可以驻留在单独的物理机器上。图5仅示出了可以使用的网络架构的一个示例,并且本领域技术人员将理解,所使用的特定网络架构和数据处理设备可以变化,并且相对于它们所提供的功能是次要的,如本文所进一步描述的。例如,可以在单个服务器上组合由网络服务器505和数据服务器503提供的服务。
每个组件503、505、507、509可以是任何类型的已知计算机、服务器或数据处理设备。数据服务器503例如可以包括控制数据服务器503的整体操作的处理器55。数据服务器503可以进一步包括随机存取存储器(RAM)513、只读存储器(ROM)515、网络接口517、输入/输出接口519(例如,键盘、鼠标、显示器、打印机等)以及存储器521。输入/输出(I/O)519可以包括用于读取、写入、显示和/或打印数据或文件的各种接口单元和驱动器。存储器521可以进一步存储用于控制数据处理设备503的整体操作的操作系统软件523、用于指示数据服务器503执行本文所述方面的控制逻辑525,以及提供可以结合或可以不结合本文所述方面使用的辅助、支持和/或其他功能的其他应用软件527。控制逻辑在本文中也可以称为数据服务器软件525。数据服务器软件的功能可以是指基于编码到控制逻辑中的规则自动做出的操作或决策、通过用户向系统提供输入而手动做出的操作或决策,和/或基于用户输入(例如查询、数据更新等)的自动处理的组合。
存储器521还可存储用于执行本文所述一个或更多个方面的数据,包括第一数据库529和第二数据库531。在一些实施例中,第一数据库可以包括第二数据库(例如,作为单独的表、报告等)。也就是说,取决于系统设计,信息可以存储在单个数据库中,或者可以分到不同的逻辑、虚拟或物理数据库中。设备505、507和509可以具有与关于设备503所述的相似或不同的架构。本领域技术人员将理解,如本文所述的数据处理设备503(或设备505、507或509)的功能可以分布在多个数据处理设备上,例如,为了将处理负载分布在多个计算机上,为了基于地理位置、用户访问级别、服务质量(QoS)等,来分离业务。
一个或更多个方面可以体现在由本文所述的一个或更多个计算机或其他设备执行的计算机可用或可读数据和/或计算机可执行指令中,诸如在一个或更多个程序模块中。通常,程序模块包括例程、程序、对象、组件、数据结构等,它们在由计算机或其他设备中的处理器执行时执行特定任务或实现特定抽象数据类型。可以用源代码编程语言编写模块,随后将其编译以供执行,或者可以用脚本语言编写模块,例如(但不限于)超文本标记语言(HTML)或可扩展标记语言(XML)。可以将计算机可执行指令存储在诸如非易失性存储设备之类的计算机可读介质上。可以利用任何合适的计算机可读存储介质,包括硬盘、CD-ROM、光学存储设备、磁性存储设备和/或其任何组合。此外,表示本文所述的数据或事件的各种传输(非存储)介质可以以电磁波的形式通过诸如金属线、光纤和/或无线传输介质(例如,空气和/或空间)之类的信号传导介质在源和目的地之间传输。本文所述的各个方面可以体现为方法、数据处理系统或计算机程序产品。因此,各种功能可以全部或部分地体现在软件、固件和/或硬件或硬件等价物中,诸如集成电路、现场可编程门阵列(FPGA)等。特定的数据结构可以用于更有效地实现本文所述的一个或更多个方面,并且此类数据结构被认为在本文所述的计算机可执行指令和计算机可用数据的范围内。
进一步参考图6,可以在远程访问环境中实现本文所述的一个或更多个方面。图6描绘了示例性系统架构,其包括可根据本文所述的一个或更多个例示性方面使用的例示性计算环境520中的计算设备501。计算设备501可以用作被配置为向客户端访问设备提供虚拟机的单服务器或多服务器桌面虚拟化系统(例如,远程访问或云系统)中的服务器606a。计算设备501可以具有处理器603,以用于控制服务器和其相关联组件的整体操作,该相关联组件包括RAM 605、ROM 607、输入/输出(I/O)模块609和存储器615。
I/O模块609可以包括鼠标、小键盘、触摸屏、扫描仪、光学阅读器和/或手写笔(或其他输入设备),计算设备101的用户可以通过它们提供输入,并且I/O模块609还可以包括用于提供音频输出的一个或更多个扬声器以及用于提供文本、视听和/或图形输出的一个或更多个视频显示设备。可以将软件存储在存储器615和/或其他存储装置内,以向处理器603提供指令,用于将计算设备501配置为专用计算设备,以便执行本文所述的各种功能。例如,存储器615可以存储由计算设备501使用的软件,诸如操作系统617、应用程序619和相关联的数据库621。
计算设备501可以在支持到诸如终端640(也称为客户端设备)的一个或更多个远程计算机的连接的联网环境中操作。终端640可以是个人计算机、移动设备、膝上型计算机、平板电脑或服务器,其包括以上关于计算设备503或501所述的许多或所有元件。图6中描绘的网络连接包括局域网(LAN)625和广域网(WAN)629,但是也可以包括其他网络。当在LAN联网环境中使用时,计算设备501可通过网络接口或适配器623连接到LAN 625。当在WAN联网环境中使用时,计算设备501可以包括调制解调器627或其他广域网接口,以用于通过诸如计算机网络630(例如,互联网)之类的WAN 629建立通信。应当理解,所示的网络连接是例示性的,并且可以使用在计算机之间建立通信链路的其他手段。计算设备501和/或终端640还可以是包括各种其他组件诸如电池、扬声器和天线(未示出)的移动终端(例如,移动电话、智能电话、个人数字助理(PDA)、笔记本等)。
本文所述的各方面也可以与许多其他通用或专用计算系统环境或配置一起操作。可能适用于本文所述方面的其他计算系统、环境和/或配置的示例包括但不限于个人计算机、服务器计算机、手持式或膝上型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程消费电子产品、网络个人计算机(PC)、小型计算机、大型计算机,包括上述任何系统或设备的分布式计算环境等。
如图6所示,一个或更多个客户端设备640可以与一个或更多个服务器606a-606n(在本文中通常称为“服务器606”)通信。在一个实施例中,计算环境520可以包括安装在服务器606和客户端机器640之间的网络设备。网络设备可以管理客户端/服务器连接,并且在某些情况下可以在多个后端服务器606之间负载平衡客户端连接。
在一些实施例中,一个或更多个客户端机器640可以被称为单个客户端机器640或单个客户端机器组640,而一个或更多个服务器606可以被称为单个服务器606或单个服务器组606。在一个实施例中,单个客户端机器640与多于一个服务器606通信,而在另一实施例中,单个服务器606与多于一个客户端机器640通信。在又另一个实施例中,单个客户端机器640与单个服务器606通信。
在一些实施例中,客户端机器640可以通过以下非穷举性术语中的任何一个来引用:客户端机器;客户端;客户端计算机;客户端设备;客户端计算设备;本地机器;远程机器;客户端节点;端点;或端点节点。在一些实施例中,服务器606可以通过以下非穷举性术语中的任何一个来引用:服务器;本地机器;远程机器;服务器群或主机计算设备。在一些实施例中,客户端机器640可以是虚拟机。在一些方面,虚拟机可以由管理程序管理,而在其他方面,虚拟机可以由在服务器606上执行的管理程序或在客户端640上执行的管理程序管理。虚拟机也可以是由容器(container)管理器管理的容器系统,例如Docker和LinuxContainers(LXC)。虚拟机也可以是管理程序管理的虚拟机和容器的组合。
一些实施例可以包括客户端设备640,其显示由在服务器606或其他远程定位的机器上远程执行的应用程序生成的应用程序输出。在这些实施例中,客户端设备640可以执行虚拟机接收器程序或应用程序以在应用程序窗口、浏览器或其他输出窗口中显示输出。在一个示例中,该应用程序是桌面,而在其他示例中,该应用程序是生成或呈现桌面的应用程序。桌面可以包括图形外壳,从而为可以在其中集成本地和/或远程应用程序的操作系统实例提供用户界面。如本文所使用的,应用程序是在已经加载了操作系统(以及任选地,还有桌面)的实例之后执行的程序。在一些实施例中,服务器606可以使用远程呈现协议或其他程序将数据发送到在客户端上执行的瘦客户端或远程显示应用程序,以呈现由在服务器606上执行的应用程序生成的显示输出。瘦客户端或远程显示协议可以是诸如由佛罗里达州劳德代尔堡的思杰系统公司(Citrix Systems,Inc)开发独立计算架构(ICA)协议;或由华盛顿州雷德蒙德的微软公司(Microsoft Corporation)开发的远程桌面协议(RDP)。
远程计算环境可以包括多于一个服务器606a-606n,从而使得例如在云计算环境中将服务器606a-606n一起逻辑分组到服务器群606中。服务器群606可以包括在地理上分散的同时在逻辑上分组在一起的服务器606,或者在逻辑上分组在一起的同时彼此邻近定位的服务器606。在一些实施例中,服务器群606内的地理上分散的服务器606a-606n可以使用WAN(广域)、MAN(城域)或LAN(局域)进行通信,其中不同的地理区域可以被表征为:不同的大陆;大陆的不同地区;不同国家;不同的州;不同的城市;不同的园区;不同的房间;或上述地理位置的任何组合。在一些实施例中,服务器群606可以作为单个实体进行管理,而在其他实施例中,服务器群606可以包括多个服务器群。
在一些实施例中,服务器群可以包括执行基本相似类型的操作系统平台(例如,WINDOWS、UNIX、LINUX、iOS、ANDROID、SYMBIAN等)的服务器606。在其他实施例中,服务器群606可以包括执行第一类操作系统平台的第一组一个或更多个服务器,以及执行第二类操作系统平台的第二组一个或更多个服务器。
服务器606可以根据需要配置为任何类型的服务器,例如文件服务器、应用服务器、网络服务器、代理服务器、设备、网络设备、网关、应用网关、网关服务器、虚拟化服务器、部署服务器、安全套接字层(SSL)VPN服务器、防火墙、网络服务器、应用服务器或作为主应用服务器、执行活动目录的服务器或执行应用加速程序的服务器,其提供防火墙功能、应用功能或负载均衡功能。也可以使用其他服务器类型。
一些实施例包括第一服务器606a,其从客户端机器640接收请求,将请求转发到第二服务器606b(未示出),并利用来自第二服务器606b(未示出)的响应来对由客户端机器640生成的请求作出响应。第一服务器606a可以获取可用于客户端机器640的应用程序的枚举,以及与托管在应用程序的枚举中标识的应用程序的应用服务器606相关联的地址信息。然后,第一服务器606a可以使用网页界面呈现对客户端请求的响应,并直接与客户端640通信,以使客户端640访问所标识的应用程序。一个或更多个客户端640和/或一个或更多个服务器606可经网络630(例如,网络501)传输数据。
本公开的各方面已经根据其例示性实施例进行了描述。通过阅读本公开,本领域普通技术人员可以想到所附权利要求的范围和精神内的许多其他实施例、修改和变化。例如,本领域的普通技术人员将理解,例示性附图中示出的步骤可以以不同于所列举的顺序来执行,并且示出的一个或更多个步骤可以是任选的。所附权利要求中的任何和所有特征可以以任何可能的方式组合或重新布置。
Claims (21)
1.一种用于在移动设备上选择性过滤流量的方法,所述方法包括:
由所述移动设备生成要从所述移动设备输出的多个分组;
针对所述多个分组中的每个分组,确定与每个分组相关联的至少一个分组匹配标准;
针对所述多个分组中的每个分组,针对所确定的至少一个分组匹配标准,测试至少一个策略概率数据结构,其中所述策略概率数据结构代表安全策略的多个分组过滤规则中的每一个;
基于确定所述多个分组中的第一分组不与所述至少一个策略概率数据结构的至少一个分组匹配标准匹配,将所述第一分组向其预期目的地转发;
基于确定所述多个分组中的第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,将所述第二分组向与所述安全策略相关联的分组网关发送;以及
基于确定所述多个分组中的所述第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,引起所述分组网关过滤所述第二分组。
2.根据权利要求1所述的方法,其中所述至少一个策略概率数据结构是布隆过滤器或布谷过滤器。
3.根据权利要求1所述的方法,还包括:
在所述移动设备上安装安全策略执行应用程序后,建立到与所述安全策略相关联的至少一个网络安全设备的网络隧道,
其中将所述第二分组向所述分组网关发送还包括通过所述网络隧道将所述第二分组向所述分组网关发送。
4.根据权利要求1所述的方法,其中使所述分组网关过滤所述第二分组还包括引起对所述第二分组执行规则动作。
5.根据权利要求1所述的方法,还包括:
基于确定所述多个分组中的第三分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,针对多个分组中的每个分组,针对与所述第三分组相关联的至少一个分组匹配标准,测试阻止规则概率数据结构;以及
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,阻止所述第三分组前进到其预期目的地。
6.根据权利要求5所述的方法,还包括:
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,生成与所述第三分组相关联的日志;以及
向与所述安全策略相关联的至少一个网络安全设备发送与所述第三分组相关联的所述日志。
7.根据权利要求1所述的方法,还包括:
由所述移动设备接收包括至少一个新分组匹配标准的策略更新;以及
基于所述策略更新并由所述移动设备,更新所述至少一个策略概率数据结构。
8.一种与分组过滤网关相关联的移动设备,包括:
至少一个处理器;以及
包括指令的存储器,所述指令在由所述至少一个处理器执行时使所述移动设备:
生成要从所述移动设备输出的多个分组;
针对所述多个分组中的每个分组,确定与每个分组相关联的至少一个分组匹配标准;
针对所述多个分组中的每个分组,针对所确定的至少一个分组匹配标准,测试至少一个策略概率数据结构,其中所述策略概率数据结构代表安全策略的多个分组过滤规则中的每一个;
基于确定所述多个分组中的第一分组不与所述至少一个策略概率数据结构的至少一个分组匹配标准匹配,将所述第一分组向其预期目的地转发;
基于确定所述多个分组中的第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,将所述第二分组向与所述安全策略相关联的分组网关发送;以及
基于确定所述多个分组中的所述第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,引起所述分组网关过滤所述第二分组。
9.根据权利要求8所述的移动设备,其中所述至少一个策略概率数据结构是布隆过滤器或布谷过滤器。
10.根据权利要求8所述的移动设备,其中所述存储器还存储在由所述至少一个处理器执行时使所述移动设备执行以下操作的指令:
在所述移动设备上安装安全策略执行应用程序后,建立到与所述安全策略相关联的至少一个网络安全设备的网络隧道,
其中将所述第二分组向所述分组网关发送还包括通过所述网络隧道将所述第二分组向所述分组网关发送。
11.根据权利要求8所述的移动设备,其中引起所述分组网关过滤所述第二分组还包括引起对所述第二分组执行规则动作。
12.根据权利要求8所述的移动设备,其中所述存储器还存储在由所述至少一个处理器执行时使所述移动设备执行以下操作的指令:
基于确定所述多个分组中的第三分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,针对多个分组中的每个分组,针对与所述第三分组相关联的至少一个分组匹配标准,测试阻止规则概率数据结构;以及
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,阻止所述第三分组前进到其预期目的地。
13.根据权利要求12所述的移动设备,其中所述存储器还存储在由所述至少一个处理器执行时使所述移动设备执行以下操作的指令:
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,生成与所述第三分组相关联的日志;以及
向与所述安全策略相关联的至少一个网络安全设备发送与所述第三分组相关联的所述日志。
14.根据权利要求8所述的移动设备,其中所述存储器还存储在由所述至少一个处理器执行时使所述移动设备执行以下操作的指令:
由所述移动设备接收包括至少一个新分组匹配标准的策略更新;以及
基于所述策略更新并由所述移动设备,更新所述至少一个策略概率数据结构。
15.一种或更多种非暂时性计算机可读介质,其包括指令,所述指令在由移动设备执行时使所述移动设备:
生成要从所述移动设备输出的多个分组;
针对所述多个分组中的每个分组,确定与每个分组相关联的至少一个分组匹配标准;
针对所述多个分组中的每个分组,针对所确定的至少一个分组匹配标准,测试至少一个策略概率数据结构,其中所述策略概率数据结构代表安全策略的多个分组过滤规则中的每一个;基于确定所述多个分组中的第一分组不与所述至少一个策略概率数据结构的至少一个分组匹配标准匹配,将所述第一分组向其预期目的地转发;
基于确定所述多个分组中的第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,将所述第二分组向与所述安全策略相关联的分组网关发送;以及
基于确定所述多个分组中的所述第二分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,引起所述分组网关过滤所述第二分组。
16.根据权利要求15所述的一种或更多种非暂时性计算机可读介质,其中所述至少一个策略概率数据结构是布隆过滤器或布谷过滤器。
17.根据权利要求15所述的一种或更多种非暂时性计算机可读介质,其中所述存储器还存储在由所述移动设备执行时使所述移动设备执行以下操作的指令:
在安装安全策略执行应用程序后,建立到与所述安全策略相关联的至少一个网络安全设备的网络隧道,
其中将所述第二分组向所述分组网关发送还包括通过所述网络隧道将所述第二分组向所述分组网关发送。
18.根据权利要求15所述的一种或更多种非暂时性计算机可读介质,其中引起所述分组网关过滤所述第二分组还包括引起对所述第二分组执行规则动作。
19.根据权利要求15所述的一种或更多种非暂时性计算机可读介质,其中所述存储器还存储在由所述移动设备执行时使所述移动设备执行以下操作的指令:
基于确定所述多个分组中的第三分组与所述至少一个策略概率数据结构相关联的至少一个分组匹配标准匹配,针对多个分组中的每个分组,针对与所述第三分组相关联的至少一个分组匹配标准,测试阻止规则概率数据结构;以及
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,阻止所述第三分组前进到其预期目的地。
20.根据权利要求19所述的一种或更多种非暂时性计算机可读介质,其中所述存储器还存储在由所述移动设备执行时使所述移动设备执行以下操作的指令:
基于确定所述多个分组中的所述第三分组与所述阻止规则概率数据结构相关联的至少一个分组匹配标准匹配,生成与所述第三分组相关联的日志;以及
向与所述安全策略相关联的至少一个网络安全设备发送与所述第三分组相关联的所述日志。
21.根据权利要求15所述的一种或更多种非暂时性计算机可读介质,还包括在由所述移动设备执行时使所述移动设备执行以下操作的指令:
接收包括至少一个新分组匹配标准的策略更新;以及
基于所述策略更新,更新所述至少一个策略概率数据结构。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16/502,565 | 2019-07-03 | ||
US16/502,565 US10715493B1 (en) | 2019-07-03 | 2019-07-03 | Methods and systems for efficient cyber protections of mobile devices |
PCT/US2020/037688 WO2021003014A1 (en) | 2019-07-03 | 2020-06-15 | Methods and systems for efficient cyber protections of mobile devices |
Publications (1)
Publication Number | Publication Date |
---|---|
CN114641968A true CN114641968A (zh) | 2022-06-17 |
Family
ID=71409552
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202080062012.0A Pending CN114641968A (zh) | 2019-07-03 | 2020-06-15 | 用于移动设备的有效网络保护的方法和系统 |
Country Status (6)
Country | Link |
---|---|
US (5) | US10715493B1 (zh) |
EP (1) | EP3984195A1 (zh) |
JP (2) | JP7393514B2 (zh) |
KR (1) | KR20220028102A (zh) |
CN (1) | CN114641968A (zh) |
WO (1) | WO2021003014A1 (zh) |
Families Citing this family (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US11582191B2 (en) | 2019-07-03 | 2023-02-14 | Centripetal Networks, Inc. | Cyber protections of remote networks via selective policy enforcement at a central network |
US11405321B2 (en) * | 2019-07-23 | 2022-08-02 | At&T Mobility Ii Llc | 5G filters for virtual network functions |
US20220086190A1 (en) * | 2020-09-16 | 2022-03-17 | Salesforce.Com, Inc. | Correlation of security policy input and output changes |
US11546368B2 (en) * | 2020-09-28 | 2023-01-03 | T-Mobile Usa, Inc. | Network security system including a multi-dimensional domain name system to protect against cybersecurity threats |
US11785038B2 (en) * | 2021-03-30 | 2023-10-10 | International Business Machines Corporation | Transfer learning platform for improved mobile enterprise security |
US11159546B1 (en) | 2021-04-20 | 2021-10-26 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
WO2022225951A1 (en) * | 2021-04-20 | 2022-10-27 | Centripetal Networks, Inc. | Methods and systems for efficient threat context-aware packet filtering for network protection |
JP2024516609A (ja) * | 2021-04-20 | 2024-04-16 | セントリペタル ネットワークス,エルエルシー | ネットワーク保護のための効率的な脅威コンテキスト認識パケットフィルタリングのための方法およびシステム |
US11503056B1 (en) * | 2021-08-09 | 2022-11-15 | Oversec, Uab | Providing a notification system in a virtual private network |
US11895090B2 (en) | 2021-10-22 | 2024-02-06 | AVAST Software s.r.o. | Privacy preserving malicious network activity detection and mitigation |
WO2023154122A1 (en) | 2022-02-10 | 2023-08-17 | Centripetal Networks, Inc. | Cyber protections of remote networks via selective policy enforcement at a central network |
US20240106861A1 (en) | 2022-09-27 | 2024-03-28 | Centripetal Networks, Llc | Identity-based application of domain filtering rules using domain name system (dns) platform |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101496025A (zh) * | 2005-12-13 | 2009-07-29 | 约吉安全系统公司 | 用于向移动设备提供网络安全的系统和方法 |
CN103891242A (zh) * | 2011-10-13 | 2014-06-25 | 迈可菲公司 | 用于移动环境中输出信息的基于简档的过滤的系统和方法 |
CN104798355A (zh) * | 2012-09-18 | 2015-07-22 | 思杰系统有限公司 | 移动设备管理和安全 |
CN105933279A (zh) * | 2015-03-01 | 2016-09-07 | 思科技术公司 | 用于企业无线呼叫的系统、方法、装置及机器可读介质 |
CN106383768A (zh) * | 2016-09-14 | 2017-02-08 | 江苏北弓智能科技有限公司 | 基于移动设备操作行为的监管分析系统及其方法 |
US20170126727A1 (en) * | 2015-11-03 | 2017-05-04 | Juniper Networks, Inc. | Integrated security system having threat visualization |
CN109361646A (zh) * | 2018-08-23 | 2019-02-19 | 广东电网有限责任公司信息中心 | 一种移动互联应用中的网络安全监测与感知方法 |
Family Cites Families (29)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7107612B1 (en) * | 1999-04-01 | 2006-09-12 | Juniper Networks, Inc. | Method, apparatus and computer program product for a network firewall |
US6880005B1 (en) * | 2000-03-31 | 2005-04-12 | Intel Corporation | Managing policy rules in a network |
US7444515B2 (en) | 2003-08-14 | 2008-10-28 | Washington University | Method and apparatus for detecting predefined signatures in packet payload using Bloom filters |
US9009818B2 (en) * | 2006-04-06 | 2015-04-14 | Pulse Secure, Llc | Malware detection system and method for compressed data on mobile platforms |
US7835348B2 (en) | 2006-12-30 | 2010-11-16 | Extreme Networks, Inc. | Method and apparatus for dynamic anomaly-based updates to traffic selection policies in a switch |
US20080232359A1 (en) * | 2007-03-23 | 2008-09-25 | Taeho Kim | Fast packet filtering algorithm |
JP2009048574A (ja) | 2007-08-22 | 2009-03-05 | Panasonic Corp | 通信端末装置、ファイアウォールシステム及びファイアウォール方法 |
JP2009182516A (ja) | 2008-01-29 | 2009-08-13 | Duaxes Corp | 不正侵入防止装置 |
US8578497B2 (en) | 2010-01-06 | 2013-11-05 | Damballa, Inc. | Method and system for detecting malware |
US20120300781A1 (en) | 2010-01-29 | 2012-11-29 | Telefonaktiebolaget L M Ericsson (Publ) | Packet Routing in a Network |
US20110276744A1 (en) * | 2010-05-05 | 2011-11-10 | Microsoft Corporation | Flash memory cache including for use with persistent key-value store |
US8510821B1 (en) | 2010-06-29 | 2013-08-13 | Amazon Technologies, Inc. | Tiered network flow analysis |
EP2599003B1 (en) * | 2010-07-26 | 2018-07-11 | Seven Networks, LLC | Mobile network traffic coordination across multiple applications |
US8630294B1 (en) * | 2011-05-11 | 2014-01-14 | Juniper Networks, Inc. | Dynamic bypass mechanism to alleviate bloom filter bank contention |
US9118702B2 (en) * | 2011-05-31 | 2015-08-25 | Bce Inc. | System and method for generating and refining cyber threat intelligence data |
US8949371B1 (en) * | 2011-09-29 | 2015-02-03 | Symantec Corporation | Time and space efficient method and system for detecting structured data in free text |
US20140109171A1 (en) * | 2012-10-15 | 2014-04-17 | Citrix Systems, Inc. | Providing Virtualized Private Network tunnels |
US20140157405A1 (en) | 2012-12-04 | 2014-06-05 | Bill Joll | Cyber Behavior Analysis and Detection Method, System and Architecture |
US9171153B2 (en) | 2013-05-17 | 2015-10-27 | Hewlett-Packard Development Company, L.P. | Bloom filter with memory element |
US9419942B1 (en) | 2013-06-05 | 2016-08-16 | Palo Alto Networks, Inc. | Destination domain extraction for secure protocols |
US9622176B2 (en) * | 2014-06-23 | 2017-04-11 | Qualcomm Incorporated | Packet filtering for saving power at a user equipment |
US9372994B1 (en) * | 2014-12-13 | 2016-06-21 | Security Scorecard, Inc. | Entity IP mapping |
WO2016171690A1 (en) | 2015-04-23 | 2016-10-27 | Hewlett Packard Enterprise Development Lp | Pre-filter rules for network infrastructure devices |
US10051001B1 (en) | 2015-07-31 | 2018-08-14 | Palo Alto Networks, Inc. | Efficient and secure user credential store for credentials enforcement using a firewall |
US11729144B2 (en) * | 2016-01-04 | 2023-08-15 | Centripetal Networks, Llc | Efficient packet capture for cyber threat analysis |
JP6258985B2 (ja) | 2016-02-03 | 2018-01-10 | 京セラ株式会社 | 通信装置、通信制御方法、及びプログラム |
US10200390B2 (en) * | 2016-02-29 | 2019-02-05 | Palo Alto Networks, Inc. | Automatically determining whether malware samples are similar |
US10348684B2 (en) | 2016-09-01 | 2019-07-09 | Hewlett Packard Enterprise Development Lp | Filtering of packets for packet types at network devices |
US10931561B2 (en) | 2017-04-24 | 2021-02-23 | Cisco Technology, Inc. | Dynamic split tunneling |
-
2019
- 2019-07-03 US US16/502,565 patent/US10715493B1/en active Active
-
2020
- 2020-06-10 US US16/897,942 patent/US10944721B2/en active Active
- 2020-06-15 EP EP20735785.6A patent/EP3984195A1/en active Pending
- 2020-06-15 KR KR1020227003708A patent/KR20220028102A/ko not_active Application Discontinuation
- 2020-06-15 WO PCT/US2020/037688 patent/WO2021003014A1/en unknown
- 2020-06-15 CN CN202080062012.0A patent/CN114641968A/zh active Pending
- 2020-06-15 JP JP2022500516A patent/JP7393514B2/ja active Active
-
2021
- 2021-03-08 US US17/194,886 patent/US11063909B1/en active Active
- 2021-07-09 US US17/371,487 patent/US11374905B2/en active Active
-
2022
- 2022-06-10 US US17/837,085 patent/US20220303245A1/en active Pending
-
2023
- 2023-11-24 JP JP2023199361A patent/JP2024020524A/ja active Pending
Patent Citations (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN101496025A (zh) * | 2005-12-13 | 2009-07-29 | 约吉安全系统公司 | 用于向移动设备提供网络安全的系统和方法 |
CN103891242A (zh) * | 2011-10-13 | 2014-06-25 | 迈可菲公司 | 用于移动环境中输出信息的基于简档的过滤的系统和方法 |
CN104798355A (zh) * | 2012-09-18 | 2015-07-22 | 思杰系统有限公司 | 移动设备管理和安全 |
CN105933279A (zh) * | 2015-03-01 | 2016-09-07 | 思科技术公司 | 用于企业无线呼叫的系统、方法、装置及机器可读介质 |
US20170126727A1 (en) * | 2015-11-03 | 2017-05-04 | Juniper Networks, Inc. | Integrated security system having threat visualization |
CN106941480A (zh) * | 2015-11-03 | 2017-07-11 | 丛林网络公司 | 具有威胁可视化和自动安全设备控制的集成安全系统 |
CN106953837A (zh) * | 2015-11-03 | 2017-07-14 | 丛林网络公司 | 具有威胁可视化的集成安全系统 |
CN106383768A (zh) * | 2016-09-14 | 2017-02-08 | 江苏北弓智能科技有限公司 | 基于移动设备操作行为的监管分析系统及其方法 |
CN109361646A (zh) * | 2018-08-23 | 2019-02-19 | 广东电网有限责任公司信息中心 | 一种移动互联应用中的网络安全监测与感知方法 |
Non-Patent Citations (1)
Title |
---|
MENGHAO ZHANG: "Tripod: Towards a Scalable, Efficient and Resilient Cloud Gateway", 《IEEE JOURNAL ON SELECTED AREAS IN COMMUNICATIONS》 * |
Also Published As
Publication number | Publication date |
---|---|
US20210336929A1 (en) | 2021-10-28 |
US10715493B1 (en) | 2020-07-14 |
JP7393514B2 (ja) | 2023-12-06 |
JP2022540577A (ja) | 2022-09-16 |
EP3984195A1 (en) | 2022-04-20 |
US20220303245A1 (en) | 2022-09-22 |
JP2024020524A (ja) | 2024-02-14 |
US11063909B1 (en) | 2021-07-13 |
US20210006541A1 (en) | 2021-01-07 |
US20210211409A1 (en) | 2021-07-08 |
US11374905B2 (en) | 2022-06-28 |
US10944721B2 (en) | 2021-03-09 |
KR20220028102A (ko) | 2022-03-08 |
WO2021003014A1 (en) | 2021-01-07 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11063909B1 (en) | Methods and systems for efficient cyber protections of mobile devices | |
US11201881B2 (en) | Behavioral profiling of service access using intent to access in discovery protocols | |
US10135841B2 (en) | Integrated security system having threat visualization and automated security device control | |
US11025588B2 (en) | Identify assets of interest in enterprise using popularity as measure of importance | |
US11297077B2 (en) | Gain customer trust with early engagement through visualization and data driven configuration | |
US20200137021A1 (en) | Using intent to access in discovery protocols in a network for analytics | |
US20200137115A1 (en) | Smart and selective mirroring to enable seamless data collection for analytics | |
US11290424B2 (en) | Methods and systems for efficient network protection | |
US10505959B1 (en) | System and method directed to behavioral profiling services | |
US11516257B2 (en) | Device discovery for cloud-based network security gateways | |
US9654445B2 (en) | Network traffic filtering and routing for threat analysis | |
CN116389003A (zh) | 用于证书过滤的方法和系统 | |
US11799832B2 (en) | Cyber protections of remote networks via selective policy enforcement at a central network | |
US10735453B2 (en) | Network traffic filtering and routing for threat analysis | |
EP3166281B1 (en) | Integrated security system having threat visualization | |
EP3166280B1 (en) | Integrated security system having threat visualization and automated security device control | |
WO2023154122A1 (en) | Cyber protections of remote networks via selective policy enforcement at a central network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
CB02 | Change of applicant information |
Address after: New Hampshire Applicant after: Xiangxin Network Co.,Ltd. Address before: New Hampshire Applicant before: Centripetal network Co. |
|
CB02 | Change of applicant information | ||
TA01 | Transfer of patent application right |
Effective date of registration: 20230410 Address after: Ireland Galway Applicant after: Xiangxin Co.,Ltd. Address before: New Hampshire Applicant before: Xiangxin Network Co.,Ltd. |
|
TA01 | Transfer of patent application right |