CN116458120A - 保护网络资源免受已知威胁 - Google Patents

保护网络资源免受已知威胁 Download PDF

Info

Publication number
CN116458120A
CN116458120A CN202180072628.0A CN202180072628A CN116458120A CN 116458120 A CN116458120 A CN 116458120A CN 202180072628 A CN202180072628 A CN 202180072628A CN 116458120 A CN116458120 A CN 116458120A
Authority
CN
China
Prior art keywords
network
compromised
data
threat
endpoint
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202180072628.0A
Other languages
English (en)
Inventor
苏伯瑞斯·霍苏尔·纳格什·拉奥
纳温德拉·亚达夫
塔潘·什里克里希纳·帕特瓦德汉
乌马马赫斯瓦兰·阿鲁姆加姆
达尔山·施里纳特·普兰达尔
爱叶莎·马
张宏阳
朱凯
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Cisco Technology Inc
Original Assignee
Cisco Technology Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Cisco Technology Inc filed Critical Cisco Technology Inc
Publication of CN116458120A publication Critical patent/CN116458120A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/101Access control lists [ACL]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/146Tracing the source of attacks

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本公开涉及通过标识与网络通信的受损元件并且阻止其访问网络资源来保护网络的工作负荷。在一个方面,一种方法包括:在网络的网络元件处监视网络流量;检测与网络元件中的一个或多个网络元件通信的受损元件,该受损元件与至少一个网络威胁相关联;以及基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于受损元件以阻止受损元件访问该网络。

Description

保护网络资源免受已知威胁
相关申请的交叉引用
本申请要求2020年8月26日提交的、申请号为17/003,364的美国非临时专利申请的权益和优先权,本申请的全部公开内容在此通过引用被明确地完整并入。
技术领域
本公开的主题总体涉及计算机网络领域,并且更具体地,涉及通过标识与网络通信的受损元件并且阻止其访问网络资源来保护网络的工作负荷。
背景技术
随着企业网络及其适用性的扩展,在这种企业网络上可用的应用和工作负荷可以由各种设备访问。为了确保应用和工作负荷的安全性,企业必须制定和实施控制网络工作负荷的可访问性的策略。然而,考虑到设备暴露于未授权的和恶意的外部资源,企业通常缺乏允许其实施用于访问具体应用的粒度策略的信息。
附图说明
为了描述本公开的上述和其他优点和特征可以获得的方式,将通过参考在附图中示出的具体实施例来呈现对上文简要描述的原理的更具体的描述。应当理解,这些附图仅描绘了本公开的实施例并且因此不应被认为是对其范围的限制,通过使用附图更具体和详细地描述和解释本文的原理,在附图中:
图1示出了根据本公开的一个方面的网络流量监视系统的示例;
图2示出了根据本公开的一个方面的网络环境的示例;
图3示出了根据本公开的一个方面的基于所收集的网络信息生成网络洞察(network insight)的数据流水线的示例;
图4示出了根据本公开的一个方面的设置的简化版本,在该设置中,图2的网络环境的元件与潜在网络威胁通信;
图5示出了根据本公开的一个方面的设置的另一简化版本,在该设置中,图2的网络环境的元件与潜在恶意主机通信;
图6描述了根据本公开的一个方面的过程,该过程用于处理已知网络威胁的列表并且将其提取到网络传感器以供检测受损的工作负荷和端点;
图7是根据本公开的一个方面的网络监视过程的示例,该网络监视过程用于阻止来自恶意源的网络访问;以及
图8示出了根据本公开的一个方面的示例计算系统。
具体实施方式
下面详细讨论本公开的各种实施例。尽管讨论了具体的实现方式,但是,应当理解,仅出于示例性目的而这样做。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。因此,以下描述和附图是说明性的并且不应被理解为是限制性的。为了提供对本公开的全面理解,描述了许多具体细节。然而,在某些实例中,没有描述众所周知的或传统的细节以避免混淆描述。本公开中对一个实施例或一实施例的引用,可以是对同一实施例或任一实施例的引用;并且,这样的引用意味着至少一个实施例。
对“一个实施例”或“实施例”的引用表示关于该实施例描述的特定特征、结构或特性包括在本公开的至少一个实施例中。在说明书中的各个地方出现的短语“在一个实施例中”不一定都指同一实施例,也不定是与其他实施例相互排斥的单独或替代实施例。此外,描述了可以由一些实施例呈现而不由其他实施例呈现的各种特征。
在本说明书中使用的术语在本领域、在本公开的上下文以及在使用每个术语的具体上下文中一般具有它们的普通含义。替代语言和同义词可以用于本文讨论的任何一个或多个术语,并且不应对术语是否在本文中详细阐述或讨论赋予特殊意义。在一些情况下,提供了针对某些术语的同义词。对一个或多个同义词的叙述不排除对其他同义词的使用。本说明书中任何地方的示例的使用,包括本文讨论的任何术语的示例,仅是说明性的,并不旨在进一步限制本公开或任何示例术语的范围和含义。同样,本公开不限于本说明书中给出的各种实施例。
下面给出了根据本公开实施例的仪器、装置、方法及其相关结果的示例,而不限制本公开的范围。注意,为了方便读者,示例中可以使用标题或副标题,这绝不应限制本公开的范围。除非另有定义,否则本文使用的技术和科学术语具有本公开所属领域的普通技术人员通常理解的含义。在发生冲突的情况下,以本文件(包括定义)为准。
本公开的附加特征和优点将在随后的描述中阐述,并且部分地从描述中显而易见,或者可以通过实践本文公开的原理而获知。本公开的特征和优点可以通过所附权利要求中特别指出的仪器和组合来实现和获得。本公开的这些和其他特征将通过以下描述和所附权利要求变得更加明显,或者可以通过实践本文阐述的原理而获知。
概述
在独立权利要求中阐述了本发明的各方面,并且在从属权利要求中阐述了优选特征。一个方面的特征可以单独地或与其他方面结合地应用于任何方面。
本文公开了用于通过标识与网络通信的受损元件并且阻止其访问网络资源来保护网络的工作负荷的方法、系统和非暂态计算机可读介质。更具体地,公开了用于基于检测到的与(一个或多个)受损元件有关的潜在威胁的性质将动态访问阻止方案应用于与网络内的资源通信的(一个或多个)受损元件的方法、系统和非暂态计算机可读介质。
在一个方面,一种方法包括:监视网络的网络元件处的网络流量;检测与网络元件中的一个或多个网络元件通信的受损元件,该受损元件与至少一个网络威胁相关联;以及基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于受损元件以阻止受损元件访问该网络。
在另一方面,检测受损元件包括:在针对网络元件中的至少一个网络元件而监视的对应网络流量中标识至少一个网络威胁;以及将至少一个网络元件标记为受损元件。
在另一方面,标识至少一个网络威胁包括:接收已知网络威胁的列表;生成用于标识已知网络威胁的标签;以及使用该标签来标识至少一个网络威胁。
在另一方面,多个不同的访问阻止方案包括:阻挡受损元件访问网络元件中的至少一个网络元件;或将受损元件隔离一段时间,其中,该隔离阻止去往和来自受损元件的任何通信。
在另一方面,多个不同的访问阻止方案中的一个访问阻止方案包括:阻挡受损元件访问网络元件中的一个或多个网络元件上的第一工作负荷,但是允许受损元件访问网络元件中的一个或多个网络元件上的第二工作负荷。
在另一方面,网络威胁是已知网络IP地址或恶意软件类别中的一者。
在另一方面,受损元件是向网络注册的端点,该端点已访问具有至少一个网络威胁的外部源。
在一个方面,网络元件包括一个或多个存储器和一个或多个处理器,一个或多个存储器中存储有计算机可读指令。一个或多个处理器被配置为执行计算机可读指令以:监视网络的网络元件处的网络流量;检测与网络元件中的一个或多个网络元件通信的受损元件,受损元件与至少一个网络威胁相关联;以及基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于受损元件以阻止受损元件访问该网络。
在一个方面,一个或多个非暂态计算机可读介质包括计算机可读指令,计算机可读指令在由一个或多个处理器执行时使一个或多个处理器:在网络的网络元件处监视网络流量;检测与网络元件中的一个或多个网络元件通信的受损元件,受损元件与至少一个网络威胁相关联;以及基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于受损元件以阻止受损元件访问该网络。
描述
下面详细讨论本公开的各种实施例。尽管讨论了具体的实现方式,但是,应当理解,仅出于示例性目的而这样做。相关领域的技术人员将认识到,在不脱离本公开的精神和范围的情况下可以使用其他组件和配置。
所公开的技术解决了本领域中通过检测受损工作负荷和端点(受损元件)并且阻止网络资源对去往或来自受损元件的部分或全部访问来确保网络安全的需要。如下面将描述的并且根据检测到的与受损元件有关的威胁的性质,不同的访问阻止方案可以被应用,其中,受损元件可被部分地阻挡访问(一个或多个)特定节点、网络中的(一个或多个)特定工作负荷,或通过隔离被完全地阻挡。受损元件的检测可以基于使用已知威胁(例如,已知网络威胁联盟(CTA)威胁)列表对威胁的标识,该已知威胁列表标识恶意源、威胁的恶意类别、恶意统一资源定位符(URL)、恶意IP。这样的列表可以被分布到被部署在网络节点上的代理,这些代理被配置为监视网络流量并且检测威胁。
以下将在本公开中更详细地描述本技术。本公开开始于对系统和技术的初始讨论,这些系统和技术用于监视图1至图3的网络环境中的网络活动。将继续讨论网络元件在其中可能被暴露于网络威胁(图4和图5)的设置示例,后续过程讨论用于建立标识网络威胁并且当威胁被标识时实现动态访问阻止方案的过程(图6和图7)。该讨论将以系统和设备的配置和架构的示例结束,系统和设备的这些配置和架构可以在本公开的上下文中用作图1至图5的系统的各种元件。
被部署在网络中的传感器可以用于收集与在网络中操作的节点的网络流量相关的网络信息,并且处理在网络中运行的节点和应用的信息。所收集的网络信息可以被分析以提供对网络中节点的操作的洞察,或以其他方式被称为分析。特别地,可以使用网络流量数据为网络确定所发现的应用或清单、应用相关性、策略、效率、资源和带宽使用以及网络流动。例如,分析引擎可以被配置为自动发现在网络中运行的应用、映射应用的内部相关性、或生成用于实现的建议的网络策略集。
分析引擎可以使用针对流量提供多个角度的传感器网络来监视网络信息、过程信息和通过网络的流量的其它相关信息。传感器网络可以包括用于联网设备(例如,路由器、交换机、网络器具)、实体服务器、管理程序或共享内核、以及虚拟分区(例如,VM或容器)和其它网络元件的传感器。分析引擎可以分析网络信息、过程信息和其它相关信息以确定各种网络洞察。
图1示出了根据本公开的一个方面的网络流量监视系统的示例。
网络流量监视系统100可以包括配置管理器102、传感器104、收集器模块106、数据移动器模块108、分析引擎110和呈现模块112。在图1中,还示出了分析引擎110与带外数据源114、第三方数据源116和网络控制器118通信。
配置管理器102可以用于提供和维护传感器104,包括在网络的各个节点中安装传感器软件或固件、配置传感器104、更新传感器软件或固件、以及其它传感器管理任务。例如,传感器104可以被实现为虚拟分区图像(例如,虚拟机(VM)图像或容器图像),并且配置管理器102可以将该图像分布到主机。一般而言,虚拟分区可以是VM、容器、沙箱的实例或其它被隔离的软件环境。软件环境可以包括操作系统和应用软件。对于在虚拟分区中运行的软件,虚拟分区可以表现为例如许多服务器中的一个服务器或在单个实体服务器上执行的许多操作系统中的一个操作系统。配置管理器102可实例化新的虚拟分区或将现有分区迁移到不同的实体服务器。配置管理器102还可用于配置新的或被迁移的传感器。
配置管理器102可以监视传感器104的健康。例如,配置管理器102可以请求状态更新和/或接收心跳消息、发起性能测试、生成运行状况检查,以及执行其它运行状况监视任务。在一些实施例中,配置管理器102还可以认证传感器104。例如,可以例如通过使用传感器的基本输入/输出系统(BIOS)通用唯一标识符(UUID)和由配置图像管理器102存储的密钥的单向哈希函数来向传感器104分配唯一标识符。UUID可以是恶意传感器或其它设备或组件难以猜测的多位数。在一些实施例中,配置管理器102可以通过安装最新版本的传感器软件和/或通过应用补丁程序来给传感器104提供全部最新的消息。配置管理器102可以从本地源或互联网自动获得这些更新。
传感器104可以驻留在网络的各个节点上,例如,虚拟分区(例如,VM或容器)120,管理一个或多个虚拟分区的管理程序或共享内核,和/或实体服务器122,交换机、路由器、网关或其它联网设备的专用集成电路(ASIC)124,或分组捕获(pcap)126器具(例如,独立的分组监视器、连接到网络设备监视端口的设备、沿着数据中心的脊串联连接的设备、或类似的设备),或网络的其它元件。传感器104可以监视节点之间的网络流量,并且将网络流量数据和对应的数据(例如,主机数据、过程数据、用户数据等)发送到收集器106以供存储。例如,传感器104可以监听通过其主机的实体或虚拟网络接口卡(NIC)发送的分组,或各个过程可以被配置为将网络流量和对应的数据报告到传感器104。将传感器104并入到网络的多个节点上以及一些节点的多个分区内可以提供对来自数据传输的每个跳跃的网络流量和对应数据的鲁棒捕获。在一些实施例中,网络的每个节点(例如,VM、容器或其它虚拟分区120、管理程序、共享内核或实体服务器122、ASIC 124、pcap 126等)包括相应的传感器104。然而,应当理解,各种软件和硬件配置可以用于实现传感器网络104。
当传感器104捕获通信和对应的数据时,它们可以将网络流量数据连续地发送到收集器106。网络流量数据可以包括与分组、分组集合、流动、双向流动、流动组、会话或另一粒度的网络通信相关的元数据。即,网络流量数据一般可以包括任何信息,该信息描述开放系统互连(OSI)模型的所有层上的通信。例如,网络流量数据可以包括源/目的地MAC地址、源/目的地IP地址、协议、端口号等。在一些实施例中,网络流量数据还可以包括网络活动或其它网络统计的概要,例如,分组数量、字节数量、流动数量、带宽使用、响应时间、时延、分组丢失、抖动、以及其它网络统计。
传感器104还可以针对每个会话、双向流动、流动、分组或其它更大粒度或更小粒度的网络通信确定附加数据。附加数据可以包括主机和/或端点信息、虚拟分区信息、传感器信息、过程信息、用户信息、租户信息、应用信息、网络拓扑、应用相关性映射、集群信息或与每个流动对应的其它信息。
在一些实施例中,传感器104可以在将数据发送到收集器106之前执行对网络流量和相应数据的一些预处理。例如,传感器104可以移除无关的或重复的数据,或它们可以创建数据概要(例如,时延、每个流动的分组数量、每个流动的字节数量、流动数量等)。在一些实施例中,传感器104可以被配置为仅捕获某些类型的网络信息而忽略其余信息。在一些实施例中,传感器104可以被配置为仅捕获分组的代表性样本(例如,每第1000个分组或其他适当的采样率)和对应的数据。
因为传感器104可以位于整个网络中,所以可以从网络中的多个有利点或多个角度收集网络流量和对应的数据,以提供网络行为的较全面的视图。从多个角度而不是仅在位于数据路径中或与数据路径中的组件通信的单个传感器处捕获网络流量和对应的数据,允许来自各个数据源的数据相互关联,其可以由分析引擎110用作附加数据点。此外,从多个视点收集网络流量和对应的数据确保捕获较精确的数据。例如,其它类型的传感器网络可以限于在面向外部的网络设备(例如,路由器、交换机、网络器具等)上运行的传感器,使得东西流量(包括同一主机上的VM到VM或容器到容器的流量)可能不被监视。此外,在穿越网络设备之前被丢弃的分组或包含错误的分组可能不被其它类型的传感器网络精确地监视。各种实施例的传感器网络104通过将传感器设置在多个潜在故障点处来基本上减轻或消除这些问题。此外,网络流量监视系统100可以对流量数据的多个实例(例如,源端点流动数据、网络设备流动数据和端点流动数据)进行相互验证。
在一些实施例中,网络流量监视系统100可以评估来自多个传感器的流动数据集的精确度,并且利用来自单个传感器的被确定为最精确和/或最完整的流动数据集。精确度可以基于诸如网络拓扑(例如,离源较近的传感器可能比离目的地较近的传感器更精确)、传感器或容纳传感器的节点的状态(例如,未受损的传感器/节点可能比受损的传感器/节点具有更精确的流动数据)、或流动数据量(例如,捕获流动分组数量更多的传感器可能比捕获流动分组数量更少的的传感器更精确)之类的因素。
在一些实施例中,网络流量监视系统100可以组合来自多个传感器的最精确的流动数据集和对应的数据。例如,沿着数据路径的第一传感器可能捕获第一分组的流动数据,但是可能丢失第二分组的流动数据,但是对于沿着数据路径的第二传感器情况则相反。网络流量监控系统100可以组合来自由第一传感器捕获的第一分组和由第二传感器捕获的第二分组分的流动数据。
如所讨论的,传感器104可以将网络流量和对应的数据发送到收集器106。在一些实施例中,作为高度可用性方案的一部分,每个传感器可以被分配到主收集器和辅收集器。如果主收集器发生故障或传感器和主收集器之间以其他方式不能进行通信,则传感器可以将其网络流量和对应的数据发送到辅收集器。在其他实施例中,传感器104没有被分配具体的收集器,但是网络流量监视系统100可以通过发现过程确定用于接收网络流量和相应数据的最佳收集器。在这样的实施例中,如果传感器的环境改变,例如如果默认收集器发生故障,或如果传感器被迁移到新的位置,并且传感器将其数据发送到不同的收集器,则传感器可以改变其发送网络流量和相应数据的位置。例如,可能优选的是,传感器基于时延、最短路径、货币成本(例如,使用私有资源VS使用由公共云提供商提供的公共资源)、错误率或这些因素的某种组合将其网络流量和对应的数据发送到特定路径上和/或特定收集器。在其它实施例中,传感器可以将不同类型的网络流量和对应的数据发送到不同的收集器。例如,传感器可以将与一种类型的过程相关的第一网络流量和对应的数据发送到一个收集器,并且将与另一种类型的过程相关的第二网络流量和对应的数据发送到另一收集器。
收集器106可以是任何类型的存储介质,该存储介质可以充当由传感器104捕获的网络流量和对应数据的储存库。在一些实施例中,收集器106的数据存储装置位于存储器内的数据库中,例如,的dashDB,但是应当理解,收集器106的数据存储装置可以是能够提供通常用于分析软件的快速随机访问速度的任何软件和/或硬件。在各种实施例中,收集器106可以根据成本、响应性以及尺寸要求利用固态驱动器、磁盘驱动器、磁带驱动器或前述项的组合。此外,收集器106可以利用各种数据库结构,例如,归一化的关系数据库或NoSQL数据库等。
在一些实施例中,收集器106仅可以充当网络流量监视系统100的网络存储装置。在这样的实施例中,网络流量监视系统100可以包括数据移动器模块108,数据移动器模块108用于从收集器106检索数据并且使数据对网络客户端(例如,分析引擎110的组件)可用。实际上,数据移动器模块108可以充当将网络附接存储装置呈现给网络客户端的网关。在其它实施例中,收集器106可以执行附加功能,例如,组织、总结和预处理数据。例如,收集器106可以将某些尺寸或类型的分组从网络的不同节点传输的频率制成表格。收集器106还可以表征去往和来自各个节点的流量流动。在一些实施例中,收集器106可以基于序列号来匹配分组,从而标识流量流动和连接链路。因为在某些情况下无限期地保留所有数据可能是低效的,所以在一些实施例中,收集器106可以用合并的概要周期性地代替详细的网络流量数据。以这种方式,收集器106可以保留描述一个时段(例如,过去的分钟或适当的时间段)的完整数据集,以及另一段时间(例如,先前的2至10分钟或其他适当的一段时间)的较小数据集,并且逐步合并其他时间段(例如,日、周、月、年等)的网络流量和对应的数据。在一些实施例中,被标识为正常或常规的流动集的网络流量和对应的数据可以在较早的一段时间被选取,而较完整的数据集可以针对被标识为异常或攻击的另一流动集被保留较长的一段时间。
计算机网络可能受到各种不同的攻击,这些攻击暴露了计算机系统的弱点,以便破坏它们的安全性。一些网络流量可能与恶意程序或设备相关联。分析引擎110可以提供与攻击对应的网络状态和与正常操作对应的网络状态的示例。然后分析引擎110可以分析网络流量和对应的数据以识别网络何时受到攻击。在一些实施例中,网络可以在可信的环境中操作一段时间,使得分析引擎110可以确定正常操作的基线。因为恶意软件不断地进化和改变,所以机器学习可用于动态地更新用于标识恶意流量模式的模型。
在一些实施例中,分析引擎110可以用于标识与数据集中的其他示例不同的观察结果。例如,如果存在具有已知剔除值标记的示例数据的训练集,则可以使用监督异常检测技术。监督异常检测技术利用已被标记为正常和异常的数据集并且训练分类器。在不知道训练数据中的示例是否是剔除值的情况下,可以使用无监督异常技术。通过寻找看起来适合于数据集的其余部分的实例,在假设数据集中的大多数实例是正常的情况下,可以使用无监督异常检测技术来检测未被标记的测试数据集中的异常。
分析引擎110可以包括数据湖130、应用相关性映射(ADM)模块140和弹性处理引擎150。数据湖130是大规模储存库,该储存库针对各种类型的数据、巨大的处理功率、以及处理几乎无限的并发任务或作业的能力提供大容量存储装置。在一些实施例中,使用来自马里兰州Software Foundation of Forest Hill的/>Distributed FileSystem(HDFSTM)来实现数据湖130。HDFSTM是高度可扩展的分布式文件系统,该系统可以扩展到数千个集群节点、数百万个文件和十亿字节的数据。HDFSTM被优化用于批处理,其中,数据位置被暴露以允许在数据驻留的地方进行计算。HDFSTM针对整个集群提供单个命名空间,以允许一次写入多次读取访问模型中的数据一致性。即,客户端只能附加到节点中的现有文件。在HDFSTM中,文件被分成块,通常大小为64MB,并且在多个数据节点中被复制。客户端直接从数据节点访问数据。
在一些实施例中,数据移动器108从收集器106接收原始网络流量和对应的数据,并且将数据分布或推送到数据湖130。数据湖130还可以接收和存储带外数据114(例如,功率水平的状态、网络可用性、服务器性能、气温条件、笼门位置、以及来自内部源的其它数据)、以及第三方数据116(例如,安全报告(例如,(由San Jose,California的Systems,Inc.、Burlington,Massachusetts的Arbor/>Sunnyvale,California的/>Corp.、Abingdon,England的/>Group plc、Seattle,Washington的Corp.、New York,New York的/>Communications,Inc.等提供))、地理位置数据、IP监视列表、Whois数据、作为服务的配置管理数据库(CMDB)或配置管理体系(CMS)、以及来自外部源的其它数据。相反,在其他实施例中,数据湖130可以从收集器106提取或获取原始流量和对应的数据,并且从带外数据源114和第三方数据源116提取或获取相关数据。在其它实施例中,收集器106、数据移动器108、带外数据源114、第三方数据源116和数据湖130的功能可以被组合。如本领域普通技术人员所知,各种组合和配置是可能的。
数据湖130的每个组件可以对原始网络流量数据和/或其它数据(例如,主机数据、过程数据、用户数据、带外数据或第三方数据)执行某个处理,以将原始数据转换为可由弹性处理引擎150使用的形式。在一些实施例中,数据湖130可以包括流动属性132、主机和/或端点属性134、过程属性136和策略属性138的储存库。在一些实施例中,数据湖130还可以包括VM或容器属性、应用属性、租户属性、网络拓扑、应用相关性映射、集群属性等的储存库。
流动属性132与关于穿越网络的流动的信息有关。流动一般是共享某些属性的一个或多个分组,该一个或多个分组在指定的一段时间内在网络内被发送。流动属性132可以包括分组报头字段(例如,源地址(例如,互联网协议(IP)地址、介质访问控制(MAC)地址、域名系统(DNS)名称或其它网络地址))、源端口、目的地地址、目的地端口、协议类型、服务类别、以及其他字段。源地址可以与网络的第一端点(例如,网络设备、实体服务器、虚拟分区等)对应,而目的地地址可以与第二端点、多播组或广播域对应。流动属性132还可以包括聚合分组数据,例如,流动开始时间、流动结束时间、流动的分组数量、流动的字节数量、流动的TCP标志的并集、以及其它流动数据。
主机和/或端点属性134描述每个流动的主机和/或端点数据,并且可以包括主机和/或端点名称、网络地址、操作系统、CPU使用、网络使用、磁盘空间、端口、被记录的用户、被调度的作业、开放文件、以及关于被存储在主机和/或端点上的文件和/或目录的信息(例如,关于日志文件、配置文件、设备专用文件或受保护电子信息的存在、不存在或修改的信息)。如所讨论的,在一些实施例中,主机和/或端点属性134还可以包括关于主机的带外数据114(例如,功率水平、温度和物理位置(例如,房间、行、机架、笼门位置等))或第三方数据116(例如,主机和/或端点是否在IP监视列表上或以其他方式与安全威胁、Whois数据或地理坐标相关联)。在一些实施例中,带外数据114和第三方数据116可以通过过程、用户、流动或其它更大粒度或更小粒度的网络元件或网络通信相关联。
进程属性136与每个流动对应的进程数据有关,并且可以包括过程名称(例如,bash、httpd、netstat等)、ID、父进程ID、路径(例如,/usr2/username/bin/、/usr/local/bin、/usr/bin等)、CPU利用率、存储器利用率、存储器地址、调度信息、合适的值、标志、优先级、状态、开始时间、终端类型、进程占用的CPU时间、开始进程的命令、以及关于进程所有者的信息(例如,用户名、ID、用户的实名、电子邮件地址、用户组、终端信息、登录时间、登录的截止日期、空闲时间、以及关于用户的文件和/或目录的信息)。
策略属性138包含与网络策略相关的信息。策略确定特定的流动是否被网络以及特定的路由允许或拒绝,其中,分组通过该特定的路由穿越网络。策略还可用于标记分组,使得某些类型的流量在与诸如基于优先级、公平性、加权公平性、令牌桶、随机早期检测、循环等之类的排队技术结合使用时接收差异化的服务。策略属性138可以包括策略统计,例如,策略被实施的次数或策略未被实施的次数。策略属性138还可以包括与网络流量数据的关联。例如,可以用对应的策略来链接或标记被发现为不一致的流动,以帮助调查不一致性。
分析引擎110可以包括任意数量的引擎150,包括例如用于标识流动的流动引擎152(例如,流动引擎152)或用于标识对网络的攻击的攻击引擎154。在一些实施例中,分析引擎可以包括单独的分布式拒绝服务(DDoS)攻击引擎155,该攻击引擎155用于专门检测DDoS攻击。在其他实施例中,DDoS攻击引擎可以是通用攻击引擎的组件或子引擎。在一些实施例中,攻击引擎154和/或DDoS引擎155可以使用机器学习技术来标识对网络的安全威胁。例如,攻击引擎154和/或DDoS引擎155可以被提供与攻击对应的网络状态和与正常操作对应的网络状态的示例。然后攻击引擎154和/或DDoS引擎155可以分析网络流量数据以识别网络何时受到攻击。在一些实施例中,网络可以在可信的环境内操作一段时间,以针对攻击引擎154和/或DDoS确立正常网络操作的基线。
分析引擎110还可以包括搜索引擎156。搜索引擎156可以被配置为例如执行结构化搜索、NLP(自然语言处理)搜索或视觉搜索。数据可以从一个或多个处理组件被提供到引擎。
分析引擎110还可以包括管理网络策略的策略引擎158,网络策略包括创建和/或导入策略、监视策略一致性和不一致性、实施策略、模拟对策略或影响策略的网络元件的改变、以及其他与策略相关的任务。
ADM模块140可以确定网络的应用相关性。即,特定的流量模式可以与应用对应,并且应用的互连性或相关性可以被映射以生成应用的图示(即,应用相关性映射)。在此上下文中,应用引用针对给定的工作负荷集提供连通性的一组联网组件。例如,在web应用的三层架构中,web层的第一端点、应用层的第二端点和数据层的第三端点组成web应用。ADM模块140可从数据湖130的各个储存库接收输入数据(例如,流动属性132、主机和/或端点属性134、进程属性136等)。ADM模块140可以分析输入数据以确定存在与超文本传输协议(HTTP)请求和响应相对应的、在第一端点的端口80上的外部端点之间流动的第一流量。输入数据还可以指示与应用服务器请求和响应相对应的、在第一端点的第一端口和第二端点的第二端口之间的第二流量,以及指示与数据库请求和响应相在对应的、在第二端点的第三端口和第三端点的第四端口之间流动的第三流量。ADM模块140可以将web应用的ADM定义为三层应用,该三层应用包括第一EPG(其包括第一端点)、第二EPG(其包括第二端点)、以及第三EPG(其包括第三端点)。
呈现模块112可以包括应用编程接口(API)或命令行接口(CLI)160、安全信息和事件管理(SIEM)接口162和web前端164。当分析引擎110处理网络流量和对应的数据并且生成分析数据时,分析数据可能不是人类可读的形式,或其可能太大以至于用户无法理解。呈现模块112可以获取由分析引擎110生成的分析数据,并且进一步概括、过滤和组织分析数据以及针对分析数据创建直观呈现。
在一些实施例中,可以使用用于后端的来自的/>Hive和来自Redwood Shores,California的/>CorporationOracle的/>DatabaseConnectivity(JDBC)作为API层来实现API或CLI 160。Hive是提供数据概括和自组织查询的数据仓库基础设施。Hive提供一种使用结构化查询语言(SQL)的变体来查询数据的机制,该变体被称为HiveQL。JDBC是编程语言/>的应用编程接口(API),其定义了客户端可以如何访问数据库。
在一些实施例中,可以使用用于后端的Kafka和由San Francisco,California的Inc.提供的软件作为SIEM平台来实现SIEM接口162。Kafka是被划分和复制的分布式消息传递系统。Kafka使用主题(topic)的概念。主题是具体类别的消息的馈送。在一些实施例中,Kafka可以将来自数据移动器108的原始分组捕获和遥测信息作为输入,并且将消息输出到SIEM平台(例如,/>)。该/>平台用于搜索、监视和分析机器生成的数据。
在一些实施例中,可以将由纽约的New York公司、以及来自的用于后端的/>ElasticSearch(弹性搜索)、以及Ruby on RailsTM提供的软件用作web应用框架来实现web前端164。/>是面向文档的NoSQL数据库,该数据库基于具有动态概要的以/>Object Notation(JSON)形式的文档。弹性搜索是一种可扩展的实时搜索和分析引擎,其提供基于JSON的域专用语言(DSL)全查询。Rubyon RailsTM是模型视图控制器(MVC)框架,其针对数据库、web服务和网页提供默认结构。Ruby on RailsTM依赖于web标准,例如,用于数据传输的JSON或可扩展标记语言(XML)、以及用于显示和用户界面的超文本标记语言(HTML)、级联样式表(CSS)和/>
虽然图1示出了网络流量监视系统的各个组件的示例配置,但是本领域技术人员将理解,网络流量监视系统100或本文描述的任何系统的组件可以以多种不同的方式被配置,并且可以包括任何其他类型和数量的组件。例如,传感器104、收集器106、数据移动器108和数据湖130可以属于一个硬件和/或软件模块或多个单独的模块。其它模块也可以被组合成更少的组件和/或进一步分成更多的组件。
图2示出了根据本公开的一个方面的网络环境的示例。
在一些实施例中,诸如图1的网络流量监视系统100之类的网络流量监视系统可以被实现在网络环境200中。应当理解,对于网络环境200和本文讨论的任何环境,在类似配置或替代配置中可以存在附加的或更少的节点、设备、链路、网络或组件。本文还考虑这样的实施例:这些实施例具有不同数量和/或类型的客户端、网络、节点、云组件、服务器、软件组件、设备、虚拟或实体资源、配置、拓扑、服务、器具(appliance)、部署、或网络设备。此外,网络环境200可以包括可以由客户端或租户访问和利用的任何数量或类型的资源。为了清楚和简单起见,本文提供了图示和示例。
网络环境200可以包括网络组织结构202、层2(L2)网络204、层3(L3)网络206以及服务器208a、服务器208b、服务器208c、服务器208d和服务器208e(统称为服务器208)。网络组织结构202可以包括脊交换机210a、脊交换机210b、脊交换机210c和脊交换机210d(统称为“脊交换机210”)以及叶交换机212a、叶交换机212b、叶交换机212c、叶交换机212d和叶交换机212e(统称为“叶交换机212”)。脊交换机210可以连接到网络组织结构202中的叶交换机212。叶交换机212可以包括访问端口(或非组织结构端口)和组织结构端口。组织结构端口可以提供到脊交换机210的上行链路,而访问端口可以提供到端点(例如,服务器208)、内部网络(例如,L2网络204)或外部网络(例如,L3网络206)的连通性。
叶交换机212可以驻留在网络组织结构202的边缘处,并且因此可以表示实体网络边缘。例如,在一些实施例中,叶交换机212d和叶交换机212e作为与位于外部网络206中的边缘设备214通信的边界叶交换机来操作。边界叶交换机212d和边界叶交换机212e可以用于将任何类型的外部网络设备、服务(例如,防火墙、深度分组检查器、流量监视器、负载平衡器等)或网络(例如,L3网络206)连接到组织结构202。
虽然本文将网络组织结构202示出和描述为示例叶-脊架构,但是本领域的普通技术人员将容易认识到,可以基于包括任何数据中心或云网络组织结构的任何网络拓扑来实现各种实施例。实际上,本文考虑了其他架构、设计、基础设施和变型。例如,本文所公开的原理可以应用于包括三层(包括核心层、聚合层和访问层)、胖树、网格、总线、集线器和轮辐等的拓扑。因此,在一些实施例中,叶交换机212可以是根据架顶式架构配置的架顶式交换机。在其他实施例中,叶交换机212可以是任何特定拓扑(例如,行尾拓扑(end-of-rowtopology)或行中拓扑(middle-of-row topology))中的聚合交换机。在一些实施例中,叶交换机212也可以使用聚合交换机来实现。
此外,图2所示和本文描述的拓扑易于扩展,并且可以容纳大量组件以及更复杂的布置和配置。例如,网络可以包括可以在地理上分散或位于同一地理区域中的任何数量的组织结构202。因此,网络节点可以在任何适当的网络拓扑中使用,该网络拓扑可以包括相互连接以形成大型复杂网络的任何数量的服务器、虚拟机或容器、交换机、路由器、器具、控制器、网关、或其他节点。节点可以通过采用任何适当的有线或无线连接的一个或多个接口而被耦合到其他节点或网络,这为电子通信提供了可行的途径。
网络组织结构202中的网络通信可以流过叶交换机212。在一些实施例中,叶交换机212可以向端点(例如,服务器208)、内部网络(例如,L2网络204)、或外部网络(例如,L3网络206)提供到网络架构202的访问,并且可以将叶交换机212彼此连接。在一些实施例中,叶交换机212可以将端点组(EPG)连接到网络组织结构202、内部网络(例如,L2网络204)和/或任何外部网络(例如,L3网络206)。EPG是对应用、或应用组件、以及用于实现转发和策略逻辑的层的分组。EPG可以通过使用逻辑应用边界而允许将网络策略、安全性和转发与寻址分离。EPG可以在网络环境200中用于映射网络中的应用。例如,EPG可以包括对网络中的端点的分组,该分组指示针对应用的连接和策略。
如所讨论的,服务器208可以经由叶交换机212连接到网络组织结构202。例如,服务器208a和服务器208b可以直接连接到叶交换机212a和叶交换机212b,叶交换机212a和叶交换机212b可以将服务器208a和服务器208b连接到网络组织组织202和/或叶交换机中的任何其它叶交换机。服务器208c和服务器208d可以经由L2网络204连接到叶交换机212b和叶交换机212c。服务器208c和服务器208d以及L2网络204构成局域网(LAN)。LAN可以通过位于同一物理位置(例如,建筑物或校园)的专用私用通信链路来连接节点。
WAN206可以经由L3网络206连接到叶交换机212d或叶交换机212e。WAN可以通过长距离通信链路(例如,公用运营商电话线、光路径、同步光网络(SONET)或同步数字体系(SDH)链路)连接地理上分散的节点。LAN和WAN可以包括L2和/或L3网络和端点。
互联网是连接全世界不同网络的WAN的示例,并且在各种网络上的节点之间提供全局通信。节点通常通过根据预定义的协议(例如,传输控制协议/网际协议(TCP/IP))交换离散的数据帧或分组来在网络上进行通信。在此上下文中,协议可以引用定义节点之间如何交互的一组规则。计算机网络可以通过诸如路由器之类的中间网络节点进一步互连,以扩展每个网络的有效尺寸。端点可以包括任何通信设备或组件,例如,计算机、服务器、刀片、管理程序、虚拟机、容器、进程(例如,在虚拟机上运行)、交换机、路由器、网关、主机、设备、外部网络,等等。
在一些实施例中,网络环境200还包括在主机208a上运行的网络控制器。网络控制器使用来自的应用策略基础设施控制器(APICTM)来实现。APICTM可以针对结构202提供自动化和管理、策略编程、应用部署以及运行状况监视的集中点。在一些实施例中,APICTM作为被复制的同步集群控制器来操作。在其他实施例中,可以利用其他配置或软件定义的网络(SDN)平台来管理组织结构202。
在一些实施例中,实体服务器208可以在其上实例化管理程序216,该管理程序216用于创建和运行一个或多个虚拟交换机(未示出)和一个或(如针对主机208b示出的)多个虚拟机218。在其它实施例中,实体服务器可以运行用于容纳容器的共享内核。在其他实施例中,实体服务器208可以运行用于支持其他虚拟划分方法的其他软件。根据各种实施例的网络可以包括容纳任何数量的虚拟机、容器或其他虚拟分区的任何数量的实体服务器。主机还可包括不具有虚拟机、容器或其它虚拟分区的刀片/实体服务器,例如,服务器208a、服务器208c、服务器208d和服务器208e。
网络环境200还可以集成网络流量监视系统,例如图1示出的网络流量监视系统100。例如,图2的网络流量监视系统包括传感器220a、传感器220b、传感器220c和传感器220d(统称为“传感器220”)、收集器222和在服务器208e上执行的分析引擎,例如,图1的分析引擎110。分析引擎208e可以接收和处理由收集器222收集并且由传感器220检测的网络流量数据,收集器222和传感器220被放置在位于整个网络环境200中的节点上。虽然分析引擎208e在图2中被示出为独立的网络设备,但是应当理解,分析引擎208e也可以被实现为可以被分布到主机或主机集群上的虚拟分区(例如,VM或容器)、软件即服务(SAAS)、或其它适当的分布方法。在一些实施例中,传感器220在叶交换机212(例如,传感器220a)、主机208(例如,传感器220b)、管理程序216(例如,传感器220c)和VM 218(例如,传感器220d)上运行。在其他实施例中,传感器220还可以在脊交换机210、虚拟交换机、服务器具(例如,防火墙、深度分组检查器、流量监视器、负载平衡器等)上以及在网络元件之间运行。在一些实施例中,传感器220可以位于每个(或几乎每个)网络组件处,以在数据传输的每个跳跃处捕获粒度分组统计和数据。在其他实施例中,传感器220可以不被安装在网络的所有组件或部分中(例如,共享主机环境,其中,客户对一些虚拟机具有专门的控制)。
如图2所示,主机可以包括在主机上运行的多个传感器220(例如,主机传感器220b)和主机的各种组件(例如,管理程序传感器220c和VM传感器220d),使得穿越网络环境200的所有(或基本上所有)分组可以被监视。例如,如果在主机208b上运行的VM 218中的一个VM 218从WAN 206接收到第一分组,则第一分组可以通过边界叶交换机212d、脊交换机210b、叶交换机212b、主机208b、管理程序216和VM。因为所有或几乎所有这些组件包含相应的传感器,所以第一分组将可能被标识并且被报告到收集器222中的一个收集器222。作为另一示例,如果第二分组从在主机208b上运行的VM 218中的一个VM 218被传输到主机208d,则沿数据路径(例如,在VM 218、管理程序216、主机208b、叶交换机212b和主机208d处)安装的传感器将可能从第二分组捕获元数据。
图3示出了根据本公开的一个方面的基于所收集的网络信息生成网络洞察(network insight)的数据流水线的示例。
从数据流水线300生成的洞察可以包括例如所发现的应用或清单、应用相关性、策略、效率、资源和带宽使用情况、网络流动和访问网络的设备和/或相关联的用户的状态,可以使用网络流量数据为网络确定这些。在一些实施例中,数据流水线300可以由网络流量监视系统(例如,图1的网络流量监视系统100)、分析引擎(例如,图1的分析引擎110)、或其它网络服务或网络设备引导。例如,分析引擎110可以被配置为发现在网络中运行的应用、映射应用的内部相相关性、生成用于实现的被建议的网络策略集、和监视策略一致性和不一致性以及其它与网络相关的任务。
数据流水线300包括数据收集阶段302,其中,网络流量数据和对应的数据(例如,主机数据、进程数据、用户数据等)由位于整个网络中的传感器(例如,图1的传感器104)捕获。数据可以包括例如原始流动数据和原始进程数据。如所讨论的,数据可以从多个角度被捕获以提供网络的全面视图。所收集的数据还可以包括其他类型的信息,例如,租户信息、虚拟分区信息、带外信息、第三方信息以及其他相关信息。在一些实施例中,流动数据和相关联的数据可以每天或根据另一适当的时间增量被聚合和概括,并且流动向量、进程向量、主机向量和其它特征向量可以在数据收集阶段302期间被计算。这可以基本上减少处理。
数据流水线300还可以包括输入数据阶段304,其中,网络或安全管理员或其他被授权的用户可以通过选择要分析的流动数据和相关联数据的日期范围以及管理员想要分析的那些节点来配置洞察生成。在一些实施例中,管理员还可以在输入数据阶段304期间输入辅助信息,例如,服务器负载平衡、路由标签以及先前标识的集群。在其它实施例中,辅助信息可以被自动获取,或另一网络元件可推送辅助信息。
数据流水线300的下一阶段是预处理306。在预处理阶段306期间,网络节点被划分为所选节点和相关性节点子网。所选节点是用户针对其请求应用相关性映射和集群信息的那些节点。相关性节点是那些未被用户明确选择用于ADM运行但是与所选节点通信的节点。为了获得划分信息,应用相关性映射的边缘(即,流动数据)和未被处理的特征向量可以被分析。
在预处理阶段306期间还可以执行其他任务,包括标识所选节点和相关性节点的相关性、基于相关性节点的子网名称用标签代替相关性节点、(例如,通过聚集跨多个日的每日向量、计算词频-逆文档频率(tf-idf)、以及归一化向量(例如,l2归一化))提取所选节点的特征向量、以及标识现有集群。
在一些实施例中,预处理阶段306可包括早期特征融合预处理。早期融合是一种融合方案,其中,特征被组合成单个表达(representation)。特征可以从各个域(例如,网络、主机、虚拟分区、进程、用户等)导出,并且早期融合系统中的特征向量可以表示不同特征类型或域的串联。
早期融合对类似的特征或具有类似结构的特征(例如,TCP和UDP分组或流的字段)可能是有效的。这些特征可以被表征为同一类型或在同一域内。早期融合对远距离特征或不同类型或域的特征(例如,基于流的特征VS基于进程的特征)可能不太有效。因此,在一些实施例中,可以仅分析网络域中的特征(即,基于网络流量的特征,例如,分组报头信息、流动的分组数量、流动的字节数量和类似的数据)。在其它实施例中,分析可以限于进程域中的特征(即,基于进程的特征,例如,进程名称、父进程、进程所有者等)。在其他实施例中,可以是其他域(例如,主机域、虚拟分区域、用户域等)中的特征集。
在预处理之后,数据流水线300可以进行到洞察生成阶段308。在洞察生成阶段308期间,所收集和输入到数据流水线300中的数据可以用于产生各种网络洞察。例如,分析引擎110可以被配置为发现在网络中运行的应用、映射应用的内部相相关性、生成用于实现的建议的网络策略集、和监视策略一致性和不一致性以及其它与网络相关的任务。各种机器学习技术可以被实现以分析单个域内或不同域中的特征向量以生成洞察。机器学习是计算机科学领域,其中,目标是使用示例观察结果(即,训练数据)来开发可以用于对新的观察结果进行预测的模型。模型或逻辑是不基于理论的,但是是基于经验的或由数据驱动的。
在集群被标识后,数据流水线300可以包括后处理阶段310。后处理阶段310可以包括诸如过滤洞察数据、将洞察数据转换成可消费的格式之类的任务,或准备洞察数据以供终端用户消费所需的任何其它准备。在输出阶段312,所生成的洞察可以被提供到终端用户。终端用户可以是例如网络管理员、第三方计算系统、网络中的计算系统、或被配置为接收洞察数据的任何其他实体。在一些情况下,洞察数据可以被配置为被显示在屏幕上或被提供到系统用于进一步处理、消费或存储。
如上所述,需要提高诸如图2的网络环境200之类的网络的安全性,其中,数百到数千个端点和工作负荷彼此连续通信和/或与网络外部的源连续通信。这种外部通信可以提供对这种网络的未被授权的访问机会。相应地,用于提高网络安全性的一个示例方法是通过检测受损工作负荷和端点,并且阻止网络中的其它节点对去往或来自工作负荷和端点的部分或全部访问。如下面将描述的,可以通过阻挡对这些受损工作负荷和端点的访问和/或通过隔离受影响的端点来实现阻止对受损工作负荷和端点的部分或全部访问。受损工作负荷和端点的检测可以基于使用已知威胁(例如,已知网络威胁联盟(CTA)威胁)列表对威胁的标识,该已知威胁列表标识恶意源、恶意统一资源定位符(URL)等。这样的列表可以被分布到被部署在网络节点上的代理,这些代理被配置为监视网络流量、和对应的源、以及目的地。
通过以上描述的网络流量监视系统的示例、它们的操作以及它们可以被部署在其中的网络环境,本公开现在转向图4和图5,图4和图5描述了网络元件在其中可能被暴露于恶意威胁的设置示例。
图4示出了根据本公开的一个方面的设置的简化版本,在该设置中,图2的网络环境的元件与潜在网络威胁通信。
设置400可以包括可以与图2的联网环境200相同的联网环境401(例如,数据中心、企业网络等)。网络环境401可以包括诸如可以经由云404访问的服务器402之类的多个元件。在其它已知或将要被开发的功能中,服务器402可以与一个或多个网络节点和工作负荷通信,例如元件406-1、元件406-2和元件406-3(统称为网络元件406)。网络元件406中的任何给定的一个网络元件406可以是网络节点,包括但不限于:实体主机、实体服务器、网络设备(例如,路由器、交换机、虚拟服务器、管理程序或共享内核)、虚拟分区(例如,VM或容器)等。此外,网络元件406可以是网络范围的工作负荷/应用的工作负荷或片段,这些工作负荷或片段在设置400的不同主机或网络节点上被执行。例如,网络元件406可以与人力资源采购软件(Human Resources procurement software)对应,该人力资源采购软件由与网络环境401相关联的组织、这种组织的计费系统等利用。
每个网络元件406可以具有被安装在其上的对应的传感器。例如,网络元件406-1可以具有被安装在其上的传感器408-1,网络元件406-2可以具有被安装在其上的传感器408-2,网络元件406-3可以具有被安装在其上的传感器408-3,等等。传感器408-1、传感器408-2和传感器408-3可以统称为传感器408。传感器408可以与传感器104相同。在例如以上参考图1描述的那些功能中,传感器408可以监视与网络元件406的操作相关联的各种统计数据,包括但不限于去往和来自网络元件406的网络流量的源和目的地等。此外,传感器408可以从服务器402接收关于网络威胁(例如,恶意IP地址、威胁类别、恶意软件等)的更新。这将在下面进一步描述。在网络元件406是软件包/工作负荷的情况下,对应的传感器408也可以是作为这种工作负荷的一部分而被安装和执行的软件包。
服务器402和传感器408之间的通信可以经由链路410,但是网络元件406之间的通信可以经由链路412。链路410和链路412可以是任何已知的或将被开发的有线和/或无线通信链路,支持到其的单向和/或双向通信连接点。
虽然在示例网络环境401中仅示出了三个网络元件406,但是本公开不限于此,并且网络环境401可以包括更多这样的网络元件406(例如,在数十、数百、数千和/或数十万网络元件的量级上)。此外,虽然网络环境401示出了具有专用传感器408的每个网络元件406,但是本公开不限于此。例如,两个或多个网络元件406可以共享传感器408,或替代地,给定的网络元件可以具有被安装在其上的多于一个传感器408。
在示例设置400中,网络元件406可以与诸如主机414-1和主机414-2(统称为主机414)之类的一个或多个主机通信。主机414可以在网络环境401外部(如图所示)或可以在网络环境401内部。例如,主机414可以是由一个或多个网络元件406访问的外部服务器。在图4的示例中,网络元件406-3被示出为经由链路416与主机414通信,链路416与链路410和链路412类似,可以是任何已知的或将被开发的有线和/或无线通信链路,支持到其的单向和/或双向通信连接点。然而,本公开不限于此,并且网络元件406中的任何一个网络元件406可以与主机414中的任何一个主机414通信/访问主机414中的任何一个主机414。此外,虽然图4示出了两个主机414,但是本公开不限于此,并且设置400可以具有与一个或多个网络元件406通信的任何数量的主机414。
在任何给定的时间点,主机414中的一个或多个主机414可以与网络威胁相关联,该网络威胁可以是恶意(未被授权的)软件、恶意程序、已知的恶意IP地址,与一类威胁相关联的源等。在一个示例中,主机414中的一个或多个主机414可以具有在其上运行的恶意软件或可以已经尝试访问恶意软件或主机。这种主机414可以被称为受损主机(受损元件)。网络环境401包括列表418(将在下面进一步描述)。列表418可以是可以由服务器402周期性地获得(提供给服务器402)的已知威胁(例如,上述CTA威胁)列表。列表418可以通过众包使用威胁数据库来生成的。下面将描述关于列表418及其对服务器402的可用性的进一步细节。
服务器402可以将已知威胁的更新列表传送到传感器408。在检测由网络元件406中的任何一个网络元件406对受损主机的访问时,如下所述,传感器408可以阻止网络元件406对这种受损主机的访问。例如,在设置400中,主机414-1可以包含恶意软件。因此,主机414-1可以被认为是受损主机。在网络元件406-3上运行的传感器408-3可以检测对受损主机414-1的访问。如下所述,因为传感器408-3知道主机414-1的恶意软件或恶意性质(基于由服务器402提供给传感器408-3的更新的列表),所以传感器408-3可以使网络元件406-3阻挡(中断)去往和来自受损主机414-1的通信链路416。通信链路416的这种中断可以仅被限制于受损主机414-1和网络元件406-3,可以包括阻止受损主机414-1和设置400中的任何其他网络元件406或受损主机414-1和设置400中的服务器402之间的任何直接或间接通信。替代地,受损主机414-1可以被(例如,临时地)隔离以不能访问设置400上的任何资源,直到与受损主机414-1相关联的威胁被服务器402解决。这将在下面进一步描述。下面将进一步描述不同类型的访问阻止。
图5示出了根据本公开的一个方面的设置的另一简化版本,其中,图2的网络环境的元件与潜在恶意主机通信。
与设置400类似,设置500可以包括可以与网络环境401相同的网络环境501,因此在网络环境501中的与网络环境401中的对应部分相同的元件被相同编号,因此为了简洁起见不再进一步描述。例如,网络环境501的服务器402与图4的网络环境401的服务器402相同,网络环境501的网络元件406与图4的网络环境401的网络元件406相同。
与网络环境401相比,网络环境501包括一个或多个端点1 520-1和端点2 520-2(统称为端点520)。端点520可以是能够与网络环境501的一个或多个元件建立通信的任何已知的或将被开发的设备。例如,端点520可以是移动电话、膝上型计算机、平板计算机、台式计算机、物联网(IoT)设备等中的任何一个。端点520可以根据任何已知的或将被开发的方法向网络环境501注册。端点520可以实体地位于与网络环境501被部署的位置相同的位置,或可以离网络环境501的一个或多个节点或元件很远并且可以被通信地耦合到网络环境501的一个或多个节点或元件。例如,端点520可以具有被安装在其上的远程连接代理(例如,由San Jose,CA的Cisco Inc.开发的ANYCONNECT),其在激活时需要对应的用户通过被安装的代理提供凭证。在认证之后,这种远程连接代理使得端点520能够远程访问网络环境501的资源。
端点520(例如,为了访问工作负荷)可以与一个或多个网络元件502通信。例如,端点520-1可以经由通信链路522(通信链路522可以与图4的通信链路410/通信链路412相同,因此将不再进一步描述)与网络元件506-2和网络元件506-3通信。此外,端点520-1可以经由通信链路524(通信链路524可以与图4的通信链路410/通信链路412相同,因此将不再进一步描述)与网络元件406-1和网络元件406-3通信。
在设置500中,端点520中的一个或多个端点520可以与诸如主机526之类的外部源通信。例如,虽然被连接到网络环境501并且访问网络元件406-2和网络元件406-3(例如,与网络环境501相关联的组织的计费系统)上的工作负荷,但是端点520-1的用户可以经由网站和通信链路528(通信链路528可以与图4的通信链路410/通信链路412相同,因此将不再进一步描述)访问外部主机526。主机526可以具有与其相关联的一个或多个已知的威胁,例如恶意软件。与主机526的通信可以导致端点520-1被认为是受损端点(受损元件)。因此,运行网络元件406-2和网络元件406-3的传感器408-2和传感器408-3可以将端点520-1对主机526的访问与列表418进行比较,并且确定主机526是恶意主机(坏主机)。相应地,端点520-1可以被阻塞/隔离,使得网络环境501的元件与端点520-1之间不能建立通信。这种隔离可以是临时的(例如,持续一段时间,例如一小时、一天、一周等)或可以是永久的(例如,要求端点520-1以原始设置被重新启动)。下面将进一步描述不同类型的访问阻止。
接下来,将参考图6和图7描述用于建立一个过程的示例,该过程用于标识网络威胁并且当威胁被标识时实现动态访问阻止方案。
图6描述了根据本公开的一个方面的过程,该过程用于处理已知网络威胁的列表并且将其提取到网络传感器以供检测受损的工作负荷和端点。
将从图4的服务器402的角度描述图6的过程。然而,应当理解,服务器402可以具有与其相关联的一个或多个处理器,这些处理器被配置为执行计算机可读指令以执行图6的步骤。
在S600处,服务器402接收网络威胁列表(或简称为威胁)。威胁列表可以是由CTA开发的已知威胁(例如,恶意IP地址、恶意软件等)列表,并且可以被称为CTA列表。CTA或任何其它已知威胁列表可以使用众包等被开发,并且可以是公众可用的。这种列表可以从任何已知的源(例如CTA Amazon Web Services(AWS)Lambda桶)或包含这种列表的任何其它类型的源接收(由服务器402查询)。在一个示例中,威胁列表可以被周期性地(例如,一天一次、一周一次、一个月一次等)传送到服务器402,或可以由服务器402周期性地查询。
在S602处,服务器402转换网络威胁列表。转换过程可以是可选的步骤,并且被执行以确保包含威胁列表信息的数据分组的格式与服务器402和传感器408之间的现有交换协议兼容。
在S604处,服务器402可以将转换的网络威胁列表存储在与服务器402相关联的数据库或存储装置(图4和图5中未被示出)中。
在S606处,转换的网络威胁(威胁馈送)列表被封装到在服务器402和传感器408之间交换的现有数据包中。数据包可以包括辅助信息部分,其中,可以包括威胁馈送。数据包经由已知的外部资源被提供到服务器402和传感器408。例如,数据包可以源自容纳一个或多个数据作业的云头端,其中,数据包关联于该一个或多个数据作业而被创建并且被发送到服务器402。
在一个示例中,将威胁馈送封装到数据包中可以经由被称为云连接的特征来完成。这可以是AWS服务,传感器408可以例如经由服务器402连接到该AWS服务以提取最新的数据包。响应于此,传感器408还可以将关于各种特征的使用统计数据发回服务器402。在另一示例中,数据分组可以被封装到红帽分组管理器(Red Hat Packet Manager,RPM)中,该RPM可以从网站下载并且被上传到传感器408。在一个示例中,RPM是一种机制,其中,数据包被封装并且作为一个单元从云头端被发送到服务器402。RPM可以是可以在诸如UNIX系统之类的系统上被发送和处理的任意文件集。
在S608处,服务器402可以通过创建注释来定义针对威胁馈送的策略,然后该注释可以用于标记/标识受损的工作负荷/端点。这种注释可以是标识接收到的列表上的已知恶意(坏)IP地址的标签,或可以是标识威胁类别和这种类别的(一个或多个)源的标签。
例如,策略可以被定义为标识应当阻挡到恶意IP地址的连接的工作负荷/端点。在这种情况下,当数据分组来到这种工作负荷/端点(例如,图4的网络元件406-3)中时,数据分组的源由对应的传感器408检查,并且如果该源与已知的恶意IP(例如,与主机414-1相关联)匹配,则网络元件406-3到主机414-1的连接被取消/阻挡。
在S610处,服务器402将所定义的策略和威胁馈送部署到传感器408以供实现,并且阻止受损的工作负荷/端点访问网络资源和元件。这将在下面参考图7进一步描述。
在S612处,服务器402可从传感器408接收关于由传感器408收集到的各种统计数据的连续反馈,该统计数据关于相应的网络元件406之间和/或网络环境401/501内部或外部的其它端点和主机之间的数据流量和性能。这种统计数据可以被服务器402使用以进一步细化/更新针对阻止恶意源和已知的威胁访问网络资源而创建的注释和策略。例如,当传感器408检测到十个网络元件(其可能跨不同的客户)中的恶意软件的发生时,基于这种越来越多的发生,服务器402可以在其它网络元件上定义策略,以通过策略动作来阻止恶意软件在其上被检测的任何主机或端点,或隔离恶意软件在其上被检测的任何端点。
图7是根据本公开的一个方面的网络监视过程的示例,该网络监视过程用于阻止来自恶意源的网络访问。
将从图4的服务器402的角度描述图7。然而,应当理解,服务器402可以使用一个或多个传感器408来实现图7的过程。
在S700处,使用传感器408,服务器402监视网络环境401的网络元件406和一个或多个端点和/或主机(例如,主机414和/或端点520)之间的网络流量。
在S702处,使用与图6的每个过程所定义的策略相关联的标签,服务器402标识与主机414和/或端点520中的任何一个主机414和/或端点520相关联的网络威胁(例如,恶意IP地址、恶意软件等)。这种标识可以基于如上参考图6描述的对应的资源,以及与恶意软件、病毒、漏洞、已知的网络威胁等的恶意种类相关联的所定义的坏IP地址和/或标签。与检测到的恶意地址/恶意软件有关的(一个或多个)主机414、(一个或多个)端点520和/或相关联的工作负荷可以被称为受损元件。
在S704处,服务器402基于在S702处所标识的(一个或多个)恶意地址和/或恶意软件来检测(一个或多个)受损元件(例如,(一个或多个)工作负荷、(一个或多个)端点等)。在一个示例中,与检测到的恶意地址/恶意软件相关联的(一个或多个)主机414和/或(一个或多个)端点520被称为(一个或多个)受损的工作负荷/端点。
在S706处,使用传感器408中的一个或多个传感器408,服务器402将访问阻止方案应用于每个检测到的受损元件,以阻止这种受损元件对网络资源的访问。这种访问阻止方案可以是多个可用的访问阻止方案中的一个访问阻止方案,每个访问阻止方案与用于寻址不同的潜在网络威胁而定义的具体策略相对应,不同的潜在网络威胁与受损元件相关联地被标识。
一个示例访问阻止方案可以是阻挡受损主机/工作负荷和网络环境401中的一个或多个具体工作负荷之间的特定连接。这可以被称为基于网络元件的访问阻止方案。例如,如参考图4所描述的,主机414和网络元件406-3之间的连接可以被终止/阻挡。
另一示例访问阻止方案可以用于隔离如上所述的受损主机/工作负荷。这可以被称为基于隔离的访问阻止方案。例如,策略可以基于威胁类别和/或这种类别的源而被创建。这种策略可以用于隔离(一个或多个)受损元件。例如,策略可以被创建以指示当端点访问具有具体广告标签的广告主机(例如,图5中的端点520-1访问主机526)并且该广告标签在网络元件406-2和/或网络元件406-3处接收到的数据分组中被检测到时,端点520-1应当被隔离。如上所述,这种策略还可以定义隔离时段。这种时段可以基于实验和/或经验研究而被确定。
另一示例访问阻止方案可以是这样的:根据潜在的恶意软件或威胁的性质,受损主机/端点被阻挡访问特定网络元件406上的特定工作负荷,但是同一受损工作负荷/端点仍然可以访问该特定网络元件406上的其它工作负荷。该策略可以被定义为解决特定类别的威胁或特定IP地址被认为对一个工作负荷有害但是对其它工作负荷无害的情况。这可以被称为基于工作负荷的访问阻止方案。例如,网络元件406-1可以具有在其上运行的多个应用或工作负荷。访问源于外部的访问可能对于在网络元件406-1上运行的第一应用是威胁,但是对于在网络元件406-1上运行的第二应用不是威胁。策略可以被定义以指示对网络元件406-1上的第一应用的访问应当被阻挡,但是对同一网络元件406-1上的第二应用的访问应当被允许。
相应地,在S706处,服务器402基于潜在的网络威胁的性质动态地应用访问阻止方案。访问阻止的这种动态应用有区别地解决了每个独特的威胁,而不是对所有受损主机/端点统一应用单一类型的访问访问阻止。因此,提供了更有效的阻止访问过程,使得网络环境401的使用更有效并且具有更好的性能。该优点通过以下事实而被突出:如果应用统一的访问阻止,则可能阻挡连接或隔离许多端点,而在考虑到潜在威胁的性质时则可能不会这样。
此后,该过程返回到S700,并且S700、S702、S704和S706被周期性地(或替代地,连续地)重复以检测受损主机/端点并且进行阻止。
接下来,描述了示例设备和系统配置,其可以在本公开的上下文中用作图1至图5的系统的各种元件(例如,服务器402、网络元件406、传感器408、主机414、端点520等)以实现参考图6和图7描述的示例功能和过程。
图8示出了根据本公开的一个方面的示例计算系统。
图8示出了计算系统800的示例,其可以是例如构成认证服务415的任何计算设备或其任何组件,其中,系统的组件使用连接805彼此通信。连接805可以是经由总线的实体连接、或是到(例如,芯片组架构中的)处理器810的直接连接。连接805也可以是虚拟连接、联网连接或逻辑连接。
在一些实施例中,计算系统800是分布式系统,其中,本公开中描述的功能可以被分布在一个数据中心、多个数据中心、对等网络等内。在一些实施例中,所描述的系统组件中的一个或多个系统组件表示许多这样的组件,每个组件执行针对组件所描述的功能中的一些或全部功能。在一些实施例中,组件可以是实体设备或虚拟设备。
示例计算系统800包括至少一个处理单元(CPU或处理器)810和连接805,该连接805将各种系统组件(包括系统存储器815、只读存储器(ROM)820和随机存取存储器(RAM)825)耦合到处理器810。计算系统800可以包括高速存储器缓存812,该高速存储器缓存812与处理器810直接连接、紧邻处理器810或被集成为处理器810的一部分。
处理器810可以包括任何通用处理器和硬件服务或软件服务(例如,被存储在存储设备830中的服务832、服务834和服务836),其被配置为控制处理器810以及专用处理器,其中,软件指令被并入到实际处理器设计中。处理器810实质上可以是包含总线、存储器控制器、缓存和多个核或处理器等的完全独立的计算系统。多核处理器可以是对称的或不对称的。
为了实现用户交互,计算系统800包括输入设备845,其可以表示任何数量的输入机制,例如,用于语音的麦克风、用于手势或图形输入的触敏屏幕、键盘、鼠标、运动输入、语音等。计算系统800还可以包括输出设备835,其可以是本领域技术人员已知的多个输出机制中的一个或多个输出机制。在一些实例中,多模式系统可使用户能够提供多种类型的输入/输出以与计算系统800通信。计算系统800可以包括通信接口840,其一般可以控制和管理用户输入和系统输出。对操作任何特定的硬件布置没有限制,因此被改进的硬件或固件布置在它们被开发时可以容易地替代本文的基本特征。
存储设备830可以是非易失性存储设备,并且可以是硬盘或存储可由计算机访问的数据的其它类型的计算机可读介质,例如,磁带盒、闪存卡、固态存储设备、数字多功能盘、盒式磁带、随机存取存储器(RAM)、只读存储器(ROM)和/或这些设备的某种组合。
存储设备830可以包括软件服务、服务器、服务等,当定义这种软件的代码由处理器810执行时,其使系统执行功能。在一些实施例中,执行特定功能的硬件服务可以包括被存储在计算机可读介质中的软件组件,该计算机可读介质与必要的硬件组件(例如,处理器810、连接805、输出设备835等)连接以执行该功能。
本公开涉及通过标识与网络通信的受损元件并且阻止其访问网络资源来保护网络的工作负荷。在一个方面,一种方法包括:监视网络的网络元件处的网络流量;检测与网络元件中的一个或多个网络元件通信的受损元件,该受损元件与至少一个网络威胁相关联;以及基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于受损元件以阻止受损元件访问该网络。
为了解释清楚,在一些实例中,各种实施例可以被表示为包括各个功能框,这些功能框包括设备、设备组件、体现在软件、或硬件和软件的组合中的方法的步骤或例程的功能框。
在一些实施例中,计算机可读存储设备、介质和存储器可以包括包含比特流等的电缆或无线信号。然而,当提及时,非暂态计算机可读存储介质明确地排除诸如能量、载波信号、电磁波和信号本身等之类的介质。
可以使用存储在计算机可读介质或可以以其他方式从计算机可读介质获得的计算机可执行指令来实现根据上述示例的方法。这样的指令可以包括例如使得或以其他方式配置通用计算机、专用计算机、或专用处理设备来执行某项功能或一组功能的指令和数据。所使用的部分计算机资源可以通过网络来访问。计算机可执行指令可以是例如二进制、中间格式指令(例如,汇编语言、固件、或源代码)。可以用于存储指令、在根据所述示例的方法期间使用的和/或创建的信息的计算机可读介质的示例包括磁盘或光盘、闪存、配设有非易失性存储器的USB设备、网络存储设备等等。
根据这些公开实现方法的设备可以包括硬件、固件和/或软件,并且可以是多种形状因子中的任何一种。这样的形状因子的典型示例包括膝上型计算机、智能电话、小形状因子的个人计算机、个人数字助理、机架安装设备、独立设备等。本文描述的功能还可以体现在外围设备或附加卡中。作为进一步的示例,这样的功能也可以在不同芯片或在单个设备中执行的不同过程之间的电路板上实现。
指令、用于传达这样的指令的介质、用于执行这样的指令的计算资源、以及支持这样的计算资源的其他结构是提供这些公开中描述的功能的设备。
虽然使用各种示例和其他信息来解释所附权利要求的范围内的各方面,但是不应基于这样的示例中的特定特征或布置来暗示对权利要求的限制,因为本领域的普通技术人员将能够使用这些示例来获取各种各样的实现方式。此外,虽然可能已经用特定于结构特征和/或方法步骤的示例的语言描述了一些主题,但是应理解,所附权利要求中限定的主题不一定限于这些描述的特征或动作。例如,这样的功能可以不同地分布在除本文所标识的那些组件之外的组件中或在除本文所标识的那些组件之外的组件中执行。相反,将描述的特征和步骤公开为在所附权利要求的范围内的系统的组件和方法的示例。

Claims (23)

1.一种方法,包括:
监视网络的网络元件处的网络流量;
检测与所述网络元件中的一个或多个网络元件通信的受损元件,所述受损元件与至少一个网络威胁相关联;以及
基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于所述受损元件以阻止所述受损元件访问所述网络。
2.根据权利要求1所述的方法,其中,检测所述受损元件包括:
在针对所述网络元件中的至少一个网络元件而监视的相应网络流量中标识所述至少一个网络威胁;以及
将所述至少一个网络元件标记为所述受损元件。
3.根据权利要求2所述的方法,其中,标识所述至少一个网络威胁包括:
接收已知网络威胁的列表;
生成用于标识所述已知网络威胁的标签;以及
使用所述标签来标识所述至少一个网络威胁。
4.根据权利要求1至3中任一项所述的方法,其中,所述多个不同的访问阻止方案包括:
阻挡所述受损元件访问所述网络元件中的至少一个网络元件;或
将所述受损元件隔离一段时间,其中,所述隔离阻止去往和来自所述受损元件的任何通信。
5.根据权利要求1至4中任一项所述的方法,其中,所述多个不同的访问阻止方案中的一个访问阻止方案包括:阻挡所述受损元件访问所述网络元件中的一个或多个网络元件上的第一工作负荷,但是允许所述受损元件访问所述网络元件中的所述一个或多个网络元件上的第二工作负荷。
6.根据权利要求1至5中任一项所述的方法,其中,所述网络威胁是已知网络IP地址或恶意软件类别中的一者。
7.根据权利要求1至6中任一项所述的方法,其中,所述受损元件是向所述网络注册的端点,所述端点已访问具有所述至少一个网络威胁的外部源。
8.一种网络元件,包括:
一个或多个存储器,其中存储有计算机可读指令;以及
一个或多个处理器,被配置为执行所述计算机可读指令以:
监视网络的网络元件处的网络流量;
检测与所述网络元件中的一个或多个网络元件通信的受损元件,所述受损元件与至少一个网络威胁相关联;以及
基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于所述受损元件以阻止所述受损元件访问所述网络。
9.根据权利要求8所述的网络元件,其中,所述一个或多个处理器被配置为通过以下操作来检测所述受损元件:
在针对所述网络元件中的至少一个网络元件而监视的相应网络流量中标识所述至少一个网络威胁;以及
将所述至少一个网络元件标记为所述受损元件。
10.根据权利要求9所述的网络元件,其中,所述一个或多个处理器被配置为通过以下操作来标识所述至少一个网络威胁:
接收已知网络威胁的列表;
生成用于标识所述已知网络威胁的标签;以及
使用所述标签来标识所述至少一个网络威胁。
11.根据权利要求8至10中任一项所述的网络元件,其中,所述多个不同的访问阻止方案包括:
阻挡所述受损元件访问所述网络元件中的至少一个网络元件;或
将所述受损元件隔离一段时间,其中,所述隔离阻止去往和来自所述受损元件的任何通信。
12.根据权利要求8至11中任一项所述的网络元件,其中,所述多个不同的访问阻止方案中的所述一个访问阻止方案包括:阻挡所述受损元件访问所述网络元件中的一个或多个网络元件上的第一工作负荷,但是允许所述受损元件访问所述网络元件中的所述一个或多个网络元件上的第二工作负荷。
13.根据权利要求8至12中任一项所述的网络元件,其中,所述网络威胁是已知网络IP地址或恶意软件类别中的一者。
14.根据权利要求8至13中任一项所述的网络元件,其中,所述受损元件是向所述网络注册的端点,所述端点已访问具有所述至少一个网络威胁的外部源。
15.一个或多个非暂态计算机可读介质,包括计算机可读指令,所述计算机可读指令在由一个或多个处理器执行时使所述一个或多个处理器:
监视网络的网络元件处的网络流量;
检测与所述网络元件中的一个或多个网络元件通信的受损元件,所述受损元件与至少一个网络威胁相关联;以及
基于所定义的网络策略,将多个不同的访问阻止方案中的一个访问阻止方案应用于所述受损元件以阻止所述受损元件访问所述网络。
16.根据权利要求15所述的一个或多个非暂态计算机可读介质,其中,所述计算机可读指令的执行使所述一个或多个处理器通过以下操作来检测所述受损元件:
在针对所述网络元件中的至少一个网络元件而监视的相应网络流量中标识所述至少一个网络威胁;以及
将所述至少一个网络元件标记为所述受损元件。
17.根据权利要求16所述的一个或多个非暂态计算机可读介质,其中,所述计算机可读指令的执行使所述一个或多个处理器通过以下操作来标识所述至少一个网络威胁:
接收已知网络威胁的列表;
生成用于标识所述已知网络威胁的标签;以及
使用所述标签来标识所述至少一个网络威胁。
18.根据权利要求15至17中任一项所述的一个或多个非暂态计算机可读介质,其中,所述多个不同的访问阻止方案包括:
阻挡所述受损元件访问所述网络元件中的至少一个网络元件;或
将所述受损元件隔离一段时间,其中,所述隔离阻止去往和来自所述受损元件的任何通信。
19.根据权利要求15至18中任一项所述的一个或多个非暂态计算机可读介质,其中,所述网络威胁是已知网络IP地址或恶意软件类别中的一者。
20.根据权利要求15至19中任一项所述的一个或多个非暂态计算机可读介质,其中,所述受损元件是向所述网络注册的端点,所述端点已访问具有所述至少一个网络威胁的外部源。
21.一种设备,包括:
用于监视网络的网络元件处的网络流量的装置;
用于检测与所述网络元件中的一个或多个网络元件通信的受损元件的装置,所述受损元件与至少一个网络威胁相关联;以及
用于基于所定义的网络策略将多个不同的访问阻止方案中的一个访问阻止方案应用于所述受损元件以阻止所述受损元件访问所述网络的装置。
22.根据权利要求21所述的设备,还包括用于实现根据权利要求2至7中任一项所述方法的装置。
23.一种计算机程序、计算机程序产品或计算机可读介质,包括指令,所述指令在由计算机执行时使所述计算机执行根据权利要求1至7中任一项所述的方法的步骤。
CN202180072628.0A 2020-08-26 2021-08-16 保护网络资源免受已知威胁 Pending CN116458120A (zh)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US17/003,364 2020-08-26
US17/003,364 US11483351B2 (en) 2020-08-26 2020-08-26 Securing network resources from known threats
PCT/US2021/046151 WO2022046453A1 (en) 2020-08-26 2021-08-16 Securing network resources from known threats

Publications (1)

Publication Number Publication Date
CN116458120A true CN116458120A (zh) 2023-07-18

Family

ID=77655699

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202180072628.0A Pending CN116458120A (zh) 2020-08-26 2021-08-16 保护网络资源免受已知威胁

Country Status (4)

Country Link
US (2) US11483351B2 (zh)
EP (1) EP4205316A1 (zh)
CN (1) CN116458120A (zh)
WO (1) WO2022046453A1 (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20230224275A1 (en) * 2022-01-12 2023-07-13 Bank Of America Corporation Preemptive threat detection for an information system

Family Cites Families (77)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7681235B2 (en) * 2003-05-19 2010-03-16 Radware Ltd. Dynamic network protection
US7581249B2 (en) 2003-11-14 2009-08-25 Enterasys Networks, Inc. Distributed intrusion response system
US8839417B1 (en) * 2003-11-17 2014-09-16 Mcafee, Inc. Device, system and method for defending a computer network
US20070005987A1 (en) * 2005-06-30 2007-01-04 Durham Lenitra M Wireless detection and/or containment of compromised electronic devices in multiple power states
US7630364B2 (en) * 2005-10-24 2009-12-08 Cisco Technology, Inc. Securely managing network element state information in transport-layer associations
US7890612B2 (en) * 2006-05-08 2011-02-15 Electro Guard Corp. Method and apparatus for regulating data flow between a communications device and a network
US7543055B2 (en) * 2006-06-20 2009-06-02 Earthlink Service provider based network threat prevention
KR100789722B1 (ko) 2006-09-26 2008-01-02 한국정보보호진흥원 웹 기술을 사용하여 전파되는 악성코드 차단시스템 및 방법
US20080229419A1 (en) * 2007-03-16 2008-09-18 Microsoft Corporation Automated identification of firewall malware scanner deficiencies
US8595843B1 (en) * 2010-08-12 2013-11-26 Amazon Technologies, Inc. Techniques for identifying sources of unauthorized code
US8468599B2 (en) * 2010-09-20 2013-06-18 Sonalysts, Inc. System and method for privacy-enhanced cyber data fusion using temporal-behavioral aggregation and analysis
US9432282B2 (en) * 2011-02-24 2016-08-30 The University Of Tulsa Network-based hyperspeed communication and defense
US10749887B2 (en) * 2011-04-08 2020-08-18 Proofpoint, Inc. Assessing security risks of users in a computing network
US9674074B2 (en) * 2011-04-08 2017-06-06 Gigamon Inc. Systems and methods for stopping and starting a packet processing task
US9118702B2 (en) * 2011-05-31 2015-08-25 Bce Inc. System and method for generating and refining cyber threat intelligence data
WO2013006553A1 (en) * 2011-07-01 2013-01-10 Fiberlink Communications Corporation Rules based actions for mobile device management
US9122546B1 (en) * 2011-09-27 2015-09-01 Emc Corporation Rapid processing of event notifications
KR101462311B1 (ko) 2012-05-18 2014-11-14 (주)이스트소프트 악성 코드 차단 방법
US9130837B2 (en) * 2012-05-22 2015-09-08 Cisco Technology, Inc. System and method for enabling unconfigured devices to join an autonomic network in a secure manner
US9565213B2 (en) * 2012-10-22 2017-02-07 Centripetal Networks, Inc. Methods and systems for protecting a secured network
US9027128B1 (en) 2013-02-07 2015-05-05 Trend Micro Incorporated Automatic identification of malicious budget codes and compromised websites that are employed in phishing attacks
US20140230062A1 (en) * 2013-02-12 2014-08-14 Cisco Technology, Inc. Detecting network intrusion and anomaly incidents
US9268940B1 (en) 2013-03-12 2016-02-23 Symantec Corporation Systems and methods for assessing internet addresses
GB201306628D0 (en) * 2013-04-11 2013-05-29 F Secure Oyj Detecting and marking client devices
US9571511B2 (en) * 2013-06-14 2017-02-14 Damballa, Inc. Systems and methods for traffic classification
US9894099B1 (en) * 2013-07-12 2018-02-13 Palo Alto Networks, Inc. Automatically configuring mobile devices and applying policy based on device state
US9172721B2 (en) * 2013-07-16 2015-10-27 Fortinet, Inc. Scalable inline behavioral DDOS attack mitigation
CN106105112B (zh) * 2014-03-19 2019-08-27 日本电信电话株式会社 分析规则调整装置、分析规则调整系统以及分析规则调整方法
US20170006082A1 (en) * 2014-06-03 2017-01-05 Nimit Shishodia Software Defined Networking (SDN) Orchestration by Abstraction
US20160182544A1 (en) * 2015-02-28 2016-06-23 Brighterion, Inc. Method of protecting a network computer system from the malicious acts of hackers and its own system administrators
US9602527B2 (en) * 2015-03-19 2017-03-21 Fortinet, Inc. Security threat detection
US9866576B2 (en) * 2015-04-17 2018-01-09 Centripetal Networks, Inc. Rule-based network-threat detection
KR20180015640A (ko) * 2015-05-04 2018-02-13 사이드 캄란 하산 컴퓨터 네트워크에서의 보안 관리를 위한 방법 및 장치
US10142353B2 (en) * 2015-06-05 2018-11-27 Cisco Technology, Inc. System for monitoring and managing datacenters
US9565192B2 (en) 2015-06-23 2017-02-07 Symantec Corporation Router based securing of internet of things devices on local area networks
WO2017019968A1 (en) * 2015-07-29 2017-02-02 Mastercard International Incorporated Systems and methods for identifying electronic messages containing malicious content
US9699205B2 (en) * 2015-08-31 2017-07-04 Splunk Inc. Network security system
US10218731B2 (en) * 2015-10-05 2019-02-26 Efficient Protection Inc. Method and system for data breach and malware detection
US10200390B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Automatically determining whether malware samples are similar
US10200389B2 (en) * 2016-02-29 2019-02-05 Palo Alto Networks, Inc. Malware analysis platform for threat intelligence made actionable
US10230749B1 (en) * 2016-02-29 2019-03-12 Palo Alto Networks, Inc. Automatically grouping malware based on artifacts
US10333948B2 (en) * 2016-02-29 2019-06-25 Palo Alto Networks, Inc. Alerting and tagging using a malware analysis platform for threat intelligence made actionable
US10218726B2 (en) * 2016-03-25 2019-02-26 Cisco Technology, Inc. Dynamic device clustering using device profile information
US10142363B2 (en) * 2016-06-23 2018-11-27 Bank Of America Corporation System for monitoring and addressing events based on triplet metric analysis
CA3032282A1 (en) * 2016-07-29 2018-02-01 Magic Leap, Inc. Secure exchange of cryptographically signed records
US10305809B2 (en) * 2016-11-17 2019-05-28 Cisco Technology, Inc. On-box behavior-based traffic classification
US10534909B2 (en) * 2017-03-02 2020-01-14 Fortinet, Inc. Multi-tiered sandbox based network threat detection
US10440037B2 (en) * 2017-03-31 2019-10-08 Mcafee, Llc Identifying malware-suspect end points through entropy changes in consolidated logs
US10834103B2 (en) * 2017-04-03 2020-11-10 Juniper Networks, Inc. Tracking and mitigation of an infected host device
US10771506B1 (en) * 2017-07-31 2020-09-08 Juniper Networks, Inc. Deployment of a security policy based on network topology and device capability
US10885393B1 (en) * 2017-09-28 2021-01-05 Architecture Technology Corporation Scalable incident-response and forensics toolkit
US11146532B2 (en) * 2017-11-27 2021-10-12 Kevin Tobin Information security using blockchain technology
US11233821B2 (en) * 2018-01-04 2022-01-25 Cisco Technology, Inc. Network intrusion counter-intelligence
US11223637B2 (en) * 2018-01-07 2022-01-11 Microsoft Technology Licensing, Llc Detecting attacks on web applications using server logs
US20210273953A1 (en) * 2018-02-20 2021-09-02 Darktrace Holdings Limited ENDPOINT AGENT CLIENT SENSORS (cSENSORS) AND ASSOCIATED INFRASTRUCTURES FOR EXTENDING NETWORK VISIBILITY IN AN ARTIFICIAL INTELLIGENCE (AI) THREAT DEFENSE ENVIRONMENT
JP6718476B2 (ja) * 2018-02-23 2020-07-08 株式会社日立製作所 脅威分析システムおよび分析方法
US11012409B2 (en) * 2018-03-30 2021-05-18 Intel Corporation Anomaly detection in a controller area network
US11140195B2 (en) * 2018-04-04 2021-10-05 Sophos Limited Secure endpoint in a heterogenous enterprise network
US11271950B2 (en) 2018-04-04 2022-03-08 Sophos Limited Securing endpoints in a heterogenous enterprise network
US11063967B2 (en) * 2018-07-03 2021-07-13 The Boeing Company Network threat indicator extraction and response
US11196746B2 (en) * 2018-07-04 2021-12-07 Microsoft Technology Licensing, Llc Whitelisting of trusted accessors to restricted web pages
US10291645B1 (en) * 2018-07-09 2019-05-14 Kudu Dynamics LLC Determining maliciousness in computer networks
US10951645B2 (en) * 2018-08-28 2021-03-16 Marlabs Innovations Private Limited System and method for prevention of threat
US11128665B1 (en) * 2018-09-06 2021-09-21 NortonLifeLock Inc. Systems and methods for providing secure access to vulnerable networked devices
US20200082081A1 (en) * 2018-09-12 2020-03-12 Symantec Corporation Systems and methods for threat and information protection through file classification
US11134099B2 (en) * 2019-01-23 2021-09-28 Vmware, Inc. Threat response in a multi-router environment
US11627147B2 (en) * 2019-05-17 2023-04-11 Charter Communications Operating, Llc Botnet detection and mitigation
US11316873B2 (en) * 2019-06-28 2022-04-26 Bank Of America Corporation Detecting malicious threats via autostart execution point analysis
WO2021002885A1 (en) * 2019-07-03 2021-01-07 Cyber Team Six, Llc Data breach prevention and remediation
US11303653B2 (en) * 2019-08-12 2022-04-12 Bank Of America Corporation Network threat detection and information security using machine learning
US20210182381A1 (en) * 2019-12-12 2021-06-17 Proofpoint, Inc. Dynamic Message Analysis Platform for Enhanced Enterprise Security
US20230066454A1 (en) * 2020-01-15 2023-03-02 Nec Corporation Information analyzing apparatus, information analyzing method, and computer-readable recording medium
US20210344690A1 (en) * 2020-05-01 2021-11-04 Amazon Technologies, Inc. Distributed threat sensor analysis and correlation
US20210352104A1 (en) * 2020-05-05 2021-11-11 Tigera, Inc. Detecting malicious activity in a cluster
US11388179B2 (en) * 2020-05-06 2022-07-12 Wells Fargo Bank, N.A. Centralized threat intelligence
US11824883B2 (en) * 2020-06-30 2023-11-21 EMC IP Holding Company LLC Variable DCF security scores and data threat portfolio views
US20230247045A1 (en) * 2022-01-28 2023-08-03 Morgan State University Method for quantitative cyber risk measurement

Also Published As

Publication number Publication date
EP4205316A1 (en) 2023-07-05
US11895156B2 (en) 2024-02-06
US20220070222A1 (en) 2022-03-03
US11483351B2 (en) 2022-10-25
WO2022046453A1 (en) 2022-03-03
US20230012641A1 (en) 2023-01-19

Similar Documents

Publication Publication Date Title
US11750653B2 (en) Network intrusion counter-intelligence
US10523541B2 (en) Federated network and application data analytics platform
CN111543038B (zh) 使用中间设备流拼接的网络流拼接
US11470159B2 (en) API key security posture scoring for microservices to determine microservice security risks
US20160359880A1 (en) Geo visualization of network flows
US20190123983A1 (en) Data integration and user application framework
US11128700B2 (en) Load balancing configuration based on traffic flow telemetry
US10917438B2 (en) Secure publishing for policy updates
US11503063B2 (en) Systems and methods for detecting hidden vulnerabilities in enterprise networks
EP3744073B1 (en) Discovery of middleboxes using traffic flow stitching
US20210218638A1 (en) Automatic configuration discovery based on traffic flow data
US20210392135A1 (en) Securing workload and application access from unauthorized entities
US11706239B2 (en) Systems and methods for detecting vulnerabilities in network processes during runtime
US11895156B2 (en) Securing network resources from known threats
US11463483B2 (en) Systems and methods for determining effectiveness of network segmentation policies

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination