TW201642618A - 用於威脅驅動安全性政策控制之系統及方法 - Google Patents

用於威脅驅動安全性政策控制之系統及方法 Download PDF

Info

Publication number
TW201642618A
TW201642618A TW105109783A TW105109783A TW201642618A TW 201642618 A TW201642618 A TW 201642618A TW 105109783 A TW105109783 A TW 105109783A TW 105109783 A TW105109783 A TW 105109783A TW 201642618 A TW201642618 A TW 201642618A
Authority
TW
Taiwan
Prior art keywords
policy
network
machine
security policy
firewall security
Prior art date
Application number
TW105109783A
Other languages
English (en)
Inventor
嘉吉 連
安東尼 培德拉
馬克 伍沃德
Original Assignee
法墨網路公司
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/673,679 external-priority patent/US9294442B1/en
Application filed by 法墨網路公司 filed Critical 法墨網路公司
Publication of TW201642618A publication Critical patent/TW201642618A/zh

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45591Monitoring or debugging support

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computer And Data Communications (AREA)

Abstract

本文中提供針對一安全性系統之方法、系統及媒體。例示性方法可包含:自一政策編譯器獲取一防火牆安全性政策;接收源於一來源機器且被引導至一目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該安全性政策來轉送或卸除該網路訊務中之各者;及根據該安全性政策來重定向該網路訊務之一或多個網路封包。

Description

用於威脅驅動安全性政策控制之系統及方法 【相關申請案之交叉參考】
本非臨時專利申請案主張標題為「System and Method for Threat-Driven Security Policy Controls」之2015年3月30日申請之美國專利申請案序列號第14/673,679號之優先權利且為該美國專利申請案之一接續案,其全部內容(包含其中引用的所有參考)特此以引用的方式併入本文中。
本發明技術大體上係關於網路安全性,且更具體而言,但不以限制的方式,本發明係關於針對係自適應的且藉由宣告政策控制驅動之電腦網路訊務提供一安全性政策控制的系統及方法。
本發明技術之一些實施例包含系統,該等系統可包含:一來源機器;一目的地機器;一政策編譯器;及一執行點,其經由一網路通信地耦合至該來源機器、該目的地機器及該政策編譯器,該執行點包含一處理器及通信地耦合至該處理器的一記憶體,該記憶體儲存可藉由該處理器執行以執行一方法之指令。該方法可包含:自該政策編譯器獲取一防火牆安全性政策;接收源於該來源機器且引導至該目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該安全性政策來轉送或卸除該網路訊務中之各者;累積該網路訊務及 與該網路訊務相關聯的後設資料;及使用該網路訊務及後設資料中之至少一者藉由該政策編譯器啟動對該防火牆安全性政策之一更新。
本發明技術之各種實施例包含方法,該等方法可包含:自一政策編譯器獲取一防火牆安全性政策;接收源於一來源機器且引導至一目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該安全性政策來轉送或卸除該網路訊務中之各者;累積該網路訊務及與該網路訊務相關聯的後設資料;及使用所累積之網路訊務及後設資料中之至少一者,藉由該政策編譯器啟動對該防火牆安全性政策之一更新。
在一些實施例中,本發明包含一非暫時電腦可讀儲存媒體,已在該非暫時電腦可讀儲存媒體上體現一程式,該程式可藉由一處理器執行以執行一方法。該方法可包括:自一政策編譯器獲取一防火牆安全性政策;接收源於一來源機器且引導至一目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該安全性政策來轉送或卸除該網路訊務中之各者;累積該網路訊務及與該網路訊務相關聯的後設資料;及使用所累積之網路訊務及後設資料中之至少一者藉由該政策編譯器啟動對該防火牆安全性政策之一更新。
100‧‧‧系統
105‧‧‧雲端伺服器環境
110‧‧‧管理員介面
115‧‧‧政策編譯器
120‧‧‧伺服器
135‧‧‧架頂式交換機
1401至140x‧‧‧實體主機
1501至150x‧‧‧超管理器
1601,1至1601,y‧‧‧虛擬機
160x,1至160x,y‧‧‧虛擬機
170‧‧‧蜜罐/網路
172‧‧‧瀝青坑
180‧‧‧外部器件
200‧‧‧執行點
205‧‧‧系統
210‧‧‧通信
220‧‧‧檢查
230‧‧‧登錄/分析引擎
240‧‧‧重定向通信
500‧‧‧例示性電腦系統/電腦系統
510‧‧‧處理器單元
520‧‧‧主記憶體
530‧‧‧大量資料儲存裝置
540‧‧‧可攜式儲存器件
550‧‧‧輸出器件
560‧‧‧使用者輸入器件
570‧‧‧圖形顯示系統
580‧‧‧周邊器件
590‧‧‧匯流排
圖1係一系統之一簡化方塊圖。
圖2係一器件之一簡化方塊圖。
圖3係繪示一實例性方法的一流程圖。
圖4係展示另一實例的一流程圖。
圖5係一電腦系統之一簡化方塊圖。
本發明技術之各種實施例提供用於評估及定址包含虛擬機的一資料中心內的通信之系統及方法。該系統及方法識別不安全的通信且 另外停止及/或重定向該通信。經重定向之通信引導至一監視通信節點,其隔離及防止一安全性故障。該監視通信節點亦藉由發送通信(其等顯現為如同自原始預期目標通信節點發送)來哄騙發送通信節點。依此方式,防止一安全性故障、限制損壞及/或獲得關於試圖啟動該安全性故障之一不良行動者的資訊。
本文所討論之通信節點可為一虛擬機、一伺服器、一基於雲端之虛擬機、一主機、一客戶端、一工作負載及/或一電子執行目標。如本文所討論之通信封包包含資料封包或通信節點之間的任何其他電子通信。
資料中心呈現關於安全性的獨特挑戰。使用各種虛擬機(VM)且棲於相同伺服器。不同虛擬機具有不同安全性層級及/或與不同組織相關聯。在不要求虛擬機之間的所有通信通過一單個阻塞點(其將大幅削弱通信效率)之情況下,難以防止起因於該等通信之安全性故障。
一習知資料中心機架或伺服器可為一雲端系統之部分,且可包含多個超管理器及每超管理器多個虛擬機,以及一交換機(TOR交換機,或「架頂式」交換機)。該TOR交換機調節及監測該伺服器內之虛擬機之間的訊務,及/或將該伺服器連接至雲端系統之外部(例如網際網路)、一內部網路及/或其他部分。一超管理器為提取硬體用於提供服務至多個客作業系統的一虛擬方式。相同伺服器上的兩個虛擬機通常可通信,此係因為一傳統、集中防火牆不能夠在不會大幅削弱通信效率之情況下操作及防止此類型之互動。相比而言,一分佈式防火牆允許一虛擬機與相鄰或接近虛擬機通信,同時維持安全性。
本發明技術之執行點模型提供一分佈式防火牆至一雲端環境中的多個通信節點。在各種實施例中,該執行點模型包含在容置虛擬機之伺服器外部操作的執行點引擎,及/或在一伺服器之交換機中包含 額外元件(例如執行點攔截器)。藉由一執行點之重定向,以各種方式(例如藉由隧穿一分佈式防火牆之一網狀架構、複製及發送一複本至一蜜罐(honeypot)、發送TCP重設以防止未來通信及/或藉由(例如)窺探IP位址)來實施。藉由一執行點或實施一分佈式防火牆之一執行點模型之軟體模組的其他可能動作亦係可行的。
雲端系統之一個挑戰係由信用卡公司所需之安全性配置繪示。此等協定指稱為PCI(支付卡行業),且為用於本發明技術之零售順從性中之一使用案例。PCI機器(虛擬或實體)要求執行特定安全性協定以通過信用卡公司檢查。例如,儲存、處理及轉送信用卡資料之系統(PCI機器)不應與不執行此等功能之系統(非PCI機器)通信。類似地,針對本發明技術設定之一金融行業中之一使用案例可限制生產機器與產前機器之間的通信。
圖1係根據一實例性實施例之繪示系統100之一方塊圖。系統100包含雲端伺服器環境105,其可為一公共雲端、私人雲端、一內部網路或任何其他適當網路。雲端伺服器環境105包含一管理員介面110,其啟用一資訊技術(IT)或安全性管理員,以輸入安全性政策。管理員介面110包含一使用者介面及/或一應用程式設計介面(API)。此等政策包含(例如)防止高價值資產與高風險資產通信的禁止、防止PCI順從工作負載與非PCI順從工作負載通信的禁止,或防止生產機器與測試/開發機器通信的禁止。此等政策亦可包含失效切換政策或任何其他適當禁止、限制或政策。
管理員介面110與政策編譯器115雙向通信,該政策編譯器將抽象政策轉換成電腦可執行指令。政策編譯器115將該等電腦可執行指令傳達給伺服器120。雲端伺服器環境105包含諸多伺服器,其等具有一類似於彼此或不同於彼此之結構,且具有一類似於或不同於伺服器120之結構。伺服器120經耦合至雲端伺服器環境105中的一些或所有 其他伺服器。伺服器120亦經耦合至網路170,該網路可為網際網路、一內部網路或任何其他適當網路。網路170經耦合至網際網路上的所有其他器件(此處表示為外部器件180)。外部器件180包含針對一不良行動者或駭客(其對誘發與雲端伺服器環境105相關聯之一實體之一安全性故障感興趣)達至網路170的存取點。
伺服器120包含TOR交換機(架頂式交換機)135,該TOR交換機操作以控制進出伺服器120之通信。伺服器120包含至少一或多個實體主機1401至140x。實體主機1401至140x中之各者分別包含超管理器1501至150x。超管理器1501至150x中之各者分別包含一或多個虛擬機(VM)1601,1至1601,y至160x,1至160x,y。替代地或另外,可使用不同虛擬機系統(例如容器)。另外,伺服器120包含蜜罐(HP)170及/或瀝青坑(tarpit)(TP)172(圖2)。蜜罐170操作以接收視為不安全的通信,且另外藉由哄騙或顯現為一惡意通信之原始目標而自一不良行動者抽出額外通信。瀝青坑172操作以出於登錄及分析目的而接收視為不安全的通信。儘管在實體主機140x之超管理器150x中描繪蜜罐170及瀝青坑172,但蜜罐170及瀝青坑172可在任何實體主機之任何超管理器中、在相同伺服器(機架)、不同伺服器(機架)、不同資料中心等等中。就圖2來更詳細討論伺服器120及其組成部份之操作。
圖2係根據一實例性實施例之繪示包含伺服器120及政策編譯器115之系統205之一方塊圖。政策編譯器115將經編譯之宣告安全性政策傳達給伺服器120之TOR交換機135中的執行點200。在名稱為「Conditional Declarative Policies」之相關美國專利申請案(申請案序列號第14/673,640號)(其全部內容特此以引用的方式併入)中進一步描述政策編譯器115。儘管在實體主機1401之超管理器1501中描繪執行點200,但執行點200可在任何實體主機之任何超管理器中、在相同伺服器(機架)、不同伺服器(機架)、不同資料中心等等中。儘管圖2中展 示一個執行點200,但在伺服器120中可供應兩個或兩個以上執行點200。執行點200監測由伺服器120中之虛擬機啟動及/或接收的訊務(其被引導至伺服器120中的虛擬機、被引導至雲端環境中的其他虛擬機,或被引導至雲端環境外部)。在一些實施例中,執行點200監測由伺服器120中之特定虛擬機啟動及/或接收的訊務。
圖2中繪示藉由虛擬機1602,1啟動且引導至伺服器120之虛擬機1602,Y的通信210。執行點200在將通信210轉送至虛擬機1602,Y之前進行檢查220。若通信210(例如)藉由不超過一風險得分之一觸發臨限值或因為通信210不違反一條件式宣告安全性政策而不違反任何政策,則執行點200允許通信210進行至虛擬機1602,Y。在此情況中,執行點200可保留關於通信210之資訊,其包含(例如)通信210之後設資料及/或內容,且可登錄、儲存或將此資訊傳達給登錄/分析引擎230。
然而,若通信210(例如)藉由超過一風險得分之一觸發臨限值或藉由違反一條件式宣告安全性政策而違反一或多個政策,則執行點200防止或拒絕通信210進行至虛擬機1602,Y。替代地,在此情況中,執行點200重定向通信210(作為重定向通信240)至蜜罐170。蜜罐170操作以接收視為不安全的通信且另外藉由哄騙或顯現為一惡意通信之原始目標而自一不良行動者抽出額外通信。例如,重定向通信240係雙向的,且蜜罐170回應於自虛擬機1602,1之通信,且包含與虛擬機1602,Y相關聯的通信識別符。依此方式,蜜罐170哄騙或模擬虛擬機1602,Y,且藉此自虛擬機1602,1誘發額外通信。由於此哄騙,因此獲得關於任何不良行動者的額外資訊(其包含身分識別、技術及伺服器120或雲端環境中的任何經識別之弱點)。
另外或替代地,執行點200重定向通信210(作為一重定向通信)至瀝青坑172。瀝青坑172操作以接收視為不安全的通信,且將該等不安全的通信維持在一隔離狀態中,藉此防止對伺服器120上或雲端環境 內的任何其他虛擬機之干擾。瀝青坑172亦提供用於不安全通信之登錄及分析的資訊之一來源。
另外,執行點200保留有關重定向通信240之資訊,其包含(例如)重定向通信240之後設資料及/或內容,且登錄、儲存或將此資訊傳達給登錄/分析引擎230。
另外或替代地,一虛擬機(例如VM 1602,1)可判定為受損且成為一高風險虛擬機。安全性政策可經更新以反映針對虛擬機(例如VM 1602,1)之變化及藉由執行點200自政策編譯器115接收之一經更新(例如重新編譯)防火牆規則集。該經更新防火牆規則集可引導執行點200阻擋通信/訊務及/或提供額外監測,如上文所描述。
在本發明技術之實施例中,一安全性政策實施為一條件式宣告政策。一宣告政策之條件係依據順從性、安全性及資料中心內的租戶。順從性(例如)意謂PCI機器不與非PCI機器通信,且反之亦然,此為PCI協定之一委任。地理位置政策亦可藉由一宣告政策實施。例如,不允許敏感資料在瑞士外部。類似地,依據聯邦政府之一委任,一宣告政策可將對私密工作負載之存取僅限制於美國公民。
另外或替代地,安全性政策不為政府委任,但為針對安全性政策之最佳實踐。例如,藉由一宣告安全性政策實施之一安全性政策防止高風險機器(例如一測試開發機器)與高價值資產通信。可基於一風險計分系統(類似於一信用得分)判定高風險機器,該風險計分系統評價若干屬性以判定一風險得分。類似地,若一機器(虛擬或實體)(例如)藉由一網路攻擊受損,則限制導引至及導引遠離該機器之通信通道。依此方式,此時起防止經由一弱鏈機器獲得存取之駭客在網路內移動至較高價值機器。
租戶政策允許應用程式開發者存取特定服務。例如,為了產生一郵件服務,一開發者可需要存取一網域名稱系統(DNS)伺服器、一 簡易郵件傳送協定(SMTP)伺服器及/或輕量級目錄存取協定(LDAP)伺服器。提供此存取為一租戶政策之一實例。
宣告政策(順從性、安全性及/或租戶)在一規則基礎上動態地編譯以維持該政策針對一資料中心更新。編譯宣告政策固有的宣告規則,接著實施該宣告規則,且該編譯起因於宣告規則之修訂而為動態的。
藉由在一分佈式防火牆上實施的一宣告安全性政策實施之安全性層級之實例包含「總是必須服從」規則,其等最初藉由負責實施安全性政策之一防火牆管理員實施。總是必須服從規則係絕對的,且其他使用者必須自一IT或安全性管理員請求一宣告以存取藉由防止通信的一總是必須服從規則保護之一工作負載。
經實施之一較低安全性層級之一實例為一「通常必須服從」規則,其提供一較低保護順序。一IT管理器可經由一圖形使用者介面(GUI)、經由一命令行介面或經由一基於REST之API(其中REST代表「表示狀態傳送」)實施一條件式宣告政策。
此等系統輸入政策至本發明技術,從而形成一宣告政策表。該宣告政策表動態地重新編譯為一組編譯規則,其等下推至分佈式防火牆用於實施。一列規則推動至分佈式防火牆之元件,且該等規則可為(例如)防止特定機器(IP位址)彼此通信之禁止。一實例性政策為PCI順從工作負載無法與非PCI順從工作負載通信。
在本發明技術之例示性實施例中,以多種方式實施宣告政策。阻擋通信為最強的可行動作,但回應更細微亦係可行的。例如,宣告政策為高風險工作負載無法與高價值工作負載通信,且虛擬機1(VM1)被安全性政策識別為高風險,而虛擬機2(VM2)被識別為高價值。若VM1受損,則替代僅阻擋自VM1之通信,系統可存取待採取之一列可能動作。例如,該系統重定向通信至一蜜罐、瀝青坑或者另外 或替代地,重定向至一合成攻擊表面(本文中統稱為監視節點)。相比而言,一傳統防火牆為一個二進位系統,其阻擋或允許通信。重定向可引起一封包發送,以由分佈式防火牆隔離。一蜜罐可與通信之一來源通信,且可模仿真實目標,藉此獲得關於受損虛擬機及/或其作業者的額外資訊。
使用本發明技術,各種威脅技術回應係可行的。初始態樣為偵測及/或識別一通信為可疑,其可起因於升高至一第一觸發層級上之一風險得分,其中該第一觸發層級不可證明阻擋通信為正當的。該第一觸發可引起額外檢驗,或另一中間回應。若到達一第二或更高觸發點,則可實施重定向至一蜜罐及/或其他另一調查工具。如關於圖3及圖4所描述,可執行針對風險得分之一調整及/或針對安全性政策之一調整。根據一些實施例,動態地計算一風險得分有利地告知防火牆政策。另外或替代地,可阻擋或允許後續通信。
圖3展示根據一些實施例之一種用於登錄網路訊務及與該訊務相關聯之後設資料的方法300。在各種實施例中,網路訊務為一(電腦/資料)網路中的資料(經囊封於網路封包中)。在步驟310處,獲取一經編譯之安全性政策。例如,一經編譯之安全性政策係獲取自政策編譯器115(圖1)。在步驟320處,接收網路訊務。例如,該等通信封包自VM 1602,1發送至VM 1602,Y,且由執行點200檢查(圖2)。
在步驟330處,使用安全性政策來分析網路訊務。例如,網路訊務係由執行點200分析,且執行點200判定違反安全性政策(例如通信不被政策允許或許可)或不違反安全性政策(例如通信被政策允許或許可)。在步驟340處,轉送或卸除網路訊務。以非限制性實例的方式,網路訊務被引導至其預期接受者及/或網路訊務重定向至蜜罐170。以另一非限制性實例的方式,卸除網路訊務(例如不允許進行至其預期接受者)。
在步驟350處,登錄經登錄之訊務及與該訊務相關聯的後設資料。例如,登錄或累積來源IP位址、來源連接埠、目的地IP位址、目的地連接埠、(應用程式)協定、藉由安全性政策規定之動作、藉由執行點採取之動作、後設資料及其類似者中之至少一者。在一些實施例中,後設資料係與一(應用程式)協定(其與封包及後續相關封包中之各者相關聯)相關聯。與封包相關聯的協定包含以下各項中之一者:動態主機組態協定(DHCP)、網域名稱系統(DNS)、檔案傳送協定(FTP)、超文字傳送協定(HTTP)、網際網路訊息存取協定(IMAP)、郵局協定(POP)、安全殼(SSH)、安全通訊端層(SSL)、傳送層安全性(TLS)及其類似者。與DNS相關聯的後設資料可為一請求主機名稱。與HTTP相關聯的後設資料可為一請求網頁及/或一代理程式(例如發起封包之特定網頁瀏覽器及網頁瀏覽器版本)。在一些實施例中,登錄包含封包捕獲(PCAP)。在一些實施例中,實質上即時執行方法400(圖4)。以非限制性實例的方式,在步驟350之後,方法300視情況進行至圖4中之方法400之步驟420。
在各種實施例中,至少部分地不即時執行方法400。以另一非限制性實例的方式,在步驟360處,登錄或累積網路訊務及相關聯的後設資料視情況被儲存在一資料儲存器中,且方法300視情況進行至方法400之步驟410。
圖4描繪一種用於使用與一(潛在)威脅相關聯的至少累積資料來動態地計算一風險得分以告知防火牆政策的方法400。在步驟410處,視情況接收一登錄。例如,在步驟360(圖3)處儲存之一登錄係擷取自一資料儲存器。在步驟420處,方法300視情況自步驟350(圖3)繼續。例如,在步驟420處,檢查在步驟350處累積的訊務及相關聯的後設資料。
在步驟420處,檢查訊務及相關聯的後設資料。在一些實施例 中,自訊務及相關聯的後設資料識別通信/操作/行為。例如,識別通常使用SSH突然使用遠端登入之一VM。提供另一實例,至一VM之FTP連接之一數目超過一特定時間量內之一預定義數目。此等可疑VM將被識別,且被發送至步驟430。
在步驟430處,自一外部記錄系統接收與訊務相關聯的資訊。以非限制性實例的方式,外部記錄系統為以下各項中之至少一者:Microsoft Active Directory(AD)、ServiceNow、VMware vCenter、Apache CloudStack、OpenStack及其類似者。在一些實施例中,一種用於管理VM之系統(例如VMware vCenter、Apache CloudStack、OpenStack及其類似者)提供關於可疑VM的資訊。該資訊提供關於可疑VM的脈絡。例如,該外部記錄系統包含用於(使用者定義)分類及標誌之設施,其等提供脈絡至可疑活動(例如潛在威脅)。以另一非限制性實例的方式,該等種類及標誌將一VM識別為一QA系統或測試開發系統(之一部分),與一生產系統相對,其中一QA或測試開發系統不應存取敏感資訊。以額外非限制性實例的方式,該等種類及標誌將兩個機器識別為突然在一備份配對中,其中此一配對先前不存在。
在步驟440處,加權網路訊務、相關聯的後設資料及自該外部記錄系統之資訊。例如,與該外部記錄系統之該等標誌及種類相關聯的一較高信任或可信度導致該外部記錄系統之該資訊之相對於其他因素(例如累積網路訊務及相關聯的後設資料)的較大考量。例如,與該外部記錄系統之該等標誌及種類相關聯的一較低信任或可信度導致該外部記錄系統之該資訊之相對於其他因素(例如累積網路訊務及相關聯的後設資料)的較少考量。
亦在步驟440處,使用權重統計上分析網路訊務、相關聯的後設資料及自該外部記錄系統之資訊以產生一經更新風險得分。風險得分可為協定特定的(例如FTP協定具有一高得分,此係因為FTP協定可傳 送出大量檔案及關鍵資訊)。由於其互動本質,遠端登入協定具有一較低得分。該風險得分可為任何(預定及/或十進位)數值範圍(藉由政策編譯器115理解)。以非限制性實例的方式,該風險得分在-10至+10、0至100、0至1000及其類似者之範圍中。
在步驟450處,啟動(例如請求)一安全性政策重新編譯,其包含提供經更新風險得分。例如,自政策編譯器115請求一安全性政策重新編譯。回應於使用(例如)至少經更新風險得分重新編譯該安全性政策,政策編譯器115散佈一所得經更新安全性政策至執行點200。
圖5繪示可用以實施本發明之一些實施例的一例示性電腦系統500。圖5中之電腦系統500可在計算系統、網絡、伺服器或其組合之類似物之脈絡中實施。圖5之電腦系統500包含一或多個處理器單元510及主記憶體520。主記憶體520部分地儲存用於藉由(若干)處理器單元510執行之指令及資料。在此實例中,當操作時,主記憶體520儲存可執行程式碼。圖5之電腦系統500進一步包含一大量資料儲存裝置530、可攜式儲存器件540、輸出器件550、使用者輸入器件560、一圖形顯示系統570及周邊器件580。
圖5中所展示組件描繪為經由一單個匯流排590連接。該等組件可透過一或多個資料傳送構件連接。(若干)處理器單元510及主記憶體520經由一局部微處理器匯流排連接,且大量資料儲存裝置530、周邊器件580、可攜式儲存器件540及圖形顯示系統570經由一或多個輸入/輸出(I/O)匯流排連接。
大量資料儲存裝置530(其可使用一磁性磁碟機、固態磁碟機或一光碟機實施)為用於儲存藉由(若干)處理器單元510使用之資料及指令的一非揮發性儲存器件。大量資料儲存裝置530儲存系統軟體,該系統軟體用於出於將該軟體載入至主記憶體520中之目的而實施本發明之實施。
可攜式儲存器件540結合一可攜式非揮發性儲存媒體(諸如一快閃驅動器、軟磁碟、光碟、數位視訊光碟或通用串列匯流排(USB)儲存器件)操作以將資料及程式碼輸入至圖5之電腦系統500及自圖5之電腦系統500輸出資料及程式碼。用於實施本發明之實施例的系統軟體儲存在此一可攜式媒體上且經由可攜式儲存器件540輸入至電腦系統500。
使用者輸入器件560可提供一使用者介面之一部分。使用者輸入器件560可包含一或多個麥克風、一文數小鍵盤(諸如一鍵盤,其用於輸入文數及其他資訊)或一指向器件(諸如一滑鼠、一軌跡球、觸控筆或遊標方向鍵)。使用者輸入器件560亦可包含一觸摸螢幕。另外,如圖5中所展示之電腦系統500包含輸出器件550。適合輸出器件550包含擴音器、印表機、網路介面及監測器。
圖形顯示系統570包含一液晶顯示器(LCD)或其他適合顯示器件。圖形顯示系統570可組態以接收文字及圖形資訊且處理該資訊用於輸出至該顯示器件。
周邊器件580可包含任何類型之電腦支援器件,其添加額外功能性至該電腦系統。
圖5之電腦系統500中所提供的組件為通常存在於電腦系統中的彼等組件,其等可適合於與本發明之實施例一起使用且意欲表示所屬技術領域中已知之此等電腦組件之一廣泛種類。因此,圖5之電腦系統500可為一個人電腦(PC)、手持式電腦系統、電話、行動電腦系統、工作站、平板電腦、平板手機、行動電話、伺服器、迷你電腦、主機電腦、可穿戴式或任何其他電腦系統。電腦亦可包含不同匯流排組態、網路平台、多處理器平台及其類似者。可使用各種作業系統,其等包含UNIX、LINUX、WINDOWS、MAC OS、PALM OS、QNX ANDROID、IOS、CHROME、TIZEN及其他適合作業系統。
用於各種實施例之處理可在基於雲端之軟體中實施。在一些實施例中,電腦系統500可實施為一基於雲端之計算環境(諸如在一計算雲端內操作的一虛擬機)。在其他實施例中,電腦系統500自身可包含一基於雲端之計算環境,其中電腦系統500之功能性以一分佈式方式執行。因此,當組態為一計算雲端時,電腦系統500可包含各種形式之複數個計算器件,如下文將更詳細描述。
一般而言,一基於雲端之計算環境為一資源,該資源通常組合處理器之一較大分組(諸如在網頁伺服器內)之計算能力及/或組合電腦記憶體及/或儲存器件之一較大分組之儲存能力。提供基於雲端之資源的系統可藉由其所有者專門利用或此等系統可被外部使用者(其在計算基礎設施內部署應用程式以獲得較大計算或儲存資源之益處)存取。
雲端藉由(例如)網頁伺服器(其包括複數個計算器件(諸如電腦系統500))之一網路形成,其中各伺服器(或至少其複數個伺服器)提供處理器及/或儲存資源。此等伺服器可管理藉由多個使用者(例如雲端資源客戶或其他使用者)提供之工作負載。通常,各使用者將工作負載要求施加於即時變動(有時劇烈變動)之雲端。此等變動之本質及程度通常取決於與使用者相關聯的業務之類型。
上文參考實例性實施例描述本發明技術。因此,對該等實例性實施例的其他變動意欲藉由本發明涵蓋。
100‧‧‧系統
105‧‧‧雲端伺服器環境
110‧‧‧管理員介面
115‧‧‧政策編譯器
120‧‧‧伺服器
135‧‧‧架頂式交換機
1401至140x‧‧‧實體主機
1501至150x‧‧‧超管理器
1601,1至1601,y‧‧‧虛擬機
160x,1至160x,y‧‧‧虛擬機
170‧‧‧蜜罐/網路
180‧‧‧外部器件

Claims (21)

  1. 一種系統,其包括:一來源機器;一目的地機器;一政策編譯器;及一執行點,其係經由一網路通信地耦合至該來源機器、該目的地機器及該政策編譯器,該執行點包含一處理器及經通信地耦合至該處理器之一記憶體,該記憶體儲存可由該處理器執行以執行一方法之指令,該方法包含:自該政策編譯器獲取一防火牆安全性政策;接收源於該來源機器且被引導至該目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該防火牆安全性政策來轉送或卸除該網路訊務;及根據該安全性政策來重定向該網路訊務之一或多個網路封包。
  2. 如請求項1之系統,其中該方法進一步包括:累積該網路訊務及與該網路訊務相關聯的後設資料;及使用該網路訊務及後設資料中之至少一者,藉由該政策編譯器來啟動對該防火牆安全性政策之一更新。
  3. 如請求項2之系統,其中該藉由該政策編譯器來啟動對該防火牆安全性政策之該更新包括:自一外部記錄系統接收與該來源機器及該目的地機器相關聯的資訊;加權一經重定向網路封包、另一網路訊務、該後設資料,及 該所接收資訊中之一或多者;統計上分析該經重定向網路封包、該另一網路訊務、該後設資料及該所接收資訊中之該經加權之一或多者,以計算一經更新風險得分;及提供該經更新風險得分至該政策編譯器,使得該政策編譯器產生一經更新防火牆安全性政策。
  4. 如請求項3之系統,其中該方法進一步包括:將該經更新防火牆安全性政策應用於另一封包。
  5. 如請求項2之系統,其中該政策編譯器使用至少一條件式宣告政策、該後設資料及該經更新風險得分來產生該經更新防火牆安全性政策。
  6. 如請求項1之系統,進一步包括:一監視節點,其係經由該網路通信地耦合至該來源機器,其中該重定向係達至該監視節點。
  7. 如請求項6之系統,其中該來源機器與該監視節點通信,如同該監視節點為該目的地機器。
  8. 如請求項7之系統,其中該監視節點為一蜜罐。
  9. 如請求項1之系統,其中根據該防火牆安全性政策之該轉送或卸除該網路訊務使用以下各項中之至少一者:與該來源機器相關聯之一位址、與該來源機器相關聯之一連接埠、與該目的地機器相關聯之一位址、與該目的地機器相關聯之一連接埠及與該封包相關聯之一協定。
  10. 如請求項1之系統,其中該來源機器為一第一實體主機及一第一虛擬機中之至少一者,且其中該目的地機器為一第二實體主機及一第二虛擬機中之至少一者。
  11. 一種用於操作一執行點之方法,其包括: 自一政策編譯器獲取一防火牆安全性政策;接收源於一來源機器且被引導至一目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該防火牆安全性政策來轉送或卸除該網路訊務中之各者;及根據該安全性政策來重定向該網路訊務之一或多個網路封包。
  12. 如請求項11之方法,進一步包括:累積該網路訊務及與該網路訊務相關聯的後設資料;及使用該網路訊務及後設資料中之至少一者,藉由該政策編譯器來啟動對該防火牆安全性政策之一更新。
  13. 如請求項12之方法,其中該藉由該政策編譯器來啟動對該防火牆安全性政策之該更新包括:自一外部記錄系統接收與該來源機器及該目的地機器相關聯的資訊;加權一經重定向網路封包、另一網路訊務、該後設資料,及該所接收資訊中之一或多者;統計上分析該經重定向網路封包、該另一網路訊務、該後設資料及該所接收資訊中之該經加權之一或多者,以計算一經更新風險得分;及提供該經更新風險得分至該政策編譯器,使得該政策編譯器產生一經更新防火牆安全性政策。
  14. 如請求項13之系統,進一步包括:將該經更新防火牆安全性政策應用於另一封包。
  15. 如請求項12之系統,其中該政策編譯器使用至少一條件式宣告政策、該後設資料及該經更新風險得分來產生該經更新防火牆 安全性政策。
  16. 如請求項11之方法,其中該重定向係達至一監視節點,該監視節點係經由一網路通信地耦合至該來源機器。
  17. 如請求項16之系統,其中該來源機器與該監視節點通信,如同該監視節點為該目的地機器。
  18. 如請求項17之系統,其中該監視節點為一蜜罐。
  19. 如請求項11之方法,其中根據該防火牆安全性政策之該轉送或卸除該網路訊務中之各者使用以下各項中之至少一者:與該來源機器相關聯之一位址、與該來源機器相關聯之一連接埠、與該目的地機器相關聯之一位址、與該目的地機器相關聯之一連接埠及與該封包相關聯之一協定。
  20. 如請求項11之系統,其中該來源機器為一第一實體主機及一第一虛擬機中之至少一者,且其中該目的地機器為一第二實體主機及一第二虛擬機中之至少一者。
  21. 一種非暫時電腦可讀儲存媒體,其上經體現有一程式,該程式可藉由一處理器執行以執行一方法,該方法包括:自一政策編譯器獲取一防火牆安全性政策;接收源於一來源機器且被引導至一目的地機器的網路訊務;使用該防火牆安全性政策來分析該網路訊務;根據該防火牆安全性政策來轉送或卸除該網路訊務;累積該網路訊務及與該網路訊務相關聯的後設資料;及使用該網路訊務及該後設資料中之至少一者,藉由該政策編譯器來啟動對該防火牆安全性政策之一更新。
TW105109783A 2015-03-30 2016-03-28 用於威脅驅動安全性政策控制之系統及方法 TW201642618A (zh)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US14/673,679 US9294442B1 (en) 2015-03-30 2015-03-30 System and method for threat-driven security policy controls
US15/008,298 US10009381B2 (en) 2015-03-30 2016-01-27 System and method for threat-driven security policy controls

Publications (1)

Publication Number Publication Date
TW201642618A true TW201642618A (zh) 2016-12-01

Family

ID=57007250

Family Applications (1)

Application Number Title Priority Date Filing Date
TW105109783A TW201642618A (zh) 2015-03-30 2016-03-28 用於威脅驅動安全性政策控制之系統及方法

Country Status (3)

Country Link
US (1) US10009381B2 (zh)
TW (1) TW201642618A (zh)
WO (1) WO2016160599A1 (zh)

Cited By (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609083B2 (en) 2011-02-10 2017-03-28 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US9621595B2 (en) 2015-03-30 2017-04-11 Varmour Networks, Inc. Conditional declarative policies
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10009317B2 (en) 2016-03-24 2018-06-26 Varmour Networks, Inc. Security policy generation using container metadata
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system

Families Citing this family (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9692727B2 (en) * 2014-12-02 2017-06-27 Nicira, Inc. Context-aware distributed firewall
GB2551200B (en) * 2016-06-10 2019-12-11 Sophos Ltd Combined security and QOS coordination among devices
US10313384B1 (en) * 2016-08-11 2019-06-04 Balbix, Inc. Mitigation of security risk vulnerabilities in an enterprise network
GB2554982B (en) * 2016-08-16 2019-02-13 British Telecomm Security in virtualised computing environments
GB2554984B (en) * 2016-08-16 2019-02-13 British Telecomm Secure configuration in a virtualised computing environment
GB2554983B (en) * 2016-08-16 2019-02-13 British Telecomm Attack assessment in a virtualised computing environment
WO2018033375A2 (en) 2016-08-16 2018-02-22 British Telecommunications Public Limited Company Mitigating security attacks in virtualised computing environments
GB2555176B (en) * 2016-08-16 2019-02-13 British Telecomm Machine learning for attack mitigation in virtual machines
GB2554981A (en) 2016-08-16 2018-04-18 British Telecomm Configuration parameters for virtual machines
US11562076B2 (en) 2016-08-16 2023-01-24 British Telecommunications Public Limited Company Reconfigured virtual machine to mitigate attack
US10873565B2 (en) 2016-12-22 2020-12-22 Nicira, Inc. Micro-segmentation of virtual computing elements
CN106603583A (zh) * 2017-02-23 2017-04-26 北京工业大学 一种微服务网络构建方法
US11190544B2 (en) * 2017-12-11 2021-11-30 Catbird Networks, Inc. Updating security controls or policies based on analysis of collected or created metadata
CN107920022B (zh) * 2017-12-26 2021-08-24 北京天融信网络安全技术有限公司 一种虚拟机安全通信系统及虚拟机安全通信方法
US10313127B1 (en) * 2018-09-28 2019-06-04 Trackoff, Inc. Method and system for detecting and alerting users of device fingerprinting attempts
CN110855697A (zh) * 2019-11-20 2020-02-28 国网湖南省电力有限公司 电力行业网络安全的主动防御方法

Family Cites Families (163)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6147993A (en) 1997-10-14 2000-11-14 Cisco Technology, Inc. Method and apparatus for implementing forwarding decision shortcuts at a network switch
US6484261B1 (en) 1998-02-17 2002-11-19 Cisco Technology, Inc. Graphical network security policy management
US6779118B1 (en) 1998-05-04 2004-08-17 Auriq Systems, Inc. User specific automatic data redirection system
US6253321B1 (en) 1998-06-19 2001-06-26 Ssh Communications Security Ltd. Method and arrangement for implementing IPSEC policy management using filter code
IL143573A0 (en) 1998-12-09 2002-04-21 Network Ice Corp A method and apparatus for providing network and computer system security
US6970459B1 (en) 1999-05-13 2005-11-29 Intermec Ip Corp. Mobile virtual network system and method
US6765864B1 (en) 1999-06-29 2004-07-20 Cisco Technology, Inc. Technique for providing dynamic modification of application specific policies in a feedback-based, adaptive data network
US6578076B1 (en) 1999-10-18 2003-06-10 Intel Corporation Policy-based network management system using dynamic policy generation
US20020031103A1 (en) 2000-05-02 2002-03-14 Globalstar L.P. User terminal employing quality of service path determination and bandwidth saving mode for a satellite ISP system using non-geosynchronous orbit satellites
US20070192863A1 (en) * 2005-07-01 2007-08-16 Harsh Kapoor Systems and methods for processing data flows
US7096260B1 (en) 2000-09-29 2006-08-22 Cisco Technology, Inc. Marking network data packets with differentiated services codepoints based on network load
WO2002098100A1 (en) 2001-05-31 2002-12-05 Preventon Technologies Limited Access control systems
US7546629B2 (en) 2002-03-06 2009-06-09 Check Point Software Technologies, Inc. System and methodology for security policy arbitration
US7904454B2 (en) 2001-07-16 2011-03-08 International Business Machines Corporation Database access security
US7165100B2 (en) 2001-07-24 2007-01-16 At&T Corp. Method and apparatus for packet analysis in a network
US7058712B1 (en) 2002-06-04 2006-06-06 Rockwell Automation Technologies, Inc. System and methodology providing flexible and distributed processing in an industrial controller environment
US7849495B1 (en) 2002-08-22 2010-12-07 Cisco Technology, Inc. Method and apparatus for passing security configuration information between a client and a security policy server
US7313098B2 (en) 2002-09-30 2007-12-25 Avaya Technology Corp. Communication system endpoint device with integrated call synthesis capability
US7062566B2 (en) 2002-10-24 2006-06-13 3Com Corporation System and method for using virtual local area network tags with a virtual private network
US20050033989A1 (en) 2002-11-04 2005-02-10 Poletto Massimiliano Antonio Detection of scanning attacks
US7035257B2 (en) 2002-11-14 2006-04-25 Digi International, Inc. System and method to discover and configure remotely located network devices
US7397794B1 (en) 2002-11-21 2008-07-08 Juniper Networks, Inc. Systems and methods for implementing virtual switch planes in a physical switch fabric
WO2004107130A2 (en) 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
US7203944B1 (en) 2003-07-09 2007-04-10 Veritas Operating Corporation Migrating virtual machines among computer systems to balance load caused by virtual machines
US7523484B2 (en) 2003-09-24 2009-04-21 Infoexpress, Inc. Systems and methods of controlling network access
US20050114829A1 (en) 2003-10-30 2005-05-26 Microsoft Corporation Facilitating the process of designing and developing a project
US7373524B2 (en) 2004-02-24 2008-05-13 Covelight Systems, Inc. Methods, systems and computer program products for monitoring user behavior for a server application
US20050190758A1 (en) 2004-03-01 2005-09-01 Cisco Technology, Inc. Security groups for VLANs
US7586922B2 (en) 2004-03-12 2009-09-08 Telefonaktiebolaget Lm Ericsson (Publ) Providing higher layer packet/frame boundary information in GRE frames
US20050246241A1 (en) 2004-04-30 2005-11-03 Rightnow Technologies, Inc. Method and system for monitoring successful use of application software
JP4341517B2 (ja) 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US7519079B2 (en) 2004-09-08 2009-04-14 Telefonaktiebolaget L M Ericsson (Publ) Generic routing encapsulation over point-to-point protocol
US8032937B2 (en) 2004-10-26 2011-10-04 The Mitre Corporation Method, apparatus, and computer program product for detecting computer worms in a network
WO2006081624A1 (en) 2005-02-04 2006-08-10 Bp Australia Pty Ltd System and method for evaluating initiatives adapted to deliver value to a customer
US8056124B2 (en) 2005-07-15 2011-11-08 Microsoft Corporation Automatically generating rules for connection security
US7961739B2 (en) 2005-07-21 2011-06-14 Genband Us Llc Systems and methods for voice over multiprotocol label switching
US9467462B2 (en) 2005-09-15 2016-10-11 Hewlett Packard Enterprise Development Lp Traffic anomaly analysis for the detection of aberrant network code
JP4482816B2 (ja) 2005-09-27 2010-06-16 日本電気株式会社 ポリシ処理装置、方法、及び、プログラム
US7996255B1 (en) 2005-09-29 2011-08-09 The Mathworks, Inc. System and method for providing sales leads based on-demand software trial usage
US8104033B2 (en) 2005-09-30 2012-01-24 Computer Associates Think, Inc. Managing virtual machines based on business priorty
US20070168971A1 (en) 2005-11-22 2007-07-19 Epiphany, Inc. Multi-tiered model-based application testing
US7694181B2 (en) 2005-12-12 2010-04-06 Archivas, Inc. Automated software testing framework
US9015299B1 (en) 2006-01-20 2015-04-21 Cisco Technology, Inc. Link grouping for route optimization
US8613088B2 (en) 2006-02-03 2013-12-17 Cisco Technology, Inc. Methods and systems to detect an evasion attack
CA2644386A1 (en) 2006-03-03 2007-09-07 Art Of Defence Gmbh Distributed web application firewall
EP2002634B1 (en) 2006-03-27 2014-07-02 Telecom Italia S.p.A. System for enforcing security policies on mobile communications devices
US7801128B2 (en) 2006-03-31 2010-09-21 Amazon Technologies, Inc. Managing communications between computing nodes
US8316439B2 (en) 2006-05-19 2012-11-20 Iyuko Services L.L.C. Anti-virus and firewall system
US7743414B2 (en) 2006-05-26 2010-06-22 Novell, Inc. System and method for executing a permissions recorder analyzer
US7774837B2 (en) 2006-06-14 2010-08-10 Cipheroptics, Inc. Securing network traffic by distributing policies in a hierarchy over secure tunnels
US7742414B1 (en) 2006-06-30 2010-06-22 Sprint Communications Company L.P. Lightweight indexing for fast retrieval of data from a flow-level compressed packet trace
US20080083011A1 (en) 2006-09-29 2008-04-03 Mcalister Donald Protocol/API between a key server (KAP) and an enforcement point (PEP)
US20080155239A1 (en) 2006-10-10 2008-06-26 Honeywell International Inc. Automata based storage and execution of application logic in smart card like devices
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8381209B2 (en) 2007-01-03 2013-02-19 International Business Machines Corporation Moveable access control list (ACL) mechanisms for hypervisors and virtual machines and virtual port firewalls
US20080229382A1 (en) 2007-03-14 2008-09-18 Motorola, Inc. Mobile access terminal security function
US20080239961A1 (en) 2007-03-30 2008-10-02 Microsoft Corporation Packet routing based on application source
US8341739B2 (en) 2007-05-24 2012-12-25 Foundry Networks, Llc Managing network security
US20080301770A1 (en) 2007-05-31 2008-12-04 Kinder Nathan G Identity based virtual machine selector
US7720995B2 (en) 2007-06-08 2010-05-18 Cisco Technology, Inc. Conditional BGP advertising for dynamic group VPN (DGVPN) clients
GB2453518A (en) 2007-08-31 2009-04-15 Vodafone Plc Telecommunications device security
US9043861B2 (en) 2007-09-17 2015-05-26 Ulrich Lang Method and system for managing security policies
US8798056B2 (en) 2007-09-24 2014-08-05 Intel Corporation Method and system for virtual port communications
US20090165078A1 (en) 2007-12-20 2009-06-25 Motorola, Inc. Managing policy rules and associated policy components
US8254381B2 (en) 2008-01-28 2012-08-28 Microsoft Corporation Message processing engine with a virtual network interface
US8146147B2 (en) 2008-03-27 2012-03-27 Juniper Networks, Inc. Combined firewalls
US8532106B2 (en) 2008-04-28 2013-09-10 Xg Technology, Inc. Header compression mechanism for transmitting RTP packets over wireless links
US9069599B2 (en) 2008-06-19 2015-06-30 Servicemesh, Inc. System and method for a cloud computing abstraction layer with security zone facilities
US9361089B2 (en) 2008-07-22 2016-06-07 International Business Machines Corporation Secure patch updates of a virtual machine image in a virtualization data processing system
US8307422B2 (en) 2008-08-14 2012-11-06 Juniper Networks, Inc. Routing device having integrated MPLS-aware firewall
US8112304B2 (en) 2008-08-15 2012-02-07 Raytheon Company Method of risk management across a mission support network
US9715401B2 (en) 2008-09-15 2017-07-25 International Business Machines Corporation Securing live migration of a virtual machine from a secure virtualized computing environment, over an unsecured network, to a different virtualized computing environment
US8353021B1 (en) 2008-09-30 2013-01-08 Symantec Corporation Determining firewall rules for an application on a client based on firewall rules and reputations of other clients
US8689289B2 (en) 2008-10-02 2014-04-01 Microsoft Corporation Global object access auditing
US8572717B2 (en) 2008-10-09 2013-10-29 Juniper Networks, Inc. Dynamic access control policy with port restrictions for a network security appliance
CN101442494B (zh) 2008-12-16 2011-06-22 中兴通讯股份有限公司 一种实现快速重路由的方法
US8565118B2 (en) 2008-12-30 2013-10-22 Juniper Networks, Inc. Methods and apparatus for distributed dynamic network provisioning
US8612592B2 (en) 2009-01-23 2013-12-17 Cisco Technology, Inc. Protected device initiated pinhole creation to allow access to the protected device in response to a domain name system (DNS) query
US20100192225A1 (en) 2009-01-28 2010-07-29 Juniper Networks, Inc. Efficient application identification with network devices
KR101542392B1 (ko) 2009-02-16 2015-08-12 엘지전자 주식회사 이동 단말기 및 이것의 핸드오버 방법
US20100228962A1 (en) 2009-03-09 2010-09-09 Microsoft Corporation Offloading cryptographic protection processing
US8321862B2 (en) 2009-03-20 2012-11-27 Oracle America, Inc. System for migrating a virtual machine and resource usage data to a chosen target host based on a migration policy
US8676989B2 (en) 2009-04-23 2014-03-18 Opendns, Inc. Robust domain name resolution
US8914878B2 (en) 2009-04-29 2014-12-16 Juniper Networks, Inc. Detecting malicious network software agents
US9621516B2 (en) 2009-06-24 2017-04-11 Vmware, Inc. Firewall configured with dynamic membership sets representing machine attributes
US8494000B1 (en) 2009-07-10 2013-07-23 Netscout Systems, Inc. Intelligent slicing of monitored network packets for storing
US8661434B1 (en) 2009-08-05 2014-02-25 Trend Micro Incorporated Migration of computer security modules in a virtual machine environment
GB2473675B (en) 2009-09-22 2011-12-28 Virtensys Ltd Switching method
US8490150B2 (en) 2009-09-23 2013-07-16 Ca, Inc. System, method, and software for enforcing access control policy rules on utility computing virtualization in cloud computing systems
US8369333B2 (en) 2009-10-21 2013-02-05 Alcatel Lucent Method and apparatus for transparent cloud computing with a virtualized network infrastructure
US8800025B2 (en) 2009-11-10 2014-08-05 Hei Tao Fung Integrated virtual desktop and security management system
CN102428474B (zh) 2009-11-19 2015-05-06 株式会社日立制作所 计算机系统、管理系统和记录介质
US8352953B2 (en) 2009-12-03 2013-01-08 International Business Machines Corporation Dynamically provisioning virtual machines
US8726334B2 (en) 2009-12-09 2014-05-13 Microsoft Corporation Model based systems management in virtualized and non-virtualized environments
WO2011072899A1 (en) 2009-12-15 2011-06-23 International Business Machines Corporation Method for operating cloud computing services and cloud computing information system
US9274821B2 (en) 2010-01-27 2016-03-01 Vmware, Inc. Independent access to virtual machine desktop content
US8938782B2 (en) 2010-03-15 2015-01-20 Symantec Corporation Systems and methods for providing network access control in virtual environments
US8259571B1 (en) 2010-03-26 2012-09-04 Zscaler, Inc. Handling overlapping IP addresses in multi-tenant architecture
JP5190084B2 (ja) 2010-03-30 2013-04-24 株式会社日立製作所 仮想マシンのマイグレーション方法およびシステム
US8868032B2 (en) 2010-04-23 2014-10-21 Tekelec, Inc. Methods, systems, and computer readable media for automatic, recurrent enforcement of a policy rule
JP5716741B2 (ja) 2010-06-09 2015-05-13 日本電気株式会社 通信システム、論理チャネル制御装置、制御装置、通信方法およびプログラム
US9141625B1 (en) 2010-06-22 2015-09-22 F5 Networks, Inc. Methods for preserving flow state during virtual machine migration and devices thereof
US8296459B1 (en) 2010-06-30 2012-10-23 Amazon Technologies, Inc. Custom routing decisions
KR101464900B1 (ko) 2010-09-09 2014-11-24 닛본 덴끼 가부시끼가이샤 네트워크 시스템 및 네트워크 관리 방법
US8869307B2 (en) 2010-11-19 2014-10-21 Mobile Iron, Inc. Mobile posture-based policy, remediation and access control for enterprise resources
US8620851B2 (en) 2010-11-23 2013-12-31 Novell, Inc. System and method for determining fuzzy cause and effect relationships in an intelligent workload management system
US9191327B2 (en) 2011-02-10 2015-11-17 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US8612744B2 (en) 2011-02-10 2013-12-17 Varmour Networks, Inc. Distributed firewall architecture using virtual machines
US9460289B2 (en) 2011-02-18 2016-10-04 Trend Micro Incorporated Securing a virtual environment
RU2583745C2 (ru) 2011-04-04 2016-05-10 Нек Корпорейшн Сетевая система, коммутатор и способ обнаружения подсоединенного терминала
US20120311575A1 (en) 2011-06-02 2012-12-06 Fujitsu Limited System and method for enforcing policies for virtual machines
US20120324567A1 (en) 2011-06-17 2012-12-20 General Instrument Corporation Method and Apparatus for Home Network Discovery
US8516241B2 (en) 2011-07-12 2013-08-20 Cisco Technology, Inc. Zone-based firewall policy model for a virtualized data center
US8935457B2 (en) 2011-07-29 2015-01-13 International Business Machines Corporation Network filtering in a virtualized environment
US8798055B1 (en) 2011-08-11 2014-08-05 Juniper Networks, Inc. Forming a multi-device layer 2 switched fabric using internet protocol (IP)-routed / switched networks
US8875293B2 (en) 2011-09-22 2014-10-28 Raytheon Company System, method, and logic for classifying communications
US20130086399A1 (en) 2011-09-30 2013-04-04 Cisco Technology, Inc. Method, system and apparatus for network power management
US8800024B2 (en) 2011-10-17 2014-08-05 Mcafee, Inc. System and method for host-initiated firewall discovery in a network environment
US8813169B2 (en) 2011-11-03 2014-08-19 Varmour Networks, Inc. Virtual security boundary for physical or virtual network devices
US8977735B2 (en) 2011-12-12 2015-03-10 Rackspace Us, Inc. Providing a database as a service in a multi-tenant environment
WO2013090555A1 (en) 2011-12-13 2013-06-20 Pneuron Corp. Pneuron distributed analytics
US8990371B2 (en) 2012-01-31 2015-03-24 International Business Machines Corporation Interconnecting data centers for migration of virtual machines
US9122507B2 (en) 2012-02-18 2015-09-01 Cisco Technology, Inc. VM migration based on matching the root bridge of the virtual network of the origination host and the destination host
US20130223226A1 (en) 2012-02-29 2013-08-29 Dell Products, Lp System and Method for Providing a Split Data Plane in a Flow-Based Switching Device
US9294302B2 (en) 2012-03-22 2016-03-22 Varmour Networks, Inc. Non-fragmented IP packet tunneling in a network
US9116736B2 (en) 2012-04-02 2015-08-25 Cisco Technology, Inc. Virtualized movement of enhanced network services associated with a virtual machine
US9258275B2 (en) 2012-04-11 2016-02-09 Varmour Networks, Inc. System and method for dynamic security insertion in network virtualization
US20160323245A1 (en) 2012-04-11 2016-11-03 Varmour Networks, Inc. Security session forwarding following virtual machine migration
US8955093B2 (en) 2012-04-11 2015-02-10 Varmour Networks, Inc. Cooperative network security inspection
US10333827B2 (en) 2012-04-11 2019-06-25 Varmour Networks, Inc. Adaptive session forwarding following virtual machine migration detection
CN102739645B (zh) 2012-04-23 2016-03-16 杭州华三通信技术有限公司 虚拟机安全策略的迁移方法及装置
US8949931B2 (en) 2012-05-02 2015-02-03 Cisco Technology, Inc. System and method for monitoring application security in a network environment
JP5974665B2 (ja) 2012-06-22 2016-08-23 富士通株式会社 情報処理システム、中継装置、情報処理装置および情報処理方法
US9230096B2 (en) 2012-07-02 2016-01-05 Symantec Corporation System and method for data loss prevention in a virtualized environment
US9053340B2 (en) 2012-10-12 2015-06-09 Citrix Systems, Inc. Enterprise application store for an orchestration framework for connected devices
US9071637B2 (en) 2012-11-14 2015-06-30 Click Security, Inc. Automated security analytics platform
KR101327317B1 (ko) 2012-11-30 2013-11-20 (주)소만사 Sap 응용 트래픽 분석 및 모니터링 장치 및 방법, 이를 이용한 정보 보호 시스템
US10263916B2 (en) 2012-12-03 2019-04-16 Hewlett Packard Enterprise Development Lp System and method for message handling in a network device
US8813236B1 (en) 2013-01-07 2014-08-19 Narus, Inc. Detecting malicious endpoints using network connectivity and flow information
US9094445B2 (en) 2013-03-15 2015-07-28 Centripetal Networks, Inc. Protecting networks from cyber attacks and overloading
US9448826B2 (en) 2013-03-15 2016-09-20 Symantec Corporation Enforcing policy-based compliance of virtual machine image configurations
US9374278B2 (en) 2013-03-15 2016-06-21 NETBRAIN Technologies, Inc Graphic user interface based network management system to define and execute troubleshooting procedure
US9787686B2 (en) 2013-04-12 2017-10-10 Airwatch Llc On-demand security policy activation
US9647922B2 (en) 2013-05-15 2017-05-09 Salesforce, Inc. Computer implemented methods and apparatus for trials onboarding
RU2568295C2 (ru) 2013-08-07 2015-11-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ временной защиты операционной системы программно-аппаратных устройств от приложений, содержащих уязвимости
US9538423B2 (en) 2013-11-01 2017-01-03 Cisco Technology, Inc. Routing packet traffic using hierarchical forwarding groups
US9825908B2 (en) 2013-12-11 2017-11-21 At&T Intellectual Property I, L.P. System and method to monitor and manage imperfect or compromised software
US9563771B2 (en) 2014-01-22 2017-02-07 Object Security LTD Automated and adaptive model-driven security system and method for operating the same
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US20170134422A1 (en) 2014-02-11 2017-05-11 Varmour Networks, Inc. Deception Techniques Using Policy
JP6252254B2 (ja) 2014-02-28 2017-12-27 富士通株式会社 監視プログラム、監視方法および監視装置
US9961105B2 (en) 2014-12-31 2018-05-01 Symantec Corporation Systems and methods for monitoring virtual networks
US9934406B2 (en) 2015-01-08 2018-04-03 Microsoft Technology Licensing, Llc Protecting private information in input understanding system
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US9294442B1 (en) 2015-03-30 2016-03-22 Varmour Networks, Inc. System and method for threat-driven security policy controls
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9380027B1 (en) 2015-03-30 2016-06-28 Varmour Networks, Inc. Conditional declarative policies
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9521115B1 (en) 2016-03-24 2016-12-13 Varmour Networks, Inc. Security policy generation using container metadata
US10171507B2 (en) 2016-05-19 2019-01-01 Cisco Technology, Inc. Microsegmentation in heterogeneous software defined networking environments

Cited By (24)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9609083B2 (en) 2011-02-10 2017-03-28 Varmour Networks, Inc. Distributed service processing of network gateways using virtual machines
US10091238B2 (en) 2014-02-11 2018-10-02 Varmour Networks, Inc. Deception using distributed threat detection
US10193929B2 (en) 2015-03-13 2019-01-29 Varmour Networks, Inc. Methods and systems for improving analytics in distributed networks
US10333986B2 (en) 2015-03-30 2019-06-25 Varmour Networks, Inc. Conditional declarative policies
US9621595B2 (en) 2015-03-30 2017-04-11 Varmour Networks, Inc. Conditional declarative policies
US10009381B2 (en) 2015-03-30 2018-06-26 Varmour Networks, Inc. System and method for threat-driven security policy controls
US9973472B2 (en) 2015-04-02 2018-05-15 Varmour Networks, Inc. Methods and systems for orchestrating physical and virtual switches to enforce security boundaries
US10191758B2 (en) 2015-12-09 2019-01-29 Varmour Networks, Inc. Directing data traffic between intra-server virtual machines
US9680852B1 (en) 2016-01-29 2017-06-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US9762599B2 (en) 2016-01-29 2017-09-12 Varmour Networks, Inc. Multi-node affinity-based examination for computer network security remediation
US10382467B2 (en) 2016-01-29 2019-08-13 Varmour Networks, Inc. Recursive multi-layer examination for computer network security remediation
US10009317B2 (en) 2016-03-24 2018-06-26 Varmour Networks, Inc. Security policy generation using container metadata
US10264025B2 (en) 2016-06-24 2019-04-16 Varmour Networks, Inc. Security policy generation for virtualization, bare-metal server, and cloud computing environments
US10755334B2 (en) 2016-06-30 2020-08-25 Varmour Networks, Inc. Systems and methods for continually scoring and segmenting open opportunities using client data and product predictors
US11290494B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11290493B2 (en) 2019-05-31 2022-03-29 Varmour Networks, Inc. Template-driven intent-based security
US11310284B2 (en) 2019-05-31 2022-04-19 Varmour Networks, Inc. Validation of cloud security policies
US11575563B2 (en) 2019-05-31 2023-02-07 Varmour Networks, Inc. Cloud security management
US11711374B2 (en) 2019-05-31 2023-07-25 Varmour Networks, Inc. Systems and methods for understanding identity and organizational access to applications within an enterprise environment
US11863580B2 (en) 2019-05-31 2024-01-02 Varmour Networks, Inc. Modeling application dependencies to identify operational risk
US11818152B2 (en) 2020-12-23 2023-11-14 Varmour Networks, Inc. Modeling topic-based message-oriented middleware within a security system
US11876817B2 (en) 2020-12-23 2024-01-16 Varmour Networks, Inc. Modeling queue-based message-oriented middleware relationships in a security system
US11777978B2 (en) 2021-01-29 2023-10-03 Varmour Networks, Inc. Methods and systems for accurately assessing application access risk
US11734316B2 (en) 2021-07-08 2023-08-22 Varmour Networks, Inc. Relationship-based search in a computing environment

Also Published As

Publication number Publication date
US10009381B2 (en) 2018-06-26
US20160294875A1 (en) 2016-10-06
WO2016160599A1 (en) 2016-10-06

Similar Documents

Publication Publication Date Title
US10009381B2 (en) System and method for threat-driven security policy controls
US9294442B1 (en) System and method for threat-driven security policy controls
US10382467B2 (en) Recursive multi-layer examination for computer network security remediation
US10091238B2 (en) Deception using distributed threat detection
US10560434B2 (en) Automated honeypot provisioning system
US9762599B2 (en) Multi-node affinity-based examination for computer network security remediation
EP3317804B1 (en) Automatically preventing and remediating network abuse
Fernandes et al. Security issues in cloud environments: a survey
US20190230111A1 (en) Modifying a user session lifecycle in a cloud broker environment
US20170374032A1 (en) Autonomic Protection of Critical Network Applications Using Deception Techniques
KR101535502B1 (ko) 보안 내재형 가상 네트워크 제어 시스템 및 방법
US11122129B2 (en) Virtual network function migration
US20180191779A1 (en) Flexible Deception Architecture
US20170134422A1 (en) Deception Techniques Using Policy
US10129289B1 (en) Mitigating attacks on server computers by enforcing platform policies on client computers
US20200342103A1 (en) Using browser context in evasive web-based malware detection
TW201642616A (zh) 條件式宣告政策
TW201703486A (zh) 於分佈式網路實現安全功能
US20180137303A1 (en) Intercepting sensitive data using hashed candidates
US10951646B2 (en) Biology based techniques for handling information security and privacy
US11048770B2 (en) Adaptive response generation on an endpoint
JP2024023875A (ja) インラインマルウェア検出
Alnaim et al. A Misuse Pattern for Distributed Denial-of-Service Attack in Network Function Virtualization
Yahya et al. Analysing threats in cloud storage
Ladan Security issues in cloud-based businesses