TW201703483A

TW201703483A - 用於改善分散式網路中分析之方法及系統

Info

Publication number: TW201703483A
Application number: TW105107656A
Authority: TW
Inventors: 崇耀謝
Original assignee: 法墨網路公司
Priority date: 2015-03-13
Filing date: 2016-03-11
Publication date: 2017-01-16
Also published as: WO2016148865A1; US20160269442A1; US10193929B2

Abstract

本文描述用於改善分散式網路中之分析之系統及方法。一實例性系統可包括至少一處理器、一分析模組及一安全性策略模組。該安全性策略模組可操作以定義一安全性策略。由該處理器對一網路封包執行該安全性策略。此外，該處理器自該網路封包收集網路資訊。該分析模組可操作以利用安全性策略中之額外群組資訊分析網路資訊。由該處理器使用該分析來產生結果。基於該所產生之結果，安全性策略模組更新安全性策略。

Description

用於改善分散式網路中分析之方法及系統

本發明大體上係關於資料處理且更特定言之，本發明係關於用於改善分散式網路中之分析之方法及系統。

可繼續研究本章節中描述之方法但該等方法不必係先前設想或追求之方法。因此，除非另有指示，否則不應假設本章節描述之方法之任何者僅因其包含於本章節中而有資格成為先前技術。

雲端運算、虛擬化、軟體定義網路及行動性將具有一用戶端至伺服器訊務流量(有時被稱為「北-南」)之舊型資料中心轉變成具有伺服器至伺服器訊務流量(有時被稱為「東-西」)之資料中心。東-西訊務亦可包含在不同資料中心中之伺服器之間行進之訊務。由於用戶端請求之訊務量或複雜性，一單一伺服器可不服務用戶端請求。資料中心之東-西架構可使得資料資產有利地定位於企業經營場所內部及外部之不同區域中。然而，傳統周邊安全性解決方案通常失效且無法足夠地保護資料中心免受攻擊者入侵。

一企業可嘗試分析在其伺服器之間行進之網路訊務。然而，任何分析普遍受限於監測網路訊務量及判定該訊務流量中之趨勢以發現惡意活動。顯著地，網路訊務量不提供關於網路環境之諸多內容相關資料(contextual data)。因此，攻擊者可藉由攻擊低設定檔資產且接著跨資料中心橫向移動至重要企業資產而找出通過傳統周邊之方法，以洩露企業及用戶端資料。

此外，無法僅基於網路訊務量判定主機之間之任何相關性。

提供本【發明內容】而以在下文【實施方式】中進一步描述之一簡化形式介紹選擇之概念。本【發明內容】不意欲識別所主張之標的之關鍵特徵或重要特徵，也不意欲用作為判定所揭示之標的之範疇之一輔助。

提供用於改善分散式網路中之分析之系統及方法。一實例性方法可開始於定義一安全性策略。該安全性策略可包含一防火牆安全性策略，但不限於此實施例。該安全性策略可與至少一主機或一群組相關聯。可執行該安全性策略以判定對一網路封包不利之動作。該方法可進一步包含自該等網路封包收集網路資訊。可基於與該至少一主機或一群組相關聯之記錄資訊而產生該網路資訊。可利用安全性策略中之額外群組資訊分析網路資訊。該分析可包含：分析至少一群組內之網路封包；分析在兩個或兩個以上主機或群組之間行進之網路封包；及分析兩個或兩個以上主機或群組之間之連接。基於該分析，可判定網路封包之網域名稱伺服器(DNS)資訊。基於該DNS資訊，可判定一網域產生演算法(DGA)是否已用於產生與網路封包相關聯之一網域之一網域名稱。基於與至少一群組相關聯之記錄資訊，可針對安全性威脅檢查該記錄資訊。此外，該方法可包含自該分析產生一結果。基於該所產生之結果，可更新安全性策略。更新安全性策略可包含：應用動作(例如，允許或拒絕一連接)；重新配置至少一群組(例如，使主機在群組之間移動)；及修改至少一群組之安全性系統參數。該更新可進一步包含：產生與至少一群組相關聯之一強制策略；應用一封包擷取(PCAP)來分析與該至少一群組相關聯之網路封包之內容；及修改與該至少一群組相關聯之一監測策略。

此外，提供用於改善一分散式網路中之分析之一系統。該系統可包括至少一處理器、一分析模組及一安全性策略模組。該安全性策略模組可操作以定義一安全性策略。該安全性策略可與具有至少一主機之至少一群組相關聯。可由處理器執行該安全性策略以檢測一網路封包。

此外，該處理器可自網路封包收集網路資訊。分析模組可操作以利用安全性策略中之額外群組資訊來分析網路資訊。該分析可包含：基於DNS資訊而判定用於網路封包之DNS資訊；判定一DGA是否已用於產生與網路封包相關聯之一網域之一網域名稱；及基於與至少一群組相關聯之記錄資訊而針對安全性威脅分析網路資訊。可由處理器使用該分析來產生一結果。基於該所產生之結果，安全性策略模組可更新安全性策略。更新可包含：產生與至少一群組相關聯之一強制策略；收集與至少一群組相關聯之網路封包之封包擷取；及修改與該至少一群組相關聯之一監測策略。

在進一步例示性實施例中，模組、子系統或裝置可經調適以執行所述步驟。以下描述其他特徵及例示性實施例。

100‧‧‧環境

105‧‧‧主機

110‧‧‧群組A

115‧‧‧群組B

120‧‧‧群組C

125‧‧‧網路資訊

135‧‧‧安全性策略

145‧‧‧結果

150‧‧‧安全性策略

200‧‧‧系統

210‧‧‧處理器

220‧‧‧分析模組

230‧‧‧安全性策略模組

300‧‧‧方法

302‧‧‧操作

304‧‧‧操作

306‧‧‧操作

308‧‧‧操作

310‧‧‧操作

400‧‧‧示意圖

410‧‧‧群組資訊

420‧‧‧群組資訊

500‧‧‧示意圖

505‧‧‧感測器

510‧‧‧應用程式後設資料

515‧‧‧應用程式資訊

520‧‧‧內容相關資訊

525‧‧‧預處理

530‧‧‧網域產生演算法(DGA)

535‧‧‧統一資源定位器(URL)使用者代理程式

540‧‧‧其他檢查

545‧‧‧索引資料庫

550‧‧‧使用者查詢

555‧‧‧使用者介面

600‧‧‧電腦系統

602‧‧‧處理器

604‧‧‧硬碟機

606‧‧‧主記憶體

608‧‧‧靜態記憶體

610‧‧‧匯流排

612‧‧‧網路介面裝置

620‧‧‧電腦可讀媒體

622‧‧‧指令

實施例以實例之方式繪示且不限制於隨附圖式之圖，其中相同參考指示類似元件。

圖1繪示根據一些實施例之其中可實施用於改善一分散式網路中之分析之系統及方法之一環境。

圖2係展示根據特定實施例之用於改善一分散式網路中之分析之一系統之各種模組之一方塊圖。

圖3係繪示根據一些實例性實施例之用於改善一分散式網路中之分析之一方法之一流程圖。

圖4展示根據一實例性實施例之一安全性策略模組與一分析模組之間之互動之一示意圖。

圖5展示根據一實例性實施例之由用於改善一分散式網路中之分析之一系統執行之分析之一示意圖。

圖6展示為一電腦系統之例示性電子形式之一機器之一運算裝置之一圖解表示，在該運算裝置內可執行用於使得該機器執行本文討論之方法之任何一或多者之一組指令。

以下實施方式包含參考形成實施方式之一部分之隨附圖式。圖式根據例示性實施例展示圖解。詳細描述此等例示性實施例(在本文中亦被稱為「實例」)以使得熟習技術者能夠實踐本標的。可組合該等實施例，使用其他實施例，或可在不違背所主張之範疇之情況下作出結構、邏輯及電改變。因此，以下實施方式不具有一限制意義，且由隨附申請專利範圍及其等等效物定義範疇。在本文件中使用之術語「一」(a、an)包含一個或一個以上，如專利文件中所常見。在本文件中，使用術語「或」指一非互斥「或」，使得除非另有指示，否則「A或B」包含「A但不是B」、「B但不是A」及「A及B」。

本發明提供用於改善一分散式網路中之分析之方法及系統。一分散式網路係一種類型電腦網路，其中企業基礎設施資源被分為數個網路、處理器及中間裝置。在東-西訊務架構中，網路訊務可散佈於分散式網路內之複數個虛擬機器(例如，伺服器或主機)及實體主機上。如本文中所使用，「主機」係指連接至分散式網路之任何電腦。

本發明之方法及系統可允許整合一安全性系統、一安全性策略及安全性分析。更特定言之，可由一安全性策略模組檢測在主機之間發送之所有網路封包。該安全性策略模組可設定用於各主機或主機之一群組之一安全性策略。一般而言，安全性策略可包含引導保護一系統、組織或其他實體之資訊技術資產之一組規則。安全性策略可定義位址群組之間之存取控制清單，其中位址群組主要分組為具有類似安全性屬性或功能之主機，諸如FTP或Web/HTTP伺服器之位址群組。

本發明之方法及系統可匯入群組資訊(例如，主機之安全性屬性)以將一安全性系統(或一強制模組)中之主機分為一組且將該群組資訊用於安全性分析。更特定言之，一分析模組可分析關於在相同群組之主機之間行進之網路封包之群組內網路資訊，且使用一分析模型以與關於網路封包之安全性系統安全性策略相關。在分析期間，分析模組可找出一相同位址群組之主機中之相關網路資訊中之不一致型樣，因此偵測入侵。基於分析之結果，分析模組可將反饋發送至安全性策略模組。該反饋可包含(例如)網路資訊中之類似型樣。基於自該分析模組接收之反饋及關於主機之安全性屬性相關性，安全性策略模組可更新關於主機之當前安全性策略，以執行深封包檢測而提取用於分析之更多資訊，或若偵測到主機之惡意軟體感染時阻擋至一特定主機之所有網路連接。

此外，分析模組可分析關於在屬於不同群組之主機之間行進之網路封包之群組間網路資訊。可基於分析及在網路資訊中找出之類似型樣，而根據可重新分組之不同群組之一些主機來產生更新之安全性策略。例如，可分析關於群組A及群組B之主機之網路資訊，且基於網路資訊之分析及安全性參數之相關性，群組A之主機可與群組B之一些主機一起分組為群組C。在網路資訊中，群組C之主機可具有類似型樣，且一致安全性策略可應用於群組C之主機。

圖1繪示根據一些實施例之其中可實施用於改善一分散式網路中之分析之系統及方法之一環境100。環境100可包含一分散式網路(圖中未展示)中之一虛擬化環境，其中網路訊務可在主機105之間行進。主機105可包含分散式網路之任何電腦、伺服器、虛擬機器及類似者。主機105可分組為若干群組，展示為一群組A 110、一群組B 115及一群組C 120。用於改善一分散式網路中之分析之一系統200可收集關於主機105之網路資訊125及在主機105之間行進之網路封包。一安全性策略模組230可提供關於主機105之一安全性策略135給系統200。安全性策略模組230可與分析模組220通信以檢查與主機105相關聯或在主機105上運行之應用程式之規則。於一些實施例中，該環境100包含以通信方式耦合於該安全性策略模組230及該系統200之間之一規則引擎140，亦即，該安全性策略模組230及該系統200皆可存取該規則引擎140。分析模組220亦可分析與安全性策略135相關之網路資訊125。基於該分析，分析模組220可將分析之一結果145發送至安全性策略模組230。安全性策略模組230可使用結果145以產生一經更新之安全性策略且將經更新之安全性策略150應用至主機105。在標題為「Conditional Declarative Policies」之相關美國專利申請案第TBD號(代理人檔案號碼PA6892US)中進一步描述更新之安全性策略之應用。

圖2係展示根據特定實施例之用於改善一分散式網路中之分析之一系統200之各種模組之一方塊圖。該系統可包括一處理器210、一分析模組220、一安全性策略模組230及一或多個強制點240。該處理器可包含一可程式化處理器，諸如一微控制器、中央處理單元等等。在其他實施例中，該處理器可包含經設計以實施由系統執行之功能之一特定應用積體電路或可程式化邏輯陣列，諸如一場可程式化閘極陣列。在各種實施例中，系統200可常駐在組織外部、在該組織外部控制之一資料中心中且經提供作為一雲端服務。

處理器210可操作以執行一網路封包上之一安全性策略。在一實例性實施例中，處理器210自安全性策略模組230接收安全性策略。在一實例性實施例中，安全性策略與包含至少一主機之至少一群組相關聯。在一進一步實例性實施例中，該群組包含複數個伺服器。

處理器210進一步可操作以產生關於網路封包之網路資訊。在一實例性實施例中，基於與至少一群組相關聯之記錄資訊而產生網路資訊。在另一實例性實施例中，將該記錄資訊儲存於一編索引之資料庫(圖中未展示)中。該索引資料庫可操作以記錄關於網路封包之網路資訊且對其編索引。此外，處理器210可操作以自由分析模組220執行之一分析產生結果。

在一實例性實施例中，該結果可包含判定與網路封包相關聯之網域係有效的。在其他實施例中，該結果可包含判定與網路封包相關聯之網域係無效的。再者，該結果可包含判定與網路封包相關聯之網域需要一提升之監督。該提升之監督可包含收集與該網域相關聯之封包擷取(PCAP)。一PCAP可由用於擷取網路訊務之一應用程式設計介面組成。因此，一PCAP可為攔截且記錄網路訊務之一程序。

在一實例性實施例中，處理器210可操作以自安全性策略提取群組資訊。該群組資訊可包含與至少一群組相關聯之群組安全性屬性。

分析模組220可操作以分析網路資訊。分析模組220可自處理器210接收網路資訊。可使用與安全性策略相關之分析模組220執行該分析。

在一實例性實施例中，在分析期間，分析模組220可分析至少一群組內之資料封包或分析兩個或兩個以上群組之間之資料封包。此外，分析模組220可分析兩個或兩個以上群組之間之連接。

舉進一步非限制性實例而言，該分析可包含判定網路封包之DNS資訊。基於該DNS資訊，分析模組220可判定一DGA是否用於產生與網路封包相關聯之一網域之一網域名稱。此外，基於與至少一群組相關聯之記錄資訊，分析模組220可針對安全性威脅檢查網路資訊。

安全性策略模組230可操作以定義安全性策略。在一實例性實施例中，安全性策略模組230將安全性策略發送至處理器210。安全性策略模組230進一步可操作以基於由分析模組220產生之結果而更新安全性策略。在一實例性實施例中，該更新可包含重新配置至少一群組。重新配置該群組可包含使主機在群組之間移動。換言之，屬於不同群組之主機可分為一單一群組。在標題為「Conditional Declarative Policies」之相關美國專利申請案第TBD號(代理人檔案號碼PA6892US)中進一步描述安全性策略模組230。

在一進一步實例性實施例中，更新安全性策略可包含修改至少一群組之安全性系統參數。此外，該更新可包含產生與至少一群組相關聯之一強制策略。在進一步實施例中，該更新包含修改一監測策略以執行封包擷取，而進一步分析與至少一主機或一群組相關聯之網路封包之內容。

一或多個強制點240攔截且分析網路訊務。在標題為「Methods and Systems for Providing Security to Distributed Microservices」之相關美國專利申請案第TBD號(代理人檔案號碼PA6949US)中描述一或多個強制點240，該案之全文以引用之方式併入本文中。

圖3係繪示根據一些實例性實施例之用於改善一分散式網路中之分析之一方法300之一流程圖。該方法可開始於操作302中定義一安全性策略。該安全性策略可與至少一群組相關聯。該至少一群組可包含至少一主機、至少一伺服器及類似者。視情況，方法300可包含自安全性策略提取群組資訊。該群組資訊可包含與至少一群組相關聯之群組安全性屬性。

在操作304中，一旦定義安全性策略，即可對一網路封包執行該安全性策略且可產生關於網路封包之資訊。在操作306中，可分析網路資訊。在一實例性實施例中，該分析可包含分析至少一群組內之資料封包且分析兩個或兩個以上群組之間之資料封包。此外，可分析兩個或兩個以上群組之間之連接。

舉非限制性實例而言，分析可進一步包含判定網路封包之DNS資訊。基於該DNS資訊可判定一DGA是否用於產生與資料封包相關聯之一網域之一網域名稱。在進一步實施例中，該分析包含基於與至少一群組相關聯之記錄資訊而針對安全性威脅檢查網路資訊。

可使用一分析模組運用自安全性策略提取之網域資訊來執行分析。該分析可包含產生一結果。該結果可包含判定與網路封包相關聯之網域係有效的。在一進一步實施例中，該結果可包含判定與網路封包相關聯之網域係無效的。再者，該結果可包含判定與網路封包相關聯之網域需要一提升之監督。該提升之監督可暗示將一PCAP應用至與該網域相關聯之進一步網路封包。

在操作308中，方法300回應於無需提升監督之一判定而進行至操作310。在操作310中，新增一策略以隔離受感染之主機或群組。視情況更新安全性策略。

在步驟308中，方法300回應於需要提升監督之一判定而進行至操作312。在操作312中，新增一策略以執行深封包檢測及/或收集PCAP。視情況更新安全性策略。

在一實例性實施例中，更新包含重新配置至少一群組。該重新配置可包含使主機在群組之間移動。該更新可進一步包含修改至少一群組之安全性系統參數。

在進一步實例性實施例中，該更新包含產生與至少一群組相關聯之一強制策略。如果判定網域無效，則可阻擋自一無效網域傳入之所有網路封包。此外，在更新期間，可應用PCAP以分析與至少一群組相關聯之網路封包之內容。該更新可進一步導致修改與至少一群組相關聯之一監測策略。

圖4展示根據一實例性實施例之在一安全性策略模組230與一分析模組220之間之互動之一示意圖400。安全性策略模組230可收集群組資訊410且將其提供至分析模組220。群組資訊410可為群組內資訊(即，可關於相同群組之主機)或群組間資訊(即，可關於不同群組之主機)。基於自安全性策略模組230接收之群組資訊410，分析模組220可執行一分析且將該分析之一結果420提供至安全性策略模組230。結果420可包含在關於主機之一安全性策略中待包含、改變或更新之規則。例如，該等規則可包含：新增或改變關於主機或與該等主機相關聯之一網域之一強制策略；新增或改變關於主機或與該等主機相關聯之網域之一監測策略；收集具有一特定策略之PCAP；收集關於主機或與主機相關聯之網域之更多資訊，諸如與該主機相關聯之一應用程式之後設資料等等。

圖5展示根據一實例性實施例之由用於改善一分散式網路中之分析之一系統執行之分析之一示意圖500。安全性策略模組230可包含一感測器505。感測器505可收集應用程式後設資料510、應用程式資訊515、關於與一分散式網路中之主機相關聯之一應用程式之一些內容相關資訊520及類似者之至少一者。感測器505可將收集之資訊提供至分析模組220。分析模組220可執行自感測器505接收之資訊之預處理525。分析模組220可檢查不同應用程式之規則。更具體言之，分析模組220可分析網路封包以偵測惡意活動。例如，在接收關於網路封包之一DNS之一情況中，分析模組220可檢查一網域產生演算法(DGA)530是否用於產生與由主機發送之一網路封包相關聯之一網域之一網域名稱。針對一超文字傳輸協定(HTTP)請求可檢查統一資源定位器(URL)使用者代理程式(User Agent)535。通常，URL使用者代理程式535係由HTTP用於識別軟體之軟體或產生請求或網路封包之一應用程式。可執行關於與其他應用程式相關聯之資訊之其他檢查540。

分析模組220可將分析之結果置入至一索引資料庫545內，可在索引資料庫545內記錄及編索引關於應用程式之所有資訊及由分析模組220執行之分析。可將一使用者查詢550引導至索引資料庫545且可基於索引資料庫545中含有之且一使用者使用一使用者介面555可見之編索引之資訊而及時處理使用者查詢550。

由一分析模組產生至一安全性系統安全性模組之一反饋之實例性程序可包含以下步驟。分析模組220可具有關於一分散式網路內之網路訊務之所有資訊。可記錄關於網路訊務之所有資訊。例如，分析模組220可接收關於與網路封包相關聯之DNS之資訊。DNS可提供DNS連接資訊。一實例性安全性策略可指定群組A與群組B通信。自群組A至群組B通信之查詢可為一網域「ABC.com」請求。一網域「ABC.com」回覆可為「1.1.1.1」。

一旦接收所有網路資訊，分析模組220可檢查網域是否與一安全性威脅相關聯，諸如惡意軟體。例如，分析模組220可檢查一黑名單以驗證是否先前已識別網域之惡意行為或網域是否已存在於與惡意軟體相關聯之一網域清單中。此外，由於網域產生演算法530通常用於產生有關「spot」之網域，所以分析模組220可檢查網域名稱是否類似於可由網域產生演算法530產生之網域名稱。此檢查可導致一誤判，因此分析模組220可執行額外檢查且驗證關於網域之查詢是否有效或無效。

若判定關於網域「ABC.com」之一DNS查詢係無效的，則安全性策略模組可更新關於群組D之安全性策略，群組D與關於網域「ABC.com」之DNS查詢相關聯。例如，可產生關於群組D之一強制策略。更新之安全性策略可包含阻擋群組D中之任何進一步網路封包。

若無法判定關於網域「ABC.com」之DNS查詢係有效或無效的，則可將一提升之監督應用至網域。例如，可將一PCAP應用至與群組D相關聯之進一步網路封包。依此方式，可收集關於可疑連接之進一步資訊。

圖6展示為一電腦系統600之例示性電子形式之一機器之一運算裝置之一圖解表示，在該運算裝置內可執行用於使得該機器執行本文討論之方法之任何一或多者之一組指令。在各種例示性實施例中，機器充當為一獨立裝置或可連接(例如網路連接)至其他機器。在一網路化部署中，該機器在一伺服器-用戶端網路環境中可以一伺服器或一用戶端機器之能力操作，或在一同級間(或分散式)網路環境中充當為一同級機器。該機器可係一伺服器、一個人電腦(PC)、一平板PC、一機上盒(STB)、一PDA、一蜂巢式電話、一數位相機、一可攜式音樂播放器(例如，一可攜式硬碟音訊裝置，諸如一動態影像專家群音訊播放器3(MP3)播放器)、一網站設備、一網路路由器、一交換器、一橋接器或能夠(循序或以其他方式)執行指定由該機器採取之動作之一組指令之任何機器。此外，儘管僅繪示一單一機器，但術語「機器」亦應包含獨立或聯合執行一組(或多組)指令以執行本文討論之方法之任何一或多者之機器之任何集合。

實例性電腦系統600包含一處理器或多個處理器602、一硬碟機604、一主記憶體606及一靜態記憶體608，其等經由一匯流排610彼此通信。電腦系統600亦可包含一網路介面裝置612。硬碟機604可包含一電腦可讀媒體620，電腦可讀媒體620儲存體現本文描述之方法或功能之任何一或多者或由該一或多者使用之一或多組指令622。指令622亦可在由電腦系統600執行期間完全或至少部分常駐於主記憶體606內及/或處理器602內。主記憶體606及處理器602亦構成機器可讀媒體。

儘管電腦可讀媒體620在一例示性實施例中展示為一單一媒體，但術語「電腦可讀媒體」應包含一單一媒體或儲存一或多組指令之多個媒體(例如，一集中或分散式資料庫及/或相關聯快取記憶體及伺服器)。術語「電腦可讀媒體」亦應包含能夠儲存、編碼或載送一組指令以由該機器執行且使得該機器執行本發明之方法之任何一或多者，或能夠儲存、編碼或載送由此一組指令使用或與其相關聯之資料結構之任何媒體。術語「電腦可讀媒體」據此應包含(但不限制於)固態記憶體、光學及磁性媒體。此等媒體亦可包含(但不限制於)硬碟、軟碟、NAND或NOR快閃記憶體、數位視訊碟、RAM、ROM及類似者。

本文描述之例示性實施例可在包括安裝於一電腦上、硬體中或軟體及硬體之一組合中之電腦可執行指令(例如軟體)之一操作環境中實施。電腦可執行指令可寫入一電腦程式設計語言或可體現於韌體邏輯中。若用符合一所識別標準之一程式設計語言撰寫，則此等指令可在各種硬體平台上執行且用於介接至各種作業系統。可用任何數目之適合程式設計語言(諸如(例如)C、Python、JavaScript、Go)或其他編譯器、組譯器、解譯器或其他電腦語言或平台撰寫用於實施本發明之電腦軟體程式，但不限制於此。

因此，本文描述用於改善一分散式網路中之分析之系統及方法。儘管已參考特定例示性實施例描述實施例，但將明白在不違背本發明之更廣泛之精神及範疇之情況下可對此等例示性實施例作出各種修改及改變。據此，說明書及圖式被認為係一繪示意義而非一限制意義。