TW201703486A

TW201703486A - 於分佈式網路實現安全功能

Info

Publication number: TW201703486A
Application number: TW105110190A
Authority: TW
Inventors: 馬克伍沃德; 崇耀謝; 嘉吉連
Original assignee: 法墨網路公司
Priority date: 2015-04-02
Filing date: 2016-03-30
Publication date: 2017-01-16
Also published as: WO2016160534A3; US20170078247A1; WO2016160534A2; US9525697B2; US20160294858A1; US10084753B2

Abstract

本文中描述用於對於一分佈式網路實現安全功能之系統及方法。一例示性方法可包含：處理自一交換器接收之一資料封包，該資料封包經引導至至少一個網路資產；使用該處理及一規則集選擇性轉發該資料封包；檢測該經轉發封包；使用該檢測及該規則集引導執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者；累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料；分析該資料封包、該處理及該檢測中之該至少一者；及藉由編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。

Description

於分佈式網路實現安全功能

本發明大體係關於資料處理，且更特定言之係關於資料網路安全。

可進行此章節中所描述之方法但該等方法並不一定為先前已構想或進行之方法。因此，除非另有指示，否則不應認為此章節中所描述之該等方法中之任一者僅憑藉其等包含在此章節中而作為先前技術。

資料網路之傳統主從式架構趨於以一非分佈式方式實現安全服務。防火牆、入侵防禦系統、入侵偵測系統及其他安全系統係通常定位於一可信網路(例如，一企業網路)與一公共網路(例如，網際網路)之間，其中一般假定該公共網路為不安全的。因此，以使得在可到達該可信網路之前網路訊務需要傳遞通過傳統安全系統之一方式來定位該等安全系統。

一分佈式網路可包含散佈於許多網路、處理器及中間裝置之企業基礎設施資源。類似地，與一分佈式網路相關聯之網路訊務(例如，待處理之一傳入訊務或資料)可散佈於該分佈式網路內之複數個虛擬及/或實體機器(例如，伺服器及主機)。因此，一分佈式網路缺乏其中可定位傳統安全系統之一單個進入點。

當前，服務提供者及企業趨於使用建置於分佈式網路環境內之資料中心。因為資料中心通常藉由多方佔據，所以資料中心提供者不能保證可信任佔據該等資料中心之各方。因此，若一攻擊者進入一資料中心內之一個主機，則其他主機可被損及，此係因為來自受影響主機之惡意軟體可跨資料中心散佈至其他方之資產。一傳統安全系統不能防禦此一攻擊，此係因為該攻擊係在資料中心內部發生遠超過其中通常定位傳統安全系統之任何進入點。

此外，一傳統安全系統在偵測之後僅阻斷惡意資料訊務而不執行關於攻擊者之任何進一步分析。此方法使攻擊者之意圖未知。因此，未作出對於未來安全響應之任何改良。

提供本發明內容來以一簡化形式引入下文在詳細描述中進一步描述之概念之一選擇。此發明內容並不意欲識別所主張標的物之關鍵特徵或基本特徵，亦不意欲用作幫助判定所主張標的物之範疇。

提供用於對於一分佈式網路實現安全功能之系統及方法。一些實施例包含包括以下各者之一系統：一交換器；複數個網路資產；一執行點，其通信耦合至該交換器及該複數個網路資產中之至少一個網路資產，該執行點處理自該交換器接收之一資料封包，該執行點使用該處理及一規則集選擇性轉發該資料封包，該資料封包經引導至該至少一個網路資產；一分佈式安全處理器，其通信耦合至該執行點，該分佈式安全處理器檢測自該執行點轉發之該封包，該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者；一記錄模組，其通信耦合至該交換器、該執行點及該分佈式安全處理器中之至少一者，該記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料；及一分析模組，其通信耦合至該記錄模組及一編譯器，該分析模組分析該資料封包、該處理及該檢測中之該至少一者，該分析模組藉由該編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。

各項實施例包含包括以下步驟之一方法：藉由一執行點處理自一交換器接收之一資料封包，該資料封包經引導至至少一個網路資產；藉由該執行點使用該處理及一規則集選擇性轉發該資料封包；藉由一分佈式安全處理器檢測該經轉發封包；藉由該分佈式安全處理器使用該檢測及該規則集引導該執行點進行將該資料封包轉發至該至少一個網路資產及丟棄該資料封包中之至少一者；藉由一記錄模組累積與該資料封包、該處理及該檢測中之至少一者相關聯之資料；藉由一分析模組分析該資料封包、該處理及該檢測中之該至少一者；藉由一分析模組藉由編譯器使用該分析起始編譯一高級安全策略以產生一經更新規則集。

一些實施例包含包括以下步驟之一方法：獲得用於一資料網路之一安全策略，該安全策略選擇性容許及/或阻止複數個網路資產之間的通信且指示使用與各別群組相關聯之一共同安全特性之該複數個網路資產之若干群組；起始編譯該安全策略以產生一規則集，該規則集使用一來源位址、來源連接埠、目的地位址、目的地連接埠及與該複數個網路資產之特定者之間的通信相關聯之一應用程式協定之至少一者選擇性阻斷該通信；將該規則集提供至至少一個執行點；接收與該資料網路中之通信相關聯之分析及一記錄中之至少一者，藉由一記錄模組產生分析及一記錄中之該至少一者；計算與該至少一網路資產相關聯之一風險評分，該風險評分為與該至少一個網路資產相關聯之相對安全之一量測；使用該經計算之風險評分起始該安全策略之一重新編譯以產生一經更新規則集；及使該經更新規則集散佈至該至少一個執行點。

在進一步例示性實施例中，模組、子系統或裝置可經調適以執行所述步驟。下文描述其他特徵及例示性實施例。

100‧‧‧環境

110‧‧‧防火牆

120‧‧‧可信安全內部網路/內部網路

130‧‧‧不安全外部網路

140‧‧‧可信邊界

150‧‧‧資產

160‧‧‧攻擊者

200‧‧‧環境

205‧‧‧網路資產

210‧‧‧第三方

215‧‧‧資料訊務

220‧‧‧超管理器/交換器

225‧‧‧執行點

230‧‧‧攻擊者

235‧‧‧惡意資料訊務

240‧‧‧合成伺服器/其他安全功能

242‧‧‧分佈式安全處理器

300‧‧‧系統

310‧‧‧策略引擎

320‧‧‧編譯器

330‧‧‧分佈式安全處理器

340‧‧‧記錄模組

350‧‧‧執行點

360‧‧‧超管理器

370‧‧‧分析引擎

500‧‧‧示意圖

505‧‧‧伺服器

510‧‧‧超管理器

515‧‧‧執行點

520‧‧‧分佈式安全處理器

525‧‧‧策略引擎

530‧‧‧合成伺服器/其他安全功能

535‧‧‧UI

540‧‧‧API

545‧‧‧編排引擎

600‧‧‧示意圖

610‧‧‧影子網路

620‧‧‧(記錄)分析

630‧‧‧策略運算

640‧‧‧高狀態安全處理/分佈式安全處理器

650‧‧‧基於快取之安全處理

700‧‧‧電腦系統

702‧‧‧處理器

704‧‧‧硬碟機

706‧‧‧主記憶體

708‧‧‧靜態記憶體

710‧‧‧匯流排

712‧‧‧網路介面裝置

720‧‧‧電腦可讀媒體

722‧‧‧指令集/指令

在隨附圖式之圖中藉由實例且非限制方式來繪示實施例，其中相同參考符號指示類似元件。

圖1展示根據一些實例性實施例之用於使一區域網路安全之一環境。

圖2繪示根據一些實施例之其內可實施用於對於一分佈式網路實現安全功能之系統及方法之一環境。

圖3係展示根據某些實施例之用於對於一分佈式網路實現安全功能之一系統之各種模組之一方塊圖。

圖4係繪示根據一些實例性實施例之用於對於一分佈式網路實現安全功能之一方法之一流程圖。

圖5展示根據一些實例性實施例之對於一分佈式網路中之一伺服器實現安全功能之一示意圖。

圖6展示根據一些實例性實施例之將資料訊務重新引導至特定安全服務之一示意圖。

圖7展示用於一電腦系統之呈例示性電子形式之一機器之一運算裝置的一圖解表示，在該運算裝置內可執行引起該機器執行本文中所論述之方法論中之任一或多者之一指令集。

以下詳細描述包含引用形成該詳細描述之一部分之隨附圖式。該等圖式展示根據例示性實施例之圖解說明。足夠詳細地描述在本文中亦被稱為「實例」之此等例示性實施例以使熟習此項技術者能夠實踐本發明標的物。可組合該等實施例，可利用其他實施例，或可在不脫離所主張內容之範疇的情況下作出結構、邏輯及電改變。因此，以下詳細描述不應被視作限制意義，且該範疇係藉由隨附申請專利範圍及其等效物定義。在此文件中，如在專利文件中常見般使用術語「一(a)」及「一(an)」以包含一個或一個以上。在此文件中，術語「或」係用於指代一非排他性「或」，使得除非另有指示，否則「A或B」包含「A但不包含B」、「B但不包含A」以及「A及B」。

本發明技術之各項實施例提供用於評估及定址包含虛擬機器之一資料中心內之通信之系統及方法。該系統及該方法可識別不安全通信且另外可停止及/或重新引導通信。該經重新引導通信可經引導至可隔離及防禦一安全故障之一監視通信節點。該監視通信節點亦可藉由發送看似其等係自原始預期目標通信節點發送之通信來仿冒發送通信節點。以此方式，可防禦止一安全故障，可限制損壞，及/或可獲得關於企圖起始該安全故障之一不良行動者之資訊。

本文中所論述之通信節點可為一虛擬機器、一伺服器、一基於雲端之虛擬機器、一主機、一用戶端、一工作負載及/或一電子執行目標。如本文中所論述之通信封包包含資料封包或通信節點之間的任何其他電子通信。

資料中心對於安全提出獨特挑戰。可使用各種虛擬機器(VM)且其等可存在於相同伺服器。不同虛擬機器可具有不同安全層級及/或可與不同組織相關聯。在不需要所有通信通過一單個阻塞點(此將大幅度削弱通信效率)的情況下，防禦歸因於虛擬機器之間的通信之安全故障係困難的。

一習知資料中心機架或伺服器可為一雲端系統之部分且可包含多個超管理器及每超管理器多個虛擬機器及一交換器。該交換器可調節及監測該伺服器內之虛擬機器之間的訊務，及/或可將該伺服器連接至外部(例如，連接至網際網路、一內部網路及該雲端系統之其他部分)。一超管理器係抽象化用於提供服務至多個客體作業系統之硬體之一虛擬方式。相同伺服器上之兩個虛擬機器可通常通信，此係因為一傳統、集中式防火牆不能夠在不大幅度削弱通信效率的情況下簡單操作及防禦此類型之互動。相比而言，一分佈式防火牆容許一虛擬機器與鄰近或緊鄰虛擬機器通信同時維持安全。

本發明技術之一些實施例提供一分佈式防火牆至一雲端環境中之多個通信節點。一些實施例可包含在裝納虛擬機器之伺服器外部操作之分佈式安全處理器及/或可包含額外元件(例如，一伺服器之交換器中之執行點)。可以各種方式(例如，藉由在一分佈式防火牆之一網狀結構上方穿隧、複製及發送一複本至一誘捕系統(honeypot)、發送TCP重設以防禦未來通信及/或藉由窺探IP位址)實施藉由分佈式安全處理器之重新引導。藉由分佈式安全處理器之其他動作亦可行。

傳統上，安全服務以一非分佈式方式操作。例如，一防火牆、一網間封包交換(IPX)及/或一誘捕系統全部經定位使得訊務必須通過其等。此外，個別程式化此等組件中之各者。自歷史觀點上說，一不良行動者不得不跨防火牆存取資產。

相比而言，現今威脅模型係具有鄰近虛擬機器之一雲端系統。在多方處於一單個資料中心中或甚至潛在處於一單個機器上的情況下，動態已改變。

新模型係跨一資料中心安置之一分佈式防火牆。可使用虛擬化技術來開發在該新模型下之安全功能。根據此新模型，一分佈式防火牆係能夠提供安全執行及報告、記錄及可見性之一狀態協定。一分佈式防火牆係基於需要基於簽章之干預之策略。舉例而言，此等簽章可為一封包之內容或更巨集層級簽章。以一惡意方式表現之一行動者可為用於一分佈式防火牆之一簽章，例如，掃描一網路之一機器。

圖1展示用於使一區域網路(LAN)安全之一環境100。可藉由防火牆、入侵防禦系統、入侵偵測系統等等以一非分佈式方式實現LAN中之安全服務。防火牆110通常經放置作為一可信安全內部網路120與一不安全外部網路130(例如，網際網路)之間的一屏障以形成用於該內部網路120之一可信邊界140。內部網路120可包含資產150(諸如資料或服務)。一攻擊者160可企圖藉由發送惡意請求來攻擊內部網路120。防火牆110之任務係過濾來到內部網路120之所有網路訊務及丟棄來自攻擊者160之該等惡意請求。

然而，環境100中所展示之傳統周邊安全解決方案不能充分保護分佈式資料中心免受攻擊者影響。可藉由包含企業、法人實體及可能不一定值得信任之其他者之多方佔據一分佈式資料中心。該分佈式資料中心之內部人員可企圖攻擊其他方之網路資產。因此，傳統進入點安全解決方案(諸如防火牆)可能並不足以保護分佈式資料中心。

本發明提供用於對於分佈式網路實現安全功能之方法及系統。本發明之一實例性系統在一資料中心內或甚至跨多個資料中心提供網路資產之一分佈式保護使該等網路資產免受潛在威脅影響。該等網路資產可包含儲存於該資料中心或該多個資料中心之複數個伺服器上之資料資產。替代性地或此外，網路資產可為實體主機、虛擬機器及類似者。更明確言之，可藉由實施於一虛擬機器內之一執行點接收發送至資料中心內之一伺服器之資料訊務之網路封包。可藉由實施為電腦軟體、韌體或硬體之一超管理器來產生及運行該虛擬機器。在接收資料訊務之後，該超管理器可指示充當執行點之複數個虛擬機器處理該資料訊務。因此，可將該資料訊務發送至該等執行點。該等執行點可跨資料中心定位且至少充當一分佈式防火牆以對該資料中心內之網路資產提供分佈式保護。

執行點可與一策略引擎通信。該策略引擎可產生用以保護分佈式網路內之網路資產之安全策略。該等安全策略可包含用於基於資料訊務中所含有之預定簽章或定義預期協定行為之預定義狀態機器分析該資料訊務之規則。策略引擎可對執行點提供安全策略。執行點可將安全策略應用於經攔截之資料訊務。使用安全策略，執行點可判定整個資料訊務或資料訊務之一部分是否需要任何處理。特定言之，可將被視作惡意之資料訊務重新引導至一分佈式安全處理器及/或合成伺服器或其他安全功能(例如，誘捕系統、限定坑(tarpit)及/或入侵保護系統(IPS))。該合成伺服器或其他安全功能可包含一主機、資料或看似為一分佈式網路之部分但實際可經隔離及監測之一網路站點。如本文中所使用，「主機」係指連接至該分佈式網路之任何電腦。合成伺服器或其他安全功能可看似含有對於攻擊者之資訊或一價值資源。此一合成伺服器有時被稱為一「誘捕系統」。該合成伺服器或其他安全功能可分析惡意資料訊務以嘗試確立攻擊者之意圖及預測該等攻擊者之未來動作。此外或替代性地，合成伺服器或其他安全功能可使用預組態簽章、基於啟發式之分析及類似者來偵測惡意行為。

可在不進行任何進一步處理的情況下將藉由執行點判定為合法(即，不含有安全威脅)之資料訊務轉發至預期目的地伺服器(例如，重新引導至分佈式安全處理器或其他安全功能)。此外，可批准及容許與相同連接相關聯之任何未來資料訊務沿著兩個方向自由行進直至連接終止。在一些實例性實施例中，可將合法資料訊務加密以改良安全。

本發明之實例性系統可對於資料中心內之呈微服務之一形式之網路資產提供分佈式保護。該等微服務可包含軟體架構設計型樣，其中複雜應用程式(例如，網路安全應用程式)可由使用API彼此通信之小、獨立程序組成。微服務可為小、經高度解耦及集中進行小任務，諸如使網路資產之一部分安全。該系統可跨分佈式網路之多個設施(即，跨多個網路資產)執行一單組安全策略。微服務係在標題為「Methods and Systems for Providing Security to Distributed Microservices」之相關美國專利申請案第14/657,282號中進一步描述，該專利申請案之全文據此出於所有目的以引用的方式併入本文中。

此外，該例示性系統可對多個資料中心提供保護。例如，該系統可部署於一公共雲端網路內，因此容許將不同類型之安全設施結合在一起及執行一單組安全控制及策略。該系統可包含伺服多個安全設施之一單個UI及一單個API，使得整體系統看上去像一個安全設施且跨與該公共雲端網路相關聯之私有資料中心提供安全。

圖2繪示根據一些實施例之其內可實施用於對於一分佈式網路實現安全功能之系統及方法之一環境200。環境200可包含一分佈式網路(未展示)內之一(虛擬化)環境。環境200可包含複數個網路資產205。網路資產205可包含定位於該分佈式網路內之虛擬及/或實體伺服器、主機、資料或資源中之任一者。複數個第三方210可定位於相同分佈式網路內且可起始與網路資產205之通信。第三方210可藉由將資料訊務215發送至網路資產205來起始通信。可藉由超管理器或交換器220將藉由第三方210發送之資料訊務215轉發至執行點225(中之一者)。超管理器或交換器220可操作以產生一或多個虛擬機器。藉由超管理器或交換器220產生之該等虛擬機器可充當執行點225。執行點225可將經攔截之資料訊務215引導至分佈式安全處理器242及/或合成伺服器或其他安全功能240。執行點225可將安全策略應用於資料訊務215以對網路資產205提供個別化保護。執行點225可判定資料訊務215是否含有對於網路資產205之任何威脅。可將未造成任何威脅之資料訊務215轉發至網路資產205。

一攻擊者230可意圖藉由發送惡意資料訊務235來攻擊網路資產205。惡意資料訊務235可包含惡意軟體訊務(例如，殭屍網路訊務)、間諜軟體、拒絕服務(DoS)攻擊訊務、垃圾郵件及類似者。由於執行點225負責攔截引導至網路資產205之資料訊務，因此可藉由執行點225中之至少一者攔截惡意資料訊務235。超管理器或交換器220可將經攔截之惡意資料訊務235發送至執行點225。基於安全策略，執行點225可判定惡意資料訊務235對網路資產205造成威脅。基於該判定，執行點225可阻斷(例如，丟棄)惡意資料訊務235及/或將惡意資料訊務235引導至分佈式安全處理器242及/或在分佈式網路內產生之一合成伺服器或其他安全功能240。

合成伺服器或其他安全功能240可包含看似含有對於攻擊者230之價值資料且因此充當用於攻擊者230之一「誘捕系統」之一主機。藉由進一步非限制性實例之方式，合成伺服器或其他安全功能240係一沙箱、限定坑、入侵保護系統(IPS)及類似者。合成伺服器或其他安全功能240可進一步分析惡意資料訊務235以確立攻擊者230之意圖及預測該攻擊者230之未來惡意企圖。例如，分佈式安全處理器242並不一定在資料訊務流中。分佈式安全處理器242可判定是阻斷(例如，丟棄)還是重新引導惡意資料訊務235且可引導執行點225中之至少一者進行經判定動作(例如，阻斷或重新引導)。

圖3係展示根據某些實施例之用於對於一分佈式網路實現安全功能之一系統300之各種模組之一方塊圖。系統300可包括一策略引擎310、一編譯器320、複數個分佈式安全處理器330、一記錄模組340、一執行點350、一超管理器360及分析引擎370。策略引擎310可操作以產生用於保護該分佈式網路內之複數個網路資產之至少一個安全策略。在實例性實施例中，策略引擎310包含以下各者中之至少一者：用以接收使用者輸入之一UI、一API及至少一個預定策略。在一實例性實施例中，該安全策略包含由一使用者(諸如該分佈式網路之一操作者)經由該UI或該API定義之一策略。編譯器320可操作以將該至少一個安全策略轉換成至少一個規則集(例如，防火牆規則集)。策略引擎310、編譯器320、安全策略、規則集及相關聯方法係在標題為「Conditional Declarative Policies」之相關美國專利申請案第14/673,640號中進一步描述，該專利申請案之全文據此出於所有目的以引用的方式併入本文中。

在各項實施例中，編譯器320可使用對資料訊務215及/或惡意資料訊務235之分析來產生至少一個規則集，此在標題為「System and Method for Threat-Driven Security Policy Controls」之相關美國專利申請案第14/673,679號中進一步描述，該專利申請案之全文據此出於所有目的以引用的方式併入本文中。

在進一步實例性實施例中，超管理器360可運行於與資料資產相關聯之一伺服器上且包含用以攔截引導至該伺服器之資料訊務之一執行點350。

在一實例性實施例中，複數個分佈式安全處理器330可包含充當儲存關於先前經接收資料封包之資訊及使用該經儲存資訊以用於處理當前資料封包之狀態處理器之虛擬機器。分佈式安全處理器330可操作以接收至少一個規則集且實施至少一個安全策略以用於起始與複數個網路資產相關聯之通信。因此，分佈式安全處理器330中之各者可經組態為一策略執行點以對網路資產提供個別化保護。

在一實例性實施例中，複數個分佈式安全處理器330可進一步操作以例示用以基於預定準則實現與複數個網路資產相關聯之通信之處理之複數個資料路徑。該處理可包含將被視為惡意之通信重新引導至一合成伺服器或其他安全功能。該合成伺服器可經設計以分析通信以嘗試確立意圖及預測與該等通信相關聯之一方之未來動作。此外，合成伺服器可經組態以便慫恿一攻擊者企圖對該合成伺服器進行一攻擊，使得可收集及分析與該攻擊者相關聯之資料。

在一些實施例中，處理包含產生分佈式網路上之合成網際網路協定(IP)位址，該等合成IP位址指向合成伺服器，使得掃描該分佈式網路之IP位址之一攻擊者可襲擊該等合成IP位址且被引導至該合成伺服器。在本發明之進一步實施例中，處理可包含將被視為惡意之通信重新引導至其他安全服務。

在一些實例性實施例中，執行點225(圖2)及/或執行點350(圖3)經組態為快速快取區以基於關於轉發通信之決策執行快速轉發。

在一些實施例中，一旦批准與複數個網路資產之通信，分佈式安全處理器330即可將該等通信轉發至一預期目的地以用於連接之其餘者。分佈式安全處理器330可包含與重新引導通信有關之轉發表及資料。因此，對於起始於該方與一目的地伺服器之間的會話之其餘者，可在無需進一步分析的情況下將通信引導至該目的地伺服器。

在實例性實施例中，實施至少一個安全策略包含基於預定簽章或定義預期協定行為之預定義狀態機器來分析通信。該等預定簽章可包含以下各者中之至少一者：一封包之內容、請求通信之一方之一行為、一歷史型樣、指示惡意意圖之型樣、該方之一威脅行為(例如，掃描分佈式網路之裝置以理解網路架構)等等。

在一進一步實例性實施例中，實施至少一個安全策略可包含基於預定觸發條件觸發安全功能。觸發安全功能可牽涉藉由執行點350重新引導通信。執行點350可在超管理器360內產生。

記錄模組340可操作以產生關於資料訊務及實施安全策略之分析及報告。藉由記錄模組340產生之該等報告可相對於分佈式網路內之通信提供可見性。

在一些實施例中，分析引擎370分析(例如)藉由記錄模組340產生之分析及報告。分析引擎370可(例如)使用啟發法來判定資料訊務(趨勢)及/或網路資產之一改變。例如，分析引擎370可對至少一個網路資產計算一(經更新)風險評分。例如，編譯器320使用資料訊務及/或網路資產之該改變(重新)編譯以產生一(經更新)規則集。使用資料訊務及/或網路資產之一經判定改變(例如，計算一經更新風險評分)以產生一新規則集係在標題為「System and Method for Threat-Driven Security Policy Controls」之相關美國專利申請案第14/673,679號中進一步描述，該專利申請案之全文據此出於所有目的以引用的方式併入本文中。圖4係繪示根據一些實例性實施例之用於對於一分佈式網路實現安全功能之一方法400之一流程圖。方法400可以在操作410處產生至少一個安全策略來開始。可藉由一策略引擎產生該安全策略以用於保護該分佈式網路內之複數個網路資產。該策略引擎可包含以下各者中之至少一者：用以接收使用者輸入之一UI、一API及至少一個預定策略。

方法400可進一步包含在操作420處藉由一編譯器將該至少一個安全策略轉換成至少一個規則集。在轉換之後，可在操作430處藉由複數個分佈式安全處理器接收該至少一個規則集。

方法400可進一步包含操作440，在操作440處可藉由該複數個分佈式安全處理器實施該至少一個安全策略以用於起始與複數個網路資產相關聯之通信。該複數個分佈式安全處理器中之各者可經組態以對該複數個網路資產中之至少一者提供個別化保護。在實例性實施例中，實施至少一個安全策略包含基於預定簽章或定義預期協定行為之預定義狀態機器分析通信。該等預定簽章可包含以下各者中之至少一者：一封包之內容、一方之一行為、一歷史型樣等等。在進一步實例性實施例中，實施至少一個安全策略包含基於預定觸發條件觸發安全功能。觸發安全功能可包含藉由一執行點重新引導通信。在進一步實例性實施例中，實施至少一個安全策略包含將通信之資料封包加密。在操作450處，可藉由一記錄模組產生關於實施安全策略之分析及報告。在操作460處，基於關於安全策略實施之經產生分析及報告可判定安全策略變化。

在一些實施例中，方法400可進一步包含例示用以基於預定準則實現與複數個網路資產相關聯之通信之處理之複數個資料路徑。可藉由分佈式安全處理器例示該複數個資料路徑。該處理可包含將被視為惡意之通信重新引導至一合成伺服器。該合成伺服器可經設計以分析通信以嘗試確立意圖及預測與該等通信相關聯之一方之未來動作。

在一些實施例中，一旦批准與複數個網路資產之通信，分佈式安全處理器即可將該等通信轉發至一預期目的地以用於一連接之其餘者。

圖5展示根據一實例性實施例之對於一分佈式網路中之一伺服器實現安全功能之一示意圖500。一伺服器505可與一超管理器510相關聯。超管理器510可包含負責攔截藉由該分佈式網路中之一方(未展示)引導至伺服器505之資料訊務之一或多個執行點515。執行點515可將該經攔截資料訊務引導至一或多個分佈式安全處理器520。一策略引擎525可產生安全策略且跨該分佈式網路將該等安全策略分佈至分佈式安全處理器520。策略引擎525亦可連接至UI 535、API 540及一編排引擎545。編排引擎545可用於控制超管理器510。

分佈式安全處理器520可基於自策略引擎525接收之安全策略處理經攔截資料訊務且進行該經攔截資料訊務是否為惡意之一決策。惡意資料訊務可經轉發、阻斷(例如，丟棄)及/或重新引導至一安全服務(諸如充當用於與該惡意資料訊務相關聯之一攻擊者之一誘捕系統之一合成伺服器或其他安全功能530)。

圖6展示將攻擊訊務重新引導至展示為一影子網路610之特定安全服務之一示意圖600。示意圖600展示分佈用於對於一分佈式網路實現安全功能之方法之操作所需之資源。特定言之，(記錄)分析620可為高狀態及處理器密集型的。策略運算630及高狀態安全處理640可為較不處理器密集型的。基於快取之安全處理650可為少狀態及高速的。可將與惡意資料訊務之威脅遏制及威脅分析相關聯之全部操作重新引導至影子網路610。該影子網路610可包含複數個分佈式安全處理器640。

圖7展示用於一電腦系統700之呈例示性電子形式之一機器之一運算裝置的一圖解表示，在該運算裝置內可執行引起該機器執行本文中所論述之方法論中之任一或多者之一指令集。在各項例示性實施例中，該機器作為一獨立裝置操作或可連接(例如，網路連結)至其他機器。在一網路連結之部署中，該機器可在一主從式網路環境中在一伺服器或一用戶端機器之能力中操作或在一同級間(或分佈式)網路環境中作為一同級機器操作。該機器可為一伺服器、一個人電腦(PC)、一平板PC、一機上盒、一蜂巢式電話、一數位相機、一可攜式音樂播放器(例如，一可攜式硬碟機音訊裝置，諸如一移動圖像專家組音訊層3(MP3)播放器)、一web設備、一網路路由器、一交換器、一橋接器或能夠執行指定藉由彼機器採取之動作之一指令集(循序或以其他方式)之任何機器。此外，雖然僅繪示一單個機器，但術語「機器」亦應認為包含個別或結合執行一指令集(或多個指令集)以執行本文中所論述之方法論中之任一或多者之機器的任何集合。

實例性電腦系統700包含一處理器或多個處理器702、一硬碟機704、一主記憶體706及一靜態記憶體708，其等經由一匯流排710彼此通信。電腦系統700亦可包含一網路介面裝置712。硬碟機704可包含一電腦可讀媒體720，其儲存體現本文中所描述之方法論或功能中之任一或多者或藉由該任一或多者利用之一或多個指令集722。指令722在其等藉由電腦系統700執行期間亦可完全或至少部分駐留於主記憶體706及/或靜態記憶體708內及/或處理器702內。該等主記憶體706、靜態記憶體708及處理器702亦構成機器可讀媒體。

雖然電腦可讀媒體720在一例示性實施例中展示為一單個媒體，但術語「電腦可讀媒體」應認為包含儲存一或多個指令集之一單個媒體或多個媒體(例如，一集中式或分佈式資料庫及/或相關聯快取區及伺服器)。術語「電腦可讀媒體」亦應認為包含能夠儲存、編碼或執行藉由機器執行及引起該機器執行本發明申請案之方法論中之任一或多者之一指令集，或能夠儲存、編碼或執行藉由此一指令集利用或與此一指令集相關聯之資料結構之任何媒體。因此術語「電腦可讀媒體」應認為包含但不限於固態記憶體、光學及磁性媒體。此等媒體亦可包含(但不限於)：硬磁碟、軟磁碟、NAND或NOR快閃記憶體、數位視訊磁碟、RAM、ROM及類似者。

本文中所描述之例示性實施例可實施於包括安裝於一電腦上、硬體中或軟體與硬體之一組合中之電腦可執行指令(例如，軟體)之一作業環境中。該等電腦可執行指令可以一電腦程式化語言寫入或可以韌體邏輯體現。若以符合一公認標準之一程式化語言寫入，則此等指令可執行於各種硬體平台上且用於至各種作業系統之介面。儘管並不限於此，然用於實施本發明方法之電腦軟體程式可以任何數目個合適程式化語言(舉例而言，諸如C、Python、JavaScript、Go或其他編譯器、組譯器、解譯器或其他電腦語言或平台)寫入。

因此，描述用於對於一分佈式網路實現安全功能之系統及方法。儘管已參考特定例示性實施例描述實施例，然將顯而易見，可在不脫離本發明申請案之寬廣精神及範疇的情況下對此等例示性實施例作出各種修改及改變。因此，說明書及圖式應視為具一闡釋性意義而非一限制性意義。