專利名稱:計算機網(wǎng)絡內(nèi)的安全服務的分級應用程序的制作方法
技術領域:
本發(fā)明涉及一種計算機網(wǎng)絡,更具體地,涉及一種在計算機網(wǎng) 絡內(nèi)應用安全月艮務。
背景技術:
計算^/L網(wǎng)絡典型地包括一 些互連的計算裝置,它們交換數(shù)據(jù)并 共享資源。這些裝置可以包括(例如)網(wǎng)絡服務器、數(shù)據(jù)庫服務器、 文件服務器、路由器、打印機、最終用戶計算機及其他裝置。這些 各種各樣的裝置可以執(zhí)行多種不同服務、操作系統(tǒng)(或操作系統(tǒng)版 本)、及通信協(xié)議。不同服務、操作系統(tǒng)及通信協(xié)議中的每一種都可 以將網(wǎng)絡暴露給不同的安全脆弱性。惡意用戶或"黑客"可以利用 這些安全脆弱性以獲得對該網(wǎng)絡未授權的訪問、打擾或一般的攻擊。
典型地,用于檢測這些網(wǎng)絡攻擊的技術利用了圖案匹配。具體
地,入侵檢測和防御("IDP")裝置可以位于網(wǎng)絡的邊緣并被靜態(tài)
配置為或被準備為,應用規(guī)則表達或子串匹配以在進入該網(wǎng)絡的數(shù) 據(jù)流內(nèi)檢測所定義的攻擊圖案。 一些網(wǎng)絡可以展現(xiàn)或多或少的安全
脆弱性,這需要IDP裝置被靜態(tài)準備為識別和/或防止或多或少的攻擊。
當傳統(tǒng)的IDP裝置被配置為保護多個網(wǎng)絡或子網(wǎng)絡時,IDP裝 置經(jīng)常被靜態(tài)準備為,應用安全服務集合以識別和/或防止能夠利用 這些網(wǎng)絡中最不安全的那個網(wǎng)絡的多個安全脆弱性中的任意安全脆弱性的所有已知網(wǎng)絡攻擊。在這方面中,IDP裝置應用月良務以識別 和/或防止嘗試利用這些網(wǎng)*各中的其他多個安全網(wǎng)絡中不存在的安 全脆弱性的攻擊。以該方式,展現(xiàn)最多安全脆弱性的網(wǎng)絡會因此直 *接影響在嘗試識別和/或防止該IDP裝置所處理的所有凄t據(jù)流內(nèi)的 所有不同類型網(wǎng)絡攻擊時IDP裝置被靜態(tài)配置為應用的不同安全服 務的數(shù)量,而不管每個具體流是否指向最脆弱的網(wǎng)絡。
因為IDP裝置可以凈皮靜態(tài)配置為應用嘗試識別凝:才居流中的攻擊 的網(wǎng)絡安全服務,其中數(shù)據(jù)流將去往易受到這種攻擊的網(wǎng)絡,IDP 裝置可以引入某些網(wǎng)絡缺陷。即,IDP裝置資源可以不必要地^皮浪 費為識別和/或防止以下攻擊,該攻擊由于凝:據(jù)包所去往的安全網(wǎng)絡 的本質(zhì)而最終也不會得逞。這些網(wǎng)絡缺陷會在網(wǎng)絡高度擁塞的時候 變得尤其顯著,例如,當IDP裝置不能夠?qū)Ω呒壍木W(wǎng)絡流量進行處 理時。在這種情況下,該網(wǎng)絡缺陷會引入延遲或阻止數(shù)據(jù)包的傳輸。 因此,通過將IDP裝置靜態(tài)準備為識別和/或防止對網(wǎng)絡或網(wǎng)絡裝置 的最小公分母的攻擊,例如,最不安全或最脆弱的網(wǎng)絡,該IDP裝 置可以在網(wǎng)絡高度擁塞時使網(wǎng)絡連通性折衷。
發(fā)明內(nèi)容
一般而言,描述了由一個或多個網(wǎng)絡裝置(諸如結(jié)合了入侵檢 測/放置(IDP)模塊的路由器)提供的安全服務分級應用的技術。 通過動態(tài)收集各種網(wǎng)絡或子網(wǎng)絡內(nèi)的裝置的安全信息,并基于所收 集到的網(wǎng)絡或子網(wǎng)絡內(nèi)的那些裝置的安全信息而將每個網(wǎng)絡或子網(wǎng) 絡分類為多個安全分類之一。每個安全分類可以標識安全能力的一 個不同級別(例如,操作系統(tǒng)版本及所安裝的補丁、所安裝的病毒 軟件或其他安全應用程序、病毒定義的狀態(tài)等等),對于被分類在該 特定安全分類中的網(wǎng)絡或子網(wǎng)絡,該網(wǎng)絡或該子網(wǎng)絡內(nèi)的裝置必須 符合該等級。然后IDP裝置可以基于網(wǎng)絡或子網(wǎng)絡映射到的安全分 類來確定是否將全面的或全部的攻擊圖案集合或全部攻擊圖案集合
16中的有限部分或子集應用于前往或起源于相關聯(lián)網(wǎng)絡的網(wǎng)絡通信
量。換句話說,IDP裝置可以基于所確定的與數(shù)據(jù)包流相關聯(lián)的每 個網(wǎng)絡或子網(wǎng)絡的安全能力的級別來動態(tài)地量身定估支應用至特定凄史 據(jù)包流的攻擊圖案,A人而變得從整體上更加"知曉,,網(wǎng)絡并可以降 低網(wǎng)絡缺陷并改善網(wǎng)絡連通性。而且,IDP裝置還可以基于當前網(wǎng) 絡負載狀況或其他因素來動態(tài)地量身定做應用于不同安全分類的數(shù) 據(jù)包流的攻擊圖案。
在操作過程中,網(wǎng)絡訪問層裝置(諸如第二層(L2 )交換機) 收集關于訪問裝置所服務的每個所連接最終用戶裝置的安全信息。 L2交換機可以在最終用戶被認證時收集該信息,諸如,通過利用最 終用戶軟件訪問客戶機或4務改的基于802.lx端口的網(wǎng)絡訪問控制協(xié) 議以請求這種安全信息。在任意情況下,L2網(wǎng)絡訪問層裝置可以基 于所收集的信息來確定單獨的最終用戶裝置的組(例如,最終用戶 裝置的網(wǎng)絡或子網(wǎng)絡)的安全分類。在同一組的多個最終用戶裝置 之間存在不同安全分類的情況下,L2網(wǎng)絡訪問層裝置可以對該組進 行細分或再次指定最低安全分類給最脆弱的最終用戶裝置所符合的 組。L2網(wǎng)絡訪問層裝置將不同網(wǎng)絡或子網(wǎng)絡的安全分類信息轉(zhuǎn)發(fā)給 網(wǎng)絡層IDP裝置,諸如結(jié)合了安全服務的第三層(L3)路由器。每 個IDP裝置接收用于至少一個計算裝置或最終用戶裝置的組與安全 分類的映射的安全分類信息。IDP裝置可以選擇與通過映射所標識 的安全分類相關聯(lián)的政策。在一些情況下,IDP裝置可以存儲多個 政策,其中,多個政策中的每個政策都與多個安全分類中的一個不 同安全分類相關聯(lián)。IDP裝置可以選擇與通過映射所標識的安全分 類相對應的政策并將該政策應用于與最終用戶裝置組相關聯(lián)的網(wǎng)絡 通信量。
在一些情況下,L2網(wǎng)絡訪問層交換機可以將單獨的虛擬局域網(wǎng) (VLAN)指定給最終計算裝置的不同組。在該情況下,所接收到 的安全分類信息可以基于為那些指定給第一 VLAN的最終用戶計算
17裝置所收集的安全信息,來選擇聚集安全分類并將該聚集安全分類
映射到第一 VLAN,而基于為那些指定給第二 VLAN的最終用戶裝 置所收集的安全信息,來選擇另 一聚集安全分類并將另 一聚集安全 分類映射到第二VLAN。然后,IDP裝置可以將與第一聚集安全分 類相關聯(lián)的第一政策所限定的第一安全服務集合(例如,攻擊4企測 圖案或病毒定義)應用于與第一 VLAN相關聯(lián)的通信量,而將與第 二聚集安全分類相關聯(lián)的第二政策所限定的第二安全服務集合(例 如,攻擊^r測圖案或病毒定義)應用于與第二 VLAN相關聯(lián)的通信 量。
以該方式,IDP裝置可以應用攻擊檢測圖案的不同集合來解決 每個VLAN的不同安全能力。具體地,IDP模塊可以應用攻擊檢測 圖案的這些不同集合來降低(如果不防止的話)各個VLAN的IDP 裝置和最終用戶裝置兩者的攻擊^r測圖案的冗余應用,這是因為最 終用戶裝置自己可以提供各種安全能力,例如,執(zhí)行安全軟件和/ 或硬件以防止網(wǎng)絡攻擊。而且,通過知曉這些安全能力,IDP裝置 可以使能這些圖案或安全服務的分級應用,這是因為IDP裝置可以 應用最終用戶裝置未應用的更高級別的攻擊檢測圖案或其他安全月l 務。此外,在一些情況下,IDP裝置可以避免應用這樣的安全服務, 這些安全服務^皮-沒計為檢測對于該最終用戶裝置組來i兌不可l是的特 定網(wǎng)絡攻擊或惡意軟件。
在一個實施例中, 一種方法包括利用網(wǎng)絡裝置4妻收標識了安 全分類和至少 一個計算裝置之間的至少 一個映射的安全分類信息, 其中,該安全分類標識了至少一個計算裝置的安全分類;以及利用 網(wǎng)絡裝置接收與該至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量。該方法 還包括利用網(wǎng)絡裝置將由與安全分類相關聯(lián)的政策所限定的圖案 集合應用于網(wǎng)絡通信量以檢測相應的網(wǎng)絡攻擊集合;以及利用網(wǎng)絡 裝置基于應用圖案集合來轉(zhuǎn)發(fā)網(wǎng)絡通信量。在另一實施例中,網(wǎng)絡裝置包括控制單元,接收標識了安全 分類和至少一個計算裝置之間的至少一個映射的安全分類信息,其 中,安全分類標識了該計算裝置的安全能力;接收與該至少一個計 算裝置相關聯(lián)的網(wǎng)絡通信量;將由與安全分類相關聯(lián)的政策所限定 的圖案集合應用于網(wǎng)絡通信量以檢測網(wǎng)絡攻擊集合;以及基于應用 圖案集合來轉(zhuǎn)發(fā)網(wǎng)絡通信量。
在另一實施例中, 一種網(wǎng)絡系統(tǒng)包括計算裝置集合;耦合至 計算裝置集合的訪問裝置;以及耦合至訪問裝置的網(wǎng)絡裝置。網(wǎng)絡 裝置包括控制單元,控制單元接收來自訪問裝置的安全分類信息, 該安全分類信息標識了安全分類和計算裝置集合之間的至少一個映 射,其中,安全分類標識了計算裝置集合的安全能力,控制單元接 收與計算裝置集合相關聯(lián)的網(wǎng)絡通信量,將由與安全分類相關聯(lián)的 政策所限定的圖案集合應用于網(wǎng)絡通信量以檢測網(wǎng)絡攻擊集合,并 基于應用圖案集合來轉(zhuǎn)發(fā)網(wǎng)絡通信量。
在另一實施例中, 一種計算4幾可讀存々者介質(zhì)包4舌用于4吏可編 程的處理器執(zhí)行以下步驟的指令利用網(wǎng)絡裝置接收標識了安全分 類和至少一個計算裝置之間的至少一個映射的安全分類信息,其中, 安全分類標識了至少一個計算裝置的安全能力;以及利用網(wǎng)絡裝置 接收與該至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量。這些指令還使處 理器執(zhí)行以下步驟利用網(wǎng)絡裝置將由與安全分類相關聯(lián)的政策所 限定的圖案集合應用于網(wǎng)絡通信量以檢測相應的網(wǎng)絡攻擊集合;以 及利用網(wǎng)絡裝置基于應用圖案集合來轉(zhuǎn)發(fā)網(wǎng)絡通信量。
本發(fā)明的 一 個或多個實施例的細節(jié)將在附圖和以下描述中給 出。本發(fā)明的其他特征、目的、及優(yōu)點將從以下描述和附圖中以及 從權利要求中變得顯而易見。
圖1是示出一種示例性網(wǎng)絡系統(tǒng)的框圖,在該網(wǎng)絡系統(tǒng)中,路 由器的入侵檢測/防止模塊執(zhí)行根據(jù)本發(fā)明原理的用于不同最終用 戶裝置組的分級安全技術。
圖2A、2B是更詳細地示出圖1的網(wǎng)絡系統(tǒng)的特定部件的框圖。
圖3是示出在執(zhí)行本文所描述的分級安全技術時網(wǎng)絡系統(tǒng)內(nèi)的 裝置的示例性才喿作的流程圖。
圖4是更詳細地示出在執(zhí)行分級安全技術時網(wǎng)絡層IDP裝置的 操作的流程圖,網(wǎng)絡層裝置諸如,結(jié)合了安全服務的第三層(L3) 路由器。
圖5是示出根據(jù)本文所描述的分級安全技術進行操作的另一示 例性網(wǎng)絡系統(tǒng)的框圖。
l沐實施方式
圖1是示出示例性網(wǎng)絡系統(tǒng)2的框圖,在該示例性網(wǎng)絡系統(tǒng)中, 路由器10的入侵檢測/防止模塊4執(zhí)行根據(jù)本發(fā)明原理的分級安全 技術。盡管被示出為集成在分配路由器10內(nèi)的模塊,其中入侵檢測 /防止模塊4 ( "IDP模塊4")可以被實現(xiàn)在單獨的裝置(諸如IDP 裝置)、防火墻或任意其他與分配路由器10分離的網(wǎng)絡安全裝置內(nèi)。 因此,盡管以下參照路由器IO來進4亍描述,4旦是該分級安全4支術可 以通過任意網(wǎng)絡裝置或網(wǎng)絡安全裝置來實現(xiàn),以響應于監(jiān)控到的網(wǎng) 絡(諸如私有網(wǎng)絡6)內(nèi)安全能力而動態(tài)地降低安全裝置的重疊應 用。
20如圖1所示,網(wǎng)絡系統(tǒng)2包括耦合到公共網(wǎng)絡8的私有網(wǎng)絡6。 公共網(wǎng)絡8可以包括任意可以公共訪問的計算才幾網(wǎng)絡,諸如互聯(lián)網(wǎng)。 公共網(wǎng)絡8可以包括各種各樣的互連計算裝置或節(jié)點,諸如網(wǎng)絡服 務器、打印服務器、應用服務器、數(shù)據(jù)服務器、工作站、桌上型計 算機、膝上型計算機、手機或其他移動裝置、個人數(shù)字助理(PDA)、 以及能夠經(jīng)由無線和/或有線連4妾而連4妾到計算才凡網(wǎng)絡的4壬意其他 裝置。典型地,這些裝置經(jīng)由基于數(shù)據(jù)包的協(xié)議(諸如互聯(lián)網(wǎng)協(xié)議 (IP) /傳輸控制協(xié)議(TCP))彼此進行通信。因此,公共網(wǎng)絡8 可以代表或稱為"基于數(shù)據(jù)包的"計算機網(wǎng)絡。
私有網(wǎng)絡6可以代表典型地由私有實體(諸如企業(yè)或行業(yè))維 護、操作、并擁有的并且公眾一般不能訪問的網(wǎng)絡。私有網(wǎng)絡6可 以反映一種祐L稱為"三層分級才莫型(three-tiered hierarchical model)" 的拓樸。該三層分級模塊能夠在分散的多個互連私有網(wǎng)絡(諸如私 有網(wǎng)全備6)中進4亍擴展。該三層可以包4舌第一核心層、第二分配層、 及第三訪問層。核心層可以包4舌物理互連、網(wǎng)關、以及其^也部件, 以才是供站點或分配層裝置之間的最佳傳輸。分配層可以包括路由器 和實現(xiàn)政策相關安全、通信量下載和路由的其他裝置。這些裝置典 型地符合OSI網(wǎng)絡才莫型的第三層(L3或網(wǎng)絡層)。圖1中所示的三 層分級模型的訪問層可以提供符合OSI網(wǎng)絡模型的第二層(L2或數(shù) 據(jù)鏈路層)的網(wǎng)絡訪問集線器或交換機以提供最終用戶訪問。盡管 相對于該三層模型來進行描述,但是安全服務的動態(tài)準備技術可以 在采用任意類型網(wǎng)絡拓樸的的任意類型網(wǎng)絡內(nèi)實現(xiàn)。
核心層可以將乂^共網(wǎng)絡8用作傳輸中樞鏈路或核心網(wǎng)絡。在這 種情況下,公共網(wǎng)絡8可以起核心網(wǎng)絡的作用以互連到各種分配路 由器,類似于私有網(wǎng)絡6的分配路由器10。典型地,提供對公共網(wǎng) 絡8的訪問的服務提供方還提供其他服務,諸如虛擬私有局域網(wǎng) (LAN )業(yè)務(VPLS ),以安全地通過公共網(wǎng)絡8互連私有網(wǎng)絡6 的遠程的或地理上分離的站點。可替換地,私有網(wǎng)絡6可以包括其自己的核心網(wǎng)絡,其互連分配路由器10并提供對公共網(wǎng)絡8 (諸如 核心網(wǎng)絡9)的訪問。盡管在圖1中未示出,其實核心網(wǎng)絡9可以 包括能夠在私有網(wǎng)絡6的不同網(wǎng)絡站點的各種分配層裝置(諸如分 配裝置10)之間進^f亍高速傳輸?shù)木W(wǎng)絡裝置。
分配層可以包括分配路由器10和政策服務器12。分配路由器 IO可以包括分配層裝置,其聚集來自各種訪問層裝置(諸如訪問裝 置14A-14N ("訪問裝置14"))的通信量。分配路由器10因此可以 代表能夠聚集并分配各種其他網(wǎng)絡裝置間的通信量的任意類型網(wǎng)絡 裝置。分配路由器10包括IDP模塊4,其應用安全服務以檢測和/ 或防止網(wǎng)絡攻擊。換句話i兌,在分配路由器10將通信量轉(zhuǎn)發(fā)到7>共 網(wǎng)絡8、核心網(wǎng)絡9、或多個訪問裝置14中的一個或多個之前,IDP 才莫塊4可以攔截并處理通信量。在攔截網(wǎng)絡通信量時,IDP才莫塊4 可以將一個或多個安全月良務應用于網(wǎng)絡通信量,以才企測和/或防止這 些網(wǎng)絡攻擊。在這點上,IDP模塊4可以代表能夠?qū)⒕W(wǎng)絡安全服務 應用于網(wǎng)絡通信量的任意類型網(wǎng)絡安全^T莫塊。結(jié)合了用于將網(wǎng)絡安 全服務應用于網(wǎng)絡通信量的服務平面的高速路由器的 一個實例在 2008年7月 30日^是交的名為"STREAMLINED PACKET FORWARDING USING DYNAMIC FILTERS FOR ROUTING AND SECURITY IN A SHARED FORWARDING PLANE"美國專利申請 12/182,619中有所描述,通過參照的方式將其全部內(nèi)容結(jié)合于此。
IDP模塊4根據(jù)安全政策(在本公開文件中其可以被稱為"政 策")來應用這些網(wǎng)絡安全服務。IDP模塊4可以耦合到政策服務器 12并接收來自這些政策服務器12的政策。政策服務器12可以在政 策數(shù)據(jù)庫或任意其他類型數(shù)據(jù)結(jié)構的存儲介質(zhì)(例如,硬盤、光驅(qū)、 磁盤驅(qū)動器、隨4踏取存儲器(RAM)等等)中維護這些政策。政 策服務器12可以與管理員(諸如管理員15)進行交互,以定義這 些政策。政策服務器12提供用戶接口,利用該用戶接口管理員15 進行交互以定義、指定、改變、修訂、刪除、或以其他方式編輯這些政策。管理員15可以進一步利用該用戶4妄口或其他用戶4妾口來進 行交互以使政策服務器12能夠?qū)⒄甙惭b或上傳到IDP模塊4。
盡管在圖1中未示出,但是政策服務器12可以耦合到類似于 IDP模塊4的多個IDP裝置/才莫塊并將同樣這些政策安裝或上傳到這 些IDP裝置/模塊中的每一個。此外,管理員15可以通過直接與IDP 模塊4之一或兩者進行交互來定義、指定、改變、修訂、刪除、或 以其他方式編輯政策,而不與政策服務器12進行交互。 一般地,該 直接交互在包括一個或少數(shù)幾個IDP裝置/模塊的較小網(wǎng)絡中發(fā)生。
私有網(wǎng)絡6的入口或第三層可以包括訪問裝置14、 i人證月艮務器 16、及最終用戶裝置18A-18Z ("最終用戶裝置18")。多個訪問裝 置14可以各代表交換機、集線器、和/或能夠提供對公共網(wǎng)絡6的 最終用戶裝置18的訪問的任意其他類型裝置。典型地,多個訪問裝 置14各包括第2層(L2)裝置,但是在一些情況下,多個訪問裝 置可以包括第3層(L3)裝置或者甚至多層裝置,例如,第2層和 第3層兩者的一個裝置。該公開文件中所使用的"層,,可以指開放 系統(tǒng)互連(OSI)模型的層。OSI模型中的第2層可以稱為"數(shù)據(jù)鏈 ^各層",而第3層可以稱為"網(wǎng)絡層"。
認證服務器16可以代表對最終用戶的認證信息進行維護的裝 置,諸如遠程認證撥號用戶服務(RADIUS)服務器。認證服務器 16可以4妄收來自訪問裝置14的iU正i青求,并通過4夸經(jīng)由iU正i青求 發(fā)送的最終用戶信息與由認證服務器16維護的認證信息進4亍比較 來對這些請求進行認證?;谠摫容^,認證服務器16可以指示訪問 裝置14是否要允許或拒絕最終用戶信息中提供的最終用戶裝置18 之一進入7>共網(wǎng)l各6。
如圖1的實例所示,最終用戶18可以#:分組到邏輯網(wǎng)全各或子網(wǎng) 絡中,諸如虛擬局域網(wǎng)(VLAN ) 20A-20N ( "VLAN 20")。為了舉
23例說明,VLAN 20A代表最終用戶裝置18A-18M的第一集合的邏輯 分組,而VLAN 20N代表最終用戶18N-18Z的第二集合的邏輯分組。 VLAN 20中的一個或多個可以^表一個邏4辱上^^匕分離^f旦可以在 同一下層物理網(wǎng)絡基礎結(jié)構上執(zhí)行的網(wǎng)絡。即,VLAN20A的最終 用戶裝置18A-18M可以(例如)利用同一網(wǎng)絡基礎結(jié)構(例如,鏈 路,交換機、集線器等等)作為VLAN 20N的最終用戶裝置18N-18Z 的網(wǎng)絡基礎結(jié)構。此夕卜,VLAN20中的一個或多個可以代表不共享
以及單獨的邏輯基礎結(jié)構的邏輯網(wǎng)絡。即,VLAN20A的最終用戶 裝置18A-18M可以(例如)利用與VLAN 20N的最終用戶裝置 18N-18Z所利用的網(wǎng)絡1^出結(jié)構分離的單獨網(wǎng)絡基礎結(jié)構。
在一些實現(xiàn)方式中,VLAN20中的每一個都可以與單獨的互聯(lián) 網(wǎng)協(xié)議(IP)子網(wǎng)絡(sub國network或簡寫為"subnet")相關聯(lián),其 可以^皮表達為IP地址(諸如192.168.5.10)和子網(wǎng)絡掩碼(諸如 255.255.255.0)。該子網(wǎng)絡掩碼可以定義IP地址的相關位的數(shù)目。 上述子網(wǎng)絡掩碼暗示了該IP地址的前24位(例如,192.168.5 ) #皮 看作是子網(wǎng)絡地址。IP子網(wǎng)絡還可以被表達為被虛線跟隨的IP地址 和多個相關子網(wǎng)絡位,諸如192.168.5.10/24,或可變的IP地址,例 如,192.168.5.X,其中X是變量。IP子網(wǎng)絡可以定義落入所標識的 子網(wǎng)絡內(nèi)的IP地址的范圍。給出上述IP子網(wǎng)絡地址192.168.5.X, 該IP子網(wǎng)絡包4舌落入所包含的范圍192.168.5.0至192.168.5.255內(nèi) 的所有IP地址。盡管典型的VLAN—般包括單個IP子網(wǎng)絡,但在 一些情況下,VLAN 20中的一個單獨VLAN可以包括多個IP子網(wǎng) 絡。此夕卜,單個IP子網(wǎng)絡可以包括VLAN20中的多個VLAN。因 此,盡管以下描述為IP子網(wǎng)絡和VLAN 20之間的一對一映射,但 是該:忮術可以應用于IP子網(wǎng)絡和VLAN 20之間的一對多和多對一 映射。VLAN 20中的每一個都可以通過VLAN標識符或標記在私有 網(wǎng)絡6中彼此區(qū)分開。訪問交換機14可以被配置為向從最終用戶裝 置18接收到的每個數(shù)據(jù)包或其他截然不同的數(shù)據(jù)單元附加一個唯 一的(至少在 >共網(wǎng)絡6內(nèi)是唯一的)VLAN標記,該標記對各個 最終用戶裝置18所處的VLAN 20之一進4亍標識。訪問裝置14可 以對使VLAN標記與IP地址或標識每個最終用戶裝置18的其他唯 一標識符(例如,士某體訪問控制(MAC)地址)相關聯(lián)的表或其他 適當數(shù)據(jù)結(jié)構進行維護。多個訪問裝置14可以各通過要求各個最終 用戶裝置18向訪問裝置14注冊來維護該表。
最終用戶裝置18可以各代表能夠與各個訪問裝置14接口以訪 問私有網(wǎng)絡6的計算裝置。最終用戶裝置18可以包括手機、個人數(shù) 字助理(PDA)、膝上型計算才幾、桌上型計算才幾、工作站、印刷才幾、 服務器(例如,打印服務器、數(shù)據(jù)服務器、網(wǎng)絡服務器、及應用服 務器)、數(shù)據(jù)庫中的一個或多個等等。最終用戶裝置18可以各提供 截然不同的安全能力和/或脆弱性集合。即,最終用戶裝置18A可以 利用當前的病毒定義、防火墻、以及過期或不安全的操作系統(tǒng)(例 如,梯:作系統(tǒng)未對安裝補丁以解決最近安全關注)來執(zhí)4亍防病毒專欠 件。最終用戶裝置18B可以4丸行最新的才喿作系統(tǒng)4旦其防病毒軟件過 期(例如,軟件圖案數(shù)據(jù)庫未被更新以反映最近的網(wǎng)絡攻擊)。結(jié)果, 最終用戶裝置18可以提供一些安全服務(例如,防病毒軟件、防火 墻等等),這些安全服務應用的圖案類似于IDP模塊4的圖案,這 會導致重疊應用安全服務,結(jié)果在某種程度上,每個模塊4和裝置 18能夠應用同樣的圖案。
根椐本發(fā)明的原理,IDP模塊4可以基于每個最終用戶裝置的 安全能力而動態(tài)地選擇安全業(yè)務并將這些安全業(yè)務應用到從最終用 戶裝置18接收到的網(wǎng)絡通信量。IDP模塊4可以基于單獨的最終用 戶裝置的安全服務來選擇并應用安全服務,或可以基于最終用戶裝 置18的分組(諸如VLAN20)來選擇并應用安全服務。換句話說,
25IDP模塊4可以至少獲悉VLAN 20的總的安全能力,如果不是這樣, 那么在一些情況下,IDP才莫塊可以獲悉每個單獨最終用戶裝置18的 安全能力。結(jié)果,IDP模塊4可以基于VLAN 20內(nèi)的最終用戶裝置 的所確定的安全能力而更有效地將安全服務應用于網(wǎng)絡通信量,從 而降低或消除冗余或重疊的安全服務應用。在這點上,IDP模塊4 可以更好地利用其計算資源,以應用"更高"級別的安全服務,其 加強了最終用戶裝置18所應用的那些"較低"級別安全服務,而不 冗余應用那些同樣的低級別服務,導致了安全服務的分級應用。"更 高"級別的安全服務可以(例如)是相比于最終用戶裝置18所應用 的那些"較低"級別安全月良務更嚴才各且更計算加強的津f選安全月良務。
為了確定這些安全能力,IDP模塊4可以收集關于最終用戶裝 置18的安全能力的信息??梢苑旨壍鼗?艮據(jù)圖1中所示的三層^jt型 來收集該信息。例如,最初,每個最終用戶裝置18可以請求或嘗試 訪問私有網(wǎng)絡6,在私有網(wǎng)全備上各個訪問裝置14可以4妄收i青求,并 在一些情況下, -驗i正每個最終用戶裝置18是否已在前,皮iU正過。訪 問裝置14可以通過對按照互連網(wǎng)協(xié)議(IP )地址來標識所認證的最 終用戶裝置18的認證表或其他數(shù)據(jù)結(jié)構進行維護來驗證最終用戶 裝置18的認證身份。認證表還可以指明認證身份過期的時間、以及 與維護最終用戶裝置18的認證記錄相關的其他信息。如果最終用戶 裝置18中請求的那個的IP地址被包括在該表中,則訪問裝置14中 相關聯(lián)的那個可以驗證該認證是否超時。如果不超時,則訪問裝置 14中相關聯(lián)的那個訪問裝置可以允許最終用戶裝置18中請求的那 個最終用戶裝置訪問私有網(wǎng)絡6。
可替換地,認證服務器16可以對認證表進行維護。在這些情況 下,訪問裝置14可以響應于接收到來自最終用戶裝置19之一的請 求來訪問iU正月l務器16以-驗i正最終用戶裝置18中i青求的那個最終 用戶裝置是否之前被認證過。如果被認證過,則認證服務器16可以 向多個訪問裝置14中的相應訪問裝置通知最終用戶裝置18中^青求的那個最終用戶裝置在之前被認證過并且該認證仍是有效的,其中,
訪問裝置14中相關聯(lián)的那個訪問裝置可以允i午最終用戶裝置18中 請求的那個最終用戶裝置訪問私有網(wǎng)絡6。
然而,為了舉例說明,假設最終用戶裝置18中請求的那個最終 用戶裝置在之前未被認證過,或者訪問裝置14由于政策的問題要求 每個請求訪問公共網(wǎng)絡6的最終用戶裝置18都重新進行認證,那么 訪問裝置14可以_清求來自最終用戶裝置18的iU正信息。iU正信息 可以包4舌簽名的i正書、用戶名與口令的《且合、安全密鑰、或認i正才幾 構所普遍采用的任意其他信息。最終用戶裝置18中請求訪問的那些 最終用戶裝置可以通過向訪問裝置14中的相應一個訪問裝置提供 iU正4言息來只于該諱v,作出響應。
然后訪問裝置14可以將該信息轉(zhuǎn)發(fā)給認證服務器16,認證服 務器通過如上所述地將從那些請求訪問的最終用戶裝置18的接收 的認證信息與由認證服務器16內(nèi)部維護的認證信息進行比較來對 每個請求的最終用戶裝置18進行認證。如果認證成功,則認證服務 器16可以向訪問裝置14中相應的訪問裝置標識成功i人證,這允許 最終用戶裝置18請求的那個最終用戶裝置訪問私有網(wǎng)絡6。否則, 訪問裝置14可以拒絕最終用戶裝置18中^青求訪問卻未正確認i正的 那些最終用戶裝置的訪問。在那些涉及i人i正表的情況中,負責維護 該表的裝置(例如,訪問裝置14和/或認證服務器16)可以更新該 表以反映iU正成功。
作為該認證過程的一部分,訪問裝置14還可以i青求關于最終用 戶裝置18中請求訪問私有網(wǎng)絡6的每個最終用戶裝置的安全能力的 信息。關于安全能力的該信息在本文中可以:故稱為"安全信息"。安 全信息可以包括關于當前由最終用戶裝置18中請求的那個最終用 戶裝置執(zhí)行的操作系統(tǒng)的信息(例如,操作系統(tǒng)的類型和版本號以 及安裝的所有補丁 );以及關于當前在最終用戶裝置18中請求的那
27個最終用戶裝置內(nèi)安裝和執(zhí)行的安全軟件(例如,防火墻軟件、防
病毒專欠^f牛、反病毒軟4牛和4元病毒(anti-malware )教J牛)的4言息(例 如,每個安全軟件應用程序和任意相應安全數(shù)據(jù)庫的名稱、類型和 版本)。安全信息還可以包括關于任意安全硬件的信息,諸如權標或 其他基于石更件的安全4晉施。安全信息可以進一步包4舌關于加密和解 密措施的信息、和關于操作系統(tǒng)和安全軟件及安裝在最終用戶裝置 18請求的那個最終用戶裝置內(nèi)安裝的其他軟件和/或硬件的任意補 丁的信息。因此安全信息可以在該7>開文件中用來指代與確定安全 能力有關的任意信息,或者,換句話說,最終用戶裝置18中的特定 一個最終用戶裝置的安全級別。
如上所述,每個最終用戶裝置18都可以響應于多個訪問裝置 14中相應的 一個訪問裝置所發(fā)出的安全能力請求而在iU正期間傳 送該安全信息。在一個實施例中,獨立于該iU正過考呈,每個最終用 戶裝置18都包括#4居多個訪問裝置14中相應的一個訪問裝置的請 求或進度表而將該安全信息上傳到多個訪問裝置14中相應的一個 訪問裝置的硬件和/或軟件才莫塊。該硬件和/或軟件才莫塊可以包括在最 終用戶裝置或增強的"信任平臺模塊"(TPM)上執(zhí)行的"用戶訪 問客戶機"(UAC)之一。UAC可以包括安裝在最終用戶裝置上的 客戶枳4欠件沖莫塊,用于監(jiān)控和/或配置最終用戶裝置。TPM可以是 這樣的硬件單元,該硬件單元對端點裝置的引導部件的完整性進行 驗證,并提供安全信息的安全存儲,以防止在最終用戶裝置折衷的 情況下?lián)p害該安全信息。在最終用戶裝置18包括TPM的情況下, 安全信息可以包括關于TPM的出現(xiàn)的信息(這是由于該模塊可表 現(xiàn)出非常安全的裝置)、以及詳細描述端點裝置的引導碼的TPM驗 i正的4言息。
不管訪問裝置14收集每個端點裝置18的安全信息的方式如何, 訪問裝置14都可以動態(tài)地將與各個端點裝置18相關聯(lián)的安全信息 映射到安全分類。例如,訪問裝置14可以對表或其他映射(或分類)機構、算法、輸入一個或多個端點裝置的安全信息并輸出安全分類的所采用的數(shù)據(jù)結(jié)構或元素進行維護。安全分類可以將每個最終用
戶裝置18所提供的安全能力的級別標識為一個值(其可以稱為"安全分類級別")或可以針對一組最終用戶裝置來輸出單個安全分類值。該映射表可以包4舌定義的多個安全分類,每個分類都可以標識一個裝置或一組裝置為了被分配到該分類所必須至少滿足或超過的安全能力(或安全脆弱性)的標準級別。高安全分類值可以指明(例如)具有高級別安全性的端點裝置或一組端點裝置(或具有較少安全脆弱性的一個端點裝置),而低安全分類值可以指示具有低級別安全性的端點裝置或一組端點裝置(或具有許多安全脆弱性的端點裝置)。
安全分類值還可以考慮脆弱性的嚴重性。例如,安全分類值可以包括安全脆弱性的加權平均值。多個訪問裝置14中的每個訪問裝置都可以基于安全信息來確定安全脆弱性并向各個安全脆弱性和反映各個安全脆弱性的重要性的值分配一個權重。然后每個訪問裝置14都可以基于乘以重要性值的權重的平均值來確定安全分類??商鎿Q地,每個訪問裝置14的映射或分類才莫塊可以計算與基于安全脆弱性的加權平均相對的度量。相反,分類模塊可以計算衡量每個安全能力的有效性的度量。再者,分類模塊可以計算由安全信息所標識的安全能力的加權平均值。分類模塊還可以采用上述兩種度量的某種組合,以動態(tài)確定每個最終用戶裝置18的安全分類。
安全分類的確定可以是動態(tài)的,這是由于其不需要管理員或其他用戶的輸入就可以發(fā)生,而是自動發(fā)生或直接響應于接收到安全信息而發(fā)生。由于每個最終用戶裝置18的安全能力會隨著時間而改變(例如,安全軟件、安全補丁等的安裝或升級),從最終用戶裝置18接收到并由最終用戶裝置傳送的安全信息也會隨著時間而改變。因此,訪問裝置14可以連續(xù)接收來自同一最終用戶裝置18的變化的安全信息并動態(tài)確定同一最終用戶裝置18的新的安全分類,該安全分類很可能和所確定的同一最終用戶裝置18的舊的安全分類不同。在這點上,安全分類的動態(tài)確定可以使IDP模塊4能夠自動地且動態(tài)地適應于私有網(wǎng)絡6內(nèi)變化的安全能力。
不管訪問裝置14動態(tài)確定安全分類的方式如4可,訪問裝置14還可以聚集對應于每個最終用戶裝置18的映射。在一些情況下,每個訪問裝置14可以維護單個信息儲存庫(諸如表),該存儲庫標識了最終用戶裝置18中當前訪問私有網(wǎng)絡6和/或之前訪問私有網(wǎng)絡的且其認證身份未過期的各個最終用戶裝置的關聯(lián)或映射。該儲存庫可以被稱為"裝置安全分類信息"。在這些情況下,每個訪問裝置14都可以維護各個最終用戶裝置18的裝置安全分類信息。
每個訪問裝置14都可以聚集裝置安全分類信息,就像每個訪問裝置14都可以聚集來自各個最終用戶裝置18的網(wǎng)絡通信量一樣。每個訪問裝置14都可以通過相關聚集度量來聚集裝置安全分類信息。典型地,每個訪問裝置14都可以通過網(wǎng)絡、IP子網(wǎng)絡、或VLAN來聚集裝置安全分類信息,以基于每個網(wǎng)絡、子網(wǎng)絡、或VLAN來確定聚集安全分類。由于網(wǎng)絡、子網(wǎng)絡、及VLAN中的每個都可以被看作是計算裝置的分組或集合,因此,該映射一般映射聚集安全分類和計算裝置的任意分組、集合、或聚集。聚集安全分類和計算
裝置集合之間的映射可以被稱為"聚集安全分類信息"。典型地,聚集安全分類信息包括單個映射,然而,聚集安全分類信息可以包括多個映射,其中,例如,每個映射定義了聚集安全分類和一個不同的計算裝置集合之間的單獨關聯(lián)。每個訪問裝置14都可以將該聚集安全分類信息轉(zhuǎn)發(fā)到分配路由器10的IDP模塊4,其中,該聚集安全分類信息標識了 (例如)IP子網(wǎng)絡地址或IP地址的范圍以及相關聯(lián)的安全分類。
以該方式,IDP才莫塊4可以接收并維護標識了安全分類和至少一個計算裝置(i者如,最終用戶裝置18A)之間的至少一個映射的該安全分類信息。IDP模塊4可以(例如)維護表或其他數(shù)據(jù)結(jié)構中的聚集安全分類信息并通過IP地址或IP地址范圍或前綴來組織該表。例如,IDP才莫塊4可以更新流表,以反映該聚集安全分類信息。為了更新該流表,IDP模塊4可以確定與安全分類相關聯(lián)的政策,并通過所確定的政策進行映射來更新與所標識的至少 一個計算裝置相關聯(lián)的流表的流條目。如上所示,IDP模塊4可以(例如)接收并下載來自政策服務器12的政策,其中各iE支策與多個安全分類中的一個不同分類相關聯(lián)。IDP模塊4因此可以對每個政策進行分析,并選擇與通過映射而被識別的安全分類相關聯(lián)的政策,并利用該ii支策來更新流條目。
在攔截到或接收到與至少一個計算裝置(例如,最終用戶裝置18A)相關聯(lián)的網(wǎng)絡通信量時,IDP模塊4可以將與該安全分類相關聯(lián)的政策應用到網(wǎng)絡通信量,以檢測由該政策所定義的攻擊圖案集合。典型地,IDP才莫塊4應用由對應的一個或多個iE支策所定義的一個或多個圖案集合,以檢測一個或多個網(wǎng)絡攻擊集合。每個政策可以定義一個這樣的攻擊圖案集合或圖案,其對應于網(wǎng)絡攻擊集合,并且當其被應用于輸入的通信量和輸出的通信量時,可以使IDP模塊4能夠才企測每個對應的網(wǎng)絡攻擊集合。本文所-使用的"輸入的網(wǎng)絡通信量"可以包括離開和進入私有網(wǎng)絡6的通信量,并因此指相對于IDP模塊4而進入的通信量。同樣地,"輸出的通信量"不是指任意特定方向,而僅僅指從IDP模塊4的觀點看來離開IDP模塊4的通信量。因此,1俞入和4俞出可以指從IDP模塊4的只見點看的通信量方向,而不分別表示私有網(wǎng)絡6和公共網(wǎng)絡8之間的通信量的4壬意4爭定方向iU危。
IDP模塊4可以通過將這些政策所標識的圖案應用到兩個方向上流動的網(wǎng)絡通信量(即,從7>共網(wǎng)絡8或核心網(wǎng)絡9 ^妾收到的入站通信量、以及去往該7>共網(wǎng)絡或該核心網(wǎng)絡的出站通信量)來應用這些jl支策,以在才企測網(wǎng)絡攻擊時改善準確性。例如,IDP才莫塊4
31可以將這些圖案應用于公共網(wǎng)絡8和最終用戶裝置14之間的客戶機到服務器通信和服務器到客戶機通信。IDP模塊4還可以對網(wǎng)絡通信量進行分析,以針對在網(wǎng)絡通信量內(nèi)檢測到的每個通信會話而使一個方向上的通信量與相反方向上的通信量相關。對于每個客戶才幾-服務器通信會話來說,IDP模塊4可以識別一個方向上的數(shù)據(jù)包流(例如,針對客戶機上的特定軟件應用程序的客戶機到服務器通信流)和相反方向上的相應數(shù)據(jù)包流(例如,針對同一軟件應用程序而從服務器流到客戶機的響應通信)。
IDP才莫塊4可以識別所監(jiān)控的通信量中的數(shù)據(jù)包流,并透明地重編來自該數(shù)據(jù)包流的應用層通信。IDP模塊4可以包括用來對該應用層通信進4亍分析并識別應用層事務(transaction )的一組十辦i義特有解碼器??偟貋碚f,"事務"指的是對等裝置之間的一系列有界的相關應用層通信。例如,單個TCP連接可以用于發(fā)送(接收)多個超文本傳輸協(xié)議(HTTP)請求(響應)。作為一個實例,包括通向HTML頁面的鏈接和多個圖像的單個網(wǎng)頁可以利用單個TCP連接來獲取。HTTP解碼器可以被IDP模塊4調(diào)用,以將TCP連接內(nèi)的每個"i青求/響應識別為不同事務。這可以凈皮用于防止特定攻擊定義或圖案在事務邊界應用。在一個實施例中,可以根據(jù)源和目的IP地址、協(xié)議、以及源和目的端口號來識別事務。其他實施例可以按照其他方式來識別事務,例如,通過利用々某體訪問控制("MAC")地址。
對于每個事務,相應的解碼器可以對應用層通信進行分析并提取協(xié)議特有元素。作為實例,對于FTP注冊事務,F(xiàn)TP解碼器可以提取與用戶名、目標裝置的名稱、客戶機裝置的名稱、及其他信息相對應的數(shù)據(jù)。此外,這些解碼器可以對與每個事務相關聯(lián)的應用層通信進行分析以確定這些通信是否包含任何協(xié)議特有"異常"。總地來說,協(xié)議異常指的是在應用層通信中檢測到的任何不符合用于特定協(xié)議的普遍接受的通信規(guī)則的不規(guī)則性。例如,這些規(guī)則可以通過公布的標準以及廠商定義的規(guī)格來限定。其他異常指的是在技
32術上符合協(xié)議規(guī)則但可能授權了 一個較高的檢查級別的協(xié)議事件(即,動作)。
這種協(xié)議事件的一個實例是文件傳輸協(xié)議(FTP)注冊請求的重復故障。HTTP協(xié)議的示例性異常包括丟失HTTP版本信息、殘缺的通用資源標識符("URL")、目錄遍歷、才艮頭溢出、i人證身份溢出、以及點心文1'牛(cookie)'溢出。筒單郵l'牛傳賴r十辦i義(SMTP)的示例性異常包括太多的接收者、延遲嘗試、以及超過所定義的長度的i或名。郵局十辦i義片反本3 ( Post Office Protocol version 3,簡稱POP3 )包括用戶溢出和注冊失敗。FTP的其他異常包括丟失參數(shù)、用戶名或if各徑名超過所定義的長度、以及注冊失敗。其他異常包括不正常且不符合規(guī)格的數(shù)據(jù)傳輸、以及命令指揮裝置打開了到裝置的網(wǎng)絡連接而不是客戶機裝置發(fā)出該命令。
IDP模塊4可以將這些圖案應用于所提取出的元素以及由協(xié)議解碼器識別出的協(xié)"i義特有異常,以4企測并防止網(wǎng)絡攻擊。因此當這些圖案被應用于輸入和輸出的通信量時,這些圖案可以基于應用層數(shù)據(jù)和其他狀態(tài)協(xié)議信息識別出 一個或多個攻擊簽名、協(xié)議異常、及其他惡意行為。而且,IDP模塊4可以使特定圖案與對應于特定應用程序的協(xié)議相關聯(lián)。對于IDP模塊4攔截到的給定通信會話,IDP模塊4可以嘗試識別用于該會話的數(shù)據(jù)包流的下層協(xié)議和應用程序類型,以選擇應用于這些凄t據(jù)包流的一個或多個圖案。在該事件中,IDP模塊4檢測網(wǎng)絡攻擊,IDP模塊4可以采取一個或多個所編寫的動作,諸如,自動放棄與檢測到網(wǎng)絡攻擊的應用層通信相關聯(lián)的數(shù)據(jù)包流以防止攻擊,從而保持網(wǎng)絡安全性。
為了確定J文策,IDP才莫塊4可以訪問對應于與至少一個最終用戶裝置18A相關聯(lián)的流的流表,并應用由所訪問的流條目所標識的政策?;趹迷撝辽僖粋€政策,IDP模塊4可以轉(zhuǎn)發(fā)網(wǎng)絡通信量。例如,如果在將所確定的政策所定義的圖案集合應用于分類后的數(shù)據(jù)包之后,IDP模塊4檢測攻擊,IDP模塊4可以放棄、隔離或以其他方式防止該攻擊到達目的地,諸如通過多個訪問裝置14或核心網(wǎng)絡9中相關聯(lián)的那個而到達最終用戶裝置18。然而,如果在將所確定的政策應用于分類后的數(shù)據(jù)包之后,IDP模塊4未能檢測到任何攻擊,則分配路由器10可以將該數(shù)據(jù)包轉(zhuǎn)發(fā)到該數(shù)據(jù)包所限定的目的地。
實際上,IDP模塊4可以將單獨的數(shù)據(jù)包分類為安全分類,并基于為這些數(shù)據(jù)包確定的每個分類而自適應地將圖案集合應用于這些數(shù)據(jù)包。如上所述,IDP模塊4可以基于每個網(wǎng)絡、子網(wǎng)絡、或VLAN來維護分類信息,并因此可以動態(tài)地將圖案應用于網(wǎng)絡通信量,以適應于多個網(wǎng)絡、多個子網(wǎng)絡、或多個VLAN之間的變4匕的安全能力。由于(例如)在最終用戶裝置18訪問私有網(wǎng)絡6時,IDP才莫塊4可以自動且動態(tài)地更新所維護的分類信息(例如,流表內(nèi)的分類信息),因此IDP模塊4可以自動準備政策而無需用戶輸入,以改變私有網(wǎng)全各6內(nèi)的安全能力。
因此,例如,IDP才莫塊4可以通過將不同的攻擊圖案集合應用于從每個VLAN 20接收到的網(wǎng)絡通信量或去往每個VLAN的網(wǎng)絡通信量(或一般而言,與每個VLAN相關聯(lián)的網(wǎng)絡通信量),而不是針對各VLAN 20應用同一攻擊圖案集合,來解決最低共有分母網(wǎng)絡(例如,多個VLAN 20中最脆弱的那個)。因此,IDP模塊4可以通過降低IDP模塊4內(nèi)的資源消耗而改善網(wǎng)絡連通性,從而相比于傳統(tǒng):汰術來i兌在給定單位時間內(nèi)處理了更多的凝:才居包,這可以降低延遲,或者在網(wǎng)絡高度擁塞時數(shù)據(jù)包數(shù)目可能下降。
盡管在本公開文件中相對于集成在分配路由器10內(nèi)的IDP模塊4來進行描述,但是IDP模塊4可以被實現(xiàn)為單獨的網(wǎng)絡安全裝置。即,分配路由器IO可以包括不具有任何安全能力的路由器,該路由器將通信量路由到獨立的網(wǎng)絡安全裝置,該網(wǎng)絡安全裝置實現(xiàn)關于IDP模塊4的技術。因此,這些技術不應嚴格局限于本文描述的示例性實施例,而是可以通過應用安全服務來檢測網(wǎng)絡內(nèi)的攻擊的任意網(wǎng)絡裝置(包括結(jié)合了 IDP裝置的功能性的路由器、以及獨立的網(wǎng)絡安全裝置)來實現(xiàn)。
圖2A、 2B是更詳細地示出執(zhí)行本發(fā)明原理的私有網(wǎng)絡6的框圖。圖2A是示出根據(jù)本文描述的分級安全4支術的收集并聚集來自最終用戶裝置18A-18M的裝置安全信息的私有網(wǎng)絡6的訪問裝置14A。盡管以下相對于訪問裝置14A和最終用戶裝置18A-18M來描述各種模塊、元件、代理、單元、及其他部件,但是,每個訪問裝
置14和每個最終用戶裝置18都可以包括與相對于訪問裝置14A和最終用戶裝置18A-18M描述的部件類似的部件。
訪問裝置14A包括至少一個網(wǎng)絡接口 21和控制單元22A,其中,控制單元22A耦合到網(wǎng)絡接口 21。網(wǎng)絡4妻口 21代表訪問裝置14A可以發(fā)送和接收網(wǎng)絡通信量48和其他信息的任意接口 。在一些情況下,網(wǎng)絡接口 21可以包括接口卡或用于發(fā)送和接收網(wǎng)絡通信量48的任意其他可移動卡。在其他情況下,網(wǎng)絡接口 21可以包括以太網(wǎng)端口、串;f于端口、通用系統(tǒng)總線(USB)端口、火線端口、或可通過其來發(fā)送和接收數(shù)據(jù)的任意其他端口中的一個或多個。
控制單元22A可以包4舌石更件(例如,可編禾呈處理器、現(xiàn)場可編禾呈門陣列(FPGA )、特定用途特歹未產(chǎn)品(Application Specific SpecialProduct,簡稱ASSP)、特定用途集成電路(ASIC )、集成電路等等中的一個或多個),和計算機可讀的存儲介質(zhì)或存儲器(例如,靜態(tài)介質(zhì)(硬盤驅(qū)動、光盤驅(qū)動、磁盤驅(qū)動、閃存等等),和/或動態(tài)介質(zhì)(隨機存取存儲器或RAM、動態(tài)RAM或DRAM等等)。在一些情況下,計算機可讀的存儲介質(zhì)可以包括指令,諸如那些用于定義軟件或計算機程序的指令,這些指令使上述列出的可編程處理器執(zhí)行本文描述的分級安全技術??刂茊卧?2A可以包括多個模塊,包括認證模塊23、網(wǎng)絡協(xié)議模塊24 ("網(wǎng)絡協(xié)議24A")、安全監(jiān)控代理26、安全映射模塊28、及聚集模塊29。這些模塊23-29中的每個模塊都可以包括硬件和/或軟件模塊。認證模塊23可以代表與認證服務器16通信以按照上述方式對最終用戶裝置18A-18M進行認證的才莫塊。網(wǎng)絡協(xié)議24A可以代表用于收集來自最終用戶裝置18A-18M的上述安全信息的協(xié)i義的模塊。網(wǎng)絡協(xié)議24A可以包括對802.1x i人證協(xié)i義的擴展、或任意其他類似認證協(xié)議。
安全監(jiān)控代理26可以代表用于與最終用戶裝置18A-18M進行通信以收集安全信息的模塊。安全監(jiān)控代理26可以包括上述UAC的服務器端(server-side),服務器端與包括在多個最終用戶裝置18A-18M中的一個或多個最終用戶裝置中的客戶才幾端UAC (諸如安全報告代理40)進行通信。安全映射模塊28可以代表將從每個最終用戶裝置18收集到的安全信息映射到各個安全分類的模塊。安全映射一莫塊28可以包括并維護一個安全分類表30,該表定義了安全信息和安全分類的各個方面之間的多個映射。實際上,安全分類表30可以代表接收安全信息并輸出安全分類的模塊。聚集才莫塊29可以代表用于根據(jù)聚集算法31而基于每個網(wǎng)絡、子網(wǎng)絡、或VLAN來聚集裝置安全分類信息44的模塊。例如,聚集模塊29可以檢查裝置安全分類信息44,并確定代表VLAN (諸如VLAN 20A )的IP》也址的范圍。
每個最終用戶裝置18A-18M都可以包括控制單元32A-32M("控制單元32"),控制單元32A-32M類似于控制單元22A而包括硬件(例如,可編程處理器、現(xiàn)場可編程門陣列(FPGA)、特定用途特殊產(chǎn)品(ASSP)、特定用途集成電路(ASIC)、集成電路等等中的一個或多個)、和計算^/L可讀存儲介質(zhì)或存儲器(例如,靜態(tài)存儲器(硬盤驅(qū)動、光盤驅(qū)動、》茲盤驅(qū)動、閃存等等))、和/或動態(tài)存儲器(隨機存取存儲器或RAM、動態(tài)RAM或DRAM等等)。在一
36些情況下,計算機可讀存儲介質(zhì)可以包括指令,諸如那些用于定義軟件或計算機程序的指令,這些指令可以使上述列出的可編程處理器執(zhí)行本文描述的分級安全技術。
每個控制單元32分別可以包括安全才莫塊34A-34M ("安全才莫塊34")、操作系統(tǒng)才莫塊36A畫36M( "O/S 36")、以及補丁 38A國38M("補丁38")。多個安全模塊34可以各代表執(zhí)行防病毒安全服務、防火墻安全服務、以及任意其他安全服務以針對各個最終用戶裝置18而檢查輸入和輸出的網(wǎng)絡通信量的模塊。這些安全服務可以包括類似于由IDP模塊4執(zhí)行的那些服務的服務,原因在于,每個安全才莫塊34都可以應用圖案或簽名來檢測輸入和輸出的(從各個最終用戶裝置18輸入和輸出的)網(wǎng)絡通信量內(nèi)的網(wǎng)絡攻擊。然而,安全模塊34也許不能檢測到目標為多個網(wǎng)絡裝置或目標為網(wǎng)絡范圍的脆弱性的攻擊。
O/S模塊36代表這樣的模塊,該模塊向各個最終用戶裝置18提供基礎接口并可以包括Windows操作系統(tǒng)、MacOS、 Linux才喿作系統(tǒng)、以及提供可在其上執(zhí)行軟件的平臺的任意其他操作系統(tǒng)。每個補丁 38都典型地代表解決或"修補"與硬件和/或軟件相關的安全或其他事務的小軟件或固件升級。 一般來說,最終用戶裝置18A-18M安裝各個補丁 38,以解決加工商開發(fā)補丁 38所要#^卜的軟件和/或硬件之前未注意到的問題。通常,軟件和/或硬件的加工商發(fā)行這些補丁,最終用戶裝置38可以免費下載并安裝以修補問題軟件和/或硬件。例如,微軟公司每個月的第二個星期二發(fā)行用于免費下載和安裝以解決與;f效庫欠專欠件(包4舌Microsoft Office和Windows
才喿作系統(tǒng))相關的安全的補丁。
最終用戶裝置18A-18M的多個控制單元32中的一個或多個(例如,控制單元32A)還可以包括網(wǎng)絡協(xié)議才莫塊24B,該網(wǎng)絡協(xié)"i義沖莫塊類似于上述相對于控制單元22A描述的網(wǎng)絡協(xié)i義24A,不然的話,就是該網(wǎng)絡協(xié)議模塊與網(wǎng)絡協(xié)議基本一樣。每個網(wǎng)絡協(xié)議模
塊24A、 24B ("網(wǎng)絡協(xié)議24"或"網(wǎng)絡協(xié)議模塊24")可以是一樣的,原因在于,這些網(wǎng)絡協(xié)議模塊24可以實現(xiàn)同樣的網(wǎng)絡協(xié)議以彼此通信(安全信息)。最終用戶裝置18A-18M (最終用戶裝置18M )的一個或多個控制單元32還可以包括安全報告代理40,安全才艮告代理代表用于將安全信息傳達給安全監(jiān)控代理26的^^莫塊。安全報告代理40可以包括上述客戶機端UAC。盡管為了易于舉例說明而在圖2A中將最終用戶裝置18A-18M示出為包括網(wǎng)絡協(xié)議34或安全包括代理40, ^f旦是最終用戶裝置18可以各包括網(wǎng)絡協(xié)議24B和安全報告代理40兩者或兩者之一、以及任意其他用于將安全信息傳達給訪問裝置14的沖莫塊。
最初,用戶(圖2A中未示出)可以經(jīng)由用戶接口才莫塊(圖2A中未示出)所呈現(xiàn)的用戶4妄口與最終用戶裝置18A-18M之一交互以連接到私有網(wǎng)絡6。為了訪問私有網(wǎng)絡6,用戶可以(例如)與網(wǎng)絡瀏覽器、文件管理系統(tǒng)、郵件應用程序、數(shù)據(jù)庫應用程序、或能夠訪問私有網(wǎng)絡6的任意其他用戶41: 口進行交互。為了舉例說明,4艮設最終用戶裝置18A嘗試訪問私有網(wǎng)絡6。訪問裝置14A—般和^人證模塊23可以對嘗試對認證服務器的訪問進行重定向,其可以經(jīng)由認證模塊23請求來自最終用戶裝置18A的認證信息。最終用戶裝置18A可以經(jīng)由用戶接口提示用戶輸入認證信息,例如,用戶名和口令的組合,并在接收到該信息時,將該信息轉(zhuǎn)發(fā)給認證模塊23,認證模塊繼續(xù)將該信息轉(zhuǎn)發(fā)給認證服務器16。然后,認證服務器16以上述方式對最終用戶提供的認證信息進行認證。
假設認證成功,則網(wǎng)絡協(xié)議才莫塊24可以二波此進4亍通信,從而網(wǎng)絡協(xié)議才莫塊24A請求來自網(wǎng)絡協(xié)議模塊24B的上述安全信息。網(wǎng)絡協(xié)議模塊24B可以通過對(例如)安全模塊34A、 O/S 36A、及補丁38A中的每個的當前狀態(tài)進行分析來確定安全信息。網(wǎng)絡協(xié)議模塊24B可以確定安全才莫塊34A、 O/S 36A和補丁 38A中的每個的名稱、類型、版本、及其他有關信息,并根據(jù)協(xié)議將該信息轉(zhuǎn)發(fā)給網(wǎng)
絡協(xié)議才莫塊24A。網(wǎng)絡協(xié)iMt塊24A可以將最終用戶裝置18A的該安全信息存儲為裝置安全信息42。裝置安全信息42可以代表多個最終用戶裝置18A-18M中當前訪問和/或已經(jīng)訪問了私有網(wǎng)絡6的一個或多個最終用戶裝置的裝置特有安全信息。
可替換地,但再次假設-瞼證成功,安全監(jiān)控代理26可以請求來自安全報告代理40的最終用戶裝置18M的安全信息。安全^=艮告代理40可以維護安全才莫塊34M、 O/S 36M、及補丁 38M中每個的當前狀態(tài)、以及其他相關安全信息。安全報告代理40可以響應于來自安全監(jiān)控代理26的請求而將安全信息轉(zhuǎn)發(fā)給安全監(jiān)控代理26,安全監(jiān)控代理將所接收到的安全信息存儲為裝置安全信息42 (這類似于網(wǎng)絡協(xié)議24A)。在一些情況下,安全才艮告代理40可以不響應于請求而是根據(jù)定義的進度表(諸如,每周、天、小時、或其他時間間隔一次)對最終用戶裝置18M的安全信息進行轉(zhuǎn)發(fā)或報告。在其他情況下,安全纟艮告代理40可以再次不響應于來自安全監(jiān)控代理26的請求而響應于安全才莫塊34M、 O/S 36M、補丁 38M或任意其他安全能力之一的改變來對最終用戶裝置18M的安全信息進^f亍轉(zhuǎn)發(fā)或報告。該報告形式可以保證訪問裝置14A和IDP模塊4保持與每個最終用戶裝置18的當前安全能力的更新。
在接收到改變或以其他方式將記錄添加到裝置安全信息42時,安全映射^t塊28可以基于安全分類表30而將裝置安全信息42映射到裝置分類信息44。裝置分類信息44可以;陂稱為"44",原因在于每個訪問裝置14A-14N都可以對裝置分類4言息44A-44N進4亍維護。裝置分類信息44可以包括多個最終用戶裝置18A-18M中的每個最終用戶裝置和安全分類表30定義的多個安全分類中相應一個安全分類之間的分類映射。例如,以下表1提供了由裝置安全分類信息44定義的一個示例性分類映射
39最終用戶裝置IP地址安全分類
192.94.47.1 (最終用戶裝置18A )中(2)
192.94.47.15 (最終用戶裝置18M )高(3)
如表1所示,由IP地址192.94.47.1映射的最終用戶裝置18A被映射到"中"的分類,可由安全分類值二 (2)代表"中"。由IP地址192.94.47.15映射的最終用戶裝置18NU皮映射到"高"的分類,可由安全分類值三(3)代表"高"。
在確定裝置安全分類信息44之后,聚集^f莫塊29 4艮據(jù)聚集算法31來進行操作以聚集裝置安全分類信息44。聚集模塊29可以代表根據(jù)聚集算法31而基于每個網(wǎng)絡、子網(wǎng)絡、或VLAN來聚集裝置安全分類信息44的模塊。例如,聚集模塊29可以檢查裝置安全分類信息44并確定代表VLAN (諸如多個VLAN 20之一 )的IP地址的范圍。然后,聚集模塊29可以應用聚集算法31以聚集與(例如)VLAN 20A的多個最終用戶裝置18A-18M中一個或多個最終用戶裝置相關聯(lián)的安全分類。即,聚集算法31可以基于與最終用戶裝置18A-18M中當前訪問或之前訪問了私有網(wǎng)絡6的 一個或多個最終用戶裝置相關聯(lián)的安全分類來確定VLAN20A的聚集安全分類。聚集模塊29可以將聚集安全分類存儲為VLAN安全分類信息46。
下表2代表VLAN安全分類信息46的示例性映射,其可以存
儲
VLAN IP子網(wǎng)紹J也址聚集安全分類
192.94.47.X (VLAN20A)中(2)如上述表3所示,由VLAN IP子網(wǎng)絡;也址192.94.47.X定義的VLAN 20A凈皮映射到中的聚集安全分類,可由安全分類值二 ( 2 )來標識"中"。
聚集算法31可以按照多種方式來確定這些聚集安全分類。在一種情況中,聚集算法31可以通過將聚集安全分類設置到存儲至裝置安全分類信息44的最低裝置特有聚集安全分類來確定用于VLAN20A的聚集安全分類。在其他情況下,聚集算法31可以通過執(zhí)行裝置特有安全分類的加權平均來確定VLAN 20A的聚集安全分類。因此,聚集算法31可以經(jīng)由各種各樣的數(shù)學計算、自適應學習算法、人工智能算法等的任意算法來確定聚集安全分類。
在確定了 VLAN安全分類信息46之后,控制單元22A可以將VLAN安全分類信息46傳送到IDP模塊4,由圖2A中的相應箭頭所示。訪問裝置14A還可以將網(wǎng)絡通信量48轉(zhuǎn)發(fā)到分配路由器10或接收來自分類路由器的網(wǎng)絡通信量,以及將網(wǎng)絡通信量轉(zhuǎn)發(fā)到最終用戶裝置18A-18M或接收來自最終用戶裝置的網(wǎng)絡通信量。
圖2B是更詳細地示出圖1的分配路由器10的框圖。分配路由器10接收來自每個訪問裝置14的VLAN安全分類信息46。分配路由器10還可以4妾收來自核心網(wǎng)絡9和訪問裝置14的網(wǎng)絡通信量48。如上所述,分配路由器10還可以包括IDP模塊4。 IDP模塊4包括網(wǎng)絡接口 57和控制單元58,其中,控制單元58耦合至網(wǎng)紹4妻口 57。網(wǎng)絡接口 57可以基本類似于訪問裝置14A的網(wǎng)絡4妻口 21,原因在于網(wǎng)絡接口 57代表發(fā)送并接收網(wǎng)絡通信量(諸如網(wǎng)絡通信量48)的接口。類似地,控制單元58可以類似于訪問裝置14A的控制單元22A,原因在于控制單元58還可以包括石更件和計算才幾可讀存儲介質(zhì)或存儲器。在一些情況下,計算機可讀存儲介質(zhì)可以包括指令,諸如那些用戶定義軟件或計算機程序的指令,這些指令使硬件(例如,上述列出的可編程處理器)執(zhí)4亍本文描述的分級安全4支術。
41控制單元58可以包括用戶接口模塊60、分類模塊62、表管理模塊63、及服務引擎模塊64 ("服務引擎64")。這些模塊60-64中的每個模塊都可以包括硬件、軟件、或硬件和軟件的任意組合,用來執(zhí)行屬于每個模塊的下述功能。
用戶接口模塊60代表用于與用戶(諸如管理員15或其他計算裝置)接口的模塊。用戶接口模塊60可以提供一個或多個圖形用戶接口和/或基于文本的用戶接口,管理員15或其他計算裝置通過這些接口可以對IDP模塊4進行配置。如上所述,管理員15 (在圖2C中也未示出)可以與用戶4妾口才莫塊60所提供的用戶4妻口進4亍交互,以指定、編輯、改變、刪除、#"改、或以其4也方式定義一個或多個政策66A-66N ("政策66")。如上所述,控制單元58可以包括存儲介質(zhì)并可以將政策66存儲到該存儲介質(zhì)。在一些實施例中,用戶接口模塊60可以通過基于文本的用戶接口 (諸如命令行接口(CLI))來使能基于腳本的配置。
分類模塊62代表可以基于從每個數(shù)據(jù)包中提取的信息來對每個數(shù)據(jù)包進行分類的模塊。分類模塊62對數(shù)據(jù)包進行分類的一種方式是將每個數(shù)據(jù)包分類為屬于特定流。即,分類模塊62可以通過從每個數(shù)據(jù)包提取被稱為"五元組"的信息來確定輸入網(wǎng)絡通信量48中的多個數(shù)據(jù)包中的特定一個數(shù)據(jù)包對應于哪個流。如上所述,每個流代表網(wǎng)絡通信量內(nèi)的一個方向上的一個教:據(jù)包流。五元組包4舌源互聯(lián)網(wǎng)協(xié)議(IP)地址、目的IP地址、源端口、目的端口、及協(xié)議。典型地,在每個數(shù)據(jù)包的報頭內(nèi)找到五元組,并且分類模塊62
每個數(shù)據(jù)包對應于哪個流。分類模塊62還可以提取并利用其他信息來識別一個流,諸如源媒體訪問控制("MAC")地址和目的MAC地址。
基于該五元組,分類模塊62可以訪問流表68,以確定對輸入通信量48的每個數(shù)據(jù)包應用哪個政策66。流表68因此可以將流維護為條目或流條目。每個流條目可以存儲標識的五元組和對多個政
策66之一的參考。分類模塊62可以訪問該表68以確定每個數(shù)據(jù)包對應的流、以及多個政策66中相關聯(lián)的那個政策。分類模塊62然后可以對每個凄t據(jù)包加標簽或以其他方式加標記,以指示多個政策66中相關聯(lián)的那個政策應用于每個加標簽的數(shù)據(jù)包。分類模塊62可以通過存儲與一個隊列(諸如多個隊列70之一)中的每個凝:據(jù)包相關耳關的元凄t據(jù)或其他信息來對每個凄t:悟包加標簽。隊列70可以包括預處理器隊列,預處理隊列在處理或應用多個政策66中相關聯(lián)的那個政策之前以先入先出(FIFO)的方式存卡者婆t據(jù)包。
作為對輸入數(shù)據(jù)包進行分類的另一種方式,分類模塊62還可以提取應用層信息,諸如會話初始協(xié)議(SIP ) 4艮頭和有效載荷數(shù)據(jù)和實時傳輸協(xié)議(RTP )才艮頭和有效載荷凄t據(jù)。分類力艮務器62還可以包括上述協(xié)議解碼器(圖2C中未示出)以提取該應用層信息或凄丈據(jù)從而對每個數(shù)據(jù)包進行分類。分類模塊62可以使每個應用程序與多個政策66中的不同政策相關聯(lián)。即,分類模塊62可以基于由上述解碼器中的 一個或多個解碼器提取出的信息來確定第 一數(shù)據(jù)包(例如)屬于HTTP應用程序而另一數(shù)據(jù)包屬于FTP應用程序?;诟鱾€這些分類,分類才莫塊62可以使多個政策66中的第一政策與被分類為屬于HTTP應用程序的第一數(shù)據(jù)包相關聯(lián),而使多個政策32中的第二政策與被分類為屬于流表68中的FTP應用程序的第二數(shù)據(jù)包相關聯(lián)。以該方式,IDP才莫塊4可以4吏適應地將政策66應用于不同應用程序,并因此適應地將圖案72應用于不同應用程序,這可以使得IDP模塊4更準確地應用圖案72,從而只檢測那些目標為特定協(xié)議的網(wǎng)絡攻擊,而不檢測對所標識的各個協(xié)議中的每個協(xié)議無害的那些網(wǎng)^"攻擊,以限制系統(tǒng)資源消庫4。
表管理模塊63代表這樣的模塊,該模塊可周期性地更新流表(諸如流表68 )以反映政策66的應用上的改變,使存儲到流表68的多個流中的一個或多個流與會話相關聯(lián),并以其他方式維護或管理存儲到流表68的流。表管理模塊63可經(jīng)由網(wǎng)絡接口 57來接收VLAN安全分類信息46,如上所述,VLAN安全分類信息可以包括一個或多個的VLAN至安全分類的映射。如上所述,控制單元58A可以包括存儲介質(zhì)(圖2B中未示出),控制單元58的表管理模塊63可以將這些映射或VLAN安全分類信息46存儲到該存儲介質(zhì)。
接下來表管理模塊63可以通過根據(jù)這些映射來更新流表68而對VLAN安全分類信息46進行處理。在該替換性方式中,表管理模塊63可以對由VLAN安全分類信息46所標識的流(例如,那些起源于各個與聚集安全分類相關聯(lián)的VLAN 20中每一個VLAN的最終用戶裝置18的流,或前往最終用戶裝置的流)進行更新。表管理模塊63可以因此對安全分類和政策66之間的關聯(lián)進行管理利用為輸入到流表68的相應流條目所標識的政策66之一來更新流表68。在這點上,分類模塊62通過訪問流表68可以分類或以其他方式確定與VLAN安全分類信息46所限定的聚集安全分類相關聯(lián)的政策66之一。
月良務引擎64代表服務于或以其他方式處理輸入通信量48的模塊。力良務引擎64可通過對每個凄史據(jù)包應用if支策66之一來月艮務于或處理每個凄t據(jù)包。在每個iE文策66標識出至少一個不同于所有其他J文策66的圖案時,每個if支策66都可以標識要應用的一個不同圖案72的集合。服務引擎64可以對標識了全部網(wǎng)絡攻擊集合的全部圖案72的集合進行維護。每個政策66都可以通過指明是否應用全部圖案72的集合還是應用全部圖案72的集合的子集來標識圖案集合。在對輸入通信量48的每個數(shù)據(jù)包進行處理之后,服務引擎64可以基于應用相應政策66而將那些數(shù)據(jù)包作為輸出的通信量48轉(zhuǎn)發(fā)出去。
政策服務器12包括政策數(shù)據(jù)庫74 ("政策DB 74")和用戶接口才莫塊76。政策數(shù)據(jù)庫74可以代表用于存儲政策(諸如政策66 )的存儲庫或存儲介質(zhì)。用戶接口模塊76可以代表提供用戶接口的模
44塊,管理員15可以通過用戶接口進行接口以限定、編輯、改變、刪除、或以其他方式指定存儲到政策數(shù)據(jù)庫74的那些政策。用戶接口模塊76還可以提供管理員15進行接口以訪問、觀看、排序、或以其他方式管理存儲到政策數(shù)據(jù)庫74的那些政策的同一或不同用戶接口。在指定存儲到政策數(shù)據(jù)庫74的政策之后,管理員15可以使政策服務器12將存儲到政策數(shù)據(jù)庫74的政策中的一個或多個政策上傳到IDP沖莫塊4,其是由政策66來代表的。
iE支策66中的 一個或多個iE支策可以與特定應用相關聯(lián),而其他J文策可以與流相關聯(lián)。此夕卜,政策66中的一個或多個其他政策可以與特定安全分類或聚集安全分類相關聯(lián)。在這點上,政策66可以代表典型政策和根據(jù)本文描述的分級安全技術所限定的政策。因此,IDP
統(tǒng)安全裝置相關聯(lián)的那些技術。
在以該方式對IDP才莫塊4進行配置之后,表管理才莫塊63可以*接收VLAN安全分類信息46或者至少更新、添加、刪除或與將VLAN安全分類信息46維護在適當當前狀態(tài)相關的其他信息。即,表關聯(lián)模塊63可以接收(例如)基于時間的更新(諸如,每小時、每天、每周、每月)以將VLAN安全分類信息46維護在適當當前狀態(tài)。響應于這些更新,表管理模塊63可以才艮據(jù)所接收到的更新來更新VLAN安全分類信息46?;赩LAN安全分類信息46,表管理模塊63可以周期性地更新流表68的流條目,以反映VLAN安全分類信息46的當前狀態(tài)。
與表管理模塊63接收VLAN安全分類信息46并更新流表68同時或一起,分類才莫塊46可以接收輸入的通信量48,并通過從每
68中4丸行上述查找來對通信量48的每個數(shù)據(jù)包進行分類。在與所提取出的五元組相對應的流未被存儲到流表68的情況下,分類模塊62可以^^寸應于五元纟且的;危添力口到該表并4吏一個政策與;危表68中的新流相關聯(lián)??商鎿Q地,分類模塊62可以指示表管理模塊63在流表68中創(chuàng)建一個新的條目并使政策66之一與該新政策相關聯(lián)。然后在對輸入通信量48的每個數(shù)據(jù)包進行分類之后,分類模塊62可以利用相應標記來存儲該數(shù)據(jù)包,該相應標記標識了多個政策66中與隊列70之一相關聯(lián)的那個政策。
服務引擎64可以對存儲到隊列70的這些數(shù)據(jù)包進行檢索,并應用由相應標記所標識的政策66之一所限定的相關聯(lián)圖案集合。月良務引擎64可以(例如)將第一政策66A所限定的圖案72的第一集合應用于(例如)從隊列70檢索到的網(wǎng)絡通信量第 一部分或數(shù)據(jù)包上。_政策66A可以指明或標識;陂應用于相關聯(lián)凄t據(jù)包以標識已知網(wǎng)絡攻擊的相應全部集合的全部已知圖案72的集合或簡單圖案72。因此,政策66A可以與低聚集安全分類相關聯(lián),這是因為應用網(wǎng)絡攻擊的全部集合可以標識并防止網(wǎng)絡攻擊的全面集合。才艮據(jù)政策66A,服務引擎64可以將每個圖案72應用于相關聯(lián)的數(shù)據(jù)包?;趹脠D案72(例如,任何網(wǎng)絡攻擊是否#1圖案72所限定),服務引擎64可以將相關聯(lián)的數(shù)據(jù)包作為輸出的通信量48轉(zhuǎn)發(fā)出去。
作為另一實例,月良務引擎64可以將第二政策66N所限定的圖案72的第二集合應用于從隊列70檢索到的通信量48的另 一數(shù)據(jù)包或第二部分。第二政策66N可以標識不同于月良務引擎64應用于網(wǎng)絡通信量48的該第二部分的第一政策66A所限定的全部政策72的集合的圖案72的子集。第二政策66N可以因此與高于第 一政策66A的安全分類的安全分類相關聯(lián)。再次,基于應用由第二政策66N所限定的圖案72的子集,服務引擎64可以將相關聯(lián)的數(shù)據(jù)包作為輸出的通信量48轉(zhuǎn)發(fā)回分配路由器10。
以該方式,服務引擎64可以將第一政策66A和第二政策66N應用于網(wǎng)絡通信量48的不同部分,以補償VLAN20的安全能力,從而可改善網(wǎng)絡連通性,尤其是在高網(wǎng)絡擁塞時(這時系統(tǒng)資源的有效利用很關鍵)。通過表管理模塊63周期性地更新流表68以反映
46VLAN安全分類信息46所限定的安全能力的變化,政策66中的不同政策被應用于通信量48的不同部分。然后分類才莫塊62可以對通信量48的各個部分進行分類,從而服務引擎64可以識別哪個政策和圖案^皮應用于網(wǎng)絡通信量48的那些相應部分。
因此,IDP才莫塊4總體上更"知曉,,網(wǎng)絡,并且月艮務引擎64可以基于該"知曉"而只應用補償給定網(wǎng)絡、子網(wǎng)絡、VLAN、裝置或任意其他分類的特定脆弱性所需的那些圖案72。因此,對于安全網(wǎng)絡,服務引擎64可以縮放回應用到與傳統(tǒng)安全裝置上的安全網(wǎng)絡相關聯(lián)的網(wǎng)絡通信量48的圖案72的數(shù)目,從而降低系統(tǒng)資源利用并改善網(wǎng)絡^:通性,如上所述尤其在網(wǎng)絡高度擁塞時。
服務引擎64可以利用該安全分類信息,不僅改善將圖案72應用于網(wǎng)絡通信量48的效率,還作為在網(wǎng)絡高度擁塞時轉(zhuǎn)發(fā)通信量的基礎。如上所述,在網(wǎng)絡高度擁塞時,服務引擎64可能接收高于其所處理的網(wǎng)絡通信量48,從而延遲或可能放棄網(wǎng)絡通信量48的一個或多個數(shù)據(jù)包。在一些情況下,分類模塊62可以基于每個數(shù)據(jù)包所屬的分類來確定網(wǎng)絡通信量48的哪個數(shù)據(jù)包被延遲或放棄。
例如,分類模塊62可以在網(wǎng)絡高度擁塞時接收網(wǎng)絡通信量48的第一數(shù)據(jù)包并經(jīng)由流表68來確定與該數(shù)據(jù)包相關聯(lián)的政策66之一,如上所述。第一政策可與較高安全分類相關聯(lián),并因此可以表示在網(wǎng)絡高度擁塞時分類模塊62應當轉(zhuǎn)發(fā)該數(shù)據(jù)包而不應用由政策66之一所標識的那些圖案72。分類模塊62可以檢索政策66的該第一政策并先通過計算來確定擁塞等級,例如,隊列70的剩余能力、當前帶寬消耗、系統(tǒng)資源利用、或表示擁塞的任意其他度量。該第一政策可以包括閾值或度量(通過該閾值或度量來比較計算出的擁塞度量),以及服務引擎64可以對擁塞度量與該閾值進行比較。如果所計算出的擁塞度量超過該閾值,則分類模塊62可以轉(zhuǎn)發(fā)該第一數(shù)據(jù)包,使得服務引擎64不應用由政策66的第一政策所限定的圖案72的集合。否則,分類模塊62可以將該數(shù)據(jù)包存儲到隊列70,服務引擎64可以在該隊列上檢索該凝:據(jù)包并應用由政策66中的第一政策限定的那些圖案72。
典型地,對于與較低安全分類相關聯(lián)的那些政策66,政策66的第一IE支策所限定的閾^直可以比與iE文策66的第一iE文策相關聯(lián)的閾值低,從而有效建立轉(zhuǎn)發(fā)梯度,通過該轉(zhuǎn)發(fā)梯度更安全的通信量一皮轉(zhuǎn)發(fā)而在相對輕的擁塞等級期間不應用4壬4可圖案72,而4交低的安全通信量一皮轉(zhuǎn)發(fā)而在相對重的擁塞等級期間不應用4壬4可圖案72。即,第二凄t據(jù)包可以與對應于j氐于政策66的第一政策的安全分類的安全分類的第二政策相關聯(lián)。政策66的第二政策可以因此限定比政策66的第一政策所限定的閾值更高的閾值。
因此,分類模塊62典型地不轉(zhuǎn)發(fā)第二數(shù)據(jù)包,直到所計算出的擁塞度量超過更高的第二閾值,這一般可以在當所計算出的擁塞度量超過較低的第一閾值之后發(fā)生。隨后,相對于與較低安全網(wǎng)絡(例如,與較低安全分類相關聯(lián)的網(wǎng)絡)相關聯(lián)的那些數(shù)據(jù)包,分類模塊62可以優(yōu)先轉(zhuǎn)發(fā)與更安全的網(wǎng)絡(例如,具有更高安全分類的網(wǎng)絡)相關聯(lián)的那些數(shù)據(jù)包,這是因為這些較低安全網(wǎng)絡呈現(xiàn)更多的安全風險。以該方式,服務引擎64可以通過當安全分類值指示較低值時而不是當安全分類值指示較高值時在網(wǎng)絡高度擁塞期間應用第一政策和第二政策中的每個政策所限定的圖案集合,來應用由第一政策和第二政策中的每個政策所限定的圖案集合,從而降低網(wǎng)絡裝置內(nèi)的資源消耗。
此外,IDP模塊4還可以利用這些安全分類作為路由或轉(zhuǎn)發(fā)網(wǎng)絡通信量48的基礎。例如,分類才莫塊62可以利用安全分類來識別IDP模塊4不能處理而一些其他(典型地,更高端的)IDP模塊/裝置可處理的安全威脅。分類模塊62可以再次接收通信量48的數(shù)據(jù)包并確定與該數(shù)據(jù)包相關聯(lián)的政策66之一。如果該數(shù)據(jù)包與不能處理的政策IDP模塊4相關聯(lián)(例如,限定了未安裝在服務引擎64內(nèi)的圖案72的政策),則分類服務器62可以將該凄t據(jù)包轉(zhuǎn)發(fā)給可處
48理該安全分類的另一 IDP裝置。分類模塊62可以因此對標識其他IDP裝置及其關聯(lián)安全能力(例如,作為IDP裝置和安全分類之間的映射)的表或其他數(shù)據(jù)結(jié)構進行維護。分類沖莫塊62可以訪問該表并識別一個這樣的IDP裝置,該IDP裝置提供由與該數(shù)據(jù)包相關聯(lián)的政策所限定的安全服務(例如,圖案)。然后分類模塊62可以將該數(shù)據(jù)包準發(fā)給所識別的IDP裝置,該IDP裝置可以應用適當?shù)膱D案(類似于圖案72)以免受該政策相關聯(lián)的安全分類所標識的威脅。
進一步如圖2B所示,服務引擎64可以包括報告模塊73。報告模塊73可以將VLAN安全分類信息46和攻擊統(tǒng)計報告給其他專用安全裝置,例如類似于IDP模塊4但可以提供更高等級安全能力的其他裝置。攻擊統(tǒng)計可以包括用于4全測的圖案72的時間、類型、簽名、或圖案的日志、以及用于圖案72之一所檢測到的每個攻擊的其他信息。攻擊統(tǒng)計還可以指明給定時間量所處理的通信量和其他性能統(tǒng)計。這些專用安全裝置可以根據(jù)聚集算法(諸如聚集算法31)<接收VLAN安全分類信息46和攻擊統(tǒng)計以及進一步的聚集VLAN安全分類信息46和整個網(wǎng)絡(或在該實例中,私有網(wǎng)絡6)上的攻擊統(tǒng)計。在這點上,聚集算法31可以是遞歸式的,原因在于算法31可以對算法31的輸出(例如,VLAN分類信息)進行處理以產(chǎn)生另一更高等級的抽象(例如,網(wǎng)絡分類信息)。
該專用安全裝置可以對該進一步的聚集信息進行分析以4企測系統(tǒng)范圍的攻擊和基于網(wǎng)絡范圍的IDP服務的其他平衡應用。例如,一個專用安全裝置可以檢查網(wǎng)絡范圍的分類和攻擊統(tǒng)計以確定幾乎同時利用同樣的攻擊多于一個的VLAN (例如,VLAN 20A、 20N )。然后該專用安全裝置可以向管理員(例如,管理員15)發(fā)出警報以指明系統(tǒng)范圍的攻擊正在進4于。該專用安全裝置還可以檢查具有IDP能力的各種專用安全裝置、IDP裝置和/或路由器中平衡通信量負載的攻擊統(tǒng)計。以該方式,專用安全裝置可以^表分級中分配層之上的另 一層,其接收來自報告^t塊73的信息并對該信息進行分析以識別和/或防止另 一等級的攻擊和各種裝置間的平衡檢查負載以減少任一裝置上的負載。負載分解的確定可以通過統(tǒng)計配置的負載
分解政策來進行,或者基于類似于報告模塊74的報告模塊所動態(tài)報告的信息(諸如每個裝置的會話數(shù)目)來進行。
圖3是示出在執(zhí)行本文描述的分級安全4支術時網(wǎng)絡系統(tǒng)2的示例性才喿作的流程圖。最初,以上述方式,訪問裝置14中的一個或多個訪問裝置接收來自最終用戶18中的一個或多個最終用戶的安全信息(info) (77)。例如,訪問裝置14A可以在最終用戶裝置18A認證期間從最終用戶裝置18A接收關于最終用戶裝置18A的安全信息或安全能力。
可替換地,訪問裝置14A可以利用應用識別(ApplicationIdentification,簡稱AI)和才喿作系統(tǒng)指紋(OSFP )來檢索裝置特有的安全信息。即,訪問裝置14A可以利用該AI的簡裝片反本(slimversion)來檢測最終用戶18A所采用的防火墻應用程序或防入侵系統(tǒng)(IPS) /防病毒(AV)的類型和版本。AI可以包括通常通過應用圖案來^r測活動會話的凝:據(jù)包中的特定圖案而識別在最終用戶裝置(諸如最終用戶裝置18A)上執(zhí)行的應用程序的模塊。AI還可以采用特定IP地址或端口到應用禾呈序的映射以4企測最終用戶裝置18A上執(zhí)4亍的防火墻或IPS/AV的版本和/或類型。在該情況下,i方問裝置14A可以經(jīng)由OSFP模塊來收集關于OS的細節(jié)。OSFP模塊可以通過4企查,人最終用戶裝置18A 4矣收到的IP數(shù)據(jù)包來檢測在最終用戶裝置18A上執(zhí)行的OS。作為另一替換方式,訪問裝置14A可以采用用戶訪問客戶機或安全監(jiān)控代理(諸如圖2A的安全監(jiān)控代理26 )來從最終用戶裝置18A檢索安全信息。
在接收到安全信息之后,在訪問裝置14A的控制單元22A上執(zhí)行的安全映射模塊28可以將裝置特有安全信息映射到存儲在安全分類表30內(nèi)的安全分類(78 )。安全映射模塊28可以利用安全映射表30來扭Jf亍輕重的處理,安全映射^皮可以由管理員15或一些其4也用戶(諸如安全組的一員)來配置。該裝置安全分類可以^皮存^l為
裝置安全分類信息44。如上所述,然后訪問裝置14A的聚集模塊29可以根據(jù)聚集算法31來聚集裝置安全分類信息44以輸出聚集安全分類信息,例如,VLAN安全分類信息46 (82)。
接下來,控制單元22A可以將聚集安全分類信息(例如,VLAN安全分類信息46)轉(zhuǎn)發(fā)給分配路由器10 (84)。如圖2B所示,分配路由器10可以包括IDP模塊4,在一些情況下,IDP模塊可以代表防火墻、IDP、及抗病毒硬件和/或軟件模塊的任意組合。IDP模塊4可以(例如)經(jīng)由政策服務器12用政策66來配置,以處理一個或多個安全分類的通信量。IDP模塊4可以根據(jù)所配置的政策和聚集的安全數(shù)據(jù)或從訪問裝置14接收到的分類信息(例如,VLAN安全分類信息46)來檢查VLAN間的/子網(wǎng)通信量???也來i兌,如上所述,安全分類越低,就需要越高的安全檢查來確保網(wǎng)絡安全性。
例如,分配路由器10的IDP模塊4可以接收來自每個訪問裝置14的聚集安全分類信息(例如,類似于VLAN安全分類信息46的VLAN安全分類信息)(86)。在一些情況下,VLAN安全分類信息46可以將多于一個的VLAN映射到多個安全分類中對應的一個安全分類。
隨著網(wǎng)絡6的分類和安全信息的分級聚集繼續(xù),分配路由器10才妄收網(wǎng)絡通信量48 ( 88 )。分配路由器10可以通過各個訪問裝置14來才妄收來自核心網(wǎng)絡9或來自最終用戶裝置18的網(wǎng)全備通信量48。分配路由器10可將通信量48轉(zhuǎn)發(fā)給IDP模塊4 (如圖2B所示),IDP模塊4的分類模塊62將至少一部分的通信量48分類為屬于一個安全分類(94 )。分類才莫塊62可以通過對流表68進行訪問來確定安全分類,如上所述,表管理模塊62在之前被更新以反映聚集安全分類信息,例如,VLAN安全分類信息46。
51換句話說,在IDP模塊4接收該聚集安全分類信息時,表管理模塊63可以(例如)將聚集的安全分類信息或VLAN安全分類信息46添加到流表68。如上所述,表管理^莫塊63可以通過更新流表68中的流條目來添加VLAN安全分類信息46以反映政策66之一,該iE文策凈皮月良務引擎64應用至與該流條目所標識的相應流相關聯(lián)的數(shù)據(jù)包。以該方式,分類模塊62可以訪問流表68來確定安全分類和每個流(以及因此的私有網(wǎng)絡6的VLAN20)與該安全分類相關聯(lián)的it支策66中的一個相應iE文策。
為了訪問流表68,分類模塊62可以從通信量48的數(shù)據(jù)包解析IP ;也址并利用該IP地址在流表68內(nèi)檢索具有該IP i也址的流條目。在檢索該流條目時,分類模塊62可以識別應用于該數(shù)據(jù)包的政策66之一,其中,該政策對應于安全分類之一。因此,分類模塊62可以間接地將通信量48分類為一個或多個安全分類,或者換句話i兌,通過流表68來確定通信量48中的至少一部分通信量的安全分類。類似地,分類模塊62可以通過對流表68進行訪問來確定與安全分類相關聯(lián)的政策66之一。
在對通信量48的每個數(shù)據(jù)包進行分類之后,分類模塊62可以以上述方式存儲用于標識與到隊列70的通信量48的每個數(shù)據(jù)包的政策66相關聯(lián)的那個政策的標記或其他元數(shù)據(jù)。服務引擎64可以從隊列70檢索數(shù)據(jù)包和相關聯(lián)的標記,并將該標記所標識的政策66之一應用于相應的那個數(shù)據(jù)包。在應用政策66之一時,月良務引擎64應用政策66之一所標識的圖案72的集合。而且,因為每個政策66都可以與一個特定服務分類相關聯(lián),所以服務引擎64可以基于所確定的分類來應用由政策66之一所標識的圖案72的集^K 96 )。
如進一步所描述的,IDP模塊4可以基于應用由相關聯(lián)的那個政策66所標識的圖案72的集合來轉(zhuǎn)發(fā)通信量(98 )。即,如果圖案72的任意集合檢測到攻擊,則服務引擎64可以檢疫、刪除、或防止轉(zhuǎn)發(fā)數(shù)據(jù)包以及同一流中的任意其他可能的數(shù)據(jù)包。然而,如果未檢測到對該數(shù)據(jù)包的攻擊,則服務引擎64可以將該數(shù)據(jù)包轉(zhuǎn)發(fā)到所檢測的數(shù)據(jù)包所標識的目的地。
圖4是更詳細地示出了在執(zhí)行分級安全技術的圖2B的IDP模塊4的操作的流程圖。最初,IDP模塊4的表管理模塊63可以接收聚集安全分類信息(100)。作為實例,表管理模塊63可以接收來自每個訪問裝置14的VLAN安全分類信息46。在4婁收到該聚集安全分類信息時,表管理模塊63可以利用該聚集安全分類信息來更新流表68 (102 )。
在一些情況下,表管理才莫塊63可通過首先確定與所標識的VLAN或IP子網(wǎng)前綴相關聯(lián)的政策來用聚集安全分類信息更新流表68。表管理才莫塊63可以對標識多個安全分類和相應-支策之間的映射的表進行維護。例如,表管理模塊63可以確定安全值"高"(其可以由三(3 )代表)對應于政策66A而安全值"低"(其可以由二 ( 2 )代表)對應于政策66B。接下來表管理才莫塊63可以確定流表68的哪個流條目對應于VLAN IP子網(wǎng)地址。由于VLAN IP子網(wǎng);也址可以標識IP地址的范圍,所以表管理模塊63可以訪問與該IP地址范圍相關聯(lián)的那些流條目并更新這些流條目中的每個條目以指明將對應政策應用于該流。
例如,如果表管理模塊63接收到表示具有IP子網(wǎng)地址192.94.47.X的VLAN 20具有"中"安全分類的VLAN安全分類信息46,則表管理模塊63可以確定范圍192.94.47.0值192.94.47.255的范圍內(nèi)的所有IP地址都與政策66B相關聯(lián)。然后表管理才莫塊63可以訪問流表68并更新標識前往或來自于上述范圍中的4壬意IP地址的流的所有流條目。表管理才莫塊63可以才艮據(jù)所標識的這些流條目中的每個流條目以指明根據(jù)政策66B檢查與這些流相關聯(lián)的數(shù)據(jù)包。通過以該方式這樣更新流表68,分類才莫塊62可以訪問流表68,不只確定所接收到的每個數(shù)據(jù)包的安全分類,還基于所確定的安全分類來確定將哪個政策應用于所4妄收到的每個凄t據(jù)包。例如,分類模塊62可以接收數(shù)據(jù)包,該數(shù)據(jù)包可以代表網(wǎng)絡通信量48的一部分(104 )。分類模塊62可以從該數(shù)據(jù)包(或更具體地從該數(shù)據(jù)包的報頭)中解析IP地址(106 )。分類才莫塊62可以利用所解析出的IP地址作為進入流表68的密鑰以檢索流條目(108 )?;谠摿鳁l目,分類模塊62可以確定安全分類和政策66中與該安全分類相關聯(lián)的那個政策,這是應為表管理才莫塊63以上述方式對流表68進行維護以反映聚集安全分類信息(110)。然后分類模塊62可以將該數(shù)據(jù)包和標識一個相應政策66的標記存4諸到隊列70之一(112 )。
如上所述,服務引擎64可以檢索該數(shù)據(jù)包和標記并應用由標記所標識的相關聯(lián)的那個政策66(114, 116)。在一些情況下,在網(wǎng)絡高度擁塞時,服務引擎64可以不應用相關聯(lián)的那個政策66。月良務引擎64可以基于那個政策66所對應的多個服務分類之一來確定是否應用相關聯(lián)的那個政策66。即,當這些服務分類確保下游裝置(例如,最終用戶裝置18)正應用足夠的安全"良務以充分〗呆護以免受網(wǎng)絡攻擊時,服務引擎64可以確定不要應用與服務分類值二或更高值相關聯(lián)的那些政策66。然而,當需要政策66充分確保免受下游裝置(例如,最終用戶裝置18)不能自保的網(wǎng)絡攻擊威脅時,服務引擎64可以確定是否要應用與服務分類值一或更低值相關聯(lián)的那些J支策66。
圖5是示出根據(jù)本文描述的分級安全技術進行:搡作的另一示例性網(wǎng)絡系統(tǒng)120的框圖。如圖5所示,網(wǎng)絡系統(tǒng)120包括耦合至公共網(wǎng)絡124的私有網(wǎng)絡122。如果不是基本類似,則私有網(wǎng)絡122可以類似于圖1的私有網(wǎng)絡6。類似地,如果不是基本類似,公共網(wǎng)絡124可以類似于圖1的公共網(wǎng)絡8。
非常類似于私有網(wǎng)絡6,私有網(wǎng)絡122是根據(jù)三層分級才莫型來組織的。在核心網(wǎng)絡層中,私有網(wǎng)絡122包4舌核心網(wǎng)絡126 ,如果不是基本類似的話,該核心網(wǎng)絡類似于核心網(wǎng)絡9。在分配層中,私有網(wǎng)絡122包括多個分配路由器128A-128N("分配路由器128"),如果不是基本類似地話,則每個分配路由器都可以類似于分配路由器10。每個分配路由器128都可以包括各自的IDP才莫塊130A-130N,如果不是基本類似的話,則每個IDP模塊都可以類似于IDP才莫塊4。私有網(wǎng)絡122還在分配層中包括政策服務器132。如果不是基本類似的話,則政策服務器132可以類似于政策服務器12。
私有網(wǎng)絡122還在訪問層中包括訪問裝置134A-134Z("訪問裝置134"),其中,第一集合的訪問裝置134A-134M耦合到第一分配路由器128A,而第二集合的訪問裝置134N-134Z耦合到第二分配路由器128N。每個訪問裝置134都可以耦合到各個VLAN136A-136Z ( "VLAN 136")的最終用戶裝置,非常傳_訪問裝置14。為了簡化說明,各個VLAN 136的最終用戶裝置未在圖5中示出,然而,如果不是基本類似的話,則VLAN 136的最終用戶裝置可以類似于最終用戶裝置18。類似地,如果不是基本類似的話,則VLAN136可以類4以于VLAN 20。
如果不是基本類似的話,則訪問裝置134還可以類似于訪問裝置14,尤其是在根據(jù)本文描述的分級安全技術收集并聚集安全信息方面。換句話說,每個訪問裝置134都可以4妻收來自每個VLAN 136的最終用戶裝置的裝置特有安全信息,將該信息映射到裝置特有安全分類信息,并將該裝置特有安全分類信息聚集到聚集安全分類信息,例如,VLAN安全分類信息46。每個訪問裝置134還可以將聚集安全信息轉(zhuǎn)發(fā)到各個分配路由器128,其中,IDP模塊130對該信息進行處理以更新由各IDP模塊130所維護的各個流表。
相比于私有網(wǎng)絡6,私有網(wǎng)絡122還包括IDP裝置134。 IDP裝置134可以代表單獨的網(wǎng)絡安全裝置,該單獨的網(wǎng)絡安全裝置包括模塊、元件、單元、引擎、以及用來實現(xiàn)上述的關于IDP模塊4的這些相同部件的功能性的其他部件。然而,IDP裝置134還可以代表專用的安全裝置,原因在于IDP裝置134可以將聚集的安全分類信息聚集到代表另一抽象等級的信息。即,聚集的安全分類信息
將裝置特有安全分類信息抽象為子集或VLAN安全分類信息,其中,VLAN包括裝置的聚集。然后IP裝置138接收該VLAN安全分類信息并將該VLAN安全分類信息聚集到網(wǎng)絡安全分類信息,其中,網(wǎng)絡包括VLAN的聚集。IDP裝置138可以采用類似于關于IDP模塊4描述的聚集^f莫塊,并且在整個意義上,如上所述,兩個聚集沖莫塊的聚集算法都可以考慮遞歸。
IDP裝置138可以4妻收并聚集該信息,以4全測網(wǎng)絡范圍的攻擊或跨越多個VLAN 136的攻擊。當 一個網(wǎng)絡范圍的攻擊可以聚焦在分配3各由器128A所月良務的VLAN 136A以及不同于分酉己路由器128A的分配路由器128N所月艮務的VLAN 136N兩者時,各個IDP模塊130A和130N兩者都不能檢測到該攻擊,這是因為它們誰都不能將該攻擊看作整體。因此,IDP模塊130A、 130N可以通過類似于圖2B中所示的報告模塊73的報告模塊來將各個報告模塊所維護的VLAN安全分類信息和攻擊統(tǒng)計轉(zhuǎn)發(fā)到IDP模塊138。 IDP模塊138可以聚集該信息并應用類似于圖案72的圖案以檢測網(wǎng)絡范圍的攻擊。
在一些情況下,IDP裝置138還可以代表應用更高級別的圖案以檢測更嚴重的網(wǎng)絡攻擊的上述專用安全裝置。IDP才莫塊130可以獲知彼此的服務能力以及IDP裝置138的服務能力。如上所述,然后,IDP模塊130可以將被分類為屬于IDP模塊130中正在接收的那個IDP模塊不能處理的安全分類網(wǎng)絡通信量的數(shù)據(jù)包路由到IDP裝置138。然后,IDP裝置138可以將更耗時的或更高級別的安全服務應用于網(wǎng)絡通信量IDP模塊130未配備處理的那些部分。在這種情況下,IDP裝置138可以代表可以被描述為"高端"的專用安全裝置,原因在于IDP裝置138可以花費更多的金錢并提供更全的安全服務集合。
56IDP裝置138還可以^表4妾收并聚集來自分配路由器128的聚集安全分類信息和攻擊統(tǒng)計的專用安全裝置?;诖?,該信息IDP裝置138可以執(zhí)行某等級的負栽平衡以更有效地平衡各種IDP才莫塊130和IDP裝置138之間的通信量負載。例如,當IDP才莫塊130B未被充分使用時,IDP裝置138可以指示IDP模塊130其應當將所有低安全分類的通信量轉(zhuǎn)發(fā)給IDP模塊130B。 IDP裝置138可以利用所設置的每個IDP才莫塊130都應當處理的負載來配置,或可以基于該攻擊統(tǒng)計而動態(tài)地確定負載。IDP裝置138還可以4企查每個IDP模塊130并確定每個IDP模塊130正在處理的流的數(shù)目,并基于該信息來動態(tài)地對負載進行平衡。然而,不管如何平衡負載,IDP裝置138都可以基于每個IDP模塊130的安全分類信息和安全能力來調(diào)整負載的平衡,這不同于典型地只基于帶寬可用性來重新平衡負載的傳統(tǒng)IDP裝置。
作為該重新平4軒負載的結(jié)果,IDP裝置138和IDP才莫塊130可以通信,4吏得負載可以#:重新平4軒。該重新平4軒通4言可以進一步4吏IDP裝置138和IDP模塊130能夠?qū)⑼ㄐ帕啃遁d到彼此。通信量卸載在網(wǎng)絡高度擁塞時尤其有用,這是因為,當IDP模塊130A開始超出其隊列(例如,隊列70)時,IDP模塊130A (例如)可以將通信量卸載到IDP模塊130B。 IDP模塊130A可以發(fā)送消息來請求IDP模塊130B處理流集合(通過IP地址來標識)的消息。然后,IDP模塊130A可以將該通信量轉(zhuǎn)發(fā)給IDP模塊130B,使得IDP模塊130B可以處理(例如)這些流的檢測和/或防止攻擊。在一些情況下,IDP模塊130和/或IDP裝置138可以基于與該流相關聯(lián)的安全分類來卸載流。在任意事件中,通過對安全分類信息進行維護,IDP裝置138和IDP模塊130可以在總體上變得更加知曉網(wǎng)絡122以及尤其是網(wǎng)絡122的安全能力。因此,這些裝置/才莫塊可以通過消除安全服務的重疊應用來更有效地檢測和/或防止網(wǎng)絡攻擊并改善網(wǎng)絡連通性。盡管上述參照單個裝置(例如,路由器IO或路由器128)進行描述,但是該技術可以通過能夠應用安全服務以沖金測和/或防止網(wǎng)絡攻擊的任意網(wǎng)絡裝置來實現(xiàn)。即,訪問裝置134可以(例如)包括類似于IDP模塊130的各個IDP模塊以更有效地根據(jù)這些技術來檢測和/或防止網(wǎng)絡攻擊。因此這些^支術不應當局限于多重裝置場景,其中, 一個裝置,例如,訪問裝置134之一收集并聚集安全信息,而另一裝置,例如,分配路由器128之一利用該聚集安全信息來對網(wǎng)絡通信量進行分類,并有效地應用政策以檢測在該網(wǎng)絡通信量內(nèi)出現(xiàn)的網(wǎng)絡攻擊。相反,這些技術可以通過單個裝置來實現(xiàn),該單個裝置既收集和聚集該信息,還基于所聚集的該安全信息來應用一個或多個iE支策。
已描述了本發(fā)明的各種實施例。這些和其他實施例處于所附權利要求的范圍內(nèi)。
58
權利要求
1.一種方法,包括利用網(wǎng)絡裝置接收安全分類信息,所述安全分類信息標識安全分類和至少一個計算裝置之間的至少一個映射,其中,所述安全分類標識所述至少一個計算裝置的安全能力;利用所述網(wǎng)絡裝置接收與所述至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量;利用所述網(wǎng)絡裝置將與所述安全分類相關聯(lián)的政策所限定的圖案集合應用于所述網(wǎng)絡通信量以檢測相應的網(wǎng)絡攻擊集合中的任意網(wǎng)絡攻擊;以及利用所述網(wǎng)絡裝置基于應用所述圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量。
2. 根據(jù)權利要求1所述的方法,其中,接收所述安全分類信息包括接收第一聚集安全分類信息以;sj妻收第二聚集安全分類信息,其中,所述第一聚集安全分類信息標識第一安全分類和第一計算裝置集合之間的 第一映射,以及所述第二聚集安全分類信息標識第二安全分類 和第二計算裝置集合之間的第二映射,其中,接收所述網(wǎng)絡通信量包括接收與所述第一計算裝 置集合中的 一個或多個計算裝置相關聯(lián)的網(wǎng)絡通信量的第一 部分,以及接收與所述第二計算裝置集合中的一個或多個計算 裝置相關聯(lián)的網(wǎng)絡通信量的第二部分,其中,應用所述攻擊圖案集合包括將第一政策所限定的 第 一圖案集合應用至所述網(wǎng)絡通信量的所述第 一部分以檢測相應網(wǎng)絡攻擊的所述第 一集合、以及將第二政策所限定的第二 圖案集合應用至所述網(wǎng)絡通信量的所述第二部分以片企測相應 網(wǎng)絡攻擊的所述第二集合,所述第一圖案集合和所述第二圖案 集合至少有一個圖案是不同的,以及其中,轉(zhuǎn)發(fā)所述網(wǎng)絡通信量包括分別基于應用所述第一 圖案集合和所述第二圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量的所述 第一部分和所述第二部分。
3. 根據(jù)權利要求1所述的方法,還包括在接收到所述安全分類信息之后,確定與所述安全分類相 關聯(lián)的政策;以及對由所述網(wǎng)絡裝置維護的流表的至少一個流條目進行更 新以使所確定的政策與數(shù)據(jù)包流相關聯(lián),其中,所述數(shù)據(jù)包流 與所述至少 一個計算裝置相關聯(lián),其中,應用所述圖案集合包括對所述網(wǎng)絡通信量進4亍解碎斤以確定與所述至少 一 個 計算裝置相關聯(lián)的至少 一個網(wǎng)絡地址;利用所述至少一個地址來訪問所述流表以檢索所述 流條目;以及將所檢索到的流條目所標識的政策所限定的圖案集 合應用至與所述至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量 以檢測相應的網(wǎng)絡攻擊集合。
4. 才艮據(jù)權利要求1所述的方法,其中,*接收所述安全分類信息包 括接收標識一個聚集安全分類和多個計算裝置之間的單個聚 集映射的聚集安全分類信息,并且其中,所述安全分類包括多 個安全分類中的一個安全分類,所述方法還包括從所述多個計算裝置中的每個計算裝置收集安全信息,其 中,所述安全信息分別標識所述集合中的每個計算裝置的所述安全能力;將所收集到的安全信息映射到安全分類以輸出裝置特有 安全分類信息,所述裝置特有安全分類信息為所述計算機裝置 集合中的每個計算裝置都標識了所述多個安全分類之一與所 述計算裝置集合中的一個計算裝置之間的關聯(lián);以及聚集所述裝置特有安全分類信息以輸出標識了所述聚集 安全分類和所述計算裝置集合之間的所述單個聚集映射的所 述聚集安全分類信息。
5. 才艮據(jù)權利要求1所述的方法,其中,接收所述安全分類信息包 括接收虛擬局域網(wǎng)(VLAN)安全分類信息,所述虛擬局域網(wǎng) 安全分類信息標識了聚集安全分類與代表了計算裝置集合的 邏輯分組的VLAN之間的聚集映射。
6. 根據(jù)權利要求1所述方法,還包括確定擁塞等級;對所述擁塞等級與所述-文策所標識的閾值進4于比4交以確 定是否轉(zhuǎn)發(fā)所述網(wǎng)絡通信量而不應用由與所述安全分類相關 聯(lián)的政策所限定的圖案集合;以及當所述擁塞等級超過所述政策所標識的閾值時,轉(zhuǎn)發(fā)所述 網(wǎng)絡通信量而不應用由所述政策所限定的圖案集合。
7. 根據(jù)權利要求1所述的方法,還包括確定所述網(wǎng)絡裝置是否包括由與映射到所述至少 一個網(wǎng) 絡裝置的安全分類相關聯(lián)的政策所限定的圖案集合中的每個 圖案;以及基于確定所述網(wǎng)絡裝置不包括由與所述安全分類相關聯(lián) 的政策所限定的圖案集合中的一個或多個圖案,而將所述網(wǎng)絡 通信量轉(zhuǎn)發(fā)到網(wǎng)絡安全裝置而不應用由所述政策所限定的所 述圖案集合。
8. 根據(jù)權利要求1所述的方法,還包括基于映射到所述至少一個計算裝置的安全分類,來確定是 否將與所述至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量卸載到網(wǎng)絡安全裝置;以及基于該確定,來將網(wǎng)絡通信量卸載到與所述至少一個計算 裝置相關聯(lián)的網(wǎng)絡安全裝置。
9. 根據(jù)權利要求1所述的方法,還包括收集攻擊統(tǒng)計,所述攻擊統(tǒng)計記錄了所述政策所限定的圖 案集合對所述網(wǎng)絡通信量的應用;將所述安全分類信息和所述攻擊統(tǒng)計報告給專用的網(wǎng)絡 安全裝置;以及基于所凈艮告的安全分類信息和攻擊統(tǒng)計來識別網(wǎng)絡范圍 的攻擊。
10. 根據(jù)權利要求1所述的方法,其中,所述安全分類信息包括關 于以下多項中的一項或多項的信息由所述至少 一個計算裝置 當前所執(zhí)行的操作系統(tǒng)、所述至少一個計算裝置內(nèi)執(zhí)行的安全 軟件、以及由所述至少 一個計算裝置所執(zhí)行的才喿作系統(tǒng)和安全 軟件的補丁。
11. 一種網(wǎng)絡裝置,包括至少一個網(wǎng)紹4矣口,用來發(fā)送和4妄收網(wǎng)絡內(nèi)的通信量;控制單元,耦合至所述網(wǎng)絡接口,其中,所述控制單元包括存儲介質(zhì),所述存儲介質(zhì)存儲將 安全分類映射到網(wǎng)絡內(nèi)的至少 一個計算裝置的安全分類信息, 所述安全分類標識了所述計算裝置的安全能力,所述存儲介質(zhì) 還存儲與所述安全分類相關聯(lián)的政策,以及其中,所述控制單元將由所述政策所限定的圖案集合應用 至所述網(wǎng)絡通信量,以檢測網(wǎng)絡攻擊集合中的任意網(wǎng)絡攻擊并 基于應用所述圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量。
12. 根據(jù)權利要求11所述的網(wǎng)絡裝置,所述控制單元還包括表管理模塊,接收第一聚集安全分類信息和第二聚集安全 分類信息,其中,所述第一聚集安全分類信息標識第一安全分 類和第一計算裝置集合之間的第一映射,以及所述第二聚集安 全分類標識第二安全分類和第二計算裝置集合之間的第二映 射,其中,所述第二安全分類不同于所述第一安全分類;分類模塊,接收與所述第 一計算裝置集合中的 一個或多個 計算裝置相關聯(lián)的網(wǎng)絡通信量的第 一部分,并接收與所述第二 計算裝置集合中的一個或多個計算裝置相關聯(lián)的網(wǎng)絡通信量的第二部分,以及服務引擎,將由第一政策所限定的第一圖案集合應用至網(wǎng) 絡通信量的所述第一部分以檢測所述第一網(wǎng)絡攻擊集合,并將 由第二政策所限定的第二圖案集合應用至網(wǎng)絡通信量的所述 第二部分以檢測所述第二網(wǎng)絡攻擊集合,其中,所述服務引擎分別基于應用所述第一圖案集合和所 述第二圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量的所述第 一部分和所 述第二部分。
13. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述存儲介質(zhì)還存 儲流表,所述流表包括用于所述至少 一個計算裝置的至少 一個 流條目,所述控制單元還包4舌表管理模塊,確定與所述安全分類相關聯(lián)的政策,并更新 所述流表的所述至少 一個流條目以<吏所確定的JE文策與所述至少一個計算裝置相關聯(lián);分類模塊,對所述網(wǎng)絡通信量進行解析以確定與所述至少 一個計算裝置相關聯(lián)的至少一個地址,利用所述至少一個地址 來訪問所述流表以檢索所述流條目,并確定所檢索到的流條目所指明的政策;以及服務引擎,將所檢索到的流條目所標識的政策所限定的圖 案集合應用至與所述至少 一個計算裝置相關聯(lián)的網(wǎng)絡通信量。
14. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述控制單元還包 括表管理模塊,所述表管理模塊接收虛擬局域網(wǎng)(VLAN)安 全分類信息,所述虛擬局域網(wǎng)安全分類信息標識了聚集安全分 類與代表了計算裝置集合的邏輯分組的VLAN之間的聚集映 射。
15. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述控制單元還包 括分類模塊,該分類模塊確定擁塞等級,對所述擁塞等級與所 述政策所標識的閾值進行比較,基于比較來確定是否轉(zhuǎn)發(fā)所述 網(wǎng)絡通信量而不應用由與所述安全分類相關聯(lián)的政策所限定 的圖案集合,以及當所述擁塞等級超過所述政策所標識的閾值 時轉(zhuǎn)發(fā)所述網(wǎng)絡通信量而不應用由所述政策所限定的圖案集 合。
16. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述控制單元包括 分類模塊,所述分類模塊確定所述網(wǎng)絡裝置是否包括由與映射 到所述至少一個網(wǎng)絡裝置的安全分類相關聯(lián)的政策所限定的 圖案集合中的每個圖案,以及基于確定所述網(wǎng)絡裝置不包括由 與所述安全分類相關聯(lián)的政策所限定的圖案中的 一個或多個 圖案,而將所述網(wǎng)絡通信量轉(zhuǎn)發(fā)到網(wǎng)絡安全裝置而不應用所述 政策。
17. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述控制單元包括 分類模塊,所述分類模塊基于映射到所述至少一個計算裝置的 安全分類,來確定是否將與所述至少一個計算裝置相關聯(lián)的網(wǎng) 絡通信量卸載到網(wǎng)絡安全裝置,以及基于該確定,來將網(wǎng)絡通 信量卸載到與所述至少一個計算裝置相關聯(lián)的網(wǎng)絡安全裝置。
18. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述控制單元包括 報告模塊,所述報告模塊收集攻擊統(tǒng)計,并將所述安全分類信 息和所述攻擊統(tǒng)計報告給專用的網(wǎng)絡安全裝置,其中,所述攻 擊統(tǒng)計記錄了所述政策所限定的圖案集合對所述網(wǎng)絡通信量 的應用。
19. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述安全分類信息 包4舌關于以下多項中的 一項或多項的4言息由所述至少 一個計 算裝置當前所執(zhí)行的操作系統(tǒng)、所述至少一個計算裝置內(nèi)執(zhí)行 的安全軟件、以及由所述至少一個計算裝置所執(zhí)行的操作系統(tǒng) 和安全軟件的補丁。
20. 根據(jù)權利要求11所述的網(wǎng)絡裝置,其中,所述網(wǎng)絡裝置包括 路由器、網(wǎng)絡安全裝置、專用的網(wǎng)絡安全裝置、以及入侵檢測 /防止(IDP)裝置中的一個或多個。
21. —種網(wǎng)絡系統(tǒng),包括計算裝置集合;耦合至所述計算裝置集合的訪問裝置; 耦合至所述訪問裝置的網(wǎng)絡裝置,其中,所述網(wǎng)絡裝置包括至少一個網(wǎng)結(jié) 接口,用來發(fā)送和4姿收網(wǎng)絡內(nèi)的通信量; 控制單元,耦合至所述網(wǎng)絡接口,其中,所述控制單元包括存儲介質(zhì),所述存儲介質(zhì)存儲將 安全分類映射到網(wǎng)絡內(nèi)的至少 一個計算裝置的安全分類信息, 所述安全分類標識了所述計算裝置的安全能力,所述存儲介質(zhì) 還存儲與所述安全分類相關聯(lián)的政策,以及其中,所述控制單元將所述政策所限定的圖案集合應用至 所述網(wǎng)絡通信量,以檢測網(wǎng)絡攻擊集合中的任意網(wǎng)絡攻擊并基 于應用所述圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量。
22. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述計算裝置集合包括第一計算裝置集合,以及 其中,所述訪問裝置包括第一訪問裝置, 所述網(wǎng)絡系統(tǒng)還包括 第二計算裝置集合;以及耦合至所述第二計算裝置集合的第二訪問裝置,其中,所 述網(wǎng)絡裝置耦合到所述第 一訪問裝置和所述第二訪問裝置兩 者。
23. 根據(jù)權利要求22所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括表管理模塊,接收來自所述第 一訪問裝置的第 一聚集安全 分類信息并接收第二聚集安全分類信息,其中,所述第一聚集 安全分類信息標識了第一安全分類和第一計算裝置集合之間 的第一映射,以及所述第二聚集安全分類標識了第二安全分類 和第二計算裝置集合之間的第二映射,其中,所述第二安全分類不同于所述第 一安全分類;分類模塊,接收與所述第一計算裝置集合中的一個或多個 計算裝置相關聯(lián)的網(wǎng)絡通信量的所述第一部分,并接收與所述 第二計算裝置集合中的一個或多個計算裝置相關聯(lián)的網(wǎng)絡通4言量的第二部分;以及服務引擎,將由第一政策所限定的第一圖案集合應用至所 述網(wǎng)絡通信量的所述第 一部分以檢測所述第 一網(wǎng)絡攻擊集合, 并將由第二政策所限定的第二圖案集合應用至所述網(wǎng)絡通信 量的所述第二部分以檢測所述第二網(wǎng)絡攻擊集合,其中,所述服務引擎分別基于應用所述第一圖案集合和所述第二圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量的所述第一部分和所 述第二部分。
24. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述網(wǎng)絡裝置還包括流表,所述流表包括用于所述 計算裝置集合的至少一個流條目,其中,所述控制單元包括表管理模塊,接收所述安全分類信息,在接收到所述安全 分類信息之后確定與所述安全分類相關聯(lián)的政策,并更新所述 流表的所述至少一個流條目以使所確定的政策與所述計算裝 置集合相關聯(lián);分類模塊,對所述網(wǎng)絡通信量進行解析以確定與所述計算 裝置集合中的每個計算裝置相關聯(lián)的地址,利用每個地址來訪問所述流表以檢索至少一個流條目,并確定所4企索到的至少一個流條目所指明的政策;以及服務引擎,將所檢索到的流條目所標識的政策所限定的圖 案集合應用至與所迷至少一個計算裝置相關聯(lián)的網(wǎng)絡通信量。
25. 根據(jù)權利要泉21所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括表管理模塊,所述表管理模塊接 收聚集安全分類信息,所述聚集安全分類信息標識了聚集安全 分類和計算裝置集合之間的單個聚集映射,其中,所述安全分類包括多個安全分類中的 一個安全分類,其中,所述訪問裝置還(1)收集來自所述計算裝置集合 中的每個計算裝置的安全信息,其中,所述安全信息分別標識 了所述計算裝置集合中的每個計算裝置的安全能力,(2)將所 收集到的安全信息映射到安全分類以輸出裝置特有安全分類 信息,所述裝置特有安全分類信息為所述計算機裝置集合中的 每個計算裝置都標識了所述多個安全分類之一與所述計算裝 置集合中的一個計算裝置之間的關聯(lián),以及(3)聚集所述裝 置特有安全分類信息以輸出標識了所述聚集安全分類和所述 計算裝置集合之間的所述單個聚集映射的所述聚集安全分類"息。
26. 根據(jù)權利要求25所述的網(wǎng)絡系統(tǒng),其中,當所述計算裝置集 合中的每個計算裝置嘗試對一個私有網(wǎng)絡進行訪問時,所述訪 問裝置收集來自所述計算裝置集合中的每個計算裝置的安全 信息,其中,所述訪問裝置控制對所述私有網(wǎng)絡的訪問。
27. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括 表管理模塊,所述表管理模塊接收虛擬局域網(wǎng)(VLAN)安全 分類信息,所述虛擬局域網(wǎng)安全分類信息標識了聚集安全分類與代表了所述計算裝置集合的邏輯分組的VLAN之間的聚集 映射。
28. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括 分類模塊,所述分類模塊確定擁塞等級,對所述擁塞等級與所 述政策所標識的閾值進行比較,基于比較來確定是否轉(zhuǎn)發(fā)所述 網(wǎng)絡通信量而不應用由與所述安全分類相關聯(lián)的政策所限定 的圖案集合,以及當所述擁塞等級超過所述政策所標識的閾值 時轉(zhuǎn)發(fā)所述網(wǎng)絡通信量而不應用由所述政策所限定的圖案集 合。
29. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括 分類模塊,所述分類模塊確定所述網(wǎng)絡裝置是否包括由與映射 到所述至少一個網(wǎng)絡裝置的安全分類相關聯(lián)的政策所限定的 圖案集合中的每個圖案,以及基于確定所述網(wǎng)絡裝置不包括由 與所述安全分類相關聯(lián)的政策所限定的圖案集合中的一個或 多個圖案,而將所述網(wǎng)絡通信量轉(zhuǎn)發(fā)到網(wǎng)絡安全裝置而不應用 由所述政策限定的所述圖案。
30. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述控制單元包括 分類模塊,所述分類模塊基于映射到所述計算裝置集合的安全 分類,來確定是否將與所述至少 一個計算裝置相關聯(lián)的網(wǎng)絡通 信量卸載到網(wǎng)絡安全裝置,以及基于該確定,來將網(wǎng)絡通信量 卸載到與所述至少一個計算裝置相關聯(lián)的網(wǎng)絡安全裝置。
31. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),還包括耦合至所述網(wǎng)絡裝 置的網(wǎng)絡安全裝置,其中,所述控制單元包括報告模塊,所述報告模塊收集攻 擊統(tǒng)計,并將所述安全分類信息和所述攻擊統(tǒng)計4艮告給所述網(wǎng)絡安全裝置,其中,所述攻擊統(tǒng)計記錄了所述政策所限定的圖 案集合對所述網(wǎng)絡通信量的應用,以及其中,所述網(wǎng)絡安全裝置基于所報告的安全分類信息和攻 擊統(tǒng)計來4企測網(wǎng)絡范圍的攻擊。
32. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,安全分類信息包括 關于以下多項中的一項或多項的信息由所述至少一個計算裝 置當前所執(zhí)行的操作系統(tǒng)、所述至少一個計算裝置內(nèi)執(zhí)行的安 全軟件、以及由所述至少一個計算裝置所執(zhí)行的操作系統(tǒng)和安 全軟件的補丁。
33. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),其中,所述網(wǎng)絡裝置包括路由器、網(wǎng)絡安全裝置、專用的 網(wǎng)絡安全裝置、及入侵檢觀'V防止(IDP )裝置中的 一個或多個,其中,所述計算裝置包括在邏輯上#:組織為單個虛擬局域網(wǎng)(VLAN)的最終用戶計算裝置,用戶與所述最終用戶計算 裝置進4于交互,以及其中,所述訪問裝置包4舌第二層訪問交賴:才幾、第三層訪問 交換機、及多層訪問交換機中的一個。
34. 根據(jù)權利要求21所述的網(wǎng)絡系統(tǒng),還包括政策服務器,所述 政策服務器在所述網(wǎng)絡裝置內(nèi)安裝政策。
35. —種方法,包4舌利用一個或多個第二層(L2)網(wǎng)絡訪問裝置接收來自多 個計算裝置的訪問請求;響應于所述訪問請求,收集來自所述多個計算裝置中的每 個計算裝置的安全信息,其中,所述安全信息標識所述多個計 算裝置中的每個計算裝置的安全能力;基于每個所述計算裝置的安全能力,而將所述多個計算裝 置的第一集合指定為第一安全分類,而將所述多個計算裝置的第二集合指定為第二安全分類;利用第三層(L3)網(wǎng)絡裝置接收與所述多個計算裝置相 關聯(lián)的網(wǎng)絡通信量;利用所述L3網(wǎng)絡裝置將第 一攻擊檢測圖案集合只應用至 所述網(wǎng)絡通信量中與所述計算裝置的第 一集合相關聯(lián)的第一 部分網(wǎng)絡通信量以檢測相應的第一網(wǎng)絡攻擊集合,其中,所述 第 一 圖案集合是由與所述第 一安全分類相關聯(lián)的政策來限定 的;利用所述L3網(wǎng)絡裝置將第二攻擊檢測圖案集合只應用至 所述網(wǎng)絡通信量中與所述計算裝置的第二集合相關聯(lián)的第二 部分網(wǎng)絡通信量以檢測相應的第二網(wǎng)絡攻擊集合,其中,所述 第二圖案集合是由與所述第二安全分類相關聯(lián)的政策來限定 的并且所述第二圖案集合與所述第一圖案集合至少有一個圖 案是不同的;以及利用所述L3網(wǎng)絡裝置基于應用所述第一圖案集合和所述 第二圖案集合來轉(zhuǎn)發(fā)所述網(wǎng)絡通信量。
36. 根據(jù)4又利要求35所述的方法,還包括利用所述L2網(wǎng)絡訪問裝置以網(wǎng)絡數(shù)據(jù)包的形式接收來自 所述多個計算裝置的網(wǎng)絡通信量;利用所述L2訪問裝置將標記附加于所述網(wǎng)絡數(shù)據(jù)包以指 明每個所述數(shù)據(jù)包是從指定給所述第一安全分類或所述第二安全分類的所述計算裝置之一接收到的;以及將所述網(wǎng)絡凄t據(jù)包/人所述L2網(wǎng)絡訪問裝置傳達給所述 L3網(wǎng)絡裝置以應用攻擊檢測圖案。
全文摘要
一般而言,描述了利用網(wǎng)絡來分級應用安全服務的技術。具體地,網(wǎng)絡裝置接收安全分類信息,安全分類信息將安全分類映射到一個或多個計算裝置。安全分類標識了計算裝置的安全能力。網(wǎng)絡裝置還接收與計算裝置相關聯(lián)的網(wǎng)絡通信量并將由與安全分類相關聯(lián)政策所限定的圖案集合應用于網(wǎng)絡通信量以檢測網(wǎng)絡攻擊集合?;趹脠D案集合,網(wǎng)絡裝置轉(zhuǎn)發(fā)網(wǎng)絡通信量。作為接收安全分類信息的結(jié)果,網(wǎng)絡裝置可以知曉計算裝置的安全能力并只應用增大這些所檢測到的安全能力所需的那些圖案,從而通過以分級方式應用這些服務來防止重疊應用安全服務。
文檔編號H04L29/06GK101674307SQ20091017374
公開日2010年3月17日 申請日期2009年9月11日 優(yōu)先權日2008年9月12日
發(fā)明者哈特姆·埃亞達 申請人:叢林網(wǎng)絡公司