相關(guān)申請(qǐng)的交叉引用
本申請(qǐng)要求于2015年1月20日提交的美國(guó)臨時(shí)專利申請(qǐng)第62/105,685號(hào)的優(yōu)先權(quán),通過(guò)引用將其全部?jī)?nèi)容并入。
本公開(kāi)涉及防御對(duì)資源的未授權(quán)訪問(wèn)的計(jì)算機(jī)安全,更具體地,涉及剖析應(yīng)用程序并將這些應(yīng)用程序的會(huì)話和連接劃分成安全層。
背景技術(shù):
在網(wǎng)絡(luò)通信中,存在多種形式的軟件安全和硬件安全,包括防火墻以及入侵檢測(cè)和預(yù)防系統(tǒng)。但是,它們都在一個(gè)核心問(wèn)題上存在問(wèn)題,即,如果規(guī)則沒(méi)有被正確地應(yīng)用,則它們會(huì)給未授權(quán)訪問(wèn)提供機(jī)會(huì)。當(dāng)今的操作系統(tǒng)和應(yīng)用程序也有許多錯(cuò)誤,如果暴露在因特網(wǎng)上,則這些錯(cuò)誤會(huì)允許對(duì)托管應(yīng)用程序的服務(wù)器的遠(yuǎn)程訪問(wèn)。
現(xiàn)有的防火墻支持?jǐn)?shù)據(jù)包檢測(cè)。該檢測(cè)基于應(yīng)用于防火墻中的配置的規(guī)則,并且在主動(dòng)學(xué)習(xí)方面具有局限性,原因是它們不能與應(yīng)用程序堆棧對(duì)話,并且應(yīng)用程序堆棧具有有限的與安全堆棧對(duì)話的能力。防火墻通常會(huì)試圖并減少規(guī)則的數(shù)量,原因是如果應(yīng)用太多的規(guī)則,則在與主機(jī)的每個(gè)連接上會(huì)產(chǎn)生巨大的開(kāi)銷,并且在大規(guī)模的情況下可能會(huì)有問(wèn)題。
技術(shù)實(shí)現(xiàn)要素:
本公開(kāi)的實(shí)施方式包括提供防御黑客的在線安全的智能方法,其防止黑客獲得對(duì)安全資源的未授權(quán)訪問(wèn)。在一個(gè)實(shí)施方式中,公開(kāi)了一種防御對(duì)資源的未授權(quán)訪問(wèn)的安全方法。檢測(cè)在第一客戶端與第一主機(jī)設(shè)備的第一應(yīng)用程序之間建立的第一應(yīng)用程序會(huì)話。第一應(yīng)用程序與將第一應(yīng)用程序的安全性劃分成安全層的第一多個(gè)安全時(shí)間限制相關(guān)聯(lián)。監(jiān)測(cè)在第一客戶端與第一應(yīng)用程序之間建立的第一應(yīng)用程序會(huì)話的持續(xù)時(shí)間。響應(yīng)于第一應(yīng)用程序會(huì)話的持續(xù)時(shí)間達(dá)到第一多個(gè)安全時(shí)間限制中的安全時(shí)間限制,對(duì)第一應(yīng)用程序會(huì)話執(zhí)行一個(gè)或更多個(gè)第一安全動(dòng)作。響應(yīng)于第一應(yīng)用程序會(huì)話的持續(xù)時(shí)間達(dá)到第一多個(gè)安全時(shí)間限制中的另一安全時(shí)間限制,對(duì)第一應(yīng)用程序會(huì)話執(zhí)行一個(gè)或更多個(gè)第二安全動(dòng)作。
在一個(gè)實(shí)施方式中,通過(guò)機(jī)器學(xué)習(xí)過(guò)程建立安全時(shí)間限制。該過(guò)程可以包括監(jiān)測(cè)與第一應(yīng)用程序相對(duì)應(yīng)的多個(gè)先前應(yīng)用程序會(huì)話的持續(xù)時(shí)間,以生成第一會(huì)話持續(xù)時(shí)間數(shù)據(jù)。然后,基于多個(gè)先前應(yīng)用程序會(huì)話的第一會(huì)話持續(xù)時(shí)間數(shù)據(jù)來(lái)確定第一多個(gè)安全時(shí)間限制。
在一個(gè)實(shí)施方式中,所述方法還包括:檢測(cè)在第二客戶端與至少一個(gè)服務(wù)器的第二應(yīng)用程序之間建立的第二應(yīng)用程序會(huì)話,第二應(yīng)用程序與將第二應(yīng)用程序的安全性劃分成安全層的第二多個(gè)安全時(shí)間限制相關(guān)聯(lián);監(jiān)測(cè)在第二客戶端與第二應(yīng)用程序之間建立的第二應(yīng)用程序會(huì)話的持續(xù)時(shí)間;響應(yīng)于第二應(yīng)用程序會(huì)話的持續(xù)時(shí)間達(dá)到所述多個(gè)安全時(shí)間限制中的安全時(shí)間限制,對(duì)第二應(yīng)用程序會(huì)話執(zhí)行一個(gè)或更多個(gè)第一安全動(dòng)作;以及響應(yīng)于第二應(yīng)用程序會(huì)話的持續(xù)時(shí)間達(dá)到所述多個(gè)安全時(shí)間限制中的另一安全時(shí)間限制,對(duì)第二應(yīng)用程序會(huì)話執(zhí)行一個(gè)或更多個(gè)第二安全動(dòng)作。
在一個(gè)實(shí)施方式中,第一安全動(dòng)作或第二安全動(dòng)作之一包括ip查找、深度數(shù)據(jù)包檢查、畸形數(shù)據(jù)包檢測(cè)或啟用蜜罐安全傳感器中至少之一。在一個(gè)實(shí)施方式中,第一安全動(dòng)作或第二安全動(dòng)作之一包括:將第一應(yīng)用程序會(huì)話與和至少一個(gè)主機(jī)設(shè)備相關(guān)聯(lián)的其他應(yīng)用程序會(huì)話隔離。隔離第一應(yīng)用程序會(huì)話可以包括將第一應(yīng)用程序會(huì)話移動(dòng)至第二主機(jī)設(shè)備。隔離第一應(yīng)用程序會(huì)話還可以包括將第一應(yīng)用程序會(huì)話保持在第一主機(jī)設(shè)備上,并且防止與第一主機(jī)設(shè)備建立其他應(yīng)用程序會(huì)話。
在一個(gè)實(shí)施方式中,在線安全的方法也可以應(yīng)用于為應(yīng)用程序會(huì)話建立的連接。其他實(shí)施方式包括存儲(chǔ)指令的非暫態(tài)計(jì)算機(jī)可讀介質(zhì)。所述指令可由至少一個(gè)處理器執(zhí)行以實(shí)現(xiàn)用于防止對(duì)資源的未授權(quán)訪問(wèn)的操作。
附圖說(shuō)明
圖1是根據(jù)實(shí)施方式的具有會(huì)話/連接劃分的網(wǎng)絡(luò)通信系統(tǒng)的框圖。
圖2是根據(jù)實(shí)施方式的被劃分成不同安全層的應(yīng)用程序會(huì)話/連接的示圖。
圖3是根據(jù)實(shí)施方式的被劃分成不同安全層的不同應(yīng)用程序的應(yīng)用程序會(huì)話/連接的示圖。
圖4是示出根據(jù)實(shí)施方式的應(yīng)用程序會(huì)話/連接的隔離的示圖。
圖5是示出根據(jù)另一實(shí)施方式的應(yīng)用程序會(huì)話/連接的隔離的示圖。
圖6是根據(jù)實(shí)施方式的來(lái)自圖1的會(huì)話/連接管理器模塊的框圖。
圖7是根據(jù)實(shí)施方式的用于剖析應(yīng)用程序的會(huì)話/連接以及時(shí)間限制的學(xué)習(xí)的方法的流程圖。
圖8是根據(jù)實(shí)施方式的用于會(huì)話/連接劃分安全的方法的流程圖。
圖9示出了根據(jù)實(shí)施方式的計(jì)算設(shè)備的硬件架構(gòu)。
具體實(shí)施方式
現(xiàn)在將詳細(xì)參考本公開(kāi)的若干實(shí)施方式,其示例在附圖中示出。應(yīng)注意,在可行的情況下,可以在附圖中使用類似或相似的附圖標(biāo)記,并且類似或相似的附圖標(biāo)記可以指代類似或相似的功能。附圖僅出于說(shuō)明的目的來(lái)描述本公開(kāi)的實(shí)施方式。本領(lǐng)域技術(shù)人員將從以下描述中容易地認(rèn)識(shí)到,在不脫離本文所述的公開(kāi)內(nèi)容的原理或得到的益處的情況下,可以采用本文所示的結(jié)構(gòu)和方法的替代實(shí)施方式。
未來(lái)的對(duì)在線應(yīng)用程序的保護(hù)基于安全性的機(jī)器層面的學(xué)習(xí)以及允許安全系統(tǒng)剖析平均應(yīng)用程序會(huì)話流。平均應(yīng)用程序會(huì)話流可以改變多級(jí)觸發(fā)會(huì)話的觸發(fā)點(diǎn)。會(huì)話持續(xù)時(shí)間越長(zhǎng),會(huì)話所具有的風(fēng)險(xiǎn)越高。本公開(kāi)的實(shí)施方式將剖析會(huì)話,并且將根據(jù)時(shí)間或狀態(tài)來(lái)啟動(dòng)安全動(dòng)作,例如通過(guò)分析異常數(shù)據(jù)包流的會(huì)話或復(fù)制數(shù)據(jù)包流以用于在受控分析安全沙箱中回放。
本公開(kāi)的實(shí)施方式涉及安全系統(tǒng)平臺(tái)的組件,其剖析應(yīng)用程序以防止黑客訪問(wèn)后端數(shù)據(jù)集并防止對(duì)任何數(shù)據(jù)集的持續(xù)訪問(wèn)。本公開(kāi)的實(shí)施方式還將在應(yīng)用程序和網(wǎng)絡(luò)中發(fā)現(xiàn)的各種應(yīng)用程序會(huì)話劃分成單個(gè)會(huì)話內(nèi)的安全層/片段,并且隨時(shí)間增加每個(gè)安全層/片段的安全級(jí)別。更具體地,本公開(kāi)的實(shí)施方式可以通過(guò)使用更高安全性解決方案的升級(jí)的安全級(jí)別來(lái)防止對(duì)未授權(quán)資源的訪問(wèn)。本公開(kāi)的實(shí)施方式還可以將連接劃分成安全層,并且隨時(shí)間增加每個(gè)安全層的安全級(jí)別。
圖1是根據(jù)實(shí)施方式的具有會(huì)話劃分安全和連接劃分安全的網(wǎng)絡(luò)通信系統(tǒng)的框圖。系統(tǒng)包括若干客戶端設(shè)備105、網(wǎng)絡(luò)110、路由器115、防火墻120、負(fù)載均衡器125、前端服務(wù)器130、后端服務(wù)器135和數(shù)據(jù)庫(kù)140。計(jì)算設(shè)備例如路由器115、防火墻120、負(fù)載均衡器125、前端服務(wù)器130、后端服務(wù)器135和數(shù)據(jù)庫(kù)140可以形成由客戶端105經(jīng)由網(wǎng)絡(luò)110訪問(wèn)的數(shù)據(jù)中心。為了便于說(shuō)明,在圖1中僅示出了兩個(gè)客戶端105和兩個(gè)前端服務(wù)器130。在其他實(shí)施方式中,可以存在更多數(shù)量的客戶端設(shè)備105和前端服務(wù)器130。
客戶端設(shè)備105可以是計(jì)算設(shè)備,例如智能電話、平板計(jì)算機(jī)、膝上型計(jì)算機(jī)和臺(tái)式計(jì)算機(jī)等。用戶通過(guò)諸如觸摸屏或鼠標(biāo)和鍵盤(pán)的接口與客戶端設(shè)備105的軟件進(jìn)行交互??蛻舳嗽O(shè)備105由用戶控制以建立與由前端服務(wù)器130托管的各種應(yīng)用程序的應(yīng)用程序會(huì)話和連接。
前端服務(wù)器130是可以包括一個(gè)或更多個(gè)處理器并執(zhí)行操作系統(tǒng)的服務(wù)器類計(jì)算設(shè)備。服務(wù)器130托管若干軟件應(yīng)用程序150,并且在本文中也可以被稱為主機(jī)設(shè)備。例如,應(yīng)用程序150可以托管信用卡支付應(yīng)用程序150a、網(wǎng)站150b和網(wǎng)上銀行應(yīng)用程序150c。托管應(yīng)用程序150的主機(jī)設(shè)備的其他示例可以是通用電子設(shè)備、電話、平板電腦、飛機(jī)中的飛行控制系統(tǒng)等。
客戶端設(shè)備105可以經(jīng)由網(wǎng)絡(luò)110、路由器115、防火墻和負(fù)載均衡器125與應(yīng)用程序150建立網(wǎng)絡(luò)連接c1-c6。連接被用作在服務(wù)器150和客戶端設(shè)備105處的套接字(socket)之間的雙向通信信道。連接在一定時(shí)間點(diǎn)建立,例如使用握手或有時(shí)沒(méi)有握手過(guò)程,然后在稍后的時(shí)間點(diǎn)終止。連接可以包括由協(xié)議定義的若干狀態(tài)。一種類型的連接示例是在開(kāi)放系統(tǒng)互連(osi)模型的傳輸層下的傳輸控制協(xié)議(tcp)連接。
客戶端設(shè)備105還通過(guò)連接c1-c6與應(yīng)用程序150建立應(yīng)用程序會(huì)話s1-s6。應(yīng)用程序會(huì)話是給定應(yīng)用程序的兩個(gè)或更多個(gè)通信實(shí)體之間的交互式信息交換。應(yīng)用程序會(huì)話在一定時(shí)間點(diǎn)建立,然后在稍后的時(shí)間點(diǎn)終止。在應(yīng)用程序會(huì)話期間,可以通過(guò)已經(jīng)為會(huì)話建立的連接在每個(gè)方向上發(fā)送請(qǐng)求信息或響應(yīng)于請(qǐng)求的一個(gè)或更多個(gè)消息。會(huì)話的狀態(tài)(例如登錄、注銷、空閑、上傳、下載、搜索、處理或更新現(xiàn)有數(shù)據(jù)、破壞或刪除數(shù)據(jù)、觸發(fā)警報(bào)、時(shí)間計(jì)數(shù)器狀態(tài)、密鑰匹配、密鑰更改、風(fēng)險(xiǎn)因素狀態(tài))可以由前端服務(wù)器130a或客戶端105維護(hù)。在一個(gè)實(shí)施方式中,應(yīng)用程序會(huì)話是位于傳輸層之上的osi會(huì)話層的會(huì)話。會(huì)話的示例可以是http會(huì)話、ftp會(huì)話和smtp會(huì)話等。
在一個(gè)示例中,當(dāng)用戶在客戶端設(shè)備105a處刷信用卡時(shí),可以發(fā)起信用卡認(rèn)證會(huì)話(例如,s1、s2),并且客戶端設(shè)備105a與信用卡支付應(yīng)用程序150a建立連接和會(huì)話。信用卡支付應(yīng)用程序150a與客戶端設(shè)備105a進(jìn)行通信,以從客戶端設(shè)備105a取得信用卡號(hào)碼和收費(fèi)金額。然后,信用卡支付應(yīng)用程序150a經(jīng)由后端服務(wù)器135訪問(wèn)數(shù)據(jù)庫(kù)140,以確定信用卡號(hào)碼是否具有足夠的信用以處理支付。然后,信用卡支付應(yīng)用程序150a向客戶端設(shè)備105a提供肯定響應(yīng)/否定響應(yīng)。然后,在向客戶端設(shè)備105a提供響應(yīng)之后終止連接和會(huì)話。
在另一示例中,當(dāng)用戶在客戶端105b處將url輸入到瀏覽器中時(shí),可以發(fā)起網(wǎng)絡(luò)表單會(huì)話(例如,s3、s4)??蛻舳嗽O(shè)備105b與網(wǎng)站150b建立會(huì)話。前端服務(wù)器130a(即,網(wǎng)絡(luò)服務(wù)器)可以處理多個(gè)會(huì)話。前端服務(wù)器130a每個(gè)會(huì)話啟動(dòng)時(shí)間計(jì)數(shù)器。用戶在會(huì)話關(guān)閉前有x時(shí)間量填寫(xiě)表單。由于填寫(xiě)網(wǎng)絡(luò)表單數(shù)據(jù)所花費(fèi)的時(shí)間,不同的前端服務(wù)器130b可以處理來(lái)自初始會(huì)話的表單提交。
在另一示例中,當(dāng)用戶在客戶端設(shè)備105b處打開(kāi)移動(dòng)銀行應(yīng)用程序時(shí),可以發(fā)起網(wǎng)上銀行會(huì)話(例如s5、s6),并且客戶端設(shè)備105b與網(wǎng)上銀行應(yīng)用程序150c建立連接和會(huì)話。網(wǎng)上銀行應(yīng)用程序150c與客戶端設(shè)備105c進(jìn)行通信,以從客戶端設(shè)備105c獲得認(rèn)證信息。一旦得到認(rèn)證,客戶端設(shè)備105c可以請(qǐng)求帳戶余額,上傳存款票據(jù)的副本,以及進(jìn)行其他銀行請(qǐng)求。銀行應(yīng)用程序150c可以經(jīng)由后端服務(wù)器135訪問(wèn)存儲(chǔ)在數(shù)據(jù)庫(kù)140中的帳戶信息以處理這些請(qǐng)求。
后端服務(wù)器135提供對(duì)存儲(chǔ)在數(shù)據(jù)庫(kù)140中的數(shù)據(jù)的訪問(wèn)。應(yīng)用程序150中的任何應(yīng)用程序可以從后端服務(wù)器135請(qǐng)求數(shù)據(jù),然后后端服務(wù)器135從數(shù)據(jù)庫(kù)140檢索數(shù)據(jù)并將數(shù)據(jù)提供給應(yīng)用程序150。后端服務(wù)器135的示例是sql服務(wù)器。黑客經(jīng)常試圖通過(guò)被入侵的會(huì)話或連接訪問(wèn)數(shù)據(jù)庫(kù)140中的數(shù)據(jù),而會(huì)話/連接管理器模塊152試圖在成功訪問(wèn)數(shù)據(jù)之前檢測(cè)這些被入侵的會(huì)話和連接。在被操縱的會(huì)話的情況下,黑客將會(huì)延長(zhǎng)會(huì)話的時(shí)間表,這是風(fēng)險(xiǎn)因素增加的地方,而會(huì)話/連接管理器模塊152可以增加安全性并觸發(fā)警報(bào)。
會(huì)話/連接管理器模塊152提供針對(duì)被入侵的會(huì)話/連接的安全性。對(duì)于每個(gè)會(huì)話/連接,會(huì)話/連接管理器模塊152將會(huì)話/連接劃分成不同的時(shí)間觸發(fā)的安全層。通過(guò)強(qiáng)制將會(huì)話/連接按時(shí)間劃分為安全層,可以基于單個(gè)會(huì)話/連接的劃分層觸發(fā)不同的動(dòng)作。在每個(gè)層中,會(huì)話/連接管理器模塊152向會(huì)話/連接施加一個(gè)或更多個(gè)安全動(dòng)作。在一個(gè)實(shí)施方式中,通過(guò)執(zhí)行用于處理單元(例如,處理器或控制器或定制應(yīng)用程序?qū)S眉呻娐?上的安全動(dòng)作的軟件程序代碼,針對(duì)會(huì)話/連接應(yīng)用安全動(dòng)作。
安全動(dòng)作可以是被設(shè)計(jì)成通過(guò)分析來(lái)自會(huì)話的數(shù)據(jù)來(lái)檢測(cè)黑客或防止黑客成功地完成入侵的動(dòng)作。安全動(dòng)作的示例可以包括ip查找、激活蜜罐傳感器、會(huì)話/連接隔離、深度數(shù)據(jù)包檢查、遏制會(huì)話/連接、發(fā)出安全警報(bào)、會(huì)話/連接跟蹤、會(huì)話/連接記錄、將機(jī)器學(xué)習(xí)應(yīng)用于會(huì)話/連接和完全控制/提醒及終止會(huì)話/連接。較早的安全層可以包括不同的規(guī)則,并且可以被配置成具有很少甚至沒(méi)有安全動(dòng)作以減少誤報(bào),而后來(lái)的安全層可以包括更多的資源密集型安全動(dòng)作。在后來(lái)的安全層中,會(huì)話/連接管理器模塊152可以通知其他設(shè)備(例如路由器115、防火墻120或負(fù)載均衡器125)高風(fēng)險(xiǎn)安全會(huì)話/連接,并且使得其他設(shè)備將安全動(dòng)作施加至?xí)?連接。
會(huì)話/連接管理器模塊152監(jiān)測(cè)會(huì)話/連接的持續(xù)時(shí)間,然后一旦會(huì)話/連接持續(xù)時(shí)間達(dá)到一定安全時(shí)間限制,則將安全性從一個(gè)安全層提升到下一個(gè)安全層。大多數(shù)正常會(huì)話/連接預(yù)計(jì)在達(dá)到安全時(shí)間限制之前完成。只有被入侵的會(huì)話/連接預(yù)計(jì)會(huì)超出安全時(shí)間限制。因此,更多的資源密集型安全動(dòng)作僅施加至處于被入侵會(huì)話的較高風(fēng)險(xiǎn)的會(huì)話/連接。因此,根據(jù)時(shí)間提升安全層具有如下技術(shù)優(yōu)點(diǎn):通過(guò)減小計(jì)算硬件(例如,處理器和存儲(chǔ)器)上的計(jì)算負(fù)擔(dān)來(lái)改善前端服務(wù)器130的功能,通過(guò)在會(huì)話的特定時(shí)間段內(nèi)有條理地提升安全層來(lái)改善前端服務(wù)器130的功能,同時(shí)仍然保持防御黑客的高水平的安全性。
在不同的時(shí)間間隔中具有不同的安全動(dòng)作還使得工具能夠理解什么是正常會(huì)話,什么是被入侵的會(huì)話,并且相應(yīng)地終止、跟蹤、追蹤、記錄、升級(jí)、分析會(huì)話的狀態(tài)。此外,連接和會(huì)話最終基于黑客離開(kāi)或被迫離開(kāi)而在會(huì)話結(jié)束時(shí)終止。當(dāng)黑客返回時(shí),可以使用從黑客以前的入侵嘗試中剖析的某些指紋數(shù)據(jù)來(lái)識(shí)別黑客,并立即升級(jí)風(fēng)險(xiǎn)級(jí)別,這會(huì)觸發(fā)記錄或應(yīng)用更多的安全傳感器,同時(shí)系統(tǒng)了解了黑客如何試圖升級(jí)他對(duì)主機(jī)或后端系統(tǒng)的訪問(wèn)權(quán)限。一旦連接的會(huì)話狀態(tài)被去除/終止,機(jī)器學(xué)習(xí)可以自行糾正發(fā)現(xiàn)的漏洞并終止會(huì)話以阻止黑客。
對(duì)于每種類型的應(yīng)用程序150,安全時(shí)間限制可以是不同的。在一個(gè)實(shí)施方式中,會(huì)話/連接管理器模塊152經(jīng)由機(jī)器學(xué)習(xí)過(guò)程單獨(dú)針對(duì)每個(gè)應(yīng)用程序確定安全時(shí)間限制。學(xué)習(xí)過(guò)程監(jiān)測(cè)應(yīng)用程序的先前會(huì)話/連接持續(xù)時(shí)間,根據(jù)會(huì)話/連接持續(xù)時(shí)間生成會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù),并將會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)存儲(chǔ)在應(yīng)用程序安全簡(jiǎn)檔數(shù)據(jù)庫(kù)154中的應(yīng)用程序安全簡(jiǎn)檔中。然后,可以根據(jù)應(yīng)用程序的應(yīng)用程序安全簡(jiǎn)檔中的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)確定應(yīng)用程序的會(huì)話/連接的安全時(shí)間限制,這得到針對(duì)每個(gè)應(yīng)用程序150最優(yōu)地制定的安全時(shí)間限制。在另一實(shí)施方式中,被入侵的會(huì)話時(shí)間限制可以被延長(zhǎng)以用于進(jìn)一步機(jī)器學(xué)習(xí),這取決于終端用戶的風(fēng)險(xiǎn)因素和配置。
網(wǎng)絡(luò)110表示客戶端105和路由器115之間的通信路徑。網(wǎng)絡(luò)110可以包括有線網(wǎng)絡(luò)、無(wú)線網(wǎng)絡(luò)或有線網(wǎng)絡(luò)和無(wú)線網(wǎng)絡(luò)的組合。路由器110是在網(wǎng)絡(luò)110和防火墻120之間路由數(shù)據(jù)包的網(wǎng)絡(luò)設(shè)備。防火墻120可以過(guò)濾數(shù)據(jù)流量(traffic),并且如果某些數(shù)據(jù)包不滿足防火墻規(guī)則,則阻止這些數(shù)據(jù)包。負(fù)載均衡器125跨大量服務(wù)器130分發(fā)應(yīng)用業(yè)務(wù)。
在一個(gè)實(shí)施方式中,會(huì)話/連接管理器模型152可以被實(shí)現(xiàn)為軟件指令、硬件邏輯或軟件和硬件的組合。在一個(gè)實(shí)施方式中,會(huì)話/連接管理器模塊152可以位于系統(tǒng)的其他地方,例如位于路由器115、防火墻120、負(fù)載均衡器125或后端服務(wù)器135中。在其他實(shí)施方式中,會(huì)話/連接管理器模塊152的功能可以跨若干計(jì)算設(shè)備分布。
現(xiàn)在轉(zhuǎn)到圖2,圖2示出了根據(jù)實(shí)施方式的被劃分為不同安全層的應(yīng)用程序會(huì)話或連接。圖2的會(huì)話/連接被分為四個(gè)安全層:安全層a202、安全層b204、安全層c206和安全層d208。每個(gè)安全層表示隨著會(huì)話/連接的長(zhǎng)度增加而施加至?xí)?連接的更高級(jí)別的安全性。每個(gè)連續(xù)的安全層由應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間達(dá)到不同的安全時(shí)間限制觸發(fā)。每個(gè)安全層包括在其期間執(zhí)行特定安全動(dòng)作的若干安全階段(即安全子層)。一般而言,會(huì)話/連接的狀態(tài)具有不同的階段,并且隨著時(shí)間的推移,會(huì)話/連接的增加的安全性增加并且不同的規(guī)則和安全動(dòng)作施加。
安全層a202長(zhǎng)達(dá)9秒。在安全層a202期間,最少數(shù)量的安全動(dòng)作(例如,沒(méi)有安全動(dòng)作或幾乎沒(méi)有安全動(dòng)作)被施加至?xí)?連接。在安全層a202期間通常不需要安全動(dòng)作,原因是大多數(shù)正常的應(yīng)用程序會(huì)話/連接預(yù)計(jì)在安全層a202結(jié)束之前終止。
一旦會(huì)話/連接達(dá)到安全層a的9秒的時(shí)間限制,則安全級(jí)別從安全層a202提升到安全層b204。安全層b204長(zhǎng)達(dá)9秒,并且在安全層b204期間,基本的安全動(dòng)作被施加至應(yīng)用程序會(huì)話/連接。例如,在安全層b的階段4期間,可以查找客戶端設(shè)備105的ip地址,以確定地址是否是可疑地址。如果ip地址來(lái)自某些國(guó)家或如果ip地址是代理服務(wù)器或預(yù)定因素分析得到ip被標(biāo)記為可疑,則該ip地址可能是可疑的。如果ip地址是可疑的,則安全級(jí)別可以跳過(guò)安全階段5和安全階段6中的任何安全動(dòng)作而立即升級(jí)到安全層c206。
作為另一示例,在安全層b的階段5期間,可以激活蜜罐安全傳感器。蜜罐安全傳感器附接到包含假數(shù)據(jù)而不是真實(shí)數(shù)據(jù)的文件夾。具有假數(shù)據(jù)的文件夾可以具有附接到其上的安全傳感器,安全傳感器在文件夾中的文件被訪問(wèn)或打開(kāi)文件夾時(shí)生成安全警報(bào)。例如,目錄結(jié)構(gòu)可以包括文件夾“/home/user1/”“/home/user2/”“/home/user3/”。真實(shí)數(shù)據(jù)僅存儲(chǔ)在/home/user3/文件夾中,而不存儲(chǔ)在/home/user1/或/home/user2/目錄中。訪問(wèn)目錄樹(shù)的黑客不知道哪個(gè)目錄包含真實(shí)數(shù)據(jù),哪些目錄包含假數(shù)據(jù)。因此,黑客可能會(huì)在會(huì)話/連接期間打開(kāi)蜜罐文件夾,并觸發(fā)蜜罐安全傳感器。
一旦會(huì)話/連接達(dá)到安全層b204的9秒的時(shí)間限制(即,從會(huì)話/連接開(kāi)始18秒的時(shí)間限制),則安全級(jí)別從安全層b204提升到安全層c206。安全層c206長(zhǎng)達(dá)9秒,并且在安全層c206期間將中級(jí)安全動(dòng)作施加至應(yīng)用程序會(huì)話/連接。例如,在安全層c206的階段7期間,應(yīng)用程序會(huì)話/連接可以與其他應(yīng)用程序會(huì)話隔離。稍后將參照?qǐng)D4和圖5說(shuō)明會(huì)話/連接隔離。
作為另一示例,在安全層c206的階段8期間,可以對(duì)應(yīng)用程序會(huì)話/連接的數(shù)據(jù)包執(zhí)行深度數(shù)據(jù)包檢查,以確定數(shù)據(jù)包是否是可疑的。如果確定數(shù)據(jù)包包括協(xié)議異常、sql注入或者是畸形數(shù)據(jù)包,則數(shù)據(jù)包可能是可疑的。
作為另一示例,在安全層c的階段9期間,可以向其他網(wǎng)絡(luò)設(shè)備(例如,路由器115、防火墻120或負(fù)載均衡器125)通知高風(fēng)險(xiǎn)會(huì)話。然后,其他網(wǎng)絡(luò)設(shè)備可以發(fā)起其自身針對(duì)高風(fēng)險(xiǎn)會(huì)話的數(shù)據(jù)分析,并將該信息提供回至?xí)?連接管理器模塊152。
一旦會(huì)話/連接達(dá)到安全層c206的9秒的時(shí)間限制(即,從會(huì)話/連接開(kāi)始的27秒的時(shí)間限制),則安全級(jí)別從安全層c206提升到安全層d208。安全層d208長(zhǎng)達(dá)9秒,并且在安全層d208期間高級(jí)的安全動(dòng)作被施加至應(yīng)用程序會(huì)話/連接。例如,在安全層c206的階段10期間,可以遏制應(yīng)用程序會(huì)話/連接,這會(huì)切斷對(duì)真實(shí)數(shù)據(jù)的訪問(wèn),只允許對(duì)假數(shù)據(jù)的訪問(wèn)。在安全層206的階段11期間,可以執(zhí)行發(fā)出警報(bào)、跟蹤和記錄。發(fā)出警報(bào)涉及例如通過(guò)電子郵件或sms文本向網(wǎng)絡(luò)管理員通知潛在的被入侵的會(huì)話。跟蹤涉及跟蹤應(yīng)用程序會(huì)話期間執(zhí)行的動(dòng)作流,例如在應(yīng)用程序會(huì)話期間訪問(wèn)文件目錄的順序。記錄涉及存儲(chǔ)跟蹤期間捕獲的數(shù)據(jù),供以后由第三方工具進(jìn)行離線分析以用于進(jìn)一步調(diào)查。會(huì)話/連接也可以在階段12結(jié)束時(shí)終止。
在圖2中,安全層和階段都被示出為具有相同的持續(xù)時(shí)間。在其他實(shí)施方式中,安全層和階段可具有不同的持續(xù)時(shí)間。在圖2中示出了對(duì)于一些安全階段的僅一些安全動(dòng)作,但是現(xiàn)在在圖2中示出的其他安全動(dòng)作也可以在其他安全階段期間執(zhí)行。此外,與圖2所示的相比,安全動(dòng)作可以以不同的順序和在不同的安全階段期間來(lái)施加。
另外,根據(jù)時(shí)間將安全性分為安全層并不一定防止會(huì)話/連接管理器模塊152一直以高安全性運(yùn)行。可以在不同的安全層202、204、206和208期間簡(jiǎn)單地施加不同組的安全規(guī)則。這防止誤報(bào),同時(shí)還允許計(jì)算資源集中于被入侵的會(huì)話/連接(其通常比非入侵會(huì)話/連接持續(xù)更長(zhǎng))。例如,安全層b204還可以包括應(yīng)用深度數(shù)據(jù)包檢查的一組規(guī)則,但是僅當(dāng)ip查找指示ip是可疑ip時(shí)才如此。
圖3是根據(jù)實(shí)施方式的劃分成不同安全層的不同應(yīng)用程序的應(yīng)用程序會(huì)話/連接的示圖。安全層的長(zhǎng)度根據(jù)應(yīng)用程序的類型而變化。對(duì)于信用卡處理應(yīng)用程序150a,安全層可以長(zhǎng)達(dá)9秒,并且每個(gè)安全階段長(zhǎng)達(dá)3秒。對(duì)于網(wǎng)絡(luò)應(yīng)用程序150b,安全層可以長(zhǎng)達(dá)90秒,并且每個(gè)安全階段長(zhǎng)達(dá)30秒。對(duì)于網(wǎng)上銀行應(yīng)用程序150c,安全層可以長(zhǎng)達(dá)9分鐘,并且每個(gè)安全階段長(zhǎng)達(dá)3分鐘。
參考信用卡示例,正常運(yùn)行的信用卡處理應(yīng)用程序150a通常將在5-10秒內(nèi)處理交易,并通過(guò)5-10秒給予被批準(zhǔn)或被拒絕的信用答案。本公開(kāi)的實(shí)施方式剖析了平均信用卡交易的應(yīng)用程序150a,并且根據(jù)平均信用卡交易時(shí)間計(jì)算出系統(tǒng)的基于時(shí)間的會(huì)話/連接時(shí)間限制。
無(wú)論應(yīng)用程序如何,在安全層中執(zhí)行的安全動(dòng)作可以跨應(yīng)用程序相同。例如,對(duì)于所有三個(gè)應(yīng)用程序,可以在安全層b204期間進(jìn)行ip查找。
圖4是示出根據(jù)實(shí)施方式的應(yīng)用程序會(huì)話的隔離的示圖。圖5是示出根據(jù)另一實(shí)施方式的應(yīng)用程序會(huì)話的隔離的示圖。圖4和圖5都示出了來(lái)自圖2的階段7的會(huì)話/連接隔離安全動(dòng)作。
圖4的會(huì)話/連接隔離通過(guò)在原始服務(wù)器上維護(hù)高風(fēng)險(xiǎn)會(huì)話/連接并且允許與服務(wù)器130a建立的其他會(huì)話/連接完成同時(shí)防止與該服務(wù)器130a的應(yīng)用程序150建立任何新的會(huì)話/連接來(lái)進(jìn)行。最初,存在與應(yīng)用程序150建立的六個(gè)會(huì)話s1-s6,以及對(duì)應(yīng)的連接c1-c6。然后確定會(huì)話s3已經(jīng)打開(kāi)了異常長(zhǎng)的時(shí)間段,并且應(yīng)該被隔離。為了隔離會(huì)話s3,允許會(huì)話s1、s2、s4、s5和s6完成。然而,不允許與服務(wù)器130a建立新的會(huì)話。最終,會(huì)話s3是與服務(wù)器130a的應(yīng)用程序150建立的唯一會(huì)話,從而使會(huì)話s3和連接c3隔離。
可替選地,為了隔離高風(fēng)險(xiǎn)會(huì)話s3,可以將其他會(huì)話(s1、s2、s4、s5、s6)從前端服務(wù)器130a移動(dòng)到另一前端服務(wù)器130b,以防止數(shù)據(jù)被較高風(fēng)險(xiǎn)會(huì)話s3或連接危及。較高風(fēng)險(xiǎn)會(huì)話時(shí)間超出通常允許的時(shí)間,并對(duì)會(huì)話采取進(jìn)一步的安全動(dòng)作:對(duì)其進(jìn)行分析處理,記錄數(shù)據(jù)包,啟動(dòng)更深入的監(jiān)測(cè),連接/會(huì)話以完整的源數(shù)據(jù)終止以跟蹤和追溯已經(jīng)發(fā)生或正在發(fā)生的情況。動(dòng)態(tài)訪問(wèn)控制列表(acl)被放置在適當(dāng)位置以用于阻止高風(fēng)險(xiǎn)會(huì)話s3執(zhí)行任何類型的廣泛搜索、掃描或下載較大的數(shù)據(jù)集。與數(shù)據(jù)庫(kù)140的連接也可以根據(jù)會(huì)話的風(fēng)險(xiǎn)因素而被全部去除或限制。還可以記錄與會(huì)話s3相關(guān)聯(lián)的ip地址,并且客戶端105可以被強(qiáng)制重新連接。第二次建立會(huì)話s3,會(huì)話/連接管理器模塊152處于完全記錄模式,以記錄黑客會(huì)話s3的活動(dòng)。黑客會(huì)話s3也可以被操縱以顯示虛假的數(shù)據(jù),以便在黑客實(shí)際沒(méi)有找到數(shù)據(jù)時(shí)欺騙黑客陷入以為他已經(jīng)找到了數(shù)據(jù)。后端數(shù)據(jù)庫(kù)140也可以是真實(shí)的或被假數(shù)據(jù)庫(kù)替代。
圖5的會(huì)話/連接隔離通過(guò)在服務(wù)器之間移動(dòng)會(huì)話/連接來(lái)進(jìn)行。最初,存在與前端服務(wù)器a130a上的應(yīng)用程序150建立的六個(gè)會(huì)話s1-s6和對(duì)應(yīng)的連接c1-c6。然后確定會(huì)話s3已經(jīng)打開(kāi)了異常長(zhǎng)的時(shí)間段并且應(yīng)該被隔離。為了隔離會(huì)話s3,將會(huì)話s3和連接c3從前端服務(wù)器a130a移動(dòng)到不同的前端服務(wù)器b130b。剩余的會(huì)話s1、s2、s4、s5和s6以及連接c1、c2、c4、c5和c6不受影響,并保留在前端服務(wù)器130a上。
如圖5所示,根據(jù)會(huì)話的時(shí)間,會(huì)話s3和連接c3的狀態(tài)可以通過(guò)進(jìn)行會(huì)話跳(sessionhop)或鏡像來(lái)移動(dòng)到另一服務(wù)器b130b。上游設(shè)備(例如,路由器115、防火墻120、負(fù)載均衡器125)也被通知移動(dòng)。這考慮到完全會(huì)話/連接遷移而沒(méi)有斷開(kāi)用戶會(huì)話/連接或者用戶檢測(cè)完全狀態(tài)移動(dòng)發(fā)生。如果在這種情況下黑客已經(jīng)連接到前端服務(wù)器130a并且上傳了遠(yuǎn)程腳本來(lái)危及服務(wù)器130a,則會(huì)話/連接跳將使改變后的應(yīng)用程序位(applicationbit)保留在先前的服務(wù)器130a上,并且黑客會(huì)話/連接將或會(huì)被防止運(yùn)作。會(huì)話/連接跳或故障轉(zhuǎn)移可以開(kāi)始基于跳生成警報(bào),并且還具有多級(jí)狀態(tài)改變。
另外,前端服務(wù)器b130b可以是專用安全服務(wù)器。專用安全服務(wù)器包括實(shí)時(shí)記錄每個(gè)會(huì)話/連接數(shù)據(jù)包的能力,并且使得能夠回放數(shù)據(jù)包以用于分析黑客如何進(jìn)入系統(tǒng),如上所述。
圖6是根據(jù)實(shí)施方式的來(lái)自圖1的會(huì)話/連接管理器模塊152的框圖。會(huì)話/連接管理器模塊152包括會(huì)話/連接監(jiān)測(cè)模塊605、應(yīng)用程序剖析器模塊610、安全級(jí)別提升模塊615、安全動(dòng)作模塊620和時(shí)間限制確定模塊625。在一個(gè)實(shí)施方式中,每個(gè)模塊被實(shí)現(xiàn)為存儲(chǔ)在計(jì)算機(jī)可讀介質(zhì)上的軟件指令。
會(huì)話/連接監(jiān)測(cè)模塊605監(jiān)測(cè)應(yīng)用程序150或網(wǎng)絡(luò)業(yè)務(wù),或者檢測(cè)何時(shí)在任何客戶端105和任何應(yīng)用程序150之間建立新的應(yīng)用程序會(huì)話/連接。一旦檢測(cè)到新的應(yīng)用程序會(huì)話/連接,則會(huì)話/連接監(jiān)測(cè)模塊605保持指示會(huì)話持續(xù)時(shí)間的會(huì)話/連接的會(huì)話/連接計(jì)數(shù)器。為每個(gè)會(huì)話/連接保持單獨(dú)的會(huì)話/連接計(jì)數(shù)器,以便可以單獨(dú)地跟蹤會(huì)話/連接的持續(xù)時(shí)間。在任何給定時(shí)間,會(huì)話/連接監(jiān)測(cè)模塊605可以監(jiān)測(cè)多個(gè)應(yīng)用程序150的多個(gè)會(huì)話/連接。會(huì)話/連接監(jiān)測(cè)模塊605還可以識(shí)別針對(duì)其建立應(yīng)用程序會(huì)話/連接的應(yīng)用程序150的類型。
應(yīng)用程序剖析器模塊610實(shí)現(xiàn)學(xué)習(xí)過(guò)程以捕獲會(huì)話/連接的持續(xù)時(shí)間并且為應(yīng)用程序安全簡(jiǎn)檔154生成會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)。在一個(gè)實(shí)施方式中,應(yīng)用程序剖析器模塊610捕獲應(yīng)用程序150的會(huì)話/連接的會(huì)話/連接持續(xù)時(shí)間。處理會(huì)話/連接持續(xù)時(shí)間以生成應(yīng)用程序150的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)。會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)的示例包括:(1)應(yīng)用程序會(huì)話/連接的最短觀測(cè)持續(xù)時(shí)間,(2)應(yīng)用程序會(huì)話/連接的最高觀測(cè)持續(xù)時(shí)間,(3)應(yīng)用程序會(huì)話/連接的平均觀測(cè)持續(xù)時(shí)間,(4)應(yīng)用程序會(huì)話/連接的實(shí)際持續(xù)時(shí)間,以及任何其他相關(guān)持續(xù)時(shí)間數(shù)據(jù)。然后將會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)存儲(chǔ)到應(yīng)用程序150的應(yīng)用程序安全簡(jiǎn)檔中。為不同的應(yīng)用程序150重復(fù)該過(guò)程,以便每個(gè)應(yīng)用程序150都自己獨(dú)特的應(yīng)用程序安全簡(jiǎn)檔。
應(yīng)用程序剖析器模塊610還可以捕獲指示會(huì)話/連接是否被認(rèn)為被入侵的入侵狀態(tài)信息,其被存儲(chǔ)在與會(huì)話/連接持續(xù)時(shí)間相關(guān)聯(lián)的應(yīng)用程序安全簡(jiǎn)檔中。例如,如果黑客已經(jīng)觸發(fā)了系統(tǒng)內(nèi)的蜜罐或其他安全傳感器已經(jīng)被觸發(fā),則認(rèn)為會(huì)話/連接被入侵。
時(shí)間限制確定模塊625訪問(wèn)應(yīng)用程序安全簡(jiǎn)檔中的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù),并使用該數(shù)據(jù)來(lái)確定將一個(gè)安全層與下一個(gè)安全層分開(kāi)的安全時(shí)間限制。應(yīng)用程序的安全時(shí)間限制僅從該應(yīng)用程序的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)導(dǎo)出。因此,應(yīng)用程序a150a的安全時(shí)間限制、應(yīng)用程序b150b的安全時(shí)間限制以及應(yīng)用程序c150c的安全時(shí)間限制將均不同。
可以使用預(yù)先確定的數(shù)學(xué)公式從先前捕獲的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)導(dǎo)出安全時(shí)間限制。從會(huì)話持續(xù)時(shí)間數(shù)據(jù)計(jì)算會(huì)話的安全時(shí)間限制,并從連接持續(xù)時(shí)間數(shù)據(jù)計(jì)算連接的安全時(shí)間限制。例如,應(yīng)用程序的會(huì)話的安全時(shí)間限制可以被計(jì)算為應(yīng)用程序會(huì)話的平均持續(xù)時(shí)間的倍數(shù)(例如,2倍、6倍、8倍、10倍)。作為另一示例,應(yīng)用程序的會(huì)話的時(shí)間限制可以被計(jì)算為應(yīng)用程序會(huì)話的最長(zhǎng)觀測(cè)會(huì)話持續(xù)時(shí)間的倍數(shù)(例如,1倍、2倍、3倍、4倍)。因此,每種類型的應(yīng)用程序150將具有最好地反映該特定應(yīng)用程序的會(huì)話/連接特性的安全時(shí)間限制。
時(shí)間限制確定模塊620還可以確定使用類似過(guò)程將一個(gè)安全級(jí)與另一安全級(jí)分隔的時(shí)間限制。黑客狀態(tài)信息還可以用于了解正常會(huì)話/持續(xù)時(shí)間的持續(xù)時(shí)間如何不同于被入侵的會(huì)話/連接,這繼而用于安全時(shí)間限制的設(shè)置。
安全級(jí)別提升模塊210控制從一個(gè)安全層到下一個(gè)安全層的提升。對(duì)于給定會(huì)話,安全級(jí)別提升模塊210將會(huì)話/連接持續(xù)時(shí)間與為該會(huì)話建立的時(shí)間限制進(jìn)行比較。一旦比較指示會(huì)話/連接持續(xù)時(shí)間已經(jīng)達(dá)到相應(yīng)的時(shí)間限制,則安全級(jí)別提升模塊210將安全層提升到更高的安全層。
在一個(gè)實(shí)施方式中,應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間是從應(yīng)用程序會(huì)話的開(kāi)始起測(cè)量的總體持續(xù)時(shí)間。每個(gè)安全層的時(shí)間限制也從應(yīng)用程序會(huì)話的開(kāi)始起進(jìn)行測(cè)量。在另一實(shí)施方式中,應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間可以是表示單個(gè)安全層內(nèi)的應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間的部分持續(xù)時(shí)間。時(shí)間限制也可以是各個(gè)安全層的最大時(shí)間限制。
安全動(dòng)作模塊620執(zhí)行或發(fā)起各種安全動(dòng)作,以確保前端服務(wù)器130、后端服務(wù)器135和數(shù)據(jù)庫(kù)140免受惡意會(huì)話入侵。如前所述,安全動(dòng)作的示例是ip查找、激活蜜罐傳感器、會(huì)話/連接隔離、深度數(shù)據(jù)包檢查、遏制會(huì)話、安全警報(bào)、會(huì)話/連接跟蹤和會(huì)話/連接記錄。在每個(gè)安全層中不同的安全動(dòng)作被執(zhí)行,并根據(jù)會(huì)話/連接的持續(xù)時(shí)間達(dá)到時(shí)間限制被觸發(fā)。在一些實(shí)施方式中,可以對(duì)加密的會(huì)話數(shù)據(jù)執(zhí)行安全動(dòng)作中的一個(gè)或更多個(gè)安全動(dòng)作。
在一個(gè)實(shí)施方式中,安全動(dòng)作模塊620可以通過(guò)向上游或下游設(shè)備發(fā)送安全發(fā)起請(qǐng)求來(lái)發(fā)起安全動(dòng)作,然后使其他設(shè)備執(zhí)行安全動(dòng)作。例如,路由器115、防火墻120、負(fù)載均衡器120或后端服務(wù)器135可以包括執(zhí)行由安全動(dòng)作模塊620激活的安全動(dòng)作的功能。安全動(dòng)作模塊620還可以從其他設(shè)備接收具有安全動(dòng)作的結(jié)果的通信。
圖7是根據(jù)實(shí)施方式的用于剖析應(yīng)用程序會(huì)話的方法的流程圖。該流程圖可以表示會(huì)話/連接管理器模塊152的操作。在一些實(shí)施方式中,流程圖的步驟可以以不同于圖中所示的順序執(zhí)行。
在步驟702中,檢測(cè)應(yīng)用程序的應(yīng)用程序會(huì)話/連接。在步驟704中,監(jiān)測(cè)和捕獲會(huì)話/連接的持續(xù)時(shí)間。在步驟706中,從捕獲到的會(huì)話/連接持續(xù)時(shí)間生成會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)。會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)被存儲(chǔ)到與應(yīng)用程序相關(guān)聯(lián)的應(yīng)用程序安全簡(jiǎn)檔中。在步驟708中,一旦足夠的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)可用于先前建立的會(huì)話/連接,則訪問(wèn)安全簡(jiǎn)檔,并且從安全簡(jiǎn)檔中的會(huì)話/連接持續(xù)時(shí)間數(shù)據(jù)確定安全時(shí)間限制。安全時(shí)間限制指示一個(gè)安全層與另一個(gè)安全層之間的時(shí)間邊界。
對(duì)于不同的應(yīng)用程序(例如,150a、150b、150c)重復(fù)數(shù)次圖7中的過(guò)程,以生成大量的應(yīng)用程序安全簡(jiǎn)檔和針對(duì)每個(gè)應(yīng)用程序的不同的安全時(shí)間限制,上述安全時(shí)間限制將應(yīng)用程序的安全劃分為表示增加安全風(fēng)險(xiǎn)級(jí)別的不同的安全層。
圖8是根據(jù)實(shí)施方式的用于會(huì)話/連接劃分安全性的方法的流程圖。該流程圖可以表示通常發(fā)生在圖7的流程圖之后的會(huì)話/連接管理器模塊152的操作。在一些實(shí)施方式中,流程圖的步驟可以以不同于圖中所示的順序執(zhí)行。
在步驟805中,檢測(cè)在客戶端105和應(yīng)用程序150之間建立的應(yīng)用程序會(huì)話/連接。在步驟810中,識(shí)別與應(yīng)用程序會(huì)話/連接相對(duì)應(yīng)的應(yīng)用程序150。在步驟825中,監(jiān)測(cè)應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間。在步驟830中,隨著應(yīng)用程序會(huì)話/連接的持續(xù)時(shí)間達(dá)到針對(duì)該應(yīng)用程序確定的安全時(shí)間限制,應(yīng)用程序會(huì)話/連接的安全級(jí)別隨時(shí)間而增加。步驟830可以劃分成若干子步驟840-870。
在步驟840中,最初將安全性設(shè)置為最低安全層,例如安全層a202。在最低安全層a202期間,執(zhí)行由最低的一組安全規(guī)則定義的最小數(shù)量的安全動(dòng)作。
在步驟845中,將會(huì)話/連接持續(xù)時(shí)間與初始安全時(shí)間限制進(jìn)行比較。在步驟850中,如果會(huì)話/連接持續(xù)時(shí)間已經(jīng)達(dá)到初始安全時(shí)間限制,則安全性增加到安全層b204。在安全層b204期間,由一組基本安全規(guī)則定義的基本安全動(dòng)作被觸發(fā)并被施加至應(yīng)用程序會(huì)話/連接。通過(guò)針對(duì)應(yīng)用程序會(huì)話/連接執(zhí)行基本安全動(dòng)作來(lái)施加基本安全動(dòng)作。
在步驟855中,將會(huì)話/連接持續(xù)時(shí)間與基本安全時(shí)間限制進(jìn)行比較。在步驟860中,如果會(huì)話/連接持續(xù)時(shí)間已經(jīng)達(dá)到基本安全時(shí)間限制,則安全性增加到安全層c206。在安全層c206期間,由一組中級(jí)安全規(guī)則定義的中級(jí)安全動(dòng)作被觸發(fā)并被施加至應(yīng)用程序會(huì)話/連接。通過(guò)針對(duì)應(yīng)用程序會(huì)話/連接執(zhí)行基本的中級(jí)安全動(dòng)作來(lái)施加中級(jí)安全動(dòng)作。
在步驟865中,將會(huì)話/連接持續(xù)時(shí)間與中級(jí)安全時(shí)間限制進(jìn)行比較。在步驟870中,如果會(huì)話/連接持續(xù)時(shí)間已經(jīng)達(dá)到中級(jí)安全時(shí)間限制,則安全性增加到安全層d208。在安全層d208期間,由一組高級(jí)安全規(guī)則定義的高級(jí)安全動(dòng)作被觸發(fā)并被施加至應(yīng)用程序會(huì)話/連接。通過(guò)針對(duì)應(yīng)用程序會(huì)話/連接執(zhí)行高級(jí)安全動(dòng)作來(lái)施加高級(jí)安全動(dòng)作。
可以對(duì)客戶端105中的任何客戶端和應(yīng)用程序150a、150b或150c中的任何應(yīng)用程序之間建立的每個(gè)應(yīng)用程序會(huì)話/連接重復(fù)圖8所示的過(guò)程,由此提供針對(duì)每個(gè)應(yīng)用程序150a、150b或150c制定的防御黑客的基于時(shí)間的安全性。
本公開(kāi)的實(shí)施方式可以具有以下優(yōu)點(diǎn)。剖析應(yīng)用程序會(huì)話/連接可以實(shí)現(xiàn)更多的智能來(lái)進(jìn)行更好的安全決策。將應(yīng)用程序會(huì)話/連接關(guān)聯(lián)到安全層可以允許基于有更高啟迪的安全和決策制定。加強(qiáng)相關(guān)數(shù)據(jù)的分析允許在問(wèn)題轉(zhuǎn)變?yōu)槿W(wǎng)絡(luò)危害之前及時(shí)做出反應(yīng)和遏制。對(duì)用于與數(shù)據(jù)中心中的所有設(shè)備進(jìn)行安全集成的應(yīng)用程序進(jìn)行剖析改進(jìn)了對(duì)網(wǎng)絡(luò)中的黑客控制進(jìn)行遏制。以時(shí)間分段的會(huì)話/連接開(kāi)啟新的安全性分析層次。在黑客不得不反復(fù)入侵以訪問(wèn)平臺(tái)時(shí)可以進(jìn)行更深入的分析。系統(tǒng)被入侵地越多,傳感器獲取應(yīng)用程序、os或協(xié)議中的可以修補(bǔ)的漏洞的機(jī)會(huì)就越大。
圖9示出了根據(jù)一個(gè)實(shí)施方式的諸如防火墻115、路由器120、負(fù)載均衡器125、客戶端設(shè)備105、前端服務(wù)器130或后端服務(wù)器135的計(jì)算設(shè)備的硬件架構(gòu)。在一個(gè)實(shí)施方式中,計(jì)算設(shè)備是包括組件(諸如通過(guò)總線901彼此交換數(shù)據(jù)和控制信號(hào)的處理器902、存儲(chǔ)器903、存儲(chǔ)模塊904、輸入模塊(例如,鍵盤(pán)、鼠標(biāo)等)906、顯示模塊907和通信接口905)的計(jì)算機(jī)。存儲(chǔ)模塊904被實(shí)現(xiàn)為一個(gè)或更多個(gè)非暫態(tài)計(jì)算機(jī)可讀存儲(chǔ)介質(zhì)(例如,硬盤(pán)或固態(tài)驅(qū)動(dòng)器),并且存儲(chǔ)軟件指令940(例如模塊),軟件指令940由處理器902結(jié)合存儲(chǔ)器903執(zhí)行以實(shí)現(xiàn)本文中所述的安全特征。軟件指令的示例可以是軟件代碼或程序代碼。操作系統(tǒng)軟件和其他應(yīng)用軟件也可以存儲(chǔ)在存儲(chǔ)模塊904中以在處理器902上運(yùn)行。
在閱讀本公開(kāi)后,本領(lǐng)域技術(shù)人員可以理解用于會(huì)話/連接劃分安全性的另外的替代設(shè)計(jì)。因此,雖然已經(jīng)示出和描述了本公開(kāi)的特定實(shí)施方式和應(yīng)用,但是應(yīng)當(dāng)理解,本公開(kāi)不限于本文公開(kāi)的精確構(gòu)造和組件。在不脫離如在所附權(quán)利要求書(shū)中所限定的本公開(kāi)的精神和范圍的情況下,可以在本文中的本公開(kāi)的方法和裝置的布置、操作和細(xì)節(jié)上作出可能對(duì)本領(lǐng)域技術(shù)人員明顯的各種修改、改變和變型。