基于策略的網(wǎng)絡安全的制作方法
【技術(shù)領(lǐng)域】
[0001]本公開涉及提供基于策略的網(wǎng)絡安全(policy-based network security)的系統(tǒng)和方法�。
【背景技術(shù)】
[0002]計算機和網(wǎng)絡安全通常將注意力集中于保護計算機或者計算機系統(tǒng)免受攻擊。而新型的攻擊會被定期地開發(fā)出來�。公司可能依賴于其它關(guān)于如何對特定威脅做出響應的信息而不是試圖發(fā)展對每個新威脅都做出響應。例如����,公司可以使用提供有關(guān)如何對新威脅做出響應的最新信息或者提供對舊威脅做出的新的響應的安全保障公司。如另一實例�,公司可以參考安全研究員的有關(guān)如何對威脅做出響應的信息��。對于特定的公司或其它的實體����,一些針對威脅而提出的響應可能被認為是不恰當?shù)摹@?�,具有攻擊性的安全研究員可能會提出一種包括反擊威脅來源的響應技術(shù)����。一些公司可能具有通過這樣的動作而違法的策略。
【發(fā)明內(nèi)容】
[0003]在【具體實施方式】中�,一種系統(tǒng)包括處理器和處理器可訪問的存儲器。該存儲器可存儲由處理器執(zhí)行的指令以執(zhí)行操作�,包括:響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案。該操作進一步包括基于策略過濾所述一組響應動作以生成一組允許的響應動作并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作����。
[0004]在另一個【具體實施方式】中��,一種方法包括:響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案�。該方法還包括基于策略對該一組響應動作進行過濾以生成一組允許的響應動作并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作���。
[0005]在另一個【具體實施方式】中�,提供了一種計算機可讀存儲設備���,存儲可通過處理器執(zhí)行的指令以使處理器執(zhí)行包括以下各項的操作:響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案�����。該操作還包括基于策略過濾該一組響應動作以生成一組允許的響應動作并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作�。
[0006]一種方法��,包括:通過網(wǎng)絡安全系統(tǒng)響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案�;通過網(wǎng)絡安全系統(tǒng)基于策略對該一組響應動作進行過濾以生成一組允許的響應動作;并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作��。該方法進一步包括:通過網(wǎng)絡安全系統(tǒng)基于動作從屬關(guān)系和先前動作對該一組允許的響應動作進行評估以確定動作計劃(act1n plan)�����,其中,動作計劃識別下一組響應動作����,其中,下一組響應動作與該一組允許的響應動作中的一個或多個響應動作相對應�����,為此已經(jīng)執(zhí)行了每一個相關(guān)聯(lián)的先決動作(prerequisite act1n)�,并且其中,一個或多個執(zhí)行的響應動作對應于下一組響應動作����。
[0007]其中監(jiān)測網(wǎng)絡的活動的方法包括:通過網(wǎng)絡安全系統(tǒng)分析描述網(wǎng)絡活動的活動數(shù)據(jù)��;通過網(wǎng)絡安全系統(tǒng)基于活動數(shù)據(jù)檢測網(wǎng)絡活動中的異常�����;通過網(wǎng)絡安全系統(tǒng)分析該異常以確定該異常是否表示威脅�����;并且當該異常表示威脅時��,通過網(wǎng)絡安全系統(tǒng)生成指示檢測到威脅的威脅信息,其中�,基于威脅信息選擇威脅緩解方案。該方法進一步包括在選擇威脅緩解方案之前確定威脅的來源���,其中����,進一步基于該來源選擇威脅緩解方案��。
[0008]在該方法中���,該策略表示基于來源的允許響應動作����、基于來源的不允許的響應動作或者這兩者���。在所述方法中�����,該威脅信息包括與該異常相對應的活動數(shù)據(jù)���、描述異常的信息���、描述威脅的信息、描述威脅的來源的信息��、描述威脅的目標的信息的一部分或者它們的組合��。在該方法中���,該一組響應動作包括至少一個主動的威脅響應動作或者至少一個被動的威脅響應動作���。該方法進一步包括在執(zhí)行一個或多個響應動作期間或者在執(zhí)行一個或多個響應動作之后確定該威脅是否仍然存在;并且通過網(wǎng)絡安全系統(tǒng)響應于確定了該威脅仍然存在而基于動作從屬關(guān)系和先前動作來評估該一組允許的響應動作以確定動作計劃�����,其中���,動作計劃識別下一組響應動作,其中�,該下一組響應動作與該一組允許的響應動作中已執(zhí)行了每個先決動作的一個或多個響應動作相對應;并且執(zhí)行下一組響應動作��。
[0009]在該方法中��,選擇威脅緩解方案包括:訪問表示所識別出的威脅的威脅響應數(shù)據(jù)以及表示用于每個所識別出的威脅緩解方案;并且確定該威脅是否與威脅響應數(shù)據(jù)中的所識別出的威脅相匹配��,其中��,當該威脅與所識別出的威脅相匹配時����,則表示用于所識別出的威脅的特定威脅緩解方案被選定作為威脅緩解方案。在該方法中�,選擇威脅緩解方案進一步包括當所識別出的威脅與該威脅不匹配時,則會提示用戶指定威脅緩解方案�����。在該方法中���,該策略包括表示基于團體指令(corporate directive)�����、法律指令(legal directive)或者這兩者的允許的響應動作��、不允許的響應動作或者這兩者的邏輯語句(logicalstatement)�����。
[0010]一種計算系統(tǒng)包括處理器以及可訪問該處理器的存儲器����,存儲器存儲可通過處理器執(zhí)行的指令以執(zhí)行包括以下各項的操作:響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案;基于策略過濾一組響應動作以生成一組允許的響應動作����;并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作。
[0011]在該系統(tǒng)中�,該操作進一步包括基于動作從屬關(guān)系和先前動作評估該一組允許的響應動作以確定動作計劃,其中�,動作計劃識別下一組響應動作,其中�,該下一組響應動作對應于該一組允許的響應動作中已執(zhí)行了每一個相關(guān)的先決動作的一個或多個響應動作,并且其中����,所執(zhí)行的一個或多個響應動作對應于該下一組響應動作。
[0012]該系統(tǒng)進一步包括監(jiān)測網(wǎng)絡活動生成活動數(shù)據(jù)���;基于活動數(shù)據(jù)檢測網(wǎng)絡活動中的異常;分析異常以確定異常是否表示威脅�;并且當異常表示威脅時,生成表示檢測到的威脅的威脅信息�����,其中,基于威脅信息選擇威脅緩解方案����。在該系統(tǒng)中,該操作進一步包括確定威脅來源���,其中�����,進一步基于該來源選擇威脅緩解方案�。在該系統(tǒng)中�����,該策略包括表示基于團體指令���、法律指令或者團體指令和法律指令這兩者的允許的響應動作�����、不允許的響應動作或者允許的響應動作和不允許的響應動作這兩者的邏輯語句�����。
[0013]—種計算機可讀存儲設備��,存儲可通過處理器執(zhí)行的指令以使處理器執(zhí)行包括以下各項的操作:響應于檢測到表示威脅的網(wǎng)絡活動選擇與一組響應動作相對應的威脅緩解方案�����;將策略應用于該一組響應動作以生成一組允許的響應動作��;并且執(zhí)行該一組允許的響應動作中的一個或多個響應動作��。所述計算機可讀存儲設備�,其中,選擇威脅緩解方案包括訪問指示所識別出的威脅的威脅響應數(shù)據(jù)以及表示用于每個所識別的威脅的威脅緩解方案����;確定該威脅是否與威脅響應數(shù)據(jù)的所識別的威脅相匹配,其中���,如果該威脅與所識別的威脅相匹配����,則選擇與威脅響應數(shù)據(jù)中的所識別出的威脅相對應的特定威脅緩解方案�;并且如果所識別的威脅與該威脅不匹配,則提示用戶指定威脅緩解方案���。
[0014]在該計算機可讀存儲設備中��,該策略包括邏輯語句��,該邏輯語句表示至少一個禁止的響應動作并且應用包括從該一組響應動作中去除至少一個禁止的響應動作的策略�����。在該計算機可讀存儲設備中��,該策略包括邏輯語句����,該邏輯語句表示一個或多個所需的響應動作并且應用包括將一個或多個所需的響應動作添加到該一組響應動作的策略�����。
[0015]已經(jīng)描述的特征���、功能以及優(yōu)點可以在各種實施方式中獨立地實現(xiàn)或者也可以結(jié)合在其它實施方式中�����,將參考以下說明和附圖公開更多細節(jié)��。
【附圖說明】
[0016]圖1是示出了包括網(wǎng)絡和網(wǎng)絡安全系統(tǒng)的系統(tǒng)的第一【具體實施方式】的示圖�;
[0017]圖2是提供網(wǎng)絡安全的方法的【具體實施方式】的流程圖;
[0018]圖3是異常和威脅檢測的方法的【具體實施方式】的流程圖��;
[0019]圖4是對威脅做出響應的方法的【具體實施方式】的流程圖�;
[0020]圖5是基于策略選擇響應動作的方法的【具體實施方式】的流程圖;
[0021]圖6是更新策略的方法的【具體實施方式】的流程圖���;
[0022]圖7是確定緩解布置(mitigat1n orchestrat1n)的方法的【具體實施方式】的流程圖���;以及
[0023]圖8是示出了網(wǎng)絡安全系統(tǒng)的計算系統(tǒng)的【具體實施方式】的框圖。
【具體實施方式】
[0024]下面將參考附圖描述本公開內(nèi)容的【具體實施方式】�����。在說明書中���,貫穿附圖�����,將通過共同的參考標號指代共同的部件���。
[0025]附圖以及以下說明示出了具體的示例性實施方式。應當認識到的是��,盡管本文中沒有明確描述或示出��,但本領(lǐng)域技術(shù)人員將能夠設計各種布置�����,該布置體現(xiàn)了本文中所描述的原理并且包括在這些描述之前的權(quán)利要求的范圍內(nèi)����。此外,本文描述的任何實例旨在幫助理解本公開內(nèi)容的原理��,并且旨在被解釋為沒有限制����。因此,本公開內(nèi)容不限于以下描述的【具體實施方式】或?qū)嵗?����,而是由?quán)利要求和它們的等同物來限定。
[0026]本文中所描述的實施方式能夠基于具體公司或者其它實體的一個策略或多個策略從最新的響應動作組(例如�����,最佳的可用的或者現(xiàn)有技術(shù))中選擇并執(zhí)行響應動作��。例如��,可以從諸如供應商��、研究員或其它網(wǎng)絡安全系統(tǒng)的各種來源通過網(wǎng)絡安全系統(tǒng)使用最新的響應動作���。因此�����,在沒有審查或者監(jiān)督的情況下����,可以基于具體公司或者其它實體的策略更新響應動作�。因此,響應動作可包括通過策略所禁止的某些行為����,諸如反擊行為�,或者可以將策略所需的某些行為排除在外�,諸如通知特定參與方。為了使通過網(wǎng)絡安全系統(tǒng)執(zhí)行的響應動作與策略相一致���,網(wǎng)絡安全系統(tǒng)可以選擇對應于或者包括一組響應動作的威脅緩解方案�。然后威脅緩解方案的響應動作可以(例如�����,在運行時)基于一個策略或多個策略進行過濾�����。例如����,禁止的響應動作可能從該一組響應動作中被去除并且所需的響應動作可以被添加至該一組響應動作中��。因此�,通過網(wǎng)絡安全系統(tǒng)執(zhí)行的響應動作可以與具體公司或者其它實體的一個策略或者多個策略相一致。
[0027]圖1示出了包括網(wǎng)絡102和網(wǎng)絡安全系統(tǒng)120的系統(tǒng)100的【具體實施方式】�����。網(wǎng)絡102可包括路由設備110,該路由設備能夠在耦接至網(wǎng)絡102的計算設備104-108之間通信�。例如,第一計算設備108可經(jīng)由網(wǎng)絡102將數(shù)據(jù)112發(fā)送到一個或多個其它計算設備10