用于强制执行动态网络安全策略的系统和方法技术方案

技术编号:22694023 阅读:60 留言:0更新日期:2019-11-30 06:30
本发明专利技术提供了一种用于强制执行动态网络安全策略的计算机实现的方法,该方法可以包括:(i)通过网络流量保护系统监测在网络片段上传输的网络分组;(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。本发明专利技术还公开了各种其他方法、系统和计算机可读介质。

System and method for enforcing dynamic network security policy

The invention provides a computer implementation method for enforcing a dynamic network security policy, the method can include: (I) monitoring the network packets transmitted on the network segment through the network traffic protection system; (II) detecting the suspicious transmission of at least one network packet associated with the endpoint computing device connected to the network segment through the network traffic protection system; (III) base Modify at least one network security policy for network segments in suspicious transmission of network packets; and (IV) enforce the modified network security policy on all endpoint computing devices connected to network segments through the network traffic protection system. The invention also discloses various other methods, systems and computer-readable media.

【技术实现步骤摘要】
【国外来华专利技术】用于强制执行动态网络安全策略的系统和方法
技术介绍
网络计算系统,特别是用于组织或企业的网络计算系统,通常需要严格的网络安全来防止恶意攻击在网络内扩散。例如,感染恶意软件并连接到可信网络的单个计算设备可能会对同一网络上的其他设备造成安全漏洞。传统地,可以使用网络管理器和各种软件为网络或网络片段提供安全监管。这些管理器可以监测在网络上的活动并通过控制进出端点设备的网络流量来强制执行安全策略。然而,网络管理器可能并不总是能够以及时的方式更新安全策略。例如,安全策略可能不会考虑到端点设备配置的突然改变或意外流量的出现。此外,在网络上的各个端点设备可能具有它们自己的可能与网络管理器的安全策略不兼容的特定安全要求或策略。此外,在组织内的不同网络片段可能需要不同策略,并且端点设备可能不符合这些不同策略中的每个。例如,财务部门的网络可能具有比客户服务部门的网络更严格的策略。员工的从客户服务网络移动到金融网络的端点设备可能突然不顺应于新的网络片段的策略。因此,本公开识别并解决了对用于强制执行动态网络安全策略的系统和方法的需要。
技术实现思路
如将在下文更详细地描述的,本公开描述了用于强制执行动态网络安全策略的各种系统和方法。在一个示例中,一种用于强制执行动态网络安全策略的计算机实现的方法可以包括:(i)通过网络流量保护系统监测在网络片段上传输的网络分组;(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。在一个实施方案中,端点计算设备可以包括运行软件的计算设备,该计算设备能够在连接到网络片段时与网络流量保护系统配对。在一些示例中,检测网络分组的可疑传输可以包括拦截网络分组。在这些示例中,检测网络分组的可疑传输还可以包括基于端点计算设备的预期网络流量分布确定网络分组的传输是可疑的。在一些实施方案中,修改用于网络片段的网络安全策略可以包括阻止端点计算设备和/或限制网络流量。附加地或另选地,修改网络安全策略可以包括将端点计算设备添加到设备黑名单和/或防止网络分组的可疑传输完成。在一个示例中,强制执行修改的网络安全策略可以包括将修改的网络安全策略推送到连接到网络片段的端点计算设备和/或确保网络流量遵循修改的网络安全策略。附加地或另选地,强制执行修改的网络安全策略可以包括限制连接到网络片段的非顺应端点计算设备。在一些实施方案中,该计算机实现的方法还可以包括将修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。在这些实施方案中,相关网络片段可以包括包含网络片段的网络片段群集内的第二网络片段。在一个示例中,该计算机实现的方法还可以包括:识别与网络分组的可疑传输相关的至少一个软件应用程序;从端点计算设备请求关于软件应用程序的附加信息;以及基于附加信息执行安全动作。在该示例中,安全动作可以包括:检测端点计算设备的用户篡改;检测软件应用程序的安装中的异常;确定软件应用程序可能是恶意的;请求软件应用程序的用户活动的日志;和/或限制端点计算设备。在一个实施方案中,一种用于实现上述方法的系统可以包括:(i)存储在存储器中的监测模块,该监测模块通过网络流量保护系统监测在网络片段上传输的网络分组;(ii)存储在存储器中的检测模块,该检测模块通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;(iii)存储在存储器中的修改模块,该修改模块基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)存储在存储器中的强制执行模块,该强制执行模块通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。另外,该系统可以包括至少一个处理器,该至少一个处理器执行监测模块、检测模块、修改模块和强制执行模块。在一些示例中,可将上述方法编码为非暂态计算机可读介质上的计算机可读指令。例如,一种计算机可读介质可以包括一个或多个计算机可执行指令,该一个或多个计算机可执行指令在由计算设备的至少一个处理器执行时,可以使计算设备:(i)通过网络流量保护系统监测在网络片段上传输的网络分组;(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。在一个示例中,一种用于强制执行动态网络安全策略的附加的计算机实现的方法可以包括:(i)通过网络安全代理检测由端点计算设备进行的连接到网络的尝试;(ii)通过网络安全代理尝试与管理网络的网络流量保护系统配对;(iii)基于与网络流量保护系统配对的尝试接收用于网络的网络安全策略集;(iv)修改用于端点计算设备的原始安全策略集以符合用于网络的接收的网络安全策略集;以及(v)完成连接到网络的尝试。在该示例中,该附加的计算机实现的方法还可以包括将安全功能卸载到配对的网络流量保护系统。在一些实施方案中,尝试与网络流量保护系统配对可以包括在网络安全代理与网络流量保护系统之间执行相互认证过程。在一个示例中,网络安全策略集可以包括用于端点计算设备的用户的用户特定的策略和/或用于网络的网络特定的策略。附加地或另选地,该网络安全策略集可以包括用于端点计算设备的默认策略。在一个实施方案中,修改原始安全策略集可以包括用接收的网络安全策略集替换原始安全策略集和/或将接收的网络安全策略集添加到原始安全策略集。附加地或另选地,修改原始安全策略集可以包括修改原始安全策略集的一部分以符合接收的网络安全策略集。在一些示例中,该附加的计算机实现的方法还可以包括从网络流量保护系统接收网络的至少一个位置属性。在这些示例中,网络的位置属性可以包括网络的物理位置和/或网络类型。在这些示例中,该附加的计算机实现的方法还可以包括基于网络的位置属性和与网络流量保护系统配对的尝试计算网络的可信度并基于网络的计算的可信度修改用于端点计算设备的至少一个安全策略。在一些实施方案中,该附加的计算机实现的方法还可以包括通过网络安全代理检测与网络的断开。在这些实施方案中,该附加的计算机实现的方法可以包括重新应用用于端点计算设备的原始安全策略集。在一个示例中,一种用于强制执行动态网络安全策略的附加的系统可以包括网络计算设备,该网络计算设备被配置为:(i)通过网络流量保护系统监测在网络片段上传输的网络分组,(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输,(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)通过网络流量保护系统对连接到网络片段的所有端点计算设备强制执行修改的网络安全策略。此外,端点计算设备可以被配置为:(i)通过网络安全代理检测由端点计算设备进行的本文档来自技高网...

【技术保护点】
1.一种用于强制执行动态网络安全策略的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的网络计算设备执行,所述方法包括:/n通过网络流量保护系统监测在网络片段上传输的网络分组;/n通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;/n基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;以及/n通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略。/n

【技术特征摘要】
【国外来华专利技术】20170322 US 15/4656361.一种用于强制执行动态网络安全策略的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的网络计算设备执行,所述方法包括:
通过网络流量保护系统监测在网络片段上传输的网络分组;
通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;
基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;以及
通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略。


2.根据权利要求1所述的方法,其中所述端点计算设备包括运行软件的计算设备,所述计算设备能够在连接到所述网络片段时与所述网络流量保护系统配对。


3.根据权利要求1所述方法,其中检测所述网络分组的所述可疑传输包括:
拦截所述网络分组;以及
基于所述端点计算设备的预期网络流量分布确定所述网络分组的所述传输是可疑的。


4.根据权利要求1所述的方法,其中修改用于所述网络片段的所述网络安全策略包括以下中的至少一者:
阻止所述端点计算设备;
限制网络流量;
将所述端点计算设备添加到设备黑名单;以及
防止所述网络分组的所述可疑传输完成。


5.根据权利要求1所述的方法,其中强制执行所修改的网络安全策略包括以下中的至少一者:
将所修改的网络安全策略推送到连接到所述网络片段的所述端点计算设备;
确保网络流量遵循所修改的网络安全策略;以及
限制连接到所述网络片段的非顺应端点计算设备。


6.根据权利要求1所述的方法,还包括将所修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。


7.根据权利要求6所述的方法,其中所述相关网络片段包括包含所述网络片段的网络片段群集内的第二网络片段。


8.根据权利要求1所述的方法,还包括:
识别与所述网络分组的所述可疑传输相关的至少一个软件应用程序;
从所述端点计算设备请求关于所述软件应用程序的附加信息;以及
基于所述附加信息执行安全动作。


9.根据权利要求8所述的方法,其中所述安全动作包括以下中的至少一者:
检测所述端点计算设备的用户篡改;
检测所述软件应用程序的安装中的异常;
确定所述软件应用程序可能是恶意的;
请求所述软件应用程序的用户活动的日志;以及
限制所述端点计算设备。


10.一种用于强制执行动态网络安全策略的系统,所述系统包括:
存储在存储器中的监测模块,所述监测模块通过网络流量保护系统监测在网络片段上传输的网络分组;
存储在存储器中的检测模块,所述检测模块通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;
存储在存储器中的修改模块,所述修改模块基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;
存储在存储器中的强制执行模块,所述强制执行模块通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略;和
至少一个处理器,所述至少一个处理器执行所述监测模块、所述检测模块、所述修改模块和所述强制执行模块。


11.根据权利要求10所述的系统,其中所述端点计算设备包括运行软件的计算设备,所述计算设备能够在连接到所述网络片段时与所述网络流量保护系统配对。


12.根据权利要求10所述的系统,其中所述检测模块通过以下方式检测所述网络分组的所述可疑传输:
拦截所述网络分组;以及
基于所述端点计算设备的预期网络流量分布确定所述网络分组的所述传输是可疑的。


13.根据权利要求10所述的系统,其中所述修改模块通过以下中的至少一者修改用于所述网络片段的所述网络安全策略:
阻止所述端点计算设备;
限制网络流量;
将所述端点计算设备添加到设备黑名单;以及
防止所述网络分组的所述可疑传输完成。


14.根据权利要求10所述的系统,其中所述强制执行模块通过以下中的至少一者强制执行所修改的网络安全策略:
将所修改的网络安全策略推送到连接到所述网络片段的所述端点计算设备;
确保网络流量遵循所修改的网络安全策略;以及
限制连接到所述网络片段的非顺应端点计算设备。


15.根据权利要求10所述的系统,还包括将所修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。


16.根据权利要求15所述的系统,其中所述相关网络片段包括包含...

【专利技术属性】
技术研发人员:Q·李J·陈T·乌木兰德M·H·陈
申请(专利权)人:赛门铁克公司
类型:发明
国别省市:美国;US

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1