The invention provides a computer implementation method for enforcing a dynamic network security policy, the method can include: (I) monitoring the network packets transmitted on the network segment through the network traffic protection system; (II) detecting the suspicious transmission of at least one network packet associated with the endpoint computing device connected to the network segment through the network traffic protection system; (III) base Modify at least one network security policy for network segments in suspicious transmission of network packets; and (IV) enforce the modified network security policy on all endpoint computing devices connected to network segments through the network traffic protection system. The invention also discloses various other methods, systems and computer-readable media.
【技术实现步骤摘要】
【国外来华专利技术】用于强制执行动态网络安全策略的系统和方法
技术介绍
网络计算系统,特别是用于组织或企业的网络计算系统,通常需要严格的网络安全来防止恶意攻击在网络内扩散。例如,感染恶意软件并连接到可信网络的单个计算设备可能会对同一网络上的其他设备造成安全漏洞。传统地,可以使用网络管理器和各种软件为网络或网络片段提供安全监管。这些管理器可以监测在网络上的活动并通过控制进出端点设备的网络流量来强制执行安全策略。然而,网络管理器可能并不总是能够以及时的方式更新安全策略。例如,安全策略可能不会考虑到端点设备配置的突然改变或意外流量的出现。此外,在网络上的各个端点设备可能具有它们自己的可能与网络管理器的安全策略不兼容的特定安全要求或策略。此外,在组织内的不同网络片段可能需要不同策略,并且端点设备可能不符合这些不同策略中的每个。例如,财务部门的网络可能具有比客户服务部门的网络更严格的策略。员工的从客户服务网络移动到金融网络的端点设备可能突然不顺应于新的网络片段的策略。因此,本公开识别并解决了对用于强制执行动态网络安全策略的系统和方法的需要。
技术实现思路
如将在下文更详细地描述的,本公开描述了用于强制执行动态网络安全策略的各种系统和方法。在一个示例中,一种用于强制执行动态网络安全策略的计算机实现的方法可以包括:(i)通过网络流量保护系统监测在网络片段上传输的网络分组;(ii)通过网络流量保护系统检测与连接到网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;(iii)基于网络分组的可疑传输修改用于网络片段的至少一个网络安全策略;以及(iv)通 ...
【技术保护点】
1.一种用于强制执行动态网络安全策略的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的网络计算设备执行,所述方法包括:/n通过网络流量保护系统监测在网络片段上传输的网络分组;/n通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;/n基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;以及/n通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略。/n
【技术特征摘要】
【国外来华专利技术】20170322 US 15/4656361.一种用于强制执行动态网络安全策略的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的网络计算设备执行,所述方法包括:
通过网络流量保护系统监测在网络片段上传输的网络分组;
通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;
基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;以及
通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略。
2.根据权利要求1所述的方法,其中所述端点计算设备包括运行软件的计算设备,所述计算设备能够在连接到所述网络片段时与所述网络流量保护系统配对。
3.根据权利要求1所述方法,其中检测所述网络分组的所述可疑传输包括:
拦截所述网络分组;以及
基于所述端点计算设备的预期网络流量分布确定所述网络分组的所述传输是可疑的。
4.根据权利要求1所述的方法,其中修改用于所述网络片段的所述网络安全策略包括以下中的至少一者:
阻止所述端点计算设备;
限制网络流量;
将所述端点计算设备添加到设备黑名单;以及
防止所述网络分组的所述可疑传输完成。
5.根据权利要求1所述的方法,其中强制执行所修改的网络安全策略包括以下中的至少一者:
将所修改的网络安全策略推送到连接到所述网络片段的所述端点计算设备;
确保网络流量遵循所修改的网络安全策略;以及
限制连接到所述网络片段的非顺应端点计算设备。
6.根据权利要求1所述的方法,还包括将所修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。
7.根据权利要求6所述的方法,其中所述相关网络片段包括包含所述网络片段的网络片段群集内的第二网络片段。
8.根据权利要求1所述的方法,还包括:
识别与所述网络分组的所述可疑传输相关的至少一个软件应用程序;
从所述端点计算设备请求关于所述软件应用程序的附加信息;以及
基于所述附加信息执行安全动作。
9.根据权利要求8所述的方法,其中所述安全动作包括以下中的至少一者:
检测所述端点计算设备的用户篡改;
检测所述软件应用程序的安装中的异常;
确定所述软件应用程序可能是恶意的;
请求所述软件应用程序的用户活动的日志;以及
限制所述端点计算设备。
10.一种用于强制执行动态网络安全策略的系统,所述系统包括:
存储在存储器中的监测模块,所述监测模块通过网络流量保护系统监测在网络片段上传输的网络分组;
存储在存储器中的检测模块,所述检测模块通过所述网络流量保护系统检测与连接到所述网络片段的端点计算设备相关联的至少一个网络分组的可疑传输;
存储在存储器中的修改模块,所述修改模块基于所述网络分组的所述可疑传输修改用于所述网络片段的至少一个网络安全策略;
存储在存储器中的强制执行模块,所述强制执行模块通过所述网络流量保护系统对连接到所述网络片段的所有端点计算设备强制执行所修改的网络安全策略;和
至少一个处理器,所述至少一个处理器执行所述监测模块、所述检测模块、所述修改模块和所述强制执行模块。
11.根据权利要求10所述的系统,其中所述端点计算设备包括运行软件的计算设备,所述计算设备能够在连接到所述网络片段时与所述网络流量保护系统配对。
12.根据权利要求10所述的系统,其中所述检测模块通过以下方式检测所述网络分组的所述可疑传输:
拦截所述网络分组;以及
基于所述端点计算设备的预期网络流量分布确定所述网络分组的所述传输是可疑的。
13.根据权利要求10所述的系统,其中所述修改模块通过以下中的至少一者修改用于所述网络片段的所述网络安全策略:
阻止所述端点计算设备;
限制网络流量;
将所述端点计算设备添加到设备黑名单;以及
防止所述网络分组的所述可疑传输完成。
14.根据权利要求10所述的系统,其中所述强制执行模块通过以下中的至少一者强制执行所修改的网络安全策略:
将所修改的网络安全策略推送到连接到所述网络片段的所述端点计算设备;
确保网络流量遵循所修改的网络安全策略;以及
限制连接到所述网络片段的非顺应端点计算设备。
15.根据权利要求10所述的系统,还包括将所修改的网络安全策略发送到监测相关网络片段的相关网络流量保护系统。
16.根据权利要求15所述的系统,其中所述相关网络片段包括包含...
【专利技术属性】
技术研发人员:Q·李,J·陈,T·乌木兰德,M·H·陈,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。