监视网络业务以检测所尝试的网络间通信,包括网络内部的设备对与网络外部的资源通信的尝试以及网络外部的设备对建立与网络内部的资源的VPN会话的尝试。在检测到所尝试的网络间通信时,识别负责发起这样的通信的设备。然后,确定所识别的设备是否在运行有效保护代理。如果是这样,则允许所尝试的网络间通信。如果不是,则按照网络安全策略来阻止所尝试的网络间通信,并且提示所识别的设备从指定存储位置下载和安装保护代理或者激活先前安装的保护设备。该提示可以包括用于启动对保护代理的下载的超链接。
【技术实现步骤摘要】
【国外来华专利技术】相关申请的交叉引用本申请要求对申请日为2005年9月7日、专利技术名称为“Systemsand Methods for Downloading Protection Agents in a DistributedComputer Network”(用于在分布式计算机网络中下载保护代理的系统和方法)的美国临时专利申请第60/714,605号的优先权,在此通过引用的方式包含其全部内容。
本专利技术一般地涉及计算机网络安全。具体而言,本专利技术涉及将保护代理部署到连接至分布式计算机网络的工作站、客户端、服务器和其它设备。
技术介绍
专用计算机网络通常互连到其它网络如因特网并且因此容易遭到入侵。出于这一原因,很多专用网络通过某类入侵防御系统来保护。入侵防御系统一般可以描述为用于施加访问控制以保护计算机和其它网络资源免受利用的硬件和/或软件。有若干不同类型的入侵防御系统,包括网络入侵防御系统(“网络IPS”)和基于主机的(host-based)入侵防御系统(“基于主机的IPS”)。网络IPS通常是设计为分析、检测和报告与安全有关的事件的硬件和软件平台。网络IPS检查业务,并且基于它们的配置和安全策略,可以丢弃恶意业务。网络IPS被设计为符合网络业务流并且实时防御攻击。此外,多数网络IPS具有对某些通信协议如HTTP、FTP和SMTP进行解码的能力,这提供了更强的认知能力。一些网络IPS如佐治亚州亚特兰大市Internet Security Systems公司的-->Network Multi-Function Security(网络多功能安全)(也称为“M”)执行多个网络安全功能,包括防火墙、VPN、抗病毒、Web过滤和反垃圾邮件保护。基于主机的IPS在如客户端、工作站、服务器或者其它设备之类的主机上运行,其中已经对分组进行解密并且可以有粒度地(granularly)和准确地监视文件访问和注册表访问。作为一个例子,ISS的Desktop Endpoint Security(桌面端点安全)是如下基于主机的IPS,该IPS被设计为在保持操作运行和加强系统顺应性(system compliance)的同时优先地保护桌面工作站免于遭受病毒、蠕虫和异常活动。作为另一例子,ISS的Server IntrusionPrevention System(服务器入侵防御系统)是设计为前摄地停止如下威胁的基于主机的IPS,这些威胁可能危及驻留于网络服务器上的宝贵和关键的应用及固定设备。基于主机的IPS有时称为“桌面代理”或者“保护代理”,因为它们可以部署到各种网络设备并且从中央管理控制台来控制。在一些情况下,网络IPS对于部署到同一网络内的设备上的代理而言也可以作为管理控制台来工作。连接至专用网络的设备可以在网络内部(即在网络防火墙后面)或者在网络外部(即在网络防火墙以外但是通过虚拟专用网络会话等与内部网络资源通信)。在最优情景中,保护代理将部署到连接至专用网络的各设备。以这一方式,将单独地保护连接至专用网络的各设备免于遭受未授权网络通信,比如入侵和病毒感染。然而,由于对服务器、工作站、客户端以及其它设备和资源进行添加、更换、重新定位和重新设定用途,所以分布式计算机网络的配置可能随时间快速地改变。因此,保证保护代理部署到所有有关网络设备对于网络管理员而言可能既繁琐又耗时。因而,在本领域中需要一种用于将保护代理部署到连接至分布式计算机网络的设备的高效且自动的方法。
技术实现思路
-->本专利技术通过提供用于将保护代理自动部署到连接至分布式网络的设备来满足上述需要。一般而言,本专利技术涉及到监视网络业务和检测所尝试的网络间通信。所尝试的网络间通信可以包括分布式网络内部的设备对与分布式网络外部的资源通信的尝试以及分布式网络外部的设备对建立与分布式网络内部的资源的虚拟专用网络会话的尝试。可以通过识别采用HTTP或者HTTPS协议的网络业务或者在端口80和端口433中一个或者多个端口上的网络业务来检测分布式网络内部的设备对与分布式网络外部的资源通信的尝试。响应于检测到所尝试的网络间通信,识别负责发起这样的通信的设备。然后,确定所识别的设备是否在运行有效保护代理。如果是这样,则允许所尝试的网络间通信。如果不是,则阻止所尝试的网络间通信并且提示所识别的设备从指定存储位置下载和安装保护代理或者激活先前安装的保护设备。可以收集和存储在连接至分布式网络的设备上运行的保护代理所生成的注册信息。确定所识别的设备是否在运行有效保护代理可以涉及到确定所存储的注册信息都不对应于所识别的设备。确定所识别的设备没有运行有效保护代理也可以涉及到确定在指定时间间隔内存储的注册信息都不对应于所识别的设备。提示所识别的设备下载和安装保护代理可以涉及到提供在被激活时将启动从指定存储位置下载保护代理的超链接,该指定存储位置可以是入侵防御系统、网络服务器等。在考虑对当前认识到的例示用于实施本专利技术的最佳实施方式的所示实施例的以下具体描述时,本专利技术的这些和其它方面、特征以及实施例对于本领域技术人员而言将变得明显。附图说明图1是图示了用于实施本专利技术某些示例实施例的适当计算机网络环境100的框图。图2是图示了根据本专利技术某些示例实施例的用于将保护代理部-->署到连接至分布式计算机网络的设备的示例方法的处理流程图。具体实施方式本专利技术提供了用于将保护代理部署到连接至分布式计算机网络的设备的系统和方法。对本专利技术示例实施例的以下描述将参照附图,在附图中相似的标号在数幅图中通篇地指代相似的单元。图1是图示了用于实施本专利技术示例实施例的适当计算机网络环境100的框图。示例计算机网络环境100包括至少两个分布式网络,包括专用网络105和公共网络110。专用网络105可以是局域网(“LAN”)、广域网(“WAN”)、其组合或者任何其它内网配置。公共网络110可以是因特网或者任何其它可公共访问的计算机网络。专用网络105可以包括一个或者多个端点设备,比如服务器120、客户端125和其它计算机或者电子设备。这样的设备可以通过网络接口卡、调制解调器或者用于建立和接收网络通信的其它适当装置连接至专用网络105。客户端125可以是桌上型计算机125a、膝上型计算机125b、手持计算机125c等。远程客户端125d和其它设备(例如移动电话)可以经由虚拟专用网络(“VPN”)165或者其它适当安全通信协议与专用网络105通信。正如在本领域中公知的,可以使用各种安全措施中的一种或者多种措施来建立VPN 165以提供经由公共网络110对专用网络105的安全访问。也正如在本领域中公知的,能够连接至网络的设备(例如客户端125、服务器120等)一般包括用于执行计算机可执行指令的处理器、用于存储程序模块和数据的系统存储器(即适当存储介质)以及将系统存储器耦合至处理单元的系统总线。系统存储器典型地包括只读存储器(“ROM”)和/或随机存取存储器(“RAM”)。网络设备也可以包括硬盘驱动器、磁盘驱动器(即用于从磁盘进行读取以及向磁盘进行写入)和/或光盘驱动器(即用于从光学介质如CD或者DVD进行读取或者向该光学介质进行写入),这些驱动器各自可以经由适当接口连接至系统总线。这样的驱动器以及它们的关联计-->算机可读介质为计算机系统提供非易本文档来自技高网...
【技术保护点】
一种用于将保护代理自动部署到连接至分布式网络的设备的方法,包括: 监视去往、来自所述分布式网络和在所述分布式网络内的通信; 检测所述分布式网络内部的设备对与所述分布式网络外部的设备通信的尝试; 确定所述分布式网络内部的所述设备没有运行有效保护代理;以及 响应于所述确定,阻止所尝试的通信并且提示所述分布式网络内部的所述设备从指定存储位置下载和安装保护代理。
【技术特征摘要】
【国外来华专利技术】US 2005-9-7 60/714,6051.一种用于将保护代理自动部署到连接至分布式网络的设备的方法,包括:监视去往、来自所述分布式网络和在所述分布式网络内的通信;检测所述分布式网络内部的设备对与所述分布式网络外部的设备通信的尝试;确定所述分布式网络内部的所述设备没有运行有效保护代理;以及响应于所述确定,阻止所尝试的通信并且提示所述分布式网络内部的所述设备从指定存储位置下载和安装保护代理。2.一种计算机可读介质,具有存储于其中的用于执行根据权利要求1所述的方法的计算机可执行指令。3.根据权利要求1所述的方法,其中检测对与所述分布式网络外部的所述设备通信的尝试包括检测由所述分布式网络内部的所述设备生成的采用HTTP或者HTTPS协议的消息业务。4.根据权利要求1所述的方法,其中检测对与所述分布式网络外部的所述设备通信的尝试包括检测在端口80和端口443中一个或者多个端口上的由所述分布式网络内部的所述设备生成的消息业务。5.根据权利要求1所述的方法,还包括以下步骤:定期地接收和存储由在连接至所述分布式网络的设备上运行的保护代理所生成的注册信息;以及其中确定所述分布式网络内部的所述设备没有运行有效保护代理包括确定所述注册信息都不对应于所述分布式网络内部的所述设备。6.一种计算机可读介质,具有存储于其中的用于执行根据权利要求5所述的方法的计算机可执行指令。7.根据权利要求4所述的方法,其中确定所述分布式网络内部的所述设备没有运行有效保护代理包括确定在指定时间间隔内存储的所述注册信息都不对应于所述分布式网络内部的所述设备。8.一种计算机可读介质,具有存储于其中的用于执行根据权利要求7所述的方法的计算机可执行指令。9.根据权利要求1所述的方法,其中提示所述分布式网络内部的所述设备下载和安装所述保护代理包括提供在被激活时将启动从所述指定存储位置下载所述保护代理的超链接。10.根据权利要求1所述的方法,其中所述分布式网络内部的所述设备选自于客户端和服务器。11.根据权利要求1所述的方法,其中阻止所尝试的通信包括阻止在所述分布式网络内部的所述设备与所述分布式网络外部的所述设备之间的网络业务,同时允许在所述分布式网络内部的所述设备与所述分布式网络外部的至少一个其它设备之间的网络业务。12.一种用于将保护代理自动部署到连接至分布式网络的设备的方法,包括:监视去往、来自所述分布式网络和在所述分布式网络内的通信;检测所述分布式网络外部的设备对建立与所述分布式网络内部的设备的虚拟专用网络会话的尝试;确定所述分布式网络外部的所述设备没有运行有效保护代理;以及响应于所述确定,阻止所尝试的虚拟专用网络会话并且提示所述分布式网络外部的所述设备从指定存储位置下载和安装保护代理。13.一种计算机可读介质,具有存储于其中的用于执行根据权利要求12所述的方法的计算机可执行指令。14.根据权利要求12所述的方法,还包括以下步骤:定期地接收和存储...
【专利技术属性】
技术研发人员:M沃德,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:US[美国]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。