基于策略的网络安全制造技术

本发明专利技术涉及基于策略的网络安全。一种方法包括响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案。该方法还包括基于策略过滤该一组响应动作以生成一组允许的响应动作并且执行该一组允许的响应动作中的一个或多个响应动作。

Policy based network security

The invention relates to policy based network security. A method includes selecting a threat mitigation scheme corresponding to a set of response actions in response to detecting a network activity representing a threat. The method further includes filtering a set of response actions based on the strategy to generate a set of allowable response actions and performing one or more response actions in the set of allowable response actions.

【技术实现步骤摘要】

本公开涉及提供基于策略的网络安全(policy-basednetworksecurity)的系统和方法。
技术介绍
计算机和网络安全通常将注意力集中于保护计算机或者计算机系统免受攻击。而新型的攻击会被定期地开发出来。公司可能依赖于其它关于如何对特定威胁做出响应的信息而不是试图发展对每个新威胁都做出响应。例如，公司可以使用提供有关如何对新威胁做出响应的最新信息或者提供对旧威胁做出的新的响应的安全保障公司。如另一实例，公司可以参考安全研究员的有关如何对威胁做出响应的信息。对于特定的公司或其它的实体，一些针对威胁而提出的响应可能被认为是不恰当的。例如，具有攻击性的安全研究员可能会提出一种包括反击威胁来源的响应技术。一些公司可能具有通过这样的动作而违法的策略。
技术实现思路
在具体实施方式中，一种系统包括处理器和处理器可访问的存储器。该存储器可存储由处理器执行的指令以执行操作，包括：响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案。该操作进一步包括基于策略过滤所述一组响应动作以生成一组允许的响应动作并且执行该一组允许的响应动作中的一个或多个响应动作。在另一个具体实施方式中，一种方法包括：响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案。该方法还包括基于策略对该一组响应动作进行过滤以生成一组允许的响应动作并且执行该一组允许的响应动作中的一个或多个响应动作。在另一个具体实施方式中，提供了一种计算机可读存储设备，存储可通过处理器执行的指令以使处理器执行包括以下各项的操作：响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案。该操作还包括基于策略过滤该一组响应动作以生成一组允许的响应动作并且执行该一组允许的响应动作中的一个或多个响应动作。一种方法，包括：通过网络安全系统响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案；通过网络安全系统基于策略对该一组响应动作进行过滤以生成一组允许的响应动作；并且执行该一组允许的响应动作中的一个或多个响应动作。该方法进一步包括：通过网络安全系统基于动作从属关系和先前动作对该一组允许的响应动作进行评估以确定动作计划(actionplan)，其中，动作计划识别下一组响应动作，其中，下一组响应动作与该一组允许的响应动作中的一个或多个响应动作相对应，为此已经执行了每一个相关联的先决动作(prerequisiteaction)，并且其中，一个或多个执行的响应动作对应于下一组响应动作。其中监测网络的活动的方法包括：通过网络安全系统分析描述网络活动的活动数据；通过网络安全系统基于活动数据检测网络活动中的异常；通过网络安全系统分析该异常以确定该异常是否表示威胁；并且当该异常表示威胁时，通过网络安全系统生成指示检测到威胁的威胁信息，其中，基于威胁信息选择威胁缓解方案。该方法进一步包括在选择威胁缓解方案之前确定威胁的来源，其中，进一步基于该来源选择威胁缓解方案。在该方法中，该策略表示基于来源的允许响应动作、基于来源的不允许的响应动作或者这两者。在所述方法中，该威胁信息包括与该异常相对应的活动数据、描述异常的信息、描述威胁的信息、描述威胁的来源的信息、描述威胁的目标的信息的一部分或者它们的组合。在该方法中，该一组响应动作包括至少一个主动的威胁响应动作或者至少一个被动的威胁响应动作。该方法进一步包括在执行一个或多个响应动作期间或者在执行一个或多个响应动作之后确定该威胁是否仍然存在；并且通过网络安全系统响应于确定了该威胁仍然存在而基于动作从属关系和先前动作来评估该一组允许的响应动作以确定动作计划，其中，动作计划识别下一组响应动作，其中，该下一组响应动作与该一组允许的响应动作中已执行了每个先决动作的一个或多个响应动作相对应；并且执行下一组响应动作。在该方法中，选择威胁缓解方案包括：访问表示所识别出的威胁的威胁响应数据以及表示用于每个所识别出的威胁缓解方案；并且确定该威胁是否与威胁响应数据中的所识别出的威胁相匹配，其中，当该威胁与所识别出的威胁相匹配时，则表示用于所识别出的威胁的特定威胁缓解方案被选定作为威胁缓解方案。在该方法中，选择威胁缓解方案进一步包括当所识别出的威胁与该威胁不匹配时，则会提示用户指定威胁缓解方案。在该方法中，该策略包括表示基于团体指令(corporatedirective)、法律指令(legaldirective)或者这两者的允许的响应动作、不允许的响应动作或者这两者的逻辑语句(logicalstatement)。一种计算系统包括处理器以及可访问该处理器的存储器，存储器存储可通过处理器执行的指令以执行包括以下各项的操作：响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案；基于策略过滤一组响应动作以生成一组允许的响应动作；并且执行该一组允许的响应动作中的一个或多个响应动作。在该系统中，该操作进一步包括基于动作从属关系和先前动作评估该一组允许的响应动作以确定动作计划，其中，动作计划识别下一组响应动作，其中，该下一组响应动作对应于该一组允许的响应动作中已执行了每一个相关的先决动作的一个或多个响应动作，并且其中，所执行的一个或多个响应动作对应于该下一组响应动作。该系统进一步包括监测网络活动生成活动数据；基于活动数据检测网络活动中的异常；分析异常以确定异常是否表示威胁；并且当异常表示威胁时，生成表示检测到的威胁的威胁信息，其中，基于威胁信息选择威胁缓解方案。在该系统中，该操作进一步包括确定威胁来源，其中，进一步基于该来源选择威胁缓解方案。在该系统中，该策略包括表示基于团体指令、法律指令或者团体指令和法律指令这两者的允许的响应动作、不允许的响应动作或者允许的响应动作和不允许的响应动作这两者的逻辑语句。一种计算机可读存储设备，存储可通过处理器执行的指令以使处理器执行包括以下各项的操作：响应于检测到表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案；将策略应用于该一组响应动作以生成一组允许的响应动作；并且执行该一组允许的响应动作中的一个或多个响应动作。所述计算机可读存储设备，其中，选择威胁缓解方案包括访问指示所识别出的威胁的威胁响应数据以及表示用于每个所识别的威胁的威胁缓解方案；确定该威胁是否与威胁响应数据的所识别的威胁相匹配，其中，如果该威胁与所识别的威胁相匹配，则选择与威胁响应数据中的所识别出的威本文档来自技高网...

【技术保护点】
一种提供网络安全的方法，包括：通过网络安全系统响应于检测出表示威胁的网络活动选择与一组响应动作相对应的威胁缓解方案；通过所述网络安全系统基于策略过滤所述一组响应动作以生成一组允许的响应动作；并且执行所述一组允许的响应动作中的一个或多个响应动作。

【技术特征摘要】
2014.12.19 US 14/577,9361.一种提供网络安全的方法，包括：
通过网络安全系统响应于检测出表示威胁的网络活动选择与一
组响应动作相对应的威胁缓解方案；
通过所述网络安全系统基于策略过滤所述一组响应动作以生成
一组允许的响应动作；并且
执行所述一组允许的响应动作中的一个或多个响应动作。
2.根据权利要求1所述的方法，进一步包括通过所述网络安全系统基
于动作从属关系和先前动作评估所述一组允许的响应动作以确定动
作计划，其中，所述动作计划识别下一组响应动作，其中，所述下
一组响应动作与所述一组允许的响应动作中的已执行了每一个相关
联的先决动作的一个或多个响应动作相对应，并且其中，一个或多
个所执行的响应动作对应于所述下一组响应动作。
3.根据权利要求1所述的方法，其中，监测所述网络活动包括：
通过所述网络安全系统分析描述所述网络活动的活动数据；
通过所述网络安全系统基于所述活动数据检测所述网络活动中
的异常；
通过所述网络安全系统分析所述异常以确定所述异常是否表示
威胁；并且
通过所述网络安全系统在所述异常表示所述威胁时生成表示检
测到的所述威胁的威胁信息，其中，基于所述威胁信息选择所述威
胁缓解方案。
4.根据权利要求3所述的方法，进一步包括在选择所述威胁缓解方案
之前确定所述威胁的来源，其中，进一步基于所述来源选择所述威
胁缓解方案。
5.根据权利要求3所述的方法，其中，所述威胁信息包括所述活动数
据中对应于所述异常的部分、描述所述异常的信息、描述所述威胁
的信息、描述所述威胁的来源的信息、描述所述威胁的目标的信息
或者它们的组合。
6.根据权利要求1所述的方法，其中，所述一组响应动作包括至少一
个主动威胁响应动作或者至少一个被动威胁响应动作。
7.根据权利要求1所述的方法，进一步包括在执行所述一个或多个响
应动作期间或者在执行所述一个或多个响应动作之后：
确定所述威胁是否仍然存在；并且
响应于确定所述威胁仍然存在，
通过所述网络安全系统基于动作从属关系和先前动作评
估所述一组允许的响应动作以确定动作计划，其中，所述动作
计划识别下一组响应动作，其中，所述下一组响应动作与所述
一组允许的响应动作中的已执行了每一个先决动作的一个或<...

【专利技术属性】
技术研发人员：法耶·I·弗朗西，格雷戈里·J·J·斯莫尔，
申请(专利权)人：波音公司，
类型：发明
国别省市：美国;US