具有威胁可视化和自动安全设备控制的集成安全系统技术方案

本发明专利技术公开了一种具有威胁可视化和自动安全设备控制的集成安全系统，该系统描述了一种采取直接动作的技术，直接动作为，诸如，选择性地阻止或允许流量和应用，同时从威胁的图形表示中监控事件。因此，企业中的管理员与安全管理系统再现的威胁的图形表示进行交互，以自动调用安全管理系统的策略/规则模块以为部署在企业的整个计算机网络中的安全设备配置并更新安全策略。例如，管理员可以基于从分布的安全设备聚合的数据与由威胁控制模块再现的威胁的表示进行交互，并且响应于该交互，安全管理系统可以识别相关安全设备集合，自动构建安全策略，该安全策略在所识别的安全设备集合的策略中具有有序规则，并自动传递策略并将策略安装在所识别的安全设备集合中。

Integrated security system with threat visualization and automatic security device control

The invention discloses a security system with integrated visualization and automatic control equipment security threats, the system describes a direct action technology, direct action, such as, selectively blocking or allowing flow and application, also said in monitoring events from the threat of graphics. Therefore, in the enterprise security management system administrator and representation of a graphical representation of the threat to interact, to automatically call the security management system of policies / rules that the entire module deployed in the enterprise computer network security device configuration and update the security policy. For example, the administrator can be aggregated from safety equipment distribution based on the data represented by the threat of the threat of reproduction control module to interact, and in response to the interaction, the safety management system can identify the relevant safety equipment set, automatic construction of security policy, the security policy has ordered in the safety equipment of the set of identified strategies, and automatically transfer strategy and strategy of safety equipment installed in the identified set.

【技术实现步骤摘要】
具有威胁可视化和自动安全设备控制的集成安全系统相关申请的交叉引用本申请要求于2015年11月03日提交的印度专利申请5944/CHE/2015的权益，其全部内容通过引证结合于此。
本专利技术涉及计算机网络，并且更具体地，涉及网络安全设备的管理和配置技术。
技术介绍
存储在计算机系统和网络中的数据和技术容易受损从而增大网络威胁的等级。普通类型的网络攻击包括拒绝服务(DOS)攻击、诱骗攻击、数据包窃听或拦截等。由于网络威胁越来越复杂，担任保护计算机网络的管理员的负担越来越重、并且装备不良不能有效且高效地减轻并解决网络威胁和网络攻击。目前，为了对网络威胁做出反应，管理员必须参与手动的、劳动密集的过程以配置策略或其他保护系统以求阻止这样的威胁。
技术实现思路
通常，本公开内容描述了集成安全管理系统，该集成安全管理系统提供了将收集的威胁可视化并对分布在整个网络中的安全设备进行自动控制。例如，在一个示例性实施方式中，安全管理系统包括一个或多个处理器，存储指令的一个或多个计算机可读存储器，所述指令在被执行时实现复杂的用户接口和可视化引擎，该可视化引擎实时或接近实时地生成并显示动画网络威胁的实时威胁可视化。此外，安全管理系统包括威胁数据聚合器，该威胁数据聚合器聚合来自于部署在安全域(例如，企业网络)中的一个或多个安全设备的一个或多个威胁的数据。安全管理系统还可以包括威胁控制模块，威胁控制模块能够显示一个或多个威胁并配置部署在网络中的安全设备，包括，例如，响应于一个或多个检测的网络攻击，部署创建的或更新的安全策略。例如，基于从分布的安全设备聚合的数据，管理员可以与威胁控制模块再现的威胁的图形表示交互，并且响应于交互，安全管理系统可以识别相关安全设备集合，自动构建安全策略，该安全策略在所识别的安全设备集合的策略中具有有序规则，并使用集成安全管理系统的底层网络管理组件的策略部署引擎自动传递策略并将策略安装在所识别的安全设备集合中。以这种方式，安全管理系统使得管理员能够采取直接动作，诸如，选择性地阻止或允许流量和应用，同时从威胁的图形表示中监控事件。因此，企业中的管理员与安全管理系统再现的威胁的图形表示交互，以自动调用安全管理系统的策略/规则模块以为部署在企业的整个计算机网络中的安全设备配置并更新安全策略。在附图和下面的描述中阐述本专利技术的一个或多个实施方式的细节。通过该描述、附图和权利要求，本专利技术的其他特征、目的和优点将变得显而易见。附图说明图1是示出了具有如本文中描述的集成安全管理系统的示例性企业网络的框图。图2是示出了在本公开的一方面中的示例性集成安全管理系统的框图。图3是在本公开的一方面中处理网络流量以识别潜在网络威胁的示例性安全设备。图4A-图4C示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口，以向管理员呈现聚合的威胁数据的表示。图5A-图5E示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口，以向管理员呈现与威胁相关联的过滤的事件数据的表示。图6A-图6D示出了在本公开的各个方面中通过安全管理系统生成的示例性用户接口，管理员通过该用户接口可以审查并自动发布所创建的与安全策略相关联的规则。图7示出了在本公开的一方面中通过安全管理系统生成的示例性用户接口，通过该用户接口管理员可以使得自动创建的安全策略能够部署和/或发布。图8示出了通过安全管理系统生成的示例性用户接口，通过该用户接口管理员可以浏览所发布的或更新的安全策略的作业状态。图9示出了在本公开的一方面中通过安全管理系统生成的示例性接口，通过该接口管理员可以浏览威胁设备的源或目的地细节。图10是示出了安全管理系统的示例性操作的流程图。图11示出了可被配置为实现根据当前公开的一些实施方式的计算设备的详细实例。具体实施方式图1是示出了具有如本文中描述的集成安全管理系统的示例性企业网络的框图。在图1的示例中，企业网络2包括集成安全管理系统10和以分布方式部署在整个网络中的一个或多个安全设备5。企业网络2的一个或多个安全设备5A-5C(统称“安全设备5”)经由形成通信拓朴的通信链路相互连接。通常，安全设备5监控网络2中的数据包流并将安全服务应用于那些数据包流以保护网络内的计算资源(未示出)，诸如，网络服务器、终端用户计算机和提供网络连接的基础设施设备。例如，安全设备5可以对数据包流执行深度包检测以检测数据包流内指示威胁的模式或异常，诸如，网络攻击、病毒、恶意软件等。在这个过程期间，安全设备5通常应用将标准(例如，报头信息、模式、异常信息)限定为可与数据包流相比较的策略，并采取策略指定的动作，诸如，丢弃数据包流，记录数据包流或将数据包流重定向至数据包分析器用于进一步分析。安全设备5可以包括，例如，防火墙或其他入侵检测系统(IDS)或入侵预防系统(IDP)、或甚至被配置为将网络安全流量应用于网络2中的数据包流的高端路由器或服务节点。虽然在本公开中描述为发送、传送、或以另外的方式支持数据包，但企业网络2可以根据由任何其他协议定义的任何其他离散数据单元发送数据，诸如，由异步传输模式(ATM)协议定义的单元，或由用户数据报协议(UDP)定义的数据图。使安全设备5相互连接的通信链路可以是物理链路(例如，光学、铜等)或无线。企业网络2可以耦合至一个或多个附加私有网络或公共网络，例如，互联网(未示出)。在图1的示例中，企业网络2示出为分别经由通信链路7A-7C耦合至公共网络4A-4C(统称“公共网络4”)(例如，互联网)。例如，公共网络4可以包括一个或多个客户端计算设备。公共网络4可以提供对网页服务器、应用服务器、公共数据库、媒体服务器、用户端设备、以及多种其他类型的网络资源设备和内容的访问。公共网络4中的网络设备可以向企业网络2呈现大量安全威胁。例如，公共网络4中的设备可以尝试向一个或多个安全设备5传送蠕虫、木马、和/或病毒。作为另一示例，使用公共网络4中的设备的黑客可能试图侵入企业网络2以侦听、损坏、破坏、或窃取由一个或多个安全设备5存储的信息。如在本文中描述的，安全管理系统10能够通过从安全设备5收集并聚合威胁信息、并呈现整个企业网络2中存在的统一的实时可视化的网络威胁而对安全设备5进行集中管理。此外，安全管理系统10提供一种集成系统，该集成系统响应于网络威胁为网络管理员(例如，管理员12)提供用于管理安全设备5的集中的单点控制。例如，由于在安全域(例如，企业网络2)内检测到并识别出威胁，安全管理系统10实时从安全设备5接收并聚合数据。基于从分布的安全设备5聚合的数据，安全管理系统10再现并保持已识别威胁的动画表示。响应于与管理员12的交互，安全管理系统10识别相关安全设备5集合，自动构建安全策略，该安全策略在所识别的安全设备5集合的策略内具有有序规则，并使用在安全管理系统10内集成的底层策略部署引擎自动传递并安装策略在所识别的安全设备5集合中。在图1的示例中，安全管理系统10被示出为利用安全设备5参与配置会话9A-9C(统称“配置会话9”)以传递策略并安装策略在所识别的安全设备5集合中。以这种方式，安全管理系统10使得管理员12能够采取直接动作，诸如，选择性地阻止或允许流量和应用，同时监控来自于网络2任何地方所识别到的威胁的表示中的事件。因此，由于本文档来自技高网...

【技术保护点】
一种方法，包括：接收关于一个或多个威胁的数据；显示关于所述一个或多个威胁的信息；选择对所述一个或多个威胁的响应；基于所选的响应生成用于一个或多个安全设备的配置信息；以及将所述配置信息部署至所述一个或多个安全设备。

【技术特征摘要】
2015.11.03 IN 5944/CHE/2015;2015.12.30 US 14/983,91.一种方法，包括：接收关于一个或多个威胁的数据；显示关于所述一个或多个威胁的信息；选择对所述一个或多个威胁的响应；基于所选的响应生成用于一个或多个安全设备的配置信息；以及将所述配置信息部署至所述一个或多个安全设备。2.根据权利要求1所述的方法，其中，选择响应包括利用有关所述威胁的信息显示对所述一个或多个威胁的一个或多个响应。3.根据权利要求1所述的方法，其中，生成所述配置信息包括基于所选的响应生成用于所述一个或多个安全设备的规则。4.根据权利要求1所述的方法，其中，生成所述配置信息包括基于所选的响应生成用于所述一个或多个安全设备的安全策略。5.根据权利要求1所述的方法，其中，显示有关所述一个或多个威胁的信息包括通过地理位置对所述一个或多个威胁进行分组。6.根据权利要求5的所述方法，其中，选择对所述一个或多个威胁的响应包括选择阻止或允许来自所选地理位置的流量的响应。7.根据权利要求1所述的方法，其中，显示有关所述一个或多个威胁的信息包括通过所述一个或多个威胁的源对所述一个或多个威胁进行分组。8.根据权利要求7所述的方法，其中，选择对所述一个或多个威胁的响应包括选择阻止或允许来自所选的所述一个或多个威胁的源的流量的响应。9.根据权利要求1所述的方法，其中，显示有关所述一个或多个威胁的信息包括通过所述一个或多个威胁的目的地对所述一个或多个威胁进行分组。10.根据权利要求9所述的方法，其中，选择对所述一个或多个威胁的响应包括选择阻止或允许来自所选的所述一个或多个威胁的目的地的流量的响应。11.根据权利要求1所述的方法，其中，显示有关所述一个或多个威胁的信息包括通过所述一个或多个威胁的源和所述一个或多个威胁的目的地对所述一个或多个威胁进行分组。12.根据权利要求11的所述方法，其中，选择对所述一个或多个威胁的响应包括选择阻止或允许来自所选的所述一个或多个威胁的源和所选的所述一个或多个威胁的目的地的流量的响应。13.根据权利要求1所述的方法，其中，显示有关所述一个或多个威胁的信息包括通过应用使用对所述一个或多个威胁进行分组。14.根据权利要求13所述的方法，其中，选择对所述一个或多个威胁的响应包括选择阻止或允许与所选应用相关联的流量的响应。15.根据权利要求13的所述方法，其中，显示有关所述一个或多个威胁的信息进一步包括显示根据相同应用的所有实例消耗的网络带宽进行排名的所述应用。16.根据权利要求15所述的方法，其中，选择对所述一个或多个威胁的响应包括选择减少与所选应用相关联的网络流量的响应。17.根据权利要求1所...

【专利技术属性】
技术研发人员：莉萨·M·比姆，柳博芙·涅斯捷罗夫，纳塔利娅·L·希穆科，阿莫尔·苏德，勒内·查维斯，奥尔加·M·陶斯托皮阿特，纳迪姆·汉，阿扎姆·阿里，达尔门德兰·阿鲁穆加姆，马扬克·贝塔拉，什里坎塔·夏尔马，
申请(专利权)人：丛林网络公司，
类型：发明
国别省市：美国,US