DS/IPS系統(tǒng)觀測(cè)流入及流出組織的網(wǎng)絡(luò)的流量等等。這些保護(hù)技術(shù)是長(zhǎng)期開發(fā)的且足夠成熟來阻止已知威脅且有時(shí)甚至可阻止未預(yù)測(cè)到的威脅。
[0125]現(xiàn)今的網(wǎng)絡(luò)防御態(tài)勢(shì)的問題為其靜態(tài)特性:經(jīng)配置之后且可能經(jīng)驗(yàn)證之后，網(wǎng)絡(luò)防御被視為牢不可破的，就如同第二次世界大戰(zhàn)之前的馬其諾防線。通常會(huì)應(yīng)用一次保護(hù)措施，或者最多一段時(shí)間內(nèi)評(píng)定一次所述保護(hù)措施，從而使組織在檢查之間中得不到任何真正的安全態(tài)勢(shì)狀態(tài)的質(zhì)量保證。
[0126]現(xiàn)今的網(wǎng)絡(luò)防御的又另一問題為如何設(shè)置及配置這些保護(hù)元素的方法的多樣性。保護(hù)柵格中全部節(jié)點(diǎn)都來源于單一供應(yīng)商是非常罕見的。通常的IT做法是使用明顯來自不同的網(wǎng)絡(luò)技術(shù)提供者的同類最佳裝置。不同及復(fù)雜的配置方法增加了現(xiàn)今的多層網(wǎng)絡(luò)安全部署中的錯(cuò)誤可能性。
[0127]NetFlow為使得能夠創(chuàng)造能夠提供組織的聯(lián)網(wǎng)基礎(chǔ)架構(gòu)的動(dòng)態(tài)質(zhì)量控制的工具的技術(shù)。本發(fā)明揭示的NFI技術(shù)允許引入可監(jiān)視貫穿組織的網(wǎng)絡(luò)流量且識(shí)別過去由靜態(tài)配置的防御監(jiān)督的流實(shí)例的任意策略。
[0128]雖然已鑒于若干實(shí)施例描述本發(fā)明，但存在屬于本發(fā)明的范圍內(nèi)的替代、修改、置換及取代等效物。盡管已提供小節(jié)標(biāo)題以協(xié)助描述本發(fā)明，但這些標(biāo)題僅為說明性的且不希望限制本發(fā)明的范圍。
[0129]應(yīng)注意，存在許多實(shí)施本發(fā)明的方法及設(shè)備的替代方法。因此，希望隨附權(quán)利要求書被解釋為包含屬于本發(fā)明的真正精神及范圍內(nèi)的全部這些替代、修改、置換及取代等效物。
【主權(quán)項(xiàng)】
1.一種改進(jìn)的軟件定義網(wǎng)絡(luò)管理方法，所述網(wǎng)絡(luò)包含網(wǎng)絡(luò)控制器且使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量，所述網(wǎng)絡(luò)包含裝置，至少一些所述裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量，所述方法包括以下步驟: 在數(shù)據(jù)處理系統(tǒng)中以至少一種數(shù)據(jù)格式從多個(gè)源接收網(wǎng)絡(luò)元數(shù)據(jù)； 當(dāng)所述網(wǎng)絡(luò)元數(shù)據(jù)在所述網(wǎng)絡(luò)上在產(chǎn)生所述網(wǎng)絡(luò)元數(shù)據(jù)的網(wǎng)絡(luò)裝置與能夠存儲(chǔ)所述網(wǎng)絡(luò)元數(shù)據(jù)的裝置之間轉(zhuǎn)移時(shí)處理所述網(wǎng)絡(luò)元數(shù)據(jù)以從其提取有用信息；以及 作為所述元數(shù)據(jù)處理步驟的結(jié)果，確定與操作于所述網(wǎng)絡(luò)上的應(yīng)用程序相關(guān)的信息；以及 使用所述應(yīng)用程序信息以使所述網(wǎng)絡(luò)控制器能夠執(zhí)行對(duì)所述軟件定義網(wǎng)絡(luò)的更有效管理。2.根據(jù)權(quán)利要求1所述的方法，其進(jìn)一步包括以下步驟: 作為所述元數(shù)據(jù)處理步驟的結(jié)果，確定與存在于所述網(wǎng)絡(luò)上的用戶相關(guān)的信息；以及 使用所述用戶信息以使所述網(wǎng)絡(luò)控制器能夠執(zhí)行對(duì)所述軟件定義網(wǎng)絡(luò)的更有效管理。3.一種改進(jìn)的基于云的虛擬計(jì)算環(huán)境管理方法，所述環(huán)境包含云操作系統(tǒng)及云環(huán)境控制器且使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量，所述網(wǎng)絡(luò)包含裝置，至少一些所述裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量，所述方法包括以下步驟: 在所述基于云的虛擬計(jì)算環(huán)境中以至少一種數(shù)據(jù)格式從多個(gè)源接收網(wǎng)絡(luò)元數(shù)據(jù)；當(dāng)所述網(wǎng)絡(luò)元數(shù)據(jù)在所述環(huán)境中在產(chǎn)生所述網(wǎng)絡(luò)元數(shù)據(jù)的網(wǎng)絡(luò)裝置與能夠存儲(chǔ)所述網(wǎng)絡(luò)元數(shù)據(jù)的裝置之間轉(zhuǎn)移時(shí)處理所述網(wǎng)絡(luò)元數(shù)據(jù)以從其提取有用信息；以及 作為所述元數(shù)據(jù)處理步驟的結(jié)果，確定與在所述環(huán)境中操作的應(yīng)用程序相關(guān)的信息；以及 使用所述應(yīng)用程序信息以使所述云環(huán)境控制器能夠執(zhí)行對(duì)所述基于云的虛擬計(jì)算環(huán)境的更有效管理。4.根據(jù)權(quán)利要求3所述的方法，其進(jìn)一步包括以下步驟: 作為所述元數(shù)據(jù)處理步驟的結(jié)果，確定與存在于所述環(huán)境中的用戶相關(guān)的信息；以及 使用所述用戶信息以使所述云環(huán)境控制器能夠執(zhí)行對(duì)所述基于云的虛擬計(jì)算環(huán)境的更有效管理。5.一種在裝置使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量的網(wǎng)絡(luò)中提供對(duì)與經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)的網(wǎng)絡(luò)元數(shù)據(jù)的按需訪問的方法，所述網(wǎng)絡(luò)包含裝置，至少一些所述裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量，所述方法包括以下步驟: 根據(jù)經(jīng)配置的網(wǎng)絡(luò)元數(shù)據(jù)處理策略的集合以流式處理方式處理網(wǎng)絡(luò)元數(shù)據(jù)； 在定義的時(shí)間周期中在快速存取存儲(chǔ)機(jī)構(gòu)中留存一組按時(shí)間索引的網(wǎng)絡(luò)元數(shù)據(jù)； 識(shí)別潛在安全相關(guān)網(wǎng)絡(luò)事件；以及 從所述按時(shí)間索引的組提供在時(shí)間上與所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)的網(wǎng)絡(luò)元數(shù)據(jù)的集合；以及 執(zhí)行分析以使網(wǎng)絡(luò)元數(shù)據(jù)的所述集合與所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)以進(jìn)一步表征所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件的特性。6.根據(jù)權(quán)利要求5所述的方法，其進(jìn)一步包括從所述快速存取存儲(chǔ)機(jī)構(gòu)移除已選網(wǎng)絡(luò)元數(shù)據(jù)以促進(jìn)新的網(wǎng)絡(luò)元數(shù)據(jù)到達(dá)所述快速存取存儲(chǔ)機(jī)構(gòu)的步驟。7.—種檢測(cè)網(wǎng)絡(luò)連接裝置上的受僵尸網(wǎng)絡(luò)控制的軟件的方法，其包括: 應(yīng)用內(nèi)嵌聚類分析算法以將網(wǎng)絡(luò)上的出站流量分類； 所述聚類分析算法將到可識(shí)別的地理位置處的網(wǎng)絡(luò)主機(jī)的通信頻率及數(shù)據(jù)通信模式考慮在內(nèi)，所述數(shù)據(jù)通信模式例如，沒有限制:應(yīng)用類型、流速率、每流數(shù)據(jù)包的數(shù)目、各流中平均數(shù)據(jù)包大小及流量速率； 基于所述應(yīng)用步驟，識(shí)別所述網(wǎng)絡(luò)上的并非為所述網(wǎng)絡(luò)上的流量的通用模式的部分的出站流量；以及 在所述網(wǎng)絡(luò)上的并非為所述網(wǎng)絡(luò)上的流量的所述通用模式的部分的出站流量的情況下傳達(dá)警告。8.—種改進(jìn)的軟件定義網(wǎng)絡(luò)管理系統(tǒng)，所述網(wǎng)絡(luò)包含網(wǎng)絡(luò)控制器且使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量，所述網(wǎng)絡(luò)包含裝置，至少一些所述裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量且產(chǎn)生與所述網(wǎng)絡(luò)流量相關(guān)的網(wǎng)絡(luò)元數(shù)據(jù)，所述管理系統(tǒng)包括: 至少一個(gè)入口接口，其用于以至少一種數(shù)據(jù)格式從軟件定義網(wǎng)絡(luò)中的多個(gè)源接收網(wǎng)絡(luò)元數(shù)據(jù)； 處理引擎，其用于當(dāng)所述網(wǎng)絡(luò)元數(shù)據(jù)在所述網(wǎng)絡(luò)上在產(chǎn)生所述網(wǎng)絡(luò)元數(shù)據(jù)的網(wǎng)絡(luò)裝置與能夠存儲(chǔ)所述網(wǎng)絡(luò)元數(shù)據(jù)的裝置之間轉(zhuǎn)移時(shí)處理所述網(wǎng)絡(luò)元數(shù)據(jù)以從其提取有用信息; 所述處理引擎確定與操作于所述網(wǎng)絡(luò)上的應(yīng)用程序相關(guān)的信息且使用所述應(yīng)用程序信息以使所述網(wǎng)絡(luò)控制器能夠執(zhí)行對(duì)所述軟件定義網(wǎng)絡(luò)的更有效管理。9.根據(jù)權(quán)利要求8所述的管理系統(tǒng)，其中所述處理引擎作為所述元數(shù)據(jù)處理步驟的結(jié)果而確定與存在于所述網(wǎng)絡(luò)上的用戶相關(guān)的信息；以及使用所述用戶信息以使所述網(wǎng)絡(luò)控制器能夠執(zhí)行對(duì)所述軟件定義網(wǎng)絡(luò)的更有效管理。10.一種改進(jìn)的基于云的虛擬計(jì)算環(huán)境管理系統(tǒng)，所述環(huán)境包含云操作系統(tǒng)及使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量的云環(huán)境控制器，所述網(wǎng)絡(luò)包含裝置，至少一些所述裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量，所述管理系統(tǒng)進(jìn)一步包括: 接口，其用于以至少一種數(shù)據(jù)格式從所述基于云的虛擬計(jì)算環(huán)境中的多個(gè)源接收網(wǎng)絡(luò)元數(shù)據(jù)； 處理引擎，其用于當(dāng)所述網(wǎng)絡(luò)元數(shù)據(jù)在所述環(huán)境中在產(chǎn)生所述網(wǎng)絡(luò)元數(shù)據(jù)的網(wǎng)絡(luò)裝置與能夠存儲(chǔ)所述網(wǎng)絡(luò)元數(shù)據(jù)的裝置之間轉(zhuǎn)移時(shí)處理所述網(wǎng)絡(luò)元數(shù)據(jù)以從其提取有用信息; 所述處理引擎作為所述元數(shù)據(jù)處理步驟的結(jié)果而確定與操作于所述環(huán)境中的應(yīng)用程序相關(guān)的信息；以及使用所述應(yīng)用程序信息以使所述云環(huán)境控制器能夠執(zhí)行對(duì)所述基于云的虛擬計(jì)算環(huán)境的更有效管理。11.根據(jù)權(quán)利要求10所述的管理系統(tǒng)，其中所述處理引擎作為所述元數(shù)據(jù)處理步驟的結(jié)果而確定與存在于所述環(huán)境中的所述用戶相關(guān)的信息；以及使用所述用戶信息以使所述云環(huán)境控制器能夠執(zhí)行對(duì)所述基于云的虛擬計(jì)算環(huán)境的更有效管理。12.一種用于在裝置使用一或多種網(wǎng)絡(luò)協(xié)議傳輸網(wǎng)絡(luò)流量的網(wǎng)絡(luò)中提供對(duì)與經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)的網(wǎng)絡(luò)元數(shù)據(jù)的按需訪問的系統(tǒng)，所述網(wǎng)絡(luò)包含裝置，至少一些裝置通過入口接口接收網(wǎng)絡(luò)流量且通過出口接口傳輸網(wǎng)絡(luò)流量，所述系統(tǒng)包括: 處理引擎，其用于根據(jù)經(jīng)配置的網(wǎng)絡(luò)元數(shù)據(jù)處理策略集合以流式處理方式處理網(wǎng)絡(luò)元數(shù)據(jù)； 快速存取存儲(chǔ)機(jī)構(gòu)，其用于在定義的時(shí)間周期中留存一組按時(shí)間索引的網(wǎng)絡(luò)元數(shù)據(jù)；所述處理引擎識(shí)別潛在安全相關(guān)網(wǎng)絡(luò)事件且從所述按時(shí)間索引的組提供在時(shí)間上與所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)的網(wǎng)絡(luò)元數(shù)據(jù)的集合；以及 分析引擎，其用于執(zhí)行分析以使所述網(wǎng)絡(luò)元數(shù)據(jù)集合與所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件相關(guān)以進(jìn)一步表征所述經(jīng)識(shí)別的潛在安全相關(guān)網(wǎng)絡(luò)事件的特性。13.根據(jù)權(quán)利要求12所述的系統(tǒng)，其進(jìn)一步包括用于從所述快速存取存儲(chǔ)機(jī)構(gòu)移除已選網(wǎng)絡(luò)元數(shù)據(jù)以促進(jìn)新的網(wǎng)絡(luò)元數(shù)據(jù)到達(dá)所述快速存取存儲(chǔ)機(jī)構(gòu)的存儲(chǔ)器管理引擎。14.一種用于檢測(cè)網(wǎng)絡(luò)連接裝置上的受僵尸網(wǎng)絡(luò)控制的軟件的系統(tǒng)，其包括: 處理引擎，其用于應(yīng)用內(nèi)嵌聚類分析算法以將網(wǎng)絡(luò)上的出站流量分類； 所述聚類分析算法將到可識(shí)別的地理位置處的網(wǎng)絡(luò)主機(jī)的通信頻率及數(shù)據(jù)通信模式考慮在內(nèi)，所述數(shù)據(jù)通信模式例如，沒有限制:應(yīng)用類型、流速率、每流數(shù)據(jù)包的數(shù)目、各流中平均數(shù)據(jù)包大小及流量速率； 分析引擎，其基于所述聚類分析算法的結(jié)果識(shí)別所述網(wǎng)絡(luò)上的并非為所述網(wǎng)絡(luò)上的流量的通用模式的部分的出站流量；以及 警告產(chǎn)生引擎，其用于在所述網(wǎng)絡(luò)上的并非為所述網(wǎng)絡(luò)上的流量的所述通用模式的部分的出站流量的情況下傳達(dá)警告。
【專利摘要】本發(fā)明描述用于處理網(wǎng)絡(luò)元數(shù)據(jù)的改進(jìn)的方法及系統(tǒng)?？捎勺龀鲫P(guān)于網(wǎng)絡(luò)元數(shù)據(jù)的特性及關(guān)于網(wǎng)絡(luò)元數(shù)據(jù)向由所述網(wǎng)絡(luò)元數(shù)據(jù)攜帶的信息的消費(fèi)者的呈現(xiàn)的基于策略的決定的動(dòng)態(tài)實(shí)例化可執(zhí)行軟件模塊處理網(wǎng)絡(luò)元數(shù)據(jù)。所述網(wǎng)絡(luò)元數(shù)據(jù)可按類型分類且一類型內(nèi)的各子類可按唯一指紋值映射到定義。所述指紋值可用以將網(wǎng)絡(luò)元數(shù)據(jù)子類與相關(guān)策略及轉(zhuǎn)換規(guī)則匹配。對(duì)于例如NetFlow？v9的基于模板的網(wǎng)絡(luò)元數(shù)據(jù)，本發(fā)明的實(shí)施例可連續(xù)監(jiān)視網(wǎng)絡(luò)流量的未知模板，捕獲模板定義且向管理員通知定制策略及轉(zhuǎn)化規(guī)則不存在的模板。轉(zhuǎn)化模塊可有效將已選的類型及/或子類的網(wǎng)絡(luò)元數(shù)據(jù)轉(zhuǎn)化成替代元數(shù)據(jù)格式。
【IPC分類】G06F11/00
【公開號(hào)】CN105051696
【申請(qǐng)?zhí)枴緾N201480012616
【發(fā)明人】伊戈?duì)枴ぐ屠燃{, 亞歷山大·韋萊德尼特斯基
【申請(qǐng)人】網(wǎng)絡(luò)流邏輯公司
【公開日】2015年11月11日
【申請(qǐng)日】2014年1月9日
【公告號(hào)】CA2897664A1, WO2014110293A1